CN106897368A

CN106897368A - Merkle哈希求和树及其可验证数据库更新操作方法

Info

Publication number: CN106897368A
Application number: CN201710029462.XA
Authority: CN
Inventors: 苗美霞; 马建峰; 管文浩; 张志为; 杨昌松
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2017-01-16
Filing date: 2017-01-16
Publication date: 2017-06-27
Anticipated expiration: 2037-01-16
Also published as: CN106897368B

Abstract

本发明公开了一种Merkle哈希求和树及其可验证数据库更新操作方法，旨在解决数据库更新的全操作可验证问题，保证数据库的正确性、完整性和操作的高效性。本发明提出了Merkle哈希求和树这一新的概念，用以实现对大规模数据高效安全的验证。与Merkle哈希树相比，在Merkle哈希求和树上进行插入/删除操作时，不需要对树的全部节点重新计算，更新操作的计算开销小。基于Merkle哈希求和树，本发明提出了一种可验证数据库更新方法，实现了对大规模数据库所有更新操作的高效验证。

Description

Merkle哈希求和树及其可验证数据库更新操作方法

技术领域

本发明属于可验证数据库技术领域，尤其涉及一种Merkle哈希求和树及其可验证数据库更新操作方法。

背景技术

随着云计算和大数据的快速发展，资源受限的客户端可以将庞大的数据外包给云端服务器，从而减少客户端维护本地数据的开销。然而，由于云端服务器并不是完全可信的，它可能对数据库进行篡改，因此外包存储的一个关键问题就是如何高效验证客户端搜索时云端返回结果的正确性。近年来，许多学者都研究了在外包数据库上的可验证搜索问题(Backes M,Fiore D,Reischuk R M.Verifiable delegation of computation onoutsourced data[C].Proceedings of the 2013ACM SIGSAC conference on Computer&communications security.ACM,2013:863-874.Camenisch J,Kohlweiss M,SorienteC.An accumulator based on bilinear maps and efficient revocation foranonymous credentials[C].International Workshop on Public KeyCryptography.Springer Berlin Heidelberg,2009:481-500.Camenisch J,LysyanskayaA.Dynamic accumulators and application to efficient revocation of anonymouscredentials[C].Annual International Cryptology Conference.Springer BerlinHeidelberg,2002:61-76.Li F,Hadjieleftheriou M,Kollios G,et al.Dynamicauthenticated index structures for outsourced databases[C].Proceedings of the2006ACM SIGMOD international conference on Management of data.ACM,2006:121-132.Ma D,Deng R H,Pang H,et al.Authenticating query results in datapublishing[C].International Conference on Information and CommunicationsSecurity.Springer Berlin Heidelberg,2005:376-388.Martel C,Nuckolls G,DevanbuP,et al.A general model for authenticated data structures[J].Algorithmica,2004,39(1):21-41.Naor M,Nissim K.Certificate revocation and certificateupdate[J].IEEE Journal on selected areas in communications,2000,18(4):561-570.Nguyen L.Accumulators from bilinear pairings and applications[C].Cryptographers’Track at the RSA Conference.Springer Berlin Heidelberg,2005:275-292.Pang H H,Jain A,Ramamritham K,et al.Verifying completeness ofrelational query results in data publishing[C].Proceedings of the 2005ACMSIGMOD international conference on Management of data.ACM,2005:407-418.Papamanthou C,Tamassia R.Time and space efficient algorithms for two-party authenticated data structures[C].International Conference onInformation and Communications Security.Springer Berlin Heidelberg,2007:1-15.)，但是目前这些方案都不适用于动态更新数据库，因而不适合实际应用。可高效更新的可验证数据库(简称为VDB)是由Benabbas,Gennaro和Vahlis[Benabbas S,Gennaro R,Vahlis Y.Verifiable delegation of computation over large datasets[C].AnnualCryptology Conference.Springer Berlin Heidelberg,2011:111-131.]首先提出的，目的是为了解决可验证的外包一个大规模的动态数据库问题，也就是一个资源受限的客户端能够在云端服务器上存储一个很大的数据库，之后客户端可以检索得到一条数据库记录，并对这条记录赋予新的值进行更新，同时客户端能够检测到恶意服务器对数据库的篡改行为。通常，对于VDB方案来说，一个很重要的要求就是客户端进行的本地计算和存储开销大小与数据库的大小没有关系(除了初始化阶段)。与之前的一些方法相比，VDB方案仅仅依赖一些常量级密码学假设(constant-size cryptographic assumptions)。Benabbas,Gennaro和Vahlis[Benabbas S,Gennaro R,Vahlis Y.Verifiable delegation ofcomputation over large datasets[C].Annual Cryptology Conference.SpringerBerlin Heidelberg,2011:111-131.]提出了第一个利用外包多项式函数(delegatingpolynomial functions)的高效VDB方案，然而这个方案仅仅满足非公开验证，并不支持公开可验证性。为了实现支持公开可验证性的VDB方案，Catalano和Fiore[Catalano D,FioreD.Vector commitments and their applications[M].Public-Key Cryptography–PKC2013.Springer Berlin Heidelberg,2013:55-72.]使用向量承诺来构建VDB方案。Chen etal.[Chen X,Li J,Huang X,et al.New publicly verifiable databases withefficient updates[J].IEEE Transactions on Dependable and Secure Computing,2015,12(5):546-556.]指出Catalano-Fiore的VDB方案无法有效抵御一种被称为前向自动更新(forward automatic update，简称为FAU)的攻击，并利用承诺绑定(commitmentbinding)方法解决了这个问题。最近，Chen et al.[Chen X,Li J,Weng J,etal.Verifiable computation over large database with incremental updates[J].IEEE Transactions on Computers,65(10),pp.3184-3195,2016.]提出了支持增量更新的可验证数据库(Inc-VDB)方案，在该方案中，当数据库进行频繁的小改动时，客户端的计算开销可以得到降低。不过，在[enabbas S,Gennaro R,Vahlis Y.Verifiable delegationof computation over large datasets[C].Annual Cryptology Conference.SpringerBerlin Heidelberg,2011:111-131.Catalano D,Fiore D.Vector commitments andtheir applications[M].Public-Key Cryptography–PKC 2013.Springer BerlinHeidelberg,2013:55-72.Chen X,Li J,Huang X,et al.New publicly verifiabledatabases with efficient updates[J].IEEE Transactions on Dependable andSecure Computing,2015,12(5):546-556.Chen X,Li J,Weng J,et al.Verifiablecomputation over large database with incremental updates[J].IEEE Transactionson Computers,65(10),pp.3184-3195,2016.]中的VDB方案都仅支持替代这种更新操作，主要原因是外包数据库的数据记录条数必须是固定的。最近，Miao et al.[Miao M,Wang J,Ma J,et al.Publicly verifiable databases with efficient insertion/deletionoperations[J].Journal of Computer and System Sciences,2016]首先解决了这个问题，提出了支持替代、删除和插入全部更新操作的VDB方案，这个方案基于分层承诺的思想。但是[Miao M,Wang J,Ma J,et al.Publicly verifiable databases with efficientinsertion/deletion operations[J].Journal of Computer and System Sciences,2016]中的VDB方案有一个缺点：在执行该方案的插入操作时，如果要操作的位置在已有的全部分层上都是被占用的，就需要增加一个新的分层，并要对新的分层进行承诺；所以，当需要在同一个位置进行多次的插入时，该方法就会不断地增加新的分层并承诺，这将造成巨大计算资源消耗和存储空间浪费；由此可见该方案在同位置多次插入的场景下是不实用的。

综上所述，现有的VDB方案缺乏对替代、删除、插入等三种更新操作的完备支持，具体表现为以下两个方面：其一，缺乏插入操作的支持；其二，支持全操作方案的插入过程效率低，资源消耗大。

发明内容

本发明的目的在于提供一种Merkle哈希求和树及其可验证数据库更新操作方法，旨在解决现有的VDB方案无法同时支持高效的全部更新操作和验证操作。

本发明是这样实现的，一种Merkle哈希求和树，所述Merkle哈希求和树是一种基于密码学哈希函数构造的树形数据结构及其操作集。所述Merkle哈希求和树的构造方法包括以下步骤：

步骤一：令hash：{0,1}^3k→{0,1}^k为一个密码学哈希函数，如SHA-256，其中k为安全变量。给定一个数据库

步骤二：对每一个叶子节点x，定义Φ(x)＝hash(l_x,s_x,r_x)，其中l_x≥0表示在存储格索引x中的数据记录数目，s_x≥1表示在存储格索引x中更新操作的次数(也就是计数器)，r_x则是一个k-bit的随机数；

步骤三：对于中间节点，假设n_L与n_R分别表示为父亲节点n_P的左孩子节点和右孩子节点，定义其中与分别表示对于n_L与n_R节点哈希输入的第一个元素；

步骤四：为了不失一般性，定义Φ(n_R)为Merkle哈希求和树的根值。对根值计算签名S＝SIGN(Φ(n_R))，其中SIGN表示一个安全的签名方案，如BLS短签名。

本发明的另一目的在于提供一种利用所述Merkle哈希求和树的可验证数据库更新操作方法，所述可验证数据库更新操作方法包括以下步骤：

步骤一，设置：给定一个安全变量n和一个加密的数据库DB，加密数据库形式为(i,v_i)∈[q]×Z_n-1，使用一个哈希函数H:{0,1}^*→Z_n-1来处理非常大的数据记录v_i；设置算法产生两个阶为N＝p₁p₂的群G与G_T，其中p₁，p₂是范围在[2^n-1,2ⁿ-1]的素数；双线性映射为e:G×G→G_T；令G₁与G₂为G的子群，阶分别为p₁，p₂；随机选择两个代数伪随机函数F的密钥K₁，K₂；同时，随机选择：

g₁,h₁∈_R G₁,g₂,h₂,u₂∈_R G₂,a,b∈_RZ_N；

对于每一个i∈{1,...,q}：

定义：

设公共密钥为私钥为SK＝(a,T_w,k₁,k₂)；

步骤二，查询：查询算法输入公钥PK和一个查询索引使用Merkle哈希求和树和等式确定存储格索引x∈{1,...,q}及相应的证据Ω，证据Ω＝(l_x,s_x,r_x,Φ_i,S)，其中Φ_i(1≤i≤H)表示在MSHT上从叶子节点x到根节点的路径上的节点的兄弟节点值，H为Merkle哈希求和树的深度。然后计算：

定义最终返回

步骤三，验证：验证算法输入一个私钥SK，一个查询索引和验证者首先利用证据Ω验证x的有效性，检查：

其中如果等式成立，则验证者输出1，否则输出⊥；

步骤四，更新：进一步，所述步骤四具体包括：

1)替代：将查询索引对应的记录v_x替换为客户端首先从服务器端检索客户端获得存储格索引x，计数器s_x，相应的存储格记录(cell record)和证据(T,Ω)；如果则客户端计算用以代替在中，已经被代替；如果则

将t'_x给予服务器，更新公钥：t_x←t_x·t'_x,s_x←s_x+1；

2)删除：当客户端想删除索引对应的记录时，首先然后删除操作可以看成上面的一种特殊情况的替代操作；

3)插入：客户端在记录前面插入新的记录客户端首先从服务器端检索如果则客户端计算用以代替在中，记录前面插入了新的记录也就是说，如果则

将t'_x给予服务器，更新公钥：t_x←t_x·t'_x,s_x←s_x+1，设l_x←l_x+1，服务器更新Merkle哈希求和树及相应的证据Ω。

进一步，所述可验证数据库更新操作方法中令数据库为其中1≤x≤q，l_x≥0表示在存储格索引x中的数据记录数目；在上的三种更新操作包括：

替代：客户端想将替换为v′_x，则l_x保持不变；

删除：客户端想删除则l_x仍保持不变；

插入：客户端想在前面插入一个新的记录则l_x加1。

本发明的另一目的在于提供一种应用所述Merkle哈希求和树的可验证数据库。

本发明的另一目的在于提供一种应用所述Merkle哈希求和树的云端数据库。

本发明提出了Merkle哈希求和树这个新的概念，并利用Merkle哈希求和树构建了支持密文数据库全操作可验证更新的方法。Merkle哈希求和树由Merkle哈希树发展而来，其与Merkle哈希树的主要不同之处在于：在Merkle哈希树上进行插入/删除更新时需要重新构建树形结构，计算开销大；在Merkle哈希求和树上，叶子的数目总是相同的，并且叶子节点的输入是独立于数据记录值的(但依赖数据记录的数目)，因此在Merkle哈希求和树上的任何更新操作都是更加高效的(如表1所示)。

本发明提出了一个全新的可验证数据库更新方法，使用了外包多项式函数，支持全部的更新操作(插入、删除和替代)；全部的更新操作可以看做是Benabbas-Gennaro-Vahlis的VDB方案中的一种特殊情况的替代操作，因而与Benabbas-Gennaro-Vahlis的VDB方案一样高效，更符合实际应用。

表1MHT和MHST对比表(以N个叶子节点为例)

类型	树形	高度	替代/删除节点计算量	插入节点计算量
					MHT	二叉树	lgN	lgN
MHST	二叉树	lgN	lgN	lgN次哈希

附图说明

图1是本发明实施例提供的Merkle哈希求和树的构造方法示意图；

图2是本发明实施例提供的可验证数据库插入操作示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细的描述。

本发明实施例提供的Merkle哈希求和树

如图1所示，本发明实施例提供的Merkle哈希求和树的构造方法包括以下步骤：

(1)选取SHA-256作为安全的哈希函数(记为hash(·))，给定一个数据库DB，共有八条记录，分别为(x₁,v₁),(x₂,v₂)…(x₈,v₈)；

(2)对每一个叶子节点x，定义Φ_x＝hash(l_x,s_x,γ_x)，其中l_x＝1，表示在存储格记录x中有一条数据记录，s_x＝0表示在存储格索引存储格记录x中还没有进行过更新操作，γ_x则是一个随机数；

(3)对于中间节点，如Φ_1-2，表示Φ₁与Φ₂的父亲节点，定义其中与分别为1，表示它的孩子节点分别有一条数据记录；

(4)根节点与中间节点的计算方法相同，记为Φ_R，并对其计算签名S＝SIGN(Φ_R)，其中SIGN表示一个安全的签名方案。

本发明实施例提供的基于Merkle哈希求和树的可验证数据库具体步骤如下：

为了不失一般性，令数据库为其中1≤x≤q，l_x≥0表示在存储格索引x中的数据记录数目。

本发明分为以下几部分：

(1)设置(Setup)：给定一个安全变量n和一个加密的数据库DB，加密数据库形式为(i,v_i)∈[q]×Z_n-1(可以使用一个哈希函数H:{0,1}^*→Z_n-1来处理非常大的数据记录v_i)。设置算法产生两个阶为N＝p₁p₂的群G与G_T，其中p₁，p₂是范围在[2^n-1,2ⁿ-1]的素数；双线性映射为e:G×G→G_T。令G₁与G₂为G的子群，阶分别为p₁，p₂。随机选择两个代数伪随机函数F(algebraic pseudorandom function)的密钥K₁，K₂。同时，随机选择：

g₁,h₁∈_R G₁,g₂,h₂,u₂∈_R G₂,a,b∈_RZ_N；

对于每一个i∈{1,...,q}，设：

定义：

设公共密钥为私钥为SK＝(a,T_w,k₁,k₂)。

查询(Query)：查询算法输入公钥PK和一个查询索引使用Merkle哈希求和树和等式确定存储格索引x∈{1,...,q}及相应的证据Ω，证据，其中表示在MSHT上从叶子节点x到根节点的路径上的节点的兄弟节点值，H为Merkle哈希求和树的深度。然后计算：

为了不失一般性，定义最终返回

(2)验证(Verify)：验证算法输入一个私钥SK，一个查询索引和验证者首先利用证据Ω验证x的有效性，然后检查：

其中如果等式成立，则验证者输出1，否则输出⊥。

(3)更新(Update)：考虑下面三种更新：

1)替代(Replacement)：为了将查询索引对应的记录替换为客户端首先从服务器端检索也就是说，客户端获得了存储格索引x，计数器s_x，相应的元记录(cell record)和证据(T,Ω)。如果则客户端计算用以代替在中，v_x已经被代替。也就是说，如果则并且，由于Merkle哈希求和树的性质，确定的准确位置是很容易的。

然后，设：

将t'_x给予服务器，更新公钥：t_x←t_x·t'_x,s_x←s_x+1。

2)删除(Deletion)：当客户端想删除索引对应的记录时，首先设然后删除操作可以看成上面的一种特殊情况的替代操作。

3)插入(Insertion)：插入操作可以看成一种特殊情况的替代操作，不同之处在于当客户端插入一条数据记录时，Merkle哈希求和树也应该进行更新。为了不失一般性，假设客户端想在记录前面插入新的记录与替代操作类似，客户端首先从服务器端检索如果则客户端计算用以代替在中，记录前面插入了新的记录也就是说，如果则

然后，设：

将t'_x给予服务器，更新公钥：t_x←t_x·t'_x,s_x←s_x+1。此外，设l_x←l_x+1，服务器更新Merkle哈希求和树及相应的证据Ω。Merkle哈希求和树的更新过程如图2所示(以在图1所示数据库的第二个存储格插入一条新的数据记录为例)。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种Merkle哈希求和树，其特征在于，所述Merkle哈希求和树是一种基于密码学哈希函数构造的树形数据结构及其操作集。

2.一种如权利要求1所述Merkle哈希求和树的构造方法，其特征在于，所述Merkle哈希求和树的构造方法包括以下步骤：

步骤一：令hash：{0,1}^3k→{0,1}^k为一个密码学哈希函数，如SHA-256，其中k为安全变量；给定一个数据库1≤x≤q；

步骤二：对每一个叶子节点x，定义Φ(x)＝hash(l_x,s_x,r_x)，其中l_x≥0表示在存储格索引x中的数据记录数目，s_x≥1表示在存储格索引x中更新操作的次数，r_x则是一个k-bit的随机数；

步骤四：为了不失一般性，定义Φ(n_R)为Merkle哈希求和树的根值；对根值计算签名S＝SIGN(Φ(n_R))，其中SIGN表示一个安全的签名方案，如BLS短签名。

3.一种利用权利要求1所述Merkle哈希求和树的可验证数据库更新操作方法，其特征在于，所述可验证数据库更新操作方法由以下4个步骤组成：

步骤一，设置：数据拥有者运行设置算法，输入安全变量k和数据库DB，输出一个私钥SK和一个公钥PK；私钥SK由客户端秘密保存；公钥PK分发给所有验证者，包括数据拥有者，用于对证据的验证；数据拥有者同时对数据库加密，加密数据库记为S，将S发送给服务器；

步骤二，查询：服务器端运行查询算法，输入公钥PK、加密数据库S、查询索引x，输出返回搜索结果和证据对τ＝(v,π)；

步骤三，验证：验证者或数据拥有者运行验证算法，输入公钥PK、查询索引x、搜索结果和证据对τ＝(v,π)，如果对应于v的证据π正确，则输出v，否则输出⊥；

步骤四，更新：数据拥有者运行更新算法，输入私钥SK、查询索引x、待更新数据v'，数据拥有者首先利用私钥SK产生一个操作授权token为t'_x，然后将(t'_x,v')发送给服务器；服务器使用v'更新在索引x中的相关数据，并利用t'_x更新公钥PK。

4.如权利要求3所述的可验证数据库更新操作方法，其特征在于，所述可验证数据库更新操作方法中令数据库为其中1≤x≤q，l_x≥0表示在存储格索引x中的数据记录数目；在上的三种更新操作包括：

替代：客户端想将替换为v′_x，则l_x保持不变；

删除：客户端想删除则l_x仍保持不变；

插入：客户端想在前面插入一个新的记录则l_x加1。

5.一种应用权利要求1所述Merkle哈希求和树的可验证数据库。

6.一种应用权利要求1所述Merkle哈希求和树的云端数据库。