CN107426165A

CN107426165A - 一种支持密钥更新的双向安全云存储数据完整性检测方法

Info

Publication number: CN107426165A
Application number: CN201710344265.7A
Authority: CN
Inventors: 田苗苗; 王玲燕; 仲红; 陈志立
Original assignee: Anhui University
Current assignee: Anhui University
Priority date: 2017-05-16
Filing date: 2017-05-16
Publication date: 2017-12-01
Anticipated expiration: 2037-05-16
Also published as: CN107426165B

Abstract

本发明公开了一种支持密钥更新的双向安全云存储数据完整性检测方法，该方法包括以下步骤：系统初始化生成参数，数据拥有者获得密钥与公开参数；数据拥有者密钥更新；数据拥有者检测更新后密钥的有效性；数据拥有者利用当前时间周期的密钥为每个数据块计算认证标签，并将数据块与相应的认证标签上传到云服务器中；第三方审计(TPA)向云服务器发送一个挑战；云服务器计算证据返回给第三方审计；第三方审计验证证据的正确性。本发明通过密钥更新减小数据拥有者密钥泄露带来的安全问题，将数据拥有者密钥分为两部分以不同的方式保存来实现密钥泄露的前向安全性和后向安全性，并采用随机掩码技术保护数据的隐私。

Description

一种支持密钥更新的双向安全云存储数据完整性检测方法

技术领域

本发明涉及云计算安全技术，具体涉及一种双向安全云存储数据完整性检测方法。

背景技术

在云计算环境中，云服务提供商整合计算资源为云端用户提供经济快捷的基础设施服务，用户将数据外包到云服务器中，从而在任何时间、地点通过任意的异构网络设施方便地获取该服务。

由于云服务商不可信，它可能为了节省存储空间，丢掉一些用户很少访问或几乎不访问的数据，还有可能为了维持自己的声誉，隐藏数据丢失情况，所以在使用数据之前需要对云上数据进行完整性检测，目前为止，当前很多云存储完整性检测方案都相继提出，这些方案都基于一个假设--数据拥有者的密钥总是安全的。

实际上，云存储完整性检测方案中数据拥有者的密钥可能会泄漏。第一，数据拥有者的密钥管理是一个非常复杂的过程。数据拥有者需要管理各种各样的密钥来完成不同的安全任务，在管理中发生一些无意的错误可能导致密钥泄露。第二，对于一些普通的客户，安全保护的功能相对比较弱，用户可能从网上无意下载一个恶意软件而忽视了及时下载安全补丁到他们的计算机系统，这些可能使得攻击者很容易访问到他们的密钥。最后，云服务器可能得到数据拥有者的密钥，为了维护自己的声誉，利用数据拥有者泄漏的密钥伪造数据重新计算标签来隐藏数据丢失情况。显而易见，云存储数据完整性检测中数据拥有者密钥泄露对云存储应用程序的客户来说是灾难性的。所以需要避免数据拥有者的密钥被泄露。

目前，云存储完整性检测方法大部分都集中在减少客户端代价、数据动态性和保护数据隐私上。后来2015年有人在云存储完整性检测上提出数据拥有者密钥泄露的问题(J.Yu,K.Ren,C.Wang,and V.Varadharajan,“Enabling cloud storage auditing withkey-exposure resistance,”IEEE Trans.Inf.Forensics Security,vol.10,no.6,pp.1167–1179,Jun.2015)，该方案引入二叉树结构和前序遍历技术更新数据拥有者的密钥，但是该方案存在三个不足之处，第一，该方案只保证了前向安全性、没有考虑后向安全性，当前时间周期密钥泄露可能会计算得到以后时间周期的密钥。第二，该方案将二叉树的节点作为时间周期，在系统初始化时需要提前定义时间周期长度，是一个有界的时间周期。第三，没有保护数据隐私。第三方审计是半可信的，执行多次审计的过程会得到数据信息。在于佳灯人“抵御密钥泄露的云存储数据审计方法”的专利ZL201410243405.8中，通过引入一个物理安全的安全设备来帮助用户周期性更新密钥，使得即使入侵者在某个时间段攻击了用户并获得了该时间段的用户密钥，其他时间段的数据审计仍然是安全的。但是安全设备变的不安全，则整个方案也就不会安全，并且该方案结构复杂，效率比较低，同样该方案中没有保护数据的隐私。

发明内容

本发明的目的在于提供一种支持密钥更新的双向安全云存储数据完整性检测方法，以在云存储环境下减小数据拥有者密钥泄露带来的危害。

为此，本发明提供了一种双向安全云存储数据完整性检测方法，包括以下步骤：

(1)系统初始化生成参数，数据拥有者获得密钥与公开参数。定义总的时间周期为T，时间周期从0开始到周期T结束，时间周期间隔可以为一天、一个月、一年，可以根据实际情况而定。数据拥有者的私钥分为两部分存储，第一部分存储在数据拥有者中，第二部分分布式存储在云服务器与第三方审计中；

(2)数据拥有者密钥更新。时间周期从0开始，每当到达下一个时间周期时，数据拥有者的密钥更新，第一部分的密钥由数据拥有者计算得到，第二部分密钥通过第三方审计与服务器秘密共享得到；

(3)数据拥有者检测更新后密钥的有效性。密钥分为两个部分以不同方式获得需要检测密钥有效性；

(4)当数据拥有者需要上传数据时，利用当前时间周期的密钥为每个数据块计算认证标签。并将数据块与相应的认证标签上传到云服务器中；

(5)第三方审计向云服务器发送一个挑战；

(6)云服务器计算证据返回给第三方审计。云服务器收到挑战之后，将数据块和对应的标签进行线性聚合作为审计证据。将审计证据发送给第三方审计；以及

(7)第三方审计验证证据的正确性。第三方审计收到证据之后，利用公开信息验证证据的正确性，如果正确，则表明存储在云上数据是完整的。反之，数据被破坏。

进一步的，所述步骤(1)的具体过程为：

(11)系统初始化，定义当前时间周期为0，时间周期间隔可以为一天、一个月、一年，根据实际情况而定。输入安全参数k，生成两个生成元为g的群G₁，G₂和通过算法IG(1^k)得到一个配对e:G₁×G₁→G₂。选择三个安全的哈希函数H₁：{0，1}^*→G₁，H₂：Z_p→G₁，h:G₁→Z_p，随机选择和设置g₀＝H₂(0)。随机选择u∈G₁，w＝g^x；

(12)构造一个度为1的多项式将f₀(1)发送给第三方审计保存、f₀(2)发送给云服务器保存。当时，计算Y₀＝Y_0，1·Y_0，2；以及

(13)数据拥有者获得密钥为公开参数为PP＝(H₁,H₂,h,e,g,u,w)。最后，立即删除x和

进一步的，所述步骤(2)的具体过程为：

(21)当到达下一个时间周期时，需要更新数据拥有者密钥。定义当前时间周期密钥为计算下一个周期的密钥SK_j+1；

(22)首先数据拥有者与第三方审计、云服务器共享一个秘密计算

(23)第三方审计计算f_j+1(1)＝f_j(1)·s^-1，云服务器计算f_j+1(2)＝f_j(2)·s^-1，将计算结果都发送给数据拥有者；以及

(24)数据拥有者计算Y_j+1＝Y_j+1,1·Y_j+1,2，所以下一个周期的密钥为最后立即删除s。

进一步的，所述步骤(3)的具体过程为：

(31)当数据拥有者获得更新之后周期的密钥时，检测当前时间周期为j的密钥是否有效，计算哈希值g_j＝H₂(j)；以及

(32)检测等式是否成立如果成立，则当前周期密钥有效，否则无效。

进一步的，所述步骤(4)的具体过程为：

(41)数据拥有者当前时间周期为j的密钥为

(42)数据拥有者根据多项式得到计算

(43)当数据拥有者需要上传数据时，将数据分为多个数据块，利用当前周期的密钥为每个数据块计算认证标签以及

(44)最后数据拥有者将数据及相应的认证标签集合Φ＝(j,{σ_i}_1≤i≤n,U)上传到云服务器。

进一步的，所述步骤(5)的具体过程为：

(51)第三方审计随机从数据块集合[1,n]中挑选c个数据块的索引作为一个子集合I。并且产生一个随机数y_i∈Z_p。产生挑战信息chal＝{i,y_i}_i∈I；以及

(52)第三方审计将挑战信息发送给云服务器。

进一步的，所述步骤(6)的具体过程为：

(61)云服务器收到挑战信息后，随机选择r∈Z_p，计算R＝e(u,w)^r，γ＝h(R)；

(62)将挑战的数据块进行聚合μ'＝∑_i∈Iv_im_i，为了保护数据的隐私将μ'盲化得到μ＝r+γμ'。将数据认证标签聚合以及

(63)云服务器将审计证据proof＝{j,μ,σ,R,U}发送给第三方审计。

进一步的，所述步骤(7)的具体过程为：

(71)第三方审计通过审计证据和挑战信息通过等式以下

验证存储在云上数据是否是完整。如果等式成立则数据是完整的，反之数据被破坏；以及

(72)将审计结果返回给数据拥有者。

本发明还提供了一种用于实现双向安全云存储数据完整性检测方法的云计算应用系统，包括数据拥有者、云服务器及第三方审计。数据拥有者利用密钥为每个数据块计算认证标签，将数据及相应数据认证标签上传到云服务器，数据拥有者的密钥会定期更新，这里时间周期间隔可以设为一天、一个月或一年，根据实际情况而定，第三方审计定期检测存储在云服务器上数据的完整性。

与现有技术相比，本发明具有以下优点：

(1)本发明考虑到实际应用数据拥有者的密钥可能会被泄露，通过密钥更新减小密钥泄露带来的危害，同时支持前向安全性和后向安全性，即当某一时间周期的密钥泄露，由当前密钥是不能计算得到前一个时间周期的密钥或后一个时间周期的密钥，所以支持双向安全性。

(2)本发现考虑到第三方审计是半可信的，它多次执行审计任务可能会尽可能的发现数据信息，本发明通过采用随机掩码技术保护数据的隐私，第三方审计是不可能得到数据的相关信息的。

(3)本发明考虑到实际场景中时间周期的问题，提供一个无界的时间周期，在系统初始化阶段不用提前定义时间周期。

由此可见，本发明在云存储环境减小了数据拥有者密钥泄露带来的危害，保护了数据的隐私。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为根据本发明的双向安全云存储数据完整性检测方法的流程图；

图2为用于实现本发明的双向安全云存储数据完整性检测方法的云计算应用系统的示意框图；

图3为根据本发明的双向安全云存储数据完整性检测方法的步骤一的执行流程图；以及

图4为根据本发明的双向安全云存储数据完整性检测系统的步骤二的执行流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

此处，对发明的技术术语进行解释和说明：

数据拥有者：数据的拥有者，并且为每个数据块计算数据块标签，将数据及数据块标签上传到云服务器；

云服务器：拥有大量存储和计算资源的分布式存储系统，为用户提供数据存储、计算等服务；

第三方审计：为了减少数据拥有者的计算代价，用第三方代替数据拥有者检测存储在云服务器上数据的完整性。

以下结合实施例和附图对本发明做进一步说明。

如图1所示，本发明的一种支持密钥更新的双向安全云存储数据完整性检测方法，包含以下步骤：

S10、系统初始化生成参数，数据拥有者获得密钥与公开参数。定义总的时间周期为T，时间周期从0开始到周期T结束，时间周期间隔可以为一天、一个月、一年，可以根据实际情况而定。数据拥有者的私钥分为两部分存储，第一部分存储在数据拥有者中，第二部分分布式存储在云服务器与第三方审计中；

S20、数据拥有者密钥更新。时间周期从0开始，每当到达下一个时间周期时，数据拥有者的密钥更新，第一部分的密钥由数据拥有者计算得到，第二部分密钥通过第三方审计与服务器秘密共享得到；

S30、数据拥有者检测更新后密钥的有效性。密钥分为两个部分以不同方式获得需要检测密钥有效性；

S40、当数据拥有者需要上传数据时，利用当前时间周期的密钥为每个数据块计算认证标签。并将数据块与相应的认证标签上传到云服务器中；

S50、第三方审计向云服务器发送一个挑战；

S60、云服务器计算证据返回给第三方审计。云服务器收到挑战之后，将数据块和对应的标签进行线性聚合作为审计证据。将审计证据发送给第三方审计；以及

S70、第三方审计验证证据的正确性。第三方审计收到证据之后，利用公开信息验证证据的正确性，如果正确，则表明存储在云上数据是完整的。反之，数据被破坏。

如图2所示，将上述支持密钥更新的双向安全云存储数据完整性检测方法应用于云计算系统，该系统包括数据拥有者10、云服务器20以及第三方审计30。

如图3所示，步骤S10具体实施过程如下：

S11、系统初始化，定义当前时间周期为0，时间周期间隔可以为一天、一个月、一年，根据实际情况而定。输入安全参数k，生成两个生成元为g的群G₁，G₂和通过算法IG(1^k)得到一个配对e:G₁×G₁→G₂。选择三个安全的哈希函数H₁：{0，1}^*→G₁，H₂：Z_p→G₁，h:G₁→Z_p，随机选择和设置g₀＝H₂(0)。随机选择u∈G₁，w＝g^x；

S13、构造一个度为1的多项式

S15、将f₀(1)发送给第三方审计保存、f₀(2)发送给云服务器保存。当时，计算Y₀＝Y_0，1·Y_0，2；以及

S17、数据拥有者获得私钥为公开参数为PP＝(H₁,H₂,h,e,g,u,w)。最后，立即删除x和

如图4所示，步骤(2)具体实施过程如下：

S21、当到达下一个时间周期时，需要更新数据拥有者密钥。定义当前时间周期密钥为计算下一个周期的密钥SK_j+1；

S23、数据拥有者与第三方审计、云服务器共享一个秘密

S25、数据拥有者根据分享的秘密计算第一部分密钥

S27、第三方审计根据上个周期存储的f_j(1)计算f_j+1(1)＝f_j(1)·s^-1，得到云服务器根据上个周期存储的f_j(2)计算f_j+1(2)＝f_j(2)·s^-1，得到将计算结果都发送给数据拥有者。

S28、数据拥有者根据第三方审计与云服务器发送的结果计算第二部分密钥Y_j+1＝Y_j+1,1·Y_j+1,2；

S29、结合第一部分密钥与第二部分密钥，数据拥有者得到完整的密钥，即下一个周期的私钥为最后立即删除s。

步骤S30具体实施过程如下：

1.当数据拥有者获得更新之后周期的密钥时，检测当前时间周期为j的密钥是否有效，计算哈希值g_j＝H₂(j)；

2.检测等式是否成立如果成立，则当前周期密钥有效，否则无效。

步骤S40具体实施过程如下：

1.数据拥有者当前时间周期为j的密钥为

2.数据拥有者根据多项式得到计算

3.数据拥有者将文数据分为多个数据块，利用当前周期的密钥为每个数据块计算认证标签

4.最后数据拥有者将数据及相应的认证标签集合Φ＝(j,{σ_i}_1≤i≤n,U)上传到云服务器。

步骤S50具体实施过程如下：

1.第三方审计随机从数据块集合[1,n]中挑选c个数据块的索引作为一个子集合I。并且产生一个随机数y_i∈Z_p。产生挑战信息chal＝{i,y_i}_i∈I。

2.第三方审计将挑战信息发送给云服务器。

步骤S60具体实施过程如下：

1.云服务器收到挑战信息后，随机选择r∈Z_p，计算R＝e(u,w)^r，γ＝h(R)。

2.将挑战的数据块进行聚合μ'＝∑_i∈Iv_im_i，为了保护数据的隐私将μ'盲化得到μ＝r+γμ'。将数据认证标签聚合

3.云服务器将审计证据proof＝{j,μ,σ,R,U}发送给第三方审计。

步骤S70具体实施过程如下：

1.第三方审计通过审计证据和挑战信息通过等式

验证存储在云上数据是否是完整。如果等式成立则数据是完整的，反之数据被破坏。

2.将审计结果返回给数据拥有者。

方案分析

1.方案正确性

2.方案安全性

(1)标签不可伪造性

标签不可伪造性的证明思想规约到CDH困难问题，给定一个多项式时间敌手A和一个模拟器S，该模拟器模拟真实环境使得敌手不可区分模拟环境和真实环境。模拟器将困难问题的参数嵌入到公开参数PP＝(g,u＝g^a,w＝g^b)中，然后发送给敌手A。模拟器的目标是计算g^ab。敌手可以对模拟器进行H₂询问。模拟器将H₂询问的结果H₂(j)＝g_j＝g^c返回给敌手，敌手对模拟器进行H₁询问，模拟器将H₁询问的结果H₁(name||i||j,U)＝g^r返回给敌手，敌手对模拟器进行密钥更新询问，模拟器将询问的结果返回给敌手，最后，敌手对模拟器进行签名询问，模拟器将σ_i＝(w)^rs返回给敌手，假设某一时间周期j的密钥被泄露，敌手根据询问的结果和被泄露的密钥伪造一个某个时间周期的数据块及相应的标签(j*,m*,σ*)，伪造的数据及标签既不是是以上询问过的也不是当前时间周期j被泄露的，这个伪造的数据块及相应的标签是当前时间周期j密钥泄露之前(j*<j)或之后(j*>j)的。假设这个伪造的数据及相应的标签(j*,m*,σ*)能够使得等式成立，模拟器将询问的结果代入等式计算得到则表明模拟器成功解决CDH困难难题，这里利用反证法的思想表明签名是不可伪造的。

(2)审计证据不可伪造性

在标签不可伪造情况下，审计证据不可伪造的证明可以规约到DL困难问题，假设存储在云端数据是正确的，当验证者向云端发送一个挑战，云服务器收到挑战计算一个有效的审计证据proof＝{j,μ,σ,R,U}，这个审计证据能够通过验证者的等式验证，当云端某以数据被恶意修改，同样云服务器计算一个无效的审计证据proof＝{j,μ',σ,R,U}，假设这个审计能够通过验证者的等式验证。Δμ＝μ'-μ，{Δμ}中至少有一个元素是非零的，随机选择r₁，r₂。根据这两个的等式得到进一步计算得出则表明模拟器解决DL困难问题，所以利用反证法证明审计证据是不可伪造的。

3.效率分析

本发明中，定义T_p表示执行一次双线性配对的时间，T_e表示在群G₁中执行一次取幂的时间,忽略其他计算时间。T表示密钥更新的时间周期。c为挑战的数据块数目。

表1分别从密钥更新、标签生成、验证的计算复杂度进行比较。

表2从用户计算标签上传到云服务器和云服务器计算审计证据返回给第三方审计两个方面比较通信开销。

表1计算复杂度比较

	密钥更新	标签	验证
				Yu等方法	4Te	3Te	3Tp+(log(T+2)+c)Te
本发明	4Te	2Te	2Tp+3Te

表2通讯复杂度比较

	标签大小	证据大小
			Yu等方法	O((logT)k)	O((logT)k)
本发明	O(k)	O(k)

从表1和表2中可以看出Yu等人方案的验证计算开销和标签大小、证据大小的通信开销与时间周期有关，而本发明的方法中与时间周期无关，是一个无界的时间周期，并且标签的计算复杂度要比Yu等人的方案要低，更新计算开销相同。

本发明还完成了双向安全的抗密钥泄露的完整性检测方法。当前时间周期密钥的泄露敌手是不会得到上一个周期或下一个周期的密钥，减少了密钥泄露带来的危害，同时保护了数据的隐私。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种双向安全云存储数据完整性检测方法，用于云存储环境中减少数据拥有者密钥泄露带来的危害，其特征在于，包括以下步骤：

数据拥有者利用当前时间周期的密钥为每个数据块计算认证标签，将数据及相应数据认证标签上传到云服务器；以及

第三方审计定期检测存储在云服务器上数据的完整性，其中，

所述当前时间周期的密钥获取方法包括以下步骤：

(1)系统初始化生成参数，数据拥有者获得密钥与公开参数，定义总的时间周期为T，时间周期从0开始到周期T结束，数据拥有者的密钥分为两部分存储，第一部分存储在数据拥有者中，第二部分分布式存储在云服务器与第三方审计中；

(2)时间周期从0开始，每当到达下一个时间周期时，数据拥有者的密钥更新，第一部分的密钥由数据拥有者计算得到，第二部分密钥通过第三方审计与服务器秘密共享得到；以及

(3)数据拥有者检测更新后密钥的有效性；

(4)当数据拥有者需要上传数据时，利用当前时间周期的经过有效性检测的密钥为每个数据块计算认证标签，并将数据块与相应的认证标签上传到云服务器中。

2.根据权利要求1所述的双向安全云存储数据完整性检测方法，其特征在于，所述第三方审计定期检测存储在云服务器上数据的完整性包括以下步骤：

(5)第三方审计向云服务器发送一个挑战；

(6)云服务器收到挑战之后，将数据块和对应的标签进行线性聚合作为审计证据，将审计证据发送给第三方审计；以及

(7)第三方审计收到证据之后，利用公开信息验证证据的正确性，如果正确，则表明存储在云上数据是完整的，反之，数据被破坏。

3.根据权利要求1所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(1)包括以下子步骤：

(11)系统初始化，定义当前时间周期为0，输入安全参数k，生成两个生成元为g的群G₁，G₂和通过算法IG(1^k)得到一个配对e:G₁×G₁→G₂，选择三个安全的哈希函数H₁：{0，1}^*→G₁，H₂：Z_p→G₁，h:G₁→Z_p，随机选择x,和设置g₀＝H₂(0)，随机选择u∈G₁，w＝g^x；

(12)构造一个度为1的多项式将f₀(1)发送给第三方审计保存、f₀(2)发送给云服务器保存，当时，计算Y₀＝Y_0，1·Y_0，2；以及

(13)数据拥有者获得密钥为公开参数为PP＝(H₁,H₂,h,e,g,u,w)，随后立即删除x和

4.根据权利要求1所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(2)包括以下子步骤：

(21)当到达下一个时间周期时，更新数据拥有者密钥，定义当前时间周期密钥为计算下一个周期的密钥SK_j+1；

(22)使数据拥有者与第三方审计、云服务器共享一个秘密计算

(24)数据拥有者计算Y_j+1＝Y_j+1,1·Y_j+1,2，则下一个周期的密钥为公开参数不变，最后立即删除s。

5.根据权利要求1所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(3)包括以下子步骤：

(31)当数据拥有者获得更新之后的密钥时，检测时间周期为j的密钥是否有效，计算哈希值g_j＝H₂(j)；以及

6.根据权利要求1所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(4)包括以下子步骤：

(41)数据拥有者当前时间周期为j的密钥为

(42)数据拥有者根据多项式得到计算

(43)数据拥有者将数据分为多个数据块，利用当前周期的密钥为每个数据块计算认证标签以及

7.根据权利要求2所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(5)包括以下步骤：

(51)第三方审计随机从数据块集合[1,n]中挑选c个数据块的索引作为一个子集合I，并且产生一个随机数y_i∈Z_p，产生挑战信息chal＝{i,y_i}_i∈I；以及

(52)第三方审计将挑战信息发送给云服务器。

8.根据权利要求2所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(6)包括以下步骤：

(62)将挑战的数据块进行聚合为了保护数据的隐私将μ'盲化得到μ＝r+γμ'，将数据认证标签聚合以及

(63)云服务器将审计证据proof＝{j,μ,σ,R,U}发送给第三方审计。

9.根据权利要求2所述的双向安全云存储数据完整性检测方法，其特征在于，所述步骤(7)包括以下步骤：

(71)第三方审计通过审计证据和挑战信息通过以下等式验证存储在云上数据是否是完整，如果等式成立则数据是完整的，反之数据被破坏：

以及

(72)将审计结果返回给数据拥有者。