CN108768975A

CN108768975A - 支持密钥更新和第三方隐私保护的数据完整性验证方法

Info

Publication number: CN108768975A
Application number: CN201810469833.0A
Authority: CN
Inventors: 万长胜; 袁梦
Original assignee: Southeast University
Current assignee: Southeast University
Priority date: 2018-05-16
Filing date: 2018-05-16
Publication date: 2018-11-06

Abstract

本发明公开了一种支持密钥更新和第三方隐私保护的数据完整性验证方法，包括：初始化及数据外包阶段，数据审计阶段，密钥更新阶段。本发明基于代理重签名技术来代替现有方案中传统的密钥更新方法，存储服务器利用重签密钥实现数据块签名的更新，有效降低了数据源的计算开销和通信开销，并能够保证TPA在进行完整性验证的过程中无法获取数据源的隐私数据内容；因而本发明方法符合数据完整性验证所要求的安全性目标。

Description

支持密钥更新和第三方隐私保护的数据完整性验证方法

技术领域

本发明属于云存储安全技术领域，涉及数据完整性验证方法，更为具体的说，是涉及云存储安全的一种支持密钥更新和数据完整性验证方法。

背景技术

如今，云存储已经被广泛的应用，为了保证各种数据源(如笔记本电脑，智能手机，网站等)外包数据文件到存储服务器的安全性，需要设计数据完整性验证方法来确保存储在远程服务器上的数据没有被攻击者篡改或者丢失。

目前，数据源生成和外包存储的数据量都成指数性增长，但由于数据源有限的计算能力，引入第三方审计TPA来作为验证方进行完整性验证已经是目前完整性严重协议的一个通用策略。但TPA的引入却带来了新的安全问题，数据源并不能完全的信任TPA，TPA可能会在完整性验证的过程中想方设法的刺探数据源的原始数据内容，泄露数据源的隐私信息。另一方面，数据源出于密钥时效等考虑因素，会周期性的更新自身密钥。但此时外包存储到存储服务器上的数据文件的签名就已失效，传统的做法是数据源下载所有数据文件并计算新的签名集合，然后重新上传到存储服务器。然而，不幸的是，由于数据源是一个资源受限的设备，采用传统的方法进行密钥更新需要耗费数据源巨大的计算开销和通信开销，并不具有实际的应用价值。

一个实用的远程数据完整性验证协议应当满足下面的要求：(1)正确性。协议保证验证者能够在有限时间内正确的验证存储服务器中存储数据的完整性。(2)不可伪造性。对于存储服务器而言，其无法通过伪造合法的数据块签名或者伪造验证证据来通过完整性验证请求。(3)支持第三方隐私保护。当向存储服务器外包数据文件时，数据源应当确保数据不会泄露给第三方审计TPA，因为TPA并没有权限来访问数据。(4)支持密钥更新。应当允许数据源进行密钥更新操作，且此时可以高效的更新存储服务器上的签名内容。

显然，设计一个能够支持密钥更新和第三方隐私保护的数据完整性验证协议是一项重要的任务，一是数据源的数据隐私安全问题至关重要，二是资源受限的数据源如果外包存储了大量的数据，无法通过传统的方式进行密钥更新。当前的方案可以满足需求(1)，(2)然而，需求(3)(4)还是被广泛地忽视了，这导致目前的数据完整性验证方案并不能很好的应用到实际之中。更重要的是，在关注这个研究课题时，我们发现没有加密原语可以直接应用于解决上述所有问题。

发明内容

为解决上述问题，本发明公开了一种支持密钥更新和第三方隐私保护的数据完整性验证方法。

为了达到上述目的，本发明提供如下技术方案：

支持密钥更新和第三方隐私保护的数据完整性验证方法，包括如下步骤：

初始化及数据外包阶段：系统初始化公开参数，数据源生成自身的私钥，公钥参数，TPA的密钥参数，并通过预先建立好的安全信道将TPA的密钥发送给TPA；数据源将需要外包的数据文件划分为多个数据块，并对每个数据块计算签名得到数据文件的签名集合，最后将数据文件以及签名集合外包到存储服务器上存储；

数据审计阶段：TPA对存储服务器发起数据完整性验证请求，存储服务器回复相应的验证证据，TPA通过验证证据的有效性来判断存储服务器是否正确的存储了数据文件；

密钥更新阶段：数据源生成新的密钥代替旧的密钥参数，并根据自身的新旧密钥计算重签密钥，随后将重签密钥发送给存储服务器，存储服务器利用重签密钥将原有的旧签名集合更新为与数据源新密钥相对应的新签名集合。

进一步的，在初始化及数据外包阶段，系统使用初始化算法{pub}←InitSys()生成公共密钥参数pub，其具体步骤如下：

(1)创建双线性映射对e:G×G→G_T，其中G是阶数为p循环乘法群，g∈G是生成器；

(2)随机选择u∈G，同时u不是循环乘法群G的单位元，确定哈希函数H(·):{0,1}^*→Z_p，H(·)是一个防碰撞单向哈希函数；

(3)系统得到公共密钥参数pub＝{G,G_T,e,p,g,u,H(·)}。

进一步的，在初始化及数据外包阶段，数据源使用算法{key_A,key_TPA}←GenKey(pub,1^k)生成数据源自身的密钥key_A和TPA的密钥key_TPA，其具体步骤如下：

数据源随机选择x,z∈Z_p，其中数据源自身的私钥为sk＝x，计算数据源公钥pk＝g^x∈G；数据源将密钥z经预先建立好的安全信道发送给第三方审计TPA；得到数据源密钥为k_A＝(sk,pk,z)，第三方审计TPA的密钥为kTPA＝(z,pk)。

进一步的，在初始化及数据外包阶段，所述数据源将需要外包的数据文件划分为多个数据块，并对每个数据块计算签名得到数据文件的签名集合，最后将数据文件以及签名集合外包到存储服务器上存储的具体步骤为：

(1)数据源将数据文件M进行分块M＝{m_i},1≤i≤n，其中n是划分的数据块数目；

(2)数据源使用签名算法(Φ)←GenSig(k_A,M)对每一个数据块m_i进行签名，有δ_i＝x(H(z||metai)+m_i)，其中meta_i＝(name||i)唯一地标识数据块m_i，name∈Z_p是数据文件的唯一标识符，i是数据文件中的块索引，Φ为所有数据块签名δ_i的集合；

(3)最后数据源将数据文件M及签名集合Φ发送给存储服务器。

进一步的，在数据审计阶段，TPA发送的验证请求由数据文件中的块索引i和随机考察值c_i∈Z_q组成的，为chal＝{{i,c_i}_i∈I}，其中q是一个远小于p的素数。

进一步的，在数据审计阶段，所述存储服务器使用证据生成算法(P)←GenProof(M,Φ,Q成证据P＝{μ,δ}，其中，并将证据P发送回TPA进行验证。

进一步的，在数据审计阶段，所述TPA接收到证据P后，对证据P运行验证算法TRUE,FALSE)←VerifyProof(k_TPA,P,Q)，如果有则表示输入可以通过验证，输出TRUE，否则表示输入未通过验证，输出FALSE。

进一步的，在密钥更新阶段，所述数据源生成新的密钥代替旧的密钥参数，并根据自身的新旧密钥计算重签密钥，随后将重签密钥发送给存储服务器的具体步骤为：

(1)数据源随机选择新的私钥ssk＝y∈Z_p，并计算新的公钥ppk＝g^y∈G，得到数据源新的密钥为k_B＝(ssk,ppk,z)，第三方审计TPA的密钥为k_TPA＝(z,ppk)；

(2)数据源使用算法(rk)←ReKey(k_A,k_B)计算重签密钥，得到rk＝ssk/sk＝y/x；

(3)数据源将重签密钥rk发送给存储服务器。

进一步的，在密钥更新阶段，所述存储服务器利用重签密钥将原有的旧签名集合更新为与数据源新密钥相对应的新签名集合的步骤具体包括：使用算法(Φ′)←ReSign(r_A→B,Φ)更新数据块签名，有δ,_i＝δ_i×rk，其中δ_i是未更新密钥前数据块m_i的合法签名，δ′_i是与数据源更新密钥后相对应的合法数据块签名，Φ′为所有新的合法数据块签名δ′_i的集合。

与现有技术相比，本发明具有如下优点和有益效果:

本发明基于代理重签名技术来代替现有方案中传统的密钥更新方法，存储服务器利用重签密钥实现数据块签名的更新，有效降低了数据源的计算开销和通信开销，并能够保证TPA在进行完整性验证的过程中无法获取数据源的隐私数据内容；因而本发明方法符合数据完整性验证所要求的安全性目标。

附图说明

图1为数据完整性验证协议系统模型。

图2为本发明流程图。

具体实施方式

以下将结合具体实施例对本发明提供的技术方案进行详细说明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。

本发明提供的支持密钥更新和第三方隐私保护的数据完整性验证方法基于数据完整性验证协议系统模型实现，如图1所示，模型包括三种实体：数据源，存储服务器和第三方审计TPA。

本发明方法包括三大部分内容：初始化及数据外包阶段，数据审计阶段，密钥更新阶段。

如图2所示，在初始化及数据外包阶段，首先初始化公开参数，由数据源生成密钥参数，并生成第三方审计(TPA)的密钥参数并发送给TPA，数据源对需要外包的数据文件分块并计算数据块签名，将数据文件以及签名集合一起外包到存储服务器，具体操作为：

步骤101：数据源使用初始化算法{pub}←InitSys()生成公开参数pub，首先创建双线性映射对e:G×G→G_T，其中G是阶数为p的加法群，g∈G是生成器；其次随机选择u∈G，同时u不是循环乘法群G的单位元，确定哈希函数H(·):{0,1}^*→Z_p，H(·)是一个防碰撞单向哈希函数；最后得到公开参数pub＝{G,G_T,e,p,g,u,H(·)}。

步骤102：数据源使用算法{key_A,key_TPA}←GenKey(oub,1^k)生成数据源自身的密钥key_A和TPA的密钥key_TPA，数据源随机选择x,z∈Z_p，数据源自身的私钥为sk＝x，计算数据源公钥pk＝g^x∈G。数据源将密钥z经预先建立好的安全信道发送给第三方审计TPA；因而，数据源密钥为k_A＝(sk,pk,z)，第三方审计TPA的密钥为k_TPA＝(z,pk)。

步骤103：数据源将需要外包的数据文件M进行分块M＝{m_i},1≤i≤n，其中n是划分的数据块数目；随后使用签名算法(Φ)←GenSig(k_A,M)对每一个数据块m_i进行签名，得到签名δ_i＝x(H(z||meta_i)+m_i)，其中meta_i＝(name||i)唯一地标识数据块m_i，name∈Z_p是数据文件的唯一标识符，i是数据文件中的块索引，Φ为所有数据块签名δ_i的集合；最后数据源将数据文件M及签名集合Φ发送给存储服务器。

经过初始化及数据外包阶段，数据源将原本需要本地存储的数据文件外包到存储服务器，随后数据源便可删除本地存储的数据文件。

如图2所示，在数据审计阶段，TPA发起完整性验证请求，存储服务器根据TPA的验证请求信息回复验证证据，TPA根据验证证据判断存储服务器是否正确地存储用户数据文件，具体操作为：

步骤201：TPA向存储服务器发送完整性验证请求chl＝{{i,c_i}_i∈I}，其中i为TPA从块索引集合{1,2…n}中随机选择的块索引值，假定TPA随机选择了c个块索引从而得到集合I，I＝{i₁,i₂…i_c}，对于集合I中的每个块索引i，TPA将随机生成c_i∈Z_q和i相对应，q是一个远小于p的素数。

步骤202：存储服务器接收到验证请求chal后，使用证据生成算法(P)←GenProof(M,Φ,chal)生成证据P＝{μ,δ}，其中并将证据P发送回TPA进行验证。

步骤202：TPA接收到证据P后，对证据P运行验证算法(TRUE,FALSE)←VerifyProof(k_TPA,P,chal)，如果有则表示输入可以通过验证，输出TRUE，否则表示输入未通过验证，输出FALSE。

通过数据审计阶段可以判断存储服务器是否正确完整的存储了数据源外包的数据文件。

如图2所示，在密钥更新阶段，数据源生成新密钥代替旧密钥，根据新旧密钥计算重签密钥并将重签密钥发送给存储服务器，存储服务器根据重签密钥更新存储的签名信息，具体操作为：

步骤301：数据源生成新的密钥参数，数据源随机选择新的私钥ssk＝y∈Z_p，并计算新的公钥ppk＝g^y∈G，此时数据源新的密钥为key_B＝(ssk,ppk,z)，第三方审计TPA的密钥为key_TPA＝(z,ppk)；

步骤302：数据源根据自身的新旧密钥，使用算法(rk)←ReKey(key_A,key_B)计算重签密钥，rk＝ssk/sk＝y/x，并将重签密钥发送给存储服务器；

步骤303：存储服务器收到重签密钥rk后，使用算法(Φ′)←ReSign(r_A→B,Φ)更新数据块签名，其中δ′_i＝δ_i×rk，其中δ_i是未更新密钥前数据块m_i的合法签名，δ′_i是与数据源更新密钥后相对应的合法数据块签名，Φ′为所有新的合法数据块签名δ′_i的集合。

由上可以得知，在数据审计阶段中，存储服务器回复的验证证据经参数μ进行隐藏，TPA无法从验证证据中得到数据隐私内容。因此，本发明能够满足对第三方审计隐私保护的安全目标。在密钥更新阶段，数据源生成重签密钥发送给存储服务器，存储服务器负责将旧的签名集合更新为新的合法的签名集合。因此，本方案的密钥更新流程能够有效降低了数据源的计算开销和通信开销。

本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims

1.支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在初始化及数据外包阶段，系统使用初始化算法{pub}←InitSys()生成公共密钥参数pub，其具体步骤如下：

(1)创建双线性映射对e：G×G→G_T，其中G是阶数为p循环乘法群，g∈G是生成器；

(2)随机选择u∈G，同时u不是循环乘法群G的单位元，确定哈希函数H(·)：{0，1}^*→Z_p，H(·)是一个防碰撞单向哈希函数；

(3)系统得到公共密钥参数pub＝{G，G_T，e，p，g，u，H(·)}。

3.根据权利要求2所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在初始化及数据外包阶段，数据源使用算法{key_A，key_TPA}←GenKey(pub，1^k)生成数据源自身的密钥key_A和TPA的密钥key_TPA，其具体步骤如下：

数据源随机选择x，z∈Z_p，其中数据源自身的私钥为sk＝x，计算数据源公钥pk＝g^x∈G；数据源将密钥z经预先建立好的安全信道发送给第三方审计TPA；得到数据源密钥为k_A＝(sk，pk，z)，第三方审计TPA的密钥为k_TPA＝(z，pk)。

4.根据权利要求3所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在初始化及数据外包阶段，所述数据源将需要外包的数据文件划分为多个数据块，并对每个数据块计算签名得到数据文件的签名集合，最后将数据文件以及签名集合外包到存储服务器上存储的具体步骤为：

(1)数据源将数据文件M进行分块M＝{m_i}，1≤i≤n，其中n是划分的数据块数目；

(2)数据源使用签名算法(Φ)←GenSig(k_A，M)对每一个数据块m_i进行签名，有δ_i＝x(H(z||meta_i)+m_i)，其中meta_i＝(name||i)唯一地标识数据块m_i，name∈Z_p是数据文件的唯一标识符，i是数据文件中的块索引，Φ为所有数据块签名δ_j的集合；

(3)最后数据源将数据文件M及签名集合Φ发送给存储服务器。

5.根据权利要求1所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在数据审计阶段，TPA发送的验证请求由数据文件中的块索引i和随机考察值c_i∈Z_q组成的，为chal＝{{i，c_i}_i∈I}，其中q是一个远小于p的素数。

6.根据权利要求5所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在数据审计阶段，所述存储服务器使用证据生成算法(P)←GenProof(M，Φ，Q)成证据P＝{μ，δ}，其中，并将证据P发送回TPA进行验证。

7.根据权利要求6所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在数据审计阶段，所述TPA接收到证据P后，对证据P运行验证算法(TRUE，FALSE)←V erifyProof(k_TPA，P，Q)，如果有则表示输入可以通过验证，输出TRUE，否则表示输入未通过验证，输出FALSE。

8.根据权利要求1所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在密钥更新阶段，所述数据源生成新的密钥代替旧的密钥参数，并根据自身的新旧密钥计算重签密钥，随后将重签密钥发送给存储服务器的具体步骤为：

(1)数据源随机选择新的私钥ssk＝y∈Z_p，并计算新的公钥ppk＝g^y∈G，得到数据源新的密钥为k_B＝(ssk，ppk，z)，第三方审计TPA的密钥为k_TPA＝(z，ppk)；

(2)数据源使用算法(rk)←ReKey(k_A，k_B)计算重签密钥，得到rk＝ssk/sk＝y/x；

(3)数据源将重签密钥rk发送给存储服务器。

9.根据权利要求8所述的支持密钥更新和第三方隐私保护的数据完整性验证方法，其特征在于，在密钥更新阶段，所述存储服务器利用重签密钥将原有的旧签名集合更新为与数据源新密钥相对应的新签名集合的步骤具体包括：使用算法(Φ＇)←ReSign(r_A→B，Φ)更新数据块签名，有δ′_i＝δ_i×rk，其中δ_i是未更新密钥前数据块m_i的合法签名，δ′_i是与数据源更新密钥后相对应的合法数据块签名，Φ＇为所有新的合法数据块签名δ′_i的集合。