CN109951296A

CN109951296A - 一种基于短签名的远程数据完整性验证方法

Info

Publication number: CN109951296A
Application number: CN201910162831.1A
Authority: CN
Inventors: 朱洪亮; 袁颖; 陈玉玲; 韩挺; 辛阳
Original assignee: BEIJING SAFE-CODE TECHNOLOGY Co Ltd; Beijing University of Posts and Telecommunications; Guizhou University
Current assignee: BEIJING SAFE-CODE TECHNOLOGY Co Ltd; Beijing University of Posts and Telecommunications; Guizhou University
Priority date: 2019-03-05
Filing date: 2019-03-05
Publication date: 2019-06-28
Anticipated expiration: 2039-03-05
Also published as: CN109951296B

Abstract

本发明提供了一种基于短签名的远程数据完整性验证方法。包括：在预处理阶段，客户端生成公私密钥对和系统参数，对要上传到云存储服务器的文件进行分块处理；然后用短签名算法对每个文件块签名；将文件和签名集合上传到云存储服务器中，将签名集合发送给可信第三方。在挑战‑响应阶段，由第三方生成挑战信息并发送给云服务器，服务器生成数据持有证据返回给第三方。在验证阶段，第三方利用验证算法验证数据持有证据是否正确，若正确输出TRUE说明文件保存完整，否则输出FALSE说明存储的文件被损坏。针对现有技术签名效率和安全性低的问题，本发明使用短签名和可信第三方降低客户端计算开销，验证过程中采用防碰撞哈希函数和随机掩蔽技术保护数据隐私，分析表明本方法能够抵抗适应性选择消息攻击。

Description

一种基于短签名的远程数据完整性验证方法

技术领域

本发明属于数据的完整性验证技术领域，确切地说，涉及到信息安全中一种对云存储环境下数据的完整性验证方法。

背景技术

随着云计算、移动互联网技术的发展，终端用户产生的数据持续增长，越来越多的用户将数据存储在云服务提供商(Cloud Service Provider,以下简称CSP)提供的存储资源中。然而，由于CSP提供的存储资源相对集中，存储系统中的软硬件故障、系统恶意损坏等事件严重威胁了用户数据的安全存储，对于不经常访问的数据，用户不会随时去验证其可用性，在这种情况下,即使由于云存储系统的损坏导致数据丢失，用户也难以及时察觉，因此，需要用户进行数据完整性检测，以确保用户数据的完整性和可用性。而且，随着CSP中数据规模的增长，如何高效地进行数据持有性验证(Provable Data Possession，PDP)，减少存储服务器的计算开销和通信开销，成为云存储安全的一大挑战。

西安电子科技大学在其申请的专利文献“云存储中借助第三方完成的数据完整性验证方法”(申请号：CN20171017756，公开号：CN106790303A)中公开了一种数据完整性验证的方法。该方法的具体步骤是：在预处理阶段，用户进行数据分块加密，然后将加密后的文件块发送给第三方；第三方为每个加密的文件块生成相应的文件主标签和辅助标签，再将加密文件块、主标签和辅助标签一起上传到云服务器。挑战-响应阶段，由第三方生成挑战信息发送给云服务器，云服务器生成响应信息返回给第三方，由第三方验证云服务器存储的数据是否完整，如果验证通过则说明数据是完整的，不通过则表示数据被破坏。该方法中，存储到云服务器中的数据是从第三方中得到的，并且最后的验证也是由第三方进行的，所以如果第三方伪造或丢失部分数据验证仍然可以通过，因此该方案不能有效的验证云存储数据的完整性。

暨南大学在其申请的专利文献“一种云环境下高效安全的外包大数据审计方法”(申请号：CN201810892385，公开号：CN109145650A)中提出了一种高效安全的数据审计方法。该方法的具体步骤是：在预处理阶段，用户生成系统参数，文件标签，验证阶段授权给第三方TTPA，TTPA生成挑战消息并发送给云服务器CS，CS生成证明信息返回给TTPA，TTPA运行验证算法验证等式是否成立，输出1则文件保存完整，输出0则文件被损坏。但是该方案在设计上存在漏洞，在客户端发送给第三方的信息中包括每个数据块的索引位置，这对于用户的数据是一种潜在的威胁。

发明内容

有鉴于此，本发明的目的是提供一种基于短签名的远程数据完整性验证方法，使用该方法对数据的完整性验证时，用户可以借助第三方TPA较方便的对存于云服务器中的数据进行完整性验证。本发明利用了基于短签名技术和随机掩蔽技术可以高效、安全地实现数据的完整性验证，并且支持隐私保护和公共审计，在随机预言模型下，能够抵抗适应性选择消息攻击。

为了达到上述目的，本发明提供了一种基于短签名的远程数据完整性验证的方法，其特征在于，所述方法包括下述操作步骤：

(1)客户端输入安全参数K，执行算法KeyGen(k)→(pk,sk)初始化，生成存在双线性映射关系的群G₁G₂和公私钥对{pk，sk}；

(2)客户端利用抗碰撞的hash函数和私钥sk通过签名算法SigGen(sk,m)→σ对文件m进行签名,并将签名σ发送给第三方TPA，文件和签名上传给云存储服务器CSP；

(3)TPA随机选择部分签名块生成挑战消息chal，并发送给CSP，CSP接收挑战后执行证据生成算法GenProof(m,σ,chal)→Q生成持有性证据Q并发送给TPA；

(4)TPA运行验证算法VerifyProof(chal,Q)→{TRUE,FALSE}对证据Q进行验证，若验证结果为TRUE则说明文件保存完整，验证结果为FALSE，则说明文件损坏。

所述步骤(1)进一步包括下列操作内容：

(11)所述输入安全参数K，输出群G₁G₂,G₁是循环加法群，G₂是循环乘法群，G₁和G₂的阶均为q，并且存在双线性映射关系：e:G₁×G₁→G₂，Z_q表示模q的整数环；

(12)根据所述客户端随机选择数p为G₁的生成元，计算Y＝xp，得到公钥pk为Y，私钥sk为x，x由客户端秘密保存不外泄。

所述步骤(2)进一步包括下列操作内容：

(21)所述客户端首先将所述文件m分成固定长度为l的n个文件块,表示为：(m₁,m₂,...,m_n)，若最后的文件块长度不足l,则用0填充；

(22)所述客户端对每个文件块m_i(1≤i≤n)进行签名，根据公式得到文件m的签名集合为σ＝(σ₁,σ₂,...,σ_n)，m_i表示第i个文件块，σ表示文件m的签名集合，σ_i表示文件块m_i的签名，H(m_i)为文件块m_i的hash函数值，x为用户私钥，P为群G₁的生成元；

(23)所述客户端将文件m和签名集合σ发送给CSP云存储服务器，将文件签名σ发送给第三方审计机构TPA，客户端本地删除所述文件m。

所述步骤(22)中所用的Hash函数为抗碰撞的函数较现有技术中使用的特殊函数H(·):{0,1}→G₁(map-to-point)效率更高。

所述步骤(21)中文件块的固定长度待上传到云存储服务中文件m的数据总长度为L，要生成的文件块总数为n,l为每个文件块的长度。

所述步骤(3)进一步包括下列操作内容：

(31)客户端授权给TPA进行文件完整性验证，TPA从集合{1,2,…,n}中随机抽取c个元素构成集合I＝{s₁,s₂,…,s_c}，1≤s₁≤…≤s_c≤n，n为数据块总数。然后TPA生成伪随机数v_i，得到挑战消息chal＝{(i,v_i)}s₁≤i≤s_c并发送给CSP；

(32)CSP收到挑战消息chal后计算挑战数据块i的签名{σ_i}s₁＜i＜s_c，执行证据生成算法GenProof(m,σ,chal)→Q，得到持有性证据Q＝{R,μ,η}返回给TPA；

所述步骤(32)的数据持有性证据Q＝{R,μ,η}根据以下公式得到：

Y为公钥，v_i为对应挑战数据块i的随机数；

P为G₁的生成元，H(m_i)为文件块m_i的hash函数值；

σ_i为挑战数据块i的签名。

所述步骤(32)生成的挑战消息chal采用了随机掩蔽技术，TPA对于子集I中的每个元素i∈I，随机选择一整数k₀，生成伪随机数v_i＝φ(k₀,i)，用随机数混淆挑战数据块信息，有效抵抗CSP伪造数据通过验证。

所述步骤(4)TPA收到证据Q后，对数据块的签名{σ_i}s₁＜i＜s_c进行验证，TPA通过验证算法VerifyProof(chal,Q)→{TRUE,FALSE}来验证挑战的数据块是否被正确持有，验证等式为e(,)表示循环群中的双线性映射。

所述步骤(4)中若验证等式成立则TPA输出TRUE，说明第三方验证云存储服务器中的数据是完整的，若等式不成立，则TPA输出FALSE，说明第三方验证云存储服务器中的数据是不完整的。

本发明是一种基于短签名的远程数据完整性验证方法，它在技术上的创新主要是利用短签名，可信第三方及随机掩蔽技术弥补了以往的方案安全性和效率方面的不足，下面进行详细的说明。

首先，在客户端对文件块签名中本发明采用安全的hash函数对文件进行签名，普遍使用的MD5及sha1算法即可，相比于现有技术中使用特殊的map-to-point(MTP)hash函数H(·):{0,1}→G₁具有更高的签名效率。

其次，本发明引入第三方审计机构TPA来支持数据的公共审计，减少了用户在验证过程中的计算开销和通信开销；并且云服务器中的数据直接来源于用户，TPA只存储数据块的签名标签，避免了TPA伪造或丢失数据后影响验证结果。在验证中TPA生成随机数，利用随机掩蔽技术防止用户数据在公开审计过程中被泄露或伪造。

最后，在随机预言模型下，我们分析该方案可以抵抗适应性选择消息攻击，并且在随机预言模型中具有很高的安全性。

附图说明

图1是本发明基于短签名的远程数据完整性验证方法的流程图。

图2是本发明基于短签名的远程数据完整性验证方案的系统模型图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图和实施例的实验情况对本发明作进一步的详细描述。

请参考图1，所述的方法，包括以下5个算法组成：

1.当用户需要将大量数据存储到云存储服务器上时，需要先初始化系统参数，生成秘钥对，KeyGen(k)→(pk,sk)：客户端输入安全参数k，输出用户的公钥pk、私钥sk。公开pk，私钥sk由用户保存。该步骤可以在签名验证之前进行预处理，节省验证时间。

2.然后，用户执行签名生成算法SigGen(sk,m)→σ，利用上一步生成的私钥为输入的文件m签名，生成数据块的签名集合σ。并将文件m和签名集合σ发送给云存储服务器，将签名集合发送给第三方验证机构TPA。

3.当用户想检验存储在云服务器中的数据是否保存完整时，由TPA生成挑战消息chal并发送给云存储服务器。

4.云存储服务器收到挑战消息chal后执行GenProof(m,σ,chal)→Q：生成完整性证据Q并发送给TPA。

5.TPA通过使用验证算法VerifyProof(chal,Q)→{TRUE,FALSE}，对文件的完整性进行验证。输入挑战消息chal，完整性证据Q，输出验证结果TRUE或者FALSE，验证通过输出TRUE说明文件完整，验证不通过输出FALSE说明文件被损坏。

参见图2，介绍本发明的系统组成情况，系统共包含三个实体：用户、云存储服务器和第三方审计者(TPA)。用户是指有数据存储需求的用户，将数据存储在CSP提供的云存储服务器上。云存储服务器是云服务提供商CSP提供的计算资源、网络资源和存储资源，用来存储用户数据。第三方审计者TPA是指经过用户授权，代替用户向云存储服务器发起数据持有性验证，完成对数据的持有性验证或审计工作的第三方可信机构。

结合图1和图2，介绍该发明的具体实施步骤：

步骤1、客户端初始化参数，生成加密密钥对。

参见图1，具体介绍该步骤1包括的下列具体操作内容：

(11)输入安全参数K，输出群G₁G₂,G₁是循环加法群，G₂是循环乘法群，G₁和G₂的阶均为q，并且存在双线性映射关系：e:G₁×G₁→G₂，Z_q表示模q的整数环；

安全参数K，可以理解为预设的大素数，其可以为任意的数据。

G₁G₂是生成数列中符合双线性映射关系的任意两个集合。

(12)客户端随机选择数p为G₁的生成元，计算Y＝xp，得到公钥pk为Y，私钥sk为x，x由客户端秘密保存不外泄。

其中，x可以理解为集合中任意选择的一个大素数。

步骤2、生成文件签名并上传到云服务器。

这一步的具体做法为：

(21)客户端对文件总长度L计算将文件分成固定长度为l的n个文件块,表示为：(m₁,m₂,...,m_n)，若最后的文件块长度不足l,则用0填充；

(22)客户端对每个文件块m_i(1≤i≤n)进行签名，根据公式得到文件m的签名集合为σ＝(σ₁,σ₂,...,σ_n)，σ_i表示文件块m_i的签名，x为用户私钥。

哈希运算，其可以用例如MD5的方式实现哈希运算。具体实施过程中，采用MD5算法实现哈希运算时，可以生成128bit的二进制数，即128bit的01字符串。

具体的，可以表征为：

h(m_i)＝MD5(m_i)；

即，h(m_i)均可以为128位的01字符串。

(23)客户端将文件m和签名集合σ发送给CSP云存储服务器，将文件签名σ发送给第三方审计机构TPA，客户端本地删除所述文件m，减少本地存储开销。

即，CSP中存储(m,σ)。

步骤3、TPA和CSP完整挑战-响应交互。

参见图1，步骤3具体实现包括：

(31)TPA从集合{1,2,…,n}中随机抽取c个元素构成集合I＝{s₁,s₂,…,s_c}，1≤s₁≤…≤s_c≤n，n为数据块总数。然后TPA生成伪随机数v_i，得到挑战消息chal＝{(i,v_i)}s₁≤i≤s_c并发送给CSP；

具体的，伪随机数v_i＝φ(k₀,i)，k₀为任意选择的一大数，这里，k₀越大，随机性较好。用随机数混淆挑战数据块信息，有效抵抗CSP伪造数据通过验证。

具体的持有性证据Q的计算可以通过以下公式表征：

其中，Y为公钥，v_i为对应挑战数据块i的随机数；

P为G₁的生成元，H(m_i)为文件块m_i的hash函数值；

σ_i为挑战数据块i的签名标签。

步骤4、TPA验证数据的完整性。

根据所述，TPA拥有挑战消息和完整性证据Q，计算验证等式是否成立。

具体的计算，可表征为：

其中，v_i是由TPA随机分配的，根据本方案签名机制中H是抗碰撞的哈希函数，敌手无法通过签名来获取数据信息，因此，在验证过程中，第三方及伪造者无法获取用户隐私信息，有效保证了用户数据隐私。

若等式成立则验证通过，TPA输出True，说明第三方验证云存储服务器中的数据是完整的。.

若等式不成立则验证不通过，TPA输出False，说明第三方验证云存储服务器中的数据是不完整的。.

此外，所述方法的安全性可以通过挑战消息证明，具体如下：

如果存在一个敌手A在时间t内，在经过最多q_H次hash预言询问，q_S次签名询问后输出一个正确伪造签名的概率至少为∈(不可忽略)，记为该方案在适应性选择消息攻击下是(t,q_H,q_S,∈)-安全的。则存在算法F在任意时间t'内敌手只知公钥条件下成功伪造签名的概率为∈'记为(t',∈')，那么任意敌手通过伪造签名证据通过完整性验证的概率是可忽略的，其中t'＝t。

针对本发明提出的签名机制，首先在对数据块m_i签名前，进行hash查询H(m_i)。假设(t,q_H,q_S,∈)-敌手A使用适应性选择消息攻击方法破解了本文提出的签名方案，敌手A构造一个(t',∈')-算法F,能解决已知公钥条件下在时间t内的敌手A可以伪造签名通过验证的问题。

假设F进行如下挑战：给定P∈G₁，Q＝xP，对任意计算(h+x)^-1P。F伪造成签名者使用公钥pk＝Q，并回复hash预言查询和签名查询，F进行如下挑战：

S₁：F准备q_H回复作为hash预言查询，其中在回复集中是随机的；

S₂：A对m_i(1≤i≤q_H)进行hash预言查询，F将查询结果w_i发送给A，F同时将挑战chal发送给A。

S₃：A对w_i作签名预言查询，如果w_i＝h_j，F返回回复消息(h_j+x)^-1P给A，否则中止查询。此阶段F成功的概率为

S₄：A使用(h_j+x)^-1P和挑战chal，最终A终止查询并输出签名对m_i的并hash值为w_i，通过挑战计算证据{R,μ,η}。如果满足：

则签名对是合法的伪造，此时H(m_i)＝w_i，σ_i＝(w_l+x)^-1P，A输出{w_l,σ_i}作为F的预言挑战。此阶段F成功的概率为

本方案的预言签名查询是将hash函数作为一个随机预言，F运行的时间与A运行时间相同，即t'＝t。对所有签名预言查询，算法F完成步骤S₃和S₄后成功的概率

总之，本发明提供了一种基于短签名的远程数据完整性验证方法，分析表明该方法弥补了以往方案中安全性和效率方面的不足，是一种安全高效的验证方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种基于短签名的远程数据完整性验证方法，其特征在于，所述方法包括下述操作步骤：

(2)客户端利用抗碰撞的hash函数和私钥sk通过签名算法SigGen(sk,m)→σ对文件m进行签名,并将签名σ发送给可信的第三方审计机构(Third Party Auditors，以下简称TPA)，文件和签名上传给云服务提供商(Cloud Service Providers,以下简称CSP)的存储服务器中。

2.根据权利要求1所述的方法，其特征在于：

所述步骤(1)进一步包括下列操作内容：

(12)根据所述客户端随机选择数p为G₁的生成元，计算Y＝xp，得到公钥pk为Y，私钥sk为x，x由客户端安全保存不外泄。

3.根据权利要求1所述的方法，其特征在于：

所述步骤(2)进一步包括下列操作内容：

4.根据权利要求3所述的方法，其特征在于：所述步骤(22)所用的Hash函数为抗碰撞的函数H:较现有技术中使用的特殊函数H(·):{0,1}→G₁(map-to-point)效率更高。

5.根据权利要求1所述的方法，其特征在于：

所述步骤(3)进一步包括下列操作内容：

(31)客户端授权给TPA进行文件完整性验证，TPA从数据块总数n中随机抽取c个元素构成集合I＝{s₁,s₂,…,s_c}，然后TPA生成伪随机数v_i，得到挑战消息chal＝{(i,vi)}s₁≤i≤s_c并发送给CSP.

(32)CSP收到挑战消息chal后计算挑战数据块i的签名{σ_i}s₁＜i＜s_c，执行证据生成算法GenProof(m,σ,chal)→Q，得到持有性证据Q＝{R,μ,η}返回给TPA；所述Y为公钥，v_i为对应挑战数据块i的随机数；所述P为G₁的生成元，H(m_i)为文件块m_i的hash函数值，所述σ_i为挑战数据块i的签名。

6.根据权利要求5所述的方法，其特征在于：所述步骤(32)生成的挑战消息chal采用了随机掩蔽技术，TPA对于子集I中的每个元素i∈I，随机选择一整数k₀，生成伪随机数v_i＝φ(k₀,i)，用随机数混淆挑战数据块信息，有效抵抗CSP伪造数据通过验证。

7.根据权利要求1所述的方法，其特征在于：所述步骤(4)TPA收到证据Q后，对数据块的签名{σ_i}s₁＜i＜s_c进行验证，TPA通过验证算法VerifyProof(chal,Q)→{TRUE,FALSE}来验证挑战的数据块是否被正确持有，验证等式为e(,)表示循环群中的双线性映射。若等式成立则验证通过，TPA输出TRUE，说明第三方验证云存储服务器中的数据是完整的，若等式不成立，则验证不通过，TPA输出FALSE，说明第三方验证云存储服务器中的数据是不完整的。