CN110011998B - 一种基于身份的多备份远程数据持有验证方法 - Google Patents

Abstract

本发明涉及一种基于身份的多备份远程数据持有验证方法，数据拥有者为数据生成多个不同的数据备份，然后为所有的数据块生成验证标签。数据拥有者将备份数据及其标签上传到不同的云服务器中。验证者能够通过一次挑战检验所有数据备份的完整性。协调者根据数据备份的存储情况，将挑战信息转发到对应的云服务器。云服务器利用保存的数据块信息和对应的标签信息生成证据，并将证据返回给云协调者。协调者收集到所有返回的证据后，将其聚合成一条完整的最终证据，并返回给验证者。验证者利用公开信息检查证据的有效性。本发明首次实现了同时验证数据的多个备份分布式存储于云端的完整性。本发明方法也是安全高效的。

Description

一种基于身份的多备份远程数据持有验证方法

技术领域

本发明涉及云计算安全技术领域，特别是一种基于身份的多备份远程数据持有验证方法。

背景技术

云存储系统试图提供一种可承诺的数据储存和管理服务，以帮助用户减少投资。但是这种存储服务也存在一些安全问题比如数据破坏和数据丢失。云服务器本身并不完全可靠，一方面服务器自身的硬件和软件通常不可避免的会发生一些故障或异常，这很可能导致所存储的数据遭到破坏；另一方面，云服务器也可能主动删除部分用户数据，以节省空间从而获取更大的利益；甚至云服务器出于某些恶意的目的而主动篡改用户数据。无论哪种情况发生，用户的数据都会遭到破坏。然而，云服务器通常会掩盖这些数据破坏的事件，从而维护自身的声誉。更糟糕的是，由于数据都存储在云存储中，用户无法获知这些远程数据的存储状态。在这种情况下，用户不能获得所承诺的服务，自身利益也遭到破坏。因此，有必要提供一种方法让用户能够主动的、高效的检查存储在云存储中的数据是否保持完整。

PDP模型得到了广大学者和用户的认可，并进行了深入的研究。目前已有多个远程数据完整性验证协议被提出。但是大多数协议是基于传统公钥密码体制PKI设计的，存在复杂的数字证书管理问题。另外，解决多个用户数据备份，存储于不同的云服务器中的完整性验证问题也亟待解决。在某些场景下，为提高数据的安全性和可用性，数据拥有者会将重要的数据备份多个副本，并将不同的副本存储于多个云存储服务器中，以防止单云存储服务器出现故障而导致数据丢失。这种情况下，数据完整性验证方案不是仅验证某个数据备份，而需要验证所有数据备份的完整性。传统解决方法是，对每个数据备份逐一验证，从而得到最终验证结果。但这种方法效率极低，并不适用于真实环境。

发明内容

有鉴于此，本发明的目的是提出一种基于身份的多备份远程数据持有验证方法，能够实现安全、高效的云存储中数据完整性校验，避免复杂的数字证书管理问题提高效率，同时实现了通过一次挑战检验所有云服务器中的所有备份的完整性。

本发明采用以下方案实现：一种基于身份的多备份远程数据持有验证方法，具体包括以下步骤：

步骤S1：系统建立阶段生成系统公开参数和主私钥；

步骤S2：用户提交自己的身份信息ID到KGC，KGC计算sk_ID＝H₁(ID)^x作为用户的私钥，并通过安全信道返回给用户；

步骤S3：数据拥有者为数据生成多个不同的备份；

步骤S4：数据拥有者在将数据存储到云存储之前，利用自己的私钥，为数据生成数据标签，然后将数据块和标签上传到云存储中，并将它们从本地存储删除；

步骤S5：云服务协调者按照数据拥有者的要求将数据及标签上传到相应地云服务器中；

步骤S6：云服务器接收到数据拥有者上传的数据后，通过计算公式

验证标签的正确性；若标签与数据不匹配，则拒绝接收；

步骤S7：验证者通过挑战云服务器来检查上传的数据是否被完好如初的保存；

步骤S8：每个云服务器在接受到验证者的挑战信息后，为挑战的数据块生成相应的完整性证据，并将证据返回给协调者；

步骤S9：云服务协调者聚合所有云服务器返回的证据，进行再次计算后将最终的证据返回给验证者；

步骤S10：验证者在接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初。

进一步地，步骤S1具体包括以下步骤：

步骤S11：设定系统安全参数k,选择随机大素数q满足|q|＝k；

步骤S12：选择

和

两个阶为q的乘法循环群，g是群

的生成元，e:

是双线性映射；选择两个不同的安全Hash函数H₁:

和H₂:

以及一个伪随机置换π:

一个伪随机函数φ:

步骤S13：KGC随机选择

作为主私钥，并计算主公钥为P₀＝g^x；因此公开参数

进一步地，步骤S3具体包括以下步骤：

步骤S31：选择引入一个带有模糊化特性的加密算法E_K(·)；(如DES等，其中K表示该算法的密钥)。算法E_K(·)的模糊化特性是指，即使明文中只有一个比特位不同，也会产生完成不同的密文。

步骤S32：对于待存储的数据F，将其分割成n个数据块表示为F＝(m₁,m₂,…,m_n)，使用E_K(·)处理每个数据块，生成不同备份的数据块：m_ij＝E_K(i||m_j)，因此第i个数据备份表示为F_i＝{m_ij}_{(1≤i≤N,1≤j≤n)}；

步骤S33：将每个备份的数据块m_ij分割成s个数据分片，保证每个分片均为Z_q中元素；整个数据备份表示为：F_i＝{m_ijk}_{1≤j≤n,1≤k≤s}。

进一步地，步骤S4具体包括以下步骤：

步骤S41：数据拥有者选择s个随机数

并计算

步骤S42：数据拥有者为每一个数据块生成验证标签；

步骤S43：数据拥有者将所有数据备份、所有的数据块标签、每个备份存储的云服务器信息以及元组(R,{u_i}_1≤i≤s,T_FID)发送到云服务协调者，同时将其从本地删除。

进一步地，步骤S42具体包括以下步骤：

步骤S421：选择一个随机数

步骤S422：对于任意的数据块m_ij，计算其数据标签

其中符号Cid_i表示第i个数据备份所存放的目标云服务器的唯一标识；

数据拥有者重复N×n次步骤S422，得到所有备份的标签集，并记录每个数据备份所存放的CSP信息；

步骤S423：数据拥有者计算：R＝g^λ，再选择一个安全的签名方案Sig，计算得到整个数据文件的签名T_FID＝Sig(R||u₁||…||u_s||Fid)。

进一步地，步骤S7具体包括以下步骤：

步骤S71：验证者选择两个随机种子

同时选择要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)和数据标识Fid发送给云服务协调者；

步骤S72：云服务协调者根据保存的备份存储记录，将挑战信息转发给相应的云服务器。

进一步地，步骤S8具体包括以下步骤：

步骤S81：假设存储在标识为Cid_i的云服务器上的备份集为FS_i，对应的备份索引号集合为CT_i；Cid_i首先利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i)，a_i＝φ(k₂,i)；

步骤S82：对于任意的

Cid_i分别从数据集合FS_i和标签集合TS_i中选择正确的数据块和标签，计算出：

接着计算出：

步骤S83：最后Cid_i将自身的完整性证据P_i＝(σ_i,{M_i,k}_(1≤k≤s))发送给云服务协调者。

进一步地，步骤S9具体为：云服务协调者聚合所有云服务器返回的证据，假设共收到了ξ个云服务器提交的证据，协调者计算：

协调者将最终的证据P＝(σ,{M_k}_1≤k≤s,R,{u_k}_1≤k≤s,T_FID)返回给验证者。

进一步地，步骤S10具体包括以下步骤：

步骤S101：通过公开的签名方案验证外包数据的签名T_FID是否为R||u₁||…||u_s||Fid的合法签名；如果T_FID不能通过验证，验证者直接拒绝证据P并返回数据不完整结果,否则进入步骤S102；

步骤S102：验证者利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)；

步骤S103：验证者验证下式是否成立；如果成立表示数据完整，否则表示数据不正确；

与现有技术相比，本发明有以下有益效果：本发明的方法是基于身份密码体制设计的，避免了传统公钥密码体制中的数据证书管理，具有较好的性能。同时本发明协议支持一次挑战验证所有备份的完整性的功能。本发明协议也是安全高效的。即本发明能够实现在一次“挑战-响应”过程中同时完成对多个数据备份的完整性验证。本发明不但避免了PKI中的证书管理问题，而且实现了同时验证所有云服务器中的所有备份的完整性。

附图说明

图1为本发明实施例的原理示意图。

图2为本发明实施例的数据备份存储示意图。

图3为本发明实施例的挑战-相应交互示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1至图3所示，本实施例提供了一种基于身份的远程数据持有验证方法，具体包括以下步骤：

步骤S1：系统建立阶段生成系统公开参数和主私钥；

步骤S2：用户提交自己的身份信息ID到KGC，KGC计算sk_ID＝H₁(ID)^x作为用户的私钥，并通过安全信道返回给用户；

步骤S3：数据拥有者为数据生成多个不同的备份；

步骤S4：数据拥有者在将数据存储到云存储之前，利用自己的私钥，为数据生成数据标签，然后将数据块和标签上传到云存储中，并将它们从本地存储删除；

步骤S5：云服务协调者按照数据拥有者的要求将数据及标签上传到相应地云服务器中；

步骤S6：云服务器接收到数据拥有者上传的数据后，通过计算公式

验证标签的正确性；若标签与数据不匹配，则拒绝接收；

步骤S7：验证者通过挑战云服务器来检查上传的数据是否被完好如初的保存；

步骤S8：每个云服务器在接受到验证者的挑战信息后，为挑战的数据块生成相应的完整性证据，并将证据返回给协调者；

步骤S9：云服务协调者聚合所有云服务器返回的证据，进行再次计算后将最终的证据返回给验证者；

步骤S10：验证者在接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初。

在本实施例中，步骤S1具体包括以下步骤：

步骤S11：设定系统安全参数k,选择随机大素数q满足|q|＝k；

步骤S12：选择

和

两个阶为q的乘法循环群，g是群

的生成元，e:

是双线性映射；选择两个不同的安全Hash函数H₁:

和H₂:

以及一个伪随机置换π:

一个伪随机函数φ:

步骤S13：KGC随机选择

作为主私钥，并计算主公钥为P₀＝g^x；因此公开参数

在本实施例中，步骤S3具体包括以下步骤：

步骤S31：选择引入一个带有模糊化特性的加密算法E_K(·)；(如DES等，其中K表示该算法的密钥)。算法E_K(·)的模糊化特性是指，即使明文中只有一个比特位不同，也会产生完成不同的密文。

步骤S32：对于待存储的数据F，将其分割成n个数据块表示为F＝(m₁,m₂,…,m_n)，使用E_K(·)处理每个数据块，生成不同备份的数据块：m_ij＝E_K(i||m_j)，因此第i个数据备份表示为F_i＝{m_ij}_{(1≤i≤N,1≤j≤n)}；

步骤S33：将每个备份的数据块m_ij分割成s个数据分片，保证每个分片均为Z_q中元素；整个数据备份表示为：F_i＝{m_ijk}_{1≤j≤n,1≤k≤s}。

在本实施例中，步骤S4具体包括以下步骤：

步骤S41：数据拥有者选择s个随机数

并计算

步骤S42：数据拥有者为每一个数据块生成验证标签；

步骤S43：数据拥有者将所有数据备份、所有的数据块标签、每个备份存储的云服务器信息以及元组(R,{u_i}_1≤i≤s,T_FID)发送到云服务协调者，同时将其从本地删除。

在本实施例中，步骤S42具体包括以下步骤：

步骤S421：选择一个随机数

步骤S422：对于任意的数据块m_ij，计算其数据标签

其中符号Cid_i表示第i个数据备份所存放的目标云服务器的唯一标识；

数据拥有者重复N×n次步骤S422，得到所有备份的标签集，并记录每个数据备份所存放的CSP信息；

步骤S423：数据拥有者计算：R＝g^λ，再选择一个安全的签名方案Sig，计算得到整个数据文件的签名T_FID＝Sig(R||u₁||…||u_s||Fid)。

在本实施例中，步骤S7具体包括以下步骤：

步骤S71：验证者选择两个随机种子

同时选择要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)和数据标识Fid发送给云服务协调者；

步骤S72：云服务协调者根据保存的备份存储记录，将挑战信息转发给相应的云服务器。

在本实施例中，步骤S8具体包括以下步骤：

步骤S81：假设存储在标识为Cid_i的云服务器上的备份集为FS_i，对应的备份索引号集合为CT_i；Cid_i首先利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i)，a_i＝φ(k₂,i)；

步骤S82：对于任意的

Cid_i分别从数据集合FS_i和标签集合TS_i中选择正确的数据块和标签，计算出：

接着计算出：

步骤S83：最后Cid_i将自身的完整性证据P_i＝(σ_i,{M_i,k}_(1≤k≤s))发送给云服务协调者。

在本实施例中，步骤S9具体为：云服务协调者聚合所有云服务器返回的证据，假设共收到了ξ个云服务器提交的证据，协调者计算：

协调者将最终的证据P＝(σ,{M_k}_1≤k≤s,R,{u_k}_1≤k≤s,T_FID)返回给验证者。

在本实施例中，步骤S10具体包括以下步骤：

步骤S101：通过公开的签名方案验证外包数据的签名T_FID是否为R||u₁||…||u_s||Fid的合法签名；如果T_FID不能通过验证，验证者直接拒绝证据P并返回数据不完整结果,否则进入步骤S102；

步骤S102：验证者利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)；

步骤S103：验证者验证下式是否成立；如果成立表示数据完整，否则表示数据不正确；

本实施例的主要特色优势是利用基于身份的公钥密码体制避免了PKI中的数字证书管理问题，同时实现了一次性验证所有云服务器中的所有数据备份的完整性功能。且协议具有较好的性能和较高的安全性。

本实施例的公开了一种基于身份的，支持数据多备份分布式存储于云端的数据完整性验证方法。数据拥有者为数据生成多个不同的数据备份，然后将所有备份分割成数据块并为所有的数据块生成验证标签。数据拥有者选择多个云服务器，并按照自己的意愿将备份数据及其标签上传到不同的云服务器中。验证者能够通过一次挑战检验所有数据备份的完整性。验证者首先向中间服务商--云服务器协调者发起完整性挑战。云服务器协调者根据数据备份的存储情况，将挑战信息转发到对应的云服务器。云服务器利用保存的数据块信息和对应的标签信息生成证据，并将证据返回给云服务器协调者。协调者收集到所有返回的证据后，将其聚合成一条完整的最终证据，并返回给验证者。验证者利用公开信息检查证据的有效性，若检查不通过则说明存在至少一个数据备份不完整。本发明的协议是基于身份密码体制设计的，避免了传统公钥密码体制中的数据证书管理，具有较好的性能。同时本发明方法首次实现了同时验证数据的多个备份分布式存储于云端的完整性。本发明方法也是安全高效的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (8)

1.一种基于身份的多备份远程数据持有验证方法，其特征在于：包括以下步骤：

步骤S1：系统建立阶段生成系统公开参数和主私钥；

步骤S2：用户提交自己的身份信息ID到KGC，KGC计算sk_ID＝H₁(ID)^x作为用户的私钥，并通过安全信道返回给用户；其中，x为KGC随机选择的主私钥；

步骤S3：数据拥有者为数据生成多个不同的备份；

步骤S4：数据拥有者在将数据存储到云存储之前，利用自己的私钥，为数据生成数据标签，然后将数据块和标签上传到云存储中，并将它们从本地存储删除；

步骤S5：云服务协调者按照数据拥有者的要求将数据及标签上传到相应地云服务器中；

步骤S6：云服务器接收到数据拥有者上传的数据后，验证标签的正确性；若标签与数据不匹配，则拒绝接收；

步骤S7：验证者通过挑战云服务器来检查上传的数据是否被完好如初的保存；

步骤S8：每个云服务器在接受到验证者的挑战信息后，为挑战的数据块生成相应的完整性证据，并将证据返回给协调者；

步骤S9：云服务协调者聚合所有云服务器返回的证据，进行再次计算后将最终的证据返回给验证者；

步骤S10：验证者在接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初；

其中，步骤S8具体包括以下步骤：

步骤S81：假设存储在标识为Cid_i的云服务器上的备份集为FS_i，对应的备份索引号集合为CT_i；Cid_i首先利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i)，a_i＝φ(k₂,i)；

步骤S82：对于任意的

Cid_i分别从数据集合FS_i和标签集合TS_i中选择正确的数据块和标签，计算出：

接着计算出：

步骤S83：最后Cid_i将自身的完整性证据P_i＝(σ_i,{M_i,k}_(1≤k≤s))发送给云服务协调者；其中，k₁,k₂为验证者选择的两个随机种子，c为选择要挑战的数据块数量，π与φ均为伪随机函数，α_t为数据拥有者选择的第t个随机数，T表示数据块对应的数据标签，k表示第k个数据分片，s表示数据分片的总数，m表示数据块。

2.根据权利要求1所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S1具体包括以下步骤：

步骤S11：设定系统安全参数f,选择随机大素数q满足|q|＝f；

步骤S12：选择

和

两个阶为q的乘法循环群，g是群

的生成元，

是双线性映射；选择两个不同的安全Hash函数

和

以及一个伪随机置换

一个伪随机函数

步骤S13：KGC随机选择

作为主私钥，并计算主公钥为P₀＝g^x；因此公开参数

3.根据权利要求2所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S3具体包括以下步骤：

步骤S31：选择引入一个带有模糊化特性的加密算法E_K(·)；

步骤S32：对于待存储的数据F，将其分割成n个数据块表示为F＝(m₁,m₂,…,m_n)，使用E_K(·)处理每个数据块，生成不同备份的数据块：m_ij＝E_K(i||m_j)，因此第i个数据备份表示为F_i＝{m_ij}_{(1≤i≤N,1≤j≤n)}；其中，N为数据备份的总数；

步骤S33：将每个备份的数据块m_ij分割成s个数据分片，保证每个分片均为

中元素；整个数据备份表示为：F_i＝{m_ijk}_{1≤j≤n,1≤k≤s}。

4.根据权利要求3所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S4具体包括以下步骤：

步骤S41：数据拥有者选择s个随机数

并计算

步骤S42：数据拥有者为每一个数据块生成验证标签；

步骤S43：数据拥有者将所有数据备份、所有的数据块标签、每个备份存储的云服务器信息以及元组(R,{u_i}_1≤i≤s,T_FID)发送到云服务协调者，同时将其从本地删除；其中，R＝g^λ，

为随机数，T_FID为整个数据文件的签名。

5.根据权利要求4所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S42具体包括以下步骤：

步骤S421：选择一个随机数

步骤S422：对于任意的数据块m_ij，计算其数据标签

其中符号Cid_i表示第i个数据备份所存放的目标云服务器的唯一标识；Fid表示数据标识；

数据拥有者重复N×n次步骤S422，得到所有备份的标签集，并记录每个数据备份所存放的CSP信息；

步骤S423：数据拥有者计算：R＝g^λ，再选择一个安全的签名方案Sig，计算得到整个数据文件的签名T_FID＝Sig(R||u₁||…||u_s||Fid)。

6.根据权利要求5所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S7具体包括以下步骤：

步骤S71：验证者选择两个随机种子

同时选择要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)和数据标识Fid发送给云服务协调者；

步骤S72：云服务协调者根据保存的备份存储记录，将挑战信息转发给相应的云服务器。

7.根据权利要求6所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S9具体为：云服务协调者聚合所有云服务器返回的证据，假设共收到了ξ个云服务器提交的证据，协调者计算：

协调者将最终的证据P＝(σ,{M_k}_1≤k≤s,R,{u_k}_1≤k≤s,T_FID)返回给验证者。

8.根据权利要求7所述的一种基于身份的多备份远程数据持有验证方法，其特征在于：步骤S10具体包括以下步骤：

步骤S101：通过公开的签名方案验证外包数据的签名T_FID是否为R||u₁||…||u_s||Fid的合法签名；如果T_FID不能通过验证，验证者直接拒绝证据P并返回数据不完整结果,否则进入步骤S102；

步骤S102：验证者利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)；

步骤S103：验证者验证下式是否成立；如果成立表示数据完整，否则表示数据不正确；

Images