CN110445756A - 云存储中可搜索加密审计日志的实现方法 - Google Patents

Abstract

本发明公开了一种云存储中可搜索加密审计日志的实现方法，在这种可搜索加密审计日志的方法中，由数据拥有者作为唯一的可信实体，可以加密并生成日志票据并授权给用户，用户将日志票据及自己所需的服务请求提交给服务器，由服务器进行日志票据检查，并在检查通过后允许用户访问数据并存储日志票据，数据拥有者可以对服务器存储的日志票据进行审计。本发明提供的基于云存储的可搜索加密审计日志的方法能够保护用户的隐私，同时能够防止审计日志记录被伪造或篡改。

Description

云存储中可搜索加密审计日志的实现方法

技术领域

本发明涉及一种云存储中可搜索加密审计日志的实现方法。

背景技术

随着大数据时代的来临，云存储技术成为众多企业及个人存储数据的新选 择。然而，由于云存储服务的远程特性，用户通常很难控制云服务提供商乃至 一些未经授权的非法用户对存储数据的访问，尤其是当存储的数据是如企业财 务情况、个人邮件、个人健康医疗信息、政府文件等敏感数据的情况下，更可 能导致隐私数据的泄露，进而造成经济方面的损失。另一方面，由于云存储系 统通常需要支持多用户数据分享的需求，以往我们通常认为所有用户是可信的， 然而现实情况下，用户的行为往往无法得到有效监控。例如：用户将自己的权 限非法授权给他人使用，用户合法身份被黑客冒用，或者用户在合法授权下获 取数据，后将所得数据非法散播给他人等。

针对上述情况，应用审计日志机制可以有效地对用户在云存储系统中得到 服务的行为进行监控，从而使得用户行为可追溯。在现实的企业、政府等云存 储服务应用场景下，审计日志可以用于云取证和云审计，将对用户非法行为的 举证提供重要证据。

而为了减轻用户的本地存储负担，审计日志通常也保存在云服务器上，但 因其内容本身是敏感数据，因此我们采用对审计日志进行加密，再将密文数据 递交云服务商进行存储，来保证数据的隐私性。然而这样的方式却降低了数据 可用性：当用户希望通过云服务器查找包含某个关键词的审计日志时，云服务 器因存储的均是密文数据而无法为用户完成搜索，用户则需要将所有的加密密 文从云端服务器下载到本地，并在本地解密后自行对解密后的明文进行搜索。 显然，这一系列操作浪费了用户的带宽资源和大量用于重复加解密的时间，其 通信开销和计算开销都是用户无法接受的，也无法让用户切实体会到云存储服 务所带来的优势。

可搜索加密审计日志技术很好地解决了上述对加密审计日志进行搜索的 需求。它要求用户通过特定的方式生成需要上传的审计日志并进行加密，上传 至云服务器。在进行搜索时，用户将根据可搜索加密审计日志技术对搜索的关 键词进行加密形成的“陷门”上传给云服务器，云服务器通过可搜索加密审计 日志技术的搜索算法，利用陷门进行匹配搜索，最后返回搜索结果。用户只需 根据搜索结果下载对应的文件后在本地进行解密即可，无需下载多余的数据， 从而为用户节省了通信开销和计算开销。

2004年Waters设计了基于IBE的可搜索加密审计日志方案。然而，用户 行为的审计日志记录由云服务器完成，这使得云服务器能够读取用户隐私，伪 造审计日志内容，使审计日志内容的可信度大大降低，甚至完全失去其审计的 作用。因此本质上违背了可搜索加密审计日志的设计原则。其方案包含三个系 统实体，分别为一个可信的审计第三方代理商、多个审计日志服务器和多个调 查员。

方案主要由以下几个算法组成：

1、初始化：选择两个大素数p、q；两个q阶群G₁、G₂和一个生成元P₀∈G₁。 选取双线性对映射e:G₁×G₁→G₂和两个密码散列函数H₁:{0，1}^*→G₁、 H₂:G₂→{0，1}ⁿ。主密钥是一个随机数s∈Z_q且仅由可信的审计第三方代理商知晓。 系统公共参数为params＝(p,q,G₁,G₂,e,P₀,P₁)，其中P₁＝sP₀。

2、审计日志的加密：设置一个固定长度为l的位串flag作为标志。当日志 服务器需要加密一条包含关键字w₁,w₂,...,w_n的日志记录m时，它通过以下步骤 完成得到密文：

(1)服务器选取一个随机的128位AES对称加密密钥K，用于对日志记 录m进行对称加密，得到日志记录密文E_K(m)。

(2)对每一个关键字w_i，分别计算Q_w＝H₁(w_i)∈G₁，g_w＝e(Q_w,P₁)。令 L＝flag|K，选取随机数r∈Z_q，得到

(3)服务器将E_K(m),c₁,c₂,...,c_n作为一条可搜索加密审计日志记录进行保存。

3、搜索与解密：当一位调查员需要搜索包含关键字w的审计日志时，他 向审计第三方代理商请求对应的陷门d_w＝sH₁(w)∈G₁。得到陷门后，他在服务器 上对每条可搜索加密审计日志记录的c₁,c₂,...,c_n进行匹配。令c_i＝<U,V>，计算

(1)如果调查员发现L'的前l位与位串flag一致，则认为该条审计日志是 搜索结果，则将L'的余下位串作为解密密钥K'对日志密文E_K(m)进行解密，得 到日志原文m'。

(2)若n个关键字均未匹配到，则对下一条可搜索加密审计日志记录进行 匹配。

该方案的缺陷在于：

1、它侵犯了用户的隐私：当日志服务器对日志明文进行加密时，首先它 可以了解每位用户在云存储系统中的具体行为。

2、一旦日志服务器与用户合谋，便可以完成对审计日志记录内容的伪造、 篡改甚至让用户的访问行为绕过日志记录而不会被发现。

因此Waters等人的方案并不能满足可搜索加密审计日志的设计需求，为云 存储系统提供可靠的可搜索加密审计日志。

发明内容

为了克服现有技术的上述缺点，本发明提出了一种能够保护用户隐私、且 防止审计日志记录被伪造的云存储中可搜索加密审计日志的实现方法。

本发明解决其技术问题所采用的技术方案是：一种云存储中可搜索加密审 计日志的实现方法，包括以下内容：

一、数据拥有者将自己的数据存储在云服务器上供数据用户访问和操作；

二、当数据用户需要访问云服务器上的数据时：

(1)数据用户首先向数据拥有者提出请求；

(2)数据拥有者将数据用户所请求的行为进行日志记录，并生成日志票 据发送给数据用户；

(3)数据用户将日志票据和自己需要的数据服务发送给云服务器；

(4)云服务器检查日志票据，通过后向数据用户提供相应的数据服务并 存储日志票据，否则拒绝用户的请求；

三、当数据拥有者需要查询包含一个或多个关键词的日志记录时：

(1)数据拥有者对关键词加密生成陷门，并将陷门发送给云服务器；

(2)云服务器收到陷门集后，查找所存储的日志票据，并将匹配到的相 应的日志票据返回给数据拥有者；

(3)数据拥有者对返回的日志票据进行验证，并将通过验证的搜索结果 作为正确的搜索结果，留作后续审计之用。

与现有技术相比，本发明的积极效果是：

1、保护用户隐私，日志票据在验证和存储过程中都以密文形式出现，所 以除了生成、加密日志的数据拥有者以外，任意用户及服务器均无法得知日志 票据的明文内容，从而用户隐私得以保护，即服务器或云存储系统中的其他用 户无法读取到日志票据的明文内容；

2、日志票据能够真实记录每一个用户在云存储系统中的行为，且任意用 户的行为无法绕过日志票据的记录；

3、只有当服务器验证用户的行为与日志票据中一致时才会允许用户对云 存储系统中的数据进行访问，这意味着每一位用户的行为都被诚实地记录在日 志票据中，并由服务器验证了其与用户请求的一致性，保证了日志票据内容准 确。

4、日志票据记录不可伪造，除了数据拥有者之外，任何其他用户，包括 服务器，以及他们的合谋均不能伪造出能够被验证后认定为合法的审计记录。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为本发明的流程示意图。

具体实施方式

本发明提供一种云存储中可搜索加密审计日志的实现方法，应用“双线性 对密码开源库pbc库”中的A类参数，双线性配对的构造曲线为域F_q下的 y²＝x³+x，其中q＝3mod4。群G₁阶数为E(F_q)，G_T是的一个子群。令q+1＝r×h， q,h,r的值分别给出如下：

q

＝8780710799663312522437781984754049815806883199414208211028653399266475630880222957078625179422662221423155858769582317459277713367317481324925129998224791；

h

＝12016012264891146079388821366740534204802954401251311822919615131047207289359704531102844802183906537786776；

r＝730750818665451621361119245571504901405976559617；

双线性配对映射e:G₁×G₁→G_T直接在pbc库中进行初始化即可。选取随机 数则利用随机数函数void pbc_mpz_random()实现。单向哈希函数H₁由pbc库的 void element_from_hash()实现，而H₂则采用先由void element_to_mpz()将群上 元素转化为GMP整数后再转换成二进制，截取前log q比特即可实现。以上的 函数均可在pbc库中直接调用。

本发明详细的算法说明如下：

1、初始化

双线性配对映射e:G₁×G₁→G_T。选取两个随机数作为主密钥。g为G₁的一个生成元，且g₁＝g^α。两个单向哈希函数H₁:{0,1}^*→G₁，H₂:G_T→{0,1}^{log q}。 主密钥(α,β)仅由数据拥有者保密持有，系统参数params＝(g,g₁,G₁,G_T,e,H₁,H₂)对 系统所有实体公开。

2、生成日志票据

数据拥有者在收到用户的数据请求后，进行如下操作：

(1)选择一个128位随机数令字符串R_U＝ID_U||P_U||T_U||B_U，其中ID_U、 P_U、T_U、B_U分别对应表示用户U的身份ID，IP地址，票据过期时间以及记录 用户请求数据服务的标签，具体位数可以根据系统实际需求进行自定义，系统 内部统一即可。计算T＝g^sH₁(R_U)^α。

(2)生成一条长为log q位的日志记录l(由字符转为二进制表示)和其中的 n个关键字组成的集合W＝<w₁,w₂,...,w_n>。选择一个128位随机数令则有加密关键词的集合要注意，这 里所选取的关键词不仅需要包含用户请求的具体操作信息，还应该包含能够反 映出用户身份、请求时间、IP地址等的标志性信息。

(3)对l进行加密，计算

(4)计算M＝T·(H₁(L))^s将T和L进行绑定。

最后，生成的日志票据LogTicket＝<g^r,g^s,T,e_W,L,M＞，由数据拥有者发送给 用户作为授权，在服务器验证时使用。

3、票据检查

用户收到日志票据后，将票据交给所访问的服务器，并告知服务器主机需 要获取的服务内容。服务器在日志票据已加密的基础上对其进行检查，以判断 两者是否一致。当且仅当检查结果通过时，服务器才会对用户的服务请求进行 响应。例如，如果服务器发现票据已经过了有效期，或IP地址不符合用户目 前使用的IP地址，或用户请求的权限超出了日志票据中记录的权限，服务器 都将拒绝用户的访问。具体操作如下：

(1)服务器令C_U＝ID′_U||P′_U||T′_U||B′_U，即记录数据用户U的ID、IP地址、当 前提交票据的时间和请求的服务内容。首先计算：

γ′＝e(T,g)

假定票据的生命周期为t个单位(具体可以根据系统实际应用设置票据的 生命周期和单位长短，例如总周期长为10分钟，单位为2分钟，则共有5个 单位，以此类推)，则对i＝1,2,...,t，计算：

当且仅当对i＝1,2,...,t，只有唯一的一个i使得γ′≠γ_i时，将继续进行下一步验证。

(2)对T和L，服务器继续通过计算下列式子验证M：

当且仅当算法返回一个‘1’，否则算法终止。

可以验证，当一个合法合规的用户在日志票据过期时间T_U之前提交日志票 据，并向服务器提交与日志票据记录一致的请求时，服务器将能够成功验证他 的日志票据。因为T′_U≤T_U，仅存在一个i∈{1,2,...,t}，使得从而γ′＝γ：

而当服务器收到的T，L和M均是有效时，我们也很容易证明：

4、生成陷门

当数据拥有者需要查询包含m个关键词集合W′＝<w′₁,w′₂,...,w′_m＞，i＝1,2,...,m， w′_i∈{0,1}^*的日志记录时，他对其中每一个关键词w′_i进行加密并生成相应的陷门 Td_i＝H₁(w′_i)^α。最后将陷门集Γ＝<Td₁,Td₂,...,Td_m>发送给服务器进行查询。

5、查询

收到陷门集后，服务器对自己所存储的日志票据进行查找。本发明能够支 持多关键词组合查询，即返回同时包含多个关键词的搜索结果，具体过程为： 对于Γ＝<Td₁,Td₂,...,Td_m>，服务器首先计算：

σ′_i＝e(Td_i,g^r)＝e(H₁(w′_i)^α,g^r)，i＝1,2,...,m

对于每一条日志票据LogTicket＝<g^r,g^s,T,e_w,L,M>，其中服务器计算：

且m≤n.m≤n。当σ′_i＝σ_j时，令σ_i,j＝'1'，否则σ_i,j＝'0'。我们很容易验证当 w′_i＝w_j时，σ′_i＝σ_j且σ_i,j＝'1'，因为：

σ′_i＝e(H₁(w′_i)^α,g^r)＝e(H₁(w′_i),g)^α·r

＝e(H₁(w_j),g)^α·r＝e(H₁(w_j)^α·r,g)

＝σ_j

令当且仅当F的每一行只有一个1且每列至多一个1时， 这条日志票据与陷门集匹配成功。最后，服务器将所有匹配到的日志票据作为 搜索结果返回给数据拥有者。

6、验证

从服务器处收到返回的搜索结果后，数据拥有者还将对搜索结果进行验证， 以判断其是否为合法的可搜索加密审计日志。

(1)对搜索结果LogTicket＝<g^r,g^s,T,e_W,L,M>，同样计算和如果两者 相等，则算法将继续对加密的审计日志进行解密，否则算法结束。

(2)算法通过以下计算对加密的审计日志进行解密：

ρ＝(g^r)^β

τ₁＝e(T,ρ)

τ₂＝e(g^s,ρ)^-1∈G_T

利用τ₁和τ₂，数据拥有者计算τ＝τ₁·τ₂，因此可以得到日志记录的明文l′：

当LogTicket＝<g^r,g^s,T,e_W,L,M>合法时，成立，则

使得l′＝l：

本发明预测能够应用于各类云存储系统中，例如居民健康信息系统、企业 内部云存储系统乃至商业银行系统等各类平台。内嵌在这些利用云存储技术的 系统中，本发明设计的可搜索加密审计日志能够提供有效的审计内容和审计方 式，对系统的使用情况进行追溯和监督。

目前已有的方案中的可搜索加密审计日志无法保护用户隐私，或无法抵抗 服务器与用户的合谋伪造或篡改。而本发明的可搜索加密审计日志在使审计日 志加密可搜索的前提下，能够保护用户隐私，如实记录用户行为，并证明满足 如下安全性质。

1、保护用户隐私：审计日志记录的密文对云存储 系统的非授权用户显然是保密的。在没有主密钥msk＝(α,β)的情况下，攻击者 无法解开密文而得到日志记录的明文l，从而保护了用户的隐私；

2、具有可搜索性，本发明可搜索性体现在两个方面：一方面，只有持有主 密钥α才能够生成陷门集Γ＝<Td₁,Td₂,...,Td_m>＝<H₁(w′₁)^α,H₁(w′₂)^α,...,H₁(w′_m)^α>。这说明 其他人无法搜索审计日志；另一方面，服务器能够根据陷门集进行多关键词组 合搜索，并返回相应的搜索结果，提供了较为有效的查询功能；

3、如实记录用户的行为：首先，每位用户在访问之前都必须向数据拥有者 请求日志票据，没有日志票据的用户是无法向服务器请求服务的，也因此所有 用户的行为都会记录在审计日志中。而服务器对每个用户的日志票据检查进行 检验，如果B′_U≠B_U，服务器能够通过比对发现异常，从而拒绝用户的访问。这 意味着用户无法得到超出其申请权限的服务和数据访问；其次，一条可搜索加 密审计日志记录被篡改时，它将无法通过服务器和数据拥有者的检验。当攻击 者想要隐藏其行为痕迹时，他只能通过更改T＝g^sH₁(R_U)^α或或M＝T(H₁(L))^s。服务器在进行两步验证时，对于被篡改T在第一步验证时即可发 现，而第二步验证更加强了对于检测篡改行为的能力，从而使得其中任一被篡 改都无法通过服务器验证。同时，数据拥有者在收到服务器返回的搜索结果时， 所进行的第一步验证也是同理；

4、审计日志不可伪造：本发明中设计由可信的数据拥有者生成日志票据， 而非由服务器生成。因此其他合谋的非法系统实体无法伪造审计日志。根据BDH 困难性问题可知：给定系统公共参数params＝(g,g₁,G₁,G_T,e,H₁,H₂)和H₁(R_U)∈G₁， 计算e(H₁(R_U)^β,g₁)是困难的。而根据CDH问题的假设则：对于g，g^s和H₁(L)∈G₁, 计算(H₁(L))^s是困难的。

5、本发明的效率适用于实际使用。表1列举了处理(生成、检查、验证) 每条日志票据所涉及的计算次数。

表1处理每条日志票据记录的运算次数

n：日志票据中包含的关键词个数

t：日志票据的生命周期(分钟)

数据拥有者生成日志票据和验证日志票据时的计算负载主要在于哈希运算 和幂运算。这两类运算的次数与日志票据中包含的关键词个数有关。通常关键 词的个数是有限且比较少的。而双线性对运算的次数则是固定的。因此数据拥 有者端的计算负载是较低的。而对于服务器来说，双线性对运算的次数主要由 日志票据的生命周期决定。从防范共谋攻击的角度来说，日志票据的生命周期 是很短的(≤5个单元)或也可以按照系统需求设置合理的生命周期与单位，因 此服务器对日志票据进行检查的效率也比较高。

表2列举了在生成陷门和搜索的过程中各个运算的次数。

表2搜索日志票据的运算次数

M:陷门集中包含的加密关键词个数

N:共存储N个日志票据

K:平均每个日志票据中包含的关键词个数

生成包含M个关键词的陷门集，数据拥有者需要各进行M次哈希运算和幂运 算，效率较高。而搜索过程中，服务器的计算负载主要由三个因素决定，分别 为：陷门集中包含的M个关键词，存储的N个日志票据和平均每个日志票据中包 含的K个关键词。M和K在数量级上远远小于N，尤其是在审计过程中，我们往 往只关心“谁，在什么时间，做了什么，在哪里做的”，即K＝4。因此，我们 可以近似得估计双线性对和异或运算的次数为O(N)。考虑到云存储系统分布式 的特点，进行查询的效率对单个云服务器来说是完全合理的。

本发明能够应用于各类云存储系统中，例如居民健康信息系统、企业内部 云存储系统乃至商业银行系统等各类平台。

Claims (7)

1.一种云存储中可搜索加密审计日志的实现方法，其特征在于：包括以下内容：

一、数据拥有者将自己的数据存储在云服务器上供数据用户访问和操作；

二、当数据用户需要访问云服务器上的数据时：

(1)数据用户首先向数据拥有者提出请求；

(2)数据拥有者将数据用户所请求的行为进行日志记录，并生成日志票据发送给数据用户；

(3)数据用户将日志票据和自己需要的数据服务发送给云服务器；

(4)云服务器检查日志票据，通过后向数据用户提供相应的数据服务并存储日志票据，否则拒绝用户的请求；

三、当数据拥有者需要查询包含一个或多个关键词的日志记录时：

(1)数据拥有者对关键词加密生成陷门，并将陷门发送给云服务器；

(2)云服务器收到陷门集后，查找所存储的日志票据，并将匹配到的相应的日志票据返回给数据拥有者；

(3)数据拥有者对返回的日志票据进行验证，并将通过验证的搜索结果作为正确的搜索结果，留作后续审计之用。

2.根据权利要求1所述的云存储中可搜索加密审计日志的实现方法，其特征在于：所述生成日志票据的方法包括如下步骤：

步骤一、选择一个128位随机数计算T＝g^sH₁(R_U)^α，式中：R_U＝ID_U||P_U||T_U||B_U，其中ID_U、P_U、T_U、B_U分别对应表示用户U的身份ID，IP地址，票据过期时间以及记录用户请求数据服务的标签；

步骤二、生成一条长为logq位的日志记录l和其中的n个关键字组成的集合W＝<w₁,w₂,...,w_n>；选择一个128位随机数令得到加密关键词的集合

步骤三、对l进行加密，计算得到L＝H₂(e(H₁(R_U)^β,g₁))⊕l；

步骤四、计算M＝T·(H₁(L))^s，将T和L进行绑定；

步骤五、生成日志票据LogTicket＝<g^r,g^s,T,e_W,L,M>。

3.根据权利要求2所述的云存储中可搜索加密审计日志的实现方法，其特征在于：所述关键词包含用户的具体操作信息、用户身份信息、请求时间信息及用户的IP地址信息。

4.根据权利要求2所述的云存储中可搜索加密审计日志的实现方法，其特征在于：所述检查日志票据的方法包括如下步骤：

步骤一、令C_U＝ID′_U||P′_U||T′_U||B′_U，用于记录数据用户U的ID、IP地址、当前提交票据的时间和请求的服务内容，计算：

γ′＝e(T,g)

对i＝1,2,...,t，计算：

当且仅当对i＝1,2,...,t，只有唯一的一个i使得γ′≠γ_i时，继续进行下一步验证；

其中，t为票据的生命周期单位；

步骤二、对T和L，服务器通过计算下列式子验证M：

当且仅当算法返回一个‘1’，否则算法终止。

5.根据权利要求4所述的云存储中可搜索加密审计日志的实现方法，其特征在于：所述加密生成陷门的方法为：当数据拥有者需要查询包含m个关键词集合W′＝<w′₁,w′₂,...,w′_m>，i＝1,2,...,m，w′_i∈{0,1}^*的日志记录时，数据拥有者对其中每一个关键词w′_i进行加密并生成相应的陷门Td_i＝H₁(w′_i)α，并将陷门集Γ＝<Td₁,Td₂,...,Td_m>发送给服务器进行查询。

6.根据权利要求5所述的云存储中可搜索加密审计日志的实现方法，其特征在于：所述查找日志票据的过程如下：

(1)计算σ′_i＝e(Td_i,g^r)＝e(H₁(w′_i)α,g^r)，i＝1,2,...,m；

(2)计算且m≤n，其中

(3)当σ′_i＝σ_j时，令σ_i,j＝'1'，否则σ_i,j＝'0'；

令当且仅当F的每一行只有一个1且每列至多一个1时，则这条日志票据与陷门集匹配成功。

7.根据权利要求6所述的云存储中可搜索加密审计日志的实现方法，其特征在于：对日志票据进行验证时，数据拥有者对收到的云服务器返回的日志票据LogTicket＝<g^r,g^s,T,e_W,L,M>，计算和若则对加密的审计日志进行解密。