CN111711524A - 一种基于证书的轻量级外包数据审计方法 - Google Patents

Abstract

本发明公开了一种基于证书的轻量级外包数据审计方法，所述方法中，用户首先将需要外包存储的文件分割成数据块，然后通过基于证书的线性同态签名方式产生数据块的签名，并将数据块和对应的签名存储在云端。用户使用文件时，可以通过挑战‑应答的方式概率性的验证概存储在云端的数据是否保持完整。如果文件保持完整，则可以直接使用文件，否则可以向云存储服务提供商进行合理索赔。本发明不需要管理复杂的证书，并且可以在公开信道传输所有信息，同时降低了用户计算复杂度。

Description

一种基于证书的轻量级外包数据审计方法

技术领域

本发明属于信息安全，涉及一种基于证书的轻量级外包数据审计方法，具体是在基于证书公钥密码体制下的轻量级外包数据审计方法。

背景技术

随着大数据时代的到来，越来越多的用户将数据委托给云服务器存储，以减轻本地存储负担。但是，当用户将数据上传到服务器后，就失去了自身对数据的控制。因此，如何高效的审计存储在云端的数据是目前需要解决的关键问题。

目前现有的数据持有性证明(PDP)技术可以进行云端数据完整性验证。在现存的审计方法中，一个文件可以被表达成个nm数据块，即F＝{m₁,…,m_nm},为每一个数据块进行签名需要进行一个幂指数运算

在这种情况下，生成文件签名所需的计算代价随着文件的增大而线性增长。

线性同态签名，实际上是对向量进行签名的一种技术。这个概念是2009年由DanBoneh 等人提出的，其中的消息被表达成向量空间中的向量，而消息的运算为向量空间中的线性运算。在线性同态签名方案中，我们首先将文件F表达成m个n维的向量m₁,…,m_m，每个向量被认为是一个数据块。对每一个数据块进行签名只需要进行一次幂指数运算

在这种情况下，用户生成一个数据块的签名所需的计算代价降低为原来的

此外，如果一个公私钥对为(pk,sk)的用户对向量m₁,…,m_m的线性同态签名分别为σ₁＝Sign_sk(m₁),…,σ_m＝Sign_sk(m_m)，那么任何用户在得到(m₁,σ₁),…,m_m,σ_m)后，就可以推导出该用户对m₁,…,m_m的任何线性组合产生的消息m的签名σ。通过验证向量签名对(m,σ)，可以概率性的说明用户存储在云端的数据保持完整。

发明内容

发明目的：为了降低在生成文件的签名时用户计算复杂度及提高数据完整性验证效率，本发明提供一种基于证书的轻量级外包数据审计方法。

技术方案：一种基于证书的轻量级外包数据审计方法，包括如下步骤：

(1)生成公私钥：

数据外包机构CSP从公钥密码函数库中选取一套参数并广播给系统内用户，包括两个阶为素数q的循环群

和

循环群

的生成元g，双线性对

哈希函数

根据选取的参数，数据外包机构CSP 生成系统主公钥mpk和系统主私钥msk；

(2)生成用户私钥：

用户A从素数域

中随机选取一个值作为自己的私钥

计算对应的公钥

并将自己的身份ID_A和公钥

发送给数据外包机构CSP；

(3)生成证书：

数据外包机构CSP使用自己的私钥msk计算用户A的证书

并将证书发送给用户A；

(4)生成签名：

用户A首先将自己的消息M转化为标识符为V_id的子空间V中的向量m₁,…,m_m；然后，用户A计算子空间V的标签τ_id，并使用自己的私钥计算向量m₁,…,m_m对应的签名σ₁,…,σ_m；用户A将子空间标签τ_id，向量m₁,…,m_m及其对应的签名σ₁,…,σ_m发送给数据外包机构CSP；

(5)导出签名：

用户A随机选择集合[1,m]的子集I和相应的挑战随机值，数据外包机构CSP将对应的向量进行合并得到一个挑战向量m，并根据这些向量对应的签名生成挑战向量对应的签名σ；数据外包机构CSP将挑战向量和对应的签名发送给用户A；

(6)签名验证：

用户A首先根据子空间标签τ_id来确认V是否为自己存储在数据外包机构CSP中的消息；然后，用户A通过签名σ验证挑战向量m的完整性。

进一步的，步骤(1)所述的系统公钥mpk和私钥msk生成方式如下：

数据外包机构CSP首先从

中随机选择一个大整数s作为系统的主私钥msk，计算并广播系统主公钥mpk＝g^s，这里

表示

去掉零元素后的乘法群，g^s表示g的s次幂。

进一步的，步骤(2)中的用户A的私钥按照如下生成方式如下：

用户A从

中随机选取一个整数x作为自己的私钥

并计算对应的公钥

进一步的，步骤(3)中的用户A的证书按照如下方式生成：

数据外包机构CSP首选计算用户身份ID_A和公钥

的哈希值

然后生成用户的证书

进一步的，步骤(4)中的用户A按如下过程生成消息的签名：

(41)用户A将待签名的消息M转化为标识符为V_id的子空间V中的n维向量 m₁,…,m_m，其中，m_i＝(m_i1,…,m_in),1≤i≤m；

(42)用户A首先从素数域

中随机选取一个随机值r，并计算对这个随机值的承诺R＝g^r；

(43)用户A计算对身份ID_A，子空间标识符V_id和承诺U的哈希值w＝H₂(ID_A||V_id||R)；

(44)用户A计算对V_ID和U的签名

并设置子空间的标签τ＝(U,R)；

(45)用户A计算向量m_i(1≤i≤m)的签名，

(46)用户A将子空间标签，消息向量以及对应的签名上传到数据外包机构CSP。

进一步的，步骤(5)中所述的签名按如下过程导出：

(51)用户A随机选择[1,m]的子集I和相应的随机值

并发送给CSP；

(52)数据外包机构CSP合并子集I中的值对应的向量，从而得到一个挑战向量m，即m＝∑_i∈Ic_i·m_i；

(53)数据外包机构CSP计算挑战向量m的签名

(54)数据外包机构CSP将挑战向量m及其签名σ发送给用户A。

进一步的，步骤(6)具体如下：

(61)用户A首先计算两个双线性对

和

然后，判定这两个值是否相等；

(62)如果以上等式成立，那么用户A收到的向量来自标签为τ_id的子空间V；然后，用户A计算双线性对

和e(σ,g)；若这两个值相等，则验证通过，结果输出1，表示用户A存储在CSP中的数据未被修改过,否则输出0。

有益效果：与现有技术相比，本发明所述方法在生成一个向量的签名时仅需要进行2 次幂指数计算，降低了用户计算复杂度。另一方面，本发明使用了基于证书的公钥密码系统，不需要管理复杂的证书，也不需要一个完全诚实可信的第三方，并且不需要花费较大的秘密信道。

附图说明

图1是本发明所述方法的外包数据审计示意图；

图2是本发明所述方法的流程图；

图3是实施例1中运行各个阶段算法的耗费时间图；

图4是实施例中观察数据块污染率分别为1％，5％，10％和15％的情况下检测成功的概率分布图。

具体实施方式

为了详细的说明本发明所公开的技术方案，下面结合说明书附图及具体实施例做进一步的表述。

本发明目的在于用户可以通过基于证书的线性同态签名技术产生数据块的签名，并可以通过挑战-应答的方式概率性的验证概存储在云端的数据是否完整。

本发明所提供的一种基于证书的轻量级外包数据审计方法，能够简单高效的实现数据完整性验证的基于证书的轻量级外包数据审计方法，该方法可用于云计算、雾计算中，用于用户检测数据的完整性，从而保障了数据的存储安全。

下面给出该技术方案的具体描述。

在以下对本发明的描述中，证书公钥系统是一个半可信的机构，它主要负责生成系统参数、系统的公私钥对，系统内用户的证书以及存储用户的文件。

本发明所述方法具体步骤如下：

参照图1和图2，本发明的具体过程如下：

(1)生成系统公私钥。

CSP从公钥密码函数库中选取两个阶为素数q的循环群

是一个双线性对，g为

的生成元，

是四个哈希函数。

CSP首先从

中随机选取一个整数s作为系统主私钥msk，计算并广播系统主公钥mpk＝g^s。

(2)用户私钥生成。

用户A从

中随机选取一个整数x作为自己的私钥

计算对应的公钥

并将自己的身份ID_A和公钥

发送给CSP。

(3)证书生成。

CSP首先计算用户身份ID_A和公钥

的哈希值

然后生成用户的证书

并发送给用户A。

(4)签名生成。

用户A首先将自己的消息M转化为标识符为V_id的子空间V中的n维向量m₁,…,m_m。然后，用户A根据自己的私钥和证书计算出这组向量的签名。

(41)用户A首先从素数域

中随机选取一个随机值r，并计算对这个随机值的承诺R＝g^r。

(42)用户A计算对身份ID_A，子空间标识符V_id和承诺U的哈希值 w＝H₂(ID_A||V_id||R)。

(43)用户A计算对V_ID和U的签名

并设置子空间的标签τ＝(U,R)。

(44)用户A计算向量m_i(1≤i≤m)的签名，

(45)用户A将子空间标签，消息向量以及对应的签名上传到CSP。

(5)签名导出。

用户A随机选择[1,m]的子集I和相应的随机值

并发送给CSP。然后CSP执行如下操作：

(51)CSP合并子集I中的值对应的向量，从而得到一个挑战向量m，即 m＝∑_i∈Ic_i·m_i。

(52)CSP计算挑战向量m的签名

(53)CSP将挑战向量m及其签名σ发送给用户A。

(6)签名验证。

(61)用户A首先计算两个双线性对

和

然后，判定这两个值是否相等。

(62)如果以上等式成立，那么用户A收到的向量来自标签为τ_id的子空间V。然后，用户A计算双线性对

和e(σ,g)。若这两个值相等，则验证通过，结果输出1(用户A存储在CSP中的数据未被修改过),否则输出0。

对于上述方法中，符号及定义具体说明如下：

CSP：数据外包机构，存储用户文件并为系统内用户颁发证书。

A:证书公钥系统内的用户。

阶为q的两个循环群。

包含q个元素的有限域，元素为0,1,2,…,q-1。

去掉零元素后的乘法群。

e：从

到

的双线性对。

g：

的生成元。

H₁(·),H₃(·)：由任意长的比特串{0,1}^*到

的杂凑函数。

H₂(·),H₄(·)：由任意长的比特串{0,1}^*到

的杂凑函数。

mpk：证书公钥系统的公钥。

msk：证书公钥系统的私钥。

ID_A：用户A的身份。

用户A的私钥。

M：待签名的消息。

m_i：消息M对应的第i个向量，其中，m_i＝(m_i1,…,m_in),1≤i≤m。

σ_i：m_i对应的签名。

V：m₁,…,m_m所属子空间。

V_id：子空间V的可辨标识。

τ_id：V的标签。

m：子空间V中的任意向量。

σ：向量m对应的签名。

mod q：模q运算。例如，24mod 7＝3。

x||y：x与y的拼接，其中x,y可以是比特串或字节串。

a₁·a₂：元素a₁与a₂相乘。

g^a：g的a次幂,即

a是正整数。

a₁,…,a_n的相加，即

a₁,…,a_n的相乘，即

本发明能够使得系统内用户在不取回全部数据的情况下，通过挑战应答的方式概率性的判断存储在CSP上的数据是否完整。用户A想要使用存储在CSP上的数据，需要检测数据是否完整。用户A首先向CSP发起完整性审计挑战，然后CSP返回证据(可以概率性的说明其持有数据的完整性)作为应答，最后用户A根据收到的证据来验证数据的完整性。

实施例1

我们在Windows平台上对本专利中提出的方法进行了模拟实验，具体的实验环境与测试参数为：

系统版本：Windows 10 64位操作系统

处理器：Intel(R)Core(TM)i5-6500 CPU@3.2GHZ

内存：4.0GB

开发工具：Eclipse

密码函数库：Java Pairing-Based Cryptography Library(JPBC)

我们采用JPBC库中的A类曲线来进行模拟实验，此时，上述方法中的q＝512bits。我们选择一个173KB(177678bytes)的文件作为测试文件F，该文件可分成m个数据块，每个数据块包含n个数据分量，每个分量不超过512bits，且满足

假设子集I中包含c个数据块索引，即随机在m个数据块中进行抽样选择c个数据块进行完整性检测。

为了方便测试方便，我们令m＝93,n＝30,c＝10，并给出运行各个阶段算法的耗费时间，如图3所示。

令进行抽样检测的数据块个数分别为c＝10,20,30,40,50,60，假设文件污染的数据块为k个，检测率满足等式

我们观察数据块污染率分别为1％，5％，10％和15％的情况下检测成功的概率，如图4所示。

Claims (7)

1.一种基于证书的轻量级外包数据审计方法，其特征在于，包括如下步骤：

(1)生成公私钥：

数据外包机构CSP从公钥密码函数库中选取一套参数并广播给系统内用户，包括两个阶为素数q的循环群

和

循环群

的生成元g，双线性对e：

哈希函数H₁，H₃：

H₂，H₄：

根据选取的参数，数据外包机构CSP生成系统主公钥mpk和系统主私钥msk；

(2)生成用户私钥：

用户A从素数域

中随机选取一个值作为自己的私钥

计算对应的公钥

并将自己的身份ID_A和公钥

发送给数据外包机构CSP；

(3)生成证书：

数据外包机构CSP使用自己的私钥msk计算用户A的证书

并将证书发送给用户A；

(4)生成签名：

用户A首先将自己的消息M转化为标识符为V_id的子空间V中的向量m₁，...，m_m；然后用户A计算子空间V的标签τ_id，并使用自己的私钥计算向量m₁，...，m_m对应的签名σ₁，...，σ_m；用户A将子空间标签τ_id，向量m₁，...，m_m及其对应的签名σ₁，...，σ_m发送给数据外包机构CSP；

(5)导出签名：

用户A随机选择集合[1，m]的子集I和相应的挑战随机值，数据外包机构CSP将对应的向量进行合并得到一个挑战向量m，并根据这些向量对应的签名生成挑战向量对应的签名σ；数据外包机构CSP将挑战向量和对应的签名发送给用户A；

(6)签名验证：

用户A首先根据子空间标签τ_id来确认V是否为自己存储在数据外包机构CSP中的消息；然后用户A通过签名σ验证挑战向量m的完整性。

2.根据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(1)所述的系统公钥mpk和私钥msk生成方式如下：

数据外包机构CSP首先从

中随机选择一个整数s作为系统的主私钥msk，计算并广播系统主公钥

表示

去掉零元素后的乘法群，g^s表示g的s次幂。

3.据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(2)中的用户A的私钥按照如下生成方式如下：

用户A从

中随机选取一个整数x作为自己的私钥

并计算对应的公钥

4.据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(3)中的用户A的证书按照如下方式生成：

数据外包机构CSP首选计算用户身份ID_A和公钥

的哈希值

然后生成用户的证书

5.据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(4)中的用户A按如下过程生成消息的签名：

(41)用户A将待签名的消息M转化为标识符为V_id的子空间V中的n维向量m₁，...，m_m，其中，m_i＝(m_i1，...，m_in)，1≤i≤m；

(42)用户A首先从素数域

中随机选取一个随机值r，并计算对这个随机值的承诺R＝g^r；

(43)用户A计算对身份ID_A，子空间标识符V_id和承诺U的哈希值w＝H₂(ID_A||V_id||R)；

(44)用户A计算对V_ID和U的签名

并设置子空间的标签τ＝(U，R)；

(45)用户A计算向量m_i(1≤i≤m)的签名，

(46)用户A将子空间标签，消息向量以及对应的签名上传到数据外包机构CSP。

6.根据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(5)中所述的签名按如下过程导出：

(51)用户A随机选择集合[1，m]的子集I和相应的随机值

i∈I，并发送给CSP；

(52)数据外包机构CSP合并子集I中的值对应的向量，得到一个挑战向量m，即m＝∑_{i∈ I}c_i·m_i；

(53)数据外包机构CSP计算挑战向量m的签名

(54)数据外包机构CSP将挑战向量m及其签名σ发送给用户A。

7.根据权利要求1所述的基于证书的轻量级外包数据审计方法，其特征在于，步骤(6)具体如下：

(61)用户A首先计算两个双线性对

和

然后，判定这两个值是否相等；

(62)如果以上等式成立，那么用户A收到的向量来自标签为τ_id的子空间V；然后，用户A计算双线性对

和e(σ，g)；若这两个值相等，则验证通过，结果输出1，表示用户A存储在CSP中的数据未被修改过，否则输出0。

Images