CN112217629B - 一种云存储公开审计方法 - Google Patents

Abstract

本发明提供了一种云存储公开审计方法，其包括通过采用基于格的云存储公开审计方法并结合轻量级认证技术，将完整性审计工作委托给一个能够获悉公钥的可信第三方来完成。由于本发明采用了格密码技术，因此一方面该方法能够抵抗量子计算机的攻击，具有较好的安全性，另一方面终端用户所需要的计算开销较小，文件上传与验证过程的效率较高。

Description

一种云存储公开审计方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种云存储公开审计方法。

背景技术

云存储服务是当前应用最广泛的云计算服务之一，用户可以利用该服务将本地数据上传至云服务器保存，从而降低本地存储开销。由于用户无法直接控制其云端数据，为了检测云端数据是否发生损坏，因此有必要对存储在云端数据的完整性进行审计。

传统的云存储公开审计方法一般会涉及到复杂的幂指数和双线性对等运算，且不能抵抗量子计算机的攻击。而由于基于格的密码学可以抵抗量子计算机的攻击，且格上的操作比较简单，计算效率较高，因此，基于格的云存储公开审计方法具有良好的应用前景。

发明内容

为解决上述问题，本发明旨在提出一种云存储公开审计方法，以抵抗量子计算机的攻击，且操作比较简单，计算效率较高。

为达到上述目的，本发明的技术方案是这样实现的：

通过输入预设安全参数运行第一预设算法获取用于签名的公私钥对，并将公钥公开；

通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的证据信息，将所述目标文件和标签发送至云服务器，将所述证据信息发送至可信第三方；

所述可信第三方根据所述证据信息随机生成对应所述目标文件的审计挑战，并将所述审计挑战发送至所述云服务器；

所述云服务器接收到所述审计挑战后，找到所述目标文件及所述标签，根据所述目标文件及所述标签生成对应所述审计挑战的证明信息,将所述证明信息返回至所述可信第三方；

所述可信第三方对所述证明信息进行验证以获取所述目标文件的完整性检查结果。

本发明实施例通过采用基于格的云存储公开审计方法，将完整性审计工作委托给一个能够获悉公钥的可信第三方来完成，由于本发明采用了格密码技术，因此一方面该方法能够抵抗量子计算机的攻击，具有较好的安全性，另一方面终端用户所需要的计算开销较小，文件上传与验证过程的效率较高。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例所述的一种云存储公开审计方法的流程示意图；

图2为本发明实施例所述的一种云存储公开审计方法的流程示意框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本发明。

参见图1，为本发明提供了一种云存储公开审计方法的流程示意图，该云存储公开审计方法包括一下步骤S101-S105。

步骤S101：通过输入预设安全参数运行第一预设算法获取用于签名的公私钥对，并将公钥公开。

步骤S102：通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的证据信息，将所述目标文件和标签发送至云服务器，将所述证据信息发送至可信第三方。

步骤S103：所述可信第三方根据所述证据信息随机生成对应所述目标文件的审计挑战，并将所述审计挑战发送至所述云服务器。

步骤S104：所述云服务器接收到所述审计挑战后，找到所述目标文件及所述标签，根据所述目标文件及所述标签生成对应所述审计挑战的证明信息，将所述证明信息返回至所述可信第三方。

步骤S105：所述可信第三方对所述证明信息进行验证以获取所述目标文件的完整性检查结果。

具体地，本发明实施例通过采用基于格的云存储公开审计方法，将完整性审计工作委托给一个能够获悉公钥的可信第三方，由于本发明采用了格密码技术，因此一方面该方法能够抵抗量子计算机的攻击，具有较好的安全性，另一方面终端用户所需要的计算开销较小，文件上传与验证过程的效率较高。

在一实施例中，所述第一预设算法为SIG.KeyGen(n)，其中n为安全参数，SIG.KeyGen是一个基于格的签名方案中的秘钥生成算法(例如文献“C Gentry，C Peikertand V Vaikuntanathan.Trapdoors for hard lattices and newcryptographicconstructions.STOC 2008，pp.197-206”构造的GPV签名方案)。

在一实施例中，所述通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的第一证据信息包括：

用户随机选择所述目标文件的标识符，并将所述目标文件分割成预设数量的文件块，所述目标文件的表达式为：

F＝{m_i}_i∈[1，l]，其中，m_i为文件块，m_i∈M^d且d＞1，l为目标文件F的块数，M为文件块消息空间，M的表达式为：

其中，[-p，p)是文件块扇区大小的取值范围，p的具体大小取决于文件块大小|m_i|以及安全参数n的大小，即|m_i|＝dnlog(2p)。

通过预设标签计算式计算每个文件块的标签，并生产对应于所述目标文件的标签，所述预设标签计算式为：τ_i＝High(Um_i，e)。函数High的主要功能是截取多项式Um_i的每个系数最后e个bit并输出新的多项式，这里

所述目标文件的标签的表达式为：

T＝(id，l，τ₁，...，τ_l)

其中，U为矩阵，

e为近似参数，e∈[0，log q)，e为整数，

代表模xⁿ+1且所有系数均属于

的多项式集合，id为目标文件的标识符，id←{0，1}¹²⁸；

利用哈希函数计算每个文件块的哈希值，再利用这些哈希值作为哈希树的叶子节点，哈希树的每一个非叶子节点都是其孩子节点的哈希值，一直迭代下去直至得到哈希树的根节点root，所述哈希函数的表达式为：

H(i，τ_i)，其中τ_i为文件块标签，H可选取SHA-256等安全哈希函数。

使用所述公私钥对中的私钥对公开信息(如id，root)进行签名，所述签名表达式为：

S＝SIG.Sign(ssk，id，root)。

其中，SIG.Sign是一个基于格的签名方案(例如GPV签名方案)中的签名算法，ssk为私钥，id为目标文件的标识符，root为所述哈希树的根节点；

所述第一证据信息的表达式为：E＝(id，l，e，U，S)。

在一实施例中，所述可信第三方随机生成对应所述目标文件的审计挑战包括：

所述可信第三方从[1，l]中随机选择r个整数作为挑战数据块序号，将得到的子集记为I，并在挑战系数集合中为每个序号选取随机权重v_i∈B，所述挑战系数集合的表达式为：

为使B至少包含2¹²⁸元素进而保证至少128位的安全性，我们选取k＝14使得

所述审计挑战的表达式为：Q＝(id，{(i，v_i)}_i∈I)。

在一实施例中，所述根据所述目标文件及所述标签生成对应所述审计挑战的证明信息包括：

计算m＝∑_i∈Iv_im_i以及哈希树对(i，τ_i)的验证路径path_i，其中i∈I，验证路径path_i是包含从叶子到树中根的子节点的序列，是满足能够由(i，τ_i)和path_i构造根节点的最少节点集合，所述证明信息的表达式为：P＝(m，{(i，τ_i，path_i)}_i∈I)。

在一实施例中，所述可信第三方对所述证明信息进行验证以获取所述目标文件的完整性检查结果包括：

利用{(i，τ_i，path_i)}_i∈I计算哈希树的根节点root′

根据第一判断表达式验证所述证明信息的签名是否有效，所述第一判断表达式为：SIG.Verify(spk，id，S，root′)＝0

其中，SIG.Verify是一个基于格的签名方案(例如GPV签名方案)中的签名验证算法，spk为公钥；若所述第一判断表达式的输出为0，则验证不通过，若所述第一判断表达式的输出不等于0，则根据第二判断表达式继续验证所述证明信息的正确性，所述第二判断表达式为：

||m||_∞≤rkp

其中，若所述第二判断表达式成立，则验证通过，若所述第二判断表达式不成立，则验证不通过。

参见图2，为本发明实施例提供的一种云存储公开审计方法的流程示意框图，本发明提供的方法具体实现过程可简单归纳为如下步骤：

(1)系统建立阶段。输入安全参数n，系统生成用户的公私钥对(pk，sk)，并将公钥pk进行公开。

(2)文件存储阶段。输入用户的公私钥对(pk，sk)和文件F，生成文件标签T以及相应的证据E，随后用户将(F，T)和E分别发送给云服务器和可信第三方。

(3)审计阶段。输入公钥pk和证据E，可信第三方随机生成对文件F的审计挑战Q并发送到云服务器。

(4)证明阶段。输入公钥pk，审计挑战Q，文件F以及文件标签T，云服务器生成并返回证据P。

(5)验证阶段。输入公钥pk，审计挑战Q，文件F和证据P，可信第三方对性进行验证。如果验证通过，说明证据有效，返回1，否则返回0。

以下为本发明提供的一种云存储公开审计方法的具体实现过程：

选取一个基于格的签名方案(SIG.KeyGen，SIG.Sign，SIG.Verify)(例如环版本的GPV签名方案)。函数High(y，e)的主要功能是输入

和一个近似参数e∈[0，log q)(e是一个整数)，截取多项式y的每个系数最后e个bit并输出新的多项式。这里，

代表模xⁿ+1且所有系数均属于

的多项式集合。文件块消息空间M以及挑战系数集合B分别设置如下：

步骤(1)具体实施过程如下：

输入安全参数n并利用该参数运行算法SIG.KeyGen(n)得到一个用于签名的公私钥对(spk，ssk)。

分别设置总方案的公钥pk＝spk，私钥sk＝ssk，并将公钥pk公开。

步骤(2)具体实施过程如下：

输入公钥pk，私钥sk以及文件F。

用户随机选择文件的标识符id←{0，1}¹²⁸。

将文件F分成l块，即F＝{m_i}_i∈[1，l]，其中，m_i∈M^d且d＞1。

在满足一定的安全性的条件下，用户确定近似参数e的数值，再随机选择一个矩阵

计算每个文件块m_i的标签τ_i＝High(Um_i，e)，并设置文件标签T＝(id，l，τ₁，...，τ_l)。利用哈希函数H(i，τ_i)计算每个块标签的哈希值，再利用这些哈希值作为哈希树的叶子节点，哈希树的每一个非叶子节点都是其孩子节点的哈希值，一直迭代下去直至得到哈希树的根节点root。

使用私钥ssk对一些公开信息进行签名，得到S＝SIG.Sign(ssk，id，root)。

将(F，T，S)发送给云服务器，再设置证据E＝(id，l，e，U，S)并将其发送给可信第三方，最后删除本地副本。

步骤(3)具体实施过程如下：

输入公钥pk和证据E。

可信第三方从[1，l]中随机选择r个整数作为挑战数据块序号，将得到的子集记为I，并为每个序号选取随机权重v_i∈B。

将审计挑战Q＝(id，{(i，v_i)}_i∈I)发送给云服务器。

步骤(4)具体实施过程如下：

收到可信第三方的审计挑战Q＝(id，{(i，v_i)}_i∈I)后，云服务器找到相应的文件F和标签T。

计算m＝∑_i∈Iv_im_i以及哈希树对(i，τ_i)的验证路径path_i，其中i∈I，验证路径path_i主要包含从叶子到树中根的子节点的序列，是满足能够由(i，τ_i)和path_i构造根节点的最少节点集合。

将证据P＝(m，{(i，τ_i，path_i)}_i∈I)返回给可信第三方。

步骤(5)具体实施过程如下：

输入公钥pk，审计挑战Q，证明P以及证据E。

可信第三方利用{(i，τ_i，path_i)}_i∈I计算哈希树的根节点root′。

可信第三方运行签名验证算法，若SIG.Verify(spk，id，S，root′)＝0，算法输出0，验证不通过；否则，可信第三方继续验证||m||_∞≤rkp以及

是否成立，若成立，算法输出1，验证通过；否则算法输出0，验证不通过。

方案分析如下：

正确性：如果方案中的所有参与方都是诚实的，那么算法SIG.Verify(spk，id，S，root′)＝1成立。同时，如下两个不等式也成立：

因此，算法Verify中的验证不等式成立。

安全性：如果证明是有效的，则由签名方案的安全性和哈希树的性质可知，{(i，τ_i，path_i)}_i∈I必然不会发生变化。如果证明的第一部分m在发生变化的情况下依然能通过验证，则可以得到关于U的小整数解问题的一个解，而该问题是一个经典的困难问题，所以敌手伪造有效且不同的证明是困难的。

效率分析：本发明的主要运算只涉及简单的向量矩阵乘法和哈希运算，不需要幂指数运算、双线性对操作等复杂运算，整体计算效率较高。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种云存储公开审计方法，其特征在于，该云存储的公开审计方法为基于格，包括：

通过输入预设安全参数运行第一预设算法获取用于签名的公私钥对，并将公钥公开；

通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的证据信息，将所述目标文件和标签发送至云服务器，将所述证据信息发送至可信第三方；

所述可信第三方根据所述证据信息随机生成对应所述目标文件的审计挑战，并将所述审计挑战发送至所述云服务器；

所述云服务器接收到所述审计挑战后，找到所述目标文件及所述标签，根据所述目标文件及所述标签生成对应所述审计挑战的证明信息,将所述证明信息返回至所述可信第三方；

所述可信第三方对所述证明信息进行验证以获取所述目标文件的完整性检查结果；

所述通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的第一证据信息包括：

用户随机选择所述目标文件的标识符，并将所述目标文件分割成预设数量的文件块，所述目标文件的表达式为：

F＝{m_i}_i∈[1，l]，其中，m_i为文件块，m_i∈M^d且d＞1，l为目标文件F的块数，M为文件块消息空间，M的表达式为：

其中，[-p，p)是文件块扇区大小的取值范围，p的具体大小取决于文件块大小|m_i|以及安全参数n的大小，|m_i|＝dnlog(2p)；

通过预设标签计算式计算每个文件块的标签，并生产对应于所述目标文件的标签，所述预设标签计算式为：τ_i＝High(Um_i，e)；函数High的主要功能是截取多项式Um_i的每个系数最后e个bit并输出新的多项式，这里

所述目标文件的标签的表达式为：

T＝(id，l，τ₁，...，τ_l)

其中，U为矩阵，

e为近似参数，e∈[0，logq)，e为整数，

代表模xⁿ+1且所有系数均属于

的多项式集合，id为目标文件的标识符，id←{0，1}¹²⁸；

利用哈希函数计算每个文件块的哈希值，再利用这些哈希值作为哈希树的叶子节点，哈希树的每一个非叶子节点都是其孩子节点的哈希值，一直迭代下去直至得到哈希树的根节点root，所述哈希函数的表达式为：

H(i，τ_i)，其中τ_i为文件块标签，H选取SHA-256安全哈希函数；

使用所述公私钥对中的私钥对(id，root)进行签名，所述签名表达式为：

S＝SIG.Sign(ssk，id，root)；

其中，SIG.Sign是一个基于格的签名方案中的签名算法，ssk为私钥，id为目标文件的标识符，root为所述哈希树的根节点；

所述第一证据信息的表达式为：E＝(id，l，e，U，S)；

所述可信第三方随机生成对应所述目标文件的审计挑战包括：

所述可信第三方从[1，l]中随机选择r个整数作为挑战数据块序号，将得到的子集记为I，并在挑战系数集合中为每个序号选取随机权重v_i∈B，所述挑战系数集合的表达式为：

其中，为使B至少包含2¹²⁸元素进而保证至少128位的安全性，选取k＝14使得

，所述审计挑战的表达式为：

Q＝(id，{(i，v_i)}_i∈I)；

所述根据所述目标文件及所述标签生成对应所述审计挑战的证明信息包括：

计算m＝∑_i∈Iv_im_i以及哈希树对(i，τ_i)的验证路径path_i，其中i∈I，验证路径path_i是包含从叶子到树中根的子节点的序列，是满足能够由(i，τ_i)和path_i构造根节点的最少节点集合，所述证明信息的表达式为：P＝(m，{(i，τ_i，path_i)}_i∈I)；

所述完整性检查结果包括：

利用{(i，τ_i，path_i)}_i∈I计算哈希树的根节点root′

根据第一判断表达式验证所述证明信息的签名是否有效，所述第一判断表达式为：SIG.Verify(spk，id，S，root′)＝0

其中，SIG.Verify是一个基于格的签名方案中的签名验证算法，spk为公钥；若所述第一判断表达式的输出为0，则验证不通过，若所述第一判断表达式的输出不等于0，则根据第二判断表达式继续验证所述证明信息的正确性，所述第二判断表达式为：

||m||_∞≤rkp

其中，若所述第二判断表达式成立，则验证通过，若所述第二判断表达式不成立，则验证不通过。

2.根据权利要求1所述的云存储公开审计方法，其特征在于，所述第一预设算法为基于格的签名方案中的秘钥生成算法SIG.KeyGen(n)，其中n为安全参数。

Images