CN112800482B - 基于身份的在线/离线安全云存储审计方法 - Google Patents

Abstract

本发明公开了基于身份的在线/离线安全云存储审计方法，该方法中包括四个实体：密钥生成中心KGC、用户、云服务器和第三方审计者TPA，四个实体通过Setup、Extract、OffTagGen、OnTagGen、Challenge、ProofGen，ProofVerify七个算法完成云存储完整性验证服务。本发明属于一个公共审计方案，该方案用户为存储数据生成验证标签时，可分为离线计算和在线计算阶段。在在线计算阶段，用户仅需执行少量复杂计算，相较于普通云存储审计方案，运算效率大大提高，并消除了昂贵的公钥基础结构所带来的复杂的证书管理/验证成本，同时方案能提供健壮性的安全需求。

Description

基于身份的在线/离线安全云存储审计方法

技术领域

本发明涉及信息安全领域，尤其涉及基于身份的在线/离线安全云存储审计方法。

背景技术

随着信息科学技术的迅猛发展，工作和生活中的数据产生爆炸式增长，所以数据从本地迁移到云端存储成为必然趋势。云存储是一种数据外包存储服务技术，是云计算的重要应用模式。使用云存储服务，企业可以降低存储数据的成本，个人用户也可以节省管理和维护的工作投入和成本。然而用户数据从本地迁移到云端，导致用户对外包数据失去了控制权，因此数据的完整性可能会存在安全隐患。不受信任的云服务器对外包数据进行的任何非法操作，或者不可预料的存储服务器损坏或自然灾害，都可能导致数据永久丢失。直接利用哈希函数验证数据完整性的方法需要在验证过程中将云端数据下载到本地，这在实际操作中会造成传输成本过高。为了检查外包数据的完整性，Ateniese等人提出了可证明数据所有权(Provable Data Possession,PDP)的方案，在该方案中，公共验证者通过随机指定要验证的数据块向服务器发出挑战，并验证服务器返回的证明，从而无需下载整个数据就可以有效地验证数据完整性。Juels等人提出的可恢复证明(Proof ofRetrievability,PoR)方案，通过使用纠错码保证存储数据的可恢复性。此后针对远程数据完整性验证问题，涌现了大量的研究成果。

上述方案的设计依赖于公钥基础结构PKI，公钥的真实性由证书颁发者提供的数字证书确保。因此，验证者在使用公钥之前需要检查公钥证书的有效性，但复杂的证书管理需要消耗大量的计算和存储资源，针对此问题，Shamir提出了基于身份的密码系统。在此系统中，用户公钥由与用户相关的有意义的信息构成，如用户的名字，邮箱地址等。Zhao等人根据文献“Identity-based aggregate signatures”提出的基于身份聚合签名首先提出了基于身份PDP协议。Yu等人提出的基于身份可公开验证PDP方案可有效解决完整性验证交互过程中的信息泄露问题。

在PDP方案的设计中，用户需要将上传数据分成小的数据块，并为每个数据块计算生成验证标签，这将涉及大量的复杂计算，然而实际应用中相较于云服务器，大多数用户的计算资源受限。因此文献“Online/Offline Provable Data Possession”利用在线/离线签名的思想，提出了在线/离线PDP方案。此时数据验证标签的生成阶段将分为在线和离线两个阶段，离线阶段通常发生在外包数据到达之前，可以在用户处理器空闲并接通电源时执行。最耗资源的计算如模幂运算、双线性对运算等，均在离线阶段执行。当外包数据到来后，在线阶段开始执行，并仅运行相对轻量级计算，如模加、模乘、哈希运算等。目前由Reyhaneh等人提出的基于身份的在线/离线安全云存储审计方案(ID-OOPDP)并不满足健壮性的安全要求，即恶意的云服务器利用其存储的数据，只需通过简单的计算，就可以获得用户的秘密信息，从而对任意的消息，云服务器均可以伪造生成合法的验证标签，也就是说该方案对云服务器并不能满足健壮性的安全需求。为了解决基于身份云审计方案中存在的效率和安全问题，本发明提出了一个安全的基于身份在线/离线PDP新方法，新方法不仅能够满足在线阶段用户仅执行轻量级计算，在消除由PKI结构引起的额外成本的同时，还可以抵抗来自云服务器的伪造攻击。

发明内容

本发明所要解决的技术问题是身份云审计方案中存在的效率和安全问题，本发明提出了基于身份的在线/离线安全云存储审计方法，属于公共审计方案，新方法不仅在线计算阶段，用户仅需执行少量复杂计算，运算效率大大提高，并消除了昂贵的公钥基础结构所带来的复杂的证书管理/验证成本，同时能提供健壮性的安全需求。

本发明的基于身份的在线/离线安全云存储审计方法，包括如下内容：

步骤1，Setup算法：输入安全参数1^k，其中k表示达到安全需要的位数，G₁和G₂是阶为素数q乘法循环群，g是群G₁的生成元，H₁,H₂:{0,1}^*→G₁和h:{0,1}^*→Z_q是安全哈希函数，e:G₁×G₁→G₂是双线性映射。密钥生成中心KGC选择随机值α∈Z_q作为主私钥msk，主公钥mpk＝g^α。系统公共参数param为(e,q,G₁,G₂,g,mpk,h,H₁,H₂)。

步骤2，Extract算法：根据主私钥msk＝α和param＝(e,q,G₁,G₂,g,mpk,h,H₁,H₂)以及用户的身份ID，密钥生成中心KGC为用户生成密钥k_ID＝H₁(ID)^α。

步骤3，用户为存储数据生成验证标签时，分为离线计算和在线计算阶段；

OffTagGen算法：在离线计算阶段，用户首先随机选择η∈Z_q，并令γ＝g^η。接着，用户从Z_q中选择随机值α_i和r_i′，并计算离线标签

如下：

离线标签集

存储在本地，其中整数B是用户可能上传数据块数目的上界。

步骤4，OnTagGen算法：在在线计算阶段，身份ID的用户，其将上传文件名为name的文件F，首先文件F被分为n块：

对每一个消息块m_i，用户提取离线标签集

生成在线标签(r_i,σ_i)如下：

r_i'＝H₂(name|i)+m_i+r_i；

即：r_i＝r_i'-m_i-H₂(name|i)；

同时用户基于哈希值{h(u_i)}_i∈[1,n]创建根为root的MHT，并且计算

其中IDSig是一个安全的基于身份签名算法，而相应的验证算法为IDVef。最后，用户将文件F＝(m₁,…,m_n)，验证标签{(u_i,r_i,σ_i)}_i∈[1,n]，以及(γ,name,σ_root)做为存储信息发送给云服务器。接收到用户的存储信息后，云服务器首先利用IDVef算法验证签名σ_root的合法性；如果通过验证，则对i∈[1,n]，云服务器判断如下等式

是否成立；如果成立则接受用户的储存请求，如果不成立则拒绝用户的储存请求，输出结束标志⊥。

步骤5，Challenge算法：为了验证name文件F的完整性，第三方审计者TPA向云服务器发送验证请求。云服务器首先将(γ,u_i,h(root),σ_root)信息发送给TPA，TPA利用IDVef算法验证签名σ_root的合法性；如果没有通过验证，TPA终止操作，否则其随机选择c元子集

作为要验证数据块的索引，其中c为TPA验证的数据块个数，即集合J中一共包含c个元素，同时为每个j∈J选择随机值y_j∈Z_q。最后TPA将挑战chal＝(name,{(j,y_j)}_j∈J)发送给云服务器。

步骤6，ProofGen算法：接收到TPA的挑战质询后，云服务器利用其存储的数据和验证标签，按以下步骤生成拥有证明：

步骤6.1，基于挑战的数据块，计算μ＝∑_j∈Jy_jm_j。

步骤6.2，聚合相应的验证标签为

步骤6.3，云服务器将(μ,σ,{u_j,r_j,Δ_j}_j∈J)作为拥有证明返回给第三方审计者TPA。其中Δ_j是MHT中相应的验证辅助信息。

步骤7，ProofVerify算法：TPA收到云服务器返回的拥有证明(μ,σ,{u_j,r_j,Δ_j}_j∈J)后，首先计算{h(u_j)}_j∈J，并利用相应的辅助信息^Δ _j生成根节点h(root')。如果h(root')＝h(root)，则继续计算V＝∑_j∈J(H₂(name|j)+r_j)y_j，并验证下式是否成立：

如果等式成立，表明验证通过，TPA输出1，如果等式不成立，则表明验证不通过，TPA输出0。

有益效果：本发明能够实现第三方审计者对云存储中数据完整性的有效审计；用户为存储数据生成验证标签时，可分为离线计算和在线计算阶段；在在线计算阶段，用户仅需执行少量复杂计算，相较于普通云存储审计方案，运算效率大大提高，并消除了昂贵的公钥基础结构所带来的复杂的证书管理/验证成本，同时方案能提供健壮性的安全需求。

附图说明

图1是8个节点的Merkle树示意图。

图2是本发明系统模型图。

具体实施方式

下面将结合具体实施方式对本发明作进一步的描述。

为了更有利于理解要发明，对双线性映射和Merkle树做如下介绍。

双线性映射：设G₁和G₂是阶为素数q的乘法循环群，g是群G₁的生成元。双线性映射e:G₁×G₁→G₂满足如下的性质：

1)双线性：对于任意u、v∈G₁和a,b∈Z_q，满足e(u^a,v^b)＝e(u,v)^ab。

2)非退化性：e(g,g)≠1。

3)可计算性：对于任意u、v∈G₁，存在有效的算法计算e(u,v)。

Merkle树：Merkle树MHT是树形结构的哈希树，是一种对数据进行完整性校验的结构，它的叶子节点值是数据块的哈希值。构造Merkle树时，首先计算数据块的哈希值，然后将数据块的哈希值两两配对，如果是奇数个数，最后一个与自身配对，计算上一层节点的哈希值，再重复这个步骤，一直到计算出根节点哈希值。如图1所示，展示8个节点的Merkle树示意图。令h:{0,1}^*→{0,1}^l是一个安全的哈希函数，最底层有：h_i＝h(T_i)，进而可得h_c＝h(h₁,h₂)；h_d＝h(h₃,h₄)；h_e＝h(h₅,h₆)；h_f＝h(h₇,h₈)，最终h_a＝h(h_c,h_d)；h_b＝h(h_e,h_f)和h_root＝h(h_a,h_b)。当我们需要校验数据块中包含{T₂,T₄,T₆}时，只需要提供辅助信息h₁,h₃,h₅,h_f，并计算h₂＝h(T₂),h₄＝h(T₄),h₆＝h(T₆)，即可重构

如果

则说明包含完整的数据块{T₂,T₄,T₆}。

本发明的基于身份的在线/离线安全云存储审计方法中涉及四个实体，如图2所示，分别是密钥生成中心KGC、用户、云服务器和第三方审计者TPA，且通过如下的步骤完成云存储完整性验证服务；

步骤1，Setup算法：输入安全参数1^k，G₁和G₂是阶为素数q乘法循环群，g是群G₁的生成元，H₁,H₂:{0,1}^*→G₁和h:{0,1}^*→Z_q是安全哈希函数，e:G₁×G₁→G₂是双线性映射。密钥生成中心选择随机值α∈Z_q作为主私钥msk，主公钥mpk＝g^α。系统公共参数param为(e,q,G₁,G₂,g,mpk,h,H₁,H₂)。

步骤2，Extract算法：输入主私钥msk＝α和param＝(e,q,G₁,G₂,g,mpk,h,H₁,H₂)以及用户的身份ID，密钥生成中心为用户生成密钥k_ID＝H₁(ID)^α。

步骤3，OffTagGen算法：在离线计算阶段，用户首先随机选择η∈Z_q，并令γ＝g^η。其中γ是令系统生成的一个参数，接着，用户从Z_q中选择随机值α_i和r_i'，并计算离线标签

如下：

离线标签集

存储在本地，整数B是用户可能上传数据块数目的上界。

步骤4，OnTagGen算法：在在线计算阶段，设身份为ID的用户，其将上传文件名为name的文件F，首先文件F被分为n块：

对每一个消息块m_i，用户提取离线标签集

生成在线标签(r_i,σ_i)如下：

r_i'＝H₂(name|i)+m_i+r_i；

即：r_i＝r_i'-m_i-H₂(name|i)；

同时用户基于哈希值{h(u_i)}_i∈[1,n]创建根为root的Merkle树，并且计算签名

其中IDSig是一个安全的基于身份签名算法，而相应的验证算法为IDVef。最后，用户将文件F＝(m₁,...,m_n)，验证标签{(ui_,r_i,σ_i)}_i∈[1,n]，以及(γ,name,σ_root)做为存储信息发送给云服务器。云服务器接收到用户的存储信息后，首先利用IDVef算法验证签名σ_root的合法性；如果通过验证，则对i∈[1,n]，云服务器判断如下等式

是否成立；如果成立则接受用户的储存请求，如果不成立则拒绝用户的储存请求，输出结束标志⊥。

步骤5，Challenge算法：为了验证name文件F的完整性，第三方审计者TPA向云服务器发送验证请求。云服务器首先将(γ,u_i,h(root),σ_root)信息发送给第三方审计者TPA，第三方审计者TPA利用IDVef算法验证签名σ_root的合法性；如果没有通过验证，第三方审计者TPA终止操作，否则其随机选择c元子集

作为要验证数据块的索引，即集合J中一共包含c个元素；同时为每个j∈J选择随机值y_j∈Z_q。最后第三方审计者TPA将挑战chal＝(name,{(j,y_j)}_j∈J)发送给云服务器。

步骤6，ProofGen算法：接收到第三方审计者TPA的挑战后，也就是收到第三方审计者TPA发来的挑战chal后，云服务器利用其存储的数据和验证标签，按以下步骤生成拥有证明：

步骤6.1，基于挑战的数据块，计算μ＝∑_j∈Jy_jm_j。

步骤6.2，聚合相应的验证标签为

步骤6.3，云服务器将(μ,σ,{u_j,r_j,Δ_j}_j∈J)作为拥有证明返回给第三方审计者TPA。其中Δ_j是MHT中相应的验证辅助信息。

步骤7，ProofVerify算法：第三方审计者TPA收到云服务器返回的拥有证明(μ,σ,{u_j,r_j,Δ_j}_j∈J)后，首先计算{h(u_j)}_j∈J，并利用相应的辅助信息Δ_j生成根节点h(root')。如果h(root')＝h(root)，则继续计算V＝∑_j∈J(H₂(name|j)+r_j)y_j，并验证下式是否成立：

如果等式成立，表明验证通过，第三方审计者TPA向用户审查回复验证通过，TPA输出1，如果等式不成立，第三方审计者TPA向用户审查回复验证不通过，TPA输出0。

本发明提出了基于身份的在线/离线安全云存储审计方法，该方法能够实现第三方审计者对云存储中数据的有效审计，不仅在线计算阶段，用户仅需执行少量复杂计算，运算效率大大提高，并消除了昂贵的公钥基础结构所带来的复杂的证书管理/验证成本，同时方案能提供健壮性的安全需求。

Claims (1)

1.基于身份的在线/离线安全云存储审计方法，其特征在于，包括如下步骤：

步骤1，Setup算法：输入安全参数1^k，其中k表示达到安全需要的位数，G₁和G₂是阶为素数q乘法循环群，g是群G₁的生成元，H₁,H₂:{0,1}^*→G₁和h:{0,1}^*→Z_q是安全哈希函数，e:G₁×G₁→G₂是双线性映射；密钥生成中心KGC选择随机值α∈Z_q作为主私钥msk，主公钥mpk＝g^α；系统公共参数param为(e,q,G₁,G₂,g,mpk,h,H₁,H₂)；

步骤2，Extract算法：根据主私钥msk＝α和param＝(e,q,G₁,G₂,g,mpk,h,H₁,H₂)以及用户的身份ID，密钥生成中心KGC为用户生成密钥k_ID＝H₁(ID)^α；

步骤3，用户为存储数据生成验证标签时，分为离线计算和在线计算阶段；

OffTagGen算法：在离线计算阶段，用户首先随机选择η∈Z_q，并令γ＝g^η；接着，用户从Z_q中选择随机值α_i和r_i'，并计算离线标签

如下：

离线标签集

存储在本地，其中整数B是用户可能上传数据块数目的上界；

步骤4，OnTagGen算法：在在线计算阶段，身份为ID的用户，将上传文件名为name的文件F，首先文件F被分为n块：

对每一个消息块m_i，用户提取离线标签集

生成在线标签(r_i,σ_i)如下：

r_i'＝H₂(name|i)+m_i+r_i；

即：r_i＝r_i'-m_i-H₂(name|i)；

同时用户基于哈希值{h(u_i)}_i∈[1,n]创建根为root的MHT，并且计算

其中IDSig是一个安全的基于身份签名算法，而相应的验证算法为IDVef；最后，用户将文件F＝(m₁,...,m_n)，验证标签{(u_i,r_i,σ_i)}_i∈[1,n]，以及(γ,name,σ_root)做为存储信息发送给云服务器；接收到用户的存储信息后，云服务器首先利用IDVef算法验证签名σ_root的合法性；如果通过验证，则对i∈[1,n]，云服务器判断如下等式

是否成立；如果成立则接受用户的储存请求，如果不成立则拒绝用户的储存请求，输出结束标志⊥；

步骤5，Challenge算法：为了验证name文件F的完整性，第三方审计者TPA向云服务器发送验证请求；云服务器首先将(γ,u_i,h(root),σ_root)信息发送给TPA，TPA利用IDVef算法验证签名σ_root的合法性；如果没有通过验证，TPA终止操作，否则其随机选择c元子集

作为要验证数据块的索引，c元子集为TPA验证的数据块个数，同时为每个j∈J选择随机值y_j∈Z_q；最后TPA将挑战chal＝(name,{(j,y_j)}_j∈J)发送给云服务器；

步骤6，ProofGen算法：接收到TPA的挑战后，云服务器利用其存储的数据和验证标签，按以下步骤生成拥有证明：

步骤6.1，基于挑战的数据块，计算μ＝∑_j∈Jy_jm_j；

步骤6.2，聚合相应的验证标签为

步骤6.3，云服务器将(μ,σ,{u_j,r_j,Δ_j}_j∈J)作为拥有证明返回给第三方审计者TPA；其中Δ_j是MHT中相应的验证辅助信息；

步骤7，ProofVerify算法：TPA收到云服务器返回的拥有证明(μ,σ,{u_j,r_j,Δ_j}_j∈J)后，首先计算{h(u_j)}_j∈J，并利用相应的辅助信息Δ_j生成根节点h(root')；如果h(root')＝h(root)，则继续计算V＝∑_j∈J(H₂(name|j)+r_j)y_j，并验证下式是否成立：

如果等式成立，表明验证通过，TPA输出1，如果等式不成立，则表明验证不通过，TPA输出0。

Images