CN112910632A

CN112910632A - 一种新型面向多数据用户、保护用户隐私的云端数据完整性验证协议

Info

Publication number: CN112910632A
Application number: CN202110187404.6A
Authority: CN
Inventors: 阎浩
Original assignee: Jinling Institute of Technology
Current assignee: Jinling Institute of Technology
Priority date: 2021-02-18
Filing date: 2021-02-18
Publication date: 2021-06-04
Anticipated expiration: 2041-02-18
Also published as: CN112910632B

Abstract

本发明涉及一种新型面向多数据用户、保护用户隐私的云端数据完整性验证方案，属于云计算安全技术领域。本方案针对群组共享的数据完整性的验证问题而设计，支持公开验证模式和用户身份隐私保护。方案中数据拥有者首先为数据生成验证标签，然后将数据及标签上传到云存储中共享。当验证者挑战数据完整性时，云服务器基于数据和标签生成完整性证据并返回给验证者。验证者检查证据是否有效，从而判断数据是否完整。本发明方案是基于身份密码体制设计的，避免了传统公钥密码体制中的数字证书管理问题。同时本发明方案将数据拥有者的身份处理后隐藏在证据中，使得验证者可以通过检查证据的有效性判断数据是否完整，但不能获知数据拥有者的身份。

Description

一种新型面向多数据用户、保护用户隐私的云端数据完整性验证协议

技术领域

本发明涉及一种新型面向多数据用户、保护用户隐私的云端数据完整性验证协议，属于云计算安全技术领域。

背景技术

在当前数据爆炸的时代背景下，越来越多的用户选择将数据外包存储到云服务器中，以减轻数据存储、维护和管理的成本。同时，云服务器也为用户提供了一个协同工作、共享信息的便利平台，比如基于云的DropBox,Google Driver等平台应用非常广泛。但云服务器并不是完全可信的，一方面其自身的硬件、软件及网络系统会出现一些无法预知的故障或其他异常问题，这很可能导致所存储的数据遭到破坏；另一方面，云服务器可能主动删除部分用户的数据，以节省空间从而获取更大的利益，甚至云服务器会出于某些恶意目的主动篡改用户数据。然而，云服务器不是向用户如实反馈而是掩盖数据遭到破坏的事件，以维护自身的声誉。因此，用户需要主动检查存储在云存储中的数据是否保持完整。

Ateniese等人[1]于2007年提出一个可证明数据持有模型(PDP)，实现了高效的远程数据的完整性验证。随后，众多学者对PDP模型进行更深入的研究，并扩展了多种特性，比如支持数据更新、支持多数据备份、支持公开验证等。其中，面向多用户群组共享数据的完整性验证就是近年来新提出的一种应用场景。当验证的目标数据在群组中共享时，情况会变得更加复杂，其中之一就是如何保证数据上传者的匿名性。即数据完整性验证过程不应泄露数据上传者的身份信息，换句话说验证者能够验证数据的完整性，但不能获知数据属于哪个用户。其中的难点在于，首先用户生成的数据标签中一定与用户身份关联以保证数据标签的可验证性，其次又要保证验证者对数据标签和用户身份之间的关系是不可知的。

为解决上述问题，Wang等人[2]首次提出了支持用户隐私保护的PDP协议，其中利用群签名技术生成验证标签，在完整性验证时所有用户的信息都被使用，因此验证者无法获知验证的数据属于哪个用户，从而实现数据拥有者的隐私保护。但该方法的计算代价和通信代价都很大，效率较低。Wu等人[3]也提出了一个支持用户隐私保护的多数据上传者的PDP协议，其处理方式是在验证者发出完整性挑战时将所有的用户信息处理后发送给云服务器，云服务器选择与挑战数据相关的用户信息来生成证据，验证者直接对证据进行检查，而不再需要用户身份信息，也就无法知道挑战数据和用户间的关系。上述协议都是基于传统公钥密码体制PKI设计的，存在复杂的数字证书管理问题。为解决此问题，Boneh等人[4]提出了基于身份的公钥密码体制(IBC)。在IBC中，用户的身份即是其公钥，而私钥由密钥生成中心生成。由于用户的身份标识是唯一的，无需使用数字证书来绑定和认证其合法性，因此避免了证书的使用。

本发明人基于上述问题，提出一个面向多数据用户、基于身份的、保护用户隐私的云端数据完整性验证协议。本发明协议可以避免PKI中的证书管理问题，实现高效安全的群组共享数据的完整性验证，同时支持用户的隐私保护。

本发明与早期个人申请的发明(申请号：201910811862.5)属于同一个技术领域，目标都是解决云存储中数据完整性的验证问题。但两者又是完全不同的，不同点主要存在于以下几个方面：

(1)本发明适用于多用户共享数据场景下的数据完整性验证，而201910811862.5发明则是解决单个用户数据的完整性验证。由于数据是在群组内共享的，群组内每个用户都可以任意访问数据，任意上传新数据或修改数据，因此在验证数据完整性时需要区分数据及标签生成者的身份，按照生成者身份将数据和标签分类，并将同一用户生成的数据和标签聚合起来，之后才能实施高效的数据完整性验证工作。因此，相比较于发明201910811862.5，本发明具有更大的难度。

(2)本发明解决的是数据所属用户身份的隐私保护问题，而发明201910811862.5则解决的是数据的隐私保护问题。本发明中数据是在多个用户间共享的，那么共享的数据可能是群组中任何一个用户上传的。虽然数据属于哪个用户并不影响数据的完整性验证，但是数据与用户间的所属关系并不希望被验证者知道，因为一旦所属关系泄露可能给用户带来安全威胁。本发明设计了一个完美的机制，解决了这个用户身份的隐私保护问题。而发明201910811862.5则是利用随机化技术隐藏了真实的用户数据，以防止验证者在验证过程中获取用户数据。因此，两个发明所保护的“隐私”是不同的。

(3)由于本发明和201910811862.5发明要解决的问题不同，所以方案的构造也是完全不同的。每个方案都是针对具体要解决的问题设计的，各自采用了不同的设计思路，实现了不同的算法，以确保各自目标的达成。

可以看出，本发明扩展了201910811862.5发明的应用场景，将单用户数据验证提升至多用户共享数据的验证，并保护了用户的身份隐私。因此，可以说本发明的工作是201910811862.5发明工作的进一步延伸和增强，两者存在一定递进关系，是本人科研工作两个阶段的成果。但就发明内容本身而言，两者是完全不同的。

[1]G.Ateniese,R.Burns,R.Curtmola,J.Herring,L.Kissner,Z.Peterson,andD.Song,“Provable Data Possession at Untrusted Stores,”Proc.Fourteenth ACMConf.on Comput.and Commun.Security(CCS’07)，pp.598-609，2007.

[2]B.Wang，B.Li，and H.Li，Oruta:Privacy-preserving Public AuditingforShared Data in the Cloud，IEEE Trans.Cloud Computing，2014，2(1),pp.43–56.

[3]G.Wu,Y.Mu,W.Susilo,F.Guo，Privacy-preserving Cloud AuditingwithMultiple Uploaders.In Proceedings of International conferenceoninformation security practice and experience(ISPEC’06),2016,pp.224–237.

[4]D.Boneh and M.Franklin,“Identity-Based Encryption from theWeilPairing,”Proc.CRYPTO’01,vol.2139,pp.213–229,2001.

发明内容

本发明所要解决的技术问题是实现安全、高效的云存储中群组共享数据的完整性验证，避免复杂的数字证书管理问题，提高效率，同时保护用户的隐私。

本发明提供了一种在多用户共享数据场景下，保证用户隐私，无需下载数据，仅通过与云服务器两次简单交互即可验证数据在云端是否保持完整的安全协议。

本发明为解决上述技术问题采用以下技术方案：

步骤A：系统建立阶段生成系统公开参数和主私钥，其具体步骤如下：

步骤A-1：设定系统安全参数k,随机选择一个大素数q满足|q|＝k；

步骤A-2：选择

和

两个阶为q的乘法循环群，g是群

的生成元，

是双线性映射。选择两个不同的安全Hash函数

和

以及一个伪随机置换

一个伪随机函数

步骤A-3：密钥生成中心随机选择

设置主私钥msk＝s，计算主公钥P₀＝g^s。系统公开参数为

步骤B：用户提交自己的身份ID到密钥生成中心，密钥生成中心计算sk_ID＝H₁(ID)^s作为用户的私钥，并通过安全信道返回给用户。

步骤C：数据拥有者利用自己的私钥为数据生成数据标签。然后将数据和标签上传到云存储中，并将它们从本地存储删除；具体步骤如下：

步骤C-1：数据拥有者将待上传的数据F分割成n个数据块表示为F＝(m₁,m₂,…,m_n)，其中任意的

步骤C-2：数据拥有者(ID_j)按照如下步骤为每一个数据块生成验证标签：

(1)数据拥有者(ID_j)选择一个随机数

(2)数据拥有者(ID_j)为数据块m_i计算标签：

其中Fid为数据的唯一性标识。

(3)数据拥有者(ID_j)计算：

并选择一个安全的签名方案Sig，计算得到整个数据文件的签名μ_j＝Sig(R_j||ID_j)。

步骤C-3：数据拥有者(ID_j)上传(m_i,T_i,j,ID_j,R_j,μ_j)到云服务器中，注意其中的(ID_j,R_j,μ_j)与用户相关，因此仅需上传一次。上传完成后将其从本地删除。

步骤D：云存储服务器接收到数据拥有者上传的数据和标签后，首先验证μ_j＝Sig(R_j||ID_j)的有效性，如果验证不通过，直接拒绝接收该数据；否则，验证公式

检查标签的正确性。若标签与数据不匹配，云服务器拒绝接收。

步骤E：验证者挑战云服务器来检查上传的数据是否完好如初。步骤如下：

步骤E-1：验证者选择两个随机数

同时设置要挑战的数据块的数量c∈[1,n]。验证者将挑战信息chal＝(c,k₁,k₂)和数据标识Fid发送给云服务器。

步骤F：云服务器在接收到验证者的挑战信息后，为挑战的数据块生成完整性证据，并将证据返回给验证者检查数据的完整性。具体步骤如下：

步骤F-1：云服务器利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)。

步骤F-2：云服务器随机选择

并计算

最后，云服务器将元组P＝(σ₁,σ₂,M)作为数据完整性证据返回给验证者。

步骤G：验证者在接收到证据后对证据进行验证，并根据验证结果判定数据是否完好如初。步骤如下：

步骤G-1：验证者利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)。

步骤G-2：验证者验证公式

是否成立；如果成立表示数据完整，否则表示数据不正确。

步骤G-3：验证者将验证结果如实反馈给用户。用户根据验证结果处理后续事情。

发明的效果

本发明协议是基于身份密码体制设计的，避免了传统公钥密码体制中的数据证书管理，具有较好的性能。同时本发明协议支持用户的隐私保护，协议在生成证据时对数据拥有者的身份进行处理，并将其隐藏到证据中，验证者可以通过检查证据的有效性判断数据是否完整，但不能获知数据拥有者的身份。本发明协议是安全高效的。

附图说明

图1本发明的协议模型图；

其中：“KGC”是密钥生成中心，负责为用户生成私钥；

“Users”是用户，多个用户构成一个群组共享数据，并将数据存储到租赁的云存储服务器上。

“CSP”是云存储服务器，提供外包数据的存储和维护服务；

“TPA”是第三方可信验证者，通过与云存储服务器的交互验证数据的完整性，并将验证结果反馈给数据拥有者。

具体实施方式

下面结合附图对本发明的技术方案做进一步的实施说明：

如图1所示，本发明可以应用于云存储系统，其中包括密钥生成中心(KGC)、数据用户(User)、云存储服务器(CSP)和第三方验证者(TPA)。系统详细的工作流程可以描述为以下7个步骤：

步骤1：系统建立阶段生成系统公开参数和主私钥，其具体步骤如下：

步骤1-1：设定系统安全参数k，随机选择一个大素数q，满足|q|＝k；

步骤1-2：选择

和

两个阶为q的乘法循环群，g是群

的生成元，

是双线性映射。选择两个不同的安全Hash函数

和

以及一个伪随机置换

一个伪随机函数

步骤1-3：KGC(密钥生成中心)随机选择

设置主私钥msk＝s，计算主公钥为P₀＝g^s。系统公开参数为

步骤2：User(用户)提交自己的身份信息ID到KGC，KGC计算sk_ID＝H₁(ID)^s作为用户的私钥，并通过安全信道返回给User。

分析：用户的ID即是用户的公钥，与用户存在天然的对应关系，不需要数字证书证明其合法，避免了复杂的数字证书关联。

步骤3：User利用自己的私钥为数据生成数据标签。然后将数据块和标签上传到云存储中，并将它们从本地存储删除；具体步骤如下：

步骤3-1：User将待上传的数据文件F分割成n个数据块表示为F＝(m₁，m₂，…，m_n)，其中任意的

步骤3-2：User(ID_j)按照如下步骤为每一个数据块生成验证标签：

(1)User(ID_j)选择一个随机数

(2)User(ID_j)为数据块m_i计算标签

其中Fid为数据的唯一性标识。

(3)User(ID_j)计算

并选择一个安全的签名方案Sig，计算得到整个数据文件的签名μ_j＝Sig(R_j||ID_j)

步骤3-3：User(ID_j)上传(m_i,T_i,j，ID_j，R_j,μ_j)到CSP(云存储服务器)中，注意其中的(ID_j,R_j，μ_j)与用户相关，因此仅需上传一次。上传完成后将其从本地删除。

分析：标签生成算法中，用户利用私钥建立用户、数据与标签之间的关系。运用随机数

植入离散对数困难问题，使标签具备不可伪造性。同时利用现有安全签名方案Sig，保证关键参数R＝g^λ的正确性，从而保证标签的有效性验证。与以往方案相比，标签生成增加了一次乘法运算，但是实现了基于身份的标签生成特性。况且乘法运算的计算代价很小，基本上可以忽略不计。

步骤4：CSP接收到数据拥有者上传的数据后，首先验证μ_j＝Sig(R_j||ID_j)的有效性，如果验证不通过，直接拒绝接收该数据；如果验证通过，则进一步验证公式

是否成立。如果成立说明数据与标签是匹配的，那么CSP接收并存储该数据和标签；如果不成立说明标签与数据不匹配，则CSP拒绝接收该数据与标签，并继续检查下一条数据与标签，直至结束。

步骤5：TPA(第三方可信验证者)通过挑战CSP来检查上传的数据是否完好如初。具体如下：

步骤5-1：TPA选择两个随机数

同时设置要挑战的数据块数量c∈[1,n]。TPA将挑战信息chal＝(c,k₁,k₂)和数据标识Fid发送给CSP。

步骤6：CSP在接收到TPA的挑战信息后，为挑战的数据块生成完整性证据，并将证据返回给TPA以检查数据的完整性。具体步骤如下：

步骤6-1：CSP利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i，a_i)|i∈[1，c]}，其中v_i＝π(k₁，i)，a_i＝φ(k₂，i)。

步骤6-2：CSP随机选择

并计算

最后，CSP将元组P＝(σ₁,σ₂,M)作为数据完整性证据返回给TPA。

分析：该步骤用于生成完整性证据，与传统做法不同，本协议将挑战数据所属的用户信息作为证据的一部分(σ₁)返回给验证者，使验证者无法在验证阶段获知数据与用户的关系，同时再利用随机数

对用户信息进行随机化处理，保证验证者无法从证据中提取用户信息，从而实现用户的隐私保护。在σ₂中嵌入的e(h,P₀)将随机数

消除，嵌入的标签信息

与

的数据信息配合实现对数据的完整性验证。相对而言，这是一种更高效的实现用户隐私保护的完整性验证方法。

步骤7：TPA接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初。步骤如下：

步骤7-1：TPA利用伪随机置换和伪随机函数计算得到挑战集合C＝{(v_i,a_i)|i∈[1,c]}，其中v_i＝π(k₁,i),a_i＝φ(k₂,i)。

步骤7-2：TPA验证公式

是否成立；如果成立表示数据完整，否则表示数据不正确。

步骤7-3：TPA将验证结果如实反馈给用户。用户根据验证结果处理后续事情。

分析：验证算法仅需要云服务器返回的证据以及相关公开信息即可，而不需要任何私密信息，也不需要用户身份信息，因此支持公开验证，同时保证用户的匿名性。验证算法利用双线性映射数学工具，有效的展现出标签与数据以及与内在的用户之间的关系，并通过巧妙的数学变换消除随机数的影响，得到正确的验证结果。与其他支持用户隐私保护的验证方案相比，该算法具有更好的性能。

综上所述，本发明提出了一个用于证明存储在云系统中的群组共享数据的完整性校验协议。该方法的主要特色优势是利用基于身份的公钥密码体制避免了PKI中的数字证书管理问题，同时实现了用户的隐私保护，协议具有较好的性能和较高的安全性。