CN114978753A - 一种抗密钥泄露的云存储数据完整性验证方法 - Google Patents

Abstract

本发明涉及一种高效的抗密钥泄露的云存储数据完整性验证方法，属于云计算安全技术领域。本方案针对云存储数据的完整性验证及客户密钥泄露问题而设计，实现了抗密钥泄露攻击下的安全云存储数据完整性验证。方案中云客户端首先为数据生成验证标签，然后将数据及标签上传到云存储中共享。当验证者挑战数据完整性时，云服务器基于数据和标签生成完整性证据并返回给验证者。客户定期更新自己的私钥，并基于新的私钥生成标签更新密钥，云服务器利用标签更新密钥完成数据标签的更新。本发明通过客户密钥和验证标签的周期性更新，实现了抗密钥泄露攻击下的云存储数据完整性验证，是安全高效的。

Description

一种抗密钥泄露的云存储数据完整性验证方法

技术领域

本发明属于云计算安全技术领域，涉及一种抗密钥泄露的云存储数据完整性验证方法。

背景技术

随着大数据时代的到来，数据的存储需求越来越强烈，云存储作为一种新型的，具有高效、灵活、扩展性高等特点的数据存储技术得到了广泛的应用。云存储使客户不需要投入巨大的基础设施建设和人力资源建设成本到数据的存储和管理中，客户只需要花费少量云服务租赁费用就能享受到云存储提供的高质量数据服务。因此，越来越多的用户选择将数据外包存储到云服务器中，以减轻数据存储、维护和管理的成本。然而，云存储服务并不是完全可信的，一方面其自身的硬件、软件及网络系统的可靠性仍有待提高，另一方面，云服务器也存在由于误操作或恶意的篡改和删除用户数据的可能。因此，确保云存储中用户数据的完整性是一项迫切且重要的事情。

Ateniese等人[1]于2007年提出一个可证明数据持有模型(PDP)，实现了高效的远程数据的完整性验证。随后，众多学者对PDP模型进行更深入的研究，并扩展了多种特性，比如支持数据更新、支持多数据备份、支持隐私保护等。然而，这其中对于抗用户密钥泄露问题的研究却没有引起足够的重视。抗用户密钥泄露是指一旦用户密钥泄露出去，如何保证数据完整性验证协议的安全性和可靠性。就现实而言，由于客户实际工作或生活中的网络环境及社会环境的复杂性，密钥泄露事件是极有可能发生的，其带来的安全问题更是不容忽视的。因此，在云存储数据完整性验证协议中必须考虑抗密钥泄露安全问题，必须做到即使用户密钥泄露，验证协议仍然是安全可靠的。解决该问题最常见的方法是客户定期更新自己的私钥，并使用新的私钥完成后续工作，而原来的私钥自动失效，此时即使之前的密钥泄露出去，也不影响整个协议应用的安全性。但在云存储数据完整性验证协议中，用户在更新密钥后还需要同步更新数据标签，因为数据标签仍然是基于用户原来的私钥生成的，只有将其更新到当前私钥条件下才能保证数据完整性验证功能的可用性。为降低用户端计算代价，标签更新操作外包到云服务器中完成是最好的选择。

Yu等人[2]首次提出了一个抗密钥泄露攻击的云存储数据完整性验证协议，协议中使用二叉树结构实现了用户密钥的周期性更新，但该协议的计算量非常大，实用性不高。后来，Zhang等人[3]提出一个基于格的抗密钥泄露的数据完整性验证协议，但该协议仅满足前向安全性。Xu等人[4]提出一个同时满足前向安全和后向安全的抗密钥泄露的数据完整性验证协议，但由于该协议中的验证者需要构建自己的密钥对且参与用户的密钥更新和完整性验证过程，因此该协议性能较低且不支持完全的公开验证。

本发明基于上述问题，提出一个抗密钥泄露的，安全高效的云数据完整性验证方法。本发明方法支持用户密钥周期性更新和验证标签的周期性更新，并通过将标签更新工作外包到云服务器，提高其整体性能。

[1]G.Ateniese,R.Burns,R.Curtmola,J.Herring,L.Kissner,Z.Peterson,andD.Song,“Provable Data Possession at Untrusted Stores,”Proc.Fourteenth ACMConf.on Comput.and Commun.Security(CCS’07),pp.598-609,2007.

[2]J.Yu,K.Ren,C.Wang,et al."Enabling cloud storage auditing with key-exposure resistance",IEEE Transactions on Information forensics and security,vol.10,no.6,pp.1167-1179,2015.

[3]X.Zhang,H.Wang,C.Xu,"Identity-based key-exposure resilient cloudstorage public auditing scheme from lattices",Information Sciences,vol.472,pp.223-234,2019.

[4]Y.Xu,S.Sun,J.Cui,et al."Intrusion-resilient public cloud auditingscheme with authenticator update",Information Sciences,vol.512,pp.616-628,2020.

发明内容

本发明所要解决的技术问题是实现安全、高效的云存储中数据的完整性验证，同时抗用户密钥泄露攻击。

本发明为解决上述技术问题采用以下技术方案：

步骤A：系统建立，生成公开参数，其具体步骤如下：

步骤A-1：设定系统安全参数k,随机选择一个大素数p，满足|p|＝k；

步骤A-2：选择G₁和G₂两个阶为p的乘法循环群，g是群G₁的生成元，e:G₁×G₁→G₂是双线性映射；选择三个不同的Hash函数h₁:{0,1}^*→G₁,h₂:{0,1}^*→G₁和h₃:{0,1}^*→Z_p，以及一个伪随机置换

Z_p×{1…n}→{1…n}和一个伪随机函数φ:Z_p×Z_p→Z_p。输出系统公开参数

步骤B：客户生成两组密钥对，一组用于生成数据块标签，一组用于生成文件标签；

步骤B-1：客户设定生成首个私钥sk₀的时间是t₀。客户随机选择一个整数a₀∈Z_p，将其设置为初始私钥sk₀＝a₀，客户计算公钥

得到密钥对(sk₀,pk)；

步骤B-2：客户随机选择一个签名算法SIG，并生成相应的密钥对(ssk,spk)。

步骤C：客户为外包到云存储中的数据生成数据块标签和文件标签，然后将数据块及其数据块标签上传到云存储中，并将文件标签发送给验证者；

步骤C-1：客户首先将外包数据F分割成n个数据块，表示为F＝(m₁,…,m_n)，其中每个数据块m_j∈Z_p(j∈[1,n])。客户设置密钥更新的时间周期为Δt并基于Δt和客户身份标识UID计算得到U＝h₂(UID||Δt)。接着,客户随机选择整数λ∈Z_p,计算得到W＝g^λ；

步骤C-2：客户为数据块m_j计算验证标签为：

利用该公式客户计算出所有数据块标签的集合：θ＝(θ₁,…,θ_n)。客户将(F,θ)上传到云存储服务器中保存；

步骤C-3：客户使用签名算法SIG及密钥对(ssk,spk)计算文件标签:FTag＝SIG(FID||W||Δt||t₀)，其中FID为数据F的唯一标识。客户将(FID,W,Δt,t₀,FTag)发送给第三方验证者；验证者利用spk验证文件标签的合法性，如果合法则将其留存，否则要求客户重新发送。

步骤D：客户不定期更新私钥，以抵抗密钥泄露攻击；

步骤D-1：客户初始私钥sk₀的生成时间是t₀，那么在第i个时间周期t_i＝t₀+i·Δt时，客户私钥更新为：sk_i＝h₃(t_i)·sk₀＝h₃(t₀+i·Δt)·a₀。

步骤E：客户生成标签更新密钥，用于更新云存储中的数据块标签；

步骤E-1：客户生成新的私钥后，原云存储中的数据块验证标签需要同步更新，以确保数据完整性的验证功能是正常的。假设在前一个周期t-1时客户的私钥为sk_t-1，在当前时间周期t时客户的私钥更新为sk_t，那么数据块更新密钥计算为：

客户将数据块更新密钥rsk_t发送给云服务器。

步骤F：云服务器利用数据块更新密钥rsk_t，将原数据标签更新；

步骤F-1：收到数据块更新密钥后，云服务器利用数据块的原数据标签计算得到新的标签。假设在时间周期t-1时数据块m_j的标签为θ_j,t-1，在当前时间周期t时数据块的标签为

利用该公式，云存储服务器将所有的数据块标签更新。

步骤G：验证者挑战云存储服务器上的数据是否完好如初，具体如下：

步骤G-1：验证者在时间周期t(t>t₀)时挑战数据完整性，验证者选择两个随机数k₁,k₂∈Z_p，同时设置要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)发送给云存储服务器。

步骤H：云服务器接收到验证者的挑战信息后，为挑战的数据块生成完整性证据，并将证据返回给验证者，以检查数据的完整性；

步骤H-1：云服务器利用伪随机置换函数计算得到挑战的数据块索引集合：

同时利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}。然后，云服务器计算完整性证据为:

并将P＝(M,Γ)发送给验证者。

步骤I：验证者接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初；

步骤I-1：验证者首先计算从初始时间t₀到当前时间t的周期数，也即客户私钥更新的次数：l＝(t-t₀)/Δt。然后伪随机置换函数计算得到挑战的数据块索引集合：

利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}；

步骤I-2：验证者验证公式

是否成立，成立说明数据是完整的，否则说明数据不完整；

步骤I-3：验证者将验证结果如实反馈给客户，客户根据验证结果处理后续索赔或数据恢复等事情。

发明的有益效果

本发明协议实现了云存储数据的完整性公开验证，验证者通过随机挑战部分数据块的正确性检查数据整体的完整性。本发明方法同时支持客户密钥的周期性更新，解决了客户密钥泄露的问题，提高了安全性。同时，本方法通过标签更新密钥实现了云存储中数据标签的快速更新，保证了用户密钥更新后的数据完整性功能的有效性。本发明协议是安全高效的。

附图说明

图1本发明的系统模型图；

其中：“Client”是云服务客户，其将数据存储到租赁的云存储服务器上；

“CSP”是云存储服务器，提供外包数据的存储和维护服务；

“TPA”是第三方验证者，通过与云存储服务器的交互验证数据的完整性，并将验证结果反馈给客户。

具体实施方式

下面结合附图对本发明的技术方案做进一步的实施说明：

如图1所示，本发明可以应用于云存储系统，其中包括云服务客户(Client)、云存储服务器(CSP)和第三方验证者(TPA)。系统详细的工作流程可以描述为以下9个步骤。

步骤1：系统建立，生成公开参数，其具体步骤如下：

步骤1-1：设定系统安全参数k,随机选择一个大素数p，满足|p|＝k；

步骤1-2：选择G₁和G₂两个阶为p的乘法循环群，g是群G₁的生成元，e:G₁×G₁→G₂是双线性映射；选择三个不同的Hash函数h₁:{0,1}^*→G₁,h₂:{0,1}^*→G₁和h₃:{0,1}^*→Z_p，以及一个伪随机置换

Z_p×{1…n}→{1…n}和一个伪随机函数φ:Z_p×Z_p→Z_p。输出系统公开参数

步骤2：客户生成两组密钥对，一组用于生成数据块标签，一组用于生成文件标签；

步骤2-1：客户设定生成首个私钥sk₀的时间是t₀。客户随机选择一个整数a₀∈Z_p，将其设置为初始私钥sk₀＝a₀。客户计算公钥

得到密钥对(sk₀,pk)；

步骤2-2：客户随机选择一个签名算法SIG，并生成相应的密钥对(ssk,spk)。

步骤3：客户为外包到云存储中的数据生成数据块标签和文件标签，然后将数据块及数据块标签上传到云存储中，将文件标签发送给第三方验证者；

步骤3-1：客户首先将外包数据F分割成n个数据块，表示为F＝(m₁,…,m_n)，其中每个数据块m_j∈Z_p(j∈[1,n])。客户设置密钥更新的时间周期为Δt并基于Δt和客户身份标识UID计算得到U＝h₂(UID||Δt)。接着,客户随机选择整数λ∈Z_p,计算得到W＝g^λ；

步骤3-2：客户为数据块m_j计算验证标签为：

利用该公式客户计算出所有数据块标签的集合：θ＝(θ₁,…,θ_n)。客户将(F,θ)上传到云存储服务器中保存；

步骤3-3：客户使用签名算法SIG及密钥对(ssk,spk)计算文件标签:FTag＝SIG(FID||W||Δt||t₀)，其中FID为数据F的唯一标识；客户将(FID,W,Δt,t₀,FTag)发送给第三方验证者；验证者利用spk验证文件标签的合法性，如果合法则将其留存，否则要求客户重新发送。

步骤4：客户不定期更新私钥，以抵抗密钥泄露攻击；

步骤4-1：客户初始私钥sk₀的生成时间是t₀，那么在第i个时间周期t_i＝t₀+i·Δt时，客户私钥更新为：sk_i＝h₃(t_i)·sk₀＝h₃(t₀+i·Δt)·a₀。

步骤5：客户生成标签更新密钥，用于更新云存储中的数据块标签；

步骤5-1：客户生成新的私钥后，原云存储中的数据块验证标签需要同步更新，以确保数据完整性的验证功能是正常的。假设在前一个周期t-1时客户的私钥为sk_t-1，在当前时间周期t时客户的私钥更新为sk_t，那么数据块更新密钥计算为：

客户将数据块更新密钥rsk_t发送给云服务器。

步骤6：云服务器利用数据块更新密钥rsk_t，将原数据标签更新；

步骤6-1：收到数据块更新密钥后，云服务器利用数据块的原数据标签计算得到新的标签。假设在时间周期t-1时数据块m_j的标签为θ_j,t-1，在当前时间周期t时数据块的标签为

利用该公式，云存储服务器将所有的数据块标签更新。

步骤7：第三方验证者挑战云存储服务器上的数据是否完好如初，具体如下：

步骤7-1：验证者在时间周期t(t>t₀)时挑战数据完整性，验证者选择两个随机数k₁,k₂∈Z_p，同时设置要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)发送给云存储服务器。

步骤8：云服务器在接收到验证者的挑战信息后，为挑战的数据块生成完整性证据，并将证据返回给验证者，以检查数据的完整性；

步骤8-1：云服务器利用伪随机置换函数计算得到挑战的数据块索引集合：

同时利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}。然后，云服务器计算完整性证据为:

并将P＝(M,Γ)发送给验证者。

步骤9：验证者接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初；

步骤9-1：验证者首先计算从初始时间t₀到当前时间t的周期数，也即客户私钥更新的次数：l＝(t-t₀)/Δt。然后伪随机置换函数计算得到挑战的数据块索引集合：

利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}；

步骤9-2：验证者验证公式

是否成立，成立说明数据是完整的，否则说明数据不完整；

步骤9-3：验证者将验证结果如实反馈给客户，客户根据验证结果处理后续索赔或数据恢复等事情。

Claims (9)

1.一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，包括以下步骤：

步骤1：系统建立，生成公开参数；

步骤2：客户生成两组密钥对，一组用于生成数据块标签，一组用于生成文件标签；

步骤3：客户为外包到云存储中的数据生成数据块标签和文件标签，然后将数据块及数据块标签上传到云存储中，并将文件标签发送给验证者；

步骤4：客户不定期更新私钥，以抵抗密钥泄露攻击；

步骤5：客户生成标签更新密钥，用于更新云存储中的数据块标签；

步骤6：云服务器利用数据块更新密钥rsk_t，将原数据标签更新。

2.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤1具体如下：

步骤1-1：设定系统安全参数k,随机选择一个大素数p，满足|p|＝k；

步骤1-2：选择G₁和G₂两个阶为p的乘法循环群，g是群G₁的生成元，e:G₁×G₁→G₂是双线性映射；选择三个不同的Hash函数h₁:{0,1}^*→G₁,h₂:{0,1}^*→G₁和h₃:{0,1}^*→Z_p，以及一个伪随机置换

Z_p×{1…n}→{1…n}和一个伪随机函数φ:Z_p×Z_p→Z_p；输出系统公开参数

3.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤2具体如下：

步骤2-1：客户设定生成首个私钥sk₀的时间是t₀；客户随机选择一个整数a₀∈Z_p，将其设置为初始私钥sk₀＝a₀；客户计算公钥

得到密钥对(sk₀,pk)；

步骤2-2：客户随机选择一个签名算法SIG，并生成相应的密钥对(ssk,spk)。

4.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤3具体如下：

步骤3-1：客户首先将外包数据F分割成n个数据块，表示为F＝(m₁,…,m_n)，其中每个数据块m_j∈Z_p(j∈[1,n])；客户设置密钥更新的时间周期为△t并基于△t和客户身份标识UID计算得到U＝h₂(UID||△t)；接着,客户随机选择整数λ∈Z_p,计算得到W＝g^λ；

步骤3-2：客户为数据块m_j计算验证标签为：

利用该公式客户计算出所有数据块标签的集合：θ＝(θ₁,…,θ_n)；客户将(F,θ)上传到云存储服务器中保存；

步骤3-3：客户使用签名算法SIG及密钥对(ssk,spk)计算文件标签:FTag＝SIG(FID||W||△t||t₀)，其中FID为数据F的唯一标识；客户将(FID,W,△t,t₀,FTag)发送给第三方验证者；验证者利用spk验证文件标签的合法性，如果合法则将其留存，否则要求客户重新发送。

5.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤4具体如下：

客户初始私钥sk₀的生成时间是t₀，那么在第i个时间周期t_i＝t₀+i·△t时，客户私钥更新为：sk_i＝h₃(t_i)·sk₀＝h₃(t₀+i·△t)·a₀。

6.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤5具体如下：

步骤5-1：客户生成新的私钥后，原云存储中的数据块验证标签需要同步更新，以确保数据完整性的验证功能是正常的；假设在前一个周期t-1时客户的私钥为sk_t-1，在当前时间周期t时客户的私钥更新为sk_t，那么数据块更新密钥计算为：

客户将数据块更新密钥rsk_t发送给云服务器。

7.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤6具体如下：

步骤6-1：收到数据块更新密钥后，云服务器利用数据块的原数据标签计算得到新的标签；假设在时间周期t-1时数据块m_j的标签为θ_j,t-1，在当前时间周期t时数据块的标签为

利用该公式，云存储服务器将所有的数据块标签更新。

8.根据权利要求1所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，还包括以下步骤：

步骤7：验证者挑战云存储服务器上的数据是否完好如初，具体如下：

验证者在时间周期t(t>t₀)时挑战数据完整性，验证者选择两个随机数k₁,k₂∈Z_p，同时设置要挑战的数据块数量c∈[1,n]；验证者将挑战信息chal＝(c,k₁,k₂)发送给云存储服务器；

步骤8：云服务器接收到验证者的挑战信息后，为挑战的数据块生成完整性证据，并将证据返回给验证者检查数据的完整性；

云服务器利用伪随机置换函数计算得到挑战的数据块索引集合：

同时利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}；然后，云服务器计算完整性证据为:

并将P＝(M,Γ)发送给验证者；

步骤9：验证者接收到证据后，对证据进行验证，并根据验证结果判定数据是否完好如初。

9.根据权利要求8所述的一种抗密钥泄露的云存储数据完整性验证方法，其特征在于，步骤9还包括以下步骤：

步骤9-1：验证者首先计算从初始时间t₀到当前时间t的周期数，也即客户私钥更新的次数：l＝(t-t₀)/△t；然后伪随机置换函数计算得到挑战的数据块索引集合：

利用伪随机函数计算得到随机系数集合：S＝{s_i＝φ(i,k₂)|i∈[1,c]}；

步骤9-2：验证者验证公式

是否成立，成立说明数据是完整的，否则说明数据不完整；

步骤9-3：验证者将验证结果如实反馈给客户，客户根据验证结果处理后续事情。

Images