CN116451270B

CN116451270B - 一种验证云存储中数据确定性删除的方法

Info

Publication number: CN116451270B
Application number: CN202310333730.2A
Authority: CN
Inventors: 张志强; 朱友文; 王箭; 蒋炎
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2023-03-31
Filing date: 2023-03-31
Publication date: 2024-06-14
Anticipated expiration: 2043-03-31
Also published as: CN116451270A

Abstract

本发明公开了一种验证云存储中数据确定性删除的方法，所述方法是基于两个安全的签名算法以及集合存储的数据结构。当用户发生服务器数据删除请求时，首先，通过签名向服务器提交删除请求，服务器验证签名通过后，执行数据删除；其次，用户采用匿名环签名算法向服务器提交数据状态检查请求，服务器验证环签名通过后，给出检查结果；最后，用户构造验证等式，对服务器给出的检查结果进行验证。相比于传统的数据删除方案，本发明不依赖于Merkel树，无需占用额外存储空间，能够提供较精确的数据删除查询，并且降低了算法复杂度。

Description

一种验证云存储中数据确定性删除的方法

技术领域

本发明属于云存储技术领域，涉及一种验证第三方半可信云存储服务器中数据安全删除的方法，尤其涉及一种验证云存储中数据确定性删除的方法。

背景技术

云存储为数据用户提供了便捷的数据托管服务，当用户产生数据删除需求时，最关键的问题是如何可公开验证数据的删除结果，确保云存储服务器诚实地完成数据删除操作。针对这一问题，现有基于密码学协议的解决方案主要围绕Merkel哈希树开展。将云端存储的数据分块，依次建立哈希摘要做为叶子节点，父节点则是子节点聚合的哈希值。当发生数据删除时，叶子节点发生改变，依据哈希函数的单向性，只需验证根节点的值即可获知数据被删除。

但是，以Merkel树及其相关变形为主的构造方法存在以下明显不足：

1、通过对云端数据分块构建索引，并生成索引Merkel哈希树。随着云端数据量增长，构造Merkel树的复杂度将线性增加。

2、其次，在Merkel树构造过程中，叶子节点需携带数据块信息，Merkel树的存储体积将随云端存储数据量线性增加，发生数据变更时，需要对整个Merkel树进行维护。

3、当数据删除后，通过Merkel树的完整性验证，数据用户仅可获知数据发生变更，不能够精确锁定变更数据块，且无法确定该变更行为是否为删除，服务器需进一步遍历叶子节点，给出变更结果。

在数据删除结果验证中，对于数据用户来说，只需获取指定数据删除的凭据结果，无需云存储服务器对整个数据集进行完整性证明。因此，如何构造一种高效验证数据删除的方法，确保半可信服务器诚实地执行删除操作，并能够由第三方公开验证是目前云存储中需要考虑的关键问题之一。

发明内容

发明目的：为解决上述现有技术在执行数据删除过程中难以确定的问题，本发明提供一种验证云存储中数据确定性删除的方法。

技术方案：一种验证云存储中数据确定性删除的方法，所述方法用于验证第三方半可信云存储服务器中数据是否安全删除，该方法包括如下步骤：

(1)确定一个安全数字签名算法Sig和一个安全的匿名环签名算法Rsig，也包括确定数据结构和定义双线性累加器；

所述的安全数字签名算法Sig用于数据用户向服务器提交数据删除请求的真实性签名和验证；所述的匿名环签名算法Rsig，用于数据用户匿名向服务器提交当前数据状态的检查请求的签名和验证；所述的数据结构是基于集合存储的数据结构，表示为服务器数据的存储类型，且集合元素由指向文档的指针构成，或由给定抗碰撞哈希函数形成的文档摘要构成；所述的双线性累加器为Z_p域上的聚合算法，用于计算一个以上域元素的聚合值，且提供元素所属集合的成员证明；

(2)初始化及公钥生成阶段：{sk,pk}←genKey(1^k)，在输入安全参数k后，输出服务器认证私钥sk及系统公钥pk，genKey表示初始化公私钥生成算法；

(3)用户删除请求提交：{Sig}←delSub(Sig,pk)，用户通过签名Sig向云存储服务器提交数据删除请求，用于删除数据集合S_i中的指定数据；服务器验证签名通过后，执行数据删除请求；

(4)数据状态检查：{W_i,P_i}←stateCheck(pk,sk,Rsig)，用户为验证服务器是否真实执行了数据删除操作，采用环签名算法Rsig匿名向服务器提出数据存储状态检查请求，服务器验证环签名通过后，计算数据状态检查结果{W_i,P_i}，并返回给用户；

(5)验证删除操作：{result}←deleVerify(W_i,P_i,pk)，用户构造验证等式，对服务器返回的数据状态检查结果进行验证。

进一步的，所述方法将包括将第三方半可信云存储服务器中基于集合存储的m个数据集合表示为S₁,S₂,...S_m，集合S_i中不包含重复元素，将集合元素视为指向文档的指针，或由给定抗碰撞哈希函数形成的文档摘要，具体的计算和操作过程如下：

假定元素全集U包含区间[m+1,p-1]-{s}内所有非负整数，其中k为安全参数，p为k位大素数，m为比特大小为O(logk)的集合数目，s为私钥陷门，通过抗碰撞哈希函数，将集合元素全集设置为

定义集合I为集合S_i,1≤i≤t之间的交集，表示为：

I＝S₁∩S₂∩...S_t＝{y₁,y₂,...,y_δ}

若交集定义正确，则应满足以下两个完备条件：

1)

2)

集合I中包含集合S_i之间的所有公共元素，进而定义集合S_i上的累加多项式如下：

基于多项式上的扩展欧几里得算法，为检验集合交集的正确性提供验证依据。

进一步的，步骤(2)初始化及公钥生成包括将双线性对参数表示为{p,G,G_T,e(.),g}，随机元素进而设置服务器认证私钥为sk＝s，sk由密钥中心颁发，设置公钥为：pk＝(p,G,G_T,e(.),g,param)，其中/>q≥max{m,max_i＝1,...,m{|S_i|}}，基于密钥中心的信任背书，用户可确定该服务器为真实数据存储服务器，进而开展数据删除操作的验证。

更进一步的，步骤(2)对于初始化及公钥生成阶段的计算处理过程存在如下数学关系：

当且仅当存在多项式q₁(s),q₂(s),...,q_t(s)，使得：

q₁(s)P₁(s)+q₂(s)P₂(s)+...+q_t(s)P_t(s)＝1,i＝1,...,t

关系成立时，集合I为集合S_i的交集，且满足完备条件；

给定Z_p-{s}上的元素集合X，其累加值acc(X)定义为：

其中，acc(X)的值通过多项式插值算法可由重构，q≥|X|，给定子集/>则子集元素成员证明定义为：

通过构造等式可验证子集S是否为全集X的真子集。

所述方法的步骤(S3)包括如下过程：

将用户本地数据存储集合表示为S_u，待删除数据集合表示为S_I；用户使用身份ID向服务器提交删除数据请求Sig(ID,x_i∈S_i∩S_u)，服务器收到删除请求信息后，验证Sig，并执行数据删除操作。

进一步的，步骤(4)所书的数据状态检查是用户使用匿名身份构造环签名Rsig(ID^*,req)，向服务器提交数据状态检查请求，服务器验证该签名；如果服务器验证成功，此时依据用户数据状态检查请求类型分为单集合数据存储与多集合数据存储情况；

针对单集合数据存储与多集合数据存储的数据状态检查请求，其数学形式表述如下：

单集合数据存储：用户数据在服务器端存储占用单个集合S_i，即用户数据索引数t≤|S_i|。此时服务器返回该集合S_i的状态累加值：

多集合数据存储：用户数据在服务器端存储分布在多个集合S₁,S₂,...,S_t，此时服务器计算i＝1,...,t，/>返回给用户；

若服务器诚实执行了用户的数据删除请求，则此处W_i等价于集合S_i-S_I上的状态累加值，此处P_i(s)等价于集合S_i-S_I上的计算结果。

进一步的，步骤(5)对于用户验证删除包括针对单集合数据存储和多集合数据存储，具体计算过程如下：

单集合数据存储：用户在接收到W_i时，计算本地集合数据状态累加值：

构造验证等式：

e(W_i,g)＝e(acc,g)

多集合数据存储：用户在收到P_i，W_i时，若服务器已诚实执行用户删除请求，则P_i应当表示为此时用户已删除元素构成集合S_I与P_i所表示服务器中集合的关系为：

用户计算q_i(s)使得q₁(s)P₁(s)+q₂(s)P₂(s)+...+q_t(s)P_t(s)＝1,i＝1,...,t，构造i＝1,...,t；并构造验证等式：

用户计算等式是否成立，若关系成立，那么在验证等式中，用户则能正确计算出q_i(s)，完成等式验证，否则，拒绝接受该服务器删除证明。

有益效果：本发明所述的方法能够确保半可信服务器诚实地执行删除操作，并给出删除凭据，能够高效地由第三方公开验证删除结果，与现有技术相比，其显著的效果如下：

1、基于集合数据结构构建数据删除验证方法，相比于Merkel树，无需占用存储空间，并且不需要进行树的更新及维护。

2、通过构造具体数据的集合查询，能够精确锁定用户的数据删除结果，规避了以往Merkel树中存在的查询精度低的不足。

3、随着服务器中的数据量线性增加，数据删除结果查询的复杂度仅与数据属主存储的数据量及操作次数相关。相比于Merkel树，复杂度不会线性增加，无需调用整个服务器的数据进行删除结果证明。

附图说明

图1为本发明所述方法的总体实施逻辑框图；

图2为本发明验证云存储中数据安全删除的算法流程图。

具体实施方式

为详细的说明本发明所公开的技术方案，下面结合说明书附图做进一步的阐述。

结合图1所述，本发明主要是应用在云存储技术领域，基于两个安全的签名算法以及集合存储的数据结构，通过签名算法和公钥密码学实现第三方半可信云存储服务器中数据是否安全删除的验证过程。本发明的应用对象主要涉及到3个实体，即数据用户、云存储服务器和密钥生成中心，在本实施例中，将其中云存储服务器定义为半可信服务器，即诚实但好奇的数据存储托管方，密钥生成中心则为可信机构。由此进一步的阐述本发明的实施过程。

本发明的实施流程总体上分为三步：

第1步：数据用户将删除请求信息进行签名提交给云存储服务器，服务器在验证签名通过后，执行该数据用户ID的删除请求，签名验证确保执行删除请求的用户为数据存储的真实属主用户；

第2步：用户通过环签名向云存储服务器匿名(ID^*)提交数据状态检查请求，通过匿名身份查询可以杜绝了半可信服务器利用背景知识伪造删除结果的行为；

第3步中：云存储服务器返回数据状态检查结果。在本发明中，将用户数据存储情况分为了单集合数据存储与多集合数据存储，依据两种不同存储类型，服务器返回相应的数据状态检查结果{W_i,P_i}。

进一步的结合图2所示的实施流程，下面具体阐述一种验证云存储中数据确定性删除的方法，步骤如下：

S1、在可验证数据删除算法执行前，需确定1个安全数字签名算法Sig、1个安全的匿名环签名算法Rsig、基于集合存储的数据结构，以及定义双线性累加器。

针对步骤(S1)，首先给定m个数据集合S₁,S₂,...S_m，集合S_i中不包含重复元素，可将集合元素视为指向文档的指针，或由给定抗碰撞哈希函数形成的文档摘要。在不丧失一般性的前提下，假定元素全集U包含区间[m+1,p-1]-{s}内所有非负整数，其中k为安全参数，p为k位大素数，m为比特大小为O(logk)的集合数目，s为本发明中的私钥陷门。通过抗碰撞哈希函数，可将集合元素全集设置为

定义集合I为集合S_i,1≤i≤t之间的交集，表示为：

I＝S₁∩S₂∩...S_t＝{y₁,y₂,...,y_δ}

若交集定义正确，则应满足以下两个完备条件：

1、

2、

注意到，集合I中应当包含集合S_i之间的所有公共元素，进而定义集合S_i上的累加多项式：

基于多项式上的扩展欧几里得算法，为检验集合交集的正确性提供验证依据，存在如下定理：

定理1：当且仅当存在多项式q₁(s),q₂(s),...,q_t(s)，使得：

q₁(s)P₁(s)+q₂(s)P₂(s)+...+q_t(s)P_t(s)＝1,i＝1,...,t

关系成立时，集合I为集合S_i的交集，且满足完备条件。

双线性累加器能够提供元素属于某集合的成员证明，例如随机选择构造方案中陷门，累加器将会累加计算Z_p-{s}中的元素，并输出一个G中的元素值。给定Z_p-{s}上的元素集合X，其累加值acc(X)定义为：

其中，acc(X)的值通过多项式插值算法可由重构，q≥|X|。给定子集/>则子集元素成员证明定义为：

通过构造等式可验证子集S是否为全集X的真子集。

S2、初始化及公钥生成

给定双线性对参数{p,G,G_T,e(.),g}，以及随机元素

设置服务器认证私钥为：sk＝s，此处sk由密钥中心颁发，数据存储服务器借助该私钥陷门进行可验证删除证明，基于密钥中心的信任背书，用户可确定该服务器为真实数据存储服务器，进而开展数据删除操作的验证。设置公钥为：pk＝(p,G,G_T,e(.),g,param)，其中q≥max{m,max_i＝1,...,m{|S_i|}}。

S3、用户删除请求提交

将用户本地数据存储集合表示为S_u，待删除数据集合表示为S_I。用户使用身份ID向服务器提交删除数据请求Sig(ID,x_i∈S_i∩S_u)，服务器收到删除请求信息后，验证Sig，并执行数据删除操作。

S4、数据状态检查请求：用户使用匿名身份构造环签名Rsig(ID^*,req)，向服务器提交数据状态检查请求，服务器验证该签名。如果服务器验证成功，此时依据用户数据状态检查请求类型分为单集合数据存储与多集合数据存储情况。

多集合数据存储：用户数据在服务器端存储分布在多个集合S₁,S₂,...,S_t，此时服务器计算i＝1,...,t，/>返回给用户。

注意到，若服务器诚实执行了用户的数据删除请求，则此处W_i等价于集合S_i-S_I上的状态累加值，此处P_i(s)等价于集合S_i-S_I上的计算结果。

S5、用户验证删除操作：该步骤同样分为两种情况。

构造验证等式：

e(W_i,g)＝e(acc,g)

注意到，此时数据存储为同步存储，即用户数据在云存储服务器中单独占用一个集合，满足关系。若服务器已诚实执行用户请求，删除S_i中的数据S_I，则W_i应当表示为：

那么等式能够验证通过。

多集合数据存储：用户在收到P_i，W_i时，若服务器已诚实执行用户删除请求，则P_i应当表示为注意到，此时用户已删除元素构成集合S_I与P_i所表示服务器中集合的关系为：

再由定理1，用户计算q_i(s)，构造i＝1,...,t；并构造验证等式：

用户计算等式是否成立，若关系成立，那么在验证等式中，用户则能正确计算出q_i(s)，完成等式验证。否则，拒绝接受该服务器删除证明。

注意到，多种集合数据存储的验证等式形式，同样适用于单集合数据存储验证，前提是单集合数据存储中，本地集合与云服务器满足关系，即非同步存储。单集合是多集合的特殊情况，为计算方便考虑，直接执行单集合构造等式进行验证。

基于上述的计算处理过程，下面是本发明正确性证明及安全性证明。

正确性证明：

已知则e(W_i,g)＝e(acc,g)可表示为：

若云存储服务器诚实执行了单集合数据存储状态下的删除操作，则P_u(s)＝P_i(s)，上式可进一步化简为：验证通过。

已知则/>可表示为：

若云存储服务器诚实执行了多集合数据存储状态下的删除操作，则满足如下集合关系：

根据定理1可得则等式关系成立，即/>

安全性证明：

定义1双线性q-strong Diffie-Hellman假设

给定安全参数k与公共参数(p,G,G_T,e(.),g)，以及随机元素其中q＝poly(k)。不存在概率多项式时间算法B可以输出(a,e(g,g)^1/(a+s))∈Z_p×G_T，即：

其中neg(k)为可以忽略不计的概率。

证明：

本发明所述方法的安全性证明由2部分组成，分别是服务器数据状态检查结果{W_i,P_i}的不可伪造性与给定用户环签名的匿名性。由于所述方法的设置中，已假定采用安全的环签名Rsig，则满足用户身份匿名性，因此仅针对服务器数据状态检查结果的不可伪造性展开证明分析：

注意到，{W_i,P_i}的构造形式为：

由定义1，假定有一个概率多项式时间算法B可以找到S_I和W_i，使得满足其中/>那么该概率多项式时间算法，能够打破双线性q-strong Diffie-Hellman假设。

不妨设S_I＝{y₁,y₂,...,y_l},S_i＝{x₁,x₂,...,x_n}，其中那么有：

注意到，(y_j+s)并不能直接分解为(x₁+s)(x₂+s)...(x_n+s)，因此存在一个多项式Q(s)以及常数λ≠0，使得(x₁+s)(x₂+s)...(x_n+s)＝Q(s)(y_j+s)+λ，则可得：

那么，该算法B可构造如下等式计算

由上述过程，算法B可由给定公共参数计算出进而解决双线性q-strong Diffie-Hellman问题，这与定义1相悖。因此，假定无效，不存在概率多项式时间算法B能够打破双线性q-strongDiffie-Hellman假设，本发明是安全的，满足数据状态检查结果不可伪造性。证毕。

若第三方云存储服务器主动腐败，泄露认证私钥sk，即便如此，服务器也要继续完成数据状态检查结果并反馈给用户。此时基于环签名的匿名性，服务器无法确定提出删除结果验证请求用户的真实身份信息，进而无法确定该请求用户所对应的删除数据，在只有一次返回结果的前提下，仅具备可忽略的优势neg(k)完成伪造，服务器需诚实删除数据并计算数据状态检查结果返回给用户。否则，用户将拒绝该删除结果，并且密钥中心可针对泄露私钥sk进行身份追踪。

其次，本发明所述方法的实施和应用可满足如下的安全目标：

1、身份真实性。用户通过给定签名算法Sig向云存储服务器发起删除请求，当签名认证通过时，即用户属主身份ID能够被确定，云存储服务器则执行数据删除操作。因此，满足数据属主身份真实性。并且发起删除请求用户的身份应当能够被验证，即确保由数据属主发出删除请求，杜绝非法用户恶意删除行为。

2、身份匿名性。用户通过给定环签名算法Rsig，匿名向云存储服务器发起删除结果验证请求，基于环签名成员的身份匿名性，确保请求用户的真实身份不被泄露。因此，从服务器视角来说，满足数据状态查询请求者身份匿名性。并且用户发起删除结果验证请求的身份应当满足匿名性，即系统中任意合法用户可公开向第三方服务器提出删除结果验证请求，而不泄露具体查询目的，该特性可避免服务器对查询请求执行背景知识攻击，进而伪造删除结果。

3、数据托管可鉴别性。本发明中，基于密钥中心颁发的服务器认证私钥sk，确保对用户数据托管的第三方云存储服务器身份可鉴别。即由服务器认证私钥作为信任背书，对用户删除结果验证请求做出响应，因此，满足数据托管可鉴别性。并且对用户数据进行托管的第三方云存储服务器应当可鉴别，即确保数据用户向正确的云存储服务器发起删除请求及删除结果验证请求；该特性可避免中间人执行替换攻击。

4、删除结果可验证性。基于正确性证明，若数据用户与云存储服务器之间诚实执行了协议过程，则结果表明，方案能够满足删除结果可验证性。并且云存储服务器给出的删除结果凭证应当具备可靠性及公开可验证性。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种验证云存储中数据确定性删除的方法，所述方法用于验证第三方半可信云存储服务器中数据是否安全删除，其特征在于，该方法包括如下步骤：

所述的安全数字签名算法Sig用于数据用户向服务器提交数据删除请求的真实性签名和验证；所述的匿名环签名算法Rsig，用于数据用户匿名向服务器提交当前数据状态的检查请求的签名和验证；所述的数据结构是基于集合存储的数据结构，表示为服务器数据的存储类型，且集合元素由指向文档的指针构成，或由给定抗碰撞哈希函数形成的文档摘要构成；所述的双线性累加器为Zp域上的聚合算法，用于计算一个以上域元素的聚合值，且提供元素所属集合的成员证明；

将第三方半可信云存储服务器中基于集合存储的m个数据集合表示为S₁,S₂,...S_m，集合S_i中不包含重复元素，将集合元素视为指向文档的指针，或由给定抗碰撞哈希函数形成的文档摘要，具体的计算和操作过程如下：

定义集合I为集合S_i,1≤i≤t之间的交集，表示为：

I＝S₁∩S₂∩...S_t

其中，t为用户数据索引数；

若交集定义正确，则应满足以下两个完备条件：

1)

2)

基于多项式上的扩展欧几里得算法，为检验集合交集的正确性提供验证依据；

对于初始化及公钥生成阶段的计算处理过程存在如下数学关系：

当且仅当存在多项式q₁(s),q₂(s),...,q_t(s)，使得：

q₁(s)P₁(s)+q₂(s)P₂(s)+...+q_t(s)P_t(s)＝1,i＝1,...,t

关系成立时，集合I为集合S_i的交集，且满足完备条件；

给定Z_p-{s}上的元素集合X，其累加值acc(X)定义为：

其中，acc(X)的值通过多项式插值算法可由g,g^s,重构，q≥|X|，给定子集则子集元素成员证明定义为：

通过构造等式可验证子集S是否为全集X的真子集；

(3)用户删除请求提交{Sig}←delSub(Sig,pk)，用户通过签名Sig向云存储服务器提交数据删除请求，用于删除数据集合S_i中的指定数据；服务器验证签名通过后，执行数据删除请求；

所述的数据状态检查是用户使用匿名身份构造环签名Rsig(ID^*,req)，向服务器提交数据状态检查请求，服务器验证该签名；如果服务器验证成功，此时依据用户数据状态检查请求类型分为单集合数据存储与多集合数据存储情况；

单集合数据存储：用户数据在服务器端存储占用单个集合S_i，即用户数据索引数t≤|S_i|；此时服务器返回该集合S_i的状态累加值：

多集合数据存储：用户数据在服务器端存储分布在多个集合S₁,S₂,...,S_t，此时服务器计算返回给用户；

若服务器诚实执行了用户的数据删除请求，则此处W_i等价于集合S_i-S_I上的状态累加值，此处P_i(s)等价于集合S_i-S_I上的计算结果；

(5)验证删除操作：{result}←deleVerify(W_i,P_i,pk)，用户构造验证等式，对服务器返回的数据状态检查结果进行验证；

对于用户验证删除包括针对单集合数据存储和多集合数据存储，具体计算过程如下：

其中，用户本地数据存储集合表示为S_u，待删除数据集合表示为S_I；

构造验证等式：

e(W_i,g)＝e(acc,g)

用户计算q_i(s)使得q₁(s)P₁(s)+q₂(s)P₂(s)+...+q_t(s)P_t(s)＝1,i＝1,...,t，构造并构造验证等式：

2.根据权利要求1所述的验证云存储中数据确定性删除的方法，其特征在于，步骤(S3)中，用户删除请求是指用户使用身份ID向服务器提交删除数据请求Sig(ID,x_i∈S_i∩S_u)，服务器收到删除请求信息后，验证Sig，并执行数据删除操作。