CN103699851A - 一种面向云存储的远程数据完整性验证方法 - Google Patents

Abstract

本发明提出一种面向云存储的远程数据完整性验证方法，利用聚合签名、指定证明人签名技术，实现了用户以及第三方审计人对用户数据完整性的验证功能，同时保证用户用于数据完整性的信息不被泄露；通过零知识证明技术实现了验证信息的透明度控制，当用户和服务器发生争议时，第三方审计人可以通过一种非交互式的零知识证明技术，产生不可否认的高置信度证明。本发明在云存储服务提供商不可信的情况下，也能够保证云数据完整性验证的准确性，具有易于实现，成本低，数据保护性强，支持第三方审计，隐私保护机制灵活等优点。

Description

一种面向云存储的远程数据完整性验证方法

技术领域

本发明涉及一种面向云存储的远程数据完整性验证方法，具体涉及根据数据完整性验证、指定证明人签名和零知识证明理论，为云存储中的数据提供安全高效、支持公共认证、第三方验证以及具有隐私保护的完整性验证方法，属于信息安全技术领域。

背景技术

云计算的数据服务外包可以减少数据所有者本地的存储和维护压力，然而云计算在给用户带来便利的同时，也为用户数据带来了新的安全挑战。由于用户失去了对数据可靠性和安全性的物理控制，云存储中的数据完整性成为用户担心的安全问题之一。由于大规模数据所导致的巨大通信代价，用户不可能将数据下载到本地后再验证其正确性。因此，如何保障云服务器中数据的安全，如何帮助用户进行数据完整性验证就成为一个研究热点。

经对现有技术文献的检索发现，实现数据完整性验证的方法主要基于数字签名(DigitalSignatures)和梅克尔散列树(Merkle Hash Tree)。典型的工作包括：数据可恢复性证明(Proofs ofRetrievability,POR)和可证明数据拥有(Provable Data Possession,PDP)。Shacham和Waters2008年在发表于《The14th International Conference on the Theory and Application of Cryptology andInformation Security(第14届密码学与信息安全理论与应用国际会议)》的论文《Compact Proofsof Retrievability(紧凑的可恢复性证明)》中提出了一种普遍的紧凑可恢复性证明模型，该模型基于数据分片技术的通用思想，使用数学上的同态性质，对于t个挑战块构成的证明,能够在O(t)计算复杂性下聚合该证明，生成一个O(1)长度认证值。Wang等人于2009年发表在《The14th European Symposium on Research in Computer Security(第14届欧洲计算机安全性研究讨论年会)》的论文《Enabling Public Verifiability and Data Dynamics for Storage Security in CloudComputing（云计算中具有公开验证和数据动态化的安全存储方法》中提出了一种结合同态认证和梅克尔散列树(MHT)，在云计算环境下支持公开验证和数据动态化的存储方法。然而在这些方案中，攻击者仍然有可能利用公开验证协议收集足够多的信息，破解出数据，造成数据所有者的数据泄密。因此这些方案存在着信息泄露的风险，不适合实际工程应用。

发明内容

本发明要克服现有技术的不足，提供一种基于指定证明人签名方法和零知识证明技术面向云存储的远程数据完整性验证方法，签名人采用不可否认数字签名，但在计算签名的时候结合了证明人的公钥，验证必须在签名人或指定证明人的配合下才能进行，加强签名者的不可否认性，在用户数量大、服务器不可靠等复杂的实际工程中，保证用户远程验证云数据的完整性，支持数据动态更新、公开验证、第三方验证、保护用户隐私。

为实现上述目的，本发明首先进行系统初始化，用户(User,U)使用Reed-Solomon编码将被存储的文件分割为若干个数据块。用户通过“挑战-应答”模式向云存储服务器中提出文件完整性验证的请求。云存储服务器(Cloud Storage Server,CSS)根据被抽查到的数据块，生成一个消息聚合和关于该消息聚合的指定证明人签名，同时加入根节点的信息，生成一个用户可直接计算的数据完整性证明。用户对该证明进行一定的计算即可验证所存储的数据文件是否有所缺损。同时，因为生成的指定证明人签名嵌入了第三方审计人(Third Party Auditor,TPA)的公钥，第三方审计人也可以对该数据完整性进行同等程度的计算验证。另一方面，为了防止用户误用/滥用数据完整性信息，第三方审计人在必要时为数据完整性证明提供一个非交互式的零知识证明，任何人都可以验证该零知识证明以获知数据完整性信息，达到有效保护和灵活控制用户验证数据完整性信息的目的。

本发明的方法通过以下具体步骤实现：

1系统初始化

系统运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器,产生两个阶为素数q的双线性群G，G_t，g是群G的生成元e:G×G→G_t为双线性对运算,定义一个安全的Hash函数H:{0，1}^*→G。

给定文件F,系统使用Reed-Solomon编码将文件分为n块F(m₁·m₂，...，m_n)其中

2系统生成密钥

系统运行密钥生成算法KeyGen，为用户U生成私钥：随机数则相应的公钥为类似地，系统为第三方审计人TPA生成私钥：随机数则相应的公钥为 $y_{\mathrm{TPA}}=g^{x_{\mathrm{TPA}}}.$

3用户存储文件

用户运行签名生成算法SigGen(sk_U，F)为每一个数据块m_i生成一个同态认证值(homomorphic authenticator)：

作为文件的元数据。所有数据块的同态认证值可以聚集成一个标签值：φ＝{σ_i}，1≤i≤n。

用户采用Merkle哈希树将各数据块结构化，其中最底层的叶子节点有序地存储了对应数据块的哈希值，次底层节点是每两个哈希值的哈希值，由此逐层递归构造出一个二叉树，根节点对应最终的哈希值。同时对根节点R进行签名

用户U将{F，φ，σ_R}发送给云存储服务器CSS。

4一般完整性验证

4.1用户发出挑战请求

用户U对文件F进行数据完整性验证时,首先要生成一组挑战信息。这个挑战信息是由用户U选择一些随机元素：I＝{s₁，...，s_c}，s₁≤i≤s_c，其中s_i表示第i个数据块m_i的索引。对于每一个s_i∈I，U选取一个随机数

最后，U将挑战信息发送给云存储服务器CSS。

4.2服务器生成证明

云存储服务器CSS接收到用户U发送的挑战信息之后,计算生成一段证明：

${\mathrm{\ζ}}_i=y_{\mathrm{TPA}}^{r_i},{\mathrm{\μ}}_i={\mathrm{\σ}}_i\·g^{r_i},\mathrm{\ζ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\ζ}}_i,\mathrm{\μ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\μ}}_i,\mathrm{\θ}={\mathrm{\Σ}}_i^{s_c}{m}_i---\left(1\right)$

同时，CSS也会提供给用户一组辅助信息：{Ω_i}，s₁≤i≤s_c，表示第i个叶子节点(存储了H(m_i))到根节点R的路径上所有兄弟节点的集合。最后，CSS发给用户U一段证明：

P＝{(ζ，μ，θ)，{H(m_i)}，{Ω_i}，σ_R}             (2)

其中s₁≤i≤s_c,(ζ，μ)是关于θ的指定证明人签名。

4.3用户完整性验证

用户U收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则U拒绝验证该证明，并输出失败信息。如果上述等式成立，则U继续计算下列等式是否成立：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_{\mathrm{TPA}})}^{x_U}---\left(3\right)$

如果上述等式成立，则该证明验证通过。如果等式不成立，则输出失败信息。

5不可否认的完整性验证

当发生争议时，第三方审计人TPA可以参与到完整性验证过程中，并给出不可抵赖的最终证明。TPA接收到CSS云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e，(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则TPA拒绝验证该证明，并输出失败信息0。否则，TPA继续计算下列等式是否成立：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_U)}^{x_{\mathrm{TPA}}}---\left(4\right)$

如果上述等式成立，则该证明验证通过，否则证明验证失败，输出失败信息1。根据验证结果生成不可否认证明。

如果验证通过，说明证明无误，TPA输出一段非交互式的零知识证明π₁，以证明两个离散对数相等的关系。

如果验证没有通过，输出了失败信息1，TPA将{H(m_i)}{Ω_i}这部分信息直接公开，从而任何人都能验证该结论，并输出一段非交互式的零知识证明π₂，以证明两个离散对数不相等的关系。对于上述非交互式的零知识证明，任何人都可以通过简单的计算加以验证。

本发明的显著效果在于针对云存储中用户数据文件的完整性验证的需要，利用聚合签名和指定证明人签名技术，实现了一般用户以及第三方审计人对用户数据完整性的验证功能，同时通过零知识证明技术实现了验证信息的保护控制，具有易于实现，数据保护性强，可灵活控制信息透明度等优点。本发明在云存储服务提供商不可信的前提下，保证云存储环境下数据完整性验证的准确性，降低用户端的验证成本。

附图说明

图1本发明结构图。

图2零知识证明过程示意图。

具体实施方法

以下结合附图和实施例对本发明的技术方案作进一步详细说明。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发明的保护范围不限于下述的实施例。

为了更好地理解本实施例提出的方法，选取一次云存储环境下用户U对其在云存储服务器CSS上存储的文件的数据完整性验证事件。

如本发明方法结构图（图1）所示，本实施例具体实施步骤如下：

1系统初始化

系统运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器,产生两个阶为素数q的双线性群G,G_t,g是群G的生成元,e:G×G→G_t为双线性对运算,定义一个安全的Hash函数H:{0，1}^*→G。

给定文件F,系统使用Reed-Solomon编码将文件分为n块F(m₁，m₂，...，m_n)，其中

2系统生成密钥

系统运行密钥生成算法KeyGen，为用户U生成私钥：随机数则相应的公钥为

类似地，系统为第三方审计人TPA生成私钥：随机数

则相应的公钥为 $y_{\mathrm{TPA}}=g^{x_{\mathrm{TPA}}}.$

3用户存储文件

用户运行签名生成算法SigGen(sk_U，F)为每一个数据块m_i生成一个同态认证值(homomorphic authenticator)：

作为文件的元数据。所有数据块的同态认证值可以聚集成一个标签值：φ＝{σ_i}，1≤i≤n。

用户采用Merkle哈希树将各数据块结构化，其中最底层的叶子节点有序地存储了对应数据块的哈希值，次底层节点是每两个哈希值的哈希值，由此逐层递归构造出一个二叉树，根节点对应最终的哈希值。同时对根节点R进行签名

用户U将{F，φ，σ_R}发送给云存储服务器CSS。

4一般完整性验证

4.1用户发出挑战请求

用户U对文件F进行数据完整性验证时,首先要生成一组挑战信息。这个挑战信息是由用户U选择一些随机元素：I＝{s₁，...，s_c}，s₁≤i≤s_c，其中s_i表示第i个数据块m_i的索引。对于每一个s_i∈I，U选取一个随机数

最后，U将挑战信息

发送给云存储服务器CSS。

4.2服务器生成证明

云存储服务器CSS接收到用户U发送的挑战信息之后,计算生成一段证明：

${\mathrm{\ζ}}_i=y_{\mathrm{TPA}}^{r_i},{\mathrm{\μ}}_i={\mathrm{\σ}}_i\·g^{r_i},\mathrm{\ζ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\ζ}}_i,\mathrm{\μ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\μ}}_i,\mathrm{\θ}={\mathrm{\Σ}}_i^{s_c}{m}_i---\left(1\right)$

同时，CSS也会提供给用户一组辅助信息：{Ω_i}，s₁≤i≤s_c，表示第i个叶子节点(存储了H(m_i))到根节点R的路径上所有兄弟节点的集合。最后，CSS发给用户U一段证明：

P＝{(ζ，μ，θ)，{H(m_i)}，{Ω_i}，σ_R}         (2)

其中s₁≤i≤s_c，而(ζ，μ)则是关于θ的指定证明人签名。

4.3用户完整性验证

用户U收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则U拒绝验证该证明，并输出失败信息。如果上述等式成立，则U继续计算下列等式是否成立：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_{\mathrm{TPA}})}^{x_U}---\left(3\right)$

如果上述等式成立，则该证明验证通过。如果上述等式不成立，则输出失败信息。

5不可否认的完整性验证

假设4.3中用户U对等式e(σR，g)≡e(H(R)，y_U)的验证通过，而对等式(3)的验证未通过，但云存储服务器CSS否认该验证结果，即不承认用户U所存储的文件F遭受了篡改。针对该纠纷，第三方审计人TPA可以参与到完整性验证过程中，并给出不可否认的最终证明。TPA接收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σR，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。若R值被篡改，则拒绝验证该证明，并输出失败信息0。若R值未被篡改，则TPA继续计算下列等式：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_U)}^{x_{\mathrm{TPA}}}---\left(4\right)$

如果等式成立，表明验证通过，证明无误，TPA输出一段非交互式的零知识证明π₁，以证明两个离散对数相等的关系。

如果等式未成立，表明验证未通过，TPA最终输出失败信息1，同时生成不可否认的证明。TPA输出一段非交互式的零知识证明π₂，以证明两个离散对数不相等的关系。令W₁＝e(μ，y_TPA)/e(ζ，g)，

非交互式的零知识证明π₂是采用Fiat-Shamir启发式方法由一段交互式证明：

转化而成（参考图二）。最终，TPA只需要将计算后得到的(A，A′，z₁，z₂，z′₁，z′₂，c₁，c₂，d₁，d₂，d′₁，d′₂)值发送给任何需要校验的人即可。

Claims (1)

1.一种面向云存储的远程数据完整性验证方法，其特征在于包括以下步骤：

步骤1，系统初始化

系统运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器,产生两个阶为素数q的双线性群G,G_t,g是群G的生成元,e:G×G→G_t为双线性对运算,定义一个安全的Hash函数H:{0，1)^*→G;

给定文件F,系统使用Reed-Solomon编码将文件分为n块F(m₁，m₂，...，m_n)其中

步骤2，系统生成密钥

系统运行密钥生成算法KeyGen，为用户U生成私钥：随机数

则相应的公钥为

类似地，系统为第三方审计人TPA生成私钥：随机数

则相应的公钥为 $y_{\mathrm{TPA}}=g^{x_{\mathrm{TPA}}};$

步骤3，用户存储文件

用户运行签名生成算法SigGen(sk_U，F)为每一个数据块m_i生成一个同态认证值(homomorphic authenticator)：

作为文件的元数据，所有数据块的同态认证值是可以聚集成一个标签值：φ＝{σ_i}，1≤i≤n;

用户采用Merkle哈希树将各数据块结构化，同时对根节点R进行签名

将{F，φ，σ_R}发送给云存储服务器CSS。

步骤4，一般完整性验证

4.1用户发出挑战请求

用户U对文件F进行数据完整性验证时,生成一组挑战信息发送给云存储服务器CSS，其中I＝{s₁，...，s_c}，s₁≤i≤s_c，对于每一个s_i∈I，s_i表示第i个数据块m_i的索引，随机数

4.2服务器生成证明

云存储服务器CSS接收到用户U发送的挑战信息之后,计算生成一段证明：

${\mathrm{\ζ}}_i=y_{\mathrm{TPA}}^{r_i},{\mathrm{\μ}}_i={\mathrm{\σ}}_i\·g^{r_i},\mathrm{\ζ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\ζ}}_i,\mathrm{\μ}={\mathrm{\Π}}_{i=s_1}^{s_c}{\mathrm{\μ}}_i,\mathrm{\θ}={\mathrm{\Σ}}_i^{s_c}{m}_i---\left(1\right)$

同时，CSS提供给用户一组辅助信息：{Ω_i}，s₁≤i≤s_c，表示第i个叶子节点(存储了H(m_i))到根节点R的路径上所有兄弟节点的集合，最后，CSS发给用户U一段证明：

P＝{(ζ，μ，θ)，{H(m_i)}，{Ω_i)，σ_R}           (2)

其中s_l≤i≤s_c，而(ζ，μ)则是关于θ的指定证明人签名。；

4.3用户完整性验证

用户U收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i)生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则U拒绝验证该证明，并输出失败信息。如果上述等式成立，则U继续计算下列等式是否成立：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_{\mathrm{TPA}})}^{x_U}---\left(3\right)$

如果上述等式成立，则该证明验证通过。

步骤5，不可否认的完整性验证

当发生争议时，第三方审计人TPA可以参与到完整性验证过程中，并给出不可否认的最终证明。TPA接收到CSS云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则TPA拒绝验证该证明，并输出失败信息1。否则，TPA继续计算下列等式是否成立：

$e(\mathrm{\μ},y_{\mathrm{TPA}})\≡e(\mathrm{\ζ},g)\·e{({\mathrm{\Π}}_{i=s_1}^{s_c}H\left(m_i\right)\·u^{\mathrm{\θ}},y_U)}^{x_{\mathrm{TPA}}}---\left(4\right)$

如果上述等式成立，则该证明验证通过，否则证明验证失败，输出失败信息1。需要生成不可否认的证明时，TPA首先调用上述TPA验证算法。如果验证通过，说明证明无误，TPA输出一段非交互式的零知识证明π₁，以证明两个离散对数相等的关系。

如果验证没有通过，输出了失败信息0，并且TPA将{H(m_i)}{Ω_i}这部分信息直接公开，从而任何人都能验证该结论。如果TPA输出的是失败信息1，则其输出一段非交互式的零知识证明π₂，以证明两个离散对数不相等的关系。对于上述非交互式的零知识证明，任何人都可以通过简单的计算加以验证。

Images