云存儲系統中可搜索加密審計日志的設計*

趙唯瑋，李 強，張愛新，李建華

0 引 言

大數據的時代背景下，云存儲技術作為云計算概念的延伸和發展，成為政府、眾多企業及個人面對海量數據存儲時的新選擇。云存儲服務能夠為用戶提供龐大的計算資源、存儲空間和靈活的共享模式，其便捷、快捷和按需可用的網絡訪問方式，使得用戶可以隨時隨地訪問資源，從而用戶能夠很大程度節約本地的存儲資源和在本地進行數據管理、系統維護的開銷。然而，由于云存儲服務的遠程特性，用戶通常很難控制云服務提供商乃至一些未經授權的非法用戶對存儲數據進行訪問。為了保護數據的保密性，用戶通常在將數據上傳至云服務器前將其加密。進一步地，為了能夠方便地通過生成加密的關鍵詞即陷門，對這些加密數據直接進行搜索，可搜索加密的概念和相關研究應運而生[1]。云存儲系統通常需要支持多用戶數據分享的需求，通常認為所有用戶是可信的。然而，現實情況下，用戶行為往往無法得到有效監控。例如：用戶將自己的權限非法授權給他人使用，用戶合法身份被黑客冒用，或者用戶在合法授權下獲取數據，后將所得數據非法散播給他人等。在云存儲系統中引入審計日志機制，能夠對用戶在云存儲系統中得到服務的行為進行監控，從而實現對用戶上述主動或被動轉移權限行為的追溯。由于保存在云服務器上的審計日志包含云存儲系統用戶的身份、服務請求等敏感信息，需要經過可搜索加密技術的處理，因此被稱為可搜索加密審計日志。

1 云存儲系統模型

云存儲系統模型及實體交互如圖1所示，其中包含三個實體，分別為可信的數據擁有者、誠實而好奇的云服務提供商和數據用戶。

圖1 云存儲系統模型及實體交互

1.1 數據擁有者

數據擁有者Alice將數據遠程存儲在云服務器上，供數據用戶訪問和操作。只有當數據擁有者對云存儲系統中數據用戶進行授權后，數據用戶才能夠訪問服務器上的數據。因此，Alice生成相應的可搜索加密審計日志，并存儲在云服務器上。當需要對可搜索加密審計日志進行搜索時，Alice加密關鍵詞形成陷門后，將陷門發送給云服務器，最后經過她驗證和解密的搜索結果，將用于對數據用戶行為的審計。

1.2 云服務提供商

誠實而好奇的云服務提供商向數據擁有者提供存儲數據的云服務器。云服務器能夠正確執行算法，但對云存儲系統中用戶的隱私保持好奇。收到數據用戶的服務請求后，云服務器對數據用戶提交的可搜索加密審計日志進行驗證，核實是否與服務請求一致。只有兩者一致，云服務器才會向用戶提供相應的數據服務，并存儲可搜索加密審計日志，確保可搜索加密審計日志的有效性。同時，云服務器也提供對可搜索加密審計日志的搜索。搜索過程中，云服務器無法得知審計日志和陷門的明文。

由于數據擁有者可以將數據存儲在多個云服務提供商提供的多個云服務器上，為了方便表述，下文所稱的云服務器即指代云服務提供商。

1.3 數據用戶

數據用戶Bob得到Alice的授權并經過云服務器驗證通過后，能夠通過云服務器獲取云存儲系統中的數據服務。

2 可搜索加密審計日志的安全需求

一般地，可搜索加密審計日志的應用背景和應用特性，要求可搜索加密審計日志需要滿足的安全需求主要有以下兩方面。

2.1 隱私保護

云存儲系統中，審計日志的內容通常直觀保存著數據用戶的服務訪問行為信息。

安全的可搜索加密審計日志，要求加密后的審計日志和搜索關鍵詞不能泄露用戶的隱私信息。因此，這也保證了即使一旦攻擊者（攻擊者泛指任何希望探聽用戶隱私的人，可能是云存儲系統內部的實體，或者來自云存儲系統外部的用戶）截獲可搜索加密審計日志或搜索的關鍵詞，他也無法從中得到任何有關用戶隱私的信息。

2.2 不可偽造

作為云審計和取證的有力工具，為了保證可搜索加密審計日志的真實、可信和有效，可搜索加密審計日志必須由云存儲系統中可信賴的實體創建。這需要在設計可搜索加密審計日志的過程中，保證任何其他非法實體生成合法有效的可搜索加密審計日志在計算上不可行。

設想云存儲系統中有一位數據用戶企圖向云服務器請求不在其權限范圍的服務，并且希望盡力避免自己的行為在審計過程中被發現。首先，如果數據用戶能夠偽造可搜索加密審計日志，他能夠很容易地通過重新虛構一條審計日志將自己的這一行為栽贓給其他數據用戶。其次，如果云服務器能夠偽造可搜索加密審計日志而數據用戶不能，那么數據用戶同樣可以通過唆使云服務器偽造審計日志將自己的非法行為隱藏起來。最后，外部攻擊者的攻擊行為也能夠以上述相似方式偽裝自己的攻擊行為而在審計時不被察覺。

從上述的攻擊情境可以發現，如果無法滿足不可偽造的安全需求，數據擁有者將無法分辨偽造的審計日志，從而無法以此判斷云存儲系統中的非法行為。這無疑違背了可搜索加密審計日志的設計初衷，也無法降低云存儲系統中數據訪問的安全風險。因此，不可偽造是可搜索加密審計日志必須滿足的安全需求。

2.3 可搜索加密審計日志研究現狀

2004年，Waters等人[2]率先提出了基于對稱加密算法和基于公鑰加密算法的可搜索加密審計日志方案，包含管理員（即持有主密鑰的第三方代理）、云服務器和調查者。其中，云服務器直接生成審計日志明文并對其進行加密，形成可搜索加密審計日志后存儲。可信的調查員通過向管理員請求關鍵詞的搜索權限，對可搜索加密審計日志進行搜索和解密。因此，云服務器能夠了解所有審計日志的明文內容，這顯然侵犯了用戶的隱私，且他們的方案不能阻止云服務器偽造審計日志的內容。云服務器可以隨意創建、更改或刪除審計日志的內容，并在之后進行加密，偽裝成合法的可搜索加密審計日志。這樣的審計日志無法真正記錄用戶在云存儲系統中的行為。2015年，文獻[3]在將Waters等人的方案在NetFlow記錄上進行了實現，但沒有進行改進。

文獻[4]提出了基于加密倒排索引的可搜索加密審計日志方案，包含管理員和調查員兩方實體。管理員將一條日志記錄分別轉換為用于搜索和加密的兩種形式，且管理員的操作對調查員是可驗證的。2009年，文獻[5]提出了基于SQL數據庫命令結構的可搜索加密審計日志方案。上述兩個方案都允許管理員生成關于自己的審計日志供調查員審計。顯然，管理員能夠通過跳過日志記錄過程逃脫調查員的審計。此外，管理員用自己的私鑰對關鍵詞進行簽名生成陷門，以便調查員稍后利用公鑰進行驗證。然而，由于公鑰是公開的，無論是云存儲系統內部的其他用戶還是外部的竊聽者，都能夠輕易得到。因此，任何人都能得到陷門對應的明文關鍵詞，這無法滿足可搜索加密審計日志的安全需求。

3 可搜索加密審計日志的設計

根據上述分析，顯然已有的可搜索加密審計日志方案無法滿足基本的安全需求。因此，本文針對多云服務提供商的云存儲系統，提出了一種基于隱私保護的不可偽造可搜索加密審計日志方案。

基于隱私保護的不可偽造可搜索加密審計日志方案由以下七個多項式時間算法組成。

3.1 初始化

以安全參數λ為輸入，輸出素數階為p的乘法循環群G1、G2上的一個生成元g和雙線性 配 對 e∶G1×G1→ G2。 兩 個 單 向 哈 希 函 數 分別 為：H1∶{0,1}*→ G1和 H2∶G2→ {0,1}logp。 選取兩個隨機數α,β∈Z*p作為主密鑰。主密鑰msk=(α,β)僅由數據擁有者秘密持有；系統參數params=(g,G1,G2,H1,H2,e)對系統所有實體公開。

3.2 生成云服務器密鑰

以云服務器的身份IDS為輸入，計算私鑰并秘密交與云服務器。

3.3 生成可搜索加密審計日志

為身份為IDU的數據用戶生成可搜索加密審計日志 AuditLog=＜Q,K^W,V^,L,σ＞，執行步驟如下：

（1）選取隨機數r1,r2∈Z*p，令Q=gr2；

（3）審計日志明文l∈{0,1}*包含關于數據用戶的詳細審計內容，從中提取關鍵詞集合 W=＜w1,w2,…,wn＞,(wi∈ {0,1}*,i=1,2,…,n)， 計算加密關鍵詞集合， 其 中

（4）令數據用戶的服務請求記錄RU∈{0,1}logp用于云服務器驗證，則RU=IDU||PU||TU||BU，分別記錄數據用戶的身份IDU、IP地址PU、驗證到期時間TU以及用戶請求數據服務的標簽BU。為了隱私保護，RU的表達形式可以由數據擁有者事先約定后告知云服務器，而無需直接反映數據用戶的訪問信息。加密審計日志明文為l，計算得到

（5）令Z^=e(g, g)r1，計算得到V^=L⊕H2(Z^)⊕RU。

3.4 云服務器驗證

收到可搜索加密審計日志AuditLog=＜Q,K^W,V^,L,σ＞后，數據用戶將其提交給云服務器，并告知服務器自己想要獲取的數據服務。云服務器通過以下步驟進行驗證：

（1）計算 σ'=ωS1IDU×ωS2；

（2） 令 Z=e(σ',σ)， 計 算 Vi=L ⊕ H2(Z)⊕ CUi,(i=1,2,…,t)。 其 中CUi∈{0,1}logp表 示 數 據 用 戶當前的服務請求記錄，同樣包含其身份IDU'、IP地址PU'、當前時間TU'以及用戶請求數據服務的標簽BU'。假設驗證時限為t，令i=1,2,…,t，則

當且僅當存在唯一的i∈[1,t]使得Vi=V^時，數據用戶通過驗證，云服務器響應其提出的服務請求；否則，云服務器返回錯誤符號⊥，表示拒絕數據用戶的請求。

3.5 陷門生成

當數據擁有者需要查詢某位數據用戶包含關鍵詞集合 W '=＜w',w',…,w'＞(i=1,2,…,m)的可搜索加密審計日志時，生成陷門集Γ=＜Td1,Td2,…,Tdm＞，其中

3.6 搜索

收到陷門集Γ后，云服務器對每一條可搜索加密審計日志AuditLog=＜Q,K^W,V^,L,σ＞ 按以下步驟實現連接關鍵詞搜索：

（1）計算ηi'= e (T di,Q ) (i = 1 ,2,… ,m )；

當ηi'=ηj時，令δij=1；否則，δij=0。對δij(i=1,2, …,m,j=1,2,…,n)構成矩陣Φ。當且僅當Φ的每一行僅有一個1、每一列至多有一個1時，該可搜索加密審計日志為搜索結果。

3.7 驗證與解密

數據擁有者收到云服務器返回的搜索結果后，根據云服務器的IDS對搜索結果進行驗證：

（1）計算令Z '=e(g,K)，計算得到RU'=V^⊕L⊕H2(Z ')；

4 安全與效率評估

結合可搜索加密審計日志的安全需求，經過對上述方案的分析可以得出，它能夠保護用戶隱私，且數據用戶和云服務提供商被證明無法偽造有關任意數據用戶的合法可搜索加密審計日志。

4.1 安全分析

4.1.1 隱私保護

方案中，無論是審計日志記錄的密文L，還是搜索的陷門集Γ，對云存儲系統的內外部非授權用戶都是保密的。在沒有主密鑰msk的情況下，攻擊者無法解開它們得到明文。即使云服務器能夠對數據用戶提交的可搜索加密日志進行驗證和根據關鍵詞進行搜索，也無法真正得知審計內容。

4.1.2 不可偽造

方案中的可搜索加密審計日志由唯一可信的數據擁有者生成，而非云服務器和數據用戶生成，其不可偽造體現在兩方面。

一方面，假設云服務器希望偽造某個身份為IDU*用戶的關于其服務請求RU*的可搜索加密審計日志。他需要選擇一組(α*, β*)，計算得到AuditLog*=＜＞。令 r*為云服務器偽造日志時選擇的一個隨機數，則：

顯然，當且僅當α*=α時，Z '*=Z^*才能成立，繼而解得正確的RU*。進一步地，當且僅當β*=β時，根據正確的RU*計算式（6）得到審計日志明文l*，才是正確形式的審計日志明文；否則，將會無法通過數據擁有者的驗證。

另一方面，假設身份為IDU*的數據用戶希望不通過數據擁有者而自己生成可搜索加密審計日志，從而獲得權限之外的數據服務RU*。同理，他也必須選擇一組(α*,β*)計算AugitLog*。云服務器首先根據式（7）得到Z*，并計算式（8）。顯然，只有當α*=α時，Z*=Z^*，云服務器才能找到唯一的i∈[1,t]使得Vi=V^*，進而通過數據用戶的驗證。

而基于離散對數的困難性問題可知，無論是數據用戶還是云服務器，他們都無法猜測得到一組(α*, β*)且 α*=α 和 β*=β，從而成功偽造合法的可搜索加密審計日志。

表1列舉了本文的可搜索加密審計日志方案與其他相關文獻的比較。其中，僅有文獻[2]的方案無法支持連接關鍵詞的搜索。而根據第2章所述，這三個可搜索加密審計日志的方案均無法滿足隱私保護和不可偽造的安全需求。文獻[2]中服務器可以直接獲得審計日志的明文，而文獻[4-5]方案中的陷門能夠被竊聽者輕易得到對應的關鍵詞明文。此外，這些方案都無法防止可搜索加密審計日志被偽造，而本文基于離散對數問題的困難性，證明了任何不完全可信的實體無法偽造方案中的可搜索加密審計日志。

表1 相關文獻比較

4.2 效率評估

利用PBC庫實現了上述可搜索加密審計日志方案的算法并進行了效率評估。數據擁有者的效率評估如圖2所示。數據擁有者僅需要0.08 s的時間生成一條包含10個關鍵詞的可搜索加密審計日志，以及0.02 s左右生成包含4個查詢關鍵詞的陷門集（例如，其中分別包括誰/什么時間/從哪里訪問/何種數據服務的查詢）。而數據用戶生成云服務器密鑰和驗證解密搜索結果的效率更高，僅需要小于0.0 1 s即能完成。

圖2 數據擁有者端算法效率

圖3 顯示了云服務器端的算法執行效率。顯然，云服務器執行搜索算法的計算開銷相對略高。云服務器根據一個陷門對一條包含10個關鍵詞的可搜索加密審計日志匹配需要約0.03 s。而對數據用戶進行可搜索加密審計日志的驗證僅需要5 ms左右，因此云服務器能夠有效響應數據用戶的請求，其搜索效率也在相對可接受范圍內。

圖3 云服務器端算法效率

5 結 語

本文針對多云服務提供商的云存儲系統提出了基于隱私保護的不可偽造可搜索加密審計日志方案，解決了云存儲系統中審計日志的生成、加密、搜索和驗證。分析結果表明，該方案能夠保護用戶隱私，同時證明了任意不可信實體無法偽造可搜索加密審計日志，具有較好的實用價值。今后擬引入可信第三方審計的應用背景，結合代理重加密進一步擴展方案的實用范圍。

[1] Sch C,Hartel P,Jonker W,et al.A Survey of Provably Secure Searchable Encryption[J].ACM Computing Surveys,2015,47(02):18.

[2] Waters B R,Balfanz D,Durfee G,et al.Building an Encrypted and Searchable Audit Log[C].Network and Distributed System Security Symposium,2004.

[3] Gopularam B P,Dara S,Niranjan N.Experiments in Encrypted and Searchable Network Audit Logs[C].International Conference on Emerging Information Technology and Engineering Solutions IEEE,2015:18-22.

[4] Ohtaki Y.Constructing a Searchable Encrypted Log Using Encrypted Inverted Indexes[C].International Conference on Cyberworlds. Singapore IEEE,2005:132-138.

[5] Sabbaghi A,Mahmoudi F.Establishing an Efficient and Searchable Encrypted Log Using Record Authenticator[C].International Conference on Computer Technology and Development,2009(02):206-211.