基于公有驗證和私有驗證的數據持有性驗證方案

田俊峰，柴夢佳，齊鎏嶺

?

基于公有驗證和私有驗證的數據持有性驗證方案

田俊峰1,2，柴夢佳1,2，齊鎏嶺1,2

（1. 河北大學網絡空間安全與計算機學院，河北 保定 071002；2. 河北省高可信信息系統(tǒng)重點實驗室，河北 保定 071002）

越來越多的用戶愿意把數據存儲在云存儲系統(tǒng)中，數據安全是云存儲系統(tǒng)面臨的關鍵問題，為了保證存儲在云中數據的完整性、有效性，數據持有性驗證（PDP）就顯得尤為重要。為了驗證云存儲服務提供商是否完整地存儲了用戶的數據，基于不可否認PDP（NRPDP）方案提出了一種新的數據持有性驗證方案。該方案基于公有驗證和私有驗證，可以同時對云存儲中服務提供商與用戶的可信性進行驗證，滿足了驗證的不可否認性。理論證明了該方案的不可否認性，實驗驗證了各階段運行時間效率比現有的單一的公有驗證方法或私有驗證方法更優(yōu)。

云存儲；不可否認；數據持有；公有驗證；私有驗證

1 引言

云計算被廣泛地應用于不同領域，企業(yè)根據需求訪問云中的計算機和存儲系統(tǒng)，將資源切換到需要的應用。云存儲的出現為用戶數據的存儲和訪問提供了方便，它在云計算的基礎上集合了網絡中多種類型的存儲設備，對外存儲提供數據存儲和業(yè)務訪問服務[1]。隨著數據規(guī)模逐漸變大，對存儲能力的需求急劇增加，大量資源可存儲在云端，用戶可以通過相關設備登錄到云上，根據需要使用云設備對數據進行存取和訪問[2]。

然而云服務提供商是不能被完全信任的[3]。近幾年，多次出現云存儲數據丟失以及攻擊者通過攻擊云存儲系統(tǒng)來盜取用戶數據的安全問題，這使云服務提供商的可靠性引起了人們的關注[4]。2012年，谷歌Gmail郵箱爆發(fā)數據丟失問題，約15萬用戶數據被刪除；2014年，蘋果“iCloud泄密事件”導致22萬用戶的賬號密碼信息泄露。用戶一旦選擇將數據存儲在云中，就失去了對它的管理能力，無法確定該數據文件的完整性，進而將面臨巨大的安全風險。因此，高效、正確地對云存儲中數據進行完整性驗證值得人們關注。

在數據完整性驗證中，有不可信云服務器的存在，也有不誠實用戶的存在。有些用戶為追求利益，會否認正確驗證結果，否認云服務器對數據進行的合法操作，其最終目的是得到非法經濟補償。因此，同時驗證用戶和服務器的可信性是非常有必要的。為此，有多種數據持有性驗證[5-6]（PDP, provable data possession）和數據可恢復性證明[7-8]（POR, proof of retrievability）方案被提出。

本文采用私有驗證和公有驗證相結合的方式對云中的數據進行驗證，并對驗證結果進行不可否認驗證，通過2種算法輸出的結果對，判定云中存儲的數據完整性。

2 相關工作

2.1 基于公有驗證的數據持有性驗證方案

Ateniese等[9]在CSS（ACM Conference on Computer and Communications Security）上首次提出了數據持有性證明，并且為了提高驗證效率，利用RSA方案構造了同態(tài)驗證標簽（HVT, homomorphic verifiable tag），省去了對整篇文章的檢索和下載，確保文章內容不被驗證方了解。他們首次將“挑戰(zhàn)?應答”協議引入完整性驗證中，這樣進行驗證的次數便可不受限制，可根據需要進行多次數據完整性驗證。該模型主要針對靜態(tài)數據存儲。Dan等[10]同樣提出了一種具有同態(tài)特性的PDP機制，其基于BLS簽名，不僅有效地減少了驗證過程中的通信開銷，而且極大地節(jié)省了數據存儲空間。在驗證過程中，使用第三方審計角色（TPA, third-party audits）代替用戶對數據進行持有性驗證工作。Wang等[11]首次詳細地介紹了公有驗證模型，提出了一種支持動態(tài)操作的基于Merkle Tree的數據持有性證明方案，該方案支持數據修改、插入、刪除等更新操作。Wang等[12]將可信第三方（TTP, trusted third party）引入數據持有性方案中，在實行公開驗證的同時，實現了對數據隱私的保護。第三方可直接對存儲在云中的數據進行數據持有性驗證而不需要通過用戶進行驗證，很好地保護了驗證內容的隱私性。但TTP的假設條件過于理想化，實現困難，并且會有額外的開銷。

2.2 基于私有驗證的數據持有性驗證方案

私有驗證具有驗證速度快的優(yōu)點，Curtmola等[13]針對云中數據存儲具有多副本的特性，實現了針對多副本的MR-PDP（multiple-replica PDP）方案，它能有效地對所有副本數據進行完整性認證，且驗證開銷起伏不明顯。Wang等[14]提出一種不可否認PDP（NRPDP, non- repudiable PDP）方案，該方案基于私有驗證方法，不僅可以驗證客戶端與服務器的可信性，而且可以驗證另一方的可信性。

2.3 基于混合驗證的數據持有性驗證方案

絕大多數的驗證方案基于單一的驗證方法，而Hanser等[15]提出了基于公有驗證和私有驗證的PDP協議，在滿足了高效性和便捷性的同時，通過基于ECC（elliptic curve cryptography）的驗證方法，在2種驗證過程中均使用一致的元數據，達到了節(jié)省計算開銷的效果。但此方案僅關注了云服務商的可信性，未考慮到惡意用戶的存在，忽略了用戶存在欺騙行為。

近年來，PDP方案仍是一個研究熱點，但是大部分局限于單一的私有驗證或公有驗證，具有較大的局限性，雖然對服務器的可信性進行了很好的驗證，但是忽略了用戶是否可信的研究。

本文提出了支持私有驗證和公有驗證的數據持有性驗證方案（PPPDP, provable data possession scheme based on public verification and private verification），在數據持有驗證過程中采用2種驗證方式，通過2種驗證輸出的結果對，對文件的完整性進行判定。

3 預備知識

3.1 ECC加密算法

ECC加密[16]是一種基于公鑰體制的加密算法，它具有安全性高、存儲空間占用小和運算速率高的特點。ECC密碼體制研究的數學基礎是橢圓曲線，通常由韋爾斯特拉方程定義。橢圓曲線上所有的點和橢圓曲線外一個被稱為無窮遠點的特殊點的集合連同一個定義的加法算法一起構成Abel群。

由=++…+=的特性可得，如果(，)和這2個參數是已知的，則可求出點(，)的值。但若想通過點、求出的值，理論上是不可能的。

基于橢圓曲線的反向不可求解的特性，EIGamal密碼體制過程有如下表述。

1) 首先通過設定橢圓曲線的參數，選定一條橢圓曲線，并得到E(，)，將待加密信息嵌入曲線上得到點P，再對點P做加密交換。

2) 取E(，)的一個生成元，E(,)和作為公開參數。

3) 用戶A選擇作為密鑰，=作為公開鑰。此時，若用戶B存在向A發(fā)送消息P的需求，用戶B需隨機選取某正整數，將其代入之前選定好的橢圓曲線，得到以下生成點對C={，P+}，即為密文。

4) A解密時，使密文點對中的第二個點減去用自己的密鑰與第一個點的倍乘，即P+?=P+()?=P。

已知C的信息，若攻擊者求得P，那么的值必須為已知的。而的值只能通過已知的和經過離散對數計算求得，而非已知，因此，P不可得。

3.2 同態(tài)驗證標簽

同態(tài)可驗證標簽的概念由Ateniese等[9]提出。同態(tài)標簽具有同態(tài)性，一般利用其同態(tài)性來對云中存儲的數據進行完整性驗證。同態(tài)標簽具有以下2個特性：1) 由于只需對少量特定的數據塊進行數據持有性驗證，極大程度上降低了通信開銷和計算成本；2) 已知任意2個數據塊m和m，則m+m的標簽信息(m+m)可以很容易地由它們各自的標簽信息(m)與(m)生成，即(m+m)=(m)(m)。

文件塊的驗證元數據由標簽信息構成，服務器同時存儲著文件和相應的標簽信息，具有不可偽造的特性。

3.3 COM函數

目前，存在2種承諾方案，針對全功能發(fā)送方的標準承諾方案與針對全功能接收方的完美承諾方案。但是，承諾方案并不能同時保證信息理論上隱藏和綁定。因為云可以被視為一個強大的接收者，所以本文使用了Pedersen COM函數[17]進行公有驗證，并對此COM函數進行如下參數設置。

離散對數函數G是素數階的群，使和是G的元素，則很難通過計算求解loghmod的值。

Pedersen COM函數過程如下：取Z，從Z隨機選擇輔助值構造一個關于的承諾函數COM(,)，使COM(,)=ghmod。存在定理已證明COM(,)不顯示關于的信息[18]。

4 方案設計

目前，企業(yè)和個人都傾向于借助云存儲來實現對大量隱私數據的存取。現有的數據持有性驗證證明都只考慮了云服務提供商的可信性，而沒有考慮到惡意用戶的存在。在現實生活中，由于利益的驅使，惡意用戶是真實存在的。因此在對云中數據進行持有驗證時，需要同時對云服務提供商和云用戶的可信性進行驗證。雖然已有研究提出了基于公有驗證、私有驗證以及混合驗證的模型，但都是針對云服務提供商進行可信性驗證，并沒有考慮用戶的可信性。由于公有驗證和私有驗證存在不同的特點，因此本文基于2種驗證方法提出了新的數據持有性驗證方案——PPPDP，通過2種驗證方法并行，充分考慮到云服務提供商和云用戶可信性的驗證工作。

4.1 整體框架

該模型涉及云租戶或客戶端（client）、云服務提供商（CSP, cloud service provider）、驗證者（verifier）3種角色。三者之間的關系如圖1所示。

圖1 角色關系

本方案主要涉及3種角色，其分別負責不同的功能，具體介紹如下。

1) 客戶端，即用戶。客戶端由于持有大量數據需要存儲，而本地存儲空間有限，因此選擇將數據存放在云存儲服務器中。為了更好地驗證云服務器中數據的完整性，若用戶存在數據完整性驗證需求，則指派驗證者代其驗證。

2) 云服務提供商。云服務提供商在云中為個人和企業(yè)提供云存儲服務。在本文中，云服務提供商是不可信的，因此它將接受數據完整性證明中的挑戰(zhàn)，以驗證其可信性。

3) 驗證者。驗證者主要負責云中數據完整性的驗證工作，代替用戶進行驗證操作，在得到用戶授權之后，及時對挑戰(zhàn)請求進行響應。

數據持有性方案流程如圖2所示。

4.1.1 公有驗證

公有驗證能有效地避免用戶的否認。本文中的公有驗證方式采用任意驗證者根據運行COM函數產生的值對文件進行完整性驗證，可以很好地保證驗證的公開性。公開驗證的結果會對最終的數據持有性證明的結果產生影響，既驗證客戶端的可靠性又驗證服務器端的可靠性。文中私有驗證和公有驗證使用同樣的元數據，減少了數據的存儲量，從而有效地提高了驗證速度。

4.1.2 私有驗證

私有驗證方案是由數據擁有者對存儲在云中的數據進行驗證。當驗證者獲取私鑰時，采用私有驗證的方式對存儲在云中的數據進行驗證，在驗證的過程中存在著較少的標量乘法運算，可以節(jié)省大量的時間和空間，減少存儲開銷和計算開銷，并且在驗證過程中不需要學習任何關于數據存儲的問題，只需要利用私鑰對存儲在云中的數據進行驗證。

圖2 數據持有性方案流程

4.2 基本定義

PPPDP方案主要由5個多項式時間算法構成，分別為KeyGen、Prepare、ProofGen、VerifyProof和VerifyCOM。

KeyGen(1)。此密鑰生成算法由客戶端運行。算法輸入安全參數，利用概率算法進行計算，求得公有密鑰p與私有密鑰sk。

Prepare(sk，pk，m,)→({{1},{2},…,{M}}，COM)。此標簽生成算法由客戶端運行，主要用于生成驗證所需要的元數據tag和證據，算法輸入為公鑰pk、私鑰sk和原文件，輸出文件經過分塊、加密生成數據塊的tag和運行COM函數生成值COM。

VerifyProof(sk，pk，chal，)→{1，0}。此驗證證據算法由驗證者運行，根據返回的數值判斷文件塊是否完整。算法輸入公鑰pk、私鑰sk、挑戰(zhàn)信息chal和證據，輸出固定的數值表示數據塊是否被完整持有。

VerifyCOM({}，{}，，{COM})→{1，0}。此算法為公開驗證算法，任何人均可運行，主要功能是用于驗證存儲在云中的數據是否完整。算法輸入所選塊{}和對應的COM {COM}的索引，輸出{COM}是否通過驗證，同時確定驗證者的可信性。

PPPDP方案主要由3個階段組成，分別為預處理階段、挑戰(zhàn)階段和私有驗證與公共COM驗證階段。各個階段的主要流程介紹如下。

1) 預處理階段

用戶Y運行KeyGen和Prepare算法，在本地存儲(pk，sk)。用戶Y給服務器S發(fā)送私鑰pk、文件、COM值和標簽，并把這些信息從本地存儲中刪除。

2) 挑戰(zhàn)階段

用戶Y通過運行相應的算法生成挑戰(zhàn)信息chal，并發(fā)送給服務器S。服務器S把挑戰(zhàn)信息chal作為輸入運行ProofGen算法，并生成相關證據，發(fā)送給用戶Y。

3) 私有驗證與公共COM驗證階段

用戶運行VerifyProof算法來對證據進行檢測，通過返回值確定云中的數據是否完整。服務器可以向公眾公開部分COM，任何人可以根據公開的COM運行VerifyCOM，驗證數據是否完整地存儲在云中，即驗證用戶的可信性。

4.3 驗證流程

4.3.1 預處理

為了更好地對存儲在云中數據進行完整性、正確性的驗證，在持有性驗證之前要對文件進行預處理操作。預處理操作主要是對文件進行分塊，驗證采用抽樣的方式，避免了對大量數據塊的驗證，只需要使用少量的數據信息來完成對整個文件的驗證工作。選定要驗證的在云中存儲的文件之后，首先對文件進行分塊處理，把整個文件等分為個數據塊，每個文件塊m(0<≤)中含有bit數據，若最后一個數據塊不足bit，則使用0進行補位。分塊結束后，對每一個數據塊進行加密操作，確保文件塊的信息不被泄露。其中每個數據塊都具有唯一標識符參數id。每個數據塊m都能得到位數據，用表示第塊數據的元數據。把塊數據分為組，=，為用戶選擇的隨機參數，為保證為整數，若不滿足被整除，則用0補齊數據塊，其中，數據塊<>=(m,1,…,m)。

利用同態(tài)驗證標簽對文件中的數據塊生成數據標簽tag，輸出文件集合和標簽集合{<>，<>},0<≤。同時為每一個文件塊(0<≤)運行COM函數，利用COM函數生成不可否認驗證需要的信息COM，計算方法如式(2)所示。

計算出每一個文件塊的標簽和COM之后，輸出(m,,{T，COM}1)信息，為防止覆蓋存儲著相同信息的不同塊，每個數據塊都與生成的標簽值和COM值綁定。把文件的信息（塊標識符id）與生成的標簽值和COM值一同存儲在服務器上，刪除客戶端文件數據。

4.3.2 挑戰(zhàn)階段

在挑戰(zhàn)階段，客戶端請求擁有塊的證明，為保證安全性，挑戰(zhàn)信息采用密文進行傳輸，數據持有者選取一條橢圓曲線(F)，并選取橢圓上的一點作為基點′，數據擁有者選擇一個私有臨時密鑰′，并生成臨時公開密鑰′=′′，數據擁有者將(F)和′、′傳給驗證者，驗證者收到數據持有者傳送的消息后，將數據塊M對應的檢驗信息、私鑰和該數據存儲時生成的標簽2一起編碼到()上的一點′，產生一個隨機整數′，驗證者通過計算產生2個數據1′=′+′′和2′=′′，再將1′和2′傳送給數據擁有者。

1′?′2′=′+′′?′(′′)′+′′?′(′′)=′

數據持有者通過上述計算得到驗證者挑戰(zhàn)信息碼′，再將′進行解碼便得到驗證者發(fā)送的挑戰(zhàn)信息，即數據塊m的挑戰(zhàn)信息和2。驗證者挑戰(zhàn)信息發(fā)送成功。

4.3.3 驗證階段

分層多代理的結構能有效地避免單點故障，防止由于某個驗證者的不可用造成整個驗證系統(tǒng)的崩潰。多代理的驗證采用主從結構的設計，主節(jié)點負責任務的分發(fā)、監(jiān)控和節(jié)點切換；從節(jié)點的工作比較單一，只負責驗證工作。利用文件塊的訪問粒度和用戶訪問的文件數對文件塊進行分層。通過主節(jié)點對驗證信息進行分配，驗證的工作主要由從節(jié)點進行，主要的驗證過程如下。

1) 令sk=(，，Hash)，chal的值為chal=(，1，2，g)。

2) 分別計算抽樣塊的索引值和相關系數，通過相關運算與客戶端生成的證明進行比較，對于0<≤，計算抽樣塊的索引為I=1()；計算相關系數為a=f2()。

VerifCOM({m}，{}，，{COM})→{1，0}。在COM驗證階段，服務器可以請求所有被挑戰(zhàn)的塊，并且公開這些塊和相關的COM。可采用VerifCOM函數來同時驗證客戶端和驗證者的可靠性，令pk=(1，1，1，)；服務器可以請求錯誤塊索引，并公開相關的COM信息和相關的數據塊，如式(5)所示。

對所有要驗證的塊進行驗證，驗證者可以檢查每個數據塊的COM的有效性，為了防止服務器修改和偽造這些COM信息，可以采用加密的方式存儲這些信息，任何人都可以基于公共信息計算s和t的值，并檢查它們是否相等。

驗證過程如下。

如果s=t，則說明塊m和它生成的COM函數是一致的，當數據塊和該數據塊的COM值完全匹配時輸出1，否則輸出0。

在運行的過程中，VerifProof與VerifCOM是同時進行的，如果驗證者不擁有私鑰，在進行VerifProof運算時默認輸出為0。2個運算生成結果對，如果結果對為(1, 1)，則證明數據完整且客戶端可信；如果結果對為(0，0)或(1，0)則證明數據不完整。如果結果對為(0, 1)，則證明數據完整，客戶端不可信。結果對用表示，如式(7)所示。

5 安全性分析

5.1 安全模型

為了達到更好的驗證效果，使用數據持有性游戲和不可否認性游戲來定義此安全模型。

游戲1 數據持有性游戲

設置：挑戰(zhàn)者運行KeyGen(1)產生密鑰對(pk，sk)，保持sk值的隱私性，公開pk的值。

挑戰(zhàn)：挑戰(zhàn)者通過算法生成一個挑戰(zhàn)信息chal并向敵手請求生成文件塊m1，…，m(1≤≤)的持有性證明。

偽造：敵手根據挑戰(zhàn)信息chal通過算法計算生成一個持有性證明，并把此證明發(fā)送給挑戰(zhàn)者。

顯然，敵手獲得勝利的概率近似接近于抽取器抽取出挑戰(zhàn)chal所對應文件塊的概率。

游戲2 不可否認性游戲

設置：敵手通過運行KeyGen(1)，輸出相同長度的數據對0、1。

挑戰(zhàn)：挑戰(zhàn)者運行Prepare (pk，sk，i，)→({{1},{2},…,{M}},COM)，輸出0、1，其中COM(0)=0，COM(1)=1。選取隨機數，{1,0}，把b、pk告知敵手。

結果：敵手運行VerifProof (pk，b)→{0,1}，如果b是m塊的COM值則輸出1，否則輸出0。

5.2 安全性分析

定理1 假設是安全的偽隨機函數，則本方案是在標準模型下支持數據持有性和不可否認性的方案。

證明

1) 數據持有性

在證明數據持有性時，使用偽隨機函數和隨機數分別在現實環(huán)境和理想環(huán)境中執(zhí)行。

① 現實環(huán)境

設置：挑戰(zhàn)者運行KeyGen(1λ)算法得到公鑰pk和私鑰sk，并保持其隱私性。

挑戰(zhàn)：挑戰(zhàn)者通過算法產生一個挑戰(zhàn)信息chal并向敵手請求文件塊m1,…,m(1≤≤)的持有性證明。

偽造：敵手根據挑戰(zhàn)chal計算生成一個持有性證明，并把此證明發(fā)送給挑戰(zhàn)者。

② 理想環(huán)境

使用隨機數代替?zhèn)坞S機函數，則=[1，…，r]T。記錄所有的隨機數，并且在驗證過程中使用相應的隨機數進行計算。

假設敵手可以在發(fā)生改變的情況下完成驗證，即在理想環(huán)境下，敵手成功找到′，使′=A1+?1。

由于和為隨機生成的密鑰，為純隨機數，則不等式如式(8)所示。

其中，1、2為隨機數矩陣。

2) 不可抵抗性

利用還原法證明PPPDP方案的不可否認性。

假設存在敵手*，并且敵手贏了PPPDP方案的不可否認性游戲。可以構建一個驗證者來打破COM驗證。

設置：敵手運行KeyGen(1)，輸出相同長度的數據對0、1。敵手把0、1的值發(fā)送給驗證者。

挑戰(zhàn)：驗證者運行Prepare(pk, sk,m,)→({{1},{2},…,{M}},COM)，輸出0、1，其中，(0)=0，COM(1)=1。

驗證者選取隨機數，→{1,0}。把b、pk告知敵手。

偽造：敵手運行VerifCOM(pk，)→{1,0}，輸出結果1或0。

若概率表達式為

或

則驗證者勝利。

6 實驗結果及分析

實驗環(huán)境基于河北省高可信信息系統(tǒng)重點實驗室的YF-TCI云平臺進行搭建。本次實驗使用YF-TCI平臺中的3個服務器，并且部署OpenStack Ocata，云平臺中每個虛擬機節(jié)點都運行Ubuntu 14.04.3 LTS，虛擬機節(jié)點的配置為CPU 4個核心，8 GB內存，200 GB硬盤空間，存儲用戶數據。算法使用的密碼學庫是版本1.0.2l的OpenSSL。實驗結果存在隨機性，因此對所有實驗結果都進行了多次測試，取平均值作為最終結果。

PPPDP對S-PDP進行了改進，但是抽樣方法與S-PDP是相同的。要想至少有一個被改動或被刪除的文件塊被抽中的概率不低于99%，經過計算，要檢測的文件塊數量至少為460個[14]。

6.1 COM函數的生成和驗證

在PPPDP方案中，為了實現不可否認性，在預處理階段對每一個數據塊都要通過COM函數生成唯一對應的COM值，COM的值是一次計算可重復多次使用的。數據塊分別為128 KB、64 KB、16 KB、4 KB時，運行COM函數生成COM值的時間與文件大小的關系如圖3所示。從圖3可以看出，COM值的生成時間與文件的大小呈線性相關。當數據塊大小一定時，隨著文件的增大，其對應的COM數量增加，計算時間會變長。當文件大小一定時，數據塊增大，則數據塊的數量減少，在一定程度上也會減少COM的生成時間。

圖3 執(zhí)行COM函數的時間

COM的驗證時間如圖4所示。當塊大小固定時，驗證時間變動不大。隨著數據塊逐漸變大，計算負擔也隨之增加，驗證的時間成本增加，因此驗證時間與數據塊的大小相關。

6.2 PPPDP方案與PDP、POR方案的比較

表1 PPPDP方案與PDP、POR方案的性能比較

將基于2種驗證方法的不可否認的PPPDP方案與已有PDP方案（S-PDP、CPDP、NRPDP等）和POR方案（POR、CPOR等）進行比較。對上述方案是否需要第三方、各個階段的時間復雜度和通信存儲復雜度等性能進行了對比，如表1所示。PPPDP方案在預處理、生成證據、驗證階段與其他方案相比有類似的時間復雜度和通信開銷，能很好地實現不可否認性并滿足客戶端和驗證者相互證明。

PPPDP方案與NRPDP方案在挑戰(zhàn)驗證階段、數據存儲階段的時空復雜度是一致的，但是NRPDP方案只單獨局限于私有驗證，具有一定的局限性，而PPPDP方案可以采用2種驗證方式并行進行驗證。

6.3 PPPDP方案的效率測試

在預處理階段和挑戰(zhàn)驗證階段，將PPPDP方案與S-PDP、文獻[15]中的PDP方案進行了對比，結果如圖5~圖7所示。在整個驗證過程中，時間花費最多的階段是預處理階段，在挑戰(zhàn)驗證階段需要的時間開銷比較小。在預處理階段，隨著劃分數據塊的增大，運行時間逐漸減少，在相同塊大小的情況下，運行時間隨文件大小變化呈線性分布。在挑戰(zhàn)驗證階段，這3種方案具有相似的操作，運行時間相似，大部分運行時間是I/O操作的時間，去掉I/O操作后，挑戰(zhàn)時間接近恒定時間。

首先分析預處理階段的時間開銷。預處理階段主要工作是客戶端生成用于驗證的元數據。在該階段，實驗需要測量3種方案生成密鑰和驗證標簽的時間，主要包括生成密鑰時間、I/O的時間以及將數據存儲到磁盤的時間。其中，生成密鑰的時間相對較少，主要耗時是指數計算所需要的時間。圖5表示預處理階段時間與文件大小之間的關系。由于3種驗證方案都是對每個塊執(zhí)行求冪操作，預處理的時間隨著文件大小的增加呈線性增長。PPPDP方案在預處理階段時間開銷比文獻[15]中的PDP方案與S-PDP方案有所增加，這是因為PPPDP方案在此階段會生成標簽值和COM值，生成這些數據都會有一定的時間消耗。其中生成COM的時間開銷小于生成標簽值的時間開銷，而且COM值只需計算一次就可多次利用，在驗證較大數據塊的完整性時，生成COM值的時間相對較小。

圖5 預處理階段

其次，考慮在挑戰(zhàn)驗證階段產生的時間開銷。PPPDP方案在此階段主要工作包括客戶端生成挑戰(zhàn)chal，并將其發(fā)送到服務器上，服務器生成擁有chal的文件塊證明之后，客戶端驗證服務器給出的擁有證明，并對公開的數據塊COM值進行驗證。這3種方案均挑戰(zhàn)驗證階段，通過實驗，對3種方案的挑戰(zhàn)驗證時間開銷進行了對比。PPPDP方案、S-PDP方案與文獻[15]中的PDP方案在挑戰(zhàn)驗證階段具有類似的操作，文獻[15]中的PDP方案在驗證過程中需要決定用哪種驗證方法進行驗證，PPPDP方案在驗證過程中采用2種驗證方法并行的方式進行驗證，提高了驗證的效率，PPPDP方案與文獻[15]中的PDP方案的時間開銷相差不大。S-PDP方案需要相對較多的時間開銷。如圖6所示，3種方案的時間開銷都隨著文件大小的增加線性增加。

圖6 挑戰(zhàn)驗證階段

由于隨著文件大小的增加，檢索、讀取和加載數據的時間隨之增加，這些數據的操作統(tǒng)稱為I/O成本。顯然，當文件塊的數量增加時，I/O成本增加。在對比過程中去掉I/O成本，再對3種方案進行對比。在去掉I/O成本之后挑戰(zhàn)驗證階段的時間開銷如圖7所示，生成與驗證證據的時間接近恒定時間。由于PPPDP方案采用并行的方法，比S-PDP方案與文獻[15]中的PDP方案在時間成本上有所減少，說明PPPDP方案在挑戰(zhàn)驗證階段具有一定的優(yōu)勢。

6.4 應用

PPPDP方案已作為一個相對獨立的模塊應用在某健康數據私有存儲云管理信息系統(tǒng)中，該系統(tǒng)私有云的配置如下：軟件平臺采用OpenStack（CentOS 7 1511版本），硬件平臺采用由5臺大唐高鴻可信服務器（E5 2670 CPU，32 GB內存，3 TB硬盤）構成的集群作為云存儲服務提供方環(huán)境，其中一臺為NameNode，主要負責集群的控制和調度，另外4臺為DataNode，主要負責數據存儲和計算。

圖7 去掉I/O的挑戰(zhàn)驗證階段

PPPDP方案分為3種模塊，客戶端模塊部署在客戶機上，驗證模塊部署在審計端，服務端模塊部署在NameNode上。對該信息系統(tǒng)進行數據持有性驗證模塊的操作。當對后臺某個文件中數據塊進行刪除后，客戶端對此文件進行數據持有性驗證請求，驗證者對此塊進行驗證。

經過一年多的使用表明，本方案運行穩(wěn)定、無故障，在響應時間、完整性驗證等方面性能可靠且均能滿足該信息系統(tǒng)要求。

6.5 存儲代價和通信帶寬

1) 存儲開銷

PPPDP方案的存儲開銷來自客戶端和服務器端的存儲開銷，主要的開銷是服務器端的存儲開銷，其他的開銷很小可忽略不計。在預處理階段利用橢圓曲線加密，能很好地減少密鑰長度，但要生成用于不可否認的COM值，增加了一定的存儲成本。但在性能上有很大的提高，存儲的增加量可以通過增加數據塊大小來減少額外的存儲，在可以接受范圍之內。PPPDP方案在客戶端存儲開銷代價為(1)，文件的大小對開銷沒有影響，僅與安全系數存在相關性。

例如，存儲文件大小為1 GB，對數據進行分塊，數據塊大小為4 KB，在S-PDP方案中，驗證標簽為1 024 bit，額外的存儲開銷為3.125%。PPPDP方案在驗證標簽部分增加了COM函數，存儲的額外開銷為數據塊數與每個數據塊驗證信息所占存儲的乘積，約為3.5%，由于每個數據塊生成的驗證信息大小固定，當分塊變大時，額外的存儲開銷會逐漸下降，當數據塊大小為64 KB時，存儲的額外開銷為2.75%。

2) 通信帶寬

通信開銷主要在驗證者和服務器之間的挑戰(zhàn)驗證階段產生。隨著文件數據塊的增大，驗證信息總量逐漸減小，返回的證據信息也減小。S-PDP因為chal和證明都是恒定的，所需要的帶寬為(1)，PPPDP方案所需帶寬與S-PDP相同。在COM驗證階段，服務器需要一定的帶寬來顯示數據塊和相關的COM，這僅與文件劃分產生的數據塊數量相關。

7 結束語

本文提出了一種基于公有驗證和私有驗證的數據持有性驗證方法，在驗證過程中可以同時驗證客戶端和服務器的可信性，查證驗證是否滿足不可否認性。在驗證的過程中多次利用橢圓曲線，很好地保證了驗證的安全性，并針對服務器和客戶端的特點，為私有和公有驗證設計了合理的挑戰(zhàn)。2種驗證方法使用同一套元數據，節(jié)省了計算和存儲空間，驗證效率優(yōu)于原有的單純私有驗證或公有驗證的方案。

由于云中數據是可以根據用戶的需求隨時進行修改的，下一步的工作主要涉及2個方面，一方面將在本文所提靜態(tài)的驗證方法的基礎上，進一步研究適用于動態(tài)環(huán)境的數據持有性驗證；另一方面，針對目前云中存儲的數據具有多副本的特性，將對本文提到的多層次驗證方案進行調整，研究適用于多副本的數據持有性驗證方案。

[1] 王宏遠, 祝烈煌, 李龍一佳. 云存儲中支持數據去重的群組數據持有性證明[J]. 軟件學報, 2016, 27(6):1417-1431. WANG H Y, ZHU L H, LI L Y J. Group provable data possession with deduplication in cloud storage[J].Journalof Software, 2016, 27(6): 1417-1431.

[2] 查雅行, 羅守山, 卞建超,等. 基于多分支認證樹的多用戶多副本數據持有性證明方案[J]. 通信學報, 2015, 36(11):80-91.ZHA Y X,LUO S S, BIAN J C, et al. Multiuser and multiple-replica provable data possession scheme based on multi-branch authentication tree[J]. Journal on Communications, 2015, 36(11): 80-91.

[3] 何凱, 黃傳河, 王小毛,等. 云存儲中數據完整性的聚合盲審計方法[J]. 通信學報, 2015, 36(10):119-132.HE K, HUANG C H, WANG X M, et al. Aggregated privacy-preserving auditing for cloud data integrity[J]. Journal on Communications,2015, 36(10): 119-132.

[4] 譚霜, 賈焰, 韓偉紅. 云存儲中的數據完整性證明研究及進展[J]. 計算機學報, 2015, 38(1): 164-177.TAN S, JIA Y , HAN W H. Research and development of provable data integrity in cloud storage [J]. Chinese Journal of Computers, 2015, 38(1):164-177.

[5] YUAN J, YU S. Efficient public integrity checking for cloud data sharing with multi-user modification[C]//IEEE International Conference on Computer Communications. 2014: 2121-2129.

[6] ATENIESE G, BURNS R, CURTMOLA R, et al. Remote data checking using provable data possession[J]. ACMTransactions on Information & System Security, 2011, 14(1):12.

[7] JUELS A, KALISKI B S, BOWERS K D, et al. Proof of retrievability for archived files, US 8381062 B1[P]. 2013.

[8] ARMKNECHT F, BOHLI J M, KARAME G O, et al. Outsourced proofs of retrievability[C]//SIGSAC Conference on Computer and Communications Security. 2014:831-843.

[9] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//ACM Conference on Computer and Communications Security. 2007: 598-609.

[10] DAN B, LYNN B, SHACHAM H. Short signatures from the weil pairing[J]. Journal of Cryptology, 2004, 17(4): 297-319.

[11] WANG Q, WANG C, LI J, et al. Enabling public verifiability and data dynamics for storage security in cloud computing[C]// European Conference on Research in Computer Security. 2009:355-370.

[12] WANG C, CHOW S S M, WANG Q, et al. Privacy-preserving public auditing for secure cloud storage[J]. IEEE Transactions on Computers, 2013, 62(2):362-375.

[13] CURTMOLA R, KHAN O, BURNS R. Robust remote data checking[C]//ACM Workshop on Storage Security and Survivability. 2008: 63-68.

[14] WANG H, ZHU L, XU C, et al. A universal method for realizing non-repudiable provable data possession in cloud storage[J]. Security & Communication Networks, 2016, 9(14):2291-2301.

[15] HANSER C, SLAMANIG D. Efficient simultaneous privately and publicly verifiable robust provable data possession from elliptic curves[C]//International Conference on Security and Cryptography. 2015:15-26.

[16] 趙曼, 徐和根, 馬峰. 基于橢圓曲線密碼(ECC)算法的圖像加密技術的硬件設計[C]//中國通信學會學術年會. 2012:18-21.ZHAO M, XU H G, MA F. Hardware design based on elliptic curve cryptography (ECC) algorithm for image encryption technology[C]// Annual Meeting of China Institute of Communications.2012: 18-21.

[17] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing[C]//International Cryptology Conference on Advances in Cryptology. 1991: 129-140.

[18] PEDERSEN T P. Non-interactive and information theoretic secure verifiable secret sharing[C]//International Cryptology Conference on Advances in Cryptology. 1991.

[19] DENT A W. The hardness of the DHK problem in the generic group model[J]. IACR Cryptology ePrint Archive, 2006: 156.

[20] MO Z, ZHOU Y, CHEN S, et al. Enabling non-repudiable data possession verification in cloud storage systems[C]//IEEE International Conference on Cloud Computing. 2014: 232-239.

[21] MCCURLEY K S. The discrete logarithm problem[C]//Symposium in Applied Math. 1990: 49-74.

Provable data possession scheme based on public verification and private verification

TIAN Junfeng1,2, CHAI Mengjia1,2, QI Liuling1,2

1. School of Cyber Security and Computer, Hebei University, Baoding 071002, China 2. Key Lab on High Trusted Information System in Hebei Province, Baoding 071002, China

More and more users choose to transfer their applications and data into the cloud. Data security is a key issue for cloud storage systems. To ensure the integrity and validity of the data stored in the cloud, provable data possession (PDP) scheme is particularly important. In order to verify whether the cloud storage service provider had stored the data of the user completely, a scheme on the basis of NRPDP (non-repudiable PDP) was improved and extended, and a data retention scheme based on public authentication and private authentication was proposed. The scheme can verify the trustworthiness of the service provider and the user in the cloud storage at the same time, which satisfies the non-repudiation of the verification. The theory proves the non-repudiation of the proposed scheme. The experiment proves that the efficiency of each stage is better than that of the existing single public verification method or private authentication method.

cloud storage, non-repudiation, provable data possession, public verification, private verification

TP309

A

10.11959/j.issn.1000?436x.2019053

2018?03?13；

2018?12?12

國家自然科學基金資助項目（No.61170254）；河北省自然科學基金資助項目（No.F2016201244）；河北省高等學校科學技術研究青年基金資助項目（No.QN2016149）

The National Natural Science Foundation of China (No.61170254), The Natural Science Foundation of Hebei Province (No.F2016201244), The Youth Fund for Scientific and Technological Research in Higher Institutions of Hebei Province (No.QN2016149)

田俊峰（1965? ），男，河北保定人，博士，河北大學教授、博士生導師，主要研究方向為信息安全與分布式計算。

柴夢佳（1993? ），女，河北保定人，河北大學碩士生，主要研究方向為信息安全與分布式計算。

齊鎏嶺（1992? ），男，河北保定人，河北大學碩士生，主要研究方向為信息安全與分布式計算。