支持用戶撤銷的多用戶多副本數據公開審計方案

楊小東,裴喜禎,陳桂蘭,王美丁,王彩芬

(西北師范大學 計算機科學與工程學院,蘭州 730070)

0 概述

隨著云存儲技術的快速發展,越來越多用戶將數據存儲于云服務器以節省本地存儲空間。然而數據外包到遠程平臺后用戶將失去對數據的實際控制[1],且由于存在硬件故障、軟件錯誤以及管理員操作失誤等不可抗因素,用戶數據有丟失或損壞的風險,因此如何保證用戶外包數據的完整性成為近年來云計算安全研究的熱點[2-4]。

文獻[5]提出一種數據可恢復性證明(Proofs of Retrievability,PoR) 方案,用戶能對外包數據進行完整性驗證,但該方案驗證次數受到限制。文獻[6]利用短簽名構造出有效的PoR方案,可解決驗證次數受限的問題,但該方案不支持數據動態操作。文獻[7]基于改進認證跳表提出支持全動態更新的數據持有性證明(Provable Data Possession,PDP)方案,但該方案認證過程較長且需大量的計算與通信開銷。文獻[8]基于Merkel哈希樹(Merkel Hash Tree,MHT)提出支持動態更新的數據完整性驗證方案,但其中樹的深度會隨數據增多呈指數增長,且數據動態更新的計算開銷較大。文獻[9]基于多分支路徑樹提出云端數據公開審計方案,但其不支持數據隱私保護。上述方案均是對單用戶的數據完整性進行驗證,未考慮群用戶共享數據的公共審計。針對該情況,研究人員相繼提出基于環簽名、群簽名等多用戶公開審計方案[10-12],但這些方案均不能抵抗合謀攻擊且不支持數據動態更新。文獻[13]使用代理重簽名技術設計出支持用戶撤銷的云端數據完整性驗證方案,但該方案無法抵抗合謀攻擊。文獻[14]利用秘密共享技術提出支持用戶撤銷的數據完整性驗證方案,然而該方案未考慮數據動態更新。以上方案均未對重要數據進行備份存儲,一旦數據丟失會造成重大經濟損失。為提高數據存儲的可靠性,通常采用在云中存儲多個數據副本的方法。文獻[15]設計出基于多副本的云端數據完整性驗證方案,但該方案不支持數據動態操作。文獻[16-18]提出不同的云端多副本數據完整性驗證方案,但這些方案仍無法支持用戶撤銷且計算效率較低。文獻[19-20]分別設計出多副本數據完整性驗證方案,但方案中樹的深度會隨數據塊增多呈指數增長,導致數據動態更新需較大的計算開銷。

為支持用戶撤銷并減少數據動態更新計算開銷,本文提出一種基于身份的多用戶多副本云端數據公開審計方案。利用秘密共享技術和重簽名算法實現用戶安全撤銷,通過多分支路徑樹進行數據動態更新,并對該方案的安全性和不同階段的計算開銷進行分析。

1 困難性問題

定義1(DL假設) 如果任意多項式時間算法無法解決群G1上的DL問題,則稱G1上的DL問題是困難的。

2 多用戶多副本數據公開審計方案

2.1 系統模型

圖1為本文所提支持用戶撤銷的多用戶多副本數據公開審計方案的系統模型,該模型主要包括以下方面:1)群用戶(Users)負責生成數據的標簽,上傳數據到云服務器并對云端數據進行動態更新;2)私鑰生成中心(Private Key Generator,PKG)負責生成系統參數和用戶私鑰;3)第三方審計員(Third Party Auditor,TPA)負責驗證云端數據完整性并將結果發送給用戶;4)云服務提供商(Cloud Server Provider,CSP)負責存儲用戶數據及標簽,并響應TPA的數據驗證請求與轉換被撤銷用戶的簽名;5)代理者(Proxies)負責生成重簽名份額并發送給云服務提供商。

圖1 本文方案的系統模型Fig.1 System model of the proposed scheme

2.2 方案描述

本文方案具體介紹如下:

1)系統初始化

輸入安全參數K,PKG執行如下操作:

(3)秘密保存主私鑰,公開系統參數params={G1,G2,p,g,e,H1,H2,f1,f2,π,Y}。

2)密鑰生成

3)私鑰分發

用戶收到PKG發送的私鑰Si后執行如下操作:

(1)驗證等式gski=RiYH1(IDi,Ri)是否成立,若等式成立,則用戶接受私鑰,否則用戶拒絕。

4)副本數據塊生成

為生成副本數據塊,用戶執行如下操作:

5)數據上傳

為生成多分支路徑樹根節點的簽名和每個數據塊mij的標簽,用戶執行如下操作:

圖2 多分支路徑樹結構Fig.2 Multi-branch path tree structure

(2)計算根節點Ri的簽名IDS(Ri)=H2(Ri)ski。

(5)CSP收到用戶上傳數據后,驗證根節點簽名的正確性,若等式e(IDS(Ri),g)=e(H2(Ri),RiYH1(IDi,Ri))成立,則根節點簽名有效,保存用戶上傳的數據。

6)重簽名

若要撤銷群中用戶Ua,則需將用戶Ua的簽名轉換為用戶Ub的簽名,群用戶產生重簽名密鑰份額發送給代理者,代理者產生代理重簽名份額發送給CSP,CSP產生重簽名,具體步驟如下:

7)挑戰信息生成

為生成挑戰信息,用戶執行如下操作:

(1)若用戶Ui要驗證存儲在CSP上數據塊及其副本的完整性,則可發送請求給TPA。

8)證據生成

CSP收到TPA發送的挑戰信息chal后,執行如下操作:

(1)計算sj=πκ1(i,j)和aj=f2κ2(i,j)。

9)證據驗證

TPA收到CSP發送的證據proof后,執行如下操作:

2.3 數據動態更新

數據動態更新包括數據塊的修改、插入和刪除。

2.3.1 數據塊修改

用戶收到CSP發送的證明proof后,執行如下操作:

(1)利用e(IDS(Ri),g)=e(H2(Ri),RiYH1(IDi,Ri))驗證根節點簽名的正確性,若等式不成立,則輸出FALSE,否則繼續驗證。

(3)對新的根節點R′i生成簽名IDSski(H2(R′i)),并將簽名信息IDSski(H2(R′))發送給CSP,完成修改操作。

以上數據塊修改操作完成后,得到的多分支路徑樹結構如圖3所示。

圖3 修改數據塊后的多分支路徑樹結構Fig.3 Multi-branch path tree structure after modifyingdata block

2.3.2 數據塊插入

圖4 插入數據塊后的多分支路徑樹結構Fig.4 Multi-branch path tree structure after insertingdata block

2.3.3 數據塊刪除

圖5 刪除數據塊后的多分支路徑樹結構Fig.5 Multi-branch path tree structure afterdeleting data block

3 安全性分析

定理1本文方案滿足抗合謀攻擊性,即能夠抵抗云服務器和已撤消用戶的合謀攻擊。

證明本文方案滿足抗合謀攻擊性的證明過程如下:使用秘密分割技術[21]將用戶的秘密值1/ski分為n份分發給群用戶。CSP必須聯合至少k個群成員才能恢復得到重簽名密鑰。若群用戶中至少有k+1個成員可信,則本文方案可抵抗來自云服務器和已撤銷用戶的合謀攻擊,實現安全撤銷。因此,本文方案滿足抗合謀攻擊性。

定理2如果DL假設成立,則本文方案滿足審計的健壯性,即只有CSP基于正確數據產生的完整性證明proof才可通過TPA驗證。

證明本文方案滿足審計健壯性的證明過程如下:

RiYH1(IDi,Ri))

(1)

假設CSP基于損壞數據M′(M′≠M)偽造的完整性證明proof={φ*,σ*}也能通過驗證,則其滿足式(2):

RiYH1(IDi,Ri))

(2)

(3)

(4)

定理3本文方案滿足數據隱私性,即云服務器無法獲得用戶的原始數據。

證明本文方案滿足數據隱私性的證明過程如下:用戶的原始數據經過加密、分塊、隨機化處理并上傳到云服務器后,可有效阻止云服務提供商從密文中恢復用戶的數據內容。因此,本文方案滿足數據隱私性。

4 性能分析

本文方案與文獻[17-19]方案均為多副本數據完整性方案,以下對這4種方案在采用基于身份的簽名、支持數據動態更新、支持用戶撤銷、抗合謀攻擊方面的功能以及通信開銷與計算開銷進行對比分析。

4.1 功能對比

表1為本文方案與文獻[17-19]方案在采用基于身份的簽名、支持數據動態更新、支持用戶撤銷和抗合謀攻擊方面的功能對比情況。由表1可知:文獻[17-19]方案均基于傳統公鑰密碼體制,存在復雜的證書管理問題;文獻[18]方案不支持數據動態更新;文獻[17]方案雖然采用多分支路徑樹實現了數據動態更新,但需要巨大的通信開銷;文獻[19]方案采用MHT實現了數據動態更新,導致樹的深度隨數據塊數量的增加呈指數增長;文獻[17-19]方案不支持用戶撤銷,且不能抵抗已撤銷用戶和云服務器的合謀攻擊;本文方案采用基于身份的簽名,實現了數據動態更新、用戶撤銷和抗合謀攻擊的功能。

表1 4種方案的功能對比Table 1 Function comparison of four schemes

4.2 通信開銷對比

表2 4種方案的通信開銷對比Table 2 Computational overhead comparison of four schemes

4.3 計算開銷對比

表3為本文方案與文獻[17-19]方案在簽名階段、證據生成階段以及證據驗證階段的計算開銷對比情況。其中,n表示數據塊數量,Texp、Tmul、Tadd、Thash、Tp分別表示1次冪運算、1次乘法運算、1次加法運算、1次哈希運算、1次雙線性配對運算所需的時間。由表3可知:在簽名和證據驗證階段,本文方案的計算開銷與副本數量幾乎無關,而文獻[17-19]方案與副本數量線性相關;在證據生成階段,本文方案僅需計算c次取冪運算,而文獻[17-18]方案需進行cs次取冪運算。因此,和文獻[17-19]方案相比,本文方案具有較高的計算效率。

表3 4種方案的計算開銷對比Table 3 Computational overhead comparison of four schemes

5 實驗結果與分析

對本文方案和文獻[17-19]方案進行仿真實驗,對比4種方案在簽名階段、證據驗證階段的計算開銷,并用上述方案在簽名階段、證據驗證階段所用時間作為計算開銷的評估指標。實驗環境為Intel?Core i7-5500U CPU、4 GB內存以及版本號為0.4.7的PBC庫。

當用戶數據塊數量為20、40、60、80、100且每個數據塊副本數量為2時,本文方案和文獻[17-19]方案在簽名階段、證據驗證階段的計算開銷對比情況分別如圖6、圖7所示。可以看出,隨著用戶數據塊數量的增加,本文方案和文獻[17-19]方案的簽名時間和證據驗證時間都呈線性增長,但本文方案相較文獻[17-19]方案在這2個階段所用時間的增幅更小,因此,本文方案在簽名和證據驗證階段的計算開銷更少。 當用戶數據塊數量為50且每個數據塊副本數量為2、4、6、8、10時,本文方案和文獻[17-19]方案在簽名階段、證據驗證階段的計算開銷對比情況分別如圖8、圖9所示。可以看出:隨著數據塊副本數量的增加,文獻[17-18]方案的簽名時間和證據驗證時間都呈線性增長,文獻[19]方案的簽名時間呈線性增長但增幅大于文獻[17-18]方案,其證據驗證時間雖保持恒定但多于本文方案;本文方案在這2個階段所用時間最少,且隨著數據塊副本數量的增加保持恒定。因此,和文獻[17-19]方案相比,本文方案在簽名和證據驗證階段具有更高的計算效率。

圖6 4種方案在簽名階段的計算開銷隨數據塊數量的變化情況Fig.6 The change of computational overhead of four schemesin the signature phase with the number of data blocks

圖7 4種方案在證據驗證階段的計算開銷隨數據塊數量的變化情況Fig.7 The change of computational overhead of four schemesin the evidence verification phase with the numberof data blocks

圖8 4種方案在簽名階段的計算開銷隨副本數量的變化情況Fig.8 The change of computational overhead of four schemesin the signature phase with the number of copies

圖9 4種方案在證據驗證階段的計算開銷隨副本數量的變化情況Fig.9 The change of computational overhead of four schemesin the evidence verification phase with the number of copies

6 結束語

本文利用秘密分割思想,提出一種多用戶多副本云端數據公開審計方案,結合代理重簽名算法和多分支路徑樹進行群組用戶安全撤銷與云端多副本數據動態更新。安全性分析及實驗結果表明,該方案能抵抗云服務器和被撤銷用戶的合謀攻擊,有效保護數據的隱私性并滿足審計健壯性,解決基于傳統公鑰密碼系統的證書管理問題,確保用戶數據副本在云端完整存儲。后續將設計格上多用戶多副本云端數據公開審計方案,避免方案安全性依賴于數學困難問題,從而更好地抵抗量子攻擊。