基于區塊鏈的云數據匿名確定性刪除方法

王雙星，羅勁瑭，帥莉莎，張佳敏，張敏，陽小龍

（1. 北京科技大學計算機與通信工程學院，北京 100083；2. 國網四川省電力公司經濟技術研究院，四川 成都 610041）

1 引言

云計算服務在大數據時代為人們帶來了極大的方便，其計算能力強、存儲空間大的優勢吸引了無數用戶。用戶將數據上傳到云端后，數據的所有權與其使用權處于分離狀態，容易造成個人隱私信息泄露的問題。確定性刪除作為云數據安全存儲領域的核心技術之一，旨在保障用戶數據隱私，使超過用戶授權期限的數據在CSP（cloud service provider，云服務提供商）處失效且不可恢復。實現云端數據的確定性刪除，是用戶實現對其參與共享內容的有效管控和保護自身隱私的重要途徑。

根據調研，現有研究主要實現了3個層面的確定性刪除[1]。

· 第一層意義上的確定性刪除是指將云端數據刪除問題轉換為用戶對密鑰的安全刪除問題。其研究成果可以分為基于密鑰集中管理和密鑰分散管理兩大類。集中式密鑰管理的代表方案為Nair等[2]提出的基于Ephemerizer系統的確定性刪除方案，通過第三方密鑰管理服務器生成公鑰加密數據密鑰，當密鑰管理服務器刪除私鑰之后數據密鑰和密文將無法解密訪問，從而實現數據的確定性刪除。Tang 等[3]對上述方案進行了擴展，提出基于策略的確定性刪除方案（FADE），其基本思想是將數據用DK（data key，數據密鑰）加密并與訪問策略的布爾組合進行關聯，每條訪問策略與一個CK（control key，控制密鑰）關聯，如果CK被密鑰管理者刪除則原數據便不可恢復。分散式密鑰管理的代表性方案是Geambasu 等[4]提出的Vanish方案。其主要思想是：用戶將數據用隨機生成的密鑰K進行加密，并將此密鑰進行門限密碼處理后隨機分發到DHT[5]（distributed hash table，分布式哈希表）網絡中，DHT網絡的動態更新特性會將密鑰分片刪除，此時密鑰K將不能進行重構，達到用戶數據確定性刪除的目的。為了解決Vanish方案易受Sybil攻擊[6]的缺陷，Zeng 等[7]提出一種解決方案SafeVanish，通過增加密文分量長度并利用RSA加密對稱密鑰的方式抵抗Sybil攻擊。

· 第二層意義上的確定性刪除指云內或跨云的數據副本刪除問題。針對云環境下數據多副本難以管理的問題，熊金波等[8]提出一種多副本安全共享與關聯刪除方案，方案利用RAO（replication associated object，副本關聯對象）封裝用戶數據副本，CSP維護副本目錄記錄和追蹤用戶數據所有副本信息。不同服務器之間的同步機制可以監測RAO產生或刪除副本的操作行為，保證了跨云副本的精確管理。

· 第三層意義上的確定性刪除是指實現云端數據的刪除反饋機制。Zhang等[9]基于數據完整性檢查提出可證明可追溯的確定性刪除方案，云端對數據確定性刪除后需要按照用戶指定的模式對原始存儲位置進行覆寫，并利用區塊鏈公開透明的特性進行覆寫結果的公眾驗證。杜瑞忠等[10]構建基于臟數據塊覆寫的可搜索路徑散列二叉樹（DSMHT），對要刪除的數據進行覆寫后再進行正確性驗證。余海波[11]提出基于區塊鏈的數據確定性刪除協議，利用區塊鏈保存服務器生成的數據刪除證據和經證據構造得到的Merkle樹的根值。用戶通過區塊鏈上的證據信息，對收到的刪除結果進行驗證，確保服務器的行為誠實和數據不可恢復。

由上述調研可知，現有確定性刪除方法聚焦的重點是確保用戶可以通過刪除數據密鑰等手段使其共享數據不再可以訪問，并使刪除結果更具有說服力；但現有方法都忽略的是除了數據本身，用戶的共享和刪除行為也是攻擊者關注的對象。這是因為通過將用戶行為與其身份進行關聯，CSP或攻擊者可以監視用戶的一舉一動，甚至對用戶進行肖像描繪、興趣預測，并在用戶不知情的情況下將分析結果隨意傳播以換取經濟利益，這無疑會給用戶隱私帶來威脅。所以，如何實現在不透露用戶身份的情況下在云環境下共享數據、刪除（撤銷）數據是解決數據共享參與用戶隱私保護的另一重要途徑。針對上述問題，本文提出的確定性刪除方法實現了用戶數據匿名上云，并在保持用戶匿名情況下實現數據的確定性刪除，能有效避免攻擊者對用戶行為的追蹤分析。本文的主要貢獻如下。

· 改進了可鏈接環簽名方案，可同時兼顧用戶匿名性和用戶自主性，即用戶可在匿名情況下自由決定簽名中的鏈接標記。這樣，用戶可以將加密數據與環簽名信息上傳到CSP，在確定性刪除階段用戶生成帶有同樣鏈接標記的簽名，CSP即可通過鏈接數據上傳階段和數據確定性刪除階段的簽名信息實現匿名確權從而執行確定性刪除。

· 構建了不同類型的區塊鏈交易以實現密鑰信息分散管理和確定性刪除，避免了集中密鑰管理的單點失效問題，也不需要引入可信第三方，簡化了系統結構；同時得益于區塊鏈難以篡改和可追溯的特性，使確定性刪除操作被永久記錄在區塊鏈并且不可抵賴，更具有“確定性”。

2 理論基礎

（1）Shamir門限秘密共享方案[12]

其基本思想是，將秘密k以某種方式分成n份k1,k2,…,kn，并滿足：

· 任意t或t個以上ki能夠計算出k；

· 任意少于或等于t-1個ki無法計算出k。

（2） 可鏈接環簽名[13]

又稱為LSAG（linkable spontaneous anonymous group，可鏈接自發匿名群組）簽名。可鏈接環簽名有以下特性。

· 匿名性：若簽名者所在環中有n個成員的公鑰，攻擊者無法確定簽名由環中哪個成員生成。

· 自發性：沒有群組秘密，不需要群組管理員。

· 不可偽造性：環中其他成員不能偽造真實簽名者對消息m的簽名，攻擊者在獲得某個有效簽名的基礎上，也不能為消息偽造一個簽名。

· 可鏈接性：若誠實簽名者在同一環中對消息m和m′簽名得到兩個可鏈接環簽名，那么這兩個環簽名擁有相同的鏈接標記。根據鏈接標記，環中成員能在不知簽名者身份的情況下驗證兩個簽名是否由同一簽名者生成。

本文對可鏈接環簽名方案進行了改進，使其能在同一簽名群體中生成帶有不同鏈接標記的簽名。

（3）區塊鏈[14-15]

區塊鏈實際上是一種分布式數據庫或公共分類賬本，由一系列按時間順序排列的區塊組成，其中記錄著經過驗證的交易或者數字事件。最重要的是，區塊鏈每個區塊都包含時間戳和前一個區塊的哈希值（如圖1所示），這使得區塊鏈的數據不可更改并且可追蹤。分布式網絡中的節點達成共識后，新的有效區塊才會被添加到區塊鏈。此外，分布式網絡中的每個節點都保留相同的區塊鏈副本，這使得區塊鏈能有效防止單點失效問題。

文中所用符號縮寫及含義見表1。

3 基于區塊鏈的確定性刪除

3.1 系統組成

系統模型如圖2所示，基于區塊鏈的確定性刪除模型由4個實體組成：數據擁有者（data owner，DO）、數據使用者（data user，DU）、區塊鏈網絡和CSP（數據擁有者和數據使用者均為

圖1 區塊鏈的結構

表1 符號縮寫

圖2 系統模型

區塊鏈中的節點，為方便敘述將其分開表示）。其中，CSP負責存儲、返回用戶的加密數據，監聽區塊鏈交易信息并執行云數據的刪除；數據擁有者將密鑰信息通過交易分散到區塊鏈網絡中并將加密數據上傳到CSP；數據使用者通過交易請求從區塊鏈中恢復密鑰信息并解密從CSP下載的加密數據；區塊鏈網絡負責密鑰信息的分散管理，同時驗證交易信息的合法性。本文參考Li等[16]的方案為區塊鏈網絡構建了3種類型的區塊鏈交易，分別為TXDATA、TXREQUEST和TXDELETE，分別用于數據上傳、數據請求和數據確定性刪除。每個區塊鏈節點還擁有一個鏈下數據庫，用以存儲密鑰信息經Shamir門限秘密拆分得到的子秘密。此外，區塊鏈節點共同維護一個公鑰池，其中存儲所有節點的環簽名公鑰和RSA公鑰，所有節點都能獲取其中存儲的公鑰列表。

3.2 模型假設

對于上述系統模型，本文定義如下假設條件。

（1）云服務提供商（CSP）：誠實地存儲用戶數據，但是對用戶數據好奇，可能不誠實刪除用戶數據。

（2）數據使用者：數據使用者是可信的，不會將恢復的明文信息透露給其他人。實際上，一旦數據使用者獲得數據訪問權限，諸如截屏、拍照等較高層級的操作是無法被禁止的[17]，所以本文認為假設合理。

（3）區塊鏈網絡：當收到外部交易時，每一個區塊鏈網絡中的節點會根據交易類型誠實執行相應命令，即每個節點會自動執行數據存儲和數據刪除的操作。假設合理性基于區塊鏈網絡的安全性，即某個節點想要改變當前區塊鏈網絡狀態，則其需要利用自己想要的執行結果說服其他節點或者發動51%攻擊，無論哪一種方式都需要付出極大的代價。

4 基于區塊鏈的匿名確定性刪除方法

4.1 設計思想

數據擁有者將數據加密后上傳到CSP，將密鑰信息和存儲位置利用Shamir秘密分享策略進行拆分，并通過區塊鏈交易廣播到不同區塊鏈節點中存儲。這樣不僅避免了使用密鑰管理服務器容易發生的單點失效問題，同時也使密鑰信息不容易被攻擊者竊取。

數據擁有者和數據使用者是對等的區塊鏈節點。為實現匿名確定性刪除，所有區塊鏈節點發送交易時不攜帶身份信息，即匿名發送交易。但是匿名情況下確保交易發送者身份合法性是需要解決的問題，而可鏈接環簽名可以實現匿名情況下的身份認證，故本文利用可鏈接環簽名對交易進行簽名和驗證。在數據上傳階段，數據擁有者為TXDATA交易添加特定鏈接標記，當數據擁有者想要結束共享時，則發送帶有相同鏈接標記的TXDELETE交易通知區塊鏈節點和CSP執行刪除操作。由于可鏈接環簽名的不可偽造性，攻擊者無法偽造帶有相同鏈接標記的合法簽名，也就是說只有數據擁有者才能刪除自己共享的數據，保證了數據安全性。

本文構建了3種不同類型的交易，設計了區塊鏈中交易發送算法SendTX和交易處理算法HandleTX，算法會根據交易類型的不同控制區塊鏈節點執行不同的操作；由于本方法的匿名要求，將交易的簽名算法替換為改進的可鏈接環簽名算法，實現交易的匿名驗證。如果數據擁有者將密鑰信息直接發送到區塊鏈，區塊鏈的公開性會使用戶數據直接暴露給所有人，這是不能接受的。針對這一問題，本文采用RSA加密算法將交易信息加密后發送。當數據擁有者準備將密鑰信息通過交易信息發送到區塊鏈時，其從公鑰池中隨機選擇RSA公鑰對交易進行加密，這樣確保了只有該公鑰的持有者（即數據擁有者所選擇的交易接收者）可以解密并存儲密鑰信息。

4.2 方案設計

方案可以分為3個階段描述：數據上傳階段、數據請求階段和數據確定性刪除階段。假設區塊鏈由n個節點組成，節點i可以用五元組（Nodei，PKi、SKi，yi，xi）表示，其中Nodei為節點名稱，PKi、SKi為RSA加密公鑰和私鑰，yi、xi為可鏈接環簽名公鑰和私鑰。特別地，用π（1≤π≤n）表示作為數據擁有者的節點，用μ（1≤μ≤n）表示數據使用者節點。在數據上傳階段之前，所有節點生成RSA密鑰對和可鏈接環簽名密鑰對，并將公鑰發送到公鑰池中得到公鑰列表L1={PK1,PK2,…,PKn}和L2={y1,y2,…,yn}。

4.2.1 數據上傳階段

數據擁有者在數據上傳階段將加密數據上傳到CSP，同時將密鑰信息通過TXDATA類型的交易拆分并分散到不同區塊鏈節點存儲。這樣不僅避免了單獨使用密鑰管理服務器的單點失效問題，而且當數據擁有者想要結束共享時，可以隨時發送TXDELETE類型的交易撤銷密鑰信息進行數據的確定性刪除。數據上傳階段如圖3所示，共分為6個步驟。

步驟1假設數據擁有者待上傳的加密數據為E，其對稱加密密鑰為KEY。在數據上傳之前，數據擁有者向云服務提供商發送存儲請求。

步驟2云服務提供商為數據擁有者預先分配并返回存儲地址ADDR，數據擁有者將KEY和ADDR封裝成秘密數據封裝體SDO。

步驟3數據擁有者運行Shamir門限秘密共享算法將SDO拆分成多個子秘密。具體計算過程如下。

假設區塊鏈網絡共有n個節點，數據擁有者選擇秘密恢復門限值t＞n/2（防止51%攻擊），選擇一個大素數p，在GF(p)中隨機選擇系數at-1，at-2,…,a1，且令a0=H3(SDO)，其中H3:{0,1}*→Zp。構造GF(p)上的t-1次多項式：

圖3 數據上傳階段

在GF(p)中選取n個非零、互不相同的x1,x2,…,xn，令i=1,2,…,n，計算：

并將x1,x2,…,xn和p公開，將Datai(i=1,2,…,n)輸出。

步驟4數據擁有者運行交易發送算法SendTX(TXDATA,[Data1,Data2,…,Datan],None,r)→{txdata0}，參數一表示發送TXDATA類型的交易，參數二表示要發送的數據，參數三表示交易接收者公鑰，數據上傳階段接收者公鑰從公鑰列表隨機選擇，所以設置為None（空）。參數四表示可鏈接環簽名的鏈接參數。數據擁有者會將Datai用接收者公鑰進行RSA加密填充到Payload字段，對交易進行可鏈接環簽名后填充到SIG字段，然后將交易廣播到區塊鏈網絡中，最后將算法運行過程所用參數保存到DVO（如圖4所示）以便在數據請求階段使用。

圖4 兩種數據訪問封裝體

步驟5區塊鏈節點收到交易廣播運行此交易處理算法HandleTX(txdata0)。算法判斷交易為TXDATA類型后，驗證交易的可鏈接環簽名是否合法，若合法則將交易打包到區塊鏈。打包交易后，區塊鏈節點嘗試解密txdata0交易的Payload字段，若能解密則將數據保存到數據庫。以圖中3中Node1節點為例，Node1可以解密Payload字段的第一行，得到Data1后將Data1及其哈希值和txdata0的SIG字段保存到數據庫，其他節點同理。由圖3可知，數據擁有者Nodeπ已經將SDO子秘密Data1,Data2,…,Datan分 散 到Node1,Node2,…,Noden。

步驟6數據擁有者運行可鏈接環簽名的簽名算法LSAGSig(E,r)→{σr(E)}對加密數據E進行可鏈接環簽名，鏈接參數為r，并將簽名結果與加密數據E一同嘗試發送給CSP。CSP運行可鏈接環簽名的鏈接算法LSAGLink(σr(E),σr(txdata0))→True or False，如果算法輸出True，表示當前E的發送者與txdata0是同一用戶，其身份已經由區塊鏈網絡驗證，CSP即可從數據擁有者接受加密數據E。

數據上傳階段結束后，CSP中已經存儲了加密數據E，數據擁有者將步驟4中所用Datai的哈希值H(Datai)和其對應RSA公鑰封裝到DVO（data visit object，數據訪問封裝體）的MAPPING字段，將加密數據E的哈希值H(E)和鏈接參數r封裝到DVO的PROOF字段（如圖4（a）所示）。除此之外，數據擁有者還封裝一個PDVO（partial data visit object，部分數據訪問封裝體）（如圖4（b）所示），PDVO省去了DVO的鏈接參數r，沒有鏈接參數r意味著無法生成合法的TXDELETE交易，所以PDVO不具有確定性刪除權限。數據擁有者可以將PDVO交給其他數據使用者而不必擔心數據被惡意刪除。

4.2.2 數據請求階段

數據使用者利用部分數據訪問封裝體（PDVO）訪問數據擁有者共享的數據，共分為5個步驟，如圖5所示。

步驟1數據使用者提取部分數據訪問體中MAPPING字段（t行，t為Shamir秘密分享策略設置的門限值）的H(Datai)與其對應的RSA公鑰PKi，運行發送交易算法SendTX(TXREQUEST,{Data1,Data2,…,Datat},{PK1,PK2,…,PKt},r)→ {txrequest}。

步驟2區塊鏈所有節點運行接收交易算法HandleTX(txrequest)，成功驗證交易簽名信息驗證后將交易打包到區塊鏈，并解密Payload得到數據請求者公鑰PKμ和請求數據的摘要H(Datai)，區塊鏈節點根據數據摘要查找數據庫C1字段，若查找成功則向數據請求者返回一個TXDATA交易，即再次運行算法SendTX(TXDATA,Datai,PKμ,0) →{txdatai}。數據請求階段只需要驗證交易合法性即可，故鏈接參數設置為0。在圖5中，Node1，Node2,…,Nodet節點分別返回TXDATA類型的交易txdata1,txdata2,…,txdatat。

步驟3數據使用者運行交易處理算法HandleTX(txdatai)，驗證txdatai的簽名后打包交易到區塊鏈，并解密Payload字段可以得到秘密封裝體SDO子秘密Data1,Data2,…,Datat。

圖5 數據請求階段

步驟4數據使用者對SDO子秘密進行Shamir秘密重構，將t組(xi,Datai)代入拉格朗日插值計算式重構f(x)：

得到f(x)之后計算：

即可恢復秘密數據封裝體SDO。

步驟5數據使用者將秘密數據封裝體SDO中的存儲位置ADDR發送至CSP請求加密數據E。CSP查找數據庫的C0字段，若查找成功則向數據使用者返回C1字段即加密數據E。數據使用者首先驗證E的摘要值是否與PDVO中存儲的H(E)一致，若一致則用密鑰KEY對加密數據E進行解密即可得到數據擁有者共享的數據。

經過數據請求階段，數據使用者通過利用PDVO向區塊鏈請求到數據擁有者的SDO信息，并利用SDO向CSP請求得到數據擁有者的加密數據。

4.2.3 數據確定性刪除階段

數據擁有者利用DVO進行確定性刪除操作，以撤銷其在數據上傳階段共享的數據，如圖6所示，確定性刪除階段分為3個步驟。

步驟1數據擁有者提取DVO的MAPPING字段SDO子秘密的哈希值H(Datai)與其對應的PKi，執行算法SendTX(TXDELETE,H(Datai),PKi,r)→{txdelete}。

步驟2區塊鏈中所有節點執行交易接收算法HandleTX(txdelete)，此算法驗證交易簽名、將交易打包到區塊鏈后，對交易Payload字段進行解密得到H(Datai)，并在數據庫中匹配H(Datai)對應的數據條目。若匹配成功則執行算法LSAGLink(σr(txdelete),σr(txdatai))→True or False，如果算法輸出True，表示此txdelete的發送者與txdata0是同一用戶，完成了確定性刪除的匿名身份認證。確定了刪除發起者的身份后，區塊鏈節點將H(Datai)對應的整行數據條目刪除。

步驟3區塊鏈節點刪除了SDO子秘密后，加密數據E的密鑰KEY與存儲位置ADDR已經被永久銷毀，CSP中還存儲著加密數據E，需要將其刪除以釋放空間。具體做法是：CSP監聽到步驟1中txdelete交易信息，根據σr(txdelete)在數據庫中進行匹配得到C2字段的可鏈接環簽名信息σr(E)，執行LSAGLink(σr(txdelete),σr(E))→True or False。若算法輸出True，表示此txdelete的發送者與txdata0是同一用戶，完成確定性刪除的匿名身份認證，將σr(E)對應條目從本地數據庫刪除。至此，數據已完成確定性刪除。

圖6 確定性刪除階段

4.3 關鍵算法設計

4.3.1 區塊鏈交易發送與交易處理算法

本方案的主要邏輯功能依靠區塊鏈交易發送與交易處理算法實現。數據擁有者或數據使用者通過交易發送算法發送不同類型的區塊鏈交易，區塊鏈節點根據交易處理算法通過收到交易的類型執行相應操作。

算法1交易發送算法

輸入交易類型Type，將被加密發送的數據列表DatasOrHashs，目的節點RSA公鑰列表PKs，可鏈接環簽名鏈接參數r。

輸出類型為Type的交易TX。

（1）function SendTX(Type, DatasOrHashs,PKs,r):

（2）begin

（3） if Type=TXDATA or TXDELETE then

（4） PKform←None，LinkSym←r

（5） else if Type=TXREQUEST

（6） PKform←PKπ，LinkSym←0

（7） end if

（8） if PK= None

（9） PKdest←RandomChoose(L1)

（10） else

（11） PKdest←PKs

（12） end if

（13） fori=0 to PKs.length

（14） Payload[i]←RSAEnc(DatasOr Hashs[i]|| PKform, PKdest[i])

（15） end for

（16）σr(Payload)←LSAGSig(L2, Payload, Link Sym,yπ,xπ)

（17）return TX(Type, Payload,σr(Payload))

（18）end

算法1的第（3）～（7）步判斷要發送的交易類型，如果是TXDATA或TXDELETE類型的交易，說明不需要區塊鏈返回交易，故PKform可以設置為空值None；但這兩種類型的交易需要發送者添加鏈接標記r，將r保存到變量LinkSym以便后續調用。如果是TXREQUEST類型的交易，區塊鏈會向自己返回TXDATA交易，所以需要將自己的RSA公鑰賦值給PKform。算法第（8）～（12）步指定交易接收者RSA公鑰（確保交易只能由特定接收者解密），如果PKs參數未設定（None），則從公鑰池的RSA公鑰列表中隨機選擇接收者公鑰（RandomChoose）；如果PKs不為空，則說明這是數據使用者請求的交易，PKs即數據使用者的公鑰。第（13）～（15）步是加密過程，保證交易信息只有接收者能解密。第（16）步對交易進行可鏈接環簽名，實現匿名情況下交易合法性的驗證。算法最后返回交易信息TX。

算法2交易處理算法

輸入接收到的交易TX

輸出Type為TXDATA的交易或者空

（1）function HandleTX(TX)

（2）begin

（3） if LSAGVer(L2,TX.Payload,TX.σr(Payload)) =Reject

（4） exit

（5） end if

（6）try

（7）{DatasOrHashs||PKfrom}← RSADec(TX.Payload, SKπ)

（8）except 解密失敗exit

（9） if TX.Type=TXDATA

（10）C0 ,C1,C2←DatasOrHashs, H(Datas OrHashs), TX.σr(Payload)

（11） 將C0,C1,C2分別保存到本節點數據庫C0,C1,C2列

（12） else if TX.Type=TXREQUEST

（13）C0,C1,C2←嘗試查找本節點數據庫中C1列為DatasOrHashs的數據

（14）查找成功則執行SendTX(TXDATA,C0,L1, L2, 0)，否則exit

（15） else if TX.Type is TXDELETE

（16）C0,C1,C2←查找本節點數據庫中C1列為DatasOrHashs的數據

（17） 若查找失敗，exit，否則繼續

（18） if LSAGLink(C2,TX.σr(Payload))=True

（19） 刪除本節點數據庫中C1列為Data的數據

（20） end if

（21） end if

（22）end

算法2第（3）～（8）步首先驗證交易，即驗證交易的可鏈接環簽名字段是否合法，若是非法交易則結束算法；若交易合法則會被打包到區塊鏈，所有節點會嘗試解密該交易，如果解密失敗，說明此交易接收者不是自己，結束程序；若解密成功，則說明此交易是發給自己的，執行后續步驟。第（9）～（19）步判斷交易類型并執行相應操作，如果判斷交易類型為TXDATA，則將交易數據保存到本地數據庫。如果交易類型為TXREQUEST，說明有數據使用者正在請求數據，嘗試從本地數據庫查找數據，如果找到則通過TXDATA交易返回該數據，否則退出算法。如果交易類型為TXDELETE，首先查找本地數據庫，確定要刪除的數據是否存在。如果存在則將TXDELETE的可鏈接環簽名字段與對本地查找到的簽名信息進行環簽名的鏈接操作，若鏈接成功則說明TXDELETE交易的發送者是數據庫中該條數據的擁有者，執行刪除操作。

4.3.2 改進的可鏈接環簽名算法

原始可鏈接環簽名算法在相同公鑰列表下只能生成帶有相同鏈接標記的簽名結果，無法應用在本方案中。主要有兩點原因：首先，如果同一用戶生成的簽名結果只能有一種鏈接標記，那么攻擊者可以根據此鏈接標記定位用戶所有簽名，從而分析用戶行為，這樣會大大降低用戶匿名性。其次，改進的可鏈接環簽名可以很容易匿名實現文件所有權的鑒權。原理是：針對某一次共享過程，用戶對其進行簽名并附加一個獨特的鏈接標記，在確定性刪除階段發送帶有同樣鏈接標記的TXDATA交易，區塊鏈節點和CSP即可確定用戶對該數據的所有權并執行刪除操作。如果只能生成一種鏈接標記，就無法指定對哪一次共享進行確定性刪除。具體改進算法，包括簽名算法、簽名驗證算法和簽名鏈接算法。

令G(q)=

· 簽名算法 LSAGSig(L2,m,r,yπ,xπ) →σrm：算法輸入為消息m∈ {0,1}*，環簽名公鑰列表L2={y1,…,yn}，yn對應的私鑰(1 ≤π≤n)和鏈接參數，根據鏈接參數計算h=H2(r)和y~=hxπ，得到鏈接標記。接下來選擇u∈RZq，并計，為使簽名閉合成環，令i=π+1 ,…,n,1,…,π-1，選 擇并 計 算最后計算sπ=u xπcπmodq. 得到并輸出可鏈接環簽名結果

· 簽名驗證算法LSAGVer(L2,m,σrm)→Accept or Reject：算法輸入為消息m，環簽名公鑰列表L2以及消息m在L2上的環簽名σr(m)。令i=1,…,n，首先計算中間變量，根據中間變量計算最后驗證是否成立，若成立則輸出Accept，否則輸出Reject。

5 安全性分析

5.1 改進的可鏈接環簽名安全性分析

定理1改進的可連接環簽名不改變原始方案的匿名性。

證明假設L為可鏈接環簽名公鑰列表，m為待簽名消息，r為改進方案中的鏈接參數。原方案中，簽名算法第一步計算h=H2(L)和最終生成簽名改進方案中，簽名算法第一步計算和y~ =hxπ，最終生成簽名對比原方案與改進方案可知，原方案中L為公鑰列表，這是所有環內成員已知條件，即h為環內成員已知條件，所以原方案生成簽名等價于與改進方案相同。所以，改進方案中將h=H2(r)加入簽名結果使環內成員可見，相比較原方案沒有透露更多信息。綜上所述，改進的可鏈接環簽名方案不改變原方案匿名性。

定理2除了簽名者，其他人不能偽造帶有相同鏈接標記的簽名。

證明要生成鏈接標記，首先通過單向哈希函數計算h，再計算所以要想偽造相同鏈接標記，必須解決離散對數問題，計算出簽名者私鑰，才能偽造消息m的簽名。而目前沒有有效的算法在多項式時間內解決離散對數問題，所以只有簽名者可以生成同樣鏈接標記的環簽名。

5.2 方案匿名性分析

（1）區塊鏈交易信息對匿名性影響

區塊鏈節點和CSP通過驗證交易信息的簽名字段驗證交易發出者身份的合法性，不涉及交易發出者的真實身份，切斷了用戶數據與其身份的關聯性。由于可鏈接環簽名的匿名性可知，區塊鏈節點之間是相互匿名的，節點對于CSP來說也是匿名的。假設攻擊者想要跟蹤某一用戶的共享和刪除行為，需要破解區塊鏈上記錄的環簽名信息（第5.1節已經證明簽名方案的安全性）。攻擊者還可以根據鏈接標記追蹤用戶行為，但是用戶的每次共享行為都會隨機選擇鏈接參數生成不同鏈接標記，除非攻擊者竊取到簽名者私鑰，否則系統是安全的，能有效防止攻擊者的追蹤分析。

（2）安全信道對匿名性影響

方案中數據使用者和數據擁有者與CSP之間會使用安全信道進行數據傳輸，安全信道的建立可能會涉及用戶IP地址，但是用戶IP地址不能代表用戶身份。首先，用戶IP地址通常由運營商進行分配，所以會經常變動。其次，在大多數情況下一個公網IP地址對應的是一個用戶群體而不是單獨一個用戶。在安全信道進行數據傳輸之前，通信雙方可以先進行密鑰協商，利用協商的密鑰加密傳輸的數據，這個過程可以不涉及用戶身份。綜上所述，安全信道不會降低用戶匿名性。

5.3 不可抵賴性分析

在所提方法中，區塊鏈網絡不僅負責密鑰信息的分散存儲，還起到驗證操作者身份的作用，用戶的所有操作都會經驗證后記錄在區塊鏈中并且不會被篡改。不論是數據上傳、數據請求還是數據確定性刪除都需要操作者向區塊鏈發送相應類型的交易，CSP監聽到交易信息才會對用戶數據進行相應操作。如果某節點試圖篡改區塊鏈數據，則其需要從該區塊開始計算哈希值直到最新區塊使區塊之間通過哈希值連接，這需要非常強大的算力，通常需要全網一半以上的算力才能做到如此（51%攻擊）。

如上所述，區塊鏈的難以篡改性，使鏈上數據具有權威性，任何一方都不能抵賴。如果CSP沒有誠實刪除用戶數據，則用戶可以將環簽名鏈接參數r和簽名私鑰xπ交給第三方仲裁機構，仲裁機構根據鏈接參數計算將得到的鏈接標記y~與出現糾紛交易的簽名進行對比，如果鏈接標記相同，說明用戶確實執行過刪除操作，CSP無法抵賴。

6 實驗仿真

6.1 實驗環境

本文采用阿里云服務器模擬云服務提供商（CSP），用本地計算機運行區塊鏈節點（包括數據擁有者和數據使用者），其中阿里云服務器CPU為2核心，內存為4 GB，操作系統為CentOS 8.0 64位，網絡帶寬為1 Mbit/s；本地計算機配置為Intel Core(TM) i5-10210U CPU @ 1.60 GHz四核，設備內存為12 GB，操作系統為Windows 1 064位，網絡帶寬為100 Mbit/s。方案中使用的AES算法、RSA算法和數據摘要算法采用Python加密庫PyCryptodome提供的API函數。區塊鏈采用基于RPC[18]（remote procedure call，遠程過程調用）實現的開源項目[19]。數據擁有者或數據使用者與CSP之間的數據傳輸采用FTP進行模擬，CSP對區塊鏈數據的監聽通過調用區塊鏈的接口實現。

6.2 實驗及結果分析

實驗主要對方案的3個階段耗時情況進行了實驗評估。實驗選擇Shamir秘密分享門限t為0.6n，選取AES密鑰長度為128 bit，RSA模數長度為1 024 bit。

（1） 數據上傳階段和數據確定性刪除階段性能分析

數據上傳階段中，數據擁有者和數據使用者與CSP之間的數據傳輸速率取決于雙方帶寬的最小值，可直接計算得出，所以本實驗沒有統計文件上傳耗時，即實驗統計的時間是從數據擁有者發出存儲請求到數據擁有者開始向CSP上傳文件。系統主要時間消耗為Shamir秘密拆分算法、交易發送算法SendTX和交易處理算法HandleTX，SendTX算法主要包含RSA加密和簽名算法，HandleTX算法主要包含RSA解密算法和簽名驗證算法。表2為數據上傳階段各個算法耗時占比情況（“其他”指代數據擁有者向CSP發送請求、數據庫存儲和區塊鏈網絡通信等開銷），可見數據上傳階段主要時間開銷來源是RSA算法和簽名（改進的可鏈接環簽名）算法。同時由圖7可見，隨著節點數量的增加，系統耗時呈現線性增長的趨勢，這是因為簽名的生成和驗證是與環內成員（區塊鏈節點）數量線性相關的，RSA加解密次數也是與節點數量呈線性相關的。

表2 數據上傳階段耗時占比詳情

圖7 數據上傳階段耗時曲線

（2） 數據請求階段性能分析

實驗統計數據請求階段時間是從數據使用者發送TXREQUEST交易到接收到CSP返回的密文結束。期間各個算法耗時占比見表3。可見RSA解密耗時占比非常大，其原因是，當區塊鏈接收數據使用者發送的TXREQUEST交易后還需要返回t個TXDATA交易，而針對這t個交易數據使用者要逐個解密這些交易的Payload字段。從圖8也可以看出，由于RSA解密階段的影響，整個數據請求階段耗時遠遠高于數據上傳階段。這個問題是可以改善的，由于此解密過程在數據使用者本地計算機進行，可以用計算機編程的多線程思想解決，即對t個秘密并行解密，優化后與數據上傳階段耗時是相近的。

圖8 數據請求階段耗時曲線

（3）數據確定性刪除階段性能分析

實驗統計數據確定性刪除階段時間是從數據擁有者發送TXDELETE交易到云端從數據庫中刪除加密數據結束。此階段與數據上傳階段類似，主要時間開銷為RSA算法和簽名算法（見表4），并且隨著節點數量增加，時間消耗呈線性增長（如圖9所示）。

表3 數據請求階段耗時占比

表4 數據確定性刪除階段耗時占比

圖9 數據確定性刪除階段耗時曲線

7 結束語

本文在現有確定性刪除方法的基礎上做了進一步的探索，提出切斷用戶數據與用戶身份關聯的確定性刪除理念，并提出了基于區塊鏈的匿名確定性刪除方法。方法在區塊鏈中構建不同類型的交易實現用戶對數據密鑰的隱藏、請求和刪除，并應用改進的可鏈接環簽名技術實現了云數據的匿名確定性刪除，進一步提高了用戶使用云計算服務時的隱私性。最后對方案性能進行了評估，結果表明系統能實現較高效率的數據上傳、數據請求和數據確定性刪除。在未來研究中，會在方案中加入節點動態加入和退出功能，并進一步提高系統效率。