一種改進的短簽名云數據審計方案

崔圓佑,王緒安,郎 訊,涂 正,蘇昀暄

(1.武警工程大學 密碼工程學院,陜西 西安 710000;2.武警安徽總隊,安徽 合肥 230000;3.武警貴州總隊,貴州 貴陽 550000)

1 引 言

近年來信息時代迎來了云計算、云存儲和物聯網等新科技。物聯網將所有的信息實體連接到互聯網上,包括計算機、可穿戴智能設備、傳感器等。云計算需要強大的存儲能力,一方面是為用戶提供強大的計算能力[1],另一方面用戶為了使用方便也更愿意將數據存儲在云端。云存儲與云計算緊密相連,同時前者是后者提供的最主要的服務之一。雖然云存儲具有數據管理高效、存儲空間擴展便利、成本較低和使用方便等優點,但是云存儲器也因為其開放性和存儲數據的高價值,使之成為惡意攻擊的重點。同時云服務提供商也可能出于節約存儲空間和竊取用戶秘密的目的,破壞、刪除或者修改用戶存儲的數據。因此用戶必須審核存儲在云端的數據,保證云端數據的完整性不被破壞。

數據完整性審計[2-3]是指用戶在上傳原始數據后,在不直接訪問全部原始數據的情況下,通過某項協議達到對云端數據完整性驗證的目的。數據完整性審計的思想是首先由云存儲服務提供商通過計算用戶上傳的原始數據產生一個能夠證明數據完整性的簽名或者證據,然后返回給用戶。驗證前用戶首先對原始數據進行處理和計算,得出一些特征信息并存儲在本地,然后驗證時則根據申請驗證前存儲的一些信息,來對要求云端返回證據的正確性進行驗證,從而確保數據完整性不被破壞。依據是能否修復出錯數據文件,經典地分為數據持有性證明機制(Provable Data Possession,PDP)和數據可恢復性機制(Proofs Of Retrievability,POR)。2001年由BONEH等[4]提出了BLS簽名機制,這是一種對數據完整性驗證的次數沒有限制且能夠支持公開驗證的短消息簽名機制。在這個PDP機制中,利用BLS簽名替代Ateniese方案中的RSA簽名。2004年,為了解決審計次數受限的問題,DESWARTE等[2]利用具有同態特性RSA簽名算法(am)r=amr=(ar)mmodN,提出了基于RSA簽名的PDP驗證機制。但是引入RSA算法依然無法解決計算開銷過大的難題。因此,2006年,FILHO等[5]在此基礎上引入了歐拉函數φ(n)來降低計算量,提高傳輸速度。2007年與2011年,ATENIESE等[6-7]對此進行改進。此方案通過引入數據文件分塊技術和同態認證標簽成功降低了計算規模,并把多個數據塊的值通過計算聚合為一個值。而且采用抽樣的策略,通過概率性證據而不是絕對性證據對云端數據進行數據完整性檢測,進一步降低了計算的開銷。2011年,WANG等[8]提出了一種基于BLS同態簽名和RS糾錯碼的方案,用以實現可證明的數據持有性證明PDP。該驗證方案使用默克爾哈希樹(Merkle Hash Tree,MHT)和 BLS保證存儲的數據塊的正確性,支持數據的公共驗證和動態更新。此外,2008年,CURTMOLA等[9]提出了新的數據持有性驗證機制(MR-PDP),用以實現支持多副本的數據完整性證明。在提高數據安全性的同時,降低了對多個副本逐一進行驗證的開銷之和。2016年,李勇等[10]利用多分支路徑樹(Large Branching Tree,LBT)來存儲處理數據塊,從而構造了新的數據完整性驗證方式(LBT-PDP),用以取代之前的跳表。2019年,ZHU等[11]設計了一種基于ZSS短簽名的,可用于審計云物聯網數據的方案,從而降低開銷。2020年,毛向杰等[12]設計了一種云數據完整性混合驗證方案。為實現高效驗證,該方案中靜態驗證使用基于BLS簽名的驗證方式,動態驗證使用基于多分支路徑的驗證方式。2020年,楊小東等[13]提出了一種基于秘密共享技術和多分支路徑樹的多用戶多副本云端數據公開審計方案。為了滿足用戶安全撤銷的需求,該方案引入了重簽名算法。此外,2020年,咸鶴群等[14]提出了一種無需第三方審計者(Third Party Auditor,TPA)在線參與的云存儲數據刪重方案,確保在進行流行度調查時不泄露明文信息。2022年,楊海濱等[15]設計了一種無雙線性對的云審計方案,通過Schnorr算法和區塊鏈技術只生成被審計數據的標簽,從而降低開銷。

然而文獻[11]的方案中存在一些瑕疵,還不夠嚴謹。主要是在證據生成過程中,生成的部分證據無法進行運算,不滿足加法循環群的運算法則。文中在原數據驗證協議的基礎上進行了一些調整,彌補了原方案中的不足。通過分析該方案的安全性,證明了文中對ZHU等原方案的優化和改進是有效的。

2 系統模型

ZHU等方案的系統模型如圖1所示,共有3個實體組成: 用戶、云服務提供商(Cloud Service Provider,CSP)和第三方審計者(Third Party Auditor,TPA),也就是User/Client、CSP和TPA。具體的應用場景包括物聯網、醫療系統、電力系統或者其他工業系統等。醫療系統中可以傳輸相關醫療數據,電力系統中可以傳輸相關用戶信息,物聯網中可以依托傳感器等收集和傳遞相關信息。

(1) 用戶(User/Client):主要包括對數據有存儲需求的用戶和對數據進行收集的設備。以物聯網為例,網絡控制中心將傳感器收集到的用戶數據存儲在CSP提供的云存儲服務器上,用戶可以與云存儲服務器建立通信。此外,TPA受用戶委托審計云端存儲數據的完整性。

(2) 云服務提供商:提供的業務包括數據的存儲和計算。

圖1 基于物聯網的云審計系統模型

(3) 第三方審計者:具有專業能力的、獨立可信第三方。它不知道所存儲的具體的數據。在獲得用戶審計授權后,它向存儲用戶數據的云服務器發起驗證申請。

工作流程如下:

① KeyGen(k)→(pk,sk):輸入安全參數k,輸出用戶的的公鑰pk和私鑰sk。

② SigGen(sk,m)→σ:輸入一個文件m和私鑰sk,輸出數據塊的簽名集σ。

③ GenProof(m,σ,chal)→pf:將一個文件m、一個簽名集合σ和生成的挑戰信息chal作為輸入,輸出由挑戰信息chal指定的數據塊的占有證明pf。

④ VerifyProof(chal,pf)→{TRUE,FALSE}:將一條挑戰信息chal和一條完整性證明pf作為輸入,輸出結果為真(TRUE)或為假(FALSE)。

3 原方案

3.1 方案結構

具體結構如下:

(2) SigGen(sk,m)→σ:簽名時,用戶計算出對應的數據塊的簽名σ。文件m被分割為數據塊{m1,m2,…,mn},mi是其中任意一個數據塊,其對應的簽名為σi。

令簽名:

(1)

則文件m的簽名為σ={σ1,σ2,…,σn}。用戶將文件m和簽名σ打包為{m,σ}發送給CSP,將簽名σ發送給TPA,將本地保存的文件m刪除。

首先TPA生成挑戰信息,然后發送給CSP。TPA從集合{1,2,…,n}選擇c個元素組成新的集合I={s1,s2,…,sc},其中1≤s1≤…≤sc≤n。對于任意i∈I,首先TPA生成一個偽隨機數vi=φ(kO,i),然后發送一個挑戰信息chal={(i,vi)}s1≤i≤sc給CSP。

(3) GenProof(m,σ,chal)→pf:在CSP收到TPA的挑戰信息chal和受挑戰的數據塊的簽名{σi}s1≤i≤sc后,計算:

(2)

(3)

(4)

最后,CSP將證據pf={R,μ,η}發送給TPA。

(4) VerifyProof(chal,Pf)→{TRUE,FALSE}:在這個階段,TPA在收到證據pf后,對相應的簽名{σi}s1≤i≤sc進行驗證。通過對下面的等式進行驗證,判斷被第三方審計挑戰的數據塊是否被正確地持有:

e(η,P)·e(μ+R,P)=e(P,P) 。

(5)

3.2 存在的正確性問題

(1) 根據循環群的定義,若一個群G的每一個元都是G的某一個固定元a的乘方,則稱G為循環群,記作G=(a)={am|m∈Z},此時稱a為群G的一個生成元。 簡單地理解,就是循環群內的運算,如加法或者乘法,是以生成元的整數冪次(整數倍)的運算。 假設G的代數運算用加號表示時,有G= (a)={am|m∈Z}。

(2) 根據橢圓曲線運算特點,假定P點為(a1,b1),Q點為(a2,b2),P+Q為(a3,b3)。因此當在進行形如2P,3P,…,NP的計算時,這個不是單純的2×P乘法這么簡單,而是要進行如P+Q的運算,如2P=P+P,3P=P+2P等。

3.3 存在的安全性問題

(1) 根據ZSS短簽名所基于雙線性映射的雙線性特征,e(k1P+k2P,P)=e(k1P,P)·e(k2P,P),可知要使TPA證據驗證時等式e(η,P)·e(μ+R,P)=e(P,P)成立,只需要滿足e(η+(μ+R),P)=e(P,P),即Y=xP。 而要使等式η+(μ+R)=P成立,顯然是容易的,例如攻擊者可以偽造證據pf′={R′,μ′,η′},令η′=3P,μ′=-P,R′=-P。

攻擊者可以是惡意的CSP,通過偽造證據pf={R,μ,η},欺騙TPA進行完整性審計,實現篡改云存儲服務器中的數據,甚至不需要存儲任何數據,從而節約存儲空間。 某未知攻擊者也可以截獲用戶上傳的數據后,將錯誤的數據上傳給云服務器,而在TPA進行審計時,直接冒充CSP回復證據。

(2) 原方案無法抵御重放攻擊。 假設某次審計生成的挑戰為chal1,第2次審計生成的挑戰為chal2,則CSP兩次生成的證據分別為pf1={R1,μ1,η1}和pf2={R2,μ2,η2}。

TPA第1次發出挑戰時,CSP生成的證據pf1能夠通過等式e(η,P)·e(μ+R,P)=e(P,P)的驗證。此時CSP保存第1次審計時的證據pf1。 在TPA第2次發出挑戰時,惡意CSP可以將存儲的數據直接刪除或篡改的情況下,直接返回第1次的證據pf1同樣能通過驗證。 因為pf1已經證明是正確的,同時在e(η,P)·e(μ+R,P)=e(P,P)中,3個變量η,R,μ均為已知。所以惡意CSP可以利用pf1應對所有TPA的審計。

4 改進的方案

4.1 方案改進

文中針對原方案中暴露出的運算正確性問題提出了優化方案,主要是改進優化了證據pf中的η的生成算法。

(2) SigGen(sk,m)→σ:簽名時,用戶計算出對應的數據塊的簽名σ。 文件m被分割為數據塊{m1,m2,…,mn},mi是其中任意一個數據塊,其對應的簽名為σi,與原方案的式(1)相同。

因此,文件m的簽名為σ={σ1,σ2,…,σn}。 用戶將文件m和簽名σ打包為{m,σ}發送給CSP,將簽名σ發送給TPA,將本地保存的文件m刪除。

首先TPA生成挑戰信息,然后發送給CSP。 TPA從集合{1,2,…,n}選擇c個元素組成新的集合I={s1,s2,…,sc},其中1≤s1≤…≤sc≤n。 對于任意i∈I,首先TPA生成一個偽隨機數vi=φ(kO,i),然后發送一個挑戰信息chal={(i,vi)}s1≤i≤sc給CSP。

(3) GenProof(m,σ,chal)→pf:在CSP收到TPA的挑戰信息chal和受挑戰的數據塊的簽名{σi}s1≤i≤sc后計算:R、μ和η。 其中R和μ與原方案的式(2)和式(3)相同,η的計算公式為

(6)

最后,CSP只將證據pf*={μ,η}發送給TPA。

(4) VerifyProof(chal,Pf)→{TRUE,FALSE}:在這個階段TPA在收到證據pf*={μ,η}后,通過之前發送給CSP的挑戰信息chal={(i,vi)}s1≤i≤sc和公鑰Y=xP,計算出:

(7)

通過對下面的等式進行驗證,判斷被可信第三方挑戰的數據塊是否被正確地持有:

e(μ+R*,η)=e(P,P)H(R*)+H(μ)。

(8)

4.2 正確性分析

定理1在優化改進的云審計方案中,假如TPA和CSP可以互相正確應答相關信息,且能完成完整性審計,則證明方案正確。

證明:根據改進的方案,在驗證階段,如果TPA與CSP互相傳遞的信息無誤,那么CSP提供給TPA的證據pf={R,μ,η}也是正確的;如果TPA驗證時能夠通過下面的等式,則表明改進的方案是正確的,即

e(P,P)H(R)+H(μ)=

e(P,P)H(R*)+H(μ)。

4.3 安全性分析

證明:為了實現用戶外包數據的完整性審計,用戶首先計算外包數據的數據塊標簽,然后發送給TPA:

同時,TPA能夠自行獲取用戶的公鑰Y=xP。

定理3TPA無法通過 CSP 提供的證據pf={μ,η},來恢復用戶的數據。

證明:假設在隨機預言機模型下,存在一個模擬器Γ能夠在沒有獲得用戶隱私數據的前提下生成正確的回復。假定TPA為敵手A1,此時A1通過構建模擬器Γ來模擬TPA的輸入和輸出,模擬器Γ擁有公鑰pk和簽名σ等公開的信息。

攻擊者A1輸入集合I={s1,s2,…,sc}和證據pf*={μ,η},輸出結果TRUE或者FLASE。 構造的模擬器將執行以下操作:

(1) 模擬器Γ選擇隨機數i∈Zq且i∈{1,2,…,n}。

(2) 模擬器Γ從集合{1,2,…,n}中選擇c個元素組成新的集合I={s1,s2,…,sc}。

(3) 模擬器Γ生成一個挑戰信息chal={(i,vi)}s1≤i≤sc給CSP。

(4) 此時攻擊者A1得到CSP返回給TPA的證據pf*={μ,η}。

定理4不存在一個概率多項式時間(Probabilistic Polynomial-Time,PPT)的攻擊者A能夠使用算法P偽造出證明pf′,并通過完整性驗證。

證明:假設存在一個攻擊者A,可以偽造簽名并騙過TPA審計。此時攻擊者A生成相應的證據pf′={μ′,η′}能夠使等式e(μ′+R*,η′)=e(P,P)H(R*)+H(μ′)成立。

定理5改進方案能夠抵御前文給出的第1種攻擊。

證明:改進的方案中TPA進行驗證的等式為

e(μ+R*,η)=e(P,P)H(R*)+H(μ)。

通過在等號右側進行H(R*)+H(μ)次冪運算,避免出現驗證等式e(μ+R,η)=e(P,P)的情況。若等號右側未進行H(R)+H(μ)次冪運算,則偽造證據僅需滿足:

(9)

而通過在等號右側進行H(R*)+H(μ)次冪運算,為使等式e(μ+R*,η)=e(P,P)H(R*)+H(μ)成立,即令e(μ+R*,η)=e(P,(H(R*)+H(μ))P),則需要滿足:

(10)

此時P、μ+R和η均在橢圓曲線上,且μ、R和η均未知,尋找a,b,μ,R,η滿足等式(9)是困難的,因此構造滿足條件的證據pf*={μ,η}和R*是困難的,且R*在TPA上,無法偽造。定理5證畢。

定理6新方案能夠抵御重放攻擊。

4.4 性能分析

文中分析對比了新方案與原方案中的計算開銷。為了更好地對比兩者之間的性能差異,首先分別對兩個方案中用戶、CSP和TPA的計算開銷進行分析,然后進行對比,得出變化量。計算符號含義如表1所示。

表1 計算符號含義

從表2可以看出,文中改進方案的標簽的計算開銷與原方案相同。 同時發現,一方面在新方案中CSP針對TPA的挑戰,生成證據的計算開銷有所增加,生成證據的時間變化量與審計的數據塊量呈線性關系;另一方面,新方案中TPA進行完整性驗證的計算開銷的變化量,不隨審計數據塊數量的變化而變化。 最后新方案整體的計算開銷變化不大,而且比原方案提供了更好的計算準確性。此外在通信開銷上原方案CSP上傳的證據為pf={R,μ,η},新方案為pf*={μ,η},節約了通信開銷。

表2 計算開銷對比

5 結束語

筆者發現ZHU等的方案雖然運算效率較高,但是在驗證過程中存在計算方面的問題,這意味著該方案在實際運行中會存在諸多問題。針對存在的問題,文中在原方案的基礎上進行優化,提出改進方案,對安全性進行驗證,同時改進的方案較大地壓縮了ZHU方案的計算開銷。希望在未來的安全云存儲方案設計中,相關研究人員能夠避免出現相關數學運算上的問題,提高審計方案的正確性。

文中改進方案是基于ZSS方案的,與基于RSA的方案不同,相比文中方案具有更低的計算開銷,但是在面對未來日益復雜的用戶需求,后期要從以下兩點進行改進:

(1) 文中方案沒有考慮云存儲文件的備份。如果云存儲器遭受物理或者網絡破壞,數據將受到威脅。下一步工作將融入多副本方案,改進數據存儲的安全性。

(2) 文中方案目前不支持動態驗證。下一步將結合MHT或者在多副本方案下結合MHT,改進出支持數據動態操作的數據完整性驗證方案。