CN102710757B - 一种分布式云存储数据完整性保护方法 - Google Patents

Abstract

一种分布式云存储数据完整性保护方法，该方法有七大步骤：步骤1：数据分割与编码{F→M}；步骤2：同态标签HVTs的生成{(sk,F)→HVTs}；步骤3：数据的远程存储{(M^(j),HVT)→S_j}；步骤4：用户发起挑战{chal}；步骤5：服务器作出响应{R}；步骤6：验证{(R,sk)→("success","failure")}；步骤7：数据修复{(M^*,P)→F}。本发明中用户采用随机数据块抽样减小通信开销，采用线性编码可实现数据的错误定位和错误恢复，并且数据持有性验证次数不受限制，验证置信度高，安全可靠。它在云计算安全技术领域里具有较好的实用价值和广阔的应用前景。

Description

一种分布式云存储数据完整性保护方法

（一）技术领域

本发明涉及一种分布式云存储数据完整性保护方法，它也是一种用于验证存储于云服务器中的用户数据完整性并且可进行数据纠错的方法，属于云计算安全领域。

（二）背景技术

Internet网络应用技术快速发展普及，加之Web2.0的发展导致网络用户和网络数据量高速增长，用户对数据的处理能力提出了更高的要求，云计算的特点迎合了这些需求。云计算为用户存储提供了极大的方便，用户不必再关心复杂的硬件管理。

尽管云计算有这些吸引人的优势，但它也给数据保护带来了新的安全挑战与威胁：首先，由于用户物理上不再拥有他们的数据，传统的用于数据保护的加密不能直接被采用。因此就需要能够验证数据正确存储的方法，考虑到云中大量的用户和大量的数据，对云计算中的数据存储安全来说，如何有效验证外包数据的正确性是一个巨大的挑战。其次，虽然云计算下的设施比个人计算设备更加强大和可靠，但它们仍然面临内部和外部的数据完整性威胁，大量觊觎云端数据的黑客们不停的挖掘着服务商Web应用上的漏洞，以期望打开缺口，获得有价值的数据。最后，具有数据优先访问权的并不是用户自己，而是云计算服务商。由于利益问题，云服务供应商对用户的数据就可能存在不诚实行为。

因此，在云计算的实际应用中，设计能够保证数据正确存储的健壮安全的方案尤为重要。对云存储这种海量数据存储，我们一方面要考虑到数据的持有性验证的高效和低开销，另一方面要考虑到数据一旦存储出错可以采取的应对措施。基于此考虑，我们发明了本方法，涉及的主要技术为Goppa纠错编码，基于椭圆曲线的签名技术，Paillier加性同态加密算法。

首先，Goppa码是20世纪70年代初俄国学者Goppa***构造出的一类有理分式码。它是一类重要的线性纠错码，其最主要的优点是它的某些子类能够达到Shannon信道编码定理所给的性能，并且有快速译码算法。特别是它的不等价码类数目很大，于是，在1978年，McElice用Goppa码构造了一类公钥密码体制，自此开始了用纠错码构造密码体制及各种认证码。因此无论在实际中还是理论上，也无论在是在差错控制***还是在密码中，Goppa码都具有重要意义。其定义如下：设0<n≤q^m,L={a₀,a₁,…a_n-1}是一个有序集合，a_i∈GF(q^m)且互不相等，又设GF(q)上的n维空间GFⁿ(q)，码字C=[c_n-1c_n-2...c₀]∈GFⁿ(q)，与C对于的GF(q^m)上的z有理式为此时，Goppa码的生成多项式g(z)满足：{C;R_c(z)=0modg(z)}。

其次，Paillier密码算法满足加法同态的性质，即对于数据m∈Z_n，用公钥n和生成元g进行加密的结果为：ε(m)=g^mrⁿmodn²，其中r为随机数，其同态的性质为：

$\mathrm{\&epsiv;}\left(m_1\right)\&CenterDot;\mathrm{\&epsiv;}\left(m_2\right)=\left(g^{m_1}{r}^n\right)\left(g^{m_2}{r}^n\right)=g^{m_1+m_2}{\left(r_1{r}_2\right)}^n=\mathrm{\&epsiv;}(m_1+m_2\mathrm{mod}n).$

最后，椭圆曲线密码（Elliptic curve cryptography，缩写为ECC）为密码学里运用最为广泛的公钥密码体制。ECC的主要优势是在某些情况下它比其他的方法使用更小的密钥（比如RSA加密算法），提供相当的或更高等级的安全。其安全性建立在椭圆曲线上的离散对数问题，即在椭圆曲线构成的Abel群E_p(a,b)上考虑方程Q=kP，其中P,Q∈E_p(a,b),k<p,则由k和P易求Q,但是由P、Q求k则是困难的。

（三）发明内容

（1）发明目的

本发明的目的是提出供一种分布式云存储数据完整性保护方法，它克服了现有技术的不足。可用于解决云存储环境中用户对远端数据的保护和控制，其实现了用户对其存储在云服务器中数据的完整性和持有型的验证，该发明有验证次数不受限制，验证时采用随机抽取数据块，数据存储出错时错误定位和错误恢复的功能。

（2）技术方案

为了达到上述目的，本发明结合了Goppa纠错编码技术，椭圆曲线密码技术和Paillier同态加密技术,其技术方案如下。

本发明包括两个实体，用户（User）和云服务提供商（CSP）。以下将结合附图对所述的持有性验证的技术方案进行阐述，图1为本发明流程框图；图2为数据预处理后的分布存储示意图；图3为挑战-响应机制交互图。

如图1，本发明共包括7步，按照执行阶段其可分为初始化、挑战-响应和交互操作三个阶段。

本发明是一种分布式云存储数据完整性保护方法，该方法具体步骤如下：

阶段1：初始化：包括第(1)~(3)步,数据块F的拥有者执行数据分割和编码{F→M}操作，同态标签（HVTs）的生成{(sk,F)→HVTs}操作,然后将编码数据M和同态标签HVTs外包到云端服务器进行存储和管理，用户需严格保证私钥的安全。

步骤1：数据分割与编码{F→M}:User首先对原始数据F（以文件的形式存在）进行预处理生成存储数据M。F被分割成m个等大小的数据块{F₁,F₂,…,F_m}，每一个数据块进一步被分割成l部分接着我们对其进行编码处理，方案中采用Goppa码编码方案对原始数据F进行编码处理，生成编码数据M，最后用户（User）外包编码数据M至云端CSP进行存储和管理；

步骤2：同态标签（Homomorphic Verifiable Tags(HVTs)）的生成{(sk,F)→HVTs}:对于每一个数据块基于同态加密算法，我们根据设定的安全参数为其计算同态标签，我们所生成的同态标签具有加法同态的性质；

步骤3：数据的远程存储{(M^(j),HVT)→S_j}:用户将同态标签和数据块M^(j)一起存入第j个服务器，类似地，其它数据库则存储至其它的n个服务器中。用户则自己存储私钥和一些随机数。

阶段2：挑战-响应:包括第(4)~(6)步,用户生成挑战，指定其要检测的随机数据块，根据用户挑战，云服务器通过执行生成证据（GenProof）{(chal,HVTs,M)→R}操作作出响应。最后用户通过执行验证{(R,sk)→("success","failure")}操作，作出最后的数据检测结果判断。

步骤4：用户发起挑战{chal}：当用户想要验证服务器S_j是否正确持有数据的时，用户向其发出挑战：用户生成一个挑战chal，发送给服务器S_j；

步骤5：服务器作出响应：生成证据（GenProof）{(chal,HVTs,M)→R}:当服务器收到挑战chal时，存储数据块M^(j)的服务器需要产生一个证据R=(T,ρ)。之后，服务器将R返回给用户；

步骤6：验证{(R,sk)→("success","failure")}：当用户收到服务器返回的R时，利用自己的私钥sk进行运算，从而对其服务器存储的数据状态进行判断，结果为“success”或者“failure”。

阶段3：交互操作：包括第(7)步，如果验证{(R,sk)→("success","failure")}操作的输出结果为“failure”,用户则要求CSP进行数据恢复操作，这可能会需要双方之间的交互。普通情况下,用户可将数据M下载下来，然后执行修复{(M^*,P)→F}即可恢复出原数据。

步骤7：数据修复{(M^*,P)→F}:如果检测到数据损坏，我们就可确定存储该数据块的服务器S_j出现的存储错误，这时可利用预处理时采用的纠错码进行数据恢复，对损坏数据M^*和P进行译码即可恢复出原数据F。

（3）优点及功效

本发明一种分布式云存储数据完整性保护方法，该方法涉及数据的编码，数据验证和数据的恢复方面，其优点和功效是：1）用户的本地量存储小，用户只需存储编码生成矩阵和私钥就可以对数据的持有性验证；2）交互数据量小，用户发出的挑战和服务器作出的响应的通信量固定的，与存储数据大小无关；3）用户可发起的持有性验证挑战次数不受限制；4）采用随机抽样计算校验块的方法，在减小服务器计算开销的同时，仍可保证检查的高置信度；5）采用线性纠错编码技术预处理存储数据实现了数据错误定位和错误纠正。

（四）附图说明

图1为本发明流程框图；

图2数据预处理及分布存储图；

图3挑战-响应机制流程图；

图中符号说明如下：

在图1中，数字1,2,3,4,5,6,7代表各个步骤的序号，F代表原文件，M代表编码后的文件；

在图2中，M^(j)表示编码后的数据，表示将M^(j)分块后的每一块数据，S_i代表第i个服务器，chal表示用户生成的挑战，R^(j)表示服务器S_j的响应；

（五）具体实施方式

以下将结合附图对所述的完整性保护方法详细阐述，图1为本发明流程框图；图2为本发明数据预处理后的分布存储示意图；图3为本发明挑战-响应机制交互图。

主要的符号及算法解释：

（1）F代表用户原数据，M为编码后的数据，包含n×l个数据块。为第j个数据向量的第i块，它将被存储到服务器S_j·G^*=(I_(n-r)×(n-r)|P^T)代表Goppa码的生成矩阵，其中P为冗余校验块生成矩阵；M^*代表了服务器中存储出错的数据块。

（2）E()和D()为分别为paillier密码算法的加密算法和解密算法，k₁为其公钥，k₂为其私钥，N为模数，paillier加密算法满足加法同态的性质。

（3）G为椭圆曲线E_P(a,b)的生成元，其中大素数p<N，P=yG，P表示在挑战中的公开参数，y为用户产生的保密参数；

（4）π(·)是一个伪随机置换(pseudorandom permutation，PRP)函数，即满足 $\mathrm{\&pi;}:{\left\{\mathrm{0,1}\right\}}^{k_3}\&times;{\left\{\mathrm{0,1}\right\}}^{{\log }_2\left(n\right)}\&RightArrow;{\left\{\mathrm{0,1}\right\}}^{{\log }_2\left(n\right)};$ 其中k₃为其密钥，用于确定每次随机抽取的数据块的位置。

（5）为保密的随机数，p为（3）中设定的大素数，可以由带密钥的伪随机发生器产生，为用户的保密参数；

本发明可分为初始化、挑战-响应、交互操作三个阶段。见图1，本发明一种分布式云存储数据完整性保护方法，该方法具体步骤如下：

1.初始化阶段

本阶段中，数据的分割，编码和分布式存储如图2所示。

步骤1：数据分块与编码：

（1）用户将要存储到云端的数据文件F分割成l×m块，每一块都可表示为伽罗华域中的元素GF(p)，其中p为大素数。用矩阵表即为：

（2）采用Goppa码对原数据进行编码，编码后变为l×n块，其最小码距为d_min≥r+1，即其检错能力为r，纠错能力为(d_min-1)/2。编码后数据即为：

其中G^*为Goppa码的生成矩阵。

步骤2：同态标签HVT的生成：

（1）设置相关参数。用户选择一条椭圆曲线E_p(a,b)，取其生成元为G；设置Paillier加密算法的公钥为k₁=(n,g)，私钥为k₂=(λ，μ)；选择伪随机置换函数π(·)；生成随机整数并且用户需要为其保密。

（2）用户为编码后的每个数据块生成同态标签 $T_i^{\left(j\right)}=E_{k_1}(x_i^{\left(j\right)}+f_i^{\left(j\right)})\mathrm{mod}{N}^2,$ 其中，表示采用Paillier密码算法的公钥k₁=(n,g)进行加密。所以，编码矩阵中每一列数据的同态标签为 $(T_1^{\left(j\right)},T_2^{\left(j\right)},\&CenterDot;\&CenterDot;\&CenterDot;,T_l^{\left(j\right)}).$

步骤3：数据的远程存储：

如图2所示，用户将同态标签和数据块M^(j)一起存入第j个服务器S_j，用户则自己存储私钥和随机数

2.挑战-响应阶段

本阶段中，用户和服务器的交互操作流程如图3所示。

步骤4：用户发起挑战：

当用户想要验证服务器S_j是否正确持有数据的时，用户向其发出挑战：用户生成一个挑战chal=(c,k₃)，发送给服务器S_j。其中，1≤c≤l，k₃为伪随机置换函数π(·)的密钥，P=yG。

步骤5：服务器作出响应：

（1）服务器S_j根据挑战chal，对于每一个1≤r≤c进行如下计算：

$i_r={\mathrm{\&pi;}}_{k_3}\left(r\right)$

然后根据所得到的i_r，进行如下计算：

$T^{\left(j\right)}=T_{f_{i_1}}^{\left(j\right)}......T_{f_{\mathrm{ic}}}^{\left(j\right)}\mathrm{mod}{N}^2$

${\mathrm{\&rho;}}^{\left(j\right)}=({f_{i_1}}^{\left(j\right)}+{f_{i_2}}^{\left(j\right)}+\&CenterDot;\&CenterDot;\&CenterDot;+{f_{i_c}}^{\left(j\right)})P\mathrm{mod}N$

（2）服务器S_j将计算的证据(T^(j),ρ^(j))返回给用户。

步骤6：用户验证服务器返回的证据：

（1）用户收到服务器S_j返回的证据(T^(j),ρ^(j))后，执行如下操作：用私钥k₂=(n,g)依据Paillier密码算法对T^(j)进行解密得到对于每一个1≤r≤c计算然后依据i_r选择执行c次 ${\mathrm{\&tau;}}^{\left(j\right)}={\mathrm{\&tau;}}^{\left(j\right)}-x_{i_r}^{\left(j\right)}\mathrm{mod}N,$ 得到 ${\mathrm{\&tau;}}^{\left(j\right)}={\mathrm{\&tau;}}^{\left(j\right)}-x_{i_r}^{\left(j\right)}\mathrm{mod}N.$

（2）验证n·τ^(j)·G=ρ^(j)，若等式成立则验证成功，说明服务器S_j正确持有用户的数据；否则，则说明该服务器S_j数据存储出现了错误。

3.交互操作阶段

步骤7：数据恢复

当用户检测到数据存储出错时，用户可要求从服务器上下载所有的数据，并通过Goppa码生成矩阵G^*对应的校验矩阵P对下载的数据进行纠错，恢复数据，然后将恢复之后的数据重新置于各服务器的对应位置。

Claims (1)

1.一种分布式云存储数据完整性保护方法，其特征在于：

符号及算法解释如下：

(1)F代表用户原数据，M为编码后的数据，包含n×l个数据块；为第j个数据向量的第i块，它将被存储到服务器S_j.G^*＝(I_(n-r)×(n-r)|P^T)代表Goppa码的生成矩阵，其中P为冗余校验块生成矩阵；M^*代表了服务器中存储出错的数据块；

(2)E()和D()为分别为paillier密码算法的加密算法和解密算法，k₁为其公钥，k₂为其私钥，N为模数，paillier加密算法满足加法同态的性质；

(3)G为椭圆曲线E_P(a,b)的生成元，其中大素数p＜N，P＝yG，P表示在挑战中的公开参数，y为用户产生的保密参数；

(4)π(·)是一个伪随机置换函数，即满足其中k₃为其密钥，用于确定每次随机抽取的数据块的位置；

(5)为保密的随机数，p为(3)中设定的大素数，由带密钥的伪随机发生器产生，为用户的保密参数；

该方法具体步骤如下：

1.初始化阶段

步骤1：数据分块与编码：

(1)用户将要存储到云端的数据文件F分割成l×m块，每一块都表示为伽罗华域中的元素GF(p)，其中p为大素数；用矩阵表即为：

(2)采用Goppa码对原数据进行编码，编码后变为l×n块，其最小码距为d_min≥r+1，即其检错能力为r，纠错能力为(d_min-1)/2；编码后数据即为：

其中G^*为Goppa码的生成矩阵；

步骤2：同态标签HVT的生成：

(1)设置相关参数；用户选择一条椭圆曲线E_p(a,b)，取其生成元为G；设置Paillier加密算法的公钥为k₁＝(n,g)，私钥为k₂＝(λ,μ)；选择伪随机置换函数π(·)；生成随机整数并且用户需要为其保密；

(2)用户为编码后的每个数据块生成同态标签其中，表示采用Paillier密码算法的公钥k₁＝(n,g)进行加密；所以，编码矩阵中每一列数据的同态标签为

步骤3：数据的远程存储：

如图2所示，用户将同态标签和数据块M^(j)一起存入第j个服务器S_j，用户则自己存储私钥和随机数

2.挑战-响应阶段

步骤4：用户发起挑战：

当用户想要验证服务器S_j是否正确持有数据的时，用户向其发出挑战：用户生成一个挑战chal＝(c,k₃)，发送给服务器S_j；其中，1≤c≤l，k₃为伪随机置换函数π(·)的密钥，P＝yG；

步骤5：服务器作出响应：

(1)服务器S_j根据挑战chal，对于每一个1≤r≤c进行如下计算：

$i_r={\mathrm{\&pi;}}_{k_3}\left(r\right)$

然后根据所得到的i_r，进行如下计算：

$T^{\left(j\right)}\&equiv;T_{f_{i_1}}^{\left(j\right)}......T_{f_{\mathrm{ic}}}^{\left(j\right)}\mathrm{mod}{N}^2$

${\mathrm{\&rho;}}^{\left(j\right)}=(f_{i_1}^{\left(j\right)}+f_{i_2}^{\left(j\right)}+...+f_{i_c}^{\left(j\right)})P\mathrm{mod}N$

(2)服务器S_j将计算的证据(T^(j),ρ^(j))返回给用户；

步骤6：用户验证服务器返回的证据：

(1)用户收到服务器S_j返回的证据(T^(j),ρ^(j))后，执行如下操作：用私钥k₂＝(n,g)依据Paillier密码算法对T^(j)进行解密得到对于每一个1≤r≤c计算然后依据i_r选择执行c次 ${\mathrm{\&tau;}}^{\left(j\right)}={\mathrm{\&tau;}}^{\left(j\right)}-x_{i_r}^{\left(j\right)}\mathrm{mod}N,$ 得到 ${\mathrm{\&tau;}}^{\left(j\right)}={\mathrm{\&tau;}}^{\left(j\right)}-x_{i_r}^{\left(j\right)}\mathrm{mod}N;$

(2)验证n·τ^(j)·G＝ρ^(j)，若等式成立则验证成功，说明服务器S_j正确持有用户的数据；否则，则说明该服务器S_j数据存储出现了错误；

3.交互操作阶段

步骤7：数据恢复

当用户检测到数据存储出错时，用户要求从服务器上下载所有的数据，并通过Goppa码生成矩阵G^*对应的校验矩阵P对下载的数据进行纠错，恢复数据，然后将恢复之后的数据重新置于各服务器的对应位置。