CN106254374B

CN106254374B - 一种具备去重功能的云数据公开审计方法

Info

Publication number: CN106254374B
Application number: CN201610801119.8A
Authority: CN
Inventors: 禹勇; 薛靓; 臧力; 李艳楠; 邱佳惠; 陈垚彤; 吴淮
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2016-09-05
Filing date: 2016-09-05
Publication date: 2019-10-01
Anticipated expiration: 2036-09-05
Also published as: CN106254374A

Abstract

本发明公开了一种具备去重功能的云数据公开审计方法，属于网络安全技术领域。本发明包括：CA服务器设置***参数,用户租赁云服务器存储空间后，向CA服务器申请公私钥对；云用户存储文件时先将欲存文件的哈希值发送给云服务器，云服务器对该哈希值进行检测，若此文件已存在于服务器中，云服务器将对云用户发送挑战信息进行拥有性验证，并根据应答验证用户是否真正拥有该数据文件。否则，云用户将文件与标签一起上传给云服务器；另外，审计服务器可根据用户请求验证云服务器中数据的完整性。本发明利用一轮非对称密钥协商算法实现了数据完整性验证，且实现了零知识隐私保护，我们还加入了实用的数据去重技术，大大提高了云服务器的利用率。

Description

一种具备去重功能的云数据公开审计方法

技术领域

本发明属于网络安全技术领域，具体涉及一种具备去重功能的云数据公开审计方法。

背景技术

云计算是继网格计算、对等计算、效用计算、分布式计算后又一新型的计算模式，它能提供低成本，按需使用的大量存储和计算资源，是信息技术一次重要的革新。

云存储就是云计算概念上延伸和拓展出来的一个新的概念，是云计算所提供的最基本的服务。通过集群应用、网格技术以及分布式文件***功能，通过应用软件将网络中各种不同类型的存储设备集合起来协同工作，具有对外提供数据存储和业务访问功能。强大的计算和存储能力也使得用户愿意将大量应用和数据部署到云计算平台中，云存储就是一个以数据存储和管理为核心的云计算***。云存储***以其可伸缩、价格便宜、按需支付、位置无关、应用透明等特点，能够让用户以较为低廉的价格换取海量的存储能力，已经成为了云计算中一个较快的利润增长点。

然而，高度集中的计算资源让云存储应用面临愈发严重的安全挑战。云数据的安全与隐私性成为了制约人们使用云服务的主要因素。而在最近几年里，各大运营商相继各自暴露的安全存储问题，加剧了人们的担忧。由于利益的驱使，云服务提供商可能把用户的数据移动到劣质传输速度缓慢的存储器上或者删除不被访问以及访问较少的数据。由于服务器管理失误，故障或者遭受攻击，而云服务提供商为了维护自己的声誉，刻意隐瞒掩盖数据丢失事件，云存储服务器的安全性和可靠性不被用户所信任。必须引进第三方审计者来管理云服务提供商处理云数据的权利。

当用户将数据传到云端后，可能已经将数据删除并没有在本地保存任何副本，从而无法保证从云端取回的数据是完整的，由于海量数据会造成巨大的通信代价，传统的数据完整性验证技术已经行不通。因此，云数据完整性检测的基本方法是：用户取回少量数据通过知识证明和概率分析来让用户相信数据以较大的概率完好的保存在云服务器上。目前，数据拥有性证明PDP(Provable Data Possession)和数据可恢复证明POR(Proof ofRetrievability)机制是两个主要的云数据完整性审计协议。

Ateniese等在信息安全顶级会议CCS 2007上首次提出了数据拥有证明PDP的概念和安全模型，此外他们还提出了两个高效的可证明安全的PDP方案。PDP协议可以让用户在不取回文件的情况下，也能够验证存储在不可信服务器上的文件的完整性，节省了通信带宽。可回取证明PoR的概念由Juels和Kaliski提出，基于随机抽样和纠错码技术确保服务器存储了正确的数据，云用户在需要数据的时候同样能够取回。Shacham和Waters利用纠删码设计出两个高效紧凑的PoR方案，并利用Juels等的安全模型进行了严格的安全性论证。第一个方案基于BLS短签名来构造，服务器和客户挑战值的响应值都很短，又满足公开可验证，可在随机预言机模型下给出它的安全性证明；第二个方案是基于伪随机函数PRF设计的，服务器产生响应信息的长度更短，但只支持秘密验证。这两个方案也都利用了同态可验证标签技术将响应证明聚合成一个认证值，通信代价得以降低。

提供无限的存储空间可能会给云服务提供商带来严重的经济负担。但是数据去重技术能够很明显的减少存储的代价。数据去重技术已经被云存储提供商包括Dropbox和Bitcasa等广为使用。根据SNIA的一篇报道，在商业应用里面使用数据去重技术可以减少需要存储的数据量，磁盘和带宽的占用因此减少了90％。数据的去重是指避免相同的文件多次存储，当存储的是主流的媒体文件例如音乐和电影时，空间的节省就更加的明显。重复的内容在它们第一次上传是会消耗存储空间，但是后续的上传就不需要占用任何空间。除了存储空间的节省，已经存储了的数据，在之后重复的内容就不需要再上传了，从而节省了带宽。

数据去重可分为两种：云服务端的去重和用户端的去重。服务端的去重非常简单，当服务器接收到数据以后，检查是否已经存过一份了。如存在则丢弃接收到的文件，否则存储这个新文件。我们能够看出服务端的去重并不能节省带宽，因为服务器在接受到文件后才进行去重操作。另一方面客户端的去重采用了一个更有争议的方法，客户在上传前先计算文件的哈希值，待服务器接收到该哈希值后，检查这个哈希值是否已经存在。如存在，则用户不用上传文件，并把用户和已有文件联系起来，否则通知用户上传文件。客户端的去重也能够减少数据的传输，用户的等待时间以及服务器能源的消耗。

在云存储环境下，尽管已经提出了许多审计方案来保证用户在云端数据的完整性和有效性，但它们都是为传统的云存储环境设计的，而没有考虑到移动云存储的应用。为了缓解用户在存储和计算上的压力，云环境下的数据完整性验证机制最好能支持公开验证，允许任意的第三方审计者来帮助用户完成数据完整性验证。另一个问题就是在为共享数据进行完整性验证的时候身份隐私保护是和第三方审计者冲突的，即使审计方遵循审计协议并且返回一个正确的审计结果给用户。因此目前的云数据完整性验证方案都没有达到完美的零知识隐私保护。随着云存储上数据的暴增，为了能提供虚拟的无限存储能力、节省带宽，文件的去重显得极为重要，然而数据的去重有其固有的安全漏洞，敌手可以通过提供文件的哈希值来最终下载不属于自己的文件，给云存储带来了极大的安全隐患。

发明内容

本发明的发明目的在于：针对云服务器实现去重存储时，可能存在用户本身不拥有文件，却通过文件哈希值欺骗云服务器，以获得授权来下载自己并不拥有的文件的情况，以及在云数据完整性的公开验证体制中的用户数据隐私问题，提出了一种具备去重功能的云数据公开审计方法，通过云服务器对云用户的文件拥有性验证，保证云用户确实拥有该数据文件，同时，用户的响应计算量小，传输带宽消耗低；对服务器而言，实现了安全去重存储，提高了服务器的空间利用率。该方法还可以获得完美的零知识隐私保护，从而防止云数据公开审计过程中的数据泄漏。因此该发明成果对于促进云计算的可持续发展具有重要的理论意义和实用价值。

本发明的具备去重功能的云数据公开审计方法，具体包括下列步骤：

步骤一：云用户生成密钥申请请求并发送至CA服务器，CA服务器为云用户选择一个随机数X生成密钥对：公钥PK＝(R,A)，私钥SK＝(r,X)，公钥参数R＝g^-r，A＝e(X,g)，私钥参数其中g为p阶乘法循环群G的生成元，e为G×G→G_T的双线性映射，G_T为p阶乘法循环群；并将私钥SK通过安全信道发送至云用户；

步骤二：云用户设置待上传文件的文件标识符，并对待上传文件进行定长分割，得到n个数据块，云用户将待上传文件的数据内容(即待上传文件本身)作为哈希函数H的输入参数，生成文件哈希值并发送给云服务器，其中哈希函数H为从0和1组成的比特序列集映射到p阶乘法循环群G的抗碰撞哈希函数；

云服务器判定当前文件哈希值是否存在，若是，则向云用户发起拥有性验证；若否，则允许云用户上传当前文件；

所述拥有性验证为：

云服务器生成拥有性验证请求并发送给云用户，所述拥有性验证请求包括挑战值chal_dup，其中挑战值chal_dup的生成过程为：从当前文件中随机选择部分数据块构成挑战集Q，对挑战集Q的每个数据块m_j设置数据块随机数v_j，下标j为数据块标识符且j∈Q，根据v_j得到chal_dup＝{(j,v_j)_j∈Q}，其中为模p的乘法循环换群；

云用户提取拥有性验证请求中的挑战值chal_dup，根据μ＝∑_j∈Qv_jm_j得到响应值μ，其中m_j表示当前文件的数据块，并将响应resp_dup＝{μ}回传给云服务器；

云服务器基于挑战值chal_dup、响应resp_dup进行有效性验证，若通过，则拥有性验证通过；否则拥有性验证失败；

云用户上传当前文件的过程为：基于私钥SK和哈希函数H为每个数据块生成一个标签值，将文件标识符、n个数据块及标签值发送给云服务器进行云存储；

步骤三：云用户向审计服务器发起审计请求，所述审计请求包括CA服务器生成的密钥对中的公钥、待审计文件标识符、云服务器标识符；

审计服务器对接收的审计请求进行有效性验证，若无效，则拒绝请求；否则提取云服务器标识符、待验证文件标识符，生成挑战值chal_int并发送给对应云服务器，其中挑战值chal_int的生成过程为：随机挑选待审计文件的K个数据块标识符构成挑战集Q′，对应挑战集Q′的数据块标识，设置数据块随机数v′_k，下标k为数据块标识符且k∈Q，从中随机选择参数t，生成参数X₁＝g^t,X₂＝A^t，其中g为p阶乘法循环群G的生成元，A为公钥参数A＝e(X,g)，获取X₁关于g和X₂关于A具有相同的离散对数的知识证明pf；由v′_k、X₁、X₂、pf生成审计挑战chal_int＝{(k,v′_k)_k∈Q′,X₁,X₂,pf}；

收到挑战值chal_int的云服务器验证知识证明pf是否有效，若否，则审计失败；否则计算μ＝∑_k∈Q′v′_km_k，然后发送响应resp_int＝{σ,B}给审计服务器，其中m_k表示第k个数据块，T_k表示第k个数据块m_k的标签值；

审计服务器基于发送的挑战值chal_int和响应resp_int进行有效性验证，若验证通过，则向云用户发送审计成功的审计报告；否则发送审计失败的审计报告。

进一步的，根据私钥SK＝(r,X)、哈希函数H生成每个数据块生成标签值T_i：为，其中m_i数据块，fid表示文件标识符，i∈[1,n]。

进一步的，步骤二中，云服务器基于挑战值chal_dup、响应resp_dup进行有效性验证的过程为：

云服务器从中随机选择参数t，生成参数X₁＝g^t,X₂＝A^t，X₃＝R^t，再根据公式计算T_j表示第j个数据块m_j的标签值；云服务器验证等式B/e(σ,X₁)＝C是否成立，若成立，则有效性验证通过；否则不通过。

步骤三中，审计服务器基于发送的挑战值chal_int和响应resp_int进行有效性验证：

审计服务器基于当前选择的参数t，计算X₃＝R^t，并验证等式B/e(σ,X₁)＝C是否成立；若成立，则有效性验证通过；否则，不通过。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

(1)实现了去重存储：本发明不仅实现了云用户可以委托第三方审计者对存储在云服务器中的数据进行审计，另外，服务器在进行去重存储时，可以对用户进行数据拥有性验证，提高了***的安全性，且节省了用户带宽。

(2)零知识隐私保护：本发明利用一轮非对称密钥协商实现了零知识隐私保护，且相比直接利用零知识证明技术实现零知识隐私保护的方案，交互轮数少，计算量低，通信开销低，且保护了用户隐私。

(3)响应值计算开销低，传输的带宽消耗低：考虑到用户计算能力有限，用户响应值计算简单，计算结果传输带宽消耗较低。

附图说明

图1是本发明具体实施方式的数据去重存储与数据公开审计过程示意图。

图2是本发明具体实施方法的数据去重存储过程示意图。

图3是本发明具体实施方式的数据公开审计过程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明是以公钥密码学理论为基础，提出一种具备去重功能的云数据公开审计方法，应用于安全性要求较高的云存储环境。云用户存储文件时，先上传文件哈希值，云服务器判断此文件是否已存在服务器中，若已存，则用户无需上传整个文件，节省了用户带宽，云服务器将会对用户进行文件拥有性验证，保证云用户确实拥有此文件。当云用户想要验证云端数据完整性时，向审计服务器发送审计请求，审计服务器利用挑战应答方法来验证云服务器中数据的完整性，为了实现高效的远程数据完整性验证机制和零知识的隐私保护，本发明采用非对称一轮密钥协商方案来生成挑战信息，挑战响应并验证响应值。

首先对本发明所应用的数学理论进行简单介绍：

(1)有限域

有限个元素构成的域称为有限域，满足对加法和乘法封闭等性质，有限域的阶是其中元素的个数，阶为素数p的有限域一般记为GF(p)。有限域的非零元构成一个循环群，在有限域中，包含两个群，一个是GF(p)对加法构成的群，一个是GF(p)-0对乘法构成的群。在乘法循环群中，生成元的所有幂可以构造出群中所有的元素。

(2)Hash函数

Hash函数是可以把任意长的输入消息变换成固定长度的输出消息的一种函数，这个输出结果称为该消息的Hash值。Hash函数通常用来构造数据的短“指纹”，一旦数据改变，指纹就不再正确。为了实现对数据的认证，它必须具备以下性质：①函数的输入可以是任意长度；②函数的输出是固定长度的；③对于任给一个x，计算其哈希值较容易；④对任意给定的哈希值y，找出满足h(x)＝y的x在计算上是不可行的，这一性质也被称为抗弱碰撞性。哈希函数主要用于数字签名，生成“数字指纹”，安全存储口令等。

(3)零知识证明

零知识证明是构造安全协议的主要工具，简单说来，零知识证明除了证明了结论的正确性外，***露其他任何信息，因此，它可以作为安全协议的一部分，使各方都可以放心地执行该协议。零知识证明可以分为两种类型：交互式的和非交互式的。零知识证明实际上是一种涉及两方或多方的协议，即两方或多方完成一项任务所采取的一系列步骤。证明者向验证者证明并使其相信自己知道或者拥有某一消息，但证明过程没有向验证者透漏任何关于被证明消息的信息。

(4)双线性对

令G₁是加法循环群，G₂是乘法循环群，它们的阶皆为q，p为群G₁的生成元。映射e:G₁×G₁→G₂若满足下面三个条件，则称之为双线性对。①具备双线性性，对于任意e(aP,bP)＝e(P,P)^ab成立；②非退化性，即存在P,Q∈G₁，e(P,Q)≠1；③具有可计算性：e可以被有效的计算。

参照图1，本发明的具体实现如下：

步骤S100.***建立，生成***参数：

步骤S101：选择一个安全参数l，CA服务器选择两个以素数p为阶的乘法循环群G和G_T，选择g作为群G的一个生成元，e：G×G→G_T是一个双线性映射。是一个乘法循环群。H是抗碰撞的Hash函数：H{0,1}^*→G。

步骤S102：CA公开***参数(g,H,p,G,G_T,e)。

步骤S200.数据存储，云用户将数据上传至云服务器：

步骤S201：云用户的公私钥对的具体生成步骤为：CA为云用户选择一个随机数X，r，X∈G\{1}，计算R＝g^-r，A＝e(X,g)，云用户公钥为PK＝(R,A)，私钥为SK＝(r,X)。并把私钥通过安全信道发送给云用户。

步骤S202：云用户为将要上传的文件F选择一个标识符fid；然后将文件F分成n块，得到数据块{m_i}_1≤i≤n,为实现去重功能，云用户首先上传H(F)至云服务器，服务器通过比较文件哈希值确定文件是否已存，其中F＝{m_i|_1≤i≤n}。本过程的具体实现如下：

步骤S202-a：云用户为将要上传的文件选择一个标识符fid。

步骤S202-b：云用户对文件F进行定长分割，得到n个数据块，即{m_i}_1≤i≤n。

步骤S202-c：云用户计算文件的哈希值H(F)，并上传至服务器。

步骤S202-d：云服务器在接收到H(F)后，通过比较H(F)检测该文件是否已存储在服务器中。

步骤S203：若文件已存在于云服务中，出于安全考虑，云服务器将对用户进行文件的拥有性验证。云服务器生成拥有性验证请求，向云用户发送一个挑战值，云用户收到挑战值后，根据文件块和挑战值计算一个响应值给云服务器。云服务器根据自己发送的挑战值，云用户的响应验证响应值的有效性，并根据验证结果发送文件拥有性验证报告。参照图2，本过程的具体实现如下：

步骤S203-a：云服务器随机选择然后挑选一些数据块，将所构建一个挑战集合Q，对每个被挑选的数据块m_j，选择一个随机数服务器发送挑战值chal_dup＝{(i,v_j)_j∈Q}给云用户。

步骤S203-b：云用户计算μ＝∑_j∈Qv_jm_j，然后发送响应resp_dup＝{μ}给云服务器。

步骤S203-c：云服务器利用t，已存文件用户的相关信息计算X₁＝g^t，X₂＝A^t，X₃＝R^t，T_j表示第j个数据块m_j的标签值。

步骤S203-d：云服务器验证等式B/e(σ,X₁)＝C是否成立。若成立，则发送数据拥有性验证成功，否则，发送数据拥有性验证失败。

步骤S204：若文件未存在于云服务器中，则允许云用户上传当前文件，即云用户根据自己的私钥为每个数据块m_i,i∈[1,n]计算一个标签值T_i,i∈[1,n]，然后发送(fid,F,Tag_int)，Tag_int＝{T_i}_i∈[1,n]给云服务器，同时删除本地数据(可选处理方式，删除的目的是为了减少对本地存储空间的占用)。云服务器在接收到(fid,F,Tag_int)后，将其存储在存储介质中。

步骤S 300.审计服务器对存储在云服务器中的数据进行审计。

云用户生成一个审计请求，并发送给审计服务器，请求对云服务器中的数据进行审计。审计服务器根据审计请求中的信息，对云服务器生成一个挑战值并发送给云服务器。云服务器收到挑战值后，验证挑战值的有效性，若有效，则根据标签、文件块、挑战值计算一个响应值发送给审计服务器。审计服务器收到云服务器发来的响应后，根据自己发送的挑战值，云用户的公钥，云服务器的响应值验证响应值的正确性。审计服务器根据审计结果给用户发送审计报告，若验证成功，则发送审计成功，否则，发送审计失败。本过程的具体实现如下：

步骤S301：云用户发送审计请求req＝PK||fid||Server||Time给审计服务器，委托其对云服务器中的数据进行审计。PK是云用户的公钥，fid是请求审计的文件标识符，Server是云服务器的标识，Time是一个时间戳。

步骤S302：审计服务器随机选择然后随机选择fid的部分数据块标识符构成一个挑战集合Q′，对应每个数据块标识选择一个随机数k∈Q′，计算X₁＝g^t,X₂＝A^t，另外，审计者利用两个离散对数相等的知识证明协议POK，生成一个知识证明pf，保证X₁关于g和X₂关于A有相同的离散对数，即pf＝POK{(g,A,X₁,X₂):log_gX₁＝log_AX₂}，最后的审计挑战为chal_int＝{(i,v′_k)_k∈Q,X₁,X₂,pf}，将它发送给云服务器。参照图3，本过程的具体实现如下：

步骤S302-a:审计服务器随机选择然后随机选择fid的部分数据块标识符(比如K个)构成一个挑战集合Q′，对应每个数据块标识选择一个随机数k∈Q′，计算X₁＝g^t,X₂＝A^t。

步骤S302-b:生成一个证明pf，pf＝POK{(g,A,X₁,X₂):log_gX₁＝log_AX₂}。

步骤S302-c:审计服务器计算挑战值chal_int＝{(k,v′_k)_k∈Q′,X₁,X₂,pf}，并发送给云服务器。

步骤S303：收到审计服务器发送的挑战chal_int后，云服务器首先验证pf是否有效，若无效，则审计失败，否则云服务器计算μ＝∑_k∈Q′v_km_k，云服务器发送响应resp_int＝{σ,B}给审计服务器。

步骤S304：审计服务器收到响应resp_int后，计算X₃＝R^t，并验证等式B/e(σ,X₁)＝C是否成立。

步骤S305：若等式成立，则审计成功；否则，审计失败。审计服务器根据验证结果发送审计报告给云用户，若审计成功，则发送PK||fid||Server||Time||1，若审计失败，则发送PK||fid||Server||Time||0。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims

1.一种具备去重功能的云数据公开审计方法，其特征在于，包括下列步骤：

步骤二：云用户设置待上传文件的文件标识符，并对待上传文件进行定长分割，得到n个数据块，云用户将待上传文件的数据内容作为哈希函数H的输入参数，生成文件哈希值并发送给云服务器，其中哈希函数H为从0和1组成的比特序列集映射到p阶乘法循环群G的抗碰撞哈希函数；

云服务器判定当前文件的哈希值是否存在，若是，则向云用户发起拥有性验证；若否，则允许云用户上传当前文件；

所述拥有性验证为：

云服务器生成拥有性验证请求并发送给云用户，所述拥有性验证请求包括挑战值chal_dup，其中挑战值chal_dup的生成过程为：从当前文件中随机选择部分数据块构成挑战集Q对挑战集Q的每个数据块m_j设置数据块随机数v_j，下标j为数据块标识符且j∈Q，根据v_j得到chal_dup＝{(j,v_j)_j∈Q}，其中为模p的乘法循环群；

云服务器基于挑战值chal_dup、响应resp_dup进行有效性验证的过程为：

云服务器从中随机选择参数t，生成参数X₁＝g^t,X₂＝A^t，X₃＝R^t，再根据公式计算参数T_j表示第j个数据块m_j的标签值；云服务器验证等式B/e(σ,X₁)＝C是否成立，若成立，则有效性验证通过；否则不通过；

其中，数据块的标签值为：m_i表示数据块，fid表示文件标识符，i∈[1,n]；

收到挑战值chal_int的云服务器验证知识证明pf是否有效，若否，则审计失败；否则计算参数然后发送响应resp_int＝{σ,B}给审计服务器，其中m_k表示第k个数据块，T_k表示第k个数据块m_k的标签值；

2.如权利要求1所述的方法，其特征在于，步骤三中，审计服务器基于发送的挑战值chal_int和响应resp_int进行有效性验证：

审计服务器基于当前选择的参数t，计算参数X₃＝R^t，并验证等式B/e(σ,X₁)＝C是否成立；若成立，则有效性验证通过；否则，不通过。