基于RASL的云存儲數據完整性驗證算法

唐明，張嬌蓉（西華大學計算機與軟件工程學院，成都　610039）

基于RASL的云存儲數據完整性驗證算法

唐明，張嬌蓉
（西華大學計算機與軟件工程學院，成都610039）

云存儲；完整性驗證；同態哈希；RASL

0　引言

云存儲指的是通過集群應用、網格技術或分布式文件系統等功能，將網絡中大量各種不同類型的存儲設備通過應用軟件集合起來協同工作，共同對外提供數據存儲和業務訪問功能的一個系統，它能保證數據的安全性，并節約存儲空間。通過云存儲服務，用戶可以從云服務器上便捷、高效地獲取存儲的數據，同時也沒有本地存儲和維護數據的負擔。云存儲具有低成本、高可用性、高擴展性、高可靠性等傳統存儲方式所不具備的特點，越來越多的用戶選擇將數據存儲到云服務器上。

然而，這種新的存儲方式也面臨這新的安全問題，即數據完整性。作為用戶方，關心的安全問題主要包括兩個方面：首先，用戶會擔心存儲在云端的數據會不會隨著數據中心發生故障而丟失，即數據安全性；其次，用戶對存儲在云端的數據會不會被窺探也會有所顧慮，即隱私安全性。用戶將數據存儲在云服務器上后，往往就失去了對所存儲的數據的控制權，因此，若云存儲服務提供商是不可信或半可信的話，數據擁有者可能會被云存儲服務提供商欺騙而不能確定存儲在云端的數據是否完整。故數據擁有者需要一種安全有效的服務機制來確保數據被安全、完整地存儲在云端。

云存儲數據完整性檢測的早期方案［2～3］是要求用戶將存儲在云端的數據取回本地后再驗證其完整性，用戶在存儲和驗證之前都需要計算數據的哈希值。然而隨著數據量的增加和用戶的增長，該方案的計算量及通信成本也變的非常大，因此這種方式已不可取。之后，Deswarte等人于2003年提出了基于RSA的哈希函數的第一個遠程完整性數據驗證方案，即用戶只需要取回部分數據就能驗證存儲數據的完整性，并在2008年提出其改進方案，使之支持數據更新操作。2007年，Ateniese等［5］人首次在其可證明持有方案中提出公開審計的問題，并給出了適用于靜態數據的S-PDP方案和E-PDP方案，為了降低通信開銷與計算開銷，這兩種方案都使用了同態標簽技術［6］，但該方案均不支持動態審計與批量審計。

最近，周銳等人［7］為了保證云存儲數據的完整性，提出了一種基于同態哈希函數的完整性檢測算法，該算法在可信第三方的審計下，通過聚合多個RSA簽名對云存儲數據完整性進行驗證，同時還采用了同態線性認證技術和隨機掩蔽技術實現隱私保護。該算法支持數據完全更新、單項審計與多項審計，但是不能抵抗周恩光等人提出的已知證據偽造攻擊。通過該攻擊方法，敵手可以假冒云服務器，對用戶記性欺騙，同時云服務器也可以在客戶數據丟失的情況下，利用該攻擊方法對客戶進行欺騙。

針對上述方案的不足，本文利用Erway等人提出的基于等級的認證跳表技術對周銳等人提出的方案進行改進，并給出了安全性證明及性能分析，改進方案能抵抗已知證據偽造攻擊。

1　預備知識

1.1同態哈希函數

同態哈希函數即一個具有同態性質的哈希函數，它滿足以下性質：

（1）同態性：對任意的兩個消息m1，m2及實數w1，w2，有H（w1m1+w2m2）=H（m1）w1H（m2）w2。

（2）免碰撞性：攻擊者不存在概率多項式算法可以偽造 （m1，m2，m3，w1，w2），且滿足m3≠w1m1+w2m2使得H（m3）=H（m1）w1H（m2）w2。

1.2基于等級的認證跳表

基于等級的認證跳表［9］（Rank-based Authenticated Skip List，RASL）是Erway等人在其支持完全數據更新的PDP方案中提出的概念，圖1是RASL中的一個例子。

圖1　基于等級的認證表

以圖1為例，在RASL中，最左上的節點w7稱為起始節點，每個節點v都包含rgt（v）節點向右的指針和dwn（v）節點向下的指針，這兩個指針主要用來查詢。對每個節點我們還需定義節點的等級，即從節點出發所能到達的底層節點的數量，記作r（v）。節點的層數記作l（v），l（v）=0表示底層節點。在圖1中，每個節點內的值即表示該節點的級數。同時對每個節點v，我們用low （v）和high（v）分別來表示從該節點出發，最左和最右可到達底層節點的序號。對起始節點，我們有r（s）=n，low（s）=1和high（s）=n。利用已知節點的等級和相對應的最左及最右可到達節點的序號，我們可以到達底層的任意節點。

2　對周銳等人方案的攻擊

利用周恩光等人［8］提出的已知證據偽造攻擊的方法，我們可以對周銳等人提出的審計方案進行類似的攻擊，具體攻擊方法如下：

假設TPA與CS之間成功進行了N次完整性驗證，敵手竊聽并保存以下信息：

其中Pi=（μi，σi，Yi）（1≤i≤n）是第i次完整性驗證過程中云服務器發送的證據。

則可以在沒有文件F的情況下偽造一個合法的證據，在偽造過程中，客戶存儲在云端服務器上的數據均未泄漏，即敵手未獲得用戶的任何數據。這樣敵手就可以利用偽造的證據欺騙用戶，使得用戶存儲的數據即使被篡改，用戶也無法通過驗證而得知。

3　基于RASL的云存儲數據完整性驗證方案

KeyGen（1k）：輸入安全參數k，選取大素數p和q，計算N=pq和φ（N）=（p-1）（q-1）；選取小整數e滿足1＜e＜φ（N），且gcd（e，φ（N））=1；利用擴展歐幾里德算法，計算滿足ed≡1modφ（N）的唯一整數d，1＜d＜φ（N）；選擇安全的同態哈希函數H（·）：ZN*→ZN*。用戶的私鑰為sk=d，公鑰為pk=（N，e）。

SigGen（sk，F）：設用戶存儲的數據為F=｛m1，m2，…，mn｝，用戶為數據F選取隨機標識符name∈ZN*，并對每個數據塊mi計算簽名σi=（H（name||i）H（mi））d，簽名集合Φ=｛σ1，σ2，…，σn｝。RASL的底層節點為按順序排列的簽名σi，即x（vi）=σi。客戶計算RSAL的起始節點哈希值Mc（Mc為公開變量），并將｛F，Φ｝和RASL發送給云服務器之后刪除。

Challenge：用戶從集合｛1，2，…，n｝中隨機選擇c個元素組成的集合I=｛s1，s2，…，sc｝，其中s1＜s2＜…＜sc。對i∈I，用戶選擇隨機值vi∈Zp，并將挑戰消息chal=｛（i，vi）｝s1＜i＜sc發送至云服務器。

VerifyProof（pk，chal，P）：驗證分為兩步進行，收到證據P后，用戶首先利用證明信息｛Π（i）｝s1＜i＜sc對σi的值及其索引值i進行驗證。具體驗證方法如下：

用戶選取初始值λ0=0，ρ0=0，γ0=0，ε0=0，對j∈｛1，2，…，k｝，計算λj=lj，ρj=ρj-1+qj，δj=dj；

若δj=rgt，則rj=h（λj，ρj，γj-1，gj），εj=εj-1；若δj=dwn，則rj=h（λj，ρj，gj，γj-1），εj=εj-1+qj；

經過循環計算后，若rk≠Mc，則驗證不通過，返回reject；若rk=Mc，則驗證通過，返回accept。

4　結語

本文利用已知證據偽造攻擊的方法給出了對文獻［7］的具體攻擊方法，通過攻擊表明該方案不能抵抗已知證據偽造攻擊。同時，應用同態哈希函數及RASL等相關技術，對原方案進行改進，并提出了基于RASL的云存儲數據完整性方案，該方案能抵抗已知證據偽造攻擊，并且能夠保護客戶的隱私數據不被泄漏。

［1］Deswarte Y，Quisquater J，Sa?dane A.Remote Integrity Checking［M］.Integrity and Internal Control in Information Systems VI. Springer US，2004：1～11

［2］Blum M，Evans W，Gemmell P，et al.Checking the Correctness of Memories［J］.Algorithmica，1994，12（2-3）：225～244

［3］Naor M，Rothblum G N.The Complexity of Online Memory Checking［C］.Foundations of Computer Science，2005.FOCS 2005.46thAnnual IEEE Symposium on.IEEE，2005：573～582

［4］秦志光，吳世坤，熊虎.云存儲服務中數據完整性審計方案綜述［J］.信息網絡安全，2014（7）：1～6

［5］Ateniese G，Burns R，Curtmola R，et al.Provable Data Possession at Untrusted Stores［C］.Proceedings of the 14th ACM Conference on Computer and Communications Security.Acm，2007：598～609

［6］Ateniese G，Kamara S，Katz J.Proofs of Storage from Homomorphic Identification Protocols［M］.Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg，2009：319～333

［7］周銳，王曉明.基于同態哈希函數的云數據完整性驗證算法［J］.計算機工程，2014，40（6）：64～69

［8］周恩光，李舟軍，郭華等.一個改進的云存儲數據完整性驗證方案［J］.電子學報，2014，42（1）：150～154

［9］Erway C，Küpcü A，Papamanthou C，et al.Dynamic Provable Data Possession［A］.Proceedings of the 16th ACM Conference on Computer and Communications Security［C］.Chicago：Acm，2009：213-222

Cloud Storage；Integrity Verification；Homomorphic Hash；RASL

Integrity Verification Algorithm of Cloud Storage System Based on RASL

TANG Ming，ZHANG JIAO-rong
（School of Computer and Software Engineering，Xihua University，Chengdu 610039）

1007-1423（2015）10-0005-04

10.3969/j.issn.1007-1423.2015.10.002

唐明（1987-），男，湖北天門人，碩士研究生，研究方向為計算機網絡與信息安全系統

2015-03-17

2015-04-08

隨著信息技術的發展，網絡化存儲將逐漸成為未來存儲領域的熱點。而目前的云存儲服務也將是網絡存儲發展的必然趨勢。因此如何確保云存儲環境下用戶數據的完整性成為人們關注的問題。周銳等人提出基于同態哈希的云數據完整性驗證算法中的公開審計方案。通過對該方案的分析，發現該方案容易受到已知證據偽造攻擊，并給出具體的攻擊方法。為了防止攻擊，利用基于等級的認證跳表技術（RASL）對該方案進行改進，并對本文方案做安全性分析及證明。

張嬌蓉（1988-），女，四川巴中人，碩士研究生，研究方向為序列設計

With the development of information technology，network storage will gradually become a hot storage areas in the future.The current cloud storage service will be the inevitable trend of development of network storage.Therefore，how to ensure the integrity of user data in cloud storage environments has become an issue of concern.Zhou Rui et al proposed public audit scheme for cloud data integrity verification based on the homomorphic hash.Through the analysis of the scheme，the scheme is vulnerable to the known evidence of forgery attack，and gives a specific attack method.In order to prevent attacks，improves the scheme based on RASL，and the proposed scheme is security by formal proofs.