無證書的共享數據公開審計方案

劉雪艷,賀嘯梅,蘆婷婷,羅玉坤

(西北師范大學 數學與統計學院,蘭州 730070)

0 概述

隨著計算機技術的快速發展和網絡數據的海量增加,云存儲技術成為云計算不可或缺的一部分,它允許用戶把大量的數據外包存儲在云中,從而減少用戶存儲空間管理和計算的成本,但此時外包數據的安全也受到極大威脅,不可信的云存儲提供者可能為了利益而篡改或刪除數據,也有可能因為硬件/軟件故障而造成數據丟失。因此,用戶需要確認存儲在云中的數據是未被篡改且被云存儲器完整存儲的[1]。

為有效驗證外包數據的完整性,研究者相繼提出很多審計方案。當用戶想要檢驗數據的完整性時,第三方審計者 (Third Party Auditor,TPA)能夠代替用戶在不下載所有數據的前提下對數據進行完整性的檢驗。如果TPA在執行審計過程中沒有刪除用戶的任何秘密值,則稱為公開審計。文獻[2]提出公開審計的方案,而為提高性能和安全性,文獻[3-5]提出了新的審計方案，文獻[3]方案支持無需第三方審計者幫助的公開審計，且不會向第三方審計者泄露用戶的隱私信息，文獻[4]提出一種靈活的分布式存儲完整性審計機制，文獻[5]提出一種安全的云存儲系統支持保護隱私的公開審計方案。此外，文獻[6-8]方案則是在前人所做工作基礎上的改進。文獻[6]針對半可信的第三方審計者，提出一種用戶可以與云服務提供者進行交互，由用戶自己完成數據完整性驗證的方案,文獻[7]提出一種改進的基于LBT樹形認證結構的數據完整性公開審計方案，文獻[8]提出已知數據偽造改造的概念，利用基于等級的認證跳表設計了相應的改進方案。之后,針對動態群組隱私保護的審計方案[9-10]和面向公有云及多管理者群組的公開審計方案[11]相繼被提出。上述審計方案都是基于傳統的公鑰密碼體制,由證書授權方產生用戶的公私鑰對,通過綁定用戶的公鑰來產生對應的私鑰,而產生的證書都是由證書授權方管理,會出現證書管理問題,包括密鑰的分發、存儲、撤銷和認證,并且密鑰生成中心(Key Generation Center,KGC)有能力產生任何實體的簽名,有可能會泄露用戶的身份信息。針對證書管理問題,一系列基于身份的公開審計方案[12-14]被提出。文獻[12]提出一種新的基于身份的聚合簽名公開審計方案，解決了存儲用戶在上傳數據前需要先頒發證書從而產生巨大成本的問題，并在其安全模型下是可證明安全的,文獻[13]采用一種有效的基于證書的公鑰設置密鑰管理方案，將基于身份的聚合簽名與公開驗證相結合，構造了可證明數據完整性協議，減少了TPA單個任務的審計時間,文獻[14]則提出針對多個云環境的基于身份的審計方案。

然而,上述方案都存在密鑰托管問題,用戶的私鑰完全是由KGC產生,而KGC有可能不是完全可信的,可能會泄露用戶的隱私信息。在這種情況下,該問題可以通過設定KGC是完全可信的實體而得以解決,這在文獻[15-16]的方案中有所體現。文獻[17]提出了無證書的公開審計(Certificateless Public Key Cryptography,CLPKC)的概念。在CLPKC中,用戶的私鑰包含兩部分,一部分是由用戶自己生成的,另一部分是由KGC生成的。因此,CLPKC解決了傳統公鑰密碼體制中的證書管理和密鑰托管問題。基于先前的工作,文獻[18]提出了新的簽名機制——無證書簽名機制,該機制由無塊驗證和同態認證來實現,是首個通過無證書簽名產生的無證書公開審計方案。該方案的提出解決了傳統密碼體制中的證書管理問題和基于身份公開審計中的密鑰托管問題,但其簽名方案不能抵抗第一類型攻擊,即攻擊者可以在他的意愿下替換用戶的公鑰,并且當用戶出現惡意行為時,不支持用戶追蹤的功能。

本文提出一種無證書的公開審計方案,采用同態技術完成多用戶的審計請求,從而減少計算量,提高審計效率。同時利用ELGamal體制對惡意用戶身份進行追蹤,以保證數據和簽名用戶身份的隱私性。

1 系統模型和安全模型

1.1 系統模型

本文方案的系統模型如圖1所示,其中包含4個實體:KGC,TPA,云存儲器提供者(Cloud Server Provider,CSP),群組用戶(Users)。每類實體的主要功能描述如下:

1)KGC:KGC是完全可信的,它生成系統主密鑰、公共參數以及產生用戶和群管理者的部分公私鑰對。

2)TPA:TPA是完全可信的,它負責驗證存儲在CSP中數據的完整性,在驗證過程中不會獲得任何具體的數據信息。

3)CSP:CSP是半可信的,它提供足量的存儲空間和檢索功能,但同時它是好奇的,并會在多種動機的促使下返回錯誤的數據,造成機密數據的泄露。

4)Users:群組用戶包含一個群管理者和其他用戶,管理者具有注冊和追蹤用戶的權利,通過管理者完成注冊的用戶,可以訪問和更新共享數據。

圖1 系統模型Fig.1 System model

1.2 安全模型

1.3 設計目標

本文方案需要滿足以下性質:

1)公開審計:公開審計者可以在不檢索整篇數據的前提下驗證共享數據的完整性。

2)正確性:公開驗證者可以正確驗證共享數據的完整性。

3)不可偽造性:只有群組用戶可以產生有效、共享數據的原始數據(如簽名)。

4)身份的隱私性:公開審計者在對共享數據塊的審計過程中不能區分簽名者的身份信息。

5)批量審計:公開審計可以滿足多個數據塊的一次性驗證需求,提高審計效率。

6)追蹤性:當群管理者發現群組用戶有惡意的訪問行為時,可以使用追蹤權限找到該用戶。

2 預備知識

2.1 雙線性運算

設p為大素數,G1是階為p的乘法循環群,g是G1的生成元。定義一個雙線性映射e:G1×G1=G2滿足以下3個性質[20]:

2)非退化性:存在?P,Q∈G1,使e(P,Q)≠1。

3)可計算性:對于?P,Q,可以通過多項式時間算法來計算e(P,Q)。

2.2 困難性問題

本文方案的安全性證明基于以下困難性問題:

定義1Computational Diffie-Hellman(CDH)問題。對于2個隨機數a、b,已知(g,ga,gb),計算gab的值是困難的,其中G1是q階的循環群,g是G1的生成元。

2.3 橢圓曲線上的ElGamal加密體制

本文方案使用有效的群簽名以獲得數據完整性的審計,通過群簽名嵌入橢圓曲線上的ElGamal加密體制來保護群組用戶的私鑰。橢圓曲線上的ElGamal加密體制安全是基于DDH困難性問題而成立的,其加密過程描述如下:

3 無證書公開審計方案

3.1 單用戶情形

本文可證明安全的無證書公開審計方案包括以下9個運算階段。

3)用戶注冊(UserEnroll) 階段。用戶Ui將自己的身份信息IDi發送給群管理者,群管理者根據用戶Ui的IDi和公鑰{Ti}i∈[1,n]建立用戶列表List,完成用戶的注冊。

5)簽名驗證(SignVerify) 階段。CSP接收到用戶上傳的簽名值{σl,Cl,1,Cl,2}l∈[1,n]后對其進行驗證。驗證式(1)是否成立。若等式成立,則簽名有效;若不成立,則簽名無效,需重新生成對應簽名。

(1)

8)證據驗證(ProofVerify)階段。TPA接受到CSP發送證據proof={E,σ}后,對CSP生成的證據進行驗證。若式(2)成立,則表示數據被CSP正確持有;否則,數據可能被篡改或丟失。

(2)

9)用戶追蹤(Trace)階段。如果用戶存在惡意的訪問行為或上傳不合法的數據情況,群管理者可以行使追蹤權限,用專屬私鑰d進行追蹤,查詢到該用戶的身份信息并將其從注冊用戶名單中刪除,更新用戶列表List,并將更新后的用戶列表發送給CSP,CSP刪除與之對應存儲的簽名值,使其不能通過簽名驗證,從而保證簽名的有效性。如果有新的用戶想要加入群組,可以通過群管理者進行注冊加入。重新對撤銷用戶生成簽名標簽的數據塊簽名,生成新的簽名,簽名驗證過程與之前一致。在群管理者行使追蹤權限時,用專屬私鑰d進行追蹤,通過下式進行驗證:

(3)

3.2 多用戶情形

當出現多個用戶發送審計請求時,TPA可以在同一時間完成審計。若給定m個用戶Ui,i=1,2,…,m,每個用戶需要審計的數據塊數目為ni,對應的數據塊標識符為idi,j。TPA向CSP發送審計挑戰為:chal={j,ρi,j},j=1,2,…,ni。

TPA接收到CSP發送證據proof={σ,E1,E2,…,Em}后,驗證下式是否成立:

(4)

4 正確性分析與安全性證明

4.1 正確性分析

定理1給定共享數據塊和對應的合法簽名,TPA可以檢驗共享數據的完整性。

證明本文方案的正確性基于式(1)和式(2)?；陔p線性對的性質,式(1)和式(2)的驗證過程分別如式(5)和式(6)所示:

e(σl,g)=e(gh(idi)kiH(IDi)αtiml,g)=

e(gh(idi)ki,g)e(H(IDi)αtiml,g)=

e(gki,gh(idi))e(H(IDi)timl,gα)=

(5)

(6)

若式(1)和式(2)成立,則公開驗證者認為共享數據是完整的。上述通過驗證式(1)和式(2)的正確性,證明了本文方案的正確性。

對于多用戶情形的批審計,式(4)驗證過程如式(7)所示:

(7)

4.2 安全性證明

定理2CDH困難性假設在G1中成立,則任何多項式敵手在本文方案下偽造簽名在計算上是不可行的。

證明如文獻[5,17]中所述,使用無證書簽名方案的標準安全模型應考慮2種類型的敵手,分別稱為I型敵手和II型敵手,具有不同的攻擊能力。這2類敵手的詳細定義如下:

1)I型敵手:該類型的敵手無法詢問KGC的主密鑰,但能夠用其選擇的值替換任何實體的公鑰(敵手具有此能力的原因為無證書簽名方案中沒有涉及到證書管理)。

2)II型敵手:該類型的敵手可以詢問KGC的主密鑰,但不能替換任何實體的公鑰(敵手的成功詢問表明無證書簽名方案中存在秘鑰托管問題)。

下文將證明,如果I型敵手或II型敵手能夠用審計方案生成一個偽造簽名,那么就存在一個能夠解決G1中CDH困難問題的算法F,這與G1中的CDH問題在計算上不可行的假設相矛盾。

定理3只要DL假設成立,半可信的云存儲服務器在本文方案下生成偽造的審計證明在計算上是不可行的。

證明如定理2所證明的,對于不可信云,如果G1上的CDH問題是困難的,則在本文提出的機制下偽造簽名是不可行的。在本文中,除了試圖在每個數據塊上計算偽造簽名來生成偽造的審計證明之外,如果不可信的云可以贏得下面的安全游戲(稱為Game1),則它可以偽造損壞的共享數據的審計證明。安全游戲描述如下:

Game1一個公開的驗證者向云服務器發送一個審計挑戰chal={j,ρj}j∈c,基于正確的共享數據M生成的審計證明應該是proof={E,σ},它能夠通過式(2)的驗證。不可信云生成證據為proof′={E′,σ′}是基于損壞的共享數據M′,其中M≠M′且為非零的。如果基于損壞的共享數據M′的無效證據可以成功地通過驗證,則不可信云將獲勝;否則,它會失敗。

下文將證明如果不可信云可以贏得Game1,那么就能找到解決G1中的DL問題的方案,這與DL假設中G1中的DL問題在計算上是不可行的相矛盾。假設不可信云可以贏得Game1,根據式(2)得到:

proof′={E′,σ′}是一個正確的審計證明。

證明對于算法A,在一個數據塊上揭示簽名者身份信息的概率是1/d,因為選擇的c個數據塊的簽名是獨立的,其中c∈[1,n],公開驗證者能區分共享數據中選擇的c個數據塊的所有簽名者身份的總概率最多為1/dc。

在本文方案中,公開驗證者知道共享數據中的每個數據塊都是由用戶各自簽名的,因為它需要用戶的公共密鑰來驗證整個共享數據的正確性。然而,它不能區分每個特定數據塊上的簽名者是誰。因此,公開驗證者在揭示私有信息方面不具有特殊的優勢,例如在共享數據中對較多的數據塊進行簽名時,或者特定的數據塊經常被不同的組員頻繁修改時,公開驗證者均不能有效地分辨出簽名者具體的身份。根據上文對方案的正確性分析,證明了本文方案支持數據隱私保護。

定理5假設一個審計證明proof={E,σ},只要DL假設成立,對于公開驗證者來說,揭示本文機制下共享數據中的任何私有數據在計算上是不可行的。

5 性能分析

5.1 計算開銷

在計算開銷方面,將本文方案與文獻[18]方案進行分析對比,如表1所示。其中,Texp表示指數運算所需的時間,Tmul表示乘法運算所需的時間,Tpair表示雙線性對運算所需的時間,Thash表示Hash運算所需的時間,Tm表示冪運算所需的時間,d表示簽名的用戶數,c表示挑戰的數據塊數目,n表示數據分塊數,s表示每個數據塊中包含的子數據塊數。從表1可以看出,文獻[18]方案主要是支持無證書的公共審計方案,但沒有簽名認證和用戶追蹤,其計算開銷隨著數據塊的增多而增大,開銷遠大于本文方案。本文方案支持簽名驗證、多數據塊的批量審計和用戶追蹤,而在多用戶的情形下,審計時間沒有太多的增加,且計算開銷比文獻[18]方案小。

表1 2種方案計算開銷對比Table 1 Comparison of computation costs of two schemes

5.2 通信開銷

表2 2種方案審計階段通信開銷對比Table 2 Comparison of communication costs in the audit phase of two schemes

5.3 實驗結果

本文采用模擬實驗來評估方案的計算開銷和通信開銷。實驗測試環境為:Inter i5-7200U CPU2.50 GHz,8 GB內存,Windows10×64操作系統,采用Pairing Based Cryptography(PBC)(http://crypto.stanford.edu./pc/)在Visual C++ 6.0中編譯實現。本文方案中主要階段的運行時間如表3所示。

表3 本文方案各階段運行時間Table 3 Runtime of each phase of the proposed scheme s

基于本文方案與文獻[18]方案計算開銷和通信開銷的對比,圖2和圖3分別給出了選擇不同數量的數據塊時簽名生成階段和證據驗證階段運行時間的對比。

圖2 簽名生成階段運行時間比較Fig.2 Comparison of runtime in signature generation phase

圖3 證據驗證階段運行時間比較Fig.3 Comparison of runtime in evidence validation phase

本文方案和文獻[18]方案都是基于無證書的公開審計方案,因此在證據驗證階段的運行時間相同,但本文方案在簽名生成階段和證據驗證階段的運算時間均少于文獻[18]方案,從而減少了計算開銷,節約了計算成本,提高了效率。

5.4 功能對比

將本文方案與文獻[18-19]方案的主要功能進行對比,如表4所示。其中,√表示支持該功能,×表示不支持該功能。

表4 不同方案審計功能對比Table 4 Comparison of audit functions of different schemes

從表4可以看出,文獻[18-19]和本文方案同時具有批量審計的功能,但前2種方案不支持用戶注冊和簽名驗證,且文獻[18]方案不支持用戶追蹤,文獻[19]方案未解決證書管理問題。由此可知，本文方案實現的功能更為全面，不僅解決了傳統密碼體制中的證書管理問題，而且也實現了批量審計和用戶追蹤功能。

6 結束語

本文提出一種無證書的共享數據公開審計方案,解決了公鑰密碼體制中出現的證書管理問題,能夠進行多用戶多數據塊的批量審計,并通過ELGamal體制支持群管理者對群組用戶身份的追蹤。安全性分析和實驗結果表明,該方案基于CDH、DDH和DL困難性問題,實現了簽名的不可偽造性和身份的隱私保護性,是安全高效的。下一步將研究具有動態群組用戶隱私保護功能的公開批量審計方案。