基于區塊鏈的細粒度云數據安全存儲與刪除方案

周由勝 陳律君

①(重慶郵電大學計算機科學與技術學院 重慶 400065)

②(重慶郵電大學網絡空間安全與信息法學院 重慶 400065)

1 引言

隨著大量的敏感數據，如健康數據、金融數據、商業秘密、保密通信等都被外包到云端，數據安全問題引起了大量關注[1,2]。由于云服務器往往是半可信的，出于數據安全性考慮，數據所有者可能需要將某些存儲在云端敏感數據刪除，因而如何確保云服務運營商誠實地依照用戶要求刪除數據對數據擁有者而言至關重要[3–5]。除了保證云端數據的保密性和可用性外，數據擁有者如何實現安全刪除其外包數據是云存儲服務中需要解決的一個重要問題。

現有的數據刪除方法大多基于一比特返回協議進行構造，即在假定服務器可信的情況下，數據所有者發送一個請求讓云服務器從物理介質中刪除數據，然后接收一個表示刪除操作結果的位應答(成功/失敗)[6]。如Garfinkel等人[7]提出通過刪除鏈接到數據的系統指針的方式，但它只是刪除了鏈接而內容仍然保留在磁盤中。Gutmann[8]提出基于隨機數據覆蓋存儲介質的方式實現數據刪除。Paul等人[9]提出了可擦除性證明(Proof of Erasability,PoE)概念，即用隨機模式覆蓋磁刪除數據。Perito等人[10]提出安全擦除證明(PoSE-s)的方案，通過備發送一串隨機模式將原始數據覆蓋。通過覆蓋存儲介質的安全數據刪除大多不支持驗證而且效率較低。近年來，基于密碼技術的外包數據存儲與刪除方案受到關注[11–17]。Perlman[12]提出了一個有保證的刪除協議。張曙光等人[13]提出了一種使云服務器能夠實現加密數據重復刪除的方法。為了實現刪除公開可驗證，Yang等人[14]提出一種基于私有鏈的刪除證據存儲方案。Yu等人[15]提出利用屬性基加密實現外包數據訪問控制，并通過交互驗證刪除。Xue等人[18]提出了支持細粒度訪問控制的安全刪除方案，但計算代價較大，并且需要可信第三方生成重加密密鑰。此外，還有部分學者考慮了基于樹狀存儲實現安全刪除[19–21]。

現有多數外包數據的安全刪除方案大都假設云服務器完全可信，或依賴可信第三方協作完成安全刪除，同時難以支持細粒度訪問控制與刪除，其安全性和效率有待于進一步提升。為此，本文提出一種基于區塊鏈的細粒度云數據安全刪除方案。首先采用基于密文策略的屬性基對外包數據加密，實現數據所有者對數據的細粒度訪問控制和可公開驗證刪除。同時，將外包的數據與屬性策略相關聯，通過撤銷用戶訪問文件必不可少的屬性從而確保數據刪除。其次，本文提出了基于區塊鏈的數據刪除證據驗證。數據所有者可以通過云服務器中已修改的密文重構默克爾哈希樹(Measurement Hash Tree,MHT)，并且對比哈希鏈上公開的證據來驗證目標數據是否已被刪除。最后，本文方案基于橢圓曲線進行構造，相比傳統的基于雙線性映射的數據安全存儲與刪除方案，計算復雜度更小。在刪除和驗證階段，只需要數據所有者與云服務器兩方交互，不需要引入可信第三方，系統通信開銷和計算開銷進一步降低。

2 系統模型

2.1 安全假設

在本文中，假設云服務器為不可信實體，即云服務器可能未經數據擁有者授權刪除數據或者不按照數據擁有者刪除請求刪除數據。假設數據擁有者為非誠實實體，即數據擁有者可能會否認自己曾經發出的數據刪除請求，并誣陷云服務器未經授權刪除數據，從而向云服務器索要賠償。本方案允許被動攻擊存在，即敵手可以竊聽系統中的所有通信，未經授權的用戶也可能相互勾結以獲取明文信息。考慮到本文所提方案的應用環境，結合Ramokapane等人[22]提出的基于云的確定性刪除的安全目標，將本文方案的安全目標設定為滿足正確性、完整性、確定性數據刪除、安全細粒度訪問控制與責任追蹤等要求。

2.2 系統模型

本文提出的方案包含5個實體：云服務器(Cloud Security Provider, CSP)、屬性授權中心(Attribute Authorization center, AA)、數據擁有者(Data Owner, DO)、用戶(Users)、區塊鏈網絡(Block Chain network, BC)。本方案的基本框架如圖1所示。

圖1 系統模型

(1) 云服務器(CSP)：提供存儲服務、數據訪問服務。此外，云服務器可根據數據擁有者請求刪除數據，并將刪除證據存放于區塊鏈。

(2) 屬性授權中心(AA)：為系統生成主密鑰，為每個屬性、合法用戶生成私鑰。

(3) 數據擁有者( DO)：定義訪問控制策略，通過定義的策略加密文件并存儲到云上。此外，還可生成刪除請求以及驗證云服務器返回的刪除結果。

(4) 用戶(Users)：在云上下載并解密密文，但只有授權用戶可以獲取相應明文。

(5) 區塊鏈網絡( BC)：本文方案中使用聯盟鏈以構成數據刪除證據鏈，使用實用拜占庭算法(Practical Byzantine Fault Tolerance, PBFT)作為其共識機制。云服務器為普通節點，刪除證據生成后交給所屬機構的超級節點，由超級節點進行區塊模擬打包，當交易記錄填充完一個區塊即提出出塊請求。只有超級節點共同維護一份統一的包含刪除證據的賬本并參與共識，其他節點通過授權向超級節點申請查閱相關信息，實現刪除證據公開驗證服務。

2.3 算法組成

本方案包括7個算法：Setup, KeyGen, Encrypt,Decrypt, DelRequest,ReEncrypt,Verify，具體如下：

(1) Setup(1λ):由 AA運行的系統初始化算法，將安全參數λ作為輸入，輸出屬性公鑰PKi與系統主密鑰MSK, PKi公開而MSK由A A私密保存。

(2) KeyGen(MSK,ID,SID)：由 AA運行的密鑰生成算法，輸入主密鑰MSK，用戶身份標志 ID以及該用戶的一組屬性SID，輸出與用戶擁有屬性相關的私鑰S K。

(3) Encrypt(PKi,(A,ρ),M)：由數據擁有者運行加密算法，該算法需要以屬性公鑰PKi，訪問策略(A,ρ)以及明文M為輸入，輸出與訪問策略(A,ρ)相關的密文CT以及簽名σSKD0(Rj)。這里的Rj為已建立的第j個MHT的根值，A為線性秘密共享矩陣，ρ為一個映射，表示將矩陣A的第x行匹配到屬性ρ(x)。

(4) Decrypt(CT,SKρ(x),ID)：由用戶運行的解密算法。該算法將密文 CT和與該用戶擁有的屬性相關的私鑰SKρ(x),ID作為輸入，若私鑰中的屬性集滿足密文中的訪問架構，算法輸出明文M，否則，算法停止。

(5) DelRequest(fname,y)：數據擁有者向云服務器申請刪除數據的算法。算法將文件名fname與要更改的屬性y作為算法輸入，輸出數據刪除請求DR。

(6) ReEncrypt(CT,DR)：云服務器對密文進行重加密算法。輸入密文 CT與刪除請求D R，輸出重加密后的密文項以及簽名σSKCSP()，這里的是更新后的MHT的根值。

(7) Verify(Resp,CT′)：數據擁有者刪除驗證算法。數據擁有者輸入云服務器返回的刪除反饋Resp，更改后的密文CT′，再結合當前哈希鏈的值進行驗證，若驗證通過，輸出1，否則，輸出0。

2.4 安全模型

本方案的安全模型為基于選擇性訪問架構安全(selective access structure security)，該模型由敵手 A 和挑戰者C 之間的游戲來定義。在游戲開始階段，敵手 A 先輸出一個挑戰訪問架構A?，接著敵手A 可以發出與屬性S相關的私鑰查詢，但這些屬性不能滿足訪問架構A?。

模型詳情如下所述：

Init: 敵手 A選擇一個挑戰訪問架構(A?,ρ?)，此架構中屬性dummy已被撤銷，即用(A?, ρ?)加密的密文已被刪除。

Setup：挑戰者 C 執行setup算法生成系統公共參數，并為每個屬性生成公私鑰對。接著挑戰者C 將生成的公共參數發送給敵手A 。

Phase 1: 敵手 A向挑戰者C 發送與屬性組SID相關的私鑰查詢，但所有的屬性組SID不能滿足A?。因為屬性dummy已被撤銷，則屬性組SID不包括屬性dummy。

Challenge: 敵手 A任選兩個相同長度的消息M0,M1發送給挑戰者C ，挑戰者C 任選δ ∈{0,1}，并基于訪問架構(A?, ρ?)加密Mδ，并將加密后的密文CT?發送給敵手A 。

Phase 2：過程與phase 1類似，敵手 A 進行更多的秘鑰詢問。

Guess：敵手 A輸出猜想，若δ′＝δ，則敵手A贏得游戲。

3 具體方案

本節給出數據存儲與安全刪除方案的具體構造。為了提高算法整體性能，本文利用橢圓曲線進行構造。假設每個用戶都會預先加載公共參數PKi(1≤i ≤|U|)以及LSSS訪問矩陣。本方案的詳細結構如下所示：

Setup(1λ)：選擇GF(p)為階為P的有限域，設E是定義在GF(p)上的橢圓曲線，G為階為r的橢圓曲線E的基。H為單向抗碰撞哈希函數。

AA任選隨機數α ∈Zr，再為|U|個屬性選擇元素h1,h2,···,h|U|∈Zr，將MSK ＝(h1,h2,···,h|U|,α)作為系統主密鑰私密保存，計算αG,PKi＝hiG(1≤i≤|U|)，并公開αG以及屬性公鑰PKi。

圖2 證據鏈結構

4 方案分析

4.1 安全性分析

此外，本文方案在安全特性方面與現有同類方案相比具有一定優勢，具體結果如表1所示。Yang等人[14]方案與Hao等人[23]方案不采用屬性加密方式，缺少細粒度訪問特性，且存入云端的密文數據只能自己訪問，不能分享數據，且后者方案無法提供隱私保護。Xue等人[18]方案、Yu等人[15]方案與本文方案都使用屬性加密，均可提供細粒度訪問控制，但是前兩個方案不能進行公開驗證及責任追蹤，且基于雙線性構造方案開銷較大，綜上所述，本方案在性能評估中有較好的優勢。

表1 安全特性對比

4.2 性能分析

本節就時間復雜度將本文方案與現有同類方案進行分析對比，由于Setup, KeyGen等階段由具有充足計算資源的屬性中心(AA)執行的離線一次性操作，對系統運行性能影響較小，所以本節主要考慮執行較為頻繁的加密、解密、刪除、驗證等4個階段的計算開銷，具體結果如表2 所示。表2中的加密對應前文算法Encrypt，解密對應算法Decrypt，刪除對應算法DelRequest和ReEncrypt，驗證對應算法Verify，其中Tp_mul,Tp_add,Tbp,Texp,Tmul,Tsig,Tver,Tε,TD,Th分別表示單次橢圓曲線倍點運算，橢圓曲線點加運算，雙線性映射運算，冪運算，乘法運算，ECDSA簽名運算及ECDSA驗簽運算，AES加密運算及解密運算，哈希運算等運算時間。為便于描述，l代表共享生成矩陣A的行數，|γ|為密文中屬性個數，Ma表示滿足訪問策略的最少屬性個數，m為當前區塊鏈節點個數。由于Xue等人[18]方案、Yu等人[15]方案與本文方案均基于屬性加密，故本節仿真實驗只針對后3個方案比較，對比結果如圖3(a)，圖3(b)，圖4(a)與圖4(b)所示，分別表示加密階段、解密階段、刪除階段與驗證階段。本實驗在Intel(R) Core(TM) i7-6700 CPU＠3.40 GHz平臺上使用JPBC庫實現。橢圓曲線加密的密鑰大小為160 bit, AES加密密鑰大小為128 bit，安全參數設置為80，圖3(a)為設置不同的訪問矩陣行數或密文屬性個數的加密時間對比，圖3(b)為設置不同的用戶私鑰或密文中屬性個數的解密時間對比，圖4(a)為設置不同的訪問矩陣行數或密文中屬性個數的刪除時間對比，圖4(b)為設置不同用戶私鑰或密文中屬性個數的驗證時間對比。圖中時間為重復50次得到的平均值。本文方案和Yu等人[15]方案是基于CP-ABE的，而Xue等人[18]方案是基于KP-ABE的。因此在加解密階段和刪除驗證階段的時間消耗受訪問矩陣行數、私鑰中屬性個數以及密文中屬性個數等不同類型參數影響，本文實驗中將這些參數值都設置4～16的相同值。

圖3 不同訪問矩陣行數或密文中屬性個數下的加解密時間變化

圖4 不同訪問矩陣行數或密文中屬性個數下的刪除與驗證時間變化

表2 時間復雜度對比

5 結束語

為了解決云存儲環境中數據可信刪除問題，本文提出一種基于區塊鏈的云數據安全存儲與刪除方案。本文方案不僅比同類方案更為輕量化，還實現了存儲數據的細粒度訪問控制，同時基于區塊鏈的刪除證據管理方式使其具有公開可驗證特性。最后，對本文方案進行了安全性分析和實驗分析，結果表明所提方案能更好地滿足云數據安全共享與刪除需求。