基于區塊鏈的雙重可驗證云存儲方案

馮濤，孔繁琪，柳春巖，馬蓉，Maher Albettar

（1.蘭州理工大學計算機與通信學院，甘肅 蘭州 730050；2.蘭州理工大學經濟與管理學院，甘肅 蘭州 730050；3.康考迪亞大學康考迪亞信息系統工程研究所，蒙特利爾 H3G 1M8）

1 引言

近年來，工業物聯網（IIoT,industrial Internet of things）推動各種智能應用迅速崛起，在制造業、醫療保健、智能能源電網和智能交通系統等領域受到了極大的關注，并成功地融入人們生活和工作[1]。為了減少本地服務器的計算開銷和節約存儲空間，大量工業設備在業務中產生的實時感知數據和敏感信息需要存儲到云端。云存儲是云計算的重要分支[2]，它為數據的存儲和分析提供了高質量的按需服務，但在網絡訪問和數據上傳過程中，其帶來的隱私泄露問題也日趨嚴重。云服務器或敵手惡意獲取和篡改用戶的數據，導致敏感信息泄露，且對惡意用戶無法追蹤，從而導致惡性循環。云存儲數據的機密性、完整性對工業物聯網健康發展非常重要。目前，云存儲主要存在以下幾個問題：1) 數據的隱私和傳輸安全得不到保護；2) 云存儲數據的正確性和完整性得不到有效驗證；3) 無法追蹤惡意用戶，從而導致惡性循環。因此，針對數據處理的可信性和安全性問題，為保障用戶查詢真實數據，研究一種可驗證云存儲方案具有重要意義。

在過去的幾十年里，許多學術界和工業界研究者已對可驗證計算等相關問題進行了廣泛而深入的探索?？沈炞C計算方案主要涉及應用安全領域、計算機理論領域和密碼學領域[3]，并廣泛應用在計費系統、外包計算、電子投票系統等各種場景中。在應用安全領域，大多方案從應用角度出發，以基于審計和各種安全協處理器工具為主；在計算機理論領域，大多方案依賴于復雜的概率可檢測證明（PCP,probabilistically checkable proofs）[4]，但由于極高的計算成本，它們很難在實際生活中應用。在密碼學領域，主要的密碼學工具有同態加密[5]、混淆電路、基于屬性的加密、同態簽名[6]等。Chaum等[7]利用盲簽名構造了具體協議，其提出的electronic wallet 模型是利用密碼學手段研究可驗證計算的開端。隨著區塊鏈技術的發展[8]，其可以提供完美的透明度和分布式可驗證性，以及利用密碼學技術和共識協議來保證網絡安全傳輸，為可驗證計算增加了更多的應用場景和功能性，創建了更安全可信的數據共享平臺。區塊鏈與可驗證計算共同進行數據隱私保護，有利于數據分布式存儲，以及對云端數據的完整性進行檢驗，有效控制數據破壞行為所造成的數據安全問題，也有利于監管部門對外包計算等場景進行有效監管，追蹤惡意輸入。

近年來，有學者提出了基于區塊鏈的可驗證云存儲方案，但依然存在以下3 個問題尚未解決：1)在數據傳輸過程中，保證數據安全性、機密性的同時，沒有考慮數據的可用性；2) 方案不能在云存儲服務環境下實現整體數據和單個數據的可驗證；3)無法實現對惡意修改和破壞數據用戶的追蹤。針對上述問題，本文提出了一種基于區塊鏈的雙重可驗證云存儲方案，解決了數據隱私泄露、不可驗證、傳輸不安全和無法追溯惡意用戶的問題。

本文主要的研究工作如下。

1) 提出了基于區塊鏈的雙重可驗證云存儲方案系統模型，并分析敵手的惡意行為。通過區塊鏈技術可實現數據的一致存儲和難以篡改，增加了上鏈數據造假的難度和成本，從而可以消除大部分使用者對數據信用的顧慮。本文構造的方案可保證數據的完整性以及計算過程的可靠性和可信度。使用同態加密技術對數據加密，在密文上進行計算，解決了隱私泄露和傳輸不安全等方面的問題。

2) 提出的基于區塊鏈的雙重可驗證云存儲方案，可對數據完整性進行有效核驗。本文應用具有同態性質的哈希函數，云服務器可以聚合多用戶的簽名，并對聚合數據進行總體驗證，解決了通信負擔大、計算效率低等問題。需要追溯上傳虛假數據的惡意用戶時，進行單獨驗證，解決了在分布式計算和云存儲時對惡意用戶的追溯問題，有效避免了惡性循環。

3) 安全性分析表明，本文方案在數據加密和聚合時是一種高效的可驗證方案。在保證數據隱私性的前提下，可追溯上傳錯誤數據的惡意用戶，比同類方案更加安全可靠。本文方案具有可行性、安全性和有效性的特點。

2 相關工作

在區塊鏈服務網絡模型下，研究者構建了結合可驗證計算的安全協議，實現數據隱私保護、數據存證、數據核驗等多種功能。按照可驗證計算參與方數目，可將方案分為一對一可驗證計算方案和多方可驗證計算方案。

在一對一可驗證計算方案中，Wang 等[9]提出了一種基于區塊鏈的可驗證數據完整性的個人健康檔案共享方案。該方案實現了個人健康檔案在共享過程中數據的安全性，提高了患者敏感數據的隱私性，但該方案的計算負擔較高，應用場景單一，不具有可擴展性。Guo 等[10]提出了一種新的基于區塊鏈技術的動態單點登錄方案，實現了對加密數據的可靠搜索，并通過智能合約設計了加密的核對表，可以在區塊鏈內實現安全的結果驗證。該方案雖然提高了安全性，卻極大地增加了計算量，降低了驗證效率。Guo 等[11]提出了一種輕量級的可驗證外包解密的CP-ABE 協議方案。該方案在解密過程中加入驗證算法，利用密文的可驗證性來驗證用戶設備的正確性。然而，該方案不滿足公開可驗證性，因此無法解決用戶與云服務平臺因數據正確性所產生的問題。

在多方可驗證計算方案中，Dimitriou[12]提出了一種基于區塊鏈的投票系統，這一系統通過隨機數發生器令牌來確保抗強迫性和無收據性，并且適用于大規模的選舉。區塊鏈的結構確保了可核查性和可擴展性，從而增加了對選舉的可信度，但是不能抗共謀攻擊。Wang 等[13]結合區塊鏈技術實現公平支付，解決了服務器返回錯誤結果的問題，其使用智能合約存儲安全索引并執行搜索。這一方案只支持“與”門訪問策略，表達不靈活。Dorsala 等[14]設計了一種基于證明的可驗證計算公平協議方案，為比特幣和以太坊等區塊鏈系統提供了在其網絡中生成交易的公開可驗證性。該方案大量運用雙線性映射導致效率降低，提高了腳本執行的成本。Zhang 等[15]為了實現去中心化的手續費公平支付方案，采用在區塊鏈中臨時凍結押金的形式，確保用戶只要誠實執行就能得到搜索結果和服務費用。但該方案需要用戶端在驗證結果正確性的過程中進行大量的簽名驗證計算，用戶開銷較大。

基于區塊鏈的可驗證計算方案已有一定的研究基礎，雖然根據區塊鏈技術與可驗證計算技術特征，研究者已提出了多種安全協議方案，但仍未解決云存儲中所面臨的隱私保護和數據傳輸安全問題，以及通過整體數據和單個數據驗證而實現對惡意用戶的追蹤問題。

3 預備知識

3.1 同態哈希函數

3.2 同態加密

同態加密技術[17]可以在密文上進行特定數學運算，并且解密結果等于對應明文進行運算后的結果。在數據聚合、隱私保護等方面有著重要的應用。Enc 表示加密，Dec 表示解密，⊙和⊕分別表示在明文和密文上的運算，同態加密滿足運算滿足同態性質的加密方式統稱為同態加密技術。

加密分為對稱加密和非對稱加密。對稱加密是指加密和解密使用同一個密鑰，這種方式顯著降低了計算開銷；非對稱加密采用公鑰加密、私鑰解密，且基于數學困難問題，加解密操作實現復雜度較大，效率較低，對于資源的占用也較多。本文方案使用對稱隱私同態加密技術對原始數據進行加密，因為該算法加密速度快，容易實現。

4 方案模型

本節將闡述基于區塊鏈的雙重可驗證云存儲方案的系統模型、威脅模型等內容。

4.1 系統模型

本文提出的基于區塊鏈的雙重可驗證云存儲方案系統模型如圖1 所示。數據擁有者將密文和簽名傳至云端，上傳者信息記錄到區塊鏈上，數據使用者可以向挖礦者節點申請驗證總體數據和單個數據的完整性，并實現對惡意用戶的追溯。其中包括5 類參與實體：云服務器（CS,cloud server）、數據擁有者（DO,data owner）、數據使用者（DU,data user）、挖礦者節點（MN,miner node）、區塊鏈（blockchain）。各實體角色及所屬功能介紹如下。

圖1 基于區塊鏈的雙重可驗證云存儲方案系統模型

1) 云服務器。云服務器是第三方不可信的存儲服務器，具有強大的計算能力和巨大的存儲空間來處理和維護數據所有者的數據。在本文模型中，它是函數計算的具體執行者，主要負責存儲、聚合和計算數據擁有者上傳的加密文件和簽名，然后將計算和驗證結果發送給數據使用者。

2) 數據擁有者。數據擁有者擁有原始數據。在數據加密階段，數據擁有者利用流密鑰加密算法對自己的原始數據進行加密；在簽名產生階段，數據擁有者用自己的私鑰和隨機數對文件生成簽名，將密文及簽名上傳給云服務器進行存儲，同時將對應的上傳者信息記錄到區塊鏈中。

3) 數據使用者。數據使用者作為合法用戶，可以向區塊鏈中的挖礦者節點請求對總體數據和單獨數據進行完整性驗證。Du 獲得正確的聚合結果后，向云服務器支付服務費，完成交易。

4) 挖礦者節點。挖礦者節點用于驗證總體數據和單個數據，會嚴格執行本文算法，并對DO 和CS返回驗證結果，以確保隱私數據的完整性和正確性。當正在執行驗證任務的挖礦者節點出現故障時，新的挖礦者節點從備用節點中遞補。

5) 區塊鏈。區塊鏈主要負責鏈上存儲數據使用者上傳的簽名和云服務器上傳的聚合結果，接收授權數據使用者進行完整性驗證。區塊鏈上只需存儲加密文件地址，即可追溯加密文件和上傳此加密文件的數據擁有者。由于區塊鏈是公開的，所有用戶都可以瀏覽和訪問，有效避免數據被非法修改，確保數據安全。

4.2 威脅模型

本文方案中，云服務器是誠實且好奇的，它會遵守協議以及為用戶返回計算和驗證結果，但也可能通過惡意手段利用中間結果或最終結果來推測用戶的隱私數據，給用戶的隱私造成威脅。數據擁有者不是完全可信的，可能出于某些目的偽造或者提供錯誤的密文，不誠實地將數據上傳至云端，或者上傳過程中受到敵手惡意篡改、欺騙攻擊。區塊鏈具有完全可信性，可以引入區塊鏈幫助數據使用者驗證云服務器返回的結果和數據擁有者上傳密文的正確性。區塊鏈只用于記錄上傳者對應信息和聚合結果，不能給區塊鏈上傳任何原始數據。挖礦者節點是誠實可信的，會按照本文算法嚴格執行驗證，并將驗證結果反饋給數據使用者。

5 方案概述

可驗證云存儲方案時序如圖2 所示。首先，數據擁有者使用同態加密技術對數據加密和簽名，多用戶將密文C1,C2,···,Cv和簽名上傳至云服務器。云服務器將上傳各個密文對應的上傳者信息記錄到區塊1～區塊n，將密文聚合結果上傳到區塊0，其次，數據使用者向云服務器請求數據結果，云服務器返回計算結果。最后，數據使用者向挖礦者節點發布驗證總數據任務，挖礦者節點接收驗證任務后，在區塊鏈頭進行總體結果驗證，并返回總數據驗證結果。如果數據正確，云服務器就可以得到服務費，完成交易。如果驗證數據不正確，則把錯誤結果返回給云服務器并終止交易。云服務器接收到錯誤結果反饋后，再次向挖礦者節點發送驗證單個數據信息任務，查詢上傳了錯誤信息的數據擁有者。挖礦者節點收到驗證任務后，分別訪問區塊1～區塊n，再將單個數據驗證結果返回給云服務器。追溯到的惡意用戶將會受到懲罰，并且用戶可拒絕支付服務費用。

圖2 可驗證云存儲方案時序

6 算法構造

本節對具體的基于區塊鏈的雙重可驗證云存儲方案的算法進行詳細介紹。

6.1 數據加解密聚合算法

6.1.1 數據準備階段

本文方案使用流密鑰加密算法對原始數據進行同態加密，因為該算法加密速度快，容易實現，并且在本文中每個數據使用者與云服務器不共享相同的密鑰，因此安全性較高。

1) 密鑰分配。在密鑰分配階段，系統為每個數據使用者廣播由基于密鑰長度可變的流加密算法簇產生的密鑰kn。

2) 計數器rt。為了使云服務器能檢驗數據擁有者上傳的是否是最新數據，每個數據擁有者產生一個計數rt，并對其進行初始化，來保證數據的實時性和抵御重放攻擊能力。

3) 數據加密。數據擁有者L將原始數據mL進行加密后，再上傳至云服務器，保證了數據的隱私性，其加密算法為

6.1.2 云服務器聚合密文

1) 密文聚合處理階段。云服務器將V個數據擁有者上傳的密文通過加密算法進行聚合。由于采用的是加法同態加密，因此不需要對密文進行解密，可以直接對上傳數據進行相關運算。這既降低了計算開銷，也增加了方案的安全性，減少了隱私泄露的風險。其聚合函數為

2) 數據解密階段。云服務器收到數據擁有者上傳的密文后，對其進行解密處理，其解密函數為

6.2 總體驗證

在可驗證計算方案中，單獨驗證每個用戶的密文會導致過多的通信量，所以需要云服務器將每個用戶的密文和簽名聚合，先進行總體驗證工作，具體算法描述如下。

6.2.1 系統建立階段（Setup）

6.2.2 挑戰階段（Challenge）

挖礦者節點檢索文件標簽tl，并使用pkl驗證簽名tl，如果驗證失敗，則終止交易；如果驗證成功，則恢復其namel。

6.2.3 證據生成階段（ProofGen）

6.2.4 數據驗證階段（Verification）

如果式(6)成立，挖礦者節點返回TRUE；否則，返回FALSE，并進行單獨驗證，追溯惡意用戶。

為驗證數據擁有者存儲數據的完整性，式(6)的正確性驗證如下。

6.3 單個驗證

6.3.1 系統建立階段（Setup）

設數據擁有者L的數據有n個數據塊，為

6.3.2 挑戰階段（Challenge）

挖礦者節點檢索文件標簽t，并使用pk 驗證簽名t，如果驗證失敗，則終止交易；如果驗證成功，則恢復其name。

6.3.4 驗證階段（Verification）

如果式(9)成立，挖礦者節點返回TRUE；否則，返回FALSE，并找出惡意用戶。

為驗證數據擁有者存儲數據的完整性，式(9)的正確性驗證如下

7 安全性分析與性能評估

7.1 安全性分析

1) 內容隱私性

本文方案中數據信息存儲時，同態加密的密文具有可操作性，不同的數據擁有者通過密碼技術使用不同的公鑰對數據信息進行同態加密處理后存儲在云服務器，加強了數據的傳輸及存儲安全性。并將聚合密文和上傳者信息存儲在區塊中。上述操作進一步保證了共享內容的隱私性。

2) 可驗證和可追溯性

現有的可驗證云存儲方案由于缺少可信第三方，存在參與者共謀篡改數據的安全隱患。本文方案利用區塊鏈的去中心化為可驗證計算提供了一個可信環境，可以有效避免第三方機構或惡意用戶私自篡改數據的風險。利用區塊鏈的不可篡改性和可溯源性，對數據進行同態哈希后將簽名分布式存儲在區塊鏈上，數據使用者能夠在保證安全的前提下，通過挖礦者節點向區塊鏈發出對云端數據進行雙重驗證的請求，最后得到審查結果，并通過簽名信息對惡意用戶進行追溯和懲罰。

3) 抗共謀攻擊

本文提出的基于區塊鏈的雙重可驗證云存儲方案可以避免共謀。區塊鏈通過密碼學技術為可驗證計算提供了一個可信任的環境，云服務器將數據擁有者的聚合密文結果存儲在鏈上，有效防止了參與者之間共謀，使各個參與者誠實地執行協議。同時，被追溯到的共謀者會因違反協議被扣除高額的擔保押金，而遵守合約比共謀能獲得更高的利益，也消除了參與者共謀的動機。

4) 可擴展性

區塊鏈是一個去中心化的賬本，上鏈的信息共識生成區塊都擁有時間戳可溯源且無法篡改。但由于區塊存儲有限，不能將所有的信息完整的存儲在區塊中，為了保證存儲數據正確性的快速驗證，本文方案將完整密文存儲在云服務器中，鏈上區塊記錄上傳者信息和存儲聚合結果便于驗證和追溯，也解決了區塊存儲容量有限的問題。

7.2 性能評估

1) 計算代價

本文方案中的計算代價主要由生成驗證階段和數據驗證階段產生。計算代價如表1 所示，其中，V為驗證的數據擁有者個數，M為在G1上的乘法，E為指數，P為雙線性映射，H為單項哈希函數。

表1 計算代價

2) 通信量

3) 驗證算法的有效性

本文的驗證算法基于概率模型。設被篡改了b塊，每次驗證n塊數據中的c塊，隨機變量X表示檢測到數據被篡改的塊數，則驗證一次檢測到數據被篡改的概率至少為設隨機變量Z表示驗證a次檢測到數據被篡改的塊數，則共挑戰了w=ac塊，即至少有的概率檢測到數據被篡改。

假設n塊數據中有0.7%的數據被篡改，即同理得b=0.01n和b=0.09n。驗證算法的有效性如圖3 所示，P{Z≥1}與n無關。當c=n，即驗證每一塊數據時，本文算法也可以100%證明數據完備性。

圖3 驗證算法的有效性

通過對現有的可驗證計算方案進行對比分析發現，文獻[9,12]方案均是基于區塊鏈進行可驗證計算研究，不需要依賴可信第三方，但都不具有可追溯性。文獻[9]方案實現了個人健康檔案共享過程中數據的安全性，提高了患者敏感數據的隱私性，但該方案的計算負擔較高，不具有可擴展性；文獻[12]提出了一種基于區塊鏈的投票系統，系統中區塊鏈的附加結構確保了普遍的可驗證性和可擴展性，從而最大限度地減少了對可信第三方的依賴，并且適用于大規模的選舉，但是不能抗共謀攻擊。

文獻[19-20]方案均實現了數據可驗證性。Buccafurri 等[19]提出了一種在云環境中驗證查詢結果的確定性方法，該方法實現了用戶對結果的完整性的驗證。數據所有者驗證第一個標記的時間值，計算每個元素的MAC 屬性，將其與云服務器返回的值進行比較，以便驗證從第一個標記開始的每個鏈接。該方案在一定程度上減小了插入空間和時間的復雜度。武朵朵等[20]提出了一種針對矩陣乘積的可驗證外包計算方案。但文獻[19-20]方案都不具有可擴展性和可追溯性。

文獻[21]提出了一個隱私保護框架，將患者健康記錄存儲在云輔助環境中，其性能基于適應度、隱私性和實用性等性能指標，但不能對數據正確性進行驗證并追溯惡意用戶。

本文方案首先保證了數據機密性和傳輸安全性，實現了數據的隱私保護；其次利用區塊鏈的不可篡改性和可溯源性，實現了云端數據完整性的雙重驗證，有效避免了數據被非法用戶篡改的風險，并可對惡意用戶進行追溯。方案對比如表2 所示。

表2 方案對比

8 結束語

區塊鏈可以提供極高的透明度、分布式可驗證性和不可篡改性。利用區塊鏈技術和可驗證計算技術，可對上傳到云端的數據的完整性進行檢驗，有效避免了數據被非法用戶篡改的風險?；趨^塊鏈上述功能，本文方案采用同態加密技術對數據信息進行加密，保證數據機密性和傳輸的安全性，實現數據的隱私保護；另外，使用同態哈希函數，數據使用者能夠在保證安全前提下可對云端數據進行雙重驗證，并可對惡意用戶進行追溯。區塊鏈的不可篡改、去中心化及匿名性等特點與可驗證計算結合，可以在計費系統、醫療敏感信息共享等領域得到很好的具體應用。將區塊鏈與可驗證計算相結合，應用于具體實際場景中解決現存在的關鍵問題，是下一步研究工作的重點。