用戶可實時撤銷的云存儲數據完整性驗證方案

馬海峰，王俊華+，薛慶水，時雪磊，張 繼，楊家海

(1.上海應用技術大學 計算機科學與信息工程學院，上海 201418；2.清華大學 網絡科學與網絡空間研究院，北京 100084)

0 引 言

國內外研究者對云端的數據安全問題進行了大量的研究[1]，數據安全主要包括數據完整性、機密性和不可否認性[2-4]，其中完整性是當前云數據安全的重要研究內容之一[5-8]。但是大多數現有方案都只針對單個用戶設計數據完整性驗證方案[9-12]，并沒有考慮到現實情境中企業的數據管理員離職需要撤銷的問題。張新鵬等[13]提出一種基于代理重簽名的實現用戶撤銷的云存儲數據驗證方案，雖然可以撤銷用戶，但是卻無法實現實時用戶動態可撤銷。楊小東等[14]提出了一種基于代理重簽名的云端數據完整性驗證方案可實現用戶撤銷，但也無法實現用戶實時動態撤銷，且無法解決合謀問題[15]。大多數支持用戶撤銷的方案存在以下問題：①用戶撤銷過程設計的簽名不滿足靈活的任期調度；②由不可信的云服務器做代理重簽名存在安全隱患；③存在惡意用戶偽造重簽名密鑰對數據進行重簽名的風險。

基于對以上問題的思考，本文提出了一種用戶可實時撤銷的云存儲數據完整性驗證方案，具有以下特點：

(1)為用戶引入一個管理屬性參與密鑰設計可以滿足用戶靈活的任期調度，方便實現該用戶實時撤銷。

(2)將用戶撤銷過程中的代理重簽名過程外包給一個具有可信執行環境的代理服務器，在代理服務器的可信執行環境內執行重簽名算法，使用戶可以遠程安全地對云中數據進行簽名。

(3)代理服務器的可信執行環境收到重簽名密鑰后會進行驗證，避免重簽名密鑰被偽造。

(4)方案中設計的重簽名密鑰可以抵抗已撤銷用戶與云存儲服務商合謀攻擊。審計證明中使用的隨機掩碼技術可以有效抵抗已撤銷用戶與第三方審計者的合謀攻擊。

1 方案詳述

1.1 系統模型

該方案存在4個實體：用戶(User，U)、云存儲服務商(cloud storage provider，CSP)、第三方審計者(third party auditor，TPA)、代理服務器(proxy server，PS)，系統模型如圖1所示。

圖1 系統模型

User：用戶是企業雇來管理數據的人員，初始用戶負責將數據分塊并上傳到云服務器，由于某些原因用戶可能會離職或調崗，這時就需要新用戶來代替上一任用戶接著管理存儲在云端的數據。為了減少用戶的計算和通信壓力，企業將會雇傭一個第三方審計者代替用戶檢驗云中存儲數據的完整性；

CSP：具有優質的存儲和計算能力，為企業提供外包數據存儲服務。如果有利益需要，云存儲服務器有可能會損壞企業云中存儲數據的完整性，所以存儲在云服務器上的數據的完整性需要被不定期檢驗；

TPA：第三方審計者是一個獨立可信的實體，受雇于企業，并向用戶反饋云中數據的完整性檢驗結果；

PS：代理服務器是用來做用戶撤銷過程中的重簽名，代理服務器中的可信執行環境具有獨立的存儲和計算空間，重簽名的計算過程可以在可信執行環境中進行，由于可信執行環境的特殊性質可以確保重簽名階段的安全。

方案主要分為重簽名階段和審計階段，模型描述如下：

(1)重簽名階段：企業的初始數據管理員作為方案初始用戶U0，U0負責將企業數據分塊并簽名上傳至云服務器。如果初始用戶U0由于某種原因工作進行變動，需要將U0從云存儲系統中撤銷，更換新用戶U1繼續管理企業數據，否則云端存儲數據將可能面臨安全威脅。本方案在設計用戶公私鑰對時引入一個管理屬性，參與數據塊標簽的計算，用戶需要撤銷時企業會在用戶離職后公開此用戶的管理屬性，使代理服務器計算現任用戶的重簽名時不受上一任用戶的影響，可以實時撤銷上一任用戶。 Ut-1離職后Ut將計算重簽名密鑰并將自己的管理屬性發送給代理服務器。利用可信執行環境可以實現敏感數據的隱私計算的特殊性，由代理服務器利用重簽名密鑰代替Ut在其可信執行環境里完成重簽名計算，然后將重簽名發送至云服務器，由云存儲服務商將云端數據的上任用戶簽名換成重簽名完成簽名替換；

(2)審計階段：用戶要驗證云端數據完整性時會向第三方審計者發送審計請求，第三方審計者會生成審計挑戰發送給云存儲服務商，而后云存儲服務商會根據審計請求生成相應的審計證明返回給第三方審計者，第三方審計者會根據審計證明判斷等式是否成立，從而判斷云端存儲的企業數據是否完整，最后把完整與否的結果反饋給用戶。

1.2 安全模型

在代理服務器完全可信的情況下，主要分析3種攻擊方式，分別為偽造攻擊、重放攻擊、合謀攻擊。

(1)偽造攻擊：是指在代理重簽名生成階段，可能存在惡意的云用戶由于利益或其它原因偽造重簽名密鑰對遠程的企業數據進行重簽名導致數據完整性驗證失敗。

(2)重放攻擊：是指在驗證階段，第三方審計者可能會通過與云存儲服務商的頻繁交互，從交互信息中獲取云中數據隱私。

(3)合謀攻擊：是指已撤銷用戶與云存儲服務商合謀或者已撤銷用戶與第三方審計者合謀獲取遠程隱私數據。

1.3 具體方案

(1)重簽名階段：

SigGen：企業待存儲文件F有一個TagF標簽，包含文件名和文件其它屬性，初始用戶U0把文件F分成n個小塊，即F={m1，m2，…，mn}， 初始用戶會計算每一個數據塊mi的簽名，如式(1)所示

(1)

所有數據塊的簽名集合是Φ(0)={σ1，σ2，…，σn}。 初始用戶U0會將 {F，Φ(0)，TagF} 發送至CSP，然后把數據塊簽名集合Φ(0)發送給PS。

ReKeyGen：倘若用戶Ut-1由于某種原因離職或調崗需要從云存儲系統中撤銷，將會有新的用戶Ut來接替Ut-1的數據管理工作，企業同樣會給用戶Ut分發一個相應的管理屬性A(t)， 同時公開已撤銷用戶Ut-1的管理屬性A(t-1)， 此時新用戶上任需要計算重簽名密鑰rkt-1→t， 便于后續重簽名的計算，計算過程如式(2)所示，把重簽名密鑰rkt-1→t與新用戶管理屬性A(t)發送給PS

rkt-1→t=(pkt-1)1/skt=gxt-1h(A(t-1))/xth(A(t))

(2)

ReSiggenGen：PS收到重簽名密鑰rkt-1→t后，為了避免惡意人員偽造重簽名密鑰造成云中存儲數據面臨安全威脅的問題，需要在重簽名計算之前對重簽名密鑰做一次驗證，如利用雙線性映射的性質判斷式(3)等號兩邊是否相等

e(rkt-1→t，pkt)=e(pkt-1，g)

(3)

(4)

同時在PS的可信執行環境中對已撤銷用戶的公鑰和新上任用戶生成的重簽名密鑰進行重新處理，如式(5)和式(6)所示

(5)

(6)

(2)審計階段：

R=ur∈G1，μ=μ′+rh(R)

(7)

計算驗證數據塊標簽集合為式(8)和式(9)

(8)

(9)

CSP把 {σ，μ，R，{af}f∈[1，t]，{bf}f∈[1，t]} 作為審計證明發給TPA進行驗證。

ProofVerify：TPA收到CSP發來的審計證明后，會利用雙線性映射的性質驗證以下式(10)～式(12)是否成立，如果全部成立，說明存儲在云中的數據是完整的，輸出“Success”；否則說明云中數據的完整性遭到破壞，輸出“Failure”。最后將輸出結果返回給用戶

e(σ，g)=e(uμ·R-h(R)·∏i∈{1，c}H1(mi)vi，a1)

(10)

e(af，g)=e(af+1，bf)

(11)

e(at，g)=e(pkt，bt)，f∈[0，t-1]

(12)

算法流程如圖2所示。

圖2 算法流程

2 安全性分析

2.1 正確性分析

審計存儲在云端的數據完整性是通過驗證完整性等式是否成立來判斷的，即驗證式(10)～式(12)是否成立，驗證等式過程如下

(13)

對于所有的f∈{1，2，…，t}， 有

(14)

(15)

重簽名密鑰驗證等式(3)過程如下

e(rkt-1→t，pkt)=e(gxt-1h(A(t-1))/xth(A(t))，gxth(A(t)))=
e(gxt-1h(A(t-1))，g)=e(pkt-1，g)

(16)

綜上所述，本文方案是正確的。

2.2 偽造攻擊

定理1 在重簽名生成階段，惡意人員無法使用偽造的重簽名密鑰通過重簽名密鑰驗證。

證明：傳統方案中如果企業向代理服務器發送的重簽名密鑰是其它惡意云用戶U′t偽造的重簽名密鑰rkt-1→t′， 代理服務器直接用偽造的重簽名密鑰對數據塊進行代理重簽名，這樣惡意云用戶就能將遠程數據簽名偽造成自己的簽名，會導致審計階段完整性驗證失敗。為了避免此類攻擊，本方案在代理服務器收到重簽名密鑰后會對其進行驗證。如果收到惡意云用戶U′t偽造的重簽名密鑰rkt-1→t′將判斷等式e(rkt-1→t，pkt)=e(pkt-1，g) 是否成立，如果成立，說明重簽名正確有效，否則是無效的，代理服務器將反饋給企業。驗證過程為

e(rkt-1→t′，pkt)=e(g(xt-1h(A(t-1)))′/(xth(A(t)))′，gxth(A(t)))≠
e(pkt-1，g)

(17)

綜上所述，在重簽名生成階段，惡意云用戶偽造的重簽名密鑰無法通過重簽名密鑰驗證，從而防止了惡意云用戶的偽造攻擊，保證重簽名密鑰正確有效。

2.3 重放攻擊

定理2 在驗證階段，TPA無法從與CSP交互過程中獲取到云端的企業數據。

證明：在驗證的交互階段，TPA有可能從CSP返回的審計證明里的μ或σ得到關于證據μ′的信息，從而獲取到云端的企業數據，分析如下：

(1)假設TPA想從μ中獲取μ′， 分析如下：

已有方案里審計挑戰的線性組合是μ=μ′=∑i∈Cmivi， 當TPA每次都對同樣下標的數據塊進行驗證，經過c次，TPA就能得到c個mi為未知數的線性方程，組成完整的線性方程組，解開方程組就能得到企業數據。為防止此攻擊，本方案采用隨機掩碼技術隱藏證據μ′， 依據DL困難性假設，在G中計算DL問題是及其困難的，故依據u，R∈G1計算r是比較困難的。所以，TPA通過求解r來獲取μ′是比較困難的，從而抵御了重放攻擊。

(2)假如TPA想從審計證明中的σ獲取證據μ′，σ的計算過程如下

(18)

因為TPA沒有辦法得到歷任用戶的私鑰，所以TPA無法從σ中獲取uμ′的信息和證據μ′。

綜上所述，在驗證過程，TPA在與CSP交互的過程中沒有辦法從CSP發來的審計證明中獲取到用戶任何的真實數據，所以在驗證過程很好地保護了數據的隱私。

2.4 合謀攻擊

定理3 本方案能夠抵御撤銷用戶和CSP、撤銷用戶和TPA的合謀攻擊。

證明：

(1)假設已撤銷用戶與CSP合謀，分析如下：

(2)假設已撤銷用戶與TPA合謀，分析如下：

假設初始用戶U0和TPA合謀，把其私鑰sk0發給TPA，由定理2中σ計算過程可知，TPA依舊無法從中獲取到證據μ′的有關信息。給定uμ′=φ∈G， 基于離散對數難題，由u和φ， 求解μ′是困難的，其它已撤銷用戶與TPA合謀一樣無效，故本方案很好地避免了已撤銷用戶與TPA合謀攻擊。

綜上所述，無論企業已撤銷用戶將其撤銷前的密鑰泄露給CSP還是TPA，CSP和TPA都無法從中計算出數據的有用信息，所以本文方案可以有效抵抗企業已撤銷用戶和CSP、已撤銷用戶和TPA的合謀攻擊，進一步保證了云中存儲數據的安全。

3 性能分析

本節首先對方案的各項開銷進行分析，后與文獻[13-15]進行比較。分析中使用的符號及含義見表1。

表1 符號及含義

3.1 通信開銷

方案的通信主要集中在重簽名發送階段及審計過程中TPA與CSP的交互。PS將重簽名發送至CSP，通信量為3n|G|， TPA與CSP交互過程中，TPA發送挑戰至CSP，通信量為c(|m|+|v|)， CSP返回證明的通信量為 (2d+1)|G|+c|m|+|q|。

故本方案通信開銷為(3n+2d+1)|G|+2c|m|+c|v|+|q|。

3.2 計算開銷

方案的計算主要集中在計算重簽名及審計過程。計算重簽名密鑰，計算量為 |z|， 計算重簽名，計算量為 (2d+1)n|z|； CSP計算審計證明，計算量為(c+1)|z|， TPA驗證證據，計算量為2|e|。

故本方案計算開銷為 (2dn+n+c+2)|z|+2|e|。

3.3 方案對比

本方案與文獻[13-15]在通信、計算開銷和性能方面進行了分析比較，見表2。

如表2所示，本文方案因引入一個代理服務器通信開銷較文獻[13]而言增加了重簽名的通信量3n|G|，但是文獻[13]無法抵抗已撤銷用戶與TPA合謀攻擊，無法實時動態撤銷用戶并確保重簽名密鑰安全，而且計算開銷比本文方案計算開銷大。同理本文方案通信開銷較文獻[14]也稍有增大，文獻[14]同樣無法抵抗已撤銷用戶與TPA合謀，無法實時動態撤銷用戶并確保重簽名密鑰安全；而且文獻[14]需要計算3次雙線性對運算，本文方案只需要計算2次。本文方案比文獻[15]的通信開銷增大 (3n-1)|G|， 計算開銷相同，但是文獻[15]無法實現實時動態撤銷用戶，也無法保證重簽名密鑰安全。與其它3個方案相比，本文方案同時滿足抵抗已撤銷用戶與CSP和TPA合謀攻擊，實時動態撤銷用戶，支持數據隱私保護，還可以確保重簽名密鑰安全，所以本文方案更具有理論意義和實用價值。

3.4 實驗分析

通信開銷是指本方案中各實體所有階段的總通信開銷，在進行10次實驗的情況下，結果取平均值。計算開銷也采用了同樣的方法進行取值。本文方案與傳統方案的通信開銷、計算開銷對比如圖3所示。

圖3 通信與計算開銷對比

隨著數據塊數的增加，c的取值也在增加，在數據塊數n為500時取c為100，n為1000時取c為200，依次遞增。由圖3(a)可知，隨著數據塊數的增加，本文方案比傳統方案在通信開銷計算上的優勢逐漸增大，圖3(b)隨著數據塊數的不斷增大，本文方案明顯計算開銷更小，而且優勢更明顯。

本實驗也將傳統方案與本方案撤銷用戶所花費的時間開銷上進行了對比，如圖4所示。

圖4 時間開銷對比

傳統方案的用戶撤銷是上任用戶撤銷之后，新任用戶需要重新從云端下載原始數據進行簽名后再次上傳至云端，所以每增加一個用戶撤銷所消耗的時間基本上是恒定的。本方案的用戶撤銷是用戶撤銷之后，由代理服務器代替新任用戶進行重簽名，代理服務器只將重簽名上傳至云端即可，云端存儲的數據并不變動，所以每增加一個用戶撤銷的時間消耗也基本上也是恒定的。

4 結束語

本文通過引入一個代理服務器并結合重簽名技術提出一種用戶可實時撤銷的云存儲數據驗證方案，不僅實現了企業的用戶可以根據實際任期實時撤銷，而且有效抵抗已撤銷用戶與第三方審計者、已撤銷用戶和云存儲服務商之間的合謀攻擊，支持云端數據的隱私保護，利用代理服務器的可信執行環境確保了重簽名階段的信息安全。正確性與安全性分析結果表明，本文提出的方案是切實可行的，實驗分析結果表明，本方案的效率確實比傳統方案高。后續的研究工作將繼續改進本方案，減少代理重簽名計算的輔助信息，以更加降低通信和計算成本。