身份加密多云多副本完整性審計協議*

張 逢,文 斌,閆一非,曾昭武,周 偉

(1.海南師范大學信息科學技術學院,海南 海口 571158;2.海南師范大學云計算與大數據研究中心,海南 海口 571158; 3.數據科學與智慧教育教育部重點實驗室(海南師范大學),海南 海口 571158)

1 引言

隨著5G、人工智能、云計算和物聯網等技術的融合創新,數據存儲需求迅速增加。用戶將數據外包給遠程云存儲服務器,但數據的安全性和計算可信度取決于云存儲服務器的信譽。然而,數據可能泄露或丟失[1],傳統的完整性審核技術在云環境中并不適用。為了保證外包數據的完整性,Juels等人[2]提出了“可檢索性證明”PoR(Proof of Retrievability)方案,該方案在數據中嵌入哨點值以進行數據完整性審計。Ateniese等人[3]引入了可證明數據擁有PDP(Provable Data Possession)的概念,并引入了第三方審計TPA(Third-Party Auditor)來驗證公共場景中數據的正確性,然而這些操作不支持數據動態性。為了支持數據動態性,Ateniese等人[4]提出了第一個支持部分數據動態性的PDP方案。隨后,許多數據完整性審計方案專注于支持完整的數據動態。Wang等人[5]開發了一種基于默克爾哈希樹MHT(Merkle Hash Tree)的方法,以支持公共審計和全面的數據動態。然而,如果塊索引未得到正確性驗證,惡意云存儲服務器可以通過選擇另一個塊及其有效性證明來欺騙云用戶。之后,Barsoum等人[6]提出了第一個基于改進的MHT的動態多副本PDP方案,稱為基于樹的多副本PDP,即TB-PMDDP(Tree-Based Provable Multi-copy Dynamic Data Possession)。然而,該方案不驗證塊的位置,導致無法抵抗替換攻擊。為了解決這個問題,Liu等人[7]提出了一種基于MHT的新型認證數據結構,解決了經典MHT中塊索引缺乏認證的問題。但是,此方法需要單獨驗證所有副本以查找損壞的副本,導致計算和通信開銷隨著副本數量的增加而線性增加。Shen等人[8]設計了一種結合雙鏈接信息表和位置數組的動態結構,以有效地支持數據動態,但未考慮數據新鮮度。

為了增強數據的可靠性和持久性,Curtmola等人[9]提出了基于RSA(Rivest-Shamir-Adleman)標簽的多副本解決方案,但僅適用于靜態文件。為了識別損壞的副本,Barsoum等人[10]開發了一種不支持動態操作的多副本解決方案。Zhu等人[11]提出了協作PDP方案,用于在多云環境中檢查數據完整性。該方案指定一個云存儲服務器作為組織者,通過與其他云服務提供商的交互來完成審計過程。但是,該方案存在一個缺陷,即使所有外包數據都受到損害,惡意云服務提供商仍然可以生成有效證明。He等人[12]提出了一個專門為多云存儲設計的可公開驗證的批量審計方案。該方案也引入了組織者,在不同的云服務提供商之間分發數據文件,并協助分配質詢請求,并在審計階段合并不同提供商生成證明。Wang[13]提出了基于身份的分布式PDP方案ID-DPDP(IDentity-based Distributed Provable Data Possession),其中組織者負責轉發塊標簽并向云服務提供商發送請求,然后在多云存儲場景中組合來自不同提供商的證明。然而,Peng等人[14]發現ID-DPDP方案未能實現其聲稱的安全目標,因為即使所有數據都被丟棄,云服務提供商仍然可以生成有效證明,隨后提出了一個新的解決方案來解決這個問題。然而,Lan等人[15]指出,在文獻[14]的解決方案中,惡意云服務提供商仍然可以在沒有完整的外包數據的情況下生成有效證明,從而引入安全漏洞。在文獻[15]中他們提供了一個修改方案來解決該問題。此外,Li等人[16]將多副本存儲策略與區塊鏈技術相結合,引入了適用于分布式存儲服務的可公開驗證結構,解決了與集中存儲相關的單點故障問題。Zhou等人[17]利用隨機掩碼技術生成可區分的副本塊,并提出了一種具有改進Merkle哈希樹的多副本數據完整性審計方案,用于動態操作。然而,他們的完整性審計方案M2HT(Multicopy Merkle Hash Tree)并沒有專門識別哪個副本塊已損壞。Li等人[18]提出了一種基于身份的多云存儲多副本PDP方案,然而該方案需要向不同的云服務提供商交付不同的副本,從而導致額外的存儲和通信開銷。多副本方案中大多數PDP協議都是基于PKI(Public Key Infrastructure)技術,這給證書管理成本帶來了沉重的負擔。

本文基于文獻[19]的身份加密,提出了一種新的基于身份的多云多副本PDP協議IDM2PDP(IDentity-based Multi-cloud Multi-copy Provable Data Possession)。該協議基于身份加密來簡化證書管理,并設計了一種新的安全數據結構,稱為雙層默克爾哈希樹D-MHT(Double Merkle Hash Tree)。D-MHT不僅支持數據的動態修改,而且還可以保證副本的一致性和新鮮度,且可以定位損壞的數據塊,便于通過其他副本對損壞的數據塊進行恢復,提高存儲的健壯性。IDM2PDP還支持同一用戶多文件的批處理審計。每個云存儲服務器都維護一個D-MHT。D-MHT的根哈希與其對應的云存儲服務器的唯一標識符進行關聯。在總簽名上,所有的根哈希及其對應的云服務提供商的唯一標識符與秘密時間戳、文件唯一標識符、用戶的唯一標識符進行關聯,以確保文件與D-MHT之間的關聯性和標簽的新鮮度,從而確保根哈希的標簽無法被生成或替換。性能評估和實驗評估結果表明,相對于PDP-D[18],IDM2PDP效率更高、計算成本更低。

2 預備知識

2.1 符號說明

本文需要用到一些符號說明如表1所示。

Table 1 Symbols description表1 符號說明

2.2 雙線性配對

考慮2個q階的乘法循環群G和GT,其中q是素數。e:G×G→GT為雙線性映射,滿足如下性質:

(2)非退化性:?P,Q∈G,e(P,Q)≠1;

(3)可計算性:?P,Q∈G,存在一種有效的算法可以計算e(P,Q)。

2.3 CDH假設

3 系統模型和安全模型

3.1 系統模型

本文所提出的方案IDM2PDP的系統模型如圖1所示,該模型包括5個實體:

(1)私鑰生成器PKG(Private Key Generator):負責生成系統的公共參數、主公鑰、主密鑰以及數據所有者的私鑰。

(2)數據所有者DO(Data Owner):指擁有大量數據文件但資源有限的個人、公司或商業組織等實體。

(3)第三方審計(TPA):指對DO數據進行完整性審計的實體,減輕了DO數據審計的計算負擔。

(4)云存儲服務器CSS(Cloud Storage Ser- ver):指具有足夠計算能力和無限存儲空間的實體,負責保存外包數據。

(5)云管理服務器CMS(Cloud Manage Ser- ver):在存儲文件副本時,DO將文件副本發送給CMS,CMS根據DO的請求,將不同的副本分發給目標CSS。需要審計文件完整性時,DO委托TPA,TPA將挑戰發送給CMS,CMS將挑戰分發給目標CSS。收到所有CSS返回的證明后,CMS聚合完整證明并回復給TPA。

Figure 1 System model圖1 系統模型

本文假設CSS和CMS是半可信實體,它們能遵循協議,但在數據損壞的情況下可能向TPA提供虛假信息。TPA也被認為是半可信實體,能誠實地執行數據完整性驗證并將真實結果返回給DO,但對DO的數據有好奇心。

3.2 定義

定義1(IDM2PDP方案) 該方案包括9個多項式時間算法:Setup,Extract,CopyGen,TagGen,AuthGen,ChalGen,ProofGen,ProofAgg,ProofVerify。

(1)Setup(1λ):該算法由PKG執行,輸入安全參數λ,輸出主密鑰和系統公共參數。

(2)Extract(param,x,Uid):該算法由PKG完成,輸入主秘鑰x、DO的唯一標識Uid和系統公共參數param,輸出DO私鑰sk。

(3)CopyGen(F,N):DO執行該算法生成文件副本。輸入原始文件F和備份數N,輸出F的副本集D={Fi}1≤i≤N。

(4)TagGen(D,σid,Uid,Fid):該算法由DO運行,為每個副本Fi生成標簽。輸入為副本集D={Fi}1≤i≤N、DO密鑰σid、用戶唯一標識Uid和文件唯一標識Fid。輸出為標簽集θ={ψi}1≤i≤N,其中ψi={ψij}1≤j≤n,以及文件簽名sigF和所有D-MHT樹根的總簽名sigR。

(5)AuthGen(TPAid,Fid,σid):該算法由DO運行,創建TPA的授權信息。輸入TPA的唯一標識TPAid和DO的密鑰σid,生成挑戰信息Chal=(num,k1,k2)、授權信息auth,并計算授權簽名sigauth,用于防止非法TPA進行完整性審計。

(6)ChalGen(sigauth,auth):該算法由TPA執行,發送Chal和auth及其簽名sigauth給CMS。

(7)ProofGen(FSc,TSc,Chal):該算法由CSS執行,設其唯一標識符為Cidc。輸入為文件副本集FSc、對應標簽集TSc和Chal。輸出為完整性證明Pc。

(8)ProofAgg({Pc}(1≤c≤L)):由CMS運行,聚合所有CSS的完整性證明。輸入每個CSS的完整性證明集合{Pc}(1≤c≤L),其中L為CSS的個數,輸出最終完整性證明Pf。

(9)ProofVerify(Uid,h,Chal,Pf):TPA執行該算法,通過驗證完整性證明Pf檢驗數據的完整性。輸入為挑戰Chal、DO的唯一標識Uid、文件的秘密信息h和完整性證明Pf。只有當Pf通過驗證時才會輸出1,否則輸出0。

3.3 安全模型

定義2一個IDM2PDP協議是安全的,如果對于任何概率多項式時間PPT的對手A在一組文件塊上贏得IDM2PDP游戲的概率是可以忽略的。

對手A和挑戰者C之間的IDM2PDP博弈可以描述為:

(1)初始階段:挑戰者C運行Setup(1λ),將(param,mpk)發送給對手A,并保留主密鑰msk。

(2)副本生成階段:C執行CopyGen獲取原始文件的所有副本。

(3)查詢階段:對手A自適應地向挑戰者C發出若干個不同的查詢:

①哈希查詢:對手A隨時進行哈希函數查詢。挑戰者C用相應的哈希值回應對手A。

②標簽查詢:對手A以隨機方式進行塊標簽對查詢。挑戰者C接收到對手A的查詢mij后,執行TagGen計算標簽ψij并發送回對手A。

(4)證據驗證:對手A執行ProofGen和ProofAgg,為文件中任何身份為ID的塊生成完整性證明。對手A將證明發送給挑戰者C。挑戰者C執行ProofVerify算法檢查這些證明,并將結果返回給對手A。

(5)偽造階段:對手A根據Chal指示的數據塊,計算并返回完整性證明Pf。若通過證明,則表示對手A在IDM2PDP博弈中獲勝。

3.4 IDM2PDP方案

(1)Setup(1λ):PKG生成主密鑰和系統公共參數。

③PKG發布系統參數param=(G,GT,q,g,e,H1,H2,Y,f,π)。

(2)Extract(param,x,Uid):PKG計算該算法并將私鑰發送給DO,DO檢查收到的私鑰的有效性。

②DO使用TagGen驗證私鑰,若通過驗證gσid=Rid·YH2(Rid,Uid),則接受skid。

Figure 2 Construction process of D-MHT圖2 D-MHT構建過程

(6)ChalGen(sigauth,auth):TPA發送Chal=(num,k1,k2)和auth及其簽名sigauth給CMS。CMS收到后,首先驗證TPA的合法性。若通過驗證,則根據Fid搜索對應的Tab,并將Chal發送到每個CSS。假設Cidc存儲的副本集及其對應的標簽集為FSc和TSc,副本數量為βc,對應的副本索引為ISc。

(1)

(2)

(3)

(4)

并回復證明Pc={σc,{μck}(1≤k≤s),Ωc}給CMS,其中Ωc=(Cidc,H(mwtt),AIsub(wt),AImaster(t))t∈P,AIsub(wt)是第t棵子樹的第wt節點的輔助信息,包括從第wt個節點生成到根節點rj所需的相關節點信息。同樣,AImaster(t)是主樹中第t個節點的輔助信息。

(9)ProofVerify(Uid,h,Chal,Pf):收到Pf后,TPA首先通過式(5)檢查文件簽名sigF是否為DO的有效簽名。如果無效,TPA拒絕證明并告知DO。

(5)

如果簽名有效,則TPA恢復使用U、Rid和st。接下來TPA使用{Ωc}1≤c≤L驗證所有副本是否一致。首先使用(H(mwtt),AIsub(wt))生成子樹的根rj,再使用(rj,AImaster(t))生成對應于Cidc的主樹根Rc。同理獲得其他Cid的主樹根,并使用Cidc和Rc計算B=H(Cidc‖Rc){1≤c≤L},最后計算HR=H(B‖Fid‖Uid‖st)。然后通過式(6)驗證簽名:

(6)

(7)

如果CMS誠實地響應Pf,則所提出的協議是準確的。另一方面,如果已刪除任意文件塊或未對文件塊進行任何修改,則式(7)將不成立。

3.5 數據動態性

3.5.1 修改

對于文件F={mj}1≤j≤n,假設在st′時,將mj修改為m′j,DO執行以下操作:

(2)CMS根據Tab,將新的數據塊和標簽分發給涉及到的Cidc。CSS收到后執行以下操作:

①將mij替換為m′ij。

②將ψij替換為ψ′ij。

③將H(mij)替換為H(m′ij),生成新的第j個子樹,并生成新的主樹根R′c。

④回復Pc={rj,AImaster(j),Rc}給CMS。

(3)CMS將Pf=({Pc}1≤c≤L,sigR,sigF,Rid,U)返回給DO。 當DO收到Pf時,首先根據式(5)檢查文件簽名sigF的有效性,接著根據式(6)驗證每個Cidc的D-MHT根Rc。如果通過驗證,DO根據Tab生成每個Cidc對應的第j棵子樹,并得到子樹根r′j。然后使用{r′j,AImaster(j)}計算每個Cidc的新主樹根R′c,并利用所有主樹根生成新簽名sig′R=H(B′‖Fid‖Uid‖st′)σid,其中B′=H(Cidc‖Rc′){1≤c≤L}。完成所有主樹根的簽名后,DO更新文件F的簽名。更新h中的st為st′,并計算sig′F=(H1(h))σid作為文件F的簽名。DO將{sig′R,sig′F}發送到CMS。最后DO對新塊執行默認的完整性審核協議。如果驗證通過,則DO可以從其本地系統中刪除{m′ij,sig′F,sig′R}。

3.5.2 插入

假設DO在st′時刻插入一個數據塊m′j,必須執行以下操作:

(2)CMS根據Tab將新的數據塊和標簽分發給相關的Cidc,CSS收到后執行以下操作:

①生成新塊組成的新子樹,計算新子根r′j,將其于原先位置的根rj作為兄弟葉節點,并生成主樹的新根哈希R′c(參見圖3)。

②向CMS回復Pc={rj,AImaster(j),Rc}。

Figure 3 Insertion process of a new data block m′j in D-MHT圖3 D-MHT中新數據塊m′j的插入過程

(3)CMS將證據Pf=({Pc}1≤c≤L,sigR,sigF,Rid,U)返回給DO。當DO收到Pf時,首先根據式(5)檢查文件簽名sigF的有效性;接著再根據式(6)驗證每個Cidc的D-MHT的根Rc。如果驗證通過,DO根據Tab生成每個Cidc對應的第j棵子樹,得到子樹根r′j;然后使用{r′j,AImaster(j))}計算每個Cidc的新主樹根R′c,并利用所有主樹根生成新的簽名sig′R=H(B′‖Fid‖Uid‖st′)σid,其中B′=H(Cidc‖R′c){1≤c≤L}。完成所有主樹根的簽名后,DO更新文件F的簽名。將h中的st更新為st′,并計算sig′F=(H1(h))σid作為文件F的簽名。DO將{sig′R,sig′F}發送到CMS。最后DO對新塊執行默認的完整性審核協議。如果驗證通過,則DO可以從其本地系統中刪除{m′ij,sig′F,sig′R}。

3.5.3 刪除

對于文件F={mj}1≤j≤n,若在系統時間st′刪除mj,DO需執行以下操作:刪除的最初幾個步驟類似于插入的。數據刪除消息為(D,j),其中D特指“Deletion”。每個Cidc從其主樹中刪除第j棵子樹。父節點的相對索引值和哈希值也會更新。之后的所有的刪除步驟與插入步驟類似,故在此省略。

4 安全性分析

定理1(正確性) 在IDM2PDP方案中,如果DO、授權的TPA、CMS和CSS在完整性審計過程中表現誠實,TPA就能驗證數據的完整性。

證明具體來說,證明IDM2PDP的正確性等價于證明式(7)成立。具體證明過程如式(8)所示:

(8)

□

根據式(8)可以確保式(7)的正確性。

定理2(安全性) 在IDM2PDP方案中,未經授權的實體無法在審計過程中從收集的信息中獲取DO的任何數據內容。

證明假設哈希函數是抗碰撞的,所選簽名算法是安全的。

(1)單個標簽是不可偽造的,因為沒有DO的秘密信息st。

(9)

與實際證明的式(10)進行比較,至少有一個μk′=μk。

(10)

□

定理3(支持授權審計) 在IDM2PDP方案中,若TPA未經DO授權,或授權已經逾期,則TPA不能向CMS發起挑戰。

證明TPA首先將其身份TPAid發送到DO以獲取授權信息auth。隨后,TPA將隨機挑戰Chal,連同auth和sigauth一起發送到CMS。收到挑戰后,CMS驗證認證的有效性,如果驗證失敗,CMS將拒絕該挑戰。

□

5 實驗與結果分析

5.1 性能評估

設Tpair、Texp和Tmul分別表示群G中1次配對、取冪和乘法運算的時間。其他操作,如Zq中的哈希、加法和乘法的時間可以省略,因為它們的時間幾乎可以忽略不計。假設DO在L個CSS上存儲了N個副本,第c個CSS的副本數為βc,每個副本有n個塊,每個塊被分成s個扇區。若有num個挑戰,為了生成N個副本,算法CopyGen需要運行N次加密算法E。假設E的時間為TE,那么CopyGen的計算成本為N×TE。那么為所有副本生成所有標簽,算法TagGen的時間開銷為Nn(2Texp+Tmul)+sTexp。算法ChalGen花費的時間很小,可以忽略不計。每個CSS都運行ProofGen來生成完整性證明,ProofGen的時間開銷為numβc(Texp+Tmul)。CMS運行算法ProofAgg花費LTmul來聚合所有證明。為了檢查文件完整性,TPA運行算法ProofVerify,其時間開銷為3Tpair+(N+s+3)Texp+(N+s+3)Tmul。本文對IDM2PDP方案與PDP-D[18]方案在計算開銷和功能方面進行了比較,具體情形分別如表2和表3所示。其中,βc為最大副本數。

Table 2 Time comparison between PDP-D and IDM2PDP表2 IDM2PDP與PDP-D時間比較

Table 3 Functional comparison between PDP-D and IDM2PDP表3 IDM2PDP與PDP-D功能比較

5.2 實驗結果及分析

本文實驗使用了GMP(GNU Multiple Precision)庫6.2.1版本[20]和PBC(Pairing-Based Cryptography)庫0.5.14版本[21]進行A型配對,使用加密庫OpenSSL(Open Secure Sockets Layer)3.0.7版本[22]來實現哈希操作中的SHA256(Secure Hash Algorithm 256-bit)和加密操作AES(Advanced Encryption Standard)來實現加密。該協議在同一臺計算機上運行。機器配置為:WSL2 Ubuntu 22.04.2LTS操作系統、2.80 GHz Intel?CoreTMCPU i7-7700HQ和16 GB RAM。

PDP方案的主要計算開銷集中在生成和驗證階段,因為涉及到雙線性配對、指數運算和乘法運算等時間成本較高的操作。為了確保損壞數據的檢測概率超過0.99,根據文獻[5]設置相關參數:n=5000和num=460。由于方案還涉及扇區,設置s=50。由于PDP-D方案不支持多個CSS,且即便有多個CSS進行,也只需要比較一個CSS即可,因此對于IDM2PDP方案,設置L=1。每個數據塊最多存儲20字節,因此存儲能力因方案而異。對于PDP-D,準備的文件大小約為97 KB,而本文方案準備的文件大小為4 MB。

實驗結果通過10次實驗得出。圖4為TagGen的時間開銷。從圖4可以看出,在TagGen階段,時間開銷隨著N增大而增大,與PDP-D相比,IDM2PDP效率更高。

Figure 4 Time cost of TagGen圖4 TagGen時間開銷

圖5和圖6分別為ProofGen和ProofVerify的時間開銷。從圖5可以看出,在ProofGen階段,時間開銷隨著副本數N的增加而增大,但在相同的副本數下,IDM2PDP效率提高了約50%。從圖6可以看出,在ProofVerify階段,盡管IDM2PDP的時間開銷與N呈線性關系,但與PDP-D相比,IDM2PDP驗證效率提高了約20%。實驗結果表明,在相同的備份數和塊數下,IDM2PDP有更大的存儲能力和更低的計算成本,因此比PDP-D更優。

Figure 5 Time cost of ProofGen圖5 ProofGen時間開銷

Figure 6 Time cost of ProofVerify圖6 ProofVerify時間開銷

6 結束語

本文提出了一種基于身份的多云多副本云數據完整性審計協議(IDM2PDP),用于檢查多云存儲服務器上的多個副本。在CDH假設下,證明了該協議的安全性。該協議的顯著特征是通過D-MHT可以確認CSS所管理的副本的一致性和新鮮性,并且能夠確定受損塊。每個CSS的D-MHT根哈希與其Cid關聯,并在最后的總簽名sigR中關聯時間戳、Fid和Uid,保證了數據的新鮮性和文件、DO以及所有根哈希之間的對應關系,彌補了現有方案的不足。該協議能有效支持數據隱私保護、數據公共審計、數據動態和數據新鮮性。實驗結果和安全性證明表明,IDM2PDP是一種安全高效的審計方案。下一步工作將解決基于身份的多云多副本審計中替換攻擊的問題,以實現更加安全的方案。