劉俊偉 閆政偉 王艷

摘 要：移動(dòng)云存儲(chǔ)環(huán)境下，雖然現(xiàn)有數(shù)據(jù)完整性驗(yàn)證算法保證了遠(yuǎn)程存儲(chǔ)數(shù)據(jù)的可用性和安全性，但沒(méi)有考慮到驗(yàn)證者有限的設(shè)備性能，因?yàn)榇罅康尿?yàn)證計(jì)算可能導(dǎo)致設(shè)備處理器負(fù)載過(guò)重甚至引發(fā)設(shè)備過(guò)熱而自動(dòng)關(guān)機(jī).為此，在現(xiàn)有數(shù)據(jù)完整性驗(yàn)證算法的基礎(chǔ)上提出一種數(shù)據(jù)完整性的挑戰(zhàn)外包算法，以降低驗(yàn)證者的計(jì)算負(fù)擔(dān).所提出的算法會(huì)通過(guò)滿(mǎn)秩線(xiàn)性方程組解的唯一性及可驗(yàn)證的外包雙線(xiàn)性對(duì)運(yùn)算將驗(yàn)證者的驗(yàn)證計(jì)算安全地外包給云服務(wù)提供商.安全性分析與實(shí)驗(yàn)結(jié)果表明，所提出的算法有好的安全性與有效性.

關(guān)鍵詞：移動(dòng)云存儲(chǔ)；云安全；數(shù)據(jù)完整性驗(yàn)證；外包計(jì)算；滿(mǎn)秩線(xiàn)方程組；可驗(yàn)證雙線(xiàn)性計(jì)算

中圖分類(lèi)號(hào)：TP309.2

文獻(xiàn)標(biāo)志碼：A

0 引 言

隨著移動(dòng)設(shè)備的日益普及，移動(dòng)端用戶(hù)能隨時(shí)隨地訪(fǎng)問(wèn)云端數(shù)據(jù)的移動(dòng)云存儲(chǔ)，這逐漸成為云存儲(chǔ)研究的重心［1］.移動(dòng)云存儲(chǔ)為數(shù)據(jù)所有者（data owner， DO）減輕了海量數(shù)據(jù)存儲(chǔ)負(fù)擔(dān)，也為付費(fèi)訂閱DO共享數(shù)據(jù)的數(shù)據(jù)消費(fèi)者（data consumer， DC）提供了數(shù)據(jù)訪(fǎng)問(wèn)的便利.但在傳統(tǒng)的數(shù)據(jù)完整性驗(yàn)證方式下［2-8］，DC（移動(dòng)端用戶(hù)仍簡(jiǎn)稱(chēng)為DC）在下載或使用共享數(shù)據(jù)之前對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證［3］會(huì)有較大的計(jì)算負(fù)擔(dān)，可能導(dǎo)致設(shè)備處理器負(fù)載過(guò)重甚至引發(fā)設(shè)備過(guò)熱而自動(dòng)關(guān)機(jī)［4］.因此，這不僅影響了移動(dòng)設(shè)備的正常使用，而且還使得數(shù)據(jù)完整性驗(yàn)證無(wú)法正常執(zhí)行.

數(shù)據(jù)完整性驗(yàn)證的提出使得用戶(hù)可以直接對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行完整性驗(yàn)證而無(wú)需下載至本地.Ateniese等［5］提出數(shù)據(jù)擁有證明協(xié)議（provable data possession，PDP）機(jī)制，利用RSA簽名的同態(tài)特性降低了驗(yàn)證過(guò)程中的通信和計(jì)算開(kāi)銷(xiāo).Armknecht等［6］提出外包可檢索性證明 （outsourcing proofs of retrievability，OPOR） 的概念，其中用戶(hù)可以委托外部審計(jì)員驗(yàn)證云服務(wù)提供商（cloud service provider，CSP）的可檢索性證明.Liu等［7］對(duì)邊緣計(jì)算提出一種高效的數(shù)據(jù)完整性審計(jì)方案，確定可用于企業(yè)多媒體安全.Yu等［8］提出一種可驗(yàn)證去重加密數(shù)據(jù)完整性方案，確定該方案可以保證重復(fù)檢查的正確性.雖然以上方案采用了橢圓曲線(xiàn)加密技術(shù)以保證遠(yuǎn)程存儲(chǔ)數(shù)據(jù)的可用性和安全性，但沒(méi)有考慮到移動(dòng)設(shè)備性能的有限性.因此，本研究針對(duì)移動(dòng)云存儲(chǔ)的場(chǎng)景提出一種數(shù)據(jù)完整性驗(yàn)證的挑戰(zhàn)外包算法，通過(guò)引入滿(mǎn)秩線(xiàn)性方程組解的唯一性及外包線(xiàn)性對(duì)運(yùn)算將原本由DC擔(dān)任的部分驗(yàn)證工作外包給CSP以減輕其計(jì)算負(fù)擔(dān)，同時(shí)通過(guò)安全性分析與性能測(cè)試證明了本方案的安全性與有效性.

1 數(shù)據(jù)完整性驗(yàn)證模型與設(shè)計(jì)目標(biāo)

1.1 數(shù)據(jù)完整性驗(yàn)證模型

本研究的數(shù)據(jù)完整性驗(yàn)證模型主要包括數(shù)據(jù)所有者DO、云服務(wù)提供商CSP和數(shù)據(jù)消費(fèi)者DC.數(shù)據(jù)完整性驗(yàn)證模型具體如圖1所示.

從圖1可知，DO使用CSP的數(shù)據(jù)存儲(chǔ)服務(wù)，并將數(shù)據(jù)以有償形式共享給DC.DO需要為CSP計(jì)算資源的使用而支付相應(yīng)費(fèi)用.其中，CSP為DO提供數(shù)據(jù)存儲(chǔ)資源并響應(yīng)數(shù)據(jù)完整性驗(yàn)證請(qǐng)求.DC訂閱DO的共享數(shù)據(jù)并在下載或使用共享數(shù)據(jù)前對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證.

1.2 設(shè)計(jì)目標(biāo)

從數(shù)據(jù)完整性驗(yàn)證模型和對(duì)手攻擊中可知，為了將數(shù)據(jù)完整性挑戰(zhàn)安全且有效地外包給CSP，應(yīng)達(dá)到以下設(shè)計(jì)目標(biāo)：

1）保證外包給CSP生成的挑戰(zhàn)集合的有效性.DC能夠以較小的計(jì)算開(kāi)銷(xiāo)對(duì)CSP是否誠(chéng)實(shí)地生成挑戰(zhàn)集合進(jìn)行驗(yàn)證.

2）保證外包給CSP證據(jù)驗(yàn)證計(jì)算的可靠性.DC可以對(duì)CSP提供證據(jù)驗(yàn)證結(jié)果的有效性進(jìn)行驗(yàn)證.

3）抵御來(lái)自CSP的3種惡意攻擊，即替換攻擊、重放攻擊及懶惰攻擊（CSP不誠(chéng)實(shí)地進(jìn)行證據(jù)驗(yàn)證計(jì)算，直接返回結(jié)果為true的驗(yàn)證結(jié)果）.

2 數(shù)據(jù)完整性驗(yàn)證的挑戰(zhàn)外包算法

2.1 算法概述

DO擁有文件M，且文件由n個(gè)數(shù)據(jù)塊mi（i［1，n］）組成.DO將文件M儲(chǔ)存至CSP的云空間，并以有償形式共享給DC.

數(shù)據(jù)完整性驗(yàn)證過(guò)程的步驟如下：

1）Setup（λ）（sk，pk）.DO通過(guò)使用系統(tǒng)初始化算法產(chǎn)生公私密鑰對(duì)（其中，sk為私鑰，pk為公鑰），對(duì)外公布公鑰信息.

2）TagGen（sk，M）Φ.DO使用私鑰sk對(duì)要上傳的數(shù)據(jù)文件M中每個(gè)數(shù)據(jù)塊mi（i［1，n］）計(jì)算相應(yīng)的數(shù)據(jù)標(biāo)簽ti，然后將所有生成的數(shù)據(jù)塊標(biāo)簽ti放入標(biāo)簽集合Φ，并和數(shù)據(jù)文件M一起上傳至CSP云空間進(jìn)行保存，隨后刪除所有本地文件.

3）ChalGen（M）chal.當(dāng)DC下載來(lái)自DO的共享數(shù)據(jù)前，對(duì)每個(gè)待驗(yàn)證的數(shù)據(jù)塊mi生成隨機(jī)數(shù)vi并和相應(yīng)數(shù)據(jù)塊索引組成挑戰(zhàn)集合chal={i，vi}，向CSP發(fā)起驗(yàn)證挑戰(zhàn).

4）ProofGen（M，Φ，chal）Proof.CSP收到DC的挑戰(zhàn)請(qǐng)求，通過(guò)存儲(chǔ)的數(shù)據(jù)文件M和標(biāo)簽集合Φ計(jì)算得到相應(yīng)的數(shù)據(jù)完整性證據(jù)Proof，并返回給DC作為數(shù)據(jù)完整性的證據(jù).

5）Verify（pk，chal，Proof）true/false.DC收到證據(jù)響應(yīng)，使用DO提供的公鑰pk和挑戰(zhàn)集合chal通過(guò)計(jì)算判定CSP提供的數(shù)據(jù)完整性證據(jù)Proof，并將判定結(jié)果（true/false）發(fā)送給DO.

2.2 算法的具體構(gòu)造

為了便于描述，定義一些符號(hào)為：G和Gt是2個(gè)q階乘法循環(huán)群，q是大素?cái)?shù)；g是G的生成元；e（G×G）Gt是G到Gt的雙線(xiàn)性映射；hash（·）Z*p為抗碰撞哈希函數(shù)；chal是挑戰(zhàn)集合；σ是標(biāo)簽證據(jù)；μ是數(shù)據(jù)證據(jù)；u和v是2個(gè)公鑰.

3.2 安全性分析

本研究從替換攻擊、重放攻擊和懶惰攻擊3個(gè)方面來(lái)分析所提方案的安全性.

1）抵御替換攻擊.DC要求CSP返回的標(biāo)簽證據(jù)中均包含數(shù)據(jù)塊的簽名標(biāo)簽，而每塊數(shù)據(jù)塊的簽名標(biāo)簽均綁定數(shù)據(jù)塊的編號(hào).數(shù)據(jù)塊的編號(hào)經(jīng)哈希運(yùn)算后參與簽名，使得不同數(shù)據(jù)塊編號(hào)將產(chǎn)生不確定的差異.CSP不能用其他正確的數(shù)據(jù)塊代替某個(gè)或某些損壞的數(shù)據(jù)塊使得數(shù)據(jù)完整性驗(yàn)證通過(guò).

2）抵御重放攻擊.生成挑戰(zhàn)集合時(shí)，隨機(jī)數(shù)r由CSP解出DC提供的隨機(jī)滿(mǎn)秩線(xiàn)性方程組獲得.由于滿(mǎn)秩線(xiàn)性方程組的解唯一，且DC可通過(guò)式（6）對(duì)隨機(jī)數(shù)r的正確性進(jìn)行驗(yàn)證，故保證了挑戰(zhàn)集合生成的隨機(jī)性.CSP無(wú)法通過(guò)之前的查詢(xún)組合直接產(chǎn)生新的查詢(xún)證明，而必須實(shí)際去查詢(xún)?cè)品?wù)器中存儲(chǔ)的數(shù)據(jù).

3）抵御懶惰攻擊.為保證CSP誠(chéng)實(shí)地進(jìn)行外包證據(jù)驗(yàn)證計(jì)算而不是直接返回驗(yàn)證結(jié)果，DC通過(guò)生成一系列隨機(jī)數(shù)參數(shù)以要求CSP提供相應(yīng)證據(jù)，然后DC通過(guò)式（9）和式（10）進(jìn)行驗(yàn)證，其中式（9）的正確性在3.1節(jié)中進(jìn)行了證明.CSP無(wú)法直接返回驗(yàn)證結(jié)果，需要誠(chéng)實(shí)地進(jìn)行證據(jù)驗(yàn)證計(jì)算.

4 實(shí)驗(yàn)結(jié)果與分析

本研究選取1臺(tái)8核CPU（主頻3.2 GHz）且16 GiB內(nèi)存的筆記本作為DO、1臺(tái)雙核CPU且8 GiB內(nèi)存的阿里云彈性計(jì)算服務(wù)（elastic compute service，ECS）作為CSP及1臺(tái)搭載驍龍835處理器的小米6作為DC.整體算法采用Java編寫(xiě)且利用JPBC函數(shù)庫(kù)實(shí)現(xiàn)，將10 MiB的文件預(yù)處理為10 000塊1 KiB大小的數(shù)據(jù)塊.本研究將所提出的算法命名為挑戰(zhàn)外包的數(shù)據(jù)完整性驗(yàn)證算法（data integrity verification of outsourcing challenges algorithms，DIVOC），并選擇算法高效PDP（efficient PDP，E-PDP［7］）作為對(duì)比分析.實(shí)驗(yàn)數(shù)據(jù)取20次實(shí)驗(yàn)的平均值.

1）測(cè)試挑戰(zhàn)生成開(kāi)銷(xiāo).挑戰(zhàn)生成開(kāi)銷(xiāo)是指DC在ChalGen（·）步驟所需的計(jì)算開(kāi)銷(xiāo)，其實(shí)驗(yàn)結(jié)果如圖2所示.由圖2可知，E-PDP的挑戰(zhàn)生成開(kāi)銷(xiāo)隨挑戰(zhàn)數(shù)據(jù)塊數(shù)的增加而增大，而DIVOC的挑戰(zhàn)生成開(kāi)銷(xiāo)保持一定且遠(yuǎn)低于E-PDP.這是因?yàn)镈IVOC的挑戰(zhàn)生成步驟中，DC僅需要提供隨機(jī)數(shù)集合給CSP以生成挑戰(zhàn)集合，故其挑戰(zhàn)生成開(kāi)銷(xiāo)低且不受挑戰(zhàn)數(shù)據(jù)塊數(shù)的影響.

2）測(cè)試證據(jù)驗(yàn)證開(kāi)銷(xiāo).證據(jù)生成開(kāi)銷(xiāo)是指DC在Verify（·）步驟所需的計(jì)算開(kāi)銷(xiāo)，其實(shí)驗(yàn)結(jié)果如圖3所示.由圖3可知，DIVOC的證據(jù)驗(yàn)證開(kāi)銷(xiāo)遠(yuǎn)低于E-PDP且保持在0.1s左右，而E-PDP的證據(jù)驗(yàn)證開(kāi)銷(xiāo)隨挑戰(zhàn)數(shù)據(jù)塊數(shù)的數(shù)量而線(xiàn)性增加.這是因?yàn)镈IVOC的證據(jù)驗(yàn)證步驟中，DC僅需要驗(yàn)證隨機(jī)數(shù)的有效性及式（9）和式（10）的判斷，與挑戰(zhàn)數(shù)據(jù)塊數(shù)無(wú)關(guān)且開(kāi)銷(xiāo)極低.

5 結(jié) 語(yǔ)

本研究提出了一種移動(dòng)云存儲(chǔ)中支持挑戰(zhàn)外包的數(shù)據(jù)完整性驗(yàn)證算法，能夠?qū)C的大量驗(yàn)證計(jì)算安全地外包給CSP，其中利用滿(mǎn)秩線(xiàn)性方程組解的唯一性保證挑戰(zhàn)集合生成的有效性及利用可驗(yàn)證外包雙線(xiàn)性對(duì)計(jì)算保證證據(jù)驗(yàn)證計(jì)算的有效性.安全性分析表明，本研究提出的算法滿(mǎn)足了安全要求.實(shí)驗(yàn)測(cè)試結(jié)果也表明，本研究提出的算法有好的有效性和實(shí)用性.

參考文獻(xiàn)：

［1］Tong W， Chen W， Jiang B， et al.Privacy-preserving data integrity verification for secure mobile edge storage［J/OL］.IEEE Trans Mob Comput，2022：1［2022-09-01］.http：//ieeexplore.ieee.org/document/9774901.DOI：10.1109/TMC.2022.3174867.

［2］Zhou L，F(xiàn)u A，Yu S，et al.Data integrity verification of the outsourced big data in the cloud environment：a survey［J］.J Netw Compu Appl，2018，122：1-15.

［3］Cherubini M，Meylan A，Chapuis B，et al.Towards usable checksums：automating the integrity verification of web downloads for the masses［C］//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security.New York，NY，USA：ACM，2018：1256-1271.

［4］Jeon C K，Kim N H，In H P.Situation-awareness overheating protection solution for mobile devices［C］//2015 IEEE International Conference on Consumer Electronics （ICCE）.Las Vegas，NV，USA：IEEE，2015：618-619.

［5］Ateniese G，Burns R，Curtmola R，et al.Provable data possession at untrusted stores［C］//Proceedings of the 14th ACM Conference on Computer and Communications Security.New York，NY，USA：ACM，2007：598-609.

［6］Armknecht F，Bohli J M，Karame G，et al.Outsourcing proofs of retrievability［J］.IEEE Trans Cloud Comput，2018，9（1）：286-301.

［7］Liu D，Shen J，Vijayakumar P，et al.Efficient data integrity auditing with corrupted data recovery for edge computing in enterprise multimedia security［J］.Multimed Tools Appl，2020，79（15）：10851-10870.

［8］Yu X，Bai H，Yan Z，et al.VeriDedup：a verifiable cloud data deduplication scheme with integrity and duplication proof［J］.IEEE Trans Depend Secure Comput，2022，20（1）：680-694.

［9］Hohenberger S，Lysyanskaya A.How to securely outsource cryptographic computations［C］//2nd Theory of Cryptography Conference.Cambridge，MA，USA：Springer，2005：264-282.

（實(shí)習(xí)編輯：黃愛(ài)明）

Abstract：

In the mobile cloud storage environment，although the existing data integrity verification algorithm ensures the availability and security of remotely stored data，it does not consider the limited performance of the verifiers （mobile users） device.A large amount of verification computation may cause the device processor to be overloaded or even trigger the device to become overheated and shut down automatically.To this end，the paper proposes a data integrity verification of challenge outsourcing algorithm to reduce the computational burden of the verifier based on existing data integrity verification algorithms.The algorithm securely outsources the verifiers verification computation to a cloud service provider through the uniqueness of the solution of a full-rank linear equation system and verifiable outsourced bilinear pair operations.The security analysis and experimental results prove the scheme secure and effective.

Key words：

mobile cloud storage;cloud security;data integrity verification;outsourced computing;full-rank linear equation system;verifiable bilinear operation