馬海峰，王俊華+，薛慶水，時雪磊，張 繼，楊家海

(1.上海應用技術(shù)大學 計算機科學與信息工程學院，上海 201418；2.清華大學 網(wǎng)絡科學與網(wǎng)絡空間研究院，北京 100084)

0 引 言

國內(nèi)外研究者對云端的數(shù)據(jù)安全問題進行了大量的研究[1]，數(shù)據(jù)安全主要包括數(shù)據(jù)完整性、機密性和不可否認性[2-4]，其中完整性是當前云數(shù)據(jù)安全的重要研究內(nèi)容之一[5-8]。但是大多數(shù)現(xiàn)有方案都只針對單個用戶設計數(shù)據(jù)完整性驗證方案[9-12]，并沒有考慮到現(xiàn)實情境中企業(yè)的數(shù)據(jù)管理員離職需要撤銷的問題。張新鵬等[13]提出一種基于代理重簽名的實現(xiàn)用戶撤銷的云存儲數(shù)據(jù)驗證方案，雖然可以撤銷用戶，但是卻無法實現(xiàn)實時用戶動態(tài)可撤銷。楊小東等[14]提出了一種基于代理重簽名的云端數(shù)據(jù)完整性驗證方案可實現(xiàn)用戶撤銷，但也無法實現(xiàn)用戶實時動態(tài)撤銷，且無法解決合謀問題[15]。大多數(shù)支持用戶撤銷的方案存在以下問題：①用戶撤銷過程設計的簽名不滿足靈活的任期調(diào)度；②由不可信的云服務器做代理重簽名存在安全隱患；③存在惡意用戶偽造重簽名密鑰對數(shù)據(jù)進行重簽名的風險。

基于對以上問題的思考，本文提出了一種用戶可實時撤銷的云存儲數(shù)據(jù)完整性驗證方案，具有以下特點：

(1)為用戶引入一個管理屬性參與密鑰設計可以滿足用戶靈活的任期調(diào)度，方便實現(xiàn)該用戶實時撤銷。

(2)將用戶撤銷過程中的代理重簽名過程外包給一個具有可信執(zhí)行環(huán)境的代理服務器，在代理服務器的可信執(zhí)行環(huán)境內(nèi)執(zhí)行重簽名算法，使用戶可以遠程安全地對云中數(shù)據(jù)進行簽名。

(3)代理服務器的可信執(zhí)行環(huán)境收到重簽名密鑰后會進行驗證，避免重簽名密鑰被偽造。

(4)方案中設計的重簽名密鑰可以抵抗已撤銷用戶與云存儲服務商合謀攻擊。審計證明中使用的隨機掩碼技術(shù)可以有效抵抗已撤銷用戶與第三方審計者的合謀攻擊。

1 方案詳述

1.1 系統(tǒng)模型

該方案存在4個實體：用戶(User，U)、云存儲服務商(cloud storage provider，CSP)、第三方審計者(third party auditor，TPA)、代理服務器(proxy server，PS)，系統(tǒng)模型如圖1所示。

圖1 系統(tǒng)模型

User：用戶是企業(yè)雇來管理數(shù)據(jù)的人員，初始用戶負責將數(shù)據(jù)分塊并上傳到云服務器，由于某些原因用戶可能會離職或調(diào)崗，這時就需要新用戶來代替上一任用戶接著管理存儲在云端的數(shù)據(jù)。為了減少用戶的計算和通信壓力，企業(yè)將會雇傭一個第三方審計者代替用戶檢驗云中存儲數(shù)據(jù)的完整性；

CSP：具有優(yōu)質(zhì)的存儲和計算能力，為企業(yè)提供外包數(shù)據(jù)存儲服務。如果有利益需要，云存儲服務器有可能會損壞企業(yè)云中存儲數(shù)據(jù)的完整性，所以存儲在云服務器上的數(shù)據(jù)的完整性需要被不定期檢驗；

TPA：第三方審計者是一個獨立可信的實體，受雇于企業(yè)，并向用戶反饋云中數(shù)據(jù)的完整性檢驗結(jié)果；

PS：代理服務器是用來做用戶撤銷過程中的重簽名，代理服務器中的可信執(zhí)行環(huán)境具有獨立的存儲和計算空間，重簽名的計算過程可以在可信執(zhí)行環(huán)境中進行，由于可信執(zhí)行環(huán)境的特殊性質(zhì)可以確保重簽名階段的安全。

方案主要分為重簽名階段和審計階段，模型描述如下：

(1)重簽名階段：企業(yè)的初始數(shù)據(jù)管理員作為方案初始用戶U0，U0負責將企業(yè)數(shù)據(jù)分塊并簽名上傳至云服務器。如果初始用戶U0由于某種原因工作進行變動，需要將U0從云存儲系統(tǒng)中撤銷，更換新用戶U1繼續(xù)管理企業(yè)數(shù)據(jù)，否則云端存儲數(shù)據(jù)將可能面臨安全威脅。本方案在設計用戶公私鑰對時引入一個管理屬性，參與數(shù)據(jù)塊標簽的計算，用戶需要撤銷時企業(yè)會在用戶離職后公開此用戶的管理屬性，使代理服務器計算現(xiàn)任用戶的重簽名時不受上一任用戶的影響，可以實時撤銷上一任用戶。 Ut-1離職后Ut將計算重簽名密鑰并將自己的管理屬性發(fā)送給代理服務器。利用可信執(zhí)行環(huán)境可以實現(xiàn)敏感數(shù)據(jù)的隱私計算的特殊性，由代理服務器利用重簽名密鑰代替Ut在其可信執(zhí)行環(huán)境里完成重簽名計算，然后將重簽名發(fā)送至云服務器，由云存儲服務商將云端數(shù)據(jù)的上任用戶簽名換成重簽名完成簽名替換；

(2)審計階段：用戶要驗證云端數(shù)據(jù)完整性時會向第三方審計者發(fā)送審計請求，第三方審計者會生成審計挑戰(zhàn)發(fā)送給云存儲服務商，而后云存儲服務商會根據(jù)審計請求生成相應的審計證明返回給第三方審計者，第三方審計者會根據(jù)審計證明判斷等式是否成立，從而判斷云端存儲的企業(yè)數(shù)據(jù)是否完整，最后把完整與否的結(jié)果反饋給用戶。

1.2 安全模型

在代理服務器完全可信的情況下，主要分析3種攻擊方式，分別為偽造攻擊、重放攻擊、合謀攻擊。

(1)偽造攻擊：是指在代理重簽名生成階段，可能存在惡意的云用戶由于利益或其它原因偽造重簽名密鑰對遠程的企業(yè)數(shù)據(jù)進行重簽名導致數(shù)據(jù)完整性驗證失敗。

(2)重放攻擊：是指在驗證階段，第三方審計者可能會通過與云存儲服務商的頻繁交互，從交互信息中獲取云中數(shù)據(jù)隱私。

(3)合謀攻擊：是指已撤銷用戶與云存儲服務商合謀或者已撤銷用戶與第三方審計者合謀獲取遠程隱私數(shù)據(jù)。

1.3 具體方案

(1)重簽名階段：

SigGen：企業(yè)待存儲文件F有一個TagF標簽，包含文件名和文件其它屬性，初始用戶U0把文件F分成n個小塊，即F={m1，m2，…，mn}， 初始用戶會計算每一個數(shù)據(jù)塊mi的簽名，如式(1)所示

(1)

所有數(shù)據(jù)塊的簽名集合是Φ(0)={σ1，σ2，…，σn}。 初始用戶U0會將 {F，Φ(0)，TagF} 發(fā)送至CSP，然后把數(shù)據(jù)塊簽名集合Φ(0)發(fā)送給PS。

ReKeyGen：倘若用戶Ut-1由于某種原因離職或調(diào)崗需要從云存儲系統(tǒng)中撤銷，將會有新的用戶Ut來接替Ut-1的數(shù)據(jù)管理工作，企業(yè)同樣會給用戶Ut分發(fā)一個相應的管理屬性A(t)， 同時公開已撤銷用戶Ut-1的管理屬性A(t-1)， 此時新用戶上任需要計算重簽名密鑰rkt-1→t， 便于后續(xù)重簽名的計算，計算過程如式(2)所示，把重簽名密鑰rkt-1→t與新用戶管理屬性A(t)發(fā)送給PS

rkt-1→t=(pkt-1)1/skt=gxt-1h(A(t-1))/xth(A(t))

(2)

ReSiggenGen：PS收到重簽名密鑰rkt-1→t后，為了避免惡意人員偽造重簽名密鑰造成云中存儲數(shù)據(jù)面臨安全威脅的問題，需要在重簽名計算之前對重簽名密鑰做一次驗證，如利用雙線性映射的性質(zhì)判斷式(3)等號兩邊是否相等

e(rkt-1→t，pkt)=e(pkt-1，g)

(3)

(4)

同時在PS的可信執(zhí)行環(huán)境中對已撤銷用戶的公鑰和新上任用戶生成的重簽名密鑰進行重新處理，如式(5)和式(6)所示

(5)

(6)

(2)審計階段：

R=ur∈G1，μ=μ′+rh(R)

(7)

計算驗證數(shù)據(jù)塊標簽集合為式(8)和式(9)

(8)

(9)

CSP把 {σ，μ，R，{af}f∈[1，t]，{bf}f∈[1，t]} 作為審計證明發(fā)給TPA進行驗證。

ProofVerify：TPA收到CSP發(fā)來的審計證明后，會利用雙線性映射的性質(zhì)驗證以下式(10)～式(12)是否成立，如果全部成立，說明存儲在云中的數(shù)據(jù)是完整的，輸出“Success”；否則說明云中數(shù)據(jù)的完整性遭到破壞，輸出“Failure”。最后將輸出結(jié)果返回給用戶

e(σ，g)=e(uμ·R-h(R)·∏i∈{1，c}H1(mi)vi，a1)

(10)

e(af，g)=e(af+1，bf)

(11)

e(at，g)=e(pkt，bt)，f∈[0，t-1]

(12)

算法流程如圖2所示。

圖2 算法流程

2 安全性分析

2.1 正確性分析

審計存儲在云端的數(shù)據(jù)完整性是通過驗證完整性等式是否成立來判斷的，即驗證式(10)～式(12)是否成立，驗證等式過程如下

(13)

對于所有的f∈{1，2，…，t}， 有

(14)

(15)

重簽名密鑰驗證等式(3)過程如下

e(rkt-1→t，pkt)=e(gxt-1h(A(t-1))/xth(A(t))，gxth(A(t)))=
e(gxt-1h(A(t-1))，g)=e(pkt-1，g)

(16)

綜上所述，本文方案是正確的。

2.2 偽造攻擊

定理1 在重簽名生成階段，惡意人員無法使用偽造的重簽名密鑰通過重簽名密鑰驗證。

證明：傳統(tǒng)方案中如果企業(yè)向代理服務器發(fā)送的重簽名密鑰是其它惡意云用戶U′t偽造的重簽名密鑰rkt-1→t′， 代理服務器直接用偽造的重簽名密鑰對數(shù)據(jù)塊進行代理重簽名，這樣惡意云用戶就能將遠程數(shù)據(jù)簽名偽造成自己的簽名，會導致審計階段完整性驗證失敗。為了避免此類攻擊，本方案在代理服務器收到重簽名密鑰后會對其進行驗證。如果收到惡意云用戶U′t偽造的重簽名密鑰rkt-1→t′將判斷等式e(rkt-1→t，pkt)=e(pkt-1，g) 是否成立，如果成立，說明重簽名正確有效，否則是無效的，代理服務器將反饋給企業(yè)。驗證過程為

e(rkt-1→t′，pkt)=e(g(xt-1h(A(t-1)))′/(xth(A(t)))′，gxth(A(t)))≠
e(pkt-1，g)

(17)

綜上所述，在重簽名生成階段，惡意云用戶偽造的重簽名密鑰無法通過重簽名密鑰驗證，從而防止了惡意云用戶的偽造攻擊，保證重簽名密鑰正確有效。

2.3 重放攻擊

定理2 在驗證階段，TPA無法從與CSP交互過程中獲取到云端的企業(yè)數(shù)據(jù)。

證明：在驗證的交互階段，TPA有可能從CSP返回的審計證明里的μ或σ得到關于證據(jù)μ′的信息，從而獲取到云端的企業(yè)數(shù)據(jù)，分析如下：

(1)假設TPA想從μ中獲取μ′， 分析如下：

已有方案里審計挑戰(zhàn)的線性組合是μ=μ′=∑i∈Cmivi， 當TPA每次都對同樣下標的數(shù)據(jù)塊進行驗證，經(jīng)過c次，TPA就能得到c個mi為未知數(shù)的線性方程，組成完整的線性方程組，解開方程組就能得到企業(yè)數(shù)據(jù)。為防止此攻擊，本方案采用隨機掩碼技術(shù)隱藏證據(jù)μ′， 依據(jù)DL困難性假設，在G中計算DL問題是及其困難的，故依據(jù)u，R∈G1計算r是比較困難的。所以，TPA通過求解r來獲取μ′是比較困難的，從而抵御了重放攻擊。

(2)假如TPA想從審計證明中的σ獲取證據(jù)μ′，σ的計算過程如下

(18)

因為TPA沒有辦法得到歷任用戶的私鑰，所以TPA無法從σ中獲取uμ′的信息和證據(jù)μ′。

綜上所述，在驗證過程，TPA在與CSP交互的過程中沒有辦法從CSP發(fā)來的審計證明中獲取到用戶任何的真實數(shù)據(jù)，所以在驗證過程很好地保護了數(shù)據(jù)的隱私。

2.4 合謀攻擊

定理3 本方案能夠抵御撤銷用戶和CSP、撤銷用戶和TPA的合謀攻擊。

證明：

(1)假設已撤銷用戶與CSP合謀，分析如下：

(2)假設已撤銷用戶與TPA合謀，分析如下：

假設初始用戶U0和TPA合謀，把其私鑰sk0發(fā)給TPA，由定理2中σ計算過程可知，TPA依舊無法從中獲取到證據(jù)μ′的有關信息。給定uμ′=φ∈G， 基于離散對數(shù)難題，由u和φ， 求解μ′是困難的，其它已撤銷用戶與TPA合謀一樣無效，故本方案很好地避免了已撤銷用戶與TPA合謀攻擊。

綜上所述，無論企業(yè)已撤銷用戶將其撤銷前的密鑰泄露給CSP還是TPA，CSP和TPA都無法從中計算出數(shù)據(jù)的有用信息，所以本文方案可以有效抵抗企業(yè)已撤銷用戶和CSP、已撤銷用戶和TPA的合謀攻擊，進一步保證了云中存儲數(shù)據(jù)的安全。

3 性能分析

本節(jié)首先對方案的各項開銷進行分析，后與文獻[13-15]進行比較。分析中使用的符號及含義見表1。

表1 符號及含義

3.1 通信開銷

方案的通信主要集中在重簽名發(fā)送階段及審計過程中TPA與CSP的交互。PS將重簽名發(fā)送至CSP，通信量為3n|G|， TPA與CSP交互過程中，TPA發(fā)送挑戰(zhàn)至CSP，通信量為c(|m|+|v|)， CSP返回證明的通信量為 (2d+1)|G|+c|m|+|q|。

故本方案通信開銷為(3n+2d+1)|G|+2c|m|+c|v|+|q|。

3.2 計算開銷

方案的計算主要集中在計算重簽名及審計過程。計算重簽名密鑰，計算量為 |z|， 計算重簽名，計算量為 (2d+1)n|z|； CSP計算審計證明，計算量為(c+1)|z|， TPA驗證證據(jù)，計算量為2|e|。

故本方案計算開銷為 (2dn+n+c+2)|z|+2|e|。

3.3 方案對比

本方案與文獻[13-15]在通信、計算開銷和性能方面進行了分析比較，見表2。

如表2所示，本文方案因引入一個代理服務器通信開銷較文獻[13]而言增加了重簽名的通信量3n|G|，但是文獻[13]無法抵抗已撤銷用戶與TPA合謀攻擊，無法實時動態(tài)撤銷用戶并確保重簽名密鑰安全，而且計算開銷比本文方案計算開銷大。同理本文方案通信開銷較文獻[14]也稍有增大，文獻[14]同樣無法抵抗已撤銷用戶與TPA合謀，無法實時動態(tài)撤銷用戶并確保重簽名密鑰安全；而且文獻[14]需要計算3次雙線性對運算，本文方案只需要計算2次。本文方案比文獻[15]的通信開銷增大 (3n-1)|G|， 計算開銷相同，但是文獻[15]無法實現(xiàn)實時動態(tài)撤銷用戶，也無法保證重簽名密鑰安全。與其它3個方案相比，本文方案同時滿足抵抗已撤銷用戶與CSP和TPA合謀攻擊，實時動態(tài)撤銷用戶，支持數(shù)據(jù)隱私保護，還可以確保重簽名密鑰安全，所以本文方案更具有理論意義和實用價值。

3.4 實驗分析

通信開銷是指本方案中各實體所有階段的總通信開銷，在進行10次實驗的情況下，結(jié)果取平均值。計算開銷也采用了同樣的方法進行取值。本文方案與傳統(tǒng)方案的通信開銷、計算開銷對比如圖3所示。

圖3 通信與計算開銷對比

隨著數(shù)據(jù)塊數(shù)的增加，c的取值也在增加，在數(shù)據(jù)塊數(shù)n為500時取c為100，n為1000時取c為200，依次遞增。由圖3(a)可知，隨著數(shù)據(jù)塊數(shù)的增加，本文方案比傳統(tǒng)方案在通信開銷計算上的優(yōu)勢逐漸增大，圖3(b)隨著數(shù)據(jù)塊數(shù)的不斷增大，本文方案明顯計算開銷更小，而且優(yōu)勢更明顯。

本實驗也將傳統(tǒng)方案與本方案撤銷用戶所花費的時間開銷上進行了對比，如圖4所示。

圖4 時間開銷對比

傳統(tǒng)方案的用戶撤銷是上任用戶撤銷之后，新任用戶需要重新從云端下載原始數(shù)據(jù)進行簽名后再次上傳至云端，所以每增加一個用戶撤銷所消耗的時間基本上是恒定的。本方案的用戶撤銷是用戶撤銷之后，由代理服務器代替新任用戶進行重簽名，代理服務器只將重簽名上傳至云端即可，云端存儲的數(shù)據(jù)并不變動，所以每增加一個用戶撤銷的時間消耗也基本上也是恒定的。

4 結(jié)束語

本文通過引入一個代理服務器并結(jié)合重簽名技術(shù)提出一種用戶可實時撤銷的云存儲數(shù)據(jù)驗證方案，不僅實現(xiàn)了企業(yè)的用戶可以根據(jù)實際任期實時撤銷，而且有效抵抗已撤銷用戶與第三方審計者、已撤銷用戶和云存儲服務商之間的合謀攻擊，支持云端數(shù)據(jù)的隱私保護，利用代理服務器的可信執(zhí)行環(huán)境確保了重簽名階段的信息安全。正確性與安全性分析結(jié)果表明，本文提出的方案是切實可行的，實驗分析結(jié)果表明，本方案的效率確實比傳統(tǒng)方案高。后續(xù)的研究工作將繼續(xù)改進本方案，減少代理重簽名計算的輔助信息，以更加降低通信和計算成本。