唐明，張嬌蓉（西華大學計算機與軟件工程學院，成都　610039）

基于RASL的云存儲數(shù)據(jù)完整性驗證算法

唐明，張嬌蓉
（西華大學計算機與軟件工程學院，成都610039）

云存儲；完整性驗證；同態(tài)哈希；RASL

0　引言

云存儲指的是通過集群應用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡中大量各種不同類型的存儲設備通過應用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的一個系統(tǒng)，它能保證數(shù)據(jù)的安全性，并節(jié)約存儲空間。通過云存儲服務，用戶可以從云服務器上便捷、高效地獲取存儲的數(shù)據(jù)，同時也沒有本地存儲和維護數(shù)據(jù)的負擔。云存儲具有低成本、高可用性、高擴展性、高可靠性等傳統(tǒng)存儲方式所不具備的特點，越來越多的用戶選擇將數(shù)據(jù)存儲到云服務器上。

然而，這種新的存儲方式也面臨這新的安全問題，即數(shù)據(jù)完整性。作為用戶方，關心的安全問題主要包括兩個方面：首先，用戶會擔心存儲在云端的數(shù)據(jù)會不會隨著數(shù)據(jù)中心發(fā)生故障而丟失，即數(shù)據(jù)安全性；其次，用戶對存儲在云端的數(shù)據(jù)會不會被窺探也會有所顧慮，即隱私安全性。用戶將數(shù)據(jù)存儲在云服務器上后，往往就失去了對所存儲的數(shù)據(jù)的控制權(quán)，因此，若云存儲服務提供商是不可信或半可信的話，數(shù)據(jù)擁有者可能會被云存儲服務提供商欺騙而不能確定存儲在云端的數(shù)據(jù)是否完整。故數(shù)據(jù)擁有者需要一種安全有效的服務機制來確保數(shù)據(jù)被安全、完整地存儲在云端。

云存儲數(shù)據(jù)完整性檢測的早期方案［2～3］是要求用戶將存儲在云端的數(shù)據(jù)取回本地后再驗證其完整性，用戶在存儲和驗證之前都需要計算數(shù)據(jù)的哈希值。然而隨著數(shù)據(jù)量的增加和用戶的增長，該方案的計算量及通信成本也變的非常大，因此這種方式已不可取。之后，Deswarte等人于2003年提出了基于RSA的哈希函數(shù)的第一個遠程完整性數(shù)據(jù)驗證方案，即用戶只需要取回部分數(shù)據(jù)就能驗證存儲數(shù)據(jù)的完整性，并在2008年提出其改進方案，使之支持數(shù)據(jù)更新操作。2007年，Ateniese等［5］人首次在其可證明持有方案中提出公開審計的問題，并給出了適用于靜態(tài)數(shù)據(jù)的S-PDP方案和E-PDP方案，為了降低通信開銷與計算開銷，這兩種方案都使用了同態(tài)標簽技術(shù)［6］，但該方案均不支持動態(tài)審計與批量審計。

最近，周銳等人［7］為了保證云存儲數(shù)據(jù)的完整性，提出了一種基于同態(tài)哈希函數(shù)的完整性檢測算法，該算法在可信第三方的審計下，通過聚合多個RSA簽名對云存儲數(shù)據(jù)完整性進行驗證，同時還采用了同態(tài)線性認證技術(shù)和隨機掩蔽技術(shù)實現(xiàn)隱私保護。該算法支持數(shù)據(jù)完全更新、單項審計與多項審計，但是不能抵抗周恩光等人提出的已知證據(jù)偽造攻擊。通過該攻擊方法，敵手可以假冒云服務器，對用戶記性欺騙，同時云服務器也可以在客戶數(shù)據(jù)丟失的情況下，利用該攻擊方法對客戶進行欺騙。

針對上述方案的不足，本文利用Erway等人提出的基于等級的認證跳表技術(shù)對周銳等人提出的方案進行改進，并給出了安全性證明及性能分析，改進方案能抵抗已知證據(jù)偽造攻擊。

1　預備知識

1.1同態(tài)哈希函數(shù)

同態(tài)哈希函數(shù)即一個具有同態(tài)性質(zhì)的哈希函數(shù)，它滿足以下性質(zhì)：

（1）同態(tài)性：對任意的兩個消息m1，m2及實數(shù)w1，w2，有H（w1m1+w2m2）=H（m1）w1H（m2）w2。

（2）免碰撞性：攻擊者不存在概率多項式算法可以偽造 （m1，m2，m3，w1，w2），且滿足m3≠w1m1+w2m2使得H（m3）=H（m1）w1H（m2）w2。

1.2基于等級的認證跳表

基于等級的認證跳表［9］（Rank-based Authenticated Skip List，RASL）是Erway等人在其支持完全數(shù)據(jù)更新的PDP方案中提出的概念，圖1是RASL中的一個例子。

圖1　基于等級的認證表

以圖1為例，在RASL中，最左上的節(jié)點w7稱為起始節(jié)點，每個節(jié)點v都包含rgt（v）節(jié)點向右的指針和dwn（v）節(jié)點向下的指針，這兩個指針主要用來查詢。對每個節(jié)點我們還需定義節(jié)點的等級，即從節(jié)點出發(fā)所能到達的底層節(jié)點的數(shù)量，記作r（v）。節(jié)點的層數(shù)記作l（v），l（v）=0表示底層節(jié)點。在圖1中，每個節(jié)點內(nèi)的值即表示該節(jié)點的級數(shù)。同時對每個節(jié)點v，我們用low （v）和high（v）分別來表示從該節(jié)點出發(fā)，最左和最右可到達底層節(jié)點的序號。對起始節(jié)點，我們有r（s）=n，low（s）=1和high（s）=n。利用已知節(jié)點的等級和相對應的最左及最右可到達節(jié)點的序號，我們可以到達底層的任意節(jié)點。

2　對周銳等人方案的攻擊

利用周恩光等人［8］提出的已知證據(jù)偽造攻擊的方法，我們可以對周銳等人提出的審計方案進行類似的攻擊，具體攻擊方法如下：

假設TPA與CS之間成功進行了N次完整性驗證，敵手竊聽并保存以下信息：

其中Pi=（μi，σi，Yi）（1≤i≤n）是第i次完整性驗證過程中云服務器發(fā)送的證據(jù)。

則可以在沒有文件F的情況下偽造一個合法的證據(jù)，在偽造過程中，客戶存儲在云端服務器上的數(shù)據(jù)均未泄漏，即敵手未獲得用戶的任何數(shù)據(jù)。這樣敵手就可以利用偽造的證據(jù)欺騙用戶，使得用戶存儲的數(shù)據(jù)即使被篡改，用戶也無法通過驗證而得知。

3　基于RASL的云存儲數(shù)據(jù)完整性驗證方案

KeyGen（1k）：輸入安全參數(shù)k，選取大素數(shù)p和q，計算N=pq和φ（N）=（p-1）（q-1）；選取小整數(shù)e滿足1＜e＜φ（N），且gcd（e，φ（N））=1；利用擴展歐幾里德算法，計算滿足ed≡1modφ（N）的唯一整數(shù)d，1＜d＜φ（N）；選擇安全的同態(tài)哈希函數(shù)H（·）：ZN*→ZN*。用戶的私鑰為sk=d，公鑰為pk=（N，e）。

SigGen（sk，F(xiàn)）：設用戶存儲的數(shù)據(jù)為F=｛m1，m2，…，mn｝，用戶為數(shù)據(jù)F選取隨機標識符name∈ZN*，并對每個數(shù)據(jù)塊mi計算簽名σi=（H（name||i）H（mi））d，簽名集合Φ=｛σ1，σ2，…，σn｝。RASL的底層節(jié)點為按順序排列的簽名σi，即x（vi）=σi?？蛻粲嬎鉘SAL的起始節(jié)點哈希值Mc（Mc為公開變量），并將｛F，Φ｝和RASL發(fā)送給云服務器之后刪除。

Challenge：用戶從集合｛1，2，…，n｝中隨機選擇c個元素組成的集合I=｛s1，s2，…，sc｝，其中s1＜s2＜…＜sc。對i∈I，用戶選擇隨機值vi∈Zp，并將挑戰(zhàn)消息chal=｛（i，vi）｝s1＜i＜sc發(fā)送至云服務器。

VerifyProof（pk，chal，P）：驗證分為兩步進行，收到證據(jù)P后，用戶首先利用證明信息｛Π（i）｝s1＜i＜sc對σi的值及其索引值i進行驗證。具體驗證方法如下：

用戶選取初始值λ0=0，ρ0=0，γ0=0，ε0=0，對j∈｛1，2，…，k｝，計算λj=lj，ρj=ρj-1+qj，δj=dj；

若δj=rgt，則rj=h（λj，ρj，γj-1，gj），εj=εj-1；若δj=dwn，則rj=h（λj，ρj，gj，γj-1），εj=εj-1+qj；

經(jīng)過循環(huán)計算后，若rk≠Mc，則驗證不通過，返回reject；若rk=Mc，則驗證通過，返回accept。

4　結(jié)語

本文利用已知證據(jù)偽造攻擊的方法給出了對文獻［7］的具體攻擊方法，通過攻擊表明該方案不能抵抗已知證據(jù)偽造攻擊。同時，應用同態(tài)哈希函數(shù)及RASL等相關技術(shù)，對原方案進行改進，并提出了基于RASL的云存儲數(shù)據(jù)完整性方案，該方案能抵抗已知證據(jù)偽造攻擊，并且能夠保護客戶的隱私數(shù)據(jù)不被泄漏。

［1］Deswarte Y，Quisquater J，Sa?dane A.Remote Integrity Checking［M］.Integrity and Internal Control in Information Systems VI. Springer US，2004：1～11

［2］Blum M，Evans W，Gemmell P，et al.Checking the Correctness of Memories［J］.Algorithmica，1994，12（2-3）：225～244

［3］Naor M，Rothblum G N.The Complexity of Online Memory Checking［C］.Foundations of Computer Science，2005.FOCS 2005.46thAnnual IEEE Symposium on.IEEE，2005：573～582

［4］秦志光，吳世坤，熊虎.云存儲服務中數(shù)據(jù)完整性審計方案綜述［J］.信息網(wǎng)絡安全，2014（7）：1～6

［5］Ateniese G，Burns R，Curtmola R，et al.Provable Data Possession at Untrusted Stores［C］.Proceedings of the 14th ACM Conference on Computer and Communications Security.Acm，2007：598～609

［6］Ateniese G，Kamara S，Katz J.Proofs of Storage from Homomorphic Identification Protocols［M］.Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg，2009：319～333

［7］周銳，王曉明.基于同態(tài)哈希函數(shù)的云數(shù)據(jù)完整性驗證算法［J］.計算機工程，2014，40（6）：64～69

［8］周恩光，李舟軍，郭華等.一個改進的云存儲數(shù)據(jù)完整性驗證方案［J］.電子學報，2014，42（1）：150～154

［9］Erway C，Küpcü A，Papamanthou C，et al.Dynamic Provable Data Possession［A］.Proceedings of the 16th ACM Conference on Computer and Communications Security［C］.Chicago：Acm，2009：213-222

Cloud Storage；Integrity Verification；Homomorphic Hash；RASL

Integrity Verification Algorithm of Cloud Storage System Based on RASL

TANG Ming，ZHANG JIAO-rong
（School of Computer and Software Engineering，Xihua University，Chengdu 610039）

1007-1423（2015）10-0005-04

10.3969/j.issn.1007-1423.2015.10.002

唐明（1987-），男，湖北天門人，碩士研究生，研究方向為計算機網(wǎng)絡與信息安全系統(tǒng)

2015-03-17

2015-04-08

隨著信息技術(shù)的發(fā)展，網(wǎng)絡化存儲將逐漸成為未來存儲領域的熱點。而目前的云存儲服務也將是網(wǎng)絡存儲發(fā)展的必然趨勢。因此如何確保云存儲環(huán)境下用戶數(shù)據(jù)的完整性成為人們關注的問題。周銳等人提出基于同態(tài)哈希的云數(shù)據(jù)完整性驗證算法中的公開審計方案。通過對該方案的分析，發(fā)現(xiàn)該方案容易受到已知證據(jù)偽造攻擊，并給出具體的攻擊方法。為了防止攻擊，利用基于等級的認證跳表技術(shù)（RASL）對該方案進行改進，并對本文方案做安全性分析及證明。

張嬌蓉（1988-），女，四川巴中人，碩士研究生，研究方向為序列設計

With the development of information technology，network storage will gradually become a hot storage areas in the future.The current cloud storage service will be the inevitable trend of development of network storage.Therefore，how to ensure the integrity of user data in cloud storage environments has become an issue of concern.Zhou Rui et al proposed public audit scheme for cloud data integrity verification based on the homomorphic hash.Through the analysis of the scheme，the scheme is vulnerable to the known evidence of forgery attack，and gives a specific attack method.In order to prevent attacks，improves the scheme based on RASL，and the proposed scheme is security by formal proofs.