周 虹，陳 鋒

（1.廣州軍區(qū)廣州總醫(yī)院 廣東 廣州　510010；2.國(guó)防科學(xué)技術(shù)大學(xué) 信息系統(tǒng)與管理學(xué)院，湖南 長(zhǎng)沙　410073）

一種云計(jì)算共享數(shù)據(jù)完整性公開審計(jì)方案

周 虹1，陳 鋒2

（1.廣州軍區(qū)廣州總醫(yī)院 廣東 廣州510010；2.國(guó)防科學(xué)技術(shù)大學(xué) 信息系統(tǒng)與管理學(xué)院，湖南 長(zhǎng)沙410073）

在用戶無法完全信任云服務(wù)提供商的前提下，對(duì)云端的數(shù)據(jù)完整性進(jìn)行公開審計(jì)是當(dāng)前的研究熱點(diǎn)之一。提出了一個(gè)支持隱私保護(hù)和高效用戶撤銷的云共享數(shù)據(jù)公開審計(jì)方案。它通過引入了一個(gè)系統(tǒng)管理員SA來負(fù)責(zé)管理群組密鑰，對(duì)于共享數(shù)據(jù)修改，SA生成一個(gè)初步簽名密鑰和一個(gè)對(duì)應(yīng)的重簽名密鑰，用戶利用初步簽名密鑰對(duì)所修改的數(shù)據(jù)塊進(jìn)行簽名，并將修改后的數(shù)據(jù)塊和初步簽名一起上傳到云端，云服務(wù)器利用重簽名密鑰將初步簽名轉(zhuǎn)換為最終簽名。理論分析表明該方案不僅能夠支持隱私保護(hù)，而且在能夠支持用戶撤銷時(shí)高效的共享數(shù)據(jù)完整性公開審計(jì)。

云計(jì)算；數(shù)據(jù)完整性；公開審計(jì)；用戶撤銷；隱私保護(hù)

利用云計(jì)算所提供的數(shù)據(jù)存儲(chǔ)和分享服務(wù)，用戶可以輕易的通過相互分享數(shù)據(jù)組成一個(gè)群組。也就是說，群組內(nèi)的用戶可以創(chuàng)建數(shù)據(jù)并分享群組內(nèi)的其他用戶分享，這樣的數(shù)據(jù)被稱為共享數(shù)據(jù)。群組內(nèi)的用戶不僅能夠訪問共享數(shù)據(jù)，而且可以對(duì)共享數(shù)據(jù)進(jìn)行修。盡管云服務(wù)提供商承諾為用戶提供一個(gè)安全可靠的存儲(chǔ)環(huán)境，但是存儲(chǔ)在云端的數(shù)據(jù)的完整性仍然可能遭到破壞，比如說人為操作失誤，或者軟硬件故障［2］。

針對(duì)這個(gè)問題，許多研究者已經(jīng)提出了一系列的解決方案［5-8，10］。但是以上這些方案主要關(guān)注的是個(gè)人數(shù)據(jù)的完整性審計(jì)問題，即只有一個(gè)修改者的云數(shù)據(jù)的完整性驗(yàn)證問題。Wang等人［3］注意到了共享數(shù)據(jù)完整性驗(yàn)證問題，并針對(duì)云共享數(shù)據(jù)完整性驗(yàn)證場(chǎng)景提出了一個(gè)支持高效用戶撤銷的公開審計(jì)方法。但是該方法利用代理重簽名技術(shù)，當(dāng)用戶撤銷發(fā)生時(shí)，允許云服務(wù)器代替群組成員將被撤銷的用戶之前所簽名的數(shù)據(jù)塊重簽到一個(gè)合法的群組用戶，故存在用戶撤銷的效率問題。此外，該方法中云服務(wù)器必須知道每個(gè)數(shù)據(jù)塊的確切簽名者，因此存在用戶身份隱私暴露的隱患。

文中針對(duì)上述問題，提出了一個(gè)支持隱私保護(hù)和高效用戶撤銷的云共享數(shù)據(jù)公開審計(jì)方案。首先，引入了一個(gè)系統(tǒng)管理官（System Administrator，SA）來負(fù)責(zé)管理群組密鑰。當(dāng)群組成員對(duì)共享數(shù)據(jù)修改之后，SA生成一個(gè)初步簽名密鑰和一個(gè)對(duì)應(yīng)的重簽名密鑰，并將前者發(fā)送給用戶，后者發(fā)送給云服務(wù)器。用戶利用初步簽名密鑰對(duì)所修改的數(shù)據(jù)塊進(jìn)行簽名，并將修改后的數(shù)據(jù)塊和初步簽名一起上傳到云端。云服務(wù)器利用重簽名密鑰將初步簽名轉(zhuǎn)換為最終簽名。這樣的設(shè)計(jì)使得用戶撤銷變得非常簡(jiǎn)單，只需要將被撤銷的用戶從群組成員列表刪除即可，而不再需要在用戶撤銷時(shí)對(duì)被撤銷用戶之前簽名的數(shù)據(jù)進(jìn)行重新簽名了。其次，我們將一種叫做隨機(jī)掩蓋［9］的技術(shù)引入完整性審計(jì)過程，對(duì)云服務(wù)器返回給第三方審計(jì)機(jī)構(gòu)的信息進(jìn)行盲化，從而確保第三方審計(jì)機(jī)構(gòu)無法從審計(jì)過程中得到任何與用戶數(shù)據(jù)內(nèi)容相關(guān)的信息。

1　方案描述

1.1方案概述

1）系統(tǒng)模型和安全威脅模型

在我們的方案中有4個(gè)實(shí)體：云服務(wù)器、第三方審計(jì)者（Third Party Auditor，TPA）、用戶（通過共享數(shù)據(jù)組成群組）和系統(tǒng)管理者（System Administrator，SA）。如圖1所示，云服務(wù)器不僅為用戶提供數(shù)據(jù)存儲(chǔ)和共享服務(wù)，而且在重簽名過程中充當(dāng)了代理的角色；第三方審計(jì)者是具有專門技術(shù)和能力的第三方機(jī)構(gòu)，能夠代替用戶對(duì)保存在云服務(wù)器上的數(shù)據(jù)的完整性進(jìn)行審計(jì)；系統(tǒng)管理者作為群組的管理者，它維護(hù)者群組的用戶列表并且負(fù)責(zé)為密鑰生成，包括初步簽名密鑰和其對(duì)應(yīng)的重簽名密鑰。因?yàn)橛脩袅斜砜傂枰粋€(gè)維護(hù)者，不管它是群組的創(chuàng)建者還是其它實(shí)體，所以系統(tǒng)管理者的存在是合理的。

圖1　系統(tǒng)模型

2）設(shè)計(jì)目標(biāo)

文中的目標(biāo)包括以下3個(gè)方面。首先，正確性：在存在用戶撤銷的情況系下，保證TPA仍然能夠在不取回所有數(shù)據(jù)的前提下正確驗(yàn)證共享數(shù)據(jù)的完整性；其次，高效性：保證用戶撤銷過程和審計(jì)過程是高效的；最后，保護(hù)隱私：保護(hù)用戶身份隱私不泄露給云服務(wù)器，以及共享數(shù)據(jù)內(nèi)容隱私不泄露給第三方審計(jì)者。

1.2預(yù)備知識(shí)

為了能夠詳細(xì)描述我們所提出的方案，我們首先對(duì)方案中所用到的密碼學(xué)技術(shù)進(jìn)行介紹。

1）雙線性映射

設(shè)e：G×G→GT是一個(gè)雙線性映射，其中G是一個(gè)間隙Diffie-Hellman群，GT是另一個(gè)素階數(shù)乘法循環(huán)群。雙線性映射具有以下3條性質(zhì)：

①可計(jì)算性。存在一個(gè)高效可計(jì)算的算法能夠計(jì)算e；

②雙線性。對(duì)所有g(shù)，h∈G和a，b?cp，有e（ga，hb）=e（g，h）ab；

③非退化性。e（g，g）≠1，其中g(shù)是G的生成元。

2）代理重簽名

Ateniese等人在文獻(xiàn)［4］中重新定義了代理重簽名。在Ateniese的定義中，允許一個(gè)半可信的代理知道一些信息從而將A對(duì)數(shù)據(jù)塊的簽名轉(zhuǎn)換成B的簽名，并且要求代理機(jī)構(gòu)不能夠代表A或B獨(dú)立產(chǎn)生簽名。利用代理將一個(gè)用戶對(duì)數(shù)據(jù)的簽名轉(zhuǎn)換成另一個(gè)用戶對(duì)同一數(shù)據(jù)的簽名的過程就稱為代理重簽名。

3）支持動(dòng)態(tài)數(shù)據(jù)

為了在完整性公開驗(yàn)證過程中支持?jǐn)?shù)據(jù)操作（即數(shù)據(jù)插入，刪除，更新等），需要仔細(xì)設(shè)計(jì)的數(shù)據(jù)塊標(biāo)示。利用文獻(xiàn)［10-11］中的索引哈希表，用戶能夠在不改變其它數(shù)據(jù)塊的標(biāo)示的前提下對(duì)數(shù)據(jù)塊進(jìn)行修改。具體方案如下：設(shè)vi∈￥*為被修改的數(shù)據(jù)塊mi的虛擬索引，ri=H′（mi‖vi），其中H′：｛0，1｝*→￠q是一個(gè)沖突避免的哈希函數(shù)，那么該數(shù)據(jù)塊的標(biāo)示定義為idi=｛vi，ri｝。

1.3方案設(shè)計(jì)

文中所提出的支持隱私保護(hù)的公開審計(jì)協(xié)議包括6個(gè)環(huán)節(jié)。這6個(gè)環(huán)節(jié)分別是Setup，KeyGen，BasicSign，F(xiàn)inal Re Sign，ProofGen，ProofVerify。在Setup環(huán)節(jié)，SA為群組產(chǎn)生一對(duì)公私鑰對(duì)（cpk，csk）。在KeyGen環(huán)節(jié)，SA為每個(gè)合法的簽名請(qǐng)求隨機(jī)生成一對(duì)簽名密鑰（BasicSignKey，F(xiàn)inalReSignKey），其中BasicSignKey發(fā)送給用戶在BasicSign環(huán)節(jié)為所修改的數(shù)據(jù)塊計(jì)算一個(gè)初步簽名，F(xiàn)inalReSignKey發(fā)送給云在FinalReSign環(huán)節(jié)將初步簽名重簽到群組公鑰。當(dāng)用戶被撤銷時(shí)，該用戶將會(huì)被重用戶列表中刪除，并且SA不再響應(yīng)來自該用戶的簽名請(qǐng)求。在ProofGen環(huán)節(jié)，云服務(wù)器能夠產(chǎn)生一個(gè)關(guān)于共享數(shù)據(jù)完整性的持有證明。在ProofVerify環(huán)節(jié)，一個(gè)公開驗(yàn)證者可以利用群組公鑰cpk來檢查云服務(wù)器所生成的持有證明的正確性，從而判斷共享數(shù)據(jù)是否完整。

符號(hào)定義：全局參數(shù)為（e，p，G，GT，g，w，H，h，H′），其中G是一個(gè)間隙Diffie-Hellman群，是GT另一個(gè)素階數(shù)乘法循環(huán)群，e是一個(gè)雙線性映射e：G×G→GT，g是G的一個(gè)生成元，w 是G里的一個(gè)隨機(jī)元素，H是一個(gè)哈希函數(shù)H：｛0，1｝*→G，H′：｛0，1｝*→￠q是一個(gè)沖突避免的哈希函數(shù)。M=（m1，m2，…，mn）表示共享數(shù)據(jù)，其中n表示共享數(shù)據(jù)包含的數(shù)據(jù)塊數(shù)目。d表示群組規(guī)模，即群組中用戶的數(shù)目。

Setup：SA選擇一個(gè)隨機(jī)數(shù)s∈￠q作為群組的私鑰csk，并計(jì)算其對(duì)應(yīng)的公鑰cpk=gcsk。同時(shí)，SA維護(hù)了一個(gè)用戶列表（UL），其中包含所有現(xiàn)有用戶的標(biāo)示（id），并且SA將用群組私鑰對(duì)UL進(jìn)行簽名然后公開。在整個(gè)方案中，SA只響應(yīng)UL列表中所包含的的用戶的請(qǐng)求。

KeyGen：每次收到來自用戶的簽名請(qǐng)求，SA首先產(chǎn)生一個(gè)隨機(jī)數(shù)s∈￠p作為初步簽名密鑰bk（BasicSignKey），然后計(jì)算對(duì)應(yīng)的重簽名密鑰（FinalReSignKey）fk=csk/bk，最后將bk發(fā)送給用戶，將fk發(fā)送給云服務(wù)器。

BasicSign：當(dāng)用戶產(chǎn)生或者修改一個(gè)標(biāo)示為idk數(shù)據(jù)塊mk時(shí)，該用戶按照下面的步驟為該數(shù)據(jù)塊產(chǎn)生一個(gè)活法簽名：

①首先，用戶發(fā)送一個(gè)簽名請(qǐng)求給SA，以獲得初步簽名密鑰bk；

②接著，用戶利用SA返回的初步簽名密鑰bk為數(shù)據(jù)庫(kù)計(jì)算簽名σ′k=（H（idk）wmk）bk∈G；

③最后，用戶將數(shù)據(jù)塊mk和初步簽名σ′k發(fā)送給云服務(wù)器。

FinalReSign：接著BasicSign環(huán)節(jié)，云服務(wù)器利用SA所生產(chǎn)的重簽名密鑰對(duì)初步簽名進(jìn)行重簽：

σ=（σ′k）=（H（idk）wmk）bkgcks/bk=（H（idk）wmk）ckkBasicSign和FinalReSign兩個(gè)環(huán)節(jié)共同產(chǎn)生了一個(gè)合法的數(shù)據(jù)塊簽名。

ProofGen：為了驗(yàn)證共享數(shù)據(jù)的完整性，TPA首先隨機(jī)生成一個(gè)審計(jì)消息｛（l，yl）|1∈L｝，其中yl∈￠p是一個(gè)隨機(jī)數(shù)，L是集合［1，n］的一個(gè)具有c個(gè)元素的子集，L集合標(biāo)示本次審計(jì)過程中所要檢查的數(shù)據(jù)塊。在收到審計(jì)消息后，云服務(wù)器按照以下步驟產(chǎn)生一個(gè)共享數(shù)據(jù)完整性的持有證明：

③最后，云服務(wù)器生成一個(gè)審計(jì)證明｛α，β，R，｛idl｝l∈L｝并且發(fā)送給驗(yàn)證者作為云數(shù)據(jù)完整性的證明。

ProofVerify：根據(jù)審計(jì)信息｛（l，yl）|1∈L｝，審計(jì)證明｛α，β，R，｛idl｝l∈L｝和群組公鑰，TPA可以通過驗(yàn)證下面的等式驗(yàn)證審計(jì)證明的正確性：

如果上面的等式成立，則TPA接受審計(jì)證明，說明存儲(chǔ)在云端的共享數(shù)據(jù)是完整的；否則，TPA拒絕審計(jì)證明。

2　方案分析

本節(jié)將首先證明本文所提方案的正確性，然后對(duì)方案的性能做出理論分析和實(shí)驗(yàn)驗(yàn)證，并詳細(xì)討論文中所提方案的隱私保護(hù)特性。

2.1正確性分析

本文所提方案的正確性決定于等式（*）是否成立。根據(jù)雙線性映射的特性，等式（*）的正確性證明如下：

另外，對(duì)于被撤銷的用戶來說，他們將會(huì)被從UL中移除，從而不會(huì)再得到SA的響應(yīng)。也就是說，被撤銷的用戶無法再得到用于產(chǎn)生數(shù)據(jù)塊簽名的密鑰對(duì)，從而無法再產(chǎn)生合法的數(shù)據(jù)塊簽名。而且還可以通過為每個(gè)數(shù)據(jù)塊簽名密鑰增加時(shí)間戳的方式來防止來自被撤銷用戶等攻擊者的重放攻擊。

2.2效率分析

本文所提方案具有高效的用戶撤銷效率。當(dāng)發(fā)生用戶撤銷的時(shí)候，只需要將被撤銷的用戶從用戶列表（UL）中移除，保證其無法再接受SA的響應(yīng)即可。因?yàn)樵诒疚乃岬姆桨钢?，共享?shù)據(jù)所對(duì)應(yīng)的最終簽名都是對(duì)應(yīng)于群組公鑰的，當(dāng)用戶撤銷的時(shí)候就不再需要對(duì)共享數(shù)據(jù)進(jìn)行重簽，這樣的設(shè)計(jì)大大的提高了用戶撤銷過程的效率。

2.3隱私保護(hù)

通過引入系統(tǒng)管理者（SA），本文所提方案不再需要云服務(wù)器對(duì)被撤銷用戶端在撤銷之前所簽名的數(shù)據(jù)進(jìn)行重簽，這就意味著云服務(wù)器不再需要知道每個(gè)數(shù)據(jù)塊的簽名者。這一點(diǎn)對(duì)于群組用戶來說是很重要的，因?yàn)檫@樣的設(shè)計(jì)使得惡意云服務(wù)提供商無法再辨別出群組內(nèi)的關(guān)鍵用戶。

除此之外，本文所提方案能夠保證在共享數(shù)據(jù)完整性審計(jì)過程中，TPA無法重審計(jì)證明中獲得用戶數(shù)據(jù)內(nèi)容的任何信息，從而保護(hù)了共享數(shù)據(jù)內(nèi)容隱私。

3　結(jié)束語

通過引入系統(tǒng)管理者（SA），本文所提方案將共享數(shù)據(jù)塊的簽名過程分為兩個(gè)步驟：首先用戶利用SA隨機(jī)生成的初步簽名密鑰對(duì)數(shù)據(jù)塊進(jìn)行初步簽名；接著，云服務(wù)器利用SA生成的對(duì)應(yīng)的重簽名密鑰將初步簽名重簽到最終簽名。通過這樣的設(shè)計(jì)，所有的共享數(shù)據(jù)簽名都對(duì)應(yīng)于公共的群組公鑰，從而提高了用戶撤銷的效率，并且保護(hù)用戶的隱私信息不會(huì)泄露給云服務(wù)提供商。除此之外，通過隨機(jī)掩蓋技術(shù)，文中所提出的方案能夠保證TPA在審計(jì)過程中不泄露關(guān)于數(shù)據(jù)內(nèi)容的隱私信息。

［1］K.Ren，C.Wang，Q.Wang.Security Challenges for the Public Cloud.Internet Computing，2012，16（1）：69-73.

［2］M.Armbrust，A.Fox，R.Griffith，et al.A view of cloud computing［C］//Commun.ACM，2010，53（4）：50-58.

［3］B.Wang，B.Li and H.Li.Public auditing for shared data with efficient user revocation in the cloud［J］.INFOCOM 2013，2013：2904-2912.

［4］G.Ateniese and S.Hohenberger.Proxy Re-signature：New Definitions，algorithmandApplications［C］//inthe Proceedings of ACM CCS 2005，2005：310-319.

［5］C.Erway，Kupcu.A，C.Papamanthou，etal.Dynamicprovable data possession.Proceedings of the 2009 ACM Workshop on Cloud Computing Security［C］//Chicago，USA，2009：213-222.

［6］C.Wang，Q.Wang，K.Ren，et al.Privacy-preserving public auditing for data storage security in cloud computing［C］// Proceedings of InfoCom2010，IEEE，March，2010.

［7］L.Chen.Using algebraic signatures to check data possession in cloud storage.Future Generation Computer Systems，2013，29（7）：1709-1715.

［8］B.Wang，B.Li，H.Li.Knox：Privacy-perserving Auditing for Shared Data with Large Groups in the Cloud［C］//in the Proceedings of ACNS 2012，June 2012：507-525.

［9］Cong Wang，Sherman S.M.Chow，Qian Wang，Kui Ren，Wenjing Lou：Privacy-Preserving Public Auditing for Secure Cloud Storage［C］//IEEE Trans.Computers，2013，62（2）：362-375.

［10］Q.Wang，C Wang，J.Li，et al.Enabling public Auditability and data dynamics for storage security in cloud computing［C］//IEEE Transactions on Parallel and Distributed Systems，2011，22（5）：847-859.

［11］Y.Zhu，H.Wang，Z.Hu，et al.Dynamic Audit Services for Integrity Verification of Outsourced Storage in Clouds［C］//in the Proceedings of ACM SAC 2011，2011：1550-1557.

A public auditing solution for shared data in the cloud

ZHOU Hong1，CHEN Feng2
（1.Guangzhou General Hospital of Guangzhou Command，Guangzhou 510010，China；2.School of Information System and Management，Nation University of Defense Technology，Changsha 410073，China）

Recently several data integrity checking schemes have been proposed for secure shared data in the cloud storage，which consider a realistic scenarios where multiple users can modifier the same data in the cloud.However，most of these schemes may disclose sensitive data during the auditing process.Moreover，they do not consider collusion between untrusted cloud and the revoked users.Besides，bidirectional proxy re-signatures used in some schemes result in powerful capacity of the cloud，which may misbehave utilizing the re-signing keys.In this paper，we introduce a Group-Mediator（GM）and propose a novel public auditing scheme for the integrity of shared data in the cloud，which supports public auditing，collusion resistance and efficient user revocation.We further integrate random masking technique to preserve data privacy from the TPA. Numerical analysis and experimental results demonstrate that the proposed scheme is secure and efficient.

cloud computing；data integrity；public auditing；user revocation；privacy-preserving

TN8

A

1674－6236（2016）09-0060-03

2015-06-02稿件編號(hào)：201506028

周虹（1966—），女，山東萊西人，工程師。研究方向：計(jì)算機(jī)應(yīng)用。