李昊星，李鳳華,2，宋承根，閻亞龍

(1. 西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071；2. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100093；3. 北京電子科技學(xué)院信息安全研究所，北京 100070)

支持身份認(rèn)證的數(shù)據(jù)持有性證明方案

李昊星1，李鳳華1,2，宋承根3，閻亞龍3

(1. 西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071；2. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100093；3. 北京電子科技學(xué)院信息安全研究所，北京 100070)

針對(duì)云應(yīng)用場(chǎng)景中身份認(rèn)證和數(shù)據(jù)持有性證明的雙重需求，提出一種支持身份認(rèn)證的數(shù)據(jù)持有性證明方案?；跀?shù)據(jù)標(biāo)簽簽名和隨機(jī)數(shù)復(fù)用，新方案通過3次交互即可實(shí)現(xiàn)用戶對(duì)云持有數(shù)據(jù)的完整性驗(yàn)證、用戶與云服務(wù)器之間的雙向身份認(rèn)證以及會(huì)話密鑰協(xié)商與確認(rèn)。與使用認(rèn)證密鑰協(xié)商和數(shù)據(jù)持有性證明的組合方案相比，新方案具有較少的運(yùn)算量和交互輪次以及可證明的安全性。在隨機(jī)預(yù)言機(jī)模型下，基于計(jì)算性Diffie-Hellman問題假設(shè)，給出方案的安全性證明。

認(rèn)證；數(shù)據(jù)持有；云計(jì)算；可證明安全；隨機(jī)預(yù)言機(jī)

1 引言

隨著云計(jì)算的快速發(fā)展，基于云構(gòu)建的各種應(yīng)用逐漸融入了人們的工作和生活。云計(jì)算利用虛擬化技術(shù)實(shí)現(xiàn)了多租戶共享云資源，提高了硬件資源的利用率，降低了用戶的使用成本[1]。云計(jì)算為用戶提供了高性能、高穩(wěn)定性、低費(fèi)用的服務(wù)，同時(shí)也帶來了一些新的安全問題，如云環(huán)境中的身份認(rèn)證、訪問控制、數(shù)據(jù)搜索、數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)安全刪除等。近期接連發(fā)生的云計(jì)算相關(guān)安全事故使云安全問題成為產(chǎn)業(yè)界的熱門話題和學(xué)術(shù)界的研究熱點(diǎn)[2]。

基于云構(gòu)建的存儲(chǔ)系統(tǒng)中，敏感數(shù)據(jù)被加密保護(hù)后再上傳到云服務(wù)器，在使用時(shí)被取回并解密。此過程中，應(yīng)避免取回大量無效數(shù)據(jù)造成通信資源和下載時(shí)間的浪費(fèi)。而基于云構(gòu)建的復(fù)雜計(jì)算系統(tǒng)中，程序運(yùn)算量大，單次運(yùn)行周期長，應(yīng)在程序執(zhí)行前確認(rèn)相關(guān)算法、策略或參數(shù)等關(guān)鍵內(nèi)容的完整性，避免無效運(yùn)行的情況發(fā)生。在諸如此類的云應(yīng)用系統(tǒng)中，需要考慮外源數(shù)據(jù)的完整性問題。但云服務(wù)器并不完全可信，用戶無法依賴云自身的安全防護(hù)手段保證數(shù)據(jù)的完整性，而且云服務(wù)器存在設(shè)備損壞、遭受自然災(zāi)害和黑客攻擊的可能性。所以，用戶需要自主地驗(yàn)證云數(shù)據(jù)的完整性。如果用戶將云數(shù)據(jù)下載到本地以驗(yàn)證其完整性，在數(shù)據(jù)量較大的情況下是低效的。為此，研究者們提出了數(shù)據(jù)持有性證明（PDP, provable data possession）[3]和數(shù)據(jù)可恢復(fù)證明（POR, proofs of retrievability）[4]。PDP方案使用戶即使刪除了本地?cái)?shù)據(jù)，仍然可在無需下載數(shù)據(jù)的條件下，利用數(shù)據(jù)標(biāo)簽驗(yàn)證云服務(wù)器是否持有完整的用戶數(shù)據(jù)，且在此過程中不會(huì)泄露數(shù)據(jù)內(nèi)容。PDP方案注重快速驗(yàn)證云端數(shù)據(jù)是否損壞，而 POR方案除此功能之外還能恢復(fù)已損壞數(shù)據(jù)，二者對(duì)應(yīng)的應(yīng)用需求不同。另外，在云計(jì)算環(huán)境中，用戶身份認(rèn)證是防止數(shù)據(jù)非法訪問的前提條件，也是計(jì)費(fèi)、日志記錄和審計(jì)的基礎(chǔ)[5]。即使云存儲(chǔ)系統(tǒng)中的敏感數(shù)據(jù)已被加密保護(hù)，仍有必要對(duì)訪問者進(jìn)行身份認(rèn)證，以便降低密鑰泄露對(duì)敏感數(shù)據(jù)的安全威脅，也能有效減少攻擊者發(fā)動(dòng)側(cè)信道攻擊的可能性。通過上述分析可以看出，云應(yīng)用場(chǎng)景中存在同時(shí)需要數(shù)據(jù)持有性證明和身份認(rèn)證的情況。

針對(duì)云數(shù)據(jù)持有性證明問題，研究者首先提出了公開驗(yàn)證的 PDP方案[3,6～8]。在公開驗(yàn)證的 PDP方案中，任何人都可以向云提出數(shù)據(jù)持有性驗(yàn)證請(qǐng)求并得到正確的應(yīng)答結(jié)果。但某些具有較高安全需求的用戶將云服務(wù)器的數(shù)據(jù)持有情況視為隱私，不希望這些信息被公開獲得。而攻擊者可以利用公開驗(yàn)證的PDP方案評(píng)估攻擊效果，進(jìn)而找出針對(duì)云中敏感數(shù)據(jù)的有效攻擊方法。所以，如何限定驗(yàn)證者身份成為 PDP方案需要解決的問題。為此，Shen和Zeng[9]提出了代理驗(yàn)證的PDP方案，該方案中數(shù)據(jù)擁有者為驗(yàn)證代理生成代理密鑰，云服務(wù)器利用該代理密鑰對(duì)數(shù)據(jù)擁有者生成的標(biāo)簽進(jìn)行轉(zhuǎn)換，使代理可以驗(yàn)證云中數(shù)據(jù)的完整性。Wang[10]給出了一個(gè)基于授權(quán)的PDP方案，該方案的基本思想是數(shù)據(jù)擁有者利用簽名給驗(yàn)證者授權(quán)，擁有授權(quán)才能驗(yàn)證云服務(wù)器持有的數(shù)據(jù)是否完整。Ruan和Lei[11]提出了一種具有細(xì)粒度權(quán)限控制能力的代理驗(yàn)證方案，該方案中驗(yàn)證者可在不提供私鑰的情況下向他人證明數(shù)據(jù)丟失。Xu等[12]提出了一種可保護(hù)驗(yàn)證者隱私的代理驗(yàn)證方案。

針對(duì)云環(huán)境中的身份認(rèn)證，Nimmy和Sethumadhavan[13]提出了一種利用秘密共享實(shí)現(xiàn)的雙向認(rèn)證方案。該方案中，服務(wù)器將用戶的憑證分為2份，一份存儲(chǔ)在智能卡中，另一份存儲(chǔ)在服務(wù)器中。Hao等[14]提出了一種基于時(shí)間有效期票據(jù)的云環(huán)境雙向認(rèn)證方案。該方案的優(yōu)點(diǎn)是服務(wù)器向用戶發(fā)出一定數(shù)量的數(shù)字票據(jù)，用戶可以一次數(shù)據(jù)驗(yàn)證使用一張票據(jù)，所以它可以節(jié)省驗(yàn)證的時(shí)間。Huang等[15]提出了一種具有頑健性和隱私保護(hù)的云認(rèn)證方案。Nagaraju和Parthiban[16]提出了可證明安全的多因子云認(rèn)證方案。

雖然數(shù)據(jù)持有性證明方案和云認(rèn)證協(xié)議分別解決了云環(huán)境中數(shù)據(jù)持有性證明及用戶身份認(rèn)證問題，但在一個(gè)方案中既完成用戶認(rèn)證又實(shí)現(xiàn)數(shù)據(jù)持有性證明，可提供更好的安全性、運(yùn)算效率和環(huán)境適應(yīng)能力。所以，研究支持身份認(rèn)證功能的數(shù)據(jù)持有證明具有理論和應(yīng)用價(jià)值。2015年，Hahn等[17]首次提出了基于數(shù)據(jù)塊持有證明的認(rèn)證方案。但該方案僅實(shí)現(xiàn)了認(rèn)證，不支持密鑰協(xié)商，且用戶需要存儲(chǔ)由云服務(wù)器生成的、完整的Merkle樹，要求用戶具有較大的存儲(chǔ)空間。

為此，本文提出一種支持身份認(rèn)證的數(shù)據(jù)持有性證明方案，簡稱A-PDP方案。本方案利用預(yù)生成的數(shù)據(jù)標(biāo)簽和數(shù)據(jù)持有性證明過程的中間數(shù)據(jù)實(shí)現(xiàn)用戶與云服務(wù)器之間的身份認(rèn)證與密鑰協(xié)商，且不泄露數(shù)據(jù)內(nèi)容和用戶身份。本文貢獻(xiàn)如下：提出一個(gè)方案，用于既要驗(yàn)證云持有數(shù)據(jù)完整性，又要驗(yàn)證用戶身份的應(yīng)用場(chǎng)景，僅當(dāng)用戶擁有授權(quán)且云持有完整數(shù)據(jù)的條件下，才能完成相互認(rèn)證和會(huì)話密鑰協(xié)商；方案具有密鑰確認(rèn)功能，且交互輪次比組合方案減少一半；方案的用戶端運(yùn)算量小、存儲(chǔ)內(nèi)容少；在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。

2 A-PDP模型

本節(jié)首先給出A-PDP方案定義，然后描述方案的安全目標(biāo)和相應(yīng)的攻擊模型。

2.1 方案定義

A-PDP方案架構(gòu)如圖1所示，方案中存在3種實(shí)體：云服務(wù)器S、數(shù)據(jù)擁有者H和用戶U。

圖1A-PDP方案架構(gòu)

數(shù)據(jù)擁有者H首先對(duì)將要上傳到云服務(wù)器S的數(shù)據(jù)進(jìn)行分組，為每組數(shù)據(jù)生成標(biāo)簽，然后將數(shù)據(jù)分組和標(biāo)簽存儲(chǔ)到云服務(wù)器S中。用戶U在訪問及驗(yàn)證數(shù)據(jù)擁有者H上傳到云中的數(shù)據(jù)前，首先要通過安全信道獲得數(shù)據(jù)擁有者H的授權(quán)。用戶U得到授權(quán)之后，可以生成數(shù)據(jù)持有性驗(yàn)證的挑戰(zhàn)并發(fā)送給云服務(wù)器S。云服務(wù)器S收到挑戰(zhàn)后，利用數(shù)據(jù)分組和對(duì)應(yīng)的標(biāo)簽，生成數(shù)據(jù)持有憑證并返回給用戶U。用戶U根據(jù)持有憑證判斷云服務(wù)器S是否持有完整的數(shù)據(jù)，然后生成授權(quán)憑證并發(fā)送給云服務(wù)器S。云服務(wù)器S根據(jù)授權(quán)憑證判斷用戶擁有的授權(quán)是否有效。最后，雙方根據(jù)需要協(xié)商出會(huì)話密鑰。上述過程可簡述為：用戶U判斷云服務(wù)器S中數(shù)據(jù)擁有者H的數(shù)據(jù)是否完整；而云服務(wù)器S判斷用戶U是否擁有授權(quán)。只有當(dāng)云服務(wù)器S持有完整的數(shù)據(jù)且用戶U擁有授權(quán)的情況下，二者才能協(xié)商出相同的會(huì)話密鑰。在A-PDP方案中，假設(shè)云服務(wù)器S是半可信的，會(huì)誠實(shí)地執(zhí)行方案，不會(huì)主動(dòng)泄露私鑰和秘密數(shù)據(jù)。

一個(gè)A-PDP方案包括7個(gè)多項(xiàng)式時(shí)間算法：Setup、TagGen、Authorize、Challenge、GenProof、CheckProof和CheckAuthority，算法具體定義如下。

Setup(1k)：系統(tǒng)輸入一個(gè)安全參數(shù) k，為數(shù)據(jù)擁有者H和云服務(wù)器S生成公私鑰對(duì)。其中，數(shù)據(jù)擁有者H的公私鑰對(duì)為(pkH,skH)，云服務(wù)器S的公私鑰對(duì)為(pkS,skS)。

TagGen(pkH,skH,m)→Tagm：數(shù)據(jù)擁有者 H根據(jù)自身的公私鑰對(duì)(pkH,skH)，為數(shù)據(jù)分組m生成標(biāo)簽Tagm，然后將數(shù)據(jù)分組m和Tagm一起發(fā)送給云服務(wù)器S。

Authorize(skH,IDU)→cert：數(shù)據(jù)擁有者H根據(jù)自身的私鑰skH和用戶U的身份標(biāo)識(shí)IDU，生成授權(quán)cert并安全遞送給用戶。

Challenge(pkS,cert, Tagm)→Chal：用戶 U根據(jù)云服務(wù)器 S的公鑰pkS、授權(quán)cert和數(shù)據(jù)標(biāo)簽Tagm，生成挑戰(zhàn)Chal并發(fā)送給云服務(wù)器S。

GenProof(pkH,skS, Tagm,m, Chal)→Vm：云服務(wù)器S根據(jù)數(shù)據(jù)擁有者H的公鑰pkH、自身的私鑰skS、數(shù)據(jù)標(biāo)簽Tagm、數(shù)據(jù)分組m以及用戶U生成的挑戰(zhàn)Chal，生成持有數(shù)據(jù)m的憑證Vm并發(fā)送給用戶U。

CheckProof(pkH,pkS,cert, Chal, Vm)→{success,failure,VU}：用戶U根據(jù)數(shù)據(jù)擁有者H的公鑰pkH、云服務(wù)器S的公鑰pkS、授權(quán)數(shù)據(jù)cert、挑戰(zhàn)Chal和云服務(wù)器S生成的憑證Vm，判斷云服務(wù)器S是否持有完整的數(shù)據(jù)分組m，然后生成擁有授權(quán)cert的憑證VU，將憑證VU發(fā)送給云服務(wù)器S。

CheckAuthority(pkH,skS, VU)→{succes s,failure}：云服務(wù)器 S根據(jù)收到的授權(quán)憑證VU，驗(yàn)證用戶 U是否具有數(shù)據(jù)擁有者H的授權(quán)。

最后，云服務(wù)器S和用戶U可利用上述步驟的過程數(shù)據(jù)協(xié)商出相同的會(huì)話密鑰。

2.2 安全模型

A-PDP方案具有數(shù)據(jù)持有性證明和認(rèn)證密鑰協(xié)商功能，應(yīng)同時(shí)滿足二者的安全目標(biāo)。A-PDP方案的安全目標(biāo)為：1) 在無數(shù)據(jù)m的情況下，云服務(wù)器不能正確地給出持有數(shù)據(jù)m的憑證；2) 無授權(quán)用戶無法判斷出云服務(wù)器中挑戰(zhàn)對(duì)應(yīng)數(shù)據(jù)的完整性；3)無授權(quán)用戶或者其他授權(quán)用戶無法正確地猜測(cè)出某授權(quán)用戶與云服務(wù)器之間協(xié)商的會(huì)話密鑰。其中，目標(biāo)1)和目標(biāo)2)分別為數(shù)據(jù)持有性證明的可驗(yàn)證性和授權(quán)驗(yàn)證性，目標(biāo)3)為認(rèn)證密鑰協(xié)商安全性。

以下對(duì)上述安全目標(biāo)對(duì)應(yīng)的攻擊者進(jìn)行說明。目標(biāo)1)的攻擊者是云服務(wù)器，云服務(wù)器希望在篡改或刪除用戶數(shù)據(jù)的情況下，仍然可以向用戶證明存儲(chǔ)在服務(wù)器上的數(shù)據(jù)是完整的，該情況是所有PDP方案都需要解決的問題。目標(biāo)2)的攻擊者是沒有授權(quán)的用戶，稱為“外部攻擊者”，該攻擊者希望得到云服務(wù)器數(shù)據(jù)持有的相關(guān)信息，如某份數(shù)據(jù)是否存儲(chǔ)在云服務(wù)器中。目標(biāo)3)的攻擊者有2類，一類是外部攻擊者，另一類是有授權(quán)的惡意用戶，稱為“內(nèi)部攻擊者”。目標(biāo)3)的2類攻擊者都希望獲得其他授權(quán)用戶與云服務(wù)器之間的會(huì)話密鑰，而內(nèi)部攻擊者擁有外部攻擊者的全部能力并且擁有合法的授權(quán)數(shù)據(jù)。為便于說明，本文將外部攻擊者作為目標(biāo)2)的攻擊者，將內(nèi)部攻擊者作為目標(biāo)3)的攻擊者。

根據(jù)安全目標(biāo)和相應(yīng)的攻擊者，構(gòu)造3種攻擊模型。其中，C表示挑戰(zhàn)者，A表示攻擊者。

可驗(yàn)證性攻擊模型：在該模型中，攻擊者是云服務(wù)器，擁有云服務(wù)器的私鑰以及若干詢問。攻擊模型如下。

Setup：C運(yùn)行Setup(1k)為云服務(wù)器S和數(shù)據(jù)擁有者 H生成公私鑰對(duì)，得到(pkS,skS)和(pkH,skH)，公開公鑰并將云服務(wù)器私鑰skS發(fā)送給A。C運(yùn)行Authorize(skH,IDU)，得到授權(quán)cert。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，計(jì)算出若干數(shù)據(jù)分組mi的標(biāo)簽Tagmi，將數(shù)據(jù)和標(biāo)簽發(fā)送給A。

TagQuery：A可以選擇任意數(shù)據(jù)塊mi，將mi發(fā)送給C。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，生成標(biāo)簽Tagmi并返回給A。

HashQuery：A可以將任意數(shù)據(jù)發(fā)送給C，C將對(duì)應(yīng)的散列結(jié)果返回給A。

Challenge：C選擇一個(gè)A沒有的數(shù)據(jù)m′，生成相應(yīng)的挑戰(zhàn)信息Chalm′以及m′的標(biāo)簽Tagm′，將Chalm′和Tagm′發(fā)送給A 。

Forge：A根據(jù)Chalm′ 生成挑戰(zhàn)應(yīng)答 Ansm′（此時(shí)A 不知道m(xù)i′），將Ansm′發(fā)送給C。

Check：C運(yùn)行CheckProof(pkH,pkS,cert,Chalm′,Ansm′)，若運(yùn)行結(jié)果為success，則表明A正確地生成了對(duì)于m′挑戰(zhàn)應(yīng)答，破壞了方案的可驗(yàn)證性。

定義 1如果任何多項(xiàng)式時(shí)間的攻擊者按照上述模型攻破某 A-PDP方案可驗(yàn)證性的概率是可忽略的，則該A-PDP方案具有可驗(yàn)證性。

授權(quán)驗(yàn)證性攻擊模型：在該模型中，A是外部攻擊者，不能獲得云服務(wù)器的私鑰和用戶的授權(quán)數(shù)據(jù)。攻擊模型如下。

Setup：C運(yùn)行Setup(1k)為云服務(wù)器S和數(shù)據(jù)擁有者 H生成公私鑰對(duì)，得到(pkS,skS)和(pkH,skH)。C運(yùn)行Authorize(skH,IDU)，得到授權(quán)certU。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，計(jì)算出若干數(shù)據(jù)分組mi的標(biāo)簽Tagmi，將數(shù)據(jù)分組和標(biāo)簽發(fā)送給A。

TagQuery：A可以選擇任意數(shù)據(jù)分組mi，然后發(fā)送mi給C。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，計(jì)算出數(shù)據(jù)分組mi的標(biāo)簽Tagmi，然后將得出的標(biāo)簽發(fā)送給A。

HashQuery：A可以將任意數(shù)據(jù)發(fā)送給C，C將對(duì)應(yīng)的散列結(jié)果返回給A。

SendQuery：A冒充當(dāng)前用戶，發(fā)送任意消息給C。C根據(jù)協(xié)議運(yùn)行，對(duì)消息進(jìn)行處理后將對(duì)應(yīng)的應(yīng)答返回給A。

Challenge：C選擇一個(gè)A沒有詢問過的數(shù)據(jù)分組mj，發(fā)送數(shù)據(jù)分組mj的標(biāo)簽Tagmj給A。需要A判斷標(biāo)簽Tagmj對(duì)應(yīng)的數(shù)據(jù)分組是否存儲(chǔ)在云服務(wù)器S中。

Judge：如果A可以正確地計(jì)算出CheckProof(pkH,pkS,cert, Tagmj,Chal, Vmj)的結(jié)果，則說明A破壞了方案的授權(quán)驗(yàn)證性。

定義 2如果任何多項(xiàng)式時(shí)間的攻擊者按照上述模型攻破某 A-PDP方案授權(quán)驗(yàn)證性的概率是可忽略的，則該A-PDP方案具有授權(quán)驗(yàn)證性。

認(rèn)證密鑰協(xié)商安全性攻擊模型，在該模型中，A是內(nèi)部攻擊者。攻擊模型如下。

Setup：C運(yùn)行Setup(1k)為云服務(wù)器S和數(shù)據(jù)擁有者 H生成公私鑰對(duì)，得到(pkS,skS)和(pkH,skH)。C運(yùn)行Authorize(skH,IDU′)為所有合法用戶生成授權(quán)，A可得到除當(dāng)前用戶 U之外任何其他用戶U′的授權(quán)certU′。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，計(jì)算出若干數(shù)據(jù)分組mi的標(biāo)簽Tagmi，將數(shù)據(jù)分組和標(biāo)簽發(fā)送給A。

TagQuery：A可以選擇任意數(shù)據(jù)分組mi，然后發(fā)送mi給C。C運(yùn)行標(biāo)簽產(chǎn)生算法TagGen(pkH,skH,mi)，計(jì)算出數(shù)據(jù)分組mi的標(biāo)簽Tagmi，然后將得出的標(biāo)簽發(fā)送給A。

HashQuery：A可以將任意數(shù)據(jù)發(fā)送給C，C將對(duì)應(yīng)的散列結(jié)果返回給A。

SendQuery：A冒充當(dāng)前用戶，發(fā)送任意消息給C。C根據(jù)協(xié)議運(yùn)行，對(duì)消息進(jìn)行處理后將對(duì)應(yīng)的應(yīng)答返回給A。

TestQuery：A選擇一個(gè)之前沒有進(jìn)行過任何詢問的會(huì)話作為測(cè)試會(huì)話，對(duì)該會(huì)話進(jìn)行Test詢問。C隨機(jī)選擇一個(gè)比特b。若 b=1，則C發(fā)送正確的會(huì)話密鑰給A；反之，b=0，C選擇一個(gè)隨機(jī)數(shù)作為會(huì)話密鑰返回給A。

Judge：如果A可以以不可忽略的優(yōu)勢(shì)猜測(cè)出TestQuery中b的值，即猜中TestQuery的輸出是隨機(jī)數(shù)還是真實(shí)的會(huì)話密鑰，則說明攻擊者破壞了方案的認(rèn)證密鑰協(xié)商安全性。

定義 3如果任何多項(xiàng)式時(shí)間的攻擊者按照上述模型攻破某 A-PDP方案認(rèn)證密鑰協(xié)商安全性的概率是可忽略的，則該A-PDP方案具有認(rèn)證密鑰協(xié)商安全性。

3 方案構(gòu)造

本節(jié)給出A-PDP方案具體構(gòu)造。A-PDP方案利用指數(shù)運(yùn)算的同態(tài)性，可同時(shí)對(duì)多個(gè)數(shù)據(jù)分組進(jìn)行批量驗(yàn)證，即可實(shí)現(xiàn)數(shù)據(jù)分組的隨機(jī)線性組合(random linear combination)驗(yàn)證。

A-PDP方案具體構(gòu)造如圖2所示。

圖2A-PDP方案構(gòu)造

Setup(1k)：系統(tǒng)選擇2個(gè)安全的大素?cái)?shù)p和q。設(shè)N=pq為RSA算法中的模，QRN是模N的二次剩余所組成的群，g是QRN的生成元。系統(tǒng)選擇散列函數(shù)H(·)∶(0,1)*→(0,1)k、一對(duì)安全的對(duì)稱加解密算法和密鑰派生函數(shù)KDF( i, len)。其中，k為安全參數(shù)，K是對(duì)稱密鑰，i是派生因子，len是派生密鑰的長度。N、g、H(·)、EK(·)、DK(·)和KDF(·,·)是系統(tǒng)公開參數(shù)。系統(tǒng)為數(shù)據(jù)擁有者H和云服務(wù)器S生成公私鑰對(duì)，將公鑰公開，將私鑰安全遞送給相應(yīng)實(shí)體。其中，數(shù)據(jù)擁有者 H的公私鑰對(duì)為；云服務(wù)器S的公私鑰對(duì)為。系統(tǒng)選擇大素?cái)?shù) d、e，滿足de≡1mod(p?1)(q?1)，將(d,e)作為數(shù)據(jù)擁有者 H的標(biāo)簽簽名公私鑰對(duì)。

TagGen(pkH,d,pkS,mi(1≤i≤n))：數(shù)據(jù)擁有者H將數(shù)據(jù)m（可以是加密生成的數(shù)據(jù)）分成n組，每個(gè)分組標(biāo)記為mi(1≤i≤n)。數(shù)據(jù)擁有者H為每個(gè)分組m生成標(biāo)簽i，然后將數(shù)據(jù)分組和標(biāo)簽一同發(fā)給云服務(wù)器S。其中，wmi是每個(gè)分組對(duì)應(yīng)的特征值，云服務(wù)器S利用特征值查找數(shù)據(jù)分組，特征值不泄露數(shù)據(jù)內(nèi)容，可包含文件名、按照一定規(guī)則定義的序號(hào)、關(guān)鍵詞等。

Authorize(skH,IDU)：用戶U首先通過安全信道發(fā)送自己的身份標(biāo)識(shí)IDU給數(shù)據(jù)擁有者H。數(shù)據(jù)擁有者 H隨機(jī)選擇r∈并計(jì)算RU=gr和。其中，。數(shù)據(jù)擁有者H通過安全信道將授權(quán)發(fā)送給用戶U。用戶 U在收到授權(quán) cert后，驗(yàn)證等式是否成立。若等式成立則說明授權(quán)有效；否則說明授權(quán)無效。

Challenge(pkS,cert, wmi(1≤i≤n))：用戶U在收到數(shù)據(jù)擁有者H的授權(quán)(RU,sU)后，任何時(shí)候都可以對(duì)云服務(wù)器S上數(shù)據(jù)擁有者H的數(shù)據(jù)進(jìn)行持有性驗(yàn)證。假設(shè)用戶U要驗(yàn)證數(shù)據(jù)m，數(shù)據(jù)分組mi對(duì)應(yīng)的標(biāo)簽為Tagmi，數(shù)據(jù)分組的特征值為wmi，其中，1≤i≤n。用戶 U 隨機(jī)選擇并計(jì)算ga、K=(gsS)a和加密密鑰H( K||ga||gsS)，選取n個(gè)隨機(jī)數(shù)a1, a2,…,an∈ZN*，將挑戰(zhàn)消息Chal={ga,C}發(fā)送給云服務(wù)器S。其中，

GenProof(pkH,skS, Tagm,m, Chal)：云服務(wù)器S在收到挑戰(zhàn)消息Chal={ga,C}后，執(zhí)行以下操作。首先，根據(jù)自己的私鑰sS計(jì)算K′=(ga)sS以及解密密鑰H( K′||ga||gsS)，并利用D(·)解密 C，得到ID,R,ga,a, w,a, w,…,a, w。然后，根據(jù)得UU1m12m2nmn到的數(shù)據(jù)特征值查找出所有對(duì)應(yīng)的數(shù)據(jù)分組和標(biāo)簽。如果所有數(shù)據(jù)分組都被找到，則隨機(jī)選取b∈Z*計(jì)算：N和否則，隨機(jī)生成T1、T2和M。最后，根據(jù)T2和M計(jì)算，將{T, T, V}作為121挑戰(zhàn)響應(yīng)發(fā)送給用戶U。

CheckAuthority()：云服務(wù)器 S收到V2后，驗(yàn)證等式是否成立。若等式不成立，退出當(dāng)前會(huì)話；否則，說明用戶U擁有授權(quán)并計(jì)算出了相同的會(huì)話密鑰。最后，計(jì)算skey=KDF( IDU||IDS||M, klen)。

4 正確性分析

本方案中，數(shù)據(jù)擁有者對(duì)所有數(shù)據(jù)分組的標(biāo)簽進(jìn)行了簽名，使包括云服務(wù)器在內(nèi)的其他實(shí)體無法偽造標(biāo)簽，用戶在驗(yàn)證消息前無需存儲(chǔ)或獲取相應(yīng)的標(biāo)簽。云服務(wù)器將標(biāo)簽聚合后生成T1并發(fā)送給用戶，用戶無需得到每個(gè)數(shù)據(jù)分組實(shí)際的標(biāo)簽數(shù)據(jù)，僅需驗(yàn)證標(biāo)簽的聚合結(jié)果，并從中獲得關(guān)于數(shù)據(jù)分組的信息。本方案的關(guān)鍵點(diǎn)是用戶U計(jì)算出的M′與云服務(wù)器S計(jì)算出的M是否相等。下面將數(shù)據(jù)分組標(biāo)簽代入到方案中，給出方案的正確性分析。

所以，當(dāng)云服務(wù)器擁有挑戰(zhàn)對(duì)應(yīng)的所有數(shù)據(jù)分組的情況下，若云服務(wù)器按照方案設(shè)計(jì)應(yīng)答用戶挑戰(zhàn)請(qǐng)求，則用戶和云服務(wù)器可以計(jì)算出相同的M值。否則，將導(dǎo)致驗(yàn)證失敗。

5 安全性分析

根據(jù)2.2節(jié)中的攻擊模型，在隨機(jī)預(yù)言機(jī)模型中證明本方案的安全性。

定理1若CDH假設(shè)在QRN中成立，則A-PDP方案在隨機(jī)預(yù)言模型下具有可驗(yàn)證性。

證明根據(jù)可驗(yàn)證性攻擊模型，C在隨機(jī)預(yù)言模型下為A模擬A-PDP方案，并回答A提出的所有數(shù)據(jù)分組mi的標(biāo)簽詢問以及所有數(shù)據(jù)的散列詢問。若A可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率攻破A-PDP方案的可驗(yàn)證性，則挑戰(zhàn)者C可以利用A破解QRN上CDH問題。具體證明過程如下。

Setup：C運(yùn)行Setup(1k)算法為云服務(wù)器S生成公私鑰對(duì)，為數(shù)據(jù)擁有者H生成公私鑰對(duì)和標(biāo)簽簽名公私鑰對(duì)。其中，云服務(wù)器 S的公私鑰對(duì)，數(shù)據(jù)擁有者 H的公私鑰對(duì)，標(biāo)簽簽名公私鑰對(duì)為(d,e)。根據(jù)A-PDP方案生成用戶授權(quán)(RU,rU)。這里將數(shù)據(jù)擁有者H的公鑰pkH、云服務(wù)器S的公鑰pkS和私鑰skS發(fā)送給A。

TagQuery：A可以選擇若干分組mi(1≤i≤n)，并發(fā)送mi給C，C按照如下方式回答A的標(biāo)簽詢問。

若已對(duì)數(shù)據(jù)mi(1≤i≤n)進(jìn)行過TagGen詢問，則C從標(biāo)簽列表里找到對(duì)應(yīng)的Tagmi，將Tagmi發(fā)送給A；若沒有對(duì)數(shù)據(jù)mi進(jìn)行過TagGen詢問，則C運(yùn)行標(biāo)簽產(chǎn)生算法，計(jì)算出數(shù)據(jù)mi的標(biāo)簽Tag=(H( w) gmi)d，然后將Tag 發(fā)送給A，同時(shí)miimi存儲(chǔ)(mi,Tagmi)到標(biāo)簽列表中。

HashQuery：A可以對(duì)隨機(jī)預(yù)言機(jī)進(jìn)行詢問，從而得到某個(gè)消息的散列值。C按照如下方式回答攻擊者對(duì)消息X的散列詢問。

若消息X已經(jīng)被進(jìn)行過散列詢問，則C從散列列表里找到對(duì)應(yīng)的散列值hx，將hx發(fā)送給A；若消息X沒有被進(jìn)行過散列詢問，則C隨機(jī)選取一個(gè)數(shù)值hx，將hx作為消息 X的散列值發(fā)送給A，同時(shí)存儲(chǔ)hx=H( X )到標(biāo)簽列表中。

Challenge：C任選一個(gè)驗(yàn)證實(shí)例，在該實(shí)例中任選一個(gè)隨機(jī)數(shù)gx作為協(xié)議中的ga，隨機(jī)選取，并計(jì)算K=(gx)sS以及。然后C再任選一個(gè)隨機(jī)數(shù)gy，滿足y是中一個(gè)數(shù)據(jù)分組，標(biāo)簽為，特征值為wy。C計(jì)算其中，有一個(gè)mi即為選定的y，其對(duì)應(yīng)的隨機(jī)數(shù)為ay。C將挑戰(zhàn)信息Chal=(gx,C)發(fā)送給A。這里的挑戰(zhàn)模擬是合理的，因?yàn)锳要在不知道數(shù)據(jù)y的情況下，成功地證明他擁有y。

Forge：A利用私鑰sS，解密 C得到。A的目的是產(chǎn)生包含數(shù)據(jù)分組y的挑戰(zhàn)Chal的應(yīng)答信息Vy。若A可以成功地生成挑戰(zhàn)信息Chal=(gx,C)的應(yīng)答信息Vy，使CheckProof(pkH,pkS,cert,Chal, Vy)的結(jié)果為success，則C可以A破解CDH問題。因?yàn)?，若A要使CheckProof成功，即要得出Vy使其滿足。也就是說，A要得出這樣的Vy，必然進(jìn)行了的散列詢問。其中，，b為A選擇的隨機(jī)數(shù)。因此，C可以查找散列列表獲得。由于C知道s、s、US所有ai以及除了消息y以外的所有mi，所以C可以獲得，也就獲得了。由于，所以C可以獲得gxy，也就破解了QRN上 CDH問題。由于QRN上CDH假設(shè)在多項(xiàng)式時(shí)間內(nèi)是成立的，所以定理1得證。

定理 2若 CDH假設(shè)在QRN中成立，則A-PDP方案在隨機(jī)預(yù)言模型下可以提供用戶的授權(quán)驗(yàn)證性。

證明定理2說明的是外部攻擊者沒有授權(quán)，不能對(duì)任何數(shù)據(jù)分組進(jìn)行持有性驗(yàn)證。該外部攻擊者即沒有授權(quán)數(shù)據(jù)，也不知道云服務(wù)器和數(shù)據(jù)擁有者的密鑰。授權(quán)驗(yàn)證性的目標(biāo)是：外部攻擊者知道數(shù)據(jù)分組mi及其標(biāo)簽的情況下，仍然不能驗(yàn)證mi是否存儲(chǔ)在云服務(wù)器當(dāng)中。具體證明如下。

Setup(1k)：C運(yùn)行Setup(1k)算法產(chǎn)生數(shù)據(jù)擁有者H的公私鑰對(duì)為pk=gsH、sk=gsH以及用于

H H標(biāo)簽簽名的公私鑰對(duì)(d,e)。在產(chǎn)生云服務(wù)器S的公鑰時(shí)，C選擇一個(gè)隨機(jī)數(shù)gy作為其公鑰。C按照如下方式為用戶U發(fā)放授權(quán)。C選擇r∈并計(jì)算RU=gr，然后C隨機(jī)選擇gx，令gx=h=H( ID||R)。C可

U UU以這樣做的原因是C控制著所有散列函數(shù)的返回值，最后C計(jì)算 sU=r+hUsH并將(RU,sU)發(fā)送給用戶U。外部攻擊者可以獲得的是數(shù)據(jù)擁有者和云服務(wù)器的公鑰、用戶U相關(guān)信息(IDU,RU)、數(shù)據(jù)分組mi及相應(yīng)標(biāo)簽。

HashQuery、TagQuery：A可以進(jìn)行標(biāo)簽詢問以及散列詢問，C對(duì)這些詢問的應(yīng)答方式與可驗(yàn)證性證明相同。

SendQ uery：A根據(jù)標(biāo)簽，生成針對(duì)若干數(shù)據(jù)分組mi(1≤i≤n)的挑戰(zhàn)信息Chal=(gz,C )并發(fā)送給C。C收到挑戰(zhàn)信息后，運(yùn)行GenProof(pkH,skS,Tagmi,mi,Chal )算法。這里需要注意的是，由于C不知道云服務(wù)器公鑰gy中的y，因此，無法直接計(jì)算出K=(ga)y以及H( K||ga||gy)，但是C可以查看隨機(jī)預(yù)言機(jī) H。若在散列列表中，則意味著已經(jīng)有實(shí)體對(duì)散列函數(shù)進(jìn)行了H( K||ga||gy)詢問，那么C可以得到h=H( K|| ga||gy)。若不在散列列表中，則C選取一個(gè)隨機(jī)數(shù)h作為該散列詢問的返回值，同時(shí)，將該消息對(duì)存儲(chǔ)在散列列表中。所以，雖然C不知道 y，但可以利用隨機(jī)預(yù)言機(jī)為A正確的模擬本文方案。當(dāng)C得到h=H( K||ga||gy)后，解密C得到數(shù)據(jù)分組mi的特征值。若所有數(shù)據(jù)分組mi(1≤i≤n)都存在，C選擇一個(gè)隨機(jī)數(shù)b∈Z*并計(jì)算p以及。雖然C不知道y，但知道r、a 、b 、s、gy以及所有的a和m，所以仍然可Hii以計(jì)算出M，生成多個(gè)數(shù)據(jù)分組mi(1≤i≤n)的憑證V1，并將發(fā)送給用戶U。若有一個(gè)分組mi不存在，則C隨機(jī)生成(T1, T2, V1)作為挑戰(zhàn)相應(yīng)返回給A。

Challenge：C隨機(jī)生成一個(gè)數(shù)據(jù)分組mi，生成相應(yīng)的標(biāo)簽Tag=(H( w) gmi)d、特征值w、隨miimi機(jī)數(shù)值ai，將發(fā)送給A。

Judge：A要判斷云服務(wù)器S是否持有某數(shù)據(jù)分組mi。A首先冒充用戶者U向C發(fā)起挑戰(zhàn)。A選擇gz，并計(jì)算以及的值，然后將挑戰(zhàn)信息Chal=(gz,C)發(fā)送給C。C收到該消息后，執(zhí)行SendQ uery的方式生成(T1, T2, V1)并返回給A。A根據(jù)(T1, T2, V1)判斷數(shù)據(jù)分組mi是否存儲(chǔ)在云服務(wù)器S中。若A輸出的結(jié)果與用戶 U運(yùn)行算法CheckProof(pkH,pkS,cert,wmi,Chal,V )得到的結(jié)果相同，則說明A成功計(jì)算出了V1，即獲得了。那么C可以查看散列列表找到對(duì)應(yīng)的散列詢問，從而得到。在QR上CDH假設(shè)N下，A不可能正確地計(jì)算出V1。因?yàn)閷?M變形后可得。A知道ai、z和mi，則可以計(jì)算出。但是A卻無法計(jì)算出中的。若A能計(jì)算出，由于C知道 r、s、a和m，根據(jù)Hii，C可以得到gxy，計(jì)算出了CDH( gx,gy)，即破解了QR上 CDH問題。由N于QRN上CDH假設(shè)在多項(xiàng)式時(shí)間內(nèi)是成立的，所以定理2得證。

定理 3若 CDH假設(shè)在QRN中成立，A-PDP方案在隨機(jī)預(yù)言模型下可以提供認(rèn)證密鑰協(xié)商安全性。

證明根據(jù)2.2節(jié)中給出的認(rèn)證密鑰協(xié)商安全性攻擊模型，只需證明內(nèi)部攻擊者A不能獲得其他授權(quán)用戶與云服務(wù)器之間的會(huì)話密鑰即可，證明過程與授權(quán)驗(yàn)證性證明類似，這里只給出簡要的分析。授權(quán)驗(yàn)證性的攻擊者是沒有合法授權(quán)的外部攻擊者，而認(rèn)證密鑰協(xié)商安全性的攻擊者可以擁有除了目標(biāo)用戶U以外所有授權(quán)用戶的授權(quán)信息，但他仍然不能獲得U和云服務(wù)器S之間的會(huì)話密鑰。根據(jù)會(huì)話密鑰公式A可以獲得IDU、IDS以及klen，但不能獲得M。參考授權(quán)驗(yàn)證性的證明過程，若A能正確獲取M，則C可以利用攻擊者破解QRN上CDH問題。所以，A擁有certU'不能對(duì)獲得目標(biāo)用戶U的會(huì)話密鑰產(chǎn)生任何優(yōu)勢(shì)。定理3得證。

6 性能分析

6.1 理論分析

本方案在同一個(gè)會(huì)話中既實(shí)現(xiàn)了數(shù)據(jù)持有性證明又實(shí)現(xiàn)了用戶身份認(rèn)證與密鑰協(xié)商。為進(jìn)行效率比較，除Hahn等方案[17]外，分別挑選2組經(jīng)典、高效的AKA方案和PDP方案。其中，AKA方案選擇Cremers和Feltz提出的SIG (NAXOS)方案[18]和Krawczyk提出的HMQV方案[19]，而PDP方案選擇Ateniese等提出的 S-PDP方案[3]和 Wang提出的PPDP方案[10]。對(duì)各方案的運(yùn)算量、存儲(chǔ)消耗以及通信消耗等方面進(jìn)行了分析，分析結(jié)果如表1所示。表 1中，P表示預(yù)處理，U表示用戶或驗(yàn)證者，S表示服務(wù)器端。表1內(nèi)容中，n表示數(shù)據(jù)分組的數(shù)量，p表示一次雙線性對(duì)運(yùn)算，e表示一次指數(shù)運(yùn)算，h表示散列運(yùn)算，E表示對(duì)稱加解密運(yùn)算，sig表示簽名運(yùn)算，ver表示簽名驗(yàn)證運(yùn)算，f表示偽隨機(jī)函數(shù)運(yùn)算。

表1方案性能對(duì)比

運(yùn)算量方面。Hahn等方案[17]利用數(shù)據(jù)持有證明完成認(rèn)證，不支持密鑰協(xié)商。若不考慮本文方案，同時(shí)完成數(shù)據(jù)持有性證明和認(rèn)證密鑰協(xié)商需要PDP方案和 AKA協(xié)議組合。本文以效率較高的HMQV方案和S-PDP方案組合為例。該組合方案的運(yùn)算量將是HMQV方案和S-PDP方案運(yùn)算量的疊加。組合方案的用戶端運(yùn)算量為 2e+2h+(n+3)e+(n+1)h+(2n+3)f=(n+5)e+(n+3)h+(2n+3)f，Hahn 等方案[17]用戶端運(yùn)算量為(n+1)e+ (3n+2)h+(n+2)f，而本文方案的用戶端運(yùn)算量僅為 5e+1E+(n+1)f+3h。本文方案用戶端中運(yùn)算較大的指數(shù)運(yùn)算e的數(shù)量不隨數(shù)據(jù)分組數(shù)量n變化。這意味著驗(yàn)證的數(shù)據(jù)分組數(shù)量越大，本文方案用戶端的性能優(yōu)勢(shì)越明顯。其原因在于，本文方案的標(biāo)簽生成算法和方案設(shè)計(jì)降低了用戶驗(yàn)證云服務(wù)器數(shù)據(jù)持有憑證的運(yùn)算量，而認(rèn)證過程復(fù)用了數(shù)據(jù)持有性證明運(yùn)算的中間結(jié)果，使方案在無需額外運(yùn)算量和交互步驟的情況下，實(shí)現(xiàn)了功能目標(biāo)。

存儲(chǔ)消耗方面。本文方案與組合方案相比，用戶端和服務(wù)器端的存儲(chǔ)消耗相同。本文方案中，用戶端僅存儲(chǔ)授權(quán)信息，而服務(wù)器端存儲(chǔ)數(shù)據(jù)分組及標(biāo)簽。需要說明的是，本文方案中數(shù)據(jù)擁有者對(duì)所有標(biāo)簽進(jìn)行了簽名，使其他實(shí)體或攻擊者無法偽造標(biāo)簽，用戶不需要獲得每個(gè)數(shù)據(jù)分組的標(biāo)簽，僅需驗(yàn)證標(biāo)簽聚合結(jié)果是否正確。而Hahn等方案[17]中，用戶需要存儲(chǔ)完整的Merkle樹，不適合數(shù)據(jù)分組數(shù)量較大的情況。

通信消耗方面。本文方案效率不如其他方案，原因是用戶需要傳輸為每個(gè)數(shù)據(jù)分組選取的隨機(jī)數(shù)和用于查找數(shù)據(jù)分組的特征值，而其他對(duì)比PDP方案均指定了數(shù)據(jù)分組集合，沒有數(shù)據(jù)分組查找過程，不符合實(shí)際應(yīng)用情況。若本文方案利用偽隨機(jī)函數(shù)選擇待驗(yàn)證的數(shù)據(jù)分組并生成所需的隨機(jī)數(shù)，通信損耗可以降至O(1)，但用戶必須存儲(chǔ)所有數(shù)據(jù)標(biāo)簽，以防止云服務(wù)器利用無關(guān)數(shù)據(jù)生成持有證明。本文方案以通信損耗換取存儲(chǔ)空間和計(jì)算性能，并減少了系統(tǒng)參數(shù)中的偽隨機(jī)函數(shù)，降低了系統(tǒng)復(fù)雜度，使本文方案具有較強(qiáng)的用戶端設(shè)備適應(yīng)性，適應(yīng)運(yùn)算能力和存儲(chǔ)能力相對(duì)較弱的移動(dòng)設(shè)備或云終端。

交互次數(shù)方面。本文方案用戶和服務(wù)器之間的有3次交互，而2個(gè)經(jīng)典AKA方案僅需2次交互。但這2個(gè)AKA方案中均未提供會(huì)話密鑰確認(rèn)功能，也就是說不能確定對(duì)方是否能正確的計(jì)算出會(huì)話密鑰。通常情況下，若實(shí)現(xiàn)會(huì)話密鑰確認(rèn)，AKA方案至少需要額外增加2次交互，一次交互用于用戶確認(rèn)服務(wù)器的會(huì)話密鑰，另一次交互用于服務(wù)器確認(rèn)用戶的會(huì)話密鑰。所以，若組合方案增加會(huì)話密鑰確認(rèn)功能，則共需6次交互，而本文方案需要3次交互，次數(shù)減少一半，其原因是方案利用數(shù)據(jù)持有性證明的確認(rèn)步驟既作為對(duì)云服務(wù)器的認(rèn)證，又作為會(huì)話密鑰的確認(rèn)，這是普通AKA方案無法實(shí)現(xiàn)的。Hahn等方案[17]交互次數(shù)與本文方案相同，但該方案不支持密鑰協(xié)商且認(rèn)證的發(fā)起者是云服務(wù)器。在云環(huán)境中，用戶在線情況變化較快，不應(yīng)由云服務(wù)器發(fā)起認(rèn)證請(qǐng)求，至少應(yīng)先由用戶發(fā)送含身份信息的消息給云服務(wù)器。所以，Hahn等方案[17]合理的交互數(shù)應(yīng)為4次。

6.2 實(shí)驗(yàn)仿真

下面先對(duì)實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)過程中選擇的算法及參數(shù)進(jìn)行說明，然后給出實(shí)驗(yàn)結(jié)果。

基于 MIRACL庫[20]實(shí)現(xiàn)了本文方案和組合方案，并通過測(cè)試程序得到了2種方案在不同數(shù)據(jù)分組數(shù)量情況下方案各步驟的運(yùn)行時(shí)間。實(shí)驗(yàn)環(huán)境由宿主機(jī)和測(cè)試平臺(tái)2個(gè)部分組成，二者通過網(wǎng)絡(luò)連接。宿主機(jī)是一臺(tái)普通 PC，用于交叉編譯方案程序和測(cè)試程序，運(yùn)行64位Linux系統(tǒng)，發(fā)行版本為Ubuntu 12.04.5。測(cè)試平臺(tái)是一塊嵌入式開發(fā)板，用于運(yùn)行方案程序和測(cè)試程序。測(cè)試平臺(tái)的主處理器為飛思卡爾公司的i.mx6系列四核Cortex-A9 ARM處理器，主頻為1.2 GHz，擁有512 MB DDR2內(nèi)存，運(yùn)行32位Linux 3.1系統(tǒng)，測(cè)試平臺(tái)的運(yùn)算性能如表2所示。

表2測(cè)試平臺(tái)運(yùn)算性能

本文方案和組合方案選用相同的算法和安全參數(shù)，具體如下。安全參數(shù)k為1024 bit，選用1024位RSA算法，選用1024位DH算法（160位冪），選用SHA1作為摘要算法，選用AES作為對(duì)稱加解密算法，選用MIRACL庫自帶的隨機(jī)數(shù)生成算法。RSA算法的安全大素?cái)?shù)p和q均為512 bit，N為1024 bit，d為1024 bit，e為常數(shù)65537。模N二次剩余群QRN的生成元g為1024 bit。

本文方案的性能實(shí)驗(yàn)結(jié)果如圖3所示。其中，預(yù)處理是指數(shù)據(jù)有擁有者生成數(shù)據(jù)分組的標(biāo)簽。從圖3可以看出，隨著數(shù)據(jù)分組數(shù)量的增加，用戶端運(yùn)算時(shí)間的變化很小，服務(wù)器端運(yùn)算時(shí)間有所增加，而預(yù)處理運(yùn)算時(shí)間顯著增加。實(shí)驗(yàn)環(huán)境中，當(dāng)分組數(shù)量為10萬時(shí)，用戶端完成全部運(yùn)算的時(shí)間為4023 ms。圖4給出了本文方案和組合方案用戶端的運(yùn)算時(shí)間對(duì)比。得到圖4實(shí)驗(yàn)結(jié)果的原因是RSA運(yùn)算和DH運(yùn)算中的指數(shù)運(yùn)算的時(shí)間消耗較大，相應(yīng)步驟處理一個(gè)數(shù)據(jù)分組需要的指數(shù)運(yùn)算越多則運(yùn)算時(shí)間變化越明顯。而根據(jù)表2統(tǒng)計(jì)的運(yùn)算量，本文方案用戶端所需的指運(yùn)算數(shù)量固定不變，而預(yù)處理和服務(wù)器端所需的RSA和DH運(yùn)算量均與數(shù)據(jù)分組數(shù)量成比例。

圖3A-PDP方案性能

根據(jù)實(shí)驗(yàn)結(jié)果推算，測(cè)試平臺(tái)的預(yù)處理性能僅為 76.6 kbit/s，處理普通大小的文件也需要較長時(shí)間。但預(yù)處理過程是數(shù)據(jù)擁有者獨(dú)立執(zhí)行的，與云服務(wù)器和用戶無關(guān)。在方案實(shí)際部署時(shí)，數(shù)據(jù)擁有者可以把預(yù)處理交給高性能的可信第三方完成。因此，預(yù)處理性能對(duì)方案部署不會(huì)產(chǎn)生較大影響。另外，云服務(wù)器的運(yùn)算性能通常也遠(yuǎn)高于嵌入式測(cè)試平臺(tái)，方案部署時(shí)服務(wù)器端運(yùn)算消耗的時(shí)間會(huì)大幅減少。影響方案整體性能的關(guān)鍵是用戶端的運(yùn)算量，而本文方案有效降低了用戶端運(yùn)算量，且在數(shù)據(jù)分組數(shù)量增加時(shí)，用戶端運(yùn)算量增加較小。

圖4用戶端運(yùn)算時(shí)間對(duì)比

7 結(jié)束語

云應(yīng)用中，通過一次會(huì)話同時(shí)實(shí)現(xiàn)認(rèn)證密鑰協(xié)商和數(shù)據(jù)持有性證明的密碼方案具有研究意義和實(shí)用價(jià)值。本文提出了一種支持身份認(rèn)證的數(shù)據(jù)持有性證明方案，給出了方案定義和具體構(gòu)造，并在隨機(jī)預(yù)言機(jī)模型中證明了方案的安全性。根據(jù)性能分析結(jié)果，本文方案用戶端運(yùn)算量低、交互步驟少，滿足云應(yīng)用對(duì)方案功能、性能和安全性等方面的多重需求。下一步將研究密文搜索與數(shù)據(jù)持有性證明方案融合的可行性。

[1]BUYYA R, YEO C S, VENUGOPAL S, et al. Cloud computing and emerging IT platforms: vision, hype, and reality for delivering computing as the 5th utility[J]. Future Generation Computer Systems, 2009,25(6):599 -616.

[2]WU J, SHEN Q, WANG T, et al. Recent advances in cloud security[J].Journal of Computers, 2014, 5(10):2156-2163.

[3]ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security. ACM, 2007: 598-609.

[4]BOWERS K D, JUELS A, OPREA A. Proofs of retrievability: theory and implementation[C]// ACM Cloud Computing Security Workshop,CCSW 2009. Chicago, Il, USA, 2009:43-54.

[5]CHOUDHURY A J, KUMAR P, SAIN M, et al. A strong user authentication framework for cloud computing[C]// IEEE Asia-Pacific Services Computing Conference. Jeju, Korea, 2011: 110-115.

[6]LIU C, CHEN J, YANG L T, et al. Authorized public auditing of dynamic big data storage on cloud with efficient verifiable fine-grained updates[J]. IEEE Transactions on Parallel amp; Distributed Systems,2014, 25(9):2234-2244.

[7]GRITTI C, SUSILO W, PLANTARD T. Efficient dynamic provable data possession with public verifiability and data privacy[M]// Information Security and Privacy. Springer International Publishing,2015:395-412.

[8]WANG B, LI B, LI H. Panda: public auditing for shared data with efficient user revocation in the cloud[J]. IEEE Transactions on Services Computing, 2015 (1): 92-106.

[9]SHEN S T, ZENG W G. Delegable provable data possession for remote data in the clouds[M]// Information and Communications Security. Springer Berlin Heidelberg, 2011:93-111.

[10]WANG H. Proxy provable data possession in public clouds[J]. IEEE Transactions on Services Computing, 2013, 6(4):551-559.

[11]RUAN H M, LEI C L. Fine-grained audit privilege control for integrity audit on cloud storage[C]// 2014 Ninth Asia Joint Conference on Information Security (ASIA JCIS). IEEE, 2014: 156-163.

[12]XU J, CHEN W, JI S, et al. A novel preserving client privacy and designate verifier auditing scheme for cloud storage[J]. International Journal of Security and Its Applications, 2015, 9(1): 295-304.

[13]NIMMY K, SETHUMADHAVAN M. Novel mutual authentication protocol for cloud computing using secret sharing and steganography[C]//Applications of Digital Information and Web Technologies.IEEE, 2014:101-106.

[14]HAO Z, ZHONG S, YU N, et al. A time-bound ticket-based mutual authentication scheme for cloud computing[J]. International Journal of Computers Communications amp; Control, 2011, VI(2):227-235.

[15]HUANG J J, JUANG W S, FAN C I, et al. Robust and privacy protection authentication in cloud computing[J]. International Journal of Innovative Computing, Information and Control, 2013, 9(11): 4247-4261.

[16]NAGARAJU S, PARTHIBAN L. SecAuthn: provably secure multifactor authentication for the cloud computing systems[J]. Indian Journal of Science and Technology, 2016, 9(9).

[17]HAHN C, KWON H, KIM D, et al. Enhanced authentication for outsourced educational contents through provable block possession[J].Multimedia Tools amp; Applications, 2015,23:1-20.

[18]CREMERS C, FELTZ M. Beyond eCK: perfect forward secrecy under actor compromise and ephemeral-key reveal[J]. Designs, Codes and Cryptography, 2015, 74(1): 183-218.

[19]KRAWCZYK H. HMQV: a high-performance secure Diffie-Hellman protocol[C]//Advances in Cryptology–CRYPTO 2005. Springer Berlin Heidelberg, 2005: 546-566.

[20]SCOTT M. MIRACL - multiprecision integer and rational arithmetic C/C++ library (1988-2007)[EB/OL]. http://www3.cs.stonybrook.edu/～algorith/implement/shamus/distrib/ miracl3.zip.

Provable data possession scheme with authentication

LI Hao-xing1, LI Feng-hua1,2, SONG Cheng-gen3, YAN Ya-long3
(1. State Key Laboratory of Integrated Services Networks, Xidian University, Xi’an 710071, China;2. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;3. Information Security Institute, Beijing Electronic Science and Technology Institute, Beijing 100070, China)

To satisfy the requirements of identity authentication and data possession proven in the cloud application scenarios, a provable data possession scheme with authentication was proposed. Based on data tag signature and randomness reusing, the proposed scheme could accomplish several issues with three interactions, including the possession proof of cloud data, the mutual authentication between user and cloud computing server, the session key agreement and confirmation. Compared to the simple combination of authentication key agreement and provable data possession schemes, the proposed scheme has less computation and interactions, and better provable securities. In the random oracle model, the security proof of the proposed scheme is given under the computational Diffie-Hellman assumption.

authentication, data possession, cloud computing, provable security, random oracle

s:The National Natural Science Foundation of China General Project(No.61170251), The National High Technology Research and Development Program of China (863 Program)( No.2015AA016007),The National Natural Science Foundation of China-Guangdong Provincial People’s Government of the Joint Natural Science Fund Projects (No.U1401251)

TP393

A

10.11959/j.issn.1000-436x.2016203

2016-06-20；

2016-08-03

李鳳華，lfh@iie.ac.cn

國家自然科學(xué)面上基金資助項(xiàng)目（No.61170251）；國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016007）；國家自然科學(xué)基金—廣東聯(lián)合基金資助項(xiàng)目（No.U1401251）

李昊星（1982-），男，滿族，河南方城人，西安電子科技大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、云數(shù)據(jù)安全。

李鳳華（1966-），男，湖北浠水人，博士，中國科學(xué)院信息工程研究所副總工、研究員、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、信息保護(hù)、隱私計(jì)算。

宋承根（1987-），男，貴州錦屏人，博士，北京電子科技學(xué)院講師，主要研究方向?yàn)樾畔踩⒚艽a學(xué)。

閻亞龍（1976-），男，山西興縣人，北京電子科技學(xué)院高級(jí)工程師，主要研究方向?yàn)樾畔踩こ獭?/p>