田俊峰，柴夢(mèng)佳，齊鎏嶺

?

基于公有驗(yàn)證和私有驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方案

田俊峰1,2，柴夢(mèng)佳1,2，齊鎏嶺1,2

（1. 河北大學(xué)網(wǎng)絡(luò)空間安全與計(jì)算機(jī)學(xué)院，河北 保定 071002；2. 河北省高可信信息系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，河北 保定 071002）

越來(lái)越多的用戶愿意把數(shù)據(jù)存儲(chǔ)在云存儲(chǔ)系統(tǒng)中，數(shù)據(jù)安全是云存儲(chǔ)系統(tǒng)面臨的關(guān)鍵問(wèn)題，為了保證存儲(chǔ)在云中數(shù)據(jù)的完整性、有效性，數(shù)據(jù)持有性驗(yàn)證（PDP）就顯得尤為重要。為了驗(yàn)證云存儲(chǔ)服務(wù)提供商是否完整地存儲(chǔ)了用戶的數(shù)據(jù)，基于不可否認(rèn)PDP（NRPDP）方案提出了一種新的數(shù)據(jù)持有性驗(yàn)證方案。該方案基于公有驗(yàn)證和私有驗(yàn)證，可以同時(shí)對(duì)云存儲(chǔ)中服務(wù)提供商與用戶的可信性進(jìn)行驗(yàn)證，滿足了驗(yàn)證的不可否認(rèn)性。理論證明了該方案的不可否認(rèn)性，實(shí)驗(yàn)驗(yàn)證了各階段運(yùn)行時(shí)間效率比現(xiàn)有的單一的公有驗(yàn)證方法或私有驗(yàn)證方法更優(yōu)。

云存儲(chǔ)；不可否認(rèn)；數(shù)據(jù)持有；公有驗(yàn)證；私有驗(yàn)證

1 引言

云計(jì)算被廣泛地應(yīng)用于不同領(lǐng)域，企業(yè)根據(jù)需求訪問(wèn)云中的計(jì)算機(jī)和存儲(chǔ)系統(tǒng)，將資源切換到需要的應(yīng)用。云存儲(chǔ)的出現(xiàn)為用戶數(shù)據(jù)的存儲(chǔ)和訪問(wèn)提供了方便，它在云計(jì)算的基礎(chǔ)上集合了網(wǎng)絡(luò)中多種類型的存儲(chǔ)設(shè)備，對(duì)外存儲(chǔ)提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)服務(wù)[1]。隨著數(shù)據(jù)規(guī)模逐漸變大，對(duì)存儲(chǔ)能力的需求急劇增加，大量資源可存儲(chǔ)在云端，用戶可以通過(guò)相關(guān)設(shè)備登錄到云上，根據(jù)需要使用云設(shè)備對(duì)數(shù)據(jù)進(jìn)行存取和訪問(wèn)[2]。

然而云服務(wù)提供商是不能被完全信任的[3]。近幾年，多次出現(xiàn)云存儲(chǔ)數(shù)據(jù)丟失以及攻擊者通過(guò)攻擊云存儲(chǔ)系統(tǒng)來(lái)盜取用戶數(shù)據(jù)的安全問(wèn)題，這使云服務(wù)提供商的可靠性引起了人們的關(guān)注[4]。2012年，谷歌Gmail郵箱爆發(fā)數(shù)據(jù)丟失問(wèn)題，約15萬(wàn)用戶數(shù)據(jù)被刪除；2014年，蘋(píng)果“iCloud泄密事件”導(dǎo)致22萬(wàn)用戶的賬號(hào)密碼信息泄露。用戶一旦選擇將數(shù)據(jù)存儲(chǔ)在云中，就失去了對(duì)它的管理能力，無(wú)法確定該數(shù)據(jù)文件的完整性，進(jìn)而將面臨巨大的安全風(fēng)險(xiǎn)。因此，高效、正確地對(duì)云存儲(chǔ)中數(shù)據(jù)進(jìn)行完整性驗(yàn)證值得人們關(guān)注。

在數(shù)據(jù)完整性驗(yàn)證中，有不可信云服務(wù)器的存在，也有不誠(chéng)實(shí)用戶的存在。有些用戶為追求利益，會(huì)否認(rèn)正確驗(yàn)證結(jié)果，否認(rèn)云服務(wù)器對(duì)數(shù)據(jù)進(jìn)行的合法操作，其最終目的是得到非法經(jīng)濟(jì)補(bǔ)償。因此，同時(shí)驗(yàn)證用戶和服務(wù)器的可信性是非常有必要的。為此，有多種數(shù)據(jù)持有性驗(yàn)證[5-6]（PDP, provable data possession）和數(shù)據(jù)可恢復(fù)性證明[7-8]（POR, proof of retrievability）方案被提出。

本文采用私有驗(yàn)證和公有驗(yàn)證相結(jié)合的方式對(duì)云中的數(shù)據(jù)進(jìn)行驗(yàn)證，并對(duì)驗(yàn)證結(jié)果進(jìn)行不可否認(rèn)驗(yàn)證，通過(guò)2種算法輸出的結(jié)果對(duì)，判定云中存儲(chǔ)的數(shù)據(jù)完整性。

2 相關(guān)工作

2.1 基于公有驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方案

Ateniese等[9]在CSS（ACM Conference on Computer and Communications Security）上首次提出了數(shù)據(jù)持有性證明，并且為了提高驗(yàn)證效率，利用RSA方案構(gòu)造了同態(tài)驗(yàn)證標(biāo)簽（HVT, homomorphic verifiable tag），省去了對(duì)整篇文章的檢索和下載，確保文章內(nèi)容不被驗(yàn)證方了解。他們首次將“挑戰(zhàn)?應(yīng)答”協(xié)議引入完整性驗(yàn)證中，這樣進(jìn)行驗(yàn)證的次數(shù)便可不受限制，可根據(jù)需要進(jìn)行多次數(shù)據(jù)完整性驗(yàn)證。該模型主要針對(duì)靜態(tài)數(shù)據(jù)存儲(chǔ)。Dan等[10]同樣提出了一種具有同態(tài)特性的PDP機(jī)制，其基于BLS簽名，不僅有效地減少了驗(yàn)證過(guò)程中的通信開(kāi)銷(xiāo)，而且極大地節(jié)省了數(shù)據(jù)存儲(chǔ)空間。在驗(yàn)證過(guò)程中，使用第三方審計(jì)角色（TPA, third-party audits）代替用戶對(duì)數(shù)據(jù)進(jìn)行持有性驗(yàn)證工作。Wang等[11]首次詳細(xì)地介紹了公有驗(yàn)證模型，提出了一種支持動(dòng)態(tài)操作的基于Merkle Tree的數(shù)據(jù)持有性證明方案，該方案支持?jǐn)?shù)據(jù)修改、插入、刪除等更新操作。Wang等[12]將可信第三方（TTP, trusted third party）引入數(shù)據(jù)持有性方案中，在實(shí)行公開(kāi)驗(yàn)證的同時(shí)，實(shí)現(xiàn)了對(duì)數(shù)據(jù)隱私的保護(hù)。第三方可直接對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行數(shù)據(jù)持有性驗(yàn)證而不需要通過(guò)用戶進(jìn)行驗(yàn)證，很好地保護(hù)了驗(yàn)證內(nèi)容的隱私性。但TTP的假設(shè)條件過(guò)于理想化，實(shí)現(xiàn)困難，并且會(huì)有額外的開(kāi)銷(xiāo)。

2.2 基于私有驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方案

私有驗(yàn)證具有驗(yàn)證速度快的優(yōu)點(diǎn)，Curtmola等[13]針對(duì)云中數(shù)據(jù)存儲(chǔ)具有多副本的特性，實(shí)現(xiàn)了針對(duì)多副本的MR-PDP（multiple-replica PDP）方案，它能有效地對(duì)所有副本數(shù)據(jù)進(jìn)行完整性認(rèn)證，且驗(yàn)證開(kāi)銷(xiāo)起伏不明顯。Wang等[14]提出一種不可否認(rèn)PDP（NRPDP, non- repudiable PDP）方案，該方案基于私有驗(yàn)證方法，不僅可以驗(yàn)證客戶端與服務(wù)器的可信性，而且可以驗(yàn)證另一方的可信性。

2.3 基于混合驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方案

絕大多數(shù)的驗(yàn)證方案基于單一的驗(yàn)證方法，而Hanser等[15]提出了基于公有驗(yàn)證和私有驗(yàn)證的PDP協(xié)議，在滿足了高效性和便捷性的同時(shí)，通過(guò)基于ECC（elliptic curve cryptography）的驗(yàn)證方法，在2種驗(yàn)證過(guò)程中均使用一致的元數(shù)據(jù)，達(dá)到了節(jié)省計(jì)算開(kāi)銷(xiāo)的效果。但此方案僅關(guān)注了云服務(wù)商的可信性，未考慮到惡意用戶的存在，忽略了用戶存在欺騙行為。

近年來(lái)，PDP方案仍是一個(gè)研究熱點(diǎn)，但是大部分局限于單一的私有驗(yàn)證或公有驗(yàn)證，具有較大的局限性，雖然對(duì)服務(wù)器的可信性進(jìn)行了很好的驗(yàn)證，但是忽略了用戶是否可信的研究。

本文提出了支持私有驗(yàn)證和公有驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方案（PPPDP, provable data possession scheme based on public verification and private verification），在數(shù)據(jù)持有驗(yàn)證過(guò)程中采用2種驗(yàn)證方式，通過(guò)2種驗(yàn)證輸出的結(jié)果對(duì)，對(duì)文件的完整性進(jìn)行判定。

3 預(yù)備知識(shí)

3.1 ECC加密算法

ECC加密[16]是一種基于公鑰體制的加密算法，它具有安全性高、存儲(chǔ)空間占用小和運(yùn)算速率高的特點(diǎn)。ECC密碼體制研究的數(shù)學(xué)基礎(chǔ)是橢圓曲線，通常由韋爾斯特拉方程定義。橢圓曲線上所有的點(diǎn)和橢圓曲線外一個(gè)被稱為無(wú)窮遠(yuǎn)點(diǎn)的特殊點(diǎn)的集合連同一個(gè)定義的加法算法一起構(gòu)成Abel群。

由=++…+=的特性可得，如果(，)和這2個(gè)參數(shù)是已知的，則可求出點(diǎn)(，)的值。但若想通過(guò)點(diǎn)、求出的值，理論上是不可能的。

基于橢圓曲線的反向不可求解的特性，EIGamal密碼體制過(guò)程有如下表述。

1) 首先通過(guò)設(shè)定橢圓曲線的參數(shù)，選定一條橢圓曲線，并得到E(，)，將待加密信息嵌入曲線上得到點(diǎn)P，再對(duì)點(diǎn)P做加密交換。

2) 取E(，)的一個(gè)生成元，E(,)和作為公開(kāi)參數(shù)。

3) 用戶A選擇作為密鑰，=作為公開(kāi)鑰。此時(shí)，若用戶B存在向A發(fā)送消息P的需求，用戶B需隨機(jī)選取某正整數(shù)，將其代入之前選定好的橢圓曲線，得到以下生成點(diǎn)對(duì)C={，P+}，即為密文。

4) A解密時(shí)，使密文點(diǎn)對(duì)中的第二個(gè)點(diǎn)減去用自己的密鑰與第一個(gè)點(diǎn)的倍乘，即P+?=P+()?=P。

已知C的信息，若攻擊者求得P，那么的值必須為已知的。而的值只能通過(guò)已知的和經(jīng)過(guò)離散對(duì)數(shù)計(jì)算求得，而非已知，因此，P不可得。

3.2 同態(tài)驗(yàn)證標(biāo)簽

同態(tài)可驗(yàn)證標(biāo)簽的概念由Ateniese等[9]提出。同態(tài)標(biāo)簽具有同態(tài)性，一般利用其同態(tài)性來(lái)對(duì)云中存儲(chǔ)的數(shù)據(jù)進(jìn)行完整性驗(yàn)證。同態(tài)標(biāo)簽具有以下2個(gè)特性：1) 由于只需對(duì)少量特定的數(shù)據(jù)塊進(jìn)行數(shù)據(jù)持有性驗(yàn)證，極大程度上降低了通信開(kāi)銷(xiāo)和計(jì)算成本；2) 已知任意2個(gè)數(shù)據(jù)塊m和m，則m+m的標(biāo)簽信息(m+m)可以很容易地由它們各自的標(biāo)簽信息(m)與(m)生成，即(m+m)=(m)(m)。

文件塊的驗(yàn)證元數(shù)據(jù)由標(biāo)簽信息構(gòu)成，服務(wù)器同時(shí)存儲(chǔ)著文件和相應(yīng)的標(biāo)簽信息，具有不可偽造的特性。

3.3 COM函數(shù)

目前，存在2種承諾方案，針對(duì)全功能發(fā)送方的標(biāo)準(zhǔn)承諾方案與針對(duì)全功能接收方的完美承諾方案。但是，承諾方案并不能同時(shí)保證信息理論上隱藏和綁定。因?yàn)樵瓶梢员灰暈橐粋€(gè)強(qiáng)大的接收者，所以本文使用了Pedersen COM函數(shù)[17]進(jìn)行公有驗(yàn)證，并對(duì)此COM函數(shù)進(jìn)行如下參數(shù)設(shè)置。

離散對(duì)數(shù)函數(shù)G是素?cái)?shù)階的群，使和是G的元素，則很難通過(guò)計(jì)算求解loghmod的值。

Pedersen COM函數(shù)過(guò)程如下：取Z，從Z隨機(jī)選擇輔助值構(gòu)造一個(gè)關(guān)于的承諾函數(shù)COM(,)，使COM(,)=ghmod。存在定理已證明COM(,)不顯示關(guān)于的信息[18]。

4 方案設(shè)計(jì)

目前，企業(yè)和個(gè)人都傾向于借助云存儲(chǔ)來(lái)實(shí)現(xiàn)對(duì)大量隱私數(shù)據(jù)的存取。現(xiàn)有的數(shù)據(jù)持有性驗(yàn)證證明都只考慮了云服務(wù)提供商的可信性，而沒(méi)有考慮到惡意用戶的存在。在現(xiàn)實(shí)生活中，由于利益的驅(qū)使，惡意用戶是真實(shí)存在的。因此在對(duì)云中數(shù)據(jù)進(jìn)行持有驗(yàn)證時(shí)，需要同時(shí)對(duì)云服務(wù)提供商和云用戶的可信性進(jìn)行驗(yàn)證。雖然已有研究提出了基于公有驗(yàn)證、私有驗(yàn)證以及混合驗(yàn)證的模型，但都是針對(duì)云服務(wù)提供商進(jìn)行可信性驗(yàn)證，并沒(méi)有考慮用戶的可信性。由于公有驗(yàn)證和私有驗(yàn)證存在不同的特點(diǎn)，因此本文基于2種驗(yàn)證方法提出了新的數(shù)據(jù)持有性驗(yàn)證方案——PPPDP，通過(guò)2種驗(yàn)證方法并行，充分考慮到云服務(wù)提供商和云用戶可信性的驗(yàn)證工作。

4.1 整體框架

該模型涉及云租戶或客戶端（client）、云服務(wù)提供商（CSP, cloud service provider）、驗(yàn)證者（verifier）3種角色。三者之間的關(guān)系如圖1所示。

圖1 角色關(guān)系

本方案主要涉及3種角色，其分別負(fù)責(zé)不同的功能，具體介紹如下。

1) 客戶端，即用戶。客戶端由于持有大量數(shù)據(jù)需要存儲(chǔ)，而本地存儲(chǔ)空間有限，因此選擇將數(shù)據(jù)存放在云存儲(chǔ)服務(wù)器中。為了更好地驗(yàn)證云服務(wù)器中數(shù)據(jù)的完整性，若用戶存在數(shù)據(jù)完整性驗(yàn)證需求，則指派驗(yàn)證者代其驗(yàn)證。

2) 云服務(wù)提供商。云服務(wù)提供商在云中為個(gè)人和企業(yè)提供云存儲(chǔ)服務(wù)。在本文中，云服務(wù)提供商是不可信的，因此它將接受數(shù)據(jù)完整性證明中的挑戰(zhàn)，以驗(yàn)證其可信性。

3) 驗(yàn)證者。驗(yàn)證者主要負(fù)責(zé)云中數(shù)據(jù)完整性的驗(yàn)證工作，代替用戶進(jìn)行驗(yàn)證操作，在得到用戶授權(quán)之后，及時(shí)對(duì)挑戰(zhàn)請(qǐng)求進(jìn)行響應(yīng)。

數(shù)據(jù)持有性方案流程如圖2所示。

4.1.1 公有驗(yàn)證

公有驗(yàn)證能有效地避免用戶的否認(rèn)。本文中的公有驗(yàn)證方式采用任意驗(yàn)證者根據(jù)運(yùn)行COM函數(shù)產(chǎn)生的值對(duì)文件進(jìn)行完整性驗(yàn)證，可以很好地保證驗(yàn)證的公開(kāi)性。公開(kāi)驗(yàn)證的結(jié)果會(huì)對(duì)最終的數(shù)據(jù)持有性證明的結(jié)果產(chǎn)生影響，既驗(yàn)證客戶端的可靠性又驗(yàn)證服務(wù)器端的可靠性。文中私有驗(yàn)證和公有驗(yàn)證使用同樣的元數(shù)據(jù)，減少了數(shù)據(jù)的存儲(chǔ)量，從而有效地提高了驗(yàn)證速度。

4.1.2 私有驗(yàn)證

私有驗(yàn)證方案是由數(shù)據(jù)擁有者對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行驗(yàn)證。當(dāng)驗(yàn)證者獲取私鑰時(shí)，采用私有驗(yàn)證的方式對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行驗(yàn)證，在驗(yàn)證的過(guò)程中存在著較少的標(biāo)量乘法運(yùn)算，可以節(jié)省大量的時(shí)間和空間，減少存儲(chǔ)開(kāi)銷(xiāo)和計(jì)算開(kāi)銷(xiāo)，并且在驗(yàn)證過(guò)程中不需要學(xué)習(xí)任何關(guān)于數(shù)據(jù)存儲(chǔ)的問(wèn)題，只需要利用私鑰對(duì)存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行驗(yàn)證。

圖2 數(shù)據(jù)持有性方案流程

4.2 基本定義

PPPDP方案主要由5個(gè)多項(xiàng)式時(shí)間算法構(gòu)成，分別為KeyGen、Prepare、ProofGen、VerifyProof和VerifyCOM。

KeyGen(1)。此密鑰生成算法由客戶端運(yùn)行。算法輸入安全參數(shù)，利用概率算法進(jìn)行計(jì)算，求得公有密鑰p與私有密鑰sk。

Prepare(sk，pk，m,)→({{1},{2},…,{M}}，COM)。此標(biāo)簽生成算法由客戶端運(yùn)行，主要用于生成驗(yàn)證所需要的元數(shù)據(jù)tag和證據(jù)，算法輸入為公鑰pk、私鑰sk和原文件，輸出文件經(jīng)過(guò)分塊、加密生成數(shù)據(jù)塊的tag和運(yùn)行COM函數(shù)生成值COM。

VerifyProof(sk，pk，chal，)→{1，0}。此驗(yàn)證證據(jù)算法由驗(yàn)證者運(yùn)行，根據(jù)返回的數(shù)值判斷文件塊是否完整。算法輸入公鑰pk、私鑰sk、挑戰(zhàn)信息chal和證據(jù)，輸出固定的數(shù)值表示數(shù)據(jù)塊是否被完整持有。

VerifyCOM({}，{}，，{COM})→{1，0}。此算法為公開(kāi)驗(yàn)證算法，任何人均可運(yùn)行，主要功能是用于驗(yàn)證存儲(chǔ)在云中的數(shù)據(jù)是否完整。算法輸入所選塊{}和對(duì)應(yīng)的COM {COM}的索引，輸出{COM}是否通過(guò)驗(yàn)證，同時(shí)確定驗(yàn)證者的可信性。

PPPDP方案主要由3個(gè)階段組成，分別為預(yù)處理階段、挑戰(zhàn)階段和私有驗(yàn)證與公共COM驗(yàn)證階段。各個(gè)階段的主要流程介紹如下。

1) 預(yù)處理階段

用戶Y運(yùn)行KeyGen和Prepare算法，在本地存儲(chǔ)(pk，sk)。用戶Y給服務(wù)器S發(fā)送私鑰pk、文件、COM值和標(biāo)簽，并把這些信息從本地存儲(chǔ)中刪除。

2) 挑戰(zhàn)階段

用戶Y通過(guò)運(yùn)行相應(yīng)的算法生成挑戰(zhàn)信息chal，并發(fā)送給服務(wù)器S。服務(wù)器S把挑戰(zhàn)信息chal作為輸入運(yùn)行ProofGen算法，并生成相關(guān)證據(jù)，發(fā)送給用戶Y。

3) 私有驗(yàn)證與公共COM驗(yàn)證階段

用戶運(yùn)行VerifyProof算法來(lái)對(duì)證據(jù)進(jìn)行檢測(cè)，通過(guò)返回值確定云中的數(shù)據(jù)是否完整。服務(wù)器可以向公眾公開(kāi)部分COM，任何人可以根據(jù)公開(kāi)的COM運(yùn)行VerifyCOM，驗(yàn)證數(shù)據(jù)是否完整地存儲(chǔ)在云中，即驗(yàn)證用戶的可信性。

4.3 驗(yàn)證流程

4.3.1 預(yù)處理

為了更好地對(duì)存儲(chǔ)在云中數(shù)據(jù)進(jìn)行完整性、正確性的驗(yàn)證，在持有性驗(yàn)證之前要對(duì)文件進(jìn)行預(yù)處理操作。預(yù)處理操作主要是對(duì)文件進(jìn)行分塊，驗(yàn)證采用抽樣的方式，避免了對(duì)大量數(shù)據(jù)塊的驗(yàn)證，只需要使用少量的數(shù)據(jù)信息來(lái)完成對(duì)整個(gè)文件的驗(yàn)證工作。選定要驗(yàn)證的在云中存儲(chǔ)的文件之后，首先對(duì)文件進(jìn)行分塊處理，把整個(gè)文件等分為個(gè)數(shù)據(jù)塊，每個(gè)文件塊m(0<≤)中含有bit數(shù)據(jù)，若最后一個(gè)數(shù)據(jù)塊不足bit，則使用0進(jìn)行補(bǔ)位。分塊結(jié)束后，對(duì)每一個(gè)數(shù)據(jù)塊進(jìn)行加密操作，確保文件塊的信息不被泄露。其中每個(gè)數(shù)據(jù)塊都具有唯一標(biāo)識(shí)符參數(shù)id。每個(gè)數(shù)據(jù)塊m都能得到位數(shù)據(jù)，用表示第塊數(shù)據(jù)的元數(shù)據(jù)。把塊數(shù)據(jù)分為組，=，為用戶選擇的隨機(jī)參數(shù)，為保證為整數(shù)，若不滿足被整除，則用0補(bǔ)齊數(shù)據(jù)塊，其中，數(shù)據(jù)塊<>=(m,1,…,m)。

利用同態(tài)驗(yàn)證標(biāo)簽對(duì)文件中的數(shù)據(jù)塊生成數(shù)據(jù)標(biāo)簽tag，輸出文件集合和標(biāo)簽集合{<>，<>},0<≤。同時(shí)為每一個(gè)文件塊(0<≤)運(yùn)行COM函數(shù)，利用COM函數(shù)生成不可否認(rèn)驗(yàn)證需要的信息COM，計(jì)算方法如式(2)所示。

計(jì)算出每一個(gè)文件塊的標(biāo)簽和COM之后，輸出(m,,{T，COM}1)信息，為防止覆蓋存儲(chǔ)著相同信息的不同塊，每個(gè)數(shù)據(jù)塊都與生成的標(biāo)簽值和COM值綁定。把文件的信息（塊標(biāo)識(shí)符id）與生成的標(biāo)簽值和COM值一同存儲(chǔ)在服務(wù)器上，刪除客戶端文件數(shù)據(jù)。

4.3.2 挑戰(zhàn)階段

在挑戰(zhàn)階段，客戶端請(qǐng)求擁有塊的證明，為保證安全性，挑戰(zhàn)信息采用密文進(jìn)行傳輸，數(shù)據(jù)持有者選取一條橢圓曲線(F)，并選取橢圓上的一點(diǎn)作為基點(diǎn)′，數(shù)據(jù)擁有者選擇一個(gè)私有臨時(shí)密鑰′，并生成臨時(shí)公開(kāi)密鑰′=′′，數(shù)據(jù)擁有者將(F)和′、′傳給驗(yàn)證者，驗(yàn)證者收到數(shù)據(jù)持有者傳送的消息后，將數(shù)據(jù)塊M對(duì)應(yīng)的檢驗(yàn)信息、私鑰和該數(shù)據(jù)存儲(chǔ)時(shí)生成的標(biāo)簽2一起編碼到()上的一點(diǎn)′，產(chǎn)生一個(gè)隨機(jī)整數(shù)′，驗(yàn)證者通過(guò)計(jì)算產(chǎn)生2個(gè)數(shù)據(jù)1′=′+′′和2′=′′，再將1′和2′傳送給數(shù)據(jù)擁有者。

1′?′2′=′+′′?′(′′)′+′′?′(′′)=′

數(shù)據(jù)持有者通過(guò)上述計(jì)算得到驗(yàn)證者挑戰(zhàn)信息碼′，再將′進(jìn)行解碼便得到驗(yàn)證者發(fā)送的挑戰(zhàn)信息，即數(shù)據(jù)塊m的挑戰(zhàn)信息和2。驗(yàn)證者挑戰(zhàn)信息發(fā)送成功。

4.3.3 驗(yàn)證階段

分層多代理的結(jié)構(gòu)能有效地避免單點(diǎn)故障，防止由于某個(gè)驗(yàn)證者的不可用造成整個(gè)驗(yàn)證系統(tǒng)的崩潰。多代理的驗(yàn)證采用主從結(jié)構(gòu)的設(shè)計(jì)，主節(jié)點(diǎn)負(fù)責(zé)任務(wù)的分發(fā)、監(jiān)控和節(jié)點(diǎn)切換；從節(jié)點(diǎn)的工作比較單一，只負(fù)責(zé)驗(yàn)證工作。利用文件塊的訪問(wèn)粒度和用戶訪問(wèn)的文件數(shù)對(duì)文件塊進(jìn)行分層。通過(guò)主節(jié)點(diǎn)對(duì)驗(yàn)證信息進(jìn)行分配，驗(yàn)證的工作主要由從節(jié)點(diǎn)進(jìn)行，主要的驗(yàn)證過(guò)程如下。

1) 令sk=(，，Hash)，chal的值為chal=(，1，2，g)。

2) 分別計(jì)算抽樣塊的索引值和相關(guān)系數(shù)，通過(guò)相關(guān)運(yùn)算與客戶端生成的證明進(jìn)行比較，對(duì)于0<≤，計(jì)算抽樣塊的索引為I=1()；計(jì)算相關(guān)系數(shù)為a=f2()。

VerifCOM({m}，{}，，{COM})→{1，0}。在COM驗(yàn)證階段，服務(wù)器可以請(qǐng)求所有被挑戰(zhàn)的塊，并且公開(kāi)這些塊和相關(guān)的COM?？刹捎肰erifCOM函數(shù)來(lái)同時(shí)驗(yàn)證客戶端和驗(yàn)證者的可靠性，令pk=(1，1，1，)；服務(wù)器可以請(qǐng)求錯(cuò)誤塊索引，并公開(kāi)相關(guān)的COM信息和相關(guān)的數(shù)據(jù)塊，如式(5)所示。

對(duì)所有要驗(yàn)證的塊進(jìn)行驗(yàn)證，驗(yàn)證者可以檢查每個(gè)數(shù)據(jù)塊的COM的有效性，為了防止服務(wù)器修改和偽造這些COM信息，可以采用加密的方式存儲(chǔ)這些信息，任何人都可以基于公共信息計(jì)算s和t的值，并檢查它們是否相等。

驗(yàn)證過(guò)程如下。

如果s=t，則說(shuō)明塊m和它生成的COM函數(shù)是一致的，當(dāng)數(shù)據(jù)塊和該數(shù)據(jù)塊的COM值完全匹配時(shí)輸出1，否則輸出0。

在運(yùn)行的過(guò)程中，VerifProof與VerifCOM是同時(shí)進(jìn)行的，如果驗(yàn)證者不擁有私鑰，在進(jìn)行VerifProof運(yùn)算時(shí)默認(rèn)輸出為0。2個(gè)運(yùn)算生成結(jié)果對(duì)，如果結(jié)果對(duì)為(1, 1)，則證明數(shù)據(jù)完整且客戶端可信；如果結(jié)果對(duì)為(0，0)或(1，0)則證明數(shù)據(jù)不完整。如果結(jié)果對(duì)為(0, 1)，則證明數(shù)據(jù)完整，客戶端不可信。結(jié)果對(duì)用表示，如式(7)所示。

5 安全性分析

5.1 安全模型

為了達(dá)到更好的驗(yàn)證效果，使用數(shù)據(jù)持有性游戲和不可否認(rèn)性游戲來(lái)定義此安全模型。

游戲1 數(shù)據(jù)持有性游戲

設(shè)置：挑戰(zhàn)者運(yùn)行KeyGen(1)產(chǎn)生密鑰對(duì)(pk，sk)，保持sk值的隱私性，公開(kāi)pk的值。

挑戰(zhàn)：挑戰(zhàn)者通過(guò)算法生成一個(gè)挑戰(zhàn)信息chal并向敵手請(qǐng)求生成文件塊m1，…，m(1≤≤)的持有性證明。

偽造：敵手根據(jù)挑戰(zhàn)信息chal通過(guò)算法計(jì)算生成一個(gè)持有性證明，并把此證明發(fā)送給挑戰(zhàn)者。

顯然，敵手獲得勝利的概率近似接近于抽取器抽取出挑戰(zhàn)chal所對(duì)應(yīng)文件塊的概率。

游戲2 不可否認(rèn)性游戲

設(shè)置：敵手通過(guò)運(yùn)行KeyGen(1)，輸出相同長(zhǎng)度的數(shù)據(jù)對(duì)0、1。

挑戰(zhàn)：挑戰(zhàn)者運(yùn)行Prepare (pk，sk，i，)→({{1},{2},…,{M}},COM)，輸出0、1，其中COM(0)=0，COM(1)=1。選取隨機(jī)數(shù)，{1,0}，把b、pk告知敵手。

結(jié)果：敵手運(yùn)行VerifProof (pk，b)→{0,1}，如果b是m塊的COM值則輸出1，否則輸出0。

5.2 安全性分析

定理1 假設(shè)是安全的偽隨機(jī)函數(shù)，則本方案是在標(biāo)準(zhǔn)模型下支持?jǐn)?shù)據(jù)持有性和不可否認(rèn)性的方案。

證明

1) 數(shù)據(jù)持有性

在證明數(shù)據(jù)持有性時(shí)，使用偽隨機(jī)函數(shù)和隨機(jī)數(shù)分別在現(xiàn)實(shí)環(huán)境和理想環(huán)境中執(zhí)行。

① 現(xiàn)實(shí)環(huán)境

設(shè)置：挑戰(zhàn)者運(yùn)行KeyGen(1λ)算法得到公鑰pk和私鑰sk，并保持其隱私性。

挑戰(zhàn)：挑戰(zhàn)者通過(guò)算法產(chǎn)生一個(gè)挑戰(zhàn)信息chal并向敵手請(qǐng)求文件塊m1,…,m(1≤≤)的持有性證明。

偽造：敵手根據(jù)挑戰(zhàn)chal計(jì)算生成一個(gè)持有性證明，并把此證明發(fā)送給挑戰(zhàn)者。

② 理想環(huán)境

使用隨機(jī)數(shù)代替?zhèn)坞S機(jī)函數(shù)，則=[1，…，r]T。記錄所有的隨機(jī)數(shù)，并且在驗(yàn)證過(guò)程中使用相應(yīng)的隨機(jī)數(shù)進(jìn)行計(jì)算。

假設(shè)敵手可以在發(fā)生改變的情況下完成驗(yàn)證，即在理想環(huán)境下，敵手成功找到′，使′=A1+?1。

由于和為隨機(jī)生成的密鑰，為純隨機(jī)數(shù)，則不等式如式(8)所示。

其中，1、2為隨機(jī)數(shù)矩陣。

2) 不可抵抗性

利用還原法證明PPPDP方案的不可否認(rèn)性。

假設(shè)存在敵手*，并且敵手贏了PPPDP方案的不可否認(rèn)性游戲。可以構(gòu)建一個(gè)驗(yàn)證者來(lái)打破COM驗(yàn)證。

設(shè)置：敵手運(yùn)行KeyGen(1)，輸出相同長(zhǎng)度的數(shù)據(jù)對(duì)0、1。敵手把0、1的值發(fā)送給驗(yàn)證者。

挑戰(zhàn)：驗(yàn)證者運(yùn)行Prepare(pk, sk,m,)→({{1},{2},…,{M}},COM)，輸出0、1，其中，(0)=0，COM(1)=1。

驗(yàn)證者選取隨機(jī)數(shù)，→{1,0}。把b、pk告知敵手。

偽造：敵手運(yùn)行VerifCOM(pk，)→{1,0}，輸出結(jié)果1或0。

若概率表達(dá)式為

或

則驗(yàn)證者勝利。

6 實(shí)驗(yàn)結(jié)果及分析

實(shí)驗(yàn)環(huán)境基于河北省高可信信息系統(tǒng)重點(diǎn)實(shí)驗(yàn)室的YF-TCI云平臺(tái)進(jìn)行搭建。本次實(shí)驗(yàn)使用YF-TCI平臺(tái)中的3個(gè)服務(wù)器，并且部署OpenStack Ocata，云平臺(tái)中每個(gè)虛擬機(jī)節(jié)點(diǎn)都運(yùn)行Ubuntu 14.04.3 LTS，虛擬機(jī)節(jié)點(diǎn)的配置為CPU 4個(gè)核心，8 GB內(nèi)存，200 GB硬盤(pán)空間，存儲(chǔ)用戶數(shù)據(jù)。算法使用的密碼學(xué)庫(kù)是版本1.0.2l的OpenSSL。實(shí)驗(yàn)結(jié)果存在隨機(jī)性，因此對(duì)所有實(shí)驗(yàn)結(jié)果都進(jìn)行了多次測(cè)試，取平均值作為最終結(jié)果。

PPPDP對(duì)S-PDP進(jìn)行了改進(jìn)，但是抽樣方法與S-PDP是相同的。要想至少有一個(gè)被改動(dòng)或被刪除的文件塊被抽中的概率不低于99%，經(jīng)過(guò)計(jì)算，要檢測(cè)的文件塊數(shù)量至少為460個(gè)[14]。

6.1 COM函數(shù)的生成和驗(yàn)證

在PPPDP方案中，為了實(shí)現(xiàn)不可否認(rèn)性，在預(yù)處理階段對(duì)每一個(gè)數(shù)據(jù)塊都要通過(guò)COM函數(shù)生成唯一對(duì)應(yīng)的COM值，COM的值是一次計(jì)算可重復(fù)多次使用的。數(shù)據(jù)塊分別為128 KB、64 KB、16 KB、4 KB時(shí)，運(yùn)行COM函數(shù)生成COM值的時(shí)間與文件大小的關(guān)系如圖3所示。從圖3可以看出，COM值的生成時(shí)間與文件的大小呈線性相關(guān)。當(dāng)數(shù)據(jù)塊大小一定時(shí)，隨著文件的增大，其對(duì)應(yīng)的COM數(shù)量增加，計(jì)算時(shí)間會(huì)變長(zhǎng)。當(dāng)文件大小一定時(shí)，數(shù)據(jù)塊增大，則數(shù)據(jù)塊的數(shù)量減少，在一定程度上也會(huì)減少COM的生成時(shí)間。

圖3 執(zhí)行COM函數(shù)的時(shí)間

COM的驗(yàn)證時(shí)間如圖4所示。當(dāng)塊大小固定時(shí)，驗(yàn)證時(shí)間變動(dòng)不大。隨著數(shù)據(jù)塊逐漸變大，計(jì)算負(fù)擔(dān)也隨之增加，驗(yàn)證的時(shí)間成本增加，因此驗(yàn)證時(shí)間與數(shù)據(jù)塊的大小相關(guān)。

6.2 PPPDP方案與PDP、POR方案的比較

表1 PPPDP方案與PDP、POR方案的性能比較

將基于2種驗(yàn)證方法的不可否認(rèn)的PPPDP方案與已有PDP方案（S-PDP、CPDP、NRPDP等）和POR方案（POR、CPOR等）進(jìn)行比較。對(duì)上述方案是否需要第三方、各個(gè)階段的時(shí)間復(fù)雜度和通信存儲(chǔ)復(fù)雜度等性能進(jìn)行了對(duì)比，如表1所示。PPPDP方案在預(yù)處理、生成證據(jù)、驗(yàn)證階段與其他方案相比有類似的時(shí)間復(fù)雜度和通信開(kāi)銷(xiāo)，能很好地實(shí)現(xiàn)不可否認(rèn)性并滿足客戶端和驗(yàn)證者相互證明。

PPPDP方案與NRPDP方案在挑戰(zhàn)驗(yàn)證階段、數(shù)據(jù)存儲(chǔ)階段的時(shí)空復(fù)雜度是一致的，但是NRPDP方案只單獨(dú)局限于私有驗(yàn)證，具有一定的局限性，而PPPDP方案可以采用2種驗(yàn)證方式并行進(jìn)行驗(yàn)證。

6.3 PPPDP方案的效率測(cè)試

在預(yù)處理階段和挑戰(zhàn)驗(yàn)證階段，將PPPDP方案與S-PDP、文獻(xiàn)[15]中的PDP方案進(jìn)行了對(duì)比，結(jié)果如圖5~圖7所示。在整個(gè)驗(yàn)證過(guò)程中，時(shí)間花費(fèi)最多的階段是預(yù)處理階段，在挑戰(zhàn)驗(yàn)證階段需要的時(shí)間開(kāi)銷(xiāo)比較小。在預(yù)處理階段，隨著劃分?jǐn)?shù)據(jù)塊的增大，運(yùn)行時(shí)間逐漸減少，在相同塊大小的情況下，運(yùn)行時(shí)間隨文件大小變化呈線性分布。在挑戰(zhàn)驗(yàn)證階段，這3種方案具有相似的操作，運(yùn)行時(shí)間相似，大部分運(yùn)行時(shí)間是I/O操作的時(shí)間，去掉I/O操作后，挑戰(zhàn)時(shí)間接近恒定時(shí)間。

首先分析預(yù)處理階段的時(shí)間開(kāi)銷(xiāo)。預(yù)處理階段主要工作是客戶端生成用于驗(yàn)證的元數(shù)據(jù)。在該階段，實(shí)驗(yàn)需要測(cè)量3種方案生成密鑰和驗(yàn)證標(biāo)簽的時(shí)間，主要包括生成密鑰時(shí)間、I/O的時(shí)間以及將數(shù)據(jù)存儲(chǔ)到磁盤(pán)的時(shí)間。其中，生成密鑰的時(shí)間相對(duì)較少，主要耗時(shí)是指數(shù)計(jì)算所需要的時(shí)間。圖5表示預(yù)處理階段時(shí)間與文件大小之間的關(guān)系。由于3種驗(yàn)證方案都是對(duì)每個(gè)塊執(zhí)行求冪操作，預(yù)處理的時(shí)間隨著文件大小的增加呈線性增長(zhǎng)。PPPDP方案在預(yù)處理階段時(shí)間開(kāi)銷(xiāo)比文獻(xiàn)[15]中的PDP方案與S-PDP方案有所增加，這是因?yàn)镻PPDP方案在此階段會(huì)生成標(biāo)簽值和COM值，生成這些數(shù)據(jù)都會(huì)有一定的時(shí)間消耗。其中生成COM的時(shí)間開(kāi)銷(xiāo)小于生成標(biāo)簽值的時(shí)間開(kāi)銷(xiāo)，而且COM值只需計(jì)算一次就可多次利用，在驗(yàn)證較大數(shù)據(jù)塊的完整性時(shí)，生成COM值的時(shí)間相對(duì)較小。

圖5 預(yù)處理階段

其次，考慮在挑戰(zhàn)驗(yàn)證階段產(chǎn)生的時(shí)間開(kāi)銷(xiāo)。PPPDP方案在此階段主要工作包括客戶端生成挑戰(zhàn)chal，并將其發(fā)送到服務(wù)器上，服務(wù)器生成擁有chal的文件塊證明之后，客戶端驗(yàn)證服務(wù)器給出的擁有證明，并對(duì)公開(kāi)的數(shù)據(jù)塊COM值進(jìn)行驗(yàn)證。這3種方案均挑戰(zhàn)驗(yàn)證階段，通過(guò)實(shí)驗(yàn)，對(duì)3種方案的挑戰(zhàn)驗(yàn)證時(shí)間開(kāi)銷(xiāo)進(jìn)行了對(duì)比。PPPDP方案、S-PDP方案與文獻(xiàn)[15]中的PDP方案在挑戰(zhàn)驗(yàn)證階段具有類似的操作，文獻(xiàn)[15]中的PDP方案在驗(yàn)證過(guò)程中需要決定用哪種驗(yàn)證方法進(jìn)行驗(yàn)證，PPPDP方案在驗(yàn)證過(guò)程中采用2種驗(yàn)證方法并行的方式進(jìn)行驗(yàn)證，提高了驗(yàn)證的效率，PPPDP方案與文獻(xiàn)[15]中的PDP方案的時(shí)間開(kāi)銷(xiāo)相差不大。S-PDP方案需要相對(duì)較多的時(shí)間開(kāi)銷(xiāo)。如圖6所示，3種方案的時(shí)間開(kāi)銷(xiāo)都隨著文件大小的增加線性增加。

圖6 挑戰(zhàn)驗(yàn)證階段

由于隨著文件大小的增加，檢索、讀取和加載數(shù)據(jù)的時(shí)間隨之增加，這些數(shù)據(jù)的操作統(tǒng)稱為I/O成本。顯然，當(dāng)文件塊的數(shù)量增加時(shí)，I/O成本增加。在對(duì)比過(guò)程中去掉I/O成本，再對(duì)3種方案進(jìn)行對(duì)比。在去掉I/O成本之后挑戰(zhàn)驗(yàn)證階段的時(shí)間開(kāi)銷(xiāo)如圖7所示，生成與驗(yàn)證證據(jù)的時(shí)間接近恒定時(shí)間。由于PPPDP方案采用并行的方法，比S-PDP方案與文獻(xiàn)[15]中的PDP方案在時(shí)間成本上有所減少，說(shuō)明PPPDP方案在挑戰(zhàn)驗(yàn)證階段具有一定的優(yōu)勢(shì)。

6.4 應(yīng)用

PPPDP方案已作為一個(gè)相對(duì)獨(dú)立的模塊應(yīng)用在某健康數(shù)據(jù)私有存儲(chǔ)云管理信息系統(tǒng)中，該系統(tǒng)私有云的配置如下：軟件平臺(tái)采用OpenStack（CentOS 7 1511版本），硬件平臺(tái)采用由5臺(tái)大唐高鴻可信服務(wù)器（E5 2670 CPU，32 GB內(nèi)存，3 TB硬盤(pán)）構(gòu)成的集群作為云存儲(chǔ)服務(wù)提供方環(huán)境，其中一臺(tái)為NameNode，主要負(fù)責(zé)集群的控制和調(diào)度，另外4臺(tái)為DataNode，主要負(fù)責(zé)數(shù)據(jù)存儲(chǔ)和計(jì)算。

圖7 去掉I/O的挑戰(zhàn)驗(yàn)證階段

PPPDP方案分為3種模塊，客戶端模塊部署在客戶機(jī)上，驗(yàn)證模塊部署在審計(jì)端，服務(wù)端模塊部署在NameNode上。對(duì)該信息系統(tǒng)進(jìn)行數(shù)據(jù)持有性驗(yàn)證模塊的操作。當(dāng)對(duì)后臺(tái)某個(gè)文件中數(shù)據(jù)塊進(jìn)行刪除后，客戶端對(duì)此文件進(jìn)行數(shù)據(jù)持有性驗(yàn)證請(qǐng)求，驗(yàn)證者對(duì)此塊進(jìn)行驗(yàn)證。

經(jīng)過(guò)一年多的使用表明，本方案運(yùn)行穩(wěn)定、無(wú)故障，在響應(yīng)時(shí)間、完整性驗(yàn)證等方面性能可靠且均能滿足該信息系統(tǒng)要求。

6.5 存儲(chǔ)代價(jià)和通信帶寬

1) 存儲(chǔ)開(kāi)銷(xiāo)

PPPDP方案的存儲(chǔ)開(kāi)銷(xiāo)來(lái)自客戶端和服務(wù)器端的存儲(chǔ)開(kāi)銷(xiāo)，主要的開(kāi)銷(xiāo)是服務(wù)器端的存儲(chǔ)開(kāi)銷(xiāo)，其他的開(kāi)銷(xiāo)很小可忽略不計(jì)。在預(yù)處理階段利用橢圓曲線加密，能很好地減少密鑰長(zhǎng)度，但要生成用于不可否認(rèn)的COM值，增加了一定的存儲(chǔ)成本。但在性能上有很大的提高，存儲(chǔ)的增加量可以通過(guò)增加數(shù)據(jù)塊大小來(lái)減少額外的存儲(chǔ)，在可以接受范圍之內(nèi)。PPPDP方案在客戶端存儲(chǔ)開(kāi)銷(xiāo)代價(jià)為(1)，文件的大小對(duì)開(kāi)銷(xiāo)沒(méi)有影響，僅與安全系數(shù)存在相關(guān)性。

例如，存儲(chǔ)文件大小為1 GB，對(duì)數(shù)據(jù)進(jìn)行分塊，數(shù)據(jù)塊大小為4 KB，在S-PDP方案中，驗(yàn)證標(biāo)簽為1 024 bit，額外的存儲(chǔ)開(kāi)銷(xiāo)為3.125%。PPPDP方案在驗(yàn)證標(biāo)簽部分增加了COM函數(shù)，存儲(chǔ)的額外開(kāi)銷(xiāo)為數(shù)據(jù)塊數(shù)與每個(gè)數(shù)據(jù)塊驗(yàn)證信息所占存儲(chǔ)的乘積，約為3.5%，由于每個(gè)數(shù)據(jù)塊生成的驗(yàn)證信息大小固定，當(dāng)分塊變大時(shí)，額外的存儲(chǔ)開(kāi)銷(xiāo)會(huì)逐漸下降，當(dāng)數(shù)據(jù)塊大小為64 KB時(shí)，存儲(chǔ)的額外開(kāi)銷(xiāo)為2.75%。

2) 通信帶寬

通信開(kāi)銷(xiāo)主要在驗(yàn)證者和服務(wù)器之間的挑戰(zhàn)驗(yàn)證階段產(chǎn)生。隨著文件數(shù)據(jù)塊的增大，驗(yàn)證信息總量逐漸減小，返回的證據(jù)信息也減小。S-PDP因?yàn)閏hal和證明都是恒定的，所需要的帶寬為(1)，PPPDP方案所需帶寬與S-PDP相同。在COM驗(yàn)證階段，服務(wù)器需要一定的帶寬來(lái)顯示數(shù)據(jù)塊和相關(guān)的COM，這僅與文件劃分產(chǎn)生的數(shù)據(jù)塊數(shù)量相關(guān)。

7 結(jié)束語(yǔ)

本文提出了一種基于公有驗(yàn)證和私有驗(yàn)證的數(shù)據(jù)持有性驗(yàn)證方法，在驗(yàn)證過(guò)程中可以同時(shí)驗(yàn)證客戶端和服務(wù)器的可信性，查證驗(yàn)證是否滿足不可否認(rèn)性。在驗(yàn)證的過(guò)程中多次利用橢圓曲線，很好地保證了驗(yàn)證的安全性，并針對(duì)服務(wù)器和客戶端的特點(diǎn)，為私有和公有驗(yàn)證設(shè)計(jì)了合理的挑戰(zhàn)。2種驗(yàn)證方法使用同一套元數(shù)據(jù)，節(jié)省了計(jì)算和存儲(chǔ)空間，驗(yàn)證效率優(yōu)于原有的單純私有驗(yàn)證或公有驗(yàn)證的方案。

由于云中數(shù)據(jù)是可以根據(jù)用戶的需求隨時(shí)進(jìn)行修改的，下一步的工作主要涉及2個(gè)方面，一方面將在本文所提靜態(tài)的驗(yàn)證方法的基礎(chǔ)上，進(jìn)一步研究適用于動(dòng)態(tài)環(huán)境的數(shù)據(jù)持有性驗(yàn)證；另一方面，針對(duì)目前云中存儲(chǔ)的數(shù)據(jù)具有多副本的特性，將對(duì)本文提到的多層次驗(yàn)證方案進(jìn)行調(diào)整，研究適用于多副本的數(shù)據(jù)持有性驗(yàn)證方案。

[1] 王宏遠(yuǎn), 祝烈煌, 李龍一佳. 云存儲(chǔ)中支持?jǐn)?shù)據(jù)去重的群組數(shù)據(jù)持有性證明[J]. 軟件學(xué)報(bào), 2016, 27(6):1417-1431. WANG H Y, ZHU L H, LI L Y J. Group provable data possession with deduplication in cloud storage[J].Journalof Software, 2016, 27(6): 1417-1431.

[2] 查雅行, 羅守山, 卞建超,等. 基于多分支認(rèn)證樹(shù)的多用戶多副本數(shù)據(jù)持有性證明方案[J]. 通信學(xué)報(bào), 2015, 36(11):80-91.ZHA Y X,LUO S S, BIAN J C, et al. Multiuser and multiple-replica provable data possession scheme based on multi-branch authentication tree[J]. Journal on Communications, 2015, 36(11): 80-91.

[3] 何凱, 黃傳河, 王小毛,等. 云存儲(chǔ)中數(shù)據(jù)完整性的聚合盲審計(jì)方法[J]. 通信學(xué)報(bào), 2015, 36(10):119-132.HE K, HUANG C H, WANG X M, et al. Aggregated privacy-preserving auditing for cloud data integrity[J]. Journal on Communications,2015, 36(10): 119-132.

[4] 譚霜, 賈焰, 韓偉紅. 云存儲(chǔ)中的數(shù)據(jù)完整性證明研究及進(jìn)展[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(1): 164-177.TAN S, JIA Y , HAN W H. Research and development of provable data integrity in cloud storage [J]. Chinese Journal of Computers, 2015, 38(1):164-177.

[5] YUAN J, YU S. Efficient public integrity checking for cloud data sharing with multi-user modification[C]//IEEE International Conference on Computer Communications. 2014: 2121-2129.

[6] ATENIESE G, BURNS R, CURTMOLA R, et al. Remote data checking using provable data possession[J]. ACMTransactions on Information & System Security, 2011, 14(1):12.

[7] JUELS A, KALISKI B S, BOWERS K D, et al. Proof of retrievability for archived files, US 8381062 B1[P]. 2013.

[8] ARMKNECHT F, BOHLI J M, KARAME G O, et al. Outsourced proofs of retrievability[C]//SIGSAC Conference on Computer and Communications Security. 2014:831-843.

[9] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//ACM Conference on Computer and Communications Security. 2007: 598-609.

[10] DAN B, LYNN B, SHACHAM H. Short signatures from the weil pairing[J]. Journal of Cryptology, 2004, 17(4): 297-319.

[11] WANG Q, WANG C, LI J, et al. Enabling public verifiability and data dynamics for storage security in cloud computing[C]// European Conference on Research in Computer Security. 2009:355-370.

[12] WANG C, CHOW S S M, WANG Q, et al. Privacy-preserving public auditing for secure cloud storage[J]. IEEE Transactions on Computers, 2013, 62(2):362-375.

[13] CURTMOLA R, KHAN O, BURNS R. Robust remote data checking[C]//ACM Workshop on Storage Security and Survivability. 2008: 63-68.

[14] WANG H, ZHU L, XU C, et al. A universal method for realizing non-repudiable provable data possession in cloud storage[J]. Security & Communication Networks, 2016, 9(14):2291-2301.

[15] HANSER C, SLAMANIG D. Efficient simultaneous privately and publicly verifiable robust provable data possession from elliptic curves[C]//International Conference on Security and Cryptography. 2015:15-26.

[16] 趙曼, 徐和根, 馬峰. 基于橢圓曲線密碼(ECC)算法的圖像加密技術(shù)的硬件設(shè)計(jì)[C]//中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì). 2012:18-21.ZHAO M, XU H G, MA F. Hardware design based on elliptic curve cryptography (ECC) algorithm for image encryption technology[C]// Annual Meeting of China Institute of Communications.2012: 18-21.

[17] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing[C]//International Cryptology Conference on Advances in Cryptology. 1991: 129-140.

[18] PEDERSEN T P. Non-interactive and information theoretic secure verifiable secret sharing[C]//International Cryptology Conference on Advances in Cryptology. 1991.

[19] DENT A W. The hardness of the DHK problem in the generic group model[J]. IACR Cryptology ePrint Archive, 2006: 156.

[20] MO Z, ZHOU Y, CHEN S, et al. Enabling non-repudiable data possession verification in cloud storage systems[C]//IEEE International Conference on Cloud Computing. 2014: 232-239.

[21] MCCURLEY K S. The discrete logarithm problem[C]//Symposium in Applied Math. 1990: 49-74.

Provable data possession scheme based on public verification and private verification

TIAN Junfeng1,2, CHAI Mengjia1,2, QI Liuling1,2

1. School of Cyber Security and Computer, Hebei University, Baoding 071002, China 2. Key Lab on High Trusted Information System in Hebei Province, Baoding 071002, China

More and more users choose to transfer their applications and data into the cloud. Data security is a key issue for cloud storage systems. To ensure the integrity and validity of the data stored in the cloud, provable data possession (PDP) scheme is particularly important. In order to verify whether the cloud storage service provider had stored the data of the user completely, a scheme on the basis of NRPDP (non-repudiable PDP) was improved and extended, and a data retention scheme based on public authentication and private authentication was proposed. The scheme can verify the trustworthiness of the service provider and the user in the cloud storage at the same time, which satisfies the non-repudiation of the verification. The theory proves the non-repudiation of the proposed scheme. The experiment proves that the efficiency of each stage is better than that of the existing single public verification method or private authentication method.

cloud storage, non-repudiation, provable data possession, public verification, private verification

TP309

A

10.11959/j.issn.1000?436x.2019053

2018?03?13；

2018?12?12

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61170254）；河北省自然科學(xué)基金資助項(xiàng)目（No.F2016201244）；河北省高等學(xué)?？茖W(xué)技術(shù)研究青年基金資助項(xiàng)目（No.QN2016149）

The National Natural Science Foundation of China (No.61170254), The Natural Science Foundation of Hebei Province (No.F2016201244), The Youth Fund for Scientific and Technological Research in Higher Institutions of Hebei Province (No.QN2016149)

田俊峰（1965? ），男，河北保定人，博士，河北大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩c分布式計(jì)算。

柴夢(mèng)佳（1993? ），女，河北保定人，河北大學(xué)碩士生，主要研究方向?yàn)樾畔踩c分布式計(jì)算。

齊鎏嶺（1992? ），男，河北保定人，河北大學(xué)碩士生，主要研究方向?yàn)樾畔踩c分布式計(jì)算。