姜濤，徐航，王良民，馬建峰

支持受損數(shù)據(jù)定位與恢復(fù)的動(dòng)態(tài)群用戶可證明存儲(chǔ)

姜濤1，徐航2，王良民3，馬建峰1

（1. 西安電子科技大學(xué)ISN國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071；2. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710126；3. 東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 211189）

云計(jì)算的外包存儲(chǔ)模式導(dǎo)致數(shù)據(jù)擁有者的數(shù)據(jù)所有權(quán)和管理權(quán)分離，進(jìn)而改變了數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)模型和安全模型。為了有效應(yīng)對(duì)云服務(wù)器端的軟硬件故障及潛在的不誠實(shí)服務(wù)提供商，確保數(shù)據(jù)擁有者數(shù)據(jù)的可用性，設(shè)計(jì)安全、高效的數(shù)據(jù)可用性、可恢復(fù)性審計(jì)方案對(duì)于解決用戶擔(dān)憂、保證云數(shù)據(jù)安全具有重要的理論和實(shí)踐價(jià)值。然而，現(xiàn)有研究多針對(duì)數(shù)據(jù)完整性或者可恢復(fù)性方案的安全性和效率進(jìn)行設(shè)計(jì)，沒有考慮動(dòng)態(tài)群用戶下受損數(shù)據(jù)的快速定位和可靠恢復(fù)問題。因此，針對(duì)動(dòng)態(tài)群用戶環(huán)境中受損數(shù)據(jù)定位與恢復(fù)問題，設(shè)計(jì)了一個(gè)可公開驗(yàn)證的動(dòng)態(tài)群組云用戶存儲(chǔ)證明方案。該方案在檢測(cè)到數(shù)據(jù)受損時(shí)，任何可信的第三方審計(jì)者能夠通過挑戰(zhàn)協(xié)議快速定位受損數(shù)據(jù)，并在數(shù)據(jù)受損程度小于糾錯(cuò)能力門限情況下允許云平臺(tái)對(duì)數(shù)據(jù)進(jìn)行可靠恢復(fù)。該方案結(jié)合關(guān)聯(lián)計(jì)算和累加計(jì)算，有效減少了受損數(shù)據(jù)定位的計(jì)算次數(shù)；通過糾刪碼與共享編碼技術(shù)，方案能夠?qū)崿F(xiàn)用戶受損數(shù)據(jù)的有效恢復(fù)。同時(shí)，方案支持用戶的動(dòng)態(tài)撤銷，確保了群用戶共享數(shù)據(jù)在用戶撤銷后的完整性審計(jì)和可靠恢復(fù)。定義了方案的網(wǎng)絡(luò)模型和威脅模型，并在相應(yīng)安全模型下證明了所設(shè)計(jì)方案的安全性。通過真實(shí)環(huán)境下的原型系統(tǒng)實(shí)現(xiàn)和模塊化性能分析，證明了所設(shè)計(jì)方案能夠有效定位受損數(shù)據(jù)并在數(shù)據(jù)受損時(shí)對(duì)云端數(shù)據(jù)進(jìn)行可靠恢復(fù)。同時(shí)，與相關(guān)方案相比，所設(shè)計(jì)方案在受損數(shù)據(jù)定位與恢復(fù)方面的計(jì)算開銷較小。

云存儲(chǔ)；數(shù)據(jù)共享；損壞識(shí)別；可恢復(fù)證明；動(dòng)態(tài)群用戶

0 引言

隨著云計(jì)算、大數(shù)據(jù)等數(shù)字技術(shù)的快速發(fā)展，云存儲(chǔ)正在通過各種應(yīng)用服務(wù)走進(jìn)人們的生活。在云存儲(chǔ)應(yīng)用中，用戶可以通過與一組用戶共享數(shù)據(jù)來進(jìn)一步降低存儲(chǔ)成本。然而，這種外包存儲(chǔ)模式致使用戶失去對(duì)數(shù)據(jù)的物理控制權(quán)，存儲(chǔ)在無法完全受信的云服務(wù)提供商[1]中的用戶數(shù)據(jù)將面臨極大的安全風(fēng)險(xiǎn)。國內(nèi)外相繼爆發(fā)多起云存儲(chǔ)安全事故，如Amazon曾因停電導(dǎo)致部分客戶數(shù)據(jù)永久丟失[2]，某公司硬件故障/軟件錯(cuò)誤[3]導(dǎo)致云數(shù)據(jù)被損毀[4-5]等，云存儲(chǔ)應(yīng)用仍存在許多安全隱患，如何切實(shí)保障云數(shù)據(jù)的隱私安全性成為學(xué)術(shù)界亟待解決的研究熱點(diǎn)之一。

學(xué)者相繼提出了許多數(shù)據(jù)完整性/可恢復(fù)性審計(jì)方案，如數(shù)據(jù)可擁有性證明（PDP，provable data possession）[6]、數(shù)據(jù)可恢復(fù)證明（POR，proof of retrievability）[7]等。在此基礎(chǔ)上設(shè)計(jì)了多種不同特性的數(shù)據(jù)完整性審計(jì)方案[8-13]。其中，基于代理的重簽名審計(jì)方案[8]結(jié)合可信代理重加密技術(shù)以保證多用戶共享數(shù)據(jù)完整性審計(jì)中的用戶安全撤銷；基于共享群密鑰的數(shù)據(jù)審計(jì)方案[13]結(jié)合Schnorr簽名與群組共享密鑰以提高動(dòng)態(tài)群用戶對(duì)共享數(shù)據(jù)的完整性審計(jì)效率。上述方案雖然可以證明外包數(shù)據(jù)的完整性，但是無法快速識(shí)別審計(jì)數(shù)據(jù)中的損壞文件/塊并在損壞后恢復(fù)。這是因?yàn)?，?dāng)對(duì)云服務(wù)器上大規(guī)模數(shù)據(jù)的完整性進(jìn)行審計(jì)時(shí)，單個(gè)受損文件/塊可能導(dǎo)致審計(jì)失敗。數(shù)據(jù)完整性審計(jì)失敗之后，識(shí)別損壞文件/塊帶來了大量的計(jì)算和通信開銷，因而會(huì)嚴(yán)重影響數(shù)據(jù)完整性審計(jì)方案的效率。為了解決以上挑戰(zhàn)，學(xué)者提出了損壞文件識(shí)別方案[14-17]。但是這些方案受限于單用戶場(chǎng)景。事實(shí)上，在多用戶云存儲(chǔ)環(huán)境下，數(shù)據(jù)的審計(jì)標(biāo)簽私鑰一般是不同的，因而在這種應(yīng)用場(chǎng)景中對(duì)身份驗(yàn)證標(biāo)簽進(jìn)行聚合以及對(duì)受損文件/塊進(jìn)行識(shí)別存在一定難度且現(xiàn)有方案的實(shí)施效率并不理想。目前關(guān)于如何實(shí)現(xiàn)動(dòng)態(tài)群用戶環(huán)境下受損數(shù)據(jù)的識(shí)別和恢復(fù)這一問題，學(xué)術(shù)界尚缺乏行之有效的方案。雖然POR可以在一定程度上恢復(fù)受損的文件，但POR只適用于單個(gè)用戶，不支持動(dòng)態(tài)群用戶環(huán)境。當(dāng)群中某個(gè)用戶撤離后，該用戶將無法管理其原先存儲(chǔ)在云服務(wù)器中的共享數(shù)據(jù)，這些數(shù)據(jù)將由管理員轉(zhuǎn)交其他合法用戶進(jìn)行管理。當(dāng)合法用戶對(duì)該撤銷用戶的數(shù)據(jù)進(jìn)行審計(jì)時(shí)，POR方案無法恢復(fù)屬于撤銷用戶的受損數(shù)據(jù)?？傊?，在POR中，每個(gè)用戶的信息是相互獨(dú)立的，屬于撤銷用戶的數(shù)據(jù)不能被其他用戶審計(jì)或者恢復(fù)。

針對(duì)上述問題，本文提出了一種動(dòng)態(tài)群用戶受損數(shù)據(jù)的快速定位和恢復(fù)方案。該方案能夠有效地識(shí)別來自群用戶的所有外包數(shù)據(jù)的可用性，而無須通過多個(gè)證明來檢查。在本文方案中，用戶只需要對(duì)原始文件和相應(yīng)的標(biāo)簽執(zhí)行一次處理/上傳操作，而群用戶的撤銷不會(huì)影響到該操作；特別是該方案利用快速定位和恢復(fù)技術(shù)有效解決了數(shù)據(jù)受損的情況，本文貢獻(xiàn)如下。

1) 針對(duì)云存儲(chǔ)動(dòng)態(tài)群用戶數(shù)據(jù)完整性審計(jì)中無法同時(shí)支持受損文件的快速定位與可靠恢復(fù)問題，提出了一種動(dòng)態(tài)群用戶受損數(shù)據(jù)的定位與恢復(fù)方案。

2) 所設(shè)計(jì)方案結(jié)合關(guān)聯(lián)計(jì)算、累加計(jì)算糾刪碼和共享編碼等技術(shù)，在數(shù)據(jù)完整性設(shè)計(jì)中減少定位受損數(shù)據(jù)的計(jì)算次數(shù)的同時(shí)實(shí)現(xiàn)了動(dòng)態(tài)群用戶環(huán)境下受損數(shù)據(jù)的可靠恢復(fù)。

3) 利用雙線性映射和數(shù)學(xué)矩陣的相關(guān)性質(zhì)證明了所設(shè)計(jì)方案的安全性。同時(shí)，通過方案的原型系統(tǒng)實(shí)現(xiàn)，并對(duì)方案共享數(shù)據(jù)存儲(chǔ)、受損數(shù)據(jù)定位和受損數(shù)據(jù)恢復(fù)等模塊進(jìn)行評(píng)估，證明了方案的可行性。通過與相關(guān)方案在整體性能和定位受損數(shù)據(jù)效率方面進(jìn)行對(duì)比，證明了所設(shè)計(jì)方案的高效性。

1 相關(guān)工作

近年來，學(xué)者相繼提出了多種云存儲(chǔ)數(shù)據(jù)完整性審計(jì)方案。例如，Ateniese等在文獻(xiàn)[6]中首次提出“可證明數(shù)據(jù)擁有”PDP的概念，利用RSA方案和離散對(duì)數(shù)構(gòu)造同態(tài)驗(yàn)證標(biāo)簽，在降低文件的檢索和下載開銷的同時(shí)成功保護(hù)了文件隱私。在此基礎(chǔ)上，Sengupta等[9]提出了一種基于同態(tài)哈希的動(dòng)態(tài)云存儲(chǔ)方案，該方案不僅支持公開驗(yàn)證數(shù)據(jù)的完整性，還可以高效地進(jìn)行數(shù)據(jù)更新。Bernstein等[14]提出了一種基于橢圓曲線簽名的審計(jì)方案，可以有效降低受損文件的定位計(jì)算成本。Shin等[15]提出了一種基于指數(shù)測(cè)試的搜索方案，該方案通過比較指數(shù)的驗(yàn)證值來識(shí)別受損文件/塊的位置。但該方案有很大的局限性，即僅適用于單個(gè)文件受損場(chǎng)景，無法一次性定位多個(gè)受損文件。為了解決批量受損文件的定位問題，Matt等[16]提出了一種基于配對(duì)的簽名方案，該方案可以在批量審計(jì)失敗后定位受損文件，同時(shí)能夠有效識(shí)別多個(gè)受損簽名。Wang等[17]提出了一種批量審計(jì)方案以支持受損文件的快速查詢。該方案可以有效抵抗“受損文件”攻擊，在保證數(shù)據(jù)可用性的同時(shí)具備較高的查詢效率。Zhou等[18]對(duì)數(shù)據(jù)糾刪碼技術(shù)進(jìn)行了總結(jié)，介紹了多種用于數(shù)據(jù)恢復(fù)的編碼方法。

數(shù)據(jù)共享是云存儲(chǔ)應(yīng)用的核心服務(wù)之一。通過數(shù)據(jù)共享服務(wù)，用戶可以將各自的數(shù)據(jù)托管于云端并相互共享這些數(shù)據(jù)，這樣可以大大減輕用戶本地設(shè)備的存儲(chǔ)負(fù)擔(dān)。值得注意的是，當(dāng)群組中某些成員用戶被撤離出群組時(shí)，其所屬數(shù)據(jù)由群組管理員指派給其他的合法用戶進(jìn)行管理。針對(duì)這一問題，近年來，學(xué)術(shù)界陸續(xù)出現(xiàn)一些群用戶撤離場(chǎng)景下的數(shù)據(jù)完整性審計(jì)方案。例如，Wu等[19]提出了一種支持用戶撤銷的多關(guān)鍵字密文查詢方案，該方案能夠抵抗關(guān)鍵字選擇攻擊； Jiang等[11]提出了一種基于群簽名的用戶撤銷共享數(shù)據(jù)完整性審計(jì)方案，但該方案效率較慢；Zhang等[13]提出了一種高效的支持用戶撤銷的數(shù)據(jù)完整性審計(jì)方案，該方案可以有效提高用戶撤銷的審計(jì)效率。然而，這些審計(jì)方案大多聚焦于數(shù)據(jù)動(dòng)態(tài)性或者用戶動(dòng)態(tài)性的效率，并未考慮數(shù)據(jù)審計(jì)未通過的應(yīng)對(duì)策略。如果云服務(wù)器未能通過數(shù)據(jù)完整性審計(jì)，則意味著存儲(chǔ)在其上的用戶數(shù)據(jù)已遭到破壞，此時(shí)如果能快速修復(fù)受損文件，將大大提升云服務(wù)器的存儲(chǔ)性能。因此，設(shè)計(jì)一種能夠快速定位和恢復(fù)受損文件的方案具有十分重要的意義。

2 模型與目標(biāo)

本節(jié)主要介紹所設(shè)計(jì)的CIRG（corruption identification and recovery for dynamic group users）方案的系統(tǒng)模型、威脅模型及設(shè)計(jì)目標(biāo)。

2.1 系統(tǒng)模型

CIRG系統(tǒng)模型如圖1所示，系統(tǒng)包含5個(gè)實(shí)體：群用戶、群管理員、云服務(wù)提供商（CSP，cloud service provider）、私鑰生成器（PKG，private key generator）和第三方審計(jì)者（TPA，third party auditor）。其中，群用戶作為數(shù)據(jù)擁有者，負(fù)責(zé)對(duì)外包給云服務(wù)器的文件進(jìn)行編碼并標(biāo)記每個(gè)文件塊以進(jìn)行完整性審計(jì)。方案假設(shè)群用戶是誠實(shí)的，系統(tǒng)中群用戶不會(huì)與任何非法人員（包括被系統(tǒng)撤銷的群用戶）共享私人信息；群管理員負(fù)責(zé)管理用戶的注冊(cè)（新用戶加入群組時(shí)）或撤銷（老用戶退出群組時(shí)），同時(shí)參與密鑰的生成、群中數(shù)據(jù)編碼算法公布；CSP存儲(chǔ)來自云用戶的外包文件，并為群用戶提供數(shù)據(jù)共享服務(wù)。鑒于真實(shí)應(yīng)用場(chǎng)景中CSP往往是不可信的，方案設(shè)定系統(tǒng)中的CSP需要接受用戶/TPA的檢查，即對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行完整性驗(yàn)證；PKG是一個(gè)可信的實(shí)體，它參與系統(tǒng)公共參數(shù)和密鑰的生成；TPA負(fù)責(zé)代表群用戶對(duì)存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)進(jìn)行完整性審計(jì)。當(dāng)數(shù)據(jù)的完整性審計(jì)失敗時(shí)（即相應(yīng)被檢測(cè)文件遭受破壞），TPA能夠有效定位該受損文件。TPA在數(shù)據(jù)上傳階段無法從用戶的盲性數(shù)據(jù)中獲得真實(shí)數(shù)據(jù)，在審計(jì)階段也無法從云服務(wù)器的數(shù)據(jù)擁有性證明中獲得真實(shí)數(shù)據(jù)信息。

圖1 CIRG系統(tǒng)模型

Figure 1 CIRG system model

2.2 威脅模型

本文設(shè)計(jì)的CIRG方案不僅支持動(dòng)態(tài)群用戶下的數(shù)據(jù)完整性安全審計(jì)，而且進(jìn)一步考慮了數(shù)據(jù)完整性審計(jì)失敗后的補(bǔ)救問題。也就是說，一旦針對(duì)某數(shù)據(jù)的完整性審計(jì)失敗，TPA能夠有效定位該受損文件的位置。在此之后，TPA將受損文件的位置列表返回給用戶（或CSP），進(jìn)而可以根據(jù)這些位置恢復(fù)相應(yīng)的受損文件。CIRG方案的威脅模型概括為以下幾點(diǎn)。

1) 文件受損：群用戶外包的文件可能由于服務(wù)器硬件故障、服務(wù)器惡意操作、人為錯(cuò)誤操作等因素而遭到損壞或刪除。然而，出于自身聲譽(yù)及利益的考慮，云服務(wù)商不會(huì)主動(dòng)報(bào)告用戶數(shù)據(jù)已被損壞。

2) 文件不可恢復(fù)性：當(dāng)TPA驗(yàn)證后判定CSP中存儲(chǔ)的某文件已被損壞時(shí)，如果沒有特定的文件恢復(fù)機(jī)制，系統(tǒng)中群用戶將無法恢復(fù)并共享文件。

2.3 設(shè)計(jì)目標(biāo)

為了在實(shí)現(xiàn)云存儲(chǔ)共享數(shù)據(jù)的安全審計(jì)的同時(shí)支持針對(duì)受損文件的高效定位和恢復(fù)功能，本文設(shè)計(jì)的CIRG方案應(yīng)滿足以下目標(biāo)。

1) 安全目標(biāo)：主要考慮方案的正確性和可靠性。正確性意味著如果外包文件完好無損，CSP總能通過數(shù)據(jù)完整性審計(jì)。當(dāng)文件塊受損總量低于特定閾值時(shí)，任何合法群用戶或CSP最終一定可以恢復(fù)這些受損數(shù)據(jù)塊?？煽啃砸馕吨鴮?duì)于任一群用戶的文件，如果CSP中，實(shí)際并沒有存儲(chǔ)該文件；只存儲(chǔ)該文件中較少部分的內(nèi)容；存儲(chǔ)的相應(yīng)文件有誤，那么從概率上可以認(rèn)為CSP無法通過數(shù)據(jù)完整性審計(jì)。如果數(shù)據(jù)擁有性證明本身含有受損文件，TPA 無法定位被破壞文件位置的可能性可以忽略不計(jì)。

2) 效率目標(biāo)：主要考慮方案的計(jì)算、通信和存儲(chǔ)效率等性能指標(biāo)。本文設(shè)計(jì)的CIRG方案兼顧了文件恢復(fù)和公共審計(jì)功能，前者是指當(dāng)存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)由于物理磁盤損壞、故障等而受損或丟失時(shí)，方案通過計(jì)算受損數(shù)據(jù)的有效塊數(shù)可以確保用戶能夠有效地恢復(fù)相應(yīng)受損文件；后者意味著TPA可以對(duì)群用戶存儲(chǔ)在云服務(wù)器中的文件進(jìn)行完整性審計(jì)，這一過程僅需該文件的少量數(shù)據(jù)塊協(xié)助計(jì)算即可實(shí)現(xiàn)。

3 預(yù)備知識(shí)和定義

本節(jié)主要介紹方案采用的密碼工具、數(shù)據(jù)編解碼函數(shù)和關(guān)聯(lián)二分（RDI，relational dichotomy）計(jì)算的定義。

3.1 預(yù)備知識(shí)

哈希函數(shù)：本文用到如下哈希函數(shù)。

編解碼函數(shù)：本文用到的編解碼函數(shù)定義如下。

3.2 定義

本文目標(biāo)是設(shè)計(jì)CIRG存儲(chǔ)證明方案，該方案能夠有效識(shí)別受損文件/塊并支持動(dòng)態(tài)群用戶恢復(fù)相應(yīng)受損數(shù)據(jù)。CIRG方案定義的算法如下。

2) KeyGen：該算法用于生成數(shù)據(jù)標(biāo)簽的密鑰。由群用戶、群管理員和PKG交互運(yùn)行并生成數(shù)據(jù)標(biāo)簽的相關(guān)密鑰。

5) Challenge：該算法由TPA運(yùn)行，用于生成審計(jì)挑戰(zhàn)。其中，TPA根據(jù)用戶審計(jì)請(qǐng)求生成文件的挑戰(zhàn)信息chal并將其發(fā)送給云服務(wù)器。

6) Prove：該算法用于生成數(shù)據(jù)擁有性證明。具體而言，由云服務(wù)器運(yùn)行該算法，以挑戰(zhàn)信息chal作為輸入，輸出相應(yīng)的文件存儲(chǔ)證明并將其返回給TPA。

7) Recover：該算法首先對(duì)數(shù)據(jù)擁有性證明進(jìn)行驗(yàn)證，如果驗(yàn)證通過，則說明云服務(wù)器完整存儲(chǔ)了用戶數(shù)據(jù)。一旦驗(yàn)證不通過，則說明用戶存儲(chǔ)的數(shù)據(jù)受損，這時(shí)TPA將快速定位該受損數(shù)據(jù)的位置，并將其返回給用戶，最后由用戶對(duì)受損數(shù)據(jù)進(jìn)行恢復(fù)。

4 CIRG方案具體構(gòu)造

1) Setup算法執(zhí)行階段：PKG生成密鑰和系統(tǒng)公開參數(shù)。

2) KeyGen算法執(zhí)行階段：利用Schnorr簽名協(xié)議生成數(shù)據(jù)標(biāo)簽密鑰。如圖2所示，群用戶和群管理員、PKG交互生成數(shù)據(jù)標(biāo)簽密鑰，其中，文件標(biāo)識(shí)符標(biāo)簽密鑰由用戶進(jìn)行計(jì)算。本文將所有合法用戶的數(shù)據(jù)標(biāo)簽私鑰關(guān)聯(lián)起來，群用戶共用同一數(shù)據(jù)標(biāo)簽密鑰。在群組中如果有群用戶離開，系統(tǒng)將及時(shí)更新群中成員的數(shù)據(jù)標(biāo)簽私鑰。用戶一旦撤離群組，將無法再上傳數(shù)據(jù)到云服務(wù)器上進(jìn)行存儲(chǔ)，同時(shí)無法享用云服務(wù)器中存儲(chǔ)的共享服務(wù)。此外，該用戶曾經(jīng)存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)將由群管理員轉(zhuǎn)交其他合法的群用戶進(jìn)行管理。值得注意的是，該用戶所屬的數(shù)據(jù)標(biāo)簽在其撤離群后仍然可以被其他合法群用戶使用，即系統(tǒng)無須重新計(jì)算標(biāo)簽。這種可更新共享密鑰的方式可以極大地節(jié)省計(jì)算和存儲(chǔ)資源，同時(shí)提高審計(jì)效率。密鑰生成的具體細(xì)節(jié)如下。

圖2 數(shù)據(jù)標(biāo)簽私鑰生成

Figure 2 Data tag private key generation

圖3 數(shù)據(jù)編碼

Figure 3 Data encoding

5) Challenge算法執(zhí)行階段：用戶授權(quán)由TPA對(duì)其存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)進(jìn)行完整性審計(jì)。在該算法中，TPA為了驗(yàn)證用戶數(shù)據(jù)的完整性，發(fā)起審計(jì)挑戰(zhàn)。本文假設(shè)TPA一次性接收多個(gè)用戶的審計(jì)請(qǐng)求，并且可以為多個(gè)用戶發(fā)起審計(jì)挑戰(zhàn)。具體而言，TPA生成的審計(jì)挑戰(zhàn)如下。

6) Prove算法執(zhí)行階段：CSP根據(jù)TPA發(fā)起的挑戰(zhàn)chal生成數(shù)據(jù)擁有性證明，以此表明正確存儲(chǔ)了用戶完整的數(shù)據(jù)。之后，CSP將該數(shù)據(jù)擁有性證明發(fā)送給TPA進(jìn)行驗(yàn)證。數(shù)據(jù)擁有性證明計(jì)算如下。

7) Recover算法執(zhí)行階段： TPA通過數(shù)據(jù)擁有性證明驗(yàn)證數(shù)據(jù)的完整性。這時(shí)可能出現(xiàn)兩種情況：數(shù)據(jù)的完整性驗(yàn)證通過/不通過。完整性驗(yàn)證不通過，表明用戶存儲(chǔ)在CSP的文件受損，意味著用戶的數(shù)據(jù)不可用。針對(duì)這種情況，本文設(shè)計(jì)的CIRG方案可以快速定位該受損文件并將其恢復(fù)，具體內(nèi)容如下。

其中，。系統(tǒng)需要判斷等式是否成立，如果等式成立，則返回1，表示用戶的數(shù)據(jù)是完整存儲(chǔ)在CSP中；否則返回0，表示CSP中至少存在一個(gè)受損數(shù)據(jù)，這將導(dǎo)致用戶文件不可用。

Figure 4 Data integrity audit

為了保證用戶數(shù)據(jù)的完整性和可用性，必須恢復(fù)受損數(shù)據(jù)。在此之前首先面臨的是如何在審計(jì)的所有數(shù)據(jù)中找到受損數(shù)據(jù)的位置。本文采用RDI法查詢受損數(shù)據(jù)的位置，并通過RS糾刪碼恢復(fù)受損數(shù)據(jù)。

其中，和與式(3)所表示的計(jì)算值相同。

Figure 5 RDIcomputing

通過RDI將左右子樹的值關(guān)聯(lián)起來，由左/右子樹的值推導(dǎo)出另一個(gè)子樹的值。其中，通過計(jì)算父節(jié)點(diǎn)和左子節(jié)點(diǎn)驗(yàn)證值，能夠直接確定右子節(jié)點(diǎn)的值，具體計(jì)算公式為

TPA將受損數(shù)據(jù)的位置列表返回給用戶，以備用戶進(jìn)行受損數(shù)據(jù)的有效恢復(fù)。

圖6 矩陣與編碼數(shù)據(jù)

Figure 6 Matrix and encoded data

當(dāng)存在多個(gè)受損數(shù)據(jù)時(shí)，綜合利用上述方法可批量恢復(fù)受損數(shù)據(jù)。即使受損數(shù)據(jù)原本屬于某個(gè)已撤群用戶，由于本文方案的群用戶均采用群管理員公開的編碼算法對(duì)數(shù)據(jù)進(jìn)行編碼，被系統(tǒng)授權(quán)接管該數(shù)據(jù)的群合法用戶仍然可以通過編碼算法恢復(fù)曾屬于撤群用戶的共享數(shù)據(jù)。

5 安全性分析

（1）正確性

定理1 如果群用戶、群管理員、CSP和TPA都正確執(zhí)行相應(yīng)計(jì)算，那么CIRG方案的批量審計(jì)是正確的。

（2）受損數(shù)據(jù)的可恢復(fù)性

定理2 當(dāng)群用戶存儲(chǔ)在CSP的數(shù)據(jù)受損時(shí)，CIRG方案能夠有效恢復(fù)該受損數(shù)據(jù)。

（3）密鑰更新特性

定理3 當(dāng)群組中某個(gè)用戶撤群時(shí)，如果群用戶、群管理員都正確執(zhí)行相應(yīng)計(jì)算，群組中數(shù)據(jù)標(biāo)簽私鑰將會(huì)被正確更新。

6 實(shí)驗(yàn)分析

6.1 實(shí)驗(yàn)環(huán)境

本文在Windows10操作系統(tǒng)中部署實(shí)現(xiàn)了CIRG方案原型。系統(tǒng)測(cè)試使用的計(jì)算機(jī)具體配置參數(shù)為：處理器為8核2.90 GHz Intel Core i7-10700，內(nèi)存16 GB。實(shí)驗(yàn)使用Java語言，通過SHA-256和開源的密碼學(xué)算法庫JPBC實(shí)現(xiàn)相應(yīng)簽名。采用JAVA 內(nèi)置隨機(jī)數(shù)生成器生成實(shí)驗(yàn)測(cè)試中所用到的隨機(jī)數(shù)。調(diào)用JAVA 自帶的SECURITY類，通過RSA 非對(duì)稱加密算法生成文件標(biāo)簽。RSA 算法的密鑰長度為1 024 bit。根據(jù)性能設(shè)置，仿真將每種實(shí)驗(yàn)情況運(yùn)行50次，以得到平均值。

6.2 系統(tǒng)功能測(cè)試

（1）數(shù)據(jù)存儲(chǔ)模塊測(cè)試

如圖7所示，本文測(cè)試了密鑰生成模塊的時(shí)間開銷。生成身份密鑰GenUIK階段和生成部分密鑰GenTK階段花費(fèi)的時(shí)間較短，分別約為5 ms和4 ms。驗(yàn)證身份密鑰VerifyUIK階段和驗(yàn)證部分密鑰VerifyTK階段花費(fèi)的時(shí)間相對(duì)較長，分別約為46 ms和48 ms。計(jì)算私鑰ComputeSK階段的時(shí)間約為37 μs。這3個(gè)階段的總時(shí)間（Sum）約為104 ms。

圖7 密鑰生成模塊的時(shí)間開銷

Figure 7 Time cost of key generation module

如圖8所示，本文測(cè)試了密鑰更新與密鑰未更新的時(shí)間開銷。當(dāng)群組中沒有用戶離開時(shí)，即密鑰未更新時(shí)（SAC-SK）密鑰生成的時(shí)間開銷為104 ms。當(dāng)群組中某一用戶撤群時(shí)，密鑰更新（UDE-SK）的時(shí)間開銷為156.02 ms。

本文對(duì)數(shù)據(jù)上傳時(shí)不同數(shù)量文件在密鑰生成、數(shù)據(jù)編碼、標(biāo)簽生成的時(shí)間開銷進(jìn)行了測(cè)試。實(shí)驗(yàn)測(cè)試的每個(gè)文件大小為1 MB，分為160塊，其中冗余編碼塊為32塊，實(shí)驗(yàn)測(cè)試文件的數(shù)量從2增加到128個(gè)。如圖9所示，數(shù)據(jù)編碼的時(shí)間開銷約為密鑰生成的2.1倍，標(biāo)簽生成的時(shí)間開銷約為數(shù)據(jù)編碼的764.7倍。

（2）完整性審計(jì)模塊測(cè)試

圖10為相應(yīng)數(shù)據(jù)完整性審計(jì)的時(shí)間開銷測(cè)試結(jié)果。具體而言，設(shè)置每個(gè)文件大小為1 MB，每個(gè)文件塊的大小為20 B，測(cè)試的文件數(shù)量從2增加到128個(gè)。當(dāng)批量審計(jì)的文件數(shù)量為128時(shí)，挑戰(zhàn)階段、證明階段和完整性驗(yàn)證階段的時(shí)間成本分別為35.6 ms、91.9 ms、111.0 ms。

圖8 密鑰更新時(shí)的時(shí)間開銷

Figure 8 Time cost when key update

圖9 數(shù)據(jù)上傳時(shí)的時(shí)間開銷

Figure 9 Time cost when data upload

圖10 完整性審計(jì)時(shí)的時(shí)間開銷

Figure 10 Time cost when integrity audit

（3）受損數(shù)據(jù)定位模塊測(cè)試

本文分別對(duì)數(shù)據(jù)完整性審計(jì)與受損數(shù)據(jù)定位這兩種情況進(jìn)行了對(duì)比測(cè)試。首先，測(cè)試受損文件數(shù)量不同時(shí)完整性審計(jì)和定位的時(shí)間開銷，具體選取128個(gè)用戶的文件進(jìn)行測(cè)試，每個(gè)文件大小為1 MB，編碼后大小為1.25 MB。文件編碼之后的總塊數(shù)為160，冗余塊為32塊。同時(shí)，設(shè)置不同數(shù)量的受損文件（數(shù)量分別從16增加到64個(gè)），并且每個(gè)文件的受損塊數(shù)設(shè)置為32塊。如圖11所示，受損文件定位的時(shí)間開銷約為完整性審計(jì)時(shí)間開銷的3.95倍。

圖11 受損文件數(shù)量不同時(shí)的時(shí)間開銷

Figure 11 Time cost when the number of damaged files varies

此外，本文還測(cè)試了審計(jì)文件數(shù)量不同時(shí)完整性審計(jì)和定位的時(shí)間開銷。首先，設(shè)置受損文件的數(shù)量為4個(gè)，每個(gè)文件的大小是1 MB，測(cè)試的文件數(shù)量從8增加到128個(gè)。如圖12所示，受損文件定位的時(shí)間開銷約為完整性審計(jì)的2.64倍。

圖12 審計(jì)文件數(shù)量不同時(shí)的時(shí)間開銷

Figure 12 Time cost when the number of audit files varies

（4）受損數(shù)據(jù)恢復(fù)模塊測(cè)試

圖13 編碼和恢復(fù)階段的時(shí)間開銷

Figure 13 Time cost when encode and recover process

（5）對(duì)比測(cè)試

本文分別對(duì)方案的整體性能、受損數(shù)據(jù)定位這兩種情況進(jìn)行了對(duì)比測(cè)試。首先，測(cè)試本文CIRG方案和文獻(xiàn)[13]方案整體性能的時(shí)間開銷，具體選取128個(gè)用戶的文件進(jìn)行測(cè)試。同時(shí)，設(shè)置不同數(shù)量的受損文件（數(shù)量分別從16增加到64個(gè)）。CIRG方案測(cè)試的功能包括數(shù)據(jù)編碼、數(shù)據(jù)完整性審計(jì)、受損數(shù)據(jù)定位與恢復(fù)。文獻(xiàn)[13]方案測(cè)試的功能包括數(shù)據(jù)完整性審計(jì)、受損數(shù)據(jù)定位（二分法）。如圖14所示，與文獻(xiàn)[13]方案相比，本文的CIRG方案不僅在功能上更完善，并且能夠以較少的時(shí)間開銷完成受損數(shù)據(jù)的快速定位與恢復(fù)。

通過選取不同數(shù)量的受損文件，測(cè)試本文方案采用RDI累加法和文獻(xiàn)[13]方案采用二分法定位受損數(shù)據(jù)的時(shí)間開銷，具體選取128個(gè)用戶的文件進(jìn)行測(cè)試，每個(gè)文件大小為1 MB，文件編碼后大小為1.25 MB。文件編碼后的總塊數(shù)為160，冗余塊數(shù)為32。同時(shí)，設(shè)置受損文件的數(shù)量分別從16增加到64個(gè)，每個(gè)文件的受損塊數(shù)為32。如圖15所示，相較于文獻(xiàn)[13]方案，本文方案定位受損文件所用的時(shí)間開銷明顯較少。

綜上，實(shí)驗(yàn)分析和比較證明了CIRG方案在動(dòng)態(tài)群用戶場(chǎng)景下的可行性。同時(shí)，通過測(cè)試不同審計(jì)文件數(shù)量、不同受損文件數(shù)量等相關(guān)屬性的時(shí)間開銷可知，方案的開銷主要來自數(shù)據(jù)完整性驗(yàn)證和受損數(shù)據(jù)定位環(huán)節(jié)。由方案對(duì)比測(cè)試可知，CIRG方案不但支持動(dòng)態(tài)群用戶數(shù)據(jù)受損的定位與恢復(fù)需求，而且在數(shù)據(jù)完整性審計(jì)失敗后定位與恢復(fù)受損數(shù)據(jù)比文獻(xiàn)[13]需要更少的計(jì)算時(shí)間開銷。

圖14 方案對(duì)比測(cè)試

Figure 14 Scheme comparison test

圖15 定位對(duì)比測(cè)試

Figure 15 Location contrast test

7 結(jié)束語

本文提出了一種公開的、可驗(yàn)證的存儲(chǔ)證明方案CIRG，該方案支持在動(dòng)態(tài)群用戶環(huán)境中快速定位和恢復(fù)受損數(shù)據(jù)。方案不僅允許群用戶高效審計(jì)存儲(chǔ)在云服務(wù)器上共享數(shù)據(jù)的完整性，更重要的是，當(dāng)審計(jì)未通過時(shí)（數(shù)據(jù)受損），用戶可以高效定位并恢復(fù)相應(yīng)受損數(shù)據(jù)。相關(guān)安全性分析證明，該方案在威脅模型下是安全的。本文具體實(shí)現(xiàn)了CIRG原型系統(tǒng)并進(jìn)行了功能測(cè)試，相關(guān)實(shí)驗(yàn)結(jié)果表明系統(tǒng)在動(dòng)態(tài)群用戶受損數(shù)據(jù)的定位與恢復(fù)中是有效的。

[1] ZAFAR F, KHAN A, MALIK S U R, et al. A survey of cloud computing data integrity schemes: Design challenges, taxonomy and future trends[J]. Comput Secur, 2017, 65: 29-49.

[2] GUMASTE P. Amazon aws outage[EB].

[3] PAN Y, HU N. Research on dependability of cloud computing systems[C]//2014 10th International Conference on Reliability, Maintainability and Safety (ICRMS). 2014: 435-439.

[4] SCHROEDER B, GIBSON G A. A large-scale study of failures in high-performance computing systems[J]. IEEE Trans Dependable Secur Comput, 2010, 7(4): 337-351.

[5] WU D, XIA Y, SUN X S, et al. Masking failures from application performance in data center networks with shareable backup[C]//Pro- ceedings of the 2018 Conference of the ACM Special Interest Group on Data Communication. 2018: 176-190.

[6] ATENIESE G, BURNS R C, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//Proceedings of the 2007 ACM Conference on Computer and Communications Security (CCS 2007). 2007: 598-609.

[7] JUELS A, KALISKI B S. Pors: proofs of retrievability for large files[C]//Proceedings of the 2007 ACM Conference on Computer and Communications Security (CCS 2007). 2007: 584-597.

[8] GUO H, ZHANG Z, XU J, et al. Accountable proxy re-encryption for secure data sharing[J]. IEEE Trans Dependable Secur Comput, 2021, 18(1): 145-159.

[9] SENGUPTA B, RUJ S. Efficient proofs of retrievability with public verifiability for dynamic cloud storage[J]. IEEE Trans Cloud Comput, 2020, 8(1): 138-151.

[10] SHEN J, ZHOU T, HE D, et al. Block design-based key agreement for group data sharing in cloud computing[J]. IEEE Trans Dependable Secur Comput, 2019, 16(6): 996-1010.

[11] JIANG T, CHEN X, MA J. Public integrity auditing for shared dynamic cloud data with group user revocation[J]. IEEE Trans Computers, 2016, 65(8): 2363-2373.

[12] LIU X, MA J, XIONG J, et al. Personal health records integrity verification using attribute based proxy signature in cloud computing[C]//Internet and Distributed Computing Systems - 6th International Conference (IDCS 2013). 2013: 238-251.

[13] ZHANG Y, YU J, HAO R, et al. Enabling efficient user revocation in identity-based cloud storage auditing for shared big data[J]. IEEE Trans Dependable Secur Comput, 2020, 17(3): 608-619.

[14] BERNSTEIN D J, DOUMEN J, LANGE T, et al. Faster batch forgery identification[C]//Progress in Cryptology - INDOCRYPT 2012, 13th International Conference on Cryptology. 2012: 454-473.

[15] SHIN S, KIM S, KWON T. Identification of corrupted cloud storage in batch auditing for multi-cloud environments[C]//Information and Communication Technology-Third IFIP TC 5/8 International Conference (ICT), and 9th IFIP WG 8.9 Working Conference (CONFENIS 2015). 2015: 221-225.

[16] MATT B J. Identification of multiple invalid signatures in pairing-based batched signatures[C]//Public Key Cryptography - PKC 2009, 12th International Conference on Practice and Theory in Public Key Cryptography, 2009: 337-356.

[17] 王惠峰, 李戰(zhàn)懷, 張曉, 等. 云存儲(chǔ)中支持失效文件快速查詢的批量審計(jì)方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2017, 40(10): 2338-2351.

WANG H F, LI Z H, ZHANG X, et al. Batch auditing supporting fast searching invalid files in cloud storage[J]. Chinese Journal of Computers, 2017, 40(10): 2338-2351.

[18] ZHOU T, TIAN C. Fast erasure coding for data storage: a comprehensive study of the acceleration techniques[C]//17th USENIX Conference on File and Storage Technologies (FAST 2019), 2019: 317-329.

[19] 伍祈應(yīng), 馬建峰, 李輝, 等. 支持用戶撤銷的多關(guān)鍵字密文查詢方案[J]. 通信學(xué)報(bào), 2017, 38(8): 183-193.

WU Q Y, MA J F, LI H, et al. Multi-keyword search over encrypted data with user revocation[J]. Journal on Communications, 2017, 38(8):183 -193.

[20] WANG C, CHOW S S M, WANG Q, et al. Privacy-preserving public auditing for secure cloud storage[J]. IEEE Trans Computers, 2013, 62(2): 362-375.

[21] YU J, REN K, WANG C, et al. Enabling cloud storage auditing with key-exposure resistance[J]. IEEE Trans Inf Forensics Secur, 2015, 10(6): 1167-1179.

[22] HUO H, JIANG T, TAN S, et al. Efficient public integrity auditing with secure deduplication in cloud computing[J]. Int J Embed Syst, 2019, 11(6): 764-777.

[23] LI Y, YU Y, MIN G, et al. Fuzzy identity-based data integrity auditing for reliable cloud storage systems[J]. IEEE Trans Dependable Secur Comput, 2019, 16(1): 72-83.

Proof of storage with corruption identification and recovery for dynamic group users

JIANG Tao1, XU Hang2, WANG Liangmin3, MA Jianfeng1

1. State Key Laboratory of Integrated Service Networks, Xidian University, Xi’an 710071, China 2. School of Cyber Engineering, Xidian University, Xi’an 710126, China 3. School of computer science and engineering, Southeast University, Nanjing 211189, China

The outsourced storage mode of cloud computing leads to the separation of data ownership and management rights of data owners, which changes the data storage network model and security model. To effectively deal with the software and hardware failures of the cloud server and the potential dishonest service provider and also ensure the availability of the data owners’ data, the design of secure and efficient data availability and recoverability auditing scheme has both theoretical and practical importance in solving the concern of users and ensuring the security of cloud data. However, most of the existing studies were designed for the security and efficiency of data integrity or recoverability schemes, without considering the fast identification and reliable recovery of damaged data under dynamic group users. Thus, to quickly identify and recover damaged data, a publicly verifiable proof of storage scheme was proposed for dynamic group cloud users. The designed scheme enabled a trusted third-party auditor to efficiently identify the damaged files through a challenge-response protocol and allowed the cloud storage server to effectively recover them when the degree of data damage is less than an error correction ability threshold. The scheme combined association calculation and accumulation calculation, which effectively reduced the number of calculations for the identification of damaged data. By combining erasure coding and shared coding technology, the scheme achieved effective recovery of damaged data of dynamic group users. At the same time, the scheme also supported dynamic user revocation, which ensured the integrity audit and reliable recovery of the collective data after user revocation. The network model and threat model of the designed scheme were defined and the security of the scheme under the corresponding security model was proved. Through the prototype implementation of the scheme in the real environment and the modular performance analysis, it is proved that the proposed scheme can effectively identify the damaged data and reliably recover the cloud data when the data is damaged. Besides, compared with other schemes, it is also proved that the proposed scheme has less computational overhead in identifying and recovering damaged data.

cloud storage, data sharing, corruption identification, proof of retrievability, dynamic group users

TP309

A

10.11959/j.issn.2096?109x.2022071

2022?04?11；

2022?07?22

王良民，laingmin@seu.edu.cn

中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)（XJS211502）

Fundamental Research Funds for the Central Universities (XJS211502)

姜濤, 徐航, 王良民, 等. 支持受損數(shù)據(jù)定位與恢復(fù)的動(dòng)態(tài)群用戶可證明存儲(chǔ)[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(5): 75-87.

Format: JIANG T, XU H, WANG L M, et al. Proof of storage with corruption identification and recovery for dynamic group users[J]. Chinese Journal of Network and Information Security, 2022, 8(5): 75-87.

姜濤（1984?），男，山東威海人，博士，西安電子科技大學(xué)副教授，主要研究方向?yàn)槊艽a學(xué)與安全協(xié)議、大數(shù)據(jù)存儲(chǔ)安全和智能安全。

徐航（1995?），男，陜西西安人，西安電子科技大學(xué)碩士生，主要研究方向?yàn)樵拼鎯?chǔ)數(shù)據(jù)安全。

王良民（1977?），男，安徽潛山人，博士，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)與安全協(xié)議、物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全。

馬建峰（1963?），男，陜西西安人，博士，西安電子科技大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)橛?jì)算機(jī)系統(tǒng)安全、移動(dòng)與無線安全、系統(tǒng)可生存性和可信計(jì)算。