改進的基于身份的數據完整性驗證方案

劉振鵬，蔄志賢 ，胡倩茹，劉曉丹

(1.河北大學 計算機科學與技術學院,河北 保定 071002;2.河北大學 電子信息工程學院,河北 保定 071002)

?

改進的基于身份的數據完整性驗證方案

劉振鵬1，2，蔄志賢1，胡倩茹2，劉曉丹2

(1.河北大學 計算機科學與技術學院,河北 保定 071002;2.河北大學 電子信息工程學院,河北 保定 071002)

云計算中，用戶無法確保存儲在云存儲服務器中的數據是完整的，如何確保用戶數據的完整性是學術界研究的一個熱點問題.利用基于身份的聚合簽名給出一個數據完整性驗證的改進方案，將用戶自己生成的秘鑰作為文件生成標簽的秘鑰，用PKG為其生成的私鑰對用戶自己生成的加密公鑰等信息簽名，從而提高了數據完整性驗證的可信性和安全性.最后通過安全性和性能分析證明了方案的有效性.

數據完整性；基于身份的加密；聚合簽名

隨著云計算的發展，用戶可以從遠程云中按需獲取高質量的應用和服務，而不用擔心本地的數據管理存儲.由于用戶在本地不再保留任何數據副本，故無法確保云中數據的完整性[1-3].數據完整性驗證是極其重要的，它能夠在本地沒有存儲數據副本的情況下驗證用戶存儲的數據完整性.一直以來，數據完整性驗證都受到人們的關注，為了解決這一問題，Ateniese等[4-5]定義了可證明數據持有(provable data possession,PDP)模型，Juels等[6]提出了可恢復證明(proof of retrievablity,POR)機制，Shacham等[7-8]提出了在隨機預言機模型下，具有完整的安全證明的公共審計方案.為了滿足不同用戶的不同需求，大量的方案被提出，幾個具有代表性的是文獻[9-13].Shamir在1984年提出基于身份的密碼系統[14](identity-based cryptosystem,IBC)，建 議使用能標識用戶身份的信息為公鑰，比如名字、IP地址或者Email地址.2001年，Boneh和Franklin[15]利用Weil配對技術提出了第一個安全、實用的基于身份的加密方案(identity-based encryption，IBE).基于身份的加密體制的主要優勢在于它簡化了認證機構公鑰體系架構中的認證機構的證書的管理.此后，基于身份的密碼體制引起了國內外眾多學者的廣泛關注并得到迅速發展，提出了大量的基于身份的加密和簽名方案.隨后，在這種密碼體制下的數據完整性驗證問題也得到關注.

基于身份的加密體制天生具有密鑰托管功能，因為PKG知道所有用戶的私鑰，從而PKG成為主要攻擊對象，一旦主密鑰泄露，那么攻擊者將可以生成任何一個用戶的私鑰，從而偽造其對文件的標簽，這將會使數據完整性驗證失去可信性與安全性.針對這一問題，學者們提出了很多解決方法[16-19]，比如基于身份的分層結構的公鑰加密算法[18-19](hierchical identity based encryption,HIBE)，它能夠減輕根節點的任務量，讓子層分擔原來根節點的部分任務，并且降低風險，這些想法已經相對成熟.本文從數據完整性驗證角度利用基于身份的聚合簽名提出一種解決方法，來提高完整性驗證的可信性和安全性.

1 相關知識

聚合簽名由Boneh等[20]提出,主要是通過聚合多個簽名為1個簽名,來提高簽名與驗證的效率，但是需要額外的附加信息，為了找到一個簽名方案所需的總信息驗證最小化的方案，Gentry等[21]提出了一個基于身份的聚合簽名(identity-based aggregate signature,IBAS).方案由5個算法組成,詳細如下：

1)系統建立(Setup)：(G1,G2)是一個GDH群組,ê:G1×G1→G2是可計算的雙線性映射h:G1→Zq，H1，H2:{0,1}*→G1,H3:{0,1}*→Z/qZ,是3個安全hash函數.私鑰產生中心(PKG)隨機選取s∈Z/qZ，計算Q=sP;系統的公開參數是params=(G1,G2,ê,P,Q,H1,H2,H3,h,Pw),s是系統的主秘鑰.

2)密鑰提取(KeyExtra)：當用戶把自己的身份IDi∈{0,1}*發送給PKG后，PKG確認IDi的身份后,計算用戶的私鑰sρi,j，其中Pi,j=H1(IDi，j),j∈{0,1}.

2 改進的數據完整性驗證方案

2.1 方案思想

在Zhao等[22]提出的IBPV(identity-based public verification)方案中，用戶用PKG為其生成的私鑰直接對要存儲的文件進行簽名得到驗證所需的標簽.在基于身份的公鑰加密系統中，PKG的主密鑰一旦泄露，那么攻擊者將可以生成用戶的私鑰，在修改用戶存儲的文件后，偽造能夠通過完整性驗證的標簽.從而數據完整性驗證就失去了可信性，安全性也隨之降低.筆者對此方案做出修改，即用戶自己生成加密秘鑰來為文件生成標簽，用PKG為其生成的私鑰對用戶自己生成的加密公鑰等信息簽名(將其作為“證書”)，在驗證階段作為驗證加密公鑰等信息的證據.在改進后的方案中，攻擊者不能獲得用戶的加密私鑰，從而不能偽造文件的標簽.改進的部分利用基于身份的聚合簽名(identity-based aggregate signature,IBAS)來實現，并做了簡單調整，讓其在批處理審計中支持統一驗證.

2.2 方案設計

如圖1所示，新的系統模型包含4個實體：用戶、云服務器、私鑰產生中心、驗證者.用戶(Client)擁有大量的數據需要存儲到云服務器，可以是企業或是個人.云服務器(cloud server，CS)由云服務提供商管理，有大量的存儲空間提供存儲服務給多個用戶.私鑰生成中心(private key generator，PKG) ：當接收用戶的身份ID時，確認用戶的身份后輸出對應的私鑰.驗證者(Verifier)：具有用戶所沒有的審計經驗和能力，可以替代用戶對云中存儲的數據執行審計任務.

圖1 系統模型

圖1的具體描述如下：1)在密鑰提取階段，PKG為用戶生成基于身份的密鑰.2)用戶生成自己的加密密鑰，用PKG為其生成的私鑰對加密公鑰進行簽名.用加密私鑰生成標簽，將相關數據上傳到云服務器.3)驗證者向云服務器發起驗證請求.4)云服務器向驗證者發送驗證信息.5)驗證者驗證信息是否正確，若正確的話，向云服務器發送挑戰集.6)云服務器生成證據返回給驗證者.

2.3 方案描述

本文的方案由4個算法組成：Setup，KeyExtra，TagGen，Challenge.Setup，KeyExtra由PKG執行，分別用來生成系統參數和用戶的私鑰.TagGen由用戶執行，為文件和公開信息生成驗證的標簽.Challenge是驗證者和云服務器進行完整性驗證的交互算法.

1)Setup:PKG生成參數和秘鑰，具體步驟如下.

①生成階為素數q的加法循環群G1、乘法循環群G2和2個群之間的可容許的雙線性映射ê:G1×G1→G2;

②選取一個任意的生成元P∈G1;

③選取隨機數s∈Z/qZ，計算Q=sP;

④選取加密哈希函數H1,H2:{0,1}*→G1,H3:{0,1}*→Z/qZ,h:G1→Zq;

⑤選取字符串w作為系統狀態參數，計算Pw=H2(w).

PKG的公鑰params=(G1,G2,ê,P,Q,H1,H2,H3,h,Pw),私鑰s∈Zq.

2)KeyExtra:對于用戶IDi∈{0,1}*，PKG生成基于身份的私鑰sPi,j，其中Pi,j=H1(IDi,j),j∈{0,1}.

3)TagGen:對于用戶IDi∈{0,1}*，對文件F分成進行分塊，分成n個文件塊，即F′=(F1,F2,…，Fn).

①選取字符串w′作為狀態用戶狀態參數.

4)Challenge:驗證者向云服驗證的步驟如下.

如果不相等，拒絕并返回0，否則繼續下一步.

③驗證者隨機選取c個塊挑戰，對于每個挑戰塊j∈I,選取隨機數vj∈Zp.驗證者發送挑戰信息Q={(j,vj)}給云服務器.

⑤驗證者收到云服務器的響應后，檢查下式是否相等

ê(S,P)=ê(T,Pw)·ê

如果相等，輸出“Accept”，否則輸出“Reject”.

2.4 支持批量審計

其他步驟不變，在Challenge階段調整后如下.

Challenge:對于用戶IDi∈{0,1}*，假設批量審計n個用戶的數據.驗證者向云服器驗證的步驟如下.

如果不相等，輸出“Reject”，否則繼續下一步.

③驗證者隨機選取c個塊挑戰，對于每個挑戰塊j∈I,選取隨機數vj∈Zp.驗證者發送挑戰信息Q={(j,vj)}給云服務器.

⑤驗證者收到云服務器的響應后，檢查下式是否相等

ê(Sn,P)=ê(Tn,Pw)·ê

如果相等，輸出“Accept”，否則輸出“Reject”.

3 安全性及性能分析

3.1 安全性與健壯性分析

3.1.1 安全性分析

對于公開審計方案，數據的正確性和完整性意味著不存在這樣的敵手——在challenge協議中，偽造所有方案需要的正確輸入值，使得Challenge能夠輸出Accept.這些值分別是數據標簽、聚合的數據標簽、采樣數據的非線性組合.如果IBAS是不可偽造的，并且IBPV是安全的，沒有任何人在對應所有正常的挑戰時，不持有實際合法數據的情況下，能夠偽造出所有必須的響應值使得Verifier接受.

如果云服務器能使得在Challenge算法中，Verifier接受，那么它一定存在一個提取器能夠恢復客戶挑戰的數據，即完好地存儲著對應的數據.

假設存在攻擊者A可以打破方案的安全性.然后構造一個算法B模擬Verifier與A進行交互.

1) 系統參數設置(setup)：算法B接收IBPV方案的主公鑰mpk*和IBAS方案的spk*.B根據本文的協議設置IBAS的方案和IBPV方案，并將mpk*傳給A作為主公鑰.為了不失一般性，假設A用N個不同身份調用詢問(Extra和store)，即ID1，…，IDN.B選取一個索引i*∈{1,…，N}.

2)查詢(Queries)：攻擊者允許向算法B進行以下自適應查詢：

①密鑰詢問(Extra Queries)：攻擊者A查詢身份IDi的私鑰時，B調用IBPV的模擬器，模擬輸入IDi，獲得私鑰kID.B返回kID.

③證明：B扮演驗證者的角色并如實地執行協議.A扮演證明者的角色，輸出對于身份IDi和文件Fj的存儲查詢結果.

3)輸出(output)：最后，攻擊者 A輸出證據的描述p*，它是ε-允許的.

3.1.2 健壯性分析

在隨機預言模型中，如果用數字簽名方案生成文件的標簽存在不可偽造和CDH是雙線性群上的困難問題，除了微乎其微的概率，沒有對手能夠打破本文方案的健壯性(soundness).

在改進的方案中，利用了IBAS來產生有效的簽名來認證用戶自己生成的公鑰和文件塊數.在隨機預言模型中，IBAS的不可偽造性依賴于CDH假設，并且原來的IBPV方案也是安全的，因此依據安全性分析的結論，改進后的方案具有健壯性.

3.2 性能分析

本文的方案與IBPV比較如表1,TagGen和Verify階段的計算開銷,其中CH3、CH1、CH2、CHh是哈希函數H、H1、H2、h運算的時間開銷；Ce是雙線性映射的時間開銷；Cmul是群G1上的乘法運算的時間開銷.

表1 計算開銷 Tab.1 Computational overhead

4 結論

研究了基于身份的加密體制下的數據完整性驗證方案，讓用戶用自己生成的加密私鑰來對文件生成驗證用的標簽，PKG為其生成的私鑰為加密公鑰等信息生成驗證用標簽，從而解決基于身份的加密體制對數據完整性驗證的可信性和安全性的影響.增加的簽名和驗證使得原方案的可行性和安全性提高，降低了風險.在改進后的方案中，即使攻擊者通過攻擊PKG獲得用戶的基于身份的私鑰，也不能夠偽造用戶對文件的簽名.本方案同樣支持批量審計，不影響原方案的在批量審計的功能.

[1] 譚霜,賈焰,韓偉紅.云存儲中的數據完整性證明研究及進展[J].計算機學報,2015,38(1):164-177.DOI:10.3724/SP.J.1016.2015.00164. TAN S,JIA Y,HAN W H.Research and development of provable data integrity in cloud storage[J].Journal of computer,2015,38(1):164-177.DOI:10.3724/SP.J.1016.2015.00164.

[2] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22(1)：71-83.DOI:10.3724/SP.J.1001.2011.03958. FENG D G,ZHANG M,ZHANG Y,et al.Study on cloud computing security[J].Journal of Software,2011,22(1):71-83.DOI:10.3724/SP.J.1001.2011.03958.

[3] 楊曉暉,丁文卿.云存儲環境下基于CP-ASBE數據加密機制[J].河北大學學報(自然科學版),2016,36(4):424-431.DOI:10.3969/j.issn.1000-1565.2016.04.015. YANG X H,DING W Q.CP-ASBE based data encryption mechanism for cloud storage[J].Journal of Hebei University(Natural Science Edition),2016,36(4):424-431.DOI:10.3969/j.issn.1000-1565.2016.04.015.

[4] ATENIESE G,BURNS R C,CURTMOLA R,et al.Provable data possession at untrusted stores[C].Proceeding of ACM CCS’07,Alexandria,Virginia,USA,2007:598-609.

[5] ATENIESE G,BURNS R C,CURTMOLA R,et al.Remote data checking using provable data possession[J].ACM Transactions on Information and System Security,2011,14 (1):1094-9224.DOI:10.1145/1952982.1952994.

[6] JUELS A,KALISKI B S.PORs:Proofs of retrievability for large files[C].Proceeding of ACM CCS’07,Alexandria,Virginia,USA,2007:584-597.

[7] SHACHAM H,WATERS B.Compact proofs of retrievability [J].Journal of cryptology,2013,26(3):442-483.DOI:10.1007/s00145-012-9129-2.

[8] WANG Q,WANG C,REN K,et al.Enabling public auditability and data dynamics for storage security in cloud computing [J].IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847-859.DOI:10.1109/TPDS.2010.183.

[9] BONEH D,SHACHAM H,LYNN B.Short signatures from the weil pairing[J].Journal of Cryptology,2004,17(4):297-319.DOI:10.1007/s00145-004-0314-9.

[10] WANG C,REN K,LOU W,et al.Toward publicly auditable accrue cloud data storage services[J].IEEE Network,2010,24(4):19-24.DOI:10.1109/MNET.2010.5510914.

[11] HAO Z,ZHONG S,YU N H.A privacy-preserving remote data integrity checking protocol with data dynamics and public verifiability[J].IEEE Transactions on Knowledge & Data Engineering,2011,23(9):1432-1437.DOI:10.1109/TKDE.2011.62.

[12] ZHU Y,WANG H,HU Z,et al.Efficient provable data possession for hybrid clouds[C].Proceedings of CCS’10,New York,USA,2010:756-758.

[13] 王保民.一種基于可信計算平臺的數字簽名方案[J].河北大學學報(自然科學版),2010,30(6):715-718.DOI:10.3969/j.issn.1000-1565.2010.06.022. WANG B M.A signature scheme based trusted computing platform[J].Journal of Hebei University(Natural Science Edition).2010,30(6):715-718.DOI:10.3969/j.issn.1000-1565.2010.06.022.

[14] SHAMIR A.Identity-based cryptosystems and signature schemes[C].LNCS196,Advances in Cryptology,Crypto’ 84.Berlin,Springer,1984:47-53.

[15] BONEH D,FRANKLIN M.Identity-based encryption from the Weil pairing[C].LNCS2139,Advances in Cryptology,Crypto’2001,Berlin,Springer,2001:213-229.

[16] YU Y,XUE L,AU M,et al.Cloud data integrity checking with an identity-based auditing mechanism from RSA [J].Future Generation Computer Systems,2016,62(C):85-91.DOI:10.1016/j.future.2016.02.003.

[17] YU Y,ZHANG Y F,MU Y,et al.Provably secure identity based provable data possession[J].Provable Security,2015,9451:310-325.DOI:10.1007/978-3-3-319-26059-4-17.

[18] WATERS B.Dual system encryption:realizing fully secure IBE and HIBE under simple assumptions[J].International Cryptology Conference on Advances in Cryptology,2009,5677:619-636.DOI:10.1007/978-3-642-03356-8-36.

[19] CHATTERJEE S,SARKAR P.Generalization of the selective-ID security model for HIBE protocols[C].Public Key Cryptography,PKC’2006.Berlin,Springer,2006:241-256.

[20] BONEH D,GENTRY C,LYNN B,et al.Aggregate and verifiably encrypted signatures from Bilinear maps[J].Lecture Notes in Computer Science,2003,2656(1),416-432.DOI:10.1007/3-540-39200-9-26.

[21] GENTRY C,RAMZAN Z.Identity-based aggregate signatures[J].Lecture Notes in Computer Science,2006,3958:257-273.DOI:10.1007/11745853-17.

[22] ZHAO J,XU C X,Li F,et al.Identity-based public verification with privacy-preserving for data storage security in cloud computing[J].Ieice Transactions on Fundamentals of Electronics Communications & Computer Sciences,2013,96(12):2709-2716.DOI:10.1587/transfun.E96.A.2709.

(責任編輯：孟素蘭)

Improved identity-based data integrity verification scheme

LIU Zhenpeng1,2,MAN Zhixian1,HU Qianru2,LIU Xiaodan2

(1.School of Computer Science and Technology,Hebei University,Baoding 071002,China; 2.Electronic Information Engineering College,Hebei University,Baoding 071002,China)

In cloud computing, users can not ensure that the data stored in the cloud storage server is complete. How to efficiently verify the integrity of user data is a hot topic in academic research. An improved scheme of data integrity verification by manipulating scheme of identity-based aggregate signature is proposed, the secret key of the user is used to compute the file tags, and the private key generated by PKG is used to calculate the signature of the user's encrypted public key and other information. Therefore the credibility and security of data integrity verification are enhanced. Finally, the effectiveness of the scheme is verified through the security and performance analysis.

data integrity；identity-based encryption；aggregate signature

10.3969/j.issn.1000-1565.2017.01.013

2016-10-20

國家科技支撐計劃資助項目(2013BAK07B04)

劉振鵬(1966—)，男，河北行唐人，河北大學教授，主要從事云計算和信息安全方向研究.E-mail:lzp@hbu.edu.cn

胡倩茹(1979—)，女，河北靈壽人，河北大學講師，主要從事大數據和數據挖掘方向研究.E-mail:huqr@hbu.edu.cn

TP309

A

1000-1565(2017)01-0086-06