一种面向云存储的远程数据完整性验证方法

摘要

本发明提出一种面向云存储的远程数据完整性验证方法，利用聚合签名、指定证明人签名技术，实现了用户以及第三方审计人对用户数据完整性的验证功能，同时保证用户用于数据完整性的信息不被泄露；通过零知识证明技术实现了验证信息的透明度控制，当用户和服务器发生争议时，第三方审计人可以通过一种非交互式的零知识证明技术，产生不可否认的高置信度证明。本发明在云存储服务提供商不可信的情况下，也能够保证云数据完整性验证的准确性，具有易于实现，成本低，数据保护性强，支持第三方审计，隐私保护机制灵活等优点。

主权项

1.一种面向云存储的远程数据完整性验证方法，其特征在于包括以下步骤：步骤1，系统初始化系统运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器,产生两个阶为素数q的双线性群G,G_t,g是群G的生成元,e:G×G→G_t为双线性对运算,定义一个安全的Hash函数H:{0，1)^*→G;给定文件F,系统使用Reed-Solomon编码将文件分为n块F(m₁，m₂，...，m_n)其中步骤2，系统生成密钥系统运行密钥生成算法KeyGen，为用户U生成私钥：随机数则相应的公钥为类似地，系统为第三方审计人TPA生成私钥：随机数则相应的公钥为$y_{\mathrm{TPA}}=g^{x_{\mathrm{TPA}}};$步骤3，用户存储文件用户运行签名生成算法SigGen(sk_U，F)为每一个数据块m_i生成一个同态认证值(homomorphic authenticator)：作为文件的元数据，所有数据块的同态认证值是可以聚集成一个标签值：φ＝{σ_i}，1≤i≤n;用户采用Merkle哈希树将各数据块结构化，同时对根节点R进行签名将{F，φ，σ_R}发送给云存储服务器CSS。步骤4，一般完整性验证4.1用户发出挑战请求用户U对文件F进行数据完整性验证时,生成一组挑战信息发送给云存储服务器CSS，其中I＝{s₁，...，s_c}，s₁≤i≤s_c，对于每一个s_i∈I，s_i表示第i个数据块m_i的索引，随机数4.2服务器生成证明云存储服务器CSS接收到用户U发送的挑战信息之后,计算生成一段证明：${\zeta }_i=y_{\mathrm{TPA}}^{r_i},{\mu }_i={\sigma }_i·g^{r_i},\zeta ={\Pi }_{i=s_1}^{s_c}{\zeta }_i,\mu ={\Pi }_{i=s_1}^{s_c}{\mu }_i,\theta ={\Sigma }_i^{s_c}{m}_i---\left(1\right)$同时，CSS提供给用户一组辅助信息：{Ω_i}，s₁≤i≤s_c，表示第i个叶子节点(存储了H(m_i))到根节点R的路径上所有兄弟节点的集合，最后，CSS发给用户U一段证明：P＝{(ζ，μ，θ)，{H(m_i)}，{Ω_i)，σ_R}           (2)其中s_l≤i≤s_c，而(ζ，μ)则是关于θ的指定证明人签名。；4.3用户完整性验证用户U收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i)生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则U拒绝验证该证明，并输出失败信息。如果上述等式成立，则U继续计算下列等式是否成立：$e(\mu ,y_{\mathrm{TPA}})\equiv e(\zeta ,g)·e{({\Pi }_{i=s_1}^{s_c}H\left(m_i\right)·u^{\theta },y_{\mathrm{TPA}})}^{x_U}---\left(3\right)$如果上述等式成立，则该证明验证通过。步骤5，不可否认的完整性验证当发生争议时，第三方审计人TPA可以参与到完整性验证过程中，并给出不可否认的最终证明。TPA接收到CSS云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则TPA拒绝验证该证明，并输出失败信息1。否则，TPA继续计算下列等式是否成立：$e(\mu ,y_{\mathrm{TPA}})\equiv e(\zeta ,g)·e{({\Pi }_{i=s_1}^{s_c}H\left(m_i\right)·u^{\theta },y_U)}^{x_{\mathrm{TPA}}}---\left(4\right)$如果上述等式成立，则该证明验证通过，否则证明验证失败，输出失败信息1。需要生成不可否认的证明时，TPA首先调用上述TPA验证算法。如果验证通过，说明证明无误，TPA输出一段非交互式的零知识证明π₁，以证明两个离散对数相等的关系。如果验证没有通过，输出了失败信息0，并且TPA将{H(m_i)}{Ω_i}这部分信息直接公开，从而任何人都能验证该结论。如果TPA输出的是失败信息1，则其输出一段非交互式的零知识证明π₂，以证明两个离散对数不相等的关系。对于上述非交互式的零知识证明，任何人都可以通过简单的计算加以验证。