一种用于指定验证人对云存储数据进行审计的方法

摘要

本发明属于通信技术领域，具体的说是涉及一种用于指定验证人对云存储数据进行审计的方法。本发明的方法主要为：系统首先对数据文件进行分块处理，分别产生云用户和云服务器的公私钥对，云用户产生数据块的签名和数据文件标签，将数据块的签名集合、数据文件及其标签发送到云服务器；然后云用户根据指定验证人的身份调用格基代理算法计算其公私钥对，并安全地发送给指定验证人；最后指定验证人产生审计挑战信息给云服务器，云服务器根据审计挑战信息，获取审计响应证明并发送给指定验证人，指定验证人按照格签名验证方法来验证此审计响应证明。

说明书

技术领域

本发明属于通信技术领域，具体的说是涉及一种用于指定验证人对云存储数据进行审计 的方法。

背景技术

随着网络技术的发展和存储需求量的持续增加，云存储作为新一代存储模式正在逐步出 现和兴起。虽然云存储给用户带来了诸多便利，但同时也提出了一些安全隐私方面的挑战。 虽然云服务提供商能够提供安全性更高的存储设备，但是海量的数据存储在云服务器上使得 数据更容易遭受攻击者的主动攻击。对云服务提供商来说，由于一些利益原因，他们可能不 会真实地反应对用户数据的存储情况。例如：云服务提供商可能因为利益原因删除一些用户 很少访问的数据，或是云服务提供商隐瞒了由他造成的用户数据的丢失来维护他的声誉。因 此可以看出，云存储虽然能带来很多优势和便利，但是它并不能保证用户存储数据的真实性 和完整性。

为了解决上面提到的云存储数据的安全问题，我们需要对存储在云上的数据进行审计， 这种可以对云上存储的数据进行审计的方案我们称为云存储数据审计协议。当用户将数据存 储到云服务器后，用户就失去了对数据的控制。可审计的云存储数据是用户或是用户委托的 可信第三方对云存储的数据进行有规律的审计。通过审计，用户能够实时确认他存储在云服 务器上的数据的真实性和完整性。即使有这样的云存储数据审计服务，对用户来讲，选择审 计任务的执行者也是需要考虑的问题。比如，在公共审计方案中，只要持有有效的验证参数， 任何人都可以验证用户的数据完整性。这样一来，用户的隐私数据或是秘密信息可能会比非 授权方获取。所以，用户需要指定一个专门的验证人来执行审计任务，以确保数据的隐私性。

目前云存储数据审计方法都是基于传统密码体制的，而这类问题都是量子计算机可以轻 松破解的，在量子环境下是不安全的。考虑到大数据将会在量子时代长期存在，设计能够抵 抗量子攻击的指定验证者数据审计方案就具有重要的意义。。

发明内容

本发明所要解决的，就是针对上述问题，提出一种基于格困难问题的用于指定验证人对 云存储数据进行审计的方法，此方法能够有效抵抗量子计算机的攻击。

为实现上述目的，本发明采用如下技术方案：

一种用于指定验证人对云存储数据进行审计的方法，其特征在于，包括以下步骤：

a.系统初始化，具体包括：

a1.对数据文件进行分块处理，设置格密码算法的安全参数和安全的哈希函数；

a2.通过格基门限生成算法分别产生云用户和云服务器的公私钥对，云用户秘密选择签名 密钥；

a3.云用户通过格上的线性同态签名算法产生数据块的签名集合，并通过签名算法获得数 据文件标签，将数据块的签名集合、数据文件及数据文件标签发送到云服务器；

b.审计授权代理，具体包括：

b1.云用户指定验证人，并根据指定验证人的身份调用格基代理算法计算指定验证人的公 私钥对，将获得的指定验证人的公私钥对发送给指定的验证人；

b2.云用户将用户身份，指定验证人的身份以及指定验证人的公钥在云服务器上注册登 记；

c.审计挑战应答，具体包括：

c1.指定验证人产生审计挑战信息发送到云服务器；

c2.云服务器根据审计挑战信息，采用格上原像抽样算法以及噪声学习方法计算审计响应 证明发送给指定验证人；

c3.指定验证人验证审计响应证明是否正确。

进一步的，所述步骤a1的具体方法为：

a11.将数据文件F分成l个数据块F＝{m₁,m₂,…,m_l}，其中1≤i≤l；

a12.设置安全的高斯参数σ,δ以及矩阵的行数n，设置公共参数集合 其中q＝poly(n)是关于矩阵行数n的多项式复杂度的素数， m≥2nlogq是矩阵的列数，为方案中矩阵范数的上界， 为方案中数字签名的分布，χ是高斯噪声分布；其中e是数字签 名，是模q上的m维向量，O是关于矩阵行数n的复杂度。

a13.设置第一安全哈希函数第二安全哈希函数第三安全哈希函数第四安全哈希函数第五安全哈希函数 其中，第三哈希函数H₃的值输出在D_m×m分布中，是模q上的n×m维 矩阵，是模q上的n维向量，Z^m×m是m×m维低范数矩阵，Z_q是模q剩余类环，上标m是 矩阵列数，上标n是矩阵行数，下标q是素数，D_m×m是低范数m×m唯矩阵分布。

更进一步的，所述步骤a2的具体方法为：

a21.云用户采用格基门限生成算法产生公私钥对，具体为：

通过格基门限生成算法TrapGen(1ⁿ,1^m,q)产生均匀矩阵以及格的基T_A使得获得云用户的公私钥对为(A,T_A)，云用户选择签名公私钥对为(spk,ssk)；

a22.云服务器采用格基门限生成算法产生公私钥对，具体为：

通过格基门限生成算法TrapGen(1ⁿ,1^m,q)产生均匀的矩阵以及格的基 T_cloud使得获得云服务器的公私钥对为(B,T_cloud)。

更进一步的，所述步骤a3的具体方法为：

假设数据文件F＝{m₁,m₂,…,m_l}的身份标识id∈{0,1}^*，对于每一个数据块采用 云用户的公私钥对(A,T_A)以及云服务器的公钥B，为每一个数据块产生签名，具体方法为：

a31.通过公式(其中1≤j≤n)获得n个向量β₁,β₂,…β_n。

a32.对于每一个数据块m_i，1≤i≤l，通过公式获取μ_i，采用μ_i和 β_j获取内直积h_i,j＝<μ_i,β_j>，1≤j≤n，1≤i≤l，设置

a33.对于每一个i∈{1,…,l}，云用户通过格上原像抽样算法SamplePre(A,T_A,h_i,σ)产生签 名θ_i；

a44.定义签名集合为Ψ＝{θ_i}_1≤i≤l，同时云用户通过公式τ＝id‖SSig_ssk(id)获取数据文件F 的标签τ，其中SSig_ssk(id)是身份标识id的签名，最后，云用户发送{F,τ,Ψ}给云用户。

更进一步的，所述步骤b1的具体方法为：

云用户ID发送审计请求信息给指定验证人TPA，利用指定验证人的身份ID_TPA，云用户ID 通过公式获得通过公式获得指定验证人的公 钥并通过格基代理算法NewBasisDel(A,T_A,δ)产生对应的私钥其中是 格的短基获得指定验证人TPA的公私钥对为

更进一步的，所述步骤c1的具体方法为：

c11.云用户发送审计请求信息到指定验证人TPA，指定验证人TPA根据审计请求信息取 回对应数据文件F的标签τ，指定验证人TPA利用公开签名验证公钥spk验证签名SSig_ssk(id) 是否有效，若是，则进入步骤c12，若否，则退出；

c12.指定验证人TPA从集合{1,2,…,l}中随机选择含有c个元素的子集

c13.指定验证人TPA随机均匀地产生比特串构成审计挑战信息 chal为

更进一步的，所述步骤c2的具体方法为：

c21.云服务器接收到审计挑战信息后，搜索对应的指定验证人TPA 的公私钥对ID_TPA)，同时获取聚合签名为了盲化组合信息ν， 云用户选择随机向量然后通过格上原像抽样算法SamplePre(B,T_cloud,w,σ)产生随机 向量的签名γ；

c22.计算关于组合信息的盲化值ν′＝γ+H₄(w)ν；

c23.随机选择新的向量并计算

c24.根据高斯噪声分布χ，选择噪声向量并计算e＝θ+H₅(ν′‖ξ′)， 获得证明响应信息P＝{ν′,w,e,ξ}给指定验证人TPA。

更进一步的，所述步骤c3的具体方法为：

c31.通过公式(其中1≤j≤n)获得n个向量β₁,β₂,…β_n；

c32.通过公式获得λ；

c33.采用β_j和λ获取内直积其中1≤j≤n，设置

c34.判断方程以及不等式是否成立，若是，则判定审计 响应证明正确，若否，则判断审计响应证明错误；其中，θ＝e-H₅(ν′‖ξ′)为前面提到的的聚 合签名，ξ′为模q上的n维随机向量，用来参与关于θ的加密过程。

本发明的有益效果为，能够确保除了指定验证人TPA，任何一方都不能验证存储在云服 务器上的数据完整性。

具体实施方式

下面详细描述本发明的技术方案：

本发明主要包括以下步骤：

a.系统初始化，具体包括：

a1.对数据文件进行分块处理，设置格密码算法的安全参数和安全的哈希函数；

a2.通过格基门限生成算法分别产生云用户和云服务器的公私钥对，云用户秘密选择签名 密钥；

a3.云用户通过格上的线性同态签名算法产生数据块的签名集合，并通过签名算法获得数 据文件标签，将数据块的签名集合、数据文件及数据文件标签发送到云服务器；

b.审计授权代理，具体包括：

b1.云用户指定验证人，并根据指定验证人的身份调用格基代理算法计算指定验证人的公 私钥对，将获得的指定验证人的公私钥对发送给指定的验证人；

b2.云用户将用户身份，指定验证人的身份以及指定验证人的公钥在云服务器上注册登 记；

c.审计挑战应答，具体包括：

c1.指定验证人产生审计挑战信息发送到云服务器；

c2.云服务器根据审计挑战信息，采用格上原像抽样算法以及噪声学习方法计算审计响应 证明发送给指定验证人；

c3.指定验证人验证审计响应证明是否正确。

进一步的，所述步骤a1的具体方法为：

a11.将数据文件F分成l个数据块F＝{m₁,m₂,…,m_l}，其中1≤i≤l；

a12.设置安全的高斯参数σ,δ以及行数为n矩阵，设置公共参数集合 其中q＝poly(n)是关于矩阵行数n的多项式复杂度的素数， m≥2nlogq是矩阵的列数，为方案中矩阵范数的上界， 为方案中数字签名的分布，χ是高斯噪声分布；其中e是数字签 名，是模q上的m维向量，O是关于矩阵行数n的复杂度。

a13.设置第一安全哈希函数第二安全哈希函数第三安全哈希函数第四安全哈希函数第五安全哈希函数 其中，第三哈希函数H₃的值输出在D_m×m分布中，是模q上的n×m维 矩阵，是模q上的n维向量，Z^m×m是m×m维低范数矩阵，Z_q是模q剩余类环，上标m是 矩阵列数，上标n是矩阵行数，下标q是素数，D_m×m是低范数m×m唯矩阵分布。

更进一步的，所述步骤a2的具体方法为：

a21.云用户采用格基门限生成算法产生公私钥对，具体为：

通过格基门限生成算法TrapGen(1ⁿ,1^m,q)产生均匀矩阵以及格的基T_A使得获得云用户的公私钥对为(A,T_A)，云用户选择签名公私钥对为(spk,ssk)；

a22.云服务器采用格基门限生成算法产生公私钥对，具体为：

通过格基门限生成算法TrapGen(1ⁿ,1^m,q)产生均匀的矩阵以及格的基 T_cloud使得获得云服务器的公私钥对为(B,T_cloud)。

更进一步的，所述步骤a3的具体方法为：

假设数据文件F＝{m₁,m₂,…,m_l}的身份标识id∈{0,1}^*，对于每一个数据块采用 云用户的公私钥对(A,T_A)以及云服务器的公钥B，为每一个数据块产生签名，具体方法为：

a31.通过公式(其中1≤j≤n)获得n个向量β₁,β₂,…β_n。

a32.对于每一个数据块m_i，1≤i≤l，通过公式获取μ_i，采用μ_i和 β_j获取内直积h_i,j＝<μ_i,β_j>，1≤j≤n，1≤i≤l，设置

a33.对于每一个i∈{1,…,l}，云用户通过格上原像抽样算法SamplePre(A,T_A,h_i,σ)产生签 名θ_i；

a44.定义签名集合为Ψ＝{θ_i}_1≤i≤l，同时云用户通过公式τ＝id‖SSig_ssk(id)获取数据文件F 的标签τ，其中SSig_ssk(id)是身份标识id的签名，最后，云用户发送{F,τ,Ψ}给云用户。

更进一步的，所述步骤b1的具体方法为：

云用户ID发送审计请求信息给指定验证人TPA，利用指定验证人的身份ID_TPA，云用户ID 通过公式获得通过公式获得指定验证人的公 钥并通过格基代理算法NewBasisDel(A,T_A,δ)产生对应的私钥其中是 格的短基获得指定验证人TPA的公私钥对为

更进一步的，所述步骤c1的具体方法为：

c11.云用户发送审计请求信息到指定验证人TPA，指定验证人TPA根据审计请求信息取 回对应数据文件F的标签τ，指定验证人TPA利用公开签名验证公钥spk验证签名SSig_ssk(id) 是否有效，若是，则进入步骤c12，若否，则退出；

c12.指定验证人TPA从集合{1,2,…,l}中随机选择含有c个元素的子集

c13.指定验证人TPA随机均匀地产生比特串构成审计挑战信息 chal为

更进一步的，所述步骤c2的具体方法为：

c21.云服务器接收到审计挑战信息后，搜索对应的指定验证人TPA 的公私钥对(ID_TPA)，同时获取聚合签名为了盲化组合信息ν， 云用户选择随机向量然后通过格上原像抽样算法SamplePre(B,T_cloud,w,σ)产生随机 向量的签名γ；

c22.计算关于组合信息的盲化值ν′＝γ+H₄(w)ν；

c23.随机选择新的向量并计算

c24.根据高斯噪声分布χ，选择噪声向量并计算e＝θ+H₅(ν′‖ξ′)， 获得证明响应信息P＝{ν′,w,e,ξ}给指定验证人TPA。

更进一步的，所述步骤c3的具体方法为：

c31.通过公式(其中1≤j≤n)获得n个向量β₁,β₂,…β_n；

c32.通过公式获得λ；

c33.采用β_j和λ获取内直积其中1≤j≤n，设置

c34.判断方程以及不等式是否成立，若是，则判定审计 响应证明正确，若否，则判断审计响应证明错误；其中，θ＝e-H₅(ν′‖ξ′)为前面提到的的聚 合签名，ξ′为模q上的n维随机向量，用来参与关于θ的加密过程。

本审计方法能够确保除了指定的TPA，任何一方都不能验证存储在云服务器上的数据完 整性。而且基于格上非其次小整数解(ISIS)困难性问题，证明了恶意云服务器不能产生伪 造的的签名，使得产生伪造的审计证明响应信息不能欺骗指定的TPA通过审计验证过程。该 方法利用格上原像抽样函数技术实现随机掩饰码的构造，从而确保好奇的TPA,它想从数据 文件中恢复出云用户的原始数据块信息是计算不可行的。此外，本发明的方法不需要花销较 大的模指数运算和双线性对运算，这对于指定的TPA来说，它只需计算有限的线性方程就能 成功验证存储在云服务器上的数据完整性。因此本发明的方案在计算量方面更有利于指定的 TPA，在后量子通信环境中具有很大的应用价值。