同态签名的妙用：云数据完整性审计技术（一）

随着数据规模增长，越来越多的用户选择将他们的文件外包存储在第三方的云服务器上。然而，数据的外包会带来一系列的安全问题，例如云服务器的硬件故障、黑客入侵篡改等会导致用户数据的损坏。更严重的是，云服务器为了保护自己的声誉可能掩盖数据受损的事实，甚至会伪造用户的数据。云数据完整性审计技术是一种关键的数据安全技术，用来解决上述的问题。本系列文章聚焦在云数据完整性审计技术，分别介绍1）云数据完整性审计技术的背景及密码学技术；2）保证低熵值安全的，并且实现文件和认证器去重功能的云数据完整性审计方案。3）基于关键词且实现敏感信息隐藏的云数据完整性审计方案。本文作为第一篇，将从相关背景、密码学知识、协议流程以及研究现状进行介绍，使得读者对云数据完整性审计技术有一个入门级的基本了解。

一、研究背景

云计算技术有着低成本、便捷等优势，近年来得到广泛应用。越来越多的企业机构和个人用户选择将自己的本地数据上传到云服务器上，享受云服务器带来的便利，减轻本地存储管理和维护负担。对于个人用户而言，由于本地存储空间的限制，随着数据规模的日益增长，自己管理和存储这些海量的数据变得尤为困难。越来越多的用户采取云存储服务，例如百度云，因为这些云服务商有着用户所没有的巨大的存储资源和计算能力。但是数据的外包带来一系列的安全问题：数据的完整性和正确性无法得到保证。云服务商的硬件故障可能导致用户的数据受损,用户的数据甚至可能遭到篡改。云服务商出于自己声誉的考虑，可能不会通知用户数据受损的事实。而当用户想要使用文件时，才会发现文件无法正确地被提取。因此就需要对存放在远程云服务器上的数据的完整性进行检测。

传统的数字签名、消息认证码MAC以及哈希函数[1-4] 可以检测数据的完整性。用户为每个数据块计算一个认证器，这个认证器可以是上述的数字签名或MAC值等。用户将它们连同数据块一起上传到云服务器上。当用户想要检测文件的完整性的时候，将要求云服务器将文件连同认证器一起返回给用户。但是这种直观的方法在云存储、大数据的背景下并不合适。这是因为当云存储的数据量较大时,验证这些海量文件的完整性需要耗费巨大计算和通信开销。为了解决这个问题，云数据完整性审计的概念被提出来。在云数据完整性审计中，用户所计算的认证器具有同态的性质，也就是说，多个数据块可以聚合成一个数据块，多个认证器也可以聚合成一个认证器。用户通过验证聚合的数据块和聚合的认证器的正确性，即可知道所有文件是否遭到篡改或损坏。除此之外，用户还可以委派第三方审计者（Third PartyAuditor，TPA）代替自己对数据的完整性进行审计检测。

二、密码学基础

下面主要介绍云数据完整性审计技术所用到的密码学工具以及假设，包括双线性映射、CDH假设和DL假设，本文简单介绍其相关定义，具体可参考[5-6]。

我们使用G1和G2来表示两个q阶乘法循环群，使用g来表示群G1的一个生成元。使用u和v表示群G1中的两个随机元素，a和b表示两个随机元素。

2.1双线性映射

双线性映射e满足以下三个条件： a）可计算性：计算e应当是高效的。

b）双线性性：e(u,v)ab=e(ua,vb)。 c）非退化性：e(g,g)≠1。

2.2CDH假设

CDH假设指的是：在给予 (g,ga,gb)的情况下，输出gab在计算上是困难的。

2.3DL假设

DL假设指的是：在给予(g,ga)的情况下，输出a在计算上是困难的。

三、云数据完整性审计流程

在云数据完整性审计中，TPA（第三方审计者）可代替用户检测存放在云服务器上文件的完整性。如图1 展示了云数据完整性审计的流程。

图1：云存储完整性审计流程

用户首先生成加密文件和认证器发送给云服务器。注：这个认证器需要具有同态可聚合的性质。用户将加密的文件和认证器上传给云服务器。在需要进行完整性审计的时候，TPA生成随机的审计挑战（数据块的索引以及相对于的挑战系数），将它们发送给云服务器。云服务器计算聚合的数据块以及聚合的认证器，将它们作为审计证明返回给TPA。最后TPA可以利用用户的公钥来验证审计挑战的正确性。如果审计挑战可以通过验证，则意味着用户的文件完整的保存在云服务器上；否则意味着用户的文件可能遭到损坏。图2展示了同态认证器的一个例子，在这个例子中，两个消息m1、m2 聚合成了一个消息；两个认证器σ1，σ2聚合成一个认证器。在验证的时候，只需要对聚合的数据和聚合的认证器进行验证即可，大大降低了通信和计算上的开销[7-10]。

图2：同态认证器

四、国内外相关工作与未来发展趋势

Ateniese等人[11]首先提出了“可证明数据拥有”（ProvableData Possession (PDP)）的概念。Juels 和KaliskiJr[12]提出了“可证明数据提取”（Proof ofRetrievability (PoR)）的概念。PoR可以保证云数据的拥有性和可提取性。在PDP和PoR中，为了验证数据的完整性，用户需要计算认证器。这些认证器是由同态签名（例如BLS短签名[13]）得到的。在审计过程中，TPA可以对聚合的认证器和聚合的数据块进行验证。构造合适的认证器是各个方案的重点。近几年，国内外的研究者主要针对：数据动态性、数据拥有者变更、隐私保护、安全去重等方面进行了研究[14-20]。但伴随着用户日益增长的数据，目前云数据完整性审计面临以下两个问题：

首先，通过对数据的分析统计，研究人员发现存放在云服务器上的大部分数据都是重复的。如果对于用户重复的数据只保留一份副本，则会大大降低云服务器的存储资源。在现实中，数据去重技术已经有了广泛应用，例如百度云盘的“急速秒传功能”就是运用了数据去重技术。在实际应用中，除了数据外，认证器也占据云服务器相当大的存储开销。如果可以对文件和认证器同时去重，则会大大提高云服务商的性能。因此需要设计一种可以保证低熵值安全的，并且实现文件和认证器去重功能的云数据完整性审计方案。

其次，在公开审计的背景下，TPA通常根据审计文件的数量向用户索取服务费用。而用户通常只关心一部分的文件（而不是全部的文件）的完整性。除此之外，TPA应当获取尽可能少的敏感信息，因此需要设计一种可以基于关键词，并且实现敏感信息隐藏的云数据完整性审计系统。

五、总结

云数据完整性审计技术方案可以高效地检测保存在云服务器上的用户数据的完整性。在本文作为云上数据安全系列的第一篇，简单介绍了云存储完整性审计的背景、技术实现以及国内外的相关工作。在后续的文章中，我们将分别介绍关于上述两个问题的解决方案：1）可以保证低熵值安全且支持去重的云数据完整性审计方案[21]；2）基于关键词且实现敏感信息隐藏的云数据完整性审计方案[22]。感兴趣的同学可以持续关注后续更新！

参考文献

[1] Merkle R C. A digital signature based on aconventional encryption function[C]//Conference on the theory and applicationof cryptographic techniques. Springer, Berlin, Heidelberg, 1987: 369-378..

[2] BellareM, Kilian J, Rogaway P. The security of the cipher block chaining messageauthentication code[J]. Journal of Computer and System Sciences, 2000, 61(3): 362-399..

[3]Coron J S, Dodis Y, Malinaud C, et al. Merkle-Damgård revisited: How toconstruct a hash function[C]//Annual International Cryptology Conference.Springer, Berlin, Heidelberg, 2005: 430-448.

[4] LaguillaumieF, Vergnaud D. Designated verifier signatures: Anonymity and efficientconstruction from any bilinear map[C]//International Conference on Security inCommunication Networks. Springer, Berlin, Heidelberg, 2004: 105-119.

[5] BaoF, Deng R H, Zhu H F. Variations of Diffie-Hellman Problem[C]// Information andCommunications Security, International Conference, 2003:301-312.

[6]McCurley K S. The discrete logarithm problem[C]//Proc. of Symp. in AppliedMath. 1990, 42: 49-74.

[7] WangB, Li B, Li H. Panda: Public auditing for shared data with efficient userrevocation in the cloud[J]. IEEE Transactions on services computing, 2013,8(1): 92-106.

[8]Merkle R C. A digital signature based on a conventional encryptionfunction[C]//Conference on the theory and application of cryptographictechniques. Springer, Berlin, Heidelberg, 1987: 369-378..

[9]Bellare M, Kilian J, Rogaway P. The security of the cipher block chainingmessage authentication code[J]. Journal of Computer and System Sciences, 2000,61(3): 362-399..

[10]Coron J S, Dodis Y, Malinaud C, et al. Merkle-Damgård revisited: How toconstruct a hash function[C]//Annual International Cryptology Conference.Springer, Berlin, Heidelberg, 2005: 430-448.

[11]Ateniese G, Burns R, Curtmola R, et al. Provable data possession at untrustedstores[C]//Proceedings of the 14th ACM conference on Computer andcommunications security. 2007: 598-609.

[12]Shacham H, Waters B. Compact proofs of retrievability[C]//Internationalconference on the theory and application of cryptology and informationsecurity. Springer, Berlin, Heidelberg, 2008: 90-107.

[13]Halevi S, Harnik D, Pinkas B, et al. Proofs of ownership in remote storagesystems[C]//Proceedings of the 18th ACM conference on Computer andcommunications security. 2011: 491-500.

[14]Wang B, Li B, Li H. Oruta: Privacy-preserving public auditing for shared datain the cloud[J]. IEEE transactions on cloud computing, 2014, 2(1): 43-56.

[15]Boneh D, Gentry C, Lynn B, et al. Aggregate and verifiably encrypted signaturesfrom bilinear maps[C]//International Conference on the Theory and Applicationsof Cryptographic Techniques. Springer, Berlin, Heidelberg, 2003: 416-432.

[16]Wang B, Li B, Li H. Knox: privacy-preserving auditing for shared data withlarge groups in the cloud[C]//International conference on applied cryptographyand network security. Springer, Berlin, Heidelberg, 2012: 507-525.

[17]Boneh D, Boyen X, Shacham H. Short group signatures[C]//Annual internationalcryptology conference. Springer, Berlin, Heidelberg, 2004: 41-55.

[18]Yang G, Yu J, Shen W, et al. Enabling public auditing for shared data in cloudstorage supporting identity privacy and traceability[J]. Journal of Systems andSoftware, 2016, 113: 130-139.

[19]Ateniese G, Di Pietro R, Mancini L V, et al. Scalable and efficient provabledata possession[C]//Proceedings of the 4th international conference on Securityand privacy in communication networks. 2008: 1-10.

[20]Wang Q, Wang C, Li J, et al. Enabling public verifiability and data dynamicsfor storage security in cloud computing[C]//European symposium on research incomputer security. Springer, Berlin, Heidelberg, 2009: 355-370.

[21] GaoX, Yu J, Shen W T, et al. Achieving low-entropy secure cloud data auditing withfile and authenticator deduplication[J]. Information Sciences, 2021, 546: 177-191.

[22] GaoX, Yu J, Chang Y, et al. Checking Only When It Is Necessary: Enabling IntegrityAuditing Based on the Keyword with Sensitive Information Privacy for EncryptedCloud Data[J]. IEEE Transactions on Dependable and Secure Computing, 2021.

关于星云实验室

星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案。

内容编辑：星云实验室 高翔 责任编辑：高深

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营，绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。