云存储系统中可搜索加密审计日志的设计

摘要：随着大数据时代的来临，云存储技术成为众多企业和个人存储数据的新选择。可搜索加密审计日志可以有效对云存储系统中多用户数据分享行为进行监控。为解决云存储系统中审计日志的生成、加密、搜索、验证，针对多云服务提供商的云存储系统，提出了基于隐私保护的不可伪造可搜索加密审计日志方案。方案采用基于身份密码体制的思想，在保护用户隐私的同时，允许云服务提供商先行对用户的可搜索加密日志进行验证。此外，用户和云服务提供商被证明，无法伪造任意用户合法的可搜索加密审计日志。

正文内容：

0　引　言

大数据的时代背景下，云存储技术作为云计算概念的延伸和发展，成为政府、众多企业及个人面对海量数据存储时的新选择。云存储服务能够为用户提供庞大的计算资源、存储空间和灵活的共享模式，其便捷、快捷和按需可用的网络访问方式，使得用户可以随时随地访问资源，从而用户能够很大程度节约本地的存储资源和在本地进行数据管理、系统维护的开销。然而，由于云存储服务的远程特性，用户通常很难控制云服务提供商乃至一些未经授权的非法用户对存储数据进行访问。为了保护数据的保密性，用户通常在将数据上传至云服务器前将其加密。进一步地，为了能够方便地通过生成加密的关键词即陷门，对这些加密数据直接进行搜索，可搜索加密的概念和相关研究应运而生[1]。云存储系统通常需要支持多用户数据分享的需求，通常认为所有用户是可信的。然而，现实情况下，用户行为往往无法得到有效监控。例如：用户将自己的权限非法授权给他人使用，用户合法身份被黑客冒用，或者用户在合法授权下获取数据，后将所得数据非法散播给他人等。在云存储系统中引入审计日志机制，能够对用户在云存储系统中得到服务的行为进行监控，从而实现对用户上述主动或被动转移权限行为的追溯。由于保存在云服务器上的审计日志包含云存储系统用户的身份、服务请求等敏感信息，需要经过可搜索加密技术的处理，因此被称为可搜索加密审计日志。

1　云存储系统模型

云存储系统模型及实体交互如图1所示，其中包含三个实体，分别为可信的数据拥有者、诚实而好奇的云服务提供商和数据用户。

1.1　数据拥有者

数据拥有者Alice将数据远程存储在云服务器上，供数据用户访问和操作。只有当数据拥有者对云存储系统中数据用户进行授权后，数据用户才能够访问服务器上的数据。因此，Alice生成相应的可搜索加密审计日志，并存储在云服务器上。当需要对可搜索加密审计日志进行搜索时，Alice加密关键词形成陷门后，将陷门发送给云服务器，最后经过她验证和解密的搜索结果，将用于对数据用户行为的审计。

1.2　云服务提供商

诚实而好奇的云服务提供商向数据拥有者提供存储数据的云服务器。云服务器能够正确执行算法，但对云存储系统中用户的隐私保持好奇。收到数据用户的服务请求后，云服务器对数据用户提交的可搜索加密审计日志进行验证，核实是否与服务请求一致。只有两者一致，云服务器才会向用户提供相应的数据服务，并存储可搜索加密审计日志，确保可搜索加密审计日志的有效性。同时，云服务器也提供对可搜索加密审计日志的搜索。搜索过程中，云服务器无法得知审计日志和陷门的明文。

由于数据拥有者可以将数据存储在多个云服务提供商提供的多个云服务器上，为了方便表述，下文所称的云服务器即指代云服务提供商。

1.3　数据用户

数据用户Bob得到Alice的授权并经过云服务器验证通过后，能够通过云服务器获取云存储系统中的数据服务。

2　可搜索加密审计日志的安全需求

一般地，可搜索加密审计日志的应用背景和应用特性，要求可搜索加密审计日志需要满足的安全需求主要有以下两方面。

2.1　隐私保护

云存储系统中，审计日志的内容通常直观保存着数据用户的服务访问行为信息。

安全的可搜索加密审计日志，要求加密后的审计日志和搜索关键词不能泄露用户的隐私信息。因此，这也保证了即使一旦攻击者（攻击者泛指任何希望探听用户隐私的人，可能是云存储系统内部的实体，或者来自云存储系统外部的用户）截获可搜索加密审计日志或搜索的关键词，他也无法从中得到任何有关用户隐私的信息。

2.2　不可伪造

作为云审计和取证的有力工具，为了保证可搜索加密审计日志的真实、可信和有效，可搜索加密审计日志必须由云存储系统中可信赖的实体创建。这需要在设计可搜索加密审计日志的过程中，保证任何其他非法实体生成合法有效的可搜索加密审计日志在计算上不可行。

设想云存储系统中有一位数据用户企图向云服务器请求不在其权限范围的服务，并且希望尽力避免自己的行为在审计过程中被发现。首先，如果数据用户能够伪造可搜索加密审计日志，他能够很容易地通过重新虚构一条审计日志将自己的这一行为栽赃给其他数据用户。其次，如果云服务器能够伪造可搜索加密审计日志而数据用户不能，那么数据用户同样可以通过唆使云服务器伪造审计日志将自己的非法行为隐藏起来。最后，外部攻击者的攻击行为也能够以上述相似方式伪装自己的攻击行为而在审计时不被察觉。

从上述的攻击情境可以发现，如果无法满足不可伪造的安全需求，数据拥有者将无法分辨伪造的审计日志，从而无法以此判断云存储系统中的非法行为。这无疑违背了可搜索加密审计日志的设计初衷，也无法降低云存储系统中数据访问的安全风险。因此，不可伪造是可搜索加密审计日志必须满足的安全需求。

2.3　可搜索加密审计日志研究现状

2004年，Waters等人[2]率先提出了基于对称加密算法和基于公钥加密算法的可搜索加密审计日志方案，包含管理员（即持有主密钥的第三方代理）、云服务器和调查者。其中，云服务器直接生成审计日志明文并对其进行加密，形成可搜索加密审计日志后存储。可信的调查员通过向管理员请求关键词的搜索权限，对可搜索加密审计日志进行搜索和解密。因此，云服务器能够了解所有审计日志的明文内容，这显然侵犯了用户的隐私，且他们的方案不能阻止云服务器伪造审计日志的内容。云服务器可以随意创建、更改或删除审计日志的内容，并在之后进行加密，伪装成合法的可搜索加密审计日志。这样的审计日志无法真正记录用户在云存储系统中的行为。2015年，文献[3]在将Waters等人的方案在NetFlow记录上进行了实现，但没有进行改进。

文献[4]提出了基于加密倒排索引的可搜索加密审计日志方案，包含管理员和调查员两方实体。管理员将一条日志记录分别转换为用于搜索和加密的两种形式，且管理员的操作对调查员是可验证的。2009年，文献[5]提出了基于SQL数据库命令结构的可搜索加密审计日志方案。上述两个方案都允许管理员生成关于自己的审计日志供调查员审计。显然，管理员能够通过跳过日志记录过程逃脱调查员的审计。此外，管理员用自己的私钥对关键词进行签名生成陷门，以便调查员稍后利用公钥进行验证。然而，由于公钥是公开的，无论是云存储系统内部的其他用户还是外部的窃听者，都能够轻易得到。因此，任何人都能得到陷门对应的明文关键词，这无法满足可搜索加密审计日志的安全需求。

3　可搜索加密审计日志的设计

根据上述分析，显然已有的可搜索加密审计日志方案无法满足基本的安全需求。因此，本文针对多云服务提供商的云存储系统，提出了一种基于隐私保护的不可伪造可搜索加密审计日志方案。

基于隐私保护的不可伪造可搜索加密审计日志方案由以下七个多项式时间算法组成。

3.1　初始化

以安全参数为输入，输出素数阶为p 的乘法循环群G1 、G2 上的一个生成元 和双线性配对

。两个单向哈希函数分别为：和。选取两个随机数 作为主密钥。主密钥msk=仅由数据拥有者秘密持有；系统参数params=(g,G1,G2,H1,H2,e) 对系统所有实体公开。

3.2　生成云服务器密钥

以云服务器的身份IDs 为输入，计算私钥

和

，并秘密交与云服务器。

3.3　生成可搜索加密审计日志

为身份为IDu 的数据用户生成可搜索加密审计日志，执行步骤如下：

（1）选取随机数，令；

（2）令、

，计算

；

（3）审计日志明文包含关于数据用户的详细审计内容，从中提取关键词集合W=＜w1,w2,L,wn＞(,) ，计算加密关键词集合，其中

。

（4）令数据用户的服务请求记录用于云服务器验证，则，分别记录数据用户的身份IDu 、IP地址Pu 、验证到期时间 以及用户请求数据服务的标签Bu 。为了隐私保护，Ru 的表达形式可以由数据拥有者事先约定后告知云服务器，而无需直接反映数据用户的访问信息。加密审计日志明文为l ，计算得到；

（5）令，计算得到

。

3.4　云服务器验证

收到可搜索加密审计日志

后，数据用户将其提交给云服务器，并告知服务器自己想要获取的数据服务。云服务器通过以下步骤进行验证：

（1）计算；

（2）令，计算。其中

表示数据用户当前的服务请求记录，同样包含其身份、IP地址

、当前时间以及用户请求数据服务的标签。假设验证时限为t ，令i=1,2,L,t ，则。

当且仅当存在唯一的使得时，数据用户通过验证，云服务器响应其提出的服务请求；否则，云服务器返回错误符号⊥，表示拒绝数据用户的请求。

3.5　陷门生成

当数据拥有者需要查询某位数据用户包含关键词集合的可搜索加密审计日志时，生成陷门集，其中

。

3.6　搜索

收到陷门集后，云服务器对每一条可搜索加密审计日志按以下步骤实现连接关键词搜索：

（1）计算；

（2）对

，计算，显然通常

；

当时，令；否则，。对构成矩阵。当且仅当的每一行仅有一个l 、每一列至多有一个l 时，该可搜索加密审计日志为搜索结果。

3.7　验证与解密

数据拥有者收到云服务器返回的搜索结果后，根据云服务器的IDs 对搜索结果进行验证：

（1）计算，令，计算得到；

（2）解密得到

，即为审计日志明文。

4　安全与效率评估

结合可搜索加密审计日志的安全需求，经过对上述方案的分析可以得出，它能够保护用户隐私，且数据用户和云服务提供商被证明无法伪造有关任意数据用户的合法可搜索加密审计日志。

4.1　安全分析

4.1.1　隐私保护

方案中，无论是审计日志记录的密文L ，还是搜索的陷门集，对云存储系统的内外部非授权用户都是保密的。在没有主密钥msk 的情况下，攻击者无法解开它们得到明文。即使云服务器能够对数据用户提交的可搜索加密日志进行验证和根据关键词进行搜索，也无法真正得知审计内容。

4.1.2　不可伪造

方案中的可搜索加密审计日志由唯一可信的数据拥有者生成，而非云服务器和数据用户生成，其不可伪造体现在两方面。

一方面，假设云服务器希望伪造某个身份为用户的关于其服务请求的可搜索加密审计日志。他需要选择一组，计算得到。令为云服务器伪造日志时选择的一个随机数，则：

当数据拥有者进行验证时，他首先通过计算和得到。利用根据式（6）进行解密，得到审计日志明文。

显然，当且仅当时，才能成立，继而解得正确的。进一步地，当且仅当时，根据正确的计算式（6）得到审计日志明文，才是正确形式的计日志明文；否则，将会无法通过数据拥有者的验证。

另一方面，假设身份为的数据用户希望不通过数据拥有者而自己生成可搜索加密审计日志，从而获得权限之外的数据服务。同理，他也必须选择一组计算 。云服务器首先根据式（7）得到，并计算式（8）。显然，只有当时，，云服务器才能找到唯一的使得，进而通过数据用户的验证。

而基于离散对数的困难性问题可知，无论是数据用户还是云服务器，他们都无法猜测得到一组且和，从而成功伪造合法的可搜索加密审计日志。

表1列举了本文的可搜索加密审计日志方案与其他相关文献的比较。其中，仅有文献[2]的方案无法支持连接关键词的搜索。而根据第2章所述，这三个可搜索加密审计日志的方案均无法满足隐私保护和不可伪造的安全需求。文献[2]中服务器可以直接获得审计日志的明文，而文献[4-5]方案中的陷门能够被窃听者轻易得到对应的关键词明文。此外，这些方案都无法防止可搜索加密审计日志被伪造，而本文基于离散对数问题的困难性，证明了任何不完全可信的实体无法伪造方案中的可搜索加密审计日志。

4.2　效率评估

利用PBC库实现了上述可搜索加密审计日志方案的算法并进行了效率评估。数据拥有者的效率评估如图2所示。数据拥有者仅需要0.08 s的时间生成一条包含10个关键词的可搜索加密审计日志，以及0.02 s左右生成包含4个查询关键词的陷门集（例如，其中分别包括谁/什么时间/从哪里访问/何种数据服务的查询）。而数据用户生成云服务器密钥和验证解密搜索结果的效率更高，仅需要小于0.01 s即能完成。

图3显示了云服务器端的算法执行效率。显然，云服务器执行搜索算法的计算开销相对略高。云服务器根据一个陷门对一条包含10个关键词的可搜索加密审计日志匹配需要约0.03 s。而对数据用户进行可搜索加密审计日志的验证仅需要5 ms左右，因此云服务器能够有效响应数据用户的请求，其搜索效率也在相对可接受范围内。

5　结　语

本文针对多云服务提供商的云存储系统提出了基于隐私保护的不可伪造可搜索加密审计日志方案，解决了云存储系统中审计日志的生成、加密、搜索和验证。分析结果表明，该方案能够保护用户隐私，同时证明了任意不可信实体无法伪造可搜索加密审计日志，具有较好的实用价值。今后拟引入可信第三方审计的应用背景，结合代理重加密进一步扩展方案的实用范围。

参考文献：

[1] Sch C,Hartel P,Jonker W,et al.A Survey of Provably Secure Searchable Encryption[J].ACM Computing Surveys,2015,47(02):18.

[2] Waters B R,Balfanz D,Durfee G,et al.Building an Encrypted and Searchable Audit Log[C].Network and Distributed System Security Symposium,2004.

[3] Gopularam B P,Dara S,Niranjan N.Experiments in Encrypted and Searchable Network Audit Logs[C].International Conference on Emerging Information Technology and Engineering Solutions IEEE,2015:18-22.

[4] Ohtaki Y.Constructing a Searchable Encrypted Log Using Encrypted Inverted Indexes[C].International Conference on Cyberworlds. Singapore IEEE,2005:132-138.

[5] Sabbaghi A,Mahmoudi F.Establishing an Efficient and Searchable Encrypted Log Using Record Authenticator[C].International Conference on Computer Technology and Development,2009(02):206-211.

作者：赵唯玮，李　强，张爱新，李建华

单位：上海交通大学，上海 200240

作者简介：赵唯玮，女，硕士，主要研究方向为网络空间安全；

李　强，男，博士，讲师，主要研究方向为网络空间安全；

张爱新，女，博士，副研究员，主要研究方向为网络空间安全；

李建华，男，博士，教授，主要研究方向为网络空间安全。

本文刊登在《通信技术》2018年第2期（转载请注明出处，否则禁止转载）