文摘

云存储云已经吸引了越来越多的关注,因为它允许用户保存和使用相应的外包文件在任意时间,任意设备和从任意位置。以确保数据完整性,许多公共审计结构。然而,现有的结构主要有基于PKI。在这些建筑中,实现数据完整性,审计人员首先必须验证PKC的合法性,从而导致审计一个很大的负担。为了消除耗时的证书的验证,在这项工作中,我们提出一个有效的基于身份的公共审计的建议。我们的建设是基于数据审计系统真正意义上的算法来计算验证签名是一个基于身份的签名算法。通过广泛的安全评估和实验测试,结果表明,我们的建议是安全有效的;它可以有效地抑制伪造攻击和重放攻击。最后,相比之下,这两个身份公开审计建议,我们的建议优于这两个建议整体考虑计算成本的条件下,通信开销和安全力量。

1。介绍

技术进步的沟通申请,生成的数据量正在经历快速增长。许多公司致力于医疗贸易越来越多地使用云存储服务。而不是每一个医院医疗数据存储和维护物理服务器,云存储成为一个受欢迎的选择,因为它能提供客户更方便的网络连接服务,按需数据存储服务和资源共享服务。

老龄化问题敦促医疗保健服务的持续改革,以获得成本效益和及时性和提供高质量的服务。许多专家认为,云计算技术可能会使医疗服务好通过减少EHC(电子健康记录)启动成本,如软件、设备、员工和各种许可费用。这些原因将敦促采取相关云技术。让我们看看一个实例的医疗服务云技术应用,医疗传感器系统可以自动收集病人的重要数据的可穿戴设备通过无线传感器网络与传统医疗设备,然后将这些数据上传到“医疗云”用于存储。另一个典型的实例Aossia医疗保健的范围,它是在2015年开始。每天这些基于云的系统可以自动收集实时数据的用户。它减轻手工收集负担,这样整个医疗系统简化的部署。然而,他们可能会使医疗服务提供者面临许多挑战所有当地卫生数据迁移到云服务器,远程医疗以来最重要的问题是隐私和安全管理员不再完全处理这些医疗记录的安全。医疗数据存储在云上之后,他们都可能损坏或放弃。

以确保数据存储在远程服务器的完整无缺,病人或医疗服务提供者希望存储数据完整性可以定期检查以避免存储数据的损坏。然而,对于个人来说,最大的挑战之一是如何进行定期的数据完整性检测当个人本地文件的副本。同时,该方法也不可行进行数据完整性验证source-limited个人虽然检索数据文件。

处理上述问题,许多专家已经提出了一些解决问题的方法,针对不同的系统和不同的安全模型(1- - - - - -20.]。然而,大多数现有的解决问题的方法都建立在公钥基础设施(简称,PKI)。正如每个人都知道PKI-based审计建议存在复杂的密钥管理问题,数据客户端需要进行密钥更新,关键的撤销,和重点维护,等等。因此,PKI-data审计中的密钥管理和证书验证系统将是一个棘手的问题。此外,PKC还需要更多的存储空间比个人ID从密钥对(PK, sk)需要在本地保存。校验,保证数据完整性,它必须首先从公钥目录,然后验证是否提取PKC公钥证书(简称,PKC)是有效的。因此,它也增加了计算负担和验证器的通信开销。

2014年,第一个所谓的实名数据完整性提出的建议被王et al。13]。严格地说,他们的建议不是一种基于身份的审核,因为算法生成元数据验证标签不是idenity-based算法,但PKC-based。2015年,玉等人提出了一个通用的方法,构造基于身份的公共审计系统通过集成的基于身份的签名算法与传统的PDP协议(15]。他们的研究是非常重要的在研究基于id的公共审计系统。然而,在他们的方案中,该算法产生metablock仍采用一个PKI-based认证标签。此外,在审计阶段,审计人员首先验证的有效性基于公钥签名PK,然后执行数据完整性verificationby使用这个公钥PK再一次,这就增加了审计人员的计算负担。2016年,张董提出了一种新颖的基于身份的公共审计方案(16]。建议是基于身份的公共审计系统从字面意思因为他们的认证标记算法来生成元数据是基于id的签名算法。然而,他们的方案在附件证明是不安全的。

提高效率和加强安全的基于id的审计协议,在这个工作中,一个安全的和有效的基于id的审计提出了建设。对于我们的建设,原来的贡献如下:(1)同态签名的概念的基础上,基于id的设置,我们设计出一个真正的基于身份的审计建议的数据完整性。建议不仅可以避免管理的关键,也是减轻审计人员的负担。(2)在审计阶段,我们的计划不变的通信开销。相比之下,两个方案(15,16),我们的建议有更多的优势对于计算成本和沟通成本。(3)在随机预言模型中,提出的建议已严重的安全证明,和相应的证明可以严格减少鼎晖数学问题。

2。体系结构和安全系统

在接下来的一章,为了更好地理解我们的基于id的数据完整性审计协议(ID-DIAP,简称),我们首先给系统模型的描述,然后我们ID-DIAP云存储的安全模型定义。

2.1。系统架构

ID-DIAP系统在云的架构由四个实体:隐私键生成器(简称,包裹),第三方校验/审计师(简称TPA),云服务器和数据用户。整个系统的架构是显示在图1


图1
基于id的数据存储在云模型。

为了避免偏见在审计过程中,TPA建议实现审计功能在我们的系统模型。每个角色在系统架构的详细功能描述如下。(我)数据用户。它作为一个云用户和拥有大量的文件需要上传没有本地数据复制到远程云服务器。一般来说,数据用户可能是一个资源有限的实体由于有限的存储和计算能力。,它可以在任何时间和灵活地访问共享外包数据。(2)云服务器。他们是一群组成的分布式服务器,具有强大的存储和计算的能力。此外,它是负责保存和维护在云存储文件。然而,云服务器可能不受信任的,对于自己的利润和良好的商业信誉,它可能隐藏数据腐败事件的云用户。(3)第三个审计。它作为一个验证器的数据完整无缺。原则上,它有专业经验和实践能力负责数据完整性审计人的云用户/用户数据。(iv)这个包裹。是一个可信任的实体,并且有责任建立系统参数和计算每个云用户的隐私的关键。

基于云的存储系统,其目标是减轻负担的云用户的数据存储和维护。然而,在数据上传到远程服务器在云,这可能会导致一个潜在的安全问题,因为上传数据已经失控了数据用户和远程服务器在云通常是不可靠的。数据用户可能担心在云存储文件是否完好无损。因此,数据用户希望一些安全措施,以确保外包数据的完整性是定期检查,没有一个本地副本。

定义1(基于数据完整性审计协议,ID-DIAP)。一般来说,一个ID-DIAP系统包含三个阶段:(1)系统初始化阶段。在这个阶段,包裹是义务产生系统参数。因此,它运行设置(1k)算法来获取系统参数帕拉包裹的密钥对(mpk,mpsk),输入 这是一个安全参数。相反,包裹也调用KeyExtr (1λ帕拉,mpskID)算法来计算隐私的关键skID为数据输入其用户身份标识mpsk帕拉以及用户身份标识的数据。(2)数据外包阶段。在这个阶段,数据所有者(用户)的数据,它运行TagGen(,skID)生成元数据认证标签 ,在每个数据块 通过输入私钥skID和外包文件 ,在哪里 最后,它上传身份验证标记的元数据 到云服务器。(3)数据审核阶段:这个阶段分为三个子阶段:具有挑战性的,证明,验证。首先,审计人员运行算法具有挑战性的(信息)来计算Chall作为挑战的信息。在收到Chall云服务器运行证明(,δ和Chall)来计算 证明信息,然后返回 审计人员。最后,审计人员调用算法验证(Chall,脉冲重复频率,mpk,信息)测试是否返回的证明信息 是有效的。

2.2。不同类型的攻击和安全定义

小节中,我们将分析我们的ID-DIAP系统可能会面对不同的攻击的系统架构中每个角色的行为。在我们的系统架构中,包裹是计算数据的隐私键生成器用户隐私的关键。总的来说,这是一个可信的权威。我们假设包裹不发射任何安全攻击其他实体在整个系统模型。第三审计师,这被认为是一个honest-but-curious实体,可以认真执行审计过程中的每一步。和云服务器被认为是不可靠的。它可能故意删除或者改变很少访问的数据文件节省存储空间。里面是一个强大的攻击者在我们的安全模型。和攻击者的目标是篡改和替换存储的数据没有被审计人员发现。因为云服务器是一个强大的攻击者在我们的安全模型中,我们主要考虑攻击(7)推出的云服务器。

2.2.1。伪造攻击

邪恶的云服务器可能会产生一个伪造meta-authentication签名新数据块或制造假证明信息 欺骗审计人员通过满足审计核查。

2.2.2。替换攻击

如果某个数据块的挑战是损坏的,邪恶的云服务器将选择另一对有效( )的数据块和身份验证标记替换损坏对( )的数据块和数据标记。

2.2.3。重放攻击

这是一个有效的攻击。对于恶性在云存储服务器,它可能会产生新的证据信息 没有检索的挑战数据审计虽然实现前者证明信息

3所示。我们的公共审计建设

在下面,我们将给我们的ID-DIAP系统的描述。它包含四个实体:包裹,云服务器,数据用户,和TPA。整个系统由5 PPT算法。作为每一个实体,所有算法,框架的图在图表示2。清楚地描述我们的协议,下面详细给出了算法。


图2
实体和关系的算法。
3.1。设置

为了提高可读性,一些符号用于我们ID-DIAP系统表中列出1

表1
符号在我们ID-DIAP系统。

包裹使用的参数 作为输入并生成两个循环组 两组相同的'秩序 ,让 是两个发电机的组 ,在那里他们满足 和定义一个双线性配对地图 接下来,选择两个map-to-point加密哈希函数 和一个resistant-collision哈希函数 和PKG随机选择 作为主人的隐私关键,计算 作为它的公钥。最后,公共参数对位发表如下:

包裹需要主人隐私的关键年代是秘密。

3.2。关键的提取

对于一个数据用户,产生其隐私的关键,它提供识别ID包裹。随后,包裹利用主人隐私的关键年代和ID来实现以下过程:(1)首先,数据用户提供其身份信息ID包裹。(2)接下来,PKG生成( )数据用户的隐私的关键,

然后 数据用户通过一个秘密和安全通道。(3)在接收的私钥( ),这些数据用户可以测试其隐私是否关键是有效的通过以下方程:

3.3。TagGen阶段

上传数据文件 ,首先数据文件 分为 用户的数据块,即 将这个文件 到云,数据用户需要随机选择一对( )这是一个公私密钥对的一个安全的签名算法 ,例如,BLS短签名。让的名字表示数据文件的标识符 ,然后计算文件认证标签 ,在哪里 表示一个安全的签名 , 表示一个信息字符串

随后,数据用户需要生成元数据验证标签数据块。计算块认证标签的所有数据块 ,用户统一样本的数据 计算

接下来,为 ,这对数据块计算验证元数据标记 通过以下步骤:(1)首先,它计算 (2)然后,它使用私钥( )来计算 (3)对数据块 ,结果验证标签的数据块

最后,用户需要上传的数据的所有meta-authentication标记( )和外包文件 远程服务器的云。

在获得上述所有数据( ),云服务器需要执行以下验证过程:

,它验证的关系 在哪里 如果所有的关系,然后解析 并验证签名的有效性

如果它也有效,那么云服务器保存这些数据在云。

3.4。挑战阶段

审计外包文件的完整性 ,首先,TPA解析 并验证 如果它不,然后终止。否则,它检索相应的文件标识符名称和块大小

后来,审计师选择一个子集 随机的地方 信息来生成一个挑战

最后,它提供Chall到云服务器作为挑战。

3.5。证明阶段

在获得相应的挑战信息 , ,云服务器计算 ,然后它产生一组

随后,根据外包数据文件 和meta-authentication标记 每一块, ,它产生如下:

最后,云存储服务器返回r3 审计师作为相应的证据信息。

3.6。验证阶段

在云检查外包数据的完整性,在收到回应的证据信息 ,第三个审计师计算如下: 在哪里

然后,它检查的有效性以下方程:

如果上述方程(11)满足,那么TPA输出VerifyRes是真实的;如果不是,它输出VerifyReS是假的。

4所示。安全分析

给我们的建议的安全,我们将证明我们的建议被证明是安全的对上述三个攻击。

定理1。假设存在一个PPT的对手阿这是概率多项式时间攻击者(PPT)和可以欺骗审计人员使用无效的证明信息编码脉冲伪造的对手阿(不诚实的云存储服务器)nonignorable概率 ,然后我们能够设计一种算法B美元能有效地打破了鼎晖的假设作为子程序通过调用副词。

证明。让我们假设一个PPT对手{副词}能够计算后伪造证明信息编码脉冲数据块或元数据验证标签损坏,那么我们能够构建另一个PPT算法B这能够打破了鼎晖的假设首先利用敌人,让包含吗 是一个鼎晖的假设是随机的,很难得到解决

显示安全证明,哈希函数 在游戏中被认为是随机的甲骨文,和身份标识的每个数据用户只有 查询一次。为 ,他们只作为单向函数。此外,对手难以能够自适应地发出查询三个神谕:{ 甲骨文}、{Key-Extract oracle}和{TagGen oracle}。

设置。选择两个循环组 ,和他们的订单是相同的质数 该算法B第一集 作为公钥的包裹。 是三个哈希函数。最后,它发送公共系统参数( )到对手{副词}。,让 是一个挑战指数数据的用户身份。

哈希甲骨文。对手{副词}提交查询 甲骨文与身份 如果索引的身份 满足 ,然后“挑战者”号 选择 随机设置 否则,挑战者B均匀样本 设置

最后,5-tuple ( )添加 附些最初是空的。

键提取甲骨文。关键提取查询,{副词}提交身份信息 关键提取甲骨文。回应,“挑战者”号 计算如下:(1)如果单位指数 满足 ,然后 寻找5-tuple ( ) 附些。如果存在, 发送 对手副词;否则,它隐式查询 甲骨文与身份 (2)否则, 终止它。

TagGen甲骨文。如果对手{副词}提交包含(M,伊迪,名称)TagGen甲骨文认证标签查询, 和名字是数据文件的文件标识符 反应,挑战 计算如下:(1)首先,它搜索的 附些检查是否存在伊迪。如果是,那么相应的5-tuple ( ) 返回附些。否则, 需要查询 伊迪oracle与身份信息。(2)如果单位指标满足 ,然后挑战 中止它。否则,它会产生认证标签数据文件 通过以下流程:(一)首先,文件标识符”的名字,“它选择 随机计算 (b)接下来 ,它计算

然后对 , 计算数据块 身份验证标记 并添加( )最初是空的标记列表。(3)最后,它返回( )到对手{副词}。

输出。最后,对信息的一个挑战 ,对手难以输出一个假证明信息( )用户的数据损坏的文件 在一个nonneglected概率 ,数据用户的身份在哪里吗 阿胜这个安全游戏当且仅当下列约束条件是适用的:(1) (2) 可以通过验证方程(11)(3) ,在哪里 应该是一个合法的证明信息的挑战 和数据文件 满足

当对手难以赢得这个游戏,然后我们能够获得以下: 在哪里 因为 由验证人计算,同样的数据文件, 因此,我们有

它表明,鼎晖和nonneglected概率假设是可以被打破的 显然,这是不可能的,因为它是一个难以解决的问题鼎晖的问题。

定理2。恶意的云服务器,其再现攻击在我们提出审计建议可以有效地抵制。

证明。详细的证据是非常相似的安全证明16]。因此,它是由于有限的空间。

5。绩效评估

有效地评估我们的建议的表现,在以下部分中,我们表明,我们的建议是有效的通过比较与玉等人的建议(15)和张董的建议(16]的计算成本和通信开销,,张董的建议(16)这是最先进的基于身份的公共审计方案在通信开销方面。

5.1。计算成本

评估我们的建议的计算成本,我们想对比我们的建议与张董的建议(16和玉等的建议15)由于两个最近的计划是两个有效的基于id的公共审计计划。我们模拟的三个方案中采用的运营商HP-laptop电脑的英特尔酷睿i3 - 6500 CPU在2.4 GHz处理器和8 GB RAM和所有算法实现使用MIRACL加密库(21,22),用于“MIRACL-Authentication服务器项目Wiki”Certivox。我们采用Super-singular椭圆曲线在字段GFp, 160位模量 和一个2-embedding学位。此外,在我们的实验中,整个统计结果来自10模拟试验的平均值。

为显式的演示中,我们使用MulG1来表示点乘法操作,让哈希配对是一个从hash-to-point操作 分别和一个双线性配对操作。公共审计协议,计算成本TagGen阶段主要是由计算生产块认证标签。外包数据文件,数据用户需要(3n+ 1)MulG1+n散列生成块认证标签在我们的建设;在余等。建议和Zhang et al。提议,每个数据用户需求(n+ 1)散列+ (2n+ 2)MulG1和图4nMulG1分别计算metablock认证标签n数据块的数量。在图3,我们的仿真结果生成块身份验证标记不同的数据块的大小相同的数据文件。


图3
计算不同块的身份验证标记生成成本数字。

从图3,我们可以知道,在TagGen阶段,Zhang et al。”年代的建议是最耗时和Yu et al。”年代的建议是最有效的。我们的建议是略低于Yu et al。因为算法产生的块身份验证标记是一种基于证书的公钥签名算法Yu et al。建议;然而,算法,用于我们的建议,是基于id的签名算法。因为认证标签的数据块文件可以在离线阶段,它有一个小的影响整个协议。

在审计验证阶段,计算成本主要来自验证证明信息。它是由数字数据块的挑战。为我们建设、检查证明信息的有效性,审计人员需要3配对+c散列+ (c+ 2)Mul_ {G_1};然而,在其他两个提案,TPA需要执行3配对+ 2 mulG1和5配对+ (c+ 2)MulG1+c散列检查在云存储文件的完整性,分别c表示挑战子集的大小。在表2,我们给他们的计算时间的比较不同的挑战子集。

表2
在审计阶段计算时间的比较。

根据表2,我们推断的提议16是最有效的。我们的建议是效率略高于建议(15]。然而,建议在16)所示是不安全的,其细节攻击如附录所示。与此同时,我们也发现TPA的计算成本与挑战子集的大小呈线性增长。

5.2。沟通成本

在数据审计系统中,通信成本主要来自两个方面。一方面,它是外包阶段的数据文件;另一方面,从审计阶段。在外包阶段,数据所有者上传数据文件和相应的meta-authentication标签。我们的建议,数据所有者想上传(n+ 1)|G_1 | + ||碎片云存储服务器;然而,在提案(15,16),数据所有者想上传(n+ 3)|G_1 | + ||位和2n·|G_1 | + |分别|比特。在这里,|G_1 |代表集团的一些元素的长度G1、||表示一些数据文件的长度,和n是数据块的数量。

在审计阶段,通信成本主要来自信息的挑战和证明TPA和云存储服务器之间的信息传输。在我们的方案中,挑战信息Chall |Z_| + |3·| |比特,证明信息G_1 |位,因此,总|通信开销Z_| + || + 3·|G_1 |比特,|Z_|代表了一些元素组的长度Z和||是挑战子集的大小。提案中(16),总沟通成本是2 |Z_| + || + 2·|G_1 |比特在审计阶段;提案中(15),通信成本(2 + || |)Z_| + || + 5·|G_1 |在审计阶段。他们详细地比较如表所示3

表3
比较三个方案之间的通信开销和安全。

如表所示3,我们的计划至少三个方案之间的通信开销。

5.3。安全的比较

根据定理1,我们知道我们的计划证明地安全对恶性云服务器计算diffie - hellman假设,它有严格的安全。在(Yu等的建议15),他们的建议也证实对鼎晖下的恶性云服务器安全的假设。然而,对于张和董的建议16),这显示是不安全的对恶性云服务器攻击。恶性云服务器可以删除整个文件没有意识到TPA,附录中给出了详细的安全分析。

6。结论

在这项工作中,我们提出一个新颖的基于身份的公共审计系统通过合并同态身份验证公钥密码学技术到审计系统。我们的提议,克服了安全问题和效率问题,基于id的公共审计系统的存在。最后,建议是被证明是安全的,他们的安全紧密相关的经典鼎晖安全的假设。通过与两个有效的基于id的方案相比,我们的方案优于这两个基于id的方案整体考虑计算复杂度的条件下,通信开销和安全性。

附录

对于一个恶性年代云存储服务器,它的攻击进行了如下:(1)假设 是一个外包文件。首先划分 块,也就是说, 是每一块meta-authentication签名 , (2)对于恶性云存储云计算 , (3)随后,它均匀样本数量 来计算 和删除所有数据块 从云服务器 (4)挑战后的信息 收到;邪恶的远程服务器在云首先计算 (5)然后,它计算 , , 请注意, 在步骤2中计算。(6)伪造的证据信息 因为伪造的证据信息满足的关系

的利益冲突

作者宣称没有利益冲突。

确认

我们想感谢匿名裁判TrustCom2016的宝贵的建议。这项研究受到了北京市自然科学基金(没有。4162020),广西重点实验室的密码学和信息安全(没有。广西GCIS201710),研究基金会KeyLab采矿与安全(没有的多源信息。MIMS16-01)。