动态群用户失效文件快速定位和恢复的存储证明方法

技术领域

本发明属于云存储安全技术领域，尤其涉及一种动态群用户失效文件快速 定位和恢复的存储证明方法。

背景技术

目前，随着物联网、云计算、大数据等数字技术的快速发展，数据的指数 级增长给有限的本地存储资源带来了严峻的挑战。云存储通过提供远程但成本 较低的存储选择来解决这一压力，这减轻了用户的存储管理和维护负担，同时 允许他们随时随地访问自己的数据。但这同时也带来存储在云服务器上数据的 安全问题。其中，安全的存储证明是一个关键方面。Ateniese等人在[Ateniese et al.：Provable data possession at untrustedstores,CCS 2007.]中首次提出了“可证明 数据所有权”PDP的概念。Shacham等人[Shachamet al.：Compact proofs of retrievability,ASIACRYPT 2008.]基于Ateniese等人关于同态标签的思想，利用 BLS短消息签名机制构造同态验证标签，减少了验证阶段的通信开销。Jules等 人[A.Juels et al.：Pors：proofs of retrievability for large files,CCS 2007.]首先考虑 了如何恢复受损数据，提出了一种基于传感器的POR方案，该方案不仅可以进 行数据完整性审计，还可以在一定程度上恢复故障数据。

上述方案虽然很容易检测到数据的完整性，但很少关注审计失败后的无效 文件查询。Huang等人[M.Hwang et al.：Data error locations reported by publicauditing in cloud storage service,Autom.Softw.Eng 2014]提出了一种基于矩阵的故障文件查询方法，它以矩阵的形式放置文件，批次审核相同的行和列，并确 定故障行和故障列的交叉点的失败文件。Shin等人[S.Shin et al.：Identification of corruptedcloud storage in batch auditing for multi-cloud environments, ICT-EurAsia/CONFENIS 2015]提出了基于指数测试的搜索(ETS)，它通过比较 有和没有指数的验证值来识别失效文件/块的位置。然而，ETS只适用于个别文 件的失效情况。Wang等[H.-F.Wang etal.：Batch auditing supporting fast searching invalid files in cloud storage,CHINESE JOURNAL OF COMPUTERS 2017]提出了 一种支持无效文件快速查询的批量审计方法。这种方法的特点是能有效抵御“无 效文件”攻击。数据完整性审计失败后，查找无效文件/块的位置会带来大量的 计算和通信开销，严重影响了方案的效率。上述方案虽然能够定位无效文件的 位置，但是无法恢复失效数据，对用户来说，数据可用性极其重要，失效的数 据无法保证可用性。

在云存储中，用户可以通过与一群用户共享数据来进一步降低存储成本， 从而减轻本地数据存储的负担。当群用户行为不当或离开群组时，应从群组撤 销该用户，撤销用户的数据由群管理员指定的合法用户管理。最近Zhang等人[Y. Zhang et al.：Enablingefficient user revocation in identity-based cloud storage auditing for sharedbig data,TDSC 2020(EUISD)]提出了一种高效的用户撤销数 据完整性审计方案，有效提高了用户撤销的审计效率。但是该方案没有考虑数 据完整性审计失败，一旦数据完整性审核失败，应该快速检索无效文件的位置 并恢复无效文件。然而，上述无效文件/块识别方案主要是为单客户端场景设计 的。更准确地说，来自多个用户的审计标签是用不同的私钥计算的，这使得在 一次挑战中聚集认证标签和识别文件/块变得困难和低效。

因此，亟需一种新的动态群用户失效文件快速定位和恢复的存储证明方法， 以弥补现有技术存在的问题。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有技术不能在完整性审计失败后快速定位无效文件/块并恢复它们。

(2)现有技术没有将完整性审计失败后无效文件定位和恢复方案应用到 有用户撤销的动态群用户场景下。

解决以上问题及缺陷的难度为：如何在保证在有用户撤销场景下数据完整 性审计失败后无效文件定位和恢复的安全性和效率。

解决以上问题及缺陷的意义为：

(1)为群用户提出了一个失效文件快速定位和恢复解决方案，它扩展了 POR方案的完整性审计，在本发明方案的数据完整性审计中进行了概述，并解 决了针对群用户的存储方案的相关证明中尚未涵盖的安全性和效率限制。

(2)为群用户描述了一个具体的数据失效文件快速定位和恢复方案，称为 CIRG，在本发明的安全模型中是安全的。CIRG利用基于高效地用户撤销的方 案。这样做，CIRG有优势，能够使得动态的群群用户方案更加完整。

(3)在现实的云环境中实现并评估了一个基于CIRG的原型，实验表明， 与相关方案相比，本发明的建议对用户和云提供商都产生了可容忍的开销。

发明内容

针对现有技术存在的问题，本发明提供了一种动态群用户失效文件快速定 位和恢复的存储证明方法。

本发明是这样实现的，一种动态群用户失效文件快速定位和恢复的存储证 明方法，所述动态群用户失效文件快速定位和恢复的存储证明方法包括以下步 骤：

步骤一，根据密钥生成协议生成相应的签名密钥；生成密钥为准备工作， 用于步骤二的生成验证标签。

步骤二，对文件进行RS编码，为编码后的数据生成验证标签；RS编码用 于数据恢复，生成验证标签用于数据完整性验证。

步骤三，实施数据的完整性审计；是方案的主要功能，用于验证用户在云 上存储的数据的完整性和正确性。

步骤四，完整性审计失败后进行无效文件的定位和恢复。是当完整性验证 失败后，对于无效文件的查找和恢复无效文件，保证文件的完整性，也是本发 明的创新所在。

进一步，步骤一中，所述根据密钥生成协议生成相应的签名密钥，包括：

我们应用的是EUISD的数据标签生成方法，使用Schnorr签名来计算身份 密钥和部分密钥，PKG生成身份密钥，群管理员生成部分密钥，群用户基于身 份密钥IDK

进一步，步骤二中，所述对文件进行RS编码，为编码后的数据生成验证标 签，包括：

由群用户运行，将F作为输入，F是块{m

(1)将文件F分成F＝m

(2)为编码数据生成标签：以认证私钥σ和文件E，即块{m

进一步，步骤三中，所述实施数据的完整性审计，包括发起挑战、生成证 明和验证三个步骤。TPA为云服务器生成审计质询，云服务器生成相应的证明 来证明它拥有完整的云数据，TPA根据云服务器返回的证明验证数据完整性。

(1)挑战算法：TPA生成审计质询chal＝{C

(2)证明算法：在该算法中，云服务器生成相应的证明来证明他拥有完整 的云数据；在收到来自TPA的审计质询chal后，云服务器生成数据拥有证明P＝ (T，μ)，其中T＝{T

(3)验证算法：

①TPA通过检查以下等式是否成立来验证证明P的正确性：

其中

②当TPA未能进行数据完整性审核时，TPA根据ETM和RDI快速定位无 效文件位置，并将搜索到的无效文件位置返回给群用户。

进一步，步骤四中，所述完整性审计失败后进行无效文件的定位和恢复， 包括：

当数据完整性审核失败，TPA快速定位失败的数据文件，在查询到无效文 件的位置后，返回给该群用户无效文件列表；根据TPA返回的结果，用户恢复 无效文件。

(1)搜索无效文件SIF

SIF是由ETM算法和RDI算法组成的函数。调用ETM函数快速找到一个 无效文件的位置。调用RDI函数快速定位多个无效文件的位置。无效文件的快 速定位需要考虑到两种类型的攻击，单一无效文件和多个无效文件均可导致数 据的完整性审计失败，故存在单个无效文件攻击和多个无效文件攻击。

(2)指数估计方法ETM

指数测试通过计算的方式从批量审核文件中快速识别出单个无效文件。利 用ETM解决双线性映射批量审计中的Schnorr签名类型失效签名定位问题。

如果用ETM查询到单个无效文件，然后进行审计，如果审计成功，单个无 效文件的攻击就被有效抵抗。

ETM算法流程如下：

①批量审核：

②计算签名：

③指数计算：计算方程的验证值，

如果没有找到单个无效文件，调用RDI快速定位多个无效文件。调用RDI 时，输入批处理文件，执行无效文件的定位，输出所有无效文件的位置列表。

(3)快速搜索无效文件，关联二分法，RDI

RDI算法流程如下：

①批量验证：计算

②假设X

③如果X

④计算右子节点的校验值：如果

⑤对左子树和右子树递归应用相同的算法，最终输出(b

(4)数据恢复

SIF快速找到无效文件列表后，使用RS纠删码对原始数据恢复。由于RS纠 删码具有最大距离可分割(MDS)特性，这意味着数据F可以从E中的任意k个 有效数据块中恢复。也就是说，当损坏的数据块数量小于red时，可以恢复原始 数据F。假设E损坏的方块数量目前小于red。根据RDI定位到的无效文件列表， 用户从E中得到k个有效数据块E'。恢复数据的公式为：F

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明首 次将无效文件快速定位和恢复方案结合起来，并应用到具有用户撤销的多用户 数据完整性审计中，弥补了多用户数据完整性审计中，审计失败后不能快速定 位无效文件并恢复无效文件的不足。与Zhang等人[Y.Zhang et al.：Enabling efficient user revocation inidentity-based cloud storage auditing for shared big data， TDSC 2020]提出的一种高效的用户撤销数据完整性审计方案相比，本发明解决 了完整性审计失败后无效文件定位和恢复问题。与无效数据定位方案相比，本 发明提供了无效数据恢复功能，挽回用户和云服务提供商的损失。与具有数据 冗余的方案相比，本发明帮助快速查询无效文件位置。并且本发明对用户和云 提供商友好，方案产生的时间开销和通信开销较小。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所 需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下 还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的动态群用户失效文件快速定位和恢复的存储证 明方法流程图。

图2是本发明实施例提供的动态群用户失效文件快速定位和恢复的存储证 明系统结构框图；

图中：1、密钥生成模块；2、数据编码模块；3、完整性审计模块；4、定 位和恢复模块。

图3是本发明实施例提供的动态群用户失效文件快速定位和恢复的存储证 明系统模型图。

图4是本发明实施例提供的无效文件定位和恢复方案的流程图。

图5是本发明实施例提供的数据编码图。

图6是本发明实施例提供的关联二分法示意图。

图7是本发明实施例提供的查找无效文件示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例， 对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以 解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种动态群用户失效文件快速定 位和恢复的存储证明方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的动态群用户失效文件快速定位和恢复的 存储证明方法包括以下步骤：

S101，根据密钥生成协议生成相应的签名密钥；

S102，对文件进行RS编码，并为编码后的数据生成验证标签；

S103，实施数据的完整性审计；

S104，完整性审计失败后进行无效文件的定位和恢复。

如图2所示，本发明实施例提供的动态群用户失效文件快速定位和恢复的 存储证明系统包括：

密钥生成模块1，用于根据密钥生成协议生成相应的签名密钥；

数据编码模块2，用于对文件进行RS编码，并为编码后的数据生成验证标 签；

完整性审计模块3，用于实施数据的完整性审计；

定位和恢复模块4，用于在完整性审计失败后进行无效文件的定位和恢复。

下面结合具体实施例对本发明的技术方案作进一步描述。

本发明的另一目的在于提供密钥生成方案：生成相应的签名密钥。本发明 利用众所周知的Schnorr签名计算身份密钥和部分密钥，然后生成签名密钥，在 这个算法中，PKG生成身份密钥，群管理员生成部分密钥，群用户使用身份密 钥和部分密钥生成他们的私钥。密钥生成的细节如表1所示：

(1)当PKG收到群的ID时，它选择一个随机数

(2)群用户收到身份密钥后，验证IDK

(3)首先，群管理员将用户撤销数RN设置为0，并将其发送给群用户和 云。然后，群管理员选择一个随机数

(4)群用户收到部分密钥后，验证TK

(5)然后，群用户基于身份密钥IDK

表1签名密钥的生成过程

本发明的另一目的在于提供数据编码方案：该算法由群用户运行。它把F作 为输入，F是块{m

由群用户运行，将F作为输入，F是块{m

1)将文件F分成F＝m

2)然后，本发明为编码数据生成标签。它以认证私钥σ和文件E为输入， 输出数据块验证标签集合

本发明的另一目的在于提供完整性审计方案：完整性审计算法包括发起挑 战、生成证明和验证三个步骤。TPA为云服务器生成审计质询，云服务器生成 相应的证明来证明它拥有完整的云数据，TPA根据云服务器返回的证明验证数 据完整性。完整性审计方案如表2所示：

1)挑战算法：TPA生成如下审计质询chal：

①随机挑选一个包含N·s个元素的集合I，其中 I＝{I

②为每个i

③将审核质询chal＝{C

2)证明算法：在该算法中，云服务器生成相应的证明来证明他拥有完整的 云数据。在收到来自TPA的审计质询chal后，云服务器生成数据拥有证明，如 下所示：

①计算T＝{T

②计算P，其中P＝(T，μ)。

③将P和文件标签一起发送给TPA作为证据。

3)验证算法：

①TPA首先检索文件标签，并通过检查τ是否是通过ID的有效签名来验证 文件标签的有效性。如果是，TPA接收服务器返回的数据拥有证据集P，并验 证服务器是否以批处理的形式正确存储了客户端的文件。TPA通过检查以下等 式是否成立来验证证明P的正确性：

②

③其中

④当TPA未能进行数据完整性审核时，TPA会根据ETM和RDI快速定位 无效文件位置，并将搜索到的无效文件位置返回给群用户。

表2数据完整性验证协议

本发明的另一目的在于提供无效文件定位和恢复方案：一旦数据完整性审 核失败，TPA快速定位失败的数据文件，在查询到无效文件的位置后，返回给 该群用户无效文件列表。根据TPA返回的结果，用户可以恢复无效文件。

1)搜索无效文件(SIF)

SIF是由ETM算法和RDI算法组成的函数。无效文件的快速定位需要考虑 单一无效文件攻击即云服务器攻击提供单个无效文件或服务器故障破坏文件导 致批量审核失败，因此调用无效文件查找功能，增加审核开销。因此，在批量 审计之前，采用ETM方法对单个无效文件进行审计，防止恶意服务器故意造成 文件损坏或服务器故障产生单个无效文件攻击。如果没有找到单个无效文件， 则说明存在多个无效文件，调用RDI来快速定位的位置多个无效文件。

接下来，介绍本发明ETM和RDI算法的细节。

2)指数估计方法(ETM)

指数测试可以通过计算的方式从批量审核文件中快速识别出单个无效文件。

定义1：批量审核值“P＝Q”，校验值的计算函数为 ETM(·)，ETM(·)＝P/Q。

定义2：校验值

对于用户i，指数测试值如下：

文件证据指数的验证值

其中

如果用ETM查询到单个无效文件，然后进行审计，如果审计成功，单个无 效文件的攻击就被有效抵抗了。

ETM算法细节如表3所示。

如果没有找到单个无效文件，调用RDI快速定位多个无效文件。调用RDI 时，输入批处理文件，执行无效文件的定位，输出所有无效文件的位置列表。

表3 ETM算法的细节图

3)快速搜索无效文件(关联二分法，RDI)

为了充分利用查询过程中的中间结果，减少批审核次数，提出了一种基于 椭圆曲线签名的快速搜索方法RDI，建立审核之间的相关性，将非关联审核转 化为关联审核。

在群用户高效地撤销方案的基础上，构建了基于离散对数的批量文件审计 方案，可以快速定位无效文件的位置。

定义3：批量审核值“P＝Q”，校验值的计算函数为 RDI(·)，RDI(·)＝P-Q。

利用双线性映射性质，将审计价值比较的方法：“P＝Q”转化为0值判 断：IFN

其中

其中θ和v同上。

连续多个文件证据对的(1→N)的验证值的乘积表示为

值0判断方法建立了父节点和左右子节点之间的相关性。如图6所示，二 叉查找树中父节点的验证值等于左右子节点的验证值之和。

如图7所示，灰色代表无效文件。根据相关性二分法可以快速定位无效文 件的位置。根据左右子树的计算方法，将左右子树的值关联起来，从左右子树 的值可以推导出另一个子树的值。在下面的公式中，通过比较父节点和左子节 点的校验值，可以直接确定右子节点的有效性，而不需要进行批量审核。

根据基于值0判断的批量审核函数BAF(X)计算每个节点的验证值。该算法 输出n位字符串(b

RDI算法细节如表4所示。

根据上面的分析，基于值0的RDI方法消除了右子节点的批量审核过程， 从而减少了批量审核的次数。

表4 RDI算法的细节图

4)数据恢复

SIF快速找到无效文件列表后，使用RS纠删码对原始数据恢复。由于RS纠 删码具有最大距离可分割(MDS)特性，这意味着数据F可以从E中的任意k个 有效数据块中恢复。也就是说，当损坏的数据块数量小于red时，可以恢复原始 数据F。假设E损坏的方块数量目前小于red。根据RDI定位到的无效文件列表， 用户从E中得到k个有效数据块E'。恢复数据的公式为：F

多用户和多文件审计的效率分析：

在本文中，我们应用的是Zhang等人EUISD文章的数据标签生成方法。因 此，当TPA审计数据的RN相等时，可以执行批量审计。因为RN相等意味着 批处理文件的标签密钥相同，可以同时审计批处理文件。对于多用户多文件审 计，TPA通过双线性映射对多用户多文件进行数据聚合审计，提高了数据审计 的效率。TPA在执行多用户任务审计时，采用多用户文件聚合审计方法，可以 同时审计多个用户和多个文件。这将大大提高TPA审计的效率。这也将提高云 服务器响应挑战的效率，并增强用户体验。此外，在多用户多文件审计后，如果存在无效文件，TPA可以及时查询用户的无效文件的位置，并在下一步及时 响应用户对无效文件的有效恢复。

方案安全性证明部分：

批量审计的安全性与正确性：由于本文采用的标签密钥的特性，群中的所 有用户都使用这个密钥。因此，批量审计可以同时对多个用户的不同文件进行 审计。为了证明批量审计的安全性，考虑下面的批量审计。根据完整性审计公 式，为了便于描述，我们将用户的存储文件数设为1。面以用户A、用户B和用 户C的数据完整性审计为例进行说明。首先，检查用户A、B和C的审计数据 标签的RN是否相等。如果RN相等，则这三个用户标签键是相同的，因此可以 同时审计它们。审计公式如下:

其中，

可检测性：在所提出的方案中，如果存储在云中的文件包含n个块，包括d 个坏(已删除或已修改)块，并且被质询的块的数量为s，则检测到数据损坏的概 率至少为

证据：本发明采用多用户批量审计方案，但对文件的检测概率与Ateniese 等人方案的概率框架相同。在该协议中，多用户数据审计只是增加了被审计文 件的数量，检测概率计算方法与其类似。本发明的检测概率公式如下：

数据可恢复性：本文研究的数据恢复的可能性取决于数据损坏的数量dd与 冗余度red之间的关系。当dd≤red时，损坏的数据能够恢复。根据RDI定位到 的无效文件列表，用户从E中得到k个有效数据块E'，数据恢复的公式为：F

综上，本发明的方案在动态群用户的云存储应用中，可以使群用户的失效 数据快速定位并且能够有效的恢复，本发明也证明了方案的安全性，方案中盲 签名与收敛加密思想以及身份的验证加强了方案的安全性和创新性，这一发明 方案使得动态群用户在云存储中的应用更加安全、完善。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明 的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的 保护范围之内。