刘俊伟 闫政伟 王艳

摘 要：移动云存储环境下，虽然现有数据完整性验证算法保证了远程存储数据的可用性和安全性，但没有考虑到验证者有限的设备性能，因为大量的验证计算可能导致设备处理器负载过重甚至引发设备过热而自动关机.为此，在现有数据完整性验证算法的基础上提出一种数据完整性的挑战外包算法，以降低验证者的计算负担.所提出的算法会通过满秩线性方程组解的唯一性及可验证的外包双线性对运算将验证者的验证计算安全地外包给云服务提供商.安全性分析与实验结果表明，所提出的算法有好的安全性与有效性.

关键词：移动云存储；云安全；数据完整性验证；外包计算；满秩线方程组；可验证双线性计算

中图分类号：TP309.2

文献标志码：A

0 引 言

随着移动设备的日益普及，移动端用户能随时随地访问云端数据的移动云存储，这逐渐成为云存储研究的重心［1］.移动云存储为数据所有者（data owner， DO）减轻了海量数据存储负担，也为付费订阅DO共享数据的数据消费者（data consumer， DC）提供了数据访问的便利.但在传统的数据完整性验证方式下［2-8］，DC（移动端用户仍简称为DC）在下载或使用共享数据之前对数据进行完整性验证［3］会有较大的计算负担，可能导致设备处理器负载过重甚至引发设备过热而自动关机［4］.因此，这不仅影响了移动设备的正常使用，而且还使得数据完整性验证无法正常执行.

数据完整性验证的提出使得用户可以直接对存储在云中的数据进行完整性验证而无需下载至本地.Ateniese等［5］提出数据拥有证明协议（provable data possession，PDP）机制，利用RSA签名的同态特性降低了验证过程中的通信和计算开销.Armknecht等［6］提出外包可检索性证明 （outsourcing proofs of retrievability，OPOR） 的概念，其中用户可以委托外部审计员验证云服务提供商（cloud service provider，CSP）的可检索性证明.Liu等［7］对边缘计算提出一种高效的数据完整性审计方案，确定可用于企业多媒体安全.Yu等［8］提出一种可验证去重加密数据完整性方案，确定该方案可以保证重复检查的正确性.虽然以上方案采用了椭圆曲线加密技术以保证远程存储数据的可用性和安全性，但没有考虑到移动设备性能的有限性.因此，本研究针对移动云存储的场景提出一种数据完整性验证的挑战外包算法，通过引入满秩线性方程组解的唯一性及外包线性对运算将原本由DC担任的部分验证工作外包给CSP以减轻其计算负担，同时通过安全性分析与性能测试证明了本方案的安全性与有效性.

1 数据完整性验证模型与设计目标

1.1 数据完整性验证模型

本研究的数据完整性验证模型主要包括数据所有者DO、云服务提供商CSP和数据消费者DC.数据完整性验证模型具体如图1所示.

从图1可知，DO使用CSP的数据存储服务，并将数据以有偿形式共享给DC.DO需要为CSP计算资源的使用而支付相应费用.其中，CSP为DO提供数据存储资源并响应数据完整性验证请求.DC订阅DO的共享数据并在下载或使用共享数据前对数据进行完整性验证.

1.2 设计目标

从数据完整性验证模型和对手攻击中可知，为了将数据完整性挑战安全且有效地外包给CSP，应达到以下设计目标：

1）保证外包给CSP生成的挑战集合的有效性.DC能够以较小的计算开销对CSP是否诚实地生成挑战集合进行验证.

2）保证外包给CSP证据验证计算的可靠性.DC可以对CSP提供证据验证结果的有效性进行验证.

3）抵御来自CSP的3种恶意攻击，即替换攻击、重放攻击及懒惰攻击（CSP不诚实地进行证据验证计算，直接返回结果为true的验证结果）.

2 数据完整性验证的挑战外包算法

2.1 算法概述

DO拥有文件M，且文件由n个数据块mi（i［1，n］）组成.DO将文件M储存至CSP的云空间，并以有偿形式共享给DC.

数据完整性验证过程的步骤如下：

1）Setup（λ）（sk，pk）.DO通过使用系统初始化算法产生公私密钥对（其中，sk为私钥，pk为公钥），对外公布公钥信息.

2）TagGen（sk，M）Φ.DO使用私钥sk对要上传的数据文件M中每个数据块mi（i［1，n］）计算相应的数据标签ti，然后将所有生成的数据块标签ti放入标签集合Φ，并和数据文件M一起上传至CSP云空间进行保存，随后删除所有本地文件.

3）ChalGen（M）chal.当DC下载来自DO的共享数据前，对每个待验证的数据块mi生成随机数vi并和相应数据块索引组成挑战集合chal={i，vi}，向CSP发起验证挑战.

4）ProofGen（M，Φ，chal）Proof.CSP收到DC的挑战请求，通过存储的数据文件M和标签集合Φ计算得到相应的数据完整性证据Proof，并返回给DC作为数据完整性的证据.

5）Verify（pk，chal，Proof）true/false.DC收到证据响应，使用DO提供的公钥pk和挑战集合chal通过计算判定CSP提供的数据完整性证据Proof，并将判定结果（true/false）发送给DO.

2.2 算法的具体构造

为了便于描述，定义一些符号为：G和Gt是2个q阶乘法循環群，q是大素数；g是G的生成元；e（G×G）Gt是G到Gt的双线性映射；hash（·）Z*p为抗碰撞哈希函数；chal是挑战集合；σ是标签证据；μ是数据证据；u和v是2个公钥.

3.2 安全性分析

本研究從替换攻击、重放攻击和懒惰攻击3个方面来分析所提方案的安全性.

1）抵御替换攻击.DC要求CSP返回的标签证据中均包含数据块的签名标签，而每块数据块的签名标签均绑定数据块的编号.数据块的编号经哈希运算后参与签名，使得不同数据块编号将产生不确定的差异.CSP不能用其他正确的数据块代替某个或某些损坏的数据块使得数据完整性验证通过.

2）抵御重放攻击.生成挑战集合时，随机数r由CSP解出DC提供的随机满秩线性方程组获得.由于满秩线性方程组的解唯一，且DC可通过式（6）对随机数r的正确性进行验证，故保证了挑战集合生成的随机性.CSP无法通过之前的查询组合直接产生新的查询证明，而必须实际去查询云服务器中存储的数据.

3）抵御懒惰攻击.为保证CSP诚实地进行外包证据验证计算而不是直接返回验证结果，DC通过生成一系列随机数参数以要求CSP提供相应证据，然后DC通过式（9）和式（10）进行验证，其中式（9）的正确性在3.1节中进行了证明.CSP无法直接返回验证结果，需要诚实地进行证据验证计算.

4 实验结果与分析

本研究选取1台8核CPU（主频3.2 GHz）且16 GiB内存的笔记本作为DO、1台双核CPU且8 GiB内存的阿里云弹性计算服务（elastic compute service，ECS）作为CSP及1台搭载骁龙835处理器的小米6作为DC.整体算法采用Java编写且利用JPBC函数库实现，将10 MiB的文件预处理为10 000块1 KiB大小的数据块.本研究将所提出的算法命名为挑战外包的数据完整性验证算法（data integrity verification of outsourcing challenges algorithms，DIVOC），并选择算法高效PDP（efficient PDP，E-PDP［7］）作为对比分析.实验数据取20次实验的平均值.

1）测试挑战生成开销.挑战生成开销是指DC在ChalGen（·）步骤所需的计算开销，其实验结果如图2所示.由图2可知，E-PDP的挑战生成开销随挑战数据块数的增加而增大，而DIVOC的挑战生成开销保持一定且远低于E-PDP.这是因为DIVOC的挑战生成步骤中，DC仅需要提供随机数集合给CSP以生成挑战集合，故其挑战生成开销低且不受挑战数据块数的影响.

2）测试证据验证开销.证据生成开销是指DC在Verify（·）步骤所需的计算开销，其实验结果如图3所示.由图3可知，DIVOC的证据验证开销远低于E-PDP且保持在0.1s左右，而E-PDP的证据验证开销随挑战数据块数的数量而线性增加.这是因为DIVOC的证据验证步骤中，DC仅需要验证随机数的有效性及式（9）和式（10）的判断，与挑战数据块数无关且开销极低.

5 结 语

本研究提出了一种移动云存储中支持挑战外包的数据完整性验证算法，能够将DC的大量验证计算安全地外包给CSP，其中利用满秩线性方程组解的唯一性保证挑战集合生成的有效性及利用可验证外包双线性对计算保证证据验证计算的有效性.安全性分析表明，本研究提出的算法满足了安全要求.实验测试结果也表明，本研究提出的算法有好的有效性和实用性.

参考文献：

［1］Tong W， Chen W， Jiang B， et al.Privacy-preserving data integrity verification for secure mobile edge storage［J/OL］.IEEE Trans Mob Comput，2022：1［2022-09-01］.http：//ieeexplore.ieee.org/document/9774901.DOI：10.1109/TMC.2022.3174867.

［2］Zhou L，Fu A，Yu S，et al.Data integrity verification of the outsourced big data in the cloud environment：a survey［J］.J Netw Compu Appl，2018，122：1-15.

［3］Cherubini M，Meylan A，Chapuis B，et al.Towards usable checksums：automating the integrity verification of web downloads for the masses［C］//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security.New York，NY，USA：ACM，2018：1256-1271.

［4］Jeon C K，Kim N H，In H P.Situation-awareness overheating protection solution for mobile devices［C］//2015 IEEE International Conference on Consumer Electronics （ICCE）.Las Vegas，NV，USA：IEEE，2015：618-619.

［5］Ateniese G，Burns R，Curtmola R，et al.Provable data possession at untrusted stores［C］//Proceedings of the 14th ACM Conference on Computer and Communications Security.New York，NY，USA：ACM，2007：598-609.

［6］Armknecht F，Bohli J M，Karame G，et al.Outsourcing proofs of retrievability［J］.IEEE Trans Cloud Comput，2018，9（1）：286-301.

［7］Liu D，Shen J，Vijayakumar P，et al.Efficient data integrity auditing with corrupted data recovery for edge computing in enterprise multimedia security［J］.Multimed Tools Appl，2020，79（15）：10851-10870.

［8］Yu X，Bai H，Yan Z，et al.VeriDedup：a verifiable cloud data deduplication scheme with integrity and duplication proof［J］.IEEE Trans Depend Secure Comput，2022，20（1）：680-694.

［9］Hohenberger S，Lysyanskaya A.How to securely outsource cryptographic computations［C］//2nd Theory of Cryptography Conference.Cambridge，MA，USA：Springer，2005：264-282.

（實习编辑：黄爱明）

Abstract：

In the mobile cloud storage environment，although the existing data integrity verification algorithm ensures the availability and security of remotely stored data，it does not consider the limited performance of the verifiers （mobile users） device.A large amount of verification computation may cause the device processor to be overloaded or even trigger the device to become overheated and shut down automatically.To this end，the paper proposes a data integrity verification of challenge outsourcing algorithm to reduce the computational burden of the verifier based on existing data integrity verification algorithms.The algorithm securely outsources the verifiers verification computation to a cloud service provider through the uniqueness of the solution of a full-rank linear equation system and verifiable outsourced bilinear pair operations.The security analysis and experimental results prove the scheme secure and effective.

Key words：

mobile cloud storage;cloud security;data integrity verification;outsourced computing;full-rank linear equation system;verifiable bilinear operation