一种云存储完整性的格签名验证方法

Vol. 34 No 2July 2020
第30卷第4期2222年07月
黑龙江科技大学学报
Joomal of Heiloogjianc Universit_ of Science & TecCcolooy
一种云存储完整性的格签名验证方法
常亮，王冠棋，杨雪欣
(黑龙江科技大学计算机与信息工程学院，哈尔滨150022)
摘要:基于大素数质因子分解的签名算法面临可破解的风险，大数据时代保障海量数据的
安全成为了一个亟待解决的问题。

通过引入可规避大素数质因子分解算法的格签名，改进主流的
Merkel 散列树，利用基于中间乘法的格签名方案替代原有的短签名，给出了基于传统签名方案的云
端数据完整性验证方案。

结果表明，该方法优于基于BLS 短签名和ECDSA 椭圆曲线签名的模指 数运算和对数运算，减少了签名的运算量，在参数生成开销和签名生成开销方面具有一定优势。

关键词：云安全；数据完整性；格签名
doi ：16. 3969/j. issn. 2294 -7262. 2222.24.216
中图分类号:TP399.2
文章编号:2944 - 7262 (2022 0 04-0454-04 文献标志码：A
A verification method for cloud storage
integrity based on lattice signatura
Chang Liang ， Wang Guanqi ， Yang Xuexin
(School of Computer & Information Enaineerina ，Heilonyianc University of Science & TecCnoloyy ，Harbin 154022, China)
AbstracS ：T his paaes is meaci te dddmss m increpsinaly cmcial cCallenac of how te guarantee the se-
ccmty of massivv date l the era of big date l the face of the bsN that the existinc siynatcra dlyorithm baser
oo larae pkme fectokzatiob miget be cmcCed. TO c study acCieves m impmvmect in the clouC date inteak- ty vekycatiob scheme baser cm the existinc sinndtam scheme by introbccina a lattice sinndtam dble te avoin larme pkme fectokzatiob alyorithm , improvina the mainstream Meme hast tree , anC replacinc the oymnal shom sinridtam with a lattice siyndtam scime buildinc co mindle mul_plicatiob. The results show that the
pmposen methob obtpekorms the mobulas expocential opemtion anC lobanthm opemtion buildinc oo BLS shom siynatcre anc ECDSA eeiptie cemv siynatcre, demonstratiny the mdacen dmocct of siynatcre compc-
anc themfom anvvntayes in parameer yeneration cost anc siyndtam yeneration cosh
Key wordt :sechkte, date intedkte, lattice siynatare
云存储系统可以使用户以低廉的价格获取海量 的存储能力，但数据的高度集中同样使其面临着严
峻的安全挑战。

当用户选择云存储模式时，用户一 般并不会在本地保存数据副本。

换言之，用户可能
失去了对这些数据的物理控制。

这些存储在云端的 数据不仅可能会遭受来自其他用户的恶意攻击,甚
至还可能遭到不可靠云服务提供商(Cloud storaye
semice provider,CSP)的滥用，如窥视用户隐私、挖掘
收稿日期：2222 -05 -02
基金项目：黑龙江省省属高校基本科研业务费项目(2016 - KYYWF - 9773)
第一作者简介：常亮(681 -),男，黑龙江省哈尔滨人，讲师，硕士，研究方向：信息系统安全及防范技术,E-mail ： CLath@qq. co
456黑龙江科技大学学报第30卷
用户隐私、数据丢失瞒报、数据恶意篡改等。

随着量 子术的发展，大素数因子难题和有限域上离散对数问题将不再困难，基于传统难题的RSA、DSA、ECDSA等方案也面临失去安全的风险。

大数据时代为保证用户数据的安全性和
性，迫切对传统数据性验证方案方面更加安全的改进。

为此，笔者提出了基于格的性验证方法，通过效率分析和安全分来验证其性能。

1基本原理
1.1PDP数据完整性验证方案
数据持有性证明方案(PTOvable date possession，PDP)采用随机抽样的策略，概率性的进行数据
性验证。

这是静态的基于RSA态特性的性策略，进而开创了在不可信上的数据性验证方案。

典型PDP方案的逻辑如图1所示。

图1PDP方案的基本架构
Fig.1Basics PDP scheme architectarr
11格和格难题
基于设计的密码体系是当今密码学领域的最新方向。

设(厶，W)是集，若厶中任意两个元在上确界与下确界，则称集为格。

设有耳个线性无关的向量组B二皿1”2,…，b j，其中B为m维向量，取任意整系数兀二｛衍，兀2,…，,J，则对方程组L(B)二二X占心2,花w Z，二1,2,…”而言，显然满足格定义。

称向量组B的数线性组合A二厶(B)为由向量B生成的m维格，称向量组B为格A的基〔1］。

格中三种难题：格中最近向量问题(CVP)、最短向量问题(SVP)、最小基问题(SBP)。

文中讨论最短向量问题SVP,SVP问题可描述为给定基于B的格A,寻找一非零向量卩,使得对任意uw人，有||,W||d。

之，即对于B的格而言，寻找于厶的最小非零向量,由SVP问题，可以引出SVP问题，即最短线性无关向量问题SIOP。

SIOP问题可描述为:给秩为j的格A,寻找一组线性无关向量s,使得对任意u w A,满足I II W儿(A)°
1.1LWE问题
容错学习(Learning with error-,LWE)是格密码学的基础问题，其困难性可的SVP和SIOP问题。

LWE问题包括CLWE(LWE搜索)问题和DLWE(LWE判定)问题。

CLWE可描述为：已知n、m、q=q(n)〉2,输入m x j维矩阵A w Z「n和m维向量,w Z；,并设m 维向量e w Z；为误差项。

设误差项0服从Z；上的概率分布E x，求使等式v=As+e成立的m维向量s w Z；的搜索问题。

DLWE可描述为：已知n、m、q二q(n)〉2,输入m x n维矩阵A w Z；x n和m维向量v w Z；,设m维向量e w Z；为误差项。

设误差项e服从Z；上的
分布为X,为任一均匀取自Z m的m维向量，求向量v,其是由As+e到，均匀取自Z m的:问题2°
11同态签名
设者所持有的公钥为P,私钥为sk,对数据块m而言，分别对其任意数据子块m—m.做对应的6、©。

方案满足以下性质：不可性。

持有密钥对(久,sQ的签名者才能升
验证简化性。

已知签名6、6,任取随机数他、他对数据块m=A:1m1+他m2而言，验证者可以在不知道m1、m2的下，通过6、6和他、对数据块m进行验证。

非扩展性。

已知签名6、6,任取随机数人、2,对应的数据块m，=2i；1+22m2而言，验证者在不持私钥st的前提下，无法通过线性结合的方成新的满足验证条件的6,则称方案为一态方案,为同态：3_4\
公态加密方案,一般由3时间算法。

(1)密钥生成KeyGeg(1入)一(久,k)：输入安全参数入、输出公钥卩2、私钥S k°
(2)明文加密Egc(m,,k)T c：输入明文m、公钥久、输出密文c°
(3)密文解密Dec(c,k)^m：输入密文c、私钥
第4期常鳧，等:一种N存储完整性的格签名验证方法467
几、输出明文m。

1.5Merkel散列树
Merkle散列树(Memie hash tree,MHT)是一种数据结构,可较短的开销进行数据验证,被于、P2P、比特币等需要进行快速证的领域⑸。

子各个数据子块的哈希值,非叶子子节点值之和的哈希值⑹。

户端对服务器端数据某个数据子块进行完整性验证时,服务器端Memel树上对应数据子的叶子的哈希值和相对的直至Merael 根的辅助路径上的哈希值⑺。

用户端：对子的哈希值和辅助路径上的哈希值进行简单，并与用户端所持有的原数据块的哈希值进行对比，即可原数据块和对数据子块的性⑻。

(1)数算法KeyGen,由用户执行,算法输入随机[0,6串,输出公私钥对(Pe,，k)。

(2)生成标法Encodc,由用户执行。

算法
公私钥对(e,k)和数据子块m,输出对应标签对几。

(3)战算法Challedcc,由第三方审计者
行。

算法检测数据子块集合1(由TPA随机)，输出对战信息cht。

(4)生成证据算法Prove,由云服务提供商执行。

算法战信息cht,输出对应证明信息proof。

(5)检验证据算法Verify,由第三方审计者执行。

算法证明信息pmof,输出证明[0,6。

证明信息有效时,即用户数据性得到证明时, 1。

反之，输出9o
2系统模型
2.5基本结构
数据性验证三方：用户、云服务器提供商和第三方审计者⑶，如图2所示。

用户
初始化阶段
生成参
数算法一
生成标
签算法
挑战-应答阶段
用户
云服务提供商生成证
据算法云服务提供商
存储数据
云服务提供商
第三方审计者
生成挑
战算法
检验证
据算法
用户
委托审计
用户-----
委托数据第三方审计者
---------发起挑战
第三方审计者
图3基本算法流程
Fig.3Basie alcorithm model
第三方审计者返回结论云服务提供商
应答挑战
3验证方案
图2三方架构模型
Fig.2Trigartite model designed
在上述三方中，用户首先对第三方审计者证请求⑼。

第三方审计者收到用户的证请求，根据用户的证请求:相应的挑战信息，对云服务提供商相应的挑战-丿求，然服务提供商第三方审计者的挑战，进行数战-丿何。

最后第三方审计者根据数战-丿的结，得到对应的用户数据性证明，并将该完整性证明给用户。

2.2基本算法
基本算法5个多项式时间算法组成，如图3所示。

3.2验证步骤
(1)初始化。

用户执行密法Ken-Gec生成公钥pl、私钥st。

用户将所持有原数据块厂干个数据子块/,并执行明文加密算法E oc,对数据子块/用公钥pl加密，数据子块的验证标签。

用户保存私钥si,以执行密文密算法Dec,对 数据子的验证标签证。

根据各个数据子块九a所对的数据子
a[a，自底至Merael树，最终求得根的哈希值ha。

随后，用户将各个数据子块/[，]和其对应的数据a[a至CSP,本地数据。

密钥生成算法KeyGet用户输入安全参数入,输出对应矩阵行数g e Z\矩阵列数虫Z+,对环人的特征q w Z+。

根据安全参数V的
458黑龙江科技大学学报第30卷
对应参数5,t,q),用户随机生成一个环R上长度为2n-1的多项式s J Z；"-1,随机生成t个环R上长度为"的多项式并组成对应矩阵A^Z"x t0用户随机生成服从离散高斯分布的"x t个偶数元素作为随机误差项，并构造对应矩阵e・Z"x t。

设有环R：
有一同态运算。

，即满足o(x)O(y)=Q(xy)；返回私钥S s=s，公钥P s=(4,4Os+e)。

明文加密算法Ene。

明文加密者随机建立一个｛0,3矩阵T-Z，并对得到的用户公钥Pk=(4, A O s+e)和一个欲加密｛0,：消息串f,计算得：
c1=r O A e Z"x t,c2=r O(A O s+e)+m se e Z；xt,返回加密后的密文C=(1,2)。

密文解密算法Dee,密文解密者对所接收密文C=(1,C2)和所持有私钥s k=s，计算M'=1-1O s s=r O(A O s+e)+m i-((O A)O s,以及M=M' mod2。

由于随机误差项矩阵e是由服从离散高斯分布的偶数元素所构成，故模2操作后得到最终解密后的明文M=m S e0
(2)挑战阶段。

用户委托TPA周期性的对CSP 发起完整性验证挑战。

当用户委托TPA对CSP发起完整性验证挑战时，用户将欲校验数据完整性的数据子块的唯一标识符5和其对应签名Sig(id)作为审计请求发送至TPA。

当TPA接收到用户发送的审计请求时，通过验证签名的方式来判断该请求是否来自合法用户。

当确认用户合法后,TPA发起挑战。

TPA随机抽取c个元素构造数据块索引集合I=｛S1,2,…，，c｝并将其发送至CSP,其中c e[1, n]。

(3)应答阶段。

当CSP接收到TPA发送的挑战信息后,自底置顶建立Merkec树。

CSP根据数据块索引集合I=｛S1,12,…,1｝寻找数据块所对应的叶子节点，并寻访该叶子节点至Mereec哈希树根节点的路径上所有兄弟节点，将其记录为对应的辅助路径集合｛Q d，其中d e｛1,2,…，s。

｝。

最后,CSP将数据块所对应的叶子节点签名Sig(c,)和辅助路径集合｛Q d作为证据b=｛Sig(c),Q d返回给TPA。

(4)验证应答阶段。

当TPA接收到CSP返回的验证证据(T=｛Sig(c)，/Q,e｛1,2,…,si时，利用叶子节点签名Sig(c)和辅助路径集合，计算对应的Mereec树根节点值。

如果用户签名Sig(c,)通过公钥pS验证成功,并能通过叶子节点签名和辅助路径集合生成Mereec树根节点值,则证明用户数据完整性未被破坏。

反之，则证明用户数据完整性遭到破坏。

3.2正确性与安全性
(1)签名正确性。

对签名C=(C1,2)而言，有2=r O A e Z；xt,c2=r O(A O s+e)+叫严乙""。

当验证者持有私钥S e=S时，有C’=2-C1O S e= C2-C1O s二r O(A O s+e)+-(O A)O i,因O 是环R上的同态运算，其满足结合律，故有C二r O A O s+r O e+一r O A O s=r O e+
因随机误差项e是n x t个偶数元素，加密消息叫是｛0,1｝的消息串，故做模2操作后，可得r O e= 0,即C=0+%=T o o，等式C=n i成立，签名正确性证。

(2)签名安全性。

设有敌手A能以不可忽略的概率S在多项式时间内伪造签名C=(1,C2),即对于t个环R上长度为n的多项式组成的对应矩阵A j Z"x t而言，敌手A能够在多项式时间内找到一个向量s,使等式v=A O s+e成立，敌手解决了格密码学的LWE困难问题。

此时可视为存在一个多项式时间算法，能够解决n维格上的SVP和SIVP 问题，这显然与LWE困难假设矛盾。

在随机预言机模型下，签名的安全性可证。

(3)挑战应答正确性。

当用户数据块n= (n，叫，…,^”)中任一数据子块n遭到破坏时，其对应签名Sig(n)也遭到破坏。

因哈希函数具有单向性和抗碰撞性，故而CSP自底置顶建立的Mereec 哈希树的根节点值rooh与TPA所持有的哈希树根节点值root不可能一致。

rooiVrooI不成立，挑战应正确性可证。

3.3效率分析
针对所提出的基于格的数据完整性验证方法进行仿真效率分析,选择数据子块大小为4kB,数据子块总数n000,选取基于BLS签名方案和ECDSA签名方案的数据完整性验证方案，作为参照对比。

重复进行55次仿真实验，将结果取平均值,效率对比结果如表1所示，其中，参数生成开销为t签名开销为t，挑战-应答开销为t。

differexi data intecdty veriOcction
表1数据完整性验证方案开销对比
Table1Parameteru of expedmextat cesi for
方案t mc tq/mc—/mc
BLS43271123
ECDSA45567121
文中的42262113
第4期常兄，等:一种玄存储完整性的格签名验证方法459
4结束语
结合格签名和Merkel树的数据完整性验证方法,其具有相对效率优势。

该方法的高效性体现在格签名计算基于线性运算，优于基于BLS短签名和基于ECDSA椭圆曲线签名的模指数运算和对数运算,减少了签名的运算量，在参数生成开销和签名生成开销方面具有一定优势。

该方法的安全性体现在格签名基于LWE困难问题，同时具有一定的抗量子攻击性，但较其他方案而言，仍存在密钥复杂时计算困难等问题，优化密钥长度和改进环R上同态运算还需要进一步研究完善。

参考文献：
[1]王小云，刘明洁.格密码学研究[J].密码学报，2014,1
(1)：13-22.
[2]武慧超.短签名算法研究及其在移动云计算中的应用[D:.
西安：西安电子科技大学，2014.
[3]陈志忠.基于椭圆曲线的云存储数据完整性的验证研究[]•
现代电子技术，2016,39(23)：33-32.
[4]Ernay C,Kupcu A,Papamanthou C,et al.Dynamic provable da­
te possession[M].Chicago：CCS,2009.
[3]Wang Q,Wang C,Li J,et al.Enabling publia veriOaPilith ant
date dynamics for storage secakty in cloub computing[C]//Euro­pean Conference on Research in Compute-Security,Springer-Vea-O p[2009.
[6]He D B,Zeanally S,Wu L B.Certificateless public aubiting
scheme for cloud一assisted wireless boUy area getworksl^[].IEEE Systems Jonraai,2015,93:1一10.
[2]Zhang J,Dong Q.Efficient ID-Vasee public audiCng foc the out-
sourcea date in cloub stora[e [ J].Information Sciences,2016, 343：1-14.
[6]Yb Y,Man HAA,Ateeiese G,et ai.Ideeyty-Vasee remote date
integOty cheching w CO perfect date privacy preserving foo cloub stora[e[[].IEEE Transacticus on Infomiation Forensics&Sechrl-ty,2012,99：105-112.
[3]Yan H,Li J,Han J,et ai.A novee efecieat remote date posses­
sion protocol in cloub storage[[].IEEE Transacticus on
Information Foreesics&Sechnty,仝。

]^,12(1):76-86. [I。

]Li L,Yang Y,Wb乙FMR-PDP：oexibie multiple-reelica pruv-abie date possession in cloud storage[C]//Computen ang Com­
munications,IEEE,ZHO：1115-1121.
(编辑李德根)。