云存储系统中数据完整性验证协议样本.doc

云存储系统中数据完整性验证协议样本 云存储系统中数据完整性验证协议本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 云存储系统中数据完整性验证协议:1001-9081()01-0008-05doi:?要:?在云存储网络环境中，数据的安全性和完整性是用户最关心的问题之一。 综合考虑云存储网络环境中的安全需求，设计了云存储数据完整性验证（cs div）协议。 客户端把数据文件和校验标签上传到云存储服务器后随机抽查，服务器返回验证证据并由客户端判断文件的完整性。 协议能够有效地验证云存储数据的完整性，并抵抗恶意服务器欺骗和恶意客户端攻击，从而提高整个云存储系统的可靠性和稳定性。 仿真实验数据表明，所提协议以较低的存储、通信及时间开销实现了数据的完整性保护。 ?:云存储；数据完整性；同态标签；安全协议；数据存储安全?:文献标志码:a?abstract:?in thecloud storage work,the security and integrityof data are themajor concernsof clients.taking fullconsideration ofthe securityrequi rementsfor cloud storagework,a newcloud storagedata integrityverification(cs div)protocol wasproposed.the clientsuploaded filesand tagsto the servers and then didrandom本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 check;theserversreturned proofsand theclients judgedthe result.this protocolcould notonly ensurethe integrityof datain thecloud storage effectively,but alsoresist thecheat fromthe untrusted serversandtheattack fromthe maliciousclients,and thenimproved thereliability andstability ofthe wholecloud storagesystem.the simulationexperimental results show that the proposedprotocol realizesthe protectionof data integrity atlow costof storage,munication and delay.?key words:?cloud storage;data integrity;homomorphic tag;security protocol;data storagesecurity?0引言?随着计算机网络的不断发展，人们对于数据存储的要求也越来越高，特别是在云计算兴起的背景下，基于海量数据的云存储系统成为关注的热点。 很多的网络服务商，包括国外的x dropbox以及国内的金山快盘等，都开始提供云存储服务，帮助用户实现任意地点、任意时间、任意数据的访问，不仅给人们带来了方便和效益，同时也节约了社会的资源与能源。 但是，因为云存储的安全性、可靠性及服务水平等还存在众多问题亟待解决，所以云存储本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 仍未得到广泛认可与使用。 数据存放在云存储中，用户最关心的问题之一是数据的完整性。 当存储服务商能够有效地对用户提供数据完整性验证，并不断提高服务水平，云存储将获得广泛的应用。 ?1相关工作?传统存储系统的数据完整性检查主要是基于访问的，如在线存储系统11、海量存储系统22以及数据库存储系统33等，这些系统频繁访问服务器上的数据，增加了服务器的负担，严重浪费网络的带宽资源；另一种比较常见的方案是基于挑战和应答的方法，由客户端提出挑战某些数据块，服务器来生成数据完整性的证据，最后由客户端来判断结果，如e ateniese等提出了可证明数据持有(pr ovable data possession,pdp)模型44-77，但该模型没有考虑数据在传输过程中的安全性；还有一种思想是惠普公司司h shah等提出的审计方案88，该方案将用户的检查任务交给可信第三方来完成，但是这势必会增加原存储服务商的代价而且很可能泄露信息从而带来新的安全隐患；u zhu等提出了一种分层混合云模型99，能有效利用不同云存储服务商提供的云资源来协作存储用户的数据，同时将这个模型划分成33层:解释层、服务层和存储层，在一定程度上增加了系统的可靠性，同时额外增加了一些存储的开销。 ?以上方案的不足，主要在于缺乏对云存储网络环境特性的考虑，没有尽可能地降低服务器的通信开销和存储开销，缺少安全协议本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 保障用户数据的安全性。 针对上述不足，本文基于p pdp模型，提出一种适用于云存储的数据完整性验证（cloudstoragedataintegrityverification,cs div）协议。 客户端在把数据文件及其校验标签上传到云存储服务器后，通过随机抽查的方式，让服务器生成指定数据块的验证证据并返回，由客户端判断数据文件的完整性。 同时，该协议具有适应性:对于较小的文件，能够通过检查所有的数据块来保证结果的有效性；而对于较大的文件，则能够检查部分数据块以一定的概率来保证数据的完整性，从而减少系统资源和网络带宽的消耗。 ?2云存储数据完整性的验证方案?方案综述?本方案参考e google文件系统（google file system,gfs）10的设计，:客户端c c、主服务器s s、接口服务器0s0以及存储服务器s1，s2，s3,?。 当c c想要把一个文件件f f保存在云存储系统中，能够与0s0进行交互，上传或者下载数据文件，这样能最大限度地简化客户端的执行流程。 而s s则是整个云存储的中心枢纽，它不但负责所有存储资源s1，s2，s3,?的分配和调度，而且在存储目录中保存了用户的存储信息。 这样的设计实现了控制流和数据流的分离，0s0和和s s之间只有控制流，没有数据流，从而降低了主服务器的负载11。 由于文件被分成多个数据块保存在存储服务器上，因此c c与与0s0以及0s0与与s1，s2，s3,?之间能够并行地传输数据，有效提高系统的吞吐量。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?:首先，c c与与0s0进行相互认证，获取会话密钥；接着c c生成用于校验的公私钥对，并为每个待上传的数据块生成相应的标签，利用其同态的特性来唯一地标记对应的数据块；然后c c向向0s0申云存储系统，0s0告知主服务器器s s，s s根据系统当前的状况分配存储资源s1,s2,s3,?给c c，接着着c c就上传f f给给s0，0s0根据s s的分配将数据块传送到相应的存储服务器。 ?在验证阶段，客户端c c发起一个校验的挑战，主服务器s s根据存储目录中用户的存储信息，通知相应的存储服务器，把校验标签发送给接口服务器s0，并由0s0将标签和验证信息返回给c c，c c根据保存在本地的私钥来验证数据是否完整。 至此，整个云存储中数据完整性的验证流程结束。 用户在任何时间如果需要再进行数据验证，能够随时执行验证阶段的任务。 ?相关概念?密码学符号列表?本文所使用的基本密码学符号及其含义如表11所示。 ?同态标签?12，能够将多个从文件块计算的标签合成为单个值，因此能够节省系统传输的带宽。 假设给定两个标签t t i i和和t t j j，它们是由所对应的数据块m mi i和和m mj j计算得到的定长数据值，能够把标签和数据块看成本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 具有映射关系，通过计算t t i+tj j的结果，来判断m m i+mj j的情况，即能够实现利用同态的特性来验证数据的完整性。 ?o svo逻辑?在安全协议分析领域，通常使用形式化分析的方法来判定协议的安全性。 其中:ban(burrows,abadi,needham)请补充其中文名称和英文全称。 逻辑13能够看作是形式化方法的代表作和里程碑，svo(syverson,van orschot)逻辑14则是n ban逻辑的一个改进版本。 本文所需使用的基本o svo逻辑术语及其含义如表22所示。 ?云存储数据完整性的验证协议?协议设计?云存储数据完整性验证方案分为准备阶段和验证阶段，因此对应地设计了两个协议，协议中的实体与图11中的一致。 假设服务器之间相互信任，同时为了实现用户的认证，防止恶意用户的攻击，cs15，向认证协议16，c c和和0s0都拥有自己的公私钥对，且事先已经获得对方的公钥。 这里c c的认证公私钥对是（pk c c，sk c c），0s0的认证公私钥对是（pk s0sks0?协议1准备阶段协议。 ?1)cs0:e pks0(r c,s0,k1),sig skc c(h(r c,s0,k1)；本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?2)s0c:e pkc c(r s0,c,r c,k2),sigsk s0(h(r s0,c,r c,k2)；?3)cs0:e pks0(r s0,s0),sig skc c(h(r s0,s0)；?4)cs0:e k(f,size,n),sig skc c(h(f,size,n)；?5)s0s:c,f,size,n；?6)ss0:n,s(i)blocknumber；?7)s0c:e k(n),sig sks0(h(n)；?8)cs0:e k(block(i),sig skc c(h(block(i)；?9)s0s1,s2,s3,?:c,f,block(i)；?10)s1,s2,s3,?s:c,f,blocknumber,indexnumber；?11)ss0c:“suess”,”failure”。 ?准备阶段的协议11说明如下。 ?c1)c选取随机数r r c c和临时会话密钥k1，对r r c c、0s0的标识符和1k1加密，并对它们的哈希值做签名。 ?02)s0验证签名和哈希值，如果通过则0s0选取随机数r r s0k2，对r r s0c c的标识符、r r c c和和k2加密，并对它们的哈希值做签名。 ?c3)c验证签名和哈希值，检查r r c c是否是自己发送的随机数，如果通过则c c对对r r s00s0的标识符加密并对它们的哈希本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 值做签名；0s0验证签名和哈希值，检查r r s0发送的随机数；如果双方都通过认证，就能够根据已获取的k1和和k2，通过单向哈希函数计算得到最终的会话密钥k kh hk1(k2)。 ?c4)c运行key n,sk），并对文件名f,文件大小e size和模数n n的哈希值做签名。 ?05)s0验证签名和哈希值，把客户端标识符c c、f f、e size以及n n发送给s s。 ?s6)s根据云存储系统当前的状况，计划将文件f f分成n n块上传到s1,s2,s3,?这几个存储服务器，并把存储服务器s(i)需要存储的块号信息发送给s0。 ?07)s0发送n n给给c c告知其要分成几个数据块上传，并对n n的哈希值做签名。 ?c8)c验证签名和哈希值，把f f分成n n块块m m1,m2,?,m n n，运行tag m m i i计算对应的标签t ti i，每个数据块由块号、文件块和标签块组成，即block(i)=im mi it ti i，并对数据块的哈希值做签名。 ?09)s0验证签名和哈希值，将block(i)、标识符c c和文件名f f发送给相应的存储服务器s1,s2,s3,?。 ?10)s1,s2,s3,?收到数据块后，为其生成一个索引号index rnumber便于以后查找并告知s s。 ?s11)s在存储目录中更新c c有关f f的所有信息后，返回协议的运行本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 结果。 ?协议2验证阶段协议。 ?1)cs0:e k(f,u,k3,k4),sig skc c(h(f,u,k3,k4)；?2)s0s:c,f,i j,a j j；?3)ss0:c,f,n；?4)ss1,s2,s3,?:indexnumber,i j,a j,n；?5)s1,s2,s3,?s0:ti i j,m i i j a a j mod n n；?6)s0c:e k(v),sig sks0(h(v)。 ?验证阶段的协议22说明如下:?c1)c生成抽查数u u（11u un n）以及挑战密钥3k3和和k4，对4f,u,k3,k4的哈希值做签名；?02)s0验证签名和哈希值，然后用伪随机置换函数得到随机抽查的块号i i j=p k3(j)，用伪随机函数生成混淆系数a a j=fk k44(j)，将c,f,i j,a j j发送给s s；?s3)s找到保存在存储目录中客户端c c的文件f f对应的模数n n发送给给s0；?s4)s根据c,f,i j j找到被挑战块对应的服务器号s(i)和索引号r indexnumber并告知s1,s2,s3,?；?5)s1,s2,s3,?根据索引号找到相应的数据块，计算数据块当前本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 信息m m i i ja aj mod n n，连同标签块t ti i j js0；?06)s0运行proof v v，c c运行verify法校验文件的完整?算法设计?div协议用到的44个多项式时间算法:key,tag,proof,verify。 ?key(n,sk)key(1k)/*生成用于文件校验的参数*/?程序前?generate parametersn,e,d meet the conditionsof rsa assumption;?r r r r0,1k k;?sk(e,d,r);?output(n,sk);?程序后?c c执行，时间复杂度为o (1)，生成了基于rsa的安全参数n,e,d:首先选择两个大的安全素数p p和q q，计算rsan=pq q，欧拉函数(n)=(p-1)(q-1)；然后选择一个整数e e满足1 文档如有不当之处，请联系本人或网站删除。 mod(n)，生成一个k k位的随机数r r，并让e e、d d和和r r作为密钥；最后输出(n,sk)。 ?tag(t1,t2,?,t n)tag(pk,sk,m)/*为每个文件块生成标签块*/?程序前?for(i i=1;i in n;i i+)?w wi i=r ri i;t ti i=h h(w wi i)m mi ie e mod n n;?output(t t1,t2,?,t n n);?程序后?c c执行，时间复杂度为o(n)，为每个文件块生成对应的标签块。 w wi i是一个由rr和和i i组成的秘密参数，把它的哈希值乘以m mi i使其与对应的文件块关联上，再用ee和和n n对结果进行加密，就得到了标签块，最后输出所有标签块信息。 ?proof vvproof(mi ija ajmod n,ti ij j,pk)/*生成文件校验的证据*/?程序前?本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?t=i i ui1t a aj j i ij j=h h(w wi i1)a a1h h(w wi iu)a a u m mi i1a a1m mi iu a a uemod n n;?p=h(m mi i1a a1m mi iu a au modn n);?output v=(t,p);?程序后?0s0执行，时间复杂度为o (1)，利用同态特性将被检查的标签合并，得到原始状态t t，然后求系统当前文件的哈希值，得到当前状态p p，最后将(t,p)作为数据完整性的证据vv输出。 ?verify“suess”,”failure”verify(n,sk,u,k3,k4,v)/*对证据进行验证*/?程序前?t=t dmodn n;?for(j=1;j ju u;j+)?i ij=p k3(j j);aaj=f k4(j j);w wi ij j=riij j;t=th(w wii本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 j j)aaj jmodn n;?if hh(t t)=p?output“suess”;?else output“failure”;?程序后?c c执行，时间复杂度为o(n)，用密钥dd对对t t进行处理，然后计算iij j、aajj和和w wiijjtt除以h(wi ijj)aajjm mii1aa1m miiuaaumodn n，如果h(t)=p，就表明云存储完整地保存用户文件f f。 ?3协议的安全性分析?在云存储的网络环境中，可能存在着各种威胁网络安全的恶意行为，本章重点讨论两种可能存在的恶意行为，分析cs v div协议的安全性。 ?恶意服务器欺骗?s s*是一组不诚实的服务器，据不完整的情况下，对客户端进行恶意欺骗，声称依然完好无损地保存着数据，使得cs vdiv协议的运行结果依然为“suess”。 本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?cs vdiv协议是基于概率模型的，支持对数据的任意块进行抽样检查。 f f包含n n个数据块，服务器删除或丢失了其中的任意tt块数据，c c随机抽查n n中的u u块数据。 设随机变量x x表示c c检测到文件数据有丢失，则其概率p px=p px x11=1p px=0=1n ntnnn11tn11?nnu+1tnu+1。 因为nniitniinnii11tnii11，所以p px x的值域是11(ntn)u u，11(nu+1tnu+1)u u。 ?p px x的下界决定了cs div有效性，即至少有11(ntn)u u的概率检测到数据丢失。 假设nn中有1%的数据丢失，即t=，则11(ntn)u=1u u，同理可得t=，随机抽查的块数u u与成功检测数据丢失的概率p px x之间的关系。 由图44可知，p px x与与nn无关，当nn很大时，u u依然能够保持一个较小的值，使得s s*很难进行成功的欺骗。 ?方案的特点在于能根据用户的需求灵活运用。 u=n时，高的时候，cs vdiv协议也能以100%的概率证明数据的完整性。 ?恶意客户端攻击?m m（malice击手段:直接攻击和间接攻击。 直接攻击是指m m截获客户端c c发送给接口服务器0s0的认证信息，企图向0s0发动重放攻击（replayattack,ra0s0误以为是c c本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 与其进行通信；间接攻击是指m m通过各种技术手段切入c c和和s0之间，从而发动中间人攻击（man inthe middleattack,mitm?cs div33个步骤就是用来进行身份认证的。 其中:随机数用于防止重放攻击；身份标识符用来标识通信的主体；临时会话密钥是通信双方用来生成最终会话密钥的；对消息的签名是消息发送方对消息的认证，用于抵抗中间人攻击。 该协议通过三向认证后，通信的双方都能确定对方的身份，并防止恶意用户的非法访问。 下面将使用svo csdiv:?m1:cs0:r c,s0,k1k ks0,h(r c,s0,k1)k k11c c?m2:s0c:r s0,c,r c,k2k kc c,h(r s0,c,r c,k2)k k11s0?m3:cs0:r s0,s0k ks0,h(r s0,s0)k k11c c?条件1a1表示基本假设，协议的运行环境是不安全的；2a2表示每个主体的公钥是公开的；3a3表示每个主体的私钥仅为其所知；a4表示c believes fresh(r c c此处的“c c”是否为下标，还是现在这样的书写形式?请明确。 )；5a5表示s0believes fresh(rs0s0”是否应该为下标，请明确。 )；6a6表示c controlsm1/m3；7a7表示s0controls本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 m2；8a8表示c believespk(s0,k)c receivedxk-11c believes(s0said x)；9a9表示s0controls xxs0says xx s0believes xx。 ?1g1表示s0believes c believes k1；2g2表示示c believes s0believes k2。 ?证明?由由m2，a2，a3，8a8得:?f1:c believess0said(rs0,c,rc,k2)?由由f1，4a4得:?f2:c believess0says(rs0,c,rc,k2)?由由f2，9a7,a9得:?f3:cbelievess0believes k2（证得g1）?由由m3，a2，a3，5a5得:?f4:s0believesfresh(rs0,s0)?由由m1，a2，a3，8a8得:?f5:s0bel ievesc said(rc,s0,k1)?由由f4，5f5得:?f6:s0believes csays(rc,s0,k1)本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 ?由由f6，a6，9a9得:?f7:s0believes cbelieves k1（证得g2）?在svo g1和g2并且没有发现漏洞，由此可见，cs div攻击，同时保证c c和和0s0正确交换临时会话密钥1k1和和k2，从而得到最终的会话密钥k k，使得c c与与0s0进行安全的通信。 ?44协议的性能分析?在intel pentiumdual e2140ghz cpu,1b gb内存的windows pxp的系统中，用visual c+vdiv协议的仿真程序，其中hash函数使用的是sha117，其输出结果为160b b，网络延迟假设为为42ms，客户端和服务器之间传输速率为100kbps，服务器之间传输速率为10mbps，文件分块大小为64kb，kb。 ?存储开销分析?c c需要存储的信息有0s0的标识符及公钥、用于认证的公私钥和用于文件校验的公私钥，0s0要保存c c的标识符及公钥和用于认证的公私钥，ss要在存储目录里保存c c的标识符、文件名、文件公钥、块号、服务器号和索引号这些信息，s1,s2,s3,?则保存索引号和文件数据块。 11024b b，其它信息为为128b b。 与传统的远程完整性检查（remote integritychecking,ric）协议18相比，cs vdiv协议能够把校验标签保存在服务器，c ric则保存在本地，各实体的存储情况如表33本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 所示，可知cs vdiv协议减轻了客户端的存储开销。 ?通信开销分析?与与c ric协议相比，cs vdiv协议利用了同态标签的优势，可将校验标签合并后返回，从而节约了部分通信开销。 计算不同文件大小情况下，完成一次验证过程中协议通信的数据总和，如图66所示，可知cs vdiv协议降低了验证所需的通信开销。 ?时间开销分析?由于p pdp和和cs vdiv协议不用返回所有保存在服务器中的校验标签，所以它们比c ric协议的验证时间要少得多。 运行仿真程序，通过对不同大小的文件进行测试，抽查其中10%的数据块，能够得到p pdp和和cs vdiv协议验证所需的时间，如图77所示，可知cs vdiv协议比p pdp协议所需的验证时间更少。 ?55结语?本文提出的云存储中数据完整性验证协议（cs div），为用户检查文件的完整性提供了一种有效的方案，从而提高整个云存储系统的可靠性和稳定性。 仿真结果表明，系统只需少量的存储开销和通信开销，就能保证该协议的有效执行，并且随着文件的增大，验证所花的时间依然保持在较低的值，因而该协议适用于云存储中的海量数据处理。 ?:?1yumerefendi ar,chase js.strong aountabilityfor本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 work storagejj.acm transactions onstorage,3 (3):66-6.?2kubiatowicz j,bindel d,chen y,et al.oceanstore:an architecturefor globalscale persistentstoragec c/proceedings ofthe ninth international conference on architecturalsupport forprogramming languagesan doperating systems.new york:acm press,:190-201.?3maheshwari u,vingralek r,shapiro w.how tobuild atrusted databasesystem onuntrusted storagec c/osdi00:proceedings ofthe4th conference on symposium on operatingsystem designand implementation.berkeley,ca:usenix association,:10-10.?4ateniese g,burns r,curtmola r,et vable data possession atuntrusted storesc c/s07:proceedings ofthe14th acmconference on puter andmunications security.new york:acm press,:598-609.?5ateniese g,pietro rd,mancini lv,et al.scalable andefficient provabledata possessionc c/securem08:proceedings ofthe4th internationalconference on securityand privacy inmunication works.new york:acm press,:11-10.?6ateniese g,kamara s,katz ofs ofstorage from本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。 文档如有不当之处，请联系本人或网站删除。 homomorphic identificationprotocolsc c/asiacrypt09:proceedings ofthe15th internationalconference onthe theoryand applicationof cryptologyand informationsecurity:advances incryp tology.berlin:springerverlag,:319-333.?7curtmola r,khan o,burns r,et al.mr pdp:multiplereplica provabledatapossessionc c/the28thinternationalconference ondistributed putingsystems.piscataway:ieee,:411-420.?8shah ma,baker m,mogul jc,et al.auditing tokeep onlinestorage serviceshonestc c/hotos07:proceedings ofthe11th usenixworkshop onhot topicsin operating systems.berkeley,ca:usenix association,:1-6.?9zhu y,wang h,hu z,et al.efficient provabledatapossession forhybrid clouds/s10:proceedings ofthe17th acmconferenceonputer andmunications se