论文学习笔记（一）

Efficient Group Proof of Storage With Malicious-Member Distinction and Revocation 学习笔记

引言部分

近些年，云计算技术蓬勃发展，不论是科技企业或是科研院所，云计算的应用场景越来越多，其中最基础和应用最广泛的云服务就是云存储，也就是网盘服务。 的数据的保护至关重要，总结来说，就是要解决云存储中的数据完整性的校验、用户身份的认证、恶意用户判别及销毁等问题。
为了解决数据完整性校验的问题，出现了一系列的 存储数据验证（POS，Proof of Storage） 方案。在一些实际应用中，会遇到这样一种情况，即多个用户共同管理一组数据或对这组数据作验证操作。以现在很多互联网公司为例，大多是一些交易数据或浏览历史数据，随着通信技术和网络技术的不断发展，这些数据正在爆炸式增长当中，一旦这些数据被破坏，这些企业将遭受巨大的损失。为了解决这一问题，很多互联网企业选择将数据的服务交给更加专业的团队来管理，由这些专业的团队来进行日常 的数据完整性和保密性的检查工作。这些专业的数据管理团队可以看作是共享同一组数据的用户群组，而群组的管理员可以由群组各用户的回复（应答）中得出数据是否跟刚刚生成时一样原封未动。
如果在用户组中存在恶意用户，则这个恶意的用户的权限应当被撤销。在现实生活中，恶意的用户可能存在与云服务器共谋以伪造有效数据证明的情况。因此，若存在不同的用户返回的验证结果不同的情况，就需要判断出谁是不诚实的用户，并将其权限撤销。
可公开验证的安全方案可以有效的避免这个问题，因为每个人都可以对数据的完整性进行验证。但是，大多可公开验证方案使用的是双线性对或第三方验证的方式来实现公开验证，这也导致了方案的低效。
因此，文章提出了一种高效的POS方案来解决实际应用中的安全需求：
1、在用户群组应用中保证数据完整性
2、区分恶意用户
3、撤销恶意用户
4、抵抗选择公开信息攻击（Resist selective opening attacks）
5、支持数据去重

基础知识

1、同态MACS(HOMOMORPHIC MACS)
2、交叉验证码(Cross Authentication Codes)
3、可重用函数（复用函数）reusable commitment function(COM)
$$\begin{gathered} p=2p^{\prime }+1,q=2q^{\prime }+1 \\ N=pq \\ g是阶为p^{\prime }{q}^{\prime }的循环子群的生成元 \\ {G}_p是素数阶为q的群 \\ 随机选取一个G_q中的元素h \\ 计算lo{g}_{g}hmodq是困难的 \\ 选取RSA加解密密钥e和d，满足ed=1mod\varphi (N) \\ COM(M)=(g^M{h}^{H(ID)}{)}^{e}modN \end{gathered}$$
4、离散对数问题DL
5、伪随机函数PRF(Pseudo-Random Function)

具体构造

首先，将文件分为$n$个大块chunk， F i l e = { m &lt; 1 &gt; , m &lt; 2 &gt; , . . . . . . , m &lt; n &gt; } File=\{m_{&lt;1&gt;},m_{&lt;2&gt;},......,m_{&lt;n&gt;}\} File={m<1>​,m<2>​,......,m<n>​}，每个大块又分为$L$个数据块， m &lt; i &gt; = { m i , 1 , m i , 2 , . . . . . . , m i , L } m_{&lt;i&gt;}=\{m_{i,1},m_{i,2},......,m_{i,L}\} m<i>​={mi,1​,mi,2​,......,mi,L​}，在这里，对应$m_{<i>}$的验证函数值（Commitement ）和标签（tag）则表示为$CO{M}_i$和$T_{<i>}$。
取$p=2p^{\prime }+1$和$q=2q^{\prime }+1$，并且$N=pq$，作为RSA模数，取$g$为阶为$p^{\prime }{q}^{\prime }$的循环子群的生成元，$F$是大小为$2^{\lambda }$的有限域，取密钥空间为$\kappa =F^3$，取标签空间为 χ = F L ⋃ { ⊥ } \chi=F^L\bigcup\{\perp\} χ=FL⋃{⊥}。
取$H$为一个哈希函数，$f$为一个伪随机数发生器，$\pi$为一个伪随机变换：
H : { 0 , 1 } l o g 2 ( n ) → { 0 , 1 } l o g 2 ( n ) f : { 0 , 1 } × { 0 , 1 } l o g 2 ( n ) → { 0 , 1 } λ π : { 0 , 1 } × { 0 , 1 } l o g 2 ( n ) → { 0 , 1 } l o g 2 ( n ) H:\{0,1\}^{log_2(n)}\rightarrow\{0,1\}^{log_2(n)} \\f:\{0,1\}\times\{0,1\}^{log_2(n)}\rightarrow\{0,1\}^\lambda \\\pi:\{0,1\}\times\{0,1\}^{log_2(n)}\rightarrow\{0,1\}^{log_2(n)} H:{0,1}log2​(n)→{0,1}log2​(n)f:{0,1}×{0,1}log2​(n)→{0,1}λπ:{0,1}×{0,1}log2​(n)→{0,1}log2​(n)
密钥生成算法（$KeyGen(1^{\lambda })\to (msk,mpk,s{k}_l)$）：取e和d满足$ed=1mod{p}^{\prime }{q}^{\prime }$，给定安全参数$\lambda$输出$msk=(p,q,e),mpk=(d,N,g,h)$和私钥$s{k}_l=(a_l,b_l,c_l)\in \kappa ,1\le l\le L$。
预验证生成算法（ P r e G e n ( { s k l } l = 1 L , m s k , m &lt; i &gt; ) → ( T &lt; i &gt; , C O M i ) PreGen(\{sk_l\}^L_{l=1},msk,m_{&lt;i&gt;})\rightarrow(T_{&lt;i&gt;},COM_i) PreGen({skl​}l=1L​,msk,m<i>​)→(T<i>​,COMi​)）：对任意i，$1\le i\le n$，计算每一个大块$m_{<i>}$的验证标签：
$$\begin{gathered} \left[\begin{array}{ccc}1,c_1,c_1^2& \cdots & c_1^{L-1}\\ 1,c_2,c_2^2& \cdots & c_2^{L-1}\\ ⋮& \ddots & ⋮\\ 1,c_L,c_L^2& \cdots & c_L^{L-1}\end{array}\right]\cdot \left[\begin{array}{c}{m}_{i,1}\\ m_{i,2}\\ ⋮\\ m_{i,L}\end{array}\right]+\left[\begin{array}{c}{f}_{b_1}(i)\\ f_{b_2}(i)\\ ⋮\\ f_{b_L}(i)\end{array}\right] \\ =\left[\begin{array}{ccc}1,a_1,a_1^2& \cdots & a_1^{L-1}\\ 1,a_2,a_2^2& \cdots & a_2^{L-1}\\ ⋮& \ddots & ⋮\\ 1,a_L,a_L^2& \cdots & a_L^{L-1}\end{array}\right]\cdot \left[\begin{array}{c}{T}_{i,1}\\ T_{i,2}\\ ⋮\\ T_{i,L}\end{array}\right] \end{gathered}$$
在上面的公式中，数据标签$T_{<i>}$可以由解L个未知数的线性方程得到结果，得到$T_{<i>}$后，计算每个大数据块$m_{<i>}$的$CO{M}_i=(g^{m_{<i>}}{h}^{H(i)})modN$，而后输出$(m_{<i>},T_{<i>},CO{M}_i)$。
证明生成算法（ P r o o f G e n ( { m &lt; i &gt; } 1 ≤ i ≤ n , { T &lt; i &gt; } 1 ≤ i ≤ n , c h a l ) → ρ ProofGen(\{m_{&lt;i&gt;}\}_{1\leq i\leq n},\{T_{&lt;i&gt;}\}_{1\leq i\leq n},chal)\rightarrow\rho ProofGen({m<i>​}1≤i≤n​,{T<i>​}1≤i≤n​,chal)→ρ）：$chal=(c,k_1,k_2)$，c代表挑战大块的数量，$k_1,k_2$则是新随机挑选的两个随机数，对于每一个$1\le z\le c$，计算出$i_z={\pi }_{k_1}(z)$代表样本数据块（block）的索引（下标），同时计算出$v_z=f_{k_2}(z)$代表相应的系数，而后计算下列公式：
$$\begin{gathered} \{\begin{array}{l}{\tau }_1=v_1{T}_{i_1,1}+v_2{T}_{i_2,1}+\cdots +v_c{T}_{i_c,1}\\ {\tau }_2=v_1{T}_{i_1,2}+v_2{T}_{i_2,2}+\cdots +v_c{T}_{i_c,2}\\ ⋮\\ {\tau }_L=v_1{T}_{i_1,L}+v_2{T}_{i_2,L}+\cdots +v_c{T}_{i_c,L}\end{array} \\ and \\ \{\begin{array}{l}{\omega }_1=v_1{m}_{i_1,1}+v_2{m}_{i_2,1}+\cdots +v_c{m}_{i_c,1}\\ {\omega }_2=v_1{m}_{i_1,2}+v_2{m}_{i_2,2}+\cdots +v_c{m}_{i_c,2}\\ ⋮\\ {\omega }_L=v_1{m}_{i_1,L}+v_2{m}_{i_2,L}+\cdots +v_c{m}_{i_c,L}\end{array} \\ 输出向量\mathbf{\tau }=({\tau }_1,{\tau }_2,\dots ,{\tau }_L)和\mathbf{\omega }=({\omega }_1,{\omega }_2,\dots ,{\omega }_L) \end{gathered}$$
证明验证算法（ V e r i f P r o o f ( ρ , c h a l , s k l ) → { 0 , 1 } VerifProof(\rho,chal,sk_l)\rightarrow\{0,1\} VerifProof(ρ,chal,skl​)→{0,1}）：$s{k}_l=(a_l,b_l,c_l)$，$chal=(c,k_1,k_2)$，计算$i_z={\pi }_{k_1}(z)$和$v_z=f_{k_2}(z)$，计算$\tau ={\tau }_1+a_l^1{\tau }_2+\cdots +a_l^{L-1}{\tau }_L$和$\omega ={\omega }_1+c_l^1{\omega }_2+\cdots +c_l^{L-1}{\omega }_L$和$\sigma =v_1{f}_{b_l}(i_1)+\cdots +v_c{f}_{b_l}(i_c)$。如果$\tau =\sigma +\omega$，则输出1，否则输出0。
到此可能是大家对方案最困惑的地方（PS：至少对我是如此），其实不难，只需把数据代入进去，经过一些看上去很繁琐的计算，验证一下，就可以得到答案了，不过关键点是要结合着预验证生成算法中的公式同时计算。在这里难的就是挑战的不一 定是全部的数据块，但其实如果细心分析的话，就算不是所有的块，哪怕只是抽一个数据大块，公式也是能对得上的，也就是说，挑战了几个数据大块，就对应着预验证生成算法中的几行。
验证COM算法：这个只是一个RSA加解密运算， 在此不列。
论文其它内容请自行查看，有论文的安全性分析和证明，方案正确性证明，以及方案的效率分析等。