云存儲中數據完整性驗證綜述摘要：隨著大數據時代的到來，越來越多的人享受著云服務帶來的便利。相應的，大量的用戶隱私數據存儲在云上，確保云上數據的安全性與隱私性至關重要。由于數據文件存儲在遠程節點上，用戶失去了對數據的絕對控制權，如何判斷云上數據是否被不誠實的云服務供應商篡改或損壞等需要提供數據完整性驗機制去檢驗。本文主要是對數據完整性證明機制（PDP，POR協議）的各個現有方案進行歸類，對比各個方案的優缺點，并介紹當前需要解決的問題。雖然現有方案已經解決了大數據完整性驗證的問題，但方案的效率性和安全性仍有待提高。如何設計出安全、高效和支持動態審計的數據完整性驗證協議是我們亟需要解決的重要問題。關鍵詞：PDP；POR；審計協議；云存儲1引言云計算是一種計算方式，它依賴于共享計算資源，而不是本地服務器或個人設備來處理應用程序。在云計算模式下，大量的計算工作由云計算數據中心的計算機集群來完成，用戶只需要在客戶端下利用網絡就可以完成各種計算工作。對企業來說，云計算使資源共享和空間利用效率最大化，降低了運維成本和風險。對用戶來說，云計算讓我們以最小的花銷和最快的速度得到我們想要的結果。在云存儲系統中，用戶可以隨時訪問、處理和共享遠程服務器上的數據。我們在享受云計算給我們帶來的極大便利的同時，云存儲的安全性!］和隱私性［2］引起了我們的密切關注。在云存儲系統中用戶存儲在云中的數據可能遭到其他用戶或云計算提供商的篡改或損壞。由于用戶失去了對存儲在遠程節點上數據的絕對控制權，無法判斷遠程節點上的數據是否被修改等。這就需要云存儲系統提供數據完整性證明機制驗證其云端數據的完整性。通常，數據的機密性可通過數據加密、匿名機制等機制來確保］。數據完整性證明機制能及時地識別云中損壞數據的行為［4］。本文主要是對數據完整性證明機制的各個現有方案進行歸類，對比各個方案的優缺點，并介紹數據完整性的最新研究進展和面臨的挑戰。2概述云存儲是一種數據遠程維護、管理和備份的服務。該服務允許用戶在線存儲文件，以便他們可以通過互聯網從任何位置訪問它們。在云存儲模式下，用戶不需要下載數據就可以跨多個遠程節點管理數據，備份數據以及添加新節點或刪除現有節點。從智能手機到平板電腦，從筆記本到臺式機，我們每天都使用各種各樣的設備，每個設備間切換文件可能很麻煩和復雜。但是在云存儲服務中，無論是移動設備還是計算機我們都可以連接任意互聯網訪問我們的數據，并且支持數據在所有設備上同步。尤其對企業來說，將機密或敏感數據存儲在云中通常比在本地存儲更安全。使用云存儲服務，數據被加密存儲5］在云中，未經授權的用戶無法訪問文件。無論我們是想要共享單個文件還是大量文件，云存儲服務可以讓我們和任意用戶輕松共享文件。

2.1數據存儲模型云存儲環境下數據完整性證明所采用的數據存儲模型由用戶、不可信的云服務供應商及可信第三方審計機構組成［6］。用戶可以按照自己的需求向云服務供應商隨意請求服務，將數據存儲在服務器中，而不保留本地副本。云服務供應商為用戶提供數據存儲和計算服務，擁有快速的計算能力和大量的存儲空間。如果服務器修改了客戶端數據的任何部分，客戶端都應該能夠檢測到。可信的第三方審計機構可以替代用戶對遠程節點中存儲的數據進行完整性驗證，大大減輕了用戶在驗證階段的計算負擔。云存儲模型使得用戶只需要少量信息即可驗證數據的完整性。2.2云存儲系統標準一個合格的云存儲系統應該滿足這樣的標準：（1）高效的計算能力和交互能力，低存儲開銷。（2）系統允許第三方可信審計無限次進行數據完整性驗證。（3）無狀態認證，驗證過程無需保存任何驗證狀態［7］。（4）公開驗證，為了緩解用戶在存儲和計算上的壓力，云環境下的數據完整性驗證機制最好能支持公開認證，允許任意的第三方來替代用戶來完成數據完整性驗證。3數據完整性證明機制遠程數據完整性檢查在云存儲中是至關重要的。它可以讓客戶端驗證他們的外包數據是否保存完整，而不需要下載整個數據。同時，為了降低驗證方的開銷，完整性驗證協議必須是高效的。數據完整性驗證機制根據是否對數據文件采用了容錯預處理分為數據持有性證明PDP機制［8］（ProvableDataPossession,PDP）和數據可恢復性證明POR機制［9］（ProofsofRetrievability,POR）。這兩種完整性驗證機制均采用抽樣［8］的策略概率性的驗證數據的完整性，PDP機制能快速識別遠程節點上的數據是否被損壞，POR機制不僅能識別遠程節點上的數據是否損壞，而且還能恢復已損壞的數據（當發現數據的損壞程度小于某一閾值￡時，通過容錯機制恢復損壞數據，大于￡則返回給用戶數據失效的結論）。以下將分別介紹PDP機制和POR機制的各個現有方案的優缺點。3.1基本知識遠程數據完整性驗證協議有兩個安全要求：⑴支持公開驗證。⑵對第三方驗證者的隱私保護。數據完整性證明機制由Setup和Challenge兩個階段組成，通過采用抽樣的策略對存儲在云中的數據文件發起完整性驗證。審計協議的核心算法由系統建立算法、挑戰應答算法和驗證算法組成。下面將介紹這些算法：⑴系統建立算法該算法對應機制的Setup階段。數據擁有者輸入系統的安全參數，算法輸出該擁有者的公私鑰對。接著數據擁有者將原文件進行分塊，執行數據塊標簽生成算法，用其私鑰為每個文件生成同態驗證標簽（homomorphicverifiabletag，簡稱HVT）集合，作為認證元數據。最后數據擁有者將HVT和對應的文件塊一起加密并存儲在云服務器上，并將其公鑰發送給

第三方審計。⑵挑戰應答算法該算法是審計機制的核心算法。第三方審計機構通過向服務器發送隨機數據塊索引的驗證請求發起挑戰（challenge），服務器利用被請求的數據塊索引和對應的同態標簽生成證據（proof），并將其返回。⑶驗證算法該算法用來驗證響應的正確性。該算法由用戶或第三方審計機構運行，輸入數據擁有者的公鑰，挑戰請求和證據返回驗證正確或錯誤。由于審計機構是以一定概率驗證數據完整性的，所以如果審計機構想以更高的概率確認數據是否完整可以反復多次發起挑戰請求并驗證。3.2數據持有性證明機制為了驗證遠程節點上數據的完整性，Ateniese等人［8］首先提出了PDP機制，以確保在不可信任的云服務器上數據的完整性。他們提出了一個靜態的基于RSA簽名機制的采用概率性的策略來完成完整性驗證的方案。由于RSA簽名機制的同態特性，云服務器可以將證據聚集成一個小的值，這大大降低了通信開銷。他們還提出了一個支持公開驗證的版本，允許任何第三方對云服務器發起挑戰驗證數據的持有性。在該方案中，由于任何第三方都可以驗證數據的完整性，因此極大地擴展了PDP協議的應用程序領域。但是，由于對數據塊索引的依賴，這些方案對動態操作中的重放攻擊是不安全的，且并不適合于并行和分布式系統上的多云存儲服務。為了讓用戶可以對遠程節點上存儲的數據進行插入、刪除和修改等操作，審計機制要求提供動態操作。Erway等人［ii］提出了用動態數據結構來組織數據塊來實現動態操作的PDP機制。該方案（DPDP-I）基于Merkle哈希樹使用一個經過身份驗證的跳躍表來驗證數據的完整性。但該方案并沒有構建分布式的Merkle樹，并不支持在多云服務器下存儲數據，而且其認證路徑過長，每次認證都需要大量的輔助信息，大大增加了計算和通信開銷。該方案與Ateniese等人［8］提出的原PDP機制相比，有相同的檢測概率。之后，Erway等人［ii］利用RSA樹［8］構建了一個DPDP機制（DPDP-II），該方案提高了數據完整性的檢測概率，但也相應提高了云服務器的計算開銷。Wang等人［12］提出了另外一種支持數據插入的全動態操作的PDP機制［12］，該機制采用Merkle認證哈希樹來確保數據塊在位置上的正確性，而數據塊值則通過BLS簽名機制來確保。執行動態更新操作時，在更新節點的同時，需要將輔助認證信息返回給數據擁有者，數據擁有者重新生成根節點的哈希值。之后，更新后的數據存儲在第三方審計機構中的根哈希值。相比Erway等人［ii］使用的跳表數據結構組織數據，Merkle認證哈希樹具有更簡單的數據結構。該方案雖然引入了第三方審計機構代替數據擁有者對遠程節點上的數據進行完整性驗證，但卻存在著隱私泄露的風險。通過n次挑戰請求后，惡意的第三方有可能獲取數據擁有者存儲在遠程節點上的文件塊內容和元驗證數據。然后惡意的第三方可以通過解方程組來獲得塊索引，也可以獲得塊索引所對應的簽名標簽。為了解決這個問題，Wang等人［i3］通過在證據上附加一個隨機數來保護隱私，使得第三方審計機構無法知道數據內容并支持對多個

用戶的批量審計。然而，由于大量的數據標記，他們的審計協議可能會在服務器上造成大量的存儲開銷。雖然在上述已提出各種審計協議，但這些方案并不支持混合云存儲下數據的完整性驗證。上述各種PDP方案都是在同態驗證標簽上構建的，通過同態驗證標簽服務器可以根據單個響應值生成多個文件塊的標簽。但是，在混合云存儲中，來自多個云服務供應商的響應并不能合并成單個值。由于缺乏同態響應，客戶端必須反復調用PDP協議來驗證存儲在多個云服務器中的文件塊的完整性［8］。而且客戶端還需要知道文件塊的確定位置。在這種情況下，驗證過程將大大增加了客戶端的通信開銷和計算成本。為了解決這個問題，Zhu等人［14］提出了一個基于同態可驗證響應和分層的哈希索引結構的分布式PDP（CPDP）方案。該方案支持對多個云服務器進行批量審計，支持公開驗證，任何人（不僅僅是客戶端）都可以驗證數據的完整性并且對數據隱私保護。與非分布式PDP方案相比，降低了計算成本和通信開銷。之后，Zhu等人［15］將其擴展成支持混合云存儲數據的動態審計。下面表1列出上述幾種PDP協議的比較。表1幾種PDP協議的比較ProtocolPublicverificationPrivacyDynamicMulti-cloud[8]NoNoNoNoDPDP-INoNoYesNoDPDP-IINoNoYesNo[12]YesNoYesNo[13]YesYesYesNo[14]YesYesNoYes[15]YesYesYesYes3.3數據可恢復性證明機制上述各種PDP協議只能快速驗證遠程節點上數據完整性而不能對已損壞數據進行一定程度上的恢復。POR協議對文件采用容錯預處理既能實現數據的完整性驗證也能恢復已損壞數據。Juels等人［16］提出了一種基于哨兵的數據可恢復性證明機制（POR機制），該機制不僅能判斷遠程節點上的數據是否已損壞，并且可以恢復一定程度的數據失效。在該方案中，一些被稱為“哨兵”的檢驗數據塊被隨機嵌入到數據文件中用來檢測數據，一旦遠程節點上的某數據塊損壞也會損壞到對應檢驗塊。云服務器是無法識別這些檢驗數據塊的。但由于這些檢驗塊存儲在客戶端，對數據進行驗證客戶端必然要進行大量計算工作來生成數據的標簽，而且只能進行有限次驗證且不支持公開驗證和動態操作。雖然之后又有很多人［17,18,19,20］不斷改進方案，但均沒有實現動態更新證據的操作。只有21,22,23］提出的方案實現了較弱的動態更新操作。為了解決上述問題，Shacham等人［7,27］提出了基于BLS簽名的可公開驗證的POR審計協議。該方案使用了公開可驗證的可驗證的同態驗證器，這些驗證器是由BLS簽名構建的，并且在隨機預言機模型中被證明是安全的［24］，允許無限次發起挑戰請求。由于在初始化階段引入了數據容錯預處理，所以并不支持數據的動態操作而且也不具有對數據擁有者數據的

隱私保護。隨后，Wang等人［12］提出利用Reed-Solomon糾錯碼［26］的線性特征來支持部分動態操作，但不支持插入操作。該方案可以檢測出遠程節點中數據是否損壞，并獲取在遠程節點上數據發生錯誤的位置。但是該機制并不支持公開驗證且只能進行有限次的數據完整性檢測，也不能保證數據擁有者的數據隱私。之后，Li、Wang等人［29僅提出了基于BLS簽名和Merkle哈希樹的允許數據動態變化的可公開驗證的POR協議。后來，Li、Wang等人［3。］利用聚合簽名技術［31］將協議［29］擴展為允許對多個數據擁有者的數據進行批量審計的協議，但依舊沒有對數據擁有者的隱私進行隱私保護。為了解決上述問題，Chen等人［25］對Wang的機制進行了優化，考慮采用CauchyReed-Solomon線性編碼［28］代替Reed-Solomon糾錯碼來進行數據的容錯預處理。該方案有效地提高了損壞數據恢復的效率，但因為對數據的更新操作需要云服務器重新生成所有的輔助容錯信息，導致云服務器端的計算開銷增大。下面表2列出上述幾種POR協議的比較。表2幾種POR協議的比較ProtocolPublicverificationPrivacyDynamicInfinitevalidation[16]NoNoNoNo[27]YesNoNoYes[12]YesNoYesNo[25][29][30]YesNoYesYes雖然上述有的協議已經實現動態更新操作，但是并不支持插入操作。如今，如何構建一個全動態操作的POR協議仍然是一個公開問題。4需要解決的問題從上述的各種PDP和POR協議可以看出，驗證遠程節點上數據的完整性對于大數據時代來說是必要的。隨著大數據時代的到來，新的需求不斷被提出，數據完整性驗證機制也不斷在改進。從上述各種數據完整性驗證協議來看，我們主要需要解決的問題有3個：⑴跨云動態數據完整性證明機制在實際場景中，用戶可能會向多個云服務供應商請求存儲數據。雖然上述Zhu等人［14］提出的基于同態可驗證響應和分層的哈希索引結構的分布式PDP方案支持對多個云服務器進行批量審計，但是該方案只對跨云數據完整性驗證機制進行建模，并沒有提出具體的實施步驟。為了滿足更多場景下的數據完整性驗證，我們需要設計一個支持跨云動態數據完整證明機制。⑵多副本動態數據完整性驗證機制在實際應用中，由于云服務器提供的數據存儲空間大，用戶可能會在云服務器上采用多副本方式存儲數據。如何確保云服務供應商確實按照用戶的要求進行多備份副本也是我們所要研究的熱點。Curtmola等人［33］基于Ateniese等人［4］設計的RSA簽名機制進行修改，提出了一種方案，在該方案中，用戶在外包數據之前，需要生成所需要的數據副本，然后為每個

數據副本附加一個隨機數進行區分并存儲到云服務器中。每次驗證所帶來的開銷與對單個文件的進行數據完整性驗證所帶來的開銷大致相同。但是該方案并不能支持同時對多個數據副本進行動態操作。⑶效率和安全數據完整性的驗證協議要滿足2個要求：效率和隱私保護。一個好的審計協議在滿足數據完整性驗證的同時也要把計算和通信開銷降到最低。Liu和Yang等人[34]指出一個理想的審計協議方案應該是證據的大小和存儲開銷保持不變。任何的審計協議到目前為止都沒有完美地將效率和安全融合在一起。云存儲中的攻擊主要來自：不誠實的云服務供應商、不可信的第三方審計，惡意用戶和其他情況的攻擊等。如何設計出能抵抗各種各樣攻擊的安全的數據完整性審計協議是我們近年的研究熱點。5結束語盡管云越來越受歡迎，但我們已經看到隨之而來的眾多問題。雖然現有的各種審計協議已經解決了某些問題，但在實際場景中仍然存在問題。如何設計出安全、高效的數據完整性驗證協議是近年研究的熱點。參考文獻李暉，孫文海,李鳳華，王博洋.公共云存儲服務數據安全及隱私保護技術綜述[J/OL].計算機研究與發展,2014,51(07):1397-1409.(2014-07-04)[2017-09-01].薛矛，薛巍，舒繼武,劉洋.一種云存儲環境下的安全存儲系統[J/OL].計算機學報,2015,38(05):987-998.(2014-09-04)[2017-09-01].LiNing-Hui,LiTian-Cheng,VenkatasubramanianS.t-closeness:Privacybeyondk-anonymityandl-diversity//ProceedingsoftheIEEE23thInternationalConferenceonDataEngineering(ICDE2007).Istanbul,Turkey,2007:106-115.AtenieseG,BurnsR,CurtmolaR.Provabledatapossessionatuntrustedstores//Proceedingsofthe14thACMConferenceonComputerandCommunicationsSecurity(CCS2007).Alexandria,USA,2007:598-609RafaeliS,HutchisonD.Asurveyofkeymanagementforsecuregroupcommunication[J].ACMComputingSurveys(CSUR),2003,35(3):309-329.WangQian,WangCong,LiJin,etal.Enablingpublicverifiabilityanddatadynamicsforstoragesecurityincloudcomputing//Proceedingsofthe14thEuropeanSymposiumonResearchinComputerSecurity.SaintMalo,France,2009:355-370.ShachamH,WatersB.Compactproofsofretrievability[C]//Asiacrypt.2008,5350:90-107.AtenieseG,BurnsR,CurtmolaR,etal.Provabledatapossessionatuntrusted.stores[C]//Proceedingsofthe14thACMconferenceonComputerandcommunicationssecurity.Acm,2007:598-609.ShachamH,WatersB.Compactproofsofretrievability[C]//Asiacrypt.2008,5350:90-107.ErwayC,KupccuA,PapamathouC,etal.Dynamicprovabledatapossession//Proceedingsofthe16thACMConferenceonComputerandCommunicationsSecurity(CCS2009).Chicago,USA,2009:213-222.C.Wang,Q.Wang,K.Ren,W.Lou,"EnsuringDataStorageSecurityinCloudComputing",Proc.17thInt'lWorkshopQualityofService(IWQoS'09),pp.1-9,2009-July.C.Wang,Q.Wang,K.Ren,andW.Lou,“PrivacyPreservingPublicAuditingforDataStorageSecurityinCloudComputing,”Proc.IEEEINFOCOM,pp.525-533,2010.Y.Zhu,H.Wang,Z.Hu,G.-J.Ahn,H.Hu,S.S.Yau,"CooperativeProvableDataPossession",2010.

YZhu,H.Wang,乙Hu,G.J.Ahn,H.Hu,andS.S.Yau,“DynamicAuditServicesforIntegrityVerificationofOutsourcedStoragesinClouds,”ProcACMSymp.AppliedComputing,W.C.Chu,W.E.Wong,M.J.Palakal,andC.-C.Hung,eds.,pp.1550-1557,2011.JuelsA,KaliskiJrBS.PORs:Proofsofretrievabilityforlargefiles[C]//Proceedingsofthe14thACMconferenceonComputerandcommunicationssecurity.Acm,2007:584-597.K.D.Bowers,A.Juels,andA.Oprea.Proofsofretrievability:theoryandimplementation.InCCSW,pages43-54,2009.D.Cash,A.Kupjc"u,andD.Wichs.Dynamicproofsof"retrievabilityviaobliviousram.InEurocrypt,2013.Y.Dodis,S.PVadhan,andD.Wichs.Proofsofretrievabilityviahardnessamplification.InTCC,pages109-127,2009.E.Stefanov,M.vanDijk,A.Juels,andA.Oprea.Iris:ascalablecloudfilesystemwithefficientintegritychecks.InACSAC,pages229-238,2012.Z.Mo,Y.Zhou,andS.Chen.Adynamicproofofretrievability(por)schemewitho(logn)complexity.InICC’12,pages912-916,2012.Q.Wang,C.Wang,J.Li,K.Ren,andW.Lou.Enablingpublicverifiabilityanddatadynamicsforstoragesecurityincloudcomputing.InESORICS,2009.Q.ZhengandS.Xu.Fairanddynamicproofsofretrievability.InCODASPY2011.ShachamH,WatersB.Compactproofsofretrievability.JournalofCryptology,2013,26(3):442-483.LiJ,TanX,ChenX,etal.Anefficientproofofretrievabilitywithpublicauditingincloudcomputing[C]//IntelligentNetworkingandCollaborativeSystems(INCoS),20135thInternationalConferenceon.IEEE,2013:93-98.[26]WickerSB,BhargavaVK.Reed-SolomonCodesandTheirApplications.NewYork,USA:IEEEPress,1999.WangQ,WangC,LiJ,RenK,LouW.Enablingpublicverifiabilityanddatadynamicsforstoragesecurityincloudcomputing.In:Proc.ofthe14thEuropeanSym.onResearchinComputerSecurity(ESORICS).Berlin,Heidelberg:Springer-Verlag,2009.355-370.[doi:10.1007/978-3-642-04444-1_22].WangQ,WangC,Ren