基于单服务器的群上幂指数安全外包计算方案

李 帅1,2付安民1,2苏 铓1陈珍珠1孙银霞3

1(南京理工大学计算机科学与工程学院 南京 210094)2(贵州大学贵州省公共大数据重点实验室 贵阳 550025)3(南京师范大学计算机科学与技术学院 南京 210023) (1373975356@qq.com)

随着云计算的快速发展和大数据时代的到来,如何将一些耗时的计算任务安全地外包给不完全可信的公共云服务器引起了广泛关注.基于单服务器模型,提出了一个新的具有隐私保护的群域上的幂指数运算安全外包方案GEXP(outsourcing power exponent on a group field),能够有效避免双服务器模型存在的共谋攻击问题.与已有方案相比,方案GEXP能够以100%的概率检测出云服务器返回的错误计算结果,确保了用户对外包计算结果的可完全验证.此外,给出了方案GEXP在现有广泛研究的云存储数据完整性验证的具体应用.

关键词云计算;指数运算;外包计算;可验证计算;隐私保护

云计算是一种新兴的计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务.随着云计算的快速发展,出现了一种新的计算模式:外包计算.外包计算允许使用资源受限设备(如智能手机和平板电脑)的用户将复杂计算任务外包给云服务器,从而节省计算时间.

但由于云服务器并不是完全可信的,因此也遇到一些新的安全问题和挑战[1-4]:1)用户数据经常会包含一些隐私信息(如个人医疗记录、个人收入状况和家庭成员信息等),而这些信息用户并不希望泄露给云服务器.因此,如何保护用户敏感的输入/输出信息是数据外包计算过程中的首要安全挑战.2)外包计算通常需要大量的计算资源,云服务器可能为了节省计算资源而“偷懒”,并且软件上的漏洞或者来自敌手的恶意攻击都可能会影响云服务器计算结果的正确性.因此,如何有效验证云服务器返回计算结果的正确性是数据外包计算过程中另一个安全挑战.

在密码学领域,将昂贵的计算外包给不完全可信的设备受到广泛研究[5-14].Chaum等人[5]首次提出了“wallets with observers”的概念,在每次执行任务时允许用户在自己的设备上安装一块硬件来执行计算.Hohenberger等人[6]进一步给出了外包计算的安全定义和安全模型,并基于不可信的双服务器模型,提出了首个幂指数运算安全外包方案.但可惜该方案对服务器返回的计算结果的可验证概率仅为1/2.陈晓峰等人[7]在Hohenberger方案的基础上,基于双服务器模型,提出了一个新的幂指数运算安全外包方案,其对服务器返回的计算结果的可验证概率提高到了2/3.最近,任艳丽等人[13]提出了一个新的基于双服务器模型的幂指数运算安全外包方案,其对服务器返回的计算结果的可验证概率达到了1.值得注意的是,文献[6-7,13]方案中都是基于不可信的双服务器模型,并且它们都要求双服务器之间不能进行共谋.Dijk等人[9]首次提出了基于单个不可信服务器的幂指数运算外包计算方案,但该方案在外包计算过程中服务器能够获取到指数运算中的底数,因此,该方案并不能有效实现数据的隐私保护.

在幂指数外包计算领域,特别是基于不可信的双服务器模型方面,学者提出了大量可验证计算外包方案,但现有方案大多关注的是数域上的幂指数运算外包,而鲜有关注群域上的幂指数运算.群域上的幂指数运算在基于身份签名[15-16]、盲签名[17]等领域有广泛运用.特别是现有的云存储可证明的数据持有[18-24](provable data possession, PDP)方案大都需要涉及到大量群上的幂指数运算操作.因此,最近Wang等人[8]提出了一个群上的幂指数运算安全外包方案,该方案基于单个不可信服务器,能够有效实现底数和指数的隐私保护,但可惜该方案对服务器返回的计算结果的可验证概率仅为1/2.

本文基于单服务器模型,提出了一个新的群域上的幂指数运算安全外包方案GEXP(outsourcing power exponent on a group field),能够有效避免双服务器模型存在的共谋攻击问题.GEXP通过使用一种新的数学分割方法,用户可以将原始数据安全分割成随机片的形式,从而很好地实现了数据外包中的隐私保护.同时,与已有方案相比,GEXP能够实现对外包计算结果的可完全验证.此外,针对云存储数据完整性保护方案中普遍涉及到大量群域上的幂指数运算问题,本文还给出了方案GEXP在一个典型的云端群组数据完整性验证方案Panda中的具体应用.

1问题描述

1.1系统模型

一个安全的外包算法包括2个不同的实体,如图1所示.首先,用户User调用子程序RandG产生盲化随机对;然后,User借助子程序产生的随机对实现了对原始数据的分割隐藏,将盲化后的随机数对上传到公共云服务器(public cloud server, PCS);PCS利用这些盲化随机数对进行计算,并将计算后结果返回给User;最终,User验证PCS返回的计算结果的正确性.外包算法中涉到的2个实体的描述如下:

1) 外包用户(User).有很多复杂的计算任务需要去处理,但缺乏足够的计算资源.

2) 公共云服务器(PCS).由公共云服务提供者进行管理.海量的存储空间和强大的计算能力为其处理用户的计算任务提供了强有力的保证.但是,通常情况下公共云服务器并不是完全可信的.

Fig. 1 System model
图1 系统模型

1.2安全定义

定义1. 安全的幂指数外包算法.该算法由4个子算法组成:

1) SetUp(g).使用变量g来初始化子程序RandG,用户调用RandG生成一些盲化随机数对(aga).

2) Mask((du),(aga)).输入原始数据(du)和盲化对(aga).使用逻辑分割算法将原始数据分割成随机片的形式.这些随机片由2部分组成:①需要PCS计算的盲化后的随机数对(αj,βj);②用来验证最终计算结果正确性的秘密值s.

3) Compute((αj,βj)).输入由Mask算法分割产生的随机数对(αj,βj),PCS输出相应的计算结果σy.

4) Verify(σy,s).输入PCS返回的计算结果σy和秘密值s来对结果进行验证.如果验证没有通过,用户输出“error”;否则,User恢复最终的计算结果ud.

2幂指数运算的安全外包计算方案

本文提出了一个基于单个不可信服务器模型的群上幂指数运算的安全外包方案GEXP,在方案GEXP中,用户User借助子程序RandG实现了将指数运算安全外包给云服务器PCS,所提出的算法能够确保敌手A在整个外包计算的过程中不能获取到任何关于输入和输出的隐私信息.我们首先假设p是一个大素数,G是一个阶数为p的循环群.方案GEXP的输入为uGdp,输出为ud.

2.1子程序Rand

在幂指数外包方案中,普遍需要使用一个称为Rand的子程序来生成随机盲化对[6-8].Rand的输入是一个素数p和一个底数g(也有可能是其他的数值),每次调用后输出一个具有(a,gamodp)形式的随机的、独立的盲化对,其中a为了提高安全性,Rand的输出分布应该与真正随机的情形是计算上不可区分的.有2种方式可以用来实现这个子程序:1)检查表方法;2)预处理技术[10].

本文中我们使用了和文献[8]类似的扩展子程序RandG,其输入是一个p阶循环群G的生成元g,其中p是一个大素数,也有可能是一些其他的数值,每次调用的输出是一个具有(a,ga)形式的随机的、独立的盲化对,其中a

2.2幂指数外包方案

我们提出的幂指数运算安全外包方案由4个子算法组成:

1) SetUp(g).用户User首先使用变量g来初始化子程序RandG,然后5次调用子程序RandG生成5组随机盲化对(α,gα),(β,gβ),(λ,gλ),(η,gη),(t,gt),并定义v1=gαv2=gλ.

2) Mask((u,d),(a,ga)).子算法Mask是用来对原始数据ud进行逻辑分割处理,将原始数据分割成随机片的形式.使得服务器PCS在计算过程中不能获取到任何输入输出的敏感信息.第1次逻辑分割:

(1)

其中,w1=uv1.第2次逻辑分割:


gβgr(w1)k1t1=gβgr()t1

(2)

其中,β=αd-rmodpl1=d-k1t1modp.下面对ud进行一组类似的逻辑分割:

(3)

其中,w2=uv2.


gηgr(w2)k2t2=gηgr()t2

(4)

其中,η=λd-r′ modpl2=d-k2t2modp.

通过上述的逻辑分割,底数u已经由随机数对(v1,w1)和(v2,w2)实现了隐藏,指数d则由随机值l1,k1,t1l2,k2,t2来进行隐藏处理.

3) Compute((αj,βj)).用户User上传盲化后的数据对(rt,gt),(rt,gt),(l1,w1),(l2,w2),(k1,w1),(k2,w2),云服务器PCS计算的指数运算并将相应的计算结果σy={gr,gr,,,,}返回给用户User:

(5)

4) Verify((σy,s)).当收到云服务器PCS返回的计算结果σy后,用户User利用秘密值s(t1t2)来验证云服务器PCS返回计算结果的正确性,即验证

gβgr()t1=gηgr()t2

(6)

是否成立.如果式(6)不成立,说明云服务器PCS产生了错误的响应,用户User输出“error”;否则,用户User计算出最终的计算结果ud=gβgr()t1.

值得注意的是,为了进一步提高输入的安全性,逻辑分割中使用的随机盲化因子t1,t2通常至少选取64 b长度[8].

3安全分析

本节我们从正确性和安全性2个方面来对设计的幂指数外包方案GEXP进行分析和证明.由于篇幅限制,本文没有给出完整的幂指数外包计算安全定义与模型,具体请参阅文献[6].

3.1正确性

定理1. 基于单个不可信的服务器模型,算法(T,U)是方案GEXP的一个正确的实现,其中,输入(d,u)可能是诚实的、秘密的输入,或是诚实的、受保护的输入,或是恶意的、受保护的输入.

证明. 如果云服务器PCS是诚实的,用户User可以执行计算:

ud=gβgr()t1=gβgr(w1)k1t1=

(7)

ud=gηgr()t2=gηgr(w2)k2t2=

(8)

由式(7)和式(8)可知,只要云服务器是诚实可信的,那么式(6)就是成立的,用户也就可以正确计算出ud=gβgr()t1.

证毕.

3.2安全性

定理2. 基于单个不可信的服务器模型,算法(T,U)是方案GEXP的一个安全外包实现,其中输入(d,u)可能是诚实的、秘密的输入,或是诚实的、受保护的输入,或是恶意的、受保护的输入.

证明. 证明算法(T,U)是方案GEXP的一个安全外包实现,等价于证明EVIEWrealEVIEWidealUVIEWrealUVIEWideal.其中,EVIEW代表恶意环境E在算法(T,U)执行过程中可得知的内容;UVIEW代表敌对软件U′在算法(T,U)执行过程中可得知的内容.首先,我们证明EVIEWrealEVIEWideal:如果输入(d,u)不是诚实的、秘密的输入,恶意环境E总是能知道输入的信息.明显地,在这种情况下,模拟器S1的执行过程将与实际实验中的相同.因此,我们仅仅需要考虑输入是诚实的、秘密的情形.在理想的实验中,模拟器S1的执行过程如下:当接收了第i轮的输入后,S1以(αj,βj)的形式向敌对软件U′进行了6次随机询问;然后核对U′产生的6个输出.如果检测到了错误,S1保存所有的状态信息并输出“error”,∅,repi=1;如果所有的检测都通过,S1输出∅,∅,repi=1.另外,我们需要去进一步说明U′的输入分布在实际实验中和理想实验中是计算上不可区分的.在理想实验中,输入是随机地、均匀地选择的.在实际的实验中,可信实体T向不可信实体U所做的所有的查询都是按照独立地随机请求的方式进行的.如果在第iU′是诚实的,那么有因为TU在实际的环境中正确地执行了方案GEXP,以及S1模拟的输出结果与在理想实验中的结果完全相同,也就是repi=0;如果在第iU′是恶意的并返回了错误的计算结果,该错误将被TS1以100%概率检测出来并输出“error”.因而,即使U′是不诚实的,仍然有EVIEWirealEVIEWiideal.综合上述这2种情况,总是成立的.

证明UVIEWrealUVIEWideal.如果输入(d,u)不是诚实的秘密的输入、诚实的受保护的输入和恶意的受保护的输入情形时,U′总能获取到输入信息.显然,在这种情况下,模拟器S2的执行过程将与实际的实验中相同.因此,我们仅仅需要考虑输入是诚实地秘密的、诚实地受保护的和恶意地受保护的情形.在理想的实验环境中,模拟器S2的执行过程如下:当接收了第i轮的输入后,S2以(αj,βj)的形式向U′进行了6次随机询问;然后S2保存它自己的所有状态以及U′的状态.同上面证明EVIEWirealEVIEWiideal的过程类似,在实际实验中U′的输入和理想实验中由S2随机选择的输入是计算上不可区分的.尽管E能够区分出实际实验和理想实验这2种不同的情形,但是E却不会将这些信息传递给U′.因此,我们可以得到UVIEWrealUVIEWideal.综上所述,算法(T,U)是方案GEXP的一个安全外包实现.

证毕.

定理3. 基于单个不可信的服务器模型,算法(T,U)是方案GEXP的一个的安全外包实现.

证明. 1)使用平方乘数法计算1次群上的指数运算ud大约需要花费1.5n次乘法运算,其中nd的位长度.2)使用我们提出的算法计算相同的指数运算需要(10+1.5 lbt1+1.5 lbt2)次乘法运算,2次求逆运算.所以,算法(T,U)是方案GEXP的一个的安全外包实现.

当外包用户User收到服务器PCS返回的计算结果后,User能够通过验证

(9)

是否成立来判断服务器PCS是否产生了正确的响应.

如果等式不成立,表明PCS产生了错误的响应,User能够以100%的概率验证服务器返回的计算结果的正确性,因此算法GEXP的可验证概率为1.

证毕.

定理4.基于单个不可信的服务器模型,方案GEXP满足输入ud和输出ud的隐私性.

证明. 在用户User请求服务器PCS的过程中,敌手能够获取到与底数u相关的信息为w1w2,其中w1=uv1w2=uv2v1=gαv2=gλ.v1v2分别是子程序RandG产生的盲化随机对(形如(a,ga)随机、独立盲化对)中的一部分.底数u则由随机数v1v2实现了隐藏.此外,用户User请求服务器PCS是以一种随机的方式进行的(请求计算数据对的顺序是任意的).因此,敌手不能获取到底数u的信息.

在我们的外包方案中,指数d可以被拆分为d=l1+k1t1d=l2+k2t2.d由随机数t1t2实现了隐藏,其中t1t2长度通常至少是64 b.敌手通过猜测t1t2恢复出d的概率是可以忽略的.因此,敌手同样不能获取到指数d的信息.

敌手可以获取到用户User请求服务器的PCS的数据对,但是通过这些数据并不能直接计算出最终的结果ud,并且已经证明了敌手不能获取到底数u和指数d的信息,也就无法通过ud计算出ud.因此,敌手也不能获取输出ud的信息.

综上所述,方案GEXP满足输入ud和输出ud的隐私性.

证毕.

4性能分析

本节通过理论分析和实验模拟2方面对设计的幂指数运算外包方案GEXP的性能进行分析.

4.1理论分析

我们将本文提出的方案GEXP分别与陈晓峰等人[7]、Wang等人[8]和任艳丽等人[13]提出的代表性幂指数外包方案进行了对比分析,其中Multi-plications表示乘法运算,Inversions表示求逆运算,Invoke(Rand)表示调用Rand次数,Invoke(PCS)表示请求服务器次数.表1给出了方案效率和结果可验证概率的对比.

Table1ComparisonofExponentiationOutsourcingSchemes
表1指数安全外包方案对比

CategoryExpRef [7]Ref [13]Ref [8]GEXPSecurity ModelTwoServersTwoServersSingleServerSingleServerMultiplications71312+1.5lbx10+1.5 t1+1.5 lbt2Inversions3342Invoke(Rand)5665Invoke(PCS)6646Checkability2∕311∕21

从表1可以看出,与文献[7-8]相比,方案GEXP在外包计算结果的可验证概率上有了很大的提升.在方案GEXP中,外包用户能够以100%的概率检测出服务器的不端行为,完全避免被服务器欺骗.虽然文献[7,13]在Multiplications方面要比方案GEXP和文献[8]小,其中文献[13]的可验证概率也达到了100%.但是文献[7,13]都是基于双服务器模型,可能遭受共谋攻击.此外,文献[8]与方案GEXP的Multiplications在开销方面受xt1t2等变量的影响.随着xt1t2等变量值的增大,用户的计算开销也会随之增大(在4.2节实验中会进一步分析).但与此同时,方案的安全性也会相应提高(d=c+bxd=l1+k1t1d=l2+k2t2),因为此时敌手更难猜测出d.

4.2实验模拟

为了具体评估方案的性能,我们对本文提出的方案GEXP和文献[8]中的Exp方案进行了实验模拟.方案GEXP需要使用2台机器进行模拟,用户和服务器分别使用Intel Core i5 processors(1.20 GHz和2 GB内存)和Intel Core i5 processors(3.20 GHz和8 GB内存)进行模拟.使用的编程语言为Java语言.

图2给出了使用方案GEXP和直接计算群上的幂指数运算的时间开销对比.从图2中可以看出,方案GEXP的时间开销要远小于直接计算的时间开销,能够明显提升资源受限用户的计算处理能力.

Fig. 2 Simulation of time cost for two schemes
图2 2种方案的时间开销统计图

图3给出了在底数长度固定和指数长度变化时,方案GEXP和直接计算的时间开销对比.从图3中我们可以看出,不借助外包算法直接计算群上的指数运算时,其时间开销随着指数长度的增加呈现线性增长.当使用本文提出的外包计算方案GEXP时,时间开销会大幅度减小,并且时间开销基本上是固定的,不会随着指数长度的增加而增加.

Fig. 3 Time cost of ud(fixed base-variable exponent)
图3 ud的时间开销统计图(底数固定、指数可变)

为了进一步评估我们所提出方案的性能,我们与同是基于单服务器模型的文献[8]中的Exp方案进行了实验对比分析.图4给出了分别使用方案GEXP、文献[8]中的Exp方案以及直接计算群上的幂指数运算的时间开销对比.从图4可以看出,方案GEXP和文献[8]中Exp方案的时间开销要远小于直接计算的时间开销,方案GEXP的时间开销要比文献[8]中Exp方案的稍大一些.这是因为方案GEXP牺牲用户少量时间换取了验证概率的大幅提升.此外,从图4我们可以看出,随着参数xt1t2的增大,方案GEXP和文献[8]中Exp方案的用户计算开销随之增大,但与此同时,方案的安全性也会提高.

Fig. 4 Simulation for different schemes
图4 不同方案时间开销对比图

5

随着云计算的快速发展,企业用户和个人可以更经济、更方便地使用云端提供的数据服务,包括数据存储和数据共享等.但当用户将数据上传到云端后,他们失去了对数据的直接控制权,此时他们最关心的问题就是数据的完整性.可证明数据持有PDP是验证云端数据完整性的关键技术,该技术可以允许一个验证者去公开地验证用户存储在云端数据的完整性.但现有PDP方案中普遍需要涉及到群上的幂指数运算这一费时操作.

因此,我们使用所提出的方案GEXP去安全外包王博洋等人[25]提出的云端群组数据完整性验证方案Panda方案中的核心代理重签名HAPS.我们所提出的HAPS安全外包算法由6个子算法组成:

1) Initialize.令G1G2是2个p阶循环群,gG1的生成元,e:G1×G1G2是一个双线性映射,ωG1的另一个生成元.(e,p,G1,G2,g,ω,H)是系统的公开参数,其中函数H:{0,1}*G1.

2) KeyGen.给定系统的公开参数(e,p,G1,G2,g,ω,H),用户uA选择一个随机数a输出公钥pkA=ga,并保持私钥skA=a私有.

3) ReKey.代理按照如下的方式生成重签密钥rkAB

① 代理产生一个随机数r并将该随机数发送给用户uA

② 用户uA计算ra,并将计算后的结果发送给用户uB,其中skA=a

③ 用户uB计算rba,并将计算后的结果发送给代理,其中skA=b

④ 代理恢复重签密钥rkAB=ba

4) Sign.给定私钥skA=a、数据块mp以及数据块标识id,对于数据块m上的签名,用户uA调用函数FGEXP,获取并输出:

σ=FGEXP(a,H(id)FGEXP(m,ω))=
FGEXP(a,H(id)ωm)=(H(id)ωm)aG1.

(10)

5) Resign.给定重签密钥rkAB、公钥pkA、签名σ、数据块mp以及数据块标识id,代理核对如果验证结果为0,代理输出⊥;否则,代理调用函数FGEXP,获得并输出

σ′=σrkAB=FGEXP(ba,σ)=
(H(id)ωm)a·ba=(H(id)ωm)b.

(11)

6) Verify.给定公钥pkA、数据块m、数据块标识id以及签名σ,验证者调用函数FGEXP,获取ωm=FGEXP(m,ω).如果e(σ,g)=e(H(id)ωm,pkA)成立,验证者输出1,否则输出0.

6结束语

在本文中,基于单个不可信服务器模型,我们提出了一个新的群域上的幂指数运算安全外包方案GEXP,能够有效避免双服务器模型存在的共谋攻击问题.方案GEXP通过使用一种新的数学分割方法,用户可以将原始数据安全地分割成随机片的形式,从而保护了原始数据的隐私.与现有的方案相比,我们的方案GEXP在外包计算结果可验证概率上有了显著的提升,如果云服务器产生了任何不正确的响应,用户能够以100%的概率检测出错误.最后,针对云存储数据完整性保护方案中普遍涉及到大量群域上的幂指数运算问题,利用所提出的外包计算方案GEXP作为子程序实现了Panda方案的安全外包.

参考文献

[1] Zhang Yuqing, Wang Xiaofei, Liu Xuefeng, et al. Survey on cloud computing security[J]. Journal of Software, 2016, 27(6): 1328-1348 (in Chinese)

(张玉清, 王晓菲, 刘雪峰, 等. 云计算环境安全综述[J]. 软件学报, 2016, 27(6): 1328-1348)

[2]Jiang Han, Xu Qiuliang. Secure multiparty computation in cloud computing[J]. Journal of Computer Research and Development, 2016, 53(10): 2152-2162 (in Chinese)

(蒋瀚, 徐秋亮. 基于云计算服务的安全多方计算[J]. 计算机研究与发展, 2016, 53(10): 2152-2162)

[3]Yu Shui. Big privacy: Challenges and opportunities of privacy study in the age of big data[J]. IEEE Access, 2016, 4: 2751-2763

[4]Li Shuai, Huang Longxia, Fu Anmin, et al. CEXP: Secure and verifiable outsourcing of composite modular exponentia-tion with single untrusted server[J]. Digital Communica-tions and Networks, 2017, 3(4): 236-241

[5]Chaum D, Pedersen T P. Wallet databases with observers[C] //Proc of the 12th Int Cryptology Conf on Advances in Cryptology. Berlin: Springer, 1992: 89-105

[6]Hohenberger S, Lysyanskaya A. How to securely outsource cryptographic computations[G] //LNCS 3378: Proc of Int Conf on Theory of Cryptography. Berlin: Springer, 2005: 264-282

[7]Chen Xiaofeng, Li Jin, Ma Jianfeng, et al. New algorithms for secure outsourcing of modular exponentiation[J]. IEEE Transactions on Parallel and Distributed Systems, 2014, 25(9): 2386-2396

[8]Wang Yujie, Wu Qianhong, Wong D S, et al. Securely outsourcing exponentiations with single untrusted program for cloud storage[G] //LNCS 8712: Proc of Int Conf on European Symp on Research in Computer Security. Berlin: Springer, 2014: 326-343

[9]Van Dijk M, Clarke D, Gassend B, et al. Speeding up exponentiation using an untrusted computational resource[J]. Designs, Codes and Cryptography, 2006, 39(2): 253-273

[10]Nguyen P Q, Shparlinski I E, Stern J. Distribution of modular sums and the security of server aided exponentiation[C] //Proc of Workshop on Cryptography and Computational Number Theory (CCNT’99). Berlin: Springer, 2001: 331-342

[11]Hu Xing, Pei Dingyi, Tang Chunming, et al. Verifiable and secure outsourcing of matrix calculation and its application[J]. SCIENTIA SINICA Informationis, 2013, 43(7): 842-852 (in Chinese)

(胡杏, 裴定一, 唐春明, 等. 可验证安全外包矩阵计算及其应用[J]. 中国科学:信息科学, 2013, 43(7): 842-852)

[12]Ren Yanli, Ding Ning, Wang Tianyin, et al. New algorithms for verifiable outsourcing of bilinear pairings[J]. SCIENTIA SINICA Informationis, 2016, 46(7): 855-869 (in Chinese)

(任艳丽, 丁宁, 王天银, 等. 可完全验证的双线性对运算外包算法[J]. 中国科学: 信息科学, 2016, 46(7): 855-869)

[13]Ren Yanli, Ding Ning, Zhang Xinpeng, et al. Verifiable outsourcing algorithms for modular exponentiations with improved checkability[C] //Proc of the 11th ASIA CCS’16. New York: ACM, 2016: 293-303

[14]Zhang Weiwei, Feng Gui, Liu Jianyi, et al. A DRM scheme supporting attribute revocation and outsourced decryption in the cloud computing environment[J]. Journal of Computer Research and Development, 2015, 52(12): 2659-2668 (in Chinese)

(张维纬, 冯桂, 刘建毅, 等. 云计算环境下支持属性撤销的外包解密DRM方案[J]. 计算机研究与发展, 2015, 52(12): 2659-2668)

[15]Wang Boyang, Li Baochun, Li Hui, et al. Certificateless public auditing for data integrity in the cloud[C] //Proc of the 1st Int Conf on Communications and Network Security (CNS). Piscataway, NJ: IEEE, 2013: 136-144

[16]Zhang Jianhong, Dong Qiaocui. Efficient ID-based public auditing for the outsourced data in cloud storage[J]. Information Sciences, 2016, 343: 1-14

[17]He Debiao, Chen Jianhua, Zhang Rui. An efficient identity-based blind signature scheme without bilinear pairings[J]. Computers and Electrical Engineering, 2011, 37(4): 444-450

[18]Fu Anmin, Qin Ningyuan, Song Jianye, et al. Privacy-preserving public auditing for multiple managers shared data in the cloud[J]. Journal of Computer Research and Development, 2015, 52(10): 2353-2362 (in Chinese)

(付安民, 秦宁元, 宋建业, 等. 云端多管理者群组共享数据中具有隐私保护的公开审计方案[J]. 计算机研究与发展, 2015, 52(10): 2353-2362)

[19]Wang Yujue, Wu Qianhong, Qin Bo, et al. Identity-based data outsourcing with comprehensive auditing in clouds[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(4): 940-952

[20]Huang Longxia, Zhang Gongxuan,Fu Anmin. Privacy-preserving public auditing for non-manager group shared data[J]. Wireless Personal Communications, 2018, 100(4): 1277-1294

[21]Huang Longxia, Zhang Gongxuan, Fu Anmin. Privacy-preserving public auditing for dynamic group based on hierachical tree[J]. Journal of Computer Research and Development, 2016, 53(10): 2334-2342 (in Chinese)

(黄龙霞, 张功萱, 付安民. 基于层次树的动态群组隐私保护公开审计方案[J]. 计算机研究与发展, 2016, 53(10): 2334-2342)

[22]Li Yuhan, Fu Anmin, Yu Yan, et al. IPOR: An efficient IDA-based proof of retrievability scheme for cloud storage systems[C] //Proc of the ICC’17. Piscataway, NJ: IEEE, 2017: 1-6

[23]Kiraz M S, Uzunkol O. Efficient and verifiable algorithms for secure outsourcing of cryptographic computations[J]. International Journal of Information Security, 2016, 15(5): 519-537

[24]Fu Anmin, Yu Shui, Zhang Yuqing, et al. NPP: A new privacy-aware public auditing scheme for cloud data sharing with group users[J]. IEEE Transactions on Big Data, DOI: 10.1109/TBDATA.20

[25]Wang Boyang, Li Baochun, Li Hui. Panda: Public auditing for shared data with efficient user revocation in the cloud[J]. IEEE Transactions on Services Computing, 2015, 8(1): 92-106

SecureandVerifiableProtocolforOutsourcingGroupPowerExponenttoaSingleServer

Li Shuai1,2, Fu Anmin1,2, Su Mang1, Chen Zhenzhu1, and Sun Yinxia3

1(SchoolofComputerScienceandEngineering,NanjingUniversityofScienceandTechnology,Nanjing210094)2(GuizhouProvincialKeyLaboratoryofPublicBigData,GuizhouUniversity,Guiyang550025)3(SchoolofComputerScienceandTechnology,NanjingNormalUniversity,Nanjing210023)

AbstractWith the rapid development of cloud computing and the arrival of large data age, users are confronted with huge data and information to be processed which means massive amounts of difficult tasks. Consequently, how to securely outsource some time-consuming computing tasks to an untrusted public cloud server has aroused widespread concern. To realize the data privacy protection and the verifiability of calculation results in outsourcing computing, based on the single server model, this paper proposes a new privacy-preserving protocol for outsourcing power exponent on a group field, called GEXP(outsourcing power exponent on a group field). The scheme can prevent adversaries from getting any inputoutput data. Moreover, it effectively avoids the collusion attack in the dual server model. Compared with the existing schemes, GEXP can detect the wrong result returned by the cloud server with 100% probability, which ensures that the user can fully verify the result of outsourcing calculation. The formal security analysis and experiments indicate that our scheme is to protect privacy and highly efficient. In experiments, we compare our scheme with other state-of-the-art schemes to further demonstrate the superiorities in security and efficiency. In addition, in order to prove the practicality of our scheme, this paper gives the specific application of GEXP in cloud storage data integrity verification.

Keywordscloud computing; exponent calculation; outsourcing computation; verifiable computation; privacy-preserving

中图法分类号TP393

通信作者付安民(fam_0522@163.com)

基金项目国家自然科学基金项目(61572255,61502237,61702266);江苏省“六大人才高峰”高层次人才项目(XYDXXJS-032);江苏省自然科学基金项目(BK20150787);贵州省公共大数据重点实验室开放课题基金项目(2017BDKFJJ031);赛尔网络下一代互联网技术创新项目(NGII20170205)This work was supported by the National Natural Science Foundation of China (61572255, 61502237, 61702266), the Six Talent Peaks Project of Jiangsu Province (XYDXXJS-032), the Natural Science Foundation of Jiangsu Province of China (BK20150787), the Open Project Program of the Guizhou Provincial Key Laboratory of Public Big Data (2017BDKFJJ031), and the Cernet Next Generation Internet Technology Innovation Project (NGII20170205).

修回日期:2018-01-23

收稿日期2017-06-12;

LiShuai, born in 1992. Master. His main research interests include cloud computing security and outsourcing computation.

FuAnmin, born in 1981. Associate professor and PhD supervisor. Senior member of CCF. His main research interests include cryptography and privacy preserving.

SuMang, born in 1987. PhD and assistant professor. Member of CCF. Her main research interests include cloud computing security and access control.

ChenZhenzhu, born in 1993. PhD candidate. Her main research interests include cloud computing security and outsourcing computation.

SunYinxia, born in 1979. Associate professor. Her main research interests include public key cryptography and its applications.