适用于GlusterFS系统的多PKG广义签密方案.pdf

1、第 卷第期 年月兰州文理学院学报(自然科学版)J o u r n a l o fL a n z h o uU n i v e r s i t yo fA r t sa n dS c i e n c e(N a t u r a lS c i e n c e s)V o l N o J u l 收稿日期:基金项目:江苏省基金项目(S J Y B );徐州市基金项目(X S Z )作者简介:解则翠(),女,山东莒县人,讲师,硕士,研究方向为信息安全、云计算 E m a i l:x i e z e c u i c o m文章编号:()适用于G l u s t e r F S系统的多P KG广义签密方案

2、解则翠,陈红(江苏安全技术职业学院 网络与信息安全学院,江苏 徐州 )摘要:当前的G l u s t e r F S分布式存储系统中的文件共享方式由于信息机密性较低且不具备身份签名机制,因此提出利用多P K G广义签密方案生成的私钥不完全依赖于第三方,在完成G l u s t e r F S分布式存储系统中文件加密的同时还提供有效的签名,可以有效防止私钥泄露在解密过程中,客户端可以通过对应的私钥解密G l u s t e r F S分布式存储系统中的对应资源,获取相应的明文信息,而非集群中全部资源,可实现有效访问在本方案中,使用随机模型下的B DH假设证明了方案选取密文攻击的安全性,与基于身份

3、广义签密方案在分布式系统中的应用相比,具有更高的安全性关键词:广义签密;G l u s t e r F S;分布式文件系统;多P KG中图分类号:T P 文献标志码:AM u l t i p l eP K GG e n e r a l i z e dS i g n c r y p t i o nS c h e m e f o rG l u s t e r F SX I EZ e c u i,CHEN H o n g(S c h o o l o fN e t w o r ka n dI n f o r m a t i o nS e c u r i t y,J i a n g s uC o l l

4、 e g eo fS a f e t yT e c h n o l o g y,X u z h o u ,J i a n g s u,C h i n a)A b s t r a c t:T h e f i l e s h a r i n gm e t h o d i nt h e c u r r e n tG l u s t e r F Sd i s t r i b u t e ds t o r a g e s y s t e mh a s l o wi n f o r m a t i o nc o n f i d e n t i a l i t ya n dd o e sn o th a v

5、 et h ei d e n t i t ys i g n a t u r em e c h a n i s mT h e r e f o r e,t h ep r i v a t ek e yg e n e r a t e db y t h em u l t i P K Gg e n e r a l i z e ds i g n c r y p t i o ns c h e m e i sn o t c o m p l e t e l yd e p e n d e n to nt h e t h i r dp a r t y T h e f i l ee n c r y p t i o n

6、i nt h eG l u s t e r F Sd i s t r i b u t e ds t o r a g e s y s t e ma l s op r o v i d e sa ne f f e c t i v es i g n a t u r e,w h i c hc a ne f f e c t i v e l yp r e v e n tt h el e a k a g eo ft h ep r i v a t ek e y I n t h ed e c r y p t i o np r o c e s s,t h e c l i e n t c a nd e c r y p

7、 t t h e c o r r e s p o n d i n g r e s o u r c e s i n t h eG l u s t e r F Sd i s t r i b u t e ds t o r a g es y s t e mt h r o u g ht h ec o r r e s p o n d i n gp r i v a t ek e yt oo b t a i nt h ec o r r e s p o n d i n gp l a i n t e x t i n f o r m a t i o n,r a t h e r t h a na l l t h e

8、r e s o u r c e s i n t h e c l u s t e r,w h i c hc a na c h i e v ee f f e c t i v ea c c e s s I nt h i ss c h e m e,t h es e c u r i t yo f t h ec h o s e nc i p h e r t e x ta t t a c ki sp r o v e db yu s i n gt h eB DHa s s u m p t i o ni nt h er a n d o m m o d e l C o m p a r e dw i t ht h

9、ea p p l i c a t i o no f i d e n t i t y b a s e dg e n e r a l i z e ds i g n c r y p t i o ns c h e m e i nd i s t r i b u t e ds y s t e m s,i th a sh i g h e rs e c u r i t y K e yw o r d s:g e n e r a l i z e ds i g n c r y p t i o n;G l u s t e r F S;d i s t r i b u t e df i l es y s t e m;m

10、u l t i p l eP K G s随着云技术的不断发展以及云计算优势的日益显现,云存储被越来越多的用户接受由于云存储中的数据存储在云端,不再由用户个人完全控制,容易造成数据泄露,因此云存储中的数据安全也变得越来越重要分布式存储通过对数据审计进行验证,检验数据的完整性,提高安全性 但该类方案仅仅能够检验数据是否完整,并不能阻止数据的泄露,因此还需要一定的技术手段阻止数据被窃取签密技术,是指能在一个操作内同时完成加 密、认 证 两 项 功 能 的 密 码 体 制具 有P K G的广义签密是签密机制的一种,相比一般的签密方式拥有更广泛的适应性和更强安全性的密码机制,在实现机密、认证功能的同时还

11、能实现加密和签名双重特性;如果在要求认证性或机密性时,则不需要任何其他的修改和附加条件就可以单独实现签名或加密功能对于云存储的分布式解决方案,具有较好的适应性基于G l u s t e r F S的文件存储系统真实目的就是充分有效使用价格更为低廉、更为普通的数据存储软硬件和网络等资源,以实现具备超大规模、更高 安全性且具 有更强扩展 性的文件存 储系统由于G l u s t e r F S是无中心节点的分布式文件存储系统,每个节点既是管理端也是存储端,消除了单点故障但在当前的系统中,集群之内的文件共享方式依然使用明文方式,这就造成了很大的安全隐患,一旦某台服务器被攻击,将会造成整个集群的文件泄

12、露,这就要求G l u s t e r F S需要具有自适应的文件加密存储方案在本文提出的方案中,G l u s t e r F S分布式存储系统中的每个管理端使用相互独立有序的P K G(P r i v a t eK e yG e n e r a t o r,私钥生成机构)生成私钥,能够有效避免P K G伪造管理客户端的私钥,从而克服了基于身份单P K G密码学系统中存在的私钥信息托管漏洞,使私钥具有更高的保密性根据广义签密具有加密、签名和认证的功能特性,本文给出一个能够在G l u s t e r F S分布式文件存储系统中使用的广义签密方案案例,从而体现广义签密方案与普通签密方案相比所具

13、有的功能充分、使用灵活的优势1GlusterFS 分布式文件系统架构G l u s t e r F S分布式系统是具备强大横向拓展能力的分布式数据文件存储系统在G l u s t e r F S分布式集群中,用户及其企业都可摒弃之前的独立且高成本的存储系统,有效使用低廉的、普通的存储设备配置能进行集中管理且能实现横向扩展的虚拟化存储池在存储池中每个节点既提供存储也提供管理,有效避免了因某个节点失效造成的单点故障具有多P K G的G l u s t e r F S分布式文件系统中存储结构如图所示在图中,客户端通过T C P/I P协议访问存储池,存储池中每个节点提供存储的同时也由该存储池中的m个

14、P K G共同生成对应的密钥当客户端访问存储池中的资源时,通过对应B r i c k提供的密钥,解密对应资源并获取明文为实现限制性访问,每个客户端只具有自己资源的密钥,而非整个存储池的密钥通过后续的验证,该方案在G l u s t e r F S分布式存储系统中,其生成的密钥具有机密性、不可篡改性、前向安全性、公开验证性和不可否认性图G l u s t e r F S分布式文件系统存储结构2预备知识和本方案的形式化定义2 2.1 1预备知识本方案是基于双线性对函数提出的广义签密方案,本节介绍双线性对的主要知识及相关假设根据双线性签密方案的一般原理,设G与g、G与g分别对应循环加法集合和循环乘法

15、集合,且G、G具有相同的阶q;a、b是集合Zq中的元素假设G和G中的离散对数都是难解的问题,而双线性对函数则是指符合下列特性的映射函数e:GGG:()双线性对于所有的uG,vG,且a,bZq,具有e(ua,vb)e(u,v)a b;()不可退化性对任意P,QG,存在e(P,Q);()计算性即对所有符合的P,QG,存在一个有效的指数算法用于计算e(P,Q)本文所依据的基本假设定义如下:定义设G,G的阶是同为素数q的两个循环集合,e:GGG为一个双线性映射关系,若g为G的生成元,则G,G,e上的B DH(B i l i n e a rD i f f i e H e l l m a n)假设是:对于

16、任意数a,b,cZq,由g,a g,b g,c g计算第期解则翠等:适用于G l u s t e r F S系统的多P KG广义签密方案he(g,g)a b c定义设G,G的阶是同为素数q的两个循环集合,e:GGG为一个双线性映射关系,若g为G的生成元,则G,G,e上的D B DH(D e c i s i o n a l B i l i n e a r D i f f i e H e l l m a n)假设是:对于任意数a,b,cZq,由集合g,a g,b g,c g和随机数hG,判断等式he(g,g)a b c是否成立2 2.2 2G Gl lu us st te er rF FS S系统

17、的多P PK KG G广义签密方案形式化定义本文提出的方案和安全性证明所依据的形式化定义如下:定义在G l u s t e r F S系统的多P K G广义签密方案中包含个算法(S e t u p(),E x t r a c t(),S i g n c r y p t(),U n s i g n c r y p t():(s,p a r a m s)S e t u p(),该算法是由n个相互独立的有序私钥生成中心(P K G)完成,当输入一个安全性参数时,这n个私钥生成中心同时生成并输出一个主密钥s和一个系统性参数p a r a m s,各个私钥生成中心保管自己的主密钥si,但需要公开系统参数

18、p a r a m s;(SU)E x t r a c t(I DU)输入一个用户身份I DU和用户计算私钥SU;()S i g n c r y p t i o n(p a r a m s,m,I DB,SA),过密过程为输入参数p a r a m s、明文m以及客户端的身份I D B和服务器端的私钥SA,然后输出密文;mU n s i g n c r y p t i o n(,I DA,SA),解密过程为输入参数p a r a m s、密文以及服务器端身份I DA和客户端私钥SB,输出明文m或者解密失败的符号“”定义(正确性)对于任意的mM,(SA)E x t r a c t(I DA),(

19、SB)E x t r a c t(I DB)如果存在等 式m U n s i g n c r y p t(S i g n c r y p t(m,SA,I DB),则表明广义签密方案算法是正确的以下定义信息机密性和签名的不可伪造性定义在G l u s t e r F S系统中对于任意一个多项式时间,如果对手C在挑战D的游戏中能够以可忽略的优势取得游戏的胜利,则说明多P K G的广义签密方案在自适应选取分布式系统中的密文攻击中是语义安全的其游戏的询问攻击过程与文献 签密方案定义的过程相同在此,对手C胜利的概率定义为A d v(A)|Pu u/|定义在G l u s t e r F S系统中对于任

20、意一个多项式时间,对手C在挑战D的游戏中能够以可忽略的优势取得游戏的胜利,则说明多P K G广义签密方案能够在自适应选取分布式系统中的明文攻击中是语义安全的对手C的优势定义为他胜利的概率公开验证性是指当发送者A把签密文或签名文发送给接收者B时,B可以通过第三方验证A的签名是否为合法签名不可否认性是指A将签密文或签名文发送给B,B验证A的签名由于A签名的存在和正确性,因此A将不能否认他自己的签名前向安全性是指当A的私钥泄露时,即使敌手获得了A的私钥,敌手也不能通过A的私钥获得A以前发送过的签密文或密文的明文信息3GlusterFS 系统的多 PKG 广义签密方案基于上述形式化分析,本文使用多P

21、K G技术和会话加密技术设计一个在G l u s t e r F S分布式文件存储系统中私钥安全、加密文件具有前向安全的基于身份的广义签密方案,并验证方案的正确性3 3.1 1适 用于G Gl lu us st te er rF FS S系统的多P PK KG G广义签密方案本文提出的 方案是利用 多个相互独 立的P K G共同生成私钥,以解决传统基于身份广义签密方案的私钥托管问题,提高用户私钥的安全性在方案的执行过程中,通过计算会话密钥w值,保证方案所生成密文的前向安全性新方案的具体实现过程如下 系统参数设置G、G、e:GGG如同定义中所描述的相同,分别为循环加法集合、循环乘法集合和双线性映

22、射函数定义的个哈希函数H:,G,H:,Zp,H:GZq和H:G,n是安全的PKGi(i,n)随机选取的一组主密钥siZq(in),并计算Pp u bssisnPPKGi公开系统参数G,G,n,e,P,Pp u bi,H,H,H,H,通过安全渠道将si发送给G l u s t e r F S的客户端用户U 私钥生成阶段在G l u s t e r F S分布式文件系统中,确定客户端U的身份为I DU,客户端U通过多PKG i给定兰州文理学院学报(自然科学版)第 卷的数 据si计 算 自 己 的 私 钥 密 码 为SUssisnQU,而QUH(I DU)为该客户端的公钥同时,假设服务器端的身份为I

23、 DA,公钥为QA,私钥为SA;而 另外一个 客 户 端 的 身 份 为I D B,公钥为QB,私钥为SB同时给出有关广义签密所需要的一个函数定义,根据定义得到如下函数,其中I D代表用户的I D不存在f(I DU),如 果I DUI D,如 果I DUI D 广义签密、解签密阶段虽然签密、签名和加密操作输出的最终结果不同,但具有相同的执行过程,在此分别进行介绍首先是签密操作,执行过程如下:S i g n c r y p t:发送者A执行以下步骤:随机选取kZq;计算Rk P()Sk(H(m)Pp u bH(R)SAf(I DA)()计算we(Pp u b,QB)kf(I DB)()cH(w)

24、m()签密文为(c,R,S),A发送给接受者BU n s i g n c r y p t:当接受者B收到签密文时,执行以下操作:计算会话密钥we(R,SB)()恢复消息mcH(w)()如果等式e(R,S)e(P,Pp u b)H(m)e(Pp u b,QA)H(R)()成立,B接收这个消息,否则认为不合法其次是签名操作,执行过程如下:S i g n:发送者A执行如下步骤:随机选取kZq;计算Rk P,Sk(H(m)Pp u bH(R)SAf(I DA);计 算we(Pp u b,QB)kf(I D),cH(w)m;签名文为(R,S),A发送给要公开发送的对象V e r i f y:在G l u

25、 s t e r F S集群中,在向任一个服务器端的B r i c k收到签名文时,进行签名确认,验证等式()是否能够成立如果成立,客户端接收此签名文,否则就认为签名文是不合法的最后是加密操作,执行过程如下:E n c r y p t:匿名服务器端执行如下步骤:随机选取kZq;计算Rk P,Sk(H(m)Pp u bH(R)SAf(I D);计 算we(Pp u b,QB)kf(I DB),cH(w)m密文为(c,R),服务器端将密文发送给BD e c r y p t:当客户端B收到密文时,进行如下的解密操作:计算会话密钥we(R,SB);恢复消息mcH(w)3 3.2 2正确性分析()当I

26、DAI D,I DBI D时,方案为签密操作,此时要证明方案的操作为正确操作,只需 要 证 明U n s i g n c r y p t(S i g n c r y p t(m,SA,QB),SB,QA)m,通过文献 和文献 可知,签密操作是正确的()当I DAI D,I DBI D时,方案为签名操作,即f(I DB)f(I D),此时要证明方案的签名操作为正确操作,只需要证明认证过程中的等式()是否成立如果签名合法,可知等式()成立,签名操作是正确的()当I DAI D,I DBI D时,方案为加密操作,即f(I DA)f(I D),此时要证明方案的加密操作为正确操作,只需要证明以下等式成立

27、U n s i g n c r y p t(S i g n c r y p t(m,QB),SB)m证明过程如下:U n s i g n c r y p t(E n c r y p t(m,QB),SB)U n s i g n c r y p t(,SB)U n s i g n c r y p t(c,R),SB)由we(R,SB),可知mcH(w),故等式U n s i g n c r y p t(s i g n c r y p t(m,QB),SB)m成立,加密操作是正确的4适用于 GlusterFS 系统的多 PKG广义签密方案安全性分析G l u s t e r F S系统的多P K

28、G广义签密方案使用随机模型证明加密操作所生成密文具有前向安全性和信息机密性,以及G l u s t e r F S集群系统所第期解则翠等:适用于G l u s t e r F S系统的多P KG广义签密方案生成的签名具有不可否认性和不可篡改性4 4.1 1加密操作生成密文的安全性分析()信息机密性分析在执行加密操作时,本方案可以认为是一个独立的加密方案为验证加密操作生成密文的信息机密性,则需要验证可选取密文的不可区分性定理在G l u s t e r F S集群的随机模型中,如果存在一个多项式时间对手A能够在有限的时间t内,最多能对Hi(其中i,)进行有限次的qi次询问,对S i g n c

29、r y p t i o n进行有限次的qs次询问,对U n s i g n c r y p t进行有限次的qu次询问,以的概率取得定义中游戏的胜利;若存在一个区分者B,可以在有限的时间t t(qsqu)te内,以/(qq)的概率处理B DH问题,其中te表示计算一次双线性对运算所需要的时间证明在G l u s t e r F S分布式文件系统中,加密操作中不需要对H、H进行询问区分者B接收一个随机B DH假设的实例(P,P,P,P)(P,a P,b P,c P),其目的就是进行指数运算e(P,P)a b cA成为B的子程序,在游戏中B扮演A的挑战者B首先将系统参数传递给A,其中Pp u bc

30、P(其中,B并不知道主密钥c)B维护L、L、Ls,Lu张列表,这些列表开始时为空,L、L分别用于跟踪A对哈希函数H、H的询问,LE用于模拟加密预言机,Ld用于模拟解密预言机H询问:B随机从,q 中选取一个数ib,如果A不做重复性的有限次询问,对于A的第i次H询问,如果iib,则回复H(I DU)b P并且设置为I DbI DU;否则随机从集合Zq中选取随机数x,使等式QUx P和SUx Pp u b成立,将得到的(I DU,QU,SU,x)添 加到L,回复H(I DU)QUH询问:如果得到的(w,h)在表L中,则返回h;否则随机从,n中选取h,并将选取的(w,h)添加到L中,返回hE x t

31、r a c t询问:如果A在执行本次操作之前就已经执行过H的询问,且I DUI Db,则停止当前的操作;否则在表L中,查找身份I DU对应的数据(I DU,QU,SU,x),并且返回结果SUE n c r y p t询 问:如 果A对 身 份I D和 身 份I D在执行该步骤之前前就已经执行过H询问了,则分如下两种情况介绍I DI Db在表L中查找数据(I D,Q,S,x),从Zq中选取 随 机 数k,并 使 等 式Rk P、QH(I D)、we(Pp u b,Q)k、cH(w)m成立,当然,H(w)可以从H的询问中获得返回(c,R)I DI Db从Zq中选取随机数k,并使等式Rk P成立,在

32、表L中查找到数据(I D,Q,S,x),使等式we(Pp u b,Q)k、cH(w)m成立,当然,H(w)可以从H的询问中获得返回(c,R)D e c r y p t询问(c,R):假设A对I D执行D e c r y p t询问前已经执行过H询问了,分两种情况介绍:I DI Db在表L中查找到数据(I D,Q,S,x),并使等式we(R,S)成立,如果wL,则说明解密失败并返回失败符号“”;否则计算mcH(w)I DI Db按照下列的操作过程分别找出表L中的所有数据对(w,h):如果存在关系I DI Db,则移到表L中的下一个数据并重新开始运算,直到得到mcH(w)如果执行完表L中所有的数据

33、都还是没有返回正确的消息,则返回解密失败的标记“”完成对多项式的有限次上述询问后,A将会输出两个具有希望挑战的身份I DA,I DB 和两个文件的信息段m,m,如果存在不等式I DBI Db,则B停止模拟;否则查找h的值,使等式Ra P,wh成立,其中h是B DH假设的候选答案,最终使等式cmuH(w)成立,并发送挑战密文(c,R)给AA经过第二轮的询问,这些询问同第一轮的相同当模拟结束时,A将会对u 作为对u的猜测并进行输出,如果等式u u,C则输出等式he(R,SB)e(P,P)a b c作为B DH假设问题的答案;否则B没有解决B DH假设问题下面预测B成功的概率如果A在第一阶段就对身份

34、为I Db的客户端进行E x t r a c t询问,那么B将失败,身份为I Db客户端的选法有Cqq种,在q种身份中,至少有一个身份没执行兰州文理学院学报(自然科学版)第 卷E x t r a c t询问,所以,A不对I Db执行E x t r a c t询问的概率大于/q除此之外,A选择身份为I Db的客户端进行挑战的概率为/q在第二阶段,假如A对关系we(P,P)a b c执行了H询问,则B将 会 失 败;同 理,如 果A不 对we(P,P)a b c进行H询问的概率大于/q,因此,B解决B DH问题的概率至少是:/(qq)在对B的运算时间上,每次E n c r y p t询问最多需要次

35、双线性对运算,每次D e c r y p t询问最多也需要次对运算()前向安全性分析由于本文所提出的是一个多P K G方案,私钥是用户通过自己计算得到如果某个PKGi泄露了用户第i个主密钥,敌手也不可能通过PK G i获取用户的私钥除非所有的P K G进行共谋攻击用户(几率很小,因为P K G之间是相互独立的)即使在G l u s t e r F S分布式文件存储系统中,客户端的私钥文件意外被第三方获知,第三方也将不会运算会话密钥we(R,SB),所以通过本方案加密操作产生的密文文件具有前向安全性4 4.2 2签名操作生成签名的安全性分析()不可伪造性分析在G l u s t e r F S系

36、统中多P K G广义签密能在适应性文件选取攻击下抵抗签名的伪造,假设一个对手可以伪造本系统中的签名,那么对手也可以伪造P a t e r s o n所提方案的签名 实践证明,由于P a t e r s o n所提方案的签名在适应性选取消息攻击下可抵抗存在性伪造,因此本系统的签名操作也同样可抵抗存在性伪造()公开认证性分析在签名验证中,以明文m的形式向第三方公开,在客户端需要对信息进行公开验证时,只需要提供签名(m,R,S)给第三方验证者如果验证者检验等式()成立,即可通知接收方该签名是合法的()不可否认性分析当签名操作的签名不可伪造时,也就表明签名者否认他所签名的信息是不可能的5结论由于当前的

37、G l u s t e F S分布式存储系统中的文件共享依然使用明文方式,造成了很大的安全隐患,一旦某台服务器或客户端被攻击,将会造成整个集群的文件泄露,这就要求G l u s t e r F S需要具有自适应的文件加密存储方案本方案是在G l u s t e r F S分布式文件存储系统中应用的基于身份的多P K G广义签密方案,所生成的密文具有前向安全性、信息机密性、签名不可否认性和不可伪造性在私钥生成方面,实现了以多P K G方式生成私钥,解决了传统基于身份密码学方案中的私钥托管问题;在签密算法方面,虽然所提方案具有加密和签名功能,但并没有降低签密效率广义签密能够实现在G l u s t

38、 e r F S分布式文件存储系统中满足在不增加额外开销的情况下提供签密、签名和加密的特殊功能参考文献:谭霜,贾焰,韩伟红云存储中的数据完整性证明研究及进展J计算机学报,():张富成,付邵静,夏竟,等基于G l u s t e r F S的分布式数据完整性验证系统J信息网络安全,()刘镇,吴立强,韩益亮,等一种基于环上LWE的广义签密方案J电子学报,():陈伟东,冯登国签密方案在分布式协议中的应用J计算机学报,():沈洪敏 周功建基于决策树模型的分布式存储数据纠删码修复J计算机仿真,():李立基于G l u s t e r F S的分级云存储系统设计与实现D长沙:国防科技大学,余昭平,康斌基于

39、H e s s签名的公开可验证签密方案J计算机工程,():周才学标准模型下基于身份的广义代理签密J密码学报,():冯朝胜,秦志光,袁丁云数据安全存储技术J计算机学报,():洪澄,张敏,冯登国面向云存储的高效动态密文访问控制方法J通信学报,():牛淑芬,牛灵,王彩芬,等标准模型下可证明安全的无证书广义签密J通信学报,():K E NN E TH G P A T E R S ON I D B a s e ds i g n a t u r e sf r o mp a i r i n g so ne l l i p t i cc u r v e sJ E l e c t r o n i c sL e t t e r s,():王诗卉云存储中支持验证的可搜索加密技术研究D南京:东南大学,责任编辑:李岚第期解则翠等:适用于G l u s t e r F S系统的多P KG广义签密方案