一種新的滿(mǎn)足隱私性的云存儲(chǔ)公共審計(jì)方案*

王少輝，陳丹偉，王志偉，常素琴

（1.南京郵電大學(xué)計(jì)算機(jī)學(xué)院 南京 210003；2.江蘇省無(wú)線(xiàn)傳感網(wǎng)高技術(shù)研究重點(diǎn)實(shí)驗(yàn)室 南京210003；3.網(wǎng)絡(luò)與數(shù)據(jù)安全四川省重點(diǎn)實(shí)驗(yàn)室 成都 610054）

1 引言

近年來(lái)，云計(jì)算越來(lái)越受到學(xué)術(shù)界和產(chǎn)業(yè)界的關(guān)注。云計(jì)算利用互聯(lián)網(wǎng)平臺(tái)為用戶(hù)提供分布式、可靠、高可用、低成本按需付費(fèi)、強(qiáng)大的計(jì)算能力以及無(wú)限存儲(chǔ)、數(shù)據(jù)、信息、知識(shí)和協(xié)作的可能，使人類(lèi)信息技術(shù)達(dá)到無(wú)時(shí)無(wú)處不在的可用性和服務(wù)能力。作為云計(jì)算重要應(yīng)用業(yè)務(wù)之一的云存儲(chǔ)是從云計(jì)算概念衍生和發(fā)展起來(lái)的一種數(shù)據(jù)外包存儲(chǔ)服務(wù)技術(shù)，其依靠低成本、易于使用的接口和高可擴(kuò)展性的商業(yè)優(yōu)勢(shì)得到了業(yè)內(nèi)的廣泛關(guān)注。

云存儲(chǔ)具備物美價(jià)廉的優(yōu)點(diǎn)，企業(yè)通過(guò)使用云存儲(chǔ)可以降低存儲(chǔ)數(shù)據(jù)的成本，用戶(hù)不必考慮存儲(chǔ)管理、數(shù)據(jù)備份、容災(zāi)的問(wèn)題，只要在需要的時(shí)候訪(fǎng)問(wèn)云存儲(chǔ)即可，省去了管理維護(hù)的工作量和成本。然而，云存儲(chǔ)的安全性、可靠性及服務(wù)水平等還存在眾多問(wèn)題亟待解決，所以在使用便利的同時(shí)，也引起了用戶(hù)對(duì)安全性的擔(dān)憂(yōu)，目前仍未得到廣泛認(rèn)可與使用。數(shù)據(jù)存放在云存儲(chǔ)中，用戶(hù)最關(guān)心的問(wèn)題之一是數(shù)據(jù)的完整性。存儲(chǔ)服務(wù)商可以有效地對(duì)用戶(hù)提供數(shù)據(jù)完整性驗(yàn)證，并不斷提高服務(wù)水平，云存儲(chǔ)將獲得廣泛的應(yīng)用。

用戶(hù)在物理上已經(jīng)不再擁有這些外包存儲(chǔ)的數(shù)據(jù)，所以傳統(tǒng)的用于數(shù)據(jù)完整性檢測(cè)的密碼學(xué)方法并不能很好地解決云存儲(chǔ)中的數(shù)據(jù)完整性檢測(cè)問(wèn)題。數(shù)據(jù)完整性檢測(cè)最直接簡(jiǎn)單的方法是利用散列函數(shù)。用戶(hù)可以保存外包數(shù)據(jù)F的散列值Hash(F)，當(dāng)需要驗(yàn)證數(shù)據(jù)的完整性時(shí)，云存儲(chǔ)服務(wù)提供者將完整的數(shù)據(jù)F′發(fā)送給用戶(hù)，用戶(hù)驗(yàn)證散列值Hash(F′)是否和保存的散列值Hash(F)相等。這個(gè)方法由于昂貴的網(wǎng)絡(luò)I/O和傳輸?shù)馁M(fèi)用代價(jià)，在實(shí)際中并不可行。

為了解決云存儲(chǔ)中遠(yuǎn)程數(shù)據(jù)的完整性檢測(cè)問(wèn)題，依據(jù)不同的應(yīng)用場(chǎng)景和應(yīng)用需求，提出了眾多的研究方案[1～16]。目前的研究工作主要集中在可證明數(shù)據(jù)持有（provabledata possession，PDP）方案和可恢復(fù)證明（proofs of retrievability，PoR）方案。PDP和PoR方案的主要區(qū)別是：PDP方案可檢測(cè)存儲(chǔ)數(shù)據(jù)是否完整，但無(wú)法確保數(shù)據(jù)的可恢復(fù)性；PoR方案可以保證存儲(chǔ)數(shù)據(jù)的可恢復(fù)性。

Ateniese等[2,3]基于RSA算法的同態(tài)性提出了PDP方案，以審計(jì)存儲(chǔ)數(shù)據(jù)的完整性。但是該方案必須預(yù)先設(shè)定好審計(jì)的次數(shù)并且不支持公共審計(jì)。所謂公共審計(jì)是指允許除數(shù)據(jù)擁有者之外的第三方來(lái)驗(yàn)證遠(yuǎn)程存儲(chǔ)數(shù)據(jù)的完整性。Juels利用“哨兵”，并使用糾錯(cuò)碼編碼這一工具提出了PoR方案[4]。PoR方案是典型的挑戰(zhàn)—應(yīng)答式協(xié)議，可以使云存儲(chǔ)服務(wù)提供者向用戶(hù)證明一個(gè)文件是可恢復(fù)的，不會(huì)有任何的數(shù)據(jù)丟失和破壞。Erway等[5]基于跳躍表（skip list）研究了在存儲(chǔ)數(shù)據(jù)動(dòng)態(tài)變化的情況下云存儲(chǔ)安全審計(jì)的問(wèn)題，其運(yùn)行效率還存在一定的爭(zhēng)議。同時(shí)，Wang等[6]提出了公共檢測(cè)的一個(gè)動(dòng)態(tài)模型框架。

到目前為止，多數(shù)的審計(jì)方案[2～4,7]并沒(méi)有考慮審計(jì)過(guò)程中用戶(hù)數(shù)據(jù)的隱私性問(wèn)題。通常在審計(jì)過(guò)程中，云服務(wù)提供者會(huì)將用戶(hù)數(shù)據(jù)直接發(fā)送給審計(jì)者，從而將存儲(chǔ)的數(shù)據(jù)內(nèi)容泄密。從保護(hù)用戶(hù)數(shù)據(jù)隱私性的角度來(lái)看，這很大程度上影響了這些審計(jì)方案在云計(jì)算平臺(tái)的安全性[8]。Wang等[9]基于Shacham和Waters的方案[10]提出了一個(gè)滿(mǎn)足隱私性的云存儲(chǔ)公共審計(jì)方案。為了提高方案的隱私安全需求，參考文獻(xiàn)[9]中方案的效率要明顯低于參考文獻(xiàn)[10]中的方案。

本文對(duì)保持隱私性的云存儲(chǔ)公共審計(jì)方案進(jìn)行了研究，給出了一個(gè)密碼學(xué)原語(yǔ)的新設(shè)計(jì)——可聚合基于簽名的廣播加密 （aggregatable signature-based broadcast，ASBB）方案[17]。利用ASBB方案的同聚合性質(zhì)，提出了一個(gè)高效的、滿(mǎn)足隱私性要求的云存儲(chǔ)公共審計(jì)方案。新方案采用挑戰(zhàn)—應(yīng)答的方式，屬于PDP方案，其計(jì)算開(kāi)銷(xiāo)要優(yōu)于參考文獻(xiàn)[9]中的方案。

2 基礎(chǔ)知識(shí)

本節(jié)給出本文所用的基礎(chǔ)知識(shí)的相關(guān)概念，主要包括雙線(xiàn)性映射、計(jì)算困難性問(wèn)題和ASBB方案。

2.1 雙線(xiàn)性映射和計(jì)算困難性問(wèn)題

設(shè)G和GT分別是階為大素?cái)?shù)p的乘法循環(huán)群，g是G群的生成元。假設(shè)離散對(duì)數(shù)問(wèn)題在群G和GT中都是難解的。

定義1如果滿(mǎn)足下列3個(gè)條件，則稱(chēng)映射e:G×G→GT為一個(gè)雙線(xiàn)性對(duì)映射。

·雙線(xiàn)性：對(duì)于任意u,v∈G和a,b∈Zp，滿(mǎn)足e(ua,vb)=e(u,v)ab。

·非退化性：e(g,g)≠1。

·可計(jì)算性：對(duì)于任意u,v∈G，存在有效的算法計(jì)算e(u,v)。

新方案用到的困難性問(wèn)題假設(shè)主要包括計(jì)算Diffie-Hellman(CDH)假設(shè)、判斷雙線(xiàn)性Diffie-Hellman(DBDH)假設(shè)、雙線(xiàn)性對(duì)假設(shè)和雙線(xiàn)性Diffie-Hellman假設(shè)。

·計(jì)算Diffie-Hellman假設(shè)：給定三元組(g,ga,gb)，其中a,b∈未知，gab在計(jì)算上是困難的。

·判斷雙線(xiàn)性Diffie-Hellman假設(shè)：給定四元組(g,ga,gb,gc)和任意 Z∈GT，其中 a,b,c∈未知，區(qū)分 T=e(g,e)abc和Z在計(jì)算上是困難的。

·雙線(xiàn)性對(duì)假設(shè)：給定群G和生成元g，由T=e(X,g)∈GT計(jì)算X∈G是困難的。

·雙線(xiàn)性Diffie-Hellman假設(shè)：給定三元組(g,ga,gb)，其中a,b∈未知，對(duì)于任意的 h≠g∈G，e(h,gab)在計(jì)算上困難的。

2.2 可聚合基于簽名的廣播加密方案

在ASBB方案[17]中，用戶(hù)的公鑰可同時(shí)用來(lái)驗(yàn)證簽名的合法性和加密消息，并且任意合法的簽名可以用來(lái)解密該公鑰加密的密文。一個(gè)ASBB方案通常包含如下6個(gè)多項(xiàng)式時(shí)間算法。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，輸出系統(tǒng)的公共參數(shù)π。

·KeyGen算法(π)：輸入?yún)?shù) π，輸出用戶(hù)的公鑰/私鑰對(duì)(pk,sk)。

·Sign算法(pk,sk,s)：對(duì)于消息 s，利用公鑰/私鑰對(duì)(pk,sk)，Sign算法輸出簽名σ。

·Verify算法(pk,s,σ)：對(duì)于公鑰 pk和消息 s以及對(duì)應(yīng)的簽名σ，Verify算法輸出1（如果σ是消息s的合法簽名）；否則算法輸出0。

·Encrypt算法(pk,m)：輸入公鑰pk和明文m，Encrypt算法輸出相應(yīng)的密文c。

·Decrypt算法(pk,s,σ,c)：利用公鑰pk和任意合法的簽名對(duì)(s,σ)，對(duì)密文c解密得到相應(yīng)的明文m。

[17]提出的ASBB方案的重要之處在于，它具有密鑰同態(tài)性，這意味著給定同一消息在兩個(gè)不同私鑰下的簽名，可以有效地生成該消息在新的私鑰下的簽名，而新的私鑰由最初的兩個(gè)私鑰生成。在參考文獻(xiàn)[17]中，Wu等提出了一個(gè)高效的基于雙線(xiàn)性映射的ASBB方案，該方案簡(jiǎn)介如下。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，G 和 GT是階為大素?cái)?shù)p的乘法循環(huán)群，g是群G的生成元，H:{0,1}*→G是安全散列函數(shù)，e:G×G→GT是雙線(xiàn)性映射，方案的公共參數(shù)為(g,H,p,G,GT,e)。

·KeyGen 算法：隨機(jī)選擇 r∈X∈G{1}，計(jì)算 R=g-r、A=e(X,g)。方案的公鑰和私鑰分別為pk=(R,A)、sk=(r,X)。

·Sign算法：對(duì)于任意消息s∈{0,1}*，其相應(yīng)的簽名為 σ=XH(s)r。

·Verify算法：給定消息簽名對(duì)(s,σ)，驗(yàn)證者驗(yàn)證方程e(σ,g)e(H(s),R)=A是否成立。如果方程成立，則輸出1，說(shuō)明σ是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對(duì)于明文 m∈GT，隨機(jī)選擇 t∈，并計(jì)算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息/簽名對(duì)的人都可利用 m=c3/(e(σ,c1)e(H(s),c2))解密得到明文。

ASBB方案的安全性包括對(duì)Sign算法的選擇、消息攻擊下的不可偽造性和針對(duì)Encrypt算法的抗適應(yīng)性選擇密文攻擊。

3 保持隱私性的云存儲(chǔ)公共審計(jì)方案

本節(jié)給出了云存儲(chǔ)公共審計(jì)方案和方案所要滿(mǎn)足的安全需求（包括完備性、健壯性和隱私性）的定義。

本文采用與參考文獻(xiàn)[9]一樣的云存儲(chǔ)系統(tǒng)架構(gòu)，如圖1所示。云存儲(chǔ)服務(wù)涉及3個(gè)不同的實(shí)體：云用戶(hù)將自身的數(shù)據(jù)文件遠(yuǎn)程存儲(chǔ)在提供存儲(chǔ)服務(wù)的云平臺(tái)上；云服務(wù)器（cloud server，CS）提供云存儲(chǔ)服務(wù)，并由云服務(wù)供應(yīng)商進(jìn)行管理和維護(hù)；第三方審計(jì)者（third party auditor，TPA）代表用戶(hù)對(duì)云服務(wù)器存儲(chǔ)服務(wù)的可靠性進(jìn)行評(píng)估，即檢測(cè)用戶(hù)存儲(chǔ)的數(shù)據(jù)文件是否丟失或被破壞。

定義2（云存儲(chǔ)公共審計(jì)方案）保持隱私性的云存儲(chǔ)公共審計(jì)方案通常由Keygen、Gentag和Audit 3個(gè)多項(xiàng)式時(shí)間算法構(gòu)成。

·Keygen算法：輸入安全參數(shù)λ，該算法生成方案的公共參數(shù)和云用戶(hù)的公鑰/私鑰對(duì)(pk,sk)。

·Gentag算法：以用戶(hù)私鑰sk和數(shù)據(jù)文件F∈{0,1}*作為輸入，該算法生成文件的認(rèn)證標(biāo)識(shí)t，文件和認(rèn)證標(biāo)識(shí)將同時(shí)保存在CS中。標(biāo)識(shí)中通常會(huì)包含存儲(chǔ)數(shù)據(jù)的相關(guān)信息和利用私鑰sk生成的額外的私有驗(yàn)證信息。

·Audit算法：公共審計(jì)算法通過(guò)TPA和CS之間的交互協(xié)議（TPA(pk)圮CS(pk,F,t)）來(lái)完成。協(xié)議執(zhí)行時(shí)，TPA作為驗(yàn)證方，首先以公鑰pk和Gentag算法輸出的文件描述信息t作為輸入，生成審計(jì)挑戰(zhàn)信息發(fā)送給CS；而CS作為證明方，將存儲(chǔ)的數(shù)據(jù)信息和保存的認(rèn)證標(biāo)識(shí)作為輸入生成并回送TPA應(yīng)答消息；協(xié)議的最終，如果TPA驗(yàn)證CS存儲(chǔ)的文件保存完好沒(méi)有變更，則TPA輸出1，否則將輸出0。

通常，假設(shè)TPA被用戶(hù)所信任，其公共審計(jì)業(yè)務(wù)是可靠的，而存儲(chǔ)數(shù)據(jù)的完整性威脅主要來(lái)源于CS和惡意的外部敵手。CS可能會(huì)由于自身或者外在的原因造成存儲(chǔ)數(shù)據(jù)的破壞或丟失，而其又會(huì)在審計(jì)中欺騙TPA存儲(chǔ)數(shù)據(jù)保持完整。保持隱私性云存儲(chǔ)公共審計(jì)方案應(yīng)滿(mǎn)足完備性、健壯性和隱私性等安全需求。簡(jiǎn)單地說(shuō)，完備性是指對(duì)于合法的CS和TPA，其審計(jì)結(jié)果應(yīng)總是1；而健壯性指對(duì)于擁有更改數(shù)據(jù)的CS，其不可能通過(guò)Audit算法的交互獲得TPA的驗(yàn)證確認(rèn)；而隱私性指攻擊者不能采用被動(dòng)或者主動(dòng)的攻擊方式從審計(jì)方案中獲知用戶(hù)存儲(chǔ)的數(shù)據(jù)內(nèi)容。

定義3（完備性）云存儲(chǔ)公共審計(jì)方案的完備性要求對(duì)任意由Keygen算法輸出的公鑰/私鑰對(duì)(pk,sk)、任意數(shù)據(jù)文件F∈{0,1}*和由Gentag算法生成的認(rèn)證標(biāo)識(shí)t，TPA和CS通過(guò)審計(jì)算法交互后的輸出總是1，即 pr(Audit(TPA(pk)圮CS(pk,F,t)=1)=1。

定義4（健壯性）下面利用參考文獻(xiàn)[10]的方法給出健壯性定義，該定義通過(guò)攻擊者A與挑戰(zhàn)者B所參與的如下Game定義。

挑戰(zhàn)者B運(yùn)行Keygen(1λ)算法生成公鑰/私鑰對(duì) (pk,sk)，將公鑰pk發(fā)送給敵手A；敵手A可以與挑戰(zhàn)者B進(jìn)行交互，訪(fǎng)問(wèn)如下預(yù)言機(jī)：A可以訪(fǎng)問(wèn)Gentag預(yù)言機(jī)，對(duì)于每一次訪(fǎng)問(wèn)，挑戰(zhàn)者B選擇數(shù)據(jù)信息M，并計(jì)算t←Gentag(sk,M)生成相應(yīng)的認(rèn)證標(biāo)識(shí)，文件M和相應(yīng)的標(biāo)識(shí)t都將發(fā)送給敵手A。同時(shí)，A也可以訪(fǎng)問(wèn)Audit預(yù)言機(jī)與B進(jìn)行交互，在交互過(guò)程中，敵手A扮演證明者CS的角色，而挑戰(zhàn)者B扮演驗(yàn)證者TPA的角色。最終，敵手A輸出消息M1發(fā)送給挑戰(zhàn)者，由挑戰(zhàn)者生成認(rèn)證標(biāo)識(shí)t；然后敵手A將消息修改為M*≠M(fèi)1，并與挑戰(zhàn)者B進(jìn)行Audit算法的交互B(pk,sk)圮A(pk,M*,t)。

如果如下概率是可以忽略的，則稱(chēng)云存儲(chǔ)公共審計(jì)方案是健壯的：定義5（隱私性）通過(guò)攻擊者A和挑戰(zhàn)者B參與的如下Game定義隱私性。

挑戰(zhàn)者B運(yùn)行Keygen(1λ)算法生成公鑰/私鑰對(duì)(pk,sk)，并將pk發(fā)送給敵手A；敵手A可以向挑戰(zhàn)者B詢(xún)問(wèn)Gentag預(yù)言機(jī)，對(duì)于每一次訪(fǎng)問(wèn)，挑戰(zhàn)者B選擇數(shù)據(jù)信息M，并計(jì)算t←Gentag(sk,M)生成相應(yīng)的認(rèn)證標(biāo)識(shí)，文件M和相應(yīng)的標(biāo)識(shí)t都將發(fā)送給敵手A。最終，挑戰(zhàn)者B選擇數(shù)據(jù)M1，并計(jì)算相應(yīng)的認(rèn)證標(biāo)識(shí)t←Gentag(sk,M1)，攻擊者A和挑戰(zhàn)者B進(jìn)行Audit交互，在此交互中，敵手A扮演TPA的角色，而挑戰(zhàn)者B則扮演CS的角色；最后敵手A輸出數(shù)據(jù)文件M*。

假設(shè)消息M1具有大的信息熵，則稱(chēng)云存儲(chǔ)公共審計(jì)方案滿(mǎn)足隱私性，如果通過(guò)上述的Game，概率pr(M*←A(pk):M1=M*)是可以忽略的。

4 本文提出的方案

本節(jié)設(shè)計(jì)了一個(gè)新的高效ASBB方案，并基于該方案設(shè)計(jì)了滿(mǎn)足隱私性的云存儲(chǔ)公共審計(jì)方案。

4.1 新的ASBB方案設(shè)計(jì)

新提出的ASBB方案的效率和參考文獻(xiàn)[17]中方案的效率相當(dāng)，具體方案描述如下。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，G 和 GT是階為大素?cái)?shù)p的乘法循環(huán)群，g是群G的生成元，H:{0,1}*→G是安全散列函數(shù)，e:G×G→GT是雙線(xiàn)性映射，方案的公共參數(shù)為(g,H,p,G,GT,e)。

·Verify算法：給定消息簽名對(duì)(m,s,σ)，驗(yàn)證者驗(yàn)證方程e(σ,g)e(H(s),R)=Am是否成立。如果方程成立，則輸出1，說(shuō)明(s,σ)是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對(duì)于明文 m∈GT，隨機(jī)選擇 t∈，并計(jì)算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息簽名對(duì)(m,s,σ)的人都可用式（2）解密得到明文：

方案的正確性顯然成立，并且容易看出新的ASBB方案的安全性可以規(guī)約到參考文獻(xiàn)[17]中方案的安全性上。以Sign算法為例，如果攻擊者能夠偽造公鑰為(R,A)的合法簽名(m,s,σ)，則在參考文獻(xiàn)[17]的方案中，可以偽造公鑰信息為(Rm-1,A)的合法簽名(s,σm-1

)。

定理1新提出的ASBB方案滿(mǎn)足如下兩個(gè)條件：

·假設(shè)CDH假設(shè)和DBDH假設(shè)成立，新的ASBB方案的簽名方案在隨機(jī)預(yù)言模型下滿(mǎn)足選擇消息的不可偽造性，而加密方案滿(mǎn)足選擇明文攻擊的不可區(qū)分性；

·假設(shè)BDHE假設(shè)成立，新的ASBB方案在隨機(jī)預(yù)言模型下滿(mǎn)足非適應(yīng)選擇消息的可聚合性。

4.2 滿(mǎn)足隱私性的云存儲(chǔ)公共審計(jì)方案

下面利用ASBB方案的可聚合性，給出滿(mǎn)足隱私性的云存儲(chǔ)公共審計(jì)方案，具體描述如下。

（1）Keygen(1λ)算法

令G和GT是具有階為大素?cái)?shù)p的乘法循環(huán)群，而e:G×G→GT是雙線(xiàn)性映射，g是群 G的生成元。H():{0,1}*→G是安全的散列函數(shù)，將任意輸入映射到群G上。系統(tǒng)的公共參數(shù)為(g,H,p,G,GT,e)。隨機(jī)選擇r∈Zp*,X∈G{1}，計(jì)算 R=g-r、A=e(X,g)。則用戶(hù)的公鑰和私鑰對(duì)分別為 pk=(R,A)、sk=(r,X)。

（2）Gentag(sk,F)

給定數(shù)據(jù)文件 F={mi}i=1,2,…,n，對(duì)于每一個(gè)消息塊 mi∈，用戶(hù)計(jì)算其認(rèn)證標(biāo)識(shí)為σi=Xmi H(id||i)r∈G，其中 id由用戶(hù)在隨機(jī)選擇作為文件F的標(biāo)識(shí)。用戶(hù)將數(shù)據(jù)文件F和標(biāo)識(shí)遠(yuǎn)程存儲(chǔ)在CS中。

（3）Audit算法

該算法通過(guò)TPA和CS如下的交互過(guò)程完成。

步驟1：為了生成審計(jì)的挑戰(zhàn)消息，TPA首先隨機(jī)選擇t∈Zp*,c個(gè)取值于[1:n]的隨機(jī)數(shù)I={s1,s2,…,sc}∈[1:n]。對(duì)每一個(gè)i∈I，TPA隨機(jī)選擇整數(shù)值vi(該值不需要太大)，計(jì)算 c1=gt、c2=Rt和 c3=At。最終的挑戰(zhàn)消息為({i,vi}i∈I)(c1和c2作為秘密不發(fā)送給CS)。

步驟2：接收到挑戰(zhàn)信息后，CS首先查找相應(yīng)數(shù)據(jù)信息和認(rèn)證標(biāo)識(shí) σi,i∈I，并計(jì)算 σ=∏i∈Iσivi，然后計(jì)算：

其中，μ=∏i∈Ivimi，則 CS 將(σ,B)發(fā)送給 TPA 作為應(yīng)答消息。

步驟 3：接收到應(yīng)答消息(σ,B)后，TPA利用 c1和 c2驗(yàn)證式（4）是否成立。如果成立，則TPA判定CS通過(guò)了審計(jì)驗(yàn)證；否則審計(jì)不成功，存儲(chǔ)的數(shù)據(jù)存在破壞：

下面說(shuō)明驗(yàn)證方程的正確性，簡(jiǎn)單起見(jiàn)，用Hi代替H(id||i)：

5 效率和安全性分析

首先與參考文獻(xiàn)[9]中的方案在效率方面進(jìn)行了比較，然后證明新提出的公共審計(jì)方案滿(mǎn)足健壯性和隱私性。

5.1 性能分析

分別從存儲(chǔ)開(kāi)銷(xiāo)、通信開(kāi)銷(xiāo)和計(jì)算開(kāi)銷(xiāo)3個(gè)方面將新提出的方案與參考文獻(xiàn)[9]中的方案進(jìn)行了比較。假設(shè)在兩個(gè)方案中，存儲(chǔ)的數(shù)據(jù)文件F是一樣的，而TPA提出的挑戰(zhàn)信息 I={s1,s2,…，sc}∈[1:n]和{vi}i∈I也是一樣的。

（1）存儲(chǔ)開(kāi)銷(xiāo)

就系統(tǒng)參數(shù)而言，參考文獻(xiàn)[9]的公鑰需要3個(gè)群元素，而私鑰需要1個(gè)取值為Zp的整數(shù)；而新方案的公鑰需要3個(gè)群元素，私鑰包括1個(gè)整數(shù)和1個(gè)群元素。在兩個(gè)方案中，作為數(shù)據(jù)文件存儲(chǔ)時(shí)產(chǎn)生的額外開(kāi)銷(xiāo)，也就是生成的認(rèn)證標(biāo)識(shí)的數(shù)目是一樣的。

（2）通信開(kāi)銷(xiāo)

兩個(gè)方案的審計(jì)交互中，除了相同的挑戰(zhàn)信息{(i,vi)}i∈I外，參考文獻(xiàn)[9]中CS發(fā)送的應(yīng)答消息包括2個(gè)群元素和1個(gè)整數(shù)；而新方案中，TPA需要額外多發(fā)送1個(gè)群元素，而CS的應(yīng)答消息包含2個(gè)群元素。

（3）計(jì)算開(kāi)銷(xiāo)

在挑戰(zhàn)生成階段，新方案中的TPA比參考文獻(xiàn)[9]額外需要 3 個(gè)群模冪運(yùn)算，即(c1=gt、c2=Rt、c3=At)，但是由于這3個(gè)參數(shù)和應(yīng)答無(wú)關(guān)，所以可以在空閑的時(shí)間進(jìn)行預(yù)計(jì)算完成，并不多占用審計(jì)時(shí)的計(jì)算時(shí)間開(kāi)銷(xiāo)。而在驗(yàn)證階段，參考文獻(xiàn)[9]比新方案多3個(gè)模冪運(yùn)算、1個(gè)群模乘運(yùn)算和1個(gè)散列運(yùn)算。就CS而言，參考文獻(xiàn)[9]比新方案額外多了1個(gè)雙線(xiàn)性對(duì)運(yùn)算、1個(gè)散列運(yùn)算和1個(gè)整數(shù)模乘運(yùn)算。

從上面的比較可以看出，因?yàn)樗借€是不需要存儲(chǔ)的，所以?xún)蓚€(gè)方案的存儲(chǔ)開(kāi)銷(xiāo)相當(dāng)；通信開(kāi)銷(xiāo)整體而言?xún)蓚€(gè)方案也是相當(dāng)?shù)?。因?yàn)殡p線(xiàn)性對(duì)的運(yùn)算效率明顯低于模冪運(yùn)算，并且新方案的3個(gè)模冪運(yùn)算可以預(yù)計(jì)算并不占用審計(jì)時(shí)間，所以就計(jì)算開(kāi)銷(xiāo)而言，新方案要明顯優(yōu)于參考文獻(xiàn)[9]。

5.2 安全性分析

簡(jiǎn)要說(shuō)明新方案滿(mǎn)足健壯性和隱私性。通過(guò)定理2證明CS在數(shù)據(jù)被更改的情況下，不可能產(chǎn)生合法的應(yīng)答消息通過(guò)TPA的審計(jì)。而定理3說(shuō)明方案滿(mǎn)足隱私性，新的方案并沒(méi)有將數(shù)據(jù)泄露。

定理2如果計(jì)算Diffie-Hellman和Bilinear Pairing的假設(shè)成立，則在新方案中CS在不具有完好無(wú)損的數(shù)據(jù)信息的情況下，能生成合法應(yīng)答通過(guò)審計(jì)過(guò)程的概率是可忽略的。

證明如果CS能夠用修改過(guò)后的數(shù)據(jù)產(chǎn)生合法的應(yīng)答消息，則其可以解決計(jì)算Diffie-Hellman和Bilinear Pairing的問(wèn)題。

當(dāng)接收到TPA的挑戰(zhàn)消息{{(i,vi)}i∈I,c3}之后，由離散對(duì)數(shù)問(wèn)題和計(jì)算Diffie-Hellman的困難性，CS不可能由c3計(jì)算得到 c2和 c1。

為了能夠通過(guò)審計(jì)的驗(yàn)證方程，CS生成的合法應(yīng)答消息(σ,B)一定滿(mǎn)足：

假設(shè)CS在存儲(chǔ)的數(shù)據(jù)信息產(chǎn)生了錯(cuò)誤破壞的情況下能夠通過(guò)審計(jì)驗(yàn)證，此時(shí)必定存在應(yīng)答消息(σ*≠σ，B*)可以滿(mǎn)足審計(jì)過(guò)程的驗(yàn)證方程：

在這里，驗(yàn)證方程中μ≠μ′，否則將與假設(shè)不相符。由方程（6）和（7）可以得到：

這也就意味著,Xμ-μ′=σ/σ*，i.e.X=（σ/σ*）（μ-μ′）-1，從而CS可以解決雙線(xiàn)性對(duì)的假設(shè)問(wèn)題，這與雙線(xiàn)性對(duì)問(wèn)題的困難性假設(shè)相違背。

定理3假設(shè)離散對(duì)數(shù)問(wèn)題是困難的，則攻擊者從審計(jì)方案中提取出存儲(chǔ)數(shù)據(jù)的概率是可忽略的。

證明首先對(duì)于值μ和數(shù)據(jù)F={mi}i=1,2,…,n的獲知是等價(jià)的。如果攻擊者能夠得到值μ，則通過(guò)求解方程組，就可以獲得存儲(chǔ)的數(shù)據(jù)信息。直觀上看，因?yàn)樯婕暗臄?shù)據(jù)消息F={mi}i=1,2,…,n的操作都在指數(shù)上。如果TPA或者攻擊者能夠通過(guò)新的審計(jì)方案獲得存儲(chǔ)的數(shù)據(jù)F={mi}i=1,2,…,n，則相當(dāng)于攻擊者可以獲得值μ=∏i∈Ivimi，從而推導(dǎo)出消息B關(guān)于A的離散對(duì)數(shù)為tμ，這與離散對(duì)數(shù)問(wèn)題的困難性假設(shè)相矛盾。

如果存在攻擊者Adv1能夠破壞新方案的隱私性，則假設(shè)攻擊者Adv2需要計(jì)算h=gα的離散對(duì)數(shù)α，此時(shí)Adv2隨機(jī)選擇并計(jì)算 R=g-r、A=e(Xβ,g)。則公鑰信息 pk=(R,A)交給攻擊者 Adv1。對(duì)于給定的數(shù)據(jù) F={mi}i=1,2,…,n，消息塊 mi的認(rèn)證標(biāo)識(shí)從定理2的證明可以看出，挑戰(zhàn)信息包含c1并不影響方案的健壯性，從而對(duì)于攻擊者 Adv1的挑戰(zhàn)信息可以計(jì)算應(yīng)答信息從而對(duì)于攻擊者Adv1而言，用戶(hù)選擇的數(shù)據(jù)信息為α·mi。如果Adv1能夠?qū)⑾⒒謴?fù)出來(lái)，則Adv1能計(jì)算得到h=gα的離散對(duì)數(shù)α。

6 結(jié)束語(yǔ)

目前，因?yàn)榘踩浴⒖煽啃?、隱私性等問(wèn)題，云存儲(chǔ)服務(wù)還不為用戶(hù)廣泛接納與采用。而一旦云存儲(chǔ)的安全性、可靠性、隱私性得到保障，它將具有廣泛而巨大的應(yīng)用前景。本文首先提出了一個(gè)新的可聚合基于簽名的廣播加密方案，并在此基礎(chǔ)上給出了一個(gè)新的保持隱私性的云存儲(chǔ)公共審計(jì)方案。攻擊者或者TPA無(wú)法從新審計(jì)方案中獲知存儲(chǔ)的數(shù)據(jù)內(nèi)容。新方案與參考文獻(xiàn)[9]中的方案具有相同的存儲(chǔ)開(kāi)銷(xiāo)和傳輸開(kāi)銷(xiāo)，而在計(jì)算開(kāi)銷(xiāo)上有明顯的優(yōu)勢(shì)。

通常用戶(hù)需要外包存儲(chǔ)的數(shù)據(jù)并不是靜態(tài)不變的，用戶(hù)會(huì)對(duì)數(shù)據(jù)進(jìn)行諸如修改、插入、添加、刪除等操作，參考文獻(xiàn)[9]對(duì)數(shù)據(jù)動(dòng)態(tài)變化情況下的公共審計(jì)方案進(jìn)行了初步研究，但是方案并不能很好地支持插入和刪除操作。如何設(shè)計(jì)高效的、滿(mǎn)足隱私性并支持動(dòng)態(tài)變化的審計(jì)方案是下一步要考慮的工作。

參考文獻(xiàn)

1 Einar M,Maithili N,Gene T.Authentication and integrity in outsourced databases.ACM Transactions on Storage,2006,2(2):107～138

2 AtenieseG,BurnsR,CurtmolaR,etal.Provable Data Possession at Untrusted Stores.Cryptology ePrint Archive,Report 2007/202,2007

3 Ateniese G,Pietro R D,Mancini L V,et al.Scalable and efficientprovable data possession.Proceedingsofthe 4th International Conference on Security and Privacy in Communication Networks,Istanbul,Turkey,ACM,2008

4 Juels A,Kaliski B.Pors:proofs of retrievability for large files.Proceedings of CCS 2007,Alexandria,VA,USA,2007:584～597

5 Erway C,Kupcu A,Papamanthou C,et al.Dynamic Provable Data Possession.Cryptology ePrint Archive,Report 2008/432,2008

6 Wang Q,Wang C,Li J,et al.Enabling public verifiability and data dynamics for storage security in cloud computing.Lecture Notes in Computer Science,2009(5789):355～370

7 Wang Q,Wang C,Ren K,et al.Enabling public auditability and data dynamics for storage security in cloud computing.IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847～859

8 Shah M A,Baker M,Mogul J C,et al.Auditing to keep online storage services honest.Proceedings of HotOS’07,Berkeley,CA,USENIX,2007:1～6

9 Cao N,Yang Z Y,Wang C,et al.Privacy-preserving public auditing for data storage security in cloud computing.Proceedings of IEEE INFOCOM 2010,San Diego,CA,2010:525～533

10 Shacham H,Waters B.Compact proofs of retrievability.Proceedings of ASIACRYPT 2008,Melbourne,Australia,2008:90～107

11 Sebe F,Domingo-Ferrer J,Balleste A M,et al.Efficient remote data possession checking in critical information infrastructures.IEEE Transactions on Knowledge and Data English,2008:1034～1038

12 Wang C,Wang Q,Ren K,et al.Ensuring data storage security in cloud computing.Proceedings of IW QoS 2009,Charleston,South Carolina,USA,2009

13 Bowers K D,Juels A,Oprea A.Proofs of retrievability:theory and implementation.Proceedings of the 2009 ACM Workshop on Cloud Computing Security,CCSW 2009,Co-Located with the 16th ACM Computer and Communications Security Conference,New York,2009:43～54

14 Kamara S,Lauter K.Cryptographic cloud storage.Lecture Notes in Computer Science,Financial Cryptography and Data Security,Berlin,Springer,2010:136～149

15 HaoZ,Yu N.A multiple-replicaremotedatapossession checking protocol with public verifiability.Proceedings of Second Int'1 Data,Privacy and E-Commerce Sympoisum (ISDPE'10),New York,USA,2010

16 Zheng Q，Xu S.Fair and dynamic proofs of retrievability.Proceedings of 1st ACMM Conference on Data and Application Security and Privacy(CODASPY),San Antonio,TX,USA,2011

17 Wu Q,Mu Y,Susilo W,et al.Joux A(ed).Asymmetric group key agreement.EUROCRYPT 2009,Springer,Heidelberg,2009:153～170

18 Goldwasser S,Micali S,Rivest R.A digital signature scheme secure against adaptive chosen-message attacks.SIAM J Computing,1988,17(2):281～308

19 Chaum D,Pederson P T.E F Brichell(ed).Wallet databases with observers.Advances in Cryptology-CRYPTO’92,LNCS 740,1993:89～105