王少輝，陳丹偉，王志偉，常素琴

（1.南京郵電大學(xué)計算機學(xué)院 南京 210003；2.江蘇省無線傳感網(wǎng)高技術(shù)研究重點實驗室 南京210003；3.網(wǎng)絡(luò)與數(shù)據(jù)安全四川省重點實驗室 成都 610054）

1 引言

近年來，云計算越來越受到學(xué)術(shù)界和產(chǎn)業(yè)界的關(guān)注。云計算利用互聯(lián)網(wǎng)平臺為用戶提供分布式、可靠、高可用、低成本按需付費、強大的計算能力以及無限存儲、數(shù)據(jù)、信息、知識和協(xié)作的可能，使人類信息技術(shù)達到無時無處不在的可用性和服務(wù)能力。作為云計算重要應(yīng)用業(yè)務(wù)之一的云存儲是從云計算概念衍生和發(fā)展起來的一種數(shù)據(jù)外包存儲服務(wù)技術(shù)，其依靠低成本、易于使用的接口和高可擴展性的商業(yè)優(yōu)勢得到了業(yè)內(nèi)的廣泛關(guān)注。

云存儲具備物美價廉的優(yōu)點，企業(yè)通過使用云存儲可以降低存儲數(shù)據(jù)的成本，用戶不必考慮存儲管理、數(shù)據(jù)備份、容災(zāi)的問題，只要在需要的時候訪問云存儲即可，省去了管理維護的工作量和成本。然而，云存儲的安全性、可靠性及服務(wù)水平等還存在眾多問題亟待解決，所以在使用便利的同時，也引起了用戶對安全性的擔(dān)憂，目前仍未得到廣泛認可與使用。數(shù)據(jù)存放在云存儲中，用戶最關(guān)心的問題之一是數(shù)據(jù)的完整性。存儲服務(wù)商可以有效地對用戶提供數(shù)據(jù)完整性驗證，并不斷提高服務(wù)水平，云存儲將獲得廣泛的應(yīng)用。

用戶在物理上已經(jīng)不再擁有這些外包存儲的數(shù)據(jù)，所以傳統(tǒng)的用于數(shù)據(jù)完整性檢測的密碼學(xué)方法并不能很好地解決云存儲中的數(shù)據(jù)完整性檢測問題。數(shù)據(jù)完整性檢測最直接簡單的方法是利用散列函數(shù)。用戶可以保存外包數(shù)據(jù)F的散列值Hash(F)，當(dāng)需要驗證數(shù)據(jù)的完整性時，云存儲服務(wù)提供者將完整的數(shù)據(jù)F′發(fā)送給用戶，用戶驗證散列值Hash(F′)是否和保存的散列值Hash(F)相等。這個方法由于昂貴的網(wǎng)絡(luò)I/O和傳輸?shù)馁M用代價，在實際中并不可行。

為了解決云存儲中遠程數(shù)據(jù)的完整性檢測問題，依據(jù)不同的應(yīng)用場景和應(yīng)用需求，提出了眾多的研究方案[1～16]。目前的研究工作主要集中在可證明數(shù)據(jù)持有（provabledata possession，PDP）方案和可恢復(fù)證明（proofs of retrievability，PoR）方案。PDP和PoR方案的主要區(qū)別是：PDP方案可檢測存儲數(shù)據(jù)是否完整，但無法確保數(shù)據(jù)的可恢復(fù)性；PoR方案可以保證存儲數(shù)據(jù)的可恢復(fù)性。

Ateniese等[2,3]基于RSA算法的同態(tài)性提出了PDP方案，以審計存儲數(shù)據(jù)的完整性。但是該方案必須預(yù)先設(shè)定好審計的次數(shù)并且不支持公共審計。所謂公共審計是指允許除數(shù)據(jù)擁有者之外的第三方來驗證遠程存儲數(shù)據(jù)的完整性。Juels利用“哨兵”，并使用糾錯碼編碼這一工具提出了PoR方案[4]。PoR方案是典型的挑戰(zhàn)—應(yīng)答式協(xié)議，可以使云存儲服務(wù)提供者向用戶證明一個文件是可恢復(fù)的，不會有任何的數(shù)據(jù)丟失和破壞。Erway等[5]基于跳躍表（skip list）研究了在存儲數(shù)據(jù)動態(tài)變化的情況下云存儲安全審計的問題，其運行效率還存在一定的爭議。同時，Wang等[6]提出了公共檢測的一個動態(tài)模型框架。

到目前為止，多數(shù)的審計方案[2～4,7]并沒有考慮審計過程中用戶數(shù)據(jù)的隱私性問題。通常在審計過程中，云服務(wù)提供者會將用戶數(shù)據(jù)直接發(fā)送給審計者，從而將存儲的數(shù)據(jù)內(nèi)容泄密。從保護用戶數(shù)據(jù)隱私性的角度來看，這很大程度上影響了這些審計方案在云計算平臺的安全性[8]。Wang等[9]基于Shacham和Waters的方案[10]提出了一個滿足隱私性的云存儲公共審計方案。為了提高方案的隱私安全需求，參考文獻[9]中方案的效率要明顯低于參考文獻[10]中的方案。

本文對保持隱私性的云存儲公共審計方案進行了研究，給出了一個密碼學(xué)原語的新設(shè)計——可聚合基于簽名的廣播加密 （aggregatable signature-based broadcast，ASBB）方案[17]。利用ASBB方案的同聚合性質(zhì)，提出了一個高效的、滿足隱私性要求的云存儲公共審計方案。新方案采用挑戰(zhàn)—應(yīng)答的方式，屬于PDP方案，其計算開銷要優(yōu)于參考文獻[9]中的方案。

2 基礎(chǔ)知識

本節(jié)給出本文所用的基礎(chǔ)知識的相關(guān)概念，主要包括雙線性映射、計算困難性問題和ASBB方案。

2.1 雙線性映射和計算困難性問題

設(shè)G和GT分別是階為大素數(shù)p的乘法循環(huán)群，g是G群的生成元。假設(shè)離散對數(shù)問題在群G和GT中都是難解的。

定義1如果滿足下列3個條件，則稱映射e:G×G→GT為一個雙線性對映射。

·雙線性：對于任意u,v∈G和a,b∈Zp，滿足e(ua,vb)=e(u,v)ab。

·非退化性：e(g,g)≠1。

·可計算性：對于任意u,v∈G，存在有效的算法計算e(u,v)。

新方案用到的困難性問題假設(shè)主要包括計算Diffie-Hellman(CDH)假設(shè)、判斷雙線性Diffie-Hellman(DBDH)假設(shè)、雙線性對假設(shè)和雙線性Diffie-Hellman假設(shè)。

·計算Diffie-Hellman假設(shè)：給定三元組(g,ga,gb)，其中a,b∈未知，gab在計算上是困難的。

·判斷雙線性Diffie-Hellman假設(shè)：給定四元組(g,ga,gb,gc)和任意 Z∈GT，其中 a,b,c∈未知，區(qū)分 T=e(g,e)abc和Z在計算上是困難的。

·雙線性對假設(shè)：給定群G和生成元g，由T=e(X,g)∈GT計算X∈G是困難的。

·雙線性Diffie-Hellman假設(shè)：給定三元組(g,ga,gb)，其中a,b∈未知，對于任意的 h≠g∈G，e(h,gab)在計算上困難的。

2.2 可聚合基于簽名的廣播加密方案

在ASBB方案[17]中，用戶的公鑰可同時用來驗證簽名的合法性和加密消息，并且任意合法的簽名可以用來解密該公鑰加密的密文。一個ASBB方案通常包含如下6個多項式時間算法。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，輸出系統(tǒng)的公共參數(shù)π。

·KeyGen算法(π)：輸入?yún)?shù) π，輸出用戶的公鑰/私鑰對(pk,sk)。

·Sign算法(pk,sk,s)：對于消息 s，利用公鑰/私鑰對(pk,sk)，Sign算法輸出簽名σ。

·Verify算法(pk,s,σ)：對于公鑰 pk和消息 s以及對應(yīng)的簽名σ，Verify算法輸出1（如果σ是消息s的合法簽名）；否則算法輸出0。

·Encrypt算法(pk,m)：輸入公鑰pk和明文m，Encrypt算法輸出相應(yīng)的密文c。

·Decrypt算法(pk,s,σ,c)：利用公鑰pk和任意合法的簽名對(s,σ)，對密文c解密得到相應(yīng)的明文m。

[17]提出的ASBB方案的重要之處在于，它具有密鑰同態(tài)性，這意味著給定同一消息在兩個不同私鑰下的簽名，可以有效地生成該消息在新的私鑰下的簽名，而新的私鑰由最初的兩個私鑰生成。在參考文獻[17]中，Wu等提出了一個高效的基于雙線性映射的ASBB方案，該方案簡介如下。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，G 和 GT是階為大素數(shù)p的乘法循環(huán)群，g是群G的生成元，H:{0,1}*→G是安全散列函數(shù)，e:G×G→GT是雙線性映射，方案的公共參數(shù)為(g,H,p,G,GT,e)。

·KeyGen 算法：隨機選擇 r∈X∈G{1}，計算 R=g-r、A=e(X,g)。方案的公鑰和私鑰分別為pk=(R,A)、sk=(r,X)。

·Sign算法：對于任意消息s∈{0,1}*，其相應(yīng)的簽名為 σ=XH(s)r。

·Verify算法：給定消息簽名對(s,σ)，驗證者驗證方程e(σ,g)e(H(s),R)=A是否成立。如果方程成立，則輸出1，說明σ是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對于明文 m∈GT，隨機選擇 t∈，并計算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息/簽名對的人都可利用 m=c3/(e(σ,c1)e(H(s),c2))解密得到明文。

ASBB方案的安全性包括對Sign算法的選擇、消息攻擊下的不可偽造性和針對Encrypt算法的抗適應(yīng)性選擇密文攻擊。

3 保持隱私性的云存儲公共審計方案

本節(jié)給出了云存儲公共審計方案和方案所要滿足的安全需求（包括完備性、健壯性和隱私性）的定義。

本文采用與參考文獻[9]一樣的云存儲系統(tǒng)架構(gòu)，如圖1所示。云存儲服務(wù)涉及3個不同的實體：云用戶將自身的數(shù)據(jù)文件遠程存儲在提供存儲服務(wù)的云平臺上；云服務(wù)器（cloud server，CS）提供云存儲服務(wù)，并由云服務(wù)供應(yīng)商進行管理和維護；第三方審計者（third party auditor，TPA）代表用戶對云服務(wù)器存儲服務(wù)的可靠性進行評估，即檢測用戶存儲的數(shù)據(jù)文件是否丟失或被破壞。

定義2（云存儲公共審計方案）保持隱私性的云存儲公共審計方案通常由Keygen、Gentag和Audit 3個多項式時間算法構(gòu)成。

·Keygen算法：輸入安全參數(shù)λ，該算法生成方案的公共參數(shù)和云用戶的公鑰/私鑰對(pk,sk)。

·Gentag算法：以用戶私鑰sk和數(shù)據(jù)文件F∈{0,1}*作為輸入，該算法生成文件的認證標(biāo)識t，文件和認證標(biāo)識將同時保存在CS中。標(biāo)識中通常會包含存儲數(shù)據(jù)的相關(guān)信息和利用私鑰sk生成的額外的私有驗證信息。

·Audit算法：公共審計算法通過TPA和CS之間的交互協(xié)議（TPA(pk)圮CS(pk,F,t)）來完成。協(xié)議執(zhí)行時，TPA作為驗證方，首先以公鑰pk和Gentag算法輸出的文件描述信息t作為輸入，生成審計挑戰(zhàn)信息發(fā)送給CS；而CS作為證明方，將存儲的數(shù)據(jù)信息和保存的認證標(biāo)識作為輸入生成并回送TPA應(yīng)答消息；協(xié)議的最終，如果TPA驗證CS存儲的文件保存完好沒有變更，則TPA輸出1，否則將輸出0。

通常，假設(shè)TPA被用戶所信任，其公共審計業(yè)務(wù)是可靠的，而存儲數(shù)據(jù)的完整性威脅主要來源于CS和惡意的外部敵手。CS可能會由于自身或者外在的原因造成存儲數(shù)據(jù)的破壞或丟失，而其又會在審計中欺騙TPA存儲數(shù)據(jù)保持完整。保持隱私性云存儲公共審計方案應(yīng)滿足完備性、健壯性和隱私性等安全需求。簡單地說，完備性是指對于合法的CS和TPA，其審計結(jié)果應(yīng)總是1；而健壯性指對于擁有更改數(shù)據(jù)的CS，其不可能通過Audit算法的交互獲得TPA的驗證確認；而隱私性指攻擊者不能采用被動或者主動的攻擊方式從審計方案中獲知用戶存儲的數(shù)據(jù)內(nèi)容。

定義3（完備性）云存儲公共審計方案的完備性要求對任意由Keygen算法輸出的公鑰/私鑰對(pk,sk)、任意數(shù)據(jù)文件F∈{0,1}*和由Gentag算法生成的認證標(biāo)識t，TPA和CS通過審計算法交互后的輸出總是1，即 pr(Audit(TPA(pk)圮CS(pk,F,t)=1)=1。

定義4（健壯性）下面利用參考文獻[10]的方法給出健壯性定義，該定義通過攻擊者A與挑戰(zhàn)者B所參與的如下Game定義。

挑戰(zhàn)者B運行Keygen(1λ)算法生成公鑰/私鑰對 (pk,sk)，將公鑰pk發(fā)送給敵手A；敵手A可以與挑戰(zhàn)者B進行交互，訪問如下預(yù)言機：A可以訪問Gentag預(yù)言機，對于每一次訪問，挑戰(zhàn)者B選擇數(shù)據(jù)信息M，并計算t←Gentag(sk,M)生成相應(yīng)的認證標(biāo)識，文件M和相應(yīng)的標(biāo)識t都將發(fā)送給敵手A。同時，A也可以訪問Audit預(yù)言機與B進行交互，在交互過程中，敵手A扮演證明者CS的角色，而挑戰(zhàn)者B扮演驗證者TPA的角色。最終，敵手A輸出消息M1發(fā)送給挑戰(zhàn)者，由挑戰(zhàn)者生成認證標(biāo)識t；然后敵手A將消息修改為M*≠M1，并與挑戰(zhàn)者B進行Audit算法的交互B(pk,sk)圮A(pk,M*,t)。

如果如下概率是可以忽略的，則稱云存儲公共審計方案是健壯的：定義5（隱私性）通過攻擊者A和挑戰(zhàn)者B參與的如下Game定義隱私性。

挑戰(zhàn)者B運行Keygen(1λ)算法生成公鑰/私鑰對(pk,sk)，并將pk發(fā)送給敵手A；敵手A可以向挑戰(zhàn)者B詢問Gentag預(yù)言機，對于每一次訪問，挑戰(zhàn)者B選擇數(shù)據(jù)信息M，并計算t←Gentag(sk,M)生成相應(yīng)的認證標(biāo)識，文件M和相應(yīng)的標(biāo)識t都將發(fā)送給敵手A。最終，挑戰(zhàn)者B選擇數(shù)據(jù)M1，并計算相應(yīng)的認證標(biāo)識t←Gentag(sk,M1)，攻擊者A和挑戰(zhàn)者B進行Audit交互，在此交互中，敵手A扮演TPA的角色，而挑戰(zhàn)者B則扮演CS的角色；最后敵手A輸出數(shù)據(jù)文件M*。

假設(shè)消息M1具有大的信息熵，則稱云存儲公共審計方案滿足隱私性，如果通過上述的Game，概率pr(M*←A(pk):M1=M*)是可以忽略的。

4 本文提出的方案

本節(jié)設(shè)計了一個新的高效ASBB方案，并基于該方案設(shè)計了滿足隱私性的云存儲公共審計方案。

4.1 新的ASBB方案設(shè)計

新提出的ASBB方案的效率和參考文獻[17]中方案的效率相當(dāng)，具體方案描述如下。

·ParaGen 算法(1λ)：輸入安全參數(shù) 1λ，G 和 GT是階為大素數(shù)p的乘法循環(huán)群，g是群G的生成元，H:{0,1}*→G是安全散列函數(shù)，e:G×G→GT是雙線性映射，方案的公共參數(shù)為(g,H,p,G,GT,e)。

·Verify算法：給定消息簽名對(m,s,σ)，驗證者驗證方程e(σ,g)e(H(s),R)=Am是否成立。如果方程成立，則輸出1，說明(s,σ)是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對于明文 m∈GT，隨機選擇 t∈，并計算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息簽名對(m,s,σ)的人都可用式（2）解密得到明文：

方案的正確性顯然成立，并且容易看出新的ASBB方案的安全性可以規(guī)約到參考文獻[17]中方案的安全性上。以Sign算法為例，如果攻擊者能夠偽造公鑰為(R,A)的合法簽名(m,s,σ)，則在參考文獻[17]的方案中，可以偽造公鑰信息為(Rm-1,A)的合法簽名(s,σm-1

)。

定理1新提出的ASBB方案滿足如下兩個條件：

·假設(shè)CDH假設(shè)和DBDH假設(shè)成立，新的ASBB方案的簽名方案在隨機預(yù)言模型下滿足選擇消息的不可偽造性，而加密方案滿足選擇明文攻擊的不可區(qū)分性；

·假設(shè)BDHE假設(shè)成立，新的ASBB方案在隨機預(yù)言模型下滿足非適應(yīng)選擇消息的可聚合性。

4.2 滿足隱私性的云存儲公共審計方案

下面利用ASBB方案的可聚合性，給出滿足隱私性的云存儲公共審計方案，具體描述如下。

（1）Keygen(1λ)算法

令G和GT是具有階為大素數(shù)p的乘法循環(huán)群，而e:G×G→GT是雙線性映射，g是群 G的生成元。H():{0,1}*→G是安全的散列函數(shù)，將任意輸入映射到群G上。系統(tǒng)的公共參數(shù)為(g,H,p,G,GT,e)。隨機選擇r∈Zp*,X∈G{1}，計算 R=g-r、A=e(X,g)。則用戶的公鑰和私鑰對分別為 pk=(R,A)、sk=(r,X)。

（2）Gentag(sk,F)

給定數(shù)據(jù)文件 F={mi}i=1,2,…,n，對于每一個消息塊 mi∈，用戶計算其認證標(biāo)識為σi=Xmi H(id||i)r∈G，其中 id由用戶在隨機選擇作為文件F的標(biāo)識。用戶將數(shù)據(jù)文件F和標(biāo)識遠程存儲在CS中。

（3）Audit算法

該算法通過TPA和CS如下的交互過程完成。

步驟1：為了生成審計的挑戰(zhàn)消息，TPA首先隨機選擇t∈Zp*,c個取值于[1:n]的隨機數(shù)I={s1,s2,…,sc}∈[1:n]。對每一個i∈I，TPA隨機選擇整數(shù)值vi(該值不需要太大)，計算 c1=gt、c2=Rt和 c3=At。最終的挑戰(zhàn)消息為({i,vi}i∈I)(c1和c2作為秘密不發(fā)送給CS)。

步驟2：接收到挑戰(zhàn)信息后，CS首先查找相應(yīng)數(shù)據(jù)信息和認證標(biāo)識 σi,i∈I，并計算 σ=∏i∈Iσivi，然后計算：

其中，μ=∏i∈Ivimi，則 CS 將(σ,B)發(fā)送給 TPA 作為應(yīng)答消息。

步驟 3：接收到應(yīng)答消息(σ,B)后，TPA利用 c1和 c2驗證式（4）是否成立。如果成立，則TPA判定CS通過了審計驗證；否則審計不成功，存儲的數(shù)據(jù)存在破壞：

下面說明驗證方程的正確性，簡單起見，用Hi代替H(id||i)：

5 效率和安全性分析

首先與參考文獻[9]中的方案在效率方面進行了比較，然后證明新提出的公共審計方案滿足健壯性和隱私性。

5.1 性能分析

分別從存儲開銷、通信開銷和計算開銷3個方面將新提出的方案與參考文獻[9]中的方案進行了比較。假設(shè)在兩個方案中，存儲的數(shù)據(jù)文件F是一樣的，而TPA提出的挑戰(zhàn)信息 I={s1,s2,…，sc}∈[1:n]和{vi}i∈I也是一樣的。

（1）存儲開銷

就系統(tǒng)參數(shù)而言，參考文獻[9]的公鑰需要3個群元素，而私鑰需要1個取值為Zp的整數(shù)；而新方案的公鑰需要3個群元素，私鑰包括1個整數(shù)和1個群元素。在兩個方案中，作為數(shù)據(jù)文件存儲時產(chǎn)生的額外開銷，也就是生成的認證標(biāo)識的數(shù)目是一樣的。

（2）通信開銷

兩個方案的審計交互中，除了相同的挑戰(zhàn)信息{(i,vi)}i∈I外，參考文獻[9]中CS發(fā)送的應(yīng)答消息包括2個群元素和1個整數(shù)；而新方案中，TPA需要額外多發(fā)送1個群元素，而CS的應(yīng)答消息包含2個群元素。

（3）計算開銷

在挑戰(zhàn)生成階段，新方案中的TPA比參考文獻[9]額外需要 3 個群模冪運算，即(c1=gt、c2=Rt、c3=At)，但是由于這3個參數(shù)和應(yīng)答無關(guān)，所以可以在空閑的時間進行預(yù)計算完成，并不多占用審計時的計算時間開銷。而在驗證階段，參考文獻[9]比新方案多3個模冪運算、1個群模乘運算和1個散列運算。就CS而言，參考文獻[9]比新方案額外多了1個雙線性對運算、1個散列運算和1個整數(shù)模乘運算。

從上面的比較可以看出，因為私鑰是不需要存儲的，所以兩個方案的存儲開銷相當(dāng)；通信開銷整體而言兩個方案也是相當(dāng)?shù)摹Ｒ驗殡p線性對的運算效率明顯低于模冪運算，并且新方案的3個模冪運算可以預(yù)計算并不占用審計時間，所以就計算開銷而言，新方案要明顯優(yōu)于參考文獻[9]。

5.2 安全性分析

簡要說明新方案滿足健壯性和隱私性。通過定理2證明CS在數(shù)據(jù)被更改的情況下，不可能產(chǎn)生合法的應(yīng)答消息通過TPA的審計。而定理3說明方案滿足隱私性，新的方案并沒有將數(shù)據(jù)泄露。

定理2如果計算Diffie-Hellman和Bilinear Pairing的假設(shè)成立，則在新方案中CS在不具有完好無損的數(shù)據(jù)信息的情況下，能生成合法應(yīng)答通過審計過程的概率是可忽略的。

證明如果CS能夠用修改過后的數(shù)據(jù)產(chǎn)生合法的應(yīng)答消息，則其可以解決計算Diffie-Hellman和Bilinear Pairing的問題。

當(dāng)接收到TPA的挑戰(zhàn)消息{{(i,vi)}i∈I,c3}之后，由離散對數(shù)問題和計算Diffie-Hellman的困難性，CS不可能由c3計算得到 c2和 c1。

為了能夠通過審計的驗證方程，CS生成的合法應(yīng)答消息(σ,B)一定滿足：

假設(shè)CS在存儲的數(shù)據(jù)信息產(chǎn)生了錯誤破壞的情況下能夠通過審計驗證，此時必定存在應(yīng)答消息(σ*≠σ，B*)可以滿足審計過程的驗證方程：

在這里，驗證方程中μ≠μ′，否則將與假設(shè)不相符。由方程（6）和（7）可以得到：

這也就意味著,Xμ-μ′=σ/σ*，i.e.X=（σ/σ*）（μ-μ′）-1，從而CS可以解決雙線性對的假設(shè)問題，這與雙線性對問題的困難性假設(shè)相違背。

定理3假設(shè)離散對數(shù)問題是困難的，則攻擊者從審計方案中提取出存儲數(shù)據(jù)的概率是可忽略的。

證明首先對于值μ和數(shù)據(jù)F={mi}i=1,2,…,n的獲知是等價的。如果攻擊者能夠得到值μ，則通過求解方程組，就可以獲得存儲的數(shù)據(jù)信息。直觀上看，因為涉及的數(shù)據(jù)消息F={mi}i=1,2,…,n的操作都在指數(shù)上。如果TPA或者攻擊者能夠通過新的審計方案獲得存儲的數(shù)據(jù)F={mi}i=1,2,…,n，則相當(dāng)于攻擊者可以獲得值μ=∏i∈Ivimi，從而推導(dǎo)出消息B關(guān)于A的離散對數(shù)為tμ，這與離散對數(shù)問題的困難性假設(shè)相矛盾。

如果存在攻擊者Adv1能夠破壞新方案的隱私性，則假設(shè)攻擊者Adv2需要計算h=gα的離散對數(shù)α，此時Adv2隨機選擇并計算 R=g-r、A=e(Xβ,g)。則公鑰信息 pk=(R,A)交給攻擊者 Adv1。對于給定的數(shù)據(jù) F={mi}i=1,2,…,n，消息塊 mi的認證標(biāo)識從定理2的證明可以看出，挑戰(zhàn)信息包含c1并不影響方案的健壯性，從而對于攻擊者 Adv1的挑戰(zhàn)信息可以計算應(yīng)答信息從而對于攻擊者Adv1而言，用戶選擇的數(shù)據(jù)信息為α·mi。如果Adv1能夠?qū)⑾⒒謴?fù)出來，則Adv1能計算得到h=gα的離散對數(shù)α。

6 結(jié)束語

目前，因為安全性、可靠性、隱私性等問題，云存儲服務(wù)還不為用戶廣泛接納與采用。而一旦云存儲的安全性、可靠性、隱私性得到保障，它將具有廣泛而巨大的應(yīng)用前景。本文首先提出了一個新的可聚合基于簽名的廣播加密方案，并在此基礎(chǔ)上給出了一個新的保持隱私性的云存儲公共審計方案。攻擊者或者TPA無法從新審計方案中獲知存儲的數(shù)據(jù)內(nèi)容。新方案與參考文獻[9]中的方案具有相同的存儲開銷和傳輸開銷，而在計算開銷上有明顯的優(yōu)勢。

通常用戶需要外包存儲的數(shù)據(jù)并不是靜態(tài)不變的，用戶會對數(shù)據(jù)進行諸如修改、插入、添加、刪除等操作，參考文獻[9]對數(shù)據(jù)動態(tài)變化情況下的公共審計方案進行了初步研究，但是方案并不能很好地支持插入和刪除操作。如何設(shè)計高效的、滿足隱私性并支持動態(tài)變化的審計方案是下一步要考慮的工作。

參考文獻

1 Einar M,Maithili N,Gene T.Authentication and integrity in outsourced databases.ACM Transactions on Storage,2006,2(2):107～138

2 AtenieseG,BurnsR,CurtmolaR,etal.Provable Data Possession at Untrusted Stores.Cryptology ePrint Archive,Report 2007/202,2007

3 Ateniese G,Pietro R D,Mancini L V,et al.Scalable and efficientprovable data possession.Proceedingsofthe 4th International Conference on Security and Privacy in Communication Networks,Istanbul,Turkey,ACM,2008

4 Juels A,Kaliski B.Pors:proofs of retrievability for large files.Proceedings of CCS 2007,Alexandria,VA,USA,2007:584～597

5 Erway C,Kupcu A,Papamanthou C,et al.Dynamic Provable Data Possession.Cryptology ePrint Archive,Report 2008/432,2008

6 Wang Q,Wang C,Li J,et al.Enabling public verifiability and data dynamics for storage security in cloud computing.Lecture Notes in Computer Science,2009(5789):355～370

7 Wang Q,Wang C,Ren K,et al.Enabling public auditability and data dynamics for storage security in cloud computing.IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847～859

8 Shah M A,Baker M,Mogul J C,et al.Auditing to keep online storage services honest.Proceedings of HotOS’07,Berkeley,CA,USENIX,2007:1～6

9 Cao N,Yang Z Y,Wang C,et al.Privacy-preserving public auditing for data storage security in cloud computing.Proceedings of IEEE INFOCOM 2010,San Diego,CA,2010:525～533

10 Shacham H,Waters B.Compact proofs of retrievability.Proceedings of ASIACRYPT 2008,Melbourne,Australia,2008:90～107

11 Sebe F,Domingo-Ferrer J,Balleste A M,et al.Efficient remote data possession checking in critical information infrastructures.IEEE Transactions on Knowledge and Data English,2008:1034～1038

12 Wang C,Wang Q,Ren K,et al.Ensuring data storage security in cloud computing.Proceedings of IW QoS 2009,Charleston,South Carolina,USA,2009

13 Bowers K D,Juels A,Oprea A.Proofs of retrievability:theory and implementation.Proceedings of the 2009 ACM Workshop on Cloud Computing Security,CCSW 2009,Co-Located with the 16th ACM Computer and Communications Security Conference,New York,2009:43～54

14 Kamara S,Lauter K.Cryptographic cloud storage.Lecture Notes in Computer Science,Financial Cryptography and Data Security,Berlin,Springer,2010:136～149

15 HaoZ,Yu N.A multiple-replicaremotedatapossession checking protocol with public verifiability.Proceedings of Second Int'1 Data,Privacy and E-Commerce Sympoisum (ISDPE'10),New York,USA,2010

16 Zheng Q，Xu S.Fair and dynamic proofs of retrievability.Proceedings of 1st ACMM Conference on Data and Application Security and Privacy(CODASPY),San Antonio,TX,USA,2011

17 Wu Q,Mu Y,Susilo W,et al.Joux A(ed).Asymmetric group key agreement.EUROCRYPT 2009,Springer,Heidelberg,2009:153～170

18 Goldwasser S,Micali S,Rivest R.A digital signature scheme secure against adaptive chosen-message attacks.SIAM J Computing,1988,17(2):281～308

19 Chaum D,Pederson P T.E F Brichell(ed).Wallet databases with observers.Advances in Cryptology-CRYPTO’92,LNCS 740,1993:89～105