金 瑜，蔡 超，何 亨

(1.武漢科技大學 計算機科學與技術學院，武漢 430065； 2.湖北省智能信息處理與實時工業(yè)系統(tǒng)重點實驗室，武漢 430065)

支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案

金 瑜1,2，蔡 超1,2*，何 亨1,2

(1.武漢科技大學 計算機科學與技術學院，武漢 430065； 2.湖北省智能信息處理與實時工業(yè)系統(tǒng)重點實驗室，武漢 430065)

在云計算中，數(shù)據(jù)通常由一組用戶共享。由于第三方審計可以通過數(shù)據(jù)塊的簽名獲取組成員的身份，為了保護群組成員的身份，現(xiàn)有對共享數(shù)據(jù)的公共審計方案都隱藏了組成員的身份。然而，身份的匿名性將導致一個組的成員可以惡意修改共享數(shù)據(jù)而不被發(fā)現(xiàn)，而且對于資源受限的設備，用戶在產(chǎn)生簽名的過程中計算量大。因此現(xiàn)有公共審計方案存在數(shù)據(jù)塊身份的不可追溯、用戶產(chǎn)生共享數(shù)據(jù)塊簽名的計算量大等問題。針對上述問題，提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案(ASDA)。該方案利用安全中介者代替用戶簽名，保護了群組成員的身份，在簽名的同時保存用戶的信息，通過這些信息，可以追溯到數(shù)據(jù)塊是由哪一個組成員修改，從而保證數(shù)據(jù)塊身份可追溯性；而且利用新的數(shù)據(jù)塊致盲技術，減少用戶端計算量。實驗結果表明，所提方案與利用第三方媒介存儲共享云數(shù)據(jù)(SDVS)方案相比，減少了用戶端計算時間，并且能夠實現(xiàn)共享數(shù)據(jù)塊身份的可追溯性。

云計算；共享數(shù)據(jù)；公共審計；輕量；可追溯性

0 引言

云存儲是在云計算(cloud computing)上延伸和發(fā)展出來的一個新概念，是一種新興的網(wǎng)絡存儲技術。當云計算系統(tǒng)運算和處理核心是大量數(shù)據(jù)存儲和管理時，該系統(tǒng)就轉變成為一個云存儲系統(tǒng)。簡單來說，云存儲就是將儲存資源放到云上供人存取的一種新興方案。使用者可以在任何時間、任何地點，通過任何連網(wǎng)裝置連接到云上方便地存取數(shù)據(jù)。通過云計算中的數(shù)據(jù)存儲和共享服務，用戶能夠以一個組的形式共享數(shù)據(jù)。作為組中的一名成員，用戶不僅可以訪問這些共享數(shù)據(jù)，而且可以修改這些共享數(shù)據(jù)。盡管云計算能夠讓用戶之間共享數(shù)據(jù)更加方便，但是由于云存儲中存在一些安全性因素，用戶仍然關心他們的數(shù)據(jù)是否安全，特別是數(shù)據(jù)的完整性。解決這個問題的方法最有效的方法是利用第三方審計者(Third Party Auditor, TPA)對共享數(shù)據(jù)進行審計，驗證共享數(shù)據(jù)的完整性。但是第三方審計者(TPA)在驗證數(shù)據(jù)的完整性的過程中能夠獲取到數(shù)據(jù)塊身份，即每一個共享數(shù)據(jù)塊簽名者身份。如果不保護這些身份信息，共享數(shù)據(jù)組中的機密信息(例如組中哪個用戶扮演更重要的角色或在共享數(shù)據(jù)中哪一個數(shù)據(jù)塊具有更高價值)，會泄漏給第三方審計者(TPA)。

雖然目前關于共享數(shù)據(jù)的公共審計方案都很好地解決了在公共審計時數(shù)據(jù)塊身份信息保護問題，也支持群組的動態(tài)變化。但是，對于那些惡意修改共享數(shù)據(jù)的群組成員，無法追蹤其身份，而且在用戶端，在產(chǎn)生數(shù)據(jù)塊簽名過程中計算量大，對于資源有限的用戶耗時較長。本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案，實現(xiàn)了數(shù)據(jù)塊身份的可追溯性，而且對于資源受限的用戶端，可以減少其負擔。

1 相關工作

如何保證云服務器中存儲的用戶數(shù)據(jù)沒有被修改、刪除或者泄露，成為一個亟需解決的重要安全性問題。Deswarte 等[1]利用哈希函數(shù)來驗證云服務器存儲文件的完整性，允許客戶端使用相同元數(shù)據(jù)進行多次挑戰(zhàn)，但是該方案的缺點在于：云服務器要對整個數(shù)據(jù)文件取冪，并且需要訪問所有文件塊，計算復雜度大，效率低。Sebe等[2]提出了基于Diffie-Hellman問題的文件完整性檢查方案，但該方案的缺點是用戶存儲花銷較大，并且也需要云服務器在產(chǎn)生證明的過程中訪問所有文件。

Ateniese等[3]第一次提出了數(shù)據(jù)擁有證明的公開審計方案(Provable Data Possession, PDP)，該方案允許客戶在不取回整個文件的情況下，驗證數(shù)據(jù)的完整性；但是該方案僅適用于靜態(tài)數(shù)據(jù)。為了提高云數(shù)據(jù)審計的有效性，Juels等[4]提出了“可回取證明模型”(Proof of Retrievability, POR)，利用隱藏在正常存儲文件中的附加數(shù)據(jù)塊(也稱作“哨兵塊”)去檢測服務器端的數(shù)據(jù)是否被完好地存儲；但是，此方案可審計的次數(shù)需要預先設定，而且不支持公開審計。Shacham等[5]設計了另一個版本的可回取證明方案(POR)，該方案利用雙線性對簽名(BiLinear pairings Signature, BLS)短簽名[6]實現(xiàn)了公共審計；Wang等[7]利用Merkle哈希樹構造了支持動態(tài)更新的公共審計方案，這兩個方案都支持完全動態(tài)操作，但是均存在數(shù)據(jù)的隱私泄露問題。Wang等[8]通過使用隨機掩碼保護用戶數(shù)據(jù)的隱私，但是該方案不支持數(shù)據(jù)動態(tài)操作。Yang等[9]在方案中利用雙線性對的性質對隱私數(shù)據(jù)進行加密，保證了用戶數(shù)據(jù)隱私；并且采用了數(shù)據(jù)碎片技術，對數(shù)據(jù)塊再進行分塊，使得一個數(shù)據(jù)塊包含多個二級文件塊，從而減少了簽名數(shù)量。

隨著云計算的發(fā)展，數(shù)據(jù)共享得到了許多專家學者的關注。Yu等[10]提出通過云服務器的存儲和共享服務，用戶可以以一個群組的形式共享數(shù)據(jù)；作為一個群組成員有權利查看共享數(shù)據(jù)和修改共享數(shù)據(jù)。盡管用戶可以方便地共享數(shù)據(jù)，但是數(shù)據(jù)的完整性仍然是重要的安全性問題[11-12]，利用TPA進行公共審計會產(chǎn)生數(shù)據(jù)的身份隱私泄露問題[13]。

Wang等[14]充分考慮了在公共審計過程中數(shù)據(jù)的身份隱私問題，提出了一種利用環(huán)簽名保護群組成員身份隱私方案，采取環(huán)簽名的方法，能夠保證TPA在驗證數(shù)據(jù)完整性的同時，保護數(shù)據(jù)的身份隱私；但是該方案的簽名數(shù)量隨著組成員的數(shù)量線性增長，用戶端的計算量較大，因此不支持大的用戶群組。Shen 等[15]提出了一種對共享數(shù)據(jù)隱私保護的輕量級審計方案，充分考慮到了資源限制的用戶端的計算有限性，采用數(shù)據(jù)的致盲方式，讓第三方媒介(Third Party Medium, TPM)代替群組用戶對數(shù)據(jù)進行簽名，不僅減輕了用戶端的負擔，也保證了共享數(shù)據(jù)公共審計時的身份隱私，同時也保護了數(shù)據(jù)擁有者的身份；但是該方案不支持群組動態(tài)，也不支持數(shù)據(jù)塊的可追溯性。Wang等[16]提出另外一種共享數(shù)據(jù)隱私保護的公共審計方法，利用動態(tài)廣播技術，讓組成員在修改共享數(shù)據(jù)的時候，以數(shù)據(jù)擁有者的身份進行簽名，從而保護了組成員的身份隱私，不僅實現(xiàn)了群組成員對數(shù)據(jù)的動態(tài)操作，而且支持群組動態(tài)；但是該方案并沒有保護數(shù)據(jù)擁有者的身份，使得TPA在公共審計的時候竊取到數(shù)據(jù)擁有者的身份，也不支持數(shù)據(jù)塊的可追溯性。Wang等[17]又提出利用第三方媒介存儲共享云數(shù)據(jù)(Storing shared Data on the cloud Via Security-mediator, SDVS)方案，引入一個安全中介者(SEcuriry-Mediator, SEM)，同樣采用數(shù)據(jù)致盲的方式，數(shù)據(jù)擁有者通過安全中介者(SEM)的簽名服務獲取所有數(shù)據(jù)塊的簽名，在公共審計時，TPA只能獲取到數(shù)據(jù)是由SEM簽名,并且SEM能夠實現(xiàn)群組的動態(tài)。該方案對SEM定義為：一種提供簽名服務的服務器，能夠按照用戶的要求執(zhí)行某種操作，但是可能會竊取到用戶的隱私數(shù)據(jù)。然而，在組成員進行惡意修改共享數(shù)據(jù)等行為時，該方案不能夠追溯到組成員的身份，并且該方案采取的數(shù)據(jù)致盲方式，對于資源有限的用戶端負擔較大。

針對SDVS方案不能夠追溯到組成員的身份和用戶端負擔較大的不足，本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案(A Scheme of sharing cloud Data Audit supporting user traceability and lightweight, ASDA)。該方案利用文獻[15]中的數(shù)據(jù)致盲方式，減少了用戶端的計算量，并且在SEM代替群組用戶對數(shù)據(jù)塊進行簽名時，保存用戶的身份信息，從而達到了數(shù)據(jù)塊身份的可追溯性。不同方案的對比如表1所示。ASDA相比SDVS具有以下優(yōu)勢：1)對于共享數(shù)據(jù)中的每一個數(shù)據(jù)塊，本文方案能夠追溯到該數(shù)據(jù)塊身份，即數(shù)據(jù)塊由哪個群組成員簽名；2)對于群組成員，能夠減輕其計算負擔。

表1 不同方案的對比Tab. 1 Comparison of different schemes

2 ASDA構造

2.1 預備知識

2.1.1 雙線性圖

假設都是素數(shù)階為p的乘法循環(huán)群g1、g2都是G1生成元；一個雙線性圖的構造方法是e:G1×G1→G2。那么e具有以下幾個性質：

1)雙線性性：?m,n∈G1?e(ma,nb)=e(m,n)ab；

2)非退化性：e(g1,g2)≠1;

3)可計算性：e能夠被有效地計算。

2.1.2 動態(tài)廣播技術

廣播加密技術(Broadcast Encryption, BE)[18]能夠使廣播者通過廣播信道，傳輸加密信息給群組成員；僅僅群組成員可以解密該信息。與傳統(tǒng)的BE相比，動態(tài)BE(Dynamic BE, DBE)[19]能夠有效地支持群組的動態(tài)變化。例如，廣播者將信息m用算法進行加密：DBE.Encek(m,U),其中ek為加密密鑰，為U用戶列表。群組用戶能夠解密該信息：m=DBE.Decdki(DBE.Enc(m,U))，其中dki為群組成員的解密密鑰。

2.1.3 數(shù)據(jù)盲化

2.2 系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示。系統(tǒng)中包含五個實體：組管理者(Group Manager)、組成員(Group Member)、云服務器(Cloud Server)、安全中介者(SEM)，以及公共審計方(TPA)。該方案的大致過程如下：

1.初始化，原始用戶即組管理者添加群組成員，創(chuàng)建共享群組廣播列表U，利用動態(tài)廣播技術在群組中廣播群組密鑰,并且將群組成員的偽公鑰集合φ發(fā)送給SEM。

2.群組成員上傳新的數(shù)據(jù)塊到服務器上進行數(shù)據(jù)共享，或者上傳新數(shù)據(jù)塊對共享數(shù)據(jù)進行修改，首先將致盲的數(shù)據(jù)塊以及對數(shù)據(jù)塊的匿名簽名θ發(fā)送給SEM。

圖1 本文方案的系統(tǒng)模型Fig. 1 System model of the proposed scheme

3.SEM收到致盲的數(shù)據(jù)塊后,首先判斷上傳致盲數(shù)據(jù)塊的用戶是否為群組成員，若是，則為該成員提供簽名服務，將致盲數(shù)據(jù)的簽名發(fā)送給群組成員；同時保存該成員對數(shù)據(jù)塊的匿名簽名，產(chǎn)生數(shù)據(jù)塊匿名簽名表。

4.群組成員收到致盲簽名后，驗證盲簽名的正確性，將數(shù)據(jù)塊以及致盲簽名發(fā)送給服務器；服務器收到群組成員發(fā)送的數(shù)據(jù)后,對盲簽名進行處理得到真正的數(shù)據(jù)簽名，保存數(shù)據(jù)以及簽名。

5.群組動態(tài)變化過程，群組成員加入或者退出時群管理員通知SEM更新偽公鑰集合φ；群組成員加入時，群管理者還需要通過動態(tài)廣播將群組私鑰發(fā)送給新群組成員。

6.驗證數(shù)據(jù)完整性過程，用戶向公共審計方發(fā)送驗證請求。

7.公共審計方收到驗證請求后，向云服務器發(fā)送挑戰(zhàn)Challenge。

8.云服務器收到挑戰(zhàn)后產(chǎn)生完整性驗證證據(jù)Proof發(fā)送給公共審計方。

9.公共審計方根據(jù)驗證算法Verify驗證用戶數(shù)據(jù)的完整性，并將驗證結果發(fā)送給用戶。

10.追溯數(shù)據(jù)塊的過程，群管理者取得SEM中保存的群組成員對數(shù)據(jù)塊的匿名簽名，通過群組私鑰對匿名簽名進行還原，判斷該數(shù)據(jù)塊由哪個群組成員簽名。

2.3 威脅模型及安全目標

本文的威脅模型主要考慮四種攻擊：

1)服務器在出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)保存不完整等情況下，為了維護自己的名聲或者避免損失金錢，可能會欺騙公共審計方。

2)安全中介者(SEM)在對組成員數(shù)據(jù)簽名的過程中可能會竊取組成員的數(shù)據(jù)內容以及身份。

3)在公共審計的過程中，由于服務器產(chǎn)生證明給公共審計方時，同時也會將線性的數(shù)據(jù)塊組合和數(shù)據(jù)塊的簽名發(fā)送給公共審計方；審計方會通過這些線性數(shù)據(jù)塊組合竊取共享數(shù)據(jù)的內容，并且通過數(shù)據(jù)塊的簽名竊取到數(shù)據(jù)塊對應的組成員身份。

4)組成員在修改共享數(shù)據(jù)的時候，可能會存在一些惡意的修改，導致共享數(shù)據(jù)的不可用；而組管理者無法知道是哪一個組成員做出的惡意修改。

事實上，在云環(huán)境中，本文假設云服務器是半信任的，也就是云服務器會遵守整個協(xié)議，不會惡意地破壞用戶數(shù)據(jù)的完整性，也不會惡意地破壞整個協(xié)議；但是可能會因為自身的利益欺騙用戶。另外本文假設安全中介者也是半可信的，也就是安全中介者也會遵守整個協(xié)議；但是可能會竊取用戶的隱私。

為了克服這些威脅，本文方案的目標是達到下面的安全目標：

1)公共審計：公共審計方能夠代表用戶正確的驗證共享數(shù)據(jù)的完整性。

2)身份隱私：無論是SEM還是TPA都不能竊取到數(shù)據(jù)塊身份。

3)數(shù)據(jù)隱私：在TPA進行審計以及SEM對組成員數(shù)據(jù)簽名過程中，公共審計方和安全中介者都不能夠竊取到共享數(shù)據(jù)的內容。

4)可追溯性：組管理者能夠追溯到數(shù)據(jù)塊身份(即數(shù)據(jù)塊由哪個組成員簽名)。

2.4 ASDA詳述

本文設計了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案。在本文方案中，群組成員上傳數(shù)據(jù)以及修改共享數(shù)據(jù)，都可以從安全中介者獲取簽名；因此在公共審計時，TPA只能夠知道數(shù)據(jù)是SEM進行簽名的，從而保護了組管理者和組成員的身份。而且組成員在通過SEM進行簽名時，能夠保存該組成員的身份；能夠實現(xiàn)數(shù)據(jù)塊身份的追溯性。本文的方案主要由Setup、UploadData、Join、Revoke、Challenge、Response、Verify、Trace這八個算法組成。

1)Setup。G1、G2是兩個以p為素數(shù)階的乘法循環(huán)群，g是G1的生成元，雙線性圖e:G1×G1→G2。全局參數(shù)為{g,H,e,p,μ1,μ1,…,μs}，其中H為哈希函數(shù)，H:{0,1}*→G1，μ1,μ2,…,μs是從G1中隨機產(chǎn)生的s個生成元。

表2 用戶廣播列表Tab. 2 User broadcast list

2)UploadData。群組成員uk上傳新數(shù)據(jù)到服務器上進行數(shù)據(jù)共享或者修改共享數(shù)據(jù)。SEM為群組成員uk提供數(shù)據(jù)塊簽名服務，對于數(shù)據(jù)mi={mi,1,mi,2,…,mi,si},si表示數(shù)據(jù)塊包含二級文件塊個數(shù)。群組成員uk上傳數(shù)據(jù)過程分為以下四個步驟，如圖2所示。

圖2 群組成員上傳數(shù)據(jù)塊mi到服務器的過程Fig. 2 Process of group members uploading data block mi to the server

表3 數(shù)據(jù)塊追溯表Tab. 3 Data block traceability table

3)Join。群管理者在用戶廣播列表U中添加一個用戶u′，新的用戶廣播列表表示為：U′=U∪u′,u′?U，隨后利用DBE.Encek(y,U)對y重新加密，并且將加密秘鑰發(fā)送給u′。用戶u′可以通過y=DBE.Decdk′(DBE.Encek(y,U))獲取群組私鑰，其中u′∈U′，dk′是用戶u′的解密私鑰。隨后組管理者將Pk′1/y發(fā)送給SEM，添加到SEM存儲的偽公鑰集合中。

5)Challenge。為了審計共享數(shù)據(jù)的完整性，TPA向服務器發(fā)起挑戰(zhàn)：

公共審計方(TPA)從[1,n]中隨機選取c個元素的子集I={ss1,ss2,…,ssc}(假設{ss1≤ss2≤…≤ssc})。對于每一個ssi∈I，TPA會對應地選取vvi∈Zp，然后隨機選取η∈Zp，計算ε=(v)η，因此TPA產(chǎn)生的挑戰(zhàn)可以表示為：chal=({vvi,i}i∈I,ε)，并且將chal發(fā)送給云服務器。

3 安全性分析

本文方案ASDA與SDVS相比，安全性并沒有降低。下面分為三個部分進行安全性分析，從而證明方案的可靠性。

1)公共審計過程中的安全性。

定理1 在公共審計過程中，云服務器返回正確的證據(jù)，公共審計方審計時能夠通過驗證。

證明 如果云服務器的證據(jù)正確，則u*e(Hchal,v)=e(?,gη)成立。證明過程與方案[10]類似，本文省略。

定理2 在公共審計過程中，云服務器不能夠偽造數(shù)據(jù)簽名來通過TPA的審計。

2)群組成員上傳新數(shù)據(jù)，進行數(shù)據(jù)共享或者修改共享數(shù)據(jù)過程的安全性。

定理3 SEM不能夠偽造數(shù)據(jù)的簽名來通過服務器的驗證。

定理4 群組成員不能夠偽造數(shù)據(jù)塊idi的簽名θi通過SEM的驗證。

3)用戶的隱私安全。

定理5 公共審計方不能夠根據(jù)已收到的數(shù)據(jù)獲取到群組成員的私密數(shù)據(jù)。

證明 本文采取了文獻[10]方案的方法，利用雙線性對的性質，防止TPA通過數(shù)據(jù)塊的線性組合推導出用戶的數(shù)據(jù)隱私信息。

定理6 SEM不能夠根據(jù)收到的致盲數(shù)據(jù)獲取到群組成員的私密數(shù)據(jù)。

定理7 SEM不能夠獲取到群組成員的身份隱私。

證明 由于群組用戶提供的簽名θi是由公式θi=[H(idi)]skk/y計算而來，所提供的公鑰為Pk=Pk1/y，SEM若想知道該數(shù)據(jù)塊的身份隱私，必須能夠計算出群組成員的公鑰Pkk，但是由于y是未知的，SEM不能計算出Pkk。

4 性能分析

在實驗中，客戶端、云服務器、安全中介者、TPA運行環(huán)境如下：1)軟件環(huán)境：操作系統(tǒng)為32位Windows 7，開發(fā)軟件為Eclipse，編程語言為Java、JPBC(Java Pairing-Based Cryptography)：jpbc-2.0.0，密碼學應用程序接口(Application Program Interface, API)完成方案中的算法。2)硬件環(huán)境：CPU為Intel Core i3 2.10 GHz，RAM為2.00 GB。

本文采用λ=80 b為安全參數(shù)，因此G1、G2中的生成元|p|=160 b，二級文件塊大小為20 B。

本實驗的云審計系統(tǒng)由6臺PC組成。本文使用3臺 PC 機來搭建 Cassandra 云存儲服務器，用于存儲用戶的數(shù)據(jù)和數(shù)據(jù)簽名，并且在用戶數(shù)據(jù)公共審計時提供證據(jù)；1臺PC作為SEM完成數(shù)據(jù)的簽名；1臺PC作為云用戶，1臺PC作為TPA。

圖3 群組成員的計算時間與二級文件塊劃分塊數(shù)的關系Fig. 3 Relationship between computation time of group members and number of second-level file partition blocks

實驗二 在群組成員上傳新數(shù)據(jù)塊到云服務器過程中，本文考察二級文件塊塊數(shù)變化時，SEM與用戶端總的計算量的變化情況。由圖4可知，對于SEM與用戶總的計算量，本文的方案ASDA略微大于SDVS。但是在本文的方案ASDA中，主要的計算量在SEM端，并且支持數(shù)據(jù)的可追溯性。

圖4 SEM和群組用戶的計算時間與二級文件塊劃分塊數(shù)的關系Fig. 4 Relationship between computation time of group users and SEM and number of second-level file partition blocks

實驗三 由于本文的方案ASDA采用了數(shù)據(jù)塊追溯表來存儲用戶對數(shù)據(jù)塊標識符的簽名，能夠達到數(shù)據(jù)塊身份的可追溯性。本文考察數(shù)據(jù)塊塊數(shù)變化時，數(shù)據(jù)塊追溯表存儲量的變化情況。數(shù)據(jù)追溯表中的每一行數(shù)據(jù)存儲空間為20 B。從圖5可以看出，當數(shù)據(jù)塊個數(shù)由1到100 000變化時，所需要花費的存儲空間小于2 MB，存儲消耗較小。

圖5 數(shù)據(jù)追溯表存儲量與數(shù)據(jù)塊數(shù)的關系Fig. 5 Relationship between storage of data traceability table and data block number

5 結語

針對目前動態(tài)共享數(shù)據(jù)公共審計方案不能夠追溯到組成員的身份和用戶端負擔較大的不足，本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計方案(ASDA)。在ASDA中，利用新的數(shù)據(jù)致盲方式，減少了用戶端的計算量，并且在SEM代替群組用戶對數(shù)據(jù)塊進行簽名時，保存用戶的身份信息，從而達到了數(shù)據(jù)塊身份的可追溯性。從安全性角度來看，SEM保存群組成員身份信息以及群管理者通知SEM群組變化時，保護了群組成員身份隱私，SEM無法了解群組成員的真實身份。實驗結果表明：ASDA與目前的方案SDVS比較，不僅減少了群組成員的計算量，而且能夠支持數(shù)據(jù)塊身份的可追溯性。

References)

[1] DESWARTE Y, QUISQUATER J J, SA?DANE A. Remote integrity checking [C]// Proceedings of the Sixth Working Conference on Integrity and Internal Control in Information Systems, IFIPAICT 140. Berlin: Springer, 2004: 1-11.

[2] SEBE F, MARTINEZ-BALLESTE A, DESWARTE Y. Time-bounded remote file integrity checking, Technical Report 04429 [R]. Tarragona, Spain: Universitat Rovira i Virgili, 2004.

[3] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores [C]// Proceedings of the 2007 14th ACM Conference on Computer and Communications Security. New York: ACM, 2007: 598-609.

[4] JUELS A, KALISKI B S, Jr. Pors: proofs of retrievability for large files [C]// Proceedings of the 2007 14th ACM Conference on Computer and Communications Security. New York: ACM, 2007: 584-597.

[5] SHACHAM H, WATERS B. Compact proofs of retrievability [C]// ASIACRYPT 2008: Proceedings of the 2008 14th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology. Berlin: Springer, 2008: 90-107.

[6] BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing [J]. Journal of Cryptology, 2004, 17(4): 297-319.

[7] WANG Q, WANG C, REN K, et al. Enabling public auditability and data dynamics for storage security in cloud computing [J]. IEEE Transactions on Parallel & Distributed Systems, 2011, 22(5): 847-859.

[8] WANG C, WANG Q, REN K, et al. Privacy-preserving public auditing for data storage security in cloud computing [C]// Proceedings of the IEEE INFOCOM 2010. Piscataway, NJ: IEEE, 2010: 1-15.

[9] YANG K, JIA X H. An efficient and secure dynamic auditing protocol for data storage in cloud computing [J]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(9): 1717-1726.

[10] YU S C, WANG C, REN K, et al. Achieving secure, scalable, and fine-grained data access control in cloud computing [C]// INFOCOM 2010: Proceedings of the 2010 29th IEEE International Conference on Information Communications. Piscataway, NJ: IEEE, 2010: 534-542.

[11] 梁彪,曹宇佶,秦中元,等.云計算下的數(shù)據(jù)存儲安全可證明性綜述[J].計算機應用研究,2012,29(7):2416-2421.(LIANG B, CAO Y J, QIN Z Y, et al. Survey of proofs on data storage security in cloud computing [J]. Application Research of Computers, 2012, 29 (7): 2416-2421.)

[12] 秦志光,吳世坤,熊虎.云存儲服務中數(shù)據(jù)完整性審計方案綜述[J].信息網(wǎng)絡安全,2014(7):1-6.(QIN Z G, WU S K, XIONG H. A review on data integrity auditing protocols for data storage in cloud computing [J]. Netinfo Security, 2014 (7): 1-6.)

[13] 王少輝,陳丹偉,王志偉,等.一種新的滿足隱私性的云存儲公共審計方案[J].電信科學,2012,28(9):15-21.(WANG S H, CHEN D W, WANG Z W, et al. A new solution of privacy-preserving public auditing scheme for cloud storage security [J]. Telecommunications Science, 2012, 28 (9): 15-21.)

[14] WANG B Y, LI B C, LI H. Oruta: privacy-preserving public auditing for shared data in the cloud [C]// CLOUD 2012: Proceedings of the 2012 IEEE Fifth International Conference on Cloud Computing. Washington, DC: IEEE Computer Society, 2012: 295-302.

[15] SHEN W T, YU J, XIA H, et al. Light-weight and privacy-preserving secure cloud auditing scheme for group users via the third party medium [J]. Journal of Network and Computer Applications, 2017, 82: 56-64.

[16] WANG B Y, LI H, LI M. Privacy-preserving public auditing for shared cloud data supporting group dynamics [C]// Proceedings of the 2013 IEEE International Conference on Communications. Piscataway, NJ: IEEE, 2013: 1946-1950.

[17] WANG B Y, CHOW S S M, LI M, et al. Storing shared data on the cloud via security-mediator [C]// ICDCS 2013: Proceedings of the 2013 IEEE 33rd International Conference on Distributed Computing Systems. Piscataway, NJ: IEEE, 2013: 124-133.

[18] BONEH D,GENTRY C, WATERS B. Collusion resistant broadcast encryption with short ciphertexts and private keys [C]// CRYPTO 2005: Proceedings of the 2005 25th Annual International Conference on Advances in Cryptology. Berlin: Springer, 2005: 258-275.

[19] DELERABLéE C, PAILLIER P, POINTCHEVAL D. Fully collusion secure dynamic broadcast encrytpion with constant-size ciphertexts or decryption keys [C]// Proceedings of 2007 International Conference on Pairing-Based Cryptography, LNCS 4575. Berlin: Springer, 2007: 39-59.

This work is partially supported by the National Natural Science Foundation of China (61303117, 61602351).

JINYu, born in 1973, Ph. D., professor. Her research interests include cloud computing, peer to peer computing, trust model.

CAIChao, born in 1993, M. S. candidate. His research interests include cloud computing security, cloud audit.

HEHeng, born in 1985, Ph. D., professor. His research interests include cryptography, attribute encryption, security control mechanism.

Schemeofsharingclouddataauditsupportingusertraceabilityandlightweight

JIN Yu1,2, CAI Chao1,2*, HE Heng1,2

(1.CollegeofComputerScienceandTechnology,WuhanUniversityofScienceandTechnology,WuhanHubei430065,China;2.HubeiProvincialKeyLaboratoryofIntelligentInformationProcessingandReal-timeIndustrialSystem,WuhanHubei430065,China)

The data is usually shared by a group of users in cloud computing. The third party auditor can obtain the the identities of group members through their signatures of data blocks. In order to protect the identities of group members, the existing public audit schemes for shared data all hide the identities of group members. However, the anonymity of identity leads to the problem that a member of the group can change the shared data maliciously without being found, and the amount of computation is large for resource constrained devices in the process of generating signature for users. The existing public audit schemes have the problems that the identity of data block can not be traced and the amount of calculation of generating shared data block signature is large. In order to solve the above problems, A Scheme of sharing cloud Data Audit supporting user traceability and lightweight (ASDA) was proposed. Firstly, the security mediator was used to replace the user signature to protect the identities of group members. The information of user was saved while signing and it could be traced back that the data block was modified by which member through the above information, which could ensure the traceability of the identity of data block. Then, a new data block blinding technology was used to reduce the amount of client computing. The experimental results show that, compared with Storing shared Data on the cloud Via Security-mediator (SDVS) scheme, the proposed scheme reduces the computing time of users and realizes the traceability of shared data blocks.

cloud computing; shared data; public audit; light weight; traceability

2017- 05- 08;

2017- 08- 08。

國家自然科學基金資助項目(61303117，61602351)。

金瑜(1973—)，女，湖北武漢人，教授，博士，CCF會員，主要研究方向：云計算、對等計算、信任模型； 蔡超(1993—)，男，湖北黃岡人，碩士研究生，主要研究方向：云計算安全、云審計； 何亨(1985—)，男，湖北武漢人，教授，博士，主要研究方向：密碼學、屬性加密、安全控制機制。

1001- 9081(2017)12- 3417- 06

10.11772/j.issn.1001- 9081.2017.12.3417

(*通信作者電子郵箱973427045@qq.com)

TP393.08

A