趙海春，姚宣霞，鄭雪峰

1) 內(nèi)蒙古民族大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，通遼 028000 2) 北京科技大學(xué)計(jì)算機(jī)與通信工程學(xué)院，北京 100083

由于云計(jì)算有諸多優(yōu)勢(shì)，許多個(gè)人和組織選擇將其數(shù)據(jù)和業(yè)務(wù)流程轉(zhuǎn)移到云存儲(chǔ)中，以減輕本地存儲(chǔ)的負(fù)擔(dān)并降低相應(yīng)的維護(hù)成本[1?2]. 然而，與傳統(tǒng)的系統(tǒng)相比，用戶對(duì)存儲(chǔ)在云中的數(shù)據(jù)失去了直接的物理控制. 因此，盡管云計(jì)算基礎(chǔ)設(shè)施比個(gè)人計(jì)算設(shè)備更加強(qiáng)大和可靠，但由于云計(jì)算存在著各種內(nèi)部和外部的威脅，數(shù)據(jù)安全和隱私保護(hù)問題仍然是用戶采用云服務(wù)的核心考慮因素[3].

由于云存儲(chǔ)服務(wù)器（Cloud storge server, CSS）可能是不完全可信的，因此，用戶需要定期檢查其存儲(chǔ)在云中的數(shù)據(jù)是否完好無損. 由于用戶一般只有有限的計(jì)算、存儲(chǔ)空間和網(wǎng)絡(luò)帶寬等資源，因此，可以將數(shù)據(jù)完整性驗(yàn)證的任務(wù)委托給一個(gè)專業(yè)的第三方審計(jì)者（Third party auditor，TPA）來完成[4?6]. 然而，這將導(dǎo)致用戶數(shù)據(jù)及相關(guān)信息在審計(jì)過程中會(huì)泄漏給TPA，由此引出了隱私保護(hù)的問題. 近年來，研究人員基于同態(tài)認(rèn)證碼、隨機(jī)掩碼和數(shù)據(jù)塊隨機(jī)抽樣等技術(shù)，提出了隱私保護(hù)的云存儲(chǔ)公共審計(jì)方案，以實(shí)現(xiàn)遠(yuǎn)程檢查外包數(shù)據(jù)的完整性[5, 7?8]. 其中，一些方案中，由于在數(shù)據(jù)塊簽名的構(gòu)造中包含了與塊索引i相關(guān)的信息，例如，如果該哈希值出現(xiàn)重復(fù)，可能會(huì)遭受數(shù)據(jù)塊簽名的偽造攻擊[10]. 因此，使得設(shè)計(jì)和維護(hù)相關(guān)的索引表變得繁瑣. 針對(duì)這個(gè)問題，本文中提出了一個(gè)結(jié)構(gòu)簡(jiǎn)單且易于維護(hù)的索引-存根表（Index-stub table,IST）結(jié)構(gòu)，并基于該結(jié)構(gòu)提出了一個(gè)隱私保護(hù)的云存儲(chǔ)公共審計(jì)方案. 該方案能夠有效地支持遠(yuǎn)程數(shù)據(jù)的動(dòng)態(tài)更新及在審計(jì)過程中數(shù)據(jù)的隱私保護(hù)性，其中的數(shù)據(jù)塊簽名構(gòu)造中，未涉及塊索引相關(guān)的信息. 文中基于CPoR證明框架[11]和相關(guān)的歸約證明方法[12]，針對(duì)方案所提供的數(shù)據(jù)的完整性保證及其在審計(jì)過程中數(shù)據(jù)的隱私保護(hù)屬性分別給出了形式化的安全證明.

1 相關(guān)工作

2007年，Ateniese等[13]基于同態(tài)可驗(yàn)證標(biāo)記（Homomorphic verifiable tags，HVTs），提出了“可證明數(shù)據(jù)擁有”（PDP）模型，并在該模型下，提出了兩個(gè)PDP方案，方案中通過從服務(wù)器端隨機(jī)抽取數(shù)據(jù)塊來生成對(duì)數(shù)據(jù)擁有的概率證明. 該方案被認(rèn)為是第一個(gè)同時(shí)提供無塊驗(yàn)證和公共驗(yàn)證的方案. Juels和Kaliski[14]提出了一個(gè)“可取回性證明”（PoR）模型，并提出了一個(gè)PoR方案，通過使用抽樣檢查和糾錯(cuò)碼等技術(shù)，確保了對(duì)外包數(shù)據(jù)的可擁有性和可取回性. 但是，用戶能夠執(zhí)行的驗(yàn)證次數(shù)是預(yù)先確定的，而且方案未能支持公共可審計(jì)性. 在此基礎(chǔ)上，Shacham等[11]設(shè)計(jì)了一個(gè)CPoR（Compact PoR）模型，并在Juels-Kaliski模型中給出了CPoR模型能夠抵御任意敵手的安全性證明. 文中基于BLS簽名技術(shù)提出了一個(gè)公共可驗(yàn)證的CPoR方案. 2009年，Erway等[15]基于跳躍表結(jié)構(gòu)，提出了支持動(dòng)態(tài)數(shù)據(jù)操作的PDP（Dynamic PDP，DPDP）. 該方案利用跳躍表結(jié)構(gòu)來確保數(shù)據(jù)塊簽名的完整性，并通過數(shù)據(jù)塊簽名的完整性來保證數(shù)據(jù)塊的完整性. 該方案能夠有效地支持外包數(shù)據(jù)的動(dòng)態(tài)操作. 2011年，Wang等[16]提出了一個(gè)能夠同時(shí)支持動(dòng)態(tài)數(shù)據(jù)操作和公共可審計(jì)的方案，方案中的認(rèn)證信息是通過Merkle哈希樹（MHT）進(jìn)行管理的，樹中葉節(jié)點(diǎn)的數(shù)據(jù)項(xiàng)值為H(mi). 然而，Liu等在文獻(xiàn)[6]中指出，由于該方案中的MHT沒有包含塊索引信息，所以，該結(jié)構(gòu)不能夠驗(yàn)證數(shù)據(jù)塊的索引值，由此可能會(huì)導(dǎo)致替換攻擊. 同時(shí)，Liu等提出了一個(gè)基于自上而下的多副本MHT的云存儲(chǔ)大數(shù)據(jù)公共審計(jì)方案，該方案支持動(dòng)態(tài)數(shù)據(jù)更新. 2013年，通過利用隨機(jī)掩碼技術(shù)對(duì)響應(yīng)信息進(jìn)行盲化處理，Wang等[5]又提出了隱私保護(hù)的公共審計(jì)方案. 然而，文中對(duì)動(dòng)態(tài)數(shù)據(jù)操作部分沒有給出清晰的描述. Yu等在文獻(xiàn)[7]中提出了一個(gè)基于身份的支持完美數(shù)據(jù)隱私保護(hù)的遠(yuǎn)程云存儲(chǔ)審計(jì)方案. Mo等在文獻(xiàn)[8]中提出了一個(gè)云存儲(chǔ)中不可否認(rèn)的數(shù)據(jù)擁有驗(yàn)證方案，該方案不僅可以讓用戶檢測(cè)到云服務(wù)器是否丟失了用戶的數(shù)據(jù)，還可以保護(hù)云服務(wù)器不被惡意用戶敲詐. 2015年，基于多項(xiàng)式剩余定理，Yuan和Yu[17]提出了一種公共可驗(yàn)證的云存儲(chǔ)PoR方案，該方案中用戶端的通信量和計(jì)算開銷均為常量. 在此方案的基礎(chǔ)上，Zhang等[18]提出了一個(gè)改進(jìn)的安全模糊審計(jì)協(xié)議. 研究人員還提出了其他一些遠(yuǎn)程數(shù)據(jù)完整性檢查的方案[19?24]，這些方案分別對(duì)遠(yuǎn)程數(shù)據(jù)完整性檢查的不同方面進(jìn)行了研究.

2 問題陳述

2.1 系統(tǒng)模型

本文中研究的云存儲(chǔ)數(shù)據(jù)審計(jì)系統(tǒng)包括：云用戶、CSS和TPA等三個(gè)實(shí)體，如圖1所示.

圖 1 包含CSS、云用戶和TPA的云存儲(chǔ)架構(gòu)Fig.1 Cloud storage architecture with CSS, cloud users, and TPA

云用戶是數(shù)據(jù)所有者，他們有大量數(shù)據(jù)文件需要存儲(chǔ)在CSS中，并且可以通過與CSS交互來訪問和動(dòng)態(tài)更新他們的數(shù)據(jù). 由云服務(wù)提供商（CSP）管理的CSS具有大量的存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)帶寬等資源. 存儲(chǔ)在云中的用戶數(shù)據(jù)由CSP管理和維護(hù). TPA具有大多數(shù)用戶所不具備的專業(yè)技術(shù)和能力，并且可以在用戶的委托下代表用戶對(duì)外包數(shù)據(jù)進(jìn)行完整性審計(jì).

為確保外包數(shù)據(jù)的完整性和正確性，用戶需定期進(jìn)行檢查. 為了節(jié)省計(jì)算資源和網(wǎng)絡(luò)帶寬等，用戶可以將此任務(wù)委托給TPA. 然而，在審計(jì)過程中他們一般不希望數(shù)據(jù)內(nèi)容被泄露給TPA.

在這個(gè)模型中，本文假設(shè)云服務(wù)器沒有動(dòng)機(jī)向任何外部實(shí)體透漏其所托管的數(shù)據(jù). 同時(shí)，還假設(shè)TPA沒有動(dòng)機(jī)在審計(jì)過程中與CSP或用戶串通，然而，TPA對(duì)用戶的數(shù)據(jù)內(nèi)容是感興趣的.

2.2 設(shè)計(jì)目標(biāo)

在此模型下，文中提出了一個(gè)云存儲(chǔ)公共審計(jì)方案，該方案預(yù)期達(dá)到的設(shè)計(jì)目標(biāo)如下.

（1）公共可審計(jì)性：在用戶的委托下，允許第三方審計(jì)者（TPA）在不下載整個(gè)文件副本的情況下，驗(yàn)證外包數(shù)據(jù)的完整性.

（2）存儲(chǔ)正確性：確保不存在能夠在沒有完好地存儲(chǔ)云用戶數(shù)據(jù)的情況下通過TPA審計(jì)的CSP.

（3）隱私保護(hù)：確保TPA不能從審計(jì)過程中收集的信息獲取用戶的數(shù)據(jù)內(nèi)容.

（4）高性能：TPA能以較小的通信量和計(jì)算開銷完成對(duì)外包數(shù)據(jù)的完整性審計(jì).

（5）支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作：允許數(shù)據(jù)所有者隨時(shí)對(duì)云存儲(chǔ)中的數(shù)據(jù)進(jìn)行修改、插入和刪除數(shù)據(jù)塊等更新操作.

3 基于索引-存根表的云存儲(chǔ)審計(jì)方案

3.1 索引-存根表

索引-存根表（Index-stub table, IST）是一個(gè)二維表，表中只有兩個(gè)數(shù)據(jù)項(xiàng)：數(shù)據(jù)塊的序號(hào)和數(shù)據(jù)塊的存根值，如表1所示. 每個(gè)數(shù)據(jù)塊對(duì)應(yīng)的存根值為(H(mi))α/β，該值是數(shù)據(jù)塊認(rèn)證符（或簽名）構(gòu)造中的一個(gè)組成部分，其中，mi為第i個(gè)數(shù)據(jù)塊，α和β為用戶的密鑰. 用戶端保留存根，而將數(shù)據(jù)塊的認(rèn)證符作為票據(jù)發(fā)送給服務(wù)器，如圖2所示.

表 1 索引-存根表Table 1 Index-stub table

圖 2 存根與票據(jù)Fig.2 Stub and ticket

如果沒有密鑰，任何人偽造出有效的存根都是困難的. 通過IST表，用戶可以有效地監(jiān)視服務(wù)器端的行為. 存根值可以用于檢查數(shù)據(jù)塊認(rèn)證符是否完整，進(jìn)而通過認(rèn)證符的完整性來驗(yàn)證數(shù)據(jù)塊的完整性. 同時(shí)，能夠保證數(shù)據(jù)塊的順序不會(huì)被改變. 相比于MVT表[9]和IHT表[4]，IST表結(jié)構(gòu)更簡(jiǎn)單、更易于維護(hù)，而且無需考慮塊索引值重復(fù)而引發(fā)的偽造攻擊.

將數(shù)據(jù)文件上傳到服務(wù)器之后，IST表保存在用戶端. 當(dāng)用戶對(duì)數(shù)據(jù)文件進(jìn)行數(shù)據(jù)塊修改、插入和刪除等操作時(shí)，IST表也要進(jìn)行相應(yīng)地更新.當(dāng)用戶委托第三方審計(jì)者對(duì)數(shù)據(jù)進(jìn)行完整性審計(jì)時(shí)，還要給TPA發(fā)送一個(gè)IST表的副本，此后，只有數(shù)據(jù)進(jìn)行了更新操作，才會(huì)再次發(fā)送副本.

3.2 方案描述

本文遵循了文獻(xiàn)[16, 25?27]中使用的概念，在CPoR模型[11]和文獻(xiàn)[28]中的相關(guān)方法的基礎(chǔ)上，基于索引-存根表結(jié)構(gòu)，提出了一個(gè)隱私保護(hù)的云存儲(chǔ)審計(jì)的方案.

該方案包括兩個(gè)算法KeyGen(1k)，St(sk,F)和一個(gè)交互式審計(jì)協(xié)議Audit(CSP,TPA)[29?30].

設(shè)S=(p,G,GT,e)為一個(gè)雙線性映射群系統(tǒng)，隨機(jī)選取兩個(gè)生成元g,h∈RG，其中，G,GT是兩個(gè)階為大素?cái)?shù)p的群. 函數(shù)H(·)是一個(gè)安全的密碼學(xué)哈希函數(shù)，即H:{0,1}?→G，它將字符串均勻地映射到G中. 另一個(gè)散列函數(shù)h(·)，將GT中的群元素均勻地映射到Zp，即，h:GT→Zp.

St(sk,F)：將文件F切分成n×s個(gè)區(qū)，mij∈Zp. 云用戶選擇s個(gè)隨機(jī)值τ1,···τs∈Zp作為文件的秘密值，并計(jì)算uj=gτj∈G,1≤j≤s和每個(gè)數(shù)據(jù)塊i的認(rèn)證符：

用戶從Zp中均勻隨機(jī)地選取fn作為文件F的標(biāo)識(shí)符. 設(shè)t0為“fn||n||u1||···||us”，云用戶計(jì)算SSigssk(t0)，并將t=t0||SSigssk(t0)作為F在私鑰ssk下的文件標(biāo)記. 然后，用戶將F連同認(rèn)證符集合Φ=(σ1,···,σn)上傳到服務(wù)器，上傳完成后，這些數(shù)據(jù)可以從本地存儲(chǔ)器中刪除. 用于檢查外包數(shù)據(jù)完整性的IST表，需要保存在用戶的本地存儲(chǔ)器中，在對(duì)文件進(jìn)行各種更新操作時(shí)，由用戶來維護(hù).

當(dāng)用戶委托一個(gè)TPA來完成數(shù)據(jù)完整性檢查時(shí)，被授權(quán)的TPA首先提取文件標(biāo)記t，利用spk檢查t中簽名的有效性，如果驗(yàn)證失敗，則發(fā)出“錯(cuò)誤”并退出；否則，TPA恢復(fù)出fn. 然后，可以定期啟動(dòng)下面的審計(jì)協(xié)議.

Audit(CSP,TPA): 它是一個(gè)在CSP和TPA之間的三步（3-move）協(xié)議，運(yùn)行過程描述如下所示.

（1）承諾階段（CSP→TPA）：CSP選擇s個(gè)隨機(jī)值λj∈RZp， (1≤j≤s)，然后計(jì)算Tj=ujλj，(1≤j≤s)，并將值：{Tj}1≤j≤s，作為承諾信息發(fā)送給TPA.

（2）挑戰(zhàn)階段（CSP←TPA）：收到承諾信息后，TPA隨機(jī)選擇一組挑戰(zhàn)信息Chal={c,k1,k2}，其中，c是要驗(yàn)證的數(shù)據(jù)塊的個(gè)數(shù)，k1,k2分別是偽隨機(jī)置換πk和偽隨機(jī)函數(shù)fk的隨機(jī)密鑰. πk和fk分別用于生成被挑戰(zhàn)的c個(gè)數(shù)據(jù)塊的索引值sx(1≤x≤c,1≤sx≤n)和對(duì)應(yīng)的線性運(yùn)算系數(shù)vi(i∈{sx|1≤x≤c},vi∈RZp). 現(xiàn)假設(shè)用I表示c個(gè)隨機(jī)索引值的集合{sx}1≤x≤c， 用Q表示被挑戰(zhàn)塊的索引值與其系數(shù)構(gòu)成的對(duì)集合{(i,vi)}i∈I. 接下來，TPA將挑戰(zhàn)信息Chal發(fā)送給證明者CSP.

（3）應(yīng)答階段（CSP→TPA）：在接收到Chal后，CSP隨機(jī)選擇r∈Zp，并計(jì)算sx=πk1(x)，vi=fk2(x)，ψ=e(gr,h)，γ=h(ψ)，σ和μ，其中，

然后，證明者CSP將響應(yīng)值θ=(σ,μ,ψ)發(fā)送給驗(yàn)證者TPA.

驗(yàn)證：TPA計(jì)算γ=h(ψ)，然后，驗(yàn)證下面的等式是否成立，如果成立，輸出“接受”，否則，輸出“拒絕”.

對(duì)于每一個(gè)隨機(jī)挑戰(zhàn)Q及其正確的響應(yīng)值，方程的正確性可闡述如下：

等式的右邊=

等式的左邊

因此，這意味著方程對(duì)于正確的應(yīng)答信息是有效的.

3.3 支持批量審計(jì)

當(dāng)TPA同時(shí)處理D個(gè)不同用戶分別對(duì)D個(gè)不同文件進(jìn)行審計(jì)的委托時(shí)，為了更高效地完成審計(jì)任務(wù)，通過擴(kuò)展該方案使其具有批量審計(jì)功能. 如果集合Q中的i值在被審計(jì)文件的文件塊數(shù)量范圍之內(nèi)，則可以將該文件的審計(jì)任務(wù)添加到批審計(jì)中，以實(shí)現(xiàn)對(duì)多個(gè)審計(jì)任務(wù)的一次性執(zhí)行.批量審計(jì)相對(duì)于分別單獨(dú)審計(jì)來說，可以將計(jì)算消耗稍大的雙線性對(duì)操作（Pairing operation, PO）的數(shù)量從2D減少到D+1.

假設(shè)第k個(gè)用戶選擇的參數(shù)為uk,j∈RG, 1≤k≤D,用戶的外包文件為文件名為fnk，文件標(biāo)記為文件中第i個(gè)數(shù)據(jù)塊的簽名是:

CSP選擇的參數(shù)為λk,j∈RZp，然后計(jì)算Tk,j=uk,jλk,j并將其作為用戶k的承諾. TPA選擇挑戰(zhàn)值為Chal={c,k1,k2}，并將其發(fā)送到CSP. 接收到Chal后，CSP計(jì)算出Q={(i,vi)}i∈I，隨機(jī)選擇rk∈RZp，然后，計(jì)算ψk=e(grk,h)和

在接收到CSP的響應(yīng)信息后，TPA檢查下面的等式是否成立，如果成立，輸出“接受”，否則，輸出“拒絕”.

3.4 支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作

該方案能夠?qū)ν獍鼣?shù)據(jù)進(jìn)行各種數(shù)據(jù)塊級(jí)的動(dòng)態(tài)操作，包括：修改（‘M’）、插入（‘I’）和刪除（‘D’）數(shù)據(jù)塊等操作，這幾種動(dòng)態(tài)操作的過程描述如下.

3.4.1 修改操作

對(duì)于一個(gè)文件F={m1,m2,···,mn}，假設(shè)用戶想要將某個(gè)數(shù)據(jù)塊mi修改為數(shù)據(jù)塊，用戶執(zhí)行PrepareUpdate(·)算法以完成以下操作.

在收到用戶的修改操作請(qǐng)求后，CSS執(zhí)行PerformUpdate(·)算法以完成以下操作.

（1）將數(shù)據(jù)塊mi替換為，獲得文件F的一個(gè)新版本；

（2）將集合Φ中的σi替換為.

3.4.2 插入操作

對(duì)于文件F={m1,m2,···,mn}，假設(shè)用戶想要在第i個(gè)數(shù)據(jù)塊后面的位置插入一個(gè)新的數(shù)據(jù)塊用戶執(zhí)行PrepareUpdate(·)算法來完成以下操作.

在收到用戶的插入操作請(qǐng)求后，CSS執(zhí)行PerformUpdate(·)算法來完成以下操作.

（1）在文件F中第i塊后面的位置插入數(shù)據(jù)塊mi+1′，從而獲得文件F的一個(gè)新版本；

（2）將σi+1′插入到集合Φ中第i個(gè)位置后面.

3.4.3 刪除操作

如果用戶想要?jiǎng)h除文件F中第i個(gè)數(shù)據(jù)塊，首先，從IST表中刪除第i條記錄，并向CSS發(fā)送刪除操作請(qǐng)求“update =(fn,D,i,mi,σi)”.

在收到用戶的這個(gè)請(qǐng)求后，CSS運(yùn)行PerformUpdate(·)算法來執(zhí)行以下操作.

（1）刪除數(shù)據(jù)塊mi，獲得文件的一個(gè)新版本；

（2）從集合Φ中刪除σi.

4 安全分析

4.1 可靠性（Soundness）分析

可靠性意味著證明者錯(cuò)誤的響應(yīng)值被驗(yàn)證者接受為正確的響應(yīng)值的可能性很小. 在此上下文中，這意味著如果用戶的外包數(shù)據(jù)沒有被完好地保存時(shí)，那么CSS將無法對(duì)TPA的挑戰(zhàn)生成有效的響應(yīng)，如定理1中所述. 我們的安全性證明依賴于計(jì)算Diffie-Hellman問題和離散對(duì)數(shù)問題在雙線性群中是困難的假設(shè).

定理1 如果CSS能夠通過Audit(·)協(xié)議的數(shù)據(jù)完整性審計(jì)驗(yàn)證過程，那么，它確實(shí)完好無損地存儲(chǔ)著指定的數(shù)據(jù).

基于CPoR中的證明方法（文獻(xiàn)[11]中定理4.2），我們?cè)陔S機(jī)預(yù)言機(jī)模型中給出了定理1的證明.

現(xiàn)存在一個(gè)挑戰(zhàn)者和一個(gè)敵手A（即，惡意的CSP）. 挑戰(zhàn)者構(gòu)造了一個(gè)模擬器S，它將為敵手A模擬出該方案的整個(gè)環(huán)境. 對(duì)于之前進(jìn)行過St問詢的任何文件F，敵手A都可以與挑戰(zhàn)者一起執(zhí)行Audit(·)的審計(jì)協(xié)議. 在這些協(xié)議執(zhí)行過程中，模擬器S扮演驗(yàn)證者的角色，而敵手A扮演證明者的角色：S(pk,sk,t)?A.

對(duì)于某個(gè)文件F，如果敵手A能夠以不可忽略的概率成功地偽造聚合簽名σ′，導(dǎo)致，且能夠通過數(shù)據(jù)完整性審計(jì)驗(yàn)證，那么，模擬器可以利用敵手A解決計(jì)算Diffie-Hellman困難問題.假設(shè)該模擬器的輸入值為h,X=hα,Y=hβ，其目標(biāo)是輸出hα·β.

設(shè)H:{0,1}?→G為一個(gè)哈希函數(shù)，將被建模為一個(gè)隨機(jī)預(yù)言機(jī). 模擬器將對(duì)隨機(jī)預(yù)言機(jī)H進(jìn)行編程. 當(dāng)回答敵手A的問詢時(shí)，模擬器隨機(jī)選擇， 并用hr∈G作為響應(yīng)值，當(dāng)回答形如H(mi)的問詢時(shí)，模擬器以下面描述的特殊方式對(duì)預(yù)言機(jī)進(jìn)行編程.

對(duì)于每個(gè)j, 1≤j≤s，模擬器選擇隨機(jī)值并設(shè)置uj←(X)ηj·hθj..

對(duì)于每個(gè)i, 1≤i≤n，模擬器選擇一個(gè)隨機(jī)值并將i值處的隨機(jī)預(yù)言機(jī)編程為

接下來，模擬器計(jì)算：

挑戰(zhàn)者保存一份對(duì)敵手A提出的St問詢的響應(yīng)列表. 然后，挑戰(zhàn)者觀察與對(duì)手A執(zhí)行的每一個(gè)Audit(·)審計(jì)協(xié)議的實(shí)例，如果在任何一個(gè)實(shí)例中，敵手是成功的（即，驗(yàn)證方程成立），但敵手的聚合簽名，則挑戰(zhàn)者宣告失敗并中止.

假設(shè)挑戰(zhàn)值Q={(i,vi)}是導(dǎo)致挑戰(zhàn)者中止的問詢，敵手對(duì)該問詢的響應(yīng)值是假設(shè)期望的響應(yīng)值為μ1,μ2,···,μs和σ，通過方案的正確性，可知期望的響應(yīng)值滿足驗(yàn)證方程：

因?yàn)樘魬?zhàn)者中止了，所以我們知道σ≠σ′并且σ′通過了驗(yàn)證方程：

可以觀察到，如果對(duì)于每個(gè)j，都有那么我們可以得到，這與我們上面的假設(shè)相矛盾. 因此，如果我們定義那么一定是集合{?μj}中至少有一個(gè)值是非零的. 設(shè)用等式（7）除以等式（6），我們得到

如前所述，我們知道σ′=σ. 由等式（6）和（7）可以得到：

通過代入μ和μ′的值，我們得到

因此，我們發(fā)現(xiàn)了解決離散對(duì)數(shù)問題的方法，

4.2 隱私保護(hù)保證

隱私保護(hù)屬性是確保TPA無法從審計(jì)過程中收集到的信息中提取用戶數(shù)據(jù).

定理2 TPA不能從CSP的響應(yīng)信息θ和IST表中的中提取用戶的數(shù)據(jù)內(nèi)容.

證明：由于mi，α和β的值對(duì)TPA都是隱藏的，因此H(mi)的值不能通過確定. 雖然e(H(mi),X)等于的值也不能從中計(jì)算出來. 因?yàn)橛傻贸龅耐瑯?gòu)被認(rèn)為是單向函數(shù)[31]，當(dāng)給定時(shí)，計(jì)算出P是不可行的. 因此，要從中恢復(fù)mi是困難的. 同理，從σ中提取σi也是困難的.

每一個(gè)λj都是由CSP隨機(jī)選擇的，而是它的逆值是通過值進(jìn)行了盲化處理，因此，在每次響應(yīng)中的μj值都均勻地分布在Zp中. 雖然TPA可以得到足夠多的數(shù)據(jù)塊mi及其系數(shù)vi的線性組合，但如果想要獲得μj?的值，則必須首先得到λj?1. λj可由Tj=ujλj, (1≤j≤s)計(jì)算得到，然而，這意味著要解決離散對(duì)數(shù)問題（DLP）. 由于DLP的困難假設(shè)，TPA在多項(xiàng)式時(shí)間內(nèi)計(jì)算出值是不可行的. 因此，從μj(1≤j≤s)中獲得用戶數(shù)據(jù)是困難的.元素，這兩個(gè)值對(duì)TPA都是隱藏的.

5 性能評(píng)價(jià)

為了評(píng)價(jià)該方案的性能，我們分別進(jìn)行了相關(guān)的理論分析和實(shí)驗(yàn)比較.

5.1 理論分析

理論分析的目的是從理論上將我們的方案與類似的方案在用戶端、服務(wù)器端和審計(jì)者等三方的計(jì)算開銷進(jìn)行比較.

首先，為了便于描述，在表2中指定了一些基本的運(yùn)算操作符號(hào)[32]. 接下來，對(duì)新提出的方案與文獻(xiàn)[5]中提出的方案在計(jì)算開銷方面進(jìn)行了相應(yīng)的比較和分析，如表3所示.

表 2 符號(hào)和相關(guān)操作說明Table 2 Notations of relevant operations

用戶端的主要運(yùn)算操作是計(jì)算文件中數(shù)據(jù)塊的簽名、文件的標(biāo)記和一些公共參數(shù). 將這些計(jì)算開銷合并在一起，即可得到用戶端的計(jì)算總開銷. 從表3中可以得出，在用戶端的計(jì)算開銷上，新提出的方案比文獻(xiàn)[5]中的方案多了，而對(duì)方相比于我們的方案多了所以，在用戶端的效率上，我們的方案要略優(yōu)于文獻(xiàn)[5]中方案.

服務(wù)器端的計(jì)算開銷包括生成審計(jì)階段的承諾信息和響應(yīng)信息兩個(gè)方面. 從表3中可以看出，在服務(wù)器端，文獻(xiàn)[5]中的方案比新提出的方案多出，由于有s?1次對(duì)操作（PO），這部分計(jì)算開銷較大. 而相比于文獻(xiàn)[5]中的方案，新提出的方案多出的計(jì)算開銷為，然而，將其中的指數(shù)運(yùn)算部分與對(duì)方多出的指數(shù)運(yùn)算相互抵消后，新提出的方案多出的計(jì)算開銷在總開銷中占的比例很小，幾乎是可以忽略不計(jì)的. 所以，新提出的方案在CSP端的計(jì)算開銷要優(yōu)于另一個(gè)方案. 而這兩個(gè)方案在TPA端的計(jì)算開銷基本相當(dāng). 因此，從理論分析可知，我們的方案是高效的.

5.2 實(shí)驗(yàn)比較

為了驗(yàn)證上述理論分析的結(jié)果，我們進(jìn)行了相關(guān)的實(shí)驗(yàn). 我們?cè)?.5.14版本的Pairing-based cryptography（PBC）庫(kù)上進(jìn)行了實(shí)驗(yàn)，實(shí)驗(yàn)在Ubuntu Linux系統(tǒng)上用C語言編程實(shí)現(xiàn). 硬件平臺(tái)配備主頻為3.60 GHz的Intel Core i7-4790 CPU、8 GB的DDR3內(nèi)存和7200轉(zhuǎn)/分的Seagate 1 TB驅(qū)動(dòng)器.實(shí)驗(yàn)中使用的橢圓曲線是一條MNT曲線，基域大小為159位，嵌入度為6.p的位長(zhǎng)度是160位. 測(cè)試數(shù)據(jù)是隨機(jī)生成的100 MB的文件.c值的選擇是基于文獻(xiàn)[13]中的概率框架. 所有實(shí)驗(yàn)結(jié)果均為30次試驗(yàn)的平均值.

表 3 不同的隱私保護(hù)方案之間的計(jì)算開銷比較Table 3 Comparison of the computation overhead of different privacy-preserving schemes

5.2.1c值的選擇

圖 3 概率框架的計(jì)算過程Fig.3 Computation process of the probabilistic framework

5.2.2 批審計(jì)的效率

為了驗(yàn)證批審計(jì)的效率是否真的優(yōu)于分別單獨(dú)審計(jì)的效率，在相同的實(shí)驗(yàn)環(huán)境下，對(duì)新提出的方案分別進(jìn)行了批量審計(jì)和分別單獨(dú)審計(jì)的相關(guān)實(shí)驗(yàn)測(cè)試. 在實(shí)驗(yàn)中，s取值為1，審計(jì)的任務(wù)數(shù)從10個(gè)增加到150個(gè)，每間隔10個(gè)做了一個(gè)實(shí)驗(yàn)，為了便于比較，將單獨(dú)一個(gè)任務(wù)的情況也進(jìn)行了實(shí)驗(yàn). 最后，用每次實(shí)驗(yàn)中得到的總審計(jì)時(shí)間除以相應(yīng)的任務(wù)數(shù)，得到了單個(gè)任務(wù)的平均審計(jì)時(shí)間，如圖4中所示，批量審計(jì)的平均審計(jì)時(shí)間明顯低于分別單獨(dú)審計(jì)的平均審計(jì)時(shí)間，可以使TPA節(jié)省大約4%的時(shí)間.

5.2.3 方案之間的比較

圖 4 批量審計(jì)與分別單獨(dú)審計(jì)的平均審計(jì)時(shí)間比較Fig.4 Comparison of the average audit time between the batch audit and separate audit

為了驗(yàn)證新提出的方案在審計(jì)過程中的效率，針對(duì)方案中的TPA和CSP的計(jì)算開銷，我們將該方案與文獻(xiàn)[5]中提出的方案分別進(jìn)行了實(shí)驗(yàn)比較，如圖5和6所示. 從圖5中可以看出，新提出的方案在TPA的計(jì)算開銷方面，略優(yōu)于另一個(gè)方案，但總體上兩個(gè)方案之間差別微小，因?yàn)樵谥迪嗤膬蓷l曲線之間的距離很小，只有在c=460時(shí)，基于IST表的方案的曲線，隨著s值的增加，斜率有減小趨勢(shì). 從圖6可以看出，就CSP的計(jì)算開銷而言，我們的方案在CSP端的計(jì)算開銷明顯優(yōu)于文獻(xiàn)[5]中提出的方案.

圖 5 TPA的計(jì)算時(shí)間比較Fig.5 Comparisons of the TPA computing time

圖 6 CSP的計(jì)算時(shí)間比較Fig.6 Comparisons of the CSP computing time

6 結(jié)論

本文中提出了一個(gè)索引-存根表的結(jié)構(gòu)，并基于該結(jié)構(gòu)提出了一個(gè)具有隱私保護(hù)屬性的云存儲(chǔ)第三方審計(jì)方案. 該方案能夠支持各種數(shù)據(jù)塊級(jí)的動(dòng)態(tài)操作. 通過索引-存根表結(jié)構(gòu)，可以有效地降低用戶端的維護(hù)難度. 相關(guān)的安全分析表明，該方案是可證明安全的，并且在TPA審計(jì)階段具有隱私保護(hù)的屬性. 在性能分析部分，進(jìn)行了相關(guān)的理論分析和實(shí)驗(yàn)比較，結(jié)果表明該方案是高效的.