劉光軍，郭網媚，熊金波，劉西蒙，董長宇

（1.西安文理學院信息工程學院，陜西 西安 710065；2.西安電子科技大學綜合業(yè)務網理論及關鍵技術國家重點實驗室，陜西 西安 710071；3.福建師范大學數(shù)學與信息學院，福建 福州 350117；4.福州大學數(shù)學與計算機科學學院，福建 福州 350108；5.英國紐卡斯爾大學計算機學院，紐卡斯爾 NE4 5TG）

1 引言

當前，云計算和大數(shù)據(jù)已成為推動信息技術發(fā)展和促進應用創(chuàng)新的熱點技術，具有非常廣闊的應用前景[1]。同時，基于網絡編碼的再生編碼技術，已經得到了學術界的廣泛關注[2]。研究表明，將再生編碼技術應用在分布式云存儲系統(tǒng)中，可以實現(xiàn)節(jié)點存儲量和失效修復帶寬方面的最優(yōu)均衡。然而，如何保證再生編碼分布式云存儲數(shù)據(jù)的安全可靠是該類系統(tǒng)應用中面臨的一個重要挑戰(zhàn)[3-5]。

在外包數(shù)據(jù)安全可靠性方面，學術界已經取得了大量研究成果。根據(jù)使用的系統(tǒng)場景，這些成果大致可以分為數(shù)據(jù)持有性證明（PDP,provable data posesion）和數(shù)據(jù)可恢復證明（PoR,proof of retrievability）[6-10]、容錯編碼方案[2,4,11-14]等。前者主要適用于單服務器或單云系統(tǒng)，使用聚合審計方式提高審計的效率；后者主要適用于多服務器或多云系統(tǒng)，大多采用多備份和糾錯編碼等技術實現(xiàn)數(shù)據(jù)的有效恢復。雖然這些方案在傳統(tǒng)云計算應用中表現(xiàn)尚好，但是如果把它們直接應用到再生編碼分布式存儲應用中，其技術實現(xiàn)付出的開銷可能已經抵消了再生碼本應具備的性能優(yōu)勢。

當前，學者在再生編碼云存儲的外包數(shù)據(jù)審計檢驗領域也做出了大量的工作。根據(jù)審計密鑰共享的方式，這些工作大體可分成2 類，即公開審計策略[10,15-17]和私有審計策略[11-12,18-19]。前者只能用公鑰密碼技術實現(xiàn)，任何公開實體都可以對用戶的云端存儲數(shù)據(jù)進行完整性檢測，計算代價較高；后者中審計者在檢測時通常需要知曉用戶的私鑰信息，常用相對高效的對稱密碼技術實現(xiàn)，多適用于用戶能力受限的應用場景。雖然公開審計策略具有更強的安全性，但運行過程中引入了高昂的計算和通信開銷，已經嚴重影響了再生編碼技術的可用性。因此，出于對存儲系統(tǒng)綜合效能的考慮，私有審計策略是當前基于再生編碼大數(shù)據(jù)云存儲系統(tǒng)較實用合理的選擇。

考慮到離線用戶計算資源的有限性，與傳統(tǒng)云審計方法類似，現(xiàn)有再生編碼云存儲系統(tǒng)大都將審計工作委托給第三方實體來進行。相應地，用戶數(shù)據(jù)審計交互過程的隱私保護也成為用戶主要考量的因素。為解決這個問題，常見的做法是用戶在數(shù)據(jù)外包上傳之前對其進行離線靜態(tài)預加密（例如使用對稱加密[10]或同態(tài)加密[20-21]等手段）。但是，這種方法一旦應用于實時大數(shù)據(jù)分布式處理系統(tǒng)，不僅嚴重限制了系統(tǒng)為用戶提供數(shù)據(jù)的在線分析和處理服務，而且大幅增加了數(shù)據(jù)應用中的計算負擔和通信代價。此外，失效節(jié)點數(shù)據(jù)修復過程中需要進行頻繁的加解密操作，將降低嚴重拖累再生碼存儲系統(tǒng)的性能。

值得注意的是，如果云處理中心或相應的數(shù)據(jù)編碼機制能保證數(shù)據(jù)的隱私安全，用戶只需要將數(shù)據(jù)編碼信息及其認證標簽外包存儲到云上即可，這將為大數(shù)據(jù)的實時分析提供極大的便利，是與傳統(tǒng)預加密存儲完全不同的情形，而在此情形下實現(xiàn)審計的高效性、可靠性和隱私保護等問題并未得到有效解決。采用云服務器直接對數(shù)據(jù)進行簡單的在線實時加密并不是一種安全可行的策略，因為用戶無法對這些云端加密結果實時生成合法有效的認證標簽。

迄今為止，現(xiàn)有研究還沒有給出一種上述可在再生編碼存儲系統(tǒng)中在線實施的高效隱私保護安全審計方法。文獻[17]提出了利用公鑰掩碼技術來解決這個問題，但在大數(shù)據(jù)外包處理的應用場景將會產生很高的計算開銷，而且已被證明存在一些審計安全問題[22]。文獻[11-12]分別提出了適用于再生碼分布式存儲系統(tǒng)的遠程認證機制，但前者涉及大量對編碼向量的對稱加解密操作，后者完全不支持隱私保護功能。文獻[23]利用擬態(tài)技術解決了存儲數(shù)據(jù)的可靠性和安全性問題，但沒有考慮服務器不可信場景下的審計認證問題。Le 等[18]利用網絡編碼認證的思想提出了一種性能高效的分布式審計方案NC-Audit，可以高效地實現(xiàn)節(jié)點修復功能。但是，該方案要求云存儲中心必須知道用戶的主密鑰信息，并不滿足隱私保護實際應用需求。文獻[19]利用數(shù)據(jù)預加密、基于糾錯碼的同態(tài)加密和Toeplitz哈希函數(shù)[24]構造了存儲數(shù)據(jù)的完整性檢測方案，但該方案的安全性還有待論證。同時，該方案涉及復雜的糾錯譯碼操作，故計算開銷較大。此外，文獻[25]將再生碼存儲技術引入了區(qū)塊鏈應用場景，構造了區(qū)塊鏈網絡中的數(shù)據(jù)安全存儲和恢復方案，但沒有涉及數(shù)據(jù)審計問題?？傮w來看，現(xiàn)有適用于再生碼系統(tǒng)的數(shù)據(jù)審計研究雖取得了一定的研究成果，但在執(zhí)行效率或安全性能上還很不理想，仍然沒有打破分布式存儲系統(tǒng)整體效能提升的性能瓶頸。

與現(xiàn)有離線預加密實現(xiàn)隱私保護的云存儲審計方式不同，本文主要針對基于再生碼的大數(shù)據(jù)存儲系統(tǒng)，提出了一種高效的具備隱私保護功能的外包數(shù)據(jù)審計方案。該方案具有以下特點。

1) 動態(tài)加密和在線審計的融合。傳統(tǒng)離線預加密策略不能有效適用于再生編碼系統(tǒng)的在線審計場景，簡單在線加密方法無法在外包審計場景實現(xiàn)阻止審計端獲取用戶隱私信息的目的。為解決此問題，本文在存儲服務器端設計了一種可以快速實施的動態(tài)隨機掩碼機制，不僅保證了與審計服務的有效兼容，而且可以阻止審計端對審計響應消息的隱私提取。

2) 輕量型代數(shù)審計。利用網絡編碼代數(shù)子空間認證思想，所提方案對數(shù)據(jù)向量和線性掩碼向量進行了一些特殊的正交化同態(tài)認證編碼，構造了一種基于代數(shù)正交判定的審計驗證技術。本文采用這種正交代數(shù)編碼手段完成了在線隱私加密與數(shù)據(jù)審計功能的無縫融合，實現(xiàn)了傳統(tǒng)預加密存儲機制無法達成的隱私認證功能。

3) 低開銷的實現(xiàn)效能。所提方案有效融合了密碼技術和信息理論安全技術，盡可能避免了使用耗時的公鑰密碼操作（例如，大整數(shù)模指數(shù)或雙線性對運算）。方案的核心操作主要涉及有限域上的乘法和加法運算，具有較低的計算開銷。方案采用向量聚合認證模式，審計過程通信開銷也較小。

2 系統(tǒng)與安全模型

2.1 系統(tǒng)和功能模型

本文考慮基于云計算的分布式聚集存儲和處理的應用場景。數(shù)據(jù)處理中心采用基于再生碼的分布式云架構，系統(tǒng)架構和功能模型如圖1 所示。分布式云存儲審計系統(tǒng)包含3 類實體，即云服務提供商（CSP,cloud service provider）、用戶和第三方審計者（TPA,third party auditor）。CSP 由若干分布式存儲節(jié)點組成，這些節(jié)點協(xié)作運行網絡編碼分布式存儲協(xié)議；用戶即云數(shù)據(jù)服務的訂閱使用者；審計者可以實時對云端外包數(shù)據(jù)進行完整性檢測，一旦TPA 檢測到云平臺中某個存儲節(jié)點出現(xiàn)存儲錯誤，系統(tǒng)將會啟動該存儲節(jié)點的數(shù)據(jù)修復過程。

圖1 基于再生碼的云存儲系統(tǒng)架構和功能模型

為方便后文描述，表1 列舉了本文中常用的參數(shù)符號表示。

表1 參數(shù)符號表示

用戶U 利用網絡編碼技術對文件數(shù)據(jù)進行編碼，然后將其分布式地存放在云存儲系統(tǒng)各節(jié)點N1,N2,…,Nn～上。不失一般性，接下來描述U 對節(jié)點Ns(?s∈[n～])上存儲數(shù)據(jù)的編碼過程。

圖2給出了用戶將一個由m個數(shù)據(jù)塊組成的文件經過再生編碼后外包存儲到包含n～個存儲節(jié)點的分布式系統(tǒng)的過程。用戶通過任意k個存儲節(jié)點就可以完全恢復文件數(shù)據(jù)。當某個存儲節(jié)點發(fā)生故障時，系統(tǒng)可以借助任意d（k≤d≤n～ ?1）個正常節(jié)點獲取γ=dβ（β≤σ）個數(shù)據(jù)塊來恢復故障節(jié)點中存儲的數(shù)據(jù)。根據(jù)節(jié)點恢復后的數(shù)據(jù)與之前存儲的數(shù)據(jù)的異同，再生碼修復機制包括功能性修復和精確性修復。根據(jù)σ和γ的最優(yōu)折中曲線，常用的2 種再生編碼是最小存儲再生（MSR,minimum-storage regenerating）碼和最小帶寬再生（MBR,minimum-bandwidthregenerating）碼[2,4]，其對應的(σ,γ)值分別為

實際上，圖2 即為MSR 碼的典型構造過程。

圖2 再生碼存儲系統(tǒng)中用戶文件的編碼和外包存儲過程

由于節(jié)點數(shù)據(jù)修復問題并不會對本文審計機制造成實質性的影響，因此后文中將不再考慮此問題，僅專注討論系統(tǒng)審計過程的安全可靠性。

2.2 安全模型

本文假設CSP 中各存儲節(jié)點之間可以安全通信，始終忠實地執(zhí)行云存儲審計相關協(xié)議。各節(jié)點之間不存在共謀，每個存儲節(jié)點都有充分可靠的安全機制來保護用戶的外包信息數(shù)據(jù)，但各個節(jié)點總是試圖獲取用戶私有密鑰的信息。系統(tǒng)中各節(jié)點可能為了節(jié)省存儲開銷而刪除用戶極少訪問的部分數(shù)據(jù)，也可能為了自身商業(yè)信譽或利益而向用戶隱瞞因各種原因造成的存儲數(shù)據(jù)損壞。系統(tǒng)中各存儲節(jié)點與TPA 之間的信道是不安全的，因此需要對傳輸中的消息進行保護處理。為了節(jié)省計算資源和降低審計開銷，用戶將云存儲數(shù)據(jù)的審計任務授權委托給TPA。系統(tǒng)中TPA 是一個獨立可靠的實體，可以保證密鑰的安全性和知曉必要的審計元數(shù)據(jù)，雖無法與CSP 中各存儲節(jié)點進行共謀，但有窺探和泄露用戶文件隱私數(shù)據(jù)的強烈動機和可能性。這些是遠程數(shù)據(jù)審計中依賴TPA 進行完整性檢查時的合理假設[10]。在系統(tǒng)協(xié)議執(zhí)行期間，CSP、TP 和U 三者之間的交互或響應都能正確合法地執(zhí)行。

用戶除了對數(shù)據(jù)進行必要的預編碼操作之外，不對存儲在云端的數(shù)據(jù)進行靜態(tài)預加密操作，其目的是確保CSP 能有效實施大規(guī)模數(shù)據(jù)的實時分析和處理。這對再生編碼存儲數(shù)據(jù)的外包應用具有非常重要的實用價值。

3 面向再生編碼云存儲的隱私保護審計協(xié)議

3.1 隱私保護審計模型

根據(jù)系統(tǒng)和安全模型，本文設計的隱私保護審計協(xié)議包括Setup 階段和Audit 階段。其中，Setup階段包含2 個子階段KeyGen 和SigUpload，Audit階段包含2 個子階段ChalResp 和VeriProof。

在Setup 運行階段，系統(tǒng)首先利用KeyGen 設置安全密鑰和協(xié)議執(zhí)行參數(shù)，然后在SigUpload 運行階段生成用戶編碼數(shù)據(jù)的審計認證標簽，并將用戶編碼數(shù)據(jù)及其認證標簽信息統(tǒng)一上傳到分布式云存儲系統(tǒng)中，同時生成（針對敵手TPA 的）隱私加密輔助信息。

TPA 和CSP 在Audit 階段執(zhí)行“挑戰(zhàn)?應答”模式的審計交互操作。首先，TPA 向CSP 發(fā)起審計挑戰(zhàn)（Challenge）；其次，CSP 執(zhí)行響應操作（Response），實時構造挑戰(zhàn)數(shù)據(jù)向量（和認證標簽）的聚合消息，并將該消息的即時加密結果（挑戰(zhàn)應答）發(fā)送給TPA；最后TPA 可以根據(jù)CSP 的應答，執(zhí)行VeriProof 算法完成審計驗證。

與現(xiàn)有同類方案（例如文獻[10]）相比，本文方案的不同之處在于ChalResp 操作。該操作不僅完成了數(shù)據(jù)審計操作，而且實現(xiàn)了挑戰(zhàn)信息（針對敵手TPA）的實時隱私保護功能。

3.2 隱私保護審計協(xié)議描述

為區(qū)分各次審計檢測任務，協(xié)議為每一次審計檢測過程設定了唯一的任務標簽wid，該標簽與存儲服務器索引和文件標簽關聯(lián)。同時，本文引入2 個偽隨機函數(shù)（PRF,pseudo-random function），即F1:KIDZ+→Fq，F(xiàn)2:KW IDZ+→Fq。其中，Z+為正整數(shù)集合，K為偽隨機函數(shù)的密鑰集，ID 為文件標識符集合，WID 為審計任務的標識符集合。

由于U 對各存儲節(jié)點的審計方式相同，因此，本文僅描述U 與CSP 中單個存儲節(jié)點Ns(?s∈[n～])的協(xié)議交互執(zhí)行過程。再生編碼云存儲隱私保護審計協(xié)議交互過程如圖3 所示，該過程包括Setup 階段和Audit 階段。

圖3 再生編碼云存儲隱私保護審計協(xié)議交互過程

3.2.1 Setup 階段

1) KeyGen 子階段

此階段主要完成審計系統(tǒng)相關密鑰生成和服務器端掩碼向量空間的配置工作。

3.2.2 Audit 階段

此階段是TPA 和存儲節(jié)點Ns之間的數(shù)據(jù)審計檢測的交互過程。

在Audit 階段中，式(6)和式(7)的主要作用是實現(xiàn)對響應消息的隱私加密基本功能，阻止了TPA通過收集響應消息解出存儲在Ns上的外包編碼數(shù)據(jù)，同時確保了TPA 對響應消息的可驗證性。這種方法特有的高效性和有效性是常規(guī)的預加密外包存儲技術難以達到的。

4 方案理論分析

4.1 正確性驗證

如果存儲節(jié)點正確存儲了待審計文件，它返回的響應消息必然可以通過式(8)的驗證。

定理1如果上述方案能得到正確執(zhí)行，那么對于用戶存儲在分布式云處理系統(tǒng)中的任意一個文件，TPA 都可以正確地驗證存儲在系統(tǒng)各存儲節(jié)點上屬于該文件的編碼數(shù)據(jù)。

證明根據(jù)方案描述，只需要說明TPA 能正確驗證存儲節(jié)點Ns上的文件編碼數(shù)據(jù)即可。根據(jù)方案中和認證標簽的生成方法，可得

其中，0m+1表示長為m+1的零向量。

證畢。

實際上，式(9)說明任意一個合法的響應消息向量c總是在向量的正交子空間中，而合法的掩碼向量總是在向量的正交子空間里。這意味著式(8)同時滿足2 種正交關系。這種雙重正交的特性保證了式(9)和數(shù)據(jù)審計驗證的正確性和合理性。

4.2 安全性證明

所提方案使用隨機掩碼和正交編碼結合的技術實現(xiàn)了適用于再生編碼分布式存儲系統(tǒng)的隱私保護審計方法。根據(jù)系統(tǒng)安全模型和方案關鍵技術特征，該方法的安全性取決于用戶私有向量（或）、針對響應消息的隨機加密和審計認證機制三方面的安全性。相應地，這三方面的安全性分別由定理2～定理4 來保證。

定理2對于使用本文審計方案的再生編碼分布式云存儲系統(tǒng)，如果F1是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（CSP），解出用戶私有向量（或）的最大概率僅為q?1。

證明根據(jù)式(2)和的線性相關性可知，除了猜測之外，CSP 得到向量的最有利的方法是利用已知信息構造關于向量（含n個未知量）的線性方程組，即

利用定理2 可以很容易地發(fā)現(xiàn)文獻[18]中的NC-Audit 方案無法保證審計參數(shù)的安全性。這個結論是顯然的。事實上，CSP 完全可以構造類似式(10)的可解方程組。根據(jù)NC-Audit 的方案設計，該方程組的未知量個數(shù)不會多于關于未知量的方程個數(shù)，致使CSP 能以很大的概率解出用戶的隱私密鑰向量，使該方案的審計功能失效[26]。

定理3對于使用本文審計方案的再生編碼分布式云存儲系統(tǒng)，如果F1和F2是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（TPA），協(xié)議中的隨機掩碼技術實現(xiàn)了完善的隱私保密性。

根據(jù)定理3，對于一次審計來說，只要能保證β（i i= 1,2,…,n+1）的隨機性和保密性，向量集完全可以是公開的，不用對其進行專門的保密設計。根據(jù)式(12)，如果CSP 能保證集合中若干（至少一個）向量是保密的，而其他向量是公開的，那么CSP 在每次審計任務中只需要更新任意一個保密向量和所有公開向量的相應掩碼系數(shù)即可。這將顯著降低CSP 在協(xié)議運行期間的計算開銷。

值得注意的是，定理3 也保證了TPA 無法通過自身擁有的向量r反推關于明文消息向量的有用信息。因為TPA 無法得到的具體值，僅能利用式(8)來推導密文c的信息，顯然是不可能的。

定理4對于使用本文審計方案的再生編碼分布式云存儲系統(tǒng)，如果F1和F2是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（CSP），偽造了一個非法的認證三元組并成功通過審計檢測的概率最高為q?d，其中，d=n+m?ρ+1，ρ≤n+m。

證明對于敵手偽造的認證三元組，可能包含2 種情況。

情況1，即敵手選用某個合法的id，但y′不屬于文件id。

情況2，即敵手選用某個偽造的id′，但y和t是文件id（id ≠ id′）的合法認證數(shù)據(jù)。

根據(jù)方案構造，在外包存儲不同的文件（具有不同的id）時，由于用戶選用了不同的密鑰，則TPA 對這2 個文件的存儲數(shù)據(jù)進行審計檢測時也相應地需要使用完全獨立的審計向量（即用戶私有向量）。對于敵手來說，上述2 種偽造形式對審計機制的破解難度是相同的?；诖?，這里只需證明上述情況1 下審計檢測的安全性即可。

假設對于文件id，正如方案Setup 階段所示，用戶選用的私有審計向量為。如果敵手可以輸出一個非法的認證三元組且能通過審計機制的檢測，則y′和t′必然滿足以下2 個條件

這時，敵手將有能力構造一個關于中n+m+1個元素（ri i∈ [n+m+1]）的線性方程組

令式(15)中方程組系數(shù)矩陣的秩為ρ，則其解空間的維數(shù)為d=n+m?ρ+1 ≥ 1。此時無論t′取何值，該方程組可能解的個數(shù)都為qd。從敵手的視角來看，t′是Fq中按均勻分布選取的隨機值，因而敵手成功猜測到t′的真實值的最大概率為q?d。

證畢。

4.3 擴展功能分析

4.3.1 外包存儲隱私保護

為保證用戶外包數(shù)據(jù)的隱私性，常見的做法是在數(shù)據(jù)外包存儲之前用戶對數(shù)據(jù)實施預加密處理操作，使云服務器無法獲取用戶數(shù)據(jù)的內容。但在再生編碼存儲環(huán)境中，這種做法是影響再生編碼存儲系統(tǒng)性能的關鍵瓶頸。所以，本文沒有討論這種做法。實際上，再生編碼云存儲系統(tǒng)中對外包服務器的隱私保護是很容易實現(xiàn)的。一種最簡單的方法是規(guī)定每個文件在每個存儲節(jié)點存儲的外包編碼向量的個數(shù)少于m。通過合理設置參數(shù)和預編碼操作，常用的再生編碼基本上都能滿足這種需求。根據(jù)系統(tǒng)和安全模型描述，用戶文件數(shù)據(jù)向量組成了一個m維的向量空間，并且各個存儲節(jié)點之間不能共謀，那么各存儲節(jié)點就無法利用自身存儲的編碼向量恢復出用戶的數(shù)據(jù)向量。已有研究表明，通過靈活運用代數(shù)編碼方法，再生編碼存儲系統(tǒng)可以很容易地部署信息理論意義下更實用的弱安全隱私保護機制[27-28]。需要強調的是，針對云服務器的隱私保護機制設計超出了本文的研究范圍，但可以作為提升再生編碼存儲系統(tǒng)數(shù)據(jù)審計安全性的支撐技術。

4.3.2 存儲更新動態(tài)審計

基于再生碼的分布式存儲機制在數(shù)據(jù)很少被讀取或修改的應用場景（例如長期歸檔、數(shù)據(jù)托管和監(jiān)管存儲等）具有最佳的性能優(yōu)勢[14]。但在實際應用中，用戶可能會主動更新存儲的文件數(shù)據(jù)（包括插入、修改或刪除等操作）。從原理上說，本文的審計策略也可應用在此種情形。根據(jù)前文的系統(tǒng)描述，數(shù)據(jù)的動態(tài)更新（尤其是修改和刪除操作）可能會涉及目標文件和認證元數(shù)據(jù)的重構，從而會產生文件級規(guī)模的傳輸量，這對系統(tǒng)性能造成了一定的負面影響。但是，這個問題是由再生碼本身的編碼特性所決定的，除非引入公鑰密碼技術，單憑私有審計機制本身是無法解決的。因此，本文暫不考慮用戶主動更新外包數(shù)據(jù)時的動態(tài)審計過程。

5 方案性能分析

針對單文件的存儲過程，本節(jié)對審計協(xié)議中TPA 與CSP（僅考慮單個存儲節(jié)點）間的交互過程的計算量、通信量和存儲開銷進行具體分析。在計算開銷方面，本節(jié)主要考慮認證元數(shù)據(jù)（認證標簽和全局編碼向量）生成、在線隱私保護機制和完整性檢測中的乘法計算量；在通信開銷方面，本節(jié)主要考慮用戶數(shù)據(jù)上傳量、審計交互消息傳輸及安全存儲開銷；在存儲開銷方面，本節(jié)主要考慮協(xié)議運行過程中的實際存儲需求量。

5.1 計算開銷

在系統(tǒng)初始化階段，各種認證參數(shù)可以通過離線預計算完成，所以本節(jié)忽略該部分的計算開銷。

1) 認證標簽計算

由于每個文件包含m個數(shù)據(jù)向量，為了計算這m個數(shù)據(jù)向量的認證標簽，用戶為此需要計算σ(m+n)次乘法運算。

2) 在線隱私保護機制

假設|Δ|=ξ，被審計的存儲節(jié)點需要生成挑戰(zhàn)響應消息。首先，它要對ξ個消息向量進行向量聚合，需要進行ξ(n+1)次乘法；然后，存儲節(jié)點為了生成，可以最少只需要進行一次向量的標量乘運算。因此，在線加密的乘法計算量是n+ξ(m+n+1)。

3) 完整性檢測

TPA 首先需要恢復ge和計算，乘法計算量分別為mξ和n+m+1。因此，該部分總的計算量是n+m(ξ+1)+1。

5.2 通信開銷

同計算開銷分析，這里只考慮TPA 和CSP 間審計交互過程中的在線通信開銷。

1) 用戶數(shù)據(jù)上傳

為了存儲單個文件，用戶不僅需要向每個存儲節(jié)點上傳存儲數(shù)據(jù)，同時也要向TPA 上傳全局編碼向量及認證標簽，通信開銷分別為σ(n+m+1)和m(σ+1)+n。

2) 審計挑戰(zhàn)及響應

此過程中，TPA 先向存儲節(jié)點發(fā)送挑戰(zhàn)消息Chal，然后存儲節(jié)點向TPA 發(fā)送響應消息Resp。此階段總通信開銷為n+3ξ+1。

5.3 存儲開銷

與同類方案NC-Audit 類似，每個用戶文件在各存儲節(jié)點上需要的存儲空間為O(σn)，與其相對應的認證標簽產生的存儲開銷僅為O(σ)。TPA 付出的存儲開銷為O(m)，因為它需要存儲所有存儲節(jié)點的編碼系數(shù)。由于n?m，可知編碼系數(shù)的存儲空間量級遠小于外包數(shù)據(jù)的存儲量級，完全可以忽略。實際上，在系統(tǒng)實現(xiàn)時，編碼系數(shù)向量的存儲開銷完全可以保持在160 B 以內[14]。

5.4 性能比較與實驗分析

表2 將本文方案與文獻[10,11,17-19]方案在功能特征、計算復雜度和通信開銷等方面進行了綜合比較。結合各方案的技術實現(xiàn)特征，本文得出以下的性能比較結論。

表2 本文方案與代表性方案性能比較

1) 文獻[10,17]方案使用公鑰簽名和雙線性對技術，計算和通信開銷都明顯高于其他方案。但在基于公鑰的審計機制中，用戶和TPA 僅需要存儲必要的私鑰和少量的認證元數(shù)據(jù)，不需要保留過多的預編碼信息，與私有審計機制相比，用戶和TPA 的存儲開銷相對較少。

2) 在文獻[11]方案中，CSP 需要根據(jù)TPA 的挑戰(zhàn)指令對存儲的數(shù)據(jù)向量進行對應的采樣計算，計算復雜度為O(ξσ)；CSP 把數(shù)據(jù)文件的所有編碼向量的密文發(fā)送給TPA，產生額外通信開銷O(mσ)；TPA 還需要對這些密文進行解密，解密復雜度也為O(mσ)?？傮w來看，文獻[11]方案在TPA 端的處理復雜度比本文方案和NC-Audit 都要大，但CSP 端的計算復雜度要低很多。

3) 雖然文獻[18]方案與本文方案具有相同的計算和通信開銷量級，但文獻[18]方案在認證簽名時額外需要在每個外包向量中填充一定量的隨機字符，這使其在存儲和通信帶寬資源利用上略遜于本文方案。

4) 在文獻[19]方案中，CSP 端的開銷較小，但由于在數(shù)據(jù)認證簽名階段需要進行大量的向量?矩陣乘法計算，且在用戶審計檢測時涉及LDPC 譯碼糾錯操作，因而總體復雜度要比本文方案高。

5) 在外包數(shù)據(jù)認證標簽生成階段，現(xiàn)有方案普遍采用“先編碼后簽名”的模式。與此不同，本文方案采用了“先簽名后編碼”的方式，從而大幅降低了用戶端的乘法計算開銷，代價僅為現(xiàn)有同類方案的m/M。

綜合而言，本文方案的計算復雜度和通信開銷具有較好的比較優(yōu)勢，在理論分析上具有更好的系統(tǒng)實現(xiàn)效率，因而對再生碼技術性能優(yōu)勢的負面影響也最小。為了比較方案執(zhí)行性能，本文選取文獻[17]中的公開審計方案，以及文獻[11,18-19]中的私有審計方案，在相同安全強度（80 bit）下，與本文方案進行計算性能的測試比較。實驗使用了4 臺配置為Intel(R) Core(TM) i5-2520M CPU@ 2.50 GHz（6 GB RAM）的64 bit 同型主機，其中一臺為控制節(jié)點，用以測試TPA（或用戶端）的計算性能，另外3 臺組成并行處理集群實現(xiàn)CSP 端的計算功能。實驗系統(tǒng)環(huán)境為Debian 10，利用Mpich2、Torque+Maui實現(xiàn)集群并行計算和任務調度功能。實驗過程僅統(tǒng)計數(shù)據(jù)審計過程中的在線計算量。各方案中使用的偽隨機函數(shù)PRF 均采用AES 的CTR 模式來實現(xiàn)。同時，設定q=2160，n=212（即消息向量大小為4 KB），m=400，σ=500。實驗中將文獻[19]方案中編碼向量的分塊個數(shù)設為200。

根據(jù)方案描述可知，本文方案與文獻[18]方案的計算開銷主要來自向量乘法，文獻[11]方案的主要操作包括對稱加解密操作和向量乘法計算，而文獻[19]方案的運行耗時來自矩陣乘法和糾錯譯碼操作。在不考慮通信時延的情形下，表3 給出了ξ取250 和350 時4 種方案經過1 000 次審計運行時間開銷的均值（包括CSP 平均響應時間和TPA 審計驗證時間）。由于需要進行雙線性對運算和處理大量的乘冪運算，文獻[17]方案付出的時間開銷較大，明顯高于其他方案。在TPA 端，文獻[11]方案的運行效率較低，文獻[19]方案運行稍快，但性能不及文獻[18]方案和本文方案。在CSP 端，本文方案比文獻[11]方案稍慢，但具有比文獻[18-19]方案更好的性能優(yōu)勢，并沒有因安全審計功能的完善而影響審計運算效率。

表3 TPA 和CSP 審計平均運行時間開銷比較

為了驗證用戶端安全編碼處理效率，表4 給出本文方案與文獻[17-19]方案中數(shù)據(jù)外包單輪安全編碼操作的時間開銷比較（忽略了對數(shù)據(jù)進行再生編碼的時間開銷）。由于文獻[19]方案需要代數(shù)預加密操作，文獻[17]方案需要大量的公鑰簽名計算，因此這些方案需要更多的計算處理開銷。從表4 可以看出，本文方案可以大幅降低用戶端的計算開銷，在實現(xiàn)性能方面具有輕量型的特征。

表4 用戶端計算時間開銷比較

6 結束語

外包數(shù)據(jù)的隱私保護安全審計是基于再生碼的分布式云存儲系統(tǒng)應用中的關鍵問題之一。雖然使用公鑰密碼技術能很容易地實現(xiàn)明文的實時隱私保護，但需要付出較大的在線計算開銷。本文通過深入挖掘再生碼存儲系統(tǒng)線性編碼存儲特性，將線性隨機掩碼技術和代數(shù)正交驗證技術進行有效融合，提出了一種適用于再生編碼分布式存儲系統(tǒng)的隱私保護審計方案。該方案可以實現(xiàn)輕量型的安全性認證，在計算資源受限的環(huán)境下具有一定的實用價值。從系統(tǒng)和安全模型來看，該方案不僅適用于基于編碼的云存儲系統(tǒng)，而且可以推廣到一般性的云存儲場景。

雖然再生編碼分布式存儲技術在大數(shù)據(jù)靜態(tài)存儲修復方面具有優(yōu)異的性能，但在某些大數(shù)據(jù)應用場景下，用戶可能仍會對系統(tǒng)存儲的文件數(shù)據(jù)執(zhí)行一些動態(tài)更新操作。由于用戶本身不可能去備份所有數(shù)據(jù)，更新數(shù)據(jù)可能會涉及相關數(shù)據(jù)的解碼和析取操作，隨之產生較大的通信開銷。因此，如何在審計過程中最大限度地降低數(shù)據(jù)更新處理開銷仍是該領域中尚未解決的挑戰(zhàn)性問題。為此，未來的工作是將代數(shù)正交編碼審計思想與公鑰密碼技術進行深度結合，設計能高效地適應動態(tài)存儲場景的輕量型審計機制。