摘 要：云存儲(chǔ)憑借其高擴(kuò)展性、低成本等優(yōu)點(diǎn)得到大眾青睞，但確保云數(shù)據(jù)完整性成為亟待解決的安全挑戰(zhàn)。為解決基于TPA的公共審計(jì)方案中存在的安全和效率問(wèn)題，有學(xué)者提出了基于區(qū)塊鏈的公共審計(jì)方案，但數(shù)據(jù)擁有者的審計(jì)負(fù)擔(dān)較大，都是靜態(tài)審計(jì)，且不支持錯(cuò)誤數(shù)據(jù)定位操作?；诖?，提出了基于改進(jìn)的區(qū)塊鏈云數(shù)據(jù)動(dòng)態(tài)審計(jì)機(jī)制，通過(guò)將部分審計(jì)工作委托給共識(shí)代表以減輕數(shù)據(jù)擁有者審計(jì)開(kāi)銷(xiāo)，設(shè)計(jì)帶權(quán)多層次MHT結(jié)構(gòu)以支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作，審計(jì)失敗時(shí)幫助定位到錯(cuò)誤數(shù)據(jù)。理論分析和實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有方案相比，提出方案更安全可靠、動(dòng)態(tài)審計(jì)效率更高，數(shù)據(jù)擁有者的計(jì)算和通信開(kāi)銷(xiāo)更少。

關(guān)鍵詞：云存儲(chǔ)； 區(qū)塊鏈； 公共審計(jì)； 動(dòng)態(tài)操作； 錯(cuò)誤數(shù)據(jù)

中圖分類(lèi)號(hào)：TP391 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2023）03-003-0659-08

doi： 10.19734/j.issn.1001-3695.2022.08.0358

Research on dynamic audit mechanism of cloud data based on improved blockchain

Guo Caicai1，2， Jin Yu1，2

（1.College of Computer Science amp; Technology， Wuhan University of Science amp; Technology， Wuhan 430065， China; 2.Hubei Province Key Laboratory of Intelligent Information Processing amp; Real-time Industrial System， Wuhan 430065， China）

Abstract：People prefer to use cloud storage due to its advantages of high scalability and low cost， but ensuring the integrity of cloud data has become a security challenge that needs to be solved immediately. In order to solve the security and efficiency problems of the TPA-based public audit schemes， some scholars proposed blockchain-based public audit schemes which not only increased the audit burden of data owners， but were static and did not support wrong data location operations. Therefore， this paper proposed a public audit scheme based on improved blockchain which supported dynamic data operations. The paper reduced the audit overheads of data owners by outsourcing part of the audit work to the consensus representative， designed a multi-level MHT with weights to support dynamic operations， and helped to locate the wrong data when the audit failed. Theoretical analysis and experimental evaluation show that compared with the existing schemes， the proposed scheme achieves desirable security， higher dynamic audit efficiency， less computation and communication overheads for data owners.

Key words：cloud storage; blockchain; public audit; dynamic operation; wrong data

云存儲(chǔ)是一個(gè)由網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件和客戶端等多個(gè)部分組成，以存儲(chǔ)和管理數(shù)據(jù)為核心的云計(jì)算系統(tǒng)。然而，數(shù)據(jù)擁有者（data owner，DO）對(duì)存放在云端的數(shù)據(jù)不具有絕對(duì)支配權(quán)，一些惡意云服務(wù)提供商（cloud server provider，CSP）可能會(huì)刪除不經(jīng)常訪問(wèn)的數(shù)據(jù)，在丟失數(shù)據(jù)后竄改或偽造DO數(shù)據(jù)等。為解決DO和CSP之間的信任問(wèn)題，遠(yuǎn)程數(shù)據(jù)審計(jì)應(yīng)運(yùn)而生，其中基于第三方審計(jì)者（third party auditor，TPA）的公共審計(jì)方案最具代表性。但這類(lèi)方案均有如下缺點(diǎn)：a）單點(diǎn)失效。一旦TPA失效，則整個(gè)審計(jì)系統(tǒng)癱瘓。b）性能缺陷。隨著數(shù)據(jù)規(guī)模增大，審計(jì)開(kāi)銷(xiāo)會(huì)增大。c）安全威脅。TPA可能與CSP共謀竄改審計(jì)證明，或從審計(jì)證明中還原DO數(shù)據(jù)。

由于區(qū)塊鏈［1］具有去中心化、不可竄改、可追溯等特點(diǎn)，有學(xué)者提出基于區(qū)塊鏈的公共審計(jì)方案，在不引入TPA的情況下解決了TPA審計(jì)方案中的缺點(diǎn)，并結(jié)合區(qū)塊鏈相關(guān)技術(shù)實(shí)現(xiàn)公共審計(jì)，但這類(lèi)方案存在如下缺點(diǎn)：a）其審計(jì)驗(yàn)證工作均交由DO完成，加重了DO的審計(jì)負(fù)擔(dān)；b）不支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作功能；c）在審計(jì)失敗時(shí)也未考慮錯(cuò)誤數(shù)據(jù)定位的功能。針對(duì)此，本文提出一種基于改進(jìn)的區(qū)塊鏈支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作的公共審計(jì)方案。為解決上述問(wèn)題，本文工作如下：a）將生成審計(jì)挑戰(zhàn)和驗(yàn)證審計(jì)結(jié)果的工作委托給共識(shí)代表以減輕DO的審計(jì)負(fù)擔(dān)；b）設(shè)計(jì)帶權(quán)多層次MHT結(jié)構(gòu)以支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作并加快動(dòng)態(tài)操作效率；c）在審計(jì)失敗時(shí)，根據(jù)審計(jì)證明和完整性驗(yàn)證公式依次檢查相關(guān)數(shù)據(jù)以實(shí)現(xiàn)錯(cuò)誤數(shù)據(jù)定位功能。

1 相關(guān)工作

為防止半可信TPA竊取DO數(shù)據(jù)隱私，2010年，Wang等人［2］提出了一種保護(hù)DO數(shù)據(jù)隱私的公共審計(jì)方案，利用隨機(jī)掩碼技術(shù)隱藏審計(jì)證明中的數(shù)據(jù)信息防止TPA竊取數(shù)據(jù)內(nèi)容。為提高審計(jì)效率，2013年，Wang等人［3］提出一個(gè)保護(hù)隱私的支持批量審計(jì)的公共審計(jì)方案，利用基于線性同態(tài)認(rèn)證的公鑰技術(shù)和隨機(jī)掩碼技術(shù)保護(hù)數(shù)據(jù)隱私，TPA同時(shí)處理不同DO的多個(gè)審計(jì)任務(wù)實(shí)現(xiàn)批量審計(jì)功能。為了在批量審計(jì)失敗時(shí)追責(zé)相關(guān)責(zé)任方，2015年，Shin等人［4］提出一個(gè)支持批量審計(jì)和僅能定位錯(cuò)誤數(shù)據(jù)所屬服務(wù)器的公共審計(jì)方案。2019年，龐曉瓊等人［5］提出的公共審計(jì)方案利用默克爾哈希樹(shù)（Merkle hash tree，MHT）構(gòu)造數(shù)據(jù)定位標(biāo)簽，在批量審計(jì)失敗后幫助TPA同時(shí)定位錯(cuò)誤數(shù)據(jù)的所屬DO和服務(wù)器。由于TPA可能與CSP串通偽造審計(jì)證明，為抵御TPA和CSP的共謀攻擊，2019年，Xue等人［6］提出了基于身份認(rèn)證的公共審計(jì)方案，利用難以預(yù)測(cè)的隨機(jī)數(shù)nonce構(gòu)造挑戰(zhàn)消息，從而避免TPA和CSP的共謀攻擊和偽造攻擊以保護(hù)數(shù)據(jù)安全，但DO需要對(duì)審計(jì)結(jié)果進(jìn)行二次驗(yàn)證，可擴(kuò)展性差。同年，Xu等人［7］提出的公共審計(jì)方案通過(guò)引入審計(jì)認(rèn)證器定期更新DO密鑰，降低CSP攻擊DO數(shù)據(jù)的概率，但多次更換密鑰使得系統(tǒng)的維護(hù)成本增大。2020年，Miao等人［8］提出了一種基于區(qū)塊鏈的公共審計(jì)方案，其挑戰(zhàn)消息由隨機(jī)數(shù)nonce和TPA指定的隨機(jī)數(shù)共同構(gòu)成以防止共謀攻擊，通過(guò)將審計(jì)結(jié)果記錄到區(qū)塊鏈上實(shí)現(xiàn)審計(jì)行為的可追溯。為解決單一TPA的單點(diǎn)失效問(wèn)題，2022年，Chen等人［9］提出了基于區(qū)塊鏈的第三方審計(jì)委員會(huì)，通過(guò)隨機(jī)推舉TPA代表以代替單一TPA參與審計(jì)抵御共謀攻擊。

上述方案［2～9］均不支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作，為解決這一問(wèn)題，Wang等人［10］最先于2011年提出一種支持?jǐn)?shù)據(jù)全動(dòng)態(tài)操作的公共審計(jì)機(jī)制，該機(jī)制利用MHT結(jié)構(gòu)確保數(shù)據(jù)在位置上的正確性，通過(guò)對(duì)比CSP和TPA所持有的MHT根節(jié)點(diǎn)哈希值判斷數(shù)據(jù)是否被正確存儲(chǔ)。此后很多支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作的公共審計(jì)方案都在文獻(xiàn)［10］的基礎(chǔ)上對(duì)MHT進(jìn)行改進(jìn)。如2015年，秦志光等人［11］提出基于MHT的分層次索引結(jié)構(gòu)的審計(jì)方案，該方案使MHT的每個(gè)葉節(jié)點(diǎn)對(duì)應(yīng)存儲(chǔ)多個(gè)數(shù)據(jù)塊的向量，實(shí)現(xiàn)數(shù)據(jù)細(xì)粒度的動(dòng)態(tài)操作。Sun等人［12］提出了支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作與動(dòng)態(tài)可擴(kuò)展公共審計(jì)方案，通過(guò)結(jié)合trapdoor哈希函數(shù)和BLS簽名技術(shù)實(shí)現(xiàn)在進(jìn)行數(shù)據(jù)動(dòng)態(tài)操作時(shí)不用更新MHT所有的節(jié)點(diǎn)信息，對(duì)于有序的插入操作能自適應(yīng)擴(kuò)展MHT結(jié)構(gòu)。但對(duì)于大量無(wú)序的插入和刪除操作，其改進(jìn)的MHT結(jié)構(gòu)會(huì)變形進(jìn)而影響后續(xù)的動(dòng)態(tài)操作效率。除MHT及其改進(jìn)方案外，學(xué)術(shù)界還提出了其他的數(shù)據(jù)結(jié)構(gòu)來(lái)實(shí)現(xiàn)公共審計(jì)環(huán)境下的動(dòng)態(tài)操作。文獻(xiàn)［13，14］先后提出基于多分支路徑樹(shù)的數(shù)據(jù)完整性驗(yàn)證機(jī)制，通過(guò)擴(kuò)展樹(shù)結(jié)構(gòu)讓每個(gè)節(jié)點(diǎn)對(duì)應(yīng)多個(gè)孩子節(jié)點(diǎn)以穩(wěn)定樹(shù)結(jié)構(gòu)。文獻(xiàn)［15，16］引入了分治表（也稱(chēng)動(dòng)態(tài)索引表）將數(shù)據(jù)塊的索引信息和抽象數(shù)據(jù)信息等存儲(chǔ)于同一個(gè)二維表，在進(jìn)行插入或刪除操作時(shí)，索引值等信息需重新計(jì)算，這會(huì)大幅降低動(dòng)態(tài)操作效率。因此徐洋等人［17］提出對(duì)分治表分塊來(lái)降低計(jì)算開(kāi)銷(xiāo)，韓靜等人［18］提出在分治表中加入虛擬索引來(lái)確保所有數(shù)據(jù)按照正確的順序進(jìn)行排列。2022年，Mishra等人［19］將斐波那契樹(shù)和循環(huán)雙鏈表結(jié)合存儲(chǔ)外包數(shù)據(jù)，并由TPA維護(hù)索引哈希表以加快TPA的審計(jì)驗(yàn)證效率，但CSP需存儲(chǔ)所有動(dòng)態(tài)操作更新前后的數(shù)據(jù)以追溯數(shù)據(jù)變化，增加了系統(tǒng)的數(shù)據(jù)冗余度。

上述工作［2～19］都引入了半可信TPA參與審計(jì)驗(yàn)證，盡管文獻(xiàn)［2，3］采取了保護(hù)數(shù)據(jù)安全的措施，但不能完全解決TPA存在的單點(diǎn)失效、性能缺陷和安全威脅問(wèn)題。

區(qū)塊鏈?zhǔn)怯芍斜韭斢?008年提出的分布式分類(lèi)賬技術(shù)，作為一種去中心化、不可竄改、可追溯的分布式賬本技術(shù)，在沒(méi)有第三方機(jī)構(gòu)的參與下，實(shí)現(xiàn)了去中心化、分布式的信任建立機(jī)制，保證了數(shù)據(jù)在基于驗(yàn)證基礎(chǔ)上的可信性［20］。根據(jù)區(qū)塊鏈的優(yōu)點(diǎn)，有學(xué)者將區(qū)塊鏈相關(guān)技術(shù)應(yīng)用于公共審計(jì)以彌補(bǔ)基于TPA公共審計(jì)方案的缺點(diǎn)。2017年，Yang等人［21］提出一種基于區(qū)塊鏈的可公開(kāi)驗(yàn)證的云數(shù)據(jù)刪除方案，在不依賴TPA的情況下，無(wú)論CSP進(jìn)行何種惡意操作，DO或其他實(shí)體都可驗(yàn)證數(shù)據(jù)刪除返回的結(jié)果，但該方案僅討論了數(shù)據(jù)刪除操作。2020年，Yang等人［22］提出的基于區(qū)塊鏈的公共審計(jì)方案利用區(qū)塊隨機(jī)數(shù)nonce來(lái)構(gòu)建挑戰(zhàn)信息，通過(guò)引入動(dòng)態(tài)哈希表和修改記錄表，實(shí)現(xiàn)DO多副本數(shù)據(jù)的動(dòng)態(tài)更新和身份追蹤。同年，Yuan等人［23］提出在不依賴TPA的情況下進(jìn)行數(shù)據(jù)完整性審計(jì)，利用智能合約懲罰CSP不誠(chéng)實(shí)的行為，對(duì)數(shù)據(jù)受損的DO進(jìn)行補(bǔ)償，該方案僅支持對(duì)冗余數(shù)據(jù)的刪除操作。

上述方案［21～23］結(jié)合區(qū)塊鏈的相關(guān)技術(shù)加強(qiáng)公開(kāi)審計(jì)的安全性，由于未引入TPA，審計(jì)證明的驗(yàn)證工作均交由DO完成，且均不支持?jǐn)?shù)據(jù)的全動(dòng)態(tài)操作，在審計(jì)失敗時(shí)也未考慮錯(cuò)誤數(shù)據(jù)定位的功能。為解決上述問(wèn)題，本文提出一種基于改進(jìn)區(qū)塊鏈的支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作的公共審計(jì)方案，本文的主要工作如下：

a）利用DPoS共識(shí)機(jī)制選舉出共識(shí)代表代替DO進(jìn)行審計(jì)驗(yàn)證，降低DO計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)。

b）改進(jìn)傳統(tǒng)MHT結(jié)構(gòu)以支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作，加快動(dòng)態(tài)操作效率。

c）將審計(jì)相關(guān)信息記錄到改進(jìn)的區(qū)塊鏈結(jié)構(gòu)中，實(shí)現(xiàn)了審計(jì)過(guò)程的公開(kāi)性、可信性、不可竄改性、可追溯性。

d）實(shí)現(xiàn)錯(cuò)誤數(shù)據(jù)定位功能，審計(jì)失敗時(shí)告知DO問(wèn)題數(shù)據(jù)所屬服務(wù)器和具體問(wèn)題數(shù)據(jù)，避免更多損失。

2 預(yù)備知識(shí)

2.1 雙線性對(duì)

3 定義與模型

3.1 系統(tǒng)模型與設(shè)計(jì)目標(biāo)

基于改進(jìn)的區(qū)塊鏈云數(shù)據(jù)動(dòng)態(tài)審計(jì)方案包含數(shù)據(jù)擁有者（DO）、共識(shí)代表（consensus representative，CR）、云服務(wù)提供商（CSP）三類(lèi)實(shí)體。

a）數(shù)據(jù)擁有者。由于有限的計(jì)算、通信和存儲(chǔ)資源，需要將數(shù)據(jù)存儲(chǔ)到云服務(wù)器中，在審計(jì)時(shí)向CR發(fā)起審計(jì)和動(dòng)態(tài)操作請(qǐng)求。

b）共識(shí)代表。其是當(dāng)前區(qū)塊生產(chǎn)輪次對(duì)應(yīng)的區(qū)塊生產(chǎn)者，具有較多的存儲(chǔ)和計(jì)算資源，主要負(fù)責(zé)處理和傳遞DO的請(qǐng)求，存儲(chǔ)并維護(hù)含有審計(jì)相關(guān)信息的區(qū)塊鏈，驗(yàn)證審計(jì)證明并將結(jié)果返回給DO。

c）云服務(wù)提供商。具備大量的存儲(chǔ)空間和計(jì)算能力，負(fù)責(zé)存儲(chǔ)DO數(shù)據(jù)并響應(yīng)CR的動(dòng)態(tài)操作請(qǐng)求與審計(jì)挑戰(zhàn)。

公共審計(jì)系統(tǒng)模型如圖1所示，①表示DO將數(shù)據(jù)進(jìn)行加密處理后傳輸給CR，且可以隨時(shí)通過(guò)CR向CSP發(fā)起審計(jì)請(qǐng)求。②表示CR在為DO進(jìn)行計(jì)算數(shù)據(jù)標(biāo)簽等操作后向CSP發(fā)起挑戰(zhàn)，包括數(shù)據(jù)存儲(chǔ)挑戰(zhàn)、動(dòng)態(tài)操作挑戰(zhàn)和審計(jì)挑戰(zhàn)。CSP在收到挑戰(zhàn)后需根據(jù)挑戰(zhàn)內(nèi)容計(jì)算相應(yīng)的證明消息，然后通過(guò)③將證明消息返回給CR進(jìn)行驗(yàn)證，CR驗(yàn)證通過(guò)后將審計(jì)結(jié)果等信息記錄在新區(qū)塊中，刪除暫存的DO數(shù)據(jù)。隨后通過(guò)④向DO返回審計(jì)結(jié)果。DO驗(yàn)證CR返回的審計(jì)結(jié)果，若審計(jì)成功，則可刪除本地?cái)?shù)據(jù)，否則認(rèn)為DO數(shù)據(jù)沒(méi)有完整存儲(chǔ)在CSP上。

支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作和錯(cuò)誤數(shù)據(jù)定位的公共審計(jì)方案，應(yīng)滿足以下要求：

a）支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作。允許DO向CSP中存儲(chǔ)的數(shù)據(jù)進(jìn)行插入、修改和刪除的操作，而不影響已存儲(chǔ)數(shù)據(jù)的完整性。

b）支持錯(cuò)誤數(shù)據(jù)定位。在審計(jì)失敗后，CR可以幫助找出錯(cuò)誤數(shù)據(jù)所屬DO和CSP，并定位到具體的出錯(cuò)數(shù)據(jù)。

c）公開(kāi)審計(jì)性。允許CR驗(yàn)證存儲(chǔ)在云服務(wù)器上DO數(shù)據(jù)的完整性，在區(qū)塊鏈上存儲(chǔ)相關(guān)審計(jì)信息以供其他實(shí)體公開(kāi)查驗(yàn)審計(jì)結(jié)果。

d）存儲(chǔ)完整性。確保CSP只有真實(shí)存儲(chǔ)DO的完整數(shù)據(jù)才能通過(guò)CR的審計(jì)驗(yàn)證。

3.2 威脅模型

本文方案不僅要確認(rèn)DO云端數(shù)據(jù)的完整性與安全性，還要防止CSP存在不誠(chéng)實(shí)行為，此外，還要滿足DO的動(dòng)態(tài)更新云端數(shù)據(jù)的請(qǐng)求，所以本文主要考慮以下五種攻擊類(lèi)型：

a）替換攻擊。CSP試圖使用其他未損壞的數(shù)據(jù)塊和標(biāo)簽組合替換被挑戰(zhàn)的數(shù)據(jù)塊和標(biāo)簽來(lái)通過(guò)審計(jì)。

b）偽造攻擊。CSP為了自身利益或?yàn)榱吮Ｈ陨砻u(yù)而偽造審計(jì)證明欺騙共識(shí)代表。

c）重放攻擊。CSP無(wú)須查詢存儲(chǔ)數(shù)據(jù)，通過(guò)保存以前通過(guò)驗(yàn)證的證明來(lái)應(yīng)對(duì)當(dāng)前挑戰(zhàn)，或者CR重放已經(jīng)存在的有效審計(jì)結(jié)果以欺騙DO。

d）刪除攻擊。CSP刪除一部分?jǐn)?shù)據(jù)，或因不可抗因素導(dǎo)致云數(shù)據(jù)丟失或損壞，為通過(guò)審計(jì)用預(yù)先計(jì)算的“數(shù)據(jù)塊—標(biāo)簽”欺騙審計(jì)者。

e）共謀攻擊。CSP與CR串通更改挑戰(zhàn)信息和審計(jì)證明，導(dǎo)致其他驗(yàn)證者作出錯(cuò)誤判斷。

4 本文方案

4.1 帶權(quán)多層次MHT

傳統(tǒng)MHT是一種完全二叉樹(shù)，每個(gè)葉節(jié)點(diǎn)存儲(chǔ)數(shù)據(jù)對(duì)應(yīng)的哈希值，非葉節(jié)點(diǎn)存儲(chǔ)其左右孩子拼接后的哈希值，根節(jié)點(diǎn)哈希值是快速驗(yàn)證數(shù)據(jù)完整性的依據(jù)。但傳統(tǒng)MHT葉節(jié)點(diǎn)只能存儲(chǔ)單個(gè)數(shù)據(jù)的哈希值，一旦數(shù)據(jù)量增大，在應(yīng)對(duì)DO的增刪改操作時(shí)，會(huì)使得樹(shù)結(jié)構(gòu)變得更加復(fù)雜。如圖2所示，在刪除數(shù)據(jù)m1、插入數(shù)據(jù)m5～m8共五次動(dòng)態(tài)操作后，傳統(tǒng)MHT結(jié)構(gòu)已變形，不僅降低了葉節(jié)點(diǎn)到根節(jié)點(diǎn)hash值更新效率，還降低了后續(xù)數(shù)據(jù)的查找效率，因而無(wú)法應(yīng)對(duì)大量動(dòng)態(tài)操作請(qǐng)求。

為解決傳統(tǒng)MHT存在的缺陷，提出了一種改進(jìn)的MHT結(jié)構(gòu)用于加快數(shù)據(jù)動(dòng)態(tài)操作。如圖3所示，每個(gè)節(jié)點(diǎn)結(jié)構(gòu)為（rx，H（x）），其中每個(gè)葉節(jié)點(diǎn)都對(duì)應(yīng)一條含有數(shù)據(jù)信息的單鏈表，rx為權(quán)值，表示通過(guò)該節(jié)點(diǎn)所能訪問(wèn)到的所有文件數(shù)量，H（x）為數(shù)據(jù)的hash值，表示該節(jié)點(diǎn)對(duì)應(yīng)數(shù)據(jù)的hash值。以葉節(jié)點(diǎn)E和非葉節(jié)點(diǎn)B為例，葉節(jié)點(diǎn)E對(duì)應(yīng)的單鏈表為FU1，對(duì)應(yīng)有三個(gè)文件信息，其中rFU1=3，H（FU1）=H（H（F1）‖H（F2）‖H（F3）），非葉節(jié)點(diǎn)B權(quán)值rb為其兩個(gè)孩子節(jié)點(diǎn)所能訪問(wèn)到的所有文件個(gè)數(shù)，即rb=rFU1+rFU2=6，其中“‖”表示連接操作。由于hash函數(shù)具有單向性，故審計(jì)者只需獲取根節(jié)點(diǎn)hash值就能驗(yàn)證所有文件存儲(chǔ)正確性。底層每個(gè)鏈表節(jié)點(diǎn)存儲(chǔ)哈希值H（Fi），分區(qū)標(biāo)識(shí)符pni，數(shù)據(jù)標(biāo)簽sigi，時(shí)間戳tsi。其中H（Fi）是將DO需上傳的數(shù)據(jù)進(jìn)行哈希運(yùn)算后得到的，由于哈希運(yùn)算的單向性和不可逆性，原數(shù)據(jù)任何改變都會(huì)使對(duì)應(yīng)的哈希值產(chǎn)生變化，H（Fi）用于幫助驗(yàn)證數(shù)據(jù)完整性；分區(qū)標(biāo)識(shí)符用于在進(jìn)行動(dòng)態(tài)操作時(shí)幫助提高查找效率；數(shù)據(jù)標(biāo)簽由共識(shí)節(jié)點(diǎn)計(jì)算，用于參與審計(jì)證明的計(jì)算并幫助審計(jì)證明的驗(yàn)證；時(shí)間戳則記錄數(shù)據(jù)被處理的時(shí)間，幫助CSP確認(rèn)數(shù)據(jù)初始化階段過(guò)程中數(shù)據(jù)傳輸無(wú)誤。

本節(jié)介紹的帶權(quán)多層次MHT以鏈表的形式存儲(chǔ)多個(gè)數(shù)據(jù)信息，插入、刪除和更新數(shù)據(jù)是對(duì)底層鏈表進(jìn)行操作，樹(shù)結(jié)構(gòu)和葉節(jié)點(diǎn)輔助路徑長(zhǎng)度不變，且每個(gè)節(jié)點(diǎn)另設(shè)權(quán)值表示通過(guò)該節(jié)點(diǎn)能訪問(wèn)到的數(shù)據(jù)總量，用于幫助查找數(shù)據(jù)。此外，傳統(tǒng)區(qū)塊鏈?zhǔn)腔趥鹘y(tǒng)MHT結(jié)構(gòu)保障了數(shù)據(jù)的不可竄改性，因此本節(jié)所提方案不僅能與區(qū)塊鏈結(jié)構(gòu)結(jié)合，還能規(guī)避傳統(tǒng)MHT在數(shù)據(jù)動(dòng)態(tài)操作時(shí)存在的樹(shù)結(jié)構(gòu)不穩(wěn)定、數(shù)據(jù)查找效率低和輔助路徑過(guò)長(zhǎng)的缺點(diǎn)，相較于其他方案能在同等時(shí)間內(nèi)支持更多動(dòng)態(tài)數(shù)據(jù)操作次數(shù)，提升了數(shù)據(jù)的動(dòng)態(tài)操作效率，適用于各種數(shù)據(jù)量的場(chǎng)景。

4.2 審計(jì)區(qū)塊鏈

所有引入TPA的審計(jì)方案都存在單點(diǎn)失效、性能瓶頸和安全威脅的缺點(diǎn)，為解決上述問(wèn)題，本節(jié)提出的審計(jì)區(qū)塊鏈利用區(qū)塊鏈的共識(shí)機(jī)制推選出可信的共識(shí)節(jié)點(diǎn)以代替半可信TPA參與審計(jì)，這些節(jié)點(diǎn)具備強(qiáng)大算力且存在多個(gè)，輪流響應(yīng)DO的審計(jì)請(qǐng)求，單個(gè)節(jié)點(diǎn)因性能缺陷或其他問(wèn)題無(wú)法參與審計(jì)時(shí)都由下個(gè)節(jié)點(diǎn)接替審計(jì)任務(wù)，所以不存在單點(diǎn)失效和性能瓶頸缺點(diǎn)。此外，CSP難以同時(shí)串通多個(gè)共識(shí)節(jié)點(diǎn)修改審計(jì)證明，為實(shí)現(xiàn)數(shù)據(jù)的不可竄改性和可追溯性，結(jié)合提出的帶權(quán)多層次MHT結(jié)構(gòu)，本節(jié)提出對(duì)傳統(tǒng)區(qū)塊結(jié)構(gòu)改進(jìn)后的審計(jì)區(qū)塊鏈，其整體結(jié)構(gòu)不變。主要功能是記錄審計(jì)過(guò)程的參與者和審計(jì)結(jié)果等相關(guān)信息；供其他實(shí)體查詢審計(jì)信息；幫助CR完成對(duì)上一區(qū)塊的確定以達(dá)成共識(shí)；審計(jì)失敗時(shí)進(jìn)行追責(zé)。在不暴露DO數(shù)據(jù)隱私的情況下，實(shí)現(xiàn)審計(jì)過(guò)程的公開(kāi)、可靠和可追溯。

每個(gè)區(qū)塊由區(qū)塊頭和區(qū)塊體組成，如圖4所示，斜體內(nèi)容是對(duì)傳統(tǒng)區(qū)塊鏈進(jìn)行改進(jìn)的部分。其中區(qū)塊體存放帶權(quán)多層次MHT節(jié)點(diǎn)信息，區(qū)塊頭存放父區(qū)塊哈希（PreBlockHash）用于指向上一個(gè)區(qū)塊哈希地址，實(shí)現(xiàn)區(qū)塊鏈?zhǔn)浇Y(jié)構(gòu)；時(shí)間戳（TimeStamp）用于標(biāo)識(shí)當(dāng)前區(qū)塊的出塊時(shí)間；DO標(biāo)識(shí)符（UserIdentifier）標(biāo)識(shí)該區(qū)塊對(duì)應(yīng)數(shù)據(jù)所屬DO，幫助查詢目標(biāo)用戶DO的相關(guān)信息；操作類(lèi)型（OperationType）標(biāo)識(shí)當(dāng)前區(qū)塊涉及的具體審計(jì)操作，再次驗(yàn)證審計(jì)信息時(shí)與父區(qū)塊對(duì)比幫助快速獲取改變的數(shù)據(jù)信息；Merkle根（MerkleRoot）存儲(chǔ)該塊對(duì)應(yīng)所有數(shù)據(jù)的哈希值，保證該塊對(duì)應(yīng)數(shù)據(jù)信息的完整性；簽名（Signature）存儲(chǔ)生成該塊的共識(shí)節(jié)點(diǎn)簽名，用于在當(dāng)前區(qū)塊不能通過(guò)下一出塊者驗(yàn)證時(shí)追責(zé)；挑戰(zhàn)請(qǐng)求（ChallengeRequest）和審計(jì)證明（AuditProof）共同幫助后續(xù)的再次審計(jì)，且存儲(chǔ)當(dāng)次審計(jì)參與者地址以供后續(xù)追責(zé)，詳細(xì)介紹如表1所示。

所有實(shí)體都可對(duì)區(qū)塊鏈數(shù)據(jù)進(jìn)行查詢，但只能由CR節(jié)點(diǎn)進(jìn)行更新和維護(hù)，實(shí)現(xiàn)了審計(jì)結(jié)果的公開(kāi)透明。

4.3 審計(jì)協(xié)議

公有審計(jì)協(xié)議分為初始化和審計(jì)兩個(gè)階段。初始化階段負(fù)責(zé)將DO數(shù)據(jù)處理好后上傳至CSP，并根據(jù)這些數(shù)據(jù)生成區(qū)塊，審計(jì)階段負(fù)責(zé)對(duì)CSP進(jìn)行遠(yuǎn)程數(shù)據(jù)審計(jì)。

4.3.1 初始化階段

設(shè)G和GT是具有相同素?cái)?shù)階p的兩個(gè)乘法循環(huán)群，g1、g2是群G的兩個(gè)生成元，滿足雙線性e：G×G→GT，α∈Zp為隨機(jī)數(shù)，H：{0，1}→G為安全的單向哈希函數(shù)。sigskx（Message）=BLS_Sig（skx，Message）為用私鑰skx生成的BLS簽名。

1）KeyGen（1λ）→（sk，pk） DO選擇隨機(jī)數(shù)α∈Zp，設(shè)置私鑰sk=α，并計(jì)算公鑰pk=gsk1。CR選擇密鑰對(duì)（gsk，gpk），其中g(shù)pk=ggsk2，CSP選擇其密鑰對(duì)為（csk，cpk）。DO將數(shù)據(jù)處理F=（F1，…，F(xiàn)i，…，F(xiàn)n），i∈［1，n］，并發(fā)送消息ReqToCRstore={store，tsstore，F(xiàn)，H（F），sigDO=sigsk（H（F））}給CR，其中store為操作類(lèi)型，tsstore為當(dāng)前消息生成的時(shí)間戳，H（F）=H（H（F1）‖…‖H（Fn））。

2）TagGen（F，gsk）→（RM） CR收到ReqToCRstore后先驗(yàn)證sigDO和H（F）的正確性，然后根據(jù)F初始數(shù)據(jù)數(shù)量進(jìn)行分區(qū)為pn={pn1，…，pnk}，k∈［1，n］，MHT葉節(jié)點(diǎn)數(shù)量與k值對(duì)應(yīng)。CR為每個(gè)數(shù)據(jù)Fi計(jì)算相關(guān)信息：哈希值H（Fi），分區(qū)標(biāo)識(shí)符pni，時(shí)間戳tsi，數(shù)據(jù)標(biāo)簽sigi，其中sigi=（H（pni‖tsi）·gFi2）gsk，標(biāo)簽集合sig={sigi}，i∈［1，n］，相關(guān)信息集合RMi={H（Fi），pni，tsi，sigi}。

以圖3中葉節(jié)點(diǎn)E為例，CR根據(jù)分區(qū)標(biāo)識(shí)符pn1依序計(jì)算相同分區(qū)數(shù)據(jù)的總哈希值H（FU1）=H（H（H（F1）‖H（F2））‖H（F3））作為對(duì)應(yīng)葉節(jié)點(diǎn)哈希值，并計(jì)算該分區(qū)中所有數(shù)據(jù)個(gè)數(shù)rFU1作為對(duì)應(yīng)葉節(jié)點(diǎn)權(quán)值，以此為例生成MHT葉節(jié)點(diǎn)（rx，H（x）），構(gòu)建完整的MHT結(jié)構(gòu)。

3）Challenge（F，RM）→（ReqToCSPstore） 由CR向CSP發(fā)起存儲(chǔ)挑戰(zhàn)ReqToCSPstore={store，tsstore，IDCR，IDCSP，F(xiàn)，H（F），RM，sigDO，sigCR}，其中RM={RMi}，簽名sigCR=siggsk（H（F）‖RM）。

4）Proof（ReqToCSPstore）→（ResToCRstore） CSP收到挑戰(zhàn)消息ReqToCSPstore后先通過(guò)sigDO和sigCR驗(yàn)證H（F）的正確性，再通過(guò)H（F）驗(yàn)證F是否正確，驗(yàn)證成功后存儲(chǔ)F和RM。根據(jù)每個(gè)數(shù)據(jù)對(duì)應(yīng)的H（Fi）和pni構(gòu)建MHT，最后CSP向CR返回證明消息ReqToCRstore={tsstore，IDCR，IDCSP，Root，sigCSP}，其中sigCSP=sigcsk（Root）。

5）Verify（ReqToCRstore）→（0，1） CR收到證明消息ReqToCRstore后驗(yàn)證sigCSP，對(duì)比自身計(jì)算的Root和CSP返回的Root是否一致，若一致則說(shuō)明CSP正確完整存儲(chǔ)了DO數(shù)據(jù)。CR生成區(qū)塊后向DO返回存儲(chǔ)證明消息ResToDOstore={tsstore，IDCR，1，Root，sigCR=siggsk（1‖Root）}，DO驗(yàn)證sigCR成功且返回消息為1，則表明CSP正確存儲(chǔ)F，DO可以刪除本地?cái)?shù)據(jù)。

4.3.2 審計(jì)階段

此階段由DO發(fā)起審計(jì)請(qǐng)求，CR向CSP發(fā)起審計(jì)挑戰(zhàn)并驗(yàn)證審計(jì)證明，最后CR向DO返回審計(jì)結(jié)果。

1）Challenge（pni，H（Fi），ri）→（ReqToCSPaudit） DO向CR發(fā)送審計(jì)請(qǐng)求ReqToCRaudit={audit}，CR從{F1，…，F(xiàn)n}中隨機(jī)選t，t∈［1，n］個(gè)文件進(jìn)行抽樣審計(jì)，且需要計(jì)算t個(gè)隨機(jī)系數(shù)r1，…，ri，…，rt，其中ri=f（ti），f（）是偽隨機(jī)函數(shù)。令samplei={pni，H（Fi），ri}，其中pni與H（Fi）從最新區(qū)塊中獲取，隨后構(gòu)造審計(jì)挑戰(zhàn)ReqToCSPaudit={audit，tsaudit，IDCR，IDCSP，sample，sigCR}發(fā)送給CSP，其中sigCR=siggsk（sample），sample={samplei}。

2）Proof（ReqToCSPaudit）→（ResToCRaudit） CSP根據(jù)ReqToCSPaudit先驗(yàn)證sigCR，根據(jù)sample中的pni與H（Fi）找到對(duì)應(yīng)文件，由于CSP為每個(gè)文件存儲(chǔ)了對(duì)應(yīng)的信息RMi={H（Fi），pni，tsi，sigi}，據(jù)此計(jì)算SP=∏ti=1sigrii，DP=∑ti=1 Fi·ri，此外，還需為存儲(chǔ)的所有數(shù)據(jù)構(gòu)造MHT并計(jì)算根節(jié)點(diǎn)Root，最后生成審計(jì)證明Res-ToCSPaudit={tsaudit，IDCR，IDCSP，SP，DP，Root，{Fi·ri}，sigCSP}發(fā)送給CR，其中sigCSP=sigcsk（SP‖DP‖Root‖{Fi·ri}），{Fi·ri}CSP為每個(gè)數(shù)據(jù)計(jì)算的證明參數(shù)，用于幫助在審計(jì)失敗時(shí)定位錯(cuò)誤數(shù)據(jù)位置。

3）Verify（ResToCRaudit）→（0，1） CR收到ResToCRaudit后驗(yàn)證sigCSP的正確性，通過(guò)查詢最新區(qū)塊Root值與CSP返回的Root值驗(yàn)證兩者一致性，驗(yàn)證e（SP，g2）？=e（∏ti=1H（pni‖tsi）ri，gpk）·e（gDP2，gpk），上述驗(yàn)證均通過(guò)時(shí)表明CSP正確且完整存儲(chǔ)了DO數(shù)據(jù)，CR生成區(qū)塊。隨后CR向DO返回存儲(chǔ)證明消息ReqToDOaudit={tsaudit，IDCR，1，Root，sigCR=siggsk（1‖Root）}，DO驗(yàn)證sigCR成功且返回消息為1，表明CSP正確存儲(chǔ)DO數(shù)據(jù)。

4.4 動(dòng)態(tài)操作

4.4.1 插入

插入操作類(lèi)似于審計(jì)協(xié)議的初始化階段，此小節(jié)僅進(jìn)行簡(jiǎn)單介紹。DO將待插入的數(shù)據(jù)（m個(gè)）初步處理為F′=（Fn+1，…，F(xiàn)n+j，…，F(xiàn)n+m），j∈［1，m］，隨后向CR發(fā)送請(qǐng)求消息ReqToCRinsert={insert，tsinsert，F(xiàn)′，H（F′），sigDO=sigsk（H（F′））}，CR驗(yàn)證其正確性并為F′選擇分區(qū)、生成數(shù)據(jù)標(biāo)簽，由于數(shù)據(jù)之間沒(méi)有邏輯關(guān)聯(lián)，本文方案默認(rèn)將數(shù)據(jù)Fn+j插入到數(shù)據(jù)量最少的分區(qū)。CR計(jì)算出RM′n+j={H（Fn+j），pnn+j，tsn+j，sign+j}并向CSP發(fā)起挑戰(zhàn)ReqToCSPinsert={insert，tsinsert，IDCR，IDCSP，F(xiàn)′，H（F′），RM′，sigDO，sigCR}，sigCR=siggsk（H（F′）‖RM′），RM′={RM′n+j}。CSP收到ReqToCSPinsert后進(jìn)行驗(yàn)證，依據(jù)RM′中的pnn+j將Fn+j存儲(chǔ)到合適位置，以上操作完成后CSP構(gòu)建MHT計(jì)算根節(jié)點(diǎn)，生成證明ResToCRinsert={tsinsert，IDCR，IDCSP，Root，sigCSP}，sigCSP=sigcsk（Root）。CR收到后對(duì)其進(jìn)行驗(yàn)證，通過(guò)后生成新區(qū)塊，隨后CR向DO返回響應(yīng)消息。

4.4.2 修改

DO共有m個(gè)數(shù)據(jù){Fi，…，F(xiàn)i+m}需修改為F=（Fi，…，F(xiàn)i+m），DO查詢區(qū)塊鏈后獲取F位置信息locatei={pni，H（Fi）}，發(fā)送請(qǐng)求ReqToCRmodify={modify，tsmodify，F(xiàn)，H（F），locate，sigDO}給CR，其中sigDO=sigsk（H（F）‖locate），locate={locatei}。CR驗(yàn)證消息成功后為F計(jì)算相關(guān)信息RMi={H（Fi），pni，tsi，sigi}，生成挑戰(zhàn)信息ReqToCSPmodify={modify，tsmodify，IDCR，IDCSP，F(xiàn)，H（F），locate，RM，sigDO，sigCR}發(fā)送給CSP，其中sigCR=siggsk（H（F）‖locate‖RM），RM={RMi}。

CSP收到ReqToCSPmodify驗(yàn)證其正確性，然后根據(jù)locate找到對(duì)應(yīng)數(shù)據(jù)，用F代替原有文件，用RM代替對(duì)應(yīng)RM中的內(nèi)容，上述操作完成后CSP需要依據(jù)更新后的數(shù)據(jù)構(gòu)建MHT并計(jì)算根節(jié)點(diǎn)哈希值，然后生成證明消息ReToCRmodify={tsmodify，IDCR，IDCSP，Root，sigCSP}發(fā)送給CR，其中sigCSP=sigcsk（Root）。CR收到證明后進(jìn)行驗(yàn)證，成功后生成新區(qū)塊，隨后CR向DO返回響應(yīng)消息。

4.4.3 刪除

DO查詢區(qū)塊鏈取出待刪除數(shù)據(jù)的相關(guān)信息locatei={pni，H（Fi）}，隨后向CR生成請(qǐng)求消息ReqToCRdelete={delete，tsdelete，locate，sigDO}發(fā)送給CR，其中sigDO=sigsk（locate），locate={locatei}。CR接收ReqToCRdelete后對(duì)其進(jìn)行驗(yàn)證，驗(yàn)證成功后向CSP發(fā)起挑戰(zhàn)信息ReqToCSPdelete={delete，tsdelete，IDCR，IDCSP，locate，sigDO，sigCR}，其中sigCR=siggsk（locate）。

CSP收到ReqToCSPdelete先驗(yàn)證其正確性，然后根據(jù)locate找到并刪除對(duì)應(yīng)Fi和RMi，上述操作完成后CSP需依據(jù)刪除后的數(shù)據(jù)構(gòu)建MHT計(jì)算根節(jié)點(diǎn)哈希值，然后生成證明ResToCRdelete={tsdelete，IDCR，IDCSP，Root，sigCSP}發(fā)送給CR，其中sigCSP=sigcsk（Root）。CR收到證明后對(duì)其進(jìn)行驗(yàn)證，成功后生成新區(qū)塊，隨后CR向DO返回響應(yīng)消息。

4.5 錯(cuò)誤數(shù)據(jù)定位

本文方案支持CSP在審計(jì)證明驗(yàn)證失敗時(shí)向DO返回問(wèn)題數(shù)據(jù)的相關(guān)信息，具體審計(jì)過(guò)程同4.3.2節(jié)內(nèi)容一致。當(dāng)審計(jì)證明驗(yàn)證失敗時(shí)，需要CR根據(jù){Fi·ri}依次驗(yàn)證e（sigrii，g2）？=e（H（pni‖tsi）ri，gpk）·e（gFi·ri2，gpk），該式證明過(guò)程與6.1節(jié)類(lèi)似，不再證明。當(dāng)代入上式的Fi·ri不滿足驗(yàn)證公式時(shí)，說(shuō)明數(shù)據(jù)Fi出現(xiàn)問(wèn)題，CR需向DO返回消息ResToDOaudit={tsaudit，IDCR，IDCSP，0，RMi，sigCR}，其中sigCR=siggsk（IDCSP‖0‖RMi），DO先驗(yàn)證sigCR正確性，0表示審計(jì)失敗，問(wèn)題數(shù)據(jù)由IDCSP存儲(chǔ)，然后根據(jù)RMi中的pni和H（Fi）查詢最新區(qū)塊找到對(duì)應(yīng)分區(qū)中的數(shù)據(jù)以實(shí)現(xiàn)錯(cuò)誤數(shù)據(jù)的精確定位。

5 正確性分析和安全性分析

5.1 正確性分析

審計(jì)階段數(shù)據(jù)完整性驗(yàn)證公式為e（SP，g2）？=e（∏ti=1H（pni‖tsi）ri，gpk）·e（gDP2，gpk），SP=∏ti=1sigrii，DP=∑ti=1Fi·ri。其證明過(guò)程如下：

5.2 安全性分析

本節(jié)先用理論證明本文方案如何抵御五種攻擊，在下文的分析過(guò)程中，除了五種攻擊提到的實(shí)體外，其他實(shí)體完全可信且遵守審計(jì)規(guī)則，CSP和CR不會(huì)互相污蔑。

定理1 CSP用其他正確存儲(chǔ)的數(shù)據(jù)塊和標(biāo)簽生成的審計(jì)證明無(wú)法通過(guò)驗(yàn)證。

證明 假設(shè)數(shù)據(jù)Fi損壞，存在一個(gè)完整存儲(chǔ)的數(shù)據(jù)為Fj，數(shù)據(jù)簽名為sigj=（H（pnj‖tsj）·gFj2）gsk，相關(guān)參數(shù)可從區(qū)塊鏈中獲取，CSP為通過(guò)審計(jì)，令sigi=sigβj，β∈Zp，則有

若要使式（1）成立，需使得式（2）（3）成立。

當(dāng)η取1，且SP=SP·ggsk·∑ti=1βi·ri2時(shí)，對(duì)于偽造數(shù)據(jù)Bi，才有5.1節(jié)審計(jì)階段驗(yàn)證公式成立，但CSP無(wú)法獲取CR的私鑰gsk，所以無(wú)法計(jì)算出SP作為審計(jì)證明，故CSP偽造的審計(jì)證明無(wú)法通過(guò)審計(jì)。

定理3 CSP無(wú)法提交以前的審計(jì)證明通過(guò)驗(yàn)證。

證明 一般情況下兩次抽樣審計(jì)CR選取的sample一定不同，為證明本文足以抵御重放攻擊，假設(shè)前后兩次抽樣審計(jì)選取Fi和ri相同，僅選取的文件數(shù)量不同，以證明CSP無(wú)法通

定理5 CSP與CR合謀修改的審計(jì)證明無(wú)法通過(guò)其他節(jié)點(diǎn)驗(yàn)證。

證明 本文方案用共識(shí)機(jī)制推選出CR參與審計(jì)過(guò)程，每次參與出塊的CR不一定相同，出塊順序也不一定相同，具有不可預(yù)測(cè)性。假設(shè)CSP和當(dāng)前輪出塊的CR串通，盡管能通過(guò)當(dāng)前CR的審計(jì)，但當(dāng)前區(qū)塊需存儲(chǔ)審計(jì)相關(guān)信息AuditProof和ChallengeRequest，偽造相關(guān)審計(jì)信息無(wú)法通過(guò)下個(gè)CR的驗(yàn)證，該CR將會(huì)被追責(zé)。此外，CSP每次只與一個(gè)CR對(duì)接，無(wú)法預(yù)知后續(xù)CR順序，因此難以同時(shí)串通其他節(jié)點(diǎn)進(jìn)行共謀攻擊。當(dāng)前CR為了不被下一個(gè)出塊的CR舉報(bào)，必須要誠(chéng)實(shí)地進(jìn)行審計(jì)驗(yàn)證。由定理1～4可知，無(wú)論CSP因?yàn)楹畏N原因更改、刪除或偽造數(shù)據(jù)，都無(wú)法構(gòu)建能成功通過(guò)驗(yàn)證的審計(jì)證明。因此本文方案也能抵御CSP與CR的共謀攻擊。

在進(jìn)行數(shù)據(jù)插入、修改與刪除時(shí)，CSP為新上傳的數(shù)據(jù)計(jì)算hash值或刪除對(duì)應(yīng)數(shù)據(jù)，由于hash函數(shù)的單向性，CSP需誠(chéng)實(shí)地構(gòu)造MHT以返回含有Root值的審計(jì)證明。在數(shù)據(jù)動(dòng)態(tài)操作過(guò)程中，CSP為減少計(jì)算開(kāi)銷(xiāo)可能查詢區(qū)塊鏈或自身存儲(chǔ)的RM來(lái)計(jì)算可以通過(guò)驗(yàn)證的Root，但若不正確存儲(chǔ)DO上傳的原始數(shù)據(jù)，在面對(duì)不定期的抽樣審計(jì)挑戰(zhàn)時(shí)，CSP也無(wú)法通過(guò)驗(yàn)證。通過(guò)上述分析可知本文方案能抵御所有五種攻擊類(lèi)型，足以應(yīng)對(duì)可能存在的所有安全威脅。

由于基于區(qū)塊鏈的公共審計(jì)方案均不支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作，所以選用基于TPA且支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作文獻(xiàn)［12，18，19］與本文方案進(jìn)行比較。目前公共動(dòng)態(tài)審計(jì)方案為減輕DO審計(jì)負(fù)擔(dān)，均將審計(jì)證明轉(zhuǎn)交其他實(shí)體TPA驗(yàn)證，此過(guò)程中存在CSP和TPA共謀造假審計(jì)結(jié)果的行為。由于現(xiàn)有方案無(wú)法完全保證CSP端存儲(chǔ)數(shù)據(jù)的完整性和正確性，本文方案旨在抵御替換、偽造和刪除攻擊的同時(shí)抵御共謀攻擊和重放攻擊，增強(qiáng)審計(jì)驗(yàn)證機(jī)制安全性。從表2可知，由于文獻(xiàn)［12，18，19］均引入半可信TPA，盡管通過(guò)盲化審計(jì)證明防止TPA竊取數(shù)據(jù)隱私，但無(wú)法同時(shí)抵御上述五種攻擊，仍存在安全隱患。

文獻(xiàn)［12］通過(guò)返回隨機(jī)抽樣數(shù)據(jù)塊實(shí)現(xiàn)抵御替換攻擊、偽造攻擊、重放攻擊與刪除攻擊，但該方案未考慮共謀攻擊。文獻(xiàn)［18］證明了CSP在未存儲(chǔ)正確數(shù)據(jù)時(shí)無(wú)法通過(guò)TPA的審計(jì)，但未討論如何應(yīng)對(duì)重放攻擊與共謀攻擊。文獻(xiàn)［19］中TPA用索引哈希表存儲(chǔ)所有數(shù)據(jù)的審計(jì)信息，該方案在TPA完全誠(chéng)實(shí)的情況下能抵御替換、偽造、重放和刪除攻擊，但無(wú)法抵御共謀攻擊。相比于文獻(xiàn)［12，18，19］，本文方案利用共識(shí)機(jī)制選舉出可信的共識(shí)代表代替半可信TPA參與審計(jì)從而解決了共謀攻擊，在不返回云數(shù)據(jù)的情況下改進(jìn)審計(jì)方案解決了審計(jì)過(guò)程中可能遇到的所有不誠(chéng)實(shí)的實(shí)體行為。

6 性能分析

本章先比較分析本文方案與文獻(xiàn)［12，18，19］在上傳數(shù)據(jù)后進(jìn)行審計(jì)驗(yàn)證所產(chǎn)生的通信開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)，然后比較分析了在增、刪、改這三個(gè)動(dòng)態(tài)數(shù)據(jù)操作階段的時(shí)間開(kāi)銷(xiāo)。因?yàn)樵谥С謹(jǐn)?shù)據(jù)動(dòng)態(tài)操作的公共審計(jì)方案中，文獻(xiàn)［12］的審計(jì)協(xié)議采用了基于傳統(tǒng)MHT的數(shù)據(jù)結(jié)構(gòu)，文獻(xiàn)［18］采用引入虛擬索引的索引表，文獻(xiàn)［19］采用與循環(huán)雙鏈表結(jié)合斐波那契樹(shù)結(jié)構(gòu)，這三個(gè)方案是類(lèi)似方案中較有代表性的，所以上述三個(gè)方案與本文方案進(jìn)行分析比較。最后分析了錯(cuò)誤數(shù)據(jù)定位功能的時(shí)間開(kāi)銷(xiāo)與定位效率。

6.1 通信開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)

表3介紹了通信開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)分析過(guò)程中需使用的符號(hào)及其含義。

三個(gè)方案的審計(jì)過(guò)程均由DO發(fā)起，TPA或CR、CSP參與。其中文獻(xiàn)［12，18］需要DO在上傳數(shù)據(jù)前為其生成認(rèn)證標(biāo)簽，計(jì)算索引值或輔助路徑等相關(guān)信息，單個(gè)DO算力有限，在需要保護(hù)數(shù)據(jù)隱私的情況下無(wú)法提升處理數(shù)據(jù)的速度。文獻(xiàn)［19］需要DO額外為所有數(shù)據(jù)構(gòu)建斐波那契樹(shù)。而本文方案僅需DO額外為所有數(shù)據(jù)進(jìn)行單次hash運(yùn)算并生成單個(gè)簽名。從表4可以看出本文方案系統(tǒng)總體的計(jì)算開(kāi)銷(xiāo)比文獻(xiàn)［12，19］低，比文獻(xiàn)［18］略有增加，但DO的計(jì)算開(kāi)銷(xiāo)最小，且CSP與CR相對(duì)較大的計(jì)算開(kāi)銷(xiāo)可由兩者強(qiáng)大算力來(lái)彌補(bǔ)，因而本文方案更適用于DO沒(méi)有充足計(jì)算資源的審計(jì)場(chǎng)景。

在通信開(kāi)銷(xiāo)方面，文獻(xiàn)［12］的審計(jì)協(xié)議需要DO額外為每個(gè)數(shù)據(jù)上傳輔助路徑和認(rèn)證標(biāo)簽，在審計(jì)驗(yàn)證階段還需CSP向DO返回被挑戰(zhàn)的原始數(shù)據(jù)，文獻(xiàn)［18，19］需要DO額外為每個(gè)數(shù)據(jù)上傳認(rèn)證標(biāo)簽，而本文方案由于引入共識(shí)節(jié)點(diǎn)對(duì)數(shù)據(jù)代為處理，DO僅需上傳數(shù)據(jù)和請(qǐng)求消息即可。從表5可以計(jì)算出本文方案系統(tǒng)總體的通信開(kāi)銷(xiāo)比文獻(xiàn)［12］低，比文獻(xiàn)［18，19］略有增加，但本文方案大幅降低了DO的通信開(kāi)銷(xiāo)，對(duì)于DO通信資源有限的場(chǎng)景，本文方案具有一定優(yōu)勢(shì)。

6.2 實(shí)驗(yàn)結(jié)果

6.2.1 基于Jxta模擬的區(qū)塊鏈網(wǎng)絡(luò)

a）硬件環(huán)境。CPU：Intel Core i7 2.60 GHz，RAM：16.00 GB。

b）軟件環(huán)境。操作系統(tǒng)：64位Windows 10；開(kāi)發(fā)軟件：IntelliJ IDEA；編程語(yǔ)言：Java；編程工具：JDK 1.8.0， Jxta 2.4，Jxta CMS 2.4.1，JPBC 2.0.0。

為分析本文提出的云數(shù)據(jù)審計(jì)方案，保證實(shí)驗(yàn)結(jié)果的隨機(jī)性，本文使用隨機(jī)生成數(shù)據(jù)作為動(dòng)態(tài)操作的輸入，通過(guò)Jxta技術(shù)構(gòu)建DO與CSP之間的通信并搭建系統(tǒng)模型，并使用Java語(yǔ)言編程實(shí)現(xiàn)方案的基本功能。

實(shí)驗(yàn)1 規(guī)定DO最初在CSP上存儲(chǔ)了5 000個(gè)文件，對(duì)CSP中的數(shù)據(jù)分別進(jìn)行10 000次的插入、修改及刪除操作，統(tǒng)計(jì)每種操作不同操作次數(shù)下的平均時(shí)間開(kāi)銷(xiāo)作為最終實(shí)驗(yàn)結(jié)果進(jìn)行分析，具體實(shí)驗(yàn)結(jié)果如圖5～8所示。

從實(shí)驗(yàn)結(jié)果來(lái)看，本文方案和文獻(xiàn)［18］在數(shù)據(jù)插入操作的平均時(shí)間開(kāi)銷(xiāo)增幅較小，文獻(xiàn)［12，19］平均時(shí)間開(kāi)銷(xiāo)隨插入數(shù)據(jù)量的增大而增大，原因在于本文提出的審計(jì)協(xié)議采用的是具有穩(wěn)定樹(shù)高的帶權(quán)多層MHT數(shù)據(jù)結(jié)構(gòu)，插入數(shù)據(jù)相當(dāng)于對(duì)底層單鏈表進(jìn)行插入，再?gòu)娜~節(jié)點(diǎn)更新哈希值和權(quán)值到根節(jié)點(diǎn)即可。文獻(xiàn)［18］通過(guò)引入二維索引表來(lái)支持?jǐn)?shù)據(jù)的動(dòng)態(tài)操作，向索引表插入數(shù)據(jù)時(shí)需要移動(dòng)后續(xù)所有節(jié)點(diǎn)信息，由于插入的數(shù)據(jù)量不多，所以平均時(shí)間耗費(fèi)這方面增幅不大。相比來(lái)說(shuō)，文獻(xiàn)［12］的審計(jì)數(shù)據(jù)結(jié)構(gòu)依托于傳統(tǒng)MHT結(jié)構(gòu)，在構(gòu)造初始樹(shù)結(jié)構(gòu)時(shí)的時(shí)間耗費(fèi)就比其他方案多，且隨著大量數(shù)據(jù)的插入，該方案的樹(shù)結(jié)構(gòu)將會(huì)嚴(yán)重失衡，在插入數(shù)據(jù)時(shí)影響查找效率，進(jìn)而影響插入效率。文獻(xiàn)［19］將每個(gè)數(shù)據(jù)存儲(chǔ)為循環(huán)雙鏈表的節(jié)點(diǎn)，數(shù)據(jù)狀態(tài)每變化一次都會(huì)使舊數(shù)據(jù)下沉作為斐波那契樹(shù)的分支節(jié)點(diǎn)，新數(shù)據(jù)代替舊數(shù)據(jù)存儲(chǔ)在循環(huán)雙鏈表中以此實(shí)現(xiàn)數(shù)據(jù)追溯功能，由于該方案會(huì)存儲(chǔ)每一個(gè)更改的數(shù)據(jù)，插入多次數(shù)據(jù)后會(huì)影響后續(xù)的數(shù)據(jù)的查找效率。

在修改數(shù)據(jù)實(shí)驗(yàn)中，為體現(xiàn)本文方案的優(yōu)勢(shì)，采用進(jìn)行了10 000次插入操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)修改操作。在經(jīng)過(guò)萬(wàn)次插入操作后的本文方案MHT樹(shù)結(jié)構(gòu)依然穩(wěn)健，在進(jìn)行數(shù)據(jù)查找時(shí)只需先找出數(shù)據(jù)對(duì)應(yīng)分區(qū)和待修改數(shù)據(jù)即可，而文獻(xiàn)［12］采用的MHT結(jié)構(gòu)紊亂，增大了數(shù)據(jù)查找難度，因而時(shí)間開(kāi)銷(xiāo)較大。文獻(xiàn)［18］采用的是索引表結(jié)構(gòu)，數(shù)據(jù)量不大，因此時(shí)間開(kāi)銷(xiāo)和本文方案差距不大。文獻(xiàn)［19］在修改數(shù)據(jù)時(shí)，需重新更新斐波那契樹(shù)結(jié)構(gòu)，因此整體的時(shí)間開(kāi)銷(xiāo)是最大的。由于單次的修改操作流程都是一樣的，所以三個(gè)方案的平均時(shí)間開(kāi)銷(xiāo)曲線均較為平緩。

在刪除數(shù)據(jù)實(shí)驗(yàn)中，同上述的修改操作實(shí)驗(yàn)一樣，采用進(jìn)行了10 000次插入操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)刪除操作。由于本文方案和三個(gè)對(duì)比方案采用的數(shù)據(jù)結(jié)構(gòu)不同而影響了數(shù)據(jù)查找效率，但隨著整體數(shù)據(jù)量的減少，平均時(shí)間開(kāi)銷(xiāo)均呈現(xiàn)下降趨勢(shì)。

為貼近實(shí)際情況，規(guī)定DO已存儲(chǔ)10 000條數(shù)據(jù)，隨機(jī)執(zhí)行相同次數(shù)的增、刪、改、審計(jì)這四項(xiàng)操作，取每千次操作下的平均時(shí)間開(kāi)銷(xiāo)研究實(shí)際情況中DO所需耗費(fèi)的審計(jì)時(shí)間開(kāi)銷(xiāo)。從圖8可知，對(duì)于DO不同的操作請(qǐng)求，文獻(xiàn)［12］時(shí)間開(kāi)銷(xiāo)最大，文獻(xiàn)［18］的時(shí)間開(kāi)銷(xiāo)排在其次，依賴于提出多層次帶權(quán)MHT的審計(jì)數(shù)據(jù)結(jié)構(gòu)，本文方案響應(yīng)DO單次請(qǐng)求的處理時(shí)間在30～45 ms，千次請(qǐng)求處理時(shí)間在3～5 s，時(shí)間開(kāi)銷(xiāo)是可接受的。因此在實(shí)際情況中對(duì)于DO的不定期不定量不定操作的需求，相較于其他方案，本文方案能降低時(shí)間開(kāi)銷(xiāo)，較為高效地應(yīng)對(duì)各種情況，增強(qiáng)了實(shí)用性。

實(shí)驗(yàn)2 規(guī)定當(dāng)CSP返回的審計(jì)證明驗(yàn)證失敗后需要進(jìn)行錯(cuò)誤數(shù)據(jù)定位操作，如圖9所示。規(guī)定待審計(jì)數(shù)據(jù)量為10 000，30 000，50 000，在隨機(jī)插入10～50個(gè)錯(cuò)誤數(shù)據(jù)后進(jìn)行單次審計(jì)，由于本文采取抽樣審計(jì)方案，為減小抽樣誤差，在每種情況下又分別進(jìn)行100次審計(jì)取平均值。此外，在上述實(shí)驗(yàn)基礎(chǔ)上記錄了計(jì)算所有錯(cuò)誤數(shù)據(jù)所需的平均審計(jì)次數(shù)。

從實(shí)驗(yàn)結(jié)果可以看出，隨著錯(cuò)誤數(shù)據(jù)量的增加，審計(jì)時(shí)間開(kāi)銷(xiāo)并不會(huì)大幅增加，因?yàn)樵谙嗤瑪?shù)據(jù)規(guī)模下，審計(jì)失敗則需對(duì)所有被挑戰(zhàn)的數(shù)據(jù)進(jìn)行驗(yàn)證。隨著錯(cuò)誤數(shù)據(jù)量的增大，單次抽樣審計(jì)有更大概率檢測(cè)出錯(cuò)誤數(shù)據(jù)并進(jìn)行錯(cuò)誤數(shù)據(jù)定位，但抽樣審計(jì)無(wú)法保證能一次性找到所有錯(cuò)誤數(shù)據(jù)，因此本實(shí)驗(yàn)還記錄了計(jì)算出所有錯(cuò)誤數(shù)據(jù)所需的審計(jì)次數(shù)。表6給出了在含有不同個(gè)數(shù)錯(cuò)誤數(shù)據(jù)的情況下，平均每次審計(jì)能找到的錯(cuò)誤數(shù)據(jù)個(gè)數(shù)，可從表中看出針對(duì)不同數(shù)據(jù)量，在含有10個(gè)以上的錯(cuò)誤數(shù)據(jù)時(shí)，CSP一定不能通過(guò)審計(jì)驗(yàn)證，DO可以及時(shí)獲知CSP有沒(méi)有誠(chéng)實(shí)地存儲(chǔ)數(shù)據(jù)，當(dāng)錯(cuò)誤數(shù)據(jù)小于10個(gè)時(shí)，CSP也無(wú)法保證每次都能通過(guò)審計(jì)，因此本文提出的審計(jì)方案是安全的。

6.2.2 基于以太坊私有鏈網(wǎng)絡(luò)

a）硬件環(huán)境。CPU：Intel Core i7 2.60 GHz，RAM：16.00 GB。

b）軟件環(huán)境。操作系統(tǒng)：64位Windows 10；以太坊私有鏈環(huán)境配置：npm v8.5.2、Node.js v17.7.2、Truffle v5.5.16、Ganache v6.12.2；加密實(shí)現(xiàn)：JPBC v2.0.0、哈希函數(shù)采用SHA3-keccak256；開(kāi)發(fā)軟件：IntelliJ IDEA；編程語(yǔ)言：Java、JavaScript；編程工具：Web3.js v1.7.5、JDK v1.8.0。

搭建好以太坊私有鏈環(huán)境后，利用JPBC計(jì)算數(shù)字簽名并實(shí)現(xiàn)雙線性對(duì)計(jì)算等加密操作，利用SHA3-keccak256計(jì)算哈希值構(gòu)建帶權(quán)多層次MHT，用Java實(shí)現(xiàn)基本功能，用Web3.js與私有鏈進(jìn)行交互。

實(shí)驗(yàn)3 在搭建好的以太坊私有鏈環(huán)境下，Ganache會(huì)默認(rèn)分配10個(gè)以太坊賬戶，各取5個(gè)作為DO賬戶和CSP賬戶，在1 000～10 000條數(shù)據(jù)下分別進(jìn)行抽樣審計(jì)，并在不同數(shù)據(jù)量下取總數(shù)據(jù)量的10%分別進(jìn)行插入、修改和刪除操作，統(tǒng)計(jì)這四種操作的時(shí)間開(kāi)銷(xiāo)，結(jié)果如圖10所示。

由圖10可知，以太坊私有鏈網(wǎng)絡(luò)相比于Jxta模擬的區(qū)塊鏈網(wǎng)絡(luò)，由于取總數(shù)據(jù)量的10%進(jìn)行動(dòng)態(tài)操作，數(shù)據(jù)操作量會(huì)隨著總數(shù)據(jù)量的增加而增加，所以導(dǎo)致其審計(jì)操作和增刪改操作的時(shí)間開(kāi)銷(xiāo)均有所增加。由于以太坊是個(gè)成熟的區(qū)塊鏈平臺(tái)，賬戶之間以交易的形式傳遞數(shù)據(jù)信息，相比于Jxta模擬的區(qū)塊鏈網(wǎng)絡(luò)要更為復(fù)雜，所以會(huì)增加一定的時(shí)間開(kāi)銷(xiāo)。隨著總數(shù)據(jù)量的增加，審計(jì)操作的時(shí)間開(kāi)銷(xiāo)整體呈上升趨勢(shì)。

7 結(jié)束語(yǔ)

本文針對(duì)當(dāng)前云數(shù)據(jù)公有審計(jì)方案中存在的安全、效率問(wèn)題，提出一種基于改進(jìn)的區(qū)塊鏈數(shù)據(jù)動(dòng)態(tài)操作的公有審計(jì)方案。利用區(qū)塊鏈技術(shù)和共識(shí)機(jī)制增強(qiáng)審計(jì)方案安全性，在降低DO計(jì)算與通信開(kāi)銷(xiāo)的情況下，還支持錯(cuò)誤數(shù)據(jù)定位功能。但本文方案沒(méi)有研究審計(jì)失敗后具體追責(zé)問(wèn)題，即不誠(chéng)實(shí)的審計(jì)行為必須受到懲罰，誠(chéng)實(shí)的行為必須獲得獎(jiǎng)勵(lì)，這樣才能正向激勵(lì)所有實(shí)體努力維護(hù)系統(tǒng)安全。此外，本文沒(méi)有考慮恢復(fù)錯(cuò)誤數(shù)據(jù)功能，由于DO數(shù)據(jù)沒(méi)有備份，數(shù)據(jù)一旦出現(xiàn)問(wèn)題對(duì)DO而言損失是不可逆的。在后續(xù)工作中，將繼續(xù)對(duì)本文方案中存在的不足之處進(jìn)行改進(jìn)。

參考文獻(xiàn)：

［1］邵奇峰， 張召， 朱燕超，等. 企業(yè)級(jí)區(qū)塊鏈技術(shù)綜述［J］. 軟件學(xué)報(bào)， 2019， 30 （9）： 2571-2592. （Shao Qifeng， Zhang Zhao， Zhu Yanchao， et al. Survey of enterprise blockchains［J］. Journal of Software， 2019， 30（9）： 2571-2592.）

［2］Wang Cong， Wang Qian， Ren Kui， et al. Privacy-preserving public auditing for data storage security in cloud computing［C］//Proc of IEEE INFOCOM.Piscataway，NJ：IEEE Press， 2010： 1-9.

［3］Wang Cong， Sherman C S M， Wang Qian， et al. Privacy-preserving public auditing for secure cloud storage［J］. IEEE Trans on Computers， 2013，62（2）：362-375.

［4］Shin S， Kim S， Kwon T. Identification of corrupted cloud storage in batch auditing for multi-cloud environments［C］//Proc of International Conference on Information and Communication Technology. Berlin： Springer， 2015： 221-225.

［5］龐曉瓊， 王田琪， 陳文俊， 等. 一個(gè)支持錯(cuò)誤定位的批處理數(shù)據(jù)擁有性證明方案［J］. 軟件學(xué)報(bào)， 2019，30（2）： 362-380. （Pang Xiaoqiong， Wang Tianqi， Chen Wenjun， et al. Batch provable data possession scheme with error locating［J］. Journal of Software， 2019，30（2）： 362-380.）

［6］Xue Jingting， Xu Chunxiang， Zhao Jining， et al. Identity-based public auditing for cloud storage systems against malicious auditors via blockchain［J］. Science China： Information Sciences， 2019， 62（3）： 41-56.

［7］Xu Yan， Sun Song， Cui Jie， et al. Intrusion-resilient public cloud auditing scheme with authenticator update［J］. Information Sciences： an International Journal， 2019，512（C）： 616-628.

［8］Miao Ying， Huang Qiong， Xiao Meiyan， et al. Decentralized and privacy-preserving public auditing for cloud storage based on blockchain［J］. IEEE Access， 2020，8： 139813-139826.

［9］Chen Lanxiang， Fu Qingxiao， Mu Yi， et al. Blockchain-based random auditor committee for integrity verification［J］. Future Generation Computer Systems， 2022，131： 183-193.

［10］Wang Qian， Wang Cong， Ren Kui， et al. Enabling public auditability and data dynamics for storage security in cloud computing［J］. IEEE Trans on Parallel and Distributed Systems， 2011，22（5）： 847-859.

［11］秦志光， 王士雨， 趙洋， 等. 云存儲(chǔ)服務(wù)的動(dòng)態(tài)數(shù)據(jù)完整性審計(jì)方案［J］. 計(jì)算機(jī)研究與發(fā)展， 2015， 52（10）： 2192-2199. （Qin Zhiguang， Wang Shiyu， Zhao Yang， et al. An auditing protocol for data storage in cloud computing with data dynamics［J］. Journal of Computer Research and Development， 2015，52（10）： 2192-2199.）

［12］Sun Yi， Liu Qian， Chen Xingyuan， et al. An adaptive authenticated data structure with privacy-preserving for big data stream in cloud［J］. IEEE Trans on Information Forensics and Security， 2020，15： 3295-3310.

［13］李勇， 姚戈， 雷麗楠， 等. 基于多分支路徑樹(shù)的云存儲(chǔ)數(shù)據(jù)完整性驗(yàn)證機(jī)制［J］. 清華大學(xué)學(xué)報(bào)： 自然科學(xué)版， 2016， 56（5）： 504-510. （Li Yong， Yao Ge， Lei Linan， et al. LBT-based cloud data integrity verification scheme［J］. Journal of Tsinghua University： Science and Technology， 2016， 56（5）： 504-510.）

［14］謝四江， 賈倍， 王鶴， 等. 基于多分支路徑樹(shù)的云存儲(chǔ)大數(shù)據(jù)完整性證明機(jī)制［J］. 計(jì)算機(jī)科學(xué)， 2019，46（3）： 188-196. （Xie Sijiang， Jia Bei， Wang He， et al. Cloud big data integrity verification scheme based on multi-branch tree［J］. Computer Science， 2019，46（3）： 188-196.）

［15］Zhu Yan， Ahn G， Hu Hongxin， et al. Dynamic audit services for outsourced storages in clouds［J］. IEEE Trans on Services Computing， 2013，6（2）： 227-238.

［16］Yang Kan， Jia Xiaohua. An efficient and secure dynamic auditing protocol for data storage in cloud computing［J］. IEEE Trans on Parallel and Distributed Systems， 2013，24（9）： 1717-1726.

［17］徐洋， 朱丹， 張煥國(guó)， 等. 云環(huán)境下基于代數(shù)簽名持有性審計(jì)的大數(shù)據(jù)安全存儲(chǔ)方案［J］. 計(jì)算機(jī)科學(xué)， 2016， 43（10）： 172-176. （Xu Yang， Zhu Dan， Zhang Huanguo， et al. Big data storage security scheme based on algebraic signature possession audit in cloud environment［J］. Computer Science， 2016，43（10）： 172-176.）

［18］韓靜， 李艷平， 禹勇， 等. 用戶可動(dòng)態(tài)撤銷(xiāo)及數(shù)據(jù)可實(shí)時(shí)更新的云審計(jì)方案［J］. 軟件學(xué)報(bào)， 2020， 31（2）： 578-596. （Han Jing， Li Yanping， Yu Yong， et al. Cloud auditing scheme with dynamic revocation of users and real-time updates of data［J］. Journal of Software， 2020， 31（2）： 578-596.）

［19］Mishra R， Ramesh D， Edla D R， et al. Fibonacci tree structure based privacy preserving public auditing for IoT enabled data in cloud environment［J］. Computers and Electrical Engineering， 2022，100：article ID 107890.

［20］于戈， 聶鐵錚， 李曉華， 等. 區(qū)塊鏈系統(tǒng)中的分布式數(shù)據(jù)管理技術(shù)——挑戰(zhàn)與展望［J］. 計(jì)算機(jī)學(xué)報(bào)， 2021， 44（1）： 28-54. （Yu Ge， Nie Tiezheng， Li Xiaohua， et al. The challenge and prospect of distributed data management techniques in blockchain systems［J］. Journal of Computers， 2021， 44（1）： 28-54.）

［21］Yang Changsong， Chen Xiaofeng， Xiang Yang. Blockchain-based publicly verifiable data deletion scheme for cloud storage［J］. Journal of Network and Computer Applications， 2018，103： 185-193.

［22］Yang Xiaodong， Pei Xizhen， Wang Meiding， et al. Multi-replica and multi-cloud data public audit scheme based on blockchain［J］. IEEE Access， 2020，8： 144809-144822.

［23］Yuan Haoran，Chen Xiaofeng，Wang Jianfeng，et al. Blockchain-based public auditing and secure deduplication with fair arbitration［J］. Information Sciences， 2020，541： 409-425.

［24］Huang Yan， Su Zhaofeng， Zhang Fangguo， et al. Quantum algorithm for solving hyperelliptic curve discrete logarithm problem［J］. Quantum Information Processing， 2020，19（3）： 120-126.

收稿日期：2022-08-02；修回日期：2022-09-28 基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（61802286）

作者簡(jiǎn)介：郭彩彩（1997-），女（通信作者），湖北荊州人，碩士研究生，主要研究方向?yàn)樵拼鎯?chǔ)、區(qū)塊鏈（guocaicai23@163.com）；金瑜（1973-），女，湖北武漢人，副教授，碩導(dǎo)，博士，主要研究方向?yàn)樵朴?jì)算、對(duì)等計(jì)算等分布式計(jì)算、信任模型、網(wǎng)絡(luò)安全等．