杜瑞忠 紀麗娟 王子園

摘 要：針對數據完整性審計過程中，半可信的云服務提供商存在不誠實選取數據的行為，提出一種物聯(lián)網環(huán)境下基于云邊協(xié)同的高效數據審計方案。首先，為了適應物聯(lián)網環(huán)境，采用端—邊—云三層審計框架，將標簽生成算法外包到邊緣節(jié)點進行，提高響應速度，降低物聯(lián)網設備端的計算成本。其次，設計了一種鏈表結構存儲文件信息，以支持數據監(jiān)測和實時更新。最后，根據用戶對文件的訪問頻率將數據分為非風險數據和風險數據，并設計了基于用戶行為的抽樣方法，通過優(yōu)先審計風險數據實現有效的針對性審計。安全性分析和實驗表明，該方案能實現更安全、更高效的審計。

關鍵詞：數據審計；云邊協(xié)同；物聯(lián)網；用戶行為

中圖分類號：TP309?? 文獻標志碼：A??? 文章編號：1001-3695（2023）12-042-3789-06

doi： 10.19734/j.issn.1001-3695.2023.04.0178

Data audit scheme based on cloudedge collaboration in IoT environment

Abstract：Aiming at the dishonest data selection behavior of semitrusted cloud service providers in the process of data integrity audit， this paper proposed an efficient data audit scheme based on cloud collaboration in the Internet of Things （IoT） environment. First of all， to adapt to the IoT environment， this paper proposed an endedgecloud threetier audit framework， and the tag generation algorithm is outsourced to the edge nodes， which improved the response speed and reduced the cost of IoT equipment. Secondly， this paper designed a linked list structure to store file information to support data monitoring and realtime updating. Finally， it divided the data into nonrisk data and risk data according to the frequency of users access to files， it designed a sampling method based on user behavior to achieve an effective targeted audit by giving priority to auditing risk data. Security analysis and experiments show that this scheme can achieve a safer and more efficient audit.

Key words：data audit; cloudedge collaboration; Internet of Things; user behavior

0 引言

云存儲由于其強大的計算和存儲能力受到個人和企業(yè)的青睞。數據所有者將大量數據外包給云，無須維護任何本地副本，可以有效利用云的資源且節(jié)省自身的人力物力［1］。然而，由于脫離了數據所有者的控制，數據很容易發(fā)生丟失、損壞、泄露、竄改等安全問題［2］。云服務提供商可能會為了自身利益或聲譽而隱藏數據已經損壞的事實，甚至刪除一些用戶很少訪問的數據以節(jié)省空間。2022年企業(yè)遭受數據泄露事件的損失成本創(chuàng)下歷史新高［3］。因此，為了確認數據是否完整地存儲在云中，研究人員提出了數據審計技術。數據持有性證明（provable data possession，PDP）由Ateniese等人［4］首次提出，確立了一個由云服務提供商、第三方審計員和用戶三個實體組成的架構，以提供遠程服務器擁有數據的概率證明。Juel等人［5］提出了數據可恢復性證明（proofs of retrievability，POR），可以在數據損壞的情況下以一定概率恢復數據。目前大多數研究是針對數據持有性證明進行的。為了擺脫復雜的證書管理和密鑰托管問題，袁藝林等人［6］提出了代理這一實體協(xié)助組內用戶進行操作，且采用基于身份的加密進行標簽的計算。Zhou等人［7］采用無證書簽名并應用多副本審計技術。Rabaninejad等人［8］提出了共享系統(tǒng)中基于ID的公共數據完整性審計方案，支持群組用戶更新，云服務器可以撤銷行為不端的用戶，但是上述方案都不適合低計算能力的物聯(lián)網環(huán)境。Yu等人［9］提出一種基于身份的私鑰生成審計方案，但標簽生成和審計證明驗證的開銷對于物聯(lián)網設備來說很高。Huang等人［10］提出了一種聯(lián)合云以推動物聯(lián)網的數據市場，它實現了數據動態(tài)更新，應用區(qū)塊鏈技術解決了云服務器記錄數據流的單點故障問題，然而方案的標簽生成算法開銷仍過高。Liu等人［11］在車載霧計算中實行外包計算，結合輕量級的簽名使計算和通信開銷大大降低。Garg等人［12］通過將指數運算轉換為乘法和加法運算，在審計協(xié)議的系統(tǒng)設置階段最小化了客戶端的計算復雜度。上述兩種方案有效降低了物聯(lián)網設備端的計算開銷，有利于低計算能力的物聯(lián)網環(huán)境。Lu等人［13］使用第三方審計執(zhí)行塊標記生成和完整性驗證，解決了標簽生成開銷高的問題，然而半信任的第三方可能對數據內容感到好奇，并可能從中導出原始數據，因此無法實現隱私保護。Tian等人［14］通過引入霧節(jié)點來執(zhí)行兩次簽名，雖然降低了物聯(lián)網設備的開銷，但是霧節(jié)點在現實中并不完全可信，存在數據泄露的風險。周磊等人［15］針對簽名密鑰泄露導致簽名無效的問題，設計了一種新的密鑰與標簽更新方法，并且無須數據擁有者端承擔復雜的計算操作。目前，大多數審計方案主要關注基于經典審計協(xié)議的審計性能、審計角色和隱私保護等方面的問題，很少有人考慮到通過選取數據質詢集來提高審計效率和安全性。從全部數據碎片中選擇一部分碎片進行驗證被認為是一個采樣問題，用戶的行為會影響文件的狀態(tài)，進而影響采樣。如果有些文件剛剛被訪問過，而有些文件沒有被訪問，云服務提供商可能會私自刪除那些不被訪問的數據，以達到節(jié)省自身存儲空間的目的，每次采樣都從剛剛訪問或審計的數據中選取，保證了審計結果的正確性，達到欺騙用戶的目的。對一些剛訪問或審計過的數據進行審計，實際上是對時間和資源的浪費。

對于物聯(lián)網環(huán)境下的數據審計，最常見的是使用傳感器來收集物聯(lián)網設備的數據。然而，云審計方案中的標簽生成過程開銷太大，而且傳感器的計算能力較弱，很難在短時間內為大量數據生成標簽。邊緣作為連接物聯(lián)網設備和云服務器的中間組件，具有廣泛的地理分布和低傳輸延遲的優(yōu)勢［16］。近年來，越來越多的審計方案開始考慮邊緣節(jié)點的重要作用。Tong等人［17］首先提出了ICEbasic方法和ICEbatch方法，分別針對用戶希望檢查單個邊緣節(jié)點和多個邊緣節(jié)點的數據完整性問題。然而該研究的前提是后端云中的數據是安全的，這是不現實的。Wang等人［18］將數據標簽生成階段卸載到邊緣節(jié)點，減少了用戶的計算負荷，但是標簽驗證階段具有很高的開銷。Li等人［19］提出了Cooper EDI方案，采用分布式的方式形成自我管理的邊緣緩存系統(tǒng)，還提出了EDIV采樣方法［20］保證審計的準確性，但是緩存數據只相對于靜態(tài)數據或頻繁讀取的數據，并不適用于實時變動的物聯(lián)網數據。王子園等人［21］采用無證書公鑰密碼，在線階段只需要少量計算，巧妙利用邊緣節(jié)點進行審計，實現了輕量級計算但未考慮隱私泄露問題。Tian等人［22］通過將移動接收器生成的標簽轉換為霧節(jié)點創(chuàng)建的標簽來保護數據隱私。Wang等人［23］使用平衡的真相發(fā)現方法實現了用戶隱私、物聯(lián)網設備中的數據完整性和計算成本之間的平衡，并在物聯(lián)網設備和邊緣服務器的交互中提出了數據隱私增強技術，但審計效率有待提高。Zheng等人［24］提出了一種支持多終端設備批量審計的工業(yè)物聯(lián)網審計方法，所提出的混合數據動態(tài)方法極大地縮短了數據塊定位時間，大大提高了數據審計的效率。基于物聯(lián)網環(huán)境的特點，結合云審計和邊緣節(jié)點的優(yōu)點，本文提出了物聯(lián)網環(huán)境下基于云邊協(xié)同的數據審計方案。

本文主要貢獻如下：

a）設計物聯(lián)網端、邊緣節(jié)點和云層分工協(xié)作的審計框架，端層進行數據的收集和密鑰的生成，邊緣節(jié)點層預處理標簽生成過程，云層執(zhí)行審計證明生成工作。這一過程旨在為低功耗物聯(lián)網設備提供便利，降低了物聯(lián)網設備的成本，提高了審計的效率，且方案能夠抵抗惡意攻擊者和惡意私鑰生成器的攻擊，具有較高的安全性。

b）為了避免無效采樣和重復采樣，本文開發(fā)了一種基于用戶行為的采樣算法，該算法基于文件的訪問和修改記錄進行數據采樣，通過優(yōu)先審計風險數據實現了針對性審計，減少了審計過程中產生的計算和通信開銷，節(jié)約了資源。

1 預備知識

1.1 雙線性映射

令G1是階為大素數p的加法循環(huán)群，G2是階為大素數p的乘法循環(huán)群，映射e：G1×G1→G2是雙線性映射，并滿足如下性質：

a）雙線性。對任意a，b∈Z*p和P，Q，R∈G1，存在e（P+Q，R）=e（P，R）·e（Q，R），e（P，Q+R）=e（P，Q）·e（P，R），e（aP，bQ）=e（P，abQ）=e（abP，Q）=e（P，Q）ab。

b）非退化性。存在P，Q∈G1，使得e（P，Q）≠1。

c）可計算性。存在有效的算法對任意的P，Q∈G1，計算e（P，Q）的值。

1.2 CDH問題

1.3 DL問題（discrete logarithm problem）

2 系統(tǒng)模型和設計目標

2.1 系統(tǒng)模型

如圖1所示，系統(tǒng)模型分為三層，涉及五種實體。其中，端層包括私鑰生成器（private key generator，PKG）和物聯(lián)網設備（Internet of Things device，IoT device），端層主要負責數據的收集和密鑰的生成。邊緣層包括邊緣節(jié)點（edge node）和第三方審計者（third party auditor，TPA），邊緣層連接端層和云層，負責它們之間的數據和信息傳輸，并分擔部分計算。云層包括云服務提供商（cloud service provider，CSP），云層為數據提供存儲空間，并生成審計證明。

a）私鑰生成器。私鑰生成器是完全可信的，它主要負責根據物聯(lián)網設備標識生成系統(tǒng)公共參數和物聯(lián)網設備的身份密鑰。

b）云服務提供商。云服務提供商為物聯(lián)網設備提供海量的存儲空間和強大的計算資源，并響應第三方審計者的挑戰(zhàn)以提供數據完整性證明。

c）邊緣節(jié)點。邊緣節(jié)點在模型中是受信任的實體。它負責物聯(lián)網設備和云服務提供商之間的交互，并完成部分計算操作。

d）物聯(lián)網設備。物聯(lián)網設備是指物聯(lián)網中產生大量數據且需要將其數據外包到云服務提供商的設備，通常物聯(lián)網設備用配備的傳感器記錄原始數據。

e）第三方審計者。第三方審計者是一家公共認證機構。它擁有足夠的資源和專業(yè)的能力定期或根據要求執(zhí)行數據完整性審計，并且能夠提供令人信服的審計結果。

2.2 設計目標

a）存儲正確性。在本文方案中，只有物聯(lián)網設備可以合法地更新它的外包數據。存儲正確性保證了如果云服務提供商完整地存儲了數據，那么一定能通過第三方審計者的驗證。

b）審計可靠性。如果云服務提供商沒有完整地存儲用戶數據，那么它生成的標簽就一定不能通過第三方審計者的驗證。

c）公共審計。任何授權的物聯(lián)網設備都能夠將數據存儲到云服務提供商，并且第三方審計者公開對數據進行審計。

d）隱私保護。第三方審計者對數據是好奇的，在審計過程中，它可能會試圖侵犯物聯(lián)網設備數據隱私。在完整性驗證過程中，第三方審計者和云服務提供商都不能獲得有價值的數據信息。

e）輕量級。物聯(lián)網中的設備多種多樣，計算能力也不盡相同，要求本文方案也必須兼顧到這些資源受限的設備。

3 方案整體設計

3.1 符號及意義

本章主要使用的符號及說明如表1所示。

3.2 概念定義

3.2.1 審計周期

對于存儲在云中的物聯(lián)網數據，云服務提供商可能會將那些不經常訪問的數據刪除以節(jié)省自身存儲空間，或者不誠實地保存物聯(lián)網設備修改的數據，本文把這樣的數據歸為風險數據；還有一些數據可能剛剛進行過訪問或審計，那么這些數據很有可能是完整的，馬上對其進行審計是沒有必要的，這樣的數據稱為非風險數據。本文提出審計周期的概念，在審計周期內的數據意味著最近一段時間剛剛被訪問或審計，那么它的完整性已經得到了保證，因此無須審計；在審計階段時，優(yōu)先選擇不在審計周期內的數據構成挑戰(zhàn)集合。隨著時間的推移，當數據超出了審計周期，它們就轉換成了風險數據且有被竄改的可能，所以審計周期具有循環(huán)性。

如圖2所示，t0表示文件剛剛被上傳的時間，t1表示一次文件訪問的時間，在t2時間發(fā)起了一次審計，若t2－t1>δt2，則表示數據已經超出了審計周期，需要對數據進行審計；若t2－t1≤δt2，則表示數據在審計周期之內，數據無須被審計。δt2表示一個審計周期，是一個可動態(tài)調整的值。

3.2.2 Flag標志位

Flag標志位用來記錄文件是否被訪問或審計。如圖3所示，t0時刻文件被上傳，Flag標志位被置為0，若在ta時刻文件被訪問或審計，則Flag標志位被置為1，若δt1（δt1=tb－ta）時間內沒有再次發(fā)生修改，則將Flag標志位恢復為0。δt1即為一個Flag標志位周期，是一個可動態(tài)調整的值。

3.2.3 文件狀態(tài)信息表

云服務提供商維護一個記錄文件狀態(tài)信息的鏈式表，以支持文件數據的實時監(jiān)測和動態(tài)更新。如圖4所示，文件狀態(tài)信息表左邊表示文件信息，由物聯(lián)網設備標識IDi（i=1，2，…，n）和文件編號Fn（n=1，2，…，n）組成，這樣做的原因是避免隨著文件數量的增加，導致用文件編號來唯一標識一個文件變得困難。例如：文件編號為8 bit，則最多可管理256個文件；若再添加8 bit的物聯(lián)網設備標識，則可管理的文件數為65 535個。在實際應用中，文件的標識應設置得足夠長，以滿足物聯(lián)網設備的需求。右邊表示文件的狀態(tài)信息，包括最后一次訪問文件的時間Lastvis（初始值為文件的上傳時間）以及記錄文件是否被訪問的標志位Flag。

3.3 方案具體實施

方案具體過程分為文件準備階段、文件記錄階段和文件驗證階段。

3.3.1 文件準備階段

文件準備階段主要是端層生成密鑰，端層和邊緣層協(xié)同生成標簽。

a）系統(tǒng)初始化。

輸入安全參數λ，隨機選擇兩個加密散列函數H1、H2。私鑰生成器選擇隨機元素x∈Z*p作為主密鑰，計算式（1）為系統(tǒng)公鑰，輸出系統(tǒng)公共參數params=（p，G1，G2，e，g，g0，H1，H2）；

g0=xg（1）

b）生成秘密值。

每個物聯(lián)網設備IDi（i=1，2，…，w）隨機選擇αi∈Z*p作為其秘密值，計算：

Xi=αig（2）

c）生成部分私鑰。

物聯(lián)網設備將（IDi，Xi）發(fā)送給PKG，PKG計算式（3）和（4），然后把Di作為物聯(lián)網設備的部分私鑰并通過安全通道返回給物聯(lián)網設備;

Qi=H1（IDi，Xi）（3）

Di=xQi（4）

d）生成密鑰。

當物聯(lián)網設備收到PKG返回的部分私鑰后，繼續(xù)生成完整的密鑰。計算式（5）和（6），所以ski為完整私鑰，公鑰為pki=（Xi，Yi）;

ski=αiDi（5）

Yi=αig0（6）

e）數據盲化。

對數據塊進行盲化處理，物聯(lián)網設備選擇一個隨機種子k1∈Z*p，根據式（7）計算致盲因子，所以盲數據塊如式（8）所示。最后，將文件F的盲數據塊m′i發(fā)送到邊緣節(jié)點;

βi=fk1（i，ID）（7）

m′i=mi+βi（8）

f）生成標簽。

對于收到的每個m′i，邊緣節(jié)點為其計算對應的標簽如式（9），并生成標簽集合如式（10）。然后邊緣節(jié)點計算文件標簽如式（11）和（12）。邊緣節(jié)點將{F′，θ}發(fā)送給CSP，將τ發(fā)送給TPA。

σi=ski×H2（name‖i‖Lastvis）+H1（g0）×H2（m′i）（9）

θ={σi}（1≤i≤n）（10）

τ0=name‖n‖μ（11）

τ=τ0‖Tagsk（τ0）（12）

3.3.2 文件記錄階段

當物聯(lián)網設備需要使用文件時，通過邊緣層向云層發(fā)送請求，云層根據文件的使用情況在文件狀態(tài)信息表中設置相應的標記。

a）文件轉換。

如果云存儲的文件沒有被任何用戶訪問過，Lastvis位設置為文件上傳時間，Flag位設置為0，此時的數據為風險數據。當文件被訪問時，文件狀態(tài)信息表中的Lastvis位被設置為此次訪問時間，并且標志位被設置為1，這個數據是非風險數據。當訪問間隔超過預設閾值時，文件成為風險數據，其標志位恢復為0。

例如，如圖5所示，在t0時刻，文件F1、F2和F3被上傳到云服務提供商存儲，在t1時刻，文件F1被訪問；在t2時刻，文件F2被訪問；在t3時刻，F1的Flag位變?yōu)?，說明t3－t1是標志位周期。

3.3.3 文件驗證階段

在此階段，端層授權邊緣層向云層發(fā)起挑戰(zhàn)，云層生成審計證明并通過邊緣層返回給端層。

a）生成挑戰(zhàn)信息。

第三方審計者收到來自邊緣節(jié)點的審計請求之后，首先驗證文件標簽，如果失敗則返回false（true表示文件標簽完好無損，false則相反），否則查看文件信息記錄表。若文件信息記錄表的Flag位值為1，則為其生成挑戰(zhàn)質詢；若文件信息記錄表的Flag位值為0，則比較當前時間與最后一次訪問時間之差同δt2的關系：選擇超出審計周期的文件進行審計。生成挑戰(zhàn)質詢的步驟為：TPA選擇一個包含c個元素的集合I，I∈［1，n］，每個i選擇一個隨機數vi∈Z*p，然后TPA將Chal={i，vi}i∈I發(fā)送給CSP。

b）生成證明。

云服務提供商收到挑戰(zhàn)信息后，生成并返回審計證明P。云服務提供商分別計算數據擁有證明ρ和標簽擁有證明ω，云服務提供商將審計證明P={ρ，ω}發(fā)送給第三方審計者。

c）驗證證明。

第三方審計者通過式（15）驗證審計證明是否正確。

4 正確性及安全性

4.1 正確性證明

由于任何物聯(lián)網設備都不能直接控制數據，且每個物聯(lián)網設備都希望其數據是完整的。所以本文方案通過以下證明確保云服務提供商不會惡意刪除或修改數據。

在本文方案中，如果每個實體都正確地執(zhí)行，所有被質詢的塊都正確地存儲在服務器上，云服務提供商就會通過式（15）的驗證。

4.2 安全性分析

4.2.1 可靠性

本文方案存在Ⅰ/Ⅱ型兩種類型的攻擊，Ⅰ型攻擊用敵手A1代表惡意攻擊者，Ⅱ型攻擊用敵手A2代表惡意PKG。A1和A2都試圖偽造塊的標簽，A1不能獲得系統(tǒng)主密鑰，但可以替換所選擇的任意物聯(lián)網設備的公鑰；A2可以獲得PKG的主密鑰但不能替換物聯(lián)網設備的公鑰。在這一節(jié)，通過模擬敵手A1/A2與挑戰(zhàn)者B之間的博弈，建立本文方案在隨機預言模型（random oracle model，ROM）選擇性數據塊攻擊下對抗偽造的安全性。

1）游戲1

定理1 在ROM中，若本文方案對于敵手A1是不可偽造的，則該方案是安全的。如果對于所有概率多項式時間的第一類敵手A1，基于CDH問題困難性假設，A1在ROM中贏得實驗的優(yōu)勢可以忽略不計。

證明 假設有敵手A1能夠以不可忽視的優(yōu)勢攻破方案，可以模擬挑戰(zhàn)者B以不可忽略的概率解決CDH問題。B包含兩個散列列表LH1和LH2，以及一個公鑰列表LPK，它們最初是空的。A1和B的交互如下：

a）H1詢問。A1可以在任何時候用身份ID查詢一個H1。當接收到詢問（ID，PKID）時，B查詢列表LH1，如果（ID，PKID）在列表中存在，返回H1給A1；否則，B選擇隨機數H′1返回給A1，然后將（ID，PKID，XID，H′1）添加到LH1中。

b）H2詢問。A1可以在任何時候用身份ID查詢一個H2。當接收到詢問（ID，g0，PKID）時，B查詢列表LH2，如果（ID，g0，PKID）在列表中存在，返回H2給A1；否則，B選擇隨機數H′2返回給A1，然后將（ID，PKID，g0，H′2）添加到LH2中。

c）設置。B取一個安全參數λ，B產生包含PKG主公鑰的公共參數集，然后發(fā)送給A1。

d）部分私鑰生成。從標識為IDi的A1接收到部分私鑰查詢時，B執(zhí)行以下操作：

（a）如果IDi沒有被創(chuàng)建，則B返回⊥；

（b）否則，如果IDi已經被創(chuàng)建并且ID≠ID*，B從LPK返回Di。否則，B返回失敗并終止。

e）秘密值。A1可以向oracle提交IDi，B查找LPK，如果IDi已經被創(chuàng)建則返回αi，否則B返回⊥。

f）公鑰生成。當從具有標識ID的A1收到這樣的查詢時，B返回用戶的公鑰pkID。

g）公鑰替換。A1可以向ROM提交（IDi，pk′i）替換IDi的公鑰，如果IDi已被創(chuàng)建，B將原始公鑰pki替換為pk′i，然后將（ID，pk′i）添加到LPK，否則輸出⊥。

h）標簽生成。A1調用標簽查詢，如果IDi尚未被創(chuàng)建，邊緣節(jié)點輸出⊥，否則，邊緣節(jié)點利用列表LH1、LH2和LPK為IDi的bi計算標簽σi。

i）偽造。在所有上述查詢之后，A1輸出塊b*i的真實標簽σ*i。然后，展示A1成功贏得游戲的概率，如下所示。

（a）E1。B在查詢部分私鑰生成過程中不中止游戲1。

（b）E2。邊緣節(jié)點為IDi的數據塊b*i生成標簽的偽造σ*i。

（c）E3。事件E2發(fā)生后，標簽σ*i滿足IDi=ID*i。

通過模擬可以得到

根據這些方程，B能夠解決給定CDH問題的概率為

從上面的方程中得出結論，B不能打破CDH問題，因為ε是不可忽略的。因此，A1不能贏得游戲1，方案對ROM中的敵手A1是安全的。

2）游戲2

定理2 在ROM中，若本文方案對于敵手A2是不可偽造的，則該方案是安全的。如果對于所有概率多項式時間的第二類敵手A2，基于CDH問題困難性假設，A2在ROM中贏得實驗的優(yōu)勢可以忽略不計。

證明 如果敵手A2能夠以不可忽視的優(yōu)勢贏得勝利，可以構造一個模擬挑戰(zhàn)者B的算法以不可忽略的概率解決CDH問題。A2和B的交互如下：

a）設置。B選擇一個隨機數x∈Z*p作為主密鑰，計算g0=gx。將公共參數params=（q，G1，G2，e，g，g0，H1，H2）輸出，將主密鑰x返回給A2，B選擇一個身份標識ID作為挑戰(zhàn)身份，并回答H1、H2和標簽生成詢問，如定理2所示。

b）秘密值。A2可以向此ROM提交IDi。B查找LPK，如果IDi已經被創(chuàng)建則返回xi，否則B返回⊥。

c）偽造。在所有上述查詢之后，A2輸出塊b*i的真實標簽σ*i。然后，展示A2成功贏得游戲的概率，如下所示。

（a）E1。B在查詢部分私鑰生成過程中不中止游戲2。

（b）E2。邊緣節(jié)點為IDi的數據塊b*i生成標簽的偽造σ*i。

（c）E3。事件E2發(fā)生后，標簽σ*i滿足IDi=ID*i。

通過模擬可以得到

根據這些方程，B能夠解決給定CDH問題的概率為

從上面的方程中得出結論，B不能打破CDH問題，因為ε是不可忽略的。因此，A2不能贏得游戲2，方案對ROM中的敵手A2是安全的。

4.2.2 隱私保護

5 性能評估

表2給出了文中所用到的操作符號及其描述。

5.1 理論分析

5.1.1 計算開銷

表3顯示了本文方案與文獻［14，18，22］的比較。首先是物聯(lián)網設備端的開銷，物聯(lián)網設備端只在準備階段執(zhí)行數據盲化操作，根據文獻［18］可以知道數據盲化的時間成本遠低于標簽生成的時間成本，并且隨著數據塊數量的增加，數據盲化與標簽生成之間的時間差距逐漸增大，所以數據盲化的時間開銷可以忽略不計，故沒有在表中顯示?？紤]到物聯(lián)網設備的計算能力較弱，本文方案大多采用加法和乘法運算，因此計算開銷要小于其他方案。

5.1.2 通信開銷

根據本文方案的描述可以知道，通信開銷主要來自挑戰(zhàn)—響應機制，主要是TPA和CSP。首先，TPA要根據采樣算法選擇文件生成挑戰(zhàn)信息chal={i，vi}，挑戰(zhàn)塊的大小為（c×（|n|+|p|））bit，然后TPA將挑戰(zhàn)信息發(fā)送給CSP，CSP收到挑戰(zhàn)信息后生成證明，證明的大小為（|p|+|q|）bit。綜上所述，挑戰(zhàn)—響應機制的開銷為（c×|n|+（c+1）×|p|+|q|）bit。

5.2 實驗分析

實驗在一臺裝有AMD FX8120的Linux操作系統(tǒng)機器上運行，配備3.1 GHz處理器，8 GB內存，使用基于配對的加密（PBC）庫和GNU多精度算法（GMP）。G1中組元素的大小約為21 bit。基本字段大小設置為512 bit，字段中的元素|p|的大小為160 bit，測試文件的大小設置為8 KB。

為了更有效地評估不同流程的性能，對方案的整個過程進行了評估，將數據塊的數量設置為100。如圖6所示，可以得出結論，密鑰生成時間最短，證明生成和證明驗證時間幾乎相同，標簽生成時間最長。所以本文將標簽計算外包到邊緣節(jié)點執(zhí)行，大大提高了效率。

將本文方案與文獻［14，18，22］方案的性能進行了對比分析，展示了這些方案在各個過程中的時間消耗情況。因為本文方案計算標簽的開銷是在邊緣節(jié)點生成的，所以對比方案也選取了在邊緣節(jié)點或霧節(jié)點進行標簽計算的方案。實驗中顯示的結果是20次實驗的平均值。

如圖7所示，對于所有方案，時間開銷隨著數據塊數量的增加而增長，本文方案相較于其他方案開銷較小，并且增長緩慢，這表明本文方案比其他方案開銷更低，也更適合生成大量數據的物聯(lián)網環(huán)境。此外，文獻［18，22］的方案在用戶端執(zhí)行部分標簽生成，這需要額外的計算，因此它們的總標簽生成開銷要高得多。

為了評估證明生成的性能，在實驗中為100～1 000個不同數量的挑戰(zhàn)塊生成了審計證明，如圖8所示。本文方案的結果明顯低于文獻［22］，與文獻［14，18］的結果相差很小，是因為它只相差一部分小開銷的額外運算。

不同數量挑戰(zhàn)塊的TPA證明驗證的時間開銷如圖9所示。從圖中可以看到，所有方案的證明驗證時間都隨著挑戰(zhàn)塊數的增加而線性增加，但趨勢不同。其中，文獻［22］方案根據零知識證明原理只需驗證一個證明，因此它的成本比其他方案低得多；本文方案沒有復雜的運算，因此效率也比較高。

6 結束語

本文提出一種新的物聯(lián)網環(huán)境下外包數據完整性審計方案。該方案致力于通過端—邊—云層協(xié)作解決低計算能力的物聯(lián)網設備的數據審計問題。每個物聯(lián)網設備都有部分密鑰和秘密值，消除了密鑰管理的問題。此外，通過設計一個基于用戶行為的抽樣算法，以實現有針對性的審計。安全性分析和實驗對比表明，該方案具有良好的安全性和效率。隨著物聯(lián)網技術的不斷進步和發(fā)展，物聯(lián)網數據的安全問題越來越受到重視，接下來的工作將繼續(xù)圍繞物聯(lián)網環(huán)境展開，針對物聯(lián)網環(huán)境實時變動的特點，結合區(qū)塊鏈的激勵機制，探索出一個更經濟完善的物聯(lián)網數據審計模型。

參考文獻：

［1］Gudeme J R，Pasupuleti S K，Kandukuri R. Certificateless multireplica public integrity auditing scheme for dynamic shared data in cloud storage ［J］. Computers & Security，2021，103： 102176.

［2］Du Miao，Wang Kun，Xia Zhuoqun，et al. Differential privacy preserving of training model in wireless big data with edge computing ［J］. IEEE Trans on Big Data，2020，6（2）： 283-295.

［3］《2022 年數據泄露成本報告》 ［EB/OL］. ［2023-03-03］. https：//china. newsroom. ibm. com/2022-07-28-IBM-2022-.

［4］Ateniese G，Burns R，Curtmola R，et al. Provable data possession at untrusted stores ［C］// Proc of the 14th ACM Conference on Computer and Communications Security.New York：ACM Press，2007：598-609.

［5］Juel A，Kaliski B S.PORs：proofs of retrievability for large files［C］// Proc of the 14th ACM Conference on Computer and Communications Security. New York：ACM Press，2007： 584-597.

［6］袁藝林，張建標，徐萬山，等. 基于身份的組用戶數據完整性驗證方案 ［J］. 軟件學報，2022，33（12）： 4758-4770. （Yuan Yilin，Zhang Jianbiao，Xu Wanshan，et al. Identitybased group user data integrity verification scheme ［J］. Journal of Software，2022，33（12）： 4758-4770.）

［7］Zhou Lei，Fu Anmin，Yang Guomin，et al. Efficient certificateless multicopy integrity auditing scheme supporting data dynamics ［J］. IEEE Trans on Dependable and Secure Computing，2022，19（2）： 1118-1132.

［8］Rabaninejad R，Sedaghat S M，Attari M A，et al. An IDbased privacypreserving integrity verification of shared data over untrusted cloud ［C］// Proc of the 25th International Computer Conference. 2020： 1-6.

［9］Yu Jia，Hao Rong，Xia Hui，et al. Intrusionresilient identitybased signatures： concrete scheme in the standard model and generic construction ［J］. Information Sciences，2018，442-443： 158-172.

［10］Huang Ke，Zhang Xiaosong，Mu Yi，et al. EVA： efficient versatile auditing scheme for IoTbased datamarket in Jointcloud ［J］. IEEE Internet of Things Journal，2020，7（2）： 882-892.

［11］Liu Xuejiao，Chen Wei，Xia Yingjie，et al. SE-VFC： secure and efficient outsourcing computing in vehicular fog computing ［J］. IEEE Trans on Network and Service Management，2021，18（3）： 3389-3399.

［12］Garg N，Bawa S，Kumar N. An efficient data integrity auditing protocol for cloud computing ［J］. Future Generation Computer Systems，2020，109： 306-316.

［13］Lu Xiuqing，Pan Zhenkuan，Xian Hequn. An integrity verification scheme of cloud storage for InternetofThings mobile terminal devices ［J］. Computers & Security，2020，92： 101686.

［14］Tian Junfeng，Wang Haoning. An efficient and secure data auditing scheme based on fogtocloud computing for Internet of Things scenarios ［J］. International Journal of Distributed Sensor Networks，2020，16（2）： 155014772091662.

［15］周磊，陳珍珠，付安民，等. 支持密鑰更新與審計者更換的云安全審計方案 ［J］. 計算機研究與發(fā)展，2022，59（10）： 2247-2260. （Zhou Lei，Chen Zhenzhu，Fu Anmin，et al. Cloud secure auditing scheme supporting key update and auditor replacement ［J］. Journal of Computer Research and Development，2022，59（10）： 2247-2260.）

［16］周俊，沈華杰，林中允，等. 邊緣計算隱私保護研究進展 ［J］. 計算機研究與發(fā)展，2020，57（10）： 2027-2051. （Zhou Jun，Shen Huajie，Lin Zhongyun，et al. Research advances on privacy preserving in edge computing ［J］. Journal of Computer Research and Development，2020，57（10）： 2027-2051.）

［17］Tong Wei，Jiang Bingbing，Xu Fengyuan，et al. Privacypreserving data integrity verification in mobile edge computing ［C］// Proc of the 39th IEEE International Conference on Distributed Computing Systems. Piscataway，NJ：IEEE Press，2019： 1007-1018.

［18］Wang Tian，Mei Yaxin，Liu Xuxuan，et al. Edgebased auditing method for data security in resourceconstrained Internet of Things ［J］. Journal of Systems Architecture，2021，114： 101971.

［19］Li Bo，He Qiang，Chen Feifei，et al. Cooperative assurance of cache data integrity for mobile edge computing ［J］. IEEE Trans on Information Forensics and Security，2021，16： 4648-4662.

［20］Li Bo，He Qiang，Chen Feifei，et al. Auditing cache data integrity in the edge computing environment ［J］. IEEE Trans on Parallel and Distributed Systems，2021，32（5）： 1210-1223.

［21］王子園，杜瑞忠. 邊緣環(huán)境下基于無證書公鑰密碼的數據完整性審計方案 ［J］. 通信學報，2022，43（7）： 62-72. （Wang Ziyuan，Du Ruizhong. Certificateless public key cryptography based provable data possession scheme in edge environment ［J］. Journal on Communications，2022，43（7）： 62-72.）

［22］Tian Hui，Nan Fulin，Chang C C，et al. Privacypreserving public auditing for secure data storage in fogtocloud computing ［J］. Journal of Network and Computer Applications，2019，127： 59-69.

［23］Wang Tian，Bhuiyan M Z A，Wang Guojun，et al. Preserving balance between privacy and data integrity in edgeassisted Internet of Things ［J］. IEEE Internet of Things Journal，2020，7（4）： 2679-2689.

［24］Zheng Wenying，Lai C F，He Debiao，et al. Secure storage auditing with efficient key updates for cognitive industrial IoT environment ［J］. IEEE Trans on Industrial Informatics，2021，17（6）： 4238-4247.