張曉琴 姚遠(yuǎn) 王穎

摘要：在大數(shù)據(jù)爆發(fā)式增長背景下，云存儲服務(wù)的發(fā)展為用戶數(shù)據(jù)存儲帶來了極大的方便，按需服務(wù)特性使其備受青睞。但由于失去了對云服務(wù)器中數(shù)據(jù)的直接控制，不確定因素可能導(dǎo)致用戶的數(shù)據(jù)損壞，這給云存儲發(fā)展帶來極大挑戰(zhàn)。筆者提出輕量級計算和驗證的數(shù)據(jù)審計方案，簡化了用戶在上傳數(shù)據(jù)之前的標(biāo)簽計算操作，保證用戶上傳數(shù)據(jù)的安全性。此外，云服務(wù)器和審計者的計算任務(wù)也得到減輕，進(jìn)一步降低計算開銷。為保護(hù)用戶數(shù)據(jù)隱私，借鑒了圖像加密中的置亂加密，讓用戶使用隨機(jī)函數(shù)對數(shù)據(jù)塊的位置進(jìn)行置亂，同時讓審計者計算出數(shù)據(jù)塊的真實位置，完成審計操作。實驗結(jié)果表明，該方案有效節(jié)省了審計流程中用戶和服務(wù)器、審計者3方的計算資源，提升流程效率。

關(guān)鍵詞：數(shù)據(jù)審計；云服務(wù)器；隱私保護(hù)；置亂加密；隨機(jī)函數(shù)

中圖分類號：TP333????????? 文獻(xiàn)標(biāo)志碼：A????? 文章編號：1000-582X（2024）02-075-09

Lightweight privacy protection scheme for cloud audit

ZHANG Xiaoqin1， YAO Yuan2， WANG Ying3

（1. Chongqing Communication Design Institute Company Ltd.， Chongqing 400041， P. R. China;

2.? Information Center of Xiyuan Hospital， China Academy of Chinese Medical Sciences， Beijing 100091， P. R. China; 3. College of Big Data and Software， Chongqing University，

Chongqing 401331， P. R. China）

Abstract： In the context of the explosive growth of big data， the emergence of cloud storage services has significantly facilitated user data storage. The on-demand nature of cloud servers further contributes to their widespread popularity. However， this convenience comes at the expense of direct user control over data stored in the cloud， exposing it to potential damage from various uncertain factors. This brings great challenges to the advancement of cloud storage. To address these challenges， a data auditing scheme is proposed， emphasizing lightweight calculation and verification. This solution streamlines the users label calculation operation before uploading data， ensuring data security during the upload process. This approach concurrently reduces the calculation tasks of both the cloud server and the auditor， minimizing overall calculation overhead. To protect user data privacy， the scheme incorporates scrambling encryption inspired by image encryption. This enables users to use random functions to scramble the data blocks location， while still allowing the auditor to calculate the actual data block location for successful auditing. The results show that the proposed solution effectively saves computing resources for users， servers， and auditors during the audit process， thereby improving overall process efficiency.

Keywords： data audit; cloud server; privacy protection; scrambling encryption; random function

云計算服務(wù)具有按需服務(wù)，接入網(wǎng)絡(luò)便捷，存儲資源豐富，靈活性高等特性，已吸引越來越多的組織和個人用戶關(guān)注[1?2]。通過將數(shù)據(jù)存儲遷移到云服務(wù)器或?qū)⒂嬎闳蝿?wù)交由云服務(wù)代理完成，用戶可節(jié)省大量計算資源。云計算在數(shù)據(jù)量巨大、計算任務(wù)繁重領(lǐng)域如電商、車聯(lián)網(wǎng)[3]、醫(yī)療護(hù)理[4]中得到廣泛應(yīng)用。但隨著云存儲大范圍使用，數(shù)據(jù)安全問題也日益凸顯[5?7]，數(shù)據(jù)一旦被遷移到云服務(wù)器后，用戶就不能夠?qū)ζ溥M(jìn)行直接操作控制，在此情況下傳統(tǒng)方法驗證數(shù)據(jù)的完整性和正確性不再適用。云服務(wù)代理可能在未經(jīng)用戶許可情況下使用用戶數(shù)據(jù)，侵犯用戶隱私。除云服務(wù)代理之外，網(wǎng)絡(luò)中還存在著外部攻擊者有意監(jiān)聽或篡改用戶數(shù)據(jù)的風(fēng)險。因此，對于使用云服務(wù)的用戶而言，能夠驗證被遷移數(shù)據(jù)完整性和正確性的數(shù)據(jù)審計方案具有重要研究意義。

近年來，國內(nèi)外對審計的研究成果相當(dāng)豐富。在審計架構(gòu)方面主要有兩種方案：①基于私有審計架構(gòu)[8?9]。Juels等[10]首次提出了可恢復(fù)性證明模型（proofs of retrievability，PoR），它可使用戶遠(yuǎn)程驗證半可信服務(wù)器中的數(shù)據(jù)完整性。但PoR是一個私有審計方案，不支持對數(shù)據(jù)的動態(tài)更新；②公有審計架構(gòu)[11?12]。Ateniese等[13]提出了可證明數(shù)據(jù)所有模型（provable data posession，PDP），首次提出了公開審計概念。Shacham等[14]提出了新穎的公開審計方案，該方案使用BLS簽名。與傳統(tǒng)基于RSA簽名相比，BLS簽名的長度更短，對于降低通信成本有顯著表現(xiàn)。此方案提出后，許多方案也采用BLS簽名來節(jié)省通信計算量和實現(xiàn)批量審計功能。Curtmola等[15]提出了多副本PDP模型方案，使用該方案的用戶需要在服務(wù)器上存儲一個文件的多個副本。當(dāng)某些文件被破壞時，可利用其他副本對文件進(jìn)行快速恢復(fù)。私有審計方案雖然能很好滿足當(dāng)時用戶需求，但隨著信息基礎(chǔ)設(shè)施快速升級，審計結(jié)果可信度也易受質(zhì)疑。私有審計模型由于需要用戶承擔(dān)大量通信和計算開銷，目前也無法滿足用戶的全部需求。相比之下，公有審計模型加入了一個可信第三方審計員，用戶可將數(shù)據(jù)審計的任務(wù)委派給第三方完成，節(jié)約自己的資源。這一概念最早由Wang等提出，第三方審計者可代表用戶進(jìn)行數(shù)據(jù)驗證，幫助用戶節(jié)省因?qū)徲嫯a(chǎn)生的開銷。盡管第三方審計者在之后的審計方案中得到了廣泛應(yīng)用，但仍存在一些缺點，如缺少對審計者的有效監(jiān)管。

綜上所述，私有審計方案架構(gòu)簡單、安全性較高，且能夠最大限度保證審計結(jié)果的真實性。但是，該方案要求用戶定期進(jìn)行數(shù)據(jù)審計，頻繁與云服務(wù)器進(jìn)行交互，嚴(yán)重消耗用戶自身的網(wǎng)絡(luò)和計算資源，與用戶使用云服務(wù)器目的背道而馳。對于公開審計而言，雖然引入了第三方審計者，用戶可以對第三方審計者進(jìn)行授權(quán)，委托其執(zhí)行數(shù)據(jù)審計工作[16?18]。第三方審計者通常都被假設(shè)為是完全可信的，實際上第三方審計者仍可能會與云服務(wù)提供商共同向用戶隱藏數(shù)據(jù)損壞或丟失的事實。而且第三方審計者作為中心化的一方，一旦受到外部攻擊或發(fā)生內(nèi)部故障，審計過程都會被影響。為解決上述審計中存在的資源消耗嚴(yán)重且用戶隱私得不到保證的問題，研究以最小化計算開銷和保護(hù)用戶數(shù)據(jù)隱私為重心，設(shè)計了輕量級計算方法和審計流程，其主要貢獻(xiàn)在于：

1）借鑒了圖像加密中的置亂加密，使用偽隨機(jī)函數(shù)對文件內(nèi)數(shù)據(jù)塊的順序進(jìn)行置亂，不增加用戶額外開銷；

2）在數(shù)據(jù)存儲階段，偽隨機(jī)函數(shù)的種子使用雙線性映射結(jié)合用戶私鑰計算，保證只有用戶和第三方審計者才能計算出數(shù)據(jù)塊正確順序；

3）用戶在計算數(shù)據(jù)塊簽名時也采用了偽隨機(jī)函數(shù)種子，具體可驗證標(biāo)簽則由云服務(wù)器生成，可有效節(jié)省審計流程中用戶和服務(wù)器、審計者三方計算資源。

1 系統(tǒng)模型及設(shè)計目標(biāo)

1.1 建立系統(tǒng)模型

方案采用了傳統(tǒng)的云數(shù)據(jù)公開審計模型，系統(tǒng)模型中包含3個角色：用戶、云服務(wù)提供商和可信第三方審計者。不同角色在方案中的定位和功能如下所述：

用戶（data owner，DO）：用戶擁有一定容量數(shù)據(jù)，但自身的存儲和計算能力有一定限制，選擇將數(shù)據(jù)外包給云服務(wù)器。用戶需要確保自己的數(shù)據(jù)完整保存在云服務(wù)器上，并且授權(quán)可信第三方審計者對自己的數(shù)據(jù)進(jìn)行定期審查。在審計方案中，用戶需承擔(dān)的計算和通信開銷應(yīng)盡可能最小。

云服務(wù)提供商（cloud service provider，CSP）：云服務(wù)提供商即管理著足量的云服務(wù)器提供大量存儲和計算資源角色。用戶將自己的數(shù)據(jù)交由云服務(wù)提供商存儲到云服務(wù)器中，同時要求云服務(wù)提供商保證數(shù)據(jù)完整性。

可信第三方審計者（trusted third party authority，TPA）：審計者的作用是獲得用戶的委托和授權(quán)，對云服務(wù)器中對應(yīng)用戶的數(shù)據(jù)進(jìn)行定期審計，將審計結(jié)果發(fā)送給用戶，確保在數(shù)據(jù)受損時用戶能及時發(fā)現(xiàn)采取后續(xù)措施。在這個過程中，假設(shè)第三方審計者是半可信的，即審計者會誠實完成審計，但會對用戶的數(shù)據(jù)保持好奇，試圖通過審計數(shù)據(jù)恢復(fù)出用戶原始數(shù)據(jù)。因此，審計流程需要在保證審計效果前提下，保護(hù)用戶數(shù)據(jù)的安全性。

本方案提出了一種輕量級的計算方法和審計方法，其簡要步驟為：首先，用戶對需要上傳到云服務(wù)器的數(shù)據(jù)進(jìn)行預(yù)處理，生成可驗證數(shù)據(jù)標(biāo)簽和其他信息，以便審計者進(jìn)行審計；其次，將處理后的數(shù)據(jù)及數(shù)據(jù)標(biāo)簽上傳到云服務(wù)器，授權(quán)第三方審計者對自己的數(shù)據(jù)進(jìn)行審計。審計者將定期對云服務(wù)器發(fā)起審計挑戰(zhàn)，云服務(wù)器計算出相應(yīng)的數(shù)據(jù)擁有證明并將其發(fā)送給對應(yīng)審計者。審計者收到數(shù)據(jù)擁有證明后進(jìn)行驗證，并將驗證結(jié)果發(fā)送給用戶。如果驗證成功，則說明數(shù)據(jù)仍然保持完整；如果驗證失敗，則說明數(shù)據(jù)的完整性受損，用戶需要及時采取對應(yīng)措施。

為更好保護(hù)用戶隱私，本方案在數(shù)據(jù)預(yù)處理階段引入圖像加密中的置亂加密操作，即用戶在對數(shù)據(jù)塊生成可驗證標(biāo)簽后，使用偽隨機(jī)函數(shù)對同一文件中數(shù)據(jù)塊的順序置亂。然后，用戶將打亂數(shù)據(jù)塊順序的文件發(fā)送給云服務(wù)器，防止數(shù)據(jù)隱私泄露。偽隨機(jī)函數(shù)的隨機(jī)種子采取密鑰交換原理，由用戶的私鑰和第三方審計者私鑰共同生成，保證對云服務(wù)器的保密性。對于用戶對第三方審計者進(jìn)行授權(quán)操作，用戶可為審計者生成相應(yīng)證書，以證明審計者獲得了用戶授予的審計權(quán)限。證書可以使用簽名、加密算法等方式生成，并用于驗證審計者的身份。

1.2 設(shè)計系統(tǒng)目標(biāo)

筆者提出的方案主要目標(biāo)是實現(xiàn)可靠的審計結(jié)果。同時減少方案參與者處理數(shù)據(jù)所需的計算資源，減輕用戶的資源消耗，加強(qiáng)對用戶數(shù)據(jù)的隱私保護(hù)。本方案有如下設(shè)計目標(biāo)：

1）用戶原始數(shù)據(jù)隱私保護(hù)：在用戶預(yù)處理過程中，采用圖像加密中的置亂加密對用戶文件中的數(shù)據(jù)塊進(jìn)行亂序操作。該操作不需要額外存儲空間，能有效保護(hù)用戶原始數(shù)據(jù)的隱私。

2）減輕參與者的計算消耗：在能夠保證審計效果以及審計流程安全性前提下，簡化用戶預(yù)處理步驟，修改數(shù)據(jù)標(biāo)簽計算方法。此外，減少計算時間，將部分?jǐn)?shù)據(jù)標(biāo)簽的生成操作轉(zhuǎn)移到云服務(wù)器進(jìn)行，減少審計過程中的計算資源消耗。

2 方案詳細(xì)設(shè)計

本方案體包括5個階段：

1）初始化：用戶確定進(jìn)行數(shù)據(jù)上傳所需的各類參數(shù)和計算函數(shù)，云服務(wù)提供商以及第三方審計者也需要生成自己的公私鑰對。

2）數(shù)據(jù)存儲：參數(shù)生成完畢后，用戶開始處理將外包給云服務(wù)器的數(shù)據(jù)。用戶需要對文件進(jìn)行分塊、生成可驗證數(shù)據(jù)標(biāo)簽、數(shù)據(jù)塊亂序以及發(fā)送等操作。

3）數(shù)據(jù)審計：第三方審計者接受用戶的授權(quán)和委托，對云服務(wù)器發(fā)起審計挑戰(zhàn)。

4）證明生成：云服務(wù)器根據(jù)收到的挑戰(zhàn)信息計算數(shù)據(jù)擁有證明，并將其發(fā)送給第三方審計者。

5）數(shù)據(jù)驗證：第三方審計者驗證數(shù)據(jù)擁有證明是否正確。

以上5個階段即為本方案主要流程，同時還支持用戶對云服務(wù)器中數(shù)據(jù)動態(tài)操作。本方案中使用的符號如表1所示。

2.1 初始化階段

在初始化階段，用戶、云服務(wù)器以及第三方審計者都需要生成自己的參數(shù)以及一些函數(shù)。對于用戶，首先用戶需要確定一個大素數(shù)p。接著，選擇2個以大素數(shù)p為階的循環(huán)群G，G_T，設(shè)定雙線性映射e：G×G→G_T。設(shè)H為哈希函數(shù)〖{0，1}〗^*→G上的映射，〖{0，1}〗^*表示由0和1組成的任意長度字符串；其次生成用戶的公鑰和私鑰：用戶隨機(jī)選擇元素α∈Z_p以及g，u∈G，設(shè)β=g^α。然后用戶選擇隨機(jī)簽名密鑰對（sk，pk），用于對數(shù)據(jù)進(jìn)行簽名；最終，本方案中用戶的參數(shù)為私鑰SK=（sk，α），公鑰PK=（pk，β，g，u）。用戶的參數(shù)確定后，云服務(wù)器隨機(jī)選擇元素y∈Z_p作為自己的私鑰，對應(yīng)的公鑰為Y=g^y，第三方審計者從Z_p中隨機(jī)選擇元素z作為私鑰，并令公鑰Z=g^z。以上參數(shù)中私鑰均由生成者保存并保證其私密性，公鑰保持公開，即任何第三方都可以獲得。

2.2 數(shù)據(jù)存儲階段

參數(shù)初始化完畢后，用戶對需要上傳到云服務(wù)器的數(shù)據(jù)進(jìn)行預(yù)處理。首先對文件進(jìn)行分塊，一個文件會被分為若干個大小相同的數(shù)據(jù)塊，假設(shè)一個文件可被分為n塊，記為F={m_1，m_2，…，m_n}。同時用戶為每個文件分配唯一標(biāo)識號，令文件F的標(biāo)識號為F_ID。文件分割完成后，用戶開始為數(shù)據(jù)塊生成簽名，首先用戶計算t=e〖（Y，Z）〗^α，然后計算數(shù)據(jù)塊的簽名

σ_i=t?u^（m_i ），1≤i≤n ，????? （1）

接著，用戶開始對文件F中的數(shù)據(jù)塊進(jìn)行置亂操作。假設(shè)t為偽隨機(jī)函數(shù)種子，計算數(shù)據(jù)塊新的排布位置，計算方式為k_i=τ_t （i），1≤i≤n。計算完成后，用戶根據(jù)k_i對文件重新進(jìn)行排布，得到F^'={…，m_（k_i ） 〖，…}〗_（1≤i≤n）。為保證文件唯一標(biāo)識號完整性，用戶需要為文件生成文件標(biāo)簽T=F_ID ||sig_sk （F_ID），其中sig_sk （F_ID）表示使用私鑰sk為文件標(biāo)識號生成的簽名，并令所有數(shù)據(jù)塊簽名的集合為σ={σ_i }_（1≤i≤n）。最終用戶將{F'，σ，T}發(fā)送給云服務(wù)器保存，并刪除本地存儲數(shù)據(jù)。

收到用戶發(fā)送數(shù)據(jù)后，云服務(wù)器還需要使用雙線性映射e進(jìn)一步計算其可驗證標(biāo)簽。云服務(wù)器根據(jù)收到的數(shù)據(jù)塊簽名計算可驗證標(biāo)簽方式為：θ_i=e（σ_i，β）；計算完所有數(shù)據(jù)塊的可驗證標(biāo)簽后，云服務(wù)器將它們組成的集合記為θ={θ_i }_（1≤i≤n）。同時，云服務(wù)器將用于數(shù)據(jù)驗證的θ和T與文件F'一同保存。

2.3 數(shù)據(jù)審計階段

用戶將數(shù)據(jù)上傳至云服務(wù)器后，授權(quán)并委托第三方審計者代表自己對云服務(wù)器發(fā)起審計挑戰(zhàn)。在發(fā)起挑戰(zhàn)之前，審計者需先通過驗證文件標(biāo)簽是否正確來確認(rèn)該文件是否屬于該用戶。審計者從云服務(wù)器處獲得T，并通過用戶的簽名公鑰pk驗證其是否正確。驗證失敗即中止本次審計并向用戶提交錯誤報告；驗證成功則審計者獲取到F_ID并可繼續(xù)生成挑戰(zhàn)信息。審計者構(gòu)造挑戰(zhàn)信息為chal={F_ID，i，s_i 〖，l，}〗_（i∈I，l∈L）。由于存儲在云服務(wù)器中的數(shù)據(jù)塊順序和可驗證簽名順序不對應(yīng)，在挑戰(zhàn)信息中審計者需要為受到挑戰(zhàn)的數(shù)據(jù)塊生成數(shù)據(jù)塊序號集合和簽名序號集合。挑戰(zhàn)信息中L為此次受到挑戰(zhàn)的數(shù)據(jù)塊可驗證標(biāo)簽的索引集合，包含從{1，2，…n}中挑選的c個元素。I為與可驗證標(biāo)簽對應(yīng)的數(shù)據(jù)塊索引集合。為得到集合I，審計者需要先使用自己的私鑰以及用戶和云服務(wù)器的公鑰計算隨機(jī)函數(shù)種子，即t=h（e〖（β，Y）〗^Z），I={i=τ_t （l）|l∈L}。s_i則與i一一對應(yīng)，從Z_p中選取的c個元素。為防止云服務(wù)器的被攻擊，每一次挑戰(zhàn)信息中的集合L和s_i都是隨機(jī)選擇，保證每次挑戰(zhàn)的信息都不同。挑戰(zhàn)信息生成完畢后，審計者將chal發(fā)送給云服務(wù)器，并等待其回復(fù)。

2.4 證明生成階段

在收到審計者發(fā)來的挑戰(zhàn)信息后，云服務(wù)器需要計算對應(yīng)的數(shù)據(jù)擁有證明，以證明自己所保存的該用戶數(shù)據(jù)完整性。為此，云服務(wù)器首先生成可驗證標(biāo)簽證明

Θ=∏_（i∈I，l∈L）?θ_l^（s_i ）? ，? （2）

基于可驗證數(shù)據(jù)標(biāo)簽的同態(tài)性，多個數(shù)據(jù)塊的標(biāo)簽可被聚合為一個，在此用Θ表示。然后，云服務(wù)器計算數(shù)據(jù)證明

M=∑_（i∈I）?〖s_i?m_i 〗 ， （3）

計算完成后，云服務(wù)器將數(shù)據(jù)擁有證明{Θ，M}發(fā)送給第三方審計者。

2.5 數(shù)據(jù)驗證階段

收到數(shù)據(jù)擁有證明后，審計者使用如下表達(dá)式對其進(jìn)行驗證

Θ=e（∏_（i∈I）?〖t^（s_i ）?u^M，β〗） ，??? （4）

若審計者驗證成功，則說明云服務(wù)器完整保存了用戶數(shù)據(jù)，否則數(shù)據(jù)的完整性受到了破壞，需要用戶立即采取相應(yīng)措施。

2.6 數(shù)據(jù)批量審計

在實際應(yīng)用中，如果審計者能一次性批量審計多個用戶數(shù)據(jù)，將極大提高審計者的工作效率，最大程度確保每個用戶數(shù)據(jù)都按時定期進(jìn)行完整性檢驗。

假設(shè)有γ個用戶數(shù)據(jù)需要進(jìn)行審計，且將用戶集合記為U={1，2，…γ}，其中的某個用戶用U_ω表示，ω∈U。用戶U_ω的私鑰用α_ω∈Z_p表示，公鑰用β_ω=g^（α_ω ）表示。用戶仍然隨機(jī)選擇u_ω∈G以及隨機(jī)簽名密鑰對（sk_ω，pk_ω）系統(tǒng)的全局參數(shù)與單用戶數(shù)據(jù)審計相同，有雙線性映射e：G×G→G_T以及H和h2個哈希函數(shù)，其中H為〖{0，1}〗^*→G上的映射，h為〖{0，1}〗^*→Z_p上的映射。云服務(wù)器的私鑰為從Z_p中隨機(jī)選取的元素y，公鑰為Y=g^y，第三方審計者的私鑰為從Z_p中隨機(jī)選取的元素z，公鑰為Z=g^z。接下來的步驟與單用戶數(shù)據(jù)審計相似。

1）數(shù)據(jù)存儲

設(shè)用戶U_ω需要上傳的文件為F_ω，需要將其切分為同等大小的n個數(shù)據(jù)塊，表示為F_ω={m_（ω，1），m_（ω，2），…，m_（ω，n）}，文件的標(biāo)識符為F_（ω，ID）。切分完成后，用戶首先計算t_ω=h（e〖（Y，Z）〗^（α^ω ）），然后為每個數(shù)據(jù)塊生成簽名

σ_（ω，i）=h（t_ω）?u_ω^（m_i ），1≤i≤n ，???? （5）

簽名計算后，用戶接著對文件進(jìn)行置亂，打亂數(shù)據(jù)塊順序，用戶計算k_（ω，i）=τ_（t_ω ） （i），1≤i≤n，然后按照k_（ω，i）來對數(shù)據(jù)塊進(jìn)行重新排序，記為F_ω^'={…，m_（k_（ω，i） ），…}1≤i≤n。然后用戶基于F_（ω，ID）為文件生成標(biāo)簽T_ω=F_（ω，ID） ‖sigm_（sk_ω ） （F_（ω，ID））┤，將對數(shù)據(jù)塊的簽名集合記為θ_ω={θ_（ω，i） }_（1≤i≤n）。再將{F_ω^'，θ_ω，T_ω}上傳至云服務(wù)器進(jìn)行保存，刪除本地的數(shù)據(jù)文件，完成數(shù)據(jù)存儲操作。

云服務(wù)器收到用戶U_ω發(fā)來的數(shù)據(jù)后，再基于用戶的數(shù)據(jù)塊簽名為其計算出可驗證標(biāo)簽θ_（ω，i）=e（θ_（ω，i），β_ω），其合集記為θ_ω={θ_（ω，i）}U_（1≤i≤n）。然后云服務(wù)器存儲{F_ω^'，θ_ω，T_ω}。

2）發(fā)起挑戰(zhàn)

對于U_ω∈U，審計者生成挑戰(zhàn)信息chal_ω={F_（ω，ID），i，s_i 〖，l}〗_（i∈I_ω，l∈L）。挑戰(zhàn)信息內(nèi)各參數(shù)的意義與單用戶審計相同。為便于計算，假設(shè)審計者為所有用戶選取的數(shù)據(jù)標(biāo)簽索引集合L均為同一個，使用不同為隨機(jī)函數(shù)種子生成對應(yīng)用戶的數(shù)據(jù)塊索引集合I_ω，S_i仍為隨機(jī)選取的Z_p中的元素。

3）生成數(shù)據(jù)證明

接收到來自審計者挑戰(zhàn)信息后，云服務(wù)器需要為每個用戶分別生成可驗證標(biāo)簽證明Γ_?=∏_（ω∈U） Γ_ω和數(shù)據(jù)證明M_ω，然后將標(biāo)簽證明聚合到一起，聚合公式為：Γ_?=∏_（ω∈U） Γ_ω。聚合完成后，云服務(wù)器將{Γ_?，M_? |ω∈U|}發(fā)送給審計者。

4）數(shù)據(jù)驗證

對于聚合證明，審計者通過如下表達(dá)式進(jìn)行數(shù)據(jù)驗證

Γ_?=∏_（ω∈U）?e（∏_（i∈I_ω）?h（t_ω ）^（S_i ）·u^（M_ω ），β）， （6）

若上述等式成立，表示所有受到挑戰(zhàn)的文件數(shù)據(jù)都完整無損，否則這些文件中有一些受到了損壞或篡改。

3 方案安全性分析

對用戶而言，其上傳的數(shù)據(jù)需要能夠抵抗惡意攻擊者的偽造攻擊，同時云服務(wù)器無法使用偽造的數(shù)據(jù)擁有證明通過審計。具體安全性分析如下：

1）惡意攻擊者無法對用戶上傳到云服務(wù)器的數(shù)據(jù)進(jìn)行偽造攻擊。

在用戶上傳數(shù)據(jù)過程中，可能會遭遇惡意攻擊者的數(shù)據(jù)偽造攻擊。攻擊者會截獲用戶發(fā)送的文件并將其替換為自己的數(shù)據(jù)，然后使用自己生成的參數(shù)計算出其他信息后再將其發(fā)送給云服務(wù)器。但在用戶發(fā)送給云服務(wù)器的數(shù)據(jù){F'，σ，T}中包含了用戶生成的簽名σ_i=h（t）·u^（m_i ），其中t由用戶的私鑰計算而成，即攻擊者無法在有限時間內(nèi)推測出h（t）的值，也就無法偽造出正確的用戶簽名。

2）云服務(wù)器無法使用假冒的數(shù)據(jù)擁有證明通過審計。

當(dāng)云服務(wù)器中存儲的用戶數(shù)據(jù)因某些原因受到損壞時，云服務(wù)器可能會試圖偽造數(shù)據(jù)擁有證明應(yīng)對審計者的審計挑戰(zhàn)。但審計者每次發(fā)起審計時都會選取隨機(jī)生成的數(shù)據(jù)作為挑戰(zhàn)值，且每次受到挑戰(zhàn)的數(shù)據(jù)塊都不同，云服務(wù)器需要根據(jù)審計者發(fā)送的信息計算數(shù)據(jù)擁有證明。用戶對文件內(nèi)的數(shù)據(jù)塊排列順序進(jìn)行了置亂。如果云服務(wù)器想事先計算出所有可能受到挑戰(zhàn)的數(shù)據(jù)塊組合對應(yīng)的數(shù)據(jù)擁有證明，云服務(wù)器會消耗更多存儲空間保存數(shù)據(jù)擁有證明。本方案假設(shè)云服務(wù)器中存儲了n個數(shù)據(jù)塊-可驗證標(biāo)簽對，設(shè)挑戰(zhàn)信息為{F_ID，i，s_i 〖，l.}〗_（i∈I，l∈L），有c個數(shù)據(jù)塊將被挑戰(zhàn)，其中1≤c≤n，即存在C_n^c個有可能數(shù)據(jù)塊的排列組合。由于c∈{1，2，…，n}，那么所有可能受到挑戰(zhàn)的數(shù)據(jù)塊集個數(shù)為C_n^1+C_n^2+…+C_n^n=2^n-1。如果云服務(wù)器要實現(xiàn)計算出數(shù)據(jù)擁有證明然后再刪除數(shù)據(jù)就需要存儲2^n-1個聚合數(shù)據(jù)證明和標(biāo)簽證明。當(dāng)n≥2時2^n-1>n，在本文的方案中數(shù)據(jù)塊和數(shù)據(jù)標(biāo)簽的順序并不是按照存儲順序一一對應(yīng)，云服務(wù)器如果進(jìn)行計算出所有可能的數(shù)據(jù)擁有證明，所需的存儲量將遠(yuǎn)大于2^n-1。且所有可能的數(shù)據(jù)擁有證明數(shù)量會隨著原數(shù)據(jù)的增加而呈現(xiàn)指數(shù)級增加，因此，這種行為對于云服務(wù)器是不可取的。即使云服務(wù)器提前計算出了所有可能數(shù)據(jù)擁有證明，用戶對文件中數(shù)據(jù)塊的亂序操作也會使有c個數(shù)據(jù)塊受到挑戰(zhàn)時，正確數(shù)據(jù)證明和標(biāo)簽證明對應(yīng)方式只有一種，即云服務(wù)器只有1?（C_n^（C^（C_（ n）^C ） ） ）的概率通過這次審計，在數(shù)據(jù)數(shù)量足夠大時，這幾乎是不可能的。

4 方案性能分析

對所提方案的性能進(jìn)行實驗，與現(xiàn)有審計方案進(jìn)行對比分析。首先選擇了提出DHT這一數(shù)據(jù)結(jié)構(gòu)來輔助審計的Tian等人[16]提出的DHT-PA方案，接著對比經(jīng)典的Wang等人[17-18]提出的W-PoR方案。性能指標(biāo)主要包括：所要評估的環(huán)節(jié)包括用戶生成驗證標(biāo)簽、云服務(wù)器生成數(shù)據(jù)擁有證明以及第三方審計者進(jìn)行數(shù)據(jù)驗證的計算開銷。所有的實驗使用配備了Windows7操作系統(tǒng)，2.4GHz Intel Core i7-4500U CPU，以及4GBRAM的計算機(jī)進(jìn)行，實驗代碼使用C++語言編寫，密碼學(xué)算法則是基于0.5.14版本的配對基礎(chǔ)密碼（PBC）庫，使用A類配對參數(shù)模擬運行，其中循環(huán)群的階長度為160 bit。

表2列出了方案中使用的一些基礎(chǔ)運算操作，表3總結(jié)了在方案不同階段所需的計算量，并與其他審計方案進(jìn)行對比，表中：n代表數(shù)據(jù)塊的總量；c代表受到審計挑戰(zhàn)的數(shù)據(jù)塊個數(shù)。

由于將計算可驗證標(biāo)簽的任務(wù)交由云服務(wù)器來完成，且云服務(wù)器計算可驗證數(shù)據(jù)標(biāo)簽采用了不同計算方式，使整個計算開銷得到顯著降低。雖然用戶部分計算也外包給了云服務(wù)器，但數(shù)據(jù)簽名的計算中加入了由用戶私鑰計算出的參數(shù)，并且利用雙線性映射性質(zhì)，第三方審計者也可以計算出該參數(shù)，該參數(shù)被看做是用戶對于審計者的委托授權(quán)，只有得到授權(quán)的審計者才能正確審計用戶的數(shù)據(jù)，用戶不擔(dān)心受到偽造數(shù)據(jù)攻擊。云服務(wù)器雖然承擔(dān)了生成可驗證標(biāo)簽名的計算任務(wù)，但生成過程只需要在用戶最初上傳數(shù)據(jù)時進(jìn)行一次即可，之后需要生成數(shù)據(jù)擁有證明時可直接使用之前生成的可驗證標(biāo)簽，這部分開銷對于云服務(wù)器而言是恒定的。相同地，用戶在生成數(shù)據(jù)標(biāo)簽后對文件中數(shù)據(jù)塊進(jìn)行置亂操作需要使用偽隨機(jī)函數(shù)，該操作只需要在數(shù)據(jù)上傳階段進(jìn)行，且偽隨機(jī)函數(shù)的計算消耗與群上的哈希運算相近，帶來的計算開銷也是用戶可以承受的。在發(fā)出審計挑戰(zhàn)階段，生成可驗證標(biāo)簽索引集合后，審計者還需要使用偽隨機(jī)函數(shù)生成對應(yīng)數(shù)據(jù)塊索引集，這會消耗一部分計算資源，但保證安全性。由于偽隨機(jī)函數(shù)種子在計算過程中用到了第三方審計者私鑰，能防止審計者和云服務(wù)器共謀，使用之前數(shù)據(jù)擁有證明通過審計。

本方案與其他方案對比了用戶生成數(shù)據(jù)標(biāo)簽所消耗的時間及云服務(wù)器生成數(shù)據(jù)擁有證明時間，如圖1?2所示。在W-PoR方案中，驗證標(biāo)簽計算和擁有證明生成所需時間較長，且隨數(shù)據(jù)塊數(shù)量增長增長較快，而DHT-PA方案則與本方案耗時相近。在數(shù)據(jù)上傳階段，W-PoR方案中采取比本方案更耗時的指數(shù)運算來計算可驗證標(biāo)簽。本方案中標(biāo)簽計算方式雖然與DHT-PA方案相同，但提出的方案在標(biāo)簽計算中加入了由用戶私鑰計算出的參數(shù)，這可以防止數(shù)據(jù)上傳過程中惡意攻擊者的數(shù)據(jù)偽造攻擊， DHT-PA方案無法抵抗這種攻擊。在擁有證明生成階段，由于標(biāo)簽的計算方式不同，云服務(wù)器所進(jìn)行的標(biāo)簽聚合操作也存在類似趨勢的時間消耗。

在圖3中各個方案在數(shù)據(jù)驗證階段所需的時間消耗進(jìn)行了比較，本方案中數(shù)據(jù)驗證所需時間花費短，且隨著數(shù)據(jù)增多也能基本保持穩(wěn)定。這對第三方審計者非常重要，可進(jìn)一步支持審計者進(jìn)行批量審計，為更多用戶提供更好審計服務(wù)。

5 結(jié)束語

筆者提出一種旨在加強(qiáng)用戶隱私保護(hù)和降低用戶計算消耗的云數(shù)據(jù)審計方案。方案主要目的是在實現(xiàn)公開審計方案基本功能前提下，進(jìn)一步加強(qiáng)對于用戶原數(shù)據(jù)的隱私保護(hù)，減少審計方案各階段計算開銷。在與其他方案進(jìn)行對比時，一些方案通過在用戶文件數(shù)據(jù)塊中隨機(jī)插入混淆數(shù)據(jù)塊以保護(hù)用戶隱私，這會增加用戶通信開銷和云服務(wù)器存儲開銷。研究提出的方案則以圖像加密中置亂加密為啟發(fā)點，使用偽隨機(jī)函數(shù)對文件內(nèi)數(shù)據(jù)塊的順序進(jìn)行置亂，同時不增加額外開銷。此外，偽隨機(jī)函數(shù)種子使用雙線性映射結(jié)合用戶的私鑰計算，保證只有用戶和第三方審計者才能計算出數(shù)據(jù)塊正確順序。最后，通過實驗對比，本方案有效節(jié)省審計流程中用戶和服務(wù)器、審計者三方的計算資源，提升了整個流程效率。

參考文獻(xiàn)

［1］? Armbrust M， Fox A， Griffith R， et al. A view of cloud computing[J]. Communications of the ACM， 2010， 53（4）： 50-58.

［2］? Butoi A， Tomai N. Secret sharing scheme for data confidentiality preserving in a public-private hybrid cloud storage approach[C]//2014 IEEE/ACM 7th International Conference on Utility and Cloud Computing. December 8-11， 2014. London， UK： IEEE， 2015： 992-997.

［3］? Naseer Qureshi K， Bashir F， Iqbal S. Cloud computing model for vehicular ad hoc networks[C]//2018 IEEE 7th International Conference on Cloud Networking （CloudNet）. October 22-24， 2018. Tokyo， Japan： IEEE， 2018： 1-3.

［4］? Cao S， Zhang G X， Liu P F， et al. Cloud-assisted secure eHealth systems for tamper-proofing EHR via blockchain[J]. Information Sciences， 2019， 485： 427-440.

［5］? Diao Z， Wang Q H， Su N Z， et al. Study on data security policy based on cloud storage[C]//2017 IEEE 3rd International Conference on Big Data Security on Cloud （Big Data Security）， IEEE International Conference on High Performance and Smart Computing （Hpsc）， and Ieee International Conference on Intelligent Data and Security （IDS）， May 26-28， 2017， Beijing， China， IEEE， 2017： 145-149.

［6］? Markandey A， Dhamdhere P， Gajmal Y. Data access security in cloud computing： a review[C]//2018 International Conference on Computing， Power and Communication Technologies （GUCON）. September 28-29， 2018， Greater Noida， India： IEEE， 2019： 633-636.

［7］? Kumar R， Goyal R. On cloud security requirements， threats， vulnerabilities and countermeasures： a survey[J]. Computer Science Review， 2019， 33： 1-48.

［8］? 王靖， 傅劍峰. 關(guān)于政務(wù)私有云日志審計系統(tǒng)設(shè)計與實現(xiàn)[J]. 長江信息通信， 2021， 34（4）： 185-187.

Wang J， Fu J F. Design and implementation of government private cloud log audit system[J]. Changjiang Information & Communications， 2021， 34（4）： 185-187.（in Chinese）

［9］? 饒水林. 云計算技術(shù)的審計私有云模式建設(shè)與優(yōu)化探討[J]. 中國內(nèi)部審計， 2017（10）： 92-95.

Rao S L. Discussion on the construction and optimization of audit private cloud mode of cloud computing technology[J]. Internal Auditing in China， 2017（10）： 92-95.（in Chinese）

［10］? Juels A， Kaliski B S. Pors： proofs of retrievability for large files[C]//Proceedings of the 14th ACM conference on Computer and Communications Security， 2 November 2007， Alexandria， Virginia， USA. New York： ACM， 2007： 584-597.

［11］? Wang Q， Wang C， Li J， et al. Enabling public verifiability and data dynamics for storage security in cloud computing[C]//European Symposium on Research in Computer Security. Berlin， Heidelberg： Springer， 2009： 355-370.

［12］? Wang C， Chow S S M， Wang Q， et al. Privacy-preserving public auditing for secure cloud storage[J]. IEEE Transactions on Computers， 2013， 62（2）： 362-375.

［13］? Ateniese G， Burns R， Curtmola R， et al. Provable data possession at untrusted stores[C]//Proceedings of the 14th ACM conference on Computer and Communications Security， 2 November 2007， Alexandria， Virginia， USA. New York： ACM， 2007： 598-609.

［14］? Shacham H， Waters B. Compact proofs of retrievability[C]//International Conference on the Theory and Application of Cryptology and Information Security. Berlin， Heidelberg： Springer， 2008： 90-107.

［15］? Curtmola R， Khan O， Burns R， et al. MR-PDP： multiple-replica provable data possession[C]//2008 the 28th International Conference on Distributed Computing Systems， June 17-20， 2008， Beijing， China. IEEE， 2008： 411-420.

［16］? Tian H， Nan F L， Chang C C， et al. Privacy-preserving public auditing for secure data storage in fog-to-cloud computing[J]. Journal of Network and Computer Applications， 2019， 127： 59-69.

［17］? Wang H Q. Proxy provable data possession in public clouds[J]. IEEE Transactions on Services Computing， 2013， 6（4）： 551-559.

［18］? Wang C， Wang Q， Ren K， et al. Ensuring data storage security in cloud computing[C]//2009 17th International Workshop on Quality of Service， July 13-15， 2009， Charleston， SC. IEEE， 2009： 1-9.

（編輯? 侯湘）