496 工程科学学报，第42卷，第4期 m 的计算开销进行比较 首先，为了便于描述，在表2中指定了一些基 本的运算操作符号2接下来，对新提出的方案与 =1 (11) 文献[⑤]中提出的方案在计算开销方面进行了相 应的比较和分析，如表3所示 表2符号和相关操作说明 (X)2=1防44=h=144g Table 2 Notations of relevant operations Notation 因此，我们发现了解决离散对数问题的方法 Meaning Mul屹 x multiplications in group G -29424如 (12) Mul吃r x multiplications in group G Mul吃p x multiplications in group 2p 其中，∑i△等于零的情况除外.然而，并非所 Hash屹， x hash values into group p 有{都可以为零，且{的值在理论上是对敌手 Hash屹 x hash values into group G 隐藏的数据，所以，∑=1△=0的概率为1/P,是 Add吃p x additions on group p 可以忽略不计的. ExP吃 x exponentiations g,where gEG,tEZp 4.2隐私保护保证 ExPGr x exponentiations gr',where grEGrtEZ 隐私保护属性是确保TPA无法从审计过程中 Pairr x pairings,e(u,v),where u,vEG,e(u,v)EGr 收集到的信息中提取用户数据 PRP x PRPs inS=(0.1o 定理2TPA不能从CSP的响应信息0和IST表 pRF吃p x PRFs in Zp 中的(Hm)》)中提取用户的数据内容 证明：由于m,a和B的值对TPA都是隐藏的， 用户端的主要运算操作是计算文件中数据 因此H(m)的值不能通过(H(m》确定.虽然 块的签名、文件的标记和一些公共参数.将这些 e(H(m),X)等于e(H(m)芦，Y),H(m)的值也不能从 计算开销合并在一起，即可得到用户端的计算总 中计算出来.因为由fo(P)=P,Q)得出的同构 开销.从表3中可以得出，在用户端的计算开销 fo:G→Gr被认为是单向函数B),当给定fo(P时， 上，新提出的方案比文献[5]中的方案多了 计算出P是不可行的.因此，要从(Hm》中恢复 Mu吗+Add-,而对方相比于我们的方案多了 m;是困难的.同理，从σ中提取σ也是困难的 Exp公--2+Mul%-》,所以，在用户端的效率上， 每一个入都是由CSP随机选择的，而~1是它的逆 我们的方案要略优于文献[5)]中方案 元素，这两个值对TPA都是隐藏的.∑aEQm 服务器端的计算开销包括生成审计阶段的承 值是通过入值进行了盲化处理，因此，在每次响 诺信息和响应信息两个方面.从表3中可以看出， 应中的μ值都均匀地分布在Z,中.虽然TPA可以 在服务器端，文献[5]中的方案比新提出的方案多 得到足够多的数据块m;及其系数v,的线性组合，但 出Pair+Exp心r,由于有s-l次对操作(PO),这部 如果想要获得μ的值，则必须首先得到1入可 分计算开销较大.而相比于文献[⑤)]中的方案，新提 由T;=4,(1≤j≤s)计算得到，然而，这意味着要 出的方案多出的计算开销为Exp'+Mult吃+Mu吃，+ 解决离散对数问题(DLP).由于DLP的困难假设， PRPS+PRF,然而，将其中的指数运算部分与对 TPA在多项式时间内计算出d值是不可行的.因 方多出的指数运算相互抵消后，新提出的方案多 此，从μ(1≤j≤s)中获得用户数据是困难的. 出的计算开销在总开销中占的比例很小，几乎是 可以忽略不计的.所以，新提出的方案在CSP端的 5性能评价 计算开销要优于另一个方案，而这两个方案在 为了评价该方案的性能，我们分别进行了相 TPA端的计算开销基本相当.因此，从理论分析可 关的理论分析和实验比较 知，我们的方案是高效的 5.1理论分析 5.2实验比较 理论分析的目的是从理论上将我们的方案与 为了验证上述理论分析的结果，我们进行了 类似的方案在用户端、服务器端和审计者等三方 相关的实验.我们在0.5.l4版本的Pairing-basede   ∏s j=1 uj γ·µj ∗ ,Y   = e   ∏s j=1 uj γ·µj ∗ ′ ,Y   ∏s j=1 uj γ·∆µj ∗ = 1 ∏s j=1 ( (X) ηj · h θ j )γ·∆µj ∗ = 1 (X) ∑s j=1 ηj ·γ·∆µj ∗ = h − ∑s j=1 γ·∆µj ∗ ·θ j （11） 因此，我们发现了解决离散对数问题的方法， α = ( − ∑s j=1 θ j ·∆µj ∗ ) /   ∑s j=1 ηj ·∆µj ∗   （12） ∑s j=1 ηj ·∆µj { ∆µj } { ηj } ∑s j=1 ηj ·∆µj = 0 1/p 其中， 等于零的情况除外. 然而，并非所 有 都可以为零，且 的值在理论上是对敌手 隐藏的数据，所以， 的概率为 ，是 可以忽略不计的. 4.2    隐私保护保证 隐私保护属性是确保 TPA 无法从审计过程中 收集到的信息中提取用户数据. θ { ((H (mi)) α β } i∈I 定理 2 TPA 不能从 CSP 的响应信息 和 IST 表 中的 中提取用户的数据内容. mi α β H (mi) ((H (mi)) α β e(H (mi),X) e ((H (mi)) α β ,Y) H (mi) fQ (P) =be(P,Q) fQ : G → GT fQ (P) P ((H (mi)) α β mi σ σi 证明：由于 ， 和 的值对 TPA 都是隐藏的， 因 此 的 值 不 能 通 过 确 定 . 虽 然 等于 ， 的值也不能从 中计算出来 . 因为由 得出的同构 被认为是单向函数[31] ，当给定 时， 计算出 是不可行的. 因此，要从 中恢复 是困难的. 同理，从 中提取 也是困难的. λj λj −1 ∑ (i,vi )∈Qvimi j λj −1 µj Zp mi vi µj ∗ λj −1 λj T j = uj λj (1 ⩽ j ⩽ s) λj µj(1 ⩽ j ⩽ s) 每一个 都是由CSP 随机选择的，而 是它的逆 元素，这两个值对 TPA 都是隐藏的. 值是通过 值进行了盲化处理，因此，在每次响 应中的 值都均匀地分布在 中. 虽然 TPA 可以 得到足够多的数据块 及其系数 的线性组合，但 如果想要获得 的值，则必须首先得到 . 可 由 , 计算得到，然而，这意味着要 解决离散对数问题（DLP）. 由于 DLP的困难假设， TPA 在多项式时间内计算出 值是不可行的. 因 此，从 中获得用户数据是困难的. 5    性能评价 为了评价该方案的性能，我们分别进行了相 关的理论分析和实验比较. 5.1    理论分析 理论分析的目的是从理论上将我们的方案与 类似的方案在用户端、服务器端和审计者等三方 的计算开销进行比较. 首先，为了便于描述，在表 2 中指定了一些基 本的运算操作符号[32] . 接下来，对新提出的方案与 文献 [5] 中提出的方案在计算开销方面进行了相 应的比较和分析，如表 3 所示. Multn·s Zp +Addn·(s−1) Zp Expn·(s−1)−2 G +Multn·(s−1) G 用户端的主要运算操作是计算文件中数据 块的签名、文件的标记和一些公共参数. 将这些 计算开销合并在一起，即可得到用户端的计算总 开销. 从表 3 中可以得出，在用户端的计算开销 上 ， 新 提 出 的 方 案 比 文 献 [5] 中 的 方 案 多 了 ，而对方相比于我们的方案多了 ，所以，在用户端的效率上， 我们的方案要略优于文献 [5] 中方案. Pairs−1 GT +Exps GT s−1 Exps+1 G +Mult1 G +Mults Zp + PRPc S +PRFc Zp 服务器端的计算开销包括生成审计阶段的承 诺信息和响应信息两个方面. 从表 3 中可以看出， 在服务器端，文献 [5] 中的方案比新提出的方案多 出 ，由于有 次对操作（PO），这部 分计算开销较大. 而相比于文献 [5] 中的方案，新提 出的方案多出的计算开销为 ，然而，将其中的指数运算部分与对 方多出的指数运算相互抵消后，新提出的方案多 出的计算开销在总开销中占的比例很小，几乎是 可以忽略不计的. 所以，新提出的方案在 CSP 端的 计算开销要优于另一个方案. 而这两个方案在 TPA 端的计算开销基本相当. 因此，从理论分析可 知，我们的方案是高效的. 5.2    实验比较 为了验证上述理论分析的结果，我们进行了 相关的实验. 我们在 0.5.14 版本的 Pairing-based 表 2    符号和相关操作说明 Table 2    Notations of relevant operations Notation Meaning Multx G x multiplications in group G Multx GT x multiplications in group GT Multx Zp x multiplications in group Zp Hashx Zp x hash values into group Zp Hashx G x hash values into group G Addx Zp x additions on group Zp Expx G x exponentiations g t , where g∈G, t∈Zp Expx GT gT t x exponentiations , where gT∈GT , t∈Zp Pairx GT x pairings, e(u, v) , where u, v ∈ G, e(u, v) ∈ GT PRPx S S = {0,1} log2 n x PRPs in PRFx Zp x PRFs in Zp · 496 · 工程科学学报，第 42 卷，第 4 期