赵海春等：基于索引-存根表的云存储数据完整性审计 493· 上，基于索引-存根表结构，提出了一个隐私保护 分别用于生成被挑战的c个数据块的索引值 的云存储审计的方案 s(1≤x≤c,1≤sx≤n)和对应的线性运算系数 该方案包括两个算法KeyGen(1),St(sk,F)和一 (ie{srl≤x≤ch,∈RZp.现假设用I表示c个随机 个交互式审计协议Audi(CSP,TPA)290 索引值的集合{sx1≤rsc,用Q表示被挑战块的索引 设S=(p,G,Gr,e)为一个双线性映射群系统， 值与其系数构成的对集合{(i,)e.接下来， 随机选取两个生成元g,h∈RG,其中，G,Gr是两个阶 TPA将挑战信息Chal发送给证明者CSP 为大素数p的群.函数H()是一个安全的密码学哈 (3)应答阶段(CSP→TPA):在接收到Chal后， 希函数，即H:{0,1)*→G,它将字符串均匀地映射 CSP随机选择reZp,并计算sr=πk(x,片=f2(x, 到G中.另一个散列函数h(,将Gr中的群元素均 =e(g',h),y=h(),c和山，其中，1≤x≤c,ie 匀地映射到Zp,即，h:Gr→Zp sl≤5x≤n,weZp,μ=el时 KeyGen(1)这是一个随机算法，将生成系统 中的一些公共和私有的参数.云用户选择一个随 g (i.vi)EQ 机签名密钥对(spk,ssk)和两个随机元素α，B∈RZp,计 (1) 算X=h,Y=hP∈G,私有参数为sk=(a,B,ssk),公共 1+y∑m (.)EQ 参数为pk=(g,h,X,Yspk) SsSk,F:将文件F切分成nXs个区，F={m}, 然后，证明者CSP将响应值0=（σ，μ，）发送给 验证者TPA. m∈Zp.云用户选择s个随机值r1,…Ts∈Zp作为文 验证：TPA计算y=h(,然后，验证下面的等 件的秘密值，并计算W=g∈G,1≤j≤s和每个数 式是否成立，如果成立，输出“接受”，否则，输出 据块i的认证符： “拒绝” ←HmB.Π4"= j= c2e几(Hm》.T,y (H0m加.(g2am)》 (ivi)EO (2 用户从Z,中均匀随机地选取fn作为文件F的 对于每一个随机挑战Q及其正确的响应值，方 标识符.设to为“m州山…‖u,”,云用户计算 程的正确性可阐述如下： SSigssk(to,并将t=tollSSigssk(to)作为F在私钥ssk下 等式的右边= 的文件标记.然后，用户将F连同认证符集合 中=（σ1，…，σnm)上传到服务器，上传完成后，这些数 (H(m)( 据可以从本地存储器中删除.用于检查外包数据 (i.vi)EO 完整性的IST表，需要保存在用户的本地存储器中， 在对文件进行各种更新操作时，由用户来维护 当用户委托一个TPA来完成数据完整性检查 (Hm)3. ).g'h 时，被授权的TPA首先提取文件标记，利用spk检 (i.vi)EO 查1中签名的有效性，如果验证失败，则发出“错 等式的左边 误”并退出；否则，TPA恢复出.然后，可以定期 因此，这意味着方程对于正确的应答信息是 启动下面的审计协议 有效的 Audit(CSP,TPA):它是一个在CSP和TPA之间 3.3支持批量审计 的三步(3-move)协议，运行过程描述如下所示. 当TPA同时处理D个不同用户分别对D个 (I)承诺阶段(CSP→TPA):CSP选择s个随机 不同文件进行审计的委托时，为了更高效地完成 值AjERZp,.(1≤j≤s),然后计算T;=4,(1≤j≤s), 审计任务，通过扩展该方案使其具有批量审计功 并将值：(T山s6作为承诺信息发送给TPA. 能.如果集合Q中的值在被审计文件的文件块数 (2)挑战阶段(CSP←TPA):收到承诺信息后， 量范围之内，则可以将该文件的审计任务添加到 TPA随机选择一组挑战信息Chal={c,k1,k2l,其 批审计中，以实现对多个审计任务的一次性执行. 中，c是要验证的数据块的个数，k1,k2分别是伪 批量审计相对于分别单独审计来说，可以将计算 随机置换π，和伪随机函数f的随机密钥.π和兵 消耗稍大的双线性对操作(Pairing operation,PO)的上，基于索引–存根表结构，提出了一个隐私保护 的云存储审计的方案. KeyGen( 1 k ) St(sk,F) Audit(CSP,TPA) 该方案包括两个算法 ， 和一 个交互式审计协议 [29−30] . S = (p,G,GT , e) g,h∈RG G,GT H(·) H : {0,1} ∗ → G h(·) GT Zp h : GT → Zp 设 为一个双线性映射群系统， 随机选取两个生成元 ，其中， 是两个阶 为大素数 p 的群. 函数 是一个安全的密码学哈 希函数，即 ，它将字符串均匀地映射 到 G 中. 另一个散列函数 ，将 中的群元素均 匀地映射到 ，即， . KeyGen( 1 k ) (spk,ssk) α, β∈RZp X = h α ,Y = h β ∈ G sk = (α, β,ssk) pk = (g,h,X,Y,spk) : 这是一个随机算法，将生成系统 中的一些公共和私有的参数. 云用户选择一个随 机签名密钥对 和两个随机元素 ，计 算 ，私有参数为 ，公共 参数为 . St(sk,F) F n× s F = { mi j}n×s mi j ∈ Zp τ1,···τs ∈ Zp uj = g τ j ∈ G,1 ⩽ j ⩽ s ：将文件 切分成 个区， , . 云用户选择 s 个随机值 作为文 件的秘密值，并计算 和每个数 据块 i 的认证符： σi ← ( (H(mi))α/β · ∏s j=1 uj mi j)β = ((H (mi))α/β ·(g ∑s j=1 τ j ·mi j )) β Zp F t0 fn||n||u1 ||···||us SSigssk (t0) t = t0 ||SSigssk (t0) F ssk F Φ = (σ1,··· ,σn) 用户从 中均匀随机地选取 fn 作为文件 的 标 识 符 . 设 为 “ ” ， 云 用 户 计 算 ，并将 作为 在私钥 下 的文件标记 . 然后 ，用户将 连同认证符集合 上传到服务器，上传完成后，这些数 据可以从本地存储器中删除. 用于检查外包数据 完整性的 IST 表，需要保存在用户的本地存储器中， 在对文件进行各种更新操作时，由用户来维护. spk fn 当用户委托一个 TPA 来完成数据完整性检查 时，被授权的 TPA 首先提取文件标记 t，利用 检 查 t 中签名的有效性，如果验证失败，则发出“错 误”并退出；否则，TPA 恢复出 . 然后，可以定期 启动下面的审计协议. Audit(CSP,TPA) : 它是一个在 CSP 和 TPA 之间 的三步（3-move）协议，运行过程描述如下所示. CSP → TPA s λj∈RZp (1 ⩽ j ⩽ s) T j = uj λj (1 ⩽ j ⩽ s) {T j } 1⩽j⩽s （1）承诺阶段（ ）：CSP 选择 个随机 值 ， ，然后计算 ， ， 并将值： ，作为承诺信息发送给 TPA. CSP ← TPA Chal = {c, k1, k2} c k1, k2 πk fk πk fk （2）挑战阶段（ ）：收到承诺信息后， TPA 随机选择一组挑战信息 ， 其 中 ， 是要验证的数据块的个数 ， 分别是伪 随机置换 和伪随机函数 的随机密钥. 和 c sx(1 ⩽ x ⩽ c,1 ⩽ sx ⩽ n) vi(i ∈ {sx|1 ⩽ x ⩽ c}, vi ∈RZp) I c {sx}1⩽x⩽c Q {(i, vi)}i∈I Chal 分 别 用 于 生 成 被 挑 战 的 个 数 据 块 的 索 引 值 和 对 应 的 线 性 运 算 系 数 . 现假设用 表示 个随机 索引值的集合 ，用 表示被挑战块的索引 值 与 其 系 数 构 成 的 对 集 合 . 接 下 来 ， TPA 将挑战信息 发送给证明者 CSP. CSP → TPA Chal r ∈ Zp sx = πk1 (x) vi = fk2 (x) ψ = e(g r ,h) γ = h(ψ) σ µ 1 ⩽ x ⩽ c,i ∈ {sx|1 ⩽ sx ⩽ n}, vi ∈ Zp µ = { µj } j∈[1,s] （3）应答阶段（ ）：在接收到 后 ， CSP 随机选择 ，并计算 ， ， ， ， 和 ， 其 中 ， ， .    σ ← ∏ (i,vi )∈Q σi vi ·γ · g r µj ← λj −1 ·   1+γ · ∑ (i,vi )∈Q vi ·mi j   （1） 然后，证明者 CSP 将响应值 θ = (σ, µ,ψ) 发送给 验证者 TPA. 验证：TPA 计算 γ = h(ψ) ，然后，验证下面的等 式是否成立，如果成立，输出“接受”，否则，输出 “拒绝”. e (σ,h) ? =ψ· e   ∏ (i,vi )∈Q ( (H (mi)) α β )vi ·γ · ∏s j=1 T j µj · uj −1 ,Y   （2） 对于每一个随机挑战 Q 及其正确的响应值，方 程的正确性可阐述如下： 等式的右边= e ( ∏ (i,vi )∈Q (H (mi)) ( α β ) ·vi ·γ · ∏s j=1 uj γ· ∑ (i,vi )∈Qvi ·mi j+1 · uj −1 ,Y ) ·ψ = e ( ∏ (i,vi )∈Q (H (mi)) ( α β ) ·vi ·γ · ∏s j=1 uj γ· ∑ (i,vi )∈Qvi ·mi j ,Y ) ·ψ = e ( ∏ (i,vi )∈Q ((H (mi)) α β · ∏s j=1 uj mi j) vi ·γ·β · g r ,h ) = 等式的左边 因此，这意味着方程对于正确的应答信息是 有效的. 3.3    支持批量审计 Q i 当 TPA 同时处理 D 个不同用户分别对 D 个 不同文件进行审计的委托时，为了更高效地完成 审计任务，通过扩展该方案使其具有批量审计功 能. 如果集合 中的 值在被审计文件的文件块数 量范围之内，则可以将该文件的审计任务添加到 批审计中，以实现对多个审计任务的一次性执行. 批量审计相对于分别单独审计来说，可以将计算 消耗稍大的双线性对操作（Pairing operation, PO）的 赵海春等： 基于索引‒存根表的云存储数据完整性审计 · 493 ·