CN103986732A - 抵御密钥泄露的云存储数据审计方法 - Google Patents

Abstract

本发明提供了一种可抵御密钥泄露的云存储数据审计方法，其包括：第一步，系统参数生成步骤；第二步，密钥更新步骤；第三步，数据文件上传和审计步骤。该方法中，引入了一个物理安全的安全设备来帮助用户周期性更新密钥，使得即使入侵者在某个时间段攻击了用户并获得了该时间段的用户密钥，其他时间段的数据审计仍然是安全的。

Description

抵御密钥泄露的云存储数据审计方法

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种抵御密钥泄露的云存储数据审计方法。

背景技术

近几年来，随着互联网技术的快速发展云计算进入人们的生活，云中数据的安全存储也成为人们关心的热点。如今各种应用和服务应有尽有，所产生的数据和进程也越来越多，对计算机的存储和计算要求也越来越高。而云计算为大量的数据存储和进程运行提供了一个可伸缩的环境，其中外包存储服务提供相比之下花费低、可伸缩、位置无关的数据管理平台，能大幅减轻用户自身的存储管理、维护负担。但由于数据存储在不确定存储池中，用户失去了对数据的物理拥有，如果服务不能抵御入侵者攻击或者物理故障，那么用户可能取不回数据，带来不可估量的损失。

云平台虽然比个人计算设备安全、可靠得多，但也不能完全抵御所有威胁，例如平台的系统漏洞和内部人员蓄意破坏等。而且为了自身利益，云服务提供商(CSP)可能会做出不诚实行为，例如故意隐瞒数据丢失来保持好的声誉。就连IT巨头Amazon也不能避免出现数据丢失：2008年以“稳定”著称的S3存储服务崩溃数小时，这让云计算并不像看起来那样可靠。因此CSP需要提供安全、高效的审计服务，及时发现数据丢失损坏或丢失并尽快恢复，保证存储数据的完整性、可获取性。

安全审计是一个很重要的解决办法。传统的密码技术基于哈希函数和签名方案，要求把数据全部取回到本地才能验证完整性，会带来很大的通信代价。为了找出更有效的审计方法，人们提出了公共和私有可验证模型。私有审计效率较高但只能用户自己完成验证，而公共审计允许任何人质询数据的完整性。由于存储在云中的数据量非常大，审计任务繁重，而用户设备计算能力和时间都有限，因此公共审计更适合实际应用，用户可以将审计任务委托给有能力的可信第三方(TPA)。可信第三方审计后把结果返回给用户，作为衡量云存储服务性能的指标。

为保证了数据的完整性，人们提出了许多审计技术，有些基于消息认证码(MAC)，也有的基于同态线性认证器(HLA)。然而，不论基于哪种技术，都使用用户密钥对数据块进行操作。但用户设备是不安全的，并且用户安全意识不高，在使用软件或上网时可能会因操作不当被入侵者趁机侵入导致密钥泄露。而目前已有的云审计技术均不能抵御密钥泄露，一旦用户的密钥发生泄露，系统审计的安全性也随之丧失。

发明内容

本发明所要解决的技术问题是提供一种可抵御密钥泄露的云存储数据审计方法，其能够防止云存储数据审计中密钥泄露造成数据安全问题。该方法中，引入了一个物理安全的安全设备来帮助用户周期性更新密钥，使得即使入侵者在某个时间段攻击了用户并获得了该时间段的用户密钥，其他时间段的数据审计仍然是安全的。

为解决上述技术问题，本发明提供了一种可抵御密钥泄露的云存储数据审计方法，其包括：

第一步，系统参数生成步骤；

第二步，密钥更新步骤；

第三步，数据文件上传和审计步骤。

所述第一步进一步具体为，

第a步，系统参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为群G的生成元；选择两个抗碰撞的hash函数H₁：{0，1}^*×G→G，H：{0，1}^*→G；将数据文件的生命周期划分为t个时间段；

第b步，参数生成中心为用户选择一对认证公私钥(spk，ssk)，用来计算和验证文件标签；

第c步，参数生成中心随机选择t+1个元素作为在数据文件生命周期的各个时间段内的密钥，并计算公钥其中x₁，L，x_t为安全设备的私钥，安全设备用其计算当前时间段的更新密钥来协助用户生成新私钥；

第d步，参数生成中心选择s个随机数τ₁，L，τ_s∈Z_q作为文件秘密，并计算文件公钥令τ＝{τ₁，L，τ_s}，u＝{u₁，L，u_s}，参数中心把τ发送给用户用于计算块标签，把u发送给审计中心用于审计；

第e步，参数生成中心把HK＝(x₁，K，x_t)发送给安全设备作私钥，PK＝(g，Y₀，K，Y₁，spk)和SK₀＝(x₀，ssk)分别为用户的公钥和初始私钥。

所述第二步进一步具体为，

第a’步，安全设备密钥更新，在第i(1≤i≤t)个时间段开始时，安全设备利用自己的私钥HK＝(x₁，K，x_t)计算更新信息：并将更新信息发送给终端用户；

第b’步，终端用户密钥更新，当用户收到来自安全设备的更新消息SKU_i后，用户使用自己的私钥SK_i-1计算当前i时间段的用户私钥SK_i，用户计算则SK_i＝x′_i，其中SK₀＝x₀。

所述第三步进一步具体为，

第a”步，数据文件上传，终端用户在第i个时间段向云端上传文件F时，首先使用段结构将其解析为F＝{m_j，k}(1≤j≤n，1≤k≤s)，然后使用自己私钥SK_i为每个数据块m_j计算块标签：其中name是文件名，||为连接符，记Φ＝(i，{σ_j}_1≤j≤n)为文件F在时间段i内的认证器，用户按照以下方式为文件计算标签：tag＝name||i||SSIG_ssk(name||i)，最后用户将文件F和验证元组(tag，Φ)上传到云端；

第b”步，数据审计，审计中心首先检索得到文件标签tag，然后使用用户的公钥spk验证签名SSIG_ssk(name||i)是否有效，若有效，则恢复出文件名name和时间段i；审计中心从数据块索引值[1，n]中随机选择c个整数I＝{s₁，s₂，...，s_c}来确定所要检查的c个数据块。对于每个j∈I，审计中心选择一个随机值v_j作系数，然后审计中心将质询消息Challenge＝{(j，v_j)}_j∈I给云端服务器；服务器收到审计中心的质询消息后计算一个聚合的认证器还计算取样数据块的线性组合记μ＝{μ_k}_k∈[1，s]，服务器将θ＝(σ，μ)作为存储确定的回复证明发给审计中心；审计中心收到回复消息θ后，验证下面等式是否成立： $\hat{e}(g,\mathrm{\σ})=\hat{e}(\underset{k=0}{\overset{t}{\mathrm{\Π}}}{Y_k}^{t^k},{\mathrm{\Π}}_{k=1}^s{u}_k^{{\mathrm{\μ}}_k}\·{\mathrm{\Π}}_{j\∈I}{H}_1{\left(i\right|\left|j\right|\left|\mathrm{name}\right)}^{v_j}),$ 如果成立则表明数据存储完整。

本发明还提供了实现上述可抵御密钥泄露的云存储数据审计方法的可抵御密钥泄露的云存储数据审计系统，其包括系统参数生成模块；密钥更新模块和数据文件上传和审计模块，所述各个模块按照上面所述的方法的各步骤实现可抵御密钥泄露的云存储数据审计方法。

本发明的有益效果：

本发明引入安全设备帮助用户私钥实现定时更新，并保持公钥不变，这样在不影响审计效率的情况下，提高了审计的安全性；终端用户通过周期性更新审计的私钥，使得即便入侵者获取某个时间段私钥也不会影响其他时间段的审计安全性；方案中采用普通段结构存储数据，将文件数据块进一步分成子块，显著减少了标签数量，提高了存储效率和审计性能；本专利采用公共审计，用户可将数据审计任务委托给审计中心，减轻自身负担。审计时随机取样数据块，检查一小部分数据就能以很高的概率保证发现异常，提高了效率。还基于BLS短签名计算数据块标签，使得验证数据完整时不要求取得原始数据，减轻通信和计算代价。

附图说明

图1为数据文件结构示意图；

图2为系统建立阶段示意图；

图3为密钥更新阶段示意图；

图4为文件上传和审计阶段示意图。

具体实施方式

本专利提供的可抵御密钥泄露的云存储数据审计方法所使用的系统的成员包括系统参数生成中心、云端、终端用户、安全设备、审计中心。其中系统参数生成中心产生各种系统参数，为用户生成公私钥、为安全设备选择设备私钥、计算审计参数等；云端为用户数据提供存储资源；终端用户的大量数据要外包存储到云端；安全设备协助用户周期性更新密钥；审计中心代表用户来验证数据完整性。

以下采用实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

本发明提供的可抵御密钥泄露的云存储数据审计方法分为三个步骤：系统参数生成步骤、密钥更新步骤、数据文件上传和审计步骤。系统参数生成步骤由系统参数生成中心生成各种系统参数；密钥更新步骤，安全设备协助终端用户更新密钥；数据上传和审计步骤，用户预处理数据文件后上传到云端，审计中心对文件进行审计。

为了提高存储效率和审计性能，本专利对用户数据使用一种普通段结构存储：将数据文件F分割成n个数据块{m₁，...，m_n}，每个数据块进一步分成s个子块{m_i，1，...，m_j，s}，这样减少了数据块标签数量，节省空间。将上传到云端的数据文件F的生命周期划分成t个时间段。

本发明所应用的相关理论具体为：

1.双线性配对

设G和T是两个阶为q的乘法群，若映射满足以下性质：

1)双线性：对于 $\∀g,h\∈G,a,b\∈Z_q,$ 满足 $\hat{e}(g^a,h^b)=\hat{e}{(g,h)}^{\mathrm{ab}}.$

2)非退化性：存在g，h∈G，使得

3)可计算性：存在有效算法，对于均可计算

则称该映射为双线性配对。

2.BLS短签名

此签名方案由Boneh，Lynn和Shacham于2001年在亚密会上首次提出，以双线性配对作为构造工具，具有签名长度短、安全要求低、结构简单等优点：

1)群G是阶为素数q的乘法循环群，其生成元为g，签名者随机选取然后计算X＝g^x∈G，签名者公私钥分别为X和x。

2)假设消息为M，签名者计算σ＝(H(M))^x，其中是一个hash函数。

3)验证时，首先已知消息M及其签名σ，然后计算和是否相等，若相等则表示σ是消息M的签名。

各附图相关说明如下：

图1为数据文件结构示意图。为了提高存储效率和审计性能，外包的数据文件被分为n个数据块{m₁，...，m_n}，然后每个数据块m_j又进一步被分成s个子块{m_j，１，L，m_j，s}。这样就将产生n个块标签对(m_j，σ_j)，其中是对块m_j使用文件秘密τ计算的块标签，x′_t是用户第i时间段的私钥。在审计时，云端可以通过标签和数据根据审计中心的质询构造回应消息，而不需要发回用户的原始数据。另外普通段结构简单、直接，文件F被分成n×s个子块，每个块(s个子块)对应一个块标签，因而对块标签的存储代价会随s增大降低。

图2为系统建立阶段示意图。系统参数生成中心生成系统所用的初始参数，首先选择阶为素数q的群G和T，使得存在双线性映射g为G的生成元；选择两个抵御碰撞攻击的哈希函数H₁和H，满足：H₁：{0，1}^*×G→G，H：{0，1}^*→G。参数中心为终端用户选择认证密钥对(spk，ssk)；随机选择并计算其中t为用户数据生命周期划分的时间段数；随机选择τ₁，L，τ_s∈Z_q作为文件秘密，其中s为数据块划分的子块数。用户公钥为PK＝(g，Y₀，K，Y_t，spk)，初始私钥SK₀＝(x₀，ssk)；安全设备私钥为HK＝(x₁，K，x_t)，在用户密钥更新时用来计算更新密钥；参数中心计算发送给审计中心作为审计时的参数。系统建立阶段完成后，用户将数据上传到云端存储，然后用户或者审计中心就可对数据完整性进行验证。

图3为密钥更新阶段示意图。在第i个时间段开始时，安全设备使用它的私钥HK计算并将更新密钥发送给终端用户；用户收到更新密钥SKU_i后，使用自己的私钥SK_i-1计算新的密钥则此时间段中用户私钥为SK_i＝x′_t。由此可看出用户公钥不变，私钥定时更新，当其中某个时段的用户私钥泄露时，入侵者不能推出其他时间段私钥。因为安全设备的安全性很高，入侵者得不到设备中的密钥，无法计算私钥。这样就保证了其他时段数据完整，提高了系统安全性。

图4为文件上传和审计阶段示意图。用户最终目的是想把数据安全存储在云端，因此在审计之前用户首先要将文件上传到云端。但为了审计工作和存储效率，用户要对数据进行预处理。在第i个时间段上传文件时，用户将数据文件F使用段结构解析为F＝{m_j，k}，1≤j≤n，1≤k≤s，然后用私钥SK_i对每个数据块m_j，1≤j≤n计算标签记Φ＝(i，{σ_j}_1≤j≤n)为文件F在时间段i的认证器。用户还计算文件标签tag＝name||i||SSIG_ssk(name||i)，其中name为文件名。用户将文件F和元组(tag，Φ)发送到云端存储。在公共审计中用户把审计任务委托给审计中心，审计中心先验证用户委托的合法性。委托合法后，审计中心根据用户要求不定期地对云端审计，并将审计结果发送给用户。审计时，审计中心先取回文件标签tag并用用户的认证公钥验证签名SSIG_ssk(name||i)是否有效，若有效则恢复出文件名name和时间段i。然后审计中心生成质询：从集合[1，n]中随机选择c个元素，记为集合I＝{s₁，s₂，...，s_c}；然后对每个j∈I，选择一个随机值v_j，审计中心将索引-系数对Challenge＝{(j，v_j)}_j∈I作为质询消息发送给云端，质询指明了本次审计要检查的数据块。收到质询消息，云端随后生成证明θ作为回复消息给审计中心：计算聚合认证器和取样块的线性组合令θ＝(σ，μ)。审计中心收云端的回复消息θ后通过下面等式对其验证， $\hat{e}(g,\mathrm{\σ})=\hat{e}(\underset{k=0}{\overset{t}{\mathrm{\Π}}}{Y_k}^{t^k},{\mathrm{\Π}}_{k=1}^s{u}_k^{{\mathrm{\μ}}_k}\·{\mathrm{\Π}}_{j\∈I}{H}_1{\left(i\right|\left|j\right|\left|\mathrm{name}\right)}^{v_j}),$ 若等式成立，则表示云端存储的数据完整，否则数据丢失，最后审计中心将结果发给用户。

本发明提供的可抵御密钥泄露的云存储数据审计方法具体是如下实现的：

首先是系统参数生成阶段，系统参数生成中心随机选择和计算各种系统参数：用户公钥PK和初始私钥SK₀、安全设备私钥HK、文件秘密τ等，并发给成员：云端、终端用户、安全设备、审计中心。其中所选hash函数H是抗碰撞的表示对定义域上两个不同元素x，x，使得H(x)＝H(x′)是困难的；所选阶为q群G、T为乘法循环群，g为G的生成元。文件秘密τ₁，L，τ_s∈Z_q，用来计算块标签σ_j，并利用作为审计元素来验证标签。安全设备私钥协助用户密钥更新，作为用户公钥PK的一部分也用来验证块标签。公钥存在于密码学中的非对称加密，对消息加解密使用一对不同的密钥，只有解密密钥能解密加密密钥加密的消息，且知道其中一个不能计算出另一个；称公开的密钥为公钥，不公开的密钥为私钥。参数生成完成后，撤销参数生成中心。

系统参数生成之后，首先用户要将数据外包到云端，外包之前终端用户对数据进行必要处理。先把文件解析为段结构，将数据块划分成子块{m_j，k}，1≤j≤n，1≤k≤s。然后用户计算数据块标签σ_j和文件标签tag：对数据计算块标签是为了审计时用来验证数据完整性，本专利中块标签基于BLS短签名计算；文件标签tag＝name||i||SSIG_ssk(name||i)是用来证明此文件确实属于该用户，对文件名和时间段i连接作为消息用认证私钥加密并连接在消息后面，其使用的是消息验证码方式。用户把文件、块标签和文件标签一起发到云端存储，然后可经过安全通道将审计任务委托给审计中心。审计中心验证用户委托合法后就可以根据用户要求对数据不定期审计。

审计中心审计文件时，首先取回文件标签并使用用户的认证公钥解密SSIG_ssk(name||i)得到name||i，如果与标签中的name||i相同则可得到文件name和时间段i，否则表明不是该用户文件，审计中心停止审计。当文件标签通过验证时，审计中心随机选取数据块并计算质询消息Challenge，发给云端；云端收到质询后生成取样数据的证明θ回复给审计中心；审计中心验证证明的有效性，若通过验证则表明数据完整，否则数据损坏或丢失。审计中心将审计结果发送给用户，用户可以据此评估云端服务的优劣。

其中数据文件上传时用户基于BLS短签名对各个数据块计算标签这里x′_i是用户第i时间段的私钥。并在验证时用到双线性映射，这使得数据完整性可以被公共验证并且不要求取回原始数据到本地，减少了通信代价和计算代价。但当数据文件很大时，审计所有数据块的计算代价也非常大，因此采取随机取样的策略即生成质询时验证者随机选择若干数据块索引组成集合I＝{s₁，s₂，...，s_c}(s_i∈[1，n])。为了确保云端返回的是对取样块的证明，验证者还给各个索引随机选择相应的系数v_j(1≤j≤n)(v_j的比特长度比q的小)，并要求云端返回证明时使用系数做运算：和μ＝{μ_k＝∑_j∈Iv_j·m_j，k}(1≤k≤s)。验证者得到云端回复后也要用索引-系数对验证，因此保证了所取数据块。即使并没有检查全部数据块，但也可以很高的概率检测出数据损坏或丢失。而且如果有一小部分数据丢失，那么要以高概率查出云端异常所需数据块数的阶为O(1)。特别低，若t部分数据损坏，那么随机取样c块发现概率会达到P＝1-(1-t)^c。当t＝1％时，只需随机选择c＝300或460个数据块，检测到异常的概率分别不会低于95％和99％。因此考虑到云端大量外包存储，对验证者和云服务器来说，只要取样策略提供高概率保证，审查小部分数据文件比审查所有数据更容易和实用。

在系统运行期间，用户私钥定时更新。文件生命周期被划分成t个时间段，任何一个时间段的密钥泄露都不会影响其他时间段云端存储数据的安全性。在每个时间段开始的时候，安全设备计算更新密钥其中x_k是安全设备私钥，当x_k安全时用户的更新密钥就是安全的。安全设备将更新密钥发给终端用户，用户使用前一时间段密钥x′_i-1和更新密钥计算新密钥然后在当前时段用户使用新密钥进行必要操作，等到下一时段再更新。初始时间段x′_i＝x₀。

安全设备计算能力不强但是物理安全的，它只是在每个时间片段的开始负责与用户设备进行交互，以帮助用户进行私钥的更新，并不涉及其他人和密码操作。入侵者得不到设备私钥就不能计算用户的更新密钥，即使若干时间段密钥泄露也无法推出新密钥。这就保证了某个时间段的密钥泄露并不会危害其他未发生密钥泄漏的时间片段的安全性，提高了云存储的可靠性。

所有上述的首要实施这一知识产权，并没有设定限制其他形式的实施这种新产品和/或新方法。本领域技术人员将利用这一重要信息，上述内容修改，以实现类似的执行情况。但是，所有修改或改造基于本发明新产品属于保留的权利。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (9)

1.一种可抵御密钥泄露的云存储数据审计方法，其特征在于，包括：

第一步，系统参数生成步骤；

第二步，密钥更新步骤；

第三步，数据文件上传和审计步骤。

2.如权利要求1所述的可抵御密钥泄露的云存储数据审计方法，其特征在于：所述第一步进一步具体为，

第a步，系统参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为G的生成元；选择两个抗碰撞的hash函数H₁：{0，1}^*×G→G，H：{0，1}^*→G；

第b步，参数生成中心为用户选择一对认证公私钥(spk，ssk)，用来计算和验证文件标签；

第c步，参数生成中心随机选择t+1个中元素作为在数据文件生命周期的各个时间段内的密钥，并计算公钥其中x₁，L，x_t作安全设备的私钥，安全设备用其计算当前时间段的更新密钥来协助用户生成新私钥；

第d步，参数生成中心选择s个随机数τ₁，L，τ_s∈Z_q作为文件秘密，并计算文件公钥令τ＝{τ₁，L，τ_s}，u＝{u₁，L，u_s}，参数中心将把τ发送给用户用于计算块标签，把u发送给审计中心用于审计；

第e步，参数生成中心将HK＝(x₁，K，x_t)给安全设备作私钥，PK＝(g，Y₀，K，Y_t，spk)和SK₀＝(X₀，ssk)分别为用户的公钥和初始私钥。

3.如权利要求1或2所述的可抵御密钥泄露的云存储数据审计方法，其特征在于：所述第二步进一步具体为，

第a’步，安全设备密钥更新，在第i(1≤i≤t)个时间段开始时，安全设备利用自己的私钥HK＝(x₁，K，x_t)计算更新信息：并将更新信息发送给终端用户；

第b’步，终端用户密钥更新，当用户收到来自安全设备的更新消息SKU_i后，用户使用自己的私钥SK_i-1计算当前i时间段的用户私钥SK_i，用户计算则SK_i＝x′_i，其中SK₀＝x₀。

4.如权利要求1至3所述的可抵御密钥泄露的云存储数据审计方法，其特征在于：所述第三步进一步具体为，

第a”步，数据文件上传，终端用户在第i个时间段向云端上传文件F时，首先使用段结构将其解析为F＝{m_j，k}(1≤j≤n，1≤k≤s)，然后使用自己私钥SK_i为每个数据块m_j计算块标签：其中name是文件名，||为连接符，记Φ＝(i，{σ_j}_1≤j≤n)为文件F在时间段i内的认证器，用户按照以下方式为文件计算标签：tag＝name||i||SSIG_ssk(name||i)，最后用户将文件F和验证元组(tag，Φ)上传到云端；

第b”步，数据审计，审计中心首先检索得到文件标签tag，然后使用用户的公钥spk验证签名SSIG_ssk(name||i)是否有效，若有效，则恢复出文件名name和时间段i；审计中心从数据块索引值[1，n]中随机选择c个整数I＝{s₁，s₂，...，s_c}来确定所要检查的c个数据块。对于每个j∈I，审计中心选择一个随机值v_j作系数，然后审计中心将质询消息Challenge＝{(j，v_j)}_j∈I给云端服务器；服务器收到审计中心的质询消息后计算一个聚合的认证器还计算取样数据块的线性组合记μ＝{μ_k}_k∈[1，s]，服务器将θ＝(σ，μ)作为存储确定的回复证明发给审计中心；审计中心收到回复消息θ后，验证下面等式是否成立： $\hat{e}(g,\mathrm{\σ})=\hat{e}(\underset{k=0}{\overset{t}{\mathrm{\Π}}}{Y_k}^{t^k},{\mathrm{\Π}}_{k=1}^s{u}_k^{{\mathrm{\μ}}_k}\·{\mathrm{\Π}}_{j\∈I}{H}_1{\left(i\right|\left|j\right|\left|\mathrm{name}\right)}^{v_j}),$ 如果成立则表明数据存储完整。

5.实现权利要求1至4所述可抵御密钥泄露的云存储数据审计方法的可抵御密钥泄露的云存储数据审计系统，其特征在于：包括系统参数生成模块；密钥更新模块和数据文件上传和审计模块。

6.如权利要求5所述的可抵御密钥泄露的云存储数据审计系统，其特征在于：所述系统参数生成模块由系统参数生成中心生成各种系统参数；密钥更新模块，安全设备协助终端用户更新密钥；数据上传和审计模块，用户预处理数据文件后上传到云端，审计中心对文件进行审计。

7.如权利要求5或6所述的可抵御密钥泄露的云存储数据审计系统，其特征在于：

所述系统参数生成模块进一步为，

系统参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为G的生成元；选择两个抗碰撞的hash函数H₁：{0，1}^*×G→G，H：{0，1}^*→G；

参数生成中心为用户选择一对认证公私钥(spk，ssk)，用来计算和验证文件标签；

参数生成中心随机选择t+1个元素作为安全设备的私钥，并计算公钥安全设备用自己的私钥计算当前时间段的更新密钥来协助用户生成新私钥；

参数生成中心选择s个随机数τ₁，L，τ_s∈Z_q作文件秘密，并计算令τ＝{τ₁，L，τ_s}，u＝{u₁，L，u_s}，参数中心将把τ发送给用户用于计算块标签，把u发送给审计中心用于审计；

参数生成中心将HK＝(x₁，K，x_t)给安全设备作私钥，PK＝(g，Y₀，K，Y_t，spk)和SK₀＝(x₀，ssk)分别为用户的公钥和初始私钥。

8.如权利要求5至7所述的可抵御密钥泄露的云存储数据审计系统，其特征在于：密钥更新模块进一步为，

安全设备密钥更新，在第i(1≤i≤t)个时间段开始时，安全设备利用自己的私钥HK＝(x₁，K，x_t)计算更新信息：并将更新信息发送给终端用户；

终端用户密钥更新，当用户收到来自安全设备的更新消息SKU_i后，用户使用自己的私钥SK_i-1计算当前i时间段的用户私钥SK_i，用户计算则SK_i＝x′_i，其中SK₀＝x₀。

9.如权利要求5至8所述的可抵御密钥泄露的云存储数据审计系统，其特征在于：数据上传和审计模块进一步为，

数据文件上传，终端用户在第i个时间段向云端上传文件F时，首先使用段结构将其解析为F＝{m_j，k}(1≤j≤n，1≤k≤s)，然后使用自己私钥SK_i为每个数据块m_j计算块标签：其中name是文件名，||为连接符，记Φ＝(i，{σ_j}_1≤j≤n)为文件F在时间段i内的认证器，用户按照以下方式为文件计算标签：tag＝name||i||SSIG_ssk(name||i)，最后用户将文件F和验证元组(tag，Φ)上传到云端；

数据审计，审计中心首先检索得到文件标签tag，然后使用用户的公钥spk验证签名SSIG_ssk(name||i)是否有效，若有效，则恢复出文件名name和时间段i；审计中心从数据块索引值[1，n]中随机选择c个整数I＝{s₁，s₂，...，s_c}来确定所要检查的c个数据块。对于每个j∈I，审计中心选择一个随机值v_j作系数，然后审计中心将质询消息Challenge＝{(j，v_j)}_j∈I给云端服务器；服务器收到审计中心的质询消息后计算一个聚合的认证器还计算取样数据块的线性组合记μ＝{μ_k}_k∈[1，s]，服务器将θ＝(σ，μ)作为存储确定的回复证明发给审计中心；审计中心收到回复消息θ后，验证下面等式是否成立： $\hat{e}(g,\mathrm{\σ})=\hat{e}(\underset{k=0}{\overset{t}{\mathrm{\Π}}}{Y_k}^{t^k},{\mathrm{\Π}}_{k=1}^s{u}_k^{{\mathrm{\μ}}_k}\·{\mathrm{\Π}}_{j\∈I}{H}_1{\left(i\right|\left|j\right|\left|\mathrm{name}\right)}^{v_j}),$ 如果成立则表明数据存储完整。