CN104023044A - 一种具有隐私保护的云存储数据轻量级公共审计的方法 - Google Patents

Abstract

本发明公开了一种具有隐私保护的云存储数据轻量级公共审计方法,包括以下步骤：系统初始化；签名；审计证明；审计证明验证。本发明采用基于椭圆曲线的变型数字签名算法，其安全性依赖于椭圆曲线有限群上的离散对数问题，具有签名长度短，存储空间小，计算速度快的特性，特别适用于需要轻量级计算量，存储空间有限，需要高效实现的场合。本发明的方法简单，操作方便，既解决了云存储数据公共审计和现有的云存储数据存在的保密性较差，不能保证用户数据的完整性和正确性的问题，又保证了用户的原始数据不会泄露给云服务器和公共审计者。

Description

一种具有隐私保护的云存储数据轻量级公共审计的方法

技术领域

本发明属于通信技术领域，尤其涉及一种具有隐私保护的云存储数据轻量级公共审计的方法。 

背景技术

云计算是一种新兴的服务模式，近年来受到了学术界和商业界的广泛关注。云计算将各种计算资源、存储资源、软件资源集合在一起，形成规模巨大的共享虚拟资源池，为远程计算机用户提供软件、硬件、以及数据存储等服务。用户可以将他们海量的数据存储在云服务器上，云服务器根据用户的需求来提供有效的服务。这种服务模式极大地减小了存储管理的压力，并且能够实现与地域无关的远程数据访问。随着云计算的快速发展，将会有越来越多的用户将数据存储在云上。 

数据存储到云服务器以后，用户就失去了对数据的控制，这样使得云存储的数据面临严重的安全问题：(1)虽然云服务提供商能够提供安全性更高的存储设备，但是海量的数据存储在云服务器上使得数据更容易遭受攻击者的主动攻击；(2)对云服务提供商来说，由于一些利益原因，他们可能不会真实的反应用户数据的存储情况，例如：云服务提供商可能因为利益原因删除一些用户很少访问的数据，或是云服务提供商刻意隐瞒由他造成的用户数据的丢失来维护 他的声誉。因此可以看出，云存储虽然能带来很多优势和便利，但是它并不能保证用户存储数据的真实性和完整性。 

为了解决云存储数据的安全问题，需要对存储在云上的数据进行安全审计。在实际应用中用户的计算能力和通信能力都很有限，用户可能不具备对云存储数据进行有规律审计的能力，目前云存储数据审计方案中，公共审计具有明显的实际应用优势，这种审计方案委托一个公共的可信第三方（TPA）来对云存储数据进行审计。 

Ateniese等最早开始研究公共审计方案，这种方案能极大地减少用户计算能力和通信能力的要求，但它不能保证用户数据对TPA的保密性。这是因为在每次审计中，TPA都可以得到一个数据块的线性组合，经过多次审计后，TPA能够根据这些线性组合求出用户的原始数据块。Wang等提出了一个数据对TPA保密的公共审计方案，发现该方案存在致命的安全性缺陷——云服务器可以随机修改用户存储的数据而不被TPA察觉，后来他们又提出了另外一个新的公共审计协议，该协议可抵御恶意云服务器的欺骗攻击，但它的计算量和存储量相对来说需要进一步优化。2012年，Zhu等人提出了一个协同性可验证云数据持有（Cooperative-PDP）架构方案。该方案将可验证性数据审计模型应用到多云环境。通过使用哈希索引分级结构（Hash Index Hierarchy）技术和同态验证技术实现数据持有性验证。然而Huang Wang等人于2013年发现，该方案存在安全性漏洞，即恶意的云服务器和恶意的组织者均可以通过伪造挑战回复值来欺骗TPA，从而不能保证用户数据的完整性和正确性。2013年Wang等基于Shachan和Waters的方案提出了一个满足隐私性的云存储公共审计方案。Wang等使用随机掩饰码技术来有效解决用户数据的隐私性问题，这样TPA即 使从云服务器上获得审计证明信息，它也不能获取用户的原始秘密信息。但这个方案需要运算代价较高的双线性对以及模指数运算。 

发明内容

本发明实施例的目的在于提供一种具有隐私保护的云存储数据轻量级公共审计的方法，旨在解决现有的云存储数据存在的保密性较差，不能保证用户数据的完整性和正确性的问题。 

本发明实施例是这样实现的，一种具有隐私保护的云存储数据轻量级公共审计的方法，该具有隐私保护的云存储数据轻量级公共审计的方法包括以下步骤： 

步骤一，系统初始化：系统生成一个基于椭圆曲线的变型签名算法的公私钥对，一个用于生成数据文件标签的公私钥对，一个轻量级对称密码算法，以及一个安全的哈希函数； 

步骤二，签名步骤：用户首先将数据文件身份进行签名，用基于椭圆曲线的变型签名算法对文件中的数据块分别进行签名，再用一个轻量级对称密码算法对文件中每一个数据块进行加密盲化，最后将这些签名以及盲化后的数据发送到云服务器，并且用户将这些签名以及原来的数据文件在用户端删除； 

步骤三，审计证明产生步骤：可信审计者首先从云服务器取回数据文件标签并验证其正确性，若通过验证，则发送审计挑战信息，云服务器根据审计挑战信息计算审计响应证明并发送给可信审计者； 

步骤四，审计证明验证步骤：接收到云服务器的审计响应证明后，可信审计者调对称密码算法的密钥，以及基于椭圆曲线的变型签名算法的公钥对审计 证明进行验证。 

进一步，步骤一的系统初始化具体包括以下步骤： 

第一步，定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且在<P>上的离散对数问题是难处理的； 

第二步，从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的变型签名算法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，签名私钥为x； 

第三步，系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和可信审计者所共有； 

第四步，系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q。 

进一步，步骤二的签名步骤具体如下： 

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用基于椭圆曲线的变型签名算法，对每一个数据块m_i计算签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)mod q，这n个签名的集合为Φ＝{σ_i}_1≤i≤n，用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n').最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和文件标签t删除。 

进一步，步骤三的审计证明产生步骤具体如下： 

第一步，可信审计者首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.若验证通过，则TPA产生相应的审计挑战信息 chal如下: 

可信审计者在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...,l_c}；对于每一个j∈C，用户产生一个相应的随机值c_i，比特长度应小于q的比特长度；然后，TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C； 

第二步，当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下： 

计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ 计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ 计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$ 云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W)；最后云服务器发送审计响应信息{R,s,μ,W}给可信审计者。 

进一步，步骤四的审计证明验证步骤具体如下： 

当可信审计者接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f，对称密钥为τ，并计算然后利用椭圆曲线上的变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W)；如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信他存储在这个服务器上的数据块是完整的，未被篡改，并且由于μ'被盲化为μ，数据块信息未被泄露给可信审计者。 

进一步，该具有隐私保护的云存储数据轻量级公共审计的方法包括： 

步骤一，系统初始化：定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且<P>在上的离散对数问题是难处理的； 

1）从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的签名算 法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，私钥x； 

2）系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和TPA所共有； 

3）系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q； 

步骤二，签名步骤： 

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用ECDSA体制的一种变型签名算法，对每一个数据块m_i计算签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)mod q，这n个签名的集合为Φ＝{σ_i}_1≤i≤n，用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)，这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n')；最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和标签t删除； 

步骤三，审计证明产生步骤： 

1）TPA首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.验证通过，则TPA产生相应的审计挑战信息chal如下: 

(1a)TPA在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...,l_c}； 

(1b)对于每一个j∈C，用户产生一个相应的随机值c_i，比特长度应小于q的比特长度，然后TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C； 

2）当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下： 

（2a）计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ (2b)计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ (2c)计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$

云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W).最后云服务器发送审计响应信息{R,s,μ,W}给TPA； 

步骤四，审计证明验证步骤： 

当TPA接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f，对称密钥为τ，并计算然后利用ECDSA变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W)，如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信存储在这个服务器上的数据块是完整的，未被篡改，并且数据块信息未被泄露给TPA； 

验证公式推导如下： $\mathrm{sP}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_{j}P=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j(r_j{k}_j+m_{j}x)P$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{k}_{j}P+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j\mathrm{xP}$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_{j}Q$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+(\mathrm{\&mu;}-\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{f}_{\mathrm{\&tau;}}\left(\mathrm{id}\right|\left|j\right)-\mathrm{\&eta;h}\left(W\right))Q$

$=R+\mathrm{\&lambda;Q}-\mathrm{Wh}\left(W\right).$

本发明提供的具有隐私保护的云存储数据轻量级公共审计的方法，通过基于椭圆曲线数字签名(ECDSA)的变型签名算法，安全性依赖于椭圆曲线的有限群上的离散对数问题，与基于RSA的数字签名和基于有限域离散对数的数字签名相比，在相同的安全强度条件下，具有签名长度短，存储空间小，计算速度快的优势，特别适用于要求轻量级计算量，存储空间有限，需要高效实现的场合。本发明的方法简单，操作方便，既解决了云存储数据公共审计和现有的云存储数据存在的保密性较差，不能保证用户数据的完整性和正确性的问题， 又保证用户的原始数据不被泄露给云服务器和公共审计者。 

附图说明

图1是本发明实施例提供的具有隐私保护的云存储数据轻量级公共审计的方法流程图。 

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。 

下面结合附图及具体实施例对本发明的应用原理作进一步描述。 

如图1所示，本发明实施例的具有隐私保护的云存储数据轻量级公共审计的方法包括以下步骤： 

S101：系统初始化：系统生成一个基于椭圆曲线的变型签名算法的公私钥对，一个用于生成数据文件标签的公私钥对，一个轻量级对称密码算法，以及一个安全的哈希函数； 

S102：签名步骤：用户首先将数据文件身份进行签名，再用基于椭圆曲线的变型签名算法对文件中的数据块分别进行签名，再用一个轻量级对称密码算法对文件中每一个数据块进行加密盲化，最后将这些签名以及盲化后的数据发送到云服务器，并且用户将这些签名以及原来的数据文件在用户端删除； 

S103：审计证明产生步骤：可信审计者首先从云服务器取回数据文件标签并验证其正确性，若通过验证，则发送审计挑战信息，云服务器根据审计挑战 信息计算审计响应证明并发送给可信审计者； 

S104：审计证明验证步骤：接收到云服务器的审计响应证明后，可信审计者调对称密码算法的密钥，以及基于椭圆曲线的变型签名算法的公钥对审计证明进行验证。 

在步骤三S101中，具体方法为： 

1）定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且在<P>上的离散对数问题是难处理的. 

2）从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的变型签名算法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，签名私钥为x； 

3）系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和可信审计者所共有； 

4）系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q； 

步骤S102的签名步骤具体如下： 

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用基于椭圆曲线的变型签名算法，对每一个数据块m_i计算其签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)mod q，这n个签名的集合为Φ＝{σ_i}_1≤i≤n。用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n').最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和文件标签t删除. 

步骤S103的审计证明产生步骤具体如下： 

1）可信审计者首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.若验证通过，则TPA产生相应的审计挑战信息“chal”如下: 

(1a)可信审计者在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...,l_c}； 

(1b)对于每一个j∈C，用户产生一个相应的随机值c_i（比特长度应小于q的比特长度）然后TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C： 

2）当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下： 

（2a）计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ (2b)计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ (2c)计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$

云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W)，最后云服务器发送审计响应信息{R,s,μ,W}给可信审计者。 

步骤S104的审计证明验证步骤具体如下： 

当可信审计者接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f（对称密钥为τ），并计算然后利用椭圆曲线上的变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W).如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信他存储在这个服务器上的数据块是完整的，未被篡改。并且由于μ'被盲化为μ，这些数据块信息未被泄露给可信审计者。 

结合本发明的具体实施例对本发明做进一步的说明： 

具体实施方式： 

实施中用到的符号说明见下表： 

具体步骤为： 

（一）系统初始化：定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且<P>在上的离散对数问题是难处理的； 

1）从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的签名算法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，私钥x； 

2）系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和TPA所共有； 

3）系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q； 

（二）签名步骤： 

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用ECDSA体制的一种变型签名算法，对每一个数据块m_i计算其签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)mod q，这n个签名的集合为Φ＝{σ_i}_1≤i≤n，用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)，这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n')；最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和标签t删除； 

（三）审计证明产生步骤： 

1）TPA首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.验证通过，则TPA产生相应的审计挑战信息“chal”如下: 

(1a)TPA在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...,l_c}； 

(1b)对于每一个j∈C，用户产生一个相应的随机值c_i（比特长度应小于q的比特长度），然后TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C； 

2）当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下： 

（2a）计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ (2b)计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ (2c)计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$

云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W).最后云服务器发送审计响应信息{R,s,μ,W}给TPA； 

（四）审计证明验证步骤： 

当TPA接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f（对称密钥为τ），并计算然后利用ECDSA变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W).如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信他存储在这个服务器上的数据块是完整的，未被篡改，并且这些数据块信息未被泄露给TPA； 

验证公式推导如下： $\mathrm{sP}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_{j}P=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j(r_j{k}_j+m_{j}x)P$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{k}_{j}P+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j\mathrm{xP}$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_{j}Q$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+(\mathrm{\&mu;}-\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{f}_{\mathrm{\&tau;}}\left(\mathrm{id}\right|\left|j\right)-\mathrm{\&eta;h}\left(W\right))Q$

$=R+\mathrm{\&lambda;Q}-\mathrm{Wh}\left(W\right).$

通过以下比较对本发明的使用效果做补充说明： 

本发明方法与Wang等在2013年发表的具有隐私保护的公共审计方法（Prevacy-Preserving Public Auditing for Secure Cloud Storage）进行比较，如下表，表中所涉及的计算量和通信量的符号说明如下： 

分别代表在群G₁中一个乘法的计算量，双线性群G_T中一个乘法的计算量，Z_p,Z_q中一个乘法的计算量，循环群<P>中一个乘法的计算量，其中P为生成元； 

Add_<P>分别代表Z_p,Z_q中一个加法的计算量，循环群<P>中一个加法的计算量； 

代表哈希值映射到Z_p,Z_q及群G₁上需要的计算量； 

Enc_f分别代表在群G₁和双线性群G_T中一个指数运算的计算量，一个双线性对的计算量，一个轻量级对称密码算法所需要的计算量； 

|q|,|p|分别代表在Z_q,Z_p中的元素的比特数，|G₁|,|G_T|,|<P>|分别代表在群G₁、双线性群G_T、循环群<P>中一个元素的比特数，|n|代表审计挑战信息中配比的系数长度； 

由于Wang的方法都需要双线性对运算和模指数运算，这需要相当大的计算量，并且|G₁|,|G_T|所需通信量也明显比其它高。因此通过上表可知，公开审计方法在计算量和通信量上都比Wang的方法更占优势，并且方法是基于椭圆曲线上的离散对数问题的困难性，其安全性也得到了足够的保证。 

本发明提供一种具有隐私保护的的云存储数据轻量级公共审计方法。本发明采用基于椭圆曲线的变型数字签名算法，具有签名长度短，存储空间小，计算速度快等优点，特别适用于需要轻量级计算量，存储空间有限的场合。在方案产生签名步骤中，用户将自己的信息通过轻量级对称密码算法加密再存到云服务器上，这样可以防止用户信息泄露。而且在产生审计证明步骤中，云服务器使用了随机掩码技术，来防止好奇的第三方审计者（TPA）通过解线性方程组来获取用户的信息。因此本发明解决了现有云存储数据存在的保密性较差，不能保证用户数据的完整性和正确性的问题，并且保证用户的原始数据不被泄漏给云服务器和公共审计者。本发明方法简单，操作方便，在云存储安全领域具有很好的应用前景。 

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。 

Claims (6)

1.一种具有隐私保护的云存储数据轻量级公共审计方法，其特征在于，该具有隐私保护的云存储数据轻量级公共审计的方法包括以下步骤：

步骤一，系统初始化：系统生成元素包括一个基于椭圆曲线的变型签名算法的公私钥对，一个用于生成数据文件标签的公私钥对，一个轻量级对称密码算法，以及一个安全的哈希函数；

步骤二，签名步骤：用户首先将数据文件身份进行签名，用基于椭圆曲线的变型签名算法对文件中的数据块分别进行签名，再用一个轻量级对称密码算法对文件中每一个数据块进行加密盲化，最后将这些签名以及盲化后的数据发送到云服务器，并且用户将这些签名以及原来的数据文件在用户端删除；

步骤三，审计证明产生步骤：可信审计者首先从云服务器取回数据文件标签并验证正确性，若通过验证，则发送审计挑战信息，云服务器根据审计挑战信息计算审计响应证明并发送给可信审计者；

步骤四，审计证明验证步骤：接收到云服务器的审计响应证明后，可信审计者调用对称密码算法的密钥，以及基于椭圆曲线的变型签名算法的公钥对审计证明进行验证。

2.如权利要求1所述的具有隐私保护的云存储数据轻量级公共审计的方法，其特征在于，步骤一的系统初始化具体包括以下步骤：

第一步，定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且在<P>上的离散对数问题是难处理的；

第二步，从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的变型签名算法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，签名私钥为x；

第三步，系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和可信审计者所共有；

第四步，系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q。

3.如权利要求1所述的具有隐私保护的云存储数据轻量级公共审计的方法，其特征在于，步骤二的签名步骤具体如下：

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用基于椭圆曲线的变型签名算法，对每一个数据块m_i计算签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)modq，这n个签名的集合为Φ＝{σ_i}_1≤i≤n，用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n').最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和文件标签t删除。

4.如权利要求1所述的具有隐私保护的云存储数据轻量级公共审计的方法，其特征在于，步骤三的审计证明产生步骤具体如下：

第一步，可信审计者首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.若验证通过，则TPA产生相应的审计挑战信息chal如下:

可信审计者在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...,l_c}；对于每一个j∈C，用户产生一个相应的随机值c_i，比特长度应小于q的比特长度；然后，TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C；

第二步，当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下：

计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ 计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ 计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$ 云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W)；最后云服务器发送审计响应信息{R,s,μ,W}给可信审计者。

5.如权利要求1所述的具有隐私保护的云存储数据轻量级公共审计的方法，其特征在于，步骤四的审计证明验证步骤具体如下：

当可信审计者接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f，对称密钥为τ，并计算然后利用椭圆曲线上的变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W)；如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信他存储在这个服务器上的数据块是完整的，未被篡改，并且由于μ'被盲化为μ，数据块信息未被泄露给可信审计者。

6.如权利要求1所述的具有隐私保护的云存储数据轻量级公共审计的方法，其特征在于，该具有隐私保护的云存储数据轻量级公共审计的方法包括：

步骤一，系统初始化：定义一个在F_P上的椭圆曲线E，其中p是一个大素数，设置P是E上阶为素数q的一个点，P是循环群<P>的生成元，且<P>在上的离散对数问题是难处理的；

1）从Z_q中随机选取一个值x，并计算Q＝xP，生成基于椭圆曲线的签名算法公钥K＝{(p,q,E,P,x,Q):Q＝xP}，私钥x；

2）系统产生一个轻量级对称密码算法f，对称密钥为τ，τ为用户和TPA所共有；

3）系统再随机产生一个轻量级签名算法的公私钥对(spk,ssk)，并设置一个安全的哈希函数h:<P>→Z_q；

步骤二，签名步骤：

用户首先对数据文件F＝(m₁,m₂,...，m_n)的身份id计算文件标签t＝id||SSig_ssk(id)，接着采用ECDSA体制的一种变型签名算法，对每一个数据块m_i计算签名σ_i＝(R_i,r_i,s_i)（i＝1,...,n）,其中R_i＝k_iP＝(u_i,v_i)，r_i＝u_i mod q，以及s_i＝(r_ik_i+m_ix)modq，这n个签名的集合为Φ＝{σ_i}_1≤i≤n，用户再调用对称密码算法f将每一个数据块m_i加密为m_i'＝m_i+f_τ(id||i)，这样数据文件F＝(m₁,m₂,...，m_n)被加密为F'＝(m₁,'m₂,'...，m_n')；最后用户将{F',t,Φ}发送给服务器，并且将原来的数据文件F＝(m₁,m₂,...，m_n)、签名Φ＝{σ_i}_1≤i≤n和标签t删除；

步骤三，审计证明产生步骤：

1）TPA首先取回数据文件标签t，并用spk验证SSig_ssk(id)，如果验证失败，则TPA停止运行.验证通过，则TPA产生相应的审计挑战信息chal如下:

(1a)TPA在集合{1,2,...,n}中随机选取含有c个元素的集合C={l₁,...，l_c}；

(1b)对于每一个j∈C，用户产生一个相应的随机值c_i，比特长度应小于q的比特长度，然后TPA向云服务器发送审计挑战信息chal＝{(j,c_j)}_j∈C；

2）当云服务器接收到chal＝{(j,c_j)}_j∈C，云服务器查询数据库中的相关信息{F',t,Φ}并计算如下：

（2a）计算 $s=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_j;$ (2b)计算 $R=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j;$ (2c)计算 ${\mathrm{\&mu;}}^{\&prime;}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j^{\&prime;};$

云服务器再选择一个随机数η←Z_q，计算W＝ηQ，并且盲化μ'为μ＝μ'+ηh(W).最后云服务器发送审计响应信息{R,s,μ,W}给TPA；

步骤四，审计证明验证步骤：

当TPA接到云服务器发给他的审计响应信息{R,s,μ,W}，可信审计者调用对称密码算法f，对称密钥为τ，并计算然后利用ECDSA变型签名算法的公钥K＝{(p,q,E,P,x,Q):Q＝xP}验证以下等式是否成立:sP＝R+λQ-Wh(W)，如果等式sP＝R+λQ-Wh(W)成立，用户就可以相信存储在这个服务器上的数据块是完整的，未被篡改，并且数据块信息未被泄露给TPA；

验证公式推导如下： $\mathrm{sP}=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{s}_{j}P=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j(r_j{k}_j+m_{j}x)P$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{k}_{j}P+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_j\mathrm{xP}$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{m}_{j}Q$

$=\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{r}_j{R}_j+(\mathrm{\&mu;}-\underset{j\&Element;C}{\mathrm{\&Sigma;}}{c}_j{f}_{\mathrm{\&tau;}}\left(\mathrm{id}\right|\left|j\right)-\mathrm{\&eta;h}\left(W\right))Q$

$=R+\mathrm{\&lambda;Q}-\mathrm{Wh}\left(W\right).$