CN104811450B - 云计算中一种基于身份的数据存储方法及完整性验证方法 - Google Patents

Abstract

本发明公开了一种云计算中基于身份的数据存储方法及完整性验证方法，属于网络安全技术领域。本发明的存储方法为：云用户生向KGC服务器发送携带基于其身份ID生成的公钥的密钥申请请求，由KGC服务器生成对应私钥并由安全信道发送至云用户；云用户将待上传文件分块，并基于私钥生成各块的数据块标签，由数据块标签生成对应文件标签，将其和文件上传至云服务器。当需要验证云服务器上的文件完整性时，基于验证服务器和云服务器间的零知识证明实现基于身份的完整性验证。本发明用于云存储及存储的完整性验证，本发明的应用，能显著简化证书的管理，降低了系统复杂性；同时，在完整性验证时，无需先验证云用户公钥的有效性，简化了系统的复杂性。

Description

云计算中一种基于身份的数据存储方法及完整性验证方法

技术领域

本发明属于网络安全技术领域，具体涉及云计算中一种基于身份的数据存储与完整性验证方法。

背景技术

作为信息技术的一次重要革新，云计算向用户提供了几乎“能力无限”且“无所不在”的信息服务，云计算具有安全、方便、数据共享、无限可能等优点，成为改变全球信息产业竞争格局的重要手段，云计算蕴藏着巨大的战略价值和产业机遇。

云存储是云计算提供的最重要的服务之一，其通过虚拟化技术，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，向用户提供空间无限的数据存储和随时随地的业务访问。用户只需要通过支付少量的费用就可以将自身的数据存储到云端，从而无需自己购买和管理大规模的数据存储设施，大大减轻用户数据储存、管理和维护的负担，使其将更多的精力放在核心业务上。云存储以其可伸缩、按需支付、位置无关、价格便宜的特点，已经成为了云计算中一个较快的利润增长点。目前，上百万用户已经选择租赁商业的云存储服务，如Dropbox,Google Drive,Microsoft Overdrive等。

然而，云存储给云用户的数据安全威胁不容忽视。一方面，无论云服务提供商采取多么可靠的措施，数据丢失仍可能发生；另一方面，云服务提供商并不是完全可信的，由于利益的驱使，云服务提供商可能删除不被访问或者访问较少的数据，但仍宣称自己完好地存储着用户的数据；或者，云服务提供商为了维护自己的声誉，刻意隐瞒数据丢失事件。因此，云用户频繁地检查存储在云上的数据是否被删除或篡改是很有必要的。

在云存储中，一旦云用户把自己的数据存储到云服务器上，则失去了对自身数据的控制能力，这使得数据的保密性和完整性成为了云用户的最大担忧。传统的数据完整性验证方法由于用户不再占有原始数据而无法发挥其应有的功能，因此，如何为用户产生一个证据使其相信云服务器完整地保存了其数据至关重要。目前，数据拥有证明PDP和数据可回取证明PoR技术是两个主要的云数据完整性验证协议。

Ateniese等首次提出了数据拥有证明PDP(Provable Data Possession)的概念和安全模型，PDP协议使得用户在不取回文件的情况下，能够验证存储在不可信服务器上的文件的完整性，极大的节省了通信带宽。此外他们还提出了两个高效的可证明安全的PDP方案。同时，Juels和Kaliski提出了可回取证明PoR(Proof of Retrievability)的概念，PoR协议基于纠错码和随机抽样技术，用以确保云服务器正确存储了数据，而且在需要数据时云用户能够取回数据。Shacham和Waters提出的紧凑的可恢复证明(CPoR)方案是一个具有代表性的PoR协议，他们 利用纠删码设计了两个高效且紧凑的PoR方案，并在Juels等的安全模型下进行了严格的安全性论证。第一个方案的设计基于伪随机函数PRF，只支持秘密验证。第二个方案的构造基于BLS短签名，挑战值和服务器的响应值得长度都很短，并且满足公开验证；这两个方案都利用同态可验证标签技术将响应证明聚合成一个认证值，从而降低了通信代价。

在云数据完整性验证体制中，云用户由于自身计算和通信能力的限制，引入第三方的可信验证人对于云数据的完整性验证来说更具有说服力，公开验证性也在许多应用领域具有更大的实用性，但同时引起的数据隐私问题是一个必须要考虑的问题。因为任何人都可以检查数据的完整性，而云用户可能向云中存放一些机密的或者敏感的数据。云用户把数据存放到云服务器之前对数据进行加密是解决数据隐私问题的一种方法，然而，由于解密密钥的泄露，这种方法仍然可能导致未授权的数据的访问；另一方面，外包数据之前对数据进行加密使得数据的搜索和共享成为近乎不可实现的困难，会大大增加云用户的负担。

Shacham和Waters设计的紧凑的PoR方案利用同态可验证标签技术将响应证明聚合成一个较小的认证值，从而获得了公开可恢复性。在Shacham-Waters工作的基础上，一些具有公开验证的完整性验证方案也已经被提出。例如：Cong Wang等提出了一种云计算中可行的公开完整性验证和数据动态性的安全存储方案。该方案利用随机掩盖技术实现隐私保护，但没有实现真正的零知识隐私，公开验证人依然可以区分出用户的数据。朱岩等利用挑战响应机制和零知识技术实现完整性验证，达到了零知识隐私，但需要进行多轮交互。且两个方案的证据长度与数据的分片数量成正比。为了缩短证明长度，在INFOCOM14上，JiaweiYuan等利用基于多项式的同态认证子提出了多用户修改的公开验证的完整性验证协议，其验证信息长度为两个元素长度。Jia Xu等利用多项式承诺技术实现了固定响应长度的隐私保护完整性验证方案，但方案中的验证算法需要用户的私钥，因此没有实现公开验证性。

上述方案都是基于复杂的公钥基础设施(PKI)，在一个PKI系统中，每个用户的公钥都伴随一个公钥证书，任何人都需要通过验证证书的合法性(CA的签名)来认证公钥，增加了用户的计算量和通信成本。Jining Zhao等利用Gentry的聚合基于身份加密方案构造了第一个基于身份的云数据完整性验证方案，其隐私保护方案沿用了Cong Wang的随机掩盖技术，具有标签的计算开销大，存储效率低的缺点，并不实用。同时，Huaqun Wang提出了基于身份的数据完整性验证概念，但其方案中的验证算法需要用户额外的秘密信息(私钥中的一个量)，因此没有实现公开验证性，并且，该方案存在安全问题：即使服务器删除了所有的数据，仍然能够产生一个有效的效应以欺骗用户。

综上所述，现有的方案存在三方面的缺陷：

(1)除Jining Zhao和Huaqun Wang的方案外，其他的方案都依赖于复杂的PKI。在一个 PKI系统中，每个用户的公钥都伴随一个公钥证书，这个证书由证书管理机构CA签发。公钥证书是一个结构化的数据记录，它包括了用户的身份信息、公钥参数和CA的签名。任何人使用公钥前都需要先验证公钥证书的合法性，增加了云用户的计算量，CA需要进行复杂的证书管理工作，包括证书的撤销、存储和颁发。而Jining Zhao等和Huaqun Wang的方案本身存在致命的缺陷。

(2)对验证服务器的数据隐私保护。目前的云数据完整性验证方案都没有达到高效的零知识隐私保护。目前的两种隐私保护方法：一种是随机掩盖技术，没有达到零知识隐私保护，另一种是零知识证明技术，通信开销大，交互轮数多，计算效率低。

(3)响应值传输的带宽消耗多。大部分的方案中证据的长度与数据的分片数量成正比。

发明内容

本发明的发明目的在于：针对基于公钥基础设施(PKI)的云数据完整性验证系统中存在的证书管理的复杂性和公开验证的完整性验证体制中的数据隐私问题，提出了一种云计算中基于身份的数据存储与完整性验证方法，以保证云用户在使用公钥前不需要再验证公钥证书的合法性，云用户的公钥是由其身份信息(如身份证号码、电话号码、E-mail地址等)组成，私钥是由一个称为密钥生成中心(KGC)的可信第三方服务器生成。这大大减少了建立和管理PKI系统的成本，降低了系统的复杂性。同时，在完整性验证处理中，能够获得高效的零知识隐私保护，从而防止公开验证过程中的数据泄漏。

本发明的云计算中一种基于身份的数据存储方法，包括下列步骤：

云用户生成密钥申请请求并发送至密钥生成中心KGC服务器，所述密钥申请请求包含基于云用户的身份ID生成的公钥Q_ID；

KGC服务器基于公钥Q_ID生成云用户的私钥s并通过安全信道发送至云用户；

云用户设置待上传文件的文件名，并将待上传文件分成n个数据块，基于私钥s为每个数据块生成一个数据块标签σ_i，基于各数据块标签得到文件标签T＝(r,σ_i)_1≤i≤n，其中r＝g^η，系统预设参数g为q阶乘法循环群G₁的生成元，参数q为系统基于预设安全参数所选择的大素数，参数 表示模q的乘法循环群；

云用户将文件标签T和文件上传至云服务器。

在本发明的存储方法中，私钥由KGC服务器生成，大大减少了建立和管理PKI系统的成本，降低了系统的复杂性。

基于本发明的数据存储方法，本发明还公开了云计算中一种基于身份的完整性验证方法， 包括云用户、验证服务器和云服务器，通过本发明的数据存储方法，云用户将待上传文件进行预处理(设置文件名和分块)，生成数据块标签，并将数据块和数据块标签一起存储到云服务器中。当云用户需要验证数据的完整性时，基于零知识证明执行下列验证步骤：

步骤S1：云用户生成完整性验证请求并发送给验证服务器，所述完整性验证请求包括云用户ID、公钥Q_ID、云服务器标识符、待验证文件标识符；

步骤S2：验证服务器验证收到步骤S1发送的完整性验证请求的有效性，若无效，则拒绝请求；否则提取完整性验证请求中的云用户ID、云服务器标识符、待验证文件标识符，生成挑战值chal并发送给对应云服务器；

步骤S3：收到挑战值chal的云服务器生成响应值并发送给验证服务器；

步骤S4：验证服务器基于发送的挑战值chal和接收的响应值、用户的公钥验证响应值的有效性；

步骤S5：验证服务器根据步骤S4的验证结果发送完整性验证报告：若验证成功，则发送完整性验证成功；否则，发送完整性验证失败。

本发明在实现高效的数据完整性保护和安全性保证的基础上，消除了证书的管理，无需在每次验证数据完整性时先验证云用户公钥的有效性，简化了系统的复杂性。

进一步的，为了减少直接零知识证明技术的交互次数和计算量，本发明采用可聚合的基于签名的广播实现零知识的隐私保护，即在步骤S2中，通过下列步骤生成挑战值chal：

验证服务器随机选择集合I＝{1,…,c}，其中c≤n，对任意的一个i∈I，选择一个随机元素选择随机数并计算承诺值Z＝e(H₁(ID),P_pub)，其中e为G₁×G₁→G₂的双线性映射，G₂为q阶乘法循环群，H₁为从0和1组成的比特序列集映射到q阶乘法循环群G₁的抗碰撞哈希函数，ID表示云用户的身份ID，主公钥P_pub＝g^α，系统预设参数g为q阶乘法循环群G₁的生成元，主密钥

计算签名广播值c₁＝g^ρ，c₂＝r^ρ，c₃＝Z^ρ；

生成证明pf：pf＝POK{(g,Z,c₁,c₃):log_gc₁＝log_Zc₃}，其中POK为知识证明协议；

选择一个随机消息m计算签名广播值其中随机消息m∈{0,1}^λ，{0,1}^λ表示由0和1组成的长度为λ(λ为系统预设值)的比特序列集，即随机消息m与哈希函数H₃的输出长度一致，H₂为从0和1组成的比特序列集映射到q阶乘法循 环群G₁的抗碰撞哈希函数，H₃为q阶乘法循环群G₂映射到{0,1}^λ的抗碰撞哈希函数，fname表示待验证文件的文件名；

生成挑战值chal＝(c₁,c₃,c₄,Q,pf)，其中Q表示挑战集合Q＝{(i,v_i)}；

在步骤S3中，云服务器生成响应值为：基于零知识证明检查证明pf是否有效，若无，则中止并返回0；否则，基于文件块、数据块标签、挑战值chal根据公式计算响应值m′，其中文件块聚合μ＝Σ_i∈I v_im_i，m_i表示待验证文件的各数据块；标签聚合其中

综上所述，由于采用了上述技术方案，本发明的有益效果是：

(1)云用户在存储数据时，私钥由KGC服务器生成，显著减少了建立和管理PKI系统的成本，降低了系统的复杂性。

(2)基于身份的完整性验证：本发明在实现高效的数据完整性保护和安全性保证的基础上，消除了证书的管理，无需在每次验证数据完整性时先验证云用户公钥的有效性，简化了系统的复杂性。

(3)零知识的隐私保护：本发采用可聚合的基于签名的广播实现了零知识的隐私保护，且相比利用直接零知识证明技术实现零知识隐私保护的方案，交互的轮数少，计算量小，通信开销低；并且，由于对应生成的响应值仅仅为一个元素，使得响应值传输的带宽消耗低。

附图说明

图1是本发明具体实施方式的数据存储与完整性验证过程示意图；

图2是本发明具体实施方法的云数据存储过程示意图；

图3是本发明具体实施方式的完整性验证过程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明是以基于身份的公钥密码学理论为基础，提出一种云计算中基于身份的数据存储与完整性验证方法，应用于高安全性要求的云存储环境。云用户利用KGC服务器生成的私钥来计算待上传文件的数据块标签，用以保证数据的完整性，当云用户想要验证云数据完整性时，验证服务器利用挑战响应方法来验证云服务器中的数据，为了实现高效的远程数据验证机制和零知识的隐私保护，本发明采用可聚合的基于签名广播来生成挑战信息、响应值。

参照图1，本发明的具体实现如下：

步骤S100.系统参数的初始化：

在本具体实施方式中，选择KGC服务器执行系统的参数初始化，当然，也可以是服务器、验证服务器等，本发明不作限定。

步骤S101：KGC服务器选择一个安全参数l(为了保障系统的安全性，安全参数l最好设置为不低于160bit长的大素数)，基于安全参数l选择两个以素数q为阶的乘法循环群G₁和G₂，选择随机数g作为群G₁的一个生成元，e：G₁×G₁→G₂是一个双线性映射。选择一个随机数作为主密钥，其中为模q的乘法循环群，计算主公钥P_pub＝g^α。H₁、H₂和H₃是三个抗碰撞的哈希(Hash)函数，其中H₁、H₂为从0和1组成的比特序列集映射到G₁，即{0,1}^*→G₁；H₃为G₂映射到由0和1组成的长度为λ(为了保障系统的安全性，λ通常设置为不低于160的整数)比特序列集，即G₂→{0,1}^λ。

步骤S102：KGC公开系统参数(G₁,G₂,e,g,P_pub,H₁,H₂,H₃,l)。

步骤S200.数据存储，云用户将数据上传至云服务器，参照图2，，具体步骤为：

步骤S201：云用户(云用户端)向KGC服务器申请密钥。云用户生成密钥申请请求并发送至密钥生成中心KGC服务器，所述密钥申请请求包含基于云用户的身份ID生成的公钥Q_ID以及身份证明，KGC服务器在收到密钥申请请求后，选择一个主密钥α，再根据收到的公钥Q_ID，为云用户生成私钥s：

步骤S201-a：云用户根据公式Q_ID＝H₁(ID)计算公钥Q_ID，其中ID表示云用户的身份ID，基于公钥Q_ID生成密钥申请请求并发送至KGC服务器，该密钥申请请求中携带云用户的身份证明；

步骤S201-b:KGC服务器收密钥申请请求后，审核其中的身份证明，若通过，则选择一个主密钥基于公钥Q_ID计算云用户的私钥s，使得s＝H₁(ID)^α，并将私钥s通过安全信道发送给云用户。

步骤S202：云用户上传数据至云服务器。云用户对待上传文件进行数据预处理，即为待上传文件设置文件名，并将该待上传文件进行数据分块，为每一个数据块计算一个标签值，最后将数据和标签一起上传至云服务器，同时删除本地文件。参照图2，本过程的具体实现如下：

步骤S202-a：云用户为待上传文件M设置一个文件名fname；

步骤S202-b：云用户将文件M分成n个数据块，得到数据块{m_i}_1≤i≤n；

步骤S203-c：云用户计算文件标签T＝(r,σ_i)_1≤i≤n，选择一个随机数根据公式r＝g^η得到参数r并在本地保存，再根据公式计算得到各数据块标签σ_i，从而得到文件标签得T＝(r,σ₁,…,σ_n)。最后将文件和标签(T,M)上传至云服务器，同时本地删除数据(文件和对应标签)；

步骤S203-d：云服务器在接收到文件和标签(T,M)后，将其存储在存储介质中。

步骤S300.完整性验证，验证服务器与云服务器的交互过程：

云用户生成完整性验证请求并发送给验证服务器，验证服务器根据收到的完整性验证请求，生成一个挑战值发送给对应云服务器，云服务器收到挑战值后根据挑战值和保存的文件内容、标签信息等计算响应值并发送给验证服务器，然后验证服务器验证响应值的有效性，进而确定云用户的文件是否完整地保存在云服务器上，最后生成完整性验证报告发送给云用户。参照图3，本过程的具体实现如下：

步骤S301：云用户生成完整性验证请求requ＝req||sign_s(req)并发送给验证服务器，请求验证云服务器中数据的完整性，其中req＝ID||M||Server||Time(或req＝ID||Q_ID||M||Server||Time，若不直接携带公钥Q_ID，则在后续步骤中需要用到公钥Q_ID时，基于ID计算得到Q_ID)，ID表示云用户的身份ID，M表示待验证文件标识，Server表示云服务器的标识，Time表示时间戳，s表示是私钥，sign_s(req)表示利用任意的数字签名算法(签名私钥为云用户的私钥s)对req进行签名得到的签名值，例如DSS；

步骤S302：验证服务器在收到完整性验证请求后，验证请求中签名sign_s(req)的有效性，如果无效，拒绝请求；否则，提取完整性验证请求中的有效信息(ID、M、Server)，验证服务器选择一个随机的集合I＝{1,…,c}，其中c≤n，对任意的一个i∈I，选择一个随机元素 令挑战集合Q＝{(i,v_i)}。选择一个随机数计算承诺Z＝e(H₁(ID),P_pub)，根据参数生成一个挑战值chal并发送给与Server对应的云服务器：

步骤S302-a：计算可聚合的基于签名广播值c₁＝g^ρ，c₂＝r^ρ，c₃＝Z^ρ，其中r＝g^η，参数r的值可以基于待验证文件标识从云服务器存储的文件标签中获取，也可以由云用户在发送的完整性验证请求中携带；

步骤S302-b：生成一个知识证明pf，pf＝POK{(g,Z,c₁,c₃):log_gc₁＝log_Zc₃}，其中POK为知识证明协议；

步骤S302-c：选择随机消息m∈{0,1}^λ，并由公式计算基于签名的广播c₄；

步骤S302-d：验证服务器生成挑战值chal＝(c₁,c₃,c₄,Q,pf)并发送给对应云服务器；

步骤S303：云服务器收到挑战值chal后，首先根据零知识证明的验证公式检查pf是否是一个有效的证明，如果证明无效，中止并返回0；否则，云服务器根据文件块、文件标签、挑战值计算响应值m′：其中文件块聚合μ＝Σ_i∈Iv_im_i，标签聚合 云服务器将响应值m′发送给验证服务器；

步骤S304：验证服务器收到云服务器发来的响应值后，根据其发送的挑战值chal＝(c₁,c₃,c₄,Q,pf)，响应值m′，公钥Q_ID验证响应值的有效性：

检验等式m'＝m是否成立，如果等式不成立，则输出0，表示验证失败；否则输出验证成功，输出1(1表示云用户的文件完整地保存在云服务器上)，其中m为生成挑战值的随机消息m；

步骤S305：验证服务器根据步骤S304的验证结果生成完整性验证报告，若步骤S304输出的结果为1，则完整性验证报告为ID||M||Server||Time||1，表示完整性验证成功；若步骤S304输出的结果为0，则完整性验证报告为ID||M||Server||Time||0，表示完整性验证失败。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims (5)

1.云计算中一种基于身份的数据存储及完整性验证方法，包括云用户、验证服务器和云服务器，其特征在于，包括下列步骤：

步骤S0：云用户通过基于身份的数据存储方法将待上传文件上传至云服务器：

云用户生成密钥申请请求并发送至密钥生成中心KGC服务器，所述密钥申请请求包含基于云用户的身份ID生成的公钥Q_ID；

KGC服务器基于公钥Q_ID生成云用户的私钥s并通过安全信道发送至云用户；

云用户设置待上传文件的文件名，并将待上传文件分成n个数据块，基于私钥s为每个数据块生成一个数据块标签σ_i，基于各数据块标签得到文件标签T＝(r,σ_i)_1≤i≤n，其中r＝g^η，系统预设参数g为q阶乘法循环群G₁的生成元，参数q为系统基于预设安全参数所选择的大素数，参数 表示模q的乘法循环群；

云用户将文件标签T和文件上传至云服务器；

步骤S1：云用户生成完整性验证请求并发送给验证服务器，所述完整性验证请求包括云用户ID、公钥Q_ID、云服务器标识符、待验证文件标识符；

步骤S2：验证服务器验证收到步骤S1发送的完整性验证请求的有效性，若无效，则拒绝请求；否则提取完整性验证请求中的云用户ID、云服务器标识符、待验证文件标识符，生成挑战值chal并发送给对应云服务器；

生成挑战值chal的具体步骤为：

验证服务器随机选择集合I＝{1,…,c}，其中c≤n，对任意的一个i∈I，选择一个随机元素选择随机数并计算承诺值Z＝e(H₁(ID),P_pub)，其中e为G₁×G₁→G₂的双线性映射，G₂为q阶乘法循环群，H₁为从0和1组成的比特序列集映射到q阶乘法循环群G₁的抗碰撞哈希函数，ID表示云用户的身份ID，主公钥P_pub＝g^α，系统预设参数g为q阶乘法循环群G₁的生成元，主密钥

计算签名广播值c₁＝g^ρ，c₂＝r^ρ，c₃＝Z^ρ；

生成证明pf：pf＝POK{(g,Z,c₁,c₃):log_gc₁＝log_Zc₃}，其中POK为知识证明协议；

选择一个随机消息m计算签名广播值其中随机消息m∈{0,1}^λ，{0,1}^λ表示由0和1组成的长度为λ的比特序列集，λ为系统预设值，H₂为从0和1组成的比特序列集映射到q阶乘法循环群G₁的抗碰撞哈希函数，H₃为q阶乘法循环群G₂映射到{0,1}^λ的抗碰撞哈希函数，fname表示待验证文件的文件名；

生成挑战值chal＝(c₁,c₃,c₄,Q,pf)，其中Q表示挑战集合Q＝{(i,v_i)}；

步骤S3：收到挑战值chal的云服务器生成响应值并发送给验证服务器；

云服务器生成响应值的步骤为：

基于零知识证明检查证明pf是否有效，若无，则中止并返回0；否则，基于文件块、数据块标签、挑战值chal根据公式计算响应值m′，其中文件块聚合μ＝∑_i∈I v_im_i，m_i表示待验证文件的各数据块；标签聚合其中

步骤S4：验证服务器基于发送的挑战值chal和接收的响应值、用户的公钥验证响应值的有效性；

步骤S5：验证服务器根据步骤S4的验证结果发送完整性验证报告：若验证成功，则发送完整性验证成功；否则，发送完整性验证失败。

2.如权利要求1所述的方法，其特征在于，所述步骤S1中，所述完整性验证请求requ为：requ＝req||sign_s(req)，其中req＝ID||M||Server||Time，ID表示云用户的身份ID，M为待验证文件标识符，Server为云服务器标识符，Time表示时间戳，符号“||”表示追加操作；sign_s(req)表示以私钥s对req进行数字签名的签名值。

3.如权利要求1或2所述的方法，其特征在于，步骤S4中，验证服务器验证响应值的有效性具体为：

判断用于生成挑战值的随机消息m是否等于响应值m′，若是，则输出验证成功；否则输出验证失败。

4.如权利要求1所述的方法，其特征在于，步骤S0中，所述公钥Q_ID为Q_ID＝H₁(ID)，其中H₁为从0和1组成的比特序列集映射到q阶乘法循环群G₁的抗碰撞哈希函数；所述私钥s为s＝H₁(ID)^α，其中主密钥 表示模q的乘法循环群。

5.如权利要求1或4所述的方法，其特征在于，步骤S0中，所述数据块标签其中m_i表示文件名为fname的文件的各数据块，H₂为从0和1组成的比特序列集映射到q阶乘法循环群G₁的抗碰撞哈希函数。