CN105227317B - 一种支持认证器隐私的云数据完整性检测方法和系统 - Google Patents

Abstract

本发明提供了一种支持认证器隐私的云数据完整性检测系统，其包括：系统参数生成中心模块、云端模块、云用户模块、可信机构模块和第三方验证者模块。采用该系统检测数据完整性，云端可以验证认证器的正确性，但不能得到认证器真实的内容，因此避免了云端恶意利用认证器获取利益。同时用户或者TPA能够使用这种认证器检查数据的完整性，从而实现了保护认证器隐私的云数据完整性检测方案。

Description

一种支持认证器隐私的云数据完整性检测方法和系统

技术领域

本发明涉及一种云计算安全领域，尤其涉及一种支持认证器隐私的云数据完整性检测方法和系统。

背景技术

自云计算被提出以来，这种新的计算模式就成为人们研究的热点。如今，云计算有了突飞猛进的发展，并极大地改变了人们的工作和生活方式。其中，云计算的存储服务允许用户把数据存放到云端，从而避免用户在本地的存储和维护支出。云存储提供商通过Internet向用户提供按需服务，因此用户能够以较小的花费随时随地访问和修改云数据。由于不必购买硬件设备、相关软件和维护数据，云存储服务备受人们欢迎，尤其在小、中型企业及个人应用中，这导致越来越多的数据文件被外包到云端。

然而，外包的数据可能遭到损坏或者丢失，例如：黑客恶意攻击、云管理员操作失误、硬件故障等。当数据损坏或丢失发生时，用户不能及时了解到这一情况，因为数据存储在远程介质中。另外，如果服务提供商故意隐瞒数据丢失以保持自己的声誉，用户很难确定数据是否仍完整地存放在云端。为了高效地确保外包数据的完整性，人们提出了许多云数据完整性检测方案。目前人们所提出的云数据完整性检测方案均要求用户按块分割外包的文件，并对每个数据块产生一个认证器。用户或受用户委托的第三方验证者(TPA) 通过要求云端返回若干数据块和相应的认证器来判断数据的完整性：若返回的数据块和认证器均正确则认为数据正确地存储在云端，否则数据已损坏或者丢失。虽然这样能够有效地检测数据完整性，但公开可见的数据块认证器可能造成数据被云端恶意使用。

由于实际应用的需求不同，云端所存储数据的形式也多种多样，可能包括合同、契约、协议、承诺书等。这类文件只有在谈判双方意见达成一致且签署之后才有效并具有法律效力。而在数据外包环境下，用户生成的认证器相当于对数据块的签署。也就是说，在文件大小等于或不足一个数据块大小时，认证器可被认作是此用户对合约类文件签署的认可信息。这时，如果用户直接把合约和认证器存放到云端，那么云端可以利用其行使合约中赋予另一方的权利。这可能给用户带来经济或名誉等损失。例如，用户把电子支票存储到云中，那么其生产的认证器就使支票生效。若云端利用认证器将支票兑现，支票接收一方就无法收到付款，这造成此用户的不诚实和经济损失。然而，现有完整性检测方案并未考虑这一问题。

发明内容

为了解决云数据存储中认证器被恶意使用的问题，本专利提出了一种支持认证器隐私的云数据完整性检测方法和系统。在该系统中，云端可以验证认证器的正确性，但不能得到认证器真实的内容，因此避免了云端恶意利用认证器获取利益。同时用户或者TPA能够使用这种认证器检查数据的完整性，从而实现了保护认证器隐私的云数据完整性检测方案。

为了解决上述技术问题，本发明提供一种支持认证器隐私的云数据完整性检测系统，其包括：系统参数生成中心模块(SPG)、云端模块、云用户模块、可信机构模块(TO)和第三方验证者模块(TPA)；

所述系统参数生成中心模块产生各种系统参数，为云用户模块、可信机构模块生成公私钥；

云端模块由云服务提供商管理和维护，有着强大的计算能力和海量的存储空间，通过Internet为云用户模块提供存储服务；

云用户模块拥有大量要外包存储的数据文件；

可信机构模块是云端模块和云用户模块的中间机构，云用户模块中的云用户利用可信机构模块的公钥隐藏认证器的内容；同时，可信机构模块可以恢复出真实的认证器，检验认证器的正确性，以免云用户滥用自己的公钥隐藏任意消息的认证器；

第三方验证者模块替云用户周期性地检查数据的完整性以减轻云用户负担。

本发明还提供了使用上述检测系统进行云数据完整性检测方法，其包括：

第一步，系统参数生成阶段，系统参数生成中心模块生成各种系统参数和云用户公私钥；

第二步，数据文件上传阶段，云用户模块将文件分成数据块并生成认证器，然后将数据和认证器上传到云端并删除本地存储；

第三步，验证阶段，云端模块验证认证器的正确性、可信机构模块恢复出真实的认证器并验证正确性，当验证通过时云端模块才存储云用户模块的数据文件；

第四步，审计阶段，第三方验证者模块定期对云端的数据文件进行检查，当检查不通过时，第三方验证者模块认定数据损坏或丢失并报告给云用户。

其中，所述系统参数生成阶段进一步包括：

第a步，系统参数生成中心模块选择乘法群G₁和G_T，群的阶均为大素数 p；选择u和g为G₁的生成元，e为G₁到G_T的双线性映射e：G₁×G₁→G_T；选择抗碰撞的hash函数H：{0，1}^*→G₁，可将任意长度的字符串一致地映射到群G₁中；

第b步，系统参数生成中心模块为云用户选择一对签名公钥对(spk，ssk)，用来计算和验证文件标签；

第c步，系统参数生成中心模块从Z_p随机选择x∈_RZ_p作为云用户的私钥，并计算v←g^x作为云用户的公钥；

第d步，系统参数生成中心模块从Z_p随机选择x′∈_RZ_p作为可信机构模块的私钥，并计算v′←g^x作为可信机构模块的公钥；

第e步，系统参数生成中心模块将私钥分别发给云用户模块和可信机构模块，并将公共参数设置为

其中，所述数据文件上传阶段进一步包括，

第aa步，云用户模块将要外包的数据文件F分成若干数据块 F＝(m₁，...，m_n)，并为此文件选择一个域内唯一的字符串name作为标识；

第bb步，云用户模块选择随机数r∈_RZ_p，并计算μ′＝g^r和σ′＝(v′)^r；

第cc步，云用户模块使用自己的私钥为F中每个数据块m_i计算认证器，首先计算然后计算不可知认证器σ_i←σ′_iσ′，将文件F的认证器集合记为Φ＝{σ_i}_1≤i≤n；

第dd步，令t₀＝name||u，云用户模块使用签名私钥ssk计算文件标签 tag＝t₀||SSIG_ssk(t₀)，最后云用户将文件F、文件标签tag、不可知认证器Φ和σ′一同上传到云端，并删除本地副本。

其中，所述验证阶段进一步包括：

第a’步，云端模块验证认证器的正确性；

第b’步，可信机构模块恢复出真实的认证器。

其中，所述第a’步进一步具体为云端可判断云用户上传的数据块m_i的不可知认证器σ_i是否正确：若此等式成立则断定σ_i是正确的，否则不正确。

其中，所述第b’步进一步具体为可信机构模块可使用其私钥恢复出不可知认证器中真实的认证器。对于数据块m_i的σ_i，可信机构模块计算σ′_i←σ_i/(μ′)^x′，可信机构模块使用云用户的公钥可验证σ′_i的正确性：等式成立时σ′_i正确，若不正确，则可信机构模块令云端模块拒绝存储此数据。同时，若出于安全或其他某些原因，可信机构模块不想为此数据隐藏数据块的认证器，亦可令云端拒绝存储此数据。这可以限制用户行为，防止云用户滥用可信机构模块的公钥。

其中，所述审计阶段进一步包括：

第a”步，第三方验证者模块首先检索得到F的文件标签tag，然后使用云用户模块的公钥spk验证tag是否有效，若有效则继续，否则中止；

第b”步，第三方验证者模块随机选择c个整数指定所要检查的数据块，对于每个i∈I，第三方验证者模块选择一个随机值 v_i∈Z_p，然后第三方验证者模块将质询消息Chal＝{(i，v_i)}_i∈I发送给云端模块；

第c”步，云端模块收到质询消息Chal后计算和μ＝∑_i∈Iv_i·m_i，云端模块将P＝(σ，μ)作为数据完整存储的证明发给第三方验证者模块；

第d”步，第三方验证者模块收到回复消息P后，验证下面等式是否成立：如果成立则表明数据完整地存储在云端模块。

与现有技术相比，本发明提供的支持认证器隐私的云数据完整性检测方法和系统，具备如下有益效果：

1、本发明设计了新的数据块认证器构造方法，使得云端得不到认证器的内容，保护了认证器的隐私性；

2、云用户可以毫无顾虑地将数据外包到云存储中，包括合约类文件，而不必担心自己的数据被恶意使用；

3、使用可信机构限制云用户的行为，防止云用户滥用可信机构的公钥隐藏任意数据的认证器。

附图说明

图1为云数据完整性检测系统结构示意图；

图2为云数据完整性检测系统参数分发示意图；

图3为数据外包过程示意图；

图4为数据审计示意图。

具体实施方式

本发明提供一种支持认证器隐私的云数据完整性检测系统，其包括：系统参数生成中心模块(SPG)、云端模块、云用户模块、可信机构模块(TO)和第三方验证者模块(TPA)。

所述系统参数生成中心模块产生各种系统参数，为云用户模块、可信机构模块生成公私钥。

云端模块由云服务提供商管理和维护，有着强大的计算能力和海量的存储空间，通过Internet为云用户模块提供存储服务。

云用户模块拥有大量要外包存储的数据文件。

可信机构模块是云端模块和云用户模块的中间机构，云用户模块中的云用户利用可信机构模块的公钥隐藏认证器的内容；同时，可信机构模块可以恢复出真实的认证器，检验认证器的正确性，以免云用户滥用自己的公钥隐藏任意消息的认证器，因为云用户使用可信机构模块公钥隐藏数据的认证器表明可信机构模块对此数据的认可，所以在可信机构模块不想为某些数据负责时可以拒绝。

第三方验证者模块替云用户周期性地检查数据的完整性以减轻云用户负担：对于本地资源有限的云用户来说，周期地检查数据是一份繁重、枯燥的工作，而第三方验证者模块拥有较强的计算能力、充足的通信资源和专业的技能。

进一步优选，所述检测系统仅由上述模块构成。

本发明还提供了使用上述检测系统进行云数据完整性检测方法，其包括：

第一步，系统参数生成阶段，系统参数生成中心模块生成各种系统参数和云用户公私钥；

第二步，数据文件上传阶段，云用户模块将文件分成数据块并生成认证器，然后将数据和认证器上传到云端并删除本地存储；

第三步，验证阶段，云端模块验证认证器的正确性、可信机构模块恢复出真实的认证器并验证正确性，当验证通过时云端模块才存储云用户模块的数据文件；

第四步，审计阶段，第三方验证者模块定期对云端的数据文件进行检查，当检查不通过时，第三方验证者模块认定数据损坏或丢失并报告给云用户。

其中，所述系统参数生成阶段进一步包括：

第a步，系统参数生成中心模块选择乘法群G₁和G_T，群的阶均为大素数 p；选择u和g为G₁的生成元，e为G₁到G_T的双线性映射e：G₁×G₁→G_T；选择抗碰撞的hash函数H：{0，1}^*→G₁，可将任意长度的字符串一致地映射到群G₁中；

第b步，系统参数生成中心模块为云用户选择一对签名公钥对(spk，ssk)，用来计算和验证文件标签；

第c步，系统参数生成中心模块从Z_p随机选择x∈_RZ_p作为云用户的私钥，并计算v←g^x作为云用户的公钥；

第d步，系统参数生成中心模块从Z_p随机选择x′∈_RZ_p作为可信机构模块的私钥，并计算v′←g^x作为可信机构模块的公钥；

第e步，系统参数生成中心模块将私钥分别发给云用户模块和可信机构模块，并将公共参数设置为

其中，所述数据文件上传阶段进一步包括，

第aa步，云用户模块将要外包的数据文件F分成若干数据块 F＝(m₁，...，m_n)，并为此文件选择一个域内唯一的字符串name作为标识；

第bb步，云用户模块选择随机数r∈_RZ_p，并计算μ′＝g^r和σ′＝(v′)^r；

第cc步，云用户模块使用自己的私钥为F中每个数据块m_i计算认证器，首先计算然后计算不可知认证器σ_i←σ′_iσ′，将文件F的认证器集合记为Φ＝{σ_i}_1≤i≤n；

第dd步，令t₀＝name||u，云用户模块使用签名私钥ssk计算文件标签 tag＝t₀||SSIG_ssk(t₀)，最后云用户将文件F、文件标签tag、不可知认证器Φ和σ′一同上传到云端，并删除本地副本。

其中，所述验证阶段进一步包括：

第a’步，云端模块验证认证器的正确性；

第b’步，可信机构模块恢复出真实的认证器。

其中，所述第a’步进一步具体为云端可判断云用户上传的数据块m_i的不可知认证器σ_i是否正确：若此等式成立则断定σ_i是正确的，否则不正确。

云端模块也可一次验证多个块认证器，以提高效率。假设云端要验证的认证器相应块的位置集合为Q，对于i∈Q，计算σ"＝Π_i∈Qσⁱ，μ"＝∑_i∈Qmⁱ，当下面等式成立时，可判定所选认证器均正确，否则不全是正确的：验证不通过时，云端认定数据或者认证器错误，拒绝存储此数据。

其中，所述第b’步进一步具体为可信机构模块可使用其私钥恢复出不可知认证器中真实的认证器。对于数据块m_i的σ_i，可信机构模块计算σ′_i←σ_i/(μ′)^x′，可信机构模块使用云用户的公钥可验证σ′_i的正确性：等式成立时σ′_i正确，若不正确，则可信机构模块令云端模块拒绝存储此数据。同时，若出于安全或其他某些原因，可信机构模块不想为此数据隐藏数据块的认证器，亦可令云端拒绝存储此数据。这可以限制用户行为，防止云用户滥用可信机构模块的公钥。

其中，所述审计阶段进一步包括：

第a”步，第三方验证者模块首先检索得到F的文件标签tag，然后使用云用户模块的公钥spk验证tag是否有效，若有效则继续，否则中止；

第b”步，第三方验证者模块随机选择c个整数指定所要检查的数据块，对于每个i∈I，第三方验证者模块选择一个随机值 v_i∈Z_p，然后第三方验证者模块将质询消息Chal＝{(i，v_i)}_i∈I发送给云端模块；

第c”步，云端模块收到质询消息Chal后计算和μ＝∑_i∈Iv_i·m_i，云端模块将P＝(σ，μ)作为数据完整存储的证明发给第三方验证者模块；

第d”步，第三方验证者模块收到回复消息P后，验证下面等式是否成立：如果成立则表明数据完整地存储在云端模块。

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

图1为系统结构示意图。本专利中检测系统中参数生成中心模块生成和分发系统参数；云端模块为用户提供数据存储服务；云用户模块拥有大量数据文件；第三方验证者模块替云用户检查外包数据的完整性；可信机构模块可以验证不可知认证器的真实性。

图2为系统参数分发示意图。系统参数生成中心为云用户和可信中心分别选择并计算公私钥对，并将系统的公共参数公开给所有参与实体。

图3为数据外包过程示意图。此图描述了一次完整的外包数据的流程，其中数据文件的处理由云用户完成，数据和不可知认证器的验证、存储由云端完成，真实认证器的恢复和验证由可信机构完成。

图4为数据审计示意图。第三方验证者模块代替云用户对外包数据的完整性进行周期地检查。一次检查过程包括第三方验证者模块发起质询和云端回复证明两个交互。当第三方验证者模块判断证明正确时认定外包数据是完整的。

一、本专利所应用的相关理论

1.双线性配对

设G₁，G_T是阶为p的乘法群，g₁，g₂为G₁的生成元，映射e：G₁×G₁→G₂为双线性配对，如果此映射满足以下性质：

1)双线性：对于满足

2)非退化性：e(g₁，g₂)≠1。

3)可计算性：存在高效算法计算此配对。

2.BLS短签名

1)假设群G是阶为素数p的乘法循环群，其生成元为g，签名者随机选取然后计算X＝g^x∈G，签名者公私钥分别为X和x。

2)假设消息为M，签名者计算σ＝(H(M))^x，其中

3)验证时，首先已知消息M及其签名σ，然后计算e(g，σ)和e(X，H(M)) 是否相等，若相等则表示σ是消息M的签名。

如图1所示，本专利中的云数据完整性检测系统有：系统参数生成中心 (SPG)、云端、云用户、可信机构(TO)和第三方验证者(TPA)。SPG 生成各种系统参数，把公私钥分别发送给云用户和可信机构，并将公共参数公开。云用户拥有大量的数据文件，并将其外包到云端。云端通过Internet 为云用户提供按需存储服务，其有着强大的计算能力和海量的存储空间；云平台由云服务提供商管理和维护。TO是云端和云用户都信任的中间机构，云用户利用TO的公钥隐藏认证器的内容；同时，TO可以恢复出真实的认证器，检验认证器的正确性，以免云用户滥用自己的公钥隐藏任意消息的认证器(因为云用户使用可信机构公钥隐藏数据的认证器表明可信机构对此数据的认可，所以在可信机构不想为某些数据负责时可以拒绝。)TO在用户将数据存到云端后，选取部分或全部认证器验证真实性；若都正确则允许云端存储，否则云端拒绝存储云用户的数据。对于本地资源有限的云用户来说，周期地检查数据是一份繁重、枯燥的工作，因此云用户委托TPA户以减轻自己的负担。TPA拥有较强的计算能力、充足的通信资源和专业的技能。它周期性地向云端发送数据检查请求，云端根据请求计算数据完整性证明；TPA 根据证明的正确与否判断数据是否完整。每次执行完数据检查之后，TPA将检查结果发送给云用户。

图2所示，系统参数生成中心(SPG)为云用户和可信机构计算公私钥，分别为(x，v)和(x′，v′)。另外，SPG为云用户选择认证密钥对(spk，ssk)来计算和验证文件标签。然后SPG将公共参数设置为其中 G₁，G_T为SPG选择的阶为大素数p的乘法群，G₁，G_T上存在双线性映射g，u为G₁的两个生成元；H为抵御碰撞攻击的哈希函数，且将任意长度字符串映射为G₁的某一元素：H：{0，1}^*→G₁；spk为云用户的认证公钥，用来验证文件标签；v是云用户公钥，用来验证不可知认证器和可信机构恢复出的真实认证器；云用户借助可信机构的公钥v′来隐藏数据块的认证器，云端使用v′验证隐藏后的认证器是否正确。

从图3中可看出，一次完整的数据外包过程由三个部分完成：云用户、云端和可信机构。当有需要外包的数据文件时，云用户发起数据外包过程。云用户首先将要外包的数据文件分割成数据块F＝(m₁，...，m_n)，然后为每个数据块计算不可知认证器Φ＝{σ_i}_1≤i≤n。最后，云用户将数据和不可知认证器等发送给云端。云端收到云用户上传的外包数据之后，首先检查认证器的正确性。如果认证器或数据错误，云端则拒绝存储数据并中止此外包过程。此时，云端可要求用户重新发起一次数据外包过程，并上传正确的数据。如果云端判定认证器正确，则将数据存储起来。此时，若可信机构选择不恢复认证器，云端可结束此外包过程。若可信机构希望知道云用户没有滥用自己的公钥，可以恢复并验证所有或部分认证器是否是真实的。如果是真实的，则此外包过程正常结束，否则可信机构可以拒绝云用户存储此次外包请求，并中止此外包过程。

图4所示，云用户把数据存放在云端后，需确定数据是完好且可随时使用的，对数据完整性检查的这一过程称为审计。云用户可以委托第三方验证者(TPA)替自己检测数据的完整性，从而减轻自身负担。TPA在完成检查任务时，先验证文件标签tag。如果验证通过则表明此文件属于委托的云用户，否则TPA中止检查任务。如上图所示，在一次数据检查中，首先由TPA发送给云端一个质询消息chal，指定要检查的数据块。然后云端根据收到的质询消息生成一个完整性证明P，并发送给TPA。TPA验证P为正确时，则认为外包数据是完好的；否则认为外包数据已损坏或者丢失，并将这一事件报告给云用户，以采取必要措施。

本发明的实现过程具体为：

本专利中的云数据检测系统包括：系统参数生成中心(SPG)、云端、云用户、可信机构(TO)和TPA。其中，SPG产生各种系统参数，为云用户、TO生成公私钥等。云端由云服务提供商管理和维护，有着强大的计算能力和海量的存储空间，通过Internet为云用户提供存储服务。云用户拥有大量要外包的数据文件。TO是云端和云用户都信任的中间机构，云用户利用TO的公钥隐藏认证器的内容。同时，TO可以恢复出真实的认证器，检验认证器的正确性，以免云用户滥用自己的公钥隐藏任意消息的认证器(因为云用户使用可信机构公钥隐藏数据的认证器表明可信机构对此数据的认可，所以在可信机构不想为某些数据负责时可以拒绝。)TPA替云用户周期性地检查数据的完整性以减轻云用户负担：对于本地资源有限的云用户来说，周期地检查数据是一份繁重、枯燥的工作，而TPA拥有较强的计算能力、充足的通信资源和专业的技能。

本专利采用上述完整性检测系统进行云数据完整性检测方法具体分为四个阶段：系统参数生成阶段、数据文件上传阶段、验证阶段和审计阶段。系统参数生成阶段，SPG生成各种系统参数和云用户公私钥；数据上传阶段，云用户将文件分成数据块并生成认证器，然后将数据和认证器上传到云端并删除本地存储；在验证阶段，云端验证认证器的正确性、TO恢复出真实的认证器并验证正确性，当两次验证通过时云端才存储云用户的数据文件；审计阶段，TPA定期对云端的数据文件进行检查，当检查不通过时，TPA认定数据损坏或丢失并报告给云用户。

系统参数生成阶段：

1、SPG选择乘法群G₁和G_T，群的阶均为大素数p；选择u和g为G₁的生成元，e为G₁到G_T的双线性映射e：G₁×G₁→G_T；选择抗碰撞的hash函数 H：{0，1}^*→G₁，可将任意长度的字符串一致地映射到群G₁中。

2、SPG为云用户选择一对签名公钥对(spk，ssk)，用来计算和验证文件标签。

3、SPG从Z_p随机选择x∈_RZ_p作为云用户的私钥，并计算v←g^x作为云用户的公钥。

4、SPG从Z_p随机选择x′∈_RZ_p作为TO的私钥，并计算v′←g^x作为TO 的公钥。

5、SPG将私钥分别发给云用户和TO，并将公共参数设置为

数据文件上传阶段：

1、云用户将要外包的数据文件F分成若干数据块F＝(m₁，...，m_n)，并为此文件选择一个域内唯一的字符串name作为标识。

2、云用户选择随机数r∈_RZ_p，并计算μ′＝g^r和σ′＝(v′)^r。

3、云用户使用自己的私钥为F中每个数据块m_i计算认证器：首先计算然后计算不可知认证器σ_i←σ′_iσ′。将文件F的认证器集合记为Φ＝{σ_i}_1≤i≤n。

4、令t₀＝name||u，云用户使用签名私钥ssk计算文件标签 tag＝t₀||5SIG_ssk(t₀)。最后云用户将文件F、文件标签tag、不可知认证器Φ和σ′一同上传到云端，并删除本地副本。

验证阶段：此阶段分为两个部分，包括云端验证认证器的正确性和TO 恢复出真实的认证器。

云端可判断云用户上传的数据块m_i的不可知认证器σ_i是否正确：若此等式成立则断定σ_i是正确的；否则不正确。

云端也可一次验证多个块认证器，以提高效率。假设云端要验证的认证器相应块的位置集合为Q，对于i∈Q，计算σ″＝Π_i∈Qσ_i，μ"＝∑_i∈Qm_i。当下面等式成立时，可判定所选认证器均正确，否则不全是正确的：

验证不通过时，云端认定数据或者认证器错误，拒绝存储此数据。

TO可使用其私钥恢复出不可知认证器中真实的认证器。对于数据块m_i的σ_i，TO计算σ′_i←σ_i/(μ′)^x′。TO使用云用户的公钥可验证σ′_i的正确性：等式成立时σ′_i正确。若不正确，则TO令云端拒绝存储此数据。同时，若出于安全或其他某些原因，TO不想为此数据隐藏数据块的认证器，亦可令云端拒绝存储此数据。这可以限制用户行为，防止云用户滥用TO的公钥。

审计阶段：在此阶段，TPA代替云用户完成数据检查工作，以减轻云用户负担。

1、TPA首先检索得到F的文件标签tag，然后使用云用户的公钥spk验证tag是否有效，若有效则继续，否则中止。

2、TPA随机选择c个整数指定所要检查的数据块。对于每个i∈I，TPA选择一个随机值v_i∈Z_p，然后TPA将质询消息Chal＝{(i，v_i)}_i∈I发送给云端。

3、云端收到质询消息Chal后计算和μ＝∑_i∈Iv_i.m_i。云端将P＝(σ，μ) 作为数据完整存储的证明发给TPA。

4、TPA收到回复消息P后，验证下面等式是否成立：如果成立则表明数据完整地存储在云端。

本发明的优势：

本发明设计了新的数据块认证器构造方法，使得云端得不到认证器的内容，保护了认证器的隐私性。同时此不可知认证器亦可满足外包数据审计的要求，可实现支持认证器隐私的云存储审计方法；

消除了合约类数据文件外包的敏感问题，云用户可以毫无顾虑地将此类数据外包到云存储中，而不必担心自己的数据被恶意使用，使得外包存储更安全、可靠，有利于云存储服务的进一步推广和应用；

使用可信机构限制了用户的行为，避免云用户滥用可信机构的公钥隐藏任意消息的认证器。因为云用户使用可信机构公钥隐藏数据的认证器表明可信机构对此数据的认可，所以在可信机构不想为某些数据负责时可以拒绝。这有利于具有隐私性的认证器的合理使用。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

所有上述为这一知识产权的首要实施装置，并没有设定限制以其它形式实施这种新型装置及其检测方法和/或操作方法。本领域技术人员将利用这一重要信息，对上述内容修改，以实现类似的执行情况。但是，所有基于本发明的修改或改造新方法，属于保留的权利。

Claims (2)

1.支持认证隐私的云数据完整性检测方法，其特征在于，包括：

第一步，系统参数生成阶段，系统参数生成中心模块生成各种系统参数和云用户公私钥；

第二步，数据文件上传阶段，云用户模块将文件分成数据块并生成认证器，然后将数据和认证器上传到云端并删除本地存储；

第三步，验证阶段，云端模块验证认证器的正确性、可信机构模块恢复出真实的认证器并验证正确性，当验证通过时云端模块才存储云用户模块的数据文件；

第四步，审计阶段，第三方验证者模块定期对云端的数据文件进行检查，当检查不通过时，第三方验证者模块认定数据损坏或丢失并报告给云用户；

所述系统参数生成阶段进一步包括，

第a步，系统参数生成中心模块选择乘法群G₁和G_T，群的阶均为大素数p；选择u和g为G₁的生成元，e为G₁到G_T的双线性映射e:G₁×G₁→G_T；选择抗碰撞的hash函数H:{0,1}^*→G₁，可将任意长度的字符串一致地映射到群G₁中；

第b步，系统参数生成中心模块为云用户选择一对签名公钥对(spk,ssk)，用来计算和验证文件标签；

第c步，系统参数生成中心模块从Z_p随机选择x∈_RZ_p作为云用户的私钥，并计算v←g^x作为云用户的公钥；

第d步，系统参数生成中心模块从Z_p随机选择x′∈_RZ_p作为可信机构模块的私钥，并计算v′←g^x′作为可信机构模块的公钥；

第e步，系统参数生成中心模块将私钥分别发给云用户模块和可信机构模块，并将公共参数设置为PK＝(u，g，e，G₁，G_T，p，H，spk，v，v′)；

所述第二步数据文件上传阶段进一步包括，

第aa步，云用户模块将要外包的数据文件F分成若干数据块F＝(m₁,...,m_n)，并为此文件选择一个域内唯一的字符串name作为标识；

第bb步，云用户模块选择随机数r∈_RZ_p，并计算μ′＝g^r和σ′＝(v′)^r；

第cc步，云用户模块使用自己的私钥为F中每个数据块m_i计算认证器，首先计算然后计算不可知认证器σ_i←σ′_iσ′，将文件F的认证器集合记为Φ＝{σ_i}_1≤i≤n；

第dd步，令t₀＝name||u，云用户模块使用签名私钥ssk计算文件标签tag＝t₀||SSIG_ssk(t₀)，最后云用户将文件F、文件标签tag、不可知认证器Φ和σ′一同上传到云端，并删除本地副本；

所述第三步验证阶段进一步包括，

第a’步，云端模块验证认证器的正确性，

所述第a’步进一步具体为云端可判断云用户上传的数据块m_i的不可知认证器σ_i是否正确：若此等式成立则断定σ_i是正确的，否则不正确；

第b’步，可信机构模块恢复出真实的认证器，

所述第b’步进一步具体为可信机构模块可使用其私钥恢复出不可知认证器中真实的认证器，对于数据块m_i的σ_i，可信机构模块计算σ′_i←σ_i/(μ′)^x′，可信机构模块使用云用户的公钥可验证σ′_i的正确性，等式成立时σ′_i正确，若不正确，则可信机构模块令云端模块拒绝存储此数据，同时，若出于安全原因，可信机构模块不想为此数据隐藏数据块的认证器，令云端拒绝存储此数据，这能够限制用户行为，防止云用户滥用可信机构模块的公钥。

2.如权利要求1所述支持认证隐私的云数据完整性检测方法，其特征在于：所述审计阶段进一步包括，

第a”步，第三方验证者模块首先检索得到F的文件标签tag，然后使用云用户模块的公钥spk验证tag是否有效，若有效则继续，否则中止；

第b”步，第三方验证者模块随机选择c个整数指定所要检查的数据块，对于每个i∈I，第三方验证者模块选择一个随机值v_i∈Z_p，然后第三方验证者模块将质询消息Chal＝{(i,v_i)}_i∈I发送给云端模块；

第c”步，云端模块收到质询消息Chal后计算和μ＝∑_i∈Iv_i·m_i，云端模块将P＝(σ,μ)作为数据完整存储的证明发给第三方验证者模块；

第d”步，第三方验证者模块收到回复消息P后，验证下面等式是否成立：如果成立则表明数据完整地存储在云端模块。