CN105721158A - 云安全隐私性和完整性保护方法和系统 - Google Patents

Abstract

本发明提供了一种云安全隐私性和完整性保护方法和系统。该方法中，用户在上传数据到云服务器前，先对元数据用AES算法进行加密，而后将密文上传给云服务器。并且在云服务器和TPA交互的审计过程中，云服务器对用户的信息进行盲化，这样TPA也无法获知到用户的信息。

Description

云安全隐私性和完整性保护方法和系统

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种云安全隐私性和完整性保护方法和系统。

背景技术

近几年，随着云计算的不断发展，云计算领域在计算机领域的地位也有所提高。由于云计算它有一系列在IT历史中没有预见到的优势主要是：自请求式服务，普遍的网络访问，与位置无关的资源池，以及基于使用的价格等等，所以云计算被期望成为IT专业领域内下一代的技术结构。使用云计算就是把数据集中或者外包给云平台。从单个个体用户以及IT专业领域用户的角度来看，把数据以请求的方式远程存储在云端减轻了存储管理的负担，并且一般的数据存储与位置无关，也避免了一些硬件、软件以及人员维修的资金开支。

云计算虽然有着比以往更为吸引人的优势，但是对于存储在云平台的用户的外包的数据也有着新的安全威胁。因为云服务提供商(CSP)是一个单独的管理实体，这就意味着用户对于他们外包的数据放弃了管理权限。虽然云平台的基础设施比个人的计算设备更可靠和安全，但是也无法完全抵御来自内外所有的安全威胁。比如为了自身的经济利益，云服务商可能会把不经常访问的外包数据丢弃，而为了维护良好的声誉向用户隐瞒这种数据丢失。因此CSP要确保存储数据的完整性。

安全审计是一种有效的解决方法。审计分为私有审计和公开审计。

私有审计效率高，但是审计任务只能由用户自己来完成。并且存储在云平台上的数据量大，审计任务繁重，而且用户设备的计算资源也受限。而在公开审计中用户可以将繁重的审计任务委托给有能力的可信的第三方审计中心(TPA)，TPA审计完成后将审计结果返回给用户。这样就减轻了用户的计算负担，因此公开审计更符合实际应用。

新实体TPA的引入，也造成了一定的安全威胁。TPA在审计过程中会学习到用户的外包数据信息，而且TPA不一定彻底可信。如果云服务器直接将用户外包信息上回应TPA，因为TPA不是彻底可信的，所以可能会导致用户外包数据的泄露。一旦用户的信息泄露，即使审计过程正确，整个审计模型也是不安全的。所以在云服务器和TPA交互式的审计过程中，云服务器会把含有用户外包数据信息或者是相关信息的回应信息进行盲化，这样TPA就无法知道用户的外包数据信息。从而保护了用户在云存储审计中的隐私性。

发明内容

为了解决云存储数据审计中数据隐私性和完整性的问题，本专利提出了一种云安全隐私性和完整性保护方法和系统。该方法中，用户在上传数据到云服务器前，先对元数据用AES算法进行加密，而后将密文上传给云服务器。并且在云服务器和TPA交互的审计过程中，云服务器对用户的信息进行盲化，这样TPA也无法获知到用户的信息。

为解决上述技术问题，本发明提供了一种云安全隐私性和完整性保护系统，其包括系统参数生成中心、云端、终端和可信第三方审计中心(TPA)，

系统参数生成中心生成各种系统参数，为用于生成公私钥、为云服务器生成公私钥、计算审计参数等；

云服务器为用户数据提供存储资源；

终端将用户的大量数据外包存储到云端；

审计中心代表用户来验证数据的完整性，

该系统在用户上传数据到云服务器前，对元数据用AES算法进行加密，再将密文上传给云服务器。

本发明还提供了采用上述云安全隐私性和完整性保护系统进行云安全隐私性和完整性保护的方法，其包括：

第一步，系统参数生成，由系统参数生成中心生成各种系统公私参数；

第二步，元数据加密，将用户的元数据用AES算法进行加密；

第三步，数据文件上传，用户通过终端将加密后的数据上传到云服务器；

第四步，审计，由审计中心对数据文件进行审计，并将审计结果返回给用户。

所述第一步系统参数生成具体为：

第a步，系统参数生成中心选择阶为素数p的乘法循环群群G₁，G₂和G_T，e为可计算的双线性映射e：G₁×G₂→G_T，g为G₂的生成元；选择两个hash函数，其中H是从串映射到一点的hash函数：H：{0，1}^*→G₁；另一个hash函数h：G_T→Z_P，映射到Z_p中；

第b步，参数生成中心为用户选择一对签名密钥(spk，ssk)，从Z_p中任选一个随机数x←Z_P，并从G₁中任选一个随机数u←G₁，计算v←g^x；参数中心为云服务提供商在Z_p中任选一个随机数δ←Z_p，并计算Z＝u^δ，云服务器的公私钥对为(δ，z)；用户的私钥为(x，ssk)，公钥对为(spk，v，g，u，z)；

第c步，为用户加密元数据产生一个密钥k。

所述第二步元数据加密步骤具体为用户对n个数据块{m₁，...，m_n}中每个数据块使用密钥k进行AES加密，生成密文e＝{c₁，c₂，...c_n}。

所述第三步数据文件上传具体为：

第(1)步，终端用户对文件F＝{m_i}中的每一个文件块m_i，计算各块的签名： ${\mathrm{\δ}}_i\←{\left(H\right(W_i)\·u^{m_i})}^x\∈G_1$

并记Φ＝{δ_i}_1≤i≤n，其中W_i＝name||i。name是用户从Z_p中选取的一个随机数，作为文件F的文件名；||为连接符；

第(2)步，计算文件F的标签t：t＝name||SSig_ssk(name)，其中SSig_ssk(name)是在私钥name下对文件名name的签名，从而在数据上传的最后阶段确保文件的唯一的标识；

第(3)步，用户将F以及验证信息(Φ，t)上传给云服务器并且把这些信息在本地存储器中删除。

所述第四步审计进一步具体为

第A步，TPA接收文件标签t，并通过公钥spk验证文件名的签名SSig_ssk(name)，如果验证失败，则输出FALSE；如果成功，TPA就接收文件名name；

第B步，产生一个审计的质询信息“chal”，TPA在[1，n]中任选含有c个元素的子集I＝I＝{s₁，...s_c}，对于每个元素i∈I，都表示要求去审计的文件块的位置，TPA为每个元素任选一个随机数v_i，然后TPA将chal＝{(i，v_i)}_i∈I发送给云服务器；

第C步，当云服务器接收到质询信息chal＝{(i，v_i)}_i∈I后，会对于存储在云端数据的正确性进行回应：服务器会任选一个元素r←Z_p，并计算R＝u^r，然后计算μ′＝∑_i∈Iv_im_i，而后将μ′和r进行盲化μ＝h(R)μ′+r+δ，其中γ＝h(R)∈Z_p，与此同时云服务器也计算验证码的聚合然后云服务器将{μ，δ，R}发送给TPA；

第D步，TPA收到云服务器的回应信息后，首先计算γ＝h(R)，然后验证等式： $e({\mathrm{\δ}}^{h\left(R\right)},g)=e(\underset{i=s_1}{\overset{s_c}{\Π}}H{\left(W_i\right)}^{h{\left(R\right)}_{v_i}}\·u^{\mathrm{\μ}}\·Z,v)$ 是否成立，如果成立则审计通过，否则输出FALSE。

本发明的有益效果：

采用本发明提供的云安全隐私性和完整性保护系统和方法确保了用户放在云服务器上的数据是保密的，因为用户在把数据外包之前用AES进行了加密，即使云服务器是恶意的也不能够知道用户的数据信息。

云服务器和TPA审计中，服务器会把用户的信息盲化，这样TPA不知道用户的数据信息。即使第三方审计中心(TPA)不是彻底可信的，用户的数据信息也不会被恶意泄露。

参数中心为云服务器也分配了公私钥，在盲化过程中让云的公私钥参与，改进了盲化方法。

附图说明

图1为云安全隐私性和完整性保护系统的模型图；

图2为系统建立示意图；

图3为文件上传示意图；

图4为审计阶段示意图。

具体实施方式

本发明提供了一种云安全隐私性和完整性保护系统，其包括系统参数生成中心、云端、终端和可信第三方审计中心(TPA)，

系统参数生成中心生成各种系统参数，为用于生成公私钥、为云服务器生成公私钥、计算审计参数等；

云服务器为用户数据提供存储资源；

终端将用户的大量数据外包存储到云端；

审计中心代表用户来验证数据的完整性。

本发明还提供了采用上述云安全隐私性和完整性保护系统进行云安全隐私性和完整性保护的方法，其包括：

第一步，系统参数生成，由系统参数生成中心生成各种系统公私参数；

第二步，元数据加密，将用户的元数据用AES算法进行加密；

第三步，数据文件上传，用户通过终端将加密后的数据上传到云服务器；

第四步，审计，由审计中心对数据文件进行审计，并将审计结果返回给用户。

所述第一步系统参数生成具体为：

第a步，系统参数生成中心选择阶为素数p的乘法循环群群G₁，G₂和G_T，e为可计算的双线性映射e：G₁×G₂→G_T，g为G₂的生成元；选择两个hash函数，其中H是从串映射到一点的hash函数：H：{0，1}^*→G₁；另一个hash函数h：G_T→Z_P，映射到Z_p中；

第b步，参数生成中心为用户选择一对签名密钥(spk，ssk)，从Z_p中任选一个随机数x←Z_P，并从G₁中任选一个随机数u←G₁，计算v←g^x；参数中心为云服务提供商在Z_p中任选一个随机数δ←Z_p，并计算Z＝u^δ，云服务器的公私钥对为(δ，z)；用户的私钥为(x，ssk)，公钥对为(spk，v，g，u，z)；

第c步，为用户加密元数据产生一个密钥k。

所述第二步元数据加密步骤具体为用户对n个数据块{m₁，...，m_n}中每个数据块使用密钥k进行AES加密，生成密文e＝{c₁，c₂，...c_n}。

所述第三步数据文件上传具体为：

第(1)步，终端用户对文件F＝{m_i}中的每一个文件块m_i，计算各块的签名： ${\mathrm{\δ}}_i\←{\left(H\right(W_i)\·u^{m_i})}^x\∈G_1$

并记Φ＝{δ_i}_1≤i≤n，其中W_i＝name||i。name是用户从Z_p中选取的一个随机数，作为文件F的文件名；||为连接符；

第(2)步，计算文件F的标签t：t＝name||SSig_ssk(name)，其中SSig_ssk(name)是在私钥name下对文件名name的签名，从而在数据上传的最后阶段确保文件的唯一的标识；

第(3)步，用户将F以及验证信息(Φ，t)上传给云服务器并且把这些信息在本地存储器中删除。

所述第四步审计进一步具体为

第A步，TPA接收文件标签t，并通过公钥spk验证文件名的签名SSig_ssk(name)，如果签证失败，则输出FALSE；如果成功，TPA就接收文件名name；

第B步，产生一个审计的质询信息“chal”，TPA在[1，n]中任选含有c个元素的子集I＝I＝{s₁，...s_c}，对于每个元素i∈I，都表示要求去审计的文件块的位置，TPA为每个元素任选一个随机数v_i，然后TPA将chal＝{(i，v_i)}_i∈I发送给云服务器；

第C步，当云服务器接收到质询信息chal＝{(i，v_i)}_i∈I后，会对于存储在云端数据的正确性进行回应：服务器会任选一个元素r←Z_p，并计算R＝u^r，然后计算μ′＝∑_i∈Iv_im_i，而后将μ′和r进行盲化μ＝h(R)μ′+r+δ，其中γ＝h(R)∈Z_p，与此同时云服务器也计算验证码的聚合然后云服务器将{μ，δ，R}发送给TPA；

第D步，TPA收到云服务器的回应信息后，首先计算γ＝h(R)，然后验证等式： $e({\mathrm{\δ}}^{h\left(R\right)},g)=e(\underset{i=s_1}{\overset{s_c}{\Π}}H{\left(W_i\right)}^{h{\left(R\right)}_{v_i}}\·u^{\mathrm{\μ}}\·Z,v)$ 是否成立，如果成立则审计通过，否则输出FALSE。

以下采用实施例和附图来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

一、本专利所应用的相关理论

1.双线性配对

设G₁是阶为q的加法群，G₂是两个阶为q的乘法群，若映射满足以下性质：

1)双线性：对于a，b∈G₁满足

2)非退化性：存在P，Q∈G，使得

3)可计算性：存在有效算法，对于均可计算

则称该映射为双线性配对。

2.BLS短签名

此签名方案由Boneh，Lynn和Shacham于2001年在亚密会上首次提出，以双线性配对作为构造工具，具有签名长度短、安全要求低、结构简单等优点：

1)群G是阶为素数q的乘法循环群，其生成元为g，签名者随机选取然后计算X＝g^x∈G，签名者公私钥分别为X和x。

2)假设消息为M，签名者计算σ＝(H(M))^x，其中

3)验证时，首先已知消息M及其签名σ，然后计算知是否相等，若相等则表示σ是消息M的签名。

如图1所示，本发明提供的云安全隐私性和完整性保护系统有三个参与实体，用户终端有着大量的要外包的数据，计算能力受限的设备，云服务器是为用户提供云服务的平台，可以帮用户存储大量的外包数据。第三方审计中心(TPA)减轻了审计过程中用户的计算负担，用户将数据审计委托给TPA，审计完成后TPA将结果返回给用户。

用户通过终端首先把要外包的数据用AES算法加密，而后将自己的用户名和密码发送给云服务器。云服务器用户名验证通过后，用户将自己外包数据的密文发送给云服务器。用户向第三方审计中心发送审计委托的请求，而后第三方审计中心(TPA)和服务器进行交互式的数据审计。审计完成后，TPA将审计的结果返回给用户。

系统参数生成中心生成系统所用的初始参数，首先选择阶为素数q的群G和T，使得存在双线性映射g为G的生成元；选择两个抵御碰撞攻击的哈希函数H和H₁，满足：H₁：{0，1}^*×G→G，H：{0，1}^*→G。参数中心为终端用户选择签名密钥对(spk，ssk)；而后随机选择一个随机数x作为用户的私钥，并计算用户的公钥v＝g^x；并为云服务器产生公私钥，首先选择一个随机数δ，并计算z＝_uδ作为云服务器的公钥。系统建立阶段完成后，用户将数据上传到云端存储，然后用户或者审计中心就可对数据完整性进行验证。

图3为数据上传示意图。用户对n个数据块{m₁，...，m_n}中每个数据块使用密钥k进行AES加密，生成密文e＝{c₁，c₂，...c_n}。终端用户对文件F＝{m_i}中的每一个文件块m_i，计算各块的签名：

${\mathrm{\δ}}_i\←{\left(H\right(W_i)\·u^{m_i})}^x\∈G_1$

并记Φ＝{δi}_1≤i≤n

其中W_i＝name||i。name是用户从Z_p中选取的一个随机数，作为文件F的文件名；||为连接符。

数据上传的最后阶段就是要确保文件的唯一的标识，文件名name的完整性。一个比较简单的方法就是计算文件F的标签t：t＝name||SSig_ssk(name)。其中SSig_ssk(name)是在私钥ssk下对文件名name的签名。

为了简便，我们假设TPA知道文件块n的文件名name。然后用户将F以及验证信息(Φ，t)上传给云服务器并且把这些信息在本地存储器中删除。

如图4所示，数据审计阶段：首先TPA接收文件标签t，并通过公钥spk验证文件名的签名SSig_ssk(name)。如果签证失败，则输出FALSE；否则TPA就接收文件名name。

接下来是重要的审计过程。首先产生一个审计的质询信息“chal”：TPA在[1，n]中任选含有c个元素的子集I＝I＝{s₁，...s_c}，对于。每个元素i∈I，都表示要求去审计的文件块的位置，TPA为每个元素任选一个随机数v_i。然后TPA将chal＝{(i，v_i)}_i∈I发送给云服务器。

当云服务器接收到质询信息chal＝{(i，v_i)}_i∈I后，会对于存储在云端数据的正确性进行回应：服务器会任选一个元素r←Z_p，并计算R＝u^r。然后计算μ′＝∑_i∈Iv_im_i，而后将μ′和r进行盲化μ＝h(R)μ′+r+δ。其中γ＝h(R)∈Z_p。与此同时云服务器也计算验证码的聚合然后云服务器将{μ，δ，R}发送给TPA。TPA收到云服务器的回应信息后，首先计算γ＝h(R)，然后验证等式：

$e({\mathrm{\δ}}^{h\left(R\right)},g)=e(\underset{i=s_1}{\overset{s_c}{\Π}}H{\left(W_i\right)}^{h{\left(R\right)}_{v_i}}\·u^{\mathrm{\μ}}\·Z,v)$

是否成立。如果成立则审计通过，否则输出FALSE。

本发明的实现过程

(1)系统初始化：在系统参数生成阶段，系统参数生成中心随机选择和计算各种系统参数：参数中心为终端用户选择签名密钥对(spk，ssk)；而后随机选择一个随机数x作为用户的私钥，并计算用户的公钥v＝g^x；并为云服务器产生公私钥，首先选择一个随机数δ，并计算z＝u^δ作为云服务器的公钥。其中所选hash函数h是抗碰撞的表示对定义域上两个不同元素x，x′，使得h(x)＝h(x′)是困难的；所选阶为q群G、T为乘法循环群，g为G的生成元。公钥存在于密码学中的非对称加密，对消息加解密使用一对不同的密钥，只有解密密钥能解密加密密钥加密的消息，且知道其中一个不能计算出另一个；称公开的密钥为公钥，不公开的密钥为私钥。初始化结束后，撤销参数生成中心。

(2)系统运行：将数据文件F分割成n个数据块{m₁，...，m_n}然后用户计算数据块标签σ_j和文件标签tag：对数据计算块标签是为了审计时用来验证数据完整性，本专利中块标签基于BLS短签名计算；文件标签是用来证明此文件确实属于该用户，对文件名和时间段i连接作为消息用认证私钥加密并连接在消息后面，其使用的是消息验证码方式。用户把文件、块标签和文件标签一起发到云端存储，然后可经过安全通道将审计任务委托给审计中心。审计中心验证用户委托合法后就可以根据用户要求对数据不定期审计。

审计中心审计文件时首先取回文件标签，使用用户的认证公钥解密文件标签t得到name，如果与标签中的name相同则可得到文件name，否则表明不是该用户文件，审计中心停止审计。当文件标签通过验证时，审计中心随机选取数据块并计算质询消息Challenge，发给云端；云端收到质询后生成取样数据的证明回复给审计中心；审计中心验证证明的有效性，若通过验证则表明数据完整，否则数据损坏或丢失。审计中心将审计结果发送给用户，用户可以据此评估云端服务的优劣。

其中数据文件上传时用户基于BLS短签名对各个数据块计算标签并在验证时用到双线性映射，这使得数据完整性可以被公共验证并且不要求取回原始数据到本地，减少了通信代价和计算代价。但当数据文件很大时，审计所有数据块的计算代价也非常大，因此采取随机取样的策略即生成质询时验证者随机选择若干数据块索引组成集合I＝{s₁，s₂，...，s_c}(s_i∈[1，n])。为了确保云端返回的是对取样块的证明，验证者还给各个索引随机选择相应的系数v_i，并要求云端返回证明时使用系数做运算：μ′＝∑_i∈Iv_im_i和验证者得到云端回复后也要用索引-系数对验证，因此保证了所取数据块。即使并没有检查全部数据块，但也可以很高的概率检测出数据损坏或丢失。而且如果有一小部分数据丢失，那么要以高概率查出云端异常所需数据块数的阶为O(1)。特别低，若t部分数据损坏，那么随机取样c块发现概率会达到P＝1-(1-t)^c。当t＝1％时，只需随机选择c＝300或460个数据块，检测到异常的概率分别不会低于95％和99％。因此考虑到云端大量外包存储，对验证者和云服务器来说，只要取样策略提供高概率保证，审查小部分数据文件比审查所有数据更容易和实用。

四、本发明的优势：

(1)本发明确保了用户放在云服务器上的数据是保密的，因为用户在把数据外包之前用AES进行了加密，即使云服务器是恶意的也不能够知道用户的数据信息。

(2)云服务器和TPA审计中，服务器会把用户的信息盲化，这样

TPA不知道用户的数据信息。即使第三方审计中心(TPA)不是彻底可信的，用户的数据信息也不会被恶意泄露。

(3)参数中心为云服务器也分配了公私钥，在盲化过程中让云的公私钥参与，改进了盲化方法。

(4)本专利采用公共审计，用户可将数据审计任务委托给第三方审计中心(TPA)，减轻用户的计算负担。审计时随机取样数据块，检查一小部分数据就能以很高的概率保证发现异常，提高了效率。

所有上述的首要实施这一知识产权，并没有设定限制其他形式的实施这种新产品和/或新方法。本领域技术人员将利用这一重要信息，上述内容修改，以实现类似的执行情况。但是，所有修改或改造基于本发明新产品属于保留的权利。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (6)

1.一种云安全隐私性和完整性保护系统，其特征在于：包括系统参数生成中心、云端、终端和可信第三方审计中心(TPA)，

系统参数生成中心生成各种系统参数，为用于生成公私钥、为云服务器生成公私钥、计算审计参数等；

云服务器为用户数据提供存储资源；

终端将用户的大量数据外包存储到云端；

审计中心代表用户来验证数据的完整性，

该系统在用户上传数据到云服务器前，对元数据用AES算法进行加密，再将密文上传给云服务器。

2.权利要求1所述云安全隐私性和完整性保护系统进行云安全隐私性和完整性保护的方法，其特征在于，包括：

第一步，系统参数生成，由系统参数生成中心生成各种系统公私参数；

第二步，元数据加密，将用户的元数据用AES算法进行加密；

第三步，数据文件上传，用户通过终端将加密后的数据上传到云服务器；

第四步，审计，由审计中心对数据文件进行审计，并将审计结果返回给用户。

3.权利要求2所述云安全隐私性和完整性保护的方法，其特征在于：所述第一步系统参数生成具体为，

第a步，系统参数生成中心选择阶为素数p的乘法循环群群G₁，G₂和G_T，e为可计算的双线性映射e：G₁×G₂→G_T，g为G₂的生成元；选择两个hash函数，其中H是从串映射到一点的hash函数：H：{0，1}^*→G₁；另一个hash函数h：G_T→Z_P，映射到Z_p中；

第b步，参数生成中心为用户选择一对签名密钥(spk，ssk)，从Z_p中任选一个随机数x←Z_P，并从G₁中任选一个随机数u←G₁，计算v←g^x；参数中心为云服务提供商在Z_p中任选一个随机数δ←Z_p，并计算Z＝u^δ，云服务器的公私钥对为(δ，z)；用户的私钥为(x，ssk)，公钥对为(spk，v，g，u，z)；

第c步，为用户加密元数据产生一个密钥k。

4.权利要求2或3所述云安全隐私性和完整性保护的方法，其特征在于：所述第二步元数据加密步骤具体为用户对n个数据块{m₁，...，m_n}中每个数据块使用密钥k进行AES加密，生成密文e＝{c₁，c₂，...c_n}。

5.权利要求2至4所述云安全隐私性和完整性保护的方法，其特征在于：所述第三步数据文件上传具体为，

第(1)步，终端用户对文件F＝{m_i}中的每一个文件块m_i，计算各块的签名： ${\mathrm{\δ}}_i\←{\left(H\right(W_i)\·u^{m_i})}^x\∈G_1$

并记φ＝{δ_i}_1≤i≤n，其中W_i＝name||i。name是用户从Z_p中选取的一个随机数，作为文件F的文件名；||为连接符；

第(2)步，计算文件F的标签t：t＝name||SSig_ssk(name)，其中SSig_ssk(name)是在私钥name下对文件名name的签名，从而在数据上传的最后阶段确保文件的唯一的标识；

第(3)步，用户将F以及验证信息(Φ，t)上传给云服务器并且把这些信息在本地存储器中删除。

6.权利要求2至5所述云安全隐私性和完整性保护的方法，其特征在于：所述第四步审计进一步具体为，

第A步，TPA接收文件标签t，并通过公钥spk验证文件名的签名SSig_ssk(name)，如果签证失败，则输出FALSE；如果成功，TPA就接收文件名name；

第B步，产生一个审计的质询信息“chal”，TPA在[1，n]中任选含有c个元素的子集I＝I＝{s₁，...s_c}，对于每个元素i∈I，都表示要求去审计的文件块的位置，TPA为每个元素任选一个随机数v_i，然后TPA将chal＝{(i，v_i)}_i∈I发送给云服务器；

第C步，当云服务器接收到质询信息chal＝{(i，v_i)}_i∈I后，会对于存储在云端数据的正确性进行回应：服务器会任选一个元素r←Z_p，并计算R＝u^r，然后计算μ′＝∑_i∈Iv_im_i，而后将μ′和r进行盲化μ＝h(R)μ′+r+δ，其中γ＝h(R)∈Z_p，与此同时云服务器也计算验证码的聚合然后云服务器将{μ，δ，R}发送给TPA；

第D步，TPA收到云服务器的回应信息后，首先计算γ＝h(R)，然后验证等式： $e({\mathrm{\δ}}^{h\left(R\right)},g)=e(\underset{i=s_1}{\overset{S_c}{\Π}}H{\left(W_i\right)}^{h\left(R\right)v_i}\·u^{\mathrm{\μ}}\·Z,v)$ 是否成立，如果成立则审计通过，否则输出FALSE。