CN108712259A - 基于身份的可代理上传数据的云存储高效审计方法 - Google Patents

Abstract

本发明公开了一种基于身份的可代理上传数据的云存储高效审计方法，包括：初始化步骤，代理签名者私钥产生步骤，数据代理签名产生并上传步骤，审计证明产生与验证步骤。本发明的审计方法有助于数据拥有者授权给代理签名者产生数据的代理签名并上传到云服务器，有助于可信的审计者对云存储数据进行完整性审计；将数据文件压缩成同态消息认证码，利用椭圆曲线签名算法对数据块的消息认证码进行数字签名，并将数据文件进行轻量级流密码加密，最后将签名集合和密文一起存放在云服务器，这样既保证了数据文件的机密性，又有效解决了远程云存储数据完整性验证问题。

Description

基于身份的可代理上传数据的云存储高效审计方法

技术领域

本发明涉及网络空间安全技术领域，特别是涉及一种基于身份的可代理上传数据的云存储高效审计方法。

背景技术

随着云计算、物联网技术的飞速发展，海量的大数据将存储在远程的云服务器中，在这种开发的网络环境中如何保证信息源发出的信息是完整且没有被篡改，如何确保存储在云服务器上的数据的完整性，这些都是近年来人们所关注的信息安全焦点问题。相关的密码技术、数字签名技术、数字签名和安全审计可以有效解决这些信息安全问题，它们对在整个信息领内建立完整的安全机制起着至关重要的作用，在当今信息数字化的社会中显得尤为重要。

在一些特殊的环境中，数据拥有者由于出差不便或者访问云服务器的权限受限，如数据拥有者可能被质疑具有商业欺诈行为或因为存在的经济纠纷而被投诉后需要配合调查，为了减少不必要的经济损失和名誉损害以及防止合谋欺骗的可能，数据拥有者被暂时取消处理企业的相关数据文件的权利，但是企业每天都产生海量的数据文件且需要人及时处理，为了减轻企业二次遭到损失，可以指定一个可信任的代理者及时接手数据拥有者的工作来处理企业的数据。

代理签名因其特殊功能将会广泛用于移动通信、网格计算以及移动代理等实际场景。支持数据代理签名及上传的云存储审计系统能够保证用户存在远程服务器中的数据文件的完整性，其不仅能减轻企业或用户的工作量，而且能验证存储在远程云服务器上的数据文件是否被篡改。目前已经出现很多具有数据完整性验证功能的云存储数据安全审计方案，而真正具有支持数据代理上传的云存储数据安全审计方案还非常少，目前仅有一种具有这种功能的构造方案，但是该方案直接将数据拥有者的原始数据存储在云服务器，不能确保数据的机密性，而且该方案基于双线性对构造，计算开销非常大。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于身份的可代理上传数据的云存储高效审计方法，数据拥有者授权给代理签名者产生数据的代理签名并上传到云服务器，可信审计者对云存储数据进行完整性审计。

本发明的目的是通过以下技术方案来实现的：基于身份的可代理上传数据的云存储高效审计方法，包括：

初始化步骤：设置基于椭圆曲线的数字签名算法的参数、哈希函数、对称加密算法、伪随机函数和伪随机数发生器；

代理签名者私钥产生步骤：原始签名者利用授权委托书、代理签名者的身份以及哈希函数生成代理签名授权凭证，并将代理签名授权凭证发送给代理签名者；代理签名者验证代理签名授权凭证的合法性与唯一性，若验证通过，则代理签名者接受代理、并根据授权委托书产生代理签名者私钥，若验证未通过，则代理签名者拒绝代理；

数据代理签名产生并上传步骤：代理签名者根据伪随机函数和伪随机数发生器计算数据文件的同态消息认证码，并利用代理签名者私钥和椭圆曲线上基于身份的线性同态代理签名算法产生同态消息认证码的签名，并利用对称加密算法将数据文件进行加密；代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器；

审计证明产生与验证步骤：可信审计者产生审计挑战信息给云服务器；云服务器根据审计挑战信息计算审计证明响应信息，并将审计证明响应信息发送给可信审计者；可信审计者利用对称加密算法的对称密钥按照椭圆曲线上基于身份的线性同态代理签名算法的验证步骤来验证审计证明响应信息的有效性。

优选的，所述初始化步骤包括：

定义一个在模q上的剩余类环Z_q上的椭圆曲线E，其中q是大素数，P是椭圆曲线E上阶为素数q的点、是循环群G＝<P>的生成元；

密钥产生中心PKG从剩余类环Z_q中选取一个随机数s，并计算P_pub＝sP，其中P_pub是密钥产生中心PKG的主公钥，s是密钥产生中心PKG的主私钥；

设置抗碰撞的哈希函数H₁:{0,1}^*→Z_q，哈希函数H₂:{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，以及哈希函数H₃:{0,1}^*×{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，其中{0,1}^*为随机的二进制比特串，G为椭圆曲线E上的循环群；

产生伪随机数发生器和伪随机函数prf:SK_prf×I→Z_q，其中SK_prg是伪随机数发生器prg的私钥集合，SK_prf是伪随机函数prf的私钥集合，I为文件标识符与数据块排序位置集合；

随机选取对称密钥对(sk_prg,sk_prf)，其中sk_prg∈SK_prg,sk_prf∈SK_prf，对称密钥对(sk_prg,sk_prf)由原始签名者、代理签名者和可信审计者秘密共享；

产生对称加密算法和对称加密密钥τ；

公开参数Para＝(p,q,E,P_pub,H₁,H₂,H₃)。

优选的，所述代理签名者私钥产生步骤包括：

对于用户ID_i，用户ID_i为原始签名者ID_o或代理签名者ID_p，密钥产生中心PKG从Z_q中选择一个随机数并根据随机数计算随机变量和用户ID_i的私钥密钥产生中心PKG通过安全信道发送二元数组给用户ID_i；

当用户ID_i接收到二元数组后，验证方程是否有效，若有效，则说明是用户ID_i的私钥，否则用户ID_i重新向密钥产生中心PKG申请私钥；

原始签名者ID_o从剩余类环Z_q中选择一个随机数x，计算随机变量X＝xP以及授权委任书w的数字签名用户ID_o通过公开信道将代理签名授权凭证发送给代理签名者ID_p；

代理签名者ID_p收到代理签名授权凭证后，首先计算关于原始签名者ID_o的哈希函数值H₁(ID_o)以及关于四元数组(ID_o,ID_p,w,X)的哈希函数值H₂(ID_o,ID_p,X,w)，代理签名者ID_p按照如下方程验证原始签名者ID_o的代理签名授权凭证的有效性：若验证通过，则代理签名者ID_p接收原始签名者ID_o的代理授权；否则，代理签名者ID_p拒绝代理；

代理签名者ID_p从剩余类环Z_q中选择一个随机数η，并计算随机变量Y＝ηP和五元数组(ID_o,ID_p,w,y_w,Y)的哈希函数值H₃(ID_o,ID_p,w,y_w,Y)，然后计算代理签名私钥

优选的，代理签名授权凭证的有效性验证未通过时，代理签名者ID_p返回给原始签名者ID_o一个代理过程错误的参数。

优选的，所述数据代理签名产生并上传步骤包括：

将数据文件分为n个数据块其中每一个数据块下标i＝1,2,…,n，为模q上的m×n维矩阵，为模q上的m维向量；为每个数据块确定一个唯一的有序标识符tag；

代理签名者ID_p利用伪随机数发送器prg产生随机变量代理签名者ID_p利用伪随机发生函数prf产生随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中i＝1,2,…,n；

利用系数α＝(α₁,…,α_m)和系数β_i将数据块压缩m倍，产生同态消息认证码代理签名者ID_p利用代理签名私钥sk_pro产生每一个同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)，定义同态消息认证码σ_i的签名的集合为Ω＝{δ_i}_1≤i≤n；

将数据文件加密为密文

代理签名者ID_p上传{F',Ω,tag}到云服务器。

优选的，代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器后，删除本地存储的同态消息认证码的签名和加密后的数据文件。

优选的，产生同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)的方式为：选取随机数r_i∈Z_q，计算签名的第一个分量Q_i＝r_iP＝(μ_i,ν_i)，其中μ_i为椭圆曲线上点Q_i的横坐标，ν_i为椭圆曲线上点Q_i的纵坐标，计算签名的第二个分量ξ_i＝μ_imodq，计算签名的第三个分量ζ_i＝(ξ_ir_i+σ_isk_pro)modq，产生签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)。

优选的，将数据文件加密为密文的方式为：对于数据文件调用对称加密算法将数据块加密为从而将数据文件加密为密文

优选的，所述审计证明产生与验证包括：

可信审计者TPA从集合{1,…,n}中随机选取含有θ个元素的子集选取 为挑战位置在i∈Ψ的对应数据块的随机匹配系数，然后可信审计者TPA发送挑战信息给云服务器；

云服务器接收来自可信审计者TPA的审计挑战信息计算组合数据块其中j＝1,2,…,m。，以及计算聚合签名云服务器发送审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}给可信审计者TPA；

可信审计者TPA接收到来自云服务器发送的审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}后，可信审计者TPA运用伪随机数发送器prg生成随机变量利用伪随机发生函数prf生成随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中下标i＝1,2,…,n；

可信审计者TPA计算用于审计验证方程的中间三个变量，分别为变量一:

变量二:变量三:

可信审计者TPA验证以下方程是否成立：

若成立则审计证明响应信息有效，若不成立则审计证明响应信息无效。

本发明的有益效果是：

(1)本发明提供的是具有隐私保护的支持数据代理上传的基于身份的云存储数据安全审计方法；该审计方法有助于数据拥有者授权给代理签名者产生数据的代理签名并上传到云服务器，有助于可信的审计者对云存储数据进行完整性审计；

(2)本发明将数据文件压缩成同态消息认证码，利用椭圆曲线签名算法对数据块的消息认证码进行数字签名，并将数据文件进行轻量级流密码加密，最后将签名集合和密文一起存放在云服务器，这样既保证了数据文件的机密性，又有效解决了远程云存储数据完整性验证问题；

(3)本发明不需要计算代价更高的双线性对和模指数运算，因此在计算效率方面非常有利于可信的审计者；

(4)本发明是基于身份密码系统设计的，有效地避免了公钥基础设施对公钥证书的复杂管理。

附图说明

图1为本发明的流程示意图；

图2为本发明和对照方案的代理开销比较图；

图3为本发明和对照方案的审计开销比较图。

具体实施方式

下面将结合实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

参阅图1-3，本发明提供一种技术方案基于身份的可代理上传数据的云存储高效审计方法：

如图1所示，基于身份的可代理上传数据的云存储高效审计方法，包括：

S1.初始化步骤：设置基于椭圆曲线的数字签名算法的参数、哈希函数、对称加密算法、伪随机函数和伪随机数发生器。

所述初始化步骤包括：

S11.定义一个在模q上的剩余类环Z_q上的椭圆曲线E，其中q是大素数，P是椭圆曲线E上阶为素数q的点、是循环群G＝<P>的生成元，且在G＝<P>上的求解离散对数是困难的。

S12.密钥产生中心PKG从剩余类环Z_q中选取一个随机数s，并计算P_pub＝sP，其中P_pub是密钥产生中心PKG的主公钥，s是密钥产生中心PKG的主私钥，主公钥P_pub和主私钥s需要秘密保存。

S13.设置抗碰撞的哈希函数H₁:{0,1}^*→Z_q，哈希函数H₂:{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，以及哈希函数H₃:{0,1}^*×{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，其中{0,1}^*为随机的二进制比特串，G为椭圆曲线E上的循环群。

S14.产生伪随机数发生器和伪随机函数prf:SK_prf×I→Z_q，其中SK_prg是伪随机数发生器prg的私钥集合，SK_prf是伪随机函数prf的私钥集合，I为文件标识符与数据块排序位置集合；

S11.随机选取对称密钥对(sk_prg,sk_prf)，其中sk_prg∈SK_prg,sk_prf∈SK_prf，对称密钥对(sk_prg,sk_prf)由原始签名者、代理签名者和可信审计者秘密共享；

S15.产生对称加密算法和对称加密密钥τ；

S16.公开参数Para＝(p,q,E,P_pub,H₁,H₂,H₃)。

S2.代理签名者私钥产生步骤：原始签名者利用授权委托书、代理签名者的身份以及哈希函数生成代理签名授权凭证，并将代理签名授权凭证发送给代理签名者；代理签名者验证代理签名授权凭证的合法性与唯一性，若验证通过，则代理签名者接受代理、并根据授权委托书产生代理签名者私钥，若验证未通过，则代理签名者拒绝代理。

所述代理签名者私钥产生步骤包括：

S21.对于用户ID_i，用户ID_i为原始签名者ID_o或代理签名者ID_p，密钥产生中心PKG从Z_q中选择一个随机数并根据随机数计算随机变量和用户ID_i的私钥密钥产生中心PKG通过安全信道发送二元数组给用户ID_i。

S22.当用户ID_i接收到二元数组后，验证方程是否有效，若有效，则说明是用户ID_i的真实私钥，否则用户ID_i重新向密钥产生中心PKG申请私钥。

S23.原始签名者ID_o从剩余类环Z_q中选择一个随机数x，计算随机变量X＝xP以及授权委任书w的数字签名用户ID_o通过公开信道将代理签名授权凭证发送给代理签名者ID_p；

S24.代理签名者ID_p收到代理签名授权凭证后，首先计算关于原始签名者ID_o的哈希函数值H₁(ID_o)以及关于四元数组(ID_o,ID_p,w,X)的哈希函数值H₂(ID_o,ID_p,X,w)，代理签名者ID_p按照如下方程验证原始签名者ID_o的代理签名授权凭证的有效性：若验证通过，则代理签名者ID_p接收原始签名者ID_o的代理授权；否则，代理签名者ID_p拒绝代理，并返回给原始签名者ID_o一个代理过程错误的参数。

S25.代理签名者ID_p根据授权委任书w的数字签名y_w产生代理签名私钥sk_pro代理签名者ID_p从剩余类环Z_q中选择一个随机数η，并计算随机变量Y＝ηP和五元数组(ID_o,ID_p,w,y_w,Y)的哈希函数值H₃(ID_o,ID_p,w,y_w,Y)，然后计算代理签名私钥

S3.数据代理签名产生并上传步骤：代理签名者根据伪随机函数和伪随机数发生器计算数据文件的同态消息认证码，并利用代理签名者私钥和椭圆曲线上基于身份的线性同态代理签名算法产生同态消息认证码的签名，并利用对称加密算法将数据文件进行加密；代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器。

所述数据代理签名产生并上传步骤包括：

S31.将数据文件分为n个数据块其中每一个数据块下标i＝1,2,…,n，为模q上的m×n维矩阵，为模q上的m维向量；为了区分存储在云服务器数据文件的位置，为每个数据块确定一个唯一的有序标识符tag。

S32.代理签名者ID_p利用伪随机数发送器prg产生随机变量

代理签名者ID_p利用伪随机发生函数prf产生随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中i＝1,2,…,n。

S33.利用系数α＝(α₁,…,α_m)和系数β_i将数据块压缩m倍，产生同态消息认证码代理签名者ID_p利用代理签名私钥sk_pro产生每一个同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)，定义同态消息认证码σ_i的签名的集合为Ω＝{δ_i}_1≤i≤n。

产生同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)的方式为：选取随机数r_i∈Z_q，计算签名的第一个分量Q_i＝r_iP＝(μ_i,ν_i)，其中μ_i为椭圆曲线上点Q_i的横坐标，ν_i为椭圆曲线上点Q_i的纵坐标，计算签名的第二个分量ξ_i＝μ_imodq，签名的第三个分量ζ_i＝(ξ_ir_i+σ_isk_pro)modq，产生签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)。

S34.将数据文件加密为密文

将数据文件加密为密文的方式为：对于数据文件调用对称加密算法将数据块加密为从而将数据文件加密为密文

S35.代理签名者ID_p上传{F',Ω,tag}到云服务器，并在代理签名者ID_p本地端删除{F',Ω,tag}信息。

S4.审计证明产生与验证步骤：可信审计者产生审计挑战信息给云服务器；云服务器根据审计挑战信息计算审计证明响应信息，并将审计证明响应信息发送给可信审计者；可信审计者利用对称加密算法的对称密钥按照椭圆曲线上基于身份的线性同态代理签名算法的验证步骤来验证审计证明响应信息的有效性。

原始签名者ID_o授权远程数据完整性验证任务给可信审计者TPA，可信审计者TPA为第三方审计者。所述审计证明产生与验证包括：

S41.为了验证数据文件真实存在于云服务器，可信审计者TPA按照如下步骤产生挑战信息：

可信审计者TPA从集合{1,…,n}中随机选取含有θ个元素的子集选取 为挑战位置在i∈Ψ的对应数据块的随机匹配系数，然后可信审计者TPA发送挑战信息给云服务器，挑战信息定位了需要被验证的数据块；

S42.云服务器接收来自可信审计者TPA的审计挑战信息云服务器计算审计证明响应信息的步骤如下：

计算组合数据块其中j＝1,2,…,m。，以及计算聚合签名

云服务器发送审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}给可信审计者TPA；

S43.可信审计者TPA接收到来自云服务器发送的审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}后，可信审计者TPA执行以下审计验证步骤：

可信审计者TPA运用伪随机数发送器prg生成随机变量利用伪随机发生函数prf生成随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中下标i＝1,2,…,n；

可信审计者TPA计算用于审计验证方程的中间三个变量，分别为变量一:

变量二:变量三:

可信审计者TPA验证以下方程是否成立：

若成立则审计证明响应信息有效，若不成立则审计证明响应信息无效。

验证方程正确性推导过程如下：

为了进一步说明本发明的效果，现在将本发明的审计方法与文献(Identity-Based Data Outsourcing With Comprehensive Auditing in Clouds)中提出的对照方案进行计算开销比较与分析，首先对用到的符号进行定义，具体如下表1。

表1：符号定义

符号	定义
		TMu	椭圆曲线上的倍点运算运行时间
Tmu	普通乘法运算运行时间
		TBp	双线性对算法运行时间
TAd	椭圆曲线上两个点相加运行时间
		THa	哈希函数运行时间
TEX	模指数计算运行时间
		TEn	轻量级对称加密算法运行时间

数据仿真需要的实验环境如下：系统：Window 7；中央处理器：Intel Core(TM)i5-2310 CPU，频率：2.50GHz；内存条：8GB DDR 3(3.21GB可用)；所有算法实现的编程使用C语言，软件是MIRACL 5.6.1，其单个算法的运行时间如下表2。

表2：不同算法执行时间

符号	运行时间(毫秒，ms)
		TMu	2.1652
Tmu	0.0009
		TBp	5.4270
TAd	0.0132
		THa	0.0078
TEx	1.1700
		TEn	0.0008

本发明方案与对照方案在代理授权开销、代理签名开销比较具体如表3所示。

表3：代理授权与签名开销性能比较

将以上表3的性能比较数据表示成直观柱状图的形式，如图2所示。此外，本发明方案与对照方案在审计开销方面也具有突出的优势，在性能分析过程中，将审计开销视作代理授权验证开销和完整性验证开销的总和，具体见表4。

表4：审计开销比较

将以上表4的审计开销表示成与审计挑战数据块个数的函数关系，如图3所示。

通过性能分析与比较，容易看出，本发明方案在代理授权产生阶段、代理签名产生阶段，审计验证阶段，都具有明显的计算效率优势。特别是，如图2所示，当挑战的数据块数量为600时，对照方案的审计开销是本发明方案的17倍以上。随着挑战数据块数量的增加，两组方案中的审计开销差距将会变得更大，这主要是因为本发明方案采用轻量级椭圆曲线签名算法，以及轻量级对称加密算法，对照方案却需要计算开销大得多的双线性对运算与模指数运算。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

Claims (9)

1.基于身份的可代理上传数据的云存储高效审计方法，其特征在于，包括：

初始化步骤：设置基于椭圆曲线的数字签名算法的参数、哈希函数、对称加密算法、伪随机函数和伪随机数发生器；

代理签名者私钥产生步骤：原始签名者利用授权委托书、代理签名者的身份以及哈希函数生成代理签名授权凭证，并将代理签名授权凭证发送给代理签名者；代理签名者验证代理签名授权凭证的合法性与唯一性，若验证通过，则代理签名者接受代理、并根据授权委托书产生代理签名者私钥，若验证未通过，则代理签名者拒绝代理；

数据代理签名产生并上传步骤：代理签名者根据伪随机函数和伪随机数发生器计算数据文件的同态消息认证码，并利用代理签名者私钥和椭圆曲线上基于身份的线性同态代理签名算法产生同态消息认证码的签名，并利用对称加密算法将数据文件进行加密；代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器；

审计证明产生与验证步骤：可信审计者产生审计挑战信息给云服务器；云服务器根据审计挑战信息计算审计证明响应信息，并将审计证明响应信息发送给可信审计者；可信审计者利用对称加密算法的对称密钥按照椭圆曲线上基于身份的线性同态代理签名算法的验证步骤来验证审计证明响应信息的有效性。

2.根据权利要求1所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，所述初始化步骤包括：

定义一个在模q上的剩余类环Z_q上的椭圆曲线E，其中q是大素数，P是椭圆曲线E上阶为素数q的点、是循环群G＝<P>的生成元；

密钥产生中心PKG从剩余类环Z_q中选取一个随机数s，并计算P_pub＝sP，其中P_pub是密钥产生中心PKG的主公钥，s是密钥产生中心PKG的主私钥；

设置抗碰撞的哈希函数H₁:{0,1}^*→Z_q，哈希函数H₂:{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，以及哈希函数H₃:{0,1}^*×{0,1}^*×{0,1}^*×{0,1}^*×G→Z_q，其中{0,1}^*为随机的二进制比特串，G为椭圆曲线E上的循环群；

产生伪随机数发生器prg:和伪随机函数prf:SK_prf×I→Z_q，其中SK_prg是伪随机数发生器prg的私钥集合，SK_prf是伪随机函数prf的私钥集合，I为文件标识符与数据块排序位置集合；

随机选取对称密钥对(sk_prg,sk_prf)，其中sk_prg∈SK_prg,sk_prf∈SK_prf，对称密钥对(sk_prg,sk_prf)由原始签名者、代理签名者和可信审计者秘密共享；

产生对称加密算法和对称加密密钥τ；

公开参数Para＝(p,q,E,P_pub,H₁,H₂,H₃)。

3.根据权利要求2所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，所述代理签名者私钥产生步骤包括：

对于用户ID_i，用户ID_i为原始签名者ID_o或代理签名者ID_p，密钥产生中心PKG从Z_q中选择一个随机数并根据随机数计算随机变量和用户ID_i的私钥密钥产生中心PKG通过安全信道发送二元数组给用户ID_i；

当用户ID_i接收到二元数组后，验证方程是否有效，若有效，则说明是用户ID_i的私钥，否则用户ID_i重新向密钥产生中心PKG申请私钥；

原始签名者ID_o从剩余类环Z_q中选择一个随机数x，计算随机变量X＝xP以及授权委任书w的数字签名用户ID_o通过公开信道将代理签名授权凭证发送给代理签名者ID_p；

代理签名者ID_p收到代理签名授权凭证后，首先计算关于原始签名者ID_o的哈希函数值H₁(ID_o)以及关于四元数组(ID_o,ID_p,w,X)的哈希函数值H₂(ID_o,ID_p,X,w)，代理签名者ID_p按照如下方程验证原始签名者ID_o的代理签名授权凭证的有效性：若验证通过，则代理签名者ID_p接收原始签名者ID_o的代理授权；否则，代理签名者ID_p拒绝代理；

代理签名者ID_p从剩余类环Z_q中选择一个随机数η，并计算随机变量Y＝ηP和五元数组(ID_o,ID_p,w,y_w,Y)的哈希函数值H₃(ID_o,ID_p,w,y_w,Y)，然后计算代理签名私钥

4.根据权利要求3所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，代理签名授权凭证的有效性验证未通过时，代理签名者ID_p返回给原始签名者ID_o一个代理过程错误的参数。

5.根据权利要求3所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，所述数据代理签名产生并上传步骤包括：

将数据文件分为n个数据块其中每一个数据块下标i＝1,2,…,n，为模q上的m×n维矩阵，为模q上的m维向量；为每个数据块确定一个唯一的有序标识符tag；

代理签名者ID_p利用伪随机数发送器prg产生随机变量代理签名者ID_p利用伪随机发生函数prf产生随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中i＝1,2,…,n；

利用系数α＝(α₁,…,α_m)和系数β_i将数据块压缩m倍，产生同态消息认证码代理签名者ID_p利用代理签名私钥sk_pro产生每一个同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)，定义同态消息认证码σ_i的签名的集合为Ω＝{δ_i}_1≤i≤n；

将数据文件加密为密文

代理签名者ID_p上传{F',Ω,tag}到云服务器。

6.根据权利要求1所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器后，删除本地存储的同态消息认证码的签名和加密后的数据文件。

7.根据权利要求5所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，产生同态消息认证码σ_i的签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)的方式为：选取随机数r_i∈Z_q，计算签名的第一个分量Q_i＝r_iP＝(μ_i,ν_i)，其中μ_i为椭圆曲线上点Q_i的横坐标，ν_i为椭圆曲线上点Q_i的纵坐标，计算签名的第二个分量ξ_i＝μ_imod q，计算签名的第三个分量ζ_i＝(ξ_ir_i+σ_isk_pro)modq，产生签名δ_i＝(Q_i,ξ_i,ζ_i)(i＝1,…,n)。

8.根据权利要求5所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，将数据文件加密为密文的方式为：对于数据文件调用对称加密算法将数据块加密为1≤j≤m，从而将数据文件加密为密文

9.根据权利要求5所述的基于身份的可代理上传数据的云存储高效审计方法，其特征在于，所述审计证明产生与验证包括：

可信审计者TPA从集合{1,…,n}中随机选取含有θ个元素的子集Ψ＝{l₁,…,l_θ}，选取 为挑战位置在i∈Ψ的对应数据块的随机匹配系数，然后可信审计者TPA发送挑战信息给云服务器；

云服务器接收来自可信审计者TPA的审计挑战信息计算组合数据块其中j＝1,2,…,m。，以及计算聚合签名云服务器发送审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}给可信审计者TPA；

可信审计者TPA接收到来自云服务器发送的审计证明响应信息Proof＝(ρ_j,Q,ζ,w,y_w,tag)_{1≤j≤m}后，可信审计者TPA运用伪随机数发送器prg生成随机变量利用伪随机发生函数prf生成随机数β_i←prf(sk_prf,tag||i)∈Z_q，其中下标i＝1,2,…,n；

可信审计者TPA计算用于审计验证方程的中间三个变量，分别为变量一:变量二:变量三:

可信审计者TPA验证以下方程是否成立：

若成立则审计证明响应信息有效，若不成立则审计证明响应信息无效。