CN109784094B - 一种支持预处理的批量外包数据完整性审计方法及系统 - Google Patents

Abstract

本发明提出一种支持预处理的批量外包数据完整性审计方法，包括：数据持有者生成自己的公钥及私钥；数据持有者根据自己的公钥执行预计算过程生成离线数据处理参数；数据持有者根据自己的私钥和离线数据处理参数执行数据处理过程生成处理后的外包数据和数据标签；数据审计员根据数据持有者的公钥和多个数据标签执行预计算过程生成离线数据审计参数；数据审计员根据数据持有者的公钥和离线数据审计参数验证多个外包数据的数据标签，如果合法则生成一个挑战，并将该挑战发送给云存储服务器；根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证。

Description

一种支持预处理的批量外包数据完整性审计方法及系统

技术领域

本发明涉及信息安全密码领域，具体涉及一种支持预处理的批量外包数据完整性审计方法及系统。

背景技术

云计算技术近年来已取得极大的进步，越来越多的公司和企业选择借助于云平台为用户提供相关服务。通过云平台提供的数据存储服务，用户可以将其数据外包至云存储服务器，以降低在本地存储和管理数据的负担。但在云存储模式下的用户数据将由云存储服务器完全控制，如果用户数据在云端遭到篡改或误删等，用户将难以审计其数据的完整性。

在上述云存储背景下，研究人员已针对不同的应用场景提出了大量可公开验证的云存储数据完整性审计方案。这些方案的执行过程主要由两部分组成，其一是数据处理过程，其二是完整性审计协议，该协议要求数据审计员和云存储服务器进行交互。这两个执行过程均要求用户执行大量耗时的指数运算，因此计算效率较低，难以适用于用户计算能力较弱的设备。

为提升用户端计算效率，研究人员已提出了在线/离线云数据完整性审计技术和批量外包数据完整性审计技术。但前者仅提升了数据处理阶段的计算效率，使得数据持有者仅需执行轻量级的运算，不过离线阶段所生成的参数不能够在在线阶段重复使用，这也为用户存储离线参数提出了较高要求。另一方面，现有的批量外包数据完整性审计技术仅考虑如何在一轮完整性审计过程完成对多个外包的审计，从而节省用户端的计算资源和通信开销，但并未涉及如何提升数据处理阶段的效率。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种支持预处理的批量外包数据完整性审计方法及系统，旨在解决用户高效外包数据以及高效批量审计多个外包数据完整性的问题。

为实现上述目的及其他相关目的，本发明提供一种支持预处理的批量外包数据完整性审计方法，该方法包括：

数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥；

数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数；

数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签并上传至云存储服务器；

数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数；

数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，并将该挑战发送给云存储服务器；

云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；

数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性。

可选地，数据持有者的公钥表示为

私钥表示为sk＝(a,b,c,d)，其中，G和G_T分别表示阶为素数p的循环群，p为素数，循环群G的两个不同的生成元g₁和g₂分别表示循环群G的生成元，/>

G×G→G_T表示双线性映射运算，H₁(·)和H₂(·)分别表示抗碰撞哈希函数，a,b,c,d为Z_p域中的四个非0元素，

表示域Z_p的非零元素子集{1,2,..,p-1}。

可选地，所述数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数，具体包括：

数据持有者计算参数

和/>

其中，0≤j≤|p|-1，/>

得到一组离线数据处理参数/>

可选地，所述数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签，具体包括：

数据持有者随机选取一个唯一的数据标识符D_z，将数据M_z划分为n个数据块m_z,i，即M_z＝m_z,1||m_z,2||…||m_z,n，1≤z≤s，||表示字符串连接；

数据持有者随机选择Z_p域中的一个非0元素

计算得到数据处理参数

其中α_z[j]表示α_z的第j位二进制数值；

数据持有者对每个数据块m_z,i，随机选择Z_p域中的一个非0元素

计算参数β_z,i＝c(af_z,i+bH₁(D_z||i)+α_zm_z,i)modp以及元数据参数/>

其中β_z,i[j]表示β_z,i的第j位二进制数值，1≤i≤n；

数据持有者构造一个字符串τ_z'←D_z||n||w_z，随机选择Z_p域中的一个非0元素

计算/>

和t_z＝r_z+dH₂(Δ_z||τ_z')modp，得到τ_z←τ_z'||Δ_z||t_z，其中r_z[j]表示r_z的第j位二进制数值，τ_z表示数据M_z的数据标签，(Δ_z,t_z)共同构成字符串τ_z'的数字签名；

数据持有者得到处理后的外包数据

可选地，所述数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数，具体包括：

数据审计员计算参数

以及

得到一组离线数据审计参数/>

可选地，所述数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，具体包括：

数据审计员读取数据标签τ_z，分解所棕数据标签τ_z得到τ_z'、Δ_z和t_z，计算哈希函数值h_z＝H₂(Δ_z||τ_z')，并验证等式

是否成立，其中t[j]表示

的第j位二进制数值，h[j]表示/>

的第j位二进制数值；如若等式不成立，则终止执行后续步骤；

数据审计员从[1,n]中随机选取一个子集C，随机选取域Z_p中的|C|个非0元素

以及域Z_p中的s个非0元素/>

其中i∈C；

数据审计员得到挑战Γ＝{(i,υ_i):i∈C}∪{ρ_z：1≤z≤s}。

可选地，所述云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员，具体包括：

云存储服务器根据收到的挑战Γ，以及存储的s个外包数据

和对应的数据标签τ_z，计算聚合的元数据参数/>

和/>

云存储服务器对挑战Γ的每个外包数据/>

的数据块进行聚合，计算得到聚合的数据块/>

云存储服务器得到关于挑战Γ的响应

将该响应返回给数据审计员。

可选地，所述数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性，具体包括：

数据审计员计算参数

和/>

数据审计员计算参数

其中1≤z≤s；

数据审计员验证如下等式是否成立：

其中，θ[j]表示θ的第j位二进制数值，

表示/>

的第j位二进制数值，ξ_z[j]表示ξ_z的第j位二进制数值；如果上述等式成立，则表示s个外包数据/>

均在云存储服务器保存完整；否则表明至少某个外包数据已遭到破坏。

为实现上述目的及其他相关目的，本发明还提供一种支持预处理的批量外包数据完整性审计系统，该系统包括：

用户密钥生成模块，用于数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥；

数据外包预处理模块，用于数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数；

数据处理模块，用于数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签并上传至云存储服务器；

数据审计预处理模块，用于数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数；

完整性挑战生成模块，用于数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，并将该挑战发送给云存储服务器；

完整性响应模块，用于根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；

完整性审计模块，用于数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性。

如上所述，本发明的一种支持预处理的批量外包数据完整性审计方法及系统，具有以下有益效果：

本发明提供一种支持预处理的批量外包数据完整性审计方法，与现有的批量外包数据完整性验证方法相比进一步降低了数据审计员的计算任务。本方法允许数据持有者和数据审计员分别执行各自的预处理过程，生成相应的离线数据并进行保存，由于预处理过程不需要输入用户的私钥，因此可以委托给他人执行。数据持有者针对每个外包数据，使用预处理生成的离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签，此过程不再含有耗时的指数运算，仅包含轻量级的运算，因此适用于计算能力较弱的用户设备。在批量数据完整性审计阶段，数据审计员可以一次对多个外包数据的完整性进行审计，即通过和云存储服务器执行一次交互便可审计这些外包数据的完整性，由于使用预处理阶段生成的离线数据审计参数，因此数据审计员在执行完整性审计过程时也不需执行耗时的指数运算。

附图说明

为了进一步阐述本发明所描述的内容，下面结合附图对本发明的具体实施方式作进一步详细的说明。应当理解，这些附图仅作为典型示例，而不应看作是对本发明的范围的限定。

图1为本发明所述的一种支持预处理的批量外包数据完整性审计方法的流程图；

图2为本发明所述的一种支持预处理的批量外包数据完整性审计系统的系统架构图；

图3为本发明所述的一种支持预处理的批量外包数据完整性审计系统的框图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

为了使本领域技术人员对本发明的技术方案更加清晰的理解，先对本发明中的一些技术术语进行说明。

(1)数据持有者(Data Owner，DO)：计算自己的一对公钥和私钥，将公钥公开；可以在不输入私钥的前提下执行数据外包预处理过程，生成能够重复使用的离线数据处理参数；可以对自己每一个数据执行在线处理过程，利用自己的私钥和离线数据处理参数对数据进行处理，最后将处理后的数据和对应的数据标签外包到云存储服务器。

(2)数据审计员(DataAuditor，DA)：可根据数据持有者的公钥和数据标签执行数据完整性审计预处理过程，生成可重复使用的审计参数；能够从云存储服务器读取数据持有者的外包数据和对应的数据标签，并能够和云存储服务器执行挑战-响应-审计协议，一次对多个外包数据的完整性进行批量审计。

(3)云存储服务器(Cloud Storage Server，CS)：具有强大的数据存储和计算能力，能够为普通用户提供大规模数据存储服务，但不被用户完全信任。

本发明所涉及的一种支持预处理的批量外包数据完整性审计方法使用了双线性映射相关的数学知识，特在此作相关定义说明。

(1)定义一个函数映射

G×G→G_T将循环群G中的元素映射到循环群G_T中，其中G和G_T均是两个阶为素数p的循环群。双线性映射/>

需满足如下特性：

(1)双线性特性：对于任意δ,η∈G，任意x,y∈Z_p，均有

成立，其中Z_p＝{0,1,2,..,p-1}；

(2)非退化特性：群G中至少存在一个元素g，使得

为群G_T的生成元；

(3)高效性：存在有效的算法，使得对于任意δ,η∈G，可以有效计算出

的值。

本发明中使用的哈希函数具备两个基本特性：单向性和抗碰撞性；单向性是指从哈希函数的输入推导出输出是高效的，但从哈希函数的输出计算出其输入是不可行的；抗碰撞性是指无法找到两个不同的输入使其具有相同的哈希函数值。

如图1所示，本发明提供一种支持预处理的批量外包数据完整性审计方法，该方法包括以下步骤：

步骤1.数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥。

具体地，该步骤1具体包括以下子步骤：

步骤11：数据持有者输入系统安全参数l，运行初始化算法Θ(1^l)，输出两个阶为素数p的循环群G和G_T以及一个双线性映射运算

G×G→G_T；

其中，所述的初始化算法Θ(1^l)，其运行方法如下：数据持有者DO输入系统安全参数l，系统根据l的大小，选择相应的椭圆曲线：

(/>

和ψ为系数)，用椭圆曲线上的点构成两个素数p阶的循环群G和G_T，选择一种映射函数/>

将循环群G中的元素映射到循环群G_T中；一般，安全参数l数值越大，所选取的椭圆曲线上的点也越多，循环群也越大。

步骤12：数据持有者运行随机数生成算法，随机选择循环群G的两个不同的生成元g₁和g₂；

其中，所述的随机数生成算法，其方法如下：根据步骤11所选取的椭圆曲线

随机选择自变量X的一个值/>

计算对应因变量Y的值/>

若点/>

在所要映射的群中，则成功生成了随机元素；若点/>

不在群中，则继续重新选择X的值，直到找到出现在群中的点。

步骤13：数据持有者选择两种抗碰撞哈希函数H₁(·)和H₂(·)，抗碰撞哈希函数H₁(·)和H₂(·)满足抗碰撞哈希函数的所有特性。其中所述的抗碰撞哈希函数H₁(·)和H₂(·)能从Pairing-BasedCryptosystems库函数中调用运行。抗碰撞哈希函数H₁(·)的输入为任意长度字符串，输出为域Z_p中的一个元素；抗碰撞哈希函数H₂(·)的输入为任意长度字符串，输出为域Z_p中的一个元素。

步骤14：数据持有者随机选择Z_p域中的四个非0元素

计算

和/>

其中，

表示域Z_p的非零元素子集{1,2,..,p-1}，随机选择/>

中元素的函数能从Pairing-Based Cryptosystems库函数中调用运行。

最后，数据持有者的公钥表示为

私钥表示为sk＝(a,b,c,d)。

步骤2.数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数。

具体地，数据持有者计算参数

和/>

(0≤j≤|p|-1)，其中

得到一组离线的数据处理参数/>

步骤3.数据持有者针对每个数据M_z(1≤z≤s)，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的数据和数据标签并上传至云存储服务器。

具体地，该步骤3具体包括以下子步骤：为便于表述，本发明假设所有数据M_z(1≤z≤s)具有相同的长度。

步骤31：针对每个数据M_z(1≤z≤s)，数据持有者随机选取一个唯一的数据标识符D_z，将数据M_z划分为n个数据块m_z,i，即M_z＝m_z,1||m_z,2||…||m_z,n；

步骤32：针对每个数据M_z(1≤z≤s)，数据持有者随机选择Z_p域中的一个非0元素

计算得到数据处理参数/>

其中α_z[j]表示α_z的第j位(0≤j≤|p|-1)二进制数值；

步骤33：针对每个数据M_z(1≤z≤s)，数据持有者对每个数据块m_z,i(1≤i≤n)，随机选择Z_p域中的一个非0元素

计算参数βz_,i＝c(afz_,i+bH₁(D_z||i)+α_zm_z,i)modp以及元数据参数/>

其中，β_z,i[j]表示β_z,i的第j位(0≤j≤|p|-1)二进制数值；

步骤34：针对每个数据M_z(1≤z≤s)，数据持有者构造一个字符串τ_z'←D_z||n||w_z，随机选择Z_p域中的一个非0元素

计算/>

和t_z＝r_z+dH₂(Δ_z||τ_z')modp，得到τ_z←τ_z'||Δ_z||t_z，其中r_z[j]表示r_z的第j位(0≤j≤|p|-1)二进制数值，τ_z表示数据M_z的数据标签，(Δ_z,t_z)共同构成τ_z'的数字签名；

最后，对于每个数据M_z(1≤z≤s)，数据持有者得到处理后的数据

将其和数据标签τ_z一起上传至云存储服务器。

步骤4.数据审计员根据数据持有者的公钥和多个数据标签执行预计算过程，生成一组离线数据审计参数。

具体地，数据审计员计算参数

以及/>

其中0≤j≤|p|-1，1≤z≤s，得到一组离线数据审计参数

步骤5.数据审计员根据数据持有者的公钥和离线数据审计参数验证多个外包数据的数据标签，如果均合法则生成一个挑战，并将该挑战发送给云存储服务器。

具体地，该步骤5具体包括以下子步骤：

步骤51：数据审计员从云存储服务器读取数据标签τ_z(1≤z≤s)，分别分解数据标签τ_z得到τ_z'，Δ_z和t_z，计算哈希函数值h_z＝H₂(Δ_z||τ_z')，并验证等式

是否成立，其中t[j]表示/>

的第j位(0≤j≤|p|-1)二进制数值，h[j]表示/>

的第j位(0≤j≤|p|-1)二进制数值；如若上述等式不成立，则终止执行后续步骤；

步骤52：数据审计员从[1,n]中随机选取一个子集C，随机选取域Z_p中的|C|个非0元素

(i∈C)以及域Z_p中的s个非0元素/>

(1≤z≤s)；

最后，数据审计员得到挑战Γ＝{(i,υ_i):i∈C}∪{ρ_z：1≤z≤s}，并发送给云存储服务器。

步骤6.云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员。

具体地，该步骤6具体包括以下子步骤：

步骤61：云存储服务器根据收到的挑战Γ，以及存储的s个外包数据

和对应的数据标签τ_z，计算聚合的元数据参数/>

和/>

步骤62：云存储服务器对挑战的每个外包数据

(1≤z≤s)的数据块进行聚合，计算得到/>

最后，云存储服务器得到关于挑战Γ的响应

将该响应返回给数据审计员。

步骤7.数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性。

具体地，该步骤7具体包括以下子步骤：

步骤71：数据审计员计算参数

和/>

步骤72：数据审计员计算参数

其中1≤z≤s；

步骤73：数据审计员验证如下等式是否成立：

其中，θ[j]表示θ的第j位(0≤j≤|p|-1)二进制数值，

表示/>

的第j位(0≤j≤|p|-1)二进制数值，ξ_z[j]表示ξ_z的第j位(0≤j≤|p|-1，1≤z≤s)二进制数值；如果上述等式成立，则输出1，表示s个外包数据/>

(1≤z≤s)均在云存储服务器保存完整；否则，输出0，表明至少某个外包数据已遭到破坏。

综上所述，本发明提出了一种支持预处理的批量外包数据完整性审计方法。首先，综合使用预处理技术和批量完整性审计技术，一次审计过程可以完成对多个外包数据的完整性验证，大幅降低了数据审计员针对多个外包数据进行完整性审计的计算量；其次，数据持有者和数据审计员可以分别执行各自的预处理过程，得到相应的离线数据处理参数和离线数据审计参数，这些预处理结果可以重复使用，因此能够减轻数据持有者和数据审计员在预处理阶段的存储负担；最后，数据持有者和数据审计员的预处理过程均不要求输入用户的私钥，因此便于用户将各自的预计算过程委托给计算能力较强的其他用户执行，且在此过程中不会泄露用户的隐私。

本发明还提供一种支持预处理的批量外包数据完整性审计系统，其系统框架如图2所示。图3为一种支持预处理的批量外包数据完整性审计系统的原理框图，如图3所示，该系统包括：

用户密钥生成模块，数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥；

数据外包预处理模块，数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数；

数据处理模块，数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的数据和数据标签并上传至云存储服务器；

数据审计预处理模块，数据审计员根据数据持有者的公钥和多个数据标签执行预计算过程，生成一组离线数据审计参数；

完整性挑战生成模块，数据审计员根据数据持有者的公钥和离线数据审计参数验证多个外包数据的数据标签，如果均合法则生成一个挑战，并将该挑战发送给云存储服务器；

完整性响应模块，云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；

完整性审计模块，数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性。

本发明所述的一种支持预处理的批量外包数据完整性审计系统，不但实现了对多个外包数据的批量完整性审计，而且支持数据处理阶段和完整性审计阶段的预处理机制，使得数据外包过程仅包含轻量级运算，以及批量完整性审计过程不再要求数据审计员执行耗时的指数运算，极大减轻了数据持有者和数据审计员的计算负担，可运行于计算能力较弱的用户设备之上。

综上所述，本发明在云存储环境下使用该方法处理用户数据以及批量审计云端存储的数据完整性，在线阶段能够充分利用预处理阶段生成的参数以降低实时计算量，尤其在线数据处理过程仅需执行轻量级的运算，在线数据完整性审计过程用户端不再含有指数运算，解决了现有相关批处理完整性审计方案要求用户执行大量耗时的指数运算的问题。该方法的优点和功效是：

本发明方法在外包数据完整性审计阶段同时支持预处理和批量数据审计机制，使得数据审计员实时计算任务不再包含耗时的指数运算，且对于多个外包数据的批量完整性审计只需执行两个双线性对运算，因此具有较高的计算效率。

本发明方法在数据外包预处理模块和数据审计预处理模块生成的离线参数均可重复使用，使得数据持有者不需针对不同的外包数据单独生成离线数据处理参数，并且数据审计员也不需针对不同轮次的审计过程单独生成离线数据审计参数。

3)本发明方法的数据外包预处理模块和数据审计预处理模块均不要求输入用户的私钥，因此用户可以在设备空闲阶段执行预处理过程，也可将各自的预处理过程授权给其他具有较强计算能力的用户执行，在进一步降低预处理过程计算负担的同时不会泄露用户的私钥。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。

Claims (5)

1.一种支持预处理的批量外包数据完整性审计方法，其特征在于，该方法包括：

数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥；

数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数；

数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签并上传至云存储服务器；

数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数；

数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，并将该挑战发送给云存储服务器；

云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；

数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性；

所述数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签，具体包括：

数据持有者随机选取一个唯一的数据标识符D_z，将数据M_z划分为n个数据块m_z,i，即M_z＝m_z,1||m_z,2||…||m_z,n，1≤z≤s，||表示字符串连接；

数据持有者随机选择Z_p域中的一个非0元素

计算得到数据处理参数

其中α_z[j]表示α_z的第j位二进制数值；

数据持有者对每个数据块m_z,i，随机选择Z_p域中的一个非0元素

计算参数β_z,i＝c(af_z,i+bH₁(D_z||i)+α_zm_z,i)modp以及元数据参数/>

其中β_z,i[j]表示β_z,i的第j位二进制数值，1≤i≤n；

数据持有者构造一个字符串τ_z'←D_z||n||w_z，随机选择Z_p域中的一个非0元素

计算/>

和t_z＝r_z+dH₂(Δ_z||τ_z')modp，得到τ_z←τ_z'||Δ_z||t_z，其中r_z[j]表示r_z的第j位二进制数值，τ_z表示数据M_z的数据标签，(Δ_z,t_z)共同构成字符串τ_z'的数字签名；

数据持有者得到处理后的外包数据

所述数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数，具体包括：

数据审计员计算参数

以及

得到一组离线数据审计参数/>

/>

数据持有者的公钥表示为

私钥表示为sk＝(a,b,c,d)，其中，G和G_T分别表示阶为素数p的循环群，p为素数，循环群G的两个不同的生成元g₁和g₂分别表示循环群G的生成元，/>

表示双线性映射运算，H₁(·)和H₂(·)分别表示抗碰撞哈希函数，a,b,c,d为Z_p域中的四个非0元素，/>

表示域Z_p的非零元素子集{1,2,..,p-1}；

所述数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数，具体包括：

数据持有者计算参数

和/>

其中，0≤j≤|p|-1，/>

得到一组离线数据处理参数/>

2.根据权利要求1所述的一种支持预处理的批量外包数据完整性审计方法，其特征在于，所述数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，具体包括：

数据审计员读取数据标签τ_z，分解所棕数据标签τ_z得到τ_z'、Δ_z和t_z，计算哈希函数值h_z＝H₂(Δ_z||τ_z')，并验证等式

是否成立，其中t[j]表示

的第j位二进制数值，h[j]表示/>

的第j位二进制数值；如若等式不成立，则终止执行后续步骤；

数据审计员从[1,n]中随机选取一个子集C，随机选取域Z_p中的|C|个非0元素

以及域Z_p中的s个非0元素/>

其中i∈C；

数据审计员得到挑战Γ＝{(i,υ_i):i∈C}∪{ρ_z：1≤z≤s}。

3.根据权利要求2所述的一种支持预处理的批量外包数据完整性审计方法，其特征在于，所述云存储服务器根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员，具体包括：

云存储服务器根据收到的挑战Γ，以及存储的s个外包数据

和对应的数据标签τ_z，计算聚合的元数据参数/>

和/>

云存储服务器对挑战Γ的每个外包数据

的数据块进行聚合，计算得到聚合的数据块/>

云存储服务器得到关于挑战Γ的响应

将该响应返回给数据审计员。

4.根据权利要求3所述的一种支持预处理的批量外包数据完整性审计方法，其特征在于，所述数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性，具体包括：

数据审计员计算参数

和/>

数据审计员计算参数

其中1≤z≤s；

数据审计员验证如下等式是否成立：

其中，θ[j]表示θ的第j位二进制数值，θ[j]表示θ的第j位二进制数值，ξ_z[j]表示ξ_z的第j位二进制数值；如果上述等式成立，则表示s个外包数据

均在云存储服务器保存完整；否则表明至少某个外包数据已遭到破坏。

5.一种支持预处理的批量外包数据完整性审计系统，应用于权利要求1所述的支持预处理的批量外包数据完整性审计方法，其特征在于，该系统包括：

用户密钥生成模块，用于数据持有者选取安全参数和抗碰撞哈希函数，生成自己的公钥及私钥；

数据外包预处理模块，用于数据持有者根据自己的公钥执行预计算过程，生成一组离线数据处理参数；

数据处理模块，用于数据持有者针对每个数据，根据自己的私钥和离线数据处理参数执行数据处理过程，生成处理后的外包数据和数据标签并上传至云存储服务器；

数据审计预处理模块，用于数据审计员根据数据持有者的公钥和多个所述数据标签执行预计算过程，生成一组离线数据审计参数；

完整性挑战生成模块，用于数据审计员根据数据持有者的公钥和所述离线数据审计参数验证多个外包数据的数据标签，如果多个所述外包数据的数据标签均合法则生成一个挑战，并将该挑战发送给云存储服务器；

完整性响应模块，用于根据存储的多个外包数据对收到的挑战计算一个响应，并将该响应回复给数据审计员；

完整性审计模块，用于数据审计员根据数据持有者的公钥和离线数据审计参数对收到的响应进行验证，以判断所挑战的多个外包数据的完整性。

Images