CN110912706A - 一种基于身份的动态数据完整性审计方法 - Google Patents

Abstract

本发明涉及一种基于身份的动态数据完整性审计方法，基于私钥生成机构、客户端、第三方审计中心和云存储服务器实现。私钥生成机构生成私钥秘密交付给客户端；客户端执行文件预处理操作后将文件存储于云服务器，向第三方审计中心发送挑战请求来验证数据是否完整；第三方审计中心接收挑战请求，生成挑战信息发送给云服务器；云服务器接收挑战信息后生成证据信息返回给第三方审计中心；第三方审计中心验证数据是否完整，并将验证结果发送给客户端。本发明与现有技术相比，无需部署PKI即可认证客户端的身份，减少了资源消耗，且支持云存储数据的动态更新，能够保护动态数据的完整性。

Description

一种基于身份的动态数据完整性审计方法

技术领域

本发明属于网络安全领域，具体涉及一种基于身份的动态数据完整性审计方法。

背景技术

随着计算机技术的普及和云计算的发展，云存储因其低廉的价格、高效的存储效率以及丰富的用户个性化定制服务受到了越来越多的企业和用户的青睐。用户只需将数据上传至云服务器，就可以实现不同设备之间数据的共享。云存储极大的释放了用户本地空间，用户不需要存放数据副本，可以根据自己的实际需求决定何时上传和下载存储在云服务器上的文件，保证了用户数据存储的灵活性。

然而，由于用户数据只存储在云服务器，且不存在第三方机构对数据存储过程进行监督，云存储面临着严竣的安全挑战。当用户选择云存储服务时，用户自身不会保存数据副本文件，导致用户无法对其存放在服务器上的数据进行有效的监督，也无法保证其存储在云服务器上的数据完整性。当用户将数据存储到云服务器中时，可能面临以下数据破坏的行为^[3]：服务器出现软件或者硬件上的问题致使数据丢失；存储在云服务器中的数据遭到其他人恶意破坏；云服务提供商未遵守用户隐私协议，为了降低成本，擅自删除一些访问频率低的数据。因此在现有的云存储服务中，用户存储于云服务器上的数据无法得到有效保护，用户也无法及时发现服务器损坏数据的行为。因此保证云存储技术中用户数据的完整性显得尤为重要。

最初的解决方案是通过下载云服务器中的文件与原始数据文件进行比较，然而对于云服务器中存储了海量数据的情况，该方案中上传下载文件将面临极大的通信代价。针对此问题，研究者们提出了许多数据完整性审计方案。数据完整性审计指的是用户在删除了本地数据副本、且无需下载原数据的情况下，利用预先生成的数据标签进行计算，验证云服务器上存储的用户数据是否遭到了篡改。然而，目前基于身份的数据完整性审计方案大多只支持静态数据的问题，如何在保证基于身份的数据完整性审计的同时实现数据的动态更新，具有十分广阔的研究意义和应用价值。

发明内容

针对现有技术的不足，提供一种基于身份的动态数据完整性审计方法。

本发明的技术方案如下：

一种基于身份的动态数据完整性审计方法，包括步骤如下：

步骤1：私钥生成机构运行初始化算法，生成公共参数param、主公钥mpk和主私钥msk，具体表述为：

步骤1.1：首先生成阶数为素数q的加法群G₁，以及阶数为素数q的乘法循环群G₂，然后选择G₁的生成元g，定义离散对数问题中的加法群为G₁，乘法循环群为G₂，群G₁和G₂满足双线性映射e:G₁×G₂→G₂，选取四个密码学哈希函数H₁、H₂、H、h，具体表示为

令公共参数param＝{G₁,G₂,e,q,g,H₁,H₂,H,h}；

步骤1.2：令主私钥为msk，选择随机数x作为主私钥，即主私钥msk＝x，且x满足x∈Z_q，Z_q表示[0,q-1]的整数；

步骤1.3：计算主公钥mpk＝g^x；

步骤1.4：公开公共参数param和主公钥mpk，秘密保存主私钥msk；

步骤2：客户端与私钥生成机构交互，运行身份密钥生成算法，使用客户端ID、主公钥mpk、主私钥msk和公共参数param作为输入，私钥生成机构获取ID生成基于身份的私钥SK_ID，通过可信信道传递给客户端，具体表述为：

步骤2.1：选择随机数k∈Z_q，Z_q表示[0,q-1]的整数；

步骤2.2：通过哈希函数H₂计算得到Q_ID＝H₂(ID)，d_ID＝Q_ID ^x；

步骤2.3：计算K＝g^k，α＝k+xH(ID,K)modq；

步骤2.4：定义SK_ID＝(d_ID,K,α)为私钥，将私钥SK_ID通过可信信道发送给客户端；

步骤3：客户端运行密钥验证算法，验证收到的私钥的正确性，具体表述为：

步骤3.1：利用SK_ID中的α计算v＝g^α；

步骤3.2：判断等式v＝K·mpk^H(ID,K)是否成立，若成立则接收SK_ID，并输出TRUE，若不成立，则拒绝SK_ID，并输出FALSE；

步骤4：设计基于身份的数字签名算法，定义M为一串消息，通过调用身份签名算法SigID()使用私钥SK_ID对消息M进行数字签名，具体表述为：

步骤4.1：选取随机数r∈Z_q，计算Q_ID＝H₂(ID)，利用Q_ID计算U＝Q_ID ^r；

步骤4.2：通过哈希函数H₁计算得到p＝H₁(M,U)；

步骤4.3：利用私钥SK_ID中的d_ID计算V＝d_ID ^r+p；

步骤4.4：将SigID(M)＝(U,V)表示为消息M的签名；

步骤5：客户端在将文件传输到云存储服务器上之前，运行文件预处理算法，对文件进行预处理；

步骤6：第三方审计中心运行挑战算法，生成挑战信息发送给云存储服务器，使用挑战-应答形式实现数据完整性审计；

步骤7：云存储服务器接收到第三方审计中心的验证请求后，运行证据生成算法，根据验证请求查找Merkle哈希树中的数据，计算出证据P交付给第三方审计中心；

步骤8：第三方审计中心根据云存储服务器提供的证据P，运行验证算法，对存储的数据的完整性进行验证；

步骤9：当客户端发出更新请求时，由云存储服务器运行更新算法执行更新请求操作，所述更新请求操作包括数据修改操作、数据插入操作、数据删除操作，具体表述为Type＝{INSERT,DELETE,MODIFY}，客户端需要重新计算得出需要更新的新文件块对应的标签值，更新标签集，最后将更新后的新文件块、根节点签名和新标签集同步到云存储服务器上，即完成一次更新操作。

所述的步骤5具体表述为：

步骤5.1：将原始文件F分割为n份，记作F＝{m₁,m₂,...,m_n}；

步骤5.2：选择随机数u∈Z_q，将文件名name、文件分割的块数n和随机数u连接记作M₁＝name||n||u，使用身份签名算法SigID()对M₁进行签名

并输出(U₁,V₁)，其中U₁＝Q_ID ^r，定义p₁＝H₁(M₁,U₁)，

步骤5.3：对于原始文件F的每一个文件块m_i(i＝1,2,...,n)生成同态验证标签

m_i指原始文件F中的每一个文件块；

步骤5.4：定义一个集合Φ存储所有文件块m_i的同态验证标签σ_i，表示为Φ＝{σ_i}，(i＝1,2,...,n)；

步骤5.5：构建Merkle哈希树，具体过程如下：

步骤5.5.1：在每一个Merkle哈希树的叶子节点中存储value为m_i的哈希值H(m_i)，即h_i＝h(H(m_i))；

步骤5.5.2：在每一个Merkle哈希树的非叶子节点中，存储的value是由两个孩子节点的value共同构成的Hash值，非叶子节点h(a)计算为h_a＝h(h₁||h₂)，非叶子节点h(b)计算为h_b＝h(h₃||h₄)，非叶子节点h(r)计算为h_r＝h(h_a||h_b)；

步骤5.6：构建出Merkle哈希树后得到根节点h_r，利用身份签名算法SigID()将根节点签名，计算

并输出

其中

步骤5.7：客户端不保存任何数据，将数据

发送给云存储服务器。

所述的步骤6具体表述为：

步骤6.1：利用

计算出H₁(M₁,U₁)并赋值给p₁，然后计算

步骤6.2：使用双线性配对e(g,V₁)＝e(mpk,Q₁)验证签名

是否正确，以及验证存储的文件信息M₁是否正确，若等式成立，则验证正确，继续执行步骤6.3，若不成立，则终止；

步骤6.3：使用随机抽查策略抽取小于n的随机数s_τ构成集合I＝{s₁,s₂,...,s_τ,...,s_c}，且满足s_τ≤s_τ+1＜n，τ＝1,2,…,c，c表示集合I的元素总数；

步骤6.4：第三方审计中心选择随机数ω_i与集合I中任意一个随机数s_τ对应，且满足ω_i≠s_τ；

步骤6.5：生成挑战信息chal，则

其中i表示需要被验证的文件块m_i的位置，将挑战信息chal发送给云存储服务器。

所述的步骤7具体表述为：

步骤7.1：根据挑战信息chal中的随机数ω_i和i对应的文件块m_i计算出

且满足μ∈Z_q；

步骤7.2：查找挑战信息chal中文件块m_i对应的同态验证标签σ_i，计算

步骤7.3：每一个文件块m_i的辅助认证路径记作

云存储服务器将文件块m_i的哈希值H(m_i)和对应的辅助认证路径

作为一个键值对放入证据列表中；

步骤7.4：定义证据

云存储服务器将证据P发送给第三方审计中心进行验证。

所述的步骤8具体表述为：

步骤8.1：利用证据P中的

计算出Merkle哈希树根节点的摘要值h_r；

步骤8.2：利用证据P中的

计算

和

步骤8.3：判断等式

是否成立，若成立，说明云存储服务器端的Merkle哈希树的根节点正确，继续执行步骤8.4，如果不相等，算法终止并返回FALSE；

步骤8.4：验证抽查的文件块m_i是否是正确的，即判断等式

是否成立，等式左右相等说明数据保存完整，返回TRUE，否则证明数据完整性遭到破坏，终止并返回FALSE。

所述步骤9中的数据修改操作，具体表述为：

步骤9.1.1：定义文件块m_i修改后的数据块为m_i'，首先计算m_i'对应的标签

步骤9.1.2：客户端执行update＝(M,i,m_i',σ_i')，将修改请求发送给云服务器，其中E表示修改操作，i表示数据块m_i所在的位置，m_i'表示修改后的文件块；

步骤9.1.3：云存储服务器收到客户端的修改请求，执行ExecUpdate(F,Φ,update)操作，首先将m_i替换成m_i'，然后更新标签

和标签集φ'，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h'_r)，返还给客户端；

步骤9.1.4：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点的摘要值h_r，验证

是否相等，相等则继续步骤9.1.5，不相等则算法中止，并返回FALSE；

步骤9.1.5：如果m_i的根节点验算正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m_i'的根节点值h'_r，计算新的根节点签名值SigID(h'_r)；

步骤9.1.6：客户端发送m_i'的根节点签名值SigID(h'_r)到云存储服务器端；

步骤9.1.7：最后客户端再一次委托第三方审计中心进行一次挑战-应答验证操作，验证修改后的数据的正确性；

所述步骤9中的数据插入操作，具体表述为：

步骤9.2.1：定义插入到m_i之后的插入文件块为m'，首先计算出m'对应的新标签值σ'＝(H(m')·u^m')^α，然后执行update＝(I,i,m',σ')操作发送插入请求给云存储服务器，其中I代表插入操作，i表示数据块m_i所在的位置，m'表示需要插入的文件块；

步骤9.2.2：云存储服务器收到客户端的插入请求，执行ExecUpdate(F,Φ,update)操作，首先将m'作为叶子节点插入到m_i之后，生成新的Merkle哈希树节点，然后更新标签σ'＝(H(m')·u^m')^α和标签集φ'，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h'_r)发送给客户端；

步骤9.2.3：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，验证

是否相等，相等则继续步骤9.2.4，不相等则算法中止，并返回FALSE；

步骤9.2.4：如果m_i的根节点验证正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m'根节点值h_r'，计算新的标签签名SigID(h'_r)，然后发送新的标签签名SigID(h'_r)至云存储服务器端进行更新，然后客户端删除更新过程中生成的临时数据；

步骤9.2.5：最后客户端委托第三方审计中心进行一次挑战-应答操作，验证插入之后的数据的正确性；

所述的步骤9中的数据删除操作，具体表述为：

步骤9.3.1：当删除节点m_i时，将m_i的兄弟节点高度减1，云存储服务器接收到客户端delete操作请求之后，将m_i删除，重建Merkle哈希树生成新的根节点h′_r，更新标签集φ'；

步骤9.3.2：向客户端发送证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)，客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，判断

是否相等，若相等，则云存储服务器会收到客户端新的根节点签名，若不相等，则算法中止，并返回FALSE；

步骤9.3.3：最后客户端委托第三方审计中心进行挑战-应答操作，确保删除操作之后的数据是正确的。

本发明的有益效果：

在实际场景中用户对于其存储在云服务器上的数据进行大量更改不可避免，本发明针对动态存储操作，对动态数据的完整性实现了有效的审计。本发明提出了一种基于身份的数据完整性审计方案，与现有技术相比，无需部署PKI即可认证客户端的身份，减少了资源消耗，并且本发明支持数据的动态更新，能够保护动态数据的完整性。

附图说明

图1为本发明具体实施方式的一种基于身份的动态数据完整性审计方法的实体架构示意图；

图2为本发明具体实施方式的一种基于身份的动态数据完整性审计方法的实体间通信协议图；

图3为本发明具体实施方式的Merkle哈希树的构造示意图；

图4为本发明具体实施方式的数据修改操作示意图；

图5为本发明具体实施方式的数据插入操作示意图；

图6为本发明具体实施方式的数据删除操作示意图；

图7为本发明具体实施方式的验证时间测试结果；

图8为本发明具体实施方式的生成证据时间测试结果；

图9为本发明具体实施方式的挑战信息通信开销测试结果；

图10为本发明具体实施方式的证据通信开销测试结果。

具体实施方式

下面结合附图对本发明具体实施方式加以详细的说明。

本发明中的一种基于身份的动态数据完整性审计方法，基于私钥生成机构、第三方审计中心、客户端、云存储服务器四方实体设计的，这四方实体的具体架构图如图1所示，

私钥生成机构：主要负责客户端私钥的生成，它接收客户端用户身份信息，基于身份信息生成私钥，通过可信信道传输给客户端；

客户端：客户端包含一个或多个用户，每个用户都可以对云存储服务器的数据进行完整性挑战，通过向第三方审计中心发送挑战请求来验证数据是否完整；

第三方审计中心：主要功能是与客户端和云存储服务器进行交互，它接收客户端的挑战请求，同时生成挑战信息发送给云存储服务器，它与服务器交互，执行证据验证算法，验证数据是否完整，并将审计结果发送给客户端；

云存储服务器：主要功能是存储数据和生成证据功能，服务器接收到挑战信息后会执行证据生成算法，生成能够证明数据是否完整的证据并发送给第三方审计中心；

四方实体之间的交互主要包括：私钥生成机构接收用户ID生成对应密钥对交付给客户端；客户端使用密钥对文件进行预处理，然后将文件存储于云服务器；第三方审计中心接收用户委托生成挑战信息并接收和验证云服务器提供的证据；云服务器接收来自第三方审计中心的挑战信息，计算生成证据信息。

本实施例采用Java编程语言，利用JPBC包实现双线性配对、大整数运算等操作，利用云服务器以及实体机分别为系统中的第三方审计中心、云存储服务器服务器、客户端、私钥生成机构搭建测试环境，系统中部署各个实体的测试环境如表1所示。

表1测试环境

如图2所示，基于私钥生成机构、第三方审计中心、客户端、云存储服务器之间的交互关系以及通信流程，一种基于身份的动态数据完整性审计方法，具体实施方法包括步骤如下：

步骤1：私钥生成机构运行初始化算法，生成公共参数param、主公钥mpk和主私钥msk，具体表述为：

步骤1.1：首先生成阶数为素数q的加法群G₁，以及阶数为素数q的乘法循环群G₂，然后选择G₁的生成元g，定义离散对数问题中的加法群为G₁，乘法循环群为G₂，群G₁和G₂满足双线性映射e:G₁×G₂→G₂，选取四个密码学哈希函数H₁、H₂、H、h，具体表示为

令公共参数param＝{G₁,G₂,e,q,g,H₁,H₂,H,h}；

步骤1.2：令主私钥为msk，选择随机数x作为主私钥，即主私钥msk＝x，且x满足x∈Z_q，Z_q表示[0,q-1]的整数；

步骤1.3：计算主公钥mpk＝g^x；

步骤1.4：公开公共参数param和主公钥mpk，秘密保存主私钥msk；

步骤2：客户端与私钥生成机构交互，运行身份密钥生成算法，使用客户端ID、主公钥mpk、主私钥msk和公共参数param作为输入，私钥生成机构获取ID生成基于身份的私钥SK_ID，通过可信信道传递给客户端，具体表述为：

步骤2.1：选择随机数k∈Z_q，Z_q表示[0,q-1]的整数；

步骤2.2：通过哈希函数H₂计算得到Q_ID＝H₂(ID)，d_ID＝Q_ID ^x；

步骤2.3：计算K＝g^k，α＝k+xH(ID,K)modq；

步骤2.4：定义SK_ID＝(d_ID,K,α)为私钥，将私钥SK_ID通过可信信道发送给客户端；

步骤3：客户端运行密钥验证算法，验证收到的私钥的正确性，具体表述为：

步骤3.1：利用SK_ID中的α计算v＝g^α；

步骤3.2：判断等式v＝K·mpk^H(ID,K)是否成立，若成立则接收SK_ID，并输出TRUE，若不成立，则拒绝SK_ID，并输出FALSE；

步骤4：设计基于身份的数字签名算法，定义M为一串消息，通过调用身份签名算法SigID()使用私钥SK_ID对消息M进行数字签名，具体表述为：

步骤4.1：选取随机数r∈Z_q，计算Q_ID＝H₂(ID)，利用Q_ID计算U＝Q_ID ^r；

步骤4.2：通过哈希函数H₁计算得到p＝H₁(M,U)；

步骤4.3：利用私钥SK_ID中的d_ID计算V＝d_ID ^r+p；

步骤4.4：将SigID(M)＝(U,V)表示为消息M的签名；

步骤5：客户端在将文件传输到云服务器上之前，运行文件预处理算法，对文件进行预处理，具体表述为：

步骤5.1：将原始文件F分割为n份，记作F＝{m₁,m₂,...,m_n}；

步骤5.2：选择随机数u∈Z_q，将文件名name、文件分割的块数n和随机数u连接记作M₁＝name||n||u，使用身份签名算法SigID()对M₁进行签名

并输出(U₁,V₁)，其中U₁＝Q_ID ^r，定义p₁＝H₁(M₁,U₁)，

步骤5.3：对于原始文件F的每一个文件块m_i(i＝1,2,...,n)生成同态验证标签

m_i指原始文件F中的每一个文件块；

步骤5.4：定义一个集合Φ存储所有文件块m_i的同态验证标签σ_i，表示为Φ＝{σ_i}，(i＝1,2,...,n)；

步骤5.5：构建Merkle哈希树，Merkle哈希树的构造示意图如图3所示，具体构建过程如下：

步骤5.5.1：在每一个Merkle哈希树的叶子节点中存储value为m_i的哈希值H(m_i)，即h_i＝h(H(m_i))；

步骤5.5.2：在每一个Merkle哈希树的非叶子节点中，存储的value是由两个孩子节点的value共同构成的Hash值，非叶子节点h(a)计算为h_a＝h(h₁||h₂)，非叶子节点h(b)计算为h_b＝h(h₃||h₄)，非叶子节点h(r)计算为h_r＝h(h_a||h_b)；

步骤5.6：构建出Merkle哈希树后得到根节点h_r，利用身份签名算法SigID()将根节点签名，计算

并输出

其中

步骤5.7：客户端不保存任何数据，将数据

发送给云存储服务器。

步骤6：第三方审计中心运行挑战算法，生成挑战信息发送给云存储服务器，使用挑战-应答形式实现数据完整性审计，具体表述为：

步骤6.1：利用

计算出H₁(M₁,U₁)并赋值给p₁，然后计算

步骤6.2：验证签名

是否正确，通过使用双线性配对e(g,V₁)＝e(mpk,Q₁)进行验证，验证存储的文件信息M₁是否正确，若等式成立，则验证正确，继续执行步骤6.3，若不成立，则终止；

步骤6.3：使用随机抽查策略抽取小于n的随机数s_τ构成集合I＝{s₁,s₂,...,s_τ,...,s_c}，且满足s_τ≤s_τ+1＜n，τ＝1,2,…,c，c表示集合I的元素总数；

步骤6.4：第三方审计中心选择随机数ω_i与集合I中任意一个随机数s_τ对应，且满足ω_i≠s_τ；

步骤6.5：生成挑战信息chal，则

其中i表示需要被验证的文件块m_i的位置，将挑战信息chal发送给云存储服务器，此时的i经过随机抽查策略抽取之后范围缩小为i∈{s₁,s₂,...,s_τ,...,s_c}。

步骤7：云存储服务器接收到第三方审计中心的验证请求后，运行证据生成算法，根据验证请求查找Merkle哈希树中的数据，计算出证据P交付给第三方审计中心，具体表述为：

步骤7.1：根据挑战信息chal中的随机数ω_i和i对应的文件块m_i计算出

且满足μ∈Z_q；

步骤7.2：查找挑战信息chal中文件块m_i对应的同态验证标签σ_i，计算

步骤7.3：对于一个文件块H(m_i)它的辅助认证路径是其兄弟节点，父亲的兄弟节点，祖父的兄弟节点，以此类推，这样保证了使用最少节点数量即可计算出Merkle哈希树的根节点，每一个文件块m_i的辅助认证路径记作

云存储服务器将文件块m_i的哈希值H(m_i)和对应的辅助认证路径

作为一个键值对放入证据列表中；

步骤7.4：定义证据

云存储服务器将证据P发送给第三方审计中心进行验证。

步骤8：第三方审计中心根据云存储服务器提供的证据P，运行验证算法，对存储的数据的完整性进行验证，具体表述为：

步骤8.1：利用证据P中的

计算出Merkle哈希树根节点的摘要值h_r；

步骤8.2：利用证据P中的

计算

和

步骤8.3：判断等式

是否成立，若成立，说明云存储服务器端的Merkle哈希树的根节点正确，继续执行步骤8.4，如果不相等，算法终止并返回FALSE；

步骤8.4：步骤8.3验证了根节点正确，但是并不代表数据完整性没有遭到破坏，因为云服务器存在只存储Merkle哈希树路径值的情况，还验证抽查的文件块m_i是否是正确的，即判断等式

是否成立，等式左右相等说明数据保存完整，返回TRUE，否则证明数据完整性遭到破坏，终止并返回FALSE。

步骤9：当客户端发出更新请求时，由云存储服务器运行更新算法执行更新请求操作，所述更新请求操作包括数据修改操作、数据插入操作、数据删除操作，具体表述为Type＝{INSERT,DELETE,MODIFY}，客户端需要重新计算得出需要更新的新文件块对应的标签值，更新标签集，最后将更新后的新文件块、根节点签名和新标签集同步到云存储服务器上，即完成一次更新操作；

其中数据修改操作的示意图如图4所示，具体表述为：

步骤9.1.1：定义文件块m_i修改后的数据块为m_i'，首先计算m_i'对应的标签

步骤9.1.2：客户端执行update＝(M,i,m_i',σ_i')，将修改请求发送给云服务器，其中E表示修改操作，i表示数据块m_i所在的位置，m_i'表示修改后的文件块；

步骤9.1.3：云存储服务器收到客户端的修改请求，执行ExecUpdate(F,Φ,update)操作，首先将m_i替换成m_i'，然后更新标签

和标签集φ'，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)，返还给客户端；

步骤9.1.4：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点的摘要值h_r，验证

是否相等，相等则继续步骤9.1.5，不相等则算法中止，并返回FALSE；

步骤9.1.5：如果m_i的根节点验算正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m_i'的根节点值h′_r，计算新的根节点签名值SigID(h′_r)；

步骤9.1.6：客户端发送m_i'的根节点签名值SigID(h′_r)到云存储服务器端；

步骤9.1.7：最后客户端再一次委托第三方审计中心进行一次挑战-应答验证操作，验证修改后的数据的正确性；

其中数据插入操作，具体表述为：

步骤9.2.1：定义插入到m_i之后的插入文件块为m'，首先计算出m'对应的新标签值σ'＝(H(m')·u^m')^α，然后执行update＝(I,i,m',σ')操作发送插入请求给云存储服务器，其中I代表插入操作，i表示数据块m_i所在的位置，m'表示需要插入的文件块；

步骤9.2.2：云存储服务器收到客户端的插入请求，执行ExecUpdate(F,Φ,update)操作，首先将m'作为叶子节点插入到m_i之后，生成新的Merkle哈希树节点，然后更新标签σ'＝(H(m')·u^m')^α和标签集φ'，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h'_r)发送给客户端；

步骤9.2.3：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，验证

是否相等，相等则继续步骤9.2.4，不相等则算法中止，并返回FALSE；

步骤9.2.4：如果m_i的根节点验证正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m'根节点值h_r'，计算新的标签签名SigID(h'_r)，然后发送新的标签签名SigID(h'_r)至云存储服务器端进行更新，然后客户端删除更新过程中生成的临时数据；

步骤9.2.5：最后客户端委托第三方审计中心进行一次挑战-应答操作，验证插入之后的数据的正确性，操作示意图如图5所示；

其中数据删除操作，具体表述为：

步骤9.3.1：当删除节点m_i时，将m_i的兄弟节点高度减1，云存储服务器接收到客户端delete操作请求之后，将m_i删除，重建Merkle哈希树生成新的根节点h′_r，更新标签集φ'；

步骤9.3.2：向客户端发送证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)，客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，判断

是否相等，若相等，则云存储服务器会收到客户端新的根节点签名，若不相等，则算法中止，并返回FALSE；

步骤9.3.3：最后客户端委托第三方审计中心进行挑战-应答操作，确保删除操作之后的数据是正确的，操作示意图如图6所示。

本发明还提供了一种使用上述基于身份的动态数据完整性审计方法的审计系统，包括初始化模块、存储审计模块、更新模块，首先通过初始化模块与实体间建立通信连接，由私钥生成机构生成系统所需参数，由客户端完成对私钥的验证，由客户端对文件进行预处理操作，当客户端发出挑战请求时，存储审计模块通过第三方审计中心接收客户端的挑战请求，并生成挑战信息发送给云存储服务器，所述挑战信息通过云存储服务器验证后生成证据返回给客户端，当客户端发出更新请求时，更新模块接收更新请求并发送给云存储服务器，由云存储服务器执行更新请求操作；

初始化模块用于系统启动时实体间通信连接的建立、公私钥系统所需的参数的生成、对密钥的验证、对文件的预处理操作；

存储审计模块用于第三方审计中心接收客户端的挑战请求、生成挑战信息，通过云存储服务器生成证据；

更新模块用于接收客户端发送的更新请求，并发送给云存储服务器执行更新请求的操作。

初始化模块包括身份密钥生成、密钥验证和文件预处理三个子模块，初始化模块启动时首先建立通信连接，然后通过身份密钥生成子模块将客户端身份信息生成私钥，其次通过密钥验证子模块完成对私钥的验证，当客户端执行文件预处理操作，通过文件预处理子模块将验证后的私钥生成存储数据结构后转换为标签信息，并通过网络发给云存储服务器；

身份密钥生成子模块用于将客户端身份信息生成私钥；

密钥验证子模块用于对私钥进行验证；

文件预处理子模块用于将通过验证的私钥生成存储数据结构后转换为标签信息，并通过网络发给云存储服务器。

存储审计模块主要包括挑战查询、证据生成和查询验证三个子模块，当客户端发出挑战请求时，存储审计模块通过第三方审计中心接收客户端的挑战请求后发送给挑战查询子模块，通过挑战查询子模块查询所述挑战请求，并转换为挑战信息，所述挑战信息通过证据生成子模块执行证据生成算法生成证据，然后将证据发送给查询验证子模块通过验证后返回给客户端；

挑战查询子模块用于查询挑战请求，并转换为挑战信息；

证据生成子模块用于将挑战信息生成证据；

查询验证子模块用于对证据验证后返回给客户端。

更新模块包括数据更新、数据删除和数据插入三个子模块，当客户端发出更新请求时，更新模块接收更新请求并发送给云存储服务器，数据更新子模块通过云储存服务器执行数据修改操作，数据删除子模块通过云存储服务器执行数据删除操作，数据插入子模块通过云存储服务器执行数据插入操作，主要由客户端发送更新请求，云存储服务器执行；

数据更新子模块用于对云储存服务器上的数据进行修改；

数据删除子模块用于对云存储服务器上的数据进行删除；

数据插入子模块用于对云存储服务器插入新数据。

在上述搭建的测试环境下，基于上述审计系统进行测试，测试时使用160bit椭圆曲线群，审计系统执行不同操作时的耗时，选择对验证时间成本、服务器生成证据的成本、挑战信息的通信代价以及证据的通信代价四方面进行测试。

对验证时间的测试结果如图7所示，横坐标表示挑战文件块的数量，分别包含了10-50之间的文件块个数，纵坐标表示验证时间的开销，可以看出随着文件块数量的增大，验证时间也随着增大，但50个文件块的验证开销仅为约0.2秒；对服务器生成证据时间的测试结果如图8所示，横坐标表示挑战文件块的数量，分别包含了20-1000之间的文件块个数，纵坐标表示生成证据时间的开销，可以看出随着文件块数量的增大，服务器生成证据的时间也随着增大，但100个文件块的证据生成时间仅为约0.5秒；对挑战信息的通信开销的测试结果如图9所示，横坐标表示挑战文件块的数量，分别包含了200-1000之间的文件块个数，纵坐标表示挑战信息的通信开销，可以看出随着文件块数量的增大，挑战信息的通信开销为常量，约为220比特；对证据的通信开销的测试结果如图10所示，横坐标表示挑战文件块的数量，分别包含了10-30之间的文件块个数，纵坐标表示证据的通信开销，可以看出随着文件块数量的增大，证据的通信开销增加，但30个文件块的证据的通信开销仅为约5000比特。

Claims (6)

1.一种基于身份的动态数据完整性审计方法，其特征在于，包括步骤如下：

步骤1：私钥生成机构运行初始化算法，生成公共参数param、主公钥mpk和主私钥msk，具体表述为：

步骤1.1：首先生成阶数为素数q的加法群G₁，以及阶数为素数q的乘法循环群G₂，然后选择G₁的生成元g，定义离散对数问题中的加法群为G₁，乘法循环群为G₂，群G₁和G₂满足双线性映射e:G₁×G₂→G₂，选取四个密码学哈希函数H₁、H₂、H、h，具体表示为H₁:

H₂:

H:

h:

令公共参数param＝{G₁,G₂,e,q,g,H₁,H₂,H,h}；

步骤1.2：令主私钥为msk，选择随机数x作为主私钥，即主私钥msk＝x，且x满足x∈Z_q，Z_q表示[0,q-1]的整数；

步骤1.3：计算主公钥mpk＝g^x；

步骤1.4：公开公共参数param和主公钥mpk，秘密保存主私钥msk；

步骤2：客户端与私钥生成机构交互，运行身份密钥生成算法，使用客户端ID、主公钥mpk、主私钥msk和公共参数param作为输入，私钥生成机构获取ID生成基于身份的私钥SK_ID，通过可信信道传递给客户端，具体表述为：

步骤2.1：选择随机数k∈Z_q，Z_q表示[0,q-1]的整数；

步骤2.2：通过哈希函数H₂计算得到Q_ID＝H₂(ID)，d_ID＝Q_ID ^x；

步骤2.3：计算K＝g^k，α＝k+xH(ID,K)modq；

步骤2.4：定义SK_ID＝(d_ID,K,α)为私钥，将私钥SK_ID通过可信信道发送给客户端；

步骤3：客户端运行密钥验证算法，验证收到的私钥的正确性，具体表述为：

步骤3.1：利用SK_ID中的α计算v＝g^α；

步骤3.2：判断等式v＝K·mpk^H(ID,K)是否成立，若成立则接收SK_ID，并输出TRUE，若不成立，则拒绝SK_ID，并输出FALSE；

步骤4：设计基于身份的数字签名算法，定义M为一串消息，通过调用身份签名算法SigID()使用私钥SK_ID对消息M进行数字签名，具体表述为：

步骤4.1：选取随机数r∈Z_q，计算Q_ID＝H₂(ID)，利用Q_ID计算U＝Q_ID ^r；

步骤4.2：通过哈希函数H₁计算得到p＝H₁(M,U)；

步骤4.3：利用私钥SK_ID中的d_ID计算V＝d_ID ^r+p；

步骤4.4：将SigID(M)＝(U,V)表示为消息M的签名；

步骤5：客户端在将文件传输到云存储服务器上之前，运行文件预处理算法，对文件进行预处理；

步骤6：第三方审计中心运行挑战算法，生成挑战信息发送给云存储服务器，使用挑战-应答形式实现数据完整性审计；

步骤7：云存储服务器接收到第三方审计中心的验证请求后，运行证据生成算法，根据验证请求查找Merkle哈希树中的数据，计算出证据P交付给第三方审计中心；

步骤8：第三方审计中心根据云存储服务器提供的证据P，运行验证算法，对存储的数据的完整性进行验证；

步骤9：当客户端发出更新请求时，由云存储服务器运行更新算法执行更新请求操作，所述更新请求操作包括数据修改操作、数据插入操作、数据删除操作，具体表述为Type＝{INSERT,DELETE,MODIFY}，客户端需要重新计算得出需要更新的新文件块对应的标签值，更新标签集，最后将更新后的新文件块、根节点签名和新标签集同步到云存储服务器上，即完成一次更新操作。

2.根据权利要1所述的一种基于身份的动态数据完整性审计方法，其特征在于，所述的步骤5具体表述为：

步骤5.1：将原始文件F分割为n份，记作F＝{m₁,m₂,...,m_n}；

步骤5.2：选择随机数u∈Z_q，将文件名name、文件分割的块数n和随机数u连接记作M₁＝name||n||u，使用身份签名算法SigID()对M₁进行签名

并输出(U₁,V₁)，其中U₁＝Q_ID ^r，定义p₁＝H₁(M₁,U₁)，

步骤5.3：对于原始文件F的每一个文件块m_i(i＝1,2,...,n)生成同态验证标签

m_i指原始文件F中的每一个文件块；

步骤5.4：定义一个集合Φ存储所有文件块m_i的同态验证标签σ_i，表示为Φ＝{σ_i}，(i＝1,2,...,n)；

步骤5.5：构建Merkle哈希树，具体过程如下：

步骤5.5.1：在每一个Merkle哈希树的叶子节点中存储value为m_i的哈希值H(m_i)，即h_i＝h(H(m_i))；

步骤5.5.2：在每一个Merkle哈希树的非叶子节点中，存储的value是由两个孩子节点的value共同构成的Hash值，非叶子节点h(a)计算为h_a＝h(h₁||h₂)，非叶子节点h(b)计算为h_b＝h(h₃||h₄)，非叶子节点h(r)计算为h_r＝h(h_a||h_b)；

步骤5.6：构建出Merkle哈希树后得到根节点h_r，利用身份签名算法SigID()将根节点签名，计算

并输出

其中

步骤5.7：客户端不保存任何数据，将数据

发送给云存储服务器。

3.根据权利要1所述的一种基于身份的动态数据完整性审计方法，其特征在于，所述的步骤6具体表述为：

步骤6.1：利用

计算出H₁(M₁,U₁)并赋值给p₁，然后计算

步骤6.2：使用双线性配对e(g,V₁)＝e(mpk,Q₁)验证签名

是否正确，以及验证存储的文件信息M₁是否正确，若等式成立，则验证正确，继续执行步骤6.3，若不成立，则终止；

步骤6.3：使用随机抽查策略抽取小于n的随机数s_τ构成集合I＝{s₁,s₂,...,s_τ,...,s_c}，且满足s_τ≤s_τ+1＜n，τ＝1,2,…,c，c表示集合I的元素总数；

步骤6.4：第三方审计中心选择随机数ω_i与集合I中任意一个随机数s_τ对应，且满足ω_i≠s_τ；

步骤6.5：生成挑战信息chal，则

其中i表示需要被验证的文件块m_i的位置，将挑战信息chal发送给云存储服务器。

4.根据权利要求1所述的一种基于身份的动态数据完整性审计方法，其特征在于，所述的步骤7具体表述为：

步骤7.1：根据挑战信息chal中的随机数ω _i 和i对应的文件块m_i计算出

且满足μ∈Z_q；

步骤7.2：查找挑战信息chal中文件块m_i对应的同态验证标签σ_i，计算

步骤7.3：每一个文件块m_i的辅助认证路径记作

云存储服务器将文件块m_i的哈希值H(m_i)和对应的辅助认证路径

作为一个键值对放入证据列表中；

步骤7.4：定义证据

云存储服务器将证据P发送给第三方审计中心进行验证。

5.根据权利要1所述的一种基于身份的动态数据完整性审计方法，其特征在于，所述的步骤8具体表述为：

步骤8.1：利用证据P中的

计算出Merkle哈希树根节点的摘要值h_r；

步骤8.2：利用证据P中的

计算

和

步骤8.3：判断等式

是否成立，若成立，说明云存储服务器端的Merkle哈希树的根节点正确，继续执行步骤8.4，如果不相等，算法终止并返回FALSE；

步骤8.4：验证抽查的文件块m_i是否是正确的，即判断等式

是否成立，等式左右相等说明数据保存完整，返回TRUE，否则证明数据完整性遭到破坏，终止并返回FALSE。

6.根据权利要1所述的一种基于身份的动态数据完整性审计方法，其特征在于，所述步骤9中的数据修改操作，具体表述为：

步骤9.1.1：定义文件块m_i修改后的数据块为m_i′，首先计算m_i′对应的标签

步骤9.1.2：客户端执行update＝(E,i,m′_i,σ′_i)，将修改请求发送给云存储服务器，其中E表示修改操作，i表示数据块m_i所在的位置，m′_i表示修改后的文件块；

步骤9.1.3：云存储服务器收到客户端的修改请求，执行ExecUpdate(F,Φ,update)操作，首先将m_i替换成m′_i，然后更新标签

和标签集φ′，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)，返还给客户端；

步骤9.1.4：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点的摘要值h_r，验证

是否相等，相等则继续步骤9.1.5，不相等则算法中止，并返回FALSE；

步骤9.1.5：如果m_i的根节点验算正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m′_i的根节点值h′_r，计算新的根节点签名值SigID(h′_r)；

步骤9.1.6：客户端发送m′_i的根节点签名值SigID(h′_r)到云存储服务器端；

步骤9.1.7：最后客户端再一次委托第三方审计中心进行一次挑战-应答验证操作，验证修改后的数据的正确性；

所述步骤9中的数据插入操作，具体表述为：

步骤9.2.1：定义插入到m_i之后的插入文件块为m′，首先计算出m′对应的新标签值σ′＝(H(m′)·u^m′)^α，然后执行update＝(I,i,m′,σ′)操作发送插入请求给云存储服务器，其中I代表插入操作，i表示数据块m_i所在的位置，m′表示需要插入的文件块；

步骤9.2.2：云存储服务器收到客户端的插入请求，执行ExecUpdate(F,Φ,update)操作，首先将m′作为叶子节点插入到m_i之后，生成新的Merkle哈希树节点，然后更新标签σ′＝(H(m′)·u^m′)^α和标签集φ′，最后生成证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)发送给客户端；

步骤9.2.3：客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，验证

是否相等，相等则继续步骤9.2.4，不相等则算法中止，并返回FALSE；

步骤9.2.4：如果m_i的根节点验证正确，客户端使用辅助认证路径{Ω_i,H(m_i)}计算出m′根节点值h_r′，计算新的标签签名SigID(h′_r)，然后发送新的标签签名SigID(h′_r)至云存储服务器端进行更新，然后客户端删除更新过程中生成的临时数据；

步骤9.2.5：最后客户端委托第三方审计中心进行一次挑战-应答操作，验证插入之后的数据的正确性；

所述的步骤9中的数据删除操作，具体表述为：

步骤9.3.1：当删除节点m_i时，将m_i的兄弟节点高度减1，云存储服务器接收到客户端delete操作请求之后，将m_i删除，重建Merkle哈希树生成新的根节点h′_r，更新标签集φ′；

步骤9.3.2：向客户端发送证据P_update＝(Ω_i,H(m_i),SigID(h_r),h′_r)，客户端根据辅助认证路径{Ω_i,H(m_i)}计算出m_i的根节点摘要值h_r，判断

是否相等，若相等，则云存储服务器会收到客户端新的根节点签名，若不相等，则算法中止，并返回FALSE；

步骤9.3.3：最后客户端委托第三方审计中心进行挑战-应答操作，确保删除操作之后的数据是正确的。

Images