CN112765570B - 一个支持数据转移的基于身份可证明数据持有方法 - Google Patents

Abstract

本发明公开了一个支持数据转移的基于身份可证明数据持有方法，本发明针对支持数据转移的可证明数据持有方案复杂密钥管理和数据隐私泄露的问题，基于双线对和基于身份密码学，提出支持数据转移的基于身份可证明数据持有方案。本发明解决了密钥管理问题，通过第三方审计者实现转移数据的完整性检验，使用随机数技术保证用户数据在审计过程中的隐私安全。安全性分析表明，随机预言机模型中证明所提方案满足适应性选择消息攻击下的不可伪造性。

Description

一个支持数据转移的基于身份可证明数据持有方法

技术领域

本发明属于数据处理领域，具体涉及一个支持数据转移的基于身份可证明数据持有方法。

背景技术

2007年Ateniese等学者首次提出可证明数据持有方案。2008年，基于BLS短签名Shacham和Waters提出了基于双线性对的可证明数据持有方案。同年，利用对称加密技术Ateniese等学者提出可证明数据持有方案，实现了数据块的增加，修改和删除动态操作。与此同时，Sebé等学者提出基于整数分解问题的可证明数据持有方案。2009年，Erway等学者设计支持全动态的可证明数据持有方案，利用认证跳表技术实现数据块的插入操作。2010年，为了降低用户审计代价和保护数据隐私，Wang等学者提出了隐私保护的公开验证可证明数据持有方案。该方案中通过第三方审计者进行公开验证。此后，大量公开验证的可证明数据持有方案被提出来。

2014年，Wang等学者结合基于身份密码学提出了基于身份可证明数据持有方案。2016年，为了降低数据拥有者计算代价，Wang等学者提出基于身份代理数据上传的可证明数据持有方案。2017年利用零知识证明技术Yu等学者提出基于身份可证明数据持有方案，实现数据隐私的完美保护。2019年，Li等学者基于生物特征提出基于模糊身份可证明数据持有方案。同年，Wang等学者利用环签名机制提出奖励机制下无条件匿名基于身份可证明数据持有方案，实现用户身份隐私保护下揭露恶意事件。2020年，针对用户吊销开销，利用密钥更新技术Zhang等学者提出了高效用户吊销的基于身份可证明数据持有方案。

2019年，Wang等学者首次提出支持数据转移的可证明数据持有方案。该方案中云服务器完成数据转换后，接收者无需再对数据进行处理，通过第三方审计者完成数据完整性的公开检验。

随着数据交融时代来临，云存储中数据所有权往往需要不断的变更。为了保护变更所有权后数据的完整性，需要使可证明数据拥有方案支持数据转移。现有技术中存在可以支持数据转移的可证明数据拥有方案，但是该方案是基于传统公钥密码学的，且存在复杂的证书管理问题和隐私泄露问题，因此，如何使可证明数据持有方案在支持数据转移的情况下，可以同时高效解决复杂密钥管理和数据隐私泄露的问题具有十分重要的现实意义。

发明内容

本发明的目的在于克服上述不足，提供一个支持数据转移的基于身份可证明数据持有方法，利用双线性对和基于身份密码学，基于计算性Diffie-Hellman假设和离散对数假设下的支持数据转移的基于身份可证明数据持有方法，在随机预言机模型中，证明所提方案满足适应性选择消息攻击下的不可伪造性，在支持数据转移同时，高效解决数据隐私泄露和密钥管理问题。

为了达到上述目的，本发明包括以下步骤：

S1，输入安全参数，输出主密钥和系统参数，完成系统建立；

S2，输入数据持有者和数据接收者的身份，并提取数据持有者和数据接收者的密钥；

S3，数据持有者用提取的私钥对数据签名，并将数据与数据签名一同发送给云服务器；

S4，输入数据持有者和数据接收者的私钥，提取转换密钥，并发送给云服务器；

S5，用提取的转换密钥，云服务器将数据持有者对应数据的标签转换为数据接收者对应数据的标签；

S6，输入挑战数据块的数量，输出挑战信息，第三方审计者将挑战信息发送给云服务器；

S7，输入挑战数据块，挑战数据块的标签和挑战信息，输出数据完整性证明，云服务器将完整性证明发送给第三方审计者；

S8，第三方审计者对数据完整性证明进行验证。

S1中，系统建立的方法如下：

第一步，输入安全参数ξ；

第二步，密钥生成中心KGC随机选择计算主公钥P_pub＝λ·P，选择双线性对e:G₁×G₁→G₂，群G₁和G₂阶数为素数q，P为群G₁的生成元，选择四个哈希函数/>H₂:{0,1}^*→G₁，/>和/>

第三步，输出系统参数为params＝{G₁,G₂,q,P,e,H₁,H₂,H₃,H₄,P_pub}，主密钥为msk＝λ。

S2中，数据持有者和数据接收者的密钥生成方法如下：

第一步，输入数据持有者DO的身份和数据接收者DR的身份/>

第二步，密钥生成中心KGC随机选择 计算Y_o＝y_o·P，τ_o＝H₁(ID_o,Y_o,P_pub)，x_o＝y_o+λ·τ_o，以及Y_r＝y_r·P，τ_r＝H₁(ID_r,Y_r,P_pub)，x_r＝y_r+λ·τ_r，则密钥为(Y_o,x_o)和(Y_r,x_r)；

第三步，KGC将密钥(Y_o,x_o)和(Y_r,x_r)通过安全信道分别发送给数据拥有者DO和数据接收者DR。

S3的具体方法如下：

第一步，输入数据M，将数据M分为n块，即M＝{m₁,m₂,···,m_n}，且

第二步，计算U＝H₂(ID_o,fname)，这里fname表示数据M的标识；

第三步，对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)，得到数据M在ID_o下的标签为/>

第四步，数据拥有者DO将{M,σ_o}返回给云服务器CS，同时删除本地数据M。

S4中，生成转换密钥的具体方法如下：

第一步，输入ID_o的密钥x_o和ID_r的密钥x_r；

第二步，KGC计算转换密钥并返回给云服务器CS。

S5中，将数据持有者对应数据的标签转换为数据接收者对应数据的标签的方法如下：

第一步，输入转换密钥rk_o→r和数据M在数据持有者身份ID_o下的标签

第二步，对于每个l∈{1,2,···,n}，CS计算

第三步，输出数据M在数据接收者身份ID_r下的标签为

S6中，第三方审计者生成挑战信息的方法如下：

第一步，第三方审计者TPA随机选择集合且|Q|＝c，c≤n；

第二步，对于每个j∈Q，TPA随机选择

第三步，第三方审计者TPA得到挑战信息chal＝{(j,v_j)}_j∈Q，并将其返回给云服务器CS。

S7中，云服务器生成挑战证据的方法如下：

第一步，云服务器CS随机选择并计算τ_r＝H₁(ID_r,Y_r,P_pub)，K＝k·(Y_r+τ_r·P_pub)；

第二步，云服务器CS计算完整性证明φ＝H₄(K)，

第三步，云服务器CS将M在ID_r下的完整性证明proof＝{K,α,β}返回给第三方审计者TPA。

S8中，第三方审计者验证数据完整性证明的方法如下：

第一步，第三方审计者TPA计算τ_r＝H₁(ID_r,Y_r,P_pub)，U＝H₂(ID_o,fname)，φ＝H₄(K)；

第二步，第三方审计者TPA对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)；

第三步，验证等式是否成立，从而判定云服务器上存储数据的完整性。

与现有技术相比，本发明针对支持数据转移的可证明数据持有方案复杂密钥管理和数据隐私泄露的问题，基于双线对和基于身份密码学，提出支持数据转移的基于身份可证明数据持有方案。本发明解决了密钥管理问题，通过第三方审计者实现转移数据的完整性检验，使用随机数技术保证用户数据在审计过程中的隐私安全。安全性分析表明，随机预言机模型中证明所提方案满足适应性选择消息攻击下的不可伪造性。本发明是在基于身份的情景下实现的，消除了传统公钥密码学中的证书管理问题；本发明在可证明数据拥有的情况下支持数据转移，解决了数据所有权变更之后，数据持有者重新下载数据带来的计算和通信成本增加问题；本发明对审计过程进一步改进，使用随机数技术保证用户数据在审计过程中的隐私安全，解决了隐私泄露问题；本发明的整体设计改进，使得所提方案与已知方案相比取得高效的计算和通信代价。

附图说明

图1为本发明的系统图；

图2为本发明的流程图；

图3为错误检测概率图。

具体实施方式

下面结合附图对本发明做进一步说明。

参见图1和图2，本发明包括以下步骤：

步骤一，系统建立方法如下：

第一步，输入安全参数ξ；

第二步，密钥生成中心KGC随机选择计算P_pub＝λ·P，选择双线性对e:G₁×G₁→G₂，群G₁和G₂阶数为素数q，P为群G₁的生成元，选择四个哈希函数/>H₂:{0,1}^*→G₁，/>和/>

第三步，输出系统参数为params＝{G₁,G₂,q,P,e,H₁,H₂,H₃,H₄,P_pub}，主密钥为msk＝λ。

步骤二，KGC生成密钥的方法如下：

第一步，输入数据持有者DO的身份和数据接收者DR的身份/>

第二步，密钥生成中心KGC随机选择计算Y_o＝y_o·P，τ_o＝H₁(ID_o,Y_o,P_pub)，x_o＝y_o+λ·τ_o，以及Y_r＝y_r·P，τ_r＝H₁(ID_r,Y_r,P_pub)，x_r＝y_r+λ·τ_r，则密钥为(Y_o,x_o)，(Y_r,x_r)；

第三步，KGC将密钥(Y_o,x_o)和(Y_r,x_r)通过安全信道分别发送给数据拥有者DO和数据接收者DR。

步骤三，数据所有者生成数据标签的方法如下：

第一步，输入数据M，将数据M分为n块，即M＝{m₁,m₂,···,m_n}，且

第二步，计算U＝H₂(ID_o,fname)，这里fname表示数据M的标识；

第三步，对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)，得到数据M在ID_o下的标签为/>

第四步，数据拥有者DO将{M,σ_o}返回给云服务器CS，同时删除本地数据M。

步骤四，KGC生成转换密钥的方法如下：

第一步，输入ID_o的密钥x_o和ID_r的密钥x_r；

第二步，KGC计算转换密钥并返回给云服务器CS。

步骤五，云服务器CS生成转换标签的方法如下：

第一步，输入转换密钥rk_o→r和数据M在数据持有者身份ID_o下的标签

第二步，对于每个l∈{1,2,···,n}，云服务器CS计算

第三步，输出数据M在数据接收者身份ID_r下的标签为

步骤六，第三方审计者TPA生成挑战信息的方法如下：

第一步，第三方审计者TPA随机选择集合且|Q|＝c，c≤n；

第二步，对于每个j∈Q，第三方审计者TPA随机选择

第三步，第三方审计者TPA得到挑战信息chal＝{(j,v_j)}_j∈Q，并将其返回给云服务器CS。

步骤七，云服务器CS生成挑战证据的方法如下：

第一步，云服务器CS随机选择并计算τ_r＝H₁(ID_r,Y_r,P_pub)，K＝k·(Y_r+τ_r·P_pub)；

第二步，云服务器CS计算完整性证明证据φ＝H₄(K)，

第三步，云服务器CS将M在ID_r下的完整性证明proof＝{K,α,β}返回给第三方审计者TPA。

步骤八，第三方审计者TPA验证数据完整性证明的方法如下：

第一步，第三方审计者TPA计算τ_r＝H₁(ID_r,Y_r,P_pub)，U＝H₂(ID_o,fname)，φ＝H₄(K)；

第二步，第三方审计者TPA对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)；

第三步，验证等式是否成立，从而判定云服务器上存储数据的完整性。

下面分别给出本发明在随机预言机模型下支持数据转移的基于身份可证明数据持有方案的正确性和安全性证明。

一、正确性证明

本发明提出的随机预言机模型下支持数据转移的基于身份可证明数据持有方案是正确的。

第三方审计者TPA关于收到的数据完整性证明，如果证明按如上步骤进行且传输过程中没有被改变，不难证明：

二、安全性证明

1.安全模型

支持数据转移的基于身份可证明数据持有方案的安全模型考虑两种类型攻击者：A₁和A₂。类型I攻击者A₁(外部攻击者)目标是伪造数据标签。类型II攻击者A₂(内部攻击者，即云服务器)目标是在没有正确数据下，伪造数据完整性证明。

方案的安全性通过挑战者C与攻击者A₁(A₂)之间的交互游戏来定义。攻击者A₁(A₂)进行下列询问：

哈希询问：攻击者进行哈希询问，C返回随机值给攻击者。

密钥询问：攻击者对用户身份ID_i进行密钥询问，C执行密钥生成算法返回密钥(Y_i,x_i)给攻击者。

标签询问：攻击者对(ID_i,Y_i)下(m_l,id_l)进行标签询问，C执行标签生成算法返回标签t_l给攻击者。

游戏1.挑战者C和攻击者A₁交互进行。

系统建立：C运行系统建立算法生成系统参数和主密钥。C返回系统参数给A₁，同时秘密的保存主密钥。

询问：A₁适应性的进行多项式次哈希询问，密钥询问和标签询问。

伪造：A₁输出(ID^*,Y^*)下(m^*,id^*)的标签t^*。

如果满足下列条件，A₁赢得游戏：

(1)t^*是(ID^*,Y^*)下(m^*,id^*)的有效标签。

(2)A₁不能对ID^*进行密钥询问。

(3)A₁不能对(ID^*,Y^*)下(m^*,id^*)进行标签询问。

定义1.如果不存在任何多项式时间攻击者A₁以不可忽略的概率赢得游戏1，则所提方案满足标签不可伪造性。

游戏2.挑战者C和攻击者A₂交互进行。

系统建立：C运行系统建立算法生成系统参数和主密钥。C返回系统参数给A₂，同时秘密的保存主密钥。

询问：A₂适应性的进行多项式次哈希询问，密钥询问和标签询问。

挑战：C生成一个随机挑战信息chal返回给攻击者A₂。

伪造：A₂输出挑战信息chal的数据完整性证明proof。

如果含有错误数据的数据完整性证明proof通过验证，A₂赢得游戏。

定义2.如果不存在任何多项式时间攻击者A₂以不可忽略的概率赢得游戏2，则所提方案满足证明不可伪造性。

2.具体证明

定理1.假定攻击者A₁以概率ε攻破所提方案，那么存在算法B以概率解CDH问题，这里/>q_K，q_T分别表示哈希H₁询问，密钥询问和标签询问的次数。

证明.给定CDH问题实例(P,a·P,b·P)，算法B的任务是计算a·b·P。攻击者A₁随机选择作为挑战身份返回给B。B模拟游戏1中的挑战者C与攻击者A₁进行交互。为了跟踪询问，B建立初始为空的H₁列表L₁:{ID_i,Y_i,P_pub,τ_i}，H₂列表L₂:{ID_i,fname_i,u_i,U_i}，H₃列表L₃:{id_l,ω_l}和列表L₄:{ID_i,x_i,τ_i,Y_i}。

系统建立：算法B设置P_pub＝a·P，返回系统参数params＝{G₁,G₂,q,P,e,H₁,H₂,H₃,H₄,P_pub}给攻击者A₁。

询问阶段：A₁适应性的进行以下多项式次询问。

H₁询问：A₁对(ID_i,Y_i,P_pub)进行哈希H₁询问，B查询列表L₁：

(1)如果L₁包含(ID_i,Y_i,P_pub,τ_i)，B返回τ_i给A₁。

(2)如果L₁不包含(ID_i,Y_i,P_pub,τ_i)，B随机选择添加(ID_i,Y_i,P_pub,τ_i)到L₁中并返回τ_i给A₁。

H₂询问：A₁对(ID_i,fname)进行哈希H₂询问，B查询列表L₂：

(1)如果ID_i≠ID_o，B随机选择计算U_i＝u_i·P，添加(ID_i,fname,u_i,U_i)到L₂中并返回U_i给A₁。

(2)如果ID_i＝ID_o，B随机选择计算U_i＝u_i·b·P，添加(ID_i,fname,u_i,U_i)到L₂中并返回U_i给A₁。

H₃询问：A₁对id_l进行哈希H₃询问，B查询列表L₃：

(1)如果L₃包含(id_l,ω_l)，B返回ω_l给A₁。

(2)如果L₃不包含(id_l,ω_l)，B随机选择添加(id_l,ω_l)到L₃中并返回ω_l给A₁。

密钥询问：A₁对ID_i进行密钥询问，B对(ID_i,Y_i,P_pub)进行哈希H₁询问获得τ_i，B查询列表L₄：

(1)如果ID_i≠ID_o，B随机选择计算Y_i＝x_i·P-τ_i·a·P。如果τ_i已经出现在L₁中，B重新选择x_i,/>进行计算。B添加(ID_i,x_i,τ_i,Y_i)到L₄中并返回(x_i,Y_i)给A₁。

(2)如果ID_i＝ID_o，B放弃游戏。

标签询问：A₁对(ID_i,Y_i)下(m_l,id_l)进行标签询问。B对(ID_i,fname)进行哈希H₂询问获得U_i，对id_l进行哈希H₃询问获得ω_l，对ID_i进行密钥询问获得x_i。B执行：

(1)如果ID_i≠ID_o，B计算返回给A₁。

(2)如果ID_i＝ID_o，B终止游戏。

伪造阶段：A₁输出(ID^*,Y^*)下(m^*,id^*)的有效伪造标签如果ID^*≠ID_o，B放弃游戏。如果ID^*＝ID_o，基于分叉引理[27]，B输出(m^*,id^*)的另一个有效标签/>由此可知

e(s^*,P)＝e(ω^*·U^*+m^*·P,Y^*+τ^*·P_pub)，

e(s′^*,P)＝e(ω^*·U^*+m^*·P,Y^*+τ′^*·P_pub)。

根据上面两个等式，可得

e(s^*-s′^*,P)＝e((y^*+τ^*·a)·(ω^*·U^*+m^*·P)-(y^*+τ′^*·a)·(ω^*·U^*+m^*·P),P)

e(s^*-s′^*,P)＝e((τ^*-τ′^*)·a·(ω^*·U^*+m^*·P),P)

e(s^*-s′^*,P)＝e((τ^*-τ′^*)·a·(ω^*·u^*·b·P+m^*·P),P)

s^*-s′^*＝(τ^*-τ′^*)·a·(ω^*·u^*·b·P+m^*·P)

s^*-s′^*＝(τ^*-τ′^*)·ω^*·u^*·a·b·P+(τ^*-τ′^*)·m^*·a·P

因此，CDH问题的解为

定义下面事件分析B解CDH问题的概率ε′。

E₁：B成功进行密钥询问和标签询问。

E₂：A₁输出(ID^*,Y^*)下(m^*,id^*)有效标签

E₃：ID^*＝ID_o。

因此，B解CDH问题的概率为：ε′＝Pr[E₁∧E₂∧E₃]＝Pr[E₁]·Pr[E₂|E₁]·Pr[E₃|E₁∧E₂]。

假定攻击者最多可以进行次哈希H_i(i＝1,2,3)询问，q_K次密钥询问，q_T次标签询问。

(1)密钥询问中，如果随机预言机H₁前后不一致，B放弃游戏的最大概率为则q_K次密钥询问后成功概率至少为/>

密钥询问和标签询问中，B放弃游戏的最大概率为则q_K次密钥询问和q_T次标签询问后成功概率分别为/>和/>

因此可得

(2)伪造阶段，如果A₁输出(ID^*,Y^*)下(m^*,id^*)有效伪造标签的概率为ε，则Pr[E₂|E₁]≥ε。

(3)ID^*＝ID_o概率为则/>

因此，B解CDH问题的概率为

证毕。

定理2.如果DL假设成立，则所提方案能够抵抗攻击者A₂的攻击。

证明.假设挑战信息是chal＝{(j,v_j)}_j∈Q，且|Q|＝c。

如果A₂输出挑战信息chal＝{(j,v_j)}_j∈Q下包含错误数据的有效数据完整性证明proof^*＝{R,α,β^*}，即

根据方案可知挑战信息chal＝{(j,v_j)}_j∈Q下有效数据完整性证明为proof＝{R,α,β}，即

根据上面两个等式，可得β·P＝β^*·P。

定义Δβ＝β-β^*，可得Δβ·P＝0。

给定离散对数问题的实例(W,a·W)，定义这里/>可得

Δβ·P＝0

由此可知且δ≠0。因为δ为/>中的随机元素，因此δ＝0的概率为/>这里q为大素数。因此，解离散对数问题的概率为/>

三、方案评估

1.功能分析

如表1所示，将我们所提方案与方案[1]，方案[2]，方案[3]，方案[4]，方案[5]，方案[6]进行功能比较。

表1功能比较

方案[1]：Shacham H,Waters B.Compact proofs of retrievability.InProceeding of Advances in Cryptology-ASIACRYPT’08.Springer,2008,pp.90-107.

方案[2]：Wang H,He D,Fu A,et al.Provable data possession withoutsourced data transfer.IEEE Transactions on Services Computing,to bepublished,doi.10.1109/TSC.2019.2892095.

方案[3]：Wang H,Wu Q,Qin B,et al.Identity-based remote data possessionchecking in public clouds.IET Information Security,2014,8(2):114-121.

方案[4]：Wang H,He D,Tang S.Identity-based proxy-oriented datauploading and remote data integrity checking in public cloud.IEEETransactions on Information Forensics and Security,2016,11(6):1165-1176.

方案[5]：Yu Y,Au M H,Ateniese G,Huang X,Susilo W,Dai Y,Min G.Identity-based remote data integrity checking with perfect data privacy preserving forcloud storage.IEEE Transactions on Information Forensics and Security,2017,12(4):767-778.

方案[6]：Zhang Y,Yu J,Hao R,Wang C,Ren K.Enabling efficient userrevocation in identity-based cloud storage auditing for shared big data.IEEETransactions on Dependable and Secure Computing,2020,17(3):608-619.

从表1中可知所有方案实现了公开审计，概率检测和无块审计。然而方案[1]和方案[2]是基于传统公钥的方案，存在证书管理问题。方案[1][2][3][4][6]中，第三方审计者能够通过解线性方程技术得到数据，导致隐私泄露。此外，方案[1][3][4][5][6]无法在云服务器中实现数据所有权的转移，然而所提方案能够满足所有的功能需求。

(1)错误检测概率：所提方案采用随机抽样方法来检测云服务器破坏数据行为，降低第三方审计者的通信和计算成本。数据持有者将数据M分成n块，第三方审计者选择c(c≤n)块进行挑战。令x表示云服务器损坏数据块的数量，X表示挑战块中损坏数据块的数量，云服务器损坏数据被检测概率P_X定义为：

图3给出所提方案的错误检测概率分析。n＝1,000,000，x＝5,000时，第三方审计者仅需选取c＝321，检测云服务器出错概率达到80％。当x＝10,000时，第三方审计者仅需选取c＝300，检测云服务器出错概率达到95％。

(2)数据隐私保护：在审计过程中，第三方审计者试图从数据完整性证明proof＝{K,α,β}中获取用户数据，这里K＝k·(Y_r+τ_r·P_pub)，和/>

情况1：第三方审计者试图从α中获取数据。中数据包含在/>中，即x_s·m_j·P是一个DL问题的实例，因此，第三方审计者不能从α中获得用户数据。

情况2：第三方审计者试图从β中获取数据。中包含的数据被云服务器随机选择的k盲化，同时K＝k·(Y_r+τ_r·P_pub)＝k·x_r·P是一个DL问题的实例，第三方审计者不能从K中获取k的信息。因此，第三方审计者不能从β中获得用户数据。

综上所述，所提方案满足数据隐私保护。

2.性能分析

2.1计算代价

80比特安全性下，选择双线性对e:G₁×G₁→G₂，其中G₁是嵌入度为2，阶数为q的超奇异椭圆曲线E:y²＝x³+xmodp上的加法循环群，生成元为P，其中q，p分别是160比特，512比特的素数，且满足q·12·r＝p+1。

仿真实验基于MIRACL Crypto SDK库，运行环境为英特尔i5(2.53GHz)处理器，4GB内存，64位windows 10操作系统。表2给出了相关密码操作运行10000次取平均值的实验结果。

表2密码运算平均时间(毫秒)

令表示上传到云服务器的数据块的数量，表示检测数据块的数量。表3给出所提方案与已知方案[1][2][3][4][5][6]在计算代价上的比较。

表3计算代价比较

由表可以得出在标签生成阶段和验证阶段，所提方案的计算代价明显低于方案[1][2][3][4][5][6]。假设n＝10000和c＝300下，在标签生成阶段，所提方案需要28.9615秒，方案[1][2][3][4][5][6]分别需要64.3950秒，64.3950秒，64.3950秒，64.3986秒，64.3964秒和64.3950秒，分别降低了55.03％，55.03％，55.03％，55.03％，55.03％和55.03％。在验证阶段，所提方案需要41.4471毫秒，方案[1][2][3][4][5][6]分别需要1527.8286毫秒，1957.6406毫秒，1529.266毫秒，1531.4105毫秒，1517.5316毫秒和1530.7206毫秒，分别降低了97.29％，97.88％，97.29％，97.29％，97.27％和97.29％。并且，证明生成阶段所提方案需要436.7636毫秒，方案[5]需要444.177毫秒，所提方案降低1.67％。与方案[1][2][3][4][6]需要433.8384毫秒，432.5228毫秒，433.8384毫秒，433.8384毫秒和433.8384毫秒相比，所提方案略微增加。

2.2通信代价

令|G₁|表示群G₁的比特长度，表示群/>的比特长度，|n|表示n的长度。80比特安全性下，|G₁|，/>和|n|的长度分别为512，160和32比特。

通信代价包含从第三方审计者到云服务器的挑战信息和从云服务器到第三方审计者响应信息。表4给出了所提方案与方案[1][2][3][4][5][6]在通信代价的比较。

表4通信代价比较

当时,我们可以得出第三方审计者和云服务器之间通信代价的比较。从第三方审计者到云服务器，所有方案具有相同的57600比特通信代价。从云服务器到第三方审计者，所提方案比方案[2]节约47328比特，降低了97.56％。与方案[1][3][4][5][6]比较，尽管所提方案增加512比特，但是所提方案能够实现数据隐私保护和数据转移。

Claims (8)

1.一个支持数据转移的基于身份可证明数据持有方法，其特征在于，包括以下步骤：

S1，输入安全参数ξ，密钥生成中心KGC随机选择计算主公钥P_pub＝λ·P，选择双线性对e:/>群/>和/>阶数为素数q，P为群/>的生成元，选择四个哈希函数H₁:H₂:/>H₃:/>和H₄:/>输出主密钥msk＝λ和系统参数完成系统建立；

S2，输入数据持有者和数据接收者的身份，并提取数据持有者和数据接收者的密钥；

S3，数据持有者用提取的私钥对数据签名，并将数据与数据签名一同发送给云服务器；

S4，输入数据持有者和数据接收者的私钥，提取转换密钥，并发送给云服务器；

S5，用提取的转换密钥，云服务器将数据持有者对应数据的标签转换为数据接收者对应数据的标签；

S6，输入挑战数据块的数量，输出挑战信息，第三方审计者将挑战信息发送给云服务器；

S7，输入挑战数据块，挑战数据块的标签和挑战信息，输出数据完整性证明，云服务器将完整性证明发送给第三方审计者；

S8，第三方审计者对数据完整性证明进行验证。

2.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S2中，数据持有者和数据接收者的密钥生成方法如下：

第一步，输入数据持有者DO的身份和数据接收者DR的身份/>

第二步，密钥生成中心KGC随机选择计算Y_o＝y_o·P，τ_o＝H₁(ID_o,Y_o,P_pub)，x_o＝y_o+λ·τ_o，以及Y_r＝y_r·P，τ_r＝H₁(ID_r,Y_r,P_pub)，x_r＝y_r+λ·τ_r，则密钥为(Y_o,x_o)和(Y_r,x_r)；

第三步，KGC将密钥(Y_o,x_o)和(Y_r,x_r)通过安全信道分别发送给数据拥有者DO和数据接收者DR。

3.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S3的具体方法如下：

第一步，输入数据M，将数据M分为n块，即M＝{m₁,m₂,···,m_n}，且l∈{1,2,···,n}；

第二步，计算U＝H₂(ID_o,fname)，这里fname表示数据M的标识；

第三步，对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)，得到数据M在ID_o下的标签为/>

第四步，数据拥有者DO将{M,σ_o}返回给云服务器CS，同时删除本地数据M。

4.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S4中，生成转换密钥的具体方法如下：

第一步，输入ID_o的密钥x_o和ID_r的密钥x_r；

第二步，KGC计算转换密钥并返回给云服务器CS。

5.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S5中，将数据持有者对应数据的标签转换为数据接收者对应数据的标签的方法如下：

第一步，输入转换密钥rk_o→r和数据M在数据持有者身份ID_o下的标签

第二步，对于每个l∈{1,2,···,n}，CS计算

第三步，输出数据M在数据接收者身份ID_r下的标签为

6.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S6中，第三方审计者生成挑战信息的方法如下：

第一步，第三方审计者TPA随机选择集合且|Q|＝c，c≤n；

第二步，对于每个j∈Q，TPA随机选择

第三步，第三方审计者TPA得到挑战信息chal＝{(j,v_j)}_j∈Q，并将其返回给云服务器CS。

7.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S7中，云服务器生成挑战证据的方法如下：

第一步，云服务器CS随机选择并计算τ_r＝H₁(ID_r,Y_r,P_pub)，K＝k·(Y_r+τ_r·P_pub)；

第二步，云服务器CS计算完整性证明φ＝H₄(K)，

第三步，云服务器CS将M在ID_r下的完整性证明proof＝{K,α,β}返回给第三方审计者TPA。

8.根据权利要求1所述的一个支持数据转移的基于身份可证明数据持有方法，其特征在于，S8中，第三方审计者验证数据完整性证明的方法如下：

第一步，第三方审计者TPA计算τ_r＝H₁(ID_r,Y_r,P_pub)，U＝H₂(ID_o,fname)，φ＝H₄(K)；

第二步，第三方审计者TPA对于每个l∈{1,2,···,n}，计算ω_l＝H₃(id_l)；

第三步，验证等式是否成立，从而判定云服务器上存储数据的完整性。