CN113507367A - 一种云环境下外包数据的在线/离线完整性审计方法 - Google Patents

Abstract

本发明公开了一种云环境下外包数据的在线/离线完整性审计方法，命名为OORDA方法，支持外包数据的在线/离线完整性验证功能。通过引入第三方审计者代替数据拥有者执行审计操作，本发明有效地节省了数据拥有者的计算开销。本发明基于在线/离线的思想将数据审计分为在线和离线两个阶段，允许第三方审计者提前计算一个离线审计令牌，有效地降低了在线审计阶段的计算开销，从而解决了第三方审计者计算效率瓶颈的问题，提升了数据完整性审计的整体效率。基于CDH困难问题，本发明在随机预言机模型下可证明安全。性能分析表明，与已有方案相比，本发明具有更优的审计效率。

Description

一种云环境下外包数据的在线/离线完整性审计方法

技术领域

本发明涉及外包数据完整性审计相关技术领域，具体涉及一种云环境下外包数据的在线/离线完整性审计方法。

背景技术

为了实现云存储数据的完整性验证，很多学者对完整性审计技术进行研究。Ateniese等人于2007年在文献《Provable Data Possession at Untrusted Stores》中首次提出了可证明数据持有(Provable Data Possession，PDP)的概念，并利用同态可验证标签构造出两个数据安全审计方案，安全地应用于云环境下的数据完整性验证，成为了数据安全审计技术的开创性工作之一。同年，Juels和Kaliski在文献《PORs:Proofs ofRetrievability for Large Files》中采用纠错码和特殊“哨兵”，构造了一种名为可恢复证明(Proof of Retrievability，PoR)的数据安全审计方案。不久后，Shacham和Waters在文献《Compact Proofs of Retrievability》中提出了一种基于BLS同态消息认证技术的安全审计方案，实现了标签聚合和数据恢复。

2015年，Yuan和Yu在文献《PCPOR:Public and Constant-cost Proofs ofRetrievability in Cloud》中提出了一种外包数据审计方案，命名为PCPOR，方案的审计过程的通信开销较小并且支持批审计功能。然而，该方案不能抵抗标签伪造攻击。最近，Li等人在文献《Privacy-preserving Public Auditing Protocol for Low-performance EndDevices in Cloud》中基于在线/离线签名技术提出了两个高效的数据安全审计方案，将标签生成的过程分为在线和离线两部分，有效地节省了用户的在线计算开销。不久，Wang等人在文献《Online/Offline Provable Data Possession》中构造出一种命名为OOPDP的在线/离线安全审计方案。该方案基于AVCH函数，降低了用户在线生成标签的计算开销。然而，Li等人的文献和Wang等人的文献均考虑的是用户端的计算开销，没有降低第三方审计者的计算开销。

到目前为止，大多数的数据审计方案存在安全问题或者带来昂贵的计算代价。更重要的是，当需要执行多个审计任务时，如果审计过程消耗第三方审计者大量的计算开销，那么将会发生效率瓶颈的问题。因此，如何设计一种外包数据完整性审计方案，能抵抗安全攻击，同时有效降低第三方审计者的计算开销，已成为亟待解决的问题。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种云环境下外包数据的在线/离线完整性审计方法。

本发明的目的可以通过采取如下技术方案达到：

一种云环境下外包数据的在线/离线完整性审计方法，所述在线/离线完整性审计方法包括以下步骤：

S1、数据拥有者DO首先运行系统建立算法Setup(1^λ)，其中λ为安全参数，得到系统公共参数params、私钥sk和授权私钥sk_del，其中私钥sk和授权私钥sk_del由数据拥有者DO私密保存；

S2、数据拥有者DO使用系统公共参数params和私钥sk，通过标签生成算法TagBlock(params,sk,M)为文件M生成认证标签T，假设文件M分为n块，第i个文件块表示为m_i，i表示文件块的索引并且满足1≤i≤n,得到认证标签T,数据拥有者DO将文件块{m_i}_1≤i≤n和认证标签T上传到云服务器；

S3、当数据拥有者DO需要检查文件是否完整保存在云服务器时，数据拥有者DO将授权私钥sk_del通过安全通道传送给第三方审计者TPA，第三方审计者TPA使用系统公共参数params，通过调用挑战算法Challenge(params)，得到挑战信息chal，并将挑战信息chal传给云服务器；

S4、云服务器使用系统公共参数params，文件M和认证标签T，通过运行证明算法Proof(params,M,T,chal)得到关于挑战信息chal的证明信息prf，并将证明信息prf返回给第三方审计者TPA；

S5、为了减少在线审计的计算开销，第三方审计者TPA在收到审计任务之前，先使用系统公共参数params，调用离线验证算法Verify_off(params)得到离线审计令牌Γ；

S6、当收到证明信息prf时，第三方审计者TPA使用系统公共参数params，授权私钥sk_del，离线审计令牌Γ和挑战信息chal，运行在线验证算法Verify_on(params,sk_del,Γ,chal,prf)验证数据完整性，如果在线验证算法输出为1，则说明证明信息prf是有效的并且文件完整地存储在云服务器；如果在线验证算法输出为0，则说明文件被损坏。

进一步地，令BLS签名方案由(BLS.KeyGen,BLS.Sign,BLS.Verification)表示，其中BLS.KeyGen算法输入安全参数λ，输出签名公私密钥对{spk,ssk}；BLS.Sign算法输入签名私钥ssk和消息m，输出签名，记为σ＝Sign_ssk(m)；BLS.Verification算法输入签名公钥spk和签名σ，如果该算法输出0，表示签名无效，否则输出1，表示签名是有效的；第三方审计者TPA随机选取

其中

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，则第三方审计者TPA的公私密钥对为{PK_TPA＝g^γ,sk_TPA＝γ}，PK_TPA为第三方审计者TPA的公钥，sk_TPA为第三方审计者TPA的私钥；

所述系统建立算法Setup(1^λ)中，输入安全参数λ，数据拥有者DO首先选取一个阶数为p，生成元为g的双线性群G，选取群元素u∈G，群G_T，定义双线性映射e:G×G→G_T，表示将两个来自双线性群G的群元素通过双线性对配对运算，映射到一个来自群G_T的群元素；然后数据拥有者DO调用BLS.KeyGen算法生成一个签名密钥对{spk,ssk}，数据拥有者DO选取四个随机值

计算三个参数δ＝gα,y＝g^β,

并计算两个秘密参数s＝α·β,

其中符号“·”表示乘法运算；数据拥有者DO选取一个抗碰撞哈希函数H:{0,1}*→{0,1}*，则系统公共参数设置为params＝{spk,g,u,δ,y,w,H}，私钥设置为sk＝{ssk,α,β,x₁,x₂}，授权私钥设置为

进一步地，所述标签生成算法TagBlock(params,sk,M)中，输入系统公共参数params，私钥sk和文件M，数据拥有者DO首先将文件M分为n块，第i个文件块表示为m_i，i表示文件块的索引并且满足1≤i≤n；然后数据拥有者DO随机选取

作为文件名，n为文件块数目，调用BLS.Sign算法，将name||n作为需要签名的消息，生成一个签名σ＝Sign_ssk(name||n)并设置签名验证信息

其中ssk表示签名私钥，符号“||”表示字符串连接符；随后，数据拥有者DO计算x＝x₁·x₂，其中随机数

符号“·”表示乘法运算；对于第i(1≤i≤n)个文件块m_i，数据拥有者DO生成第i(1≤i≤n)个文件块标签如下：

其中，g为双线性群G的生成元，群元素u∈G，随机数

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||i)表示将name||i通过抗碰撞哈希函数H映射到一个哈希值。数据拥有者DO将文件块{m_i}_1≤i≤n和认证标签

发送给云服务器，并删除本地文件M，其中认证标签T包含三个参数，分别是随机数

签名验证信息

以及所有文件块标签{θ_i}_1≤i≤n。与此同时，数据拥有者DO将授权私钥sk_del安全地传送给第三方审计者TPA。

进一步地，所述挑战算法Challenge(params)中，输入系统公共参数params，第三方审计者TPA首先从云服务器中获取签名验证信息

调用BLS.Verification算法，使用签名公钥spk验证签名σ＝Sign_ssk(name||n)，其中

为文件名，n为文件块数目，ssk表示签名私钥；如果签名无效，输出0并终止；否则，第三方审计者TPA接受name和n。然后第三方审计者TPA随机选取一个挑战集合

为每个j∈I选取随机值

其中j表示挑战的文件块索引并且满足1≤j≤n，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。第三方审计者TPA将挑战信息chal＝{j,v_j}_j∈I发送给云服务器。

进一步地，所述证明算法Proof(params,M,T,chal)中，收到挑战信息chal后，输入系统公共参数params，文件M和认证标签T，云服务器计算

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机数

随机值

m_j表示第j个挑战文件块，θ_j表示第j个挑战文件块标签，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。云服务器将证明信息prf＝{μ,θ}发送给第三方审计者TPA。

进一步地，所述离线验证算法Verify_off(params)中，输入系统公共参数params，第三方审计者TPA计算一个离线审计令牌Γ如下：

Γ＝e(u,PK_TPA)

其中，群元素u∈G，G表示一个双线性群，PK_TPA＝g^γ表示第三方审计者TPA的公钥且PK_TPA∈G，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，e(u,PK_TPA)表示将两个来自双线性群G的群元素{u,PK_TPA}通过双线性对配对运算，映射到一个来自群G_T的群元素，简称为双线性映射e:G×G→G_T。

进一步地，所述线验证算法Verify_on(params,sk,Γ,chal,prf)中，输入系统公共参数params，授权私钥sk_del，离线审计令牌Γ，挑战信息chal和证明信息prf，第三方审计者TPA首先计算验证参数

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机值

为文件名，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||j)表示将name||j通过抗碰撞哈希函数H映射到一个哈希值，符号“||”表示字符串连接符；然后第三方审计者TPA使用授权私钥

执行在线审计操作，从而验证文件M的完整性，如下：

其中，Γ表示离线审计令牌，秘密参数s＝αβ为授权私钥sk_del的一部分，随机值

sk_TPA表示第三方审计者TPA的私钥，验证参数

g为双线性群G的生成元，{μ,θ}为证明信息，参数y＝g^β为系统公共参数params的一部分，

表示将两个来自双线性群G的群元素

通过双线性对配对运算，映射到一个来自群G_T的群元素，即双线性映射e:G×G→G_T；符号

表示判定操作，即需要判定验证式左右两边的值是否相等；如果上述验证式成立，输出为1，则说明证明信息prf是有效的并且文件完整保存在云服务器；如果上述验证式不成立，输出为0，则说明文件被损坏。

本发明相对于现有技术具有如下的优点及效果：

1)本发明公开的一种云环境下外包数据的在线/离线完整性审计方法，支持外包数据的在线/离线完整性验证功能。通过引入第三方审计者代替数据拥有者执行审计操作，有效地节省了数据拥有者的计算开销。

2)本发明基于在线/离线的思想将数据审计分为在线和离线两个阶段，允许第三方审计者提前计算一个离线审计令牌，有效地降低了在线审计阶段的计算开销，从而解决了第三方审计者计算效率瓶颈的问题，提升了数据完整性审计的整体效率。

3)基于CDH困难问题，本发明在随机预言机模型下可证明安全。性能分析表明，与已有方案相比，本发明具有更优的审计效率。

附图说明

图1是本发明实施例公开的一种云环境下外包数据的在线/离线完整性审计方法的应用系统设计图；

图2是本发明实施例公开的一种云环境下外包数据的在线/离线完整性审计方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

作为一种数据存储的新模式，云存储允许企业和个人将本地数据外包存储到云服务器。通过利用云服务器强大的计算和存储能力进行数据管理，从而节省本地开销。然而，这种新兴存储模式带来极大便利的同时，也带来了安全挑战。由于云服务商并非完全可信的，那么就出现了数据完整性问题。比如，云服务商可能将不经常访问的数据删除，或者对数据拥有者隐瞒数据丢失的事实。为了保证数据安全完整地存储在云服务器，外包数据完整性审计技术被提出并应用于云环境。然而，现有的方法存在安全攻击或者具有昂贵的计算开销，以及在执行多个审计任务时第三方审计者存在效率瓶颈的问题。因此，如何构建一种安全高效的外包数据完整性审计机制，已成为一个关键问题。

本实施例针对以上问题，主要研究了主要研究了外包数据的在线/离线完整性审计机制，提出了一种云环境下外包数据的在线/离线完整性审计方法，命名为OORDA方法，安全且高效地实现了外包数据的完整性验证功能。为了提升数据处理和验证的效率，本发明将数据完整性审计过程划分为在线和离线两个阶段。通过提前执行离线操作，本发明有效地降低了第三方审计者的在线计算开销。

下面结合图1对本实施例公开的一种云环境下外包数据的在线/离线完整性审计方法的具体过程进行详细说明。令BLS签名方案由(BLS.KeyGen,BLS.Sign,BLS.Verification)表示，其中BLS.KeyGen算法输入安全参数λ，输出签名公私密钥对{spk,ssk}；BLS.Sign算法输入签名私钥ssk和消息m，输出签名，记为σ＝Sign_ssk(m)；BLS.Verification算法输入签名公钥spk和签名σ，如果该算法输出0，表示签名无效，否则输出1，表示签名是有效的；第三方审计者TPA随机选取

其中

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，则第三方审计者TPA的公私密钥对为{PK_TPA＝g^γ,sk_TPA＝γ}，PK_TPA为第三方审计者TPA的公钥，sk_TPA为第三方审计者TPA的私钥。

一种云环境下外包数据的在线/离线完整性审计方法包括如下步骤：

S1、系统建立算法Setup(1^λ)：输入安全参数λ，数据拥有者DO首先选取一个阶数为p，生成元为g的双线性群G，选取群元素u∈G，群G_T，定义双线性映射e:G×G→G_T，表示将两个来自双线性群G的群元素通过双线性对配对运算，映射到一个来自群G_T的群元素；然后数据拥有者DO调用BLS.KeyGen算法生成一个签名密钥对{spk,ssk}，数据拥有者DO选取四个随机值

计算三个参数δ＝g^α,y＝g^β,

并计算两个秘密参数s＝α·β,

其中符号“·”表示乘法运算；数据拥有者DO选取一个抗碰撞哈希函数H:{0,1}*→{0,1}*，则系统公共参数设置为params＝{spk,g,u,δ,y,w,H}，私钥设置为sk＝{ssk,α,β,x₁,x₂}，授权私钥设置为

S2、标签生成算法TagBlock(params,sk,M)：输入系统公共参数params，私钥sk和文件M，数据拥有者DO首先将文件M分为n块，第i个文件块表示为m_i，i表示文件块的索引并且满足1≤i≤n；然后数据拥有者DO随机选取

作为文件名，n为文件块数目，调用BLS.Sign算法，将name||n作为需要签名的消息，生成一个签名σ＝Sign_ssk(name||n)并设置签名验证信息

其中ssk表示签名私钥，符号“||”表示字符串连接符；随后，数据拥有者DO计算x＝x₁·x₂，其中随机数

符号“·”表示乘法运算；对于第i(1≤i≤n)个文件块m_i，数据拥有者DO生成第i(1≤i≤n)个文件块标签如下：

其中，g为双线性群G的生成元，群元素u∈G，随机数

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||i)表示将name||i通过抗碰撞哈希函数H映射到一个哈希值。数据拥有者DO将文件块{m_i}_1≤i≤n和认证标签

发送给云服务器，并删除本地文件M，其中认证标签T包含三个参数，分别是随机数

签名验证信息

以及所有文件块标签{θ_i}_1≤i≤n。与此同时，数据拥有者DO将授权私钥sk_del安全地传送给第三方审计者TPA。

S3、挑战算法Challenge(params)：输入系统公共参数params，第三方审计者TPA首先从云服务器中获取签名验证信息

调用BLS.Verification算法，使用签名公钥spk验证签名σ＝Sign_ssk(name||n)，其中

为文件名，n为文件块数目，ssk表示签名私钥；如果签名无效，输出0并终止；否则，第三方审计者TPA接受name和n。然后第三方审计者TPA随机选取一个挑战集合

为每个j∈I选取随机值

其中j表示挑战的文件块索引并且满足1≤j≤n，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。第三方审计者TPA将挑战信息chal＝{j,v_j}_j∈I发送给云服务器。

S4、证明算法Proof(params,M,T,chal)：收到挑战信息chal后，输入系统公共参数params，文件M和认证标签T，云服务器计算

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机数

随机值

m_j表示第j个挑战文件块，θ_j表示第j个挑战文件块标签，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。云服务器将证明信息prf＝{μ,θ}发送给第三方审计者TPA。

S5、离线验证算法Verify_off(params)：输入系统公共参数params，第三方审计者TPA计算一个离线审计令牌Γ如下：

Γ＝e(u,PK_TPA)

其中，群元素u∈G，G表示一个双线性群，PK_TPA＝g^γ表示第三方审计者TPA的公钥且PK_TPA∈G，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，e(u,PK_TPA)表示将两个来自双线性群G的群元素{u,PK_TPA}通过双线性对配对运算，映射到一个来自群G_T的群元素，简称为双线性映射e:G×G→G_T。

S6、在线验证算法Verify_on(params,sk,Γ,chal,prf)：输入系统公共参数params，授权私钥sk_del，离线审计令牌Γ，挑战信息chal和证明信息prf，第三方审计者TPA首先计算验证参数

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机值

为文件名，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||j)表示将name||j通过抗碰撞哈希函数H映射到一个哈希值，符号“||”表示字符串连接符；然后第三方审计者TPA使用授权私钥

执行在线审计操作，从而验证文件M的完整性，如下：

其中，Γ表示离线审计令牌，秘密参数s＝αβ为授权私钥sk_del的一部分，随机值

sk_TPA表示第三方审计者TPA的私钥，验证参数

g为双线性群G的生成元，{μ,θ}为证明信息，参数y＝g^β为系统公共参数params的一部分，

表示将两个来自双线性群G的群元素

通过双线性对配对运算，映射到一个来自群G_T的群元素，即双线性映射e:G×G→G_T；符号

表示判定操作，即需要判定验证式左右两边的值是否相等；如果上述验证式成立，则输出1，表明文件完整地存储在云服务器。否则，算法输出0，表明文件被损坏。

假设LSH和RSH分别表示上述验证式的左边和右边，则云环境下外包数据的在线/离线完整性审计方法的正确性分析如下：

由此可知LSH＝RSH，意味着如果文件安全完整地存储在云服务器，则验证式成立。

在云环境下，实现外包数据的在线/离线完整性审计方案机制的具体例子如图1所示。该图包含三个实体：数据拥有者(Data Owner,DO)，云服务器(Cloud Server)，第三方审计者(Third-party Auditor,TPA)。

(1)数据拥有者(Data Owner,DO)通常是企业或个人，将数据外包给云服务器，以节省本地开销。具体来说，数据拥有者DO首先调用系统建立算法Setup(1^λ)，生成系统公共参数params，私钥sk和授权私钥sk_del。对于文件M，数据拥有者DO将通过调用标签生成算法TagBlock(params,sk,M)为所有的文件块生成认证标签，然后将文件和认证标签发送给云服务器。为了验证数据完整性，数据拥有者将授权密钥sk_del发送给第三方审计者，从而委托第三方审计者执行数据完整性审计操作。

(2)云服务器(Cloud Server,CS)具有强大的存储和计算能力。然而，云服务器是半可信的，即使数据被篡改或删除，它可能欺骗数据拥有者DO说外包数据是完整无损的保存在云服务器。为了防止这类欺骗行为，第三方审计者将调用挑战算法Challenge(params)进行审计挑战，云服务器根据挑战信息和文件信息，调用证明算法Proof(params,M,T,chal)生成证明信息。

(3)第三方审计者(Third-party Auditor,TPA)代替数据拥有者定期执行数据完整性审计，从而减轻数据拥有者的计算负担。在本发明中，审计过程分为离线审计和在线审计。在审计请求发生前，第三方审计者TPA执行离线验证算法Verify_off(params)，存储离线审计令牌。本发明使得第三方审计者TPA的在线验证算法Verify_on(params,sk_del,Γ,chal,prf)仅需小部分的计算开销，有效地提升了在线审计效率。

在效率方面，我们将提出的OORDA方法与文献[1,2]对比。具体来说，对比包括TagBlock，Proof和Verify算法的计算开销，如表1所示。其中，

表示哈希运算开销，A表示加法运算开销，

表示乘法运算开销，E表示指数运算开销，S表示签名算法BLS.Sign的计算开销，P表示双线性配对运算开销，n表示块的数目，|I|表示挑战块的数目。

表1.本发明与相关方案的计算开销对比

从表1可以看出,为了生成认证标签，本发明和文献[1]需要执行的乘法和指数运算的数目与块的数目相关。而在文献[2]中，认证标签生成过程划分为离线TagBlock_off和在线TagBlock_on两个阶段，其中在线阶段消耗的加法和乘法运算与块的数目线性相关。针对Proof算法，本发明的计算开销少于文献[1,2]。考虑完整性验证过程中的指数和双线性配对运算，文献[2]需要执行的指数操作和挑战块的数目相关，并且消耗三个双线性配对操作，而文献[1]需要执行四个双线性配对操作，给第三方审计者带来了昂贵的计算开销。然而，在本发明中，验证过程分为Verify_off和Verify_on两个阶段。具体来说，离线审计阶段需要计算一个双线性配对运算，而在线仅需两个指数和一个双线性配对运算。由此可知，本发明的在线审计开销低于文献[1,2]，有效地提升了数据审计效率。

其中，文献[1]的作者、文献名称和出处具体为Yuan J,Yu S.PCPOR:Public andConstant-cost Proofs of Retrievability in Cloud.Journal of Computer Security,2015,23(3):403-425。

文献[2]的作者、文献名称和出处具体为Wang Y,Wu Q,Qin B,et al.Online/Offline Provable Data Possession.IEEE Transactions on Information Forensicsand Security,2017,12(5):1182-1194。

性能分析表明，本发明比文献[1,2]于在线审计方面更为有效。由于本发明将审计分为离线和在线两个阶段，第三方审计者的在线计算开销可以大大降低，有效地解决了第三方审计者效率瓶颈的问题。

综上所述，本实施例为了进一步提升数据完整性审计的效率，基于在线/离线的思想，提出了一种云环境下安全的在线/离线外包数据审计方法，命名为OORDA方法，支持外包数据的在线/离线完整性验证功能。通过引入第三方审计者代替数据拥有者执行审计操作，本发明有效地节省了数据拥有者的计算开销。提出的OORDA方法将数据审计分为在线和离线两个阶段，允许第三方审计者提前计算一个离线的审计令牌，从而有效地降低了在线审计阶段的计算开销。本发明有效地解决了第三方审计者计算效率瓶颈的问题，从而提升数据完整性审计的整体效率。基于CDH困难问题，本发明在随机预言机模型下可证明安全。性能分析表明，与已有方案相比，本发明具有更优的审计效率。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (7)

1.一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述在线/离线完整性审计方法包括以下步骤：

S1、数据拥有者DO首先运行系统建立算法Setup(1^λ)，其中λ为安全参数，得到系统公共参数params、私钥sk和授权私钥sk_del，其中私钥sk和授权私钥sk_del由数据拥有者DO私密保存；

S2、数据拥有者DO使用系统公共参数params和私钥sk，通过标签生成算法TagBlock(params,sk,M)为文件M生成认证标签T，假设文件M分为n块，第i个文件块表示为m_i，i表示文件块的索引并且满足1≤i≤n,得到认证标签T,数据拥有者DO将文件块{m_i}_1≤i≤n和认证标签T上传到云服务器；

S3、当数据拥有者DO需要检查文件是否完整保存在云服务器时，数据拥有者DO将授权私钥sk_del通过安全通道传送给第三方审计者TPA，第三方审计者TPA使用系统公共参数params，通过调用挑战算法Challenge(params)，得到挑战信息chal，并将挑战信息chal传给云服务器；

S4、云服务器使用系统公共参数params，文件M和认证标签T，通过运行证明算法Proof(params,M,T,chal)得到关于挑战信息chal的证明信息prf，并将证明信息prf返回给第三方审计者TPA；

S5、第三方审计者TPA在收到审计任务之前，先使用系统公共参数params，调用离线验证算法Verify_off(params)得到离线审计令牌Γ；

S6、当收到证明信息prf时，第三方审计者TPA使用系统公共参数params，授权私钥sk_del，离线审计令牌Γ和挑战信息chal，运行在线验证算法Verify_on(params,sk_del,Γ,chal,prf)验证数据完整性，如果在线验证算法输出为1，则说明证明信息prf是有效的并且文件完整地存储在云服务器；如果在线验证算法输出为0，则说明文件被损坏。

2.根据权利要求1所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，令BLS签名方案由(BLS.KeyGen,BLS.Sign,BLS.Verification)表示，其中BLS.KeyGen算法输入安全参数λ，输出签名公私密钥对{spk,ssk}；BLS.Sign算法输入签名私钥ssk和消息m，输出签名，记为σ＝Signssk(m)；BLS.Verification算法输入签名公钥spk和签名σ，如果该算法输出0，表示签名无效，否则输出1，表示签名是有效的；第三方审计者TPA随机选取

其中

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，则第三方审计者TPA的公私密钥对为{PK_TPA＝g^γ,sk_TPA＝γ}，PK_TPA为第三方审计者TPA的公钥，sk_TPA为第三方审计者TPA的私钥；

所述系统建立算法Setup(1^λ)中，输入安全参数λ，数据拥有者DO首先选取一个阶数为p，生成元为g的双线性群G，选取群元素u∈G，群G_T，定义双线性映射e:G×G→G_T，表示将两个来自双线性群G的群元素通过双线性对配对运算，映射到一个来自群G_T的群元素；然后数据拥有者DO调用BLS.KeyGen算法生成一个签名密钥对{spk,ssk}，数据拥有者DO选取四个随机值

计算三个参数δ＝gα,y＝g^β,

并计算两个秘密参数s＝α·β,

其中符号“·”表示乘法运算；数据拥有者DO选取一个抗碰撞哈希函数H:{0,1}*→{0,1}*，则系统公共参数设置为params＝{spk,g,u,δ,y,w,H}，私钥设置为sk＝{ssk,α,β,x₁,x₂}，授权私钥设置为

3.根据权利要求2所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述标签生成算法TagBlock(params,sk,M)中，输入系统公共参数params，私钥sk和文件M，数据拥有者DO首先将文件M分为n块，第i个文件块表示为m_i，i表示文件块的索引并且满足1≤i≤n；然后数据拥有者DO随机选取

作为文件名，n为文件块数目，调用BLS.Sign算法，将name||n作为需要签名的消息，生成一个签名σ＝Sign_ssk(name||n)并设置签名验证信息

其中ssk表示签名私钥，符号“||”表示字符串连接符；随后，数据拥有者DO计算x＝x₁·x₂，其中随机数

符号“·”表示乘法运算；对于第i(1≤i≤n)个文件块m_i，数据拥有者DO生成第i(1≤i≤n)个文件块标签如下：

其中，g为双线性群G的生成元，群元素u∈G，随机数

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||i)表示将name||i通过抗碰撞哈希函数H映射到一个哈希值。数据拥有者DO将文件块{m_i}_1≤i≤n和认证标签

发送给云服务器，并删除本地文件M，其中认证标签T包含三个参数，分别是随机数

签名验证信息

以及所有文件块标签{θ_i}_1≤i≤n。与此同时，数据拥有者DO将授权私钥sk_del安全地传送给第三方审计者TPA。

4.根据权利要求2所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述挑战算法Challenge(params)中，输入系统公共参数params，第三方审计者TPA首先从云服务器中获取签名验证信息

name||n||σ，调用BLS.Verification算法，使用签名公钥spk验证签名σ＝Sign_ssk(name||n)，其中

为文件名，n为文件块数目，ssk表示签名私钥；如果签名无效，输出0并终止；否则，第三方审计者TPA接受name和n。然后第三方审计者TPA随机选取一个挑战集合

为每个j∈I选取随机值

其中j表示挑战的文件块索引并且满足1≤j≤n，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。第三方审计者TPA将挑战信息chal＝{j,v_j}_j∈I发送给云服务器。

5.根据权利要求1所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述证明算法Proof(params,M,T,chal)中，收到挑战信息chal后，输入系统公共参数params，文件M和认证标签T，云服务器计算

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机数

随机值

m_j表示第j个挑战文件块，θ_j表示第j个挑战文件块标签，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。云服务器将证明信息prf＝{μ,θ}发送给第三方审计者TPA。

6.根据权利要求1所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述离线验证算法Verify_off(params)中，输入系统公共参数params，第三方审计者TPA计算一个离线审计令牌Γ如下：

Γ＝e(u,PK_TPA)

其中，群元素u∈G，G表示一个双线性群，PK_TPA＝g^γ表示第三方审计者TPA的公钥且PK_TPA∈G，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，e(u,PK_TPA)表示将两个来自双线性群G的群元素{u,PK_TPA}通过双线性对配对运算，映射到一个来自群G_T的群元素，简称为双线性映射e:G×G→G_T。

7.根据权利要求1所述的一种云环境下外包数据的在线/离线完整性审计方法，其特征在于，所述线验证算法Verify_on(params,sk,Γ,chal,prf)中，输入系统公共参数params，授权私钥sk_del，离线审计令牌Γ，挑战信息chal和证明信息prf，第三方审计者TPA首先计算验证参数

其中，j表示挑战的文件块索引并且满足1≤j≤n，挑战集合

随机值

为文件名，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，H(name||j)表示将name||j通过抗碰撞哈希函数H映射到一个哈希值，符号“||”表示字符串连接符；然后第三方审计者TPA使用授权私钥

执行在线审计操作，从而验证文件M的完整性，如下：

其中，Γ表示离线审计令牌，秘密参数s＝αβ为授权私钥sk_del的一部分，随机值

sk_TPA表示第三方审计者TPA的私钥，验证参数

g为双线性群G的生成元，{μ,θ}为证明信息，参数y＝g^β为系统公共参数params的一部分，

表示将两个来自双线性群G的群元素

通过双线性对配对运算，映射到一个来自群G_T的群元素，即双线性映射e:G×G→G_T；符号

表示判定操作，即需要判定验证式左右两边的值是否相等；如果上述验证式成立，输出为1，则说明证明信息prf是有效的并且文件完整保存在云服务器；如果上述验证式不成立，输出为0，则说明文件被损坏。

Images