CN113992389A - 一种基于动态频率表的sgx数据完整性审计方法 - Google Patents

Abstract

本发明提供一种基于动态频率表的SGX数据完整性审计方法，涉及信息安全技术领域。该基于动态频率表的SGX数据完整性审计方法，包括以下六个步骤：S1.密钥分配与签名预处理；S2.SGX实时更新数据块使用频率值；S3.SGX发起审计挑战；S4.CSP提供数据证据；S5.SGX检查证据的正确性；S6.SGX公布审计结果。本发明，根据用户实时使用数据的频率划分审计挑战采样单元，基于PPS实现了结合数据使用频率的动态抽样机制。与静态随机抽样方式相比，使用更少的挑战数据块数目就能完成单次完整性审计任务，提高完整性审计系统效率。

Description

一种基于动态频率表的SGX数据完整性审计方法

技术领域

本发明涉及信息安全技术领域，具体为一种基于动态频率表的SGX数据 完整性审计方法。

背景技术

云存储服务是一种基于云计算的新兴技术手段，大量用户将数据存储到云， 为解决用户自身存储空间，用户将删除本地副本，使得用户失去对数据的实际控 制。这使得远程数据完整性验证成为一个热门话题。由于专业知识有限、计算资 源受限等原因使得用户不能直接在对远程数据进行审计，将数据审计任务托付给 第三方可以减轻用户负担，此即为公有审计，可信第三方可以定期对审计结果进 行统计和发布，从而约束云的恶意行为。传统的审计方法只能随机抽取数据块进 行挑战，或者使用静态抽样，但只能根据事先给定的频率数值进行抽样，不能根 据用户实时存储情况修改数据频率。

2007年Ateniese等人提出了一个可证明数据拥有模型。PDP协议支持公共 审核，以确保数据在不受信任的服务器上可以安全存储，但它只支持静态审核， 不支持动态数据验证。2008年，Ateniese等人提出了另一种改进的可证明数据 拥有协议，该协议支持动态审核，但不能完全支持动态，如插入操作。第二年， Wang等人提出了质询-响应协议，该协议可以检测数据的正确性和错误的位置， 但仍然不能支持完全动态验证。同年，Erway等人提出了一种动态的可证明数据 拥有协议，支持完全动态的数据。但是，不支持公共审计。2007年，Juels和Kaliski 提出了允许数据恢复的可恢复性证明协议(proofofretrievabilityprotocol,POR)，不仅可以检查数据的完整性，还可以 恢复原始数据。然而，他们的方案只支持静态数据存储。第二年，Shacham和Waters 提出了一种改进的POR协议，使用BLS签名代替RSA签名来缩短审计证据的长度， 但是该协议也只考虑静态数据。2011年，Wang等人在上述协议的基础上，提出 了一种解决全动态公共审计问题的新协议。2013年，Wang等人指出Wang等人的 协议存在隐私问题。TPA可以通过审计证明来计算用户数据，Wang等人提出了避 免这种隐私问题的方案。从此，动态公开核查协议基本达成。此后，已有多位学 者基于上述方案研究了审计效率、审计背景和用户密钥安全等因素。例如，在动 态审计过程中，审计数据块大小是固定的，这会影响更新的效率。2014年，Liu 等人提出了一种协议，该协议支持在动态审计时，审计数据块的大小不固定。2017 年，Song等人提出了一种添加同态操作的签名机制，在动态审计的过程中处理服 务器上共享数据的修改。此签名机制支持多用户修改的正确性和完整性验证，而 不需要数据所有者始终在线。同年，Fu等人提出了一种新的隐私感知的公共审计 机制，解决了共享数据完整性的公共审计问题，但可能会暴露数据所有者的敏感 信息。Fu等人的协议设计了成员组的t个管理者共同生成一个跟踪密钥，防止审 计权被滥用，并构造一个二叉树结构，组成员可以跟踪数据更改并回滚数据。2017 年，Yu等人提出了一种反密钥泄露协议，解决了审计过程中用户密钥泄露的问题。 在Yu协议的不同阶段，用户生成了不同的密钥签名。只要攻击者无法获得当前密 钥，就不会对数据的安全性构成威胁。2017年，Wang等人提出了基于激励和无 条件匿名身份的公共PDP(IAID-PDP)协议，解决了审计过程中的用户身份隐私问 题。Wang等人的方案将机构视为司法机构，为提供重要信息的用户提供身份保护 和激励。目前，大多数审计方案在经典审计协议的基础上，主要关注审计性能、 审计角色变化、用户隐私等方面。然而，对审计数据的选择以提高审计效率的研 究较少。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种基于动态频率表的SGX数据完 整性审计方法，通过使用SGX来代替可信第三方(TPA)来完成公共审计，在 实现TPA审计功能的同时也完美地解决了用户隐私泄露的问题，同时，在SGX 审计机制下，提出了频率数值修改机制，实时记录用户对数据的存取情况。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种基于动态频 率表的SGX数据完整性审计方法，所述方法包括以下步骤：

S1、预处理阶段，用户生成同态可验证标签，并将这些标签和外包的数 据块发送给CSP；将文件名、数据总块数、授权信息以及发起审计挑战的时间 间隔发给SGX，SGX对其存储数据频率的二维数组数组进行初始化；

S2、CSP向SGX发送用户对数据的存取情况，SGX实时对数据块的使用频 率值进行更新；

S3、SGX根据用户定义的审计挑战时间间隔定期对CSP发起审计挑战，挑 战的数据块根据PPS算法选择，SGX将用户授权信息和要检验的数据块发送给 CSP；

S4、收到挑战消息后，CSP检查SGX授权的合法性，如果有效，CSP应向 SGX提供证明；否则,不会回应挑战；

S5、最后，SGX检查CSP返回证明的正确性，并向用户发送审计结果，并 存储审计结果；

S6、为了减轻审计系统的计算压力，SGX定期对审计结果进行统计和发布， 可以约束CSP的恶意行为，帮助公众做出选择存储服务器、确定审计周期等 决策。

优选的，包括云数据存储服务模型，涉及三个不同的实体，分别为用户、 云服务提供商以及公众，每个实体的具体描述如下:

1)数据拥有者:需要存储在云中的大量数据，且用户之间相互独立；

2)云服务提供商：分为两部分：1、云存储服务器(CSP)，有一定的存 储空间和计算资源来保存用户的数据；2、支持SGX的服务器：诚实实体，用 来作为可信的第三方实现公共审计和存储用户数据的存取信息从而实现动态 数据抽样；

3)数据使用者：正在使用存储服务或希望使用CSP提供的存储服务。

优选的，所述SGX对其存储数据频率的二维数组数组进行初始化如下： 初始化阶段，用户将文件名id、数据总块数n、初始数据使用频率frequency{f₁～f_n}、 授权信息以及发起审计挑战的时间间隔发给SGX，SGX对其存储数据频率的二维数 组数组进行初始化，每次当用户对相应的数据块进行访问或者修改时，相应数据 块的数据使用频率也会发生相应的变化。

优选的，所述基于频率数值修改机制的动态抽样方法，具体如下：

1)算法MGeneration

此算法用于生成并初始化二维数组以及生成累积表，其中，在预处理期间包 括两种算法。第一种算法生成一个二维数组M_local[i][j]，该数据集为PPS保留在SGX 中，M_local[i][j]由是数据块的频率和id组成，M＝{m₁，m₂，...，m_n}作为输入，由用户 将其上传至CSP，输出为M_local[i][j]；

3)算法TcumGeneration

此算法用于生成一个积累表T_cum，使用PPS对积累表中的频率进行采样， 入为最小频率f_min，最大频率f_max，频率间隔interv，输出为T_cum；

3)频率数值修改算法modify()

该算法用于动态修改数据块的频率，每当用户存取数据块或审计抽样后，对 应的数据块频率也需要进行更新，同时重新生成累计表，输入为用户的读取操作 call，要访问的文件块id,输出为更新后的二维数组M′_local[i][j]；

4)算法PPSample(M_local，T_cum，n，m)

此算法用于采用PPS采样抽取审计数据集IChal，所提出的方案在第一阶段 使用PPS从累积表T_cum中的采样n个单元，通常，n个单元的频率较低，第二阶 段，每个单元随机抽取m个元素，因此，总共采样n*m个元素，输入是M_local，T_cum，n，m， 输出是一个数据集IChal，其中包含n*m个元素的id。

包括频率数据修改机制的动态抽样审计协议，具体如下：

1)初始化参数：

设G₁和G₂是两个p阶素数乘法循环群，所提方案的全局安全参数为 (G₁，G₂，e，p，g，u，H),这里的e：G₁×G₁→G₂是一个双线性映射，g是G₁的一个 随机生成元，u是G₁中的，一个随机元素，H：{0，1}*→G₁是一个从任意符号串 到G₁中元素的安全单向散列函数；

2)算法KeyGen(1^k)：

此算法用于为用户和CSP生成密钥，用户首先选择一个随机值α←Z_P作为 他的私钥sk_u,然后他计算v←g^α作为他的公钥，之后，用户将其公钥pk_u上传 到支持SGX的服务器，并将其私钥存储在本地，并在SGX服务器上执行 TcumGeneration算法，CSP生成他的密钥对{pk_csp，sk_csp}，他发送他的公钥给SGX， 把私钥保存在本地；

3)算法SigGen(M，sk_u)：

此算法用于为每个数据块生成签名，外包数据为M＝{m₁，m₂，…，m_n}，对于 每一个m_i∈(i∈[1，n]),用户使用其私钥α来生成同态可验证签名

并将其聚合称为一个同态签名集合φ＝{σ_i}_1≤i≤n，用户生 成M的标签

其中

为用户选 择作为M的唯一标识符的一个随机值，执行算法MGeneration，用户发送{M，φ，tag} 给CSP，并将M和Φ从本地存储中删除；

4)算法SigSGX(sk_u，tag)：

此算法用于对SGX进行审计授权，用户向SGX请求他的ID,以便授予它审计 权限，SGX返回的PID是使用CSP公钥的ID密文，用户计算 sig_SGX＝sig_sku(AUTH||PID||tag)，其中AUTH是用户选择的随机值。然后， 用户向CSP发送AUTH，向SGX发送签名sig_SGX；

5)算法challenge(pk_csp，sig_SGX，IChal)：

此算法用于生成审计用的挑战信息，SGX是根据公共审计过程中的审计要求 随机选择的系数v_i←Z_p，其中i∈IChal，执行算法 PPSample(M_local，T_cum，n，m)，生成挑战消息如下：

SGX将挑战消息发送给CSP；

6)算法proof(chal，Φ，M)：

此算法用于CSP生成审计证据，在接收到挑战消息chal后，CSP使用其私钥 sk_csp解密

接下来他使用AUTH，PID，tag以及用户公钥pk_u来验证这个 SGX是否确实是用户通过下式授权的:

如果成 立，CSP计算

以及

CSP将回复给SGX一个证 明

7)算法verify(pk_u，chal，P)：

此算法用于SGX验证CSP返回的证明是否正确，SGX检查收到的证明，

如果等于，则算法返回TRUE,SGX认为存储在云上的数据是完整的，否则返回FALSE，SGX将结果发送给用户；

8)算法collect(auditingResults)：

SGX收集使用CSP存储服务的每个用户的审计结果，并根据挑战数据块的大 小对审计结果进行分类，一段时间后，SGX将获得关于CSP存储行为的统计信息， 执行算法modify()。

(三)有益效果

本发明提供了一种基于动态频率表的SGX数据完整性审计方法。具备以 下有益效果：

1、本发明，根据用户实时使用数据的频率划分采样单元，实现了基于PPS 的动态抽样机制，与静态随机抽样方式相比，正确性相同的前提下需挑战的 数据块更少，效率更高。

2、在安全性方面，TPA通过计算CSP返回的证据来获取数据，这会导致 用户数据的隐私泄露，因此用户不能交由TPA记录数据存取情况，本发明提 出了一种基于SGX应用的动态抽样数据审计方法，在实现TPA审计功能的同 时有效地避免了用户隐私的泄露。

3、本发明采用的基于SGX的动态抽样机制可以使审计变得更加高效，不 会重复抽取同一数据块进行验证，通过审核更少的数据就足以证明整体数据 的完整性。

4、本发明，SGX作为云存储服务器CSP中的一部分，取代了第三方审核 员TPA，将三个实体间相互通信的审计问题简化成两个实体间的通信，这使得 通信开销大大减少，节省了网络资源。

附图说明

图1为本发明系统模型图；

图2为本发明基于SGX的审计机制算法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

如图1-2所示，本发明实施例提供一种基于动态频率表的SGX数据完整 性审计方法，该方法包括以下步骤：

S1、预处理阶段，用户生成同态可验证标签，并将这些标签和外包的数 据块发送给CSP；将文件名、数据总块数、授权信息以及发起审计挑战的时间 间隔发给SGX，SGX对其存储数据频率的二维数组数组进行初始化；

S2、CSP向SGX发送用户对数据的存取情况，SGX实时对数据块的使用频 率值进行更新；

S3、SGX根据用户定义的审计挑战时间间隔定期对CSP发起审计挑战，挑 战的数据块根据PPS算法选择，SGX将用户授权信息和要检验的数据块发送给 CSP；

S4、收到挑战消息后，CSP检查SGX授权的合法性，如果有效，CSP应向 SGX提供证明；否则,不会回应挑战；

S5、最后，SGX检查CSP返回证明的正确性，并向用户发送审计结果，并 存储审计结果；

S6、为了减轻审计系统的计算压力，SGX定期对审计结果进行统计和发布， 可以约束CSP的恶意行为，帮助公众做出选择存储服务器、确定审计周期等 决策。

在本发明中，使用SGX来代替可信第三方(TPA)来完成公共审计，在实 现TPA审计功能的同时也完美地解决了用户隐私泄露的问题。同时，在SGX 审计机制下，提出了频率数值修改机制，实时记录用户对数据的存取情况。 基于数据访问具有一定的频率和周期这一特点，本发明采用动态PPS方法选 择挑战数据块。PPS指的是概率抽样，根据辅助信息将种群划分为容量不等的 初级采样单元(PSU)。在多阶段抽样，特别是两阶段抽样中，PSU的抽样概率 取决于PPS中PSU的大小。PSU越大，选择PSU的概率越大。PSU的大小越小， 得到PSU的概率就越小。在本发明中，云服务器会删除用户不常用的数据， 因此选择数据的实时频率作为辅助信息，划分用户数据，形成PSU。由不常用 数据组成的PSU规模较大，选择这种PSU作为挑战数据块的概率很高，该方 案比一般审计方案中的静态选择数据块更有效。SGX中存储数据使用频率的二 维数组如下表所示：

云数据存储服务模型，涉及三个不同的实体，分别为用户、云服务提供 商以及公众，每个实体的具体描述如下:

1)数据拥有者:需要存储在云中的大量数据，且用户之间相互独立；

2)云服务提供商：分为两部分：1、云存储服务器(CSP)，有一定的存 储空间和计算资源来保存用户的数据；2、支持SGX的服务器：诚实实体，用 来作为可信的第三方实现公共审计和存储用户数据的存取信息从而实现动态 数据抽样；

3)数据使用者：正在使用存储服务或希望使用CSP提供的存储服务。

SGX对其存储数据频率的二维数组数组进行初始化如下：初始化阶段，用 户将文件名id、数据总块数n、初始数据使用频率frequency{f₁～f_n}、授权信息以 及发起审计挑战的时间间隔发给SGX，SGX对其存储数据频率的二维数组数组进行 初始化，每次当用户对相应的数据块进行访问或者修改时，相应数据块的数据使 用频率也会发生相应的变化。

本发明中，基于频率数值修改机制的动态抽样方法，具体如下：

1)算法MGeneration：

此算法用于生成并初始化二维数组以及生成累积表。其中，在预处理期间包 括两种算法。第一种算法生成一个二维数组M_local[i][j]，该数据集为PPS保留在SGX 中，M_local[i][j]由是数据块的频率和id组成，M＝{m₁，m₂，...，m_n}作为输入，由用户 将其上传至CSP，输出为M_local[i][j]，具体的算法如下：

2)算法TcumGeneration

此算法生成一个积累表T_cum，使用PPS对积累表中的频率进行采样。入为 最小频率f_min，最大频率f_max，频率间隔interv，输出为T_cum，算法如下:

算法2生成的表T_cum为:

3)频率数值修改算法modify()

该算法用于动态修改数据块的频率，每当用户存取数据块或审计抽样后，对 应的数据块频率也需要进行更新，同时重新生成累计表。输入为用户的读取操作 call，要访问的文件块id,输出为更新后的二维数组M′_local[i][j]；

4)算法PPSample(M_local，T_cum，n，m)，

此算法主要功能是采用PPS采样抽取审计数据集IChal，所提出的方案在 第一阶段使用PPS从累积表T_cum中的采样n个单元，通常，n个单元的频率较低， 第二阶段，每个单元随机抽取m个元素，因此，总共采样n*m个元素。输入是 M_local，T_cum，n，m，输出是一个数据集IChal，其中包含n*m个元素的id，算法如下:

本发明，还包括频率数据修改机制的动态抽样审计协议，具体如下：

1)初始化参数：

设G₁和G₂是两个p阶素数乘法循环群，所提方案的全局安全参数为 (G₁，G₂，e，p，g，u，H),这里的e：G₁×G₁→G₂是一个双线性映射，g是G₁的一个 随机生成元，u是G₁中的，一个随机元素，H：{0，1}*→G₁是一个从任意符号串 到G₁中元素的安全单向散列函数；

2)算法KeyGen(1^k)：

此算法用于为用户和CSP生成密钥，用户首先选择一个随机值α←Z_P作为 他的私钥sk_u,然后他计算v←g^α作为他的公钥，之后，用户将其公钥pk_u上传 到支持SGX的服务器，并将其私钥存储在本地，并在SGX服务器上执行 TcumGeneration算法，CSP生成他的密钥对{pk_csp，sk_csp}，他发送他的公钥给SGX， 把私钥保存在本地；

3)算法SigGen(M，sk_u)：

此算法用于为每个数据块生成签名，外包数据为M＝{m₁，m₂，…，m_n}，对于 每一个m_i∈M(i∈[1，n]),用户使用其私钥α来生成同态可验证签名

并将其聚合称为一个同态签名集合φ＝{σ_i}_1≤i≤n，用户生 成M的标签

其中

为用户选 择作为M的唯一标识符的一个随机值，执行算法MGeneration，用户发送{M，φ，tag} 给CSP，并将M和Φ从本地存储中删除；

4)算法SigSGX(sk_u，tag)：

此算法用于对SGX进行审计授权，用户向SGX请求他的ID,以便授予它审计 权限，SGX返回的PID是使用CSP公钥的ID密文，用户计算 sig_SGX＝sig_sku(AUTH||OUD||tag)，其中AUTH是用户选择的随机值。然后， 用户向CSP发送AUTH，向SGX发送签名sig_SGX；

5)算法challenge(pk_csp，sig_SGX，IChal)：

此算法用于生成审计用的挑战信息，SGX是根据公共审计过程中的审计要求 随机选择的系数v_i←Z_p，其中i∈IChal，执行算法 PPSample(M_local，T_cum，n，m)，生成挑战消息如下：

SGX将挑战消息发送给CSP；

6)算法proof(chal，Φ，M)：

此算法用于CSP生成审计证据，在接收到挑战消息chal后，CSP使用其私钥 sk_csp解密

接下来他使用AUTH，PID，tag以及用户公钥pk_u来验证这个SGX是否确实是用户通过下式授权的:

如果成立，CSP计算

以及

CSP将回复给SGX一个证 明

7)算法verify(pk_u，chal，P)：

此算法用于SGX验证CSP返回的证明是否正确，SGX检查收到的证明，

如果等于，则算法返回TRUE,SGX认为存储在云上的数据是完整的，否则返回FALSE，SGX将结果发送给用户；

8)算法collect(auditingResults)：

SGX收集使用CSP存储服务的每个用户的审计结果，并根据挑战数据块的大 小对审计结果进行分类，一段时间后，SGX将获得关于CSP存储行为的统计信息， 执行算法modify()。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来 将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示 这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、 “包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系 列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明 确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有 的要素。在没有更多限制的情况下，由语句“包括一个引用结构”限定的要 素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的 相同要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而 言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限 定。

Claims (5)

1.一种基于动态频率表的SGX数据完整性审计方法，其特征在于：所述方法包括以下步骤：

S1、预处理阶段，用户生成同态可验证标签，并将这些标签和外包的数据块发送给CSP；将文件名、数据总块数、授权信息以及发起审计挑战的时间间隔发给SGX，SGX对其存储数据频率的二维数组数组进行初始化；

S2、CSP向SGX发送用户对数据的存取情况，SGX实时对数据块的使用频率值进行更新；

S3、SGX根据用户定义的审计挑战时间间隔定期对CSP发起审计挑战，挑战的数据块根据PPS算法选择，SGX将用户授权信息和要检验的数据块发送给CSP；

S4、收到挑战消息后，CSP检查SGX授权的合法性，如果有效，CSP应向SGX提供证明；否则,不会回应挑战；

S5、SGX检查CSP返回证明的正确性，并向用户发送审计结果，并存储审计结果；

S6、SGX定期对审计结果进行统计和发布。

2.根据权利要求1所述的一种基于动态频率表的SGX数据完整性审计方法，其特征在于：包括云数据存储服务模型，涉及三个不同的实体，分别为用户、云服务提供商以及公众，每个实体的具体描述如下:

1)数据拥有者:需要存储在云中的大量数据，且用户之间相互独立；

2)云服务提供商：分为两部分：1、云存储服务器(CSP)，有一定的存储空间和计算资源来保存用户的数据；2、支持SGX的服务器：诚实实体，用来作为可信的第三方实现公共审计和存储用户数据的存取信息从而实现动态数据抽样；

3)数据使用者：正在使用存储服务或希望使用CSP提供的存储服务。

3.根据权利要求1所述的一种基于动态频率表的SGX数据完整性审计方法，其特征在于：所述SGX对其存储数据频率的二维数组数组进行初始化，包括：初始化阶段，用户将文件名id、数据总块数n、初始数据使用频率、授权信息以及发起审计挑战的时间间隔发给SGX，SGX对其存储数据频率的二维数组数组进行初始化，每次当用户对相应的数据块进行访问或者修改时，相应数据块的数据使用频率也会发生相应的变化。

4.根据权利要求1所述的一种基于动态频率表的SGX数据完整性审计方法，其特征在于：所述挑战的数据块根据PPS算法选择包括：

基于频率数值修改机制的动态抽样方法选择挑战的数据块，具体方法包括如下至少一种方法：

1)算法MGeneration

此算法用于生成并初始化二维数组以及生成累积表，其中，在预处理期间包括两种算法，第一种算法生成一个二维数组M_local[i][j]，该数据集为PPS保留在SGX中，M_local[i][j]由是数据块的频率和id组成，M＝{m₁，m₂，...，m_n}作为输入，由用户将其上传至CSP，输出为M_local[i][j]；

2)算法TcumGeneration

此算法用于生成一个积累表T_cum，使用PPS对积累表中的频率进行采样，入为最小频率f_min，最大频率f_max，频率间隔interv，输出为T_cum；

3)频率数值修改算法modify( )

该算法用于动态修改数据块的频率，每当用户存取数据块或审计抽样后，对应的数据块频率也需要进行更新，同时重新生成累计表，输入为用户的读取操作call，要访问的文件块jd，输出为更新后的二维数组M′_local[i][j]；

4)算法PPSample(M_local，T_cum，n，m)

此算法用于采用PPS采样抽取审计数据集IChal，所提出的方案在第一阶段使用PPS从累积表T_cum中的采样n个单元，通常，n个单元的频率较低，第二阶段，每个单元随机抽取m个元素，因此，总共采样n*m个元素，输入是M_local，T_cum，n，m，输出是一个数据集lChal，其中包含n*m个元素的id。

5.根据权利要求1所述的一种基于动态频率表的SGX数据完整性审计方法，其特征在于：包括频率数据修改机制的动态抽样审计协议，具体如下：

1)初始化参数：

设G₁和G₂是两个p阶素数乘法循环群，所提方案的全局安全参数为(G₁，G₂，e，p，g，u，H)，这里的e：G₁×G₁→G₂是一个双线性映射，g是G₁的一个随机生成元，u是G₁中的，一个随机元素，H：{0，1}^*→G₁是一个从任意符号串到G₁中元素的安全单向散列函数；

2)算法KeyGen(1^k)：

此算法用于为用户和CSP生成密钥，用户首先选择一个随机值α←Z_P作为他的私钥sk_u，然后他计算v←g^α作为他的公钥，之后，用户将其公钥pk_u上传到支持SGX的服务器，并将其私钥存储在本地，并在SGX服务器上执行TcumGeneration算法，CSP生成他的密钥对{pk_csp，sk_csp}，他发送他的公钥给SGX，把私钥保存在本地；

3)算法SigGen(M，sk_u)：

此算法用于为每个数据块生成签名，外包数据为M＝{m₁，m₂，…，m_n}，对于每一个m_i∈M(i∈[1，n])，用户使用其私钥α来生成同态可验证签名

并将其聚合称为一个同态签名集合Φ＝{σ_i}_1≤i≤n，用户生成M的标签

其中

为用户选择作为M的唯一标识符的一个随机值，执行算法MGeneration，用户发送{M，Φ，tag}给CSP，并将M和Φ从本地存储中删除；

4)算法SigSGX(sk_u，tag)：

此算法用于对SGX进行审计授权，用户向SGX请求他的ID，以便授予它审计权限，SGX返回的PID是使用CSP公钥的ID密文，用户计算sig_SGX＝sig_sku(AUTH||PID||tag)，其中AUTH是用户选择的随机值。然后，用户向CSP发送AUTH，向SGX发送签名sig_SGX；

5)算法challenge(pk_csp，sig_SGX，IChal)：

此算法用于生成审计用的挑战信息，SGX是根据公共审计过程中的审计要求随机选择的系数v_i←Z_p，其中i∈IChal，执行算法PPSample(M_local，T_cum，n，m)，生成挑战消息如下：

SGX将挑战消息发送给CSP；

6)算法proof(chal，Φ，M)：

此算法用于CSP生成审计证据，在接收到挑战消息chal后，CSP使用其私钥sk_csp解密

接下来他使用AUTH，PID，tag以及用户公钥pk_u来验证这个SGX是否确实是用户通过下式授权的：

如果成立，CSP计算

m_i∈Z_p以及

CSP将回复给SGX一个证明

7)算法verify(pk_u，chal，P)：

此算法用于SGX验证CSP返回的证明是否正确，SGX检查收到的证明，

如果等于，则算法返回TRUE，SGX认为存储在云上的数据是完整的，否则返回FALSE，SGX将结果发送给用户；

8)算法collect(auditingResults)：

SGX收集使用CSP存储服务的每个用户的审计结果，并根据挑战数据块的大小对审计结果进行分类，一段时间后，SGX将获得关于CSP存储行为的统计信息，执行算法modify( )。

Images