CN116366239A - 一种匿名数据的云审计方法及系统 - Google Patents

Abstract

本发明是关于一种匿名数据的云审计方法及系统。该方法包括：群管理员设置初始群状态，密钥生成中心PKG生成主密钥、部分密钥和公共参数；群管理员为每个所述群用户分配一个唯一标识符；群管理员生成第一密钥对并分发给相应的群用户；群用户生成文件标签，对于文件的每个块，计算相应的验证器，云服务器验证文件标签和验证器的正确性；第三方审计员TPA生成审计挑战；云服务器创建相应的证明；TPA验证所述证明的正确性。本发明提供的技术方案，在审计模型中引入了新的匿名策略，基于群元素等价类替换的匿名策略实现了匿名和追溯仅仅需要常数级消耗，可同时支持匿名、用户撤销和追溯功能。

Description

一种匿名数据的云审计方法及系统

技术领域

本发明涉及通信领域，尤其涉及一种匿名数据的云审计方法及系统。

背景技术

云计算和扩展的云存储服务已成为当今IT行业的主流，远程工作的人数正在迅速增加，越来越多的人接触和享受云存储服务带来的便利，但在获得便利的同时，用户失去了对共享数据的直接控制权，云环境的不可控性和复杂性给共享数据带来了许多安全挑战，一方面，云存储服务提供商可能是恶意的，丢弃不经常使用的部分以产生更多收益，造成数据完整性被破坏，另一方面，管理员错误操作、磁盘损坏、备份和恢复失败以及恶意攻击等都会导致数据丢失。

为了确保数据完整性，目前的审计方案是：数据所有者计算签名，并将文件块与身份验证器一起上传到云端，然后，这些身份验证器由数据所有者自己或任何第三方审计员(TPA)验证，以证明云完全拥有这些文件块。

目前在大多数审计方案中，匿名性和效率、匿名性和可追溯性往往不能兼容。一种技术是应用盲签名技术来保护用户匿名和身份隐私，这种方案需要添加一个安全中间体来帮助用户生成验证器，但是引入实体不可避免地增加了大量的通信开销。还有一种方法是通过环签名来实现匿名审计方案，在这种方案中，随着用户数量的增长，生成签名的开销将猛增。以上两种技术都无法实现溯源功能。因此，如何构建既能提供匿名性又能提供可追溯性功能的高效审计策略仍然是一个亟待解决的问题。

发明内容

为克服相关技术中存在的问题，本发明提供一种新颖的审计策略，在保证用户能够高效实现匿名共享文件的前提下，支持高效的用户撤销。与此同时，我们还能够保持对撤销匿名用户的追溯性和保证定时审计的有效实施。

根据本发明实施例的第一方面，提供一种匿名数据的云审计方法，用于群组数据的验证，所述群组包括多个群用户和至少一个群管理员，其特征在于，包括：

1)初始化阶段

所述群管理员设置初始群状态，密钥生成中心PKG生成主密钥、部分密钥和公共参数；

2)请求加入阶段

所述群管理员为每个所述群用户分配一个唯一标识符；

3)钥匙生成阶段

所述群管理员根据每个所述群用户的标识符生成第一密钥对，并将所述第一密钥对分发给相应的群用户；

4)验证器生成阶段

群用户生成文件标签，对于文件的每个块，计算相应的验证器，云服务器验证所述文件标签和验证器的正确性；

5)证明生成阶段

第三方审计员TPA生成审计挑战；

所述云服务器基于所述审计挑战创建相应的证明，以验证所述云服务器拥有完整的共享数据；

6)证明验证阶段

TPA验证所述证明的正确性。

根据本发明实施例的第二方面，提供一种匿名数据的云审计系统，用于群组数据的验证，其特征在于，包括由多个群用户和至少一个群管理员组成的群组、密钥生成中心、云服务器和第三方审计员；

所述群管理员，用于设置初始群状态，所述密钥生成中心PKG，用于生成主密钥、部分密钥和公共参数；

所述群管理员，还用于为每个所述群用户分配一个唯一标识符；

所述群管理员，还用于根据每个所述群用户的标识符生成第一密钥对，并将所述第一密钥对分发给相应的群用户；

所述群用户，用于生成文件标签，对于文件的每个块，计算相应的验证器，所述云服务器，用于验证所述文件标签和验证器的正确性；

第三方审计员TPA，用于生成审计挑战；

所述云服务器，还用于基于所述审计挑战创建相应的证明，以验证所述云服务器拥有完整的共享数据；

所述TPA，还用于验证所述证明的正确性。

本发明具体能够取得以下有益效果：

1.利用基于等价类的结构保留签名和具有灵活的公钥签名两种技术，实现了用户共享文件的匿名属性，用户只需要在上传文件前，将其公私钥替换为群中的另一个等价类，就会导致公钥不会被指向该用户，且证书可以依据结构保留签名做等效的等价类替换，至此上传的文件只有拥有陷门的群管理员才可以知道是谁上传了文件。该匿名策略和群管理员的追溯功能仅需要常数时间实现，且是非侵入性的。

2.该方案对频繁的用户撤销也做了相应的支持，群中用户离开后，传统方案主要是通过将文件进行重签来保证审计的继续实施，本方案利用了最新的技术避免海量数据进行重签带来的大量计算开销。具体的我们通过文件tag记录当前群状态，利用替换公钥来代替重签文件。相比于海量文件重签带来的计算开销，这样的策略带来的计算成本是微不足道的。

3.此外，利用该撤销技术还可以保证定时审计的正常实施。相比于传统方案，每当用户撤销，该撤销用户上传的文件将被群中未撤销用户或者云进行重签，如果恰好此时审计员抽到了该重签文件中的某些块，审计工作将被暂停，这将难以保证用户和审计员协商的定期审计。通过以替换私钥来代替重签的，可以在避免重签带来的巨额开销的同时，保证了审计的不间断执行。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。

图1是本发明方法的系统模型图。

具体实施方式

下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明方案中，共享文件F将被分成n个块(m₁...m_n)，其中m_j表示共享文件F的第j^th个块，

为了更清楚地描述本发明方案，使用基于ID的数字签名SSig来确保文件tag的完整性。这是一个安全的签名方案。创建共享群时，将为群分配一个唯一的ID。本实施例中使用ssk表示SSig对应的密钥，并假设每个群用户都持有密钥ssk。最初，假设群中有d个用户U_i(0≤i≤d)。SPS-EQ(Structure-PreservingSignaturesonEquivalence，结构保留签名)是一种在其等价类上用另一个代表替换签名的技术。类似地，SFPK(Signatureswith Flexible Public Key，签名带有灵活的钥匙)是一种将密钥替换为其等价类的另一个代表的技术，具体这两种技术方案的实现，在下文做了引用。下面将本发明的技术方案表述如下：

1)初始化算法：该算法由PKG(密钥生成中心)和群管理员执行。群管理员设置初始群状态。PKG主要负责生成主密钥、部分密钥和系统公共参数。

a)PKG随机选择一个双线性映射e：G₁×G₂→G_T，其中G₁，G₂和G_T是三个素数阶p的乘法循环群。PKG从G₁中随机选择两个生成源g₁和u₁，从G₂中选择一个生成源g₂，以及两个不同的密码学哈希函数：

和H₂：{0，1}^*→G₁。

b)PKG随机选择系统主密钥

该值随后用于生成系统公共参数。PKG自己保存主密钥。

c)群管理员设置初始群初始撤销号RN＝0并将该值R_RN＝H₁(RN)发送给PKG、云和群用户。此外，PKG计算两个公共值

和/>

d)PKG随机选取部分密钥

发送给群管理员，用于生成用户的公钥和私钥。它随后发布params＝(G₁，G₂，e，p，g₁，u₁，g₂，Y₁，Y₂，H₁，H₂)作为系统的公共参数。

2)请求加入算法：在该算法中，群管理员为新加入的用户U_i分配一个唯一标识符i，其中

3)钥匙生成算法：在该算法中，群管理员根据每个群用户唯一的身份i，为每个用户U_i生成一对密钥。然后将相应的密钥对分发给它们。

a)群管理员根据群用户的唯一身份生成公钥

和私钥

生成密钥时，它会伴随一个相应的陷门的产生/>

此陷门τ_i由群管理员保存，不会发送给任何人。

b)群管理员使用算法SPS.KGen(2)生成一对密钥(pk_SPS，sk_SPS)。

c)群管理员使用私钥sk_SPS生成用户U_i的签名

(这里SPS生成签名方案会在发明关键点中进行详细讲解)签名/>

和密钥(pk_i，sk_i)被发送给相应的群用户U_i。之后，它将mpk＝pk_SPS作为其公钥，并将msk＝(sk_SPS，∑(i，τ_i))作为其私钥。

d)群内用户收到消息后，可以通过公钥pk_i和私钥mpk来验证签名

的正确性(具体的签名验证是SPS方案的细节，后文对其做了详细描述)。

4)验证器生成算法：在该算法中，群用户生成文件tag，保证文件名name，用户公钥pk′_i，值R_RN和公共值Y₂的完整性。然后对于文件F的每个块m_j，计算相应的验证器Sig_ij。群用户将文件F和集合σ_i以及文件tag上传到云。云验证文件tag和验证器的正确性，具体验证步骤如下：

a)匿名用户随机选择一个标量

来随机化他们的密钥(pk′_i，sk′_i)←{SFPK.ChgKeys}(sk_i，pk_i，r)和签名/>

之后，它会生成文件tag＝name||pk′_i||R_RN||Y₂||Ssig_ssk(name||pk′_i||R_RN||Y₂)。对于每个文件块m_j，随机选择一个标量/>

并计算由三部分组成的验证器：/>

和/>

b)群用户上传F，

连同文件tag到云端。然后，群用户从本地存储中删除文件F和σ_i。

c)云验证文件tag和集合σ的正确性。

i)云检查文件tag中的R_RN是否是最新的R_RN。如果是，云会执行以下三个步骤；否则，云服务器将用户视为已撤销用户或非法用户，拒绝用户的请求。

ii)云通过群ID检查SSig_ssk是否为有效签名来验证文件tag的有效性。如果是，云将执行以下步骤。否则，云端认为文件tag无效，拒绝用户的上传分享请求。

iii)云使用mpk检查σ中的pk以确定σ_pk是否为有效证书，然后将文件tag中的pk与文件集合σ中的pk进行比较。如果它们不相同，请求将被拒绝。iiii)最后，云通过检查y以下等式是否成立：

其中Y₂来自文件tag和pk′＝(pk′₁,pk′₂)。如果这些等式不成立，则云认为这些身份验证器来自已撤销的用户或非法用户，并拒绝上传请求。

5)证明生成算法：在该算法中，第三方审计员TPA生成审计挑战chal。云服务器为TPA创建相应的证明ptf，以验证其拥有完整的共享数据。

a)TPA通过以下步骤生成审计质询：

i)随机选择具有c个元素的集合I，其中

ii)为每个j∈I生成一个随机值

iii)将审计挑战chal＝{j，v_j}_j∈I发送到云服务器。

b)云服务器从接收到TPA发送来的审计挑战chal，然后创建数据拥有证明ptf，具体步骤如下所示：

i)为每个j∈I计算

ii)计算

iii)将prf＝(T，P₁，P₂，...，P_c)连同文件tag一起发送给TPA作为证明。

6)证明验证算法：在该算法中，TPA验证来自云的证明ptf的正确性。TPA首先通过检查SSig_ssk是否为有效签名来验证文件tag的有效性。如果验证失败，TPA将返回false。否则，TPA检查以下等式是否正确：

其中Y₂来自文件tag且pk′＝(pk′₁,pk′₂)。如果是，则返回true；否则false。

7)用户撤销时钥匙更新算法：当群用户离开共享群时，群管理员更新当前群状态，TPA重新发布公共参数params。然后，群管理员为每个未撤销的用户生成新的私钥。

a)群管理员重置撤销数RN＝RN+1并计算R_RN＝H₁(RN)发送给TPA、云服务器和未撤销用户。

b)TPA重新计算两个公共值

和/>

根据最新的R_RN发布新的系统公共参数params＝(G₁，G₂，e，p，g₁，u₁，g₂，Y₁，Y₂，H₁，H₂)。

c)基于更新的值Y₁，群管理员重新生成私钥

然后将其发送给群中未撤销的用户U_i。

8)追溯算法：对于一个共享文件，群内的用户可以向群管理员查询是否存在对应的用户。群管理员使用msk来确定共享数据是否由加入群的群用户上传。

a)群管理员首先检查证书的有效性。如果无效，请求将被拒绝。

b)群管理员利用msk中的∑(i，τ_i)查找是否有匿名用户满足e(pk′₁，τ_i)＝e(pk′₂，g₂)，其中pk′＝(pk′₁，pk′₂)。

本发明的技术关键点在于：

1、在审计模型中引入了新的匿名策略，基于群元素等价类替换的匿名策略实现了匿名和追溯仅仅需要常数级消耗；

2、提出了一种新的审计框架，可同时支持匿名、用户撤销和追溯功能。为了实现审计方案可以同时支持匿名和可追溯功能。我们将在群元素上进行等价类替换的思想引入模型中。SPS-EQ和SFPK技术就是这个想法的实例。SPS-EQ是一种在其等价类上用另一个代表替换签名的技术。类似地，SFPK是一种将密钥替换为其等价类的另一个代表的技术。匿名生成认证器可以通过同时结合这两种技术来实现。

这两种技术都建立在群元素之上。所以本发明设计的群用户的钥匙都是基于群元素的。这将帮助实现SFPK技术。SPS-EQ技术主要用于生成证书。在SPS-EQ技术中，公钥和私钥中的群元素数量随着明文(用户的公钥)中群元素的数量而变化。因为本发明的方案中的明文只包含两个元素，所以群管理员设置l＝2并生成密钥：(pk_SPS，sk_SPS)←SPS.KGen(2)。

举一个应用程序的例子。假设用户拥有

和/>

在生成验证器之前，需要选择一个随机数r，并使用SFPK.ChgKeys(sk，pk，r)算法将/>

转换为/>

和/>

转换为/>

使用相同的随机数r，使用算法SPS.ChgRep(pk，σ_pk，r，pk_SPS)对原始证书σ_pk进行变换成σ_pk′。为了可追溯性，使用SFPK.TKGen(1^λ，r)算法中的陷门τ来找出实际的签名者。

在动态群中，用户撤销是必须考虑的问题。本发明的解决方案是对最新的用户撤销解决方案的改进。当用户被撤销时，群管理员设置RN＝RN+1。然后值RN在发送给其他人之前被散列成R_RN。这将防止群动态信息被泄露。TPA根据最新的R_RN，生成公共参数params。最后，群管理员使用新的公共参数params为每个未撤销的用户生成一个新的私钥。相反，一旦用户的公钥被分配，就不会再改变。这里需要强调的是，群管理员为每个用户分配了唯一的密钥。

当群用户生成验证器时，它会将当前群状态R_RN和公共参数Y₂集成到文件tag中。云和TPA根据文件tag中的参数进行操作。这样可以避免在用户撤销共享数据时对其重新签名。由于用户的公钥存储在认证器和文件tag中，对于后续的追溯也很有帮助。

3、在本发明提出的匿名方案中融入了最新的撤销技术，并在匿名条件下做了适应性的改进，既保证了对匿名用户的追溯性，避免了海量数据重签产生的巨大开销，还保证了定时审计的有效进行。

本发明构建的高效匿名用户撤销可追溯的云审计方案具有良好的匿名、用户撤销和追溯效果。本发明具体能够取得以下有益效果：

1.利用基于等价类的结构保留签名和具有灵活的公钥签名两种技术，实现了用户共享文件的匿名属性，用户只需要在上传文件前，将其公私钥替换为群中的另一个等价类，就会导致公钥不会被指向该用户，且证书可以依据结构保留签名做等效的等价类替换，至此上传的文件只有拥有陷门的群管理员才可以知道是谁上传了文件。该匿名策略和群管理员的追溯功能仅需要常数时间实现，且是非侵入性的。

2.该方案对频繁的用户撤销也做了相应的支持，群中用户离开后，传统方案主要是通过将文件进行重签来保证审计的继续实施，我们的方案利用了最新的技术避免海量数据进行重签带来的大量计算开销。具体的我们通过文件tag记录当前群状态，利用替换公钥来代替重签文件。相比于海量文件重签带来的计算开销，这样的策略带来的计算成本是微不足道的。

3.此外，利用该撤销技术还可以保证定时审计的正常实施。相比于传统方案，每当用户撤销，该撤销用户上传的文件将被群中未撤销用户或者云进行重签，如果恰好此时审计员抽到了该重签文件中的某些块，审计工作将被暂停，这将难以保证用户和审计员协商的定期审计。通过我们改进的以替换私钥来代替重签的，可以避免重签带来的巨额开销的同时，保证了审计的不间断执行。

上文中已经参考附图详细描述了本发明的方案。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。本领域技术人员也应该知悉，说明书中所涉及的动作和模块并不一定是本发明所必须的。另外，可以理解，本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减，本发明实施例装置中的模块可以根据实际需要进行合并、划分和删减。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。

附图中的流程图和框图显示了根据本发明的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (10)

1.一种匿名数据的云审计方法，用于群组数据的验证，所述群组包括多个群用户和至少一个群管理员，其特征在于，包括：

1)初始化阶段

所述群管理员设置初始群状态，密钥生成中心PKG生成主密钥、部分密钥和公共参数；

2)请求加入阶段

所述群管理员为每个所述群用户分配一个唯一标识符；

3)钥匙生成阶段

所述群管理员根据每个所述群用户的标识符生成第一密钥对，并将所述第一密钥对分发给相应的群用户；

4)验证器生成阶段

群用户生成文件标签，对于文件的每个块，计算相应的验证器，云服务器验证所述文件标签和验证器的正确性；

5)证明生成阶段

第三方审计员TPA生成审计挑战；

所述云服务器基于所述审计挑战创建相应的证明，以验证所述云服务器拥有完整的共享数据；

6)证明验证阶段

TPA验证所述证明的正确性。

2.根据权利要求1所述的方法，其特征在于，所述密钥生成中心PKG生成主密钥、部分密钥和公共参数，具体包括：

密钥生成中心PKG随机选择一个双线性映射e：G₁×G₂→G_T，其中G₁、G₂和G_T是三个素数阶p的乘法循环群，PKG从G₁中随机选择两个生成源g₁和u₁，从G₂中选择一个生成源g₂，以及两个不同的密码学哈希函数：H₁：

和H₂：{0，1}^*→G₁；

PKG随机选择并保存系统主密钥

群管理员设置初始群初始撤销号RN＝0并将值R_RN＝H₁(RN)发送给PKG、云和群用户U_i，此外，PKG计算公共值

和/>

PKG随机选取部分密钥

发送给群管理员，发布系统的公共参数params＝(G₁，G₂，e，p，g₁，u₁，g₂，Y₁，Y₂，H₁，H₂)。

3.根据权利要求2所述的方法，其特征在于，所述群管理员根据每个所述群用户的标识符生成第一密钥对，具体包括：

群管理员生成第二密钥对(pk_i，sk_i)，其中，第二公钥

第二私钥

以及，产生相应的陷门/>

群管理员使用算法SPS.KGen(2)生成第三密钥对(pk_SPS，sk_SPS)，其中，pk_SPS为第三公钥，sk_SPS为第三私钥，进一步得到群用户U_i的第一密钥对(mpk，msk)，其中，第一公钥mpk＝pk_SPS，第一私钥msk＝(sk_SPS，∑(i，τ_i))。

群管理员使用所述第三私钥sk_SPS生成群用户U_i的签名

所述签名/>

和第二密钥对(pk_i，sk_i)被发送给相应的群用户U_i。

4.根据权利要求3所述的方法，其特征在于，所述群用户生成文件标签，对于文件的每个块，计算相应的验证器，云服务器验证所述文件标签和验证器的正确性，具体包括：

匿名用户随机选择一个标量

来随机化该用户的密钥(pk′_i，sk′_i)←{SFPK.ChgKeys}(sk_i，pk_i，r)和签名/>

之后，生成文件标签tag，tag＝name||pk′_i||R_RN||Y₂||Ssig_ssk(name||pk′_i||R_RN||Y₂)，对于文件F的每个块mj，随机选择一个标量/>

并计算由三部分组成的验证器：

和/>

群用户将文件F，

连同文件标签上传到云端，然后，群用户从本地存储中删除文件F和σ_i；

云服务器验证文件标签和集合σ的正确性。

5.根据权利要求4所述的方法，其特征在于，所述云服务器验证文件tag和集合σ的正确性，具体包括：

云服务器检查文件标签中的R_RN是否是最新的R_RN，如果是，云服务器会执行以下三个步骤；否则，云服务器将用户视为已撤销用户或非法用户，拒绝用户的请求；

云服务器通过群ID检查SSig_ssk是否为有效签名来验证文件tag的有效性，如果是，云服务器执行以下步骤，否则，云服务器认为文件标签无效，拒绝用户的上传分享请求；

云服务器使用mpk检查σ中的pk以确定σ_pk是否为有效证书，然后将文件标签中的pk与文件集合σ中的pk进行比较，如果不相同，拒绝请求；

云服务器通过检查y以下等式是否成立：

其中Y₂来自文件标签和pk′＝(βk′₁，pk′₂)，如果等式不成立，则云服务器认为这些身份验证器来自已撤销的用户或非法用户，并拒绝上传请求。

6.根据权利要求5所述的方法，其特征在于，所述第三方审计员TPA生成审计挑战，具体包括：

随机选择具有c个元素的集合I，其中

为每个j∈I生成一个随机值

将审计挑战chal＝{j，v_j}_j∈I发送到云服务器；

所述云服务器基于所述审计挑战创建相应的证明，以验证所述云服务器拥有完整的共享数据，具体包括：

为每个j∈I计算

计算

将prf＝(T，P₁，P₂，...，P_c)连同文件tag一起发送给TPA作为证明。

7.根据权利要求6所述的方法，其特征在于，TPA验证所述证明的正确性，具体包括：

TPA首先通过检查SSig_ssk是否为有效签名来验证文件标签的有效性，如果验证成功，则TPA检查以下等式是否正确：

其中Y₂来自文件tag且

8.根据权利要求1-7任一项所述的方法，其特征在于，还包括：

当群用户离开共享群时，群管理员更新当前群状态，TPA重新发布公共参数，群管理员为每个未撤销的用户生成新的私钥。

9.根据权利要求1-7任一项所述的方法，其特征在于，还包括：

群用户向群管理员查询群组中的共享文件是否存在对应的群用户。

10.一种匿名数据的云审计系统，用于群组数据的验证，其特征在于，包括由多个群用户和至少一个群管理员组成的群组、密钥生成中心、云服务器和第三方审计员；

所述群管理员，用于设置初始群状态，所述密钥生成中心PKG，用于生成主密钥、部分密钥和公共参数；

所述群管理员，还用于为每个所述群用户分配一个唯一标识符；

所述群管理员，还用于根据每个所述群用户的标识符生成第一密钥对，并将所述第一密钥对分发给相应的群用户；

所述群用户，用于生成文件标签，对于文件的每个块，计算相应的验证器，所述云服务器，用于验证所述文件标签和验证器的正确性；

第三方审计员TPA，用于生成审计挑战；

所述云服务器，还用于基于所述审计挑战创建相应的证明，以验证所述云服务器拥有完整的共享数据；

所述TPA，还用于验证所述证明的正确性。

Images