張新鵬 許春香 張新顏 賽偉 韓興陽 劉國平

摘要：針對用戶動態(tài)可撤銷需要新的數(shù)據(jù)管理員對其前任所管理的數(shù)據(jù)進(jìn)行完整性驗(yàn)證的問題，基于單向代理重簽名技術(shù)提出了具有隱私保護(hù)的支持用戶可撤銷的云存儲數(shù)據(jù)公共審計方案。首先，該方案中所采用的單向代理重簽名算法，其代理重簽名密鑰由當(dāng)前用戶私鑰結(jié)合已撤銷用戶公鑰生成，不存在私鑰泄露問題，能夠安全實(shí)現(xiàn)數(shù)據(jù)所有權(quán)的轉(zhuǎn)移；其次，該方案證明了惡意的云服務(wù)器不能產(chǎn)生偽造的審計證明響應(yīng)信息來欺騙第三方審計者（TPA）通過審計驗(yàn)證過程；更進(jìn)一步，該方案采用了隨機(jī)掩飾碼技術(shù)，能夠有效防止好奇的第三方審計者恢復(fù)原始數(shù)據(jù)塊。和Panda方案相比較，所提方案在增加抗合謀攻擊功能的基礎(chǔ)上，其審計過程中通信開銷與計算代價仍全部低于Panda方案。

關(guān)鍵詞：

云存儲；代理重簽名；隱私保護(hù)；完整性驗(yàn)證；用戶可撤銷

中圖分類號： TP309.7 文獻(xiàn)標(biāo)志碼：A

0引言

用戶可撤銷系統(tǒng)云存儲數(shù)據(jù)的審計問題是云存儲數(shù)據(jù)審計的現(xiàn)實(shí)難題。

一開始人們發(fā)現(xiàn)將數(shù)據(jù)存儲在云上，用戶可以從本地數(shù)據(jù)存儲和維護(hù)開銷中解放出來享受極大便利；但是外包數(shù)據(jù)卻面臨到許多安全挑戰(zhàn)[1-4]，因此，一系列各種要求在不泄露完整數(shù)據(jù)知識的前提下確保遠(yuǎn)端存儲數(shù)據(jù)完整性的審計方案被提出。例如：Juels等[5]提出了一種證據(jù)可恢復(fù)的POR數(shù)據(jù)可取回證明（Proofs of Retrievability， POR）審計方案；Ateniese等[6]提出了一種名為PDP數(shù)據(jù)可證明持有性（Provable Data Possession， PDP）請補(bǔ)充POR和PDP的中文名稱和英文全稱。的數(shù)據(jù)持有性證明審計方案；Shacham等[7]利用短簽名構(gòu)造了有效的POR公開審計方案。但是這些方案不考慮用戶數(shù)據(jù)的隱私保護(hù)，事實(shí)上，用戶的數(shù)據(jù)可能被泄露給一些好奇的敵手，這些缺點(diǎn)將極大地影響這些方案在云計算中的安全性。從保護(hù)數(shù)據(jù)隱私的角度出發(fā)，用戶可以委托第三方審計者（Third Party Auditor， TPA）來保證他們存儲數(shù)據(jù)的安全，同時他們也不希望這個審計過程由于未經(jīng)授權(quán)的信息泄漏對他們的數(shù)據(jù)安全造成新的威脅。未授權(quán)的數(shù)據(jù)泄露仍然在于潛在的加密密鑰暴露的潛在風(fēng)險。2009年，Wang等[8]提出了一項保護(hù)隱私的云存儲數(shù)據(jù)公開審計方案，方案依托同態(tài)認(rèn)證技術(shù)和隨機(jī)?；夹g(shù)完成了隱私保護(hù)公開認(rèn)證，并利用雙線對標(biāo)簽聚合技術(shù)實(shí)現(xiàn)了批處理。

自Wang等[8-10]與Zhu等[11]提出了一系列經(jīng)典的具有保護(hù)隱私功能的云存儲數(shù)據(jù)公開審計方案后。人們很快注意到之前幾乎所有的審計方案都是固定用戶在計算云存儲數(shù)據(jù)的完整性驗(yàn)證標(biāo)簽，即這些審計方案，要求在整個數(shù)據(jù)管理周期使用云存儲服務(wù)的都必須是同一個用戶。這是因?yàn)?，云存儲服?wù)中數(shù)據(jù)的完整性驗(yàn)證標(biāo)簽是由用戶用自己的私鑰簽名生成，然后在公共審計過程利用公開信息進(jìn)行驗(yàn)證。這樣的云存儲數(shù)據(jù)審計模式在真實(shí)情況下是不現(xiàn)實(shí)的。一方面，在一個審計系統(tǒng)中經(jīng)過一段時間用戶的公鑰可能更新；另一方面，用戶可能只是一個公司的數(shù)據(jù)管理者，他可能因?yàn)楦鞣N原因而離職，例如因?yàn)楦咝蕉?。因此，出于現(xiàn)實(shí)考慮，一個云存儲數(shù)據(jù)審計方案應(yīng)該支持有效的用戶撤銷。

Wang等[12]首先引入了共享云存儲審計問題，提出了一個基于群簽名的用戶可撤銷的自我審計方案，以及一些基于動態(tài)廣播重簽名方案和雙向代理簽名的共享云用戶可撤銷公開審計方案[13-14]。隨后Yuan等[15]使用了一個類似的群簽名技術(shù)提出了一個公開方案版本。由于都涉及到群簽名和廣播加密技術(shù)，以上的動態(tài)可撤銷審計方案的效率都不滿足實(shí)際需求。

2015年Wang等[16]提出了一個高效的用戶可撤銷公開審計方案Panda。此方案借助代理重簽名技術(shù)，將不同用戶的數(shù)據(jù)塊簽名轉(zhuǎn)換為當(dāng)前用戶簽名形式，從而很好地滿足了用戶動態(tài)可撤銷系統(tǒng)的云存儲數(shù)據(jù)審計需求，是此類問題當(dāng)前的最優(yōu)解決方案，但是文獻(xiàn)[16]的方案局限性中，提到云服務(wù)器與已撤銷用戶合謀可能會造成用戶私鑰的泄露，并在文獻(xiàn)[16]中明確提出在下一步工作中希望通過一個多層的代理重簽名方案來解決這個問題。

基于文獻(xiàn)[16]的構(gòu)思，本文提出了一個單向的代理重簽名方案，修改密鑰的計算是通過對撤銷用戶的公鑰進(jìn)行處理得到，不存在私鑰泄露的風(fēng)險。另外本文的用戶可撤銷云存儲數(shù)據(jù)審計方案支持第三方公共審計，能夠更好地支持對云存儲數(shù)據(jù)的日常例行審計工作。最后效率分析與比較表明，方案在通信開銷與計算復(fù)雜度方面更具有優(yōu)勢。

1基本模型

正文內(nèi)容基于代理重簽名的用戶可撤銷云存儲數(shù)據(jù)公共審計方案如圖1所示，支持用戶可撤銷的云存儲數(shù)據(jù)公共審計方案與上述基本云存儲審計方案有很大不同，其方案主實(shí)體涉及到多個用戶。從現(xiàn)實(shí)考慮，數(shù)據(jù)屬于公司，而非數(shù)據(jù)管理者。在某一個時期通常只有一用戶對存儲數(shù)據(jù)進(jìn)行管理；但是某一段時期內(nèi)卻可能有多個用戶對存儲數(shù)據(jù)進(jìn)行管理。即，一段時間后當(dāng)前用戶可能不再適合管理存儲在云上的數(shù)據(jù)，他可能被別一個新的管理者替換。

本文假設(shè)，最開始有一個用戶代表公司和組織將數(shù)據(jù)上傳到云服務(wù)器，這個初始用戶可以記作U0，然后公司雇傭數(shù)據(jù)管理者，顯然數(shù)據(jù)管理者不是終身制的。在一個數(shù)據(jù)管理者離職前他需要向新的數(shù)據(jù)管理者移交數(shù)據(jù)，繼承者需要對這些數(shù)據(jù)進(jìn)行審計確認(rèn)，他的前任盡職地完成了他的數(shù)據(jù)管理工作。假定，將數(shù)據(jù)存儲在云上的數(shù)據(jù)存儲模式是簡單而有效的，公司和組織每一個時期只需要一個數(shù)據(jù)管理者就能很好地完成數(shù)據(jù)管理任務(wù)。按照時間先后對除U0以外的數(shù)據(jù)管理者排序?yàn)閁1，U2，…，Um，m為正整數(shù)。相應(yīng)地對應(yīng)外包存儲在云上的數(shù)據(jù)按照不同管理者的任期被劃分為T1，T2，…，Tm周期。在這里，顯然每一個用戶只有在周期結(jié)束時才會向繼任者移交數(shù)據(jù)。（注：對于第一個用戶周期來說，用戶U1可能就是初始用戶U0；但是也可以委托一個新的用戶U1來完成數(shù)據(jù)管理工作，在文中統(tǒng)一分開記錄。）

初始用戶U0首先將整個數(shù)據(jù)文件分成n個數(shù)據(jù)塊，并用自己的私鑰計算相應(yīng)的數(shù)據(jù)存儲標(biāo)簽σ，然后他將所有數(shù)據(jù)和標(biāo)簽都上傳到云服務(wù)器以完成數(shù)據(jù)的最初上傳。用戶U1在T1期間內(nèi)進(jìn)行數(shù)據(jù)管理，并在T1周期結(jié)束時被U2所取代，U2也將被U3取代，一直到Uj取代Uj-1， j∈{0，1，…，m}。Uj為當(dāng)前數(shù)據(jù)管理者。因?yàn)闃?biāo)簽和用戶相關(guān)，一旦用戶撤銷了，標(biāo)簽也應(yīng)該作相應(yīng)的修改。一個直接的方法就是使用當(dāng)前用戶的私鑰重新計算這些數(shù)據(jù)塊的標(biāo)簽。然而，這并不是一個可撤銷的云存儲審計系統(tǒng)，因?yàn)檫@樣將帶來沉重的通信和計算負(fù)擔(dān)。一個比較理想的方法就是使用代理重簽名技術(shù)，將所有存儲在云服務(wù)器上的數(shù)據(jù)標(biāo)簽轉(zhuǎn)換成當(dāng)前用戶簽名的模式。

最終對于當(dāng)前用戶來說，云服務(wù)器上存儲的數(shù)據(jù)mi的標(biāo)簽σ最后都會轉(zhuǎn)化為σ（j）i?？紤]到云用戶構(gòu)建一個進(jìn)行數(shù)據(jù)無誤性檢驗(yàn)的云環(huán)境是不可行和代價高昂的，因此為了節(jié)省進(jìn)行存儲數(shù)據(jù)周期無誤性驗(yàn)證的通信資源，減少在線負(fù)擔(dān)，云用戶可以委托第三方審計者（TPA）來執(zhí)行安全審計任務(wù)，因?yàn)樗墙?jīng)濟(jì)并且可以自動運(yùn)行的；但是，云用戶同時希望對TPA保持?jǐn)?shù)據(jù)的隱私性。為了方便區(qū)分，本文用σ（j）i表示用戶Uj用自身的私鑰對mi簽名生成的數(shù)據(jù)驗(yàn)證標(biāo)簽。

2基本知識

2.1雙線性映射

G1、G2、GT是階為素數(shù)p的循環(huán)群，g1是群G1的生成元，g2是群G2的生成元。雙線性映射e：G1×G2 → GT，滿足如下的性質(zhì)：

1）雙線性性。給定元素u∈G1，v∈G2，對任意a，b∈Zp有e（ua，vb）=e（u，v）ab。

2）非退化性。e（g1，g2）≠1。

3）可計算性。存在一個有效的算法，對任何可能的輸入都能有效地進(jìn)行計算e。

4）可交換性。e（u1·u2，v）=e（u1，v）·e（u2，v）。

2.2困難性假設(shè)

Computational DiffieHellman（CDH）假設(shè)群G是一個階為素數(shù)p的循環(huán)群，g是群的生成元，給定兩個隨機(jī)元素ga，gb∈G，輸出gab是困難的。

Discrete Logarithm （DL）假設(shè)群G是一個階為素數(shù)p的循環(huán)群，g是群的生成元，給定一個隨機(jī)元素gc∈G，輸出c是困難的。

2.3代理重簽名算法

為了實(shí)現(xiàn)前面基本模型中所描述的支持用戶動態(tài)可撤銷的這一功能，并能持續(xù)地保證云服務(wù)器上存儲數(shù)據(jù)的完整性，基于文獻(xiàn)[17]中的代理重簽名算法，作出了進(jìn)一步的改進(jìn)。通過當(dāng)前用戶私鑰結(jié)合已撤銷用戶公鑰生成新的代理重簽名密鑰來保證即使云服務(wù)器與已撤銷用戶合謀也無法影響數(shù)據(jù)的安全性。新的代理重簽名算法和步驟與文獻(xiàn)[17]相似，其中最重要的簽名步驟如下。

3支持用戶可撤銷的云存儲數(shù)據(jù)公共審計方案

3.1Panda方案的問題

下面描述Panda中代理重簽名方案實(shí)現(xiàn)簽名轉(zhuǎn)移的主體部分。

1）在簽名算法Sign中，給定私鑰skA=a，數(shù)據(jù)塊m∈Zp身份id，用戶uA輸出基于數(shù)據(jù)塊m的標(biāo)簽：σ=（H（id）ωm）a∈G1。

2）在修改密鑰生成算法ReKey中，代理通過以下步驟生成一個重簽名密鑰rkA → B：

a）代理生成一個隨機(jī)的r∈Zp，并將它發(fā)送給用戶uA；

b）用戶uA計算并發(fā)送r/a給用戶uB，其中skA=a；

c）用戶uB計算并發(fā)rb/a給代理，其中skB=b；

d）代理恢復(fù)出重簽名密鑰rkA → B=b/a∈Zp。

3）在重簽名算法中，代理收到重簽名密鑰rkA → B，后執(zhí)行代理重名：

σ′=σrkA → B=（H（id）ωm）a·b/a=（H（id）ωm）b。

4）在驗(yàn)證算法Verify中，用戶uB通過驗(yàn)證公式：

e（σ′，g）=e（H（id）ωm，pkB）

對數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。

從上述過程中，清晰可見重簽名密鑰rkA → B的生成，是基于用戶uA與uB之間的私鑰傳遞。雖然在這個過程中代理生成了一個密鑰參數(shù)r∈Zp來對傳遞過程中的私鑰進(jìn)行保護(hù)，但是如果惡意云服務(wù)器（代理）與已撤銷用戶uA合謀可以輕易計算出當(dāng)前審計用戶uB的私鑰b，因此方案存在用戶私鑰泄露的風(fēng)險。

3.2本文方案

在本節(jié)提出支持用戶可撤銷的云存儲數(shù)據(jù)公共審計方案，該方案是基于2.3節(jié)的單向代理重簽名技術(shù)構(gòu)造的，如圖1所示。方案中定義了一個半可信的第三方審計者（TPA），它將忠實(shí)地執(zhí)行數(shù)據(jù)完整性的審計，由于它是好奇的，它可能會借助強(qiáng)大的計算設(shè)備從驗(yàn)證信息中通過解線性方程組恢復(fù)原始數(shù)據(jù)塊信息，因此在方案中采用了隨機(jī)掩飾碼技術(shù)解決了這一問題。

4方案證明

4.1方案的正確性

4.2安全性分析

下面首先證明該方案能夠抵抗惡意云服務(wù)器通過產(chǎn)生偽造的審計證明響應(yīng)信息來欺騙TPA的審計驗(yàn)證過程。

定理1惡意的云服務(wù)器產(chǎn)生偽造的審計證明響應(yīng)信息Proof來欺騙TPA的審計驗(yàn)證過程在計算上是不可行的。

證明假設(shè)存在惡意的云服務(wù)器（多項式時間敵手A）以不可忽略的概率ξ產(chǎn)生偽造的審計證明響應(yīng)信息來欺騙TPA的審計驗(yàn)證過程。下面設(shè)置多項式時間算法（挑戰(zhàn)者B）通過運(yùn)行敵手A作為子程序也以不可忽略的概率ξ解決CDH困難性問題。算法B與對手A的信息交互如下。

私鑰泄露問題根據(jù)上面定理1的證明過程，可以輕易發(fā)現(xiàn)即使云服務(wù)器與已撤銷用戶合謀，云服務(wù)器也不能夠獲取當(dāng)前用戶的私鑰。這是因?yàn)榉桨钢行薷拿荑€的計算是當(dāng)前用戶利用自身的私鑰通過對已撤銷用戶的公鑰進(jìn)行處理得到：ukj → j+1=gxj/xj+1。如果云服務(wù)與已撤銷用戶想通過合謀獲取當(dāng)前用戶私鑰，就必須先以不可忽略的概率解決DL問題，再通過已撤銷用戶的私鑰計算出當(dāng)前用戶私鑰。而文獻(xiàn)[16]中ukj → j+1=xj+1/xj，如果云服務(wù)與已撤銷用戶合謀，那么云服務(wù)器很容易就能獲取當(dāng)前用戶私鑰。

在下面證明方案滿足隱私保護(hù)性，即定理2。

定理2給定一個來自云服務(wù)器的審計證明響應(yīng)信息Proof，對于好奇的TPA，它試圖從中恢復(fù)用戶數(shù)據(jù)文件，F(xiàn)={m1，m2，…，mn}中的數(shù)據(jù)塊是不可行的。

證明組合信息μ′=∑i∈Qvimi是關(guān)于用戶原始數(shù)據(jù)塊的線性組合，一旦這個組合信息發(fā)送給TPA，這個好奇的TPA可以通過收集大量的組合信息，并借助強(qiáng)大的計算設(shè)備來求解這些線性方程組，從而恢復(fù)用戶的原始數(shù)據(jù)塊。為了防止TPA讀取用戶的原始數(shù)據(jù)塊信息， μ′=∑i∈Qvimi需要使用隨機(jī)掩飾碼技術(shù)，具體如下：

云服務(wù)器利用偽隨機(jī)函數(shù)f計算隨機(jī)值r=fk3（challengeChallenge）∈Zp，并計算R=ur∈G，最后將μ′=∑i∈Qvimi盲化： μ=μ′+rh（R）∈Zp這樣為了讓TPA仍能解這些線性方程，TPA必須掌握這個隨機(jī)值r，進(jìn)而它必須掌握這個偽隨機(jī)函數(shù)的秘密密鑰，事實(shí)上，這個秘密密鑰只有云服務(wù)器知道，因此TPA不可能知道這個隨機(jī)值r，因此，對于好奇的TPA，它試圖從審計證明響應(yīng)信息恢復(fù)用戶數(shù)據(jù)文件是不可行的。

5效率分析

在本章分析方案的通信和計算復(fù)雜度。需要注意的是與其他公共審計方案[9，12-13]一樣，本文只計算頻繁審計活動中通信和計算代價而不計算系統(tǒng)建立時的通信與計算代價。

用Pair表示雙線性對操作，Exp表示G上的指數(shù)操作，MZ和MG分別表示Zp和G上的乘法操作。n、p、G分別表示{1，2，…，n}、Zp和G的比特長度。挑戰(zhàn)中選取的數(shù)據(jù)塊假定是個常量c，挑戰(zhàn)中已撤換的用戶數(shù)量總和也假設(shè)是個常量d。

1）通信開銷?？梢钥吹奖疚姆桨钢型ㄐ咆?fù)載主要取決于產(chǎn)生審計證明響應(yīng)信息的通信過程。其中發(fā)送挑戰(zhàn)Q={（i，vi）}到云服務(wù)器的通信量為c（n+p）。云服務(wù)器返回審計證明響應(yīng)信息Vj=（μ，φ，{ε}∈[1， j]，{γ}∈[1， j]）的通信量為p+（2d+1）|G|，但是注意到只有在用戶Uj發(fā)起的第一次審計請求中才需要這樣的通信量，否則只需要傳送通信量為p+|G|的（μ，φ）就行了，因此最終在一次審計過程中總共的通信開銷為cn+（c+1）p+G。

2）計算開銷。計算開銷包括修改密鑰生成、代理重簽名和驗(yàn)證開銷3部分，由于本方案支持第三方公開審計，所以只需要考慮修改密鑰生成和驗(yàn)證開銷兩部分。對于用戶Uj，在ReKeygen算法只需要計算gxj-1/xj，因此計算代價為Exp。根據(jù)上面提到的計算原則，并簡化加操作和哈希操作后計算出驗(yàn)證開銷為：

（c+1）MZ+MG+（c+3）Exp+2Pair

3）開銷比較。如表1所示對比Wang等[16]方案，其通信開銷為d·（p+G）+c·（id+n+p）必然大于本方案的cn+（c+1）p+G（兩者相減后的值為（d-1）|G|+（d-1）|P|+c|id|，其中id為Panda方案中用戶id的規(guī)模），其修改計算代價為nExp，比本文方案的計算代價Exp要高。驗(yàn)證開銷為：

（c+2d）MZ+dMG+（c+d）Exp+（d+1）Pair，

亦明顯高于本文的驗(yàn)證開銷。

因此，效率分析表明本文方案在計算代價開銷上要優(yōu)于文獻(xiàn)[16]方案。

6結(jié)語

本文提出了一個高效的支持用戶可撤銷的云存儲數(shù)據(jù)公共審計方案。該方案使用了單向的代理重加密技術(shù)，有效地解決了云服務(wù)器與已撤銷用戶的合謀攻擊問題。方案支持第三方公開審計，并且安全證明表明其安全性與不可偽造性基于CDH困難問題。經(jīng)過與文獻(xiàn)[16]方案進(jìn)行的性能比較，結(jié)果表明：方案具有更好的效率優(yōu)勢。在下一步的工作中，考慮對方案進(jìn)一步完善，在方案中加入對添加、刪除、修改等用戶動態(tài)可撤銷系統(tǒng)數(shù)據(jù)動態(tài)操作情況下數(shù)據(jù)完整性驗(yàn)證內(nèi)容。

參考文獻(xiàn)：

[1]

HUBBARD D， SUTTON M. Top threats to cloud computing v1.0 [EB/OL]. [20150910]. https：//cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf.

[2]

YU S， WANG C， REN K， et al. Achieving secure， scalable， and finegrained data access control in cloud computing [C]// INFOCOM10： Proceedings of the 29th Conference on Information Communications. Piscataway， NJ： IEEE， 2010： 534-542.

[3]

LI M， YU S， REN K， et al. Securing personal health records in cloud computing： patientcentric and finegrained data access control in multiowner settings [C]// SecureComm 2010： Proceedings of the 6th International ICST Conference on Security and Privacy in Communication Networks. Berlin： Springer， 2010： 89-106.

[4]

RAJU M， LANITHA B. Survey about cloud computing threats [J]. International Journal of Computer Science and Information Technologies， 2014， 5（1）： 384-389.

[5]

JUELS A， KALISKI B S， Jr. PORs： proofs of retrievability for large files [C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York： ACM， 2007： 584-597.

[6]

ATENIESE G， BURNS R， CURTMOLA R， et al. Provable data possession at untrusted stores [C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York： ACM， 2007： 598-609.

[7]

SHACHAM H， WATERS B. Compact proofs of retrievability [C]// ASIACRYPT08： Proceedings of the 14th International Conference on the Theory and Application of Cryptology and Information Security： Advances in Cryptology. Berlin： Springer， 2008： 90-107.

[8]

WANG C， WANG Q， REN K， et al. Privacypreserving public auditing for data storage security in cloud computing [C]// INFOCOM10： Proceedings of the 29th Conference on Information Communications. Piscataway， NJ： IEEE， 2010： 525-533.

[9]

WANG Q， WANG C， LI J， et al. Enabling public verifiability and data dynamics for storage security in cloud computing [C]// ESORICS09： Proceedings of the 14th European Conference on Research in Computer Security. Berlin： Springer， 2009： 355-370.

[10]

WANG C， CHOW S S M， WANG Q， et al. Privacypreserving public auditing for secure cloud storage [J]. IEEE Transactions on Computers， 2013， 62（2）： 362-375.

[11]

ZHU Y， HU H， AHN G J， et al. Cooperative provable data possession for integrity verification in multicloud storage [J]. IEEE Transactions on Parallel and Distributed Systems， 2012， 23（12）： 2231-2244.

[12]

WANG B， LI B， LI H. Knox： privacypreserving auditing for shared data with large groups in the cloud [C]// ACNS12： Proceedings of the 10th International Conference on Applied Cryptography and Network Security. Berlin： Springer， 2012： 507-525.

[13]

WANG B， LI H， LI M. Privacypreserving public auditing for shared cloud data supporting group dynamics [C]// ICC 2013： Proceedings of 2013 IEEE International Conference on Communications. Piscataway， NJ： IEEE， 2013： 1946-1950.

[14]

WANG B， LI B， LI H. Oruta： privacypreserving public auditing for shared data in the cloud [C]// CLOUD 2012： Proceedings of the 2012 IEEE 5th International Conference on Cloud Computing. Piscataway， NJ： IEEE， 2012： 295-302.

[15]

YUAN J， YU S. Efficient public integrity checking for cloud data sharing with multiuser modification [C]// Proceedings of the 2014 IEEE Conference on Computer Communications. Piscataway， NJ： IEEE， 2014： 2121-2129.

[16]

WANG B， LI B， LI H. Panda： public auditing for shared data with efficient user revocation in the cloud [J]. IEEE Transactions on Services Computing， 2015， 8（1）： 92-106.

[17]

LIBERT B， VERGNAUD D. Multiuse unidirectional proxy resignatures [C]// Proceedings of the 15th ACM Conference on Computer and Communications Security. New York： ACM， 2008： 511-520.