金 瑜，蔡 超，何 亨

(1.武漢科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，武漢 430065； 2.湖北省智能信息處理與實(shí)時(shí)工業(yè)系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，武漢 430065)

支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案

金 瑜1,2，蔡 超1,2*，何 亨1,2

(1.武漢科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，武漢 430065； 2.湖北省智能信息處理與實(shí)時(shí)工業(yè)系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，武漢 430065)

在云計(jì)算中，數(shù)據(jù)通常由一組用戶共享。由于第三方審計(jì)可以通過(guò)數(shù)據(jù)塊的簽名獲取組成員的身份，為了保護(hù)群組成員的身份，現(xiàn)有對(duì)共享數(shù)據(jù)的公共審計(jì)方案都隱藏了組成員的身份。然而，身份的匿名性將導(dǎo)致一個(gè)組的成員可以惡意修改共享數(shù)據(jù)而不被發(fā)現(xiàn)，而且對(duì)于資源受限的設(shè)備，用戶在產(chǎn)生簽名的過(guò)程中計(jì)算量大。因此現(xiàn)有公共審計(jì)方案存在數(shù)據(jù)塊身份的不可追溯、用戶產(chǎn)生共享數(shù)據(jù)塊簽名的計(jì)算量大等問(wèn)題。針對(duì)上述問(wèn)題，提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案(ASDA)。該方案利用安全中介者代替用戶簽名，保護(hù)了群組成員的身份，在簽名的同時(shí)保存用戶的信息，通過(guò)這些信息，可以追溯到數(shù)據(jù)塊是由哪一個(gè)組成員修改，從而保證數(shù)據(jù)塊身份可追溯性；而且利用新的數(shù)據(jù)塊致盲技術(shù)，減少用戶端計(jì)算量。實(shí)驗(yàn)結(jié)果表明，所提方案與利用第三方媒介存儲(chǔ)共享云數(shù)據(jù)(SDVS)方案相比，減少了用戶端計(jì)算時(shí)間，并且能夠?qū)崿F(xiàn)共享數(shù)據(jù)塊身份的可追溯性。

云計(jì)算；共享數(shù)據(jù)；公共審計(jì)；輕量；可追溯性

0 引言

云存儲(chǔ)是在云計(jì)算(cloud computing)上延伸和發(fā)展出來(lái)的一個(gè)新概念，是一種新興的網(wǎng)絡(luò)存儲(chǔ)技術(shù)。當(dāng)云計(jì)算系統(tǒng)運(yùn)算和處理核心是大量數(shù)據(jù)存儲(chǔ)和管理時(shí)，該系統(tǒng)就轉(zhuǎn)變成為一個(gè)云存儲(chǔ)系統(tǒng)。簡(jiǎn)單來(lái)說(shuō)，云存儲(chǔ)就是將儲(chǔ)存資源放到云上供人存取的一種新興方案。使用者可以在任何時(shí)間、任何地點(diǎn)，通過(guò)任何連網(wǎng)裝置連接到云上方便地存取數(shù)據(jù)。通過(guò)云計(jì)算中的數(shù)據(jù)存儲(chǔ)和共享服務(wù)，用戶能夠以一個(gè)組的形式共享數(shù)據(jù)。作為組中的一名成員，用戶不僅可以訪問(wèn)這些共享數(shù)據(jù)，而且可以修改這些共享數(shù)據(jù)。盡管云計(jì)算能夠讓用戶之間共享數(shù)據(jù)更加方便，但是由于云存儲(chǔ)中存在一些安全性因素，用戶仍然關(guān)心他們的數(shù)據(jù)是否安全，特別是數(shù)據(jù)的完整性。解決這個(gè)問(wèn)題的方法最有效的方法是利用第三方審計(jì)者(Third Party Auditor, TPA)對(duì)共享數(shù)據(jù)進(jìn)行審計(jì)，驗(yàn)證共享數(shù)據(jù)的完整性。但是第三方審計(jì)者(TPA)在驗(yàn)證數(shù)據(jù)的完整性的過(guò)程中能夠獲取到數(shù)據(jù)塊身份，即每一個(gè)共享數(shù)據(jù)塊簽名者身份。如果不保護(hù)這些身份信息，共享數(shù)據(jù)組中的機(jī)密信息(例如組中哪個(gè)用戶扮演更重要的角色或在共享數(shù)據(jù)中哪一個(gè)數(shù)據(jù)塊具有更高價(jià)值)，會(huì)泄漏給第三方審計(jì)者(TPA)。

雖然目前關(guān)于共享數(shù)據(jù)的公共審計(jì)方案都很好地解決了在公共審計(jì)時(shí)數(shù)據(jù)塊身份信息保護(hù)問(wèn)題，也支持群組的動(dòng)態(tài)變化。但是，對(duì)于那些惡意修改共享數(shù)據(jù)的群組成員，無(wú)法追蹤其身份，而且在用戶端，在產(chǎn)生數(shù)據(jù)塊簽名過(guò)程中計(jì)算量大，對(duì)于資源有限的用戶耗時(shí)較長(zhǎng)。本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案，實(shí)現(xiàn)了數(shù)據(jù)塊身份的可追溯性，而且對(duì)于資源受限的用戶端，可以減少其負(fù)擔(dān)。

1 相關(guān)工作

如何保證云服務(wù)器中存儲(chǔ)的用戶數(shù)據(jù)沒有被修改、刪除或者泄露，成為一個(gè)亟需解決的重要安全性問(wèn)題。Deswarte 等[1]利用哈希函數(shù)來(lái)驗(yàn)證云服務(wù)器存儲(chǔ)文件的完整性，允許客戶端使用相同元數(shù)據(jù)進(jìn)行多次挑戰(zhàn)，但是該方案的缺點(diǎn)在于：云服務(wù)器要對(duì)整個(gè)數(shù)據(jù)文件取冪，并且需要訪問(wèn)所有文件塊，計(jì)算復(fù)雜度大，效率低。Sebe等[2]提出了基于Diffie-Hellman問(wèn)題的文件完整性檢查方案，但該方案的缺點(diǎn)是用戶存儲(chǔ)花銷較大，并且也需要云服務(wù)器在產(chǎn)生證明的過(guò)程中訪問(wèn)所有文件。

Ateniese等[3]第一次提出了數(shù)據(jù)擁有證明的公開審計(jì)方案(Provable Data Possession, PDP)，該方案允許客戶在不取回整個(gè)文件的情況下，驗(yàn)證數(shù)據(jù)的完整性；但是該方案僅適用于靜態(tài)數(shù)據(jù)。為了提高云數(shù)據(jù)審計(jì)的有效性，Juels等[4]提出了“可回取證明模型”(Proof of Retrievability, POR)，利用隱藏在正常存儲(chǔ)文件中的附加數(shù)據(jù)塊(也稱作“哨兵塊”)去檢測(cè)服務(wù)器端的數(shù)據(jù)是否被完好地存儲(chǔ)；但是，此方案可審計(jì)的次數(shù)需要預(yù)先設(shè)定，而且不支持公開審計(jì)。Shacham等[5]設(shè)計(jì)了另一個(gè)版本的可回取證明方案(POR)，該方案利用雙線性對(duì)簽名(BiLinear pairings Signature, BLS)短簽名[6]實(shí)現(xiàn)了公共審計(jì)；Wang等[7]利用Merkle哈希樹構(gòu)造了支持動(dòng)態(tài)更新的公共審計(jì)方案，這兩個(gè)方案都支持完全動(dòng)態(tài)操作，但是均存在數(shù)據(jù)的隱私泄露問(wèn)題。Wang等[8]通過(guò)使用隨機(jī)掩碼保護(hù)用戶數(shù)據(jù)的隱私，但是該方案不支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作。Yang等[9]在方案中利用雙線性對(duì)的性質(zhì)對(duì)隱私數(shù)據(jù)進(jìn)行加密，保證了用戶數(shù)據(jù)隱私；并且采用了數(shù)據(jù)碎片技術(shù)，對(duì)數(shù)據(jù)塊再進(jìn)行分塊，使得一個(gè)數(shù)據(jù)塊包含多個(gè)二級(jí)文件塊，從而減少了簽名數(shù)量。

隨著云計(jì)算的發(fā)展，數(shù)據(jù)共享得到了許多專家學(xué)者的關(guān)注。Yu等[10]提出通過(guò)云服務(wù)器的存儲(chǔ)和共享服務(wù)，用戶可以以一個(gè)群組的形式共享數(shù)據(jù)；作為一個(gè)群組成員有權(quán)利查看共享數(shù)據(jù)和修改共享數(shù)據(jù)。盡管用戶可以方便地共享數(shù)據(jù)，但是數(shù)據(jù)的完整性仍然是重要的安全性問(wèn)題[11-12]，利用TPA進(jìn)行公共審計(jì)會(huì)產(chǎn)生數(shù)據(jù)的身份隱私泄露問(wèn)題[13]。

Wang等[14]充分考慮了在公共審計(jì)過(guò)程中數(shù)據(jù)的身份隱私問(wèn)題，提出了一種利用環(huán)簽名保護(hù)群組成員身份隱私方案，采取環(huán)簽名的方法，能夠保證TPA在驗(yàn)證數(shù)據(jù)完整性的同時(shí)，保護(hù)數(shù)據(jù)的身份隱私；但是該方案的簽名數(shù)量隨著組成員的數(shù)量線性增長(zhǎng)，用戶端的計(jì)算量較大，因此不支持大的用戶群組。Shen 等[15]提出了一種對(duì)共享數(shù)據(jù)隱私保護(hù)的輕量級(jí)審計(jì)方案，充分考慮到了資源限制的用戶端的計(jì)算有限性，采用數(shù)據(jù)的致盲方式，讓第三方媒介(Third Party Medium, TPM)代替群組用戶對(duì)數(shù)據(jù)進(jìn)行簽名，不僅減輕了用戶端的負(fù)擔(dān)，也保證了共享數(shù)據(jù)公共審計(jì)時(shí)的身份隱私，同時(shí)也保護(hù)了數(shù)據(jù)擁有者的身份；但是該方案不支持群組動(dòng)態(tài)，也不支持?jǐn)?shù)據(jù)塊的可追溯性。Wang等[16]提出另外一種共享數(shù)據(jù)隱私保護(hù)的公共審計(jì)方法，利用動(dòng)態(tài)廣播技術(shù)，讓組成員在修改共享數(shù)據(jù)的時(shí)候，以數(shù)據(jù)擁有者的身份進(jìn)行簽名，從而保護(hù)了組成員的身份隱私，不僅實(shí)現(xiàn)了群組成員對(duì)數(shù)據(jù)的動(dòng)態(tài)操作，而且支持群組動(dòng)態(tài)；但是該方案并沒有保護(hù)數(shù)據(jù)擁有者的身份，使得TPA在公共審計(jì)的時(shí)候竊取到數(shù)據(jù)擁有者的身份，也不支持?jǐn)?shù)據(jù)塊的可追溯性。Wang等[17]又提出利用第三方媒介存儲(chǔ)共享云數(shù)據(jù)(Storing shared Data on the cloud Via Security-mediator, SDVS)方案，引入一個(gè)安全中介者(SEcuriry-Mediator, SEM)，同樣采用數(shù)據(jù)致盲的方式，數(shù)據(jù)擁有者通過(guò)安全中介者(SEM)的簽名服務(wù)獲取所有數(shù)據(jù)塊的簽名，在公共審計(jì)時(shí)，TPA只能獲取到數(shù)據(jù)是由SEM簽名,并且SEM能夠?qū)崿F(xiàn)群組的動(dòng)態(tài)。該方案對(duì)SEM定義為：一種提供簽名服務(wù)的服務(wù)器，能夠按照用戶的要求執(zhí)行某種操作，但是可能會(huì)竊取到用戶的隱私數(shù)據(jù)。然而，在組成員進(jìn)行惡意修改共享數(shù)據(jù)等行為時(shí)，該方案不能夠追溯到組成員的身份，并且該方案采取的數(shù)據(jù)致盲方式，對(duì)于資源有限的用戶端負(fù)擔(dān)較大。

針對(duì)SDVS方案不能夠追溯到組成員的身份和用戶端負(fù)擔(dān)較大的不足，本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案(A Scheme of sharing cloud Data Audit supporting user traceability and lightweight, ASDA)。該方案利用文獻(xiàn)[15]中的數(shù)據(jù)致盲方式，減少了用戶端的計(jì)算量，并且在SEM代替群組用戶對(duì)數(shù)據(jù)塊進(jìn)行簽名時(shí)，保存用戶的身份信息，從而達(dá)到了數(shù)據(jù)塊身份的可追溯性。不同方案的對(duì)比如表1所示。ASDA相比SDVS具有以下優(yōu)勢(shì)：1)對(duì)于共享數(shù)據(jù)中的每一個(gè)數(shù)據(jù)塊，本文方案能夠追溯到該數(shù)據(jù)塊身份，即數(shù)據(jù)塊由哪個(gè)群組成員簽名；2)對(duì)于群組成員，能夠減輕其計(jì)算負(fù)擔(dān)。

表1 不同方案的對(duì)比Tab. 1 Comparison of different schemes

2 ASDA構(gòu)造

2.1 預(yù)備知識(shí)

2.1.1 雙線性圖

假設(shè)都是素?cái)?shù)階為p的乘法循環(huán)群g1、g2都是G1生成元；一個(gè)雙線性圖的構(gòu)造方法是e:G1×G1→G2。那么e具有以下幾個(gè)性質(zhì)：

1)雙線性性：?m,n∈G1?e(ma,nb)=e(m,n)ab；

2)非退化性：e(g1,g2)≠1;

3)可計(jì)算性：e能夠被有效地計(jì)算。

2.1.2 動(dòng)態(tài)廣播技術(shù)

廣播加密技術(shù)(Broadcast Encryption, BE)[18]能夠使廣播者通過(guò)廣播信道，傳輸加密信息給群組成員；僅僅群組成員可以解密該信息。與傳統(tǒng)的BE相比，動(dòng)態(tài)BE(Dynamic BE, DBE)[19]能夠有效地支持群組的動(dòng)態(tài)變化。例如，廣播者將信息m用算法進(jìn)行加密：DBE.Encek(m,U),其中ek為加密密鑰，為U用戶列表。群組用戶能夠解密該信息：m=DBE.Decdki(DBE.Enc(m,U))，其中dki為群組成員的解密密鑰。

2.1.3 數(shù)據(jù)盲化

2.2 系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示。系統(tǒng)中包含五個(gè)實(shí)體：組管理者(Group Manager)、組成員(Group Member)、云服務(wù)器(Cloud Server)、安全中介者(SEM)，以及公共審計(jì)方(TPA)。該方案的大致過(guò)程如下：

1.初始化，原始用戶即組管理者添加群組成員，創(chuàng)建共享群組廣播列表U，利用動(dòng)態(tài)廣播技術(shù)在群組中廣播群組密鑰,并且將群組成員的偽公鑰集合φ發(fā)送給SEM。

2.群組成員上傳新的數(shù)據(jù)塊到服務(wù)器上進(jìn)行數(shù)據(jù)共享，或者上傳新數(shù)據(jù)塊對(duì)共享數(shù)據(jù)進(jìn)行修改，首先將致盲的數(shù)據(jù)塊以及對(duì)數(shù)據(jù)塊的匿名簽名θ發(fā)送給SEM。

圖1 本文方案的系統(tǒng)模型Fig. 1 System model of the proposed scheme

3.SEM收到致盲的數(shù)據(jù)塊后,首先判斷上傳致盲數(shù)據(jù)塊的用戶是否為群組成員，若是，則為該成員提供簽名服務(wù)，將致盲數(shù)據(jù)的簽名發(fā)送給群組成員；同時(shí)保存該成員對(duì)數(shù)據(jù)塊的匿名簽名，產(chǎn)生數(shù)據(jù)塊匿名簽名表。

4.群組成員收到致盲簽名后，驗(yàn)證盲簽名的正確性，將數(shù)據(jù)塊以及致盲簽名發(fā)送給服務(wù)器；服務(wù)器收到群組成員發(fā)送的數(shù)據(jù)后,對(duì)盲簽名進(jìn)行處理得到真正的數(shù)據(jù)簽名，保存數(shù)據(jù)以及簽名。

5.群組動(dòng)態(tài)變化過(guò)程，群組成員加入或者退出時(shí)群管理員通知SEM更新偽公鑰集合φ；群組成員加入時(shí)，群管理者還需要通過(guò)動(dòng)態(tài)廣播將群組私鑰發(fā)送給新群組成員。

6.驗(yàn)證數(shù)據(jù)完整性過(guò)程，用戶向公共審計(jì)方發(fā)送驗(yàn)證請(qǐng)求。

7.公共審計(jì)方收到驗(yàn)證請(qǐng)求后，向云服務(wù)器發(fā)送挑戰(zhàn)Challenge。

8.云服務(wù)器收到挑戰(zhàn)后產(chǎn)生完整性驗(yàn)證證據(jù)Proof發(fā)送給公共審計(jì)方。

9.公共審計(jì)方根據(jù)驗(yàn)證算法Verify驗(yàn)證用戶數(shù)據(jù)的完整性，并將驗(yàn)證結(jié)果發(fā)送給用戶。

10.追溯數(shù)據(jù)塊的過(guò)程，群管理者取得SEM中保存的群組成員對(duì)數(shù)據(jù)塊的匿名簽名，通過(guò)群組私鑰對(duì)匿名簽名進(jìn)行還原，判斷該數(shù)據(jù)塊由哪個(gè)群組成員簽名。

2.3 威脅模型及安全目標(biāo)

本文的威脅模型主要考慮四種攻擊：

1)服務(wù)器在出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)保存不完整等情況下，為了維護(hù)自己的名聲或者避免損失金錢，可能會(huì)欺騙公共審計(jì)方。

2)安全中介者(SEM)在對(duì)組成員數(shù)據(jù)簽名的過(guò)程中可能會(huì)竊取組成員的數(shù)據(jù)內(nèi)容以及身份。

3)在公共審計(jì)的過(guò)程中，由于服務(wù)器產(chǎn)生證明給公共審計(jì)方時(shí)，同時(shí)也會(huì)將線性的數(shù)據(jù)塊組合和數(shù)據(jù)塊的簽名發(fā)送給公共審計(jì)方；審計(jì)方會(huì)通過(guò)這些線性數(shù)據(jù)塊組合竊取共享數(shù)據(jù)的內(nèi)容，并且通過(guò)數(shù)據(jù)塊的簽名竊取到數(shù)據(jù)塊對(duì)應(yīng)的組成員身份。

4)組成員在修改共享數(shù)據(jù)的時(shí)候，可能會(huì)存在一些惡意的修改，導(dǎo)致共享數(shù)據(jù)的不可用；而組管理者無(wú)法知道是哪一個(gè)組成員做出的惡意修改。

事實(shí)上，在云環(huán)境中，本文假設(shè)云服務(wù)器是半信任的，也就是云服務(wù)器會(huì)遵守整個(gè)協(xié)議，不會(huì)惡意地破壞用戶數(shù)據(jù)的完整性，也不會(huì)惡意地破壞整個(gè)協(xié)議；但是可能會(huì)因?yàn)樽陨淼睦嫫垓_用戶。另外本文假設(shè)安全中介者也是半可信的，也就是安全中介者也會(huì)遵守整個(gè)協(xié)議；但是可能會(huì)竊取用戶的隱私。

為了克服這些威脅，本文方案的目標(biāo)是達(dá)到下面的安全目標(biāo)：

1)公共審計(jì)：公共審計(jì)方能夠代表用戶正確的驗(yàn)證共享數(shù)據(jù)的完整性。

2)身份隱私：無(wú)論是SEM還是TPA都不能竊取到數(shù)據(jù)塊身份。

3)數(shù)據(jù)隱私：在TPA進(jìn)行審計(jì)以及SEM對(duì)組成員數(shù)據(jù)簽名過(guò)程中，公共審計(jì)方和安全中介者都不能夠竊取到共享數(shù)據(jù)的內(nèi)容。

4)可追溯性：組管理者能夠追溯到數(shù)據(jù)塊身份(即數(shù)據(jù)塊由哪個(gè)組成員簽名)。

2.4 ASDA詳述

本文設(shè)計(jì)了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案。在本文方案中，群組成員上傳數(shù)據(jù)以及修改共享數(shù)據(jù)，都可以從安全中介者獲取簽名；因此在公共審計(jì)時(shí)，TPA只能夠知道數(shù)據(jù)是SEM進(jìn)行簽名的，從而保護(hù)了組管理者和組成員的身份。而且組成員在通過(guò)SEM進(jìn)行簽名時(shí)，能夠保存該組成員的身份；能夠?qū)崿F(xiàn)數(shù)據(jù)塊身份的追溯性。本文的方案主要由Setup、UploadData、Join、Revoke、Challenge、Response、Verify、Trace這八個(gè)算法組成。

1)Setup。G1、G2是兩個(gè)以p為素?cái)?shù)階的乘法循環(huán)群，g是G1的生成元，雙線性圖e:G1×G1→G2。全局參數(shù)為{g,H,e,p,μ1,μ1,…,μs}，其中H為哈希函數(shù)，H:{0,1}*→G1，μ1,μ2,…,μs是從G1中隨機(jī)產(chǎn)生的s個(gè)生成元。

表2 用戶廣播列表Tab. 2 User broadcast list

2)UploadData。群組成員uk上傳新數(shù)據(jù)到服務(wù)器上進(jìn)行數(shù)據(jù)共享或者修改共享數(shù)據(jù)。SEM為群組成員uk提供數(shù)據(jù)塊簽名服務(wù)，對(duì)于數(shù)據(jù)mi={mi,1,mi,2,…,mi,si},si表示數(shù)據(jù)塊包含二級(jí)文件塊個(gè)數(shù)。群組成員uk上傳數(shù)據(jù)過(guò)程分為以下四個(gè)步驟，如圖2所示。

圖2 群組成員上傳數(shù)據(jù)塊mi到服務(wù)器的過(guò)程Fig. 2 Process of group members uploading data block mi to the server

表3 數(shù)據(jù)塊追溯表Tab. 3 Data block traceability table

3)Join。群管理者在用戶廣播列表U中添加一個(gè)用戶u′，新的用戶廣播列表表示為：U′=U∪u′,u′?U，隨后利用DBE.Encek(y,U)對(duì)y重新加密，并且將加密秘鑰發(fā)送給u′。用戶u′可以通過(guò)y=DBE.Decdk′(DBE.Encek(y,U))獲取群組私鑰，其中u′∈U′，dk′是用戶u′的解密私鑰。隨后組管理者將Pk′1/y發(fā)送給SEM，添加到SEM存儲(chǔ)的偽公鑰集合中。

5)Challenge。為了審計(jì)共享數(shù)據(jù)的完整性，TPA向服務(wù)器發(fā)起挑戰(zhàn)：

公共審計(jì)方(TPA)從[1,n]中隨機(jī)選取c個(gè)元素的子集I={ss1,ss2,…,ssc}(假設(shè){ss1≤ss2≤…≤ssc})。對(duì)于每一個(gè)ssi∈I，TPA會(huì)對(duì)應(yīng)地選取vvi∈Zp，然后隨機(jī)選取η∈Zp，計(jì)算ε=(v)η，因此TPA產(chǎn)生的挑戰(zhàn)可以表示為：chal=({vvi,i}i∈I,ε)，并且將chal發(fā)送給云服務(wù)器。

3 安全性分析

本文方案ASDA與SDVS相比，安全性并沒有降低。下面分為三個(gè)部分進(jìn)行安全性分析，從而證明方案的可靠性。

1)公共審計(jì)過(guò)程中的安全性。

定理1 在公共審計(jì)過(guò)程中，云服務(wù)器返回正確的證據(jù)，公共審計(jì)方審計(jì)時(shí)能夠通過(guò)驗(yàn)證。

證明 如果云服務(wù)器的證據(jù)正確，則u*e(Hchal,v)=e(?,gη)成立。證明過(guò)程與方案[10]類似，本文省略。

定理2 在公共審計(jì)過(guò)程中，云服務(wù)器不能夠偽造數(shù)據(jù)簽名來(lái)通過(guò)TPA的審計(jì)。

2)群組成員上傳新數(shù)據(jù)，進(jìn)行數(shù)據(jù)共享或者修改共享數(shù)據(jù)過(guò)程的安全性。

定理3 SEM不能夠偽造數(shù)據(jù)的簽名來(lái)通過(guò)服務(wù)器的驗(yàn)證。

定理4 群組成員不能夠偽造數(shù)據(jù)塊idi的簽名θi通過(guò)SEM的驗(yàn)證。

3)用戶的隱私安全。

定理5 公共審計(jì)方不能夠根據(jù)已收到的數(shù)據(jù)獲取到群組成員的私密數(shù)據(jù)。

證明 本文采取了文獻(xiàn)[10]方案的方法，利用雙線性對(duì)的性質(zhì)，防止TPA通過(guò)數(shù)據(jù)塊的線性組合推導(dǎo)出用戶的數(shù)據(jù)隱私信息。

定理6 SEM不能夠根據(jù)收到的致盲數(shù)據(jù)獲取到群組成員的私密數(shù)據(jù)。

定理7 SEM不能夠獲取到群組成員的身份隱私。

證明 由于群組用戶提供的簽名θi是由公式θi=[H(idi)]skk/y計(jì)算而來(lái)，所提供的公鑰為Pk=Pk1/y，SEM若想知道該數(shù)據(jù)塊的身份隱私，必須能夠計(jì)算出群組成員的公鑰Pkk，但是由于y是未知的，SEM不能計(jì)算出Pkk。

4 性能分析

在實(shí)驗(yàn)中，客戶端、云服務(wù)器、安全中介者、TPA運(yùn)行環(huán)境如下：1)軟件環(huán)境：操作系統(tǒng)為32位Windows 7，開發(fā)軟件為Eclipse，編程語(yǔ)言為Java、JPBC(Java Pairing-Based Cryptography)：jpbc-2.0.0，密碼學(xué)應(yīng)用程序接口(Application Program Interface, API)完成方案中的算法。2)硬件環(huán)境：CPU為Intel Core i3 2.10 GHz，RAM為2.00 GB。

本文采用λ=80 b為安全參數(shù)，因此G1、G2中的生成元|p|=160 b，二級(jí)文件塊大小為20 B。

本實(shí)驗(yàn)的云審計(jì)系統(tǒng)由6臺(tái)PC組成。本文使用3臺(tái) PC 機(jī)來(lái)搭建 Cassandra 云存儲(chǔ)服務(wù)器，用于存儲(chǔ)用戶的數(shù)據(jù)和數(shù)據(jù)簽名，并且在用戶數(shù)據(jù)公共審計(jì)時(shí)提供證據(jù)；1臺(tái)PC作為SEM完成數(shù)據(jù)的簽名；1臺(tái)PC作為云用戶，1臺(tái)PC作為TPA。

圖3 群組成員的計(jì)算時(shí)間與二級(jí)文件塊劃分塊數(shù)的關(guān)系Fig. 3 Relationship between computation time of group members and number of second-level file partition blocks

實(shí)驗(yàn)二 在群組成員上傳新數(shù)據(jù)塊到云服務(wù)器過(guò)程中，本文考察二級(jí)文件塊塊數(shù)變化時(shí)，SEM與用戶端總的計(jì)算量的變化情況。由圖4可知，對(duì)于SEM與用戶總的計(jì)算量，本文的方案ASDA略微大于SDVS。但是在本文的方案ASDA中，主要的計(jì)算量在SEM端，并且支持?jǐn)?shù)據(jù)的可追溯性。

圖4 SEM和群組用戶的計(jì)算時(shí)間與二級(jí)文件塊劃分塊數(shù)的關(guān)系Fig. 4 Relationship between computation time of group users and SEM and number of second-level file partition blocks

實(shí)驗(yàn)三 由于本文的方案ASDA采用了數(shù)據(jù)塊追溯表來(lái)存儲(chǔ)用戶對(duì)數(shù)據(jù)塊標(biāo)識(shí)符的簽名，能夠達(dá)到數(shù)據(jù)塊身份的可追溯性。本文考察數(shù)據(jù)塊塊數(shù)變化時(shí)，數(shù)據(jù)塊追溯表存儲(chǔ)量的變化情況。數(shù)據(jù)追溯表中的每一行數(shù)據(jù)存儲(chǔ)空間為20 B。從圖5可以看出，當(dāng)數(shù)據(jù)塊個(gè)數(shù)由1到100 000變化時(shí)，所需要花費(fèi)的存儲(chǔ)空間小于2 MB，存儲(chǔ)消耗較小。

圖5 數(shù)據(jù)追溯表存儲(chǔ)量與數(shù)據(jù)塊數(shù)的關(guān)系Fig. 5 Relationship between storage of data traceability table and data block number

5 結(jié)語(yǔ)

針對(duì)目前動(dòng)態(tài)共享數(shù)據(jù)公共審計(jì)方案不能夠追溯到組成員的身份和用戶端負(fù)擔(dān)較大的不足，本文提出了一種支持用戶追溯和輕量的共享云數(shù)據(jù)審計(jì)方案(ASDA)。在ASDA中，利用新的數(shù)據(jù)致盲方式，減少了用戶端的計(jì)算量，并且在SEM代替群組用戶對(duì)數(shù)據(jù)塊進(jìn)行簽名時(shí)，保存用戶的身份信息，從而達(dá)到了數(shù)據(jù)塊身份的可追溯性。從安全性角度來(lái)看，SEM保存群組成員身份信息以及群管理者通知SEM群組變化時(shí)，保護(hù)了群組成員身份隱私，SEM無(wú)法了解群組成員的真實(shí)身份。實(shí)驗(yàn)結(jié)果表明：ASDA與目前的方案SDVS比較，不僅減少了群組成員的計(jì)算量，而且能夠支持?jǐn)?shù)據(jù)塊身份的可追溯性。

References)

[1] DESWARTE Y, QUISQUATER J J, SA?DANE A. Remote integrity checking [C]// Proceedings of the Sixth Working Conference on Integrity and Internal Control in Information Systems, IFIPAICT 140. Berlin: Springer, 2004: 1-11.

[2] SEBE F, MARTINEZ-BALLESTE A, DESWARTE Y. Time-bounded remote file integrity checking, Technical Report 04429 [R]. Tarragona, Spain: Universitat Rovira i Virgili, 2004.

[3] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores [C]// Proceedings of the 2007 14th ACM Conference on Computer and Communications Security. New York: ACM, 2007: 598-609.

[4] JUELS A, KALISKI B S, Jr. Pors: proofs of retrievability for large files [C]// Proceedings of the 2007 14th ACM Conference on Computer and Communications Security. New York: ACM, 2007: 584-597.

[5] SHACHAM H, WATERS B. Compact proofs of retrievability [C]// ASIACRYPT 2008: Proceedings of the 2008 14th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology. Berlin: Springer, 2008: 90-107.

[6] BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing [J]. Journal of Cryptology, 2004, 17(4): 297-319.

[7] WANG Q, WANG C, REN K, et al. Enabling public auditability and data dynamics for storage security in cloud computing [J]. IEEE Transactions on Parallel & Distributed Systems, 2011, 22(5): 847-859.

[8] WANG C, WANG Q, REN K, et al. Privacy-preserving public auditing for data storage security in cloud computing [C]// Proceedings of the IEEE INFOCOM 2010. Piscataway, NJ: IEEE, 2010: 1-15.

[9] YANG K, JIA X H. An efficient and secure dynamic auditing protocol for data storage in cloud computing [J]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(9): 1717-1726.

[10] YU S C, WANG C, REN K, et al. Achieving secure, scalable, and fine-grained data access control in cloud computing [C]// INFOCOM 2010: Proceedings of the 2010 29th IEEE International Conference on Information Communications. Piscataway, NJ: IEEE, 2010: 534-542.

[11] 梁彪,曹宇佶,秦中元,等.云計(jì)算下的數(shù)據(jù)存儲(chǔ)安全可證明性綜述[J].計(jì)算機(jī)應(yīng)用研究,2012,29(7):2416-2421.(LIANG B, CAO Y J, QIN Z Y, et al. Survey of proofs on data storage security in cloud computing [J]. Application Research of Computers, 2012, 29 (7): 2416-2421.)

[12] 秦志光,吳世坤,熊虎.云存儲(chǔ)服務(wù)中數(shù)據(jù)完整性審計(jì)方案綜述[J].信息網(wǎng)絡(luò)安全,2014(7):1-6.(QIN Z G, WU S K, XIONG H. A review on data integrity auditing protocols for data storage in cloud computing [J]. Netinfo Security, 2014 (7): 1-6.)

[13] 王少輝,陳丹偉,王志偉,等.一種新的滿足隱私性的云存儲(chǔ)公共審計(jì)方案[J].電信科學(xué),2012,28(9):15-21.(WANG S H, CHEN D W, WANG Z W, et al. A new solution of privacy-preserving public auditing scheme for cloud storage security [J]. Telecommunications Science, 2012, 28 (9): 15-21.)

[14] WANG B Y, LI B C, LI H. Oruta: privacy-preserving public auditing for shared data in the cloud [C]// CLOUD 2012: Proceedings of the 2012 IEEE Fifth International Conference on Cloud Computing. Washington, DC: IEEE Computer Society, 2012: 295-302.

[15] SHEN W T, YU J, XIA H, et al. Light-weight and privacy-preserving secure cloud auditing scheme for group users via the third party medium [J]. Journal of Network and Computer Applications, 2017, 82: 56-64.

[16] WANG B Y, LI H, LI M. Privacy-preserving public auditing for shared cloud data supporting group dynamics [C]// Proceedings of the 2013 IEEE International Conference on Communications. Piscataway, NJ: IEEE, 2013: 1946-1950.

[17] WANG B Y, CHOW S S M, LI M, et al. Storing shared data on the cloud via security-mediator [C]// ICDCS 2013: Proceedings of the 2013 IEEE 33rd International Conference on Distributed Computing Systems. Piscataway, NJ: IEEE, 2013: 124-133.

[18] BONEH D,GENTRY C, WATERS B. Collusion resistant broadcast encryption with short ciphertexts and private keys [C]// CRYPTO 2005: Proceedings of the 2005 25th Annual International Conference on Advances in Cryptology. Berlin: Springer, 2005: 258-275.

[19] DELERABLéE C, PAILLIER P, POINTCHEVAL D. Fully collusion secure dynamic broadcast encrytpion with constant-size ciphertexts or decryption keys [C]// Proceedings of 2007 International Conference on Pairing-Based Cryptography, LNCS 4575. Berlin: Springer, 2007: 39-59.

This work is partially supported by the National Natural Science Foundation of China (61303117, 61602351).

JINYu, born in 1973, Ph. D., professor. Her research interests include cloud computing, peer to peer computing, trust model.

CAIChao, born in 1993, M. S. candidate. His research interests include cloud computing security, cloud audit.

HEHeng, born in 1985, Ph. D., professor. His research interests include cryptography, attribute encryption, security control mechanism.

Schemeofsharingclouddataauditsupportingusertraceabilityandlightweight

JIN Yu1,2, CAI Chao1,2*, HE Heng1,2

(1.CollegeofComputerScienceandTechnology,WuhanUniversityofScienceandTechnology,WuhanHubei430065,China;2.HubeiProvincialKeyLaboratoryofIntelligentInformationProcessingandReal-timeIndustrialSystem,WuhanHubei430065,China)

The data is usually shared by a group of users in cloud computing. The third party auditor can obtain the the identities of group members through their signatures of data blocks. In order to protect the identities of group members, the existing public audit schemes for shared data all hide the identities of group members. However, the anonymity of identity leads to the problem that a member of the group can change the shared data maliciously without being found, and the amount of computation is large for resource constrained devices in the process of generating signature for users. The existing public audit schemes have the problems that the identity of data block can not be traced and the amount of calculation of generating shared data block signature is large. In order to solve the above problems, A Scheme of sharing cloud Data Audit supporting user traceability and lightweight (ASDA) was proposed. Firstly, the security mediator was used to replace the user signature to protect the identities of group members. The information of user was saved while signing and it could be traced back that the data block was modified by which member through the above information, which could ensure the traceability of the identity of data block. Then, a new data block blinding technology was used to reduce the amount of client computing. The experimental results show that, compared with Storing shared Data on the cloud Via Security-mediator (SDVS) scheme, the proposed scheme reduces the computing time of users and realizes the traceability of shared data blocks.

cloud computing; shared data; public audit; light weight; traceability

2017- 05- 08;

2017- 08- 08。

國(guó)家自然科學(xué)基金資助項(xiàng)目(61303117，61602351)。

金瑜(1973—)，女，湖北武漢人，教授，博士，CCF會(huì)員，主要研究方向：云計(jì)算、對(duì)等計(jì)算、信任模型； 蔡超(1993—)，男，湖北黃岡人，碩士研究生，主要研究方向：云計(jì)算安全、云審計(jì)； 何亨(1985—)，男，湖北武漢人，教授，博士，主要研究方向：密碼學(xué)、屬性加密、安全控制機(jī)制。

1001- 9081(2017)12- 3417- 06

10.11772/j.issn.1001- 9081.2017.12.3417

(*通信作者電子郵箱973427045@qq.com)

TP393.08

A