崔圓佑,王緒安,郎 訊,涂 正,蘇昀暄

(1.武警工程大學(xué) 密碼工程學(xué)院,陜西 西安 710000;2.武警安徽總隊(duì),安徽 合肥 230000;3.武警貴州總隊(duì),貴州 貴陽(yáng) 550000)

1 引 言

近年來(lái)信息時(shí)代迎來(lái)了云計(jì)算、云存儲(chǔ)和物聯(lián)網(wǎng)等新科技。物聯(lián)網(wǎng)將所有的信息實(shí)體連接到互聯(lián)網(wǎng)上,包括計(jì)算機(jī)、可穿戴智能設(shè)備、傳感器等。云計(jì)算需要強(qiáng)大的存儲(chǔ)能力,一方面是為用戶提供強(qiáng)大的計(jì)算能力[1],另一方面用戶為了使用方便也更愿意將數(shù)據(jù)存儲(chǔ)在云端。云存儲(chǔ)與云計(jì)算緊密相連,同時(shí)前者是后者提供的最主要的服務(wù)之一。雖然云存儲(chǔ)具有數(shù)據(jù)管理高效、存儲(chǔ)空間擴(kuò)展便利、成本較低和使用方便等優(yōu)點(diǎn),但是云存儲(chǔ)器也因?yàn)槠溟_(kāi)放性和存儲(chǔ)數(shù)據(jù)的高價(jià)值,使之成為惡意攻擊的重點(diǎn)。同時(shí)云服務(wù)提供商也可能出于節(jié)約存儲(chǔ)空間和竊取用戶秘密的目的,破壞、刪除或者修改用戶存儲(chǔ)的數(shù)據(jù)。因此用戶必須審核存儲(chǔ)在云端的數(shù)據(jù),保證云端數(shù)據(jù)的完整性不被破壞。

數(shù)據(jù)完整性審計(jì)[2-3]是指用戶在上傳原始數(shù)據(jù)后,在不直接訪問(wèn)全部原始數(shù)據(jù)的情況下,通過(guò)某項(xiàng)協(xié)議達(dá)到對(duì)云端數(shù)據(jù)完整性驗(yàn)證的目的。數(shù)據(jù)完整性審計(jì)的思想是首先由云存儲(chǔ)服務(wù)提供商通過(guò)計(jì)算用戶上傳的原始數(shù)據(jù)產(chǎn)生一個(gè)能夠證明數(shù)據(jù)完整性的簽名或者證據(jù),然后返回給用戶。驗(yàn)證前用戶首先對(duì)原始數(shù)據(jù)進(jìn)行處理和計(jì)算,得出一些特征信息并存儲(chǔ)在本地,然后驗(yàn)證時(shí)則根據(jù)申請(qǐng)驗(yàn)證前存儲(chǔ)的一些信息,來(lái)對(duì)要求云端返回證據(jù)的正確性進(jìn)行驗(yàn)證,從而確保數(shù)據(jù)完整性不被破壞。依據(jù)是能否修復(fù)出錯(cuò)數(shù)據(jù)文件,經(jīng)典地分為數(shù)據(jù)持有性證明機(jī)制(Provable Data Possession,PDP)和數(shù)據(jù)可恢復(fù)性機(jī)制(Proofs Of Retrievability,POR)。2001年由BONEH等[4]提出了BLS簽名機(jī)制,這是一種對(duì)數(shù)據(jù)完整性驗(yàn)證的次數(shù)沒(méi)有限制且能夠支持公開(kāi)驗(yàn)證的短消息簽名機(jī)制。在這個(gè)PDP機(jī)制中,利用BLS簽名替代Ateniese方案中的RSA簽名。2004年,為了解決審計(jì)次數(shù)受限的問(wèn)題,DESWARTE等[2]利用具有同態(tài)特性RSA簽名算法(am)r=amr=(ar)mmodN,提出了基于RSA簽名的PDP驗(yàn)證機(jī)制。但是引入RSA算法依然無(wú)法解決計(jì)算開(kāi)銷過(guò)大的難題。因此,2006年,FILHO等[5]在此基礎(chǔ)上引入了歐拉函數(shù)φ(n)來(lái)降低計(jì)算量,提高傳輸速度。2007年與2011年,ATENIESE等[6-7]對(duì)此進(jìn)行改進(jìn)。此方案通過(guò)引入數(shù)據(jù)文件分塊技術(shù)和同態(tài)認(rèn)證標(biāo)簽成功降低了計(jì)算規(guī)模,并把多個(gè)數(shù)據(jù)塊的值通過(guò)計(jì)算聚合為一個(gè)值。而且采用抽樣的策略,通過(guò)概率性證據(jù)而不是絕對(duì)性證據(jù)對(duì)云端數(shù)據(jù)進(jìn)行數(shù)據(jù)完整性檢測(cè),進(jìn)一步降低了計(jì)算的開(kāi)銷。2011年,WANG等[8]提出了一種基于BLS同態(tài)簽名和RS糾錯(cuò)碼的方案,用以實(shí)現(xiàn)可證明的數(shù)據(jù)持有性證明PDP。該驗(yàn)證方案使用默克爾哈希樹(shù)(Merkle Hash Tree,MHT)和 BLS保證存儲(chǔ)的數(shù)據(jù)塊的正確性,支持?jǐn)?shù)據(jù)的公共驗(yàn)證和動(dòng)態(tài)更新。此外,2008年,CURTMOLA等[9]提出了新的數(shù)據(jù)持有性驗(yàn)證機(jī)制(MR-PDP),用以實(shí)現(xiàn)支持多副本的數(shù)據(jù)完整性證明。在提高數(shù)據(jù)安全性的同時(shí),降低了對(duì)多個(gè)副本逐一進(jìn)行驗(yàn)證的開(kāi)銷之和。2016年,李勇等[10]利用多分支路徑樹(shù)(Large Branching Tree,LBT)來(lái)存儲(chǔ)處理數(shù)據(jù)塊,從而構(gòu)造了新的數(shù)據(jù)完整性驗(yàn)證方式(LBT-PDP),用以取代之前的跳表。2019年,ZHU等[11]設(shè)計(jì)了一種基于ZSS短簽名的,可用于審計(jì)云物聯(lián)網(wǎng)數(shù)據(jù)的方案,從而降低開(kāi)銷。2020年,毛向杰等[12]設(shè)計(jì)了一種云數(shù)據(jù)完整性混合驗(yàn)證方案。為實(shí)現(xiàn)高效驗(yàn)證,該方案中靜態(tài)驗(yàn)證使用基于BLS簽名的驗(yàn)證方式,動(dòng)態(tài)驗(yàn)證使用基于多分支路徑的驗(yàn)證方式。2020年,楊小東等[13]提出了一種基于秘密共享技術(shù)和多分支路徑樹(shù)的多用戶多副本云端數(shù)據(jù)公開(kāi)審計(jì)方案。為了滿足用戶安全撤銷的需求,該方案引入了重簽名算法。此外,2020年,咸鶴群等[14]提出了一種無(wú)需第三方審計(jì)者(Third Party Auditor,TPA)在線參與的云存儲(chǔ)數(shù)據(jù)刪重方案,確保在進(jìn)行流行度調(diào)查時(shí)不泄露明文信息。2022年,楊海濱等[15]設(shè)計(jì)了一種無(wú)雙線性對(duì)的云審計(jì)方案,通過(guò)Schnorr算法和區(qū)塊鏈技術(shù)只生成被審計(jì)數(shù)據(jù)的標(biāo)簽,從而降低開(kāi)銷。

然而文獻(xiàn)[11]的方案中存在一些瑕疵,還不夠嚴(yán)謹(jǐn)。主要是在證據(jù)生成過(guò)程中,生成的部分證據(jù)無(wú)法進(jìn)行運(yùn)算,不滿足加法循環(huán)群的運(yùn)算法則。文中在原數(shù)據(jù)驗(yàn)證協(xié)議的基礎(chǔ)上進(jìn)行了一些調(diào)整,彌補(bǔ)了原方案中的不足。通過(guò)分析該方案的安全性,證明了文中對(duì)ZHU等原方案的優(yōu)化和改進(jìn)是有效的。

2 系統(tǒng)模型

ZHU等方案的系統(tǒng)模型如圖1所示,共有3個(gè)實(shí)體組成: 用戶、云服務(wù)提供商(Cloud Service Provider,CSP)和第三方審計(jì)者(Third Party Auditor,TPA),也就是User/Client、CSP和TPA。具體的應(yīng)用場(chǎng)景包括物聯(lián)網(wǎng)、醫(yī)療系統(tǒng)、電力系統(tǒng)或者其他工業(yè)系統(tǒng)等。醫(yī)療系統(tǒng)中可以傳輸相關(guān)醫(yī)療數(shù)據(jù),電力系統(tǒng)中可以傳輸相關(guān)用戶信息,物聯(lián)網(wǎng)中可以依托傳感器等收集和傳遞相關(guān)信息。

(1) 用戶(User/Client):主要包括對(duì)數(shù)據(jù)有存儲(chǔ)需求的用戶和對(duì)數(shù)據(jù)進(jìn)行收集的設(shè)備。以物聯(lián)網(wǎng)為例,網(wǎng)絡(luò)控制中心將傳感器收集到的用戶數(shù)據(jù)存儲(chǔ)在CSP提供的云存儲(chǔ)服務(wù)器上,用戶可以與云存儲(chǔ)服務(wù)器建立通信。此外,TPA受用戶委托審計(jì)云端存儲(chǔ)數(shù)據(jù)的完整性。

(2) 云服務(wù)提供商:提供的業(yè)務(wù)包括數(shù)據(jù)的存儲(chǔ)和計(jì)算。

圖1 基于物聯(lián)網(wǎng)的云審計(jì)系統(tǒng)模型

(3) 第三方審計(jì)者:具有專業(yè)能力的、獨(dú)立可信第三方。它不知道所存儲(chǔ)的具體的數(shù)據(jù)。在獲得用戶審計(jì)授權(quán)后,它向存儲(chǔ)用戶數(shù)據(jù)的云服務(wù)器發(fā)起驗(yàn)證申請(qǐng)。

工作流程如下:

① KeyGen(k)→(pk,sk):輸入安全參數(shù)k,輸出用戶的的公鑰pk和私鑰sk。

② SigGen(sk,m)→σ:輸入一個(gè)文件m和私鑰sk,輸出數(shù)據(jù)塊的簽名集σ。

③ GenProof(m,σ,chal)→pf:將一個(gè)文件m、一個(gè)簽名集合σ和生成的挑戰(zhàn)信息chal作為輸入,輸出由挑戰(zhàn)信息chal指定的數(shù)據(jù)塊的占有證明pf。

④ VerifyProof(chal,pf)→{TRUE,FALSE}:將一條挑戰(zhàn)信息chal和一條完整性證明pf作為輸入,輸出結(jié)果為真(TRUE)或?yàn)榧?FALSE)。

3 原方案

3.1 方案結(jié)構(gòu)

具體結(jié)構(gòu)如下:

(2) SigGen(sk,m)→σ:簽名時(shí),用戶計(jì)算出對(duì)應(yīng)的數(shù)據(jù)塊的簽名σ。文件m被分割為數(shù)據(jù)塊{m1,m2,…,mn},mi是其中任意一個(gè)數(shù)據(jù)塊,其對(duì)應(yīng)的簽名為σi。

令簽名:

(1)

則文件m的簽名為σ={σ1,σ2,…,σn}。用戶將文件m和簽名σ打包為{m,σ}發(fā)送給CSP,將簽名σ發(fā)送給TPA,將本地保存的文件m刪除。

首先TPA生成挑戰(zhàn)信息,然后發(fā)送給CSP。TPA從集合{1,2,…,n}選擇c個(gè)元素組成新的集合I={s1,s2,…,sc},其中1≤s1≤…≤sc≤n。對(duì)于任意i∈I,首先TPA生成一個(gè)偽隨機(jī)數(shù)vi=φ(kO,i),然后發(fā)送一個(gè)挑戰(zhàn)信息chal={(i,vi)}s1≤i≤sc給CSP。

(3) GenProof(m,σ,chal)→pf:在CSP收到TPA的挑戰(zhàn)信息chal和受挑戰(zhàn)的數(shù)據(jù)塊的簽名{σi}s1≤i≤sc后,計(jì)算:

(2)

(3)

(4)

最后,CSP將證據(jù)pf={R,μ,η}發(fā)送給TPA。

(4) VerifyProof(chal,Pf)→{TRUE,FALSE}:在這個(gè)階段,TPA在收到證據(jù)pf后,對(duì)相應(yīng)的簽名{σi}s1≤i≤sc進(jìn)行驗(yàn)證。通過(guò)對(duì)下面的等式進(jìn)行驗(yàn)證,判斷被第三方審計(jì)挑戰(zhàn)的數(shù)據(jù)塊是否被正確地持有:

e(η,P)·e(μ+R,P)=e(P,P) 。

(5)

3.2 存在的正確性問(wèn)題

(1) 根據(jù)循環(huán)群的定義,若一個(gè)群G的每一個(gè)元都是G的某一個(gè)固定元a的乘方,則稱G為循環(huán)群,記作G=(a)={am|m∈Z},此時(shí)稱a為群G的一個(gè)生成元。 簡(jiǎn)單地理解,就是循環(huán)群內(nèi)的運(yùn)算,如加法或者乘法,是以生成元的整數(shù)冪次(整數(shù)倍)的運(yùn)算。 假設(shè)G的代數(shù)運(yùn)算用加號(hào)表示時(shí),有G= (a)={am|m∈Z}。

(2) 根據(jù)橢圓曲線運(yùn)算特點(diǎn),假定P點(diǎn)為(a1,b1),Q點(diǎn)為(a2,b2),P+Q為(a3,b3)。因此當(dāng)在進(jìn)行形如2P,3P,…,NP的計(jì)算時(shí),這個(gè)不是單純的2×P乘法這么簡(jiǎn)單,而是要進(jìn)行如P+Q的運(yùn)算,如2P=P+P,3P=P+2P等。

3.3 存在的安全性問(wèn)題

(1) 根據(jù)ZSS短簽名所基于雙線性映射的雙線性特征,e(k1P+k2P,P)=e(k1P,P)·e(k2P,P),可知要使TPA證據(jù)驗(yàn)證時(shí)等式e(η,P)·e(μ+R,P)=e(P,P)成立,只需要滿足e(η+(μ+R),P)=e(P,P),即Y=xP。 而要使等式η+(μ+R)=P成立,顯然是容易的,例如攻擊者可以偽造證據(jù)pf′={R′,μ′,η′},令η′=3P,μ′=-P,R′=-P。

攻擊者可以是惡意的CSP,通過(guò)偽造證據(jù)pf={R,μ,η},欺騙TPA進(jìn)行完整性審計(jì),實(shí)現(xiàn)篡改云存儲(chǔ)服務(wù)器中的數(shù)據(jù),甚至不需要存儲(chǔ)任何數(shù)據(jù),從而節(jié)約存儲(chǔ)空間。 某未知攻擊者也可以截獲用戶上傳的數(shù)據(jù)后,將錯(cuò)誤的數(shù)據(jù)上傳給云服務(wù)器,而在TPA進(jìn)行審計(jì)時(shí),直接冒充CSP回復(fù)證據(jù)。

(2) 原方案無(wú)法抵御重放攻擊。 假設(shè)某次審計(jì)生成的挑戰(zhàn)為chal1,第2次審計(jì)生成的挑戰(zhàn)為chal2,則CSP兩次生成的證據(jù)分別為pf1={R1,μ1,η1}和pf2={R2,μ2,η2}。

TPA第1次發(fā)出挑戰(zhàn)時(shí),CSP生成的證據(jù)pf1能夠通過(guò)等式e(η,P)·e(μ+R,P)=e(P,P)的驗(yàn)證。此時(shí)CSP保存第1次審計(jì)時(shí)的證據(jù)pf1。 在TPA第2次發(fā)出挑戰(zhàn)時(shí),惡意CSP可以將存儲(chǔ)的數(shù)據(jù)直接刪除或篡改的情況下,直接返回第1次的證據(jù)pf1同樣能通過(guò)驗(yàn)證。 因?yàn)閜f1已經(jīng)證明是正確的,同時(shí)在e(η,P)·e(μ+R,P)=e(P,P)中,3個(gè)變量η,R,μ均為已知。所以惡意CSP可以利用pf1應(yīng)對(duì)所有TPA的審計(jì)。

4 改進(jìn)的方案

4.1 方案改進(jìn)

文中針對(duì)原方案中暴露出的運(yùn)算正確性問(wèn)題提出了優(yōu)化方案,主要是改進(jìn)優(yōu)化了證據(jù)pf中的η的生成算法。

(2) SigGen(sk,m)→σ:簽名時(shí),用戶計(jì)算出對(duì)應(yīng)的數(shù)據(jù)塊的簽名σ。 文件m被分割為數(shù)據(jù)塊{m1,m2,…,mn},mi是其中任意一個(gè)數(shù)據(jù)塊,其對(duì)應(yīng)的簽名為σi,與原方案的式(1)相同。

因此,文件m的簽名為σ={σ1,σ2,…,σn}。 用戶將文件m和簽名σ打包為{m,σ}發(fā)送給CSP,將簽名σ發(fā)送給TPA,將本地保存的文件m刪除。

首先TPA生成挑戰(zhàn)信息,然后發(fā)送給CSP。 TPA從集合{1,2,…,n}選擇c個(gè)元素組成新的集合I={s1,s2,…,sc},其中1≤s1≤…≤sc≤n。 對(duì)于任意i∈I,首先TPA生成一個(gè)偽隨機(jī)數(shù)vi=φ(kO,i),然后發(fā)送一個(gè)挑戰(zhàn)信息chal={(i,vi)}s1≤i≤sc給CSP。

(3) GenProof(m,σ,chal)→pf:在CSP收到TPA的挑戰(zhàn)信息chal和受挑戰(zhàn)的數(shù)據(jù)塊的簽名{σi}s1≤i≤sc后計(jì)算:R、μ和η。 其中R和μ與原方案的式(2)和式(3)相同,η的計(jì)算公式為

(6)

最后,CSP只將證據(jù)pf*={μ,η}發(fā)送給TPA。

(4) VerifyProof(chal,Pf)→{TRUE,FALSE}:在這個(gè)階段TPA在收到證據(jù)pf*={μ,η}后,通過(guò)之前發(fā)送給CSP的挑戰(zhàn)信息chal={(i,vi)}s1≤i≤sc和公鑰Y=xP,計(jì)算出:

(7)

通過(guò)對(duì)下面的等式進(jìn)行驗(yàn)證,判斷被可信第三方挑戰(zhàn)的數(shù)據(jù)塊是否被正確地持有:

e(μ+R*,η)=e(P,P)H(R*)+H(μ)。

(8)

4.2 正確性分析

定理1在優(yōu)化改進(jìn)的云審計(jì)方案中,假如TPA和CSP可以互相正確應(yīng)答相關(guān)信息,且能完成完整性審計(jì),則證明方案正確。

證明:根據(jù)改進(jìn)的方案,在驗(yàn)證階段,如果TPA與CSP互相傳遞的信息無(wú)誤,那么CSP提供給TPA的證據(jù)pf={R,μ,η}也是正確的;如果TPA驗(yàn)證時(shí)能夠通過(guò)下面的等式,則表明改進(jìn)的方案是正確的,即

e(P,P)H(R)+H(μ)=

e(P,P)H(R*)+H(μ)。

4.3 安全性分析

證明:為了實(shí)現(xiàn)用戶外包數(shù)據(jù)的完整性審計(jì),用戶首先計(jì)算外包數(shù)據(jù)的數(shù)據(jù)塊標(biāo)簽,然后發(fā)送給TPA:

同時(shí),TPA能夠自行獲取用戶的公鑰Y=xP。

定理3TPA無(wú)法通過(guò) CSP 提供的證據(jù)pf={μ,η},來(lái)恢復(fù)用戶的數(shù)據(jù)。

證明:假設(shè)在隨機(jī)預(yù)言機(jī)模型下,存在一個(gè)模擬器Γ能夠在沒(méi)有獲得用戶隱私數(shù)據(jù)的前提下生成正確的回復(fù)。假定TPA為敵手A1,此時(shí)A1通過(guò)構(gòu)建模擬器Γ來(lái)模擬TPA的輸入和輸出,模擬器Γ擁有公鑰pk和簽名σ等公開(kāi)的信息。

攻擊者A1輸入集合I={s1,s2,…,sc}和證據(jù)pf*={μ,η},輸出結(jié)果TRUE或者FLASE。 構(gòu)造的模擬器將執(zhí)行以下操作:

(1) 模擬器Γ選擇隨機(jī)數(shù)i∈Zq且i∈{1,2,…,n}。

(2) 模擬器Γ從集合{1,2,…,n}中選擇c個(gè)元素組成新的集合I={s1,s2,…,sc}。

(3) 模擬器Γ生成一個(gè)挑戰(zhàn)信息chal={(i,vi)}s1≤i≤sc給CSP。

(4) 此時(shí)攻擊者A1得到CSP返回給TPA的證據(jù)pf*={μ,η}。

定理4不存在一個(gè)概率多項(xiàng)式時(shí)間(Probabilistic Polynomial-Time,PPT)的攻擊者A能夠使用算法P偽造出證明pf′,并通過(guò)完整性驗(yàn)證。

證明:假設(shè)存在一個(gè)攻擊者A,可以偽造簽名并騙過(guò)TPA審計(jì)。此時(shí)攻擊者A生成相應(yīng)的證據(jù)pf′={μ′,η′}能夠使等式e(μ′+R*,η′)=e(P,P)H(R*)+H(μ′)成立。

定理5改進(jìn)方案能夠抵御前文給出的第1種攻擊。

證明:改進(jìn)的方案中TPA進(jìn)行驗(yàn)證的等式為

e(μ+R*,η)=e(P,P)H(R*)+H(μ)。

通過(guò)在等號(hào)右側(cè)進(jìn)行H(R*)+H(μ)次冪運(yùn)算,避免出現(xiàn)驗(yàn)證等式e(μ+R,η)=e(P,P)的情況。若等號(hào)右側(cè)未進(jìn)行H(R)+H(μ)次冪運(yùn)算,則偽造證據(jù)僅需滿足:

(9)

而通過(guò)在等號(hào)右側(cè)進(jìn)行H(R*)+H(μ)次冪運(yùn)算,為使等式e(μ+R*,η)=e(P,P)H(R*)+H(μ)成立,即令e(μ+R*,η)=e(P,(H(R*)+H(μ))P),則需要滿足:

(10)

此時(shí)P、μ+R和η均在橢圓曲線上,且μ、R和η均未知,尋找a,b,μ,R,η滿足等式(9)是困難的,因此構(gòu)造滿足條件的證據(jù)pf*={μ,η}和R*是困難的,且R*在TPA上,無(wú)法偽造。定理5證畢。

定理6新方案能夠抵御重放攻擊。

4.4 性能分析

文中分析對(duì)比了新方案與原方案中的計(jì)算開(kāi)銷。為了更好地對(duì)比兩者之間的性能差異,首先分別對(duì)兩個(gè)方案中用戶、CSP和TPA的計(jì)算開(kāi)銷進(jìn)行分析,然后進(jìn)行對(duì)比,得出變化量。計(jì)算符號(hào)含義如表1所示。

表1 計(jì)算符號(hào)含義

從表2可以看出,文中改進(jìn)方案的標(biāo)簽的計(jì)算開(kāi)銷與原方案相同。 同時(shí)發(fā)現(xiàn),一方面在新方案中CSP針對(duì)TPA的挑戰(zhàn),生成證據(jù)的計(jì)算開(kāi)銷有所增加,生成證據(jù)的時(shí)間變化量與審計(jì)的數(shù)據(jù)塊量呈線性關(guān)系;另一方面,新方案中TPA進(jìn)行完整性驗(yàn)證的計(jì)算開(kāi)銷的變化量,不隨審計(jì)數(shù)據(jù)塊數(shù)量的變化而變化。 最后新方案整體的計(jì)算開(kāi)銷變化不大,而且比原方案提供了更好的計(jì)算準(zhǔn)確性。此外在通信開(kāi)銷上原方案CSP上傳的證據(jù)為pf={R,μ,η},新方案為pf*={μ,η},節(jié)約了通信開(kāi)銷。

表2 計(jì)算開(kāi)銷對(duì)比

5 結(jié)束語(yǔ)

筆者發(fā)現(xiàn)ZHU等的方案雖然運(yùn)算效率較高,但是在驗(yàn)證過(guò)程中存在計(jì)算方面的問(wèn)題,這意味著該方案在實(shí)際運(yùn)行中會(huì)存在諸多問(wèn)題。針對(duì)存在的問(wèn)題,文中在原方案的基礎(chǔ)上進(jìn)行優(yōu)化,提出改進(jìn)方案,對(duì)安全性進(jìn)行驗(yàn)證,同時(shí)改進(jìn)的方案較大地壓縮了ZHU方案的計(jì)算開(kāi)銷。希望在未來(lái)的安全云存儲(chǔ)方案設(shè)計(jì)中,相關(guān)研究人員能夠避免出現(xiàn)相關(guān)數(shù)學(xué)運(yùn)算上的問(wèn)題,提高審計(jì)方案的正確性。

文中改進(jìn)方案是基于ZSS方案的,與基于RSA的方案不同,相比文中方案具有更低的計(jì)算開(kāi)銷,但是在面對(duì)未來(lái)日益復(fù)雜的用戶需求,后期要從以下兩點(diǎn)進(jìn)行改進(jìn):

(1) 文中方案沒(méi)有考慮云存儲(chǔ)文件的備份。如果云存儲(chǔ)器遭受物理或者網(wǎng)絡(luò)破壞,數(shù)據(jù)將受到威脅。下一步工作將融入多副本方案,改進(jìn)數(shù)據(jù)存儲(chǔ)的安全性。

(2) 文中方案目前不支持動(dòng)態(tài)驗(yàn)證。下一步將結(jié)合MHT或者在多副本方案下結(jié)合MHT,改進(jìn)出支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作的數(shù)據(jù)完整性驗(yàn)證方案。