0 概述

随着云存储技术的快速发展, 越来越多用户将数据存储于云服务器以节省本地存储空间。然而数据外包到远程平台后用户将失去对数据的实际控制^[1], 且由于存在硬件故障、软件错误以及管理员操作失误等不可抗因素, 用户数据有丢失或损坏的风险, 因此如何保证用户外包数据的完整性成为近年来云计算安全研究的热点^[2-4]。

文献[5]提出一种数据可恢复性证明(Proofs of Retrievability, PoR)方案, 用户能对外包数据进行完整性验证, 但该方案验证次数受到限制。文献[6]利用短签名构造出有效的PoR方案, 可解决验证次数受限的问题, 但该方案不支持数据动态操作。文献[7]基于改进认证跳表提出支持全动态更新的数据持有性证明(Provable Data Possession, PDP)方案, 但该方案认证过程较长且需大量的计算与通信开销。文献[8]基于Merkel哈希树(Merkel Hash Tree, MHT)提出支持动态更新的数据完整性验证方案, 但其中树的深度会随数据增多呈指数增长, 且数据动态更新的计算开销较大。文献[9]基于多分支路径树提出云端数据公开审计方案, 但其不支持数据隐私保护。上述方案均是对单用户的数据完整性进行验证, 未考虑群用户共享数据的公共审计。针对该情况, 研究人员相继提出基于环签名、群签名等多用户公开审计方案^[10-12], 但这些方案均不能抵抗合谋攻击且不支持数据动态更新。文献[13]使用代理重签名技术设计出支持用户撤销的云端数据完整性验证方案, 但该方案无法抵抗合谋攻击。文献[14]利用秘密共享技术提出支持用户撤销的数据完整性验证方案, 然而该方案未考虑数据动态更新。以上方案均未对重要数据进行备份存储, 一旦数据丢失会造成重大经济损失。为提高数据存储的可靠性, 通常采用在云中存储多个数据副本的方法。文献[15]设计出基于多副本的云端数据完整性验证方案, 但该方案不支持数据动态操作。文献[16-18]提出不同的云端多副本数据完整性验证方案, 但这些方案仍无法支持用户撤销且计算效率较低。文献[19-20]分别设计出多副本数据完整性验证方案, 但方案中树的深度会随数据块增多呈指数增长, 导致数据动态更新需较大的计算开销。

为支持用户撤销并减少数据动态更新计算开销, 本文提出一种基于身份的多用户多副本云端数据公开审计方案。利用秘密共享技术和重签名算法实现用户安全撤销, 通过多分支路径树进行数据动态更新, 并对该方案的安全性和不同阶段的计算开销进行分析。

1 困难性问题

离散对数(Discrete Logarithm, DL)问题, 即假设G₁是阶为素数q的循环群, g为G₁的生成元, a, b∈$\mathbb{Z}$_q^*, 给定(g, g^a)∈G₁, 计算a∈$\mathbb{Z}$_q^*。

定义1(DL假设)  如果任意多项式时间算法无法解决群G₁上的DL问题, 则称G₁上的DL问题是困难的。

2 多用户多副本数据公开审计方案 2.1 系统模型

图 1为本文所提支持用户撤销的多用户多副本数据公开审计方案的系统模型, 该模型主要包括以下方面:1)群用户(Users)负责生成数据的标签, 上传数据到云服务器并对云端数据进行动态更新; 2)私钥生成中心(Private Key Generator, PKG)负责生成系统参数和用户私钥; 3)第三方审计员(Third Party Auditor, TPA)负责验证云端数据完整性并将结果发送给用户; 4)云服务提供商(Cloud Server Provider, CSP)负责存储用户数据及标签, 并响应TPA的数据验证请求与转换被撤销用户的签名; 5)代理者(Proxies)负责生成重签名份额并发送给云服务提供商。

2.2 方案描述

本文方案具体介绍如下:

1) 系统初始化

输入安全参数K, PKG执行如下操作:

(1) 随机选择阶为p>2^K的乘法循环群G₁和G₂、G₁的生成元g、双线性映射e:G₁×G₁→G₂、抗碰撞哈希函数H₁:{0, 1}^*→$\mathbb{Z}$_p^*和H₂:{0, 1}^*→G₁、伪随机函数f₁:$\mathbb{Z}$_p×{0, 1}^n₁×{0, 1}^n₂×{0, 1}^s→$\mathbb{Z}$_p以及f₂:$\mathbb{Z}$_p×{0, 1}^n₁×{0, 1}^n₂→$\mathbb{Z}$_p、伪随机置换π:$\mathbb{Z}$_p^*×{0, 1}^n₁×{0, 1}^n₂→{0, 1}ⁿ。

(2) 随机选取x∈$\mathbb{Z}$_p^*作为主私钥, 计算Y=g^x作为主公钥。

(3) 秘密保存主私钥, 公开系统参数params={G₁, G₂, p, g, e, H₁, H₂, f₁, f₂, π, Y}。

2) 密钥生成

为生成用户身份ID_i的私钥, PKG随机选择r_i∈$\mathbb{Z}$_p^*, 计算D_i=g^r_i和sk_i=r_i+xH₁(ID_i, R_i), 将私钥S_i=(R_i, sk_i)通过秘密通道发送给用户。

3) 私钥分发

用户收到PKG发送的私钥S_i后执行如下操作:

(1) 验证等式g^sk_i=R_iY^{H₁(ID_i, R_i)}是否成立, 若等式成立, 则用户接受私钥, 否则用户拒绝。

(2) 随机选取a_t∈$\mathbb{Z}$_p^*、t=1, 2, …, k, k-1, 构建插值多项式L(x)=1/sk_i+a₁x+a₂x+…+a_kx^k+a_k-1x^k-1, 其中L(0)=1/sk_i。

(3) 选择n₁个不同的随机值x_k∈$\mathbb{Z}$_p^*, k=1, 2, …, n₁, 计算秘密值份额y_k=L(x_k)并发送(x_k, y_k)给用户U_k。

4) 副本数据块生成

为生成副本数据块, 用户执行如下操作:

(1) 使用对称加密算法(如AES算法)对文件F加密得到密文数据, 将密文数据分块处理得到m_ij∈$\mathbb{Z}$_p(1≤i≤n₁, 1≤j≤n₂)。

(2) 选取1个随机值τ_i∈$\mathbb{Z}$_p^*, 计算m_ij^u=m_ij+f_1τi(i‖j‖u), 其中u=0, 1, …, s, f₁为伪随机函数, 用户得到副本数据块m_ij^u={m_ij⁰, m_ij¹, …, m_ij^s}, 其中u=0时该副本数据块代表原始数据块m_ij。

5) 数据上传

为生成多分支路径树根节点的签名和每个数据块m_ij的标签, 用户执行如下操作:

(1) 计算每个副本数据块m_ij^u的哈希值H₂(m_ij^u)=H₂(ID_i‖u‖m_ij^u), 利用副本数据块的哈希值构造1棵多分支路径树T_i, 其结构如图 2所示。

图 2中多分支路径树的叶子节点构造为1棵子树, 子树的根节点代表原始数据块, 叶子节点代表副本数据块。假设多分支路径树的深度为l、出度为v, 数据块的副本数量为s。在构造多分支路径树过程中, 将H₂(m_ij¹)保存在第j个数据块第1个叶子节点, H₂(m_ij²)保存在第j个数据块第2个叶子节点, H₂(m_ij^s)保存在第j个数据块第s个叶子节点, H₂(m_ij¹), H₂(m_ij²), …, H₂(m_ij^s)保存在节点m_ij, 其哈希值为H₂(m_ij)=H₂(H₂(m_ij¹)‖H₂(m_ij²)‖…‖H₂(m_ij^s))。以此类推, 节点A_k的哈希值为H₂(A_k)=H₂(H₂(m_ij)‖H₂(m_ij+1)‖H₂(m_ij+v-1)), 根节点R_i的哈希值为H₂(R_i)=H₂(H₂(A₁)‖H₂(A₂)‖…‖H₂(A_v))。为使CSP快速检索到目标数据块, 树中每个节点存储其对应的哈希值和秩值r^[9], 其中秩值r表示从当前节点向下检索能到达的原始数据块数量, 原始数据块和副本数据块的秩值r默认为0。在多分支路径树中, 认证路径是指从目标节点到根节点路径中的节点集合, 辅助信息指认证路径上所有兄弟节点的集合。利用节点的辅助信息可重构多分支路径树, 从而计算根节点的值。以副本数据块m_ij¹为例, 其认证路径为{m_ij, A_k}, 辅助信息为Ω_ij¹={m_ij², …, m_ij^s, m_ij+1, …, m_j+v-1, A₁, A₂, …, A_k-1, A_k+1, …, A_v}。

(2) 计算根节点R_i的签名IDS(R_i)=H₂(R_i)^sk_i。

(3) 选择1组随机数{t_u∈$\mathbb{Z}$_q^*|u=0, 1, …, s}, 计算w_u=g^t_u, σ_ij=(H₂(id_j)×${{g}^{\sum\limits_{u=0}^{s}{{{t}_{u}}m_{ij}^{u}}}}$)^sk_i, 其中id_j= name‖i‖j是数据块m_ij的标识, 数据标签集合为ϕ={σ_i1, σ_i2, …, σ_in2}。

(4) 将{{H₂(m_ij^u)}, IDS(R_i), ϕ}发送给CSP, 同时删除本地数据文件。

(5) CSP收到用户上传数据后, 验证根节点签名的正确性, 若等式e(IDS(R_i), g)=e(H₂(R_i), R_iY^{H₁(ID_i, R_i)})成立, 则根节点签名有效, 保存用户上传的数据。

6) 重签名

若要撤销群中用户U_a, 则需将用户U_a的签名转换为用户U_b的签名, 群用户产生重签名密钥份额发送给代理者, 代理者产生代理重签名份额发送给CSP, CSP产生重签名, 具体步骤如下:

(1) CSP选取1个随机数R∈$\mathbb{Z}$_p^*发送给用户U_b, 用户U_b收到R后, 计算sk_b/R并发送给群组用户。

(2) 对于群中每个用户, 给定sk_b/R和用户U_a的私钥份额(x_k, y_k), 用户计算r′_a→b=y_k·sk_b/R作为重签名密钥份额发送给代理者, 并将pk=g^r′_a→b作为公钥发送给CSP。

(3) 假设用户U_a对数据块m_aj的签名为σ_aj, 代理者验证e(σ_aj, g)=e(H₂(ID_j)·${{g}^{\sum\limits_{u=0}^{s}{{{t}_{u}}m_{aj}^{u}}}}$, R_aY^{H₁(ID_a, R_a)})是否成立, 若等式成立, 则签名有效, 计算重签名份额σ′_a→b=σ_a^r′_a→b并发送(x_k, σ′_a→b)给CSP。

(4) CSP验证e(σ_a^r′_a→b, g)=e(σ_a, pk)是否成立, 若等式成立, 则重签名份额有效。当CSP得到至少k个重签名份额时, 可通过L(x)=$\sum\limits_{i=1}^{k}{{{y}_{i}}{{\lambda }_{i}}}$(x)重构用户U_a的秘密值1/sk_a, 其中λ_i(x)=$\prod\limits_{j=1, j\ne i}^{k}{\frac{x-{{x}_{j}}}{{{x}_{i}}-{{x}_{j}}}}$。本文定义得到的重签名份额集合为φ, CSP计算重签名为σ_a→b=${{\prod\limits_{k\in \varphi }{\left( {{{{\sigma }'}}_{a\to b}} \right)}}^{{{\lambda }_{k}}\left( 0 \right)\cdot R}}$。

7) 挑战信息生成

为生成挑战信息, 用户执行如下操作:

(1) 若用户U_i要验证存储在CSP上数据块及其副本的完整性, 则可发送请求给TPA。

(2) 若TPA要验证C个数据块及其副本的完整性, 则可随机选择κ₁, κ₂∈$\mathbb{Z}$_q^*并发送挑战信息chal=(C, κ₁, κ₂)给CSP。

8) 证据生成

CSP收到TPA发送的挑战信息chal后, 执行如下操作:

(1) 计算s_j=π_κ1(i, j)和a_j=f_2κ2(i, j)。

(2) 在多分支路径树中, 找到被检索数据块对应的副本数据块{m_isj^u}_{1≤j≤c, 1≤u≤s}, 记录该节点的辅助信息{Ω_isj^u}_1≤j≤c。

(3) 计算$\sigma =\prod\limits_{C}{\sigma _{i{{s}_{j}}}^{{{a}_{j}}}}$和${{\varphi }^{u}}=\sum\limits_{j=1}^{c}{{{a}_{j}}m_{i{{s}_{j}}}^{u}}$, 其中u=0, 1, …, s。

(4) 发送proof={{φ^u}, σ, {H₂(m_isj^u), Ω_isj}_1≤j≤c, {IDS(R_i)}}给TPA。

9) 证据验证

TPA收到CSP发送的证据proof后, 执行如下操作:

(1) 利用辅助信息{H₂(m_isj^u), Ω_isj^u}_1≤j≤c生成每个根节点R_i, 验证e(IDS(R_i), g)=e(H₂(R_i), R_iY^{H₁(ID_i, R_i)})是否成立, 若有1个根节点等式不成立, 则输出FALSE, 否则执行下一步。

(2) 继续验证等式$e\left( \sigma , g \right)=e\left( \prod\limits_{C}{\sigma _{i{{s}_{j}}}^{{{a}_{j}}}, g} \right)=\prod\limits_{i=1}^{{{n}_{1}}}{e\left( \prod\limits_{j=1}^{c}{{{H}_{2}}\left( \text{I}{{\text{D}}_{j}} \right){{g}^{\sum\limits_{u=1}^{s}{{{t}_{u}}{{\varphi }^{u}}}}}}, {{R}_{i}}{{Y}^{{{H}_{1}}\left( \text{I}{{\text{D}}_{i}}, {{R}_{i}} \right)}} \right)}$是否成立, 若等式成立, 则数据完整, 将验证结果返回给用户。

2.3 数据动态更新

数据动态更新包括数据块的修改、插入和删除。

2.3.1 数据块修改

用户U_i为将数据块m_ij修改为数据块m′_ij, 生成数据块m′_ij的标签σ′_ij=e(H₂(id′_j)·${{g}^{\sum\limits_{u=1}^{s}{{{t}_{u}}m{{_{ij}^{u}}^{\prime }}}}}$, 将修改信息Modify=(j, {m_ij^u′}, s′, σ′_ij)发送给CSP。CSP收到请求后, 执行如下操作:

1) 利用e(σ′_ij, g)=e(H₂(id′_j)·${{g}^{\sum\limits_{u=1}^{s}{{{t}_{u}}m{{_{ij}^{u}}^{\prime }}}}}$, R_iY^{H₁(ID_i, R_i)})验证数据块标签的有效性, 若等式成立, 则σ′_ij有效, 执行下一步, 否则输出FALSE。

2) 利用H₂(m_ij^u′)替换多分支路径树第j个数据块第u个副本节点的值, 更新第j个数据块的签名为σ′_ij, 并更新该数据块遍历路径上节点的哈希值与秩值, 生成新的根节点R′_i。

3) 生成修改操作证明proof={{Ω_ij^u, H₂(m_ij^u)}, IDS(R_i), R′_i}发送给用户。

用户收到CSP发送的证明proof后, 执行如下操作:

(1) 利用e(IDS(R_i), g)=e(H₂(R_i), R_iY^{H₁(ID_i, R_i)})验证根节点签名的正确性, 若等式不成立, 则输出FALSE, 否则继续验证。

(2) 利用{Ω_ij^u, H₂(m_ij^u)}生成树的根节点R″_i, 验证R″_i和R′_i是否相等, 若相等, 则数据修改成功, 否则修改失败。

(3) 对新的根节点R′_i生成签名IDS_ski(H₂(R′_i)), 并将签名信息IDS_ski(H₂(R′))发送给CSP, 完成修改操作。

以上数据块修改操作完成后, 得到的多分支路径树结构如图 3所示。

2.3.2 数据块插入

用户U_I需在数据块m_ij后插入新数据块m_ij^t。与修改操作类似, 用户生成数据块m_ij^t的标签σ_ij^t, 将插入信息Insert=(j, (m_ij^ut), s^t, σ_ij^t)发送给CSP。CSP收到请求后, 先验证数据块标签的有效性, 再生成1个新子树, 通过数据块m_ij与新子树的根节点生成1个新中间节点, 用新中间节点替换该数据块, 最后生成新根节点R_i^t。用户收到修改操作证明后, 生成新根节点签名并发送给CSP, 完成数据的插入操作。以上数据块插入操作完成后, 得到的多分支路径树结构如图 4所示。

2.3.3 数据块删除

用户U_i需删除数据块m_ij。与修改操作类似, 用户生成数据块m_ij的标签σ_ij, 将删除信息Delete=(j, {m_ij^u}, s, σ_ij)发送给CSP。CSP收到请求后, 先验证数据块标签的有效性, 再删除第j个原始数据块及其副本节点, 最后生成新根节点R′_i。用户收到删除操作证明后, 生成新根节点签名发送给CSP, 完成数据的删除操作。以上数据块删除操作完成后, 得到的多分支路径树结构如图 5所示。

3 安全性分析

定理1  本文方案满足抗合谋攻击性, 即能够抵抗云服务器和已撤消用户的合谋攻击。

证明  本文方案满足抗合谋攻击性的证明过程如下:使用秘密分割技术^[21]将用户的秘密值1/sk_i分为n份分发给群用户。CSP必须联合至少k个群成员才能恢复得到重签名密钥。若群用户中至少有k+1个成员可信, 则本文方案可抵抗来自云服务器和已撤销用户的合谋攻击, 实现安全撤销。因此, 本文方案满足抗合谋攻击性。

定理2  如果DL假设成立, 则本文方案满足审计的健壮性, 即只有CSP基于正确数据产生的完整性证明proof才可通过TPA验证。

证明  本文方案满足审计健壮性的证明过程如下:

如果CSP基于损坏文件产生的证明proof通过了TPA验证, 则DL问题将以不可忽略的概率被成功求解。给定(b₁, b₂)∈G₁, 令b₂=b₁^x, 由于CSP的目标是求解x, 因此其与TPA进行交互:TPA发送1个挑战质询给CSP, CSP利用存储的数据产生完整性证明并发送给TPA。CSP基于正确的数据M产生完整性证明proof={φ, σ}, 其满足式(1):

$ \begin{align} & e\left( \sigma , g \right)=e\left( \prod\limits_{C}{\sigma _{i{{s}_{j}}}^{{{a}_{j}}}, g} \right)= \\ & \prod\limits_{i=1}^{{{n}_{1}}}{e\left( \left( \prod\limits_{j=1}^{c}{{{H}_{2}}\left( \text{i}{{\text{d}}_{j}} \right){{g}^{\sum\limits_{u=0}^{s}{{{t}_{u}}{{\varphi }^{u}}}}}} \right), {{R}_{i}}{{Y}^{{{H}_{1}}\left( \text{I}{{\text{D}}_{i}}, {{R}_{i}} \right)}} \right)} \\ \end{align} $

(1)

假设CSP基于损坏数据M′(M′≠M)伪造的完整性证明proof={φ^*, σ^*}也能通过验证, 则其满足式(2):

$ \begin{align} & e\left( {{\sigma }^{*}}, g \right)=e\left( \prod\limits_{C}{\sigma _{i{{s}_{j}}}^{{{a}_{j}}}, g} \right)= \\ & \prod\limits_{i=1}^{{{n}_{1}}}{e\left( \left( \prod\limits_{j=1}^{c}{{{H}_{2}}\left( \text{i}{{\text{d}}_{j}} \right){{g}^{\sum\limits_{u=0}^{s}{{{t}_{u}}{{\varphi }^{*u}}}}}} \right), {{R}_{i}}{{Y}^{{{H}_{1}}\left( \text{I}{{\text{D}}_{i}}, {{R}_{i}} \right)}} \right)} \\ \end{align} $

(2)

根据式(1)、式(2)以及双线性映射性质可得到$\prod\limits_{u = 0}^s {w_u^{{\varphi ^u}}} = \prod\limits_{u = 0}^s {w_u^{{\varphi ^{*u}}}} \Rightarrow \prod\limits_{u = 0}^s {w_u^{\Delta {\varphi ^u}}} = 1$, 其中Δφ=φ-φ^*。CSP随机选取x_u, y_u∈$\mathbb{Z}$_p^*, 令w_u=b₁^x_ub₂^y_u, 得到如下表达式:

$ \begin{align} & \prod\limits_{u=0}^{s}{w_{u}^{\Delta {{\varphi }^{u}}}}=\prod\limits_{u=0}^{s}{{{\left( b_{1}^{{{x}_{u}}}b_{2}^{{{y}_{u}}} \right)}^{\Delta {{\varphi }^{u}}}}}= \\ & b_{1}^{\sum\limits_{u=0}^{s}{{{x}_{u}}\Delta {{\varphi }^{u}}}}b_{2}^{\sum\limits_{u=0}^{s}{{{y}_{u}}\Delta {{\varphi }^{u}}}}=b_{1}^{\sum\limits_{u=0}^{s}{{{x}_{u}}\Delta {{\varphi }^{u}}}+x\sum\limits_{u=0}^{s}{{{y}_{u}}\Delta {{\varphi }^{u}}}}=1 \\ \end{align} $

(3)

$ x=\frac{\sum\limits_{u=0}^{s}{{{x}_{u}}\Delta {{\varphi }^{u}}}}{\sum\limits_{u=0}^{s}{{{y}_{u}}\Delta {{\varphi }^{u}}}} $

(4)

由此可知, 解决DL问题必须满足y_uΔφ^u≠0 mod p。由上述假设得到Δφ≠0, 因为y_u∈$\mathbb{Z}$_p^*, 所以y_u=0的概率为1/p, 从而可得攻破DL问题的概率为$1-\frac{1}{p}$, 其中p为大素数。CSP以不可忽略的概率解决了DL问题, 与DL假设矛盾。因此, 只有CSP正确存储用户的数据才可通过TPA验证。

定理3  本文方案满足数据隐私性, 即云服务器无法获得用户的原始数据。

证明  本文方案满足数据隐私性的证明过程如下:用户的原始数据经过加密、分块、随机化处理并上传到云服务器后, 可有效阻止云服务提供商从密文中恢复用户的数据内容。因此, 本文方案满足数据隐私性。

4 性能分析

本文方案与文献[17-19]方案均为多副本数据完整性方案, 以下对这4种方案在采用基于身份的签名、支持数据动态更新、支持用户撤销、抗合谋攻击方面的功能以及通信开销与计算开销进行对比分析。

4.1 功能对比

表 1为本文方案与文献[17-19]方案在采用基于身份的签名、支持数据动态更新、支持用户撤销和抗合谋攻击方面的功能对比情况。由表 1可知:文献[17-19]方案均基于传统公钥密码体制, 存在复杂的证书管理问题; 文献[18]方案不支持数据动态更新; 文献[17]方案虽然采用多分支路径树实现了数据动态更新, 但需要巨大的通信开销; 文献[19]方案采用MHT实现了数据动态更新, 导致树的深度随数据块数量的增加呈指数增长; 文献[17-19]方案不支持用户撤销, 且不能抵抗已撤销用户和云服务器的合谋攻击; 本文方案采用基于身份的签名, 实现了数据动态更新、用户撤销和抗合谋攻击的功能。

4.2 通信开销对比

通信开销主要集中在挑战及其响应阶段, 即TPA向CSP发送挑战信息chal, CSP向TPA返回验证证据proof。表 2为本文方案与文献[17-19]方案的通信开销对比情况。其中, |$\mathbb{Z}$_p|表示$\mathbb{Z}$_p中元素的大小, |G₁|表示G₁中元素的大小, s表示副本数量, c表示参加挑战的数据块数量, k表示扇区数量, N表示支持更新的认证数据结构中所有节点数量。由表 2可知, 本文方案在挑战阶段仅需3|$\mathbb{Z}$_p|的通信开销, 在挑战响应阶段(证据生成阶段)需N|G₁|+s|$\mathbb{Z}$_p|+2|G₁|的通信开销, 和文献[17-19]方案相比, 本文方案具有较少的通信开销。

4.3 计算开销对比

表 3为本文方案与文献[17-19]方案在签名阶段、证据生成阶段以及证据验证阶段的计算开销对比情况。其中, n表示数据块数量, T_exp、T_mul、T_add、T_hash、T_p分别表示1次幂运算、1次乘法运算、1次加法运算、1次哈希运算、1次双线性配对运算所需的时间。由表 3可知:在签名和证据验证阶段, 本文方案的计算开销与副本数量几乎无关, 而文献[17-19]方案与副本数量线性相关; 在证据生成阶段, 本文方案仅需计算c次取幂运算, 而文献[17-18]方案需进行cs次取幂运算。因此, 和文献[17-19]方案相比, 本文方案具有较高的计算效率。

5 实验结果与分析

对本文方案和文献[17-19]方案进行仿真实验, 对比4种方案在签名阶段、证据验证阶段的计算开销, 并用上述方案在签名阶段、证据验证阶段所用时间作为计算开销的评估指标。实验环境为Intel^Ⓡ Core i7-5500U CPU、4 GB内存以及版本号为0.4.7的PBC库。

当用户数据块数量为20、40、60、80、100且每个数据块副本数量为2时, 本文方案和文献[17-19]方案在签名阶段、证据验证阶段的计算开销对比情况分别如图 6、图 7所示。可以看出, 随着用户数据块数量的增加, 本文方案和文献[17-19]方案的签名时间和证据验证时间都呈线性增长, 但本文方案相较文献[17-19]方案在这2个阶段所用时间的增幅更小, 因此, 本文方案在签名和证据验证阶段的计算开销更少。当用户数据块数量为50且每个数据块副本数量为2、4、6、8、10时, 本文方案和文献[17-19]方案在签名阶段、证据验证阶段的计算开销对比情况分别如图 8、图 9所示。可以看出:随着数据块副本数量的增加, 文献[17-18]方案的签名时间和证据验证时间都呈线性增长, 文献[19]方案的签名时间呈线性增长但增幅大于文献[17-18]方案, 其证据验证时间虽保持恒定但多于本文方案; 本文方案在这2个阶段所用时间最少, 且随着数据块副本数量的增加保持恒定。因此, 和文献[17-19]方案相比, 本文方案在签名和证据验证阶段具有更高的计算效率。

6 结束语

本文利用秘密分割思想, 提出一种多用户多副本云端数据公开审计方案, 结合代理重签名算法和多分支路径树进行群组用户安全撤销与云端多副本数据动态更新。安全性分析及实验结果表明, 该方案能抵抗云服务器和被撤销用户的合谋攻击, 有效保护数据的隐私性并满足审计健壮性, 解决基于传统公钥密码系统的证书管理问题, 确保用户数据副本在云端完整存储。后续将设计格上多用户多副本云端数据公开审计方案, 避免方案安全性依赖于数学困难问题, 从而更好地抵抗量子攻击。