CN108809996A - 不同流行度的删重存储数据的完整性审计方法 - Google Patents

Abstract

本发明提供了一种可以针对不同流行度的删重存储数据的完整性审计方法，通过研究初始认证器以及相应新的认证器之间值的关系，当流行度发生变化时，使得云服务器在不知道用户任何隐私信息的情况下，代替用户生成新的认证器。这不需要用户一直在线，也不需要用户耗费计算资源去计算新的认证器。

Description

不同流行度的删重存储数据的完整性审计方法

技术领域

本发明属于云计算安全技术领域，具体涉及一种针对不同流行度的删重存储数据的完整性审计方法。

背景技术

近年来，随着网络科技的发展，现实生活中出现了海量的数据，用户本地的存储空间已经无法满足这种存储需求。云存储技术的出现解决了这个问题。因具有按需服务、泛在的网络访问、快速的资源部署、按使用收费等优点，云存储成为人们理想的存储服务模式。通过云存储服务，用户可以将大量数据存放在云端，由云对其进行统一的存储管理，从而节约本地的硬件支出和维护开销。此外，无论用户在任何地方，都可以通过互联网设备随时存取数据。目前，一些知名的IT公司都推出了自己的云存储平台，例如谷歌、亚马逊、微软、苹果。

虽然云存储服务为用户带来了极大的便利，但他同时也带了一些安全问题。当用户将数据上传到云服务器后，就失去了对其的直接的物理控制。虽然云服务器的基础设施比个人计算设备更安全可靠，但仍会面临各种安全威胁而导致用户数据遭到泄露。此外，云服务器为了节省存储资源，以便谋取更多的利益，可能删除用户的不常用数据。因此，云服务器是不完全可信的。

因此，对用户来说如何对外包数据进行完整性检测是一个迫切需要解决的问题。传统方法中，如果用户需要检测外包数据的完整性，需要将整个数据从云服务器下载到本地。这显然会产生大量的通信和计算负担，不符合实际应用。为了解决这个现实问题，人们提出了云存储审计方案。该方案不需要下载整个数据就可以完成数据完整性检测。

此外，随着云存储服务的发展，云服务提供商需要服务的用户数据也急剧增长。如何提高云存储效率也成为一个热点问题。在很多情况下，不同的用户可能上传相同内容的文件到云服务器。比如，热门电影或者歌曲。EMC公司的调查显示有75％的电子数据是重复的。所以，对云服务器来说对多个来自不同用户的相同内容的文件只存储一份是非常有吸引力的。这种删重存储方式对于完整性审计也产生了一定的挑战。

不幸的是，先前的对删重存储的云数据完整性检测方法都没有考虑到外包数据对安全性不同水平的要求。这些方法都是采用收敛加密或者变形的收敛加密对将要外包的数据进行加密。然而，这些加密算法不能为外包数据提供语义安全的安全性。由于更多的用户将数据外包给云服务器，最近的数据泄露事件对安全性有了更高的要求。因此，收敛加密以及变形的收敛加密显然不能满足人们对安全性的要求，也并不能彻底保护用户数据隐私。如果用户在数据外包到云之前，直接用语义安全的加密算法对数据进行加密，云服务器将不能对该数据进行删重操作。虽然这使得数据隐私得到了保护，现存的数据完整性审计方法都不能够正确的执行。因为当数据的流行度发生变化时，对该数据使用的加密算法可能发生改变，也就是该云数据的密文发生变化，其相应的认证器也要发生变化。原本存储在云上的认证器无法再完成完整性检测作用。

发明内容

为了在实现数据删重的同时保护用户数据隐私性，并对其可以进行数据完整性检测。传统使用直接的方法解决这个问题，也就是当数据的流行度发生变化时，用户对其数据重新生成认证器。显然，这并不能实际应用。因为当数据的流行度变化时，每个用户首先要将他们先前的数据从云服务器上完全下载下来。而后，为新密文生成相应的新的认证器。最后将新密文以及新的认证器发送给云服务器。显然，这是一个非常复杂的过程，也会花费很多的时间和资源。此外，由于我们不能预测数据流行度变化发生的时间，所以所有的用户必须一直在线。这会为用户造成较大的网络带宽负担，甚至会导致用户不再愿意使用云存储服务。也有研究尝试使用一个第三方来减轻用户的计算负担，但是仍不奏效。引入的第三方增加了***的复杂性并可能导致一些安全问题。因为第三方知道用与审计的私钥，所以他可以为任何数据伪造合理的认证器。对云来说确保第三方生成的新的认证器是否对应新的密文将是非常困难的。

针对现有方式的困难，本专利提出了一种可以针对不同流行度的删重存储数据的完整性审计方法，通过研究初始认证器以及相应新的认证器之间值的关系，使得云服务器在不知道用户任何隐私信息的情况下，代替用户生成新的认证器。这不需要用户一直在线，也不需要用户耗费计算资源去计算新的认证器。

为克服上述技术问题，本发明提供一种针对不同流行度的删重存储数据的完整性审计方法，其包括：

第一步，***参数生成，由***参数生成中心生成各种***参数；

第二步，身份认证，由身份提供者认证用户身份并为其生成标识符；

第三步，数据文件上传，用户预处理数据文件后上传到云端；

第四步，审计，审计中心对文件进行审计。

所述第一步进一步具体为

第a步，***参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为G的生成元；选择三个加密哈希函数H₁：{0，1}^*→G₁，H₂：G_T→{0，1}^l，和H₃：{0，1}^*→G₁。选择一个伪随机函数一个伪随机置换以及一个索引函数h：{0，1}^*→{0，1}^*；

第b步，运行算法ε_μ·Setup(κ，n，t)→(pk，sk，S)；

第c步，公开***参数保存n个秘密份额

所述第二步进一步具体为以用户身份U_i作为输入。当用户U_i想要上传文件到云时，首先与身份提供者(IdP)交互并提交其身份。然后IdP检测提交的身份是否合法。如果合法，IdP为其颁发一个身份标识符U_i和一个秘密份额x_i。

所述第三步进一步具体包括：

第a’步，用户使用收敛加密密钥ε_C生成密文F_c；

第b’步，为了获得接下来与云交互使用的索引，用户Ui与索引服务进行交互(IS)，首先，用户运行索引函数h为密文FC生成索引IFc，然后，用户将这个索引IFc提交给(IS)，IS接受这个索引(表示为index)并对提交相同索引的用户数量进行计数(表示为ctr)，如果这个计数值小于流行度门限t，IS对索引IFc以及用户身份运行一个PRF生成一个比特串Irnd。其中Irnd的长度与索引IFc一样。然后，IS回应。反之，IS回应；

第c’步，如果IS的回应是一个随机索引I_rnd，用户需要通过执行对称加密ε和收敛的门限加密ε_μ来对F_c生成两个密文C_ε和然后，将这两个密文上传到云，最后，用户删除文件，保存两个文件索引I_ret和I_Fc，以及两个加密密钥k和k_m；

如果IS回应的索引等于I_Fc，在这种情况下，文件F已经为流行文件，拥有该文件的用户已经超过了流行门限t，用户不需要再上传文件F，删除文件并保存索引I_Fc和加密密钥k_m。

所述第四步进一步具体包括：

第a”步，以用户随机选择的密钥和文件F＝{m₁，m₂，...，m_m}作为输入，其中用户计算并公开密钥不管文件是否为流行文件，用户都需要为每个文件块m_i(1≤i≤m)生成认证器T_i，并将认证器上传到云；

第b”步，TPA构造并将质询信息chal发送给云；

第c”步，收到质询消息后，对所有的1≤，≤c，云计算和计算

云将拥有证明P＝(T，，η)发送TPA，其中η＝{η₁，η₂，...，η_s}，

在收到拥有证明后，对所有的1≤，≤c，TPA计算和然后检测以下等式是否成立，

如果等式成立，意味着云完整的存储着用户数据，否则，云没有正确的存储有用户数据，最后TPA将结果返回给用户。

有益的技术效果

(1)本发明考虑到不同数据对安全性要求的差异，同时实现了对重要数据实现语义安全的安全性和允许云服务器对一般数据执行删重操作。

(2)通过研究初始认证器以及相应新的认证器之间值的关系，设计并实现第一个对不同流行度数据实用的高效的完整性审计方案。在云服务器不知道用户任何隐私信息的情况下，代替用户生成新的认证器。这不需要用户一直在线，也不需要用户耗费计算资源去计算新的认证器。

(3)此发明可以进一步支持动态所有权管理，动态的流行度门限，无块化验证以及批审计。

附图说明

图1为数据文件结构示意图；

图2为针对不同流行度的删重存储数据的完整性审计***模型图；

图3为文件上传过程示意图；

图4为审计阶段示意图。

具体实施方式

本发明提出的针对不同流行度的删重存储数据的完整性审计方法中包含了五类不同的实体：用户、身份提供者(IdP)、云、索引服务(IS)、第三方审计者(TPA)。用户有大量的数据需要存储在云上，并依赖云对其数据进行管理。用户可以为个体或者组织。身份提供者(IdP)为刚加入***的用户颁发一个身份证书。身份提供者最主要的角色是通过确保每个用户只能注册一次来抵御女巫攻击。云服务器有丰富的存储和计算资源。为了提高存储效率，云服务器对来自不同用户的相同文件只存储一份。索引服务(IS)保存着记录，该记录记载着有多少不同的用户上传了同一份文件。索引服务也为每个文件颁发一个独一无二的文件标识符。第三方审计者(TPA)定期地代表用户去检测存储在云上的数据是否完整。当审计完整性时，TPA向云发送一个质询信息。收到此消息后，云服务器回复一个数据拥有性证明。最后，TPA验证此证明是否合理并将结果返回给用户。

本专利技术所应用的相关理论如下：

双线性配对：

设G₁是阶为q的加法群，G₂是两个阶为q的乘法群，若映射e：G₁×G₂→G₂满足以下性质：

1)双线性：对于a，b∈G₁满足e(aP，bQ)＝e(P，Q)^ab。

2)非退化性：存在P，Q∈G，使得

3)可计算性：存在有效算法，对于均可计算e(P，Q)。

则称该映射e为双线性配对。

BLS短签名

1)群G是阶为素数q的乘法循环群，其生成元为g，签名者随机选取然后计算X＝g^x∈G，签名者公私钥分别为X和x。

2)假设消息为M，签名者计算σ＝(H(M))^x，其中

3)验证时，首先已知消息M及其签名σ，然后计算e(g，σ)和e(X，H(M))是否相等，若相等则表示σ是消息M的签名。

收敛加密

与对称加密不同的是，收敛加密不是概率性的。这是因为收敛加密算法使用的加密密钥是由消息m通过一个确定的函数产生的。收敛加密包含以下三个算法：

密钥产生：输入安全参数κ和消息m。输出密钥k_m。相同的消息产生相同的密钥。

加密：输入消息和密钥k_m。输出密文c。

解密：输入密文c和密钥k_m。输出消息m。

公开的门限加密

门限加密可以将密钥分成n份，而后分别派发给n个授权的用户，任何t个或者超过都可以恢复出这个密钥。根据门限加密算法的安全性，任何少于t个用户都不能恢复出密钥。公开的加密是用公钥加密消息，任何t个授权的用户可以解密相应的密文。公开的门限加密由以下算法组成：

(1)Setup(κ，n，t)→(pk，sk，S)：该算法以安全参数κ，授权用户数量n以及一个门限值t作为输入。输出为***的公钥pk，相对应的私钥sk和一个由sk的n个份额组成的集合任何t个份额的集合都可以使用多项式插值来重构出秘密Sk。其中r_i为sk_i在前面提到的多项式中的原相。

(2)Encrypt(pk，m)→(c)：该算法以公钥pk和消息m作为输入。输出相应的密文c。

(3)Dshare(r_i，sk_i，m)→(r_i，ds_i)：该算法以消息m，一个秘密份额sk_i以及其对应的原相作为输入。输出一个解密份额ds_i以及相应的r_i。

(4)Decrypt(c，S_t)→(m)：该算法以密文c和t个解密份额对的集合作为输入。输出明文消息m。

为了提高存储效率和审计性能，本专利对用户数据使用一种普通段结构存储：将数据文件F分割成n个数据块{m₁，...，m_n}，每个数据块进一步分成s个子块{m_j，1，...，m_j，s}，这样减少了数据块标签数量，节省空间。

本发明提供一种针对不同流行度的删重存储数据的完整性审计方法，其包括：

第一步，***参数生成，由***参数生成中心生成各种***公私参数；

第二步，身份认证，由身份提供者认证用户身份并为其生成标识符；

第三步，数据文件上传，用户预处理数据文件后上传到云端；

第四步，审计，审计中心对文件进行审计。

所述第一步进一步具体为

第a步，***参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为G的生成元；选择三个加密哈希函数H₁：{0，1}^*→G₁，H₂：G_T→{0，1}^l，和H₃：{0，1}^*→G₁。选择一个伪随机函数一个伪随机置换以及一个索引函数h：{0，1}^*→{0，1}^*；

第b步，运行算法s_μ·Setup(κ，n，t)→(pk，sk，S)；

第c步，公开***参数保存n个秘密份额

所述第二步进一步具体为以用户身份U_i作为输入。当用户U_i想要上传文件到云时，首先与身份提供者(IdP)交互并提交其身份。然后IdP检测提交的身份是否合法。如果合法，IdP为其颁发一个身份标识符U_i和一个秘密份额x_i。

所述第三步进一步具体包括：

第a’步，用户使用收敛加密密钥ε_C生成密文F_c；

第b’步，为了获得接下来与云交互使用的索引，用户Ui与索引服务进行交互(IS)，首先，用户运行索引函数h为密文FC生成索引IFc，然后，用户将这个索引IFc提交给(IS)，IS接受这个索引(表示为index)并对提交相同索引的用户数量进行计数(表示为ctr)，如果这个计数值小于流行度门限t，IS对索引IFc以及用户身份运行一个PRF生成一个比特串Irnd。其中Irnd的长度与索引IFc一样。然后，IS回应。反之，IS回应；

第c’步，如果IS的回应是一个随机索引I_rnd，用户需要通过执行对称加密ε和收敛的门限加密ε_μ来对F_c生成两个密文C_ε和然后，将这两个密文上传到云，最后，用户删除文件，保存两个文件索引I_ret和I_Fc，以及两个加密密钥k和k_m；

如果IS回应的索引等于I_Fc，在这种情况下，文件F已经为流行文件，拥有该文件的用户已经超过了流行门限t，用户不需要再上传文件F，删除文件并保存索引I_Fc和加密密钥k_m。

所述第四步采用公共审计，故由审计中心实施检查工作。

所述第四步进一步具体包括：

第a”步，以用户随机选择的密钥和文件F＝{m₁，m₂，...，m_m}作为输入，其中用户计算并公开密钥不管文件是否为流行文件，用户都需要为每个文件块m_i(1≤i≤m)生成认证器T_i，并将认证器上传到云；

第b”步，TPA构造并将质询信息chal发送给云；

第c”步，收到质询消息后，对所有的1≤t≤c，云计算和计算

云将拥有证明P＝(T，η)发送TPA，其中η＝{η₁，η₂，...，η_s}，

在收到拥有证明后，对所有的1≤t≤c，TPA计算和然后检测以下等式是否成立，

如果等式成立，意味着云完整的存储着用户数据，否则，云没有正确的存储有用户数据，最后TPA将结果返回给用户。

所述第a”步进一步具体包括：

第a”-a步，用户选择s个随机数{u₁，u₂，...，u_s}；

第a”-b步，令τ₀为name||m||u₁||u₂||...||u_s。用户随机选择一个签名密钥并计算相应的验证密钥P_ssk←g^ssk，文件的标签SSig为τ₀连接上τ₀在密钥下ssk的签名，τ←τ₀||SSig_ssk(τ₀)；

第a”-c步，用户为每个文件块计算认证器：

其中m_ij表示为第i个文件块的第j个部分；

第a”-d步，用户计算

第a”-e步，用户将{T_i}_1≤i≤m，和文件标签SSig发送给云。

当拥有同一文件的用户数量等于流行度门限t时，该算法被执行。用户不需要再上传文件F。用户将从IS得到的集合index发送给云。根据集合中的索引，云可以收集到不同用户的解密份额。然后，云可以解密每个用户上传的密文之后，云得到了使用收敛加密算法加密的内层密文F_c。显然，此时删重操作可以自然发生。最后，云为每个用户生成新的认证器

如果云生成的认证器无法通过验证，云需要对用户进行赔偿。因此，云没有动机故意地计算一个错的认证器。以下采用实施例和附图来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

本发明中数据文件结构如图1所示。图中每一行为数据文件被解析成数据块{m₁，...，m_n}，每一列为数据块m_k被分成子块{m_k，1，…，m_k，s}。其中第i行j列表示子块m_i，j。为了提高存储效率和审计性能，外包的数据文件被分为n个数据块{m₁，...，m_n}，然后每个数据块m_i又进一步被分成s个子块{m_i，1，…，m_i，s}。这样就将产生n个块标签对(m_i，T_i)，其中是对块m_i使用文件秘密τ计算的块标签。在审计时，云端可以通过标签和数据根据审计中心的质询构造回应消息，而不需要发回用户的原始数据。另外普通段结构简单、直接，文件F被分成n×s个子块，每个块(s个子块)对应一个块标签，因而对块标签的存储代价会随s增大降低。

图2为针对不同流行度的删重存储数据的完整性审计***模型图。图中示意该***包含了五类不同的实体：用户、身份提供者(IdP)、云、索引服务(IS)、第三方审计者(TPA)。用户有大量的数据需要存储在云上，并依赖云对其数据进行管理。用户可以为个体或者组织。由图2可知，用户想要加入这个***时，需要向身份提供者注册。身份提供者(IdP)对用户身份进行验证，如果身份正确，为刚加入***的用户颁发一个用户标识符U_i和一个秘密份额x_i作为身份证书。云服务器有丰富的存储和计算资源。为了提高存储效率，云服务器对来自不同用户的相同文件只存储一份。随后如果用户想要上传文件至云端，需要先使用收敛加密算法对其数据文件进行加密。而后与索引服务IS进行交互，根据IS返回的文件索引类型，来判断用户文件是否为流行文件，是否需要使用门限加密算法对其进行进一步加密。并选择下一步要执行的算法。索引服务(IS)保存着记录，该记录记载着有多少不同的用户上传了同一份文件。索引服务也为每个文件颁发一个独一无二的文件标识符。当用户想要检测数据完整性时，委托第三方审计者来代替他进行检测。第三方审计者(TPA)定期地代表用户去检测存储在云上的数据是否完整。当审计完整性时，TPA向云发送一个质询信息。收到此消息后，云服务器回复一个数据拥有性证明。最后，TPA验证此证明是否合理并将结果返回给用户。

图3为文件上传过程示意图。用户使用收敛加密密钥ε_C生成密文F_c。为了获得接下来与云交互使用的索引I_ret，用户U_i与索引服务进行交互(IS)。首先，用户运行索引函数h为密文F_C生成索引I_Fc。然后，用户将这个索引I_Fc提交给(IS)。IS接受这个索引(表示为index)并对提交相同索引的用户数量进行计数(表示为ctr)。如果这个计数值小于流行度门限t，IS对索引I_Fc以及用户身份运行一个PRF生成一个比特串I_rnd。其中I_rnd的长度与索引I_Fc一样。然后，IS回应I_ret＝I_rnd。反之，IS回应I_ret＝I_Fc。

如果IS的回应是一个随机索引I_rnd。在这种情况下，文件F为非流行。拥有该文件的用户数量小于流行度门限t。用户需要通过执行对称加密ε和收敛的门限加密ε_μ来对F_c生成两个密文C_ε和然后，将这两个密文上传到云。如果用户上传的文件一直没有变为流行文件，用户可以通过密文C_ε回复数据。如果用户的文件在某一时刻变为流行文件，云可以恢复收敛门限加密ε_μ的密钥并执行删重操作。最后，用户删除文件，保存两个文件索引I_ret和I_Fc，以及两个加密密钥k和k_m。

否则，用户需要上传的文件为流行文件，只需要收敛加密即可。且用户也不需要执行将文件上传到云端的操作。

图4为审计阶段示意图。用户的目的是想要检测存储在云端的数据的完整性。为了不需要下载整个文件就可以检测数据完整性，用户需要为每个文件块生成相应的认证器。生成认证器的过程如下：以用户随机选择的密钥和文件F＝{m₁，m₂，...，m_m}作为输入，其中用户计算并公开密钥不管文件是否为流行文件，用户都需要为每个文件块m_i(1≤i≤m)生成认证器T_i，并将认证器上传到云。

a.用户选择s个随机数{u₁，u₂，...，u_s}。

b.令τ₀为name||m||u₁||u₂||...||u_s。用户随机选择一个签名密钥并计算相应的验证密钥P_ssk←g^ssk。文件的标签SSig为τ₀连接上τ₀在密钥下ssk的签名，τ←τ₀||SSig_ssk(τ₀)。

c.用户为每个文件块计算认证器：

其中m_ij表示为第i个文件块的第j个部分。

d.用户计算

e.用户将{T_i}_1≤i≤m，和文件标签SSig发送给云。

当用户想要检测数据完整性时，TPA构造并将质询信息chal发送给云。

1.TPA从云得到文件标签SSig并用密钥g^k∈G₁对τ₀的签名进行验证。

如果签名不合理，TPA拒绝并中止。

2.否则，TPA恢复出文件名name，m和{u₁，u₂，...，u_s}。然后，选择一个随机值c(1≤c≤m)作为质询文件块的数量。

3.选择两个随机数

4.TPA将质询消息chal＝(c，k₁，k₂)发送给云。

收到质询消息后，对所有的1≤，≤c，云计算和而后，计算

最后，云将拥有证明P＝(T，η)发送TPA，其中η＝{η₁，η₂，...，η_s}。

在收到拥有证明后，对所有的1≤t≤c，TPA计算和然后检测以下等式是否成立。

如果上述等式成立，意味着云完整的存储着用户数据。否则，云没有正确的存储有用户数据。最后TPA将结果返回给用户。

(1)***初始化：在***参数生成阶段，以安全参数κ作为输入。然后运行IG(1^κ)算法生成两个大素数p阶的乘法循环群G₁，G₂以及一个双线性映射选择三个加密哈希函数H₁：{0，1}^*→G₁，H₂：G_T→{0，1}^l，和H₃：{0，1}^*→G₁。选择一个伪随机函数一个伪随机置换以及一个索引函数h：{0，1}^*→{0，1}^*。运行算法ε_μ·Setup(κ，n，t)→(pk，sk，s)公开***参数保存n个秘密份额

(2)身份认证：在身份认证阶段，当用户U_i想要上传文件到云时，首先与身份提供者(IdP)交互并提交其身份。然后IdP检测提交的身份是否合法。如果合法，IdP为其颁发一个身份标识符U_i和一个秘密份额x_i。

(3)数据上传：在数据上传阶段，用户首先使用收敛加密密钥ε_C生成密文F_c。为了获得接下来与云交互使用的索引I_ret，用户U_i与索引服务进行交互(IS)。首先，用户运行索引函数h为密文F_C生成索引I_Fc。然后，用户将这个索引I_Fc提交给(IS)。IS接受这个索引(表示为index)并对提交相同索引的用户数量进行计数(表示为ctr)。如果这个计数值小于流行度门限t，IS对索引I_Fc以及用户身份运行一个PRF生成一个比特串I_rnd。其中I_rnd的长度与索引I_Fc一样。然后，IS回应I_ret＝I_rnd。反之，IS回应I_ret＝I_Fc。

如果IS的回应是一个随机索引I_rnd。在这种情况下，文件F为非流行。拥有该文件的用户数量小于流行度门限t。用户需要通过执行对称加密ε和收敛的门限加密ε_μ来对F_c生成两个密文C_ε和然后，将这两个密文上传到云。如果用户上传的文件一直没有变为流行文件，用户可以通过密文C_ε回复数据。如果用户的文件在某一时刻变为流行文件，云可以恢复收敛门限加密ε_μ的密钥并执行删重操作。最后，用户删除文件，保存两个文件索引I_ret和I_Fc，以及两个加密密钥k和k_m。

否则，说明文件为流行文件，用户不需要再上传该文件。

(4)完整性审计：在数据完整性检测阶段，TPA构造并将质询信息chal发送给云。TPA从云得到文件标签SSig并用密钥g^k∈G₁对τ₀的签名进行验证。如果签名不合理，TPA拒绝并中止。否则，TPA恢复出文件名name，m和{u₁，u₂，...u_s}。然后，选择一个随机值c(1≤c≤m)作为质询文件块的数量。选择两个随机数TPA将质询消息chal＝(c，k₁，k₂)发送给云。

收到质询消息后，对所有的1≤t≤c，云计算和而后，计算

最后，云将拥有证明P＝(T，η)发送TPA，其中η＝{η₁，η₂，...，η_s}。

在收到拥有证明后，对所有的1≤t≤c，TPA计算和然后检测以下等式是否成立。

如果等式成立，意味着云完整的存储着用户数据。否则，云没有正确的存储有用户数据。最后TPA将结果返回给用户。

本发明的优势在于：一、考虑到不同数据对安全性要求的差异，同时实现了对重要数据实现语义安全的安全性和允许云服务器对一般数据执行删重操作。在本方案中，我们根据数据的流行度来区分数据。对于非流行数据，我们使用语义安全的加密算法来保证高水平的安全。因为非流行数据是由少数的用户上传到云服务器，可能为一些私人数据，如个人帐单。对于非流行数据，我们提供较弱的安全性，但是允许云服务器对其进行删重操作。流行数据为很多用户同时拥有的数据，如流行视频。

二、实现了第一个对不同流行度数据实用的高效的完整性审计方案。为实现目标，研究了初始认证器以及相应新的认证器之间值的关系。云服务器在不知道用户任何隐私信息的情况下，代替用户生成新的认证器。这不需要用户一直在线，也不需要用户耗费计算资源去计算新的认证器。

三、可以进一步支持动态所有权管理，动态的流行度门限，无块化验证以及批审计。

所有上述的首要实施这一知识产权，并没有设定限制其他形式的实施这种新产品和/或新方法。本领域技术人员将利用这一重要信息，上述内容修改，以实现类似的执行情况。但是，所有修改或改造基于本发明新产品属于保留的权利。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (5)

1.一种针对不同流行度的删重存储数据的完整性审计方法，其特征在于，包括：

第一步，***参数生成，由***参数生成中心生成各种***参数；

第二步，身份认证，由身份提供者认证用户身份并为其生成标识符；

第三步，数据文件上传，用户预处理数据文件后上传到云端；

第四步，审计，审计中心对文件进行审计。

2.如权利要求1所述的针对不同流行度的删重存储数据的完整性审计方法，其特征在于：所述第一步进一步具体为

第a步，***参数生成中心选择阶为素数q的群G和T，为可计算的双线性映射g为G的生成元；选择三个加密哈希函数H₁：{0，1}^*→G₁，H₂：G_T→{0，1}^l，和H₃：{0，1}^*→G₁。选择一个伪随机函数一个伪随机置换以及一个索引函数h：(0，1}^*→{0，1}^*；

第b步，运行算法ε_μ.Setup(κ，n，t)→(pk，sk，S)；

第c步，公开***参数保存n个秘密份额

3.如权利要求1或2所述的针对不同流行度的删重存储数据的完整性审计方法，其特征在于：所述第二步进一步具体为以用户身份U_i作为输入。当用户U_i想要上传文件到云时，首先与身份提供者(IdP)交互并提交其身份。然后IdP检测提交的身份是否合法。如果合法，IdP为其颁发一个身份标识符U_i和一个秘密份额X_i。

4.如权利要求1至3所述的针对不同流行度的删重存储数据的完整性审计方法，其特征在于：所述第三步进一步具体包括，

第a’步，用户使用收敛加密密钥ε_C生成密文F_c；

第b’步，为了获得接下来与云交互使用的索引，用户Ui与索引服务进行交互(IS)，首先，用户运行索引函数h为密文FC生成索引IFc，然后，用户将这个索引IFc提交给(IS)，IS接受这个索引(表示为index)并对提交相同索引的用户数量进行计数(表示为ctr)，如果这个计数值小于流行度门限t，IS对索引IFc以及用户身份运行一个PRF生成一个比特串Irnd。其中Irnd的长度与索引IFc一样。然后，IS回应。反之，IS回应；

第c’步，如果IS的回应是一个随机索引I_rnd，用户需要通过执行对称加密ε和收敛的门限加密ε_μ来对F_c生成两个密文C_ε和然后，将这两个密文上传到云，最后，用户删除文件，保存两个文件索引I_ret和I_Fc，以及两个加密密钥k和k_m；

如果IS回应的索引等于I_Fc，在这种情况下，文件F已经为流行文件，拥有该文件的用户已经超过了流行门限t，用户不需要再上传文件F，删除文件并保存索引I_Fc和加密密钥k_m。

5.如权利要求1至4所述的针对不同流行度的删重存储数据的完整性审计方法，其特征在于：所述第四步进一步具体包括，

第a”步，以用户随机选择的密钥和文件F＝{m₁，m₂，...，m_m}作为输入，其中用户计算并公开密钥不管文件是否为流行文件，用户都需要为每个文件块m_i(1≤i≤m)生成认证器T_i，并将认证器上传到云；

第b”步，TPA构造并将质询信息chal发送给云；

第c”步，收到质询消息后，对所有的1≤，≤c，云计算和计算

云将拥有证明P＝(T，η)发送TPA，其中η＝{η₁，η₂，...，η_s}，

在收到拥有证明后，对所有的1≤，≤c，TPA计算和然后检测以下等式是否成立，

如果等式成立，意味着云完整的存储着用户数据，否则，云没有正确的存储有用户数据，最后TPA将结果返回给用户。