袁文勇，李秀廣，2*，李瑞峰，易錚閣，楊曉元，3

（1.武警工程大學(xué) 密碼工程學(xué)院，西安 710086；2.綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室（西安電子科技大學(xué)），西安 710071；3.網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室，西安 710086）

0 引言

隨著計(jì)算能力的發(fā)展，用戶(hù)需要掌握的數(shù)據(jù)越來(lái)越多，為了節(jié)省存儲(chǔ)空間和管理成本，用戶(hù)往往把數(shù)據(jù)外包到云服務(wù)器［1］。由于用戶(hù)外包數(shù)據(jù)后通常會(huì)刪除本地?cái)?shù)據(jù)以釋放空間，數(shù)據(jù)保留在云中，用戶(hù)失去對(duì)數(shù)據(jù)的直接控制，導(dǎo)致云存儲(chǔ)出現(xiàn)各種安全問(wèn)題［2］。數(shù)據(jù)的完整性就是其中的重點(diǎn)研究問(wèn)題之一。

為保證數(shù)據(jù)的完整性，多種審計(jì)方案被提出。早期方案［3-4］都是采用絕對(duì)性檢測(cè)，用戶(hù)需要重新下載所需檢測(cè)的數(shù)據(jù)，再與本地?cái)?shù)據(jù)進(jìn)行對(duì)比，實(shí)現(xiàn)完整性驗(yàn)證的目的。頻繁下載數(shù)據(jù)來(lái)檢查完整性對(duì)用戶(hù)來(lái)說(shuō)成本是昂貴且不合理的。2007 年Ateniese 等［5］提出數(shù)據(jù)持有性證明（Provable Data Posssession，PDP）方案，開(kāi)創(chuàng)性提出抽樣檢測(cè)的方法驗(yàn)證數(shù)據(jù)完整性，用戶(hù)檢測(cè)數(shù)據(jù)完整性無(wú)需下載數(shù)據(jù)即可完成驗(yàn)證，減輕了用戶(hù)計(jì)算開(kāi)銷(xiāo)。2008 年Ateniese 等［6］提出可擴(kuò)展的PDP 方案，實(shí)現(xiàn)對(duì)數(shù)據(jù)的部分動(dòng)態(tài)操作。以上方案由用戶(hù)承擔(dān)大部分驗(yàn)證開(kāi)銷(xiāo)，用戶(hù)實(shí)際計(jì)算能力有限并缺乏專(zhuān)業(yè)性。為了解決上述矛盾，2009 年Wang 等［7］提出一種基于第三方審計(jì)機(jī)構(gòu)（Third Party Auditor，TPA）的審計(jì)模型，TPA 具有專(zhuān)業(yè)的計(jì)算能力且被行業(yè)承認(rèn)。用戶(hù)授權(quán)TPA 對(duì)外包數(shù)據(jù)進(jìn)行審計(jì)并代表用戶(hù)完成云中數(shù)據(jù)的完整性驗(yàn)證。但TPA 不能保證完全可信，有可能窺探用戶(hù)隱私。為了在審計(jì)過(guò)程中保護(hù)用戶(hù)數(shù)據(jù)隱私，Wang 等［8］在審計(jì)過(guò)程加入隨機(jī)掩碼技術(shù)，對(duì)參與審計(jì)的數(shù)據(jù)塊聚合進(jìn)行盲化，保證TPA 無(wú)法通過(guò)對(duì)相同數(shù)據(jù)進(jìn)行驗(yàn)證從而獲取用戶(hù)數(shù)據(jù)。隨著TPA模型推廣，如何保證TPA 如實(shí)完成審計(jì)請(qǐng)求成為云審計(jì)安全的重要問(wèn)題之一。2017 年張鍵紅等［9］設(shè)計(jì)出一種新的審計(jì)方案，對(duì)數(shù)據(jù)和數(shù)據(jù)標(biāo)簽進(jìn)行雙重驗(yàn)證，以加強(qiáng)對(duì)TPA 的控制并提高用戶(hù)的審計(jì)能力。2019 年Xue 等［10］利用區(qū)塊鏈技術(shù)提出了一種抵抗惡意TPA 的完整性審計(jì)方案，方案有效抵抗了TPA 可能的欺騙行為，并保證了審計(jì)結(jié)果的正確性，但區(qū)塊鏈數(shù)據(jù)存儲(chǔ)成本高昂［11］。Qian 等［12］利用偽隨機(jī)比特生成器隨機(jī)生成挑戰(zhàn)信息，使TPA 必須每次執(zhí)行用戶(hù)的審計(jì)請(qǐng)求，避免了TPA 跳過(guò)審計(jì)直接返回結(jié)果的欺騙行為。以上方案均是基于雙線性映射的思想，生成標(biāo)簽和驗(yàn)證過(guò)程繁瑣，對(duì)云和TPA 計(jì)算能力要求高。

為提高計(jì)算效率，防止TPA 欺騙行為和保護(hù)數(shù)據(jù)隱私，本文基于離散對(duì)數(shù)假設(shè)構(gòu)建新的標(biāo)簽生成算法，利用偽隨機(jī)比特生成器保證挑戰(zhàn)信息的隨機(jī)性，增加用戶(hù)和TPA 審計(jì)結(jié)果的交互過(guò)程，檢查數(shù)據(jù)完整性，保證審計(jì)結(jié)果的可信。計(jì)算過(guò)程無(wú)雙線性映射參與，能有效提高計(jì)算效率。

1 預(yù)備知識(shí)

1.1 離散對(duì)數(shù)問(wèn)題

G是一個(gè)階為大素?cái)?shù)q的乘法循環(huán)群，其中g(shù)是循環(huán)群的生成元。已知g和ga，求a的值是困難的，這稱(chēng)為離散對(duì)數(shù)問(wèn)題（Discrete Logirathm Problem，DLP）［13］。

1.2 單向散列函數(shù)

密碼學(xué)哈希函數(shù)又被稱(chēng)為單向散列函數(shù)，它可以將任意長(zhǎng)度的消息轉(zhuǎn)化為固定長(zhǎng)度的哈希值。單向散列函數(shù)具有單向性和抗碰撞性。

1）單向性：由一個(gè)輸入求得散列值是容易的，由散列值求輸入是困難的。

2）弱抗碰撞性：要找到和某條消息具有相同散列值的另一條消息是非常困難的。

3）強(qiáng)碰撞性：要找到散列值相同的兩條不同消息是非常困難的［14］。

1.3 偽隨機(jī)比特生成器

Zhang 等［15］提出比特幣新區(qū)塊生成可被看成是基于時(shí)間的偽隨機(jī)資源，對(duì)偽隨機(jī)比特生成器的定義：

函數(shù)的輸入是過(guò)去或者當(dāng)前時(shí)間t，在比特幣系統(tǒng)中容易計(jì)算出；如果是未來(lái)的時(shí)間，函數(shù)的輸出是不可預(yù)測(cè)的。本文方案輸入審計(jì)的當(dāng)前時(shí)間，利用式（1）計(jì)算挑戰(zhàn)信息。假設(shè)挑 戰(zhàn)的數(shù) 據(jù)塊數(shù)目為n，則只需 用{θ‖0，θ‖1，…，θ‖(n-1) }分別作為一個(gè)映射到數(shù)據(jù)塊集合中的哈希函數(shù)的輸入，得到的輸出便是要挑戰(zhàn)的數(shù)據(jù)塊索引集合［15］。

2 審計(jì)模型和設(shè)計(jì)目標(biāo)

2.1 審計(jì)模型

本文可信審計(jì)模型有3 個(gè)參與方：用戶(hù)、云服務(wù)器（Cloud Server Provider，CSP）和第三方審計(jì)機(jī)構(gòu)（TPA）。

用戶(hù) 上傳數(shù)據(jù)和數(shù)據(jù)標(biāo)簽到云服務(wù)器，委托云對(duì)數(shù)據(jù)進(jìn)行保管。

CSP 接收用戶(hù)數(shù)據(jù)和對(duì)應(yīng)標(biāo)簽，對(duì)用戶(hù)數(shù)據(jù)進(jìn)行存儲(chǔ)管理，節(jié)省用戶(hù)存儲(chǔ)空間和計(jì)算資源。云服務(wù)器不會(huì)惡意對(duì)外泄露用戶(hù)數(shù)據(jù)信息，否則用戶(hù)利用云進(jìn)行存儲(chǔ)管理數(shù)據(jù)將失去意義。

TPA 接收用戶(hù)的審計(jì)請(qǐng)求，對(duì)云中用戶(hù)數(shù)據(jù)進(jìn)行完整性驗(yàn)證，并將結(jié)果返回給用戶(hù)。本文模型相較于傳統(tǒng)TPA 審計(jì)模型增加了TPA 生成的挑戰(zhàn)信息與用戶(hù)的交互，把傳統(tǒng)的TPA 直接返回審計(jì)結(jié)果變成結(jié)果對(duì)比，具體模型如圖1所示。

圖1 可信審計(jì)模型Fig.1 Model of trusted audit

①用戶(hù)將數(shù)據(jù)和數(shù)據(jù)塊標(biāo)簽上傳至CSP。

②用戶(hù)向TPA 發(fā)送檢驗(yàn)數(shù)據(jù)完整性的請(qǐng)求。

③TPA 利用偽隨機(jī)比特生成器生成挑戰(zhàn)信息，將挑戰(zhàn)分別發(fā)送給用戶(hù)和云服務(wù)器。

④CSP 接收挑戰(zhàn)后，生成數(shù)據(jù)完整的證明給TPA。

⑤TPA 接收證明，通過(guò)計(jì)算返回一個(gè)審計(jì)值給用戶(hù)，用戶(hù)通過(guò)檢查計(jì)算結(jié)果判斷數(shù)據(jù)是否完整以及TPA 是否如實(shí)完成審計(jì)請(qǐng)求。

可信審計(jì)模型包括以下多項(xiàng)式算法。

Setup：系統(tǒng)初始化，選取合適的群和哈希函數(shù)作為系統(tǒng)參數(shù)，并公開(kāi)。

KeyGen(s) →(pk，sk)：選取合適參數(shù)生成用戶(hù)密鑰對(duì)。

TagGen(M，sk) →(M，K)：用戶(hù)對(duì)數(shù)據(jù)分塊后使用簽名算法對(duì)數(shù)據(jù)進(jìn)行簽名，將數(shù)據(jù)M和標(biāo)簽K發(fā)送給CSP 后，刪除本地?cái)?shù)據(jù)。

ChallengeGen(t) →C：審計(jì)者利用當(dāng)前時(shí)間t和用戶(hù)的公鑰pk，執(zhí)行ChallengeGen 算法產(chǎn)生挑戰(zhàn)C，發(fā)送給CSP。

ProofGen(C，M，pk，K) →P：CSP 輸入挑戰(zhàn)C，數(shù)據(jù)M、標(biāo)簽K和用戶(hù)的公鑰pk，輸出證據(jù)響應(yīng)P，發(fā)送給TPA。

VerifyProof(C，P，pk) →W1：審計(jì)者輸入挑戰(zhàn)C，用戶(hù)公鑰pk，生成計(jì)算結(jié)果W1并發(fā)送給用戶(hù)，用戶(hù)對(duì)比計(jì)算結(jié)果判斷數(shù)據(jù)完整性。

2.2 設(shè)計(jì)目標(biāo)

針對(duì)TPA 存在的惡意行為，本文構(gòu)建了一種無(wú)雙線線對(duì)的可信云審計(jì)方案。利用偽隨機(jī)比特生成器生成隨機(jī)挑戰(zhàn)，保證挑戰(zhàn)時(shí)效性。增加TPA 發(fā)送計(jì)算結(jié)果給用戶(hù)驗(yàn)證，由用戶(hù)判斷數(shù)據(jù)完整性。設(shè)計(jì)方案可滿(mǎn)足以下目標(biāo)：

1）存儲(chǔ)正確性。只有CSP 完整存儲(chǔ)用戶(hù)的文件的情況下，才能通過(guò)審計(jì)方案的驗(yàn)證。

2）可信審計(jì)。方案能夠發(fā)現(xiàn)TPA 的惡意行為

3）隱私保護(hù)。TPA 在審計(jì)過(guò)程中無(wú)法獲取用戶(hù)數(shù)據(jù)。

4）安全性。方案可以抵抗來(lái)自CSP 的偽造攻擊和代替攻擊。

5）批量審計(jì)。實(shí)現(xiàn)多個(gè)數(shù)據(jù)的批量驗(yàn)證，無(wú)需進(jìn)行多次單項(xiàng)審計(jì)。

6）高效性。方案的審計(jì)過(guò)程中不需進(jìn)行雙線性對(duì)運(yùn)算，節(jié)省計(jì)算開(kāi)銷(xiāo)。

3 無(wú)雙線性對(duì)的云審計(jì)方案設(shè)計(jì)

3.1 系統(tǒng)建立階段

Setup：選取階為大素?cái)?shù)q的乘法循環(huán)群G1，令g為群G1生成元，Q是群上 的一個(gè) 隨機(jī)元 素，H1：{0，1}*→Ζq，H2：{0，1}*×G→Ζq是兩個(gè) 哈希函 數(shù)。公開(kāi)系 統(tǒng)參數(shù){G，g，Q，q，H1，H2}。

KeyGen(s) →(pk，sk)：用戶(hù)選取隨機(jī)數(shù)計(jì)算用戶(hù)私鑰和公鑰。其中{pk，sk}={S，gs}，S∈。

TagGen(M，sk) →(M，K)：用戶(hù)對(duì)數(shù)據(jù)文件M分塊，表示為：M={m1，m2，…，mn}。完成分塊后利用密鑰進(jìn)行簽名。對(duì)每個(gè)數(shù)據(jù)塊mi具體簽名過(guò)程如下。

用戶(hù)選取隨機(jī)數(shù)λi，計(jì)算：

其中：ID為用戶(hù)身份；{σi，Ri，H1(λi)}作為數(shù)據(jù)塊mi的標(biāo)簽，將{mi，σi，Ri，H1(λi)}上傳到云服務(wù)器并刪除本地?cái)?shù)據(jù)。

3.2 挑戰(zhàn)階段

ChallengeGen(t) →C：TPA 接收用戶(hù)審計(jì)請(qǐng)求生成挑戰(zhàn)信息。TPA 利用式（1）輸入當(dāng)前時(shí)間t，生成θ，計(jì)算ρ=H1(θ)，從集合{1，2，…，n}選取非空子集I，生成挑戰(zhàn)C={ρ，I}發(fā)送給云服務(wù)器和用戶(hù)。

3.3 證據(jù)生成階段

ProofGen(C，M，pk，K) →P：云服務(wù) 器接收挑戰(zhàn)C={ρ，I}。計(jì)算：

最后把P={σ，u}發(fā)送給審計(jì)者。

3.4 驗(yàn)證階段

VerifyProof(C，P，pk) →W1：TPA 輸入挑戰(zhàn)C、證據(jù)P和用戶(hù)公鑰pk，計(jì)算審計(jì)值W1。

TPA 把W1發(fā)送給用戶(hù)，用戶(hù)計(jì)算

用戶(hù)接收到挑戰(zhàn)信息，計(jì)算vi和云服務(wù)器利用式（4）計(jì)算過(guò)程一致。用戶(hù)對(duì)式（9）進(jìn)行驗(yàn)證：

如果式（9）成立，證明數(shù)據(jù)保存完整，TPA 如實(shí)完成審計(jì)請(qǐng)求。

4 安全分析

4.1 方案正確性

如果云服務(wù)器完整存儲(chǔ)用戶(hù)數(shù)據(jù)，則能夠通過(guò)如下證明：

通過(guò)以上數(shù)學(xué)證明可知，如果用戶(hù)正確存儲(chǔ)數(shù)據(jù)且TPA如實(shí)執(zhí)行審計(jì)請(qǐng)求，則能夠通過(guò)證明；否則數(shù)據(jù)不完整或者TPA 沒(méi)有如實(shí)進(jìn)行審計(jì)。

4.2 抗代替攻擊

如果生成證據(jù)階段云服務(wù)器利用完好的數(shù)據(jù)塊代替損壞的數(shù)據(jù)塊進(jìn)行證據(jù)生成，那么生成的證明無(wú)法通過(guò)式（9）驗(yàn)證。

證明 假設(shè)數(shù)據(jù)塊和標(biāo)簽{mj，σj，Rj，H1(λj) }已經(jīng)損壞，CS 利用完好的數(shù)據(jù)塊和標(biāo)簽{mj，σj，Rj，H1(λj) }去代替進(jìn)行證據(jù)生成，CS 進(jìn)行如下計(jì)算：

用戶(hù)計(jì)算的W2是根據(jù)挑戰(zhàn)計(jì)算的，不會(huì)因?yàn)樽C據(jù)而改變。要通過(guò)完整性驗(yàn)證，則需要：

4.3 抗偽造攻擊

如果離散對(duì)數(shù)成立，則云服務(wù)器無(wú)法為不完整數(shù)據(jù)偽造證據(jù)通過(guò)完整性驗(yàn)證。

證明 利用文獻(xiàn)［16］的安全模型，假設(shè)云服務(wù)器能夠?yàn)椴煌暾麛?shù)據(jù)偽造證據(jù)通過(guò)完整性驗(yàn)證，則說(shuō)明能夠解決離散對(duì)數(shù)問(wèn)題。證明過(guò)程如下：

其中：分母r2Δu不為0，r2不為0，r2是在隨機(jī)數(shù)上選取的，不為0 的概率為1/q，得到解決DL 問(wèn)題的概率為1 -1/q，q為大素?cái)?shù)，1 -1/q大小不可忽略。如果云服務(wù)器能夠利用不完整數(shù)據(jù)偽造證據(jù)通過(guò)驗(yàn)證，則云服務(wù)器能夠以不可忽略的概率1 -1/q解決DL 問(wèn)題，這與DL 假設(shè)相矛盾。

4.4 隱私保護(hù)

4.5 檢驗(yàn)TPA惡意行為

證明 1）抵抗TPA 生成不隨機(jī)的挑戰(zhàn)信息。本文方案利用偽隨機(jī)比特生成器生成挑戰(zhàn)信息，規(guī)定TPA 輸入當(dāng)前的審計(jì)時(shí)間，因此每次得到的式（1）結(jié)果都是不一樣的；再利用函數(shù)輸出結(jié)果生成挑戰(zhàn)信息，保證了挑戰(zhàn)信息的隨機(jī)性。文獻(xiàn)［17-18］是TPA 進(jìn)行隨機(jī)數(shù)挑選，人為機(jī)構(gòu)無(wú)法保證挑戰(zhàn)信息的隨機(jī)性。本文方案中，如果TPA 重復(fù)使用之前的挑戰(zhàn)信息，由于TPA 要發(fā)送挑戰(zhàn)信息給用戶(hù)，用戶(hù)通過(guò)對(duì)比之前接收的挑戰(zhàn)，很容易識(shí)別TPA 這種惡意行為。

2）抵抗TPA 跳過(guò)審計(jì)直接返回結(jié)果的惡意行為。在文獻(xiàn)［17-18］中，TPA 直接返回“0”或者“1”說(shuō)明數(shù)據(jù)的完整性情況。有可能存在惡意TPA 為了節(jié)省開(kāi)銷(xiāo)，直接返回之前的審計(jì)結(jié)果給用戶(hù)，不進(jìn)行審計(jì)計(jì)算。本文方案通過(guò)比較TPA計(jì)算的和用戶(hù)計(jì)算的，由用戶(hù)進(jìn)行判別審計(jì)結(jié)果，避免了TPA 跳過(guò)審計(jì)直接返回結(jié)果的惡意行為。

通過(guò)以上對(duì)TPA 行為的判定，說(shuō)明本文方案的審計(jì)結(jié)果是可信的。

5 擴(kuò)展方案

實(shí)際使用的云環(huán)境中存在大量用戶(hù)和海量數(shù)據(jù)，TPA 往往需要一次性檢查多個(gè)用戶(hù)數(shù)據(jù)的完整性。在支持單項(xiàng)數(shù)據(jù)審計(jì)的方案基礎(chǔ)上，擴(kuò)展為滿(mǎn)足多用戶(hù)數(shù)據(jù)的審計(jì)方案，實(shí)現(xiàn)對(duì)多用戶(hù)云環(huán)境的數(shù)據(jù)審計(jì)要求。設(shè)參與驗(yàn)證的用戶(hù)的數(shù)量為L(zhǎng)，用戶(hù)l(1 ≤l≤L)擁有文件Ml，滿(mǎn)足多用戶(hù)多數(shù)據(jù)的具體審計(jì)算法如下。

setup：系統(tǒng)參數(shù)設(shè)置與單項(xiàng)審計(jì)方案一致。

{σl，i，Rl，i，H1(λl，i)}作為數(shù)據(jù)塊的標(biāo)簽K。將標(biāo)簽上傳到云服務(wù)器，并刪除本地?cái)?shù)據(jù)ml，i，其中IDl為用戶(hù)l身份。

ChallengeGen(t) →C：挑戰(zhàn)生成過(guò)程與單項(xiàng)審計(jì)方案相同。

ProofGen(C，Ml) →P：云服務(wù) 器接收挑戰(zhàn)C={ρ，I}，計(jì)算：

最后把證據(jù)P={σ，u}發(fā)送給審計(jì)者。

VerifyProof(C，P，pk) →W1：TPA 輸入挑戰(zhàn)C、證據(jù)P和用戶(hù)l公鑰pkl（1 ≤l≤L），計(jì)算審計(jì)值W1。

TPA 把W1發(fā)送給用戶(hù)l，用戶(hù)l計(jì)算

用戶(hù)接收到挑戰(zhàn)信息，計(jì)算vi和云服務(wù)器利用式（4）計(jì)算過(guò)程一致。用戶(hù)對(duì)W1=W2進(jìn)行驗(yàn)證，如果等式成立，證明審計(jì)的多項(xiàng)數(shù)據(jù)保存完整，且TPA 如實(shí)完成審計(jì)請(qǐng)求。

對(duì)擴(kuò)展方案的正確性進(jìn)行證明：

批量審計(jì)方案是基于單項(xiàng)審計(jì)方案擴(kuò)展而來(lái)，滿(mǎn)足檢驗(yàn)數(shù)據(jù)完整性、抗代替攻擊、偽造攻擊和數(shù)據(jù)隱私保護(hù)。證明方法與單項(xiàng)審計(jì)方案相同。

6 效能分析

本文方案的計(jì)算開(kāi)銷(xiāo)主要在用戶(hù)生成標(biāo)簽階段、挑戰(zhàn)生成階段和驗(yàn)證階段。在證據(jù)生成階段中，不涉及群元素和哈希函數(shù)的計(jì)算，故計(jì)算開(kāi)銷(xiāo)可以忽略。下面主要對(duì)單項(xiàng)審計(jì)方案性能進(jìn)行分析。

定義H為一次單向哈希函數(shù)的計(jì)算代價(jià)，M為在群G1上做一次乘法運(yùn)算的代價(jià)，E為在群G1上做一次指數(shù)運(yùn)算的代價(jià)，P為一次雙線性對(duì)運(yùn)算的代價(jià)，n為文件中數(shù)據(jù)塊的數(shù)量，c為查詢(xún)數(shù)據(jù)塊的數(shù)量。|G1|為群G1中元素比特長(zhǎng)度，|n|為［1，n］中元素的比特長(zhǎng)度，|P|為Zq中元素比特長(zhǎng)度。

6.1 計(jì)算代價(jià)

TagGen(M，sk) →K：生成一個(gè)標(biāo)簽主要有一次計(jì)算群元素Ri的冪運(yùn)算和計(jì)算σi的兩次哈希運(yùn)算。文件M分為n塊，故生成標(biāo)簽計(jì)算開(kāi)銷(xiāo)為nE+2nH。

ChallengeGen(t) →C：挑戰(zhàn)階段開(kāi)銷(xiāo)主要計(jì)算ρ，故挑戰(zhàn)階段計(jì)算開(kāi)銷(xiāo)為H。

VerifyProof(C，P，pk) →W1：驗(yàn)證階段開(kāi)銷(xiāo)為T(mén)PA 計(jì)算W1和用戶(hù)計(jì)算W2。計(jì)算W1為兩次群冪運(yùn)算和一次群乘法運(yùn)算；計(jì)算W2為一次群冪運(yùn)算和c-1 次群乘法運(yùn)算，故驗(yàn)證階段計(jì)算開(kāi)銷(xiāo)為3E+cM。

主要對(duì)比傳統(tǒng)存在雙線性對(duì)云審計(jì)文獻(xiàn)［8］、無(wú)雙線性對(duì)的云審計(jì)文獻(xiàn)［17］以及基于Merkle 哈希樹(shù)的無(wú)雙線性對(duì)（Merkle-Hash-Tree based Without Bilinear PAiring，MHT-WiBPA）審計(jì)方案［18］。為了便于比較，統(tǒng)一計(jì)算標(biāo)簽數(shù)量為n，查詢(xún)數(shù)據(jù)塊為c。由于單次哈希運(yùn)算開(kāi)銷(xiāo)很小，忽略本文方案中在挑戰(zhàn)階段的一次哈希運(yùn)算開(kāi)銷(xiāo)。具體對(duì)比情況如表1 所示。

表1 計(jì)算開(kāi)銷(xiāo)對(duì)比Tab.1 Comparison of computational cost

6.2 通信代價(jià)

本文方案通信開(kāi)銷(xiāo)集中在發(fā)送挑戰(zhàn)和返回證據(jù)兩個(gè)階段。發(fā)送挑戰(zhàn)C={ρ，I}過(guò)程，審計(jì)者可以直接發(fā)送一個(gè)時(shí)間給CSP 即可，由CSP 通過(guò)偽隨機(jī)比特器計(jì)算挑戰(zhàn)信息，只需將C={ρ，I}發(fā)送至用戶(hù)，通信量為c|P|+|n|；返回證據(jù)P={σ，u}通信量為2|P|。故本文方案總通信開(kāi)銷(xiāo)為（c+2）|P|+|n|。為使結(jié)果更加直觀，設(shè)置 |G1|=|P|=160 bit，|n|=32 bit。具體對(duì)比上述文獻(xiàn)［8，17-18］情況如表2 所示。

表2 通信開(kāi)銷(xiāo)對(duì)比Tab.2 Comparison of communication cost

6.3 實(shí)驗(yàn)對(duì)比

實(shí)驗(yàn)使用Java 語(yǔ)言和利用JPBC 庫(kù)實(shí)現(xiàn)。運(yùn)行平臺(tái)是2.5 GHz，i5CPU，Windows 10 操作系統(tǒng)64 位，8 GB 內(nèi)存。在實(shí)驗(yàn)中，設(shè)置基域的大小為512 bit，在ZP中一個(gè)元素的大小|P|=160 bit，選擇的挑戰(zhàn)數(shù)據(jù)塊數(shù)據(jù)量為c=460，每個(gè)數(shù)據(jù)塊大小為2 KB，在不同數(shù)據(jù)塊數(shù)量進(jìn)行實(shí)驗(yàn)。

選取不同大小的文件，規(guī)定單個(gè)數(shù)據(jù)塊大小為2 KB，文件分塊數(shù)量從500 遞增至3 000，分別計(jì)算各個(gè)方案的標(biāo)簽生成時(shí)間（如圖2 所示）、證據(jù)生成時(shí)間（如圖3 所示）、驗(yàn)證證據(jù)時(shí)間（如圖4 所示）。

圖2 標(biāo)簽生成時(shí)間Fig.2 Time of label generation

圖3 證據(jù)生成時(shí)間Fig.3 Time of evidence generation

圖4 驗(yàn)證證據(jù)時(shí)間Fig.4 Time of verifying evidence

根據(jù)實(shí)驗(yàn)對(duì)比，本文方案在標(biāo)簽生成、證據(jù)生成和驗(yàn)證證據(jù)3 個(gè)過(guò)程中，計(jì)算開(kāi)銷(xiāo)均有所下降。在證據(jù)生成階段，由于本文計(jì)算證據(jù)無(wú)群元素參與，只涉及整數(shù)運(yùn)算，故時(shí)間不到50 ms。其中本文方案與MHT-WiBPA 方案計(jì)算開(kāi)銷(xiāo)最為接近。相較于MHT-WiBPA 方案，在驗(yàn)證證據(jù)開(kāi)銷(xiāo)接近，但標(biāo)簽生成時(shí)間存在優(yōu)勢(shì)。計(jì)算本文方案與MHT-WiBPA 方案在6 次不同挑戰(zhàn)塊數(shù)量標(biāo)簽生成提高效率，從500、1 000、1 500、2 000、2 500、3 000 提高效 率分別約為50.07%、50.06%、50.10%、49.90%、49.50%、50.10%。對(duì)6 次提高效率取平均值，計(jì)算得本文標(biāo)簽生成時(shí)間比MHT-WiBPA 方案提高約49.96%。相較于其他方案，本文無(wú)雙線性對(duì)參與，減少了群元素的計(jì)算，能夠有效提高效率。

7 結(jié)語(yǔ)

針對(duì)TPA 存在的惡意欺騙行為，本文利用偽隨機(jī)比特生成器并增加用戶(hù)與TPA 結(jié)果的交互過(guò)程，提出一種無(wú)雙線性對(duì)的可信審計(jì)方案。本文方案中，利用偽隨機(jī)比特生成器增強(qiáng)了挑戰(zhàn)信息的隨機(jī)性和時(shí)效性，解決了之前方案TPA 重復(fù)利用挑戰(zhàn)信息的缺陷。用戶(hù)通過(guò)對(duì)比TPA 的審計(jì)值自行判斷數(shù)據(jù)完整性，有效抵抗TPA 的惡意審計(jì)行為。在方案設(shè)計(jì)過(guò)程中，減少了群元素的計(jì)算和無(wú)雙線性對(duì)參與，利用實(shí)驗(yàn)證明了效率的提高；但由于本文方案標(biāo)簽需用戶(hù)自己生成，對(duì)用戶(hù)計(jì)算能力要求較高，因此，本研究未來(lái)工作是構(gòu)建一個(gè)標(biāo)簽外包計(jì)算的安全云審計(jì)方案。