云存储审计：高效安全的数据完整性检查方案

沙特国王大学学报一种安全高效的云存储远程数据审计方案Imad El Ghoubacha，b，Rachid Ben Abboua，Mrabha Mrabtiba摩洛哥非斯Sidi Mohamed Ben Abdellah大学科学技术学院智能系统和应用实验室b摩洛哥非斯Sidi Mohamed Ben Abdellah大学科学技术学院信号、系统和部件实验室阿提奇莱因福奥文章历史记录：收到2018年2019年2月12日修订2019年2月27日接受2019年3月2日在线提供保留字：CDH问题云计算完整性检查安全性证明仿真远程数据审计A B S T R A C T云数据存储服务允许用户使用任何类型的连接设备轻松存储和访问其数据。然而，由于数据是外包的，用户需要一种审计机制，使他能够检查他的数据的完整性，而无需恢复它。此外，审计不应产生大的计算和通信成本，特别是因为用户在使用计算上有挑战的设备（智能手机、平板电脑）检查其数据的完整性时不应有任何计算问题。. ）. 在本文中，我们提出了一个审计计划，提供给用户一个有效和安全的过程来审计他们的外包数据。所提出的方案具有较低的计算开销的用户，使他们能够委托数据验证过程中的第三方审计员，同时保持低的计算和通信开销，而不会危及存储数据的机密性。©2019作者制作和主办：Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍云计算是一种在大型共享虚拟化计算资源池上的分布式计算模型。云服务的用户可以根据需要分配和释放资源。这种模式为用户带来了各种好处，而不需要大量的硬件或软件要求。用户可以减少在硬件和软件服务上的支出，确保低管理开销和对广泛应用的即时访问，并使用多个设备保持对这些服务的轻松访问然而，在云服务提供商（CSP）控制下的外包数据引起了许多安全问题（Ali等人， 2015年; Ren等人，2012年），特别是因为云服务器不完全可信，不一定会报告数据丢失事件。此外，一旦数据被外包，用户就不再对其数据进行物理控制，这意味着用户需要轻松验证其数据完整性的方法。由于数据是在云服务提供商的控制下外包的，因此允许用户或*通讯作者。电 子 邮 件 地 址 ： imad.usmba.ac.ma （ I.ElGhoubach ） ， Rachid.benabbou@usmba.ac.ma（R. Ben Abbou），fatiha. usmba.ac.ma（F.Mrabti）。沙特国王大学负责同行审查云服务器来进行审计过程;首先，因为云服务提供商可以被信任来提供无偏见的审计结果（Wang等人，2010年）。其次，用户并不总是能够处理这种操作的开销，通信成本或计算挑战。此外，服务用户应该能够存储和访问数据，而不必总是担心数据的完整性。这些原因证明了使用第三方审计服务的合理性。因此，我们需要提供一种数据审计机制，在这种机制中，审计机构能够审计数据而不影响它的保密性。此外，由于云存储服务的许多用户正在使用资源受限的设备，因此所提出的方案需要为用户提供有效的机制。在本文中，我们提出了一个有效和安全的公共远程云存储方案，这部分是受Wang等人的启发。的可证明数据占有方案（Wang等人，2013年）。 在我们的方案中，我们使用户能够将他的数据外包到云服务器，同时保持自己或在第三方审计师（TPA）的帮助下审计数据的能力。我们计划的贡献主要集中在三个方面：1. 通过共享数据委托密钥并在为数据块生成身份时使用审计密钥，我们使数据用户能够将数据审计过程委托给TPA以这种方式，TPA能够以低计算和通信开销容易地执行审计协议，而不给予CSP伪造数据证明的能力。https://doi.org/10.1016/j.jksuci.2019.02.0111319-1578/©2019作者。制作和主办：Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com594I. El Ghoubach等人/沙特国王大学学报2. 我们专注于降低用户和TPA的开销。由于TPA可以处理多个用户的同时审计操作，降低TPA上的计算和通信成本将提高审计机制的效率。3. 我们证明了我们的方案的安全性，对伪造和替换攻击。此外，我们证明了TPA无法恢复审计过程中的数据块本文的结构安排如下：第二节提供了相关的工作。我们在第3节中提出了我们的系统模型和设计目标。我们的方案在第4节中详细描述。第五节给出了方案的安全性分析。在第6节中，我们讨论了所提出的方法的性能。第七节是全文的结论。2. 相关作品远程数据拥有检查使用户能够验证云服务提供商存储原始数据而不恢复它。这可以使用概率证明，其中用户检查一组随机选择的数据块的完整性。在2007年，Ateniese等人（2007）提出了一种可证明的数据会话（PDP）范例，其中用户能够在不恢复整个文件的情况下验证数据完整性。根据Ateniese等人（2007）给出的例子，仅使用460个随机选择的数据块，验证器就可以检测到服务器是否删除了1%的块，概率高于99%。在Ateniese的开创性工作之后，远程数据拥有检查（RDPC）吸引了广泛的研究，其中提出了许多基于传统PKI系统的方案（Ateniese等 人 ， 2011; Wang ， 2013;Erway 等 人 ， 2015; Sebé 等 人 ， 2008;Wang等人，2011年; Zhu等人， 2012年）。然而，这样的方案需要管理大量的用户的证书，这是麻烦的。例如，在2011年，网络浏览器供应商被迫撤销荷兰证书颁发机构DigiNotar颁发的所有证书，500多张假证件解决这个问题的一个方法是使用集中式私钥生成器（PKG）。PKG为每个用户生成与其身份相对应的秘密密钥，这使得各个公钥过时，因为所有秘密密钥都由同一PKG发布。基于基于身份的密码学的方法和基于无证书公钥密码学的方法是此类方案的示例。在无证书公钥密码体制中，用户近年来提出了许多这样的方案（He等人，2013; Tsai和Tseng，2015; Xiong，2014; He等人，2017年）。在基于身份的密码学中，所有者的身份是公钥，这消除了对证书的需要。Wang等人（2013）提出了一个基于身份的可证明数据拥有的安全模型，并提出了一个具体的基于身份的PDP方案。Wang（2015）还提出了一种基于ID的PDP方案，用于多公有云存储。最近，各种基于ID的PDP方案（Li et al. ;Zhang等人，2016;Yu等人，2016; Wang，2015）也被提出。Wang等人（2013）提出了一种安全的远程数据审计方案，使用户能够远程验证其数据的完整性。然而，所提出的方案此外，通过使用松散的安全性证明，安全的实现将需要一个大的组定义。Zhang and Dong（2016）. 提出了一种安全的审计方案，主要使用低计算成本的操作，具有有效的验证操作然而，He et al. （2017）证明CSP可以在没有审计数据块的情况下通过审计过程，因此他们的方案不安全抵御伪造攻击3. 模型3.1. 系统模型该系统模型由四个主要演员组成（图。1）、Fig. 1. 系统模型I. El Ghoubach等人/沙特国王大学学报595●ðÞ●ðÞ●ðÞ×！ðÞ ¼ ððÞÞ1/4fg公司简介1/4fg2 ½···]的一种¼¼ðÞ关于我们 Gg云服务提供商CSP：为资源受限的用户提供所需的数据存储空间和计算能力。数据用户：将其数据存储外包给云服务器，并依赖CSP进行维护。用户可以是个人或组织。第三方审计师TPA：一个半可信的第三方，能够根据请求验证用户数据的完整性。TPA是一个诚实但好奇的实体，这意味着它将遵循提供的模型，但它可能会尝试从收到的回应。私钥生成器PKG：由CSP、TPA和用户信任，该实体生成其主密钥并使用它来生成用户的私钥3.2. 安全模型在这个模型中，我们考虑每个实体的角色：PKG是一个可信方，它将诚实地为每个用户生成公钥和私钥。CSP是一个不受信任的实体，可能会尝试删除或修改存储的数据。CSP将尝试生成有效的验证消息，以使TPA和用户相信它忠实地将数据存储在其服务器中。TPA是一个诚实但好奇的第三方，它将忠实地运行验证算法。但是，它可能会在验证过程中尝试恢复数据。在安全模型下，CSP可以午餐：1. 伪造攻击：CSP将尝试伪造损坏/删除的数据块的有效验证消息Proof，并尝试使用Proof通过验证过程。2. 替换攻击：当CSP接收到针对损坏的数据块i的质询时，CSP将尝试替换该对数据块，G1和e是一个双线性映射，e：G1G1G2. 双线性映射E具有以下特性：1. 双线性：8u;v2G1和a;b2Zωq，我们有eua;v bu;v ab。2. 非简并性：例如，g=13. 可计算性：对于任何y;z2G1，有一个多项式时间算法来计算ey;z2G2。4. 计算diffie-hellman微分方程组的CDH问题：给定g;ga;gb<$2G1，求gab2G1，其中a2Zωq;b2Zωq都不为人知4. 我们的方案设G1和G2是具有相同素数阶q和e的乘法群：G1× G1！ G2是双线性映射，g1是G1的生成元.4.1. 设置私钥生成器首先设置以下参数。首先，定义了两个密码散列函数h：f0;1gω！ Zωq;H：f0;1gω！ G1.然后PKG选择s2Zq作为它的主密钥，Y^gs作为它的公钥。4.2. 提取物用户向PKG发送一个包含他的ID的请求，以获得他的密钥。在接收到请求之后，PKG计算K^H_ID_s。然后发送私钥sk IDK 发送给用户，用户将检查e K;g e Y;H ID保持不变。只有当前面的等式成立时，用户才接受密钥.4.3. TagGen标记mi;标记i与未损坏数据块的对mj;标记jmj。CSP将尝试使用这些信息以通过验证过程。的用户将第一选择r1;r2S1 1/4氢氧化钠溶液r1;S2/4氢氧化钠溶液r2。2Zωq并计算：我们还认为TPA是一个好奇的一方，可能会在审计过程中尝试恢复审计的数据块3.3. 要求我们计划的要求概述如下：委托可验证性：用户应该能够将数据审计过程委托给第三方，而不会危及存储数据的机密性。TPA应该能够轻松地执行审计过程，而无需从云服务器恢复存储正确性：用户应该能够（亲自或在TPA的帮助下）验证其数据是否忠实地存储在云服务器中。隐私保护：在审计过程中，TPA不应该能够恢复审计的数据块。批量验证：审核员应能同时进行多项数据验证。3.4. 概述我们的构造是基于双线性映射。设G1和G2是素数阶p的乘法循环群.设g是生成元让F成为用户用户的文件F被分成n个数据块Mm1;m2;m3. ;mn.对于每个数据块用户将计算：其中，h_id_i_h_id_i_i_h_i_i_i_i_r_2是块m_i的唯一标识。最后，用户发送F m i;Tagi ;i 1个;;n 云服务提供商（CSP）。4.4. 代表当用户想要将文件的审计委托给TPA时，他计算V1 1 1/4eS1;Y1;V21/4eS2;Y1，并将fS1;S2;V1;V2g发送到TPA。 的TPA 将然后验证如果V1½½eS1;Y1 和v2e S2;Y如果是这样，他将保留S1;S2作为代表团用户的钥匙我们注意到，只有用户和所选的TPA可以访问S1;S2，因此CSP4.5. GenProof在此阶段，审计员（用户/TPA）将查询CSP以生成一组k个随机选择的数据块索引I的证明，审计员将选择一个随机的n2Zωq，然后发送挑战Chal我i1;i2Ik ;n 到CSP。在接收到质询后，CSP将生成如下证明：●●●●●●●●596I. El Ghoubach等人/沙特国王大学学报XYB¼标签XYeB;g ¼eðTag;gÞYneTag;gðÞ ¼ðJJ jj jj关于我们 GgFG¼ fXYXXX1/4英尺2克XXAω; Bω。响应将以可忽略的概率通过Check-proof。12我 我Ajnj·mleSminis·Shidinis;gL我L我L我ni;j ni modq;j2I我i2I;i我j2Iii;ji;j12Þni<$nimodqA¼ni·mi;i2Ii2Ini我i2I然后，CSP将Poof¼fA;Bg发送给审计员ð1ÞCSP向审计器发送Poof1/4fProo fi;i2Ulg。4.7.2. CheckProof在从CSP接收到证明之后，审核员通过计算来验证证明：YeBi;gYeSAi ·SXi;Y54.6. CheckProofi2UI102Ul1;i2;i在从CSP接收到证明之后，审核员通过计算以下参数来验证证明：ni<$nimodqh文件IDi文件IDh文件ID1jj文件名jji文件名5. 安全分析定理1. 假设当TPA向CSP发送质询时，被质询的块标记fmj;Ta gjg之一被破坏，并且CSP用有效的块标记fml;Ta glg替换它并伪造响应FGeB;gA·SX;Y其中h idi h S1ID文件名i。如果等式成立，则用户可以确认数据未被修改。ni我i2I我我i2I证据我们假设审计者（用户/TPA）发送了一个质询Chal我i1;i2Ik ;n云服务提供商。当生成证明时，CSP将替换损坏的块j的块标记fmj;Tagjg 具有有效的块标记m 1;标记1。然后，CSP将继续为用户生成证明：ni<$nimodq;i2Ii2Ið3Þ我是你的i;82;1 2i2I¼eSmini·Shidini;YB¼Tagnj·YTagni1 2i2IA Xi2I;i然后发送PoofA B给用户为了通过验证，eB;geS1·S2;Y;用户需要找到：4.7. 批量审计：多用户设置的扩展方案第三方审计师向大量用户提供审计服务，以便使他们能够检查外包数据。然而，审计师可能会收到许多eB;geSA;SX;X·Y7我们有：eB;gei2I;ii2I;i同时审核不同用户的请求为了为了提高效率，我们扩展了我们的方案，使审计员能够同时审计来自不同用户的多个数据文件，使用批量审计。由 于 审 计 师 只 介 入 审 计 过 程 ， 我 们 主 要 关 注 最 后 两 个 过 程（GenProof;CheckProof）。<$eKml·r1hidl·r2·nj;g·eKr1·mir2·hidi·ni;gi2I;imi·r1n.K;g.i.2I. i.- j.n.eS A·S X;Yeð8Þ设U1是与审计尝试相关的用户集合。审计过程将按以下方式进行：4.7.1. GenProof1 2ni·mi·r11;2; 3; 4; 5; 6; 7; 8; 9; 10; 11; 12; 13;14;15; 16; 17; 18; 19;nj·hidj·r2ni·r2·hidi;g对于每个数据用户i2U1，TPA将生成质询查尔岛作为如下：审计员将随机选择一组随机选择的数据·eKi2I;i;gXni·mi·r1块索引Ii和随机ni2Zωq，然后设置挑战我的天啊。然后TPA将发送挑战1;2; 3; 4; 5; 6; 7; 8; 9; 10; 11;12; 13; 14; 15; 16;17; 18; 19; 19; 19;19ni·hidi·r2ChalChal i尤湖在接收到质询后，CSP将生成证明，·eKi2I;in·r·m如下所示：对于每个用户i2U1：我1<$eKnj·r1·mlr2·hidj;g·eKi2I;i我;gJni·r2·hidiA ¼Xn·m;j2IB 1/4YTagni;j·eKf;g1/4eK;gnj·ml·r1hidj·r2·eK;gi2XI;i我j2Iii;jð9ÞProofi¼fAi;BigYYYX¼尼·哈·德·伊i2Ið2Þ¼eHIDr1·mir2·hidini·s;g一MJ¼ð6Þ我ð4ÞGni·mi·r1hidi·r2I. El Ghoubach等人/沙特国王大学学报597P1jIj-1qFG●-●-2f···g我...ðÞ●ðÞJ J1j j <$j212mkhidk因此，eB;geSA·SX;Y。这意味着以前没有查询过eK;gnj·r1·mlr2·hidjeK;gnj·r1·mlr2·hidli d·nj10这仅在h_id_j_h_id_l_j_j时成立，并且由于h是无共谋散列函数，所以由CSP生成的证明不能通过审计。因此，我们的协议是安全的，以防止替换攻击。H– IDj/ID0– <$B0;m0<$是块m0由于<$B0;m0<$是一个有效的证明，我们有以下等式：eB0;gee定理2. 审计员无法获得有关外部的任何信息-e H ID你好，我是说，ð11Þ¼ ð ðj;在审计过程中的数据来源。证据在审计过程中，数据块以i2Ini·mi的形式传输给审计器。虽然审计员能够计算出ni，但恢复正确的ni·mi意味着审计员需要求解一个含有jIj个未知变量的线性系统，并且只需要1/2ga·b·t0·m0hid0;g·这意味B0¼ga·b·t0·cm0·h·d0·h·d0·h·d1·d2·d因此，我们可以有：1方程，其中jIj>1。因此，审计师gab¼B0t0 米0i d0ð13Þ可以得到正确的ni·mi为1。因此，审计师不会·ðþhðÞÞ能够在审计过程中恢复数据块上的任何信息。H定理3. CDH问题可以解决，如果有一个对手A，可以伪造一个有效的证明与概率s。证据假设存在一个能够伪造有效证明而不知道用户ID私钥的对手A，则我们可以建立能够解决CDH问题的算法AL。在这个安全游戏中，每个ID只能查询一次。我们把h;H看作是随机预言散列函数。攻击者A可以自适应地进行H、Extract和TagGen查询。 设j1; ;qh是被质疑的身份的索引。● 设：设G1和G2为素数阶循环群，g为G1的生成元.算法AL将Y1/aP设置为PKG的公钥，并将fG1;G2;g;Y;eg发送给AL和A。h oracle：当A用一个块的标识id i进行h查询时，它首先检查该查询是否以前没有发出过，如果是，算法将选择一个随机的h i 2 Z ωq并将其发送给对手，然后将id i ; h i存储在h列表中，该h列表最初为空。H oracle：当A使用用户的身份ID i进行H如果是，算法将选择一个随机的t2Z：算法知道t0;m0;h_id0，因此AL可以以不可忽略的优势s赢得CDH，这是由于解决CDH问题的难度因此，我们的计划是安全的伪造攻击。H6. 分析6.1. 要求所提出的方案能够满足2委托核实：资料使用者可将核实程序委托任何TPA进行。TPA能够使用ProofGen和ProofVerify算法验证用户数据的完整性存储正确性：定理1和定理3表明CSP只有在具有正确的未修改数据块时才能通过验证，因此我们的方案能够提供用户数据的存储正确性隐私保护：定理2表明TPA不能恢复审计的数据块，因为它将需要求解具有I变量和一个方程的线性方程。因此，我们的方案能够在审计过程中维护数据隐私。● 批次验证：如第4节所示，TPA能够I q– 如果i-j– 如果i<$j，则算法将设置H_IDi<$<$gti·bAL 然后将返回HID并储存H-list中初始为空的IDi;H_IDi;ti。● 提取：当对手对身份IDi到AL进行提取查询时，算法将如下响应– 如果i- j，AL将首先找到k; H_ID i_k，并将K; Y_t i · h_ID i_k添加到生成的密钥L_k的列表中，然后将K ; S_g返回给A。– 如果i½j，AL 中止的查询和输出failTagGen：当AL从A接收到查询IDi;mk时，算法将如下响应：–如果IDi标记k¼ K。然后，AL将把标签k;m k;ID ii添加到生成的标签L T的列表中，其中S1/2S2/4H标签ID i i i为0，并且最后将标签k返回给A。–否则AL中止查询，输出失败。最终，A将在用户身份ID 0下的块m0上以有效证明B0;m0进行响应，具有不可忽略的S. 如果满足以下条件满足以下要求使用ProofVerify和ProofGen算法对大量验证进行批量审核。6.2. 存储器分析在本节中，我们比较了我们的方案，Wang et al.（2013）和Zhang and Dong（2016）方案之间的存储分析。我们注意到，Zhang和Dong（2016）以及Goh和Jarecki（2003）表明，使用分叉引理的松散安全性证明将需要增加a3才能达到与具有安全参数a的严格安全性降低相同的安全性水平。因此，为了获得相同的安全级别，其中Wang等人（2013）中的jG1j的大小是8/160比特，我们的方案和Zhang等人的方案都将仅需要G1具有160比特的大小。在在该分析中，我们将安全强度设置为80位（这意味着，Q160），我们假设数据大小为M.数据文件被划分成n个数据块，并且每个数据块对应于认证标签。我们将每个数据块的大小设置为160位，以确保安全。在表1中，我们比较了我们的方案，Wang等人。（ 2013）和Zhang et al. 根据●●●598I. El Ghoubach等人/沙特国王大学学报j jωjjωωfg！具有相同的安全级别。正如Zhang和Dong（2016）所解释的那样，通过提供宽松的安全证明，Wang等人的方案在相同的安全级别要求下将需要更大的存储开销。因此，与我们和Zhang等人的方案相比，他们的方案的存储开销更大;我们和Zhang等人的方案都需要M 160n存储数据在的云，王etal.方案将需要M160 8n来存储数据，同时保持相同的安全要求和块数。因此，我们的计划是能够降低成本的数据存储在云上相比，王等人。在相同的安全假设下。虽然我们的方案确实要求审计员保留删除密钥，这与Zhang等人的方案相比有轻微的缺点 在存储开销方面，这种委托允许所提出的方案在标签生成、证明生成和证明验证操作中实现更高的效率（如图1A和1B所示）。 2-4）。此外，我们能够降低TPA上的验证开销，同时保持验证过程的安全性，因为数据块的身份包含委托密钥，这使得CSP无法计算散列并伪造丢失数据块的证明。因此，这种权衡使我们能够实现高验证效率，而不会出现与Zhang等人方案相同的安全问题（He等人（2017）表明，Zhang等人方案中的CSP能够成功伪造有效的验证消息，而无需相应的数据块）。6.3. 计算分析对于计算分析，我们进行了实验评估，其中我们改变了生成的标签和挑战的块的数量，以便查看速度的的TagGen;ProofGen和ProofVerif在我们的计划和王等人。（2013年）。 整个实验系统使用charm框架（Akinyele等人， 2013）在Ubuntu上使用Python16.04机器采用英特尔酷睿i7-4610 M处理器。结果是200次试验的平均值。用户的计算成本：在我们的系统中，用户是一个在计算上受到挑战的实体，因此降低用户的计算开销是我们方案中的优先事项之一。图2显示，我们的方案中Tag生成的计算效率高于Wang et al.（2013）和Zhang and Dong（2016）Zhang et al.方案，这是由于我们的方案主要依赖于h：f0;1gω！Zωq 如He等人（2017）所述，与H：0; 1 ωG1哈希函数相比，它的计算开销要低得多。因此，我们能够大大降低用户的计算开销云服务器的计算成本：云服务提供商是具有大计算能力的实体然而，由于云服务被大量用户使用的事实，需要具有高效的虽然证明生成的成本与Wang等人（2013）（图3）相似，但与Zhang等人相比，这两种方案都能够实现更高的计算效率阴谋审计师的计算成本：类似于云服务作为副提供商，TPA不像用户那样具有计算限制。因此，虽然需要提供有效的表1CSP和TPA上的存储开销比较。SchemeServerAuditorWang et al. （2013）jMj<$8 ω160ω njID j<$jnj<$320Zhang and Dong（2016）jMj<$160ωnjIDj<$jnj建议方案jMj <$160 ω njIDj <$jnj <$320图二. 用户标记生成开销方面的比较图三. CSP上的证明生成开销比较见图4。TPA上的证明-验证开销方面的比较证明方案，我们专注于降低用户的成本。图4表明，与Wang等人的方案相比，我们的证明验证成本较低，特别是提高了我们方案的效率I. El Ghoubach等人/沙特国王大学学报599Q1表2审计过程的沟通成本。Wang等人（2013）4jZωqjjG1jZhang和Dong（2016）2jZωj < $2jGj < $1jHashj引用Akinyele，J.A.，加曼角，迈尔斯岛，帕加诺，M.W.，Rushanan，M.，格林，M.，Rubin，A.D、2013年。密码系统快速原型框架J.密码器。Eng.3（2），111-128。建议方案jG1j<$2jZωqj因为TPA可以使用批审计同时对许多CSP执行多个审计操作。此外，我们的方案和Zhang等人的方案都需要少量的运算。因此，我们在标签生成和证明生成中实现了更高的效率，同时保持了小的验证开销，这在批量验证操作的情况下尤其重要。6.4. 通信成本分析设G1和Zωq中元素的长度 是jG1j比特和jZωqj分开虽然我们和Zhang et al.方案在组元素的大小方面具有优势（更多细节请参考存储分析），我们的方案需要更少的通信开销，因为与Zhang等人相比，我们的审计过程需要交换更少量的数据（表2）和Wang等人7. 结论随着公共云存储服务的普及，对数据完整性检查方案的需求变得至关重要。此外，由于云服务在很大程度上可从多种类型的设备访问，因此考虑该方案的效率是重要的。本文提出了一种高效、安全的完整性检测方案。我们表明，我们的方案具有比Wang et al.（2013）和Zhangand Dong（2016）更高的整体计算效率，同时保持较低的通信开销。我们还表明，我们的计划是能够确保数据的完整性，同时是安全的伪造和替换攻击，而不会危及存储数据的机密性在未来的工作中，我们将扩展该计划，包括数据检索，这将使用户能够恢复其原始数据的情况下，数据损坏。利益冲突作者声明，本论文的发表不存在利益冲突。阿里，M.，Khan，S. U.，Vasilakos，A.V.，2015年。 云计算安全：机遇与挑战。告知。Sci. 305，357-383。Ateniese，G.，伯恩斯河，科特莫拉河Herring，J.，基斯纳湖，彼得森，Z.，Song，D.，2007年在不受信任的存储中拥有可证明的数据。第14届ACM计算机与通信安全会议论文集。 ACM，pp. 598- 609.Ateniese，G.，伯恩斯河，科特莫拉河Herring，J.，Khan，O.，基斯纳湖，彼得森，Z. ， Song ， D. ， 2011. 使 用 可 证 明 的 数 据 所 有 权 进 行 远 程 数 据 检 查 。 ACMTransactions on Information and System Security （ TISSEC ） ， 第 一 卷 。 14（1），pp.12个。埃尔韦，C.C.，Küpçu，A.，Papamanthou，C.，塔马西亚河，2015年。动态可证明数据占有。In：ACM Transactions on Information and System Security（TISSEC），vol. 17（4），pp. 十五岁高E J.，Jarecki，S.，2003.一个与Diffie-Hellman问题一样安全的签名方案。在：国际会议上的理论和应用的密码技术。施普林格，pp. 401- 415他，D.，黄，B.，陈杰，2013年。新的无证书短签名方案。IET Inf.安全性7（2），113-117。他，D.，库马尔，N.，王，H.，Wang，L.，美国，乔，K.- K.R.，2017.大数据云存储隐私保护无证书可证明数据占有方案。应用数学计算314，31-43。他，D.，王，H.，张杰，Wang，L.，美国，2017.云存储中外包数据基于身份的公共审计协议的不安全性。INF. Sci. 37 5 ，48-53。李，Y.，Yu，Y.，Min，G.，Susilo，W.，Ni，J.，乔，K.- K.R.基于模糊身份的可靠云存储系统数据完整性审计。IEEE跨部门安全计算Ren，K.，Wang，C.，中国地质大学，王建奎，2012.公共云的安全挑战。IEEEInternetComput. 16（1），69-73。Sebé，F.，Domingo-Ferrer，J.，Martinez-Balleste，A.，Deswarte，Y.，Quisquater，J.-J.，2008年关键信息基础设施中的高效远程数据拥有检查。IEEE Trans.知道。数据工程师 20（8），1034-1038。蔡氏T.，曾玉M.，2015.可撤销的无证书公钥加密。IEEE系统杂志9（3），824-833。王，H.，2013年。公共云中的代理可证明数据所有权IEEE Trans.服务计算6（4），551-559。王，H.，2015.多云存储中基于身份的分布式可证明数据占有。IEEE传输服务Comput.8（2），328-340。王建奎，Wang，C.，中国地质大学，Ren，K.，卢，W.，李杰， 2011.在云计算中实现公共可扩展性和数据动态，以确保存储安全。IEEE Trans.并行分布22（5），847-859.王，H.，吴昆，秦，B.，Domingo-Ferrer，J.，2013.公共云中基于身份的远程数据拥有检查。IET Inf.安全性 8（2），114-121。Wang，C.，中国地质大学，Ren，K.，卢，W.，李杰，2010.迈向可公开审计的安全云数据存储服务。 IEEE网络24（4），19-24。Xiong，H.，2014.经济高效的可扩展匿名无证书远程身份验证协议。IEEE Trans.INF.法医安全 9（12），2327-2339。Yu，Y.，Xue，L.，Au，M.H.，Susilo，W.，Ni，J.，张玉，Vasilakos，A.V.，沈，J.，2016. 使用rsa基于身份的审计机制进行云数据完整性检查。未来一代Comput.System. 62，85-91.张杰，东，昆-地2016.云存储中外包数据的有效基于身份的公共审计。信息科学343，1-14。张杰，Li，P.，毛泽东，J.，2016. iPad：标准模型中外包数据的基于身份的公共审计。群集计算 19（1），127-138。Zhu，Y.，中国科学院，Hu，H.，安，G.- J.，余，M.，2012.用于多云存储中的完整性验证的协作可证明数据占有。IEEE Trans.并行分布23（12），2231-2244.