沙特国王大学学报一种有效的可验证和可追溯的基于传感器的城市公共审计方案杨冰a,陈旺b,陈文,赛吉c,杨舟a,纳瓦布穆罕默德法西库雷希d,a南京信息工程大学计算机学院,江苏南京210044b浙江理工大学信息科学与工程学院,浙江杭州310018c泰州学院信息工程学院,江苏泰州225300d大韩民国汉城成均馆大学计算机教育系阿提奇莱因福奥文章历史记录:2023年1月6日收到2023年2月24日修订2023年3月18日接受2023年3月29日网上发售关键词:传感器撤销云存储信息集块A B S T R A C T城市传感器设备采集的各种数据需要巨大的存储空间。云计算强大的计算能力提供了良好的性能支持,并减少了本地存储的开销。城市传感器设备采集的数据种类繁多,而同类传感器往往需要一起上传大量文件,这些文件通常是私有的,因此群数据库中的安全云存储必不可少。然而,云可能会为了自己的利益而试图修改或隐藏数据,这需要第三方审计员的检测。本文提出了一种新的公共审计方案。对私钥的生成方法进行了改进,密钥生成的参数来源于同一传感器的特征信息集。当两个信息集足够接近时,可以验证由该文件生成的数据集的正确性。当传感器因损坏或丢失而被撤销时,该方案将以较少的开销有效地撤销和重新生成私钥,从而防止数据隐私的泄露。这也避免了传统方案中重新下载数据生成认证器所带来的巨大开销。此外,我们的计划是有效的跟踪恶意成员,并减少计算开销的组。实验结果表明了该方案的有效性和实用性版权所有2023作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍近年来,传感器已经具备了出色的数据收集能力然而,由于传感器自身计算和存储能力的限制,越来越无法满足城市建设的要求(Wang et al., 2022年)。云计算为城市建设带来了新的方向。与传统存储方式相比,云存储满足了集团客户存储大量数据的需求。针对 企 业 的 云 存 储 服 务 , 如 Amazon Simple Storage Service(Amazon S3)和Google Drive,都是实际应用。*通讯作者。电子邮件地址:yangbing6882@163.com(B. Yang),wangchen@zstu.edu.cn( C.Wang ) , jisai@tzu.edu.cn ( S.Ji ) , zy74501734@163.com ( Y.Zhou ) ,faseeh@skku. edu(N.M.F. 库雷希)。沙特国王大学负责同行审查云技术的阳离子(Li等人, 2018年)。终端下的单个设备合法的设备可以访问或修改数据,这大大提高了效率。虽然减少本地存储开销是云存储的一个优势,但随之而来的问题是数据安全(Wang例如,2012年)。云存储中的数据安全问题主要是指服务器受到外部或内部攻击时数据丢失和损坏(Shen et al. 2017年a)。外部攻击通常涉及恶意个人试图窃取或更改云中保存的信息。内部攻击被归类为内部来源的故意数据泄露或硬件故障导致的无意数据丢失。此外,对抗性云服务器可能会生成虚假报告,以欺骗客户。在这种情况下,第三方审计员(TPA)对于保护数据完整性是必要的。许多方案(Li等人,2018;Wang等人,2012; Shen等人,2017年a),以确保云存储中用户数据的完整性。在接收到审计挑战后,云将返回对应的挑战数据块的完整性证明,TPA将在证明验证后将结果发送给用户。然而,社区团体通常被用作城市的单位。例如,在城市智能电网中,https://doi.org/10.1016/j.jksuci.2023.03.0121319-1578/©2023作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comB.杨角,澳-地Wang,S. Ji等人沙特国王大学学报153电表传感器以分组数据共享的形式采集和上传数据在数据共享中,成员不可避免地会加入或离开,随之而来的是被撤销后的一系列问题。在一些经典的云数据共享审计方案中(Hahn等人,2022; Shen等人,2019年; Fu等人,2022; Shen等人,2017 b),则需要更新由撤销成员生成的文件块TRM,以确保数据的可验证性。数据需要从云中下载,然后未交付的成员需要重新生成标签和标记。最后,新生成的数据将被上传到云端(Tan,2022)。不幸的是,由于云存储中的数据量巨大,这样的计划对成员来说是昂贵的,这意味着计算和通信成本将带来巨大的负担。因此,近年来,一些针对成员撤销的审计方案被提出.成员首先对数据块进行签名,然后将它们上传到云(Rabaninejad等人,2019; Wang和Zhou ,2022; Wang 等人,2023年)。云使用代理重签名将所有用户的一级签名转换为系统的二级签名 虽然这种方法使得成员在撤销后不需要更新区块的签名,从而降低了一定的成本,但是数据的安全性仍然难以得到保证(Deebak et al. 2022年)。因为被撤销的会员可能与云计算勾结云可以根据数据内容提供有效证书以通过TPA检查(Liu等人, 2021年)。因此,设计一种安全的公共审计方案,支持组成员的有效撤销,对于数据共享具有重要意义1.1. 相关工作数据安全存储问题一直是人们关注的Ateniese等人(2007)率先提出了可证明数据占有(PDP)方案,实现了完整性检查,减少了同态可验证标签验证数据完整性的时间开销。2007年,Juels和Kaliski Jr(2007)设计了一个可检索性证明(POR)模型,可以检查数据的完整性并使用纠错码修复丢失的数据。然而,基于RSA(Rivest-Shamir-Adleman,Rivest等人提出的非对称加密算法)的同态标签是不可行的。(1978))会带来巨大的计算开销,因此Shacham和Waters( 2008 ) 提 出 了 一 种 基 于 BLS 的 短 签 名 方 案 ( Boneh-Lynn-Shacham,Bonehet al.(2001 a)提出的签名算法),大大降低了计算开销。在此之后,存在PDP或POR方案的许多变体(Ni等人,2022;Dhakad和Kar,2022; Dodis等人,2009),增加了公共审计功能,允许动态数据操作,加强了数据隐私保护。在数据共享方案中,用户的动态操作是一个需要注意的问题(Khowaja等人, 2022年)。 在此之前,该方案(Bellare等人,2003 ) 实 现 组 签 名 不 支 持 组 成 员 的 动 态 操 作 。 在 Boneh 等 人(2004)和Zhang等人(2005)提出的签名方案中,提出了一种基于公钥的数字签名方案。(2018),在数据所有者签署文件信息后,每次更新都会更新每个未注册用户的密钥。然而,这种方案对于大量的团队来说具有巨大的计算成本。Hefeng等人(2014)提出了一种高效的签名方案,其中公钥不会改变,新成员可以动态加入组。但该方案并没有解决成员撤销越多,验证时间就越长的问题。Jiang etal.(2015)设计了一种基于向量承诺和支持组用户更新的方案,通过非对称组密钥协议保证了数据的隐私性。最近,Rabaninejad等人(2019)给出了一种轻量级的数据共享方案,通过云服务器代理重新签名,解决了组用户密钥更新的问题。然而,该方案存在云和撤销用户合谋的潜在威胁,毕竟数据的第二签名是在半可信实体中。因此,Shamir在1984年提出了基于身份的加密协议(Shamir,1984),这导致了随后许多基于身份的审计协议。 通常,这些协议使用身份信息(例如用户名、电子邮件等)。生成密钥。然而,代表用户的身份信息是不唯一的,造成伪造证书的问题,因此提出了一种基于模糊身份的审计方案。最近,Li等人(2017)提出了一种根据生物特征(如虹膜和指纹)加密数据的方案。在一定范围内可以验证数据的完整性。在这项工作中提出的模糊理论也可以适用于许多情况。为了减少开销,Zhou等人(2022)改进了Merkle哈希树(MHT),允许多个副本的存储器同时更新,从而动态通信开销与副本的数量无关1.2. 贡献在本文中,拟议的计划有以下三个主要贡献:提出了一种支持成员撤销的公共审计方案,用于验证数据的完整性.本文基于门限秘密共享的思想,将传感器组采集的数据加密上传到云端,其他组成员可以验证数据的完整性。此外,由于损坏或需要删除而被撤销的传感器不能获得更新的密钥和撤销因子。TPA可以根据文件标签中的撤销因子是否一致来判断成员的合法性。 同时,不需要更新由被撤销的成员生成的证书。因此,我们的计划实现了有效的成员撤销。在我们的方案中,可追踪审计被用来保护组成员的隐私。在某些情况下,TPA将在文件标签中向管理器发送代表成员身份的标识符。然而,TPA不能从标识符获得关于成员的真实信息,从而保护成员的隐私。我们的计划提供了安全的数据保护,防止云和被撤销的成员之间的勾结。证明了该方案的正确性和不可伪造性。实验结果表明了该方案的有效性和实用性。1.3. 组织接下来介绍了本文的结构在第二节中,我们给出了一些关于协议的知识。在第三节中,我们描述了系统的总体设计思想。在第4节中,我们详细解释了协议的内容在第五节中,我们给出了该方案的安全性能评估在第6节中,我们介绍了该方案的性能分析,最后,在第7节中总结了全文。2. 预赛在本节中,一些简单的知识需要提前知道。主要包括以下五个方面。●●●B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报154×!-P¼ ð ÞK2.1. 双线性对设G1,G2,G1,G2是两个素数阶为q的循环群.双线性对是一个映射e:G1G1G2,满足以下性质:● 双线性:eaP;bQleP;Qab对所有P;Q2G1和a;b2Zωq。● 非退化:如果P是G1的生成元,则e<$P;P<$是G2的生成元。换句话说,eP;P-● 可计算:存在一个有效的算法来计算eP;Q所有P;Q2G1。2.2. 门限秘密共享方案1979年,Shamir提出了秘密共享方案(Dragan andTiplever,2018)。Divider构造一个k1次多项式,把要共享的秘密W作为这个多项式的常项,把秘密分成n份,分发给每个参与者。k个或更多个参与者可以通过使用插值公式恢复共享秘密,其中参与者的数量小于k,不能获得关于共享秘密的信息。具体而言:● 除法器随机选择一个k-1次多项式g<$x<$2Zq。2.5. 离散对数问题给定ng;gan2G1作为输入,其中a2Zωq,则输出a. DL假设(Shen等人,2021)在G1中成立,如果难以解决G 1中的DL问题。3. 系统总体架构在这一部分中,我们对整个系统进行了详细的介绍,主要包括系统的描述和安全模型。3.1. 系统架构如图1所示,在我们的方案中有五个实体:传感器终端,传感器,云,第三方审计器(TPA)和私钥生成器(PKG)。应该注意的是,我们将终端视为组管理器,将传感器视为组成员。我们在下面给出有关它们的详细信息集团经理:集团经理是一个诚实的实体,不会被撤销。它负责收集会员信息并将其发送给PKG。当一个成员离开或加入时,PKG会再次收集这些信息,为群组生成一个新的k-1j组成员:组成员负责上传等式gx可以给出为gxWj1aj x(modq),其中g0W,W是要共享的秘密。● Divider为每个参与者随机选择元素ai2Zqs igai计算并通过专用信道将值S1发送给参与者。最后,k个参与者可以通过使用以下等式来恢复秘密:● 并将数据文件保存到云端。成员可以加入或离开。使用PKG返回的私钥为要上传的文件生成相应的区块标签和文件标签。没有被撤销的成员是诚实的。此外,只有经理和会员知道他们的个人信息。● 云:云拥有强大的计算能力和存储k k资源。成员在云中存储大量数据gxXDai;SxsiXDai;Sxgai;● TPA:TPA是验证文件数据是否正确存储在1/11/1kx-aj云在接收到来自组群的审计请求贝尔。首先,生成审计质询并将其发送到其中,Dai;SxQj1;j-i a i - aj 表示拉格朗日系数。2.3. 基于模糊身份的签名在2005年,Sahai和Waters(2005)首先提出了模糊基于身份的加密(FIBE)方案的概念,主要算法描述如下:设置(1):这是一个概率算法,安全参数k作为输入。然后生成主密钥MK和包含误差容限参数d的系统参数PP。● Extract(PP;MK;ID):这是一个概率算法,cloud.然后,云根据挑战返回证明。最后,TPA检查证书是否正确,并将审计结果发送给组成员。PKG:PKG是一个可信实体,主要负责根据成员信息列表为群组生成私钥。3.2. 算法如图2的组织图所示,我们给出了该方案中七种算法的概述如下:● 设置:输入安全参数以接收主机具有属性集x1/2x1/2n的身份ID作为系统所需的关键参数和公共参数,输入.然后生成私钥DID。1/1从PKG计算。● Sign(PP;DID;M):这是一个概率算法,公共参数PP,私钥DID和消息M作为输入。然后输出签名r。● Verify(PP;ID0;M;r):这是一个确定性算法,它采用公共参数PP,即具有属性集的身份ID0g¼ ð giÞ n使得jx | gj P d,消息M和信号真实的1/1作为输入。它返回1或0来证明签名是否有效。2.4.计算Diffie-Hellman问题给定ng;ga;u<$2G1作为输入,其中a2Zωq,则输出ua2G1. CDH假设(Boneh等人,2001 b)在G1中成立,如果在G1中很难解决CDH问题。Fig. 1. 系统总体架构。●●●●B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报155图二. 组织结构图提取:成员信息列表被视为PKG的输入,PKG输出组的私钥和撤销因子。AuthGen:数据文件作为输入提供,数据所有者将块文件输出到云。ChalGen:TPA使用审计请求作为输入来生成质询,并发送到云。ProGen:挑战被输入到云,云向TPA输出证明。验证:证明用作输入。TPA验证证明的完整性后,将输出审计结果并传达给组成员。撤销:新成员信息用作输入。PKG为组生成新的私钥和撤销因子。3.3. 威胁和安全目标目前,在我们的方案中存在以下威胁:当存储的数据被损坏时,云可能会为了自己的利益向TPA提供伪造的完整性证明以通过验证;TPA会诚实地执行协议并给出正确的审计结果,但TPA会出于好奇的原因对私有数据感兴趣;云是半诚实的,因此它可能会与被撤销的成员勾结不过,上述问题无需担心。我们将通过本文的以下目标来解决这些问题:正确性:如果所有实体正确执行方案,则输出结果可满足TPA的验证条件。针对TPA的隐私:在TPA审核过程中,无法从响应内容中获取不可伪造性:除非使用正确的完整性证明,否则即使证明是伪造的,云也无法成功通过TPA验证。安全撤销:会员被撤销后,不 能 在 云 端 进 行 任 何 操 作 , 即 使他与云 端勾结。可跟踪性:当成员更新文件数据时,TPA可以跟踪最后一个从文件标记更新数据的成员。3.4. 安全模型在这一部分中,证据的主要内容包括安全模型的定义和上述目标的形式化定义。定义1(隐私权对抗TPA)。该方案支持数据隐私保护,如果对手A赢得下面的安全游戏的概率可以忽略不计。● Setup:C运行算法Setup以获取主密钥,同时将公共参数PP发送给A。查询:AdvertisementA自适应地向挑战者C发出查询,如下所示:1. 哈希查询:查询的内容用作输入,C计算哈希值并将其发送给A。2. Authenticator Query:Authenticator Query是一个查询,用于获取关于文件F的加密文件。C接收到查询后,通过Auth- Gen算法计算得到查询结果,并发送给AdhocA.如果对手A得到了博弈中的关键数据,并且不是由C查询生成的,那么对手A将以不可忽略的概率赢得博弈。但是,安全性分析表明,该方案对TPA是保密的,因此攻击者A很难获得真实数据。定义2(不可伪造性)。如果对手A试图以可忽略的概率在安全博弈中击败C,则该方案是不可伪造的,其中博弈如下:●●●●●●●●●●●●B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报156N¼NQ- 我的天Y我¼.j\ j4. 组成员上传元组F;杜克● Setup:C运行算法Setup以获取主密钥,同时将公共参数PP发送给A。xk通过计算撤销因子Rd来加密,查询:AdvertisementA自适应地向挑战者C发出查询,如下所示:1. 哈希查询:查询的内容用作输入,C计算哈希值并将其发送给A。2. 私钥查询:为了获得组的私钥,对手A进行查询。从C获得的私钥通过算法Extract计算。3. Authenticator Query:Authenticator Query是一个查询,用于获取关于文件F的加密文件。C接收到查询后,通过Auth-Gen算法计算得到查询结果,并发送给AdhocA.防冲突哈希函数H,以确保成员信息不会泄露。xk用于生成私钥,xk是N个成员中第k个最后,根据密钥生成ber信息列表L,并且撤销因子Rd被发送到TPA和组成员。TPA根据Rd判断是否为被撤销会员。具体内容如下:1. 数rd2Zωq 由PKG随机选择,并计算R dg rd作为撤销因子。2. 根据群里人发来的会员信息-一个相应的信息列表L:nL<$Hx;Ro● 输出:A输出一个完整性证明,可以由C验证。1. ProGen阶段:C对文件F运行ChalGen生成。k1kdk1已验证查询的数据块。然后A计算证明P并将其发送给C。C返回P的验证结果。2. 输 出 阶 段 : A 生 成 一 个 证 明 P , 用 于 生 成 P 的 验 证 块 在Authenticator Query中从未被查询过。在这个安全博弈中,如果A输出一个证明P被C以不可忽略的概率s成功验证,则A赢得这个博弈并被认为是s-可接受的。4. 我们的方案在本节中,我们给出了该方案的具体算法细节。3. 接下来,PKG随机地选择多项式[p=x =2Zq1/2x],这多项式的次数为d-1。设p= 0,g,s和对于16k6N,Dk1/4p Lk1/2G1。4. 最后,发送私钥D_id_ID_D1;. ;DN组管理员,并将Rd给TPA和组成员。4.3. 身份验证器生成阶段在AuthGen算法中,它是概率算法,系统参数PP、私钥D_id和文件F作为输入。然后,值为Lk的成员将文件F和块认证器上传到云。1. 组成员需要到鸿沟文件F成n 区 块 :F¼ fm1;. ;mng16i6n,其中mi表示F的第i个块。然后计算M i¼g mi 和r<$eg;g<$t,其中t2Zω是随机的4.1. 设置阶段在设置算法中,k被用作输入安全参数。系统公共参数PP由PKG输出,并且主秘密密钥MK由PKG本身保存。该算法的过程如下:1. 选择两个具有素数阶q的群,它们是:由集团成员选择。让文件标记s/namejjRdjjrjjLkjjn,该name是来自Zq的文件名。2. 根 据 防 冲 突 哈 希 函 数 H 计 算 每 个 数 据 块 的 哈 希 值 hi1/4Hnamejjijjrn16i6n2Zωq。3. 选择一个多项式函数f<$x<$2Zq½x],这个多项式的次数为d 1。设ft.接下来,计算第i个块的块authenti- cator,如下式:(二)、分别为1.0G2; g是G1的生成元。这两个小组坐在-TkffLkgMihiDkgð2Þ求出映射e:G×G!G.拉格朗日系数D我为k2L1 1 2a;H.不 ,不我16i6n和Da;H¼b2H;bx-ba-Bð1Þ将对应的文件标签发送到云。之后,删除本地存储的文件F并将其块Tko。2. 的PKG选择两随机神使散列函数H:f0; 1 gω× G2! Zq; H1:f0; 1gω× G2! Zq。3. PKG随机地选择用于生成私钥的值作为主秘密密钥MK s,并且PKG自身保持该主密钥。4. 最后,PKG定义容错参数d,并输出公共参数PP;G1;G2;d;e;q;g;gpub;g sn1;H; H1n。4.2. 私钥生成阶段FIBS方案的提取算法采用系统参数PP、主密钥MK和生物特征属性集作为输入的单个用户。为用户生成用于加密的私钥,但这种方法不适合在我们方案中的组成员中进行撤销操作,而且为每个成员生成私钥会产生大量开销,因此我们改进了FIBS方案。在我们的方案中,由每个成员选择的信息列表L代替生物特征属性集,并且成员信息5. 此外,上传的文件需要通过TPA验证文件标签的有效性。如果文件标签中的Rd是最新值,则上传文件的请求将被接受;否则,此请求将被拒绝,并被视为吊销成员或无效成员。4.4. 攻毒生成阶段在ChalGen算法中,TPA生成共享数据的审计挑战,生成过程如下:1. 组成员需要选择列表L的子集Lω作为审计请求。注意,需要满足LωLPd。2. TPA在接收到审计请求之后在云中检索对应的标签,并且随机地选择c个元素以组成集合I,其中I21/21;n]。然后随机选择一vi2Zq对于每个i2I.3. 组织和打包信息挑战,并将其作为挑战发送到云。●a2Zq和Zq中元素集合H定义为等式2:(一).B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报157Pi;v2Ii我XXXX.\.ΣBk、no4.5. 证明生成阶段在ProGen算法中,在从TPA接收到挑战chal^fi;v igi2I之后,云计算证明如下:1. 计算参数lv iMi。 并计算挑战块的聚集门散列值h1/2Pi2Ih i。5. 安全分析5.1. 正确性如果组成员、云和TPA都运行该协议,则可以通过以下公式来证明该协议的正确性:首先,完整性验证的正确性由等式2确定。(六)、2. 计算块的组合,响应挑战块如下:是的。Tk;gDLk;S ¼是的。XvTk;g !DLk;STk(XviTk):3000k2sY.Xk2s我 我i;vi!DLk;Si;vik2L.Σ1/4ek2si;vivifLkg Mihi Dk;g3. 返回证明P¼l;Tk;h4.6. 验证阶段到TPA。f1/4eg;gk2S i2Ivitlh·gs1/4g;g/2Ið6Þ在验证算法中,让系统参数PP,审核列表Lω,并证明P作为输入。TPA检查证明P的完整性,vi·e;gi2I酒吧你好,如下所示:选择LωL的一个集合W,它由TPA选择的任何d当量(4)由TPA验证。第二,私钥的正确性由等式2保证(七)、是的。DbbL BS是的。p. bLgDbL BS是的。T k; gDLk;S9Xrvi·e.g;g酒吧 2004年4月k2bSk2bSXp.LD7Kk2si2I1/2eg;gk2bSBbLk;bSk如果Eq. (4)是站,输出1。否则,输出0。4.7. 撤销撤销算法由组管理器运行如果会员被取消或加入,管理员将重新收集会员的信息并将其发送给PKG。新私钥由新成员信息列表生成,并将撤销因子发送详情如下:1. 当会员被撤销或加入时,会员选择通知-1/4e.g;g发布时间:5.2. 针对TPA的定理1. 在审计过程中,TPA无法从证明中获得任何数据内容。证明:在定义4中给出的安全博弈中,对手A相当于TPA,它是诚实的,但对数据块很好奇。根据定义4,A可以查询包含完整性证明P中的数据块。我们从两点来证明tionðx^Nkk¼1 对于新的列表bL.1) 在证明P。l;Tk;h;A可以得到l<$Pv iMi<$Pvigmi,2. 随机地重新选择撤销因子rωd2Zωq和latesRω¼grωd. 获取新列表bL:bLk¼H1。x^k;Rω<$N。¼显然,由于DL问题的困难,A很难从(g; g mi)解出g m i,因此A不能从l回复数据块mi。D3. 最后,PKG发送新的私钥DbidDK11/4。Db1;.. . ;DbN2) 在证明中,P<$l;T k;h;A可以得到hi<$Hnamejjijjrin块<$T<$k <$,其中r 是通过随机给大家未被撤销的组成员可以验证cor-通过检查以下等式是否成立来确定Did的正确性:是的。DbgDbL bS9e.GgΣ5我从Zq中选择t,由于哈希函数H,无法获得真实数据以上,对Privacy协议在TPA攻击下的安全性进行了分析.k;k;k2bS;pub:中国5.3. 不可伪造如果这个等式成立,则密钥有效;否则,成员将拒绝接收此无效密钥。对于被撤销的成员,他们无法获得新的私钥,这意味着无法生成有效的块密钥。同时,TPA将检查文件标记中的撤销因子Rωd是否因此,被撤销的成员不能上传或更改云中的共享数据定理2. 如果云试图用伪造的证据通过完整性检查,TPA将以不可忽略的概率发现这种掩盖数据丢失的行为。证明:通过玩以下三个游戏来证明我们的协议的不可伪造性。1) 第一款游戏G1与Definition2.k、¼K ;k、B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报1582KY.ΣXNðÞ¼●ðÞP.Σl¼v i我我我kc2.Σ.ΣKX.ΣJJ我我2KvA1 /2]一个2.Σ2) 第二个博弈G2与G1相似,但它们之间有一个区别:A已经做了足够的查询。给定完整性验证的实例,C将验证结果发送给A。A输出一个完整性证明,证明可以通过C验证的挑战块,如果这些挑战块没有被查询过,那么C将宣布失败并中止游戏。● Setup:C在运行算法Setup后将公共参数PP和主密钥MK返回给A。● 散列查询:A自适应地选取元组列表name;i;r;hi来查询散列oracleH。该列表被表示为H列表。对于每个查询,如果元组name;i;r;hi已经存在于H列表中,则Ad GAdvA½G2]>2千美元c;100万美元其中AdvA 1/2G1]指的是对手在博弈G1中的优势。3)第三个博弈G3与G2类似,但它们之间有一个区别:A的所有查询将由C记录。如果验证算法接受A伪造的证明,并且证明不是由本地数据生成的,则A获胜并结束游戏。解析:DL问题被C解决的概率至少为s,如果A以s的概率伪造赢了游戏G3有效的证据 这个模拟器的工作原理是获得一个令人满意的值x0¼xa. 首先,由本地数据生成的完整性证明满足直接将hi1/4H元组名称ejjijjr发送给A,否则随机选择一个h i2 Zq发送给A,并将元组名称i; r; h i记录在H列表中。eTk;gDLk;S¼k2srvi·i2Ie.g;g酒吧阿夫赫湖modq:13Þ● 私钥查询:私钥查询是需要的信息列表,如果证据。对手伪造的T ωkM是有效的,我们可以得到k¼1生成私钥,并且C随机选择多项式[px2Zq½x],其是次数d-1的函数设p=0·01g·s,Dk=p·L·k=2·G·1,N = 1·6k·6N.然后返回私钥Did。;i当量(十四)、是的。Tωk;gDLk;S 1/4Xrv i·e.g;g酒吧阿夫赫湖mod q100● 验证器查询:A自适应地选择元组列表k2si2Iname;i;mi;Tk到请求的块认证器Tk在Hash Query中是否查询过元组name;ii,如果是,则元组name;i; r; h i记录在列表A中,否则,先查询。ProGen:A自适应地选择关于任意文件F的证明结果. C将接收到的证明P作为验证算法的输入,如果将(14)除以(13),模拟器可以得到gDT¼1 modq: 1015mm我们知道Tk-T ω k,我们可以有DT- 0。假设gx0axb,我们可以有DTb输出结果是1,证明是有效的,如果结果是0,则证明是无效.输出:P是元组名称中A被伪造的证明; chal; r; h i作为输出,并且证明P不存在于验证器查询的任何实例中。 如果P能够通过验证,对手A获胜并结束游戏。x0 ¼x-aDT ¼x-amodq;101 6这是DL问题的解决方案,除非a为零。由于a2Zq,a 1/40的概率至少为1= 2k。在博弈G3中对手的优势可以表示为等式(17).Adv½G]分析:CDH问题被解决的概率C在AdvA½G3]>2kð17Þ最小s,如果A以s的概率赢得博弈G2有效证明,其中c是挑战块的数量我们构造了一个模拟器,给出了一个三元组g;ga;gb,如果模拟器能在多项式时间内得到gab,那么CHD问题就解决让g出版<$ga;h<$gb和M.第一、Tk;M是一个正确的证明,2诚实的证明者根据定理1,我们可以得到:根据上述分析,我们可以证明,云通过TPA验证的概率与伪造的完整性证明几乎可以忽略不计。5.4. 追溯性每次成员更新文件数据时,文件标记都需要是的。T k;gDLk;S 1/4Xrvi·e.g;g酒吧阿夫赫湖modq:100重生在文件标记中,Lk表示成员的标识符。集团经理发现异常情况k2si2I并且需要查询最后更新的成员,TPA将Lk发送到如果证据Tωk;Mωi由相反方伪造的RY是有效的,满足以下等式。组管理器通过解析该标签,然后组管理器可以执行诸如该成员的责任和撤销之类的操作。这也意味着我们的协议具有可追溯性。是的。Tωk;gDLk;S 1/4Xrv i·e.g;g酒吧hlωmodq2019k2si2I6. 绩效评价将(9)除以(8),模拟器可以具有Tk-TωkDL;Shl-lωgpubmodq:1000k2s设DT¼PkS。Tk-T ωkDL;S和DUl-lωDU- 0。注意为了更直观地展示我们方案的性能,本节将使用以下表格、图像和分析来给出答案首先,我们解释了实验中相关符号的含义M是指乘法运算。E是指取幂运算。Hash表示哈希操作,而Pair是指配对操作。此外,ELE-Tk-DT<$gab DU)gab< $DT= DU;11根据等式(11)CDH问题可以解决,除非DU是零.由于Mi2Zq,DU1/40的概率至少为1= 2kc。因此,我们可以得到博弈G2中对手的优势AdvA 1/2G2]为●B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报159G1的元素大小由jpj表示,并且Z的元素大小由q表示。重要的是要注意,我们忽略了随机数生成、加法和乘法在Z上产生的计算开销,因为它 们 的 计 算 开销 非 常 小 , 几 乎 为 0 。 在 表 1 中 , 我 们 的 方 案 与Rabaninejad等人的计算开销进行了比较。(2019)和Zhang等人。(2018年)在不同的阶段。B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报160þJJþþ.ΣJJðþÞjjmJJjj jj j6.1. 性能分析认证器生成:在这个阶段,计算开销主要包括生成认证器和标签的开销。但由于生成过程中的线性组合,以及标签生成的成本非常小,所以在标签生成阶段的计算开销为n3MHash,文件总数为n. 而组成员与云之间的通信开销是传输数据包和一个微小的文件标签,因此通信开销是n p n qbits。Proof Generation:在这个阶段,proof generation占了主要的计算开销。首先,挑战块的数量被设置为c,并且chal中的块索引的大小被设置为Si。根据计算公式描述可知,证明生成的计算开销为cM cHash。在这个阶段,TPA产生的挑战在发送到云端时会产生通信开销,其通信开销为cSiq比特。验证:在此阶段,算法计算在验证过程中需要进行d次配对和乘法运算,n次加法和幂运算。然而,n个操作在Zq/2x]中执行,因此其开销可以忽略不计。因此,总开销是dPair2E dM,其中d是在认证过程中在这个阶段,只有需要将证明发送到TPA,因此通信开销是dp q比特。撤销:在此阶段,仅需要重新计算撤销因子,并且计算过程仅具有一次取幂操作E。然而,在我们的方案中,由被撤销的成员生成的加密块不需要重新签名,并且在管理器和成员之间仅存在p比特的通信开销6.2. 实验结果在我们的方案中,我们使用免费的基于配对的密码(PBC)库和GNU多精度算术(GMP)。所有测试都在Ubuntu系统上运行,i5-10500 3.10 GHz- Intel Core和2 GB RAM。让Authenticator Generation:将我们的文件块的间隔设置在200到1000之间,依次递增100。根据图 3.鉴别器生成的计算开销随着块数目的增加而增加,形成比例关系。在此区间内,时间成本的范围为1.834 s到9.171 s。审计阶段:通过将我们的计划的审计绩效与计划审计过程中计算的费用进行比较来评估我们的计划的审计绩效(Rabaninejad等人,2019和Zhang等人,2018年)。首先,我们将挑战块的数量设置为从0到1000,每次增加200。 从图4中,我们知道这三种方案的开销是图三.身份验证器生成成本。见图4。审计阶段的计算开销。图五. 撤销阶段的计算开销。与挑战块的数量成正比。从图中可以看出,我们的方案在审计阶段的性能是好的。总时间在表1性能比较。度量方案Rabaninejad等人( 2019)Zhang et al. (2018)我们的 计划AuthGen Computationn1 E1M 1Hashn 2E 1M 1Hashn 3M 1HashnProGen计算2c- 12c-1验证计算cHashc-1M 1对 2Ec2HashcM 2对c3E dMdPair 2E撤销通信/jpjjqj jpj●●●●●●B.杨角,澳-地Wang,S. Ji等人沙特国王大学学报1611.869到9.329秒。这是因为我们的方案在验证阶段具有更少的哈希操作,这减少了大量的计算开销。撤销阶段:在这两个方案中,如图所示。 5、通信开销不受成员数目的影响,我们的方案开销更小,保持在5.38 KB。因此,实现了有效的成员撤销7. 结论总的来说,我们提出了一个有效的可验证和可追溯的公共审计方案的组成员。在该方案中,用于生成组私钥的成员的生物度量集合被成员的信息集合代替。为了防止成员在撤销后与云合谋获取数据,该方案将重新生成私钥和撤销因子,TPA将诚实地检测执行操作的成员此外,成员被撤销后不需要更新区块验证,只需要与用于验证的信息列表足够接近即可进行验证。此外,我们的方案可以跟踪最后更新的成员标识符,根据文件标记中的信息最后通过实验验证了该方案的有效性,并且在撤销期间具有较低的计算代价和通信代价。8. 今后工作在未来的工作中,我们将尝试将区块链与去中心化的特性结合起来,这将降低管理成本,提高审计效率。此外,我们还将研究如何在撤销阶段提高安全性,进而进一步提高方案的完整性。竞争利益作者声明,他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作。致谢本 课 题 得 到 了 国 家 自 然 科 学 基 金 项 目 ( 编 号 : 61922045 、U21A20465、62172292),浙江理工大学自然科学基金项目(编号:2222266Y ) 和 江 苏 省 研 究 生 科 研 与 实 践 创 新 项 目 ( 编 号 :SJCX22_0342)的资助。引用Ateniese Giuseppe,Burns Randal,Curtmola Reza,Herring Joseph,KissnerLea,Peterson Zachary,Song Dawn,2007.在不受信任的存储中拥有可证明的数据。第14届ACM计算机和通信安全会议,第14页。598-609.Bellare,Mihir,Micciancio,Daniele,Warinschi,Bogdan,2003. 群签名的基础:正式的定义,简化的要求,以及基于一般假设的构造。在:国际会议上的理论和应用的密码技术。施普林格,pp. 614- 629Boneh Dan,Lynn Ben,Shacham Hovav,2001 a.威尔配对的短信号。2248,514-532。Boneh
我的内容管理
展开
