云存储数据完整性审计及隐私保护技术研究

沙特国王大学学报云数据的高效无证书公共完整性审计，指定验证者进行批量审计李瑞峰a，王旭安a，杨海斌a，牛可a，刘晓波，唐殿华b，杨晓媛aa中国人民b中国电子科技集团公司第三十研究所通信安全科技重点实验室，中国成都阿提奇莱因福奥文章历史记录：2022年5月11日收到2022年6月29日修订2022年7月23日接受2022年7月28日在线提供保留字：云存储云安全完整性审计无证书签名隐私保护A B S T R A C T在云存储环境下，学者们提出了数据完整性审计方案来保证云中数据在某些情况下，用户可能需要指定一个审计员来执行审计任务，然而，大多数现有的云审计方案都不适用。少数具有指定验证者的云审计方案使用PKI密码学和基于身份的密码学，其具有复杂的证书管理和密钥托管问题。因此，基于指定验证者的无证书签名算法，我们构造了一种高效的云环境下的无证书可证明数据分发机制CL-DV-PDP。在满足上述用户需求的基础上该方案使用动态哈希表来动态更新云数据，并支持隐私保护。详细定义了方案的安全模型，并在随机预言机模型下基于CDH假设在效率分析部分，我们将该方案的功能和计算量与相关文献进行了比较，结果表明该方案的功能是全面的，方案是有效的。版权所有©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍云计算作为近年来最流行的分布式计算方式之一，正越来越为人们所熟知。而云存储技术是一个类似于云计算的系统，主要是通过各种设备的统一来完成数据存储以及业务访问的功能也就是说，它主要使用集群应用程序、网格技术或分布式文件系统来存储网络中的大量数据由于云存储技术的便捷性、经济性和高扩展性，用户可以使用任何类型的联网设备与云互联，随时随地访问数据。*通讯作者。电子 邮箱：1225126834@qq.com（R.Li），wangxazjd@163.com（ X.A.Wang ） ， 54537959@qq.com （ H.Yang ） ， niuke@163.com （ K. 牛 ） ，163.com（D.Tang），yxyangyxyang@163.com（X. Yang）。沙特国王大学负责同行审查虽然云存储技术有很多优点，但在其发展过程中也慢慢暴露出了很多问题。 其中，最关键的问题是云数据的完整性保证（Tian et al.，2019年）。一方面，云服务器提供商（CSP）集中保存来自大量用户的大量数据对于攻击者来说，攻击收益相对较大。所以CSP很容易成为大量恶意攻击者的目标（Zhang et al.， 2017年）;另一方面，少数不诚实的CSP故意删除用户数据或隐瞒数据安全事件，以减轻存储负担或维护声誉。云数据的完整性无法保证的问题极大地影响了云计算和云存储技术的发展，因此保证云数据完整性的研究成为当今的热点内容。近年来，学者们提出了多种具有不同功能的云数据完整性审计方案，以验证云数据的完整性，满足不同用户的需求。云数据完整性审计技术正逐步走向成熟。 大多数现有的云数据完整性审计方案基于公共审计机制（Shacham和Waters，2012），即用户将审计任务委托给经验丰富且专业的第三方审计员（TPA）。在某些情况下，用户希望分配指定公司这是一个非常https://doi.org/10.1016/j.jksuci.2022.07.0201319-1578/©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comR. Li，X.A. Wang，H. Yang等人沙特国王大学学报8080常见的情况，如用户希望将审计任务委托给有信誉的审计员，或者用户使用审计员会得到折扣等，在这些情况下，现有的方案不再适用，而能够指定审计员的数据完整性审计方案将满足这些用户动机：我们注意到，在云数据完整性审计场景中，指定验证器的需求很常见，但成熟的方案并不多。Ren et al.（2013）首先设计了一个指定验证者的数据完整性审计方案。该方案命名为DV-PDP，能够满足用户的上述要求，但存在安全问题，不能抵抗CSP的重放攻击。Yan等人（2020）提出了一种更安全的指定验证者审计方案，解决了（Ren等人，2013年）。然而，他们的计划是基于基于公钥基础设施（PKI）的密码系统，并且具有复杂的证书管理问题。Ji等人（2022）提出了一种基于身份的指定验证者审计方案，称为ID-DV-PDP方案。他们的方案基于身份口令，解决了证书管理问题。但他们的方案存在基于身份密码学中固有的密钥托管问题。在基于身份的密码系统中，密钥生成中心（KGC）为系统中的每个实体生成密钥，KGC因此，在基于身份的云审计方案中，如果KGC受到攻击或具有恶意行为，则所有实体的私钥将暴露给公众。审计方案变得不那么安全。在无证书密码系统中，用户的私钥由两个秘密值确定：一个是由与用户身份相关联的KGC生成的密钥，另一个基于秘密值中的一个，另一个不能被计算，即，KGC不能访问用户因此，无证书密码体制不存在密钥托管问题，在签名应用中具有无证书管理、系统轻量级、通信开销小、不可否认性强等优点针对现有的指定验证者云审计方案存在的上述缺陷，结合无证书密码体制的优点，提出了一种基于无证书指定验证者签名算法的CL-DV-PDP方案。我们的贡献：在本文中，我们提出了一个有效的无证书的云数据的公共完整性审计计划与指定的审计员批量审计称为CL-DV-PDP计划，我们的贡献可归纳如下：1. 我们首先提出了CL-DV-PDP方案的概念与以前的云数据审计方案不同，CL-DV- PDP方案可以指定审计员执行公共审计，并且只有具有正确身份的指定审计员才能参与审计任务。CL-DV-PDP方案在已有学者提出的指定验证者的审计方案的基础上，利用无证书签名算法解决了证书管理2. 定义了CL-DV-PDP方案的系统模型和安全模型。该安全模型不仅包括基本的完备性和不可伪造性，还包括专用性、不可否认性和隐私保护。在实现方案完备性的基础然后，在此基础上增加了指定的验证者功能和隐私保护功能功能，我们考虑了该方案的特异性，不可否认性和隐私保护。3. 详细描述了该方案的具体实现过程。我们的方案还详细介绍了多用户批量审计和动态更新。在随机预言模型下，基于CDH问题求解的困难性，证明了CL-DV-PDP方案对攻击者AI和AII具有不可伪造性。4. 我们分析了该方案的存储开销、通信开销和实验进行了验证我们的分析结果。性能分析部分表明该解决方案具有更广泛的应用范围。2. 相关作品2007年，Ateniese等人（2007）首次正式定义了可证明数据占有（PDP）方案。该方案无需下载所有远程海量数据，即可验证远程数据只需选择部分数据，就能以很高的概率最终确认所有数据的完整性，减少了审计人员的计算和通信开销随后的PDP方案被广泛用于云存储服务中，以验证云数据的完整性。针对不同的应用场景，云存储环境中增加了多用户审计、批量审计、动态数据更新等功能。以前的云审计方案是基于PKI设计的（Li等人，2021b），其需要证书来确保用户公钥的安全性和可靠性，这是复杂且耗时的。同态认证标签用于构造基于ID的远程数据审计方案（Li et al.，2021 b）。该方案降低了系统的复杂度，并采用随机掩码技术来保护数据内容的机密性。Ji等人（2021）在（Li等人，2021 b）。他们将数据文件划分为块，并使用聚合标记来减少原始方案的开销。Sahu和Nene（2021）使用基于格的签名算法构建了一个基于身份的云审计方案。该方案在解决证书管理问题的基础上，利用布隆过滤器提高审计效率，并能抵抗量子攻击。Yang等人（2021）设计了一种基于身份的多副本数据完整性验证协议，该协议采用双线性映射签名机制和多分支认证树数据结构，能够保护用户隐私，具有较高的通信和计算效率。Yan和Gui（2021）构建了一个基于身份的数据完整性审计方案。在多用户云存储环境下，他们的方案实现了对TPA的用户身份隐私保护，TPA无法知道委托审计任务的用户身份。Rabaninejad等人（2020）设计了一种基于身份的审计方案，可以支持在线或离线的各种操作，包括隐私保护，批量身份验证和完全动态的数据操作。为了减少证书管理带来的开销，同时解决密钥托管问题带来的安全威胁，经过深入研究，出现了无证书签名的概念，相应的无证书云审计方案也越来越多。在无证书签名系统中，私钥由KGC生成用户私钥的一部分，用户随机选择密钥值。这避免了系统安全性对KGC安全性的强烈依赖（Zhou等人，2021年）。为了避免基于身份的云审计方案中出现的密钥托管问题，学者们设计了无证书的云审计方案。Wang等人（2013年）R. Li，X.A. Wang，H. Yang等人沙特国王大学学报8081设计了第一个无证书的云审计方案，但发现并指出了该方案在应对敌手AI时存在的安全问题。Li等人（2021 a）基于格密码学设计了一种抗量子攻击的无证书云审计方案，该方案利用了无证书密码系统的优点，能够抵抗量子计算机的破解攻击，具有更广泛的应用场景。Yuan等人设计的无证书云审计方案。（2015）可以抵御恶意审计者，但没有数据动态更新过程，也没有实现数据隐私保护。Kang等人（2017）将无证书云审计方案应用于无线体域网（WBAN）。他们的方案可以抵抗恶意审计者并保护数据隐私，但是没有添加动态数据更新功能。（He et al.，2017年，可以保护用户的隐私。但他们的方案存在安全问题，Ji等人（2020）对此进行了改进。 Ji et al.（2020）定义了一个新的安全模型，提高了原方案的安全性。Wu et al. （2019）可实现批量审计和用户隐私保护，一个多用户环境，但它没有描述动态更新过程。Huang等人（2020）在论文中使用了公共审计来减少计算开销，实现了多个文件的批量审计，但该方案没有提到抵制不诚实TPA的技术手段。组织：我们组织我们的论文如下：在第1，我们介绍了本研究的背景、动机和我们的贡献。第二节介绍了相关的工作。在第3中，给出了相关的术语表。在第四节中，我们定义了我们的方案的系统模型和安全模型。第五节介绍了具体的审计协议。在第六节中，我们分析了协议的安全性。在第7节中，我们分析了该方案的性能最后，在第八部分，我们对我们的工作进行了总结。3. 预赛3.1. 无证书签名算法在PKI环境下，用户的公钥需要一个专门生成的基于身份的密码体制可以解决这个问题，基于身份的加密涉及密钥托管问题：私钥完全由KGC确定。如果KGC被攻击或者系统的主密钥被恶意攻击者窃取，系统中的所有私钥都将暴露。如果KGC不诚实，它可以冒充用户与其他用户通信或签署信息。系统的安全性完全依赖于KGC的可信度，私钥面临泄露的威胁（Zhang etal.，2020年）。在无证书密码系统中，私钥由用户和KGC共同生成，可以解决传统密码系统中证书管理和密钥托管的问题（Peng et al.，2021年）。无证书签名的定义如下：1. KGC：KGC输入安全参数，输出主密钥和公开参数。2. 生成秘密值：用户输入身份和公开参数，并输出秘密值。3. 生成完整密钥：KGC输入主密钥、用户身份和公开参数，输出用户的部分密钥。用户将秘密值和部分秘密密钥组合成完整的秘密密钥。4. 生成签名：签名者输入用户的身份、公开参数、完整的密钥和消息，并输出签名。5. 验证签名：验证者输入公开参数、公钥、消息、签名，输出验证结果。3.2. 动态哈希表我们使用动态哈希表数据结构（Yang等人，2020年），实现云端数据的动态更新。它是一个二维的数据结构，如图所示. 一曰：DV使用动态哈希表记录用户数据的最新信息，方便了审计工作。动态哈希表由两个元素组成，文件元素和数据块元素。文件元素包括文件索引值、文件标识符和指针。文件索引值用NO：表示，文件标识符用IDi表示，指针指向该文件的第一个数据块。文件元素被存储在类似数组的结构中，该结构可以表示和记录对动态哈希表的文件级操作，即，插入、删除、修改Fig. 1. 动态哈希表R. Li，X.A. Wang，H. Yang等人沙特国王大学学报8082ð Þ ¼ ðÞ22←×！Q然后搜索文件。查找文件是根据文件元素的索引定位文件元素;插入文件是将文件元素插入到文件数组中，并构造由该文件中包含的块元素组成的链表;删除文件是根据文件元素的索引删除文件元素及其对应的块元素列表;修改文件是更新文件元素及其关联的块元素。每个文件都是链表的形式，链表由许多数据块元素组成，每个数据块元素都是链表的一个节点，包括数据块的版本信息，tamp和指向下一个节点的指针数据块的版本号由vi表示，其初始设置为1。 对于数据块的每一次改变，v i的值加1。数据块的时间戳由ti表示，它记录了数据被发送时的时间。块更新。数据块元素也被存储在类似数组的结构中，其可以在动态散列表上的文件中表示和记录数据块级别的操作，即，数据块的插入、删除、修改和搜索具体地，通过访问数据块元素中的指针以定位所需的数据块元素来完成对块的搜索动态哈希表具有链表结构的优点，在插入时效率更高数据块的删除，而且，它不会导致重新计算-1. 双线性：为任何a;b2Zωq和R;S2G1，那里是e aR;bS eR;S ab。该映射对于输入的例如，固定aR，bS和eR;Sab之间存在线性关系。固定bS，aR与e<$R;S<$ab之间存在同样的线性关系。2. 非简并性：至少存在g1;g22G1，使得e∈g1;g2∈- 1。 这个映射不会映射e中的所有元素对：G1×G1！G2是G1中的单位元.由于G1和G2都是q阶素数群，则意味着：如果g1和g2是G1的生成元，则e∈g1;g2∈g2是G2的生成元。3. 可计算性：存在有效的算法来实现映射，并且对于任何R;S2G1，计算eR;S的值是有效的。3.4. CDH假设计算Diffie-Hellman问题（CDHP）：定义G为大素数阶的椭圆曲线加法循环群，定义g2G为生成元。CDHP意味着给定g;ag;bg G，攻击者A计算abg G。A在多项式时间内求解CDHP的概率可以忽略不计：PrhAg;ag;agabg：a;bRZωi6e1标签的减少，节省了计算开销。3.3. 双线性映射设G1和G2为椭圆曲线的两个循环可加群，其阶为素数q，若映射e：G1×G1！G2满足的以下属性，则e：G1G1G2称为双线性映射（DeebakandAl-Turjman，2021）。其中e表示可忽略的概率，也就是说，求解CDHP在计算上是不可行的。4. 系统模型和安全模型4.1. 系统模型CL-DV-PDP方案的系统模型如图2所示，包括四个实体。DO、CSP、KGC和DV。图二. 系统模型R. Li，X.A. Wang，H. Yang等人沙特国王大学学报8083DO是数据所有者，它将数据存储在云中。DO启动审计任务，但它委托DV 执行审计。CSP 为DO提供云存储服务，管理和存储DOKGC为其他实体生成私钥DV是设计的云数据完整性验证器，由DO指定执行审计任务。在我们的系统模型中，DO和KGC是完全可信的，它们CSP是不可信的，可能会损害DO数据的完整性。DV是半诚实的，它将忠实地执行审计任务，但它也对DO的数据内容感到好奇4.2. CL-DV-PDP方案在该方案中，DODO对数据块进行预处理并生成相应的标记。在将数据和标签上传到CSP之后，DO删除本地数据。当DO需要审计云数据的完整性时，它向DV发送审计请求DV对CSP提出了挑战CSP根据被质疑的块和标签生成DO数据的证明DV根据证明验证数据是否完整，并将结果通知DODO将数据和标签上传到CSP后，可以随时向CSP发送更新请求，更新云数据。我们的CL-DV-PDP协议由以下算法组成1. 设置：在该算法中，KGC生成方案中使用的系统参数和系统主密钥2. KeyGen：在该算法中，KGC为参与审计的DO、CSP和DV生成公钥和私钥。3. DataUpload：在该算法中，DO为每个数据块生成标签4. 在这个算法中，DV产生一个被挑战的数据块的索引5. GenProof：在该算法中，CSP生成对应于挑战数据块的证明6. DesignAuditor：在该算法中，CSP处理证明，以便证明只能由DV审计7. VerifyProof：在该算法中，DV验证证明，根据结果输出true或false8. DynamicUpdate：在该算法中，DO可以动态更新云数据。4.3. 安全模型CL-DV-PDP方案具有完整性、不可伪造性、特异性、不可否认性和隐私保护等安全特性。这些安全功能定义如下：1. 完整性：意味着解决方案可以真正审计云中数据的完整性，即当CSP和DV正确、诚实地执行协议时，审计人员和DO可以知道数据完整性2. 专用性：这意味着在验证聚合签名时，DV必须使用指定验证者的私钥因此，除了指定的验证者之外的实体不能验证聚合签名的有效性。3. 不可否认性：因为只有DV持有指定验证者的私钥，所以它可以验证来自CSP的证据在那里-也就是说，当验证结果出现错误时，责任将完全由CSP和DV承担，DV不能否认其审计行为。4. 隐私保护：意味着DV无法根据审计过程中获得的信息计算DO的数据内容。5. 不可伪造性：这意味着如果DO的数据被损坏，它必须通过CSP和DV在执行方案时。即CSP在数据安全受到破坏的情况下，无法伪造完整性证据，无法通过数据完整性审计。CSP必须认真维护DO数据。该方案的不可伪造性可以通过两个博弈来实现。该方案中的攻击者AI、AII和挑战者C分别对应于一般的DO公钥替换攻击和恶意的KGC攻击。当对手AI和AII以不可忽略的概率赢得博弈1和博弈2时，该方案能抵抗自适应选择消息和身份伪造攻击。我们描述游戏1和游戏2如下：第一场（a）建立阶段：假设C是挑战者，C运行建立算法以生成系统参数和主密钥，C保存主密钥并将系统参数发送给AI。（b）查询阶段：AI执行以下各种查询：C返回查询的结果。哈希查询：AI可以获得对方案中所有哈希预测器的访问权限，并获得相应的哈希值。部分私钥查询：当AI请求IDx的部分私钥时，C运行KeyGen算法生成kksx并将kksx返回给AI。公钥查询：当AI查询IDx的公钥时，C运行KeyGen算法生成用于A1的kupx。秘密值查询：当AI询问IDx的秘密值时，C运行KeyGen算法生成kusx。如果DO的公钥已被替换，则C返回？.公钥替换查询：AI可以将IDxs公钥kupx替换为k0upx自己选择。部分标签查询：AI可以在IDx的公钥kupx下获得mx的标签。（c）伪造阶段：基于上述查询，如果AI输入DO身份IDω1;.. . ;IDωhg，公钥kωup;fkωu p1;。 . . ;kωu phg，数据块Mωufmω1;. .mωhg，输出聚合标签Sω;R0，并且聚合标签满足以下条件，则A1赢得游戏1。条件（1）：Sω;R0ω是有效的聚合标签，可以通过VerifyProof算法的验证。条件（2）：存在至少一个具有IDωx的DO，我们假设x1，并且IDω1条件（3）：AI不执行部分标签查询mω1;IDω1游戏2：（a）设置阶段：假设C是挑战者，C运行Setup算法生成系统参数和主密钥，C保存主密钥并将系统参数发送给AII。(b) 查询阶段：AII在C上执行各种查询，C返回查询结果。哈希查询、公钥查询、秘密值查询和部分标签查询与游戏1中相同。由于AII可以获得主密钥，并且AII可以生成部分私钥，因此博弈2不考虑部分私钥查询，并且不允许AII执行公钥替换查询。(c) 伪造阶段：基于上述查询，如果AII输入DO的身份IDω1， . ;IDωhg，公钥kωup;fkωu p1;。 . . ;kωu phg，数据块Mωufmω1;. . mωhg，输出聚合标签R. Li，X.A. Wang，H. Yang等人沙特国王大学学报8084.ΣP�Px¼1P¼P1/4eT1/H2将文件Dx分成n个块存储，kksxxmXijrxTcXiKSxXi x美XXXiXi16i6n~XXHHCHSω;R0条件（1）：是一个有效的聚合标签，并且它可以通过算法中的验证。条件（2）：至少有一个DO，我们假设，并且条件（3）：并不执行部分标签查询mω1;IDω18.动态更新：当DOux将mXi修改为m0Xi时，它首先生成s v0i，t0i为的数据块m0Xi，然后计算S0Xi1/4 kksxTm0x irxTkusxQ x 向 CSP 发 送 fDx;i;m0Xi;S0Xig ， 并 向 DV 发 送fDx;i;t0i;v0ig。 在接收到fDx;i;t0i;v0ig之后，DV在动态哈希表中找到对应于文件D x的链表的第i个节点，并且将v i，ti替换为v0i，t0i。CSP接收后fDx;i;m0Xi;S0Xig，它找到mXi的位置，并将mxi，SXi替换为m0，S0。XiXi当DOux需要在数据前插入数据块m0Xi时5. CL-DV-PDP方案具体施工在这一节中，我们给出了CL-DV- PDP方案的具体结构，算法定义如下。1. 准备！fE;G1;G2;p;g;q;H1;H2;HDA;e;kms;kmpg：KGC 选择椭圆曲线E上的加法循环群G1和乘法循环群G2，然后选择生成元p2G1，g2G1. 椭圆曲线E定义在有限域Zωq上，大素数q是循环群G1和G2的阶. 然后它选择的安全散列功能H1;2：f0;1gω！ G1，HDA：f0;1gω！ G1是伪随机函数per和双线性映射e：G1×G1！ G2.然 后 ，KGC随机选择kms2Zωq作为系统主密钥，计算kmp1/4 kmsp 2G1，并暴露参数fE;G1;G2;p;g;q;H1;H2;HD A;e;km s;km pg。2. KeyGen！kkksx;kusx;kupx16x6h：将审计系统设置为总共有h个DO，具有身份IDx的每个DOux 16x6h随机选择kusx 2Zωq 作为其部分私钥，并计算公钥kupx1/4kusxp2G1。它会把身份信息-块 m×1，的做第一生成 v0i，t0i，然后计算S0Xi 1/4k ksxm0xirxTkusxQ x用于数据块m0Xi和将fDx;i;m0Xi;S0Xig发送到CSP，并将fDx;i;t0i;v0ig发送到审计器。在接收到fDx;i;t0i;v0ig之后，审计器找到链接的列表，并在其前面插入一个新节点，该节点的内容包括v0i，t0i。CSP在接收到fDx;i;m0Xi;S0Xig后，根据Dx，i找到m Xi，S Xi的位置，然后在它们前面插入m0Xi，S0Xi。当DO_u_x需要删除数据块m Xi时，它向CSP和DV发送f_D_x;i_g。 在DV接收到fDx;ig之后，其在DO u x的动态哈希表中删除链表D x的i节点。后CSP接收fDx;ig，它根据f D x ; i g删除mx i，SXi。6. 安全分析6.1. 完备性证明我们首先证明了方程的正确性。（二）：tionIDx和公共关键kupxtoKGCKGC计算~S<$eS;hDAktpQ x¼H1ID xjjk向上x x xx，kksx 1/4kmsQ x，发送DO kksx作为另一部分hCDO的私钥。DOux将kksx和kusx组合以获得完整的私钥kksx;kusx。e SXij;hDAktpx¼1j¼ 1公钥kcp，ktp和私钥kkcs; kcs，k ts; kts，C就像DO一样。然后DV将k_tp和ID_TPA发送到CSP。1/4eP kksxmXijrxTkusxg;hDAktp3. 数据上传！fmxi;SXig=16x6h; 16i6n：DOUX计算x¼1j¼ 1啪啪啪啪表示为Dx1/4平方米x1;mx2 ... . ;mxng，其中Dx是存储文件x¼1Hx¼1j¼ 1x¼1HC h标识符 然后DOux选择rx2Zωq 并计算eRx¼rx p2G1。并且对于每个数据块mXi，DOux生成时间戳tXi2Zωq版本号vXi2Zωq计算x¼1Hx¼1j¼ 10x¼1HS¼km Tkg将f ID;D;i;m; S g发送到CSPe将fI Dx;Dx;i;ti;v ig16i6n发送到DV并删除本地数据。4. 快来！ fijg：DV选择随机数p2Zωq作为per的参数并将其发送到CSP。双方运行伪随机函数PER，得到随机c数ij=1;n]作为被质询的数据块的索引。ð3Þ在CL-DV-PDP中，DV将从CSP接收到的证明、其自己的私钥、挑战信息和公共参数替换到Eq. （2）、判断用户的数据是否通过计算Eq.（2）保持。后5.基因检测 fR0;Sg：CSP计算S¼Phcj¼1SXij，方程的数学推导（3）显然，Eq.（二）R0hx¼1cj¼1m Xi R x并将R0S作为证明发送给审计员。必须在证据正确的情况下才能成立因此，完整的我们在安全模型中定义的安全性可以基于6. DesignAuditorR~0;~S：CSP指定审核员信息。！FG第10节它输入指定DV的R0，S，ID TPA，ktp和它自己的公钥kcp，私钥对kkcs;kcs，然后计算hDA<$HD Akc skt p CSP发送~SR~0作为指定DV的证据。7. 验证证明！ true = false：收到证明后，DV计算Q x<$H1最大IDxjjkupx <$T<$H2最大k最大，并验证以下等式：H HSeQx;hD Akt skm peR0;hD Akt sTecku px;hD Akt sg2x¼1x¼1无论等式（2）是否成立6.2. 特定性和不可否认性证明根据等式（2），除了DV之外的其他实体不知道DV的私钥的值，即使他们知道DV的公钥，由于计算离散对数的困难，不能计算的值。即使CSP产生正确的证明，由于双线性对的反向运算的困难，的值不能由等式计算（二）、因此，kts的值是安全的，也就是说，只有DV可以验证Eq。（2）具有k个TS，方案具有特异性。此外该如果Eq（2）保持，通知指定机构数据完整性没有受到损害。验证过程中的责任也必须由DV承担，DV不能否认其审计行为。kusxg;hDAktpx¼1x¼1R. Li，X.A. Wang，H. Yang等人沙特国王大学学报8085¼ðÞ..XX.Σ.Σ..ðnoÞ ¼;x¼1x;;x¼1upx（c）Þ1个 MP1MPx¼2xx¼1xpxx¼x¼X上xXX1XX返回Qx。PPK1H1212MP2qH1qH1H1pkPPKSVSMPT在v证明：AII是对手，C是CDH问题的挑战者。.ΣXPTpk6.3. 不可伪造性证明对对手AI的不可伪造性的证明：在随机预测模型下，假设AI在时间t内以不可忽略的优势e破坏CL-DV-PDP方案。AI访问H1查询，公钥查询，为了获取b和T，C随机选择R ×2G1，计算S×1/4a×kmp×m×bR× 1/4cg×up×，将标签R×1/4 a × k返回给A1，否则，C挂起。伪造：AI返回用户集合u<$fu1;. . ;uhg，身份收集IDω1;.. . ;IDωhg，的公共关键kωup¼fkωup;.. . ;kωupg，数据块Mω1，. . mωhg，和aggre-部分私钥查询、秘密值查询和部分标记查询1hqH1，q峰，qppk，qsv，q角分别然后有一个算法C，门控标签：R 0，Rω，Rω。如果所有cωx0，伪造失败，否则，只要当存在一个cωx1/4时，成功地伪造了聚合标签。它 可 以 通 过 概 率 e0Pe=qH1<$1-1=qH1<$h-1<$qppk时 间 t0

下载后可阅读完整内容，剩余1页未读，立即下载