一種新的滿足隱私性的云存儲公共審計方案*

王少輝，陳丹偉，王志偉，常素琴

（1.南京郵電大學計算機學院 南京 210003；2.江蘇省無線傳感網高技術研究重點實驗室 南京210003；3.網絡與數據安全四川省重點實驗室 成都 610054）

1 引言

近年來，云計算越來越受到學術界和產業界的關注。云計算利用互聯網平臺為用戶提供分布式、可靠、高可用、低成本按需付費、強大的計算能力以及無限存儲、數據、信息、知識和協作的可能，使人類信息技術達到無時無處不在的可用性和服務能力。作為云計算重要應用業務之一的云存儲是從云計算概念衍生和發展起來的一種數據外包存儲服務技術，其依靠低成本、易于使用的接口和高可擴展性的商業優勢得到了業內的廣泛關注。

云存儲具備物美價廉的優點，企業通過使用云存儲可以降低存儲數據的成本，用戶不必考慮存儲管理、數據備份、容災的問題，只要在需要的時候訪問云存儲即可，省去了管理維護的工作量和成本。然而，云存儲的安全性、可靠性及服務水平等還存在眾多問題亟待解決，所以在使用便利的同時，也引起了用戶對安全性的擔憂，目前仍未得到廣泛認可與使用。數據存放在云存儲中，用戶最關心的問題之一是數據的完整性。存儲服務商可以有效地對用戶提供數據完整性驗證，并不斷提高服務水平，云存儲將獲得廣泛的應用。

用戶在物理上已經不再擁有這些外包存儲的數據，所以傳統的用于數據完整性檢測的密碼學方法并不能很好地解決云存儲中的數據完整性檢測問題。數據完整性檢測最直接簡單的方法是利用散列函數。用戶可以保存外包數據F的散列值Hash(F)，當需要驗證數據的完整性時，云存儲服務提供者將完整的數據F′發送給用戶，用戶驗證散列值Hash(F′)是否和保存的散列值Hash(F)相等。這個方法由于昂貴的網絡I/O和傳輸的費用代價，在實際中并不可行。

為了解決云存儲中遠程數據的完整性檢測問題，依據不同的應用場景和應用需求，提出了眾多的研究方案[1～16]。目前的研究工作主要集中在可證明數據持有（provabledata possession，PDP）方案和可恢復證明（proofs of retrievability，PoR）方案。PDP和PoR方案的主要區別是：PDP方案可檢測存儲數據是否完整，但無法確保數據的可恢復性；PoR方案可以保證存儲數據的可恢復性。

Ateniese等[2,3]基于RSA算法的同態性提出了PDP方案，以審計存儲數據的完整性。但是該方案必須預先設定好審計的次數并且不支持公共審計。所謂公共審計是指允許除數據擁有者之外的第三方來驗證遠程存儲數據的完整性。Juels利用“哨兵”，并使用糾錯碼編碼這一工具提出了PoR方案[4]。PoR方案是典型的挑戰—應答式協議，可以使云存儲服務提供者向用戶證明一個文件是可恢復的，不會有任何的數據丟失和破壞。Erway等[5]基于跳躍表（skip list）研究了在存儲數據動態變化的情況下云存儲安全審計的問題，其運行效率還存在一定的爭議。同時，Wang等[6]提出了公共檢測的一個動態模型框架。

到目前為止，多數的審計方案[2～4,7]并沒有考慮審計過程中用戶數據的隱私性問題。通常在審計過程中，云服務提供者會將用戶數據直接發送給審計者，從而將存儲的數據內容泄密。從保護用戶數據隱私性的角度來看，這很大程度上影響了這些審計方案在云計算平臺的安全性[8]。Wang等[9]基于Shacham和Waters的方案[10]提出了一個滿足隱私性的云存儲公共審計方案。為了提高方案的隱私安全需求，參考文獻[9]中方案的效率要明顯低于參考文獻[10]中的方案。

本文對保持隱私性的云存儲公共審計方案進行了研究，給出了一個密碼學原語的新設計——可聚合基于簽名的廣播加密 （aggregatable signature-based broadcast，ASBB）方案[17]。利用ASBB方案的同聚合性質，提出了一個高效的、滿足隱私性要求的云存儲公共審計方案。新方案采用挑戰—應答的方式，屬于PDP方案，其計算開銷要優于參考文獻[9]中的方案。

2 基礎知識

本節給出本文所用的基礎知識的相關概念，主要包括雙線性映射、計算困難性問題和ASBB方案。

2.1 雙線性映射和計算困難性問題

設G和GT分別是階為大素數p的乘法循環群，g是G群的生成元。假設離散對數問題在群G和GT中都是難解的。

定義1如果滿足下列3個條件，則稱映射e:G×G→GT為一個雙線性對映射。

·雙線性：對于任意u,v∈G和a,b∈Zp，滿足e(ua,vb)=e(u,v)ab。

·非退化性：e(g,g)≠1。

·可計算性：對于任意u,v∈G，存在有效的算法計算e(u,v)。

新方案用到的困難性問題假設主要包括計算Diffie-Hellman(CDH)假設、判斷雙線性Diffie-Hellman(DBDH)假設、雙線性對假設和雙線性Diffie-Hellman假設。

·計算Diffie-Hellman假設：給定三元組(g,ga,gb)，其中a,b∈未知，gab在計算上是困難的。

·判斷雙線性Diffie-Hellman假設：給定四元組(g,ga,gb,gc)和任意 Z∈GT，其中 a,b,c∈未知，區分 T=e(g,e)abc和Z在計算上是困難的。

·雙線性對假設：給定群G和生成元g，由T=e(X,g)∈GT計算X∈G是困難的。

·雙線性Diffie-Hellman假設：給定三元組(g,ga,gb)，其中a,b∈未知，對于任意的 h≠g∈G，e(h,gab)在計算上困難的。

2.2 可聚合基于簽名的廣播加密方案

在ASBB方案[17]中，用戶的公鑰可同時用來驗證簽名的合法性和加密消息，并且任意合法的簽名可以用來解密該公鑰加密的密文。一個ASBB方案通常包含如下6個多項式時間算法。

·ParaGen 算法(1λ)：輸入安全參數 1λ，輸出系統的公共參數π。

·KeyGen算法(π)：輸入參數 π，輸出用戶的公鑰/私鑰對(pk,sk)。

·Sign算法(pk,sk,s)：對于消息 s，利用公鑰/私鑰對(pk,sk)，Sign算法輸出簽名σ。

·Verify算法(pk,s,σ)：對于公鑰 pk和消息 s以及對應的簽名σ，Verify算法輸出1（如果σ是消息s的合法簽名）；否則算法輸出0。

·Encrypt算法(pk,m)：輸入公鑰pk和明文m，Encrypt算法輸出相應的密文c。

·Decrypt算法(pk,s,σ,c)：利用公鑰pk和任意合法的簽名對(s,σ)，對密文c解密得到相應的明文m。

[17]提出的ASBB方案的重要之處在于，它具有密鑰同態性，這意味著給定同一消息在兩個不同私鑰下的簽名，可以有效地生成該消息在新的私鑰下的簽名，而新的私鑰由最初的兩個私鑰生成。在參考文獻[17]中，Wu等提出了一個高效的基于雙線性映射的ASBB方案，該方案簡介如下。

·ParaGen 算法(1λ)：輸入安全參數 1λ，G 和 GT是階為大素數p的乘法循環群，g是群G的生成元，H:{0,1}*→G是安全散列函數，e:G×G→GT是雙線性映射，方案的公共參數為(g,H,p,G,GT,e)。

·KeyGen 算法：隨機選擇 r∈X∈G{1}，計算 R=g-r、A=e(X,g)。方案的公鑰和私鑰分別為pk=(R,A)、sk=(r,X)。

·Sign算法：對于任意消息s∈{0,1}*，其相應的簽名為 σ=XH(s)r。

·Verify算法：給定消息簽名對(s,σ)，驗證者驗證方程e(σ,g)e(H(s),R)=A是否成立。如果方程成立，則輸出1，說明σ是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對于明文 m∈GT，隨機選擇 t∈，并計算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息/簽名對的人都可利用 m=c3/(e(σ,c1)e(H(s),c2))解密得到明文。

ASBB方案的安全性包括對Sign算法的選擇、消息攻擊下的不可偽造性和針對Encrypt算法的抗適應性選擇密文攻擊。

3 保持隱私性的云存儲公共審計方案

本節給出了云存儲公共審計方案和方案所要滿足的安全需求（包括完備性、健壯性和隱私性）的定義。

本文采用與參考文獻[9]一樣的云存儲系統架構，如圖1所示。云存儲服務涉及3個不同的實體：云用戶將自身的數據文件遠程存儲在提供存儲服務的云平臺上；云服務器（cloud server，CS）提供云存儲服務，并由云服務供應商進行管理和維護；第三方審計者（third party auditor，TPA）代表用戶對云服務器存儲服務的可靠性進行評估，即檢測用戶存儲的數據文件是否丟失或被破壞。

定義2（云存儲公共審計方案）保持隱私性的云存儲公共審計方案通常由Keygen、Gentag和Audit 3個多項式時間算法構成。

·Keygen算法：輸入安全參數λ，該算法生成方案的公共參數和云用戶的公鑰/私鑰對(pk,sk)。

·Gentag算法：以用戶私鑰sk和數據文件F∈{0,1}*作為輸入，該算法生成文件的認證標識t，文件和認證標識將同時保存在CS中。標識中通常會包含存儲數據的相關信息和利用私鑰sk生成的額外的私有驗證信息。

·Audit算法：公共審計算法通過TPA和CS之間的交互協議（TPA(pk)圮CS(pk,F,t)）來完成。協議執行時，TPA作為驗證方，首先以公鑰pk和Gentag算法輸出的文件描述信息t作為輸入，生成審計挑戰信息發送給CS；而CS作為證明方，將存儲的數據信息和保存的認證標識作為輸入生成并回送TPA應答消息；協議的最終，如果TPA驗證CS存儲的文件保存完好沒有變更，則TPA輸出1，否則將輸出0。

通常，假設TPA被用戶所信任，其公共審計業務是可靠的，而存儲數據的完整性威脅主要來源于CS和惡意的外部敵手。CS可能會由于自身或者外在的原因造成存儲數據的破壞或丟失，而其又會在審計中欺騙TPA存儲數據保持完整。保持隱私性云存儲公共審計方案應滿足完備性、健壯性和隱私性等安全需求。簡單地說，完備性是指對于合法的CS和TPA，其審計結果應總是1；而健壯性指對于擁有更改數據的CS，其不可能通過Audit算法的交互獲得TPA的驗證確認；而隱私性指攻擊者不能采用被動或者主動的攻擊方式從審計方案中獲知用戶存儲的數據內容。

定義3（完備性）云存儲公共審計方案的完備性要求對任意由Keygen算法輸出的公鑰/私鑰對(pk,sk)、任意數據文件F∈{0,1}*和由Gentag算法生成的認證標識t，TPA和CS通過審計算法交互后的輸出總是1，即 pr(Audit(TPA(pk)圮CS(pk,F,t)=1)=1。

定義4（健壯性）下面利用參考文獻[10]的方法給出健壯性定義，該定義通過攻擊者A與挑戰者B所參與的如下Game定義。

挑戰者B運行Keygen(1λ)算法生成公鑰/私鑰對 (pk,sk)，將公鑰pk發送給敵手A；敵手A可以與挑戰者B進行交互，訪問如下預言機：A可以訪問Gentag預言機，對于每一次訪問，挑戰者B選擇數據信息M，并計算t←Gentag(sk,M)生成相應的認證標識，文件M和相應的標識t都將發送給敵手A。同時，A也可以訪問Audit預言機與B進行交互，在交互過程中，敵手A扮演證明者CS的角色，而挑戰者B扮演驗證者TPA的角色。最終，敵手A輸出消息M1發送給挑戰者，由挑戰者生成認證標識t；然后敵手A將消息修改為M*≠M1，并與挑戰者B進行Audit算法的交互B(pk,sk)圮A(pk,M*,t)。

如果如下概率是可以忽略的，則稱云存儲公共審計方案是健壯的：定義5（隱私性）通過攻擊者A和挑戰者B參與的如下Game定義隱私性。

挑戰者B運行Keygen(1λ)算法生成公鑰/私鑰對(pk,sk)，并將pk發送給敵手A；敵手A可以向挑戰者B詢問Gentag預言機，對于每一次訪問，挑戰者B選擇數據信息M，并計算t←Gentag(sk,M)生成相應的認證標識，文件M和相應的標識t都將發送給敵手A。最終，挑戰者B選擇數據M1，并計算相應的認證標識t←Gentag(sk,M1)，攻擊者A和挑戰者B進行Audit交互，在此交互中，敵手A扮演TPA的角色，而挑戰者B則扮演CS的角色；最后敵手A輸出數據文件M*。

假設消息M1具有大的信息熵，則稱云存儲公共審計方案滿足隱私性，如果通過上述的Game，概率pr(M*←A(pk):M1=M*)是可以忽略的。

4 本文提出的方案

本節設計了一個新的高效ASBB方案，并基于該方案設計了滿足隱私性的云存儲公共審計方案。

4.1 新的ASBB方案設計

新提出的ASBB方案的效率和參考文獻[17]中方案的效率相當，具體方案描述如下。

·ParaGen 算法(1λ)：輸入安全參數 1λ，G 和 GT是階為大素數p的乘法循環群，g是群G的生成元，H:{0,1}*→G是安全散列函數，e:G×G→GT是雙線性映射，方案的公共參數為(g,H,p,G,GT,e)。

·Verify算法：給定消息簽名對(m,s,σ)，驗證者驗證方程e(σ,g)e(H(s),R)=Am是否成立。如果方程成立，則輸出1，說明(s,σ)是消息的合法簽名；否則輸出0并拒絕簽名。

·Encrypt算法：對于明文 m∈GT，隨機選擇 t∈，并計算 c1=gt、c2=Rt、c3=mAt。密文為(c1,c2,c3)。

·Decrypt算法：給定密文(c1,c2,c3)，任何擁有合法消息簽名對(m,s,σ)的人都可用式（2）解密得到明文：

方案的正確性顯然成立，并且容易看出新的ASBB方案的安全性可以規約到參考文獻[17]中方案的安全性上。以Sign算法為例，如果攻擊者能夠偽造公鑰為(R,A)的合法簽名(m,s,σ)，則在參考文獻[17]的方案中，可以偽造公鑰信息為(Rm-1,A)的合法簽名(s,σm-1

)。

定理1新提出的ASBB方案滿足如下兩個條件：

·假設CDH假設和DBDH假設成立，新的ASBB方案的簽名方案在隨機預言模型下滿足選擇消息的不可偽造性，而加密方案滿足選擇明文攻擊的不可區分性；

·假設BDHE假設成立，新的ASBB方案在隨機預言模型下滿足非適應選擇消息的可聚合性。

4.2 滿足隱私性的云存儲公共審計方案

下面利用ASBB方案的可聚合性，給出滿足隱私性的云存儲公共審計方案，具體描述如下。

（1）Keygen(1λ)算法

令G和GT是具有階為大素數p的乘法循環群，而e:G×G→GT是雙線性映射，g是群 G的生成元。H():{0,1}*→G是安全的散列函數，將任意輸入映射到群G上。系統的公共參數為(g,H,p,G,GT,e)。隨機選擇r∈Zp*,X∈G{1}，計算 R=g-r、A=e(X,g)。則用戶的公鑰和私鑰對分別為 pk=(R,A)、sk=(r,X)。

（2）Gentag(sk,F)

給定數據文件 F={mi}i=1,2,…,n，對于每一個消息塊 mi∈，用戶計算其認證標識為σi=Xmi H(id||i)r∈G，其中 id由用戶在隨機選擇作為文件F的標識。用戶將數據文件F和標識遠程存儲在CS中。

（3）Audit算法

該算法通過TPA和CS如下的交互過程完成。

步驟1：為了生成審計的挑戰消息，TPA首先隨機選擇t∈Zp*,c個取值于[1:n]的隨機數I={s1,s2,…,sc}∈[1:n]。對每一個i∈I，TPA隨機選擇整數值vi(該值不需要太大)，計算 c1=gt、c2=Rt和 c3=At。最終的挑戰消息為({i,vi}i∈I)(c1和c2作為秘密不發送給CS)。

步驟2：接收到挑戰信息后，CS首先查找相應數據信息和認證標識 σi,i∈I，并計算 σ=∏i∈Iσivi，然后計算：

其中，μ=∏i∈Ivimi，則 CS 將(σ,B)發送給 TPA 作為應答消息。

步驟 3：接收到應答消息(σ,B)后，TPA利用 c1和 c2驗證式（4）是否成立。如果成立，則TPA判定CS通過了審計驗證；否則審計不成功，存儲的數據存在破壞：

下面說明驗證方程的正確性，簡單起見，用Hi代替H(id||i)：

5 效率和安全性分析

首先與參考文獻[9]中的方案在效率方面進行了比較，然后證明新提出的公共審計方案滿足健壯性和隱私性。

5.1 性能分析

分別從存儲開銷、通信開銷和計算開銷3個方面將新提出的方案與參考文獻[9]中的方案進行了比較。假設在兩個方案中，存儲的數據文件F是一樣的，而TPA提出的挑戰信息 I={s1,s2,…，sc}∈[1:n]和{vi}i∈I也是一樣的。

（1）存儲開銷

就系統參數而言，參考文獻[9]的公鑰需要3個群元素，而私鑰需要1個取值為Zp的整數；而新方案的公鑰需要3個群元素，私鑰包括1個整數和1個群元素。在兩個方案中，作為數據文件存儲時產生的額外開銷，也就是生成的認證標識的數目是一樣的。

（2）通信開銷

兩個方案的審計交互中，除了相同的挑戰信息{(i,vi)}i∈I外，參考文獻[9]中CS發送的應答消息包括2個群元素和1個整數；而新方案中，TPA需要額外多發送1個群元素，而CS的應答消息包含2個群元素。

（3）計算開銷

在挑戰生成階段，新方案中的TPA比參考文獻[9]額外需要 3 個群模冪運算，即(c1=gt、c2=Rt、c3=At)，但是由于這3個參數和應答無關，所以可以在空閑的時間進行預計算完成，并不多占用審計時的計算時間開銷。而在驗證階段，參考文獻[9]比新方案多3個模冪運算、1個群模乘運算和1個散列運算。就CS而言，參考文獻[9]比新方案額外多了1個雙線性對運算、1個散列運算和1個整數模乘運算。

從上面的比較可以看出，因為私鑰是不需要存儲的，所以兩個方案的存儲開銷相當；通信開銷整體而言兩個方案也是相當的。因為雙線性對的運算效率明顯低于模冪運算，并且新方案的3個模冪運算可以預計算并不占用審計時間，所以就計算開銷而言，新方案要明顯優于參考文獻[9]。

5.2 安全性分析

簡要說明新方案滿足健壯性和隱私性。通過定理2證明CS在數據被更改的情況下，不可能產生合法的應答消息通過TPA的審計。而定理3說明方案滿足隱私性，新的方案并沒有將數據泄露。

定理2如果計算Diffie-Hellman和Bilinear Pairing的假設成立，則在新方案中CS在不具有完好無損的數據信息的情況下，能生成合法應答通過審計過程的概率是可忽略的。

證明如果CS能夠用修改過后的數據產生合法的應答消息，則其可以解決計算Diffie-Hellman和Bilinear Pairing的問題。

當接收到TPA的挑戰消息{{(i,vi)}i∈I,c3}之后，由離散對數問題和計算Diffie-Hellman的困難性，CS不可能由c3計算得到 c2和 c1。

為了能夠通過審計的驗證方程，CS生成的合法應答消息(σ,B)一定滿足：

假設CS在存儲的數據信息產生了錯誤破壞的情況下能夠通過審計驗證，此時必定存在應答消息(σ*≠σ，B*)可以滿足審計過程的驗證方程：

在這里，驗證方程中μ≠μ′，否則將與假設不相符。由方程（6）和（7）可以得到：

這也就意味著,Xμ-μ′=σ/σ*，i.e.X=（σ/σ*）（μ-μ′）-1，從而CS可以解決雙線性對的假設問題，這與雙線性對問題的困難性假設相違背。

定理3假設離散對數問題是困難的，則攻擊者從審計方案中提取出存儲數據的概率是可忽略的。

證明首先對于值μ和數據F={mi}i=1,2,…,n的獲知是等價的。如果攻擊者能夠得到值μ，則通過求解方程組，就可以獲得存儲的數據信息。直觀上看，因為涉及的數據消息F={mi}i=1,2,…,n的操作都在指數上。如果TPA或者攻擊者能夠通過新的審計方案獲得存儲的數據F={mi}i=1,2,…,n，則相當于攻擊者可以獲得值μ=∏i∈Ivimi，從而推導出消息B關于A的離散對數為tμ，這與離散對數問題的困難性假設相矛盾。

如果存在攻擊者Adv1能夠破壞新方案的隱私性，則假設攻擊者Adv2需要計算h=gα的離散對數α，此時Adv2隨機選擇并計算 R=g-r、A=e(Xβ,g)。則公鑰信息 pk=(R,A)交給攻擊者 Adv1。對于給定的數據 F={mi}i=1,2,…,n，消息塊 mi的認證標識從定理2的證明可以看出，挑戰信息包含c1并不影響方案的健壯性，從而對于攻擊者 Adv1的挑戰信息可以計算應答信息從而對于攻擊者Adv1而言，用戶選擇的數據信息為α·mi。如果Adv1能夠將消息恢復出來，則Adv1能計算得到h=gα的離散對數α。

6 結束語

目前，因為安全性、可靠性、隱私性等問題，云存儲服務還不為用戶廣泛接納與采用。而一旦云存儲的安全性、可靠性、隱私性得到保障，它將具有廣泛而巨大的應用前景。本文首先提出了一個新的可聚合基于簽名的廣播加密方案，并在此基礎上給出了一個新的保持隱私性的云存儲公共審計方案。攻擊者或者TPA無法從新審計方案中獲知存儲的數據內容。新方案與參考文獻[9]中的方案具有相同的存儲開銷和傳輸開銷，而在計算開銷上有明顯的優勢。

通常用戶需要外包存儲的數據并不是靜態不變的，用戶會對數據進行諸如修改、插入、添加、刪除等操作，參考文獻[9]對數據動態變化情況下的公共審計方案進行了初步研究，但是方案并不能很好地支持插入和刪除操作。如何設計高效的、滿足隱私性并支持動態變化的審計方案是下一步要考慮的工作。

參考文獻

1 Einar M,Maithili N,Gene T.Authentication and integrity in outsourced databases.ACM Transactions on Storage,2006,2(2):107～138

2 AtenieseG,BurnsR,CurtmolaR,etal.Provable Data Possession at Untrusted Stores.Cryptology ePrint Archive,Report 2007/202,2007

3 Ateniese G,Pietro R D,Mancini L V,et al.Scalable and efficientprovable data possession.Proceedingsofthe 4th International Conference on Security and Privacy in Communication Networks,Istanbul,Turkey,ACM,2008

4 Juels A,Kaliski B.Pors:proofs of retrievability for large files.Proceedings of CCS 2007,Alexandria,VA,USA,2007:584～597

5 Erway C,Kupcu A,Papamanthou C,et al.Dynamic Provable Data Possession.Cryptology ePrint Archive,Report 2008/432,2008

6 Wang Q,Wang C,Li J,et al.Enabling public verifiability and data dynamics for storage security in cloud computing.Lecture Notes in Computer Science,2009(5789):355～370

7 Wang Q,Wang C,Ren K,et al.Enabling public auditability and data dynamics for storage security in cloud computing.IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847～859

8 Shah M A,Baker M,Mogul J C,et al.Auditing to keep online storage services honest.Proceedings of HotOS’07,Berkeley,CA,USENIX,2007:1～6

9 Cao N,Yang Z Y,Wang C,et al.Privacy-preserving public auditing for data storage security in cloud computing.Proceedings of IEEE INFOCOM 2010,San Diego,CA,2010:525～533

10 Shacham H,Waters B.Compact proofs of retrievability.Proceedings of ASIACRYPT 2008,Melbourne,Australia,2008:90～107

11 Sebe F,Domingo-Ferrer J,Balleste A M,et al.Efficient remote data possession checking in critical information infrastructures.IEEE Transactions on Knowledge and Data English,2008:1034～1038

12 Wang C,Wang Q,Ren K,et al.Ensuring data storage security in cloud computing.Proceedings of IW QoS 2009,Charleston,South Carolina,USA,2009

13 Bowers K D,Juels A,Oprea A.Proofs of retrievability:theory and implementation.Proceedings of the 2009 ACM Workshop on Cloud Computing Security,CCSW 2009,Co-Located with the 16th ACM Computer and Communications Security Conference,New York,2009:43～54

14 Kamara S,Lauter K.Cryptographic cloud storage.Lecture Notes in Computer Science,Financial Cryptography and Data Security,Berlin,Springer,2010:136～149

15 HaoZ,Yu N.A multiple-replicaremotedatapossession checking protocol with public verifiability.Proceedings of Second Int'1 Data,Privacy and E-Commerce Sympoisum (ISDPE'10),New York,USA,2010

16 Zheng Q，Xu S.Fair and dynamic proofs of retrievability.Proceedings of 1st ACMM Conference on Data and Application Security and Privacy(CODASPY),San Antonio,TX,USA,2011

17 Wu Q,Mu Y,Susilo W,et al.Joux A(ed).Asymmetric group key agreement.EUROCRYPT 2009,Springer,Heidelberg,2009:153～170

18 Goldwasser S,Micali S,Rivest R.A digital signature scheme secure against adaptive chosen-message attacks.SIAM J Computing,1988,17(2):281～308

19 Chaum D,Pederson P T.E F Brichell(ed).Wallet databases with observers.Advances in Cryptology-CRYPTO’92,LNCS 740,1993:89～105