基于層次樹的動態群組隱私保護公開審計方案

黃龍霞 張功萱 付安民

(南京理工大學計算機科學與工程學院 南京 210094) (1063170178@qq.com)

?

基于層次樹的動態群組隱私保護公開審計方案

黃龍霞 張功萱 付安民

(南京理工大學計算機科學與工程學院 南京 210094) (1063170178@qq.com)

隨著云存儲的高速發展，保證共享數據的安全變得尤為重要.因此，在共享數據的同時，需要對數據完整性進行有效驗證并對用戶隱私進行保護.針對現有支持動態群的公開審計方案沒有考慮密鑰管理與安全分發的問題，基于層次樹和代理重簽名提出了一個支持云存儲中群組成員動態的隱私保護公開審計方案.提出的方案首次使用基于邏輯層次密鑰體系的密鑰樹進行密鑰的建立和分發，并引入密鑰服務器對密鑰進行存儲，每個用戶只需持有葉子節點，成員撤銷及加入與原有有效用戶獲取新群私鑰是相互獨立的.發生用戶撤銷后，其余合法用戶仍可以根據所持密鑰獲取新的群私鑰，大大提高了用戶動態的效率.性能分析結果表明：該方案是安全且高效的.

隱私保護；動態群；公開審計；層次樹；重簽名

云存儲是將存儲資源放入云服務器中供用戶存取的一種新興方案，使用者可以在任意地點、任意時間通過任何聯網方式在云端存取數據.數據共享技術使得同一群組的有效用戶可以分享同一數據.然而，由于云端存在一些不可避免的數據損壞威脅，例如硬件的損壞等不可避免的因素以及為了自身利益故意刪除數據的人為因素[1],因此對于存儲在云端的數據需要對其進行完整性驗證，為了緩解用戶端的計算壓力，通常選取一個半可信[2]的第三方代替用戶進行數據完整性審計,同時用戶隱私泄露的威脅問題也日益嚴重，尤其是在云存儲數據進行共享時，信息的隱私保護更加需要得到保證[3-10].另外，現有的云安全存儲系統中存在密鑰分發和管理的不足[11].

目前存在的基于數據持有證明的動態完整性審計方案的主要研究方向分為支持群組動態和數據動態兩種.數據動態即支持數據的有效更改、添加和刪除，用戶動態即支持群組用戶的有效加入和撤銷.為了支持有效的群組動態操作，很多方案[3-4,12-14]采用代理重簽名對文件塊進行操作，文獻[13]提出了采用具有較強計算能力的代理者進行簽名計算的審計協議，可以為設備節省大量的計算時間.文獻[14]基于Merkle Hash樹和雙線性對技術提出了支持動態數據的完整性審計方案，并采用分層次索引結構的方法對數據塊進行分割.為了支持動態群組，文獻[15]將動態組密鑰協議應用于成員之間的密鑰共享.然而，支持群組動態的方案均使用廣播加密進行密鑰更新與分發，而廣播加密存在密鑰更新開銷大和密鑰分發不安全的問題.

文獻[10]給出了既能保護用戶身份隱私又能在一定條件下對用戶身份進行追蹤的公開審計方案.Wang等人在文獻[3]中基于雙線性對技術，使用代理重簽名技術對簽名更新進行處理，能夠有效地支持群組動態，即支持群用戶的加入和撤銷，同時對用戶的身份隱私進行了保護.但是發生用戶撤銷時，數據擁有者需要將新的群密鑰分發給群中的每個成員，其開銷較大.之后，文獻[4]進一步基于計算Diffie-Hellman難題與離散對數難題和雙線性對提出了支持用戶撤銷的方案.文獻[16]提出了基于RSA假設的數據加密方案，并給出了基于身份的數據完整性審計協議.

大量數據傳輸任務會造成帶寬嚴重不足，使得密鑰分發不能得到保證，組播密鑰可以解決這一問題.在組播中，組密鑰是群組成員共享的密鑰，動態群組允許群組成員隨時加入或者離開，組密鑰管理方案必須保證離開用戶無法獲取新的密鑰.文獻[17]總結了組播密鑰樹的5種方案，但是這些方案并不完全適用于云存儲環境；文獻[18]基于離散對數問題提出分散式組密鑰管理方案；文獻[3]采用廣播加密技術對密鑰分發進行保護，但用戶撤銷產生的密鑰分發開銷較大；文獻[19]引入第三方實現密鑰的更新和存儲數據的審計，但是增加的第三方必須為可信方，因此一旦第三方出現信息竊取或者泄露問題將對用戶帶來不可預估的損失.

由此可見，目前存在的數據完整性審計方案中大都沒有針對密鑰分發和管理不足的現狀進行改善[4-5,7-15]，只有文獻[3]提出將廣播加密應用于密鑰更新以及文獻[15]將動態組密鑰應用于移動用戶群，但是2個方案都沒有對密鑰的分發與更新進行具體說明.而支持用戶動態的公開審計方案[3-4,12-14]均采用集中式的組密鑰管理協議，這種方法雖易于管理并且節約組內成員的密鑰存儲,但是該方法會出現“1影響N”的情況，即一個成員的退出會造成所有成員的密鑰更新.目前存在的方案[2-15]中均通過假設安全的信道進行密鑰分發，實際的網絡環境中無法保證通信信道的絕對安全，這使得密鑰更新的情況更為復雜.

針對密鑰管理問題和身份隱私泄露問題，本文提出在云存儲環境中采用基于邏輯密鑰層次體系的方法對群密鑰進行加密；將密鑰樹中除葉子節點密鑰的其他密鑰存儲在密鑰服務器中節省用戶客戶端的存儲開銷；將用戶撤銷時產生的新密鑰處理開銷由O(N)降至O(logN)；用戶撤銷后，使用云服務器代替用戶根據該密鑰對云端數據進行重簽名，節省了用戶的計算開銷；采用基于RSA假設的數據簽名方案，使得公開審計開銷低于基于雙線性對的方案.

1 問題描述

1.1 系統模型

如圖1所示，系統包含4個實體：密鑰服務器、用戶群組、云服務器和第三方審計者(third party auditor, TPA).

Fig. 1 System model.圖1 系統模型

其中密鑰生成中心是可信的，第三方審計者能夠誠實地執行相關操作但是會對數據塊內容感到好奇.用戶群包含合法用戶和撤銷用戶，撤銷用戶無法獲取合法密鑰，合法用戶中包含普通用戶和數據擁有者.用戶群組與云服務器之間共享數據流，用戶群與密鑰服務器之間可以交換密鑰，用戶群內合法用戶向TPA發送審計請求，TPA向云服務器發送挑戰信息，云服務器針對挑戰信息生成數據持有證明.

云服務器通過審計驗證則說明其完整地存儲了相關數據，否則說明存儲在云端的數據被損壞.

1.2 安全模型

1) 隱私保護

群組共享數據的簽名者的身份是重要的隱私信息.但在完整性審計過程中，半可信的公開驗證者可以根據驗證信息獲取數據簽名者的身份隱私以及數據信息.例如，通過進行多次完整性驗證，公開驗證者可以找出被多次修改的數據塊，判斷出具有較高價值的數據塊進而進行攻擊.因此，方案應該保證簽名者身份的隱私保護.

2) 完整性驗證

受硬件、軟件以及人為的影響，云服務器可能在無意中修改甚至刪除了共享數據；來自外部的攻擊也會威脅數據完整性.除此之外，為了維護自身利益和信譽，云服務商可能會將數據損壞的事實對用戶隱瞞.因此，需要公開驗證者對云端數據完整性進行的有效審計.

3) 偽造攻擊抵抗

對于驗證者發起的挑戰，只有在真實持有數據的情況下才能生成有效的簽名.敵手在不具備挑戰數據塊的情況下無法產生能夠通過驗證的數據持有證明.

4) 可抗完全同謀

即使被撤銷的用戶將自己所持有的密鑰聯合起來也無法獲取廣播加密的私鑰.

1.3 實現目標

為了實現支持動態群組的用戶云端共享數據的完整性審計，支持同態認證的基于層次樹的動態群組隱私保護公開審計方案HT-HAS需要實現6個目標：

1) 正確性.TPA能夠正確地審計數據的完整性.

2) 身份隱私.TPA在審計過程中無法獲取簽名用戶的相關信息.

3) 公開審計.TPA可以在不知道簽名私鑰的情況下對數據完整性進行審計.

4) 不可偽造性.只有正確持有挑戰數據的實體能夠生成有效的數據持有證明.

5) 高效性.即使在大規模的數據審計中，TPA產生的審計開銷均與用戶成員數量大小無關.

6) 支持動態群組.能夠有效支持用戶加入和撤銷，撤銷用戶不再擁有簽名以及訪問數據的權限.

2 預備知識

2.1 RSA密碼體系

假設N=pq，其中p和q為2個不等的素數，令φ(N)=(p-1)(q-1).選擇滿足條件gcd(b,φ(N))=1的隨機數b(1

2.2 邏輯密鑰層次體系

邏輯密鑰層次體系密鑰重建方案是基于樹結構構造的，由密鑰節點組成的二叉樹，葉子節點2d+1-1=15代表用戶持有節點，剩余節點代表密鑰節點.根節點為群私鑰，葉子節點為用戶私鑰，中間節點為輔助密鑰節點，用于降低密鑰更新開銷.該方案中，每個用戶擁有從對應節點至根節點唯一路徑的所有密鑰，即在高度為d的密鑰樹中用戶可以獲取d+1個密鑰.用戶根據葉子節點的密鑰逐層獲取上層密鑰直至獲取群私鑰，群私鑰用于加密文件生成簽名.

如圖2所示，對于一個d=3,n=8的二叉樹，把每個葉子節點按照1,2,…,2d+1-1=15依次編號.8個用戶依次命名為node8,node9,…,node15.組密鑰為k(node1)，通過路徑node11→node5→node2→node1獲得密鑰k(node11),k(node5),k(node2),k(node1).逐層解密才能獲得最后的組密鑰k(node1).

Fig. 2 Key tree.圖2 密鑰樹

2.3 同態認證

同態認證又名同態認證標簽，因其允許公開驗證者在無需下載完整數據的情況下驗證數據完整性，被廣泛應用于公開審計方案.同態認證擁有不可否認性、無塊認證和不可鍛造性[3,7-8].其中的無塊認證和不可鍛造性定義如下：

假設簽名者的私鑰和公鑰的密鑰對為(sk,pk)，數據塊m1∈p的簽名為σ1，數據塊m2∈p的簽名為σ2.

1) 無塊認證.給定數據塊簽名σ1和σ2，2個隨機數x1,x2∈p和數據塊m=x1m1+x2m2，公開驗證者能夠在未知數據塊m1和m2的情況下對數據塊m=x1m1+x2m2的簽名的正確性進行判定.

2) 不可鍛造性.給定數據塊簽名σ1和σ2，2個隨機數x1,x2∈p，2個數據塊m1,m2∈p和組合數據塊m=x1m1+x2m2，不持有私鑰的實體無法通過m1和m2線性組合對塊m=x1m1+x2m2進行有效簽名.

無塊認證提高了簽名認證的效率，因為驗證者通過驗證數據塊的線性組合對數據塊進行驗證，無需得知數據塊的具體內容.不可鍛造性能夠有效防止獲取了部分簽名的非法實體生成有效簽名.

3 支持用戶動態的數據完整性審計方案

目前存在的支持公開審計的簽名算法很多都是基于雙線性對的，HT-HAS基于RSA假設設計一個支持云端數據完整性驗證的協議HT-HAS，并且采用密鑰樹結構實現密鑰分發及管理，能夠高效地支持動態用戶群.用戶撤銷時的密鑰更新開銷小，而且無需用戶對數據塊進行重新簽名.本節首先描述基于邏輯層次結構的密鑰更新；然后描述基于RSA假設的適用于云存儲的支持動態群組的數據完整性審計方案的基本操作.

3.1 基于邏輯層次體系的密鑰更新

基于邏輯層次體系的密鑰更新方案中的每個有效用戶只使用初始密鑰處理接收到的廣播消息(廣播信息通過不安全信道進行傳輸)，所有接收用戶的密鑰不需要更新，因此用戶不需要一直在線，只有在需要獲取密鑰的情況下申請根密鑰.當出現群組用戶多于葉子節點個數以及發生用戶撤銷的時候，密鑰樹需要進行更新.

3.1.1 用戶加入

為了方便用戶的加入，預先生成所有葉子節點存儲在密鑰服務器，即假設用戶數目為N，葉子節點數為2logN+1，當新用戶加入時，密鑰服務器只需完成密鑰分配，對其余用戶密鑰沒有影響.當新用戶加入前葉子節點已經分配完畢時，密鑰樹樹高將加一，所有用戶密鑰發生更新.密鑰樹需要進行擴展，擴展后的樹可以服務雙倍的用戶數群體.假設原密鑰樹能容納4個用戶，如圖3所示，第5個用戶user5加入后樹高增加，原用戶仍然可以根據原持有密鑰進行新密鑰的獲取.

Fig. 3 The change of tree after a user joining.圖3 用戶加入后樹的變化

具體算法實現為算法Join：

數據擁有者將新用戶u′加入到廣播列表中.如果廣播組中成員數少于密鑰樹的葉子節點，數據擁有者將空閑節點的密鑰k(u′)發送給新用戶.否則，數據擁有者將調用KeyTree算法生成一棵樹高+1新的密鑰樹.新的成員可以通過自己擁有的密鑰與收到的廣播信息獲得群私鑰，從而可以計算有效簽名并可以對密文數據塊進行解密獲取明文.

3.1.2 用戶撤銷

假設樹高為j，撤銷用戶為U，那么從撤銷用戶上一個節點直至根節點唯一路徑上的j個節點對應的密鑰需要進行更新操作.

ek(node10)(k′(node5)),ek(node4)(k′(node2)),

ek′(node5)(k′(node2)),ek(node3)(k′(node1)),

ek′(node2)(k′(node1)).

Fig. 4 User revoke.圖4 用戶撤銷

在我們的方案中，用戶只保存其對應的葉子節點密鑰，故撤銷操作對其他用戶密鑰更新沒有影響.例如，用戶11撤銷之后，若用戶10需要獲取新的群私鑰進行數據簽名的操作，用戶10仍然可以使用原有的密鑰k(node10)解密ek(node10)(k′(node5))，從而獲得k′(node5)，然后使用k′(node5)獲得k′(node2)，最終使用獲取k′(node1)，即新的群私鑰.

用戶撤銷的算法revoke具體實現如下：

令從葉子節點nodeU到根節點nodeR的唯一路徑上的所有節點的集合為P(nodeU)，那么集合P(nodeU){nodeU}中j個節點對應的密鑰都需要重置.對于集合P(nodeU){nodeU}中的每個節點nodeX，令節點對應的新密鑰為k′(nodeX)，節點的兄弟節點為sib(·)，節點的父節點為par(·).執行用戶撤銷操作進行部分密鑰更新后，節點密鑰更新過程為

ek(sib(nodeX))(k′(par(nodeX))),

ek′(nodeX)(k′(par(nodeX))),

nodeX∈P(nodeU){nodeU,nodeR}，

ek(sib(nodeU))(k′(par(nodeU))).

3.2 HT-HAS的設計

HT-HAS方案由8個算法組成：Setup，KeyTree，KeyGen，Sign，Join，Revoke，ProofGen，ProofVerify.Setup算法用于生成系統公鑰，包括RSA模數、Hash函數、偽隨機函數和用于生成簽名的隨機數；KeyTree算法由密鑰生成中心運行，用于將群私鑰進行逐層加密產生用戶私鑰以及中間節點密鑰；KeyGen算法用于生成群私鑰以及分發用戶密鑰；Sign算法用于生成數據塊簽名；Join算法用于執行用戶加入的密鑰分發；Revoke算法用于撤銷用戶，同時數據擁有者生成重簽名密鑰并發送給云，云對所存數據塊進行重簽名；ProofGen算法中驗證者向云服務發起驗證挑戰，云服務器根據挑戰信息生成數據持有證明；ProofVerify算法中驗證者針對持有證明進行驗證.具體算法描述如下：

1) Setup

令H:{0,1}*→p是一個Hash函數，f:p×p→p是一個偽隨機函數，將共享數據M分割成n塊：M=(m1,m2,…,mn).群組中一共有m個用戶成員.

① 密鑰生成中心選取2個隨機素數a和b生成RSA模數N=ab;

③ 發布系統參數mpk=(N,H,f,u).

2) KeyTree

假設用戶數量為m滿足2j-1

3) KeyGen

① 數據擁有者隨機選擇一個素數e，計算群私鑰d：d=e-1modΦ(N)并發送給密鑰生成中心;

② 運行KeyTree算法,然后將群中的每個成員ui加入到廣播列表U中.

4) Sign

給定群私鑰sk=d，共享數據塊的密文mi∈p和塊標識符idi，用戶ui根據自己持有的密鑰獲取群私鑰d并計算輸出塊的簽名σi=(H(idi)umi)d.

5) Join

算法Join具體過程見3.1.1節所示.

6) Revoke

① 數據擁有者隨機選擇新的素數e′計算新的群私鑰d′：d′=e′-1modΦ(N)并發送給密鑰生成中心；

② 數據擁有者將撤銷成員從廣播列表中刪除，運行算法KeyTree進行新的密鑰分發，更新過程如revoke算法所示；

③ 數據擁有者根據舊群公鑰e′和新的群私鑰d′計算重簽名密鑰rk=de′∈p，并將重簽名密鑰發送給云，云服務器收到密鑰之后對云中的塊進行重簽名=(H(idi)umi)d′.

7) ProofGen

TPA驗證共享數據的完整性：

① 選取c個隨機值生成集合I，I是集合{1,2,…,n}的子集;

② 選取隨機數k∈p生成挑戰集合Q={(i,vi)},其中vi=fk(i);

③ 將挑戰chal={I,k}發送給云.

8) ProofVerify

TPA收到證明消息之后檢查下列等式是否成立：

如果等式成立，系統輸出“1”，證明云存儲生成了正確的證明，即存儲在云端的數據是完整的；否則輸出“0”并退出.

4 安全性分析

4.1 公開審計

TPA可以在無需下載完整數據、無法獲取加密私鑰的情況下，對數據完整性進行審計.用戶撤銷之后，重簽名之后的數據塊也可以進行審計，審計的正確性和安全性證明如定理1和定理2所示.

定理1. TPA獲取證明P={μ,σ}之后，能夠正確地驗證共享數據的完整性.

重簽名之后的證明P={μ′,σ}也可根據如上證明同理可證.

定理2. 敵手?在不知道數據塊內容的情況下無法生成有效的簽名.

因為μ′≠μ，定義Δμ=μ′-μ，所以(σ′σ)e=uΔμ.令u=geya,g∈p,a∈[1,2λ]，那么(σ′σ)e=uΔμ=(geya)Δμ=(ge)ΔμyaΔμ，即((σ′σ)×g-Δμ)e=yaΔμ.因為a∈{1,2,…,2λ}，可以得出使得gcd(e,aΔμ)=1的可能性為2-λ，即存在一個值x′使得x′e=y的概率為2-λ，可忽略.

因為RSA問題是難解的大素數問題，基于此，我們可以證明提出的方案是可靠的.即在不持有正確數據的情況下敵手?無法偽造出正確的標簽.

4.2 用戶隱私

在方案中，所有有效群成員可以使用同一組密鑰對數據塊進行簽名.根據生成的簽名，驗證者TPA無法區分出每個塊的簽名者.假設群的有效用戶為n，那么TPA猜對簽名成員的概率為1n.在云存儲的環境下，群用戶的數量是巨大的，即猜對成員的概率是可忽略的.因此，方案具有用戶身份隱私保護的性質.

4.3 可抗完全同謀

所有撤銷用戶聯合起來也無法獲取根密鑰或者解密廣播信息.在HT-HAS中，只有有效用戶通過自己所持私鑰能對獲取的正確的路徑密鑰進行逐層解密獲取根密鑰，其余成員都無法進行解密.每次成員撤銷會進行根密鑰更新，撤銷的用戶只能根據之前接收的消息獲取過期密鑰.具體安全證明可參照文獻[20],故HT-HAS具有可抗完全同謀性.

4.4 撤銷安全

撤銷用戶只有在重新加入新組的情況下才能獲取新的群私鑰，進而對數據塊進行簽名.具體來說，一個被撤銷的用戶無法通過原有私鑰獲取新的群私鑰，也無法獲取數據內容.用戶useri被撤銷之后，密鑰樹的根密鑰即存儲的密文數據塊的解密密鑰以及更改用戶相關的節點密鑰都將發生變換，該用戶將無法解密廣播密鑰從而獲取新的解密密鑰,即用戶useri即使獲取數據塊也無法解密新的數據塊.其擁有的密鑰包括舊的用戶私鑰k(nodeuseri)、舊的群私鑰d，撤銷用戶之后，群私鑰被更新為d′，存儲在云端的數據也被重簽名.

撤銷用戶如果試圖通過新的簽名，模數N獲取新的群私鑰d′是困難的，這是一個RSA困難問題.

4.5 同態認證

根據第2節對同態認證的定義，為了證明方案HT-HAS具有同態認證的性質，需要證明該方案具有無塊認證和不可鍛造性.

1) 無塊驗證.給定系統群公鑰pk=e，2個隨機數x1,x2∈p，2個數據塊標識符id1,id2,2個數據塊簽名σ1,σ2，驗證者可以驗證塊m=x1m1+x2m2的正確性，只要如下等式成立，即說明塊m=x1m1+x2m2是正確的：

驗證過程中，驗證者不知道數據塊m1和m2的內容.基于RSA的性質，以上等式的正確性可以通過如下過程證明：

((H(id1)×um1)dx1×(H(id2)×um2)dx2)emodN=

((H(id1)×um1)x1×(H(id2)×um2)x2)demodN=

H(id1)x1×H(id2)x2×um1x1×um2x2modN=

2) 不可鍛造性.敵手如果不能獲取群私鑰sk=d，就不能通過結合2個隨機數x1,x2∈p和2個數據塊簽名σ1,σ2，對數據塊m=x1m1+x2m2計算出有效的簽名σ.

假設敵手能夠通過結合2個數據塊簽名σ1,σ2生成了一個有效的簽名σ,那么我們可以得到:

σ=(H(id′)um)t.

那么，可以得到H(id′)=H(id1)x1H(id2)x2，也就是說，給定h=H(id1)x1H(id2)x2，可以很容易地找到符合H(id′)=h的塊標識符id′，但是H(·)是一個單向函數，在單向函數中，根據映射值求原值是困難的，所以假設不成立.

所以，方案HT-HAS滿足同態認證的無塊認證和不可鍛造性，即滿足同態認證.

5 性能分析

在本節中，從動態群性能和審計性能對提出方案進行性能評估，并將結果與方案進行比較，方案實現了廣播密鑰更新以及身份隱私.在方案中，我們設置元素的大小為|p|=160 b，共享數據為n=106塊,假設群包含k個用戶.

其中，T為密鑰分發開銷，Ten表示加密開銷，TRSA表示RSA運算開銷，TExp和TMul分別表示在計算一個指數運算和乘法運算的時間，THash表示計算一個Hash函數的運算時間，Pair表示計算一個雙線性對運算的時間,Tm表示模運算所花時間.

5.1 動態群的性能分析

在本方案中，為了支持有效的動態群組，我們使用動態廣播加密的技術進行密鑰分發.基于動態廣播加密的安全性，非群內成員無法獲取正確的群密鑰以生成有效的簽名.為了進一步提高用戶動態操作的效率，我們使用基于樹結構的邏輯密鑰層次體系進行密鑰處理.撤銷用戶時只需更新路徑上節點的密鑰值，由于每個用戶只存儲對應的節點密鑰，其余用戶仍可以根據其原有密鑰獲取新的組密鑰，因此每次密鑰更新的開銷為Οlbn,而且注銷用戶的數量可以不受限制，安全性不受影響.當加入新成員后群成員個數仍小于葉子節點時，為新成員分配新密鑰；否則在密鑰樹中新建一層葉子節點.

特別是當新用戶加入和舊用戶撤銷同時發生時，基于邏輯層次體系的密鑰樹可以將2種操作同時進行,即將撤銷節點進行重新計算之后分配給新用戶.

基于層次樹的密鑰更新結構相對于文獻[3,15]存儲密鑰空間較大，因為其需要存儲中間節點，而文獻[3,15]中的方案只要存儲用戶密鑰,而且HT-HAS葉子節點個數多于用戶個數，故采用密鑰服務器進行存儲.

5.2 動態群的性能對比

因為葉子節點密鑰是預先計算好的，與其他方案沒有比較的意義，故不做新成員加入開銷的對比.當用戶撤銷，計算部分新節點密鑰，密鑰樹中lbd個節點需要重新計算，其中包含新的群私鑰以及新的群共享密鑰的計算.并且云服務器需要對所有的塊進行重簽名，這個過程中不需要用戶下載原數據或者對數據進行簽名.對n個塊進行重簽名的開銷為nTExp,總的撤銷開銷為Tm+TMul+nTExp.

文獻[15]中使用了Hash運算和冪指數運算較多，故開銷相當較大.在文獻[3]中，重簽名的計算開銷與本文相同，新公鑰的計算為TExp，還有一次加密運算，故撤銷用戶所花開銷總和為kT+Ten+TExp+nTExp.k為群組中成員數量，在實際情況中會是一個比較大的數值;T為分發時間，如表1所示，在網絡狀況不理想的情況，我們方案會更佳.

Table 1 Performance on Dynamic Group

5.3 審計性能對比

方案的設計目標不僅是為了保護身份隱私以及支持動態群組，也包括對數據塊完整性審計的高效性.已有研究[21]表明，當挑戰數據塊個數c=460時，檢測率分別可以達到99%.

驗證者驗證一個審計證據的計算開銷為cTHash+cTMul+(c+1)TExp+Tm.我們方案與支持隱私保護和群組動態的文獻[3,15]的計算開銷和通信開銷進行對比.如表2所示，我們方案的總的計算開銷合計為cTHash+(3c-1)TMul+(2c+1)TExp+2Tm，通信開銷為(c+3)|p|.

Table 2 Performance on Public Auditing

文獻[3]中方案采取基于雙線性對的同態認證審計方案，由于雙線性對運算時間比RSA操作時間久，所以在開銷上遠遠多于本方案;因為文獻[15]中方案的數據塊進行了進一步的分割，故開銷會遠大于HT-HAS，為了形成相對公平的對比，我們將文獻 [15]的方案稍微做了修改.本文基于隨機函數的挑戰大大降低了計算及通信開銷.

5.4 實驗結果對比

在本節中，為了評估方案的性能，我們使用PBC中的庫函數對相關的密碼學運算進行模擬，并將實驗結果與文獻[3,15]進行對比分析.所有的模擬均在Ubuntu系統中實現，處理器為Intel Core i7 3.40 GHz，內存為4 GB，測試1 000次以上.

表3給出了本文方案與文獻[3,15]中方案的實驗結果對比情況.文獻[3]中方案其通信開銷與計算開銷均與群成員數量線性相關，而且即使成員數較少，開銷仍然高于HT-HAS.可以從表2中得知我們方案在通信開銷和計算開銷上都優于文獻[3,15]中的方案.

Table 3 Experimental Results Comparison

6 結束語

在本文中，我們利用邏輯密鑰樹和代理重簽名技術，提出了一個支持云存儲中群組成員動態的隱私保護公開審計方案.群中每個合法用戶使用同一簽名密鑰對數據進行簽名，因此驗證者在審計過程中無法根據所獲得的審計信息提取用戶成員的信息，從而保護了用戶的身份隱私.基于邏輯層次密鑰體系的密鑰樹實現了安全高效的密鑰更新，用戶只保存葉子節點密鑰，因此撤銷用戶與用戶密鑰更新是相互獨立的，提高了方案的效率.HT-HAS考慮到帶寬受限的情況并支持動態群組，尤其適用于移動用戶的云存儲數據共享.

[1]Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J]. Journal of Software, 2011, 22(1): 71-83 (in Chinese)(馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83)

[2]Liu C, Ranjan R, Zhang X, et al. Public auditing for big data storage in cloud computing—A survey[C] //Proc of IEEE CSE 2013. Piscataway, NJ: IEEE, 2013: 1128-1135

[3]Wang B, Li H, Li M. Privacy-preserving public auditing for shared cloud data supporting group dynamics[C] //Proc of 2013 IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2013: 1946-1950

[4]Wang B, Li B, Li H. Panda: Public auditing for shared data with efficient user revocation in the cloud[J]. IEEE Trans on Services Computing, 2015, 8(1): 92-106

[5]Trueman T E, Narayanasamy P. Ensuring privacy and data freshness for public auditing of shared data in cloud[C] //Proc of IEEE CCEM 2015. Piscataway, NJ: IEEE, 2015: 22-27

[6]Li Hui, Sun Wenhai, Li Fenghua, et al. Secure and privacy-preserving data storage service in public cloud[J]. Journal of Computer Research and Development, 2014, 51(7): 1397-1409 (in Chinese)(李 暉, 孫文海, 李鳳華, 等. 公共云存儲服務數據安全及隱私保護技術綜述[J]. 計算機研究與發展, 2014, 51(7): 1397-1409)

[7]Wang H. Identity-based distributed provable data possession in multicloud storage[J]. IEEE Trans on Services Computing, 2015, 8(2): 328-340

[8]Fu Anmin, Qin Ningyuan, Song Jianye, et al. Privacy-preserving public auditing for multiple managers shared data in the cloud[J]. Journal of Computer Research and Development, 2015, 52(10): 2353-2362 (in Chinese)(付安民, 秦寧元, 宋建業, 等. 云端多管理者群組共享數據中具有隱私保護的公開審計方案[J]. 計算機研究與發展, 2015, 52(10): 2353-2362)

[9]Kiraz M S, Sertkaya I, Uzunkol O. An efficient ID-based message recoverable privacy-preserving auditing scheme[C] //Proc of IEEE PST 2015. Piscataway, NJ: IEEE, 2015: 117-124

[10]Yang G, Yu J, Shen W, et al. Enabling public auditing for shared data in cloud storage supporting identity privacy and traceability[J]. Journal of Systems & Software, 2015, 113: 130-139

[11]Fu Yingxun, Luo Shengmei, Shu Jiwu. Survey of secure cloud storage system and key technologies[J]. Journal of Computer Research and Development, 2013, 50(1): 136-145 (in Chinese)(傅穎勛, 羅圣美, 舒繼武. 安全云存儲系統與關鍵技術綜述[J]. 計算機研究與發展, 2013, 50(1): 136-145)

[12]Chen X, Li J, Huang X, et al. New publicly verifiable databases with efficient updates[J]. IEEE Trans on Dependable and Secure Computing, 2015, 12(5): 546-556

[13]Yan Li, Shi Runhua, Zhong Hong, et al. Integrity checking protocol with identity-based proxy signature in mobile cloud computing[J]. Journal of Communications, 2015, 36(10): 278-286 (in Chinese)(閆莉, 石潤華, 仲紅, 等. 移動云計算環境中基于身份代理簽名的完整性檢測協議[J]. 通信學報, 2015, 36(10): 278-286)

[14]Qin Zhiguang, Wang Shiyu, Zhao Yang, et al. An auditing protocol for data storage in cloud computing with data dynamics[J]. Journal of Computer Research and Development, 2015, 52(10): 2192-2199 (in Chinese)(秦志光, 王士雨, 趙洋, 等. 云存儲服務的動態數據完整性審計方案[J]. 計算機研究與發展, 2015, 52(10): 2192-2199)

[15]Yu Y, Mu Y, Ni J, et al. Identity privacy-preserving public auditing with dynamic group for secure mobile cloud storage[G] //Network and System Security. Berlin: Springer, 2014: 28-40

[16]Yu Y, Xue L, Au M H, et al. Cloud data integrity checking with an identity-based auditing mechanism from RSA[J]. Future Generation Computer Systems, 2016, 62(9): 85-91

[17]Xu Mingwei, Dong Xianhu, Xu Ke. A survey of key management for multicast[J]. Journal of Software, 2004, 15(1): 141-150 (in Chinese) (徐明偉, 董曉虎, 徐恪. 組播密鑰管理的研究進展[J]. 軟件學報, 2004, 15(1): 141-150)

[18]Yang Jun, Zhou Xianwei. A two-level decentralized group key management scheme based on the discrete logarithm problem[J]. Journal of Electronics and Information, 2008, 30(6): 1457-1461 (in Chinese)(楊軍, 周賢偉. 基于離散對數問題的兩層分散式組密鑰管理方案[J]. 電子與信息學報, 2008, 30(6): 1457-1461)

[19]Yu J, Ren K, Wang C. Enabling cloud storage auditing with verifiable outsourcing of key updates[J]. IEEE Trans on Information Forensics and Security, 2016, 11(6): 1362-1375

[20]Delerablée C, Paillier P, Pointcheval D. Fully collusion secure dynamic broadcast encryption with constant-size ciphertexts or decryption keys[C] //Proc of Int Conf on Pairing-Based Cryptography. Berlin: Springer, 2007: 39-59

[21]Ateniese G, Burns R, Curtmola R, et al. Provable data possession at untrusted stores[C] //Proc of the 14th ACM Conf on Computer and Communications Security. New York: ACM, 2007: 598-609

Huang Longxia, born in 1991. PhD candidate. Her main research interests include privacy-preserving and cloud storage security.

Zhang Gongxuan, born in 1961. PhD, professor and PhD supervisor. His main research interests include trusted computing and system security, cloud computing technology and multi-core embedded technology.

Fu Anmin, born in 1981. PhD, associate professor and PhD supervisor. Member of China Computer Federation. His main research interests include cryptography and privacy preserving.

Privacy-Preserving Public Auditing for Dynamic Group Based on Hierarchical Tree

Huang Longxia, Zhang Gongxuan, and Fu Anmin

(SchoolofComputerScienceandEngineering,NanjingUniversityofScienceandTechnology,Nanjing210094)

As the rapid development of cloud storage, it is important to protect the security of shared data in cloud. Therefore, it is necessary to protect users’ privacy and verify the integrity of data efficiently during the data sharing. As the existing schemes consider little about the management and secure distribution of key, based on hierarchy tree and proxy re-signature, a privacy-preserving public auditing scheme which supports dynamic group in cloud storage is supposed. The proposed scheme firstly uses logical hierarchy key tree to establish and distribute keys, and a key server is utilized to store keys. The revocation of user is independent from users’ obtaining new group secret key as each user only stores the leaf node key. When a user revokes, the valid user can obtain the new group secret key with their original keys. Therefore, the scheme is more efficient for dynamic group. The security analysis and performance analysis show that the scheme is secure and efficient.

privacy preserving; dynamic group; public auditing; hierarchical tree; re-signature

2016-06-15；

2016-08-10

國家自然科學基金項目(61272420，61572255)；江蘇省自然科學基金項目(BK20141404)；中央高校基本科研業務費專項資金項目(30915011322)

付安民(fuam@njust.edu.cn)

TP393

This work was supported by the National Natural Science Foundation of China (61272420，61572255), the Natural Science Foundation of Jiangsu Province of China (BK20141404), and the Fundamental Research Funds for the Central Universities (30915011322).