適用于再生編碼分布式存儲的輕量型隱私保護審計方案

劉光軍，郭網媚，熊金波，劉西蒙，董長宇

（1.西安文理學院信息工程學院，陜西 西安 710065；2.西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室，陜西 西安 710071；3.福建師范大學數學與信息學院，福建 福州 350117；4.福州大學數學與計算機科學學院，福建 福州 350108；5.英國紐卡斯爾大學計算機學院，紐卡斯爾 NE4 5TG）

1 引言

當前，云計算和大數據已成為推動信息技術發展和促進應用創新的熱點技術，具有非常廣闊的應用前景[1]。同時，基于網絡編碼的再生編碼技術，已經得到了學術界的廣泛關注[2]。研究表明，將再生編碼技術應用在分布式云存儲系統中，可以實現節點存儲量和失效修復帶寬方面的最優均衡。然而，如何保證再生編碼分布式云存儲數據的安全可靠是該類系統應用中面臨的一個重要挑戰[3-5]。

在外包數據安全可靠性方面，學術界已經取得了大量研究成果。根據使用的系統場景，這些成果大致可以分為數據持有性證明（PDP,provable data posesion）和數據可恢復證明（PoR,proof of retrievability）[6-10]、容錯編碼方案[2,4,11-14]等。前者主要適用于單服務器或單云系統，使用聚合審計方式提高審計的效率；后者主要適用于多服務器或多云系統，大多采用多備份和糾錯編碼等技術實現數據的有效恢復。雖然這些方案在傳統云計算應用中表現尚好，但是如果把它們直接應用到再生編碼分布式存儲應用中，其技術實現付出的開銷可能已經抵消了再生碼本應具備的性能優勢。

當前，學者在再生編碼云存儲的外包數據審計檢驗領域也做出了大量的工作。根據審計密鑰共享的方式，這些工作大體可分成2 類，即公開審計策略[10,15-17]和私有審計策略[11-12,18-19]。前者只能用公鑰密碼技術實現，任何公開實體都可以對用戶的云端存儲數據進行完整性檢測，計算代價較高；后者中審計者在檢測時通常需要知曉用戶的私鑰信息，常用相對高效的對稱密碼技術實現，多適用于用戶能力受限的應用場景。雖然公開審計策略具有更強的安全性，但運行過程中引入了高昂的計算和通信開銷，已經嚴重影響了再生編碼技術的可用性。因此，出于對存儲系統綜合效能的考慮，私有審計策略是當前基于再生編碼大數據云存儲系統較實用合理的選擇。

考慮到離線用戶計算資源的有限性，與傳統云審計方法類似，現有再生編碼云存儲系統大都將審計工作委托給第三方實體來進行。相應地，用戶數據審計交互過程的隱私保護也成為用戶主要考量的因素。為解決這個問題，常見的做法是用戶在數據外包上傳之前對其進行離線靜態預加密（例如使用對稱加密[10]或同態加密[20-21]等手段）。但是，這種方法一旦應用于實時大數據分布式處理系統，不僅嚴重限制了系統為用戶提供數據的在線分析和處理服務，而且大幅增加了數據應用中的計算負擔和通信代價。此外，失效節點數據修復過程中需要進行頻繁的加解密操作，將降低嚴重拖累再生碼存儲系統的性能。

值得注意的是，如果云處理中心或相應的數據編碼機制能保證數據的隱私安全，用戶只需要將數據編碼信息及其認證標簽外包存儲到云上即可，這將為大數據的實時分析提供極大的便利，是與傳統預加密存儲完全不同的情形，而在此情形下實現審計的高效性、可靠性和隱私保護等問題并未得到有效解決。采用云服務器直接對數據進行簡單的在線實時加密并不是一種安全可行的策略，因為用戶無法對這些云端加密結果實時生成合法有效的認證標簽。

迄今為止，現有研究還沒有給出一種上述可在再生編碼存儲系統中在線實施的高效隱私保護安全審計方法。文獻[17]提出了利用公鑰掩碼技術來解決這個問題，但在大數據外包處理的應用場景將會產生很高的計算開銷，而且已被證明存在一些審計安全問題[22]。文獻[11-12]分別提出了適用于再生碼分布式存儲系統的遠程認證機制，但前者涉及大量對編碼向量的對稱加解密操作，后者完全不支持隱私保護功能。文獻[23]利用擬態技術解決了存儲數據的可靠性和安全性問題，但沒有考慮服務器不可信場景下的審計認證問題。Le 等[18]利用網絡編碼認證的思想提出了一種性能高效的分布式審計方案NC-Audit，可以高效地實現節點修復功能。但是，該方案要求云存儲中心必須知道用戶的主密鑰信息，并不滿足隱私保護實際應用需求。文獻[19]利用數據預加密、基于糾錯碼的同態加密和Toeplitz哈希函數[24]構造了存儲數據的完整性檢測方案，但該方案的安全性還有待論證。同時，該方案涉及復雜的糾錯譯碼操作，故計算開銷較大。此外，文獻[25]將再生碼存儲技術引入了區塊鏈應用場景，構造了區塊鏈網絡中的數據安全存儲和恢復方案，但沒有涉及數據審計問題。總體來看，現有適用于再生碼系統的數據審計研究雖取得了一定的研究成果，但在執行效率或安全性能上還很不理想，仍然沒有打破分布式存儲系統整體效能提升的性能瓶頸。

與現有離線預加密實現隱私保護的云存儲審計方式不同，本文主要針對基于再生碼的大數據存儲系統，提出了一種高效的具備隱私保護功能的外包數據審計方案。該方案具有以下特點。

1) 動態加密和在線審計的融合。傳統離線預加密策略不能有效適用于再生編碼系統的在線審計場景，簡單在線加密方法無法在外包審計場景實現阻止審計端獲取用戶隱私信息的目的。為解決此問題，本文在存儲服務器端設計了一種可以快速實施的動態隨機掩碼機制，不僅保證了與審計服務的有效兼容，而且可以阻止審計端對審計響應消息的隱私提取。

2) 輕量型代數審計。利用網絡編碼代數子空間認證思想，所提方案對數據向量和線性掩碼向量進行了一些特殊的正交化同態認證編碼，構造了一種基于代數正交判定的審計驗證技術。本文采用這種正交代數編碼手段完成了在線隱私加密與數據審計功能的無縫融合，實現了傳統預加密存儲機制無法達成的隱私認證功能。

3) 低開銷的實現效能。所提方案有效融合了密碼技術和信息理論安全技術，盡可能避免了使用耗時的公鑰密碼操作（例如，大整數模指數或雙線性對運算）。方案的核心操作主要涉及有限域上的乘法和加法運算，具有較低的計算開銷。方案采用向量聚合認證模式，審計過程通信開銷也較小。

2 系統與安全模型

2.1 系統和功能模型

本文考慮基于云計算的分布式聚集存儲和處理的應用場景。數據處理中心采用基于再生碼的分布式云架構，系統架構和功能模型如圖1 所示。分布式云存儲審計系統包含3 類實體，即云服務提供商（CSP,cloud service provider）、用戶和第三方審計者（TPA,third party auditor）。CSP 由若干分布式存儲節點組成，這些節點協作運行網絡編碼分布式存儲協議；用戶即云數據服務的訂閱使用者；審計者可以實時對云端外包數據進行完整性檢測，一旦TPA 檢測到云平臺中某個存儲節點出現存儲錯誤，系統將會啟動該存儲節點的數據修復過程。

圖1 基于再生碼的云存儲系統架構和功能模型

為方便后文描述，表1 列舉了本文中常用的參數符號表示。

表1 參數符號表示

用戶U 利用網絡編碼技術對文件數據進行編碼，然后將其分布式地存放在云存儲系統各節點N1,N2,…,Nn～上。不失一般性，接下來描述U 對節點Ns(?s∈[n～])上存儲數據的編碼過程。

圖2給出了用戶將一個由m個數據塊組成的文件經過再生編碼后外包存儲到包含n～個存儲節點的分布式系統的過程。用戶通過任意k個存儲節點就可以完全恢復文件數據。當某個存儲節點發生故障時，系統可以借助任意d（k≤d≤n～ ?1）個正常節點獲取γ=dβ（β≤σ）個數據塊來恢復故障節點中存儲的數據。根據節點恢復后的數據與之前存儲的數據的異同，再生碼修復機制包括功能性修復和精確性修復。根據σ和γ的最優折中曲線，常用的2 種再生編碼是最小存儲再生（MSR,minimum-storage regenerating）碼和最小帶寬再生（MBR,minimum-bandwidthregenerating）碼[2,4]，其對應的(σ,γ)值分別為

實際上，圖2 即為MSR 碼的典型構造過程。

圖2 再生碼存儲系統中用戶文件的編碼和外包存儲過程

由于節點數據修復問題并不會對本文審計機制造成實質性的影響，因此后文中將不再考慮此問題，僅專注討論系統審計過程的安全可靠性。

2.2 安全模型

本文假設CSP 中各存儲節點之間可以安全通信，始終忠實地執行云存儲審計相關協議。各節點之間不存在共謀，每個存儲節點都有充分可靠的安全機制來保護用戶的外包信息數據，但各個節點總是試圖獲取用戶私有密鑰的信息。系統中各節點可能為了節省存儲開銷而刪除用戶極少訪問的部分數據，也可能為了自身商業信譽或利益而向用戶隱瞞因各種原因造成的存儲數據損壞。系統中各存儲節點與TPA 之間的信道是不安全的，因此需要對傳輸中的消息進行保護處理。為了節省計算資源和降低審計開銷，用戶將云存儲數據的審計任務授權委托給TPA。系統中TPA 是一個獨立可靠的實體，可以保證密鑰的安全性和知曉必要的審計元數據，雖無法與CSP 中各存儲節點進行共謀，但有窺探和泄露用戶文件隱私數據的強烈動機和可能性。這些是遠程數據審計中依賴TPA 進行完整性檢查時的合理假設[10]。在系統協議執行期間，CSP、TP 和U 三者之間的交互或響應都能正確合法地執行。

用戶除了對數據進行必要的預編碼操作之外，不對存儲在云端的數據進行靜態預加密操作，其目的是確保CSP 能有效實施大規模數據的實時分析和處理。這對再生編碼存儲數據的外包應用具有非常重要的實用價值。

3 面向再生編碼云存儲的隱私保護審計協議

3.1 隱私保護審計模型

根據系統和安全模型，本文設計的隱私保護審計協議包括Setup 階段和Audit 階段。其中，Setup階段包含2 個子階段KeyGen 和SigUpload，Audit階段包含2 個子階段ChalResp 和VeriProof。

在Setup 運行階段，系統首先利用KeyGen 設置安全密鑰和協議執行參數，然后在SigUpload 運行階段生成用戶編碼數據的審計認證標簽，并將用戶編碼數據及其認證標簽信息統一上傳到分布式云存儲系統中，同時生成（針對敵手TPA 的）隱私加密輔助信息。

TPA 和CSP 在Audit 階段執行“挑戰?應答”模式的審計交互操作。首先，TPA 向CSP 發起審計挑戰（Challenge）；其次，CSP 執行響應操作（Response），實時構造挑戰數據向量（和認證標簽）的聚合消息，并將該消息的即時加密結果（挑戰應答）發送給TPA；最后TPA 可以根據CSP 的應答，執行VeriProof 算法完成審計驗證。

與現有同類方案（例如文獻[10]）相比，本文方案的不同之處在于ChalResp 操作。該操作不僅完成了數據審計操作，而且實現了挑戰信息（針對敵手TPA）的實時隱私保護功能。

3.2 隱私保護審計協議描述

為區分各次審計檢測任務，協議為每一次審計檢測過程設定了唯一的任務標簽wid，該標簽與存儲服務器索引和文件標簽關聯。同時，本文引入2 個偽隨機函數（PRF,pseudo-random function），即F1:KIDZ+→Fq，F2:KW IDZ+→Fq。其中，Z+為正整數集合，K為偽隨機函數的密鑰集，ID 為文件標識符集合，WID 為審計任務的標識符集合。

由于U 對各存儲節點的審計方式相同，因此，本文僅描述U 與CSP 中單個存儲節點Ns(?s∈[n～])的協議交互執行過程。再生編碼云存儲隱私保護審計協議交互過程如圖3 所示，該過程包括Setup 階段和Audit 階段。

圖3 再生編碼云存儲隱私保護審計協議交互過程

3.2.1 Setup 階段

1) KeyGen 子階段

此階段主要完成審計系統相關密鑰生成和服務器端掩碼向量空間的配置工作。

3.2.2 Audit 階段

此階段是TPA 和存儲節點Ns之間的數據審計檢測的交互過程。

在Audit 階段中，式(6)和式(7)的主要作用是實現對響應消息的隱私加密基本功能，阻止了TPA通過收集響應消息解出存儲在Ns上的外包編碼數據，同時確保了TPA 對響應消息的可驗證性。這種方法特有的高效性和有效性是常規的預加密外包存儲技術難以達到的。

4 方案理論分析

4.1 正確性驗證

如果存儲節點正確存儲了待審計文件，它返回的響應消息必然可以通過式(8)的驗證。

定理1如果上述方案能得到正確執行，那么對于用戶存儲在分布式云處理系統中的任意一個文件，TPA 都可以正確地驗證存儲在系統各存儲節點上屬于該文件的編碼數據。

證明根據方案描述，只需要說明TPA 能正確驗證存儲節點Ns上的文件編碼數據即可。根據方案中和認證標簽的生成方法，可得

其中，0m+1表示長為m+1的零向量。

證畢。

實際上，式(9)說明任意一個合法的響應消息向量c總是在向量的正交子空間中，而合法的掩碼向量總是在向量的正交子空間里。這意味著式(8)同時滿足2 種正交關系。這種雙重正交的特性保證了式(9)和數據審計驗證的正確性和合理性。

4.2 安全性證明

所提方案使用隨機掩碼和正交編碼結合的技術實現了適用于再生編碼分布式存儲系統的隱私保護審計方法。根據系統安全模型和方案關鍵技術特征，該方法的安全性取決于用戶私有向量（或）、針對響應消息的隨機加密和審計認證機制三方面的安全性。相應地，這三方面的安全性分別由定理2～定理4 來保證。

定理2對于使用本文審計方案的再生編碼分布式云存儲系統，如果F1是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（CSP），解出用戶私有向量（或）的最大概率僅為q?1。

證明根據式(2)和的線性相關性可知，除了猜測之外，CSP 得到向量的最有利的方法是利用已知信息構造關于向量（含n個未知量）的線性方程組，即

利用定理2 可以很容易地發現文獻[18]中的NC-Audit 方案無法保證審計參數的安全性。這個結論是顯然的。事實上，CSP 完全可以構造類似式(10)的可解方程組。根據NC-Audit 的方案設計，該方程組的未知量個數不會多于關于未知量的方程個數，致使CSP 能以很大的概率解出用戶的隱私密鑰向量，使該方案的審計功能失效[26]。

定理3對于使用本文審計方案的再生編碼分布式云存儲系統，如果F1和F2是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（TPA），協議中的隨機掩碼技術實現了完善的隱私保密性。

根據定理3，對于一次審計來說，只要能保證β（i i= 1,2,…,n+1）的隨機性和保密性，向量集完全可以是公開的，不用對其進行專門的保密設計。根據式(12)，如果CSP 能保證集合中若干（至少一個）向量是保密的，而其他向量是公開的，那么CSP 在每次審計任務中只需要更新任意一個保密向量和所有公開向量的相應掩碼系數即可。這將顯著降低CSP 在協議運行期間的計算開銷。

值得注意的是，定理3 也保證了TPA 無法通過自身擁有的向量r反推關于明文消息向量的有用信息。因為TPA 無法得到的具體值，僅能利用式(8)來推導密文c的信息，顯然是不可能的。

定理4對于使用本文審計方案的再生編碼分布式云存儲系統，如果F1和F2是理想安全的PRF，則對于任意一個具有無限計算能力的敵手（CSP），偽造了一個非法的認證三元組并成功通過審計檢測的概率最高為q?d，其中，d=n+m?ρ+1，ρ≤n+m。

證明對于敵手偽造的認證三元組，可能包含2 種情況。

情況1，即敵手選用某個合法的id，但y′不屬于文件id。

情況2，即敵手選用某個偽造的id′，但y和t是文件id（id ≠ id′）的合法認證數據。

根據方案構造，在外包存儲不同的文件（具有不同的id）時，由于用戶選用了不同的密鑰，則TPA 對這2 個文件的存儲數據進行審計檢測時也相應地需要使用完全獨立的審計向量（即用戶私有向量）。對于敵手來說，上述2 種偽造形式對審計機制的破解難度是相同的。基于此，這里只需證明上述情況1 下審計檢測的安全性即可。

假設對于文件id，正如方案Setup 階段所示，用戶選用的私有審計向量為。如果敵手可以輸出一個非法的認證三元組且能通過審計機制的檢測，則y′和t′必然滿足以下2 個條件

這時，敵手將有能力構造一個關于中n+m+1個元素（ri i∈ [n+m+1]）的線性方程組

令式(15)中方程組系數矩陣的秩為ρ，則其解空間的維數為d=n+m?ρ+1 ≥ 1。此時無論t′取何值，該方程組可能解的個數都為qd。從敵手的視角來看，t′是Fq中按均勻分布選取的隨機值，因而敵手成功猜測到t′的真實值的最大概率為q?d。

證畢。

4.3 擴展功能分析

4.3.1 外包存儲隱私保護

為保證用戶外包數據的隱私性，常見的做法是在數據外包存儲之前用戶對數據實施預加密處理操作，使云服務器無法獲取用戶數據的內容。但在再生編碼存儲環境中，這種做法是影響再生編碼存儲系統性能的關鍵瓶頸。所以，本文沒有討論這種做法。實際上，再生編碼云存儲系統中對外包服務器的隱私保護是很容易實現的。一種最簡單的方法是規定每個文件在每個存儲節點存儲的外包編碼向量的個數少于m。通過合理設置參數和預編碼操作，常用的再生編碼基本上都能滿足這種需求。根據系統和安全模型描述，用戶文件數據向量組成了一個m維的向量空間，并且各個存儲節點之間不能共謀，那么各存儲節點就無法利用自身存儲的編碼向量恢復出用戶的數據向量。已有研究表明，通過靈活運用代數編碼方法，再生編碼存儲系統可以很容易地部署信息理論意義下更實用的弱安全隱私保護機制[27-28]。需要強調的是，針對云服務器的隱私保護機制設計超出了本文的研究范圍，但可以作為提升再生編碼存儲系統數據審計安全性的支撐技術。

4.3.2 存儲更新動態審計

基于再生碼的分布式存儲機制在數據很少被讀取或修改的應用場景（例如長期歸檔、數據托管和監管存儲等）具有最佳的性能優勢[14]。但在實際應用中，用戶可能會主動更新存儲的文件數據（包括插入、修改或刪除等操作）。從原理上說，本文的審計策略也可應用在此種情形。根據前文的系統描述，數據的動態更新（尤其是修改和刪除操作）可能會涉及目標文件和認證元數據的重構，從而會產生文件級規模的傳輸量，這對系統性能造成了一定的負面影響。但是，這個問題是由再生碼本身的編碼特性所決定的，除非引入公鑰密碼技術，單憑私有審計機制本身是無法解決的。因此，本文暫不考慮用戶主動更新外包數據時的動態審計過程。

5 方案性能分析

針對單文件的存儲過程，本節對審計協議中TPA 與CSP（僅考慮單個存儲節點）間的交互過程的計算量、通信量和存儲開銷進行具體分析。在計算開銷方面，本節主要考慮認證元數據（認證標簽和全局編碼向量）生成、在線隱私保護機制和完整性檢測中的乘法計算量；在通信開銷方面，本節主要考慮用戶數據上傳量、審計交互消息傳輸及安全存儲開銷；在存儲開銷方面，本節主要考慮協議運行過程中的實際存儲需求量。

5.1 計算開銷

在系統初始化階段，各種認證參數可以通過離線預計算完成，所以本節忽略該部分的計算開銷。

1) 認證標簽計算

由于每個文件包含m個數據向量，為了計算這m個數據向量的認證標簽，用戶為此需要計算σ(m+n)次乘法運算。

2) 在線隱私保護機制

假設|Δ|=ξ，被審計的存儲節點需要生成挑戰響應消息。首先，它要對ξ個消息向量進行向量聚合，需要進行ξ(n+1)次乘法；然后，存儲節點為了生成，可以最少只需要進行一次向量的標量乘運算。因此，在線加密的乘法計算量是n+ξ(m+n+1)。

3) 完整性檢測

TPA 首先需要恢復ge和計算，乘法計算量分別為mξ和n+m+1。因此，該部分總的計算量是n+m(ξ+1)+1。

5.2 通信開銷

同計算開銷分析，這里只考慮TPA 和CSP 間審計交互過程中的在線通信開銷。

1) 用戶數據上傳

為了存儲單個文件，用戶不僅需要向每個存儲節點上傳存儲數據，同時也要向TPA 上傳全局編碼向量及認證標簽，通信開銷分別為σ(n+m+1)和m(σ+1)+n。

2) 審計挑戰及響應

此過程中，TPA 先向存儲節點發送挑戰消息Chal，然后存儲節點向TPA 發送響應消息Resp。此階段總通信開銷為n+3ξ+1。

5.3 存儲開銷

與同類方案NC-Audit 類似，每個用戶文件在各存儲節點上需要的存儲空間為O(σn)，與其相對應的認證標簽產生的存儲開銷僅為O(σ)。TPA 付出的存儲開銷為O(m)，因為它需要存儲所有存儲節點的編碼系數。由于n?m，可知編碼系數的存儲空間量級遠小于外包數據的存儲量級，完全可以忽略。實際上，在系統實現時，編碼系數向量的存儲開銷完全可以保持在160 B 以內[14]。

5.4 性能比較與實驗分析

表2 將本文方案與文獻[10,11,17-19]方案在功能特征、計算復雜度和通信開銷等方面進行了綜合比較。結合各方案的技術實現特征，本文得出以下的性能比較結論。

表2 本文方案與代表性方案性能比較

1) 文獻[10,17]方案使用公鑰簽名和雙線性對技術，計算和通信開銷都明顯高于其他方案。但在基于公鑰的審計機制中，用戶和TPA 僅需要存儲必要的私鑰和少量的認證元數據，不需要保留過多的預編碼信息，與私有審計機制相比，用戶和TPA 的存儲開銷相對較少。

2) 在文獻[11]方案中，CSP 需要根據TPA 的挑戰指令對存儲的數據向量進行對應的采樣計算，計算復雜度為O(ξσ)；CSP 把數據文件的所有編碼向量的密文發送給TPA，產生額外通信開銷O(mσ)；TPA 還需要對這些密文進行解密，解密復雜度也為O(mσ)。總體來看，文獻[11]方案在TPA 端的處理復雜度比本文方案和NC-Audit 都要大，但CSP 端的計算復雜度要低很多。

3) 雖然文獻[18]方案與本文方案具有相同的計算和通信開銷量級，但文獻[18]方案在認證簽名時額外需要在每個外包向量中填充一定量的隨機字符，這使其在存儲和通信帶寬資源利用上略遜于本文方案。

4) 在文獻[19]方案中，CSP 端的開銷較小，但由于在數據認證簽名階段需要進行大量的向量?矩陣乘法計算，且在用戶審計檢測時涉及LDPC 譯碼糾錯操作，因而總體復雜度要比本文方案高。

5) 在外包數據認證標簽生成階段，現有方案普遍采用“先編碼后簽名”的模式。與此不同，本文方案采用了“先簽名后編碼”的方式，從而大幅降低了用戶端的乘法計算開銷，代價僅為現有同類方案的m/M。

綜合而言，本文方案的計算復雜度和通信開銷具有較好的比較優勢，在理論分析上具有更好的系統實現效率，因而對再生碼技術性能優勢的負面影響也最小。為了比較方案執行性能，本文選取文獻[17]中的公開審計方案，以及文獻[11,18-19]中的私有審計方案，在相同安全強度（80 bit）下，與本文方案進行計算性能的測試比較。實驗使用了4 臺配置為Intel(R) Core(TM) i5-2520M CPU@ 2.50 GHz（6 GB RAM）的64 bit 同型主機，其中一臺為控制節點，用以測試TPA（或用戶端）的計算性能，另外3 臺組成并行處理集群實現CSP 端的計算功能。實驗系統環境為Debian 10，利用Mpich2、Torque+Maui實現集群并行計算和任務調度功能。實驗過程僅統計數據審計過程中的在線計算量。各方案中使用的偽隨機函數PRF 均采用AES 的CTR 模式來實現。同時，設定q=2160，n=212（即消息向量大小為4 KB），m=400，σ=500。實驗中將文獻[19]方案中編碼向量的分塊個數設為200。

根據方案描述可知，本文方案與文獻[18]方案的計算開銷主要來自向量乘法，文獻[11]方案的主要操作包括對稱加解密操作和向量乘法計算，而文獻[19]方案的運行耗時來自矩陣乘法和糾錯譯碼操作。在不考慮通信時延的情形下，表3 給出了ξ取250 和350 時4 種方案經過1 000 次審計運行時間開銷的均值（包括CSP 平均響應時間和TPA 審計驗證時間）。由于需要進行雙線性對運算和處理大量的乘冪運算，文獻[17]方案付出的時間開銷較大，明顯高于其他方案。在TPA 端，文獻[11]方案的運行效率較低，文獻[19]方案運行稍快，但性能不及文獻[18]方案和本文方案。在CSP 端，本文方案比文獻[11]方案稍慢，但具有比文獻[18-19]方案更好的性能優勢，并沒有因安全審計功能的完善而影響審計運算效率。

表3 TPA 和CSP 審計平均運行時間開銷比較

為了驗證用戶端安全編碼處理效率，表4 給出本文方案與文獻[17-19]方案中數據外包單輪安全編碼操作的時間開銷比較（忽略了對數據進行再生編碼的時間開銷）。由于文獻[19]方案需要代數預加密操作，文獻[17]方案需要大量的公鑰簽名計算，因此這些方案需要更多的計算處理開銷。從表4 可以看出，本文方案可以大幅降低用戶端的計算開銷，在實現性能方面具有輕量型的特征。

表4 用戶端計算時間開銷比較

6 結束語

外包數據的隱私保護安全審計是基于再生碼的分布式云存儲系統應用中的關鍵問題之一。雖然使用公鑰密碼技術能很容易地實現明文的實時隱私保護，但需要付出較大的在線計算開銷。本文通過深入挖掘再生碼存儲系統線性編碼存儲特性，將線性隨機掩碼技術和代數正交驗證技術進行有效融合，提出了一種適用于再生編碼分布式存儲系統的隱私保護審計方案。該方案可以實現輕量型的安全性認證，在計算資源受限的環境下具有一定的實用價值。從系統和安全模型來看，該方案不僅適用于基于編碼的云存儲系統，而且可以推廣到一般性的云存儲場景。

雖然再生編碼分布式存儲技術在大數據靜態存儲修復方面具有優異的性能，但在某些大數據應用場景下，用戶可能仍會對系統存儲的文件數據執行一些動態更新操作。由于用戶本身不可能去備份所有數據，更新數據可能會涉及相關數據的解碼和析取操作，隨之產生較大的通信開銷。因此，如何在審計過程中最大限度地降低數據更新處理開銷仍是該領域中尚未解決的挑戰性問題。為此，未來的工作是將代數正交編碼審計思想與公鑰密碼技術進行深度結合，設計能高效地適應動態存儲場景的輕量型審計機制。