具有緊湊標簽的基于身份匿名云審計方案

盧晨昕，陳兵，丁寧，陳立全，吳戈

具有緊湊標簽的基于身份匿名云審計方案

盧晨昕1，陳兵2，丁寧2，陳立全1，吳戈1

（1. 東南大學網絡空間安全學院，江蘇 無錫 214081；2. 宿遷市互聯網信息辦公室，江蘇 宿遷 223834；

云存儲技術具有效率高、可擴展性強等優點。用戶可以借助云存儲技術節省本地的存儲開銷，并與他人共享數據。然而，數據存儲到云服務器后，用戶失去對數據的物理控制，需要有相應的機制保證云中數據的完整性。數據擁有證明（PDP，provable data possession）機制允許用戶或用戶委托的第三方審計員（TPA，third party auditor）對數據完整性進行驗證。但在實際應用中，數據通常由多個用戶共同維護，用戶在進行完整性驗證請求的同時泄露了自己的身份。匿名云審計支持TPA在完成數據完整性驗證時保證用戶的匿名性。在基于身份體制下，匿名云審計方案通常需要借助基于身份的環簽名或群簽名技術實現，數據標簽的構成元素與用戶數量相關，使得數據標簽不夠緊湊，存儲效率較低。為了解決這一問題，提出一種基于身份的匿名云審計方案通用構造，使用一個傳統體制下的簽名方案和一個傳統體制下的匿名云審計方案即可構造一個基于身份的匿名云審計方案?；谠撏ㄓ脴嬙?，使用BLS簽名和一個傳統體制下具有緊湊標簽的匿名云審計方案設計了具有緊湊標簽的基于身份匿名云審計方案。該方案主要優勢在于數據標簽短，能夠減少云服務器的存儲壓力，提高存儲效率。此外，證明了該方案的不可欺騙性和匿名性。

云審計；隱私保護；匿名；基于身份體制；緊湊標簽

0 引言

隨著大數據時代的來臨，網絡中的數據呈爆發式增長，數據呈多元化趨勢，數據存儲安全變得尤為重要。云存儲作為現代存儲的一種典型方式，具有高效率、可擴展性、靈活性等優勢，云用戶可以隨時隨地訪問云中各類共享資源[1]。因此，個人、企業、政府機構等開始將數據上傳至云服務器中以降低本地存儲成本和管理成本[2]。然而，數據從本地存儲變為云存儲，使個人或機構失去了對數據的物理控制。此外，存儲在云服務器中的數據可能會因為斷電、設備損壞等物理原因或人為惡意操作遭受破壞，云服務提供商（CSP，cloud service provider）并非完全可信，如何驗證云中數據完整性成關鍵問題[3]。

為了解決這個問題，Deswarte等[4]提出了遠程數據完整性檢驗（RDIC，remote data integrity checking）這一概念。遠程數據完整性檢驗主要包含3個實體：用戶、云服務器以及第三方審計員（TPA，third party auditor）。在公開可驗證的RDIC協議中，用戶可以委托信任的第三方審計員對云服務器發起挑戰，通過服務器對挑戰的應答來驗證上傳至服務器中的數據是否被篡改等。Ateniese等[5]提出了數據擁有證明機制（PDP，provable data possession）以驗證數據完整性。在該方案中，云服務器中的每個數據塊都附加一個標簽。當檢驗云中數據完整性時，驗證者隨機選擇一組數據塊對服務器發起挑戰。若服務器的響應通過驗證，則證明數據被安全正確地存儲在云服務器中。該方案避免了驗證者下載數據塊再進行驗證的煩瑣操作。在實際應用中，云中數據通常由組內成員共享，且在某些場合下要求驗證過程中為組內成員提供匿名性。

2012年，Wang等[6]提出了共享數據的隱私保護云審計。在該方案中，TPA生成的挑戰包含組內所有用戶的公鑰，能夠在審計過程中保證用戶的匿名性。在此之后，許多隱私保護云審計方案被提出，如文獻[7-8]等，但大多采用了環簽名[9-10]或群簽名[11-12]技術實現匿名性。這種做法生成的標簽大小顯著增加，存儲效率不高。

為了改進這一局限性，Wu等[13]提出了多用戶環境下的匿名云審計方案。在該方案中，不采用環簽名或群簽名技術，消息的驗證標簽僅包含一個元素，在實現用戶匿名性的同時降低了標簽的存儲成本以及審計過程中的傳輸和驗證成本。然而，該方案為傳統體制下的云審計方案，密鑰管理較為復雜?；谏矸莸拿艽a體制以用戶身份作為公鑰，無須證書機構CA授權，減少了證書管理。在基于身份體制下實現匿名云審計，類似于傳統體制，可以借助基于身份的環簽名或群簽名技術實現基于身份體制下的匿名審計。但這種方案產生的標簽同樣不緊湊，存儲效率不高，增加了審計過程中的傳輸成本和驗證成本。

在電子匿名投票系統中，用戶將自己的投票結果提交至云服務器。為了保證投票結果是真實有效的，云存儲中的數據應不可被篡改偽造，即應保證云中數據完整性。為了保證選舉的公平，應對投票人進行匿名化操作。在選票數量較大時，為了減少存儲空間，用戶生成的標簽應較為緊湊，且投票結果往往具有時效性，這就要求方案有較高的審計效率。此外，普通用戶部署公鑰基礎設施（PKI，public key infrastructure）成本較高，更適合采用基于身份的密碼體制。因此，基于身份體制下，標簽短且審計效率高的匿名云審計方案有很大的應用場景。目前，對于這一方面的研究較少，相關工作如下。

Shacham和Waters[14]提出了基于線性同態驗證器（LHA，linear homomorphic authenticator）的云審計方案。該方案基于PKI證書的生成、管理以及吊銷等，過程較為復雜，且計算成本較高。1984年，Shamir[15]提出了基于身份的密碼體制，使用用戶的身份標識（如姓名、IP地址、電子郵件地址等）作為公鑰，解決了用戶的公鑰與身份進行綁定的問題。近年來，許多基于身份的云審計方案被提出。Yu等[16]提出了基于身份的遠程數據完整性檢驗方案，該方案使用同態加密技術，降低了公鑰管理的復雜性。Rabaninejad等[3]提出了基于身份的在線/離線云審計方案。該方案將用戶的計算分為兩個階段：在線階段和離線階段。用戶在離線階段完成復雜的計算，在線階段僅需完成輕量級的操作，提高了運行效率。Zhang等[17]提出了支持用戶高效撤銷的云審計方案。Shen等[18]提出了隱藏用戶敏感信息的條件下實現用戶數據共享的云審計方案。

目前，尚未有一種基于身份體制下的匿名云審計方案的通用構造，大多數的文獻是針對具體的應用場景或安全需求提出的方案。2004年，Bellare等[19]提出了將傳統體制下的簽名方案轉換為基于身份的簽名方案的方法。2006年，Galindo等[20]對該方法進行了拓展，提出了具有附加屬性的基于身份的簽名方案的通用構造，包括基于身份的盲簽名方案、代理重簽名方案等。這些方案都是由傳統體制下的簽名和具有附加屬性的簽名方案構造而成。受Bellare等及Galindo等通用構造的啟發，本文研究借助傳統體制下的云審計方案構造基于身份體制下的云審計方案。

本文提出了一種基于身份體制下的匿名云審計方案的通用構造，并給出了安全性證明?；谠撏ㄓ脴嬙?，以BLS簽名[21]和具有緊湊標簽的匿名云審計方案[13]為組件，設計了具有緊湊標簽的基于身份的匿名云審計方案。該方案實現了云服務器對于TPA的不可欺騙性和信息論安全的用戶匿名性，且標簽緊湊，標簽大小與用戶的數量無關。

1 預備知識

1.1 系統模型

基于身份的匿名云審計方案包含4個實體，系統模型如圖1所示。

1) 私鑰生成中心（PKG）：PKG產生主密鑰以及基于用戶身份的密鑰。

2) 云服務器（CS）：云服務器中包含用戶上傳的索引?數據?標簽元組，可以應對來自TPA的挑戰。

3) 用戶組：用戶組中的每個用戶都可以使用基于其身份的密鑰計算上傳的數據標簽，然后將索引?數據?標簽元組上傳至云服務器中。

4) 第三方審計員：TPA在接收到某一組用戶對存儲在云服務器中的數據檢驗請求后，向云服務器發出挑戰來執行審計過程，檢驗用戶數據的有效性，并將檢驗結果告知用戶。

圖1 系統模型

Figure 1 System model

1.2 雙線性映射

2 方案定義

2.1 標準簽名方案

定義1 標準簽名方案由4個算法組成，分別為初始化算法Setup，密鑰生成算法KeyGen，簽名算法Sign以及驗證算法Verify。算法具體描述如下。

定義2 （不可偽造性）。標準簽名方案的不可偽造性由敵手A和挑戰者C之間的游戲定義，它包含3個階段，分別為初始化階段、簽名詢問階段以及偽造階段，具體描述如下。

1) 初始化

2) 簽名詢問

3) 偽造

2.2 匿名云審計方案

定義3 匿名云審計方案由6個算法組成，分別為初始化算法Setup、密鑰生成算法KeyGen、標簽生成算法TagGen、挑戰算法Challenge、應答算法Respond、驗證算法Verify。算法具體描述如下。

定義4 （不可欺騙性）。匿名云審計方案的不可欺騙性由敵手A和挑戰者C之間的游戲定義, 它包含4個階段，分別為初始化階段、標簽詢問階段、挑戰階段和應答階段，具體描述如下。

1) 初始化

2) 標簽詢問

3) 挑戰

A選擇消息塊索引集，中至少包含一個之前沒有被查詢過簽名預言的索引。A將發送給C，C 運行Challenge算法，生成挑戰chal返回給A。

4) 應答

A輸出應答res。如果res通過驗證并且中至少包含一個沒有詢問過標簽的索引, 則A贏得游戲。A在上述游戲中的優勢定義為

定義5 （匿名性）。匿名云審計方案的匿名性由敵手A和挑戰者C之間的游戲定義，它包含4個階段，分別為初始化階段、挑戰階段、應答階段以及猜測階段，具體描述如下。

1) 初始化

2) 挑戰

3) 應答

4) 猜測

2.3 基于身份的匿名云審計方案

定義6 基于身份的匿名云審計方案由6個算法組成，分別為初始化算法Setup、密鑰提取算法KeyExt、標簽生成算法TagGen、挑戰算法 Challenge、應答算法Respond、驗證算法Verify。算法具體描述如下。

定義7 （不可欺騙性）?；谏矸莸哪涿茖徲嫹桨赣蓴呈諥和挑戰者C之間的游戲定義。敵手A模仿云服務器的不誠實行為，即在數據沒有安全正確存儲在服務器上時，云服務器欺騙TPA數據仍被安全存儲。游戲包含5個階段，分別為初始化階段、密鑰詢問階段、標簽詢問階段、挑戰階段以及應答階段，具體描述如下。

1) 初始化

2) 密鑰詢問

3) 標簽詢問

4) 挑戰

A選擇任意消息索引塊，其中至少包含一個之前沒有被詢問過的標簽。C運行Challenge算法生成挑戰chal，并將chal返回A。

5) 應答

A輸出應答res。如果A輸出的res通過驗證且中至少包含一個沒有詢問過標簽的索引，則敵手A贏得游戲。A贏得游戲的優勢定義為：

定義8 （匿名性）。除了要保證用戶上傳的信息被安全存儲在云服務器外，安全的基于身份的匿名云審計方案還要保證TPA無法得知用戶的身份。在審計過程中，不誠實的TPA可能會試圖區分用戶的身份?；谏矸莸哪涿茖徲嫹桨傅哪涿杂蓴呈諥和挑戰者C之間的游戲定義?？紤]敵手A擁有無限的計算能力，如果它在以下游戲中贏得游戲的優勢為零，則該方案具有信息論安全的匿名性。游戲包含4個階段，分別為初始化階段、挑戰階段、應答階段以及猜測階段，具體描述如下：

1) 初始化

2) 挑戰

3) 應答

4) 猜測

3 基于身份的匿名云審計通用構造

3.1 通用構造

圖2 通用構造

Figure 2 General construction

3.3 正確性定義

3.2 安全性分析

1) 初始化

2) 密鑰詢問

3) 標簽詢問

4) 挑戰

5) 偽造

AIBA輸出偽造的應答res。

1) 初始化

2) 挑戰

3) 應答

4) 猜測

4 基于身份的匿名云審計具體實例

BLS（boneh-lynn-shacham）簽名算法是一種可以實現簽名聚合和密鑰聚合的算法。使用BLS簽名算法構造多用戶匿名云審計方案，能夠降低計算開銷和通信開銷。此外，Wu等[13]提出的匿名云審計方案標簽緊湊，僅包含一個元素，能夠降低標簽的存儲成本，也能使審計效率和驗證效率大大提高。因此，具體實例以這兩個方案為模塊，構造具有緊湊標簽的基于身份的匿名云審計方案。

4.1 標準簽名方案構造

證明 詳見參考文獻[21]。

4.2 匿名云審計方案

b) 計算

若成立，輸出1，否則輸出0。

引理1 （不可欺騙性）。如果有一個在時間內運行的敵手，最多詢問個哈希預言，并且可以自適應地詢問簽名預言，則它在對某個挑戰輸出一個有效的應答方面具有優勢，那么，有一個在多項式時間運行的仿真算法通過與敵手的交互解決vBDH問題的優勢至少為。

證明 詳見參考文獻[13]。

引理2 （匿名性）。匿名多用戶云審計方案達到信息論上的匿名性。

證明 詳見參考文獻[13]。

4.3 參照通用構造的基于身份匿名云審計實例方案

4.3.1 方案構造

b) TPA檢查下式是否成立。

之后，按照以下步驟生成證明。

則驗證成功，TPA認為用戶上傳至云服務器中數據的完整性得到保證。

4.3.2 正確性分析

云服務器在接收到挑戰chal后，通過

驗證秘密值的正確性。之后，計算

其中，

TPA計算如下：

因此，有：

4.3.3 安全性分析

表2 性能比較

5 討論

本節從標簽大小、挑戰計算開銷、應答計算開銷以及驗證計算開銷4個方面，對本文提出的基于身份的匿名云審計方案IBA和傳統體制下的匿名云審計方案[13]、基于身份體制下采用環簽名的云審計方案[22]進行比較。表1列出了比較中所使用的各個符號定義。表2列出了3個方案的在以上4個方面的性能比較。

表1 符號定義

從表2可以看出，與文獻[13]方案相比，本文提出的基于身份的匿名云審計方案僅在標簽大小和挑戰計算開銷上有所增加，在應答計算開銷和驗證計算開銷上與文獻[13]方案保持一致。與文獻[22]方案相比，本文方案在標簽大小上顯著減少，在驗證計算開銷方面，效率也高于文獻[22]方案。

6 結束語

本文提出了一種基于身份的匿名云審計方案的通用構造，并使用具體的簽名方案和匿名云審計方案實現了這一構造。在該方案中，用戶可以將文件上傳至云服務器，與組中其他用戶共享。用戶可以委托TPA檢驗存儲的數據是否被篡改或刪除，確保上傳數據的完整性。由于采用的匿名云審計方案具有緊湊標簽這一優勢，該方案產生的標簽也是緊湊的，大大降低了存儲成本。此外，該方案證明了在TPA不誠實的情況下，無法辨認出上傳文件是組中的哪一個用戶，保證了用戶的匿名性。綜上，該方案具有理想的安全性。

[1] BHAJANTRI L B, MUJAWAR T.A survey of cloud computing security challenges, issues and their countermeasures[C]// 2019 Third International Conference on I-SMAC (IoT in Social, Mobile, Analytics and Cloud). 2019: 376-380.

[2] GUDEME J R, PASUPULETI S, KANDUKURI R. Certificateless privacy preserving public auditing for dynamic shared data with group user revocation in cloud storage[J]. Journal of Parallel and Distributed Computing, 2021, (156): 163-175.

[3] RABANINEJAD R, RAJABZADEH ASAAR M, AHMADIAN ATTARI M, et al. An identity-based online/offline secure cloud storage auditing scheme[J]. Cluster Computing: The Journal of Networks, Software Tools and Applications, 2020, 23(2): 55-68.

[4] DESWARTE Y, QUISQUATER J J, SA?DANE A. Remote integrity checking[C]//Integrity and Internal Control in Information Systems VI-IICIS 2003. 2003: 1-11.

[5] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//14th ACM Conference: Computer & Communications Security. 2007: 598-609.

[6] BOYANG W, BAOCHUN L, HUI L. Oruta: privacy-preserving public auditing for shared data in the cloud[J]. IEEE Transactions on Cloud Computing, 2014, 2(1): 43-56.

[7] FENG Y, MU Y, YANG G, et al. A new public remote integrity checking scheme with user privacy[C]//20th Australasian Conference on Information Security and Privacy (ACISP 2015). 2015: 377-394.

[8] BOYANG W, HUI L, MING L. Privacy-preserving public auditing for shared cloud data supporting group dynamics[C]//2013 IEEE International Conference on Communications-ICC. 2013: 1946-1950.

[9] BONEH D, GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear Maps[C]//Advances in Cryptology—EUROCRYPT 2003. 2003: 416-432.

[10] RIVEST R L, SHAMIR A, TAUMAN Y. How to leak a secret[C]// Advances in Cryptology— ASIACRYPT 2001. 2001: 552-565.

[11] FERRARA A L, GREEN M, HOHENBERGER S, et al. Practical short signature batch verification[C]// Topics in Cryptology–CT-RSA 2009. 2009: 309-324.

[12] BONEH D, BOYEN X, SHACHAM H.Short group signatures[C]// Advances in Cryptology–CRYPTO 2004. 2004: 41-55.

[13] WU G, MU Y, SUSILO W, et al. Privacy-preserving cloud auditing with multiple uploaders[C]// Information Security Practice and Experience-ISPEC 2016. 2016: 224-237.

[14] SHACHAM H, WATERS B. Compact proofs of retrievability[J]. Journal of Cryptology, 2013, 26(3): 442-83.

[15] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Advances in Cryptology—CRYPTO 1984. 1984: 47-53.

[16] YU Y, AU M H, ATENIESE G, et al.Identity-based remote data integrity checking with perfect data privacy preserving for cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(4): 767-78.

[17] ZHANG Y, YU J, HAO R, et al. Enabling efficient user revocation in identity-based cloud storage auditing for shared big data[J]. IEEE Transactions on Dependable and Secure Computing, 2020, 17(3): 608-619.

[18] WENTING S, JING Q, JIA Y, et al. Enabling identity-based integrity auditing and data sharing with sensitive information hiding for secure cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2019, 14(2): 331-46.

[19] BELLARE M, NAMPREMPRE C, NEVEN G.Security proofs for identity-based identification and signature schemes[J].Journal of Cryptology, 2009, 22(1): 1-61.

[20] GALINDO D, HERRANZ J, KILTZ E. On the generic construction of identity-based signatures with additional properties[C]//Advances in Cryptology–ASIACRYPT 2006. 2006: 178-193.

[21] BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing[J]. Pairings and Their Use in Cryptology, 2004, 17(4): 297-319.

[22] SINGH S, THOKCHOM S. Public integrity auditing for shared dynamic cloud data[C]//6th International Conference on Smart Computing and Communications (ICSCC) 2018: 698-708.

Identity-based anonymous cloud auditing scheme with compact tags

LU Chenxin1, CHEN Bing2, DING Ning2, CHEN Liquan1, WU Ge1

1. School of Cyber Science and Engineering, Southeast University, Wuxi214081, China 2. Cyberspace Administration of Suqian City, Suqian 223834, China

Cloud storage has the advantages of high efficiency and scalability. Users can save local storage cost and share data with others through cloud storage technology. However, when data is uploaded to cloud servers, its owner also loses the physical control, and hence there needs a corresponding mechanism to ensure the integrity of data stored in the cloud. The Provable Data Possession (PDP) mechanism allows users or a Third-Party Auditor (TPA) appointed by the user to verify data integrity. In practice, data is usually maintained by multiple users. Users may reveal their identities while making an integrity verification request in traditional auditing processes. Anonymous cloud auditing ensures anonymity of users against the TPA during auditing. Currently, in identity-based systems, anonymous cloud auditing schemes usually resort to identity-based ring signature or group signature schemes. As a result, the size of a tag is related to the number of users, which makes it not compact and causes high storage cost. In order to solve this issue, a general construction of identity-based anonymous cloud auditing scheme was proposed. With a signature scheme and an anonymous cloud auditing scheme, a concrete identity-based anonymous cloud auditing scheme based on the general construction was proposed. It combined theBLS signature and an anonymous cloud auditing scheme with compact tags. The main advantage of this solution is that the tags are compact, which can significantly reduce storage cost and improve storage efficiency. Furthermore, the uncheatability and anonymity of the scheme are proved.

cloud auditing, privacy protection, anonymous, identity-based system, compact tags

TP393

A

10.11959/j.issn.2096?109x.2022087

2022?03?29；

2022?06?28

吳戈，gewu@seu.edu.cn

國家重點研發計劃（2020YFE0200600）；國家自然科學基金（62002058）；江蘇省自然科學基金（BK20200391）；中央高?；究蒲袠I務費專項資金（2242021R40011）；宿遷市網信領域研究課題

TheNational Key R&D Program of China (2020YFE0200600), The National Natural Science Foundation of China (62002058), Natural Science Foundation of Jiangsu Province (BK20200391), Fundamental Research Funds for the Central Universities (2242021R40011), Research Topic in the Network Communicaiton Field in Suqian

盧晨昕, 陳兵, 丁寧, 等. 具有緊湊標簽的基于身份匿名云審計方案[J]. 網絡與信息安全學報, 2022, 8(6): 156-168.

LU C X, CHEN B, DING N, et al. Identity-based anonymous cloud auditing scheme with compact tags[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 156-168.

盧晨昕（1998?），女，福建寧德人，東南大學碩士生，主要研究方向為密碼學。

陳兵（1970?），男，江蘇泗陽人，宿遷市互聯網信息辦公室副主任，主要研究方向為網絡安全、可信體系建設。

丁寧（1990?），女，江蘇宿遷人，主要研究方向為網絡安全、可信體系建設。

陳立全（1976?），男，廣西玉林人，東南大學教授、博士生導師，主要研究方向為信息安全、密碼學和網絡安全協議。

吳戈（1990?），男，江蘇徐州人，東南大學副研究員，主要研究方向為密碼學。