[发明专利]基于身份的可代理上传数据的云存储高效审计方法

说明书

本发明公开了一种基于身份的可代理上传数据的云存储高效审计方法，包括：初始化步骤，代理签名者私钥产生步骤，数据代理签名产生并上传步骤，审计证明产生与验证步骤。本发明的审计方法有助于数据拥有者授权给代理签名者产生数据的代理签名并上传到云服务器，有助于可信的审计者对云存储数据进行完整性审计；将数据文件压缩成同态消息认证码，利用椭圆曲线签名算法对数据块的消息认证码进行数字签名，并将数据文件进行轻量级流密码加密，最后将签名集合和密文一起存放在云服务器，这样既保证了数据文件的机密性，又有效解决了远程云存储数据完整性验证问题。

技术领域

本发明涉及网络空间安全技术领域，特别是涉及一种基于身份的可代理上传数据的云存储高效审计方法。

背景技术

随着云计算、物联网技术的飞速发展，海量的大数据将存储在远程的云服务器中，在这种开发的网络环境中如何保证信息源发出的信息是完整且没有被篡改，如何确保存储在云服务器上的数据的完整性，这些都是近年来人们所关注的信息安全焦点问题。相关的密码技术、数字签名技术、数字签名和安全审计可以有效解决这些信息安全问题，它们对在整个信息领内建立完整的安全机制起着至关重要的作用，在当今信息数字化的社会中显得尤为重要。

在一些特殊的环境中，数据拥有者由于出差不便或者访问云服务器的权限受限，如数据拥有者可能被质疑具有商业欺诈行为或因为存在的经济纠纷而被投诉后需要配合调查，为了减少不必要的经济损失和名誉损害以及防止合谋欺骗的可能，数据拥有者被暂时取消处理企业的相关数据文件的权利，但是企业每天都产生海量的数据文件且需要人及时处理，为了减轻企业二次遭到损失，可以指定一个可信任的代理者及时接手数据拥有者的工作来处理企业的数据。

代理签名因其特殊功能将会广泛用于移动通信、网格计算以及移动代理等实际场景。支持数据代理签名及上传的云存储审计系统能够保证用户存在远程服务器中的数据文件的完整性，其不仅能减轻企业或用户的工作量，而且能验证存储在远程云服务器上的数据文件是否被篡改。目前已经出现很多具有数据完整性验证功能的云存储数据安全审计方案，而真正具有支持数据代理上传的云存储数据安全审计方案还非常少，目前仅有一种具有这种功能的构造方案，但是该方案直接将数据拥有者的原始数据存储在云服务器，不能确保数据的机密性，而且该方案基于双线性对构造，计算开销非常大。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于身份的可代理上传数据的云存储高效审计方法，数据拥有者授权给代理签名者产生数据的代理签名并上传到云服务器，可信审计者对云存储数据进行完整性审计。

本发明的目的是通过以下技术方案来实现的：基于身份的可代理上传数据的云存储高效审计方法，包括：

初始化步骤：设置基于椭圆曲线的数字签名算法的参数、哈希函数、对称加密算法、伪随机函数和伪随机数发生器；

代理签名者私钥产生步骤：原始签名者利用授权委托书、代理签名者的身份以及哈希函数生成代理签名授权凭证，并将代理签名授权凭证发送给代理签名者；代理签名者验证代理签名授权凭证的合法性与唯一性，若验证通过，则代理签名者接受代理、并根据授权委托书产生代理签名者私钥，若验证未通过，则代理签名者拒绝代理；

数据代理签名产生并上传步骤：代理签名者根据伪随机函数和伪随机数发生器计算数据文件的同态消息认证码，并利用代理签名者私钥和椭圆曲线上基于身份的线性同态代理签名算法产生同态消息认证码的签名，并利用对称加密算法将数据文件进行加密；代理签名者将同态消息认证码的签名和加密后的数据文件发送到云服务器；

审计证明产生与验证步骤：可信审计者产生审计挑战信息给云服务器；云服务器根据审计挑战信息计算审计证明响应信息，并将审计证明响应信息发送给可信审计者；可信审计者利用对称加密算法的对称密钥按照椭圆曲线上基于身份的线性同态代理签名算法的验证步骤来验证审计证明响应信息的有效性。

优选的，所述初始化步骤包括：