[发明专利]一种基于格签名的多副本云数据完整性审计方法

权利要求书

1.一种基于格签名的多副本云数据完整性审计方法，其特征在于，包括以下步骤：

S1.设置阶段：用于设置一些系统参数，包括一些矩阵及其短陷门基，以及一些哈希函数；具体的，给定一个常数c，输入一个安全参数n，取m∈Z_q满足m＞c·nlog q且q≥σω(logn)，其中q是一个大素数，σ＝poly(n)；然后计算高斯参数其中表示的素因子个数；包括以下步骤：

S11.给定一个安全参数n，密钥生成机构运行陷门基生成算法TrapGen(n，m，q)，算法生成一个矩阵及格的短陷门基T_A；

S12.云服务器运行陷门基生成算法TrapGen(n，m，q)算法生成一个矩阵及格的短陷门基T_B；

S13.密钥生成机构选择两个哈希函数：H₁：H₂：和一个伪随机函数ψ：

S14.最后，密钥生成机构设置params＝{n，m，q，g，A，B，H₁，H₂，ψ}为公共参数，并设置主密钥msk＝T_A；

S2.提取密钥阶段：密钥生成机构会根据用户的ID生成用户的部分密钥；具体包括：给定用户ID，密钥生成机构运行格基抽样算法SampleBasis(A，T_S，g，H₁(ID))，生成矩阵作为部分密钥发送给用户；

S3.在密钥生成阶段，用户生成整个方案的公钥和私钥；具体包括：在收到部分密钥M₁后，用户随机选取矩阵M₂满足||M₂||≤b，b为一个正整数，并设置私钥sk＝(M₁，M₂)，公钥pk＝A×M₂；

S4.副本生成阶段：用户根据原文件生成多个副本文件；具体包括：

S41.用户将原文件F分为l块，每一个文件块用一个向量表示，记为f₁，f₂，…，f_l，并选择fname∈{0，1}^*作为文件F的标识；针对文件F，用户生成c个副本{F₁，F₂，…，F_j}；

S42.用户随机选取一个向量

S43.接着，对每一个文件块向量f_i，i＝1，…，l，取j＝1，…，c，用户计算b_i，j＝f_i+ψ_τ((fname||i||j)mod q；其中b_i，j指第j个副本文件中第i个文件块的向量表示；

S44.对于每个副本文件F_j＝(b_1，j，…，b_l，j)，j＝1，…，c，用户可以通过计算f_i＝b_i，j-ψ_τ(fname||i||j)来恢复原文件；

S45.用户将{F₁，…，F_j}上传到云服务器，并将随机数种子τ设为私有；τ必须对云服务器保密；

S5.标签生成阶段：用户根据源文件生成文件的标签；具体包括：

S51.用户执行标签生成算法以获得文件F中文件块的标签集合Φ＝{σ₁，σ₂，…，σ_l}，其中标签σ_i对应文件块f_i的标签；

S52.用户取r∈Z_q，将{Φ，r，IDS(r||fname)}存放到云服务器，其中IDS(r||fname)是在r||fname上基于身份的签名；

S6.挑战阶段：第三方审计者会根据用户的请求生成挑战发送给云服务器；在这一阶段，用户首先向第三方审计者发送审计请求和文件标识fname、随机数种子τ；收到审计请求后，第三方审计者随机选取{1，…，l}的子集I；对每个i∈I，第三方审计者随机选取v_i∈Z_q；将挑战信息设为chal＝({i，v_i})；最后，第三方审计者向云服务器发送挑战信息；

S7.证明生成阶段：云服务器根据第三方审计者发送的挑战生成关于副本文件的证明，并将证明返回给第三方审计者；具体包括：

S71.在收到挑战之后，云服务器计算：

S72.接着云服务器随机选取向量w必须满足||w||≤β；

S73.云服务器计算C＝Bw mod q，并计算γ＝H₂(C)；然后计算μ＝w+γμ′modq，将证明设为proof＝(r，IDS(r||fname)，μ，σ，C)并将证明返回给第三方审计者；

S8.证明验证阶段：第三方审计者验证云服务器发送的证明以确认所有副本文件是否完好无损；收到证明后，第三方审计者首先计算IDS(r||fname)验证证明中的签名IDS(r||fname)的有效性；若无效，则向用户返回0，表示文件不完整；若有效，则第三方审计者计算γ＝H₂(C)并验证以下等式是否成立：

若等式成立，证明存储在云服务器上的所有副本文件都是完整的；否则，说明某些副本中的数据已损坏。