[发明专利]一种云存储公开审计方法

权利要求书

1.一种云存储公开审计方法，其特征在于，该云存储的公开审计方法为基于格，包括：

通过输入预设安全参数运行第一预设算法获取用于签名的公私钥对，并将公钥公开；

通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的证据信息，将所述目标文件和标签发送至云服务器，将所述证据信息发送至可信第三方；

所述可信第三方根据所述证据信息随机生成对应所述目标文件的审计挑战，并将所述审计挑战发送至所述云服务器；

所述云服务器接收到所述审计挑战后，找到所述目标文件及所述标签，根据所述目标文件及所述标签生成对应所述审计挑战的证明信息,将所述证明信息返回至所述可信第三方；

所述可信第三方对所述证明信息进行验证以获取所述目标文件的完整性检查结果；

所述通过所述公私钥对和预设目标文件生成对应所述目标文件的标签以及与所述目标文件相匹配的第一证据信息包括：

用户随机选择所述目标文件的标识符，并将所述目标文件分割成预设数量的文件块，所述目标文件的表达式为：

F＝{m_i}_i∈[1，l]，其中，m_i为文件块，m_i∈M^d且d＞1，l为目标文件F的块数，M为文件块消息空间，M的表达式为：

其中，[-p，p)是文件块扇区大小的取值范围，p的具体大小取决于文件块大小|m_i|以及安全参数n的大小，|m_i|＝dnlog(2p)；

通过预设标签计算式计算每个文件块的标签，并生产对应于所述目标文件的标签，所述预设标签计算式为：τ_i＝High(Um_i，e)；函数High的主要功能是截取多项式Um_i的每个系数最后e个bit并输出新的多项式，这里

所述目标文件的标签的表达式为：

T＝(id，l，τ₁，...，τ_l)

其中，U为矩阵，e为近似参数，e∈[0，logq)，e为整数，代表模xⁿ+1且所有系数均属于的多项式集合，id为目标文件的标识符，id←{0，1}¹²⁸；

利用哈希函数计算每个文件块的哈希值，再利用这些哈希值作为哈希树的叶子节点，哈希树的每一个非叶子节点都是其孩子节点的哈希值，一直迭代下去直至得到哈希树的根节点root，所述哈希函数的表达式为：

H(i，τ_i)，其中τ_i为文件块标签，H选取SHA-256安全哈希函数；

使用所述公私钥对中的私钥对(id，root)进行签名，所述签名表达式为：

S＝SIG.Sign(ssk，id，root)；

其中，SIG.Sign是一个基于格的签名方案中的签名算法，ssk为私钥，id为目标文件的标识符，root为所述哈希树的根节点；

所述第一证据信息的表达式为：E＝(id，l，e，U，S)；

所述可信第三方随机生成对应所述目标文件的审计挑战包括：

所述可信第三方从[1，l]中随机选择r个整数作为挑战数据块序号，将得到的子集记为I，并在挑战系数集合中为每个序号选取随机权重v_i∈B，所述挑战系数集合的表达式为：

其中，为使B至少包含2¹²⁸元素进而保证至少128位的安全性，选取k＝14使得，所述审计挑战的表达式为：

Q＝(id，{(i，v_i)}_i∈I)；

所述根据所述目标文件及所述标签生成对应所述审计挑战的证明信息包括：

计算m＝∑_i∈Iv_im_i以及哈希树对(i，τ_i)的验证路径path_i，其中i∈I，验证路径path_i是包含从叶子到树中根的子节点的序列，是满足能够由(i，τ_i)和path_i构造根节点的最少节点集合，所述证明信息的表达式为：P＝(m，{(i，τ_i，path_i)}_i∈I)；

所述完整性检查结果包括：

利用{(i，τ_i，path_i)}_i∈I计算哈希树的根节点root′

根据第一判断表达式验证所述证明信息的签名是否有效，所述第一判断表达式为：SIG.Verify(spk，id，S，root′)＝0

其中，SIG.Verify是一个基于格的签名方案中的签名验证算法，spk为公钥；若所述第一判断表达式的输出为0，则验证不通过，若所述第一判断表达式的输出不等于0，则根据第二判断表达式继续验证所述证明信息的正确性，所述第二判断表达式为：

||m||_∞≤rkp

其中，若所述第二判断表达式成立，则验证通过，若所述第二判断表达式不成立，则验证不通过。

2.根据权利要求1所述的云存储公开审计方法，其特征在于，所述第一预设算法为基于格的签名方案中的秘钥生成算法SIG.KeyGen(n)，其中n为安全参数。