[发明专利]基于身份的在线/离线安全云存储审计方法

权利要求书

1.基于身份的在线/离线安全云存储审计方法，其特征在于，包括如下步骤：

步骤1，Setup算法：输入安全参数1^k，其中k表示达到安全需要的位数，G₁和G₂是阶为素数q乘法循环群，g是群G₁的生成元，H₁,H₂:{0,1}^*→G₁和h:{0,1}^*→Z_q是安全哈希函数，e:G₁×G₁→G₂是双线性映射；密钥生成中心KGC选择随机值α∈Z_q作为主私钥msk，主公钥mpk＝g^α；系统公共参数param为(e,q,G₁,G₂,g,mpk,h,H₁,H₂)；

步骤2，Extract算法：根据主私钥msk＝α和param＝(e,q,G₁,G₂,g,mpk,h,H₁,H₂)以及用户的身份ID，密钥生成中心KGC为用户生成密钥k_ID＝H₁(ID)^α；

步骤3，用户为存储数据生成验证标签时，分为离线计算和在线计算阶段；

OffTagGen算法：在离线计算阶段，用户首先随机选择η∈Z_q，并令γ＝g^η；接着，用户从Z_q中选择随机值α_i和r_i'，并计算离线标签如下：

离线标签集存储在本地，其中整数B是用户可能上传数据块数目的上界；

步骤4，OnTagGen算法：在在线计算阶段，身份为ID的用户，将上传文件名为name的文件F，首先文件F被分为n块：对每一个消息块m_i，用户提取离线标签集生成在线标签(r_i,σ_i)如下：

r_i'＝H₂(name|i)+m_i+r_i；

即：r_i＝r_i'-m_i-H₂(name|i)；

同时用户基于哈希值{h(u_i)}_i∈[1,n]创建根为root的MHT，并且计算其中IDSig是一个安全的基于身份签名算法，而相应的验证算法为IDVef；最后，用户将文件F＝(m₁,...,m_n)，验证标签{(u_i,r_i,σ_i)}_i∈[1,n]，以及(γ,name,σ_root)做为存储信息发送给云服务器；接收到用户的存储信息后，云服务器首先利用IDVef算法验证签名σ_root的合法性；如果通过验证，则对i∈[1,n]，云服务器判断如下等式

是否成立；如果成立则接受用户的储存请求，如果不成立则拒绝用户的储存请求，输出结束标志⊥；

步骤5，Challenge算法：为了验证name文件F的完整性，第三方审计者TPA向云服务器发送验证请求；云服务器首先将(γ,u_i,h(root),σ_root)信息发送给TPA，TPA利用IDVef算法验证签名σ_root的合法性；如果没有通过验证，TPA终止操作，否则其随机选择c元子集作为要验证数据块的索引，c元子集为TPA验证的数据块个数，同时为每个j∈J选择随机值y_j∈Z_q；最后TPA将挑战chal＝(name,{(j,y_j)}_j∈J)发送给云服务器；

步骤6，ProofGen算法：接收到TPA的挑战后，云服务器利用其存储的数据和验证标签，按以下步骤生成拥有证明：

步骤6.1，基于挑战的数据块，计算μ＝∑_j∈Jy_jm_j；

步骤6.2，聚合相应的验证标签为

步骤6.3，云服务器将(μ,σ,{u_j,r_j,Δ_j}_j∈J)作为拥有证明返回给第三方审计者TPA；其中Δ_j是MHT中相应的验证辅助信息；

步骤7，ProofVerify算法：TPA收到云服务器返回的拥有证明(μ,σ,{u_j,r_j,Δ_j}_j∈J)后，首先计算{h(u_j)}_j∈J，并利用相应的辅助信息Δ_j生成根节点h(root')；如果h(root')＝h(root)，则继续计算V＝∑_j∈J(H₂(name|j)+r_j)y_j，并验证下式是否成立：

如果等式成立，表明验证通过，TPA输出1，如果等式不成立，则表明验证不通过，TPA输出0。