云计算、物联网、社交网络等新兴服务促使人类社会的数据种类和规模快速增长, 越来越多的企业和用户将数据存储在云服务提供商(CSP, cloud service provider)处, CSP提供的资源相对集中, 存在着数据信息在网络传输过程中的“失真”^[1-2]、系统软硬件故障、不可信第3方导致数据丢失或损坏带来的数据不完整和用户隐私安全问题^[3]亟待解决.如何高效地进行数据持有性验证成为云存储安全的一大挑战^[4]. Ateniese等^[5]首次提出了数据持有性证明的形式化模型, Curtmola等^[6]提出了多副本的数据持有性验证方案, 基于此, 查雅行等^[7]提出了针对多用户多副本场景下的数据持有性证明方案.上述方案考虑数据单一所有者情况下进行的完整性验证, 云存储环境下存在群组用户对共享数据的完整性进行公开审计的新需求.为此, Wang等提出了保护群组用户隐私的完整性验证方案Oruta^[8]和Knox^[9], 但不支持用户撤销操作.针对用户权限撤销问题, Wang等^[10]在基于代理重签名机制上设计了一种公开审计方案Panda, 但存在替代攻击的风险^[11].为此, Yuan等^[12]提出了一种支持抗合谋攻击、公共审计及用户撤销等特点的审计方案. Jiang等^[13]提出了一种支持群用户撤销机制的方案以解决合谋攻击的问题.付安民等^[14]设计了首个适用于多管理者群组共享数据的公开审计方案.李晖等^[15]提出了支持第3方审计者的审计方案.针对密钥管理与安全分发的问题, 黄龙霞等^[16]首次使用基于逻辑层次密钥体系的密钥树进行密钥的建立和分发.

现有基于第3方审计者(TPA, third party auditor)的群组共享数据完整性审计方案, 大多考虑数据更新操作或用户撤销等某一方面特性, 存在泄露群组成员身份隐私和伪造攻击的风险.因此, 设计能阻止隐私信息泄露和抵抗伪造攻击的共享数据完整性验证方案是共享数据隐私保护的关键.笔者采用基于属性门限签名机制^[17-18], 设计了一种支持动态群组隐私保护公开审计方案, 利用用户私钥的产生与属性相关的特点, 在计算密钥时引入用户身份信息参数, 防止拥有互补属性的恶意群组用户利用组合用户私钥来伪造签名, 最后给出方案的安全性和性能分析结果.

1 基于属性门限签名的群组共享数据公开审计方案

通过利用基于门限属性签名方案^[18]良好的不可伪造性和抗合谋攻击等性质, 设计群组共享数据公开审计方案.具体算法描述如下：

1) 初始化Setup(d)

在初始化阶段, 输入系统参数d, 选择双线性映射e:G₁×G₁→G₂, G₁、G₂表示阶为p的乘法循环群, 群G₁的生成元为g, 选取群G₁中元素g₁, g₂∈G₁, 任意α∈Z_p^*, 计算g₁=g^α, Z=e(g, g)^α.选取抗碰撞的Hash函数H₁, H₂:{0, 1}^*→G₁；选取伪随机函数φ(i):Z_p^*→{1, 2, …, n}, 用于生成伪随机数.

假设属性域U, 集合元素个数为l =|U|, U中属性映射到Z_p中特定的整数(如1, 2, 3, …, l (mod p)), 给定d-1个属性组成默认属性集Ω={Ω₁, Ω₂, …, Ω_d-1}.采用基于属性门限的签名断言Υ_{k, ω^*}(), 即对所有签名属性集ω^*, 门限值为k, 都有Υ_{k, ω^*}()→0/1^[18].定义属性域U对应的公钥集T={T₁, T₂, …, T_l}, t₁, t₂, …, t_l ∈Z_p^*, 计算T_i=g^t_i.计算得到公开参数Ψ={G₁, G₂, g, g₁, g₂, d, p, H₁, H₂, Z, T₁, T₂, …, T_l}, 主密钥κ ={α, t₁, t₂, …, t_l}.

2) 密钥生成KeyGen(χ_i, κ, ω)

授权机构选取d-1次多项式q(x), 令q(0) = α, 授权机构秘密保存q(x), 并随机选取其余d-1个系数.假设用户域u={u₁, u₂, …, u_|u|}, 给定用户身份信息参数χ_i及其对应属性集ω⊂U, 生成新属性集ω₀=ω∪Ω, 对任意i∈ω₀, 授权机构选取用户身份信息参数χ_i ∈Z_p, 将χ_i嵌入到属性私钥中, 同时, 生成属性私钥：

$ \left. \begin{array}{l} {d_{i,1}} = {g^{q\left( i \right)/{t_i}}}{H_1}{\left( {{\chi _i}} \right)^\alpha }\\ {d_{i,2}} = {H_1}{\left( {{\chi _i}} \right)^{{t_i}}} \end{array} \right\} $

(1)

授权机构输出用户属性私钥ξ_i={d_{i, 1}, d_{i, 2}}, ξ ={ξ_i, 1≤i≤|u|}, χ={χ_i, 1≤i≤|u|}, 将属性私钥发送给对应的用户, 并存储用户属性私钥与身份信息映射表T_st =(χ, ξ).

3) 签名Sign(m, κ, ξ)

假设共享的数据m={m_j}_1≤j≤n, 数据拥有者制定授权策略ρ=(u_i, m_j, ω), 拥有属性集ω的用户u_i才能访问数据m_j.声明基于门限的签名断言Υ_{k, ω^*}(), 当属性集ω满足Υ_{k, ω^*}()时, 即Υ_{k, ω^*}(ω), 则属性集ω和ω^*至少有k个相同元素.数据拥有者随机选取k元属性子集ω′, 使得ω′⊆ω∩ω^*.在Ω中选择d-k个默认属性组成属性子集Ω′, 满足Ω′⊆Ω, |Ω′|=d-k.

数据拥有者对数据m_j进行签名, 对每个属性i∈ω^*∩Ω′, 选取随机数τ∈Z_p^*, 计算：

$ {\sigma _{i,0}} = g_1^{{t_i}}{H_2}{\left( {{m_j}} \right)^\tau } $

(2)

$ {\sigma _{i,1}} = \left\{ \begin{array}{l} \prod\limits_{i \in \omega ' \cup \mathit{\Omega '}} {{{\left( {{d_{i,1}}} \right)}^{{m_j}{t_i}}}T_i^\alpha {H_2}{{\left( {{m_j}} \right)}^\tau }} \\ \prod\limits_{i \in {\omega ^ * }/\omega '} {T_i^\alpha {H_2}{{\left( {{m_j}} \right)}^\tau }} \end{array} \right. $

(3)

$ {\sigma _{i,2}} = {\left( {{d_{i,2}}} \right)^{\alpha {m_j}}}\sum\limits_{i \in \omega ' \cup \mathit{\Omega '}} {{\Delta _{i,S}}\left( 0 \right)} $

(4)

得到签名值σ={σ_{i, 0}, σ_{i, 1}, σ_{i, 2}}_1≤j≤n, 数据拥有者将{m, σ}发送给CSP, 将σ和Υ_{k, ω^*}()发送给TPA.

4) 证据生成GenProof(m, σ)

数据拥有者向TPA发起数据验证请求, TPA从集合{1, 2, …, n}中选取c个元素I={s₁, s₂, …, s_c}, 1≤s₁≤…≤s_c≤n, 对于每个j∈I, TPA选取随机数k∈Z_p, 生成挑战消息π={(j, v_j)}_s1≤j≤sc, 其中v_j=φ_k(j). TPA将挑战消息π发送给CSP, CSP收到后计算完整性证据P：

$ \begin{array}{*{20}{c}} {\hat m = \sum\limits_{{s_1} \le j \le {s_c}} {{v_j}{m_j}} ,{\sigma _0} = \prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,0}}} \right)}^{{v_j}}}} ,}\\ {{\sigma _2} = \prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,2}}} \right)}^{{v_j}}}} }\\ {{{\left\{ {{\sigma _1} = \prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,1}}} \right)}^{{v_j}}}} } \right\}}_{i \in {\omega ^ * } \cup \mathit{\Omega '}}}} \end{array} $

CSP将证据P=($\hat{m}$, σ₀, σ₁, σ₂)发给TPA.

5) 验证Verify(P)

TPA收到证据P后, 判断数据块的签名是否满足断言Υ_{k, ω^*}(), 并验证等式：

$ \frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,{\sigma _1}} \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,{\sigma _0}} \right)e\left( {g,{\sigma _2}} \right)}} = {Z^{\hat m}} $

(5)

如果等式成立, 输出True, 证明数据块被正确持有；否则, 输出False, 说明数据块损坏或丢失.

6) 数据更新Update(m′_j)

假设数据拥有者将数据块m_j更新为m′_j, 得到新数据m′.调用签名算法得到新的签名σ′= {σ′_{i, 0}, σ′_{i, 1}, σ′_{i, 2}}, 将{ m′, σ′}发送给CSP, CSP判断更新数据的签名是否满足断言Υ_{k, ω^*}(), 并验证等式：

$ \frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,{\sigma _{i,1}}} \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,{\sigma _{i,0}}} \right)e\left( {g,{\sigma _{i,2}}} \right)}} = {Z^{m'}} $

(6)

若等式成立, 则CSP保存m′和签名σ′.

7) 用户撤销Revoke(σ, T_st)

当数据访问者离开群组时, 需要进行用户撤销操作.首先, 授权机构需要更新映射表T_st, 得到T′_st.数据拥有者及时更新授权策略ρ=(u_i, m_j, ω), 删除已撤销用户的访问权限, 计算新签名值σ′={σ′_{i, 0}, σ′_{i, 1}, σ′_{i, 2}}, 并发送给CSP和TPA. CSP判断用户撤销操作后数据的签名是否满足断言Υ_{k, ω^*}(), 并验证等式：

$ \frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,{{\sigma '}_{i,1}}} \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,{{\sigma '}_{i,0}}} \right)e\left( {g,{{\sigma '}_{i,2}}} \right)}} = {Z^m} $

(7)

如果验证成功, CSP保存新签名σ′.

2 正确性与安全性分析 2.1 正确性分析

定理1  如果TPA和CSP能够回复并通过数据持有性验证, 则证明所提方案的正确性.

证明  在进行持有性验证时, 如果数据拥有者的属性集ω存在足够的k元属性子集ω′, 与默认属性子集Ω′组成d元属性集合, 并且TPA与CSP交互过程中回复的消息都是正确的, 则在验证阶段, TPA收到CSP发送的证据P = ($\hat{m}$, σ₀, σ₁, σ₂)是正确的. TPA利用拉格朗日定理及收到的证据, 进行如下计算：

$ \begin{array}{*{20}{c}} {\frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,{\sigma _1}} \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,{\sigma _0}} \right)e\left( {g,{\sigma _2}} \right)}} = }\\ {\frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,\prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,1}}} \right)}^{{v_j}}}} } \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,\prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,0}}} \right)}^{{v_j}}}} } \right)e\left( {g,\prod\limits_{{s_1} \le j \le {s_c}} {{{\left( {{\sigma _{i,2}}} \right)}^{{v_j}}}} } \right)}} = }\\ {e{{\left( {g,g} \right)}^\alpha }\sum\limits_{{s_1} \le j \le {s_c}} {{m_j}{v_j}} = {Z^{\hat m}}} \end{array} $

证毕.

2.2 安全性分析

定理2  如果e是(t, ε)安全的, 在计算迪菲-赫尔曼(CDH, computational Differ-Hellman)困难问题和随机预言模型假设下, 提出的方案在适应性选择消息攻击模型下具有不可伪造性.

证明  假设存在(t, q_H, q_G, q_S, ε)-敌手A对方案进行适应性选择消息攻击, 敌手A通过伪造签名证据在多项式时间t内以ε的优势破解该方案, 存在一个(t′, ε′)-算法F以ε′=$\frac{{c\varepsilon }}{{n{q_{{{\rm{H}}_1}}}{q_{{{\rm{H}}_2}}}\left( \begin{array}{l} d - k\\ d \end{array} \right)}}$的优势能解决CDH困难问题, A询问Hash预言机的次数分别为q_H1和q_H2.假设给定g, g^x, g^y∈G₁, 利用算法F通过(t, q_H, q_S, ε)-敌手A使用适应性选择消息攻击方法计算g^xy, 即解决CDH困难问题.利用Game游戏^[17-18]来证明定理2.

Game0  考虑敌手A与挑战环境之间初始化挑战游戏.首先, 运行初始化算法, 挑战者C计算g₁=g^x, g₂=g^y. C生成主密钥κ和公开参数Ψ, C生成Υ_{k, ω^*}(), 属性集ω′和ω^*至少有k个相同元素, |ω′|=k. C随机选取d∈Z_p^*, 1≤k≤d, 从d个属性中选择d-k个默认属性组成属性子集Ω′, 满足Ω′⊆ Ω, |Ω′|=d-k, C将Ψ发送给A.

Game1  主要考虑在A与交互环境之间初始化挑战游戏. A与C进行交互, C在多项式时间内进行Hash询问(H₁询问和H₂询问)、KeyGen询问、Sign询问和GenProof询问.

1) H₁询问：C维护一个Hash查询列表H_list1 ={χ_i, ω_i, Q_i}.选择随机数c∈[1, q_H], A对χ_i进行Hash询问, 如果χ_i已在列表H_list1中, C返回对应的Hash询问结果Q_i.否则进行如下操作：若ω_i⊆Ω′∪ω′, C选择随机数a_i, 计算Q_i=H₁(χ_i)=g₁^a_i并发给A, 且更新列表H_list1；否则, C选择a_i, b_i∈Z_p^*, 计算Q_i=H₁(χ_i)= g₁^a_ig₁^-b_i并发送给A, 同时更新列表H_list1.

2) H₂询问：C维护一个Hash查询列表H_list2 ={m_i, h_i}. A对m_i进行Hash询问, 如果m_i已在列表H_list2中, C返回对应的Hash询问结果h_i.否则进行如下操作：C选择随机数a_i∈Z_p^*, 计算h_i =H₂(m_i)=g₂^a_i发送给A, 并更新列表H_list2；否则, C选择a′_i, b_i∈Z_p^*, 计算h_i =H₂(m_i)=g_i2^a′g₂^b_i并发送给A, 同时更新列表H_list2.

3) KeyGen询问：C维护密钥生成询问列表K_list ={χ_i, ω_i, Q_i, {ξ_i, T_i}}, A选择属性集ω_i向C询问对应用户公私钥, C检查K_list中是否有对应的询问结果, 如果存在, 则返回对应的{ξ_i, T_i}_i∈ωi.否则, 对属性i∈ω_i, C进行如下操作：假设i∈(ω_i∩ω′)∪Ω′_i, C选择a, χ_i, t_i∈Z_p^*, 选择d次多项式q(x)使得α_i=q(i), 计算d_{i, 1}=g₂^q(i)/t_iH₁(χ_i)^α, d_{i, 2}=H₁(χ_i)^t_i, ξ_i={d_{i, 1}, d_{i, 2}}, C返回结果给A, 并记录到询问列表K_list ={χ_i, ω_i, Q_i, {ξ_i, T_i}}中；否则, 终止询问.

4) Sign询问：C维护签名询问列表S_list ={χ_i, ω_i, m_i}.如果|ω_i∩ω′|≥k, A向C询问在属性集ω_i和断言Υ_{k, ω^*}()条件下m^*的签名σ^*, C运行Sign(m_i, ω_i, Υ_{k, ω^*}())生成数据签名σ^*={σ_{i, 0}^*, σ_{i, 1}^*, σ_{i, 2}^*}, 并返回给A；否则, 终止询问.

5) GenProof询问：A选择数据签名值为σ^*, 生成挑战消息π^*={(j, v_j)}_S1≤j≤Sc, 向C进行询问, C运行证据生成算法GenProof(m, σ), 生成挑战证据P^* = { ${\hat m}$, σ₀^*, σ₁^*, σ₂^*}, 且返回给A.

Game2   C保存A询问后产生的应答列表, A通过伪造签名信息进行挑战.首先, A选择挑战属性${\hat \omega }$和默认属性集$\mathit{\hat{\Omega }}$, 输出${\hat m}$的签名信息σ₀^*、σ₁^*和σ₂^*.如果$\mathit{\hat{\Omega }}$ ≠Ω^*或H₂(m_i)≠g^a_c, A挑战失败；否则, 若满足$\frac{{\prod\limits_{i \in {\omega ^*} \cup \mathit{\Omega }\prime } {} e{{(g,{\rm{ }}{\sigma _1})}^{{\mathit{\Delta }_{i,{\rm{ }}S}}\left( 0 \right)}}}}{{{\rm{ }}e(g,{\rm{ }}{\sigma _0})e(g,{\rm{ }}{\sigma _2})}} = {Z^{\hat m}}$成立, A挑战成功.

当C通过数据挑战证据P^*时, ${\mathit{\hat \Omega }}$ =Ω^*, A通过$\frac{{\prod\limits_{i \in \tilde \omega } {} e{{(g,{\rm{ }}{\sigma _1}^*)}^{{\Delta _{i,{\rm{ }}s}}\left( 0 \right)}}}}{{e(g,{\rm{ }}{\sigma _0}^*)e(g,{\rm{ }}{\sigma _2}^*)}}{\rm{ }} = {Z^{{m^*}}}$来验证P^*, 其中, ${\hat m}$ ≠m^*、σ₀^*≠σ₀、σ₁^*≠σ₁和σ₂^*≠σ₂. A利用P^*破解CDH困难问题.给定g₁=g^x, g₂=g^y, 其中x, y∈Z_p^*, g∈G₁, C输出目标为g^xy, C通过计算得到${g^{xy}} = \frac{{\prod\limits_{i \in \tilde \omega } {} {{({\sigma _1}^*)}^x}}}{{\alpha \hat m{\sigma _0}^*{\sigma _2}^*}}$, 即破解CDH困难问题.

Game3  假设C观察整个数据完整性证明过程, 密钥生成预言机和签名预言机的应答是无效的, 导致C终止挑战过程. A回复证据为P^* = { ${\hat m}$, σ₀^*, σ₁^*, σ₂^*}.诚实证明者回复证据P, 验证者收到P后验证等式$\frac{{\prod\limits_{i \in {\omega ^*} \cup \mathit{\Omega }\prime } {} e{{(g,{\rm{ }}{\sigma _1})}^{{\mathit{\Delta }_{i,{\rm{ }}S}}\left( 0 \right)}}}}{{{\rm{ }}e(g,{\rm{ }}{\sigma _0})e(g,{\rm{ }}{\sigma _2})}} = {Z^{\hat m}}$是否成立.

假设当${\hat m}$ ≠m^*时, σ₀^*=σ₀、σ₁^*=σ₁和σ₂^*=σ₂, 定义Δm= ${\hat m}$ -m^*, C回复A的质询, 最终敌手A回复伪造的证据P^* ={ ${\hat m}$, σ₀^*, σ₁^*, σ₂^*}, 并验证：

$ \begin{array}{*{20}{c}} {\frac{{\prod\limits_{i \in \tilde \omega } {e{{\left( {g,\sigma _1^ * } \right)}^{{\Delta _{i,s}}\left( 0 \right)}}} }}{{e\left( {g,\sigma _0^ * } \right)e\left( {g,\sigma _2^ * } \right)}} = {Z^{m * }} = }\\ {\frac{{\prod\limits_{i \in {\omega ^ * } \cup \mathit{\Omega '}} {e{{\left( {g,{\sigma _1}} \right)}^{{\Delta _{i,S}}\left( 0 \right)}}} }}{{e\left( {g,{\sigma _0}} \right)e\left( {g,{\sigma _2}} \right)}} = {Z^{\hat m}}} \end{array} $

则可得到Z^Δm=1, 即${\hat m}$ =m^*mod p.经过以上分析, 这些游戏之间的差异存在可以忽略的概率.

如果挑战者C在多项式时间t内进行询问的应答都是有效的, 分析A解决CDH困难问题时的优势. A进行H₁询问和H₂询问获取正确结果的概率分别为P_H1=1/q_H1和P_H2=1/q_H2, 则A成功获取Hash询问(H₁询问和H₂询问)结果的概率为P₁ = P_H1×P_H2=1/(q_H1q_H2)；A成功从d个属性中选取d-k个默认属性组成属性子集Ω′的概率为${P_2} = 1/\left( \begin{array}{l} d - k\\ d \end{array} \right)$；A进行GenProof询问成功选取挑战消息π^*的概率为${P_3} = \frac{c}{n}$；A通过伪造签名证据在多项式时间t内破解该方案的概率P₀ =ε.即存在一个(t′, ε′)-算法以ε′的优势能解决CDH困难问题, 其中：

$ \varepsilon ' = {P_0}{P_1}{P_2}{P_3} = \frac{{c\varepsilon }}{{n{q_{{H_1}}}{q_{{H_2}}}\left( {\begin{array}{*{20}{c}} {d - k}\\ d \end{array}} \right)}} $

定理3  在CDH问题和随机预言模型假设下, 提出的方案在适应性选择消息攻击模型下具有抗合谋攻击性.

证明  同定理2中基本假设所述.

Game0  同定理2中的Game0, 主要是游戏的初始化阶段.

Game1  同定理2中的Game1.

Game2  挑战者C保存敌手A询问后产生的应答列表, A伪造实施合谋攻击时的信息, 并进行相应的查询.首先, A选择参与合谋攻击的用户u_i、u_j, 对应属性集为${\tilde \omega }$_i和${\tilde \omega }$_j, 进行KeyGen询问, 得到对应的用户私钥集ξ_i和ξ_j, 计算T_i=g₂^t_i, ξ_i={g₂^q(i)/t_iH₁(χ_i)^α, H₁(χ_i)^t_i}, T_j=g₂^t_j, ξ_j={g₂^q(j)/t_jH₁(χ_j)^α, H₁(χ_j)^t_j}, C将ξ_i和ξ_j发送给A. A选取密钥ξ′=ξ′_i∪ξ′_j, 其中ξ′_i⊆ξ_i, ξ′_j⊆ξ_j, ξ′对应属性ω″=${\tilde \omega }$_i∪${\tilde \omega }$_j, 满足Υ_{k′, ${\tilde \omega }$}(ω″)=1. A选取m^*和属性集ω″下的签名${\hat \sigma }$, 生成完整性证据${\hat P}$ = ($\hat{\omega }$, ${\hat \sigma }$ ₀, ${\hat \sigma }$ ₁, ${\hat \sigma }$ ₂).

Game3  敌手A通过收集伪造实施合谋攻击时的属性及签名信息, 挑战方案的抗合谋攻击性.首先, A选择挑战属性ω″和默认属性集${\mathit{\hat \Omega }}$, 输出完整性证据${\hat P}$.敌手A利用${\hat P}$破解CDH困难问题, 即给定g₁=g^x, g₂=g^y, 其中x, y∈Z_p^*, g∈G₁, 输出目标为g^xy, 同定理2, C计算出g^xy.即敌手A以ε′=$c\varepsilon /\left( {n{q_{{{\rm{H}}_1}}}{q_{{{\rm{H}}_2}}}\left( \begin{array}{l} d - k\\ d \end{array} \right)} \right)$的优势解决CDH困难问题.

3 性能分析

下面主要通过与同类方案^{[12-13, 16]}对比分析计算开销和通信开销情况.首先, 定义如下符号含义：T_exp表示指数运算所需的时间, T_mul表示乘法运算所需的时间, T_pair表示双线性对运算所需的时间, T_Hash表示Hash运算所需的时间, T_m表示模运算所需的时间, u表示签名的用户数, c表示挑战的数据块数目, d表示默认属性域中属性个数, z表示被撤销的用户数, n表示数据分块数, s表示每个数据块中包含的子数据块数.

3.1 计算开销

在计算开销方面, 与同类方案^{[12-13, 16]}进行对比.方案1^[12]和方案2^[13]主要是支持群组用户撤销及共享数据更新的公共审计方案.其中, 方案1^[12]计算开销随着数据块的增多而增大, 开销远大于本方案及其他方案^{[13, 16]}；方案2^[13]计算开销随着撤销用户数量的增加而增大.通过采用基于随机数的挑战方法, 方案3^[16]在挑战与响应阶段的计算开销与本方案相当, 在验证阶段的计算开销比本方案大.具体对比情况如表 1所示.

3.2 通信开销

在数据完整性验证过程中, 主要分析审计阶段的通信开销, 其中|λ|为随机数大小, |G₁|为群G₁中元素的大小, |I|表示数据块索引大小.具体对比结果如表 2所示.

3.3 结果对比

本方案采用的实验环境：Intel Core i3-2350 CPU 2.30 GHz, 4 GB内存, Windows7 x64位操作系统, 采用密码学函数库PBC版本为PBC-0.4.7, VC++6.0环境下进行实验.本方案使用椭圆曲线域表示G₁和G₂, 密钥大小为160 bit, 随机数大小为80 bit.假设存储在CSP中的用户数据文件有1%的内容被损坏, 如果要保证用户检查出此事件发生的概率不低于99%, 则只需随机验证其中c=460个数据块的持有性证据^[5].假设数据块数n=10 000个, 每个分块子块数s=50个, 群用户数u=10个时, 具体审计阶段开销对比情况如表 3所示.

通过以上的对比分析可知, 本方案在计算开销和通信开销方面都具有较好的效率, 设计了基于属性的授权策略, 在进行数据访问、用户撤销和数据更新时, 相对较为灵活.在用户撤销方面, 同类方案^{[12-13, 16]}的计算开销随数据分块数、所撤销的用户数或挑战数据块数的增加而增大, 本方案的计算开销较小.在数据更新方面, 方案3^[16]不支持数据更新操作；方案1^[12]需要对进行数据分块的再处理, 更新操作开销大；方案2^[12]更新操作的计算开销随着群组用户数量的增加而增大, 但更新操作较为灵活；本方案更新操作主要是由数据拥有者更新数据并产生新的签名值, 每次更新计算开销较小.由于本方案采用基于属性的门限机制以抵抗恶意用户利用互补属性构造私钥来伪造签名而实施合谋攻击, 签名过程设计相对复杂, 而且随着群组用户增多、共享数据量增大时, 签名效率会降低.

4 结束语

针对现有大多数动态群组共享数据公开审计方案主要考虑数据更新操作或用户撤销等某一方面特性, 及无法有效防止合谋攻击者利用互补属性来伪造签名的问题, 提出了一种基于属性门限签名的动态群组隐私保护公开审计方案, 将用户身份信息参数引入用户属性私钥中, 防止攻击者通过利用互补属性构造属性私钥来伪造签名, 支持群组用户撤销和数据动态操作.分析结果表明, 方案具有不可伪造性和抵抗合谋攻击性.下一步计划研究基于属性门限签名的且适用于多数据提供者及大数据环境下的群组共享数据批量审计方案.