面向云審計的輕量級隱私保護方案

張曉琴 姚遠 王穎

摘要：在大數據爆發式增長背景下，云存儲服務的發展為用戶數據存儲帶來了極大的方便，按需服務特性使其備受青睞。但由于失去了對云服務器中數據的直接控制，不確定因素可能導致用戶的數據損壞，這給云存儲發展帶來極大挑戰。筆者提出輕量級計算和驗證的數據審計方案，簡化了用戶在上傳數據之前的標簽計算操作，保證用戶上傳數據的安全性。此外，云服務器和審計者的計算任務也得到減輕，進一步降低計算開銷。為保護用戶數據隱私，借鑒了圖像加密中的置亂加密，讓用戶使用隨機函數對數據塊的位置進行置亂，同時讓審計者計算出數據塊的真實位置，完成審計操作。實驗結果表明，該方案有效節省了審計流程中用戶和服務器、審計者3方的計算資源，提升流程效率。

關鍵詞：數據審計；云服務器；隱私保護；置亂加密；隨機函數

中圖分類號：TP333????????? 文獻標志碼：A????? 文章編號：1000-582X（2024）02-075-09

Lightweight privacy protection scheme for cloud audit

ZHANG Xiaoqin1， YAO Yuan2， WANG Ying3

（1. Chongqing Communication Design Institute Company Ltd.， Chongqing 400041， P. R. China;

2.? Information Center of Xiyuan Hospital， China Academy of Chinese Medical Sciences， Beijing 100091， P. R. China; 3. College of Big Data and Software， Chongqing University，

Chongqing 401331， P. R. China）

Abstract： In the context of the explosive growth of big data， the emergence of cloud storage services has significantly facilitated user data storage. The on-demand nature of cloud servers further contributes to their widespread popularity. However， this convenience comes at the expense of direct user control over data stored in the cloud， exposing it to potential damage from various uncertain factors. This brings great challenges to the advancement of cloud storage. To address these challenges， a data auditing scheme is proposed， emphasizing lightweight calculation and verification. This solution streamlines the users label calculation operation before uploading data， ensuring data security during the upload process. This approach concurrently reduces the calculation tasks of both the cloud server and the auditor， minimizing overall calculation overhead. To protect user data privacy， the scheme incorporates scrambling encryption inspired by image encryption. This enables users to use random functions to scramble the data blocks location， while still allowing the auditor to calculate the actual data block location for successful auditing. The results show that the proposed solution effectively saves computing resources for users， servers， and auditors during the audit process， thereby improving overall process efficiency.

Keywords： data audit; cloud server; privacy protection; scrambling encryption; random function

云計算服務具有按需服務，接入網絡便捷，存儲資源豐富，靈活性高等特性，已吸引越來越多的組織和個人用戶關注[1?2]。通過將數據存儲遷移到云服務器或將計算任務交由云服務代理完成，用戶可節省大量計算資源。云計算在數據量巨大、計算任務繁重領域如電商、車聯網[3]、醫療護理[4]中得到廣泛應用。但隨著云存儲大范圍使用，數據安全問題也日益凸顯[5?7]，數據一旦被遷移到云服務器后，用戶就不能夠對其進行直接操作控制，在此情況下傳統方法驗證數據的完整性和正確性不再適用。云服務代理可能在未經用戶許可情況下使用用戶數據，侵犯用戶隱私。除云服務代理之外，網絡中還存在著外部攻擊者有意監聽或篡改用戶數據的風險。因此，對于使用云服務的用戶而言，能夠驗證被遷移數據完整性和正確性的數據審計方案具有重要研究意義。

近年來，國內外對審計的研究成果相當豐富。在審計架構方面主要有兩種方案：①基于私有審計架構[8?9]。Juels等[10]首次提出了可恢復性證明模型（proofs of retrievability，PoR），它可使用戶遠程驗證半可信服務器中的數據完整性。但PoR是一個私有審計方案，不支持對數據的動態更新；②公有審計架構[11?12]。Ateniese等[13]提出了可證明數據所有模型（provable data posession，PDP），首次提出了公開審計概念。Shacham等[14]提出了新穎的公開審計方案，該方案使用BLS簽名。與傳統基于RSA簽名相比，BLS簽名的長度更短，對于降低通信成本有顯著表現。此方案提出后，許多方案也采用BLS簽名來節省通信計算量和實現批量審計功能。Curtmola等[15]提出了多副本PDP模型方案，使用該方案的用戶需要在服務器上存儲一個文件的多個副本。當某些文件被破壞時，可利用其他副本對文件進行快速恢復。私有審計方案雖然能很好滿足當時用戶需求，但隨著信息基礎設施快速升級，審計結果可信度也易受質疑。私有審計模型由于需要用戶承擔大量通信和計算開銷，目前也無法滿足用戶的全部需求。相比之下，公有審計模型加入了一個可信第三方審計員，用戶可將數據審計的任務委派給第三方完成，節約自己的資源。這一概念最早由Wang等提出，第三方審計者可代表用戶進行數據驗證，幫助用戶節省因審計產生的開銷。盡管第三方審計者在之后的審計方案中得到了廣泛應用，但仍存在一些缺點，如缺少對審計者的有效監管。

綜上所述，私有審計方案架構簡單、安全性較高，且能夠最大限度保證審計結果的真實性。但是，該方案要求用戶定期進行數據審計，頻繁與云服務器進行交互，嚴重消耗用戶自身的網絡和計算資源，與用戶使用云服務器目的背道而馳。對于公開審計而言，雖然引入了第三方審計者，用戶可以對第三方審計者進行授權，委托其執行數據審計工作[16?18]。第三方審計者通常都被假設為是完全可信的，實際上第三方審計者仍可能會與云服務提供商共同向用戶隱藏數據損壞或丟失的事實。而且第三方審計者作為中心化的一方，一旦受到外部攻擊或發生內部故障，審計過程都會被影響。為解決上述審計中存在的資源消耗嚴重且用戶隱私得不到保證的問題，研究以最小化計算開銷和保護用戶數據隱私為重心，設計了輕量級計算方法和審計流程，其主要貢獻在于：

1）借鑒了圖像加密中的置亂加密，使用偽隨機函數對文件內數據塊的順序進行置亂，不增加用戶額外開銷；

2）在數據存儲階段，偽隨機函數的種子使用雙線性映射結合用戶私鑰計算，保證只有用戶和第三方審計者才能計算出數據塊正確順序；

3）用戶在計算數據塊簽名時也采用了偽隨機函數種子，具體可驗證標簽則由云服務器生成，可有效節省審計流程中用戶和服務器、審計者三方計算資源。

1 系統模型及設計目標

1.1 建立系統模型

方案采用了傳統的云數據公開審計模型，系統模型中包含3個角色：用戶、云服務提供商和可信第三方審計者。不同角色在方案中的定位和功能如下所述：

用戶（data owner，DO）：用戶擁有一定容量數據，但自身的存儲和計算能力有一定限制，選擇將數據外包給云服務器。用戶需要確保自己的數據完整保存在云服務器上，并且授權可信第三方審計者對自己的數據進行定期審查。在審計方案中，用戶需承擔的計算和通信開銷應盡可能最小。

云服務提供商（cloud service provider，CSP）：云服務提供商即管理著足量的云服務器提供大量存儲和計算資源角色。用戶將自己的數據交由云服務提供商存儲到云服務器中，同時要求云服務提供商保證數據完整性。

可信第三方審計者（trusted third party authority，TPA）：審計者的作用是獲得用戶的委托和授權，對云服務器中對應用戶的數據進行定期審計，將審計結果發送給用戶，確保在數據受損時用戶能及時發現采取后續措施。在這個過程中，假設第三方審計者是半可信的，即審計者會誠實完成審計，但會對用戶的數據保持好奇，試圖通過審計數據恢復出用戶原始數據。因此，審計流程需要在保證審計效果前提下，保護用戶數據的安全性。

本方案提出了一種輕量級的計算方法和審計方法，其簡要步驟為：首先，用戶對需要上傳到云服務器的數據進行預處理，生成可驗證數據標簽和其他信息，以便審計者進行審計；其次，將處理后的數據及數據標簽上傳到云服務器，授權第三方審計者對自己的數據進行審計。審計者將定期對云服務器發起審計挑戰，云服務器計算出相應的數據擁有證明并將其發送給對應審計者。審計者收到數據擁有證明后進行驗證，并將驗證結果發送給用戶。如果驗證成功，則說明數據仍然保持完整；如果驗證失敗，則說明數據的完整性受損，用戶需要及時采取對應措施。

為更好保護用戶隱私，本方案在數據預處理階段引入圖像加密中的置亂加密操作，即用戶在對數據塊生成可驗證標簽后，使用偽隨機函數對同一文件中數據塊的順序置亂。然后，用戶將打亂數據塊順序的文件發送給云服務器，防止數據隱私泄露。偽隨機函數的隨機種子采取密鑰交換原理，由用戶的私鑰和第三方審計者私鑰共同生成，保證對云服務器的保密性。對于用戶對第三方審計者進行授權操作，用戶可為審計者生成相應證書，以證明審計者獲得了用戶授予的審計權限。證書可以使用簽名、加密算法等方式生成，并用于驗證審計者的身份。

1.2 設計系統目標

筆者提出的方案主要目標是實現可靠的審計結果。同時減少方案參與者處理數據所需的計算資源，減輕用戶的資源消耗，加強對用戶數據的隱私保護。本方案有如下設計目標：

1）用戶原始數據隱私保護：在用戶預處理過程中，采用圖像加密中的置亂加密對用戶文件中的數據塊進行亂序操作。該操作不需要額外存儲空間，能有效保護用戶原始數據的隱私。

2）減輕參與者的計算消耗：在能夠保證審計效果以及審計流程安全性前提下，簡化用戶預處理步驟，修改數據標簽計算方法。此外，減少計算時間，將部分數據標簽的生成操作轉移到云服務器進行，減少審計過程中的計算資源消耗。

2 方案詳細設計

本方案體包括5個階段：

1）初始化：用戶確定進行數據上傳所需的各類參數和計算函數，云服務提供商以及第三方審計者也需要生成自己的公私鑰對。

2）數據存儲：參數生成完畢后，用戶開始處理將外包給云服務器的數據。用戶需要對文件進行分塊、生成可驗證數據標簽、數據塊亂序以及發送等操作。

3）數據審計：第三方審計者接受用戶的授權和委托，對云服務器發起審計挑戰。

4）證明生成：云服務器根據收到的挑戰信息計算數據擁有證明，并將其發送給第三方審計者。

5）數據驗證：第三方審計者驗證數據擁有證明是否正確。

以上5個階段即為本方案主要流程，同時還支持用戶對云服務器中數據動態操作。本方案中使用的符號如表1所示。

2.1 初始化階段

在初始化階段，用戶、云服務器以及第三方審計者都需要生成自己的參數以及一些函數。對于用戶，首先用戶需要確定一個大素數p。接著，選擇2個以大素數p為階的循環群G，G_T，設定雙線性映射e：G×G→G_T。設H為哈希函數〖{0，1}〗^*→G上的映射，〖{0，1}〗^*表示由0和1組成的任意長度字符串；其次生成用戶的公鑰和私鑰：用戶隨機選擇元素α∈Z_p以及g，u∈G，設β=g^α。然后用戶選擇隨機簽名密鑰對（sk，pk），用于對數據進行簽名；最終，本方案中用戶的參數為私鑰SK=（sk，α），公鑰PK=（pk，β，g，u）。用戶的參數確定后，云服務器隨機選擇元素y∈Z_p作為自己的私鑰，對應的公鑰為Y=g^y，第三方審計者從Z_p中隨機選擇元素z作為私鑰，并令公鑰Z=g^z。以上參數中私鑰均由生成者保存并保證其私密性，公鑰保持公開，即任何第三方都可以獲得。

2.2 數據存儲階段

參數初始化完畢后，用戶對需要上傳到云服務器的數據進行預處理。首先對文件進行分塊，一個文件會被分為若干個大小相同的數據塊，假設一個文件可被分為n塊，記為F={m_1，m_2，…，m_n}。同時用戶為每個文件分配唯一標識號，令文件F的標識號為F_ID。文件分割完成后，用戶開始為數據塊生成簽名，首先用戶計算t=e〖（Y，Z）〗^α，然后計算數據塊的簽名

σ_i=t?u^（m_i ），1≤i≤n ，????? （1）

接著，用戶開始對文件F中的數據塊進行置亂操作。假設t為偽隨機函數種子，計算數據塊新的排布位置，計算方式為k_i=τ_t （i），1≤i≤n。計算完成后，用戶根據k_i對文件重新進行排布，得到F^'={…，m_（k_i ） 〖，…}〗_（1≤i≤n）。為保證文件唯一標識號完整性，用戶需要為文件生成文件標簽T=F_ID ||sig_sk （F_ID），其中sig_sk （F_ID）表示使用私鑰sk為文件標識號生成的簽名，并令所有數據塊簽名的集合為σ={σ_i }_（1≤i≤n）。最終用戶將{F'，σ，T}發送給云服務器保存，并刪除本地存儲數據。

收到用戶發送數據后，云服務器還需要使用雙線性映射e進一步計算其可驗證標簽。云服務器根據收到的數據塊簽名計算可驗證標簽方式為：θ_i=e（σ_i，β）；計算完所有數據塊的可驗證標簽后，云服務器將它們組成的集合記為θ={θ_i }_（1≤i≤n）。同時，云服務器將用于數據驗證的θ和T與文件F'一同保存。

2.3 數據審計階段

用戶將數據上傳至云服務器后，授權并委托第三方審計者代表自己對云服務器發起審計挑戰。在發起挑戰之前，審計者需先通過驗證文件標簽是否正確來確認該文件是否屬于該用戶。審計者從云服務器處獲得T，并通過用戶的簽名公鑰pk驗證其是否正確。驗證失敗即中止本次審計并向用戶提交錯誤報告；驗證成功則審計者獲取到F_ID并可繼續生成挑戰信息。審計者構造挑戰信息為chal={F_ID，i，s_i 〖，l，}〗_（i∈I，l∈L）。由于存儲在云服務器中的數據塊順序和可驗證簽名順序不對應，在挑戰信息中審計者需要為受到挑戰的數據塊生成數據塊序號集合和簽名序號集合。挑戰信息中L為此次受到挑戰的數據塊可驗證標簽的索引集合，包含從{1，2，…n}中挑選的c個元素。I為與可驗證標簽對應的數據塊索引集合。為得到集合I，審計者需要先使用自己的私鑰以及用戶和云服務器的公鑰計算隨機函數種子，即t=h（e〖（β，Y）〗^Z），I={i=τ_t （l）|l∈L}。s_i則與i一一對應，從Z_p中選取的c個元素。為防止云服務器的被攻擊，每一次挑戰信息中的集合L和s_i都是隨機選擇，保證每次挑戰的信息都不同。挑戰信息生成完畢后，審計者將chal發送給云服務器，并等待其回復。

2.4 證明生成階段

在收到審計者發來的挑戰信息后，云服務器需要計算對應的數據擁有證明，以證明自己所保存的該用戶數據完整性。為此，云服務器首先生成可驗證標簽證明

Θ=∏_（i∈I，l∈L）?θ_l^（s_i ）? ，? （2）

基于可驗證數據標簽的同態性，多個數據塊的標簽可被聚合為一個，在此用Θ表示。然后，云服務器計算數據證明

M=∑_（i∈I）?〖s_i?m_i 〗 ， （3）

計算完成后，云服務器將數據擁有證明{Θ，M}發送給第三方審計者。

2.5 數據驗證階段

收到數據擁有證明后，審計者使用如下表達式對其進行驗證

Θ=e（∏_（i∈I）?〖t^（s_i ）?u^M，β〗） ，??? （4）

若審計者驗證成功，則說明云服務器完整保存了用戶數據，否則數據的完整性受到了破壞，需要用戶立即采取相應措施。

2.6 數據批量審計

在實際應用中，如果審計者能一次性批量審計多個用戶數據，將極大提高審計者的工作效率，最大程度確保每個用戶數據都按時定期進行完整性檢驗。

假設有γ個用戶數據需要進行審計，且將用戶集合記為U={1，2，…γ}，其中的某個用戶用U_ω表示，ω∈U。用戶U_ω的私鑰用α_ω∈Z_p表示，公鑰用β_ω=g^（α_ω ）表示。用戶仍然隨機選擇u_ω∈G以及隨機簽名密鑰對（sk_ω，pk_ω）系統的全局參數與單用戶數據審計相同，有雙線性映射e：G×G→G_T以及H和h2個哈希函數，其中H為〖{0，1}〗^*→G上的映射，h為〖{0，1}〗^*→Z_p上的映射。云服務器的私鑰為從Z_p中隨機選取的元素y，公鑰為Y=g^y，第三方審計者的私鑰為從Z_p中隨機選取的元素z，公鑰為Z=g^z。接下來的步驟與單用戶數據審計相似。

1）數據存儲

設用戶U_ω需要上傳的文件為F_ω，需要將其切分為同等大小的n個數據塊，表示為F_ω={m_（ω，1），m_（ω，2），…，m_（ω，n）}，文件的標識符為F_（ω，ID）。切分完成后，用戶首先計算t_ω=h（e〖（Y，Z）〗^（α^ω ）），然后為每個數據塊生成簽名

σ_（ω，i）=h（t_ω）?u_ω^（m_i ），1≤i≤n ，???? （5）

簽名計算后，用戶接著對文件進行置亂，打亂數據塊順序，用戶計算k_（ω，i）=τ_（t_ω ） （i），1≤i≤n，然后按照k_（ω，i）來對數據塊進行重新排序，記為F_ω^'={…，m_（k_（ω，i） ），…}1≤i≤n。然后用戶基于F_（ω，ID）為文件生成標簽T_ω=F_（ω，ID） ‖sigm_（sk_ω ） （F_（ω，ID））┤，將對數據塊的簽名集合記為θ_ω={θ_（ω，i） }_（1≤i≤n）。再將{F_ω^'，θ_ω，T_ω}上傳至云服務器進行保存，刪除本地的數據文件，完成數據存儲操作。

云服務器收到用戶U_ω發來的數據后，再基于用戶的數據塊簽名為其計算出可驗證標簽θ_（ω，i）=e（θ_（ω，i），β_ω），其合集記為θ_ω={θ_（ω，i）}U_（1≤i≤n）。然后云服務器存儲{F_ω^'，θ_ω，T_ω}。

2）發起挑戰

對于U_ω∈U，審計者生成挑戰信息chal_ω={F_（ω，ID），i，s_i 〖，l}〗_（i∈I_ω，l∈L）。挑戰信息內各參數的意義與單用戶審計相同。為便于計算，假設審計者為所有用戶選取的數據標簽索引集合L均為同一個，使用不同為隨機函數種子生成對應用戶的數據塊索引集合I_ω，S_i仍為隨機選取的Z_p中的元素。

3）生成數據證明

接收到來自審計者挑戰信息后，云服務器需要為每個用戶分別生成可驗證標簽證明Γ_?=∏_（ω∈U） Γ_ω和數據證明M_ω，然后將標簽證明聚合到一起，聚合公式為：Γ_?=∏_（ω∈U） Γ_ω。聚合完成后，云服務器將{Γ_?，M_? |ω∈U|}發送給審計者。

4）數據驗證

對于聚合證明，審計者通過如下表達式進行數據驗證

Γ_?=∏_（ω∈U）?e（∏_（i∈I_ω）?h（t_ω ）^（S_i ）·u^（M_ω ），β）， （6）

若上述等式成立，表示所有受到挑戰的文件數據都完整無損，否則這些文件中有一些受到了損壞或篡改。

3 方案安全性分析

對用戶而言，其上傳的數據需要能夠抵抗惡意攻擊者的偽造攻擊，同時云服務器無法使用偽造的數據擁有證明通過審計。具體安全性分析如下：

1）惡意攻擊者無法對用戶上傳到云服務器的數據進行偽造攻擊。

在用戶上傳數據過程中，可能會遭遇惡意攻擊者的數據偽造攻擊。攻擊者會截獲用戶發送的文件并將其替換為自己的數據，然后使用自己生成的參數計算出其他信息后再將其發送給云服務器。但在用戶發送給云服務器的數據{F'，σ，T}中包含了用戶生成的簽名σ_i=h（t）·u^（m_i ），其中t由用戶的私鑰計算而成，即攻擊者無法在有限時間內推測出h（t）的值，也就無法偽造出正確的用戶簽名。

2）云服務器無法使用假冒的數據擁有證明通過審計。

當云服務器中存儲的用戶數據因某些原因受到損壞時，云服務器可能會試圖偽造數據擁有證明應對審計者的審計挑戰。但審計者每次發起審計時都會選取隨機生成的數據作為挑戰值，且每次受到挑戰的數據塊都不同，云服務器需要根據審計者發送的信息計算數據擁有證明。用戶對文件內的數據塊排列順序進行了置亂。如果云服務器想事先計算出所有可能受到挑戰的數據塊組合對應的數據擁有證明，云服務器會消耗更多存儲空間保存數據擁有證明。本方案假設云服務器中存儲了n個數據塊-可驗證標簽對，設挑戰信息為{F_ID，i，s_i 〖，l.}〗_（i∈I，l∈L），有c個數據塊將被挑戰，其中1≤c≤n，即存在C_n^c個有可能數據塊的排列組合。由于c∈{1，2，…，n}，那么所有可能受到挑戰的數據塊集個數為C_n^1+C_n^2+…+C_n^n=2^n-1。如果云服務器要實現計算出數據擁有證明然后再刪除數據就需要存儲2^n-1個聚合數據證明和標簽證明。當n≥2時2^n-1>n，在本文的方案中數據塊和數據標簽的順序并不是按照存儲順序一一對應，云服務器如果進行計算出所有可能的數據擁有證明，所需的存儲量將遠大于2^n-1。且所有可能的數據擁有證明數量會隨著原數據的增加而呈現指數級增加，因此，這種行為對于云服務器是不可取的。即使云服務器提前計算出了所有可能數據擁有證明，用戶對文件中數據塊的亂序操作也會使有c個數據塊受到挑戰時，正確數據證明和標簽證明對應方式只有一種，即云服務器只有1?（C_n^（C^（C_（ n）^C ） ） ）的概率通過這次審計，在數據數量足夠大時，這幾乎是不可能的。

4 方案性能分析

對所提方案的性能進行實驗，與現有審計方案進行對比分析。首先選擇了提出DHT這一數據結構來輔助審計的Tian等人[16]提出的DHT-PA方案，接著對比經典的Wang等人[17-18]提出的W-PoR方案。性能指標主要包括：所要評估的環節包括用戶生成驗證標簽、云服務器生成數據擁有證明以及第三方審計者進行數據驗證的計算開銷。所有的實驗使用配備了Windows7操作系統，2.4GHz Intel Core i7-4500U CPU，以及4GBRAM的計算機進行，實驗代碼使用C++語言編寫，密碼學算法則是基于0.5.14版本的配對基礎密碼（PBC）庫，使用A類配對參數模擬運行，其中循環群的階長度為160 bit。

表2列出了方案中使用的一些基礎運算操作，表3總結了在方案不同階段所需的計算量，并與其他審計方案進行對比，表中：n代表數據塊的總量；c代表受到審計挑戰的數據塊個數。

由于將計算可驗證標簽的任務交由云服務器來完成，且云服務器計算可驗證數據標簽采用了不同計算方式，使整個計算開銷得到顯著降低。雖然用戶部分計算也外包給了云服務器，但數據簽名的計算中加入了由用戶私鑰計算出的參數，并且利用雙線性映射性質，第三方審計者也可以計算出該參數，該參數被看做是用戶對于審計者的委托授權，只有得到授權的審計者才能正確審計用戶的數據，用戶不擔心受到偽造數據攻擊。云服務器雖然承擔了生成可驗證標簽名的計算任務，但生成過程只需要在用戶最初上傳數據時進行一次即可，之后需要生成數據擁有證明時可直接使用之前生成的可驗證標簽，這部分開銷對于云服務器而言是恒定的。相同地，用戶在生成數據標簽后對文件中數據塊進行置亂操作需要使用偽隨機函數，該操作只需要在數據上傳階段進行，且偽隨機函數的計算消耗與群上的哈希運算相近，帶來的計算開銷也是用戶可以承受的。在發出審計挑戰階段，生成可驗證標簽索引集合后，審計者還需要使用偽隨機函數生成對應數據塊索引集，這會消耗一部分計算資源，但保證安全性。由于偽隨機函數種子在計算過程中用到了第三方審計者私鑰，能防止審計者和云服務器共謀，使用之前數據擁有證明通過審計。

本方案與其他方案對比了用戶生成數據標簽所消耗的時間及云服務器生成數據擁有證明時間，如圖1?2所示。在W-PoR方案中，驗證標簽計算和擁有證明生成所需時間較長，且隨數據塊數量增長增長較快，而DHT-PA方案則與本方案耗時相近。在數據上傳階段，W-PoR方案中采取比本方案更耗時的指數運算來計算可驗證標簽。本方案中標簽計算方式雖然與DHT-PA方案相同，但提出的方案在標簽計算中加入了由用戶私鑰計算出的參數，這可以防止數據上傳過程中惡意攻擊者的數據偽造攻擊， DHT-PA方案無法抵抗這種攻擊。在擁有證明生成階段，由于標簽的計算方式不同，云服務器所進行的標簽聚合操作也存在類似趨勢的時間消耗。

在圖3中各個方案在數據驗證階段所需的時間消耗進行了比較，本方案中數據驗證所需時間花費短，且隨著數據增多也能基本保持穩定。這對第三方審計者非常重要，可進一步支持審計者進行批量審計，為更多用戶提供更好審計服務。

5 結束語

筆者提出一種旨在加強用戶隱私保護和降低用戶計算消耗的云數據審計方案。方案主要目的是在實現公開審計方案基本功能前提下，進一步加強對于用戶原數據的隱私保護，減少審計方案各階段計算開銷。在與其他方案進行對比時，一些方案通過在用戶文件數據塊中隨機插入混淆數據塊以保護用戶隱私，這會增加用戶通信開銷和云服務器存儲開銷。研究提出的方案則以圖像加密中置亂加密為啟發點，使用偽隨機函數對文件內數據塊的順序進行置亂，同時不增加額外開銷。此外，偽隨機函數種子使用雙線性映射結合用戶的私鑰計算，保證只有用戶和第三方審計者才能計算出數據塊正確順序。最后，通過實驗對比，本方案有效節省審計流程中用戶和服務器、審計者三方的計算資源，提升了整個流程效率。

參考文獻

［1］? Armbrust M， Fox A， Griffith R， et al. A view of cloud computing[J]. Communications of the ACM， 2010， 53（4）： 50-58.

［2］? Butoi A， Tomai N. Secret sharing scheme for data confidentiality preserving in a public-private hybrid cloud storage approach[C]//2014 IEEE/ACM 7th International Conference on Utility and Cloud Computing. December 8-11， 2014. London， UK： IEEE， 2015： 992-997.

［3］? Naseer Qureshi K， Bashir F， Iqbal S. Cloud computing model for vehicular ad hoc networks[C]//2018 IEEE 7th International Conference on Cloud Networking （CloudNet）. October 22-24， 2018. Tokyo， Japan： IEEE， 2018： 1-3.

［4］? Cao S， Zhang G X， Liu P F， et al. Cloud-assisted secure eHealth systems for tamper-proofing EHR via blockchain[J]. Information Sciences， 2019， 485： 427-440.

［5］? Diao Z， Wang Q H， Su N Z， et al. Study on data security policy based on cloud storage[C]//2017 IEEE 3rd International Conference on Big Data Security on Cloud （Big Data Security）， IEEE International Conference on High Performance and Smart Computing （Hpsc）， and Ieee International Conference on Intelligent Data and Security （IDS）， May 26-28， 2017， Beijing， China， IEEE， 2017： 145-149.

［6］? Markandey A， Dhamdhere P， Gajmal Y. Data access security in cloud computing： a review[C]//2018 International Conference on Computing， Power and Communication Technologies （GUCON）. September 28-29， 2018， Greater Noida， India： IEEE， 2019： 633-636.

［7］? Kumar R， Goyal R. On cloud security requirements， threats， vulnerabilities and countermeasures： a survey[J]. Computer Science Review， 2019， 33： 1-48.

［8］? 王靖， 傅劍峰. 關于政務私有云日志審計系統設計與實現[J]. 長江信息通信， 2021， 34（4）： 185-187.

Wang J， Fu J F. Design and implementation of government private cloud log audit system[J]. Changjiang Information & Communications， 2021， 34（4）： 185-187.（in Chinese）

［9］? 饒水林. 云計算技術的審計私有云模式建設與優化探討[J]. 中國內部審計， 2017（10）： 92-95.

Rao S L. Discussion on the construction and optimization of audit private cloud mode of cloud computing technology[J]. Internal Auditing in China， 2017（10）： 92-95.（in Chinese）

［10］? Juels A， Kaliski B S. Pors： proofs of retrievability for large files[C]//Proceedings of the 14th ACM conference on Computer and Communications Security， 2 November 2007， Alexandria， Virginia， USA. New York： ACM， 2007： 584-597.

［11］? Wang Q， Wang C， Li J， et al. Enabling public verifiability and data dynamics for storage security in cloud computing[C]//European Symposium on Research in Computer Security. Berlin， Heidelberg： Springer， 2009： 355-370.

［12］? Wang C， Chow S S M， Wang Q， et al. Privacy-preserving public auditing for secure cloud storage[J]. IEEE Transactions on Computers， 2013， 62（2）： 362-375.

［13］? Ateniese G， Burns R， Curtmola R， et al. Provable data possession at untrusted stores[C]//Proceedings of the 14th ACM conference on Computer and Communications Security， 2 November 2007， Alexandria， Virginia， USA. New York： ACM， 2007： 598-609.

［14］? Shacham H， Waters B. Compact proofs of retrievability[C]//International Conference on the Theory and Application of Cryptology and Information Security. Berlin， Heidelberg： Springer， 2008： 90-107.

［15］? Curtmola R， Khan O， Burns R， et al. MR-PDP： multiple-replica provable data possession[C]//2008 the 28th International Conference on Distributed Computing Systems， June 17-20， 2008， Beijing， China. IEEE， 2008： 411-420.

［16］? Tian H， Nan F L， Chang C C， et al. Privacy-preserving public auditing for secure data storage in fog-to-cloud computing[J]. Journal of Network and Computer Applications， 2019， 127： 59-69.

［17］? Wang H Q. Proxy provable data possession in public clouds[J]. IEEE Transactions on Services Computing， 2013， 6（4）： 551-559.

［18］? Wang C， Wang Q， Ren K， et al. Ensuring data storage security in cloud computing[C]//2009 17th International Workshop on Quality of Service， July 13-15， 2009， Charleston， SC. IEEE， 2009： 1-9.

（編輯? 侯湘）