盧晨昕，陳兵，丁寧，陳立全，吳戈

具有緊湊標(biāo)簽的基于身份匿名云審計(jì)方案

盧晨昕1，陳兵2，丁寧2，陳立全1，吳戈1

（1. 東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇 無(wú)錫 214081；2. 宿遷市互聯(lián)網(wǎng)信息辦公室，江蘇 宿遷 223834；

云存儲(chǔ)技術(shù)具有效率高、可擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)。用戶可以借助云存儲(chǔ)技術(shù)節(jié)省本地的存儲(chǔ)開銷，并與他人共享數(shù)據(jù)。然而，數(shù)據(jù)存儲(chǔ)到云服務(wù)器后，用戶失去對(duì)數(shù)據(jù)的物理控制，需要有相應(yīng)的機(jī)制保證云中數(shù)據(jù)的完整性。數(shù)據(jù)擁有證明（PDP，provable data possession）機(jī)制允許用戶或用戶委托的第三方審計(jì)員（TPA，third party auditor）對(duì)數(shù)據(jù)完整性進(jìn)行驗(yàn)證。但在實(shí)際應(yīng)用中，數(shù)據(jù)通常由多個(gè)用戶共同維護(hù)，用戶在進(jìn)行完整性驗(yàn)證請(qǐng)求的同時(shí)泄露了自己的身份。匿名云審計(jì)支持TPA在完成數(shù)據(jù)完整性驗(yàn)證時(shí)保證用戶的匿名性。在基于身份體制下，匿名云審計(jì)方案通常需要借助基于身份的環(huán)簽名或群簽名技術(shù)實(shí)現(xiàn)，數(shù)據(jù)標(biāo)簽的構(gòu)成元素與用戶數(shù)量相關(guān)，使得數(shù)據(jù)標(biāo)簽不夠緊湊，存儲(chǔ)效率較低。為了解決這一問(wèn)題，提出一種基于身份的匿名云審計(jì)方案通用構(gòu)造，使用一個(gè)傳統(tǒng)體制下的簽名方案和一個(gè)傳統(tǒng)體制下的匿名云審計(jì)方案即可構(gòu)造一個(gè)基于身份的匿名云審計(jì)方案?；谠撏ㄓ脴?gòu)造，使用BLS簽名和一個(gè)傳統(tǒng)體制下具有緊湊標(biāo)簽的匿名云審計(jì)方案設(shè)計(jì)了具有緊湊標(biāo)簽的基于身份匿名云審計(jì)方案。該方案主要優(yōu)勢(shì)在于數(shù)據(jù)標(biāo)簽短，能夠減少云服務(wù)器的存儲(chǔ)壓力，提高存儲(chǔ)效率。此外，證明了該方案的不可欺騙性和匿名性。

云審計(jì)；隱私保護(hù)；匿名；基于身份體制；緊湊標(biāo)簽

0 引言

隨著大數(shù)據(jù)時(shí)代的來(lái)臨，網(wǎng)絡(luò)中的數(shù)據(jù)呈爆發(fā)式增長(zhǎng)，數(shù)據(jù)呈多元化趨勢(shì)，數(shù)據(jù)存儲(chǔ)安全變得尤為重要。云存儲(chǔ)作為現(xiàn)代存儲(chǔ)的一種典型方式，具有高效率、可擴(kuò)展性、靈活性等優(yōu)勢(shì)，云用戶可以隨時(shí)隨地訪問(wèn)云中各類共享資源[1]。因此，個(gè)人、企業(yè)、政府機(jī)構(gòu)等開始將數(shù)據(jù)上傳至云服務(wù)器中以降低本地存儲(chǔ)成本和管理成本[2]。然而，數(shù)據(jù)從本地存儲(chǔ)變?yōu)樵拼鎯?chǔ)，使個(gè)人或機(jī)構(gòu)失去了對(duì)數(shù)據(jù)的物理控制。此外，存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)可能會(huì)因?yàn)閿嚯?、設(shè)備損壞等物理原因或人為惡意操作遭受破壞，云服務(wù)提供商（CSP，cloud service provider）并非完全可信，如何驗(yàn)證云中數(shù)據(jù)完整性成關(guān)鍵問(wèn)題[3]。

為了解決這個(gè)問(wèn)題，Deswarte等[4]提出了遠(yuǎn)程數(shù)據(jù)完整性檢驗(yàn)（RDIC，remote data integrity checking）這一概念。遠(yuǎn)程數(shù)據(jù)完整性檢驗(yàn)主要包含3個(gè)實(shí)體：用戶、云服務(wù)器以及第三方審計(jì)員（TPA，third party auditor）。在公開可驗(yàn)證的RDIC協(xié)議中，用戶可以委托信任的第三方審計(jì)員對(duì)云服務(wù)器發(fā)起挑戰(zhàn)，通過(guò)服務(wù)器對(duì)挑戰(zhàn)的應(yīng)答來(lái)驗(yàn)證上傳至服務(wù)器中的數(shù)據(jù)是否被篡改等。Ateniese等[5]提出了數(shù)據(jù)擁有證明機(jī)制（PDP，provable data possession）以驗(yàn)證數(shù)據(jù)完整性。在該方案中，云服務(wù)器中的每個(gè)數(shù)據(jù)塊都附加一個(gè)標(biāo)簽。當(dāng)檢驗(yàn)云中數(shù)據(jù)完整性時(shí)，驗(yàn)證者隨機(jī)選擇一組數(shù)據(jù)塊對(duì)服務(wù)器發(fā)起挑戰(zhàn)。若服務(wù)器的響應(yīng)通過(guò)驗(yàn)證，則證明數(shù)據(jù)被安全正確地存儲(chǔ)在云服務(wù)器中。該方案避免了驗(yàn)證者下載數(shù)據(jù)塊再進(jìn)行驗(yàn)證的煩瑣操作。在實(shí)際應(yīng)用中，云中數(shù)據(jù)通常由組內(nèi)成員共享，且在某些場(chǎng)合下要求驗(yàn)證過(guò)程中為組內(nèi)成員提供匿名性。

2012年，Wang等[6]提出了共享數(shù)據(jù)的隱私保護(hù)云審計(jì)。在該方案中，TPA生成的挑戰(zhàn)包含組內(nèi)所有用戶的公鑰，能夠在審計(jì)過(guò)程中保證用戶的匿名性。在此之后，許多隱私保護(hù)云審計(jì)方案被提出，如文獻(xiàn)[7-8]等，但大多采用了環(huán)簽名[9-10]或群簽名[11-12]技術(shù)實(shí)現(xiàn)匿名性。這種做法生成的標(biāo)簽大小顯著增加，存儲(chǔ)效率不高。

為了改進(jìn)這一局限性，Wu等[13]提出了多用戶環(huán)境下的匿名云審計(jì)方案。在該方案中，不采用環(huán)簽名或群簽名技術(shù)，消息的驗(yàn)證標(biāo)簽僅包含一個(gè)元素，在實(shí)現(xiàn)用戶匿名性的同時(shí)降低了標(biāo)簽的存儲(chǔ)成本以及審計(jì)過(guò)程中的傳輸和驗(yàn)證成本。然而，該方案為傳統(tǒng)體制下的云審計(jì)方案，密鑰管理較為復(fù)雜?；谏矸莸拿艽a體制以用戶身份作為公鑰，無(wú)須證書機(jī)構(gòu)CA授權(quán)，減少了證書管理。在基于身份體制下實(shí)現(xiàn)匿名云審計(jì)，類似于傳統(tǒng)體制，可以借助基于身份的環(huán)簽名或群簽名技術(shù)實(shí)現(xiàn)基于身份體制下的匿名審計(jì)。但這種方案產(chǎn)生的標(biāo)簽同樣不緊湊，存儲(chǔ)效率不高，增加了審計(jì)過(guò)程中的傳輸成本和驗(yàn)證成本。

在電子匿名投票系統(tǒng)中，用戶將自己的投票結(jié)果提交至云服務(wù)器。為了保證投票結(jié)果是真實(shí)有效的，云存儲(chǔ)中的數(shù)據(jù)應(yīng)不可被篡改偽造，即應(yīng)保證云中數(shù)據(jù)完整性。為了保證選舉的公平，應(yīng)對(duì)投票人進(jìn)行匿名化操作。在選票數(shù)量較大時(shí)，為了減少存儲(chǔ)空間，用戶生成的標(biāo)簽應(yīng)較為緊湊，且投票結(jié)果往往具有時(shí)效性，這就要求方案有較高的審計(jì)效率。此外，普通用戶部署公鑰基礎(chǔ)設(shè)施（PKI，public key infrastructure）成本較高，更適合采用基于身份的密碼體制。因此，基于身份體制下，標(biāo)簽短且審計(jì)效率高的匿名云審計(jì)方案有很大的應(yīng)用場(chǎng)景。目前，對(duì)于這一方面的研究較少，相關(guān)工作如下。

Shacham和Waters[14]提出了基于線性同態(tài)驗(yàn)證器（LHA，linear homomorphic authenticator）的云審計(jì)方案。該方案基于PKI證書的生成、管理以及吊銷等，過(guò)程較為復(fù)雜，且計(jì)算成本較高。1984年，Shamir[15]提出了基于身份的密碼體制，使用用戶的身份標(biāo)識(shí)（如姓名、IP地址、電子郵件地址等）作為公鑰，解決了用戶的公鑰與身份進(jìn)行綁定的問(wèn)題。近年來(lái)，許多基于身份的云審計(jì)方案被提出。Yu等[16]提出了基于身份的遠(yuǎn)程數(shù)據(jù)完整性檢驗(yàn)方案，該方案使用同態(tài)加密技術(shù)，降低了公鑰管理的復(fù)雜性。Rabaninejad等[3]提出了基于身份的在線/離線云審計(jì)方案。該方案將用戶的計(jì)算分為兩個(gè)階段：在線階段和離線階段。用戶在離線階段完成復(fù)雜的計(jì)算，在線階段僅需完成輕量級(jí)的操作，提高了運(yùn)行效率。Zhang等[17]提出了支持用戶高效撤銷的云審計(jì)方案。Shen等[18]提出了隱藏用戶敏感信息的條件下實(shí)現(xiàn)用戶數(shù)據(jù)共享的云審計(jì)方案。

目前，尚未有一種基于身份體制下的匿名云審計(jì)方案的通用構(gòu)造，大多數(shù)的文獻(xiàn)是針對(duì)具體的應(yīng)用場(chǎng)景或安全需求提出的方案。2004年，Bellare等[19]提出了將傳統(tǒng)體制下的簽名方案轉(zhuǎn)換為基于身份的簽名方案的方法。2006年，Galindo等[20]對(duì)該方法進(jìn)行了拓展，提出了具有附加屬性的基于身份的簽名方案的通用構(gòu)造，包括基于身份的盲簽名方案、代理重簽名方案等。這些方案都是由傳統(tǒng)體制下的簽名和具有附加屬性的簽名方案構(gòu)造而成。受Bellare等及Galindo等通用構(gòu)造的啟發(fā)，本文研究借助傳統(tǒng)體制下的云審計(jì)方案構(gòu)造基于身份體制下的云審計(jì)方案。

本文提出了一種基于身份體制下的匿名云審計(jì)方案的通用構(gòu)造，并給出了安全性證明?；谠撏ㄓ脴?gòu)造，以BLS簽名[21]和具有緊湊標(biāo)簽的匿名云審計(jì)方案[13]為組件，設(shè)計(jì)了具有緊湊標(biāo)簽的基于身份的匿名云審計(jì)方案。該方案實(shí)現(xiàn)了云服務(wù)器對(duì)于TPA的不可欺騙性和信息論安全的用戶匿名性，且標(biāo)簽緊湊，標(biāo)簽大小與用戶的數(shù)量無(wú)關(guān)。

1 預(yù)備知識(shí)

1.1 系統(tǒng)模型

基于身份的匿名云審計(jì)方案包含4個(gè)實(shí)體，系統(tǒng)模型如圖1所示。

1) 私鑰生成中心（PKG）：PKG產(chǎn)生主密鑰以及基于用戶身份的密鑰。

2) 云服務(wù)器（CS）：云服務(wù)器中包含用戶上傳的索引?數(shù)據(jù)?標(biāo)簽元組，可以應(yīng)對(duì)來(lái)自TPA的挑戰(zhàn)。

3) 用戶組：用戶組中的每個(gè)用戶都可以使用基于其身份的密鑰計(jì)算上傳的數(shù)據(jù)標(biāo)簽，然后將索引?數(shù)據(jù)?標(biāo)簽元組上傳至云服務(wù)器中。

4) 第三方審計(jì)員：TPA在接收到某一組用戶對(duì)存儲(chǔ)在云服務(wù)器中的數(shù)據(jù)檢驗(yàn)請(qǐng)求后，向云服務(wù)器發(fā)出挑戰(zhàn)來(lái)執(zhí)行審計(jì)過(guò)程，檢驗(yàn)用戶數(shù)據(jù)的有效性，并將檢驗(yàn)結(jié)果告知用戶。

圖1 系統(tǒng)模型

Figure 1 System model

1.2 雙線性映射

2 方案定義

2.1 標(biāo)準(zhǔn)簽名方案

定義1 標(biāo)準(zhǔn)簽名方案由4個(gè)算法組成，分別為初始化算法Setup，密鑰生成算法KeyGen，簽名算法Sign以及驗(yàn)證算法Verify。算法具體描述如下。

定義2 （不可偽造性）。標(biāo)準(zhǔn)簽名方案的不可偽造性由敵手A和挑戰(zhàn)者C之間的游戲定義，它包含3個(gè)階段，分別為初始化階段、簽名詢問(wèn)階段以及偽造階段，具體描述如下。

1) 初始化

2) 簽名詢問(wèn)

3) 偽造

2.2 匿名云審計(jì)方案

定義3 匿名云審計(jì)方案由6個(gè)算法組成，分別為初始化算法Setup、密鑰生成算法KeyGen、標(biāo)簽生成算法TagGen、挑戰(zhàn)算法Challenge、應(yīng)答算法Respond、驗(yàn)證算法Verify。算法具體描述如下。

定義4 （不可欺騙性）。匿名云審計(jì)方案的不可欺騙性由敵手A和挑戰(zhàn)者C之間的游戲定義, 它包含4個(gè)階段，分別為初始化階段、標(biāo)簽詢問(wèn)階段、挑戰(zhàn)階段和應(yīng)答階段，具體描述如下。

1) 初始化

2) 標(biāo)簽詢問(wèn)

3) 挑戰(zhàn)

A選擇消息塊索引集，中至少包含一個(gè)之前沒(méi)有被查詢過(guò)簽名預(yù)言的索引。A將發(fā)送給C，C 運(yùn)行Challenge算法，生成挑戰(zhàn)chal返回給A。

4) 應(yīng)答

A輸出應(yīng)答res。如果res通過(guò)驗(yàn)證并且中至少包含一個(gè)沒(méi)有詢問(wèn)過(guò)標(biāo)簽的索引, 則A贏得游戲。A在上述游戲中的優(yōu)勢(shì)定義為

定義5 （匿名性）。匿名云審計(jì)方案的匿名性由敵手A和挑戰(zhàn)者C之間的游戲定義，它包含4個(gè)階段，分別為初始化階段、挑戰(zhàn)階段、應(yīng)答階段以及猜測(cè)階段，具體描述如下。

1) 初始化

2) 挑戰(zhàn)

3) 應(yīng)答

4) 猜測(cè)

2.3 基于身份的匿名云審計(jì)方案

定義6 基于身份的匿名云審計(jì)方案由6個(gè)算法組成，分別為初始化算法Setup、密鑰提取算法KeyExt、標(biāo)簽生成算法TagGen、挑戰(zhàn)算法 Challenge、應(yīng)答算法Respond、驗(yàn)證算法Verify。算法具體描述如下。

定義7 （不可欺騙性）。基于身份的匿名云審計(jì)方案由敵手A和挑戰(zhàn)者C之間的游戲定義。敵手A模仿云服務(wù)器的不誠(chéng)實(shí)行為，即在數(shù)據(jù)沒(méi)有安全正確存儲(chǔ)在服務(wù)器上時(shí)，云服務(wù)器欺騙TPA數(shù)據(jù)仍被安全存儲(chǔ)。游戲包含5個(gè)階段，分別為初始化階段、密鑰詢問(wèn)階段、標(biāo)簽詢問(wèn)階段、挑戰(zhàn)階段以及應(yīng)答階段，具體描述如下。

1) 初始化

2) 密鑰詢問(wèn)

3) 標(biāo)簽詢問(wèn)

4) 挑戰(zhàn)

A選擇任意消息索引塊，其中至少包含一個(gè)之前沒(méi)有被詢問(wèn)過(guò)的標(biāo)簽。C運(yùn)行Challenge算法生成挑戰(zhàn)chal，并將chal返回A。

5) 應(yīng)答

A輸出應(yīng)答res。如果A輸出的res通過(guò)驗(yàn)證且中至少包含一個(gè)沒(méi)有詢問(wèn)過(guò)標(biāo)簽的索引，則敵手A贏得游戲。A贏得游戲的優(yōu)勢(shì)定義為：

定義8 （匿名性）。除了要保證用戶上傳的信息被安全存儲(chǔ)在云服務(wù)器外，安全的基于身份的匿名云審計(jì)方案還要保證TPA無(wú)法得知用戶的身份。在審計(jì)過(guò)程中，不誠(chéng)實(shí)的TPA可能會(huì)試圖區(qū)分用戶的身份?；谏矸莸哪涿茖徲?jì)方案的匿名性由敵手A和挑戰(zhàn)者C之間的游戲定義。考慮敵手A擁有無(wú)限的計(jì)算能力，如果它在以下游戲中贏得游戲的優(yōu)勢(shì)為零，則該方案具有信息論安全的匿名性。游戲包含4個(gè)階段，分別為初始化階段、挑戰(zhàn)階段、應(yīng)答階段以及猜測(cè)階段，具體描述如下：

1) 初始化

2) 挑戰(zhàn)

3) 應(yīng)答

4) 猜測(cè)

3 基于身份的匿名云審計(jì)通用構(gòu)造

3.1 通用構(gòu)造

圖2 通用構(gòu)造

Figure 2 General construction

3.3 正確性定義

3.2 安全性分析

1) 初始化

2) 密鑰詢問(wèn)

3) 標(biāo)簽詢問(wèn)

4) 挑戰(zhàn)

5) 偽造

AIBA輸出偽造的應(yīng)答res。

1) 初始化

2) 挑戰(zhàn)

3) 應(yīng)答

4) 猜測(cè)

4 基于身份的匿名云審計(jì)具體實(shí)例

BLS（boneh-lynn-shacham）簽名算法是一種可以實(shí)現(xiàn)簽名聚合和密鑰聚合的算法。使用BLS簽名算法構(gòu)造多用戶匿名云審計(jì)方案，能夠降低計(jì)算開銷和通信開銷。此外，Wu等[13]提出的匿名云審計(jì)方案標(biāo)簽緊湊，僅包含一個(gè)元素，能夠降低標(biāo)簽的存儲(chǔ)成本，也能使審計(jì)效率和驗(yàn)證效率大大提高。因此，具體實(shí)例以這兩個(gè)方案為模塊，構(gòu)造具有緊湊標(biāo)簽的基于身份的匿名云審計(jì)方案。

4.1 標(biāo)準(zhǔn)簽名方案構(gòu)造

證明 詳見參考文獻(xiàn)[21]。

4.2 匿名云審計(jì)方案

b) 計(jì)算

若成立，輸出1，否則輸出0。

引理1 （不可欺騙性）。如果有一個(gè)在時(shí)間內(nèi)運(yùn)行的敵手，最多詢問(wèn)個(gè)哈希預(yù)言，并且可以自適應(yīng)地詢問(wèn)簽名預(yù)言，則它在對(duì)某個(gè)挑戰(zhàn)輸出一個(gè)有效的應(yīng)答方面具有優(yōu)勢(shì)，那么，有一個(gè)在多項(xiàng)式時(shí)間運(yùn)行的仿真算法通過(guò)與敵手的交互解決vBDH問(wèn)題的優(yōu)勢(shì)至少為。

證明 詳見參考文獻(xiàn)[13]。

引理2 （匿名性）。匿名多用戶云審計(jì)方案達(dá)到信息論上的匿名性。

證明 詳見參考文獻(xiàn)[13]。

4.3 參照通用構(gòu)造的基于身份匿名云審計(jì)實(shí)例方案

4.3.1 方案構(gòu)造

b) TPA檢查下式是否成立。

之后，按照以下步驟生成證明。

則驗(yàn)證成功，TPA認(rèn)為用戶上傳至云服務(wù)器中數(shù)據(jù)的完整性得到保證。

4.3.2 正確性分析

云服務(wù)器在接收到挑戰(zhàn)chal后，通過(guò)

驗(yàn)證秘密值的正確性。之后，計(jì)算

其中，

TPA計(jì)算如下：

因此，有：

4.3.3 安全性分析

表2 性能比較

5 討論

本節(jié)從標(biāo)簽大小、挑戰(zhàn)計(jì)算開銷、應(yīng)答計(jì)算開銷以及驗(yàn)證計(jì)算開銷4個(gè)方面，對(duì)本文提出的基于身份的匿名云審計(jì)方案IBA和傳統(tǒng)體制下的匿名云審計(jì)方案[13]、基于身份體制下采用環(huán)簽名的云審計(jì)方案[22]進(jìn)行比較。表1列出了比較中所使用的各個(gè)符號(hào)定義。表2列出了3個(gè)方案的在以上4個(gè)方面的性能比較。

表1 符號(hào)定義

從表2可以看出，與文獻(xiàn)[13]方案相比，本文提出的基于身份的匿名云審計(jì)方案僅在標(biāo)簽大小和挑戰(zhàn)計(jì)算開銷上有所增加，在應(yīng)答計(jì)算開銷和驗(yàn)證計(jì)算開銷上與文獻(xiàn)[13]方案保持一致。與文獻(xiàn)[22]方案相比，本文方案在標(biāo)簽大小上顯著減少，在驗(yàn)證計(jì)算開銷方面，效率也高于文獻(xiàn)[22]方案。

6 結(jié)束語(yǔ)

本文提出了一種基于身份的匿名云審計(jì)方案的通用構(gòu)造，并使用具體的簽名方案和匿名云審計(jì)方案實(shí)現(xiàn)了這一構(gòu)造。在該方案中，用戶可以將文件上傳至云服務(wù)器，與組中其他用戶共享。用戶可以委托TPA檢驗(yàn)存儲(chǔ)的數(shù)據(jù)是否被篡改或刪除，確保上傳數(shù)據(jù)的完整性。由于采用的匿名云審計(jì)方案具有緊湊標(biāo)簽這一優(yōu)勢(shì)，該方案產(chǎn)生的標(biāo)簽也是緊湊的，大大降低了存儲(chǔ)成本。此外，該方案證明了在TPA不誠(chéng)實(shí)的情況下，無(wú)法辨認(rèn)出上傳文件是組中的哪一個(gè)用戶，保證了用戶的匿名性。綜上，該方案具有理想的安全性。

[1] BHAJANTRI L B, MUJAWAR T.A survey of cloud computing security challenges, issues and their countermeasures[C]// 2019 Third International Conference on I-SMAC (IoT in Social, Mobile, Analytics and Cloud). 2019: 376-380.

[2] GUDEME J R, PASUPULETI S, KANDUKURI R. Certificateless privacy preserving public auditing for dynamic shared data with group user revocation in cloud storage[J]. Journal of Parallel and Distributed Computing, 2021, (156): 163-175.

[3] RABANINEJAD R, RAJABZADEH ASAAR M, AHMADIAN ATTARI M, et al. An identity-based online/offline secure cloud storage auditing scheme[J]. Cluster Computing: The Journal of Networks, Software Tools and Applications, 2020, 23(2): 55-68.

[4] DESWARTE Y, QUISQUATER J J, SA?DANE A. Remote integrity checking[C]//Integrity and Internal Control in Information Systems VI-IICIS 2003. 2003: 1-11.

[5] ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//14th ACM Conference: Computer & Communications Security. 2007: 598-609.

[6] BOYANG W, BAOCHUN L, HUI L. Oruta: privacy-preserving public auditing for shared data in the cloud[J]. IEEE Transactions on Cloud Computing, 2014, 2(1): 43-56.

[7] FENG Y, MU Y, YANG G, et al. A new public remote integrity checking scheme with user privacy[C]//20th Australasian Conference on Information Security and Privacy (ACISP 2015). 2015: 377-394.

[8] BOYANG W, HUI L, MING L. Privacy-preserving public auditing for shared cloud data supporting group dynamics[C]//2013 IEEE International Conference on Communications-ICC. 2013: 1946-1950.

[9] BONEH D, GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear Maps[C]//Advances in Cryptology—EUROCRYPT 2003. 2003: 416-432.

[10] RIVEST R L, SHAMIR A, TAUMAN Y. How to leak a secret[C]// Advances in Cryptology— ASIACRYPT 2001. 2001: 552-565.

[11] FERRARA A L, GREEN M, HOHENBERGER S, et al. Practical short signature batch verification[C]// Topics in Cryptology–CT-RSA 2009. 2009: 309-324.

[12] BONEH D, BOYEN X, SHACHAM H.Short group signatures[C]// Advances in Cryptology–CRYPTO 2004. 2004: 41-55.

[13] WU G, MU Y, SUSILO W, et al. Privacy-preserving cloud auditing with multiple uploaders[C]// Information Security Practice and Experience-ISPEC 2016. 2016: 224-237.

[14] SHACHAM H, WATERS B. Compact proofs of retrievability[J]. Journal of Cryptology, 2013, 26(3): 442-83.

[15] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Advances in Cryptology—CRYPTO 1984. 1984: 47-53.

[16] YU Y, AU M H, ATENIESE G, et al.Identity-based remote data integrity checking with perfect data privacy preserving for cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(4): 767-78.

[17] ZHANG Y, YU J, HAO R, et al. Enabling efficient user revocation in identity-based cloud storage auditing for shared big data[J]. IEEE Transactions on Dependable and Secure Computing, 2020, 17(3): 608-619.

[18] WENTING S, JING Q, JIA Y, et al. Enabling identity-based integrity auditing and data sharing with sensitive information hiding for secure cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2019, 14(2): 331-46.

[19] BELLARE M, NAMPREMPRE C, NEVEN G.Security proofs for identity-based identification and signature schemes[J].Journal of Cryptology, 2009, 22(1): 1-61.

[20] GALINDO D, HERRANZ J, KILTZ E. On the generic construction of identity-based signatures with additional properties[C]//Advances in Cryptology–ASIACRYPT 2006. 2006: 178-193.

[21] BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing[J]. Pairings and Their Use in Cryptology, 2004, 17(4): 297-319.

[22] SINGH S, THOKCHOM S. Public integrity auditing for shared dynamic cloud data[C]//6th International Conference on Smart Computing and Communications (ICSCC) 2018: 698-708.

Identity-based anonymous cloud auditing scheme with compact tags

LU Chenxin1, CHEN Bing2, DING Ning2, CHEN Liquan1, WU Ge1

1. School of Cyber Science and Engineering, Southeast University, Wuxi214081, China 2. Cyberspace Administration of Suqian City, Suqian 223834, China

Cloud storage has the advantages of high efficiency and scalability. Users can save local storage cost and share data with others through cloud storage technology. However, when data is uploaded to cloud servers, its owner also loses the physical control, and hence there needs a corresponding mechanism to ensure the integrity of data stored in the cloud. The Provable Data Possession (PDP) mechanism allows users or a Third-Party Auditor (TPA) appointed by the user to verify data integrity. In practice, data is usually maintained by multiple users. Users may reveal their identities while making an integrity verification request in traditional auditing processes. Anonymous cloud auditing ensures anonymity of users against the TPA during auditing. Currently, in identity-based systems, anonymous cloud auditing schemes usually resort to identity-based ring signature or group signature schemes. As a result, the size of a tag is related to the number of users, which makes it not compact and causes high storage cost. In order to solve this issue, a general construction of identity-based anonymous cloud auditing scheme was proposed. With a signature scheme and an anonymous cloud auditing scheme, a concrete identity-based anonymous cloud auditing scheme based on the general construction was proposed. It combined theBLS signature and an anonymous cloud auditing scheme with compact tags. The main advantage of this solution is that the tags are compact, which can significantly reduce storage cost and improve storage efficiency. Furthermore, the uncheatability and anonymity of the scheme are proved.

cloud auditing, privacy protection, anonymous, identity-based system, compact tags

TP393

A

10.11959/j.issn.2096?109x.2022087

2022?03?29；

2022?06?28

吳戈，gewu@seu.edu.cn

國(guó)家重點(diǎn)研發(fā)計(jì)劃（2020YFE0200600）；國(guó)家自然科學(xué)基金（62002058）；江蘇省自然科學(xué)基金（BK20200391）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金（2242021R40011）；宿遷市網(wǎng)信領(lǐng)域研究課題

TheNational Key R&D Program of China (2020YFE0200600), The National Natural Science Foundation of China (62002058), Natural Science Foundation of Jiangsu Province (BK20200391), Fundamental Research Funds for the Central Universities (2242021R40011), Research Topic in the Network Communicaiton Field in Suqian

盧晨昕, 陳兵, 丁寧, 等. 具有緊湊標(biāo)簽的基于身份匿名云審計(jì)方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(6): 156-168.

LU C X, CHEN B, DING N, et al. Identity-based anonymous cloud auditing scheme with compact tags[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 156-168.

盧晨昕（1998?），女，福建寧德人，東南大學(xué)碩士生，主要研究方向?yàn)槊艽a學(xué)。

陳兵（1970?），男，江蘇泗陽(yáng)人，宿遷市互聯(lián)網(wǎng)信息辦公室副主任，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、可信體系建設(shè)。

丁寧（1990?），女，江蘇宿遷人，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、可信體系建設(shè)。

陳立全（1976?），男，廣西玉林人，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩⒚艽a學(xué)和網(wǎng)絡(luò)安全協(xié)議。

吳戈（1990?），男，江蘇徐州人，東南大學(xué)副研究員，主要研究方向?yàn)槊艽a學(xué)。