[发明专利]一种面向云存储的远程数据完整性验证方法

权利要求书

1.一种面向云存储的远程数据完整性验证方法，其特征在于包括以下步骤：

步骤1，系统初始化

系统运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器,产生两个阶为素数q的双线性群G,G_t,g是群G的生成元,e:G×G→G_t为双线性对运算,定义一个安全的Hash函数H:{0，1)^*→G;

给定文件F,系统使用Reed-Solomon编码将文件分为n块F(m₁，m₂，...，m_n)其中

步骤2，系统生成密钥

系统运行密钥生成算法KeyGen，为用户U生成私钥：随机数则相应的公钥为类似地，系统为第三方审计人TPA生成私钥：随机数则相应的公钥为yTPA=gxTPA;]]>

步骤3，用户存储文件

用户运行签名生成算法SigGen(sk_U，F)为每一个数据块m_i生成一个同态认证值(homomorphic authenticator)：作为文件的元数据，所有数据块的同态认证值是可以聚集成一个标签值：φ＝{σ_i}，1≤i≤n;

用户采用Merkle哈希树将各数据块结构化，同时对根节点R进行签名将{F，φ，σ_R}发送给云存储服务器CSS。

步骤4，一般完整性验证

4.1用户发出挑战请求

用户U对文件F进行数据完整性验证时,生成一组挑战信息发送给云存储服务器CSS，其中I＝{s₁，...，s_c}，s₁≤i≤s_c，对于每一个s_i∈I，s_i表示第i个数据块m_i的索引，随机数

4.2服务器生成证明

云存储服务器CSS接收到用户U发送的挑战信息之后,计算生成一段证明：

ζi=yTPAri,μi=σi·gri,ζ=Πi=s1scζi,μ=Πi=s1scμi,θ=Σiscmi---(1)]]>

同时，CSS提供给用户一组辅助信息：{Ω_i}，s₁≤i≤s_c，表示第i个叶子节点(存储了H(m_i))到根节点R的路径上所有兄弟节点的集合，最后，CSS发给用户U一段证明：

P＝{(ζ，μ，θ)，{H(m_i)}，{Ω_i)，σ_R}           (2)

其中s_l≤i≤s_c，而(ζ，μ)则是关于θ的指定证明人签名。；

4.3用户完整性验证

用户U收到云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i)生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则U拒绝验证该证明，并输出失败信息。如果上述等式成立，则U继续计算下列等式是否成立：

e(μ,yTPA)≡e(ζ,g)·e(Πi=s1scH(mi)·uθ,yTPA)xU---(3)]]>

如果上述等式成立，则该证明验证通过。

步骤5，不可否认的完整性验证

当发生争议时，第三方审计人TPA可以参与到完整性验证过程中，并给出不可否认的最终证明。TPA接收到CSS云存储服务器发送来的证明P之后，首先利用{H(m_i)}{Ω_i}生成根节点R。然后通过计算等式e(σ_R，g)≡e(H(R)，y_U)是否成立,来验证R值是否被篡改。如果等式不成立，则TPA拒绝验证该证明，并输出失败信息1。否则，TPA继续计算下列等式是否成立：

e(μ,yTPA)≡e(ζ,g)·e(Πi=s1scH(mi)·uθ,yU)xTPA---(4)]]>

如果上述等式成立，则该证明验证通过，否则证明验证失败，输出失败信息1。需要生成不可否认的证明时，TPA首先调用上述TPA验证算法。如果验证通过，说明证明无误，TPA输出一段非交互式的零知识证明π₁，以证明两个离散对数相等的关系。

如果验证没有通过，输出了失败信息0，并且TPA将{H(m_i)}{Ω_i}这部分信息直接公开，从而任何人都能验证该结论。如果TPA输出的是失败信息1，则其输出一段非交互式的零知识证明π₂，以证明两个离散对数不相等的关系。对于上述非交互式的零知识证明，任何人都可以通过简单的计算加以验证。