支持密钥更新与审计者更换的云安全审计方案

周 磊1,2 陈珍珠1 付安民1,2 苏 铓1 俞 研1

1(南京理工大学计算机科学与工程学院 南京 210094) 2(广西可信软件重点实验室(桂林电子科技大学) 广西桂林 541004)

摘 要 云存储提供数据托管服务,解决了本地端数据管理与分享受限问题.但现有的用于确保云存储数据完整性的审计方案面临一个重要的安全问题:签名密钥一旦泄露,依赖于该密钥产生签名的审计方案将无法提供完整性保护.此外,现有审计方案均默认在整个审计期间仅有一个审计者,然而审计者可能由于被攻陷、被贿赂或资源不足不能再提供审计代理服务.因此,提出一个支持密钥更新与审计者更换的审计方案AKUAR(auditing scheme supporting key update and auditor replacement).针对密钥暴露导致签名无效问题,AKUAR结合双线性对与代理重签名思想设计了高效安全的密钥与标签更新机制,并且由云端承担计算复杂的标签更新操作,仅在本地端引入了少量的开销.此外,当充当审计者的雾节点退出审计时,新的雾节点可以代替其继续进行完整性审计工作,在保证新签名密钥不被泄露给旧雾节点的同时实现了审计服务的可持续性.安全分析证明了AKUAR是安全的,性能评估也证实了AKUAR在标签生成与密钥更新阶段仅引入了少量可接受的计算开销与通信开销.

关键词 云存储;完整性审计;密钥更新;密钥暴露抵制;审计者更换

网络空间被认为是继陆、海、空、天之后的第五大发展领域战略空间[1],其安全性关乎国家安全维护与社会经济发展,已成为新形势下各国重点关注的安全性问题.云存储数据完整性审计作为网络空间安全研究的一部分,对于为用户提供远程存储安全服务保障具有至关重要的意义.云存储提供一项数据外包存储服务[2-3],它允许用户将数据从性能受限的本地转移到具有丰富资源的云服务器,解决了数据管理与共享困难的问题.然而,这种依靠不可信云服务器来托管数据的服务面临着致命的挑战[4-6],即数据完整性很容易遭到破坏.此外,用户可能使用台式机、笔记本、平板电脑、智能手机等多样化的本地设备接入云存储服务[7-8],其中有些设备仅持有有限的计算能力与带宽资源.因此,在不对本地端引入过大的计算与通信开销的前提下,设计一种有效机制使用户能够验证云存储数据的完整性,对产业界和学术界都具有重要的意义.

尽管云存储安全审计在公开审计、数据动态、隐私保护、多副本、降低证书使用、公平支付等方面已经取得颇为丰富的研究成果,然而,现有审计方案都面临一个同样的安全问题:签名密钥一旦泄露,依赖于密钥安全性的审计方案将遭受破坏.大部分审计方案只考虑云服务器端的安全性,忽略了用户端可能存在的安全问题:1)用户可能出于经济考虑而选用一些廉价的软硬件密钥保护机制;2)由于缺乏安全意识,用户容易从网上下载一些包含木马的软件;3)当密钥较多时,用户可能由于密钥管理的复杂性而放弃对单个密钥的保护.以上因素均可能导致用户用于签名的密钥泄露.另外,密钥本身存在有效期,一旦过期,则需要立即进行更新.目前,云存储审计研究中已存在几个支持密钥更新的审计方案,但它们或多或少都存在一些局限性:云服务器与撤销用户勾结可以推测出审计密钥[9],审计过程安全性不完整[10],审计者被假定是完全被信任的[11],证书开销大[10-12]等.此外,在现实场景中可能出现因更换审计者而导致审计服务中断的情况.这是因为审计者可能由于资源不足或身份过期等原因不能再为用户提供审计代理服务,或者审计者可能与云服务器勾结隐瞒数据损坏事实而失信于用户[12],此时需要及时选择新的审计者来代替旧审计者,保证审计服务的可持续性.然而,现有审计方案均假设在审计期间有且仅有一个审计者,因此不能适用于审计者更换场景下的云存储数据安全审计.所以,设计安全高效的密钥更新机制并满足审计者更换需求是云存储数据审计研究中一个亟待解决的问题.

基于上述考虑,本文利用双线性对与代理重签名思想构造了一种支持密钥更新与审计者更换的云安全审计方案AKUAR(auditing scheme supporting key update and auditor replacement),有效地抵制了签名密钥暴露.不同于现有审计方案,AKUAR的签名密钥并不是由用户单独持有,而是由用户密钥、雾节点密钥以及时间密钥3部分计算而成,增强了密钥保护能力.针对签名密钥泄露、用户身份密钥到期以及雾节点更换3种导致签名密钥需要被更新的情况,AKUAR借鉴代理重签名思想设计了高效安全的密钥与标签更新机制,它选取云服务器作为更新签名的中间代理,保证了基于旧密钥产生的签名可以有效地转化为基于新密钥的签名,同时有效地降低用户独自更新密钥与标签所需的开销.此外,基于所设计的密钥与标签更新机制,AKUAR进一步实现了审计者可更换功能,保证了审计的可持续性.本文的主要工作归纳为3个方面:

1)不同于传统审计方案仅依赖用户私钥为数据块生成标签的情况,在本文提出的审计模型中,用户需要使用与雾节点共同协商的签名密钥来生成块标签.当用户或雾节点的密钥由于到期或泄露而需要进行签名密钥更新时,AKUAR设计了一个标签与密钥更新机制,使得基于旧签名密钥的签名能有效地更新为新签名密钥的签名,并且由云服务器承担计算量较大的标签更新操作,用户本地端仅需要执行少量的计算.在整个更新过程中,云服务器无法推测签名密钥,即云服务器不能代表用户生成合法的块标签,保证了签名更新的安全性.

2)AKUAR引入雾节点充当审计模型中的审计者,负责与云服务器进行审计交互以及帮助用户完成密钥更新过程,以降低用户在本地端的开销.相比于受地域限制的第三方审计者,雾节点具有更强的移动性,适合代替用户与云服务器进行审计交互工作.当雾节点出于主动或被动等原因需要退出审计任务时,AKUAR允许一个新的雾节点代替旧节点继续为用户提供数据审计服务,实现审计者更换,同时离开的雾节点也不能获取新的签名密钥.此外,云服务器可以对审计者的身份进行认证,确保离开的雾节点不再能发起完整性挑战,也避免了外部攻击者冒充在任雾节点挑战云服务器.

3)安全分析证明AKUAR满足正确性、不可伪造性、密钥暴露抵制与审计者更换属性.对比实验进一步证明了AKUAR在标签生成与密钥更新阶段仅引入了少量的计算与通信开销,并且本地端消耗的计算开销是一个与数据块数无关的常量.

1 相关工作

目前,相关学者在云存储数据完整性审计领域的研究已经颇为深入,主要是在公开审计、数据动态、数据隐私保护、多副本等领域取得了较为丰富的成果.2007年,Ateniese等人[13]提出了可证明数据持有技术(provable data possession, PDP),用于检查不可信服务器上存储数据的完整性.Wang[9]提出了基于代理的审计方案,允许用户不在线时依靠代理对云存储数据进行审计.为支持数据动态,Erway等人[14]提出了一种完全动态审计方案,它利用基于秩的认证跳表来支持存储数据的可证明更新.Wang等人[15]设计了另一种动态审计方案,它使用Merkle哈希树来实现数据更新功能.后来,韩静等人[16]设计了适用于数据实时更新的审计方案,而符晓庆等人[17]设计了基于分治邻接表的动态方案,满足了不同场景下的动态审计需求.针对第三方审计者企图在审计交互过程中提取数据隐私的问题,Wang等人[18]设计了支持数据隐私保护的审计方法,它通过在云服务器生成的审计证据中加入一次性随机因子来避免隐私内容泄露给审计者.后来,Nayak等人[19]在多用户模式下实现了具有隐私保护的批量审计,Wu等人[20]则设计了适用于现收现付存储业务模式的具有隐私保护性的审计协议.为提升数据的可用性和可恢复性,一些审计方案采用多副本存储模式存储用户的原始数据文件.Curtmola等人[21]提出了基于RSA签名的多副本审计方案,它采用先加密后随机化的方式保证了副本的可区分性.为了保证云上电子病历的完整性,Zhou等人[22]设计了一个面向电子病历数据动态存储的多副本审计方案,它采用多副本存储的方式来提升电子病历数据的可用性.为了降低证书的使用,Li等人[23]提出了一种基于身份签名的多副本审计方案,它将所有副本中位于同一序号的所有副本块的对应标签进行聚合,有效地降低了审计开销.基于无证书签名,Zhou等人[24]则设计了一个支持多副本动态高效更新的审计方案.与此同时,基于身份的签名与无证书签名也被用来实现单副本存储模式下的云数据安全审计[25-27],以降低证书开销.最近,富瑶等人[28]和Lin等人[29]结合数据隐私保护需求,利用区块链技术设计了满足公平支付的审计方案.

以上审计方案仅考虑云服务器的安全性,且不适用使用性能受限的本地设备接入云存储的用户.由于用户缺乏安全意识或者选用一些廉价的软硬件密钥保护机制,从而导致用于生成签名的密钥容易被泄露,而签名密钥一旦泄露,依赖于该密钥的审计方案将无法提供数据完整性保护.尽管目前已经存在几个支持密钥更新的审计方案,但是它们均存在一些缺陷:文献[9]虽然允许资源充足的云服务器完成耗时的标签更新过程,但攻击者通过与撤销用户勾结就可以推测出签名密钥;文献[10]仅能保证被暴露的密钥不会影响在暴露之前的标签的安全性;文献[11]虽然保障了在密钥暴露前后的审计的安全性,但是密钥与标签的更新完全依赖于可信的外部审计者;文献[12]将标签更新的计算转移至云服务器,降低了用户端开销,然而它需要假设第三方审计实体是完全可信的.以上方案都适用于使用传统公钥基础设施的审计场景,不可避免地引入了证书开销.此外,现有审计方案均默认有且仅有一个审计者来代替用户进行完整性挑战,然而审计者可能由于被攻陷、被贿赂或资源不足等原因,不能继续为用户提供审计代理服务.因此,如何设计一个安全高效的支持密钥更新与审计者更换的云安全审计方案仍然是一个开放性问题.

2 AKUAR的系统模型与安全模型

本节介绍了AKUAR的系统模型与安全模型.表1对AKUAR中的符号与含义进行了描述.

Table 1 Symbol Definition and Description of AKUAR

表1 AKUAR的符号定义及描述

符号描述Us使用本地端设备接入云存储的用户Fl承担来自Us的审计任务的雾节点UidksUs的身份密钥tk时间密钥sk签名密钥chal审计过程中的随机挑战P对应于随机挑战chal的审计证据

2.1 AKUAR的系统模型

图1给出了AKUAR的系统模型,具体包含4个实体:

1)用户(user, U).具有大量数据的实体,希望将数据上载到云服务器进行存储.同时委托雾节点对云存储数据进行完整性审计.

2)云服务器(cloud server, C).具有充足计算资源和存储空间的服务器,负责对上传数据进行存储管理,需要响应完整性审计挑战.

3)雾节点(fog node, F).用户和云服务器之间的中间节点,它接受来自用户的审计任务,与云服务器进行审计交互.

4)密钥生成中心(key generator center, KGC).负责生成身份密钥与时间密钥的可信实体,同时负责在系统设置阶段生成系统公开参数以及主密钥.

Fig.1 System model of AKUAR

图1 AKUAR的系统模型

2.2 AKUAR的安全模型

在AKUAR中,用户诚实地执行审计方案,KGC诚实地计算实体的部分密钥与时间密钥.而云服务器可能由于维护自身声誉而隐瞒数据损坏事实,企图通过伪造审计证据来通过雾节点的验证,同时云服务器负责标签更新工作,因此它可能企图提取新的签名密钥.此外,离开审计任务的雾节点可能企图推测新的签名密钥,也可能假冒在任雾节点向云服务器发起完整性挑战.那么AKUAR需要同时满足不可伪造性、审计正确性、密钥暴露抵制以及审计者更换.

定义1.不可伪造性.基于离散对数(discrete logarithm, DL)与计算Diffe-Hellman(computational Diffie-Hellman, CDH)假设,如果对于任意概率多项式时间(probabilistic polynomial time, PPT)攻击者A来说,它赢得伪造游戏的概率是可忽略的,则AKUAR满足不可伪造性.实际上A模拟了一个恶意的云服务器,具体来说,攻击者A与挑战者C之间的伪造游戏主要包含5个阶段:

1)设置阶段.C生成系统公开参数params与主私钥x,将params发送到A.

2)第1阶段询问.A自适应地发起哈希询问与标签询问.定义Q1为第1阶段询问的块索引集合,{bi,σi}1≤in为索引Q1对应的询问块与标签对.

3)挑战.C为所选索引集{i1,i2,…,ic}生成一个随机挑战chal,其中{i1,i2,…,ic}∉Q1c为挑战块数.随后C基于chal生成审计证据返回给A.

4)第2阶段询问.与第1阶段类似.定义Q2为第2阶段询问的块索引集合,定义{bi,σi}1≤in为索引Q2对应的块与标签对,且{i1,i2,…,ic}∉Q1Q2.

5)伪造.A输出基于随机挑战的审计证据.

定义2.审计正确性.如果所有实体都诚实地执行了审计方案AKUAR,则云服务器生成的审计证据可以通过雾节点的审计验证.

定义3.密钥暴露抵制.如果一个签名密钥被暴露时,该密钥与使用该密钥生成的签名可以被更新为新密钥与使用新密钥生成的签名,且执行标签更新的云服务器只能以可忽略的概率获得新的签名密钥.

定义4.审计者更换.当一个雾节点退出审计任务时,一个新的雾节点能代替其继续为用户提供审计服务,且旧雾节点不再能发起审计挑战.

3 方案AKUAR

云存储中数据完整性保证依赖于签名密钥的安全性,一旦密钥暴露或者更新,由该密钥生成的所有数据块签名都需要被一一更新,才能保证整个审计方案仍持续有效地进行.然而,重新计算所有数据块的签名对于用户本身来说是一个繁重的负担.代理重签名思想允许一个半可信的代理者将对应于一个密钥的签名转换为对应于另一个密钥的签名,并且该代理者不能得到转换前后的2个密钥.在本文提出的方案AKUAR中,代理重签名思想同样被用来解决签名密钥更新所导致的标签密钥更新问题.在AKUAR中,当签名密钥暴露或者需要更新时,云存储服务器可以根据接收到的更新因子对存储在云上的对应块标签进行更新,使得更新后的块签名等同于使用新的签名密钥在相同数据块上所产生的签名,从而避免了用户自己重新计算标签所导致的性能瓶颈问题.

AKUAR包含8个算法:系统设置Setup、身份密钥生成GenerateIDKey、签名密钥生成GenerateKey、标签生成GenerateTag、证据生成GenerateProof、证据验证VerifyProof、密钥更新UpdateKey以及标签更新UpdateTag.

1)系统设置Setup.KGC生成系统必需的参数.

KGC选择2个阶为q的乘法循环群:GG1,以及一个可计算的双线性对e:G×GG1q为一个大素数.KGC选取G的生成元g,并选择4个哈希函数,H1,H2,H3:{0,1}*→G,H4:{0,1}*→q.

KGC选择主密钥xq并计算X=gx.{x,X}为系统主密钥对,用于生成身份密钥.KGC选择yq并计算Y=gy.{y,Y}用于生成时间密钥.

KGC输出系统公开参数params={G,G1,q,e,g,H1,H2,H3,H4,X,Y},私钥{x,y}由KGC秘密持有.

2)身份密钥生成GenerateIDKey.用户Us(s∈{1,2,…,S},共S个用户)获取身份密钥Uidks.

Us提交身份密钥请求reqidk={Ut,Uids}给KGC,其中Ut∈{0,1}*为申请时间,Uids∈{0,1}*为用户身份.KGC为用户生成身份密钥Uidks=H1(UidsUt)xG,并将身份密钥Uidks发送给Us.

Us检查若式子成立,则Us接受Uidks作为其身份密钥,否则UsKGC重新发起身份密钥请求.

3)签名密钥生成GenerateKey.Us为原始文件创建一个任务许可证ws∈{0,1}*,包含任务要求、任务时间与报酬等.假设雾节点Fl(l∈{1,2,…,L},共L个雾节点)符合ws,则FlUs生成签名密钥sk.

Fl将身份标识Fidl∈{0,1}*发送给UsUs选择一个随机值Ursq,并计算URs=gUrs与授权信息Ws=H1(wsUidsFidl)Urs.然后Us将{Uids,Ws}发送给Fl,同时提交{Uids,Fidl,ws}给KGC进行存储.

② 收到{Uids,Ws}后,Fl检查是否成立.若式子不成立,则Fl拒绝该信息并通知Us;否则,在系统时间tFl将时间密钥请求reqtk={t,Uids,Fidl,Ws}提交给KGC.

KGC检查Uids是否在自己的存储列表中,若不存在则忽略该请求;否则KGC检查Ws的有效性:若式子不成立则忽略该请求;否则KGC计算时间密钥tk

tk=Uidks×H2(UidsFidlwst)y=

H1(UidsUt)x×H2(UidsFidlwst)y

(1)

KGC将存储信息{Uids,Fidl,ws}更新为{t,Uids,Fidl,ws,tk},并将时间密钥tk返给Fl.

④ 收到时间密钥tk后,Fl验证

e(H2(UidsFidlwst),Y).

(2)

若式(2)不成立,Fl要求KGC再次重新返回有效的时间密钥;若式(2)成立,则Fl选择Frlq,并计算签名密钥对:sk={tk,Frl},pk=gFrl.

4)标签生成GenerateTag.UsFl对文件进行初步处理,最后将数据与标签集上传到云服务器C.

Us划分n个数据块q}1≤in.然后Us计算并将盲化后的数据块集合M={bi}1≤in发送给Fl.

Fl选择一个随机值rG,并计算块标签:

σi=(H3(namenirbi)Frl×tk

(3)

同时Fl计算Sig0=H3(nameUidsFidl)Frl 得到签名Sig=Sig0WsnameUidsFidl.最后,Fl上传数据集{M={bi}1≤in,Σ={σi}1≤in,Ws,Sig}到C,并从本地删除{M,Σ}.

C通过检查上传数据集中Ws的有效性:若验证不通过,则忽略该数据集;若验证通过,则C进一步检查上传数据集中文件签名Sig的有效性:若验证不通过,则忽略该数据集;若验证通过,则C继续检查数据块与签名的一致性:

e(H2(UidsFidlwst),Y

e(H3(namenirbi,pk).

(4)

若验证不通过,则C忽略该数据集并通知Fl;若验证通过,则C存储收到的数据集.

5)证据生成GenerateProof.在数据存储期间,Fl生成随机挑战chal并发送给CC生成审计证据P并返回给Fl进行验证.

Fl生成随机挑战chal={Ws,Q},Q={(i,vi)}iI指定被挑战数据块的索引与对应随机值,I表示从{1,2,…,n}随机挑选的包含c个元素的集合,Ws用于验证挑战发起者身份的有效性.随后,Flchal发送给C.

② 收到chal后,C验证Ws的有效性:如果验证失败,终止算法并发送“失败”消息给Us;否则,C计算审计证据最终,C返回审计证据PFl.

6)证据验证VerifyProof.收到审计证据P后,Fl通过验证P的有效性:

(5)

如果等式成立,则Fl发送“成功”消息发给Us,意味着C真实地存储了Us的数据;否则,Fl发送“失败”消息发送给Us,也就意味着云上数据已遭破坏.

7)密钥更新UpdateKey.当密钥泄露时,需要对相应签名密钥进行更新,分3种情况.

情况1.签名密钥sk泄露,而Us的身份密钥Uidks没有泄露,且Us认为Fl是诚实的,则需要更新时间密钥,具体步骤有2个:

① 在系统时刻t′,FlKGC发送密钥更新请求 reqtk={t′,Uids,Fidl,Ws},KGC核实Fl身份:若验证不通过忽略该请求,否则更新时间密钥:

(6)

其中,tk为更新前的时间密钥,对应更新请求{t,Uids,Fidl,ws}.然后KGC发送tk′给Fl.

Fl验证如果验证通过,则Fl接受tk′并从本地删除tk,否则Fl再次请求KGC发送一次时间密钥.

情况2.在系统时刻t*,Us因为身份密钥Uidks泄露或到期,则更新身份密钥为Uidk*s,具体步骤有3个:

Us提交身份密钥请求reqidk={t*,Uids}给KGCKGC计算用户身份密钥Uidk*s=H1(Uidst*)x,并将Uidk*s发送给Us.然后Us检查若通过验证,Us接受Uidk*s,否则Us重新提交reqidk.随后Us要求Fl发起更新时间密钥请求.

Fl将时间密钥请求reqtk={t*,Uids,Fid*l,Ws}提交给KGC.KGC首先检查Uids是否在自己的存储列表中,若不存在则忽略.否则,KGC检查若验证不通过则忽略该请求,否则KGC更新时间密钥:

(7)

KGC将原来的存储信息{Uids,Fidl,ws}更新为{t*,Uids,Fidl,ws,tk*},并将tk*返给Fl.

Fl验证如果验证通过,则Fl接受它并从本地删除tk,否则Fl要求KGC重新返回一个有效的时间密钥.

情况3.在系统时刻t″,Fl主动退出审计或者Us发现Fl是不诚实的,一个符合ws新雾节点身份标识为替代原来的Fl,具体步骤有4个:

发送身份Us来获得授权签名发送KGC进行存储信息更新.

验证若验证不通过,终止算法并告知Us;否则提交时间密钥请求KGC.

KGC首先检查Uids是否在存储中,若不存在则忽略.否则,KGC进一步检查的有效性:若验证不通过则忽略reqtk,否则KGC更新时间密钥:

(8)

KGC将原来的存储信息更新为并将tk″返给

验证如果验证通过,接受tk″并从本地删除tk,否则要求KGC重新返回一个有效的时间密钥.

8)标签更新UpdateTag.执行完Updatekey后,Fl请求KGC计算更新因子uf并发送CC更新块标签.

KGC基于Updatekey算法中3种更新情况分别计算对应的更新因子:

(9)

将更新因子uf1,uf2,uf3发送给C进行标签更新.

C通过式(10)来更新标签,令 A=(H3(namenigbi)Frl

(10)

4 安全性分析

本节对方案AKUAR进行安全分析,包括正确性、不可伪造性、授权审计、密钥暴露抵制以及审计者更换.

定理1.如果所有实体都诚实地执行了AKUAR,则C生成的审计证据可以通过雾节点的验证.

证明.证明AKUAR的正确性等同于证明证据验证算法中式(5)成立.根据双线性对特性,可以从左到右推导式(5)来证明AKUAR的正确性:

由此得出结论,如果所有参与实体诚实地执行AKUAR,则云服务器C生成的证据可以通过Fl验证.

证毕.

定理2.基于DL与CDH假设,如果对于任意PPT攻击者A来说,它赢得伪造游戏的概率是可忽略的,则AKUAR满足不可伪造性.

证明.采用知识证明方法[7]来证明定理.如果C能够在不保留完整数据的情况下通过验证,那么就可以通过AKUAR与构建的知识提取器之间的反复交互过程来提取完整挑战块.现在通过一系列的游戏来完成这个证明过程.注意,云存储数据是经过处理后的数据块以及对应的块签名代表游戏中的挑战者,而A代表游戏中的攻击者.

游戏0:首先C运行系统设置、身份密钥生成与签名密钥生成算法,生成params和密钥,并将params发送给A.然后A选择一系列数据块,C运行标签生成算法,为这些数据块生成相应的块标签与文件签名并返回给A.随后C向A发送随机挑战.最后A返回一个基于此挑战的审计证据P,若P能够以不可忽略的概率通过C的验证,那么A获胜.

游戏1:与游戏0仅存在一个不同之处.C保存了一系列A的查询记录,同时C与A一起观察挑战与响应阶段的每个交互过程.如果A可以生成一个通过C验证的审计证据P′={u′,σ′},但P′={u′,σ′}中的u′和σ′与基于正确数据生成的有效证明P中的uσ不同,则C宣称挑战失败并终止游戏.

分析:在游戏中,挑战者C可以通过与A交互来观察每个交互过程.这里给出一些符号说明并得出一些相应的结论.Q={(i,vi)}是一个使C终止游戏的随机挑战,A基于Q生成审计证据P′.假设诚实服务器C返回的有效审计证据P={u,σ}.而A企图伪造证据P′={u′,σ′}来通过验证.如果P可以通过验证,得到公式:

即使C终止了游戏,先假设σσ′,可以获得:

其中观察到如果σ=σ′成立,这与上面给出的假设不一致,即A不持有正确的数据.定义其中bi为真实数据块,为A拥有的不真实的数据块,其中Δu至少存在一个值不为0,这是因为A无法持有云上存储的所有真实数据.

如果A获得游戏0与游戏1的胜利,则容易构造一个知识提取器B能够找到CDH问题的一个解.假定输入为g,gα,hG,目的是输出hα.模拟器的行为类似于游戏0中的挑战者C,但是存在7个不同.

1)在系统设置阶段,B设置公钥为X=gα,但是不知道私钥α的任何信息.

2)B发起哈希查询H,并保留查询和响应结果.对于A的查询,B选择随机值λq并返回gλG.

3)对于每一个i,B选择2个随机值a,bq 计算r=gahb,其中1≤in,并运行第i轮的随机预言模式为H(nameni)=gλ/(gabihbbi).

4)当B被要求存储一些包含n个块{bi}1≤in的数据时,进行下一个操作.随机选择一个文件名nameq,由于选择文件名的空间很大,因此B无法伪造文件名,并且无法在执行第i轮哈希查询H(nameni)之前获得文件名.

5)因此,B获得σij=H(namenirbi=rbi×gλ/(gabihbbi)=(gahb)bi×gλ/(gabihbbi)=gλ,进而B计算σi=(H(namenirbi)α=(gα)λ.

6)B继续与A交互,直到游戏1中定义的条件发生为止:A通过返回与有效证明中σ不同的σ′来赢得游戏胜利.从游戏0到游戏1,涉及的参数{name,n,r,bi,σ}都已经通过B的交互过程产生了.

7)设置P′={u′,σ′}.可推导e(σ,g)=e(rΔu,gα)=e((gahb)Δu,gα),进一步推得 e(σσ-1×y-aΔu,g)=e(h,y)bΔu.进而有成立.因为bΔu=0 mod q的概率为1/q,这是因为b是由C来选取且不为A所知,且Δu=u-u′= 因此,C终止游戏的概率为1/qq是从 q中选择的一个大质数,因此C终止游戏的概率是可忽略的.

游戏2:与游戏1存在一个不同之处:C依然保留A的一系列查询结果并与A交互来观察交互过程,如果A赢得游戏胜利并且返回的证据P′中的数据证据u′与真正有效证据P中的u不一样,则C将终止游戏.

分析:Fl发送一个随机挑战chal={Ws,Q}给C.为使得验证式(5)成立,C应该基于真实数据生成有效审计证据P={u,σ}.然而,恶意C在不持有完整数据的情况下企图伪造审计证据P={μ′,σ′}.因为有效证据P能通过审计验证,所以下列等式成立:

即使A终止,也能获得σσ′与下列式子:

在游戏2中,已经对σσ′的情况提供了证明,这里仅提供uu′不同时的证明.定义Δu=u-u′,利用双线性对性质,可获得ru=ru,进而推出rΔu=1.

假定G是以大素数q为阶的乘法循环群,对于任意2个值h1,h2G,能找到一个值λq使得成立.并且,给定h1,h2G,可以获得其中α,βq.可以推导出:

所以,给定h1,h2或者α≠0,B找到了DL问题的一个解λ=-β/α.

这意味着,如果对手在游戏1和游戏2的成功概率间的差异是不可忽略的,那么构建的模拟器可以解决DL问题.因此,这些游戏间的差异可以忽略不计.

通过选择c个不同的系数vi(iI,|I|=c),并基于相同的数据块bi(iI)执行c次不同的挑战,构造了一个知识提取器来提取被挑战数据块bi,在这种情况下,知识提取器可以获得关于变量bic个独立线性方程组.通过求解这些方程,知识提取器可以计算并提取bi(iI).这意味着如果云服务器能够通过审计验证,就必须真正存储了用户数据.

证毕.

定理3.如果一个签名密钥被暴露时,该密钥与使用该密钥生成的签名可以被更新为新密钥与使用新密钥生成的签名,且执行标签更新的云服务器只能以可忽略的概率获得新的签名密钥,则AKUAR满足密钥暴露抵制.

证明.签名私钥sk={tk,Frl},其中tk=Uidks×H2(UidsFidlwst)y.当sk泄露时,KGC将按照Fl提交的更新要求对tk进行更新,并生成对应的更新因子uf1发送给CC根据更新因子对块签名进行更新.标签更新的正确性依赖于式(10)成立,这个过程在标签更新算法中已经提供.以情况1为例,C只能获取yKGCq中随机选取的,所以C只能以可忽略的概率1/q获得tk′=Ay×tk.所以即使tk泄露,C只能以可忽略的概率获得新的签名密钥.通过情况2与情况3,皆可证明:C只能以可忽略的概率获得新密钥.所以,AKUAR满足密钥暴露抵制.

证毕.

定理4.当一个雾节点退出审计时,如果一个新的雾节点能代替其继续提供审计服务,且旧节点不能发起审计挑战,则AKUAR实现了审计者更换.

证明.根据密钥更新中的情况3,在系统时刻t″,当在任Fl退出审计,一个符合ws的新雾节点Us发送来获得授权签名收到后,提交时间密钥请求reqtkKGC来获取时间密钥tk″.之后,KGC计算更新因子uf3并发送给C.C根据uf3对块标签进行更新.式(10)的推导过程保证了更新后的标签等同于使用新签名密钥在相同数据块上产生的签名,即新雾节点能通过验证算法检验数据的完整性.由于授权签名被重新生成,新的授权签名仅被用户与新雾节点持有,旧雾节点无法通过云服务器的身份验证.所以,AKUAR实现了审计者更换.

证毕.

5 性能分析

本节从理论分析和实验评估2个方面分析AKUAR的性能,证实了AKUAR的高效性.选取SKERA[11]作为AKUAR的实验对比方案的主要原因有:1)SKERA与AKUAR都适用于云存储环境下的静态数据存储审计,解决了密钥暴露导致的标签无效问题;2)相比于其他支持密钥更新的云审计方案,SKERA与AKUAR在本地端的开销更低,且具有类似的系统模型设定.SKERA允许用户将密钥更新操作外包给授权实体,降低用户本地端的开销,在系统模型中,经过授权的第三方审计者不仅负责数据审计而且负责密钥更新工作.在AKUAR中,授权实体(雾节点)同时负责数据审计以及签名密钥更新操作,以降低用户本地端的开销.因此,为了对比的公平性,本文选取SKERA作为AKUAR的实验对比方案.

5.1 理论分析

表2给出实验中的符号与含义.实验从计算开销与通信开销2方面对AKUAR与SKERA进行分析.

1)计算开销.由于支持密钥更新与标签更新是AKUAR区别于其他审计方案的关键内容,因此主要分析与密钥更新以及标签更新相关阶段的计算开销,具体包含标签生成阶段、密钥更新阶段和标签更新阶段.

Table 2 Symbols and Descriptions of AKUAR for Performance Analysis

表2 AKUAR性能分析中的符号与说明

符号描述Pair执行一次双线性配对所需的时间Exp执行群G∕G1上一次幂指数运算所需的时间Mul执行群G∕G1上一次点乘运算所需的时间|G|群G∕G1上的元素的大小|q|有限域ZZq上的元素的大小|id|身份标识的大小|t|系统时间t的大小

① 在标签生成阶段.雾节点执行2次Exp与2次Mul来为每个数据块生成标签.对于拥有n个数据块的文件,雾节点需要消耗n(2Exp+2Mul).在SKERA中,用户生成n个块标签的计算成本为(2n+1)Exp+2nMul,而审计者不需要参与运算.

② 在密钥更新阶段.为公平起见,只对比与SKERA中场景设定类似的情况1.在AKUAR中,雾节点花费3Pair验证时间密钥的有效性,而用户不需要进行任何操作.而在SKERA中,审计者使用私钥计算更新信息,开销为Exp,用户执行2次Pair验证更新信息的正确性以及花费Exp+Mul来生成私钥.

表3给出了AKUAR与SKERA在标签生成与密钥更新阶段用户U与审计者Auditor消耗的计算开销的对比情况.SKERA需要用户计算块标签;而在AKUAR中,雾节点负责生成块标签.2个方案用于生成块标签的总体开销差不多.在密钥更新阶段,2个方案在用户与审计者端的总体开销差不多,同时AKUAR不需要用户消耗计算成本.因此,可以看出,AKUAR在用户本地端消耗的计算开销更小.

Table 3 Computational Cost Comparison of AKUAR and SKERA

表3 AKUAR与SKERA的计算开销比较

阶段SKERA[11]AKUARUAuditorUF标签生成(2n+1)Exp+2nMul2nExp+2nMul密钥更新2Pair+Exp+MulExp3Pair

③ 在标签更新阶段.由于SKERA不考虑标签更新,所以只分析AKUAR中3种更新情况的计算成本.如表4所示,对于更新一次签名密钥,用户、雾节点与KGC端的计算开销都是固定的;而在标签更新阶段,3种更新情况下雾节点的计算成本是固定的,云服务器端的计算开销与块数n成正比.

Table 4 Computational Cost Comparison of Three Update Cases in AKUAR

表4 AKUAR中3种更新情况的计算开销对比

阶段实体情况1情况2情况3密钥更新标签更新U2Pair+ExpExpF3Pair3Pair5PairKGC2Pair+Exp+Mul2Pair+2Exp+2Mul2Pair+Exp+Mul合计5Pair+Exp+Mul7Pair+3Exp+2Mul7Pair+2Exp+MulFExp2ExpExpCnMulnMulnMul合计Exp+nMul2Exp+nMulExp+nMul

2)通信开销.本文对AKUAR与SKERA在标签生成与密钥更新阶段的总体通信开销进行对比分析.如表5所示,在标签生成阶段,两者的开销差不多;而在密钥更新阶段,AKUAR需要消耗更多的通信开销.

表6展示了AKUAR中3种更新情况的通信开销对比.在密钥更新阶段,通信开销是固定值,且用户端的开销很小;在标签更新阶段,KGC计算更新因子之后发送给云服务器,即使对于更新一个数据块数为n的文件,通信开销也不过是|G|.所以,AKUAR在密钥更新与标签更新阶段引入了较少且固定的通信开销.

Table 5 Communication Cost Comparison of AKUAR and SKERA

表5 AKUAR与SKERA的通信开销比较

阶段SKERA[11]AKUAR标签生成 (合计)(n+1)|G|+|q|(n+1)|G|密钥更新 (合计)|G||t|+2|id|+2|G|

Table 6 Communication Cost Comparison of Three Update Cases in AKUAR

表6 AKUAR中3种更新情况的通信开销对比

阶段实体之间的交互情况1情况2情况3密钥更新标签更新U↔KGC|t|+|id|+|G|F↔KGC|t|+2|id|+2|G||t|+2|id|+2|G||t|+2|id|+2|G|U↔F2|id|+|G|合计|t|+2|id|+2|G|2|t|+3|id|+3|G||t|+4|id|+3|G|C↔KGC|G||G||G|合计|G||G||G|

5.2 实验评估

实验基于PBC库[30],云服务器部署在16 GB ECS.G5.xlarge,雾节点以及用户端的计算均使用Ubuntukylin-15.10-desktop-i386内存为2 GB的笔记本来模拟.选择A型双线性对,2个乘法循环群具有160 b阶和256 b基域,即|q|=160与|G|=512.假设|t|=64,|id|=80.实验评估了本文方案AKUAR与对比方案SKERA的计算开销和通信开销.为追求更精准的结果,所有实验都进行了20轮并取平均值作为最后的结果.注意,在AKUAR中,雾节点就是系统模型中的审计者.

Fig.2 Computational cost of tag generation phase in AKUAR and SKERA

图2 AKUAR与SKERA在标签生成阶段的计算开销

1)计算开销.图2展示了AKUAR与SKERA在标签生成阶段的计算开销随着数据块数n的变化情况.很明显,2个方案消耗的计算开销差不多,且都随着数据块数n呈线性增长.图3展示了2个方案用于密钥更新的计算开销.虽然AKUAR在审计端的开销稍微多一些,但超出部分是一个较小的固定值,且不多于0.02 s.因此,相比于SKERA,AKUAR更适用于使用性能受限的本地设备接入云端的用户.

Fig.3 Computational cost of key update phase in AKUAR and SKERA

图3 AKUAR与SKERA在密钥更新阶段的计算开销

Fig.4 Total computational cost of key update phase in AKUAR

图4 AKUAR在密钥更新阶段的总计算开销

图4展示了AKUAR在3种密钥更新阶段的总计算开销对比情况.对于每一次密钥更新,AKUAR引入的计算开销总是一个小且恒定的值.图5同样展示了AKUAR在3种密钥更新情况导致的标签更新阶段的计算开销.可以看到,尽管3种情况的计算开销总是随着数据块数的增加,然而这个耗时的计算过程是由云服务器执行的,即不会给用户以及雾节点端带来计算压力.

Fig.5 Total computational cost of tag update phase in AKUAR

图5 AKUAR在标签更新阶段的总计算开销

Fig.6 Communication cost of tag generation phase in AKUAR and SKERA

图6 AKUAR与SKERA在标签生成阶段的通信开销

2)通信开销.图6与图7分别展示AKUAR与SKERA在标签生成与密钥更新阶段的通信开销的对比.从图6、图7中可以看出,AKUAR与SKERA在标签生成阶段需要的计算开销是一样的;而在密钥更新阶段,AKUAR比SKERA需要更多的通信开销,因为AKUAR把密钥更新请求全部计算在内,而SKERA没有对请求进行定义,且超出部分不超过一个字节.此外,实验对AKUAR在密钥更新阶段的3种更新情况的通信开销进行了评估,具体结果如图8所示.从图8中可以得出结论:AKUAR在密钥更新阶段所引入的通信开销是固定的,与数据块数n无关.因为AKUAR允许计算一个更新因子传送给云服务器,而后云服务器根据该更新因子对存储标签进行更新,所以不需要用户参与标签更新.

Fig.7 Communication cost of key update phase in AKUAR and SKERA

图7 AKUAR与SKERA在密钥更新阶段的通信开销

Fig.8 Total communication cost of key update phase in AKUAR

图8 AKUAR在密钥更新阶段的总通信开销

综上所述,AKUAR在标签生成、密钥更新、标签更新阶段引入了少量的计算与通信开销,并且用户本地端在3个阶段需要的开销与数据块数无关.特别是,标签更新计算由云服务器承担,用户不需要消耗任何成本.所以,AKUAR是高效可行的,且适用于使用性能受限的本地设备接入云存储的用户.

6 结 论

针对云存储审计中存在的签名密钥泄露问题,本文提出一个支持密钥更新与审计者更换的安全云存储审计方案AKUAR.AKUAR设计了3种分别适用于签名密钥意外泄露、用户身份过期,以及审计者更换场景下的密钥与标签更新机制,并且由云端承担计算复杂的标签更新操作,仅为本地端引入了少量的开销.此外,当一个充当审计者的雾节点退出审计服务时,新的雾节点可以代替其继续进行完整性审计工作,在保证新签名密钥不被泄露给旧雾节点的同时实现了审计服务的可持续.安全分析表明AKUAR满足正确性、不可伪造性、密钥暴露抵制与审计者更换.理论分析与实验结果进一步证实了AKUAR在密钥更新与标签更新阶段引入的开销是少量的,并且本地端的计算开销是一个与文件划分块数无关的常量.

作者贡献声明:周磊提出了整体框架以及方案明细;陈珍珠负责执行实验方案;付安民提出了实验方案;苏铓针对安全分析提出了指导意见并进行了完善;俞研针对整体论文提出了指导意见并修改论文.

参考文献

[1]Zhang Huanguo, Han Wenbao, Lai Xuejia, et al.Overview of cyberspace security[J].SCIENTIA SINICA Informationis, 2016, 46(2): 125-164(in Chinese)(张焕国, 韩文报, 来学嘉, 等.网络空间安全综述[J].中国科学:信息科学, 2016, 46(2): 125-164)

[2]Wang Huaqun, Liu Zhe, He Debiao, et al.Identity-based provable data possession scheme for multi-source IoT terminal data in public cloud[J].Journal on Communications, 2021, 42(7): 52-60(in Chinese)(王化群, 刘哲, 何德彪, 等.公有云中身份基多源IoT终端数据PDP方案[J].通信学报, 2021, 42(7): 52-60)

[3]Fu Anmin, Qin Ningyuan, Song Jianye, et al.Privacy-preserving public auditing for multiple managers shared data in the cloud[J].Journal of Computer Research and Development, 2015, 52(10): 2353-2362(in Chinese)(付安民, 秦宁元, 宋建业, 等.云端多管理者群组共享数据中具有隐私保护的公开审计方案[J].计算机研究与发展, 2015, 52(10): 2353-2362)

[4]Zhou Lei, Fu Anmin, Yu Shui, et al.Data integrity verification of the outsourced big data in the cloud environment: A survey[J].Journal of Network and Computer Applications, 2018, 122: 1-15

[5]Shen Jian, Zhou Tianqi, Cao Zhenfu.Protection methods for cloud data security[J].Journal of Computer Research and Development, 2021, 58(10): 2079-2098(in Chinese)(沈剑, 周天祺, 曹珍富.云数据安全保护方法综述[J].计算机研究与发展, 2021, 58(10): 2079-2098)

[6]Meng Xiaofeng, Liu Lixin.Blockchain-based data transparency: Issues and challenges[J].Journal of Computer Research and Development, 2021, 58(2): 237-252(in Chinese)(孟小峰, 刘立新.基于区块链的数据透明化:问题与挑战[J].计算机研究与发展, 2021, 58(2): 237-252)

[7]Li Tian, Wang Huaqun, He Debiao, et al.Synchronized provable data possession based on blockchain for digital twin[J].IEEE Transactions on Information Forensics and Security, 2022, 17: 472-485

[8]Wang Huaqun, He Debiao, Fu Anmin, et al.Provable data possession with outsourced data transfer[J].IEEE Transactions on Services Computing, 2021, 14(6): 1929-1939

[9]Wang Huaqun.Proxy provable data possession in public clouds[J].IEEE Transactions on Services Computing, 2013, 6(4): 551-559

[10]Yu Jia, Ren Kui, Wang Cong.Enabling cloud storage auditing with verifiable outsourcing of key updates[J].IEEE Transactions on Information Forensics and Security, 2016, 11(6): 1362-1375

[11]Yu Jia, Wang Huaqun.Strong key-exposure resilient auditing for secure cloud storage[J].IEEE Transactions on Information Forensics and Security, 2017, 12(8): 1931-1940

[12]Zheng Wenying, Lai Chin-Feng, He Debiao, et al.Secure storage auditing with efficient key updates for cognitive industrial IoT environment[J].IEEE Transactions on Industrial Informatics, 2020, 17(6): 4238-4247

[13]Ateniese G, Burns R, Curtmola R, et al.Provable data possession at untrusted stores[C]//Proc of the 14th ACM Conf on Computer and Communications Security.New York, ACM, 2007: 598-609

[14]Erway C C, Küpçü A, Papamanthou C, et al.Dynamic provable data possession[J].ACM Transactions on Information and System Security, 2015, 17(4): 1-29

[15]Wang Qian, Wang Cong, Ren Kui, et al.Enabling public auditability and data dynamics for storage security in cloud computing[J].IEEE Transactions on Parallel and Distributed Systems, 2010, 22(5): 847-859

[16]Han Jing, Li Yanping, Yu Yong, et al.Cloud auditing scheme with dynamic revocation of users and real-time updates of data[J].Journal of Software, 2020, 31(2): 578-596(in Chinese)(韩静, 李艳平, 禹勇, 等.用户可动态撤销及数据可实时更新的云审计方案[J].软件学报, 2020, 31(2): 578-596)

[17]Fu Qingxiao, Chen Lanxiang, Li Jiguo, et al.An efficient dynamic integrity auditing scheme based on divide and conquer adjacency tables[J].Journal of Cryptologic Research, 2021, 8(4): 601-615(in Chinese)(符庆晓, 陈兰香, 李继国, 等.一种高效的基于分治邻接表的动态完整性审计方案[J].密码学报, 2021, 8(4): 601-615)

[18]Wang Qian, Wang Cong, Ren Kui, et al.Privacy-preserving public auditing for data storage security in cloud computing[C]//Proc of the IEEE Conf on Computer Communications.Piscataway, NJ: IEEE, 2010: 1-9

[19]Nayak S K, Tripathy S.SEPDP: Secure and efficient privacy preserving provable data possession in cloud storage[J].IEEE Transactions on Services Computing, 2021, 14(3): 876-888

[20]Wu Tong, Yang Guomin, Mu Yi, et al.Privacy-preserving proof of storage for the pay-as-you-go business model[J].IEEE Transactions on Dependable and Secure Computing, 2019, 18(2): 563-575

[21]Curtmola R, Khan O, Burns R, et al.MR-PDP: Multiple-replica provable data possession[C]//Proc of the 28th Int Conf on Distributed Computing Systems.Piscataway, NJ: IEEE, 2008: 411-420

[22]Zhou Lei, Fu Anmin, Mu Yi, et al.Multicopy provable data possession scheme supporting data dynamics for cloud-based electronic medical record system[J].Information Science, 2021, 545: 254-276

[23]Li Jiguo, Yan Hao, Zhang Yichen.Efficient identity-based provable multi-copy data possession in multi-cloud storage[J].IEEE Transactions on Cloud Computing, 2022, 10(1): 356-365

[24]Zhou Lei, Fu Anmin, Yang Guoming, et al.Efficient certificateless multi-copy integrity auditing scheme supporting data dynamics[J].IEEE Transactions on Dependable and Secure Computing, 2022, 19(2): 1118-1132

[25]Li Jiguo, Yan Hao, Zhang Yichen, et al.Identity-based privacy preserving remote data integrity checking for cloud storage[J].IEEE Systems Journal, 2021, 15(1): 577-585

[26]Li Jiguo, Yan Hao, Zhang Yichen.Certificateless public integrity checking of group shared data on cloud storage[J].IEEE Transactions on Services Computing, 2021, 14(1): 71-81

[27]Yang Yang, Chen Yanjiao, Chen Fei, et al.An efficient identity-based provable data possession protocol with compressed cloud storage[J].IEEE Transactions on Information Forensics and Security, 2022, 17: 1359-1371

[28]Fu Yao, Li Qingdan, Zhang Zehui, et al.Data integrity verification scheme for privacy protection and fair payment[J].Journal of Computer Research and Development, 2022, 59(6): 1343-1355(in Chinese)(富瑶, 李庆丹, 张泽辉, 等.支持隐私保护和公平支付的数据完整性验证方案[J].计算机研究与发展, 2022, 59(6): 1343-1355)

[29]Lin Chao, He Debiao, Huang Xinyi, et al.OBFP: Optimized blockchain-based fair payment for outsourcing computations in cloud computing[J].IEEE Transactions on Information Forensics and Security, 2021, 16: 3241-3253

[30]Lynn B.The Pairing-Based Cryptography(PBC)Library[EB/OL].[2022-03-16].http://crypto.stanford.edu/pbc/howto.html

Cloud Secure Auditing Scheme Supporting Key Update and Auditor Replacement

Zhou Lei1,2, Chen Zhenzhu1, Fu Anmin1,2, Su Mang1, and Yu Yan1

1(School of Computer Science and Engineering, Nanjing University of Science & Technology, Nanjing 210094) 2(Guangxi Key Laboratory of Trusted Software(Guilin University of Electronic Technology), Guilin, Guangxi 541004)

Abstract Cloud storage provides data hosting services, which solves the issue of local data management and sharing restrictions.Existing audit methods used for securing the cloud data usually have a serious security flaw: if the signature key is revealed, the audit proposal that relies on the key to produce signatures would no longer guarantee the data integrity.In addition, most audit schemes assume that there is only one fixed auditor throughout the auditing process.However, due to being compromised, bribed, or lacking resources, the auditor may not be able to perform audit agency services anymore.Therefore, we propose a cloud secure auditing scheme supporting key update and auditor replacement, named AKUAR.In the model, AKUAR utilizes bilinear pairs and proxy re-signature idea to develop an efficient key and tag update mechanism, wherein the cloud server undertakes the computationally intensive tag update operations and only a little amount of cost is incurred in the local side.In addition, when the fog node acting as the auditor terminates the audit, the new fog node can carry on the integrity audit in its place, realizing the sustainability of the audit service and preventing disclosure of the new signature key to the old fog node.Finally, security analysis demonstrates that AKUAR is provably secure, and performance evaluations also confirm that AKUAR only introduces a modest amount of acceptable computational and communication costs during the tag generation and key update phases.

Key words cloud storage; integrity auditing; key update; key exposure resistance; auditor replacement

中图法分类号 TP309

(1249709729@qq.com)

DOI:10.7544/issn1000-1239.20220529

收稿日期20220611;修回日期:20220812

基金项目国家自然科学基金项目(62072239);江苏省自然科学基金项目(BK20211192);广西可信软件重点实验室研究课题资助(KX202029);中央高校基本科研业务费专项资金(30921013111,30920021129)

This work was supported by the National Natural Science Foundation of China(62072239), the Jiangsu Natural Science Foundation of China(BK20211192), the Project of Guangxi Key Laboratory of Trusted Software(KX202029), and the Fundamental Research Funds for the Central Universities(30921013111, 30920021129).

通信作者付安民(fuam@njust.edu.cn)

Zhou Lei, born in 1993.PhD.Her main research interest is cloud storage security.

周 磊,1993年生.博士.主要研究方向为云存储安全.

Chen Zhenzhu, born in 1993.PhD candidate.Her main research interests include cloud computing security and machine learning security.

陈珍珠,1993年生.博士研究生.主要研究方向为云计算安全与机器学习安全.

Fu Anmin, born in 1981.PhD, professor, PhD supervisor.Senior member of CCF.His main research interests include cryptography and privacy preserving.

付安民,1981年生.博士,教授,博士生导师.CCF高级会员.主要研究方向为密码学以及隐私保护.

Su Mang, born in 1987.PhD, associate professor.Her main research interests include cloud security, access control and right management.

苏 铓,1987年生.博士,副教授.主要研究方向为云安全、访问控制与权限管理.

Yu Yan, born in 1972.PhD, associate professor.His main research interests include wireless network and network security.

俞 研,1972年生.博士,副教授.主要研究方向为无线网络与网络安全.