李勇 ^1,2 , 姚戈 ¹ , 雷丽楠 ¹ , 张晓菲 ³ , 杨鲲 ⁴
1.北京交通大学 电子信息工程学院, 北京 100044;
2.福建师范大学 福建省网络安全与密码技术重点实验室, 福州 350007;
3.中国信息安全测评中心, 北京 100085;
4.中国计量科学研究院, 北京 100029

收稿日期: 2016-01-22
基金项目: 中央高校基本科研业务费专项资金资助(2015YJS005);国家自然科学基金面上项目(61472032);福建省网络安全与密码技术重点实验室(福建师范大学)开放课题(15007);国家科技支撑计划资助项目(2014BAK02B07)
作者简介: 李勇(1973-), 男, 副教授。E-mail: liyong@bjtu.edu.cn


摘要：随着云存储技术的发展, 为了节约存储成本, 越来越多的用户选择将数据存储在云端, 但同时用户也失去了对数据的控制权, 无法确保云端数据的完整性。因此, 云服务提供商(cloud service provider, CSP)需要通过一种有效的协议向用户提供数据完整性证明。目前许多方案仍存在无法支持全动态(插入、修改和删除)更新, 或方案计算、存储和通信开销大等问题。针对上述问题, 该文提出基于多分支路径树(large branching tree, LBT)的数据完整性验证机制, 通过构建结构简单的认证树, 简化动态更新过程, 实现全动态更新。实验结果表明: 该方案在动态更新过程中, 能够减少协议各实体的计算负担, 高效完成大量数据更新的云存储数据完整性验证。
关键词： 云存储 数据完整性 数据持有性证明 数据可恢复性证明
LBT-based cloud data integrity verification scheme
LI Yong^1,2, YAO Ge¹, LEI Linan¹, ZHANG Xiaofei³, YANG Kun⁴
1.School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China;
2.Fujian Provincial Key Laboratory of Network Security and Cryptology, Fujian Normal University, Fuzhou 350007, China;
3.China Information Technology Security Evaluation Center, Beijing 100085, China;
4.National Institute of Metrology, Beijing 100029, China


Abstract:With the rapid growth of cloud storage, more and more users are choosing to store their data in the cloud to reduce storage costs. However, users then lose control of the data and the data integrity cannot be ensured. Thus, cloud service providers (CSP) need to provide proof to users that their data is secure through an efficient integrity verification protocol. A number of feasible schemes have been proposed, but they have trouble supporting fully dynamic operations including insert, modify, and delete and they have large computing, storage and communication costs. This paper presents a data integrity verification scheme based on a large branching tree (LBT). The scheme supports fully dynamic updates and simplifies the dynamic update process by constructing a simple authentication tree. Tests show that the scheme reduces the computation of burden of the entities so that the method can be efficiently applied in the cloud environment to verify data integrity with frequent update operations.
Key words: cloud storagedata integrityprovable data prossessionproofs of retrievability
随着数据量的急剧增长，传统存储技术面临建设成本高、运维复杂、扩展性有限等问题，成本低廉、提供高可扩展性的云存储技术成为重点研究对象。各大IT服务商纷纷推出云存储服务，如亚马逊的Simple Storage Service(S3)、Google的Google Cloud Storage、Microsoft的Windows Azure、Dropbox个人云存储服务、搜狐企业网盘、百度云盘等。云存储已经成为未来存储发展的一种趋势。然而，各服务提供商的云计算基础设施面临着内部或外部的数据安全威胁。如2011年初发生于亚马逊(Amazon)的宕机事故，导致许多公司的服务中断，还致使0.07%的用户遭遇数据丢失；2012年8月，国内云服务提供商盛大云因机房一台物理服务器磁盘发生故障，导致客户部分数据丢失^[1]。用户存储在云端的数据可能遭到其他用户或云服务提供商的窥视、修改或损坏，而云服务提供商可能对用户隐瞒数据丢失，声称仍然正确持有用户的数据，用户无法保证数据的完整性。因此，数据完整性验证机制被认为是解决上述问题的重要方法之一。
数据完整性验证机制根据是否对数据文件采用容错预处理分为数据持有性证明机制(provable data possession，PDP)和数据可恢复性证明机制(proofs of retrievability，POR)。
PDP机制由Ateniese等^[2]首先提出。在该机制下，用户首先对数据文件进行分块，然后对每个数据块分别计算认证元数据，将数据文件发送到云服务器端，而元数据保存在本地。之后，用户可以通过与云服务提供商进行挑战—应答交互，利用事先保存的元数据和只有用户知道的私有信息来验证数据的完整性。虽然该方案有效降低了用户的计算开销和通信开销，但只适用于静态数据而不支持数据的动态更新。考虑到用户需要对数据进行频繁更新，Ateniese等^[3]提出了一种支持部分动态操作的DPDP方案，但该机制仅能支持数据修改、删除和追加操作，并不能支持数据插入。针对多个云服务器分布式存储环境下的远程数据完整性验证问题，Wang^[4]提出基于身份的分布式PDP协议—ID-DPDP。
POR机制由Juels等^[5]首先提出，该机制主要解决以下2个问题：1) 更有效地识别外包文件中出现的损坏；2) 能恢复已损坏的数据文件。然而，该方案也只支持静态数据，并且存在验证次数上限。随后Shacham等^[6]提出改进的POR方案，虽然没有认证次数的限制，但仍然不支持动态更新。
支持动态更新是PDP/POR机制的一个扩展特性，对于存储在云端的数据，用户可能随时需要进行更新，包括插入、修改和删除操作，而上述数据完整性验证机制无法满足这一要求。因为在计算数据块的认证元数据时，数据块的索引作为一部分信息加入了计算，倘若插入一个新的数据块，将导致该数据块后其他数据块的认证元数据都需要重新生成，导致计算代价过高而无法实现^[7]。
Erway等^[8]首先提出了一个支持全动态的PDP机制。在该机制下，用户首先将数据文件分成等长的数据块，并为每个数据块生成一个标签用于完整性验证。针对用户以块为单位的数据更新操作，通过引入带rank信息的认证跳表来维护和验证这些数据块标签的有效性。该机制是第一种支持全动态操作的PDP机制，但存在认证路径过长、每次验证过程需要大量的辅助信息、计算和通信开销过大的问题。
Zhu等^[9]提出了一个高效的云存储数据完整性验证方案，该方案基于同态验证标签和哈希索引层次结构，能够减少用户和云服务端的计算和存储负担。针对跨云存储的情况，Zhu等^[10]提出CPDP方案来验证分布式云存储中数据的完整性。通过实验证明有多个云存储服务端共同存储用户数据时，用户进行数据完整性验证所需计算量和通信量大大减少。虽然该方案对跨云数据完整性证明机制进行了建模，但并没有详细的实现计算步骤^[7]。
Wang等^[11]提出了另一种支持全动态操作的数据完整性验证机制。该机制利用BLS签名来确保数据块内容上的完整性，并通过引入Merkel哈希树(Merkel Hash tree，MHT)结构来确保数据块在位置上的正确性。但是MHT采用二叉树结构，数据块被映射为树的叶子节点。若将数据文件分成n块，至少需要构建深度为h=1+log₂ⁿ的Merkel树，树的深度随n呈线性增长。构造这样的MHT需要消耗大量的时间和空间，而且认证路径随树的深度线性增长，验证所需的辅助信息也随之增多，存储和通信开销仍然很大。本文针对这一问题，引入另外一种数据结构即多分支路径树(large branching tree，LBT) 结构来确保数据块在位置上的正确性。LBT采用多分支路径结构，树的出度≥2，所需构造的LBT深度随出度的增加呈指数减少。树的深度降低意味着在数据完整性验证过程中，所需要的辅助信息将大大减少，从而减少系统各实体间的通信和计算负担。此外，在动态更新过程中，LBT树的多分支结构支持用户在一个数据块后可以插入160(n-1) bit的数据，相较于文^[11]中仅支持插入160 bit数据更具有实际意义。因此，本文方案不仅支持全动态更新(插入、修改和删除)，而且引入LBT结构，能够支持160(n-1) bit数据的插入操作，并降低系统的通信开销和计算复杂度，优化云存储数据完整性验证机制的性能。
1 预备知识1.1 多分支路径树LBT相较于MHT，LBT中每个节点拥有多个子节点，即每个节点仅有一个父节点但有多个兄弟节点。对于同样数量的叶子节点，所构建的LBT的深度远小于MHT。具体地，设LBT深度为l，出度为n，那么叶子节点数为n^l，且除叶子节点外的所有节点都有n个子节点。如图1所示，将LBT引入数据完整性验证方案中，树中每一个叶子节点对应于一个数据块的哈希值H(m_i)，非叶子节点是其所有子节点的哈希值的链接的形式。图1中树的深度l=2，叶子节点的数目为n²，分别对应n²个数据块的哈希值。节点A₁的值为

$H\left( H\left( {{m}_{1}} \right)\left\| H\left( {{m}_{2}} \right) \right\|\cdots \left\| H\left( {{m}_{n}} \right) \right. \right).$

节点A_i的值为

$H\left( H\left( {{m}_{i}} \right)\left\| H\left( {{m}_{i+1}} \right) \right\|\cdots \left\| H\left( {{m}_{i+n-1}} \right) \right. \right).$

节点A_n的值为

$H\left( H\left( {{m}_{{{n}^{2}}-n+1}} \right)\left\| H\left( {{m}_{{{n}^{2}}-n+2}} \right) \right\|\cdots \left\| H\left( {{m}_{{{n}^{2}}}} \right) \right. \right).$

根节点用R表示，

$R=H\left( H\left( {{A}_{1}} \right)\left\| H\left( {{A}_{2}} \right) \right\|\cdots \left\| H\left( {{m}_{{{n}^{2}}}} \right) \right. \right).$

图 1 LBT结构

图选项

1.2 双线性对与困难假设双线性映射：定义为映射e：G×G→G_T，其中G、G_T均为循环群，满足以下性质。
1) 可计算性：存在一个有效的算法能够计算e；
2) 双线性：对于所有h₁,h₂∈G以及a,b∈Z_p，等式e(h₁^a,h₂^b)=e(h₁,h₂)^ab成立；
3) 非退化性：e(g,g)≠1，其中g是群G的阶。
计算性Diffie-Hellman(CDH)问题：给定g,g^x,g^y∈G，其中x,y∈Z_p，计算g^xy。
1.3 系统模型数据完整性验证机制本质上是一个挑战—应答协议。系统由3个实体组成：用户、云服务提供商(cloud service provider，CSP)和第三方审计员(third party auditor，TPA)。TPA是受用户委托，能够管理和监测外包数据的专业审计员。在系统初始化阶段，用户计算数据文件的元数据，并与CSP和TPA协商密钥。在挑战—应答阶段，用户可以保持离线，所有验证工作由TPA和CSP完成。当TPA验证数据的完整性时，向CSP发送挑战信息Chal。接收到挑战后，CSP根据存储的数据生成完整性证据P返回给TPA，然后TPA对返回的证据进行验证。整个协议包含的算法如下。
KeyGen(·)：由用户执行，输入安全参数，输出私钥sk和公钥pk。
SigGen(·)：对数据文件进行预处理，生成与数据相关的元数据，用于后续校验。将私钥sk、公钥pk和数据文件F作为输入，为每个数据块生成一个标签，组成标签集合Φ。
GenPro(·)：由服务器端执行，根据挑战信息，将公钥pk数据文件和标签集合作为输入，输出数据块证据μ和标签证据δ。
VerPro(·)：由TPA执行，输入服务器端返回的证据μ和δ，以及数据文件。若验证通过，则输出1，否则输出0。
1.4 安全模型敌手模型：假设在与用户的交互游戏中，敌手能够获得所有存储在CSP中的信息，即敌手能够扮演证明者(CSP)。在验证过程中，敌手的目标是成功欺骗TPA，生成证据通过TPA的验证而不被发现。
定义：如果数据完整性验证方案满足以下条件，方案就是安全的：不存在多项式时间算法能以不可忽略的概率欺骗TPA完成验证。
2 基于LBT的方案构造2.1 构造本文提出的数据完整性验证方案分为3个阶段：初始化阶段、挑战阶段和应答阶段。
初始化阶段：由2个多项式时间算法KeyGen和SigGen组成，首先用户将数据文件F分成等长的数据块{m₁,m₂,…,m_n}，然后运行KeyGen算法，随机选择非负整数u←Z_p，x←Z_P，g为群G的生成元，计算v=g^x，然后运行SigGen算法，为每个数据块m_i生成一个标签δ_i=(H(m_i)·u^m_i)^x，所有标签的集合表示为Φ={δ₁,δ₂,…,δ_n}。同时，用户利用数据块构造LBT哈希树，计算根节点R，并对根节点R进行签名Sig_sk(H(R))=H(R)^x。然后将标签集合Φ和数据文件分块集合{m₁,m₂,…,m_n}以及LBT根节点的签名Sig_sk(H(R))发送给CSP，并将本地的数据文件信息删除。CSP接收到数据后，构造同样的LBT树，如图2所示。

图 2 云服务提供商构建的LBT结构

图选项

挑战阶段：本阶段主要由TPA完成。当用户将初始化后的数据存放到云端，用户可授权第三方审计员TPA周期性地向CSP发起挑战。为保证验证的随机性，TPA随机抽取数据块的索引，即在[1,n]中随机选取c个元素构造索引集合I={s₁,s₂,…,s_c}，其中s₁＜s₂＜…＜s_c，并为每一个数据块索引随机选取一个非负整数v_i。然后，TPA将数据块索引集合与随机值的挑战集合Chal={(s_i,v_i)}_i∈[1,c]发送到CSP。
应答阶段：CSP接收到TPA发出的挑战后，运行GenPro生成完整性证据。首先，CSP根据(s_i,v_i)找到被检索的数据块所对应的叶子节点，并找到路径由下至上到达根节点R，该路径上的所有兄弟节点的集合表示为辅助信息{Ω_i}_s1＜i＜sc。另外，CSP进行下列计算：

$\mu =\sum\limits_{i={{s}_{1}}}^{{{s}_{c}}}{{{v}_{i}}{{m}_{i}}和{{\delta }_{i}}=\prod\limits_{i={{s}_{1}}}^{{{s}_{c}}}{\delta _{i}^{{{v}_{i}}}}}.$

最后，CSP将集合

$P=\left\{ \mu ,\delta ,{{\left\{ H\left( {{m}_{i}} \right),{{\Omega }_{i}} \right\}}_{{{s}_{1}}<i<{{s}_{c}}}},Si{{g}_{sk}}\left( H\left( R \right) \right) \right\}$

返回给TPA。
TPA接收到证明后，运行VerPro算法，首先利用辅助信息{H(m_i),Ω_i}_s1＜i＜sc生成根节点值R′，然后验证e(Sig_sk(H(R)),g)e(H(R),g^x)。如果验证失败，则输出FALSE，否则，TPA继续验证

$e\left( \delta ,g \right)\doteq e\left( \prod\limits_{i={{s}_{1}}}^{{{s}_{c}}}{H{{\left( {{m}_{i}} \right)}^{{{v}_{i}}}}\cdot {{u}^{\mu }},v} \right).$

验证失败，输出FALSE；验证成功，输出TRUE.
2.2 支持动态更新由于LBT树与MHT树的结构相似，本方案在动态性扩展方面与文^[11]中方案类似。用户执行修改和删除操作时，CSP端只需在LBT树中对应叶子节点处进行更新，不影响其他叶子节点，具体过程与文^[11]中的方案基本相同。主要区别体现在数据插入操作：文^[11]中方案采用MHT二叉树结构，每进行一次插入操作，插入的数据块都不能超过分块的长度160 bit，超过部分需多次进行插入操作。而本文方案中，LBT的多分支结构支持用户在一个数据块后可以插入不超过160(n-1)bit的数据，更具有实际意义，插入更新的具体过程如下.
假设用户需要在数据块m_i后插入一个文件f(文件长度为160(n-1)bit)。用户先将f分块f={m′₁,m′₂,…,m′_n-1}，然后对每个新的数据块计算其同态认证标签δ′_i=(H(m′_i)·u^m′_i)^x。用户将更新信息Update=(I,i,f)发送给CSP。CSP接收到更新请求后，运行Insert算法。首先保存新的数据块和对应的标签(f,{δ′i}_i∈S)，并用F′和Φ′分别表示该用户的新数据文件和新标签集合。然后调整LBT树型结构的叶子节点，将存储H(m_i)的叶子节点改为父节点B，它的n个子节点分别对应H(m_i)和其他新数据块：

$H\left( m_{1}^{'} \right),H\left( m_{2}^{'} \right),\cdots ,H\left( m_{n-1}^{'} \right).$

如图3所示，计算

$B=H\left( H\left( {{m}_{i}} \right)\left\| H\left( m_{1}^{'} \right) \right\|\cdots \left\| H\left( m_{n-1}^{'} \right) \right. \right).$

图 3 在数据块mi后插入文件f

图选项

然后，由下至上计算各节点值，最后生成新的根节点R′。
最后，CSP生成插入操作证明：

$P=\left\{ \left\{ {{\Omega }_{i}},H\left( {{m}_{i}} \right) \right\},Si{{g}_{sk}}\left( H\left( R \right) \right),{{R}^{'}} \right\}.$

其中，Ω_i是在旧的LBT树中用于认证m_i的辅助信息。当用户接受到来自CSP的证明信息后，用户首先利用{Ω_i,H(m_i)}生成LBT树的根节点R，然后通过验证等式e(Sig_sk(H(R)),g)e(H(R),g^x)来对根节点R进行认证。若认证失败则输出FALSE；若通过，则继续验证返回的辅助信息。利用{Ω_i,H(m_i),H(m′₁),H(m′₂),…,H(m′_n－1)}生成新的根节点值R″，并验证R″与接收到的根节点值R′是否相等。若验证失败，输出FALSE，否则输出TRUE。
用户对新的根节点值进行签名得到Sig_sk(H(R′))，并将其发送给CSP进行更新。插入操作和更新证明执行结束，用户可删除本地存储的数据信息。
3 安全性分析定理1：假设BLS签名方案^[12]是安全的，则本文中的签名方案是存在性不可伪造的。
证明：利用归约方法证明。假设BLS签名方案是安全的，其公钥为y=g^x。如果存在一个敌手能够攻破本文的签名方案，
那么这个敌手可以伪造出BLS签名。过程如下：选择α←Z_p，u=g^α。对于所有敌手向数据块m的问询，先将数据块m发送给BLS签名预言机，预言机返回签名σ=H(m)^x给敌手。然后，敌手可以根据返回的BLS签名值，生成σ′=σy^mα=(H(m)g^mα)^x。最后，假设敌手能够对数据块m′伪造一个本方案的签名σ′=(H(m′)u^m′)^x，并且要求数据块m′是从未被问询过的，那么可以得到数据块m′的BLS签名σ=σ′/y^m′α=H(m′)^x，证明完毕。
定理2：如果本文的签名方案是存在性不可伪造的，并且CDH问题在双线性群中是困难的，针对数据完整性验证过程，没有敌手能够以不可忽略的概率让验证者接受证据(验证成功)，除非返回的是正确值。
证明：利用文^[6]方案中定义的一系列游戏进行证明。第1个游戏为简单的挑战游戏，即文^[6]中定义的Game 0。第2个游戏与第1个游戏类似，不同之处在于挑战者保存着所有已经被问询过的签名的列表。如果敌手返回一个签名给挑战者，挑战者一旦发现该签名是无效的，将立即结束游戏。那么可以推断出，如果在上述2个游戏中，敌手获胜的概率不同，那么敌手可以成功伪造签名，通过验证，这与假设相违背。
第3个游戏与第2个游戏相似，不同之处在于挑战者保存着敌手在每轮问询中返回给挑战者的值。令

$P=\left\{ \mu ,\delta ,{{\left\{ H\left( {{m}_{i}} \right),{{\Omega }_{i}} \right\}}_{{{s}_{1}}<i<{{s}_{c}}}},Si{{g}_{sk}}\left( H\left( R \right) \right) \right\},$

P为挑战者所希望得到的响应。其中，H(m_i)的正确性可以通过{Ω_i,H(m_i)}和Sig_sk(H(R))进行验证。假设敌手返回的证据为

$P'=\left\{ \mu ',\delta ',{{\left\{ H\left( {{m}_{i}} \right),{{\Omega }_{i}} \right\}}_{{{s}_{1}}<i<{{s}_{c}}}},Si{{g}_{sk}}\left( H\left( R \right) \right) \right\}.$

可以通过验证等式

$e\left( \sigma '/\sigma ,g \right)\doteq e\left( {{u}^{\Delta \mu }},v \right)=e\left( {{\left( {{g}^{a}}{{h}^{b}} \right)}^{\Delta \mu }},{{g}^{a}} \right)$

是否成立来验证(μ′,δ′)的正确性。由于σ′≠σ(否则与条件相违背)，所以μ′≠μ成立。定义Δμ=μ′－μ，通过这个敌手，模拟器可以解出CDH困难问题：给定(g,g^α,h)∈G，模拟器如果能输出h^α则表示攻破CDH困难问题。模拟器令v=g^α，u=g^ah^b，其中a,b∈Z_p，并令H(m_i)=g^r_ih^－m_i，模拟器可以按文^[6]中的方式响应对签名的问询。根据敌手输出的证据P′和期望的证据P，可以得到

$e\left( \sigma '/\sigma ,g \right)\doteq e\left( {{u}^{\Delta \mu }},v \right)=e\left( {{\left( {{g}^{a}}{{h}^{b}} \right)}^{\Delta \mu }},{{g}^{a}} \right)$

从而得到e(σ′σ^-1v^－aΔμ,g)=e(h,v)^bΔμ。因此，h^α=(σ′σ^-1v^－aΔμ)^1bΔμ，要得到挑战者退出游戏(敌手失败)的概率，只需计算bΔμ=0 mod p的概率。由于μ′≠μ，该概率为1/p是可忽略的。又由于条件假设CDH是困难的，所以敌手攻击本文方案成功的概率是可忽略的。证明完毕。
4 性能分析将本文方案与现有方案进行对比，结果如表1所示，其中n表示数据块个数，k表示LBT树的出度。
表 1 方案性能比较

方案	支持全动态更新	CSP计算复杂度	TPA计算复杂度	树根节点计算复杂度	通信复杂度
文[3]	否	O(1)	O(1)	无	O(1)
文[6]	否	O(1)	O(1)	无	O(1)
文[8]	否	O(1)	O(1)	无	O(1)
文[11]	是	O(log2n)	O(log2n)	O(log2n)	O(log2n)
本文方案	是	O(log2n)	O(log2n)	O(logkn)	O(log2n)

表选项






为了分析本文方案构建LBT树能够减轻用户和CSP的计算时间，在Linux系统中用C++语言编程实现了方案的基本功能。方案中的哈希运算和双线性对运算通过系统装载的PBC库和OpenSSL库实现。为了获得80 bit安全参数，设群的阶大小为160 bit。实验采用3 200个随机生成的数据文件作为输入，文件大小为512 M，实验结果取10次试验的平均值。
第1步，分析用户和CSP构建认证树的时间，比较本文方案与文^[11]中方案的性能。设定数据块的大小为20 kB，实验结果如图4所示。树的出度为2时，表示结构为二叉树，对应文^[11]方案中树的构建；本文方案中树的出度大于2，实验根据出度的不同，计算出8组出度—树的构建时间。通过图4中的对比，可以看到，LBT树的构建时间比MHT树^[11]的构建时间大大减少，并随出度的增加逐渐减少，能够减轻用户和CSP的计算负担。

图 4 出度-树的构建时间

图选项

第2步，为了进一步了解方案性能，分析CSP计算开销。程序运行后输入需验证的数据块数目，得到CSP端的生产证据的时间如图5所示。

图 5 CSP生成证据的时间

图选项

第3步，分析方案验证阶段的性能，以树的出度作为输入参数，程序最终输出TPA相应的验证时间。同样，出度为2时，对应文^[11]方案中TPA验证时间。通过对比，可以发现随着出度的增加，验证时间也随之增加。这是因为LBT树的结构虽然比MHT简单，但在本方案验证过程所产生的辅助信息却比文^[11]方案多，所以TPA验证时间也相对较大，如图6所示。

图 6 TPA验证时间

图选项

5 总结云存储环境下，传统的数据完整性验证方案不能直接应用，但现有的方案仍存在诸多问题。本文针对文^[11]由于Merkel哈希树结构简单，验证过程所需构建MHT树十分庞大，且动态更新时MHT树的同步更新非常复杂的问题，提出基于多分支路径树的数据完整性验证机制。通过分析和实验表明：本方案不仅支持全动态更新，而且能够减少协议各实体的计算负担，简化动态更新过程。方案不足之处是在CSP产生证据的过程中，需产生更多的辅助信息才能完成验证，导致CSP和TPA之间的通信负担增大。如何优化算法，减少通信开销是下一步研究改进的方向。

参考文献

[1]	Journal of Central South University(Science and Technology), 41(2):649-654.-->冯登国, 张敏, 张妍, 等. 云计算安全研究[J].软件学报,2011, 22(1): 71–83.FENG Dengguo, ZHANG Min, ZHANG Yan, et al. Study on cloud computing security[J].Journal of Software,2011, 22(1): 71–83.(in Chinese)
[2]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Ateniese G, Burns R, Curtmola R. Provable data possession at untrusted stores[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS 2007). New York, USA:ACM Press, 2007:598-609.
[3]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Ateniese G, Pietro R D, Mancini L, et al. Scalable and efficient provable data possession[C]//Proceedings of the 4th International Conference on Security and Privacy in Communication Networks (SecureComm'08). New York, USA:ACM Press, 2008:1-10.
[4]	Journal of Central South University(Science and Technology), 41(2):649-654.-->WANG Huaqun. Identity-based distributed provable data possession in multicloud storage[J].IEEE Transactions on Services Computing,2015, 8(2): 328–340.
[5]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Juels A, Kaliski B S. PORs:Proofs of retrievability for large files[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS 2007). New York, USA:ACM Press, 2007:584-597.
[6]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Shacham H, Waters B. Compact proofs of retrievability[C]//Proceedings of 14th International Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT'08). Berlin, Germany:Springer-Verlag Press, 2008:90-107.
[7]	Journal of Central South University(Science and Technology), 41(2):649-654.-->谭霜, 贾焰, 韩伟红. 云存储中的数据完整性证明研究及进展[J].计算机学报,2015, 38(1): 164–177.TAN Shuang, JIA Yan, HAN Weihong. Research and development of provable data integrity in cloud storage[J].Chinese Journal of Computers,2015, 38(1): 164–177.(in Chinese)
[8]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Erway C, Kupccu A, Papamathou C, et al. Dynamic provable data possession[C]//Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS 2009). New York, USA:ACM Press, 2009:213-222.
[9]	Journal of Central South University(Science and Technology), 41(2):649-654.-->ZHU Yan, HU Hongxin, AHN G J, et al. Efficient audit service outsourcing for data integrity in clouds[J].Journal of Systems and Software,2012, 85(5): 1083–1095.
[10]	Journal of Central South University(Science and Technology), 41(2):649-654.-->ZHU Yan, HU Hongxin, AHN G J, et al. Cooperative provable data possession for integrity verification in multi-cloud storage[J].IEEE Transactions on Parallel and Distributed Systems,2012, 23(12): 2231–2244.
[11]	Journal of Central South University(Science and Technology), 41(2):649-654.--> WANG Qian, WANG Cong, LI Jin, et al. Enabling public verifiability and data dynamics for storage security in cloud computing[C]//Proceedings of 14th European Symposium on Research in Computer Security (ESORICS 2009). Berlin, Germany:Springer-Verlag Press, 2009:355-370.
[12]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Boneh D, Lynn B, Shacham H. Short signatures from the weil pairing[C]//Proceedings of Seventh International Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT'01). Berlin, Germany:Springer-Verlag Press, 2001:514-532.