CN104506558B - 层次式数据拥有证明方法 - Google Patents
层次式数据拥有证明方法 Download PDFInfo
- Publication number
- CN104506558B CN104506558B CN201510010666.XA CN201510010666A CN104506558B CN 104506558 B CN104506558 B CN 104506558B CN 201510010666 A CN201510010666 A CN 201510010666A CN 104506558 B CN104506558 B CN 104506558B
- Authority
- CN
- China
- Prior art keywords
- data
- certification
- data block
- detection
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种层次式数据拥有证明方法。所述方法对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。该方法用于检验云上数据的完整性,可检测出大部分的数据损坏,提高云上数据存储的安全性,并且在保证云上数据完整性的同时,尽可能降低完整性认证的计算开销和时间开销。
Description
技术领域
本发明属于信息安全领域,涉及一种基于PDP模式的远程数据完整性检查方法。
背景技术
完整性检查(integrity checking)是指对抗对手主动攻击,防止信息被未经授权的篡改。它是安全体系结构和信息安全领域的重要研究内容,主要分为本地数据完整性检查和远程数据完整性检查。
1、本地数据完整性检查
本地存储器完整性保护的基本方法是消息认证码(Message AuthenticationCode,MAC)技术,MAC可以被快速计算及比较,但不能用于动态修改的存储器的完整性校验,也不能防范重放攻击。MIT提出Merkle树技术,Merkle树是公认的存储器完整性保护的有效方法,能够检测出重放攻击,并提供联机模式校验,且对根结点进行安全存储的代价需求非常小。但它需要维护一个占用大量空间的树结构,使得系统运行性能下降过多。基于Merkle树的改进方法很多,如CHTree(Cache Hash Tree,缓冲型hash树)、MACTree、PAT、TEC-Tree和Bonsai Merkle Trees等。
2、远程数据完整性检查
传统的数据完整性检验模式是先下载用户全部要检验的数据,再解密进行验证,如消息认证码(MAC)技术和Merkle树,而在云存储环境下,这导致通讯和计算开销过大,即以上传统认证方式显然是不可行的。目前,针对远程存储模式下数据检查,比较典型的是数据持有性证明 PDP 模型(Provable Data Possession)和可取回性证明POR模型(Proofsof Retrievability)。
PDP是一种轻量级数据完整性保护方法,采用挑战应答式的认证方案,可以检测到大于某个比例的数据损坏,但不保证整个文件是可取回的,PDP不能对动态数据进行保护。PDP由多个多项式时间算法组成,验证数据块有三个过程:
(1)客户端生成随机挑战challenge发给服务器;
(2)服务器计算所有权证明proof,执行产生证明算法Genproof,产生所有权证明V,并发送给客户端;
(3)客户端执行认证算法CheckProof,验证服务器端的V。
D-PDP(Dynamic Provable Data Possession)可对动态数据进行保护,其算法可支持大多数动态操作,但不支持插入操作。Erway等人利用跳跃表(Skip List)和RSA树构建了基于秩次的认证字典,以此提出了支持全动态更新的PDP方案。POR是数据可取回性证明方法,是将伪随机抽样和冗余编码(如纠错码)结合,通过挑战-应答协议向用户证明其文件是完好无损的,且用户能够以足够大的概率从服务器取回文件。POR中验证者首先对文件进行纠错编码,然后在文件随机位置插入由带密码的哈希函数生成的“岗哨”(Sentinels);每次挑战时验证者要求证明者返回一定数目的岗哨,通过验证岗哨的完整性达到检测文件完整性的目的,并结合纠错编码以一定的概率保证文件是可取回的。该方案的优点是用于存放岗哨的额外存储开销较小,挑战和应答的计算开销较小;缺点是插入的岗哨数目有限且只能被挑战一次,方案只能支持有限次数的挑战。同时方案为了保证岗哨的隐秘性,需先对文件进行加密,导致文件的读取开销较大。
发明内容
本发明的目的是提供一种层次式数据拥有证明方法,该方法用于检验云上数据的完整性,可检测出大部分的数据损坏,提高云上数据存储的安全性,并且在保证云上数据完整性的同时,尽可能降低完整性认证的计算开销和时间开销。
本发明的目的是通过以下技术方案实现的:
对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。
本发明具有如下优点:
1、与PDP模式比较,由于采用层次化的认证方法,可以检测出大部分的损坏数据,认证的数据量更少,使得通信和计算开销都更小。
2、认证的安全强度可调整:当安全要求相对较高时,设置较小的检测粒度,此时检测数据损坏的准确率很高,计算和通信开销相对较大;当安全要求相对较低时,设置较大的检测粒度,此时检测数据完整性损坏的准确率相对较低,计算和通信开销较小。
3、不仅可应用在基于PDP模式的远程数据完整性检查中,也可应用到PDP改进方法和其他远程数据完整性检查方案(如POR模式)中。
附图说明
图1为H-PDP流程图;
图2为H-PDP实例检测结果,横坐标X为检测粒度。
具体实施方式
下面结合附图对本发明的技术方案作进一步的说明,但并不局限于此,凡是对本发明技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的保护范围中。
具体实施方式一:本实施方式提供了一种层次式数据拥有证明方法,包括以下内容:
1、主要思想
在云存储系统中,如某个数据块损坏,则其附近数据块损坏的概率也很大;如数据块正常,则其附近的数据块正常的概率也很大,基于此思路,提出层次式的数据拥有证明方法(H-PDP,Hierarchical Provable Data Possession)。其主要思想是对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。
2、具体描述
工作场景是云上已存储了基于PDP机制的用户数据,客户端作为认证方,云服务器作为被认证方,客户端要对云服务器上数据进行认证。具体的,在认证前要设置初始检测粒度值X,它是进行第一层认证的数据块间距数。在第一层认证时,以X为检测粒度进行挑战应答模式认证,即在较大数据间隔下对若干数据块进行认证,如每次认证都成功,则认为远程数据未被损坏;如有失败的认证,则以X/2为检测粒度,在以此数据块为中心的周边区域进行第二层挑战应答模式认证,即在较小数据间隔下对若干数据进行认证,如每次认证都成功,则认为远程数据未被损坏,如有失败的认证,再进行下一层更细力度的认证,依此类推,直到检测粒度最小为止。
为使方案高效工作,要在符合一定条件下定义相应的算法,下面以上述叙述的场景,并以云上一段连续存储区域为例,给出认证的算法和流程图(图1),具体认证算法如下:
(1)确定检测粒度X(X为正整数);
(2)为检测区间的每个数据块设置一个检测标志位a,初值为0;
(3)以X为大小等分检测区间;
(4)客户端对每个等分点处的数据块向服务器发起挑战(challenage);
(5)服务器生成应答证明(proof),并发给客户端;
(6)客户端认证应答证明,如认证(CheckProof)均成功,执行步骤(10);
(7) 判断检测粒度X是否为1,如是执行步骤(10),否则X=X/2,将对应数据块的标志位a置1;
(8)以每个认证失败的数据块为中心,客户端对其附近X位置的数据块向服务器发起挑战(对标志位a为1的数据块跳过检测);
(9)执行步骤(5);
(10)认证结束。
具体实施方式二:设云上有一段连续存储数据块,标号为0到100,随机设标号为6-8、70-75、93-94的共11个数据块损坏,现用H-PDP方法进行认证,求出检测率并比较检测性能。
解:现分3个检测粒度X=10、X=4和X=2。
1、初始检测粒度X=10
1)第一层认证
=10,认证10、20、…、10 (为正整数且)共10个块,检测出70损坏。
2)第二层认证
=10/2=5,对70附近进行粒度为5的认证,即认证65、75共2个块,新检测出75损坏。
3)第三层认证
=2,对70、75附近进行粒度为2的认证,即认证68、72、73、77共4个块,新检测出72、73损坏。
4)第四层认证
=1,对70、72、73、75附近进行粒度为1的认证,即认证69、71、74、76共4个块,新检测出71、74损坏。
5)因检测粒度为1,检测结束,检测出70-75共6个损坏块。
共检测块数:S=10+2+4+4=20;
检测率:R=6/11=54.5%;
检测数据块比例:A=20/101=19.8%。
2、设初始检测粒度X=4
1)第一层认证
=4,认证4、8、…、4 (为正整数且)共25个块,检测出8、72损坏。
2)第二层认证
=2,对8、72附近进行粒度为2的认证,即认证6、10、70、74共4块,新检测出6、70、74损坏。
3)第三层认证
=1,对6、8、70、72、74附近进行粒度为1的认证,即认证5、7、9、69、71、73、75共7块,新检测出7、71、73、75损坏。
4)因检测粒度为1,检测结束,检测出6-8、70-75共9个损坏块。
共检测数据块数:S=25+4+7=36;
检测率为:R=9/11=81.8%;
检测数据块比例:A=36/101=35.6%。
3、设初始检测粒度X=2
1)第一层认证
=2,认证2、4、…、2 (为正整数且)共50个块,检测出6、8、70、72、74、94损坏。
2)第二层认证
=1,对6、8、70、72、74、94附近进行粒度为1的认证,即认证5、7、9、69、71、73、75、93、95共9块,新检测出7、71、73、75、93损坏。
3)因检测粒度为1,检测结束,检测出6-8、70-75、93-94共11个损坏块。
共检测数据块数:S=50+9=59;
检测率为:R=11/11=100%;
检测数据块比例:A=59/101=58.4%。
4、结果分析
由图2可知:当检测粒度较大时,检测比例较小,则检测率较低;当检测粒度变小,检测比例提高,则检测率迅速提高;当检测粒度减小到某一程度,可检测出全部数据块损坏,此时检测比例为58.4%,因此认证所需开销比全部检测明显降低,因此可根据情况设置适当的检测粒度。
Claims (2)
1.一种层次式数据拥有证明方法,其特征在于所述方法对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到检测粒度最小为止;
具体认证步骤如下:
(1)确定检测粒度X;
(2)为检测区间的每个数据块设置一个检测标志位a,初值为0;
(3)以X为大小等分检测区间;
(4)客户端对每个等分点处的数据块向服务器发起挑战;
(5)服务器生成应答证明,并发给客户端;
(6)客户端认证应答证明,如认证均成功,执行步骤(10);
(7)判断检测粒度X是否为1,如是执行步骤(10),否则将对应数据块的标志位a置1;
(8)以每个认证失败的数据块为中心,客户端对其附近X位置的数据块向服务器发起挑战,对标志位a为1的数据块跳过检测;
(9)执行步骤(5);
(10)认证结束。
2.根据权利要求1所述的层次式数据拥有证明方法,其特征在于所述X为正整数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510010666.XA CN104506558B (zh) | 2015-01-09 | 2015-01-09 | 层次式数据拥有证明方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510010666.XA CN104506558B (zh) | 2015-01-09 | 2015-01-09 | 层次式数据拥有证明方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104506558A CN104506558A (zh) | 2015-04-08 |
CN104506558B true CN104506558B (zh) | 2017-06-16 |
Family
ID=52948273
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510010666.XA Expired - Fee Related CN104506558B (zh) | 2015-01-09 | 2015-01-09 | 层次式数据拥有证明方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104506558B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111314344B (zh) * | 2020-02-17 | 2023-01-31 | 上海应用技术大学 | 一种基于pdp模式的非同频数据持有性检测方法 |
CN112311548A (zh) * | 2020-03-25 | 2021-02-02 | 北京沃东天骏信息技术有限公司 | 数据持有性验证方法、系统、装置及计算机可读存储介质 |
CN113625972A (zh) * | 2021-08-26 | 2021-11-09 | 上海应用技术大学 | 一种可公开审计的层次式数据持有性证明方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
CN104142984A (zh) * | 2014-07-18 | 2014-11-12 | 电子科技大学 | 一种基于粗细粒度的视频指纹检索方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2010223925A1 (en) * | 2009-03-13 | 2011-11-03 | Rutgers, The State University Of New Jersey | Systems and methods for the detection of malware |
-
2015
- 2015-01-09 CN CN201510010666.XA patent/CN104506558B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
CN104142984A (zh) * | 2014-07-18 | 2014-11-12 | 电子科技大学 | 一种基于粗细粒度的视频指纹检索方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104506558A (zh) | 2015-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11444769B2 (en) | Systems, devices, and methods for signal localization and verification of sensor data | |
EP3639467B1 (en) | Computer-implemented system and method providing a decentralised protocol for the recovery of cryptographic assets | |
CN110249333B (zh) | 联盟区块链网络的事务处理 | |
Kong et al. | PUFatt: Embedded platform attestation based on novel processor-based PUFs | |
US20190253417A1 (en) | Hardware device and authenticating method thereof | |
US9294473B1 (en) | Server methods and apparatus for processing passcodes generated by configurable one-time authentication tokens | |
CN108399329A (zh) | 一种提高可信应用程序安全的方法 | |
CN105320899A (zh) | 一种面向用户的云存储数据完整性保护方法 | |
CN106941400B (zh) | 一种基于sram-puf的模糊保险箱认证方法 | |
CN103530548B (zh) | 基于移动可信计算模块的嵌入式终端可信启动方法 | |
CN105653951B (zh) | 基于数字证书的信任等级来反病毒检查文件的系统和方法 | |
CN106027245A (zh) | 密钥共享方法及装置 | |
Li et al. | P3M: a PIM-based neural network model protection scheme for deep learning accelerator | |
CN104506558B (zh) | 层次式数据拥有证明方法 | |
ES2894726T3 (es) | Protocolo de consenso para libros mayores autorizados | |
US20130046979A1 (en) | Protecting the information encoded in a bloom filter using encoded bits of data | |
Islam et al. | Signature correction attack on dilithium signature scheme | |
CN103778387B (zh) | 基于格的大数据动态存储完整性验证方法 | |
CN109960940B (zh) | 一种基于日志的嵌入式设备控制流证明方法及系统 | |
Chen et al. | Tora: A trusted blockchain oracle based on a decentralized tee network | |
CN102983969B (zh) | 一种操作系统的安全登录系统及安全登录方法 | |
CN117037988B (zh) | 一种基于区块链的电子病历存储方法及装置 | |
CN104751042A (zh) | 基于密码哈希与生物特征识别的可信性检测方法 | |
CN110166225A (zh) | 一种口令具有时效且认证次数不受限的动态口令认证方法 | |
CN113630255B (zh) | 基于sram puf的轻量级双向认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170616 Termination date: 20180109 |
|
CF01 | Termination of patent right due to non-payment of annual fee |