CN104506558B - 层次式数据拥有证明方法 - Google Patents

层次式数据拥有证明方法 Download PDF

Info

Publication number
CN104506558B
CN104506558B CN201510010666.XA CN201510010666A CN104506558B CN 104506558 B CN104506558 B CN 104506558B CN 201510010666 A CN201510010666 A CN 201510010666A CN 104506558 B CN104506558 B CN 104506558B
Authority
CN
China
Prior art keywords
data
certification
data block
detection
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510010666.XA
Other languages
English (en)
Other versions
CN104506558A (zh
Inventor
马海峰
关明山
姚念民
袁海峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Heilongjiang University of Science and Technology
Original Assignee
Heilongjiang University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Heilongjiang University of Science and Technology filed Critical Heilongjiang University of Science and Technology
Priority to CN201510010666.XA priority Critical patent/CN104506558B/zh
Publication of CN104506558A publication Critical patent/CN104506558A/zh
Application granted granted Critical
Publication of CN104506558B publication Critical patent/CN104506558B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种层次式数据拥有证明方法。所述方法对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。该方法用于检验云上数据的完整性,可检测出大部分的数据损坏,提高云上数据存储的安全性,并且在保证云上数据完整性的同时,尽可能降低完整性认证的计算开销和时间开销。

Description

层次式数据拥有证明方法
技术领域
本发明属于信息安全领域,涉及一种基于PDP模式的远程数据完整性检查方法。
背景技术
完整性检查(integrity checking)是指对抗对手主动攻击,防止信息被未经授权的篡改。它是安全体系结构和信息安全领域的重要研究内容,主要分为本地数据完整性检查和远程数据完整性检查。
1、本地数据完整性检查
本地存储器完整性保护的基本方法是消息认证码(Message AuthenticationCode,MAC)技术,MAC可以被快速计算及比较,但不能用于动态修改的存储器的完整性校验,也不能防范重放攻击。MIT提出Merkle树技术,Merkle树是公认的存储器完整性保护的有效方法,能够检测出重放攻击,并提供联机模式校验,且对根结点进行安全存储的代价需求非常小。但它需要维护一个占用大量空间的树结构,使得系统运行性能下降过多。基于Merkle树的改进方法很多,如CHTree(Cache Hash Tree,缓冲型hash树)、MACTree、PAT、TEC-Tree和Bonsai Merkle Trees等。
2、远程数据完整性检查
传统的数据完整性检验模式是先下载用户全部要检验的数据,再解密进行验证,如消息认证码(MAC)技术和Merkle树,而在云存储环境下,这导致通讯和计算开销过大,即以上传统认证方式显然是不可行的。目前,针对远程存储模式下数据检查,比较典型的是数据持有性证明 PDP 模型(Provable Data Possession)和可取回性证明POR模型(Proofsof Retrievability)。
PDP是一种轻量级数据完整性保护方法,采用挑战应答式的认证方案,可以检测到大于某个比例的数据损坏,但不保证整个文件是可取回的,PDP不能对动态数据进行保护。PDP由多个多项式时间算法组成,验证数据块有三个过程:
(1)客户端生成随机挑战challenge发给服务器;
(2)服务器计算所有权证明proof,执行产生证明算法Genproof,产生所有权证明V,并发送给客户端;
(3)客户端执行认证算法CheckProof,验证服务器端的V。
D-PDP(Dynamic Provable Data Possession)可对动态数据进行保护,其算法可支持大多数动态操作,但不支持插入操作。Erway等人利用跳跃表(Skip List)和RSA树构建了基于秩次的认证字典,以此提出了支持全动态更新的PDP方案。POR是数据可取回性证明方法,是将伪随机抽样和冗余编码(如纠错码)结合,通过挑战-应答协议向用户证明其文件是完好无损的,且用户能够以足够大的概率从服务器取回文件。POR中验证者首先对文件进行纠错编码,然后在文件随机位置插入由带密码的哈希函数生成的“岗哨”(Sentinels);每次挑战时验证者要求证明者返回一定数目的岗哨,通过验证岗哨的完整性达到检测文件完整性的目的,并结合纠错编码以一定的概率保证文件是可取回的。该方案的优点是用于存放岗哨的额外存储开销较小,挑战和应答的计算开销较小;缺点是插入的岗哨数目有限且只能被挑战一次,方案只能支持有限次数的挑战。同时方案为了保证岗哨的隐秘性,需先对文件进行加密,导致文件的读取开销较大。
发明内容
本发明的目的是提供一种层次式数据拥有证明方法,该方法用于检验云上数据的完整性,可检测出大部分的数据损坏,提高云上数据存储的安全性,并且在保证云上数据完整性的同时,尽可能降低完整性认证的计算开销和时间开销。
本发明的目的是通过以下技术方案实现的:
对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。
本发明具有如下优点:
1、与PDP模式比较,由于采用层次化的认证方法,可以检测出大部分的损坏数据,认证的数据量更少,使得通信和计算开销都更小。
2、认证的安全强度可调整:当安全要求相对较高时,设置较小的检测粒度,此时检测数据损坏的准确率很高,计算和通信开销相对较大;当安全要求相对较低时,设置较大的检测粒度,此时检测数据完整性损坏的准确率相对较低,计算和通信开销较小。
3、不仅可应用在基于PDP模式的远程数据完整性检查中,也可应用到PDP改进方法和其他远程数据完整性检查方案(如POR模式)中。
附图说明
图1为H-PDP流程图;
图2为H-PDP实例检测结果,横坐标X为检测粒度。
具体实施方式
下面结合附图对本发明的技术方案作进一步的说明,但并不局限于此,凡是对本发明技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的保护范围中。
具体实施方式一:本实施方式提供了一种层次式数据拥有证明方法,包括以下内容:
1、主要思想
在云存储系统中,如某个数据块损坏,则其附近数据块损坏的概率也很大;如数据块正常,则其附近的数据块正常的概率也很大,基于此思路,提出层次式的数据拥有证明方法(H-PDP,Hierarchical Provable Data Possession)。其主要思想是对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到到检测粒度最小为止。
2、具体描述
工作场景是云上已存储了基于PDP机制的用户数据,客户端作为认证方,云服务器作为被认证方,客户端要对云服务器上数据进行认证。具体的,在认证前要设置初始检测粒度值X,它是进行第一层认证的数据块间距数。在第一层认证时,以X为检测粒度进行挑战应答模式认证,即在较大数据间隔下对若干数据块进行认证,如每次认证都成功,则认为远程数据未被损坏;如有失败的认证,则以X/2为检测粒度,在以此数据块为中心的周边区域进行第二层挑战应答模式认证,即在较小数据间隔下对若干数据进行认证,如每次认证都成功,则认为远程数据未被损坏,如有失败的认证,再进行下一层更细力度的认证,依此类推,直到检测粒度最小为止。
为使方案高效工作,要在符合一定条件下定义相应的算法,下面以上述叙述的场景,并以云上一段连续存储区域为例,给出认证的算法和流程图(图1),具体认证算法如下:
(1)确定检测粒度XX为正整数);
(2)为检测区间的每个数据块设置一个检测标志位a,初值为0;
(3)以X为大小等分检测区间;
(4)客户端对每个等分点处的数据块向服务器发起挑战(challenage);
(5)服务器生成应答证明(proof),并发给客户端;
(6)客户端认证应答证明,如认证(CheckProof)均成功,执行步骤(10);
(7) 判断检测粒度X是否为1,如是执行步骤(10),否则X=X/2,将对应数据块的标志位a置1;
(8)以每个认证失败的数据块为中心,客户端对其附近X位置的数据块向服务器发起挑战(对标志位a为1的数据块跳过检测);
(9)执行步骤(5);
(10)认证结束。
具体实施方式二:设云上有一段连续存储数据块,标号为0到100,随机设标号为6-8、70-75、93-94的共11个数据块损坏,现用H-PDP方法进行认证,求出检测率并比较检测性能。
解:现分3个检测粒度X=10、X=4和X=2。
1、初始检测粒度X=10
1)第一层认证
=10,认证10、20、…、10 (为正整数且)共10个块,检测出70损坏。
2)第二层认证
=10/2=5,对70附近进行粒度为5的认证,即认证65、75共2个块,新检测出75损坏。
3)第三层认证
=2,对70、75附近进行粒度为2的认证,即认证68、72、73、77共4个块,新检测出72、73损坏。
4)第四层认证
=1,对70、72、73、75附近进行粒度为1的认证,即认证69、71、74、76共4个块,新检测出71、74损坏。
5)因检测粒度为1,检测结束,检测出70-75共6个损坏块。
共检测块数:S=10+2+4+4=20;
检测率:R=6/11=54.5%;
检测数据块比例:A=20/101=19.8%。
2、设初始检测粒度X=4
1)第一层认证
=4,认证4、8、…、4 (为正整数且)共25个块,检测出8、72损坏。
2)第二层认证
=2,对8、72附近进行粒度为2的认证,即认证6、10、70、74共4块,新检测出6、70、74损坏。
3)第三层认证
=1,对6、8、70、72、74附近进行粒度为1的认证,即认证5、7、9、69、71、73、75共7块,新检测出7、71、73、75损坏。
4)因检测粒度为1,检测结束,检测出6-8、70-75共9个损坏块。
共检测数据块数:S=25+4+7=36;
检测率为:R=9/11=81.8%;
检测数据块比例:A=36/101=35.6%。
3、设初始检测粒度X=2
1)第一层认证
=2,认证2、4、…、2 (为正整数且)共50个块,检测出6、8、70、72、74、94损坏。
2)第二层认证
=1,对6、8、70、72、74、94附近进行粒度为1的认证,即认证5、7、9、69、71、73、75、93、95共9块,新检测出7、71、73、75、93损坏。
3)因检测粒度为1,检测结束,检测出6-8、70-75、93-94共11个损坏块。
共检测数据块数:S=50+9=59;
检测率为:R=11/11=100%;
检测数据块比例:A=59/101=58.4%。
4、结果分析
由图2可知:当检测粒度较大时,检测比例较小,则检测率较低;当检测粒度变小,检测比例提高,则检测率迅速提高;当检测粒度减小到某一程度,可检测出全部数据块损坏,此时检测比例为58.4%,因此认证所需开销比全部检测明显降低,因此可根据情况设置适当的检测粒度。

Claims (2)

1.一种层次式数据拥有证明方法,其特征在于所述方法对云上或远程数据认证时,基于PDP挑战应答模式进行分层次的数据认证:第一层认证时先进行粗粒度的挑战应答式认证,即在较大数据间隔下对远端的若干数据块进行认证,当认证均成功,则认为此数据块附近区域数据完整;当发现失败的认证,则以损坏的数据块为中心,对附近区域进行下层较细粒度的挑战应答式认证,即在较小数据间隔下对远端若干数据块再次进行认证,依此类推,直到检测粒度最小为止;
具体认证步骤如下:
(1)确定检测粒度X;
(2)为检测区间的每个数据块设置一个检测标志位a,初值为0;
(3)以X为大小等分检测区间;
(4)客户端对每个等分点处的数据块向服务器发起挑战;
(5)服务器生成应答证明,并发给客户端;
(6)客户端认证应答证明,如认证均成功,执行步骤(10);
(7)判断检测粒度X是否为1,如是执行步骤(10),否则将对应数据块的标志位a置1;
(8)以每个认证失败的数据块为中心,客户端对其附近X位置的数据块向服务器发起挑战,对标志位a为1的数据块跳过检测;
(9)执行步骤(5);
(10)认证结束。
2.根据权利要求1所述的层次式数据拥有证明方法,其特征在于所述X为正整数。
CN201510010666.XA 2015-01-09 2015-01-09 层次式数据拥有证明方法 Expired - Fee Related CN104506558B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510010666.XA CN104506558B (zh) 2015-01-09 2015-01-09 层次式数据拥有证明方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510010666.XA CN104506558B (zh) 2015-01-09 2015-01-09 层次式数据拥有证明方法

Publications (2)

Publication Number Publication Date
CN104506558A CN104506558A (zh) 2015-04-08
CN104506558B true CN104506558B (zh) 2017-06-16

Family

ID=52948273

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510010666.XA Expired - Fee Related CN104506558B (zh) 2015-01-09 2015-01-09 层次式数据拥有证明方法

Country Status (1)

Country Link
CN (1) CN104506558B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314344B (zh) * 2020-02-17 2023-01-31 上海应用技术大学 一种基于pdp模式的非同频数据持有性检测方法
CN112311548A (zh) * 2020-03-25 2021-02-02 北京沃东天骏信息技术有限公司 数据持有性验证方法、系统、装置及计算机可读存储介质
CN113625972A (zh) * 2021-08-26 2021-11-09 上海应用技术大学 一种可公开审计的层次式数据持有性证明方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103605784A (zh) * 2013-11-29 2014-02-26 北京航空航天大学 一种多重云环境下数据完整性验证方法
CN104142984A (zh) * 2014-07-18 2014-11-12 电子科技大学 一种基于粗细粒度的视频指纹检索方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2010223925A1 (en) * 2009-03-13 2011-11-03 Rutgers, The State University Of New Jersey Systems and methods for the detection of malware

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103605784A (zh) * 2013-11-29 2014-02-26 北京航空航天大学 一种多重云环境下数据完整性验证方法
CN104142984A (zh) * 2014-07-18 2014-11-12 电子科技大学 一种基于粗细粒度的视频指纹检索方法

Also Published As

Publication number Publication date
CN104506558A (zh) 2015-04-08

Similar Documents

Publication Publication Date Title
US11444769B2 (en) Systems, devices, and methods for signal localization and verification of sensor data
EP3639467B1 (en) Computer-implemented system and method providing a decentralised protocol for the recovery of cryptographic assets
CN110249333B (zh) 联盟区块链网络的事务处理
Kong et al. PUFatt: Embedded platform attestation based on novel processor-based PUFs
US20190253417A1 (en) Hardware device and authenticating method thereof
US9294473B1 (en) Server methods and apparatus for processing passcodes generated by configurable one-time authentication tokens
CN108399329A (zh) 一种提高可信应用程序安全的方法
CN105320899A (zh) 一种面向用户的云存储数据完整性保护方法
CN106941400B (zh) 一种基于sram-puf的模糊保险箱认证方法
CN103530548B (zh) 基于移动可信计算模块的嵌入式终端可信启动方法
CN105653951B (zh) 基于数字证书的信任等级来反病毒检查文件的系统和方法
CN106027245A (zh) 密钥共享方法及装置
Li et al. P3M: a PIM-based neural network model protection scheme for deep learning accelerator
CN104506558B (zh) 层次式数据拥有证明方法
ES2894726T3 (es) Protocolo de consenso para libros mayores autorizados
US20130046979A1 (en) Protecting the information encoded in a bloom filter using encoded bits of data
Islam et al. Signature correction attack on dilithium signature scheme
CN103778387B (zh) 基于格的大数据动态存储完整性验证方法
CN109960940B (zh) 一种基于日志的嵌入式设备控制流证明方法及系统
Chen et al. Tora: A trusted blockchain oracle based on a decentralized tee network
CN102983969B (zh) 一种操作系统的安全登录系统及安全登录方法
CN117037988B (zh) 一种基于区块链的电子病历存储方法及装置
CN104751042A (zh) 基于密码哈希与生物特征识别的可信性检测方法
CN110166225A (zh) 一种口令具有时效且认证次数不受限的动态口令认证方法
CN113630255B (zh) 基于sram puf的轻量级双向认证方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170616

Termination date: 20180109

CF01 Termination of patent right due to non-payment of annual fee