CN109327460A - 一种基于双线性对技术的云端大数据安全审计方法 - Google Patents
一种基于双线性对技术的云端大数据安全审计方法 Download PDFInfo
- Publication number
- CN109327460A CN109327460A CN201811338920.9A CN201811338920A CN109327460A CN 109327460 A CN109327460 A CN 109327460A CN 201811338920 A CN201811338920 A CN 201811338920A CN 109327460 A CN109327460 A CN 109327460A
- Authority
- CN
- China
- Prior art keywords
- cloud
- data
- auditing
- user
- big data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Abstract
本发明公开了一种基于双线性对技术的云端大数据安全审计方法,包括如下步骤:(1)通过管理界面,配置生成密钥所需的安全参数生成密钥以及相应的标签,并要求发送给云的数据都需要对应特定的标签;(2)云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;(3)云收到来自第三方审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明;(4)第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改。本发明借助于一个第三方审计者能够安全高效的审计云端大数据。
Description
技术领域
本发明涉及大数据审计方法技术领域,尤其是一种基于双线性对技术的云端大数据安全审计方法。
背景技术
大数据,或称巨量资料,指的是所涉及的资料量规模巨大到无法透过目前主流软件工具,在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。大数据对象既可能是实际的、有限的数据集合,如某个政府部门或企业掌握的数据库,也可能是虚拟的、无限的数据集合,如微博、微信、社交网络上的全部信息。大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。从数据的类别上看,“大数据”指的是无法使用传统流程或工具处理或分析的信息。它定义了那些超出正常处理范围和大小、迫使用户采用非传统处理方法的数据集。亚马逊网络服务(AWS)、大数据科学家JohnRauser提到一个简单的定义:大数据就是任何超过了一台计算机处理能力的庞大数据量。研发小组对大数据的定义:“大数据是最大的宣传技术、是最时髦的技术,当这种现象出现时,定义就变得很混乱。”Kelly说:“大数据是可能不包含所有的信息,但我觉得大部分是正确的。对大数据的一部分认知在于,它是如此之大,分析它需要多个工作负载,这是AWS的定义。
随着大数据中数据量的增长,急需一种用来处理大数据的技术。大数据技术是指从各种各样类型的大数据中,快速获得有价值信息的技术的能力,包括数据采集、存储、管理、分析挖掘、可视化等技术及其集成。云计算是一种新兴的计算技术,其由分布式计算技术发展而来,是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。因此,云计算甚至可以让你体验每秒10万亿次的运算能力,拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心,按自己的需求进行运算。云计算的种种特点,决定了其可以用于处理大数据。利用云计算技术来处理和存储大数据是未来信息处理技术发展的趋势。众所周知,云计算是由云服务器来提供资源的,对于用户来说其是一个第三方服务器,因此云是否能完整存储数据直接决定了数据的可利用程度,尤其是大数据中的部分隐私数据可能会决定数据所有者的利益关系。因此,让云系统能为用户提供一种数据存储的完整性审计方法是必要的。
发明内容
本发明所要解决的技术问题在于,提供一种基于双线性对技术的云端大数据安全审计方法,借助于一个第三方审计者能够安全高效的审计云端大数据。
为解决上述技术问题,本发明提供一种基于双线性对技术的云端大数据安全审计方法,包括如下步骤:
(1)通过管理界面,配置生成密钥所需的安全参数生成密钥以及相应的标签,并要求发送给云的数据都需要对应特定的标签;
(2)云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;
(3)云收到来自第三方审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明;
(4)第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改。
优选的,步骤(1)中,云用户通过管理界面,输入一个安全参数;然后,系统从给定的域里随机选择三个安全参数,当上述操作结束后,系统相应的密钥、公钥以及私钥和公钥,用于保护后续的标签证明和验证证明;最后,对发送给云的数据的每个数据块都对应到特定的标签上。
优选的,步骤(2)中,云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云具体包括如下步骤:
(21)云用户提出验证数据存储的正确性和完整性的要求,并发送相应的安全参数给第三方审计员;
(22)第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;如果云没有收到来自用户端的安全参数,则其不能生成正确的证明;为了便于验证,事先约定验证挑战算法。
优选的,步骤(3)中,当云收到来自审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明,生成的证明由文件数据块证明和标签证明组成。
优选的,步骤(4)中,第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改具体包括如下步骤:
(41)云服务器将根据挑战以及标签和数据生成数据块相应的存储证明返回给第三方审计员;
(42)第三方审计员利用双线性映射的特点来验证存储在云端的大数据是否完整和被篡改。
本发明的有益效果为:本发明公开了一种基于双线性对技术的云端大数据安全审计方法,使用该方法可以实现提高大数据存储的审计安全性和效率,可安全高效的审计云端大数据;本发明利用一个第三方审计员来参与大数据的审计,这样可以大大降低用户端数据审计的开销,使得审计方法更高效;另外,本发明所提出的审计方法还可支持批处理操作,即多用户审计多个服务器内的数据存储情况;所提出的云端大数据审计方法的强安全性和较高的审计效率可以保证该方法可以很好地运用于实际使用中。
附图说明
图1为本发明的系统结构示意图。
图2为本发明的方法流程示意图。
图3为本发明的方法过程示意图。
图4为本发明的“批审计操作”的过程示意图。
具体实施方式
如图1和图2所示,一种基于双线性对技术的云端大数据安全审计方法,包括如下步骤:
(1)通过管理界面,配置生成密钥所需的安全参数生成密钥以及相应的标签,并要求发送给云的数据都需要对应特定的标签;
(2)云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;
(3)云收到来自第三方审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明;
(4)第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改。
一、密钥生成阶段
首先,该阶段输入一个安全参数k,该参数决定方案里所选取的安全参数的大小和可选择参数的范围。然后,系统从域里随机选择三个安全参数αi,x,r,此处的p表示一个足够大的素数阶。当上述操作结束后,系统将会计算密钥skt=1/αi,公钥pkt=以及私钥sk=xr,公钥值得注意的是,这里的skt是用来保护标签证明的,pkt是用来验证证明的。
二、标签生成阶段
为了提高系统的安全性,避免系统内敏感信息的泄露,定义在云服务器内每个待验证的数据块将对应一个特定的标签,该标签可辅助进行数据存储完整性的验证。同时,这个阶段需要从域里随机选择两个参数δi和vi并且计算文件块为然后,这里该文件块对应的标签可计算如下:
因此,基于以上的描述,系统内的标签集可表示为{ti}1≤i≤n。
三、挑战生成阶段
该阶段是为了根据用户的审计要求来生成相应的审计挑战。一方面,云用户可以根据需要验证数据存储的正确性和完整性。只有云服务器收到来自第三方审计员的挑战信息,云才会执行该操作。另一方面,若云没有收到来自用户端的安全参数,则其不能生成正确的证明。为了便于验证,可定义一个验证挑战C={i,vi,x,pk}。
四、存储证明生成阶段
当云收到来自审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明。生成的证明由文件数据块证明和标签证明组成,相应标签证明和文件证明可分别表示如下:
五、验证存储证明阶段
该阶段由第三方审计员执行,其主要是为了验证云所返回的存储证明是否正确。通过验证云生成的证明,第三方审计员可以确定存储在云端的大数据是否完整和被篡改与否。存储验证公式如下:
此处假设所有的实体能够正确的产生、发送和接收系统内的公私钥和安全参数。在验证证明过程中,可以利用双线性映射的特点来验证以上的存储证明是否正确。验证公式左边可展开如下:
验证公式右边展开如下:
因此,以上的存储验证公式证明是正确的,也就是说,该方法能够正确对云端大数据的完整性进行审计。如图3所示,其简要的说明了本发明的方法过程。
六、批审计操作
在现实的云计算和大数据使用中,往往会有很多用户同时需要接收云的服务。即,在大数据云端设计中,系统需要能够支持多个数据审计任务同时进行。而且,云计算里包含很多服务器,不可避免的就有很多服务器同时给用户提供服务。因此,一个完美的云端大数据审计方法也需要支持批处理操作,详细介绍如下:
(1)密钥生成阶段:如上所述,该阶段是为系统生成必要的安全参数和密钥。首先,系统随机从域里选择三个安全参数αos,i,xos,ros,其中o,s分别表示用户和服务器。另外,系统还需计算公私钥为
(2)标签生成阶段:该阶段从域里随机选择δos,i和vos,i。同时,为数据块计算这里需要定义属于用户o的文件块将会被上传到服务器s,该数据对应的标签可表示如下:
与上描述相似,这里可以假设标签集为{tos,i}1≤i≤n,o∈O,s∈S,此处的O,S分别表示用户和服务器的集合。
(3)挑战生成阶段:为了适应批处理操作,挑战信息也应该相应的做出调整。因此,可以定义批处理操作挑战为Cos={ios,vos,i,xos,pkos}。
(4)批处理证明生成阶段:该阶段主要是为了产生相应地批处理证明,此处的证明是为了验证相应的数据是否属于用户o上传的,而且所提出的批审计方法也可以确定数据是否存储在服务器s里。批处理操作里的标签和数据块证明可分别表示如下:
(5)批处理验证阶段:当审计员收到以上的证明和安全参数时,其可以通过验证如下公式来确定是否支持批审计操作。批审计中的验证公式可表示为:
此处,同样可通过利用双线性配对技术来验证批处理的公式是否正确。首先,可以将验证公式左边展开如下:
批审计验证公式的右边展开如下:
从以上描述可知,只要所有的公私钥和安全参数能够正确产生和计算得出,以上批审计验证公式可以成立,即所提出的审计方法是支持批审计的。如图4所示,其简要说明了本发明的“批审计操作”的过程。
验证存储的完整性和正确性是审核协议的主要任务。从上述证明的验证中,只要安全参数未被修改或丢失,则验证方程的左侧将等于左侧。因此,云中数据的完整性是可验证的。
安全性方面,所提出的审计方法能够高效地保护用户和数据的隐私。用户的数据对于审计员来说并不是透明的,换句话说,审计员在审计过程中无法正确获得用户的数据。假设审计员是不诚实的并且被攻击者攻击了,从以上描述中可知,审计员持有sk,pk,C,P。而数据本身对于标签证明和数据块证明来说,其是隐藏的,即利用安全参数隐藏如然而,审计员无法解开标签证明来获取其次,是由用户即数据上传者加密的,所以审计员无法获得该参数。在数据块标签中,用户的数据块被包含在双线性操作中。众所周知,双线性配对的公式很难被破解。因此,攻击者想要获得用户上传在云服务器中的明文是很难的,所以所提出的审计方法可以在安全性保障上提供隐私保护的功能。
本发明在不影响安全性和隐私保护的前提下简化了审计证明的验证过程。因此,本发明具有更高的效率。此外,进一步扩展审计方法以支持批量审核,即所提出的审计方法可以同时审核多云和多用户的存储。
Claims (5)
1.一种基于双线性对技术的云端大数据安全审计方法,其特征在于,包括如下步骤:
(1)通过管理界面,配置生成密钥所需的安全参数生成密钥以及相应的标签,并要求发送给云的数据都需要对应特定的标签;
(2)云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;
(3)云收到来自第三方审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明;
(4)第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改。
2.如权利要求1所述的基于双线性对技术的云端大数据安全审计方法,其特征在于,步骤(1)中,云用户通过管理界面,输入一个安全参数;然后,系统从给定的域里随机选择三个安全参数,当上述操作结束后,系统相应的密钥、公钥以及私钥和公钥,用于保护后续的标签证明和验证证明;最后,对发送给云的数据的每个数据块都对应到特定的标签上。
3.如权利要求1所述的基于双线性对技术的云端大数据安全审计方法,其特征在于,步骤(2)中,云用户根据需要验证数据存储的正确性和完整性;当云用户需要验证数据存储正确性和安全性的时候,第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云具体包括如下步骤:
(21)云用户提出验证数据存储的正确性和完整性的要求,并发送相应的安全参数给第三方审计员;
(22)第三方审计员根据用户的审计要求来生成相应的审计挑战并发送给云;如果云没有收到来自用户端的安全参数,则其不能生成正确的证明;为了便于验证,事先约定验证挑战算法。
4.如权利要求1所述的基于双线性对技术的云端大数据安全审计方法,其特征在于,步骤(3)中,当云收到来自审计员所发送的挑战后,云服务器会根据挑战以及标签和数据生成数据块相应的存储证明,生成的证明由文件数据块证明和标签证明组成。
5.如权利要求1所述的基于双线性对技术的云端大数据安全审计方法,其特征在于,步骤(4)中,第三方审计员通过验证云生成的证明,确定存储在云端的大数据是否完整或被篡改具体包括如下步骤:
(41)云服务器将根据挑战以及标签和数据生成数据块相应的存储证明返回给第三方审计员;
(42)第三方审计员利用双线性映射的特点来验证存储在云端的大数据是否完整和被篡改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811338920.9A CN109327460A (zh) | 2018-11-12 | 2018-11-12 | 一种基于双线性对技术的云端大数据安全审计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811338920.9A CN109327460A (zh) | 2018-11-12 | 2018-11-12 | 一种基于双线性对技术的云端大数据安全审计方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109327460A true CN109327460A (zh) | 2019-02-12 |
Family
ID=65260106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811338920.9A Pending CN109327460A (zh) | 2018-11-12 | 2018-11-12 | 一种基于双线性对技术的云端大数据安全审计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109327460A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721158A (zh) * | 2016-01-20 | 2016-06-29 | 青岛一帆风顺软件有限公司 | 云安全隐私性和完整性保护方法和系统 |
KR20170026765A (ko) * | 2015-08-27 | 2017-03-09 | 고려대학교 산학협력단 | 자체 인증 서명을 기반으로 하는 공공 감사 방법 및 시스템 |
CN107426165A (zh) * | 2017-05-16 | 2017-12-01 | 安徽大学 | 一种支持密钥更新的双向安全云存储数据完整性检测方法 |
CN108111313A (zh) * | 2018-01-12 | 2018-06-01 | 哈尔滨工业大学深圳研究生院 | 对云服务器上存储的用户文件进行第三方审计的方法 |
-
2018
- 2018-11-12 CN CN201811338920.9A patent/CN109327460A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170026765A (ko) * | 2015-08-27 | 2017-03-09 | 고려대학교 산학협력단 | 자체 인증 서명을 기반으로 하는 공공 감사 방법 및 시스템 |
CN105721158A (zh) * | 2016-01-20 | 2016-06-29 | 青岛一帆风顺软件有限公司 | 云安全隐私性和完整性保护方法和系统 |
CN107426165A (zh) * | 2017-05-16 | 2017-12-01 | 安徽大学 | 一种支持密钥更新的双向安全云存储数据完整性检测方法 |
CN108111313A (zh) * | 2018-01-12 | 2018-06-01 | 哈尔滨工业大学深圳研究生院 | 对云服务器上存储的用户文件进行第三方审计的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sun et al. | Data security and privacy in cloud computing | |
CN106407822B (zh) | 一种关键词、多关键词可搜索加密方法和系统 | |
KR101954998B1 (ko) | 클라우드 컴퓨팅 3원소 간 접근을 제어하는 양자 인증 방법 | |
CN105049196B (zh) | 云存储中指定位置的多个关键词可搜索的加密方法 | |
CN108989346A (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问模式 | |
EP3395031B1 (en) | Method for providing a proof of retrievability | |
CN104038493B (zh) | 无双线性对的云存储数据安全审计方法 | |
Kaur et al. | Cloud computing security issues and its solution: A review | |
Vladimirov et al. | Security and privacy protection obstacles with 3D reconstructed models of people in applications and the metaverse: A survey | |
Rahman et al. | Cloud based E-learning, security threats and security measures | |
Jayapandian et al. | A novel approach to enhance multi level security system using encryption with fingerprint in cloud | |
Dhasade et al. | TEE-based decentralized recommender systems: The raw data sharing redemption | |
CN113239401A (zh) | 一种基于电力物联网的大数据分析系统、方法及计算机存储介质 | |
Wadhwa et al. | Framework for user authenticity and access control security over a cloud | |
CN109327460A (zh) | 一种基于双线性对技术的云端大数据安全审计方法 | |
CN111475690B (zh) | 字符串的匹配方法和装置、数据检测方法、服务器 | |
Rong et al. | A secure data access mechanism for cloud tenants | |
Mihailescu et al. | Software engineering and applied cryptography in cloud computing and big data | |
Kwao Dawson et al. | PRISMA archetype-based systematic literature review of security algorithms in the cloud | |
Jin et al. | Efficient blind face recognition in the cloud | |
CN113254989A (zh) | 目标数据的融合方法、装置和服务器 | |
Zhang et al. | Multi-party Secure Comparison of Strings Based on Outsourced Computation | |
CN110049054A (zh) | 支持隐私信息隐藏的明文共享数据审计方法和系统 | |
Mkpojiogu et al. | Hybrid Soft Computing Techniques for Enhancement of Data Privacy on Cloud | |
Block | ii. Cloud Storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190212 |
|
RJ01 | Rejection of invention patent application after publication |