CN109391621B

CN109391621B - 基于区块链的公共云存储数据完整性检验方法

Info

Publication number: CN109391621B
Application number: CN201811245149.0A
Authority: CN
Inventors: 许春香; 张源
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2018-10-24
Filing date: 2018-10-24
Publication date: 2021-07-06
Anticipated expiration: 2038-10-24
Also published as: CN109391621A

Abstract

本发明提供一种基于区块链的公共云存储数据完整性检验方法，基于以太坊区块链技术，其安全性依赖于以太坊区块链的安全性，与现有的云数据完整性检验方案相比本方案可以有效的抵御恶意TPA与懒惰的TPA：当TPA背离正确的协议内容时，不会威胁到本方案的安全性，不能成功的欺骗云用户；当TPA不在规定时间进行数据完整性检验时，用户会发现TPA的懒惰行为。

Description

基于区块链的公共云存储数据完整性检验方法

技术领域

本发明是一个能够抵抗懒惰和恶意审计者的云存储数据完整性检验方法，它属于通信技术领域，解决了存储于云服务器上的数据完整性保证问题，因其利用了以太坊区块链技术，故解决了传统的数据完整性检验方法中存在的无法抵抗懒惰审计者和恶意审计者的问题，提供了更强的安全性保证。

背景技术

云存储服务为用户提供了一种简便、高效的数据管理方式，使用户可以将自己的海量数据存储于云服务器中，按需访问外包存储的数据。云存储服务使用户免于本地数据存储与维护的压力，并为用户提供了极为灵活便捷的数据存取方式。数据外包至云中存储是当前数据存储的重要手段和趋势。

和传统的数据存储方式相比，云存储服务具有巨大的优势。然而，外包存储的数据也面临着新的安全挑战。由于用户将自己的数据存储于云服务器后，数据便完全受控于服务器，这使存储于云上的数据的完整性面临着严重的安全威胁，主要表现在以下几个方面：

1.外部安全威胁。尽管云服务器利用了更加安全的存储技术并提供了更加可靠的存储设备，但是，在实际的云环境中，存在着众多恶意的敌手，他们出于各自的利益，试图篡改或毁坏存储于云服务器上的用户数据。

2.内部安全威胁。对云服务提供商自己而言，在经济利益的驱使下，他们很有可能不会将数据的真实状态回馈给用户。确切的说，如果存储于云服务器上的数据由于云服务提供商自己的过失而遭到破坏，为了逃避责任或维护声誉，云服务提供商很可能会隐瞒数据已经遭到破坏的事实。

为了解决上述问题,我们需要周期性的对存储于云上的数据进行完整性检验。近年来，公共检验技术成为了数据完整性检验的核心技术之一，并得到了广泛的应用。公共检验将检验外包存储的数据完整性工作委托给一个有能力的独立第三方(Third-partyAuditor，TPA)进行，在检验的过程中无需用户参与，因此公共检验技术在外包数据的完整性方面为用户提供了强有力的安全保证。

Ateniese等人对于公共检验技术进行了先行研究，他们提出了一种名为数据可回取证明技术(proofs of retrievability,POR)。利用该技术对云数据完整性的进行检验能够极大的减少了用户的计算开销与通信开销。后续Hovav Shacham与Brent Waters提出了一种简洁的POR技术，其中支持公共审计的方案则是利用一个BLS短签名来进行数据完整性检验的。在Hovav Shacham与Brent Waters的工作之上，诸多公共完整性审计方案都被提出，但是绝大多数公共完整性审计方案中，都假设TPA是一个完全可信的实体，相应地，当TPA有恶意行为时，这些方案都面临着严重的安全威胁。详细来说，TPA的恶意行为主要是它与云服务器合谋，来欺骗用户。第一种欺骗是TPA与云服务器合谋，在外包存储在云上的数据的完整性遭到破坏后，依然欺骗用户，隐瞒数据遭到破坏的事实；第二种欺骗是TPA与云服务器合谋，不在规定的时间检验外包存储的数据完整性，我们称这样的TPA为懒惰的TPA。这种恶意行为会从根本上破坏公共检验的功能性，使得用户不能在数据完整性遭到破坏后尽快得知。

发明内容

本发明所要解决的技术问题是，提供一种能够抵抗恶意和懒惰审计者的云存储数据完整性公共检验方法。

本发明为解决上述技术问题所采用的技术方案是，基于区块链的公共云存储数据完整性检验方法，包括步骤：

系统初始化阶段：系统生成必要的公共参数，并生成用户的签名密钥与对应的认证密钥。

用户处理数据阶段：用户将自己将要外包存储的文件分为n个数据块，然后对每一个数据块使用一个签名算法进行签名。最后将文件与对应的所有签名上传至云服务器。云服务器收到这些数据后，验证数据是否正确上传。

TPA审计云服务器阶段：为了检验外包存储于云服务器上的数据的完整性，TPA首先产生一个挑战信息，并将挑战信息发送给云服务器。云服务器收到挑战信息后，产生对应的证明信息，并将证明信息发回给TPA。TPA得到证明信息后，检验证明信息的合法性。如果检验失败，则拒绝；检验成功，则接受，并将收到的证明信息作为一个条目，存储于一个日志文件中。与此同时，TPA将该证明信息上传至以太坊区块链上。

用户审计TPA阶段：用户通过审计日志文件的合法性来检验TPA执行协议的正确性。用户产生一个日志文件中所有条目索引的子集，然后检验这些子集所对应的条目是否合法。如果检验通过，则接受；若失败，则用户认为其数据完整性已遭到破坏，并且云服务器与TPA至少有一方背离了正确的协议步骤。

本发明的有益效果是，基于以太坊区块链技术，其安全性依赖于以太坊区块链的安全性，与现有的云数据完整性检验方案相比本方案可以有效的抵御恶意TPA与懒惰的TPA：当TPA背离正确的协议内容时，不会威胁到本方案的安全性，不能成功的欺骗云用户；当TPA不在规定时间进行数据完整性检验时，用户会发现TPA的懒惰行为。

具体实施方式

本发明中应用到双线性映射，其说明如下：

一个双线性映射e:G×G→G_T,其中G和G_T为乘法循环群，它们的阶为素数p，生成元为g，e具有双线性性，可计算性与不可退化性。

(一)系统初始化阶段

用户

以如下步骤产生系统参数：

1.根据安全参数

用户

选取对应的群G,G_T以及相应的双线性映射G×G→G_T。

2.从Z_p中随机选取一个α作为私钥，并计算v＝g^α作为公钥，其中g为G的一个生成元。

3.选择一个伪随机函数f()和一个伪随机置换函数π()。

4.选择合适的哈希函数H:{0,1}^*→G，h:{0,1}^*→Z_p,h₁:{0,1}^*→π.key，h₂:{0,1}^*→f.key，其中π.key为伪随机置换函数π()的密钥空间，f.key为伪随机函数f()的密钥空间。

此时，用户

的私钥为α，公共参数为{v,g,H,G,G_T,p}.用户

与审计者TPA协商数据完整性检验的周期，即确定TPA应何时检验外包数据的完整性。

(二)用户处理数据阶段

给定数据M，用户

首先将其分为n个数据块，并将每个数据块进一步分为s个扇区，形式为M＝{m_ij}(i∈[1,n],j∈[1,s])。随后，

选择一个随机元素name∈Z_p来对该文件文件进行命名。然后，

为每一个数据块m_ij(i∈[1,n],j∈[1,s])以如下方式产生一个签名：

1.从G中随机选择s个元素u₁,…,u_s。

2.计算一个文件标签τ＝h(name||n||s||g||u₁,…,u_s)。

3.计算签名

4.输出m_i的签名σ_i，其中m_i＝m_i1||m_i2||…||m_is。

此时，

得到

最后，

将

上传至云服务器

在收到

后，

验证下面公式是否成立，来检验

是否被正确上传。

若等式成立，则

接受

e为双线性数据集合运算符。

(三)TPA审计云服务器阶段具体包括以下步骤：

1.在规定的审计时间t，TPA以如下方式产生一个挑战信息：

2.基于当前的时间t，在以太坊区块链中获取在离t时刻最近时间产生的连续12个数据块的哈希值Bl_t-11,Bl_t-10,…,Bl_t。

3.将(Bl_t-11,Bl_t-10,…,Bl_t,t,c)设置为挑战信息，其中c为要检验的数据块总量。

TPA将挑战信息发送给

根据收到的挑战信息(Bl_t-11,Bl_t-10,…,Bl_t,t,c)，

以如下方式产生证明信息：

1.计算密钥k₁＝h₁(Bl_t-11||Bl_t-10||…||Bl_t)，密钥k₂＝h₂(Bl_t-11||Bl_t-10||…||Bl_t)。

2.计算

其中ξ＝1,2,…,c，，

为将密钥k₁作为输入的伪随机置换函数，

为将密钥k₂作为输入的伪随机函数。

3.计算

其中j＝1,2,…,s。

4.输出证明信息为{σ,μ₁,…,μ_s}。

在收到证明信息后，TPA以如下方式检验数据完整性：

1.计算τ＝h(name||n||s||g||u₁,…,u_s)。

2.计算k₁＝h₁(Bl_t-11||Bl_t-10||…||Bl_t)，k₂＝h₂(Bl_t-11||Bl_t-10||…||Bl_t)。

3.计算

其中ξ＝1,2,…,c。

4.检验下面等式是否成立：

若不成立，则TPA将审计结果设为Reject。若成立，则将审计结果设为Accept，并执行接下来的步骤。

5.TPA创建一个如下形式的条目：{Bl_t,σ,μ₁,…,μ_s}。然后，TPA将该条目存入一个如下表所示的日志文件中。

其中上标括号表示在此周期内审计任务的次序。于此同时，TPA在以太坊区块链上创建一笔交易，其中交易内容为TPA从自己的以太坊账户中转0以太币至用户

的账户中，并且将交易中的“Data”字段设置为h(Bl_t-11||Bl_t-10||…||Bl_t||σ||μ₁||…||μ_s)。为了简单起见，此处我们假设TPA产生的这笔交易记录在哈希值为Bl_t的区块的下一个区块中。

(四)用户审计TPA阶段具体包括以下步骤：

我们首先描述用户

如何审计日志文件中单独一个条目的合法性，我们以第一行的条目为例：

1.

首先从以太坊区块链中请求得到

并将

从提取Bl_t ⁽¹⁾的区块的下一区块中提取出来。如果提取失败，则审计结果为Reject。

2.

检验从以太坊区块链中提取的信息与日志文件中记录的信息是否一致，若不一致，则审计结果为Reject。

3.

计算τ＝h(name||n||s||g||u₁，…，u_s)，

其中k₁ ⁽¹⁾＝h₁(Bl_t ⁽¹⁾)，k₂ ⁽¹⁾＝h₂(Bl_t ⁽¹⁾)，ξ＝1，2，…，c。

4.

检验下列等式是否成立：

若成立，则检验通过；否则，检验失败。

需要强调的是，上述步骤的第一步中，如果

提取参数失败，则说明TPA没有在规定的时间检验数据的完整性，因此在所提方案中，若TPA不在规定时间内检验外包数据的完整性，则无法通过用户的检验。因此，所提方案能够抵抗懒惰审计者。

日志文件中的多个条目可以同时进行检验，方法与单个类似。

Claims

1.基于区块链的公共云存储数据完整性检验方法，其特征在于，包括以下步骤：

系统初始化阶段：系统生成公共参数，生成各用户的签名密钥；

用户处理数据阶段：用户将要外包存储的文件分为n个数据块，然后对每一个数据块使用签名密钥进行签名，最后将文件与对应的所有签名上传至云服务器；云服务器收到文件与对应的所有签名后验证是否上传正确，正确则存储接收所述文件与对应的所有签名；

TPA审计云服务器阶段：TPA从以太坊区块链获取数值产生一个挑战信息，并将挑战信息发送给云服务器；云服务器根据收到的挑战信息以及存储的文件来产生证明信息，并将证明信息发回给TPA；TPA得到证明信息后，检验证明信息的完整性，如检验失败，则通知用户，数据完整性可能遭到破坏，并不再进行后续步骤；如检验成功，则将收到的证明信息作为一个条目，存储于日志文件中，同时TPA将数值与证明信息进行运算后的一个运算结果上传至以太坊区块链上；

用户审计TPA阶段：用户从以太坊区块链中请求数值并提取证明信息进行运算后的运算结果，如运算结果提取失败，则TPA没有在规定的时间检验数据的完整性；如运算结果提取成功，则对日志文件中存储的相应条目进行一致性审计，如一致，则对应文件的完整性检验通过；否则，认为对应文件的完整性已遭到破坏。

2.如权利要求1所述方法，其特征在于，系统初始化阶段具体步骤为：

1)用户

选取乘法循环群G、乘法循环群G_T以相应的双线性映射e：G×G→G_T，乘法循环群G的阶数为p，乘法循环群G的生成元为g，e表示双线性运算；

2)从整数环Z_p中选取一个随机数α作为私钥，并计算公钥v＝g^α；

3)选择一个将密钥k₁作为输入的伪随机置换函数

和一个将密钥k₂作为输入的伪随机函数

发送至云服务器

以及TPA；

4)选择哈希函数H、h、h₁以及h₂发送至云服务器

以及TPA，H:{0,1}^*→G，h:{0,1}^*→Z_p,h₁:{0,1}^*→π.key，h₂:{0,1}^*→f.key，其中，π.key为伪随机置换函数π()的密钥空间，f.key为伪随机函数f()的密钥空间,*表示任意长度；

用户

将生成的私钥α作为签名密钥，发送生成的公共参数为{v,g,H,G,G_T,p}至云服务器

以及TPA。

3.如权利要求2所述方法，其特征在于，用户处理数据阶段具体步骤为：

对于文件M，用户

首先将其分为n个数据块m_i，并将每个数据块分为s个扇区m_ij，M＝{m_ij}，其中，数据块序号变量i∈[1,n]，扇区序号变量j∈[1,s]；

用户

从整数环Z_p中选择一个随机元素name∈Z_p来对文件M进行命名；

用户

为每一个数据块m_i以如下方式产生一个签名：

1)从乘法循环群G中随机选择s个元素u₁,…,u_s；

2)计算一个文件标签τ＝h(name||n||s||g||u₁,…,u_s)，||表示字符串联；

3)利用签名密钥α计算数据块m_i的签名

4)输出数据集合

用户

将数据集合

上传至云服务器

云服务器

在收到数据集合

后，通过验证下面公式是否成立，如成立，则表示数据集合

被正确上传：

其中，e为双线性数据集合运算符。

4.如权利要求3所述方法，其特征在于，TPA审计云服务器阶段具体步骤为：

1)TPA以如下方式产生一个挑战信息：

基于当前的时间t，在以太坊区块链中获取在离t时刻最近时间产生的连续12个数据块的哈希值Bl_t-11,Bl_t-10,…,Bl_t，将(Bl_t-11,Bl_t-10,…,Bl_t,t,c)设置为挑战信息，其中c为要检验的数据块总量；

2)TPA将挑战信息发送给云服务器

云服务器

根据收到的挑战信息(Bl_t-11,Bl_t-10,…,Bl_t,t,c)后以如下方式产生证明信息：

2-1)计算伪随机置换函数的密钥k₁＝h₁(Bl_t-11||Bl_t-10||…||Bl_t)以及伪随机函数的密钥k₂＝h₂(Bl_t-11||Bl_t-10||…||Bl_t)；

2-2)根据要检验的数据块序号ξ＝1,2,…,c计算伪随机序号

与伪随机数

其中，

为将密钥k₁作为输入的伪随机置换函数，

为将密钥k₂作为输入的伪随机函数；

2-3)计算要检验的数据块的签名

以及经伪随机数处理后的数据块信息

2-4)输出证明信息为{σ,μ₁,…,μ_s}；

3)在收到证明信息后，TPA以如下方式检验数据完整性：

3-1)计算文件标签τ＝h(name||n||s||g||u₁,…,u_s)；

3-2)计算密钥k₁＝h₁(Bl_t-11||Bl_t-10||…||Bl_t)，以及密钥k₂＝h₂(Bl_t-11||Bl_t-10||…||Bl_t)；

3-3)根据要检验的数据块序号ξ＝1,2,…,c，计算伪随机序号

以及伪随机数

3-4)检验下面等式是否成立：

若不成立，则TPA检验失败，则通知用户，数据完整性可能遭到破坏，并不再进行后续步骤；若成立，则检验成功，表示数据完整，进入步骤4)；

4)TPA创建一个条目{Bl_t,σ,μ₁,…,μ_s}，并存入日志文件中：

其中，上标括号(l)表示在此周期内审计任务的次序，l∈[1,b]，b为日志文件中条目总数；

同时，TPA在以太坊区块链上创建一笔交易，其中交易内容为TPA从自己的以太坊账户中转0以太币至用户

的账户中，并且将交易中的Data字段设置为哈希值与证明信息的哈希运算结果h(Bl_t-11||Bl_t-10||…||Bl_t||σ||μ₁||…||μ_s)。

5.如权利要求4所述方法，用户审计TPA阶段中的：用户

审计日志文件中第l个条目的一致性的具体步骤为：

1)用户

首先从以太坊区块链中请求得到哈希值

并提取第l个条目的哈希值与证明信息的哈希运算结果

如

提取哈希值与证明信息的哈希运算结果失败，则说明TPA没有在规定的时间检验数据的完整性；

2)用户

检验从以太坊区块链中提取的信息与日志文件中记录的信息是否一致：

2-1)

计算τ＝h(name||n||s||g||u₁,…,u_s)，

其中k₁ ^(l)＝h₁(Bl_t ^(l))，k₂ ^(l)＝h₂(Bl_t ^(l))，ξ＝1,2,…,c；

2-2)

检验下列等式是否成立:

若成立，则一致性检验通过；否则，检验失败。