CN111314344B - 一种基于pdp模式的非同频数据持有性检测方法 - Google Patents
一种基于pdp模式的非同频数据持有性检测方法 Download PDFInfo
- Publication number
- CN111314344B CN111314344B CN202010100562.9A CN202010100562A CN111314344B CN 111314344 B CN111314344 B CN 111314344B CN 202010100562 A CN202010100562 A CN 202010100562A CN 111314344 B CN111314344 B CN 111314344B
- Authority
- CN
- China
- Prior art keywords
- authentication
- detection
- time
- pdp
- points
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于PDP模式的非同频数据持有性检测方法,应用在云存储环境下文件的完整性检测场景中,有更小的损坏文件检出延迟,根据文件被损坏的时间特征,在不同时间段按不同频度对云上文件进行认证,即在损坏发生频率较高的时段设置较高的访问频率,在损坏发生频率较低的时段设置较低的访问频率,每次认证基于PDP协议进行挑战应答式认证。相比常规的检测方法,此方法可更快速的检测出损坏文件,从而降低认证开销。本方法还具有认证时间频度可调整、可应用到多种PDP/POR等远程数据完整性认证协议的特点。由上面特性和优点,本方法具有广阔的应用前景和较高应用价值。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种基于PDP模式的非同频数据持有性检测方法。
背景技术
完整性检查(integrity checking)是指对抗对手主动攻击,防止信息被未经授权的篡改。它是安全体系结构和信息安全领域的重要研究内容,传统的完整性检查是对本地的数据进行完整性检查,而随着云存储的广泛应用,针对云上文件的远程数据完整性检查成为主流。
目前,远程数据完整性检查比较典型的方法是数据持有性证明PDP模型(ProvableData Possession)和可取回性证明POR模型(Proofs of Retrievability)。
1、PDP
是一种轻量级数据完整性保护方法,采用挑战应答式的认证方案,可以检测到大于某个比例的数据损坏,但不保证整个文件是可取回的,PDP不能对动态数据进行保护。PDP由多个多项式时间算法组成,验证数据块有三个过程:
(1)客户端生成随机挑战challenge发给服务器;
(2)服务器计算所有权证明proof,执行产生证明算法Genproof,产生所有权证明V,并发送给客户端;
(3)客户端执行认证算法CheckProof,验证服务器端的V。
D-PDP(Dynamic Provable Data Possession)可对动态数据进行保护,其算法可支持大多数动态操作,但不支持插入操作。Erway等人利用跳跃表(Skip List)和RSA树构建了基于秩次的认证字典,以此提出了支持全动态更新的PDP方案。
2、POR
是数据可取回性证明方法,是将伪随机抽样和冗余编码(如纠错码)结合,通过挑战-应答协议向用户证明其文件是完好无损的,且用户能够以足够大的概率从服务器取回文件。POR中验证者首先对文件进行纠错编码,然后在文件随机位置插入由带密码的哈希函数生成的“岗哨”(Sentinels);每次挑战时验证者要求证明者返回一定数目的岗哨,通过验证岗哨的完整性达到检测文件完整性的目的,并结合纠错编码以一定的概率保证文件是可取回的。该方案的优点是用于存放岗哨的额外存储开销较小,挑战和应答的计算开销较小;缺点是插入的岗哨数目有限且只能被挑战一次,方案只能支持有限次数的挑战。同时方案为了保证岗哨的隐秘性,需先对文件进行加密,导致文件的读取开销较大。
发明内容
为了克服现有技术中的不足,本发明提供一种基于PDP模式的非同频数据持有性检测方法,当云上文件发生损坏时,能快速检验出损坏的文件和数据,提高数据完整性认证性能。本方法可与PDP协议相结合,大概率检测出大部分的数据损坏,同时明显降低检测出文件损坏的延迟,减少认证开销。
为了达到上述发明目的,解决其技术问题所采用的技术方案如下:
一种基于PDP模式的非同频数据持有性检测方法,对云上数据或文件进行认证时,在文件损坏发生频率较高的时段设置较高的检测频率,在文件损坏发生频率较低的时段设置较低的检测频率,每次认证基于PDP协议进行挑战应答式认证。
进一步的,对云上数据或文件进行认证时,采用多轮认证方法。
进一步的,第一轮认证是进行粗粒度时间的挑战应答式认证,即将初始时间间隔T设置较大值,以此确定若干时间点,将其标记为一级检测点,在此时间点上对文件进行认证,如认证失败,则将此时间点的前T/2和后T/2标记为二级检测点。
进一步的,第二轮认证是进行较细粒度时间的挑战应答式认证,即在全部一级和二级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将此时间点的前T/4和后T/4处标记为三级检测点。
进一步的,第三轮认证是进行更细粒度时间的挑战应答式认证,即在全部一级、二级和三级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将其前T/4和后T/4标记为三级检测点;如为三级检测点,则将此时间点的前T/8和后T/8处标记为四级检测点。
进一步的,第N轮认证,在全部检测点上对文件进行认证,当认证失败,如为第M级检测点,则将此时间点的前T/2 M和后T/2 M处标记为M+1级检测点。
本发明由于采用以上技术方案,使之与现有技术相比,具有以下的优点和积极效果:
1、当发生数据损坏时,与常规的定时检测方法相比,本方法可更快的检测出损坏的文件,即减少了认证的时间开销;
2、本方法认证的时间频度可调整,当检出延迟要求不高时,设置较大的初始粒度时间,可更快完成检测;当检出延迟要求较高时,设置较小的初始粒度时间,可更短的检出延迟;
3、本方法不仅可应用在基于PDP协议的远程数据完整性检查中,也可应用到POR等其他远程数据完整性检查中;
4、本方法具有广阔的应用前景和较高应用价值。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图中:
图1是本发明一种基于PDP模式的非同频数据持有性检测方法的算法流程图;
图2是本发明一种基于PDP模式的非同频数据持有性检测方法在样本A下的性能评估图;
图3是本发明一种基于PDP模式的非同频数据持有性检测方法在样本B下的性能评估图。
具体实施方式
以下将结合本发明的附图,对本发明实施例中的技术方案进行清楚、完整的描述和讨论,显然,这里所描述的仅仅是本发明的一部分实例,并不是全部的实例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
在云存储环境下,如在某个时段上文件发生损坏,则在其邻近的时间段文件损坏的概率也很大;如在某个时段上文件正常,则其邻近的时间段文件正常的概率也很大。基于此思路,提出一种基于PDP模式的非同频数据持有性检测方法,其主要思想是对云上数据或文件进行认证时,采用多轮认证方式,在文件损坏发生频率较高的时段设置较高的检测频率,在文件损坏发生频率较低的时段设置较低的检测频率,每轮基于不同的认证频率进行认证,每次认证基于PDP协议进行挑战应答式认证。
工作场景是云上已存储了大量的用户数据,客户端作为认证方,云服务器作为被认证方,客户端要对云服务器上的数据进行认证。具体是:先设置初始认证粒度和最小认证粒度,前者为初始两次检测的时间间隔,一般为粗粒度时间;后者为两次检测最小的时间间隔,一般为细粒度时间。
采用多轮认证方式对云上数据进行认证。具体多轮认证过程如下:
第一轮认证是按初始认证粒度(粗粒度时间)进行挑战应答式认证,即将初始时间间隔T设置较大值,以此确定若干时间点,将其标记为一级检测点,在此时间点上对文件进行认证,如认证失败,则将此时间点的前T/2和后T/2标记为二级检测点。
第二轮认证是进行较细粒度时间的挑战应答式认证,即在全部一级和二级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将此时间点的前T/4和后T/4处标记为三级检测点。
第三轮认证是进行更细粒度时间的挑战应答式认证,即在全部一级、二级和三级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将其前T/4和后T/4标记为三级检测点;如为三级检测点,则将此时间点的前T/8和后T/8处标记为四级检测点。
以此类推……,第N轮认证,在全部检测点上对文件进行认证,当认证失败,如为第M级检测点,则将此时间点的前T/2M和后T/2M处标记为M+1级检测点。
具体算法描述:
为使方案高效工作,要在符合一定条件下定义相应的算法,下面以上述叙述的场景,给出认证的算法和流程图,如图1所示,具体认证算法如下:
(1)确定初始认证粒度Tini和最小认证粒度Tmin(Tini和Tmin均为正整数);
(2)第一轮认证,以Tini为基准,在第一轮检测区间内,确定若干一级检测点,在每个检测点,执行下面的操作:
1)客户端向服务器发起挑战(challenge);
2)服务器生成应答证明(proof),并发给客户端;
3)客户端验证proof,如认证失败,则将此时间点的前T/2和后T/2标记为二级检测点。
(3)i=2:
(4)进行第i轮认证,在已确定的每个检测点,执行下面的操作:
1)客户端向服务器发起挑战(challenge);
2)服务器生成应答证明(proof),并发给客户端;
3)客户端验证proof,如认证失败,如此检测点是第M级检测点,Tini/2M不小于Tmin,且前Tini/2M和后Tini/2M未被标识,则将此检测点前Tini/2M和后Tini/2M标记为M+1级检测点;
(5)i=i+1,如i达到最大轮数,认证结束,否则转(4)。
具体案例说明:
假定黑客攻击是文件损坏的主因,攻击时间范围是每天21:00-5:00,每天进行1轮检测,设7天为一个检测周期,攻击时刻样本为A、B,如表1所示,设云服务器每天遭到1次攻击并导致文件损坏。
表1黑客攻击时间样本
采用相同频度的数据持有证明方法(SF-PDP,Same Frequency Provable DataPossession)作为与NF-PDP(Not-same Frequency Provable Data Possession,非同频数据持有性证明方法)进行比较的对象(SF-PDP即间隔相同时间进行认证,每次基于PDP协议认证),设两者每轮的认证次数相同,即每轮认证开销相同,以错误文件检出延迟作为衡量的性能指标,PDP认证的时间忽略不计,基于样本A和样本B得到的性能评估结果分别如图2、图3所示。图中横坐标是轮数(Round),纵坐标是检测延迟(min)。
如图1所示,在样本A下,NF-PDP检测延迟最大值是20min,最小值是5min,平均值是9.6min;SF-PDP的检测延迟最大值是42min,最小值是8min,平均值是26min,即NF-PDP平均检测延迟相比SF-PDP降低了63.2%。
如图2所示,在样本B下,NF-PDP检测延迟最大值是50min,最小值是5min,平均值是16.4min;SF-PDP的检测延迟最大值是26min,最小值是6min,平均值是18.7min,即NF-PDP平均检测延迟相比SF-PDP降低了12.2%。
可以看出,在2个样本下,NF-PDP的平均检出延迟相比SF-PDP有不同程度降低,在样本A中,平均检出延迟更低,说明在时间局部性更好的样本中,NF-PDP有更好的认证性能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (4)
1.一种基于PDP模式的非同频数据持有性检测方法,其特征在于,对云上数据或文件进行认证时,采用多轮认证方法,在文件损坏发生频率较高的时段设置较高的检测频率,在文件损坏发生频率较低的时段设置较低的检测频率,每次认证基于PDP协议进行挑战应答式认证;
第N轮认证,在全部检测点上对文件进行认证;当认证失败,如为第M级检测点,则将此时间点的前T/2M和后T/2M处标记为M+1级检测点,其中,N表示所有轮数中的最大轮数,0<M<N,M取1~(N-1)之间的任意一个整数,T为初始时间间隔。
2.根据权利要求1所述的一种基于PDP模式的非同频数据持有性检测方法,其特征在于,第一轮认证是进行粗粒度时间的挑战应答式认证,即将初始时间间隔T设置较大值,以此确定若干时间点,将其标记为一级检测点,在此时间点上对文件进行认证,如认证失败,则将此时间点的前T/2和后T/2标记为二级检测点。
3.根据权利要求2所述的一种基于PDP模式的非同频数据持有性检测方法,其特征在于,第二轮认证是进行较细粒度时间的挑战应答式认证,即在全部一级和二级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将此时间点的前T/4和后T/4处标记为三级检测点。
4.根据权利要求3所述的一种基于PDP模式的非同频数据持有性检测方法,其特征在于,第三轮认证是进行更细粒度时间的挑战应答式认证,即在全部一级、二级和三级检测点上对文件进行认证,当认证失败,如为一级检测点,则将其前T/2和后T/2标记为二级检测点;如为二级检测点,则将其前T/4和后T/4标记为三级检测点;如为三级检测点,则将此时间点的前T/8和后T/8处标记为四级检测点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010100562.9A CN111314344B (zh) | 2020-02-17 | 2020-02-17 | 一种基于pdp模式的非同频数据持有性检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010100562.9A CN111314344B (zh) | 2020-02-17 | 2020-02-17 | 一种基于pdp模式的非同频数据持有性检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314344A CN111314344A (zh) | 2020-06-19 |
CN111314344B true CN111314344B (zh) | 2023-01-31 |
Family
ID=71147340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010100562.9A Active CN111314344B (zh) | 2020-02-17 | 2020-02-17 | 一种基于pdp模式的非同频数据持有性检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314344B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506558A (zh) * | 2015-01-09 | 2015-04-08 | 黑龙江科技大学 | 层次式数据拥有证明方法 |
CN108600263A (zh) * | 2018-05-09 | 2018-09-28 | 电子科技大学 | 一种基于拥有性证明的安全有效的客户端去重协议 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707431A (zh) * | 2017-10-31 | 2018-02-16 | 河南科技大学 | 一种面向云平台的数据安全监测方法及系统 |
CN108989083B (zh) * | 2018-06-01 | 2021-02-09 | 安徽师范大学 | 云环境下基于混合策略的故障检测性能优化方法 |
-
2020
- 2020-02-17 CN CN202010100562.9A patent/CN111314344B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506558A (zh) * | 2015-01-09 | 2015-04-08 | 黑龙江科技大学 | 层次式数据拥有证明方法 |
CN108600263A (zh) * | 2018-05-09 | 2018-09-28 | 电子科技大学 | 一种基于拥有性证明的安全有效的客户端去重协议 |
Also Published As
Publication number | Publication date |
---|---|
CN111314344A (zh) | 2020-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240048387A1 (en) | Computer-implemented system and method providing a decentralised protocol for the recovery of cryptographic assets | |
CN109756338B (zh) | 认证装置、验证装置的计算机实现方法和计算机可读介质 | |
JP5058600B2 (ja) | 無連絡認証を提供するシステムおよび方法 | |
US9064094B1 (en) | Protected resource access control utilizing intermediate values of a hash chain | |
US10915656B2 (en) | Rollback protection for login security policy | |
US9059989B2 (en) | Hash synchronization for preventing unauthorized server access using stolen passwords | |
US8478998B2 (en) | Authenticated communication using a shared unpredictable secret | |
US9350728B2 (en) | Method and system for generating and authorizing dynamic password | |
US20090300364A1 (en) | Username based authentication security | |
US20110162051A1 (en) | Authentication methods | |
US20170208075A1 (en) | Smart Lockout | |
EP3298531B1 (en) | Brute force attack prevention system | |
EP3398289B1 (en) | A method, system and apparatus using forward-secure cryptography for passcode verification | |
CN104683354A (zh) | 一种基于标识的动态口令系统 | |
CN109508562A (zh) | 基于tee的可信远程验证的方法 | |
EP3214567A1 (en) | Secure external update of memory content for a certain system on chip | |
CN111314344B (zh) | 一种基于pdp模式的非同频数据持有性检测方法 | |
CN104506558B (zh) | 层次式数据拥有证明方法 | |
CN114168918A (zh) | 基于puf的人脸信息保护及双向认证系统 | |
CN112765588A (zh) | 一种身份识别方法、装置、电子设备及存储介质 | |
US20220284088A1 (en) | Authentication of write requests | |
EP4354788A1 (en) | Fault countermeasures for digital signatures with aborts | |
CN115600248B (zh) | 基于关键信息隐藏的数据隐私保护认证方法、装置及系统 | |
CN115766166B (zh) | 日志处理方法、设备和存储介质 | |
CN1787515A (zh) | 一种基于安全散列函数的强口令双向认证协议 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |