CN112054897B - 基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法 - Google Patents

Abstract

本发明利用了区块链的开放性、防篡改性等特点，并结合智能合约以及密码学的相关知识，提出了一种针对物联网场景的基于区块链的保护隐私的外包数据及其备份的完整性校验方法。与现有的数据外包和外包数据完整性校验过程相比，本发明解决了用户自行验证数据开销过大，或者外包依赖可信第三方问题；此外，本发明提出了新的贡献度量标准以及奖励分配机制，使得每一个参与者都能够得到相应的激励。

Description

基于区块链的保护隐私的外包物联网数据及其备份的完整性 校验方法

技术领域

本发明涉及信息安全技术领域，具体涉及基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法。

背景技术

随着物联网技术的不断发展，以云为后台的物联网系统得到了广泛地应用。物联网设备所收集的大量数据往往上传云端进行统一地管理、运算。目前知名的云服务厂商纷纷推出针对于物联网应用的云端服务。多数提供物联网服务的企业受经费、技术等限制，青睐于将物联网设备收集到的海量数据外包给云服务器供应商(下称云)。尽管数据外包有着方便管理、转移等诸多优势，但是由于数据持有者(下称用户)脱离了对数据的直接控制，这可能会造成隐私泄露或者是数据损坏等安全问题。例如在2018年7月，由于腾讯云的技术故障，导致创业公司前沿数控的数据全部丢失，其他如阿里云，亚马逊AWS，微软Azure也曾出现过宕机或是硬件损坏等事故。以上示例表明，能够及时校验存储在云的数据及其副本的完整性和正确性是至关重要的。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

为了检验数据及其副本的正确性和完整性，现有的方法或是要求用户自己对外包的数据进行周期性地校验，或是外包给一个“半可信的”第三方机构来执行校验工作。然而上述方案却存在着如下的问题：(1)限于网络带宽的原因，让用户执行验证操作往往是耗费时间且昂贵的。(2)如果云和验证机构基于某种原因合谋，云即使没有正确的存储数据也能轻松通过验证。(3)云和第三方验证机构可能由于区域性断电等不可预测的意外或者遭遇DDoS等恶意攻击造成数据的损毁或是不能进行正确地检验。

由此可知，现有技术的方法存在安全性不高的技术问题。

发明内容

本发明提出基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法，用于解决或者至少部分解决现有技术的方法存在的安全性不高的技术问题

为了解决上述技术问题，本发明提供了基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法，包括：

S1：用户选择所需的安全级别，并根据预设参数和函数生成用户公私钥对、云公私钥对、原始数据唯一标识以及副本唯一标识，用户和云服务器协商确定云交易相关参数和存储节点交易相关参数；

S2：用户将原始数据划分多个相同大小的文件块，并利用签名算法和用户私钥为每一个文件块生成验证元，并基于验证元生成第一验证辅助信息，将文件块、第一验证辅助信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；用户将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点，用户将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点；

S3：云服务器通过对称加密算法对接收到的文件块进行加密后进行编码得到原始数据的副本，将副本划分多个相同大小的文件块，再将每一个文件块进一步划分为数据段，并利用签名算法和云私钥为每一个文件块生成验证元，并基于验证元生成第二验证辅助信息，将副本文件块和第二验证辅助信息发送给存储节点；

S4：云服务器利用当前区块链节点作为随机源产生挑战；基于原始数据文件块和第一验证辅助信息计算用于验证原始数据完整性的第一证明，并将第一证明传送给矿工节点，以通过矿工节点验证产生的第一证明，其中，原始数据为外包物联网数据；

S5：存储节点利用当前区块链节点作为随机源产生挑战；基于副本文件块以及第二验证辅助信息计算用于验证副本完整性的第二证明，并将第二证明传送给矿工节点；矿工节点验证产生的证明，其中，副本为外包物联网数据的备份。

在一种实施方式中，所述方法还包括：

当存储节点需要进行数据转移时，向矿工节点发送数据转移请求，当转移请求通过后，存储节点向其他存储节点转移数据；存储节点转移数据成功后矿工节点根据贡献率计算奖励，并将奖励发送给存储节点。

在一种实施方式中，当存储节点将所有副本转移给其他存储节点后，所述方法还包括：

存储节点向通知矿工节点申请退出；矿工节点验证并决定是否退回返还押金。

在一种实施方式中，S1具体包括：

S1.1：用户选取安全参数λ，并根据λ，生成一对用于签名的用户公私钥(spk_U，ssk_U)，随后随机选取元素x_U∈Z_p，α_U∈G₁，g^*∈G₁，以及G₂的生成元g₂，计算

得到用于用户公钥pk_u＝(spk_U，α_U，v_U，e(α_U，v_U)，g^*)和用户私钥sk_U＝(x_U，ssk_U)，其中，Z_p表示一个域，G₁，G₂分别为模素数p下的乘法循环群，e表示一个双线性映射，e(α_U，v_U)表示将元素α_U、v_U进行双线性映射后得到的元素；

S1.2：用户根据λ生成一对用于签名的云公私钥(spk_S，ssk_S)，随机选取元素x_S∈Z_p，α_S∈G₁，计算

得到用于云公钥pk_S＝(spk_S，v_S，g₂，α_S)和云私钥sk_S＝(x_S，ssk_S)；

s1.3：用户基于域Z_p生成原始数据唯一标识tag以及副本唯一标识tag_rep，其中，tag∈Z_p，tag_rep∈Z_p；

S1.4：用户和云服务器协商云交易相关参数和存储节点交易相关参数，其中，云交易相关参数包括I_S，p_S，r_S，存储节点相关交易参数包括I_F，p_F，r_F，其中，I_S，I_F表示云验证数据完整性的间隔、存储节点验证数据完整性的间隔，r_S，r_F表示云验证的延缓时间、存储节点验证的延缓时间，p_S，p_F表示每次验证数据完整性成功时用户交付云的金额、存储节点的金额。

在一种实施方式中，S2的具体包括：

S2.1：用户采用纠删码对原始数据进行冗余编码生成n个数据块d^*＝{m_i}_i∈[1，n]；

S2.2：根据用户私钥sk_U对每一个文件块m_i计算验证元θ_i，

其中W_i＝tag||i其中，||表示字符串串接，tag表示原始数据唯一标识；

S2.3：利用签名私钥ssk_U对标签tag进行签名：

其中w₀＝tag||n，

表示用私有密钥ssk_U进行签名；

S2.4：根据签名信息和验证元计算第一辅助验证信息add，其中，add＝({θ_i}_i∈[1，n]，w)；

S2.5：将文件块、第一辅助验证信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；

S2.6：将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点；

S2.7：将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点。

在一种实施方式中，S3具体包括：

S3.1：云服务器选取安全的对称加密算法，随机产生对称加密密钥ek，并利用ek对原始数据文件块d^*进行加密，将加密后的信息R′利用高冗余率的纠删码进行编码得到副本R；

S3.2：云服务器将副本R分成K个文件块，每一个文件块包含s个数据段，即R＝{m_i，j}_{{1≤i≤K，1≤j≤s}}；对于每一个数据段，云服务器计算相应的验证元

其中W′_i，j＝tag_rep||tag||i||j；tag表示原始数据唯一标识，tag_rep表示副本唯一标识，α_S∈G₁，G₁为模素数p下的乘法循环群，h₁为安全哈希函数，用以将比特流映射到G₁中的点；

S3.3：对于副本的每一个文件块R_i，云服务器计算其签名

得到该文件块的第二辅助验证信息

S3.4：同时对于第i个存储节点F_i，云服务器计算存储签名摘要

并将(R_i，add_i′，sig_i)发送给该存储节点，其中，h₃为安全哈希函数，用以将任意长度的比特流映射为长度固定的比特流，

表示利用私钥ssk_S进行签名的签名算法。

在一种实施方式中，S4具体包括：

S4.1：云服务器将B_tmp作为随机数种子，并随机生成挑战{(i，v_i)}_i∈I，其中，I为[0，n]的子集，v_i∈Z_p，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S4.2：云服务器根据生成的挑战计算μ′＝∑_i∈Iv_im_i，

其中，v_i表示原始数据在验证阶段的随机挑战值，μ′表示云服务器计算第一证明过程中抽样原始数据的线性聚合值，θ表示抽样数据对应验证元聚合值；

S4.3：云服务器生成三个随机Z_p域元素r_σ、r_m、ρ，并计算

γ＝h₂(T)∈Z_p、μ＝r_m+γμ′、∑＝θ·(g^*)^ρ、ι＝r_σ+γρ，其中，T表示辅助验证值，在验证用于抵消为保护隐私而添加的随机数，γ表示辅助验证值T的散列值，r_m，ρ表示随机值，用于保护数据聚合值、验证元聚合值的隐私性保护，μ和∑分别表示经过隐私保护后的数据聚合值和验证元聚合值，ι表示对ρ的随机混淆，随机性由随机元素r_δ实现，ξ表示云最终提供的证明集合；

S4.5：根据S4.3的计算结果生成第一证明，向矿工节点发送第一证明ξ＝(w，ι，μ，∑，T，B_tmp)。

在一种实施方式中，S5具体包括：

S5.1：存储节点利用B_tmp作为随机数种子，生成挑战{(j，v_j)}_j∈J，其中，j是[0，s)的子集，v_j∈Z_p，表示备份数据验证阶段的随机挑战值，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S5.2：存储节点根据生成的挑战计算

其中，

表示第i个备份数据段在证明阶段经过抽样后的线性聚合值，

表示被抽样数据对应的验证元聚合值，

表示存储节点提供的针对第i个备份数据段的完整性最终证明集合；

S5.3：根据S5.2的计算结果生成第二证明，将第二证明

发送给矿工节点。

在一种实施方式中，存储节点贡献率的计算方法为：

定义服务器端请求副本次数NumAsk，存储节点成功回复的次数NumReply，贡献率cr；若NumAsk＝0则cr＝1，否则cr＝NumReply/NumAsk。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

利用了区块链的开放性、防篡改性等特点，并结合智能合约以及密码学的相关知识，提出了一种针对物联网场景的基于区块链的保护隐私的外包数据及其备份的完整性校验方法。与现有的数据外包和外包数据完整性校验过程相比，本发明解决了用户自行验证数据开销过大，或者外包依赖可信第三方而导致的隐私数据泄露问题，提高了安全性。

进一步地，本发明提出了新的贡献度量标准以及奖励分配机制，使得每一个参与者都能够得到相应的激励。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于区块链的保护隐私的外包数据及其备份的完整性校验方法的整体架构图；

图2为本发明的检查周期图。

具体实施方式

本申请发明人通过大量的研究与实践发现，目前的文献或者技术没有考虑到一个“经济理性”的云的意愿，即云愿意保存用户的原始数据，并利用其进行数据分析工作；但是为了节省磁盘空间，云往往不愿意为原始数据保留副本。另一方面，很多拥有闲置硬盘空间的个人用户或者节点，愿意出售存储空间以换取一定的报酬。

本发明的主要构思如下：

一种基于区块链的保护隐私的外包数据及其备份的完整性校验方法。该方案系统模型由4类实体组成，分别是：

用户(U)：即数据拥有者。用户将数据外包给云；并向矿工节点提交押金以及验证相关参数。

云(S)：即云服务器。存储用户外包的数据；将加密处理后的数据副本派发给存储节点，以及将验证相关参数传递给矿工节点；并且周期性地向矿工节点发送用于验证存储数据完整性的证明。

矿工节点(M)：保存分布式账本、执行智能合约的节点。记录交易和验证相关参数；验证云和存储节点生成的证明。

存储节点(F)：保存用户备份数据的节点，例如小型私有服务器或者个人电脑。存储用户数据的副本，并周期性地向矿工节点发送用于验证副本完整性的证明。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明实施例提供了基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法，包括：

S1：用户选择所需的安全级别，并根据预设参数和函数生成用户公私钥对、云公私钥对、原始数据唯一标识以及副本唯一标识，用户和云服务器协商确定云交易相关参数和存储节点交易相关参数；

S2：用户将原始数据划分多个相同大小的文件块，并利用签名算法和用户私钥为每一个文件块生成验证元，并基于验证元生成第一验证辅助信息，将文件块、第一验证辅助信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；用户将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点，用户将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点；

S3：云服务器通过对称加密算法对接收到的文件块进行加密后进行编码得到原始数据的副本，将副本划分多个相同大小的文件块，再将每一个文件块进一步划分为数据段，并利用签名算法和云私钥为每一个文件块生成验证元，并基于验证元生成第二验证辅助信息，将副本文件块和第二验证辅助信息发送给存储节点；

S4：云服务器利用当前区块链节点作为随机源产生挑战；基于原始数据文件块和第一验证辅助信息计算用于验证原始数据完整性的第一证明，并将第一证明传送给矿工节点，以通过矿工节点验证产生的第一证明，其中，原始数据为外包物联网数据；

S5：存储节点利用当前区块链节点作为随机源产生挑战；基于副本文件块以及第二验证辅助信息计算用于验证副本完整性的第二证明，并将第二证明传送给矿工节点；矿工节点验证产生的证明，其中，副本为外包物联网数据的备份。

具体来说，S1～S5分别为初始化步骤、外包原始数据步骤、派发副本步骤、原始数据完整性验证步骤以及副本完整性验证步骤。

S1的初始化步骤是生成完整性校验的相关参数，S2中，用户通过对需要外包的物联网数据即原始数据进行编码和划分后，生成对应的辅助验证信息发送给云服务器。将副本唯一标识，存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点。

S3中，当符合要求的存储节点希望存储副本时，存储节点将押金发送给矿工节点。然后云服务器执行对原始数据文件块的相关操作。

在一种实施方式中，所述方法还包括：

当存储节点需要进行数据转移时，向矿工节点发送数据转移请求，当转移请求通过后，存储节点向其他存储节点转移数据；存储节点转移数据成功后矿工节点根据贡献率计算奖励，并将奖励发送给存储节点。

在一种实施方式中，当存储节点将所有副本转移给其他存储节点后，所述方法还包括：

存储节点向通知矿工节点申请退出；矿工节点验证并决定是否退回返还押金。

本实例提供一种基于区块链的保护隐私的外包数据及其备份的完整性校验方法，实验流程如图1所示，共包含4类实体：用户(U)、云服务器(S)、矿工节点(M)、存储节点(F)；包含7个步骤。

本发明所提出的方案所用到的符号声明如下：

1.双线性映射e：G₁×G₂→G_T，其中G₁，G₂，G_T分别是模素数p下的乘法循环群。

2.安全哈希函数h₁：{0，1}^*→G₁，函数将比特流映射到G₁中的点。

3.安全哈希函数h₂：G_T→Z_p，函数将G_T中的点映射到域Z_p中。

4.安全哈希函数h₃：{0，1}^*→{0，1}^λ，函数将任意长度的比特流映射为长度固定的比特流。

5.ν_i，ν_j为Z_p域上元素，表示在原始数据和备份数据审计阶段的随机挑战值。

6.μ′表示云计算证明过程中抽样原始数据的线性聚合值，θ表示抽样数据对应验证元聚合值，T表示辅助验证值，在验证用于抵消为保护隐私而添加的随机数，γ表示辅助验证值T的散列值，r_m，ρ表示随机值，用于保护数据聚合值、验证元聚合值的隐私性保护。μ和∑分别表示经过隐私保护后的数据聚合值和验证元聚合值。ι表示对ρ的随机混淆，随机性由随机元素r_δ实现，ξ表示云最终提供的证明集合。

7.

表示第i个备份数据段在证明阶段经过抽样后的线性聚合值，

表示被抽样数据对应的验证元聚合值。

表示存储节点提供的针对第i个备份数据段的完整性最终证明集合。

8.B_now表示最新的区块链节点，B_start表示存储节点开始存备份数据的区块链节点，B_end表示存储节点保存备份数据结束时的区块链节点，B_last表示上一次云或者存储节点进行验证的区块链节点，B_tmp表示选取的验证节点。

9.I_S，I_F表示云(S)或存储节点(F)验证数据完整性的间隔，r_S，r_F表示云(S)或存储节点(F)验证的延缓时间(可参考图2)，p_S，p_F表示每次验证数据完整性成功时用户交付云(S)或存储节点(F)的金额。

10.D_S表示用户预支的用于支付给云的押金，D_F表示用户预支的用于支付给存储节点的押金，D表示存储节点在提供副本存储服前支付给矿工节点的押金。

11.tag表示原始数据唯一标识，tag_rep表示副本唯一标识。

12.NumAsk表示云请求取回备份数据的总次数，NumReply表示存储节点响应的总次数。

13.L为区块链中去中心化的账单，由矿工节点M保存；L中存储的信息分别为字典L.Roster，L.Origin，L.Replica，其中L.Roster存储D、B_start、B_end、services(services是记录存储节点存储的副本)；L.Origin存储D_S、B_last、pk_U、I_S、p_S、r_S且由tag索引；L.Replica存储D_F、pk_S、I_F、p_F、r_F、ψ且由tag_rep索引，其中ψ是由存储节点F_i的地址(F_i.Addr)索引的字典，存储参数为NumAsk，NumReply，D，sig_i，B_last(sig_i是副本文件块R_i的签名)。

14.针对数据结构字典Dict(即13中Roster，Origin，Replica，ψ)，Dict(key)表示提取由key索引的值。针对被索引值是多个元素的集合，本发明使用具体元素别名来进行区分，如Dict(key).val1表示获取字典Dict中由key索引的元素集合中名为val1的元素。字典结构可多层嵌套。

在一种实施方式中，S1具体包括：

S1.1：用户选取安全参数λ，并根据λ，生成一对用于签名的用户公私钥(spk_U，ssk_U)，随后随机选取元素x_U∈Z_p，α_U∈G₁，g^*∈G₁，以及G₂的生成元g₂，计算

得到用于用户公钥pk_u＝(spk_U，α_U，v_U，e(α_U，v_U)，g^*)和用户私钥sk_U＝(x_U，ssk_U)，其中，Z_p表示一个域，G₁，G₂分别为模素数p下的乘法循环群，e表示一个双线性映射，e(α_U，v_U)表示将元素α_U、v_U进行双线性映射后得到的元素；

S1.2：用户根据λ生成一对用于签名的云公私钥(spk_S，ssk_S)，随机选取元素x_S∈Z_p，α_S∈G₁，计算

得到用于云公钥pk_S＝(spk_S，v_S，g₂，α_S)和云私钥sk_S＝(x_S，ssk_S)；

S1.3：用户基于域Z_p生成原始数据唯一标识tag以及副本唯一标识tag_rep，其中，tag∈Z_p，tag_rep∈Z_p；

S1.4：用户和云服务器协商云交易相关参数和存储节点交易相关参数，其中，云交易相关参数包括I_S，p_S，r_S，存储节点相关交易参数包括I_F，p_F，r_F，其中，I_S，I_F表示云验证数据完整性的间隔、存储节点验证数据完整性的间隔，r_S，r_F表示云验证的延缓时间、存储节点验证的延缓时间，p_S，p_F表示每次验证数据完整性成功时用户交付云的金额、存储节点的金额。

在一种实施方式中，S2的具体包括：

S2.1：用户采用纠删码对原始数据进行冗余编码生成n个数据块d^*＝{m_i}_i∈[1，n]；

S2.2：根据用户私钥sk_U对每一个文件块m_i计算验证元θ_i，

其中W_i＝tag||i其中，||表示字符串串接，tag表示原始数据唯一标识；

S2.3：利用签名私钥ssk_U对标签tag进行签名：

其中w₀＝tag||n，

表示用私有密钥ssk_U进行签名；

S2.4：根据签名信息和验证元计算第一辅助验证信息add，其中，add＝({θ_i}_i∈[1，n]，w)；

S2.5：将文件块、第一辅助验证信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；

S2.6：将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点。

S2.7：将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点。

具体实施过程中，矿工节点收到用户发送的云相关参数后，初始化被tag索引的空条目L.Origin，将B_last设置为B_now，之后将B_last、D_S、pk_U、I_S、p_S、r_S存储于L.Origin(tag)。矿工节点接收到用户发送的存储节点相关参数后，初始化被tag_rep索引的空条目L.Replica和空字典ψ；将D_F、pk_S、I_F、p_F、r_F、ψ存储于L.Replica(tag_rep)。当存储节点F_i愿意出售空闲的磁盘空间时，需要预先将押金D发送给矿工节点。存储节点将D存储于L.Replica(tag_rep).ψ(F_i.Addr)中(其中F_i.Addr表示存储节点F_i的地址标识)。

在一种实施方式中，S3具体包括：

S3.1：云服务器选取安全的对称加密算法，随机产生对称加密密钥ek，并利用ek对原始数据文件块d^*进行加密，将加密后的信息R′利用高冗余率的纠删码进行编码得到副本R；

S3.2：云服务器将副本R分成K个文件块，每一个文件块包含s个数据段，即R＝{m_i，j}_{{1≤i≤K，1≤j≤s}}；对于每一个数据段，云服务器计算相应的验证元

其中W′_i，j＝tag_rep||tag||i||j；tag表示原始数据唯一标识，tag_rep表示副本唯一标识，α_S∈G₁，G₁为模素数p下的乘法循环群，h₁为安全哈希函数，用以将比特流映射到G₁中的点；

S3.3：对于副本的每一个文件块R_i，云服务器计算其签名

得到该文件块的第二辅助验证信息

S3.4：同时对于第i个存储节点F_i，云服务器计算存储签名摘要

并将(R_i，add_i′，sig_i)发送给该存储节点，其中，h₃为安全哈希函数，用以将任意长度的比特流映射为长度固定的比特流，

表示利用私钥ssk_S进行签名的签名算法。

具体来说，当有K个以上的存储节点支付押金给矿工节点之后，云开始生成备份数据，然后执行上述步骤S3.1～S3.3。

在备份数据准备完成后，云挑选K个存储节点向其发送备份数据；同时对于第i(1≤i≤K)个存储节点F_i，云计算

并将(R_i，add_i′，sig_i)发送给该存储节点。

存储节点F_i接收到云发来的信息后，在本地存储副本R_i，并将sig_i发送给矿工节点。

矿工节点接收到存储节点F_i发来的参数后将L.Replica(tag_rep).ψ(F_i.Addr)存储的参数更新为(0，0，D，sig_i，B_now)，并将tag_rep加入到L.Roster(F_i.Addr).services中。其中，L.Replica(tag_rep).ψ(F_i.Addr)表示通过索引方式得到的信息，首先在L.Replica字典中通过tag_rep索引到相关信息后，由F_i.Addr索引到存储节点的地址，其他的数据结构类似。

在一种实施方式中，S4具体包括：

S4.1：云服务器将B_tmp作为随机数种子，并随机生成挑战{(i，v_i)}_i∈I，其中，I为[0，n]的子集，v_i∈Z_p，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S4.2：云服务器根据生成的挑战计算μ′＝∑_i∈Iv_im_i，

其中，v_i表示原始数据在验证阶段的随机挑战值，μ′表示云服务器计算第一证明过程中抽样原始数据的线性聚合值，θ表示抽样数据对应验证元聚合值；

S4.3：云服务器生成三个随机Z_p域元素r_σ、r_m、ρ，并计算

γ＝h₂(T)∈Z_p、μ＝r_m+γμ′、∑＝θ·(g^*)^ρ、ι＝r_σ+γρ，其中，T表示辅助验证值，在验证用于抵消为保护隐私而添加的随机数，γ表示辅助验证值T的散列值，r_m，ρ表示随机值，用于保护数据聚合值、验证元聚合值的隐私性保护，μ和∑分别表示经过隐私保护后的数据聚合值和验证元聚合值。ι表示对ρ的随机混淆，随机性由随机元素r_δ实现，ξ表示云最终提供的证明集合；

S4.5：根据S4.3的计算结果生成第一证明，向矿工节点发送第一证明ξ＝(w，ι，μ，∑，T，B_tmp)。

具体来说，云选取B_tmp＝B_now，并根据数据d^*和验证辅助信息add计算得到用于验证原始数据完整性的第一证明ξ，接着将第一证明ξ发送给矿工节点。

具体实施过程中，矿工节点接收到云服务器发送的一证明后，利用用户事先发送的公钥pk_U验证第一证明的正确性。验证的具体过程如下：首先用spk_U检验w中签名

的正确性，如果不合法，则验证失败；否则从w₀中回复原始数据唯一标识tag和原始数据块数n，并从L.Origin(tag)中获取B_last，I_S，r_S；矿工节点检验证明是否满足验证周期：B_last+I_S＝B_tmp≤B_now≤B_last+I_S+r_S，如果不满足，则本次验证失败；如果满足，则矿工节点计算γ＝h₂(T)，并利用B_tmp作为随机源计算产生和云相同的挑战{(i，v_i)}_i∈I；根据挑战和云发来的证明验证等式：

若等式不成立，则验证失败；若验证成功，则矿工节点更新L.Origin(tag).B_last＝B_tmp，并从用户押金L.Origin(tag).D_S中扣除L.Origin(tag).p_S作为给云的报酬。

在一种实施方式中，S5具体包括：

S5.1：存储节点利用B_tmp作为随机数种子，生成挑战{(j，v_j)_j∈J，其中，j是[0，s)的子集，v_j∈Z_p，表示备份数据验证阶段的随机挑战值，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S5.2：存储节点根据生成的挑战计算

其中，

表示第i个备份数据段在证明阶段经过抽样后的线性聚合值，

表示被抽样数据对应的验证元聚合值，

表示存储节点提供的针对第i个备份数据段的完整性最终证明集合；

S5.3：根据S5.2的计算结果生成第二证明，将第二证明

发送给矿工节点。

具体来说，存储节点证明过程类似，以下选取存储节点F_i泛指存储节点。存储节点选取B_tmp＝B_now；并根据存储在本地的副本文件块R_i和验证辅助信息add′_i计算得到用于验证原始数据的完整性的第二证明ξ′_i，接着将第二证明ξ′_i发送给矿工节点。

具体实施过程中，矿工节点接受到存储节点F_i的第二证明后，利用公钥pk_S验证存储节点证明的正确性，验证的具体过程如下：首先矿工节点利用spk_S检验Ω_i中签名

的正确性，如果不合法，则验证失败；否则矿工节点从Ω_i中恢复tag_rep；矿工节点根据tag_rep分别从L.Replica(tag_rep).ψ(F_i.Addr)中获得B_last，从L.Replica(tag_rep)中获得I_F、r_F；矿工节点首先验证存储节点的服务是否过期：B_now≤L.Roster(F_i.Addr).B_end，并在前式成立下验证存储节点的证明是否满足验证周期：B_last+I_F＝B_tmp≤B_now≤B_last+I_F+r_F；若前式均满足，矿工节点继续利用B_tmp作为随机源计算产生和存储节点相同的挑战{(j，v_j)}_j∈J，根据挑战和存储节点的证明验证等式：

如果等式不成立，则验证失败；若验证成功，则矿工节点更新L.Replica(tag_rep).ψ(F_i.Addr).B_last＝B_tmp；此外，矿工节点令p＝L.Replica(tag_rep).p_F，并从L.Replica(tag_rep).D_F中扣除p，其中β·p作为奖励发送给存储节点(系数β∈[0，1])，剩下的金额(1-β)·p将存入L.Replica(tag_rep).ψ(F_i.Addr).D。

每次进行副本完整性验证时总验证次数NumAsk增加1，如果存储节点响应，则存储节点响应次数NumReply增加1，若不响应，则NumReply不变。

在一种实施方式中，存储节点贡献率的计算方法为：

定义服务器端请求副本次数NumAsk，存储节点成功回复的次数NumReply，贡献率cr；若NumAsk＝0则cr＝1，否则cr＝NumReply/NumAsk。

在进行副本转移时，存储节点间转移数据副本类似，此处用F_a泛指副本传出节点，F_b泛指副本传入节点。F_a选取随机种子r计算ind＝h₃(r)，并将tag_rep和ind发送给矿工节点。

矿工节点接收到存储节点F_a发送的参数后，分别从L.Replica(tag_rep)获取I_F、从L.Replica(tag_rep).ψ(F_a.Addr)中获取B_last以及从L.Roster(F_a.Addr)中获取B_end；验证服务是否已经到期：B_end≤B_now以及0≤B_end-B_last＜I_F，若等式不成立，则拒绝转移副本，若等式成立，则存储ind并在区块链中广播tag_rep。

当新的存储节点F_b加入时，F_a将副本和随机种子r发送给F_b。F_b从L.Replica(tag_rep).ψ(F_a.Addr)中获得sig_i；利用sig_i验证副本是否合法，如验证不合法，则服务取消；若验证为合法，则存储节点F_b将r、F_b.Addr、tag_rep、D发送给矿工节点。

矿工节点接收到F_b发来的参数后，验证ind＝h₃(r)，并分别从L.Roster(F_a.Addr).services中移除tag_rep以及L.Replica(tag_rep).ψ中移除F_a；随后矿工节点计算F_a的贡献率cr＝NumReply/NumAsk，并根据F_a的贡献率cr返回剩下的奖励：cr×L.Replica(tag_rep).ψ(F_a.Addr).D给F_a，剩下的则退还给用户；最后矿工节点在L.Replica(tag_rep).ψ(F_b.Addr)中添加新的参数集合(0，0，D，sig_i，B_now)。

在进行存储节点注销时：

存储节点首先通过副本转移的步骤将其所保存的所有的副本转移给其他存储节点；随后存储节点向矿工节点申请注销。

矿工节点接收到存储节点的收到消息后，从L.Roster(F_a.Addr)中获得B_end；验证服务是否到期：B_end≤B_now以及L.Roster(F_a.Addr).services为空；如果验证成功，则退还F_a的押金；否则注销失败。

本发明中所描述的具体实施的例子仅仅是对本发明的方法和步骤的举例说明。本发明所述技术领域的技术人员可以对所描述的具体实施步骤做相应的修改或补充或变形(即采用类似的替代方式)，但是不会背离本发明的原理和实质或者超越所附权利要求书所定义的范围。本发明的范围仅由所附权利要求书限定。

Claims (4)

1.基于区块链的保护隐私的外包物联网数据及其备份的完整性校验方法，其特征在于，包括：

S1：用户选择所需的安全级别，并根据预设参数和函数生成用户公私钥对、云公私钥对、原始数据唯一标识以及副本唯一标识，用户和云服务器协商确定云交易相关参数和存储节点交易相关参数；

S2：用户将原始数据划分多个相同大小的文件块，并利用签名算法和用户私钥为每一个文件块生成验证元，并基于验证元生成第一验证辅助信息，将文件块、第一验证辅助信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；用户将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点，用户将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点；

S3：云服务器通过对称加密算法对接收到的文件块进行加密后进行编码得到原始数据的副本，将副本划分多个相同大小的文件块，再将每一个文件块进一步划分为数据段，并利用签名算法和云私钥为每一个文件块生成验证元，并基于验证元生成第二验证辅助信息，将副本文件块和第二验证辅助信息发送给存储节点；

S4：云服务器利用当前区块链节点作为随机源产生挑战；基于原始数据文件块和第一验证辅助信息计算用于验证原始数据完整性的第一证明，并将第一证明传送给矿工节点，以通过矿工节点验证产生的第一证明，其中，原始数据为外包物联网数据；

S5：存储节点利用当前区块链节点作为随机源产生挑战；基于副本文件块以及第二验证辅助信息计算用于验证副本完整性的第二证明，并将第二证明传送给矿工节点；矿工节点验证产生的证明，其中，副本为外包物联网数据的备份；

其中，S1具体包括：

S1.1：用户选取安全参数λ，并根据λ，生成一对用于签名的用户公私钥(spk_U,ssk_U)，随后随机选取元素x_U∈Z_p,α_U∈G₁,g^*∈G₁，以及G₂的生成元g₂，计算

得到用于用户公钥pk_u＝(spk_U,α_U,v_U,e(α_U,v_U),g^*)和用户私钥sk_U＝(x_U,ssk_U)，其中，Z_p表示一个域，G₁,G₂分别为模素数p下的乘法循环群，e表示一个双线性映射，e(α_U,v_U)表示将元素α_U、v_U进行双线性映射后得到的元素；

S1.2：用户根据λ生成一对用于签名的云公私钥(spk_S,ssk_S)，随机选取元素x_S∈Z_p,α_S∈G₁，计算

得到用于云公钥pk_S＝(spk_S,v_S,g₂,α_S)和云私钥sk_S＝(x_S,ssk_S)；

S1.3：用户基于域Z_p生成原始数据唯一标识tag以及副本唯一标识tag_rep，其中，tag∈Z_p，tag_rep∈Z_p；

S1.4：用户和云服务器协商云交易相关参数和存储节点交易相关参数，其中，云交易相关参数包括I_S，p_S，r_S，存储节点相关交易参数包括I_F，p_F，r_F，其中，I_S，I_F表示云验证数据完整性的间隔、存储节点验证数据完整性的间隔，r_S，r_F表示云验证的延缓时间、存储节点验证的延缓时间，p_S，p_F表示每次验证数据完整性成功时用户交付云的金额、存储节点的金额；

步骤S2具体包括：

S2.1：用户采用纠删码对原始数据进行冗余编码生成n个数据块d^*＝{m_i}_i∈[1,n]；

S2.2：根据用户私钥sk_U对每一个文件块m_i计算验证元θ_i，

其中，W_i＝tag||i，||表示字符串的串接，tag表示原始数据唯一标识；

S2.3：利用签名私钥ssk_U对标签tag进行签名：

其中w₀＝tag||n，

表示用私有密钥ssk_U进行签名；

S2.4：根据签名信息和验证元计算第一辅助验证信息add，其中，add＝({θ_i}_i∈[1,n],w)；

S2.5：将文件块、第一辅助验证信息、云公私钥对、原始数据唯一标识、副本唯一标识发送给云服务器；

S2.6：将原始数据唯一标识、云交易相关参数和预支的用于支付给云服务器的押金发送给矿工节点；

S2.7：将副本唯一标识、存储节点交易相关参数和预支的用于支付给存储节点的押金发送给矿工节点；

S3具体包括：

S3.1：云服务器选取安全的对称加密算法，随机产生对称加密密钥ek，并利用ek对原始数据文件块d^*进行加密，将加密后的信息R′利用高冗余率的纠删码进行编码得到副本R；

S3.2：云服务器将副本R分成K个文件块，每一个文件块包含s个数据段，即R＝{m_i,j}_{{1≤i≤K,1≤j≤s}}；对于每一个数据段，云服务器计算相应的验证元

其中W′_i,j＝tag_rep||tag||i||j；tag表示原始数据唯一标识，tag_rep表示副本唯一标识，α_S∈G₁，G₁为模素数p下的乘法循环群，h₁为安全哈希函数，用以将比特流映射到G₁中的点；

S3.3：对于副本的每一个文件块R_i，云服务器计算其签名

得到该文件块的第二辅助验证信息

S3.4：同时对于第i个存储节点F_i，云服务器计算存储签名摘要

并将(R_i,add_i′,sig_i)发送给该存储节点，其中，h₃为安全哈希函数，用以将任意长度的比特流映射为长度固定的比特流，

表示利用私钥ssk_S进行签名的签名算法；

S4具体包括：

S4.1：云服务器将B_tmp作为随机数种子，并随机生成挑战{(i,v_i)}_i∈I，其中，I为[0,n]的子集，v_i∈Z_p，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S4.2：云服务器根据生成的挑战计算μ′＝∑_i∈Iv_im_i,

其中，v_i表示原始数据在验证阶段的随机挑战值，μ′表示云服务器计算第一证明过程中抽样原始数据的线性聚合值，θ表示抽样数据对应验证元聚合值；

S4.3：云服务器生成三个随机Z_p域元素r_σ、r_m、ρ，并计算

γ＝h₂(T)∈Z_p、μ＝r_m+γμ′、∑＝θ·(g^*)ρ、l＝r_σ+γρ，其中，T表示辅助验证值，在验证用于抵消为保护隐私而添加的随机数，γ表示辅助验证值T的散列值，r_m，ρ表示随机值，用于保护数据聚合值、验证元聚合值的隐私性保护，μ和Σ分别表示经过隐私保护后的数据聚合值和验证元聚合值，ι表示对ρ的随机混淆，随机性由随机元素r_δ实现，ξ表示云最终提供的证明集合；

S4.5：根据S4.3的计算结果生成第一证明，向矿工节点发送第一证明ξ＝(w,ι,μ,∑,T,B_tmp)；

S5具体包括：

S5.1：存储节点利用B_tmp作为随机数种子，生成挑战{(j,v_j)}_j∈J，其中，j是[0,s)的子集，v_j∈Z_p，表示备份数据验证阶段的随机挑战值，B_tmp表示存储节点保存备份数据结束时的区块链节点；

S5.2：存储节点根据生成的挑战计算

其中，

表示第i个备份数据段在证明阶段经过抽样后的线性聚合值，

表示被抽样数据对应的验证元聚合值，

表示存储节点提供的针对第i个备份数据段的完整性最终证明集合；

S5.3：根据S5.2的计算结果生成第二证明，将第二证明

发送给矿工节点。

2.如权利要求1所述的完整性校验方法，其特征在于，所述方法还包括：

当存储节点需要进行数据转移时，向矿工节点发送数据转移请求，当转移请求通过后，存储节点向其他存储节点转移数据；存储节点转移数据成功后矿工节点根据贡献率计算奖励，并将奖励发送给存储节点。

3.如权利要求1所述的完整性校验方法，其特征在于，当存储节点将所有副本转移给其他存储节点后，所述方法还包括：

存储节点向通知矿工节点申请退出；矿工节点验证并决定是否退回返还押金。

4.如权利要求2所述的完整性校验方法，其特征在于，存储节点贡献率的计算方法为：

定义服务器端请求副本次数NumAsk，存储节点成功回复的次数NumReply，贡献率cr；若NumAsk＝0则cr＝1，否则cr＝NumReply/NumAsk。

Images