CN112134869A - 一种基于区块链的云服务审查系统及审查方法 - Google Patents

Abstract

一种基于区块链的云服务审查系统及审查方法，该系统包括：用户端，监测云服务属性质量，对监测结果进行ORE加密处理后上传至区块链；云服务提供商端，利用TPM模块进行实时云服务属性质量监测，对监测结果进行ORE加密处理后上传至区块链；审计合约模块，对用户端和云服务提供商端的检测云服务属性质量结果进行审计，验证监测结果的真实性，判定云服务质量达标情况，根据审计结果进行云服务提供商报酬分发或违规赔偿，并更新云服务提供商信誉值；区块链存储模块，用于存储用户和云服务提供商监测的云服务属性质量数据，存储审计合约执行结果和云服务提供商的信誉值。该系统克服了现有云服务审查系统中审计结果不可信及用户隐私泄露的问题。

Description

一种基于区块链的云服务审查系统及审查方法

技术领域

本发明属于云服务安全领域，具体为云服务质量的审查方法，设计并提出了一种基于区块链的云服务审查系统及审查方法。

背景技术

近年来，云计算技术飞速发展，云服务成为热门服务模式之一。云服务提供商能为用户提供可扩展、节省用户时间和其他资源的按需云服务。但这种云服务模式在为用户提供便捷服务的同时，也存在着云服务提供商的提供服务质量问题。因此，云服务水平协议(SLA)应运而生。云SLA是用户和服务提供商之间的协议，它规定了每项服务的质量要求。当所提供的云服务性能达不到SLA要求，即发生SLA违规时，客户将从云服务提供商处获得相应的赔偿。尽管SLA提出了云服务质量和违规处罚的要求，但仍存在SLA无法自动执行，云服务违规行为无法有效地确认，用户和云服务提供商之间的公平无法保证的挑战，使得云服务有效监测和审查成为关键技术问题。

发明内容

本发明克服了现有云服务审查系统中审计结果不可信以及用户隐私泄露的问题，提供了一种可信的、安全的基于区块链的云服务审查系统。

本发明的所述系统包括以下模块：

用户端：监测云服务属性质量，对监测结果进行ORE加密处理后，上传至区块链进行存储；

云服务提供商端：安装TPM模块，利用TPM模块进行实时云服务属性质量监测，对监测结果进行ORE加密处理后，上传至区块链进行存储；

审计合约模块：对用户端和云服务提供商端的检测云服务属性质量结果进行审计，验证监测结果的真实性，与合约内设置的SLA协议云服务属性质量要求进行对比，判定云服务质量达标与否，并根据审计结果进行云服务提供商报酬分发或违规赔偿，并更新云服务提供商信誉值；

区块链存储模块：存储用户和云服务提供商监测的云服务属性质量数据，存储审计合约执行结果和云服务提供商的信誉值；

见证者合约模块：筛选区块链网络中的节点作为见证者，对审计合约的执行过程进行验证。

本发明还提供一种基于区块链的云服务审查方法，包括如下步骤：

S1：用户和云服务提供商线下协商云服务条款和要求，制定云SLA协议；

S2：云服务提供商根据SLA协议中的质量要求和违规赔偿金额记录到审计合约中，用户查看审计合约内容进行检查；

S3：见证者合约对区块链网络中的节点筛选出见证者节点，监测本次云服务质量审计；

S4：云服务提供商使用TPM对云服务进行监测，对监测到的云服务属性数据进行ORE加密处理，并记录到区块链存储模块中；

S5：用户对云服务进行监测，对监测到的云服务属性数据进行ORE加密处理，并记录到区块链存储模块中；

S6：审计合约调取区块链中的用户和云服务提供商的监测数据进行审计，完成监测数据真实性和云服务违规判定，根据判定结果进行报酬分发和信誉值更新。

例如，本发明的实施例提供的一种基于区块链的云服务审查方法，其中，所述步骤S3中见证者合约对区块链网络中的节点筛选出见证者节点的过程包括：

S31：见证者合约发布见证者筛选见证者任务和此次完成见证服务的报酬b_i；

S32：区块链中节点查看任务，想要提供见证服务的节点给出要价a_i，并将所有想要提供服务节点的信息和要价记录到见证合约中；

S33：见证者合约调取区块链中存储的节点要价进行递增排序，根据用户和云服务提供商要求，按顺序选择前n个节点，作为见证者节点。

例如，本发明的实施例提供的一种基于区块链的云服务审查方法，其中，所述步骤S4中对监测到的云服务属性数据进行ORE加密处理的过程包括：

S41：用户和云服务提供商协商分别为云服务每项服务属性设置明文空间，并记录到审计合约中；

S42：对服务属性的明文空间中的每个元素分别设置密钥k，设置服务属性的明文空间进行随机排序的函数π，明文空间中每个元素位置信息为π(i)，用户密钥为sk＝(k，π)；

S43：云服务提供商用分别用不同属性参数的密钥和监测数据的位置信息进行哈希运算，得到加密结果ct_Lj＝(F(sk，π(x_j))，π(x_j))。

例如，本发明的实施例提供的一种基于区块链的云服务审查方法，其中，所述步骤S5中对监测到的云服务属性数据进行ORE加密处理的过程包括：

S51：用户产生一个随机数r；

S52：用户将监测得到的数据y_j分别与该属性的明文空间的每个元素进行比较，得到比较标签v_jz；

S53：将比较标签集和随机数组成的元组作为用户的密文ct_Rj＝(r，v_j1，v_j2，...，v_jn)。

例如，本发明的实施例提供的一种基于区块链的云服务审查方法，其中，所述步骤S6中审计合约调取区块链中的用户和云服务提供商的监测数据进行审计的过程包括：

S61：审计合约调取相应区块中用户和云服务提供商的经ORE加密监测密文，通过比较函数z＝Compare(ct_L，ct_R)进行比较，若结果为0，则判定用户与云服务提供商监测数据一致，监测数据真实可信，否则监测数据不真实；

S62：将一致的监测数据与审计合约记录的SLA云服务属性标准进行对比，判定云服务是否达标，判定是否存在违规行为；

S63：若存在违规，云服务提供商信誉值降低，审计合约自动对用户进行赔偿，服务提供商押金不退还，若云服务达标，则云服务提供商获得相应报酬，同时给见证者分发奖励报酬。

与现有技术相比，本发明基于区块链的云服务审查方法及系统具有以下优点：1.采用用户和服务提供商双重监控方式，保证各种定制监控数据的真实性，采用区块链保证存储数据的不变性；2.引入ORE算法到云服务质量审计任务中，保证了上链数据以及用户隐私安全；3.设计审计合约可实现审计任务自动执行。

该基于区块链的云服务审查方法主要解决了两个问题：1.通过区块链上审计合约的构建，解决了云服务自动审计问题；2.通过双重监控方案，解决了上链数据真实性问题；3.通过建立基于ORE加密的隐私保护机制，解决了审计过程中的数据以及用户隐私安全问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例的附图作简单地介绍，显而易见地，下面描述中的附图仅仅涉及本发明的一些实施例，而非对本发明的限制。

图1为本发明实施例提供的基于区块链的云服务审查方法流程示意图；

图2为本发明实施例提供的基于区块链的云服务审查系统结构示意图；

图3为本发明实施例提供的基于区块链的云服务审查系统中审计合约各接口开销图；

图4为本发明实施例提供的基于区块链的云服务审查系统中各项云服务属性加密时间图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例，基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

围绕云服务质量问题，研究人员提供了一些解决方案。传统方案引入第三方可信机构实时监测云服务，判定是否存在SLA违规情况，但是完全可信的第三方机构不存在，第三方机构可能会在利益的诱惑下谎报云服务质量。去中心化的区块链技术被引入云服务审计方案，利用智能合约技术实现SLA协议的自动执行，区块链中的矿工作为见证者监控服务以完成审计任务。但区块链中的矿工作为证人的监测能力有限，许多云服务属性无法监测，并且存储在区块链上是监测记录，可能会泄露用户的使用记录等问题，存在隐私安全问题。

对数据进行加密处理是保护用户隐私的常用方法，但传统的加密方案将会破坏明文数据原有的顺序信息，使得数据的查询变得十分困难。保序加密(OPE)应运而生，保序加密是一种密文保持明文顺序的特殊加密方案，能够实现密文数据高效查询，但此加密方案易受到推断攻击。由此，基于保序加密方案又提出顺序可见加密方案(ORE)，适用于范围查询的加密方案。顺序可见加密方案指加密密文中含有比较标签，比较标签可以帮助比较者来判断密文对应明文大小。

本发明的实施例提供的基于区块链的云服务审查系统，根据所述审计合约和引入ORE加密算法的云服务审计方法，实现云服务自动审计，并保证了审计过程中的用户隐私安全。

如附图1所示，本发明实施例提供的基于区块链的云服务审查方法包括以下步骤：

S1：云服务开始前，所有云服务提供商初始信誉值为10，并存储在区块链中，用户和云服务提供商线下协商云服务条款和要求，制定云SLA协议，包括云服务各项属性的质量要求、云服务违规赔偿金额以及云服务报酬。

S2：云服务提供商根据SLA协议中的质量要求、违规赔偿金额、云服务报酬记录到审计合约中，用户查看审计合约内容进行检查，检查通过后，云服务提供商可正式为用户提供云服务；

S3：见证者合约发布见证者筛选见证者任务和此次完成见证服务的报酬b_i，区块链中节点查看此任务，想要提供见证服务的节点给出自己的要价a_i，并将所有想要提供服务的节点信息和要价记录到见证合约中；见证者合约按照区块链中存储的节点要价进行递增排序，根据用户和云服务提供商要求，见证者合约按顺序选择前n个节点，作为见证者节点监测本次云服务质量审计，通过见证节点共识，保证整个审计过程的可信性。

S4：云服务提供商端的使用可信平台模块TPM(Trusted Platform Module)对云服务进行监测，对监测到的云服务属性数据进行保序加密ORE(Oreder-RevealingEncryption)处理得到左密文，具体为：用户和云服务提供商协商，分别为云服务每项服务属性设置明文空间N_j，并记录到审计合约中；对服务属性的明文空间中的每个元素分别设置密钥k，其中

λ为一个用户和服务提供商设置的安全参数，R表示随机取值，并设置一个对服务属性的明文空间进行随机排序的函数π：[N_j]→[N_j]，明文空间中每个元素位置信息为π(i)，用户密钥为sk＝(k，π)；云服务提供商用分别用不同属性参数的密钥和监测数据的位置信息进行运算得到左密文ct_Lj＝(F(sk，π(x_j))，π(x_j))，其中F：{0，1}^λ×{0，1}^λ→{0，1}^λ是一种安全的伪随机函数，然后将左密文记录到区块链中特定的模块中，保证了云服务提供商上传监测数据的安全。

S5：用户对云服务进行监测，对监测到的云服务属性数据进行ORE加密处理得到右密文，具体为：用户产生一个随机数r，一个哈希函数

其中λ为用户和服务提供商设置的安全参数，

为模3整数域，设置一个比较函数CMP(m_i，m_j)，当m_i＞m_j时，CMP(m_i，m_j)＝-1；当m_i＝m_j时，CMP(m_i，m_j)＝0；当m_i＜m_j时，CMP(m_i，m_j)＝1；然后用户将监测得到的数据y_j分别与该属性的明文空间的每个元素z进行比较，其中z∈[N_j]，得到比较标签v_jz←CMP(π^-1(z)，y_j)+H(F(k，z)，r)(mod 3)，将得到的一组比较标签集和随机数组成的元组作为右密文ct_Rj＝(r，v_j1，v_j2，...，v_jn)，并记录到区块链中，保证了用户上传监测数据的安全。

S6：审计合约调取区块链中的用户和云服务提供商的监测数据进行审计，首先，审计合约调取相应区块中存储的用户和云服务提供商的经ORE加密监测左密文和右密文，令ct_L＝(F(sk，π(x_j))，π(x_j))＝(k′，h)和ct_R＝(r，v_j1，v_j2，...，v_jn)，通过计算I_j＝v_j-H(k′，r)(mod 3)得到x_j和y_j的比较结果，证明过程如下：

若I_j＝0，则x_j＝y_j，若I_j＝1，则x_j＜y_j，若I_j＝2，则x_j＞y_j；若I_j＝0判定用户与云服务提供商的监测数据一致，若I_j＝1或I_j＝2，用户与云服务提供商的监测数据不真实；然后，将一致的监测数据与审计合约记录的SLA云服务属性标准进行对比，判定云服务是否达标，判定是否存在违规行为，经过ORE加密处理的监测数据，实现了区块链中监控数据密文审计，同时有效保证了用户数据安全，调取区块链存储模块中的该云服务提供商进行信誉值加1操作以更新此云服务提供商的信誉值；若存在违规，调取区块链存储模块中的该云服务提供商信誉值进行减1操作以更新此云服务提供商的信誉值，审计合约自动对用户进行赔偿，服务提供商押金不退还，若云服务达标，则云服务提供商获得相应报酬，同时给见证者分发奖励报酬。当云服务提供商的信誉值低于0时，云服务提供商在一段时间内将不可为用户提供云服务，以此避免恶意云服务提供商为用户提供不达标服务。

如附图2所示，本发明实施例提供的基于区块链的云服务审查系统，所述系统包括以下模块：

用户端：监测各项云服务属性质量，对监测结果进行ORE加密处理后，上传至区块链进行存储；

云服务提供商端：安装TPM模块，利用TPM进行实时云服务属性质量监测，对监测结果进行ORE加密处理后，上传至区块链进行存储；

审计合约模块：对用户端和云服务提供商端的检测云服务属性质量结果进行审计，验证监测结果的真实性，与合约内设置的SLA协议云服务属性质量要求进行对比，判定云服务质量达标与否。根据审计结果进行云服务提供商报酬分发或违规赔偿，并更新云服务提供商信誉值；

区块链存储模块：存储用户和云服务提供商监测的云服务属性质量数据，存储审计合约执行结果和云服务提供商的信誉值；

见证者合约模块：筛选区块链网络中的节点作为见证者，对审计智能合约的执行过程进行验证。

如附图3所示，区块链中所有合约及其程序的执行都需要支付费用，各种操作费用以燃料(gas)为单位计算，本系统运作需要部分gas开销，图3为审计合约的主要的gas开销，审计任务涉及到复杂的接口，比如审计接口、违规确认接口、信誉更改接口等，区块链网络中的节点需要消耗更大工作量gas，但总体而言，审计合约的总开销是可接受的；此外，由于本基于区块链的云服务审查系统中，用户和云服务提供商监测数据均进行加密处理，以保证上传区块链过程的数据安全性，解决区块链存储中用户隐私泄露问题，但加密过程需要一定的开销，图4显示了各项云服务属性进行加密所需的时间都在可接受的范围值内，本系统在有效实现隐私保护的云服务审计的同时，系统所需的开销也在合理范围之内。

Claims (6)

1.一种基于区块链的云服务审查系统，包括：

用户端：监测云服务属性质量，对监测结果进行ORE加密处理后，上传至区块链进行存储；

云服务提供商端：安装TPM模块，利用TPM模块进行实时云服务属性质量监测，对监测结果进行ORE加密处理后，上传至区块链进行存储；

审计合约模块：对用户端和云服务提供商端的检测云服务属性质量结果进行审计，验证监测结果的真实性，与合约内设置的SLA协议云服务属性质量要求进行对比，判定云服务质量达标与否，并根据审计结果进行云服务提供商报酬分发或违规赔偿，并更新云服务提供商信誉值；

区块链存储模块：存储用户和云服务提供商监测的云服务属性质量数据，存储审计合约执行结果和云服务提供商的信誉值；

见证者合约模块：筛选区块链网络中的节点作为见证者，对审计合约的执行过程进行验证。

2.一种基于区块链的云服务审查方法，包括如下步骤：

S1：用户和云服务提供商线下协商云服务条款和要求，制定云SLA协议；

S2：云服务提供商根据SLA协议中的质量要求和违规赔偿金额记录到审计合约中，用户查看审计合约内容进行检查；

S3：见证者合约对区块链网络中的节点筛选出见证者节点，监测本次云服务质量审计；

S4：云服务提供商使用TPM对云服务进行监测，对监测到的云服务属性数据进行ORE加密处理，并记录到区块链存储模块中；

S5：用户对云服务进行监测，对监测到的云服务属性数据进行ORE加密处理，并记录到区块链存储模块中；

S6：审计合约调取区块链中的用户和云服务提供商的监测数据进行审计，完成监测数据真实性和云服务违规判定，根据判定结果进行报酬分发和信誉值更新。

3.如权利要求2所述的一种基于区块链的云服务审查方法，其中，所述步骤S3中见证者合约对区块链网络中的节点筛选出见证者节点的过程包括：

S31：见证者合约发布见证者筛选见证者任务和此次完成见证服务的报酬b_i；

S32：区块链中节点查看任务，想要提供见证服务的节点给出要价a_i，并将所有想要提供服务节点的信息和要价记录到见证合约中；

S33：见证者合约调取区块链中存储的节点要价进行递增排序，根据用户和云服务提供商要求，按顺序选择前n个节点，作为见证者节点。

4.如权利要求2所述的一种基于区块链的云服务审查方法，其中，所述步骤S4中对监测到的云服务属性数据进行ORE加密处理的过程包括：

S41：用户和云服务提供商协商分别为云服务每项服务属性设置明文空间，并记录到审计合约中；

S42：对服务属性的明文空间中的每个元素分别设置密钥k，设置服务属性的明文空间进行随机排序的函数π，明文空间中每个元素位置信息为π(i)，用户密钥为sk＝(k，π)；

S43：云服务提供商用分别用不同属性参数的密钥和监测数据的位置信息进行哈希运算，得到加密结果ct_Lj＝(F(sk，π(x_j))，π(x_j))。

5.如权利要求2所述的一种基于区块链的云服务审查方法，其中，所述步骤S5中对监测到的云服务属性数据进行ORE加密处理的过程包括：

S51：用户产生一个随机数r；

S52：用户将监测得到的数据y_j分别与该属性的明文空间的每个元素进行比较，得到比较标签v_jz；

S53：将比较标签集和随机数组成的元组作为用户的密文ct_Rj＝(r，v_j1，v_j2，...，v_jn)。

6.如权利要求2所述的一种基于区块链的云服务审查方法，其中，所述步骤S6中审计合约调取区块链中的用户和云服务提供商的监测数据进行审计的过程包括：

S61：审计合约调取相应区块中用户和云服务提供商的经ORE加密监测密文，通过比较函数z＝Compare(ct_L，ct_R)进行比较，若结果为0，则判定用户与云服务提供商监测数据一致，监测数据真实可信，否则监测数据不真实；

S62：将一致的监测数据与审计合约记录的SLA云服务属性标准进行对比，判定云服务是否达标，判定是否存在违规行为；

S63：若存在违规，云服务提供商信誉值降低，审计合约自动对用户进行赔偿，服务提供商押金不退还，若云服务达标，则云服务提供商获得相应报酬，同时给见证者分发奖励报酬。

Images