CN112261020B - 一种分布式远程外包数据审计方法 - Google Patents

Abstract

本发明公开了一种分布式远程外包数据审计方法，属于网络安全技术领域。本发明将核心的审计算法写入以太坊智能合约审计数据拥有者的远程外包数据，同时它使用区块链中最新区块的随机值、延时函数、BLS签名和双线性对技术确保远程外包数据的完整性和隐私性。本发明针对CSP会随机删除低访问频率远程外包数据块的情况，使用PPS方法抽取挑战数据块，提高抽中低访问频率数据块的概率。本发明设计保证金机制，利用智能合约保存DO、用户和CSP的保证金，实现有偿设计，也能惩罚发起恶意行为的实体。

Description

一种分布式远程外包数据审计方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种分布式远程外包数据审计方法。

背景技术

数据安全存储问题已经成为制约云存储服务发展的主要问题。虽然存储安全技术不断发展，但用户存储在云平台中的远程外包数据仍面临完整性和正确性被破坏的威胁。当用户将大量的数据外包到云平台并删除本地副本时，他们期望可以不受空间、时间的限制访问并更新这些外包数据，同时也希望云平台能够为他们的数据提供安全保障。然而由于数据会遭受不完整和不正确存储的威胁，使得用户宁愿花费大量的资金去搭建自己的私有数据存储中心，也不愿意把数据存储在省时、省钱、省力的云存储服务平台。那些不得不使用云存储服务的用户也拒绝把隐私性高的数据存放在云服务器中。由此可见，如果不解决云环境下远程外包数据的存储安全问题，会有越来越多的用户拒绝云存储服务，其发展将会受到阻碍。

远程外包数据审计技术主要采用“挑战响应”机制审计数据的完整性和正确性。该机制的主要思想是用户将数据上传到云存储服务器之前，对数据分块处理，并为每个数据块生成同态可验证签名，再将外包数据块集合和它们的同态可验签名集合打包发送到云存储服务平台。用户委托第三方审计者(TPA)定期随机选择若干外包数据块标号作为挑战数据向云服务提供商(CSP)发起审计请求，CSP根据挑战数据块和它们的同态可验证签名计算聚合证据返回给TPA，TPA单次审计所接收到的聚合证据就能够知道这些被挑战的远程外包数据块是否完整正确的存储在云存储服务器中。但是远程外包数据审计技术仍面临集中式审计所引发的安全问题和挑战数据块随机化所引发的效率问题。

远程外包数据审计机制中通常假设TPA是“诚实的”实体，它按照审计规则验证远程外包数据的完整性与正确性，属于集中式审计。但集中式审计会遇到如下问题：首先，在现实生活中很难找到完全诚实的实体作为TPA完成审计，实现集中式审计有困难；其次，“半诚实的”TPA容易勾结用户或者CSP发起共谋攻击，诬陷CSP没有完整正确的存储数据，或者给用户提供错误的审计结果；第三，TPA可以对用户的远程外包数据发起隐私攻击，通过聚合证据窥探其远程外包数据；最后，集中式审计会给TPA带来计算压力，尤其当审计任务突然剧增时会造成审计延迟。所以集中式审计问题是远程外包数据审计机制面临的主要挑战问题。另外，目前很多审计协议为云存储环境下远程外包数据审计协议的进一步研究奠定了良好基础。但是这些协议均使用简单随机抽样的方法抽取挑战数据块，没有关心如何选择挑战数据块可以提高审计效率的问题。通常数据块具有访问频率的特征，而CSP为了节省存储空间或者提高经济利益可能会删除低访问频率的数据块。简单随机抽样方法以等概率的方式抽取样本中的单位，但这样的抽样方式不利于抽中低访问频率数据块，影响审计效率。所以，随机抽取挑战数据块所引发的效率问题也是远程外包数据审计机制面临的主要挑战问题。

发明内容

有鉴于此，本发明提出一种分布式远程外包数据审计方法，其根据以太坊智能合约和基于按规模大小成比例概率抽样(PPS)的特点，提出一个新的公共审计协议，该协议不仅可以实现分布式审计，还可以提高抽中低访问频率数据块的概率，并且能够抵御审计过程中常见的重放攻击、伪造攻击和替代攻击，满足公共审计安全要求。

为了实现上述目的，本发明所采取的技术方案为：

一种分布式远程外包数据审计方法，应用于分布式远程外包数据审计系统，所述分布式远程外包数据审计系统基于以太坊实现，包括数据所有者、云服务提供商、用户和审计合约；其中：

所述数据所有者使用基于概率比例规模抽样方法的不等概率抽样方法抽取挑战数据块，提高抽中低访问频率数据块概率，其中，在概率比例规模抽样方法的预处理阶段，数据所有者按照数据块的访问频率对其排序，生成包含数据块访问频率和逻辑ID的新数据集；当数据所有者准备把外包数据通过互联网传给所述云服务提供商时，首先，数据所有者要对外包数据进行分块处理得到数据块集合，并计算每个数据块的同态可验证签名，计算完成后将数据块集合和同态可验证签名集合发送给云服务提供商；其次，数据所有者会发起一个交易，使用审计周期、挑战数据块数量、云服务提供商地址和数据所有者的公钥作为参数初始化审计合约；

云服务提供商存储数据所有者发送的数据集合，然后按照约定的审计周期定期扫描审计合约，如果发现有新的审计任务，云服务提供商会通知数据所有者使用概率比例规模抽样方法在新数据集中抽取多个数据块ID，推送给审计合约，审计合约拿到ID后，生成挑战数据，发送给云服务提供商；云服务提供商收到挑战数据后计算聚合证据，并调用合约中的审计算法验证聚合证据；最后，审计结果被写入到区块链中供人们查阅；

当用户想要读取数据所有者的远程外包数据时，必须先获得数据所有者授予的访问权限，然后再与云服务提供商交互获取目标数据；为保证审计的实用性和公平性，数据所有者、云服务提供商和用户都要在审计合约中放置一定数额的保证金，该保证金用于支付服务费用，或惩罚机制中有恶意行为的实体；

该方法包括以下步骤：

S1.初始化参数：数据所有者选择随机密钥对{ssk,spk}、随机数α和u，这里α∈Z_p，g和u∈G₁，数据所有者的私钥sk＝{α,ssk}，公钥pk＝{g,u,v,spk}，其中v＝g^α，v∈G₂，G₁和G₂是有素数阶p的两个乘法循环群，g是G1的生成元，e:G1×G1→G2为双线性对映射，Z_p是小于p的非负整数集合，H(·):{0,1}^*→G₁是映射到G₁上的安全的散列函数，h(·):G₁→Z_p是一次散列函数；

S2.审计预处理：数据所有者把外包给云服务器的数据集M划分为n干个数据块M＝{m_i}_i∈[1,n]；对数据集预处理，主要分为两部分，第一部分是抽取数据块的ID和访问间隔时间，按照访问间隔时间排序，并保持到本地；第二部分是按照数据块的访问间隔时间生成累积表，为概率比例规模抽样方法抽样做准备；数据集预处理完成后，数据所有者使用私钥α计算每个数据块的同态可验证签名：

得到M的同态可验证签名集合Φ＝{σ_i}_i∈[1,n]；数据所有者向云服务提供商发送数据{M,Φ}后，整合审计参数{CSPAddr,StorTime,AudInterval,ChalNum,pk}，生成交易触发审计合约，初始化合约中数据所有者对象，其中CSPAddr为数据所有者远程外包数据服务器的地址，StorTime为远程外包数据存储的时间，AudInterval为审计周期，根据StorTime和AudInterval合约可以计算出具体的审计时间点，定期自动审计远程外包数据，ChalNum为挑战数据块数量，pk为数据所有者公钥；

S3.初始化审计合约中数据所有者对象：由数据所有者触发，表示合约可以接受并存储保证金；数据所有者发送相关参数和一定数额的电子货币触发该初始化过程；

S4.初始化审计合约中云服务提供商对象：由云服务提供商触发，把云服务提供商发送的保证金存储到相应的对象账户中；

S5.生成审计挑战：分为两部分，第一部分，数据所有者收到云服务提供商发起的审计请求后，使用概率比例规模抽样方法抽样抽取特定数量数据块ID，从而生成挑战数据块ID集合；第二部分，数据所有者生成挑战数据块ID集合后，触发审计合约中的相应方法，根据数据所有者的地址查找审计合约中对应的数据所有者对象，得到其属性值，并检查是当前时间是否为准确的审计时间，触发合约的云服务提供商地址是否为正确的云服务器地址，当前的审计任务状态是否为挂起状态以及随机数种子是否合法，如果以上检查结果均合法，则审计合约使用伪随机数生成器为数据所有者对象生成审计挑战chal＝{(i,o_i)}，其中，i表示挑战数据块id，o_i表示对应的随机值；

S6.生成聚合证据：云服务提供商收到审计挑战chal＝{(i,o_i)}后，找到审计挑战对应的数据块和同态可验证签名，计算聚合证据；为保证数据块的隐私，云服务提供商选择随机数l∈Z_p，计算随机数证据Rand＝w^l＝(u^α)^l,Rand∈G₁，用于破坏数据证据的线性特征，此外，云服务提供商使用(Rand,l,o_i,m_i)计算数据证据μ＝∑_chalo_i·m_i+l·h(Rand)，计算签名证据

和哈希证据

最后，云服务提供商发送聚合证据

触发审计合约完成审计；

S7.审计聚合证据：在定期审计中，判断触发合约的云服务提供商地址是否为数据所有者对象中存储的服务器地址，如果是正确地址，数据所有者对象中的审计任务数量加1，然后利用双线性对性质计算并判断审计等式左右两端是否相等，相等说明审计成功，把数据所有者对象中的当前审计状态改为success，扣除数据所有者账户一定数额的保证金作为存储费用支付给云服务提供商；反之说明云服务提供商没有正确存储远程外包数据，算法把数据所有者对象的当前审计状态改为exception，扣除云服务提供商其账户一定数额的保证金给数据所有者；

在非定期审计中，根据用户地址，得到用户对象U，检查触发合约的云服务提供商地址是否为U想要读取数据的云服务提供商地址，检查U中所存储的授予访问权限的数据所有者地址是否为算法参数中的数据所有者地址；如果以上检查均合法，则审计用户读取的远程外包数据块，审计成功，作为存储和数据费用，会扣除用户中一定数额的保证金支付给云服务提供商和数据所有者，审计失败，扣除云服务提供商一定数额的保证金给U和数据所有者；最后，将审计结果发布到区块链中，实现透明审计；

S8.访问授权：数据所有者使用用户唯一标识符name_user计算其访问标签T_uname＝name_user||ssig_ssk(name_user)，并将T_uname发送给用户和云服务提供商，表示已经授予用户远程外包数据访问权限；

S9.初始化审计合约中用户对象：该对象用于存储用户一定数额的保证金，作为服务费用支付给数据所有者和云服务提供商，或作为惩罚手段防御用户恶意行为；

S10.生成用户关于请求数据的聚合证据：云服务提供商收到用户读取数据所有者远程外包数据请求和对应的挑战信息后，验证用户访问权限，如果验证通过，云服务提供商根据挑战数据计算聚合证据proof_u，计算证据的具体过程与步骤(7)相同，并发送proof_u触发审计合约中的Auditing_SmartCon方法审计聚合证据。

进一步的，步骤S2中累积表的生成方式为：

统计每个数据块的访问间隔时间，按照固定步长f_interv，将所有访问间隔时间的最小值f_min到最大值f_maz的范围划分为多个分段；对于每个分段，计算其中所有间隔时间的累计和；对于第一个分段，其累积范围是其起始时间到其累积和时间的范围，对于后一个分段，其累积范围是前一分段累积和时间+1到本分段累积和时间的范围；由此，生成包含分段、累积和以及累积范围对应关系的累积表T_cum。

进一步的，步骤S5中，使用概率比例规模抽样方法抽样抽取特定数量数据块ID的具体方式为：

设定两个正整数n和m，使用概率比例规模抽样方法从累积表T_cum中抽取n个分段作为初级抽样样本；然后在关系表中找到这n个分段所对应的所有数据块ID，并使用随机抽样方法从这些数据块ID中再抽取m个数据块ID作为挑战数据块。

进一步的，步骤S7中，数据所有者根据待外包到云服务提供商中的数据集大小、外包时间和审计价格确定存放到合约中的保证金额；云服务提供商根据数据所有者保证金额确定自己存放到合约中的保证金额；用户根据读取远程外包数据数量以及云服务提供商和数据所有者的服务价格确定存放到合约中的保证金额；

云服务提供商发送交易触发合约进行审计时，若审计的是数据所有者远程外包数据集，则如果审计验证成功，那么合约将从数据所有者的保证金中扣除一次的审计费用支付给云服务提供商；

当发起审计的实体为用户U时如果审计验证成功，那么合约将从U的保证金中扣除费用分别支付给云服务提供商和数据所有者；

数据所有者发起动态审计交易时，如果审计成功，那么合约将从数据所有者的保证金中扣除一次的动态审计费用支付给云服务提供商；如果审计验证不成功或者出现其他实体的恶意行为，扣除该实体账户的一定数额保证金给其他无辜实体，扣除保证金数额由其所发起的审计服务价格所决定。

采用上述技术方案所产生的有益效果在于：

(1)本发明构建了基于区块链的分布式远程外包数据审计机制。该机制将核心的审计算法写入以太坊智能合约审计数据拥有者的远程外包数据，同时它使用区块链中最新区块的随机值(Nonce)、延时函数、BLS签名和双线性对技术确保远程外包数据的完整性和隐私性。

(2)本发明假设CSP会随机删除低访问频率远程外包数据块，并针对该情况使用PPS方法抽取挑战数据块，提高抽中低访问频率数据块的概率。机制在初级抽样阶段，选择数据块的访问频率作为辅助信息对数据集分组，提高抽中低访问频率分组的概率；第二抽样阶段，选择初级阶段抽中的分组作为样本，采用随机方法抽取数据块组成挑战集合。机制中挑战数据集能够以较高概率覆盖到低访问频率数据块，提高审计效率。

(3)本发明通过智能合约保存DO(即数据所有者)、用户和CSP(即云服务提供商)的保证金，针对DO远程外包数据审计情况，按审计周期动态分期的将DO账户中的保证金作为服务费用支付给CSP；针对用户授权访问CSP存储下DO外包数据的情况，按照访问次数将用户账户中的保证金作为服务费用支付给CSP和DO；针对发起恶意行为的实体，将该实体账户中的保证金作为惩罚费用支付给无辜实体。

附图说明

图1是本发明的系统结构示意图；

图2是本发明方法的原理示意图；

图3为同态验证标签时间对比图；

图4为挑战数据生成时间图；

图5为聚合证据时间对比图；

图6为审计时间对比图；

图7为Gas花销图；

图8为CSP随机删除数据块，随机抽样与PPS检测出错误概率对比图；

图9为CSP删除DO不常用数据块，随机抽样与PPS检测出错误概率对比图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步的详细说明。

图1是审计系统的结构示意图，包含四个实体，分别为：

DO，即远程外包数据的拥有者，为了解决本地存储空间不足的问题，把数据外包存储到云服务器中；

CSP，即云服务器的管理者，拥有足够的计算资源和存储空间存储维护DO的远程外包数据；

审计合约，是一个可自动执行的存储在区块链上的计算机程序，部署在以太坊智能合约中，审计CSP中的远程外包数据；

用户，是被DO授予访问权限的实体，允许付费访问DO的远程外包数据，同时也可以付费享受CSP所提供的其他数据服务。

所述DO使用PPS方法抽取挑战数据块，提高抽中低访问频率数据块概率。为支持PPS方法，在PPS-AM的预处理阶段DO按照数据块的访问频率对其排序，生成包含数据块访问频率和逻辑ID的新数据集。当DO准备把外包数据通过互联网传给所述CSP时，首先，DO要对外包数据进行分块处理得到数据块集合，并计算每个数据块的同态可验证签名，计算完成后将数据块集合和同态可验证签名集合发送给CSP；其次，DO会发起一个交易，使用审计周期、挑战数据块数量、CSP地址和DO的公钥等作为参数初始化审计合约。CSP存储DO发送的数据集合，然后按照约定的审计周期定期扫描审计合约，如果发现有新的审计任务，CSP会通知DO使用PPS方法在新数据集中抽取多个数据块ID，推送给审计合约，审计合约拿到ID后，生成挑战数据，发送给CSP。CSP收到后计算聚合证据，并调用合约中的审计算法验证聚合证据。最后，审计结果被写入到区块链中供人们查阅。当所述用户想要读取DO的远程外包数据时，它必须先要获得DO授予的访问权限，然后再与CSP交互获取目标数据。为保证审计的实用性和公平性，DO、CSP和用户都要在审计合约中放置一定数额的保证金，该保证金既可以支付服务费用，又可作为一种手段惩罚机制中有恶意行为的实体。

威胁模型：在机制中假设CSP、DO和用户都是“半诚实的”实体。为了某些利益的驱动，CSP会删除一些DO远程外包数据并发起上文所提到的审计常见攻击；DO和用户会否认审计结果，诬陷CSP没有合法的存储外包数据或没有提供正确数据，试图不支付或者少支付CSP的服务费用。假设审计交易的执行者矿工是“诚实且好奇的”实体，当它们打包审计交易时，会试图通过CSP发送的聚合证据计算远程外包数据块内容，泄露DO数据。

基于上述系统的审计方法，图2展示了该方法的整个流程，具体包含以下步骤：

S1.Setup_DO(初始化参数)：DO选择随机密钥对{ssk,spk}、随机数α和u，这里α∈Z_p，u∈G₁。DO的私钥sk＝{α,ssk}，公钥pk＝{g,u,v,spk}，其中v＝g^α，v∈G₂。

S2.AuditPara_DO(审计预处理)：DO把外包给云服务器的数据集M划分为n干个数据块M＝{m_i}_i∈[1,n]。使用DatasetforPPS_DO算法和CumulativeTableforPPS_DO算法对数据集进行处理，生成累积表，为PPS抽样做准备。

随后DO使用私钥α计算每个数据块的同态可验证签名：

得到M的同态可验证签名集合：

Φ＝{σ_i}_i∈[1,n]

DO向CSP发送数据{M,Φ}后，整合审计参数{CSPAddr,StorTime,AudInterval,ChalNum,pk}，生成交易触发审计合约，其中CSPAddr为DO远程外包数据服务器的地址；StorTime为远程外包数据存储的时间；AudInterval为审计周期，根据StorTime和AudInterval合约可以计算出具体的审计时间点，定期自动审计远程外包数据；ChalNum为挑战数据块数量；pk为DO公钥。

S3.DOconstructor_SmartCon(初始化审计合约中DO对象)：如算法1所示，是一个payable函数，表示合约可以接受并存储保证金。

DO发送相关参数和一定数额的电子货币触发该算法，算法功能是初始化审计合约中DO对象，DO数据结构如下所示：

S4.CSPSetUp_SmartCon(初始化审计合约中CSP对象)：如算法2所示，这是一个payable函数。该算法由CSP触发，算法功能是把CSP发送的保证金存储到相应的对象账户中，其中CSPBalances表示CSP账户余额。

S5.GenChallenge_SmartCon(生成审计挑战)：如算法3所示，这是审计合约中的函数，由DO触发，算法功能是生成审计挑战。DO收到CSP发起的审计请求后，使用PPSample_DO生成挑战数据块ID集合，触发合约算法GenChallenge_SmartCon，算法根据DOAddr查找智能合约中对应的DO对象，得到其属性值，并检查是当前时间是否为准确的审计时间，触发合约的CSP地址是否为正确的云服务器地址，当前的审计任务状态是否为挂起状态以及随机数种子是否合法，如果以上检查结果均合法，合约使用伪随机数生成器为DO对象生成审计挑战。

S6.ProofGen_CSP(生成聚合证据)：该算法由CSP执行，功能是根据挑战生成聚合证据。CSP收到挑战集合chal＝{(i,o_i)}后，找到挑战集合对应的数据块和同态可验证签名，计算聚合证据。为保证数据块的隐私，CSP选择随机数l∈Z_p，计算随机数证据Rand∈G₁，用于破坏数据证据的线性特征，任何人无法根据数据证据计算得到挑战数据块内容。

Rand＝w^l＝(u^α)^l

CSP使用(Rand,l,o_i,m_i)计算数据证据μ：

CSP按如下公式分别计算签名证据σ和哈希证据

最后，CSP发送聚合证据

触发审计合约完成审计。

S7.Auditing_SmartCon(审计聚合证据)：如算法4所示，这是由CSP触发的部署在智能合约中用于审计聚合证据的算法。算法使用MissionSelect参数区分定期审计和非定期审计。在定期审计中，算法判断触发合约的CSP地址是否为DO对象中存储的服务器地址。如果是正确地址，DO对象中的审计任务数量加1，然后利用双线性对性质计算并判断审计等式左右两端是否相等。相等说明审计成功，算法把DO对象中的当前审计状态改为success，扣除DO账户一定数额的保证金作为存储费用支付给CSP；反之说明CSP没有正确存储远程外包数据，算法把DO对象的当前审计状态改为exception，扣除CSP其账户一定数额的保证金给DO。

在非定期审计中，算法根据用户地址，得到用户对象U，检查触发合约的CSP地址是否为U想要读取数据的CSP地址，检查U中所存储的授予访问权限的DO地址是否为算法参数中的DO地址。如果以上检查均合法，算法审计U读取的远程外包数据块。审计成功，作为存储和数据费用，会扣除U中一定数额的保证金支付给CSP和DO。审计失败，扣除CSP一定数额的保证金给U和DO。最后，将合约审计结果发布到区块链中，任何人都可以看到审计流程和结果，实现透明审计。

S8.AuthorizeUser_DO(访问授权)：该算法由DO执行，功能是授予用户访问权限。DO使用用户唯一标识符name_user计算其访问标签：

T_uname＝name_user||ssig_ssk(name_user)

并将T_uname发送给用户和CSP，表示已经授予用户远程外包数据访问权限。

S9.UserSetUp_SmartCon(初始化审计合约中用户对象)：如算法5所示，这是一个payable函数，由用户触发，功能是初始化合约中用户对象。

其数据结构如下所示：

该算法的输入是用户要读取数据块标号和对应随机值所组成的挑战、目标DO地址和目标CSP地址。合约存储用户一定数额的保证金，可作为服务费用支付给DO和CSP，也可作为惩罚手段防御用户恶意行为。

S10.ProofGenDO_CSP(生成用户关于请求数据的聚合证据)：CSP收到用户读取DO远程外包数据请求和对应的挑战信息后，验证用户访问权限。如果验证通过，CSP根据挑战数据计算聚合证据proof_u，计算证据的具体过程与算法ProofGen_CSP相同，并发送proof_u触发审计合约中的Auditing_SmartCon算法审计聚合证据。

数据集预处理包括两个方法，由DO执行。第一方法是产生由DO远程外包数据访问间隔时间和逻辑ID共同组成的数据集M_local，该数据集作为PPS初级抽样的样本保存到本地。输入是DO的远程外包数据集M＝{m₁,m₂,...,m_n}，输出是M_local，具体算法如下：

第二个算法功能是为PPS方法生成累积表。输入是最小间隔时间f_min、最大间隔时间f_maz和分段步长，输出是累积表T_cum，具体算法如下：

算法7生成的累积表结构如下：

PPS抽样方法主要功能是抽取挑战数据块ID，算法输入是数据集M_local，累积表T_cum，n和m，输出是包含数据块ID的大小为n*m的数据集IChal。在初级抽样阶段，算法使用PPS方法从累积表T_cum中抽取n个单位作为初级抽样样本；第二抽样阶段，使用随机抽样方法从初级阶段所抽取的n个单位中再抽取m个远程外包数据块ID。具体算法如下：

本方法还采用了保证金机制。在该机制中，首先，DO根据待外包到CSP中的数据集大小、外包时间和审计价格确定存放到合约中的保证金额；CSP根据DO保证金额确定自己存放到合约中的保证金额；用户根据读取远程外包数据数量以及CSP和DO的服务价格确定存放到合约中的保证金额。第二，CSP发送交易触发合约，合约执行Auditing_SmartCon算法进行审计；当算法审计的是DO远程外包数据集时(MissionSelect＝＝true)，如果审计验证成功，那么合约将从DO的保证金中扣除一次的审计费用price_audit支付给CSP；当发起审计的实体为用户U时(MissionSelect＝＝false)，如果审计验证成功，那么合约将从U的保证金中扣除费用price_RtoCSP和price_RtoDO分别支付给CSP和DO。第三，DO发起动态审计交易时，如果审计成功，那么合约将从DO的保证金中扣除一次的动态审计费用price_dynamic支付给CSP。第四，如果审计验证不成功或者出现其他实体的恶意行为，扣除该实体账户的一定数额保证金给其他无辜实体，扣除保证金数额由其所发起的审计服务价格所决定。

以下通过实验评估本发明协议的性能：

实验选择4台计算机搭建系统原型，分别模拟DO，云存储服务，以太坊和用户。计算机的性能是Intel(R)Core(TM)i7-4710HQ，频率为2.50GHz处理器、8GBRAM，操作系统为Ubuntu。使用python语言编写DO端、用户端和CSP端的相应算法，使用solidity语言编写审计合约。实验使用alt_bn128椭圆曲线计算数据块的同态可验证签名，使用SH3-Keccak256算法计算数据块的哈希值并构建MHT。由于CSP生成的聚合证据一部分是群G₁中的元素，需要在群G₁中运算，另一部分的聚合证据是G₂中的元素，不需要运算操作，所以在审计合约中实验引入开源库solcrypto实现群G₁上的运算，生成审计等式两端左右的参数。为了在智能合约中执行最后的审计验证，实验调用支持alt_bn128椭圆曲线相关操作的预编译合约，在以太坊虚拟机(EVM)的环境下，利用双线性对性质审计远程外包数据块。由于当DO远程外包数据块遭受CSP破坏的数量不少于其总数的1％时，只需抽取460个挑战数据块，就能够以99.9％的概率审计出CSP的恶意行为，所以本实验假设CSP破坏1％的远程外包数据，并选择100-600个挑战数据块检测BSC-DAM性能。

试验评估中使用不同数据结构的协议3P-PDP和DHT-PA与本发明对比。

(1)实验评估：数据块同态可验证签名计算成本

图3是计算同态可验证签名所花费的具体时间，这是整个机制中比较消耗计算资源的过程。从图中可以看出，随着数据块的不断增加，计算同态可验证签名的时间线性增长。本发明和3P-PDP计算同态可验证签名算法的计算复杂度基本相同，但是它们要优于DHT-PA。

(2)实验评估：挑战数据集计算成本

图4是本发明计算挑战数据集的时间，从图中可以看出，随着挑战数据块的增加，生成数据集的时间变化不大，在33毫秒处上下波动。

(3)实验评估：聚合证据和审计验证计算成本

图5是计算聚合证据所花费的时间，随着挑战数据块的增加，聚合证据计算时间线性增长。然而本发明计算聚合证据的时间比DHT-PA和3P-PDP机制多，主要原因是本发明机制比DHT-PA和3P-PDP机制分别增加了计算量

和(cExp_G+cMul_G)。

图6是审计验证所花费的时间，可以看出机制计算成本都随着挑战数据的增加而线性增长，虽然本发明计算量少，但它花费的时间仍然比另外两个方案多。这是因为将本发明的审计验证算法写入智能合约中，需要一定的配置时间和挖矿时间，但随着审计数据块的增加，差距会逐渐缩小。

(4)实验评估：GAS消耗

图7是审计数据块的Gas消耗。从图中可以看出，审计100-600个数据块，Gas从427412增长到494412，但Gas没有超过一次交易的限制数量。但是批审计中，由于Gas限制的原因，一次交易处理的DO数量受到了限制。经过计算，合约中批处理算法可以批量同时处理500个DO发起的审计请求，每个请求的挑战数据块数量为460个，所消耗的Gas为582717，如果合约想要处理更多数量DO的审计请求，就需要将请求拆分成若干个后再触发多个交易实现审计。

(5)实验评估：检测CSP删除DO数据概率

假设DO外包到CSP的数据集大小为n，k为CSP删除的数据块数量，c为挑战数据块的数量，X为离散随机变量，表示检测出CSP删除DO数据块的恶意行为所需要的挑战数据块数量。P_X为挑战数据块c中，至少有一个数据块被CSP删除的概率，那么可以得到：

由于(n-j-k)/(n-j)≥(n-j-1-k)/(n-j-1)，所以可以得出结论：1-((n-j-k)/(n-j))^c≤P_X≤1-((n-j-1-k)/(n-j-1))^c。

如果CSP在n个数据块中删除k个数据块，那么P_X表示挑战c个数据块可以检测出CSP这种恶意行为的概率。当k一定时，TPA可以通过c个数据块的聚合证据以一定概率审计出CSP的恶意行为，这个概率与n无关。例如：如果CSP删除总数为1％的数据块，那么TPA只需要300个挑战数据块就能以95％的概率审计出这种恶意行为，或者选择460个数据块以99.9％的概率得到正确的验证结果。假设DO有10000个数据块外包到云服务器(n＝10000)，CSP随机删除100个数据块，也就是远程外包数据块总数的1％。

如图8所示，实验采用PPS和随机抽样两种方法抽取挑战数据块c。图中横坐标是挑战的数据块数量，纵坐标是抽取的数据中至少包含一个CSP恶意删除数据块的概率P_X。在删除数据块数量一定的情况下，随着挑战数据块的增加，概率P_X以平缓的速度逐渐增加。当c＝100时，随机抽样对应的P_X为59.8％，PPS为60.5％；当c＝400时，随机抽样对应的P_X为97.6％，PPS为98.3％；当c＝500时，随机抽样和PPS的P_X均为100％。由此可得出结论，在CSP随机删除数据块的情况下，使用PPS抽取若干挑战数据块计算出P_X与随机抽样方法抽取同样多的数据块计算得到的P_X基本相同。

图9是CSP删除DO低频率远程外包数据块情况下，使用随机抽样与PPS方法检测出的错误概率对比，与图8相比，在这个条件下，PPS方法检测出的错误概率明显高于随机抽样，尤其在抽取少量数据时它的优势更为明显，当c＝100时，PPS的P_X为78％，随机为57％；c＝150时，PPS与随机抽样的检测错误率分别为0.89％和78％；c＝200时，PPS与随机抽样的检测错误率增长到97％和88％，随着挑战数据块的不断增加，两者的检测概率逐渐接近，当c＝350时，PPS的检测错误率达到100％，随机抽样为96％，当在c＝500时，随机抽样的检测概率达到100％。从图和这些数据中可以看出，在CSP删除DO低访问频率的远程外包数据块情况下，PPS抽中被恶意删除数据块的概率高于随机抽样方法。

本发明可实现如下功能指标：

(1)公共审计：任何有计算经验和计算能力的且被DO信任的实体，在没有数据副本的情况下，都可以审计DO的远程外包数据。

(2)定期自动审计：当到达审计周期时，CSP会发起审计请求。

(3)分布式审计：智能合约审计远程外包数据，实现分布式审计。

(4)存储安全：CSP恶意破坏外包数据块后，不能根据这些被破坏的数据块伪造合法的聚合证据。

(5)高效性：确保使用较少的挑战数据块达到与普通审计协议相同的正确率。

(6)隐私保护：矿工不能通过计算相同数据块的多个聚合证据得到数据块内容，泄露DO的外包数据。

(7)公平透明：审计过程和审计结果公开，任何一方都无法否认审计结果。

本发明可实现如下安全指标：

(1)数据正确性：只有正确的外包数据块和对应的签名才能通过审计，确保DO外包数据正确存储CSP中。

(2)数据隐私保护：在整个审计过程中，矿工无法了解外包数据块的内容。

总之，本发明将核心的审计算法写入以太坊智能合约审计数据拥有者的远程外包数据，同时它使用区块链中最新区块的随机值、延时函数、BLS签名和双线性对技术确保远程外包数据的完整性和隐私性。本发明针对CSP会随机删除低访问频率远程外包数据块的情况，使用PPS方法抽取挑战数据块，提高抽中低访问频率数据块的概率。本发明设计保证金机制，利用智能合约保存DO、用户和CSP的保证金，实现有偿设计，也能惩罚发起恶意行为的实体。

Claims (4)

1.一种分布式远程外包数据审计方法，其特征在于，应用于分布式远程外包数据审计系统，所述分布式远程外包数据审计系统基于以太坊实现，包括数据所有者、云服务提供商、用户和审计合约；其中：

所述数据所有者使用基于概率比例规模抽样方法的不等概率抽样方法抽取挑战数据块，提高抽中低访问频率数据块概率，其中，在概率比例规模抽样方法的预处理阶段，数据所有者按照数据块的访问频率对其排序，生成包含数据块访问频率和逻辑ID的新数据集；当数据所有者准备把外包数据通过互联网传给所述云服务提供商时，首先，数据所有者要对外包数据进行分块处理得到数据块集合，并计算每个数据块的同态可验证签名，计算完成后将数据块集合和同态可验证签名集合发送给云服务提供商；其次，数据所有者会发起一个交易，使用审计周期、挑战数据块数量、云服务提供商地址和数据所有者的公钥作为参数初始化审计合约；

云服务提供商存储数据所有者发送的数据集合，然后按照约定的审计周期定期扫描审计合约，如果发现有新的审计任务，云服务提供商会通知数据所有者使用概率比例规模抽样方法在新数据集中抽取多个数据块ID，推送给审计合约，审计合约拿到ID后，生成挑战数据，发送给云服务提供商；云服务提供商收到挑战数据后计算聚合证据，并调用合约中的审计算法验证聚合证据；最后，审计结果被写入到区块链中供人们查阅；

当用户想要读取数据所有者的远程外包数据时，必须先获得数据所有者授予的访问权限，然后再与云服务提供商交互获取目标数据；为保证审计的实用性和公平性，数据所有者、云服务提供商和用户都要在审计合约中放置一定数额的保证金，该保证金用于支付服务费用，或惩罚机制中有恶意行为的实体；

该方法包括以下步骤：

S1.初始化参数：数据所有者选择随机密钥对{ssk,spk}、随机数α和u，这里α∈Z_p，g和u∈G₁，数据所有者的私钥sk＝{α,ssk}，公钥pk＝{g,u,v,spk}，其中v＝g^α，v∈G₂，G₁和G₂是有素数阶p的两个乘法循环群，g是G1的生成元，e:G1×G1→G2为双线性对映射，Z_p是小于p的非负整数集合，H(·):{0,1}^*→G₁是映射到G₁上的安全的散列函数，h(·):G₁→Z_p是一次散列函数；

S2.审计预处理：数据所有者把外包给云服务器的数据集M划分为n干个数据块M＝{m_i}_i∈[1,n]；对数据集预处理，分为两部分，第一部分是抽取数据块的ID和访问间隔时间，按照访问间隔时间排序，并保持到本地；第二部分是按照数据块的访问间隔时间生成累积表，为概率比例规模抽样方法抽样做准备；数据集预处理完成后，数据所有者使用私钥α计算每个数据块的同态可验证签名：

得到M的同态可验证签名集合Φ＝{σ_i}_i∈[1,n]；数据所有者向云服务提供商发送数据{M,Φ}后，整合审计参数{CSPAddr,StorTime,AudInterval,ChalNum,pk}，生成交易触发审计合约，初始化合约中数据所有者对象，其中CSPAddr为数据所有者远程外包数据服务器的地址，StorTime为远程外包数据存储的时间，AudInterval为审计周期，根据StorTime和AudInterval合约可以计算出具体的审计时间点，定期自动审计远程外包数据，ChalNum为挑战数据块数量，pk为数据所有者公钥；

S3.初始化审计合约中数据所有者对象：由数据所有者触发，表示合约可以接受并存储保证金；数据所有者发送相关参数和一定数额的电子货币触发该初始化过程；

S4.初始化审计合约中云服务提供商对象：由云服务提供商触发，把云服务提供商发送的保证金存储到相应的对象账户中；

S5.生成审计挑战：分为两部分，第一部分，数据所有者收到云服务提供商发起的审计请求后，使用概率比例规模抽样方法抽样抽取特定数量数据块ID，从而生成挑战数据块ID集合；第二部分，数据所有者生成挑战数据块ID集合后，触发审计合约中的相应方法，根据数据所有者的地址查找审计合约中对应的数据所有者对象，得到其属性值，并检查是当前时间是否为准确的审计时间，触发合约的云服务提供商地址是否为正确的云服务器地址，当前的审计任务状态是否为挂起状态以及随机数种子是否合法，如果以上检查结果均合法，则审计合约使用伪随机数生成器为数据所有者对象生成审计挑战chal＝{(i,o_i)}，其中，i表示挑战数据块id，o_i表示对应的随机值；

S6.生成聚合证据：云服务提供商收到审计挑战chal＝{(i,o_i)}后，找到审计挑战对应的数据块和同态可验证签名，计算聚合证据；为保证数据块的隐私，云服务提供商选择随机数l∈Z_p，计算随机数证据Rand＝w^l＝(u^α)^l,Rand∈G₁，用于破坏数据证据的线性特征，此外，云服务提供商使用(Rand,l,o_i,m_i)计算数据证据μ＝∑_chalo_i·m_i+l·h(Rand)，计算签名证据

和哈希证据

最后，云服务提供商发送聚合证据

触发审计合约完成审计；

S7.审计聚合证据：在定期审计中，判断触发合约的云服务提供商地址是否为数据所有者对象中存储的服务器地址，如果是正确地址，数据所有者对象中的审计任务数量加1，然后利用双线性对性质计算并判断审计等式左右两端是否相等，相等说明审计成功，把数据所有者对象中的当前审计状态改为success，扣除数据所有者账户一定数额的保证金作为存储费用支付给云服务提供商；反之说明云服务提供商没有正确存储远程外包数据，算法把数据所有者对象的当前审计状态改为exception，扣除云服务提供商其账户一定数额的保证金给数据所有者；

在非定期审计中，根据用户地址，得到用户对象U，检查触发合约的云服务提供商地址是否为U想要读取数据的云服务提供商地址，检查U中所存储的授予访问权限的数据所有者地址是否为算法参数中的数据所有者地址；如果以上检查均合法，则审计用户读取的远程外包数据块，审计成功，作为存储和数据费用，会扣除用户中一定数额的保证金支付给云服务提供商和数据所有者，审计失败，扣除云服务提供商一定数额的保证金给U和数据所有者；最后，将审计结果发布到区块链中，实现透明审计；

S8.访问授权：数据所有者使用用户唯一标识符name_user计算其访问标签T_uname＝name_user||ssig_ssk(name_user)，并将T_uname发送给用户和云服务提供商，表示已经授予用户远程外包数据访问权限；

S9.初始化审计合约中用户对象：该对象用于存储用户一定数额的保证金，作为服务费用支付给数据所有者和云服务提供商，或作为惩罚手段防御用户恶意行为；

S10.生成用户关于请求数据的聚合证据：云服务提供商收到用户读取数据所有者远程外包数据请求和对应的挑战信息后，验证用户访问权限，如果验证通过，云服务提供商根据挑战数据计算聚合证据proof_u，计算证据的具体过程与步骤(7)相同，并发送proof_u触发审计合约中的Auditing_SmartCon方法审计聚合证据。

2.根据权利要求1所述的一种分布式远程外包数据审计方法，其特征在于，步骤S2中累积表的生成方式为：

统计每个数据块的访问间隔时间，按照固定步长f_interv，将所有访问间隔时间的最小值f_min到最大值f_maz的范围划分为多个分段；对于每个分段，计算其中所有间隔时间的累计和；对于第一个分段，其累积范围是其起始时间到其累积和时间的范围，对于后一个分段，其累积范围是前一分段累积和时间+1到本分段累积和时间的范围；由此，生成包含分段、累积和以及累积范围对应关系的累积表T_cum。

3.根据权利要求2所述的一种分布式远程外包数据审计方法，其特征在于，步骤S5中，使用概率比例规模抽样方法抽样抽取特定数量数据块ID的具体方式为：

设定两个正整数n和m，使用概率比例规模抽样方法从累积表T_cum中抽取n个分段作为初级抽样样本；然后在关系表中找到这n个分段所对应的所有数据块ID，并使用随机抽样方法从这些数据块ID中再抽取m个数据块ID作为挑战数据块。

4.根据权利要求3所述的一种分布式远程外包数据审计方法，其特征在于，步骤S7中，数据所有者根据待外包到云服务提供商中的数据集大小、外包时间和审计价格确定存放到合约中的保证金额；云服务提供商根据数据所有者保证金额确定自己存放到合约中的保证金额；用户根据读取远程外包数据数量以及云服务提供商和数据所有者的服务价格确定存放到合约中的保证金额；

云服务提供商发送交易触发合约进行审计时，若审计的是数据所有者远程外包数据集，则如果审计验证成功，那么合约将从数据所有者的保证金中扣除一次的审计费用支付给云服务提供商；

当发起审计的实体为用户U时如果审计验证成功，那么合约将从U的保证金中扣除费用分别支付给云服务提供商和数据所有者；

数据所有者发起动态审计交易时，如果审计成功，那么合约将从数据所有者的保证金中扣除一次的动态审计费用支付给云服务提供商；如果审计验证不成功或者出现其他实体的恶意行为，扣除该实体账户的一定数额保证金给其他无辜实体，扣除保证金数额由其所发起的审计服务价格所决定。

Images