CN112311548A - 数据持有性验证方法、系统、装置及计算机可读存储介质 - Google Patents

Abstract

本公开提供了一种数据持有性验证方法、系统、装置及计算机可读存储介质，涉及信息技术领域。其中的数据持有性验证方法包括：数据拥有者及数据存储者为目标文件的不同副本分别生成副本默克尔树；数据拥有者生成副本聚集默克尔树；数据拥有者通过随机数据块标识向数据存储者发起挑战；数据存储者根据随机数据块标识，确定各个副本默克尔树的认证路径，并将认证路径发送至数据拥有者；数据拥有者利用随机数据块标识在不同副本中对应的数据块以及副本聚集默克尔树的根节点，对认证路径进行验证，并在认证路径验证失败的情况下，确定数据存储者未完整存储目标文件的不同副本。本公开能够更加高效的验证出数据存储者未完整存储目标文件的不同副本。

Description

数据持有性验证方法、系统、装置及计算机可读存储介质

技术领域

本公开涉及信息技术领域，特别涉及一种数据持有性验证方法、 系统装置及计算机可读存储介质。

背景技术

在云存储应用中，用户需要检测存储在云中的数据是否完整。 PDI(ProvableData Integrity，数据完整性验证)是解决此类问题的 重要手段。数据完整性验证机制依据是否可取回存储的原始数据，被 分为PDP(Provable Data Possession，数据持有性证明)方案和POR (Proof of Retrievability，数据可恢复证明)方案。PDP的关注点着 重于快速判断远程存储节点(也称为数据存储者)上所存储的文件是 否遭到损坏，因此更注重检测的效率和成本；POR不仅可以检测文 件是否被损坏，还能恢复文件被损坏的部分，因此更注重如何让远程 存储节点拥有数据恢复的能力。

发明内容

本公开解决的一个技术问题是，如何简单高效的验证出数据存储 者未完整存储目标文件的不同副本。

根据本公开实施例的一个方面，提供了一种数据持有性验证方法， 包括：数据拥有者及数据存储者为目标文件的不同副本分别生成副本 默克尔树，每个副本默克尔树的叶子节点为所对应副本的各个数据块 散列的有序集合；数据拥有者生成副本聚集默克尔树，副本聚集默克 尔树的叶子节点为各个副本默克尔树的根节点的有序集合；数据拥有者通过随机数据块标识向数据存储者发起挑战；数据存储者根据随机 数据块标识，确定各个副本默克尔树的认证路径，并将认证路径发送 至数据拥有者；数据拥有者利用随机数据块标识在不同副本中对应的 数据块以及副本聚集默克尔树的根节点，对认证路径进行验证，并在 认证路径验证失败的情况下，确定数据存储者未完整存储目标文件的 不同副本。

在一些实施例中，还包括：数据拥有者在认证路径验证成功的情 况下，利用私钥为不同副本中的各个数据块分别生成数据块标签，并 利用各个数据块标签分别生成各个数据块标识对应的数据块聚合标 签；数据拥有者将数据块聚合标签发送至数据存储者；数据存储者根 据随机数据块标识及数据块聚合标签，生成待验证信息，并将待验证 信息发送至数据拥有者；数据拥有者利用公钥对待验证信息进行验证； 数据拥有者在验证失败的情况下，确定数据存储者未完整存储目标文 件的不同副本；在验证成功的情况下，确定数据存储者完整存储目标 文件的不同副本。

在一些实施例中，待验证信息包括：待验证标签信息、待验证数 据分片信息以及待验证数据块信息；根据随机数据块标识及数据块聚 合标签，生成待验证信息包括：根据随机数据块标识对应的数据块聚 合标签，生成待验证标签信息；根据随机数据块标识对应的不同副本 中的各个数据块中包含的各个数据分片，生成待验证数据分片信息； 根据随机数据块标识在不同副本中对应的数据块，生成待验证数据块 信息。

在一些实施例中，还包括：数据拥有者将随机数据块标识对应的 随机数发送至数据存储者；根据随机数据块标识对应的数据块聚合标 签，生成待验证标签信息包括：根据随机数据块标识对应的数据块聚 合标签和随机数，生成待验证标签信息；根据随机数据块标识对应的 不同副本中的各个数据块中包含的各个数据分片，生成待验证数据分 片信息包括：根据随机数据块标识对应的不同副本中的各个数据块中 包含的各个数据分片和随机数，生成待验证数据分片信息。

在一些实施例中，数据拥有者利用公钥对待验证信息进行验证包 括：验证

与

是否相等；其中，

表 示双线性映射G₁×G₂→G_T，G₁和G₂表示GDH群，G_T表示阶为素数p 的乘法循环群；i为副本标识，n为副本总数；j为随机数据块标识， r_j为与随机数据块标识j对应的随机数；Q为随机数据块标识与随机 数构成的集合，H表示BLS签名算法，

为目标文件的第i个副本 的第j个数据块；k为数据分片标识，s为数据分片总数；u_k为与分 片标识k对应的随机数，g为G₂的生成元，y为公钥，

为目标文件的第i个副本的第j个数据块的 第k个数据分片，Z_p表示整数群；x为私钥，x∈Z_p，y＝g^x∈G₂；

在一些实施例中，还包括：将标注了文件标识符的目标文件的不 同副本发送至数据存储者；通过随机数据块标识向数据存储者发起挑 战包括：通过文件标识符和随机数据块标识，向数据存储者发起挑战； 根据随机数据块标识，确定各个副本默克尔树的认证路径包括：根据 文件标识符确定目标文件，根据随机数据块标识确定目标文件的各个 副本默克尔树的认证路径；利用随机数据块标识在不同副本中对应的 数据块以及副本聚集默克尔树的根节点，对认证路径进行验证包括： 根据文件标识符确定不同副本；利用随机数据块标识在不同副本中对 应的数据块、副本聚集默克尔树的根节点以及文件标识符，对认证路 径进行验证。

在一些实施例中，还包括：数据拥有者将文件标识符、数据块操 作类型、目标数据块的数据块标识、目标数据块的更新值、目标数据 块的数据块标识对应的数据块聚集标签的更新值发送至数据存储者； 数据存储者根据文件标识符、数据块操作类型、目标数据块的数据块 标识、目标数据块的更新值，对目标文件的不同副本进行更新；数据 存储者对各个副本默克尔树进行更新；数据存储者根据目标数据块的 数据块标识，确定各个副本默克尔树更新后的认证路径，并将更新后 的认证路径发送至数据拥有者；数据存储者根据目标数据块的数据块 标识对应的数据块聚集标签的更新值，对目标数据块的数据块标识对 应的数据块聚集标签进行更新；数据拥有者根据更新后的认证路径以 及目标数据块的更新值，对副本聚集默克尔树的根节点进行更新。

在一些实施例中，数据块操作类型为数据块修改；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块修改为更新值；对各个副本默克尔树进行更新包括：在各 个副本默克尔树中，用更新值的散列替代目标数据块的散列，作为各 个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块插入；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块之后插入更新值；对各个副本默克尔树进行更新包括：在 各个副本默克尔树中，用目标数据块及更新值的散列替代目标数据块 的散列，并将目标数据块的更新值的散列以及目标数据块的散列作为 各个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块删除；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块删除；对各个副本默克尔树进行更新包括：在各个副本默 克尔树中，删除目标数据块的散列所在的叶子节点，并用目标数据块 的散列的兄弟叶子节点代替父节点，以重新生成各个副本默克尔树。

根据本公开实施例的另一个方面，提供了一种数据持有性验证系 统，包括数据拥有者和数据存储者；其中，数据拥有者及数据存储者 被配置为：为目标文件的不同副本分别生成副本默克尔树，每个副本 默克尔树的叶子节点为所对应副本的各个数据块散列的有序集合；数 据拥有者还被配置为：生成副本聚集默克尔树，副本聚集默克尔树的 叶子节点为各个副本默克尔树的根节点的有序集合；数据拥有者通过 随机数据块标识向数据存储者发起挑战；数据存储者还被配置为：根 据随机数据块标识，确定各个副本默克尔树的认证路径，并将认证路 径发送至数据拥有者；数据拥有者进一步被配置为：利用随机数据块 标识在不同副本中对应的数据块以及副本聚集默克尔树的根节点，对 认证路径进行验证，并在认证路径验证失败的情况下，确定数据存储 者未完整存储目标文件的不同副本。

在一些实施例中，数据拥有者还被配置为：在认证路径验证成 功的情况下，利用私钥为不同副本中的各个数据块分别生成数据块标 签，并利用各个数据块标签分别生成各个数据块标识对应的数据块聚 合标签；将数据块聚合标签发送至数据存储者；数据存储者还被配置 为：根据随机数据块标识及数据块聚合标签，生成待验证信息，并将 待验证信息发送至数据拥有者；数据拥有者还被配置为：利用公钥对 待验证信息进行验证；在验证失败的情况下，确定数据存储者未完整 存储目标文件的不同副本；在验证成功的情况下，确定数据存储者完 整存储目标文件的不同副本。

在一些实施例中，待验证信息包括：待验证标签信息、待验证数 据分片信息以及待验证数据块信息；根据随机数据块标识及数据块聚 合标签，生成待验证信息包括：根据随机数据块标识对应的数据块聚 合标签，生成待验证标签信息；根据随机数据块标识对应的不同副本 中的各个数据块中包含的各个数据分片，生成待验证数据分片信息； 根据随机数据块标识在不同副本中对应的数据块，生成待验证数据块 信息。

在一些实施例中，数据拥有者还被配置为：将随机数据块标识对 应的随机数发送至数据存储者；根据随机数据块标识对应的数据块聚 合标签，生成待验证标签信息包括：根据随机数据块标识对应的数据 块聚合标签和随机数，生成待验证标签信息；根据随机数据块标识对 应的不同副本中的各个数据块中包含的各个数据分片，生成待验证数 据分片信息包括：根据随机数据块标识对应的不同副本中的各个数据 块中包含的各个数据分片和随机数，生成待验证数据分片信息。

在一些实施例中，数据拥有者利用公钥对待验证信息进行验证包 括：

验证

与

是否相等；其中，

表 示双线性映射G₁×G₂→G_T，G₁和G₂表示GDH群，G_T表示阶为素数p 的乘法循环群；i为副本标识，n为副本总数；j为随机数据块标识， r_j为与随机数据块标识j对应的随机数；Q为随机数据块标识与随机 数构成的集合，H表示BLS签名算法，

为目标文件的第i个副本 的第j个数据块；k为数据分片标识，s为数据分片总数；u_k为与分 片标识k对应的随机数，g为G₂的生成元，y为公钥，

为目标文件的第i个副本的第j个数据块 的第k个数据分片，Z_p表示整数群；x为私钥，x∈Z_p，y＝g^x∈G₂；

在一些实施例中，数据拥有者还被配置为：将标注了文件标识符 的目标文件的不同副本发送至数据存储者；通过随机数据块标识向数 据存储者发起挑战包括：通过文件标识符和随机数据块标识，向数据 存储者发起挑战；根据随机数据块标识，确定各个副本默克尔树的认 证路径包括：根据文件标识符确定目标文件，根据随机数据块标识确 定目标文件的各个副本默克尔树的认证路径；利用随机数据块标识在 不同副本中对应的数据块以及副本聚集默克尔树的根节点，对认证路 径进行验证包括：根据文件标识符确定不同副本；利用随机数据块标 识在不同副本中对应的数据块、副本聚集默克尔树的根节点以及文件 标识符，对认证路径进行验证。

在一些实施例中，数据拥有者还被配置为：将文件标识符、数据 块操作类型、目标数据块的数据块标识、目标数据块的更新值、目标 数据块的数据块标识对应的数据块聚集标签的更新值发送至数据存 储者；数据存储者还被配置为：根据文件标识符、数据块操作类型、 目标数据块的数据块标识、目标数据块的更新值，对目标文件的不同 副本进行更新；对各个副本默克尔树进行更新；根据目标数据块的数 据块标识，确定各个副本默克尔树更新后的认证路径，并将更新后的 认证路径发送至数据拥有者；数据存储者还被配置为：根据目标数据 块的数据块标识对应的数据块聚集标签的更新值，对目标数据块的数据块标识对应的数据块聚集标签进行更新；根据更新后的认证路径以 及目标数据块的更新值，对副本聚集默克尔树的根节点进行更新。

在一些实施例中，数据块操作类型为数据块修改；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块修改为更新值；对各个副本默克尔树进行更新包括：在各 个副本默克尔树中，用更新值的散列替代目标数据块的散列，作为各 个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块插入；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块之后插入更新值；对各个副本默克尔树进行更新包括：在 各个副本默克尔树中，用目标数据块及更新值的散列替代目标数据块 的散列，并将目标数据块的更新值的散列以及目标数据块的散列作为 各个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块删除；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块删除；对各个副本默克尔树进行更新包括：在各个副本默 克尔树中，删除目标数据块的散列所在的叶子节点，并用目标数据块 的散列的兄弟叶子节点代替父节点，以重新生成各个副本默克尔树。

根据本公开实施例的又一个方面，提供了一种数据持有性验证装 置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基 于存储在存储器中的指令，执行前述的数据持有性验证方法。

根据本公开实施例的再一个方面，提供了一种计算机可读存储介 质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执 行时实现前述的数据持有性验证方法。

本公开能够更加高效的验证出数据存储者未完整存储目标文件的 不同副本。

通过以下参照附图对本公开的示例性实施例的详细描述，本公开的 其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而 易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域 普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这 些附图获得其他的附图。

图1示出了本公开数据持有性验证方法的应用场景的示意图。

图2示出了本公开一些实施例的数据持有性验证方法的流程示意 图。

图3示出了副本聚集默克尔树的结构示意图。

图4示出了本公开另一些实施例的数据持有性验证方法的流程示 意图。

图5示出了本公开又一些实施例的数据持有性验证方法的流程示 意图。

图6示出了对存储在数据存储者中的目标文件的不同副本进行动 态操作的流程示意图。

图7示出了进行数据块修改时副本默克尔树的示意图。

图8示出了进行数据块插入时副本默克尔树的示意图。

图9示出了进行数据块删除时副本默克尔树的示意图。

图10示出了本公开一些实施例的数据持有性验证系统的结构示 意图。

图11示出了本公开一些实施例的数据持有性验证装置的结构示 意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方 案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部 分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描 述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何 限制。基于本公开中的实施例，本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其它实施例，都属于本公开保护的范围。

首先结合图1描述本公开数据持有性验证方法的应用场景。

图1示出了本公开数据持有性验证方法的应用场景的示意图。如 图1所示，应用场景主要三个主要角色构成：数据所有者、远程存储 节点、验证节点。下面对这三个主要角色的功能进行解释。

数据所有者：希望将敏感数据由本地存储转移到外部存储的组织 或个人，需要保证文件及其副本能完整地存储在远程存储节点，为远 程存储节点和验证节点提供报酬。

远程存储节点：拥有一定基础设施，并愿意提供付费存储空间的 节点，如云服务提供商等，需要向用户承诺可以完整地存储数据及其 副本，并响应数据所有者或验证节点的挑战，根据存储情况获取收益；

验证节点：定期向远程存储节点发出数据持有性验证挑战，并对 其响应进行验证，当验证失败时向全网进行广播，验证结果可以写入 区块链中，具有不可抵赖、行为可追溯的特性。

本领域技术人员应理解，数据所有者本身也可以具有验证节点的 功能。为了简化描述并便于读者理解，本公开将数据所有者和验证节 点都称为数据拥有者，并将远程存储节点称为数据存储者。

下面结合图2描述本公开数据持有性验证方法的一些实施例。

图2示出了本公开一些实施例的数据持有性验证方法的流程示意图。 如图2所示，本实施例包括步骤S201～步骤S205。

在步骤S201中，数据拥有者及数据存储者为目标文件的不同副本 分别生成副本默克尔树。

假设F是数据拥有者需要存储的目标文件，以一系列分块的形式进 行存储，具体表示为F＝{b₁,b₂,…,b_m}，其中m为分块总数。每一个副本

都是由m个分块

组成的有序集合，每一个分块还可继续被分割为s个分片，即

数据所有者为每一个不同 的文件副本

生成一棵副本默克尔Merkel树，i为副本标识。每个文 件副本

的副本默克尔树MHT的叶子节点都是该副本的各个数据块 b_ij的散列

的有序集合，h表示哈希函数(例如SHA-2)，j为数据 块标识。文件副本

的副本默克尔树的树根表示为h_Ri。需要注意的是， 所有副本默克尔树的都是按照预设顺序构造的，在本实施例中可以使用 有左到右的顺序依次排列文件副本中的各个数据块作为叶子节点。

在步骤S202中，数据拥有者生成副本聚集默克尔树，副本聚集默 克尔树的叶子节点为各个副本默克尔树的根节点的有序集合。

按照Merkel树的生成原理，让每个副本默克尔树的根节点作为副本 聚集默克尔树的叶子节点，再将各个副本默克尔树的根节点逐层汇聚成 一个副本聚集默克尔树的根节点h_DR，得到副本聚集默克尔树。图3示出 了副本聚集默克尔树的结构示意图。这样就可以用分层的方式验证所有 副本的完整性。

在步骤S203中，数据拥有者通过随机数据块标识向数据存储者发 起挑战。

例如，数据拥有者可以直接向数据存储者发送要挑战的随机数据 块标识，也可以向数据存储者发送伪随机数生成密钥，由数据拥有者 和数据存储者使用随机数生成密钥生成随机值作为随机数据块标识。

在步骤S204中，数据存储者根据随机数据块标识，确定各个副本 默克尔树的认证路径，并将认证路径发送至数据拥有者。

假设随机数据块标识为j，标明需要对各个副本中的第j个数据块 进行验证，那么从各个副本默克尔树的第j个叶子节点出发分别到达 各个副本默克尔树的根节点所途径的所有节点的兄弟节点，被本领域 技术人员简称为认证路径。

在步骤S205中，数据拥有者利用随机数据块标识在不同副本中对 应的数据块以及副本聚集默克尔树的根节点，对认证路径进行验证。

本领域技术人员应理解，数据拥有者可以利用随机数据块标识在 不同副本中对应的数据块取散列，然后根据副本默克尔树的生成规则， 对认证路径上的节点及该随机数据块标识对应的数据块散列进行计算， 并验证计算结果是否与副本聚集默克尔树的根节点相同。如果不同， 则认证路径验证失败；如果相同，则认证路径验证成功。在认证路径 验证失败的情况下，数据拥有者能够确定数据存储者未完整存储目标 文件的不同副本。在认证路径验证成功的情况下，数据拥有者可以对 数据存储者是否完整存储目标文件的不同副本进行进一步验证。

本实施例能够更加高效的验证出数据存储者未完整存储目标文件 的不同副本，防止数据存储者为节省存储空间而不存储目标文件的副 本的作弊行为，满足用户多副本存储的需求。同时，本实施例支持公 开验证，且没有验证次数限制，数据拥有者即使不从数据存储者获取 所存储的目标文件或目标文件的副本，也可以验证出数据存储者未完 整存储目标文件的不同副本。

下面结合图4描述如何对数据存储者是否完整存储目标文件的不 同副本进行进一步验证。

图4示出了本公开另一些实施例的数据持有性验证方法的流程示意 图。如图4所示，在图2对应的实施例基础上，本实施例还包括步骤S407～ 步骤S410。

在步骤S407中，数据拥有者在认证路径验证成功的情况下，利 用私钥为不同副本中的各个数据块分别生成数据块标签，并利用各个 数据块标签分别生成各个数据块标识对应的数据块聚合标签。

首先介绍双线性映射的概念。假设G为GDH群，G_T为阶为素数p 的乘法循环群，定义映射e:G×G→G_T为双线性映射，令g为群G的一个 生成元，则双线性映射有以下特性：

(1)双线性性：

Q,R∈G，有

(2)可计算性：

都存在一个有效率的算法能有效计算

(3)非退化性：

使得

(4)聚集性：

使得

使用

表示一个双线性映射，G₁和G₂表示GDH群，G_T表示阶为素数p的乘法循环群,g为G₂的生成元，y为私钥，x为公钥， x∈Z_p，Z_p表示整数群，y＝g^x∈G₂。数据所有者对文件副本

中的每一 个数据块

计算标签

其中1≤i≤n,1≤j≤m,1≤k≤s，n 为副本总数，s为数据分片总数，H表示BLS签名算法，u_k为副本生 成方法中生成随机数。接下来，数据所有者将各个不同副本中块号为j的 数据块的标签进行乘法聚合，生成一组聚合标签

并将聚 合标签的集合表示为Φ＝{σ_j}_1≤j≤m。

在步骤S408中，数据拥有者将数据块聚合标签发送至数据存储 者。

在步骤S409中，数据存储者根据随机数据块标识及数据块聚合 标签，生成待验证信息，并将待验证信息发送至数据拥有者。

其中，待验证信息包括：待验证标签信息、待验证数据分片信息 以及待验证数据块信息。生成待验证信息的过程中，可以根据随机数 据块标识对应的数据块聚合标签，生成待验证标签信息；根据随机数 据块标识对应的不同副本中的各个数据块中包含的各个数据分片，生 成待验证数据分片信息；根据随机数据块标识在不同副本中对应的数 据块，生成待验证数据块信息。

在一些实施例中，在步骤S408中，数据拥有者还将随机数据块 标识对应的随机数发送至数据存储者。在步骤S409中，数据存储者 根据随机数据块标识对应的数据块聚合标签和随机数，生成待验证标 签信息；根据随机数据块标识对应的不同副本中的各个数据块中包含 的各个数据分片和随机数，生成待验证数据分片信息。

例如，数据拥有者在每个挑战中发送要挑战的数据块数量c以及两 个新生成的秘钥：伪随机置换函数PRP对应的置换秘钥k₁以及伪随机 函数PRF对应的伪随机数生成秘钥k₂。验证节点和远程存储节点都需 要使用k₁和k₂来生成一对随机指数和随机值，并组合成一个集合 Q＝{(j,r_j)}，其中

用于随机挑选需要挑战的数据块，π_key(·)表示PRP函数；ψ_key(·)表示PRF函数，用于响应及验证的计算过程，

在接收到挑战数量，并生成随机数集合Q＝{(j,r_j)}后，为 了证明实际存储了n个副本并且具备数据完整性，远程存储节点给出的 证明形式为

其中，

μ＝{μ_ik}_{1≤i≤n,1≤k≤s}，A_ij1≤i≤n是

的认证路径。

在步骤S410中，数据拥有者利用公钥对待验证信息进行验证。

验证

与

是否相等，即

其中，

表示双线性映射G₁×G₂→G_T， r_j为与随机数据块标识j对应的随机数；Q为随机数据块标识与随机 数构成的集合，

为目标文件的第i个副本的第j个数据块；k为数 据分片标识；u_k为与分片标识k对应的随机数，

为目标文件的第i个副本的第j个数据块的第k个数据分片；

数据拥有者在验证失败的情况下，确定数据存储者未完整存储目 标文件的不同副本；在验证成功的情况下，确定数据存储者完整存储 目标文件的不同副本。

通过上述公式可以发现，如果由远程存储节点在响应阶段进行 μ_ik的求和工作，即提前计算出

并发送

则可将通 信开销减少n倍。然而，这样修改可以使远程存储节点欺骗验证节点， 证明公式如下：

通过公式我们可以得 知，恶意的远程存储节点可以提前计算出

并将其存储在本地。这样的话，远程存储节点即使没有完整地存储用户数据，其提前计算 出的值仍然有效，并可通过数据完整性验证。因此，我们要求远程存 储节点必须发送μ＝{μ_ik}_{1≤i≤n,1≤k≤s}，而求和运算由验证节点进行。

本实施例中，首先采用步骤S101～步骤S105进行初步的数据持 有性验证，在初步验证失败的情况下高效验证出数据存储者未完整存 储目标文件的不同副本。在初步验证成功的情况下，采用步骤S407～ 步骤S410基于Merkle树及双线性映射计算完成进一步的数据持有 性验证，确定数据存储者是否完整存储了目标文件的不同副本，使得 数据持有性验证过程更加准确和高效。

发明人研究发现，PDP方案包括基于RSA(Ron Rivest、Adi Shamir、LeonardAdleman)标签的PDP模型、基于散列的动态PDP 模型、基于验证数据结构的动态PDP模型、基于RSA的动态PDP模 型等等。在现有的数据持有性证明方法中，基于RSA标签的PDP模 型存在安全风险，同时没有考虑到动态数据的存储情况，如果将这些 方案从静态数据存储直接扩展到动态数据存储，会带来很多设计和安 全问题。基于散列的动态PDP模型只关注于单一副本的动态数据，只 允许一定数量的挑战，同时不支持完全的动态操作(无法插入数据)。 基于RSA的动态PDP模型引入第三方进行数据完整性验证，没有考 虑第三方与云服务提供商合谋的风险，存在安全隐患，同时只考虑了 单一副本的动态数据的情况。由此可见，大部分数据持有性验证方案 都关注于单一副本的动态数据持有性，少部分关注多副本的方案不支 持数据的动态操作，而缺少验证远程存储节点上的多副本且动态数据 的数据持有性的方法。有鉴于此，本公开进一步提供了数据持有性验 证方法的又一些实施例，支持数据的动态操作.

图5示出了本公开又一些实施例的数据持有性验证方法的流程示意 图。如图5所示，本实施例包括步骤S500～步骤S510。

在步骤S500中，数据拥有者将标注了文件标识符的目标文件的不 同副本发送至数据存储者。

数据拥有者计算元数据M＝h(ID_F//h_DR)，其中，符号//表示对变量进 行级联拼接，ID_F是每个文件的唯一的文件标识符，包括文件名、副本数 量n以及随机数u_k，表示为ID_F＝文件名//u₁//u₂//……//u_s//n。数据拥有者还 可以将元数据M存储在区块链网络中，以供验证时使用。在进行验证时， 数据拥有者可以使用元数据M进行验证，h_DR是副本聚集默克尔树的根 节点，可快速验证所有副本的完整性。其中，将ID_F嵌入元数据M后，可 以防止存储节点使用其他文件的数据块蒙混过关。除非用户希望删除某 些副本，副本聚集树的结构一般不会发生变化，仅会由于部分数据修改 而重新计算根节点的值。

在步骤S501中，数据拥有者及数据存储者为目标文件的不同副本 分别生成副本默克尔树，具体过程可以参照步骤S201。

在步骤S502中，数据拥有者生成副本聚集默克尔树，具体过程可 以参照步骤S202。

在步骤S503中，数据拥有者对存储在数据存储者中的目标文件的 不同副本进行动态操作。

其中，动态操作包括数据块修改、数据块插入、数据块删除等等。 具体的动态操作过程在后续实施例中具体距离描述。

在步骤S504中，数据拥有者通过文件标识符和随机数据块标识， 向数据存储者发起挑战。

在步骤S505中，数据存储者根据文件标识符确定目标文件，根据 随机数据块标识确定目标文件的各个副本默克尔树的认证路径，并将 认证路径发送至数据拥有者。

在步骤S506中，数据拥有者根据文件标识符确定不同副本；利用 随机数据块标识在不同副本中对应的数据块、副本聚集默克尔树的根 节点以及文件标识符，对认证路径进行验证。

例如，数据拥有者根据

以及<A_ij>_1≤i≤n构造h_DR'和V＝h(ID_F//h_DR')， 并验证

在认证路径验证失败的情况下，数据拥有者能够确定数据存储者 未完整存储目标文件的不同副本。在认证路径验证成功的情况下，执 行步骤S507。

在步骤S507中，数据拥有者在认证路径验证成功的情况下，利 用私钥为不同副本中的各个数据块分别生成数据块标签，并利用各个 数据块标签分别生成各个数据块标识对应的数据块聚合标签，具体过 程可以参照步骤S407。

在步骤S508中，数据拥有者将数据块聚合标签发送至数据存储 者，具体过程可以参照步骤S408。

在步骤S509中，数据存储者根据随机数据块标识及数据块聚合 标签，生成待验证信息，并将待验证信息发送至数据拥有者，具体过 程可以参照步骤S409。

在步骤S510中，数据拥有者利用公钥对待验证信息进行验证， 具体过程可以参照步骤S410。

在验证失败的情况下，确定数据存储者未完整存储目标文件的不 同副本；在验证成功的情况下，确定数据存储者完整存储目标文件的 不同副本。

本实施例既支持用户多副本存储的需求，避免出现为节省存储空 间而不存储副本的欺骗行为，又支持数据的动态操作行为，包括修改、 插入、删除和追加操作。

同时，数据拥有者还可以采用文件标识符对目标文件进行标识， 并将文件标识符应用在挑战及验证过程中，以提高数据持有性验证方 法的准确性。

下面结合图6描述如何对存储在数据存储者中的目标文件的不同 副本进行动态操作。

图6示出了对存储在数据存储者中的目标文件的不同副本进行动 态操作的流程示意图。如图6所示，本实施例包括步骤S601～步骤S606。

在步骤S6031中，数据拥有者将文件标识符、数据块操作类型、 目标数据块的数据块标识、目标数据块的更新值、目标数据块的数据 块标识对应的数据块聚集标签的更新值发送至数据存储者。

在步骤S6032中，数据存储者根据文件标识符、数据块操作类型、 目标数据块的数据块标识、目标数据块的更新值，对目标文件的不同 副本进行更新。

在步骤S6033中，数据存储者对各个副本默克尔树进行更新。

在步骤S6034中，数据存储者根据目标数据块的数据块标识，确 定各个副本默克尔树更新后的认证路径，并将更新后的认证路径发送 至数据拥有者。

在步骤S6035中，数据存储者根据目标数据块的数据块标识对应 的数据块聚集标签的更新值，对目标数据块的数据块标识对应的数据 块聚集标签进行更新。

在步骤S6036中，数据拥有者根据更新后的认证路径以及目标数 据块的更新值，对副本聚集默克尔树的根节点进行更新。

下面举一个具体的应用例进行详细介绍。

假设副本的动态操作是以形如

的请求在数 据块的级别上执行。其中ID_F是文件标识符，BlockOp是数据块操作类 型，包括修改、删除或插入，j为目标数据块的数据块标识，

为 所有副本中目标数据块的更新值，

为目标数据块的数据块标识对应 的数据块聚集标签的更新值。

(一)数据块操作类型为数据块修改。

数据修改是最常见的数据动态操作之一。对于一个文件 F＝{b₁,b₂,…,b_m}，假设数据所有者希望将所有副本中的数据块b_j修改为b'_j。

(1)数据拥有者生成n个不同的块副本

每个块副本划分 为s个分片：

块副本的生成方式如下，其中E_k是具有强扩 散特性的加密函数，如AES等等。

(2)数据拥有者为每一个新生成的数据块

计算新标签

并生成数据块聚集标签的更新值

(3)数据拥有者发送修改请求

到数据存储 者。

(4)数据存储者收到请求后，将所有副本中的数据块

修改 为

并更新副本文件集合。

(5)数据存储者将每个副本默克尔树的叶子节点

修改为

(6)数据存储者在所有副本中，计算第j块修改后的认证路径 <A_ij>_1≤i≤n，其中A_ij表示在第i号副本默克尔树上，从叶子节点

到根节 点所需要的所有兄弟节点。

(7)数据存储者将标签σ_j修改为σ'_j，并生成标签集合 Φ'＝{σ₁,…,σ'_j,…,σ_m}。

(8)数据存储者发送认证路径<A_ij>_1≤i≤n给数据所有者。

(9)数据拥有者收到认证路径后，生成新的副本聚集树根h'_DR，并 更新元数据为M'＝h(ID_F//h_DR')。

图7示出了进行数据块修改时副本默克尔树的示意图。数据存储者 将目标文件的不同副本中的目标数据块修改为更新值；在各个副本默 克尔树中，用更新值的散列替代目标数据块的散列，作为各个副本默 克尔树的叶子节点，以重新生成各个副本默克尔树。如图7所示，假 设当前要修改所有副本中的第1个数据块，斜线树节点表示被修改的节 点，被修改的叶子节点包括{h₁₁,h₂₁,…,h_n1}，并全部被修改为

灰 色节点表示被修改数据块的认证路径，如b₁'₁的认证路径包括{h₁₂,h_1B}。在 数据拥有者端，使用认证路径<{h₁₂,h_1B},…,{h_n2,h_nB}>和被修改数据块

可以构造新的目录树根h'_DR，并生成元数据M'＝h(ID_F//h_DR')。

(二)数据块操作类型为数据块插入

数据拥有者希望在文件F＝{b₁,b₂,…,b_m}中的位置j后插入新数据块

最终构成

新数据块的插入改变了文件副本整体的结 构，但由于将块索引放入标签中，因此无需重新计算插入块后产生移位 的块标签，避免了额外的计算开销。此外，可以使用副本聚集默克尔树 验证插入新数据块之后的数据完整性。

(1)数据拥有者生成n份可独立区分的待插入块的副本

其 中

并分割为s个分片

(2)数据拥有者为每一个数据块

计算标签

并将标签聚合为

(3)数据拥有者发送插入请求

到数据存储 者，数据存储者接收插入请求。

(4)数据存储者将数据块

插入所有副本

的第j块之后，在 所有副本默克尔树中的叶子节点

之后添加新节点

新版本的文 件副本及副本默克尔树构建完成。

(5)数据存储者在所有副本中，计算新插入块

的认证路径 〈A_ij>_1≤i≤n，其中A_ij表示在第i号副本默克尔树上，从叶子节点

到根节 点所需要的所有兄弟节点。

(6)数据存储者计算在位置j后新插入的数据块的新标签

并将 原有标签及新标签构建为集合

(7)数据存储者发送<A_ij>_1≤i≤n给数据拥有者。

(8)数据拥有者收到认证路径后，生成新的副本聚集树根h'_DR，并 更新元数据为M'＝h(ID_F//h_DR')。

图8示出了进行数据块插入时副本默克尔树的示意图。数据存储者 将目标文件的不同副本中的目标数据块之后插入更新值；在各个副本 默克尔树中，用目标数据块及更新值的散列替代目标数据块的散列， 并将目标数据块的更新值的散列以及目标数据块的散列作为各个副 本默克尔树的叶子节点，以重新生成各个副本默克尔树。假设我们当 前要在所有副本的第3个数据块后进行插入操作，在数据存储者端，十 字线树节点表示被插入的新叶子节点，其中

斜线树节点表示 由于新块插入而更新的节点，新生成的节点

用于重新构造副本默 克尔树。灰色节点表示新插入块的认证路径，如

的认证路径包括 {h₁₃,h₁₄,h_1A}。在数据拥有者端，使用认证路径＜{h_1A,h₁₃,h₁₄},…,{h_nA,h_n3,h_n4}＞和被 插入的块

构造新的副本聚集树根h'_DR，并生成元数据 M'＝h(ID_F//h_DR')。

如果用户进行大量的插入行为，有可能导致树的不平衡，增加计算 的时间复杂度。针对这种情况，可以采取节点旋转的方式进行调整，具 体的旋转策略可参考自平衡二叉查找树的实现方法，有效减少单侧子树 过长带来的计算资源浪费。下述情况中的删除数据块也适用该策略进行 优化。本领域技术人员应理解，由于块追加操作是指在存储数据的末尾 添加一个新的块，可以通过在最后一个块之后进行插入数据块操作简单 实现。

(三)数据块操作类型为数据块删除

数据块删除操作与插入操作相反。当删除一个数据块时，所有后续 数据块向前移动一位。为实现删除第j个数据块的操作，数据拥有者发 送<ID_F,BlockOp,j,null,null>请求到数据存储者。

(1)数据存储者在所有副本中，计算第j个数据块块的认证路径 <A_ij>_1≤i≤n，其中A_ij表示在第i号副本默克尔树上，从叶子节点

到根节 点所需要的兄弟节点。

(2)数据存储者删除所有副本中的第j个数据块

删除叶子 节点

并输出新的文件副本和副本默克尔树。

(3)数据存储者从标签集中删除σ_j，并输出Φ'＝{σ₁,…,σ_j-1,σ_j+1,…,σ_m-1}。

(4)数据存储者发送<A_ij>_1≤i≤n给数据拥有者。

图9示出了进行数据块删除时副本默克尔树的示意图。数据存储者 将目标文件的不同副本中的目标数据块删除；在各个副本默克尔树中， 删除目标数据块的散列所在的叶子节点，并用目标数据块的散列的兄 弟叶子节点代替父节点，以重新生成各个副本默克尔树。假设我们当 前要在所有副本中删除第4个数据块，在数据存储者端，被叉划去的叶 子节点表示要删除的节点，曲线箭头表示用节点{h_i3}_1≤i≤n替换{h_iB}_1≤i≤n，斜 线节点表示由于删除而更新的节点，灰色节点表示删除数据块后的认证 路径，如

被删除后，认证路径包括{h₁₃,h_1A}。在数据拥有者端，使用认 证路径<{h₁₃,h_1A},L,{h_n3,h_nA}>构造新的副本聚集树根h'_DR，并生成元数据 M'＝h(ID_F//h_DR')。

下面结合图10描述本公开数据持有性验证系统的一些实施例。

图10示出了本公开一些实施例的数据持有性验证系统的结构示 意图。如图10所示，本实施例中的数据持有性验证系统100包括数 据拥有者1001和数据存储者1002。其中，数据拥有者1001及数据 存储者1002被配置为：为目标文件的不同副本分别生成副本默克尔 树，每个副本默克尔树的叶子节点为所对应副本的各个数据块散列的 有序集合；数据拥有者1001还被配置为：生成副本聚集默克尔树， 副本聚集默克尔树的叶子节点为各个副本默克尔树的根节点的有序 集合；数据拥有者通过随机数据块标识向数据存储者发起挑战；数据 存储者1002还被配置为：根据随机数据块标识，确定各个所述副本 默克尔树的认证路径，并将所述认证路径发送至数据拥有者；数据拥 有者1001进一步被配置为：利用随机数据块标识在所述不同副本中 对应的数据块以及副本聚集默克尔树的根节点，对所述认证路径进行 验证，并在认证路径验证失败的情况下，确定数据存储者未完整存储 目标文件的不同副本。

在一些实施例中，数据拥有者1001还被配置为：在认证路径验 证成功的情况下，利用私钥为不同副本中的各个数据块分别生成数据 块标签，并利用各个数据块标签分别生成各个数据块标识对应的数据 块聚合标签；将数据块聚合标签发送至数据存储者1002；数据存储 者1002还被配置为：根据随机数据块标识及数据块聚合标签，生成 待验证信息，并将待验证信息发送至数据拥有者1001；数据拥有者 1001还被配置为：利用公钥对待验证信息进行验证；在验证失败的 情况下，确定数据存储者1002未完整存储目标文件的不同副本；在 验证成功的情况下，确定数据存储者1002完整存储目标文件的不同 副本。

在一些实施例中，待验证信息包括：待验证标签信息、待验证数 据分片信息以及待验证数据块信息；根据随机数据块标识及数据块聚 合标签，生成待验证信息包括：根据随机数据块标识对应的数据块聚 合标签，生成待验证标签信息；根据随机数据块标识对应的不同副本 中的各个数据块中包含的各个数据分片，生成待验证数据分片信息； 根据随机数据块标识在不同副本中对应的数据块，生成待验证数据块 信息。

在一些实施例中，数据拥有者1001还被配置为：将随机数据块标 识对应的随机数发送至数据存储者1002；根据随机数据块标识对应的 数据块聚合标签，生成待验证标签信息包括：根据随机数据块标识对 应的数据块聚合标签和随机数，生成待验证标签信息；根据随机数据 块标识对应的不同副本中的各个数据块中包含的各个数据分片，生成 待验证数据分片信息包括：根据随机数据块标识对应的不同副本中的 各个数据块中包含的各个数据分片和随机数，生成待验证数据分片信 息。

在一些实施例中，数据拥有者1001利用公钥对待验证信息进行 验证包括：

验证

与

是否相等；其中，

表 示双线性映射G₁×G₂→G_T，G₁和G₂表示GDH群，G_T表示阶为素数p 的乘法循环群；i为副本标识，n为副本总数；j为随机数据块标识， r_j为与随机数据块标识j对应的随机数；Q为随机数据块标识与随机 数构成的集合，H表示BLS签名算法，

为目标文件的第i个副本 的第j个数据块；k为数据分片标识，s为数据分片总数；u_k为与分 片标识k对应的随机数，g为G₂的生成元，y为公钥，

为目标文件的第i个副本的第j个数据块 的第k个数据分片，Z_p表示整数群；x为私钥，x∈Z_p，y＝g^x∈G₂；

在一些实施例中，数据拥有者1001还被配置为：将标注了文件 标识符的目标文件的不同副本发送至数据存储者1002；通过随机数 据块标识向数据存储者1002发起挑战包括：通过文件标识符和随机 数据块标识，向数据存储者1002发起挑战；根据随机数据块标识， 确定各个副本默克尔树的认证路径包括：根据文件标识符确定目标文 件，根据随机数据块标识确定目标文件的各个副本默克尔树的认证路 径；利用随机数据块标识在不同副本中对应的数据块以及副本聚集默 克尔树的根节点，对认证路径进行验证包括：根据文件标识符确定不 同副本；利用随机数据块标识在不同副本中对应的数据块、副本聚集 默克尔树的根节点以及文件标识符，对认证路径进行验证。

在一些实施例中，数据拥有者1001还被配置为：将文件标识符、 数据块操作类型、目标数据块的数据块标识、目标数据块的更新值、 目标数据块的数据块标识对应的数据块聚集标签的更新值发送至数 据存储者1002；数据存储者1002还被配置为：根据文件标识符、数 据块操作类型、目标数据块的数据块标识、目标数据块的更新值，对 目标文件的不同副本进行更新；对各个副本默克尔树进行更新；根据 目标数据块的数据块标识，确定各个副本默克尔树更新后的认证路径， 并将更新后的认证路径发送至数据拥有者1001；数据存储者1002还 被配置为：根据目标数据块的数据块标识对应的数据块聚集标签的更 新值，对目标数据块的数据块标识对应的数据块聚集标签进行更新； 根据更新后的认证路径以及目标数据块的更新值，对副本聚集默克尔 树的根节点进行更新。

在一些实施例中，数据块操作类型为数据块修改；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块修改为更新值；对各个副本默克尔树进行更新包括：在各 个副本默克尔树中，用更新值的散列替代目标数据块的散列，作为各 个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块插入；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块之后插入更新值；对各个副本默克尔树进行更新包括：在 各个副本默克尔树中，用目标数据块及更新值的散列替代目标数据块 的散列，并将目标数据块的更新值的散列以及目标数据块的散列作为 各个副本默克尔树的叶子节点，以重新生成各个副本默克尔树。

在一些实施例中，数据块操作类型为数据块删除；对目标文件的 不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的 目标数据块删除；对各个副本默克尔树进行更新包括：在各个副本默 克尔树中，删除目标数据块的散列所在的叶子节点，并用目标数据块 的散列的兄弟叶子节点代替父节点，以重新生成各个副本默克尔树。

下面结合图11描述本公开数据持有性验证装置的一些实施例。

图11示出了本公开一些实施例的数据持有性验证装置的结构示 意图。如图11所示，该实施例的数据持有性验证装置110包括：存储 器1110以及耦接至该存储器1110的处理器1120，处理器1120被配 置为基于存储在存储器1110中的指令，执行前述任意一些实施例中的 数据持有性验证方法。

其中，存储器1110例如可以包括系统存储器、固定非易失性存储 介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序 (Boot Loader)以及其他程序等。

数据持有性验证装置110还可以包括输入输出接口1130、网络接 口1140、存储接口1150等。这些接口1130、1140、1150以及存储器 1110和处理器1120之间例如可以通过总线1160连接。其中，输入输 出接口1130为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接 接口。网络接口1140为各种联网设备提供连接接口。存储接口1150 为SD卡、U盘等外置存储设备提供连接接口。

本公开还包括一种计算机可读存储介质，其上存储有计算机指令， 该指令被处理器执行时实现前述任意一些实施例中的数据持有性验证 方法。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算 机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序 指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图 和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指 令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理 设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处 理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流 程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处 理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可 读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程 图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备 上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算 机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于 实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中 指定的功能的步骤。

以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本 公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包 含在本公开的保护范围之内。

Claims (13)

1.一种数据持有性验证方法，包括：

数据拥有者及数据存储者为目标文件的不同副本分别生成副本默克尔树，每个副本默克尔树的叶子节点为所对应副本的各个数据块散列的有序集合；

数据拥有者生成副本聚集默克尔树，副本聚集默克尔树的叶子节点为各个副本默克尔树的根节点的有序集合；

数据拥有者通过随机数据块标识向数据存储者发起挑战；

数据存储者根据随机数据块标识，确定各个所述副本默克尔树的认证路径，并将所述认证路径发送至数据拥有者；

数据拥有者利用随机数据块标识在所述不同副本中对应的数据块以及副本聚集默克尔树的根节点，对所述认证路径进行验证，并在认证路径验证失败的情况下，确定数据存储者未完整存储目标文件的不同副本。

2.根据权利要求1所述的数据持有性验证方法，还包括：

数据拥有者在认证路径验证成功的情况下，利用私钥为所述不同副本中的各个数据块分别生成数据块标签，并利用各个数据块标签分别生成各个数据块标识对应的数据块聚合标签；

数据拥有者将所述数据块聚合标签发送至数据存储者；

数据存储者根据随机数据块标识及所述数据块聚合标签，生成待验证信息，并将所述待验证信息发送至数据拥有者；

数据拥有者利用公钥对所述待验证信息进行验证；

数据拥有者在验证失败的情况下，确定数据存储者未完整存储目标文件的不同副本；在验证成功的情况下，确定数据存储者完整存储目标文件的不同副本。

3.根据权利要求2所述的数据持有性验证方法，其中，

所述待验证信息包括：待验证标签信息、待验证数据分片信息以及待验证数据块信息；

所述根据随机数据块标识及所述数据块聚合标签，生成待验证信息包括：根据随机数据块标识对应的数据块聚合标签，生成待验证标签信息；根据随机数据块标识对应的所述不同副本中的各个数据块中包含的各个数据分片，生成待验证数据分片信息；根据随机数据块标识在所述不同副本中对应的数据块，生成待验证数据块信息。

4.根据权利要求3所述的数据持有性验证方法，还包括：数据拥有者将随机数据块标识对应的随机数发送至数据存储者；

所述根据随机数据块标识对应的数据块聚合标签，生成待验证标签信息包括：根据随机数据块标识对应的数据块聚合标签和所述随机数，生成待验证标签信息；

所述根据随机数据块标识对应的所述不同副本中的各个数据块中包含的各个数据分片，生成待验证数据分片信息包括：根据随机数据块标识对应的所述不同副本中的各个数据块中包含的各个数据分片和所述随机数，生成待验证数据分片信息。

5.根据权利要求4所述的数据持有性验证方法，其中，所述数据拥有者利用公钥对所述待验证信息进行验证包括：

验证

与

是否相等；其中，

表示双线性映射G₁×G₂→G_T，G₁和G₂表示GDH群，G_T表示阶为素数p的乘法循环群；i为副本标识，n为副本总数；j为随机数据块标识，r_j为与随机数据块标识j对应的随机数；Q为随机数据块标识与所述随机数构成的集合，H表示BLS签名算法，

为目标文件的第i个副本的第j个数据块；k为数据分片标识，s为数据分片总数；u_k为与分片标识k对应的随机数，g为G₂的生成元，y为公钥，

为目标文件的第i个副本的第j个数据块的第k个数据分片，Z_p表示整数群；x为私钥，x∈Z_p，y＝g^x∈G₂；

6.根据权利要求2所述的数据持有性验证方法，还包括：数据拥有者将标注了文件标识符的目标文件的不同副本发送至数据存储者；

所述通过随机数据块标识向数据存储者发起挑战包括：通过文件标识符和随机数据块标识，向数据存储者发起挑战；

所述根据随机数据块标识，确定各个所述副本默克尔树的认证路径包括：根据文件标识符确定目标文件，根据随机数据块标识确定目标文件的各个所述副本默克尔树的认证路径；

所述利用随机数据块标识在所述不同副本中对应的数据块以及副本聚集默克尔树的根节点，对所述认证路径进行验证包括：根据文件标识符确定所述不同副本；利用随机数据块标识在所述不同副本中对应的数据块、副本聚集默克尔树的根节点以及所述文件标识符，对所述认证路径进行验证。

7.根据权利要求6所述的数据持有性验证方法，还包括：

数据拥有者将文件标识符、数据块操作类型、目标数据块的数据块标识、目标数据块的更新值、目标数据块的数据块标识对应的数据块聚集标签的更新值发送至数据存储者；

数据存储者根据文件标识符、数据块操作类型、目标数据块的数据块标识、目标数据块的更新值，对目标文件的不同副本进行更新；

数据存储者对各个所述副本默克尔树进行更新；

数据存储者根据目标数据块的数据块标识，确定各个所述副本默克尔树更新后的认证路径，并将更新后的认证路径发送至数据拥有者；

数据存储者根据目标数据块的数据块标识对应的数据块聚集标签的更新值，对目标数据块的数据块标识对应的数据块聚集标签进行更新；

数据拥有者根据更新后的认证路径以及目标数据块的更新值，对副本聚集默克尔树的根节点进行更新。

8.根据权利要求7所述的数据持有性验证方法，其中，所述数据块操作类型为数据块修改；

所述对目标文件的不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的目标数据块修改为所述更新值；

所述对各个所述副本默克尔树进行更新包括：在各个所述副本默克尔树中，用所述更新值的散列替代目标数据块的散列，作为各个所述副本默克尔树的叶子节点，以重新生成各个所述副本默克尔树。

9.根据权利要求7所述的数据持有性验证方法，其中，所述数据块操作类型为数据块插入；

所述对目标文件的不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的目标数据块之后插入所述更新值；

所述对各个所述副本默克尔树进行更新包括：在各个所述副本默克尔树中，用目标数据块及所述更新值的散列替代目标数据块的散列，并将目标数据块的更新值的散列以及目标数据块的散列作为各个所述副本默克尔树的叶子节点，以重新生成各个所述副本默克尔树。

10.根据权利要求7所述的数据持有性验证方法，其中，所述数据块操作类型为数据块删除；

所述对目标文件的不同副本中的目标数据块进行更新包括：将目标文件的不同副本中的目标数据块删除；

所述对各个所述副本默克尔树进行更新包括：在各个所述副本默克尔树中，删除目标数据块的散列所在的叶子节点，并用目标数据块的散列的兄弟叶子节点代替父节点，以重新生成各个所述副本默克尔树。

11.一种数据持有性验证系统，包括数据拥有者和数据存储者；其中，

数据拥有者及数据存储者被配置为：为目标文件的不同副本分别生成副本默克尔树，每个副本默克尔树的叶子节点为所对应副本的各个数据块散列的有序集合；

数据拥有者还被配置为：生成副本聚集默克尔树，副本聚集默克尔树的叶子节点为各个副本默克尔树的根节点的有序集合；数据拥有者通过随机数据块标识向数据存储者发起挑战；

数据存储者还被配置为：根据随机数据块标识，确定各个所述副本默克尔树的认证路径，并将所述认证路径发送至数据拥有者；

数据拥有者进一步被配置为：利用随机数据块标识在所述不同副本中对应的数据块以及副本聚集默克尔树的根节点，对所述认证路径进行验证，并在认证路径验证失败的情况下，确定数据存储者未完整存储目标文件的不同副本。

12.一种数据持有性验证装置，包括：

存储器；以及

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如权利要求1至10中任一项所述的数据持有性验证方法。

13.一种计算机可读存储介质，其中，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行时实现如权利要求1至10中任一项所述的数据持有性验证方法。

Images