CN112364370B - 基于区块链的隐私保护云审计方法 - Google Patents
基于区块链的隐私保护云审计方法 Download PDFInfo
- Publication number
- CN112364370B CN112364370B CN202011097975.2A CN202011097975A CN112364370B CN 112364370 B CN112364370 B CN 112364370B CN 202011097975 A CN202011097975 A CN 202011097975A CN 112364370 B CN112364370 B CN 112364370B
- Authority
- CN
- China
- Prior art keywords
- cloud
- user
- log
- block chain
- audit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机技术领域,为解决在云审计过程中,云用户日志的安全性和第三方审计的可信度等问题,提供一种基于区块链的隐私保护云审计方案,同时支持云用户自行审计日志信息并将审计结果发送至区块链网络中解决对第三方审计的信任问题,还支持云租户为旗下用户执行代理审计功能。为此,本发明,基于区块链的隐私保护云审计方法,步骤如下:使用具有减法同态性的非对称加密算法,对云用户日志信息进行加密,在透明的区块链网络中来保护用户日志的安全性,具体包括两部分:云用户自行审计步骤和云租户代理审计步骤;本发明主要应用于网络安全场合。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于区块链的隐私保护云审计方法。
背景技术
随着云计算技术的不断发展和完善,云用户在使用云计算提供的计算、存储等服务的同时,对存储于云端的数据的安全性也提出了更高的要求。为了保护云用户的数据安全,在云平台中审计数据变得至关重要。
目前,云审计流程和方法都存在一些问题,比如在Duncan等人在其发表的论文“Enhancing Cloud Security and Privacy:The Cloud Audit Problem”(CLOUDCOMPUTING 2016,2016:131.)中提到过,审计的频率通常非常宽松,一般只有在系统重新发生变化时才重新评估一次,或者是每几年重新评估一次,这完全无法应对安全威胁的快速演变。在进行云审计的过程中,还可能存在着用户数据安全与存储、审计效率、第三方审计的可信度等问题。
区块链技术本质上是一种结合分布式存储、点对点传输、共识机制和加密技术的全新的分布式基础架构与计算方式。同时,区块链的不可更改特性,使其可以为无信任网络提供强大的数据完整性保证。区块链技术去中心化的分布式架构和去信任化的运行机制使其能够作为云审计中可信任的第三方。
目前,并没有在区块链上支持用户使用零知识证明自行审计云日志的发明或方案。
发明内容
为克服现有技术的不足,本发明的主要目的在于解决在云审计过程中,云用户日志的安全性和第三方审计的可信度等问题,提供一种基于区块链的隐私保护云审计方案。
该方案使用加密技术保护云用户日志的安全性,同时支持云用户自行审计日志信息并将审计结果发送至区块链网络中解决对第三方审计的信任问题,还支持云租户为旗下用户执行代理审计功能。
为此,本发明采取的技术方案是,基于区块链的隐私保护云审计方法,步骤如下:
使用具有减法同态性的非对称加密算法,对云用户日志信息进行加密,在透明的区块链网络中来保护用户日志的安全性,具体包括两部分:云用户自行审计步骤和云租户代理审计步骤;
云用户自行审计步骤是,云用户获取加密日志,解密后查看日志信息是否被篡改,并使用零知识证明技术生成证明信息,然后,将其发布到区块链网络中作为日志审计的结果;
云租户代理审计步骤是,云租户获取加密的日志行为信息后对旗下用户的各项行为数量进行统计,根据各项行为数量判断旗下用户是否存在危险行为。
云用户自行审计具体步骤如下:
(1)云用户通过密钥生成系统,生成一组公钥和私钥,并将公钥发送给云服务器用于日志的加密;
(2)云服务器使用用户公钥将其日志信息进行加密,并发送到区块链网络中,同时将日志信息备份至云数据库中;
(3)用户提出审计请求,云数据库的操作员对云数据库中保存的该用户日志进行加密,并上传到区块链中;
(4)用户得到两组加密信息,通过解密查看日志信息是否相同,并通过零知识证明技术生成证明信息,然后将其发布至区块链网络中作为此次审计的结果进行公示。
云租户代理审计具体步骤如下:
(1)云租户通过密钥生成系统,生成密钥,其中,保序加密为对称加密,使用同一密钥进行加密或解密,并将其发送给云数据库的操作员;
(2)云数据库的操作员每过一段时间,将租户旗下用户的各项行为进行加密并生成对应索引,并将索引和密文发送到区块链网络中;
(3)每过一段时间,云租户通过索引从区块链网络中收集其旗下用户的行为密文,并在链下进行统计;
(4)云租户根据统计结果,对旗下用户这段时间的行为进行分析,如发现存在行为异常,通知旗下所有用户日志行为存在异常,并催促旗下用户自行验证。
通过密钥生成系统,生成一组公钥和私钥,是利用数字签名Ed25519方法,具体步骤如下:
生成签名:
1)r=(hb,...,h2b-1,M,n),n为随机数
2)R=rB
3)S=M+rA mod l
密文为(R,S);
解密方法为:M=S-rA=S-rαB=S-αR,其中α与随机数k有关,因此也可将α视为该算法的私钥,解密公式为M=S-αR;
剑法同态性证明:
设使用同一公钥A加密明文后的结果为C1=(R1,S1)和C2=(R2,S2)。将两密文相减得到,ΔC=(R1-R2,S1-S2),对ΔC解密得到:
ΔM=(S1-S2)-α(R1-R2)
=(M1-M2)+(r1-r2)A-α(R1-R2)B
=M1-M2
当M1=M2时,推导得出ΔM=0,修改后的算法具有减法同态性。
本发明的特点及有益效果是:
本发明使用区块链技术存储云用户的日志信息,利用上链信息无法篡改的特点存储用户日志信息。同时使用具有减法同态性的非对称加密算法对日志信息进行加密上传至区块链中,在透明的区块链网络中保护日志的隐私。
目前存在多种使用区块链技术与审计工作相结合的方法,例如Ahmad A等人在“Secure and Transparent Audit Logs with BlockAudit”中提出了一个可伸缩的防篡改系统BlockAudit的设计方案,该系统利用审计日志的设计特性和区块链的安全保证,使审计日志安全可靠等。现有方案大多将审计工作交给第三方或区块链上的公共节点执行。与它们不同的是,本发明支持用户自身进行日志审计工作,解决第三方审计的信任问题,降低用户信息泄露的风险。
本发明使用零知识证明技术支持用户进行审计工作,用户在审计日志后生成零知识证明,并上传至区块链网络中供其他人验证。用户在线下审计时,可以直接得到准确的审计结果,利用零知识证明技术可以在不暴露用户隐私的前提下快速生成零知识验证信息(生成时间约为3秒),同时使审计结果具有隐私性,可证明性等特点。
本发明还使用保序加密技术,在不泄露用户日志信息与租户信息的同时,实现云租户的代理审计功能,云租户每隔一段时间进行代理审计,可以缩短审计周期,及时发现异常用户,并减少用户需要自行审计的日志数量提高审计效率。
附图说明:
图1为本发明用户执行审计功能的示意图。
图2为本发明租户代理审计功能的示意图。
具体实施方式
本发明所采用的技术方案是:
使用具有减法同态性的非对称加密算法,对云用户日志信息进行加密,在透明的区块链网络中来保护用户日志的安全性。
云用户获取加密日志,解密后查看日志信息是否被篡改,并使用零知识证明技术生成证明信息,然后,将其发布到区块链网络中作为日志审计的结果。
保序加密技术的特点是:将数据加密后,能够在密文上比较出原数据的大小关系。因此,使用保序加密技术对日志行为信息(如登入、登出等)加密,云租户获取加密的日志行为信息后可对旗下用户的各项行为数量进行统计,根据各项行为数量判断旗下用户是否存在危险行为。
本发明使用区块链技术存储云用户的日志信息,利用上链信息无法篡改的特点存储用户日志信息。同时使用具有减法同态性的非对称加密算法对日志信息进行加密上传至区块链中,在透明的区块链网络中保护日志的隐私。
目前存在多种使用区块链技术与审计工作相结合的方法,例如Ahmad A等人在“Secure and Transparent Audit Logs with BlockAudit”中提出了一个可伸缩的防篡改系统BlockAudit的设计方案,该系统利用审计日志的设计特性和区块链的安全保证,使审计日志安全可靠等。现有方案大多将审计工作交给第三方或区块链上的公共节点执行。与它们不同的是,本发明支持用户自身进行日志审计工作,解决第三方审计的信任问题,降低用户信息泄露的风险。
本发明使用零知识证明技术支持用户进行审计工作,用户在审计日志后生成零知识证明,并上传至区块链网络中供其他人验证。用户在线下审计时,可以直接得到准确的审计结果,利用零知识证明技术可以在不暴露用户隐私的前提下快速生成零知识验证信息(生成时间约为3秒),同时使审计结果具有隐私性,可证明性等特点。
本发明还使用保序加密技术,在不泄露用户日志信息与租户信息的同时,实现云租户的代理审计功能,云租户每隔一段时间进行代理审计,可以缩短审计周期,及时发现异常用户,并减少用户需要自行审计的日志数量提高审计效率。
本发明的主要应用场景包括但不限于金融操作日志审计,如转账交易、商品购买等操作记录;云服务日志审计,如登入登出信息、开关虚拟机等操作日志;保险公司的投保记录等。审计过程包括:
(1)服务器端,如云服务器,对用户操作产生的日志进行加密处理,并上传至区块链网络中进行存储,作为日后审计工作中的重要依据。
(2)用户通过云服务商查询日志,并将区块链中存储的加密日志与查询的日志进行对比。若日志不同,用户通过零知识证明生成日志不同的证明,并将其发送至区块链中由其他节点验证。验证通过后,由设定好的智能合约执行后继操作,解决审计过程中的隐私保护和信任问题。
(3)租户根据时间戳和行为标签从区块链中获取并统计加密日志的行为信息总数,通过比较单位时间内加密日志的行为信息总数实现代理审计功能,如对一天内用户登入总数与用户登出总数进行密态统计比较,当统计结果相差较大时认为日志存在异常,并提醒用户进行日志审计。
基于区块链的隐私保护云审计方案分为两部分:用户自行审计方案和租户代理审计方案。
用户自行审计方案步骤如下:
(1)云用户通过密钥生成系统,生成一组公钥和私钥,并将公钥发送给云服务器用于日志的加密;
(2)云服务器使用用户公钥将其日志信息进行加密,并发送到区块链网络中,同时将日志信息备份至云数据库中;
(3)用户提出审计请求,云数据库的操作员(下文简称云操作员)对云数据库中保存的该用户日志进行加密,并上传到区块链中;
(4)用户得到两组加密信息,通过解密查看日志信息是否相同,并通过零知识证明技术生成证明信息,然后将其发布至区块链网络中作为此次审计的结果进行公示。
租户代理审计方案具体步骤如下:
(5)云租户通过密钥生成系统,生成密钥(保序加密为对称加密,使用同一密钥进行加密或解密),并将其发送给云操作员;
(6)云操作员每过一段时间,将租户旗下用户的各项行为进行加密并生成对应索引,并将索引和密文发送到区块链网络中;
(7)每过一段时间,云租户通过索引从区块链网络中收集其旗下用户的行为密文,并在链下进行统计;
(8)租户根据统计结果,对旗下用户这段时间的行为进行分析,如发现存在行为异常,通知旗下所有用户日志行为存在异常,并催促旗下用户自行验证(验证方法与上述用户自行审计方案一致)。
Ed25519算法:
私钥:使用随机数发生器生成随机数k作为私钥。
公钥生成过程(b固定取256)
1.计算私钥哈希值:H(k)=(h1,h2,...,h2b-1)
3.生成公钥A=αB
生成签名:
1)r=(hb,...,h2b-1,M)
2)R=rB
3)S=(r+H(R,A,M)α)mod l
签名为(R,S)
该算法对使用同一公钥A加密相同明文的加密结果相同,与本发明所需不同,因而进行了相应改进。
通过密钥生成系统,生成一组公钥和私钥,具体是利用数字签名Ed25519方法,具体步骤如下:
生成签名:
1)r=(hb,...,h2b-1,M,n),n为随机数。
2)R=rB
3)S=M+rA mod l
密文为(R,S)。
解密方法为:M=S-rA=S-rαB=S-αR,其中α与随机数k有关,因此也可将α视为该算法的私钥,解密公式为M=S-αR
剑法同态性证明:
设使用同一公钥A加密明文后的结果为C1=(R1,S1)和C2=(R2,S2)。将两密文相减得到,ΔC=(R1-R2,S1-S2),对ΔC解密得到:
ΔM=(S1-S2)-α(R1-R2)
=(M1-M2)+(r1-r2)A-α(R1-R2)B
=M1-M2
当M1=M2时,推导得出ΔM=0,修改后的算法具有减法同态性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种基于区块链的隐私保护云审计方法,其特征是,步骤如下:使用具有减法同态性的非对称加密算法,对云用户日志信息进行加密,在透明的区块链网络中来保护用户日志的安全性,具体包括两部分:云用户自行审计步骤和云租户代理审计步骤;
云用户自行审计步骤是,云用户获取加密日志,解密后查看日志信息是否被篡改,并使用零知识证明技术生成证明信息,然后,将其发布到区块链网络中作为日志审计的结果;
云租户代理审计步骤是,云租户获取加密的日志行为信息后对旗下用户的各项行为数量进行统计,根据各项行为数量判断旗下用户是否存在危险行为;
云用户自行审计具体步骤如下:
云用户通过密钥生成系统,生成一组公钥和私钥,并将公钥发送给云服务器用于日志的加密;
云服务器使用用户公钥将其日志信息进行加密,并发送到区块链网络中,同时将日志信息备份至云数据库中;
用户提出审计请求,云数据库的操作员对云数据库中保存的该用户日志进行加密,并上传到区块链中;
用户得到两组加密信息,通过解密查看日志信息是否相同,并通过零知识证明技术生成证明信息,然后将其发布至区块链网络中作为此次审计的结果进行公示;
云租户代理审计具体步骤如下:
云租户通过密钥生成系统,生成密钥,其中,保序加密为对称加密,使用同一密钥进行加密或解密,并将其发送给云数据库的操作员;
云数据库的操作员每过一段时间,将租户旗下用户的各项行为进行加密并生成对应索引,并将索引和密文发送到区块链网络中;
每过一段时间,云租户通过索引从区块链网络中收集其旗下用户的行为密文,并在链下进行统计;
云租户根据统计结果,对旗下用户这段时间的行为进行分析,如发现存在行为异常,通知旗下所有用户日志行为存在异常,并催促旗下用户自行验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011097975.2A CN112364370B (zh) | 2020-10-14 | 2020-10-14 | 基于区块链的隐私保护云审计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011097975.2A CN112364370B (zh) | 2020-10-14 | 2020-10-14 | 基于区块链的隐私保护云审计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112364370A CN112364370A (zh) | 2021-02-12 |
CN112364370B true CN112364370B (zh) | 2023-04-07 |
Family
ID=74507891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011097975.2A Active CN112364370B (zh) | 2020-10-14 | 2020-10-14 | 基于区块链的隐私保护云审计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112364370B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941230A (zh) * | 2022-01-11 | 2023-04-07 | 浪潮云信息技术股份公司 | 一种基于区块链保护隐私的监管方法及系统 |
CN114826657B (zh) * | 2022-03-10 | 2024-02-09 | 新华三信息安全技术有限公司 | 基于区块链的安全审计系统及审计方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105791321A (zh) * | 2016-05-03 | 2016-07-20 | 西南石油大学 | 一种具有抗密钥泄露特性的云存储数据公共审计方法 |
CN108804928A (zh) * | 2018-07-09 | 2018-11-13 | 武汉工商学院 | 一种溯源系统中数据的安全可信任区块链及管理方法 |
US10951396B2 (en) * | 2018-10-22 | 2021-03-16 | Nutanix, Inc. | Tamper-proof management of audit logs |
CN109508552B (zh) * | 2018-11-09 | 2021-04-30 | 江苏大学 | 分布式云存储系统的隐私保护方法 |
CN109639420B (zh) * | 2019-01-02 | 2021-05-25 | 西南石油大学 | 基于区块链技术的可匿名身份的医疗云存储公共审计方法 |
US10992676B2 (en) * | 2019-01-16 | 2021-04-27 | EMC IP Holding Company LLC | Leveraging blockchain technology for auditing cloud service for data protection compliance |
CN109561110B (zh) * | 2019-01-19 | 2021-06-04 | 北京工业大学 | 一种基于sgx的云平台审计日志保护方法 |
CN111242453B (zh) * | 2020-01-07 | 2023-10-24 | 通链(北京)科技有限公司 | 基于区块链的财务评估方法及评估系统 |
-
2020
- 2020-10-14 CN CN202011097975.2A patent/CN112364370B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112364370A (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ryan | Enhanced certificate transparency and end-to-end encrypted mail | |
US7711120B2 (en) | Cryptographic key management | |
EP2019992B1 (en) | Method and system of generating immutable audit logs | |
CN110430161B (zh) | 一种基于区块链的可监管数据匿名分享方法及系统 | |
CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
CN102075544A (zh) | 局域网共享文件加密系统及其加解密方法 | |
CN108833440B (zh) | 一种基于区块链的网络安全审计系统及网络安全审计方法 | |
CN112364370B (zh) | 基于区块链的隐私保护云审计方法 | |
US20220407701A1 (en) | Processing of requests to control information stored at multiple servers | |
CN109413116A (zh) | 一种可信的云端身份认证方法及系统 | |
Jalil et al. | A secure and efficient public auditing system of cloud storage based on BLS signature and automatic blocker protocol | |
CN109586918A (zh) | 基于对称密钥池的抗量子计算的签章方法和签章系统 | |
CN110162999B (zh) | 一种基于隐私保护的收入分配差距基尼系数度量方法 | |
CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、系统及电子设备 | |
CN116308355A (zh) | 一种基于区块链的碳排放交易与审计方法 | |
CN109586917A (zh) | 基于非对称密钥池的抗量子计算的签章方法和签章系统 | |
CN111585756B (zh) | 一种适用于多副本-多云情形下的无证书云审计方法 | |
Pulls et al. | Distributed privacy-preserving log trails | |
Yang et al. | Secure and Efficient Data Sharing for IoT Based On Blockchain and Reputation Mechanism | |
Singh et al. | Integrity and confidentiality preservation in cloud | |
KR102527443B1 (ko) | 에너지 오브젝트 데이터를 이용하는 에너지 클라우드 시스템 | |
Pero et al. | Achieving a Lawfully-Secure Audio Recording Framework using Consumer Electronics | |
Mezher et al. | Secure Health Information Exchange (S-HIE) Protocol with Reduced Round-Trip Count | |
WO2023131147A1 (en) | Method and apparatus for generating certified user data | |
Lu et al. | Research on Data Security and Encryption Technology in Network Transmission |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |