CN113312574A - 一种基于区块链的云数据完整性审计方法 - Google Patents

Abstract

本发明一种基于区块链的云数据完整性审计方法，属于基于区块链的云数据完整性审计方法技术领域；所要解决的技术问题为：提供一种基于区块链的云数据完整性审计方法的改进；解决上述技术问题采用的技术方案为：CO将数据文件分块并生成数据标签和变色龙哈希值等审计数据；CO向DO提出审计请求；DO向CSP提出审计挑战；CSP执行证据生成算法生成相应证据并返回给DO；DO利用本地存储的数据信息通过双线性对，在不需要解密的前提下完成数据完整性验证；CO进行数据修改、插入和删除操作时，利用私钥求出变色龙陷门值，并发送操作请求给DO和CSP；CSP按照请求完成数据更新，DO按照请求完成数据标签的更新并将操作记录到区块链中；本发明应用于云数据完整性审计。

Description

一种基于区块链的云数据完整性审计方法

技术领域

本发明一种基于区块链的云数据完整性审计方法，属于基于区块链的云数据完整性审计方法技术领域。

背景技术

云存储是应用最为广泛的云计算服务之一，个人或者企业将数据外包存储到云端，节省本地存储开销，通过远程访问外包数据，提高使用数据的灵活性。然而，由于用户失去了对数据的直接控制，云存储中的任何故障都可能引起数据泄露、丢失等数据安全问题。例如，云服务提供商(CSP，Cloud Service Provider)为了自身利益，私自删除用户不常使用的冷数据；为节省成本，减少维护，导致外包数据被内部或外部攻击摧毁，但不通知数据存储用户。不完整的数据会破坏数据的价值，甚至误导基于数据内容的决策，因此数据完整性验证至关重要，也成为云存储安全策略的重要组成部分。

可证明数据占有机制(PDP，Provable Data Possession)和可恢复性证明机制(POR，Proofs of Retrievability)是两种典型的审计云存储数据完整性的静态模型。2007年，Ateniese等人基于RSA同态验证标签技术提出可证明数据占有机制PDP，该机制将文件划分成几个数据块，每一数据块对应各自的同态标签，然后随机抽取一定数量的数据块，通过验证同态标签，证明信息的有效性来判断数据的完整性。但是，该PDP只考虑静态数据存储，也没进行足够的安全性分析。Juels等人提出可恢复性证明机制POR，该POR通过密码技术对数据块进行伪装，通过验证隐藏哨兵数据块的有效性来判断外包数据的完整性。该机制假设用户的查询次数是固定的，只支持静态数据存储。

2015年，Erway等人提出一种动态PDP方案。该方案将数据文件划分为等长的数据块，并且为每一数据块生成一个数据标签，来进行数据完整性验证，支持云中完全动态的数据更新。在该方案中，数据块是数据更新(包括修改、插入和删除)的最小单位，通过使用带有等级信息的验证表来验证和维护数据标签的有效性。该方案即使实现了对动态数据的验证，但无法支持公开验证。以上介绍的静态模型和动态模型在计算、存储和数据通信等方面消耗了数据拥有者(用户)大量的资源。

在实际的云存储应用中，为了节省用户的计算、通信等开销，并保证验证结果的公平性，通常由用户委托第三方审计员(TPA，Third Party Auditor)代表自己执行公共审计来验证数据的完整性。但是，TPA的存在也带来了新的安全风险，好奇而诚实的TPA可能在审计过程中搜集外包数据的信息，因此，保证数据隐私不受TPA的影响也成为用户关注的安全问题。针对TPA的可信问题，Zhu等人研究了TPA在公开验证过程中避免窃取用户数据的策略，即外包数据在被验证之前进行加密处理，任何TPA都无法读取用户的原始数据，因此，增强了公共审计的安全性。2017年，Fu等人通过构造同态可验证群签名，提出一种面向共享云数据的感知公共审计机制。该方案存在不足，一旦TPA受到攻击，来自TPA的审计服务可能会中断，此外，用户还可以伪造一个安全问题来骗取CSP的补偿。

近年来，区块链技术已应用到数据存储、完整性验证、公共审计、数据溯源、边缘计算以及雾计算等方面。在数据完整性验证中，2018年，Yue等人提出基于区块链的P2P云存储数据完整性验证框架，通过合理的抽样策略使抽样验证更有效。该框架主要关注P2P云存储和抽样策略。2019年，Zhang等人提出一种针对拖延审计员的无证书公共审计方案，该方案包括一个固定的TPA和一个密钥生成中心(KGC,Key Generation Center)，主要关注在审计过程中如何避免拖延TPA。2019年，Xue等人提出了基于身份的云存储公共审计方案，通过区块链技术对抗恶意审计员。该方案包括私钥生成器和TPA两类实体，只在区块链上存储默克尔哈希树的根。

综上所述，数据完整性验证是云存储必须考虑的安全问题之一，现有的静态模型、动态模型、公共审计模型以及基于区块链技术的审计模型随着云存储系统的日新月异，需要更进一步的研究。本发明提出一种基于区块链的云数据完整性审计方法，将原始数据分块进行加密处理后外包存储到云端，同时将文件块的数据标签存储在区块链上，通过MHT验证外包数据的完整性。

发明内容

本发明为了克服现有技术中存在的不足，所要解决的技术问题为：提供一种基于区块链的云数据完整性审计方法的改进。

为了解决上述技术问题，本发明采用的技术方案为：一种基于区块链的云数据完整性审计方法，包括如下步骤：

步骤一：数据分块存储：分布式网络中的所有普通用户CO执行DPos共识算法，推选出授权用户DO，同时确定区块的生成顺序和审计任务；普通用户CO将要保存到云服务提供商CSP中的数据文件进行处理后上传到云服务提供商CSP，同时生成数据文件相关审计数据信息发送给授权用户DO，同时删除本地数据，只保留元数据信息；

步骤二：数据标签生成及变色龙哈希生成；

步骤三：区块生成与签署：授权用户DO把元数据相关的审计信息按照约定打包成区块，将区块上链形成审计链；

授权用户DO生成区块之后，向云服务提供商CSP发起区块签署挑战请求，根据云服务提供商CSP返回的证据判断云服务提供商CSP是否如实保存了一段时间内普通用户CO上传的数据并完成签署工作；

步骤四：审计挑战：授权用户DO为验证其存储的区块所代表用户数据的完整性，根据智能合约，向云服务提供商CSP发起区块审计挑战，验证存储于云服务提供商CSP端数据的完整性；

步骤五：证据生成：云服务提供商CSP收到审计挑战请求后，执行证据生成算法，并将生成的证据信息发送给授权用户DO；

步骤六：证据验证：授权用户DO根据云服务提供商CSP发来的证据信息，执行证据验证算法，完成对数据完整性的验证并将审计结果记录在审计链中；

步骤七：动态操作：当普通用户CO需要修改、删除或者增加外包存储到云服务提供商CSP中的数据时，执行动态操作算法完成对远程数据的修改并将该操作记录在操作链中。

所述步骤一具体为：

步骤1.1：普通用户CO执行初始化算法产生私钥对和公钥对；

步骤1.2：参数初始化：初始化输入的安全参数λ，生成阶数为P的乘法循环群G和G_T，且存在双线性映射关系为：e:G×G→G_T，其中G的生成元为g_CO和g_DO，G中选取一个辅助变量u←G；

选择散列函数：H:{0,1}^*→G，h(·):G→Z_p，上式中Z_p为阶数P的群；

定义伪随机置换函数：

定义伪随机函数：f_key{0,1}^*×K→Z_p，其中key∈ID，数据块编号

K为编号ID；

步骤1.3：密钥生成：普通用户CO选择随机数

为阶数为P的乘法循环群，计算

生成公钥对＜PK,v＞，私钥对

授权用户DO选择随机数x，

计算

生成公钥对＜SPK,y＞，私钥对＜SSK,x＞。

所述步骤二具体为：

步骤2.1：普通用户CO先将数据M进行加密，之后平均分成n块，M表示要存储到云端的数据文件，M＝m₁||m₂||…||m_n，m_i表示均分成的第i个数据块，i∈[1,n]；

步骤2.2：假设数据M的标识为

每一个数据块的标号为

执行下面的步骤生成标签，也即为每一数据块生成签名，用于检查数据的完整性；

步骤2.2.1：对每一个数据块m_i，计算b_i＝H(m_i)，b_i为数据块m_i的哈希值，H(m_i)为相应的哈希函数；

步骤2.2.2：对每一个数据块m_i，生成对应的标签

标签集合为

u为G中选取的辅助变量，

为进行数据签名的私钥；

步骤2.2.3：对每一个数据块m_i，找一个相应的随机数

计算m_i的变色龙哈希

g_c是

的生成元，

r为变色龙陷门值r_i进行加密后的结果。

所述步骤三具体为：

步骤3.1：普通用户CO生成以每个数据块的变色龙哈希值为叶子节点的MHT，并对MHT的叶子节点进行签名；

步骤3.2：普通用户CO将数据M的数据分块信息

组合成一个Node_i，并利用底层MHT算法构建本地数据UB_M，普通用户CO对数据块m_i进行签名

为普通用户CO进行数据加密的私钥，然后将本地数据UB_M发送到云服务提供商CSP，与其对应的证据数据

发送给授权用户DO；

步骤3.3：普通用户CO删除本地数据UB_M，保留对应的证据数据

步骤3.4：授权用户DO定期打包普通用户CO发送的证据数据

生成区块文件并上链，云服务提供商CSP在同样的周期内将普通用户CO发送的原始本地数据UB_M打包，利用顶层MHT算法构建文件并存储。

所述步骤四具体为：

步骤4.1：授权用户DO收到普通用户CO对外包数据M的验证请求之后，向云服务提供商CSP提出挑战；

步骤4.2：云服务提供商CSP返回M的数据标签，授权用户DO通过公钥spk来验证数据标签是否正确；

步骤4.3：若等式

不成立，则数据已被修改，结束程序，通知用户结果；

步骤4.4：若等式

成立，执行如下步骤生成挑战信息：

步骤4.4.1：授权用户DO选择数据M_i所属的区块，该区块包含m个

文件，确定每个

文件要进行挑战的子集I＝{Node_i}_1≤i≤c；

步骤4.4.2：利用随机置换函数π(·)_key计算NodeID_i＝π_k1(NodeID_i)，利用随机函数f_key(·)计算

步骤4.4.3：组成一个

相对应的挑战块

m个

组成上述区块的挑战

所述步骤五当云服务提供商CSP收到授权用户DO发送的挑战请求

后，云服务提供商CSP执行如下步骤完成证据生成：

步骤5.1：根据block_i找到被挑战的区块，根据

找到被挑战的NodeID_i所对应的数据块文件，相关辅助信息为

c个辅助信息构成合集β＝{α_i}_1≤i≤c；

步骤5.2：针对每一个

求标签

为数据M_i持有证据，v_j为数据块m_j对应的随机数；

步骤5.3：云服务提供商CSP对所需验证的数据块证据采用随机置换函数进行加密处理，选择随机元素r←Z_p，利用随机函数r＝f_i(chal)，其中i为云服务提供商CSP每次应对挑战随机生成的随机函数密钥，u←G，计算：

R＝u^r∈G，

R为辅助变量u加密处理值；

步骤5.4：每一个

所对应的挑战证据为

为数据M_i数据验证的辅助信息集；

步骤5.5：云服务提供商CSP将m个

对应的证据整合为一个证据

发送给授权用户DO。

所述步骤六授权用户DO收到云服务提供商CSP发来的证据信息

后，根据如下步骤进行数据验证：

步骤6.1：首先对其中的每一个

根据等式

判断数据签名的完整性，若等式成立，则表示数据标签没有被修改过；

步骤6.2：根据等式

判断存储在云服务提供商CSP中用户数据的完整性，若等式成立，则表示数据内容被完整的保存，通知相应的普通用户CO并将审计结构记录在审计链中；rh(R)为对证据信息进行加密的随机值，v为普通用户CO的公钥，v_i为数据块m_i对应的随机数，v_i的下标i为随机选择验证的节点编号；

步骤6.3：若等式

不成立，利用辅助信息α_i中Node_i查到挑战分块文件在授权用户DO中的LM以及DataHash，通过比较LM？＝LM_i和DataHash？＝DataHash_i来定位数据的具体错误位置；

其中LM为数据块在底层MHT中的位置，DataHash为相关辅助节点的Hash值。

所述步骤七中在云服务提供商CSP上数据更新的发送方为普通用户CO，接收方为云服务提供商CSP，普通用户CO将数据块m₁修改为

m₁由Block^*中的

所表示，在底层MHT中的位置是LM，数据更新的步骤为：

步骤7.1.1：普通用户CO读取

中存储的信息r₁、u、b₁，找到更新数据块在Block^*中的位置LM，r₁为变色龙陷门值、u为变色龙哈希值中的辅助变量、b₁为数据块m₁的哈希值；

步骤7.1.2：普通用户CO通过变色龙哈希函数求出陷门值：

σ₁为数据块m₁的数据标签；

为修改后的数据

的哈希值；

为

的数据标签；

步骤7.1.3：普通用户CO计算数据块

的数据标签

和哈希值

步骤7.1.4：普通用户CO广播更新操作

给全部的授权用户DO，发送更新操作

给云服务提供商CSP；

步骤7.1.5：云服务提供商CSP接收到更新信息Update_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.1.5.1：根据BlockID，LM找到更新数据的位置Node₁；

步骤7.1.5.2：验证等式

CHash为变色龙哈希值；验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.1.5.3：更新MHT树中相应节点的数据信息；

步骤7.1.5.4：发送信息Update_finish＝{Time,BlockID,LM}给授权用户DO；Time为时间戳；

步骤7.1.6：授权用户DO针对更新后的数据文件M₃随机选择包含更新数据块

的部分数据的哈希值，并通知云服务提供商CSP发送同样的数据，通过对比判断云服务提供商CSP是否作恶，在动态操作链中记录操作信息，并通知普通用户CO结果。

所述步骤七中在云服务提供商CSP上数据删除的发送方为为普通用户CO，接收方为云服务提供商CSP，设普通用户CO删除数据块m₁，其中m₁由Block^*中的

所表示，m₁在底层MHT中的位置是LM，数据删除的步骤为：

步骤7.2.1：普通用户CO读取

中存储的信息r₁、b₁，找到腰删除的数据块在Block^*中的位置LM；

步骤7.2.2：普通用户CO通过变色龙哈希函数求出门限值：

r₁ ^*＝forge(SK，(b₁+σ₁)，r₁null)；

步骤7.2.3：普通用户CO广播删除操作Delete_DO＝{r₁ ^*，BlockID，LM}给全部的授权用户DO，发送删除操作Delete_CSP＝{r₁ ^*，BlockID，LM}给云服务提供商CSP；

步骤7.2.4：云服务提供商CSP接收到删除信息Delete_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.2.4.1：根据BlockID，LM找到删除数据的位置Node₁；

步骤7.2.4.2：验证等式CHash(PK，(b₁+σ₁)，r₁)＝CHash(PK，null，r₁ ^*)是否成立；验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.2.4.3：删除MHT树中相应节点的数据信息，只保留变色龙哈希算法的相关信息；

步骤7.2.4.4：发送信息Delete_finish＝{Time,BlockID,LM}给授权用户DO；

步骤7.2.5：授权用户DO将删除操作记录到动态操作链中，并通知普通用户CO结果。

所述步骤七中在云服务提供商CSP上数据插入的发送方为为普通用户CO，接收方为云服务提供商CSP，设普通用户CO在m₄位置插入新的数据块m₅，其中m₄由Block^*中

所表示，在底层MHT的位置是LM，数据插入的步骤为：

步骤7.3.1：普通用户CO读取

中存储的信息r₄，找到数据块m₄在Block^*中的位置LM；

步骤7.3.2：普通用户CO计算数据块的数据标签

哈希值Hash，变色龙哈希值

陷门值

相关信息组合成Node₅；g_c为G中生成元；

步骤7.3.3：普通用户CO通过变色龙哈希函数求出陷门值H_d＝CH(PK,(H_g+H_r),r^*)；

步骤7.3.4：普通用户CO广播插入操作Insert_DO＝{r^*,Node₅,BlockID,LM}给授权用户DO，发送插入操作Insert_CSP＝{r^*,Node₅,BlockID,LM}给云服务提供商CSP；

步骤7.3.5：云服务提供商CSP接收到插入信息Insert_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.3.5.1：根据找到插入数据块的位置Insert_position；

步骤7.3.5.2：验证等式CHash(PK,(b₅+σ₅),r₅)＝CHash(PK,(H_g+H_r),r^*)是否成立，验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤；

步骤7.3.5.3：若Insert_position＜MHT.high，且插入位置为叶子节点，即当前位置可以直接插入Node₅；

步骤7.3.5.4：若Insert_position＝MHT.high，且插入位置为叶子节点，即需开辟新的空间保存Node₄，当前位置作为根节点，左右孩子各存放Node₄和Node₅信息，并建立关联；

步骤7.3.5.5：若Insert_position为非叶子节点，即为删除信息后的节点，直接存放Node₅信息；

步骤7.3.5.6：发送信息Insert_finish＝{Time,BlockID,LM}给授权用户DO；

步骤7.3.6：授权用户DO针对动态操作后的数据文件M₃随机选择包含Insert_position的部分数据的哈希值，并通知云服务提供商CSP发送同样的数据，通过对比判断云服务提供商CSP是否作恶，在动态操作链中记录操作信息，并通知普通用户CO结果。

本发明相对于现有技术具备的有益效果为：本发明提供的基于区块链的云数据完整性审计方法，提出基于变色龙哈希算法构造的区块链底层数据结构，利用嵌套的MHT结构保证了数据文件在逻辑上和物理上的正确性和稳定性，叶子节点保存数据的变色龙哈希值，使得数据发生修改之后MHT结构不会发生变化。通过随机置换函数，加密算法保证了在审计过程中数据不发生泄露。通过数据签名，共识机制有效避免了恶意用户的非法请求。通过区块链记录审计结果和各种动态操作记录，使得各种操作是公开透明、可追溯的。

附图说明

下面结合附图对本发明做进一步说明：

图1为本发明的审计模型的结构示意图；

图2为本发明的数据存储结构示意图；

图3为本发明数据更新操作的算法流程图；

图4为本发明数据删除操作的算法流程图；

图5为本发明数据插入操作的算法流程图。

具体实施方式

如图1至图5所示，本发明提供一种可修改的区块链技术来完成对云存储中数据完整性审计的方法，包括：普通用户CO(Common Owner)将数据文件分块并生成数据标签和变色龙哈希值等审计数据，数据以MHT结构存储于云端，数据标签以MHT结构存储于授权用户DO(Delegate Owner)；CO向DO提出审计请求；DO向CSP提出审计挑战；CSP执行证据生成算法生成相应证据并返回给DO；DO利用本地存储的数据信息通过双线性对，在不需要解密的前提下完成数据完整性验证；发生错误时，DO通过辅助信息精确定位错误发生位置；CO进行数据修改、插入和删除操作时，利用私钥求出变色龙陷门值，并发送操作请求给DO和CSP；CSP按照请求完成数据更新，DO按照请求完成数据标签的更新，并将操作记录到区块链中。

本发明还提出一种基于区块链的云数据完整性审计模型涉，主要包括：用户(Owner)和云服务提供商CSP(Cloud Service Provider)，包括两条数据链：数据完整性审计链和动态操作链。模型框架结构如图1所示。

(1)用户(Owner)

用户也即数据拥有者，可以是个人或者公司，所有用户构成一个分布式网络，通过外包服务将数据存储到CSP，并且删除原始数据，只保留相关的审计信息。所有用户组成区块链网络，用户分为普通用户CO(Common Owner)和授权用户DO(Delegate Owner)，其中授权用户DO通过DPos共识产生，DO负责监测CO全网发送的元数据信息，为全网CO提供数据完整性审计服务。

(2)云服务提供商(CSP)

云服务提供商是具有超强计算能力和超大存储空间的实体，为用户提供云存储服务。主要将数据上传到云服务器CS中存储，CS还支持外包数据完整性检查。本模型使用区块链平台存储数据标签和操作记录，提出相应的数据结构和动态操作算法，实现了区块链的可修改性，基于双线性对进行完整性验证。本模型有效解决了区块链的不可修改性特征，提高了验证数据过程的安全性。

数据完整性审计链负责存储完整性审计信息，而动态操作链存储对数据的动态操作记录和认证结果。

本发明的数据存储结构如下：普通用户CO将数据块外包存储到CSP上，同时将数据标签和审计任务等信息上传到审计链。为实现基于区块链的动态数据完整性验证，区块链底层数据结构采用嵌套MHT数据结构，其结构如图2所示。在该结构中，顶层MHT保证多个数据块文件的完整性和空间位置的正确性，其叶子结点保存用户存储在CSP的加密数据文件，非叶子结点存储通过变色龙哈希函数计算得到的哈希值。底层MHT保证物理存储的单个文件的数据完整性和空间位置的正确性，其叶子结点保存用户存储在CSP的数据文件的分块数据标签，非叶子节点存储通过变色龙哈希函数计算得到的哈希值。用户只能操作底层MHT结构数据，底层数据通过变色龙哈希算法进行处理，使得底层MHT结构即使发生改变也不影响顶层MHT结构，因此解决了区块链不可篡改性与云数据动态性之间的矛盾。

本发明方法的执行过程描述如下：

(1)分布式网络中的所有普通用户CO执行DPos共识算法，推选出授权用户DO，同时确定区块的生成顺序和审计任务。CO将要保存到CSP中的数据文件进行处理后上传到CSP，同时生成数据文件相关审计数据信息发送给DO，同时删除本地数据，只保留元数据信息以便之后对数据进行增、删、改、查等操作。DO把元数据等相关的审计信息按照约定打包成区块，将区块上链形成审计链。

(2)区块签署：DO生成区块之后，向CSP发起区块签署挑战请求，根据CSP返回的证据判断CSP是否如实的保存了一段时间内CO上传的数据并完成签署工作。

(3)审计挑战：DO为了验证其存储的区块所代表用户数据的完整性，根据智能合约，向CSP发起区块审计挑战，验证存储于CSP端数据的完整性。

(4)证据生成：收到审计挑战请求后，CSP执行证据生成算法，并将生成的证据信息发送给DO。

(5)证据验证：DO根据CSP发来的证据信息，执行证据验证算法，完成对数据完整性的验证并将审计结果记录在审计链中。

(6)动态操作：当普通用户CO需要修改、删除或者增加外包存储到CSP中的数据时，执行动态操作算法完成对远程数据的修改并将该操作记录在操作链中。

本发明具体包括五个阶段：初始化、标签生成和变色龙哈希生成阶段、区块生成与部署阶段、挑战阶段、证据生成和验证阶段。

具体初始化过程为：CO执行Setup()算法产生私钥对和公钥对，用于加密和解密数据块。参数初始化：输入安全参数λ，生成阶数为P的乘法循环群G和G_T。双线性映射e:G×G→G_T，g_CO和g_DO为G的生成元，辅助变量u←G。选择散列函数H:{0,1}^*→G，h(·):G→Z_p。为了生成随机挑战索引S_j和相应系数

定义伪随机置换函数

和伪随机函数f_key{0,1}^*×K→Z_p，其中key∈ID，数据块编号

密钥生成：普通用户CO选择随机数

计算

生成公钥对＜PK,v＞，私钥对

授权用户DO选择随机数x，

计算

生成公钥对＜SPK,y＞，私钥对＜SSK,x＞。

标签生成和变色龙哈希生成阶段过程为：CO先将数据M进行加密，之后平均分成n块，M＝m₁||m₂||…||m_n，M表示要存储到云端的数据文件，m_i表示均分成的第i个数据块，i∈[1,n]。假设数据M的标识为

每一个数据块的标号

执行下面的步骤生成标签，也即为每一数据块生成签名，用于检查数据的完整性。

(1)对每一数据块m_i，计算b_i＝H(m_i)。

(2)对每一个数据块m_i，生成对应的标签

标签集合

(3)对每一个数据块m_i，找一个相应的随机数

计算m_i的变色龙哈希

g_c是

的生成元，

区块生成阶段与部署阶段的具体过程为：CO生成以每个数据块的变色龙哈希值为叶子节点的MHT，并且对MHT的叶子节点进行签名。CO将数据M的数据分块信息

组合成一个Node_i，并利用底层MHT算法构建UB_M，CO对数据块m_i进行签名

然后将UB_M发送到CSP，与其对应的证据

发送给授权用户DO。CO删除本地数据UB_M，保留对应的证据数据

方便日后对数据进行增加、删除、修改、查询的动态数据操作。DO定期打包CO发送的

生成区块文件并上链。CSP在同样的周期内将CO发送的原始数据UB_M打包，利用顶层MHT算法构建文件并存储。

为确保CSP已正确存储数据，授权用户DO与CSP进行交互验证。DO读取已生成区块的头文件Hash值，CSP返回同一ID对应区块的头文件Hash值。若DO的Hash值和CSP返回的Hash值相等，则表示CSP如实保存了用户数据，DO利用自身私钥发送签署信息

完成对CSP中对应区块的签署，其中

Time为时间戳，DO_i表示该数据由谁签署。

挑战阶段的具体过程为：授权用户DO收到普通用户CO对外包数据M的验证请求之后，向CSP提出挑战。CSP返回M的数据标签，DO通过公钥spk来验证数据标签是否正确。若等式

不成立，说明数据已被修改，结束程序，通知用户结果，否则执行下列三步骤生成挑战信息：

(1)DO选择数据M_i所属的区块，该区块包含m个

文件，确定每个

文件要进行挑战的子集I＝{Node_i}_1≤i≤c。

(2)利用随机置换函数π(·)_key计算NodeID_i＝π_k1(NodeID_i)，随机函数f_key(·)计算

(3)组成一个

相对应的挑战块

m个

组成这个区块的挑战

证据生成阶段的具体过程为：当CSP收到DO发送的挑战请求

后，CSP执行下面的步骤来完成证据生成。

(1)根据block_i找到被挑战的区块，根据

找到被挑战的NodeID_i所对应的数据块文件，相关辅助信息

c个辅助信息构成集合β＝{α_i}_1≤i≤c。

(2)针对每一个

求

为避免DO从证据信息中推导出CO的数据信息，CSP对所需验证的数据块证据采用随机置换函数进行加密处理，从而达到保护用户数据的隐私。选择随机元素r←Z_p，利用随机函数r＝f_i(chal)，其中i是CSP每次应对挑战随机生成的随机函数密钥，u←G，之后计算：

(1)R＝u^r∈G

(2)

每一个

所对应的挑战证据

CSP将m个

对应的证据

整合为一个证据

发送给授权用户DO。

证据验证阶段的具体过程为：DO收到CSP发来的证据信息

后，首先，对其中的每一个

依据式(1)判断数据签名的完整性，若等式(1)成立，则表示数据标签没有被人修改过。

其次，依据等式(2)判断存储在CSP中用户数据的完整性。

若等式(2)验证成立，则表示数据内容被完整的保存，通知相应的普通用户CO并将审计结果记录在审计链中。否则，利用辅助信息α_i中Node_i查到挑战分块文件在授权用户DO中的LM以及DataHash，通过比较LM？＝LM_i和DataHash？＝DataHash_i来定位数据的具体错误位置。

对式(2)的正确性分析式(3)所示：

动态操作包括数据的修改操作、插入操作和删除操作，为支持动态操作，区块链存储每一个数据块的哈希标签，而不是只存储MHT的根。下面对动态操作进行详细描述。

数据的更新操作：CO欲将数据块m₁修改为

m₁由Block^*中的

所表示，在底层MHT中的位置是LM(LocationMessage)。算法1：CSP上数据更新算法，发送方为CO，接收方为CSP。

1.CO读取

中存储的信息r₁,u,b₁找到更新数据块在Block^*中的位置LM。

2.CO通过变色龙哈希函数求出陷门值

3.CO计算数据块m₁的数据标签

和哈希值

4.CO广播更新操作

给全部的DO，发送更新操作

给CSP。

5.CSP接受到更新信息Update_CSP后，验证信息的签名

验证通过，执行下一步：

a.根据BlockID，LM找到更新数据的位置Node₁。

b.验证：

c.更新MHT树中相应节点的数据信息，并通知DO修改完成。

DO针对更新后的数据文件M₃随机选择部分数据(包含更新数据块

)的哈希值，并通知CSP发送同样的数据，通过对比判断CSP是否做恶，在动态操作链中记录操作信息，并通知普通用户CO结果。

数据的删除操作：CO欲删除数据块m₁，其中m₁由Block^*中的

所表示，m₁在底层MHT中的位置是LM(LocationMessage)。算法2：CSP上数据删除算法发送方为CO，接收方为CSP。

1.CO读取

中存储的信息r₁,b₁，找到要删除的数据块在Block^*的位置LM。

2.CO通过变色龙哈希算法求出陷门值r₁ ^*＝forge(SK，(b₁+σ₁)，r₁，null)。

3.CO广播删除操作Delete_DO＝{r₁ ^*，BlocID，LM}给全部DO，发送删除操作Delete_CSP＝{r₁ ^*，BlocID，LM}给CSP。

4.CSP接受到删除信息Delete_CSP后，验证信息的签名

验证通过，执行下一步：

a.根据BlockID,LM找到删除数据的位置Node₁。

5.验证CH（PK，b₁+σ₁)，r₁)＝CH(PK，null，r₁ ^*)是否成立。验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤。

6.删除MHT树中相应节点的数据信息，只保留变色龙哈希算法的相关信息。

b.发送信息Delete_finish＝{Time,BlockID,LM}给DO。

7.DO将删除操作记录到动态操作链中，并通知普通用户CO结果。

插入数据操作：CO欲在m₄位置插入新的数据块m₅，其中m₄由Block^*中

所表示，在底层MHT的位置是LM(LocationMessage)。算法3：CSP上数据插入算法发送方为CO，接收方为CSP。

1.CO读取

中存储的信息r₄，找到数据块m₄在Block^*中的位置LM。

2.CO计算数据块m₅的数据标签

哈希值Hash，变色龙哈希值

陷门值

相关信息组合成Node₅。

3.CO通过变色龙哈希函数求出陷门值H_d＝CH(PK,(H_g+H_r),r^*)。

4.CO广播插入操作Insert_DO＝{r^*,Node₅,BlockID,LM}给全部DO，发送插入操作Insert_CSP＝{r^*,Node₅,BlockID,LM}给CSP。

5.CSP接受到插入信息Insert_CSP后，验证信息的签名

验证通过，执行下一步：

a.根据BlockID,LM找到插入数据块m₅的位置Insert_position。

b.验证CHash(PK,(b₅+σ₅),r₅)＝CHash(PK,(H_g+H_r),r^*)是否成立。成立执行步骤c，否则丢弃插入操作，通知用户。

c.若Insert_position＜MHT.high，且插入位置为叶子节点，即当前位置可以直接插入Node₅。

d.若Insert_position＝MHT.high，且插入位置为叶子节点，即需开辟新的空间保存Node₄，当前位置作为根节点，左右孩子各存放Node₄和Node₅信息，并建立关联。

e.若Insert_position为非叶子节点，即为删除信息后的节点，直接存放Node₅信息。

f.通知DO插入操作完成并返回插入位置Insert_position。

DO针对动态操作后的数据文件M₃随机选择部分数据(包含Insert_position)的哈希值，并通知CSP发送同样的数据，通过对比判断CSP是否做恶，在动态操作链中记录操作信息，并通知用户操作结果。

对于审计模型的安全性验证，给出如下定理及其证明结果：

定理1：基于双线性对和Diffie-Hellman问题，本发明的模型在随机预言模型中可以保证数据的完整性。

证明：在这里，CSP被认为是敌手，DO认为是仿真者，其控制着随机预言机H(·)。

给定

仿真者即DO需要输出

设

a,b←Z_p为DO选取的随机值。在每次挑战中i，DO选取r_i←Z_p，并执行随机预言模型：

当u＝g^ah^b时，DO可以计算签名

诚实的CSP会返回

给DO，并满足等式(7)如下所示：

假设给定的r相同，敌手会返回P^*roof＝(μ^*,σ^*,R)给DO，并同样要满足等式(8)：

很明显，μ≠μ^*，否则就有σ＝σ^*，Proof＝P^*roof。定义Δμ＝μ^*-μ。令等式(8)除以等式(7)得：

对于所有的验证等式，假定r是相同的，则有：

DO将u＝g^ah^b带入等式(11)得：

整理得到等式(12)：

由双线性特性，从等式(12)中可得等式

分析能否通过解答等式(12)得到

只需计算b·Δμ＝0modp即可。由于b是由仿真者DO选择并且对敌手CSP隐藏，所以等式b·Δμ＝0modp成立的概率仅为1/p。由于p是循环群

的阶数，且处理的数据量多大，所以1/p≈0。

关于本发明具体结构需要说明的是，本发明采用的各部件模块相互之间的连接关系是确定的、可实现的，除实施例中特殊说明的以外，其特定的连接关系可以带来相应的技术效果，并基于不依赖相应软件程序执行的前提下，解决本发明提出的技术问题，本发明中出现的部件、模块、具体元器件的型号、连接方式除具体说明的以外，均属于本领域技术人员在申请日前可以获取到的已公开专利、已公开的期刊论文、或公知常识等现有技术，无需赘述，使得本案提供的技术方案是清楚、完整、可实现的，并能根据该技术手段重现或获得相应的实体产品。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种基于区块链的云数据完整性审计方法，其特征在于：包括如下步骤：

步骤一：数据分块存储：分布式网络中的所有普通用户CO执行DPos共识算法，推选出授权用户DO，同时确定区块的生成顺序和审计任务；普通用户CO将要保存到云服务提供商CSP中的数据文件进行处理后上传到云服务提供商CSP，同时生成数据文件相关审计数据信息发送给授权用户DO，同时删除本地数据，只保留元数据信息；

步骤二：数据标签生成及变色龙哈希生成；

步骤三：区块生成与签署：授权用户DO把元数据相关的审计信息按照约定打包成区块，将区块上链形成审计链；

授权用户DO生成区块之后，向云服务提供商CSP发起区块签署挑战请求，根据云服务提供商CSP返回的证据判断云服务提供商CSP是否如实保存了一段时间内普通用户CO上传的数据并完成签署工作；

步骤四：审计挑战：授权用户DO为验证其存储的区块所代表用户数据的完整性，根据智能合约，向云服务提供商CSP发起区块审计挑战，验证存储于云服务提供商CSP端数据的完整性；

步骤五：证据生成：云服务提供商CSP收到审计挑战请求后，执行证据生成算法，并将生成的证据信息发送给授权用户DO；

步骤六：证据验证：授权用户DO根据云服务提供商CSP发来的证据信息，执行证据验证算法，完成对数据完整性的验证并将审计结果记录在审计链中；

步骤七：动态操作：当普通用户CO需要修改、删除或者增加外包存储到云服务提供商CSP中的数据时，执行动态操作算法完成对远程数据的修改并将该操作记录在操作链中。

2.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤一具体为：

步骤1.1：普通用户CO执行初始化算法产生私钥对和公钥对；

步骤1.2：参数初始化：初始化输入的安全参数λ，生成阶数为P的乘法循环群G和G_T，且存在双线性映射关系为：e:G×G→G_T，其中G的生成元为g_CO和g_DO，G中选取一个辅助变量u←G；

选择散列函数：H:{0,1}^*→G，h(·):G→Z_p，上式中Z_p为阶数P的群；

定义伪随机置换函数：

定义伪随机函数：f_key{0,1}^*×K→Z_p，其中key∈ID，数据块编号

K为编号ID；

步骤1.3：密钥生成：普通用户CO选择随机数

为阶数为P的乘法循环群，计算

生成公钥对＜PK,v＞，私钥对

授权用户DO选择随机数x，

计算

生成公钥对＜SPK,y＞，私钥对＜SSK,x＞。

3.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤二具体为：

步骤2.1：普通用户CO先将数据M进行加密，之后平均分成n块，M表示要存储到云端的数据文件，M＝m₁||m₂||…||m_n，m_i表示均分成的第i个数据块，i∈[1,n]；

步骤2.2：假设数据M的标识为

每一个数据块的标号为

执行下面的步骤生成标签，也即为每一数据块生成签名，用于检查数据的完整性；

步骤2.2.1：对每一个数据块m_i，计算b_i＝H(m_i)，b_i为数据块m_i的哈希值，H(m_i)为相应的哈希函数；

步骤2.2.2：对每一个数据块m_i，生成对应的标签

标签集合为

u为G中选取的辅助变量，

为进行数据签名的私钥；

步骤2.2.3：对每一个数据块m_i，找一个相应的随机数

计算m_i的变色龙哈希

g_c是

的生成元，

r为变色龙陷门值r_i进行加密后的结果。

4.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤三具体为：

步骤3.1：普通用户CO生成以每个数据块的变色龙哈希值为叶子节点的MHT，并对MHT的叶子节点进行签名；

步骤3.2：普通用户CO将数据M的数据分块信息

组合成一个Node_i，并利用底层MHT算法构建本地数据UB_M，普通用户CO对数据块m_i进行签名

为普通用户CO进行数据加密的私钥，然后将本地数据UB_M发送到云服务提供商CSP，与其对应的证据数据

发送给授权用户DO；

步骤3.3：普通用户CO删除本地数据UB_M，保留对应的证据数据

步骤3.4：授权用户DO定期打包普通用户CO发送的证据数据

生成区块文件并上链，云服务提供商CSP在同样的周期内将普通用户CO发送的原始本地数据UB_M打包，利用顶层MHT算法构建文件并存储。

5.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤四具体为：

步骤4.1：授权用户DO收到普通用户CO对外包数据M的验证请求之后，向云服务提供商CSP提出挑战；

步骤4.2：云服务提供商CSP返回M的数据标签，授权用户DO通过公钥spk来验证数据标签是否正确；

步骤4.3：若等式

不成立，则数据已被修改，结束程序，通知用户结果；

步骤4.4：若等式

成立，执行如下步骤生成挑战信息：

步骤4.4.1：授权用户DO选择数据M_i所属的区块，该区块包含m个

文件，确定每个

文件要进行挑战的子集I＝{Node_i}_1≤i≤c；

步骤4.4.2：利用随机置换函数π(·)_key计算NodeID_i＝π_k1(NodeID_i)，利用随机函数f_key(·)计算

步骤4.4.3：组成一个

相对应的挑战块

m个

组成上述区块的挑战

6.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤五当云服务提供商CSP收到授权用户DO发送的挑战请求

后，云服务提供商CSP执行如下步骤完成证据生成：

步骤5.1：根据block_i找到被挑战的区块，根据

找到被挑战的NodeID_i所对应的数据块文件，相关辅助信息为

c个辅助信息构成合集β＝{α_i}_1≤i≤c；

步骤5.2：针对每一个

求标签

为数据M_i持有证据，v_j为数据块m_j对应的随机数；

步骤5.3：云服务提供商CSP对所需验证的数据块证据采用随机置换函数进行加密处理，选择随机元素r←Z_p，利用随机函数r＝f_i(chal)，其中i为云服务提供商CSP每次应对挑战随机生成的随机函数密钥，u←G，计算：

R＝u^r∈G，

R为辅助变量u加密处理值；

步骤5.4：每一个

所对应的挑战证据为

为数据M_i数据验证的辅助信息集；

步骤5.5：云服务提供商CSP将m个

对应的证据整合为一个证据

发送给授权用户DO。

7.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤六授权用户DO收到云服务提供商CSP发来的证据信息

后，根据如下步骤进行数据验证：

步骤6.1：首先对其中的每一个

根据等式

判断数据签名的完整性，若等式成立，则表示数据标签没有被修改过；

步骤6.2：根据等式

判断存储在云服务提供商CSP中用户数据的完整性，若等式成立，则表示数据内容被完整的保存，通知相应的普通用户CO并将审计结构记录在审计链中；rh(R)为对证据信息进行加密的随机值，ν为普通用户CO的公钥，ν_i为数据块m_i对应的随机数，ν_i的下标i为随机选择验证的节点编号；

步骤6.3：若等式

不成立，利用辅助信息α_i中Node_i查到挑战分块文件在授权用户DO中的LM以及DataHash，通过比较LM？＝LM_i和DataHash？＝DataHash_i来定位数据的具体错误位置；

其中LM为数据块在底层MHT中的位置，DataHash为相关辅助节点的Hash值。

8.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤七中在云服务提供商CSP上数据更新的发送方为普通用户CO，接收方为云服务提供商CSP，普通用户CO将数据块m₁修改为

m₁由Block^*中的

所表示，在底层MHT中的位置是LM，数据更新的步骤为：

步骤7.1.1：普通用户CO读取

中存储的信息r₁、u、b₁，找到更新数据块在Block^*中的位置LM，r₁为变色龙陷门值、u为变色龙哈希值中的辅助变量、b₁为数据块m₁的哈希值；

步骤7.1.2：普通用户CO通过变色龙哈希函数求出陷门值：

σ₁为数据块m₁的数据标签；

为修改后的数据

的哈希值；

为

的数据标签；

步骤7.1.3：普通用户CO计算数据块

的数据标签

和哈希值

步骤7.1.4：普通用户CO广播更新操作

给全部的授权用户DO，发送更新操作

给云服务提供商CSP；

步骤7.1.5：云服务提供商CSP接收到更新信息Update_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.1.5.1：根据BlockID，LM找到更新数据的位置Node₁；

步骤7.1.5.2：验证等式

CHash为变色龙哈希值；验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.1.5.3：更新MHT树中相应节点的数据信息；

步骤7.1.5.4：发送信息Update_finish＝{Time,BlockID,LM}给授权用户DO；Time为时间戳；

步骤7.1.6：授权用户DO针对更新后的数据文件M₃随机选择包含更新数据块

的部分数据的哈希值，并通知云服务提供商CSP发送同样的数据，通过对比判断云服务提供商CSP是否作恶，在动态操作链中记录操作信息，并通知普通用户CO结果。

9.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤七中在云服务提供商CSP上数据删除的发送方为为普通用户CO，接收方为云服务提供商CSP，设普通用户CO删除数据块m₁，其中m₁由Block^*中的

所表示，m₁在底层MHT中的位置是LM，数据删除的步骤为：

步骤7.2.1：普通用户CO读取

中存储的信息r₁、b₁，找到腰删除的数据块在Block^*中的位置LM；

步骤7.2.2：普通用户CO通过变色龙哈希函数求出门限值：

步骤7.2.3：普通用户CO广播删除操作

给全部的授权用户DO，发送删除操作

给云服务提供商CSP；

步骤7.2.4：云服务提供商CSP接收到删除信息Delete_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.2.4.1：根据BlockID，LM找到删除数据的位置Node₁；

步骤7.2.4.2：验证等式

是否成立；验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.2.4.3：删除MHT树中相应节点的数据信息，只保留变色龙哈希算法的相关信息；

步骤7.2.4.4：发送信息Delete_finish＝{Time,BlockID,LM}给授权用户DO；

步骤7.2.5：授权用户DO将删除操作记录到动态操作链中，并通知普通用户CO结果。

10.根据权利要求1所述的一种基于区块链的云数据完整性审计方法，其特征在于：所述步骤七中在云服务提供商CSP上数据插入的发送方为为普通用户CO，接收方为云服务提供商CSP，设普通用户CO在m₄位置插入新的数据块m₅，其中m₄由Block^*中

所表示，在底层MHT的位置是LM，数据插入的步骤为：

步骤7.3.1：普通用户CO读取

中存储的信息r₄，找到数据块m₄在Block^*中的位置LM；

步骤7.3.2：普通用户CO计算数据块的数据标签

哈希值Hash，变色龙哈希值

陷门值

相关信息组合成Node₅；g_c为G中生成元；

步骤7.3.3：普通用户CO通过变色龙哈希函数求出陷门值H_d＝CH(PK,(H_g+H_r),r^*)；

步骤7.3.4：普通用户CO广播插入操作Insert_DO＝{r^*,Node₅,BlockID,LM}给授权用户DO，发送插入操作Insert_CSP＝{r^*,Node₅,BlockID,LM}给云服务提供商CSP；

步骤7.3.5：云服务提供商CSP接收到插入信息Insert_CSP后，验证信息的签名

验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤：

步骤7.3.5.1：根据找到插入数据块的位置Insert_position；

步骤7.3.5.2：验证等式CHash(PK,(b₅+σ₅),r₅)＝CHash(PK,(H_g+Hr),r^*)是否成立，验证不通过结束程序，通知普通用户CO，验证通过执行如下步骤；

步骤7.3.5.3：若Insert_position＜MHT.high，且插入位置为叶子节点，即当前位置可以直接插入Node₅；

步骤7.3.5.4：若Insert_position＝MHT.high，且插入位置为叶子节点，即需开辟新的空间保存Node₄，当前位置作为根节点，左右孩子各存放Node₄和Node₅信息，并建立关联；

步骤7.3.5.5：若Insert_position为非叶子节点，即为删除信息后的节点，直接存放Node₅信息；

步骤7.3.5.6：发送信息Insert_finish＝{Time,BlockID,LM}给授权用户DO；

步骤7.3.6：授权用户DO针对动态操作后的数据文件M₃随机选择包含Insert_position的部分数据的哈希值，并通知云服务提供商CSP发送同样的数据，通过对比判断云服务提供商CSP是否作恶，在动态操作链中记录操作信息，并通知普通用户CO结果。

Images