CN114499818A - 云数据审计方法及装置、电子设备、计算机可读存储介质 - Google Patents

云数据审计方法及装置、电子设备、计算机可读存储介质 Download PDF

Info

Publication number
CN114499818A
CN114499818A CN202210088338.1A CN202210088338A CN114499818A CN 114499818 A CN114499818 A CN 114499818A CN 202210088338 A CN202210088338 A CN 202210088338A CN 114499818 A CN114499818 A CN 114499818A
Authority
CN
China
Prior art keywords
party
data
auditor
party auditor
leader node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210088338.1A
Other languages
English (en)
Inventor
陈兰香
曾令仿
陈�光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Lab
Original Assignee
Zhejiang Lab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Lab filed Critical Zhejiang Lab
Priority to CN202210088338.1A priority Critical patent/CN114499818A/zh
Publication of CN114499818A publication Critical patent/CN114499818A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Accounting & Taxation (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Databases & Information Systems (AREA)
  • Development Economics (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • General Business, Economics & Management (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云数据审计方法及装置、电子设备、计算机可读存储介质,包括:拥有数据的终端对其数据构建用于完整性审计的可验证标签,然后将数据及标签存储到云服务器。为了保证存储数据的完整性,授权第三方审计者对存储在云服务器的数据进行完整性验证。由于第三方审计者并不完全可信,因此,提出一种云数据审计方法,针对每次审计操作,成立一个随机选择成员的审计者委员会,来完成审计操作。因为审计者委员会成员是随机选取,从而可以抵抗拒绝服务攻击与合谋攻击。

Description

云数据审计方法及装置、电子设备、计算机可读存储介质
技术领域
本申请涉及云数据审计领域,具体涉及一种云数据审计方法及装置、电子设备、计算机可读存储介质。
背景技术
云计算是一种基于共享IT资源的新型计算模式。随着信息技术的不断发展,数据规模呈现指数级增长,平均每天新增的数据达到PB甚至EB级别,为了应对不断增长的数据存储需求,越来越多的公司或个人选择将本地数据外包至云存储服务器,从而可以极大地节约经济和管理成本。然而,当用户将数据存储到云服务器上,便失去了对数据的物理控制权,从而产生一些新的安全问题,如存储设备硬件故障,云存储服务商的恶意篡改等。特别是,近年来,频繁出现的云存储服务器数据安全事故,如Apple个人信息泄露事件、GoogleGmail邮箱用户数据丢失事件、Amazon EC2删除用户数据事件,引起了用户对云数据安全的担忧。所以,对于云存储数据完整性验证成为研究的热点。
传统的云存储数据完整性审计方案,需要用户从云服务器上将数据下载到本地,然后在本地完成数据完整性验证,显然,这种方式会造成较大的计算和通信开销。为了更好地验证云存储数据的完整性,研究者们提出了一系列云数据完整性审计方案,使得用户不需要从云服务器下载全部数据,便可完成云数据完整性审计。目前的大部分云数据审计方案都是利用第三方审计者(Third Party Auditor,TPA)对存储在云服务器上的数据进行完整性审计,从而可以极大地减轻数据拥有者的审计负担。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
现有方案基本都是假设第三方审计者TPA是可信的,然而,现实应用中,第三方审计者并不是完全可信的,并且由于提前泄露身份,容易遭到敌手的攻击,比如拒绝服务(Denial of Service,DoS)攻击与合谋攻击(Collusion Attack)等。
发明内容
本申请实施例的目的是提供一种云数据审计方法及装置、电子设备、计算机可读存储介质,利用可验证随机函数(Verifiable Random Functions,VRF)构造随机抽签函数,并根据抽签函数选取具有审计资格的审计者委员会TPAC(Third Party AuditorCommittee,TPAC)。因为每次的完整性审计由随机选择的TPAC来完成,从而可以抵抗DoS攻击与合谋攻击。
根据本申请实施例的第一方面,提供一种云数据审计方法,包括:
拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
拥有数据的终端将数据及其可验证标签存储到云服务器中;
拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上;
其中所述一组第三方审计者构成区块链网络。
根据本申请实施例的第二方面,提供一种云数据审计方法,应用于拥有数据的终端,包括:
在本地构建可验证标签,用于数据完整性审计;
将数据及其可验证标签存储到云服务器中;
授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
根据本申请实施例的第三方面,提供一种云数据审计方法,应用于云服务器,包括以下步骤:
接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
进一步地,从一组第三方审计者中选取一个作为第三方审计者领导节点,具体包括:
每个第三方审计者利用可验证随机函数中的密钥生成算法生成公私钥对,由所述拥有数据的终端配置每个第三方审计者的权重;
根据所述私钥,所述每个第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述每个第三方审计者是否是第三方审计者领导节点的候选节点;
根据所述公钥,所述第三方审计者领导节点的候选节点调用可验证随机函数中的验证算法,当验证结果为1时,选取所述权重最大的候选节点作为第三方审计者领导节点。
进一步地,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,具体包括:
每个第三方审计者首先检查自己的权重是否大于0,权重大于0的第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述第三方审计者是否被选为所述第三方审计者委员会的成员;
所述第三方审计者委员会的每个成员对服务器返回的证据进行验证,利用已有的验证方法,只有当大于一半的所述第三方审计者委员会的成员通过验证,才表明验证成功,否则验证失败;
将上述验证成功或失败的结果发送给所述第三方审计者领导节点。
根据本申请实施例的第四方面,提供一种云数据审计装置,包括:
第一构建模块,用于拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
第一存储模块,用于拥有数据的终端将数据及其可验证标签存储到云服务器中;
第一授权模块,用于拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
挑战模块,用于当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第一生成模块,用于所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
返回模块,用于利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
打包上链模块,用于所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上;
其中所述一组第三方审计者构成区块链网络。
根据本申请实施例的第五方面,提供一种云数据审计装置,应用于拥有数据的终端,包括以下步骤:
第二构建模块,用于在本地构建可验证标签,用于数据完整性审计;
第二存储模块,用于将数据及其可验证标签存储到云服务器中;
第二授权模块,用于授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
根据本申请实施例的第六方面,提供一种云数据审计装置,应用于云服务器,包括以下步骤:
第一接收模块,用于接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
第二接收模块,用于接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第二生成模块,用于根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
根据本申请实施例的第七方面,提供一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一、第二、第三方面任一项的方法。
根据本申请实施例的第八方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一、第二、第三方面任一项所述方法的步骤。
本申请的实施例提供的技术方案可以包括以下有益效果:
由上述实施例可知,本申请采用随机选取的审计者委员会执行数据完整性审计,可以抵抗DoS攻击与合谋攻击。结合本发明提出的随机审计者委员会,可以使得任何利用TPA完成云数据审计的方案均具有抵抗DoS攻击与合谋攻击的能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是根据一示例性实施例示出的系统结构图。
图2是根据一示例性实施例示出的系统框架示意图。
图3是根据一示例性实施例示出的一种云数据审计方法的流程图。
图4是根据一示例性实施例示出的一种云数据审计装置的框图。
图5是根据一示例性实施例示出的一种云数据审计方法的流程图。
图6是根据一示例性实施例示出的一种云数据审计装置的框图。
图7是根据一示例性实施例示出的一种云数据审计方法的流程图。
图8是根据一示例性实施例示出的一种云数据审计装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以下首先就本发明的技术术语进行解释和说明:
数据拥有端(Data Owner,DO):指将其数据外包到云服务器的有存储需求的单位企业或者个人用户端,需要针对其数据生成可验证标签,然后将数据及可验证标签存储到云服务器。
云服务提供商(Cloud Service Provider,CSP):存储数据拥有者的数据及可验证标签,会忠实执行第三方审计者的审计任务,生成相应的证据。
第三方审计者(Third Party Auditor,TPA):由数据拥有者DO授权,根据自身权重,判断是否有资格参选LTPA以及第三方审计委员会TPAC,帮助完成定期或不定期的云数据审计。
第三方审计者领导节点(Leader of Third Party Auditor,LTPA):LTPA由抽签算法选取本轮领导节点,主要负责本轮周期内发起挑战任务以及区块生成。
第三方审计者委员会(Third Party Auditor Committee,TPAC):所有授权第三方审计者TPA通过抽签算法,选取具有本轮验证资格的委员会成员,主要负责审计本次CSP返回的外包数据的证据。
区块链网络(Blockchain Network,BCN):所有授权第三方审计者TPA通过共识算法,生成一条嵌套TPAC对CSP返回的证据的验证信息的验证链。
伪随机函数:是一种映射,将一个数据域的数映射到另一个数据域,不可逆,采用标准的Hash算法,比如SHA-1与SHA-256实现;
以下结合实施例和附图对本发明做进一步说明。
实施例1:
本发明实施例提供一种云数据审计方法,如图1和图2所示,该云数据审计方法中涉及数据拥有端、云服务器和区块链网络,由这三者组成一个系统,其中区块链网络由一组第三方审计者构成,第三方审计者领导节点和第三方审计者委员会均为其中的节点,参考图3,该方法可以包括以下步骤:
步骤S11,拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
具体地,目前外包数据审计方案有很多种构建可验证标签的方法,但鉴于代数签名生成的可验证标签的效率高,在这里以利用代数签名生成可验证标签作为示例。但用于生成可验证标签的方法不限于此。
所述拥有数据的终端将数据文件F分割为n个数据分块,分别为(F[1],F[2],…,F[n])。然后,随机选取n个值
Figure BDA0003488116340000091
并构造τi=FID||IN||TIME(||表示字符串的连接),其中FID为文件的唯一标识,IN为数据块的索引号,TIME为时间戳。所述拥有数据的终端计算每个数据分块的校验值
Figure BDA0003488116340000092
Figure BDA0003488116340000093
然后,计算每个数据块的代数签名Ti=Sγ(Ci||τi)。其中f(·)是异或同态函数,Sγ(·)是代数签名函数。
最后,所述拥有数据的终端发送
Figure BDA0003488116340000094
以及skc给所述云服务器,同时将
Figure BDA0003488116340000095
以及skt发送给所述第三方审计者。
步骤S12,拥有数据的终端将数据及其可验证标签存储到云服务器中;
具体地,拥有数据的终端将数据及其可验证标签利用网络发送到云服务器中。
步骤S13,拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
具体地,在系统初始化过程中,需要配置好区块链网络,区块链网络上的节点都是第三方审计者,可根据每个第三方审计者的声誉设定权重,权重的设计不是本发明的重点,拥有数据的终端可以自由选择权重配置方法。
步骤S14,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
具体地,在选取所述第三方审计者领导节点时,利用了可验证随机函数(Verifiable Random Function,VRF),包括三个多项式时间算法,具体如下:
首先设G是一个p阶的加法群,其生成元为g,伪随机函数h1(·):{0,1}*→G,h2(·):{0,1}*→Zp,h3(·):{0,1}*→Zp
—Gen(1k)→(vsk,vpk):密钥生成算法,生成公私钥对,随机选择
Figure BDA0003488116340000101
私钥vsk=k,公钥vpk=kg。
—Eval(vsk,seed)→(rval,π):评估算法,生成随机数和证据,记vsk=k,首先计算H=h1(seed),随机选择
Figure BDA0003488116340000102
计算rH,rg;计算s=h2(rH,rg),t=(r-s*k)mod p;计算V=kH;生成随机数rval=h3(V),设证据π=(V,t,s)。
—Ver(vpk,seed,rval,π)→(1/0):验证算法,记vpk=Y,分解π=(V′,t′,s),首先计算H′=h1(seed);然后计算U1=t′H′+sV′,U2=t′g+sY;计算s′=h2(U1,U2);若s′≡s,则表明随机数有效,验证通过,输出1,否则验证不通过,输出0。
可验证随机函数是一种将输入映射为可验证的伪随机输出的密码方案,VRF输出一个随机数,由于包含生成者的私钥签名,验证者可以通过公钥确定随机数的合法性。VRF具有三大特性:可验证性、唯一性和随机性。利用VRF的随机性,从而保证每次选择的节点都是随机的,从而不可预测。
选取所述第三方审计者领导节点具体包括以下步骤:
(1)每个第三方审计者利用可验证随机函数中的密钥生成算法生成公私钥对,由所述拥有数据的终端配置每个第三方审计者的权重。
具体地,所述每个第三方审计者调用算法VRF.Gen(1k)生成公私钥对,设总计有a个第三方审计者,记生成的公钥为VPK={vpk1,vpk2,…,vpka},私钥为VSK={vsk1,vpk2,…,vska},每个TPA的权重为W={w1,w2,…,wa},权重可以由数据拥有者配置,也可以根据TPA的声誉进行评定,但不限于此。
(2)根据所述私钥,每个第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述每个第三方审计者是否是第三方审计者领导节点的候选节点。
具体地,所述每个第三方审计者调用算法VRF.Eval(vski,seedr)→(hashii),当hashi/2hashlen>λ,返回(hashii,1)(表明成为候选领导节点),否则返回(hashii,0),设选取的候选领导节点为CanA={CanA1,CanA2,…,CanAm}。
(3)根据所述公钥,所述第三方审计者领导节点的候选节点调用可验证随机函数中的验证算法,当验证结果为1时,选取所述权重最大的候选节点作为第三方审计者领导节点。
具体地,所述每个候选领导节点调用算法VRF.Ver(vpki,hashi,i,seedr),当验证结果为1且hashi/2hashlen>λ,选取权重最大的第三方审计者为第三方审计者领导节点。
所述第三方审计者领导节点向所述云服务器发出挑战过程如下:
所述第三方审计者领导节点从集合{1,2,…,n}中随机选取子集{s1,s2,..,sc},随机选择
Figure BDA0003488116340000111
然后构造挑战消息
Figure BDA0003488116340000112
并发送给所述云服务器以及所有第三方审计者。
所述第三方审计者领导节点随机生成用于选取所述第三方审计者委员会的种子,并发给所有第三方审计者。
步骤S15,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
具体地,所述云服务器收到所述第三方审计者领导节点的挑战消息后,根据对应挑战消息,计算
Figure BDA0003488116340000113
然后构造响应证据
Figure BDA0003488116340000114
并根据响应证据,生成新的交易
Figure BDA0003488116340000121
其中
Figure BDA0003488116340000122
表示所有第三方审计者节点地址,time为本次交易的时间戳,status则表示对应proof的验证状态。
步骤S16,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
具体地,所述第三方审计者委员会选取过程具体包括以下子步骤:
(1)每个第三方审计者首先检查自己的权重是否大于0,权重大于0的第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述第三方审计者是否被选为所述第三方审计者委员会的成员。
具体地,所述每个第三方审计者首先检查自己的权重是否大于0,只有当权重大于0才继续。
所述权重大于0的每个第三方审计者调用算法VRF.Eval(vski,seedr)→(hashii),当hashi/2hashlen>λ,返回(hashii,1)(表明选中为所述第三方审计者委员会的成员),否则返回(hashii,0)。设选取的所述第三方审计者委员会为TPAC={TPAC1,TPAC2,…,TPACb}。
(2)所述第三方审计者委员会的每个成员对服务器返回的证据进行验证,利用已有的验证方法,只有当大于一半的所述第三方审计者委员会的成员通过验证,才表明验证成功,否则验证失败。
具体地,所述第三方审计者委员会的每个成员对服务器返回的证据进行验证,验证过程如下:
所述第三方审计者委员会的每个成员计算
Figure BDA0003488116340000123
如果
Figure BDA0003488116340000124
则返回0,表明验证失败,否则返回1,表明验证成功。
依据如下:
Figure BDA0003488116340000131
所述第三方审计者委员会的每个成员计算
Figure BDA0003488116340000132
输出verify_tx=(resulti,v_infoi,rval,π)。
只有当大于一半的所述第三方审计者委员会成员通过验证,才表明验证成功,否则验证失败。
(3)所述第三方审计者委员会成员将验证成功或失败的结果发送给所述第三方审计者领导节点。
步骤S17,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上;其中所述一组第三方审计者构成区块链网络。
具体地,所述第三方审计者领导节点根据所述第三方审计者委员会返回的验证结果verify_tx,修改交易tx.status。
所述第三方审计者领导节点将tx以及验证结果verify_tx打包并放到新的区块中。
由于所述第三方审计者领导节点根据所述第三方审计者委员会返回的验证结果,当超过一半所述第三方审计者委员会成员验证通过时,则修改交易中状态status为真,否则为假。所以,当所述第三方审计者委员会成员中存在行为不端的节点时,如果节点的数量少于本次所述第三方审计者委员会成员节点一半时,并不会影响本次验证结果的正确性。所以,方案可以有效抵抗行为不端的第三方审计者的威胁。
可验证随机函数,首先密钥生成算法Gen(1k)→(vsk,vpk),输出私钥vsk=k,公钥vpk=kg。在随机数和证明生成算法Eval(vsk,seed)→(rval,π)的过程中,伪随机函数h1将随机种子seed映射到椭圆曲线上H点,即H=h1(seed),并通过使用私钥vsk=k,计算V=kH,最后通过伪随机函数h3(V)=h3(kH),即输出随机数rval。由于根据伪随机函数的值域的唯一性,可以使得在相同的随机种子seed,并且在私钥vsk=k不改变的情况下,H=h1(seed)是相同的。因此随机数rval=h3(kH)具有确定性,从而满足唯一性。又基于伪随机函数均匀分布特性使得,H=h1(seed)将随机种子seed映射到椭圆曲线上H点,使得H具有随机特性,从而使得随机数rval具有随机性。
在分析可验证性时,假设TPAi根据随机种子seed,调用可验证随机函数生成随机数rval,以及证明π=(V,t,s),而其公钥vpki=kg,则TPAi+1在接到TPAi发送的随机数rval′,证明π′=(V′,t′,s′)情况下,如果随机数rval,以及证明π=(V,t,s)在未被篡改情况下,则有rval′=rval,π′=π,则有以下相关验证计算:
由于H′=h1(seed)=H,t′=t,V′=V,则
因为U′1=t′H′+s′V′=tH+sH=(t+sk)H=rH,
U′2=t′g+s′(vpki)=tg+s(vpki)=tg+s(kg)=(t+sk)g=rg.
又因为s=h2(rH,rg).
所以,可得s′=h2(U′1,U′2)=h2(rH,rg)=s.由此可证明抽签函数的可验证性。
由上述实施例可知,本申请通过引入可验证随机函数,将输入映射为可验证的伪随机输出,同时对于这个伪随机输出,利用伪随机输出的生成者的私钥进行签名,验证者可以通过生成者的公钥确定伪随机输出的合法性。可验证随机函数具有三大特性:可验证性、唯一性和随机性。利用可验证随机函数的随机性,保证每次选择的节点都是随机的,从而不可预测。利用可验证随机函数的可验证性,保证每次第三方审计者的随机数是合法的。通过利用随机选取的第三方审计者委员会执行数据完整性审计,使得每次审计者是不确定的,而且是不可预测的,从而可以抵抗拒绝服务攻击与合谋攻击。
与前述的云数据审计方法的实施例相对应,本申请还提供了云数据审计装置的实施例。
图4是根据一示例性实施例示出的一种云数据审计装置框图。参照图4,该装置包括:
第一构建模块11,用于拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
第一存储模块12,用于拥有数据的终端将数据及其可验证标签存储到云服务器中;
第一授权模块13,用于拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
挑战模块14,用于当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第一生成模块15,用于所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
返回模块16,用于利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
打包上链模块17,用于所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上;
其中所述一组第三方审计者构成区块链网络。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
实施例2:
参考图5,本实施例提供一种云数据审计方法,应用于拥有数据的终端,包括:
步骤S21,在本地构建可验证标签,用于数据完整性审计;
步骤S22,将数据及其可验证标签存储到云服务器中;
步骤S23,授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上,其中所述一组第三方审计者构成区块链网络。
与前述的云数据审计方法的实施例相对应,本申请还提供了云数据审计装置的实施例。
图6是根据一示例性实施例示出的一种云数据审计装置框图。参照图6,该装置包括:
第二构建模块21,用于在本地构建可验证标签,用于数据完整性审计;
第二存储模块22,用于将数据及其可验证标签存储到云服务器中;
第二授权模块23,用于授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上,其中所述一组第三方审计者构成区块链网络。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
实施例3:
参考图7,本实施例提供一种云数据审计方法,应用于云服务器,包括以下步骤:
步骤S31,接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
步骤S32,接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
步骤S33,根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上,其中所述一组第三方审计者构成区块链网络。
与前述的云数据审计方法的实施例相对应,本申请还提供了云数据审计装置的实施例。
图8是根据一示例性实施例示出的一种云数据审计装置框图。参照图8,该装置包括:
第一接收模块31,用于接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
第二接收模块32,用于接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第二生成模块33,用于根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上,其中所述一组第三方审计者构成区块链网络。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
相应的,本申请还提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述的云数据审计方法。
相应的,本申请还提供一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如上述的云数据审计方法。
本领域技术人员在考虑说明书及实践这里公开的内容后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种云数据审计方法,其特征在于,包括:
拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
拥有数据的终端将数据及其可验证标签存储到云服务器中;
拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块存放到验证链上;
其中所述一组第三方审计者构成区块链网络。
2.一种云数据审计方法,其特征在于,应用于拥有数据的终端,包括:
在本地构建可验证标签,用于数据完整性审计;
将数据及其可验证标签存储到云服务器中;
授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
3.一种云数据审计方法,其特征在于,应用于云服务器,包括以下步骤:
接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
4.根据权利要求1、2、3中任一项所述的一种云数据审计方法,其特征在于,从一组第三方审计者中选取一个作为第三方审计者领导节点,具体包括:
每个第三方审计者利用可验证随机函数中的密钥生成算法生成公私钥对,由所述拥有数据的终端配置每个第三方审计者的权重;
根据所述私钥,每个第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述每个第三方审计者是否是第三方审计者领导节点的候选节点;
根据所述公钥,所述第三方审计者领导节点的候选节点调用可验证随机函数中的验证算法,当验证结果为1时,选取所述权重最大的候选节点作为第三方审计者领导节点。
5.根据权利要求1、2、3中任一项所述的一种云数据审计方法,其特征在于,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,具体包括:
每个第三方审计者首先检查自己的权重是否大于0,权重大于0的第三方审计者调用可验证随机函数中的评估算法,根据评估结果判断所述第三方审计者是否被选为所述第三方审计者委员会的成员;
所述第三方审计者委员会的每个成员对服务器返回的证据进行验证,利用已有的验证方法,只有当大于一半的所述第三方审计者委员会的成员通过验证,才表明验证成功,否则验证失败;
将上述验证成功或失败的结果发送给所述第三方审计者领导节点。
6.一种云数据审计装置,其特征在于,包括:
第一构建模块,用于拥有数据的终端在本地构建可验证标签,用于数据完整性审计;
第一存储模块,用于拥有数据的终端将数据及其可验证标签存储到云服务器中;
第一授权模块,用于拥有数据的终端授权第三方审计者对存储在所述云服务器上的数据进行完整性审计;
挑战模块,用于当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第一生成模块,用于所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据;
返回模块,用于利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点;
打包上链模块,用于所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上;
其中所述一组第三方审计者构成区块链网络。
7.一种云数据审计装置,其特征在于,应用于拥有数据的终端,包括以下步骤:
第二构建模块,用于在本地构建可验证标签,用于数据完整性审计;
第二存储模块,用于将数据及其可验证标签存储到云服务器中;
第二授权模块,用于授权第三方审计者对存储在所述云服务器上的数据进行完整性审计,以使得当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战,所述云服务器根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
8.一种云数据审计装置,其特征在于,应用于云服务器,包括以下步骤:
第一接收模块,用于接收并存储数据及其可验证标签,其中所述数据来自拥有数据的终端,所述可验证标签由所述拥有数据的终端在本地构建而得,用于数据完整性审计;
第二接收模块,用于接收由第三方审计者领导节点发出的挑战,其中所述第三方审计者领导节点从一组第三方审计者中选取得到,所述第三方审计者被所述拥有数据的终端授权,以对存储在所述云服务器上的数据进行完整性审计,当有审计任务时,从一组第三方审计者中选取一个作为第三方审计者领导节点,由所述第三方审计者领导节点向所述云服务器发出挑战;
第二生成模块,用于根据所述挑战的要求,利用存储的数据及可验证标签生成数据完整的证据,以使得利用可验证随机函数从一组第三方审计者中随机选取若干个第三方审计者组成第三方审计者委员会,由所述第三方审计者委员会对所述云服务器返回的所述证据进行验证,并将所述验证的结果发送给所述第三方审计者领导节点,所述第三方审计者领导节点收集所述验证的结果,并将所述验证的结果打包到新的区块并存放到验证链上,其中所述一组第三方审计者构成区块链网络。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
CN202210088338.1A 2022-01-25 2022-01-25 云数据审计方法及装置、电子设备、计算机可读存储介质 Pending CN114499818A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210088338.1A CN114499818A (zh) 2022-01-25 2022-01-25 云数据审计方法及装置、电子设备、计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210088338.1A CN114499818A (zh) 2022-01-25 2022-01-25 云数据审计方法及装置、电子设备、计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN114499818A true CN114499818A (zh) 2022-05-13

Family

ID=81474912

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210088338.1A Pending CN114499818A (zh) 2022-01-25 2022-01-25 云数据审计方法及装置、电子设备、计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114499818A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527284A (zh) * 2023-06-16 2023-08-01 中国联合网络通信集团有限公司 数据存储安全性确定方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527284A (zh) * 2023-06-16 2023-08-01 中国联合网络通信集团有限公司 数据存储安全性确定方法、装置、设备及存储介质
CN116527284B (zh) * 2023-06-16 2023-08-29 中国联合网络通信集团有限公司 数据存储安全性确定方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN109325331B (zh) 基于区块链和可信计算平台的大数据采集交易系统
Wei et al. Security and privacy for storage and computation in cloud computing
CN109889497B (zh) 一种去信任的数据完整性验证方法
CN104993937B (zh) 一种用于云存储数据完整性的检验方法
CN114499895B (zh) 一种融合可信计算与区块链的数据可信处理方法及系统
CN113569294B (zh) 一种零知识证明方法及装置、电子设备、存储介质
CN107483585A (zh) 云环境中支持安全去重的高效数据完整性审计系统及方法
CN109286490A (zh) 支持密态数据去重和完整性验证方法及系统
CN112600675B (zh) 基于群签名的电子投票方法及装置、电子设备、存储介质
CN112910632B (zh) 一种新型面向多数据用户、保护用户隐私的云端数据完整性验证方法
CN112149181B (zh) 一种带有信誉值分析作用的混合云数据中心数据传输方法
Jiang et al. SearchBC: A blockchain-based PEKS framework for IoT services
CN109981736B (zh) 一种支持用户与云服务器相互信任的动态公开审计方法
CN114499818A (zh) 云数据审计方法及装置、电子设备、计算机可读存储介质
CN114528565A (zh) 一种基于区块链的敏感数据高效上链算法
Jin et al. Proof of aliveness
CN110232283A (zh) 基于同态加密的黑名单云共享验证的方法和相关装置
Burra et al. Certificateless Reliable and Privacy‐Preserving Auditing of Group Shared Data for FOG‐CPSs
CN107277054A (zh) 一种数据完整性验证的方法及系统
CN114679284A (zh) 可信远程证明系统及其存储、验证方法、存储介质
CN111311264A (zh) 一种交易发送者的监管方法和系统
CN111340489A (zh) 可监管的交易接收者保护方法和装置
CN115208629B (zh) 基于智能合约的数据完整性验证方法
CN113360937B (zh) 一种基于智能合约的云平台密钥分发方法及系统
CN113947405B (zh) 基于区块链的数字资产管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination