CN116938452B - 一种加密备份账套的云审计方法 - Google Patents

Abstract

本发明公开了一种加密备份账套的云审计方法，涉及数据加密存储技术领域，该发明包括：客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；服务端与客户端执行存储算法存储客户端文件；审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性。通过本发明，解决了相关技术中云备份账套存储时无法加密以及审计的技术问题。

Description

一种加密备份账套的云审计方法

技术领域

本发明涉及数据加密存储技术领域，尤其涉及一种加密备份账套的云审计方法。

背景技术

在信息化时代，信息技术的应用对企业的竞争力至关重要。相对于大型企业和中型企业，小微企业在信息化方面的普及率较低。许多小微企业仍在依赖传统的纸质文档、手工记录和人工处理方式，缺乏有效的信息化管理系统，这种处理方式效率低下，耗费人力资源和时间。由于资源和资金有限，小微企业在信息技术基础设施方面投入有限，缺乏稳定的网络连接、专业的硬件设备和软件系统，影响了信息化水平的提升。小微企业的信息化系统通常由多个独立的应用和工具组成，数据无法很好地共享和集成。这导致了数据孤岛问题，使得信息流通和业务协同存在困难。除此之外，小微企业在信息安全方面面临较大的风险，缺乏专业的安全管理措施和技术，容易受到网络攻击、数据泄露和恶意软件的威胁。

大部分小微企业的核心数据其实存储于各个员工的电脑中，企业无法确保每位员工都能自觉、时刻进行备份，也不能保证硬件永不损坏且员工有意、无意删除重要文件。为了提升小微企业的信息化水平，可以部署轻量型云备份当用户将数据备份到云服务器时，会删除本地副本，不能再管理数据，但无法确定云存储服务器是否正确地存储其数据。因此，需要一个有效的机制，使用户能够检查云数据的完整性。

完整性审计技术被认为是允许用户验证云数据是否正确存储的有效手段，为了将用户从沉重的计算负担中解放出来，在完整性审计模型中引入了第三方审计员，所有这些方案都主要集中在单副本研究上，在单副本方案中，尽管存在审计机制，但由于删除了本地副本，损坏的数据很难恢复。因此，多副本存储已经成为通过跨不同的云服务器存储多个原始数据的副本来提高数据可用性和可恢复性的必然选择。但事实上，用户和审计员也可能是不诚实的。

因此，相关技术中，云备份账套存储时无法加密以及审计的技术问题，尚未提出有效的解决方案。

发明内容

本发明的目的是提供一种加密备份账套的云审计方法，以解决相关技术中云备份账套存储时无法加密以及审计的问题。

根据本申请的一个方面，提供了一种加密备份账套的云审计方法。该方法包括：密钥生成端发布公共参数，其中，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥；客户端文件分成若干个块，块分成若干个扇区，其中，扇区公式表示为：F为客户端文件，s为扇区的数量，n为块的数量，b_ij为扇区，i为块的序号，j为扇区的序号，q为大素数；客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；服务端与客户端执行存储算法存储客户端文件；审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性。

进一步地，密钥生成端发布公共参数，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥，包括：密钥生成端依据第一乘法群获取第一哈希函数、第二哈希函数、第三哈希函数以及第四哈希函数，计算公式表示为：H：{0，1}^*→G₁，H1：{0，1}^*→G₁，H₂：G₁→Z_q，H₃：Z_q×{0，1}^*→Z_q，其中，第一乘法群以及第二乘法群为素数阶的乘法群，Z_q为大素数的整数循环群，G₁为第一乘法群，H为第一哈希函数、H₁为第二哈希函数、H₂为第三哈希函数、H₃为第四哈希函数。

进一步地，密钥生成端发布公共参数，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥，包括：密钥生成端选择一个主密钥，主密钥属于大素数的整数循环群，密钥生成端计算公共密钥，公共密钥属于第一乘法群，其中，msk＝s∈Z_q,mpk＝g^s∈G₁，msk为主密钥，s等于主密钥，mpk为公共密钥，g为第一乘法群的一个生成元，g＝h^((q-1)/n₁)，h为第一乘法群中的一个随机元素，n₁为第一乘法群生成元的个数，g^s等于公共密钥。

进一步地，客户端执行密钥生成算法得到客户端私钥、客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，包括：步骤S401：客户端将客户身份标识发送至密钥生成端，密钥生成端将客户身份标识代入第二哈希函数得到客户部分私钥，客户端接收客户部分私钥；步骤S402：客户端验证客户部分私钥，验证计算公式表示为：e(ssk_O，g)＝e(H₁(ID_O)，mpk)，其中，ssk_O＝H₁(ID_O)，ID_O为客户身份标识，且ID_O∈{0，1}^*，ssk_O为客户部分私钥，g为第一乘法群的一个生成元，e为双线性对，H₁为第二哈希函数，mpk为公共密钥；当客户端验证客户部分私钥失败时，重复执行步骤S401至步骤S402；当客户端验证客户部分私钥成功时，选择客户秘密值，计算客户端私钥以及客户端公钥，计算公式表示为：sk_O＝{sk_O1＝ssk_O，sk_O2＝(x_O+H₂(ssk_O))mod q}，其中，sk_O为客户端私钥，pk_O为客户端公钥，sk_O1为第一客户端私钥，sk_O2为第二客户端私钥，x_O为客户秘密值，x_O∈Z_q，Z_q为大素数的整数循环群，H₂为第三哈希函数。

进一步地，客户端执行密钥生成算法得到客户端私钥、客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，包括：步骤S501：服务端将服务身份标识发送至密钥生成端，密钥生成端将服务身份标识代入第二哈希函数得到服务部分私钥，服务端接收服务部分私钥；步骤S502：服务端验证服务部分私钥，验证计算公式表示为：e(ssk_C，g)＝e(H₁(ID_C)，mpk)，其中，ssk_C＝H₁(ID_C)，ID_C为服务身份标识，且ID_C∈{0，1}^*，ss_CC为服务部分私钥，g为第一乘法群的一个生成元，e为双线性对，H₁为第二哈希函数，mpk为公共密钥；当服务端验证服务部分私钥失败时，重复执行步骤S501至步骤S502；当服务端验证服务部分私钥成功时，选择服务秘密值，计算服务端私钥以及服务端公钥，计算公式表示为：sk_C＝(x_C+H₂(ssk_C))mod q，sk_C为服务端私钥，pk_C为服务端公钥，x_C为服务秘密值，H₂为第三哈希函数。

进一步地，客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名，包括：客户端生成聚合标签，计算公式表示为：σ_i为聚合标签，{a_j∈Z_q}_1≤j≤s，a_j为随机整数，W_i＝name||ID_O||h_i，W_i为特定值的变量，name为随机选择的名称，h_i表示哈希树中第i个叶子节点存储的哈希值，sk_O1为第一客户端私钥，sk_O2为第二客户端私钥，H₃为第四哈希函数，g为第一乘法群的一个生成元；客户端初始化哈希树，生成客户端根；依据客户端根获取客户端签名，计算公式为：其中，为客户端签名，R_O为客户端根。

进一步地，服务端与客户端执行存储算法存储客户端文件，包括：客户端将所有块、聚合标签、哈希树以及客户端签名存储至服务端，删除所有数据且只保留客户端根；服务端验证所有块、聚合标签、哈希树以及客户端签名的有效性；当所有块、聚合标签、哈希树以及客户端签名的有效性验证成功时，服务端存储客户端文件，生成服务端签名，并且客户端验证服务端签名的有效性。

进一步地，服务端验证所有块、聚合标签、哈希树以及客户端签名的有效性，包括：服务端验证块与聚合标签的一致性，验证公式表示为：其中，A_j表示根据a_j计算得出的扇区的值；当服务端验证块与聚合标签的一致性失败后，存储算法终止，客户端接收不同意上传客户端文件的指令；当服务端验证块与聚合标签的一致性成功后，服务端基于哈希树计算服务端根，并且验证客户端签名的有效性，验证公式表示为：其中，R_C为服务端根；当服务端验证客户端签名的有效性失败后，存储算法终止，客户端接收不同意上传客户端文件的指令。

进一步地，当所有块、聚合标签、哈希树以及客户端签名的有效性验证成功时，服务端存储客户端文件，生成服务端签名，并且客户端验证服务端签名的有效性，包括：当服务端验证客户端签名的有效性成功后，服务端存储客户端文件为 为服务端签名；服务端将服务端签名发送至客户端，客户端验证服务端签名，验证公式表示为：当客户端验证服务端签名失败时，存储算法终止，客户端接收不同意上传客户端文件的指令；当客户端验证服务端签名成功时，正确存储客户端文件。

进一步地，审计端获取审计根，审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性，包括：挑战表示为：Q＝{(i，r_i)}，其中，{r_i∈Z_q}_i∈I，Z_q为大素数的整数循环群，I为整数集；审计端将挑战发送至服务端；服务端生成证明，计算公式表示为：P＝{σ，μ}， 其中，σ_i为聚合标签，σ为聚合标签的集合，≤为证明标签，P为证明；服务端将证明以及辅助信息发送至审计端，其中，辅助信息为{Ω_i}_i∈Q为哈希树中从{h_i}_i∈Q到根的路径上的兄弟节点，h_i表示哈希树中第i个叶子节点存储的哈希值；审计端依据辅助信息获取审计根；审计端验证审计根，验证公式表示为：其中，R为审计根；当审计端验证审计根失败时，审计端停止审计；当审计端验证审计根成功时，审计端验证审计公式是否通过，审计公式表示为：

审计端验证审计公式通过时，服务端正确存储客户端文件；审计端验证审计公式不通过时，服务端存储客户端文件有误，客户端接收不同意上传客户端文件的指令。

通过本申请，采用以下步骤：密钥生成端发布公共参数，其中，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥；客户端文件分成若干个块，块分成若干个扇区，其中，扇区公式表示为：F为客户端文件，S为扇区的数量，n为块的数量，b_ij为扇区，i为块的序号，j为扇区的序号，q为大素数；客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；服务端与客户端执行存储算法存储客户端文件；审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性，解决了相关技术中云备份账套存储时无法加密以及审计的问题，进而达到了安全存储云备份账套以及验证云备份账套正误的效果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本申请实施例提供的一种加密备份账套的云审计方法的流程图；

图2是根据本申请实施例提供的一种加密备份账套的云审计方法中审计模型的示意图；

图3是根据本申请实施例提供的哈希树的示意图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例

根据本申请的实施例，提供了一种加密备份账套的云审计方法。

图1是根据本申请实施例的一种加密备份账套的云审计方法的流程图。如图1所示，该方法包括以下步骤：

步骤S101，密钥生成端发布公共参数，其中，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥。

在客户端与密钥生成端之间运行一个密钥生成算法，首先获取公共参数，依据公共参数进行后续算法，提前获取公共参数，为后续的存储与审计做好准备。

步骤S102，客户端文件分成若干个块，块分成若干个扇区，其中，扇区公式表示为：F为客户端文件，S为扇区的数量，n为块的数量，b_ij为扇区，i为块的序号，j为扇区的序号，q为大素数。

客户端文件F，我们把客户端文件分成n个块。然后将每个块b_i进一步分成s个扇区{b_ij}_1≤j≤s，每个扇区都属于Z_q。扇区的数量依赖于q的值和块的大小。

步骤S103，客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥。

参与者使用自己的密钥对数据进行签名，其他参与者可以使用公钥验证签名的有效性。

步骤S104，客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名。

步骤S105，服务端与客户端执行存储算法存储客户端文件。

步骤S106，审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性。

本发明通过系统的账套隐藏功能，可快速地将暂时不使用的账套进行隐藏，大大节约了查找账套的时间。通过账套加密功能，杜绝分子公司的财务可以随意查看所有账套的情况，保证了用户的数据安全。同时，结合访问结构，对用户权限进行细致的管理，只允许特定人员访问特定账套。本发明结合了可访问结构，通过账套隐藏、账套加密和数据备份功能，为企业提供了全面且可靠的数据安全保护措施，确保各个分子公司的财务数据在系统内部得到合理的隐私保护和授权访问。同时，该系统的灵活性和管理便利性也有助于提高企业的信息化管理水平。

图2是根据本申请实施例提供的一种加密备份账套的云审计方法中审计模型的示意图。本发明的审计模型包括以下四个部分：

(1)客户端：客户端可以是个体的客户端或组织的客户端。客户端将所有块上传到服务端中进行存储。为了保护数据完整性，客户端需要使用每个数据块生成一个标记。

(2)审计端：审计端是一个比客户端拥有更多的计算资源和专业知识的实体。在用户获得批准后，它会对服务端存储数据的完整性审计发起一个随机的挑战。

(3)服务端：服务端是具有强大计算能力和足够存储空间的资源中心。服务端负责存储数据，并随时响应来自用户或第审计端的挑战。

(4)密钥生成端：密钥生成端负责根据给定的身份为完整性系统中涉及的其他各方生成部分密钥。

本申请实施例提供的一种加密备份账套的云审计方法，通过密钥生成端发布公共参数，其中，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥；客户端文件分成若干个块，块分成若干个扇区，其中，扇区公式表示为：F为客户端文件，S为扇区的数量，n为块的数量，b_ij为扇区，i为块的序号，j为扇区的序号，q为大素数；客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；服务端与客户端执行存储算法存储客户端文件；审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性，解决了相关技术中云备份账套存储时无法加密以及审计的问题，进而达到了安全存储云备份账套以及验证云备份账套正误的效果。

本发明为基于双线性对的访问结构账套系统，该系统能够识别用户的不同访问权限，并在云计算环境下实现数据备份和审计功能，以确保数据的安全和完整性。为了提升小微企业的信息化水平，可以部署轻量型云备产品。本发明云端安全备份核心数据，深度保护企业核心数据、拒绝数据外泄、丢失，防勒索，并且与通讯软件无缝集成，让用户随时随地保护企业数据安全。它支持多种数据备份功能和数据恢复功能，当数据丢失后，可以选择本机恢复，当硬件故障后，可以选择异机恢复。

在一种可选地实施例中，密钥生成端发布公共参数，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥，包括：密钥生成端依据第一乘法群获取第一哈希函数、第二哈希函数、第三哈希函数以及第四哈希函数，计算公式表示为：H：{0，1}^*→G₁，H₁：{0，1}^*→G₁，H₂：G₁→Z_q，H₃：Z_q×{0，1}^*→Z_q，其中，第一乘法群以及第二乘法群为素数阶的乘法群，Z_q为大素数的整数循环群，G₁为第一乘法群，H为第一哈希函数、H₁为第二哈希函数、H₂为第三哈希函数、H₃为第四哈希函数。

具体地，在进行数据的云端存储之前，使密钥生成算法生成公共参数，方便在后续的算法当中使用，本发明需要使用公共参数进行后续的数据存储以及审计过程，提前获取公共参数，为后续的存储与审计做好准备。

在一种可选地实施例中，密钥生成端发布公共参数，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥，包括：密钥生成端选择一个主密钥，主密钥属于大素数的整数循环群，密钥生成端计算公共密钥，公共密钥属于第一乘法群，其中，msk＝s∈Z_q,mpk＝g^s∈G₁，msk为主密钥，s等于主密钥，mpk为公共密钥，g为第一乘法群的一个生成元，g＝h^((q-1)/n₁)，h为第一乘法群中的一个随机元素，n₁为第一乘法群生成元的个数，g^s等于公共密钥。

具体地，密钥生成端选择一个主密钥msk＝s∈Z_q，并计算系统的公共密钥mpk＝g^s∈G₁。密钥生成端发布系统的公共参数params＝{G₁，G₂，q，e，g，H，H₁，H₂，H₃，mpk}，并保持主密钥msk保密。在给定了这些参数后，客户端和服务端通过以下步骤分别获取一对公钥和私钥，params为公共参数。本发明采用无证书签名的可信审计方案，来保证数据的完整性和身份验证。参与者使用自己的密钥对数据进行签名，其他参与者可以使用公钥验证签名的有效性，确保数据没有被篡改，简化了签名和验证的流程。参与者无需申请和获取证书，消除了昂贵的证书管理开销，并且避免了基于身份的签名中的密钥托管问题。

在一种可选地实施例中，客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，包括：步骤S401：客户端将客户身份标识发送至密钥生成端，密钥生成端将客户身份标识代入第二哈希函数得到客户部分私钥，客户端接收客户部分私钥；步骤S402：客户端验证客户部分私钥，验证计算公式表示为：e(ssk_O，g)＝e(H₁(ID_O)，mpk)，其中，ssk_O＝H₁(ID_O)，ID_O为客户身份标识，且ID_O∈{0，1}^*，ssk_O为客户部分私钥，g为第一乘法群的一个生成元，e为双线性对，H₁为第二哈希函数，mpk为公共密钥；当客户端验证客户部分私钥失败时，重复执行步骤S401至步骤S402；当客户端验证客户部分私钥成功时，选择客户秘密值，计算客户端私钥以及客户端公钥，计算公式表示为：sk_O＝{sk_O1＝ssk_O，sk_O2＝(x_O+H₂(ssk_O))mod q}，其中，sk_O为客户端私钥，pk_O为客户端公钥，sk_O1为第一客户端私钥，sk_O2为第二客户端私钥，x_O为客户秘密值，x_O∈Z_q，Z_q为大素数的整数循环群，H₂为第三哈希函数。

具体地，客户端执行密钥生成算法得到客户端私钥以及客户端公钥，客户端将身份ID_O∈{0，1}^*发送给密钥生成端，以获得客户端部分密钥。密钥生成端计算ssk_O＝H₁(ID_O)^s，并且将ssk_O返回给客户端，在收到ssk_O后，客户端验证公式e(ssk_O，g)＝e(H₁(ID_O)，mpk)。如果验证失败，客户端将再次请求部分私钥。当验证失败时，客户端将重复请求第一客户端私钥。当验证成功后，客户端选择x_O∈Z_q作为秘密值，并且计算：

在一种可选地实施例中，客户端执行密钥生成算法得到客户端私钥、客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，包括：步骤S501：服务端将服务身份标识发送至密钥生成端，密钥生成端将服务身份标识代入第二哈希函数得到服务部分私钥，服务端接收服务部分私钥；步骤S502：服务端验证服务部分私钥，验证计算公式表示为：e(ssk_C，g)＝e(H₁(ID_C)，mpk)，其中，ssk_C＝H₁(ID_C)，ID_C为服务身份标识，且ID_C∈{0，1}^*，ssk_C为服务部分私钥，g为第一乘法群的一个生成元，e为双线性对，H₁为第二哈希函数，mpk为公共密钥；当服务端验证服务部分私钥失败时，重复执行步骤S501至步骤S502；当服务端验证服务部分私钥成功时，选择服务秘密值，计算服务端私钥以及服务端公钥，计算公式表示为：sk_C＝(x_C+H₂(ssk_C))mod q，sk_C为服务端私钥，pk_C为服务端公钥，x_C为服务秘密值，H₂为第三哈希函数。

具体地，服务端将身份ID_C∈{0,1}^*发送给密钥生成端，以获得服务部分密钥，密钥生成端计算ssk_C，并且将ssk_C返回给服务端。在收到ssk_C后，服务端验证e(ssk_C，g)＝e(H₁(ID_C)，mpk)。如果验证失败，服务端将再次请求部分私钥，当验证失败时，服务端将重复请求第一客户端私钥。当验证成功后，服务端选择x_C∈Z_q作为秘密值，并且计算：

在一种可选地实施例中，客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名，包括：客户端生成聚合标签，计算公式表示为：σ_i为聚合标签，{a_j∈Z_q}_1≤j≤s，a_j为随机整数，W_i＝name||ID_O||h_i，W_i为特定值的变量，name为随机选择的名称，h_i表示哈希树中第i个叶子节点存储的哈希值，sk_O1为第一客户端私钥，sk_O2为第二客户端私钥，H₃为第四哈希函数，g为第一乘法群的一个生成元；客户端初始化哈希树，生成客户端根；依据客户端根获取客户端签名，计算公式为：其中，为客户端签名，R_O为客户端根。

具体地，图3是根据本申请实施例提供的哈希树的示意图，客户端初始化哈希树,并且基于哈希树生成根R_O，并且在根上计算哈希树是通过使用加密哈希函数H来构建的。哈希树中的每个节点N存储三个元素；一个是哈希值hN，另外两个是节点的位置信息(lN，pN)。其中，lN是节点的层级信息，pN是节点在其所在层中的位置信息。为了给每个节点分配唯一的位置信息，哈希树从上到下用层级信息进行标记，从左到右用位置信息进行标记。

在一种可选地实施例中，服务端与客户端执行存储算法存储客户端文件，包括：客户端将所有块、聚合标签、哈希树以及客户端签名存储至服务端，删除所有数据且只保留客户端根；服务端验证所有块、聚合标签、哈希树以及客户端签名的有效性；当所有块、聚合标签、哈希树以及客户端签名的有效性验证成功时，服务端存储客户端文件，生成服务端签名，并且客户端验证服务端签名的有效性。

具体地，服务端验证客户端的数据的有效性，确保数据的安全与完整，并且在客户端将数据上传到云服务端之后，客户端删除了客户端根意外的所有数据，目的是为了确保数据的安全性，防止敏感信息暴露，并且将客户端的数据删除还能减少本地存储的压力。

在一种可选地实施例中，服务端验证所有块、聚合标签、哈希树以及客户端签名的有效性，包括：服务端验证块与聚合标签的一致性，验证公式表示为：其中，A_j表示根据a_j计算得出的扇区的值；当服务端验证块与聚合标签的一致性失败后，存储算法终止，客户端接收不同意上传客户端文件的指令；

具体地，验证过程为：

当服务端验证块与聚合标签的一致性成功后，服务端基于哈希树计算服务端根，并且验证客户端签名的有效性，验证公式表示为：其中，R_C为服务端根；当服务端验证客户端签名的有效性失败后，存储算法终止，客户端接收不同意上传客户端文件的指令。

具体地，验证客户端签名的有效性，如果验证失败，服务商拒绝存储客户端文件，并且算法的输出结果为0。如果验证成功，服务商将基于传输的哈系树计算根R_C并且验证的有效性：

在一种可选地实施例中，当所有块、聚合标签、哈希树以及客户端签名的有效性验证成功时，服务端存储客户端文件，生成服务端签名，并且客户端验证服务端签名的有效性，包括：当服务端验证客户端签名的有效性成功后，服务端存储客户端文件为 为服务端签名；服务端将服务端签名发送至客户端，客户端验证服务端签名，验证公式表示为：当客户端验证服务端签名失败时，存储算法终止，客户端接收不同意上传客户端文件的指令；当客户端验证服务端签名成功时，正确存储客户端文件。

具体地，如果验证失败，算法立即终止，并且输出结果为0，表示客户端的数据没有被诚实地存储在服务端上。否则，服务端存储相关的数据，形成数据存储结构并且将发送给客户端，客户端收到数据后会通过和e(H₃(R_O)，pk_c)进一步检查如果验证通过，算法输出结果为1，这意味着客户端相信服务商诚实地存储哈系树；否则，算法终止并输出结果为0。

在一种可选地实施例中，审计端获取审计根，审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性，包括：挑战表示为：Q＝{(i，r_i)}，其中，{r_i∈Z_q}_i∈I，Z_q为大素数的整数循环群，I为整数集；审计端将挑战发送至服务端；服务端生成证明，计算公式表示为：P＝{σ，μ}， 其中，σ_i为聚合标签，σ为聚合标签的集合，μ为证明标签，P为证明；服务端将证明以及辅助信息发送至审计端，其中，辅助信息为{Ω_i}_i∈Q为哈希树中从{h_i}_i∈Q到根的路径上的兄弟节点，h_i表示哈希树中第i个叶子节点存储的哈希值；审计端依据辅助信息获取审计根；审计端验证审计根，验证公式表示为：其中，R为审计根；当审计端验证审计根失败时，审计端停止审计；当审计端验证审计根成功时，审计端验证审计公式是否通过，审计公式表示为：审计端验证审计公式通过时，服务端正确存储客户端文件；审计端验证审计公式不通过时，服务端存储客户端文件有误，客户端接收不同意上传客户端文件的指令。

具体地，该算法由用户或审计员运行，生成一个随机挑战信息Q＝{(i，r_i)}。i是从I中随机选择的子集，{r_i∈Z_q}_i∈I。然后审计端将挑战发送给服务商进行完整性审计。Z_q代表模q的整数循环群。该算法由云服务商运行，当服务商收到挑战后，通过验证下列的公式：μ_j＝∑_i∈Qr_ib_ij，生成完整性证明P＝{σ，μ}。最终，服务端将证明返回给审计端。另外，服务端还返回一些辅助验证信息{Ω_i}_i∈Q表示在哈系树中从叶节点{h_i}_i∈Q到根R的路径上的兄弟节点。在收到来自服务端的应答后，审计端使用{h_i，Ω_i}_i∈Q计算审计根R，并且通过检查来验证审计R，如果验证失败，审计端拒绝，向客户端发送0。如果验证成功，审计端通过以下公式验证：如果该公式通过，TPA将1发送给DO，这意味着服务端按照客户端正确存储了客户端文件。否则，审计端将发送0给客户端。审计端验证审计公式是否通过的过程为：

本发明基于可信审计的安全云备份系统能够保护云用户数据和身份隐私，主要得益于在传输和存储过程中采用加密技术，确保数据在云服务提供商的环境中是安全的，并且可以在保护数据隐私的前提下，能够进行正确有效的审计工作。我们还进行了签名交换验证，以处理不诚实审计人员可能提出的赔偿纠纷。

通过本申请，采用以下步骤：密钥生成端发布公共参数，其中，公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥；客户端文件分成若干个块，块分成若干个扇区，其中，扇区公式表示为：F为客户端文件，S为扇区的数量，n为块的数量，b_ij为扇区，i为块的序号，j为扇区的序号，q为大素数；客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；客户端依据客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；服务端与客户端执行存储算法存储客户端文件；审计端执行挑战生成算法生成一个挑战，服务端依据挑战通过证明生成算法生成一个证明，审计端通过证明验证算法检查证明的有效性，解决了相关技术中云备份账套存储时无法加密以及审计的问题，进而达到了安全存储云备份账套以及验证云备份账套正误的效果。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带、磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

Claims (6)

1.一种加密备份账套的云审计方法，其特征在于，包括：

密钥生成端发布公共参数，其中，所述公共参数包括第一乘法群、第二乘法群、大素数、双线性对、第一乘法群的一个生成元、第一哈希函数、第二哈希函数、第三哈希函数、第四哈希函数以及公共密钥；

客户端文件分成若干个块，所述块分成若干个扇区，其中，所述扇区公式表示为：F为所述客户端文件，S为所述扇区的数量，n为所述块的数量，b_ij为所述扇区，i为所述块的序号，j为所述扇区的序号，q为大素数；

客户端执行密钥生成算法得到客户端私钥以及客户端公钥，服务端执行所述密钥生成算法得到服务端私钥以及服务端公钥，其中，客户端私钥包括第一客户端私钥以及第二客户端私钥；

所述客户端依据所述客户端文件运行标签生成算法获取聚合标签、哈希树、客户端根以及客户端签名；

所述服务端与所述客户端执行存储算法存储所述客户端文件；

审计端执行挑战生成算法生成一个挑战，所述服务端依据所述挑战通过证明生成算法生成一个证明，所述审计端通过证明验证算法检查所述证明的有效性；

所述密钥生成端依据所述第一乘法群获取所述第一哈希函数、所述第二哈希函数、所述第三哈希函数以及所述第四哈希函数，计算公式表示为：H：{0，1}^*→G₁，H₁：{0，1}^*→G₁，H₂：G₁→Z_q，H₃：Z_q×{0，1}^*→Z_q，其中，所述第一乘法群以及所述第二乘法群为素数阶的乘法群，Z_q为所述大素数的整数循环群，G₁为所述第一乘法群，H为所述第一哈希函数、H₁为所述第二哈希函数、H₂为所述第三哈希函数、H₃为所述第四哈希函数；

所述密钥生成端选择一个主密钥，所述主密钥属于所述大素数的整数循环群，所述密钥生成端计算所述公共密钥，所述公共密钥属于所述第一乘法群，其中，msk＝s∈Z_q,mpk＝g^s∈G₁，msk为所述主密钥，s等于所述主密钥，mpk为所述公共密钥，g为所述第一乘法群的一个生成元，g＝h^((q-1)/n₁)，h为所述第一乘法群中的一个随机元素，n₁为所述第一乘法群生成元的个数，g^s等于所述公共密钥；

步骤S401：所述客户端将客户身份标识发送至所述密钥生成端，所述密钥生成端将所述客户身份标识代入所述第二哈希函数得到客户部分私钥，所述客户端接收所述客户部分私钥；

步骤S402：所述客户端验证所述客户部分私钥，验证计算公式表示为：e(skk_O，g)＝e(H₁(ID_O)，mpk)，其中，ssk_O＝H₁(ID_O)，ID_O为所述客户身份标识，且ID_O∈{0，1}^*，ssk_O为所述客户部分私钥，g为所述第一乘法群的一个生成元，e为所述双线性对，H₁为所述第二哈希函数，mpk为所述公共密钥；

当所述客户端验证所述客户部分私钥失败时，重复执行所述步骤S401至所述步骤S402；

当所述客户端验证所述客户部分私钥成功时，选择客户秘密值，计算所述客户端私钥以及所述客户端公钥，计算公式表示为：sk_O＝{sk_O1＝ssk_O，sk_O2＝(x_O+H₂(ssk_O))mod q}，其中，sk_O为所述客户端私钥，pk_O为所述客户端公钥，sk_O1为所述第一客户端私钥，sk_O2为所述第二客户端私钥，x_O为所述客户秘密值，x_O∈Z_q，Z_q为所述大素数的整数循环群，H₂为所述第三哈希函数；

所述客户端生成聚合标签，计算公式表示为：σ_i为所述聚合标签，{a_j∈Z_q}_1≤j≤s，a_j为随机整数，W_i＝name||ID_O||h_i，W_i为特定值的变量，name为随机选择的名称，h_i表示所述哈希树中第i个叶子节点存储的哈希值，sk_O1为所述第一客户端私钥，sk_O2为所述第二客户端私钥，H₃为所述第四哈希函数，g为所述第一乘法群的一个生成元；

所述客户端初始化所述哈希树，生成所述客户端根；

依据所述客户端根获取所述客户端签名，计算公式为：其中，为所述客户端签名，R_O为所述客户端根。

2.根据权利要求1所述的方法，其特征在于，客户端执行密钥生成算法得到客户端私钥、客户端公钥，服务端执行所述密钥生成算法得到服务端私钥以及服务端公钥，包括：

步骤S501：所述服务端将服务身份标识发送至所述密钥生成端，所述密钥生成端将所述服务身份标识代入所述第二哈希函数得到服务部分私钥，所述服务端接收所述服务部分私钥；

步骤S502：所述服务端验证所述服务部分私钥，验证计算公式表示为：e(ssk_c，g)＝e(H₁(ID_c)，mpk)，其中，ssk_c＝H₁(ID_c)，ID_c为所述服务身份标识，且ID_c∈{0，1}^*，ssk_c为所述服务部分私钥，g为所述第一乘法群的一个生成元，e为所述双线性对，H₁为所述第二哈希函数，mpk为所述公共密钥；

当所述服务端验证所述服务部分私钥失败时，重复执行所述步骤S501至所述步骤S502；

当所述服务端验证所述服务部分私钥成功时，选择服务秘密值，计算所述服务端私钥以及所述服务端公钥，计算公式表示为：sk_c＝(x_c+H₂(ssk_c))mod q，sk_c为所述服务端私钥，pk_c为所述服务端公钥，x_c为所述服务秘密值，H₂为所述第三哈希函数。

3.根据权利要求1所述的方法，其特征在于，所述服务端与所述客户端执行存储算法存储所述客户端文件，包括：

所述客户端将所有所述块、所述聚合标签、所述哈希树以及所述客户端签名存储至所述服务端，删除所有数据且只保留所述客户端根；

所述服务端验证所有所述块、所述聚合标签、所述哈希树以及所述客户端签名的有效性；

当所有所述块、所述聚合标签、所述哈希树以及所述客户端签名的有效性验证成功时，服务端存储所述客户端文件，生成服务端签名，并且所述客户端验证所述服务端签名的有效性。

4.根据权利要求3所述的方法，其特征在于，所述服务端验证所有所述块、所述聚合标签、所述哈希树以及所述客户端签名的有效性，包括：

所述服务端验证所述块与所述聚合标签的一致性，验证公式表示为：

其中，A_j表示根据a_j计算得出的扇区的值；

当所述服务端验证所述块与所述聚合标签的一致性失败后，所述存储算法终止，所述客户端接收不同意上传所述客户端文件的指令；

当所述服务端验证所述块与所述聚合标签的一致性成功后，所述服务端基于所述哈希树计算服务端根，并且验证所述客户端签名的有效性，验证公式表示为：其中，R_c为所述服务端根；

当所述服务端验证所述客户端签名的有效性失败后，所述存储算法终止，所述客户端接收不同意上传所述客户端文件的指令。

5.根据权利要求3所述的方法，其特征在于，当所有所述块、所述聚合标签、所述哈希树以及所述客户端签名的有效性验证成功时，服务端存储所述客户端文件，生成服务端签名，并且所述客户端验证所述服务端签名的有效性，包括：

当所述服务端验证所述客户端签名的有效性成功后，所述服务端存储所述客户端文件为 为所述服务端签名；

所述服务端将所述服务端签名发送至所述客户端，所述客户端验证所述服务端签名，验证公式表示为：

当所述客户端验证所述服务端签名失败时，所述存储算法终止，所述客户端接收不同意上传所述客户端文件的指令；

当所述客户端验证所述服务端签名成功时，正确存储所述客户端文件。

6.根据权利要求1所述的方法，其特征在于，审计端获取审计根，所述审计端执行挑战生成算法生成一个挑战，所述服务端依据所述挑战通过证明生成算法生成一个证明，所述审计端通过证明验证算法检查所述证明的有效性，包括：

所述挑战表示为：Q＝{(i，r_i)}，其中，{r_i∈Z_q}_i∈I，Z_q为所述大素数的整数循环群，I为整数集；

所述审计端将所述挑战发送至所述服务端；

所述服务端生成所述证明，计算公式表示为：P＝{σ,μ}， 其中，σ_i为所述聚合标签，σ为所述聚合标签的集合，μ为证明标签，P为所述证明；

所述服务端将所述证明以及辅助信息发送至所述审计端，其中，所述辅助信息为所述{Ω_i}_i∈Q为所述哈希树中从{h_i}_i∈Q到根的路径上的兄弟节点，h_i表示所述哈希树中第i个叶子节点存储的哈希值；

所述审计端依据所述辅助信息获取审计根；

所述审计端验证所述审计根，验证公式表示为：其中，R为所述审计根；

当所述审计端验证所述审计根失败时，所述审计端停止审计；

当所述审计端验证所述审计根成功时，所述审计端验证审计公式是否通过，所述审计公式表示为：

所述审计端验证审计公式通过时，所述服务端正确存储所述客户端文件；

所述审计端验证审计公式不通过时，所述服务端存储所述客户端文件有误，所述客户端接收不同意上传所述客户端文件的指令。