(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210265199.5 (22)申请日 2022.03.17 (71)申请人 郑州大学 地址 450001 河南省郑州市高新 技术开发 区科学大道100号 (72)发明人 任景莉　杨盼　 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 一种支持公平支付的抗密钥暴露的云数据 完整性校验方法 (57)摘要 本发明公开了一种支持公平支付的抗密钥 暴露的云数据完整性校验方法， 步骤包括： 数据 拥有者选择安全参数并生成公私钥对和公共参 数； 数据拥有者生成审计密钥； 数据拥有者将数 据块和认证码上传至云服务器； 云服务供应商和 数据拥有者一起部署智能审计合约； 云服务供应 商利用当前区块头和公共参数生成随机挑战， 将 证明和辅助信息写入激活合约并部署到区块链 上， 智能审计合约被激活后校验证明并根据校验 结果执行预设的交易。 数据拥有者随机选择当前 时间段的秘密信息更新审计密钥和认证码。 本发 明实现了在数据拥有者和云服务供应商互不信 任的情况下的公平交易， 解决了外包 数据在密钥 暴露攻击 下的前向和后向安全问题， 并支持审计 密钥更新和认证码更新。 权利要求书3页 说明书8页 附图2页 CN 114745120 A 2022.07.12 CN 114745120 A 1.一种支持公平支付的抗密钥暴露的云数据完整性校验方法， 其特征在于， 包括以下 步骤： 步骤1.密钥生成： 数据拥有者选择安全参数， 生成自己的公钥私钥对和系统公共参数； 步骤2.审计密钥生成： 在每一个时间周期初期， 数据拥有者利用自 己的私钥生成这一 周期的审计密钥； 步骤3.认证标签生成： 数据拥有者将待外包文件分为若干数据块， 利用审计密钥为每 一数据块 生成认证标签， 并将认证标签集 合和数据块 一同上传至云服 务器； 步骤4.云服务供应商验证数据并保存： 云服务供应商在收到数据块和认证信 息后首先 验证签名的有效性和数据的完整性， 在验证通过后保存， 并和数据拥有者一起部署智能审 计合约SAC， 合约内容包括校验算法、 辅助完整性检测的公共参数以及与校验结果对应的交 易内容； 步骤5.证明生成： 云服务供应商利用当前区块头信息和系统公共参数生成随机挑战， 计算用于完整性校验的证明信息， 并将证明和辅助信息写入激活合约AC， 随后将激活合约 部署到区块链上以激活审计合约SAC； 步骤6.云数据完整性校验： 区块链上审计合约SAC被激活后校验证 明的有效性， 并根据 校验结果执 行预设的交易， 同时将结果返回给 数据拥有者。 2.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法， 其特征在于， 所述方法还 包括： 步骤7.认证码更新： 当数据拥有者需要更新认证码时， 随机选择当前时间段的秘密信 息， 利用私钥、 当前时间戳和秘密信息计算审 计密钥， 计算更新密钥并发送给云服务商来执 行认证码更新任务。 3.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法， 其特征在于， 所述 步骤1具体包括： 步骤1.1： 数据拥有者选择安全参数λ， 运行签名算法Sig生成签名公钥私钥对(spk, ssk)， 这里签名算法可以选择RSA签名算法； 步骤1.2： 数据拥有者 随机选取元素x∈Zp作为初始私钥， 其中， Zp表示模p的循环群， 私 钥sk＝x由数据拥有者管理； 步骤1.3： 数据拥有者选取群G1的生成元g和u， 计算公钥gx∈G1， 得到系统公共参数PK＝ (G1,G2,p,H,h,F,e,g,u,pk)， 其中， G1， G2表示阶为素数p的乘法循环群， p的长度为λ 比特， H (·):{0,1}* →G1， h(·):G1→Zp表示两个加密散列函数， F:{0,1}* →[1,n]为伪随机函数， {0， 1}*表示任意比特流， e:G1×G1→G2表示可计算的双线性映射， PK对云服务供应商和校验 者公开。 4.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法， 其特征在于， 所述步骤2具体包括： 在每一个新的时间周期t初期， 数据拥有者选取随机元素 βt∈Zp， 计算审计密钥 和对应的公共参数 5.根据权利要求1所述的一种支持公平支付的抗密钥暴露云数据完整性校验方法， 其 特征在于， 所述 步骤3具体包括： 步骤3.1： 在每个时间周期t初期， 数据拥有者把待上传的文件F拆成n个数据块， 随机选权　利　要　求　书 1/3 页 2 CN 114745120 A 2取秘密元素α∈Zp， 对每个数据块mi， 1≤i≤n， 计算认证码 其 中name∈Zp是随机选取的元 素， 表示F的唯一标识； 步骤3.2： 数据拥有者基于 秘密信息α ∈Zp计算辅助公共参数v＝gα； 步骤3.3： 运行签名算法计算w＝name||Sigssk(name)， 其中||表示将name和Sigssk (name)作字符串相连； 步骤3.4： 认证码集 合和数据文件发送给云服 务器。 6.根据权利要求1所述的一种支持公平支付的抗密钥暴露云数据完整性校验方法， 其 特征在于， 所述 步骤4具体包括： 步骤4.1： 云服务器在收到数据块和认证信息后首先验证签名的有效性和数据的完整 性， 在验证通过后保存； 步骤4.2： 数据拥有者和云服务器协商部署智能审计合约SAC， 合约内容包括校验算法、 辅助完整性检测的公共参数以及与校验结果对应的交易内容。 7.根据权利要求1所述的一种支持公平支付的抗密钥暴露云数据完整性校验方法， 其 特征在于， 所述 步骤5具体包括： 步骤5.1： 云服务器选取公共状态信息τ作为随机数种子， 并随机生成挑战{(i,vi)}i∈I， 其中 表示待检测的数据块索引集合， vi＝h(H( τ||i))， τ包括区块链上最新区 块的头信息、 时间戳， τ 不受云服 务器控制， 且每次生成证明时都会改变； 步骤5.2： 云服务器根据生成的挑 战计算 选取随机元素s∈Zp， 计算Q＝vs ∈G1， γ＝h(Q)， μ＝s+γ μ'， 计算聚合认证信息 步骤5.3： 云服务器输出数据完整性证明P＝{τ,Q, μ, σt}并写入激活合约AC分布到区块 链上。 8.根据权利要求1所述的一种支持公平支付的抗密钥暴露云数据完整性校验方法， 其 特征在于， 所述 步骤6具体包括： 步骤6.1： 校验者首先将证明信息解析为τ， Q， μ， σt， 并根据随机种子τ计算挑战{(i, vi)}i∈I， I＝{F( τ||i)}i∈I， 计算辅助信息γ＝h(Q)； 步骤6.2： 如果 成立， 则返回 True， 表示校验成功， 否则返回False， 表示数据完整性被破坏； 步骤6.3： 校验者将结果返回给 数据拥有者； 步骤6.4： 审计合约SAC根据校验结果执行预设交易， 若结果返回True， 则执行从数据拥 有者账户到 云服务供应商 账户的服务费交易， 否则执行从云服务供应商 账户到数据拥有者 账户的罚款交易。 9.根据权利要求1所述的一种支持公平支付的抗密钥暴露云数据完整性校验方法， 其 特征在于， 所述 步骤7具体包括： 步骤7.1： 当数据拥有者在时间周期t需要更新认证码时， 随机选择当前时间段的秘密 信息， 利用私钥、 当前时间戳和秘密信息更新审计密钥SKt； 步骤7.2： 数据拥有者计算认证更新密钥aukt＝SKt/SKt‑1， 并发送给云服务供应商， 其中权　利　要　求　书 2/3 页 3 CN 114745120 A 3