(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210178994.0 (22)申请日 2022.02.25 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 姜涛　刘岩　黄一凡　成琼　 黄创明　于洪懿　 (74)专利代理 机构 西安长和专利代理有限公司 61227 专利代理师 李霞 (51)Int.Cl. H04L 9/20(2006.01) H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/06(2022.01)H04L 67/1097(2022.01) H04L 69/24(2022.01) (54)发明名称 支持数据动态和公开完整性审计去中心化 存储方法及系统 (57)摘要 本发明属于去中心 化存储安全技术领域， 公 开了一种支持数据动态和公开完整性审计去中 心化存储方法及系统， 按照Setup协议初始化用 户公开和私有参数， 根据纠删码对用户数据进行 预处理； 按照Put协议客户端处理数据、 生成验证 标签， 将数据及验证标签上传到多个去中心化服 务端； 当用户想要下载数据时触发Get协议； 当用 户想要验证外包数据完整性触发Challenge和 Verify协议； 当用户想要对外包数据做更新操作 触发Dynamics协议。 本发明支持用户或者第三方 对用户数据进行完整性审计， 在验证阶段利用区 块链有效防止了第三方与服务端进行恶意验证， 本发明提高了验证效率； 还支持用户对数据进行 块级别的动态更新操作。 权利要求书3页 说明书9页 附图5页 CN 114499865 A 2022.05.13 CN 114499865 A 1.一种支持数据动态和公开完整性审计去中心化存储方法， 其特征在于， 所述支持数 据动态和公开完整性审计去中心化存储方法在去中心化存储支持数据动态和公开完整性 审计的支持下； 客户端在 去中心化存储中同时实现公开完整性审 计、 数据动态， 是综合安全 去中心化存储框架； 去中心化存储采取多点下载的模式， 客户端利用本地闲置的存储空间 存储客户端的数据， 获取报酬； 文件经过纠删码预 处理分布式存储在多个去中心 化服务端， 单点故障不会影响客户端的整个文件， 同时， 纠删码为 客户端数据提供容 错性。 2.如权利要求1所述的支持数据动态和公开完整性审计去中心化存储方法， 其特征在 于， 所述支持数据动态和公开完整性审 计去中心 化存储方法将区块链中的依赖于时间源的 伪随机数生成器 应用于数据完整性验证阶段。 3.如权利要求1所述的支持数据动态和公开完整性审计去中心化存储方法， 其特征在 于， 所述支持数据动态和公开完整性审计去中心化存 储方法包括以下步骤： 第一步， 按照Setup协议初始化公开和私有参数， 协助客户端完成数据预处 理； 第二步， 按照Put协议客户端处理数据、 生成验证标签， 将数据及验证标签上传到多个 去中心化 服务端； 第三步， 客户端下 载数据时触发Get 协议； 第四步， Challenge协议和Verify协议实现客户端或者第三方验证服务器中的文件是 否完整； 第五步， 客户端对文件进行块级别的修改触发Dynamics协议。 4.如权利要求3所述的支持数据动态和公开完整性审计的去中心化存储方法， 其特征 在于， 所述第一步的Setup协 议用于初始 化客户端的公开和私有参数， 是一个由系统各方执 行的非交 互式协议： 如果客户端将文件F外包给去中心化存储服务器， 那么客户端对文件F预处理； 客户端 运行密钥生成算法 并在本地计算和存储公钥和私钥； 在设置阶段去中心 化服务器对用于构 建安全通道的公私参数进 行初始化设置及维护； 服务器中所存数据的相应数据库完成初始 化设置； 所述第二步的Put协议包括： 客户端与去中心化服务端之间执行Put协议， 客户端运行 标签生成算法， 计算n个标记 构成签名集Φ； 按照 Merkle Tree的生成规则生成树， 叶子结点代表每一个数据块的Hash值H(mi)(i＝1,…,n)， 并对根进行签名si gsk(H(R))； 双 方生成一个文件标识idF充当F的唯一句柄； {F,Φ,si gsk(H (R))}将被上传到去中心化服务器； 并将sigsk(H(R))， Merkle  Tree， 签名集Φ更新到区块链 上。 5.如权利要求3所述的支持数据动态和公开完整性审计的去中心化存储方法， 其特征 在于， 所述第三步Get协议执行下载功能， 允许客户端从服务端下载客户端所存储的文件， 当客户端下载数据时首先初始化这个协议 并且发送给服务端文件标识idF,在收到消息后， 服务端首先检 查数据库是否包含条目idF， 若存在， 则通 过idF从服务端下载并且使用私钥解 密得到文件F； 所述第四步Challenge协议是运行在验证者和证明者之间的交互协议， Challenge协议 的功能有两个， (1)允许服务端让验证者相信存储的F是完整的， 验证者发送挑战chal给服权　利　要　求　书 1/3 页 2 CN 114499865 A 2务端以检查F的完整性， 服务端计算并返回一个证明proof用于Verify协议的进一步证明， (2)Challenge协议调用了区块链中的依赖 于事件源的伪随机数生成器， 形式化的表示 为： chal←Challenge(i,vi)。 6.如权利要求3所述的支持数据动态和公开完整性审计的去中心化存储方法， 其特征 在于， 所述第四步的Verify协议检查Challenge协议生成的证明proof， 验证者执行Verify 协议检查Challenge协议生 成的证明proof以确保客户端外包数据的完整性， Verify协议输 出接收True或拒绝false表明pro of是否通过验证， 形式化的表示 为： TRUE,FALSE ←Verify(pk,c hal,P)； 在Setup阶段， 密钥服务器选择一个p阶循环群 和一个双线性对映射 密钥服务器 执行密钥生成算法KeyGen( ·)选择私钥 和相应的公钥v ←gα； 客户文件 经过预处理F＝(m1,…,mn)， 将文件上传到服务端之前， 客户端为每一个文件块选择一个随 机元素u←G， 并对计算签名 签名集合记作Φ＝{σi},1≤i≤n， 客户 端根据Merkle  Tree的生成规则生成根Root， 叶子结点代表每一个数据块的Hash值(H(mi) (i＝1,…,n)； 对根进行签名sigsk(H(R))←(H(R))α， 将文件块， 签名集Φ以及根签名F,Φ,sigsk(H (R))}上传到去中心化服务端并删除本地文件， 并维护一张表用于记录每个文件块存储服 务端的地址， 并将根签名sigsk(H(R))， Merkle Tree以及签名集Φ更新到区块链上。 7.如权利要求1所述的支持数据动态和公开完整性审计的去中心化存储方法， 其特征 在于， 所述第五步Dynamics协议是运行在验证者和证明者之间的交互协议， Dynamics协议 的功能有三个， 支持客户端对外包数据进 行块级别的动态操作， 包括块修改， 块插入和块删 除； 客户端将更新请求发送到存储对应块的服务端， 服务端执行更新操作ExecUpdate(F, Φ,update)， 形式化的表示 为： (F′,Φ′,Pupdate)←Dynamics(F,Φ,update)。 8.如权利要求1所述的支持数据动态和公开完整性审计的去中心化存储方法， 其特征 在于， 所述支持数据动态和公开完整性审计的去中心化存储方法支持客户端对外包数据进 行完整性审计也支持客户端对外包数据进行块级别的动态操作； 包含一组算法： KeyGen、 SigGen、 C hallenge、 Verify、 Dynamics； KeyGen(1k)： 通过调用此函数， 客户端生成随机签名公私钥对， 客户端选择 并计算v←gα， 然后私钥为sk ＝( α )， 公钥为pk ＝(v)； SigGen(sk,F)： 给定F＝(m1,…,mn)， 在私钥下签名， 客户端计算签名标签Φ＝{σi},1≤ i≤n， 其中 Challenge(chal,TPA/Client)： 客户端或者第三方调用依赖于时间源的伪随机数生成 器生成一个d元素的集合I＝{s1,…,sd}， 对每个i∈I， TPA选择一个随机元素 令集 合{(i,vi)}作为挑战信息 chal， 广播挑战c hal到存储该客户端数据的f个去中心化 服务端； 服务端存储对应数据块， 计算： 和 权　利　要　求　书 2/3 页 3 CN 114499865 A 3