基于哈希二叉树的边缘计算数据审计系统及审计方法技术方案

本发明专利技术公开了一种基于哈希二叉树的边缘计算数据审计系统及审计方法，属于信息安全领域。本发明专利技术根据MEC特点，提出了一个新的公共审计协议，该协议不仅可以抵御传统审计协议容易遭受的重放攻击、伪造攻击和替代攻击，还可以抵御MEC环境中入侵攻击，满足MEC的安全要求。本发明专利技术还提出一种新的动态数据结构，可以降低传统审计协议中MHT(默克尔哈希树Merkle Hash Tree)的高度，提高了审计效率。

Audit system and audit method of edge computing data based on Hash binary tree

The invention discloses an edge computing data audit system and an audit method based on a hash binary tree, belonging to the field of information security. According to the characteristics of MEC, the invention proposes a new public audit protocol, which can not only resist replay attack, forgery attack and substitution attack easily suffered by traditional audit protocol, but also resist intrusion attack in MEC environment, and meet the security requirements of MEC. The invention also proposes a new dynamic data structure, which can reduce the height of MHT (Merkle hash tree) in the traditional audit protocol and improve the audit efficiency.

【技术实现步骤摘要】
基于哈希二叉树的边缘计算数据审计系统及审计方法
本专利技术涉及网络安全
，具体涉及一种基于哈希二叉树的边缘计算数据审计系统及审计方法。
技术介绍
随着云计算的迅速发展，出现了很多基于云计算的服务，比如云存储服务，该服务可以帮助单个用户或组织存储海量数据，并且不受访问地点和时间的限制，云用户随时都可以在云上访问它们的数据。然而目前越来越多的应用需要存取低延迟的数据服务以提供更高级的实时应用，比如车载移动网络，车载移动网络中的智能传感器会实时生成大量的数据，智能控制系统会动态更新这些数据。此外，用户到云的远距离传输也增加了数据受到攻击的可能性，这会影响数据和相关存储服务的安全性。为了满足低延迟高带宽服务的要求，云服务逐渐向网络边缘移动，并产生了称为MEC(MobileEdgeComputing移动边缘计算)的技术，它可利用无线接入网络就近为用户提供IT所需服务和云端计算功能，让消费者享有不间断的高质量网络体验。目前MEC的实用应用很多，比如视频监控、实时移动数据分析、智能电网、车载移动网络，这些都是数据实时性和带宽要求很高的应用，可以为用户提供更准确的体验。尽管移动边缘计算网络可以为用户提供对实时性要求比较高的服务，但是它也会遭受很多的安全挑战。数据完整性挑战是MEC需要考虑的最主要的挑战之一。CSP(CloudServerProvider云服务提供商)可能会为了经济或者其它原因，删除用户不常用的外包数据，移动边缘服务器可能会遭受入侵攻击蓄意破坏DO(DataOwner数据所有者)的外包数据。传统的公共审计模型中，只需要三个实体就可以模拟审计过程，但是在MEC环境的公共审计模型中，我们需要额外增加一个边缘服务器实体才能模拟审计过程，所以传统的审计协议不适用于MEC环境中。
技术实现思路
为了解决现有技术问题，本专利技术提供一种基于哈希二叉树的边缘计算数据审计系统及审计方法，根据MEC特点，提出了一个新的公共审计协议，该协议不仅可以抵御传统审计协议容易遭受的重放攻击、伪造攻击和替代攻击，还可以抵御MEC环境中入侵攻击，满足MEC的安全要求。本专利技术还提出一种新的动态数据结构，可以降低传统审计协议中MHT(默克尔哈希树MerkleHashTree)的高度，提高审计效率。为解决上述技术问题，本专利技术所采取的技术方案是：一种基于哈希二叉树的边缘计算数据审计系统，包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；所述MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。一种基于哈希二叉树的边缘计算数据审计方法，包括以下步骤：S1.初始化参数：DO生成密钥对，私钥为SK＝{α,ssk}，公钥为PK＝{y,g,μ,spk}，其中(ssk,spk)是DO随机选择的一个非对称加密密钥对；其中，α∈Zp是DO随机挑选的值，g和μ是群G1上的随机元素，y＝gα是G1上的元素；G1和G2为有素数阶p的两个乘法循环群，e:G1×G1→G2为双线性对映射；S2.生成数据块的审计签名：DO的外包数据F被划分为n个数据块M＝{m1,m2,...,mn}，DO按照公式为mi生成同态可验证签名，则同态签名集合为Φ＝{σi},1≤i≤n，数据块哈希值集合为θ＝{H(mi)},1≤i≤n；H:{0,1}*→G1为安全的把二进制数映射到群G1上的哈希函数；计算t＝name||n||SSigssk(name||n)为外包数据F的标签，其中name为外包数据F的唯一标识符，DO发送{M,Φ,t}给MS，同时发送θ给TPA，CSP和TPA收到相关数据后，DO本地删除{M,Φ,θ}；S3.验证外包文件标签，确认DO身份：当MS收到数据{M,Φ,t}时，使用DO的公钥spk验证外包数据标签；如果验证失败，MS要求DO重新发送数据，反之，MS存储签名集合Φ，并把外包数据与其表示{F,name}发送给CSP；S4.生成审计用的挑战信息：当到达审计时间时，TPA检查HBBT是否本地构建成功，如果没有成功，则使用θ生成HBBT；TPA在外包数据顺序号集合中随机选择c个挑战数据块，生成集合I＝{s1,s2,...,sc}1≤c≤n，然后TPA再为每个挑战数据块随机挑选c个随机数vi，{vi∈Zp}i∈I，组成挑战数据集合发送给MS；S5.MS生成审计证据：MS收到来自TPA的挑战信息后，先把挑战数据集划分为两个子集chal＝{C1,C2}，C1挑战信息中的挑战数据块顺序号所表示的外包数据块缓存在MS中，C2是包含剩余的挑战信息，表示CSP要审计的外包数据块；挑战数据划分完成后，MS再给CSP发送挑战子集C2，然后根据chal生成签名证据Θ，根据子集C1生成数据块证据S6.CSP收到MS发送的挑战子集C2后生成数据证据计算公式如下：CSP给MS发送数据证据S7.MS收到CSP的数据证据后，聚合数据证据和MS给TPA发送证据{Θ,U}；S8.TPA收到MS发送的证据{Θ,U}后，先从HBBT树中找到挑战数据块顺序号对应的哈希值{H(mi)}(i∈chal)，计算再利用双线性对性质审计按如下等式审计挑战数据块：如果等式左右两端相等，TPA输出TRUE，反之TPA输出FALSE。进一步的，所述步骤S4中，所述TPA根据DO外包数据块的最新哈希值生成哈希平衡二叉树(HBBT)，并存储在本地；所述HBBT的节点包含两个部分，分别是数据块序号i和数据块哈希值H(mi)；所述TPA收到DO发送的{i,H(mi)}后，按照AVL树的要求，以i的大小作为HBBT数据块的排序标准，生成HBBT。进一步的，所述HBBT树的数据块序号为(1,2,3,...,k,i,j,...n)，其中k,i,j是按顺序排列，分为以下几种情况插入：(1)当需要i和j之间插入一个数据块时，顺序号可变为(1,2,3,...k,i,i-1,j,...n)，其中i<i-1<j；(2)当需要i-1和j之间插入一个数据块时，序号可变为(1,2,3,...,k,i,i-1,i-2,j,...n)，其中i-1<i-2<j；(3)当需要i和i-1之间插入一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,j,...n)，其中i<i-1-1<i-1；(4)当需要i-2和j之间插入一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3,j,...n)，其中i-2<i-3<j；(5)当需要i本文档来自技高网...

【技术保护点】
1.一种基于哈希二叉树的边缘计算数据审计系统，其特征在于：所述系统包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；所述MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。/n

【技术特征摘要】
1.一种基于哈希二叉树的边缘计算数据审计系统，其特征在于：所述系统包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；所述MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。


2.一种基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述方法包括以下步骤：
S1.初始化参数：DO生成密钥对，私钥为SK＝{α,ssk}，公钥为PK＝{y,g,μ,spk}，其中(ssk,spk)是DO随机选择的一个非对称加密密钥对；
其中，α∈Zp是DO随机挑选的值，g和μ是群G1上的随机元素，y＝gα是G1上的元素；G1和G2为有素数阶p的两个乘法循环群，e:G1×G1→G2为双线性对映射；
S2.生成数据块的审计签名：DO的外包数据F被划分为n个数据块M＝{m1,m2,...,mn}，DO按照公式为mi生成同态可验证签名，则同态签名集合为Φ＝{σi},1≤i≤n，数据块哈希值集合为θ＝{H(mi)},1≤i≤n；
H:{0,1}*→G1为安全的把二进制数映射到群G1上的哈希函数；
计算t＝name||n||SSigssk(name||n)为外包数据F的标签，其中name为外包数据F的唯一标识符，DO发送{M,Φ,t}给MS，同时发送θ给TPA，CSP和TPA收到相关数据后，DO本地删除{M,Φ,θ}；
S3.验证外包文件标签，确认DO身份：当MS收到数据{M,Φ,t}时，使用DO的公钥spk验证外包数据标签；如果验证失败，MS要求DO重新发送数据，反之，MS存储签名集合Φ，并把外包数据与其表示{F,name}发送给CSP；
S4.生成审计用的挑战信息：当到达审计时间时，TPA检查HBBT是否本地构建成功，如果没有成功，则使用θ生成HBBT；TPA在外包数据顺序号集合中随机选择c个挑战数据块，生成集合I＝{s1,s2,...,sc}1≤c≤n，然后TPA再为每个挑战数据块随机挑选c个随机数vi，{vi∈Zp}i∈I，组成挑战数据集合发送给MS；
S5.MS生成审计证据：MS收到来自TPA的挑战信息后，先把挑战数据集划分为两个子集chal＝{C1,C2}，C1挑战信息中的挑战数据块顺序号所表示的外包数据块缓存在MS中，C2是包含剩余的挑战信息，表示CSP要审计的外包数据块；挑战数据划分完成后，MS再给CSP发送挑战子集C2，然后根据chal生成签名证据Θ，根据子集C1生成数据块证据



S6.CSP收到MS发送的挑战子集C2后生成数据证据计算公式如下：



CSP给MS发送数据证据
S7.MS收到CSP的数据证据后，聚合数据证据和



MS给TPA发送证据{Θ,U}；
S8.TPA收到MS发送的证据{Θ,U}后，先从HBBT树中找到挑战数据块顺序号对应的哈希值{H(mi)}(i∈chal)，计算再利用双线性对性质审计按如下等式审计挑战数据块：



如果等式左右两端相等，TPA输出TRUE，反之TPA输出FALSE。


3.根据权利要求2所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述步骤S4中，所述TPA根据DO外包数据块的最新哈希值生成哈希平衡二叉树(HBBT)，并存储在本地；所述HBBT的节点包含两个部分，分别是数据块序号i和数据块哈希值H(mi)；所述TPA收到DO发送的{i,H(mi)}后，按照AVL树的要求，以i的大小作为HBBT数据块的排序标准，生成HBBT。


4.根据权利要求3所述的基于哈希二叉树的边缘计算...

【专利技术属性】
技术研发人员：刘明曦，史闻博，范宽，白撰彦，张永欣，王庆豪，
申请(专利权)人：东北大学秦皇岛分校，
类型：发明
国别省市：河北;13