一种支持公开完整性校验的数据共享系统及方法技术方案

本发明专利技术公开了一种支持公开完整性校验的数据共享系统及方法，系统包括群组管理系统、数据分析系统、审计系统、云存储系统；群组管理用于组管理员管理数据共享群组成员，包含审核新成员的注册请求及组成员的账户撤销；数据分析用于对共享数据分析计算，生成与共享数据绑定的额外信息；审计用于组内成员校验数据的完整性；云存储用于在不可信的对象上存储组内共享的数据和与数据对应的额外信息。本发明专利技术支持群组成员对数据进行完全动态的数据操作(完全动态的数据操作包括对数据进行无限次的插入、修改和删除)和完整性验证，同时能够保护群组成员的对外匿名性和数据的可追溯性，且有效的降低了用于存储数据额外信息空间开销。

【技术实现步骤摘要】
一种支持公开完整性校验的数据共享系统及方法
本专利技术属于数据安全
，具体涉及一种支持公开完整性校验的数据共享系统及方法。
技术介绍
自全球最大的搜索引擎Google在2007年首次提出了云计算的概念以来，云计算技术迅速发展。信息技术研究与咨询公司Gartner的一份研究报告指出，2017年，共有云市场规模达到2468亿美元，并预计于2020年达到3834亿美元。2017年4月，工信部印发《云计算发展三年行动计划(2017-2019年)》，提出到2019年，我国云计算产业规模将达到4300亿元。与传统网络应用相比，云端的信息和业务处理高度集中化，一旦云服务器出现问题，数据的安全性就会受到严重威胁。根据CSA(CloudSecurityAlliance)的报告，云计算在2016年面临着12大安全威胁，而数据完整性是成员关于云端数据安全的两个核心需求之一。所谓数据完整性，旨在防止云端数据被篡改、伪造或删除等，保障云端数据真实可信。即使不考虑云端存在的恶意行为，数据的完整性也可能因为软硬件故障或人为操作失误而被破坏。而随着云计算的发展，基于云计算的群组合作模式也得到了广泛重视，如IBM、Microsoft、Google、Cisco、Oracle、Salesforce等公司均推出面向企业客户的群组合作云计算解决方案。如何在在群组合作模式下支持对共享数据的完整性验证、数据共享/操作者的隐私保护和共享数据的可追溯性，是该模式所面临的困难和挑战。毫无疑问这些挑战和困难极大的阻碍了云计算、云存储业务的发展，所以需要有一种方案能够将群组数据共享模式下成员身份的隐私保护、群组成员账户的安全撤销及数据的公开完整性校验结合起来，以强化成员对于数据安全的可感知性、可控性和可追踪性，从而消除成员对于云服务器中数据的安全性的疑虑。目前存在许多群组合作模式下的数据共享方案，如ProofsofRetrievabilityforLargeFiles、PORs:ProofsofRetrievabilityforLargeFiles、Oruta:Privacy-PreservingPublicAuditingforSharedDataintheCloud等。但是他们无法同时解决如下问题：1)群组数据共享系统需要支持完全动态的数据操作；2)群组数据共享系统对大规模共享数据仍然要有良好的效率；3)群组数据共享系统需要同时保证成员的对外匿名性和数据的可追溯性；4)群组数据共享系统必须支持群组管理者对群组成员进行安全有效的管控。
技术实现思路
为了解决上述问题，本专利技术提出了一种支持公开完整性校验的数据共享系统及方法。本专利技术的系统所采用的技术方案是：一种支持公开完整性校验的数据共享系统，其特征在于：包括群组管理系统、数据分析系统、审计系统、云存储系统；所述群组管理系统，用于群组管理者管理群组成员，包括注册群组新成员、安全撤销成员的账户；所述数据分析系统，用于对群组成员需要上传的共享数据进行分析计算，生成支持验证数据完整性和保证数据的可追溯性的相关信息，并将这些相关信息和共享数据发送到云存储系统存储，同时在审计系统存储一份状态信息；所述审计系统，部署于可信的第三方，用于代理群组成员发起的数据完整性验证请求，待自身收到云存储系统的回复的证明信息后，将利用证明信息与存储在审计系统的状态信息进行运算以校验证明信息的合法性，之后将校验结果回复给审计发起者；所述云存储系统，用于存储共享数据和数据对应的验证信息与状态信息。本专利技术的方法所采用的技术方案是：一种支持公开完整性校验的数据共享方法，其特征在于：包括群组创建、群组成员注册、共享数据分析计算与上传、共享数据审计、共享数据更新、共享数据追溯和组内成员安全撤销；所述群组创建，具体实现过程是：群组管理系统为自身管理的群组生成一对群组密钥和一个特殊群组成员身份，将群组公钥发送至审计系统存储公开，将群组私钥和特殊群组成员身份信息存储在群组管理系统中；所述群组成员注册，具体实现过程是：群组管理系统利用群组公私钥、成员指定的登录ID和密码为成员注册合法的账户，每个账户拥有唯一的数字身份和成员私钥，账户信息存储在群组管理系统中；所述共享数据分析计算与上传，具体实现过程是：对群组成员共享的数据进行分析计算生成对应的验证信息并利用成员私钥、群组公钥和验证信息生成状态信息，云存储系统存储共享数据、验证信息及状态信息，审计系统仅保留状态信息；所述共享数据审计，具体实现过程是：当群组成员向审计系统发起数据完整性校验请求时，审计系统向云存储系统发送随机生成的数据抽查信息，云存储系统根据自身存储的共享数据、验证信息、状态信息和收到的抽查信息生成证明信息回复给审计系统，审计系统将对证明信息的有效性进行检查以校验数据的完整性，结果回复给审计发起者；所述共享数据更新，具体实现过程是：当群组成员更新已经上传至云存储系统的数据时，更新操作包括删除、插入、修改，对被修改的数据块进行重新运算、签名生成新的验证信息、状态信息；其中，数据更新仅分析被更新的数据块，并且数据对应的状态信息也更新以维护数据的可追溯性；所述共享数据追溯，具体实现过程是：当群组成员对共享数据发起追溯请求获取数据的历史操作者时，向审计系统请求数据对应的状态信息，通过对状态信息和追溯请求者的成员私钥解析运算得到历史操作者的数字身份，之后向群组管理系统查询数字身份对应的身份ID即得到历史操作者；所述组内成员安全撤销，具体实现过程是：当群组管理者撤销某成员账户时，利用当前群组密钥重新计算得到新的群组密钥并为每位合法成员生成新的成员私钥，并发放密钥；审计系统将利用生成的特殊成员身份所对应的成员私钥对被撤销成员上传、操作的数据进行重新签名。本专利技术相比现有技术，其优点和积极效果主要体现在如下几个方面：(1)本方案将审计功能外包给具有可信力的第三方，审计系统代替云存储系统进行审计功能，减轻了云存储系统的额外计算开销。数据分析系统产生的数据状态信息不但能够有效支持群组管理系统对群组成员进行有效的管控，而且其本身为持续审计元数据，即审计系统用于校验完整性检查的数据结构的大小独立于成员数量和数据大小，提高了云存储系统和审计系统的空间的利用率。(2)在本系统的设计中，数据分析系统产生的验证信息使得审计系统在不需要全部共享数据的情况下进行数据完整性验证，这种模式不但能够支持成员对数据进行完全动态的操作，而且降低了审计系统和云存储系统的通信传输量。(3)数据分析系统产生的状态信息、验证信息支持成员对共享数据进行完全动态的数据操作，并且能够在保证群组成员的隐私信息的前提下支持对共享数据追溯历史操作者。附图说明图1为本专利技术实施例的系统整体架构图。图2为本专利技术实施例的方法中群组创建原理图。图3为本专利技术实施例的方法中群组成员注册原理图。图4为本专利技术实施例的方法中共享数据分析计算与上传原理图。图5为本专利技术实施例的方法中共享数据审计原理图。图本文档来自技高网...

【技术保护点】
1.一种支持公开完整性校验的数据共享系统，其特征在于：包括群组管理系统、数据分析系统、审计系统、云存储系统；/n所述群组管理系统，用于群组管理者管理群组成员，包括注册群组新成员、安全撤销成员的账户；/n所述数据分析系统，用于对群组成员需要上传的共享数据进行分析计算，生成支持验证数据完整性和保证数据的可追溯性的相关信息，并将这些相关信息和共享数据发送到云存储系统存储，同时在审计系统存储一份状态信息；/n所述审计系统，部署于可信的第三方，用于代理群组成员发起的数据完整性验证请求，待自身收到云存储系统的回复的证明信息后，将利用证明信息与存储在审计系统的状态信息进行运算以校验证明信息的合法性，之后将校验结果回复给审计发起者；/n所述云存储系统，用于存储共享数据和数据对应的验证信息与状态信息。/n

【技术特征摘要】
1.一种支持公开完整性校验的数据共享系统，其特征在于：包括群组管理系统、数据分析系统、审计系统、云存储系统；
所述群组管理系统，用于群组管理者管理群组成员，包括注册群组新成员、安全撤销成员的账户；
所述数据分析系统，用于对群组成员需要上传的共享数据进行分析计算，生成支持验证数据完整性和保证数据的可追溯性的相关信息，并将这些相关信息和共享数据发送到云存储系统存储，同时在审计系统存储一份状态信息；
所述审计系统，部署于可信的第三方，用于代理群组成员发起的数据完整性验证请求，待自身收到云存储系统的回复的证明信息后，将利用证明信息与存储在审计系统的状态信息进行运算以校验证明信息的合法性，之后将校验结果回复给审计发起者；
所述云存储系统，用于存储共享数据和数据对应的验证信息与状态信息。


2.一种支持公开完整性校验的数据共享方法，其特征在于：包括群组创建、群组成员注册、共享数据分析计算与上传、共享数据审计、共享数据更新、共享数据追溯和组内成员安全撤销；
所述群组创建，具体实现过程是：群组管理系统为自身管理的群组生成一对群组密钥和一个特殊群组成员身份，将群组公钥发送至审计系统存储公开，将群组私钥和特殊群组成员身份信息存储在群组管理系统中；
所述群组成员注册，具体实现过程是：群组管理系统利用群组公私钥、成员指定的登录ID和密码为成员注册合法的账户，每个账户拥有唯一的数字身份和成员私钥，账户信息存储在群组管理系统中；
所述共享数据分析计算与上传，具体实现过程是：对群组成员共享的数据进行分析计算生成对应的验证信息并利用成员私钥、群组公钥和验证信息生成状态信息，云存储系统存储共享数据、验证信息及状态信息，审计系统仅保留状态信息；
所述共享数据审计，具体实现过程是：当群组成员向审计系统发起数据完整性校验请求时，审计系统向云存储系统发送随机生成的数据抽查信息，云存储系统根据自身存储的共享数据、验证信息、状态信息和收到的抽查信息生成证明信息回复给审计系统，审计系统将对证明信息的有效性进行检查以校验数据的完整性，结果回复给审计发起者；
所述共享数据更新，具体实现过程是：当群组成员更新已经上传至云存储系统的数据时，更新操作包括删除、插入、修改，对被修改的数据块进行重新运算、签名生成新的验证信息、状态信息；其中，数据更新仅分析被更新的数据块，并且数据对应的状态信息也更新以维护数据的可追溯性；
所述共享数据追溯，具体实现过程是：当群组成员对共享数据发起追溯请求获取数据的历史操作者时，向审计系统请求数据对应的状态信息，通过对状态信息和追溯请求者的成员私钥解析运算得到历史操作者的数字身份，之后向群组管理系统查询数字身份对应的身份ID即得到历史操作者；
所述组内成员安全撤销，具体实现过程是：当群组管理者撤销某成员账户时，利用当前群组密钥重新计算得到新的群组密钥并为每位合法成员生成新的成员私钥，并发放密钥；审计系统将利用生成的特殊成员身份所对应的成员私钥对被撤销成员上传、操作的数据进行重新签名。


3.根据权利要求2所述的支持公开完整性校验的数据共享方法，其特征在于，群组创建时生成群组密钥的具体实现过程为：
(1)选取和为两个阶为素数p的乘法循环群，定义g为群的生成元，定义和为两个加密散列函数，定义双线性映射同时该映射需要满足以下三个条件；
1)双线性：都有e(ua，vb)＝e(u，v)ab；
2)非简并性：
3)计算有效性：组和双线性映射上的操作是有效计算；
其中，表示任意比特流，表示正整数集合，表示模p形成的正整数集合，表示群的单位元，e(ua，vb)表示双线性映射运算；
(2)假设群的阶为素数p的，p的长度为λ比特；
(3)选择两个随机生成器g，h，且
(4)选择三个随机的元素α，β，η且计算v：＝hα，w：＝h-β，A：＝e(η，h)；其中，w、A均为群组公钥的组成部分，：＝表示定义为；
(5)群组公钥pk＝(g，h，v，w，A)，群组私钥sk＝(α，β，η)；其中，pk发送至云审计系统，sk存储在本地；生成特殊成员账号的身份仅由群组管理员持有，用于对被撤销成员签署过的数据重新签名。


4.根据权利要求3所述的支持公开完整性校验的数据共享方法，其特征在于，群组成员注册中成员私钥和数字身份的具体生成步骤为：
(1)选定群组成员登录id和登录口令∈{0，1}*；
(2)选择一个随机元素xid，并计算和zid：＝ηHG(id...

【专利技术属性】
技术研发人员：何琨，陈晶，杜瑞颖，王翔，张书东，郑明辉，
申请(专利权)人：武汉大学，
类型：发明
国别省市：湖北;42