本发明专利技术涉及网络安全技术领域,具体涉及一种基于生物特征的云数据完整性验证方法及系统,本发明专利技术的方法包括:系统初始化,生成公共参数。客户端上传生物特征身份,密钥生成中心服务器为用户生成密钥。客户端上传文件和标签至云服务器。审计服务器发送挑战值给云服务器,云服务器利用挑战值、用户数据和标签计算响应值发送给审计服务器,审计服务器验证响应值的有效性以检查云服务器是否完整地保存着客户端的数据。本发明专利技术简化了传统验证协议中复杂的密钥管理负担,降低了系统复杂性;同时,提供了基于身份云数据完整性审计方案所不具备的容错性,使得该方法更具实用性。本发明专利技术还涉及一种基于生物特征的云数据完整性验证方法的系统。
【技术实现步骤摘要】
本专利技术属于网络安全
,具体涉及一种基于生物特征的云数据完整性验证方法及系统。
技术介绍
近年来,云计算越来越受到学术界和产业界的关注,是目前信息技术发展的重要趋势之一。云存储是从云计算衍生和发展出来的一种数据外包的存储服务技术,用户可以将数据存储到云端,享受云计算带来的按需服务。通过数据外包,用户无需购买、维护和管理相关硬件设备,只要在需要的时候访问云即可,省去了管理和维护的工作量和成本。在云存储环境下,用户将数据存储到不可信的云服务提供商的服务器当中,自己本地不再保存,数据的安全完全由服务器单方面来保证。然而,云服务提供商是以盈利为目的的,因此并非完全可信的。云服务器可能由于遭受黑客攻击、管理员操作不当、断电或宕机等缘故而造成用户数据完整性被破坏。但云服务提供商为了维护自己的声誉,刻意隐瞒或掩盖数据丢失事件。在云存储环境中,租户失去了对数据的控制权,因此直接利用传统的数据完整性验证技术如hash函数或消息验证码需要从云端下载全部数据,必将带来巨大的通信代价。因此,外包云数据完整性检测的基本要求是客户只需取回少量数据,通过知识证明协议和概率分析手段,便能够以很大的概率相信数据完好地保存在云服务器上。云数据完整性验证协议便是检验云服务器是否完整地保存数据的新型技术,它包括三类实体:云数据用户,云服务器和第三方验证者。云数据完整性验证协议主要包括可证明数据拥有协议PDP(ProvableDataPossession)和数据可回取证明协议PoR(ProofofRetrievability)。2007年,Ateniese等人首次提出了PDP的概念和其安全模型,同时,他还提出了两个高效的可证明安全的PDP方案,这两个方案都使用了基于RSA的同态可验证标签(HVT)。同态可验证标签可以将所有被挑战块的响应值聚合成单一值,极大降低云服务器和审计服务器之间的通信开销。随后,在2008年,Shacham和Waters利用纠删码设计了两个高效且紧致的PoR方案,并在Juels等人的安全模型下进行了严格的安全性论证。第一个方案的设计基于伪随机函数PRF,可以在标准模型下进行安全性证明,但只支持私有验证;第二个方案的构造基于BLS短签名,并且满足公开可验证。随后满足不同性质的云数据完整性验证方案也都被相继提出,如:支持动态操作、隐私保护和公开可验证等。上述的方案都是基于公钥基础设施PKI系统的,在一个完整的PKI系统中,包含以下组成部分:证书权威CA,为用户颁发数字证书;证书目录服务器,存放已发布的证书供用户进行检索和查询;证书废止列表CRL,存放已废弃的证书。在基于PKI的云数据完整性验证协议中,用户用自己的私钥对标签进行签名,在验证过程中,审计服务器需要申请用户的公钥证书并提取公钥,才能完成验证工作。因此,基于PKI的云数据完整性验证协议有两个明显的缺陷:首先,数字证书的发布、管理和吊销都为系统带来的极大的负担,由于每个用户需要事先申请数字证书,用户使用复杂,后台管理也异常繁琐;其次,证书权威CA可能不是完全可信的,而使用不可信的CA所颁布的数字证书将给用户带来极大的损失。解决上述问题的一个可选方式就是基于身份的云数据完整性验证协议。基于身份的密码学是Shamir在1984年首次提出的,直到2001年,D.Boneh等人提出了第一个真正实用的基于身份的加密方案。2005年以后,一系列基于身份的云数据完整性验证方案被相继提出。在基于身份的密码系统中,无需数字证书的参与,而是将密钥绑定用户的身份,而用户的身份被视为任意确定的字符串,如用户的姓名或邮箱地址等。虽然在基于身份的密码体制中,免去了复杂的证书管理负担,但是仍存在如下问题:(1)用户在使用自己声称的身份之前,需要向密钥产生中心提交额外的材料以证明自己的身份,过程复杂且耗时,并且证明材料也可能被造假;(2)用户在本地需要保存该身份串,增加了用户的管理负担。
技术实现思路
为了解决现有技术中存在的上述问题,本专利技术提供了一种基于生物特征的云数据完整性验证方法及系统。本专利技术要解决的技术问题通过以下技术方案实现:一种基于生物特征的云数据完整性验证方法,包括如下步骤:步骤S100,系统初始化:步骤S101,云服务器运行系统初始化算法,输入一个安全参数l,该算法即可输出一个安全的大素数p和两个以p为阶的乘法循环群G和GT,且g为群G的一个生成元,e:G×G→GT是一个双线性映射,H:{0,1本文档来自技高网...
【技术保护点】
一种基于生物特征的云数据完整性验证方法,其特征在于:包括如下步骤:步骤S100,系统初始化:步骤S101,云服务器运行系统初始化算法,输入一个安全参数l,该算法即可输出一个安全的大素数p和两个以p为阶的乘法循环群G和GT,且g为群G的一个生成元,e:G×G→GT是一个双线性映射,H:{0,1}*→G,H是一个哈希函数;步骤S102,密钥生成中心服务器随机生成系统主密钥y,并根据主密钥y计算参数g1发送给云服务器,即g1=gy∈G;步骤S103,云服务器随机选择g2∈G,并根据g1,g2,计算参数A=e(g1,g2),定义m为该系统中描述一个生物特征身份的最大属性数,集合M={1,2,...,m+1};随机选择随机元素t1,...,tm+1∈G,计算函数随机选择整数z∈Zp,计算参数v=gz,选取整数d作为模糊匹配精度;其中,Zp为模p的循环群;步骤S104,云服务器生成公共参数PP,即PP=(l,p,G,GT,H,g1,g2,e,d,t1,…tm+1,T(x),v,A);步骤S200,客户端向密钥生成中心服务器申请密钥;具体步骤是:步骤S201,客户端输入公共参数PP,并将自己的生物特征身份ω一同发送给密钥生成中心服务器;步骤S202,密钥生成中心服务器收到客户端密钥申请后,为其生成一对签名密钥({Dk}k∈ω,{dk}k∈ω);步骤S300,客户端上传数据至云服务器:客户端为将要存储的文件F生成文件名Fn,并为文件F生成文件标签ft;然后将文件F的数据进行预处理、分块,得到分块文件{mij}1≤i≤n,1≤j≤s,并为分块文件{mij}1≤i≤n,1≤j≤s中的数据块mi(1≤i≤n)计算数据块标签然后将文件标签ft、分块文件{mij}1≤i≤n,1≤j≤s、数据块标签级联生成上传文件F*,最后将上传文件F*存入云服务器;具体步骤是:步骤S301,客户端为将要存储的文件F选择文件名Fn和s个随机数u1,...,us,并计算文件标签ft;步骤S302,客户端用RS码为将要存储的文件F进行编码得到编码文件F′,然后将编码文件F′分成n个块,每一块分成s个部分,得到分块文件{mij}1≤i≤n,1≤j≤s;步骤S303,客户端为分块文件{mij}1≤i≤n,1≤j≤s的数据块mi(1≤i≤n)计算数据块标签然后将文件标签ft、分块文件{mij}1≤i≤n,1≤j≤s、数据块标签级联生成上传文件最后将上传文件F*存入云服务器,同时本地删除数据;其中“||”为级联操作;步骤S400,审计服务器对云服务器的验证过程:客户端生成一个验证请求发送给审计服务器,审计服务器通过与云服务器的交互,验证云服务器发来的响应值,进而确定客户端的文件是否完整保存在云服务器上,最后,审计服务器生成验证报告发送给客户端;具体步骤是:步骤S401,客户端生成一个验证请求requ,发送给审计服务器,请求验证云服务器;步骤S402,审计服务器验证客户端验证请求的有效性;验证请求有效则对相应的云服务器继续执行验证步骤;否则,拒绝客户端的验证请求;步骤S403,审计服务器生成挑战值chal,并发送给云服务器;步骤S404,云服务器收到挑战值chal后,生成响应值resp,并传给审计服务器;步骤S405,审计服务器收到云服务器发来的响应值resp后,根据自己发送的挑战值chal,云服务器的响应值resp以及采集到的客户端的新的生物特征身份ω'来验证响应值resp的有效性;步骤S406,审计服务器根据验证结果发送验证报告给客户端,若验证成功,则发送验证成功;否则,发送验证失败;步骤S407:当客户端需要验证云服务器上的数据完整性时,重复步骤S401‑S406。...
【技术特征摘要】
1.一种基于生物特征的云数据完整性验证方法,其特征在于:包括如下步骤:步骤S100,系统初始化:步骤S101,云服务器运行系统初始化算法,输入一个安...
【专利技术属性】
技术研发人员:禹勇,李艳楠,杨波,丁玉洁,
申请(专利权)人:陕西师范大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。