CN108600163A - 一种云环境分布式哈希链架构及云数据完整性验证方法 - Google Patents

Abstract

本发明公开了一种云环境分布式哈希链架构及云数据完整性验证方法，对用户虚拟机进行扩展，得到虚拟机代理模型，使得整个设计***具有灵活性、跨平台和扩展性，接着结合云端多用户特点的环境创建分布式哈希链，通过多用户间的信息交流来达成行动协议共识以完成可信完整性验证；本发明还涉及基于云环境分布式哈希链架构的数据完整性监控和验证方法，基于云环境，采用虚拟机代理技术维护分布式哈希链，针对数据进行实时监控，有效保证数据的完整性，提高实际工作安全性和效率。

Description

一种云环境分布式哈希链架构及云数据完整性验证方法

技术领域

本发明涉及一种云环境分布式哈希链架构及云数据完整性验证方法，属于云计算和信息安全技术领域。

背景技术

云计算是一种利用互联网随时随地、按需、快捷地访问共享资源池(如计算设施、存储设备、应用程序等)，以按需付费的形式提供给用户的一种计算模式。云存储是一个以数据存储和管理为核心的云计算***，用户可以在任何时间、任何地方，透过任何可连网的装置访问云数据。但是，云数据特有的集中式存储方式，造成了用户所有权和管理权的分离，带来了数据窃密、破坏的潜在安全危险。

云数据完整性问题已经成为研究焦点。一方面，云服务提供商可能私自删除用户数据，或者为了自身声誉，刻意隐瞒意外的数据破坏、篡改；另一方面，云数据中心可能遭到恶意攻击，导致数据破坏、敏感数据丢失，给用户或者公司带来严重的后果。云数据完整性保证可以保障云数据完整无误的存放在云***中，并在数据发生非法篡改时，能够立刻发出警告，降低损失。

针对云数据完整性问题，目前的保护机制大多依赖于可信第三方审计机构，增加了数据泄漏给第三方的威胁，亦无法避免云服务提供商和第三方机构合谋的威胁。因此，云数据的完整性依然是未来云计算发展亟需解决的重要课题之一。

发明内容

本发明所要解决的技术问题是：提供一种云环境分布式哈希链架构及云数据完整性验证方法，构建云环境分布式哈希链架构，同时基于该架构进行云数据完整性监控和验证，有效保证数据的完整性。

本发明为解决上述技术问题采用以下技术方案：

一种云环境分布式哈希链架构，每个用户对应一个虚拟机代理节点，每个虚拟机代理节点对应一个由多个存储节点构成的分布式存储***集群，完成虚拟机代理模型的部署；虚拟机代理节点包括文件预处理模块、监测模块、验证模块、存储模块；将多个用户进行联合，各用户对应的虚拟机代理节点之间进行交互，当某用户提交数据文件存储任务时，文件预处理模块对数据文件进行预处理，并产生一笔交易放入缓冲池中，其他用户的虚拟机代理节点轮番查询缓冲池是否有未确认的交易，若有，则对交易进行合法性确认，在合法性确认完成后将交易打包作为分布式哈希链其中一个节点，完成云环境分布式哈希链架构的构建；

定义：虚拟机代理节点为用户的代理节点，且逻辑上唯一，负责代理用户执行各项任务；虚拟机代理节点用于当用户提交数据文件存储任务后，对待存储数据文件进行预处理，并选择虚拟机代理节点对应的分布式存储***集群中的一个存储节点存储数据文件，在所有数据文件存储完成后，由虚拟机代理节点将结果返回给用户；存储节点作为用户的数据文件存储节点，用于存储用户的数据文件，且不唯一，用户所有的存储节点构成分布式存储***集群。

基于上述云环境分布式哈希链架构的云数据完整性验证方法，用于目标用户针对其在云环境中所存储的云数据实现完整性监控和验证，包括如下步骤：

步骤A，部署虚拟机代理模型，并根据虚拟机代理模型构建云环境分布式哈希链，通过虚拟机代理节点与目标用户建立连接，完成数据完整性预处理；

步骤B，目标用户通过虚拟机代理节点建立与云服务提供服务器之间的通信，完成数据完整性监控；

步骤C，目标用户通过虚拟机代理节点与云服务提供服务器通信，验证所存储云数据的完整性。

作为本发明方法的一种优选方案，所述步骤A包括如下步骤：

步骤A01，部署虚拟机代理模型，根据虚拟机代理模型构建云环境分布式哈希链，目标用户发出请求连接对应的虚拟机代理节点，虚拟机代理节点收到目标用户请求后，验证其是否合法，若合法，则开启虚拟机代理节点，否则，返回拒绝连接响应；

步骤A02，取素数p，Z_p是p上的域，设G₁,G₂是素数p的乘法循环群，g₁是G₁的生成元，g₂是G₂的生成元，存在双线性映射:G₁×G₁→G₂，随机选取a∈Z_p、x∈Z_p，目标用户在本地生成密钥对{SK＝{a,x},PK＝{g₁,u,v}}，其中，x为私钥，v为公钥，

步骤A03，目标用户将待存储数据文件F上传至虚拟机代理节点，虚拟机代理节点初始化F，将F进行分块F＝{m₁,…,m_i,…,m_n}，1≤i≤n，n为待存储数据文件F分成的所有数据块总数，再分别针对各个分块m_i进行分段m_i＝{m_i1,…,m_ij,…,m_ik}，1≤j≤k，k为每个数据块分成的所有段数，并且对各个块进行编号b_i，同时生成时间戳t_i，利用标签生成算法为每个数据块m_i生成标签σ_i，将标签σ_i存储至虚拟机代理节点的数据库中；

步骤A04，虚拟机代理节点上传待存储数据文件F存储到对应的分布式存储***集群，得到存储地址F_Id。

作为本发明方法的一种优选方案，步骤A03所述标签σ_i的计算公式如下：

其中，H、h均为哈希函数：H:{0,1}^*→G₁，h:{0,1}^*→Z_p，1≤i≤n，1≤j≤k，n为待存储数据文件F分成的所有数据块总数，k为每个数据块分成的所有段数，b_i为编号，t_i为时间戳，g₁是G₁的生成元，G₁是素数p的乘法循环群，a_j∈Z_p,x∈Z_p，Z_p是素数p上的域，m_ij为第i个数据块m_i的第j个分段。

作为本发明方法的一种优选方案，所述步骤B包括如下步骤：

步骤B01，编写数据监控合约协议代码并将该代码编译成二进制码，将编译好的合约协议部署到云环境分布式哈希链所在的网络，获得合约协议的分布式哈希链的地址和二进制接口；

步骤B02，虚拟机代理节点完成数据完整性预处理后，获取步骤A03得到的标签σ_i，根据默克尔哈希树生成待存储数据文件的根哈希值，1≤i≤n，n为待存储数据文件F分成的所有数据块总数；

步骤B03，通过合约协议的分布式哈希链的地址和二进制接口调用合约协议，将步骤A得到的存储地址F_Id和根哈希值作为键值对保存到Map的数据结构中；

步骤B04，通过监控待存储数据文件的根哈希值，实现数据完整性监控。

作为本发明方法的一种优选方案，所述步骤C包括如下步骤：

步骤C01，目标用户针对所存储待挑战数据文件，向虚拟机代理节点发出待检测数据文件的数据完整性验证请求，数据完整性验证请求包括：从待挑战数据文件中选取的待挑战数据块集合IDX＝{idx_s|1≤s≤c,c≤n}以及对应的随机数集合R＝{r_s|s∈IDX,r_s∈Z_p}，其中，c为待挑战数据块总数，n为待挑战数据文件分成的所有数据块总数，Z_p是素数p上的域，idx_s为第s块待挑战数据块，r_s为随机数；

步骤C02，虚拟机代理节点根据验证请求，向分布式存储***集群查询待挑战数据文件的存储地址F_Id；

步骤C03，虚拟机代理节点根据待挑战数据文件的存储地址F_Id，在存储节点获取到待挑战数据块的返回给虚拟机代理节点，计算总数据块：

根据虚拟机代理节点中存储的u，利用标签生成算法计算总数据块标签值：

其中，D为总数据块标签值，h为哈希函数：h:{0,1}^*→Z_p，Z_p是素数p上的域，m_sj为第s个待挑战数据块m_s的第j个分段，k为待挑战数据块m_s分成的所有段数，IDX为待挑战数据块集合，g₁是G₁的生成元，G₁是素数p的乘法循环群，a_j∈Z_p，Z_p是素数p上的域；

步骤C04，虚拟机代理节点从自身数据库读取待挑战数据块标签值计算T，同时计算对应的待挑战数据块编号的哈希值B：

生成证据proof＝{D,B,T}，并计算：

其中，σ_s为第s个待挑战数据块m_s的标签值，r_s为随机数，H为哈希函数：H:{0,1}^*→G₁，G₁是素数p的乘法循环群，b_s、t_s分别为待挑战数据块m_s的编号、时间戳，v为公钥，g₂是G₂的生成元，G₂是素数p的乘法循环群；

步骤C05，根据存储地址F_Id获取待挑战文件的根哈希值，根据待挑战数据块生成新的默克尔哈希树的根哈希值，若上述两个根哈希值相同，并且步骤C04的定义式成立，则验证结果可信，同时将验证结果经虚拟机代理节点传送至用户。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

1、本发明设计云环境分布式哈希链架构，通过虚拟机代理节点完成完整性验证，防止数据泄露给第三方。

2、本发明通过分布式哈希链保证链上数据的可信，从而使验证结果可信。

3、本发明通过分布式哈希链监控用户数据的整个生命周期，保证数据不被非法篡改。

4、本发明所设计基于云环境分布式哈希链架构的数据完整性验证方法，基于云环境，采用分布式虚拟机代理技术，针对数据进行实时监控，有效保证数据的完整性，提高实际工作安全性和效率。

附图说明

图1是本发明所设计云端用户节点架构示意图。

图2是本发明所设计云环境分布式哈希链架构示意图。

图3是本发明所设计的分布式哈希链的默克尔哈希树结构图。

图4是本发明所设计云数据完整性监控的流程示意图。

图5是本发明所设计云数据完整性验证的流程示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本发明设计了一种云环境分布式哈希链架构，所涉及的节点从功能上分为两类：虚拟机代理节点和存储节点，当用户提交存储任务后，由虚拟机代理节点负责对文件进行预处理，选择合适的存储节点保存数据，并在所有的存储完成后，由虚拟机代理节点将结果返回给用户。

为了适用云端分布式环境下的复杂服务，增强该模型的可移植性，本发明首先在节点上运行特殊容器，为执行虚拟机代理节点划分的任务做环境准备，虚拟机代理节点将任务划分各子任务分布到合适的存储节点上执行。如图1所示，是一个用户所处公有云中的节点结构图。

定义：虚拟机代理节点，云用户的代理节点，逻辑上唯一，负责代理用户执行各项任务，拥有较高的计算能力。

存储节点，云用户的数据存储节点，不唯一，拥有较低的计算能力，所有的存储节点组成分布式存储***集群，负责存储用户海量数据。

在完成部署虚拟机代理模型(图1)后，本发明构造云环境分布式哈希链(图2)，该链具有线性结构，具有不可篡改性，以某种共识算法保障节点间数据的一致性，通过时间戳及哈希值形成首尾相连的链式结构，具有不可篡改性、可验证的特点。

如图2所示，将多个租户联合，旨在通过多租户之间的信息交流达到行动协议共识，保证链上数据的公开透明、不可篡改、可追溯等特性。本发明构造的分布式哈希链，仅赋予云用户读取权限，防止共识过程被外界干扰。另外，为了防止恶意攻击，本发明采取积分的方式进行交易，每一个用户初始拥有一定的积分，每笔交易需要消耗积分，而一旦成功获得交易打包权，将获得一定的积分奖励，激励用户开启虚拟机代理参与共识过程。

本发明引入分布式虚拟机代理模型来构建基本的云数据完整性保护框架。当用户提交存储任务时，首先将数据上传至虚拟机代理节点，通过预处理后，产生一笔交易放入缓存池中，交易中保存着数据完整性验证的证据。云端其他用户的虚拟机代理节点轮询查询缓存池是否有未确认的交易，一旦发现，就尝试验证交易的合法性，并将一组交易进行打包形成分布式哈希链其中一个节点。

上述技术方案所设计云环境分布式哈希链架构，对用户虚拟机进行扩展，创建适合虚拟机代理中各个模块所需的环境，使得整个设计***具有灵活性、跨平台和扩展性；而且虚拟机代理是动态生成的，并具有一定的生存周期，因此对其功能进行修改和扩展都非常简便。

基于上述所设计云环境分布式哈希链架构，本发明还进一步设计了基于云环境分布式哈希链架构的数据完整性监控和验证方法，用于目标用户针对其在云环境中所存储的数据实现完整性验证，包括如下步骤：

步骤A，部署虚拟机代理模型，构建云环境分布式哈希链架构，通过虚拟机代理节点与目标用户建立连接，完成数据完整性预处理。具体为：

步骤A01，云服务提供商按照图1和图2构建为用户部署分布式哈希链架构。用户发出请求连接对应的虚拟机代理节点，虚拟机代理节点接到用户请求，验证其是否合法，若合法，开启虚拟机代理节点，若不合法，返回拒绝连接响应。

步骤A02，取素数p，Z_p是p上的域，设G₁,G₂是素数p的乘法循环群，g₁是G₁的生成元，g₂是G₂的生成元，存在双线性映射:G₁×G₁→G₂，随机选取a、x∈Z_p，用户在本地生成密钥对{SK＝{a,x},PK＝{g₁,u,v}}；其中私钥:x，公钥:

步骤A03，用户将文件上传至虚拟机代理节点，虚拟机代理节点初始化数据信息文件F，将数据信息文件F进行分块F＝{m₁,…,m_i,…,m_n}，1≤i≤n，再分别针对各个分块m_i进行平均分段，分别分成k个段，即m_i＝{m_i1,…,m_ij,…,m_ik}，并且针对各个块编号b_i和时间戳t_i，调用标签生成算法为每一数据块m_i生成标签σ_i，如下所示：

其中，H、h是哈希函数：H:{0,1}^*→G₁，h:{0,1}^*→Z_p，j为数据段序号：1≤j≤k；Φ＝{(σ_i)|1≤i≤n}是数据信息文件F数据块的标签集合，将标签存放至虚拟机代理节点数据库中。

步骤A04，虚拟机代理上传数据F给存储到分布式存储***集群中，得到存储地址F_Id，是数据信息文件F的唯一标志符。

步骤B，目标用户通过虚拟机代理节点建立与云服务提供服务器之间的通信，完成数据完整性监控。具体为：

步骤B01，编写数据监控合约协议并将代码编译成二进制码；用户消耗一定的积分，将编译好的合约协议部署到网络中，获得合约的分布式哈希链的地址和二进制接口(Application Binary Interface，ABI)，ABI是合约协议接口的二进制表示。

步骤B02，虚拟机代理节点对该文件进行完整性验证预处理后，将获取的数据块的标签集存储到数据库中，根据默克尔哈希树生成文件的根哈希值；默克尔哈希树是一种二叉树，如图3所示，仅在叶子节点存储数据标签值，非叶子节点通过计算其左右子节点的值链接后哈希运算得到，最后形成根哈希值，用来描述所存储全部数据的完整性。

步骤B03，通过合约地址和ABI调用合约，将文件预处理后得到的存储地址和默克尔哈希树根哈希值作为键值对保存到Map的数据结构中。

步骤B04，通过监控文件默克尔哈希树的根哈希值，文件任何数据块的篡改都会被检测到，从而确保文件块的完整性；当用户校验文件时，通过文件存储地址作为key，调用合约获取文件的默克尔哈希树根哈希值进行比对。

实际应用中，用户将数据上传至云端后，数据的控制权交于云服务提供服务器，因此数据监测要求能够及时、有效的检测出异常篡改。完整性监控机制实现流程如图4所示，其过程如下：用户上传文件交由虚拟机代理节点预处理，一方面，将文件进行分块划分，将标签存储到数据库，由文件块的数据标签生成默克尔哈希树；另一方面，将文件存储到分布式存储***集群得到基于文件地址。通过调用合约保存键值对，此时由合约监视文件是否修改。

步骤C，目标用户通过虚拟机代理节点与云服务提供服务器通信，验证所存储数据的完整性。具体为：

步骤C01，用户针对所存储待挑战文件，向虚拟机代理发出待挑战文件的数据完整性验证请求，数据完整性验证请求chal包括：待挑战文件数据块集合IDX＝{idx_s|1≤s≤c,c≤n}和对应的随机数集合R＝{r_s|s∈IDX,r_s∈Z_p}：

接着，虚拟机代理向云服务提供服务器发出待挑战文件的数据完整性验证请求；其中，c为待挑战的数据块总数，n为待挑战文件数据块集合中数据块总数。

步骤C02，云服务提供服务器根据待挑战文件的数据完整性验证请求，确定待检测文件所处位置，向虚拟机代理节点返回待挑战文件的唯一标志符F_Id。

步骤C03，虚拟机代理节点根据待检测文件的唯一标志符F_Id，获取到待检测文件的相应数据块，计算总数据块M：

其中，m_sj表示待挑战文件数据块集合中第s个数据块第j段数据，m_i＝{m_i1,…,m_ij,…,m_ik}，待挑战文件数据块集合IDX＝{idx_s|1≤s≤c,c≤n}，根据虚拟机代理节点数据库中存储的***息，计算待挑战数据块标签值的一部分D：

利用标签生成算法计算待挑战文件块标签值，虚拟机代理从自身数据库读取待挑战文件的数据块标签值计算T，同时计算对应的待挑战文件的数据块编号的哈希值B：

其中，σ_s表示待挑战文件数据块集合中第s个数据块的标签，r_s表示数据完整性验证请求chal中第s个数据块所对应的随机数，b_s、t_s分别表示第s个数据块的编号、时间戳。最后证据proof＝{D,B,T}，返回给用户虚拟机。

步骤C04，用户接收虚拟机代理节点所返回的证据proof，并计算若等式成立，则证明待挑战文件完整，若等式不成立，则证明待挑战文件不完整。

完整性验证阶段如图5所示，其过程如下：用户随机抽取某数据块，通过虚拟机代理节点向云服务提供服务器的存储节点发起挑战，根据挑战块获取文件位置，生成证据，返回给虚拟机代理节点(VMA)，VMA通过验证步骤C04定义式，计算证据是否有效，若有效，则进行第二步验证，通过默克尔哈希树(MHT)计算挑战块是否存在，是否和根哈希值一致，若一致，证明文件完整，否则文件被破坏。

上述所设计基于云环境分布式哈希链架构的数据完整性验证方法，首先对用户虚拟机进行扩展，创建适合云数据完整性保护所需的环境，***具有灵活性、跨平台和扩展性。如：监测模块负责用户所属数据的上传和更新等操作，防止非法篡改，并且能够及时通知虚拟机代理和云管理员，警告其所在环境可能处于危险状态，并作出相应措施，如迁移、销毁等，做到事先预防。而且虚拟机代理是动态生成的，并具有一定的生存周期，因此对其功能进行修改和扩展都非常简便。设计中，虚拟机代理节点本身处于云环境中，能够保存用户与云服务提供商的交互信息，以及纪录云环境中对用户数据操作的不可抵赖的信息，对数据泄露等问题进行有效、可靠的法律依据取证，从而建立完善的问责机制，做到事后取证。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (6)

1.一种云环境分布式哈希链架构，其特征在于，每个用户对应一个虚拟机代理节点，每个虚拟机代理节点对应一个由多个存储节点构成的分布式存储***集群，完成虚拟机代理模型的部署；虚拟机代理节点包括文件预处理模块、监测模块、验证模块、存储模块；将多个用户进行联合，各用户对应的虚拟机代理节点之间进行交互，当某用户提交数据文件存储任务时，文件预处理模块对数据文件进行预处理，并产生一笔交易放入缓冲池中，其他用户的虚拟机代理节点轮番查询缓冲池是否有未确认的交易，若有，则对交易进行合法性确认，在合法性确认完成后将交易打包作为分布式哈希链其中一个节点，完成云环境分布式哈希链架构的构建；

定义：虚拟机代理节点为用户的代理节点，且逻辑上唯一，负责代理用户执行各项任务；虚拟机代理节点用于当用户提交数据文件存储任务后，对待存储数据文件进行预处理，并选择虚拟机代理节点对应的分布式存储***集群中的一个存储节点存储数据文件，在所有数据文件存储完成后，由虚拟机代理节点将结果返回给用户；存储节点作为用户的数据文件存储节点，用于存储用户的数据文件，且不唯一，用户所有的存储节点构成分布式存储***集群。

2.基于权利要求1所述云环境分布式哈希链架构的云数据完整性验证方法，用于目标用户针对其在云环境中所存储的云数据实现完整性监控和验证，其特征在于，包括如下步骤：

步骤A，部署虚拟机代理模型，并根据虚拟机代理模型构建云环境分布式哈希链，通过虚拟机代理节点与目标用户建立连接，完成数据完整性预处理；

步骤B，目标用户通过虚拟机代理节点建立与云服务提供服务器之间的通信，完成数据完整性监控；

步骤C，目标用户通过虚拟机代理节点与云服务提供服务器通信，验证所存储云数据的完整性。

3.根据权利要求2所述云数据完整性验证方法，其特征在于，所述步骤A包括如下步骤：

步骤A01，部署虚拟机代理模型，根据虚拟机代理模型构建云环境分布式哈希链，目标用户发出请求连接对应的虚拟机代理节点，虚拟机代理节点收到目标用户请求后，验证其是否合法，若合法，则开启虚拟机代理节点，否则，返回拒绝连接响应；

步骤A02，取素数p，Z_p是p上的域，设G₁,G₂是素数p的乘法循环群，g₁是G₁的生成元，g₂是G₂的生成元，存在双线性映射l:G₁×G₁→G₂，随机选取a∈Z_p、x∈Z_p，目标用户在本地生成密钥对{SK＝{a,x},PK＝{g₁,u,v}}，其中，x为私钥，v为公钥，v＝g₂ ^x，u＝g₁ ^a；

步骤A03，目标用户将待存储数据文件F上传至虚拟机代理节点，虚拟机代理节点初始化F，将F进行分块F＝{m₁,…,m_i,…,m_n}，1≤i≤n，n为待存储数据文件F分成的所有数据块总数，再分别针对各个分块m_i进行分段m_i＝{m_i1,…,m_ij,…,m_ik}，1≤j≤k，k为每个数据块分成的所有段数，并且对各个块进行编号b_i，同时生成时间戳t_i，利用标签生成算法为每个数据块m_i生成标签σ_i，将标签σ_i存储至虚拟机代理节点的数据库中；

步骤A04，虚拟机代理节点上传待存储数据文件F存储到对应的分布式存储***集群，得到存储地址F_Id。

4.根据权利要求3所述云数据完整性验证方法，其特征在于，步骤A03所述标签σ_i的计算公式如下：

其中，H、h均为哈希函数：H:{0,1}^*→G₁，h:{0,1}^*→Z_p，1≤i≤n，1≤j≤k，n为待存储数据文件F分成的所有数据块总数，k为每个数据块分成的所有段数，b_i为编号，t_i为时间戳，g₁是G₁的生成元，G₁是素数p的乘法循环群，a_j∈Z_p,x∈Z_p，Z_p是素数p上的域，m_ij为第i个数据块m_i的第j个分段。

5.根据权利要求3所述云数据完整性验证方法，其特征在于，所述步骤B包括如下步骤：

步骤B01，编写数据监控合约协议代码并将该代码编译成二进制码，将编译好的合约协议部署到云环境分布式哈希链所在的网络，获得合约协议的分布式哈希链的地址和二进制接口；

步骤B02，虚拟机代理节点完成数据完整性预处理后，获取步骤A03得到的标签σ_i，根据默克尔哈希树生成待存储数据文件的根哈希值，1≤i≤n，n为待存储数据文件F分成的所有数据块总数；

步骤B03，通过合约协议的分布式哈希链的地址和二进制接口调用合约协议，将步骤A得到的存储地址F_Id和根哈希值作为键值对保存到Map的数据结构中；

步骤B04，通过监控待存储数据文件的根哈希值，实现数据完整性监控。

6.根据权利要求3所述云数据完整性验证方法，其特征在于，所述步骤C包括如下步骤：

步骤C01，目标用户针对所存储待挑战数据文件，向虚拟机代理节点发出待检测数据文件的数据完整性验证请求，数据完整性验证请求包括：从待挑战数据文件中选取的待挑战数据块集合IDX＝{idx_s|1≤s≤c,c≤n}以及对应的随机数集合R＝{r_s|s∈IDX,r_s∈Z_p}，其中，c为待挑战数据块总数，n为待挑战数据文件分成的所有数据块总数，Z_p是素数p上的域，idx_s为第s块待挑战数据块，r_s为随机数；

步骤C02，虚拟机代理节点根据验证请求，向分布式存储***集群查询待挑战数据文件的存储地址F_Id；

步骤C03，虚拟机代理节点根据待挑战数据文件的存储地址F_Id，在存储节点获取到待挑战数据块的返回给虚拟机代理节点，计算总数据块：

根据虚拟机代理节点中存储的u，利用标签生成算法计算总数据块标签值：

其中，D为总数据块标签值，h为哈希函数：h:{0,1}^*→Z_p，Z_p是素数p上的域，m_sj为第s个待挑战数据块m_s的第j个分段，k为待挑战数据块m_s分成的所有段数，IDX为待挑战数据块集合，g₁是G₁的生成元，G₁是素数p的乘法循环群，a_j∈Z_p，Z_p是素数p上的域；

步骤C04，虚拟机代理节点从自身数据库读取待挑战数据块标签值计算T，同时计算对应的待挑战数据块编号的哈希值B：

生成证据proof＝{D,B,T}，并计算：

其中，σ_s为第s个待挑战数据块m_s的标签值，r_s为随机数，H为哈希函数：H:{0,1}^*→G₁，G₁是素数p的乘法循环群，b_s、t_s分别为待挑战数据块m_s的编号、时间戳，v为公钥，g₂是G₂的生成元，G₂是素数p的乘法循环群；

步骤C05，根据存储地址F_Id获取待挑战文件的根哈希值，根据待挑战数据块生成新的默克尔哈希树的根哈希值，若上述两个根哈希值相同，并且步骤C04的定义式成立，则验证结果可信，同时将验证结果经虚拟机代理节点传送至用户。