CN110460447A - 基于哈希二叉树的边缘计算数据审计***及审计方法 - Google Patents

Abstract

本发明公开了一种基于哈希二叉树的边缘计算数据审计***及审计方法，属于信息安全领域。本发明根据MEC特点，提出了一个新的公共审计协议，该协议不仅可以抵御传统审计协议容易遭受的重放攻击、伪造攻击和替代攻击，还可以抵御MEC环境中入侵攻击，满足MEC的安全要求。本发明还提出一种新的动态数据结构，可以降低传统审计协议中MHT(默克尔哈希树Merkle Hash Tree)的高度，提高了审计效率。

Description

基于哈希二叉树的边缘计算数据审计***及审计方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于哈希二叉树的边缘计算数据审计***及审计方法。

背景技术

随着云计算的迅速发展，出现了很多基于云计算的服务，比如云存储服务，该服务可以帮助单个用户或组织存储海量数据，并且不受访问地点和时间的限制，云用户随时都可以在云上访问它们的数据。然而目前越来越多的应用需要存取低延迟的数据服务以提供更高级的实时应用，比如车载移动网络，车载移动网络中的智能传感器会实时生成大量的数据，智能控制***会动态更新这些数据。此外，用户到云的远距离传输也增加了数据受到攻击的可能性，这会影响数据和相关存储服务的安全性。

为了满足低延迟高带宽服务的要求，云服务逐渐向网络边缘移动，并产生了称为MEC(Mobile Edge Computing移动边缘计算)的技术，它可利用无线接入网络就近为用户提供IT所需服务和云端计算功能，让消费者享有不间断的高质量网络体验。目前MEC的实用应用很多，比如视频监控、实时移动数据分析、智能电网、车载移动网络，这些都是数据实时性和带宽要求很高的应用，可以为用户提供更准确的体验。

尽管移动边缘计算网络可以为用户提供对实时性要求比较高的服务，但是它也会遭受很多的安全挑战。数据完整性挑战是MEC需要考虑的最主要的挑战之一。CSP(CloudServer Provider云服务提供商)可能会为了经济或者其它原因，删除用户不常用的外包数据，移动边缘服务器可能会遭受入侵攻击蓄意破坏DO(Data Owner数据所有者)的外包数据。传统的公共审计模型中，只需要三个实体就可以模拟审计过程，但是在MEC环境的公共审计模型中，我们需要额外增加一个边缘服务器实体才能模拟审计过程，所以传统的审计协议不适用于MEC环境中。

发明内容

为了解决现有技术问题，本发明提供一种基于哈希二叉树的边缘计算数据审计***及审计方法，根据MEC特点，提出了一个新的公共审计协议，该协议不仅可以抵御传统审计协议容易遭受的重放攻击、伪造攻击和替代攻击，还可以抵御MEC环境中入侵攻击，满足MEC的安全要求。本发明还提出一种新的动态数据结构，可以降低传统审计协议中MHT(默克尔哈希树Merkle Hash Tree)的高度，提高审计效率。

为解决上述技术问题，本发明所采取的技术方案是：

一种基于哈希二叉树的边缘计算数据审计***，包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；所述MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。

一种基于哈希二叉树的边缘计算数据审计方法，包括以下步骤：

S1.初始化参数：DO生成密钥对，私钥为SK＝{α,ssk}，公钥为PK＝{y,g,μ,spk}，其中(ssk,spk)是DO随机选择的一个非对称加密密钥对；

其中，α∈Z_p是DO随机挑选的值，g和μ是群G₁上的随机元素，y＝g^α是G₁上的元素；G₁和G₂为有素数阶p的两个乘法循环群，e:G₁×G₁→G₂为双线性对映射；

S2.生成数据块的审计签名：DO的外包数据F被划分为n个数据块M＝{m₁,m₂,...,m_n}，DO按照公式为m_i生成同态可验证签名，则同态签名集合为Φ＝{σ_i},1≤i≤n，数据块哈希值集合为θ＝{H(m_i)},1≤i≤n；

H:{0,1}^*→G₁为安全的把二进制数映射到群G₁上的哈希函数；

计算t＝name||n||SSig_ssk(name||n)为外包数据F的标签，其中name为外包数据F的唯一标识符，DO发送{M,Φ,t}给MS，同时发送θ给TPA，CSP和TPA收到相关数据后，DO本地删除{M,Φ,θ}；

S3.验证外包文件标签，确认DO身份：当MS收到数据{M,Φ,t}时，使用DO的公钥spk验证外包数据标签；如果验证失败，MS要求DO重新发送数据，反之，MS存储签名集合Φ，并把外包数据与其表示{F,name}发送给CSP；

S4.生成审计用的挑战信息：当到达审计时间时，TPA检查HBBT是否本地构建成功，如果没有成功，则使用θ生成HBBT；TPA在外包数据顺序号集合中随机选择c个挑战数据块，生成集合I＝{s₁,s₂,...,s_c}_1≤c≤n，然后TPA再为每个挑战数据块随机挑选c个随机数v_i，{v_i∈Z_p}_i∈I，组成挑战数据集合发送给MS；

S5.MS生成审计证据：MS收到来自TPA的挑战信息后，先把挑战数据集划分为两个子集chal＝{C₁,C₂}，C₁挑战信息中的挑战数据块顺序号所表示的外包数据块缓存在MS中，C₂是包含剩余的挑战信息，表示CSP要审计的外包数据块；挑战数据划分完成后，MS再给CSP发送挑战子集C₂，然后根据chal生成签名证据Θ，根据子集C₁生成数据块证据

S6.CSP收到MS发送的挑战子集C₂后生成数据证据计算公式如下：

CSP给MS发送数据证据

S7.MS收到CSP的数据证据后，聚合数据证据和

MS给TPA发送证据{Θ,U}；

S8.TPA收到MS发送的证据{Θ,U}后，先从HBBT树中找到挑战数据块顺序号对应的哈希值{H(m_i)}(i∈chal)，计算再利用双线性对性质审计按如下等式审计挑战数据块：

如果等式左右两端相等，TPA输出TRUE，反之TPA输出FALSE。

进一步的，所述步骤S4中，所述TPA根据DO外包数据块的最新哈希值生成哈希平衡二叉树(HBBT)，并存储在本地；所述HBBT的节点包含两个部分，分别是数据块序号i和数据块哈希值H(m_i)；所述TPA收到DO发送的{i,H(m_i)}后，按照AVL树的要求，以i的大小作为HBBT数据块的排序标准，生成HBBT。

进一步的，所述HBBT树的数据块序号为(1,2,3,...,k,i,j,...n)，其中k,i,j是按顺序排列，分为以下几种情况***：(1)当需要i和j之间***一个数据块时，顺序号可变为(1,2,3,...k,i,i-1,j,...n)，其中i<i-1<j；(2)当需要i-1和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1,i-2,j,...n)，其中i-1<i-2<j；(3)当需要i和i-1之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,j,...n)，其中i<i-1-1<i-1；(4)当需要i-2和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3,j,...n)，其中i-2<i-3<j；(5)当需要i-2和i-3之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3-1,i-3,j,...n)，其中i-2<i-3-1<i-3，以此类推。

进一步的，所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要把第i号数据块m_i修改为m_i′时，修改过程为：

DO生成字符串γ＝Mo||i||N，其中Mo表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(m_i'||h(γ))，生成待修改数据块m_i′的签名然后DO发送{Mo,i,H(m_i'||h(γ))}给TPA，发送{γ,m_i′,σ_i′}给MS；TPA收到来自DO的数据后，根据i检索本地HBBT，找到对应的结点，并使用H(m_i'||h(γ))替换结点的H(m_i)；MS收到来自DO的数据后，使用σ_i′更新数据块m_i的签名，并发送{γ,m_i′,σ_i′}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_i′＝m_i′||h(γ)，使用m_i′替换m_i，反之拒绝修改操作。

进一步的，所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要把数据块m_x***到数据块m_i和m_i+1之间时，修改过程为：

DO生成字符串γ＝I||i||y||N，其中I表示修改操作，y表示数据块的***标号，N∈Z_p是一个随机数；DO根据γ计算H(m_x||h(γ))，生成待***数据块m_x的签名然后DO发送{I,i,y,H(m_x||h(γ))}给TPA，发送{γ,m_x,σ_x}给MS；TPA收到来自DO的数据后，生成一个新的节点no_x，使用{y,H(m_x||h(γ))}初始化该结点；TPA根据i检索本地HBBT，找到相应的结点no_i，把no_x***no_i之后，按照AVL树的要求调整HBBT；MS收到来自DO的数据后，本地存储σ_x，并发送{γ,m_x,σ_x}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_x＝m_x|h(γ)，把m_x***m_i之后，反之拒绝***操作。

进一步的，所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要删除第i号数据块m_i时，修改过程为：

DO生成字符串γ＝D||i||N，其中D表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(γ)，生成***操作签名σ_D＝(H(γ))^α，然后DO发送{D,i,H(γ)}给TPA，发送{γ,i,σ_D}给MS；TPA收到{D,i,H(γ)}后，根据i检索本地HBBT，找到对应的结点并删除该结点，TPA按照AVL树的要求调整HBBT；MS收到来自DO的数据后，删除对应结点的签名σ_i，并把数据{D,i,H(γ)}再发送给CSP，CSP验证更新数据块：

如果等式相等，CSP删除数据块m_i之后，反之拒绝删除操作。

采用上述技术方案所产生的有益效果在于：

(1)本发明提出一个适用于MEC环境中的新型公共审计协议，该协议使用BLS签名和双线性对技术确保外包数据的安全性和隐私性。(2)考虑到MEC环境中某些服务需要支持动态操作，本发明提出一个新的动态数据结构哈希平衡二叉树(Hash Balanced BinaryTree，HBBT)，HBBT与AVL树类似，可以降低传统动态审计数据结构MHT的高度，高效存储和查找外包数据块相关信息，提高审计效率。(3)针对在MEC环境的特点，本发明提出一种发生在动态更新过程中的新型攻击。(4)安全性分析证明本发明的协议不仅可以正确的审计外包数据，而且可以抵御常见的攻击和本发明提出新的攻击。性能分析和实验结果都表明本发明的协议具有较低的通信量和计算量，效率优秀。

本发明实现的功能指标：(1)公共审计：任何被信任的有一定计算能力和存储空间的第三方都可以被DO授权，审计它的外包数据。(2)无数据块审计：审计者不需要检索DO数据块就可以完成对外包数据快的完整性和正确性的审计。(3)动态操作：支持DO对远程外包数据块进行***、删除、修改动态操作，并保证外包数据块正确存储。(4)轻量级：在公共审计和动态操作过程中，协议可以确保通信开销和计算开销最小。

本发明实现的安全指标：(1)数据正确性：只有正确的外包数据块和对应的签名才能通过审计，确保DO外包数据正确存储在EMS和CSP中。(2)数据隐私保护：在整个审计过程中，TPA无法了解外包数据块的内容。(3)身份识别：当MS被敌手操控，发送恶意信息给CSP时，CSP可以识别这种恶意行为。

附图说明

图1是本发明***模型结构示意图；

图2是本发明哈希平衡二叉树(HBBT)的结构示意图；

图3-1是具有八个节点的HBBT示意图；

图3-2是HBBT中***结点4-1的示意图；

图3-3是HBBT中***结点4-2的示意图；

图3-4是HBBT中***结点4-1-1的示意图；

图3-5是HBBT中***结点4-3的示意图；

图3-6是HBBT中***结点4-3-1的示意图；

图3-7是HBBT中删除结点5的示意图；

图4是本发明的审计协议流程图；

图5是本发明的动态审计协议流程图；

图6是设置阶段计算开销的试验评估图；

图7是CSP计算聚合证据时间对比的试验评估图；

图8是TPA审计时间对比的试验评估图；

图9-1是不同数据块的动态操作时间对比(修改时间)的试验评估图；

图9-2是不同数据块的动态操作时间对比(***时间)的试验评估图；

图9-3不同数据块的动态操作时间对比(删除时间)的试验评估图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

一种基于哈希二叉树的边缘计算数据审计***，包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。

图1中，MEC网络中的协议模型包含四个实体：DO(Data Owner数据所有者)，MS(MEC网络服务器)，CSP(Cloud Server Provider云服务提供商)和TPA(第三方审计者ThirdParty Auditor)。每个实体的具体描述如下：

DO：配备有传感器且对实时性要求比较高的设备，比如车载网中的车辆。DO存储空间有限，同时对数据具有低延迟存储要求。

CSP：有一定的存储空间和计算能力的实体，为保证低延时应用的数据需求，CSP允许有一部分常用数据存储在距离DO比较近的边缘节点上。

TPA：被DO信任且授予审计外包数据权限的实体，具有一定的计算资源和存储能力。

边缘服务器(MS)：MEC网络中的一个实体，隶属于CSP，与CSP相比，距离DO的更近，缓存DO经常使用的数据，为DO提供低延时服务的同时，也负责处理来自TPA的审计请求。

威胁模型：在协议中，TPA是“诚实好奇的”，而DO、CSP是“半诚实的”；MS是“半诚实”容易被敌手控制的；TPA是好奇的，意味着在正确审计DO的外包数据同时又对它的数据好奇，想要计算出这些数据。DO是半诚实说明它可以否认最后的审计结果，污蔑CSP和MS的信用度；CSP是半诚实说明它为了可以通过TPA的审计而发起伪造攻击、重放攻击和替代攻击。MS是半诚实且容易***控的，意味如下几种情况：1、为了通过TOA的审计，它也可以发起伪造、重放、替代攻击；2、它可以被敌手控制，向CSP发送错误的动态操作来破坏用户的外包数据；3、它可以被敌手控制，恶意修改CSP的证据或者恶意生成证据造成审计失败，污蔑CSP的信用程度。

一种基于哈希二叉树的边缘计算数据审计方法，包括以下步骤：

S1.初始化参数：DO生成密钥对，私钥为SK＝{α,ssk}，公钥为PK＝{y,g,μ,spk}，其中(ssk,spk)是DO随机选择的一个非对称加密密钥对；

其中，α∈Z_p是DO随机挑选的值，g和μ是群G₁上的随机元素，y＝g^α是G₁上的元素；G₁和G₂为有素数阶p的两个乘法循环群，e:G₁×G₁→G₂为双线性对映射；

S2.生成数据块的审计签名：DO的外包数据F被划分为n个数据块M＝{m₁,m₂,...,m_n}，DO按照公式为m_i生成同态可验证签名，则同态签名集合为Φ＝{σ_i},1≤i≤n，数据块哈希值集合为θ＝{H(m_i)},1≤i≤n；

H:{0,1}^*→G₁为安全的把二进制数映射到群G₁上的哈希函数；

计算t＝name||n||SSig_ssk(name||n)为外包数据F的标签，其中name为外包数据F的唯一标识符，DO发送{M,Φ,t}给MS，同时发送θ给TPA，CSP和TPA收到相关数据后，DO本地删除{M,Φ,θ}；

S3.验证外包文件标签，确认DO身份：当MS收到数据{M,Φ,t}时，使用DO的公钥spk验证外包数据标签；如果验证失败，MS要求DO重新发送数据，反之，MS存储签名集合Φ，并把外包数据与其表示{F,name}发送给CSP；

S4.生成审计用的挑战信息：当到达审计时间时，TPA检查HBBT是否本地构建成功，如果没有成功，则使用θ生成HBBT；TPA在外包数据顺序号集合中随机选择c个挑战数据块，生成集合I＝{s₁,s₂,...,s_c}_1≤c≤n，然后TPA再为每个挑战数据块随机挑选c个随机数v_i，{v_i∈Z_p}_i∈I，组成挑战数据集合发送给MS；

S5.MS生成审计证据：MS收到来自TPA的挑战信息后，先把挑战数据集划分为两个子集chal＝{C₁,C₂}，C₁挑战信息中的挑战数据块顺序号所表示的外包数据块缓存在MS中，C₂是包含剩余的挑战信息，表示CSP要审计的外包数据块；挑战数据划分完成后，MS再给CSP发送挑战子集C₂，然后根据chal生成签名证据Θ，根据子集C₁生成数据块证据

S6.CSP收到MS发送的挑战子集C₂后生成数据证据计算公式如下：

CSP给MS发送数据证据

S7.MS收到CSP的数据证据后，聚合数据证据和

MS给TPA发送证据{Θ,U}；

S8.TPA收到MS发送的证据{Θ,U}后，先从HBBT树中找到挑战数据块顺序号对应的哈希值{H(m_i)}(i∈chal)，计算再利用双线性对性质审计按如下等式审计挑战数据块：

如果等式左右两端相等，TPA输出TRUE，反之TPA输出FALSE。

为了支持保证动态操作后，数据块仍然是正确的，协议必须引入动态数据结构。许多审计协议的动态审计都是基于MHT的，但是为了节省动态数据结构的存储空间和审计效率，本发明在平衡二叉树的基础上提出一种更侧重于审计效率的称为哈希平衡二叉树(HBBT)的新的数据结构。

哈希平衡二叉树(HBBT)：TPA根据DO外包数据块的最新哈希值生成HBBT，并存储在本地。如图2所示，HBBT的节点包含两个部分，分别是数据块序号i和数据块哈希值H(m_i)。TPA收到DO发送的{i,H(m_i)}后，按照AVL树的要求，以i的大小作为HBBT数据块的排序标准，生成HBBT。(注：图2中的“-”不是减号，是一种标号)

MHT树的叶子结点存储外包数据块的哈希散列值，父结点存储的是左右子结点的哈希散列值，对结点***、删除操作时，只需要更改若干个叶子结点或者内部结点的散列值，而不需要更新每个叶子结点的序号。然而，HBBT树无论叶子结点、根节点还是内部结点都存储了数据块序号和哈希散列值，当发生***或者删除操作时，一般情况下需要更新每个结点的序号并调整整颗树的平衡度，这样相当于重新构建一个HBBT树，为了解决这个问题，本发明设计了一种新的数据块序号。

数据块序号：假设外包数据顺序号为(1,2,3,...,k,i,j,...n)，其中k,i,j是按顺序排列，分为以下几种情况***：(1)当需要i和j之间***一个数据块时，顺序号可变为(1,2,3,...k,i,i-1,j,...n)，其中i<i-1<j；(2)当需要i-1和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1,i-2,j,...n)，其中i-1<i-2<j；(3)当需要i和i-1之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,j,...n)，其中i<i-1-1<i-1。(4)当需要i-2和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3,j,...n)，其中i-2<i-3<j；(5)当需要i-2和i-3之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3-1,i-3,j,...n)，其中i-2<i-3-1<i-3，以此类推。删除结点只需要调整HBBT树的平衡度；修改操作一般仅修改结点哈希散列值，不修改结点序号，所以HBBT树不作调整。

HBBT的***、删除操作如图3-1至3-7所示。假设有8个数据块组成HBBT树，为了清楚的描述仅使用数据块序号标记HBBT，如图3-1所示，结点序列号为(1,2,3,4,5,6,7,8)；依照上述5种情况，以此***结点。图3-2所示是在4号节点和5号节点之间***一个结点，序号为4-1，***后序号(1,2,3,4,4-1,5,6,7,8)；图3-3所示是在4-1号节点和5号节点之间***一个结点，序号为4-2，***后序号(1,2,3,4,4-1,4-2,5,6,7,8)；图3-4所示是在4号节点和4-1号节点之间***一个结点，序号为4-1-1，***后序号(1,2,3,4,4-1,4-1-1,4-2,5,6,7,8)；图3-5所示是在4-2号节点和5号节点之间***一个结点，序号为4-3，***后序号(1,2,3,4,4-1,4-1-1,4-2,4-3,5,6,7,8)；图3-6所示是在4-2号节点和4-3号节点之间***一个结点，序号为4-3-1，***后序号(1,2,3,4,4-1,4-1-1,4-2,4-3-1,4-3,5,6,7,8)；删除操作如图3-7所示，删除5号结点，删除后序列号为(1,2,3,4,4-1,4-1-1,4-2,4-3-1,4-3,6,7,8)，删除其它结点操作类似。

本发明的协议支持外包数据块在MEC环境中的动态更新，由于MC服务器容易被敌手操控遭受攻击，所以动态更新协议在完成各个更新操作的同时，还要识别这种恶意行为。上述步骤S4中，假设DO完成初始化，TPA收到DO发送的θ后，构建HBBT，具体的动态更新过程如下：当DO需要把第i号数据块m_i修改为m′_i时，修改过程如图5所示，DO生成字符串γ＝Mo||i||N，其中Mo表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(m_i'||h(γ))，生成待修改数据块m′_i的签名然后DO发送{Mo,i,H(m_i'||h(γ))}给TPA，发送{γ,m_i′,σ_i′}给MS；TPA收到来自DO的数据后，根据i检索本地HBBT，找到对应的结点，并使用H(m_i'||h(γ))替换结点的H(m_i)；MS收到来自DO的数据后，使用σ_i′更新数据块m_i的签名，并发送{γ,m_i′,σ_i′}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_i′＝m_i′||h(γ)，使用m_i′替换m_i，反之拒绝修改操作。

当DO需要把数据块m_x***到数据块m_i和m_i+1之间时，DO生成字符串γ＝I||i||y||N，其中I表示修改操作，y表示数据块的***标号，N∈Z_p是一个随机数；DO根据γ计算H(m_x||h(γ))，生成待***数据块m_x的签名然后DO发送{I,i,y,H(m_x||h(γ))}给TPA，发送{γ,m_x,σ_x}给MS；TPA收到来自DO的数据后，生成一个新的节点no_x，使用{y,H(m_x||h(γ))}初始化该结点；TPA根据i检索本地HBBT，找到相应的结点no_i，把no_x***no_i之后，按照AVL树的要求调整HBBT；MS收到来自DO的数据后，本地存储σ_x，并发送{γ,m_x,σ_x}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_x＝m_x|h(γ)，把m_x***m_i之后，反之拒绝***操作。

当DO需要删除第i号数据块m_i时，DO生成字符串γ＝D||i||N，其中D表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(γ)，生成***操作签名σ_D＝(H(γ))^α，然后DO发送{D,i,H(γ)}给TPA，发送{γ,i,σ_D}给MS；TPA收到{D,i,H(γ)}后，根据i检索本地HBBT，找到对应的结点并删除该结点，TPA按照AVL树的要求调整HBBT；MS收到来自DO的数据后，删除对应结点的签名σ_i，并把数据{D,i,H(γ)}再发送给CSP，CSP验证更新数据块：

如果等式相等，CSP删除数据块m_i之后，反之拒绝删除操作。

实验评估本发明协议的性能：实验在Linux虚拟平台下运行，并引入基于配对的密码学(PBC)库在C语言环境中构建协议。实验使用Core(TM)i7-4710HQ [email protected]处理器和12GB RAM中的硬件机器模拟MEC服务器和CSP服务器。实验使用MNT d159曲线参数初始化构造双线性对，协议的安全参数设置为80bit。

试验评估中使用的对比方案[1]-[3]分别为：

[1]Wang,Q.,Wang,C.,Ren,K.,Lou,W.,&Li,J.(2011).Enabling publicauditability and data dynamics for storage security in cloud computing.IEEEtransactions on parallel and distributed systems,22(5),847-859.

[2]Tian,H.,Chen,Y.,Chang,C.C.,Jiang,H.,Huang,Y.,Chen,Y.,&Liu,J.(2017).Dynamic-hash-table based public auditing for secure cloud storage.IEEETransactions on Services Computing,10(5),701-714.

[3]Tian,H.,Nan,F.,Chang,C.C.,Huang,Y.,Lu,J.,&Du,Y.(2019).Privacy-preserving public auditing for secure data storage in fog-to-cloudcomputing.Journal of Network and Computer Applications,127,59-69.

(1)试验评估：初始化阶段的计算开销

图6是初始化阶段，各个协议为不同数量的数据块生成签名的时间。从图6中可以看出，随着数据块的增加，初始化时间线性增长。处理10,000个数据块，本发明的协议花费5.108秒，协议[1]和协议[3]分别需要5.366秒和9.91秒，而协议[2]则花费31.781秒。本发明协议的时间与协议[1]基本重合，协议[2]需要的时间最多，协议[3]的时间居中。这是因为协议[2]需要比本发明的协议多计算n-pair_G，协议[3]则比本发明的协议多了一个指数操作E_G的时间。

(2)试验评估：生成证据的计算开销

图7是生成证据阶段，各个协议为不同数量的挑战数据块生成证据的时间。从图7中可以看出，本发明协议与其它三个协议相比具有很明显的优势，这是因为MS缓存一部分数据，它协助CSP计算这部分证据，减轻了CSP的计算开销。并且也可以看出，随着挑战数据块的增加，各个协议的计算开销缓慢增长，处理400到1,000个挑战数据块本发明的协议开销的时间分别是8.7毫秒和20.1毫秒。

(3)试验评估：审计的时间开销

图8展示了审计阶段，各个协议审计不同数量数据块生成证据的时间。从图8中可以明显看出，本发明的协议的计算花销略小于协议[1]和[3]相差不多，但要远远优于协议[2]。造成这样结果的主要原因是：1)由于业务需求，协议[3]需要为雾节点也生成签名，这样TPA除了要审计挑战数据块签名生成的证据，也要审计雾节点签名生成的证据，增加了计算开销；2)在审计过程中，协议[1]中的TPA除了要审计证据，还要根据挑战数据块的哈希值和辅助路径计算并审计MHT的根节点，对根节点的处理增加了额外的计算开销；3)在审计过程中，协议[2]需要在DHT表中找到每个挑战数据块的哈希H(m_i)，时间复杂度为O(n)，本发明协议虽然也需要这个过程，但是本发明使用的HBBT存储H(m_i)，检索数据块哈希值的时间复杂度仅为O(logn)，所需的时间小于协议[2]。

(4)试验评估：动态操作的时间开销

图9-1至图9-3分别是数据块的修改、***和删除的时间。由于本发明协议的数据结构与协议[1]均为树形结构，所以实验选择协议[1]与本发明的协议做对比。从3张图中可以看出，本发明的协议所用的时间都优于协议[1]，这是因为HBBT树高度比MHT低，所以寻找动态操作目标结点时间比协议[1]少；在CSP收到更新请求时，本发明的协议只需要确保数据标签和操作请求正确，而协议[1]则需要分别确认更新前MHT根节点和数据块的正确性。所以本发明的协议的动态更新效率高于协议[1]。

Claims (7)

1.一种基于哈希二叉树的边缘计算数据审计***，其特征在于：所述***包括DO、MS、CSP和TPA；所述DO把要发送到CSP上的数据划分为若干个数据块，并为这些数据块生成签名，然后把这些数据块和签名发送到MS中；所述MS收到数据后，验证数据来源，验证合法后，保存所有数据块的标签和DO常用的数据块，然后再把数据块发送给云服务器；当审计周期来临时，TPA生成一组挑战信息并发送给MS，MS收到挑战信息后，根据自己缓存的数据块和数据标签生成一部分证据，再把另一部分的挑战信息发送给CSP，CSP生成证据后发送给MS，MS把混合后的证据发送给TPA完成审计。

2.一种基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述方法包括以下步骤：

S1.初始化参数：DO生成密钥对，私钥为SK＝{α,ssk}，公钥为PK＝{y,g,μ,spk}，其中(ssk,spk)是DO随机选择的一个非对称加密密钥对；

其中，α∈Z_p是DO随机挑选的值，g和μ是群G₁上的随机元素，y＝g^α是G₁上的元素；G₁和G₂为有素数阶p的两个乘法循环群，e:G₁×G₁→G₂为双线性对映射；

S2.生成数据块的审计签名：DO的外包数据F被划分为n个数据块M＝{m₁,m₂,...,m_n}，DO按照公式为m_i生成同态可验证签名，则同态签名集合为Φ＝{σ_i},1≤i≤n，数据块哈希值集合为θ＝{H(m_i)},1≤i≤n；

H:{0,1}^*→G₁为安全的把二进制数映射到群G₁上的哈希函数；

计算t＝name||n||SSig_ssk(name||n)为外包数据F的标签，其中name为外包数据F的唯一标识符，DO发送{M,Φ,t}给MS，同时发送θ给TPA，CSP和TPA收到相关数据后，DO本地删除{M,Φ,θ}；

S3.验证外包文件标签，确认DO身份：当MS收到数据{M,Φ,t}时，使用DO的公钥spk验证外包数据标签；如果验证失败，MS要求DO重新发送数据，反之，MS存储签名集合Φ，并把外包数据与其表示{F,name}发送给CSP；

S4.生成审计用的挑战信息：当到达审计时间时，TPA检查HBBT是否本地构建成功，如果没有成功，则使用θ生成HBBT；TPA在外包数据顺序号集合中随机选择c个挑战数据块，生成集合I＝{s₁,s₂,...,s_c}_1≤c≤n，然后TPA再为每个挑战数据块随机挑选c个随机数v_i，{v_i∈Z_p}_i∈I，组成挑战数据集合发送给MS；

S5.MS生成审计证据：MS收到来自TPA的挑战信息后，先把挑战数据集划分为两个子集chal＝{C₁,C₂}，C₁挑战信息中的挑战数据块顺序号所表示的外包数据块缓存在MS中，C₂是包含剩余的挑战信息，表示CSP要审计的外包数据块；挑战数据划分完成后，MS再给CSP发送挑战子集C₂，然后根据chal生成签名证据Θ，根据子集C₁生成数据块证据

S6.CSP收到MS发送的挑战子集C₂后生成数据证据计算公式如下：

CSP给MS发送数据证据

S7.MS收到CSP的数据证据后，聚合数据证据和

MS给TPA发送证据{Θ,U}；

S8.TPA收到MS发送的证据{Θ,U}后，先从HBBT树中找到挑战数据块顺序号对应的哈希值{H(m_i)}(i∈chal)，计算再利用双线性对性质审计按如下等式审计挑战数据块：

如果等式左右两端相等，TPA输出TRUE，反之TPA输出FALSE。

3.根据权利要求2所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述步骤S4中，所述TPA根据DO外包数据块的最新哈希值生成哈希平衡二叉树(HBBT)，并存储在本地；所述HBBT的节点包含两个部分，分别是数据块序号i和数据块哈希值H(m_i)；所述TPA收到DO发送的{i,H(m_i)}后，按照AVL树的要求，以i的大小作为HBBT数据块的排序标准，生成HBBT。

4.根据权利要求3所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述HBBT树的数据块序号为(1,2,3,...,k,i,j,...n)，其中k,i,j是按顺序排列，分为以下几种情况***：(1)当需要i和j之间***一个数据块时，顺序号可变为(1,2,3,...k,i,i-1,j,...n)，其中i<i-1<j；(2)当需要i-1和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1,i-2,j,...n)，其中i-1<i-2<j；(3)当需要i和i-1之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,j,...n)，其中i<i-1-1<i-1；(4)当需要i-2和j之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3,j,...n)，其中i-2<i-3<j；(5)当需要i-2和i-3之间***一个数据块时，序号可变为(1,2,3,...,k,i,i-1-1,i-1,i-2,i-3-1,i-3,j,...n)，其中i-2<i-3-1<i-3，以此类推。

5.根据权利要求2所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要把第i号数据块m_i修改为m′_i时，修改过程为：

DO生成字符串γ＝Mo||i||N，其中Mo表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(m_i'||h(γ))，生成待修改数据块m′_i的签名然后DO发送{Mo,i,H(m_i'||h(γ))}给TPA，发送{γ,m_i′,σ_i′}给MS；TPA收到来自DO的数据后，根据i检索本地HBBT，找到对应的结点，并使用H(m_i'||h(γ))替换结点的H(m_i)；MS收到来自DO的数据后，使用σ_i′更新数据块m_i的签名，并发送{γ,m_i′,σ_i′}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_i′＝m_i′||h(γ)，使用m_i′替换m_i，反之拒绝修改操作。

6.根据权利要求2所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要把数据块m_x***到数据块m_i和m_i+1之间时，修改过程为：

DO生成字符串γ＝I||i||y||N，其中I表示修改操作，y表示数据块的***标号，N∈Z_p是一个随机数；DO根据γ计算H(m_x||h(γ))，生成待***数据块m_x的签名然后DO发送{I,i,y,H(m_x||h(γ))}给TPA，发送{γ,m_x,σ_x}给MS；TPA收到来自DO的数据后，生成一个新的节点no_x，使用{y,H(m_x||h(γ))}初始化该结点；TPA根据i检索本地HBBT，找到相应的结点no_i，把no_x***no_i之后，按照AVL树的要求调整HBBT；MS收到来自DO的数据后，本地存储σ_x，并发送{γ,m_x,σ_x}给CSP，CSP验证更新数据块：

如果等式相等，CSP令m_x＝m_x|h(γ)，把m_x***m_i之后，反之拒绝***操作。

7.根据权利要求2所述的基于哈希二叉树的边缘计算数据审计方法，其特征在于：所述步骤S4中，所述TPA收到DO发送的θ后，构建HBBT，当DO需要删除第i号数据块m_i时，修改过程为：

DO生成字符串γ＝D||i||N，其中D表示修改操作，N∈Z_p是一个随机数；DO根据γ计算H(γ)，生成***操作签名σ_D＝(H(γ))^α，然后DO发送{D,i,H(γ)}给TPA，发送{γ,i,σ_D}给MS；TPA收到{D,i,H(γ)}后，根据i检索本地HBBT，找到对应的结点并删除该结点，TPA按照AVL树的要求调整HBBT；MS收到来自DO的数据后，删除对应结点的签名σ_i，并把数据{D,i,H(γ)}再发送给CSP，CSP验证更新数据块：

如果等式相等，CSP删除数据块m_i之后，反之拒绝删除操作。