CN114726582B - 基于区块链的外包数据完整性验证中的公平支付方法 - Google Patents

Abstract

本发明公开的基于区块链的外包数据完整性验证中的公平支付方法，包括以下步骤：步骤1、建立包括由数据拥有者DO、云服务器CS、区块链和智能合约组成的***，***初始化；步骤2、数据文件外包存储处理；步骤3、数据文件验证支付，如果数据没有被损坏，那么直接由步骤3数据文件验证支付进入步骤5；否则执行步骤3数据文件验证支付，依次进入步骤4及步骤5；步骤4.索赔阶段；步骤5.数据文件更新。该方法实现了数据拥有者和云服务器之间的公平支付。

Description

基于区块链的外包数据完整性验证中的公平支付方法

技术领域

本发明属于密码学与信息安全技术领域，具体涉及一种基于区块链的外包数据完整性验证中的公平支付方法。

背景技术

随着大数据时代的到来，用户和企业的数据量不断增长，这给本地资源受限的用户和企业带来很多负担。外包服务作为一种新型商业模式，可以解决资源受限用户的计算和存储问题。当前，外包服务中，云存储吸引了越来越多的用户和企业，他们将大量数据存储到云服务器，以节省本地的存储空间，但是用户需要向云服务器支付相应的服务费用。目前，现有的公平支付方案大多采用传统的支付机制并且要依赖于可信第三方。然而第三方的存在会对***造成潜在的威胁，例如第三方可能会与云服务器串通欺骗数据拥有者的服务费以及第三方的存在会消耗巨大的计算能力。所以，进一步研究消除第三方的研究具有重要意义。

2008年中本聪团队首次引入区块链技术以来，很多研究人员开始把区块链技术应用在各个方面进一步研究。区块链是一个去中心化的，开放的，自治的，不可篡改的，匿名的分布式账本技术，它的去中心化的结构在现实中可以节省很多的中介花销。1995年NickSzabo首次提出智能合约的概念，区块链中的智能合约是两方或多方之间的一个协议，由计算机代码执行。智能合约是区块链应用中最重要的功能之一，它实现了无需第三方的可信交易。基于以上特性，将区块链技术和智能合约应用到安全外包服务公平支付方法具有重要意义。

近年来，大量学者已经把区块链技术的去中心、不可篡改等特性融入到支付方案中解决双方之间的不公平问题。但是已有研究中，要么只是提出一些框架，而这些框架只适用于一部分服务，具有局限性。另一方面，一些方案并没有具体实现用户和云服务器之间的公平支付。因此研究云存储中基于区块链的去中心化的公平支付方法具有很大意义。

发明内容

本发明的目的是提供一种基于区块链的外包数据完整性验证中的公平支付方法，实现了数据拥有者和云服务器之间的公平支付。

本发明所采用的技术方案是，基于区块链的外包数据完整性验证中的公平支付方法，包括以下步骤：

步骤1、建立包括由数据拥有者DO、云服务器CS、区块链和智能合约组成的***，***初始化；

步骤2、数据文件外包存储处理；

步骤3、数据文件验证支付，如果数据没有被损坏，那么直接由步骤3数据文件验证支付进入步骤5；否则执行步骤3数据文件验证支付，依次进入步骤4及步骤5；

步骤4.索赔阶段；

步骤5.数据文件更新。

本发明的特征还在于，

步骤1具体按照以下步骤实施：

步骤1.1、数据拥有者DO从密钥空间SK中选择对称加密算法AES的密钥K，秘密选择随机数集合r，其中r＝{r_j},1≤j≤n，r_j表示随机数集合r中的一个随机数且数据拥有者DO对随机数集合r保密；

步骤1.2、数据拥有者DO在以太坊区块链上部署验证支付智能合约并调用合约方法storeDeposit(deposit_DO)向此合约中存放足够的服务费，deposit_DO表示预先设定好的服务费数量；

步骤1.3、云服务器CS在以太坊区块链上部署惩罚智能合约并调用合约方法storeDeposit(deposit_CS)向合约中存放足够数量的赔偿金，deposit_CS表示预先设定好的赔偿金数量；后续阶段，如果云服务器CS损坏了数据拥有者DO上传的数据文件密文的情况下，由数据拥有者DO调用惩罚智能合约方法向云服务器CS索要赔偿，从而保证数据拥有者DO和云服务器CS之间支付的公平性。

步骤2具体按照以下步骤实施：

步骤2.1：设数据拥有者DO持有的数据文件为DF；数据拥有者DO对数据文件DF计算标识符df＝H(DF)，划分数据文件DF＝{f_i},1≤i≤n；

数据拥有者DO为每个数据文件f_i生成数据文件标识符d_i，其中d_i＝H(f_i)，最后得到数据文件标识符集合D＝{d_i},1≤i≤n；注意DF的标识符df和数据文件标识符d_i都是唯一的；

数据拥有者DO对每个数据文件f_i使用对称加密算法AES的密钥K计算密文c_i＝AES.Enc(K,f_i)，最后得到数据文件密文集合C＝{c_i},1≤i≤n；

数据拥有者DO使用数据拥有者的私钥sk_DO对DF的标识符df签名得到α＝Sig_skDO(df)，对每个数据文件密文c_i和对应的数据文件标识符d_i签名得到σ_i＝Sig_skDO(c_i,d_i)，最后获得签名集合β＝{σ_i},1≤i≤n；

数据拥有者DO对数据文件密文c_i和对应数据文件标识符d_i使用安全哈希函数H计算哈希，最后获得哈希集合Htag＝{h_i＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；最终，数据拥有者DO把数据包S＝{DO_ID,df,C,D,α,β}上传至云服务器CS，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、C表示数据文件密文集合、D表示数据文件标识符集合、α表示对df签名、β表示数据文件密文c_i和对应的数据文件标识符d_i签名构成的集合；

步骤2.2：收到数据拥有者DO上传的数据包S＝{DO_ID,df,C,D,α,β}之后，云服务器CS把数据拥有者的标识符DO_ID记录到快速查找表T对应的key字段；

云服务器CS使用数据拥有者的公钥pk_DO验证签名α是否成立，成立云服务器CS把DF的标识符df存入快速查找表T对应的value；云服务器CS使用数据拥有者的公钥pk_DO验证签名集合β中的每个签名σ_i＝Sig_skDO(c_i,d_i)是否成立，成立则云服务器CS把数据文件密文c_i和对应的数据文件标识符d_i存入快速查找表T对应的value；如果验证不成立，云服务器CS拒绝存储；当存储好之后，云服务器CS计算每个数据文件密文c_i和对应的数据文件标识符d_i的哈希h_i'＝H(c_i,d_i)，最后获得哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n；其次云服务器CS使用云服务器的私钥sk_CS对哈希集合Hta'g中的每个哈希h_i'签名得到σ(hi)＝Sig_skcs(h_i′)，最终得到签名集合α'＝{σ(h_i)},1≤i≤n；云服务器CS对DF的标识符df计算哈希得到ρ'＝H(df)，使用云服务器的私钥sk_CS对ρ'签名得到γ＝Sig_skCS(ρ')，最后云服务器CS把签名集合α'中的每个签名和签名γ存入区块链，并记录交易id的集合txids＝{txid_i，txid_k}，σ(h₁)≤i≤σ(h_n)，k＝γ，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.3：云服务器CS把步骤2.2中交易id的集合txids＝{txid_i，txid_k}，σ(h1)≤i≤σ(h_n)，k＝γ发送给数据拥有者DO，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.4：一旦收到步骤2.3交易id的集合txids＝{txid_i,txid_k},σ(h₁)≤i≤σ(h_n),k＝γ后，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id，数据拥有者DO就会去区块链上读取交易最终得到签名集合α'＝{σ(h_i)},1≤i≤n和签名γ＝Sig_skCS(ρ')；

数据拥有者DO使用云服务器的公钥pk_CS验证签名γ和验证每个签名σ(h_i)＝Sig_skCS(h_i')是否成立，验证通过之后获得哈希ρ'＝H(df)和哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；

数据拥有者DO重新计算ρ＝H(df)，其中ρ表示使用安全哈希函数H对DF的标识符df计算的哈希值，然后数据拥有者DO比较步骤2.1中Htag中的每个哈希值是否和Htag'中的哈希值一致即h_i＝h_i'其中i∈[1,n]、哈希值ρ'是否和ρ一致即ρ'＝ρ；如果验证结果正确，则证明数据文件密文c_i，数据文件标识符d_i和DF的标识符df已经成功存储至云服务器CS建立的快速查找表T；

步骤2.5：当步骤2.1、2.2、2.3和2.4成功执行之后，云服务器CS返回给数据拥有者DO数据文件密文的存放路径集合sp＝{DO_ID/df/(d_i),1≤i≤n}，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、d_i表示数据文件标识符且d_i可以有多个，这样的存放路径可以保证云服务器CS快速查找到数据拥有者DO上传的数据文件密文的存放位置；

步骤3具体按照以下步骤实施：

步骤3.1：数据拥有者DO使用安全哈希函数H对随机数集合r中任选的随机数r_j,j∈[1,n]和发起挑战请求的数据文件标识符集合D'＝{d_i},1≤i≤c中的数据文件标识符对应的每个数据文件密文c_i计算哈希h_i”＝H(r_j,c_i)，最后获得哈希集合Htag″＝{h_i″＝H(r_j，c_i)}，1≤i≤c；然后数据拥有者DO计算结果哈希值result＝H(h₁”||h₂”,...,h_c”)，对结果哈希值result生成标识符rdh＝H(result)，最终数据拥有者DO调用验证支付智能合约中的方法storeH(result,rdh)把结果哈希值result和标识符rdh存储到区块链；

步骤3.2：数据拥有者DO随机选择一个挑战请求chal＝(DO_ID,df,D',r_j)，其中发起挑战请求的数据文件标识符集合D'＝{d₁,d₂,...,d_c}，也就是说D'中包含随机选择的c个数据文件标识符，r_j,j∈[1,n]是从集合r中随机选择的一个随机数；数据拥有者DO向云服务器CS发送挑战请求chal，请求验证发起挑战请求的数据文件标识符集合D'中包含的c个数据文件密文的正确性与完整性；

步骤3.3：一旦云服务器CS收到步骤3.2的挑战请求chal后，就会根据数据拥有者的标识符DO_ID、DF的标识符df和发起挑战请求的数据文件标识符集合D'到快速查找表T中查找并获得D'中包含的c个数据文件标识符对应的数据文件密文{c₁,c₂,...,c_c}；云服务器CS对每个数据文件密文计算哈希h_i”'＝H(r_j,c_i)，最终获得哈希集合Htag”'＝{h_i”'＝H(r_j,c_i)},1≤i≤c，其中r_j,j∈[1,n]是发起挑战请求的chal中选择的一个随机数，c_i是发起挑战请求的chal中数据文件标识符集合D'包含的c个数据文件密文；然后云服务器CS根据上述计算的c个哈希h_i”'计算结果哈希标记result'＝H(h₁”'||h₂”',...,h_c”')；最后云服务器CS调用验证支付智能合约中的方法verity(rdh,accountCS,result',fee)验证步骤3.1中数据拥有者DO存入区块链的结果哈希值result是否和结果哈希标记result'一致即result＝result'，fee是预先定义好给云服务器CS支付的服务费；如果验证结果相等即返回true，那么验证支付智能合约自动给云服务器CS支付相应数据存储服务费。支付完成后进入步骤5数据文件更新阶段；如果验证结果不相等即返回false，进入步骤4索赔阶段，最后进入步骤5数据文件更新阶段。

步骤4具体按照以下步骤实施：

云服务器CS存在恶意行为，此时，数据拥有者DO向云服务器CS发起索要正确文件请求，如果请求失败，由数据拥有者DO直接调用惩罚智能合约方法惩罚云服务器CS；作为惩罚，云服务器CS存入惩罚智能合约中的赔偿金会自动执行返回给数据拥有者DO。

数据拥有者和云服务器CS存在的恶意行为有两种情况：

情况1：我们的支付方案是在结果验证正确之后由验证支付智能合约立即向云服务器CS支付；

情况2：只要云服务器CS存在恶意行为，那么直接由数据拥有者DO调用惩罚合约方法punishCS(accountDO,intervalTime,punishFee,startTime)目的是获得相应赔偿。

步骤5具体按照以下步骤实施：

实际使用场景中，数据拥有者DO对上传到云服务器CS的文件必然有添加、修改和删除的需求，因此考虑以下3种情况：

情况1：添加文件：数据拥有者DO产生新数据文件newFile＝{nf₁,nf₂,...,nf_n}时，首先数据拥有者DO生成newFile的标识符nf；对每个数据文件nf_i生成标识符得到数据文件标识符集合D”＝{nd₁,nd₂,...,nd_n}；对每个数据文件nf_i计算密文得到数据文件密文集合C'＝{nc₁,nc₂,...,nc_n}；使用数据拥有者的私钥sk_DO对newFile的标识符nf签名得到β₁＝Sig_skDO(nf)，对每个数据文件密文nc_i和对应的数据文件标识符nd_i签名最终得到签名集合θ₁＝{σ_i1},1≤i1≤n，其中σ_i1＝Sig_skDO(nc_i，nd_i)；之后，数据拥有者DO给云服务器CS发送添加请求addFile＝(DO_ID,nf,β₁,θ₁,C',D”)，CS收到添加请求后，使用数据拥有者的公钥pk_DO验证签名β₁和验证签名集合θ₁中的每个签名σ_i1＝Sig_skDO(nc_i,nd_i)是否成立，全部验证通过后就会根据数据拥有者的标识符DO_ID在快速查找表T中查找对应的存储位置，然后把newFile的标识符nf、数据文件密文集合C'中的每个数据文件密文和数据文件标识符集合D”中的每个数据文件标识符存储到快速查找表T的value；如果验证不通过，云服务器CS拒绝存储；

情况2：删除文件：数据拥有者DO想要删除数据文件ddf_j时，首先数据拥有者DO计算数据文件ddf_j的标识符是ddfd_j；然后，数据拥有者DO给云服务器CS发送一个删除请求removeFile＝(DO_ID,rf,ddfd_j)，其中DO_ID表示数据拥有者的标识符、rf表示数据文件ddf_j的原始文件标识符且删除请求中可以包含多个数据文件标识符；当云服务器CS收到删除请求时，就会根据数据拥有者的标识符DO_ID和原始文件标识符rf在快速查找表T中查找对应的数据文件标识符ddfd_j，找到之后删除数据文件标识符ddfd_j和数据文件标识符ddfd_j对应的数据文件密文；

情况3：修改文件：数据拥有者DO修改数据文件mdf_j成mdf_j'时，首先数据拥有者DO计算数据文件mdf_j'的密文为mdfc_j'、标识符为mdfd_j'；这里mdf_j的密文是mdfc_j、数据文件标识符是mdfd_j；随后，数据拥有者DO给云服务器CS发送修改请求alterFile(DO_ID,af,mdfd_j,mdfd_j',mdfc_j')，其中DO_ID表示数据拥有者的标识符、af表示mdf_j的原始数据文件标识符且修改请求中可以包含多个数据文件标识符和数据文件密文；云服务器CS收到修改请求后，就会根据数据拥有者的标识符DO_ID和原始文件标识符af在快速查找表T中查找对应的数据文件标识符mdfd_j，找到之后使用数据文件标识符mdfd_j'替换数据文件标识符mdfd_j，数据文件密文mdfc_j'替换数据文件密文mdfc_j。

本发明的有益效果是：

(1)本发明方法引入了以太坊区块链，取消了第三方审计师，利用以太坊区块链技术实现了去中心化，实现了数据拥有者和云服务器之间的公平支付。

(2)本发明方法将云存储，区块链，AES算法和智能合约结合起来，针对云存储中数据可能的隐私泄露，采用对称加密技术对外包数据进行加密，确保了数据的隐私性；将轻量级的数据文件哈希值存储到以太坊区块链，利用区块链不可篡改的特性保证了云存储***中数据的正确性与完整性。同时在不引入任何第三方的情况下，实现了数据文件的快速验证。

(3)本发明方法针对数据拥有者和云服务器之间存在的不信任会导致公平支付的问题，提出了一种奖惩机制，利用智能合约实现了诚实的云服务器能获得数据拥有者的数据存储服务费，数据拥有者能获得恶意云服务器的赔偿，从而有效保证了数据拥有者和云服务器之间的信任问题。

(4)实际使用场景中，数据拥有者必然会对存储到云服务器的数据文件进行增加，删除和修改的操作，因此本方法还支持数据文件的动态更新。

附图说明

图1为本发明方法步骤1中建立的***模型图；

图2为本发明方法中建立***阶段的顺序图；

图3为本发明方法中数据文件外包存储处理阶段的顺序图；

图4为本发明方法中数据文件验证支付、索赔阶段和数据文件更新阶段的顺序图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明提供一种基于区块链的外包数据完整性验证中的公平支付方法，如图1-4所示，具体按照以下步骤实施：

步骤1.建立包括由数据拥有者DO、云服务器CS、区块链和智能合约组成的***，***初始化，如图1-2所示；

本发明的***模型图如1所示。包括如下角色：

数据拥有者DO：负责划分数据文件，对划分后的数据文件进行加密；上传数据文件密文、数据文件标识符、数据文件密文和对应的数据文件标识符构建的签名至云服务器CS。

云服务器CS：负责建立一个快速查找表T(key,value)；使用数据拥有者的公钥pk_DO验证数据拥有者DO上传的数据文件和数据文件标识符的签名；当数据拥有者DO发起挑战请求时，云服务器CS调用验证支付智能合约方法验证数据文件的正确性与完整性；

区块链：数据拥有者DO和云服务器CS在区块链上分别部署验证支付智能合约和惩罚智能合约，通过调用验证支付智能合约方法把数据文件结果哈希值和标识符写入区块链；

步骤1.1：数据拥有者DO从密钥空间SK中选择对称加密算法AES的密钥K，秘密选择随机数集合r，其中r＝{r_j},1≤j≤n，r_j表示随机数集合r中的一个随机数且数据拥有者DO对随机数集合r保密；

云服务器CS建立一个快速查找表T(key,value)以支持快速查找；快速查找表T(key,value)的结构如表1所示；其中key字段用来存放数据拥有者的标识符DO_ID，value字段用来存放数据拥有者DO上传的DF的标识符df、数据文件标识符d_i和数据文件密文c_i；

数据拥有者DO和云服务器CS分别选择公私密钥对(pk_DO,sk_DO)和(pk_CS,sk_CS)，其中pk_DO表示数据拥有者的公钥、sk_DO表示数据拥有者的私钥、pk_CS表示云服务器的公钥、sk_CS表示云服务器的私钥，并将数据拥有者的公钥pk_DO发布给云服务器CS，将云服务器的公钥pk_CS公开；***初始化H为一个安全哈希函数；

表1快速查找表T结构

步骤1.2：数据拥有者DO在以太坊区块链上部署验证支付智能合约并调用合约方法storeDeposit(deposit_DO)向此合约中存放足够的服务费，deposit_DO表示预先设定好的服务费数量。验证支付智能合约主要用于验证数据拥有者DO上传到云服务器CS的数据文件密文是否被损坏以及在云服务器CS完整保存数据文件密文的情况下向云服务器CS支付相应的服务费；

步骤1.3：云服务器CS在以太坊区块链上部署惩罚智能合约并调用合约方法storeDeposit(deposit_CS)向合约中存放足够数量的赔偿金，deposit_CS表示预先设定好的赔偿金数量。后续阶段，如果云服务器CS损坏了数据拥有者DO上传的数据文件密文的情况下，由数据拥有者DO调用惩罚智能合约方法向云服务器CS索要赔偿，从而保证数据拥有者DO和云服务器CS之间支付的公平性。

步骤2.数据文件外包存储处理，具体按照以下步骤实施，如图3所示：

步骤2.1：设数据拥有者DO持有的数据文件为DF；数据拥有者DO对数据文件DF计算标识符df＝H(DF)，划分数据文件DF＝{f_i},1≤i≤n；

数据拥有者DO为每个数据文件f_i生成数据文件标识符d_i，其中d_i＝H(f_i)，最后得到数据文件标识符集合D＝{d_i},1≤i≤n；注意DF的标识符df和数据文件标识符d_i都是唯一的；

数据拥有者DO对每个数据文件f_i使用对称加密算法AES的密钥K计算密文c_i＝AES.Enc(K,f_i)，最后得到数据文件密文集合C＝{c_i},1≤i≤n；

数据拥有者DO使用数据拥有者的私钥sk_DO对DF的标识符df签名得到α＝Sig_skDO(df)，对每个数据文件密文c_i和对应的数据文件标识符d_i签名得到σ_i＝Sig_skDO(c_i,d_i)，最后获得签名集合β＝{σ_i},1≤i≤n；

表2数据文件对应关系

为了后续进行快速验证，数据拥有者DO对数据文件密文c_i和对应数据文件标识符d_i使用安全哈希函数H计算哈希，最后获得哈希集合Htag＝{h_i＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；最终，数据拥有者DO把数据包S＝{DO_ID,df,C,D,α,β}上传至云服务器CS，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、C表示数据文件密文集合、D表示数据文件标识符集合、α表示对df签名、β表示数据文件密文c_i和对应的数据文件标识符d_i签名构成的集合。注意数据文件f_i、数据文件密文c_i、数据文件标识符d_i之间存在对应关系如表2所示。如果知道它们之间的对应关系，在验证数据文件没有被损坏的情况下，DO获取到CS中的数据文件密文，对数据文件密文解密后就能通过在本地存储的DF标识符df、数据文件标识符集合D快速恢复出原始文件。

步骤2.2：收到数据拥有者DO上传的数据包S＝{DO_ID,df,C,D,α,β}之后，云服务器CS把数据拥有者的标识符DO_ID记录到快速查找表T对应的key字段，如表1所示；

云服务器CS使用数据拥有者的公钥pk_DO验证签名α是否成立，成立则云服务器CS把DF的标识符df存入快速查找表T对应的value，如表1所示；云服务器CS使用数据拥有者的公钥pk_DO验证签名集合β中的每个签名σ_i＝Sig_skDO(c_i,d_i)是否成立，成立云服务器CS把数据文件密文c_i和对应的数据文件标识符d_i存入快速查找表T对应的value如表1所示；如果验证不成立，云服务器CS拒绝存储。当存储好之后，云服务器CS计算每个数据文件密文c_i和对应的数据文件标识符d_i的哈希h_i'＝H(c_i,d_i)，最后获得哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n。其次云服务器CS使用云服务器的私钥sk_CS对哈希集合Htag'中的每个哈希h_i'签名得到σ(h_i)＝Sig_skCS(h_i′)，最终得到签名集合α'＝{σ(h_i)},1≤i≤n。云服务器CS对DF的标识符df计算哈希得到ρ'＝H(df)，使用云服务器的私钥sk_CS对ρ'签名得到γ＝Sig_skCS(ρ')，最后云服务器CS把签名集合α'中的每个签名和签名γ存入区块链，并记录交易id的集合txids＝{txid_i，txid_k}，σ(h₁)≤i≤σ(h_n)，k＝γ，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.3：云服务器CS把步骤2.2中交易id的集合txids＝{txid_i，txid_k}，σ(h₁)≤i≤σ(h_n)，k＝γ发送给数据拥有者DO，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.4：一旦收到步骤2.3交易id的集合txids＝{txid_i,txid_k},σ(h₁)≤i≤σ(h_n),k＝γ后，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id，数据拥有者DO就会去区块链上读取交易最终得到签名集合α'＝{σ(h_i)},1≤i≤n和签名γ＝Sig_skCS(ρ')；

数据拥有者DO使用云服务器的公钥pk_CS验证签名γ和验证每个签名σ(h_i)＝Sig_skCS(h_i')是否成立，验证通过之后获得哈希ρ'＝H(df)和哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；

数据拥有者DO重新计算ρ＝H(df)，其中ρ表示使用安全哈希函数H对DF的标识符df计算的哈希值，然后数据拥有者DO比较步骤2.1中Htag中的每个哈希值是否和Htag'中的哈希值一致即h_i＝h_i'其中i∈[1,n]、哈希值ρ'是否和ρ一致即ρ'＝ρ；如果验证结果正确，则证明数据文件密文c_i，数据文件标识符d_i和DF的标识符df已经成功存储至云服务器CS建立的快速查找表T。

步骤2.5：当步骤2.1、2.2、2.3和2.4成功执行之后，云服务器CS返回给数据拥有者DO数据文件密文的存放路径集合sp＝{DO_ID/df/(d_i),_1≤i≤n}，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、d_i表示数据文件标识符且d_i可以有多个，这样的存放路径可以保证云服务器CS快速查找到数据拥有者DO上传的数据文件密文的存放位置。

步骤3.数据文件验证支付，具体按照以下步骤实施：

步骤3.1：数据拥有者DO使用安全哈希函数H对随机数集合r中任选的随机数r_j,j∈[1,n]和发起挑战请求的数据文件标识符集合D'＝{d_i},1≤i≤c中的数据文件标识符对应的每个数据文件密文c_i计算哈希h_i”＝H(r_j,c_i)，最后获得哈希集合Htag″＝{h_i″＝H(r_j，c_i)}，1≤i≤c。然后数据拥有者DO计算结果哈希值result＝H(h₁”||h₂”,...,h_c”)，对结果哈希值result生成标识符rdh＝H(result)，最终数据拥有者DO调用验证支付智能合约中的方法storeH(result,rdh)把结果哈希值result和标识符rdh存储到区块链；

步骤3.2：数据拥有者DO随机选择一个挑战请求chal＝(DO_ID,df,D',r_j)，其中发起挑战请求的数据文件标识符集合D'＝{d₁,d₂,...,d_c}，也就是说D'中包含随机选择的c个数据文件标识符，r_j,j∈[1,n]是从集合r中随机选择的一个随机数；数据拥有者DO向云服务器CS发送挑战请求chal，请求验证发起挑战请求的数据文件标识符集合D'中包含的c个数据文件密文的正确性与完整性。

步骤3.3：一旦云服务器CS收到步骤3.2的挑战请求chal后，就会根据数据拥有者的标识符DO_ID、DF的标识符df和发起挑战请求的数据文件标识符集合D'到快速查找表T中查找并获得D'中包含的c个数据文件标识符对应的数据文件密文{c₁,c₂,...,c_c}；云服务器CS对每个数据文件密文计算哈希h_i”'＝H(r_j,c_i)，最终获得哈希集合Htag”'＝{h_i”'＝H(r_j,c_i)},1≤i≤c，其中r_j,j∈[1,n]是发起挑战请求的chal中选择的一个随机数，c_i是发起挑战请求的chal中数据文件标识符集合D'包含的c个数据文件密文；然后云服务器CS根据上述计算的c个哈希h_i”'计算结果哈希标记result'＝H(h₁”'||h₂”',...,h_c”')；最后云服务器CS调用验证支付智能合约中的方法verity(rdh,accountCS,result',fee)验证步骤3.1中数据拥有者DO存入区块链的结果哈希值result是否和结果哈希标记result'一致即result＝result'，fee是预先定义好给云服务器CS支付的服务费。如果验证结果相等即返回true，那么验证支付智能合约自动给云服务器CS支付相应数据存储服务费；如果验证结果不相等即返回false，进入索赔阶段。

本发明方法中考虑到如果数据拥有者DO和云服务器CS都诚实，那么直接由步骤3数据文件验证支付进入步骤5数据文件更新阶段。否则执行步骤3数据文件验证支付，其次步骤4索赔阶段，最后步骤5数据文件更新阶段。

步骤4.索赔阶段，具体按照以下步骤实施：

步骤4.1：进入此阶段，说明要么云服务器CS篡改了数据拥有者DO上传的数据文件密文，要么云服务器CS上传到验证支付智能合约的数据文件密文和对应数据文件标识符不一致，这都属于云服务器CS恶意的行为。

此时，数据拥有者DO向云服务器CS发起索要正确文件请求，如果请求失败，由数据拥有者DO直接调用惩罚智能合约方法punishCS(accountDO,intervalTime,punishFee,startTime)惩罚云服务器CS。作为惩罚，云服务器CS存入惩罚智能合约中的赔偿金会自动执行返回给数据拥有者DO。这也是下面情况2所说明的。

在本方案中，考虑两种特殊情况，第一种是数据拥有者DO恶意，云服务器CS诚实；第二种是数据拥有者DO诚实，云服务器CS恶意；

情况1：我们的支付方案是在结果验证正确之后由验证支付智能合约立即向云服务器CS支付。因为服务费已经预先存储到了验证支付智能合约，因此数据拥有者DO不愿意支付服务费的情况并不存在。所以，只要云服务器CS是诚实的，那么它就能获得服务费。

情况2：只要云服务器CS存在恶意行为，那么直接由数据拥有者DO调用惩罚合约方法punishCS(accountDO,intervalTime,punishFee,startTime)目的是获得相应赔偿，即使云服务器CS不愿支付赔偿也不可能因为此方法是由数据拥有者DO调用的。因此数据拥有者DO和云服务器CS的公平性得以保证。

步骤5.数据文件更新，数据文件更新阶段具体按照以下步骤实施：

步骤5.1：实际使用场景中，数据拥有者DO对上传到云服务器CS的文件必然有添加、修改和删除的需求，因此考虑以下3种情况：

情况1：添加文件：数据拥有者DO产生新数据文件newFile＝{nf₁,nf₂,...,nf_n}时，首先数据拥有者DO生成newFile的标识符nf；对每个数据文件nf_i生成标识符得到数据文件标识符集合D”＝{nd₁,nd₂,...,nd_n}；对每个数据文件nf_i计算密文得到数据文件密文集合C'＝{nc₁,nc₂,...,nc_n}；使用数据拥有者的私钥sk_DO对newFile的标识符nf签名得到β₁＝Sig_skDO(nf)，对每个数据文件密文nc_i和对应的数据文件标识符nd_i签名最终得到签名集合θ₁＝{σ_i1},1≤i1≤n，其中σ_i1＝Sig_skDO(nc_i，nd_i)。之后，数据拥有者DO给云服务器CS发送添加请求addFile＝(DO_ID,nf,β₁,θ₁,C',D”)，CS收到添加请求后，使用数据拥有者的公钥pk_DO验证签名β₁和验证签名集合θ₁中的每个签名σ_i1＝Sig_skDO(nc_i,nd_i)是否成立，全部验证通过后就会根据数据拥有者的标识符DO_ID在快速查找表T(如表1所示)中查找对应的存储位置，然后把newFile的标识符nf、数据文件密文集合C'中的每个数据文件密文和数据文件标识符集合D”中的每个数据文件标识符存储到快速查找表T的value。如果验证不通过，云服务器CS拒绝存储。

情况2：删除文件：数据拥有者DO想要删除数据文件ddf_j时，首先数据拥有者DO计算数据文件ddf_j的标识符是ddfd_j。然后，数据拥有者DO给云服务器CS发送一个删除请求removeFile＝(DO_ID,rf,ddfd_j)，其中DO_ID表示数据拥有者的标识符、rf表示数据文件ddf_j的原始文件标识符且删除请求中可以包含多个数据文件标识符。当云服务器CS收到删除请求时，就会根据数据拥有者的标识符DO_ID和原始文件标识符rf在快速查找表T中查找对应的数据文件标识符ddfd_j，找到之后删除数据文件标识符ddfd_j和数据文件标识符ddfd_j对应的数据文件密文。

情况3：修改文件：数据拥有者DO修改数据文件mdf_j成mdf_j'时，首先数据拥有者DO计算数据文件mdf_j'的密文为mdfc_j'、标识符为mdfd_j'。这里mdf_j的密文是mdfc_j、数据文件标识符是mdfd_j。随后，数据拥有者DO给云服务器CS发送修改请求alterFile(DO_ID,af,mdfd_j,mdfd_j',mdfc_j')，其中DO_ID表示数据拥有者的标识符、af表示mdf_j的原始数据文件标识符且修改请求中可以包含多个数据文件标识符和数据文件密文。云服务器CS收到修改请求后，就会根据数据拥有者的标识符DO_ID和原始文件标识符af在快速查找表T中查找对应的数据文件标识符mdfd_j，找到之后使用数据文件标识符mdfd_j'替换数据文件标识符mdfd_j，数据文件密文mdfc_j'替换数据文件密文mdfc_j。

实施例

为了分析本发明的相应成本，我们搭建了一个实验环境原型。实验的具体配置为：操作***为Windows10，Linux ubuntu20.04.2.0 LTS。编程语言为Java和Solidity。处理器为Inter(R)Core(TM)i3-3240 CPU 3.40GHz processor，8GB RAM。外部辅助为web3j。web3j是以太坊提供的一个Javascript库，它封装了以太坊的JSON-RPC API，提供了一系列与区块链交互的Javascript对象和函数。

本实验使用以太币进行测试。智能合约被编译并部署在以太坊官方测试网络Ropsten上。接下来我们分析智能合约的创建和执行方法的成本，用来测试公平支付协议的性能。按照以太坊主链的价格形式，1ether≈400USD，并设定1gasPrice≈1Gwei，1Gwei＝10⁹wei＝10^-9ether。

实验工作是使用本发明提出的改进算法分析智能合约的创建和执行方法的成本，从而验证算法的可行性。

表3智能合约成本花费

(1)算法性能评估：

从上表3可以看出本方案Gas的花费情况。验证支付智能合约操作只创建一次，消耗了725511gas，大约0.290美元。惩罚智能合约操作只创建一次，消耗了961541gas，大约0.385美元。数据拥有者DO成功部署合约之后，执行storeDeposit操作，需要花费48635gas,执行storeHash操作，需要消耗90279gas。当数据拥有者DO把数据文件密文存储到云服务器CS之后，为了验证云服务器CS中数据文件的完整性以及给诚实的云服务器CS支付数据存储服务费，执行verity操作，需要花费50970gas，当数据拥有者DO发现存储到云服务器CS中的数据文件密文被损坏之后，执行punishCS操作，花费了50450gas，在验证支付完成之后，如果数据拥有者DO和云服务器CS想退回自己合约中的保证金，分别执行withdrawDO和withdrawCS操作，花费了27122gas和28192gas。由于实际使用场景中，可能对存储到区块链的数据进行删除，此时执行delete操作，而执行delete操作花费了28702gas。总体来看，部署智能合约以及执行相关操作需要花费一定的成本。但是这些花费都在可接受的范围之内，所以花费一定承受范围的成本来保证云存储***的安全性是很有必要的。

(2)性能分析：

本节将比较我们方案和类似方案的性能。表4显示4个方案之间的比较。首先，4个方案都是讨论云存储***中数据的安全问题。我们的数据完整性检测方案中考虑到以下属性：验证节点，数据隐私，公平支付，去中心，数据完整性验证和数据文件的动态更新。其他的方案中要么没有考虑到公平支付，要么方案中只提到了实际场景中应该要实现数据拥有者和云服务器之间的公平支付，但是并未具体实现。除此之外，我们的方案还实现了利用智能合约验证上传到云服务器CS的数据文件的正确性与完整性。

表4四个方案之间比较

方案

完整性

区块链

去中心

公平支付

动态更新

验证节点

Wang

yes

yes

no

no

no

第三方

Xue

yes

yes

no

no

no

第三方

Li

yes

yes

yes

no

yes

用户节点

Our scheme

yes

yes

yes

yes

yes

智能合约

(3)安全分析：

本发明是基于区块链的外包数据完整性验证中的公平支付方法。本方法虽然增加了智能合约部署和执行的成本，但是从***的安全和性能分析显示算法可以有效解决数据拥有者和云服务器之间的公平支付问题。在本节中，将从以下两个方面对该方法进行评估，分别是安全分析和威胁模型分析。首先介绍云存储***中需要满足的一些安全需求，其次结合几种常见的网络攻击分析本方法。

完整性和正确性：为了确保上传至云服务器CS的数据文件密文的正确性与完整性，数据拥有者DO把结果哈希值result上传到区块链，详细过程见步骤3.1。然后，数据拥有者DO向云服务器CS随机发送一个挑战请求chal来验证存储在云服务器CS的数据文件密文的完整性，一旦收到挑战请求chal＝(DO_ID,df,D',r_j)，云服务器CS会根据数据拥有者的标识符DO_ID，DF的标识符df和发起挑战请求的数据文件标识符集合D'到快速查找表T中查找并获得D'中包含的c个数据文件标识符对应的数据文件密文{c_i}_1≤i≤c。云服务器CS首先计算哈希集合Htag”'＝{h_i”'＝H(r_j,c_i)}_1≤i≤c，其中h_i”'表示发起挑战请求的chal中的随机数r_j和数据文件密文c_i计算的哈希，然后计算结果哈希标记result'＝H(h₁”'||h₂”',...,h_c”')。最后云服务器CS调用验证支付智能合约中的方法verity(rdh，accountCS，resullt′，fee)验证步骤3.1中数据拥有者DO存入区块链的结果哈希值result是否和结果哈希标记result'相等即result＝result'。如果验证结果相等，那么输出true，说明数据是正确的；否则输出false，说明上传到云服务器CS的数据已经被损坏。

公平性：传统的支付方案是数据拥有者DO先支付费用，然后享受云服务器CS的服务，这样难以保证交易双方的公平性。本方法中如果数据拥有者DO上传到云服务器CS的数据文件没有被损坏，那么通过智能合约中存储的保证金向云服务器CS支付服务费。如果数据拥有者DO上传至云服务器CS的数据被损坏，那么数据拥有者DO能调用合约方法获得相应赔偿。因此，本发明所提方法能保证数据拥有者DO和云服务器CS之间的公平性。

可靠性：本方法中云服务器CS存储的数据文件密文是否完整，是由部署在区块链上的验证支付智能合约来实现验证的。目前以太坊使用工作量证明(PoW)共识协议防止区块链被篡改。工作量证明***需要解决一个复杂的数学难题以创建新的区块。解决难题需要大量算力。一个试图想要篡改智能合约的云服务器CS必须拥有超过50％的以太坊算力。所以，如果一个恶意云服务器CS想让智能合约的状态发生改变那是不可能的。因此，我们方法的可靠性得以保证。

不可篡改性：本方法保证了上传到云服务器CS的数据文件密文不能被任何恶意云服务器CS修改。因为数据拥有者把自己拥有的结果哈希值存储到了区块链，而区块链不可篡改的特性保证了云服务器CS中数据文件密文不能被任意修改。除非有人拥有超过50％的以太坊算力。

数据隐私性：数据文件上传到云服务器CS之前，数据拥有者DO进行了加密处理。即使恶意云服务器CS能获得加密数据文件，文件原始信息也不会被泄露。因此，本方法可以降低数据隐私泄露的风险。

中间人攻击：假设一个攻击者可以截取到数据拥有者上传到云服务器CS的数据文件密文信息，也可以截取到数据拥有者DO上传的签名信息，但是由于数据文件是经过AES加密算法加密过的，攻击者没有解密密钥，所以也无法获取到数据文件的原始信息。攻击者即时可以获取到签名信息，因为攻击者没有数据拥有者的公钥pk_DO，因此也无法对消息进行任何修改。

欺骗攻击：我们的云存储***中，数据拥有者DO和云服务器CS的每一次交易都会被记录在以太坊区块链上，并且会以事件的方式广播到全网，攻击者不可能拥有超过全网51％的算力来修改以太坊区块链上的交易记录从而达到欺骗的目的。

消息重放攻击：攻击者把数据拥有者DO已经存储到云服务器CS的数据文件密文再次上传给云服务器CS，由于云服务器CS会根据数据拥有者的标识符DO_ID查看数据是否已经存储在快速查找***T以及会根据数据拥有者的公钥pk_DO进行验证，所以攻击者不可能进行欺诈。

拒绝服务攻击(DDos)：由于区块链是去中心化的、点对点的，区块链中的数据会进行多点共享，如果其中一个节点失效，那么将在此节点上无法进行交易，但是其他节点不受影响。

Claims (6)

1.基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，包括以下步骤：

步骤1、建立包括由数据拥有者DO、云服务器CS、区块链和智能合约组成的***，***初始化；

步骤2、数据文件外包存储处理；

步骤2具体按照以下步骤实施：

步骤2.1：设数据拥有者DO持有的数据文件为DF；数据拥有者DO对数据文件DF计算标识符df＝H(DF)，划分数据文件DF＝{f_i},1≤i≤n；

数据拥有者DO为每个数据文件f_i生成数据文件标识符d_i，其中d_i＝H(f_i)，最后得到数据文件标识符集合D＝{d_i},1≤i≤n；注意DF的标识符df和数据文件标识符d_i都是唯一的；

数据拥有者DO对每个数据文件f_i使用对称加密算法AES的密钥K计算密文c_i＝AES.Enc(K,f_i)，最后得到数据文件密文集合C＝{c_i},1≤i≤n；

数据拥有者DO使用数据拥有者的私钥sk_DO对DF的标识符df签名得到α＝Sig_skDO(df)，对每个数据文件密文c_i和对应的数据文件标识符d_i签名得到σ_i＝Sig_skDO(c_i,d_i)，最后获得签名集合β＝{σ_i},1≤i≤n；

数据拥有者DO对数据文件密文c_i和对应数据文件标识符d_i使用安全哈希函数H计算哈希，最后获得哈希集合Htag＝{h_i＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；最终，数据拥有者DO把数据包S＝{DO_ID,df,C,D,α,β}上传至云服务器CS，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、C表示数据文件密文集合、D表示数据文件标识符集合、α表示对df签名、β表示数据文件密文c_i和对应的数据文件标识符d_i签名构成的集合；

步骤2.2：收到数据拥有者DO上传的数据包S＝{DO_ID,df,C,D,α,β}之后，云服务器CS把数据拥有者的标识符DO_ID记录到快速查找表T对应的key字段；

云服务器CS使用数据拥有者的公钥pk_DO验证签名α是否成立，成立则云服务器CS把DF的标识符df存入快速查找表T对应的value；云服务器CS使用数据拥有者的公钥pk_DO验证签名集合β中的每个签名σ_i＝Sig_skDO(c_i,d_i)是否成立，成立则云服务器CS把数据文件密文c_i和对应的数据文件标识符d_i存入快速查找表T对应的value；如果验证不成立，云服务器CS拒绝存储；当存储好之后，云服务器CS计算每个数据文件密文c_i和对应的数据文件标识符d_i的哈希h_i'＝H(c_i,d_i)，最后获得哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n；其次云服务器CS使用云服务器的私钥sk_CS对哈希集合Htag'中的每个哈希h_i'签名得到σ(h_i)＝Sig_skCS(h_i')，最终得到签名集合α'＝{σ(h_i)},1≤i≤n；云服务器CS对DF的标识符df计算哈希得到ρ'＝H(df)，使用云服务器的私钥sk_CS对ρ'签名得到γ＝Sig_skCS(ρ')，最后云服务器CS把签名集合α'中的每个签名和签名γ存入区块链，并记录交易id的集合txids＝{txid_i,txid_k},σ(_h1)≤i≤σ(h_n),k＝γ，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.3：云服务器CS把步骤2.2中交易id的集合txidx＝{txid_i，txid_k}，σ(h₁)≤i≤σ(h_n)，k＝γ发送给数据拥有者DO，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id；

步骤2.4：一旦收到步骤2.3交易id的集合txids＝{txid_i,txid_k},σ(h₁)≤i≤σ(h_n),k＝γ后，其中txid_i表示上传签名集合α'中的n个签名到区块链得到的交易id，txid_k表示上传签名γ到区块链得到的交易id，数据拥有者DO就会去区块链上读取交易最终得到签名集合α'＝{σ(h_i)},1≤i≤n和签名γ＝Sig_skCS(ρ')；

数据拥有者DO使用云服务器的公钥pk_CS验证签名γ和验证每个签名σ(h_i)＝Sig_skCS(h_i')是否成立，验证通过之后获得哈希ρ'＝H(df)和哈希集合Htag'＝{h_i'＝H(c_i,d_i)},1≤i≤n，h_i表示由数据文件密文c_i和对应数据文件标识符d_i计算的n个哈希中的其中一个；

数据拥有者DO重新计算ρ＝H(df)，其中ρ表示使用安全哈希函数H对DF的标识符df计算的哈希值，然后数据拥有者DO比较步骤2.1中Htag中的每个哈希值是否和Htag'中的哈希值一致即h_i＝h_i'其中i∈[1,n]、哈希值ρ'是否和ρ一致即ρ'＝ρ；如果验证结果正确，则证明数据文件密文c_i，数据文件标识符d_i和DF的标识符df已经成功存储至云服务器CS建立的快速查找表T；

步骤2.5：当步骤2.1、2.2、2.3和2.4成功执行之后，云服务器CS返回给数据拥有者DO数据文件密文的存放路径集合sp＝{DO_ID/df/(d_i),1≤i≤n}，其中DO_ID表示数据拥有者的标识符、df表示DF的标识符、d_i表示数据文件标识符且d_i可以有多个，这样的存放路径可以保证云服务器CS快速查找到数据拥有者DO上传的数据文件密文的存放位置；

步骤3、数据文件验证支付，如果数据没有被损坏，那么直接由步骤3数据文件验证支付进入步骤5；否则执行步骤3数据文件验证支付，依次进入步骤4及步骤5；

步骤4.索赔阶段；

步骤5.数据文件更新。

2.根据权利要求1所述的基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，步骤1具体按照以下步骤实施：

步骤1.1、数据拥有者DO从密钥空间SK中选择对称加密算法AES的密钥K，秘密选择随机数集合r，其中r＝{r_j},1≤j≤n，r_j表示随机数集合r中的一个随机数且数据拥有者DO对随机数集合r保密；

步骤1.2、数据拥有者DO在以太坊区块链上部署验证支付智能合约并调用合约方法storeDeposit(deposit_DO)向此合约中存放足够的服务费，deposit_DO表示预先设定好的服务费数量；

步骤1.3、云服务器CS在以太坊区块链上部署惩罚智能合约并调用合约方法storeDeposit(deposit_CS)向合约中存放足够数量的赔偿金，deposit_CS表示预先设定好的赔偿金数量；后续阶段，如果云服务器CS损坏了数据拥有者DO上传的数据文件密文的情况下，由数据拥有者DO调用惩罚智能合约方法向云服务器CS索要赔偿，从而保证数据拥有者DO和云服务器CS之间支付的公平性。

3.根据权利要求1所述的基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，步骤3具体按照以下步骤实施：

步骤3.1：数据拥有者DO使用安全哈希函数H对随机数集合r中任选的随机数r_j,j∈[1,n]和发起挑战请求的数据文件标识符集合D'＝{d_i},1≤i≤c中的数据文件标识符对应的每个数据文件密文c_i计算哈希h_i”＝H(r_j,c_i)，最后获得哈希集合Htag″＝{h_i″＝H(r_j，c_i)}，1≤i≤c；然后数据拥有者DO计算结果哈希值result＝H(h₁”||h₂”,...,h_c”)，对结果哈希值result生成标识符rdh＝H(result)，最终数据拥有者DO调用验证支付智能合约中的方法storeH(result,rdh)把结果哈希值result和标识符rdh存储到区块链；

步骤3.2：数据拥有者DO随机选择一个挑战请求chal＝(DO_ID,df,D',r_j)，其中发起挑战请求的数据文件标识符集合D'＝{d₁,d₂,...,d_c}，也就是说D'中包含随机选择的c个数据文件标识符，r_j,j∈[1,n]是从集合r中随机选择的一个随机数；数据拥有者DO向云服务器CS发送挑战请求chal，请求验证发起挑战请求的数据文件标识符集合D'中包含的c个数据文件密文的正确性与完整性；

步骤3.3：一旦云服务器CS收到步骤3.2的挑战请求chal后，就会根据数据拥有者的标识符DO_ID、DF的标识符df和发起挑战请求的数据文件标识符集合D'到快速查找表T中查找并获得D'中包含的c个数据文件标识符对应的数据文件密文{c₁,c₂,...,c_c}；云服务器CS对每个数据文件密文计算哈希h_i”'＝H(r_j,c_i)，最终获得哈希集合Htag”'＝{h_i”'＝H(r_j,c_i)},1≤i≤c，其中r_j,j∈[1,n]是发起挑战请求的chal中选择的一个随机数，c_i是发起挑战请求的chal中数据文件标识符集合D'包含的c个数据文件密文；然后云服务器CS根据上述计算的c个哈希h_i”'计算结果哈希标记result'＝H(h₁”'||h₂”',...,h_c”')；最后云服务器CS调用验证支付智能合约中的方法verity(rdh,accountCS,result',fee)验证步骤3.1中数据拥有者DO存入区块链的结果哈希值result是否和结果哈希标记result'一致即result＝result'，fee是预先定义好给云服务器CS支付的服务费；如果验证结果相等即返回true，那么验证支付智能合约自动给云服务器CS支付相应数据存储服务费进入步骤5数据文件更新阶段；如果验证结果不相等即返回false，进入步骤4索赔阶段，最后进入步骤5数据文件更新阶段。

4.根据权利要求1所述的基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，步骤4具体按照以下步骤实施：

云服务器CS存在恶意行为，此时，数据拥有者DO向云服务器CS发起索要正确文件请求，如果请求失败，由数据拥有者DO直接调用惩罚智能合约方法惩罚云服务器CS；作为惩罚，云服务器CS存入惩罚智能合约中的赔偿金会自动执行返回给数据拥有者DO。

5.根据权利要求4所述的基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，数据拥有者和云服务器CS存在的恶意行为有两种情况：

情况1：我们的支付方案是在结果验证正确之后由验证支付智能合约立即向云服务器CS支付；

情况2：只要云服务器CS存在恶意行为，那么直接由数据拥有者DO调用惩罚合约方法punishCS(accountDO,intervalTime,punishFee,startTime)目的是获得相应赔偿。

6.根据权利要求1所述的基于区块链的外包数据完整性验证中的公平支付方法，其特征在于，步骤5具体按照以下步骤实施：

实际使用场景中，数据拥有者DO对上传到云服务器CS的文件必然有添加、修改和删除的需求，因此考虑以下3种情况：

情况1：添加文件：数据拥有者DO产生新数据文件newFile＝{nf₁,nf₂,...,nf_n}时，首先数据拥有者DO生成newFile的标识符nf；对每个数据文件nf_i生成标识符得到数据文件标识符集合D”＝{nd₁,nd₂,...,nd_n}；对每个数据文件nf_i计算密文得到数据文件密文集合C'＝{nc₁,nc₂,...,nc_n}；使用数据拥有者的私钥sk_DO对newFile的标识符nf签名得到β₁＝Sig_skDO(nf)，对每个数据文件密文nc_i和对应的数据文件标识符nd_i签名最终得到签名集合θ₁＝{σ_i1},1≤i1≤n，其中σ_i1＝Sig_skDO(nc_i,nd_i；之后，数据拥有者DO给云服务器CS发送添加请求addFile＝(DO_ID,nf,β₁,θ₁,C',D”)，CS收到添加请求后，使用数据拥有者的公钥pk_DO验证签名β₁和验证签名集合θ₁中的每个签名σ_i1＝Sig_skDO(nc_i,nd_i)是否成立，全部验证通过后就会根据数据拥有者的标识符DO_ID在快速查找表T中查找对应的存储位置，然后把newFile的标识符nf、数据文件密文集合C'中的每个数据文件密文和数据文件标识符集合D”中的每个数据文件标识符存储到快速查找表T的value；如果验证不通过，云服务器CS拒绝存储；

情况2：删除文件：数据拥有者DO想要删除数据文件ddf_j时，首先数据拥有者DO计算数据文件ddf_j的标识符是ddfd_j；然后，数据拥有者DO给云服务器CS发送一个删除请求removeFile＝(DO_ID,rf,ddfd_j)，其中DO_ID表示数据拥有者的标识符、rf表示数据文件ddf_j的原始文件标识符且删除请求中可以包含多个数据文件标识符；当云服务器CS收到删除请求时，就会根据数据拥有者的标识符DO_ID和原始文件标识符rf在快速查找表T中查找对应的数据文件标识符ddfd_j，找到之后删除数据文件标识符ddfd_j和数据文件标识符ddfd_j对应的数据文件密文；

情况3：修改文件：数据拥有者DO修改数据文件mdf_j成mdf_j'时，首先数据拥有者DO计算数据文件mdf_j'的密文为mdfc_j'、标识符为mdfd_j'；这里mdf_j的密文是mdfc_j、数据文件标识符是mdfd_j；随后，数据拥有者DO给云服务器CS发送修改请求alterFile(DO_ID,af,mdfd_j,mdfd_j',mdfc_j')，其中DO_ID表示数据拥有者的标识符、af表示mdf_j的原始数据文件标识符且修改请求中可以包含多个数据文件标识符和数据文件密文；云服务器CS收到修改请求后，就会根据数据拥有者的标识符DO_ID和原始文件标识符af在快速查找表T中查找对应的数据文件标识符mdfd_j，找到之后使用数据文件标识符mdfd_j'替换数据文件标识符mdfd_j，数据文件密文mdfc_j'替换数据文件密文mdfc_j。