CN114745120B - 一种支持公平支付的抗密钥暴露的云数据完整性校验方法 - Google Patents

Abstract

本发明公开了一种支持公平支付的抗密钥暴露的云数据完整性校验方法，步骤包括：数据拥有者选择安全参数并生成公私钥对和公共参数；数据拥有者生成审计密钥；数据拥有者将数据块和认证码上传至云服务器；云服务供应商和数据拥有者一起部署智能审计合约；云服务供应商利用当前区块头和公共参数生成随机挑战，将证明和辅助信息写入激活合约并部署到区块链上，智能审计合约被激活后校验证明并根据校验结果执行预设的交易。数据拥有者随机选择当前时间段的秘密信息更新审计密钥和认证码。本发明实现了在数据拥有者和云服务供应商互不信任的情况下的公平交易，解决了外包数据在密钥暴露攻击下的前向和后向安全问题，并支持审计密钥更新和认证码更新。

Description

一种支持公平支付的抗密钥暴露的云数据完整性校验方法

技术领域

本发明涉及数据安全技术领域，尤其涉及一种支持公平支付的抗密钥暴露的云数据完整性校验方法。

背景技术

云存储是可以提供无限扩容的数据存储空间和管理服务的云计算***。由于其低延迟、高延展性和高灵活性，云存储深受企业、组织和个人的青睐。然而当用户将数据远程上传到云服务供应商提供的服务器上后会失去对数据的物理控制。一旦云服务器出现问题，其数据将面临严重的安全威胁。数据完整性作为数据安全的核心要素之一，是云存储是用户和云服务供应商重点关注的对象。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

各参与方间存在支付不公平问题。用户在确定外包数据给云服务供应商时会提前支付一段时间的存储服务费用，之后云服务供应商按合约为用户提供存储服务和完整性校验服务。然而当云数据破坏事件发生后，用户可能需要耗费大量时间、精力向云服务供应商维权和索赔。个人用户尤其容易面临支付不公平问题。

现有的数据完整性校验方案面临密钥暴露问题。在数据完整性校验方案中，用户将待上传的文件分成若干份，并用自己的密钥为每一份数据块生成消息认证码用于日后的完整性校验。随后用户将数据块连同消息认证码集合一起上传到云端。消息认证标签与相应的数据块具有一致性，且在不知密钥的情况下，任何人无法更改消息认证标签。密钥暴露会破坏消息认证标签的不可篡改性，完整性校验证明更容易被恶意敌手伪造，继而影响数据完整性校验结果的真实性。

由此可知，现有技术方法无法在保障交易公平的同时抵抗密钥暴露攻击，数据的安全性无法保证。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种支持公平支付的抗密钥暴露的云数据完整性校验方法。

为了解决上述技术问题，本发明提供一种支持公平支付的抗密钥暴露的云数据完整性校验方法，包括以下步骤：

步骤1.密钥生成：数据拥有者选择安全参数，生成自己的公钥私钥对和***公共参数；

步骤2.审计密钥生成：在每一个时间周期初期，数据拥有者利用自己的私钥生成这一周期的审计密钥；

步骤3.认证标签生成：数据拥有者将待外包文件分为若干数据块，利用审计密钥为每一数据块生成认证标签，并将认证标签集合和数据块一同上传至云服务供应商；

步骤4.云服务供应商验证数据并保存：云服务供应商在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存，并和数据拥有者一起部署智能审计合约SAC，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容；

步骤5.证明生成：云服务供应商利用当前区块头信息和***公共参数生成随机挑战，计算用于完整性校验的证明信息，并将证明和辅助信息写入激活合约AC，随后将激活合约部署到区块链上以激活审计合约SAC；

步骤6.云数据完整性校验：区块链上审计合约SAC被激活后校验证明的有效性，并根据校验结果执行预设的交易，同时将结果返回给数据拥有者。

在一种实施方式中，所述方法还包括：

步骤7.认证码更新：当数据拥有者需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息计算审计密钥，计算更新密钥并发送给云服务商来执行认证码更新任务。

在一种实施方式中，所述步骤1具体包括：

步骤1.1：数据拥有者选择安全参数λ，运行签名算法Sig生成签名公钥私钥对(spk,ssk)，这里签名算法可以选择RSA签名算法；

步骤1.2：数据拥有者随机选取元素x∈Z_p作为初始私钥，其中，Z_p表示模p的循环群，私钥sk＝x由数据拥有者管理；

步骤1.3：数据拥有者选取群G₁的生成元g和u，计算公钥g^x∈G₁，得到***公共参数PK＝(G₁,G₂,p,H,h,F,e,g,u,pk)，其中，G₁，G₂表示阶为素数p 的乘法循环群，p的长度为λ比特，H(·):{0,1}*→G₁，h(·):G₁→Z_p表示两个加密散列函数，F:{0,1}*→[1,n]为伪随机函数，{0，1}*表示任意比特流， e:G₁×G₁→G₂表示可计算的双线性映射，PK对云服务供应商和校验者公开。

在一种实施方式中，所述步骤2具体包括：

在每一个新的时间周期t初期，数据拥有者选取随机元素β_t∈Z_p，计算审计密钥和对应的公共参数/>

在一种实施方式中，所述步骤3具体包括：

步骤3.1：在每个时间周期t初期，数据拥有者把待上传的文件F拆成n个数据块，随机选取秘密元素α∈Z_p，对每个数据块m_i，1≤i≤n，计算认证码其中name∈Z_p是随机选取的元素，表示F的唯一标识；

步骤3.2：数据拥有者基于秘密信息α∈Z_p计算辅助公共参数v＝g^α；

步骤3.3：运行签名算法计算w＝name||Sig_ssk(name)，其中||表示将 name和Sig_ssk(name)作字符串相连；

步骤3.4：认证码集合和数据文件发送给云服务供应商。

在一种实施方式中，所述步骤4具体包括：

步骤4.1：云服务供应商在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存；

步骤4.2：数据拥有者和云服务供应商协商部署智能审计合约SAC，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容。

在一种实施方式中，所述步骤5具体包括：

步骤5.1：云服务供应商选取公共状态信息τ作为随机数种子，并随机生成挑战{(i,v_i)}_i∈I，其中表示待检测的数据块索引集合， v_i＝h(H(τ||i))，τ包括区块链上最新区块的头信息、时间戳，τ不受云服务供应

商控制，且每次生成证明时都会改变；

步骤5.2：云服务供应商根据生成的挑战计算选取随机元素s∈Z_p，计算Q＝v^s∈G₁，γ＝h(Q)，μ＝s+γμ'，计算聚合认证信息/>

步骤5.3：云服务供应商输出数据完整性证明P＝{τ,Q,μ,σ_t}并写入激活合约AC分布到区块链上；

在一种实施方式中，所述步骤6具体包括：

步骤6.1：校验者首先将证明信息解析为τ，Q，μ，σ_t，并根据随机种子τ计算挑战{(i,v_i)}_i∈I，I＝{F(τ||i)}_i∈I，计算辅助信息γ＝h(Q)；

步骤6.2：如果

成立，则返回True，表示校验成功，否则返回False，表示数据完整性被破坏；

步骤6.3：校验者将结果返回给数据拥有者；

步骤6.4：审计合约SAC根据校验结果执行预设交易，若结果返回 True，则执行从数据拥有者账户到云服务供应商账户的服务费交易，否则执行从云服务供应商账户到数据拥有者账户的罚款交易。

在一种实施方式中，所述步骤7具体包括：

步骤7.1：当数据拥有者在时间周期t需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息更新审计密钥SK_t；

步骤7.2：数据拥有者计算认证更新密钥auk_t＝SK_t/SK_t-1，并发送给云服务供应商，其中SK_t和SK_t-1分别是时间周期t和t-1的审计密钥；

步骤7.3：云服务供应商计算σ_i,t＝σ_i,t-1·auk_t以更新数据块的认证标签。

与现有技术相比，本申请的有益效果是：

1、本方案用基于区块链的智能合约作为可信第三方来执行完整性校验，减轻了数据拥有者的计算开销，实现了在互不信任环境下数据拥有者和云服务供应商之间的公平支付，减少完整性校验过程中的通信开销；

2、与现有抗泄露云数据完整性校验方案相比，本方案无需依赖TPA的密钥即可实现密钥暴露攻击下的双向安全(前向安全和后向安全)。敌手可通过泄露的密钥信息来伪造密钥暴露前一段时间里的认证，导致完整性校验失败；也可以在数据拥有者尚未发现密钥暴露的一段时间里伪造新上传的认证信息，导致导致完整性校验失败。本方案可以确保敌手在获得密钥暴露信息的一段时间内，校验方案仍是安全的，任何人无法伪造有效的认证。与现有方案比，本申请具有更强的安全性；

3、本发明允许在每个时间片段远程更新审计密钥和认证标签。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简要介绍。

图1为第一个实施例的云数据完整性校验***模型示意图；

图2为第一个实施例的云数据完整性校验***流程图；

图3为第一个实施例的审计合约SAC；

图4为第一个实施例的激活合约AC。

具体实施方式

以下将结合实施例来详细说明本发明的实施方式，具体展示本发明如何应用技术手段解决技术问题并达成技术功效的实现过程。

本发明的主要构思如下：

一种支持公平支付的抗密钥暴露的云数据完整性校验方法。该方法***模型如图1所示，共包含3类实体：数据拥有者，云服务供应商，校验者；

数据拥有者：数据拥有者在数据外包前利用安全参数生成公钥私钥对和用于完整性校验的公共参数；数据拥有者利用私钥生成审计密钥，并用审计密钥计算文件的认证标签，随后将数据和认证标签集合一起上传至云服务供应商；

云服务供应商：云服务供应商定期利用公共参数、外包数据和认证标签生成用于完整性校验的证明，并将证明和辅助信息写入激活合约AC，激活合约AC通过交易形式部署到区块链上以激活审计合约SAC发送给校验者；

校验者：校验者本质上是基于区块链的智能审计合约SAC，由数据拥有者和云服务供应商联合确定并签名后部署在区块链上。当激活合约AC被部署到区块链上时，审计合约触发，并根据激活合约AC中云服务供应商提供的证明信息来检查对应数据的完整性，随后根据校验结果执行数据拥有者和云服务供应商之间的交易费，并将校验结果返回给数据拥有者。特别地，当校验成功时，合约执行由数据拥有者到云服务供应商的服务费交易，反之，合约执行由云服务供应商到数据拥有者的赔偿交易。

本发明实施例提供了一种支持公平支付的抗密钥暴露的云数据完整性校验方法，包括：

具体云数据完整性校验***流程图如图2所示。

步骤1.密钥生成：数据拥有者选择安全参数，生成自己的公钥私钥对和***公共参数；

步骤2.审计密钥生成：在每一个时间周期初期，数据拥有者利用自己的私钥生成这一周期的审计密钥；

步骤3.认证标签生成：数据拥有者将待外包文件分为若干数据块，利用审计密钥为每一数据块生成认证标签，并将认证标签集合和数据块一同上传至云服务供应商；

步骤4.云服务供应商验证数据并保存：云服务供应商在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存，并和数据拥有者一起部署智能审计合约SAC(见图3)，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容；

步骤5.证明生成：云服务供应商利用当前区块头信息和***公共参数生成随机挑战，计算用于完整性校验的证明信息，并将证明和辅助信息写入激活合约AC(见图4)，随后将激活合约部署到区块链上以激活审计合约 SAC；

步骤6.云数据完整性校验：区块链上审计合约SAC被激活后校验证明的有效性，并根据校验结果执行预设的交易，同时将结果返回给数据拥有者。

作为一个或多个实施例，所述方法还包括：

步骤7.认证码更新：当数据拥有者需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息计算审计密钥，计算更新密钥并发送给云服务商来执行认证码更新任务。

本实施例中，数据拥有者与云服务供应商互不信任，依靠基于区块链的智能审计合约作为可信第三方来公开审计保存在云服务供应商中的数据是否被破坏。区块链是一种公开的分布式账本，具有不可篡改性和公开性，任何人都可以访问链上数据。

步骤4中，数据拥有者和云服务供应商在协商部署智能审计合约SAC 前需要分别在区块链上创建账户，并充值一定金额以支持后续交易。

步骤6中，当证明通过校验后，审计合约触发服务费交易，具体是从

本实施例提供一种支持公平支付的抗密钥暴露的云数据完整性校验方法，具体流程如图2所示，共包含7个步骤。

本发明所提出的方案所用到的符号声明如下：

1.Z_p表示模p的有限域。

称为e:G₁×G₁→G₂双线性映射，若其满足：

1)双线性性：对任意的a,b∈Z_p，u,v∈G₁，等式e(u^a,v^b)＝e(u,v)^ab都成立；

2)非退化性：G₁中存在互不相等的的生成元u,v∈G₁使得e(u,v)≠1 成立；

3)可计算性：存在高效的多项式时间算法对任意的u,v∈G₁，可以计算e(u,v)。

3.SK_t表示在时间周期t阶段的审计密钥，由数据拥有者生成和保管，用于生成认证码，审计密钥可以在文件外包期间更新以生成新的认证码。

4.β_t，α是数据拥有者生成的秘密信息，在计算完审计密钥和认证码后从本地销毁。

5.σ_i,t表示数据块m_i在时间周期t时的认证码，由数据拥有者生成，并随数据块一起上传到云。认证码可以在外包期间更新。

6.σ_t表示在时间周期t时的聚合认证码，用于SAC校验云服务供应商所生成证明的有效性。

7.auk_t表示在时间周期t时的认证码更新密钥，由数据拥有者生成并通过安全信道发送给云服务供应商，云服务供应商利用当前版本的认证码和 auk_t来计算新的认证码。

在一种实施方式中，步骤1具体包括：

步骤1.1：数据拥有者选择安全参数λ，运行签名算法Sig生成签名公钥私钥对(spk,ssk)，这里签名算法可以选择RSA签名算法；

步骤1.2：数据拥有者随机选取元素x∈Z_p作为初始私钥，其中，

Z_p表示模p的循环群，私钥sk＝x由数据拥有者管理；

步骤1.3：数据拥有者选取群G₁的生成元g和u，计算公钥g^x∈G₁，得到***公共参数PK＝(G₁,G₂,p,H,h,F,e,g,u,pk)，其中，G₁，G₂表示阶为素数p 的乘法循环群，p的长度为λ比特，H(·):{0,1}*→G₁，h(·):G₁→Z_p表示两个加密散列函数，F:{0,1}*→[1,n]为伪随机函数，{0，1}*表示任意比特流， e:G₁×G₁→G₂表示可计算的双线性映射，PK对云服务供应商和校验者公开。

在一种实施方式中，步骤2具体包括：

在每一个新的时间周期t初期，数据拥有者选取随机元素β_t∈Z_p，计算审计密钥和对应的公共参数/>

具体实施过程中，数据拥有者在计算结束后，从本地销毁β_t，秘密保管审计密钥并把公共参数/>公布给云服务供应商和校验者。

在一种实施方式中，步骤3具体包括：

步骤3.1：在每个时间周期t初期，数据拥有者把待上传的文件F拆成n个数据块，随机选取秘密元素α∈Z_p，对每个数据块m_i，1≤i≤n，计算认证码其中name∈Z_p是随机选取的元素，表示F的唯一标识；

步骤3.2：数据拥有者基于秘密信息α∈Z_p计算辅助公共参数 v＝g^α；

步骤3.3：运行签名算法计算w＝name||Sig_ssk(name)，其中||表示将 name和其签名Sig_ssk(name)作字符串相连；

步骤3.4：认证码集合和数据文件发送给云服务供应商。

具体实施过程中，数据拥有者在计算结束后立即销毁秘密元素α，并把公共参数v公布给云服务供应商和校验者。上传到云的认证码可通过步骤7进行更新。

在一种实施方式中，步骤4具体包括：

步骤4.1：云服务供应商在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存；

步骤4.2：数据拥有者和云服务供应商协商部署智能审计合约SAC，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容。

具体实施过程中，数据拥有者和云服务供应商首先分别在区块链上注册账户并充值一定金额作为后续交易的押金；随后双方协商审计合约内容，包括双方账户地址、存储周期、审计周期、服务费金额、罚款金额、校验函数及公共参数；最后双方签名后将智能审计合约SAC部署上链。

在一种实施方式中，步骤5具体包括：

步骤5.1：云服务供应商选取公共状态信息τ作为随机数种子，并随机生成挑战{(i,v_i)}_i∈I，其中表示待检测的数据块索引集合， v_i＝h(H(τ||i))，τ包括区块链上最新区块的头信息、时间戳，τ不受云服务供应商控制，且每次生成证明时都会改变；

步骤5.2：云服务供应商根据生成的挑战计算选取随机元素s∈Z_p，计算Q＝v^s∈G₁，γ＝h(Q)，μ＝s+γμ'，计算聚合认证信息/>

步骤5.3：云服务供应商输出数据完整性证明P＝{τ,Q,μ,σ_t}并写入激活合约AC分布到区块链上；

具体实施过程中，云服务供应商定期遍历区块链状态，当发现新的审计任务时，实时获取公共状态信息τ并生成随机挑战和相应的证明 P＝{τ,Q,μ,σ_t}。P作为参数被写入激活合约AC，激活合约AC上链后可调用智能审计合约SAC的校验函数、公共参数并根据校验结果触发对应的交易。

由区块链的不可篡改性知公共状态信息τ不可伪造且不可被云服务供应商控制，其随机性保证了所生成的挑战具有随机性。

在一种实施方式中，所述步骤6具体包括：

步骤6.1：校验者首先将证明信息解析为τ，Q，μ，σ_t，并根据随机种子τ计算挑战{(i,v_i)}_i∈I，I＝{F(τ||i)}_i∈I，计算辅助信息γ＝h(Q)；

步骤6.2：如果

成立，则返回True，表示校验成功，否则返回False，表示数据完整性被破坏；

步骤6.3：校验者将结果返回给数据拥有者；

步骤6.4：审计合约SAC根据校验结果执行预设交易，若结果返回 True，则执行从数据拥有者账户到云服务供应商账户的服务费交易，否则执行从云服务供应商账户到数据拥有者账户的罚款交易。

具体实施过程中，智能审计合约SAC在收到激活合约传来的参数后，首先验证文件标识name和状态信息τ，验证通过后开始校验证明的有效性。当且仅当证明通过验证，表明所检验的数据保持了完整性，此时触发合约 SAC中预设的服务费交易，即执行从区块链上数据拥有者账户到云服务供应商账户的服务费转账；否则，触发罚款交易，即执行从云服务供应商账户到数据拥有者账户的罚款转账。这一过程保障了数据外包过程中的交易公平，避免了数据拥有者在外包数据发生错误时可能遭受的索赔困难等不公平交易问题。

验证阶段的正确性说明如下：

在一种实施方式中，所述步骤7具体包括：

步骤7.1：当数据拥有者在时间周期t需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息更新审计密钥SK_t；

步骤7.2：数据拥有者计算认证更新密钥auk_t＝SK_t/SK_t-1，并发送给云服务供应商，其中SK_t和SK_t-1分别是时间周期t和t-1的审计密钥；

步骤7.3：云服务供应商计算σ_i,t＝σ_i,t-1·auk_t以更新数据块的认证标签。

此过程由数据拥有者和云服务供应商共同完成认证码更新，节约了数据拥有方的计算开销，对资源受限的用户十分友好。

本发明中的安全性分析：

结合上述方案，说明本发明具有良好的安全性。

1、正确性：

2、在可计算的Diffie-Hellman假设和离散对数假设成立的情况下，本发明可抵抗密钥暴露攻击，且在密钥暴露期间生成的认证码也具有安全性。

3、隐私保护：校验者所掌握的跟数据块有关的信息为σ_t和μ。在可计算的Diffie-Hellman假设和离散对数假设成立的情况下，校验者无法根据σ_t和μ在多项式时间内计算出数据块信息，保障了数据隐私。

4、密钥暴露抵抗性：本发明中审计密钥由数据拥有者私钥x和秘密信息β_t组合生成，且秘密信息β_t计算结束后被销毁。在校验过程中公共参数/>被用于验证审计密钥的正确性，即使敌手非法获取私钥x，也无法在不得知β_t的情况下伪造审计密钥使之通过校验。

5、可检测性：对于外包文件F＝{m_i}_1≤i≤n，当云端被损坏的数据块数量为a，挑战数据块数量为c时，本发明具有的可检测性，即损坏数据块被检测到的概率是

6、交易公平性：本发明通过利用区块链的不可篡改性和共识机制实现了数据外包期间的公平交易，仅当数据完整性校验通过，即外包数据保持正确性、完整性时，智能审计合约触发预设交易，执行服务费转账交易，否则，执行罚款转账交易。此过程避免了因双方互不诚实而导致的交易不公平问题。

本发明利用区块链的不可篡改性和共识机制，通过引入智能审计合约和激活合约实现了在不可信环境下的数据外包交易不公平问题，利用随机秘密信息盲化审计密钥使得所提方案可以抵抗密钥暴露攻击，实现了数据块和认证码的前向和后向安全。

Claims (6)

1.一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，包括以下步骤：

步骤1.密钥生成：数据拥有者选择安全参数，生成自己的公钥私钥对和***公共参数；

步骤2.审计密钥生成：在每一个时间周期初期，数据拥有者利用自己的私钥生成这一周期的审计密钥；

步骤3.认证标签生成：数据拥有者将待外包文件分为若干数据块，利用审计密钥为每一数据块生成认证标签，并将认证标签集合和数据块一同上传至云服务器；

步骤4.云服务供应商验证数据并保存：云服务供应商在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存，并和数据拥有者一起部署智能审计合约SAC，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容；

步骤5.证明生成：云服务供应商利用当前区块头信息和***公共参数生成随机挑战，计算用于完整性校验的证明信息，并将证明和辅助信息写入激活合约AC，随后将激活合约部署到区块链上以激活审计合约SAC；

步骤6.云数据完整性校验：区块链上审计合约SAC被激活后校验证明的有效性，并根据校验结果执行预设的交易，同时将结果返回给数据拥有者；

所述方法还包括：

步骤7.认证码更新：当数据拥有者需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息计算审计密钥，计算更新密钥并发送给云服务供应商来执行认证码更新任务；

所述步骤3具体包括：

步骤3.1：在每个时间周期t初期，数据拥有者把待上传的文件F拆成n个数据块，随机选取秘密信息α∈Z_p，其中，Z_p表示模p的有限域，对每个数据块m_i，1≤i≤n，计算认证码其中name∈Z_p是随机选取的元素，表示F的唯一标识，u表示群G₁的一个生成元；

步骤3.2：数据拥有者基于秘密信息α∈Z_p计算辅助公共参数v＝g^α；

步骤3.3：运行签名算法计算w＝name||Sig_ssk(name)，其中||表示将name和Sig_ssk(name)作字符串相连；

步骤3.4：认证码集合和数据文件发送给云服务器；

所述步骤7具体包括：

步骤7.1：当数据拥有者在时间周期t需要更新认证码时，随机选择当前时间段的秘密信息，利用私钥、当前时间戳和秘密信息更新审计密钥SK_t；

步骤7.2：数据拥有者计算在时间周期t时的认证码更新密钥auk_t＝SK_t/SK_t-1，并发送给云服务供应商，其中SK_t和SK_t-1分别是时间周期t和t-1的审计密钥；

步骤7.3：云服务供应商计算σ_i,t＝σ_i,t-1·auk_t以更新数据块的认证标签。

2.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，所述步骤1具体包括：

步骤1.1：数据拥有者选择安全参数λ，运行签名算法Sig生成签名公钥私钥对(spk,ssk)，这里签名算法选择RSA签名算法；

步骤1.2：数据拥有者随机选取元素x∈Z_p作为初始私钥，其中，Z_p表示模p的有限域，私钥sk＝x由数据拥有者管理；

步骤1.3：数据拥有者选取群G₁的生成元g和u，计算公钥g^x∈G₁，得到***公共参数PK＝(G₁,G₂,p,H,h,F,e,g,u,pk)，其中，G₁，G₂表示阶为素数p的乘法循环群，p的长度为λ比特，H(·):{0,1}*→G₁，h(·):G₁→Z_p表示两个加密散列函数，F:{0,1}*→[1,n]为伪随机函数，{0，1}*表示任意比特流，e:G₁×G₁→G₂表示可计算的双线性映射，PK对云服务供应商和校验者公开。

3.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，所述步骤2具体包括：在每一个新的时间周期t初期，数据拥有者随机选取秘密信息β_t∈Z_p，计算审计密钥和对应的公共参数/>

4.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，所述步骤4具体包括：

步骤4.1：云服务器在收到数据块和认证信息后首先验证签名的有效性和数据的完整性，在验证通过后保存；

步骤4.2：数据拥有者和云服务器协商部署智能审计合约SAC，合约内容包括校验算法、辅助完整性检测的公共参数以及与校验结果对应的交易内容。

5.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，所述步骤5具体包括：

步骤5.1：云服务器选取公共状态信息τ作为随机种子，并随机生成挑战{(i,v_i)}_i∈I，其中表示待检测的数据块索引集合，v_i＝h(H(τ||i))，τ包括区块链上最新区块的头信息、时间戳，τ不受云服务器控制，且每次生成证明时都会改变；

步骤5.2：云服务器根据生成的挑战计算选取随机元素s∈Z_p，计算Q＝v^s∈G₁，γ＝h(Q)，μ＝s+γμ'，计算聚合认证信息/>

步骤5.3：云服务器输出数据完整性证明P＝{τ,Q,μ,σ_t}并写入激活合约AC分布到区块链上。

6.根据权利要求1所述的一种支持公平支付的抗密钥暴露的云数据完整性校验方法，其特征在于，所述步骤6具体包括：

步骤6.1：校验者首先将证明信息解析为τ，Q，μ，σ_t，并根据随机种子τ计算挑战{(i,v_i)}_i∈I，I＝{F(τ||i)}_i∈I，计算辅助信息γ＝h(Q)；

步骤6.2：如果成立，则返回True，表示校验成功，否则返回False，表示数据完整性被破坏；

步骤6.3：校验者将结果返回给数据拥有者；

步骤6.4：审计合约SAC根据校验结果执行预设交易，若结果返回True，则执行从数据拥有者账户到云服务供应商账户的服务费交易，否则执行从云服务供应商账户到数据拥有者账户的罚款交易。