本發(fā)明涉及一種面向外包流式數(shù)據(jù)的查詢完整性驗(yàn)證方法，該系統(tǒng)包括初始化模塊、數(shù)據(jù)管理模塊和查詢驗(yàn)證模塊。初始化模塊用于系統(tǒng)啟動(dòng)時(shí)數(shù)據(jù)擁有者生成公私鑰等系統(tǒng)所需的參數(shù)，并將公鑰分發(fā)給服務(wù)器和數(shù)據(jù)使用者；數(shù)據(jù)管理模塊用于數(shù)據(jù)擁有者將實(shí)時(shí)的流式數(shù)據(jù)外包到服務(wù)器，之后需要對(duì)服務(wù)器端之前存儲(chǔ)的數(shù)據(jù)進(jìn)行更改時(shí)，執(zhí)行更新數(shù)據(jù)子模塊對(duì)數(shù)據(jù)及相應(yīng)的證據(jù)進(jìn)行更新；查詢驗(yàn)證模塊用戶數(shù)據(jù)使用者對(duì)服務(wù)器存儲(chǔ)的數(shù)據(jù)進(jìn)行查詢，將會(huì)得到服務(wù)器返回的對(duì)應(yīng)查詢索引的數(shù)據(jù)以及相應(yīng)的證據(jù)，并利用其返回的證據(jù)來驗(yàn)證查詢結(jié)果是否正確。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種面向外包流式數(shù)據(jù)的查詢完整性驗(yàn)證系統(tǒng)及方法。

背景技術(shù)

隨著云計(jì)算的發(fā)展和物聯(lián)網(wǎng)應(yīng)用的普及，數(shù)據(jù)量和用戶數(shù)快速增長(zhǎng)，數(shù)據(jù)流被廣泛應(yīng)用于當(dāng)今的信息系統(tǒng)。如傳感器實(shí)時(shí)采集到的氣溫、氣壓及PM2.5等數(shù)據(jù)，可穿戴醫(yī)療設(shè)備實(shí)時(shí)監(jiān)控到的血壓、心率等數(shù)據(jù)，或DNA計(jì)算服務(wù)器生成的DNA數(shù)據(jù)等，都可以看作為流式數(shù)據(jù)。由于流式數(shù)據(jù)的數(shù)據(jù)量龐大，且不斷產(chǎn)生，使得設(shè)備對(duì)數(shù)據(jù)的存儲(chǔ)、管理與維護(hù)變得更具挑戰(zhàn)性。許多設(shè)備受到存儲(chǔ)資源或計(jì)算資源的限制，更愿意將這些數(shù)據(jù)外包到資源強(qiáng)大的第三方服務(wù)器進(jìn)行存儲(chǔ)和管理，當(dāng)數(shù)據(jù)使用者需要用到這些數(shù)據(jù)時(shí)，再從服務(wù)器所存儲(chǔ)的數(shù)據(jù)庫中進(jìn)行查詢。

然而，由于數(shù)據(jù)脫離了擁有者的物理控制，使用者無法確認(rèn)服務(wù)器返回的數(shù)據(jù)是否為正確且完整的。此外，由于第三方服務(wù)器不一定是可信的，惡意的服務(wù)器可能會(huì)對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行篡改，或?qū)?shù)據(jù)流中數(shù)據(jù)的順序進(jìn)行交換，使得用戶在不知情的情況下接收到錯(cuò)誤的查詢結(jié)果，并可能造成很大的損失，如DNA序列中數(shù)據(jù)順序的一點(diǎn)點(diǎn)不同就將導(dǎo)致診斷結(jié)果的不同。因此，保證用戶可以從第三方服務(wù)器查詢或更新數(shù)據(jù)記錄，并能夠檢測(cè)和驗(yàn)證所查詢數(shù)據(jù)的完整性具有重要的意義。

為了實(shí)現(xiàn)安全的查詢，一種最簡(jiǎn)單的方式是用戶從第三方下載所有的數(shù)據(jù)流信息并且驗(yàn)證它們。然而，流式數(shù)據(jù)是一個(gè)動(dòng)態(tài)的、實(shí)時(shí)增長(zhǎng)的數(shù)據(jù)集合，想要將其全部下載下來是不可行的。又或者，可以在發(fā)送給服務(wù)器之前先對(duì)每個(gè)數(shù)據(jù)元素進(jìn)行數(shù)字簽名，但是這種方法不僅效率低下，且不能保證流式數(shù)據(jù)中數(shù)據(jù)之間的先后順序，并且只有擁有簽名值的人才能對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證。針對(duì)上述問題，為了實(shí)現(xiàn)高效且安全的外包流式數(shù)據(jù)查詢，許多人研究并實(shí)現(xiàn)了針對(duì)流式數(shù)據(jù)查詢完整性驗(yàn)證的方案。但仍然存在著很多問題，比如需要預(yù)先定義好外包流式數(shù)據(jù)的數(shù)據(jù)總量或者附加數(shù)據(jù)操作開銷過大不適用于實(shí)際場(chǎng)景等。目前針對(duì)流式數(shù)據(jù)的數(shù)據(jù)量大、實(shí)時(shí)產(chǎn)生的特點(diǎn)，如何更加安全、高效地對(duì)其進(jìn)行查詢及完整性驗(yàn)證具有十分廣闊的研究意義和應(yīng)用價(jià)值。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的不足，提供一種面向外包流式數(shù)據(jù)的查詢完整性驗(yàn)證系統(tǒng)及方法。

本發(fā)明的技術(shù)方案如下：

一種面向外包流式數(shù)據(jù)的查詢完整性驗(yàn)證系統(tǒng)，包括初始化模塊、數(shù)據(jù)管理模塊和查詢驗(yàn)證模塊，在數(shù)據(jù)使用者、數(shù)據(jù)擁有者、服務(wù)器三個(gè)實(shí)體的作用下運(yùn)行。

所述的初始化模塊主要包括密鑰生成和通信功能兩個(gè)子模塊。系統(tǒng)在啟動(dòng)時(shí)，系統(tǒng)中的實(shí)體首先會(huì)建立通信連接，數(shù)據(jù)擁有者通過執(zhí)行密鑰生成子模塊生成公私鑰等系統(tǒng)所需的參數(shù)，然后通過通信功能將公鑰分發(fā)給服務(wù)器和數(shù)據(jù)使用者。

所述的數(shù)據(jù)管理模塊主要包括附加數(shù)據(jù)和更新數(shù)據(jù)兩個(gè)子模塊。附加數(shù)據(jù)子模塊和更新數(shù)據(jù)子模塊的執(zhí)行者都為數(shù)據(jù)擁有者，數(shù)據(jù)擁有者將實(shí)時(shí)的流式數(shù)據(jù)不斷外包給服務(wù)器，即依次附加數(shù)據(jù)到服務(wù)器。當(dāng)之后需要對(duì)服務(wù)器端之前存儲(chǔ)的數(shù)據(jù)進(jìn)行更改時(shí)，數(shù)據(jù)擁有者執(zhí)行更新數(shù)據(jù)子模塊來對(duì)數(shù)據(jù)及相應(yīng)的證據(jù)進(jìn)行更新。

所述的查詢驗(yàn)證模塊主要包括查詢數(shù)據(jù)和查詢結(jié)果驗(yàn)證兩個(gè)子模塊。當(dāng)數(shù)據(jù)使用者想要查詢數(shù)據(jù)時(shí)，通過執(zhí)行查詢數(shù)據(jù)子模塊將會(huì)得到服務(wù)器返回的對(duì)應(yīng)查詢索引的數(shù)據(jù)以及相應(yīng)的證據(jù)，之后執(zhí)行查詢結(jié)果驗(yàn)證子模塊利用服務(wù)器返回的證據(jù)驗(yàn)證查詢結(jié)果是否正確。

運(yùn)用一種面向外包流式數(shù)據(jù)的查詢完整性驗(yàn)證系統(tǒng)，進(jìn)行流式數(shù)據(jù)查詢完整性驗(yàn)證的方法，包括以下步驟：