[发明专利]一种基于SGX的云数据完整性审计方法及装置

说明书

本发明提供了一种基于SGX的云数据完整性审计方法及装置，包括：通过预先构建的安全通信通道接收用户端发送的外包文件标识符及对应的外包文件哈希值；通过本地可信容器并利用外包文件标识符及外包文件哈希值验证外包文件的数据完整性。本申请通过SGX技术(处理器安全技术)在云服务器上建立一个可信容器进行审计验证，使得在确保支持对云存储数据的完整性审计的同时避免了用户端进行复杂计算(例如生成数据块标签)，同时用户端服务器通过少量的计算开销和通信开销就可以支持数据的完整性验证。

技术领域

本申请属于可信云计算技术领域，具体地讲，涉及一种基于SGX的云数据完整性审计方法及装置。

背景技术

云存储服务越来越受到人们的青睐，云存储使得人们可以通过网络在何时何地都能够获取到自己数据和分享自己的数据，同时也释放了用户对存储的维护和管理。但是，将数据存储到云服务器中，用户失去了对数据的物理控制，从而使用传统的方法无法验证数据的完整性。针对上述问题，已有的解决方案是对数据进行预处理生成相应的数据块标签集合和其他的一些辅助验证的元数据。然后用户将文件数据和对应生成的元数据传送到云服务器。之后，用户可以对云服务器发起挑战。云服务器根据挑战信息和前面提到的元数据生成对应的证据信息，并发送给用户进行验证。若验证成功，则说明数据是保存完整的，否则数据存在损坏。然而，这会带来用户严重的计算开销，同时也增加用户端和云服务器端的通信开销。

发明内容

本申请提供了一种基于SGX的云数据完整性审计方法及装置，以至少解决现有的云审计方法中用户端服务器计算资源开销严重且用户端与云服务器端通信开销较大的问题。

根据本申请的一个方面，提供了一种基于SGX的云数据完整性审计方法，包括：

通过预先构建的安全通信通道接收用户端发送的外包文件标识符及对应的外包文件哈希值；

通过本地可信容器并利用外包文件标识符及外包文件哈希值验证外包文件的数据完整性。

在一实施例中，云数据完整性审计方法还包括：

接收用户端上传的外包文件及外包文件对应的文件签名，并利用外包文件验证文件签名的完整性和有效性。

在一实施例中，构建安全通信通道的过程包括：

对用户端进行通信信任验证；

验证通过后，构建用户端与预先创建的本地可信容器之间的安全通信通道。

在一实施例中，通过本地可信容器并利用外包文件标识符及外包文件哈希值验证外包文件的数据完整性，包括：

根据外包文件标识符将对应的外包文件加载至可信容器中；

对可信容器中的外包文件进行哈希值计算获得校验哈希值；

通过对比校验哈希值与外包文件哈希值验证外包文件的数据完整性。

在一实施例中，利用外包文件验证文件签名的完整性和有效性，包括：

对外包文件进行哈希值计算得到验证哈希值；

利用用户端上传的公钥、外包文件对应的外包文件标识符及验证哈希值对文件签名进行验证。

根据本申请的另一个方面，还提供了一种基于SGX的云数据完整性审计装置包括：

接收单元，用于通过预先构建的安全通信通道接收用户端发送的外包文件标识符及对应的外包文件哈希值；

数据完整性验证单元，用于通过本地可信容器并利用外包文件标识符及外包文件哈希值验证外包文件的数据完整性。

在一实施例中，云数据完整性审计装置还包括：