1.本发明属于数据与网络安全领域,尤其是涉及一种本地数据可信存储的方法及装置。
背景技术:
2.随着物联网相关技术的发展,以边缘计算为核心的新理念正在改变现有以云计算为核心的集中式数据存储的互联网体系架构。主要包括两个方面:一是海量终端设备及其传感器,时刻产生大量的数据,限于网络带宽无法及时传递到云端;二是边缘端的智能处理要求,不能忍受云端处理带来的时延。后续的互联网存储结构,将是“边缘存储+云存储”协同的存储结构。但随之而来的,边缘存储的数据可信性,即怎样防止数据被篡改,成为了一个重要的安全问题。
3.目前防止数据篡改算法都是对数据用单向散列算法(例如md5和sha1)进行计算,之后将散列值(也称原数据的信息摘要)公开发布。数据稍微不同,其散列值总是不同的,故数据的单向散列值也叫原数据的“指纹”。目前确保数据可信的一般采用非对称加密算法,其加密密钥和解密密钥是不同的,分别称为公钥和私钥。公钥一般是公开的,人人可获取的,私钥一般是个人自己持有,不能被他人获取。公私钥分开,不安全通道也可使用。
4.基于上述方式的数据可信存储、发布存在如下问题:一是基于ca认证和pki管理的数字证书机制,不适用于海量的边缘计算设备,同时提高了应用成本;二是ca和pki机构的安全性和可信度存在风险;三是无法防止边缘设备主动修改已记录或发布的数据,从而欺瞒云端设备。
技术实现要素:
5.本发明要解决的技术问题是怎样克服现有数据可信存储方法和技术的不足,为“边缘存储+云存储”的协同存储方式确保文件内容没被修改过,提出了一种本地数据可信存储的方法及装置。
6.为解决上述技术问题,本发明所采用的技术方案是:一种本地数据可信存储的方法,包括以下步骤:步骤1:将所有边缘计算设备的边缘存储装置互联形成存储装置网;步骤2:对每一个边缘存储装置在本地存储的数据定时创建数据文件进行存储,所述数据文件包括当前时刻本地存储的数据以及上一时刻数据文件生成的摘要,对当前数据文件进行摘要,一个边缘存储装置在各时刻的数据文件连接形成链状的数据存储集;步骤3:对各边缘存储装置上数据文件的摘要定时收集汇总形成一条可信证据,将当前时刻的可信证据与上一时刻可信证据记录的摘要一起进行摘要形成一条可信证据记录,将该条可信证据记录通过存储装置网广播给其他边缘存储装置,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上。
7.进一步地,步骤3中的可信证据记录还包括生成该条可信证据记录的边缘存储装
置的签名,每次生成可信证据记录的边缘存储装置不同,所述存储装置网定时推举一台边缘存储装置来生成可信证据记录。
8.进一步地,所述通过存储装置网定时推举一台边缘存储装置的方法是:步骤3.1:每一台边缘存储装置定时检查本地可信证据集,判断上一时刻的可信证据记录是否由本边缘存储装置产生,若是则由本边缘存储装置来推举当前时刻用来生成可信证据记录的边缘存储装置;步骤3.2:剔除当前边缘存储装置和曾经被推举成功的次数大于预设值的边缘存储装置;步骤3.3:从剩余边缘存储装置集合中随机推举一个边缘存储装置来生成当前的可信证据记录,并向全网广播。
9.进一步地,步骤3中,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上的方法是:各边缘存储装置接收广播的可信证据记录,若本地存有历史可信证据集,则将新接收的可信证据记录与本地历史可信证据集中最后一条可信证据记录的摘要信息进行匹配,若一致,则将新接收的可信证据记录加入到本地可信证据集,不一致,则放弃该条可信证据记录;若本地没有存储历史可信证据集,则将接收到的可信证据记录进行保存,将所有接收到的可信证据记录通过各可信证据记录中的摘要进行匹配,直到相匹配的可信证据记录数量大于规定的数量,则将匹配的各可信证据记录形成链状的可信证据集保存在本地。
10.进一步地,步骤1中将所有边缘计算设备的边缘存储装置互联形成存储装置网的方法是:使用p2p网络互联。
11.本发明还提供了一种本地数据可信存储装置,包括以下模块:构建存储装置网模块:用于将所有边缘计算设备的边缘存储装置互联形成存储装置网;存储记录集形成模块:用于对每一个边缘存储装置在本地存储的数据定时创建数据文件进行存储,所述数据文件包括当前时刻本地存储的数据以及上一时刻数据文件生成的摘要,对当前数据文件进行摘要,一个边缘存储装置在各时刻的数据文件连接形成链状的数据存储集;可信证据集形成模块:用于对各边缘存储装置上数据文件的摘要定时收集汇总形成一条可信证据,将当前时刻的可信证据与上一时刻可信证据记录的摘要一起进行摘要形成一条可信证据记录,将该条可信证据记录通过存储装置网广播给其他边缘存储装置,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上。
12.采用上述技术方案,本发明具有如下有益效果:本发明提供的一种本地数据可信存储的方法及装置,通过将存储装置互联,并将本地存储装置各时刻存储的文件通过摘要进行连接形成链状的数据存储集,另外对各边缘存储装置上数据文件的摘要定时收集汇总形成一条可信证据,将当前时刻的可信证据与上一时刻可信证据记录的摘要一起进行摘要形成一条可信证据记录,通过各时刻可信证据记录的摘要将可信证据记录形成链状的可信证据集。一方面将各时刻存储的数据文件之间进行了关联,另一方面也增加了数据文件修改的代价;如果某一批次的数据被修改了,为保证
存储集的合法性,需要对之后所有的数据重新计算摘要,并重新进行发布。而链状的证据集使得重新发布的摘要信息无法取代之前已经发布过的可信证据记录,而只能作为新的可信证据记录添加到证据集的末尾,从而实现了存储数据的可信性。将可信证据记录进行广播,当某个第三方需要对某一批数据的可信度进行核查时,它可以从任何一个设备的存储装置中获取该数据的可信证据(摘要),并检查这些摘要信息是否与数据匹配。由于可信证据记录通过互联的存储装置网定时推举某一边缘存储装置进行维护,由于这个推举出来的某一边缘存储装置对这些可信证据集进行了认证,因而能够确保数据可信;由于每次推举的节点是随机的,因此可以实现可信存储。
附图说明
13.图1为本发明系统流程图;图2为存储装置网示意图;图3为数据存储集和可信证据集示意图;图4为通过存储装置网定时推举一台边缘存储装置示意图;图5为可信证据集形成示意图。
具体实施方式
14.下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
15.实施例一:图1示出了本发明一种本地数据可信存储的方法的具体实施例,包括以下步骤:步骤1:将所有边缘计算设备的边缘存储装置互联形成存储装置网。本实施例中,如图2所示,使用p2p网络将所有的边缘存储装置互联,使得存储装置网之间的网状网络互联和数据交互,从而使得可以在存储装置网之间同步共享信息。
16.步骤2:对每一个边缘存储装置在本地存储的数据定时创建数据文件进行存储,所述数据文件包括当前时刻本地存储的数据以及上一时刻数据文件计算的摘要,对当前数据文件计算摘要,一个边缘存储装置在各时刻的数据文件连接形成链状的数据存储集。本实施例中,定时对本地存储装置进行一次记录创建数据文件,并且数据文件中包括上一时刻的数据文件计算的摘要形成链状的数据存储集,当有人更改某一时刻的存储数据时,为保证数据存储集的合法性一致性,就需要对之后时刻所有的数据重新计算摘要,增加了数据修改的代价。
17.步骤3:对各边缘存储装置上数据文件的摘要定时收集汇总形成一条可信证据,将当前时刻的可信证据与上一时刻可信证据记录的摘要一起进行摘要形成一条可信证据记录,将该条可信证据记录通过存储装置网广播给其他边缘存储装置,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上。本实施例中,每一条可信证据记录中包括了存储装置网中每个边缘存储装置某一时刻数据文件的摘要,也就是可信证据记录中的一个条目就是一个边缘存储装置上一个数据文件的摘要,并且还包括上一时刻可信证据记录的摘要,进而形成链状的可信证据集,且可信证据集是通过每个时刻的可信
证据记录进行匹配验证在本地的存储装置上形成,每个边缘存储装置上都有可信证据集。当需要对某一批数据的可信度进行核查时,可以从任何一个边缘存储装置中获取该数据的可信证据(摘要),并检查这些摘要信息是否与数据匹配。因此,当有人更改某一时刻的存储数据时,为保证数据存储集的合法性一致性,就需要对之后时刻所有的数据重新计算摘要,不仅增加了数据修改的代价。而链状的可信证据集使得重新发布的摘要信息无法取代之前已经发布过的可信证据记录,而只能作为新的可信证据记录添加到可信证据集的末尾,从而实现了存储数据的可信性和不可篡改性。与传统方法相比,完全摆脱了传统集中式的认证、用户权限管理的限制,因此不会限制存储装置的数量,从而可用于大规模网络。
18.如图3所示,数据存储集是由各时刻数据文件链接而成的,每一个本地数据文件n,其不仅包含了本时刻数据文件的内容,还包含上一时刻数据文件n-1的摘要,将本时刻数据文件的内容和上一时刻数据文件的摘要一起生成摘要,作为下一时刻数据文件中的摘要。可信证据集中,一个条目就是一个边缘存储装置上一个数据文件的摘要,定时收集的所有边缘存储装置上数据文件的摘要信息形成一条可信证据,加上上一时刻可信证据记录的摘要形成一条可信证据记录。
19.本实施例中,步骤3中的可信证据记录还包括生成该条可信证据记录的边缘存储装置的签名,每次生成可信证据记录的边缘存储装置不同,所述存储装置网定时推举一台边缘存储装置来生成可信证据记录。通过签名,确认每一次生成可信证据记录的边缘存储装置,且每一次生成可信证据记录的边缘存储装置是不同的,是随机推举的,使可信证据记录在互联的存储装置网之间传递,备份,确保边缘存储装置中数据文件的可信性以及不可篡改性。
20.本实施例中,如图4所示,通过存储装置网定时推举一台边缘存储装置的方法是:步骤3.1:每一台边缘存储装置定时检查本地可信证据集,判断上一时刻的可信证据记录是否由本边缘存储装置产生,若是则由本边缘存储装置来推举当前时刻用来生成可信证据记录的边缘存储装置;步骤3.2:剔除当前边缘存储装置和曾经被推举成功的次数大于预设值的边缘存储装置。每个边缘存储装置都可能被推举出来,以生成当前的可信证据记录。为确保可信,需要避免总是由同一台设备生成可信证据记录,若如此,一旦该设备被非法控制,就能够修改所有的可信证据记录,从而导致记录被篡改;通过此步骤,可以排除上一次被推举的边缘存储装置,以及产生过较多可信证据记录的边缘存储装置,本实施例中,预设值为被推举平均数的两倍。
21.步骤3.3:从剩余边缘存储装置集合中随机推举一个边缘存储装置来生成当前的可信证据记录,并向全网广播。
22.本实施例中,如图5所示,步骤3中,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上的方法是:各边缘存储装置接收广播的可信证据记录,若本地存有历史可信证据集,则将新接收的可信证据记录与本地历史可信证据集中最后一条可信证据记录的摘要信息进行匹配,若一致,则将新接收的可信证据记录加入到本地可信证据集,不一致,则放弃该条可信证据记录;若本地没有存储历史可信证据集,则将接收到的可信证据记录进行保存,将所有
接收到的可信证据记录通过各可信证据记录中的摘要进行匹配,直到相匹配的可信证据记录数量大于规定的数量,则将匹配的各可信证据记录形成链状的可信证据集保存在本地。当存储装置网中有其他新联网的存储装置时,向新的存储装置推送可信证据记录。每一次只将一条可信证据记录进行广播,各边缘存储装置通过可信证据记录与本地历史可信证据集中最后一条可信证据记录的摘要信息进行匹配验证,只有摘要一致的可信证据记录才能被保存到本地的可信证据集中,且对于新入网的边缘存储装置,也给出了怎样建立可信证据集。由于可信证据集中的每条可信证据记录都是通过存储装置网广播获得的,所以各边缘存储装置上的可信证据集是相同的,当第三方需要对某一个数据文件进行验证时,可以从任意一台边缘存储装置的可信证据集中提取该数据文件的摘要进行验证。
23.本发明是在p2p网状网络中共享本地数据的摘要信息,是一种完全不依赖于集中式授权管理模式的数据可信存储方法,通过推举式的自维护方式实现可信证据集的不断跟新,是一种面向大型网络结构的数据存储可信解决方法。本发明可以应用于大型分布式系统日志信息可信记录以及智能家居系统电器操作与健康状态可信记录等诸多领域。
24.实施例二:本发明还提供了一种本地数据可信存储装置,包括以下模块:构建存储装置网模块:用于将所有边缘计算设备的边缘存储装置互联形成存储装置网;存储记录集形成模块:用于对每一个边缘存储装置在本地存储的数据定时创建数据文件进行存储,所述数据文件包括当前时刻本地存储的数据以及上一时刻数据文件生成的摘要,对当前数据文件进行摘要,一个边缘存储装置在各时刻的数据文件连接形成链状的数据存储集;可信证据集形成模块:用于对各边缘存储装置上数据文件的摘要定时收集汇总形成一条可信证据,将当前时刻的可信证据与上一时刻可信证据记录的摘要一起进行摘要形成一条可信证据记录,将该条可信证据记录通过存储装置网广播给其他边缘存储装置,各时刻的可信证据记录连接形成链状的可信证据集存储在本地的边缘存储装置上。
25.通过可信存储装置使得每一个边缘存储装置按需部署在边缘计算设备或云计算设备上,使用基于p2p网络建立的相互间网状互联,实现可信证据集的同步维护,从而保证了每个存储装置上的数据可信存储。
26.最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。