CN110430161B - 一种基于区块链的可监管数据匿名分享方法及系统 - Google Patents
一种基于区块链的可监管数据匿名分享方法及系统 Download PDFInfo
- Publication number
- CN110430161B CN110430161B CN201910567412.6A CN201910567412A CN110430161B CN 110430161 B CN110430161 B CN 110430161B CN 201910567412 A CN201910567412 A CN 201910567412A CN 110430161 B CN110430161 B CN 110430161B
- Authority
- CN
- China
- Prior art keywords
- data
- key
- node
- storage position
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于区块链的可监管数据匿名分享方法及系统,所述方法包括:数据使用节点向数据拥有节点发起数据共享请求时,所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;所述代理服务器根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将其发送至数据使用节点;所述数据使用节点通过自身私钥解密得到待共享数据的加密密钥和其在云数据库中的存储位置,提取云数据库中的对应位置数据并根据加密密钥解密获得所述待共享数据。
Description
技术领域
本发明涉及信息技术领域,更具体地,涉及一种基于区块链的可监管数据匿名分享方法及系统。
背景技术
区块链技术打破了传统互联网的中心化特征,使得困扰现代经济的信任危机在一定程度上得以解决。区块链的一个重要特征是数据透明,存储在区块链上的数据对于链上的任一节点都是可见的,虽然这样保证了任何试图私自篡改数据的行为都将被记录和发现,但是这也严重影响了数据的隐私性。某些使用场景下,用户并不希望自己的数据能被任何人随时查看,例如商业或政务领域,政府、公司等的一些机密数据需要严格保密,只在特定场景下将数据的解密权委托给特定用户。因此,如何在区块链上安全地共享隐私数据是一个不小的挑战。
一种容易想到的解决办法是对存储在链上的数据进行加密,但这给有关部门对数据的监管增加了难度。各个机构在链上留存或分享的数据是否合法合规,是否私自将个人用户数据滥用,政府部门或权威机构应该可以依法对公司的数据进行监管审查,对于加密的数据,权威机构需要一种可行的监管方案。
发明内容
为了解决背景技术存在的现有的区块链技术在商业或政务领域下,数据既要求隐私共享又要求实现层级监管的问题,本发明提供了一种基于区块链的可监管数据匿名分享方法及系统,所述方法及系统通过代理重加密算法实现不泄露数据拥有节点私钥和明文的情况下,将密文从数据拥有节点公钥加密转换为数据接收者公钥加密从而实现数据隐私共享;利用树形密钥分发机制的层级属性,解决链上数据的层级监管需求。所述一种基于区块链的可监管数据匿名分享方法包括:
数据使用节点向数据拥有节点发起共享数据请求,所述使用请求包括所述数据使用节点的公钥;所述数据使用节点与所述数据拥有节点位于同一区块链中;
所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;所述数据使用节点以及所述数据拥有节点的公私钥对根据树形密钥派生技术预先获得;
所述代理服务器用于根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置的密文发送至数据使用节点;
所述数据使用节点通过自身私钥解密得到待共享数据的加密密钥和其在云数据库中的存储位置;
所述数据使用节点根据存储位置提取云数据库中的对应数据并通过密钥解密获得所述待共享数据。
进一步的,在所述数据使用节点向数据拥有节点发起使用请求前,所述方法还包括:
所述数据拥有节点生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
将所述数据密文存储至云数据库,并获得其存储位置;
根据自身公钥加密随机密钥及存储位置;
将加密后随机密钥及存储位置在区块链中公布。
进一步的,所述数据匿名分享方法还包括:
计算所述数据明文的哈希值,将哈希值和所述加密后随机密钥及数据密文在云数据库中存储位置一起签名后公布于区块链中;
数据使用节点解密获得待共享数据明文后,利用所述待共享数据明文生成哈希值与链上哈希值对比,若一致则证明数据未被篡改。
进一步的,所述树形密钥派生技术包括:
所述树形密钥派生技术为基于树形结构的密钥派生机制,密钥派生树根节点为联盟链成员管理模块,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥,用于派发成员节点的私钥;所述每个节点根据派发的私钥生成对应的公钥。
进一步的,新加入节点由其父节点请求根节点派发密钥,根节点根据父节点密钥值、路径值及状态值计算新节点的密钥值;
撤销节点时将对应节点的密钥撤销状态值加1,根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥,所述被撤销节点无法通过原有私钥再读取下级节点的任何数据;
所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
进一步的,通过权威节点向下级节点分发密钥,根据密钥生成策略权威节点破解出下级节点的私钥,实现对下级节点加密数据的监管;所述权威节点拥有对所述下级节点监管权限。
所述一种基于区块链的可监管数据匿名分享系统:
所述系统包括数据分享单元、密钥管理单元以及云数据库,所述数据分析单元包括代理服务器;
所述数据分享单元包括一个或多个数据使用节点,一个或多个数据拥有节点;当数据使用节点向数据拥有节点发起使用请求时,所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;通过自身私钥解密代理服务器发送的转化后随机密钥以及存储位置,得到待共享数据的加密密钥和其在云数据库中的存储位置;根据存储位置提取云数据库中的对应数据并通过随机密钥解密获得所述待共享数据;
所述代理服务器用于根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置的密文发送至数据使用节点
所述密钥管理单元用于根据树形密钥派生技术生成各节点公私钥对;
所述云数据库用于存储待共享数据的数据密文。
进一步的,所述数据分享单元还包括数据分享预处理模块:
所述数据分享预处理模块用于生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
所述数据分享预处理模块将所述数据密文存储至云数据库,并获得其存储位置;
所述数据分享预处理模块通过密钥管理单元派生的公钥加密随机密钥及存储位置;
所述数据分享预处理模块将加密后随机密钥及存储位置在区块链中公布。
进一步的,所述数据分享单元还包括哈希值运算模块:
所述哈希值运算模块用于计算所述数据明文的哈希值,将哈希值和所述加密后随机密钥及数据密文在云数据库中存储位置一起签名后公布于区块链中;
所述哈希值运算模块根据数据分享单元获得的待共享数据,计算其哈希值与链上哈希值对比,若一致则证明数据未被篡改。
进一步的,所述树形密钥派生技术包括:
所述树形密钥派生技术为基于树形结构的密钥派生机制,密钥派生树根节点为联盟链成员管理模块,所述联盟链成员管理模块用于派发成员节点的私钥,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥;
所述每个节点根据派发的私钥生成对应的公钥。
进一步的,当新加入节点时由其父节点请求联盟链成员管理模块派发密钥,联盟链成员管理模块根据父节点密钥值、路径值及状态值计算新节点的密钥值;
撤销节点时,所述密钥管理单元将对应节点的密钥撤销状态值加1,根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥;所述被撤销节点无法通过原有私钥再读取下级节点的任何数据;所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
进一步的,所述系统还包括数据监管单元;
所述数据监管单元包括权威节点和下级节点两种实体,所述数据监管单元用于通过权威节点向下级节点分发密钥,根据密钥生成策略权威节点破解出下级节点的私钥,实现对下级节点加密数据的监管。
本发明的有益效果为:本发明的技术方案,给出了一种基于基于区块链的可监管数据匿名分享方法及系统,所述方法及系统通过通过代理重加密算法实现不泄露数据拥有节点私钥和明文的情况下,将只能用数据拥有节点私钥解密的密文转换为能够被数据接收者私钥解密的密文从而实现数据隐私共享;利用树形密钥分发机制的层级属性,解决链上数据的层级监管需求。所述方法采用代理重加密算法和树形密钥分发机制相结合的方法,同时实现了链上加密数据的分级监管以及在多用户间安全可行的隐私数据分享,在保证安全性的同时有效提高了区块链上数据的隐私性,具备隐私性、可监管性和可审计性的特点,在政务、大型公司等需要权威机构监管的联盟链场景下,具有很好的应用前景。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本发明具体实施方式的一种基于区块链的可监管数据匿名分享方法的流程图;
图2为本发明具体实施方式的一种基于区块链的可监管数据匿名分享系统的结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为本发明具体实施方式的一种基于区块链的可监管数据匿名分享方法的流程图;如图1所示,所述方法包括:
步骤110,数据使用节点向数据拥有节点发起共享数据请求,所述使用请求包括所述数据使用节点的公钥;所述数据使用节点与所述数据拥有节点位于同一区块链中;
步骤120,所述数据使用节点以及所述数据拥有节点的公私钥对根据树形密钥派生技术预先获得;
所述密钥派生技术包括:所述树形密钥派生技术为树形密钥分发机制,密钥派生树根节点为联盟链成员管理模块,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥,用于派发成员节点的私钥;所述每个节点根据派发的私钥生成对应的公钥,公钥生成方法为:若私钥表示为skN=(n1,n2),则公钥为密钥生成基于双线性映射原理,其中g为椭圆曲线群的随机生成元,Z=e(g,g);
当有节点新加入时,由其父节点请求根节点派发密钥,根节点根据父节点密钥值、路径值及状态值计算新节点的密钥值,密钥派生策略为:
knew=H(kparent||pathnew||Snew)mod p
kparent是knew的父节点对应的密钥,为已知密钥,pathnew为根节点到knew的路径,Snew代表状态值,H函数是SHA-256摘要算法,||代表串联运算,p是一个素数。
撤销节点时将对应节点的密钥撤销状态值加1;根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥,所述被撤销节点无法通过原有私钥再读取下级节点的任何数据;
所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
进一步的,所述密钥派生机制为通过权威节点向下级节点分发密钥,还可实现权威节点对下级节点数据内容的监管。权威节点可根据密钥生成策略破解出下级节点的私钥,实现对下级节点加密数据的监管;依据哈希算法不可逆特性,权威节点存储的密文下级节点无法解密。
本实施例中,待共享数据事先由数据拥有节点处理并发送至云数据库,故在先的,所述方法包括:所述数据拥有节点生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
将所述数据密文存储至云数据库,并获得其存储位置;
根据自身公钥加密随机密钥及存储位置,加密算法如下:
dek为随机密钥,pos为存储位置,edek为加密后随机密钥,epos为加密后存储位置;
将加密后随机密钥及存储位置在区块链中公布。
步骤130,所述数据拥有节点根据自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;
所述生成重加密密钥算法为:
rkA→B为重加密密钥,skA为数据拥有节点私钥,pkB为数据使用节点公钥,a1为skA的前半部分,b2为pkB的后半部分。
步骤140,所述代理服务器存储所发送的重加密密钥,根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置发送至数据使用节点,所述重加密转化算法为:
根据双线性映射性质有:
通过重加密密钥rkA→B加密所述预先加密的随机密钥edek以及存储位置epos,edek′为加密后随机密钥,epos′为加密后存储位置:
(edek′,epos′)=reencrypt(rkA→B,(edek,epos))
步骤150,所述数据使用节点通过自身私钥解密得到待共享数据的加密密钥和其在云数据库中的存储位置,解密算法如下:
(dek,pos)=decryptpke(skB,(edek′,epos′))
其中,skB为数据使用节点的公钥,依据下式解密得到加密密钥dek和存储位置pos:
步骤160,所述数据使用节点根据存储位置提取云数据库中的对应数据并通过密钥解密获得所述待共享数据;
进一步的,为确保待共享数据的真实性与完整性,所述方法包括:
计算所述数据明文的哈希值,将哈希值和所述加密后随机密钥及数据密文在云数据库中存储位置一起签名后公布于区块链中;
数据使用节点解密获得待共享数据明文后,利用所述待共享数据明文生成哈希值与链上哈希值对比,若一致则证明数据未被篡改。
图2为本发明具体实施方式的一种基于区块链的可监管数据匿名分享系统的结构图,如图2所示,所述系统包括:数据分享单元210、密钥管理单元以220及云数据库230,所述数据分享单元210包括代理服务器211;
所述数据分享单元210包括一个或多个数据使用节点,一个或多个数据拥有节点;当数据使用节点向数据拥有节点发起使用请求时,所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;数据使用节点通过自身私钥解密代理服务器发送的转化后随机密钥以及存储位置,得到待共享数据的加密密钥和其在云数据库中的存储位置;根据存储位置提取云数据库中的对应数据并通过随机密钥解密获得所述待共享数据;
进一步的,所述数据分享单元210还包括数据分享预处理模块:
所述数据分享预处理模块用于生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
所述数据分享预处理模块将所述数据密文存储至云数据库,并获得其存储位置;
所述数据分享预处理模块通过密钥管理单元派生的公钥加密随机密钥及存储位置;
所述数据分享预处理模块将加密后随机密钥及存储位置在区块链中公布。
进一步的,所述数据分享单元210还包括哈希值运算模块212:
所述哈希值运算模块212用于计算所述数据明文的哈希值,将哈希值和所述加密后随机密钥及数据明文在云数据库中存储位置一起签名后公布于区块链中;
所述哈希值运算模块212根据数据分享单元210获得的待共享数据,计算其哈希值与链上哈希值对比,若一致则证明数据未被篡改。
所述代理服务器211用于根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置发送至数据使用节点;
所述密钥管理单元220用于根据树形密钥派生技术生成各节点公私钥对;
进一步的,所述树形密钥派生技术包括:所述树形密钥派生技术为基于树形结构的密钥派生机制,密钥派生树根节点为联盟链成员管理模块,用于派发成员节点的私钥,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥;
所述每个节点根据派发的私钥生成对应的公钥。
进一步的,当新加入节点时由其父节点请求联盟链成员管理模块派发密钥,联盟链成员管理模块根据父节点密钥值、路径值及状态值计算新节点的密钥值;
撤销节点时,所述密钥管理单元220将对应节点的密钥撤销状态值加1,根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥;所述被撤销节点无法通过原有私钥再读取下级节点的任何数据;所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
进一步的,所述系统还包括数据监管单元240;
所述数据监管单元240包括权威节点和下级节点两种实体,所述数据监管单元用于通过权威节点向下级节点分发密钥,根据密钥生成策略权威节点可破解出下级节点的私钥,实现对下级节点加密数据的监管。
所述云数据库230用于存储待共享数据的数据密文。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本公开的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。本说明书中涉及到的步骤编号仅用于区别各步骤,而并不用于限制各步骤之间的时间或逻辑的关系,除非文中有明确的限定,否则各个步骤之间的关系包括各种可能的情况。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本公开的范围之内并且形成不同的实施例。例如,在权利要求书中所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本公开的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(例如,计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本公开进行说明而不是对本公开进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。
以上所述仅是本公开的具体实施方式,应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开精神的前提下,可以作出若干改进、修改、和变形,这些改进、修改、和变形都应视为落在本申请的保护范围内。
Claims (10)
1.一种基于区块链的可监管数据匿名分享方法,所述方法包括:
数据使用节点向数据拥有节点发起共享数据请求,所述共享数据请求包括所述数据使用节点的公钥;所述数据使用节点与所述数据拥有节点位于同一区块链中;
所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;所述数据使用节点以及所述数据拥有节点的公私钥对根据树形密钥派生技术预先获得;
所述代理服务器根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置的密文发送至数据使用节点;
所述数据使用节点通过自身私钥解密得到待共享数据的加密密钥和其在云数据库中的存储位置;
所述数据使用节点根据存储位置提取云数据库中的对应数据并通过密钥解密获得所述待共享数据;
其中,所述方法还包括:所述数据拥有节点生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;将所述数据密文存储至云数据库,并获得其存储位置;根据自身公钥加密随机密钥及存储位置;将加密后随机密钥及存储位置在区块链中公布;
所述树形密钥派生技术包括:
所述树形密钥派生技术为基于树形结构的密钥派生机制,密钥派生树根节点为联盟链成员管理模块,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥,用于派发成员节点的私钥;所述每个节点根据派发的私钥生成对应的公钥。
2.根据权利要求1所述的方法,其特征在于,在所述数据使用节点向数据拥有节点发起使用请求前,所述方法还包括:
所述数据拥有节点生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
将所述数据密文存储至云数据库,并获得其存储位置;
根据自身公钥加密随机密钥及存储位置;
将加密后数据及存储位置在区块链中公布。
3.根据权利要求1或2所述的方法,其特征在于,所述数据匿名分享方法还包括:
计算所述数据明文的哈希值,将哈希值和所述加密后数据密文及云数据库中存储位置一起签名后公布于区块链中;
数据使用节点解密获得共享数据明文后,利用所述共享数据明文生成哈希值与链上哈希值对比,若一致则证明数据未被篡改。
4.根据权利要求1所述的方法,其特征在于:新加入节点由其父节点请求根节点派发密钥,根节点根据父节点密钥值、路径值及状态值计算新节点的密钥值;
撤销节点时将对应节点的密钥撤销状态值加1,根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥,被撤销节点无法通过原有私钥再读取下级节点的任何数据;所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
5.根据权利要求1所述的方法,其特征在于:通过权威节点向下级节点分发密钥,根据密钥生成策略权威节点破解出下级节点的私钥,实现对下级节点加密数据的监管;所述权威节点拥有对下级节点的监管权限。
6.一种基于区块链的可监管数据匿名分享系统,所述系统包括数据分享单元、密钥管理单元以及云数据库,所述数据分析单元包括代理服务器;
所述数据分享单元包括一个或多个数据使用节点,一个或多个数据拥有节点;当数据使用节点向数据拥有节点发起使用请求时,所述数据拥有节点通过自身私钥以及所述数据使用节点公钥生成重加密密钥,并将所述重加密密钥发送至代理服务器;数据使用者通过自身私钥解密代理服务器发送的转化后随机密钥以及存储位置密文,得到待共享数据的加密密钥和其在云数据库中的存储位置;根据存储位置提取云数据库中的对应数据并通过随机密钥解密获得所述待共享数据;
所述代理服务器用于根据所述重加密密钥对数据拥有节点所用于预先加密明文数据的随机密钥及数据密文存储在云服务器的位置,根据数据拥有节点公钥加密后共同作为密文进行重加密转化,并将转化后的随机密钥以及存储位置的密文发送至数据使用节点;
所述密钥管理单元用于根据树形密钥派生技术生成各节点公私钥对;
所述云数据库用于存储待共享数据的数据密文;
其中,所述系统还包括:
数据公布单元,用于使所述数据拥有节点生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;将所述数据密文存储至云数据库,并获得其存储位置;根据自身公钥加密随机密钥及存储位置;将加密后随机密钥及存储位置在区块链中公布;
其中,所述树形密钥派生技术包括:
所述树形密钥派生技术为基于树形结构的密钥派生机制,密钥派生树根节点为联盟链成员管理模块,所述联盟链成员管理模块由一组可信节点组成,每个节点持有一个密钥,所有节点密钥合成密钥树的根密钥,用于派发成员节点的私钥;所述每个节点根据派发的私钥生成对应的公钥。
7.根据权利要求6所述的系统,其特征在于,所述数据分享单元还包括数据分享预处理模块:
所述数据分享预处理模块用于生成随机密钥,并利用该随机密钥加密待共享数据明文得到数据密文;
所述数据分享预处理模块将所述数据密文存储至云数据库,并获得其存储位置;
所述数据分享预处理模块通过密钥管理单元派生的公钥加密随机密钥及存储位置;
所述数据分享预处理模块将加密后的随机密钥及密文存储位置在区块链中公布。
8.根据权利要求6或7所述的系统,其特征在于,所述数据分享单元还包括哈希值运算模块:
所述哈希值运算模块用于计算所述数据明文的哈希值,将哈希值和所述加密后随机密钥及数据密文在云数据库中的存储位置一起签名后公布于区块链中;
所述哈希值运算模块根据数据分享单元获得的待共享数据,计算其哈希值与链上哈希值对比,若一致则证明数据未被篡改。
9.根据权利要求6所述的系统,其特征在于:
当新加入节点时由其父节点请求联盟链成员管理模块派发密钥,所述联盟链成员管理模块根据父节点密钥值、路径值及状态值计算新节点的密钥值;
撤销节点时,所述密钥管理单元将对应节点的密钥撤销状态值加1,根据密钥生成策略公式重新计算密钥,分配给接替此节点位置的新用户,并对撤销节点的所有下级节点重新计算、更新密钥;被撤销节点无法通过原有私钥再读取下级节点的任何数据;所述撤销状态值及路径值为计算每个节点密钥的散列因子,所述节点初始建立时撤销状态值为0,用于表示从未撤销过;当撤销节点时,所述撤销状态值加1,用于表示该节点进行过一次撤销。
10.根据权利要求6所述的系统,其特征在于,所述系统还包括数据监管单元:
所述数据监管单元具有权威节点和下级节点两种实体,所述数据监管单元用于通过权威节点向下级节点分发密钥,根据密钥生成策略权威节点破解出下级节点的私钥,实现对下级节点加密数据的监管。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910567412.6A CN110430161B (zh) | 2019-06-27 | 2019-06-27 | 一种基于区块链的可监管数据匿名分享方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910567412.6A CN110430161B (zh) | 2019-06-27 | 2019-06-27 | 一种基于区块链的可监管数据匿名分享方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110430161A CN110430161A (zh) | 2019-11-08 |
CN110430161B true CN110430161B (zh) | 2021-08-17 |
Family
ID=68409769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910567412.6A Active CN110430161B (zh) | 2019-06-27 | 2019-06-27 | 一种基于区块链的可监管数据匿名分享方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110430161B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111008855B (zh) * | 2019-12-10 | 2024-02-13 | 上海信联信息发展股份有限公司 | 一种基于改进代理重加密的追溯数据访问控制方法 |
CN111191288B (zh) * | 2019-12-30 | 2023-10-13 | 中电海康集团有限公司 | 一种基于代理重加密的区块链数据访问权限控制方法 |
CN111353165A (zh) * | 2020-01-16 | 2020-06-30 | 湖南智慧政务区块链科技有限公司 | 一种区块链数据监管方法和系统、设备及存储介质 |
CN111327426B (zh) * | 2020-01-21 | 2021-06-25 | 腾讯科技(深圳)有限公司 | 数据共享方法及相关装置、设备及系统 |
CN111275406B (zh) * | 2020-02-13 | 2023-07-28 | 布比(北京)网络技术有限公司 | 区块链交易合约审计方法、装置、计算机设备和存储介质 |
CN111415718B (zh) * | 2020-02-29 | 2024-02-09 | 沈培君 | 一种基于区块链和条件代理重加密的电子处方共享方法 |
CN111611609B (zh) * | 2020-04-07 | 2023-05-23 | 布比(北京)网络技术有限公司 | 基于安全多方计算与区块链的风险数据分享方法及系统 |
CN111526197B (zh) * | 2020-04-24 | 2023-05-09 | 远光软件股份有限公司 | 一种云端数据安全共享方法 |
CN112953712B (zh) * | 2021-02-19 | 2022-10-18 | 昆明理工大学 | 一种基于零知识证明和同态加密的数据跨链共享方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063752A (zh) * | 2017-11-02 | 2018-05-22 | 暨南大学 | 一种基于区块链与代理重加密技术的可信基因检测及数据共享方法 |
CN108428121A (zh) * | 2018-02-08 | 2018-08-21 | 布比(北京)网络技术有限公司 | 一种对方计算的数据共享与激励方法及系统 |
CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10528551B2 (en) * | 2017-09-29 | 2020-01-07 | Oracle International Corporation | System and method for providing a representational state transfer proxy service for a blockchain cloud service |
-
2019
- 2019-06-27 CN CN201910567412.6A patent/CN110430161B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063752A (zh) * | 2017-11-02 | 2018-05-22 | 暨南大学 | 一种基于区块链与代理重加密技术的可信基因检测及数据共享方法 |
CN108428121A (zh) * | 2018-02-08 | 2018-08-21 | 布比(北京)网络技术有限公司 | 一种对方计算的数据共享与激励方法及系统 |
CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
Non-Patent Citations (1)
Title |
---|
"属性代理重加密的区块链密文云存储共享研究";张小红等;《系统仿真学报》;20190218;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110430161A (zh) | 2019-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110430161B (zh) | 一种基于区块链的可监管数据匿名分享方法及系统 | |
Sanka et al. | Secure data access in cloud computing | |
CN114039790B (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
CN112367305A (zh) | 一种基于隐私区块链的车联网保护方法和移动终端 | |
CN104168108B (zh) | 一种泄露密钥可追踪的属性基混合加密方法 | |
CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
CN104901942A (zh) | 一种基于属性加密的分布式访问控制方法 | |
Deng et al. | Policy-based broadcast access authorization for flexible data sharing in clouds | |
Hahn et al. | Efficient IoT management with resilience to unauthorized access to cloud storage | |
Yan et al. | Attribute-based encryption in cloud computing environment | |
Zhang et al. | Cerberus: Privacy-preserving computation in edge computing | |
CN114826759A (zh) | 一种可验证的细粒度访问控制内积函数加密方法 | |
Guo et al. | A multifactor combined data sharing scheme for vehicular fog computing using blockchain | |
Fugkeaw et al. | An efficient medical records access control with auditable outsourced encryption and decryption | |
CN114095171A (zh) | 一种基于身份的可穿刺代理重加密方法 | |
Wang et al. | Lightweight and secure data sharing based on proxy re-encryption for blockchain-enabled industrial internet of things | |
Zhang et al. | Cbdds: Secure and revocable cache-based distributed data sharing for vehicular networks | |
Patel et al. | Data storage security model for cloud computing | |
Wang et al. | Blockchain-Based Secure Cross-Domain Data Sharing for Edge-Assisted Industrial Internet of Things | |
Meng et al. | A novel attribute-based signcryption scheme in cloud computing environments | |
Pei et al. | Security enhanced attribute based signcryption for private data sharing in cloud | |
CN115604030A (zh) | 数据共享方法、装置、电子设备和存储介质 | |
CN114629640A (zh) | 一种解决密钥托管问题的白盒可追责属性基加密系统及其方法 | |
CN114866244A (zh) | 基于密文分组链接加密的可控匿名认证方法、系统及装置 | |
Dutta et al. | Hybrid Encryption Technique to Enhance Security of Health Data in Cloud Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20191108 Assignee: Cedar golden Services Technology (Guangzhou) Co.,Ltd. Assignor: BUBI (BEIJING) NETWORK TECHNOLOGY Co.,Ltd. Contract record no.: X2021990000108 Denomination of invention: An anonymous sharing method and system of supervised data based on blockchain License type: Common License Record date: 20210218 |
|
EE01 | Entry into force of recordation of patent licensing contract | ||
GR01 | Patent grant | ||
GR01 | Patent grant |