CN110807206B - 一种基于区块链和属性密码的高校证书存储管理系统 - Google Patents

一种基于区块链和属性密码的高校证书存储管理系统 Download PDF

Info

Publication number
CN110807206B
CN110807206B CN201910946948.9A CN201910946948A CN110807206B CN 110807206 B CN110807206 B CN 110807206B CN 201910946948 A CN201910946948 A CN 201910946948A CN 110807206 B CN110807206 B CN 110807206B
Authority
CN
China
Prior art keywords
certificate
block chain
attribute
college
sdk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910946948.9A
Other languages
English (en)
Other versions
CN110807206A (zh
Inventor
阚海斌
汪啟扬
刘百祥
张新鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fudan University
Original Assignee
Fudan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fudan University filed Critical Fudan University
Priority to CN201910946948.9A priority Critical patent/CN110807206B/zh
Publication of CN110807206A publication Critical patent/CN110807206A/zh
Application granted granted Critical
Publication of CN110807206B publication Critical patent/CN110807206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于证书管理技术领域,具体为一种基于区块链和属性密码的高校证书存储管理系统。本发明系统包括:属性密码服务平台,高校节点,区块链SDK,智能合约层,区块链存储底层;系统运作流程为:属性密码服务平台初始化,生成公开的加密公钥;高校节点向属性密码平台申请相应私钥集合;高校调用区块链SDK,发送证书加密策略和证书明文,SDK根据加密策略对证书进行加密,并发往区块链存储节点;区块链存储节点调用智能合约,对传入参数进行验证并存储;发起查询时,学生向属性密码平台发送查询请求;高校调用SDK查询请求;学生和其他机构通过哈希编码进行验证;本发明可保证证书的不可更改性和可溯源性,保护学生的敏感信息,提高数据安全性。

Description

一种基于区块链和属性密码的高校证书存储管理系统
技术领域
本发明属于证书管理技术领域,具体涉及基于区块链和属性密码的高校证书存储管理系统。
背景技术
区块链技术自2008年被提出以来,以其完全分布式的技术架构,新颖的去中心化思想,引起了学术界和工业界对区块链技术的关注和研究。在最初的设计中,区块链是一个由不断增加的区块以链式结构存储的帐本[1],每个区块通过一个哈希指针连接前一个区块,从第一笔交易开始记录到最新的一个区块,确保历史交易存储的完整性。系统通过点对点(p2p)通信机制进行帐本和区块的传播,并使用工作量证明(POW)的分布式协议来确保网络中的每个诚实节点存储着相同的区块数据,以达到数据不能被修改,容错性高,可追溯的特性,可以说是对传统技术的一次整合创新。
近年来,区块链不断发展,出现了以太坊(Ethereum)和超级帐本(Hyperledger)等比较有代表性的链,他们都在最初的版本上,增加了智能合约,以支持在区块链上运行图灵完备的编码程序,更好的支持了加密货币以外的应用,从而挖掘了区块链在其他领域的应用潜力。
区块链正在改变着很多行业,包括金融,供应链,和医疗保险等领域。与传统的数据管理系统比较,允许各方在互不信任的条件下,一起管理和共享存储的数据,因为数据在每一方都有备份,所有杜绝了存储信息被修改的情况发生。
属性密码是近年来密码学发展的热门方向,是公钥密码学和基于身份的密码学的一种扩展。其不仅仅限于一对一的加解密,通过对加解密的个体进行属性的划分,密文和密钥都会跟一组属性结合,通过属性加密的密文,只有在属性上满足密文访问控制树的要求,才可以解密出相应的明文。
属性密码不关心解密方的具体身份,是否具体存在,只需关心,我想让哪些符合条件的人能够解密。基于这些特性,我们可以看出,在匿名性上,属性加密会表现的更好,并且更具有灵活性。属性密码不同于传统的加解密方式,属性密码使用属性的特定逻辑组合进行加密,只有具有特定属性的用户才能进行解密,例如,设定访问控制策略为(A and (B orC)),那么只有具有属性A和B或者具有属性A和C的用户才能解密。基于这样的特点,使得属性密码不同于传统的公私钥加密体系,传统密钥数据访问权的给予取决于其背后的业务逻辑,复杂的业务逻辑必然导致密钥的映射关系复杂,而属性密码所使用的属性和数据分享时背后隐含的逻辑想契合,进而可以实现灵活的权限控制并且使得系统具备事前、事中、事后的全方位监管能力。
因此,现有的高校证书管理基本为中心化管理,证书数据库独立,数据不共享,证书验证基本依靠纸质证书来进行线下证明,线上的验证也基本需要根据每张证书的颁发方的线上网站进行验证。
本系统基于超级帐本的架构去构造相关联盟链。需要考虑到架构的易维护,共识的高效性,最重要的是数据在共享存储时,基于属性密码保证数据的保密性和可控访问等维度问题。
发明内容
本发明的目的在于提供一种能够解决高校证书当前中心化存储下存储分散、验证流程繁琐问题,确保学生隐私数据不被公开和泄漏的高校证书存储管理系统。
本发明提供的高校证书存储管理系统,是基于区块链和属性密码技术的;具体包括:属性密码服务平台,高校节点,区块链SDK,智能合约层,区块链存储底层,其中:
所述属性密码服务平台,用于在系统启动之前对属性密码初始化,生成加密公钥,并公开;用于对各节点的属性集合进行监管和验证,对外提供私钥申请服务;属性密码服务平台同时用于存储各学生的对于相应证书的访问权限和各学校的私钥集合,可根据其存储的信息判断学生的查询权限和选择相应的高校节点发起查询;
所述高校节点,负责维护区块链节点,并向区块链帐本中存储相应证书,从区块链帐本中查询相应证书;
所述区块链SDK,负责与底层链进行交互,并对高校节点提供存储和查询接口,内部扩展有属性密码加密模块、解密模块,对传入以及查询出的数据进行处理;
所述智能合约层,用于提前规定证书存储的规范性,保证证书id的唯一性,以及其他业务需求;
所述区块链存储底层,由各参与高校负责搭建和维护,用于完全分布式环境存储证书数据。
本发明中,所述属性密码初始化操作只运行一次,公开加密公钥,根据属性集合生成私钥。
本发明中,所述加密模块用于加密运算,解密模块用于解密运算,具体为:
加密模块:输入访问控制树,加密公钥,证书明文,输出证书密文;
解密模块:输入私钥,证书密文,加密公钥;私钥对应的属性集合符合访问控制树要求,解密成功,返回证书明文,如私钥集合不符合访问控制树,解密失败,返回证书密文。
本发明中,所述智能合约根据业务需求需要提前编码并进行公开,期间可根据业务需求对智能合约进行升级。智能合约提供方法:用户注册,证书上传,证书查询,智能合约保证区块链帐本上用户编号的唯一性,证书编号的唯一性。
上述基于区块链和属性密码的高校证书存储系统的工作流程为:
(1)属性密码服务平台初始化,生成对外公开的,用于证书加密的公钥,并对各节点提供的属性集合进行监管和验证,根据组织的属性集合提供相应的解密私钥,节点可根据私钥去解密证书密文,若符合证书密文对应的访问控制树,则解密成功;
(2)各高校组织节点部署区块链节点和相应的区块链SDK,通过SDK可调用属性密码模块并与区块链底层进行交互,对外可提供查询接口;
(3)学生获得相关证书,高校节点调用SDK,SDK根据传入的访问控制树和公钥对证书进行属性加密,再将证书存储至底层的区块帐本;
(4)学生和其他组织可通过属性密码服务平台提供的查询接口,查询相关证书,属性密码平台同时存储了各学生的对于相应证书的访问权限和各学校的私钥集合,可根据其存储的信息判断学生的查询权限和选择相应的高校节点发起查询;高校节点调用区块链SDK进行查询,返回查询结果;
(5)将查询出的证书明文进行相应的哈希函数计算,与查询出的哈希字符串做比较,如计算的出的哈希字符串与查询出的哈希字符串相等,可确定查询出的证书明文便是由帐本中存储的证书密文解密而来的。
本发明能够解决高校证书当前中心化存储下存储分散,验证流程繁琐的问题,并基于区块链具有可追溯、不可篡改的特性,本发明可以保证链上存储的证书没有被更改并会被永久存储。同时引入属性密码技术,解决在完全分布式环境下,证书存储的保密性和可控访问,有效的防止了学生隐私数据的被公开和泄漏。
本发明同样适用于其他领域的证书存储管理。
附图说明
图1为本发明提出的高校证书管理系统架构图。
图2为本发明提出的高校管理证书数据流程图。
图3为本发明提出的高校管理证书数据验证图。
具体实施方式
如图1,整个系统架构实现分为属性密码模块,高校节点模块以及区块链底层存储模块,其中高校节点模块作为中间方,与属性密码模块和区块链底层进行信息交互。高校节点模块向属性密码模块请求获得加密公钥和解密私钥,高校节点模块将学生获得的证书通过属性密码加密产生密文,并存储证书明文的哈希字符串,一起上传至区块链帐本中。属性密码平台同时存储了各学生的对于相应证书的访问权限和各学校的私钥集合,可根据其存储的信息判断学生的查询权限和选择相应的高校节点发起查询。当学生发起查询时,系统会进行权限判断,符合权限后,会去有对应属性集合的高校节点发起证书查询请求,返回证书明文和哈希字符串,如图2所示,对证书明文进行哈希计算与哈希字符串比较,确认证书明文是由证书密文解密而来。
在有多个高校进行证书上传时,会更能体现属性密码在数据保密性和可控访问中的作用。如图3所示,举例三所高校对一张证书的上传与查询的交互流程为:
(1)高校A向属性密码平台申请私钥的属性集合为:
school:schoolA level:1,得到私钥prvA;
高校B向属性密码平台申请私钥的属性集合为:
school:schoolB level:1,得到私钥prvB;
高校B向属性密码平台申请私钥的属性集合为:
school:schoolC level:2,得到私钥prvC;
(2)高校A上传一张证书明文Cert,将证书Cert基于访问控制树 school:schoolAlevel:2 1of2进行属性加密,表示解密私钥必须拥有school为schoolA或者level为2的高校节点可以解密成功。同时将证书Cert通过哈希函数得到的哈希字符串hashStr一起上传至区块链中。其中存储的key为Cert_id,可以基于Cert_id查询;
(3)通过三所高校都对该证书进行查询,高校A通过Cert_id查询证书,因为高校A的私钥属性集合中有school:schoolA,所以可以查询出证书明文。高校B因为私钥集合不符合访问控制树的要求,所以不能查询出证书明文,但能查询出证书的密文。高校C因为属性集合中拥有属性level:2满足了访问控制树的要求,所以同样可以查询出证书明文。以上演示了如何通过属性密码来实现证书在完全分布式环境下的保密性和可控访问性;
(4)学生如果想查询证书信息,向系统主平台发送查询条件,平台判断该学生的查询权限,权限通过,则去相应的节点去发送查询请求,返回查询结果;
(5)将查询出的证书明文message进行哈希计算得到message_hashStr,将计算结果与查询的hashStr进行比较,如相同,则可判断,查询出的证书明文就是由链上的密文所解密的。

Claims (5)

1.一种基于区块链和属性密码的高校证书管理系统,其特征在于,包括:属性密码服务平台,高校节点,区块链SDK,智能合约层,区块链存储底层,其中:
所述属性密码服务平台,用于在系统启动之前对属性密码初始化,生成加密公钥,并公开;用于对各节点的属性集合进行监管和验证,对外提供私钥申请服务;同时用于存储各学生的对于相应证书的访问权限和各学校的私钥集合,可根据其存储的信息判断学生的查询权限和选择相应的高校节点发起查询;
所述高校节点,负责维护区块链节点,并向区块链帐本中存储相应证书,从区块链帐本中查询相应证书;
所述区块链SDK,负责与底层链进行交互,并对高校节点提供存储和查询接口,内部扩展有属性密码加密模块、解密模块,对传入以及查询出的数据进行处理;
所述智能合约层,用于提前规定证书存储的规范性,保证证书id的唯一性,以及其他业务需求;
所述区块链存储底层,由各参与高校负责搭建和维护,用于完全分布式环境存储证书数据。
2.根据权利要求1所述的高校证书管理系统,其特征在于,所述属性密码初始化操作只运行一次,公开加密公钥,根据属性集合生成私钥。
3.根据权利要求1所述的高校证书管理系统,其特征在于,所述加密模块用于加密运算,解密模块用于解密运算,具体为:
加密模块:输入访问控制树,加密公钥,证书明文,输出证书密文;
解密模块:输入私钥,证书密文,加密公钥;私钥对应的属性集合符合访问控制树要求,解密成功,返回证书明文,如私钥集合不符合访问控制树,解密失败,返回证书密文。
4.根据权利要求1所述的高校证书管理系统,其特征在于,所述智能合约根据业务需求,提前编码并进行公开;期间可根据业务需求对智能合约进行升级;智能合约提供方法:用户注册,证书上传,证书查询,智能合约保证区块链帐本上用户编号的唯一性,证书编号的唯一性。
5.根据权利要求1-4之一所述的高校证书管理系统,其特征在于,工作流程为:
(1)属性密码服务平台初始化,生成对外公开的、用于证书加密的公钥,并对各节点提供的属性集合进行监管和验证,根据组织的属性集合提供相应的解密私钥,高校节点根据私钥去解密证书密文,若符合证书密文对应的访问控制树,则解密成功;
(2)各高校组织节点部署区块链节点和相应的区块链SDK,通过SDK调用属性密码模块并与区块链底层进行交互,对外可提供查询接口;
(3)学生获得相关证书,高校节点调用SDK,SDK根据传入的访问控制树和公钥对证书进行属性加密,再将证书存储至底层的区块帐本;
(4)学生和其他组织通过属性密码管理平台提供的查询接口,查询相关证书,属性密码平台同时存储各学生的对于相应证书的访问权限和各学校的私钥集合,可根据其存储的信息判断学生的查询权限和选择相应的高校节点发起查询;高校节点调用区块链SDK进行查询,返回查询结果;
(5)将查询出的证书明文进行相应的哈希函数计算,与查询出的哈希字符串做比较,如计算的出的哈希字符串与查询出的哈希字符串相等,则确定查询出的证书明文便是由帐本中存储的证书密文解密而来的。
CN201910946948.9A 2019-10-07 2019-10-07 一种基于区块链和属性密码的高校证书存储管理系统 Active CN110807206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910946948.9A CN110807206B (zh) 2019-10-07 2019-10-07 一种基于区块链和属性密码的高校证书存储管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910946948.9A CN110807206B (zh) 2019-10-07 2019-10-07 一种基于区块链和属性密码的高校证书存储管理系统

Publications (2)

Publication Number Publication Date
CN110807206A CN110807206A (zh) 2020-02-18
CN110807206B true CN110807206B (zh) 2023-04-07

Family

ID=69488078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910946948.9A Active CN110807206B (zh) 2019-10-07 2019-10-07 一种基于区块链和属性密码的高校证书存储管理系统

Country Status (1)

Country Link
CN (1) CN110807206B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111444234A (zh) * 2020-02-24 2020-07-24 四川师范大学 一种艺术设计能力培养信息管理方法、系统、存储介质
CN111581607B (zh) * 2020-05-08 2023-08-22 深圳市凯迈生物识别技术有限公司 一种许可证激活的方法
CN111597586B (zh) * 2020-05-26 2023-06-09 牛津(海南)区块链研究院有限公司 一种区块链隐私保护方法、系统及装置
CN113114780A (zh) * 2021-04-23 2021-07-13 汇能云科技(宁波)有限公司 一种基于区块链的高校数据共享方法及系统
CN113111370A (zh) * 2021-04-30 2021-07-13 永旗(北京)科技有限公司 一种区块链跨链通信方法
CN113660318A (zh) * 2021-07-30 2021-11-16 太原理工大学 一种基于区块链的学历、学位认证方法
CN114971555B (zh) * 2022-05-27 2023-04-07 华中科技大学 一种基于区块链的城市排污管道管理方法及其管理系统
CN117408848A (zh) * 2023-12-15 2024-01-16 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种基于区块链的高校实验教学管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108564353A (zh) * 2018-04-27 2018-09-21 数字乾元科技有限公司 基于区块链的支付系统及方法
CN109492419A (zh) * 2018-11-27 2019-03-19 众安信息技术服务有限公司 用于获取区块链中的数据的方法、装置及存储介质
CN109728903A (zh) * 2018-12-22 2019-05-07 复旦大学 一种使用属性密码的区块链弱中心密码授权方法
CN109768987A (zh) * 2019-02-26 2019-05-17 重庆邮电大学 一种基于区块链的数据文件安全隐私存储和分享方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200294040A9 (en) * 2016-07-29 2020-09-17 Trusted Key Solutions Inc. System and method for payment transaction authentication based on a cryptographic challenge

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108564353A (zh) * 2018-04-27 2018-09-21 数字乾元科技有限公司 基于区块链的支付系统及方法
CN109492419A (zh) * 2018-11-27 2019-03-19 众安信息技术服务有限公司 用于获取区块链中的数据的方法、装置及存储介质
CN109728903A (zh) * 2018-12-22 2019-05-07 复旦大学 一种使用属性密码的区块链弱中心密码授权方法
CN109768987A (zh) * 2019-02-26 2019-05-17 重庆邮电大学 一种基于区块链的数据文件安全隐私存储和分享方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张 亮.区块链技术综述.计算机工程.2019,第45卷(第45期),6-10. *

Also Published As

Publication number Publication date
CN110807206A (zh) 2020-02-18

Similar Documents

Publication Publication Date Title
CN110807206B (zh) 一种基于区块链和属性密码的高校证书存储管理系统
TWI725124B (zh) 決定用於資訊的安全交換的共同私密,及階層化的決定性加密金鑰
Ruj et al. Privacy preserving access control with authentication for securing data in clouds
CN105577383B (zh) 密码密钥的管理
US10630486B2 (en) Multiparty computation for approving digital transaction by utilizing groups of key shares
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
Velliangiri et al. An efficient lightweight privacy-preserving mechanism for industry 4.0 based on elliptic curve cryptography
CN111274599A (zh) 一种基于区块链的数据共享方法及相关装置
Jiang et al. Attribute-based encryption with blockchain protection scheme for electronic health records
CN109547208B (zh) 金融电子设备主密钥在线分发方法及系统
Hoang et al. Privacy-preserving blockchain-based data sharing platform for decentralized storage systems
Sun et al. Research on logistics information blockchain data query algorithm based on searchable encryption
CN111431897A (zh) 用于云协助物联网的带追踪的多属性机构属性基加密方法
CN112966022B (zh) 一种数据交易平台的信息查询方法、装置及系统
CN115495768A (zh) 基于区块链及多方安全计算的涉密信息处理方法及系统
CN108696518A (zh) 区块链上用户通信加密方法、装置、终端设备及存储介质
Borse et al. Anonymity: A secure identity management using smart contracts
Dua et al. A study of applications based on elliptic curve cryptography
Hong et al. Constructing conditional PKEET with verification mechanism for data privacy protection in intelligent systems
Cao et al. Analysis of one secure anticollusion data sharing scheme for dynamic groups in the cloud
Deng et al. Privacy Protection of Personal Education Information on Blockchain
Xu et al. Verifiable computation with access control in cloud computing
CN113746829B (zh) 多源数据的关联方法、装置、设备及存储介质
SATHEESH et al. A NOVEL HARDWARE PARAMETERS BASED CLOUD DATA ENCRYPTION AND DECRYPTION AGAINST UNAUTHORIZED USERS.
CN114039737B (zh) 抗选择明文攻击的基于属性的共享数据存储、访问方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant