CN111614678B - 防泄密方法及防泄密装置、加密装置 - Google Patents

防泄密方法及防泄密装置、加密装置 Download PDF

Info

Publication number
CN111614678B
CN111614678B CN202010441915.1A CN202010441915A CN111614678B CN 111614678 B CN111614678 B CN 111614678B CN 202010441915 A CN202010441915 A CN 202010441915A CN 111614678 B CN111614678 B CN 111614678B
Authority
CN
China
Prior art keywords
information
attribute
private key
key
member node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010441915.1A
Other languages
English (en)
Other versions
CN111614678A (zh
Inventor
田新雪
肖征荣
马书惠
杨子文
董慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010441915.1A priority Critical patent/CN111614678B/zh
Publication of CN111614678A publication Critical patent/CN111614678A/zh
Application granted granted Critical
Publication of CN111614678B publication Critical patent/CN111614678B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/608Watermarking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Editing Of Facsimile Originals (AREA)

Abstract

本发明公开一种防泄密方法及防泄密装置、加密装置。方法包括:从区块链网络中,获取第一成员节点发布的保密信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二属性特征,N为大于或等于1的正整数;依据自己的第二属性私钥对保密信息进行解密,获得第一信息,其中,第一信息包括明文信息和水印标识。防止明文信息被公开,同时,通过其中的水印标识追踪到具体的泄密者,降低泄密风险,保证保密信息的安全性,提高区块链网络的安全性和可靠性。

Description

防泄密方法及防泄密装置、加密装置
技术领域
本发明涉及区块链技术领域,具体涉及一种防泄密方法及防泄密装置、加密装置。
背景技术
基于属性的加密(Attribute-Based Encryption,ABE)方案被看作是最具前景的支持细粒度访问的加密原语,与公钥加密方案最大的不同点就是,ABE实现了一对多的加解密。ABE方案不需要像身份加密一样,每次加密都必须知道接收者的身份信息,在ABE方案中,是把身份标识看做为一系列的属性。当用户拥有的属性超过加密者所描述的预设门槛时,用户是可以解密的。但这种基于预设门槛的方案不具有通用性,因为在语义上无法表述一个普遍通用的情景。ABE具有两种类型:密钥策略属性加密(Key Policy AttributeBased Encryption,KP-ABE)和密文策略属性加密(Ciphertext Policy Attribute BasedEncryption,CP-ABE)。KP-ABE将访问控制策略嵌入到密钥之中。CP-ABE则相反,是将访问控制策略被融入到了密文之中。ABE的优点是解决了对称加密密钥传输带来的密钥泄露的问题,因为对称加密的加密密钥与解密密钥相同;实现了加密数据的细粒度访问控制,即数据拥有者不仅可以指定谁可以访问加密的数据,而且可以对数据具有完全的控制权。
具体地,当一个组织机构面向特定属性的用户,在区块链上发布公告保密信息时,例如,该组织机构采用系统公钥和身份属性,加密待发布的保密信息,获得并发布公告保密信息到区块链上,则只有符合该身份属性的用户可以采用自己的属性私钥解密该公告保密信息,因组织机构分发了基于属性的私钥给该用户;但区块链上的其他用户由于没有基于属性的私钥而无法对该公告保密信息进行解密,保证了数据的安全性;但是如果符合该身份属性的用户私自将解密后的信息泄密给其他人,则会导致该公告保密信息最终被完全公开,由于无法追查到泄密责任人,使得泄密成本非常低,加大了泄密风险。
发明内容
为此,本发明提供一种防泄密方法及防泄密装置、加密装置,以解决现有技术中由于在区块链网络中泄密成本低且无法追查到泄密者而导致的公告保密信息被泄露的问题。
为了实现上述目的,本发明第一方面提供一种防泄密方法,方法包括:从区块链网络中,获取第一成员节点发布的保密信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二属性特征,N为大于或等于1的正整数;依据自己的第二属性私钥对保密信息进行解密,获得第一信息,其中,第一信息包括明文信息和水印标识。
在一些具体实现中,依据自己的第二属性私钥对保密信息进行解密,获得第一信息,包括:依据第二属性私钥对保密信息进行解密,获得明文信息;在明文信息中增加水印标识,获得第一信息。
在一些具体实现中,在从区块链网络中,获取第一成员节点发布的保密信息步骤之前,还包括:从区块链网络中,获取身份管理节点发布的广播信息;对广播信息进行解析,获得第二属性私钥,其中,第二属性私钥是身份管理节点依据第二属性特征、第二标识和主密钥生成的私钥,主密钥是身份管理节点采用预先约定的算法生成的密钥。
在一些具体实现中,广播消息包括第一成员节点的第一标识、所述第一成员节点的第一属性私钥、本节点的标识和本节点的第二属性私钥;其中,第一属性私钥是身份管理节点依据第一属性特征、第一标识和主密钥生成的私钥。
在一些具体实现中,在依据自己的第二属性私钥对保密信息进行解密,获得第一信息步骤之后,还包括:以匿名身份公开发布第一信息,以使身份管理节点依据水印检测算法对第一信息进行检测,获得水印标识。
为了实现上述目的,本发明第二方面提供一种防泄密方法,方法包括:依据系统公钥和属性集合中的N个属性特征,生成属性公钥,其中,属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数;依据属性公钥对明文信息进行加密,获得保密信息;将保密信息发送至区块链网络中,以使第二成员节点接收保密信息,并依据第二属性私钥对保密信息进行解密,获得第一信息,第一信息包括明文信息和水印标识。
在一些具体实现中,将保密信息发送至区块链网络中,包括:对保密信息进行私钥签名,获得签名后的保密信息;发送签名后的保密信息至区块链网络中。
为了实现上述目的,本发明第三方面提供一种防泄密装置,包括:获取模块,用于从区块链网络中,获取第一成员节点发布的保密信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二属性特征,N为大于或等于1的正整数;解密模块,用于依据自己的第二属性私钥对保密信息进行解密,获得第一信息,其中,第一信息包括明文信息和水印标识。
在一些具体实现中,解密模块,包括:解密子模块,用于依据第二属性私钥对保密信息进行解密,获得明文信息;添加水印模块,用于在明文信息中增加水印标识,获得第一信息,水印标识包括身份信息。
为了实现上述目的,本发明第四方面提供一种加密装置,包括:生成模块,用于依据系统公钥和属性集合中的N个属性特征,生成属性公钥,其中,属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数;加密模块,用于依据属性公钥对明文信息进行加密,获得保密信息;发送模块,用于将保密信息发送至区块链网络中,以使第二成员节点接收到保密信息,并依据第二属性私钥对保密信息进行解密,获得第一信息,第一信息包括明文信息和水印标识。
本发明具有如下优点:因获取到的保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,该属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,并且该属性集合包括第二属性特征,使得本节点能够依据第二属性私钥对保密信息进行解密,且解密后获得的第一信息中包括本节点的水印标识,防止明文信息被公开。即使第一信息被公开,也能通过其中的水印标识追踪到具体的泄密者,降低泄密风险,保证保密信息的安全性,提高区块链网络的安全性和可靠性。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其它特征和优点对本领域技术人员将变得更加显而易见,在附图中:
图1为本申请实施例一中的一种防泄密方法的流程图。
图2为本申请实施例二中的一种防泄密方法的流程图。
图3为本申请实施例三中的一种防泄密装置的组成方框图。
图4为本申请实施例四中的一种加密装置的组成方框图。
图5为本申请实施例五中的一种防泄密系统的组成方框图。
图6为本申请实施例五中的防泄密系统的工作方法流程图。
在附图中:
301:获取模块 302:解密模块
401:生成模块 402:加密模块
403:发送模块 501:第一成员节点
502:第二成员节点 503:身份属性权威管理机构节点
具体实施方式
以下结合附图对本申请的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
实施例一
本申请实施例提供一种防泄密方法,该方法可应用于防泄密装置,该装置可放置于第二成员节点中。图1是本实施例中的防泄密方法的流程图,包括:
步骤110,从区块链网络中,获取第一成员节点发布的保密信息。
其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二属性特征,N为大于或等于1的正整数。例如,N等于3时,则该属性集合会包括三个成员节点的属性特征,这三个成员节点都具有查看第一成员节点发布的保密信息的权限。
步骤120,依据自己的第二属性私钥对保密信息进行解密,获得第一信息。
其中,第一信息包括明文信息和水印标识。该水印标识可以是数字水印,用于表征防泄密装置的身份信息,例如,防泄密装置的标识、防泄密装置的位置信息等。以上对于水印标识仅是举例说明,可根据实际需要具体设定,其他未举例的水印标识也在本申请的保护范围之内,在此不再赘述。
在一些具体实现中,依据第二属性私钥对保密信息进行解密,获得明文信息;在明文信息中增加水印标识,获得第一信息。
具体地,可添加水印标识至明文信息中,生成第一信息。并且,只有主密钥的拥有者(例如,身份管理节点)才能去掉该水印标识,其他节点一旦试图去掉该水印标识,则破坏第一信息,使其无法查看到该第一信息。
由于在对称加密方式中加密密钥与解密密钥相同,本申请通过第一成员节点使用属性公钥对明文信息进行加密获得保密信息,使得第二成员节点使用第二属性私钥对保密信息进行解密,解决对称加密密钥传输带来的密钥泄露的问题;同时,实现加密数据的细粒度访问控制,即数据拥有者(第一成员节点)可以指定不同的成员节点(例如,第二成员节点)访问加密的数据,数据拥有者对数据具有完全的控制权。
本申请实施例提供另一种可能的实现方式,其中,在步骤110之前,还包括:
步骤130,从区块链网络中,获取身份管理节点发布的广播信息。
需要说明的是,广播消息在发布之前,需经过身份管理节点的私钥签名,以保证广播消息在传输过程中的安全性;并且,防泄密装置在获取到该广播消息后,会先对其私钥签名进行验证,在验证通过后,才能获取到该广播消息。
在一些具体实现中,广播消息包括第一成员节点的第一标识、第一成员节点的第一属性私钥、本节点的标识和本节点的第二属性私钥;其中,第一属性私钥是身份管理节点依据第一属性特征、第一标识和主密钥生成的私钥。
需要说明的是,该广播消息还可以包括区块链网络中的其他成员节点的标识和其他成员节点的属性私钥。例如,若身份管理节点管理N个成员节点,则该广播消息可包括N个员节点的标识和N个员节点的属性私钥,其中,N为大于或等于1的整数。
步骤140,对广播信息进行解析,获得第二属性私钥。
其中,第二属性私钥是身份管理节点依据第二属性特征、第二标识和主密钥生成的私钥,主密钥是身份管理节点采用预先约定的算法生成的密钥。
本申请实施例提供另一种可能的实现方式,其中,在步骤120之后,还包括:以匿名身份公开发布第一信息,以使身份管理节点依据水印检测算法对第一信息进行检测,获得水印标识。
具体地,可以将第一信息单独发送给某个不具有查看权限的节点,或以匿名身份公开发布第一信息至区块链网络中,使得区块链网络中的其他没有查看权限的节点都可以查看到该第一信息。同时,身份管理节点也能够从区块链网络中,获取到该第一信息,并根据水印检测算法对该第一信息进行检测,使得身份管理节点能够获得第一信息中携带的水印标识。身份管理节点通过该水印标识能够跟踪到泄密者,从而对泄密者进行追责。
在本实施例中,通过使用依据自己的第二属性私钥对保密信息进行解密,获得包含有水印标识的第一信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,该属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,并且该属性集合包括第二属性特征,使得能够防止明文信息被公开。即使第一信息被公开,也能通过其中的水印标识追踪到具体的泄密者,降低泄密风险,保证保密信息的安全性,提高区块链网络的安全性和可靠性。
实施例二
本申请实施例提供一种防泄密方法,该方法可应用于区块链网络中的加密装置,该装置可放置于第一成员节点中。图2是本实施例中的防泄密方法的流程图,包括:
步骤210,依据系统公钥和属性集合中的N个属性特征,生成属性公钥。
其中,属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数。
需要说明的是,其中的属性集合还可以包括其他多个成员节点的属性私钥,若第一成员节点希望多个成员节点能够查看到其发布的保密信息,则在生成属性公钥时,就可以将其希望的成员节点的属性特征放入到属性集合中。例如,第一成员节点希望第二成员节点、第四成员节点和第八成员节点能够查看到该保密信息,则属性集合中包括第二成员节点的属性特征、第四成员节点的属性特征和第八成员节点的属性特征。
步骤220,依据属性公钥对明文信息进行加密,获得保密信息。
需要说明的是,使用属性公钥加密后的信息,可以使用属性集合中的任一属性特征对应的成员节点的属性私钥进行解密,以实现对加密数据的细粒度访问控制,第一成员节点可以指定不同的成员节点(例如,第二成员节点)访问保密信息,使得第一成员节点能够对保密信息具有完全的控制权。
步骤230,将保密信息发送至区块链网络中。
具体地,第二成员节点接收到保密信息后,会依据第二属性私钥对保密信息进行解密,获得第一信息,第一信息包括明文信息和水印标识。
在一些具体实现中,将保密信息发送至区块链网络中,包括:对保密信息进行私钥签名,获得签名后的保密信息;发送签名后的保密信息至区块链网络中。
通过对对保密信息进行私钥签名,保证保密信息在区块链网络中传输的安全性。
在本实施例中,通过使用属性集合中的N个属性特征和系统公钥,生成属性公钥,并使用该属性公钥对明文信息进行加密,获得保密信息。使得第一成员节点能够指定具体哪些成员节点可以查看到保密信息,实现对保密信息的细粒度访问控制。并且,在第一成员节点指定第二成员节点查看该保密信息时,通过第二成员节点依据第二属性私钥对保密信息进行解密,获得包含有第二成员节点的水印标识的第一信息,避免第二成员节点泄露保密信息,提升区块链的安全性和可靠性,保障用户的利益。
实施例三
图3为本申请实施例提供的一种防泄密装置的结构示意图,该装置的具体实施可参见实施例一的相关描述,重复之处不再赘述。值得说明的是,本实施方式中的装置的具体实施不局限于以上实施例,其他未说明的实施例也在本装置的保护范围之内。
如图3所示,该防泄密装置具体包括:获取模块301用于从区块链网络中,获取第一成员节点发布的保密信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二属性特征,N为大于或等于1的正整数;解密模块302用于依据自己的第二属性私钥对保密信息进行解密,获得第一信息,其中,第一信息包括明文信息和水印标识。
在一些具体实现中,解密模块302包括:解密子模块,用于依据第二属性私钥对保密信息进行解密,获得明文信息;添加水印模块,用于在明文信息中增加水印标识,获得第一信息,水印标识包括身份信息。
在本实施方式中,通过使用解密模块依据自己的第二属性私钥对保密信息进行解密,获得包含有水印标识的第一信息,其中,保密信息是第一成员节点依据属性公钥对明文信息进行加密获得的信息,该属性公钥是第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,并且该属性集合包括第二属性特征,使得能够防止明文信息被公开。即使第一信息被公开,也能通过其中的水印标识追踪到具体的泄密者,降低泄密风险,保证保密信息的安全性,提高区块链网络的安全性和可靠性。
不难发现,本实施方式为与实施例一相对应的装置实施例,本实施方式可与实施例一互相配合实施。实施例一中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在实施例一中。
实施例四
图4为本申请实施例提供的一种加密装置的结构示意图,该装置的具体实施可参见实施例二的相关描述,重复之处不再赘述。值得说明的是,本实施方式中的装置的具体实施不局限于以上实施例,其他未说明的实施例也在本装置的保护范围之内。
如图4所示,该加密装置具体包括:生成模块401用于依据系统公钥和属性集合中的N个属性特征,生成属性公钥,其中,属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数;加密模块402用于依据属性公钥对明文信息进行加密,获得保密信息;发送模块403用于将保密信息发送至区块链网络中,以使第二成员节点接收到保密信息,并依据第二属性私钥对保密信息进行解密,获得第一信息,第一信息包括明文信息和水印标识。
在本实施方式中,通过使用加密模块依据属性集合中的N个属性特征和系统公钥,生成属性公钥,并使用该属性公钥对明文信息进行加密,获得保密信息。使得加密装置能够指定具体哪些成员节点可以查看到保密信息,实现对保密信息的细粒度访问控制,提升区块链的安全性和可靠性,保障用户的利益。
不难发现,本实施方式为与实施例二相对应的装置实施例,本实施方式可与实施例二互相配合实施。实施例二中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在实施例二中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本申请的创新部分,本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
实施例五
本申请实施例提供一种防泄密系统,图5是本防泄密系统的组成方框图,具体包括第一成员节点501、第二成员节点502和身份属性权威管理机构节点503。
具体地,图6是该系统的工作方法流程图,如图6所示,具体包括如下步骤。
步骤601,身份属性权威管理机构节点503采用预先约定的算法生成主密钥(Masterkey)和公共参数。然后依据Masterkey、以及各个成员节点的属性特征,生成各个成员节点的属性私钥(Abe_SKa)。
其中,公共参数由身份属性权威管理机构节点503自己保密保存。例如,各个成员节点包括成员节点a1,成员节点a2,……,成员节点aN,其中,N为大于或等于1的整数。各个成员节点组成成员列表,该成员列表包括各个成员节点的标识和各个成员节点的属性私钥,例如,该成员列表可包括标识列表(a1,a2,……,aN)和属性私钥列表(Abe_SKa1,Abe_Ska2,……,Abe_SKan)。具体地,属性私钥的生成公式可表示为Abe_SKaK=GenKey(Masterkey,aK,aK的属性特征),其中,K是大于或等于1,小于或等于N的整数。
步骤602,身份属性权威管理机构节点503使用自己的私钥,对成员列表进行私钥签名,并发送签名后的成员列表至区块链网络中,使得各个成员节点能够接收到该成员列表,并获取到属于自己的属性私钥。
例如,成员列表中包括第一成员节点501和第二成员节点502,则第一成员节点501从区块链网络中,获取到成员列表后,依据自己的成员标识,查找该成员列表,即可获取到第一成员节点501的第一属性私钥;同理,第二成员节点502也可获得其对应的第二属性私钥。
步骤603,第一成员节点501依据属性公钥对明文信息M进行加密获得保密信息C(M)。
其中,属性公钥是第一成员节点501依据系统公钥和属性集合中的N个属性特征生成的秘钥,属性集合包括第二成员节点502的第二属性私钥。
需要说明的是,其中的属性集合可以包括N个成员节点的属性私钥,若第一成员节点501希望多个成员节点能够查看到第一成员节点501发布的保密信息,则在生成属性公钥时,就可以将其希望的成员节点的属性特征放入到属性集合中。例如,第一成员节点501希望第二成员节点502、第五成员节点和第九成员节点能够查看到该保密信息,则属性集合中包括第二成员节点502的第二属性特征、第五成员节点的第五属性特征和第九成员节点的第九属性特征。进而在依据该属性结合和系统公钥生成属性公钥时,该属性公钥不仅包含第二属性特征,也包含第五属性特征和第九属性特征。
步骤604,第一成员节点501使用自己的私钥,对保密信息C(M)进行私钥签名,并发送签名后的保密信息C(M)至区块链网络中,使得第二成员节点502能够获取到该保密信息C(M)。
步骤605,第二成员节点502从区块链网络中,获取到保密信息C(M)后,采用身份属性权威管理机构节点503发布的第二属性私钥,对该保密信息进行解密,同时,在获得的明文信息中增加自己的水印标识,获得第一信息。
其中,第一信息是可以被第二成员节点502查看到的增加了第二成员节点502的水印标识的明文信息。例如,第一信息可以表示为M’即M’=DEC[C(M)],水印标识可以是数字水印,并且只有主密钥的拥有者(例如,身份属性权威管理机构节点503)才能去掉该水印标识,其他节点一旦试图去掉该水印标识则破坏第一信息,使得无法查看到该第一信息。
需要说明的是,若第五成员节点获取到保密信息,并使用身份属性权威管理机构节点503发布的该第五成员节点的第五属性私钥,对该保密信息进行解密,则获取到的第二信息中就会携带该第五成员节点的水印标识,其中的水印标识能够体现解密该保密信息的成员节点的身份信息,即第五成员节点的水印标识可体现第五成员节点的身份信息,例如,第五成员节点的位置信息,第五成员节点的标识等信息。
步骤606,如果第二成员节点502以匿名身份公开发布第一信息M’至区块链网络中,使得其他没有查看权限的节点都可以查看到该第一信息M’。则身份属性权威管理机构节点503也能够从区块链网络中,获取到该第一信息。
步骤607,身份属性权威管理机构节点503在获取到第一信息M’后,会依据水印检测算法对该第一信息M’进行检测,例如,采用公式aK=Print(Masterkey,M’)对第一信息M’进行检测,使得能够获得第一信息M’中携带的水印标识,通过该水印标识,使得身份属性权威管理机构节点503能够确认该第一信息M’是被第二成员节点502泄露的,即K等于2,即可跟踪到泄密者,从而对第二成员节点502进行追责,以保证保密信息的安全性。
在本实施例中,通过使用属性集合中的属性特征和系统公钥,生成属性公钥,并使用该属性公钥对明文信息进行加密,获得保密信息。使得获取到该保密信息的成员节点能够依据自己的属性私钥对该保密信息进行解密,同时,对解密后的第一信息添加水印标识。因该水印标识体现了解密者的身份信息,保障区块链中的信息被泄漏后可以追踪到泄密者,提升区块链的安全性和可靠性,保障用户的利益。
可以理解的是,以上实施方式仅仅是为了说明本申请的原理而采用的示例性实施方式,然而本申请并不局限于此。对于本领域内的普通技术人员而言,在不脱离本申请的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本申请的保护范围。

Claims (7)

1.一种防泄密方法,其特征在于,所述方法包括:
从区块链网络中,获取第一成员节点发布的保密信息,其中,所述保密信息是所述第一成员节点依据属性公钥对明文信息进行加密获得的信息,所述属性公钥是所述第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,所述属性集合包括第二属性特征,N为大于或等于1的正整数;
依据自己的第二属性私钥对所述保密信息进行解密,获得第一信息,其中,所述第一信息包括所述明文信息和水印标识;
所述属性集合包括N个成员节点的属性特征,所述N个成员节点都具有查看所述第一成员节点发布的保密信息的权限;
所述依据自己的第二属性私钥对所述保密信息进行解密,获得第一信息,包括:
依据所述第二属性私钥对所述保密信息进行解密,获得所述明文信息;
在所述明文信息中增加所述水印标识,获得所述第一信息;
所述方法应用于防泄密装置,所述水印标识包括所述防泄密装置的标识和/或所述防泄密装置的位置信息;
所述第二属性私钥是身份管理节点依据所述第二属性特征、第二标识和主密钥生成的私钥,所述主密钥是所述身份管理节点采用预先约定的算法生成的密钥;
在所述依据自己的第二属性私钥对所述保密信息进行解密,获得第一信息步骤之后,还包括:
以匿名身份公开发布所述第一信息,以使身份管理节点依据水印检测算法对所述第一信息进行检测,获得所述水印标识。
2.根据权利要求1所述的方法,其特征在于,在所述从区块链网络中,获取第一成员节点发布的保密信息步骤之前,还包括:
从区块链网络中,获取身份管理节点发布的广播信息;
对所述广播信息进行解析,获得所述第二属性私钥。
3.根据权利要求2所述的方法,其特征在于,所述广播信息包括所述第一成员节点的第一标识、所述第一成员节点的第一属性私钥、本节点的标识和本节点的所述第二属性私钥;
其中,所述第一属性私钥是所述身份管理节点依据第一属性特征、所述第一标识和所述主密钥生成的私钥。
4.一种防泄密方法,其特征在于,所述方法包括:
依据系统公钥和属性集合中的N个属性特征,生成属性公钥,其中,所述属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数;
依据所述属性公钥对明文信息进行加密,获得保密信息;
将所述保密信息发送至区块链网络中,以使所述第二成员节点接收所述保密信息,并依据第二属性私钥对所述保密信息进行解密,获得第一信息,所述第一信息包括所述明文信息和水印标识;
所述属性集合包括N个成员节点的属性特征,所述N个成员节点都具有查看第一成员节点发布的保密信息的权限;
所述水印标识包括防泄密装置的标识和/或所述防泄密装置的位置信息;
所述第二属性私钥是身份管理节点依据所述第二属性特征、第二标识和主密钥生成的私钥,所述主密钥是所述身份管理节点采用预先约定的算法生成的密钥;
所述水印标识是所述第二成员节点以匿名身份公开发布所述第一信息,以使所述身份管理节点依据水印检测算法对所述第一信息进行检测获得的标识。
5.根据权利要求4所述的方法,其特征在于,所述将所述保密信息发送至区块链网络中,包括:
对所述保密信息进行私钥签名,获得签名后的保密信息;
发送所述签名后的保密信息至区块链网络中。
6.一种防泄密装置,其特征在于,包括:
获取模块,用于从区块链网络中,获取第一成员节点发布的保密信息,其中,所述保密信息是所述第一成员节点依据属性公钥对明文信息进行加密获得的信息,所述属性公钥是所述第一成员节点依据系统公钥和属性集合中的N个属性特征生成的秘钥,所述属性集合包括第二属性特征,N为大于或等于1的正整数;
解密模块,用于依据自己的第二属性私钥对所述保密信息进行解密,获得第一信息,其中,所述第一信息包括所述明文信息和水印标识;
所述属性集合包括N个成员节点的属性特征,所述N个成员节点都具有查看所述第一成员节点发布的保密信息的权限;
所述解密模块,包括:
解密子模块,用于依据所述第二属性私钥对所述保密信息进行解密,获得所述明文信息;
添加水印模块,用于在所述明文信息中增加所述水印标识,获得所述第一信息,所述水印标识包括身份信息;
所述水印标识包括所述防泄密装置的标识和/或所述防泄密装置的位置信息;
所述第二属性私钥是身份管理节点依据所述第二属性特征、第二标识和主密钥生成的私钥,所述主密钥是所述身份管理节点采用预先约定的算法生成的密钥;
防泄密装置,还包括:
获取水印标识模块,用于以匿名身份公开发布所述第一信息,以使身份管理节点依据水印检测算法对所述第一信息进行检测,获得所述水印标识。
7.一种防泄密装置,其特征在于,包括:
生成模块,用于依据系统公钥和属性集合中的N个属性特征,生成属性公钥,其中,所述属性集合包括第二成员节点的第二属性特征,N为大于或等于1的正整数;
加密模块,用于依据所述属性公钥对明文信息进行加密,获得保密信息;
发送模块,用于将所述保密信息发送至区块链网络中,以使所述第二成员节点接收到所述保密信息,并依据第二属性私钥对所述保密信息进行解密,获得第一信息,所述第一信息包括所述明文信息和水印标识;
所述属性集合包括N个成员节点的属性特征,所述N个成员节点都具有查看第一成员节点发布的保密信息的权限;
所述水印标识包括防泄密装置的标识和/或所述防泄密装置的位置信息;
所述第二属性私钥是身份管理节点依据所述第二属性特征、第二标识和主密钥生成的私钥,所述主密钥是所述身份管理节点采用预先约定的算法生成的密钥;
所述水印标识是所述第二成员节点以匿名身份公开发布所述第一信息,以使身份管理节点依据水印检测算法对所述第一信息进行检测获得的标识。
CN202010441915.1A 2020-05-22 2020-05-22 防泄密方法及防泄密装置、加密装置 Active CN111614678B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010441915.1A CN111614678B (zh) 2020-05-22 2020-05-22 防泄密方法及防泄密装置、加密装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010441915.1A CN111614678B (zh) 2020-05-22 2020-05-22 防泄密方法及防泄密装置、加密装置

Publications (2)

Publication Number Publication Date
CN111614678A CN111614678A (zh) 2020-09-01
CN111614678B true CN111614678B (zh) 2022-07-29

Family

ID=72203850

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010441915.1A Active CN111614678B (zh) 2020-05-22 2020-05-22 防泄密方法及防泄密装置、加密装置

Country Status (1)

Country Link
CN (1) CN111614678B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103825733A (zh) * 2014-02-28 2014-05-28 华为技术有限公司 基于组合公钥密码体制的通信方法、装置及系统
CN106503994B (zh) * 2016-11-02 2020-07-28 西安电子科技大学 基于属性加密的区块链隐私数据访问控制方法
CN107294709A (zh) * 2017-06-27 2017-10-24 阿里巴巴集团控股有限公司 一种区块链数据处理方法、装置及系统
CN108737430B (zh) * 2018-05-25 2020-07-17 全链通有限公司 区块链节点的加密通信方法和系统
CN109559117B (zh) * 2018-11-14 2022-05-20 北京科技大学 基于属性基加密的区块链合约隐私保护方法与系统
CN109711184B (zh) * 2018-12-28 2020-11-10 国网电子商务有限公司 一种基于属性加密的区块链数据访问控制方法及装置
CN110098919B (zh) * 2019-04-26 2021-06-25 西安电子科技大学 基于区块链的数据权限的获取方法
CN110493347B (zh) * 2019-08-26 2020-07-14 重庆邮电大学 基于区块链的大规模云存储中数据访问控制方法及系统

Also Published As

Publication number Publication date
CN111614678A (zh) 2020-09-01

Similar Documents

Publication Publication Date Title
Li et al. Multi-authority ciphertext-policy attribute-based encryption with accountability
US7260215B2 (en) Method for encryption in an un-trusted environment
CA2197915C (en) Cryptographic key recovery system
KR100734162B1 (ko) 공중/개인키 쌍들의 안전한 분배 방법 및 장치
US8694783B2 (en) Lightweight secure authentication channel
KR101747888B1 (ko) 암호화/복호화 키의 생성 방법
US20050005106A1 (en) Cryptographic method and apparatus
Goyal et al. Watermarking public-key cryptographic primitives
Thomas et al. Joint watermarking scheme for multiparty multilevel DRM architecture
CN104243439A (zh) 文件传输处理方法、系统及终端
CN109583218B (zh) 机密文件保护、定位方法、装置、设备及可读存储介质
Dubey et al. Steganography Cryptography and Watermarking: A Review
US8161565B1 (en) Key release systems, components and methods
Katz et al. Tracing insider attacks in the context of predicate encryption schemes
GB2401013A (en) Cryptographic Method and Apparatus
Barukab et al. Secure communication using symmetric and asymmetric cryptographic techniques
CN111614678B (zh) 防泄密方法及防泄密装置、加密装置
Naor et al. Protecting cryptographic keys: The trace-and-revoke approach
Hashizume et al. Symmetric encryption and xml encryption patterns
Schaad Use of the RSASSA-PSS Signature Algorithm in Cryptographic Message Syntax (CMS)
Ogawa et al. Traitor tracing scheme secure against adaptive key exposure and its application to anywhere TV service
JP4663390B2 (ja) コンテンツ配信システム、コンテンツ配信方法、サーバ装置及び端末装置、並びにプログラム。
Chew et al. Email Plugin Suite for k-Resilient Identity-Based Encryption and Searchable Encryption
GB2401008A (en) Identifier based encryption
Liu et al. A blockchain-based secure data sharing approach with proxy re-encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant