CN113127927A - 一种许可链数据共享及监管的属性重构加密方法及系统 - Google Patents
一种许可链数据共享及监管的属性重构加密方法及系统 Download PDFInfo
- Publication number
- CN113127927A CN113127927A CN202110457102.6A CN202110457102A CN113127927A CN 113127927 A CN113127927 A CN 113127927A CN 202110457102 A CN202110457102 A CN 202110457102A CN 113127927 A CN113127927 A CN 113127927A
- Authority
- CN
- China
- Prior art keywords
- organization
- attribute
- data
- access
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000008520 organization Effects 0.000 claims abstract description 148
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 238000006243 chemical reaction Methods 0.000 claims abstract description 6
- 238000011217 control strategy Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 5
- 238000011161 development Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 7
- 238000013475 authorization Methods 0.000 abstract description 2
- 241000220225 Malus Species 0.000 description 11
- 241000234295 Musa Species 0.000 description 5
- 235000018290 Musa x paradisiaca Nutrition 0.000 description 5
- 235000010724 Wisteria floribunda Nutrition 0.000 description 5
- 241000581835 Monodora junodii Species 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 235000021016 apples Nutrition 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009440 infrastructure construction Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Software Systems (AREA)
- Finance (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于区块链技术领域,公开了一种许可链数据共享及监管的属性重构加密方法及系统。其特征包括许可链权威组织作为数据监管组织,构建用于管理全链属性的属性管理基础设施;数据发布组织提交的访问树重构为属性管理基础设施下的规范标准访问树;利用重构后的规范标准访问树对组织提交的密文进行转加密,将个性化的加密及访问控制转为全链规范的加密及访问控制。本申请通过基于属性加密的密码学算法和许可链技术,可以保护上链数据的隐私安全,实现数据的细粒度灵活授权,利用发明的属性重构加密方法及系统,可以实现对加密数据的高效监管。
Description
技术领域
本发明属于区块链技术领域,涉及一种许可链数据共享及监管的属性重构加密方法及系统。
背景技术
许可链是每个节点都需经过权威组织许可的一类区块链,在验证身份后,为其分配特定的系统权限以开展具体业务。相较于公有链,许可链更适合需监管、跨组织共享、多方业务协同的应用场景。在区块链技术已经被国家纳入新基建范畴的时代背景下,许可链可以更好地为行业应用赋能,加速区块链技术落地进程。但是,若系统数据和操作均以明文方式存储,并对全网所有节点公开透明,数据一旦上链则导致数据所有权和控制权相分离,数据将面临数据隐私泄露、数据越权访问等诸多安全问题。
根据区块链系统的开放程度,可分为:公有链(Public Blockchains)、私有链(Private Blockchains)和联盟链(Consortium Blockchains);根据组织节点接入是否需要被许可,可以分为公有链和许可链(Permissioned Blockchains),根据上述标准,联盟链和私有链等非公有链又被称为许可链。相比公有链,以联盟链为代表的许可链,具有可控性更强、性能更高、更易监管等优势,因此,更受政府部门和金融行业的青睐。
然而,出于数据权属、数据泄露及自身商业利益等诸多因素考虑,手握大量数据的企业或组织对于开放自己的内部数据尤其是核心数据持极其谨慎的态度,从而导致数据隐私保护和数据高效共享之间的矛盾日益凸显。显然,数据安全问题依然是当前制约许可链技术广泛应用的难点和痛点,究其原因,根源在于数据隐私保护与访问控制机制不完善。
基于密钥策略的属性加密方案(Key-policy Attribute-based Encryption,KP-ABE)和基于密文策略的属性加密方案(Ciphertext-policy Attribute-basedEncryption,CP-ABE)。KP-ABE是将策略嵌入到加密密钥中,属性嵌入到密文中。密钥对应于一个访问结构,而密文对应于一个属性集合。CP-ABE是将策略嵌入到密文中,属性嵌入到用户密钥中。密文对应于一个访问结构,而密钥对应于一个属性集合。两者的共同特征在于将数据加解密与访问策略绑定,当且仅当属性集合中的属性能够满足访问结构时才能解密数据,在保留密文控制权的同时,可以实现细粒度的访问控制。
发明内容
针对存在的以上问题,本发明提供一种解决上述问题的许可链数据共享及监管的属性重构加密方法及系统。
本发明采用的技术方案如下:
一种许可链数据共享及监管的属性重构加密方法,包括:
步骤一,许可链权威组织作为数据监管组织,构建用于管理全链属性的属性管理基础设施;
所述属性管理基础设施建立的步骤如下:
系统初始化阶段,由权威组织建立属性管理基础设施的结构、存储方式等,用于对全链的所有属性进行规范化管理。各组织申请接入许可链系统时,权威组织根据申请组织的业务、角色等,为其分配公开属性。各组织可以根据自身业务开展情况,向权威组织申请维护自己的私有属性,权威组织决定是否通过申请,通过申请后组织即可用于后续的数据加解密。权威组织根据属性申请结果,动态管理属性管理基础设施中的属性集合。
所述属性管理基础设施由许可链权威组织管理,具体包括:
各组织的属性集合包括自己拥有的公开属性和私有属性,对非权威组织之外的其他组织而言保密,保证各组织的数据隐私,满足个性化加密需要。属性管理基础设施仅限于权威组织信任节点间传递共享,对其他组织而言保密,防止非法组织恶意猜测属性,窃取数据隐私。
步骤二,数据发布组织提交的访问树重构为属性管理基础设施下的规范标准访问树;
步骤三,利用重构后的规范标准访问树对组织提交的密文进行转加密,将个性化的加密及访问控制转为全链规范的加密及访问控制。
其中,所述各上链组织采用基于属性加密算法对上链数据进行加密的步骤,包括:组织根据共享数据的访问控制需求,在自己拥有的属性集合中选择加密的属性,采用基于属性加密的算法对数据加密,并为其生成访问控制策略。
所述获知将组织的密文及访问控制策略转为全链规范的密文及访问控制策略,转换步骤具体包括:权威组织利用属性管理基础设施,将访问控制策略中组织的属性转为全链规范的属性,并重构访问控制策略,解决属性多样化问题。权威组织根据重构后的访问控制策略,对数据发布组织的密文进行转加密,将个性化加密转为规范的加密,降低访问控制判定的复杂度。权威组织拥有属性管理基础设施的全部控制权,进而可以对规范化的加密数据进行高效监管。
所述获知访问控制策略是数据访问控制需求的逻辑表现,具体包括:
访问策略一般用访问结构来表示,访问结构有多种表示形式,树形结构的访问树查询效率高且易于构建,主要采用访问树来表示访问结构,但不限于只有这种形式。
所述访问控制策略用于数据访问权限的判定从而限制非法数据访问,所述数据访问权限的判定,具体包括:
访问控制的判定由智能合约来实现,自动给出判定结果。数据请求组织需要具有数据访问控制策略中的全部属性,并满足属性之间的逻辑关系,才能说明具有数据访问权限。
采用上述方法的许可链数据共享及监管的属性重构加密系统,包括:
权威组织,作为业务联盟系统的发起或监管单位,负责对系统资源进行管理、配置,并负责对接入组织的业务及数据进行有效监管。
接入组织,担任业务联盟的某个角色,负责具体的某一类业务或整个业务流程的某一环节。
权威组织管理许可链系统中的多种节点,比如许可链证书授权CA中心、排序Order节点。
优选地,所述许可链证书授权CA中心具有多种功能,包括:
负责接入组织及节点的证书管理,管理属性管理基础设施,提供属性管理服务,可以建立多级分CA中心。
优选地,所述对等Peer节点具有多种功能,包括:
负责各组织接入许可链系统网络,执行访问控制智能合约。
优选地,所述排序Order节点具有多种功能,包括:
负责对各Peer节点提交的交易提案进行排序,执行属性重构加密智能合约,实现访问控制策略重构和重加密。
各接入组织安装部署应用程序客户端和对等Peer节点,负责业务处理及与许可链对接。
优选地,所述应用程序客户端具有多种功能,包括:
负责各组织内部的业务逻辑处理,对需要授权访问的数据进行基于属性加密的算法进行加密操作,根据访问控制策略构造访问树。进一步地,将加密后的数据及访问树发送给自己的Peer节点。
优选地,所述对等Peer节点具有多种功能,包括:
负责与排序Order节点进行通信,将交易提案发送至Order节点。
执行访问控制智能合约,判定是否具有数据访问控制权限。
本申请通过基于属性加密的密码学算法和许可链技术,可以保护上链数据的隐私安全,实现数据的细粒度灵活授权,利用发明的属性重构加密方法及系统,可以实现对加密数据的高效监管。
附图说明
图1为本发明的许可链数据共享及监管的应用场景示意图。
图2为本发明一个实施例的属性管理基础设施构建的流程图。
图3为本发明一个实施例的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1为本发明的许可链数据共享及监管的应用场景示意图,如图1所示,该应用场景涉及的系统包括:权威组织系统11、权威组织节点12、许可链数据共享及监管平台13、组织端A节点14、组织端A系统15、组织端B节点16、组织端B系统17、组织端X节点18及组织端X系统19。权威组织节点12、组织端A节点14、组织端B节点16及组织端X节点18分别通过对应的许可链技术与许可链数据共享及监管平台13进行通信及数据交互,都拥有许可链数据共享及监管平台的完整账本副本。权威组织系统11和权威组织节点12由许可链权威组织负责管理运维,包括:证书管理、属性管理、数据监管等。组织端A节点14和组织端A系统15由组织A负责管理运维,组织端A系统15负责组织A内部业务系统的处理,包括数据加密解密、访问策略设置等,并通过组织端A节点14接入许可链系统,组织端A节点14可以执行如属性管理智能合约、访问控制智能合约等,实现属性管理及访问控制策略检查。以此类推组织B、组织X的系统。权威组织节点12可以是普通的区块链对等节点、CA节点、排序节点、背书节点等,可以执行访问树重构、属性重构加密、属性管理等智能合约。许可链数据共享及监管平台13是一种采用许可链技术,提供身份认证、证书管理等安全机制的分布式许可链系统,可以满足共享数据的分布式存储、安全有效的共享及监管。
图2为本发明一个实施例的属性管理基础设施构建的流程图,如图2所示,本实施例提供的属性管理基础设施构建包括以下几个步骤。
步骤21,权威组织初始化。在系统初始化阶段,由权威组织建立属性管理基础设施的结构、存储方式等,同时建立用户属性集合,用于对全链的所有属性进行规范化管理。
其中,属性管理基础设施的结构可以采用Key-Value(数据字典)、关系表等,以文件或数据库表的方式存储。用户属性集合用于存储接入组织所拥有的全部属性集合。
具体地,在本实施例中,属性字典中Key表示全链规范的属性名称,Key对应的Value中存储与该规范属性名称近似的属性名称。如Key为“苹果”,Value中可能存储的属性包括“红富士苹果”、“青苹果”、“嘎啦苹果”等。
步骤22,为接入组织分配公共属性。权威组织在批准各组织的接入申请时,根据申请组织的业务、角色等,为其分配公开属性。
其中,公开属性可以为组织名称、组织身份ID、系统所属角色、接入时间等不同内容。
具体地,本实施例中,系统所属角色可以根据不同的应用系统而定。比如在农产品供应链应用中的许可链数据共享及监管系统,系统所属角色包括生产商、物流商、零售商、消费者等。
步骤23,接入组织申请私有属性。各组织在接入许可链系统后,可以根据自身业务开展情况,向权威组织申请维护自己的私有属性,权威组织决定是否批准申请,通过申请后该组织即可用于后续的数据加解密。
具体地,本实施例中,私有属性可以是新开展业务所需增加的属性,也可以是原有业务对应属性的变更。如对供应链系统中的物流商而言,新增加了“香蕉”产品的物流业务,则需要申请注册“香蕉”属性;而如果对现有“苹果”商品按品种进行精细化管理,则需要将“苹果”拆分为“红富士苹果”、“青苹果”等多个属性,此时需要申请属性变更。
可以理解的是,在本实施例中,私有属性根据各组织的自身业务情况动态向权威组织申请,不同组织间申请私有属性可能导致全链系统中属性发生冗余、歧义、近义等问题。
步骤24,全链属性管理基础设施。各组织的公共属性和私有属性共同构成了全链属性管理基础设施。
可以理解的是,在本实施例中,属性管理基础设施的建立主要解决上述属性冗余、歧义、近义等问题,将多样化的属性映射转换为全链规范的属性,以便于全链数据共享及监管。如将来自不同组织的“红富士苹果”、“青苹果”统一转为全链规范的“苹果”属性。
步骤25,维护全链属性。权威组织根据属性申请结果,动态维护管理全链属性,属性管理基础设施中的属性集合。
具体地,在本实施例中,当权威组织接收到某组织的注册“香蕉”属性地申请时,如果批准该申请,并且当前属性管理基础设施中并无次属性,则在属性字典中增加一条Key为“香蕉”的记录,同时在该申请组织所拥有的属性集合中增加“香蕉”属性名称。
步骤26,提供属性服务。权威组织根据属性管理基础设施、组织的属性集合对外提供查询、修改、删除等属性服务。
具体地,在本实施例中,当各接入组织节点向权威组织提交属性操作申请时,权威组织的对等节点、CA节点会执行相应的智能合约,对申请进行有效性检查,通过后提供属性操作结果。
本实施例提供的属性管理基础设施构建方法,通过属性字典管理全链的属性,既可以满足不同接入组织的个性化属性需求,还可以将冗余属性、同义属性转换为规范标准的属性。为基于属性加密方案中的属性管理困难问题提出了灵活、高效的解决方案。
图3为本发明一个实施例的许可链数据共享及监管的属性重构加密方法的流程图,如图3所示,本实施例提供的属性重构加密方法,是在本发明的属性管理基础设施的基础上,对基于属性加密密文的安全共享及高效监管的进一步细化,本实施例提供的属性重构加密方法包括以下步骤。
步骤31,组织端选择属性生成访问树。
其中,访问树是数据共享组织对拟上链共享数据设置访问控制需求的表示形式,通过访问树的遍历即可判定是否具有共享数据的访问权限。
具体地,在本实施例中,访问树的叶子节点表示用于数据加密的属性,非叶子节点为门限节点,用于表示访问控制需求中属性的逻辑关系,支持“与”(AND)、“或”(OR)逻辑运算,数据访问者需满足此门限最低值,方可解密此节点秘密值。例如门限节点“1/2”包括2个叶子节点“顺丰”和“京东”,其中,门限节点“1/2”表示2个属性中至少有1个才能满足解密的逻辑条件;“顺丰”表示拥有“顺丰”的属性。具有该访问树中的属性(“顺丰”、“京东”)并且满足其逻辑关系(“1/2”至少拥有1个)的组织都可以访问该加密数据,从而实现了1次加密N次共享。
步骤32,组织端基于属性的数据加密。
其中,数据加密根据选中的属性采用CP-ABE算法,将拟上链共享的明文数据转为加密后的密文。
具体地,以组织A进行数据上链共享为例,组织端A系统选择用于加密的属性,并为数据配置访问控制规则,即生成访问树,然后对明文数据进行CP-ABE加密,从而得到共享数据的密文。
具体地,明文数据为“2020.03.29,商户A,苹果,红富士,顺丰,泰安,消费者AA,5.00元/斤,1000公斤,现金付款”,用于CP-ABE加密的属性及访问树为“(sysadmin orsupervision_team or商户A)or(苹果and 2of(顺丰,红富士))”,进行加密得到的密文数据,如部分密文数据为
步骤33,数据发布上链。
其中,数据是指采用CP-ABE算法加密后的密文。
具体地,组织端A系统将数据的密文及访问树一起发送至组织端A节点,由该节点负责向许可链系统提交数据共享的交易提案请求。
步骤34,权威组织端重构访问树。
其中,重构访问树是根据属性管理基础设施,即属性字典,将组织端A提交的访问树转为规范标准的访问树。
具体地,权威组织管理地Order节点接收到交易提案后,根据属性管理基础设施对交易提交的访问树进行检查,将同义、近义的属性转为规范属性,并重新构造为规范访问树。如将访问树“(sysadmin or supervision_team or商户A)or(苹果and 2of(顺丰,红富士))”重构为“(sysadmin or supervision_team or商户A)or(2of(顺丰,红富士))”。
步骤35,权威组织端属性重构加密。
其中,重构加密是权威组织对组织A提交的密文进行解密,并采用重新构造的规范访问树进行CP-ABE加密。
具体地,权威组织管理着全链所有组织的属性,因此可以解密所有组织提交地密文数据,根据规范访问树采用相同的CP-ABE加密算法,对解密后的明文数据进行重新加密,得到规范的数据密文。
步骤36,加密数据写入区块。
其中,加密数据是指经权威组织属性重构加密后的密文数据,区块指许可链系统统一生成的数据区块,可以分散存储于各许可链系统节点。
具体地,权威组织管理的Order节点根据区块生成规则,将接收到的当前数据统一打包生成一个新的区块,并将该区块广播给各接入的组织端X节点。各组织端X节点接收到区块信息后,更新本地管理的账本数据。
本发明实施例通过CP-ABE算法保证数据共享组织对数据机密性、个性化加密及细粒度访问控制的需求,利用建立的属性管理基础设施对全链的属性进行规范化管理,基于CP-ABE和属性管理基础设施构建的属性重构加密方法可以将个性化加密转为规范化加密,从而保障许可链存储数据的高效共享及监管,为解决许可链中分布式存储数据的安全性提供了新的方案和思路。
最后,本申请的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种许可链数据共享及监管的属性重构加密方法,其特征包括:
步骤一,许可链权威组织作为数据监管组织,构建用于管理全链属性的属性管理基础设施;
所述属性管理基础设施建立的步骤如下:
系统初始化阶段,由权威组织建立属性管理基础设施的结构、存储方式等,用于对全链的所有属性进行规范化管理;各组织申请接入许可链系统时,权威组织根据申请组织的业务、角色,为其分配公开属性;各组织可以根据自身业务开展情况,向权威组织申请维护自己的私有属性,权威组织决定是否通过申请,通过申请后组织即可用于后续的数据加解密;权威组织根据属性申请结果,动态管理属性管理基础设施中的属性集合;
所述属性管理基础设施由许可链权威组织管理,具体包括:
各组织的属性集合包括自己拥有的公开属性和私有属性,对非权威组织之外的其他组织而言保密,保证各组织的数据隐私,满足个性化加密需要;属性管理基础设施仅限于权威组织信任节点间传递共享,对其他组织而言保密,防止非法组织恶意猜测属性,窃取数据隐私;
步骤二,数据发布组织提交的访问树重构为属性管理基础设施下的规范标准访问树;
步骤三,利用重构后的规范标准访问树对组织提交的密文进行转加密,将个性化的加密及访问控制转为全链规范的加密及访问控制。
2.根据权利要求1所述的一种许可链数据共享及监管的属性重构加密方法,其特征还在于:所述各上链组织采用基于属性加密算法对上链数据进行加密的步骤,包括:组织根据共享数据的访问控制需求,在自己拥有的属性集合中选择加密的属性,采用基于属性加密的算法对数据加密,并为其生成访问控制策略。
3.根据权利要求1或2所述的一种许可链数据共享及监管的属性重构加密方法,其特征还在于:所述获知将组织的密文及访问控制策略转为全链规范的密文及访问控制策略,转换步骤具体包括:权威组织利用属性管理基础设施,将访问控制策略中组织的属性转为全链规范的属性,并重构访问控制策略,解决属性多样化问题;权威组织根据重构后的访问控制策略,对数据发布组织的密文进行转加密,将个性化加密转为规范的加密,降低访问控制判定的复杂度;权威组织拥有属性管理基础设施的全部控制权,进而可以对规范化的加密数据进行高效监管。
4.根据权利要求3所述的一种许可链数据共享及监管的属性重构加密方法,其特征还在于:
所述获知访问控制策略是数据访问控制需求的逻辑表现,具体包括:
访问策略一般用访问结构来表示,访问结构有多种表示形式,树形结构的访问树查询效率高且易于构建,主要采用访问树来表示访问结构,但不限于只有这种形式;
所述访问控制策略用于数据访问权限的判定从而限制非法数据访问,所述数据访问权限的判定,具体包括:
访问控制的判定由智能合约来实现,自动给出判定结果;数据请求组织需要具有数据访问控制策略中的全部属性,并满足属性之间的逻辑关系,才能说明具有数据访问权限。
5.采用1-4任一所述方法的许可链数据共享及监管的属性重构加密系统,其特征包括:
权威组织,作为业务联盟系统的发起或监管单位,负责对系统资源进行管理、配置,并负责对接入组织的业务及数据进行有效监管;
接入组织,担任业务联盟的某个角色,负责具体的某一类业务或整个业务流程的某一环节;
权威组织管理许可链系统中的多种节点,比如许可链证书授权CA中心、排序Order节点;
所述许可链证书授权CA中心具有多种功能,包括:
负责接入组织及节点的证书管理,管理属性管理基础设施,提供属性管理服务,建立多级分CA中心;
所述对等Peer节点具有多种功能,包括:
负责各组织接入许可链系统网络,执行访问控制智能合约;
所述排序Order节点具有多种功能,包括:
负责对各Peer节点提交的交易提案进行排序,执行属性重构加密智能合约,实现访问控制策略重构和重加密;
各接入组织安装部署应用程序客户端和对等Peer节点,负责业务处理及与许可链对接;
所述应用程序客户端具有多种功能,包括:
负责各组织内部的业务逻辑处理,对需要授权访问的数据进行基于属性加密的算法进行加密操作,根据访问控制策略构造访问树;进一步地,将加密后的数据及访问树发送给自己的Peer节点;
所述对等Peer节点具有多种功能,包括:
负责与排序Order节点进行通信,将交易提案发送至Order节点;
执行访问控制智能合约,判定是否具有数据访问控制权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110457102.6A CN113127927B (zh) | 2021-04-27 | 2021-04-27 | 一种许可链数据共享及监管的属性重构加密方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110457102.6A CN113127927B (zh) | 2021-04-27 | 2021-04-27 | 一种许可链数据共享及监管的属性重构加密方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127927A true CN113127927A (zh) | 2021-07-16 |
| CN113127927B CN113127927B (zh) | 2022-03-18 |
Family
ID=76780284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110457102.6A Active CN113127927B (zh) | 2021-04-27 | 2021-04-27 | 一种许可链数据共享及监管的属性重构加密方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127927B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314202A (zh) * | 2022-10-10 | 2022-11-08 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于安全多方计算的数据处理方法及电子设备、存储介质 |
| CN117544431A (zh) * | 2024-01-10 | 2024-02-09 | 北京中微盛鼎科技有限公司 | 一种团队协作过程中分布式信息安全共享方法 |
Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090080658A1 (en) * | 2007-07-13 | 2009-03-26 | Brent Waters | Method and apparatus for encrypting data for fine-grained access control |
| CN101807991A (zh) * | 2009-02-18 | 2010-08-18 | 上海交通大学 | 密文政策属性基加密系统和方法 |
| WO2011045723A1 (en) * | 2009-10-15 | 2011-04-21 | Koninklijke Philips Electronics N.V. | Ciphertext-policy attribute-based encryption and re-encryption |
| US20160241399A1 (en) * | 2013-03-15 | 2016-08-18 | Arizona Board Of Regents On Behalf Of Arizona State University | Efficient Privacy-Preserving Ciphertext-Policy Attribute Based Encryption and Broadcast Encryption |
| US20160359856A1 (en) * | 2014-12-31 | 2016-12-08 | Shenzhen University | Method, apparatus, and system for access control of shared data |
| CN106503994A (zh) * | 2016-11-02 | 2017-03-15 | 西安电子科技大学 | 基于属性加密的区块链隐私数据访问控制方法 |
| CN108418784A (zh) * | 2017-12-04 | 2018-08-17 | 重庆邮电大学 | 一种基于属性密码的分布式跨域授权和访问控制方法 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储系统 |
| CN110019632A (zh) * | 2018-04-19 | 2019-07-16 | 中国测绘科学研究院 | 一种基于形状树的地理要素形状分析方法 |
| CN110278210A (zh) * | 2019-06-24 | 2019-09-24 | 北京邮电大学 | 一种云环境下基于属性的可扩展视频数据访问控制方法 |
| CN110313146A (zh) * | 2016-12-27 | 2019-10-08 | 赫尔德·西尔维斯特·佩瓦·菲盖拉 | 模糊度增强 |
| CN110689433A (zh) * | 2019-09-26 | 2020-01-14 | 上海克而瑞信息技术有限公司 | 一种基于联盟链的资管信息服务系统、方法和装置 |
| EP3618346A1 (en) * | 2018-08-31 | 2020-03-04 | Koninklijke Philips N.V. | A method and apparatus for policy hiding on ciphertext-policy attribute-based encryption |
| CN110889130A (zh) * | 2018-12-10 | 2020-03-17 | 北京炼石网络技术有限公司 | 基于数据库的细粒度数据加密方法、系统及装置 |
| CN111159724A (zh) * | 2019-11-18 | 2020-05-15 | 南京航空航天大学 | 一种细粒度策略的条件代理可重构加密方法 |
| CN111368318A (zh) * | 2020-03-04 | 2020-07-03 | 江苏大学 | 一种面向多模态区块链交易的客体追踪方法 |
| CN111371561A (zh) * | 2020-02-27 | 2020-07-03 | 华信咨询设计研究院有限公司 | 基于cp-abe算法的联盟区块链数据访问控制方法 |
| CN111953483A (zh) * | 2020-07-29 | 2020-11-17 | 哈尔滨工程大学 | 一种基于准则的多授权机构访问控制方法 |
| CN111970106A (zh) * | 2020-08-19 | 2020-11-20 | 北京邮电大学 | 一种格上支持全同态的短密文属性基加密方法及系统 |
| CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
| WO2020252050A1 (en) * | 2019-06-10 | 2020-12-17 | Children's Hospital Los Angeles | Dynamic encryption/decryption of genomic information |
| CN112307987A (zh) * | 2020-11-03 | 2021-02-02 | 泰山学院 | 基于深度混合路由网络识别通信信号的方法 |
| CN112532588A (zh) * | 2020-11-06 | 2021-03-19 | 北京工业大学 | 一种基于区块链的策略隐藏型数据访问控制方法 |
-
2021
- 2021-04-27 CN CN202110457102.6A patent/CN113127927B/zh active Active
Patent Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090080658A1 (en) * | 2007-07-13 | 2009-03-26 | Brent Waters | Method and apparatus for encrypting data for fine-grained access control |
| CN101807991A (zh) * | 2009-02-18 | 2010-08-18 | 上海交通大学 | 密文政策属性基加密系统和方法 |
| WO2011045723A1 (en) * | 2009-10-15 | 2011-04-21 | Koninklijke Philips Electronics N.V. | Ciphertext-policy attribute-based encryption and re-encryption |
| US20160241399A1 (en) * | 2013-03-15 | 2016-08-18 | Arizona Board Of Regents On Behalf Of Arizona State University | Efficient Privacy-Preserving Ciphertext-Policy Attribute Based Encryption and Broadcast Encryption |
| US20160359856A1 (en) * | 2014-12-31 | 2016-12-08 | Shenzhen University | Method, apparatus, and system for access control of shared data |
| CN106503994A (zh) * | 2016-11-02 | 2017-03-15 | 西安电子科技大学 | 基于属性加密的区块链隐私数据访问控制方法 |
| CN110313146A (zh) * | 2016-12-27 | 2019-10-08 | 赫尔德·西尔维斯特·佩瓦·菲盖拉 | 模糊度增强 |
| CN108418784A (zh) * | 2017-12-04 | 2018-08-17 | 重庆邮电大学 | 一种基于属性密码的分布式跨域授权和访问控制方法 |
| CN110019632A (zh) * | 2018-04-19 | 2019-07-16 | 中国测绘科学研究院 | 一种基于形状树的地理要素形状分析方法 |
| CN108965299A (zh) * | 2018-07-19 | 2018-12-07 | 清华大学 | 一种数据访问方法、访问验证设备及数据存储系统 |
| EP3618346A1 (en) * | 2018-08-31 | 2020-03-04 | Koninklijke Philips N.V. | A method and apparatus for policy hiding on ciphertext-policy attribute-based encryption |
| CN110889130A (zh) * | 2018-12-10 | 2020-03-17 | 北京炼石网络技术有限公司 | 基于数据库的细粒度数据加密方法、系统及装置 |
| WO2020252050A1 (en) * | 2019-06-10 | 2020-12-17 | Children's Hospital Los Angeles | Dynamic encryption/decryption of genomic information |
| CN110278210A (zh) * | 2019-06-24 | 2019-09-24 | 北京邮电大学 | 一种云环境下基于属性的可扩展视频数据访问控制方法 |
| CN110689433A (zh) * | 2019-09-26 | 2020-01-14 | 上海克而瑞信息技术有限公司 | 一种基于联盟链的资管信息服务系统、方法和装置 |
| CN111159724A (zh) * | 2019-11-18 | 2020-05-15 | 南京航空航天大学 | 一种细粒度策略的条件代理可重构加密方法 |
| CN111371561A (zh) * | 2020-02-27 | 2020-07-03 | 华信咨询设计研究院有限公司 | 基于cp-abe算法的联盟区块链数据访问控制方法 |
| CN111368318A (zh) * | 2020-03-04 | 2020-07-03 | 江苏大学 | 一种面向多模态区块链交易的客体追踪方法 |
| CN111953483A (zh) * | 2020-07-29 | 2020-11-17 | 哈尔滨工程大学 | 一种基于准则的多授权机构访问控制方法 |
| CN111970106A (zh) * | 2020-08-19 | 2020-11-20 | 北京邮电大学 | 一种格上支持全同态的短密文属性基加密方法及系统 |
| CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
| CN112307987A (zh) * | 2020-11-03 | 2021-02-02 | 泰山学院 | 基于深度混合路由网络识别通信信号的方法 |
| CN112532588A (zh) * | 2020-11-06 | 2021-03-19 | 北京工业大学 | 一种基于区块链的策略隐藏型数据访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| LYES TOUATI .ETAL: ""C-CP-ABE:Cooperative Ciphertext Policy Attribute-Based Encryption for the Internet of Things"", 《INTERNATIONAL CONFERENCE ON ADVANCED NETWORKING, DISTRIBUTED SYSTEMS AND APPLICATIONS, 2014》 * |
| 邱云翔 等: ""基于CP-ABE算法的区块链数据访问控制方案"", 《网络与信息安全学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314202A (zh) * | 2022-10-10 | 2022-11-08 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于安全多方计算的数据处理方法及电子设备、存储介质 |
| US11853449B1 (en) | 2022-10-10 | 2023-12-26 | Harbin Institute of Technology, (Shenzhen) (Shenzhen Int'l Technical Innovation Rearch Institute) | Data processing method based on secure multi-party computation, electronic device, and storage medium |
| CN117544431A (zh) * | 2024-01-10 | 2024-02-09 | 北京中微盛鼎科技有限公司 | 一种团队协作过程中分布式信息安全共享方法 |
| CN117544431B (zh) * | 2024-01-10 | 2024-03-15 | 北京中微盛鼎科技有限公司 | 一种团队协作过程中分布式信息安全共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127927B (zh) | 2022-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108753B2 (en) | Securing files using per-file key encryption | |
| CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
| US7577258B2 (en) | Apparatus and method for group session key and establishment using a certified migration key | |
| CN109768987A (zh) | 一种基于区块链的数据文件安全隐私存储和分享方法 | |
| CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
| CN102685148A (zh) | 一种云存储环境下的安全网盘系统的实现方法 | |
| CN109525570A (zh) | 一种面向集团客户的数据分层安全访问控制方法 | |
| CN106203146A (zh) | 一种大数据安全管理系统 | |
| CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
| Zhang et al. | Bcst‐apts: Blockchain and cp‐abe empowered data supervision, sharing, and privacy protection scheme for secure and trusted agricultural product traceability system | |
| CN111008855B (zh) | 一种基于改进代理重加密的追溯数据访问控制方法 | |
| CN108021677A (zh) | 云计算分布式检索引擎的控制方法 | |
| CN113127927B (zh) | 一种许可链数据共享及监管的属性重构加密方法及系统 | |
| CN112835977A (zh) | 一种基于区块链的数据库管理方法及系统 | |
| CN106326666A (zh) | 一种健康档案信息管理服务系统 | |
| CN108632385A (zh) | 基于时间序列的多叉树数据索引结构云存储隐私保护方法 | |
| CN117097566A (zh) | 加权属性代理重加密信息细粒度访问控制系统及方法 | |
| CN116232704B (zh) | 一种基于xacml与智能合约的数据受控访问方法及系统 | |
| CN106161654A (zh) | 一种云教育系统 | |
| Liu et al. | A consortium medical blockchain data storage and sharing model based on IPFS | |
| CN108737079A (zh) | 分布式量子密钥管理系统及方法 | |
| CN112347496A (zh) | 一种细粒度数据安全访问控制方法及系统 | |
| Cheng et al. | Ocean data sharing based on blockchain | |
| Tian et al. | A trusted control model of cloud storage | |
| Celiktas et al. | A higher level security protocol for cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |