CN113595735A - 一种基于cp-abe的可监管的隐私保护跨区块链系统 - Google Patents

一种基于cp-abe的可监管的隐私保护跨区块链系统 Download PDF

Info

Publication number
CN113595735A
CN113595735A CN202110784004.3A CN202110784004A CN113595735A CN 113595735 A CN113595735 A CN 113595735A CN 202110784004 A CN202110784004 A CN 202110784004A CN 113595735 A CN113595735 A CN 113595735A
Authority
CN
China
Prior art keywords
chain
cross
transaction
relay
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110784004.3A
Other languages
English (en)
Other versions
CN113595735B (zh
Inventor
戴晓
卢光宏
周国浩
丁旋
赵曦滨
唐华云
李�荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Bond Jinke Information Technology Co ltd
Tsinghua University
Original Assignee
China Bond Jinke Information Technology Co ltd
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Bond Jinke Information Technology Co ltd, Tsinghua University filed Critical China Bond Jinke Information Technology Co ltd
Priority to CN202110784004.3A priority Critical patent/CN113595735B/zh
Publication of CN113595735A publication Critical patent/CN113595735A/zh
Application granted granted Critical
Publication of CN113595735B publication Critical patent/CN113595735B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1059Inter-group management mechanisms, e.g. splitting, merging or interconnection of groups
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开一种基于CP‑ABE的可监管的隐私保护跨区块链系统,系统包括发起链、发起链路由、中继链、接收链路由和接收链。发起链通过支持CP‑ABE的预设跨链智能合约函数对待跨链交易进行加密后得到跨链交易,使跨链交易在跨链传输过程中具有隐私性,中继链生成密钥并发送至接收链中的目标用户,接收链判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。使得并不是接收链上的所有用户都可以获得跨链交易,仅对转换格式后的跨链交易解密成功的才可以获得跨链交易,实现对跨链业务进行用户级别的隐私保护,避免多次加密带来的不便,且监管方以简单方式参与中继链,实现层级的数据可见,满足实际业务场景。

Description

一种基于CP-ABE的可监管的隐私保护跨区块链系统
技术领域
本发明涉及区块链技术领域,具体而言,涉及一种基于CP-ABE的可监管的隐私保护跨区块链系统。
背景技术
目前,各区块链之间可以进行跨链业务,现有的主要的跨链方式为中继链模式。
现有中继链的跨链方式为:发起链发起跨链业务,发起链路由获取跨链业务中的信息例如跨链交易发送至中继链,中继链进行数据收集与存证,接收链路由读取跨链业务中的信息,自行验证并发送给接收链。
由于通过上述跨链方式,接收链上的所有用户都可以获得跨链业务中的信息,因此,难以实现对跨链业务进行用户级别的隐私保护,并且,由于链上数据庞杂,导致监管方对数据难以监管。
发明内容
本发明提供了一种基于CP-ABE的可监管的隐私保护跨区块链系统,实现基于属性对跨链业务进行用户级别的隐私保护以及对数据实现层级监管。具体的技术方案如下。
第一方面,本发明提供了一种基于CP-ABE的可监管的隐私保护跨区块链系统,所述系统包括发起链、发起链路由、中继链、接收链路由和接收链:
所述发起链发送创建跨链业务通道请求、第一跨链业务属性和跨链业务监管节点名称至所述中继链;
所述中继链接收所述创建跨链业务通道请求,建立跨链业务通道,其中,所述跨链业务通道的结构至少包括所述跨链业务通道的通道标识和访问树,所述访问树包含所述第一跨链业务属性和所述中继链根据所述跨链业务监管节点名称分配的目标监管节点,并将所述通道标识和所述访问树发送至所述发起链;
所述发起链接收所述通道标识和所述访问树并保存;
所述接收链中的目标用户通过所述中继链发送权限分配请求至所述发起链,其中,所述权限分配请求中包括第二跨链业务属性和所述目标用户的签名;
所述发起链接收所述权限分配请求并审核,当审核通过时,对所述权限分配请求进行签名并打包生成新请求,将所述新请求通过所述发起链路由发送至所述中继链,其中,所述新请求中包括所述第二跨链业务属性、所述目标用户的签名和所述发起链中对所述权限分配请求进行审核的审核节点的签名;
所述中继链接收所述新请求,对所述目标用户的签名和所述审核节点的签名进行验证,当验证通过时,根据密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和所述第二跨链业务属性生成所述第二跨链业务属性对应的密钥,并将所述密钥发送至所述接收链中的所述目标用户;
所述发起链生成包括跨链交易和所述通道标识的跨链请求,根据所述跨链交易生成跨链交易证明并保存,发送所述跨链请求至所述发起链路由,其中,所述跨链交易为通过支持所述CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到的;
所述发起链路由接收所述跨链请求,将所述跨链交易的格式转换为跨链协议CCP格式,并将转换后的跨链交易发送至所述中继链上所述通道标识对应的跨链业务通道;
所述中继链上的所述通道标识对应的跨链业务通道接收转换后的跨链交易,判断所述跨链交易是否完整,对所述跨链交易的跨链交易证明进行验证,并通过所述目标监管节点对所述跨链交易进行解密,如果解密成功、所述跨链交易完整以及验证通过,则标记所述跨链交易有效,通过所述接收链路由发送跨链交易获取通知至所述接收链;
所述接收链接收所述跨链交易获取通知,从所述中继链获取所述跨链交易,并将所述跨链交易的格式转换为自身链上数据的格式并保存,判断所述目标用户通过所述密钥是否对所述转换格式后的跨链交易解密成功,如果是,所述目标用户得到解密后的跨链交易。
可选的,所述中继链根据所述CP-ABE生成所述预设公开参数和所述预设主密钥,根据各监管者的权限建立中继监管树并存储,其中,所述中继监管树中的一节点对应一监管者,各父节点有查看自身拥有的所有子节点的数据的权限。
可选的,所述中继链在所述中继监管树中查找到所述跨链业务监管节点名称对应的跨链业务监管节点,获得所述跨链业务监管节点对应的父节点,将所获得的父节点作为当前子节点,获得所述当前子节点对应的父节点,返回执行将所获得的父节点作为当前子节的步骤直至获得所述中继链监管树的根节点,将所获得的各节点作为所述目标监管节点,由所述目标监管节点组成中继链监管列表,根据所述中继链监管列表和所述第一跨链业务属性建立所述访问树。
可选的,所述中继链根据预设树生成规则和所述第一跨链业务属性生成跨链业务属性树,根据所述预设树生成规则和所述中继链监管列表生成中继链监管列表树,将所述跨链业务属性树作为预设根节点的左子树,将所述中继链监管列表树作为所述预设根节点的右子树,生成所述访问树。
可选的,所述发起链通过所述预设跨链智能合约函数、所述预设公开参数和所述访问树分别对所述待跨链交易中的接收链调用合约函数参数和跨链字段进行加密生成第一密文和第二密文,得到所述跨链交易。
可选的,所述CCP格式至少包括协议版本号、跨链交易哈希值和跨链交易证明;
所述中继链将所述跨链交易中的协议版本号与所述CCP中的协议版本号进行对比,计算所述跨链交易的哈希值,并将计算得到的哈希值与所述CCP 中的哈希值进行对比,如果协议版本号相同且哈希值相同,则确定所述跨链交易完整,根据所述CCP中的跨链交易证明对所述跨链交易的跨链交易证明进行验证,如果跨链交易证明相同,则确定验证通过。
可选的,所述CCP格式还包括发起链标识、通道标识、接收链标识、接收链调用合约函数、接收链调用合约函数参数、跨链字段和跨链交易时间戳。
可选的,所述中继链通过自身存储的私钥对所述目标用户的签名和所述审核节点的签名进行解密,如果解密成功,则确定验证通过。
可选的,所述中继链在标记所述跨链交易有效之后,保存标记所述跨链交易有效的记录。
可选的,所述接收链判断所述目标用户接收到的密钥中的第二跨链业务属性是否为所述第一跨链业务属性,如果是,确定跨链交易解密成功。
由上述内容可知,本实施例中发起链通过支持CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到跨链交易,使得跨链交易在跨链传输过程中具有隐私性,并且,中继链通过密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和第二跨链业务属性生成第二跨链业务属性对应的密钥,并将密钥发送至接收链中的目标用户,接收链判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。这使得并不是接收链上的所有用户都可以获得跨链交易,只有可以对转换格式后的跨链交易解密成功的目标用户才可以获得跨链交易,实现了对跨链业务进行用户级别的隐私保护,也就是本发明提供的加密方式是基于属性的,拥有该属性的一类用户都可以对转换格式后的跨链交易进行解密得到跨链交易,从而避免了为了实现隐私保护而进行多次加密带来的不便,并且中继链上中继监管树的存在能够让监管方以分层的方式参与中继链,实现层级的数据可见,能够让监管变的更加容易,在保护用户隐私的前提下提高可操作性,满足实际业务场景的需求。即实现了对数据的层级的可监管,同时实现基于属性的隐私保护。当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
本发明实施例的创新点包括:
1、发起链通过支持CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到跨链交易,使得跨链交易在跨链传输过程中具有隐私性,并且,中继链通过密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和第二跨链业务属性生成第二跨链业务属性对应的密钥,并将密钥发送至接收链中的目标用户,接收链判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。这使得并不是接收链上的所有用户都可以获得跨链交易,只有可以对转换格式后的跨链交易解密成功的目标用户才可以获得跨链交易,实现了对跨链业务进行用户级别的隐私保护,也就是本发明提供的加密方式是基于属性的,拥有该属性的一类用户都可以对转换格式后的跨链交易进行解密得到跨链交易,从而避免了为了实现隐私保护而进行多次加密带来的不便,并且中继链上中继监管树的存在能够让监管方以分层的方式参与中继链,实现层级的数据可见,能够让监管变的更加容易,在保护用户隐私的前提下提高可操作性,满足实际业务场景的需求。即实现了对数据的层级的可监管,同时实现基于属性的隐私保护。
2、本发明实施例中的发起链仅进行一次加密得到跨链交易,无需加密多次即可实现跨链交易在跨链传输过程中具有隐私性。
3、各路由仅对接不同应用链的数据格式,无需进行验证,减少了工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于CP-ABE的可监管的隐私保护跨区块链系统的一种结构示意图;
图2为本发明实施例提供的通过基于CP-ABE的可监管的隐私保护跨区块链系统进行跨链的跨链流程图;
图3为访问树的生成图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例及附图中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含的一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
本发明实施例公开了一种基于CP-ABE的可监管的隐私保护跨区块链系统,实现基于属性对跨链业务进行用户级别的隐私保护以及对数据实现层级监管。下面对本发明实施例进行详细说明。
图1为本发明实施例提供的基于CP-ABE的可监管的隐私保护跨区块链系统的一种结构示意图。图2为本发明实施例提供的通过基于CP-ABE的可监管的隐私保护跨区块链系统进行跨链的跨链流程图。
参见图1,本发明实施例提供的基于CP-ABE的可监管的隐私保护跨区块链系统包括发起链、发起链路由、中继链、接收链路由和接收链。
发起链和接收链的类型均为应用链,应用链为已正常运行的业务区块链,除了用于之前业务的程序之外,应用链还需要支持预设跨链智能合约,预设跨链智能合约支持CP-ABE(ciphertext policy attribute based encryption,密文策略属性基加密系统)加解密基础组件。
在本发明实施例中为了便于区分,将先发送请求的区块链作为发起链,另一个区块链作为接收链,这并不构成任何限定作用,当然也可以将发起链命名为应用链A,将接收链命名为应用链B,这都是可以的。
本发明实施例提供的系统中的路由和应用链是配套的,当应用链为发起链时,路由为发起链路由,发起链路由从发起链监听跨链数据,并将本链上的跨链数据格式转化为CCP(Cross-ChainProtcol,跨链协议)格式的数据发送给中继链。当应用链为接收链时,路由为接收链路由,接收链路由监听中继链上跟自己有关的CCP格式的数据,然后将CCP格式的数据转换为接收链的格式并上链。
中继链由一系列的监管节点构成,中继链里的核心监管者维持着CP-ABE 所需的预设主密钥,链上维护着监管者的中继监管树,后文会做详细介绍。中继链会验证所有的跨链交易,同时对某项业务有监管权的监管者能够解密跨链交易进行进一步的监管或审计。其中,一监管节点对应一监管者,核心监管者对应核心监管节点,监管方由多个监管者组成。
在跨链业务进行跨链前,需要对中继链进行初始设置并生成中继监管树。具体的,中继链根据CP-ABE生成预设公开参数和预设主密钥,也就是图2 中的1初始设置,PK为预设公开参数,MK为预设主密钥,预设公开参数是对所有人可见的,预设主密钥是由中继链的核心监管节点保存的。
中继链根据各监管者的权限建立中继监管树并存储,也就是图2中的2 生成中继监管树T,其中,中继监管树中的一节点对应一监管者,各父节点有查看自身拥有的所有子节点的数据的权限,实现了监管方可以以分层的方式参与中继链,实现了层级的数据可见。
例如:图2中的T的根节点为Root-Reg,根节点下有左子树和右子树,左子树的父节点为Reg1-A,子节点为Reg2-AA和Reg2-AB,右子树的父节点为Reg1-B,子节点为Reg2-BA和Reg2-BB。
中继监管树是中继链上的监管方权限树,中继监管树中的节点表示中继链上的监管者,中继监管树中的边表示节点的父子关系,父节点能看到所有孩子节点的数据,也就是父节点可以解密其下所有子节点能解密的数据,中继链根据各监管者的权限建立中继监管树的方式可以为将权限高的监管者对应的节点作为权限低的监管者对应的节点的父节点。中继监管树上的每个节点的密钥保存在对应的监管者手中,密钥的生成方式后续再进行介绍。
在对中继链进行初始设置并生成中继监管树后,进行下述步骤:创建跨链业务通道、密钥申请与生成、跨链数据加密传输、中继链监管审核和接收链解密存证。下面对各步骤进行详细介绍:
1、创建跨链业务通道
为了跨链业务可以进行跨链,需要创建跨链业务通道,也就是图2中的 3b创建跨链业务通道C,在此步骤中,发起链向中继链发送请求创建跨链业务通道,并获取中继链监管列表,其中,中继链监管列表是监管所必需的身份信息。
具体的,发起链发送创建跨链业务通道请求、第一跨链业务属性和跨链业务监管节点名称至中继链,中继链接收创建跨链业务通道请求,建立跨链业务通道,其中,跨链业务通道的结构至少包括跨链业务通道的通道标识和访问树,访问树包含第一跨链业务属性和中继链根据跨链业务监管节点名称分配的目标监管节点,并将通道标识和访问树发送至发起链,发起链接收通道标识和访问树并保存。
发起链向中继链发送创建跨链业务通道请求、第一跨链业务属性和跨链业务监管节点名称以使中继链创建跨链业务通道Channel,Channel专门用于发起链的某项跨链业务。其中,第一跨链业务属性为需要进行跨链的跨链业务对应的属性,一个跨链业务可以对应多种类型的跨链业务属性,例如:A 跨链业务对应主管跨链业务属性和业务员跨链业务属性。跨链业务监管节点名称为中继链上需要监管该跨链业务的监管节点的名称。
中继链接收创建跨链业务通道请求,并建立跨链业务通道,Channel的结构至少包括跨链业务通道的通道标识和访问树,还可以包括通道内交易,例如:Channel的结构为Channel(ID,AC-CP,{tx1,tx2,...}),ID为Channel的通道标识,是中继链为Channel分配的唯一标识,AC-CP为发起链的访问树, {tx1,tx2,...}为通道内的交易,此处的交易为CCP格式。
其中,CCP格式至少包括协议版本号Version、跨链交易哈希值Hash和跨链交易证明Proof,还可以包括发起链标识FromChainID、通道标识ID、接收链标识ToChainID、接收链调用合约函数ToChainFunc、接收链调用合约函数参数ToChainParams、跨链字段Extra和跨链交易时间戳Timestamp,其中,跨链字段Extra为自定义跨链字段,ToChainParams和Extra为密文,具体参见下表:
参数 说明
Version 协议版本号
Hash 跨链交易Hash值索引
FromChainlD 发起链ID
ToChainlD 接收链ID
ToChainFunc 接收链调用合约函数
ToChainParams 接收链调用合约函数参数(密文)
Proof 跨链交易证明
Extra 自定义跨链字段(密文)
Timestamp 跨链交易时间戳
ID 通道标识
中继链需要根据实际的跨链业务以及跨链业务监管节点名称分配目标监管节点,在中继链进行初始设置并生成中继监管树的情况下,中继链建立访问树的过程可以为:中继链在中继监管树中查找到跨链业务监管节点名称对应的跨链业务监管节点,获得跨链业务监管节点对应的父节点,将所获得的父节点作为当前子节点,获得当前子节点对应的父节点,返回执行将所获得的父节点作为当前子节的步骤直至获得中继链监管树的根节点,将所获得的各节点作为目标监管节点,由目标监管节点组成中继链监管列表,根据中继链监管列表和第一跨链业务属性建立访问树。
例如:图3为访问树的生成图,参见图3,中继监管树为图2中的T,假设第一跨链业务属性为Admin和P-user也就是图3中第一行最左边的树形结构所包含的内容,OR为关键字,假设跨链业务监管节点名称为Reg2-AB,中继链在中继监管树中查找到跨链业务监管节点名称对应的跨链业务监管节点Reg2-AB,获得跨链业务监管节点对应的父节点Reg1-A,将所获得的父节点Reg1-A作为当前子节点,获得当前子节点对应的父节点Root-Reg,返回执行将所获得的父节点作为当前子节的步骤直至获得中继链监管树的根节点,由于Root-Reg已经是中继监管树的根节点,因此,将所获得的各节点作为目标监管节点,由目标监管节点Reg2-AB,Reg1-A,Root-Reg组成中继链监管列表List(reg)={Reg2-AB,Reg1-A,Root-Reg}也就是图3中第一行最右边的树形结构所包含的内容,根据中继链监管列表和第一跨链业务属性建立访问树。
上述根据中继链监管列表和第一跨链业务属性建立访问树可以为:中继链根据预设树生成规则和第一跨链业务属性生成跨链业务属性树,根据预设树生成规则和中继链监管列表生成中继链监管列表树,将跨链业务属性树作为预设根节点的左子树,将中继链监管列表树作为预设根节点的右子树,生成访问树,其中,预设树生成规则可以为任一可以生成树的规则,本发明实施例中对此并不做任何限定。
例如:继续参见图3,继链根据预设树生成规则和第一跨链业务属性 Admin和P-user生成跨链业务属性树也就是图3中第一行最左边的树,据预设树生成规则和中继链监管列表List(reg)={Reg2-AB,Reg1-A,Root- Reg}生成中继链监管列表树也就是图3中第一行中间的树,将跨链业务属性树作为预设根节点OR的左子树,将中继链监管列表树作为预设根节点OR 的右子树,生成访问树也就是图3中第二行的树。
然后中继链将通道标识和访问树(ID,AC-CP)发送至发起链,发起链接收通道标识和访问树并保存。
2、密钥申请与生成
在此步骤中,接收链中的目标用户通过中继链向发起链传输第二跨链业务属性,发起链进行审核,审核通过后发送给中继链。中继链验证接收链和发起链的签名之后,生成相应的密钥给接收链中的目标用户,也就是图2中的步骤4a请求生成密钥,4b密钥生成请求,4c密钥生成(PK,MK,Au);SK, 4d线下返回密钥。
具体的,接收链中的目标用户通过中继链发送权限分配请求至发起链,其中,权限分配请求中包括第二跨链业务属性和目标用户的签名,发起链接收权限分配请求并审核,当审核通过时,对权限分配请求进行签名并打包生成新请求,将新请求通过发起链路由发送至中继链,其中,新请求中包括第二跨链业务属性、目标用户的签名和发起链中对权限分配请求进行审核的审核节点的签名,中继链接收新请求,对目标用户的签名和审核节点的签名进行验证,当验证通过时,根据密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和第二跨链业务属性生成第二跨链业务属性对应的密钥,并将密钥发送至接收链中的目标用户。
接收链中的目标用户希望可以拿到跨链业务包含的数据,因此通过中继链向发起链发送权限分配请求Req(Au,sig_s)传输第二跨链业务属性Au,例如 Au为{P-User},其中,权限分配请求中包括第二跨链业务属性Au和目标用户的签名sig_s。
发起链接收权限分配请求并审核,发起链进行审核的方式可以为接收发起链的用户通过审核节点发送的审核指令,当审核指令为审核通过时,发起链确定审核通过,当审核通过时,发起链对权限分配请求进行签名并打包生成新请求Req(Au,sig_s,{sig1,sig2,…}),其中,{sig1,sig2,…}为发起链中对权限分配请求进行审核的审核节点的签名,然后发起链将新请求通过发起链路由发送至中继链。
中继链接收新请求,对目标用户的签名和审核节点的签名进行验证,其中,中继链对目标用户的签名和审核节点的签名进行验证的方式可以为通过自身存储的私钥对目标用户的签名和审核节点的签名进行解密,当解密成功时,确定验证通过。
当验证通过时,中继链根据密文策略属性基加密系统CP-ABE中的密钥生成函数KeyGen(PK,MK,Au)、自身存储的预设公开参数PK、自身存储的预设主密钥MK和第二跨链业务属性Au生成第二跨链业务属性Au对应的密钥SK,并将密钥SK发送至接收链中的目标用户。
3、跨链数据加密传输
在该步骤中,发起链发起跨链请求,在跨链之前将跨链交易进行加密,,发起链路由监听发起链中的跨链交易,并将跨链交易转换为CCP格式发送到中继链,也就是图2中的5a加密数据(PK,M,AC-CP);C,5b加密数据传输, 5b跨链数据CCP格式转换,M为明文,C为密文。
具体的,发起链生成包括跨链交易和通道标识的跨链请求,根据跨链交易生成跨链交易证明并保存,发送跨链请求至发起链路由,其中,跨链交易为通过支持CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到的,发起链路由接收跨链请求,将跨链交易的格式转换为跨链协议CCP格式,并将转换后的跨链交易发送至中继链上通道标识对应的跨链业务通道。
发起链的某一用户需要将跨链业务进行跨链时会发起跨链请求,其中,跨链请求包括跨链交易和通道标识,跨链业务可以包括一个或者多个跨链交易。跨链请求会在发起链上生成相应的业务信息进行存证即生成跨链交易证明并保存,存证完成之后,执行跨链请求,即发送跨链请求至发起链路由。
其中,跨链交易为通过支持CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到的。
示例性的,得到跨链交易的方式可以为:发起链通过预设跨链智能合约函数、预设公开参数和访问树分别对待跨链交易中的接收链调用合约函数参数和跨链字段进行加密生成第一密文和第二密文,得到跨链交易。
预设跨链智能合约函数的参数即为CCP中的ToChainID,ToChainFunc,ToChainParams和Extra。其中,ToChainParams和Extra由智能合约的基础 CP-ABE组件完成加密,通过Encrypt(PK,M1,AC-CP)生成第一密文C1,其中M1为明文ToChainParams,即发起链通过预设跨链智能合约函数、预设公开参数 PK和访问树AC-CP分别对待跨链交易中的接收链调用合约函数参数 ToChainParams进行加密生成第一密文。通过Encrypt(PK,M2,AC-CP)生成第二密文C2,其中M2为明文Extra,即发起链通过预设跨链智能合约函数、预设公开参数PK和访问树AC-CP分别对待跨链交易中的跨链字段Extra进行加密生成第二密文。
发起链路由接收跨链请求,将跨链交易的格式转换为CCP格式,并将转换后的跨链交易发送至中继链上通道标识对应的跨链业务通道。
由此,由于上述对待跨链交易的加密是按照字段粒度进行加密的,因此,发起链路由能够在对跨链交易不解密的情况下将跨链交易的格式转换为CCP 格式。
4、中继链监管审核
在本步骤中,中继链对跨链交易的完整性、签名进行验证,通过则存证在相应的跨链业务通道上,等待接收链获取通道中的数据,也就是图2中的 6中继链监管审核。
具体的,中继链上的通道标识对应的跨链业务通道接收转换后的跨链交易,判断跨链交易是否完整,对跨链交易的跨链交易证明进行验证,并通过目标监管节点对跨链交易进行解密,如果解密成功、跨链交易完整以及验证通过,则标记跨链交易有效,通过接收链路由发送跨链交易获取通知至接收链。
中继链上的通道标识对应的Channel接收到转换后的跨链交易,Channel 中的AC-CP右子树中的目标监管节点会用自己的身份来尝试对跨链交易进行解密。并且中继链判断跨链交易是否完整,对跨链交易的跨链交易证明进行验证。
在CCP格式至少包括协议版本号、跨链交易哈希值和跨链交易证明的情况下,上述中继链判断跨链交易是否完整,对跨链交易的跨链交易证明进行验证可以为:中继链将跨链交易中的协议版本号与CCP中的协议版本号进行对比,计算跨链交易的哈希值,并将计算得到的哈希值与CCP中的哈希值进行对比,如果协议版本号相同且哈希值相同,则确定跨链交易完整,根据CCP 中的跨链交易证明对跨链交易的跨链交易证明进行验证,如果跨链交易证明相同,则确定验证通过。
如果协议版本号相同且哈希值相同,说明在跨链过程中,跨链交易未被改变,确定跨链交易完整。根据CCP中的跨链交易证明对跨链交易的跨链交易证明进行验证,如果跨链交易证明相同,说明此条交易确实经过发起链中各个共识节点的签名。如果解密成功、跨链交易完整以及验证通过,则标记跨链交易有效,否则,这条交易标记为无效,中继链在标记跨链交易有效之后,保存标记跨链交易有效的记录,当然,标记跨链交易无效之后,也保存标记跨链交易无效的记录,以便于存证监管,Channel中的每一条信息都会以交易的形式存证在中继链上。中继链通知接收链获取Channel中的数据,即中继链通过接收链路由发送跨链交易获取通知至接收链。
5、接收链解密存证
在本步骤中,接收链通过接收链路由监听中继链上的跨链数据,并转换为接收链上的数据格式上链。接收链上拥有对应权限的用户可以解密上述数据,也就是图2中的7aCCP格式数据转换,7b解密数据(C,SK,PK)。
具体的,接收链接收跨链交易获取通知,从中继链获取跨链交易,并将跨链交易的格式转换为自身链上数据的格式并保存,判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。
接收链通过接收链路由监听中继链上的CCP跨链数据即跨链交易,即接收链接收跨链交易获取通知,从中继链获取跨链交易,并将跨链交易的格式转换为自身链上数据的格式并保存进行存证。
并不是接收链上的所有用户都可以对跨链交易进行解密,只有拥有对应权限的用户可以解密跨链交易,具体的,判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。
上述判断目标用户通过密钥是否对转换格式后的跨链交易解密成功可以为:接收链判断目标用户接收到的密钥中的第二跨链业务属性是否为第一跨链业务属性,如果是,确定跨链交易解密成功。即Decrypt(C,SK,PK),C为密文,由于属性是写在密钥中的,所以如果SK中的第二跨链业务属性是访问树AC-CP中包含的第一跨链业务属性,即可正确解密,否则解密失败。例如图 2中的用户1的Au1满足AC-CP,则解密得到M,用户2的Au2不满足AC-CP,则解密失败。
由上述内容可知,本实施例中发起链通过支持CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到跨链交易,使得跨链交易在跨链传输过程中具有隐私性,并且,中继链通过密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和第二跨链业务属性生成第二跨链业务属性对应的密钥,并将密钥发送至接收链中的目标用户,接收链判断目标用户通过密钥是否对转换格式后的跨链交易解密成功,如果是,目标用户得到解密后的跨链交易。这使得并不是接收链上的所有用户都可以获得跨链交易,只有可以对转换格式后的跨链交易解密成功的目标用户才可以获得跨链交易,实现了对跨链业务进行用户级别的隐私保护,也就是本发明提供的加密方式是基于属性的,拥有该属性的一类用户都可以对转换格式后的跨链交易进行解密得到跨链交易,从而避免了为了实现隐私保护而进行多次加密带来的不便,并且中继链上中继监管树的存在能够让监管方以分层的方式参与中继链,实现层级的数据可见,能够让监管变的更加容易,在保护用户隐私的前提下提高可操作性,满足实际业务场景的需求。即实现了对数据的层级的可监管,同时实现基于属性的隐私保护。
并且,本发明实施例中的发起链仅进行一次加密得到跨链交易,无需加密多次即可实现跨链交易在跨链传输过程中具有隐私性。
同时,且各路由仅对接不同应用链的数据格式,无需进行验证,减少了工作量。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。

Claims (10)

1.一种基于CP-ABE的可监管的隐私保护跨区块链系统,其特征在于,所述系统包括发起链、发起链路由、中继链、接收链路由和接收链:
所述发起链发送创建跨链业务通道请求、第一跨链业务属性和跨链业务监管节点名称至所述中继链;
所述中继链接收所述创建跨链业务通道请求,建立跨链业务通道,其中,所述跨链业务通道的结构至少包括所述跨链业务通道的通道标识和访问树,所述访问树包含所述第一跨链业务属性和所述中继链根据所述跨链业务监管节点名称分配的目标监管节点,并将所述通道标识和所述访问树发送至所述发起链;
所述发起链接收所述通道标识和所述访问树并保存;
所述接收链中的目标用户通过所述中继链发送权限分配请求至所述发起链,其中,所述权限分配请求中包括第二跨链业务属性和所述目标用户的签名;
所述发起链接收所述权限分配请求并审核,当审核通过时,对所述权限分配请求进行签名并打包生成新请求,将所述新请求通过所述发起链路由发送至所述中继链,其中,所述新请求中包括所述第二跨链业务属性、所述目标用户的签名和所述发起链中对所述权限分配请求进行审核的审核节点的签名;
所述中继链接收所述新请求,对所述目标用户的签名和所述审核节点的签名进行验证,当验证通过时,根据密文策略属性基加密系统CP-ABE中的密钥生成函数、自身存储的预设公开参数、自身存储的预设主密钥和所述第二跨链业务属性生成所述第二跨链业务属性对应的密钥,并将所述密钥发送至所述接收链中的所述目标用户;
所述发起链生成包括跨链交易和所述通道标识的跨链请求,根据所述跨链交易生成跨链交易证明并保存,发送所述跨链请求至所述发起链路由,其中,所述跨链交易为通过支持所述CP-ABE的预设跨链智能合约函数对待跨链交易进行加密后得到的;
所述发起链路由接收所述跨链请求,将所述跨链交易的格式转换为跨链协议CCP格式,并将转换后的跨链交易发送至所述中继链上所述通道标识对应的跨链业务通道;
所述中继链上的所述通道标识对应的跨链业务通道接收转换后的跨链交易,判断所述跨链交易是否完整,对所述跨链交易的跨链交易证明进行验证,并通过所述目标监管节点对所述跨链交易进行解密,如果解密成功、所述跨链交易完整以及验证通过,则标记所述跨链交易有效,通过所述接收链路由发送跨链交易获取通知至所述接收链;
所述接收链接收所述跨链交易获取通知,从所述中继链获取所述跨链交易,并将所述跨链交易的格式转换为自身链上数据的格式并保存,判断所述目标用户通过所述密钥是否对所述转换格式后的跨链交易解密成功,如果是,所述目标用户得到解密后的跨链交易。
2.如权利要求1所述的系统,其特征在于,所述中继链根据所述CP-ABE生成所述预设公开参数和所述预设主密钥,根据各监管者的权限建立中继监管树并存储,其中,所述中继监管树中的一节点对应一监管者,各父节点有查看自身拥有的所有子节点的数据的权限。
3.如权利要求2所述的系统,其特征在于,所述中继链在所述中继监管树中查找到所述跨链业务监管节点名称对应的跨链业务监管节点,获得所述跨链业务监管节点对应的父节点,将所获得的父节点作为当前子节点,获得所述当前子节点对应的父节点,返回执行将所获得的父节点作为当前子节的步骤直至获得所述中继链监管树的根节点,将所获得的各节点作为所述目标监管节点,由所述目标监管节点组成中继链监管列表,根据所述中继链监管列表和所述第一跨链业务属性建立所述访问树。
4.如权利要求3所述的系统,其特征在于,所述中继链根据预设树生成规则和所述第一跨链业务属性生成跨链业务属性树,根据所述预设树生成规则和所述中继链监管列表生成中继链监管列表树,将所述跨链业务属性树作为预设根节点的左子树,将所述中继链监管列表树作为所述预设根节点的右子树,生成所述访问树。
5.如权利要求1所述的系统,其特征在于,所述发起链通过所述预设跨链智能合约函数、所述预设公开参数和所述访问树分别对所述待跨链交易中的接收链调用合约函数参数和跨链字段进行加密生成第一密文和第二密文,得到所述跨链交易。
6.如权利要求1所述的系统,其特征在于,所述CCP格式至少包括协议版本号、跨链交易哈希值和跨链交易证明;
所述中继链将所述跨链交易中的协议版本号与所述CCP中的协议版本号进行对比,计算所述跨链交易的哈希值,并将计算得到的哈希值与所述CCP中的哈希值进行对比,如果协议版本号相同且哈希值相同,则确定所述跨链交易完整,根据所述CCP中的跨链交易证明对所述跨链交易的跨链交易证明进行验证,如果跨链交易证明相同,则确定验证通过。
7.如权利要求6所述的系统,其特征在于,所述CCP格式还包括发起链标识、通道标识、接收链标识、接收链调用合约函数、接收链调用合约函数参数、跨链字段和跨链交易时间戳。
8.如权利要求1所述的系统,其特征在于,所述中继链通过自身存储的私钥对所述目标用户的签名和所述审核节点的签名进行解密,如果解密成功,则确定验证通过。
9.如权利要求1所述的系统,其特征在于,所述中继链在标记所述跨链交易有效之后,保存标记所述跨链交易有效的记录。
10.如权利要求1所述的系统,其特征在于,所述接收链判断所述目标用户接收到的密钥中的第二跨链业务属性是否为所述第一跨链业务属性,如果是,确定跨链交易解密成功。
CN202110784004.3A 2021-07-12 2021-07-12 一种基于cp-abe的可监管的隐私保护跨区块链系统 Active CN113595735B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110784004.3A CN113595735B (zh) 2021-07-12 2021-07-12 一种基于cp-abe的可监管的隐私保护跨区块链系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110784004.3A CN113595735B (zh) 2021-07-12 2021-07-12 一种基于cp-abe的可监管的隐私保护跨区块链系统

Publications (2)

Publication Number Publication Date
CN113595735A true CN113595735A (zh) 2021-11-02
CN113595735B CN113595735B (zh) 2022-11-01

Family

ID=78246901

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110784004.3A Active CN113595735B (zh) 2021-07-12 2021-07-12 一种基于cp-abe的可监管的隐私保护跨区块链系统

Country Status (1)

Country Link
CN (1) CN113595735B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448646A (zh) * 2022-03-22 2022-05-06 深圳壹账通智能科技有限公司 一种跨链交易的权限管理方法、系统、设备及介质
CN114978578A (zh) * 2022-04-06 2022-08-30 中债金科信息技术有限公司 基于属性密钥派生的数据越权访问控制方法及装置
CN115439249A (zh) * 2022-09-01 2022-12-06 国网区块链科技(北京)有限公司 一种跨区块链的业务服务实现方法、装置和系统
CN117201196A (zh) * 2023-11-07 2023-12-08 贵州道坦坦科技股份有限公司 一种基于双链融合的智慧高速数据存储方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3618346A1 (en) * 2018-08-31 2020-03-04 Koninklijke Philips N.V. A method and apparatus for policy hiding on ciphertext-policy attribute-based encryption
CN111200641A (zh) * 2019-12-25 2020-05-26 深圳供电局有限公司 数据跨链共享方法、系统,计算机设备和存储介质
CN111741114A (zh) * 2020-06-24 2020-10-02 陈鹏 基于区块链的可监管跨链交互系统、方法及设备
CN112910641A (zh) * 2021-02-26 2021-06-04 杭州趣链科技有限公司 用于跨链交易监管的验证方法、装置、中继链节点及介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3618346A1 (en) * 2018-08-31 2020-03-04 Koninklijke Philips N.V. A method and apparatus for policy hiding on ciphertext-policy attribute-based encryption
CN111200641A (zh) * 2019-12-25 2020-05-26 深圳供电局有限公司 数据跨链共享方法、系统,计算机设备和存储介质
CN111741114A (zh) * 2020-06-24 2020-10-02 陈鹏 基于区块链的可监管跨链交互系统、方法及设备
CN112910641A (zh) * 2021-02-26 2021-06-04 杭州趣链科技有限公司 用于跨链交易监管的验证方法、装置、中继链节点及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SHAOFENG LIN等: "Overview of Block Chain Cross Chain Technology", 《IEEE》 *
陈露等: "基于属性密码体制的区块链安全技术研究进展", 《电子学报》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448646A (zh) * 2022-03-22 2022-05-06 深圳壹账通智能科技有限公司 一种跨链交易的权限管理方法、系统、设备及介质
CN114978578A (zh) * 2022-04-06 2022-08-30 中债金科信息技术有限公司 基于属性密钥派生的数据越权访问控制方法及装置
CN114978578B (zh) * 2022-04-06 2023-09-19 中债金科信息技术有限公司 基于属性密钥派生的数据越权访问控制方法及装置
CN115439249A (zh) * 2022-09-01 2022-12-06 国网区块链科技(北京)有限公司 一种跨区块链的业务服务实现方法、装置和系统
CN115439249B (zh) * 2022-09-01 2023-09-26 国网区块链科技(北京)有限公司 一种跨区块链的业务服务实现方法、装置和系统
CN117201196A (zh) * 2023-11-07 2023-12-08 贵州道坦坦科技股份有限公司 一种基于双链融合的智慧高速数据存储方法及系统
CN117201196B (zh) * 2023-11-07 2024-02-09 贵州道坦坦科技股份有限公司 一种基于双链融合的智慧高速数据存储方法及系统

Also Published As

Publication number Publication date
CN113595735B (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN113595735B (zh) 一种基于cp-abe的可监管的隐私保护跨区块链系统
CN110581763B (zh) 一种量子密钥服务区块链网络系统
EP3422629B1 (en) Method, apparatus and system for encryption key distribution and authentication
EP2449718B1 (en) Optical network terminal management control interface-based passive optical network security enhancement
US20050177749A1 (en) Method and architecture for security key generation and distribution within optical switched networks
US7853801B2 (en) System and method for providing authenticated encryption in GPON network
US20050175183A1 (en) Method and architecture for secure transmission of data within optical switched networks
US8948401B2 (en) Method for filtering of abnormal ONT with same serial number in a GPON system
CN102710605A (zh) 一种云制造环境下的信息安全管控方法
CN105409157A (zh) 用于光网络的自适应业务加密
CN108989325A (zh) 加密通信方法、装置及系统
US8325914B2 (en) Providing secure communications for active RFID tags
CN108881327A (zh) 一种基于云计算的计算机互联网信息安全控制系统
KR20210128418A (ko) 리소스 요청 방법, 기기 및 저장매체
CN112804356B (zh) 一种基于区块链的联网设备监管认证方法及系统
CN113709191B (zh) 一种安全的调整确定性时延的方法
EP2439871B1 (en) Method and device for encrypting multicast service in passive optical network system
CN104703174A (zh) 一种无线Mesh网络路由安全保护方法
CN111885600B (zh) 双卡终端的接入方法、终端及服务器
CN114663234A (zh) 一种区块链上异常交易的监管系统和方法
WO2006062345A1 (en) Method of distributing keys over epon
CN114362947A (zh) 一种广域量子密钥服务方法与系统
CN114285550A (zh) 一种量子安全密钥服务网络、系统与节点装置
Habib et al. Performance of wimax security algorithm (the comparative study of rsa encryption algorithm with ecc encryption algorithm)
Brorsson et al. Guarding the guards: Accountable authorities in vanets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant