CN114124402B

CN114124402B - 一种资源受限环境下的分布式数据安全交换共享方法

Info

Publication number: CN114124402B
Application number: CN202111293193.0A
Authority: CN
Inventors: 孙岩; 柳彩云; 杨帅锋; 李俊; 王墨; 郝志强; 张煜珠; 刘奕彤
Original assignee: China Industrial Control Systems Cyber Emergency Response Team
Current assignee: China Industrial Control Systems Cyber Emergency Response Team
Priority date: 2021-11-03
Filing date: 2021-11-03
Publication date: 2024-05-14
Anticipated expiration: 2041-11-03
Also published as: CN114124402A

Abstract

本发明公开了一种资源受限环境下的分布式数据安全交换共享方法，本发明充分考虑了节点资源受限情况下的数据交换共享，对上链数据进行签名，保障了数据的不可抵赖性，确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中，不仅传送对称密码算法加密后的密文，而且采用了数据需求端公钥进行加密，保证只有正确的数据需求端才能正确解密数据，确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性，降低计算资源损耗，可适用于各种环境下的数据安全交换共享。

Description

一种资源受限环境下的分布式数据安全交换共享方法

技术领域

本发明涉及计算机技术领域，特别是涉及一种资源受限环境下的分布式数据安全交换共享方法。

背景技术

随着5G、人工智能、边缘计算等新一代信息技术的快速发展，万物互联时代已经来临。网络接入设备数量快速增长，使得网络数据量呈现爆炸式增长态势，而数据交换共享的需求也日趋强烈，数据安全有效共享是解决“数据孤岛”式困境的有效方法。然而，数据供需双方的实体身份日趋复杂，不仅包括PC机、服务器等资源较为丰富的设备，也包括移动终端、智能网关等资源受限设备。海量异构设备之间的数据资源共享存在供需双方身份伪造、中间人攻击、数据交换共享传输通道安全性难以保障等问题。因此，数据共享过程中应充分考虑不同设备的计算能力和资源情况，确保在最小计算量和资源损耗情况下实现数据安全交换共享，然而传统的数据共享方法通过下载原始数据实现数据共享，且一般都是中心化的数据共享模式，安全性难以保障，单点失效问题引发的安全风险突出，如何实现数据的安全共享成为现在亟待需要解决的问题。

发明内容

本发明提供了一种资源受限环境下的分布式数据安全交换共享方法，以解决现有技术中不能安全地进行数据共享的问题。

本发明提供了一种资源受限环境下的分布式数据安全交换共享方法，该方法包括：通过数据提供端建立上链数据的数据共享清单DCLL，基于所述数据共享清单DCLL中的数据提取数据表述集；通过预设私钥对所述上链数据进行签名，区块链根据数据提供端的身份，使用预设公钥对所述上链数据进行解密，并对解密后的上链数据进行hash运算后，存储到区块链上，以供数据需求端进行检索和使用。

可选地，建立数据共享清单DCLL之前，所述方法还包括：基于数据提供端发起的注册请求，区块链中的CA节点获取数据提供端的用户的真实身份信息标识，验证所述身份信息标识通过后，根据所述身份信息标识计算对应的预设公钥。

可选地，根据所述身份信息标识计算对应的预设公钥，包括：

设K是一个域，定义域K上的点集为：

E:＝{(x,y)|y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆}U{O}，a₁,a₂,a₃,a₄,a₆∈K，{O}为无穷远点，则E叫做域K上的椭圆曲线；

定义域K上的两点相加运算设P，Q是E上的两个点，L是过P和Q的直线，如果P＝Q，则L为过P点的切线，R是L与曲线E相交的第三点，设L’是过R和O的直线，则/>就是L’与E相交的第三点；

如果P和Q相等，将P和Q相连得到和曲线的另一个交点-R，沿着X轴做对称得到R点；

从椭圆曲线基点G出发，按照上述相加运算不停做自增操作，枚举出整个空间的集合元素，随机产生一个非零的大整数sk作为所述数据提供端私钥，则数据提供端公钥pk＝skG。

可选地，通过数据提供端建立上链数据的数据共享清单DCLL，包括：

数据提供端根据行业领域规范对所述上链数据进行分类分级，建立形成数据分类分级清单DCL，通过数据类型、级别，综合分析可共享的数据，最终确定数据共享范围，形成数据共享清单DCLL。

可选地，基于所述数据共享清单DCLL中的数据提取数据表述集，包括：

数据提供端提取共享数据的元数据信息，形成数据描述集，所述数据描述集包括数据用途DU、数据大小DV、数据格式DF、数据形态DP、数据类型DC、数据级别DL，表示为M＝{DU,DV,DF,DP,DC,DL}。

可选地，通过预设私钥对所述上链数据进行签名，区块链根据数据提供端的身份，使用预设公钥对所述上链数据进行解密，并对解密后的上链数据进行hash运算后，存储到区块链上，包括：

数据提供端建立数据存储地址索引，得到数据映射L:ADD-＞DS，其中ADD为由键值关联的数据存储地址，DS为原始共享数据；

数据提供端用其预设私钥sk(provider)对上链数据进行签名得到ECC_sk(provider)(M)||ECC_sk(provider)(L)||ECC_sk(provider)(ADD)，并提交区块链上链申请，其中S₀＝ECC_sk(provider)(M)，L₀＝ECC_sk(provider)(L)，A₀＝ECC_sk(provider)(ADD)；

区块链校验数据提供端身份信息，校验成功后，使用数据提供端公钥pk(provider)对L₀和A₀进行解密，将ADD存储于区块头，根据共识算法将数据映射Lput到区块链中的任意节点；

区块链对上链数据S₀进行解密，并进行hash运算，得到数据S₁＝hash(M)，将该数据S₁存储于区块链节点上。

可选地，数据提供端用其预设私钥sk对上链数据进行签名，包括：

数据提供端用其预设私钥sk(provider)，基于双伪随机变换的轻量级分组密码算法VH，对上链数据进行签名。

可选地，所述将该数据S₁存储于区块链节点上之后，所述方法还包括：

数据提供端接收区块链反馈的对数据S₁的索引，触发应用层发布数据交易信息于交换平台。

可选地，所述方法还包括：

数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，检索匹配成功后与数据提供端建立交易，所述数据需求端通过智能合约进行数据运算，数据的分析与处理以智能合约的方式在数据提供端计算，并将所述数据需求端需要的计算结果D＝cac(DS)通过VH对称密码算法，密钥为k，加密后得到DL＝VH_k(cac(DS))存储于数据存储地址ADD；交换平台将数据加密密钥k和数据存储地址ADD，hash(m₀)通过所述数据需求端公钥加密打包形成U＝ECC_PK(demander)(ADD||k||||hash(m₀))发送给所述数据需求端，其中PK(demander)为需方公钥；

所述数据需求端用其自身的私钥sk(demander)对数据进行解密L＝DE_sk(demander)(U)，然后存储hash(m₀)，并使用原始数据加密密钥进行解密DE_k(L)，得到所需数据D的地址和密钥，验证hash值后通过地址进行数据访问。

可选地，所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，包括：区块链对所述数据需求端的检索数据M₀进行hash运算，得到请求Rest，然后与所存储的hash值进行hash值比对，hash比对一致的节点u_i即为所匹配的数据提供端。

本发明有益效果如下：

本发明充分考虑了节点资源受限情况下的数据交换共享，对上链数据进行签名，保障了数据的不可抵赖性，确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中，不仅传送对称密码算法加密后的密文，而且采用了数据需求端公钥进行加密，保证只有正确的数据需求端才能正确解密数据，确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性，降低计算资源损耗，可适用于各种环境下的数据安全交换共享。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是本发明实施例提供的一种资源受限环境下的分布式数据安全交换共享方法的流程示意图；

图2是本发明实施例提供的另一种资源受限环境下的分布式数据安全交换共享方法的流程示意图；

图3是本发明实施例提供的数据发布方法的流程示意图；

图4是本发明实施例提供的数据计算及提取方法的流程示意图。

具体实施方式

本发明实施例针对现有无法更安全的进行数据交互的问题，充分考虑了节点资源受限情况下的数据交换共享，对上链数据进行签名，保障了数据的不可抵赖性，确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中，不仅传送对称密码算法加密后的密文，而且采用了数据需求端公钥进行加密，保证只有正确的数据需求端才能正确解密数据，确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性，降低计算资源损耗，可适用于各种环境下的数据安全交换共享。以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

本发明实施例提供了一种资源受限环境下的分布式数据安全交换共享方法，参见图1，该方法包括：

S101、通过数据提供端建立上链数据的数据共享清单DCLL，基于所述数据共享清单DCLL中的数据提取数据表述集；

具体本发明实施例是，基于数据提供端发起的注册请求，区块链中的CA节点获取数据提供端的用户的真实身份信息标识，验证所述身份信息标识通过后，根据所述身份信息标识计算对应的预设公钥。

具体实施时，本发明实施例中，通过数据提供端建立上链数据的数据共享清单DCLL步骤具体包括：数据提供端根据行业领域规范对所述上链数据进行分类分级，建立形成数据分类分级清单DCL，通过数据类型、级别，综合分析可共享的数据，最终确定数据共享范围，形成共享数据清单DCLL。

其中，数据提供端提取共享数据的元数据信息，形成数据描述集，所述数据描述集包括数据用途DU、数据大小DV、数据格式DF、数据形态DP、数据类型DC、数据级别DL，表示为M＝{DU,DV,DF,DP,DC,DL}。

进一步地，本发明实施例中，根据所述身份信息标识计算对应的预设公钥，包括：设K是一个域，定义域K上的点集为：

需要说明的是，本发明实施例基点为任意一点，且本发明实施例中自增操作即为密码学中特有的群操作,比如++等等。并且本发明实施例中所述的大整数sk其实质就是高精度整数，其含义就是用基本数据类型无法存储其精度的整数。因为数据提供端公钥pk＝skG是椭圆曲线密码算法的计算方式，根据基点和私钥，可以计算出公钥，但是利用大整数分解难的原理，从公钥不能推导出私钥。

S102、通过预设私钥对所述上链数据进行签名，区块链根据数据提供端的身份，使用预设公钥对所述上链数据进行解密，并对解密后的上链数据进行hash运算后，存储到区块链上，以供数据需求端进行检索和使用。

具体本发明实施例是，数据提供端建立数据存储地址索引，得到数据映射L:ADD-＞DS，其中ADD为由键值关联的数据存储地址，DS为原始共享数据；数据提供端用其预设私钥sk对上链数据进行签名得到ECC_sk(provider)(M)||ECC_sk(provider)(L)||ECC_sk(provider)(ADD)，并提交区块链上链申请，其中S₀＝ECC_sk(provider)(M)，L₀＝ECC_sk(provider)(L)，A₀＝ECC_sk(provider)(ADD)；区块链校验数据提供端身份信息，校验成功后，使用数据提供端公钥pk对L₀和A₀进行解密，将ADD存储于区块头，根据共识算法将数据映射Lput到区块链中的任意节点；区块链对上链数据S₀进行解密，并进行hash运算，得到数据S₁＝hash(M)，将该数据S₁存储于区块链节点上。

需要说明的是，本发明实施例中建立数据映射的方式本领域技术人员可以根据实际情况自行设定，本发明对此不作详细限定。

其中，本发明实施例中，数据提供端用其预设私钥sk对上链数据进行签名具体包括：数据提供端用其预设私钥sk，基于双伪随机变换的轻量级分组密码算法VH，对上链数据进行签名。

其在将该数据S₁存储于区块链节点上之后，本发明实施例的数据提供端接收区块链反馈的对数据S₁的索引，再触发应用层发布数据交易信息于交换平台。

总体来说，本发明对上链数据进行签名，保障了数据的不可抵赖性，确保了数据提供端身份的唯一性和真实性。最后，在数据提取和传输过程中，不仅传送对称密码算法加密后的密文，而且采用了数据需求端公钥进行加密，保证只有正确的数据需求端才能正确解密数据，确保了数据接收方的唯一性。

进一步地，本发明实施例中，数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，检索匹配成功后与数据提供端建立交易，所述数据需求端通过智能合约进行数据运算，数据的分析与处理以智能合约的方式在数据提供端计算，并将所述数据需求端需要的计算结果D＝cac(DS)通过VH对称密码算法，密钥为k，加密后得到DL＝VH_k(cac(DS))存储于数据存储地址ADD；交换平台将数据加密密钥k和数据存储地址ADD，hash(m₀)通过所述数据需求端公钥加密打包形成U＝ECC_PK(demander)(ADD||k||hash(m₀))发送给所述数据需求端；所述数据需求端用其自身的私钥对数据进行解密L＝DE_sk(demander)(U)，然后存储hash(m₀)，并使用原始数据加密密钥进行解密DE_k(L)，得到所需数据D的地址和密钥，验证hash值后通过地址进行数据访问。

在具体实施时，本发明实施例中所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，包括：区块链对所述数据需求端的检索数据M₀进行hash运算，得到请求Rest，然后与所存储的hash值进行hash值比对，hash比对一致的节点u_i即为所匹配的数据提供端。从而进一步提高了数据交换共享的安全性。

下面将结合图2-图4对本发明所述的方法进行详细的解释和说明：

本发明实施例所述的方法包括三个阶段，下面将对每个阶段逐一进行说明：

第一阶段：身份注册和密钥分发，具体包括以下步骤：

第一步：用户u₁,u₂,…u_n向CA节点提交唯一身份信息，发起注册请求：

第二步：CA节点获取用户真实身份信息标识UID₁,UID₂,…UID_n，验证用户身份，并据此计算形成用户公私钥对{(sk₁,pk₁),(sk₂,pk₂)…(sk_n,pk_n)}，然后将相应公私钥对发送给用户。在此过程中调用智能合约对用户身份进行登记。所述公私钥对计算过程如下：

设K是一个域，定义域K上的点集为：

E:＝{(x,y)|y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆}U{O}。a₁,a₂,a₃,a₄,a₆∈K，{O}为无穷远点，则E叫做域K上的椭圆曲线。

定义域K上的两点相加运算设P，Q是E上的两个点，L是过P和Q的直线，如果P＝Q，则L为过P点的切线，R是L与曲线E相交的第三点。设L’是过R和O的直线，则/>就是L’与E相交的第三点。

如果P和Q相等，将P和Q相连得到和曲线的另一个交点-R，沿着X轴做对称得到R点。

从椭圆曲线基点G出发，按照相加运算不停做自增操作，可枚举出整个空间的集合元素。

用户随机产生一个非零大整数sk作为其私钥。

则数据提供端公钥pk＝skG。由于在上述集合空间中加法阶数难求问题，从用户公钥无法推出用户私钥，从而保证了用户私钥的安全性。

第二阶段：数据上链及信息发布步骤，如图2所示，该阶段具体包括：

第一步：数据提供端根据行业领域规范对其数据进行分类分级，建立形成数据分类分级清单DCL，通过数据类型、级别，综合分析哪类数据可以共享，最终确定数据共享范围，形成共享数据清单DCLL。

第二步：数据提供端提取共享数据元数据信息，形成数据描述集，包括数据用途、数据大小、数据格式、数据形态、数据类型、数据级别等，表示为M＝{DU,DV,DF,DP,DC,DL}。

第三步：数据提供端建立数据存储地址索引，得到数据映射L:ADD-＞DS，其中ADD为由键值关联的数据存储地址，DS为原始共享数据。

第四步：数据提供端用其私钥sk(provider)对上链数据进行签名得到ECC_sk(provider)(M)||ECC_sk(provider)(L)||ECC_sk(provider)(ADD)，并提交区块链上链申请，其中S₀＝ECC_sk(provider)(M)，L₀＝ECC_sk(provider)(L)，A₀＝ECC_sk(provider)(ADD)。

第五步：区块链智能合约校验数据提供端身份信息，校验成功后，使用数据提供端公钥pk(provider)对L₀和A₀进行解密，将ADD存储于区块头，由共识模块根据共识算法将数据映射Lput到区块链中的任意节点。

第六步：区块链对上链数据S₀进行解密，并进行hash运算，得到数据S₁＝hash(M)，并将该数据存储于区块链节点上，S₁接受数据需求端索引，应用层发布数据交易信息于交换平台。

第三阶段：数据需求端进行数据检索，该阶段主要包括：

第一步：数据需求端根据数据需求检索相关的数据集信息，检索匹配成功后与数据提供端建立交易。如检索失败则用户可以重新检索其它数据集信息。匹配过程为：区块链对检索数据M₀进行hash运算，得到请求Rest，然后与所存储的hash值进行hash值比对，hash比对一致的节点u_i即为所匹配的数据提供端。该过程如图3和图4所示。

第二步：数据需求端通过智能合约进行数据运算：数据的分析与处理以智能合约的方式在数据提供端安全地计算，并将数据需求端需要的计算结果D＝cac(DS)通过VH对称密码算法(密钥为k)加密后得到DL＝VH_k(cac(DS))存储于数据存储地址ADD。

第三步：交换平台将数据加密密钥k和数据存储地址ADD，hash(m₀)通过数据需求端公钥加密打包形成U＝ECC_PK(demander)(ADD||k||hash(m₀))发送给数据需求端。

第四步：数据需求端首先用自己的私钥对数据进行解密L＝DE_sk(demander)(U)，然后存储hash(m₀)，并使用原始数据加密密钥进行解密DE_k(L)，得到所需数据D的地址和密钥，验证hash值后通过地址进行数据访问。

相较于已有数据上链过程，本发明所述数据上链过程通过采用数据提供端对数据进行签名，区块链对其进行解密的方式，确保了数据提供端身份的合法性和不可抵赖性，方便了对数据提供端的溯源。

总体上，相比于现有的基于区块链的数据存储和传输，本发明所述对称密码算法采用一种基于双伪随机变换的轻量级分组密码算法VH，算法能够抵抗差分分析和线性分析，安全性可以达到资源受限环境的需求，适用于数据提供端和数据需求端在资源受限环境，如边缘环境中的数据交换共享。能够同时减轻数据提供端和数据需求端的计算压力和资源消耗，降低计算成本。

另外，本发明所述方法允许先建立交易，后置计算过程，数据提供端和数据需求端可在宣称的交换服务下，通过联合计算的方式，得到数据需求端需要的数据结果，拓展了现有数据交换共享专利的计算能力。

再者，本发明所述的方法一方面，采用共享交换数据在数据提供端本地计算和计算结果加密存储的方式，确保了数据提供端的数据隐私性和保密性，另一方面，在数据传输过程中，通过采用数据需求端公钥进行加密的方式，利用用户私钥只有用户自身可见，不能由公钥单向推出的特点，确保了数据传输过程的安全性，使得只有合法的数据需求端才能够完整解密数据。最后，通过区块链对数据供需双方进行双向身份认证的方式，确保了数据供需双方身份的合法性，防止非法节点和用户恶意攻击，所以本发明数据检索方法能够有效保证数据传输的安全性。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。

Claims

1.一种资源受限环境下的分布式数据安全交换共享方法，其特征在于，包括：

通过数据提供端建立上链数据的数据共享清单DCLL，基于所述数据共享清单DCLL中的数据提取数据表述集；

通过预设私钥对所述上链数据进行签名，区块链根据数据提供端的身份，使用预设公钥对所述上链数据进行解密，并对解密后的上链数据进行hash运算后，存储到区块链上，以供数据需求端进行检索和使用，包括如下步骤：

区块链对上链数据S₀进行解密，并进行hash运算，得到数据S₁＝hash(M)，将该数据S₁存储于区块链节点上；

数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，检索匹配成功后与数据提供端建立交易，所述数据需求端通过智能合约进行数据运算，数据的分析与处理以智能合约的方式在数据提供端计算，并将所述数据需求端需要的计算结果D＝cac(DS)通过VH对称密码算法，密钥为k，加密后得到DL＝VH_k(cac(DS))存储于数据存储地址ADD；交换平台将数据加密密钥k和数据存储地址ADD，hash(m₀)通过所述数据需求端公钥加密打包形成U＝ECC_PK(demander)(ADD||k||hash(m₀))发送给所述数据需求端，其中PK(demander)为需方公钥；

所述数据需求端用其自身的私钥sk(demander)对数据进行解密L＝DE_sk(demander)(U)，然后存储hash(m₀)，并使用原始数据加密密钥进行解密DE_k(L)，得到所需数据D的地址和密钥，验证hash值后通过地址进行数据访问；

所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息，包括：

区块链对所述数据需求端的检索数据M₀进行hash运算，得到请求Rest，然后与所存储的hash值进行hash值比对，hash比对一致的节点u_i即为所匹配的数据提供端。

2.根据权利要求1所述的方法，其特征在于，建立数据共享清单DCLL之前，所述方法还包括：

基于数据提供端发起的注册请求，区块链中的CA节点获取数据提供端的用户的真实身份信息标识，验证所述身份信息标识通过后，根据所述身份信息标识计算对应的预设公钥。

3.根据权利要求2所述的方法，其特征在于，根据所述身份信息标识计算对应的预设公钥，包括：

设K是一个域，定义域K上的点集为：

定义域K上的两点相加运算：设P，Q是E上的两个点，L是过P和Q的直线，如果P＝Q，则L为过P点的切线，R是L与曲线E相交的第三点，设L’是过R和O的直线，则/>就是L’与E相交的第三点；

从椭圆曲线基点G出发，按照相加运算不停做自增操作，枚举出整个空间的集合元素，随机产生一个非零的大整数sk作为所述数据提供端私钥，则数据提供端公钥pk＝skG。

4.根据权利要求1所述的方法，其特征在于，通过数据提供端建立上链数据的数据共享清单DCLL，包括：

5.根据权利要求4所述的方法，其特征在于，基于所述数据共享清单DCLL中的数据提取数据表述集，包括：

6.根据权利要求1所述的方法，其特征在于，数据提供端用其预设私钥sk对上链数据进行签名，包括：

7.根据权利要求1所述的方法，其特征在于，所述将该数据S₁存储于区块链节点上之后，所述方法还包括：