CN114124402B - 一种资源受限环境下的分布式数据安全交换共享方法 - Google Patents
一种资源受限环境下的分布式数据安全交换共享方法 Download PDFInfo
- Publication number
- CN114124402B CN114124402B CN202111293193.0A CN202111293193A CN114124402B CN 114124402 B CN114124402 B CN 114124402B CN 202111293193 A CN202111293193 A CN 202111293193A CN 114124402 B CN114124402 B CN 114124402B
- Authority
- CN
- China
- Prior art keywords
- data
- provider
- uplink
- providing end
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000013500 data storage Methods 0.000 claims description 17
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000013506 data mapping Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 230000009466 transformation Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 12
- 230000005540 biological transmission Effects 0.000 abstract description 8
- 238000013075 data extraction Methods 0.000 abstract description 4
- 238000007792 addition Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Optimization (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种资源受限环境下的分布式数据安全交换共享方法,本发明充分考虑了节点资源受限情况下的数据交换共享,对上链数据进行签名,保障了数据的不可抵赖性,确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中,不仅传送对称密码算法加密后的密文,而且采用了数据需求端公钥进行加密,保证只有正确的数据需求端才能正确解密数据,确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性,降低计算资源损耗,可适用于各种环境下的数据安全交换共享。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种资源受限环境下的分布式数据安全交换共享方法。
背景技术
随着5G、人工智能、边缘计算等新一代信息技术的快速发展,万物互联时代已经来临。网络接入设备数量快速增长,使得网络数据量呈现爆炸式增长态势,而数据交换共享的需求也日趋强烈,数据安全有效共享是解决“数据孤岛”式困境的有效方法。然而,数据供需双方的实体身份日趋复杂,不仅包括PC机、服务器等资源较为丰富的设备,也包括移动终端、智能网关等资源受限设备。海量异构设备之间的数据资源共享存在供需双方身份伪造、中间人攻击、数据交换共享传输通道安全性难以保障等问题。因此,数据共享过程中应充分考虑不同设备的计算能力和资源情况,确保在最小计算量和资源损耗情况下实现数据安全交换共享,然而传统的数据共享方法通过下载原始数据实现数据共享,且一般都是中心化的数据共享模式,安全性难以保障,单点失效问题引发的安全风险突出,如何实现数据的安全共享成为现在亟待需要解决的问题。
发明内容
本发明提供了一种资源受限环境下的分布式数据安全交换共享方法,以解决现有技术中不能安全地进行数据共享的问题。
本发明提供了一种资源受限环境下的分布式数据安全交换共享方法,该方法包括:通过数据提供端建立上链数据的数据共享清单DCLL,基于所述数据共享清单DCLL中的数据提取数据表述集;通过预设私钥对所述上链数据进行签名,区块链根据数据提供端的身份,使用预设公钥对所述上链数据进行解密,并对解密后的上链数据进行hash运算后,存储到区块链上,以供数据需求端进行检索和使用。
可选地,建立数据共享清单DCLL之前,所述方法还包括:基于数据提供端发起的注册请求,区块链中的CA节点获取数据提供端的用户的真实身份信息标识,验证所述身份信息标识通过后,根据所述身份信息标识计算对应的预设公钥。
可选地,根据所述身份信息标识计算对应的预设公钥,包括:
设K是一个域,定义域K上的点集为:
E:={(x,y)|y2+a1xy+a3y=x3+a2x2+a4x+a6}U{O},a1,a2,a3,a4,a6∈K,{O}为无穷远点,则E叫做域K上的椭圆曲线;
定义域K上的两点相加运算设P,Q是E上的两个点,L是过P和Q的直线,如果P=Q,则L为过P点的切线,R是L与曲线E相交的第三点,设L’是过R和O的直线,则/>就是L’与E相交的第三点;
如果P和Q相等,将P和Q相连得到和曲线的另一个交点-R,沿着X轴做对称得到R点;
从椭圆曲线基点G出发,按照上述相加运算不停做自增操作,枚举出整个空间的集合元素,随机产生一个非零的大整数sk作为所述数据提供端私钥,则数据提供端公钥pk=skG。
可选地,通过数据提供端建立上链数据的数据共享清单DCLL,包括:
数据提供端根据行业领域规范对所述上链数据进行分类分级,建立形成数据分类分级清单DCL,通过数据类型、级别,综合分析可共享的数据,最终确定数据共享范围,形成数据共享清单DCLL。
可选地,基于所述数据共享清单DCLL中的数据提取数据表述集,包括:
数据提供端提取共享数据的元数据信息,形成数据描述集,所述数据描述集包括数据用途DU、数据大小DV、数据格式DF、数据形态DP、数据类型DC、数据级别DL,表示为M={DU,DV,DF,DP,DC,DL}。
可选地,通过预设私钥对所述上链数据进行签名,区块链根据数据提供端的身份,使用预设公钥对所述上链数据进行解密,并对解密后的上链数据进行hash运算后,存储到区块链上,包括:
数据提供端建立数据存储地址索引,得到数据映射L:ADD->DS,其中ADD为由键值关联的数据存储地址,DS为原始共享数据;
数据提供端用其预设私钥sk(provider)对上链数据进行签名得到ECCsk(provider)(M)||ECCsk(provider)(L)||ECCsk(provider)(ADD),并提交区块链上链申请,其中S0=ECCsk(provider)(M),L0=ECCsk(provider)(L),A0=ECCsk(provider)(ADD);
区块链校验数据提供端身份信息,校验成功后,使用数据提供端公钥pk(provider)对L0和A0进行解密,将ADD存储于区块头,根据共识算法将数据映射Lput到区块链中的任意节点;
区块链对上链数据S0进行解密,并进行hash运算,得到数据S1=hash(M),将该数据S1存储于区块链节点上。
可选地,数据提供端用其预设私钥sk对上链数据进行签名,包括:
数据提供端用其预设私钥sk(provider),基于双伪随机变换的轻量级分组密码算法VH,对上链数据进行签名。
可选地,所述将该数据S1存储于区块链节点上之后,所述方法还包括:
数据提供端接收区块链反馈的对数据S1的索引,触发应用层发布数据交易信息于交换平台。
可选地,所述方法还包括:
数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,检索匹配成功后与数据提供端建立交易,所述数据需求端通过智能合约进行数据运算,数据的分析与处理以智能合约的方式在数据提供端计算,并将所述数据需求端需要的计算结果D=cac(DS)通过VH对称密码算法,密钥为k,加密后得到DL=VHk(cac(DS))存储于数据存储地址ADD;交换平台将数据加密密钥k和数据存储地址ADD,hash(m0)通过所述数据需求端公钥加密打包形成U=ECCPK(demander)(ADD||k||||hash(m0))发送给所述数据需求端,其中PK(demander)为需方公钥;
所述数据需求端用其自身的私钥sk(demander)对数据进行解密L=DEsk(demander)(U),然后存储hash(m0),并使用原始数据加密密钥进行解密DEk(L),得到所需数据D的地址和密钥,验证hash值后通过地址进行数据访问。
可选地,所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,包括:区块链对所述数据需求端的检索数据M0进行hash运算,得到请求Rest,然后与所存储的hash值进行hash值比对,hash比对一致的节点ui即为所匹配的数据提供端。
本发明有益效果如下:
本发明充分考虑了节点资源受限情况下的数据交换共享,对上链数据进行签名,保障了数据的不可抵赖性,确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中,不仅传送对称密码算法加密后的密文,而且采用了数据需求端公钥进行加密,保证只有正确的数据需求端才能正确解密数据,确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性,降低计算资源损耗,可适用于各种环境下的数据安全交换共享。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明实施例提供的一种资源受限环境下的分布式数据安全交换共享方法的流程示意图;
图2是本发明实施例提供的另一种资源受限环境下的分布式数据安全交换共享方法的流程示意图;
图3是本发明实施例提供的数据发布方法的流程示意图;
图4是本发明实施例提供的数据计算及提取方法的流程示意图。
具体实施方式
本发明实施例针对现有无法更安全的进行数据交互的问题,充分考虑了节点资源受限情况下的数据交换共享,对上链数据进行签名,保障了数据的不可抵赖性,确保了数据提供端身份的唯一性和真实性。并且在数据提取和传输过程中,不仅传送对称密码算法加密后的密文,而且采用了数据需求端公钥进行加密,保证只有正确的数据需求端才能正确解密数据,确保了数据接收方的唯一性。所以本发明能够有效提高数据交换共享的安全性,降低计算资源损耗,可适用于各种环境下的数据安全交换共享。以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本发明实施例提供了一种资源受限环境下的分布式数据安全交换共享方法,参见图1,该方法包括:
S101、通过数据提供端建立上链数据的数据共享清单DCLL,基于所述数据共享清单DCLL中的数据提取数据表述集;
具体本发明实施例是,基于数据提供端发起的注册请求,区块链中的CA节点获取数据提供端的用户的真实身份信息标识,验证所述身份信息标识通过后,根据所述身份信息标识计算对应的预设公钥。
具体实施时,本发明实施例中,通过数据提供端建立上链数据的数据共享清单DCLL步骤具体包括:数据提供端根据行业领域规范对所述上链数据进行分类分级,建立形成数据分类分级清单DCL,通过数据类型、级别,综合分析可共享的数据,最终确定数据共享范围,形成共享数据清单DCLL。
其中,数据提供端提取共享数据的元数据信息,形成数据描述集,所述数据描述集包括数据用途DU、数据大小DV、数据格式DF、数据形态DP、数据类型DC、数据级别DL,表示为M={DU,DV,DF,DP,DC,DL}。
进一步地,本发明实施例中,根据所述身份信息标识计算对应的预设公钥,包括:设K是一个域,定义域K上的点集为:
E:={(x,y)|y2+a1xy+a3y=x3+a2x2+a4x+a6}U{O},a1,a2,a3,a4,a6∈K,{O}为无穷远点,则E叫做域K上的椭圆曲线;
定义域K上的两点相加运算设P,Q是E上的两个点,L是过P和Q的直线,如果P=Q,则L为过P点的切线,R是L与曲线E相交的第三点,设L’是过R和O的直线,则/>就是L’与E相交的第三点;
如果P和Q相等,将P和Q相连得到和曲线的另一个交点-R,沿着X轴做对称得到R点;
从椭圆曲线基点G出发,按照上述相加运算不停做自增操作,枚举出整个空间的集合元素,随机产生一个非零的大整数sk作为所述数据提供端私钥,则数据提供端公钥pk=skG。
需要说明的是,本发明实施例基点为任意一点,且本发明实施例中自增操作即为密码学中特有的群操作,比如++等等。并且本发明实施例中所述的大整数sk其实质就是高精度整数,其含义就是用基本数据类型无法存储其精度的整数。因为数据提供端公钥pk=skG是椭圆曲线密码算法的计算方式,根据基点和私钥,可以计算出公钥,但是利用大整数分解难的原理,从公钥不能推导出私钥。
S102、通过预设私钥对所述上链数据进行签名,区块链根据数据提供端的身份,使用预设公钥对所述上链数据进行解密,并对解密后的上链数据进行hash运算后,存储到区块链上,以供数据需求端进行检索和使用。
具体本发明实施例是,数据提供端建立数据存储地址索引,得到数据映射L:ADD->DS,其中ADD为由键值关联的数据存储地址,DS为原始共享数据;数据提供端用其预设私钥sk对上链数据进行签名得到ECCsk(provider)(M)||ECCsk(provider)(L)||ECCsk(provider)(ADD),并提交区块链上链申请,其中S0=ECCsk(provider)(M),L0=ECCsk(provider)(L),A0=ECCsk(provider)(ADD);区块链校验数据提供端身份信息,校验成功后,使用数据提供端公钥pk对L0和A0进行解密,将ADD存储于区块头,根据共识算法将数据映射Lput到区块链中的任意节点;区块链对上链数据S0进行解密,并进行hash运算,得到数据S1=hash(M),将该数据S1存储于区块链节点上。
需要说明的是,本发明实施例中建立数据映射的方式本领域技术人员可以根据实际情况自行设定,本发明对此不作详细限定。
其中,本发明实施例中,数据提供端用其预设私钥sk对上链数据进行签名具体包括:数据提供端用其预设私钥sk,基于双伪随机变换的轻量级分组密码算法VH,对上链数据进行签名。
其在将该数据S1存储于区块链节点上之后,本发明实施例的数据提供端接收区块链反馈的对数据S1的索引,再触发应用层发布数据交易信息于交换平台。
总体来说,本发明对上链数据进行签名,保障了数据的不可抵赖性,确保了数据提供端身份的唯一性和真实性。最后,在数据提取和传输过程中,不仅传送对称密码算法加密后的密文,而且采用了数据需求端公钥进行加密,保证只有正确的数据需求端才能正确解密数据,确保了数据接收方的唯一性。
进一步地,本发明实施例中,数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,检索匹配成功后与数据提供端建立交易,所述数据需求端通过智能合约进行数据运算,数据的分析与处理以智能合约的方式在数据提供端计算,并将所述数据需求端需要的计算结果D=cac(DS)通过VH对称密码算法,密钥为k,加密后得到DL=VHk(cac(DS))存储于数据存储地址ADD;交换平台将数据加密密钥k和数据存储地址ADD,hash(m0)通过所述数据需求端公钥加密打包形成U=ECCPK(demander)(ADD||k||hash(m0))发送给所述数据需求端;所述数据需求端用其自身的私钥对数据进行解密L=DEsk(demander)(U),然后存储hash(m0),并使用原始数据加密密钥进行解密DEk(L),得到所需数据D的地址和密钥,验证hash值后通过地址进行数据访问。
在具体实施时,本发明实施例中所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,包括:区块链对所述数据需求端的检索数据M0进行hash运算,得到请求Rest,然后与所存储的hash值进行hash值比对,hash比对一致的节点ui即为所匹配的数据提供端。从而进一步提高了数据交换共享的安全性。
下面将结合图2-图4对本发明所述的方法进行详细的解释和说明:
本发明实施例所述的方法包括三个阶段,下面将对每个阶段逐一进行说明:
第一阶段:身份注册和密钥分发,具体包括以下步骤:
第一步:用户u1,u2,…un向CA节点提交唯一身份信息,发起注册请求:
第二步:CA节点获取用户真实身份信息标识UID1,UID2,…UIDn,验证用户身份,并据此计算形成用户公私钥对{(sk1,pk1),(sk2,pk2)…(skn,pkn)},然后将相应公私钥对发送给用户。在此过程中调用智能合约对用户身份进行登记。所述公私钥对计算过程如下:
设K是一个域,定义域K上的点集为:
E:={(x,y)|y2+a1xy+a3y=x3+a2x2+a4x+a6}U{O}。a1,a2,a3,a4,a6∈K,{O}为无穷远点,则E叫做域K上的椭圆曲线。
定义域K上的两点相加运算设P,Q是E上的两个点,L是过P和Q的直线,如果P=Q,则L为过P点的切线,R是L与曲线E相交的第三点。设L’是过R和O的直线,则/>就是L’与E相交的第三点。
如果P和Q相等,将P和Q相连得到和曲线的另一个交点-R,沿着X轴做对称得到R点。
从椭圆曲线基点G出发,按照相加运算不停做自增操作,可枚举出整个空间的集合元素。
用户随机产生一个非零大整数sk作为其私钥。
则数据提供端公钥pk=skG。由于在上述集合空间中加法阶数难求问题,从用户公钥无法推出用户私钥,从而保证了用户私钥的安全性。
第二阶段:数据上链及信息发布步骤,如图2所示,该阶段具体包括:
第一步:数据提供端根据行业领域规范对其数据进行分类分级,建立形成数据分类分级清单DCL,通过数据类型、级别,综合分析哪类数据可以共享,最终确定数据共享范围,形成共享数据清单DCLL。
第二步:数据提供端提取共享数据元数据信息,形成数据描述集,包括数据用途、数据大小、数据格式、数据形态、数据类型、数据级别等,表示为M={DU,DV,DF,DP,DC,DL}。
第三步:数据提供端建立数据存储地址索引,得到数据映射L:ADD->DS,其中ADD为由键值关联的数据存储地址,DS为原始共享数据。
第四步:数据提供端用其私钥sk(provider)对上链数据进行签名得到ECCsk(provider)(M)||ECCsk(provider)(L)||ECCsk(provider)(ADD),并提交区块链上链申请,其中S0=ECCsk(provider)(M),L0=ECCsk(provider)(L),A0=ECCsk(provider)(ADD)。
第五步:区块链智能合约校验数据提供端身份信息,校验成功后,使用数据提供端公钥pk(provider)对L0和A0进行解密,将ADD存储于区块头,由共识模块根据共识算法将数据映射Lput到区块链中的任意节点。
第六步:区块链对上链数据S0进行解密,并进行hash运算,得到数据S1=hash(M),并将该数据存储于区块链节点上,S1接受数据需求端索引,应用层发布数据交易信息于交换平台。
第三阶段:数据需求端进行数据检索,该阶段主要包括:
第一步:数据需求端根据数据需求检索相关的数据集信息,检索匹配成功后与数据提供端建立交易。如检索失败则用户可以重新检索其它数据集信息。匹配过程为:区块链对检索数据M0进行hash运算,得到请求Rest,然后与所存储的hash值进行hash值比对,hash比对一致的节点ui即为所匹配的数据提供端。该过程如图3和图4所示。
第二步:数据需求端通过智能合约进行数据运算:数据的分析与处理以智能合约的方式在数据提供端安全地计算,并将数据需求端需要的计算结果D=cac(DS)通过VH对称密码算法(密钥为k)加密后得到DL=VHk(cac(DS))存储于数据存储地址ADD。
第三步:交换平台将数据加密密钥k和数据存储地址ADD,hash(m0)通过数据需求端公钥加密打包形成U=ECCPK(demander)(ADD||k||hash(m0))发送给数据需求端。
第四步:数据需求端首先用自己的私钥对数据进行解密L=DEsk(demander)(U),然后存储hash(m0),并使用原始数据加密密钥进行解密DEk(L),得到所需数据D的地址和密钥,验证hash值后通过地址进行数据访问。
相较于已有数据上链过程,本发明所述数据上链过程通过采用数据提供端对数据进行签名,区块链对其进行解密的方式,确保了数据提供端身份的合法性和不可抵赖性,方便了对数据提供端的溯源。
总体上,相比于现有的基于区块链的数据存储和传输,本发明所述对称密码算法采用一种基于双伪随机变换的轻量级分组密码算法VH,算法能够抵抗差分分析和线性分析,安全性可以达到资源受限环境的需求,适用于数据提供端和数据需求端在资源受限环境,如边缘环境中的数据交换共享。能够同时减轻数据提供端和数据需求端的计算压力和资源消耗,降低计算成本。
另外,本发明所述方法允许先建立交易,后置计算过程,数据提供端和数据需求端可在宣称的交换服务下,通过联合计算的方式,得到数据需求端需要的数据结果,拓展了现有数据交换共享专利的计算能力。
再者,本发明所述的方法一方面,采用共享交换数据在数据提供端本地计算和计算结果加密存储的方式,确保了数据提供端的数据隐私性和保密性,另一方面,在数据传输过程中,通过采用数据需求端公钥进行加密的方式,利用用户私钥只有用户自身可见,不能由公钥单向推出的特点,确保了数据传输过程的安全性,使得只有合法的数据需求端才能够完整解密数据。最后,通过区块链对数据供需双方进行双向身份认证的方式,确保了数据供需双方身份的合法性,防止非法节点和用户恶意攻击,所以本发明数据检索方法能够有效保证数据传输的安全性。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (7)
1.一种资源受限环境下的分布式数据安全交换共享方法,其特征在于,包括:
通过数据提供端建立上链数据的数据共享清单DCLL,基于所述数据共享清单DCLL中的数据提取数据表述集;
通过预设私钥对所述上链数据进行签名,区块链根据数据提供端的身份,使用预设公钥对所述上链数据进行解密,并对解密后的上链数据进行hash运算后,存储到区块链上,以供数据需求端进行检索和使用,包括如下步骤:
数据提供端建立数据存储地址索引,得到数据映射L:ADD->DS,其中ADD为由键值关联的数据存储地址,DS为原始共享数据;
数据提供端用其预设私钥sk(provider)对上链数据进行签名得到ECCsk(provider)(M)||ECCsk(provider)(L)||ECCsk(provider)(ADD),并提交区块链上链申请,其中S0=ECCsk(provider)(M),L0=ECCsk(provider)(L),A0=ECCsk(provider)(ADD);
区块链校验数据提供端身份信息,校验成功后,使用数据提供端公钥pk(provider)对L0和A0进行解密,将ADD存储于区块头,根据共识算法将数据映射Lput到区块链中的任意节点;
区块链对上链数据S0进行解密,并进行hash运算,得到数据S1=hash(M),将该数据S1存储于区块链节点上;
数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,检索匹配成功后与数据提供端建立交易,所述数据需求端通过智能合约进行数据运算,数据的分析与处理以智能合约的方式在数据提供端计算,并将所述数据需求端需要的计算结果D=cac(DS)通过VH对称密码算法,密钥为k,加密后得到DL=VHk(cac(DS))存储于数据存储地址ADD;交换平台将数据加密密钥k和数据存储地址ADD,hash(m0)通过所述数据需求端公钥加密打包形成U=ECCPK(demander)(ADD||k||hash(m0))发送给所述数据需求端,其中PK(demander)为需方公钥;
所述数据需求端用其自身的私钥sk(demander)对数据进行解密L=DEsk(demander)(U),然后存储hash(m0),并使用原始数据加密密钥进行解密DEk(L),得到所需数据D的地址和密钥,验证hash值后通过地址进行数据访问;
所述数据需求端根据数据需求在区块链中检索匹配相关的数据集信息,包括:
区块链对所述数据需求端的检索数据M0进行hash运算,得到请求Rest,然后与所存储的hash值进行hash值比对,hash比对一致的节点ui即为所匹配的数据提供端。
2.根据权利要求1所述的方法,其特征在于,建立数据共享清单DCLL之前,所述方法还包括:
基于数据提供端发起的注册请求,区块链中的CA节点获取数据提供端的用户的真实身份信息标识,验证所述身份信息标识通过后,根据所述身份信息标识计算对应的预设公钥。
3.根据权利要求2所述的方法,其特征在于,根据所述身份信息标识计算对应的预设公钥,包括:
设K是一个域,定义域K上的点集为:
E:={(x,y)|y2+a1xy+a3y=x3+a2x2+a4x+a6}U{O},a1,a2,a3,a4,a6∈K,{O}为无穷远点,则E叫做域K上的椭圆曲线;
定义域K上的两点相加运算:设P,Q是E上的两个点,L是过P和Q的直线,如果P=Q,则L为过P点的切线,R是L与曲线E相交的第三点,设L’是过R和O的直线,则/>就是L’与E相交的第三点;
如果P和Q相等,将P和Q相连得到和曲线的另一个交点-R,沿着X轴做对称得到R点;
从椭圆曲线基点G出发,按照相加运算不停做自增操作,枚举出整个空间的集合元素,随机产生一个非零的大整数sk作为所述数据提供端私钥,则数据提供端公钥pk=skG。
4.根据权利要求1所述的方法,其特征在于,通过数据提供端建立上链数据的数据共享清单DCLL,包括:
数据提供端根据行业领域规范对所述上链数据进行分类分级,建立形成数据分类分级清单DCL,通过数据类型、级别,综合分析可共享的数据,最终确定数据共享范围,形成数据共享清单DCLL。
5.根据权利要求4所述的方法,其特征在于,基于所述数据共享清单DCLL中的数据提取数据表述集,包括:
数据提供端提取共享数据的元数据信息,形成数据描述集,所述数据描述集包括数据用途DU、数据大小DV、数据格式DF、数据形态DP、数据类型DC、数据级别DL,表示为M={DU,DV,DF,DP,DC,DL}。
6.根据权利要求1所述的方法,其特征在于,数据提供端用其预设私钥sk对上链数据进行签名,包括:
数据提供端用其预设私钥sk(provider),基于双伪随机变换的轻量级分组密码算法VH,对上链数据进行签名。
7.根据权利要求1所述的方法,其特征在于,所述将该数据S1存储于区块链节点上之后,所述方法还包括:
数据提供端接收区块链反馈的对数据S1的索引,触发应用层发布数据交易信息于交换平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111293193.0A CN114124402B (zh) | 2021-11-03 | 2021-11-03 | 一种资源受限环境下的分布式数据安全交换共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111293193.0A CN114124402B (zh) | 2021-11-03 | 2021-11-03 | 一种资源受限环境下的分布式数据安全交换共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114124402A CN114124402A (zh) | 2022-03-01 |
CN114124402B true CN114124402B (zh) | 2024-05-14 |
Family
ID=80380617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111293193.0A Active CN114124402B (zh) | 2021-11-03 | 2021-11-03 | 一种资源受限环境下的分布式数据安全交换共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114124402B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109729168A (zh) * | 2018-12-31 | 2019-05-07 | 浙江成功软件开发有限公司 | 一种基于区块链的数据共享交换系统及方法 |
CN111460168A (zh) * | 2020-03-27 | 2020-07-28 | 西安交通大学 | 基于区块链分布式双重共识的知识图谱验证及更新方法 |
CN111461712A (zh) * | 2020-03-17 | 2020-07-28 | 江苏华能智慧能源供应链科技有限公司 | 区块链供应链金融场景下的交易隐私保护和分层监管 |
WO2020181845A1 (zh) * | 2019-03-14 | 2020-09-17 | 深圳壹账通智能科技有限公司 | 区块链数据加密方法、装置、计算机设备及存储介质 |
CN111917760A (zh) * | 2020-07-28 | 2020-11-10 | 国家工业信息安全发展研究中心 | 一种基于标识解析的网络协同制造跨域融合信任管控方法 |
CN112150147A (zh) * | 2020-09-23 | 2020-12-29 | 安徽省吉翔信息科技有限公司 | 一种基于区块链的数据安全存储系统 |
WO2020259635A1 (zh) * | 2019-06-27 | 2020-12-30 | 深圳前海微众银行股份有限公司 | 一种区块链数据共享方法及装置 |
CN112417519A (zh) * | 2020-11-25 | 2021-02-26 | 重庆邮电大学 | 一种基于区块链的供应链物流数据安全共享方法 |
CN112910840A (zh) * | 2021-01-14 | 2021-06-04 | 重庆邮电大学 | 一种基于联盟区块链的医疗数据存储共享方法及系统 |
CN112906041A (zh) * | 2021-03-31 | 2021-06-04 | 上海简苏网络科技有限公司 | 一种动态多方签名加解密方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9077537B2 (en) * | 2008-11-13 | 2015-07-07 | International Business Machines Corporation | Generating secure private keys for use in a public key communications environment |
US20210089676A1 (en) * | 2018-02-16 | 2021-03-25 | Ecole Polytechnique Fédérale De Lausanne Epfl-Tto | Methods and systems for secure data exchange |
CN110059495B (zh) * | 2018-12-14 | 2020-11-17 | 创新先进技术有限公司 | 数据共享方法、装置及系统、电子设备 |
-
2021
- 2021-11-03 CN CN202111293193.0A patent/CN114124402B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109729168A (zh) * | 2018-12-31 | 2019-05-07 | 浙江成功软件开发有限公司 | 一种基于区块链的数据共享交换系统及方法 |
WO2020181845A1 (zh) * | 2019-03-14 | 2020-09-17 | 深圳壹账通智能科技有限公司 | 区块链数据加密方法、装置、计算机设备及存储介质 |
WO2020259635A1 (zh) * | 2019-06-27 | 2020-12-30 | 深圳前海微众银行股份有限公司 | 一种区块链数据共享方法及装置 |
CN111461712A (zh) * | 2020-03-17 | 2020-07-28 | 江苏华能智慧能源供应链科技有限公司 | 区块链供应链金融场景下的交易隐私保护和分层监管 |
CN111460168A (zh) * | 2020-03-27 | 2020-07-28 | 西安交通大学 | 基于区块链分布式双重共识的知识图谱验证及更新方法 |
CN111917760A (zh) * | 2020-07-28 | 2020-11-10 | 国家工业信息安全发展研究中心 | 一种基于标识解析的网络协同制造跨域融合信任管控方法 |
CN112150147A (zh) * | 2020-09-23 | 2020-12-29 | 安徽省吉翔信息科技有限公司 | 一种基于区块链的数据安全存储系统 |
CN112417519A (zh) * | 2020-11-25 | 2021-02-26 | 重庆邮电大学 | 一种基于区块链的供应链物流数据安全共享方法 |
CN112910840A (zh) * | 2021-01-14 | 2021-06-04 | 重庆邮电大学 | 一种基于联盟区块链的医疗数据存储共享方法及系统 |
CN112906041A (zh) * | 2021-03-31 | 2021-06-04 | 上海简苏网络科技有限公司 | 一种动态多方签名加解密方法及系统 |
Non-Patent Citations (3)
Title |
---|
基于区块链的政务信息资源共享交换安全防护研究;焦迪;梁智;;网络安全技术与应用(第06期);全文 * |
基于商密体系的政务链解决数据安全共享交换的研究;赵睿斌;杨绍亮;王毛路;程浩;;信息安全与通信保密;20180510(第05期);全文 * |
应用区块链的数据访问控制与共享模型;王秀利;江晓舟;李洋;;软件学报(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114124402A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11973889B2 (en) | Searchable encrypted data sharing method and system based on blockchain and homomorphic encryption | |
US10944575B2 (en) | Implicitly certified digital signatures | |
US8873749B2 (en) | Multi-user searchable encryption system and method with index validation and tracing | |
CN108768652B (zh) | 一种可抗量子攻击的联盟区块链底层加密方法 | |
KR20200126321A (ko) | 신뢰 실행 환경에서 스마트 계약 동작을 안전하게 실행하는 방법 | |
US10148422B2 (en) | Implicitly certified public keys | |
US20210226793A1 (en) | Providing high availability computing service by issuing a certificate | |
CN111355745A (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
RU2512139C2 (ru) | Способ и устройство для генерации и аутентификации псевдонима | |
CN115021903B (zh) | 一种基于区块链的电子病历共享方法及系统 | |
Ji et al. | Flexible identity-based remote data integrity checking for cloud storage with privacy preserving property | |
Sun et al. | Research on logistics information blockchain data query algorithm based on searchable encryption | |
CN114357492A (zh) | 一种基于区块链的医疗数据隐私融合方法及装置 | |
Bao et al. | Pbidm: Privacy-preserving blockchain-based identity management system for industrial internet of things | |
CN113554436B (zh) | 一种区块链系统用户身份匿名方法、追踪方法和系统 | |
CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和系统 | |
CN116599659B (zh) | 无证书身份认证与密钥协商方法以及系统 | |
CN114124402B (zh) | 一种资源受限环境下的分布式数据安全交换共享方法 | |
Xu et al. | A generic integrity verification algorithm of version files for cloud deduplication data storage | |
Xia et al. | Conditional identity privacy-preserving authentication scheme based on cooperation of multiple fog servers under fog computing-based IoVs | |
CN112671729B (zh) | 面向车联网的匿名的抗密钥泄露的认证方法、系统及介质 | |
CN116069856A (zh) | 一种基于区块链的数据完整性验证方法及系统 | |
Ding et al. | Secure Multi‐Keyword Search and Access Control over Electronic Health Records in Wireless Body Area Networks | |
CN115208642A (zh) | 基于区块链的身份认证方法、装置及系统 | |
CN115189903A (zh) | 一种车联网中支持隐私保护的分布式访问控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |