CN114244493A - 一种基于区块链的带门限不经意可更新密钥管理方法 - Google Patents
一种基于区块链的带门限不经意可更新密钥管理方法 Download PDFInfo
- Publication number
- CN114244493A CN114244493A CN202111304886.5A CN202111304886A CN114244493A CN 114244493 A CN114244493 A CN 114244493A CN 202111304886 A CN202111304886 A CN 202111304886A CN 114244493 A CN114244493 A CN 114244493A
- Authority
- CN
- China
- Prior art keywords
- block chain
- user
- threshold
- stage
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明是一种基于区块链的带门限不经意可更新密钥管理方法,包括步骤1:初始化阶段:当用户注册时,获取系统初始化参数作为安全参数,并生成公钥私钥对。步骤2:加密存储阶段:用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上;步骤3:加密密钥的建立以及解密阶段:用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,最终对数据对象进行解密;步骤4:更新阶段:周期性更新用户的公钥私钥对以及信息。本发明提高了通信过程中的安全性且本方法利用区块链去中心化和防篡改的特性去除了密钥管理服务器,将除密文外的相关信息分布式存储在区块链上,有效降低了私钥暴露的风险。
Description
技术领域
本发明属于区块链和加密领域,具体的说是涉及一种新型的基于区块链的带门限不经意可更新密钥管理方法。
背景技术
互联网时代下,随着云存储的迅猛发展,人们将大量数据存储在远程服务器中,只需要持有密钥就可以访问数据。然而,在带给用户更便利的服务的同时,这种存储方式也存在的巨大的安全隐患。当用户把数据存储到远程服务器时,其对数据的控制完全依赖于自己持有的密钥,一旦存储密钥的管理服务器安全性无法保障,则用户的大量数据将遭到泄露,其后果更加严重。所以如何对密钥进行有效的组织,分发,管理,如何对密钥进行更新以及密钥更新后如何对数据进行更有效率的重加密,是云存储密钥管理的关键。
现有的传统密钥管理系统的主要不足之处是忽视了敌手的主动攻击,首先,客户端与密钥管理服务器之间的信道安全决定了整个系统的安全,一旦配置错误或者遇到中间人攻击,就会造成安全威胁,在TLS流量包解密的端点,数据容易被第三方窃听,其次,密钥管理服务器的权限过大,其可以直接获得加密密钥,并且能够追踪密文,此外,密钥更新的成本过大,时间过长。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种新型的基于区块链的带门限不经意可更新密钥管理方法,解决现有云存储系统的传统密钥管理方法中存在的信道安全,密钥管理服务器的权限过大,密钥分发与更新的方式过于中心化以及密钥更新成本问题。
为了达到上述目的,本发明是通过以下技术方案实现的:
本发明是一种基于区块链的带门限不经意可更新密钥管理方法,具体包括如下步骤:
步骤1:初始化阶段:当用户注册时,获取系统初始化参数作为安全参数,并生成公钥私钥对。
步骤2:加密存储阶段:用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上,将用于步骤3以及步骤4的信息存储在区块链上;
步骤3:加密密钥的建立以及解密阶段:用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,最终对数据对象进行解密;
步骤4:更新阶段:周期性更新用户的公钥私钥对以及信息。
本发明的进一步改进在于:步骤3加密密钥的建立以及解密阶段具体包括如下步骤:
步骤S3.1:用户选择r←RZq\{0};
步骤S3.2:用户向全体区块广播获取w分片的请求,当数量满足门限时,智能合约恢复w发送给;
步骤S3.4:用户向全体区块广播获取v分片的请求,当数量满足门限时,智能合约恢复v发送给用户;
步骤S3.6、用户根据ObjId从远程存储服务器获取数据密文,用户解密出数据对象明文Obj=Decdek(e)。
本发明的有益效果是:本发明利用不经意伪随机函数解决信道安全问题,提高了通信过程中的安全性,能满足密钥更新阶段的前向安全和后向安全特性;
本方法利用区块链去中心化和防篡改的特性去除了密钥管理服务器,将除密文外的相关信息分布式存储在区块链上;
本发明引入基于门限的秘密共享,有效降低了私钥暴露的风险。
附图说明
图1是本发明中的系统模型图。
图2是本发明中的加密密钥建立协议的流程图。
图3是本发明的系统流程图。
具体实施方式
以下将以图式揭露本发明的实施方式,为明确说明起见,许多实务上的细节将在以下叙述中一并说明。然而,应了解到,这些实务上的细节不应用以限制本发明。也就是说,在本发明的部分实施方式中,这些实务上的细节是非必要的。
本发明提供了一种新型的基于区块链的带门限不经意可更新密钥管理方法,应用于云存储平台,加密时用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上,将用于加密以及更新的信息w存储在区块链上。解密时用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,对数据对象进行解密。同时,周期性更新用户的密钥对以及w。如图1是本发明的模型,主要包括三方面,区块链的存储方案,加密密钥建立协议以及密钥更新协议。本方法应用于云存储系统,加密时用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上,将用于加密以及更新的信息w存储在区块链上。解密时用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,对数据对象进行解密。同时,周期性更新用户的密钥对以及w。
具体包括如下步骤:
具体的参数包括比特大小,生成元g,群G以及素数p,选择具体的对称加密算法以及哈希算法。
2、加密阶段:对数据对象Obj进行加密,用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上,将用于步骤3以及步骤4的信息w存储在区块链上,具体包括如下步骤:
步骤S2.1、用户选择随机数r←RZq\{0};
步骤S3.3、向远程存储服务器存储(ObjId,Encdek(Obj));
步骤S3.4、向区块链上存储(ObjId,w);
其中yc即是公钥dek是对称加密的密钥,用于对数据对象Obj进行加密,ObjId是数据对象Obj的身份标识,Enc是对称加密方案。用户选取的随机数r应在整数域中选取,且不能为0,本方案采用对称加密对数据进行加密,这样可以保证加密的高效,同时用非对称加密协议来实现对加密密钥的安全性进行保护。
3、加密密钥的建立以及解密阶段:用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,最终对数据对象Obj进行解密,具体包括如下步骤:
步骤S3.1、用户选择r←RZq;
步骤S3.2、用户向全体区块广播获取w分片的请求,当数量满足门限t时,智能合约恢复w发送给用户;
步骤S3.4、用户向全体区块广播获取v分片的请求,当数量满足门限t时,智能合约恢复v发送给用户;
步骤S3.6、用户根据ObjId从远程存储服务器获取数据密文,用户解密出数据对象明文Obj=Decdek(e);
4、更新阶段:周期性更新用户的密钥对以及w,具体为:
步骤S4.2:将w替换为wΔ,以(n,t)门限秘密共享的方式将wΔ分成n份,分别存储在n个区块上。
5.步骤3以及步骤4中所述(n,t)门限秘密共享采用拉格朗日插值定理进行分割秘密,包括秘密分发阶段和秘密恢复阶段,所述秘密分发阶段包括如下内容:
(1)门限选择:设置共享数n以及门限值t;
(2)多项式生成:选择一个t-1次多项式,需要共享的秘密设为a0,而另外t-1个系数随机选择,得到的多项式如下
y(x)=a0+a1x+…+aTxt-1
上述所有操作由部署在区块链上的智能合约自动完成,将计算的yi放在指数上是因为区块链是透明的,任何人可以看到所有分片,并恢复秘密,所以将分片放在指数上,此外,底数可以根据具体情况选择u或w。
6.步骤3以及步骤4中所述(n,t)门限秘密共享采用拉格朗日插值定理进行分割秘密,包括秘密分发阶段和秘密恢复阶段,所述秘密恢复阶段包括如下内容:
(1)当管理节点收到获取秘密的请求后,向整个区块链广播请求
上述所有操作由部署在区块链上的智能合约自动完成,要求收到的分片数量必须大于t-1,不然无法恢复秘密。
在整个交互过程中,远程存储服务器只存储加密后的数据密文,保证了云存储系统数据的可用性,而其他数据如私钥以指数的形式分布式存储在区块链中,这样保证了数据的保密性。同时在用户和区块链交互过程中,加密密钥是以不经意传输获得的,即使信道是不安全的也不会破坏整个系统的安全。不仅能提高通信过程中的安全性,能满足密钥更新阶段的前向安全和后向安全性,并且本方法利用区块链去中心化和防篡改的特性去除了密钥管理服务器,将除密文外的相关信息分布式存储在区块链上,以及引入基于门限的秘密共享,有效降低了私钥暴露的风险。
以上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理的内所作的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。
Claims (7)
1.一种基于区块链的带门限不经意可更新密钥管理方法,其特征在于:所述管理方法包括如下步骤:
步骤1:初始化阶段:当用户注册时,获取系统初始化参数作为安全参数,并生成公钥私钥对。
步骤2:加密存储阶段:用户对数据对象进行加密,并根据数据的身份标识将密文存储在远程服务器上,将用于步骤3以及步骤4的信息存储在区块链上;
步骤3:加密密钥的建立以及解密阶段:用户通过部署在区块链上的智能合约与区块链经过不经意交互并得到加密密钥,最终对数据对象进行解密;
步骤4:更新阶段:周期性更新用户的公钥私钥对以及信息。
2.根据权利要求1所述一种基于区块链的带门限不经意可更新密钥管理方法,其特征在于:所述步骤3加密密钥的建立以及解密阶段具体包括如下步骤:
步骤S3.1:用户选择r←RZq\{0};
步骤S3.2:用户向全体区块广播获取w分片的请求,当数量满足门限时,智能合约恢复w发送给;
步骤S3.4:用户向全体区块广播获取v分片的请求,当数量满足门限时,智能合约恢复v发送给用户;
步骤S3.6、用户根据ObjId从远程存储服务器获取数据密文,用户解密出数据对象明文Obj=Decdek(e)。
4.根据权利要求2或3所述的一种基于区块链的带门限不经意可更新密钥管理方法,其特征在于:所述步骤3以及步骤4中,所述(n,t)门限秘密共享采用拉格朗日插值定理进行分割秘密,包括秘密分发阶段和秘密恢复阶段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111304886.5A CN114244493B (zh) | 2021-11-05 | 2021-11-05 | 一种基于区块链的带门限不经意可更新密钥管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111304886.5A CN114244493B (zh) | 2021-11-05 | 2021-11-05 | 一种基于区块链的带门限不经意可更新密钥管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114244493A true CN114244493A (zh) | 2022-03-25 |
CN114244493B CN114244493B (zh) | 2023-07-18 |
Family
ID=80748500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111304886.5A Active CN114244493B (zh) | 2021-11-05 | 2021-11-05 | 一种基于区块链的带门限不经意可更新密钥管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244493B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114820175A (zh) * | 2022-06-27 | 2022-07-29 | 浙江数秦科技有限公司 | 一种基于区块链的贷款用途监督方法 |
CN115412243A (zh) * | 2022-09-30 | 2022-11-29 | 建信金融科技有限责任公司 | 数据处理方法、装置、设备及存储介质 |
CN116366241A (zh) * | 2023-02-14 | 2023-06-30 | 北京交通大学 | 一种去中心化的以太坊定时交易隐私保护执行方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060095077A (ko) * | 2005-02-25 | 2006-08-30 | 삼성전자주식회사 | 계층적 문턱 트리에 기반한 브로드캐스트 암호화 방법 |
CN111639361A (zh) * | 2020-05-15 | 2020-09-08 | 中国科学院信息工程研究所 | 一种区块链密钥管理方法、多人共同签名方法及电子装置 |
CN112671802A (zh) * | 2021-01-12 | 2021-04-16 | 北京邮电大学 | 基于不经意传输协议的数据共享方法和系统 |
CN113193953A (zh) * | 2021-04-16 | 2021-07-30 | 南通大学 | 一种基于区块链的多权威属性基加密方法 |
-
2021
- 2021-11-05 CN CN202111304886.5A patent/CN114244493B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060095077A (ko) * | 2005-02-25 | 2006-08-30 | 삼성전자주식회사 | 계층적 문턱 트리에 기반한 브로드캐스트 암호화 방법 |
CN111639361A (zh) * | 2020-05-15 | 2020-09-08 | 中国科学院信息工程研究所 | 一种区块链密钥管理方法、多人共同签名方法及电子装置 |
CN112671802A (zh) * | 2021-01-12 | 2021-04-16 | 北京邮电大学 | 基于不经意传输协议的数据共享方法和系统 |
CN113193953A (zh) * | 2021-04-16 | 2021-07-30 | 南通大学 | 一种基于区块链的多权威属性基加密方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114820175A (zh) * | 2022-06-27 | 2022-07-29 | 浙江数秦科技有限公司 | 一种基于区块链的贷款用途监督方法 |
CN115412243A (zh) * | 2022-09-30 | 2022-11-29 | 建信金融科技有限责任公司 | 数据处理方法、装置、设备及存储介质 |
CN116366241A (zh) * | 2023-02-14 | 2023-06-30 | 北京交通大学 | 一种去中心化的以太坊定时交易隐私保护执行方法 |
CN116366241B (zh) * | 2023-02-14 | 2024-02-02 | 北京交通大学 | 一种去中心化的以太坊定时交易隐私保护执行方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114244493B (zh) | 2023-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10785019B2 (en) | Data transmission method and apparatus | |
CN114244493B (zh) | 一种基于区块链的带门限不经意可更新密钥管理方法 | |
CN108600217B (zh) | 一种云端基于代理重加密的数据授权确定性更新方法 | |
CN107749865B (zh) | 一种基于同态加密的位置隐私查询方法 | |
CN108881195A (zh) | 基于云环境的数据安全共享方法和装置 | |
CN108347404B (zh) | 一种身份认证方法及装置 | |
EP3375129A1 (en) | Method for re-keying an encrypted data file | |
CN105227566A (zh) | 密钥处理方法、密钥处理装置及密钥处理系统 | |
CN105490806B (zh) | 一种同态密钥生成、共享方法及装置 | |
CN109586908A (zh) | 一种安全报文传输方法及其系统 | |
JP6341599B2 (ja) | 暗号データ更新システム、暗号データ更新方法 | |
CN109274492B (zh) | 自安全的紧耦合秘密共享方法 | |
CN105915333B (zh) | 一种基于属性加密的高效密钥分发方法 | |
CN109962924B (zh) | 群聊构建方法、群消息发送方法、群消息接收方法及系统 | |
CN115913534A (zh) | 基于边缘设备的数据加密密钥不经意更新管理方法 | |
CN118018187B (zh) | 一种基于sm9协同算法的代理重加密方法 | |
CN114218584A (zh) | 系统级可撤销属性加密的电力数据隐私保护模型及方法 | |
CN116405320B (zh) | 数据传输方法及装置 | |
CN104796411A (zh) | 一种数据在云端和移动端安全传输存储及使用的方法 | |
CN110932847A (zh) | 一种针对具有密文同态性的身份标识密码系统的用户撤销方法 | |
CN116614221A (zh) | 一种基于区块链的分布式密钥托管方法 | |
CN113783898B (zh) | 一种可更新混合加密方法 | |
CN114070570A (zh) | 一种电力物联网的安全通信方法 | |
CN113824713A (zh) | 一种密钥生成方法、系统及存储介质 | |
Xue-Zhou | Network data encryption strategy for cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |