CN114866323B - 一种用户可控的隐私数据授权共享系统及方法 - Google Patents

一种用户可控的隐私数据授权共享系统及方法 Download PDF

Info

Publication number
CN114866323B
CN114866323B CN202210490126.6A CN202210490126A CN114866323B CN 114866323 B CN114866323 B CN 114866323B CN 202210490126 A CN202210490126 A CN 202210490126A CN 114866323 B CN114866323 B CN 114866323B
Authority
CN
China
Prior art keywords
authorization
user
encryption
data
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210490126.6A
Other languages
English (en)
Other versions
CN114866323A (zh
Inventor
代炜琦
于亮亮
金海�
邹德清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN202210490126.6A priority Critical patent/CN114866323B/zh
Publication of CN114866323A publication Critical patent/CN114866323A/zh
Priority to US17/937,995 priority patent/US20230351035A1/en
Application granted granted Critical
Publication of CN114866323B publication Critical patent/CN114866323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种用户可控的隐私数据授权共享系统及方法,系统至少包括:区块链节点,用于记录验证交易信息和/或完成支付,用户端,用于将对称密钥加密为发送至IPFS节点的重加密密钥,在其向IPFS节点发送的重加密请求验证正确后向服务端发送对称密钥;IPFS节点,用于响应于用户端的重加密请求,向区块链节点调用零知识证明验证合约并进行授权验证;服务端,用于向IPFS节点发送涉及用户授权的第一加密数据,和/或获取由用户端发送的能够解密授权数据的对称密钥。本发明将授权内容的控制权从服务商的手中转移到了用户手中,实现了用户对于授权的掌控。在授权过程中,本发明隐藏了授权数据内容、数据流向和用户行为,使数据的使用不再受到服务商的窥探。

Description

一种用户可控的隐私数据授权共享系统及方法
技术领域
本发明涉及区块链技术领域,尤其涉及一种用户可控的隐私数据授权共享系统及方法。
背景技术
近年来,对数据隐私的关注日益增加,中国专利CN112685760A公开了一种区块链上可授权的金融数据隐私处理与共享的方法,包括结合国密SM4算法和基于BGV的同态加密实现联盟链上的金融数据隐私处理与多方或多级共享,金融机构在联盟链上进行多方或多级数据共享,数据拥有方利用国密SM4算法对写入的数据进行加密保护,然后打包上链,当密文数据需要共享授权给其他合作或申请方时,只有被授权的金融机构才可以解密该数据。该发明通过将授权方SM4加密后的密文转换为数据申请方在全同态加密下的新密文,因此可以利用BaaS保证金融数据的安全处理与共享,同时支持数据的多级共享。但是,该发明采用全同态加密,势必会受到数据存储量与执行效率的限制。
中国专利CN112954000A公开一种基于区块链和IPFS技术的隐私信息管理系统,其特征在于,包括:客户端、区块链系统和IPFS系统;其中,所述客户端,用于获取用户发送的访问请求,所述访问请求包括用户ID和访问对象;所述区块链系统,用于查询区块链账本,验证用户是否具有访问权限;若具有访问权限,则从所述区块链账本中检索出所述访问对象对应的哈希记录;而且,所述客户端,还用于根据所述哈希记录,访问存储在IPFS中的所述访问对象。但是,该专利仅仅提供了一种用户对于以存储数据的访问方法,并不涉及数据的分享与授权及其过程中可能导致的隐私泄露。
此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
针对现有技术之不足,本发明提供了一种用户可控的隐私数据授权共享系统,至少包括:
区块链节点,用于记录验证交易信息和/或完成支付,
至少一个用户端,用于将对称密钥加密为发送至IPFS节点的重加密密钥,在其向所述IPFS节点发送的重加密请求验证正确后向所述服务端发送对称密钥;
IPFS节点,用于响应于用户端的重加密请求,向所述区块链节点调用零知识证明验证合约并进行授权验证;
至少一个服务端,用于向IPFS节点发送涉及用户授权的第一加密数据,和/或获取由所述用户端发送的能够解密授权数据的所述对称密钥。
优选地,所述用户端基于由所述服务端发送的对称密钥、用户戳记和/或时间戳处理形成第二加密数据并上传至所述IPFS节点。
优选地,响应于用户端的重加密请求,所述IPFS节点的授权验证的方式至少包括:
在基于零知识验证合约的授权验证通过后计算所述重加密请求,否则,所述IPFS节点不接受用户端的所述重加密请求。
针对现有技术的不足,本发明提出了一种用户可控的隐私数据授权共享系统,不仅将授权内容的控制权从服务商的手中转移到了用户手中,实现了用户对于授权的掌控。而且,在授权过程中,隐藏了授权数据内容、数据流向和用户行为,使数据的使用不再受到服务商的窥探。本发明很好解决了目前数据源的服务提供者作为唯一的授权方,不仅参与认证和授权,还控制着数据的来源和流向而产生的一系列问题,使用户隐私不再过分依赖于服务商,防止了部分不诚实或自私的服务提供商在未经用户明确批准的情况下共享隐私内容的可能。
优选地,响应于用户端的重加密请求,所述IPFS节点的授权验证的方式还包括:
在计算所述重加密请求完成后,所述IPFS节点向所述区块链调用重加密验证合约以验证计算结果的正确性;
在对重加密请求的计算结果正确的情况下,所述IPFS节点将重加密请求的计算结果上传至IPFS节点,
在对重加密请求的计算结果不正确的情况下,所述IPFS节点判断所述加密请求的计算结果无效且不上传。
优选地,所述用户端发布授权交易,并且基于授权地址构建与授权相关的承诺协议;所述用户端基于至少包含用户地址、数据地址和/或密钥地址的参数生成与所述承诺协议一致的非交互式零知识证明。
优选地,所述用户端还被配置为:
所述用户端在获得新的重加密地址后,将数据地址与新密钥地址发送给所述服务端,
所述服务端根据所述数据地址与新密钥地址获取第一加密数据,并且解密第一加密数据得到用户的授权数据。
优选地,所述零知识证明的构造要求至少包括:
基于至少包括数据地址、密钥地址、授权口令的参数,以随机数R为陷门构造与授权时相同的承诺协议;
利用相关授权参数,并且以用户地址为陷门构造与用户账户绑定的承诺协议;
证明构造的承诺协议存在于由承诺协议组成的Merkel树中。
本发明还提供一种用户可控的隐私数据授权共享方法,所述方法至少包括:
用户端基于公私钥对于对称密钥进行加密处理,并且生成重加密密钥,将密文和重加密密钥地址发送至IPFS节点;
所述IPFS节点在对重加密密钥地址授权验证后,进行重加密计算,生成新的重加密密文;
IPFS节点从区块链调用重加密验证合约,验证新重加密密文的正确性;
在授权验证的结果被承认后,服务端基于被分配的私钥解密获得授权数据。
用户账户至少包括区块链账号。
所述方法还包括:
所述用户端发布授权交易,并且基于授权地址构建与授权相关的承诺协议;所述用户端基于至少包含用户地址、数据地址和/或密钥地址的参数生成与所述承诺协议一致的非交互式零知识证明并发送至区块链。
本发明还提供一种隐藏授权关系的授权与认证方法,所述方法至少包括:
由用户端发布授权交易并利用授权地址构建授权相关的承诺协议;
用户端基于至少包含用户地址、数据地址和/或密钥地址的参数生成与承诺协议一致的非交互式零知识证明;
IPFS节点基于含有所述零知识证明的重加密验证合约验证由用户端发出的重加密请求的合法性;
基于重加密验证合约的验证结果,判断是否进行重加密。
附图说明
图1是本发明提供的用户可控的隐私数据授权共享系统的简化模块连接关系示意图;
图2是本发明提供的公开可验证的重加密共享步骤的简化流程示意图;
图3是本发明提供的授权与认证步骤中零知识证明的构造示意图。
附图标记列表
1:第一服务端;2:第二服务端;3:第三服务端;4:用户端;5:IPFS节点;6:区块链。
具体实施方式
下面结合附图进行详细说明。
区块链:区块链就是一种分布式账本或共享数据库,而在其中存储着的数据具有以下特征:公开透明性、集体维护性、不可更改性、可溯源性。在数据方面看来,区块链是一种近乎不可被篡改的分布式数据,这里的分布式特点不仅仅体现在数据的分布式存储,而且表现为数据的分布式记录。在技术方面看来,区块链技术是多种技术共同整合的结果,并不是一种新型的单一技术。这些技术通过一种新的形式结构整合在一起,构成了一种新的数据结构用于数据的记录和存储。每个区块由区块头和区块体两部分组成。区块头通常包含此区块的一些基本信息,如版本号、前一个区块的记录、Merkle树的根值、时间戳、目标特征值、随机数等。区块体由一些交易组成,这些交易由用户使用私钥签名,使用公钥进行验证。Merkle哈希树通常用于生成此块中所有事务的Hash值,以减少链的存储开销。一个区块还包含前一个块的哈希值,以将两个块链接在一起。
IPFS:IPFS(Inter-Planetary File System)即星际文件系统,是一种基于内容寻址、版本化、点对点的超媒体传输协议,集合了P2P网络技术、BitTorrent传输技术、Git版本控制、自证明文件系统等技术,对标Http的新一代通信协议。IPFS允许网络中的参与者互相存储,索取和传输可验证的数据。IPFS目标是打造一个更加开放、快速、安全的互联网,利用分布式哈希表解决数据的传输和定位问题,把点对点的单点传输改变成P2P(多点对多点)的传输,其中存储数据的结构是哈希链。
服务端:服务商的使用端。服务商是移动互联网服务内容、应用服务的直接提供者,建立数据服务系统,收集、加工、存储信息,定期维护更新,并通过网络向用户提供信息内容服务。
用户端,用户的使用端。
代理重加密:代理重加密,是一种对密文进行安全转换的加密技术。在代理重加密中,基于授权人公钥加密的密文可以被转换为另一种密文,并且保持对应明文不变,被转换后的密文可以由被授权人的私钥进行解密。该密文转换过程由一个半可信的代理者执行,在执行该过程前,代理者需要持有一个由授权人到被授权人的转换密钥。该转换密钥一般由授权人事先生成并交给代理者。同时在密文转换的整个过程中,代理者无法获取关于该密文对应明文的任何信息。
零知识证明:零知识证明,证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。最终,验证者能够证明通过证明者到核实者之间的一些交互,可以从根本上减少两者之间需要传递的知识数量。该证明算法主要关注的是信息泄漏,也就是验证者在验证一个声明是否有效的过程中会了解到多少信息。
实施例1
本发明的用户可控的隐私数据授权共享系统,包括至少一个服务端、至少一个用户端4、IPFS节点5、和至少一个区块链节点6;如,图1中示出了第一服务端1、第二服务端2和第三服务端3。
服务端,其用于将涉及用户授权的数据采用分布式的IPFS存储,从而替代现有技术中的中心化存储。服务端为具有分布式存储功能的专用集成芯片、处理器和/或服务器。
用户端4,用于对授权数据进行链上授权和向IPFS节点发出重加密请求。用户端至少包括具有重加密功能的电子设备,即能够运行重加密程序的电子设备。作为用户端的电子设备为具有重加密功能的专用集成芯片、服务器、计算机或者包含有芯片或处理器的便携移动终端。便携移动终端例如是智能眼镜、智能手表、智能虚拟现实装置、智能手环、可移动计算机等等。
IPFS节点5存储用户部分数据内容,接收用户的重加密请求,并且向区块链网络进行授权验证;在验证后对数据进行重加密计算,在计算后再向区块链进行重加密验证。IPFS节点5为具有这些功能的若干服务器、处理器、专用集成芯片等等。IPFS节点5还包括存储功能。
即,若干服务器、处理器、专用集成芯片通过执行对应的编码程序,能够实现的功能为:存储用户部分数据内容,接收用户的重加密请求,并且向区块链网络进行授权验证;在验证后对数据进行重加密计算,在计算后再向区块链进行重加密验证。
区块链6,用于维护区块链网络,广播和记录验证交易并完成支付功能。区块链6由若干区块链节点通过彼此建立信息传输关系的方式构成,是若干区块链节点的统称。区块链节点为具有广播和交易验证功能、处理支付内容的处理器、服务器或服务器群组。即,处理器、服务器或服务器群组通过运行对应的程序编码,能够实现区块链6的广播和记录验证交易并完成支付的功能。
本发明提出的用户可控的隐私数据授权共享方法至少包括步骤S1~S7。
S1:系统初始化。
服务端采用IPFS分布式网络存储用户需要共享的数据。
每个服务端都会被分配一对公私钥对,用于代理重加密。服务端的公私钥对无需频繁更换,只需定期更新即可。
对于用户的数据,服务端会采用不同的对称加密密钥加密对于不同的部分进行加密,形成第一加密数据,并且将第一加密数据上传至IPFS节点。对称密钥通过安全信道发送给与用户对应的用户端4。
用户端4也会被分配公私钥对,用于代理重加密。与服务端不同的是,用户端4的每次重加密都会分配新的公私钥对,并且可以在使用后立即删除。在获得对称密钥后,用户端4可以在对称密钥上加上指定的用户戳或时间戳,然后加密得到第二加密数据并将其上传到IPFS节点5。
除此之外,用户端4需要在本地维护一个地址表,记录数据地址与相关密钥地址的对应关系。
S2:用户端4发出授权交易信息并对相关数据进行授权。
授权交易中包含关于数据地址的信息承诺协议,用于之后对于授权的认证。
信息承诺协议能够不泄露任何关于用户的m信息并发出关于m的承诺协议C,通过公开陷门r来证明承诺协议C是与信息m绑定的一个承诺。
用户端4使用至少包含数据地址、密钥地址(对称加密密钥)和/或授权口令作为隐藏信息来构建信息承诺协议,以公开承诺协议C的形式来证明用户对于数据的授权,但不暴露数据地址、密钥地址和授权口令信息。同时,为了方便后续能够在不暴露承诺协议C的情况下,对于承诺协议C进行存在性证明,需要维护一颗全局的承诺树。本发明以Merkle树的方式进行承诺协议C的存储,从而在证明树中某个叶子节点承诺协议C存在于树中仅需提供从叶子节点到根节点的哈希路径。
S3:用户端4向IPFS节点5发出重加密请求,同时将请求记录上链并支付相应的费用。
用户端4生成在授权时发布的承诺协议C,以证明自己知道数据地址、密钥地址以及授权密令。为了防止恶意用户端发动重放攻击从而通过认证,证明中需要与用户端本次地址相绑定,即需要发布新承诺协议C’,以用户地址为陷门。
对于验证过程,需要暴露密钥地址,所以需要将承诺协议C,新承诺协议C’隐藏不可见,从而不会暴露授权的关系。
除此之外,为了保证承诺协议C的合法性,在证明中需要添加承诺协议C必须存在承诺树中的条件。以此条件构建零知识证明,并将生成的证明随重加密请求发送给IPFS节点5。
每次重加密请求都会上传区块链6进行存储,同时用户通过用户端4需要支付一定费用。
S4:IPFS节点5调用零知识证明来验证重加密验证合约。
IPFS节点5响应由用户端4发送的重加密请求,会根据用户端4提供的证明,向区块链6进行授权验证。若验证不通过,则不会进行重加密计算。只有授权验证通过后,相应的IPFS节点5才会进行重加密计算。
S5:IPFS节点5进行代理重加密,并且调用重加密验证合约进行计算验证。
在授权认证后,IPFS节点5上直接对于密文进行代理重加密计算。该计算将添加在IPFS节点5底层功能中,在不破坏IPFS节点5底层存储网络的基础上,添加重加密的功能,使得计算直接在IPFS节点5上进行。单纯的密文转换已经不能满足可验证的要求。所以,本发明利用密签方案的思想,将密文转换成密签文本的形式,在密文中嵌入签名认证,便于计算结果的公开可验证。若验证通过,IPFS节点5可以上传新密文至IPFS网络中并将新密文地址发送给用户端4,得到相应的收益。否则,计算结果不被认可。
S6:用户端4将数据地址与重加密新密文地址发送给服务端。
在重加密密钥的计算结果通过验证后,用户端4可以收到IPFS节点5发送来的重加密新密文地址,同时可以将数据地址发送服务端。
S7:服务端通过自身的私钥解密获取密钥与数据。
服务端在得到重加密新密文地址后,可以通过IPFS网络获得重加密密文。在得到重加密密文后,会使用自身的私钥进行解密获取对称密钥。同时,为了保障数据在传输过程中的完整性和安全性,解密过程也会对于重加密密文进行再次验证。只有验证通过,服务端才会信任并获得正确的密钥。然后服务端使用对称密钥解密密文获取授权数据。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。本发明说明书包含多项发明构思,诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思,申请人保留根据每项发明构思提出分案申请的权利。

Claims (8)

1.一种用户可控的隐私数据授权共享系统,其特征在于,至少包括:
用户端,用于基于公私钥对于对称密钥进行加密处理,并且生成重加密密钥,将密文和重加密密钥地址发送至IPFS节点;
IPFS节点,用于对重加密密钥地址授权验证并进行重加密计算,生成新的重加密密文;并且,IPFS节点从区块链调用重加密验证合约,验证新重加密密文的正确性,IPFS节点响应于用户端的重加密请求,向所述区块链节点调用零知识证明验证合约并进行授权验证;
服务端,用于在授权验证的结果被承认后,基于被分配的私钥解密获得授权数据;
区块链节点,用于记录验证交易信息和/或完成支付;
对于用户的数据,所述服务端采用不同的对称加密密钥加密对于不同的部分进行加密,形成第一加密数据,并且将第一加密数据上传至IPFS节点;
所述用户端基于由所述服务端发送的对称密钥、用户戳记和/或时间戳处理形成第二加密数据并上传至所述IPFS节点。
2.根据权利要求1所述的隐私数据授权共享系统,其特征在于,响应于用户端的重加密请求,所述IPFS节点的授权验证的方式至少包括:
在基于零知识验证合约的授权验证通过后计算所述重加密密钥,否则,所述IPFS节点不接受用户端的所述重加密密钥。
3.根据权利要求1或2所述的隐私数据授权共享系统,其特征在于,响应于用户端的重加密请求,所述IPFS节点的授权验证的方式还包括:
在计算所述重加密密钥完成后,所述IPFS节点向所述区块链调用重加密验证合约以验证计算结果的正确性;
在对重加密密钥的计算结果正确的情况下,所述IPFS节点将重加密密钥的计算结果上传至IPFS节点,
在对重加密密钥的计算结果不正确的情况下,所述IPFS节点判断所述加密请求的计算结果无效且不上传。
4.根据权利要求3所述的隐私数据授权共享系统,其特征在于,所述用户端发布授权交易,并且基于授权地址构建与授权相关的承诺协议;所述用户端基于至少包含用户地址、数据地址和/或密钥地址的参数生成与所述承诺协议一致的非交互式零知识证明。
5.根据权利要求4所述的隐私数据授权共享系统,其特征在于,所述用户端还被配置为:
所述用户端在获得新的重加密地址后,将数据地址与新密钥地址发送给所述服务端,
所述服务端根据所述数据地址与新密钥地址获取第一加密数据,并且解密第一加密数据得到用户的授权数据。
6.根据权利要求5所述的隐私数据授权共享系统,其特征在于,所述零知识证明的构造要求至少包括:
基于至少包括数据地址、密钥地址、授权口令的参数,以随机数R为陷门构造与授权时相同的承诺协议;
利用相关授权参数,并且以用户地址为陷门构造与用户账户绑定的承诺协议;
证明构造的承诺协议存在于由承诺协议组成的Merkel树中。
7.一种应用于权利要求1-6任一项所述隐私数据授权共享系统的用户可控的隐私数据授权共享方法,其特征在于,所述方法至少包括:
用户端基于公私钥对于对称密钥进行加密处理,并且生成重加密密钥,将密文和重加密密钥地址发送至IPFS节点;
所述IPFS节点在对重加密密钥地址授权验证后,进行重加密计算,生成新的重加密密文;
IPFS节点从区块链调用重加密验证合约,验证新重加密密文的正确性;
IPFS节点响应于用户端的重加密请求,向所述区块链节点调用零知识证明验证合约并进行授权验证;
在授权验证的结果被承认后,服务端基于被分配的私钥解密获得授权数据;
对于用户的数据,所述服务端采用不同的对称加密密钥加密对于不同的部分进行加密,形成第一加密数据,并且将第一加密数据上传至IPFS节点;
所述用户端基于由所述服务端发送的对称密钥、用户戳记和/或时间戳处理形成第二加密数据并上传至所述IPFS节点。
8.根据权利要求7所述的隐私数据授权共享方法,其特征在于,所述方法还包括:
所述用户端发布授权交易,并且基于授权地址构建与授权相关的承诺协议;所述用户端基于至少包含用户地址、数据地址和/或密钥地址的参数生成与所述承诺协议一致的非交互式零知识证明并发送至区块链。
CN202210490126.6A 2022-04-29 2022-04-29 一种用户可控的隐私数据授权共享系统及方法 Active CN114866323B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210490126.6A CN114866323B (zh) 2022-04-29 2022-04-29 一种用户可控的隐私数据授权共享系统及方法
US17/937,995 US20230351035A1 (en) 2022-04-29 2022-10-04 System and method for user-controllable sharing of authorization for private data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210490126.6A CN114866323B (zh) 2022-04-29 2022-04-29 一种用户可控的隐私数据授权共享系统及方法

Publications (2)

Publication Number Publication Date
CN114866323A CN114866323A (zh) 2022-08-05
CN114866323B true CN114866323B (zh) 2023-09-29

Family

ID=82634466

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210490126.6A Active CN114866323B (zh) 2022-04-29 2022-04-29 一种用户可控的隐私数据授权共享系统及方法

Country Status (2)

Country Link
US (1) US20230351035A1 (zh)
CN (1) CN114866323B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115499193B (zh) * 2022-09-14 2024-02-13 西南石油大学 基于区块链的乡村旅游旅客隐私保护系统及其方法
CN117272278B (zh) * 2023-11-20 2024-01-26 国网浙江省电力有限公司 用于数字资产平台的去中心化管理方法及装置
CN117857151B (zh) * 2023-12-22 2024-05-28 广东省药品交易中心有限公司 基于共享的药品首营电子资料的防篡改方法
CN117932673A (zh) * 2024-01-24 2024-04-26 广东电网有限责任公司信息中心 基于隐私计算的电网数据管理系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109639406A (zh) * 2018-12-24 2019-04-16 国泰君安证券股份有限公司 基于区块链和ipfs的高效信任解决方法
CN111541678A (zh) * 2020-04-17 2020-08-14 上海朝夕网络技术有限公司 一种基于区块链的代理重加密方法、系统及存储介质
CN112702160A (zh) * 2020-12-16 2021-04-23 江苏通付盾区块链科技有限公司 一种云端数据加密存储与分享的方法、装置及系统
CN112989415A (zh) * 2021-03-23 2021-06-18 广东工业大学 一种基于区块链的隐私数据存储与访问控制方法及系统
CN113256290A (zh) * 2021-05-14 2021-08-13 杭州链网科技有限公司 去中心化加密通讯与交易系统
CN113992330A (zh) * 2021-10-30 2022-01-28 贵州大学 一种基于代理重加密的区块链数据受控共享方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111222155A (zh) * 2020-01-08 2020-06-02 湖南智慧政务区块链科技有限公司 一种重加密与区块链结合的方法及系统
CN111428249B (zh) * 2020-01-20 2022-06-28 中国科学院信息工程研究所 一种基于区块链保护用户隐私的匿名注册方法和系统
CN111343001B (zh) * 2020-02-07 2022-04-12 复旦大学 一种基于区块链的社交数据共享系统
CN112685763B (zh) * 2021-03-18 2021-08-03 上海众旦信息科技有限公司 一种基于密文授权访问的数据开放方法及系统
CN114143080A (zh) * 2021-11-30 2022-03-04 兰州理工大学 基于零知识证明的区块链数据隐私保护和共享方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109639406A (zh) * 2018-12-24 2019-04-16 国泰君安证券股份有限公司 基于区块链和ipfs的高效信任解决方法
CN111541678A (zh) * 2020-04-17 2020-08-14 上海朝夕网络技术有限公司 一种基于区块链的代理重加密方法、系统及存储介质
CN112702160A (zh) * 2020-12-16 2021-04-23 江苏通付盾区块链科技有限公司 一种云端数据加密存储与分享的方法、装置及系统
CN112989415A (zh) * 2021-03-23 2021-06-18 广东工业大学 一种基于区块链的隐私数据存储与访问控制方法及系统
CN113256290A (zh) * 2021-05-14 2021-08-13 杭州链网科技有限公司 去中心化加密通讯与交易系统
CN113992330A (zh) * 2021-10-30 2022-01-28 贵州大学 一种基于代理重加密的区块链数据受控共享方法及系统

Also Published As

Publication number Publication date
CN114866323A (zh) 2022-08-05
US20230351035A1 (en) 2023-11-02

Similar Documents

Publication Publication Date Title
US11842317B2 (en) Blockchain-based authentication and authorization
EP3788523B1 (en) System and method for blockchain-based cross-entity authentication
US11038670B2 (en) System and method for blockchain-based cross-entity authentication
US11025435B2 (en) System and method for blockchain-based cross-entity authentication
CN111737724B (zh) 一种数据处理方法、装置、智能设备及存储介质
EP3673435B1 (en) Improving integrity of communications between blockchain networks and external data sources
CN110933108B (zh) 基于区块链网络的数据处理方法、装置、电子设备及存储介质
CN108418680B (zh) 一种基于安全多方计算技术的区块链密钥恢复方法、介质
US20220318907A1 (en) Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications
CN114866323B (zh) 一种用户可控的隐私数据授权共享系统及方法
US8799981B2 (en) Privacy protection system
TW201733303A (zh) 決定用於資訊的安全交換的共同私密,及階層化的決定性加密金鑰
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
CN102624740A (zh) 一种数据交互方法及客户端、服务器
US20050105735A1 (en) Information processing system and method, information processing device and method, recording medium, and program
CN111431713A (zh) 一种私钥存储方法、装置和相关设备
CN114329529A (zh) 一种基于区块链的资产数据管理方法及系统
US20240187256A1 (en) Systems and methods for enforcing cryptographically secure actions in public, non-permissioned blockchains using bifurcated self-executing programs comprising shared digital signature requirements
Hathaliya et al. A Smart contract-based secure data sharing scheme in Healthcare 5.0
TWM585941U (zh) 帳戶資料處理系統
US20230421540A1 (en) Systems and methods for generating secure, encrypted communications using multi-party computations in order to perform blockchain operations in decentralized applications
US20230421396A1 (en) Systems and methods for performing two-tiered multi-party computation signing procedures to perform blockchain operations
CN118101206A (zh) 数据处理方法、装置、设备和计算机可读存储介质
CN117834151A (zh) 基于区块链的数据隐私保护方法、装置及电子设备
CN114529273A (zh) 基于id密码学的抗量子计算数字货币匿名通信方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant