CN115250205B - 基于联盟链的数据共享方法、系统、电子设备及存储介质 - Google Patents

基于联盟链的数据共享方法、系统、电子设备及存储介质 Download PDF

Info

Publication number
CN115250205B
CN115250205B CN202211158914.1A CN202211158914A CN115250205B CN 115250205 B CN115250205 B CN 115250205B CN 202211158914 A CN202211158914 A CN 202211158914A CN 115250205 B CN115250205 B CN 115250205B
Authority
CN
China
Prior art keywords
attribute
data
user
chain
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211158914.1A
Other languages
English (en)
Other versions
CN115250205A (zh
Inventor
彭凯
徐博
谢江山
魏岚
徐晓慧
彭聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Chutianyun Co ltd
Huazhong University of Science and Technology
Original Assignee
Hubei Chutianyun Co ltd
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Chutianyun Co ltd, Huazhong University of Science and Technology filed Critical Hubei Chutianyun Co ltd
Priority to CN202211158914.1A priority Critical patent/CN115250205B/zh
Publication of CN115250205A publication Critical patent/CN115250205A/zh
Application granted granted Critical
Publication of CN115250205B publication Critical patent/CN115250205B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于联盟链的数据共享方法、系统、电子设备及存储介质,系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接。本发明将联盟区块链与属性加密机制相结合,实现安全可信数据共享平台,设计多中心属性授权机构方案,在数据共享联盟中属性授权过程需要由多属性授权机构背书验证,避免恶意属性授权中心联合用户虚假授权,保护数据安全,采用混合加密技术,使用对称加解密算法实现原始数据加密上云,联盟区块链实现数据溯源和追责。

Description

基于联盟链的数据共享方法、系统、电子设备及存储介质
技术领域
本发明涉及数据安全技术领域,更具体地,涉及一种基于联盟链的数据共享方法、系统、电子设备及存储介质。
背景技术
区块链是将区块按照时间顺序组成链式结构,并结合密码学、共识机制等技术实现的具有不可篡改、可追溯、开放性与匿名性等特点的分布式账本。区块链分为公有链、联盟链和私有链。公有链中的网络节点可随意加入或退出,任意节点可以查询链上数据;私有链由单个组织创建,权限仅限制在组织内部,不具备去中心化的特点;联盟链是由多个机构或组织共同参与管理的区块链,是部分去中心化的结构,可由联盟定义联盟成员的数据访问权限和记账规则。联盟区块链相对于传统区块链具有更好的性能,由多个联盟组织协同治理,其节点可管可控,具有更好的管理优势。具有准入机制的联盟链更适用于在各组织机构间创建对等的团体组织以共享数据。
传统的数据共享主要是将数据上传到云端,通过云服务器实现数据的多方共享。云服务具有规模经济、弹性配置、灵活高效和宽带互联等特点,越来越多的数据被迁移到了云端存储,用户失去了数据的直接控制权,进而选择了通过加密授权的方式来实现有权限的数据共享。而随着人们对数据应用的加深,为了非法得到数据的网络攻击频率越来越高,导致用户数据安全的问题面临着严峻的考验,因此,如何在数据共享的过程中进一步提高数据的安全性是亟待解决的问题。
发明内容
本发明针对现有技术中存在的技术问题,提供一种基于联盟链的数据共享方法、系统、电子设备及存储介质,用以解决如何在数据共享的过程中进一步提高数据的安全性的问题。
根据本发明的第一方面,提供了一种基于联盟链的数据共享系统,所述系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接;
所述联盟组织,用于在接收到用户的注册请求时,将所述注册请求转发至所述多中心属性授权机构,并接收其返回的属性信息和所述用户私钥,将所述用户私钥返回至所述用户,并将所述属性信息存储至所述联盟组织中的属性链中,
和/或,
在接收到所述用户的数据上传请求时,通过所述用户选定的加密算法对文件进行加密,将加密后的数据发送至云服务器,并对所述选定的加密算法对应的密钥使用预设属性加密算法进行加密,将加密后的密钥和所述加密后的数据对应的摘要信息存储至所述联盟组织中的数据信息链中,
和/或,
在接收到所述用户的数据访问请求时,通过所述数据信息链查找所述数据访问请求对应的目标数据,并基于所述用户的私钥对所述目标数据解密,得到解密后的密钥和目标数据的摘要信息,并通过所述密钥和摘要信息获取所述云服务器上的数据;
所述多中心属性授权机构,用于在至少一个属性授权机构接收到所述注册请求时,基于所述注册请求中的属性信息进行校验,得到校验结果,同时基于预设背书策略将所述属性信息发送给其他属性授权机构进行校验,得到背书结果,在所述校验结果和背书结果为有效时,生成所述注册请求对应的私钥,将所述私钥返回至所述联盟组织;
所述云服务器,用于存储所述加密后的数据,并通过所述联盟组织提供所述加密后的数据的上传和/或下载。
在上述技术方案的基础上,本发明还可以作出如下改进。
进一步的,所述联盟组织,包括:至少一个联盟区块链功能节点、属性链和数据信息链;
所述联盟区块链功能节点,用于对外提供数据访问接口和/或界面,并对用户发送的注册请求、上传请求和数据访问请求进行处理,并将处理结果返回至所述用户;
所述属性链,用于存储用于所述用户的属性信息;
所述数据信息链,用于存储加密后的密钥及其对应数据的摘要信息。
进一步的,所述多中心属性授权机构,包括:至少一个属性授权机构和监督机构;
所述属性授权机构,用于根据注册请求中的属性信息进行校验,并在校验结果为有效时,生成所述注册请求对应的私钥,并将所述私钥返回至所述联盟组织,并将所述注册请求对应的注册事务提交至所述监督机构;
所述监督机构,用于对所述注册事务进行校验,在校验结果满足所述预设背书策略时,对所述事务进行排序,并将排序结果广播至其他联盟组织,以使所述监督机构和所述其他联盟组织对所述属性信息更新至所述属性链中。
进一步的,所述监督机构,还用于在校验结果不满足所述预设背书策略时,将所述注册事务信息和所述注册请求对应的用户信息发送至所述其他联盟组织,以使所述其他联盟组织禁止所述用户信息对应的用户进行数据访问。
进一步的,所述联盟组织,还用于在接收到所述用户发送的属性更新请求时,将所述属性更新请求转发至所述多中心属性授权机构,并将所述多中心属性授权机构返回的更新后的私钥发送至所述用户。
进一步的,所述多中心属性授权机构,还用于在至少一个属性授权机构接收到所述属性更新请求时,基于所述属性更新请求中的属性信息查询所述属性链对所述用户的身份信息进行校验,在校验结果为有效时,基于所述属性更新请求中的新增属性更新所述属性链,并返回更新后的私钥至所述联盟组织。
根据本发明的第二方面,提供一种基于联盟链的数据共享方法,包括:
基于用户发送的数据访问请求,通过联盟链中属性链对所述用户的身份属性信息进行验证;
在验证结果为有效时,获取所述数据访问请求中的私钥和目标数据;
基于所述私钥和目标数据获取联盟链中数据信息链上所述目标数据对应的加密密钥;
获取云服务器上所述目标数据对应的加密数据,将所述加密数据和所述加密密钥发送至所述用户,以使所述用户使用所述加密密钥对所述加密数据进行解密得到解密后的数据。
根据本发明的第三方面,提供了一种电子设备,包括存储器、处理器,所述处理器用于执行存储器中存储的计算机管理类程序时实现上述第一方面中任一基于联盟链的数据共享方法的步骤。
根据本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机管理类程序,所述计算机管理类程序被处理器执行时实现上述第一方面中任一基于联盟链的数据共享方法的步骤。
本发明提供的一种基于联盟链的数据共享方法、系统、电子设备及存储介质,系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接。本发明将联盟区块链与属性加密机制相结合,实现安全可信数据共享平台,由用户设定访问策略,实现数据安全共享和细粒度的访问控制。设计多中心属性授权机构方案,在数据共享联盟中属性授权过程需要由多属性授权机构背书验证,避免恶意属性授权中心联合用户虚假授权,保护数据安全,同时由于属性授权机构生成属性私钥和监督机构属性信息上链并行执行,保证系统不受到属性授权机构单点失效的影响,但监督机构会对属性信息和背书结构进行再次核验,对于不满足系统规则的行为将在系统内公布,且由系统阻止该用户后续的数据访问申请和其他操作,进一步保证系统安全。采用混合加密技术,使用对称加解密算法实现原始数据加密上云,联盟区块链实现数据溯源和追责。
附图说明
图1为本发明提供的一种基于联盟链的数据共享系统结构示意图;
图2为本发明提供的一种基于联盟链的数据共享系统详细结构的示意图;
图3为本发明提供的一种基于联盟链的数据共享方法流程图;
图4为本发明提供的一种可能的电子设备的硬件结构示意图;
图5为本发明提供的一种可能的计算机可读存储介质的硬件结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1为本发明提供的一种基于联盟链的数据共享系统结构示意图,如图1所示,系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接;
其中,所述联盟组织,用于在接收到用户的注册请求时,将所述注册请求转发至所述多中心属性授权机构,并接收其返回的属性信息和所述用户私钥,将所述用户私钥返回至所述用户,并将所述属性信息存储至所述联盟组织中的属性链中,和/或,在接收到所述用户的数据上传请求时,通过所述用户选定的加密算法对文件进行加密,将加密后的数据发送至云服务器,并对所述选定的加密算法对应的密钥使用预设属性加密算法进行加密,将加密后的密钥和所述加密后的数据对应的摘要信息存储至所述联盟组织中的数据信息链中,和/或,在接收到所述用户的数据访问请求时,通过所述数据信息链查找所述数据访问请求对应的目标数据,并基于所述用户的私钥对所述目标数据解密,得到解密后的密钥和目标数据的摘要信息,并通过所述密钥和摘要信息获取所述云服务器上的数据;
所述多中心属性授权机构,用于在至少一个属性授权机构接收到所述注册请求时,基于所述注册请求中的属性信息进行校验,得到校验结果,同时基于预设背书策略将所述属性信息发送给其他属性授权机构进行校验,得到背书结果,在所述校验结果和背书结果为有效时,生成所述注册请求对应的私钥,将所述私钥返回至所述联盟组织;
所述云服务器,用于存储所述加密后的数据,并通过所述联盟组织提供所述加密后的数据的上传和/或下载。
为了进一步清楚的说明本发明实施例提供的系统,参见图2,图2为本发明提供的一种基于联盟链的数据共享系统详细结构的示意图;在图2中,联盟组织中的用户可以作为数据拥有者和/或数据访问者,用户将和联盟区块链的功能节点交互。数据拥有者为数据的实际拥有人,可以决定谁可以访问其共享的数据。数据访问者可以通过数据共享系统申请访问数据,联盟链节点将响应用户的请求,在区块链网络中可以担任排序节点、背书节点和记账节点的功能。
在本实施例中,通过联盟区块链连接联盟组织中的用户和云服务器,由联盟组织的属性授权机构为用户生成属性私钥,用户使用自定义的密钥和系统公钥加密数据,原始数据密文上传至云服务器,文件信息和密钥上传至联盟区块链。数据访问过程中验证用户属性,满足访问条件即可从区块链和云服务器下载相关数据并使用用户自己的属性是要解密得到数据明文。
作为实施例,所述联盟组织,包括:至少一个联盟区块链功能节点、属性链和数据信息链;
其中,所述联盟区块链功能节点,用于对外提供数据访问接口和/或界面,并对用户发送的注册请求、上传请求和数据访问请求进行处理,并将处理结果返回至所述用户;所述属性链,用于存储用于所述用户的属性信息;所述数据信息链,用于存储加密后的密钥及其对应数据的摘要信息。
在本实施例中,通过有联盟区块链功能节点统一对外提供数据访问接口和/或界面,从而使得用户不直接与云服务器上的数据接触,从而降低了云服务器上数据被窃取的风险,大大提高了数据的安全性。
作为实施例,所述多中心属性授权机构,包括:至少一个属性授权机构和监督机构;
其中,所述属性授权机构,用于根据注册请求中的属性信息进行校验,并在校验结果为有效时,生成所述注册请求对应的私钥,并将所述私钥返回至所述联盟组织,并将所述注册请求对应的注册事务提交至所述监督机构;所述监督机构,用于对所述注册事务进行校验,在校验结果满足所述预设背书策略时,对所述事务进行排序,并将排序结果广播至其他联盟组织,以使所述监督机构和所述其他联盟组织对所述属性信息更新至所述属性链中。
本实施例中,通过多个属性授权机构对注册请求中属性信息进行校验和背书,同时通过监督机构对背书结果进行审核,从而增强用户属性授权过程的安全性,同时,由于属性私钥的生成过程和监督过程由不同的模块完成,从而进一步完善了授权和监督的闭环管理,大大提高了授权过程的安全性。
作为实施例,所述监督机构,还用于在校验结果不满足所述预设背书策略时,将所述注册事务信息和所述注册请求对应的用户信息发送至所述其他联盟组织,以使所述其他联盟组织禁止所述用户信息对应的用户进行数据访问。
本实施例中,通过对不符合背书策略的授权进行驳回,同时将上述授权广播给联盟中的其他联盟组织,从而将非法授权的用户设定为非法用户,进一步提高了数据的安全性。
作为实施例,所述联盟组织,还用于在接收到所述用户发送的属性更新请求时,将所述属性更新请求转发至所述多中心属性授权机构,并将所述多中心属性授权机构返回的更新后的私钥发送至所述用户。
本实施例中,通过在用户属性发生更新时,将新增的属性更新至属性链,并由多中心属性授权机构重新生成私钥,进而保证了用户私钥的可靠性,提高了系统的稳健性。
作为实施例,所述多中心属性授权机构,还用于在至少一个属性授权机构接收到所述属性更新请求时,基于所述属性更新请求中的属性信息查询所述属性链对所述用户的身份信息进行校验,在校验结果为有效时,基于所述属性更新请求中的新增属性更新所述属性链,并返回更新后的私钥至所述联盟组织。
在一种可能的应用场景中,本发明提供的系统还包括系统初始化的步骤,其中,由 多中心属性授权机构中的监督机构进行系统初始化过程。在初始化的过程中将由监督机构 执行,生成一个具有生成元
Figure 981164DEST_PATH_IMAGE001
的素数阶
Figure 473588DEST_PATH_IMAGE002
的双线性群和双线性映射
Figure 468088DEST_PATH_IMAGE003
,其中
Figure 219007DEST_PATH_IMAGE004
Figure 248143DEST_PATH_IMAGE005
均为素数阶
Figure 410003DEST_PATH_IMAGE002
的双线性群,
Figure 157379DEST_PATH_IMAGE004
具有生成元
Figure 391614DEST_PATH_IMAGE001
。选择两个安全随机数
Figure 212940DEST_PATH_IMAGE006
Figure 545701DEST_PATH_IMAGE007
为一个有限域,可以得到公钥
Figure 921319DEST_PATH_IMAGE008
和主密钥
Figure 873094DEST_PATH_IMAGE009
,其 中
Figure 237342DEST_PATH_IMAGE010
为通过双线性映射
Figure 85212DEST_PATH_IMAGE011
和计算得到的值。生成系统密钥后,监督机构将会在系统 内公布
Figure 666235DEST_PATH_IMAGE012
,所有节点和用户都可以获得
Figure 421701DEST_PATH_IMAGE012
的值。同时,监督机构将通过加密安全通道 将
Figure 889723DEST_PATH_IMAGE013
分别发送给各联盟的属性授权节点。其中,监督机构生成的主密钥将会通过安全通 道分享至各联盟组织的属性授权中心,公钥将会在联盟链系统内公布,所有用户及节点均 可获取。
在一种可能的应用场景中,本发明提供的系统还包括用户注册的步骤,联盟内的 用户将在数据共享系统注册,注册后才可以进行数据共享和访问。在联盟组织中注册的用 户具有层级式的身份结构。属性集合可由
Figure 705232DEST_PATH_IMAGE014
定义。对于集合 中每一个属性
Figure 803245DEST_PATH_IMAGE015
,用户具有集合
Figure 972189DEST_PATH_IMAGE016
中至多一个类,
Figure 606302DEST_PATH_IMAGE017
代表用户所 在联盟,
Figure 327133DEST_PATH_IMAGE018
为用户编号。例如在医疗系统中由各医院构成的联盟区块链,其中若用户是医 生,具有的属性集合可以定义为
Figure 164639DEST_PATH_IMAGE019
Figure 888007DEST_PATH_IMAGE020
作为联盟组 织标识符
Figure 455254DEST_PATH_IMAGE017
Figure 284670DEST_PATH_IMAGE021
Figure 62002DEST_PATH_IMAGE022
为普通属性,
Figure 962962DEST_PATH_IMAGE023
作为特异标识 符,即不存在完全相同的
Figure 260082DEST_PATH_IMAGE024
。任何用户均拥有
Figure 588295DEST_PATH_IMAGE025
Figure 357318DEST_PATH_IMAGE024
以及其他部分属性集合中的元 素。
在用户注册的过程中,由用户所在联盟组织的属性授权机构对用户的身份和属性 信息进行模拟执行和背书,属性授权机构将会查询数据表,验证用户属性有效性。同时,根 据系统设定的背书策略将用户属性发送至其他联盟组织,由其他联盟组织对用户身份和属 性进行再次验证并返回背书结果。例如,在系统中可以设定,至少超过1/3的联盟组织对该 事务进行背书则视为有效事务。当事务被判定为有效事务后,属性授权机构将使用用户全 部属性和系统主密钥
Figure 796390DEST_PATH_IMAGE026
生成相应的私钥,随机选择数
Figure 10333DEST_PATH_IMAGE027
,其中
Figure 650393DEST_PATH_IMAGE028
,对于属性集合
Figure 153050DEST_PATH_IMAGE029
,可以计算得到用户属性私钥
Figure 395812DEST_PATH_IMAGE030
,其中
Figure 477644DEST_PATH_IMAGE031
Figure 23026DEST_PATH_IMAGE032
为使用生成元和随机数计算的密钥参数,
Figure 465509DEST_PATH_IMAGE033
对应属性集合S中的属性x,
Figure 246383DEST_PATH_IMAGE034
为该属性对应的密钥参数。由
Figure 185651DEST_PATH_IMAGE031
Figure 901935DEST_PATH_IMAGE032
Figure 972659DEST_PATH_IMAGE034
共同构成属性私钥
Figure 681858DEST_PATH_IMAGE035
,并将私钥
Figure 52796DEST_PATH_IMAGE035
发送给 用户。若没有足够的节点背书导致事务被判定为无效事务,则由属性授权机构返回用户注 册失败信息,用户可以修改相关信息重新申请注册。
同时在私钥生成后,本实施例系统中的监督机构将收集由各属性授权机构提交的用户注册事务,并再次对提交的事务进行验证,对不满足背书条件且被属性授权机构提交的事务,监督机构将驳回申请至提交该事务的属性授权机构,并在系统内向其他节点公布该属性授权机构提交的事务信息和相关用户ID,禁止该用户ID访问系统内的数据资源。在监督机构完成对事务的验证后,将合法的事务进行排序,并将排序结果通过排序服务将事务进行广播给系统内其他节点,监督机构和广播的联盟链节点将属性信息更新至属性链。
若用户的属性进行了更新,在数据访问过程中,用户依然可以通过区块链节点向属性授权机构申请属性私钥,属性授权机构将会在属性链上查询用户属性并对用户身份进行验证审核,对用户的新增属性进行共识和上链,最后返回用户更新的属性私钥。
在一种可能的应用场景中,本发明提供的系统还包括用户数据共享的步骤,数据拥有者对原始数据对称加密上传至云服务器,使用属性加密算法将对称加密密钥加密上链。在此过程中,用户的身份为数据拥有者。系统支持国密SM4加密算法和AES加密算法,用户可自定义密钥使用上述算法加密原始数据文件,并将加密后的文件上传至云服务器。
同时,用户将设定文件的访问结构,访问结构可以定义为通过属性的一系列组合条件的集合。通过“AND(&)”和“OR(|)”连接属性可以组成任意需要的访问控制策略。根据访问控制策略使用的频率和通用程度,可以将访问控制策略分为通用控制策略和专用控制策略。
通用控制策略为系统初始提供,可以使用户更方便的定义数据的权限。属性授权 节点将会存储通用访问控制策略类型,当数据拥有者共享数据定义为通用访问控制策略 时,数据使用者可以向属性授权节点申请与通用访问控制策略相关的属性密钥,实现更快 速的验证和解密。通用控制策略主要包括:(1)联盟内访问,访问策略定义为
Figure 939981DEST_PATH_IMAGE036
,代表该用户所在联盟内的用户均可访问;(2)联盟间特定属性访问,访 问策略定义为
Figure 29160DEST_PATH_IMAGE037
,代表所有联盟内具有该属性的用户均可访问;(3)特定联盟特 定属性访问,访问策略定义为
Figure 401821DEST_PATH_IMAGE038
,代表该联盟内具备所列属 性中任意一种属性即可访问。专用访问控制策略为用户自定义设定,可以将访问权限更为 细化到具体个人,实现更细粒度的访问控制。例如访问策略定义为
Figure 768212DEST_PATH_IMAGE039
,代表用户设定联盟A所有用户和联盟B中具有 属性
Figure 685352DEST_PATH_IMAGE040
Figure 120881DEST_PATH_IMAGE041
的用户可以访问数据。
用户使用自定义的访问策略
Figure 47249DEST_PATH_IMAGE042
对对称加密算法SM4或AES的密钥进行属性加密,其 中
Figure 268146DEST_PATH_IMAGE042
可表示为LSSS(线性密钥分享方案)矩阵
Figure 182619DEST_PATH_IMAGE043
,其中
Figure 652915DEST_PATH_IMAGE044
Figure 9072DEST_PATH_IMAGE045
访问结构矩阵,
Figure 615634DEST_PATH_IMAGE046
代表矩阵的第
Figure 140156DEST_PATH_IMAGE047
Figure 550278DEST_PATH_IMAGE048
所对应属性的映射函数,随机选择向量
Figure 818448DEST_PATH_IMAGE049
用于分割主共享密钥
Figure 748358DEST_PATH_IMAGE050
。随机选择
Figure 443781DEST_PATH_IMAGE051
Figure 845594DEST_PATH_IMAGE052
Figure 589559DEST_PATH_IMAGE053
为分 割秘密
Figure 233030DEST_PATH_IMAGE050
得到的第
Figure 286305DEST_PATH_IMAGE047
个份额,表示秘密共享密钥份额。
Figure 156172DEST_PATH_IMAGE054
代表使用双 线性对和随机数
Figure 31724DEST_PATH_IMAGE050
加密后的密文,
Figure 421380DEST_PATH_IMAGE055
为使用生成元
Figure 458606DEST_PATH_IMAGE056
和随机数
Figure 268299DEST_PATH_IMAGE050
计算得到,
Figure 416383DEST_PATH_IMAGE057
Figure 972130DEST_PATH_IMAGE058
对应的属性值,
Figure 803426DEST_PATH_IMAGE059
Figure 631573DEST_PATH_IMAGE060
为通过生成的随机数计算得到的附 加信息。最终密钥文件
Figure 255453DEST_PATH_IMAGE061
Figure 728023DEST_PATH_IMAGE062
。并将
Figure 998729DEST_PATH_IMAGE063
与文件相 关信息
Figure 455118DEST_PATH_IMAGE064
打包成交易发送至联盟区块链节点。由节点验证 后将交易信息排序上传至数据信息链。
在一种可能的应用场景中,本发明提供的系统还包括用户访问数据的步骤,用户 申请访问数据,使用属性私钥解密链上的对称加密密钥,再使用对称加密密钥解密得到原 始数据。此过程用户的身份为数据访问者。数据访问者首先向联盟区块链中的节点申请数 据访问,节点将验证用户身份,同时在数据信息链上查询用户希望访问的数据。若满足访问 结构,则联盟区块链系统将返回文件密钥
Figure 617109DEST_PATH_IMAGE065
并建立数据传输通道。数据访问者在数据 地址不可见的情况下下载云服务器中的密文数据
Figure 599978DEST_PATH_IMAGE066
。使用自己的属性私钥
Figure 822012DEST_PATH_IMAGE067
解密
Figure 500118DEST_PATH_IMAGE068
。根据线性秘密共享方案,对于满足访问结构的属性集合,可以找到
Figure 473322DEST_PATH_IMAGE069
维列向量
Figure 795850DEST_PATH_IMAGE070
使得
Figure 782261DEST_PATH_IMAGE071
,其中
Figure 869034DEST_PATH_IMAGE072
为一个
Figure 576090DEST_PATH_IMAGE073
维行向量。通过矩阵变换 计算出
Figure 831753DEST_PATH_IMAGE074
,再由
Figure 989065DEST_PATH_IMAGE075
Figure 251550DEST_PATH_IMAGE076
解密得到
Figure 73882DEST_PATH_IMAGE077
。通过
Figure 761215DEST_PATH_IMAGE077
Figure 964795DEST_PATH_IMAGE078
解密得到数据明文。在云环境数据 访问过程中,用户不能越过区块链系统和云服务器交互,在数据信息链上查询到相关数据 后,数据共享系统才可以向用户传输云服务器中加密数据,保证了云服务器中数据的安全 性。
可以理解的是,基于背景技术中的缺陷,本发明实施例提出了一种基于联盟链的数据共享系统。系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接。本发明将联盟区块链与属性加密机制相结合,实现安全可信数据共享平台,由用户设定访问策略,实现数据安全共享和细粒度的访问控制。设计多中心属性授权机构方案,在数据共享联盟中属性授权过程需要由多属性授权机构背书验证,避免恶意属性授权中心联合用户虚假授权,保护数据安全,同时由于属性授权机构生成属性私钥和监督机构属性信息上链并行执行,保证系统不受到属性授权机构单点失效的影响,但监督机构会对属性信息和背书结构进行再次核验,对于不满足系统规则的行为将在系统内公布,且由系统阻止该用户后续的数据访问申请和其他操作,进一步保证系统安全。采用混合加密技术,使用对称加解密算法实现原始数据加密上云,联盟区块链实现数据溯源和追责。
图3为本发明提供的一种基于联盟链的数据共享方法流程图,如图3所示,方法包括:
步骤S100:基于用户发送的数据访问请求,通过联盟链中属性链对所述用户的身份属性信息进行验证;
步骤S200:在验证结果为有效时,获取所述数据访问请求中的私钥和目标数据;
步骤S300:基于所述私钥和目标数据获取联盟链中数据信息链上所述目标数据对应的加密密钥;
步骤S400:获取云服务器上所述目标数据对应的加密数据,将所述加密数据和所述加密密钥发送至所述用户,以使所述用户使用所述加密密钥对所述加密数据进行解密得到解密后的数据。
可以理解的是,本发明提供的一种基于联盟链的数据共享方法与前述各实施例提供的基于联盟链的数据共享系统相对应,基于联盟链的数据共享系统的相关技术特征可参考基于联盟链的数据共享方法的相关技术特征,在此不再赘述。
请参阅图4,图4为本发明实施例提供的电子设备的实施例示意图。如图4所示,本发明实施例提供了一种电子设备,包括存储器1310、处理器1320及存储在存储器1310上并可在处理器1320上运行的计算机程序1311,处理器1320执行计算机程序1311时实现以下步骤:
基于用户发送的数据访问请求,通过联盟链中属性链对上述用户的身份属性信息进行验证;在验证结果为有效时,获取上述数据访问请求中的私钥和目标数据;基于上述私钥和目标数据获取联盟链中数据信息链上上述目标数据对应的加密密钥;获取云服务器上上述目标数据对应的加密数据,将上述加密数据和上述加密密钥发送至上述用户,以使上述用户使用上述加密密钥对上述加密数据进行解密得到解密后的数据。
请参阅图5,图5为本发明提供的一种计算机可读存储介质的实施例示意图。如图5所示,本实施例提供了一种计算机可读存储介质1400,其上存储有计算机程序1411,该计算机程序1411被处理器执行时实现如下步骤:
基于用户发送的数据访问请求,通过联盟链中属性链对上述用户的身份属性信息进行验证;在验证结果为有效时,获取上述数据访问请求中的私钥和目标数据;基于上述私钥和目标数据获取联盟链中数据信息链上上述目标数据对应的加密密钥;获取云服务器上上述目标数据对应的加密数据,将上述加密数据和上述加密密钥发送至上述用户,以使上述用户使用上述加密密钥对上述加密数据进行解密得到解密后的数据。
本发明实施例提供的一种基于联盟链的数据共享方法、系统及存储介质,系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接。本发明将联盟区块链与属性加密机制相结合,实现安全可信数据共享平台,由用户设定访问策略,实现数据安全共享和细粒度的访问控制。设计多中心属性授权机构方案,在数据共享联盟中属性授权过程需要由多属性授权机构背书验证,避免恶意属性授权中心联合用户虚假授权,保护数据安全,同时由于属性授权机构生成属性私钥和监督机构属性信息上链并行执行,保证系统不受到属性授权机构单点失效的影响,但监督机构会对属性信息和背书结构进行再次核验,对于不满足系统规则的行为将在系统内公布,且由系统阻止该用户后续的数据访问申请和其他操作,进一步保证系统安全。采用混合加密技术,使用对称加解密算法实现原始数据加密上云,联盟区块链实现数据溯源和追责。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。

Claims (6)

1.一种基于联盟链的数据共享系统,其特征在于,所述系统包括:联盟组织、多中心属性授权机构和云服务器,所述联盟组织分别与所述多中心属性授权机构和所述云服务器连接;
所述联盟组织,用于在接收到用户的注册请求时,将所述注册请求转发至所述多中心属性授权机构,并接收其返回的属性信息和所述用户私钥,将所述用户私钥返回至所述用户,并将所述属性信息存储至所述联盟组织中的属性链中,
和/或,
在接收到所述用户的数据上传请求时,通过所述用户选定的加密算法对文件进行加密,将加密后的数据发送至云服务器,并对所述选定的加密算法对应的密钥使用预设属性加密算法进行加密,将加密后的密钥和所述加密后的数据对应的摘要信息存储至所述联盟组织中的数据信息链中,
和/或,
在接收到所述用户的数据访问请求时,通过所述数据信息链查找所述数据访问请求对应的目标数据,并基于所述用户的私钥对所述目标数据解密,得到解密后的密钥和目标数据的摘要信息,并通过所述密钥和摘要信息获取所述云服务器上的数据;
所述多中心属性授权机构,用于在至少一个属性授权机构接收到所述注册请求时,基于所述注册请求中的属性信息进行校验,得到校验结果,同时基于预设背书策略将所述属性信息发送给其他属性授权机构进行校验,得到背书结果,在所述校验结果和背书结果为有效时,生成所述注册请求对应的私钥,将所述私钥返回至所述联盟组织;
所述云服务器,用于存储所述加密后的数据,并通过所述联盟组织提供所述加密后的数据的上传和/或下载。
2.根据权利要求1所述的基于联盟链的数据共享系统,其特征在于,所述联盟组织,包括:至少一个联盟区块链功能节点、属性链和数据信息链;
所述联盟区块链功能节点,用于对外提供数据访问接口和/或界面,并对用户发送的注册请求、上传请求和数据访问请求进行处理,并将处理结果返回至所述用户;
所述属性链,用于存储用于所述用户的属性信息;
所述数据信息链,用于存储加密后的密钥及其对应数据的摘要信息。
3.根据权利要求1所述的基于联盟链的数据共享系统,其特征在于,所述多中心属性授权机构,包括:至少一个属性授权机构和监督机构;
所述属性授权机构,用于根据注册请求中的属性信息进行校验,并在校验结果为有效时,生成所述注册请求对应的私钥,并将所述私钥返回至所述联盟组织,并将所述注册请求对应的注册事务提交至所述监督机构;
所述监督机构,用于对所述注册事务进行校验,在校验结果满足所述预设背书策略时,对所述事务进行排序,并将排序结果广播至其他联盟组织,以使所述监督机构和所述其他联盟组织对所述属性信息更新至所述属性链中。
4.根据权利要求3所述的基于联盟链的数据共享系统,其特征在于,所述监督机构,还用于在校验结果不满足所述预设背书策略时,将所述注册事务信息和所述注册请求对应的用户信息发送至所述其他联盟组织,以使所述其他联盟组织禁止所述用户信息对应的用户进行数据访问。
5.根据权利要求1所述的基于联盟链的数据共享系统,其特征在于,所述联盟组织,还用于在接收到所述用户发送的属性更新请求时,将所述属性更新请求转发至所述多中心属性授权机构,并将所述多中心属性授权机构返回的更新后的私钥发送至所述用户。
6.根据权利要求5所述的基于联盟链的数据共享系统,其特征在于,所述多中心属性授权机构,还用于在至少一个属性授权机构接收到所述属性更新请求时,基于所述属性更新请求中的属性信息查询所述属性链对所述用户的身份信息进行校验,在校验结果为有效时,基于所述属性更新请求中的新增属性更新所述属性链,并返回更新后的私钥至所述联盟组织。
CN202211158914.1A 2022-09-22 2022-09-22 基于联盟链的数据共享方法、系统、电子设备及存储介质 Active CN115250205B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211158914.1A CN115250205B (zh) 2022-09-22 2022-09-22 基于联盟链的数据共享方法、系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211158914.1A CN115250205B (zh) 2022-09-22 2022-09-22 基于联盟链的数据共享方法、系统、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115250205A CN115250205A (zh) 2022-10-28
CN115250205B true CN115250205B (zh) 2023-01-24

Family

ID=83699694

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211158914.1A Active CN115250205B (zh) 2022-09-22 2022-09-22 基于联盟链的数据共享方法、系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115250205B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319098B (zh) * 2023-05-20 2023-07-21 湖北省楚天云有限公司 一种边缘计算服务器安全互联系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418784A (zh) * 2017-12-04 2018-08-17 重庆邮电大学 一种基于属性密码的分布式跨域授权和访问控制方法
CN112734572A (zh) * 2021-01-07 2021-04-30 华南农业大学 基于双区块链的细粒度访问控制方法及系统
KR20210055272A (ko) * 2019-11-07 2021-05-17 순천향대학교 산학협력단 허가형 블록체인에서 익명 프로토콜 기반의 사용자 인증 시스템 및 방법, 이를 수행하기 위한 기록 매체
CN113114638A (zh) * 2021-03-26 2021-07-13 湖南和信安华区块链科技有限公司 联盟链的访问和验证方法及系统
CN113256290A (zh) * 2021-05-14 2021-08-13 杭州链网科技有限公司 去中心化加密通讯与交易系统
CN114239046A (zh) * 2021-11-02 2022-03-25 广东电网有限责任公司 数据共享方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10756906B2 (en) * 2013-10-01 2020-08-25 Kalman Csaba Toth Architecture and methods for self-sovereign digital identity
CN104917772B (zh) * 2015-06-12 2017-12-08 深圳大学 一种云存储服务平台的访问控制系统的访问控制方法
CN111835500B (zh) * 2020-07-08 2022-07-26 浙江工商大学 基于同态加密与区块链的可搜索加密数据安全共享方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418784A (zh) * 2017-12-04 2018-08-17 重庆邮电大学 一种基于属性密码的分布式跨域授权和访问控制方法
KR20210055272A (ko) * 2019-11-07 2021-05-17 순천향대학교 산학협력단 허가형 블록체인에서 익명 프로토콜 기반의 사용자 인증 시스템 및 방법, 이를 수행하기 위한 기록 매체
CN112734572A (zh) * 2021-01-07 2021-04-30 华南农业大学 基于双区块链的细粒度访问控制方法及系统
CN113114638A (zh) * 2021-03-26 2021-07-13 湖南和信安华区块链科技有限公司 联盟链的访问和验证方法及系统
CN113256290A (zh) * 2021-05-14 2021-08-13 杭州链网科技有限公司 去中心化加密通讯与交易系统
CN114239046A (zh) * 2021-11-02 2022-03-25 广东电网有限责任公司 数据共享方法

Also Published As

Publication number Publication date
CN115250205A (zh) 2022-10-28

Similar Documents

Publication Publication Date Title
CN112019591B (zh) 一种基于区块链的云数据共享方法
CN113411384B (zh) 针对物联网数据安全共享过程中隐私保护的系统及方法
CN110493347B (zh) 基于区块链的大规模云存储中数据访问控制方法及系统
Li et al. FADB: A fine-grained access control scheme for VANET data based on blockchain
Zhu et al. TBAC: Transaction-based access control on blockchain for resource sharing with cryptographically decentralized authorization
Liu et al. Cloud-based electronic health record system supporting fuzzy keyword search
Sun et al. Outsourced decentralized multi-authority attribute based signature and its application in IoT
CN113836222B (zh) 一种基于区块链的可隐藏策略和属性的访问控制方法
CN113065961A (zh) 一种电力区块链数据管理系统
Wu et al. A blockchain based access control scheme with hidden policy and attribute
CN115296838A (zh) 基于区块链的数据共享方法、系统及存储介质
Mishra et al. DS-Chain: A secure and auditable multi-cloud assisted EHR storage model on efficient deletable blockchain
CN115250205B (zh) 基于联盟链的数据共享方法、系统、电子设备及存储介质
CN116204923A (zh) 数据管理、数据查询方法及装置
CN115964751A (zh) 一种属性分类和等级划分的数据安全存储与访问控制方法
CN113949541B (zh) 一种基于属性策略的dds安全通信中间件设计方法
Yan et al. Traceable and weighted attribute-based encryption scheme in the cloud environment
Zhang et al. A traceable and revocable multi-authority attribute-based access control scheme for mineral industry data secure storage in blockchain
Mittal et al. A novel two-level secure access control approach for blockchain platform in healthcare
Fan et al. Making public key functional encryption function private, distributively
CN114710370B (zh) 基于雾区块链和属性加密的细粒度访问控制方法及系统
CN116112185A (zh) 一种基于区块链和零知识证明的隐私数据分享方法
CN116318663A (zh) 一种基于隐私保护的多策略安全密文数据共享方法
Cai et al. Vizard: A metadata-hiding data analytic system with end-to-end policy controls
CN116248289A (zh) 基于密文属性加密的工业互联网标识解析访问控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant