CN115296838A - 基于区块链的数据共享方法、系统及存储介质 - Google Patents
基于区块链的数据共享方法、系统及存储介质 Download PDFInfo
- Publication number
- CN115296838A CN115296838A CN202210726830.7A CN202210726830A CN115296838A CN 115296838 A CN115296838 A CN 115296838A CN 202210726830 A CN202210726830 A CN 202210726830A CN 115296838 A CN115296838 A CN 115296838A
- Authority
- CN
- China
- Prior art keywords
- data
- credit
- user node
- user
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本发明提供一种基于区块链的数据共享方法、系统及存储介质,方法包括:接收区块链信用网络中用户节点的证书请求,用户节点颁发或更新包含访问控制权限的用户身份证书,身份证书中含有针对用户节点的用户生成的唯一私钥;接收第一类型用户节点的携带利用基于唯一私钥得到的属性秘钥加密的信用数据的上链请求,利用与唯一私钥对应的解密秘钥进行解密,对证书进行验证,并在验证通过后向第一类型用户节点返回上链成功通知;接收区块链信用网络中第二类型用户节点的针对目标信用数据的查询请求,验证证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥并向返回采用加密秘钥加密的信用数据。
Description
技术领域
本发明涉及区块链技术领域,尤其涉及一种基于区块链的数据共享方法、系统及存储介质。
背景技术
目前信用领域存在数据共享难和用户隐私易泄露两大问题。国内目前采用公共征信和民营征信相结合的方式,由于征信机构不同,且相同的民营机构间存在商业竞争,因此大量有效的用户信用数据无法实现共享,易形成“信息孤岛”。同时,传统信用机构还伴随着访问权限单一、不灵活等问题,这使得信用数据共享,特别是在保证数据安全前提下,具有细粒度访问控制的受限共享成为一个亟待解决的问题。
大数据、云计算等技术的快速发展使得信用体系作为金融领域的一个关键技术得到了广泛的研究。大数据技术为信用机构提供了海量且多样的数据,但由于数据源提供的信用数据的真实性无法保证,且信用数据包含用户金融、教育、职业等领域的敏感数据。因此,当数据的隐私安全性无法得到保障时,数据提供方将不愿意加入信用评估机构中。
随着区块链技术的广泛应用,基于区块链技术的新的信用机制被逐渐关注。区块链作为一种新兴的数据共享技术,其具有不可篡改、可追溯的特点,同时利用智能合约和共识机制,可在无可信第三方的前提下,分布式存储数据,避免人为欺诈的风险。由于区块链中的P2P网络、匿名交易、去中心化架构等突出优点,区块链已经广泛的应用在许多隐私保护的场景中。
但是,如何结合区块链技术来保障当前信用体系中存在的数据共享和隐私保护,这还是一个有待解决的问题。
发明内容
有鉴于此,本发明实施例提供了一种基于区块链的数据共享方法及系统,来实现信用体系中存在的数据共享和隐私保护。
本发明的一个方面提供了一种基于区块链的数据共享方法,该方法包括:
接收区块链信用网络中用户节点的含有用户身份和属性信息的证书请求,基于接收的证书请求为用户节点颁发或更新包含访问控制权限的用户身份证书,所述身份证书中还含有针对所述用户节点的用户生成的唯一私钥;
接收第一类型用户节点发起的携带利用属性秘钥加密的信用数据的上链请求,利用与所述唯一私钥对应的解密秘钥进行解密,对第一类型用户节点对应的证书进行验证,并在验证通过后向第一类型用户节点返回上链成功通知;其中,所述属性秘钥为将数据属性或用户属性写入所述唯一私钥后生成的秘钥;
接收区块链信用网络中第二类型用户节点的含有用户身份和属性信息的针对目标信用数据的查询请求,基于所述查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥并向第二类型用户节点返回采用加密秘钥加密的信用数据。
在本发明的一些实施例中,所述区块链包括:主链和子链;所述主链包括数据链和监管链,所述子链包括多个数据采集子链;
各个用户节点基于区块链的数字信用数据双链模型被上链到子链上,子链中的数据通过哈希操作上链到主链上。
在本发明的一些实施例中,所述方法还包括:在接收到第二类型用户节点的数据查询请求后,如果确定用户不具备对目标信用数据的获取权限,则拒绝第二类型用户节点的数据查询请求。
在本发明的一些实施例中,在用加密秘钥进行加密的信用数据中,还包含加密的解密策略;在向第二类型用户节点分发的私钥中包含用户属性。
在本发明的一些实施例中,所述在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:基于信用系统公钥初始化生成用户权限撤销机构对应的一个素数域;根据所述信用系统公钥、信用系统主密钥及所述第二类型用户节点对应的用户属性集合,动态生成该第二类型用户节点唯一的私钥,并在素数域中选择一个素数分配给所述第二类型用户节点对应的用户,并将分配的素数从所述素数域中删除。
在本发明的一些实施例中,基于所述查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:从智能合约平台获取第二类型用户节点的属性,并提取所述目标信用数据的访问控制权限要求;判断所述第二类型用户节点的属性是否满足所述目标信用数据的访问控制权限要求,若是,则确定所述第二类型用户节点具备所述目标信用数据的访问控制权限,并向该第二类型用户节点分发私钥。
在本发明的一些实施例中,所述区块链中采用同态加密。
在本发明的一些实施例中,所述区块链信用网络包括:属于初级信用通道的不同类型的多个组织,且每个组织均由多个信用节点组成,所述信用节点包括作为数据需求节点的第二类型用户节点或者作为数据提供节点的第一类型用户节点,且所述信用节点的权限可以为管理权限或普通权限;每个组织中均包含有至少一个管理权限的信用节点和多个普通权限的信用节点;各个所述组织中的管理权限的信用节点还同属于高级信用通道。
本发明的另一个方面提供了一种基于区块链的数据共享系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前所述的基于区块链的数据共享方法。
本发明的另一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述的基于区块链的数据共享方法。
本发明提供的基于区块链的数据共享方法和系统,以区块链的证书颁发中心作为访问控制算法的可信第三方,设置灵活的访问权限策略,通过证书颁发中心实现权限控制策略初始化、密钥生成与分发,使用智能合约执行以上操作,从而实现了数据权限细粒度控制,,降低了数据隐私泄露的可能性。
本发明的附加优点、目的,以及特征将在下面的描述中将部分地加以阐述,且将对于本领域普通技术人员在研究下文后部分地变得明显,或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。
本领域技术人员将会理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,并不构成对本发明的限定。在附图中:
图1为本发明一实施例中基于区块链的数据共享方法的流程示意图。
图2为本发明另一实施例中基于区块链的数据共享方法的流程示意图。
图3为本发明一实施例中基于区块链的数字信用数据双链模型示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
应该强调,术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
在此,还需要说明的是,如果没有特殊说明,术语“连接”在本文不仅可以指直接连接,也可以表示存在中间物的间接连接。
区块链中具有不可伪造、公开透明、过程留痕、可追溯等特性,基于这些特性,区块链可作为传统机构的信任基础,基于此,本发明提供了一种基于区块链的数据共享方法和系统。针对信用领域潜在的共享权限问题,本发明设计以区块链的证书颁发中心(证书签发机构)作为访问控制算法的可信第三方,设置灵活的访问权限策略,通过证书颁发中心实现策略初始化、密钥生成与分发,使用智能合约执行以上操作,来实现了数据权限的细粒度控制,从而实现数据共享并隐私数据保护。
实现本发明的基于区块链的数据共享方法的模型架构自上而下分为应用层、区块链核心层、网络层和数据层。应用层用于通过系统平台实现包含信用数据上链、证书颁发、安全计算、节点加入、智能合约、共识算法、身份认证及数据加密等功能,用户通过应用层提供界面进行相应的操作。区块链核心层是模型的核心层,其基于区块链的共识算法和智能合约,确保授权用户能访问相应数据,来实现数据的受限共享;使用加密算法及同态技术,使得信用数据以密文的形式进行传输和计算,保证数据的安全性和隐私性。区块链网络层用于存储信用数据到区块链中使用广播机制、验证机制、同步机制等实现节点发现与加入。存储层作为整个系统的支撑,构建了一个由信用节点和锚定节点构成的分层信用网络,其中多个信用节点及锚点节点构成初级信用网络,所有锚定节点构成高级信用网络。
图1所示为本发明的基于区块链的数据共享方法的流程图,如图1所示,该方法包括如下步骤:
步骤S110,接收区块链信用网络中用户节点的含有用户身份和属性信息的证书请求,基于接收的证书请求为用户节点颁发或更新包含访问控制权限的用户身份证书,所述身份证书中还含有针对所述用户节点的用户生成的唯一私钥。
在本发明实施例中,用户节点可以是数据提供方和数据需求方。在此,将数据提供方称为第一类型用户节点,数据需求方为第二类型的用户节点。数据提供方例如可以是能够提供有效信用数据的政府、医疗、教育以及企业等多方机构。数据需求方例如可以是对信用数据有需求的用户,如工程招投标、市场准入、信用报告审查等。在实际应用场景中数据提供方和数据需求方是可动态相互转换的,即数据提供方也可以作为数据需求方从区块链上查询信用数据,数据需求方也可以作为数据提供方提供信用数据。不同的数据提供方可以作为信用节点,加入相应的组织,每个组织可包含背书节点、提交节点、排序节点和leader四类节点,不同的组织可以加入不同的初始通道,实现数据的初步隔离,多个初级信用通道中的锚定节点统一加入高级信用通道,实现数据共享,这些组织及其各个节点组成数字信用区块链网络。
在本发明实施例中,在数据提供方上链之前,需要先在证书颁发中心进行认证,获得证书,然后才能上链并上传信用数据。在需要获得证书或需要更新证书时,数据提供方先向证书颁发中心发送证书请求,证书请求中携带用户身份信息和属性信息,属性信息可以包含有用户信息、所在信用通道信息和所述信用组织信息等,但本发明并不限于此。
为了保护用户隐私,防止信用数据泄露给无相关权限的用户,在本发明实施例中,可以事先确定对信用数据的访问控制策略,该策略针对不同数据需求方等级或属性设置不同的访问控制权限,从而可以基于为用户设置的访问控制权限来控制用户对信用数据的获取。预先设置的访问控制策略可以智能合约的形式置于区块链上。证书颁发中心在接收到用户节点(可以是数据提供方,也可以是数据需求方)的证书请求时,可以基于证书请求时携带的用户身份信息和属性信息确定用户的访问控制权限,从而向用户下发包含访问控制权限的用户身份证书。
进一步地,证书颁发中心还在向用户节点下发证书时向用户节点下发用户唯一的私钥。在本发明实施例中,证书颁发中心用随机化算法作为信用系统的初始化算法可基于安全系数计算出信用系统公钥和系统主秘钥。然后,基于信用系统公钥、信用系统主密钥及用户的属性能够利用基于密文策略的属性加密算法动态生成解密秘钥和用户唯一的私钥,并随着证书下发给用户。该私钥可由数据提供方对要上传的信用数据进行加密。
步骤S120,接收第一类型用户节点发起的携带利用属性秘钥加密的信用数据的上链请求,利用与所述唯一私钥对应的解密秘钥进行解密,对第一类型用户节点对应的证书进行验证,并在验证通过后向第一类型用户节点返回上链成功通知;其中,所述属性秘钥为将数据属性或用户属性写入所述唯一私钥后生成的秘钥。
由于上链数据可能涉及到用户敏感数据,因此数据所有者并不乐意把自己的数据直接公开。若直接将数据明文在链上存证,虽可以实现数据共享,但在网络节点内所有的人都能查看数据,导致用户隐私性差。若数据所有者使用私钥加密后在链上存证,虽能实现数据隐私保护,但却不能方便的共享给他人。在此,本发明采用访问控制算法来实现数据仅能够被具有对应权限的用户访问,在实现数据共享同时保障了数据隐私安全。
本发明采用基于密文策略的属性加密机制,在数据提供方(第一类型用户节点)要通过作为权威机构的证书颁发中心将信用数据上链时,可将解密的策略在加密时写入密文中,数据属性写入到用户的私钥(此时的私钥可称为属性秘钥)中,向证书颁发中心发送上链请求,该上链请求中携带利用属性秘钥加密的信用数据。
证书颁发中心接收到上链请求后,利用与用户的唯一私钥对应的解密秘钥对上链请求进行解密,对用户的证书进行验证,并在验证成功后向第一类型用户节点返回上链成功通知,并为上链的信用数据设置相应的访问控制策略,以后续实现信用隐私数据的细粒度访问控制。
步骤S130,接收区块链信用网络中第二类型用户节点的含有用户身份和属性信息的针对目标信用数据的查询请求,基于查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥并向第二类型用户节点返回采用加密秘钥加密的信用数据。
在数据需求方要获取信用数据时,区块链信用网络中作为数据需求方的第二类型用户节点向证书颁发中心发起针对目标信用数据的查询请求,该数据查询请求中携带用户身份信息、用户属性信息和目标数据信息。
证书颁发中心可基于预设的访问控制算法查验数据需求节点是否具备目标信用数据的访问控制权限,若是,则向该数据需求节点分发私钥,并在区块链中调取目标信用数据对应的密文并发送至数据需求节点,以使该数据需求节点基于私钥解密密文以获取目标信用数据,由此,可实现数据权限细粒度控制,并消除传统信用系统中人为造假的问题。在本发明另选实施例中,查验数据需求节点是否具备目标信用数据的访问控制权限的主体也可以是证书颁发中心之外的、智能合约中的可信第三方。
在接收到第二类型用户节点的数据查询请求后,如果证书颁发中心确定用户不具备对目标信用数据的获取权限,则可拒绝第二类型用户节点的数据查询请求。
在本发明实施例中,可采用同态加密算法来实现对信用数据的加密。同态加密算法是一种特殊的加密算法。它对密文进行处理得到的结果仍为密文,将其解密与明文进行处理的结果相同或相似,保持了数据的同态性。区块链中使用同态加密,可实现智能合约可处理用户数据却不必获取明文数据,保障用户隐私安全。
同态加密中的密钥生成算法使用一个随机化算法实现。输入参数为安全系数,输出参数分别是加密公钥、解密私钥和公开密钥。同态加密中的加密算法使用一个随机化算法实现。输入参数为明文message和加密公钥,输出参数为密文。由于使用了随机数,即使是同样的明文,加密后也会获得不同密文。同态加密中的解密算法使用一个确定性算法实现。输入解密私钥和密文,输出为明文。
本发明的基于区块链的数据共享方法,由于区块链P2P通信和去中心化的特性,因此用户无需将数据交给不受信任的第三方存储,降低了数据隐私泄露的可能性。本发明针对信用领域潜在的共享权限问题,本发明以区块链的证书颁发中心作为访问控制算法的可信第三方,设置灵活的访问权限策略,通过证书颁发中心实现权限控制策略初始化、密钥生成与分发,使用智能合约执行以上操作,从而实现了数据权限细粒度控制,也消除了传统信用系统中人为造假的问题。
更进一步地,在本发明实施例中,还可以结合非对称加密算法对信用数据进行加密处理,例如,当信用数据离开本地时,可使用非对称加密层对原始数据进行加密,得到对应的密文,并将该密文存储到分布式账本中,证书颁发中心等可以基于相应算法进行解密。通过引入全同态加密运算,能够有效解决密文运算中开销过大的难题,并结合非对称加密算法,能够实现对信用数据的隐私保护,当信用数据离开本地时,使用设计模型中的非对称加密层对原始数据进行加密。本发明使得信用数据以密文的形式进行传输和计算,保证数据的安全性和隐私性。
更进一步地,在本发明实施例中,可以采用基于区块链的数字信用数据双链模型,如图3所示,该模型中,区块链包括主链和子链;主链包括数据链和监管链,子链包括多个数据采集子链;各个用户节点基于区块链的数字信用数据双链模型被上链到子链上,子链中的数据通过哈希操作上链到主链上。基于区块链的数字信用数据双链模型
多用户节点上链到两条子链上,后续将子链中的数据hash上链到主链上,这样做的好处是可以降低区块链负载,提高上链效率。而在主链的位置设置双链,即内容链+监管链的双链模型的好处是可以解决监管问题、提高安全性、全程监督,从而构建责任可追责系统。
在本发明一实施例中,在用加密秘钥进行加密的信用数据中,还包含加密的解密策略;更具体地,采用基于密文策略的属性加密机制,以证书颁发中心作为权威机构,将解密的策略在加密时写入密文中,用户属性或数据属性写入到用户的私钥中,使得证书颁发中心可以基于属性来确定权限控制策略,由此来实现信用隐私数据的细粒度访问控制。在本发明一些实施例中,私钥中的用户属性可以是用户属性集合策略树的形式。
在本发明一些实施例中,在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:
基于信用系统公钥初始化生成一个素数域;
根据信用系统公钥、信用系统主密钥及第二类型用户节点对应的用户属性集合,动态生成该第二类型用户节点唯一的私钥,并在素数域中选择一个素数分配给第二类型用户节点对应的用户,并将分配的素数从素数域中删除。
此外,在本发明可选实施例中,基于所述查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:
从智能合约平台获取第二类型用户节点的属性,并提取目标信用数据的访问控制权限要求;
判断第二类型用户节点的属性是否满足目标信用数据的访问控制权限要求,若是,则确定第二类型用户节点具备目标信用数据的访问控制权限,并向该第二类型用户节点分发私钥。否则,拒绝查询请求。
此外,在本发明实施例中,区块链信用网络包括:属于初级信用通道的不同类型的多个组织,且每个组织均由多个信用节点组成,所述信用节点包括作为数据需求节点的第二类型用户节点或者作为数据提供节点的第一类型用户节点,且所述信用节点的权限可以为管理权限或普通权限。每个组织中均包含有至少一个管理权限的信用节点和多个普通权限的信用节点;各个所述组织中的管理权限的信用节点还同属于高级信用通道。
在对信用数据的解密过程中,证书颁发中心首先会访问用户属性集合策略树中的叶子节点,首先访问权限要求的用户名、组织名和通道名称,通过遍历属性策略树,获取访问权限的要求,例如本文设置了当用户在初级信用通道1且在信用组织1中的所有成员可以解密信用数据。其后检查用户是否被撤销了权限,解密算法遍历获取该用户的撤销列表,计算取模该用户的撤销列表和唯一素数的结果,若结果为0表示用户已被撤销权限,若不为0则权限未被撤销。仅当通过验证后才能解密密文获取信用数据。
图2为本发明另一实施例中基于区块链的数据共享方法的流程示意图,如图2所示:
步骤S1:证书颁发中心初始化秘钥,如调用随机化算法及预设的安全系数初始化计算得到信用系统公钥和信用系统主密钥。
步骤S2,证书颁发中心接收用户发送的证书请求并,为该用户颁发或更新证书,证书中携带有为用户下发的私钥。
步骤S3:数据提供方对信用数据进行加密,在进行加密时,将属性信息写入私钥中,并利用写入了属性信息的私钥对信用数据进行加密。
步骤S4,加密后,向证书颁发中心发起数据上链请求,请求中携带加密的信用数据,此外还可以携带权限控制策略,如用户属性和访问权限的对应关系,但本发明并不限于此。
步骤S5:证书颁发中心对用户证书进行检查与验证,并在验证成功后返回成功消息,将信用数据上传至子链上(步骤S6)。
步骤S7,在数据需要方要获取数据时,可向证书颁发中心发起数据查询请求,请求中可携带用户身份信息、属性信息和目标信用数据信息。
步骤S8,证书颁发中心在检验用户证书确定数据需要方具有数据获取权限时,向用户需求方返回加密的数据。
步骤S9:根据访问控制策略基于预定的加密算法获取私钥,或者获得证书颁发中心下发的用于解密的私钥。
步骤S10,利用获得的私钥对加密的信用数据进行解密。
举例来说,信用数据在发送到区块链上的云服务器前,可使用非对称加密ECC算法,其后通过设置访问控制权限,将信用数据安全的存储到区块链中。信用系统利用预定的加密算法将编码后的数据进行加密,其后将加密后的上传到云服务器进行同态计算,当信用数据需求方需要数据时候,可从云服务器中下载数据,利用私钥解密得编码后的数据,解码后得原始信用数据。
本发明实现了数据的受限共享与隐私保护,保障了系统的可靠性、安全性。
与上述方法相应地,本发明还提供了一种基于区块链的数据共享系统,该系统包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该装置实现如前所述方法的步骤。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时以实现前述边缘计算服务器部署方法的步骤。该计算机可读存储介质可以是有形存储介质,诸如随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、软盘、硬盘、可移动存储盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本发明的实施,其中的步骤顺序不作限定,可根据需要作适当调整。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于区块链的数据共享方法,其特征在于,包括:
接收区块链信用网络中用户节点的含有用户身份和属性信息的证书请求,基于接收的证书请求为用户节点颁发或更新包含访问控制权限的用户身份证书,所述身份证书中还含有针对所述用户节点的用户生成的唯一私钥;
接收第一类型用户节点发起的携带利用属性秘钥加密的信用数据的上链请求,利用与所述唯一私钥对应的解密秘钥进行解密,对第一类型用户节点对应的证书进行验证,并在验证通过后向第一类型用户节点返回上链成功通知;其中,所述属性秘钥为将数据属性或用户属性写入所述唯一私钥后生成的秘钥;
接收区块链信用网络中第二类型用户节点的含有用户身份和属性信息的针对目标信用数据的查询请求,基于所述查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥并向第二类型用户节点返回采用加密秘钥加密的信用数据。
2.根据权利要求1所述的方法,其特征在于,所述区块链包括:主链和子链;所述主链包括数据链和监管链,所述子链包括多个数据采集子链;
各个用户节点基于区块链的数字信用数据双链模型被上链到子链上,子链中的数据通过哈希操作上链到主链上。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在接收到第二类型用户节点的数据查询请求后,如果确定用户不具备对目标信用数据的获取权限,则拒绝第二类型用户节点的数据查询请求。
4.根据权利要求1所述的方法,其特征在于,
在用加密秘钥进行加密的信用数据中,还包含加密的解密策略;
在向第二类型用户节点分发的私钥中包含用户属性。
5.根据权利要求4所述的方法,其特征在于,所述在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:
基于信用系统公钥初始化生成用户权限撤销机构对应的一个素数域;
根据所述信用系统公钥、信用系统主密钥及所述第二类型用户节点对应的用户属性集合,动态生成该第二类型用户节点唯一的私钥,并在素数域中选择一个素数分配给所述第二类型用户节点对应的用户,并将分配的素数从所述素数域中删除。
6.根据权利要求1所述的方法,其特征在于,基于所述查询请求验证用户的证书并基于智能合约中预定的访问控制策略确定用户权限,在验证证书成功后向第二类型用户节点分发用于解密的私钥,包括:
从智能合约平台获取第二类型用户节点的属性,并提取所述目标信用数据的访问控制权限要求;
判断所述第二类型用户节点的属性是否满足所述目标信用数据的访问控制权限要求,若是,则确定所述第二类型用户节点具备所述目标信用数据的访问控制权限,并向该第二类型用户节点分发私钥。
7.根据权利要求1所述的方法,其特征在于,所述区块链中采用同态加密。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述区块链信用网络包括:属于初级信用通道的不同类型的多个组织,且每个组织均由多个信用节点组成,所述信用节点包括作为数据需求节点的第二类型用户节点或者作为数据提供节点的第一类型用户节点,且所述信用节点的权限可以为管理权限或普通权限;
每个组织中均包含有至少一个管理权限的信用节点和多个普通权限的信用节点;
各个所述组织中的管理权限的信用节点还同属于高级信用通道。
9.一种基于区块链的数据共享系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8中任一项所述的基于区块链的数据共享方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至8中任一项所述的基于区块链的数据共享方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210726830.7A CN115296838B (zh) | 2022-06-24 | 2022-06-24 | 基于区块链的数据共享方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210726830.7A CN115296838B (zh) | 2022-06-24 | 2022-06-24 | 基于区块链的数据共享方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296838A true CN115296838A (zh) | 2022-11-04 |
| CN115296838B CN115296838B (zh) | 2023-09-26 |
Family
ID=83820189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210726830.7A Active CN115296838B (zh) | 2022-06-24 | 2022-06-24 | 基于区块链的数据共享方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296838B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115604030A (zh) * | 2022-11-30 | 2023-01-13 | 北京邮电大学(Cn) | 数据共享方法、装置、电子设备和存储介质 |
| CN116232704A (zh) * | 2023-02-13 | 2023-06-06 | 广州大学 | 一种基于xacml与智能合约的数据受控访问方法及系统 |
| CN116504365A (zh) * | 2023-06-25 | 2023-07-28 | 安徽影联云享医疗科技有限公司 | 一种医学影像信息共享方法及相关装置 |
| CN116806038A (zh) * | 2023-08-18 | 2023-09-26 | 上海临滴科技有限公司 | 一种去中心化的计算机数据共享方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
| CN109617698A (zh) * | 2019-01-09 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 发放数字证书的方法、数字证书颁发中心和介质 |
| CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
| CN113783836A (zh) * | 2021-08-02 | 2021-12-10 | 南京邮电大学 | 基于区块链和ibe算法的物联网数据访问控制方法及系统 |
-
2022
- 2022-06-24 CN CN202210726830.7A patent/CN115296838B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109559124A (zh) * | 2018-12-17 | 2019-04-02 | 重庆大学 | 一种基于区块链的云数据安全共享方法 |
| CN109617698A (zh) * | 2019-01-09 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 发放数字证书的方法、数字证书颁发中心和介质 |
| CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
| CN113783836A (zh) * | 2021-08-02 | 2021-12-10 | 南京邮电大学 | 基于区块链和ibe算法的物联网数据访问控制方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115604030A (zh) * | 2022-11-30 | 2023-01-13 | 北京邮电大学(Cn) | 数据共享方法、装置、电子设备和存储介质 |
| CN116232704A (zh) * | 2023-02-13 | 2023-06-06 | 广州大学 | 一种基于xacml与智能合约的数据受控访问方法及系统 |
| CN116232704B (zh) * | 2023-02-13 | 2024-05-03 | 广州大学 | 一种基于xacml与智能合约的数据受控访问方法及系统 |
| CN116504365A (zh) * | 2023-06-25 | 2023-07-28 | 安徽影联云享医疗科技有限公司 | 一种医学影像信息共享方法及相关装置 |
| CN116806038A (zh) * | 2023-08-18 | 2023-09-26 | 上海临滴科技有限公司 | 一种去中心化的计算机数据共享方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296838B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673626B2 (en) | Threshold secret share authentication proof and secure blockchain voting with hardware security modules | |
| US11038670B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US10917246B2 (en) | System and method for blockchain-based cross-entity authentication | |
| CN110933108B (zh) | 基于区块链网络的数据处理方法、装置、电子设备及存储介质 | |
| US20200084027A1 (en) | Systems and methods for encryption of data on a blockchain | |
| CN111797415A (zh) | 基于区块链的数据共享方法、电子设备和存储介质 | |
| CN115296838B (zh) | 基于区块链的数据共享方法、系统及存储介质 | |
| WO2020119258A1 (zh) | 一种数据处理方法和装置 | |
| US11949773B2 (en) | Systems and methods for secure key management using distributed ledger technology | |
| CN113836222B (zh) | 一种基于区块链的可隐藏策略和属性的访问控制方法 | |
| US20220337388A9 (en) | Decentralized Methods and Systems for Storage, Access, Distribution and Exchange of Electronic Information and Documents over the Internet using Blockchain to protect against Cyber attacks and Theft | |
| Tu et al. | A secure, efficient and verifiable multimedia data sharing scheme in fog networking system | |
| US20240064009A1 (en) | Distributed anonymized compliant encryption management system | |
| CN109587115A (zh) | 一种数据文件安全分发使用方法 | |
| Zhang et al. | Data security in cloud storage | |
| CN111431880B (zh) | 一种信息处理方法及装置 | |
| Han et al. | DSSPs: a data sharing security protection scheme based on consortium blockchain and ciphertext-policy attribute-based encryption | |
| TW202101267A (zh) | 帳戶資料處理方法及帳戶資料處理系統 | |
| TWM585941U (zh) | 帳戶資料處理系統 | |
| US11770263B1 (en) | Systems and methods for enforcing cryptographically secure actions in public, non-permissioned blockchains using bifurcated self-executing programs comprising shared digital signature requirements | |
| US20230177209A1 (en) | Distributed Communication Network | |
| CN108712380B (zh) | 一种基于策略的混合身份认证方法 | |
| Begum et al. | Augmented Privacy-Preserving Authentication Protocol by Trusted Third Party in Cloud | |
| Squicciarini et al. | k-anonymous Attribute-Based Access Control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |