CN115906181A

CN115906181A - 一种基于区块链属性的加密文件确权方法、装置及系统

Info

Publication number: CN115906181A
Application number: CN202211730378.8A
Authority: CN
Inventors: 罗强; 刘朝伟; 江洪; 李曼潇
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2022-12-30
Filing date: 2022-12-30
Publication date: 2023-04-04

Abstract

本发明提供了一种基于区块链属性的加密文件确权方法、装置及系统，方法包括：根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与数字身份相关的文件目录列表返回；根据选中的待访问文件向服务网关提交文件访问请求以使服务网关调用区块链存储智能合约API获取验证完成后的密态文件；接收密态文件并返回文件信息。本申请通过建立去中心化数据安全存取和身份验证框架解决了去中心化分散式文件存储系统中安全存储和身份验证的问题，基于区块链技术引入去中心化公钥体系(DPKI)和分布式数字身份(DID)，有效解决去中心化分散式数字文件存取的安全访问和身份验证难题。

Description

一种基于区块链属性的加密文件确权方法、装置及系统

技术领域

本申请属于区块链在数字资产管理方面的应用技术领域，具体地讲，涉及一种基于区块链属性的加密文件确权方法、装置及系统。

背景技术

随着元宇宙时代的到来，虚拟世界经济发展提速，如何保障用户在虚拟世界的知识产权越来越引起重视，数字资产的版权管理和确权认证已经成为元宇宙发展最为关注的课题。

在去中心化环境下，数字资产的确权是一种点对点的身份认证系统。当前的方案通过将数字资产与所有者身份绑定，以便形成数字水印或资产证明，提供给验证者证明。但对使用方也带来了新的挑战，如在去中心化环境下，对手也可能窃取发布者的用户身份，伪造数字资产和签名引诱使用方上钩，由此存在身份伪造和网络攻击的安全隐患。与此同时，接收方在使用数字资产前，须多进行一次数字资产的签名校验认证，费时耗力，效率不高。

发明内容

本申请提供了一种基于区块链属性的加密文件确权方法、装置及系统，以至少解决在去中心化的环境下发布者的用户身份容易被窃取从而造成安全隐患且在签名校验环节效率较低的问题。

根据本申请的第一个方面，以客户端为执行主体，提供了一种基于区块链属性的加密文件确权方法，包括：

根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与数字身份相关的文件目录列表返回；

根据选中的待访问文件向服务网关提交文件访问请求以使服务网关调用区块链存储智能合约API获取验证完成后的密态文件；

接收密态文件并返回文件信息。

在一实施例中，基于区块链属性的加密文件确权方法还包括初始化安全参数步骤：

根据接收的初始化安全参数请求生成主密钥和密钥，并将主密钥、密钥和用户的数字身份发送至服务网关以使服务网关调用区块链智能合约接口初始化安全参数；

接收回传的初始化安全参数并存储。

在一实施例中，基于区块链属性的加密文件确权方法还包括上传文件数据步骤：

用初始化安全参数中的对称密钥对上传的文件数据进行加密生成密态文件，并用用户私钥对文件数据进行签名；

将签名、密态文件和数字身份发送至服务网关，以使服务网关对密态文件进行解密后生成文件的内容标识；

接收服务网关返回的文件上传成功结果。

在一实施例中，基于区块链属性的加密文件确权方法还包括多用户文件授权步骤：

而根据接收的文件授权访问申请提取待授权用户的数字身份并发送至服务网关，以使服务网关提交授权申请后调用区块链智能合约接口查询包括主密钥在内的信息完成委任授权；

接收授权结果。

根据本申请的第二个方面，以服务网关为执行主体，还提供了一种基于区块链属性的加密文件确权方法，包括：

根据客户端上传的文件目录列表查询申请调用区块链智能合约接口，输入文件目录列表查询申请中用户的数字身份查询文件目录列表；

从区块链的存储节点获取与数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求；

根据文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件；

查询获取用户的数字身份对应公钥并对密态文件进行完整性校验和签名；

使用用户私钥对密态文件进行解密并将文件信息返回至客户端。

输入用户公钥和分布式数字身份调用区块链智能合约接口初始化安全参数，以生成数字身份和对称密钥；

将数字身份、主密钥和用户公钥进行存证并加密对称密钥生成安全参数；

将安全参数返回至客户端。

接收客户端发送的签名、密态文件和数字身份；

将密态文件上传到存储节点并生成文件的内容标识；

检查密态文件上传和内容标识生成是否成功；

如果是，则执行区块链智能合约将内容标识与用户的数字身份对应关系进行上链存证，并将结果返回至客户端。

根据客户端上传的文件授权访问申请调用区块链智能合约接口查询包括主密钥在内的信息，以使区块链调用Delegate函数，派生用户密钥；

将用户密钥保存在客户端并向客户端返回成功结果。

根据本申请的第三个方面，以客户端为执行主体，还提供了一种对应的基于区块链属性的加密文件确权装置，包括：

列表查询单元，用于根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与数字身份相关的文件目录列表返回；

文件访问单元，用于根据选中的待访问文件向服务网关提交文件访问请求以使服务网关调用区块链存储智能合约API接口获取验证完成后的密态文件；

接收单元，用于接收密态文件并返回文件信息。

根据本申请的第四个方面，以服务网关为执行主体，还提供了一种基于区块链属性的加密文件确权装置包括：

查询单元，用于根据客户端上传的文件目录列表查询申请调用区块链智能合约接口，输入文件目录列表查询申请中用户的数字身份查询文件目录列表；

文件目录列表获取单元，用于从区块链的存储节点获取与数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求；

密态文件获取单元，用于根据文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件；

校验签名单元，用于查询获取用户的数字身份对应公钥并对密态文件进行完整性校验和签名；

解密确权单元，用于使用用户私钥对密态文件进行解密并将文件信息返回至客户端。

根据本申请的第五个方面，还提供了一种基于区块链属性的加密文件确权系统，包括：客户端、服务网关、存储节点、区块链节点；

客户端与服务网关通信连接，服务网关与存储节点集群通信连接，存储节点集群与区块链节点集群通信连接；

客户端发起智能合约部署请求、分散式存储交易请求、分散式存储查询请求；

服务网关提供智能合约API，实现限流熔断，安全检测，文件存储和访问，身份验证和安全参数设置；

存储节点接收服务网关的文件读写请求，进行分散式文件读写，交易信息存证到区块链节点；

区块链节点完成交易广播、交易执行、交易验证、共识和存储。

本申请通过建立一套去中心化数据安全存取和身份验证框架解决了去中心化分散式文件存储系统中安全存储和身份验证的问题，基于区块链技术引入去中心化公钥体系(DPKI)和分布式数字身份(DID)，当用户存取文件时，调用区块链智能合约进行权限控制和身份校验，并与区块链上的文件访问目录树进行权限核验，从而根据认证结果执行访问操作。利用区块链多方共享、可信存证的特点，在区块链网络上存证文件目录访问权限表，确保权限表能够被最近的存储节点获取和访问。本申请在创新引入了DPKI和分布式用户身份，并将数字身份嵌入到目录访问权限表中，有效解决去中心化分散式数字文件存取的安全访问和身份验证难题，可广泛应用在安全数据分享、金融业务等业务场景中。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请提供的一种基于区块链属性的加密文件确权的场景结构图。

图2为本申请提供的一种基于区块链属性的加密文件确权分层结构图。

图3为本申请提供的一种基于区块链属性的加密文件确权服务网关节点结构图。

图4为本申请提供的一种基于区块链属性的加密文件确权DS节点结构图。

图5为本申请提供的一种基于区块链属性的加密文件确权区块链节点结构图。

图6为本申请提供的以客户端为执行主体的基于区块链属性的加密文件确权方法图。

图7为本申请提供的以服务网关为执行主体的基于区块链属性的加密文件确权方法图。

图8为本申请提供的以客户端为执行主体的初始化安全参数步骤。

图9为本申请提供的以服务网关为执行主体的初始化安全参数步骤。

图10为本申请提供的以客户端为执行主体的上传文件数据步骤。

图11为本申请提供的以服务网关为执行主体的上传文件数据步骤。

图12为本申请提供的以客户端为执行主体的多用户文件授权步骤。

图13为本申请提供的以服务网关为执行主体的多用户文件授权步骤。

图14为本申请提供的以客户端为执行主体的基于区块链属性的加密文件确权装置。

图15为本申请提供的以服务网关为执行主体的基于区块链属性的加密文件确权装置

图16为本申请提供的一种电子设备的具体实施方式。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

基于背景技术中存在的问题，本申请提供了一种基于区块链属性的加密文件确权系统，包括：客户端、服务网关、存储节点、区块链节点；

在一具体实施例中，如图1所示，为基于区块链的属性加密文件确权的系统结构图，包括客户端0、服务网关1、DS节点2、区块链节点3、用户4、签发者。

客户端0：主要负责发起智能合约部署请求、分散式存储交易请求、分散式存储查询请求等。

服务网关1：主要负责提供智能合约API，实现限流熔断，安全检测，文件存储和访问，身份验证和安全参数设置等。

DS节点2：即去中心化存储节点，负责接收服务网关1的文件读写请求，进行分散式文件读写，交易信息存证到区块链节点。本发明客户端A和客户端B分别通过服务网关1接入DS节点，将通过DS节点发布文件读取请求，接收安文件读取结果。

区块链节点3，完成交易广播、交易执行、交易验证、共识和存储等功能的节点。具有区块链的一般特性。通过客户端发起文件读取指令，同时经过文件读写存证的智能合约执行后的交易记录也会保存在区块链上。

用户4：发起安全参数初始化，接收签发者5颁发的数字证书，在区块链网络注册数字身份DID，作为文件所有者上传文件和访问文件。

签发者5：对用户4进行身份证明，同时向用户4颁发数字证书。

基于上述系统，在一具体实施例中，基于区块链的属性加密文件确权分层结构图如图2所示，包括客户访问层20，服务网关层21，去中心化文件存储网络22，区块链网络23。

客户端访问层20：负责提供运营商访问的客户端软件，便于发起分散式存储请求，接收分散式存储结果。客户端可在区块链平台上发布链码，客户产生上传或下载的行为数据后，可调用链码发起交易请求，将行为数据上链，根据客户使用场景，提交到各个场景对应的通道上(客户端可以直接上送客户行为数据，无需加工处理，具体数据处理逻辑可交由场景提供商执行)。供应商也可以发布链码，可以查询属于自己通道的数据，可以对自己通道的数据进行处理分析。

网关服务层21：负责面向客户端提供区块链智能合约服务API，实现交易的限流熔断、DS节点的文件上传、下载，CID生成，实现DID注册、校验、目录查询更新等智能合约功能调用。

去中心化文件存储网络22：负责根据客户端提交的上传(下载)、查询等请求，通过分散式存储逻辑配置参数、数据、业务逻辑等，同时加密形成文件分块数据，其哈希值广播给区块链网络23。场景提供商还可以发布联合运营链码，通过链码调用DS节点服务，每个区块链节点都有对应的DS节点服务，链码可以指定需要哪些DS服务进行联合计算。场景提供商通过链码发起联合计算请求，原本其它通道的提供商数据相互之间是无法访问的，通过DS可以在不泄漏各自数据的情况进行分散式数据存储。

区块链网络23：负责接收和解密文件分散式存储报文，触发预设的智能合约逻辑，形成分散式存储的日志结果。区块链网络可提供托管节点，对于有能力的提供商也可提供本地节点部署。每个场景提供商在区块链上有各自的通道，场景提供商无法获取其它通道也即其它提供商的数据信息。

具体地，如图3所示，系统中的服务网关结构包括通讯模块31，限流熔断模块32，安全认证模块33、API服务接口34。

通讯模块31：负责为服务网关节点建立安全通道，实现去中心化文件存储请求、初始化安全参数等报文收发。

限流熔断模块32：负责根据交易吞吐量配置进行交易限流和熔断控制。

安全认证模块33：负责保管用户的私钥和对称密钥，管理用户的数字身份DID；负责调用区块链网络提供的安全接口API，实现用户身份注册、认证，以及密态文件的加密解密等。

API服务接口34：负责提供区块链DS存储、属性加密、身份处理等一系列智能合约API接口服务。属性加密模块包括：初始化(setup)，加密(Encrypt)，生成密钥(keyGen),解密(Decrypt)和委任(Delegate)等。

具体地，如图4所示，系统中的存储节点结构包括通讯模块41，内容生成模块42、DAG模块43、Chunk模块44。

通讯模块21：负责为DS节点2建立安全通道，实现分散式存储报文收发。

内容生成模块22：负责对去中心化文件内容生成Cid处理。

设数字资产M表示用户的文件内容，Cid为M的内容标识，形式上：

其中，IPFSLink是IPFS算法中的文件内容链接，name表示内容名称，是采用MerkleTree构建的M的哈希值，Size表示文件M的大小。

DAG模块44：负责对内容地址Cid执行默克尔(Merkle)校验，保证根节点的Cid与计算出来的摘要哈希相等。

Chunk模块45：对文件对象数据内容进行分片，同时确保分片后的数据彼此连接，形成文件对象树。

具体地，区块链节点的结构图如图5所示，包括通讯模块51，交易处理模块52，智能合约模块53，共识验证模块54。

通讯模块51：负责各节点间的通信交互，完成一般区块链节点通讯信息，包括交易信息广播、共识相关信息、区块同步信息、网络状态信息等。

交易处理模块52：负责接收交易请求，生成交易唯一标识，将交易唯一标识、合约唯一标识以及调用参数组装成交易，广播到区块链的其它节点。

智能合约模块53：负责从通讯模块52接收交易请求，通过分散式存储得出计算结果，根据预设的业务逻辑进行判断，并把最终交易指令通过通讯模块51提交到交易处理模块52进行执行。本发明DS节点调用智能合约交易，将交易处理模块52接收信息并存证到区块链网络。

共识验证模块54：负责对接收到交易请求进行共识处理，如达成共识，调用智能合约模块53，执行智能合约，并最终形成记录在案，可供日后审计追溯或验证。

基于如图1至图5所示的加密文件确权系统，本申请还提供了一种基于区块链属性的加密文件确权方法，以客户端为执行主体描述客户端所做的操作，如图6所示，包括：

S601：根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与数字身份相关的文件目录列表返回。

S602：根据选中的待访问文件向服务网关提交文件访问请求以使服务网关调用区块链存储智能合约API获取验证完成后的密态文件。

S603：接收密态文件并返回文件信息。

对应地，以服务网关为执行主体，该加密文件确权方法如图7所示，包括：

S701：根据客户端上传的文件目录列表查询申请调用区块链智能合约接口，输入文件目录列表查询申请中用户的数字身份查询文件目录列表。

S702：从区块链的存储节点获取与数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求。

S703：根据文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件。

S704：查询获取用户的数字身份对应公钥并对密态文件进行完整性校验和签名。

S705：使用用户私钥对密态文件进行解密并将文件信息返回至客户端。

在一具体实施例中，在文件确权和访问阶段，用户通过客户端提交文件目录查询访问请求。客户端接到用户请求后，首先读取用户DID(数字身份)，向服务网关发送文件目录列表查询申请。服务网关调用区块链智能合约API接口，输入Did查询文件目录列表。执行智能合约，根据送入的用户DID，查询与DID的链上对应记录，如果记录存在则检查成功。查询与用户DID相关的文件目录列表，返回客户端并将文件目录列表在客户端展现，用户根据客户端展现的文件目录，挑选即将访问的文件，同时向服务网关提交文件访问请求。提取文件后，客户端向服务网关提交文件访问请求。输入文件Cid(内容标识)和DID调用区块链存储智能合约API接口，以便获取密态文件。执行智能合约，从存储节点DS收集文件M的分片数据，汇总形成密态文件，检查文件的完整性。调用区块链智能合约，查询获取链上用户DID的对应公钥。对密态文件进行完整性校验和签名验证，输入用户公钥，执行如下验签名函数：

如果

成立，则表明验签通过，反之亦然。

调用Decrypt函数，用户私钥对文件进行解密，生成明文，具体步骤如下：

解密模块输入密文

私钥S_k，其关联属性集合，以及T的节点x。如果x为叶子节点，则令i＝att(x)，i∈S，Decrypt定义如下：

如果

定义：DecryptNode(CT,S_k,x)＝⊥

最后，客户端接收成功返回文件信息完成确权和访问环节。

在进行确权和访问环节之前，还需要有初始化安全参数阶段、上传文件数据阶段和多用户文件授权阶段。

在一实施例中，以客户端为执行主体，基于区块链属性的加密文件确权方法还包括初始化安全参数步骤，如图8所示：

S801：根据接收的初始化安全参数请求生成主密钥和密钥，并将主密钥、密钥和用户的数字身份发送至服务网关以使服务网关调用区块链智能合约接口初始化安全参数。

S802：接收回传的初始化安全参数并存储。

对应地，以服务网关为执行主体，如图9所示，基于区块链属性的加密文件确权方法还包括初始化安全参数步骤：

S901：输入用户公钥和分布式数字身份调用区块链智能合约接口初始化安全参数，以生成数字身份和对称密钥。

S902：将数字身份、主密钥和用户公钥进行存证并加密对称密钥生成安全参数。

S903：将安全参数返回至客户端。

在一具体实施例中，用户通过客户端提交初始化安全参数请求，客户端接收请求后，调用密钥初始化模块setup，生成主密钥；再调用密钥生成模块，生成密钥S_k。

具体步骤如下：

1、初始化(Setup)：setup模块选取一个双射群G₀，其生成元为g，阶为素数p。在Z_p中任意选取两个随机数α,β∈Z_p作为指数，公钥表示为一个元组：

其中，M_k＝(β,g^α)表示主密钥。其中DID_H∈DID表示数字文件所有者(Host)的DID。

2、生成密钥(keyGen):补充输入参数，表示为keyGen(M_k,S)，其中M_k为主密钥，S为属性集合，此函数产生的值为密钥S_k。即：

其中，r∈Z_p为随机数，对于每个属性j∈S，r_j∈Z_p为随机数。

输入用户公钥PK，分布式数字身份DID_H，调用区块链智能合约接口初始化安全参数。然后区块链节点的交易处理模块接收和检查初始化安全参数请求，检查通过后执行密钥处理智能合约,生成数字身份DID和对称密钥sk_b，形式上：

sk_b＝GenSymKey(Did_H,P(1^k))

其中，GenSymKey为对称密钥生成函数，Did表示用户分布式数字身份，P(1^k)表示安全参数。

将数字身份DID、主密钥M_k、用户公钥PK进行存证，同时执行如下加密函数加密对称密钥，产生对称密钥pk_b的密文

并返传用户：

将安全参数返传给客户端。

在上传文件数据阶段，在一实施例中，以客户端为执行主体，基于区块链属性的加密文件确权方法还包括上传文件数据步骤，如图10所示：

S1001：用初始化安全参数中的对称密钥对上传的文件数据进行加密生成密态文件，并用用户私钥对文件数据进行签名。

S1002：将签名、密态文件和数字身份发送至服务网关，以使服务网关对密态文件进行解密后生成文件的内容标识。

S1003：接收服务网关返回的文件上传成功结果。

对应地，以服务网关为执行主体，基于区块链属性的加密文件确权方法还包括上传文件数据步骤，如图11所示：

S1101：接收客户端发送的签名、密态文件和数字身份。

S1102：将密态文件上传到存储节点并生成文件的内容标识。

S1103：检查密态文件上传和内容标识生成是否成功。

S1104：如果是，则执行区块链智能合约将内容标识与用户的数字身份对应关系进行上链存证，并将结果返回至客户端。

在一具体实施例中，用户通过客户端发起文件上传请求，客户端用对称密钥对文件加密，用用户私钥对文件M进行签名，将签名、密态文件与DID一起上传服务网关。处理流程如下：

(1)将

解密还原为对称密钥sk_b：

(2)用对称密钥加密文件M，产生密文C_M：C_M＝Encrypt(PK,M,T,sk_b)；

服务网关调用去中心化文件存储API，上传报文。

解析报文P_M，将密态文件C_M上传存储到DS存储节点，同时生成文件内容Cid。Cid表示文件M的内容地址信息，形式上：

其中DID_H为数据所有者的DID，

表示C_M的Cid。

服务网关检查检查上传文件和生成Cid是否成功，如果失败，则向客户端发出返回失败信息，如果成功，执行区块链智能合约将CID与用户DID对应关系进行上链存证。最后，向客户端发送文件上传成功的返回结果。

在多用户文件授权阶段，在一实施例中，以客户端为执行主体，如图12所示，基于区块链属性的加密文件确权方法还包括多用户文件授权步骤：

S1201：而根据接收的文件授权访问申请提取待授权用户的数字身份并发送至服务网关，以使服务网关提交授权申请后调用区块链智能合约接口查询包括主密钥在内的信息完成委任授权。

S1202：接收授权结果。

对应地，以服务网关为执行主体，如图13所示，基于区块链属性的加密文件确权方法还包括多用户文件授权步骤：

S1301：根据客户端上传的文件授权访问申请调用区块链智能合约接口查询包括主密钥在内的信息，以使区块链调用Delegate函数，派生用户密钥。

S1302：将用户密钥保存在客户端并向客户端返回成功结果。

在一具体实施例中，用户通过客户端提交文件授权访问申请，客户端提取待授权用户DID，通过服务网关提交授权申请。

服务网关调用区块链智能合约API查询主密钥等信息，调用Delegate函数，派生用户密钥，并保存在客户端。具体步骤如下：

1、委任(Delegate)：Delegate输入密钥S_k，设属性集

形式上：

该算法随机选择r′和

并创建了一个新的密钥：

向客户端返回成功结果。

基于同一发明构思，本申请实施例还提供了一种基于区块链属性的加密文件确权装置，可以用于实现上述实施例中所描述的方法，如下面实施例所述。由于该基于区块链属性的加密文件确权装置解决问题的原理与基于区块链属性的加密文件确权方法相似，因此基于区块链属性的加密文件确权装置的实施可以参见基于区块链属性的加密文件确权方法的实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

以客户端为执行主体，如图14所示，还提供了一种对应的基于区块链属性的加密文件确权装置，包括：

列表查询单元1401，用于根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与数字身份相关的文件目录列表返回；

文件访问单元1402，用于根据选中的待访问文件向服务网关提交文件访问请求以使服务网关调用区块链存储智能合约API接口获取验证完成后的密态文件；

接收单元1403，用于接收密态文件并返回文件信息。

根据本申请的第四个方面，以服务网关为执行主体，如图15所示，还提供了一种基于区块链属性的加密文件确权装置包括：

查询单元1501，用于根据客户端上传的文件目录列表查询申请调用区块链智能合约接口，输入文件目录列表查询申请中用户的数字身份查询文件目录列表；

文件目录列表获取单元1502，用于从区块链的存储节点获取与数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求；

密态文件获取单元1503，用于根据文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件；

校验签名单元1504，用于查询获取用户的数字身份对应公钥并对密态文件进行完整性校验和签名；

解密确权单元1505，用于使用用户私钥对密态文件进行解密并将文件信息返回至客户端。

本申请提供了基于基于区块链的属性加密文件确权系统框架，该框架结合区块链网络，支持数据所有者发起用户的分布式身份注册、数据文件上传及文件访问交易，为用户提供文件安全上传和访问的托管机制。基于该系统框架还提供了一种去中心化文件安全上传的算法，该算法为数据所有者提供安全加密和身份认证等服务，实现数字身份DID，内容哈希(Cid)的上链绑定，构建出密态内容哈希上链存储。另外，在多用户的情况下，可以进行多用户授权，通过委任Delegate派生用户密钥，能够实现多用户同时授权，可以根据用户的属性派生私钥，具有安全密钥生成，授权范围可控灯特点。另外还包括去中心化文件安全访问的算法，该算法为数据所有者提供安全访问的服务，首先根据目标用户DID上链验证，然后根据用户密钥、对称密钥对密态文件分别进行验签和解密，具有安全度高，响应速度快的特点。本申请中的基于分散式文件目录授权的凭证及报文格式，实现DS存储节点信息共享，区块链接点目录访问权限更新等。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种电子设备的具体实施方式，参见图16，所述电子设备具体包括如下内容：

处理器(processor)1601、内存1602、通信接口(Communications Interface)1603、总线1604和非易失性存储器1605；

其中，所述处理器1601、内存1602、通信接口1603通过所述总线1604完成相互间的通信；

所述处理器1601用于调用所述内存1602和非易失性存储器1605中的计算机程序，所述处理器执行所述计算机程序时实现上述实施例中的方法中的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

S603：接收密态文件并返回文件信息。

以及

本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

S603：接收密态文件并返回文件信息。

以及

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于硬件+程序类实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。虽然本说明书实施例提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。

在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。以上所述仅为本说明书实施例的实施例而已，并不用于限制本说明书实施例。对于本领域技术人员来说，本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的权利要求范围之内。

Claims

1.一种基于区块链属性的加密文件确权方法，其特征在于，包括：

根据接收的用户请求读取用户的数字身份并向服务网关发送文件目录列表查询申请，以使服务网关调用区块链智能合约接口获取与所述数字身份相关的文件目录列表并返回；

根据从所述文件目录列表中选中的待访问文件向服务网关提交文件访问请求，以使所述服务网关调用区块链存储智能合约API获取验证完成后的密态文件；

接收所述密态文件并返回文件信息。

2.根据权利要求1所述的基于区块链属性的加密文件确权方法，其特征在于，还包括初始化安全参数步骤：

根据接收的初始化安全参数请求生成主密钥和密钥，并将主密钥、密钥和用户的数字身份发送至服务网关，以使所述服务网关调用区块链智能合约接口对安全参数进行初始化；

接收回传的初始化安全参数并存储。

3.根据权利要求2所述的基于区块链属性的加密文件确权方法，其特征在于，还包括上传文件数据步骤：

用所述初始化安全参数中的对称密钥对上传的文件数据进行加密生成密态文件，并用预存的用户私钥对文件数据进行签名；

接收服务网关返回的文件上传成功结果。

4.根据权利要求3所述的基于区块链属性的加密文件确权方法，其特征在于，还包括多用户文件授权步骤：

接收授权结果。

5.一种基于区块链属性的加密文件确权方法，其特征在于，包括：

根据客户端上传的文件目录列表查询申请调用区块链智能合约接口；

输入文件目录列表查询申请中用户的数字身份查询文件目录列表；

从区块链的存储节点获取与所述数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求；

根据所述文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件；

查询获取用户的数字身份对应公钥并对所述密态文件进行完整性校验和签名；

使用用户私钥对所述密态文件进行解密并将文件信息返回至客户端。

6.根据权利要求5所述的基于区块链属性的加密文件确权方法，其特征在于，还包括初始化安全参数步骤：

将所述数字身份、主密钥和用户公钥进行存证并加密所述对称密钥生成安全参数；

将安全参数返回至客户端。

7.根据权利要求6所述的基于区块链属性的加密文件确权方法，其特征在于，还包括上传文件数据步骤：

接收客户端发送的签名、密态文件和数字身份；

将所述密态文件上传到存储节点并生成文件的内容标识；

检查密态文件上传和内容标识生成是否成功；

8.根据权利要求7所述的基于区块链属性的加密文件确权方法，其特征在于，还包括多用户文件授权步骤：

将用户密钥保存在客户端并向客户端返回成功结果。

9.一种基于区块链属性的加密文件确权装置，其特征在于，包括：

列表查询单元，用于根据接收的用户请求读取用户的数字身份向服务网关发送文件目录列表查询申请，以使服务网关从调用区块链智能合约接口获取与所述数字身份相关的文件目录列表返回；

文件访问单元，用于根据选中的待访问文件向服务网关提交文件访问请求以使所述服务网关调用区块链存储智能合约API接口获取验证完成后的密态文件；

接收单元，用于接收所述密态文件并返回文件信息。

10.一种基于区块链属性的加密文件确权装置，其特征在于，包括：

文件目录列表获取单元，用于从区块链的存储节点获取与所述数字身份相关的文件目录列表返回至客户端，以使客户端根据被选中的待访问文件提交文件访问请求；

密态文件获取单元，用于根据所述文件访问请求中的文件的内容标识和用户的数字身份从存储节点获取密态文件；

校验签名单元，用于查询获取用户的数字身份对应公钥并对所述密态文件进行完整性校验和签名；

解密确权单元，用于使用用户私钥对所述密态文件进行解密并将文件信息返回至客户端。

11.一种基于区块链属性的加密文件确权系统，其特征在于，包括：客户端、服务网关、存储节点、区块链节点；

所述客户端与服务网关通信连接，所述服务网关与存储节点集群通信连接，所述存储节点集群与区块链节点集群通信连接；

所述客户端发起智能合约部署请求、分散式存储交易请求、分散式存储查询请求；

所述服务网关提供智能合约API，实现限流熔断，安全检测，文件存储和访问，身份验证和安全参数设置；

所述存储节点接收服务网关的文件读写请求，进行分散式文件读写，交易信息存证到区块链节点；

所述区块链节点完成交易广播、交易执行、交易验证、共识和存储。

12.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至8任一项所述的基于区块链属性的加密文件确权方法的步骤。

13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8任一项所述的基于区块链属性的加密文件确权方法的步骤。