CN116155619B - 数据处理方法、数据请求端、数据拥有端及数据处理装置 - Google Patents
数据处理方法、数据请求端、数据拥有端及数据处理装置 Download PDFInfo
- Publication number
- CN116155619B CN116155619B CN202310349440.7A CN202310349440A CN116155619B CN 116155619 B CN116155619 B CN 116155619B CN 202310349440 A CN202310349440 A CN 202310349440A CN 116155619 B CN116155619 B CN 116155619B
- Authority
- CN
- China
- Prior art keywords
- information
- ciphertext
- authorized user
- semi
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种数据处理方法、数据请求端、数据拥有端及数据处理装置,方法包括:获取信息并分块加密生成标准密文,构建集成访问策略树并加密会话密钥生成会话密钥密文,构建共享信息摘要并上链存储,从IPFS中下载密文;判断用户是否为半授权用户;若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述密文进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整信息。本申请通过设置授权用户和半授权用户,使得授权用户出现意外,而不能及时的解密信息时,也可以通过半授权用户合作解密提高信息的可用性,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,保证信息完整性。
Description
技术领域
本发明涉及区块链技术领域,特别涉及一种数据处理方法、数据请求端、数据拥有端及数据处理装置。
背景技术
区块链以其去中心化、公开透明、不可篡改的特性,成为了代替中心化的可信实体、实现网络成员在低信任或无信任网络中进行数据可信交易的可靠选择。然而由于区块链公开透明的特性,在面对隐私信息传输的情况时,隐私信息的机密性遭到了极大的打击,为此众多学者将区块链与密码学进行结合,提出了许多基于密码学和区块链的信息保护方案。
属性基加密(Attribute-Based Encryption, ABE),是近年来密码学领域研究热点之一,利用属性基加密可以实现数据一对多的安全传输和细粒度的访问控制。密文策略属性基加密(Ciphertext-Policy ABE,CP-ABE)方案, 允许数据拥有者制定灵活的访问策略,更能够满足在解密方无法确定的情况下对数据进行加密传输和访问控制。
现有的基于区块链和属性基加密的信息保护方案主要是以传统属性基加密技术实现,它旨在保护区块链信息传输中的机密性和细粒度的访问控制,并没有对信息的可用性和完整性进行有效的保护,具体的,现有技术方案在面对被授权解密的用户因网络中断,设备损坏,个人原因等情况,不能及时的解密信息的情况,并且对于用户的解密结果现有技术方案无法进行及时的公开验证,无法有效应对解密用户不诚信的情况。
发明内容
基于此,本发明的目的是提供一种数据处理方法、数据请求端、数据拥有端及数据处理装置,用于解决现有技术中当被授权解密的用户因网络中断、设备损坏或者个人原因等情况而不能及时的解密信息以及解密用户不诚信的情况。
本发明一方面提供一种数据处理方法,应用于数据请求端,所述数据请求端设有数据请求者,所述数据请求者包括授权用户及半授权用户,所述方法包括:
获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT;
判断用户是否为半授权用户;
若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密;
根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
另外,根据本发明上述的数据处理方法,还可以具有如下附加的技术特征:
进一步地,判断用户是否为半授权用户的步骤之后还包括:
若用户为授权用户,则授权用户的属性集S满足集成访问策略树的根节点以使授权用户通过恢复授权会话密钥并将加密信息完整解密。
进一步地,授权用户通过恢复完整的会话密钥并将加密信息完整解密的步骤包括:
通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥;
通过运行对称解密算法输入授权会话密钥对其对应标准密文进行解密以获得明文信息。
本发明一方面还提供一种数据处理方法,应用于数据拥有端,所述数据拥有端设有数据拥有者,所述方法包括:
获取明文信息M,并对明文信息M进行分块处理以获取明文信息分块,使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C,并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT;
将所述标准密文C和会话密钥密文CT存储至IPFS系统中,并得到具有唯一性的哈希地址以构建共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储。
另外,根据本发明上述的数据处理方法,还可以具有如下附加的技术特征:
进一步地,在使用会话密钥对所述明文信息M进行对称加密以构建标准密文C,并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT的步骤中,会话密钥加密的方法包括:
选取属性制定复合访问策略以构建单调的属性布尔表达式,并通过集成访问策略树生成算法,构建由门限节点、层级节点和属性节点组成的集成访问策略树,为每个层级节点选取一随机秘密值,以计算会话密钥密文CT。
进一步地,在获取明文信息M前,所述方法还包括:
执行系统公共参数生成算法以获得系统公钥PK和系统主密钥MK;
当数据请求者向系统注册身份时,执行属性密钥生成算法为用户创建一属性密钥SK;
通过由安全传输协议TLS实现的安全信道将所述属性密钥SK发送给数据请求者保存以完成数据初始化。
进一步地,获取明文信息M,使用会话密钥对所述明文信息M进行对称加密以构建标准密文C的步骤包括:
获取明文信息M,对所述明文信息M进行分块处理,以得到信息分块;
通过对称加密算法加密明文信息M及其信息分块以获得对称密文集合E;
通过标准密文生成算法构建信息分块哈希摘要H(M)并连接对称密文集合E与对称密文哈希摘要集合H(E)以生成标准密文C;
定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT的步骤包括:
选取属性制定复合访问策略以构建单调的属性布尔表达式字符串;
通过属性布尔表达式字符串运行集成访问策略树生成算法生成一集成访问策略树;
通过会话密钥加密算法输入集成访问策略树、公钥PK加密会话密钥以获得会话密钥密文CT。
本发明另一方面提供一种数据请求端,所述数据请求端设有数据请求者,所述数据请求者包括授权用户及半授权用户,所述数据请求端包括:
获取模块,用于获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT;
判断模块,用于判断用户是否为半授权用户;
第一执行模块,用于若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密;
验证模块,根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
本发明另一方面还提供一种数据拥有端,所述数据拥有端设有数据拥有者,所述数据拥有端包括:
构建模块,用于获取明文信息M,并对明文信息M进行分块处理以获取明文信息分块,使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C,并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT;
存储模块,用于将所述标准密文C和会话密钥密文CT存储至IPFS系统中,并得到具有唯一性的哈希地址以构建共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储。
本发明另一方面还提供一种数据处理装置,包括:
数据拥有端,包括数据拥有者,用于将信息分块并使用会话密钥进行对称加密,构建标准密文,并定义访问结构执行加密算法将会话密钥进行加密,构建密钥密文,最后将密文存储至IPFS系统,生成共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储;
数据请求端,包括数据请求者,用于从IPFS系统中下载密文以对密文进行解密,所述数据拥有者包括授权用户和半授权用户,授权用户满足访问结构的根节点可以恢复授权会话密钥,半授权用户只能满足访问结构的某个层级节点故只能和其他半授权用户合作恢复完整的信息;
用户代表,用户代表由数据请求者选举产生主要负责调用Verify智能合约验证解密后的信息是否真实可信,并将验证结果公布到区块链系统中;
星际文件系统IPFS,采用IPFS作为存储平台,保证了标准密文的安全可信,并且将密文脱链存储将节省大量的链上空间;
区块链网络,用于确保IPFS哈希地址和验证结果的可信存储和可追溯,并且分布式的区块链网络还用于提高整个系统的健壮性。
上述数据处理方法、数据请求端、数据拥有端及数据处理装置,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
附图说明
图1为本发明实施例中数据处理装置的整体架构图;
图2为本发明第一实施例中的数据处理方法流程图;
图3为本发明第二实施例中的数据处理方法流程图;
图4为本发明实施例中会话密钥加密原理示意图;
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的若干实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
为了解决现有技术中当被授权解密的用户因网络中断、设备损坏或者个人原因等情况而不能及时的解密信息和解密用户不诚信的情况,本申请提供一种数据处理方法、数据请求端、数据拥有端及数据处理装置,包含了数据拥有者、数据请求者和用户代表三个实体结构,以及IPFS、联盟链两种系统结构,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
具体的,请参阅图1,数据拥有者将标准密文上传到IPFS中,上传成功后,数据拥有者将得到具有唯一性的哈希地址,然后将数据拥有者的用户编号、哈希地址及其他信息构建共享信息摘要通过UploadBC合约生成交易然后由区块链网络中各节点共识后,产生新的区块,并将最新生成的区块追加到链尾。数据请求者通过智能合约查询数据拥有者分享的共享信息摘要,得到哈希地址,通过哈希地址从IPFS中下载标准密文。然后授权用户执行解密算法获得明文信息,半授权用户则各自运行解密算法并得到一部分的明文信息,然后选举出用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
请参阅图1,展示了本专利的各个阶段,包括初始化、信息加密及上传、解密、验证四个阶段。
在初始化阶段,首先由数据拥有者执行系统公共参数生成算法,获得系统公钥PK。
PK=(p,G,G T ,H,g,y=g α,e(g,g)β)(1)
系统主密钥MK。
MK=(gβ,α)(2)
其中G和G T是两个阶为p的乘法循环群,p是随机素数,g是G的生成元,且g是随机数,α和β是Z p中的两个随机元素,Z p为小于素数p的自然数的集合,e:G×G→G T是一个双线性映射,将G中的两个元素映射到G T,H是一个抗合谋哈希函数,可以将任意字符串描述的属性映射为一个随机的群元素。
数据请求者向系统注册身份时,数据拥有者执行属性密钥生成算法,为信息用户创建一个属性密钥SK。
其中r(r∈Z p)是一个随机元素,每一个属性集合元素j(j∈S)对应一个随机元素r j(r j∈Z p),S是用户的属性集合。
最后通过由安全传输协议TLS实现的安全信道将属性密钥发送给数据请求者保存,初始化阶段完成后,系统已经准备就绪,然后进入信息加密及上传阶段。
在信息加密及上传阶段,数据拥有者想要共享信息M,系统首先将信息M进行分块处理,得到k个信息分块,其中k由集成访问策略树中的层级节点的数量决定,即m={m 0,m 1,…,m k},m 0为明文信息M,其余为M的信息分块,为防止用户串谋,随机选取G T中元素作为会话密钥,即ck={ck 0 , ck 1 ,…, ck k},数据拥有者使用高效的对称加密算法加密m获得对称密文集合E={E m0,E m1,…,E mk},然后调用标准密文生成算法,生成标准密文C={C 0,C 1,…,C k}。
然后数据拥有者使用加密算法,对会话密钥ck进行加密生成会话密钥密文CT。具体的,执行公式(4)计算得到会话密钥密文CT。
其中T是集成访问策略树,s i是Z p中的随机元素,q x是节点秘密值,q x∈Z p,x为属性节点即集成访问策略树的叶子节点,Y是所有属性节点的集合,at是一个函数,作用是将属性节点映射到属性字符。
然后数据拥有者上传标准密文C和会话密钥密文CT到IPFS中,将返回的哈希地址,数据拥有者的用户编号及其他信息构建共享信息摘要通过智能合约UploadBC生成交易,经过区块链节点共识后生成区块。完成信息加密及上传后,共享信息摘要将永久存储至区块链节点的账本中,无法篡改,接下来进入解密阶段。
在解密阶段,数据请求者首先执行智能合约Query查询到存储在区块链中的共享信息摘要,通过公共网关下载存储在IPFS中的标准密文C和会话密钥密文CT。然后执行解密算法。
首先定义一个递归节点秘密恢复函数RecoverNode(CT,SK,x)。向函数输入会话密钥密文CT,用户属性密钥SK和节点x,如果节点x是一个叶子节点且at(x)∉S,RecoverNode(CT,SK,x)=⊥,⊥代表恢复失败,若at(x)∈S,则RecoverNode(CT,SK, x)计算过程如公式(5)所示。
如果节点x是非叶子节点,对x选择任意满足门限阈值个数的孩子节点ω,计算RecoverNode(CT,SK,ω)=RN ω,将计算结果RN ω ≠⊥的孩子节点组成集合B x,设U’={u ω:ω∈B x},则节点x多项式插值结果。
然后执行公式(7)计算会话密钥ck i。
对于授权用户的属性集S可以满足集成访问策略树的根节点,通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥ck 0,并解密其对应的标准密文中的授权密文C0,获得完整明文信息M。对于半授权用户仅仅可以满足部分层级节点故只能计算出所满足节点的秘密值,解密一部分的会话密钥和明文信息,所以需要和其他半授权用户合作解密出完整的会话密钥,最后通过所有信息分块恢复完整的明文信息M。完成解密后由半授权用户投票选举产生用户代表,对半授权用户解密结果执行公开验证算法。
在公开验证阶段,用户代表调用验证合约,算法通过指针剪切标准密文,获得密文与明文的数字摘要,然后与明文数字摘要集合进行对比,如果存在信息数字摘要不相等的情况则该半授权用户不诚实返回其用户编号和验证结果,如果算法返回值为null则代表所有用户的解密结果为诚实可信的,该信息为正确信息。
算法执行完毕后验证结果将永久保存到区块链网络中,因为区块链具有不可篡改、公开透明、可溯源的特点,验证合约是部署在区块链上的可信代码,所以验证结果真实可信。
以一家公司的重要数据保护为例对本专利的技术进行讲解。在公司内部搭建联盟链网络,并将员工控制的终端以对等节点的形式加入到联盟链之中。
初始化阶段,由公司核心成员生成系统公私密钥对,将系统公钥发布给每一个成员,然后为公司每个员工注册属性密钥,系统初始化完成后所有用户拥有系统公钥和属性密钥。
然后在信息加密及上传阶段,工作完成后部门主管将本部门的重要数据进行分块处理,获得重要数据的信息分块使用对称加密算法对重要数据及其信息分块进行加密生成密文,进一步构建标准密文C,然后将选取的随机会话密钥使用系统公钥和构造的集成访问策略树进行加密生成密文CT,集成访问策略树的构造为部门主管(授权用户)满足根节点,部门成员(半授权用户)分别满足部分层级节点,之后将标准密文C与密文CT上传到IPFS中,IPFS会返回哈希地址给部门主管,然后部门主管将哈希地址、工号、描述、时间戳构建为共享信息摘要通过智能合约产生交易存储到区块链节点的账本中。
然后在解密阶段,公司成员可以通过智能合约查询到存储在区块链节点账本上的哈希地址并通过哈希地址从IPFS中下载密文。如果部门主管在岗,重要数据可由部门主管使用属性密钥解密,若遇到紧急情况需要本部门重要数据,而部门主管此时不在公司,无法及时解密,此时将由满足部分集成访问策略树中层级节点的部门成员使用各自的属性密钥进行合作解密。
然后为了保证部门成员解密结果是可信的,在验证阶段,由在场人员投票选举出用户代表,执行验证合约将半授权用户解密结果的哈希值与存储在IPFS中的标准密文中的明文哈希进行比较,并将验证结果存储在区块链节点的账本中。
为了便于理解本发明,下面将给出了本发明的若干实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
实施例一
请参阅图2,所示为本发明第一实施例中的数据处理方法,应用于数据请求端,数据请求端设有数据请求者,数据请求者包括授权用户及半授权用户,方法包括步骤S101-S104:
S101、获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT。
S102、判断用户是否为半授权用户。
若用户为半授权用户,则执行步骤S103;
若用户为授权用户,则执行步骤S105;
S103、每一半授权用户各自运行解密算法以对标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对标准密文C完成解密。
S104、根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
S105、授权用户的属性集S满足集成访问策略树的根节点以使授权用户通过恢复授权会话密钥并将加密信息完整解密。
具体的,通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥,然后通过运行对称解密算法输入授权会话密钥对其对应标准密文进行解密以获得明文信息。
在系统构造上,本专利将数据请求者分为授权用户、半授权用户、用户代表,分别执行解密、合作解密、验证操作,提高了信息的可用性和完整性。而现有方案中只有单一的用户角色。通过授权用户和半授权用户结合的方式,避免因为授权用户出现意外而造成无法获取信息的情况,保护了信息的可用性。
综上,本发明上述实施例当中的数据处理方法,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
实施例二
请参阅图3,所示为本发明第二实施例中的数据处理方法,应用于数据拥有端,数据拥有端设有数据拥有者,方法包括步骤S201-S202:
S201、获取明文信息M,并对明文信息M进行分块处理以获取明文信息分块,使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C,并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT。
作为一个具体示例,获取明文信息M,对所述明文信息M进行分块处理,以得到信息分块;通过对称加密算法加密明文信息M及其信息分块以获得对称密文集合E;通过标准密文生成算法构建信息分块哈希摘要H(M)并连接对称密文集合E与对称密文哈希摘要集合H(E)以生成标准密文C;进一步地,通过选取属性制定复合访问策略以构建单调的属性布尔表达式,并通过集成访问策略树生成算法,构建由门限节点、层级节点和属性节点组成的集成访问策略树,为每个层级节点选取一随机秘密值,通过所述会话密钥加密算法输入所述集成访问策略树和公钥PK加密会话密钥以获得会话密钥密文CT。
在获取明文信息M前,方法还包括:
执行系统公共参数生成算法以获得系统公钥PK和系统主密钥MK;当数据请求者向系统注册身份时,执行属性密钥生成算法为用户创建一属性密钥SK;通过由安全传输协议TLS实现的安全信道将属性密钥SK发送给数据请求者保存以完成数据初始化。
S202、将标准密文C和会话密钥密文CT存储至IPFS系统中,并得到具有唯一性的哈希地址以构建共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储。
请参见图4,在本申请中,由数据拥有者首先构造出集成访问策略树,图中是一个三层集成访问策略树,其中椭圆节点为门限节点∧为与门,∨为或门,矩形节点为属性节点,其中WG、SWE、BG、SBE、DM为用户属性的内容。m为明文信息,m 1、m 2为明文m的重要组成部分,然后执行本方案所设计的加密算法生成密文CT。
在现有方案中,直接使用属性基加密算法加密信息,采用传统的访问策略树,只能实现授权用户的解密,并且没有验证环节。本专利先通过对称加密算法对明文加密,然后构造了集成访问策略树,实现授权用户的单独解密和半授权用户的合作解密,并且加入验证算法验证用户解密的真实性,效率更高,信息完整性得到更为有效保护。通过改进的属性基加密算法,既保留了原属性基加密算法可以实现细粒度访问控制的优点,又通过与对称加密算法相结合,提高了加解密效率,保护了信息的机密性,又引入上传、查询、验证合约,保证了用户解密结果的真实可信,保护了信息的完整性。
综上,本发明上述实施例当中的数据处理方法,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
实施例三
本发明第三实施例提供一种数据请求端,设有数据请求者,数据请求者包括授权用户及半授权用户,数据请求端包括:
获取模块,用于获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT;
判断模块,用于判断用户是否为半授权用户;
第一执行模块,用于若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密;
验证模块,根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
综上,本发明上述实施例当中的数据请求端,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
实施例四
本发明第四实施例提供一种数据拥有端,设有数据拥有者,数据拥有端包括:
构建模块,用于获取明文信息M,并对明文信息M进行分块处理以获取明文信息分块,使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C,并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT;
存储模块,用于将所述标准密文C和会话密钥密文CT存储至IPFS系统中,并得到具有唯一性的哈希地址以构建共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储。
综上,本发明上述实施例当中的数据拥有端,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
实施例五
本发明第五实施例提供一种数据处理装置,包括:
数据拥有端,包括数据拥有者,用于将信息分块并使用会话密钥进行对称加密,构建标准密文,并定义访问结构执行加密算法将会话密钥进行加密,构建密钥密文,最后将密文存储至IPFS系统,生成共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储;
数据请求端,包括数据请求者,用于从IPFS系统中下载密文以对密文进行解密,所述数据拥有者包括授权用户和半授权用户,授权用户满足访问结构的根节点可以恢复授权会话密钥,半授权用户只能满足访问结构的某个层级节点故只能和其他半授权用户合作恢复完整的信息;
用户代表,用户代表由数据请求者选举产生主要负责调用Verify智能合约验证解密后的信息是否真实可信,并将验证结果公布到区块链系统中;
星际文件系统IPFS,采用IPFS作为存储平台,保证了标准密文的安全可信,并且将密文脱链存储将节省大量的链上空间;
区块链网络,用于确保IPFS哈希地址和验证结果的可信存储和可追溯,并且分布式的区块链网络还用于提高整个系统的健壮性。
综上,本发明上述实施例当中的数据处理装置,通过拥有授权用户和半授权用户,使得即使授权用户出现意外,比如网络中断、设备损坏或者个人原因等而不能及时的解密信息,也可以通过半授权用户合作解密提高信息的可用性;由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享,使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制,并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证,使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置,保证了信息的完整性。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (5)
1.一种数据处理方法,其特征在于,应用于数据请求端,所述数据请求端设有数据请求者,所述数据请求者包括授权用户及半授权用户,所述方法包括:
获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT;
判断用户是否为半授权用户;
若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密;
根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
2.根据权利要求1所述的数据处理方法,其特征在于,判断用户是否为半授权用户的步骤之后还包括:
若用户为授权用户,则授权用户的属性集S满足集成访问策略树的根节点以使授权用户通过恢复授权会话密钥并将加密信息完整解密。
3.根据权利要求2所述的数据处理方法,其特征在于,授权用户通过恢复授权会话密钥并将加密信息完整解密的步骤包括:
通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥;
通过运行对称解密算法输入授权会话密钥对其对应标准密文进行解密以获得明文信息。
4.一种数据请求端,其特征在于,所述数据请求端设有数据请求者,所述数据请求者包括授权用户及半授权用户,所述数据请求端包括:
获取模块,用于获取数据拥有者存储在区块链中的共享信息摘要,通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT;
判断模块,用于判断用户是否为半授权用户;
第一执行模块,用于若用户为半授权用户,则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密;
验证模块,根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。
5.一种数据处理装置,其特征在于,包括:
数据拥有端,包括数据拥有者,用于将信息分块并使用会话密钥进行对称加密,构建标准密文,并定义访问结构执行加密算法将会话密钥进行加密,构建密钥密文,最后将密文存储至IPFS系统,生成共享信息摘要,并调用UploadBC智能合约将共享信息摘要上链存储;
数据请求端,包括数据请求者,用于从IPFS系统中下载密文以对密文进行解密,所述数据拥有者包括授权用户和半授权用户,授权用户满足访问结构的根节点可以恢复授权会话密钥,半授权用户只能满足访问结构的某个层级节点故只能和其他半授权用户合作恢复完整的信息;
用户代表,用户代表由数据请求者选举产生主要负责调用Verify智能合约验证解密后的信息是否真实可信,并将验证结果公布到区块链系统中;
星际文件系统IPFS,采用IPFS作为存储平台,保证了标准密文的安全可信,并且将密文脱链存储将节省大量的链上空间;
区块链网络,用于确保IPFS哈希地址和验证结果的可信存储和可追溯,并且分布式的区块链网络还用于提高整个系统的健壮性;
其中,半授权用户只能满足访问结构的某个层级节点故只能和其他半授权用户合作恢复完整的信息的步骤包括:
用户各自运行解密算法以对所述标准密文C 和会话密钥密文CT 进行解密而得到部分明文信息,根据多个部分明文信息合作恢复得到完整明文信息M 以对所述标准密文C 完成解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310349440.7A CN116155619B (zh) | 2023-04-04 | 2023-04-04 | 数据处理方法、数据请求端、数据拥有端及数据处理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310349440.7A CN116155619B (zh) | 2023-04-04 | 2023-04-04 | 数据处理方法、数据请求端、数据拥有端及数据处理装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116155619A CN116155619A (zh) | 2023-05-23 |
CN116155619B true CN116155619B (zh) | 2023-07-07 |
Family
ID=86373854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310349440.7A Active CN116155619B (zh) | 2023-04-04 | 2023-04-04 | 数据处理方法、数据请求端、数据拥有端及数据处理装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116155619B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113360925A (zh) * | 2021-06-04 | 2021-09-07 | 中国电力科学研究院有限公司 | 电力信息物理系统中可信数据的存储和访问方法及系统 |
CN113595971A (zh) * | 2021-06-02 | 2021-11-02 | 云南财经大学 | 一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质 |
CN115567247A (zh) * | 2022-08-31 | 2023-01-03 | 西安电子科技大学 | 一种去中心化的多权威隐私保护数据访问控制方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850224B (zh) * | 2017-04-13 | 2021-02-12 | 桂林电子科技大学 | 一种私钥定长的密文策略属性基加密方法 |
CN107979590B (zh) * | 2017-11-02 | 2020-01-17 | 财付通支付科技有限公司 | 数据共享方法、客户端、服务器、计算设备及存储介质 |
CN111316303B (zh) * | 2019-07-02 | 2023-11-10 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
CN110768790A (zh) * | 2019-09-06 | 2020-02-07 | 深圳壹账通智能科技有限公司 | 数据安全授权访问方法、装置、设备及存储介质 |
CN111400728A (zh) * | 2020-03-05 | 2020-07-10 | 北京金山云网络技术有限公司 | 应用于区块链的数据加密解密方法及装置 |
CN111523133B (zh) * | 2020-04-24 | 2023-05-09 | 远光软件股份有限公司 | 一种区块链与云端数据协同共享方法 |
CN112182609B (zh) * | 2020-09-25 | 2024-02-02 | 中国建设银行股份有限公司 | 基于区块链的数据上链存储方法和追溯方法、装置及设备 |
CN112910840B (zh) * | 2021-01-14 | 2022-04-05 | 重庆邮电大学 | 一种基于联盟区块链的医疗数据存储共享方法及系统 |
CN113343286B (zh) * | 2021-08-05 | 2021-11-23 | 江西农业大学 | 一种数据加解密方法、数据上传端、数据接收端及系统 |
CN113761594B (zh) * | 2021-09-09 | 2024-04-09 | 安徽师范大学 | 一种基于身份的三方可认证密钥协商和数据共享方法 |
CN114065265B (zh) * | 2021-11-29 | 2024-04-16 | 重庆邮电大学 | 基于区块链技术的细粒度云存储访问控制方法、系统及设备 |
CN114338717A (zh) * | 2021-12-17 | 2022-04-12 | 复旦大学 | 基于区块链和属性密码学的数字档案管理系统 |
-
2023
- 2023-04-04 CN CN202310349440.7A patent/CN116155619B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113595971A (zh) * | 2021-06-02 | 2021-11-02 | 云南财经大学 | 一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质 |
CN113360925A (zh) * | 2021-06-04 | 2021-09-07 | 中国电力科学研究院有限公司 | 电力信息物理系统中可信数据的存储和访问方法及系统 |
CN115567247A (zh) * | 2022-08-31 | 2023-01-03 | 西安电子科技大学 | 一种去中心化的多权威隐私保护数据访问控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116155619A (zh) | 2023-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Blockchain-based personal health records sharing scheme with data integrity verifiable | |
CN111639361B (zh) | 一种区块链密钥管理方法、多人共同签名方法及电子装置 | |
US10404455B2 (en) | Multiple-phase rewritable blockchain | |
CN112019591B (zh) | 一种基于区块链的云数据共享方法 | |
Fan et al. | TraceChain: A blockchain‐based scheme to protect data confidentiality and traceability | |
CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
CN114826703B (zh) | 基于区块链的数据搜索细粒度访问控制方法及系统 | |
CN116957790A (zh) | 一种实现区块链上交换的通证化方法及系统 | |
CN112784306B (zh) | 一种基于密钥分片多签的跨链托管方法及系统 | |
CN109428892B (zh) | 多阶段可重写区块链 | |
CN111523133A (zh) | 一种区块链与云端数据协同共享方法 | |
CN111819817A (zh) | 针对基于双线性映射累加器的授权的区块链实现的方法和系统 | |
CN114039790A (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
CN115603934A (zh) | 基于区块链的多用户可搜索加密方法和装置 | |
CN114710370B (zh) | 基于雾区块链和属性加密的细粒度访问控制方法及系统 | |
Li et al. | Traceable Ciphertext‐Policy Attribute‐Based Encryption with Verifiable Outsourced Decryption in eHealth Cloud | |
CN113434875A (zh) | 一种基于区块链的轻量化访问方法及系统 | |
CN114650137A (zh) | 一种基于区块链的支持策略隐藏的解密外包方法及系统 | |
Gan et al. | Efficient and secure auditing scheme for outsourced big data with dynamicity in cloud | |
Zhang et al. | Efficient auditing scheme for secure data storage in fog-to-cloud computing | |
CN117454442A (zh) | 匿名安全和可追溯的分布式数字取证方法与系统 | |
CN112437069A (zh) | 基于分布式密钥管理的区块链编辑方法 | |
CN116155619B (zh) | 数据处理方法、数据请求端、数据拥有端及数据处理装置 | |
CN114244567B (zh) | 一种云环境中支持电路结构的cp-abe方法 | |
Zheng et al. | A Secure and Trusted Data Sharing Scheme Based on Blockchain for Government Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |