CN116346318A - 数据共享方法、共享装置、处理器及其系统 - Google Patents
数据共享方法、共享装置、处理器及其系统 Download PDFInfo
- Publication number
- CN116346318A CN116346318A CN202211732571.5A CN202211732571A CN116346318A CN 116346318 A CN116346318 A CN 116346318A CN 202211732571 A CN202211732571 A CN 202211732571A CN 116346318 A CN116346318 A CN 116346318A
- Authority
- CN
- China
- Prior art keywords
- key
- node
- service information
- public key
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000006243 chemical reaction Methods 0.000 claims abstract description 58
- 238000004422 calculation algorithm Methods 0.000 claims description 76
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 description 38
- 238000005516 engineering process Methods 0.000 description 10
- 238000013475 authorization Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 3
- MIVWVMMAZAALNA-IJLUTSLNSA-N SCB2 Chemical compound CCCCCCC[C@@H](O)[C@H]1[C@H](CO)COC1=O MIVWVMMAZAALNA-IJLUTSLNSA-N 0.000 description 2
- MIVWVMMAZAALNA-UHFFFAOYSA-N SCB2 Natural products CCCCCCCC(O)C1C(CO)COC1=O MIVWVMMAZAALNA-UHFFFAOYSA-N 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 239000004744 fabric Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Abstract
本申请提供了一种数据共享方法、共享装置、处理器及其系统。该方法包括:第一节点生成对称密钥,并采用对称密钥对第一业务信息进行对称加密,生成第一密文,第一业务信息为核心业务信息;第一节点通过区块链获取第一公钥,并采用第一公钥对对称密钥进行非对称加密,生成第一密钥密文;第一节点通过区块链获取第二节点上链的第二公钥,并基于第一公钥和第二公钥计算转换密钥,并至少将转换密钥上链,从而使得第二节点根据第二公钥解密第二密钥密文得到对称密钥,再通过对称密钥解密第一密文获取第一业务信息。该方法解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
Description
技术领域
本申请涉及区块链领域,具体而言,涉及一种数据共享方法、共享装置、计算机可读存储介质、处理器以及数据共享系统。
背景技术
在金融场景中存在一些敏感的业务数据,拥有这些敏感业务数据的机构仅对信任的机构公开这些敏感业务数据,对于非信任机构不公开这些敏感业务数据。在区块链系统中,可以实现这些数据的跨机构共享,但通过明文的方式进行共享存在一定的安全隐患。采用代理重加密技术,可以实现数据的有效共享,但是,对整个数据加密、共享流程的全链条监控不足。
因此,需要一种有效的解决方案,来提升金融场景中敏感业务数据在区块链中进行共享的安全性问题。
发明内容
本申请的主要目的在于提供一种数据共享方法、共享装置、计算机可读存储介质、处理器以及数据共享系统,以解决现有技术中在金融场景中敏感的业务信息在区块链中共享的安全性不高的问题。
根据本发明实施例的一个方面,提供了一种数据共享方法,应用在区块链的节点上,所述数据共享方法包括:第一节点生成对称密钥,并采用所述对称密钥对第一业务信息进行对称加密,生成第一密文,所述第一业务信息为核心业务信息,其中,所述第一节点为业务信息的拥有方,所述业务信息包括所述第一业务信息和第二业务信息,所述第二业务信息为可公开业务信息;第一节点通过区块链获取第一公钥,并采用所述第一公钥对所述对称密钥进行非对称加密,生成第一密钥密文;第一节点通过所述区块链获取第二节点上链的第二公钥,并基于所述第一公钥和所述第二公钥计算转换密钥,并至少将所述转换密钥上链,以使得第三节点根据所述转换密钥、所述第一公钥、所述第二公钥以及所述第一密钥密文,计算得到第二密钥密文,从而使得所述第二节点根据所述第二公钥解密所述第二密钥密文得到所述对称密钥,再通过所述对称密钥解密所述第一密文获取所述第一业务信息,其中,所述第二节点为所述业务信息的需求方,所述第三节点为代理重加密节点。
可选地,所述方法还包括:接收所述第二节点发送的请求信息,所述请求信息为请求获取所述第一业务信息的信息。
可选地,至少将所述转换密钥上链,包括:将所述第二节点的ID、所述第二节点对所述业务信息的签名上链。
可选地,所述方法还包括:根据其他节点的数字证书,生成初始转换密钥,所述其他节点为所述区块链上的节点,所述数字证书为所述数字证书的签发机构对节点的公钥的签名。
可选地,所述方法还包括:按照预定周期更新公钥和私钥,得到更新公钥和更新私钥,并获取更新数字证书;将所述更新数字证书、所述更新数字证书的有效期以及所述其他节点的数字签名上链。
可选地,所述方法还包括:根据所述更新数字证书、所述更新公钥以及所述更新私钥,对所述转换密钥进行更新,生成更新转换密钥,并将所述更新转换密钥上链。
可选地,所述对称加密可以采用包括以下算法至少之一:AES算法、SM4算法,所述非对称加密可以采用包括以下算法至少之一:RSA加密算法、椭圆曲线加密算法、SM2算法。
根据本发明实施例的另一方面,还提供了一种数据共享装置,所述装置包括:第一加密单元,用于第一节点生成对称密钥,并采用所述对称密钥对第一业务信息进行对称加密,生成第一密文,所述第一业务信息为核心业务信息,其中,所述第一节点为业务信息的拥有方,所述业务信息包括所述第一业务信息和第二业务信息,所述第二业务信息为可公开业务信息;第二加密单元,用于所述第一节点通过区块链获取第一公钥,并采用所述第一公钥对所述对称密钥进行非对称加密,生成第一密钥密文;第三加密单元,用于所述第一节点通过所述区块链获取第二节点上链的第二公钥,并基于所述第一公钥和所述第二公钥计算转换密钥,并至少将所述转换密钥上链,以使得第三节点根据所述转换密钥、所述第一公钥、所述第二公钥以及所述第一密钥密文,计算得到第二密钥密文,从而使得所述第二节点根据所述第二公钥解密所述第二密钥密文得到所述对称密钥,再通过所述对称密钥解密所述第一密文获取所述第一业务信息,其中,所述第二节点为所述业务信息的需求方,所述第三节点为代理重加密节点。
根据本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,程序执行任意一种的方法。
根据本发明实施例的又一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种的方法。
根据本发明实施例的又一方面,还提供了一种数据共享系统,包括:一个或多个处理器,存储器以及一个或多个程序,其中,一个或多个程序被存储在存储器中,并且被配置为由一个或多个处理器执行,一个或多个程序包括用于执行任意一种的方法。
在本发明实施例中,采用分级加密的方式,对第一业务信息进行加密上链,对第二业务信息不加密上链;采用对称加密和非对称加密二层加密的方式对第一业务信息进行加密,达到了数据需求方仅能获取密文不能获取明文的目的,从而实现了业务信息在不同节点之间进行安全共享的技术效果,进而解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了根据本申请的一种数据共享方法的实施例的流程示意图;
图2示出了根据本申请的一种数据共享方法的实施例的区块链数据共享流程示意图;
图3示出了根据本申请的一种数据共享方法的实施例的区块链节点示意图;
图4示出了根据本申请的一种数据共享方法的实施例的数据共享整体流程示意图;
图5示出了根据本申请的一种数据共享方法的实施例的装置示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
正如背景技术中所说的,现有技术中的在金融场景中敏感的业务信息在区块链中无法安全有效的共享,为了解决上述问题,本申请的一种典型的实施方式中,提供了一种数据共享方法、共享装置、计算机可读存储介质、处理器以及数据共享系统。
根据本申请的实施例,提供了一种数据共享方法。
图1是根据本申请实施例的数据共享方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,第一节点生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文,上述第一业务信息为核心业务信息,其中,上述第一节点为业务信息的拥有方,上述业务信息包括上述第一业务信息和第二业务信息,上述第二业务信息为可公开业务信息;
上述方法中,生成的对称密钥可以为随机对称密钥,上述利用对称密钥进行对称加密的方式可以快速对业务信息进行加密,计算量小,减少等待时间。上述核心信息为在金融场景中的一些敏感的业务数据,拥有这些敏感业务数据的机构仅对信任的机构公开这些敏感业务数据,对于非信任机构不公开这些敏感业务数据。
步骤S102,第一节点通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文;
上述方法中,区块链是一种在对等网络环境下,由多方共同维护并通过密码技术、点对点网络、共识机制、块链式数据结构等多种技术手段,实现数据一致存储、防篡改、防抵赖的技术体系。在区块链系统中,可以实现第一业务信息的跨机构共享,但通过明文的方式进行共享存在一定的安全隐患。采用代理重加密技术,可以实现数据的有效共享,但是,对整个数据加密、共享流程的全链条监控不足。上述采用一公钥对上述第一密文进行非对称加密的方式,进一步提升了业务信息共享的安全性。上述第一公钥对应的节点为区块链上的任意节点。上述区块链系统可以采用现有的联盟链框架实现,例如Fisco BCOS、Hyperledger Fabric、长安链等。
步骤S103,第一节点通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息,其中,上述第二节点为上述业务信息的需求方,上述第三节点为代理重加密节点。
上述方法中,采用上述第二公钥对上述第一密文进行非对称加密的方式进一步提升了业务信息共享的安全性。上述第二公钥对应的节点为区块链上的任意节点。上述方法中,由于第二业务信息为可公开业务信息,主要包括:数据的id、基本描述信息以及时间信息等通用信息,该信息无需加密直接上链,可以使区块链上的节点机构快速获取这些可公开业务信息,可以提高效率。上述第二密文的上链形式可以为信息元组的形式,例如:[第二业务信息,第一密钥,第二密钥,第一密文,数字签名],也可以采用其他的形式。上述方法可以使区块链链上的数据只能由业务信息拥有方和需求方两个组织进行解密读取,其他组织只能获取密文,无法解析处明文,进一步提升了数据共享的安全性。
在本发明实施例中,采用分级加密的方式,对第一业务信息进行加密上链,对第二业务信息不加密上链;采用对称加密和分对称加密二层加密的方式对第一业务信息进行加密,达到了数据需求方仅能获取密文不能获取明文的目的,从而实现了业务信息在不同节点之间进行安全共享的技术效果,进而解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为了进一步提升金融场景下敏感数据共享的安全性,本申请的一种具体的实施例中,上述方法还包括:接收上述第二节点发送的请求信息,上述请求信息为请求获取上述第一业务信息的信息。上述方法中,第二节点为具有信息需求权限或经过信息拥有方许可的信任机构。上述第二节点可以为其他数据需求方或监管方。上述方法中,可以利用区块链上的半信任节点,也可以将该节点独立成为代理重加密节点,用于进行代理重加密。上述方法通过引入代理重加密技术,对业务数据进行划分,通过与本地证书签发机构协作,可以实现多个机构间共享数据的有限知悉范围及授权定向共享,依托区块链系统共享密文业务数据以及对所有操作流程进行存证监督。数据共享整体流程如图2所示,数据拥有方即组织A将数据机密上链,监管方发送信息共享请求信息,组织A接收信息共享请求信息并将授权信息上链,代理重加密节点接收授权信息,并通过代理重加密算法授权信息转换为转换信息,监管方获取转换信息进行解密。
本申请的另一种具体的实施例中,至少将上述转换密钥上链,包括:将上述第二节点的ID、上述第二节点对上述业务信息的签名上链。上述方法中,除了将转换密钥上链,还可以将第二节点的ID、上述第二节点对上述业务信息的签名上链。上述方法可以进一步提升金融场景下敏感数据共享的安全性。
本申请的另一种具体的实施例中,上述方法还包括:根据其他节点的数字证书,生成初始转换密钥,上述其他节点为上述区块链上的节点,上述数字证书为上述数字证书的签发机构对节点的公钥的签名。上述方法中,初始转换密钥的获取之前需要进行系统配置,区块链上各参与组织机构节点,生成非对称密钥对,从本地证书的签发机构获取自己的身份证书。启动区块链系统,设置参与组织配置,接收各个参与方的角色证书。各个组织通过区块链接入程序连接区块链系统。各组织根据其他组织证书,生成多个对应的初始重加密密钥,并将节点id和初始重加密密钥推送上链,同时附带本机构签名。区块链节点如图3所示,包括信息拥有方、信息需求方、监管方、本地证书签发机构、监管方、代理重加密节点等。整体流程图如图4所示,首先系统启动及准备阶段,进行系统准备并生成数字证书加入区块链,生成重加密密钥并上链。数据信息上传阶段进行数据分级加密处理并上链存储。最后,数据共享阶段,发起申请,进行授权,采用代理重加密算法,最终实现数据密文共享。
本申请的又一种具体的实施例中,上述方法还包括:按照预定周期更新公钥和私钥,得到更新公钥和更新私钥,并获取更新数字证书;将上述更新数字证书、上述更新数字证书的有效期以及上述其他节点的数字签名上链。上述方法中,每经过1个月或其他的时间周期,重新生成公私钥,区块链上各组织向本地证书签发机构获取新证书,将组织id、证书有效期、证书信息推送上链,附带本机构签名。进而,原有证书失效,各组织采用新证书进行业务处理。通过上述定期更换组织证书和密钥的方法,可以提升信任节点进行加密解密的安全性。
本申请的又一种具体的实施例中,上述方法还包括:根据上述更新数字证书、上述更新公钥以及上述更新私钥,对上述转换密钥进行更新,生成更新转换密钥,并将上述更新转换密钥上链。上述方法中,每经过1个月或其他的时间周期,区块链上各组织向本地证书签发机构获取新证书,根据新的机构证书、更新公钥以及更新私钥生成第二更新重加密密钥并推送到代理运算节点。通过上述更新重加密密钥的方法,可以降低半信任计算节点即代理重加密节点的潜在风险。
本申请的再一种具体的实施例中,上述对称加密可以采用包括以下算法至少之一:AES算法、SM1算法,上述非对称加密算法可以采用包括以下算法至少之一:RSA加密算法、椭圆曲线加密算法、SM2算法。上述方法中,AES算法(Advanced Encryption Standard,高级加密标准),又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。AES支持三种长度的密钥,包括:128位,192位,256位。SM1算法(SM1 cryptographic algorithm,商密1号算法),亦称SCB2算法,是由国家密码管理局编制的一种商用密码分组标准对称算法。该算法是国家密码管理部门审批的SM1分组密码算法,分组长度和密钥长度都为128比特,该算法不公开,仅以IP核的形式存在于芯片中。RSA算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的一种非对称加密算法,该密钥的安全长度至少为1024位。椭圆曲线加密算法是基于椭圆曲线数学理论实现的一种非对称加密算法。SM2算法是即国家商用密码算法,是由国家密码管理局认定和公布的密码算法标准及其应用规范,其中部分密码算法已经成为国际标准。对称加密算法和非对称加密算法不限于上述算法,本领域技术人员也可以根据实际情况选择其他的对称加密算法或非对称加密算法。
本申请实施例还提供了一种数据共享装置,需要说明的是,本申请实施例的数据共享装置可以用于执行本申请实施例所提供的用于数据共享方法。以下对本申请实施例提供的数据共享装置进行介绍。
图5是根据本申请实施例的数据共享装置的示意图。如图5所示,该装置包括:
第一加密单元10,用于第一节点生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文,上述第一业务信息为核心业务信息,其中,上述第一节点为业务信息的拥有方,上述业务信息包括上述第一业务信息和第二业务信息,上述第二业务信息为可公开业务信息;
上述装置中,生成的对称密钥可以为随机对称密钥,上述利用对称密钥进行对称加密的方式可以快速对业务信息进行加密,计算量小,减少等待时间。上述核心信息为在金融场景中的一些敏感的业务数据,拥有这些敏感业务数据的机构仅对信任的机构公开这些敏感业务数据,对于非信任机构不公开这些敏感业务数据。
第二加密单元20,用于上述第一节点通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文;
上述装置中,区块链是一种在对等网络环境下,由多方共同维护并通过密码技术、点对点网络、共识机制、块链式数据结构等多种技术手段,实现数据一致存储、防篡改、防抵赖的技术体系。在区块链系统中,可以实现第一业务信息的跨机构共享,但通过明文的方式进行共享存在一定的安全隐患。采用代理重加密技术,可以实现数据的有效共享,但是,对整个数据加密、共享流程的全链条监控不足。上述采用一公钥对上述第一密文进行非对称加密的方式,进一步提升了业务信息共享的安全性。上述第一公钥对应的节点为区块链上的任意节点。上述区块链系统可以采用现有的联盟链框架实现,例如Fisco BCOS、Hyperledger Fabric、长安链等。
第三加密单元30,用于上述第一节点通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息,其中,上述第二节点为上述业务信息的需求方,上述第三节点为代理重加密节点。
上述装置中,采用上述第二公钥对上述第一密文进行非对称加密的方式进一步提升了业务信息共享的安全性。上述第二公钥对应的节点为区块链上的任意节点。上述装置中,由于第二业务信息为可公开业务信息,主要包括:数据的id、基本描述信息以及时间信息等通用信息,该信息无需加密直接上链,可以使区块链上的节点机构快速获取这些可公开业务信息,可以提高效率。上述第二密文的上链形式可以为信息元组的形式,例如:[第二业务信息,第一密钥,第二密钥,第一密文,数字签名],也可以采用其他的形式。上述方法可以使区块链链上的数据只能由业务信息拥有方和需求方两个组织进行解密读取,其他组织只能获取密文,无法解析处明文,进一步提升了数据共享的安全性。
上述装置采用分级加密的方式,对第一业务信息进行加密上链,对第二业务信息不加密上链;采用对称加密和分对称加密二层加密的方式对第一业务信息进行加密,达到了数据需求方仅能获取密文不能获取明文的目的,从而实现了业务信息在不同节点之间进行安全共享的技术效果,进而解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
为了进一步提升金融场景下敏感数据共享的安全性,本申请的一种具体的实施例中,上述装置还包括:接收单元,用于接收上述第二节点发送的请求信息,上述请求信息为请求获取上述第一业务信息的信息。上述装置中,第二节点为具有信息需求权限或经过信息拥有方许可的信任机构。上述第二节点可以为其他数据需求方或监管方。上述装置中,可以利用区块链上的半信任节点,也可以将该节点独立成为代理重加密节点,用于进行代理重加密。上述装置通过引入代理重加密技术,对业务数据进行划分,通过与本地证书签发机构协作,可以实现多个机构间共享数据的有限知悉范围及授权定向共享,依托区块链系统共享密文业务数据以及对所有操作流程进行存证监督。数据共享整体流程如图2所示,数据拥有方即组织A将数据机密上链,监管方发送信息共享请求信息,组织A接收信息共享请求信息并将授权信息上链,代理重加密节点接收授权信息,并通过代理重加密算法授权信息转换为转换信息,监管方获取转换信息进行解密。
本申请的另一种具体的实施例中,在包括上述第一加密单元、第二加密单元以及第三加密单元的基础上,还对上述第三加密单元进行细化,包括:处理模块,用于将上述第二节点的ID、上述第二节点对上述业务信息的签名上链。上述装置中,除了将转换密钥上链,还可以将第二节点的ID、上述第二节点对上述业务信息的签名上链。上述装置可以进一步提升金融场景下敏感数据共享的安全性。
本申请的另一种具体的实施例中,在包括上述第一加密单元、第二加密单元以及第三加密单元的基础上,还包括:生成单元,用于根据其他节点的数字证书,生成初始转换密钥,上述其他节点为上述区块链上的节点,上述数字证书为上述数字证书的签发机构对节点的公钥的签名。上述装置中,初始转换密钥的获取之前需要进行系统配置,区块链上各参与组织机构节点,生成非对称密钥对,从本地证书的签发机构获取自己的身份证书。启动区块链系统,设置参与组织配置,接收各个参与方的角色证书。各个组织通过区块链接入程序连接区块链系统。各组织根据其他组织证书,生成多个对应的初始重加密密钥,并将节点id和初始重加密密钥推送上链,同时附带本机构签名。区块链节点如图3所示,包括信息拥有方、信息需求方、监管方、本地证书签发机构、监管方、代理重加密节点等。整体流程图如图4所示,首先系统启动及准备阶段,进行系统准备并生成数字证书加入区块链,生成重加密密钥并上链。数据信息上传阶段进行数据分级加密处理并上链存储。最后,数据共享阶段,发起申请,进行授权,采用代理重加密算法,最终实现数据密文共享。
本申请的又一种具体的实施例中,在包括上述第一加密单元、第二加密单元以及第三加密单元的基础上,还包括:第一更新单元,用于按照预定周期更新公钥和私钥,得到更新公钥和更新私钥,并获取更新数字证书;将上述更新数字证书、上述更新数字证书的有效期以及上述其他节点的数字签名上链。上述装置中,每经过1个月或其他的时间周期,重新生成公私钥,区块链上各组织向本地证书签发机构获取新证书,将组织id、证书有效期、证书信息推送上链,附带本机构签名。进而,原有证书失效,各组织采用新证书进行业务处理。通过上述定期更换组织证书和密钥的方法,可以提升信任节点进行加密解密的安全性。
本申请的又一种具体的实施例中,在包括上述第一加密单元、第二加密单元以及第三加密单元的基础上,还包括:第二更新单元,用于根据上述更新数字证书、上述更新公钥以及上述更新私钥,对上述转换密钥进行更新,生成更新转换密钥,并将上述更新转换密钥上链。上述装置中,每经过1个月或其他的时间周期,区块链上各组织向本地证书签发机构获取新证书,根据新的机构证书、更新公钥以及更新私钥生成第二更新重加密密钥并推送到代理运算节点。通过上述更新重加密密钥的方法,可以降低半信任计算节点即代理重加密节点的潜在风险。
本申请的再一种具体的实施例中,在包括上述第一加密单元、第二加密单元以及第三加密单元的基础上,对上述第一加密单元进行细化,上述对称加密可以采用包括以下算法至少之一:AES算法、SM1算法,上述非对称加密算法可以采用包括以下算法至少之一:RSA加密算法、椭圆曲线加密算法、SM2算法。上述装置中,AES算法(Advanced EncryptionStandard,高级加密标准),又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。AES支持三种长度的密钥,包括:128位,192位,256位。SM1算法(SM1 cryptographic algorithm,商密1号算法),亦称SCB2算法,是由国家密码管理局编制的一种商用密码分组标准对称算法。该算法是国家密码管理部门审批的SM1分组密码算法,分组长度和密钥长度都为128比特,该算法不公开,仅以IP核的形式存在于芯片中。RSA算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的一种非对称加密算法,该密钥的安全长度至少为1024位。椭圆曲线加密算法是基于椭圆曲线数学理论实现的一种非对称加密算法。SM2算法是即国家商用密码算法,是由国家密码管理局认定和公布的密码算法标准及其应用规范,其中部分密码算法已经成为国际标准。对称加密算法和非对称加密算法不限于上述算法,本领域技术人员也可以根据实际情况选择其他的对称加密算法或非对称加密算法。
上述数据共享装置包括处理器和存储器,上述第一加密单元、第二加密单元以及第三加密单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来进行数据共享。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述数据方法。
本发明实施例提供了一种处理器,上述处理器用于运行程序,其中,上述程序运行时执行上述数据共享方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现至少以下步骤:
步骤S101,第一节点生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文,上述第一业务信息为核心业务信息,其中,上述第一节点为业务信息的拥有方,上述业务信息包括上述第一业务信息和第二业务信息,上述第二业务信息为可公开业务信息;
步骤S102,第一节点通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文;
步骤S103,第一节点通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息,其中,上述第二节点为上述业务信息的需求方,上述第三节点为代理重加密节点。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有至少如下方法步骤的程序:
步骤S101,第一节点生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文,上述第一业务信息为核心业务信息,其中,上述第一节点为业务信息的拥有方,上述业务信息包括上述第一业务信息和第二业务信息,上述第二业务信息为可公开业务信息;
步骤S102,第一节点通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文;
步骤S103,第一节点通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息,其中,上述第二节点为上述业务信息的需求方,上述第三节点为代理重加密节点。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如上述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
从以上的描述中,可以看出,本申请上述的实施例实现了如下技术效果:
1)、本申请的数据共享方法,首先,生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文。其次,通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文。然后,通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息。该方法采用分级加密的方式,对第一业务信息进行加密上链,对第二业务信息不加密上链;采用对称加密和分对称加密二层加密的方式对第一业务信息进行加密,达到了数据需求方仅能获取密文不能获取明文的目的,从而实现了业务信息在不同节点之间进行安全共享的技术效果,进而解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
2)、本申请的数据共享装置,第一加密单元用于第一节点生成对称密钥,并采用上述对称密钥对第一业务信息进行对称加密,生成第一密文,上述第一业务信息为核心业务信息,其中,上述第一节点为业务信息的拥有方,上述业务信息包括上述第一业务信息和第二业务信息,上述第二业务信息为可公开业务信息;第二加密单元用于第一节点通过区块链获取第一公钥,并采用上述第一公钥对上述对称密钥进行非对称加密,生成第一密钥密文;第三加密单元用于第一节点通过上述区块链获取第二节点上链的第二公钥,并基于上述第一公钥和上述第二公钥计算转换密钥,并至少将上述转换密钥上链,以使得第三节点根据上述转换密钥、上述第一公钥、上述第二公钥以及上述第一密钥密文,计算得到第二密钥密文,从而使得上述第二节点根据上述第二公钥解密上述第二密钥密文得到上述对称密钥,再通过上述对称密钥解密上述第一密文获取上述第一业务信息。该装置采用分级加密的方式,对第一业务信息进行加密上链,对第二业务信息不加密上链;采用对称加密和分对称加密二层加密的方式对第一业务信息进行加密,达到了数据需求方仅能获取密文不能获取明文的目的,从而实现了业务信息在不同节点之间进行安全共享的技术效果,进而解决了在金融场景中敏感的业务信息在区块链中共享的安全性不高的技术问题。
以上仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种数据共享方法,其特征在于,应用在区块链的节点上,所述数据共享方法包括:
第一节点生成对称密钥,并采用所述对称密钥对第一业务信息进行对称加密,生成第一密文,所述第一业务信息为核心业务信息,其中,所述第一节点为业务信息的拥有方,所述业务信息包括所述第一业务信息和第二业务信息,所述第二业务信息为可公开业务信息;
所述第一节点通过区块链获取第一公钥,并采用所述第一公钥对所述对称密钥进行非对称加密,生成第一密钥密文;
所述第一节点通过所述区块链获取第二节点上链的第二公钥,并基于所述第一公钥和所述第二公钥计算转换密钥,并至少将所述转换密钥上链,以使得第三节点根据所述转换密钥、所述第一公钥、所述第二公钥以及所述第一密钥密文,计算得到第二密钥密文,从而使得所述第二节点根据所述第二公钥解密所述第二密钥密文得到所述对称密钥,再通过所述对称密钥解密所述第一密文获取所述第一业务信息,其中,所述第二节点为所述业务信息的需求方,所述第三节点为代理重加密节点。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第二节点发送的请求信息,所述请求信息为请求获取所述第一业务信息的信息。
3.根据权利要求1所述的方法,其特征在于,至少将所述转换密钥上链,包括:
将所述第二节点的ID、所述第二节点对所述业务信息的签名上链。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据其他节点的数字证书,生成初始转换密钥,所述其他节点为所述区块链上的节点,所述数字证书为所述数字证书的签发机构对节点的公钥的签名。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
按照预定周期更新公钥和私钥,得到更新公钥和更新私钥,并获取更新数字证书;
将所述更新数字证书、所述更新数字证书的有效期以及所述其他节点的数字签名上链。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述更新数字证书、所述更新公钥以及所述更新私钥,对所述转换密钥进行更新,生成更新转换密钥,并将所述更新转换密钥上链。
7.根据权利要求1所述的方法,其特征在于,所述对称加密可以采用包括以下算法至少之一:AES算法、SM4算法,所述非对称加密可以采用包括以下算法至少之一:RSA加密算法、椭圆曲线加密算法、SM2算法。
8.一种数据共享装置,其特征在于,所述装置包括:
第一加密单元,用于第一节点生成对称密钥,并采用所述对称密钥对第一业务信息进行对称加密,生成第一密文,所述第一业务信息为核心业务信息,其中,所述第一节点为业务信息的拥有方,所述业务信息包括所述第一业务信息和第二业务信息,所述第二业务信息为可公开业务信息;
第二加密单元,用于所述第一节点通过区块链获取第一公钥,并采用所述第一公钥对所述对称密钥进行非对称加密,生成第一密钥密文;
第三加密单元,用于所述第一节点通过所述区块链获取第二节点上链的第二公钥,并基于所述第一公钥和所述第二公钥计算转换密钥,并至少将所述转换密钥上链,以使得第三节点根据所述转换密钥、所述第一公钥、所述第二公钥以及所述第一密钥密文,计算得到第二密钥密文,从而使得所述第二节点根据所述第二公钥解密所述第二密钥密文得到所述对称密钥,再通过所述对称密钥解密所述第一密文获取所述第一业务信息,其中,所述第二节点为所述业务信息的需求方,所述第三节点为代理重加密节点。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,所述程序执行权利要求1至7中任意一项所述的方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的方法。
11.一种数据共享系统,其特征在于,包括:一个或多个处理器,存储器以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211732571.5A CN116346318A (zh) | 2022-12-30 | 2022-12-30 | 数据共享方法、共享装置、处理器及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211732571.5A CN116346318A (zh) | 2022-12-30 | 2022-12-30 | 数据共享方法、共享装置、处理器及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116346318A true CN116346318A (zh) | 2023-06-27 |
Family
ID=86888293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211732571.5A Pending CN116346318A (zh) | 2022-12-30 | 2022-12-30 | 数据共享方法、共享装置、处理器及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346318A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117097528A (zh) * | 2023-08-22 | 2023-11-21 | 广州市番禺融合小额贷款股份有限公司 | 基于大数据的金融数据安全存储系统、方法及设备 |
-
2022
- 2022-12-30 CN CN202211732571.5A patent/CN116346318A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117097528A (zh) * | 2023-08-22 | 2023-11-21 | 广州市番禺融合小额贷款股份有限公司 | 基于大数据的金融数据安全存储系统、方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111191288B (zh) | 一种基于代理重加密的区块链数据访问权限控制方法 | |
| CN110855671B (zh) | 一种可信计算方法和系统 | |
| Zhao et al. | Trusted data sharing over untrusted cloud storage providers | |
| CN108881314B (zh) | 雾计算环境下基于cp-abe密文隐私保护方法及系统 | |
| US10187207B2 (en) | Re-encryption key generator, re-encryption apparatus, encryption apparatus, decryption apparatus, and storage medium | |
| US20180013555A1 (en) | Data transmission method and apparatus | |
| Han et al. | A data sharing protocol to minimize security and privacy risks of cloud storage in big data era | |
| CN110430161B (zh) | 一种基于区块链的可监管数据匿名分享方法及系统 | |
| US20130275752A1 (en) | Method and system for secure multiparty cloud computation | |
| US20140208117A1 (en) | Server apparatus and program | |
| CN104901942A (zh) | 一种基于属性加密的分布式访问控制方法 | |
| CN102655508A (zh) | 云环境下的用户隐私数据保护方法 | |
| Wu et al. | Poster: a certificateless proxy re-encryption scheme for cloud-based data sharing | |
| KR101615137B1 (ko) | 속성 기반의 데이터 접근 방법 | |
| Liu et al. | A fair data access control towards rational users in cloud storage | |
| CN116346318A (zh) | 数据共享方法、共享装置、处理器及其系统 | |
| Bommala et al. | Performance of Evaluation for AES with ECC in Cloud Environment | |
| Patel et al. | Data storage security model for cloud computing | |
| Kaaniche et al. | Id-based user-centric data usage auditing scheme for distributed environments | |
| Malarvizhi et al. | Secure file sharing using cryptographic techniques in cloud | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| US11456866B2 (en) | Key ladder generating a device public key | |
| Sanchol et al. | A mobile cloud-based access control with efficiently outsourced decryption | |
| KR100769439B1 (ko) | 공개 키 기반 구조 기술 기반의 키 프로파일 기법을 이용한 데이터베이스 보안 시스템 | |
| Cui et al. | A Time-Based Group Key Management Algorithm Based on Proxy Re-encryption for Cloud Storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |