CN116680241A - 一种基于区块链的电子政务数据安全共享方法 - Google Patents

Abstract

本发明公开了一种基于区块链的电子政务数据安全共享方法，在采用区块链实现数据共享交换的同时，使用星际文件系统链下存储数据，利用其分布式哈希地址特性实现快速检索，链上只存储密文数据，减少了整体数据大小，缓解了节点存储压力；通过主部门提前将符合业务条件的其他部门加入进访问结构，利用属性基加密技术对电子政务数据加密，上传到IPFS系统中，保证对相关部门数据公开，实现数据的细粒度访问控制；通过代理重加密密码学技术对原始密文重加密生成重加密密文，在数据共享的同时控制访问权限，实现细粒度访问控制和灵活动态共享，加强隐私安全，减少算法操作，获得更高的灵活动态共享数据能力，提高了整个系统的实用性和安全性。

Description

一种基于区块链的电子政务数据安全共享方法

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于区块链的电子政务数据安全共享方法。

背景技术

随着政府各部门之间不断产生以及保留的数据越来越多，政府部门也在跟着计算机技术与网络发展而做出改变，“互联网+政务服务”被提了出来。当下，大量的电子政务数据都由政府各个单位的本地数据库独立存储，容易形成“数据孤岛”现象，数据同步性和共享性差，无法满足政务领域数据需求分享相关行业的需求，一件事务可能需要多次在不同的部门办理，办事效率较低同时过程繁杂冗长。因此，政府需要推动政务数据资源的共享与开放来打通信息壁垒。

但是，政府各个部门系统独立、数据异构，政务数据资源本身又具有敏感性，数据交换的安全风险较大，各部门间难以相互信任以及数据的协同管理困难，导致政务部门不敢共享、数据权责不清、数据使用范围无法追溯等现象，由此造成信息孤岛、部门间共享不深入、对社会开放程度低等问题。

大数据、云计算等技术的出现，进一步推动了政务数据共享开发的流程。建设大数据共享平台、各部门数据上云，一定程度解决了政府数据不共享的问题，实现了中心化的共享，初步实现了数据的流转。电子政务平台将数据委托给云服务器，不仅便于备份，更方便数据流通与共享。但云服务委托与单一机构，若将电子政务数据交付给“云”，则难以解决数据监管和安全问题，依然存在数据权责模糊、数据质量低、共享中断不安全等问题。如何确保政务数据不泄露，若服务器遭受网络攻击，如何确保数据可以恢复，能否发现数据被篡改，这一系列问题使得政务数据的隐私性和安全性都不能得到很好的保障。

区块链以其本身具有的去中心化、不可篡改、可追溯等特性，可以实现多部门的协同共治。部分电子政务数据如手续、签字图像等较大，一些政务部门每年产生的医疗数据能达到PB级，无法直接将如此庞大的数据交付给区块链。其次，现在电子政务数据海量，数据量随着时间成指数级增长，数据全部存储于链上，会给每个节点带来较大的存储压力，数据同步中也需要较大带宽，节点的硬件条件会限制区块链的长期运行。此外，用户和政务部门的相关电子政务数据往往具有隐私性，而链上数据具有不可篡改性和透明性，将用户数据上传至所有节点，整个数据共享过程将完全透明，在实现全面共享的同时也会产生隐私被其他部门窃取，存在隐私泄露现象。因此，需要一种新的基于区块链电子政务数据安全共享方法进行有条件的共享，把数据开放给有需求的政府部门，而对其他部门进行屏蔽，保证整个共享过程的隐私安全，同时降低每个节点的存储压力。

发明内容

本发明针对区块链存储电子政务数据节点压力大、数据共享隐私安全性差的问题，提出一种基于区块链的电子政务数据安全共享方法，实现政务数据全流程安全共享和高效监管。

为了实现上述目的，本发明提供如下技术方案：

一种基于区块链的电子政务数据安全共享方法，直接政务部门将用户办理的电子政务数据加密保存在区块链和星际文件系统中，当间接政务部门访问该数据时，先在区块链上检索数据索引，符合设置的访问策略的数据访问方则得到索引地址，然后在星际文件系统中获取密文，最后进行解密得到原数据。

上述的基于区块链的电子政务数据安全共享方法，包括如下步骤：

S1、系统初始化：完成系统设置，生成公共参数、主密钥和用户的解密秘钥；

S2、数据存储上传：密文数据存储区块链上，利用属性基加密技术对电子政务数据加密并存储到链下星际文件系统中；并利用星际文件系统分布式哈希地址特性实现快速检索；

S3、数据下载：直接政务部门提前将符合业务条件的其他间接政务部门加入进访问结构，符合访问结构的节点能够解密得到原始电子政务数据；

S4、代理共享：采用代理重加密技术将重加密密文分享给代理节点，间接政务部门通过代理节点利用私钥进行解密得到明文数据。

进一步地，步骤S1包括：

S11、系统设置：输入安全参数λ，选择生成元为g，阶数为大素数p的双线性循环群G₁，然后随机选取元素和抗碰撞哈希函数，最后输出系统公共参数PK和主密钥MSK，并将公共参数PK上传至区块链上用来参数共享，区块链上的节点保存公共参数到本地；

S12、密钥生成：输入公共参数PK和主密钥MSK，以及用户属性集合S，再随机选取参数，最后输出用户的解密密钥SK。

进一步地，步骤S2包括：

S21：用户首先在政务部门进行身份注册，直接政务部门为用户生成身份哈希值作为用户ID，在本地维护身份哈希列表，并将该身份映射同步给其他政务部门；

S22：用户在直接政务部门办理业务，生成电子政务数据，由直接政务部门利用自己的私钥sk1对数据进行签名发送给用户，督促用户进行签名确认，用户确认数据后通过个人私钥sk2签名确认返回给该部门；

S23：用户和步骤S22直接政务部门商量签名确认的数据可访问的其他政务部门，并确认好访问策略，将步骤S22签名过后的数据交由可信机构TA进行属性基加密，直接政务部门对加密后的电子政务数据打包，上传至星际文件系统，并返回add作为数据检索的资源定位符；所述星际文件系统由各个政务部门联盟共同构建，且仅对内部使用；

S24：将步骤S23生成的add和关键字索引上传至区块链，并返回相应的块号和交易号，存于本地数据库中，直接政务部门在本地内存中新建一张哈希表数据结构容器，用于存储用户检索数据库的主键和用户ID，该哈希表以用户ID为关键字计算哈希值，将数据库表记录的主键和用户ID的封装类存入哈希表，并更新其他政务部门所维护的哈希表；所述区块链系统由各个政务部门联盟共同构建，且仅对内部使用。

进一步地，步骤S3包括：

S31：用户去其他间接政务部门办理业务，间接政务部门在其内存哈希表中查找所有与用户ID相关的数据库表记录主键，根据主键在本地数据库查找所有区块信息，职员根据需求筛选出所需要的区块信息和交易号；

S32：根据区块中的星际文件系统哈希地址add到星际文件系统中下载所需数据，间接政务部门利用自己的私钥SK进行解密，如果间接政务部门属性集合符合访问机构，则解密得到明文政务数据，否则无法进行解密；在解密成功后，验证数据中的签名是否为涉及用户和政务部门的合法签名。

进一步地，步骤S4包括：

S41：用户在其他间接政务部门办理业务时，间接政务部门检查前序业务是否办理过，如办理过则对相关部门数据进行审核处理，发送数据共享请求；

S42：直接政务部门收到数据共享请求后，先核实该请求方的身份ID合法性，然后利用重加密密钥生成算法生成重加密密钥，更新访问策略，将初始化为加入访问策略的属性集合添加进去，并且发送到区块链上，同时向代理节点发送代理重加密请求；

S43：代理节点收到请求后，检索链上的代理交易，获取重加密密钥和原始密文，利用代理重加密算法生成重加密密文，将密文数据上传至星际文件系统中，并返回add作为数据检索的资源定位符，再通过步骤S44进行数据同步存储和关系映射；

S44：间接政务部门从本地数据库通过在星际文件系统中下载重加密密文，利用自己的私钥SK进行解密得到明文数据，核实数据的签名合法性，再进行后续业务的办理。

与现有技术相比，本发明的有益效果为：

本发明提出的基于区块链的电子政务数据安全共享方法，首先通过区块链实现去中心化存储，保证了数据的不可篡改性和透明性，避免各个政府部门单点数据库带来的“数据孤岛”问题；其次，在采用区块链实现数据共享交换的同时，使用星际文件系统(IPFS)链下存储数据，利用其分布式哈希地址特性实现快速检索，链上只存储密文数据，减少了整体数据大小，缓解了节点存储压力，解决单点存储压力大的实际问题；然后，通过主部门提前将符合业务条件的其他部门加入进访问结构，利用属性基加密技术对电子政务数据加密，上传到IPFS系统中，保证对相关部门数据公开，实现数据的细粒度访问控制；最后，通过代理重加密密码学技术对原始密文重加密生成重加密密文，在数据共享的同时控制访问权限，实现细粒度访问控制和灵活动态共享，加强隐私安全，减少算法操作，获得更高的灵活动态共享数据能力。相比较现在存在的其他电子政务数据共享系统，本发明拥有对节点较低的存储大小以及隐私性，提高了整个系统的实用性和安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于区块链的电子政务数据安全共享方法的流程图。

具体实施方式

为了更好地理解本技术方案，下面结合附图对本发明的方法做详细的说明。

本发明的目的是提供一种基于区块链的电子政务数据安全共享方法，该方法在保障数据安全的前提下共享、维护电子政务数据，并优化系统瓶颈，较好地实现了高效检索的目标。

如图1所示，本发明提供的基于区块链的电子政务数据安全共享方法，包括如下步骤：

S1、系统初始化：

S11、系统设置Setup(λ)→(PK,MSK)：输入安全参数λ，选择生成元为g，阶数为大素数p的双线性循环群G₁，然后随机选取元素和抗碰撞哈希函数(用于将属性值映射到Z_P中的元素)，最后输出系统公共参数PK和主密钥MSK，并将公共参数PK上传至区块链上用来参数共享，区块链上的节点保存公共参数到本地；

S12、密钥生成KeyGen(PK,MSK,S)→(SK)：输入公共参数PK和主密钥MSK，以及用户属性集合S，再随机选取参数，最后输出用户的解密密钥SK。

S2、数据存储上传：

S21：用户首先在政务部门进行身份注册，直接政务部门为用户生成身份哈希值作为用户ID，在本地维护身份哈希列表，并将该身份映射同步给其他政务部门，方便该用户在后续其他业务上的身份验证识别；

S22：用户在直接政务部门办理业务，生成电子政务数据，由直接政务部门利用自己的私钥sk1对数据进行签名发送给用户，督促用户进行签名确认，用户确认数据后通过个人私钥sk2签名确认返回给该部门；

S23：用户和步骤S22直接政务部门商量签名确认的数据可访问的其他政务部门，并确认好访问策略，将步骤S22签名过后的数据交由可信机构TA进行属性基加密，直接政务部门对加密后的电子政务数据打包，上传至星际文件系统，并返回add作为数据检索的资源定位符；所述星际文件系统由各个政务部门联盟共同构建，且仅对内部使用；

S24：将步骤S23生成的add和关键字索引上传至区块链，并返回相应的块号和交易号，存于本地数据库中，直接政务部门在本地内存中新建一张哈希表数据结构容器，用于存储用户检索数据库的主键和用户ID，该哈希表以用户ID为关键字计算哈希值，将数据库表记录的主键和用户ID的封装类存入哈希表，并更新其他政务部门所维护的哈希表；所述区块链系统由各个政务部门联盟共同构建，且仅对内部使用。

S3、数据下载：

S31：用户去其他间接政务部门办理业务，间接政务部门在其内存哈希表中查找所有与用户ID相关的数据库表记录主键，根据主键在本地数据库查找所有区块信息，职员根据需求筛选出所需要的区块信息和交易号；

S32：根据区块中的星际文件系统哈希地址add到星际文件系统中下载所需数据，间接政务部门利用自己的私钥SK进行解密，如果间接政务部门属性集合符合访问机构，则解密得到明文政务数据，否则无法进行解密；在解密成功后，验证数据中的签名是否为涉及用户和政务部门的合法签名。

S4、代理共享：

S41：用户在其他间接政务部门办理业务时，间接政务部门检查前序业务是否办理过，如办理过则对相关部门数据进行审核处理，发送数据共享请求；

S42：直接政务部门收到数据共享请求后，先核实该请求方的身份ID合法性，然后利用重加密密钥生成算法生成重加密密钥，更新访问策略，将初始化为加入访问策略的属性集合添加进去，并且发送到区块链上，同时向代理节点发送代理重加密请求；

S43：代理节点收到请求后，检索链上的代理交易，获取重加密密钥和原始密文，利用代理重加密算法生成重加密密文，将密文数据上传至星际文件系统中，并返回add作为数据检索的资源定位符，再通过步骤S44进行数据同步存储和关系映射；

S44：间接政务部门从本地数据库通过在星际文件系统中下载重加密密文，利用自己的私钥SK进行解密得到明文数据，核实数据的签名合法性，再进行后续业务的办理。

本发明所提出的系统在使用区块链去中心存储电子政务数据实现共享的同时，采用IPFS星际文件系统，利用其分布式文件系统的去中心思想链下存储关键隐私数据，减小了整个区块链数据的存储大小。

本发明在保护政府和用户的数据隐私时，采用密文策略属性基加密技术，设置初始化属性集合，将符合条件的节点属性加入进去，将电子政务数据加密存储于链下IPFS，只有符合访问结构的节点才能进行解密，得到原始电子政务数据，实现数据的细粒度访问控制共享，保证数据的有效安全。

本发明通过属性基加密算法实现电子政务数据的灵活共享的同时，对于后续未加入进去的节点具有拒绝访问的权利，但在后续业务开展时需要请求数据共享，采用代理重加密技术不需要再对密文进行解密，将重加密密文分享给对应节点，节点再利用私钥解密即可，减少了部分加解密操作。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，但这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种基于区块链的电子政务数据安全共享方法，其特征在于，包括如下步骤：直接政务部门将用户办理的电子政务数据加密保存在区块链和星际文件系统中，当间接政务部门访问该数据时，先在区块链上检索数据索引，符合设置的访问策略的数据访问方则得到索引地址，然后在星际文件系统中获取密文，最后进行解密得到原数据。

2.根据权利要求1所述的基于区块链的电子政务数据安全共享方法，其特征在于，包括如下步骤：

S1、系统初始化：完成系统设置，生成公共参数、主密钥和用户的解密秘钥；

S2、数据存储上传：密文数据存储区块链上，利用属性基加密技术对电子政务数据加密并存储到链下星际文件系统中；并利用星际文件系统分布式哈希地址特性实现快速检索；

S3、数据下载：直接政务部门提前将符合业务条件的其他间接政务部门加入进访问结构，符合访问结构的节点能够解密得到原始电子政务数据；

S4、代理共享：采用代理重加密技术将重加密密文分享给代理节点，间接政务部门通过代理节点利用私钥进行解密得到明文数据。

3.根据权利要求2所述的基于区块链的电子政务数据安全共享方法，其特征在于，步骤S1包括：

S11、系统设置：输入安全参数λ，选择生成元为g，阶数为大素数p的双线性循环群G₁，然后随机选取元素和抗碰撞哈希函数，最后输出系统公共参数PK和主密钥MSK，并将公共参数PK上传至区块链上用来参数共享，区块链上的节点保存公共参数到本地；

S12、密钥生成：输入公共参数PK和主密钥MSK，以及用户属性集合S，再随机选取参数，最后输出用户的解密密钥SK。

4.根据权利要求2所述的基于区块链的电子政务数据安全共享方法，其特征在于，步骤S2包括：

S21：用户首先在政务部门进行身份注册，直接政务部门为用户生成身份哈希值作为用户ID，在本地维护身份哈希列表，并将该身份映射同步给其他政务部门；

S22：用户在直接政务部门办理业务，生成电子政务数据，由直接政务部门利用自己的私钥sk1对数据进行签名发送给用户，督促用户进行签名确认，用户确认数据后通过个人私钥sk2签名确认返回给该部门；

S23：用户和步骤S22直接政务部门商量签名确认的数据可访问的其他政务部门，并确认好访问策略，将步骤S22签名过后的数据交由可信机构TA进行属性基加密，直接政务部门对加密后的电子政务数据打包，上传至星际文件系统，并返回add作为数据检索的资源定位符；所述星际文件系统由各个政务部门联盟共同构建，且仅对内部使用；

S24：将步骤S23生成的add和关键字索引上传至区块链，并返回相应的块号和交易号，存于本地数据库中，直接政务部门在本地内存中新建一张哈希表数据结构容器，用于存储用户检索数据库的主键和用户ID，该哈希表以用户ID为关键字计算哈希值，将数据库表记录的主键和用户ID的封装类存入哈希表，并更新其他政务部门所维护的哈希表；所述区块链系统由各个政务部门联盟共同构建，且仅对内部使用。

5.根据权利要求2所述的基于区块链的电子政务数据安全共享方法，其特征在于，步骤S3包括：

S31：用户去其他间接政务部门办理业务，间接政务部门在其内存哈希表中查找所有与用户ID相关的数据库表记录主键，根据主键在本地数据库查找所有区块信息，职员根据需求筛选出所需要的区块信息和交易号；

S32：根据区块中的星际文件系统哈希地址add到星际文件系统中下载所需数据，间接政务部门利用自己的私钥SK进行解密，如果间接政务部门属性集合符合访问机构，则解密得到明文政务数据，否则无法进行解密；在解密成功后，验证数据中的签名是否为涉及用户和政务部门的合法签名。

6.根据权利要求2所述的基于区块链的电子政务数据安全共享方法，其特征在于，步骤S4包括：

S41：用户在其他间接政务部门办理业务时，间接政务部门检查前序业务是否办理过，如办理过则对相关部门数据进行审核处理，发送数据共享请求；

S42：直接政务部门收到数据共享请求后，先核实该请求方的身份ID合法性，然后利用重加密密钥生成算法生成重加密密钥，更新访问策略，将初始化为加入访问策略的属性集合添加进去，并且发送到区块链上，同时向代理节点发送代理重加密请求；

S43：代理节点收到请求后，检索链上的代理交易，获取重加密密钥和原始密文，利用代理重加密算法生成重加密密文，将密文数据上传至星际文件系统中，并返回add作为数据检索的资源定位符，再通过步骤S44进行数据同步存储和关系映射；

S44：间接政务部门从本地数据库通过在星际文件系统中下载重加密密文，利用自己的私钥SK进行解密得到明文数据，核实数据的签名合法性，再进行后续业务的办理。