CN117527445A

CN117527445A - 一种基于重加密及分布式数字身份的数据共享系统

Info

Publication number: CN117527445A
Application number: CN202410003062.1A
Authority: CN
Inventors: 杨国忠; 朱俊领; 王君
Original assignee: Jiangsu Rongzer Information Technology Co Ltd
Current assignee: Jiangsu Rongzer Information Technology Co Ltd
Priority date: 2024-01-02
Filing date: 2024-01-02
Publication date: 2024-02-06
Anticipated expiration: 2044-01-02
Also published as: CN117527445B

Abstract

本发明属于数字身份共享领域，涉及重加密技术，用于解决现有技术中的数据共享系统直接发送加密密钥会导致密钥泄漏的问题，具体是一种基于重加密及分布式数字身份的数据共享系统，包括数据共享平台，数据共享平台通信连接有重加密处理模块、身份共享模块、共享监控模块以及存储模块；重加密处理模块用于通过重加密算法进行数据调用处理：持有用户使用自身的私钥加密数据明文，并将加密后的数据上链，访问用户向数据共享平台发送数据访问请求，数据共享平台接收到数据访问请求后将数据访问请求发送至持有用户；本发明可以采用重加密算法进行数据调用处理，以分布式数字身份为基础，结合重加密算法，共享过程中不会泄漏用户私钥。

Description

一种基于重加密及分布式数字身份的数据共享系统

技术领域

本发明属于数字身份共享领域，涉及重加密技术，具体是一种基于重加密及分布式数字身份的数据共享系统。

背景技术

重加密是一种密文间的密钥转换机制，指半可信的代理方通过转换密钥，将数据拥有者加密的密文转换为数据请求者可以解密的密文，从而使得到明文信息的过程，在此过程中代理方不能得到任何关于明文的信息，从而保证数据安全性和共享灵活性。

现有技术中的数据共享系统通常使用对称加密算法，将解密密钥发送给用户，由用户访问区块链获取数据密文，并解密出明文，或者使用非对称加密算法，将私钥托管给平台，由平台先解密出明文，并使用访问用户的公钥加密该明文；但是，直接发送加密密钥会导致密钥泄漏；密钥托管方案又会导致私钥及数据明文泄漏给平台。

针对上述技术问题，本申请提出一种解决方案。

发明内容

本发明的目的在于提供一种基于重加密及分布式数字身份的数据共享系统，用于解决现有技术中的数据共享系统直接发送加密密钥会导致密钥泄漏的问题；

本发明需要解决的技术问题为：如何提供一种共享过程中不会泄漏用户私钥的基于重加密及分布式数字身份的数据共享系统。

本发明的目的可以通过以下技术方案实现：

一种基于重加密及分布式数字身份的数据共享系统，包括数据共享平台，所述数据共享平台通信连接有重加密处理模块、身份共享模块、共享监控模块以及存储模块；

所述重加密处理模块用于通过重加密算法进行数据调用处理：持有用户使用自身的私钥加密数据明文，并将加密后的数据上链；访问用户向数据共享平台发送数据访问请求，数据共享平台接收到数据访问请求后将数据访问请求发送至持有用户，持有用户使用私钥与访问用户的公钥生成重加密密钥，将重加密密钥返回给数据共享平台，数据共享平台使用重加密密钥加密链上的密文数据，并将重加密密文上链；访问用户从链上请求重加密密文，并使用自己的私钥解密得到数据明文；

所述身份共享模块用于对分布式数字身份进行共享处理分析；

所述共享监控模块用于对数据共享平台的数字身份共享安全性进行监控分析。

作为本发明的一种优选实施方式，身份共享模块对分布式数字身份进行共享处理分析的具体过程包括：生成数字身份：分布式数字身份平台初始化系统公共参数Param，用户注册数字身份，分布式数字身份平台以公共Param为输入，生成公私钥对，将公钥保存到DID文档，私钥由用户自行保管。

作为本发明的一种优选实施方式，身份共享模块对分布式数字身份进行共享处理分析的具体过程还包括：持有用户使用公共参数Param、自己的公钥PK_Ａ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，数据共享平台转发身份共享请求给持有用户；持有用户到数字身份平台请求访问用户的公钥PK_Ｂ；持有用户以公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK；持有用户将重加密密钥RK返回给数据共享平台；数据共享平台使用公共参数Param、重加密密钥RK加密密文CT，并将重加密密文CT'上链；访问用户从区块链请求重加密密文CT'，访问用户使用公共参数Param、自己的私钥SK_Ｂ解密重加密密文CT'，得到明文数据M。

作为本发明的一种优选实施方式，共享监控模块用于对数据共享平台的数字身份共享安全性进行监控分析的具体过程包括：生成监控周期，获取持有用户在监控周期内的间隔数据JG与风险数据FX；通过对间隔数据JG与风险数据FX进行数值计算得到持有用户在监控周期内的安全系数AQ；通过存储模块获取到安全阈值AQmax，将安全系数AQ与安全阈值AQmax进行比较并通过比较结果对持有用户在监控周期内的数字身份共享安全性是否满足要求进行判定。

作为本发明的一种优选实施方式，间隔数据JG与风险数据FX的获取过程包括：将监控周期内持有用户的数字身份的访问用户标记为监控对象，将监控对象连续发出数字身份共享请求的时间间隔标记为间隔值，将监控对象在监控周期内的间隔值的最小值标记为间隔数据JG；获取监控对象的IP地址，将IP地址位于安全监控地区内的监控对象标记为风险对象，将监控周期内持有用户的数字身份对应的风险对象的数量标记为风险数据FX。

作为本发明的一种优选实施方式，将安全系数AQ与安全阈值AQmax进行比较的具体过程包括：若安全系数AQ小于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性满足要求；若安全系数AQ大于等于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性不满足要求，生成共享异常信号并将共享异常信号发送至数据共享平台，数据共享平台接收到共享异常信号后将共享异常信号发送至管理人员的手机终端。

作为本发明的一种优选实施方式，该基于重加密及分布式数字身份的数据共享系统的工作方法，包括以下步骤：

步骤一：通过重加密算法进行数据调用处理：持有用户使用自身的私钥加密数据明文，并将加密后的数据上链；访问用户向数据共享平台发送数据访问请求后通过重加密进行密文数据调用；

步骤二：对分布式数字身份进行共享处理分析：持有用户使用公共参数Param、自己的公钥PK_Ａ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，持有用户以公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK，然后使用公共参数Param、自己的私钥SK_Ｂ解密重加密密文CT'；

步骤三：对数据共享平台的数字身份共享安全性进行监控分析：生成监控周期，将监控周期内持有用户的数字身份的访问用户标记为监控对象，获取监控对象在监控周期内的间隔数据JG与风险数据FX并进行数值计算得到安全系数AQ，通过安全系数AQ对持有用户在监控周期内的数字身份共享安全性是否满足要求进行判定。

本发明具备下述有益效果：

1、通过重加密处理模块可以采用重加密算法进行数据调用处理，以分布式数字身份为基础，结合重加密算法，共享过程中不会泄漏用户私钥，平台也无法获得数据明文；

2、通过身份共享模块可以对分布式数字身份进行共享处理分析，采用公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK，提高数字身份共享的安全性；

3、通过共享监控模块可以对数据共享平台的数字身份共享安全性进行监控分析，通过对持有用户对应访问用户的请求频率、IP地址分布等参数进行综合分析得到安全系数，从而通过安全系数对持有用户的数字身份共享安全性进行反馈，从而在安全性异常时及时对持有用户进行预警。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一的系统框图；

图2为本发明实施例二的方法流程图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例一

如图1所示，一种基于重加密及分布式数字身份的数据共享系统，包括数据共享平台，所述数据共享平台通信连接有重加密处理模块、身份共享模块、共享监控模块以及存储模块。

所述重加密处理模块用于通过重加密算法进行数据调用处理：持有用户使用自身的私钥加密数据明文，并将加密后的数据上链；访问用户向数据共享平台发送数据访问请求，数据共享平台接收到数据访问请求后将数据访问请求发送至持有用户，持有用户使用私钥与访问用户的公钥生成重加密密钥，将重加密密钥返回给数据共享平台，数据共享平台使用重加密密钥加密链上的密文数据，并将重加密密文上链；访问用户从链上请求重加密密文，并使用自己的私钥解密得到数据明文；采用重加密算法进行数据调用处理，以分布式数字身份为基础，结合重加密算法，共享过程中不会泄漏用户私钥，平台也无法获得数据明文。

身份共享模块用于对分布式数字身份进行共享处理分析：

生成数字身份：分布式数字身份平台初始化系统公共参数Param，用户注册数字身份，分布式数字身份平台以公共Param为输入，生成公私钥对，将公钥保存到DID文档，私钥由用户自行保管；

数据身份共享：持有用户使用公共参数Param、自己的公钥PK_Ａ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，数据共享平台转发身份共享请求给持有用户；持有用户到数字身份平台请求访问用户的公钥PK_Ｂ；持有用户以公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK；持有用户将重加密密钥RK返回给数据共享平台；数据共享平台使用公共参数Param、重加密密钥RK加密密文CT，并将重加密密文CT'上链；访问用户从区块链请求重加密密文CT'，访问用户使用公共参数Param、自己的私钥SK_Ｂ解密重加密密文CT'，得到明文数据M；对分布式数字身份进行共享处理分析，采用公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK，提高数字身份共享的安全性。

所述共享监控模块用于对数据共享平台的数字身份共享安全性进行监控分析：生成监控周期，将监控周期内持有用户的数字身份的访问用户标记为监控对象，将监控对象连续发出数字身份共享请求的时间间隔标记为间隔值，将监控对象在监控周期内的间隔值的最小值标记为间隔数据JG；获取监控对象的IP地址，将IP地址位于安全监控地区内的监控对象标记为风险对象，将监控周期内持有用户的数字身份对应的风险对象的数量标记为风险数据FX；通过公式AQ=（α1*FX）/（α2*JG）得到持有用户在监控周期内的安全系数AQ，其中α1与α2均为比例系数，且α1＞α2＞1；通过存储模块获取到安全阈值AQmax，将持有用户在监控周期内的安全系数AQ与安全阈值AQmax进行比较：若安全系数AQ小于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性满足要求；若安全系数AQ大于等于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性不满足要求，生成共享异常信号并将共享异常信号发送至数据共享平台，数据共享平台接收到共享异常信号后将共享异常信号发送至管理人员的手机终端；对数据共享平台的数字身份共享安全性进行监控分析，通过对持有用户对应访问用户的请求频率、IP地址分布等参数进行综合分析得到安全系数，从而通过安全系数对持有用户的数字身份共享安全性进行反馈，从而在安全性异常时及时对持有用户进行预警。

实施例二

如图2所示，一种基于重加密及分布式数字身份的数据共享方法，包括以下步骤：

一种基于重加密及分布式数字身份的数据共享系统，工作时，持有用户使用自身的私钥加密数据明文，并将加密后的数据上链；访问用户向数据共享平台发送数据访问请求后通过重加密进行密文数据调用；持有用户使用公共参数Param、自己的公钥PK_Ａ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，持有用户以公共参数Param、自己的私钥SK_Ａ、访问用户的公钥PK_Ｂ为输入，生成重加密密钥RK，然后使用公共参数Param、自己的私钥SK_Ｂ解密重加密密文CT'；生成监控周期，将监控周期内持有用户的数字身份的访问用户标记为监控对象，获取监控对象在监控周期内的间隔数据JG与风险数据FX并进行数值计算得到安全系数AQ，通过安全系数AQ对持有用户在监控周期内的数字身份共享安全性是否满足要求进行判定。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

上述公式均是采集大量数据进行软件模拟得出且选取与真实值接近的一个公式，公式中的系数是由本领域技术人员根据实际情况进行设置；如：公式AQ=（α1*FX）/（α2*JG）；由本领域技术人员采集多组样本数据并对每一组样本数据设定对应的安全系数；将设定的安全系数和采集的样本数据代入公式，任意三个公式构成三元一次方程组，将计算得到的系数进行筛选并取均值，得到α1以及α2的取值分别为3.45和2.17；

系数的大小是为了将各个参数进行量化得到的一个具体的数值，便于后续比较，关于系数的大小，取决于样本数据的多少及本领域技术人员对每一组样本数据初步设定对应的安全系数；只要不影响参数与量化后数值的比例关系即可，如安全系数与风险数据的数值成正比。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

1.一种基于重加密及分布式数字身份的数据共享系统，其特征在于，包括数据共享平台，所述数据共享平台通信连接有重加密处理模块、身份共享模块、共享监控模块以及存储模块；

2.根据权利要求1所述的一种基于重加密及分布式数字身份的数据共享系统，其特征在于，身份共享模块对分布式数字身份进行共享处理分析的具体过程包括：生成数字身份：分布式数字身份平台初始化系统公共参数Param，用户注册数字身份，分布式数字身份平台以公共Param为输入，生成公私钥对，将公钥保存到DID文档，私钥由用户自行保管。

3.根据权利要求2所述的一种基于重加密及分布式数字身份的数据共享系统，其特征在于，身份共享模块对分布式数字身份进行共享处理分析的具体过程还包括：持有用户使用公共参数Param、自己的公钥PKＡ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，数据共享平台转发身份共享请求给持有用户；持有用户到数字身份平台请求访问用户的公钥PKＢ；持有用户以公共参数Param、自己的私钥SKＡ、访问用户的公钥PKＢ为输入，生成重加密密钥RK；持有用户将重加密密钥RK返回给数据共享平台；数据共享平台使用公共参数Param、重加密密钥RK加密密文CT，并将重加密密文CT'上链；访问用户从区块链请求重加密密文CT'，访问用户使用公共参数Param、自己的私钥SKＢ解密重加密密文CT'，得到明文数据M。

4.根据权利要求3所述的一种基于重加密及分布式数字身份的数据共享系统，其特征在于，共享监控模块用于对数据共享平台的数字身份共享安全性进行监控分析的具体过程包括：生成监控周期，获取持有用户在监控周期内的间隔数据JG与风险数据FX；通过对间隔数据JG与风险数据FX进行数值计算得到持有用户在监控周期内的安全系数AQ；通过存储模块获取到安全阈值AQmax，将安全系数AQ与安全阈值AQmax进行比较并通过比较结果对持有用户在监控周期内的数字身份共享安全性是否满足要求进行判定。

5.根据权利要求4所述的一种基于重加密及分布式数字身份的数据共享系统，其特征在于，间隔数据JG与风险数据FX的获取过程包括：将监控周期内持有用户的数字身份的访问用户标记为监控对象，将监控对象连续发出数字身份共享请求的时间间隔标记为间隔值，将监控对象在监控周期内的间隔值的最小值标记为间隔数据JG；获取监控对象的IP地址，将IP地址位于安全监控地区内的监控对象标记为风险对象，将监控周期内持有用户的数字身份对应的风险对象的数量标记为风险数据FX。

6.根据权利要求5所述的一种基于重加密及分布式数字身份的数据共享系统，其特征在于，将安全系数AQ与安全阈值AQmax进行比较的具体过程包括：若安全系数AQ小于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性满足要求；若安全系数AQ大于等于安全阈值AQmax，则判定持有用户在监控周期内的数字身份共享安全性不满足要求，生成共享异常信号并将共享异常信号发送至数据共享平台，数据共享平台接收到共享异常信号后将共享异常信号发送至管理人员的手机终端。

7.一种应用于权利要求1-6任一项所述的基于重加密及分布式数字身份的数据共享系统的数据共享方法，其特征在于，包括以下步骤：

步骤二：对分布式数字身份进行共享处理分析：持有用户使用公共参数Param、自己的公钥PKＡ加密明文数据M，并将密文CT上链，访问用户发送身份共享请求到数据共享平台，持有用户以公共参数Param、自己的私钥SKＡ、访问用户的公钥PKＢ为输入，生成重加密密钥RK，然后使用公共参数Param、自己的私钥SKＢ解密重加密密文CT'；