TW202019120A - 基於區塊鏈的業務資料加密方法及裝置 - Google Patents

基於區塊鏈的業務資料加密方法及裝置 Download PDF

Info

Publication number
TW202019120A
TW202019120A TW108129107A TW108129107A TW202019120A TW 202019120 A TW202019120 A TW 202019120A TW 108129107 A TW108129107 A TW 108129107A TW 108129107 A TW108129107 A TW 108129107A TW 202019120 A TW202019120 A TW 202019120A
Authority
TW
Taiwan
Prior art keywords
key
derivative
business data
encrypted
blockchain
Prior art date
Application number
TW108129107A
Other languages
English (en)
Other versions
TWI714219B (zh
Inventor
李書博
張翼翔
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW202019120A publication Critical patent/TW202019120A/zh
Application granted granted Critical
Publication of TWI714219B publication Critical patent/TWI714219B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0655Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed centrally
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

本說明書一個或多個實施例提供一種基於區塊鏈的業務資料加密方法及裝置,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,該方法包括:所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰,所述第一衍生金鑰由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生,所述衍生金鑰可解密被所述第一衍生金鑰加密的業務資料;基於所述第一衍生金鑰對業務資料進行加密以獲得加密業務資料;向所述區塊鏈發送所述加密業務資料,以使所述加密業務資料被所述區塊鏈共識驗證後收錄於所述區塊鏈的分散式資料庫。

Description

基於區塊鏈的業務資料加密方法及裝置
本說明書一個或多個實施例係有關區塊鏈技術領域,尤其有關一種基於區塊鏈的業務資料加密方法及裝置。
區塊鏈技術,也被稱之為分散式帳本技術,是一種由若干台計算設備共同參與“記帳”,共同維護一份完整的分散式資料庫的新興技術。由於區塊鏈技術具有去中心化、公開透明、每台計算設備可以參與資料庫記錄、並且各計算設備之間可以快速的進行資料同步的特性,使得區塊鏈技術已在眾多的領域中廣泛的進行應用。區塊鏈帳本分發給網路中的所有成員節點,在區塊中永久記錄網路中發生的業務資料的歷史記錄。由於帳本是完全公開的,因此區塊鏈帳本本身無隱私保護功能,需透過額外的技術來保護業務資料的隱私。
有鑑於此,本說明書一個或多個實施例提供一種基於區塊鏈的業務資料加密方法及裝置。 為實現上述目的,本說明書一個或多個實施例提供技術方案如下: 根據本說明書一個或多個實施例的第一態樣,提出了一種基於區塊鏈的業務資料加密方法,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,包括: 所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰,所述第一衍生金鑰由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生,所述衍生金鑰可解密被所述第一衍生金鑰加密的業務資料; 基於所述第一衍生金鑰對業務資料進行加密以獲得加密業務資料; 向所述區塊鏈發送所述加密業務資料,以使所述加密業務資料被所述區塊鏈共識驗證後收錄於所述區塊鏈的分散式資料庫。 根據本說明書一個或多個實施例的第二態樣,提出了一種基於區塊鏈的業務資料加密裝置,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,包括: 獲取單元,所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰,所述第一衍生金鑰由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生,所述衍生金鑰可解密被所述第一衍生金鑰加密的業務資料; 加密單元,基於所述第一衍生金鑰對業務資料進行加密以獲得加密業務資料; 發送單元,向所述區塊鏈發送所述加密業務資料,以使所述加密業務資料被所述區塊鏈共識驗證後收錄於所述區塊鏈的分散式資料庫。 根據本說明書一個或多個實施例的第三態樣,提出了一種電腦設備,包括:記憶體和處理器;所述記憶體上儲存有可由處理器運行的電腦程式;所述處理器運行所述電腦程式時,執行如上述基於區塊鏈的業務資料加密方法。 本說明書提供的基於區塊鏈的業務資料加密方法及裝置,用以進行業務資料加密的第一衍生金鑰是由金鑰分配方的衍生金鑰基於金鑰接收方的業務資料權限類型金鑰衍生而得到的;由於所述金鑰分配方的衍生金鑰可解密被所述第一衍生金鑰加密的業務資料,所以所述金鑰分配方可以對金鑰接收方上傳的業務資料進行解密、監督、及管理等。多個金鑰接收方的業務資料權限類型不同,其獲取到的用以加密業務資料的第一衍生金鑰也可以不相同,因此基於上述不同的第一衍生金鑰加密的業務資料即可在不同業務資料權限類型的金鑰接收方用戶之間完成資料隱私隔離。
這裡將詳細地對示例性實施例進行說明,其示例表示在圖式中。下面的描述涉及圖式時,除非另有表示,不同圖式中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本說明書一個或多個實施例相一致的所有實施方式。相反地,它們僅是與如所附申請專利範圍中所詳述的、本說明書一個或多個實施例的一些態樣相一致的裝置和方法的例子。 需要說明的是:在其他實施例中並不一定按照本說明書示出和描述的順序來執行相應方法的步驟。在一些其他實施例中,其方法所包括的步驟可以比本說明書所描述的更多或更少。此外,本說明書中所描述的單個步驟,在其他實施例中可能被分解為多個步驟來進行描述;而本說明書中所描述的多個步驟,在其他實施例中也可能被合併為單個步驟來進行描述。 圖1是一示例性實施例提供的一種基於區塊鏈的業務資料加密方法的流程圖,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈。 上述實施例所述的區塊鏈,具體可指一個各節點設備透過共識機制達成的、具有分散式資料儲存結構的P2P網路系統,該區塊鏈內的資料分布在時間上相連的一個個“區塊(block)”之內,後一個區塊包含前一個區塊的資料摘要,且根據具體的共識機制(如POW、POS、DPOS或PBFT等)的不同,達成全部或部分節點的資料全備份。本領域的技術人員熟知,由於區塊鏈系統在相應共識機制下運行,已收錄至區塊鏈資料庫內的資料很難被任意的節點篡改,例如採用Pow共識的區塊鏈,至少需要全網51%算力的攻擊才有可能篡改已有資料,因此區塊鏈系統有著其他中心化資料庫系統無法比擬的確保資料安全、防攻擊篡改的特性。 本實施例所述的金鑰分配方節點設備和金鑰接收方節點設備是在本實施例所提供的業務資料加密方法中分別執行金鑰分配和金鑰接收角色的節點設備;本領域的技術人員容易知道,對於同一個用戶,既可以作為金鑰分配方向其他用戶分配衍生金鑰,也可作為金鑰接收方接收其他金鑰分配方分配的衍生金鑰。 執行本實施例所述的基於區塊鏈的業務資料加密方法的金鑰接收方節點設備,既可以為備份有上述區塊鏈的分散式資料庫全部資料內容的全節點設備,也可為僅備份上述區塊鏈的分散式資料庫的部分資料內容的輕節點設備或用戶端,在本說明書中不作限定。 本實施例所述的業務資料可以是所述區塊鏈可共識收錄至分散式資料庫的的業務相關資料。上述區塊鏈可用於為一種或多種業務類型下產生的業務資料進行備份,上述業務類型可包括租房業務、車輛調度業務、保險理賠業務、信用服務、醫療服務等。該區塊鏈上的一些節點設備可能並不參與某種業務類型的營運互動,因此,為確保被區塊鏈的分散式資料庫收錄的該種業務類型相關的業務資料的安全及隱私,該業務類型相關的業務資料需對上述一些節點設備保密;或者,該區塊鏈上的一些節點設備即使參與了某種或某些業務類型的營運互動,其他參與方上傳至區塊鏈進行存證備份的業務資料出於安全性及隱私性的考量,仍需對上述一些節點設備保密。 鑒於以上所述的對業務資料的保密需求,如圖1所示,本實施例提供的基於區塊鏈的業務資料加密方法包括: 步驟102,所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰,所述第一衍生金鑰由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生,所述衍生金鑰可解密被所述第一衍生金鑰加密的業務資料。 本實施例所述的業務資料權限類型用以表徵具有獲知業務資料明文資訊的權限的用戶集合類型,例如,上述區塊鏈可包括參與一種業務類型的多個用戶,或參與多種業務類型的多個用戶,因此不同的業務資料可分別對應有不同的用戶集合,該不同的用戶集合具有獲知相應的業務資料的明文資訊的權限,例如區塊鏈用戶A、B、C具有獲知租房業務內的業務資料的權限;區塊鏈用戶C、D、E具有獲知租車業務內的業務資料的權限;用戶A、B具有獲知北京地區租房業務的業務資料的權限,用戶C具有獲知上海地區租房業務的業務資料的權限。針對上述不同的業務資料所對應的不同的用戶集合類型(如用戶集合類型[A、B、C]、[C、D、E]、[A、B]、[C]等),即可劃分出相應的業務資料權限類型。 上述業務資料權限類型還可進一步包括在時間、空間、或組織結構等多重維度上對具有獲知業務資料明文資訊的權限的用戶集合的劃分,例如區塊鏈用戶A、B、C在2018年具有獲知租房業務內的業務資料的權限,屬於司法部組織結構的區塊鏈用戶C、D具有獲知法院判決文書的業務資料的權限等等。本領域技術人員可以從區塊鏈所營運的具體業務、及相關業務資料的具體劃分或隔離模式設定多種多樣的業務資料權限類型,均在本說明書的保護範圍內。在本實施例中,上述用戶對業務資料明文資訊的獲知,即可透過從區塊鏈上獲取被加密的業務資料,並基於用戶接受到的衍生金鑰進行解密來達成。 金鑰分配方是可由用戶自身所持的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生下級衍生金鑰(如本實施例所述的第一衍生金鑰)的用戶;所述金鑰分配方的衍生金鑰可解密其所衍生出的任何下級衍生金鑰所加密的業務資料。上述金鑰接收方接收的第一衍生金鑰可由所述金鑰分配方的衍生金鑰經過一級衍生得出,也可由所述金鑰分配方的衍生金鑰經過多級衍生而得出,在此不作限定。 值得注意的是,本實施例所述金鑰分配方的衍生金鑰,既可以是由其他金鑰分配方衍生分配至所述金鑰分配方的子衍生金鑰,也可以是所述金鑰分配方自持的根衍生金鑰,在此不做限定。無論是所述金鑰分配方的衍生金鑰屬於子衍生金鑰還是根衍生金鑰,均可再繼續衍生出下級衍生金鑰(如第一衍生金鑰)以進行金鑰分配。 由於金鑰分配方的衍生金鑰可解密被其下級衍生金鑰(如金鑰接收方的第一衍生金鑰)加密的業務資料,因此本實施例所述的金鑰分配方可以作為金鑰接收方的上級監管機構或平臺,用以對上述金鑰接收方發送的加密業務資料進行監督和管理。上述金鑰分配方基於上述金鑰接收方所屬的業務資料權限類型,為上述金鑰接收方分配相應的第一衍生金鑰;對應於同一個業務資料權限類型的多個金鑰接收方,均獲得相同的第一衍生金鑰;對應於不同業務資料權限類型的多個金鑰接收方,將獲得不同的第一衍生金鑰。 所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰的具體方式,即可以透過區塊鏈的分散式資料庫進行鏈上獲取,也可以透過鏈外通道進行點對點通訊傳輸;相較於透過鏈外通道進行點對點通訊傳輸的獲取方式,透過鏈上獲取第一衍生金鑰,由於第一衍生金鑰被區塊鏈的節點共識驗證後收錄於區塊鏈的分散式資料庫,因此可確保上述第一衍生金鑰的準確性,防止上述第一衍生金鑰被篡改。 值得注意的是,為確保基於上述鏈上獲取的方式獲取上述第一衍生金鑰時,該第一衍生金鑰不被其他用戶從鏈上獲得後危及被加密的業務資料的私密安全性,上述全部或部分的第一衍生金鑰可被具有獲得該第一衍生金鑰權限(即相應的業務資料權限)的金鑰接收方的用戶公開金鑰加密,由此,金鑰接收方可基於用戶私密金鑰進行解密而獲知該第一衍生金鑰。 關於資料的加密方式通常可分為對稱加密和非對稱加密。在一種示出的實施方式中,所述金鑰分配方的衍生金鑰為對稱加密金鑰,相應地,由所述衍生金鑰衍生出的第一衍生金鑰也為對稱加密金鑰,亦即上述衍生金鑰或第一衍生金鑰既可用於對業務資料進行加密,也可用於對被上述衍生金鑰或第一衍生金鑰加密的業務資料進行解密。當所述金鑰接收方節點設備從如上所述的鏈上通道獲取第一衍生金鑰時,為確保上述第一衍生金鑰的安全隱私性,上述金鑰接收方節點設備從所述區塊鏈的分散式資料庫中獲取被加密的第一衍生金鑰,所述第一衍生金鑰被基於所述金鑰接收方的用戶公開金鑰加密;相應地,上述金鑰接收方節點設備基於所述金鑰接收方的用戶私密金鑰解密上述被加密的第一衍生金鑰,以獲取所述第一衍生金鑰。 在又一示出的實施方式中,所述金鑰分配方的衍生金鑰為非對稱加密的金鑰對,即公開金鑰-私密金鑰對,相應地,由所述衍生金鑰衍生出的金鑰也應為非對稱加密金鑰對:上述第一衍生金鑰包括的一對金鑰分別為第一衍生公開金鑰和與該第一衍生公開金鑰對應的第一衍生私密金鑰。由於被上述第一衍生公開金鑰加密的業務資料需要被第一衍生私密金鑰來解密以獲取業務資料的明文,因此,具有業務資料解密需求的金鑰接收方通常仍需獲取與上述第一衍生金鑰對應的第一衍生私密金鑰。同理,上述第一衍生私密金鑰既可以透過區塊鏈的分散式資料庫進行鏈上獲取,也可以透過鏈外通道進行點對點通訊傳輸;相較於透過鏈外通道進行點對點通訊傳輸的獲取方式,透過鏈上獲取第一衍生私密金鑰,由於第一衍生私密金鑰被區塊鏈的節點共識驗證後收錄於區塊鏈的分散式資料庫,因此可確保上述第一衍生私密金鑰的準確性,防止上述第一衍生私密金鑰被篡改。 相似地,為確保基於上述鏈上獲取的方式獲取上述第一衍生私密金鑰時,該第一衍生私密金鑰不被其他用戶從鏈上獲得後危及被加密的業務資料的私密安全性,上述第一衍生私密金鑰可被具有獲得該第一衍生金鑰權限(即相應的業務資料權限)的金鑰接收方的用戶公開金鑰加密,由此,金鑰接收方可基於用戶私密金鑰進行解密而獲知該第一衍生私密金鑰。 可選地,上述金鑰分配方向區塊鏈的分散式資料庫上發布被金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰,可基於上述金鑰接收方的請求而啟動:上述金鑰接收方應向所述區塊鏈發送對所述第一衍生私密金鑰的請求交易,其中,所述請求交易被所述金鑰接收方的用戶私密金鑰加密,以使所述金鑰分配方節點設備在基於所述金鑰接收方的用戶公開金鑰對所述請求交易驗證通過後,向所述區塊鏈發送被所述金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。上述對請求交易的驗證可以包括對金鑰接收方的身份驗證,及對金鑰接收方對應的業務資料權限類型是否與該第一衍生私密金鑰對應的驗證,等等。 在本實施例中,第一衍生公開金鑰由於作為公開金鑰可以被任何用戶獲知,因此金鑰分配方可將第一衍生金鑰以明文的形式發布於區塊鏈的分散式資料庫上,以供金鑰接收方直接獲取。當然,上述第一衍生金鑰可以與其對應的第一衍生私密金鑰在金鑰分配方發送的同一個交易中被發布,也可在金鑰分配方發送的不同交易中被發布,在此不作限定。 值得注意的是,由於本實施例中的第一衍生金鑰所包括的兩個金鑰(第一衍生公開金鑰和第一衍生私密金鑰)均是由金鑰分配方的衍生金鑰計算衍生的,可選擇第一衍生金鑰中任意一個金鑰為第一衍生公開金鑰,另一個金鑰則為第一衍生私密金鑰。 更佳地,區塊鏈系統可為不同的業務資料權限類型設置標識,為方便區塊鏈上具有相同業務資料權限類型的用戶使用其第一衍生金鑰以解密或加密相應的業務資料,本實施例所述的金鑰接收方在獲得上述第一衍生金鑰後,可在本地資料庫儲存上述第一衍生金鑰與其業務資料權限類型的標識的映射關係,以方便用戶對第一衍生金鑰的查詢及使用。 關於以上實施例所述的由上述衍生金鑰衍生出第一衍生金鑰的過程,可以基於相關的金鑰衍生函數計算獲得,在一種示出的實施方式中,上述第一衍生金鑰是由上述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料查看權限類型進行KDF計算而衍生產生的金鑰。 本領域的技術人員應知,透過KDF技術可以任意產生金鑰樹,只需要保管一把根金鑰即可根據衍生路徑即時衍生計算出各級節點具體的衍生金鑰,金鑰樹上各級節點的衍生金鑰可以由其父節點的衍生金鑰衍生產生,子節點無法計算出其父節點的衍生金鑰。由於本說明書所提供的各個實施例並不限定由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生第一衍生金鑰的具體衍生級數(至少為一級衍生),因此本說明書各實施例所述的金鑰分配方的衍生金鑰既可以為KDF金鑰樹的根金鑰,也可以為KDF金鑰樹的任意非葉節點的衍生金鑰。由於區塊鏈用戶在具體的業務處理中可以有多種不同的業務資料權限類型,KDF金鑰樹的不同節點可以相應配置不同的業務資料權限類型所對應的衍生金鑰、或衍生公開金鑰-私密金鑰對。 圖2和圖3分別示意了一種具體業務模式中的KDF金鑰樹衍生結構示意圖。圖2所示的KDF金鑰樹的根金鑰為公開金鑰-私密金鑰對,則由該根金鑰衍生而出的任何節點的衍生金鑰均為公開金鑰-私密金鑰對,KDF金鑰樹的父節點可以推導衍生出其任意子節點,因此父節點可解密其任意子節點所加密的業務資料,獲得父節點衍生金鑰的區塊鏈用戶即可對獲得子節點衍生金鑰的區塊鏈用戶所加密的業務資料進行解密、監管等。 為確保衍生金鑰的安全性,金鑰分配方可定期更新衍生金鑰,在圖2所示的KDF金鑰樹結構中,獲得根節點金鑰的金鑰分配方用戶為不同的年份時間內的業務資料分別衍生了不同的衍生金鑰,如2017年、2018年、2019年、2020年,以上各個年份均對應有相應的業務資料權限類型。上述不同年份的衍生金鑰可在區塊鏈中作備份,例如,以可獲得上述對應年份的金鑰分配方的用戶公開金鑰作加密並備份在區塊鏈的分散式資料庫中,從而協助上述金鑰分配方為歷史業務資料進行查閱。值得注意的是,圖2所示的獲得不同年份的衍生金鑰(第二級衍生金鑰)的區塊鏈用戶作為金鑰接收方,既可以仍是持有獲得根節點金鑰的金鑰分配方自身,也可以是持有根節點金鑰的金鑰分配方基於業務資料權限類型為其分配金鑰的其他區塊鏈用戶。 圖2所示的KDF金鑰樹結構中的不同葉節點與不同的業務資料權限類型相對應,具有相同的業務資料權限類型的區塊鏈用戶可共用該葉節點對應的公開金鑰私密金鑰對。本領域的技術人員應知,圖2所示的第三級衍生金鑰(此時的葉節點)還可繼續向下擴充衍生(圖中未示),由具有相應業務資料權限的用戶作為金鑰分配方,為其監管的業務資料進行進一步的資料隱私隔離管理,亦即,上述第三級衍生金鑰作為父級衍生金鑰,由持有該第三級衍生金鑰的某區塊鏈用戶(作為金鑰分配方),基於其他區塊鏈用戶對上述某區塊鏈用戶可獲知的業務資料(即其監管的業務資料)所具有的、不同的業務資料權限類型進行下級金鑰衍生。 圖3示意了多鏈共用根節點的KDF金鑰衍生結構,不同的區塊鏈內的衍生金鑰可由同一個根節點金鑰衍生而來。該種金鑰衍生結構特別適用於包括基於多種業務類型而建構的多條聯盟鏈的多鏈系統,例如區塊鏈1為營運房屋租賃業務的聯盟鏈,區塊鏈2為營運共用租車業務的聯盟鏈,上述多鏈系統可具有一個統一的金鑰分配方以持有該根節點金鑰,該金鑰分配方可以為上述多鏈系統的總監管機構(如政府行政機構)、或該多鏈系統的建設機構等等。 由於同一個金鑰接收方可能具有不同的業務資料權限類型,如圖3所示的區塊鏈用戶A既具有聯盟鏈1中的一種業務資料權限類型,也具有聯盟鏈2中的一種業務資料權限類型;區塊鏈用戶B既具有聯盟鏈2中的兩種業務資料權限類型。為方便作為金鑰接收方的區塊鏈用戶A或B為相應的業務資料進行加密而不混淆其應使用的衍生金鑰(即上述實施例所述的第一衍生金鑰),金鑰接收方的節點設備可以本地資料庫中儲存關於第一衍生金鑰與其對應的業務資料權限類型的映射關係表。 值得注意的是,在KDF金鑰樹中由父節點(對應有金鑰分配方)產生子節點(對應有金鑰接收方)的過程通常可採用助記詞(seed)協助衍生的方式,具體的助記詞由金鑰分配方定義,以協助其計算產生子節點。助記詞通常可選用一些易於記憶的詞語,便於金鑰分配方管理基於各種業務資料權限類型而產生的多個衍生金鑰,而且在除了根金鑰外的任何衍生金鑰丟失的情況下,可以由持有根金鑰的金鑰分配方根據助記詞重新衍生或恢復出各級別的衍生秘鑰。例如,以規則:/聯盟鏈標識/時間(年)/業務類型/建構的KDF金鑰樹,可選用示例為/溯源行業鏈/2018/ABC/的助記詞,即該聯盟鏈名稱為“溯源行業鏈”,衍生秘鑰用於2018年,業務資料權限類型是業務資料在聯盟參與方A、B、C間可見。 步驟104,基於所述第一衍生金鑰對業務資料進行加密以獲得加密業務資料。 本實施例所述對業務資料的具體加密方式可以有多種,例如,當上述第一衍生金鑰為對稱加密金鑰時,可使用所述第一衍生金鑰對所述業務資料進行加密以獲得第一加密業務資料;所述加密業務資料包括所述第一加密業務資料。具有相同業務資料權限類型的區塊鏈用戶,即可利用上述一種或多種實施例所述的獲取第一衍生金鑰的方法獲取第一衍生金鑰,並對從區塊鏈的分散式資料庫上獲取的上述加密業務資料進行解密,以獲得該業務資料的明文資訊。 又如,當上述第一衍生金鑰為非對稱金鑰(對)時,可使用所述第一衍生公開金鑰對所述業務資料進行加密以獲得第一加密業務資料;所述加密業務資料包括所述第一加密業務資料。由於被第一衍生公開金鑰加密的資料需使用第一衍生私密金鑰來解密,具有相同業務資料權限類型的區塊鏈用戶,即可利用上述一種或多種實施例所述的獲取第一衍生私密金鑰的方法獲取與第一衍生金鑰對應的第一衍生私密金鑰,基於所述第一衍生私密金鑰對從區塊鏈的分散式資料庫上獲取的上述加密業務資料進行解密,以獲得該業務資料的明文資訊。 上述兩種實施方式所述的利用第一衍生金鑰或第一衍生公開金鑰對業務資料加密,既可以包括對一條交易內的全部業務資料進行加密,也可以包括對一條交易內的部分業務資料進行加密;既可以包括對業務資料進行直接加密,也可以包括對業務資料的密文再進行加密。 除了上述兩種實施方式所述的使用第一衍生金鑰或第一衍生公開金鑰對全部或部分的業務資料進行加密以產生加密業務資料外,還可使用第一衍生金鑰或第一衍生公開金鑰對全部或部分的業務資料的密文對應的解密金鑰進行加密以產生加密業務資料。例如,當上述第一衍生金鑰為對稱加密金鑰時,持有第一衍生金鑰的金鑰接收方可先使用第三加密金鑰對業務資料進行加密以獲得第二加密業務資料;然後再使用第一衍生金鑰對上述第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;發往區塊鏈的加密業務資料應包括上述第二加密業務資料和第三加密金鑰資料。本領域技術人員容易知道的是,上述利用第三加密金鑰進行加密的方法,既可以是對稱加密也可以是非對稱加密;當第三加密金鑰為對稱加密方法所使用的金鑰時,上述第三解密金鑰與第三加密金鑰相同;當第三加密金鑰為非對稱加密方法所使用的金鑰時,上述第三解密金鑰為與第三加密金鑰對應的私密金鑰或公開金鑰。 又如,當上述第一衍生金鑰為非對稱加密金鑰(對)時,持有第一衍生金鑰的金鑰接收方可先使用第三加密金鑰對業務資料進行加密以獲得第二加密業務資料;然後再使用第一衍生公開金鑰對上述第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;發往區塊鏈的加密業務資料應包括上述第二加密業務資料和第三加密金鑰資料。由於被第一衍生公開金鑰加密的資料需使用第一衍生私密金鑰來解密,具有相同業務資料權限類型的區塊鏈用戶,即可利用上述一種或多種實施例所述的獲取第一衍生私密金鑰的方法獲取與第一衍生金鑰對應的第一衍生私密金鑰,基於所述第一衍生私密金鑰對從區塊鏈的分散式資料庫上獲取的上述第三加密金鑰資料和第二加密業務資料依次進行解密,以獲得該業務資料的明文資訊。本領域技術人員容易知道的是,上述利用第三加密金鑰進行加密的方法,既可以是對稱加密也可以是非對稱加密;當第三加密金鑰為對稱加密方法所使用的金鑰時,上述第三解密金鑰與第三加密金鑰相同;當第三加密金鑰為非對稱加密方法所使用的金鑰時,上述第三解密金鑰為與第三加密金鑰對應的私密金鑰或公開金鑰。 步驟106,向所述區塊鏈發送所述加密業務資料,以使所述加密業務資料被所述區塊鏈共識驗證後收錄於所述區塊鏈的分散式資料庫。 在一示出的實施例中,將所述加密業務資料收錄於所述區塊鏈的分散式資料庫中的具體過程,可以包括: 確定滿足所述區塊鏈共識機制的共識記帳節點; 所述共識記帳節點將所述加密業務資料加入到候選區塊; 所述共識記帳節點向所述區塊鏈的節點廣播所述候選區塊; 在所述候選區塊通過所述區塊鏈符合預設數量的節點的驗證認可後,所述候選區塊被視為最新區塊,加入到所述區塊鏈的分散式資料庫中。 上述共識機制可以包括工作量證明機制(PoW)、或權利證明機制(PoS)、或股份授權證明機制(DPoS)等。為降低交易或資料的確認時間、提高交易輸送量、滿足對安全和性能的需求,尤其為基於不同的業務類型建構包含不同節點用戶的區塊鏈,本說明書所提供的實施例還可選用聯盟鏈架構來建構該區塊鏈。聯盟鏈通常多採用權益證明或PBFT、RAFT等共識演算法;由於採用該種演算法共識的效率高,可滿足高頻交易量的需求,且共識的時延很低,能快速地在區塊鏈的新生區塊中收錄上述加密業務資料;而且,將聯盟鏈網路中可信節點作為預選的記帳節點,兼顧了安全性與穩定性;另外,採用PBFT演算法不會消耗過多的電腦算力資源,也不一定需要代幣流通,因此具有良好的可使用性。 為方便區塊鏈上具有相同業務資料權限類型的用戶解密上述多種實施例所提供的加密業務資料,還可將上述第一衍生金鑰對應的業務資料權限類型標識與上述加密業務資料一起發送至區塊鏈的分散式資料庫;區塊鏈用戶在獲取到上述業務資料權限類型標識後,可在本地資料庫中查詢該業務資料權限類型標識對應的解密金鑰(第一衍生金鑰或第一衍生私密金鑰),從而方便快捷地對上述加密業務資料進行解密。 上述一個或多個實施例所述的基於區塊鏈的資料加密方法,金鑰分配方基於業務資料權限類型為金鑰接收方衍生分配金鑰,由於金鑰分配方的衍生金鑰可以解密其衍生出的任意一級的衍生金鑰,所以金鑰分配方即可監督管理其對應的金鑰接收方的業務資料。由於金鑰分配方也可作為其他更高級金鑰分配方的金鑰接收方,亦即,該金鑰分配方的衍生金鑰是由其他更高級金鑰分配方的衍生金鑰衍生而來的,由此可依據區塊鏈營運業務所涉及的用戶業務關係(如監督與被監督關係、資料共用關係、資料不能共用關係等),建立起相應的衍生金鑰樹,從而既確保了業務資料在具有不同業務資料權限類型的用戶之間的隔離,也確保了業務資料可被高級業務資料權限類型的用戶監督;既確保了業務資料的安全隱私性,又確保了業務資料的可被監管性。 與上述流程實現對應,本說明書的實施例還提供了一種基於區塊鏈的公共交通資料處理裝置。該裝置可以透過軟體來實現,也可以透過硬體或者軟硬體結合的方式來實現。以軟體實現為例,作為邏輯意義上的裝置,是透過所在設備的CPU(Central Process Unit,中央處理器)將對應的電腦程式指令讀取到記憶體中運行形成的。從硬體層面而言,除了圖5所示的CPU、隨機存取記憶體以及記憶體之外,網路風險業務的實現裝置所在的設備通常還包括用於進行無線信號收發的晶片等其他硬體,和/或用以實現網路通訊功能的板卡等其他硬體。 圖4所示為一種基於區塊鏈的業務資料加密裝置40,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,包括: 獲取單元402,所述金鑰接收方節點設備獲取所述金鑰分配方節點設備分配的第一衍生金鑰,所述第一衍生金鑰由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料權限類型而衍生產生,所述衍生金鑰可解密被所述第一衍生金鑰加密的業務資料; 加密單元404,基於所述第一衍生金鑰對業務資料進行加密以獲得加密業務資料; 發送單元406,向所述區塊鏈發送所述加密業務資料,以使所述加密業務資料被所述區塊鏈共識驗證後收錄於所述區塊鏈的分散式資料庫。 在又一示出的實施方式中,所述金鑰分配方的衍生金鑰和所述金鑰接收方的第一衍生金鑰均為對稱加密金鑰;所述獲取單元402: 所述金鑰接收方節點設備從所述區塊鏈的分散式資料庫中獲取被加密的第一衍生金鑰,所述第一衍生金鑰被基於所述金鑰接收方的用戶公開金鑰加密; 基於所述金鑰接收方的用戶私密金鑰解密上述被加密的第一衍生金鑰,以獲取所述第一衍生金鑰。 在又一示出的實施方式中,所述金鑰分配方的衍生金鑰和所述金鑰接收方的第一衍生金鑰均為非對稱加密金鑰對,所述第一衍生金鑰包括第一衍生公開金鑰和第一衍生私密金鑰; 所述獲取單元402: 從所述區塊鏈的分散式資料庫中獲取所述第一衍生公開金鑰和被所述金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。 在又一示出的實施方式中,所述發送單元406: 向所述區塊鏈發送對所述第一衍生私密金鑰的請求交易,其中,所述請求交易被所述金鑰接收方的用戶私密金鑰加密,以使所述金鑰分配方節點設備在基於所述金鑰接收方的用戶公開金鑰對所述請求交易驗證通過後,向所述區塊鏈發送被所述金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。 在又一示出的實施方式中,所述第一衍生金鑰是由所述金鑰分配方的衍生金鑰基於所述金鑰接收方的業務資料查看權限類型進行KDF計算而衍生產生的金鑰。 在又一示出的實施方式中,所述加密單元404: 使用所述第一衍生金鑰對所述業務資料進行加密以獲得第一加密業務資料; 所述加密業務資料包括所述第一加密業務資料。 在又一示出的實施方式中,所述加密單元404: 使用所述第一衍生公開金鑰對所述業務資料進行加密以獲得第一加密業務資料; 所述加密業務資料包括所述第一加密業務資料。 在又一示出的實施方式中,所述加密單元404: 使用第三加密金鑰對所述業務資料進行加密以獲得第二加密業務資料; 使用所述第一衍生金鑰對所述第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料; 所述加密業務資料包括第二加密業務資料和第三加密金鑰資料。 在又一示出的實施方式中,所述加密單元404: 使用第三加密金鑰對所述業務資料進行加密以獲得第二加密業務資料; 使用所述第一衍生公開金鑰對所述第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料; 所述加密業務資料包括第二加密業務資料和第三加密金鑰資料。 在又一示出的實施方式中,所述的裝置40還包括: 儲存單元408,將所述第一衍生金鑰與所述業務資料權限類型的標識對應保存於所述金鑰接收方的本地資料庫中。 在又一示出的實施方式中,所述發送單元406: 向所述區塊鏈發送所述加密業務資料和所述業務資料權限類型的標識。 上述裝置中各個單元和模組的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,相關之處參見方法實施例的部分說明即可,在此不再贅述。 上述實施例闡明的系統、裝置、模組或單元,具體可以由電腦晶片或實體實現,或者由具有某種功能的產品來實現。一種典型的實現設備為電腦,電腦的具體形式可以是個人電腦、膝上型電腦、蜂巢式電話、相機電話、智慧型電話、個人數位助理、媒體播放機、導航設備、電子郵件收發設備、遊戲控制台、平板電腦、可穿戴設備或者這些設備中的任意幾種設備的組合。 與上述方法實施例相對應,本說明書的實施例還提供了一種電腦設備,該電腦設備包括記憶體和處理器。其中,記憶體上儲存有能夠由處理器運行的電腦程式;處理器在運行儲存的電腦程式時,執行本說明書實施例中基於區塊鏈的資料加密方法的各個步驟。對基於區塊鏈的資料加密方法的各個步驟的詳細描述請參見之前的內容,不再重複。 以上所述僅為本說明書的較佳實施例而已,並不用來限制本說明書,凡在本說明書的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本說明書保護的範圍之內。 在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。 記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。 電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。 電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可編程唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性儲存設備或任何其他非傳輸媒體,可用來儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可讀媒體不包括暫態性電腦可讀媒體(transitory media),如調變的資料信號和載波。 還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。 本領域技術人員應明白,本說明書的實施例可提供為方法、系統或電腦程式產品。因此,本說明書的實施例可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體態樣的實施例的形式。而且,本說明書的實施例可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
S102:方法步驟 S104:方法步驟 S106:方法步驟 40:裝置 402:獲取單元 404:加密單元 406:上傳單元
圖1是一示例性實施例提供的一種基於區塊鏈的業務資料加密方法的流程圖; 圖2是一示例性實施例提供的金鑰衍生結構示意圖; 圖3是又一示例性實施例提供的金鑰衍生結構示意圖; 圖4是一示例性實施例提供的一種基於區塊鏈的業務資料加密裝置的示意圖; 圖5是運行本說明書所提供的基於區塊鏈的業務資料加密裝置實施例的一種硬體結構圖。

Claims (23)

  1. 一種基於區塊鏈的業務資料加密方法,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,該方法包括: 該金鑰接收方節點設備獲取該金鑰分配方節點設備分配的第一衍生金鑰,該第一衍生金鑰由該金鑰分配方的衍生金鑰基於該金鑰接收方的業務資料權限類型而衍生產生,該衍生金鑰可解密被該第一衍生金鑰加密的業務資料; 基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料;以及 向該區塊鏈發送該加密業務資料,以使該加密業務資料被該區塊鏈共識驗證後收錄於該區塊鏈的分散式資料庫。
  2. 根據請求項1所述的方法,該金鑰分配方的衍生金鑰和該金鑰接收方的第一衍生金鑰均為對稱加密金鑰;該金鑰接收方節點設備獲取該金鑰分配方節點設備分配的第一衍生金鑰,包括: 該金鑰接收方節點設備從該區塊鏈的分散式資料庫中獲取被加密的第一衍生金鑰,該第一衍生金鑰被基於該金鑰接收方的用戶公開金鑰加密;以及 基於該金鑰接收方的用戶私密金鑰解密上述被加密的第一衍生金鑰,以獲取該第一衍生金鑰。
  3. 根據請求項1所述的方法,該金鑰分配方的衍生金鑰和該金鑰接收方的第一衍生金鑰均為非對稱加密金鑰對,該第一衍生金鑰包括第一衍生公開金鑰和第一衍生私密金鑰;以及 該金鑰接收方節點設備獲取該金鑰分配方節點設備分配的第一衍生金鑰,包括: 該金鑰接收方節點設備從該區塊鏈的分散式資料庫中獲取該第一衍生公開金鑰和被該金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。
  4. 根據請求項3所述的方法,還包括: 向該區塊鏈發送對該第一衍生私密金鑰的請求交易,其中,該請求交易被該金鑰接收方的用戶私密金鑰加密,以使該金鑰分配方節點設備在基於該金鑰接收方的用戶公開金鑰對該請求交易驗證通過後,向該區塊鏈發送被該金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。
  5. 根據請求項1所述的方法,該第一衍生金鑰是由該金鑰分配方的衍生金鑰基於該金鑰接收方的業務資料查看權限類型進行KDF計算而衍生產生的金鑰。
  6. 根據請求項2所述的方法,該基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料,包括: 使用該第一衍生金鑰對該業務資料進行加密以獲得第一加密業務資料;以及 該加密業務資料包括該第一加密業務資料。
  7. 根據請求項3所述的方法,該基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料,包括: 使用該第一衍生公開金鑰對該業務資料進行加密以獲得第一加密業務資料;以及 該加密業務資料包括該第一加密業務資料。
  8. 根據請求項2所述的方法,該基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料,包括: 使用第三加密金鑰對該業務資料進行加密以獲得第二加密業務資料; 使用該第一衍生金鑰對該第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;以及 該加密業務資料包括第二加密業務資料和第三加密金鑰資料。
  9. 根據請求項3所述的方法,該基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料,包括: 使用第三加密金鑰對該業務資料進行加密以獲得第二加密業務資料; 使用該第一衍生公開金鑰對該第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;以及 該加密業務資料包括第二加密業務資料和第三加密金鑰資料。
  10. 根據請求項1所述的方法,還包括: 將該第一衍生金鑰與該業務資料權限類型的標識對應保存於該金鑰接收方的本地資料庫中。
  11. 根據請求項10所述的方法,該向該區塊鏈發送該加密業務資料,包括: 向該區塊鏈發送該加密業務資料和該業務資料權限類型的標識。
  12. 一種基於區塊鏈的業務資料加密裝置,應用於包括金鑰分配方節點設備和金鑰接收方節點設備的區塊鏈,該裝置包括: 獲取單元,該金鑰接收方節點設備獲取該金鑰分配方節點設備分配的第一衍生金鑰,該第一衍生金鑰由該金鑰分配方的衍生金鑰基於該金鑰接收方的業務資料權限類型而衍生產生,該衍生金鑰可解密被該第一衍生金鑰加密的業務資料; 加密單元,基於該第一衍生金鑰對業務資料進行加密以獲得加密業務資料;以及 發送單元,向該區塊鏈發送該加密業務資料,以使該加密業務資料被該區塊鏈共識驗證後收錄於該區塊鏈的分散式資料庫。
  13. 根據請求項12所述的裝置,該金鑰分配方的衍生金鑰和該金鑰接收方的第一衍生金鑰均為對稱加密金鑰; 該獲取單元: 該金鑰接收方節點設備從該區塊鏈的分散式資料庫中獲取被加密的第一衍生金鑰,該第一衍生金鑰被基於該金鑰接收方的用戶公開金鑰加密;以及 基於該金鑰接收方的用戶私密金鑰解密上述被加密的第一衍生金鑰,以獲取該第一衍生金鑰。
  14. 根據請求項12所述的裝置,該金鑰分配方的衍生金鑰和該金鑰接收方的第一衍生金鑰均為非對稱加密金鑰對,該第一衍生金鑰包括第一衍生公開金鑰和第一衍生私密金鑰; 該獲取單元: 從該區塊鏈的分散式資料庫中獲取該第一衍生公開金鑰和被該金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。
  15. 根據請求項14所述的裝置,該發送單元: 向該區塊鏈發送對該第一衍生私密金鑰的請求交易,其中,該請求交易被該金鑰接收方的用戶私密金鑰加密,以使該金鑰分配方節點設備在基於該金鑰接收方的用戶公開金鑰對該請求交易驗證通過後,向該區塊鏈發送被該金鑰接收方的用戶公開金鑰加密的第一衍生私密金鑰。
  16. 根據請求項12所述的裝置,該第一衍生金鑰是由該金鑰分配方的衍生金鑰基於該金鑰接收方的業務資料查看權限類型進行KDF計算而衍生產生的金鑰。
  17. 根據請求項13所述的裝置,該加密單元: 使用該第一衍生金鑰對該業務資料進行加密以獲得第一加密業務資料;以及 該加密業務資料包括該第一加密業務資料。
  18. 根據請求項14所述的裝置,該加密單元: 使用該第一衍生公開金鑰對該業務資料進行加密以獲得第一加密業務資料;以及 該加密業務資料包括該第一加密業務資料。
  19. 根據請求項13所述的裝置,該加密單元: 使用第三加密金鑰對該業務資料進行加密以獲得第二加密業務資料; 使用該第一衍生金鑰對該第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;以及 該加密業務資料包括第二加密業務資料和第三加密金鑰資料。
  20. 根據請求項14所述的裝置,該加密單元: 使用第三加密金鑰對該業務資料進行加密以獲得第二加密業務資料; 使用該第一衍生公開金鑰對該第三加密金鑰對應的第三解密金鑰進行加密以獲得第三加密金鑰資料;以及 該加密業務資料包括第二加密業務資料和第三加密金鑰資料。
  21. 根據請求項12所述的裝置,還包括: 儲存單元,將該第一衍生金鑰與該業務資料權限類型的標識對應保存於該金鑰接收方的本地資料庫中。
  22. 根據請求項21所述的裝置,該發送單元: 向該區塊鏈發送所述加密業務資料和該業務資料權限類型的標識。
  23. 一種電腦設備,包括:記憶體和處理器;該記憶體上儲存有可由處理器運行的電腦程式;該處理器運行該電腦程式時,執行如請求項1到11中任意一項所述的方法。
TW108129107A 2018-11-12 2019-08-15 基於區塊鏈的業務資料加密方法及裝置 TWI714219B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811338344.8A CN110033258B (zh) 2018-11-12 2018-11-12 基于区块链的业务数据加密方法及装置
CN201811338344.8 2018-11-12

Publications (2)

Publication Number Publication Date
TW202019120A true TW202019120A (zh) 2020-05-16
TWI714219B TWI714219B (zh) 2020-12-21

Family

ID=67235259

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108129107A TWI714219B (zh) 2018-11-12 2019-08-15 基於區塊鏈的業務資料加密方法及裝置

Country Status (6)

Country Link
US (2) US11102185B2 (zh)
EP (1) EP3813292A4 (zh)
CN (1) CN110033258B (zh)
SG (1) SG11202100850RA (zh)
TW (1) TWI714219B (zh)
WO (1) WO2020098365A1 (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008086413A2 (en) 2007-01-09 2008-07-17 Mystic Pharmaceuticals, Inc. Intranasal cartridge devices
CN110033258B (zh) 2018-11-12 2021-03-23 创新先进技术有限公司 基于区块链的业务数据加密方法及装置
US11368441B2 (en) * 2019-01-29 2022-06-21 Mastercard International Incorporated Method and system for general data protection compliance via blockchain
CN111461712B (zh) * 2020-03-17 2023-08-22 江苏华能智慧能源供应链科技有限公司 区块链供应链金融场景下的交易隐私保护和分层监管
US11646872B2 (en) * 2020-04-20 2023-05-09 Clemson University Management of access authorization using an immutable ledger
CN111768199A (zh) * 2020-06-30 2020-10-13 数字钱包(北京)科技有限公司 数字货币交易方法和本地钱包系统
CN112422279B (zh) * 2020-11-11 2023-02-03 深圳市中易通安全芯科技有限公司 一种智能终端密钥管理方法和分层管理系统
CN112528338A (zh) * 2020-12-23 2021-03-19 上海万向区块链股份公司 一种基于智能合约的数据存储和权限管理方法和系统
CN114765546B (zh) * 2020-12-30 2023-07-18 海能达通信股份有限公司 端到端硬加密方法、系统、加密设备、密钥管理服务器
CN113037464B (zh) * 2021-01-27 2022-06-03 广东轻工职业技术学院 一种基于区块链技术的智慧城市城域网架构方法
CN112685789A (zh) * 2021-03-12 2021-04-20 卓尔智联(武汉)研究院有限公司 一种处理工程造价数据的方法、装置及联盟链系统
CN112968904B (zh) * 2021-03-16 2022-09-06 中国科学院深圳先进技术研究院 一种区块链数据保护方法及系统
WO2022193119A1 (zh) * 2021-03-16 2022-09-22 中国科学院深圳先进技术研究院 一种区块链数据保护方法及系统
CN113193966B (zh) * 2021-06-30 2021-09-24 支付宝(杭州)信息技术有限公司 业务数据管理方法及装置
CN113556735B (zh) * 2021-07-09 2024-05-03 深圳市高德信通信股份有限公司 一种数据加密方法
CN113468517A (zh) * 2021-09-02 2021-10-01 北京交研智慧科技有限公司 一种基于区块链的数据共享方法、系统及存储介质
CN114142995B (zh) * 2021-11-05 2023-08-22 支付宝(杭州)信息技术有限公司 面向区块链中继通信网络的密钥安全分发方法及装置
CN114205093B (zh) * 2021-12-15 2023-04-07 深圳前海微众银行股份有限公司 区块链消息传输方法、装置、客户端及存储介质
CN114448701B (zh) * 2022-01-28 2023-10-13 矩阵时光数字科技有限公司 一种基于量子密钥的联盟区块链数据加密方法
CN114666064B (zh) * 2022-03-25 2024-08-06 广东启链科技有限公司 基于区块链的数字资产管理方法、装置、存储介质及设备
US12095926B2 (en) 2022-03-25 2024-09-17 Micro Focus Llc Retroactively adding encryption and/or authentication levels to a blockchain
CN115150417A (zh) * 2022-07-01 2022-10-04 南方电网电力科技股份有限公司 一种基于区块链的数据存储方法及相关装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635464B2 (en) * 2010-12-03 2014-01-21 Yacov Yacobi Attribute-based access-controlled data-storage system
US8892865B1 (en) * 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US11042488B2 (en) * 2015-06-01 2021-06-22 Cryptography Research, Inc. Diversifying a base symmetric key based on a public key
WO2017090041A1 (en) * 2015-11-24 2017-06-01 Ben-Ari Adi A system and method for blockchain smart contract data privacy
CN105681301B (zh) * 2016-01-16 2019-03-12 杭州复杂美科技有限公司 区块链上的结算方法
CN107666387A (zh) * 2016-07-27 2018-02-06 北京计算机技术及应用研究所 低功耗并行哈希计算电路
CN106055993A (zh) * 2016-08-13 2016-10-26 深圳市樊溪电子有限公司 一种用于区块链的加密存储系统及其使用方法
US10284378B2 (en) * 2016-10-05 2019-05-07 The Toronto-Dominion Bank Certificate authority master key tracking on distributed ledger
US10824747B1 (en) * 2017-01-25 2020-11-03 State Farm Mutual Automobile Insurance Company Systems and methods for controlled access to policy data on blockchain
CN107103472B (zh) * 2017-04-26 2021-03-19 北京计算机技术及应用研究所 一种用于区块链的算法处理模块
US10567168B2 (en) * 2017-11-16 2020-02-18 International Business Machines Corporation Blockchain transaction privacy enhancement through broadcast encryption
WO2019117899A1 (en) * 2017-12-13 2019-06-20 Visa International Service Association Self certification of devices for secure transactions
CN108229962B (zh) * 2018-01-04 2021-04-06 众安信息技术服务有限公司 基于区块链的权限管理方法及系统
CN108667605B (zh) * 2018-04-25 2021-02-23 拉扎斯网络科技(上海)有限公司 一种数据加密、解密方法和装置
CN108768633B (zh) * 2018-05-30 2022-03-25 腾讯科技(深圳)有限公司 实现区块链中信息共享的方法及装置
CN108768663B (zh) * 2018-05-31 2020-05-01 中国地质大学(武汉) 一种区块链访问控制方法及其处理系统
CN110033258B (zh) * 2018-11-12 2021-03-23 创新先进技术有限公司 基于区块链的业务数据加密方法及装置

Also Published As

Publication number Publication date
CN110033258B (zh) 2021-03-23
TWI714219B (zh) 2020-12-21
US11425108B2 (en) 2022-08-23
US11102185B2 (en) 2021-08-24
EP3813292A4 (en) 2021-12-08
EP3813292A1 (en) 2021-04-28
WO2020098365A1 (zh) 2020-05-22
US20210385200A1 (en) 2021-12-09
CN110033258A (zh) 2019-07-19
SG11202100850RA (en) 2021-02-25
US20210160227A1 (en) 2021-05-27

Similar Documents

Publication Publication Date Title
TWI714219B (zh) 基於區塊鏈的業務資料加密方法及裝置
Ermakova et al. Secret sharing for health data in multi-provider clouds
CN110430161B (zh) 一种基于区块链的可监管数据匿名分享方法及系统
CN105100083B (zh) 一种隐私保护且支持用户撤销的基于属性加密方法和系统
CN112581126A (zh) 基于区块链的平台数据管理方法、装置及存储介质
TW202029044A (zh) 區塊鏈交易的產生方法和裝置
JP6882705B2 (ja) 鍵交換システムおよび鍵交換方法
CN104901942A (zh) 一种基于属性加密的分布式访问控制方法
CN105227566A (zh) 密钥处理方法、密钥处理装置及密钥处理系统
CN117396869A (zh) 用于使用分布式账本技术进行安全密钥管理的系统和方法
CN109858259A (zh) 基于HyperLedger Fabric的社区健康服务联盟数据保护和共享方法
Sethia et al. CP-ABE for selective access with scalable revocation: A case study for mobile-based healthfolder.
CN112382376A (zh) 基于区块链的医疗器械管理追溯系统
Wen et al. A privacy‐preserving blockchain supervision framework in the multiparty setting
Li et al. Fine-grained access control for personal health records in cloud computing
Soltani et al. Data capsule: A self-contained data model as an access policy enforcement strategy
WO2022200726A1 (fr) Gestion de droits d'accès à des fichiers numériques avec possible délégation des droits
CN106230856A (zh) 一种基于物联网的工业设备监控系统
Ali et al. An Effective Blockchain Based Secure Searchable Encryption System.
shaher Alslman et al. Exchanging digital documents using blockchain technology
CN113193966B (zh) 业务数据管理方法及装置
CN117648706B (zh) 基于区块链和属性加密的访问控制方法
CN113746829B (zh) 多源数据的关联方法、装置、设备及存储介质
Wang et al. An Efficient Access control scheme for Outsourced Data.
Catherine et al. An Efficient and Secure Data Sharing Scheme for Ciphertext-Policy Attribute-based Signcryption for Cloud Storage Services