WO2018032377A1

WO2018032377A1 - 一种用于区块链的只读安全文件存储系统及其方法

Info

Publication number: WO2018032377A1
Application number: PCT/CN2016/095581
Authority: WO
Inventors: 张丛
Original assignee: 深圳市樊溪电子有限公司
Priority date: 2016-08-13
Filing date: 2016-08-16
Publication date: 2018-02-22
Also published as: CN106295401A

Abstract

一种用于区块链的只读安全文件存储系统，包括：(1)用户服务器认证协议模块，通过一个自证明路径名执行用户与服务器之间的相互认证协议；(2)签名和加密模块，用于正确加密交易文件；(3)交易文件访问验证模块，用于验证用户的可信任度；(4)安全文件数据产生器；(5)只读安全文件数据服务器端的守护进程；以及(6)客户端，传统路径被转换成数据并在客户端环境进行数字签名，然后被分布在任意数量运行的服务器上，守护进程收到客户端的请求并返回数据；(7)邮戳协议模块，用于检测交易数据完整性。该存储系统及其方法提高了大型文件系统存储时间，创建者可在无网环境下完成密码运算，数据创建和根据密文解密。

Description

一种用于区块链的只读安全文件存储系统及其方法

技术领域

本发明涉及区块链的交易数据安全问题，特别是一种区块链的只读安全文件存储系统及其方法。

背景技术

2009年比特币的出现带来了一种颠覆性的成果--区块链技术，区块链是一个安全的帐簿类数据库，由一个个数据区块组成，使用者可以在这个不断更新升级的平台查找数据，对于金融机构来说，区块链能加快交易处理过程、降低成本、减少中间人、提高市场洞察力，增加业务透明度。

计算和存储是计算机系统的两大基本任务，随着信息的爆炸性增长，存储部件会经历基于单服务器的直连存储，到基于局域网的集群网格存储，最后发展到基于广域网的数据网格，区块链技术是目前发展的最末端，这种数据存储介质的本征特质包括智能化的存储，存储服务质量可以保证为用户应用提供服务区分和性能保证，存储是面向对象的海量存储，以及网络存储必须保证是机密完整和安全的，现有的互联网还没有很好的或者方便的办法保证区块链传输过程中的数据和保存在存储设备上的数据的保密性、完整性、可用性、不可抵赖性以及整个网络存储系统的可靠性能，尤其是近年来区块链可信计算技术的产生，对网络存储安全又提出更高的要求。

发明内容

本发明的目的在于提供一种用于区块链的只读安全文件存储系统及其方法，包括：(1)用户服务器认证协议模块，用于通过一个自证明路径名来执行用户与服务器之间的相互认证协议；(2)签名和加密模块，用于正确加密交易文件；(3)交易文件访问验证模块，用于验证用户的可信任度从而确定起是否可以访问交易文件；(4)安全文件数据产生器；(5)只读安全文件数据服务器端的守护进程；以及(6)客户端，传统的路径被转换成数据并且在安全的所述客户端环境进行数字签名，然后数据被分布在任意数量运行的只读安全文件存储系统服务进程的服务器上，所述只读安全文件数据服务器端的守护进程收到客户端的请求并返回数据；(7)邮戳协议模块，用于检测交易数据完整性。

优选的，自证明路径名拥有嵌在它内部的一个文件的公钥，文件的创建者有向所有嵌在用户分配所述公钥的权利以提供范围更大的密码选择。

优选的，运行所述签名和加密模块时，管理员把交易文件系统中的内容转变成由所述公钥签名的基本交易数据，一旦签名，所述基本交易数据能被复制、分散到不信任的机器上而没有被攻陷的威胁。

优选的，交易文件访问验证模块访问交易文件时，强制用户提供存储服务器的位置，包括主机名字和IP地址，以及主机ID，所述主机ID是服务器的位置和文件创造者加密数据的非对称密钥的公钥的哈希值。

优选的，用户一旦通过认证被允许访问时，就被提供一个由文件块哈希值组成的柄，多个柄组成柄群，被嵌套计算哈希值并存储在哈希树中，从而使树根验证单个文件块。

优选的，客户端是标准的文件系统协议和服务器的信道，当接受一个文件传递时，把大块的只读安全文件存储数据转换为传统的区块链节点和传统文件系统所希望的数据块，在所述客户端设置一个私钥来验证从服务器传出的数据的数字签名。

优选的，安全文件数据产生器被用户用于创建一个数据库时，首先记录创建时间记录，然后，创建者建立一个最后时间来决定是否放弃该数据，从而设定有上下限的时间，最后，交易文件的用户保存有当时时间戳的记录，以此来比较所收到的所有交易数据从而阻止一个重放攻击。

优选的，交易文件创建者把创建的数据复制到多个运行有所述只读安全文件数据服务器端的守护进程的服务器上以将访问控制扩展为全球区块链环境的只读数据。

采用该区块链的自安全存储系统，可以更快更完整的恢复被入侵的交易数据文件。

本发明的用于区块链的只读安全文件存储系统，可以提高大型文件系统存储时间，创建者可以在无网环境下完成密码运算，数据创建和根据密文解密，安全可信任的运行。

根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。

附图说明

后文将参照附图以示例性而非限制性的方式详细描述本发明的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解，这些附图未必是按比例绘制的。本发明的目标及特征考虑到如下结合附图的描述将更加明显，附图中：

图1为根据本发明实施例的区块链的只读安全文件存储系统的结构示意图。

具体实施方式

在进行具体实施方式的说明之前，为了更为清楚的表达所论述的内容，首先定义一些非常重要的概念。

交易：交易的实质是个关系数据结构，这个数据结构中包含交易参与者价值转移的相关信息。这些交易信息被称为记账总账簿。交易需经过三个创建、验证、写入区块链。交易必须经过数字签名，保证交易的合法性。

区块：所有的交易信息存放于区块中，一条交易信息就是一条记录，作为一个独立的记录存放于区块链中。区块由区块头部和数据部分组成，区块头字段包含区块本身的各种特性，例如前一区块信息，merkle值及时间戳等。其中区块头哈希值和区块高度是标识区块最主要的两个指标。区块主标识符是它的加密哈希值，一个通过SHA算法对区块头进行二次哈希计算而得到的数字指纹。产生的32字节哈希值被称为区块哈希值，或者区块头哈希值，只有区块头被用于计算。区块哈希值可以唯一、明确地标识一个区块，并且任何节点通过简单地对区块头进行哈希计算都可以独立地获取该区块哈希值。

区块链：由区块按照链式结构有序链接起来的数据结构。区块链就像一个垂直的堆栈，第一个区块作为栈底的首区块，随后每个区块都被放置在其他区块之上。当区块写入区块链后将永远不会改变，并且备份到其他的区块链服务器上。

实施例：

在一个分布式环境中，对只读数据，只读安全文件存储系统依据自证明路径名提供高可用性，而不需要基于服务器端的密码运算，提供比较好的性能，并且对只读文件产生多重拷贝的时候能确保数据的完整性，而不会像传统的复制一样导致安全等级的降级。

参见图1，一种用于区块链的只读安全文件存储系统，包括用户服务器认证协议模块，用于通过一个自证明路径名来执行用户与服务器之间的相互认证协议，该路径名拥有嵌在它内部的一个文件的公钥，文件的创建者有分配密钥的权利，因此提供了一个更大范围的密码选择。

还包括签名和加密模块，为了正确加密交易文件，管理员把交易文件系统中的内容转变成由公钥签名的基本交易数据。一旦签名，这些基本交易数据能被复制、分散到不信任的机器上而没有被攻陷的威胁。

另外，还具有一个交易文件访问验证模块，访问交易文件时，用户必须提供存储服务器的位置，包括主机名字和IP地址，以及主机ID。主机ID是服务器的位置和文件创造者加密数据的非对称密钥的公钥的哈希值。数据的创造者向所有潜在的用户提供公钥。用户一旦通过认证被允许访问时，就被提供一个适当的由文件块哈希值组成的柄，多个柄组成柄群，被嵌套计算哈希值并存储在哈希树中，这样树根就提供验证单个文件块的能力，从而减少整个系统所需的柄。

该只读安全文件存储系统还包括三个重要的模块，即安全文件数据产生器，只读安全文件数据服务器端的守护进程和客户端。传统的路径被转换成数据并且在一个安全的客户端环境进行数字签名。然后数据被分布在任意数量运行的只读安全文件存储系统服务进程的服务器上，服务器端的守护进程收到客户端的请求并返回数据。安全文件存储系统客户端运行在一台客户机上，是标准的文件系统协议和服务器的信道。当接受一个文件传递时，把大块的只读安全文件存储数据转换为传统的区块链节点和传统文件系统所希望的数据块。并且由于只读安全文件存储系统对服务器不信任，客户端拥有一个私钥来验证从服务器传出的数据的数字签名。

同时只读安全文件存储系统还包括一个邮戳协议模块，检测交易数据完整性。当用户创建一个数据库时，将创建时间记录下来，此外，创建者必须建立一个最后时间来决定是否放弃该数据，这样时间就有了一个上下限。文件的用户保存有当时时间戳的记录，以此来比较所收到的所有交易数据从而阻止一个重放攻击。

由于单个服务器不能影响某种特殊类型的交易文件的可用性，因此要把访问控制扩展到全球区块链环境的只读数据，文件创建者把创建的数据要复制到多个运行有安全文件存储守护进程的服务器上，而将这样一份特殊的只读数据拷贝到多个服务器上，文件的可用性得以延展。

该只读安全文件存储系统涉及的密码运算实在没有网络环境的客户端及其上完成的，数据也是在无网安全环境下创建的，解密是在收到加密文件后的本地客户机上完成的。将一份文件加上时间戳后，在该存储系统存储的时间比普通文件存储系统存储的时间减少了约40％。

虽然本发明已经参考特定的说明性实施例进行了描述，但是不会受到这些实施例的限定而仅仅受到附加权利要求的限定。本领域技术人员应当理解可以在不偏离本发明的保护范围和精神的情况下对本发明的实施例能够进行改动和修改。

Claims

一种用于区块链的只读安全文件存储系统，其特征在于包括：

(1)用户服务器认证协议模块，用于通过一个自证明路径名来执行用户与服务器之间的相互认证协议；

(2)签名和加密模块，用于正确加密交易文件；

(3)交易文件访问验证模块，用于验证用户的可信任度从而确定起是否可以访问交易文件；

(4)安全文件数据产生器；

(5)只读安全文件数据服务器端的守护进程；以及

(6)客户端，传统的路径被转换成数据并且在安全的所述客户端环境进行数字签名，然后数据被分布在任意数量运行的只读安全文件存储系统服务进程的服务器上，所述只读安全文件数据服务器端的守护进程收到客户端的请求并返回数据；

(7)邮戳协议模块，用于检测交易数据完整性。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：所述自证明路径名拥有嵌在它内部的一个文件的公钥，文件的创建者有向所有嵌在用户分配所述公钥的权利以提供范围更大的密码选择。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：运行所述签名和加密模块时，管理员把交易文件系统中的内容转变成由所述公钥签名的基本交易数据，一旦签名，所述基本交易数据能被复制、分散到不信任的机器上而没有被攻陷的威胁。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：所述交易文件访问验证模块访问交易文件时，强制用户提供存储服务器的位置，包括主机名字和IP地址，以及主机ID，所述主机ID是服务器的位置和文件创造者加密数据的非对称密钥的公钥的哈希值。
根据权利要求4所述的一种用于区块链的只读安全文件存储系统，其特征在于：用户一旦通过认证被允许访问时，就被提供一个由文件块哈希值组成的柄，多个柄组成柄群，被嵌套计算哈希值并存储在哈希树中，从而使树根验证单个文件块。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：所述客户端是标准的文件系统协议和服务器的信道，当接受一个文件传递时，把大块的只读安全文件存储数据转换为传统的区块链节点和传统文件系统所希望的数据块，在所述客户端设置一个私钥来验证从服务器传出的数据的数字签名。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：所述安全文件数据产生器被用户用于创建一个数据库时，首先记录创建时间记录，然后，创建者建立一个最后时间来决定是否放弃该数据，从而设定有上下限的时间，最后，交易文件的用户保存有当时时间戳的记录，以此来比较所收到的所有交易数据从而阻止一个重放攻击。
根据权利要求1所述的一种用于区块链的只读安全文件存储系统，其特征在于：所述交易文件创建者把创建的数据复制到多个运行有所述只读安全文件数据服务器端的守护进程的服务器上以将访问控制扩展为全球区块链环境的只读数据。
一种用于区块链的只读安全文件存储方法，其特征在于包括如下步骤：

(1)用户服务器认证协议模块，用于通过一个自证明路径名来执行用户与服务器之间的相互认证协议；

(2)签名和加密模块，用于正确加密交易文件；

(3)交易文件访问验证模块，用于验证用户的可信任度从而确定起是否可以访问交易文件；

(4)安全文件数据产生器；

(5)只读安全文件数据服务器端的守护进程；以及

(6)客户端，传统的路径被转换成数据并且在安全的所述客户端环境进行数字签名，然后数据被分布在任意数量运行的只读安全文件存储系统服务进程的服务器上，所述只读安全文件数据服务器端的守护进程收到客户端的请求并返回数据；

(7)邮戳协议模块，用于检测交易数据完整性。
根据权利要求9所述的一种用于区块链的只读安全文件存储放噶，其特征在于：所述自证明路径名拥有嵌在它内部的一个文件的公钥，文件的创建者有向所有嵌在用户分配所述公钥的权利以提供范围更大的密码选择；

运行所述签名和加密模块时，管理员把交易文件系统中的内容转变成由所述公钥签名的基本交易数据，一旦签名，所述基本交易数据能被复制、分散到不信任的机器上而没有被攻陷的威胁；

所述交易文件访问验证模块访问交易文件时，强制用户提供存储服务器的位置，包括主机名字和IP地址，以及主机ID，所述主机ID是服务器的位置和文件创造者加密数据的非对称密钥的公钥的哈希值；

用户一旦通过认证被允许访问时，就被提供一个由文件块哈希值组成的柄，多个柄组成柄群，被嵌套计算哈希值并存储在哈希树中，从而使树根验证单个文件块；

所述客户端是标准的文件系统协议和服务器的信道，当接受一个文件传递时，把大块的只读安全文件存储数据转换为传统的区块链节点和传统文件系统所希望的数据块，在所述客户端设置一个私钥来验证从服务器传出的数据的数字签名；

所述安全文件数据产生器被用户用于创建一个数据库时，首先记录创建时间记录，然后，创建者建立一个最后时间来决定是否放弃该数据，从而设定有上下限的时间，最后，交易文件的用户保存有当时时间戳的记录，以此来比较所收到的所有交易数据从而阻止一个重放攻击；

所述交易文件创建者把创建的数据复制到多个运行有所述只读安全文件数据服务器端的守护进程的服务器上以将访问控制扩展为全球区块链环境的只读数据。