数据处理方法、数据请求端、数据拥有端及数据处理装置

文献发布时间：2024-04-18 19:53:47

技术领域

本发明涉及区块链技术领域，特别涉及一种数据处理方法、数据请求端、数据拥有端及数据处理装置。

背景技术

区块链以其去中心化、公开透明、不可篡改的特性，成为了代替中心化的可信实体、实现网络成员在低信任或无信任网络中进行数据可信交易的可靠选择。然而由于区块链公开透明的特性，在面对隐私信息传输的情况时，隐私信息的机密性遭到了极大的打击，为此众多学者将区块链与密码学进行结合，提出了许多基于密码学和区块链的信息保护方案。

属性基加密(Attribute-Based Encryption, ABE),是近年来密码学领域研究热点之一，利用属性基加密可以实现数据一对多的安全传输和细粒度的访问控制。密文策略属性基加密(Ciphertext-Policy ABE,CP-ABE)方案, 允许数据拥有者制定灵活的访问策略，更能够满足在解密方无法确定的情况下对数据进行加密传输和访问控制。

现有的基于区块链和属性基加密的信息保护方案主要是以传统属性基加密技术实现，它旨在保护区块链信息传输中的机密性和细粒度的访问控制，并没有对信息的可用性和完整性进行有效的保护，具体的，现有技术方案在面对被授权解密的用户因网络中断，设备损坏，个人原因等情况，不能及时的解密信息的情况，并且对于用户的解密结果现有技术方案无法进行及时的公开验证，无法有效应对解密用户不诚信的情况。

发明内容

基于此，本发明的目的是提供一种数据处理方法、数据请求端、数据拥有端及数据处理装置，用于解决现有技术中当被授权解密的用户因网络中断、设备损坏或者个人原因等情况而不能及时的解密信息以及解密用户不诚信的情况。

本发明一方面提供一种数据处理方法，应用于数据请求端，所述数据请求端设有数据请求者，所述数据请求者包括授权用户及半授权用户，所述方法包括：

获取数据拥有者存储在区块链中的共享信息摘要，通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT；

判断用户是否为半授权用户；

若用户为半授权用户，则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息，根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密；

根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。

另外，根据本发明上述的数据处理方法，还可以具有如下附加的技术特征：

进一步地，判断用户是否为半授权用户的步骤之后还包括：

若用户为授权用户，则授权用户的属性集

进一步地，授权用户通过恢复完整的会话密钥并将加密信息完整解密的步骤包括：

通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥；

通过运行对称解密算法输入授权会话密钥对其对应标准密文进行解密以获得明文信息。

本发明一方面还提供一种数据处理方法，应用于数据拥有端，所述数据拥有端设有数据拥有者，所述方法包括：

获取明文信息M，并对明文信息M进行分块处理以获取明文信息分块，使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C，并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT；

将所述标准密文C和会话密钥密文CT存储至IPFS系统中，并得到具有唯一性的哈希地址以构建共享信息摘要，并调用UploadBC智能合约将共享信息摘要上链存储。

另外，根据本发明上述的数据处理方法，还可以具有如下附加的技术特征：

进一步地，在使用会话密钥对所述明文信息M进行对称加密以构建标准密文C，并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT的步骤中，会话密钥加密的方法包括：

选取属性制定复合访问策略以构建单调的属性布尔表达式，并通过集成访问策略树生成算法，构建由门限节点、层级节点和属性节点组成的集成访问策略树，为每个层级节点选取一随机秘密值，以计算会话密钥密文CT。

进一步地，在获取明文信息M前，所述方法还包括：

执行系统公共参数生成算法以获得系统公钥PK和系统主密钥MK；

当数据请求者向系统注册身份时，执行属性密钥生成算法为用户创建一属性密钥SK；

通过由安全传输协议TLS实现的安全信道将所述属性密钥SK发送给数据请求者保存以完成数据初始化。

进一步地，获取明文信息M，使用会话密钥对所述明文信息M进行对称加密以构建标准密文C的步骤包括：

获取明文信息M，对所述明文信息M进行分块处理，以得到信息分块；

通过对称加密算法加密明文信息M及其信息分块以获得对称密文集合E；

通过标准密文生成算法构建信息分块哈希摘要H(M)并连接对称密文集合E与对称密文哈希摘要集合H(E)以生成标准密文C；

定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT的步骤包括：

选取属性制定复合访问策略以构建单调的属性布尔表达式字符串；

通过属性布尔表达式字符串运行集成访问策略树生成算法生成一集成访问策略树；

通过会话密钥加密算法输入集成访问策略树、公钥PK加密会话密钥以获得会话密钥密文CT。

本发明另一方面提供一种数据请求端，所述数据请求端设有数据请求者，所述数据请求者包括授权用户及半授权用户，所述数据请求端包括：

获取模块，用于获取数据拥有者存储在区块链中的共享信息摘要，通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT；

判断模块，用于判断用户是否为半授权用户；

第一执行模块，用于若用户为半授权用户，则每一半授权用户各自运行解密算法以对所述标准密文C和会话密钥密文CT进行解密而得到部分明文信息，根据多个部分明文信息合作恢复得到完整明文信息M以对所述标准密文C完成解密；

验证模块，根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。

本发明另一方面还提供一种数据拥有端，所述数据拥有端设有数据拥有者，所述数据拥有端包括：

构建模块，用于获取明文信息M，并对明文信息M进行分块处理以获取明文信息分块，使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C，并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT；

存储模块，用于将所述标准密文C和会话密钥密文CT存储至IPFS系统中，并得到具有唯一性的哈希地址以构建共享信息摘要，并调用UploadBC智能合约将共享信息摘要上链存储。

本发明另一方面还提供一种数据处理装置，包括：

数据拥有端，包括数据拥有者，用于将信息分块并使用会话密钥进行对称加密，构建标准密文，并定义访问结构执行加密算法将会话密钥进行加密，构建密钥密文，最后将密文存储至IPFS系统，生成共享信息摘要，并调用UploadBC智能合约将共享信息摘要上链存储；

数据请求端，包括数据请求者，用于从IPFS系统中下载密文以对密文进行解密，所述数据拥有者包括授权用户和半授权用户，授权用户满足访问结构的根节点可以恢复授权会话密钥，半授权用户只能满足访问结构的某个层级节点故只能和其他半授权用户合作恢复完整的信息；

用户代表，用户代表由数据请求者选举产生主要负责调用Verify智能合约验证解密后的信息是否真实可信，并将验证结果公布到区块链系统中；

星际文件系统IPFS，采用IPFS作为存储平台，保证了标准密文的安全可信，并且将密文脱链存储将节省大量的链上空间；

区块链网络，用于确保IPFS哈希地址和验证结果的可信存储和可追溯，并且分布式的区块链网络还用于提高整个系统的健壮性。

上述数据处理方法、数据请求端、数据拥有端及数据处理装置，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

附图说明

图1为本发明实施例中数据处理装置的整体架构图；

图2为本发明第一实施例中的数据处理方法流程图；

图3为本发明第二实施例中的数据处理方法流程图；

图4为本发明实施例中会话密钥加密原理示意图；

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

为了便于理解本发明，下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的若干实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容更加透彻全面。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及／或”包括一个或多个相关的所列项目的任意的和所有的组合。

为了解决现有技术中当被授权解密的用户因网络中断、设备损坏或者个人原因等情况而不能及时的解密信息和解密用户不诚信的情况，本申请提供一种数据处理方法、数据请求端、数据拥有端及数据处理装置，包含了数据拥有者、数据请求者和用户代表三个实体结构，以及IPFS、联盟链两种系统结构，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

具体的，请参阅图1，数据拥有者将标准密文上传到IPFS中，上传成功后，数据拥有者将得到具有唯一性的哈希地址，然后将数据拥有者的用户编号、哈希地址及其他信息构建共享信息摘要通过UploadBC合约生成交易然后由区块链网络中各节点共识后，产生新的区块，并将最新生成的区块追加到链尾。数据请求者通过智能合约查询数据拥有者分享的共享信息摘要，得到哈希地址，通过哈希地址从IPFS中下载标准密文。然后授权用户执行解密算法获得明文信息，半授权用户则各自运行解密算法并得到一部分的明文信息，然后选举出用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。

请参阅图1，展示了本专利的各个阶段，包括初始化、信息加密及上传、解密、验证四个阶段。

在初始化阶段，首先由数据拥有者执行系统公共参数生成算法，获得系统公钥PK。

PK=（

系统主密钥

其中

数据请求者向系统注册身份时，数据拥有者执行属性密钥生成算法，为信息用户创建一个属性密钥

(3)

其中

最后通过由安全传输协议TLS实现的安全信道将属性密钥发送给数据请求者保存，初始化阶段完成后，系统已经准备就绪，然后进入信息加密及上传阶段。

在信息加密及上传阶段，数据拥有者想要共享信息M，系统首先将信息M进行分块处理，得到k个信息分块，其中k由集成访问策略树中的层级节点的数量决定，即

然后数据拥有者使用加密算法，对会话密钥

（4）

其中

然后数据拥有者上传标准密文C和会话密钥密文CT到IPFS中，将返回的哈希地址，数据拥有者的用户编号及其他信息构建共享信息摘要通过智能合约UploadBC生成交易，经过区块链节点共识后生成区块。完成信息加密及上传后，共享信息摘要将永久存储至区块链节点的账本中，无法篡改，接下来进入解密阶段。

在解密阶段，数据请求者首先执行智能合约Query查询到存储在区块链中的共享信息摘要，通过公共网关下载存储在IPFS中的标准密文C和会话密钥密文CT。然后执行解密算法。

首先定义一个递归节点秘密恢复函数

（5）

如果节点

层级节点的秘密值

(6)

然后执行公式(7)计算会话密钥

(7)

对于授权用户的属性集

在公开验证阶段，用户代表调用验证合约，算法通过指针剪切标准密文，获得密文与明文的数字摘要，然后与明文数字摘要集合进行对比，如果存在信息数字摘要不相等的情况则该半授权用户不诚实返回其用户编号和验证结果，如果算法返回值为null则代表所有用户的解密结果为诚实可信的，该信息为正确信息。

算法执行完毕后验证结果将永久保存到区块链网络中，因为区块链具有不可篡改、公开透明、可溯源的特点，验证合约是部署在区块链上的可信代码，所以验证结果真实可信。

以一家公司的重要数据保护为例对本专利的技术进行讲解。在公司内部搭建联盟链网络，并将员工控制的终端以对等节点的形式加入到联盟链之中。

初始化阶段，由公司核心成员生成系统公私密钥对，将系统公钥发布给每一个成员，然后为公司每个员工注册属性密钥，系统初始化完成后所有用户拥有系统公钥和属性密钥。

然后在信息加密及上传阶段，工作完成后部门主管将本部门的重要数据进行分块处理，获得重要数据的信息分块使用对称加密算法对重要数据及其信息分块进行加密生成密文，进一步构建标准密文C，然后将选取的随机会话密钥使用系统公钥和构造的集成访问策略树进行加密生成密文CT，集成访问策略树的构造为部门主管（授权用户）满足根节点，部门成员（半授权用户）分别满足部分层级节点，之后将标准密文C与密文CT上传到IPFS中，IPFS会返回哈希地址给部门主管，然后部门主管将哈希地址、工号、描述、时间戳构建为共享信息摘要通过智能合约产生交易存储到区块链节点的账本中。

然后在解密阶段，公司成员可以通过智能合约查询到存储在区块链节点账本上的哈希地址并通过哈希地址从IPFS中下载密文。如果部门主管在岗，重要数据可由部门主管使用属性密钥解密，若遇到紧急情况需要本部门重要数据，而部门主管此时不在公司，无法及时解密，此时将由满足部分集成访问策略树中层级节点的部门成员使用各自的属性密钥进行合作解密。

然后为了保证部门成员解密结果是可信的，在验证阶段，由在场人员投票选举出用户代表，执行验证合约将半授权用户解密结果的哈希值与存储在IPFS中的标准密文中的明文哈希进行比较，并将验证结果存储在区块链节点的账本中。

为了便于理解本发明，下面将给出了本发明的若干实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容更加透彻全面。

实施例一

请参阅图2，所示为本发明第一实施例中的数据处理方法，应用于数据请求端，数据请求端设有数据请求者，数据请求者包括授权用户及半授权用户，方法包括步骤S101-S104：

S101、获取数据拥有者存储在区块链中的共享信息摘要，通过所述共享信息摘要获取哈希地址以通过所述哈希地址从IPFS中下载标准密文C和会话密钥密文CT。

S102、判断用户是否为半授权用户。

若用户为半授权用户，则执行步骤S103；

若用户为授权用户，则执行步骤S105；

S103、每一半授权用户各自运行解密算法以对标准密文C和会话密钥密文CT进行解密而得到部分明文信息，根据多个部分明文信息合作恢复得到完整明文信息M以对标准密文C完成解密。

S104、根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。

S105、授权用户的属性集

具体的，通过拉格朗日插值法对所满足属性节点的秘密值进行向上递归插值重构根节点秘密值并解密授权会话密钥，然后通过运行对称解密算法输入授权会话密钥对其对应标准密文进行解密以获得明文信息。

在系统构造上，本专利将数据请求者分为授权用户、半授权用户、用户代表，分别执行解密、合作解密、验证操作，提高了信息的可用性和完整性。而现有方案中只有单一的用户角色。通过授权用户和半授权用户结合的方式，避免因为授权用户出现意外而造成无法获取信息的情况，保护了信息的可用性。

综上，本发明上述实施例当中的数据处理方法，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

实施例二

请参阅图3，所示为本发明第二实施例中的数据处理方法，应用于数据拥有端，数据拥有端设有数据拥有者，方法包括步骤S201-S202：

S201、获取明文信息M，并对明文信息M进行分块处理以获取明文信息分块，使用会话密钥对所述明文信息M及其信息分块进行对称加密以构建标准密文C，并定义访问结构执行加密算法以将会话密钥进行加密而构建会话密钥密文CT。

作为一个具体示例，获取明文信息M，对所述明文信息M进行分块处理，以得到信息分块；通过对称加密算法加密明文信息M及其信息分块以获得对称密文集合E；通过标准密文生成算法构建信息分块哈希摘要H(M)并连接对称密文集合E与对称密文哈希摘要集合H(E)以生成标准密文C；进一步地，通过选取属性制定复合访问策略以构建单调的属性布尔表达式，并通过集成访问策略树生成算法，构建由门限节点、层级节点和属性节点组成的集成访问策略树，为每个层级节点选取一随机秘密值，通过所述会话密钥加密算法输入所述集成访问策略树和公钥PK加密会话密钥以获得会话密钥密文CT。

在获取明文信息M前，方法还包括：

执行系统公共参数生成算法以获得系统公钥PK和系统主密钥MK；当数据请求者向系统注册身份时，执行属性密钥生成算法为用户创建一属性密钥SK；通过由安全传输协议TLS实现的安全信道将属性密钥SK发送给数据请求者保存以完成数据初始化。

S202、将标准密文C和会话密钥密文CT存储至IPFS系统中，并得到具有唯一性的哈希地址以构建共享信息摘要，并调用UploadBC智能合约将共享信息摘要上链存储。

请参见图4，在本申请中，由数据拥有者首先构造出集成访问策略树，图中是一个三层集成访问策略树，其中椭圆节点为门限节点∧为与门，∨为或门，矩形节点为属性节点，其中

在现有方案中，直接使用属性基加密算法加密信息，采用传统的访问策略树，只能实现授权用户的解密，并且没有验证环节。本专利先通过对称加密算法对明文加密，然后构造了集成访问策略树，实现授权用户的单独解密和半授权用户的合作解密，并且加入验证算法验证用户解密的真实性，效率更高，信息完整性得到更为有效保护。通过改进的属性基加密算法，既保留了原属性基加密算法可以实现细粒度访问控制的优点，又通过与对称加密算法相结合，提高了加解密效率，保护了信息的机密性，又引入上传、查询、验证合约，保证了用户解密结果的真实可信，保护了信息的完整性。

实施例三

本发明第三实施例提供一种数据请求端，设有数据请求者，数据请求者包括授权用户及半授权用户，数据请求端包括：

判断模块，用于判断用户是否为半授权用户；

验证模块，根据半授权用户选举用户代表执行Verify合约对半授权用户的解密结果进行验证并将验证结果上链存储。

综上，本发明上述实施例当中的数据请求端，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

实施例四

本发明第四实施例提供一种数据拥有端，设有数据拥有者，数据拥有端包括：

综上，本发明上述实施例当中的数据拥有端，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

实施例五

本发明第五实施例提供一种数据处理装置，包括：

用户代表，用户代表由数据请求者选举产生主要负责调用Verify智能合约验证解密后的信息是否真实可信，并将验证结果公布到区块链系统中；

星际文件系统IPFS，采用IPFS作为存储平台，保证了标准密文的安全可信，并且将密文脱链存储将节省大量的链上空间；

区块链网络，用于确保IPFS哈希地址和验证结果的可信存储和可追溯，并且分布式的区块链网络还用于提高整个系统的健壮性。

综上，本发明上述实施例当中的数据处理装置，通过拥有授权用户和半授权用户，使得即使授权用户出现意外，比如网络中断、设备损坏或者个人原因等而不能及时的解密信息，也可以通过半授权用户合作解密提高信息的可用性；由于区块链系统中使用传统的对称或者非对称加密只能实现数据拥有者与用户之间一对一的共享，使用本发明可以在保证信息机密性的同时实现加密信息的一对多细粒度的访问控制，并且通过构建的标准密文和区块链上部署的验证合约对解密信息进行公开透明、可信的验证，使得本申请提供的数据处理方法、数据请求端、数据拥有端及数据处理装置，保证了信息的完整性。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：
专利申请人：江西农业大学;

上一篇：高强度防腐水性聚氨酯、防腐材料及应用
下一篇：一种支持RMT的解析器、逆解析器、解析方法及交换机