技术领域
本发明涉及边缘计算技术和区块链技术领域,尤其是涉及了一种基于端边云协同的存证隐私共享方法。
背景技术
随着大数据时代开启,各行业和区域投入大量人力和物力开展数据中心的建设,大数据应用持续发展和普及,各种信息系统规模日趋复杂、数据量日趋庞大,数据种类越来越多,数据形态也越来越多样。在大数据平台的建设中,数据资源通常包括本部门的数据,也包括相关的合作部门的数据和互联网的公开数据。随着数据的不断积累和使用,数据的价值也越来越大,如何安全可靠地使用数据成为一个日益突出的问题。通常数据安全从机密性、完整性和可用性等维度进行加固。保护数据不仅仅是要让数据正确、完整的可读写,更重要的是要让不该看到的人看不到,让能看到的人符合授权流程才能看到。
区块链技术的不可篡改、不可否认等特性为数据隐私共享开辟的新的技术途径。区块链是对账本全网公开,各个节点都能参与共识,本质上不利于数据隐私保护。本发明通过密码学中的可搜索加密技术和区块链技术相结合,实现两种粒度监管的数据隐私共享。
发明内容
为解决现有技术的不足,在保护数据隐私的条件下,实现数据共享的目的,对数据的内容实现信封监管和拆封监管等监管方式,本发明采用如下的技术方案:
一种基于端边云协同的可监管数据隐私共享方法,包括如下步骤:
S1,基于对称加密的数据云存储并产生存储凭证
S2,基于分布式密钥的数据凭证上链,包括如下步骤:
S21,基于对称密码算法,Shamir秘密共享机制,以及分布式密钥生成机制,生成凭 证加密密钥sk,sk的秘密分片
S22,区块链节点调用智能合约,基于分布式公钥可搜索加密算法,得到加密可搜 索值
S23,将
S3,在隐私状态及在委员会取得共识的条件下,对数据的内容进行监管,监管的方式包括:信封监管和拆封监管等两种粒度的监管方式,信封监管在所有节点共识的情况下,确认用户是否在某个时间内提交元数据的存储凭证,包括如下步骤:
S311,监管链上的节点提交关键字
S312,对密钥进行恢复,得到
S313,智能合约获取区块链上保存的
如果等式成立,说明关键字已经上链,否则,说明关键字上链,这种监管方式并不知道用户所存证的内容;
拆封监管则获取用户的元数据存储凭证,对存储的数据进行解密并获取数据明文,包括如下步骤:
S321,监管节点提交关键字
S322,监管节点调用智能合约,监管链上的节点判断是否满足拆封监管的条件;
S323,对密钥进行恢复,得到
S324,基于
S325,用户根据元数据加密密钥,调用智能合约程序得到元数据,并得到存储数据的内容。
进一步地,所述步骤S312中,本地陷门
产生全局门限函数,陷门集合
进一步地,所述步骤S21中,对密钥进行分发,系统选择多项式
所述步骤S312中,监管链上的节点通过多节点协商,收到
监管链上的节点计算本地门限
所述步骤S323中,收到
进一步地,所述密钥的分发和恢复采用分布式(k,n)密钥协议,将一个密钥分成n个部分,每个成员拥有独立的子密钥,满足:任何不少于k个合格成员,通过其持有的子密钥都可以重构原密钥(k<n);任何k个之内的成员集都无法重构原密钥。
进一步地,所述步骤S22中,分布式公钥可搜索加密算法,包括计算:
其中e( )为双线性因子映射,
其中,
进一步地,所述步骤S1包括如下步骤:
S11,为保证数据的安全性,用户通过对称加密的方式加密数据;
S12,区块链平台根据收到的数据生成文件,计算数字摘要,并上传至云端,同时,获得文件存储地址;
S13,区块链平台发起交易,调用智能合约,将元数据加密存储到区块链网络中,所 述元数据包括数字摘要和加密文件地址,区块链网络对交易达成一致,DO生成并输出元数 据的存储凭证
进一步地,所述步骤S1中
进一步地,所述步骤S1中构建云链一体的架构,加密数据存储于私有云上。
进一步地,所述步骤S1中加密的数据存储于Ceph集群。
进一步地,所述区块链是为基于实用拜占庭容错PBFT方式的联盟链,通过PBFT的leader节点验证交易并添加到最新区块。
本发明的优势和有益效果在于:
在大数据存储中,通过区块链技术实现数据的共享,在不需要知道存证内容的前提下,对数据进行监管,保证数据安全性、完整性、可用性等维度的同时,通过授权实现共享,区块链系统用于对用户的隐私数据存证,保护数据隐私不被泄露,同时实现对数据隐私共享条件下监管。
附图说明
图1是本发明的方法流程图。
图2是本发明中数据上链及区块链验证的流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
传统的物理存储,存在资源分散、存储可靠性无法保障等问题,存储虚拟化是指将各个分散且异构的存储设备,按照一定的策略,映射成一个统一连续编址的逻辑存储空间,称为虚拟存储池,并将虚拟存储池的访问地址提供给应用系统,存储虚拟化通过数据镜像、数据校验和多路径等技术提高了数据的可靠性和可用性。
Ceph集群是本实施例中的数据存储部分,提供PB级的数据存储能力,同时,集群具有高扩展性和高可靠性,可以通过增加节点的方式应对集群存储能力不足的问题。
如图1、2所示,一种基于端边云协同的可监管数据隐私共享方法,包括如下步骤:
步骤S1,基于对称加密的数据云存储并产生存储凭证,用户上传的数据以文件的形式存储在Ceph集群,数据的数字摘要、加密文件在Ceph集群中的存储地址、数据加密/解密密钥、数据访问记录等保存到区块链中。
初始化和区块同步:区块链基于P2P网络,不存在中心节点,每个节点的地位相同也可以与其他节点直接通信,将数据广播到全网。用户启动区块链节点接入联盟链后,联盟链网络会进行身份认证,合法的节点才能成功加入联盟链。加入联盟链后,节点开启监听并等待网络中对等节点的广播数据,并检查本身的区块是否是最高的区块,如果不是则从其他节点同步。
为保证数据的安全性,用户通过对称加密的方式将数据加密成为密文,并完成数据上传,平台根据收到的数据生成文件,计算数字摘要,保存到Ceph集群,并获得文件存储地址;
具体地,根据用户输入的数据和用户信息,采用对称密钥的方法产生加密数据,并 保存于云存储服务器中;区块链平台发起交易,调用智能合约,将数字摘要和加密文件地址 等信息作为元数据,并加密后存储到区块链网络中,区块链网络对交易达成一致,DO生成并 输出元数据的存储凭证:
构建云链一体的架构,加密数据存储于私有云上,访问数据的存储凭证包括用户凭证、时间、数据存储的统一资源位置(URL)、加密密钥等信息生成存储凭证。
步骤S2,基于分布式密钥的数据凭证上链,首先对密钥进行分发,系统选择多项式
具体地,区块链节点调用智能合约,基于Shamir分布式秘密共享机制,生成公共密 钥
分布式公钥可搜索加密算法,包括计算:
其中e()为双线性因子映射,
其中,
步骤S3,在隐私状态下,在委员会取得共识的条件下,对数据的内容进行监管,监管的方式包括:信封监管和拆封监管等两种粒度的监管方式,信封监管在所有节点共识的情况下,确认用户是否在某个时间内提交元数据的存储凭证,拆封监管则获取用户的元数据存储凭证,对存储的数据进行解密并获取数据明文。
1、信封监管过程,包括如下步骤:
(1)监管链上的节点提交关键字
(2)对密钥进行恢复,监管链上的节点通过多节点协商,收到
(3)监管链上的节点计算本地门限
具体地,本地陷门
(4)智能合约获取区块链上保存的
具体地,计算得到
如果上述等式成立,则说明某个
(5)信封监管完成。
2、拆封监管过程,包括如下步骤:
(1)监管节点提交关键字
(2)监管节点调用智能合约,监管链上的节点判断是否满足拆封监管的条件;
(3)对密钥进行恢复,收到
(4)基于
(5)用户根据元数据加密密钥,调用智能合约程序得到元数据,并得到存储数据的内容,数据拆封监管完成;
密钥的分发和恢复采用分布式(k,n)密钥协议,将一个密钥分成n个部分,每个成员拥有独立的子密钥,满足:
任何不少于k个合格成员,通过其持有的子密钥都可以重构原密钥(k<n);
任何k个之下的成员集都无法重构原密钥。