CN108650302A

CN108650302A - 一种基于区块链的云箱安全技术

Info

Publication number: CN108650302A
Application number: CN201810341827.7A
Authority: CN
Inventors: 贺卫
Original assignee: Beijing Yuanda Macro Polytron Technologies Inc
Current assignee: Beijing Yuanda Macro Polytron Technologies Inc
Priority date: 2018-04-17
Filing date: 2018-04-17
Publication date: 2018-10-12

Abstract

本发明公开了一种基于区块链的云箱安全技术，属于数据安全领域，所述的基于区块链的云箱安全技术包括云箱、中心云端服务器、数据终端，多个云箱在运行的过程中高度依赖中心云端，在服务器数据库受到攻击损毁后，所有的云箱任务将会停滞，箱体将无法识别权限，则无法打开。采用区块链技术后，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储，保障了云箱在服务器数据无法恢复的情况下依然能够执行任务。

Description

一种基于区块链的云箱安全技术

技术领域

本发明属于数据安全领域，更具体的说涉及一种基于区块链的云箱安全技术。

背景技术

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链***中实现不同节点之间建立信任、获取权益的数学算法。

随着云计算、大数据等技术的不断成熟与发展，信息处理架构已从松散耦合的单点计算模式演变为具有分布式、协同性、动态可重构且无处不在的多态融合框架，支撑上层运算所需要的计算、存储、网络、数据等资源都会以服务或服务组合的形式提供给合法终端，这意味着为上层应用带来丰富基础资源的同时也带来了巨大的挑战：更多资源的异构性、动态性及用户，需求的复杂性与服务组合所预期的可靠性、可用性之间的对立关系愈发明显。

云箱是一款军工产品“智能安全云箱”，云箱是一款传送机要文件和物品的保密箱，发件人通过移动端加密，并指定好收件人后，传送过程中无人能够打开。如出现暴力开箱或者中途送件异常情况会出现报警，且全程北斗定位监控。是一款过程管理工具，让保密制度在室外有了技术性完善。多个云箱在执行任务时，如果过于依赖中心服务器，则会出现潜在的风险。当服务器受到攻击，导致数据受损，则当前云箱任务会受到影响。

多个云箱在运行的过程中高度依赖中心云端，在服务器数据库受到攻击损毁后，所有的云箱任务将会停滞，箱体将无法识别权限，则无法打开。采用区块链技术后，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储，保障了云箱在服务器数据无法恢复的情况下依然能够执行任务。

发明内容

本发明采用区块链技术，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储，保障了云箱在服务器数据无法恢复的情况下依然能够执行任务，以提高云箱运行的可靠性，通过区块链的属性在阶段化任务中提高可靠性。

为了实现上述目的，本发明是通过以下技术方案实现的：所述的基于区块链的云箱安全技术包括：

能够提供过程管理功能的云箱，能够参与数据交互的数据终端，能够为云箱提供服务的中心云端服务器；

所述的云箱安全权限验证采用区块链技术，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储；

所述的中心云端服务器出现数据丢失时，以数据终端数据链对中心云端服务器进行同步更新恢复或对备份服务器进行最新数据更新，以保障当前云箱任务的继续执行；

所述的数据终端在任务执行后，数据链不再保存，所有数据进入中心云端服务器数据库备份，仅供查询使用。

进一步的，所述的数据终端包括云箱的数据处理存储设备、发件人手机、送件人手机、收件人手机。

进一步的，所述的云箱打开时，先设定取件及收件人，然后开始建立云箱的一个任务；该任务的运行节点记录与节点的操作人信息，除了在中心云端服务器存储更新外，在所有的参与数据终端，即云箱、发件人手机、送件人手机、收件人手机都将建立数据同步机制，在最新的任务节点更新链条数据，并进行多方加密同步；各终端数据均以加密数据链区块化存储。

进一步的，所述的区块化分布式存储具体步骤为：

步骤1.用户发起任务时将发件人、送件人、收件人手机或用户ID以及云箱的硬件ID标识；

步骤2.标识性信息用对称加密算法AES加入特定的加密盐进行对称加密，后利用非对称加密算法RSA生成一对密钥，利用公钥对刚加密的字符串加入发起任务时的时间戳进行加密；

步骤3.利用即时通讯监听端口方法将加密完成后的数据同步存储到本次任务所对应的各种设备上，对应各个设备可利用私钥对该数据进行解密；

步骤4.在每次任务节点时，对中心云端服务器发送请求并携带上次同步到设备上的加密信息主体；

步骤5.服务器对该次请求过来的加密数据利用私钥解密，再进行AES对称解密，得到本次任务的标识信息，根据标识信息获取本次任务可操作的几方信息，对比该次请求者是否有权限进行本次操作，比对成功，响应操作。

进一步的，所述的同步机制建立步骤为：

所述的同步机制建立步骤为：

步骤1.当数据终端传来的加密内容解析之后与服务器存储的值不同的话，立即将本次任务的另几方数据终端上的数据请求回来，进行解密对比，对比结果取较多百分比统一的一方；

步骤2.将其他数据终端上的数据全部清除，将最新的正确的数据同步一份放置各个数据终端存储；

步骤3.如果请求服务器时发觉服务服务器的数据丢失时，无法进行数据比对，为保证该次任务继续进行，将其他几方数据终端上的加密请求回来，进行解密比对，采用PBFT共识算法，同样对比结果取较多百分比统一的一方；

步骤4.将正确一方的数据，在中心云端服务器进行备份，然后将新的数据用对称加密算法AES加入特定的加密盐进行对称加密；

步骤5.利用非对称加密算法RSA生成一对新的密钥，利用公钥对刚加密的字符串加入发起任务时的时间戳进行加密，把加密数据同步至各个数据终端上；

步骤6.数据终端在任务执行后，数据链不再保存，所有数据进入中心云端服务器数据库备份，仅供查询使用。

本发明有益效果：

1.采用区块链技术后，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储，保障了云箱在服务器数据无法恢复的情况下依然能够执行任务。

2.将区块链技术用于云箱，以提高云箱运行的可靠性。

3.将区块链与中心云相融和，通过区块链的属性在阶段化任务中提高可靠性，该方法可用于所有云端软件。

4.采用区块链技术后，云箱的任务数据链将在参与终端分布式存储，即时服务器数据无法恢复也不影响当前任务的安全执行。从而提高***可靠性，保证军方任务的完成。

附图说明

图1，为128bit对称加密算法AES加密矩阵实现过程；

图2，为对称加密算法AES加密解密过程；

具体实施方式

下面将结合本发明实施例和附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

所述的基于区块链的云箱安全技术包括：能够提供收发过程管理功能的云箱，云箱是一款传送机要文件和物品的保密箱，发件人通过移动端加密，并指定好收件人后，传送过程中无人能够打开。如出现暴力开箱或者中途送件异常情况会出现报警，且全程北斗定位监控，是一款过程管理工具，让保密制度在室外有了技术性完善。能够参与数据交互的数据终端，数据终端包括云箱的数据处理存储设备、发件人手机、送件人手机、收件人手机。能够为云箱提供服务的中心云端服务器。所述的云箱安全权限验证采用区块链技术，将任务执行进程及参与人员的权限形成数据链，并区块化分布式存储；所述的中心云端服务器出现数据丢失时，以数据终端数据链对中心云端服务器进行同步更新恢复或对备份服务器进行最新数据更新，以保障当前云箱任务的继续执行；所述的数据终端在任务执行后，数据链不再保存，所有数据进入中心云端服务器数据库备份，仅供查询使用。

所述的云箱打开时，先设定取件及收件人，然后开始建立云箱的一个任务；该任务的运行节点记录与节点的操作人信息，除了在中心云端服务器存储更新外，在所有的参与数据终端，即云箱、发件人手机、送件人手机、收件人手机都将建立数据同步机制，在最新的任务节点更新链条数据，并进行多方加密同步；各终端数据均以加密数据链区块化存储。

所述的区块化分布式存储具体步骤为：

步骤2.标识性信息用对称加密算法AES加入特定的加密盐进行对称加密，后利用非对称加密算法RSA生成一对密钥，利用公钥对刚加密的字符串加入发起任务时的时间戳进行加密。

AES对称加密算法加密和解密用到的密钥是相同的，这种加密方式加密速度非常快，适合经常发送数据的场合。然而AES加密算法的缺点是密钥的传输比较麻烦。RSA非对称加密算法加密和解密用的密钥是不同的，其中一个对外公开，称为公钥，另一个只有所有者知道，称为私钥。这种加密方式是用数学上的难解问题构造的，通常加密解密的速度比较慢，适合偶尔发送数据的场合，优点是密钥传输方便。在实际使用过程中利用对称加密算法AES对数据进行加密，然后使用非对称加密算法RSA对AES加密算法的密钥进行加密，把经过RSA加密的密钥传递给数据接受方，就可以解决AES密钥难以传递的问题。

所述的对称加密算法AES实现过程如下：如图1所示，以分组长度为128bit，密钥长度为128bit，因为Nb＝4，Nk＝4，所以与之相对应的Nr＝10，的Nr＝10,每一轮的循环过程中都有一个初始的循环密钥，在每一轮中的输入位与输出位相同，都为128位。每轮循环都经过字节转换、行位移变换、列混合变换和循环密钥四个步骤：

a.字节转换又称S-box变换,它是作用在字节上的一种非线性变换,这种变换是可逆的。它将通过在有限域GF(2⁸)中的求乘法逆运算和GF(2)下的仿设变化运算来实现。

1).在有限域GF(2⁸)求乘法逆元的定义为：

其中，有限域GF(2⁸)为2的具有28元素的有限域。

2).在多项式表示中，GF(2⁸)两个元素的和仍然是一个次数不超过7的多项式，其系数等于两个元素对应系数的模2加(比特异或)，由于每个元素的加法逆元等于自己，所以减法和加法相同，要计算GF(2⁸)上的乘法，必须先确定一个GF(2)上的8次不可约多项式；GF(2⁸)上的两个元素的乘积就是这两个多项式的模乘。GF(2)下的仿射变换运算，仿射变换是对状态字节在有限域GF(2⁸)上乘法逆元进行字节变换操作。在GF(2⁸)中的元素分量为 (x₀,x₁,x₂,x₃,x₄,x₅,x₆,x₇)，仿射变换定义为：

用Q(x)和P(x)分别作为GF(2)下X和Y的代数表达式，仿射变换运算用多

项式表示为：P(x)＝Q(x)(x⁷+x⁶+x⁵+x⁴+1)+(x⁷+x⁶+x²+x)mod(x⁸+1)。

b.行位移变换是一种线性变换,它的作用是在数据块的第0行保不变的状态下，第一行循环左移1个字节，第二行循环左移2个字节，第三行循环左移3 个字节，其移位值与加密块长Nb有关。

c.列混合变换可以看作GF(2⁸)[x]/(x⁴+1)与固定多项式 c＝('03','01','01','02')＝'03'x³+'01'x¹+'01'x+'02'的相乘。其中，c与x⁴+1互素，所以c的逆元c-1＝('0B','0D','09','0E')。

d.加循环密钥就是循环密钥同上层结果进行异或。轮密钥通过密钥表得到, 其长度为4。

所述的非对称加密算法RSA公钥和私钥产生过程如下；

1).随意选择两个大的质数p和q，p不等于q，计算N＝pq；

2).根据欧拉函数，不大于N且与N互质的整数个数为(p-1)(q-1)；

3).选择一个整数e与(p-1)(q-1)互质，并且e小于(p-1)(q-1)；

4).用以下公式计算d：d×e＝1(mod(p-1)(q-1))；

5).将p和q的记录销毁。

则(N,e)为公钥，(N,d)为私钥。

所述的RSA算法对AES的密钥加密过程如下；用公式(1)加密密钥m，等到加密后的信息c；

n^e≡c(modN) (1)

当数据终端接收到加密信息后利用密钥d来解密，利用公式(2)将c转换为n；

c^d≡n(modN) (2)

得到n后，将原来的信息m重新复原，解码原理为：

c^d≡n^e-d(modN)；

以及ed≡1(modp-1)和ed≡1(modq-1)。由费马小定理可证明

n^e-d≡n(modp)和n^e-d≡n(modq)这说明n^e-d≡n(modpq)。

步骤3.利用即时通讯监听端口方法将加密完成后的数据同步存储到本次任务所对应的各种数据终端上，对应各个数据终端可利用私钥对该数据进行解密。

步骤4.在每次任务节点时，对中心云端服务器发送请求并携带上次同步到设备上的加密信息主体。

步骤5.服务器对该次请求过来的加密数据利用私钥解密，数据终端接收到的 RSA加密字符串为公钥加密后的字符串，则利用私钥字符串对RSA加密字符串解密得到AES的密钥。再进行AES对称解密，在数据终端得到AES密钥后请求中心云端服务器发送AES加密过的信息主体，在通过AES密钥解密后即可得到标识信息主体。得到本次任务的标识信息，根据标识信息获取本次任务可操作的几方信息，对比该次请求者是否有权限进行本次操作，比对成功，响应操作。

所述的同步机制建立步骤为：

步骤1.当数据终端传来的加密内容解析之后与服务器存储的值不同的话，立即将本次任务的另几方数据终端上的数据请求回来，进行解密对比，对比结果取较多百分比统一的一方；对比结果一般取大于等于51％的一方。

步骤3.如果请求服务器时发觉服务服务器的数据丢失时，无法进行数据比对，为保证该次任务继续进行，将其他几方数据终端上的加密请求回来，进行解密比对，同样对比结果取较多百分比统一的一方；通过PBFT共识算法比对，对比结果一般取大于等于51％的一方。共识算法为一种“共识机制”是通过特殊节点的投票，在很短的时间内完成对交易的验证和确认；对一笔交易，如果利益不相干的若干个节点能够达成共识，我们就可以认为全网对此也能够达成共识。PBFT共识算法是联盟链和私有链最常用的算法。

所述的PBFT算法原理为，数据终端Client会发送一系列请求给各个备份节点(replicas节点)来执行相应的操作，PBFT算法保证所有正常的备份节点执行相同序列的操作，如果一个replica节点把一个信息写给一个quorum，quorum 为一个分布式账本协议，并让该quorum来存储信息，在收到每一个quorum中的成员的确认反馈后，那么我们可以认为该replica的信息已经被可靠的保存在了这个分布式***中。我们约定一些符合：R是所有备份(replicas)节点的集合，每一个备份节点用一个整数来表示，依次为{0,......,|R-1}。

定义|R＝3f+1，f是我们最大可容忍的错误节点(faulty节点)，另外我们将一个域(view)中的主节点(primary节点)定义为replica p, 则p＝vmod|R,V是view的编号，从0开始一种连续下去，每当一次view change 协议发生时，这样可以理解为从replica 0到replica|R-1依次当主节点(primary 节点)。

定义一个分布式账本协议quorum为至少包含2f+1个replicas(备份节点) 集合。一个数据终端Client会发出请求，<REQUEST,o,t,c>其中o表示具体操作， t表示时间戳，给每一个请求加上时间戳，这样后来的请求会高于前面的时间戳， replicas节点会接收请求，如果他们验证了这条请求，就会将它写入自己的Log 中。replicas执行完任务后，将结果(reply)直接发生给数据终端， <REPLY,v,t,c,i,r>，v是当前的view编号，t就是对应请求的时间戳，i是replica 节点编号，r是执行结果，当Client数据终端接收到f+1个replica节点返回的结果时，返回的结果拥有共同的t和r，由于有之多f个错误节点(faulty节点),所以确保了回复的合法性。

步骤5.利用非对称加密算法RSA生成一对新的密钥，利用公钥对刚加密的字符串加入发起任务时的时间戳进行加密，把加密数据同步至各个数据终端上。保证了各个数据终端上的数据永远是正确的数据。

所述的基于区块链的云箱安全技术方法，可用于所有云端软件。本发明能够用于多种云端软件的安全权限管理工作。云端软件采取的数据备份有实时热备与定时冷备，但无论那种数据备份方式，在服务器数据库产生损毁时，备份数据也会产生损毁。为保障当前任务的可靠性，保证当前任务数据的完整，在数据源终端需采用区块链的分布式存储。利用区块链的分布式存储，有效提高云软件在中心服务器数据损毁时，保障当前任务能够快速继续执行的可靠性。

最终，以上实施例和附图仅用以说明本发明的技术方案而非限制，尽管通过上述实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其做出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims

1.一种基于区块链的云箱安全技术，所述的基于区块链的云箱安全技术包括：

2.如权利要求1所述，一种基于区块链的云箱安全技术，其特征在于：所述的数据终端包括云箱的数据处理存储设备、发件人手机、送件人手机、收件人手机。

3.如权利要求1所述，一种基于区块链的云箱安全技术，其特征在于：所述的云箱打开时，先设定取件及收件人，然后开始建立云箱的一个任务；该任务的运行节点记录与节点的操作人信息，除了在中心云端服务器存储更新外，在所有的参与数据终端，即云箱、发件人手机、送件人手机、收件人手机都将建立数据同步机制，在最新的任务节点更新链条数据，并进行多方加密同步；各终端数据均以加密数据链区块化存储。

4.如权利要求1所述，一种基于区块链的云箱安全技术，其特征在于：所述的区块化分布式存储具体步骤为：

5.如权利要求3所述，一种基于区块链的云箱安全技术，其特征在于：所述的同步机制建立步骤为：