CN111343001B

CN111343001B - 一种基于区块链的社交数据共享***

Info

Publication number: CN111343001B
Application number: CN202010083081.1A
Authority: CN
Inventors: 刘百祥; 方宁; 阚海斌; 张新鹏; 吴小川
Original assignee: Fudan University
Current assignee: Fudan University
Priority date: 2020-02-07
Filing date: 2020-02-07
Publication date: 2022-04-12
Anticipated expiration: 2040-02-07
Also published as: CN111343001A

Abstract

本发明属于区块链技术领域，具体为一种基于区块链的社交数据共享***。本发明***按逻辑分为四层结构：应用层，面向***用户，提供可视化的操作界面，为用户提供注册、数据交互、数据权限管理以及访问请求等功能接口；加密服务层，负责对***中的数据进行加密处理，确保数据的隐私和安全性；区块链层，通过各节点运行一致的共识算法，构成去中心化、不可篡改的社交平台区块链；数据存储层，使用IPFS存储方式，结合区块链平台来存储用户的社交数据。本发明通过将区块链与基于身份的代理重加密技术相结合的方式，来解决现有社交网络平台的用户数据不可控和隐私泄露等问题，实现用户对个人社交数据的自主控制。

Description

一种基于区块链的社交数据共享***

技术领域

本发明属于区块链技术领域，具体涉及一种基于区块链的社交数据共享***。

背景技术

在移动互联网和Web2.0技术的驱动下，社交媒体在全球范围内得到了空前发展。现有的社交网络***，主要由中心化的运行机制来管理平台上的用户数据，海量的用户数据都被收集并存储在中心化的数据库中。后台***通过对用户个人信息和社交数据进行数据挖掘，可以构建出精确的用户画像，进而向用户进行个性化的推荐服务以获取相关利益。比如Facebook公司，作为全球最大的社交软件平台之一，在2018年3月被曝出其平台上的5000万份用户信息数据被第三方公司Cambridge Analytica用于大数据分析，根据用户的行为模式、成长经历和价值观取向等特征精准投放广告和资讯内容，甚至被怀疑利用这些数据来预测用户的政治倾向，从而间接影响总统大选。

随着用户对个人隐私和信息安全的重视程度越来越高，用户信息失控、隐私泄露以及虚假信息泛滥等问题日益成为传统社交媒体平台发展的困境。要从根本上解决这些问题，需要借助变革性的技术支持，实现去中心化的平台运营和管理，让用户的个人隐私数据掌握在自己手中。

区块链是一种点对点的分布式存储技术，作为一项创新性的底层技术，区块链具有明显的去中心化、不可篡改和可追溯等特征，其中去中心化是整个区块链技术体系中最突出和本质的特征。在没有中央服务器的情况下，***的正常工作依赖于分布式节点构成的共识机制，并由在这个共识机制内的各个节点来共同保障和维护。所谓“共识机制”，是通过特殊节点的投票，在一定时间内完成对交易的验证和确认；对于一笔交易，如果利益不相干的若干个节点能够达成共识，就可以认为全网对此也能够达成共识。现有常见的共识算法有工作量证明（PoW）、权益证明（PoS）、委托权益证明（DPOS）和实用拜占庭容错（PBFT）等。本发明使用DPOS共识算法，它是PoS算法的改造版。PoS解决了PoW的算力问题，但是依据权益结余来选择出块者，会导致首富账户的权力更大，有可能支配记账权。为改善这种中心化的负面影响，DPOS引进了代理人机制，类似于人民代表选举，被选举者就是代理人。代理人是由所有参与者根据自己的意愿选出来的，理论上能够代表大众的权益。

“智能合约”的概念最早可以追溯到1994年，由计算机科学家和密码学家NickSzabo提出，它是指“以数字形式指定的一系列承诺，包括各方履行这些承诺的协议”。但是智能合约的想法一直未取得进展，直到以太坊的出现。智能合约本质上是一个状态机，包括一组可执行函数、状态变量以及标识地址。合约部署者指定相关的权限确认逻辑并把已完成编译的合约上传到区块链后，其他用户可以通过标识地址向指定合约发起一笔事务（包括执行函数所需的输入参数），从而触发对应合约中相应的执行函数，返回执行结果并更新合约的状态。因此，智能合约赋予区块链计算处理能力，开发者可以通过合理的逻辑函数管理和控制链上数据。

虽然区块链可以为分布式协议的设计者提供有力的支持，但是对于数据安全和隐私的保护还比较薄弱。例如比特币和以太坊上的所有交易对全网的所有节点都是公开透明的，区块链上的任何数据都可以被收集和挖掘，一些研究成果表明，任何人都可以通过观察区块链上的交易数据得出关于某事的结论，甚至可以追踪到真实用户，从而获得一些可能会损害用户隐私的信息。因此，为了保护用户的数据隐私，必须对数据进行加密处理。

本发明采用基于身份的代理重加密（IBPRE）技术来实现对用户社交数据的加密共享。代理重加密（PRE）是一种可以在密文间使用的转换机制，最初由Balze提出。使用代理重加密的目的是解决用户共享数据时的不便，在减轻用户负担的同时，还可以增强数据的可靠性和安全性。在代理重加密的过程中，每个参与者都无法获取任何明文信息。其具体工作过程涉及到三种角色：授权人（delegator），被授权人（delegate），半可信的代理人（proxy）。当授权人Alice想要将已加密的文件共享给被授权人Bob时，Alice为Bob生成代理重加密秘钥，并将代理秘钥通过安全信道传送给第三方的半可信代理人，半可信代理人使用代理秘钥根据代理重加密算法对加密文件进行重加密，Bob获取重加密的文件后，可利用自己的私钥对重加密文件解密，解密后可获取明文文件。而在IBPRE中，代理人可以直接把基于授权人Alice的身份信息加密的密文转换成基于被授权人Bob身份信息加密的密文，并且与普通PRE一样，在整个密文转换的过程中，代理人无法获取关于该密文对应明文的任何信息，从而保证了数据的隐私和安全性。

星际文件***IPFS（InterPlanetary File System）是一个点对点的分布式超媒体分发协议，它整合了过去几年最好的分布式***思路，为所有人提供全球统一的可寻址空间，包括Git、自证明文件***SFS、BitTorrent和DHT，同时也被认为是最有可能取代HTTP的新一代互联网协议。IPFS用基于内容的寻址替代传统的基于域名的寻址，用户不需要关心服务器的位置，不用考虑文件存储的名字和路径。将一个文件放到IPFS节点中，将会得到基于其内容计算出的唯一加密哈希值。哈希值直接反映文件的内容，哪怕只修改1比特，哈希值也会完全不同。当IPFS被请求一个文件哈希时，它会使用一个分布式哈希表找到文件所在的节点，取回文件并验证文件数据。IPFS是通用目的的基础架构，基本没有存储上的限制。大文件会被切分成小的分块，下载的时候可以从多个服务器同时获取。IPFS的网络是不固定的、细粒度的、分布式的网络，可以很好的适应内容分发网络的要求。这样的设计可以很好的共享各类数据，包括图像、视频流、分布式数据库、整个操作***、模块链，还有静态网站。

考虑到数据量较大的信息在区块链上存储会造成内存的过度占用，尤其当区块进行同步时信息会在各个节点中进行同步，这在一定程度上会导致资源的浪费和负担太重的问题，因此本发明中采用将区块链与IPFS相结合的存储模式，将用户的社交数据加密存储在IPFS中，同时在区块链上保存相应数据的地址索引和访问控制策略等信息，以此来减轻区块链上数据的存储和高频访问的压力。

发明内容

本发明的目的在于提供一种基于区块链的社交数据共享***，通过将区块链与基于身份的代理重加密（IBPRE）技术相结合的方式，来解决现有社交网络平台的用户数据不可控和隐私泄露等问题，实现用户对个人社交数据的自主控制。

本发明提供的一种基于区块链的社交数据共享***，包括应用层、加密服务层、区块链层和数据存储层四层结构，如图1所示。其中：

所述应用层，面向***用户，提供可视化的操作界面，通过对智能合约的调用进行具体的业务逻辑处理。本发明中共涉及到4个智能合约，分别为用户注册合约、数据交互合约、权限管理合约以及访问请求合约。各合约的详细功能如下：

（1）用户注册合约，为用户节点提供注册功能。图2为本发明的社交网络用户注册流程示意图，如图2所示，当用户节点申请注册时，向***中的证书颁发(认证)机构CA发起注册请求，并通过DPOS共识算法（谈森鹏,杨超.区块链DPOS共识机制的研究与改进[J].现代计算机,2019）选出的代理节点来验证注册节点是否有效。若该注册节点获得大部分代理节点的选票，则由CA授权机构为该注册节点颁发证书，包括账号ID和公私钥对（PK、SK），并对其使用PBKDF2算法（于飞,李晓华. PBKDF2函数的一种快速实现[J].信息安全与通信保密,2013）加密存储至区块链中。此外，用户注册时需要提供相关身份信息，例如：用户名，手机号，电子邮箱，性别等。当用户注册成功时，这些信息也会使用用户的公钥加密保存到IPFS中，并将其在IPFS中的索引信息及访问控制策略等数据保存到区块链中。该合约有效地减少了恶意节点蓄意注册的情况，同时也可以避免重复注册的情况发生；

（2）数据交互合约，为用户提供数据发布、修改等功能。图3为本发明的社交网络用户数据交互流程示意图，如图3所示，当用户通过本地浏览器登入***后，可以发起发布数据或修改原有数据的交互请求，由网络中的代理节点对发布的数据进行投票验证，验证通过后方可将数据加密存储至IPFS中，并将相关索引信息及访问控制信息保存至区块链中；

（3）权限管理合约，为用户提供对其拥有的社交数据的访问控制管理功能。图4为本发明的社交网络权限管理合约的存储结构，如图4所示，权限管理合约中存储了用户地址和对应于各类社交数据的访问控制策略。本发明对于用户的社交数据划分了4种级别的访问权限：1）仅自己可见（p1），仅数据拥有者自己可以查看该数据；2）仅好友可见（p2），仅数据拥有者的好友可以查看该数据；3）仅特定用户可见（p3），仅数据拥有者指定的用户可以查看该数据；4）所有人可见（p4），***中的所有用户均可查看该数据。权限管理合约在用户注册成功时由***自动创建，后续可由用户对其中某项数据的访问控制策略进行修改；

（4）访问请求合约，为用户提供对其他用户的社交数据的访问功能。作为数据所有者的用户，可以向他人分享自己的社交网络数据，同时也可以申请访问他人的数据，但是只有在满足对应的访问控制策略时才能成功访问该数据。

所述加密服务层，负责对***中的数据进行加密处理，确保数据的隐私和安全性。本发明采用基于身份的代理重加密（IBPRE）方案作为数据加密共享协议。当某用户想访问***中其他用户的社交数据时，首先需要发送签名请求，***通过该请求数据验证用户的身份是否合法，其次调用权限管理合约检查相应数据的访问控制策略。如果用户身份合法且拥有对于访问数据的相应权限，则***会根据所访问数据的索引地址从IPFS中读取该数据，并由DPOS共识算法所推举出来的代理节点，对要访问的数据执行重加密算法生成重加密密文。最后，代理节点将该重加密数据发送给访问用户，用户可使用自己的私钥SK进行解密以获取明文。

所述区块链层，通过各节点运行一致的共识算法，构成防篡改、可追溯的社交平台区块链。图5为本发明的社交网络链上区块的数据结构，如图5所示，区块由区块头和区块体构成。区块头中包含上一个区块的hash值、区块体中所有索引数据的Merkle Root、时间戳和随机数nonce等信息。区块体中则存储着用户社交数据在IPFS中的地址索引以及访问控制策略等信息，并通过区块之间的连接进行区块的同步。

所述数据存储层，使用IPFS存储方式，结合区块链平台来存储用户的社交数据。具体的，IPFS中保存了用户社交数据加密后的密文，而区块链中则存储了相应数据的地址索引、访问控制策略等信息。采用这种存储模式既解决了用户数据集中存储在中心化数据库中的问题，同时也减轻了区块链上数据存储和高频访问的压力。

附图说明

图1为社交数据共享***架构图。

图2为用户注册流程示意图。

图3为用户数据交互流程示意图。

图4为权限管理智能合约存储结构示意图。

图5为区块数据结构示意图。

图6为数据共享流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚明白，下面根据具体实施例和附图，对本发明做进一步的详细说明，但本发明的保护范围不限于下述实施例。

图6为本发明的社交网络数据的访问控制流程示意图，如图6所示，该方法可以包括以下步骤：

1、数据拥有者A通过调用应用层的登入接口登录***，***通过比对其注册时的账号密码进行身份认证；

2、用户身份认证通过后，可以对其不同类型的社交数据指定不同的访问控制策略。用户的社交数据类型主要包括：用户身份信息（C1），如年龄、性别、电子邮箱、电话、住址等；用户行为信息（C2），如浏览、点赞记录等；用户关系信息（C3），如好友列表、群和讨论组等；用户会话信息（C4），如聊天记录等；其他信息数据（C5）。例如，用户A设置的社交数据访问控制策略为P={C1:p1;C2:p2; C3:p1; C4:p3; C5:p4}，其中p1、p2、p3和p4为特定的访问控制策略；

3、用户使用自己的公钥对不同类型的社交数据进行加密，并生成签名，将加密数据存储至IPFS中。同时将用户ID、相应数据的地址索引以及访问控制策略等信息保存到区块链上；

4、当***中的某用户B想要访问好友A的相关数据时，通过应用层的接口调用访问请求智能合约。生成访问请求后，将用户B自己的证书签名、公钥、访问对象（用户A）和访问目的（如行为信息C2、其他信息数据C5）等信息发送给用户A；

5、***首先通过该请求消息验证访问者B的身份是否合法，其次调用权限管理合约检查相应数据的访问控制策略；

6、由于访问者B的身份合法且满足对于相应数据的访问控制策略（p2、p4），因此用户A会根据访问者B的身份ID和自己的私钥

生成代理重加密秘钥

。此后，用户A将代理重加密秘钥、相应数据的地址索引发送给由DPOS算法所推举出来的代理节点；

7、代理节点根据相应地址索引信息读取IPFS上存储的加密数据，然后利用代理重加密秘钥

对加密数据进行重加密计算，得到重加密密文。最后，代理节点将该重加密数据返回给访问者B，之后访问者B可使用自己的私钥

进行解密以获取明文，即用户A的行为信息和其他信息数据。

Claims

1.一种基于区块链的社交数据共享***，其特征在于，按***逻辑分为四层结构，分别为应用层、加密服务层、区块链层和数据存储层，其中：

所述应用层，面向***中的用户，提供可视化的操作界面，通过对智能合约的调用执行具体的业务逻辑处理；所述智能合约有4个，分别为用户注册合约、数据交互合约、权限管理合约以及访问请求合约；

所述加密服务层，负责对***中的数据进行加密处理，确保数据的隐私和安全性；其中采用基于身份的代理重加密方案作为数据加密共享协议；当某用户想访问***中其他用户的社交数据时，首先需要发送签名请求，***通过该请求数据验证用户的身份是否合法，其次调用权限管理合约检查相应数据的访问控制策略；如果用户身份合法且拥有对于访问数据的相应权限，则***根据所访问数据的索引地址从IPFS中读取该数据，并由DPOS算法所推举出来的代理节点，对要访问的数据执行重加密算法生成重加密密文；最后，代理节点将该重加密数据发送给访问用户，用户使用自己的私钥SK进行解密以获取明文；

所述区块链层，通过各节点运行一致的共识算法，构成防篡改、可追溯的社交平台区块链；区块链中的区块由区块头和区块体构成；区块头中包含上一个区块的hash值、区块体中所有索引信息的Merkle Root、时间戳和随机数nonce信息；区块体中则存储着用户社交数据在IPFS中的地址索引以及访问控制策略信息，并通过区块之间的连接进行数据同步；

所述数据存储层，使用IPFS存储方式，结合区块链平台来存储用户的社交数据；具体的， IPFS中保存用户社交数据加密后的密文，而区块链中则存储相应数据的地址索引、访问控制策略信息；

所述用户注册合约，为用户节点提供注册功能；当用户节点申请注册时，向***中的证书颁发机构CA发起注册请求，并通过DPOS共识算法选出的代理节点来验证注册节点是否有效；若该注册节点获得大部分代理节点的选票，则由CA授权机构为该注册节点颁发证书，包括账号ID和公私钥对（PK、SK），并对其使用PBKDF2算法加密存储至区块链中；此外，用户注册时需要提供相关身份信息，包括：用户名、手机号、电子邮箱、性别；当用户注册成功时，这些信息也使用用户的公钥加密保存到IPFS中，并将其在IPFS中的索引信息及访问控制策略数据保存到区块链中。

2.根据权利要求1所述的基于区块链的社交数据共享***，其特征在于，所述数据交互合约，为用户提供数据发布、修改功能；当用户通过本地浏览器登入***后，可以发起发布数据或修改原有数据的交互请求，由网络中的代理节点对发布的数据进行投票验证，验证通过后，将数据加密存储至IPFS中，并将相关索引信息及访问控制信息保存至区块链中。

3.根据权利要求2所述的基于区块链的社交数据共享***，其特征在于，所述权限管理合约，为用户提供对其拥有的社交数据的访问控制管理功能；权限管理合约中存储用户地址和对应的各类社交数据的访问控制策略，对于用户的社交数据划分为4种级别的访问权限：

1）仅自己可见p1，仅数据拥有者自己可以查看该数据；

2）仅好友可见p2，仅数据拥有者的好友可以查看该数据；

3）仅特定用户可见p3，仅数据拥有者指定的用户可以查看该数据；

4）所有人可见p4，***中的所有用户均可查看该数据；权限管理合约在用户注册成功时由***自动创建，后续可由用户对其中具体某项数据的访问控制策略进行修改。

4.根据权利要求3所述的基于区块链的社交数据共享***，其特征在于，所述访问请求合约，为用户提供对其他用户的社交数据的访问功能；作为数据所有者的用户，可以向他人分享自己的社交网络数据，同时也可以申请访问他人的数据，但是只有在满足对应的访问控制策略时才能成功访问该数据。