CN112861157A

CN112861157A - 一种基于去中心化身份和代理重加密的数据共享方法

Info

Publication number: CN112861157A
Application number: CN202110226842.9A
Authority: CN
Inventors: 徐明星; 刘雄; 钟秋
Original assignee: Beijing Oukai Lianchuang Network Technology Co ltd
Current assignee: Okoser Holdings
Priority date: 2021-03-01
Filing date: 2021-03-01
Publication date: 2021-05-28

Abstract

本发明公开了一种基于去中心化身份和代理重加密的数据共享方法，包括：数据拥有者随机生成秘钥A，用秘钥A加密原数据R得到加密数据D，将加密后的数据D推送到数据存储中心中进行存储；随后，数据拥有者用自己的DID公钥加密秘钥A，生成加密密文C1并生成claim‑1后，存储claim‑1；数据使用者向数据拥有者发出使用数据请求，数据拥有者为数据使用者授权，生成claim‑2授权信息；数据使用者向访问控制器请求对应claim指定的数据，确认数据使用者对数据有访问权限之后，数据使用者经过解密得到原数据R。本发明在做到共享数据的同时，也严格保护用户对数据的绝对控制权，最大程度保证用户的数据隐私。

Description

一种基于去中心化身份和代理重加密的数据共享方法

技术领域

本发明涉及一种数据共享方法，属于网络中的数据共享技术领域，尤其涉及一种基于去中心化身份和代理重加密的数据共享方法。

背景技术

数据共享让不同的实体来读取和使用他人的数据。数据共享的程度能够侧面反映出一个国家、一个地区的信息发展水平。一个地区的数据共享程度越高，该地区的信息发展水平越高。

随着互联网获客成本越来越高，很多微小企业和商户倾向于通过联盟身份方式获取BAT等提供的用户身份访问信息接口，来提供自己的服务。长此以往，由于互联网巨头企业的用户数据规模巨大，根据马太效应会带来数据垄断的现象。

身份管理是实现数据共享的第一步。在现有技术中，大多数数据共享平台的身份管理采用中心化***结构。中心化的数字身份管理方式需要依赖权威机构，并且数字身份无法直接被用户控制完全删除。

数据共享平台均具有相同的实体，实体包括数据持有者、数据访问者和数据服务方。

其中，数据持有者，提供共享数据资源的一方。

其中，数据访问者，需要访问使用共享数据资源的一方。

其中，数据服务方，一些为数据持有者共享数据，为数据访问者获取数据提供中间服务的服务方。

在传统的中心化数据共享过程主要包含两个步骤。数据持有者将共享数据通过服务接口或者API的方式上传至,数据服务方，数据服务接收到共享数据之后把数据离线存储在自己的服务器之中；数据访问者通过服务接口或API将共享数据下载到本地。这个过程实现了从数据持有者到数据访问者的数据共享。

在如上的这个数据共享的过程中，数据访问者并不是直接面对数据持有者，而是需要通过数据服务方来完成一系列的操作。数据服务方成为了整个数据共享过程的枢纽，充当了一个可信第三方的角色，起到了极为重要的作用。数据服务方中心化核心地位的突出可能会为共享数据带来一些安全隐患。例如，数据所有者将数据的访问控制权限委托给数据服务方，间接失去了对数据的自主控制权，这可能会给数据持有者带来数据被篡改、数据泄漏和在数据持有者未授权的情况下数据被他人获取等风险；存储在数据服务方的服务器中的数据的真实性和有效性难以被校验和甄别；数据在实体间共享交换的过程中安全防护能力薄弱，当遭受到安全威胁时缺乏有力的防范手段。

因此，如何实现去中心化的数据共享就成为了急需解决的技术问题。

专利CN107241360B中描述了一种数据安全共享交换方法和数据安全共享交换平台***。该***中使用访问代理子***和请求代理子***分别代理用户执行数据的权限授予和获取功能。其中，访问代理子***相当于数据持有者，请求代理子***相当于数据访问者。该专利中，数据共享的实现方案如下所述：访问代理子***为共享数据生成描述信息，并将描述信息上传至数据库；请求子代理***从数据库中获取共享数据描述信息，从中提取出出描述所需请求数据的部分组成第二描述信息，并生成数据权限请求发布到网络中；访问代理子***获取数据权限请求并进行批复，之后发布权限批复信息；请求代理子***获取权限批复信息，并判断所申请的权限批复是否通过，若成功，则发布对目标数据的访问请求；访问代理子***接收数据访问请求，将所请求的目标数据提供给请求代理子***所代理的用户。

该***中的数据共享方案过程太过复杂，影响数据共享效率。另一方面，该方案中访问代理子***和请求代理子***发布的信息都需发送到区块链存储库中，并且相对于中心化***而言，并非是真正的去中心化，而仅仅是弱中心化。

专利CN107566357B中描述了一种基于分区认证的互联网交易信息数据存储方法。该方法采用B2B平台和区块链技术实现，使得交易信息真实可靠，不可篡改。该方法需要建立云平台以及多个工程技术交易区，在任意两个工程交易区之间建立工程交易块。其中，每个工程交易块可以与对应的交易工程区进行数据共享；每个交易工程块可以与云平台进行数据共享。交易数据的存储方法如下：对交易信息进行电子签名并加密，加密过后的密文存取在交易区块中，交易区块通过工程交易块发送至工程技术交易区，并以分布式账本存储。

专利CN108259169A中描述了一种基于区块链云存储的文件安全共享方法及***。该***的数据共享方法中，数据持有者首先将数据进行对称加密，并将加密后得到的数据密文存放至云中；对称加密的加密过程和解密过程所使用的密钥为同一个密钥。数据持有者对对称密钥进行加密，并将对称密钥的密文作为元数据的一部分存储至区块链上；根据实际的共享需求，云端使用新的密钥对存储的数据密文进行代理重加密；数据访问者通过获取新的密钥以及经过重加密的新数据密文来获取请求数据。

专利CN107592318A中描述来一种数据共享方法和***以及区块链***和计算设备的技术方案，该方案能够在共享数据的同时，极大地节约成本和资金投入。该数据共享方法的过程包括：数据持有者将共享数据发送至数据存放者；数据存放者接收到数据之后把数据存储保存至本地数据库；数据存储者为共享数据生成描述信息，并提交至区块链***；当数据访问者请求访问该数据时，将数据的描述信息发送给数据存储者；数据存储者接收到请求之后，通过数据持有者设置的访问控制权限判断该数据访问者是否具备相应的访问权限。若具备，则数据存放者根据描述信息将数据发送给数据访问者。

但是基于目前阶段现有的数据共享方法，还存在一些明显的不足。首先，整个过程仍然离不开一个可信的第三方机构来作为监管方参与到数据共享中，这些方法相对于中心化数据共享***而言，仅仅是弱中心化，还达不到真正的去中心化；其次，为了保证数据的安全性，在共享数据之前往往需要对数据进行加密，现有方案的加密的方法通常选择使用对称密钥来进行加密，对称加密的加密密钥和解密密钥为同一个密钥，这类方案在数据共享之时必然需要将对称密钥上传至网络，然而对称密钥在网络传输的过程中存在被窃取的风险，这无疑会增加共享数据被他人恶意窃取的可能性，从而间接使数据持有者的利益遭受损失；再次，访问控制环节缺乏细粒度，在不同的场景下无法根据具体情况为不同的数据访问者设置特定的数据访问权限，这不利于于后续***的可扩展性。

对于以上现有数据共享方法存在的问题，针对于第一点，本发明提出一种基于去中心化身份和代理重加密的数据共享方法，方法中无需可信第三方介入，做到了实施去中心化的数据共享***；针对于第二点，本发明使用了代理重加密的方法对加密数据所使用的对称密钥进行重加密，这样一来保证了对称密钥在网络传输过程中的安全性，大大降低了数据信息泄漏的风险；针对于第三点，本发明通过设置身份中心模块来增加访问控制的细粒度性。数据持有者在收到数据使用者的请求之后，在分布式数字身份标识符解析器中验证请求者的身份信息，然后通过身份中心来为请求者设定相应的权限。

发明内容

为了解决上述技术所存在的不足之处，本发明提供了一种基于去中心化身份和代理重加密的数据共享方法。

为了解决以上技术问题，本发明采用的技术方案是：一种基于去中心化身份和代理重加密的数据共享方法，包括以下步骤：

步骤一、上传数据：数据拥有者随机生成秘钥A，用秘钥A加密原数据R得到加密数据D，将加密后的数据D推送到数据存储中心中进行存储；随后，数据拥有者用自己的DID公钥加密秘钥A，生成加密密文C1并生成claim-1后，存储claim-1；

步骤二、请求数据：数据使用者向数据拥有者发出使用数据请求，数据拥有者根据数据使用者的DID信息，从DID resolver中获取其DID对应的document，得到数据使用者的DID公钥；数据拥有者使用自己的DID私钥和数据使用者的DID公钥进行重加密计算，得到重加密秘钥Kab；数据拥有者为数据使用者授权，生成claim-2授权信息，随后数据拥有者向数据使用者返回claim-2的id；

步骤三、访问数据：数据使用者向访问控制器请求对应claim指定的数据；访问控制器收到请求后确认访问权限，如果确认有权访问，则用重加密秘钥Kab和加密密文C1进行代理重加密计算得到新密文K，代理重加密算法可以在一种安全性较低的环境中***露用户秘钥的情况下进行数据共享；确认数据使用者对数据有访问权限之后，从数据存储中心拉取对应的加密数据D；访问控制器向数据使用者返回加密的数据D和计算后得到的新密文K；数据使用者使用自己的DID私钥解密新密文K得到对称加密秘钥A，然后用A解密加密的数据D得到原数据R。

进一步地，步骤一中的秘钥A为对称秘钥；数据存储中心是中心化存储、非中心化存储或区块链存储；claim-1包括数据的存储信息和加密密文C1，claim-1存储在IdentityHub。

进一步地，数据的存储信息包括但不限于以下信息：文件存储位置、文件hash和文件大小。

进一步地，步骤二中的claim-2授权信息包括但不限于以下信息：数据存储位置信息、用数据拥有者DID公钥加密后的对称秘钥信息、重加密秘钥Kab、数据使用者DID公钥以及有效访问时间信息。

进一步地，步骤三中访问权限的确认具体包括以下步骤：

a、将访问控制器收到的请求转发给Identity Hub；

b、Identity Hub校验数据使用者did的合法性；

c、Identity Hub校验对请求claim的访问有效性。

进一步地，数据拥有者和数据使用者同时至少需要各有一个DID信息，并且DID信息的有效性可以相互校验。

本发明在做到共享数据的同时，也严格保护用户对数据的绝对控制权，最大程度保证用户的数据隐私。

附图说明

图1为本发明的方法流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1所示的一种基于去中心化身份和代理重加密的数据共享方法，包括以下步骤：

步骤一、上传数据：数据拥有者随机生成秘钥A，秘钥A为对称秘钥，用秘钥A加密原数据R得到加密数据D，将加密后的数据D推送到数据存储中心中进行存储，数据存储中心可以是中心化存储、非中心化存储或区块链存储；随后，数据拥有者用自己的DID公钥加密秘钥A，生成加密密文C1并生成claim-1，claim-1包括数据的存储信息和加密密文C1，其中，数据的存储信息包括但不限于以下信息：文件存储位置、文件hash和文件大小，然后将claim-1存储在Identity Hub；

步骤二、请求数据：数据使用者向数据拥有者发出使用数据请求，数据拥有者根据数据使用者的DID信息，从DID resolver中获取其DID对应的document，得到数据使用者的DID公钥；数据拥有者使用自己的DID私钥和数据使用者的DID公钥进行重加密计算，得到重加密秘钥Kab；数据拥有者为数据使用者授权，生成claim-2授权信息，claim-2授权信息包括但不限于以下信息：数据存储位置信息、用数据拥有者DID公钥加密后的对称秘钥信息、重加密秘钥Kab、数据使用者DID公钥以及有效访问时间信息；随后数据拥有者向数据使用者返回claim-2的id；

步骤三、访问数据：数据使用者向访问控制器请求对应claim指定的数据；访问控制器收到请求后确认访问权限，访问权限的确认具体包括以下步骤：

a、将访问控制器收到的请求转发给Identity Hub；

b、Identity Hub校验数据使用者did的合法性；

c、Identity Hub校验对请求claim的访问有效性；

如果确认有权访问，则用重加密秘钥Kab和加密密文C1进行代理重加密计算得到新密文K，代理重加密是一种具备密文安全转换功能的新型公钥加密算法，在代理重加密算法中，一个半可信代理者(Proxy)扮演着密文转换的角色，能够将由委托者(Delegator)公钥加密的密文转换为由被委托者(Delegatee)公钥对同一明文加密的密文，然后被委托者可利用其自身私钥解密转换后的密文。在密文转换过程中，代理者必须拥有一个由委托者授权的针对被委托者的密文转换密钥(重加密密钥)，且代理者无法获得有关明文的任何信息。代理重加密用于数据动态共享，代理重加密可以在***漏数据拥有者解密密钥的情况下，实现云端密文数据的共享；

确认数据使用者对数据有访问权限之后，从数据存储中心拉取对应的加密数据D；访问控制器向数据使用者返回加密的数据D和计算后得到的新密文K；数据使用者使用自己的DID私钥解密新密文K得到对称加密秘钥A，然后用A解密加密的数据D得到原数据R。

在上述步骤中，DID是指去中心化数字身份标识符，是由字符串组成的标识符，用来代表一个数字身份，不需要中央注册机构就可以实现全球唯一性。通常，一个实体可以拥有多个身份，每个身份被分配唯一的DID值，以及与之关联的非对称密钥。不同的身份之间没有关联信息，从而有效地避免了所有者身份信息的归集。DID是一种去中心化的可验证的数字标识符，具有分布式、自主可控、跨链复用等特点。实体可自主完成DID的注册、解析、更新或者撤销操作。DID具体解析为DID document，DID document包括DID的唯一标识码，公钥列表和公钥的详细信息(持有者、加密算法、密钥状态等)，以及DID持有者的其他属性描述；数据拥有者和数据使用者同时至少需要各有一个DID信息，并且DID信息的有效性可以相互校验。

Claim指声明，是用来证明实体的某些身份属性的，它可以作为一个数据单元进行存储和传输，并可被任何实体验证，可验证声明主要包括元数据，声明内容以及声明者的签名；如果发证方的DID是做背书的，则其签发出来的Claim称之为Proof Claim，如果做背书的DID是权威机构，那么此DID签发的Claim可以认为具有公信力；如果发证方就是用户自己，即一个DID对自己签发Claim，则称之为Profile Claim。因为可验证声明是DID签发出来的，所以使用者只需要去链上获得此DID的公钥即可验证声明的真伪。

DID Resolver即DID解析器，是一个软件组件，其API设计用于接收DID查找请求并执行相应的DID方法以检索权威DID文档。为了符合此规范，DID解析器满足以下要求：

a、应该根据DID方法规范验证DID是否有效，否则会产生错误；

b、在执行DID解析操作时，必须符合适用的DID方法规范的要求；

c、如果签署了DID文档，应该提供验证DID文档完整性的服务；

d、可以提供返回DID文档的请求属性的服务。

Identity Hub是指在DID的生态体系中用于保存和管理用户的数据的服务，Identity Hub的实现满足几个要求：

a、用户可控：Identity Hub可以由用户选择部署于任何地方，包括用户自己的手机、PC等；

b、用户数据加密保存；

c、Identity Hub不保存任何私钥；

d、用户数据的访问需要认证；

e、经过用户授权后可允许第三方访问用户数据。

本发明与现有技术相比，具有以下优点：

(1)、本发明是基于去中心化身份的一种数据共享方法，用户对数据具有绝对的控制权，基于did Claim的特点，用户可以精准控制数据的共享范围和共享时间。DID是基于区块链的一种身份***，是一种分布式的去中心化的***，不会存在单点故障。本发明将数据的访问功能与存储功能剥离开来，形成一个独立的服务，因此对于存储功能是有中心化存储还是去中心化存储，或者是区块链的存储都可以兼容，最大程度的保证了方法的可用性、有效性与普适性。

(2)、本发明是基于代理重加密的一种数据共享方法，代理重加密是一种可以对密文进行安全转换的加密方法，通过代理服务器将一个用户的密文转换为另一个用户可以解密的密文，且***露用户的私钥和明文信息，最大程度上保障了用户的数据安全性，使用户可以在一种相对不是特别安全的环境中保存自己的加密数据而不会在数据分享流程中泄露自己的秘密。

上述实施方式并非是对本发明的限制，本发明也并不仅限于上述举例，本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换，也均属于本发明的保护范围。

Claims

1.一种基于去中心化身份和代理重加密的数据共享方法，其特征在于：包括以下步骤：

2.根据权利要求1所述的基于去中心化身份和代理重加密的数据共享方法，其特征在于：所述步骤一中的秘钥A为对称秘钥；数据存储中心是中心化存储、非中心化存储或区块链存储；claim-1包括数据的存储信息和加密密文C1，claim-1存储在Identity Hub。

3.根据权利要求2所述的基于去中心化身份和代理重加密的数据共享方法，其特征在于：所述数据的存储信息包括但不限于以下信息：文件存储位置、文件hash和文件大小。

4.根据权利要求1所述的基于去中心化身份和代理重加密的数据共享方法，其特征在于：所述步骤二中的claim-2授权信息包括但不限于以下信息：数据存储位置信息、用数据拥有者DID公钥加密后的对称秘钥信息、重加密秘钥Kab、数据使用者DID公钥以及有效访问时间信息。

5.根据权利要求1所述的基于去中心化身份和代理重加密的数据共享方法，其特征在于：所述步骤三中访问权限的确认具体包括以下步骤：

a、将访问控制器收到的请求转发给Identity Hub；

b、Identity Hub校验数据使用者did的合法性；

c、Identity Hub校验对请求claim的访问有效性。

6.根据权利要求1所述的基于去中心化身份和代理重加密的数据共享方法，其特征在于：所述数据拥有者和数据使用者同时至少需要各有一个DID信息，并且DID信息的有效性可以相互校验。