CN113364735A - 多链场景下数据跨链访问控制方法、***、设备及终端 - Google Patents
多链场景下数据跨链访问控制方法、***、设备及终端 Download PDFInfo
- Publication number
- CN113364735A CN113364735A CN202110486731.1A CN202110486731A CN113364735A CN 113364735 A CN113364735 A CN 113364735A CN 202110486731 A CN202110486731 A CN 202110486731A CN 113364735 A CN113364735 A CN 113364735A
- Authority
- CN
- China
- Prior art keywords
- data
- chain
- access
- cross
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于数据访问控制技术领域,公开了一种多链场景下数据跨链访问控制方法、***、设备及终端,所述多链场景下数据跨链访问控制方法包括:注册阶段,数据上传,数据上链,数据访问,访问记录上链,数据获取。本发明能够满足面向多链场景下的数据跨链访问控制需求,针对区块链技术在单链架构下存在着性能、容量不足问题和传统技术无法满足或者实现复杂的跨区块链业务的资产交换和信息交换需求提出了跨链访问控制方案。本发明允许多链场景下异构链间的资产交换、数据共享及合约调用;依据场景导向可灵活组织部署架构,具有通用跨链传输协议、异构交易验证引擎核心功能特性,为服务区块链业务安全治理、区块链互联网的形成提供了可靠的底层技术支撑。
Description
技术领域
本发明属于数据访问控制技术领域,尤其涉及一种多链场景下数据跨链访问控制方法、***、设备及终端。
背景技术
目前,当前的区块链应用和底层技术平台呈现出百花齐放的状态,但主流区块链应用中的每条链大多仍是一个独立的、垂直的封闭体系。在业务形式日益复杂的商业应用场景下,链与链之间缺乏统一的互联互通机制,这极大限制了区块链上数字资产价值的流动性,跨链需求由此而来。
跨链指的是通过连接相对独立的区块链***,实现不同账本的可信互操作。跨链依据其交换内容的不同可以大体分为数字资产交换和信息交换。在数字资产交换方面,当前资产交换主要依靠中心化的交易所来完成,中心化的交换方式既不安全、规则也不透明,业界也出现了去中心化的资产交换方式如Uniswap、Curve、SushiSwap等,但是当前的去中心化资产交易多数只能实现同一个区块链上不同合约资产的交换,对跨链数字资产去中心化交换仍不完善,事实上仍处于互相隔离的状态,信息交换由于涉及链与链之间的数据同步和相应的跨链调用,实现更为复杂,因此每个区块链应用之间互通壁垒极高,无法有效地进行链上信息共享。
另一方面,区块链技术在单链架构下本身存在着性能差、容量不足等问题。单链受限于去中心化、可扩展性和安全性的权衡,难以支撑高交易吞吐量低延迟的商业场景应用。此外,随着区块链运行时间的增长,其存储容量也将逐渐增长,且这种数据增长的速度甚至会超过单链存储介质的容量上限,故通过跨链技术实现多链协作的多层多链体系架构是解决区块链性能瓶颈的可取之道。因此,亟需一种多链场景下数据跨链访问控制方法、***、设备及终端。
通过上述分析,现有技术存在的问题及缺陷为:
(1)中心化的交换方式既不安全、规则也不透明。
(2)当前去中心化资产交易多数只能实现同一个区块链上不同合约资产的交换,对跨链数字资产去中心化交换仍不完善,事实上仍处于互相隔离的状态。
(3)信息交换由于涉及链与链之间的数据同步和相应的跨链调用,实现更为复杂,故每个区块链应用之间互通壁垒极高,无法有效地进行链上信息共享。
(4)区块链技术在单链架构下本身存在着性能差、容量不足等问题,单链受限于去中心化、可扩展性和安全性的权衡,难以支撑高交易吞吐量低延迟的商业场景应用。
(5)随着区块链运行时间的增长,其存储容量也将逐渐增长,且数据增长速度甚至会超过单链存储介质的容量上限,极大限制了区块链技术的健康发展。
解决以上问题及缺陷的难度为:
(1)跨链交易的验证问题,如何确认记录交易发生的区块得到了足够的确认,即交易事务中各分布式网络间的数据一致性问题;
(2)跨链事务的原子性问题,如何管理跨链事务中的各子交易确保跨链事务整体完整的原子性,即跨链事务的发生只存在两中状态完成或失败;
(3)不同区块链之间的协议适配问题,如何对采用不同架构与协议的区块链之间进行适配,需要跨链协议中设计可以兼容多种异构区块链的数据结构、命名规范以及通信方式等。
解决以上问题及缺陷的意义为:通过解决上述问题,一种多链场景下数据跨链访问控制方案,结合区块链去中心化、可追溯、不可篡改等技术特点,构建一个高可扩展、强鲁棒性、易升级的区块链跨链平台,为去中心化应用提供通信枢纽,支撑链上可信数据资产高效流动,服务区块链业务安全治理,为区块链互联网的形成提供可靠的底层技术支撑。保证跨链交易的安全性、灵活性与可靠性。
发明内容
针对现有技术存在的问题,本发明提供了一种多链场景下数据跨链访问控制方法、***、设备及终端。
本发明是这样实现的,一种多链场景下数据跨链访问控制方法,所述多链场景下数据跨链访问控制方法包括以下步骤:
步骤一,注册阶段:每个域中用户或物联网设备在其各自归属域中进行身份注册与认证,获取身份属性信息,使得每个用户或物联网的数据分类存放,方便进行访问控制;
步骤二,数据上传:将加密过的数据上传至服务端存储,数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法AES加密明文数据M生成密文C上传至服务端存储,同时记录数据M元数据信息;
步骤三,数据上链:方便用户查找服务端的现有数据,数据所有者DO设定该数据访问结构策略树T,结合访问策略执行CP-ABE算法加密密钥k生成文件对称加密密钥的密文ET(k),将步骤二中元数据信息、访问策略及ET(k)生成区块,更新至数据信息链;
步骤四,数据访问:通过中继链实现访问控制,数据请求者DU在所在域D1发起数据访问请求;若涉及跨域数据,则D1跨链通过调用中继链对数据所在域D2申请访问;D2对申请者进行判决,若判决成功,则D1传输密文数据给DU;
步骤五,访问记录上链:记录数据的访问情况,步骤四中访问控制判定结束后,数据所在域将此次访问请求及结果的相关信息上链记录,以供后续查询与审计;
步骤六,数据获取:用户解密获得数据,DU使用CP-ABE算法解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过AES算法解密密文C获取明文数据M。
进一步,步骤二中,所述数据M元数据信息,包括哈希值、上传域、文件大小、上传时间和所有者。
进一步,步骤二中,所述数据跨链调用,包括:
(1)进行跨链访问时,应用链A在所在域D1向自治域D2的应用链B发出跨链访问请求时;
(2)应用链A通过调用中继链进行跨链访问,中继链对访问链进行身份认证与合法性确认,通过属性映射将域D1属性映射为域D2属性,使得请求者获取域D2属性;
(3)中继链根据映射后的D2属性集生成D2颁发的公私钥对分发至数据请求者,并将调用请求转发至应用链B;
(4)应用链B传输密文数据信息至数据请求者。
进一步,步骤二和步骤六中,所述CP-ABE算法,包括:
(1)***初始化算法(1τ)→(PK,MK):输入一个安全参数τ,输出***公钥PK和主密钥MK;
(2)密钥生成算法(PK,MK,S)→(SK):输入一个属性集合S、主密钥MK和公钥PK,输出用户私钥SK;
(3)加密算法(PK,M,AS)→(CT):输入一个需要加密的明文M、公钥PK和访问结构AS,输出包含访问策略的密文CT;
(4)解密算法(PK,SK,CT)→(M):输入包含访问策略AS的密文CT、由属性集合所生成的公钥PK和私钥SK,如果属性集合S满足访问策略时,用户即可成功解密出明文M。
进一步,所述多链场景下数据跨链访问控制方法还包括数据跨域访问,所述数据跨域访问,包括:
(1)完成区块链网络内各个云组织之间属性映射,由跨链服务管理平台维护属性映射表;
(2)用户进行身份注册,自动化生成用户公私钥对和用户属性;
(3)数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法加密明文数据M生成密文C上传至自治域,并记录数据M元数据信息;其中,所述数据M元数据信息包括:数据所在域FileAddr、数据关键词集合Keywords和加密文件的散列值hash;
(4)DO设定该数据访问结构策略树T,调用跨链服务管理平台属性映射接口完成各域间属性映射扩展;
(5)DO执行CP-ABE算法加密密钥k生成ET(k),将元数据信息、访问策略及ET(k)生成区块,将生成的文件信息经过共识算法上链;
(6)数据使用者DU可通过文件信息链FIC检索多域下所有数据信息,调用跨链接口发起数据访问请求;
(7)跨链服务管理平台通过文件信息链FIC和中继链自动查询数据访问策略和用户属性,进行访问判决,若DU属性匹配策略,转步骤(9);否则拒绝访问,流程结束;
(8)目标链所在域传输数据密文C给DU;
(9)DU首先通过解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过解密密文C获取明文数据。
进一步,所述多链场景下数据跨链访问控制方法,还包括基于多云共识的共识机制Raft更新区块,当***中有用户发起的新提案时,由于当前区块链的记账权由领导者节点掌握,跟随者节点具体工作;其中,所述区块更新,包括:
(1)跟随者将提案行为发送给领导者节点;
(2)领导者节点验证证书的数字签名,校验通过后将收到的数字证书和操作类型打包成区块,并把该区块向所有跟随者节点广播;
(3)跟随者节点验证区块内容后向领导者节点返回响应;
(4)领导者节点在收获超过一半的节点响应后,通知所有跟随者节点确认写入该区块,跟随者节点再通知各自域内节点更新区块链,完成账本更新。
本发明的另一目的在于提供一种应用所述的多链场景下数据跨链访问控制方法的多链场景下数据跨链访问控制***,所述多链场景下数据跨链访问控制***包括:
用户模块,由用户实体组成,是数据调用的实际参与者,用于用户身份注册、访问数据和上传数据;
多链自治模块,由多个服务自治域D组成,用于负责用户身份注册与属性颁发,以及用于属性加密的密钥生成与分发,同时记录数据信息,每个域拥有其独立维护的数据信息链与访问记录链;
数据存储模块,由具有强大计算能力和大存储容量的云服务提供商CSP和其他物联网设备组成,用于负责数据的存储及下载服务。
进一步,所述用户模块包括用于用户身份注册、属性分配的认证单元,用于根据用户操作要求对数据进行上传、下载、修改等动作的操作单元,用于记录用户的访问请求与对应结果的访问记录链ARC。
所述访问记录链ARC包括数据访问用户DU、访问用户所在域D、数据访问时间FileTime、数据所在域FileAddr及访问结果AccessResult。
所述多链自治模块包括采用Raft协议使域内各节点达成共识的共识机制,用于进行跨链调用和域间差异化属性映射的中继链,用于维护数据所有者DO上传数据的元信息的文件信息链FIC。
所述文件信息链FIC包括数据所在域FileAddr、数据关键词集合Keywords、加密文件的散列值hash及经过属性基CP-ABE加密后,用户加密文件所使用的文件对称加密密钥的密文ET(k)。
所述数据存储模块,用于存储经过数据所有者DO加密上传后的数据,接受数据访问者DU的请求并提供密文下载服务。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
(1)注册阶段:每个域中用户或物联网设备在其各自归属域中进行身份注册与认证,获取身份属性信息;
(2)数据上传:数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法AES加密明文数据M生成密文C上传至服务端存储,同时记录数据M元数据信息;
(3)数据上链:数据所有者DO设定该数据访问结构策略树T,结合访问策略执行CP-ABE算法加密密钥k生成ET(k),将步骤二中元数据信息、访问策略及ET(k)生成区块,更新至数据信息链;
(4)数据访问:数据请求者DU在所在域D1发起数据访问请求;若涉及跨域数据,则D1跨链通过调用中继链对数据所在域D2申请访问;D2对申请者进行判决,若判决成功,则D1传输密文数据给DU;
(5)访问记录上链:步骤四中访问控制判定结束后,数据所在域将此次访问请求及结果的相关信息上链记录,以供后续查询与审计;
(6)数据获取:DU使用CP-ABE算法解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过AES算法解密密文C获取明文数据M。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的多链场景下数据跨链访问控制***。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的多链场景下数据跨链访问控制方法,能够满足面向多链场景下的数据跨链访问控制需求,针对区块链技术在单链架构下存在着性能、容量不足问题和传统技术无法满足或者实现复杂的跨区块链业务的资产交换和信息交换需求提出了跨链访问控制方案。本发明允许多链场景下异构链间的资产交换、数据共享及合约调用。依据场景导向可灵活组织部署架构,具有通用跨链传输协议、异构交易验证引擎核心功能特性,保证跨链交易的安全性、灵活性与可靠性。该方案为去中心化应用提供通信枢纽,支撑了链上可信数据资产高效流动,为服务区块链业务安全治理、区块链互联网的形成提供了可靠的底层技术支撑。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的多链场景下数据跨链访问控制方法流程图。
图2是本发明实施例提供的数据跨链访问控制方法的跨链访问流程图。
图3是本发明实施例提供的多链场景下数据跨链访问控制***结构框图;
图中:1、用户模块;2、多链自治模块;3、数据存储模块。
图4是本发明实施例提供的多链场景下数据跨链访问控制***结构原理图。
图5是本发明实施例提供的数据跨链访问控制方法的跨域属性映射示意图。
图6是本发明实施例提供的数据跨链访问控制方法的跨链调用流程图。
图7是本发明实施例提供的数据跨链访问控制方法的CP-ABE原理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种多链场景下数据跨链访问控制方法、***、设备及终端,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的多链场景下数据跨链访问控制方法包括以下步骤:
S101,注册阶段:每个域中用户或物联网设备在其各自归属域中进行身份注册与认证,获取身份属性信息;
S102,数据上传:数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法AES加密明文数据M生成密文C上传至服务端存储,同时记录数据M元数据信息;
S103,数据上链:数据所有者DO设定该数据访问结构策略树T,结合访问策略执行CP-ABE算法加密密钥k生成文件对称加密密钥的密文ET(k),将S102中元数据信息、访问策略及ET(k)生成区块,更新至数据信息链;
S104,数据访问:数据请求者DU在所在域D1发起数据访问请求;若涉及跨域数据,则D1跨链通过调用中继链对数据所在域D2申请访问;D2对申请者进行判决,若判决成功,则D1传输密文数据给DU;
S105,访问记录上链:S104中访问控制判定结束后,数据所在域将此次访问请求及结果的相关信息上链记录,以供后续查询与审计;
S106,数据获取:DU使用CP-ABE算法解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过AES算法解密密文C获取明文数据M。
本发明实施例提供的数据跨链访问控制方法的跨链访问流程图如图2所示。
如图3所示,本发明实施例提供的多链场景下数据跨链访问控制***包括:
用户模块1,由用户实体组成,是数据调用的实际参与者,用于用户身份注册、访问数据和上传数据;
多链自治模块2,由多个服务自治域D组成,用于负责用户身份注册与属性颁发,以及用于属性加密的密钥生成与分发,同时记录数据信息,每个域拥有其独立维护的数据信息链与访问记录链;
数据存储模块3,由具有强大计算能力和大存储容量的云服务提供商CSP和其他物联网设备组成,用于负责数据的存储及下载服务。
本发明实施例提供的多链场景下数据跨链访问控制***结构原理图如图4所示。
下面结合实施例对本发明的技术方案作进一步描述。
实施例1
本发明实施例提供的数据跨链访问控制***,包括:
由用户实体组成的用户模块,是数据调用的实际参与者,用于用户身份注册、访问数据和上传数据。
多个自治域(domain,D)组成的多链自治模块,负责用户身份注册与属性颁发,以及用于属性加密的密钥生成与分发,同时记录数据信息,每个域拥有其独立维护的数据信息链与访问记录链。
由具有强大计算能力和大存储容量的云服务提供商(cloud service provider,CSP)和其他物联网设备组成的数据存储模块,负责数据的存储及下载服务。
本发明实施例提供的用户模块包括用于用户身份注册、属性分配的认证单元,用于根据用户操作要求对数据进行上传、下载、修改等动作的操作单元,用于记录用户的访问请求与对应结果的访问记录链ARC。
进一步,所述访问记录链ARC包括数据访问用户DU、访问用户所在域D、数据访问时间FileTime、数据所在域FileAddr及访问结果AccessResult。
本发明实施例提供的多链自治模块包括采用Raft协议使各节点达成共识的共识机制,用于维护数据所有者DO上传数据的元信息的文件信息链FIC。
本发明实施例提供的文件信息链FIC主要包括数据所在域FileAddr、数据关键词集合Keywords、加密文件的散列值hash及经过属性基CP-ABE加密后,用户加密文件所使用的文件对称加密密钥的密文ET(k)。
本发明实施例提供的数据存储模块,存储经过数据所有者(data owner,DO)加密上传后的数据,接受数据访问者(data user,DU)的请求并提供密文下载服务。
实施例2
如图5所示,本发明实施例提供的数据跨链访问控制方法的跨域属性映射示意图。该模型中各个域内都采用基于密文策略的属性基加密CP-ABE进行数据访问控制,各域资源属性分为通用属性与映射属性,通用属性表示各域内具有普适性的通用型属性,如姓名、性别、年龄等;映射属性表示仅适用于本域内,跨域调用时需要进行属性映射的局部属性。在进行数据跨链访问时,数据所在链通过中继链完成策略属性映射。当其中任意一个自治域D1中的用户向自治域D2发出跨链访问请求时,通过属性映射可以把自治域D2中的属性通过中继链映射给域D1,使得域D1中用户获得域D2中的属性,进而可以对域D2内的某些资源进行访问操作。
图6是本发明的数据跨链访问调用的流程图。具体工作流程如下:
步骤一,应用链A在所在域D1向自治域D2的应用链B发出跨链访问请求时;
步骤二,应用链A通过调用中继链进行跨链访问,中继链对访问链进行身份认证与合法性确认,通过属性映射将域D1属性映射为域D2属性,使得请求者获取域D2属性;
步骤三,中继链根据映射后的D2属性集生成D2颁发的公私钥对分发至数据请求者,并将调用请求转发至应用链B;
步骤四,应用链B传输密文数据信息至数据请求者。
图7是本发明实施例提供的数据跨链访问控制方法的CP-ABE原理示意图。具体步骤如下:
步骤一,***初始化算法(1τ)→(PK,MK):输入一个安全参数τ,输出***公钥PK和主密钥MK;
步骤二,密钥生成算法(PK,MK,S)→(SK):输入一个属性集合S、主密钥MK和公钥PK,输出用户私钥SK;
步骤三,加密算法(PK,M,AS)→(CT):输入一个需要加密的明文M、公钥PK和访问结构AS,输出包含访问策略的密文CT;
步骤四,解密算法(PK,SK,CT)→(M):输入包含访问策略AS的密文CT、由属性集合所生成的公钥PK和私钥SK,如果属性集合S满足访问策略时,用户就可以成功的解密出明文M。
综上,数据跨链访问控制***,能够满足面向多链场景下的数据跨链访问需求,针对区块链技术在单链架构下存在着性能、容量不足问题和传统技术无法满足或者实现复杂的跨区块链业务的资产交换和信息交换需求提出了跨链访问控制方案。允许多链场景下异构链间的资产交换、数据共享及合约调用。依据场景导向可灵活组织部署架构,具有通用跨链传输协议、异构交易验证引擎核心功能特性,保证跨链交易的安全性、灵活性与可靠性。该方案为去中心化应用提供通信枢纽,支撑了链上可信数据资产高效流动,为服务区块链业务安全治理、区块链互联网的形成提供了可靠的底层技术支撑。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种多链场景下数据跨链访问控制方法,其特征在于,所述多链场景下数据跨链访问控制方法包括:
注册阶段:每个域中用户或物联网设备在其各自归属域中进行身份注册与认证,获取身份属性信息;
数据上传:数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法AES加密明文数据M生成密文C上传至服务端存储,同时记录数据M元数据信息;
数据上链:数据所有者DO设定该数据访问结构策略树T,结合访问策略执行CP-ABE算法加密密钥k生成ET(k),将元数据信息、访问策略及ET(k)生成区块,更新至数据信息链;
数据访问:数据请求者DU在所在域D1发起数据访问请求;若涉及跨域数据,则D1跨链通过调用中继链对数据所在域D2申请访问;D2对申请者进行判决,若判决成功,则D1传输密文数据给DU;
访问记录上链:访问控制判定结束后,数据所在域将此次访问请求及结果的相关信息上链记录,以供后续查询与审计;
数据获取:DU使用CP-ABE算法解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过AES算法解密密文C获取明文数据M。
2.如权利要求1所述的多链场景下数据跨链访问控制方法,其特征在于,所述数据M元数据信息,包括哈希值、上传域、文件大小、上传时间和所有者。
3.如权利要求1所述的多链场景下数据跨链访问控制方法,其特征在于,所述数据跨链调用,包括:
(1)进行跨链访问时,应用链A在所在域D1向自治域D2的应用链B发出跨链访问请求时;
(2)应用链A通过调用中继链进行跨链访问,中继链对访问链进行身份认证与合法性确认,通过属性映射将域D1属性映射为域D2属性,使得请求者获取域D2属性;
(3)中继链根据映射后的D2属性集生成D2颁发的公私钥对分发至数据请求者,并将调用请求转发至应用链B;
(4)应用链B传输密文数据信息至数据请求者。
4.如权利要求1所述的多链场景下数据跨链访问控制方法,其特征在于,所述CP-ABE算法,包括:
(1)***初始化算法(1τ)→(PK,MK):输入一个安全参数τ,输出***公钥PK和主密钥MK;
(2)密钥生成算法(PK,MK,S)→(SK):输入一个属性集合S、主密钥MK和公钥PK,输出用户私钥SK;
(3)加密算法(PK,M,AS)→(CT):输入一个需要加密的明文M、公钥PK和访问结构AS,输出包含访问策略的密文CT;
(4)解密算法(PK,SK,CT)→(M):输入包含访问策略AS的密文CT、由属性集合所生成的公钥PK和私钥SK,如果属性集合S满足访问策略时,用户即可成功解密出明文M。
5.如权利要求1所述的多链场景下数据跨链访问控制方法,其特征在于,所述多链场景下数据跨链访问控制方法还包括数据跨域访问,所述数据跨域访问,包括:
(1)完成区块链网络内各个云组织之间属性映射,由跨链服务管理平台维护属性映射表;
(2)用户进行身份注册,自动化生成用户公私钥对和用户属性;
(3)数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法加密明文数据M生成密文C上传至自治域,并记录数据M元数据信息;其中,所述数据M元数据信息包括:数据所在域FileAddr、数据关键词集合Keywords和加密文件的散列值hash;
(4)DO设定该数据访问结构策略树T,调用跨链服务管理平台属性映射接口完成各域间属性映射扩展;
(5)DO执行CP-ABE算法加密密钥k生成ET(k),将元数据信息、访问策略及ET(k)生成区块,将生成的文件信息经过共识算法上链;
(6)数据使用者DU可通过文件信息链FIC检索多域下所有数据信息,调用跨链接口发起数据访问请求;
(7)跨链服务管理平台通过文件信息链FIC和中继链自动查询数据访问策略和用户属性,进行访问判决,若DU属性匹配策略,转步骤(9);否则拒绝访问,流程结束;
(8)目标链所在域传输数据密文C给DU;
(9)DU首先通过解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过解密密文C获取明文数据。
6.如权利要求1所述的多链场景下数据跨链访问控制方法,其特征在于,所述多链场景下数据跨链访问控制方法,还包括基于多云共识的共识机制Raft更新区块,当***中有用户发起的新提案时,由于当前区块链的记账权由领导者节点掌握,跟随者节点具体工作;其中,所述区块更新,包括:
(1)跟随者将提案行为发送给领导者节点;
(2)领导者节点验证证书的数字签名,校验通过后将收到的数字证书和操作类型打包成区块,并把该区块向所有跟随者节点广播;
(3)跟随者节点验证区块内容后向领导者节点返回响应;
(4)领导者节点在收获超过一半的节点响应后,通知所有跟随者节点确认写入该区块,跟随者节点再通知各自域内节点更新区块链,完成账本更新。
7.一种实施权利要求1~6任意一项所述的多链场景下数据跨链访问控制方法的多链场景下数据跨链访问控制***,其特征在于,所述多链场景下数据跨链访问控制***包括:
用户模块,由用户实体组成,是数据调用的实际参与者,用于用户身份注册、访问数据和上传数据;
多链自治模块,由多个服务自治域D组成,用于负责用户身份注册与属性颁发,以及用于属性加密的密钥生成与分发,同时记录数据信息,每个域拥有其独立维护的数据信息链与访问记录链;
数据存储模块,由具有强大计算能力和大存储容量的云服务提供商CSP和其他物联网设备组成,用于负责数据的存储及下载服务。
8.如权利要求7所述的多链场景下数据跨链访问控制***,其特征在于,所述用户模块包括用于用户身份注册、属性分配的认证单元,用于根据用户操作要求对数据进行上传、下载、修改等动作的操作单元,用于记录用户的访问请求与对应结果的访问记录链ARC;
所述访问记录链ARC包括数据访问用户DU、访问用户所在域D、数据访问时间FileTime、数据所在域FileAddr及访问结果AccessResult;
所述多链自治模块包括采用Raft协议使域内各节点达成共识的共识机制,用于进行跨链调用和域间差异化属性映射的中继链,用于维护数据所有者DO上传数据的元信息的文件信息链FIC;
所述文件信息链FIC包括数据所在域FileAddr、数据关键词集合Keywords、加密文件的散列值hash及经过属性基CP-ABE加密后,用户加密文件所使用的文件对称加密密钥的密文ET(k);
所述数据存储模块,用于存储经过数据所有者DO加密上传后的数据,接受数据访问者DU的请求并提供密文下载服务。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
(1)注册阶段:每个域中用户或物联网设备在其各自归属域中进行身份注册与认证,获取身份属性信息;
(2)数据上传:数据所有者DO生成随机文件密钥k,使用密钥k执行对称加密算法AES加密明文数据M生成密文C上传至服务端存储,同时记录数据M元数据信息;
(3)数据上链:数据所有者DO设定该数据访问结构策略树T,结合访问策略执行CP-ABE算法加密密钥k生成ET(k),将步骤二中元数据信息、访问策略及ET(k)生成区块,更新至数据信息链;
(4)数据访问:数据请求者DU在所在域D1发起数据访问请求;若涉及跨域数据,则D1跨链通过调用中继链对数据所在域D2申请访问;D2对申请者进行判决,若判决成功,则D1传输密文数据给DU;
(5)访问记录上链:步骤四中访问控制判定结束后,数据所在域将此次访问请求及结果的相关信息上链记录,以供后续查询与审计;
(6)数据获取:DU使用CP-ABE算法解密数据信息链中的ET(k)获取文件密钥k,然后使用k通过AES算法解密密文C获取明文数据M。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求7~8任意一项所述的多链场景下数据跨链访问控制***。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110486731.1A CN113364735B (zh) | 2021-05-01 | 2021-05-01 | 多链场景下数据跨链访问控制方法、***、设备及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110486731.1A CN113364735B (zh) | 2021-05-01 | 2021-05-01 | 多链场景下数据跨链访问控制方法、***、设备及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113364735A true CN113364735A (zh) | 2021-09-07 |
| CN113364735B CN113364735B (zh) | 2022-08-19 |
Family
ID=77525723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110486731.1A Active CN113364735B (zh) | 2021-05-01 | 2021-05-01 | 多链场景下数据跨链访问控制方法、***、设备及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113364735B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113722285A (zh) * | 2021-11-03 | 2021-11-30 | 江苏荣泽信息科技股份有限公司 | 一种基于多链的跨链分布式文件存证*** |
| CN113837760A (zh) * | 2021-11-25 | 2021-12-24 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备以及存储介质 |
| CN114374700A (zh) * | 2022-01-10 | 2022-04-19 | 之江实验室 | 基于主从多链的支持广域协同的可信身份管理方法 |
| CN114465730A (zh) * | 2022-01-10 | 2022-05-10 | 浙商银行股份有限公司 | 一种基于区块链技术的物联网设备相互认证方法及装置 |
| CN114528346A (zh) * | 2022-01-27 | 2022-05-24 | 中科大数据研究院 | 一种多源异构数据资产依托区块链共享交易的方法 |
| CN114553604A (zh) * | 2022-04-26 | 2022-05-27 | 南京邮电大学 | 一种物联网终端节点访问控制方法 |
| CN114745198A (zh) * | 2022-05-05 | 2022-07-12 | 杭州云象网络技术有限公司 | 基于区块链运维管理的文件管理方法、***及装置 |
| CN114866328A (zh) * | 2022-05-23 | 2022-08-05 | 南京理工大学 | 一种边缘计算环境下基于区块链的跨域访问控制方法及*** |
| CN116800435A (zh) * | 2023-08-21 | 2023-09-22 | 成都信息工程大学 | 基于零知识证明和跨链的访问控制方法、***及存储介质 |
| WO2023201927A1 (zh) * | 2022-04-23 | 2023-10-26 | 东南大学 | 一种面向以链治链的区块链跨链监管方法 |
| CN117914627A (zh) * | 2024-03-15 | 2024-04-19 | 北方健康医疗大数据科技有限公司 | 一种基于dmz网络架构的数据要素流通*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112003889A (zh) * | 2020-07-10 | 2020-11-27 | 南京邮电大学 | 分布式跨链***及跨链信息交互与***访问控制机制 |
| CN112287029A (zh) * | 2020-11-17 | 2021-01-29 | 北京物资学院 | 一种区块链多链跨链***及其实现机制 |
| CN112487443A (zh) * | 2020-11-11 | 2021-03-12 | 昆明理工大学 | 一种基于区块链的能源数据细粒度访问控制方法 |
| CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、***、存储介质、计算机设备及终端 |
| CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
-
2021
- 2021-05-01 CN CN202110486731.1A patent/CN113364735B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112003889A (zh) * | 2020-07-10 | 2020-11-27 | 南京邮电大学 | 分布式跨链***及跨链信息交互与***访问控制机制 |
| CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、***、存储介质、计算机设备及终端 |
| CN112487443A (zh) * | 2020-11-11 | 2021-03-12 | 昆明理工大学 | 一种基于区块链的能源数据细粒度访问控制方法 |
| CN112287029A (zh) * | 2020-11-17 | 2021-01-29 | 北京物资学院 | 一种区块链多链跨链***及其实现机制 |
| CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| JIAWEI ZHENG等: ""Decentralized and Secure Cross-Domain Data Sharing Scheme Based on Blockchain for Application-Centric IoT"", 《JOURNAL OF INFORMATION SCIENCE AND ENGINEERING》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113722285B (zh) * | 2021-11-03 | 2022-02-11 | 江苏荣泽信息科技股份有限公司 | 一种基于多链的跨链分布式文件存证*** |
| CN113722285A (zh) * | 2021-11-03 | 2021-11-30 | 江苏荣泽信息科技股份有限公司 | 一种基于多链的跨链分布式文件存证*** |
| CN113837760A (zh) * | 2021-11-25 | 2021-12-24 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备以及存储介质 |
| CN114374700A (zh) * | 2022-01-10 | 2022-04-19 | 之江实验室 | 基于主从多链的支持广域协同的可信身份管理方法 |
| CN114465730A (zh) * | 2022-01-10 | 2022-05-10 | 浙商银行股份有限公司 | 一种基于区块链技术的物联网设备相互认证方法及装置 |
| CN114374700B (zh) * | 2022-01-10 | 2024-05-03 | 之江实验室 | 基于主从多链的支持广域协同的可信身份管理方法 |
| CN114528346A (zh) * | 2022-01-27 | 2022-05-24 | 中科大数据研究院 | 一种多源异构数据资产依托区块链共享交易的方法 |
| WO2023201927A1 (zh) * | 2022-04-23 | 2023-10-26 | 东南大学 | 一种面向以链治链的区块链跨链监管方法 |
| CN114553604A (zh) * | 2022-04-26 | 2022-05-27 | 南京邮电大学 | 一种物联网终端节点访问控制方法 |
| CN114745198A (zh) * | 2022-05-05 | 2022-07-12 | 杭州云象网络技术有限公司 | 基于区块链运维管理的文件管理方法、***及装置 |
| CN114866328A (zh) * | 2022-05-23 | 2022-08-05 | 南京理工大学 | 一种边缘计算环境下基于区块链的跨域访问控制方法及*** |
| CN116800435A (zh) * | 2023-08-21 | 2023-09-22 | 成都信息工程大学 | 基于零知识证明和跨链的访问控制方法、***及存储介质 |
| CN116800435B (zh) * | 2023-08-21 | 2023-12-19 | 成都信息工程大学 | 基于零知识证明和跨链的访问控制方法、***及存储介质 |
| CN117914627A (zh) * | 2024-03-15 | 2024-04-19 | 北方健康医疗大数据科技有限公司 | 一种基于dmz网络架构的数据要素流通*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113364735B (zh) | 2022-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113364735B (zh) | 多链场景下数据跨链访问控制方法、***、设备及终端 | |
| US11995618B2 (en) | Blockchain network interaction controller | |
| CN113132103B (zh) | 一种数据跨域安全共享***及方法 | |
| US11240213B2 (en) | Resource obtaining, distribution, and download method and apparatus, device, and storage medium | |
| US11296937B2 (en) | Decentralized data storage and processing for IoT devices | |
| CN109829326B (zh) | 基于区块链的跨域认证与公平审计去重云存储*** | |
| CN112686668B (zh) | 联盟链跨链***及方法 | |
| WO2022121538A1 (zh) | 基于区块链的数据同步方法、***及相关设备 | |
| CN106790420B (zh) | 一种多会话通道建立方法和*** | |
| US20090100261A1 (en) | Method and system for mediation of authentication within a communication network | |
| CN112738239B (zh) | 基于区块链的跨网安全数据共享方法及其*** | |
| CN113901505B (zh) | 数据共享方法、装置、电子设备及存储介质 | |
| CN105847853A (zh) | 一种视频内容分发方法及装置 | |
| CN111008855A (zh) | 一种基于改进代理重加密的追溯数据访问控制方法 | |
| CN114880698B (zh) | 数据库访问方法和装置、计算设备和计算机程序产品 | |
| CN113486082B (zh) | 一种基于区块链的外包数据访问控制*** | |
| CN114172730A (zh) | 面向链上链下结合文件区块链的跨链方法及中间*** | |
| CN111914272B (zh) | 一种移动边缘计算环境下起源数据的加密检索方法与*** | |
| WO2023221719A1 (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
| WO2024092929A1 (zh) | 数据跨域授权方法及装置和电子设备 | |
| WO2022227799A1 (zh) | 设备注册方法及装置、计算机设备、存储介质 | |
| US9071569B1 (en) | System, method, and computer program for content metadata and authorization exchange between content providers and service providers | |
| CN114448633A (zh) | 基于量子密钥的文件加密方法、装置、电子设备及介质 | |
| WO2024092928A1 (zh) | 基于区块链的多实例组网方法及装置和电子设备 | |
| US11201857B2 (en) | Domain transcendent file cryptology network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |