CN118013559B - 基于区块链数据用户角色模型的***数据加密安全*** - Google Patents

基于区块链数据用户角色模型的***数据加密安全*** Download PDF

Info

Publication number
CN118013559B
CN118013559B CN202410418367.9A CN202410418367A CN118013559B CN 118013559 B CN118013559 B CN 118013559B CN 202410418367 A CN202410418367 A CN 202410418367A CN 118013559 B CN118013559 B CN 118013559B
Authority
CN
China
Prior art keywords
user
printing
party
identity
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410418367.9A
Other languages
English (en)
Other versions
CN118013559A (zh
Inventor
张宏俊
李鹏
叶昊
王汝传
阙非凡
曹翊宸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202410418367.9A priority Critical patent/CN118013559B/zh
Publication of CN118013559A publication Critical patent/CN118013559A/zh
Application granted granted Critical
Publication of CN118013559B publication Critical patent/CN118013559B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明属于ERP安全技术领域,公开了基于区块链数据用户角色模型的***数据加密安全***,针对企业用印流程中存在的信息泄露问题、存储服务器的信息泄露以及业务过程中的信息泄露问题,结合了用户角色模型和属性基加密算法,既能提高信息保护的安全性,还能够让用户角色模型中的每一个分配角色按照访问权限获取相应信息,可溯源用印全流程信息。

Description

基于区块链数据用户角色模型的***数据加密安全***
技术领域
本发明属于ERP安全技术领域,具体是涉及基于区块链数据用户角色模型的***数据加密安全***。
背景技术
在企业业务发展过程中,随着***种类和数量的增加,以及盖章需求的增大,***管理中的各种问题逐渐凸显,如用印量大导致***使用需排队,空白章等乱盖私盖行为、***外带时难以监管、异地用章需寄送文件导致成本上升、盖印过程难以监控、***磨损等问题。尽管***管理***可以有效解决***管理中的一些问题,但在数据存储方面仍然存在着***记录易于被篡改、追溯困难的问题,同时也存在***真伪难以辨别、验真困难的问题。
对此,需要借助区块链等新兴技术为大数据服务用户模型进行加持,优化大数据管理的用户角色模式,从而大大提高用印流程的数据安全性。
现有技术中也存在一些利用区块链技术进行***管理的研究,(熊一新,贾航川,侯俊轶.******特质及现代***管理之社会治安治理意义[J].中国人民公安大学学报(社会科学版),2022,38(04):106-116.)、(廖艳琳.内部控制视角下商业银行会计操作风险管理研究——以山东省农村商业银行为例[J].财会通讯,2019(05):117-120.DOI:10.16144/j.cnki.issn1002-8072.2019.05.027.)、(刘敖迪, 杜学绘, 王娜, 等. 区块链技术及其在信息安全领域的研究进展[J]. 软件学报, 2018, 29(07): 2092-2115.)、(Jain A, Jat D S. Implementation of Blockchain Enabled Healthcare SystemUsing Hyperledger Fabric[C]. Proceedings of the International Conference onData Science, Machine Learning and Artificial Intelligence, 2021: 37-47.),但这些公开的技术中,区块链***管理技术的架构设计对模块的设置不足,且加密方法没有业务特异性。
发明内容
为解决上述技术问题,本发明提供了基于区块链数据用户角色模型的***数据加密安全***,结合了用户角色模型和属性基加密算法,既能提高信息保护的安全性,还能够让用户角色模型中的每一个分配角色按照访问权限获取相应信息。
本发明所述的基于区块链数据用户角色模型的***数据加密安全***,包括身份认证模块、权限管理模块、用印信息加密保护模块;
身份认证模块:协助印权方对用印方的身份进行认证,用印方通过认证后被加入用户列表,印权方通过验证后获取相应的访问权限;
权限管理模块:采用改进的用户角色模型对用印方和印权方的不同角色按级别分别授权,访问者即印权方可访问用印信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问本次交易信息的权限;
用印信息加密保护模块:根据用户角色模型对用印方和印权方进行的不同角色分配对用印信息获取进行属性加密;用印方和印权方各级人员通过分布式数据存储服务器***获取符合自己角色权限的相关数据。
进一步的,身份认证模块采用多素数密钥生成算法和交互式PV操作共同验证用户即用印方身份的真实性;用户在进行身份验证操作之前,先通过认证中心CA获取自己的数字身份证书;用户把自己的信息message传给认证中心CA,认证中心CA通过多素数密钥生成算法得到用户的公钥和私钥,对公钥信息进行了数字签名并把数字签名与私钥信息一同传给了用户。
进一步的,所述多素数密钥生成算法生成用户的公钥和私钥,具体步骤为:
步骤1-1、用户User将自己的信息message发送给认证中心CA,认证中心CA随机选出四个质数a、b、c、f,通过计算得到四质数的乘积:
步骤1-2、认证中心CA任取一个整数e,通过e计算出d,使得e与d的乘积和1对于取模除数同余,即乘积除以/>的余数和1除以/>的余数相同,公式为:
其中值为:/>;得到用户公钥为/>,用户私钥为,其中初始选出的质数a、b、c、f进行销毁,把计算出的结果d作为私钥;
步骤1-3、认证中心CA对用户信息message采用多素数的数字签名方法进行签名,数字签名通过采用个人信息的私钥次方对四个质数的乘积n进行取余得到:
步骤1-4、认证中心CA将用户的身份证书、公钥和私钥d发送给用户,其中身份证书包含了用户信息message和数字签名signature;
用户将身份证书中的数字签名发送给认证服务器Server来验证数字签名是否合法;如果数字签名不合法,则身份认证过程终止;如果用户数字签名合法,认证服务器和用户进行交互式的PV操作来判断用户的身份是否真实。
进一步的,步骤1-4中具体为:
步骤1-4-1、用户User将从认证中心CA得到的身份证书和公钥发送给认证服务器Server,认证服务器Server接收到身份证书和公钥后,验证用户数字签名的合法性:计算/>,/>表示对数字签名的解码;如果/>,则说明用户的数字签名合法,否则身份认证失败;
步骤1-4-2、数字签名的合法性验证成功后,认证服务器Server和用户User开始进行交互式的PV操作对话来进行用户的身份验证;用户User执行认证协议:
其中,ZKP是零知识证明,sec是用户对于自己的身份信息message进行加密后的信息,是在/>范围内的抗碰撞的哈希函数,/>是用户身份的标识,/>是标记PV操作过程的时间戳,/>是防止重放攻击的一个一次性的随机数字;/>、/>均为参数;Zn 表示模 n 的整数环,即所有小于 n 且与 n 互质的整数集合; />中所有与 n 互质的元素构成的乘法群;
步骤1-4-3、认证服务器Server从实数集中随机选择一个数字,并将/>发送给用户User;用户User在实数集中随机选择一个数字/>,进行计算:
其中,s是用户在服务器的身份认证编号,即私密值;计算出的值之后,用户利用自己的数字签名signature计算出用户身份认证协议中的/>
判断出求到的和/>满足协议:/>
步骤1-4-4、用户User将表明自身身份的依据发送给认证服务器Server,认证服务器Server接收到证据后,验证该依据是否成立:
若等式成立,则验证证据正确,相信用户身份的真实性,认证服务器将用户添加至用户列表,并将其加入到区块链网络;印权方在确认了其身份的真实性后,会获取相应的权限状态并能够接收用户发起的交易。
进一步的,在一般用户角色模型的基础上对用户以及印权方企业各级人员进行访问权限管理;
用户角色模型包括用印人角色以及印权方企业各级人员角色;
用印人角色指在区块链加密的云计算网络中发起交易的用户,作为用印方的权限可以访问所有有关自己待用印文件的信息;
印权方企业各级人员角色指其所在的用户区块,按照分工划分的不同角色,包括用印前的用印授权方,用印过程中的用印监管方以及负责***出纳的***管控方,不同的角色获取的用印信息不同;每个角色的权限设置保存在云计算网络的分布式账本中,当根据区块链的共识机制判断用户发起的交易的合法性后,访问者可访问交易信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问该交易信息的权限。
用印方与印权方通过网络等信息化技术手段,传播、确认并履行双方的用印协议。其机制公平透明,其制定文件中的规定以及信息对外部可见,任何用印流程公开可见,杜绝出现任何错误或是隐藏的用印。本发明将***中设计的用户角色模型中对于角色分配的访问权限嵌入到智能合约中,使得用印流程双方都能够看见并且认可该访问权限机制。另外,流程双方可以通过智能合约制定一些复核机制,例如流程发起方在制定的协议时间内并没有能够完成自己申请的用印,印权方企业可以通过智能合约按照流程双方事先制定的复核机制自动对于用印方申请进行复核。
进一步的,隐私加密模块采用属性基加密算法对每个分配的角色进行属性加密,具体为:
步骤2-1、初始化:初始化算法将选择一个阶为素数、生成源为/>的双线性群/>,并选择两个随机幂指数/>,/>为有限域;生成***公钥/>和***主密钥/>如下所示:
h为随机化公钥底数,为双线性群组运算;
步骤2-2、加密:用秘密值分发得到的子秘密值/>进行加密,得到密文/>,其中的值将属性/>映射到G域;密文/>如下:
其中,是基于用户角色模型所定义的访问控制结构;/>为随机化公钥,/>是加密对象集合,/>是针对对象x的子公钥,/>是子公钥在G域的映射,/>是指该集合需要公钥,用于对特定集合打标签;
步骤2-3、秘钥生成加密参数,认证中心CA根据和数据请求者提交 的属性集合,为数据请求者生成与属性集合关联的用户秘钥;秘钥生成算法将输入一 组属性,并输出与该集合标识的密钥;首先选择一个随机的,然后对每个的属 性进行随机选择,然后计算出用户秘钥
为有限域中的数,/>为S中的属性,/>代表属性j选择的有限域中的数,D为生成密钥的参数,/>是根据属性集S中的每一个属性/>构成的加密参数,/>为每个属性/>的私钥;
步骤2-4、解密:解密为确定化算法,由数据的请求者执行;先访问策略树的叶子节点,令,/>表示密文策略访问树的叶子节点即函数/>返回节点/>所对应的属性,y(0)为每个节点上的表达式在0处的值;/>为哈希运算,将值映射到双线性群组上;如果/>,所得到的解密节点为:
步骤2-5、进行拉格朗日插值,将***到函数中:
其中,表示属性集中各个属性选取的作为n次拉格朗日基本多项式幂次的特征;
步骤2-6、当第一步验证通过后,算法输入、密文/>,如果属性集合满足访问策略,可以成功将/>解密,求出秘密值s;如果属性集S满足/>,将A通过叶子结点解密算法转化成/>,通过计算解密得到秘密值s:
A为***公钥PK加密后的解密节点。
进一步的,分布式数据存储服务器***采用多重哈希编码得到数据的地址,该地址由哈希函数编码、哈希值的长度以及哈希值三部分组成:
首先数据存储服务器将接收到的用印信息通过安全散列算法将信息压缩成散列值,之后将所得出的散列值进行多重哈希算法的封装,最后将封装好的编码进行Base58编译得到用印信息的地址;数据存储服务器将地址上传并保存在区块链网络中的分布式数据库中。
本发明所述的有益效果为:
(1)基于区块链技术构建了身份认证模块、权限管理模块和用印信息加密保护模块,用印信息加密保护模块通过基于用户角色的属性基加密算法对参与用印行为的各个用户的属性进行加密,同时通过分布式数据存储服务器***对用印行为有关数据进行哈希加密;基于区块链技术的不可篡改性和去中心化特性,使得***数据一旦被记录在区块链上,便无法被篡改或伪造,有效提高了***的真实性和唯一性,有效防止了虚假***的出现;
(2)通过身份认证模块和权限管理模块,确保必须确认用印方身份及权限状态后,方可使用实体***及其对应的电子***,从而实现电子***与实体***的一体化,解决了实体***易被伪造、乱用、丢失等风险隐患;同时,由于区块链的透明性,可以轻松鉴别假***、假文件、***的真假;
(3)用印信息加密保护模块中的分布式数据存储服务器***可以实现电子***与文件的加密上链存储,全程记录***使用情况,包括使用人、使用时间、使用的文件等;一旦发生修改,可及时提醒,所签署的文件立即作废无效,有效提高了业务办理的效率,同时减少了因***管理不当而产生的各种纠纷;
(4)权限管理模块可以实现数据的透明性和不可篡改性,使得各参与方能够建立互信互任的关系;对于保障***的真实性和唯一性、防止***被滥用、提高业务办理效率以及建立互信互任的服务体系都有着重大的意义。
附图说明
图1为用印方和印权企业通过区块链进行签约及用印信息保护流程示意图;
图2为功能模块以及模块之间的关系图;
图3为身份认证模块流程图;
图4为权限管理模块流程图;
图5为隐私加密模块流程图;
图6为身份认知模块具体流程图;
图7为身份认知模块工作示意图;
图8为多素数公钥加密算法的运行结果图;
图9为交互式PV操作用户身份验证流程图;
图10为权限管理模块工作示意图;
图11为属性加密后的结果示意图;
图12为采用多重哈希编码实现用印信息加密存储效果示意图。
具体实施方式
为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明。
如图1及图2所示,用印方和印权方企业用过区块链网络进行用印流程业务过程中,印权方企业各级人员将用印信息上传到云服务器,云服务器对用印信息进行加密后上传到分布式数据存储服务器中进行存储。
如图3-图5所示,本发明所述的基于区块链数据用户角色模型的***数据加密安全***,包括身份认证模块、权限管理模块、用印信息加密保护模块;
身份认证模块:对用印方及印权方的身份进行认证,用印方通过认证后被加入用户列表,印权方通过验证后获取相应的访问权限;
权限管理模块:采用改进的用户角色模型对用印方和印权方的不同角色按级别分别授权,访问者可访问用印信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问该交易信息的权限;
用印信息加密保护模块:根据用户角色模型对用印方和印权方进行的不同角色分配对用印信息获取进行属性加密;用印方和印权方企业各级人员通过数据存储服务器***获取符合自己角色权限的相关数据。
在用户想要进入区块链网络进行流程之前,用户需要注册自己的身份,即获取自己的身份证书。用户在进行身份验证操作之前,先通过CA证书颁发机构获取自己的数字身份证书;用户把自己的信息message传给CA,CA通过多素数密钥生成算法得到用户的公钥和私钥,对公钥信息进行了数字签名并把数字签名与私钥信息一同传给了用户。
所述多素数密钥生成算法生成用户的公钥和私钥,具体步骤为:
步骤1-1、用户User将自己的信息message发送给认证中心CA,认证中心CA随机选出四个质数a、b、c、f,通过计算得到四质数算数积:
步骤1-2、认证中心CA任取一个整数e,通过e计算出d,使得e与d的乘积和1对于取模除数同余,即乘积除以/>的余数和1除以/>的余数相同,公式为:
其中值为:/>;根据以上信息获取到用户公钥为,用户私钥为/>,其中初始选出的质数a、b、c、f进行销毁,把计算出的结果d作为私钥;
步骤1-3、认证中心CA对用户信息message采用多素数的数字签名方法进行签名,数字签名通过采用个人信息的私钥次方对四个质数的乘积n进行取余得到:
步骤1-4、认证中心CA将用户的身份证书、公钥和私钥d发送给用户,其中身份证书包含了用户信息message和数字签名signature;
用户将身份证书中的数字签名发送给认证服务器Server来验证数字签名是否合法;如果数字签名不合法,则身份认证过程终止;如果用户数字签名合法,认证服务器和用户进行交互式的PV操作来判断用户的身份是否真实。
步骤1-4中具体为:
步骤1-4-1、用户User将从认证中心CA得到的身份证书和公钥发送给认证服务器Server,认证服务器Server接收到身份证书和公钥后,验证用户数字签名的合法性:计算/>,/>表示对数字签名的解码;如果/>,则说明用户的数字签名合法,否则身份认证失败;
步骤1-4-2、数字签名的合法性验证成功后,认证服务器Server和用户User开始进行交互式的PV操作对话来进行用户的身份验证;用户User执行认证协议:
其中,sec是用户对于自己的身份信息message进行加密后的信息,是在范围内的抗碰撞的哈希函数,/>是用户身份的标识,/>是标记PV操作过程的时间戳,/>是防止重放攻击的一个一次性的随机数字;/>、/>均为参数;
步骤1-4-3、认证服务器Server从实数集中随机选择一个数字,并将/>发送给用户User;用户User在实数集中随机选择一个数字/>,进行计算:
其中,s是用户在服务器的身份认证编号,即私密值;计算出的值之后,用户利用自己的数字签名signature计算出用户身份认证协议中的/>
判断出求到的和/>满足协议:/>
步骤1-4-4、用户User将表明自身身份的依据发送给认证服务器Server,认证服务器Server接收到证据后,验证该依据是否成立:
若等式成立,则验证证据正确,并相信用户身份的真实性,认证服务器将用户添加至用户列表,并将其加入到区块链网络;印权方企业在确认了其身份的真实性后,会获取相应的权限状态并能够接收用户发起的交易。
构造用户角色模型,将***使用的用户组分为两个用户块,其中一个块中的用户角色是在区块链加密的云计算网络中发起交易的用户,也就是用印人角色,作为用印方的权限可以访问所有有关自己待用印文件的信息;另一个用户组是印权方企业各级人员所在的用户区块,里面的角色可以按照分工分为用印前的用印授权方,用印过程中的用印监管方以及负责***出纳的***管控方,不同的角色所能获取的用印信息是不同的。每个角色的权限设置都会保存在云计算网络的分布式账本中,当根据区块链的共识机制判断用户发起的交易的合法性后,访问者可访问交易信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问该交易信息的权限。
定义用户组中的另一个用户块中的角色访问权限,即印权方企业方各级人员的访问权限设置。根据印权方业务流程的分工,将用户块中的角色分为印权方,用印方;其中,印权方拥有该用户块中较高级别的权限,可以获取用印方信息;用印方拥有用户块中低一级的访问权限,可以获取到***参数及空闲时段信息,用印的授权信息以及自己用印记录信息。
当用印方通过区块链网络发起交易,印权方企业方接收了该交易后,用印业务流程开始进行;当流程的用印方完成用印后,会上传该流程的用印信息到云服务器;当印权方完成用印授权审核,会将用印授权信息上传到云服务器。
当云服务器接收到印权方企业方各级人员上传的快件信息后,将所设计的用户角色模型与属性基加密算法相结合,根据每个用户角色模型上的每个角色根据其属性对快件信息进行加密。
用印信息加密保护模块采用属性基加密算法对每个分配的角色进行属性加密,具体为:
步骤2-1、初始化:初始化算法将选择一个阶为素数、生成源为/>的双线性群/>,并选择两个随机幂指数/>;生成***公钥/>和***主密钥/>如下所示:
步骤2-2、加密:用秘密值分发得到的子秘密值/>进行加密,得到密文/>,其中的值将属性/>映射到G域;密文/>如下:
其中,是基于用户角色模型所定义的访问控制结构;/>为随机化公钥,/>是加密对象集合,/>是针对对象x的子公钥,/>是子公钥在G域的映射,/>是指该集合需要公钥,用于对特定集合打标签;
步骤2-3、秘钥生成,认证中心CA根据和数据请求者提交的属性集 合,为数据请求者生成与属性集合关联的用户秘钥;秘钥生成算法将输入一组属性, 并输出与该集合标识的密钥;首先选择一个随机的,然后对每个的属性进行随 机选择,然后计算出用户秘钥
步骤2-4、解密,解密为确定化算法,由数据的请求者执行;先访问策略树的叶子节点,令,/>表示密文策略访问树的叶子节点即函数/>返回节点/>所对应的属性,如果/>,所得到的的解密节点为:
步骤2-5、进行拉格朗日插值,将***到函数中:
步骤2-6、当第一步验证通过后,算法输入、密文/>,如果属性集合满足访问策略,可以成功将/>解密,求出秘密值s;如果属性集S满足/>,将A通过叶子结点解密算法转化成/>,通过计算解密得到秘密值s:
分布式数据存储服务器***采用多重哈希编码得到数据的地址,该地址由哈希函数编码、哈希值的长度以及哈希值三部分组成:
首先数据存储服务器将接收到的用印信息通过安全散列算法将信息压缩成散列值,之后将所得出的散列值进行多重哈希算法的封装,最后将封装好的编码进行Base58编译得到用印信息的地址;数据存储服务器将地址上传并保存在区块链网络中的分布式数据库中。
下面以某市某单位员工申请用印并通过身份认证、权限认证,顺利完成用印,并将用印信息上传至云端区块链保护为例。
1)身份认证模块演示如图6-9所示:
该部分使用SHA-256算法计算消息的哈希值,并将其拆分成两部分,分别作为公钥和私钥。数字签名是通过将私钥和消息的哈希值拼接在一起计算得到的。验证数字签名时,将公钥解码为字节数组,然后使用公钥验证数字签名;在测试代码中,生成了一个简单的消息,并生成了相应的公钥、私钥和数字签名;最后,使用公钥和数字签名验证消息的真实性。
身份认证模块工作流程如图7所示,输入错误的印权方身份ID“Jxxn Dxe,123Mxxn St, 5xx-xx34”,以及公钥“1oYI6aNoDFOH3MuC3qjtjw=”和私钥“CcQ6U7KyrJNroikkatIxCg==”,采用多素数签名字数生成签名“‘b'atIxCg==”,身份认证模块成功地认证出错误的身份信息,未通过该认证。
多素数公钥加密算法对用印人身份进行加密的运行结果如图8所示。将用印人XXX的用印信息“XXX,电话:XXXXXXXXXXX,地址:XX市XX区”(包括其姓名、电话号以及用印地址)加密为用户公钥“b'7ugf3WnxHBDaMw31thPXnY'”。
交互式PV操作用户身份验证流程如图9所示。
2)权限管理模块演示如图10所示;
这个需求需要使用Tkinter库来实现一个图形界面,用户可以通过这个界面进行权限管理。在这个***中,有两个用户组,一个是用印人角色,可以访问所有有关自己申请的用印文件的信息;另一个是印权方企业各级人员,他们的角色可以按照分工分为用印的审批方,用印过程监管方以及负责管理实体***的实体章管理方,不同的角色所能获取的用印信息是不同的。每个角色的权限设置都会保存在云计算网络的分布式账本中,当根据区块链的共识机制判断用户发起的交易的合法性后,访问者可访问交易信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问该交易信息的权限。
3)用印信息加密保护模块演示如图11-图12所示;
该模块的主要功能是对每个分配的角色进行属性加密。不同的角色在完成了自己的工作后,会将用印的状态信息向云服务器传输用印的状态信息。云服务器接收后根据该角色的权限进行加密保存。加密完成后,将用印信息发送给分布式数据存储服务器,数据存储服务器将传输的密文数据安全存储,并将存储地址发送给区块链网络,保存到区块链的分布式数据库中。属性加密后的结果如图11所示,它成功将用印人XXX的用印信息加密处理为用户密钥“b'gAABlEowTSxJN5n5X7f9oZ8rmg0KtQ-NnCkcDYXFASpFc6sdtB5OWfGNUy9nt59cAgxzIOCNmEiYdef3eF8giNkF84hT-mmqS8mbLWzVvprNDOPYk1vX-_L3eY3RNNTZwzRQ5uUEZLqnIeVmyQTZ8i.RpscLtu……”,且只有步骤2-4所述的基于确定化算法的解密方法才可以将其解密;采用多重哈希编码来得到数据的地址如图12所示,成功将用印人XXX本次用印信息加密为多重哈希表,并完成逆向解码验证其正确性。
以上所述仅为本发明的优选方案,并非作为对本发明的进一步限定,凡是利用本发明说明书及附图内容所作的各种等效变化均在本发明的保护范围之内。

Claims (5)

1.基于区块链数据用户角色模型的***数据加密安全***,其特征在于,包括身份认证模块、权限管理模块、用印信息加密保护模块;
身份认证模块:协助印权方对用印方的身份进行认证,用印方通过认证后被加入用户列表,印权方通过验证后获取相应的访问权限;具体为:
所述身份认证模块采用多素数密钥生成算法和交互式PV操作共同验证用户即用印方身份的真实性;用户在进行身份验证操作之前,先通过认证中心CA获取自己的数字身份证书;用户把自己的信息message传给认证中心CA,认证中心CA通过多素数密钥生成算法得到用户的公钥和私钥,对公钥信息进行了数字签名并把数字签名与私钥信息一同传给了用户;
权限管理模块:采用改进的用户角色模型对用印方和印权方的不同角色按级别分别授权,访问者即印权方可访问用印信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问本次交易信息的权限;
用印信息加密保护模块:根据用户角色模型对用印方和印权方的不同角色分配,获取用印信息进行属性加密;用印方和印权方各级人员通过分布式数据存储服务器***获取符合自己角色权限的相关数据;具体为:
所述用印信息加密保护模块采用属性基加密算法对每个分配的角色进行属性加密,具体为:
步骤2-1、初始化:初始化算法将选择一个阶为素数、生成源为/>的双线性群/>,并选择两个随机幂指数/>,/>为有限域;生成***公钥/>和***主密钥/>如下所示:
h为随机化公钥底数,为双线性群组运算;
步骤2-2、加密:用秘密值分发得到的子秘密值/>进行加密,得到密文/>,其中的值将属性/>映射到G域;密文/>如下:
其中,是基于用户角色模型所定义的访问控制结构;/>为随机化公钥,/>是加密对象集合,/>是针对对象x的子公钥,/>是子公钥在G域的映射,/>是指该集合需要公钥,用于对特定集合打标签;
步骤2-3、秘钥生成加密参数,认证中心CA根据/>、/>和数据请求者提交的属性集合/>,为数据请求者生成与属性集合关联的用户秘钥/>;秘钥生成算法将输入一组属性/>,并输出与该集合标识的密钥;首先选择一个随机的/>,然后对每个/>的属性进行随机选择/>,然后计算出用户秘钥/>
为有限域中的数,/>为S中的属性,/>代表属性j选择的有限域中的数,D为生成密钥的参数,/>是根据属性集S中的每一个属性/>构成的加密参数,/>为每个属性/>的私钥;
步骤2-4、解密:先访问策略树的叶子节点,令,/>表示密文策略访问树的叶子节点即函数/>返回节点/>所对应的属性,/>为哈希运算;如果/>,所得到的解密节点为:
步骤2-5、进行拉格朗日插值,将属性集中各个属性选取的作为n次拉格朗日基本多项式幂次的特征***到函数中:
步骤2-6、当第一步验证通过后,算法输入、密文/>,如果属性集合满足访问策略,可以成功将/>解密,求出秘密值s;如果属性集S满足/>,将A通过叶子结点解密算法转化成,通过计算解密得到秘密值s:
A为***公钥PK加密后的解密节点。
2.根据权利要求1所述的基于区块链数据用户角色模型的***数据加密安全***,其特征在于,所述多素数密钥生成算法生成用户的公钥和私钥,具体步骤为:
步骤1-1、用户User将自己的信息message发送给认证中心CA,认证中心CA随机选出四个质数a、b、c、f,通过计算得到四质数的乘积:
步骤1-2、认证中心CA任取一个整数e,通过e计算出d,使得e与d的乘积和1对于取模除数同余,即乘积除以/>的余数和1除以/>的余数相同,公式为:
其中值为:/>;得到用户公钥为/>,用户私钥为,其中初始选出的质数a、b、c、f进行销毁,把计算出的结果d作为私钥;
步骤1-3、认证中心CA对用户信息message采用多素数的数字签名方法进行签名,数字签名通过采用个人信息的私钥次方对四个质数的乘积n进行取余得到:
步骤1-4、认证中心CA将用户的身份证书、公钥和私钥d发送给用户,其中身份证书包含了用户信息message和数字签名signature;
用户将身份证书中的数字签名发送给认证服务器Server来验证数字签名是否合法;如果数字签名不合法,则身份认证过程终止;如果用户数字签名合法,认证服务器和用户进行交互式的PV操作来判断用户的身份是否真实。
3.根据权利要求2所述的基于区块链数据用户角色模型的***数据加密安全***,其特征在于,步骤1-4中具体为:
步骤1-4-1、用户User将从认证中心CA得到的身份证书和公钥发送给认证服务器Server,认证服务器Server接收到身份证书和公钥后,验证用户数字签名的合法性:计算,/>表示对数字签名的解码;如果/>,则说明用户的数字签名合法,否则身份认证失败;
步骤1-4-2、数字签名的合法性验证成功后,认证服务器Server和用户User开始进行交互式的PV操作对话来进行用户的身份验证;用户User执行认证协议:
其中,sec是用户对于自己的身份信息message进行加密后的信息,是在/>范围内的抗碰撞的哈希函数,/>是用户身份的标识,/>是标记PV操作过程的时间戳,是防止重放攻击的一个一次性的随机数字;/>、/>均为参数;Zn 表示模 n 的整数环,即所有小于 n 且与 n 互质的整数集合; />中所有与 n 互质的元素构成的乘法群;
步骤1-4-3、认证服务器Server从实数集中随机选择一个数字,并将/>发送给用户User;用户User在实数集中随机选择一个数字/>,进行计算:
其中,s是用户在服务器的身份认证编号,即私密值;计算出的值之后,用户利用自己的数字签名signature计算出用户身份认证协议中的/>
判断出求到的和/>满足协议:/>
步骤1-4-4、用户User将表明自身身份的依据发送给认证服务器Server,认证服务器Server接收到证据后,验证该依据是否成立:
若等式成立,则验证证据正确,相信用户身份的真实性,认证服务器将用户添加至用户列表,并将其加入到区块链网络;印权方在确认了其身份的真实性后,会获取相应的权限状态并能够接收用户发起的交易。
4.根据权利要求1所述的基于区块链数据用户角色模型的***数据加密安全***,其特征在于,在用户角色模型的基础上对用户以及印权方各级人员进行访问权限管理;
用户角色模型包括用印人角色以及印权方各级人员角色;
用印人角色指在区块链加密的云计算网络中发起交易的用户,用印方有权限访问所有有关自己待用印文件的信息;
印权方各级人员角色指其所在的用户区块按照分工划分的不同角色,包括用印前的用印授权方、用印过程中的用印监管方以及负责***出纳的***管控方,不同的角色获取的用印信息不同;每个角色的权限设置保存在云计算网络的分布式账本中;当根据区块链的共识机制判断用户发起的交易的合法性后,访问者可访问交易信息的权限状态,并根据自己在用户角色模型中被分配的角色来判断是否拥有访问该交易信息的权限。
5.根据权利要求1所述的基于区块链数据用户角色模型的***数据加密安全***,其特征在于,分布式数据存储服务器***采用多重哈希编码得到数据的地址,该地址由哈希函数编码、哈希值的长度以及哈希值三部分组成:
首先数据存储服务器将接收到的用印信息通过安全散列算法将信息压缩成散列值,之后将所得出的散列值进行多重哈希算法的封装,最后将封装好的编码进行Base58编译得到用印信息的地址;数据存储服务器将地址上传并保存在区块链网络中的分布式数据库中。
CN202410418367.9A 2024-04-09 2024-04-09 基于区块链数据用户角色模型的***数据加密安全*** Active CN118013559B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410418367.9A CN118013559B (zh) 2024-04-09 2024-04-09 基于区块链数据用户角色模型的***数据加密安全***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410418367.9A CN118013559B (zh) 2024-04-09 2024-04-09 基于区块链数据用户角色模型的***数据加密安全***

Publications (2)

Publication Number Publication Date
CN118013559A CN118013559A (zh) 2024-05-10
CN118013559B true CN118013559B (zh) 2024-06-14

Family

ID=90956684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410418367.9A Active CN118013559B (zh) 2024-04-09 2024-04-09 基于区块链数据用户角色模型的***数据加密安全***

Country Status (1)

Country Link
CN (1) CN118013559B (zh)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11645593B2 (en) * 2017-09-22 2023-05-09 Johnson Controls Tyco IP Holdings LLP Use of identity and access management for service provisioning
CN110417556A (zh) * 2019-07-02 2019-11-05 北京交通大学 区块链中的加密及签章验证方法
US20210319116A1 (en) * 2020-04-13 2021-10-14 Sensormatic Electronics, LLC Systems and methods of access validation using distributed ledger identity management
CN112637278B (zh) * 2020-12-09 2021-10-08 云南财经大学 基于区块链和属性基加密的数据共享方法、***及计算机可读存储介质
CN113468610A (zh) * 2021-06-24 2021-10-01 四川师范大学 去中心化可信访问控制框架及其运行方法
CN114362971B (zh) * 2022-03-21 2022-06-21 南京大学 一种基于哈希算法的数字资产确权和溯源方法
CN116975815A (zh) * 2023-08-04 2023-10-31 圆通速递有限公司 一种基于区块链网络的快件信息保护***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"BA-CPABE : An auditable Ciphertext-Policy Attribute Based Encryption Based on Blockchain";J. Wang;2022 International Conference on Blockchain Technology and Information Security;20220811;193-197 *
"基于区块链技术的RFID安全认证协议";李鹏等;信息网络安全;20210510;1-11 *

Also Published As

Publication number Publication date
CN118013559A (zh) 2024-05-10

Similar Documents

Publication Publication Date Title
CN106961336B (zh) 一种基于sm2算法的密钥分量托管方法和***
WO2021114819A1 (zh) 生成和执行智能合约交易的方法及装置
TW202029044A (zh) 區塊鏈交易的產生方法和裝置
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及***
CN109614802B (zh) 抗量子计算的签章方法和签章***
CN103856477A (zh) 一种可信计算***及相应的认证方法和设备
CN107360002B (zh) 一种数字证书的申请方法
CN108551435B (zh) 一种具有匿名性的可验证加密群签名方法
CN108494559B (zh) 一种基于半可信第三方的电子合同签订方法
CN110138548B (zh) 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和***
CN112069547A (zh) 一种供应链责任主体身份认证方法及***
CN113612615B (zh) 一种基于国密sm9算法的可审计隐私保护认证方法
CN114036539A (zh) 基于区块链的安全可审计物联网数据共享***及方法
CN109687977A (zh) 基于多个密钥池的抗量子计算数字签名方法和抗量子计算数字签名***
Win et al. Privacy enabled digital rights management without trusted third party assumption
CN113468570A (zh) 基于智能合约的隐私数据共享方法
CN110380859A (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和***
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
CN115883214A (zh) 基于联盟链和cp-abe的电子医疗数据共享***及方法
CN110457928B (zh) 基于区块链的医企协作互联网医院数据安全保障方法
CN116453644A (zh) 一种基于区块链的药品溯源监管方法及***
CN113938281B (zh) 一种量子安全身份的颁发***、颁发方法及使用方法
CN105530089A (zh) 属性基加密方法和装置
CN111245594B (zh) 一种基于同态运算的协同签名方法及***
CN106375327B (zh) 一种抗恶意攻击的代理密钥混淆电子投票***及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant