基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质转让专利
申请号 : CN202011430847.5
文献号 : CN112637278B
文献日 : 2021-10-08
发明人 : 陈韬伟 , 余益民 , 高建 , 段正泰 , 兰琨 , 孔庆雯 , 宋智明 , 宋俊蓉 , 吴海虹 , 翟登 , 张翼
申请人 : 云南财经大学 , 云南省科学技术院
摘要 :
本发明公开了一种基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质,所述方法包括:注册、认证过程,加密过程,解密过程和单证数据验证过程;本发明对跨境贸易的各参与方进行身份认证,对贸易单证进行所有权验证、真实性验证和隐私保护,保证了跨境贸易单证的安全性,使用IPFS/Cloud存储属性基加密参数,运行属性加密过程,减少区块链节点的存储量和高度,提高了算法的运行效率。
权利要求 :
1.基于区块链和属性基加密的数据共享方法,其特征在于,包括以下步骤:注册、认证过程,以跨境贸易的各参与方为区块链节点,使用消息总线连接各节点构建数据共享系统,单证拥有方和单证使用方通过注册获得进入数据共享系统的权限,并将自身的数字证书输入统一身份认证与管理模块验证数字证书的签名真实性,生成公私钥、DID标识和X.509V3证书,将公钥、DID指针和X.509V3证书的Hash存储于数据层,X.509V3证书和DID文档存储于IPFS/Cloud,私钥存储于用户本地;
加密过程,单证拥有方将单证数据存储于最上层,CP‑ABE模块获取单证数据并对其进行加密,将加密单证数据及与单证验证相关的密文存储于IPFS/Cloud,公钥、主秘钥和加密单证数据的Hash存储于数据层;
解密过程,单证使用方申请授权获得加密单证数据及与单证验证相关的密文,并基于公钥、主秘钥、属性数据和DID标识委托全网生成属性密钥,对加密单证数据进行解密获得单证数据,所述属性数据存储在IPFS/Cloud;
生成属性密钥时,参与密钥生成的节点分别上传自身的DID标识和X.509V3证书,由统一身份认证与管理模块进行身份认证后,单证使用方委托各节点生成属性密钥返送给单证使用方,单证使用方对各属性密钥求和获得最终的属性密钥;
单证数据验证过程,单证使用方调用智能合约对单证拥有方自身的数字证书、X.509V3证书和单证数据进行验证,完成单证数据的共享。
2.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述单证数据包括出口企业、销售合同、商业发票、装箱单、出口国银行信用证、保险单、出口国海关原产地证、报关单、出口许可、物流仓单、提货单、联运单、进口国海关清关单、进口许可、进口国银行信用证、保险单、进口企业和订单合同。
3.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述对单证拥有方自身的数字证书和X.509V3证书进行验证,包括电子签章验证服务和数字证书验证服务,对单证数据进行验证为电子签名验证服务;
所述电子签章验证服务包括数据电文签名验证服务和可视化数据电文验证服务;所述数字证书验证服务包括证书完整性验证、证书可信性验证,证书有效性验证、证书策略验证和数字证书的其他增值服务;所述电子签名验证服务包括单证数据的完整性和不可抵赖性验证。
4.根据权利要求3所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述数字证书的其他增值服务包括证书用户的身份信息验证服务和电子认证机构信息验证服务。
5.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述数据层还存储有交易信息和状态信息,所述交易信息是贸易参与方将单证数据写入区块链的过程,状态信息是自建数字证书的申请、颁发、撤销信息和单证数据加密的公共参数。
6.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述属性数据包括凭证、身份信息和实体特定属性数据。
7.基于区块链和属性基加密的数据共享系统,其特征在于,包括存储器和处理器;
所述存储器用于存放计算机程序;
所述处理器用于执行存储器上存放的计算机程序,实现权利要求1~6任一项所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行能实现权利要求1~6任一项所述的方法步骤。
说明书 :
基于区块链和属性基加密的数据共享方法、系统及计算机可
读存储介质
技术领域
[0001] 本发明属于区块链的信息共享技术领域,特别是涉及一种基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质。
背景技术
[0002] 跨境贸易生态包括了商务、物流、金融、服务和监管等各业务流程,是推动经济增长和体现国家经济实力的重要组成部分,其核心是数据的跨境流动与共享,随着国际供应
链的进一步细分,跨境贸易参与方数量众多、流程复杂、信任缺失、单证共享不足且缺乏数
据保护机制,难以构建无纸化贸易,加大了政府监管部门对交易真实性及交易合法合规性
进行审查的难度和成本,降低了企业国际贸易的效率,增加了企业运营成本,对实现跨境贸
易电子化,监管智能化,跨境贸易、支付结算、物流治理体系和治理能力现代化提出了新的
挑战。
链的进一步细分,跨境贸易参与方数量众多、流程复杂、信任缺失、单证共享不足且缺乏数
据保护机制,难以构建无纸化贸易,加大了政府监管部门对交易真实性及交易合法合规性
进行审查的难度和成本,降低了企业国际贸易的效率,增加了企业运营成本,对实现跨境贸
易电子化,监管智能化,跨境贸易、支付结算、物流治理体系和治理能力现代化提出了新的
挑战。
[0003] 目前各国跨境G2G、G2B、B2G和B2B业务均基于EDI/XML/ebXML框架体系,在中心化架构下通过安全网关实现跨境数据共享和交换,然而,基于UN/EDIFACT标准的VAN/EDI技术
在应用时受其封闭技术环境和实现复杂性的影响,运行成本高、EDI标准灵活性差、数据交
换困难,且不为众多中小型企业使用;XML/EDI融合技术在实际应用时,存在缺乏商务流程
和管理、集成度不高、部署标准不统一和使用门槛高等问题,虽具有一定的学术理论价值,
但在市场上难以广泛应用和推广;PKI体系下的ebXML/XML技术使用时在区域/全球经济合
作需求不断增长的背景下,实现以“共识互信、互联互通、信息交换和监管互认”为目标的跨
境贸易单证数据安全共享仍然是一个难点,制约着全球一体化无纸贸易发展的进程。
在应用时受其封闭技术环境和实现复杂性的影响,运行成本高、EDI标准灵活性差、数据交
换困难,且不为众多中小型企业使用;XML/EDI融合技术在实际应用时,存在缺乏商务流程
和管理、集成度不高、部署标准不统一和使用门槛高等问题,虽具有一定的学术理论价值,
但在市场上难以广泛应用和推广;PKI体系下的ebXML/XML技术使用时在区域/全球经济合
作需求不断增长的背景下,实现以“共识互信、互联互通、信息交换和监管互认”为目标的跨
境贸易单证数据安全共享仍然是一个难点,制约着全球一体化无纸贸易发展的进程。
[0004] 跨境数据共享和交换主要存在以下问题:信任孤岛、数据主权、中心化平台信任瓶颈、贸易单证隐私保护和数据源真实性,如果跨境贸易平台集中在国家或区域性联盟的层
面上,由某一机构或组织发起并运营的普通数据库式的中心化模式,难以打消参与方对数
据泄露和所有权归属的顾虑,也缺乏足够的统治力和强制措施进行跨境信息交流以及大规
模推广;这些问题的存在也对海关监管造成了阻碍,作为监管部门,海关审查聚焦于交易的
真实性及合法合规上,数据经过层层传递,其数据源缺失、数据难以整合,导致跨境贸易中
需要投入大量的时间和人力成本进行信息核查,业务流程协同效率低下。
面上,由某一机构或组织发起并运营的普通数据库式的中心化模式,难以打消参与方对数
据泄露和所有权归属的顾虑,也缺乏足够的统治力和强制措施进行跨境信息交流以及大规
模推广;这些问题的存在也对海关监管造成了阻碍,作为监管部门,海关审查聚焦于交易的
真实性及合法合规上,数据经过层层传递,其数据源缺失、数据难以整合,导致跨境贸易中
需要投入大量的时间和人力成本进行信息核查,业务流程协同效率低下。
[0005] 区块链是在对等P2P环境下,利用块链式数据结构验证与存储数据、利用分布式节点共识算法生成和更新数据、利用密码学方式保证数据传输和访问安全、利用自动化脚本
代码组成的智能合约编码和操作数据的一种全新的分布式基础架构与计算范式,近年来区
块链以其去中心化、交易透明可追溯、数据不可篡改和自动可执行的特点,备受学术界、产
业界和政府部门的关注,UN/CEFACT、WCO、WTO、UNCTAD/UNECE等国际组织先后发布了将区块
链应用于跨境贸易的研究报告,并一致认为区块链技术能够与国际贸易业务紧密结合,推
进国际贸易转型、降低国际贸易壁垒、提高海关相关业务的运营效率,为中小微企业发展带
来新的机遇;但针对跨境贸易国内外区块链真正落地及推广使用的项目极少,多处于概念
证明、先导测试和研究试点阶段,国内大多案例中加入的联盟节点均为国内企业和银行,有
些并未实现真正意义上跨国境的贸易业务协同。
代码组成的智能合约编码和操作数据的一种全新的分布式基础架构与计算范式,近年来区
块链以其去中心化、交易透明可追溯、数据不可篡改和自动可执行的特点,备受学术界、产
业界和政府部门的关注,UN/CEFACT、WCO、WTO、UNCTAD/UNECE等国际组织先后发布了将区块
链应用于跨境贸易的研究报告,并一致认为区块链技术能够与国际贸易业务紧密结合,推
进国际贸易转型、降低国际贸易壁垒、提高海关相关业务的运营效率,为中小微企业发展带
来新的机遇;但针对跨境贸易国内外区块链真正落地及推广使用的项目极少,多处于概念
证明、先导测试和研究试点阶段,国内大多案例中加入的联盟节点均为国内企业和银行,有
些并未实现真正意义上跨国境的贸易业务协同。
[0006] 田有亮(2019)针对基于区块链的溯源算法,通过同态加密及零知识证明进行隐私保护,使溯源信息难于实现动态共享的问题,提出适用于区块链的CP‑ABE属性基加密改进
方案,以完成交易隐私的动态保护,该方法采用中心化权威方式实现CP‑ABE属性基加密,用
于保证数据的隐私和抗串谋攻击问题,但难免会因服务器漏洞、入侵攻击等导致密钥泄露,
此外区块链溯源算法将分割后的数据及其交易记录均加密存储在区块链网络节点中,在一
定程度上使区块存储容量和区块高度超过上限,导致区块链系统共识效率降低且易发生
DDos攻击。
方案,以完成交易隐私的动态保护,该方法采用中心化权威方式实现CP‑ABE属性基加密,用
于保证数据的隐私和抗串谋攻击问题,但难免会因服务器漏洞、入侵攻击等导致密钥泄露,
此外区块链溯源算法将分割后的数据及其交易记录均加密存储在区块链网络节点中,在一
定程度上使区块存储容量和区块高度超过上限,导致区块链系统共识效率降低且易发生
DDos攻击。
发明内容
[0007] 本发明的目的在于提供一种基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质,本发明将区块链与属性基加密理论深度融合,借助区块链技术的去中
心化、可追溯和交易透明等特点,创建跨境贸易可信区块链统一数字身份,构建去中心化的
CP‑ABE访问控制策略,实现贸易单证的安全交换和隐私保护,同时通过链下存储与贸易单
证验证相关的密文,及进行密钥初始化、明文加密和密文解密操作,减小了区块的存储量和
高度,提高了运行效率。
心化、可追溯和交易透明等特点,创建跨境贸易可信区块链统一数字身份,构建去中心化的
CP‑ABE访问控制策略,实现贸易单证的安全交换和隐私保护,同时通过链下存储与贸易单
证验证相关的密文,及进行密钥初始化、明文加密和密文解密操作,减小了区块的存储量和
高度,提高了运行效率。
[0008] 本发明所采用的技术方案是,基于区块链和属性基加密的数据共享方法,包括以下步骤:
[0009] 注册、认证过程,以跨境贸易的各参与方为区块链节点,使用消息总线连接各节点构建数据共享系统,单证拥有方和单证使用方通过注册获得进入数据共享系统的权限,并
将自身的数字证书输入统一身份认证与管理模块验证数字证书的签名真实性,生成公私
钥、DID标识和X.509V3证书,将公钥、DID指针和X.509V3证书的Hash存储于数据层,X.509V3
证书和DID文档存储于IPFS/Cloud,私钥存储于用户本地;
将自身的数字证书输入统一身份认证与管理模块验证数字证书的签名真实性,生成公私
钥、DID标识和X.509V3证书,将公钥、DID指针和X.509V3证书的Hash存储于数据层,X.509V3
证书和DID文档存储于IPFS/Cloud,私钥存储于用户本地;
[0010] 加密过程,单证拥有方将单证数据存储于最上层,CP‑ABE模块获取单证数据并对其进行加密,将加密单证数据及与单证验证相关的密文存储于IPFS/Cloud,公钥、主秘钥和
加密单证数据的Hash存储于数据层;
加密单证数据的Hash存储于数据层;
[0011] 解密过程,单证使用方申请授权获得加密单证数据及与单证验证相关的密文,并基于公钥、主秘钥、属性数据和DID标识委托全网生成属性密钥,对加密单证数据进行解密
获得单证数据,所述属性数据存储在IPFS/Cloud;
获得单证数据,所述属性数据存储在IPFS/Cloud;
[0012] 单证数据验证过程,单证使用方调用智能合约对单证拥有方自身的数字证书、X.509V3证书和单证数据进行验证,完成单证数据的共享。
[0013] 进一步的,所述单证数据包括出口企业、销售合同、商业发票、装箱单、出口国银行信用证、保险单、出口国海关原产地证、报关单、出口许可、物流仓单、提货单、联运单、进口
国海关清关单、进口许可、进口国银行信用证、保险单、进口企业和订单合同。
国海关清关单、进口许可、进口国银行信用证、保险单、进口企业和订单合同。
[0014] 进一步的,所述生成属性密钥时,参与密钥生成的节点分别上传自身的DID标识和X.509V3证书,由统一身份认证与管理模块进行身份认证后,单证使用方委托节点生成属性
密钥返送给单证使用方,单证使用方对各属性密钥求和获得最终的属性密钥。
密钥返送给单证使用方,单证使用方对各属性密钥求和获得最终的属性密钥。
[0015] 进一步的,所述对单证拥有方自身的数字证书和X.509V3证书进行验证,包括电子签章验证服务和数字证书验证服务,对单证数据进行验证为电子签名验证服务;
[0016] 所述电子签章验证服务包括数据电文签名验证服务和可视化数据电文验证服务;所述数字证书验证服务包括证书完整性验证、证书可信性验证,证书有效性验证、证书策略
验证和数字证书的其他增值服务;所述电子签名验证服务包括单证数据的完整性和不可抵
赖性验证。
验证和数字证书的其他增值服务;所述电子签名验证服务包括单证数据的完整性和不可抵
赖性验证。
[0017] 进一步的,所述数字证书的其他增值服务包括证书用户的身份信息验证服务和电子认证机构信息验证服务。
[0018] 进一步的,所述数据层还存储有交易信息和状态信息,所述交易信息是贸易参与方将单证数据写入区块链的过程,状态信息是自建数字证书的申请、颁发、撤销信息和单证
数据加密的公共参数。
数据加密的公共参数。
[0019] 进一步的,所述属性数据包括凭证、身份信息和实体特定属性数据。
[0020] 基于区块链和属性基加密的数据共享系统,包括存储器和处理器;
[0021] 所述存储器用于存放计算机程序;
[0022] 所述处理器用于执行存储器上存放的计算机程序,实现权利要求1~7任一项所述的方法步骤。
[0023] 所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行能实现权利要求1~7任一项所述的方法步骤。
[0024] 本发明的有益效果是:本发明借助区块链去中心化、可追溯和交易透明等特点,构建区块链属性基加密体系,有助于强化属性基加密动态性、灵活性和高效性,提升跨境无纸
贸易的数据安全共享和隐私保护,本发明在密钥生成时,使用POI身份共识和奖励机制选取
不同的Leader节点作为权威节点,保证了密钥计算的可靠性,避免了节点串谋的风险,本发
明还将与贸易单证验证相关的密文链下存储,链下完成密钥初始化、明文加密和密文解密
等操作,仅将公共参数和交易、状态信息链上存储,减小了区块的存储量和高度,提高了运
行效率。
贸易的数据安全共享和隐私保护,本发明在密钥生成时,使用POI身份共识和奖励机制选取
不同的Leader节点作为权威节点,保证了密钥计算的可靠性,避免了节点串谋的风险,本发
明还将与贸易单证验证相关的密文链下存储,链下完成密钥初始化、明文加密和密文解密
等操作,仅将公共参数和交易、状态信息链上存储,减小了区块的存储量和高度,提高了运
行效率。
附图说明
[0025] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
[0026] 图1是本发明的工作框架图。
[0027] 图2是本发明的合约调用图。
[0028] 图3是数据传递流程图。
[0029] 图4是本发明实施例的流程图。
具体实施方式
[0030] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
[0031] 跨境贸易参与方众多且多分属于不同的国家、地区和行业,其普遍采用较为成熟的基于公钥基础设施的身份认证技术确保信息的安全,即使用不同CA签发的数字证书来完
成身份认证,但由于分布式证书认证体系之间没有建立互信互认机制,所以在跨境贸易体
系中形成多个独立的信任域,阻碍了跨境贸易单证数据的交换和共享。
成身份认证,但由于分布式证书认证体系之间没有建立互信互认机制,所以在跨境贸易体
系中形成多个独立的信任域,阻碍了跨境贸易单证数据的交换和共享。
[0032] 本发明为了实现多个不同信任域的跨境贸易参与方的单证数据交换与共享,提供了一种基于区块链和属性基加密的数据共享方法,包括以下步骤:
[0033] 注册、认证过程,以跨境贸易的各参与方为区块链节点,使用消息总线连接各节点构建数据共享系统,单证拥有方和单证使用方通过注册获得进入数据共享系统的权限,并
将自身的数字证书输入统一身份认证与管理模块,统一身份认证与管理模块根据其身份证
书检索根CA的Hash值获得信任源点,验证数字证书的签名真实性,并生成公私钥、DID标识
和X.509V3证书,将X.509V3证书和DID文档存储于IPFS/Cloud,将私钥存储于用户本地,由
用户钱包或客户端保管,将公钥、DID指针和X.509V3证书的Hash值存储于数据层;
将自身的数字证书输入统一身份认证与管理模块,统一身份认证与管理模块根据其身份证
书检索根CA的Hash值获得信任源点,验证数字证书的签名真实性,并生成公私钥、DID标识
和X.509V3证书,将X.509V3证书和DID文档存储于IPFS/Cloud,将私钥存储于用户本地,由
用户钱包或客户端保管,将公钥、DID指针和X.509V3证书的Hash值存储于数据层;
[0034] 加密过程,单证拥有方将单证数据存储于最上层,CP‑ABE模块获取单证数据并对其进行加密,将加密单证数据及与单证验证相关的密文存储于IPFS/Cloud,将公钥、主秘钥
和加密单证数据的Hash存储于数据层;
和加密单证数据的Hash存储于数据层;
[0035] 所述单证数据包括出口企业、销售合同、商业发票、装箱单、出口国银行信用证、保险单、出口国海关原产地证、报关单、出口许可、物流仓单、提货单、联运单、进口国海关清关
单、进口许可、进口国银行信用证、保险单、进口企业和订单合同;
单、进口许可、进口国银行信用证、保险单、进口企业和订单合同;
[0036] 解密过程,单证使用方申请授权获得加密单证数据及与单证验证相关的密文,基于公钥、主秘钥、属性数据和DID标识委托全网生成属性密钥,对加密单证数据进行解密获
得单证数据,所述属性数据存储于IPFS/Cloud,包括凭证Credentials、身份信息和实体特
定属性数据;
得单证数据,所述属性数据存储于IPFS/Cloud,包括凭证Credentials、身份信息和实体特
定属性数据;
[0037] 单证数据验证过程,单证使用方调用智能合约对单证拥有方自身的数字证书、X.509V3证书和单证数据进行验证,完成单证数据的共享。
[0038] IPFS/Cloud允许统一身份认证与管理模块的智能合约根据访问权限进行读/写操作,用于贸易参与方的注册以及属性的更新/撤销操作,允许应用程序智能合约进行读操
作。
作。
[0039] 数据层还存储有交易信息和状态信息,所述交易信息是跨境贸易参与方通过智能合约将数据写入区块链的过程,状态信息是自建数字证书的申请、颁发、撤销信息和加密使
用的公共参数数据;中间层作为跨境贸易单证共享和交换的区块链核心层,为跨境贸易参
与方提供身份认证,为贸易单证的安全共享与交换提供数据的所有权验证、真实性验证和
隐私保护。
用的公共参数数据;中间层作为跨境贸易单证共享和交换的区块链核心层,为跨境贸易参
与方提供身份认证,为贸易单证的安全共享与交换提供数据的所有权验证、真实性验证和
隐私保护。
[0040] 如图1所示,中间层的CITA区块链基础模块内存储有与跨境贸易参与方身份认证、单证数据验证相关的智能合约,与加密‑解密相关的密码算法及共识算法,统一身份认证与
管理模块通过调用相应的智能合约与算法完成身份认证、自建数字证书生成等操作,CP‑
ABE模块通过调用相应的智能合约和算法完成单证数据加密、单证数据验证和属性密钥生
成等操作。
管理模块通过调用相应的智能合约与算法完成身份认证、自建数字证书生成等操作,CP‑
ABE模块通过调用相应的智能合约和算法完成单证数据加密、单证数据验证和属性密钥生
成等操作。
[0041] 1、CITA区块链基础模块
[0042] CITA区块链基础模块使用开源的工具链CITA Toolchain完善基础设置,包括底层支持DHT、Gossip和泛洪算法等的P2P网络架构、支持Raft、POX和PBFT等的共识算法和智能
合约部署工具等;能够方便运营方、开发者及终端用户快速使用,与CITA直接进行数据交互
的有CITA SDK、CITA CLI,在CITA SDK基础上构建了4个工具:ReBirth、CITA IDE、CITA
Truffle Box、CITA Web Debugger,还提供3个针对特定业务需求和开发场景的工具:
Microscope、Cyton Wallet、CITA CLI和一个first‑forever‑demo,通过开发或运行此
demo,能够熟悉CITA Toolchain的大部分子工具,并基本掌握在CITA上开发DApp的操作流
程。
合约部署工具等;能够方便运营方、开发者及终端用户快速使用,与CITA直接进行数据交互
的有CITA SDK、CITA CLI,在CITA SDK基础上构建了4个工具:ReBirth、CITA IDE、CITA
Truffle Box、CITA Web Debugger,还提供3个针对特定业务需求和开发场景的工具:
Microscope、Cyton Wallet、CITA CLI和一个first‑forever‑demo,通过开发或运行此
demo,能够熟悉CITA Toolchain的大部分子工具,并基本掌握在CITA上开发DApp的操作流
程。
[0043] 如图2所示,所述智能合约包括:统一身份管理智能合约、代理合约和应用智能合约,所述统一身份管理智能合约包括访问控制合约、跨域认证合约、注册合约、证书签发合
约和身份撤销恢复合约,所述应用智能合约包括电子签章验证服务智能合约、数字证书验
证服务智能合约、电子签名验证服务智能合约、参与方属性管理合约和参与方属性关系管
理合约;密码算法包括:国密算法(SM2/SM3/SM4)、非对称加密算法(RSA/ECC)、Hash散列算
法(MD5/SHA256)、对称加密算法(DES/AES)和属性基加密算法,共识算法是POI身份共识和
奖励机制。
约和身份撤销恢复合约,所述应用智能合约包括电子签章验证服务智能合约、数字证书验
证服务智能合约、电子签名验证服务智能合约、参与方属性管理合约和参与方属性关系管
理合约;密码算法包括:国密算法(SM2/SM3/SM4)、非对称加密算法(RSA/ECC)、Hash散列算
法(MD5/SHA256)、对称加密算法(DES/AES)和属性基加密算法,共识算法是POI身份共识和
奖励机制。
[0044] 代理合约用于联系贸易参与方(用户钱包或客户端程序)与应用程序,在单证数据交换与共享过程中,应用程序将代理合约地址视为交互实体和核心标识符,维护数据共享
系统中的永久性标识符,同时在私钥丢失时,数据共享系统通过调用身份撤销恢复合约替
换贸易参与方私钥,保留对其标识符的控制权。
系统中的永久性标识符,同时在私钥丢失时,数据共享系统通过调用身份撤销恢复合约替
换贸易参与方私钥,保留对其标识符的控制权。
[0045] 对单证拥有方的数字证书和单证数据进行验证包括电子签章验证服务、数字证书验证服务和电子签名验证服务,所述电子签章验证服务包括数据电文签名验证服务和可视
化数据电文验证服务,提供数据电文签名验证服务的智能合约有国密算法签名验证和非国
密算法签名验证;提供可视化数据电文验证服务的智能合约有符合PDF 32000‑1:2008标准
的PDF可视化签名验证,和符合GB/T 38540‑2020安全电子签章密码技术规范的OFD可视化
签名验证。
化数据电文验证服务,提供数据电文签名验证服务的智能合约有国密算法签名验证和非国
密算法签名验证;提供可视化数据电文验证服务的智能合约有符合PDF 32000‑1:2008标准
的PDF可视化签名验证,和符合GB/T 38540‑2020安全电子签章密码技术规范的OFD可视化
签名验证。
[0046] 数字证书验证服务包括证书完整性验证、证书可信性验证、证书有效性验证、证书策略验证和数字证书的其他增值服务,验证证书完整性是确保证书的内容选项齐备,且没
有被人篡改;验证证书可信性是通过验证证书链,从贸易对方的CA信任域底层开始逐层向
上查询,追溯到信任链的终点即根CA,找到权威的根CA签名,验证该签名的真实性,以及根
CA是否具有相关资质、是否能够提供与电子认证业务匹配的电子认证服务、是否在正常运
作等信息;验证证书有效性是通过CRL服务、OCSP服务、SCVP服务验证数字证书的即时有效
性,提供多种方式、快捷、高效、安全的在线证书有效性验证服务;验证证书策略是验证证书
当前的使用有没有超出证书规定的策略限制等内容;数字证书的其他增值服务包括验证证
书用户的身份信息、电子认证机构信息等。
有被人篡改;验证证书可信性是通过验证证书链,从贸易对方的CA信任域底层开始逐层向
上查询,追溯到信任链的终点即根CA,找到权威的根CA签名,验证该签名的真实性,以及根
CA是否具有相关资质、是否能够提供与电子认证业务匹配的电子认证服务、是否在正常运
作等信息;验证证书有效性是通过CRL服务、OCSP服务、SCVP服务验证数字证书的即时有效
性,提供多种方式、快捷、高效、安全的在线证书有效性验证服务;验证证书策略是验证证书
当前的使用有没有超出证书规定的策略限制等内容;数字证书的其他增值服务包括验证证
书用户的身份信息、电子认证机构信息等。
[0047] 电子签名验证服务用于验证数据的完整性和不可抵赖性。
[0048] 调用参与方属性管理合约对贸易参与方的主体身份标识和属性进行管理,包括对主体的身份、角色、职位、能力、位置、行政关系、凭证以及CA证书等进行标准化定义和存储;
本发明采用基于BloomFilter的管理方法,实现主体属性的快速检索及可控访问,参与方属
性管理合约还包括用户撤销和属性撤销功能。
本发明采用基于BloomFilter的管理方法,实现主体属性的快速检索及可控访问,参与方属
性管理合约还包括用户撤销和属性撤销功能。
[0049] 贸易单证数据拥有方调用参与方属性关系管理合约,基于贸易参与方属性数据建立包含“与”、“或”和“门限”操作的单证数据共享及验证关系属性策略访问控制树,采用单
调张成方案计算访问控制树向线性秘密共享(LSSS)的访问矩阵,实现访问策略的制定,并
写入访问控制合约。
调张成方案计算访问控制树向线性秘密共享(LSSS)的访问矩阵,实现访问策略的制定,并
写入访问控制合约。
[0050] 2、统一身份认证与管理模块
[0051] 本发明利用区块链分布式中心、集体维护和不易篡改的特点,将多个信任域的根CA证书存储在IPFS/Cloud作为身份验证的信任源点,根CA证书Hash值存储在数据层,身份
认证过程中跨境贸易参与方通过注册获得进入系统的权限,并根据自身业务需求,在客户
端数字钱包或区块链浏览器发起在线区块链跨境认证事务,统一身份认证与管理模块调用
跨域认证合约,根据跨境贸易参与方所在信任域的根CA证书Hash值获得信任源点,并调用
密码算法验证各参与方持有的CA证书的签名真实性,所述密码算法为国密算法、非对称加
密算法、Hash散列算法、对称加密算法或属性基加密算法。
认证过程中跨境贸易参与方通过注册获得进入系统的权限,并根据自身业务需求,在客户
端数字钱包或区块链浏览器发起在线区块链跨境认证事务,统一身份认证与管理模块调用
跨域认证合约,根据跨境贸易参与方所在信任域的根CA证书Hash值获得信任源点,并调用
密码算法验证各参与方持有的CA证书的签名真实性,所述密码算法为国密算法、非对称加
密算法、Hash散列算法、对称加密算法或属性基加密算法。
[0052] 跨境贸易参与方通过CA证书验证后,统一身份认证与管理模块调用证书签发合约生成公私钥和符合W3C标准的DID标识,同时发起生成X.509V3证书事务Txi,广播请求分布
式区块链CA节点颁发证书,区块链CA节点验证Txi生成证书Cert,产生颁发事务Txi+1,全网
广播颁发事务Txi+1,将证书颁发结果返回至跨境贸易参与方,并将公钥、DID指针和X.509V3
证书的Hash存储于数据层,X.509V3证书和DID文档存储于IPFS/Cloud,私钥存储于用户本
地。
式区块链CA节点颁发证书,区块链CA节点验证Txi生成证书Cert,产生颁发事务Txi+1,全网
广播颁发事务Txi+1,将证书颁发结果返回至跨境贸易参与方,并将公钥、DID指针和X.509V3
证书的Hash存储于数据层,X.509V3证书和DID文档存储于IPFS/Cloud,私钥存储于用户本
地。
[0053] 3、CP‑ABE模块
[0054] 由于跨境贸易参与方具有非常强的多样性和非规律性,使用类似局部协议或联盟的方法无法达到完全开关共享的一致性共识,阻碍了跨境政府与其他组织、企业进行数据
共享和交换,区块链作为去中心化的分布式对等可信数据网络技术,融合了现代密码学理
论,为建立可信、点对点数据安全共享提供了技术基础。
共享和交换,区块链作为去中心化的分布式对等可信数据网络技术,融合了现代密码学理
论,为建立可信、点对点数据安全共享提供了技术基础。
[0055] CP‑ABE模块依据贸易参与方在区块链中的可信认证身份,将每一个区块链节点视为CP‑ABE模块中的权威节点,建立多权威CP‑ABE机制,由贸易单证拥有方将公钥pk和主私
钥msk上传到区块链存储,将与贸易单证验证相关的密文存储在IPFS/Cloud,经单证使用方
请求建立密钥封装机制KEM,该机制在q‑DPBDHE假设下满足可证明语义安全性,贸易双方可
以安全传递随机会话密钥,贸易单证的加密、解密流程如图3所示,包括以下步骤:
钥msk上传到区块链存储,将与贸易单证验证相关的密文存储在IPFS/Cloud,经单证使用方
请求建立密钥封装机制KEM,该机制在q‑DPBDHE假设下满足可证明语义安全性,贸易双方可
以安全传递随机会话密钥,贸易单证的加密、解密流程如图3所示,包括以下步骤:
[0056] 1)数据共享系统的初始化阶段λ
[0057] Setup(1)→(pk,msk),贸易单证拥有方输入安全参数λ,设p为大素数,G1、G2是阶数为p的两个乘法循环群,定义h、g均为循环群G1的生成元,双线性映射e:G1×G1→G2,安
全参数决定了循环群的大小,属性总体记作U,大小记作|U|,选择两个随机数α, 输入
LSSS的访问矩阵M,根据访问矩阵M分发随机指数 s即为共享密钥,数据共享系统输出
α β α
密钥对(pk,mk),pk={g,e(g,g) ,g ,h1,h2,…,h|U|},msk=g ,hU为第U个属性的哈希,e(g,
α β α
g) 为加密主密钥,g、g是为保存这些参数构造的运算;
全参数决定了循环群的大小,属性总体记作U,大小记作|U|,选择两个随机数α, 输入
LSSS的访问矩阵M,根据访问矩阵M分发随机指数 s即为共享密钥,数据共享系统输出
α β α
密钥对(pk,mk),pk={g,e(g,g) ,g ,h1,h2,…,h|U|},msk=g ,hU为第U个属性的哈希,e(g,
α β α
g) 为加密主密钥,g、g是为保存这些参数构造的运算;
[0058] 2)贸易单证加密阶段
[0059] Enc({pk},(A,ρ),m,δ)→CT,设贸易单证拥有方将单证数据m、公钥pk和用于LSSS的张成方案(A,ρ)作为访问策略,将DID标识作为身份密钥δ输入,输出贸易单证的加密密文
CT;
CT;
[0060] 加密过程中M为l×n的访问矩阵,函数ρ为M的行制定属性,选择随机向量分割共享密钥s,λi(i=1,2,…,l)是分割共享密钥s得到的第i个共享密钥份
额,由于共享密钥s分割是基于贸易参与方属性的,所以第i个共享密钥份额对应于第i个属
性,将Ci(i=1,2,…,l)关联到第ρ(i)个行制定属性,最终创建的贸易单证加密密文
额,由于共享密钥s分割是基于贸易参与方属性的,所以第i个共享密钥份额对应于第i个属
性,将Ci(i=1,2,…,l)关联到第ρ(i)个行制定属性,最终创建的贸易单证加密密文
[0061] 其中C为由主密钥、与属性相关的共享密钥和身份密钥加密的密文,e(g,g)αsδ为加密公钥,C′为保存s和δ构建的运算,解密时用于消参, 为与第ρ(i)个行制定属性相关的
sδ
密文,g 和 均为密钥生成时为保存这些参数所构造的运算,可用于解密函数的构造,ri
为生成密文的随机数,用于防止区块链节点合谋,Ci与Di运算可消除ri;
sδ
密文,g 和 均为密钥生成时为保存这些参数所构造的运算,可用于解密函数的构造,ri
为生成密文的随机数,用于防止区块链节点合谋,Ci与Di运算可消除ri;
[0062] 3)将贸易单证加密密文上传至IPFS/Cloud存储,将加密单证数据的Hash作为索引存储在数据层;
[0063] 4)贸易单证拥有方将pk、msk写入区块链节点,并共识上链存储在CITA区块链基础模块,跨境贸易参与方调用密钥封装机制获得参数pk、msk;
[0064] 5)密钥的计算与生成阶段
[0065] KeyComp(pk,msk,DID,(ei,di))→ski′,跨境贸易的参与方均可以参与密钥的生成过程,跨境贸易参与方输入公钥pk和主私钥msk,获得与DID标识、贸易参与方属性相关联的
αβt d t βt t
私钥ski三元组:K、L和属性哈希值hx,K=gg ,L=(L′) =g ,g 、g均为保存这些参数所构
造的运算;
αβt d t βt t
私钥ski三元组:K、L和属性哈希值hx,K=gg ,L=(L′) =g ,g 、g均为保存这些参数所构
造的运算;
[0066] 取随机数 使用非对称加密算法对(ei,di)进行密钥保护,即Ei=enc(ei,t),Ei为随机数t经过ei加密后的参数,hxi为贸易参与方的第i个属性的哈希值,将Ei与hxi发送
至网络中的Nodei节点生成贸易参与方的第i个属性的密钥K′i,跨境贸易参与方所有属性生
成的属性秘钥 加密的属性密钥sk′x=(K,L′,K′x(x∈S));
至网络中的Nodei节点生成贸易参与方的第i个属性的密钥K′i,跨境贸易参与方所有属性生
成的属性秘钥 加密的属性密钥sk′x=(K,L′,K′x(x∈S));
[0067] KeyGen({sk′x},d)→sk,求得ei关于r的模逆元素sk′x,sk′x经di解密为属性密钥skx,对各区块链节点计算得到的skx求和获得属性密钥sk,sk=(K,L,Kx(x∈S)),Kx为解密
后的K′x;
后的K′x;
[0068] 6)贸易单证使用方通过统一身份认证与管理模块申请授权获得加密单证数据的Hash,并从链下IPFS/Cloud下载单证数据加密密文CT,使用CP‑ABE属性加密模块生成的属
性密钥对CT进行解密,解密过程如下:
性密钥对CT进行解密,解密过程如下:
[0069] Dec(CT,sk,δ)→m,解密算法的输入为单证数据加密密文CT、属性集合S对应的密钥sk,若属性集合S满足访问控制合约的访问策略则解密成功;
[0070] 定义 令 若λi是随机指数s对应于M的有效份额,则 (ωi的选择不唯一),解密计算式为:
最终获得单证数据的明文信息
Kρ(i)为第ρ(i)个行制定属性生成的属性秘钥,解密时作为双线性映射中一个
映射与Ci配对,用于进行属性比对,若符合则跨境贸易参与方可恢复λi,进而获得共享密钥;
最终获得单证数据的明文信息
Kρ(i)为第ρ(i)个行制定属性生成的属性秘钥,解密时作为双线性映射中一个
映射与Ci配对,用于进行属性比对,若符合则跨境贸易参与方可恢复λi,进而获得共享密钥;
[0071] 7)贸易单证使用方调用应用智能合约完成单证拥有方自身的数字证书验证、X.509V3证书验证和贸易单证数据验证,并将交易过程记录在数据层,完成贸易单证数据的
共享、交换。
共享、交换。
[0072] 本发明把多个信任域的根CA作为贸易参与方身份验证的信任源点,贸易参与方通过客户端数字钱包或区块链浏览器发起在线区块链跨域认证事务,统一身份认证与管理模
块调用各贸易参与方的根CA,对分属于不同信任域的贸易用户进行跨域身份验证,并颁发
统一的X.509V3证书,保证各贸易参与方的诚实可靠,杜绝身份伪造,保证数据交易的安全
性。
块调用各贸易参与方的根CA,对分属于不同信任域的贸易用户进行跨域身份验证,并颁发
统一的X.509V3证书,保证各贸易参与方的诚实可靠,杜绝身份伪造,保证数据交易的安全
性。
[0073] 贸易单证拥有方身份认证完成后将单证数据输入CP‑ABE模块进行加密,将交易记录和加密单证数据的Hash写入区块链各节点的数据层进行存证,将加密单证数据输入
IPFS/Cloud,并根据参与方属性数据建立贸易单证使用方的访问策略,将访问策略存储于
贸易单证拥有方本地以防止访问策略泄露;单证使用方通过身份认证后委托全网进行POI
共识,单证使用方将各区块链节点的属性密钥求和获得最终的属性密钥,对获得的加密单
证数据进行解密获得单证数据明文信息,贸易单证使用方调用应用智能合约验证贸易单证
拥有方的数字证书签名和单证数据的完整性,从而进行数据的共享与交换,所述数字证书
包括贸易单证拥有方所属地CA签发的数字证书和区块链系统签发的自建数字证书。
IPFS/Cloud,并根据参与方属性数据建立贸易单证使用方的访问策略,将访问策略存储于
贸易单证拥有方本地以防止访问策略泄露;单证使用方通过身份认证后委托全网进行POI
共识,单证使用方将各区块链节点的属性密钥求和获得最终的属性密钥,对获得的加密单
证数据进行解密获得单证数据明文信息,贸易单证使用方调用应用智能合约验证贸易单证
拥有方的数字证书签名和单证数据的完整性,从而进行数据的共享与交换,所述数字证书
包括贸易单证拥有方所属地CA签发的数字证书和区块链系统签发的自建数字证书。
[0074] POI共识过程中参与密钥生成的区块链节点分别上传自己的身份标识DID和属性数据,由统一身份认证与管理模块进行统一身份认证,每次交易时根据各区块链节点上传
时间的先后为其分配不同的Token奖励,生成属性密钥时指定积分最高的用户担任Leader,
除Leader外参与密钥生成的区块链节点数如果满足总节点的2/3以上,各贸易参与方的CP‑
ABE模块生成属性密钥并发送至贸易单证使用方完成贸易单证解密。
时间的先后为其分配不同的Token奖励,生成属性密钥时指定积分最高的用户担任Leader,
除Leader外参与密钥生成的区块链节点数如果满足总节点的2/3以上,各贸易参与方的CP‑
ABE模块生成属性密钥并发送至贸易单证使用方完成贸易单证解密。
[0075] 本发明在CP‑ABE密钥生成阶段,通过选取不同的leader节点,将中心化或多中心权威模式转换为各区块链均可作为权威节点参与密钥生成的计算,保证了密钥计算的可靠
性,规避了节点之间串谋的风险,除密钥计算外的初始化、加密解密过程均是各贸易参与方
在链下完成的,只是将产生的公共参数、交易状态信息输入数据层进行存储,减小了区块的
存储量和高度,提高了算法的运行效率。
性,规避了节点之间串谋的风险,除密钥计算外的初始化、加密解密过程均是各贸易参与方
在链下完成的,只是将产生的公共参数、交易状态信息输入数据层进行存储,减小了区块的
存储量和高度,提高了算法的运行效率。
[0076] 实施例
[0077] 如图4所示以A国为出口商、B国为进口商,B国向A国下达采购订单,进口商和出口商分别通过Dapp客户端访问统一身份认证与管理模块,统一身份认证与管理模块调用跨域
认证合约对进口商和出口商进行跨域身份认证,并调用注册合约和证书签发合约生成各自
的身份标识DID和自建数字证书,进口商和出口商均通过身份标识DID进入数据共享系统,
进口商调用参与方属性关系管理合约建立相应的访问策略,并将访问策略输入访问控制合
约,将采购订单输入CP‑ABE模块进行加密,将加密文件的Hash存储于数据层,加密后的采购
订单存储于进口商的IPFS/Cloud。
认证合约对进口商和出口商进行跨域身份认证,并调用注册合约和证书签发合约生成各自
的身份标识DID和自建数字证书,进口商和出口商均通过身份标识DID进入数据共享系统,
进口商调用参与方属性关系管理合约建立相应的访问策略,并将访问策略输入访问控制合
约,将采购订单输入CP‑ABE模块进行加密,将加密文件的Hash存储于数据层,加密后的采购
订单存储于进口商的IPFS/Cloud。
[0078] 出口商通过统一身份认证与管理模块申请授权得到加密文件的Hash和加密后的采购订单,并在数据共享系统内进行POI共识获得属性密钥,对加密后的采购订单进行解
密,然后调用智能合约验证采购订单的所有方和真实性,并在企业内部信息系统制作销售
订单,完成发运,继而制作商业发票和装箱单,出口商调用参与方属性关系管理合约建立相
应的访问策略,将加密后商业发票和装箱单的Hash存储于数据层,将加密后的商业发票和
装箱单存储于IPFS/Cloud。
密,然后调用智能合约验证采购订单的所有方和真实性,并在企业内部信息系统制作销售
订单,完成发运,继而制作商业发票和装箱单,出口商调用参与方属性关系管理合约建立相
应的访问策略,将加密后商业发票和装箱单的Hash存储于数据层,将加密后的商业发票和
装箱单存储于IPFS/Cloud。
[0079] 本地商会或单一窗口平台进入数据共享系统,调用代理合约,代理合约再调用应用智能合约对加密的发票和装箱单进行解密,验证出口商的数字证书签名和真实性,并将
查验的发票、装箱单授权给海关进行审核查验,获得由海关签发的原产地证明及其唯一编
号,海关进入数据共享系统调用代理合约及应用智能合约完成原产地证明的加密与存储,
出口商对密文进行解密获得原产地证明,整个数据共享流程均在链上存储。
查验的发票、装箱单授权给海关进行审核查验,获得由海关签发的原产地证明及其唯一编
号,海关进入数据共享系统调用代理合约及应用智能合约完成原产地证明的加密与存储,
出口商对密文进行解密获得原产地证明,整个数据共享流程均在链上存储。
[0080] 出口商将所有材料(原产地证明、发票、装箱单)加密后授权给进口商(B国)单一窗口平台,并进行加密算法电子签名验证,进口商获得电子贸易单证授权后,转而签发授权至
海关代理服务商报关,代理商基于被授权的发票、装箱单、原产地证明及提运单自动生成出
口报关单上链存储,通过授权单一窗口平台完成申报,并将所有单证信息授权给B国海关,B
国海关向A国海关请求查验出口商的原产地证明,A国授权B国对该笔原产地证明进行审核,
完成跨境贸易数据的传输。
海关代理服务商报关,代理商基于被授权的发票、装箱单、原产地证明及提运单自动生成出
口报关单上链存储,通过授权单一窗口平台完成申报,并将所有单证信息授权给B国海关,B
国海关向A国海关请求查验出口商的原产地证明,A国授权B国对该笔原产地证明进行审核,
完成跨境贸易数据的传输。
[0081] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实
施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例
的部分说明即可。
施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例
的部分说明即可。
[0082] 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围
内。
内。