基于区块链和属性基加密的数据共享方法、系统及计算机可读存储介质转让专利
申请号 : CN202011430847.5
文献号 : CN112637278B
文献日 : 2021-10-08
发明人 : 陈韬伟 , 余益民 , 高建 , 段正泰 , 兰琨 , 孔庆雯 , 宋智明 , 宋俊蓉 , 吴海虹 , 翟登 , 张翼
申请人 : 云南财经大学 , 云南省科学技术院
摘要 :
权利要求 :
1.基于区块链和属性基加密的数据共享方法,其特征在于,包括以下步骤:注册、认证过程,以跨境贸易的各参与方为区块链节点,使用消息总线连接各节点构建数据共享系统,单证拥有方和单证使用方通过注册获得进入数据共享系统的权限,并将自身的数字证书输入统一身份认证与管理模块验证数字证书的签名真实性,生成公私钥、DID标识和X.509V3证书,将公钥、DID指针和X.509V3证书的Hash存储于数据层,X.509V3证书和DID文档存储于IPFS/Cloud,私钥存储于用户本地;
加密过程,单证拥有方将单证数据存储于最上层,CP‑ABE模块获取单证数据并对其进行加密,将加密单证数据及与单证验证相关的密文存储于IPFS/Cloud,公钥、主秘钥和加密单证数据的Hash存储于数据层;
解密过程,单证使用方申请授权获得加密单证数据及与单证验证相关的密文,并基于公钥、主秘钥、属性数据和DID标识委托全网生成属性密钥,对加密单证数据进行解密获得单证数据,所述属性数据存储在IPFS/Cloud;
生成属性密钥时,参与密钥生成的节点分别上传自身的DID标识和X.509V3证书,由统一身份认证与管理模块进行身份认证后,单证使用方委托各节点生成属性密钥返送给单证使用方,单证使用方对各属性密钥求和获得最终的属性密钥;
单证数据验证过程,单证使用方调用智能合约对单证拥有方自身的数字证书、X.509V3证书和单证数据进行验证,完成单证数据的共享。
2.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述单证数据包括出口企业、销售合同、商业发票、装箱单、出口国银行信用证、保险单、出口国海关原产地证、报关单、出口许可、物流仓单、提货单、联运单、进口国海关清关单、进口许可、进口国银行信用证、保险单、进口企业和订单合同。
3.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述对单证拥有方自身的数字证书和X.509V3证书进行验证,包括电子签章验证服务和数字证书验证服务,对单证数据进行验证为电子签名验证服务;
所述电子签章验证服务包括数据电文签名验证服务和可视化数据电文验证服务;所述数字证书验证服务包括证书完整性验证、证书可信性验证,证书有效性验证、证书策略验证和数字证书的其他增值服务;所述电子签名验证服务包括单证数据的完整性和不可抵赖性验证。
4.根据权利要求3所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述数字证书的其他增值服务包括证书用户的身份信息验证服务和电子认证机构信息验证服务。
5.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述数据层还存储有交易信息和状态信息,所述交易信息是贸易参与方将单证数据写入区块链的过程,状态信息是自建数字证书的申请、颁发、撤销信息和单证数据加密的公共参数。
6.根据权利要求1所述的基于区块链和属性基加密的数据共享方法,其特征在于,所述属性数据包括凭证、身份信息和实体特定属性数据。
7.基于区块链和属性基加密的数据共享系统,其特征在于,包括存储器和处理器;
所述存储器用于存放计算机程序;
所述处理器用于执行存储器上存放的计算机程序,实现权利要求1~6任一项所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行能实现权利要求1~6任一项所述的方法步骤。
说明书 :
基于区块链和属性基加密的数据共享方法、系统及计算机可
读存储介质
技术领域
背景技术
链的进一步细分,跨境贸易参与方数量众多、流程复杂、信任缺失、单证共享不足且缺乏数
据保护机制,难以构建无纸化贸易,加大了政府监管部门对交易真实性及交易合法合规性
进行审查的难度和成本,降低了企业国际贸易的效率,增加了企业运营成本,对实现跨境贸
易电子化,监管智能化,跨境贸易、支付结算、物流治理体系和治理能力现代化提出了新的
挑战。
在应用时受其封闭技术环境和实现复杂性的影响,运行成本高、EDI标准灵活性差、数据交
换困难,且不为众多中小型企业使用;XML/EDI融合技术在实际应用时,存在缺乏商务流程
和管理、集成度不高、部署标准不统一和使用门槛高等问题,虽具有一定的学术理论价值,
但在市场上难以广泛应用和推广;PKI体系下的ebXML/XML技术使用时在区域/全球经济合
作需求不断增长的背景下,实现以“共识互信、互联互通、信息交换和监管互认”为目标的跨
境贸易单证数据安全共享仍然是一个难点,制约着全球一体化无纸贸易发展的进程。
面上,由某一机构或组织发起并运营的普通数据库式的中心化模式,难以打消参与方对数
据泄露和所有权归属的顾虑,也缺乏足够的统治力和强制措施进行跨境信息交流以及大规
模推广;这些问题的存在也对海关监管造成了阻碍,作为监管部门,海关审查聚焦于交易的
真实性及合法合规上,数据经过层层传递,其数据源缺失、数据难以整合,导致跨境贸易中
需要投入大量的时间和人力成本进行信息核查,业务流程协同效率低下。
代码组成的智能合约编码和操作数据的一种全新的分布式基础架构与计算范式,近年来区
块链以其去中心化、交易透明可追溯、数据不可篡改和自动可执行的特点,备受学术界、产
业界和政府部门的关注,UN/CEFACT、WCO、WTO、UNCTAD/UNECE等国际组织先后发布了将区块
链应用于跨境贸易的研究报告,并一致认为区块链技术能够与国际贸易业务紧密结合,推
进国际贸易转型、降低国际贸易壁垒、提高海关相关业务的运营效率,为中小微企业发展带
来新的机遇;但针对跨境贸易国内外区块链真正落地及推广使用的项目极少,多处于概念
证明、先导测试和研究试点阶段,国内大多案例中加入的联盟节点均为国内企业和银行,有
些并未实现真正意义上跨国境的贸易业务协同。
方案,以完成交易隐私的动态保护,该方法采用中心化权威方式实现CP‑ABE属性基加密,用
于保证数据的隐私和抗串谋攻击问题,但难免会因服务器漏洞、入侵攻击等导致密钥泄露,
此外区块链溯源算法将分割后的数据及其交易记录均加密存储在区块链网络节点中,在一
定程度上使区块存储容量和区块高度超过上限,导致区块链系统共识效率降低且易发生
DDos攻击。
发明内容
心化、可追溯和交易透明等特点,创建跨境贸易可信区块链统一数字身份,构建去中心化的
CP‑ABE访问控制策略,实现贸易单证的安全交换和隐私保护,同时通过链下存储与贸易单
证验证相关的密文,及进行密钥初始化、明文加密和密文解密操作,减小了区块的存储量和
高度,提高了运行效率。
将自身的数字证书输入统一身份认证与管理模块验证数字证书的签名真实性,生成公私
钥、DID标识和X.509V3证书,将公钥、DID指针和X.509V3证书的Hash存储于数据层,X.509V3
证书和DID文档存储于IPFS/Cloud,私钥存储于用户本地;
加密单证数据的Hash存储于数据层;
获得单证数据,所述属性数据存储在IPFS/Cloud;
国海关清关单、进口许可、进口国银行信用证、保险单、进口企业和订单合同。
密钥返送给单证使用方,单证使用方对各属性密钥求和获得最终的属性密钥。
验证和数字证书的其他增值服务;所述电子签名验证服务包括单证数据的完整性和不可抵
赖性验证。
数据加密的公共参数。
贸易的数据安全共享和隐私保护,本发明在密钥生成时,使用POI身份共识和奖励机制选取
不同的Leader节点作为权威节点,保证了密钥计算的可靠性,避免了节点串谋的风险,本发
明还将与贸易单证验证相关的密文链下存储,链下完成密钥初始化、明文加密和密文解密
等操作,仅将公共参数和交易、状态信息链上存储,减小了区块的存储量和高度,提高了运
行效率。
附图说明
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
成身份认证,但由于分布式证书认证体系之间没有建立互信互认机制,所以在跨境贸易体
系中形成多个独立的信任域,阻碍了跨境贸易单证数据的交换和共享。
将自身的数字证书输入统一身份认证与管理模块,统一身份认证与管理模块根据其身份证
书检索根CA的Hash值获得信任源点,验证数字证书的签名真实性,并生成公私钥、DID标识
和X.509V3证书,将X.509V3证书和DID文档存储于IPFS/Cloud,将私钥存储于用户本地,由
用户钱包或客户端保管,将公钥、DID指针和X.509V3证书的Hash值存储于数据层;
和加密单证数据的Hash存储于数据层;
单、进口许可、进口国银行信用证、保险单、进口企业和订单合同;
得单证数据,所述属性数据存储于IPFS/Cloud,包括凭证Credentials、身份信息和实体特
定属性数据;
作。
用的公共参数数据;中间层作为跨境贸易单证共享和交换的区块链核心层,为跨境贸易参
与方提供身份认证,为贸易单证的安全共享与交换提供数据的所有权验证、真实性验证和
隐私保护。
管理模块通过调用相应的智能合约与算法完成身份认证、自建数字证书生成等操作,CP‑
ABE模块通过调用相应的智能合约和算法完成单证数据加密、单证数据验证和属性密钥生
成等操作。
合约部署工具等;能够方便运营方、开发者及终端用户快速使用,与CITA直接进行数据交互
的有CITA SDK、CITA CLI,在CITA SDK基础上构建了4个工具:ReBirth、CITA IDE、CITA
Truffle Box、CITA Web Debugger,还提供3个针对特定业务需求和开发场景的工具:
Microscope、Cyton Wallet、CITA CLI和一个first‑forever‑demo,通过开发或运行此
demo,能够熟悉CITA Toolchain的大部分子工具,并基本掌握在CITA上开发DApp的操作流
程。
约和身份撤销恢复合约,所述应用智能合约包括电子签章验证服务智能合约、数字证书验
证服务智能合约、电子签名验证服务智能合约、参与方属性管理合约和参与方属性关系管
理合约;密码算法包括:国密算法(SM2/SM3/SM4)、非对称加密算法(RSA/ECC)、Hash散列算
法(MD5/SHA256)、对称加密算法(DES/AES)和属性基加密算法,共识算法是POI身份共识和
奖励机制。
系统中的永久性标识符,同时在私钥丢失时,数据共享系统通过调用身份撤销恢复合约替
换贸易参与方私钥,保留对其标识符的控制权。
化数据电文验证服务,提供数据电文签名验证服务的智能合约有国密算法签名验证和非国
密算法签名验证;提供可视化数据电文验证服务的智能合约有符合PDF 32000‑1:2008标准
的PDF可视化签名验证,和符合GB/T 38540‑2020安全电子签章密码技术规范的OFD可视化
签名验证。
有被人篡改;验证证书可信性是通过验证证书链,从贸易对方的CA信任域底层开始逐层向
上查询,追溯到信任链的终点即根CA,找到权威的根CA签名,验证该签名的真实性,以及根
CA是否具有相关资质、是否能够提供与电子认证业务匹配的电子认证服务、是否在正常运
作等信息;验证证书有效性是通过CRL服务、OCSP服务、SCVP服务验证数字证书的即时有效
性,提供多种方式、快捷、高效、安全的在线证书有效性验证服务;验证证书策略是验证证书
当前的使用有没有超出证书规定的策略限制等内容;数字证书的其他增值服务包括验证证
书用户的身份信息、电子认证机构信息等。
本发明采用基于BloomFilter的管理方法,实现主体属性的快速检索及可控访问,参与方属
性管理合约还包括用户撤销和属性撤销功能。
调张成方案计算访问控制树向线性秘密共享(LSSS)的访问矩阵,实现访问策略的制定,并
写入访问控制合约。
认证过程中跨境贸易参与方通过注册获得进入系统的权限,并根据自身业务需求,在客户
端数字钱包或区块链浏览器发起在线区块链跨境认证事务,统一身份认证与管理模块调用
跨域认证合约,根据跨境贸易参与方所在信任域的根CA证书Hash值获得信任源点,并调用
密码算法验证各参与方持有的CA证书的签名真实性,所述密码算法为国密算法、非对称加
密算法、Hash散列算法、对称加密算法或属性基加密算法。
式区块链CA节点颁发证书,区块链CA节点验证Txi生成证书Cert,产生颁发事务Txi+1,全网
广播颁发事务Txi+1,将证书颁发结果返回至跨境贸易参与方,并将公钥、DID指针和X.509V3
证书的Hash存储于数据层,X.509V3证书和DID文档存储于IPFS/Cloud,私钥存储于用户本
地。
共享和交换,区块链作为去中心化的分布式对等可信数据网络技术,融合了现代密码学理
论,为建立可信、点对点数据安全共享提供了技术基础。
钥msk上传到区块链存储,将与贸易单证验证相关的密文存储在IPFS/Cloud,经单证使用方
请求建立密钥封装机制KEM,该机制在q‑DPBDHE假设下满足可证明语义安全性,贸易双方可
以安全传递随机会话密钥,贸易单证的加密、解密流程如图3所示,包括以下步骤:
全参数决定了循环群的大小,属性总体记作U,大小记作|U|,选择两个随机数α, 输入
LSSS的访问矩阵M,根据访问矩阵M分发随机指数 s即为共享密钥,数据共享系统输出
α β α
密钥对(pk,mk),pk={g,e(g,g) ,g ,h1,h2,…,h|U|},msk=g ,hU为第U个属性的哈希,e(g,
α β α
g) 为加密主密钥,g、g是为保存这些参数构造的运算;
CT;
额,由于共享密钥s分割是基于贸易参与方属性的,所以第i个共享密钥份额对应于第i个属
性,将Ci(i=1,2,…,l)关联到第ρ(i)个行制定属性,最终创建的贸易单证加密密文
sδ
密文,g 和 均为密钥生成时为保存这些参数所构造的运算,可用于解密函数的构造,ri
为生成密文的随机数,用于防止区块链节点合谋,Ci与Di运算可消除ri;
αβt d t βt t
私钥ski三元组:K、L和属性哈希值hx,K=gg ,L=(L′) =g ,g 、g均为保存这些参数所构
造的运算;
至网络中的Nodei节点生成贸易参与方的第i个属性的密钥K′i,跨境贸易参与方所有属性生
成的属性秘钥 加密的属性密钥sk′x=(K,L′,K′x(x∈S));
后的K′x;
性密钥对CT进行解密,解密过程如下:
最终获得单证数据的明文信息
Kρ(i)为第ρ(i)个行制定属性生成的属性秘钥,解密时作为双线性映射中一个
映射与Ci配对,用于进行属性比对,若符合则跨境贸易参与方可恢复λi,进而获得共享密钥;
共享、交换。
块调用各贸易参与方的根CA,对分属于不同信任域的贸易用户进行跨域身份验证,并颁发
统一的X.509V3证书,保证各贸易参与方的诚实可靠,杜绝身份伪造,保证数据交易的安全
性。
IPFS/Cloud,并根据参与方属性数据建立贸易单证使用方的访问策略,将访问策略存储于
贸易单证拥有方本地以防止访问策略泄露;单证使用方通过身份认证后委托全网进行POI
共识,单证使用方将各区块链节点的属性密钥求和获得最终的属性密钥,对获得的加密单
证数据进行解密获得单证数据明文信息,贸易单证使用方调用应用智能合约验证贸易单证
拥有方的数字证书签名和单证数据的完整性,从而进行数据的共享与交换,所述数字证书
包括贸易单证拥有方所属地CA签发的数字证书和区块链系统签发的自建数字证书。
时间的先后为其分配不同的Token奖励,生成属性密钥时指定积分最高的用户担任Leader,
除Leader外参与密钥生成的区块链节点数如果满足总节点的2/3以上,各贸易参与方的CP‑
ABE模块生成属性密钥并发送至贸易单证使用方完成贸易单证解密。
性,规避了节点之间串谋的风险,除密钥计算外的初始化、加密解密过程均是各贸易参与方
在链下完成的,只是将产生的公共参数、交易状态信息输入数据层进行存储,减小了区块的
存储量和高度,提高了算法的运行效率。
认证合约对进口商和出口商进行跨域身份认证,并调用注册合约和证书签发合约生成各自
的身份标识DID和自建数字证书,进口商和出口商均通过身份标识DID进入数据共享系统,
进口商调用参与方属性关系管理合约建立相应的访问策略,并将访问策略输入访问控制合
约,将采购订单输入CP‑ABE模块进行加密,将加密文件的Hash存储于数据层,加密后的采购
订单存储于进口商的IPFS/Cloud。
密,然后调用智能合约验证采购订单的所有方和真实性,并在企业内部信息系统制作销售
订单,完成发运,继而制作商业发票和装箱单,出口商调用参与方属性关系管理合约建立相
应的访问策略,将加密后商业发票和装箱单的Hash存储于数据层,将加密后的商业发票和
装箱单存储于IPFS/Cloud。
查验的发票、装箱单授权给海关进行审核查验,获得由海关签发的原产地证明及其唯一编
号,海关进入数据共享系统调用代理合约及应用智能合约完成原产地证明的加密与存储,
出口商对密文进行解密获得原产地证明,整个数据共享流程均在链上存储。
海关代理服务商报关,代理商基于被授权的发票、装箱单、原产地证明及提运单自动生成出
口报关单上链存储,通过授权单一窗口平台完成申报,并将所有单证信息授权给B国海关,B
国海关向A国海关请求查验出口商的原产地证明,A国授权B国对该笔原产地证明进行审核,
完成跨境贸易数据的传输。
施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例
的部分说明即可。
内。