CN109040012B

CN109040012B - 一种基于区块链的数据安全保护和共享方法与系统和应用

Info

Publication number: CN109040012B
Application number: CN201810628273.9A
Authority: CN
Inventors: 樊凯; 王尚阳; 任延辉; 孙士礼; 李晖
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2018-06-19
Filing date: 2018-06-19
Publication date: 2021-02-09
Anticipated expiration: 2038-06-19
Also published as: CN109040012A

Abstract

本发明属于数字信息传输技术领域，公开了一种基于区块链的数据安全保护和共享方法与系统和应用，每一个参与方发放身份认证信息和密钥；将原始数据的摘要信息和哈希值打包上传到区块链系统；打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点；按照RPBFT协议高效达成共识后全网广播共识结果；根据共识结果将区块记录到账本中；将不同的访问控制协议与区块进行关联；用户经访问控制协议授权后可访问账本，使用快速检索功能获取账本中记录的数据摘要和原信息存储位置，用户访问原始信息存储数据库，获取原始数据。本发明可以抵御恶意节点的篡改，高效地实现共识，显著提高数据检索效率。

Description

一种基于区块链的数据安全保护和共享方法与系统和应用

技术领域

本发明属于数字信息传输技术领域，尤其涉及一种基于区块链的数据安全保护和共享方法与系统和应用。

背景技术

目前，业内常用的现有技术是这样的：随着信息与网络技术的发展，大数据时代来临，各种数据呈现出爆发性生长的态势。人们对于海量数据的挖掘和运用，为国民经济、生活、军事等领域的量化进步提供重要的支撑。例如，通过大数据挖掘分析，可以察觉商业趋势、判定研究质量、避免疾病扩散、打击犯罪或测定实时交通路况等。然而，在享受数据资源带来的便利的同时，个人与机构也在承受着隐私泄露的风险。由于各种异构网络的跨域互联，各种数据遍布终端设备、网络和云端，加上黑色经济利益的驱使，数据隐私暴露的风险日益加剧。在这样的背景下，大数据安全与隐私保护十分必要，只有加大数据安全技术的研究，才能确保数据安全存储，保护用户的隐私，保证人们在使用互联网过程中数据信息的完整性、可用性以及机密性，避免给个人带来利益损失。一方面，数据请求者希望获取用户以往的数据，以创造社会价值。另一方面，存储的数据记录包含机构和用户相关的很多隐私。因此，查询数据和共享可能会给数据提供商带来严重的机密风险。为了满足数据共享的高要求，研究人员提出了一些关于云存储和计算技术的相关方案，为压缩存储和处理需求提供合适的解决方案。然而，由于暴露数据内容带来的风险，云服务提供商(CSP) 在说服机构使用集中式云服务方面面临重大障碍。与此同时，由于中心化问题，这些方案在效率和可用性方面也存在许多问题。对于机构而言将数据存储到例如云盘等第三方机构中并不令人放心。这些半信赖的第三方可能会滥用和披露提供商的隐私。基于现有方案中在共享过程中检索效率方面存在缺陷以及云服务提供商的信任问题，本发明将摘要信息存储于区块链上，原文件则异地存储于服务器，通过记录在分布式账本中的访问控制策略实现文件的访问控制，并利用快速检索机制提升检索效率，从而在保证文件安全的基础上，提升共享效率。

综上所述，现有技术存在的问题是：互联网系统数据非常容易受到攻击从而泄露，当前没有一个合适的数据共享方式，解决数据安全保护与跨机构共享的问题，实现数据安全保护和共享。

解决上述技术问题的难度和意义：

解决数据安全保护与跨机构共享的问题，如何克服区块链技术本身在效率方面的瓶颈，以及加密数据如何高效的实现数据检索。以上问题为现有安全共享方法带来困难。

发明内容

针对现有技术存在的问题，本发明提供了一种基于区块链的数据安全保护和共享方法与系统和应用。

本发明是这样实现的，一种基于区块链的数据安全保护和共享方法，所述基于区块链的数据安全保护和共享方法包括：每一个参与方发放身份认证信息和密钥；将原始数据的摘要信息和哈希值打包上传到区块链系统；打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点；按照RPBFT协议高效达成共识后全网广播共识结果；根据共识结果将区块记录到账本中；将不同的访问控制协议与区块进行关联；用户经访问控制协议授权后可访问账本，使用快速检索功能获取账本中记录的数据摘要和原信息存储位置，用户访问原始信息存储数据库，获取原始数据。

进一步，所述基于区块链的数据安全保护和共享方法的初始化方法包括：

(1)每一个参与方发放身份认证信息和密钥；

(2)参与系统的节点需要申请身份认证信息和密钥，并明确自己担负的职责；

(3)通过验证的节点会得到由认证授权机构源颁发的安全证书；

(4)节点选择成为数据节点、打包节点、共识节点、记账节点；

(5)认证授权机构需要监督每轮共识是否正常，随机种子是否能正确选出当前轮次共识节点。

进一步，所述基于区块链的数据安全保护和共享方法的数据机构上传数据方法包括：

(1)每经过一段时间，数据节点通过客户端将本地需要上传的数据进行处理，提取摘要信息、数据哈希值、与用户相关的前一个区块编码；

(2)与用户相关的前一个区块编码，将随着信息摘要一起被访问控制协议保护；

(3)数据节点需明确该文件的访问控制策略，并随文件一起上传；

(4)原始数据文件被存储在本地数据库或上传至可信赖的云数据库。

进一步，所述基于区块链的数据安全保护和共享方法的打包节点接收数据包括：

(1)打包节点收到数据节点上传的数据后，将返回应答信息；

(2)打包节点将收集相关的数据节点上传文件，并记录每一个文件来源和访问控制策略，并将所有文件按时间顺序，打包成一个区块；

(3)所有打包节点将按照系统约定，轮流上传区块给共识节点，当前轮次打包节点上传时，其余节点将静默；

(4)区块头包含有打包节点地址、时间戳、区块哈希值、文件哈希值。

进一步，所述基于区块链的数据安全保护和共享方法的共识节点达成共识包括：

(1)根据规则，每一轮次会由一个随机数发生器产生随机数，确定备选共识节点中哪些节点可以成为当前轮次的共识节点，由新选出的共识节点接收区块；

(2)共识节点之间根据PBFT协议达成共识；

(3)共识节点达成共识后，向全网广播结果；

(4)共识节点将区块发送给记账节点；

(5)同一节点不可以连续成为共识节点。

进一步，所述基于区块链的数据安全保护和共享方法的记账节点将区块写入账本具体包括：

(1)记账节点收到共识节点发送的区块，将其写入账本中；

(2)记账节点完成记账后，将向全网广播。

进一步，所述基于区块链的数据安全保护和共享方法的配置访问控制协议具体包括：

(1)记账节点需要根据文件中记录的访问控制策略，配置访问控制策略，并将策略与区块锚定；

(2)访问控制策略将隐藏文件信息，只暴露出区块头信息；

(3)用户可以根据需要更新访问策略。

进一步，所述基于区块链的数据安全保护和共享方法的用户获取信息方法包括：

(1)用户通过客户端访问账本信息，根据需要向系统提交个人身份认证信息；

(2)访问控制策略将审核用户身份信息，如果符合访问策略将允许用户查看特定文件内容；如果未通过认证，则无法查看；

(3)用户查看信息摘要，根据账本中记录的数据来源信息，申请访问存储原始数据的数据库；

(4)用户根据相关区块记录信息，找到上一个区块的信息，将不同的文件进行关联使用；

(5)用户比对文件哈希值，校验文件是否被恶意篡改。

本发明的另一目的在于提供一种实现所述基于区块链的数据安全保护和共享方法的基于区块链的数据安全保护和共享系统，所述基于区块链的数据安全保护和共享系统包括：

认证授权机构模块，用于给系统内每一个参与方发放身份认证信息和密钥；

数据机构模块，用于将原始数据的摘要信息和哈希值打包上传到区块链系统，文件中摘要信息含有与之关联的前一个区块编码；

区块链模块，用于打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点；

共识节点模块，用于按照改进PBFT协议达成共识后全网广播共识结果；

记账节点模块，用于根据共识结果将区块记录到账本中；

访问控制协议模块，用于根据数据机构的要求，将不同的访问控制协议与区块进行关联；

用户经访问控制协议模块，用于授权后可访问账本，根据快速检索功能获取账本中记录的数据摘要和原信息存储位置，用户访问原始信息存储数据库，获取原始数据。

本发明的另一目的在于提供一种应用所述基于区块链的数据安全保护和共享方法的信息数据处理终端。

综上所述，本发明的优点及积极效果为：文件中摘要信息含有与之关联的前一个区块编码，以方便后续快速数据检索，改进过的数据检索机制能够大幅提高系统的效率。RPBFT共识机制能够高效实现共识的基础上，很好的防范贪心攻击和恶意节点分叉攻击，在保证方案安全可靠的基础上，进一步提高系统的效率。系统链上摘要信息与链下原始数据分离，保证原始数据的隐私性。使用的区块链技术保证了分布式账本中的信息的不可篡改，账本上的文件密文哈希值保证了文件的完整以及不可篡改，账本上的访问策略实现了文件的安全共享，能将未经授权用户阻挡在系统之外。

本发明利用区块链技术能够实现用户对文件的安全的共享，以确保原始数据文件的存储与共享安全；用户在客户端实现文件的上传、下载，并以密文形式将文件保存在可信赖的数据库中，只将数据摘要、哈希值、关联区块编号写入区块链账本中；同时用户可以为文件定制细粒度的访问策略，并将其与区块链账本进行关联，用户在获取文件的过程中需要进行身份验证，只有满足访问策略的用户可以获取账本中信息内容，并进一步获取文件。本发明确保了用户数据的安全性，用户使用简单方便；传统的公私钥密码技术使得文件更为安全；区块链技术本身账本的不可篡改性进一步保证了文件的完整可用，同时使得用户可以针对不同文件制定不同的访问策略，在共享文件的同时实现了对文件的完全控制；实现了基于该系统的用户控制的文件加密上传、细粒度的访问控制以及在系统内的文件安全共享。

附图说明

图1是本发明实施例提供的基于区块链的数据安全保护和共享方法流程图。

图2是本发明实施例提供的基于区块链的数据安全保护和共享方法的实现流程图。

图3是本发明实施例提供基于区块链的数据安全保护和共享方法的系统实现示意图。

图4是本发明实施例提供的系统模型图。

图5是本发明实施例提供的区块链系统模型图。

图6是本发明实施例提供的区块链账本结构图。

图7是本发明实施例提供的数据效率的仿真图。

图8是本发明实施例提供的网络阻塞的仿真图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明在保证数据完整、机密、可用的基础上，对数据实现快速数据检索和高效系统共识以达到共享的目的，实现数据的挖掘分析，产生价值。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于区块链的数据安全保护和共享方法包括以下步骤：

S101：搭建、管理系统，给系统内每一个参与方发放身份认证信息和密钥；

S102：将原始数据的摘要信息和哈希值打包上传到区块链系统，文件中摘要信息含有与之关联的前一个区块编码；

S103：打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点；

S104：按照RPBFT协议高效达成共识后全网广播共识结果；

S105：根据共识结果将区块记录到账本中；

S106：根据数据机构的要求，将不同的访问控制协议与区块进行关联；

S107：用户经访问控制协议授权后可访问账本，使用快速检索功能获取账本中记录的数据摘要和原信息存储位置，用户访问原始信息存储数据库，获取原始数据。

下面结合附图对本发明的应用原理作进一步的描述。

如图2所示，本发明实施例提供的基于区块链的数据安全保护和共享方法具体包括以下步骤：

(1)认证授权机构，也就是联盟链的发起者，拥有着最高的系统权限，负责搭建、管理系统。同时，负责给系统内每一个参与方发放身份认证信息和密钥。

(2)数据机构将原始数据的摘要信息和哈希值打包上传到区块链系统，文件中摘要信息含有与之关联的前一个区块编码，以方便后续检索。原始数据保存在本地数据库或云端。

(3)区块链系统中打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点。

(4)共识节点按照改进PBFT协议达成共识后全网广播共识结果。

(5)记账节点根据共识结果将区块记录到账本中。

(6)访问控制协议可根据数据机构的要求，将不同的访问控制协议与区块进行关联。

(7)用户经访问控制协议授权后可访问账本，根据快速检索功能获取账本中记录的数据摘要和原信息存储位置，用户访问原始信息存储数据库，获取原始数据。

如图3所示，本发明实施例提供的基于区块链的数据安全保护和共享方法包括以下步骤：

(1)系统初始化：为了实现系统能正常运转，需要在起始阶段对系统进行初始化。初始化过程包括：

a)认证授权机构，也就是联盟链的发起者，拥有着最高的系统权限，负责搭建、管理系统。同时，负责给系统内每一个参与方发放身份认证信息和密钥。

b)想要参与系统的节点需要申请身份认证信息和密钥，并明确自己担负的职责。

c)通过验证的节点会得到由认证授权机构源颁发的安全证书，这个证书中包含有一个唯一的序列号以及公私钥对，序列号代表节点的身份，公私钥对用于签名。在终端设备初次连接时间节点进行初始化的时候，安全证书可以证明节点身份的合法性，该节点将成为系统内节点。

d)节点可以选择成为数据节点、打包节点、共识节点、记账节点等职责。节点可以担负其中一个或多个职责。

e)认证授权机构需要监督每轮共识是否正常，随机种子是否能正确选出当前轮次共识节点，保证系统健康有序。

(2)数据机构上传数据

a)按照系统约定，每经过一段时间，数据节点通过客户端将本地需要上传的数据进行处理，提取摘要信息、数据哈希值、与该用户相关的前一个区块编码。摘要信息含有与之关联的前一个区块编码，以方便用户后续快速数据检索。将所有信息整理成一个文件，上传给邻近的打包节点。

b)与该用户相关的前一个区块编码，将随着信息摘要一起被访问控制协议保护。

c)数据节点需明确该文件的访问控制策略，并随文件一起上传。

d)原始数据文件被存储在本地数据库或上传至可信赖的云数据库。

(3)打包节点接收数据

a)打包节点收到数据节点上传的数据后，将返回应答信息。

b)打包节点将收集相关的数据节点上传文件，并记录每一个文件来源和访问控制策略，并将所有文件按时间顺序，打包成一个区块。

c)所有打包节点将按照系统约定，轮流上传区块给共识节点，当前轮次打包节点上传时，其余节点将静默。

d)区块头包含有打包节点地址、时间戳、区块哈希值、文件哈希值等信息。

(4)共识节点达成共识

a)根据系统规则，每一轮次会由一个随机数发生器产生随机数，来确定备选共识节点中哪些节点可以成为当前轮次的共识节点，由新选出的共识节点接收区块。认证授权机构监督该过程。

b)共识节点之间根据PBFT协议达成共识。

c)共识节点达成共识后，向全网广播结果。

d)共识节点将区块发送给记账节点。

e)为保证系统的安全性、同一节点不可以连续成为共识节点。

(5)记账节点将区块写入账本

a)记账节点收到共识节点发送的区块，将其写入账本中。

b)记账节点完成记账后，将向全网广播。

(6)配置访问控制协议

a)记账节点需要根据文件中记录的访问控制策略，配置访问控制策略，并将策略与区块锚定。

b)访问控制策略将隐藏文件信息，只暴露出区块头信息。以保障信息的安全和隐私。访问控制策略将由记账节点更新维护。

c)用户可以根据需要更新访问策略。

(7)用户获取信息

a)用户通过客户端访问账本信息，根据需要向系统提交个人身份认证信息。

b)访问控制策略将审核用户身份信息，如果符合访问策略将允许用户查看特定文件内容。如果未通过认证，则无法查看。

c)用户查看信息摘要，需要进一步查看原始数据，可以根据账本中记录的数据来源信息，进一步申请访问存储原始数据的数据库。

d)用户根据相关区块记录信息，快速找到上一个区块的信息，将不同的文件进行关联使用。

e)用户比对文件哈希值，校验文件是否被恶意篡改。

下面结合仿真对本发明的应用效果做详细的描述。

1.仿真条件

仿真环境是：联想笔记本，配置是Intel(R)Core(TM) i5-3210M CPU@2.50GHz4.0G RAM。

2.仿真内容与结果分析

采用本发明方法不同的系统之间，信息检索的效率差别，结果如图7所示，在本发明的方案中，本发明采用关联区块编号机制来提高信息检索的效率。如果一个用户要检索特定的信息，可以直接根据联区块编号记录找到相应的块。原来的搜索方法需要遍历的数据块直到找到有用的数据。虽然联区块编号会带来附加的数据量，相对于数据检索的传统方式，其效率增加太多。本发明与其他方案如Medrecord A Lippman,T Vieira,A Ekblaw,AAzaria.Et al, “MedRec:Using Blockchain for Medical Data,”Presented atInternational Conference on Open&Big Data.[Online]2016.Available: http://ieeexplore.ieee.org/document/7573685/和Medshare Qi Xia,Emmanuel BoatengSifah,et al.“MeDShare:Trust-Less Medical Data Sharing via Blockchain,” IEEEAccess,July,2017.Vol.5.DOI.10.1109/ACCESS.2017.2730843.。随着访问人数的增加，本发明使用较少的时间。结果表明，数据检索的效率大大提高。

当用户的数量较少时，每个用户的有效信息量占总信息量的比例较高。原来的搜索方法也可以快速找到相关的信息。然而，随着用户数量的增加，本发明对其他方法的优势越来越明显。关联区块编号记录可以直接引导用户找到相应的块。即使有效信息的比例较低，不会对效率造成约束。采用本发明方法不同的系统之间，系统网络阻塞差别，结果如图8所示。当打包节点发出建议添加区块到系统，本发明从实时上传的方法改为交替上传。如果打包节点选择上传实时数据，系统将承担很大的高负荷，这可能会导致数据拥塞。为避免这种情况，提高系统的稳定性。本发明使用按轮次依次上传的方法。上传异步数据使系统负载平滑，有助于避免系统数据拥塞。理论分析和仿真结果表明，该方案是有效的避免大量高负荷，可能导致数据拥塞。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于区块链的数据安全保护和共享方法，其特征在于，所述基于区块链的数据安全保护和共享方法包括：每一个参与方发放身份认证信息和密钥；将原始数据的摘要信息和哈希值打包上传到区块链系统；打包节点将时间段内接收到的所有摘要信息和哈希值按照一定次序打包成区块，发送给共识节点；按照RPBFT协议高效达成共识后全网广播共识结果；根据共识结果将区块记录到账本中；将不同的访问控制协议与区块进行关联；用户经访问控制协议授权后可访问账本，使用快速检索功能获取账本中记录的数据摘要和原始信息存储位置，用户访问原始信息存储数据库，获取原始数据；

所述方法的初始化步骤包括：

（1）给每一个参与方发放身份认证信息和密钥；

（2）参与系统的节点需要申请身份认证信息和密钥，并明确自己担负的职责；

（3）通过验证的节点会得到由认证授权机构源颁发的安全证书；

（4）节点选择成为数据节点、打包节点、共识节点、记账节点中的一个或多个；

（5）认证授权机构需要监督每轮共识是否正常，随机种子是否能正确选出当前轮次共识节点。

2.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述方法还包括数据机构上传数据的步骤，具体包括：

（1）每经过一段时间，数据节点通过客户端将本地需要上传的数据进行处理，提取摘要信息、数据哈希值、与用户相关的前一个区块编码；

（2）与用户相关的前一个区块编码，将随着信息摘要一起被访问控制协议保护；

（3）数据节点需明确文件的访问控制策略，并随文件一起上传；

（4）原始数据文件被存储在本地数据库或上传至可信赖的云数据库。

3.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述方法还包括打包节点接收数据的步骤，具体包括：

（1）打包节点收到数据节点上传的数据后，将返回应答信息；

（2）打包节点将收集相关的数据节点上传文件，并记录每一个文件来源和访问控制策略，并将所有文件按时间顺序，打包成一个区块；

（3）所有打包节点将按照系统约定，轮流上传区块给共识节点，当前轮次打包节点上传时，其余节点将静默；

（4）区块头包含有打包节点地址、时间戳、区块哈希值、文件哈希值。

4.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述方法还包括共识节点达成共识的步骤，具体包括：

（1）根据规则，每一轮次会由一个随机数发生器产生随机数，确定备选共识节点中哪些节点可以成为当前轮次的共识节点，由新选出的共识节点接收区块；

（2）共识节点之间根据PBFT协议达成共识；

（3）共识节点达成共识后，向全网广播结果；

（4）共识节点将区块发送给记账节点；

（5）同一节点不可以连续成为共识节点。

5.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述法还包括记账节点将区块写入账本的步骤，具体包括：

（1）记账节点收到共识节点发送的区块，将其写入账本中；

（2）记账节点完成记账后，将向全网广播。

6.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述方法还包括对访问控制协议进行配置的步骤，具体包括：

（1）记账节点需要根据文件中记录的访问控制策略，配置访问控制策略，并将策略与区块锚定；

（2）访问控制策略将隐藏文件信息，只暴露出区块头信息；

（3）用户可以根据需要更新访问策略。

7.如权利要求1所述的基于区块链的数据安全保护和共享方法，其特征在于，所述方法还包括用户获取信息方法的步骤，具体包括：

（1）用户通过客户端访问账本信息，根据需要向系统提交个人身份认证信息；

（2）访问控制策略将审核用户身份信息，如果符合访问策略将允许用户查看特定文件内容；如果未通过认证，则无法查看；

（3）用户查看信息摘要，根据账本中记录的数据来源信息，申请访问存储原始数据的数据库；

（4）用户根据相关区块记录信息，找到上一个区块的信息，将不同的文件进行关联使用；

（5）用户比对文件哈希值，校验文件是否被恶意篡改。

8.一种实现权利要求1所述基于区块链的数据安全保护和共享方法的基于区块链的数据安全保护和共享系统，其特征在于，所述系统包括：

记账节点模块，用于根据共识结果将区块记录到账本中；

用户经访问控制协议模块，用于授权后可访问账本，根据快速检索功能获取账本中记录的数据摘要和原始信息存储位置，用户访问原始信息存储数据库，获取原始数据。