[go: up one dir, main page]

CN118473686A - 基于区块链的跨域数据获取方法及系统 - Google Patents

基于区块链的跨域数据获取方法及系统 Download PDF

Info

Publication number
CN118473686A
CN118473686A CN202310147297.3A CN202310147297A CN118473686A CN 118473686 A CN118473686 A CN 118473686A CN 202310147297 A CN202310147297 A CN 202310147297A CN 118473686 A CN118473686 A CN 118473686A
Authority
CN
China
Prior art keywords
data
node
forwarding
signature
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310147297.3A
Other languages
English (en)
Inventor
张高山
谢懿
陈敏时
徐世权
方明星
杜雪涛
詹义
洪东
刘仲思
朱华
尹子轩
巴特尔
倪宁宁
王雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Design Institute Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Design Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Design Institute Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202310147297.3A priority Critical patent/CN118473686A/zh
Publication of CN118473686A publication Critical patent/CN118473686A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种基于区块链的跨域数据获取方法及系统,方法执行于隶属同一实体的数据生成节点、数据转发节点和数据接收节点,其包括:数据生成节点生成数据,并生成数据标识码以及利用数据生成签名私钥生成数据的数据生成签名;数据生成节点将数据标识码、数据生成签名以及数据发送给数据转发节点;数据转发节点对数据进行验证后,对数据进行加密得到密文数据,并生成数据转发标识;数据转发节点将数据转发标识发送至区块链系统存储;数据转发节点将数据标识码以及密文数据发送给数据接收节点;数据接收节点根据数据标识码从区块链系统获取对应的数据转发标识进行验证后,对密文数据进行解密得到数据,从而保障数据获取安全。

Description

基于区块链的跨域数据获取方法及系统
技术领域
本发明实施例涉及IT应用及信息安全技术领域,具体涉及一种基于区块链的跨域数据获取方法及系统。
背景技术
在当前大数据时代,数据的安全共享、使用等已经成为各行各业都需解决的课题。现有技术方案大多采用如利用区块链存储数据内容或者数据摘要值等,在数据获取时,利用区块链比对确认数据与原始提交数据是否一致,来获取数据。
但现有技术具有如下缺陷:
(1)数据缺少标识信息,如标记数据唯一的标识码等信息,无法判断数据来源,无法保障企业、机构等用户获得的数据是通过可靠的数据源、可信的途径获取;
(2)数据的获取过程没有记录,无法达到数据获取过程有据可查。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的基于区块链的跨域数据获取方法及系统。
根据本发明实施例的一个方面,提供了一种基于区块链的跨域数据获取方法,方法执行于隶属同一实体的数据生成节点、数据转发节点和数据接收节点,其包括:
数据生成节点生成数据,并生成数据标识码以及利用数据生成签名私钥生成数据的数据生成签名;数据标识码用于标识数据;
数据生成节点将数据标识码、数据生成签名以及数据发送给数据转发节点;
数据转发节点对数据进行验证后,对数据进行加密得到密文数据,并生成数据转发标识;其中,数据转发标识包含数据标识码数据生成签名以及数据转发签名;数据转发签名根据数据生成签名以及数据转发签名私钥生成;
数据转发节点将数据转发标识发送至区块链系统存储;
数据转发节点将数据标识码以及密文数据发送给数据接收节点;
数据接收节点根据数据标识码从区块链系统获取对应的数据转发标识进行验证后,对密文数据进行解密得到数据。
根据本发明实施例的另一方面,提供了一种基于区块链的跨域数据获取系统,系统包括:隶属同一实体的数据生成节点、数据转发节点、数据接收节点,以及区块链系统;
数据生成节点用于:生成数据,并生成数据标识码以及利用数据生成签名私钥生成数据的数据生成签名;数据标识码用于标识数据;将数据标识码、数据生成签名以及数据发送给数据转发节点;
数据转发节点用于:接收数据标识码、数据生成签名以及数据后,对数据进行验证后,对数据进行加密得到密文数据,并生成数据转发标识;其中,数据转发标识包含数据标识码数据生成签名以及数据转发签名;数据转发签名根据数据生成签名以及数据转发签名私钥生成;将数据转发标识发送至区块链系统存储;将数据标识码以及密文数据发送给数据接收节点;
数据接收节点用于:接收数据标识码以及密文数据后,根据数据标识码从区块链系统获取对应的数据转发标识进行验证后,对密文数据进行解密得到数据。
根据本发明实施例的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述基于区块链的跨域数据获取方法对应的操作。
根据本发明实施例的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述基于区块链的跨域数据获取方法对应的操作。
根据本发明实施例的提供的基于区块链的跨域数据获取方法及系统,数据生成节点每生成一笔数据,为数据生成唯一的数据标识码,在数据转发、接收时,可以利用数据标识码来识别数据身份。数据转发节点生成数据转发签名,方便确认数据来源,将数据转发标识提交给区块链系统后,可以利用区块链的不可修改特性,保障数据来源合法。进一步,数据生成节点利用数据生成签名私钥生成数据生成签名,数据转发节点利用数据转发签名私钥在数据生成签名的基础上进一步生成数据转发签名,数据接收节点可以验证数据转发标识中的数据转发签名,验证其由数据生成节点和数据转发节点联合生成,从而确定数据的来源,数据由数据生成节点产生,并通过数据转发节点转发,使得数据的获取有据可查,从而证明了数据的获取渠道。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明实施例的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明实施例的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的基于区块链的跨域数据获取方法的流程图;
图2示出了数据生成节点、数据转发节点、数据接收节点的各密钥初始化示意图;
图3输出了数据加密/解密示意图;
图4示出了根据本发明一个实施例的基于区块链的跨域数据获取装置的结构示意图;
图5示出了根据本发明一个实施例的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
首先,对本申请一个或多个实施例涉及的名词术语进行解释。
椭圆曲线协同签名密钥:采用密钥分割技术和协同数字签名技术,实现密钥分量在移动签名组件和服务器端的独立生成和独立存储。签名过程中,移动端和服务端协作,共同完成完整签名。通过将传统的密钥分割为不同节点密钥,以此保证密钥的安全存储。通过计算完整用户公钥,由CA(Certificate Authority,证书授权)机构颁发数字证书。数字签名时,不同节点所在端分别计算各自的签名结果,通过交换中间签名结果,最终完成数字签名的合成。此处,使用如SM2(椭圆曲线公钥密码算法)门限签名,需要分享的秘密为私钥d。但对于随机数k,因为在已知签名(r,s)和k的情况下,参与者可以推导出私钥d,因此在签名过程中k也必须保密。为了降低复杂度,可以对SM2签名方案中S计算式进行如下等价变形:
s=(1+d)-1(k-rd)=(1+d)-1(k-(1+d)r+r)=((1+d)-1(k+r)-r)mod q
上式只使用了(1+d)-1而没有单独使用d,针对存在可信中心和不存在可信中心的情况,可以分别采用不同的安全有效的SM2算法门限签名。以存在可信中心为例,可信中心在密钥产生时参与,签名生成和验证时并不需要可信中心参与,对于存在可信中心的情况,密钥产生较简单,可信中心可以直接将(1+d)-1作为秘密,通过t阶ss分享给参与者等。
国产密码算法(国密算法):是指国家密码局认定的国产商用密码算法,在金融领域目前主要使用公开的SM2、SM3、SM4三类算法,分别是非对称算法、哈希算法和对称算法。
SM2算法:SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法,包括SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现数字签名密钥协商和数据加密等功能。SM2算法与RSA算法不同的是,SM2算法是基于椭圆曲线上点群离散对数难题,相对于RSA算法,256位的SM2密码强度已经比2048位的RSA密码强度要高。
SM3算法:SM3杂凑算法是我国自主设计的密码杂凑算法,适用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。
SM4算法:SM4分组密码算法是我国自主设计的分组对称密码算法,用于实现数据的加密/解密运算,以保证数据和信息的机密性。要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度,SM4算法与AES算法具有相同的密钥长度分组长度128比特,因此在安全性上高于3DES算法。
图1示出了根据本发明一个实施例的基于区块链的跨域数据获取方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,数据生成节点生成数据,并生成数据标识码以及利用数据生成签名私钥生成数据的数据生成签名。
本实施例中数据生成节点、数据转发节点和数据接收节点均隶属同一实体,如均隶属机构A。
数据在数据产生域内,由数据生成节点生成数据,经过一个或多个数据转发节点,最终发送给数据接收节点。其中,数据产生域是半封闭域,单向向外发出,不接收反向进入的数据。公共传输域是开放的,不能直接传输明文数据,需要数据转发节点对数据进行加密,以保证数据机密性。
数据生成节点生成数据,同时为数据生成数据标识码,数据标识码用于标识数据,可以唯一确定数据。进一步,数据生成节点还可以利用数据生成签名私钥生成数据的数据生成签名。此处,密钥可以根据椭圆曲线协同签名密钥来生成,如图2所示,以机构A为例,机构A密钥初始化系统可以预先根据椭圆曲线协同签名密钥来生成一组密钥,其中,密钥包括数据生成签名私钥、数据转发签名私钥以及数据签名验证公钥,将密钥分别存储至数据生成节点、数据转发节点以及数据接收节点,如图2所示,数据生成签名私钥由数据生成节点存储,如提前内置于数据生成节点的密码模块,数据转发签名私钥由数据转发节点存储,如提前内置于数据转发节点的密码模块,数据签名验证公钥由数据接收节点存储,如提前内置于数据接收节点的密码模块中。数据先后经过1对私钥(数据生成签名私钥、数据转发签名私钥)的2次签名后,可以使用数据签名验证公钥验证数据,保证数据的安全发送与接收。
除生成数据生成签名外,考虑到方便对数据来源信息进行统计,保障数据来源可靠、数据获取途径可查,可以由数据生成节点生成数据生成标识,用来标记数据的身份信息,方便后续监管、审计过程中,可以确定数据的身份、来源等。数据生成标识包含如数据标识码、数据生成签名、数据标识类型、数据生成节点的ID、数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间、数据有效期等,数据标识类型包括数据生成标识类型。
数据生成标识的内容可以如下表1所示:
表1
数据标识类型可以确定其为数据生成标识还是数据转发标识;数据标识码是数据唯一的身份标识,根据数据标识码可以准确确定数据身份;数据所有者信息可以确定数据归属;数据长度、数据生成时间、数据有效期、数据摘要等信息记录了数据本身的相关信息;数据生成节点ID记录了数据的生成者信息;数据转发节点ID记录了数据被哪些节点转发,也保障了转发时通过可信任数据转发节点来进行转发。数据生成标识还包含了数据生成签名,方便转发接收后验证数据合法性等。以上为举例说明,具体根据实施情况设置,此处不做限定。数据生成节点将数据生成标识发送至区块链系统存储,利用区块链系统存储的数据不可篡改的特性,可以实现对数据生成标记以及后续的数据转发标记的记录,后续可以根据数据生成标识、数据转发标识确定数据的来源信息,也可以方便提供审计、监管等。
对于数据生成节点,预先由数据生成节点隶属的实体生成数据生成签名私钥、消息认证密钥,内置于数据生成节点的密码模块中,方便数据验证、生成签名等。
步骤S102,数据生成节点将数据标识码、数据生成签名以及数据发送给数据转发节点。
数据生成节点将生成的数据标识码、数据生成签名、数据等一并发送给数据转发节点。
进一步,为了保证数据生成节点到数据转发节点传输的数据不被泄露,数据生成节点向隶属同一实体的数据转发节点转发数据。转发时,数据生成节点需要采用消息认证机制,数据生成节点根据消息认证密钥生成消息认证码,在发送数据时,将消息认证码发送给数据转发节点,以供后续数据转发节点来进行数据验证。消息认证密钥可以由数据生成节点隶属的实体预先生成,预先内置于数据生成节点的密码模块中。消息认证码可以根据单向散列函数构造。消息认证码HMac采用单向散列函数构造,HMac中H即Hash,HMac使用的单向散列函数并不仅限于一种,任何高强度的单向散列函数均可适用于本实施例,此处不做展开说明。
步骤S103,数据转发节点对数据进行验证后,对数据进行加密得到密文数据,并生成数据转发标识。
数据转发节点在接收数据生成节点发送的数据后,可以对数据进行验证。具体的,如数据转发节点根据消息认证密钥对消息认证码进行验证,验证成功说明数据在传输过程中未被修改。数据转发节点需要预先持有消息认证密钥,消息认证密钥可以由数据转发节点隶属的实体预先生成,预先内置于数据转发节点的密码模块中。
在数据转发节点对数据验证后,考虑到在转发给数据接收节点时,经由公共传输域,公共传输域是开放的,不能直接传输明文数据,因此,还需要数据转发节点对数据进行加密,生成密文数据。数据转发节点利用数据加密密钥(由数据转发节点隶属的实体预先生成,预先内置于数据转发节点的密码模块中),利用分组对称算法对数据进行加密得到密文数据,传输时传输密文数据保障数据安全。如图3所示,图3上部分展示了数据转发节点利用如SM4对称算法,利用数据加密密钥对明文数据进行加密,得到密文数据。
数据转发节点还生成了数据转发标识,数据转发标识包含如数据标识码、数据生成签名以及数据转发签名。数据转发签名是数据转发节点利用数据转发签名私钥进行计算,在数据生成签名的基础上进一步生成完整的数据转发签名,方便记录数据来源。数据转发标识还包含了如数据标识类型、数据生成节点的ID、数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间、数据有效期等。数据标识类型包括数据转发标识类型;
数据转发标识的内容见下表2所示:
表2
数据标识类型可以确定其为数据转发标识;数据标识码是数据唯一的身份标识,根据数据标识码可以准确确定数据身份;数据所有者信息可以确定数据归属;数据长度、数据生成时间、数据有效期、数据摘要等信息记录了数据本身的相关信息;数据生成节点ID记录了数据的生成者信息;数据转发节点ID记录了数据被哪些节点转发,也保障了转发时通过可信任数据转发节点来进行转发。数据转发标识还包含了数据生成签名、数据转发签名,方便转发接收后验证数据合法性等。以上为举例说明,具体根据实施情况设置,此处不做限定。
对于数据转发节点,预先由数据转发节点隶属的实体生成数据转发签名私钥、消息认证密钥、数据加密密钥,内置于数据转发节点的密码模块中,方便数据验证、生成签名、对数据加密等。
步骤S104,数据转发节点将数据转发标识发送至区块链系统存储。
数据转发节点将数据转发标识发送至区块链系统存储,利用区块链系统存储的数据不可篡改的特性,可以实现对数据转发标记的记录,后续数据接收节点可以根据数据标识码获取数据转发标识等,以便根据数据转发标识确定数据的来源信息,也可以方便提供审计、监管等。
步骤S105,数据转发节点将数据标识码以及密文数据发送给数据接收节点。
数据转发节点将数据标识码以及密文数据,经由公共传输域发送给数据接收节点。数据接收节点与数据转发节点隶属同一实体所有。
步骤S106,数据接收节点根据数据标识码从区块链系统获取对应的数据转发标识进行验证后,对密文数据进行解密得到数据。
数据接收节点根据接收的数据标识码,可以从区块链系统获取包含数据标识码,且数据标识类型为数据转发标识类型的数据转发标识。数据接收节点利用数据签名验证公钥可以对数据转发标识中的数据转发签名进行验证,从而确定数据由数据生成节点生成、由数据转发节点转发。
在验证通过后,数据接收节点可以根据数据解密密钥,利用分组对称算法对密文数据进行解密得到数据。如图3所示,图3下部分展示了数据接收节点利用如SM4对称算法,利用数据解密密钥针对密文数据,得到明文数据。
对于数据接收节点,预先由数据接收节点隶属的实体生成数据签名验证公钥及数据解密密钥,内置于数据接收节点的密码模块中,方便后续的验证及密文数据的解密。
在本实施例中,数据生成节点每生成一笔数据,都对应的为数据生成数据生成标识,用以标记、识别数据。数据转发节点每转发一笔数据,都对应的生成数据转发标识。在数据转移、接收过程中,可以利用数据生成标识、数据转发标识内包含的数据标识码来识别数据身份,利用数据生成标识、数据转发标识内包含的数据生成签名、数据转发签名来判断数据来源,使得数据可标识,可追溯。将数据生成标识、数据转发标识提交到区块链系统存储,可以利用区块链的不可修改特性,方便第三方等监管、审计数据的来源是否合法等。任一实体在获取数据时,可以根据数据生成标识、数据转发标识确认数据由确定可信的数据生成节点产生,并通过可信的数据转发节点转发,保障了数据可信、数据获取的渠道合理等。根据数据生成、转发的顺序,将数据生成标识、数据转发标识提交到区块链系统,利用区块链上数据不可篡改的特性,实现对数据的全程记录,方便数据追溯、审计。进一步,数据在数据生成节点、数据转发节点、数据接收节点间转移时,通过采用消息认证码技术、加密算法等进一步保障了数据安全。
根据本发明实施例提供的基于区块链的跨域数据获取方法,数据生成节点每生成一笔数据,为数据生成唯一的数据标识码,在数据转发、接收时,可以利用数据标识码来识别数据身份。数据转发节点生成数据转发签名,方便确认数据来源,将数据转发标识提交给区块链系统后,可以利用区块链的不可修改特性,保障数据来源合法。进一步,数据生成节点利用数据生成签名私钥生成数据生成签名,数据转发节点利用数据转发签名私钥在数据生成签名的基础上进一步生成数据转发签名,数据接收节点可以验证数据转发标识中的数据转发签名,验证其由数据生成节点和数据转发节点联合生成,从而确定数据的来源,数据由数据生成节点产生,并通过数据转发节点转发,使得数据的获取有据可查,从而证明了数据的获取渠道。
图4示出了本发明实施例提供的基于区块链的跨域数据获取系统的结构示意图。如图4所示,该系统包括:隶属同一实体的数据生成节点410、数据转发节点420、数据接收节点430,以及区块链系统440。图4中数据生成节点410、数据转发节点420、数据接收节点430均隶属同一实体机构A,根据图4可知,在数据生产域,数据生成节点410不可向其它机构所有的数据转发节点2、数据转发节点3发送数据。数据转发节点420(机构A所有数据转发节点1)经由公共传输域将数据转发给数据接收域的数据接收节点430。
数据生成节点410用于:生成数据,并生成数据标识码以及利用数据生成签名私钥生成数据的数据生成签名;数据标识码用于标识数据;将数据标识码、数据生成签名以及数据发送给数据转发节点;
数据转发节点420用于:接收数据标识码、数据生成签名以及数据后,对数据进行验证后,对数据进行加密得到密文数据,并生成数据转发标识;其中,数据转发标识包含数据标识码数据生成签名以及数据转发签名;数据转发签名根据数据生成签名以及数据转发签名私钥生成;将数据转发标识发送至区块链系统440存储;将数据标识码以及密文数据发送给数据接收节点;
数据接收节点430用于:接收数据标识码以及密文数据后,根据数据标识码从区块链系统440获取对应的数据转发标识进行验证后,对密文数据进行解密得到数据。
可选地,数据生成节点410还用于:生成数据生成标识;其中,数据生成标识包含数据标识码、数据生成签名、数据标识类型、数据生成节点的ID、数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间和/或数据有效期;数据标识类型包括数据生成标识类型;
数据生成节点410还用于:将数据生成标识发送至区块链系统440存储,以供根据数据生成标识、数据转发标识确定数据的来源信息。
可选地,数据生成节点410还用于:利用消息认证密钥生成消息认证码,将消息认证码发送给数据转发节点420;
数据转发节点420还用于:根据消息认证密钥对消息认证码进行验证,以确定数据未被修改。
可选地,消息认证码根据单向散列函数构造。
可选地,数据转发标识还包含数据标识类型、数据生成节点的ID、数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间和/或数据有效期;数据标识类型包括数据转发标识类型;
数据接收节点430还用于:根据数据标识码从区块链系统440获取包含数据标识码,且数据标识类型为数据转发标识类型的数据转发标识;利用数据签名验证公钥对数据转发标识中的数据转发签名进行验证,以确定数据由数据生成节点410生成及由数据转发节点420转发。
可选地,密钥根据椭圆曲线协同签名密钥生成,其中,密钥包括数据生成签名私钥、数据转发签名私钥以及数据签名验证公钥;将密钥分别存储至数据生成节点410、数据转发节点420以及数据接收节点430。
可选地,数据转发节点420还用于:根据数据加密密钥,利用分组对称算法对数据进行加密得到密文数据;其中,数据加密密钥由数据转发节点的隶属实体预先生成;
数据接收节点430还用于:根据数据解密密钥,利用分组对称算法对密文数据进行解密得到数据;其中,数据解密密钥由数据接收节点的隶属实体预先生成。
以上各模块的描述参照方法实施例中对应的描述,在此不再赘述。
本发明实施例还提供了一种非易失性计算机存储介质,计算机存储介质存储有至少一可执行指令,可执行指令可执行上述任意方法实施例中的基于区块链的跨域数据获取方法。
图5示出了根据本发明实施例的一种计算设备的结构示意图,本发明实施例的具体实施例并不对计算设备的具体实现做限定。
如图5所示,该计算设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其特征在于:
处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述基于区块链的跨域数据获取方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行上述任意方法实施例中的基于区块链的跨域数据获取方法。程序510中各步骤的具体实现可以参见上述基于区块链的跨域数据获取实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明实施例的内容,并且上面对特定语言所做的描述是为了披露本发明实施例的较佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明实施例并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其特征在于每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明实施例还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明实施例的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明实施例进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词包含不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词一或一个不排除存在多个这样的元件。本发明实施例可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (10)

1.一种基于区块链的跨域数据获取方法,其特征在于,所述方法执行于隶属同一实体的数据生成节点、数据转发节点和数据接收节点,其包括:
所述数据生成节点生成数据,并生成数据标识码以及利用数据生成签名私钥生成所述数据的数据生成签名;所述数据标识码用于标识所述数据;
所述数据生成节点将所述数据标识码、所述数据生成签名以及所述数据发送给所述数据转发节点;
所述数据转发节点对所述数据进行验证后,对所述数据进行加密得到密文数据,并生成数据转发标识;其中,所述数据转发标识包含所述数据标识码、所述数据生成签名以及数据转发签名;所述数据转发签名根据所述数据生成签名以及数据转发签名私钥生成;
所述数据转发节点将所述数据转发标识发送至区块链系统存储;
所述数据转发节点将所述数据标识码以及所述密文数据发送给所述数据接收节点;
所述数据接收节点根据所述数据标识码从所述区块链系统获取对应的所述数据转发标识进行验证后,对所述密文数据进行解密得到所述数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述数据生成节点生成数据生成标识;其中,所述数据生成标识包含数据标识码、数据生成签名、数据标识类型、所述数据生成节点的ID、所述数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间和/或数据有效期;所述数据标识类型包括数据生成标识类型;
所述数据生成节点将所述数据生成标识发送至区块链系统存储,以供根据所述数据生成标识、所述数据转发标识确定所述数据的来源信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述数据生成节点利用消息认证密钥生成消息认证码,将所述消息认证码发送给所述数据转发节点;
所述数据转发节点对所述数据进行验证具体为:所述数据转发节点根据所述消息认证密钥对所述消息认证码进行验证,以确定所述数据未被修改。
4.根据权利要求3所述的方法,其特征在于,所述消息认证码根据单向散列函数构造。
5.根据权利要求1所述的方法,其特征在于,所述数据转发标识还包含数据标识类型、所述数据生成节点的ID、所述数据转发节点的ID、数据摘要、数据所有者信息、数据长度、数据生成时间和/或数据有效期;所述数据标识类型包括数据转发标识类型;
所述数据接收节点根据所述数据标识码从所述区块链系统获取对应的所述数据转发标识,并进行验证具体为:
所述数据接收节点根据所述数据标识码从所述区块链系统获取包含所述数据标识码,且数据标识类型为数据转发标识类型的数据转发标识;
所述数据接收节点利用数据签名验证公钥对所述数据转发标识中的数据转发签名进行验证,以确定所述数据由所述数据生成节点生成及由所述数据转发节点转发。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据椭圆曲线协同签名密钥生成密钥,其中,所述密钥包括数据生成签名私钥、数据转发签名私钥以及数据签名验证公钥;
将所述密钥分别存储至所述数据生成节点、所述数据转发节点以及所述数据接收节点。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述数据转发节点对所述数据进行验证后,对所述数据进行加密得到密文数据具体为:所述数据转发节点根据数据加密密钥,利用分组对称算法对所述数据进行加密得到密文数据;其中,所述数据加密密钥由所述数据转发节点的隶属实体预先生成;
所述数据接收节点根据所述数据标识码从所述区块链系统获取对应的所述数据转发标识进行验证后,对所述密文数据进行解密得到所述数据具体为:所述数据接收节点根据数据解密密钥,利用分组对称算法对所述密文数据进行解密得到所述数据;其中,所述数据解密密钥由所述数据接收节点的隶属实体预先生成。
8.一种基于区块链的跨域数据获取系统,其特征在于,系统包括:隶属同一实体的数据生成节点、数据转发节点、数据接收节点,以及区块链系统;
所述数据生成节点用于:生成数据,并生成数据标识码以及利用数据生成签名私钥生成所述数据的数据生成签名;所述数据标识码用于标识所述数据;将所述数据标识码、所述数据生成签名以及所述数据发送给所述数据转发节点;
所述数据转发节点用于:接收所述数据标识码、所述数据生成签名以及所述数据后,对所述数据进行验证后,对所述数据进行加密得到密文数据,并生成数据转发标识;其中,所述数据转发标识包含所述数据标识码、所述数据生成签名以及数据转发签名;所述数据转发签名根据所述数据生成签名以及数据转发签名私钥生成;将所述数据转发标识发送至区块链系统存储;将所述数据标识码以及所述密文数据发送给所述数据接收节点;
所述数据接收节点用于:接收所述数据标识码以及所述密文数据后,根据所述数据标识码从所述区块链系统获取对应的所述数据转发标识进行验证后,对所述密文数据进行解密得到所述数据。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的基于区块链的跨域数据获取方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的基于区块链的跨域数据获取方法对应的操作。
CN202310147297.3A 2023-02-09 2023-02-09 基于区块链的跨域数据获取方法及系统 Pending CN118473686A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310147297.3A CN118473686A (zh) 2023-02-09 2023-02-09 基于区块链的跨域数据获取方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310147297.3A CN118473686A (zh) 2023-02-09 2023-02-09 基于区块链的跨域数据获取方法及系统

Publications (1)

Publication Number Publication Date
CN118473686A true CN118473686A (zh) 2024-08-09

Family

ID=92158116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310147297.3A Pending CN118473686A (zh) 2023-02-09 2023-02-09 基于区块链的跨域数据获取方法及系统

Country Status (1)

Country Link
CN (1) CN118473686A (zh)

Similar Documents

Publication Publication Date Title
US11323276B2 (en) Mutual authentication of confidential communication
US11108565B2 (en) Secure communications providing forward secrecy
US12225115B2 (en) Secure shared key establishment for peer to peer communications
JP7119040B2 (ja) データ伝送方法、装置およびシステム
JP6515246B2 (ja) 情報及び階層的で決定性の暗号化鍵のセキュアな交換のための共通秘密の決定
AU2006322124B2 (en) Key distribution for secure messaging
CN114730420A (zh) 用于生成签名的系统和方法
US20230188325A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
US20180091301A1 (en) Method and system for switching public keys in ciphertexts
JP5544627B2 (ja) 電子タグに適するデータセキュリティアクセス方法
KR20050037244A (ko) 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기
GB2603495A (en) Generating shared keys
US20200235915A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
JP2022545809A (ja) 暗号鍵生成のためのセキュアな環境
CN114866244A (zh) 基于密文分组链接加密的可控匿名认证方法、系统及装置
CN118473686A (zh) 基于区块链的跨域数据获取方法及系统
RU2771928C2 (ru) Безопасный обмен данными, обеспечивающий прямую секретность
Smart Certificates, key transport and key agreement
Nguyen et al. Multi-Document Signcryption Scheme Using RSA Cryptosystem, Merkle Hash Tree, and AES Block Cipher
CN120128384A (zh) 基于代理重加密且支持双边访问控制的数据安全共享方法
CN119232415A (zh) 匿名认证方法、第三方认证中心、用户节点及边缘服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination