一种用于大数据量与组织间的数据共享系统以及方法与流程

1.本发明涉及数据加密技术领域，特别是一种用于大数据量与组织间的数据共享系统以及方法。


背景技术：

2.随着网络信息技术的快速发展，数据共享的效率和安全成了大家不得不面对的问题。
3.为了保证数据的安全性，大多数组织和用户采用了数字信封技术，通过接受者的公钥将传输信息进行加密传输，利用区块链数据不可篡改、可追溯的特性保证了数据的真实性，安全的将数据传输到接收者手中，接收者通过自己的私钥进行解密。但是随着技术的发展，数据量的需求变得越来越大，加密传输过大的数据会导致节点之间传输压力剧增，共识效率下降，出块时间过长等问题。
4.所以又有许多机构和用户选择了代理重加密这一项技术，将大量的数据加密后上传到云端服务器进行存储，将密文的密钥通过云服务器直接转化为目标用户可解密的文件，在此过程中云服务器得不到任何明文信息。但是，这个重加密的过程完全由云服务器完成，过程是可篡改并不可追溯的，数据不具备绝对真实性。而且在面对接受方为一个群体组织的时候，依然需要做多次加密和多次传输，实际业务上浪费了过多资源。
5.所以如何在保护用户信息安全和隐私的情况下，可信、高效的共享大数据且在面对一个群体组织时依然保证高效的特性就是当前数据共享迫切要解决的问题。


技术实现要素：

6.本发明的目的是为了解决上述问题，设计了一种用于大数据量与组织间的数据共享系统。
7.实现上述目的本发明的技术方案为，一种用于大数据量与组织间的数据共享系统，包括算法库、业务端、加密算法服务端、云存储加密存储服务、区块链；所述算法库包括：数据签名库、代理重加密库、群签名库，为业务端和加密算法服务端提供算法功能；所述业务端为模拟业务客户端，即实际业务中用户使用的服务；所述业务端持有的主要数据包括业务中要传输的业务数据、对称密钥、群成员私钥、链用户私钥、共享目标群代理用户；加密算法服务端:依赖算法库为业务端提供群管理和传输加密相关功能，主要功能包括用于管理群组织的、群成员管理、群签名验签、群代理用户管理、代理重加密、非对称解密；云存储加密存储服务:用于大数据量的加密存储，提供存储的同时返回存储的哈希值；区块链链上智能合约包括：为pki合约、群签名合约、代理重加密合约。
8.一种用于大数据量与组织间的数据共享系统的链上智能合约方法，包括以下步骤：pkimanager智能合约:creategroup创建链上群组，用于链上管理群和群代理用户的相关信息；updategpk更新群公钥，提供更新链上群公钥功能，主要应对群成员发生变化后，群公钥变更的情况；getproxypk获取代理用户公钥，根据群名称获取群代理用户公钥，用于链下功能使用；groupsigprecompiled群签名预编译合约；groupsigverify验证群签名，链上验证群签名方法；proxyreencryptprecompiled代理重加密预编译合约:proxyreencrpt重加密，链上代理重加密方法；datasharer数据共享合约:setciphertext设置密文，上传云存储地址功能；authorize授权，通过群签名验签验证身份后，进行代理重加密生成授权密钥；getciphertext获取密文，获取密文云存储地址和授权密钥。
9.一种基于群签名和代理重加密的区块链隐私加密保护方法，包括以下步骤：步骤一、群组初始化:群组a群主通过业务端调用加密算法服务创建群组groupa和群代理用户aa;加密算法服务根据信息生成链用户aa并调用链上pki智能合约管理groupa代理用户aa的公钥和groupa的对照关系;群组a成员通过业务端调用加密算法服务加入群组织;群组b参照群组a同样完成以上3个步骤;步骤二、加密信息共享：群组a成员本地业务端使用对称加密密钥key对要传输的明文m进行对称加密生成密文c1；群组a成员本地业务端上传共享数据密文c1到云存储ipfs上，得到存储地址；群组a成员本地业务端调用链上数据合约将云存储数据的存储地址上传到链上；群组a成员本地业务端调用加密算法服务器生成转加密基础报文c2和数据接受群组b的代理转加密授权密钥kaa-bb，其中转加密基础报文c2是由群组a群代理用户aa的链用户公钥pkaa和对称加密密钥key进行非对称加密生成，代理转加密授权密钥kaa-bb是由群组a群代理用户aa的链用户私钥skaa和目标群组b群代理用户bb的链用户公钥pkbb生成，pkbb由加密算法服务调用链上pki智能合约获取；群组a成员本地业务端调用链上数据合约实现链上转加密授权并关联链上云存储共享数据，其中链上会对合约调用者身份进行群签名验签，确认是groupa群组的成员后进行代理转加密，通过代理转加密授权密钥kaa-bb和转加密基础报文c2生成目标群组b代理用户链上授权密钥c3；群组b成员本地业务端调用链上数据合约获取链上授权密钥c3和云存储共享数据地址；
群组b成员本地业务端调用加密算法服务通过群组b代理用户的私钥skbb和链上授权密钥c3进行非对称解密获取对称加密密钥key；群组b成员本地业务端通过云存储共享数据地址获取共享数据密文c1；群组b成员本地业务端通过对称加密密钥key对共享数据密文c1进行对称解密，最终获取明文m。
10.利用本发明的技术方案制作的一种用于大数据量与组织间的数据共享系统，融合了区块链技术、智能合约技术、群签名技术、代理重加密技术、云端存储技术，是为了解决目前网络数据共享方案中的数据不安全、无法追溯、可被篡改、效率低、传输压力大、授权操作复杂等问题。
11.根据上述总体融合方案，综合使用群签名技术和代理重加密技术，解决面向群体对象的多次加密计算和多次授权的问题，并可以统一群组授权和单用户授权的管理模型，提出了一个群组在链上的群组代理用户概念，来避免群签名密钥体系与代理重加密在算法体系上的不兼容性。同时，这个角色是虚拟的，不是一个真正的用户，不能主动发起任何链上操作，所有链上操作都会由真实用户通过自身的数字签名以及群签名发起，可有效保持区块链可追溯等特性。群组代理用户的链公私钥和链用户信息以群组为组织单位在加密算法服务器管理，每一个群组都有归属于自己的加密算法服务器，保证群代理用户物理上隔离，保证数据传输的安全性。
12.根据上述群签名和代理重加密融合方案，综合使用群签名技术和智能合约技术，解决传统pki公钥基础设施的复杂性和中心化问题，可以去中心化的基于算法来管理自己关联的公钥，用户使用自己的数字签名和群签名，来授权管理群组、群组公钥、群组代理用户公钥在链上智能合约中的存储，进一步可以基于各身份的链账户来管理后续的数据共享等业务需求。
13.根据上述总体融合方案，综合使用区块链技术、数字信封技术、云存储技术，实现大数据量时的安全高效存储，降低网络传输需求，保证数据的不可篡改、不可否认、可溯源等要求，同时链上、云端存储和传输的数据都是加密的，有效的保护了数据隐私安全。
附图说明
14.图1是本发明所述一种用于大数据量与组织间的数据共享系统的结构示意图；图2是本发明所述一种用于大数据量与组织间的数据共享系统的基于群签名和代理重加密的区块链隐私保护方案实施示意图；图3是本发明所述一种用于大数据量与组织间的数据共享系统的基于群签名和代理重加密的区块链隐私保护方案智能合约关系。
具体实施方式
15.下面结合附图对本发明进行具体描述，如图1-3所示，一种用于大数据量与组织间的数据共享系统；在本实施方案中，方案服务结构（图1），确定链上链下服务结构和服务间角色关系；算法库:本发明链下的依赖基本算法库，库中包括“数据签名库”、“代理重加密
库”、“群签名库”，为业务端和加密算法服务端提供算法功能。
16.业务端:模拟业务客户端，即实际业务中用户使用的服务，业务端持有的主要数据包括业务中要传输的“业务数据”，用于传输对称加密的“对称密钥”，用于群身份标识和群签名验签的“群成员私钥”，用于区块链用户身份标识和发起区块合约调用即交易的“链用户私钥”，用于在链上获取传输数据目标群体的群代理公钥信息的“共享目标群代理用户”。
17.加密算法服务端:依赖算法库为业务端提供群管理和传输加密相关功能，主要功能包括用于管理群组织的“群成员管理”功能，用于验证群成员身份的“群签名验签”功能，用于建立和管理群在区块链上身份的“群代理用户管理”，同时维系一个群和群代理用户的关系，用于在服务端进行生成代理重加密密钥的“代理重加密”功能，用于解密获取明文对称加密密钥的“非对称解密”功能。
18.云存储加密存储服务:用于大数据量的加密存储，提供存储的同时返回存储的哈希值。本实施方式中采用了ipfs星际文件系统，实际实施中并不限于此种存储方案，广泛适用于各类云储存方案。
19.区块链链上智能合约:1、pki合约:用于管理群公钥和群代理用户公钥信息；2、群签名合约:用于群签名验签的功能性预编译合约；3、代理重加密合约:用于代理重加密的功能性预编译合约；2、总体实施步骤分为俩个大阶段（图2）；一种基于群签名和代理重加密的区块链隐私加密保护方法；步骤一：群组初始化；1、群组a群主通过业务端调用加密算法服务创建群组groupa和群代理用户aa ；2、加密算法服务根据信息生成链用户aa并调用链上pki智能合约管理groupa代理用户aa的公钥和groupa的对照关系；3、群组a成员通过业务端调用加密算法服务加入群组织；4、群组b参照群组a同样完成以上3个步骤；步骤二、加密信息共享；1、群组a成员本地业务端使用对称加密密钥key对要传输的明文m进行对称加密生成密文c1；2、群组a成员本地业务端上传共享数据密文c1到云存储ipfs上，得到存储地址；3、群组a成员本地业务端调用链上数据合约将云存储数据的存储地址上传到链上；4、群组a成员本地业务端调用加密算法服务器生成转加密基础报文c2和数据接受群组b的代理转加密授权密钥kaa-bb，其中转加密基础报文c2是由群组a群代理用户aa的链用户公钥pkaa和对称加密密钥key进行非对称加密生成，代理转加密授权密钥kaa-bb是由群组a群代理用户aa的链用户私钥skaa和目标群组b群代理用户bb的链用户公钥pkbb生成，pkbb由加密算法服务调用链上pki智能合约获取；5、群组a成员本地业务端调用链上数据合约实现链上转加密授权并关联链上云存储共享数据，其中链上会对合约调用者身份进行群签名验签，确认是groupa群组的成员后进行代理转加密，通过代理转加密授权密钥kaa-bb和转加密基础报文c2生成目标群组b代
理用户链上授权密钥c3；6、群组b成员本地业务端调用链上数据合约获取链上授权密钥c3和云存储共享数据地址；7、群组b成员本地业务端调用加密算法服务通过群组b代理用户的私钥skbb和链上授权密钥c3进行非对称解密获取对称加密密钥key；8、群组b成员本地业务端通过云存储共享数据地址获取共享数据密文c1；9、群组b成员本地业务端通过对称加密密钥key对共享数据密文c1进行对称解密，最终获取明文m；3、链上智能合约方法和关系如下（图3）；a、pkimanager智能合约:1、creategroup创建链上群组，用于链上管理群和群代理用户的相关信息；2、updategpk更新群公钥，提供更新链上群公钥功能，主要应对群成员发生变化后，群公钥变更的情况；3、getproxypk获取代理用户公钥，根据群名称获取群代理用户公钥，用于链下功能使用；b、groupsigprecompiled群签名预编译合约:1、groupsigverify验证群签名，链上验证群签名方法；c、proxyreencryptprecompiled代理重加密预编译合约:1、proxyreencrpt重加密，链上代理重加密方法；d、datasharer数据共享合约:1、setciphertext设置密文，上传云存储地址功能；2、authorize授权，通过群签名验签验证身份后，进行代理重加密生成授权密钥；3、getciphertext获取密文，获取密文云存储地址和授权密钥。
20.上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。