一种基于区块链的安全数据共享以及价值转移方法

1.本发明涉及区块链技术领域，更具体的，涉及一种基于区块链的安全数据共享以及价值转移方法。


背景技术：

2.在信息爆炸的时代，海量数据极大地推动了大数据技术的发展和创新。大数据的发展不仅为人们的生活提供了便利，也创造了极大的经济效益和社会效益。虽然我们从数据驱动的社会中收益，但数据安全和个人隐私泄露等问题也引发了广泛的担忧。数据只有经过流通才能发挥其最大的价值，但是由于目前的数据存储以及数据流通方式不能很好地保护用户隐私以及用户的数据主权，导致个人不愿意共享自己的数据，从而阻碍了数据的流通，使得大量的数据不能联合起来产生更大的价值。
3.传统的数据共享模型包括数据托管中心(dhc)和数据聚合中心(dac)。dhc模型中用户将自己的数据托管、上传和发布到dhc控制和维护的中央数据库，dhc负责与外部机构的数据交换和交易；dac模型中，中心通过api为数据拥有方之间提供数据交易服务，本身不存储用户数据，但是其会在数据共享过程中逐步累积数据，成为dhc。传统的数据共享方案如图1所示，需要依赖一个可信赖的第三方作为中介，从而实现数据的价值转移
4.这种数据共享模式下，用户完全失去了对于数据的自主控制权并且面临着隐私泄露的巨大风险。现有研究通过云计算、区块链等新型技术，试图解决以上问题。openpds是一种个人数据管理框架，它通过safeanswers模块保证了在数据共享时，针对请求回应的是根据相关数据所算出的结果，而不是返回数据本身，从而保证了个人信息的隐私性。但是攻击者可以通过大量设计好的请求所获取的结果分析出原始数据。
5.区块链这一概念最早由中本聪在2008年提出，区块链的本质是一个分布式的数据库，它具有去中心化、不可篡改、可溯源等特性，这使得区块链被广泛应用于加密货币、物联网、智慧城市、数据共享等多个领域。sia平台将区块链技术与点对点存储网络相结合，将上传的文件分割成多个文件段，并对每个段进行加密。文件密文通过智能合约发送给提供存储服务的节点。用户为存储服务支付siacoin，存储节点定期提交存储的文件证明，以防止存储节点删除存储的文件。该平台主要解决了个人数据存储在集中式服务器中所带来的单点问题以及信任问题，但是没有更进一步涉及到数据共享的实现。tsar平台结合区块链技术实现了一个去中心化的数据共享系统，用户将关于原始数据的描述信息——元数据发布到区块链中，具有数据需求的一方可以在链上搜索感兴趣的信息，并发起数据共享请求，数据拥有者可以对不同用户设置不同的权限以达到用户级别粒度的访问控制，但是该系统的权限只针对具体用户，而没有细化到具体的数据，因此一旦某个用户在访问控制列表中，他就可以发起获取所有数据的请求。
6.现有技术公开了一种基于区块链的多云cpabe访问控制方案，其包括加密过程与解密过程，其中加密过程包括生成数据密文ctf和密钥密文ctk、将数据密文ctf发送给云端、分割并隐藏访问策略树t、将访问策略树逻辑结构t
′
以及解密安全参数存入区块链、将
密文{y
′
，cy，c
′
y}存入各个子云等步骤；解密过程包括从云端获取数据密文ctf、分割用户属性集s得到属性子集{sci}、分割用户属性私钥sk得到属性私钥子集{skci}、每个子云解密与其上托管的属性x相关的密文信息得到中间节点信息dnx、区块链超级账本链码聚合各子云解密信息dnx计算中间解密结果m
′
、客户端解密得到最终密钥明文m和数据明文的步骤。
7.然而现有技术无法解决基于集中式服务器的数据共享方式依赖第三方，无法保障用户的数据主权以及数据隐私的问题，因此如何发明一种能够保障用户的数据主权以及数据隐私的安全数据共享以及价值转移方法，是本技术领域亟需解决的问题。


技术实现要素：

8.本发明为了解决现有技术集中式服务器的数据共享方式依赖第三方，无法保障用户的数据主权以及数据隐私的问题，提供了一种基于区块链的安全数据共享以及价值转移方法，且具有不依赖第三方，能够保障用户隐私的特点。
9.为实现上述本发明目的，采用的技术方案如下：
10.一种基于区块链的安全数据共享以及价值转移方法，包括以下步骤：
11.s1.将用户的原始数据存储于个人可信数据空间；
12.s2.收集原始数据的描述信息，并将原始数据的描述信息称为元数据；
13.s3.调用智能合约将用户提供的元数据上传到区块链网络；
14.s4.区块链网络通过共识机制将用户上传的元数据添加到区块链账本中；
15.s5.用户通过基于属性加密的制定访问控制策略；数据需求者根据访问控制策略进行数据共享交易。
16.优选的，所述的个人可信数据空间包括数据维；数据维包括源数据、值数据、标签数据；其中源数据是用户散落在网络中的个人数据，其数据类型包括结构化数据、半结构化数据、非结构化数据；值数据为经过对源数据进行etl处理后形成的格式统一的数据，且遵循个人可信数据空间的数据格式定义规范；标签数据为针对数据的属性形成描述的数据。
17.进一步的，所述的元数据包括原始数据的所有者、数据类型、数据发布时间、数据摘要、数据哈希、数据关键词。
18.更进一步的，通过共识机制将用户上传的元数据添加到区块链账本中，具体步骤为：
19.s201.当区块链网络中的一个节点接收到一个添加元数据到区块链账本中的交易请求后，该节点验证该交易的格式是否符合规范，若符合则进入下一步，若不符合，则丢弃该交易；
20.s202.该节点验证交易中的元数据是否符合元数据规范，若符合则进入下一步，若不符合，则丢弃该交易；
21.s203.将该交易添加到本地的缓存中，并且向附近的节点广播该交易；
22.s204.附近的挖矿节点通过计算出符合当前难度值的区块头哈希值，根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块；
23.s205.该挖矿节点将生成的新区块广播给其他节点，其他节点对该新区块进行验
证，若通过验证则将该新区块添加到区块链的最新区块中，完成本轮共识，形成全网一致的数据副本，若不通过则丢弃该新区块，不对本节点中存储的区块链账本做任何更改。
24.更进一步的，通过附近的挖矿节点计算出符合当前难度值的哈希值，根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块，具体步骤为：
25.a1.通过附近的挖矿节点打包本地交易缓存中的所有交易；
26.a2.结合元数据的哈希、时间戳、merkle root、随机数，生成区块头；
27.a3.计算区块头哈希值；
28.a4.验证区块头哈希值是否小于区块链网络中设定好的目标值，若不是则调整元数据的随机数，回到步骤a2，若是，则根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块。
29.更进一步的，用户通过基于属性加密的制定访问控制策略，数据需求者根据访问控制策略进行数据共享交易，具体步骤为：
30.s401.初始化算法为随机化算法，生成系统公钥pk、系统主密钥msk；
31.s402.用户在属性分发机构进行注册，并向属性分发机构发送用户证书请求；
32.s403.注册成功后，用户根据数据内容设计对应的访问控制策略，输入参数pk、数据的地址addr、访问策略相关联的访问控制结构，输出基于属性加密的密文；
33.s404.进行数据共享交易，数据需求者检索元数据链获取元数据的uid，数据需求者根据元数据的uid获取对应的经过属性加密的数据地址密文，并使用自己的属性私钥解密该密文，若数据需求者的属性满足访问控制策略，则输出数据在个人可信数据空间的存储地址，数据需求者根据该存储地址获得用户共享的原始数据。
34.更进一步的，用户在属性分发机构进行注册，具体步骤为：
35.b1.用户向属性分发机构发送用户证书请求，所述的用户证书请求包括用户的公钥apk以及用户的属性s；
36.b2.属性分发机构生成与属性对应的私钥sk，使用apk将sk加密后得到ctsk。
37.更进一步的，所述的访问控制策略可实时由用户更新并发布到区块链当中。
38.更进一步的，数据共享交易时，记录交易记录到区块链中，交易记录包括数据请求方、数据拥有者、数据uid、交易时间。
39.一种基于区块链的安全数据共享以及价值转移系统，包括可信数据空间模块、智能合约模块、区块链层、访问控制策略模块；所述的可信数据空间模块用于存储用户的原始数据；所述的区块链层包括元数据链和共享记录链，所述的元数据链用于存储和共享用户通过共识机制上传的元数据，所述的共享记录链用于存储用户和数据需求者的数据共享交易信息；智能合约模块，用于将提供的元数据上传到区块链网络；所述的访问控制策略模块基于属性加密的生成生成访问控制策略，并根据访问控制策略进行数据共享交易。
40.本发明的有益效果如下：
41.本发明介绍了一种基于区块链的安全数据共享以及价值转移方法，设计了区块链的数据结构，定义了元数据用于描述原始数据，元数据的大小远远小于原始数据，但是完整描述了原始数据的信息，大大降低了区块链节点的存储负担。本发明通过将用户的原始数据存储于个人可信数据空间，在上传信息时调用智能合约将用户提供的元数据上传到区块
链网络中，并通过共识机制将用户上传的元数据添加到区块链账本中，保证了在区块链中只包含原始数据的描述信息，同时，用户通过基于属性加密的制定访问控制策略，实现对数据实时且细粒度的访问控制，解决了有技术无法解决基于集中式服务器的数据共享方式依赖第三方，无法保障用户的数据主权以及数据隐私的问题，且具有不依赖第三方，能够保障用户隐私的特点。
附图说明
42.图1是传统数据共享方案示意图。
43.图2是本基于区块链的安全数据共享以及价值转移方法的流程示意图
44.图3是基于区块链的安全数据共享以及价值转移方法的数据共享系统示例图。
45.图4是本基于区块链的安全数据共享以及价值转移方法的区块链网络共识流程。
46.图5是本基于区块链的安全数据共享以及价值转移方法的基于属性的加密示例图。
47.图6是数据需求者请求数据流程图。
具体实施方式
48.下面结合附图和具体实施方式对本发明做详细描述。
49.实施例1
50.如图2所示，一种基于区块链的安全数据共享以及价值转移方法，包括以下步骤：
51.s1.将用户的原始数据存储于个人可信数据空间；
52.s2.收集原始数据的描述信息，并将原始数据的描述信息称为元数据；
53.s3.调用智能合约将用户提供的元数据上传到区块链网络；
54.s4.区块链网络通过共识机制将用户上传的元数据添加到区块链账本中；
55.s5.用户通过基于属性加密的制定访问控制策略；数据需求者根据访问控制策略进行数据共享交易。
56.实施例2
57.如图2所示，一种基于区块链的安全数据共享以及价值转移方法，包括以下步骤：
58.s1.将用户的原始数据存储于个人可信数据空间；
59.s2.收集原始数据的描述信息，并将原始数据的描述信息称为元数据；
60.s3.调用智能合约将用户提供的元数据上传到区块链网络；
61.s4.区块链网络通过共识机制将用户上传的元数据添加到区块链账本中；
62.s5.用户通过基于属性加密的制定访问控制策略；数据需求者根据访问控制策略进行数据共享交易。
63.在一个具体实施例中，所述的个人可信数据空间包括数据维；数据维包括源数据、值数据、标签数据；其中源数据是用户散落在网络中的个人数据，其数据类型包括结构化数据、半结构化数据、非结构化数据；值数据为经过对源数据进行etl处理后形成的格式统一的数据，且遵循个人可信数据空间的数据格式定义规范；标签数据为针对数据的属性形成描述的数据。
64.本实施例中，区块链层包括了元数据链以及共享记录链，本发明通过采用双链的
结构，将数据上传、查询与价值转移记录的溯源解耦，大大提升了区块链网络的吞吐量与服务的响应速度。
65.在一个具体实施例中，所述的元数据包括原始数据的所有者、数据类型、数据发布时间、数据摘要、数据哈希、数据关键词。
66.如图3所示，在一个具体实施例中，调用智能合约dataupload申请将数据上传到区块链网络中，区块链网络通过共识机制将用户上传的元数据添加到区块链账本中，具体步骤为：
67.s201.当区块链网络中的一个节点接收到一个添加元数据到区块链账本中的交易请求后，该节点验证该交易的格式是否符合规范，若符合则进入下一步，若不符合，则丢弃该交易；
68.s202.该节点验证交易中的元数据是否符合元数据规范，若符合则进入下一步，若不符合，则丢弃该交易；
69.s203.将该交易添加到本地的缓存中，并且向附近的节点广播该交易；
70.s204.附近的挖矿节点通过计算出符合当前难度值的区块头哈希值，根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块；
71.s205.该挖矿节点将生成的新区块广播给其他节点，其他节点对该新区块进行验证，若通过验证则将该新区块添加到区块链的最新区块中，完成本轮共识，形成全网一致的数据副本，若不通过则丢弃该新区块，不对本节点中存储的区块链账本做任何更改。
72.实施例3
73.如图2所示，一种基于区块链的安全数据共享以及价值转移方法，包括以下步骤：
74.s1.将用户的原始数据存储于个人可信数据空间；
75.s2.收集原始数据的描述信息，并将原始数据的描述信息称为元数据；
76.s3.调用智能合约将用户提供的元数据上传到区块链网络；
77.s4.区块链网络通过共识机制将用户上传的元数据添加到区块链账本中；
78.s5.用户通过基于属性加密的制定访问控制策略；数据需求者根据访问控制策略进行数据共享交易。
79.在一个具体实施例中，所述的个人可信数据空间包括据维、业务维、安全维；数据维包括源数据、值数据、标签数据；其中源数据是用户散落在网络中的个人数据，其数据类型包括结构化数据、半结构化数据、非结构化数据；值数据为经过对源数据进行etl处理后形成的格式统一的数据，且遵循个人可信数据空间的数据格式定义规范；标签数据为针对数据的属性形成描述的数据。
80.在一个具体实施例中，所述的元数据包括原始数据的所有者、数据类型、数据发布时间、数据摘要、数据哈希、数据关键词。
81.在一个具体实施例中，通过共识机制将用户上传的元数据添加到区块链账本中，具体步骤为：
82.s201.当区块链网络中的一个节点接收到一个添加元数据到区块链账本中的交易请求后，该节点验证该交易的格式是否符合规范，若符合则进入下一步，若不符合，则丢弃该交易；
83.s202.该节点验证交易中的元数据是否符合元数据规范，若符合则进入下一步，若不符合，则丢弃该交易；
84.s203.将该交易添加到本地的缓存中，并且向附近的节点广播该交易；
85.s204.附近的挖矿节点通过计算出符合当前难度值的区块头哈希值，根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块；
86.s205.该挖矿节点将生成的新区块广播给其他节点，其他节点对该新区块进行验证，若通过验证则将该新区块添加到区块链的最新区块中，完成本轮共识，形成全网一致的数据副本，若不通过则丢弃该新区块，不对本节点中存储的区块链账本做任何更改。
87.如图4所示在一个具体实施例中，通过附近的挖矿节点计算出符合当前难度值的哈希值，根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块，具体步骤为：
88.a1.通过附近的挖矿节点打包本地交易缓存中的所有交易；
89.a2.则结合前一个区块的哈希、时间戳、merkle root、随机数，生成区块头；
90.a3.计算区块头哈希值；
91.a4.验证区块头哈希值是否小于区块链网络中设定好的目标值，若不是则调整元数据的随机数，回到步骤a2，若是，则根据得到的区块头哈希值确定是否获得记账权，在确定获得记账权后，交易成功被添加到区块链中，生成新区块。本实施例中，调整随机数的方法由每个挖矿节点自己决定，一般来说挖矿节点会让随机数从0开始取值，然后每次 1。本实施例中，目标值为区块链网络中设定好的一个256bit的值，这个值的前n个bit都为0，如果计算出的区块头哈希值的前n个bit也都为0，表明区块头的哈希值小于目标值。
92.本实施例中，本发明利用基于属性加密的(abe)来保障用户能够对细化到某个具体文件的访问控制进行灵活地设置，abe与rsa、基于身份的加密(ibe)等传统的加密方式相比，其最大的优势在于实现了一对多的加解密，并且数据所有者可以通过设定不同的策略实现灵活的访问控制。
93.如图5所示，在一个具体实施例中，alice、bob、alex和alan都根据自己的属性集向属性授权机构申请了一对与其属性对应的公私钥对(pk
att
，sk
att
)，alice将某份待共享数据的访问策略设置为ac＝{(“计算机”and“云实验室”)and(“信息安全专业”or“研三”)}，接着使用该访问策略对数据明文进行加密得到ct
att
，由于bob、alex的属性符合该访问控制策略，因此他们能够通过自己的属性私钥对ct
att
进行解密得到数据明文，而alan的属性不符合访问控制策略，因此alan无法获得数据明文。
94.在一个具体实施例中，abe根据其策略和属性的匹配方式不同，可以分为密文策略abe(cp-abe)和密钥策略abe(kp-abe)，cp-abe的解密策略嵌入在密文中，符合策略的属性嵌入在密钥中，当数据请求者的属性能够满足策略时即可成功解密。kp-abe则相反，策略嵌入密钥中，属性集合嵌入密文中。
95.在一个具体实施例中，用户使用cp-abe来实现细粒度的访问控制，数据需求者根据访问控制策略进行数据共享交易，具体步骤为：
96.s401.初始化算法为随机化算法，生成系统公钥pk、系统主密钥msk；
97.s402.用户在属性分发机构进行注册，并通过本基于区块链的安全数据共享以及
价值转移用户向属性分发机构发送用户证书请求；
98.s403.注册成功后，用户根据数据内容设计对应的访问控制策略，输入参数pk、数据的地址addr、访问策略相关联的访问控制结构，输出基于属性加密的密文；
99.s404.如图6所示，进行数据共享交易，数据需求者检索元数据链获取元数据的uid，数据需求者根据元数据的uid获取对应的经过属性加密的数据地址密文，并使用自己的属性私钥解密该密文，若数据需求者的属性满足访问控制策略，则输出数据在个人可信数据空间的存储地址，数据需求者根据该存储地址获得用户共享的原始数据。
100.用户可以通过更新数据存储地址的访问控制策略来灵活地调整数据的可见性，共享记录链为侵权行为的仲裁提供了保障，使得用户不用担心自己的数据被用作其它用途。
101.在一个具体实施例中，用户在属性分发机构进行注册，具体步骤为：
102.b1.用户向属性分发机构发送用户证书请求，所述的用户证书请求包括用户的公钥apk以及用户的属性s；
103.b2.属性分发机构生成与属性对应的私钥sk，使用apk将sk加密后得到ctsk。
104.在一个具体实施例中，所述的访问控制策略可实时由用户更新并发布到区块链当中。
105.在一个具体实施例中，数据共享交易时，记录交易记录到区块链中，交易记录包括数据请求方、数据拥有者、数据uid、交易时间。
106.本发明介绍了一种基于区块链的安全数据共享以及价值转移方法，设计了区块链的数据结构，定义了元数据用于描述原始数据，元数据的大小远远小于原始数据，但是完整描述了原始数据的信息，大大降低了区块链节点的存储负担。本发明通过将用户的原始数据存储于个人可信数据空间，在上传信息时调用智能合约将用户提供的元数据上传到区块链网络中，并通过共识机制将用户上传的元数据添加到区块链账本中，保证了在区块链中只包含原始数据的描述信息，同时，用户通过基于属性加密的制定访问控制策略，实现对数据实时且细粒度的访问控制，解决了有技术无法解决基于集中式服务器的数据共享方式依赖第三方，无法保障用户的数据主权以及数据隐私的问题，且具有不依赖第三方，能够保障用户隐私的特点。
107.实施例4
108.一种基于区块链的安全数据共享以及价值转移系统，包括可信数据空间模块、智能合约模块、区块链层、访问控制策略模块；所述的可信数据空间模块用于存储用户的原始数据；所述的区块链层包括元数据链和共享记录链，所述的元数据链用于存储和共享用户通过共识机制上传的元数据，所述的共享记录链用于存储用户和数据需求者的数据共享交易信息；智能合约模块，用于将提供的元数据上传到区块链网络；所述的访问控制策略模块基于属性加密的生成生成访问控制策略，并根据访问控制策略进行数据共享交易；用户在可信数据空间模块储存原始数据后，将原始数据的元数据通过智能合约上传到共识网络中，通过访问控制策略模块使用基于属性加密的制定访问控制策略，后续数据需求者根据访问控制策略进行数据共享交易。
109.显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。