一种基于非对称加密的区块链隐私保护方法.docx

1、一种基于非对称加密的区块链隐私保护方法权 利 要 求 书1. 一种基于非对称加密的区块链隐私保护方法，其特征在于，包括：（1）通过引入授权操作集合来实现授权操作的创建与取消；（2）由数据存储方通过数据操作服务提供方对用户发起的数据操作进行验证并执行响应，该数据操作即用户为获取存储在区块链中的数据而进行的访问及增改；（3）由数据存储方对数据操作服务提供方发起的数据操作进行验证并执行响应，该数据操作即数据操作服务提供方在执行数据服务时需要调用用户可能授权的数据操作。2. 根据权利要求1所述的区块链隐私保护方法，其特征在于：所述步骤（1）的具体实现过程如下：1.1 通过非对称加密算法对用户、数据操作

2、服务提供方和数据存储方建立关于签名、公钥和私钥的身份验证信息，同时建立授权操作集合；1.2 当用户创建授权操作时，将新授权的数据操作添加至授权操作集合中，然后利用数据存储方的公钥对授权操作集合进行加密，并将加密后的授权操作集合同步至数据操作服务提供方；1.3 当用户取消授权操作时，将待取消的数据操作从授权操作集合中移除，然后利用数据存储方的公钥对授权操作集合进行加密，并将加密后的授权操作集合同步至数据操作服务提供方。3. 根据权利要求1所述的区块链隐私保护方法，其特征在于：所述步骤（2）的具体实现过程如下：2.1 用户利用数据存储方的公钥对相关数据操作进行加密，然后传送给数据操作服务提供方，数

3、据操作服务提供方将被加密的数据操作以及本地备份且经数据存储方公钥加密的授权操作集合进行打包，进而对得到的请求包签名后发送给数据存储方；2.2 数据存储方根据签名验证收到的请求包来源是否合法，若合法则利用自己的私钥对该请求包进行解密，并验证用户发起的数据操作是否具备权限，若具备权限则执行该数据操作并作出响应，然后利用用户的公钥对响应结果进行加密打包，进而对得到的结果包签名后返回给数据操作服务提供方；2.3 数据操作服务提供方根据签名验证收到的结果包来源是否合法，若合法则对该结果包签名后发送给用户，用户根据签名验证收到的结果包来源是否合法，若合法则利用自己的私钥对该结果包进行解密，获得数据操作的响

4、应结果。4. 根据权利要求1所述的区块链隐私保护方法，其特征在于：所述步骤（3）的具体实现过程如下：3.1 数据操作服务提供方利用数据存储方的公钥对相关数据操作进行加密，然后将被加密的数据操作以及本地备份且经数据存储方公钥加密的授权操作集合进行打包，进而对得到的请求包签名后发送给数据存储方；3.2 数据存储方根据签名验证收到的请求包来源是否合法，若合法则利用自己的私钥对该请求包进行解密，并验证数据操作服务提供方发起的数据操作是否具备权限，若具备权限则执行该数据操作并作出响应，然后利用数据操作服务提供方的公钥对响应结果进行加密打包，进而对得到的结果包签名后返回给数据操作服务提供方；3.3 数据操

5、作服务提供方根据签名验证收到的结果包来源是否合法，若合法则利用自己的私钥对该结果包进行解密，获得数据操作的响应结果。5. 根据权利要求3所述的区块链隐私保护方法，其特征在于：所述步骤2.2中，数据存储方验证用户发起的数据操作是否具备权限，即验证对应的数据操作是否归属于授权操作集合。6. 根据权利要求4所述的区块链隐私保护方法，其特征在于：所述步骤3.2中，数据存储方验证数据操作服务提供方发起的数据操作是否具备权限，即验证对应的数据操作是否归属于授权操作集合。说 明 书一种基于非对称加密的区块链隐私保护方法技术领域本发明属于互联网隐私保护技术领域，具体涉及一种基于非对称加密的区块链隐私保护方法。

6、背景技术随着比特币技术的兴起与应用的深入，作为底层支撑的核心技术，区块链技术引起业界的广泛关注。区块链是一种共享的分布式数据库，记录各方交易，增强透明度、安全性和效率。区块链技术以其去中心化、可信、透明、安全和效率等优势，产业界越来越多的部门开始探索区块链在其领域的应用和寻求有效解决方案。随着区块链技术逐渐成为分布式存储的重要策略，其应用模式将会迅速拓展，存储服务和访问服务的提供也将细化，可以预见，越来越多的第三方机构将以提供中间服务的方式加入到这个体系中。然而在目前的应用及研究中，用户通过服务器发送数据操作请求普遍被视为同一操作，其安全性完全依赖于网络通信的安全服务，鲜少有对提供数据操作服务

7、的第三方机构的不可信考量；故在第三方不可信机构提供数据操作服务场景下，亟需要有一种针对区块链的隐私保护措施。发明内容鉴于上述，本发明提供了一种基于非对称加密的区块链隐私保护方法，能够在数据操作服务由不可信的第三方机构提供时，建立高度灵活的用户授权数据访问模式。一种基于非对称加密的区块链隐私保护方法，包括：（1）通过引入授权操作集合来实现授权操作的创建与取消；（2）由数据存储方通过数据操作服务提供方对用户发起的数据操作进行验证并执行响应，该数据操作即用户为获取存储在区块链中的数据而进行的访问及增改；（3）由数据存储方对数据操作服务提供方发起的数据操作进行验证并执行响应，该数据操作即数据操作服务提

8、供方在执行数据服务时需要调用用户可能授权的数据操作。所述步骤（1）的具体实现过程如下：1.1 通过非对称加密算法对用户、数据操作服务提供方和数据存储方建立关于签名、公钥和私钥的身份验证信息，同时建立授权操作集合；1.2 当用户创建授权操作时，将新授权的数据操作添加至授权操作集合中，然后利用数据存储方的公钥对授权操作集合进行加密，并将加密后的授权操作集合同步至数据操作服务提供方；1.3 当用户取消授权操作时，将待取消的数据操作从授权操作集合中移除，然后利用数据存储方的公钥对授权操作集合进行加密，并将加密后的授权操作集合同步至数据操作服务提供方。由于数据操作服务提供方无法获得数据存储方的私钥，授权

9、操作集合对于数据存储方可以用私钥解密获得，而对数据操作服务提供方保密。所述步骤（2）的具体实现过程如下：2.1 用户利用数据存储方的公钥对相关数据操作进行加密，然后传送给数据操作服务提供方，数据操作服务提供方将被加密的数据操作以及本地备份且经数据存储方公钥加密的授权操作集合进行打包，进而对得到的请求包签名后发送给数据存储方；2.2 数据存储方根据签名验证收到的请求包来源是否合法，若合法则利用自己的私钥对该请求包进行解密，并验证用户发起的数据操作是否具备权限，若具备权限则执行该数据操作并作出响应，然后利用用户的公钥对响应结果进行加密打包，进而对得到的结果包签名后返回给数据操作服务提供方；2.3

10、数据操作服务提供方根据签名验证收到的结果包来源是否合法，若合法则对该结果包签名后发送给用户，用户根据签名验证收到的结果包来源是否合法，若合法则利用自己的私钥对该结果包进行解密，获得数据操作的响应结果。所述步骤（3）的具体实现过程如下：3.1 数据操作服务提供方利用数据存储方的公钥对相关数据操作进行加密，然后将被加密的数据操作以及本地备份且经数据存储方公钥加密的授权操作集合进行打包，进而对得到的请求包签名后发送给数据存储方；3.2 数据存储方根据签名验证收到的请求包来源是否合法，若合法则利用自己的私钥对该请求包进行解密，并验证数据操作服务提供方发起的数据操作是否具备权限，若具备权限则执行该数据操

11、作并作出响应，然后利用数据操作服务提供方的公钥对响应结果进行加密打包，进而对得到的结果包签名后返回给数据操作服务提供方；3.3 数据操作服务提供方根据签名验证收到的结果包来源是否合法，若合法则利用自己的私钥对该结果包进行解密，获得数据操作的响应结果。所述步骤2.2中，数据存储方验证用户发起的数据操作是否具备权限，即验证对应的数据操作是否归属于授权操作集合。所述步骤3.2中，数据存储方验证数据操作服务提供方发起的数据操作是否具备权限，即验证对应的数据操作是否归属于授权操作集合。本发明技术方案能够在第三方不可信机构提供数据操作服务场景下，实现数据操作请求的发送以及响应，提供了一种高度灵活的用户授权

12、数据访问模式。附图说明图1为用户发起的数据操作请求的验证与受理流程示意图。图2为数据操作服务提供方发起的数据操作请求的验证与受理流程示意图。具体实施方式为了更为具体地描述本发明，下面结合附图及具体实施方式对本发明的技术方案进行详细说明。本实施方式对于每一次加密流程，建立一个加密模块，加密模块涉及用户对象user、提供数据操作服务的不可信对象server以及数据存储对象blockchain，以实现server在访问user数据时的授权管理机制。本实施方式在数据操作服务由不可信的第三方机构提供时，建立高度灵活的用户授权数据访问模式，其具体执行步骤如下：（1）授权操作创建与取消。1-1. 通过非对称

13、的加密算法分别对user、server和blockchain生成其对应公钥和私钥(PK_u, SK_u, PK_s, SK_s,PK_bc, SK_bc)；其中公钥互相共享，私钥各自保密，定义集合policy为user的授权操作集合，Operation_add，Operation_delete为user准备授权或取消的一个或一组数据操作。1-2. 当user准备添加一组授权操作时，user在客户端将准备授权的数据操作Operation_add增加到授权操作集合policy中，用blockchain的公钥PK_bc对其加密，并将加密后的policy同步至server；由于server无法获得bl

14、ockchain的私钥SK_bc，policy对于blockchain可以用私钥SK_bc解密获得，而对server保密。1-3. 当user准备撤销一组授权操作时，user在客户端将准备撤销授权的数据操作Operation_delete从授权操作集合policy中删除，然后用blockchain的公钥PK_bc对policy加密，并将加密后的policy同步至server；policy对server保密而对blockchain可见的原理同步骤1-2。（2）数据操作服务的验证与受理。考虑到实际应用场景的多样性，数据操作服务的发起可分为用户发起和服务器自动发起。用户发起的数据操作服务即用户为获取

15、存储在区块链中的数据而进行的数据访问、增改请求；服务器自动发起的数据操作服务可以理解为服务器执行数据服务时需要调用用户可能授权的数据操作，如用户授权的基于位置信息的自动推荐服务执行过程中服务器自动向区块链发起位置数据访问请求。2-1. 用户发起的数据操作请求，如图1所示。2-1-1对于user发起的相关数据操作请求Operation_u，user用blockchain的公钥PK_bc对Operation_u加密并传送给server，server将被加密的Operation_u、备份在本地且经PK_bc加密的policy以及其他通信参数打包签名，发送给blockchain；server无法获得u

16、ser发起何种数据操作，从而防止恶意或好奇的server根据用户的数据操作请求反推policy。2-1-2blockchain根据签名验证数据包是否来自合法有效的server，然后用自己的私钥SK_bc对收到的请求包解密，验证Operation_u是否属于policy，若不属于，则返回操作被拒绝；若属于，则执行Operation_u操作，并将响应结果result(Operation_u)用user的公钥PK_u加密，并与其他通信参数一起打包签名，然后返回给server；server无法获得user的私钥SK_u，因此数据操作的结果仅user可进行解密，对server是保密的。2-1-3serv

17、er根据结果包的签名验证来源的合法性，然后将结果包和其他通信参数一起签名并返回给user，结果包中的result(Operation_u)仍处于用PK_u加密的状态；user通过签名验证结果包来源的合法性，然后用自己的私钥SK_u对收到的数据包解密，获得对应数据操作请求的结果。2-2. 数据操作服务提供方自动发起的数据操作请求，如图2所示。2-2-1对于server发起的相关数据操作请求Operation_s，将Operation_s用blockchain的公钥PK_bc加密，然后和备份在server端且用PK_bc加密的policy及其他通信参数一起进行打包签名，发送给blockchain；

18、由于这种应用场景，policy需要在步骤1-2和1-3中每次更新以后同步备份至server，以便server不需为了获取policy在每次自动发起数据操作请求与user通信。2-2-2blockchain根据签名验证请求来源的合法性，若合法，则用自己的私钥SK_bc解密获得Operation_s和policy，验证Operation_s是否属于policy，若不属于，则返回操作被拒绝；若属于，则执行Operation_s操作，并将响应结果result(Operation_s)用server的公钥PK_s加密，再将加密后的响应结果与其他通信参数一起打包签名，返回给server。2-2-3serv

19、er根据签名验证结果包来源的合法性，然后将收到的结果包用自己的私钥SK_s进行解密，获得操作结果result(Operation_s)，根据约定的操作规则，进行后续操作。上述对实施例的描述是为便于本技术领域的普通技术人员能理解和应用本发明。熟悉本领域技术的人员显然可以容易地对上述实施例做出各种修改，并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此，本发明不限于上述实施例，本领域技术人员根据本发明的揭示，对于本发明做出的改进和修改都应该在本发明的保护范围之内。说 明 书 摘 要本发明公开了一种基于非对称加密的区块链隐私保护方法，包括：（1）授权操作的创建与取消；（2）数据操作服务的验证与受理，数据操作服务的发起可分为用户发起和服务器自动发起。本发明技术方案能够在第三方不可信机构提供数据操作服务场景下，实现数据操作请求的发送以及响应，提供了一种高度灵活的用户授权数据访问模式。说 明 书 附 图图1图2摘 要 附 图