本发明专利技术提供了一种用于区块链的非信任远程交易文件安全存储系统,包括:(1)客户端,加载加密模块,完成所有交易文件加密盒传送;(2)软件守护进程,截取所有的交易文件访问系统调用,并依次转换为可信任的;(3)吊销用户密钥模块,快速吊销用户的密钥;(4)明文保存模块,执行完整性检验;(5)时间戳模块,对新的交易文件加时间戳;(6)多交易文件备份模块,限制因为没有对底层交易文件系统改变无法抵抗DOS攻击的危害;(7)公钥发送模块,用于添加用户。采用本发明专利技术的文件安全存储系统,虽然比普通的文件安全存储系统开销要大,因此速度要慢,然而安全系数却大大提高。
【技术实现步骤摘要】
本专利技术涉及区块链的交易数据安全问题,特别是一种区块链的非信任远程交易文件安全存储系统。
技术介绍
2009年比特币的出现带来了一种颠覆性的成果--区块链技术,区块链是一个安全的帐簿类数据库,由一个个数据区块组成,使用者可以在这个不断更新升级的平台查找数据,对于金融机构来说,区块链能加快交易处理过程、降低成本、减少中间人、提高市场洞察力,增加业务透明度。计算和存储是计算机系统的两大基本任务,随着信息的爆炸性增长,存储部件会经历基于单服务器的直连存储,到基于局域网的集群网格存储,最后发展到基于广域网的数据网格,区块链技术是目前发展的最末端,这种数据存储介质的本征特质包括智能化的存储,存储服务质量可以保证为用户应用提供服务区分和性能保证,存储是面向对象的海量存储,以及网络存储必须保证是机密完整和安全的,现有的互联网还没有很好的或者方便的办法保证区块链传输过程中的数据和保存在存储设备上的数据的保密性、完整性、可用性、不可抵赖性以及整个网络存储系统的可靠性能,尤其是近年来区块链可信计算技术的产生,对网络存储安全又提出更高的要求。
技术实现思路
本专利技术的目的在于提供一种用于区块链的非信任远程交易文件安全存储系统,在这些不信任的网络文件系统上提供加密的读写访问,包括:(1)客户端,所述客户端上加载加密模块,所有的交易文件在被送到服务器端进行存储之前通过所述加密模块加密,传送交易文件可在所述客户端完成;(2)软件守护进程,用于截取所有的交易文件访问系统调用,并依次转换为可信任的交易文件访问请求;(3)吊销用户密钥模块,快速吊销用户的密钥,从原始交易数据文件中去除要吊销用户的密钥块,然后生成新的块加密密钥FEK并重新加密文件,用新的块加密密钥FEK更新剩下的每个用户的块加密密钥;(4)明文保存模块,使用该明文保存模块保存恢复文件系统所必需的明文一遍,以执行完整性检验,对所有的交易数据访问和控制信息进行加密;(5)时间戳模块,在一个用户指定的间隔,对新的交易文件加时间戳;(6)多交易文件备份模块,将交易文件备份到多个服务器上限制因为没有对底层交易文件系统改变无法抵抗DOS攻击的危害;(7)公钥发送模块,给文件拥有者发送自己的公钥以添加用户,新的读或者写用户,所述公钥用于对加密密钥进行加密,并且附加到交易文件的原始交易数据中,一旦新用户的密钥被附加到原始交易数据中,所述用户就可以访问所述交易文件。优选的,加密模块对交易文件加密的时候会为每个交易文件用户保存一个加密主密钥MEK和一个签名主密钥MSK,每个交易文件有唯一的对称加密密钥FEK和一个签名密钥FSK。优选的,对称加密密钥FEK会提供给所有的用户,而所述签名密钥FSK仅提供给拥有“写”权力的用户优选的,所有的交易文件被分成两个部分:原始交易数据文件source-file和交易数据文件d-file。优选的,原始交易数据文件source-file包括:交易文件拥有者的块加密主密钥MEK,用户的块加密密钥FEK,如果有写的权力,还会包含一个签名密钥FSK,还包括一个文件拥有者的签名主密钥MSK签过名的原始交易数据哈希值块,文件拥有者或者用户有一个密钥保存在一个文件的原始数据中,那么他就能解密这个文件。优选的,文件安全存储系统还使用新版本提示保证原则,确保用户所有的交易文件都是最新的版本以阻止重放攻击。优选的,文件安全存储系统可以使用任何符合传递协议的文件传递机制。优选的,吊销用户密钥模块采用积极策略吊销密钥,一个用户一旦被终止访问权,就不能通过新的交易文件保证来访问相应的交易文件了。采用该用于区块链的非信任远程交易文件安全存储系统,虽然比普通的文件安全存储系统开销要大,因此速度要慢,然而安全系数却大大提高。根据下文结合附图对本专利技术具体实施例的详细描述,本领域技术人员将会更加明了本专利技术的上述以及其他目的、优点和特征。附图说明后文将参照附图以示例性而非限制性的方式详细描述本专利技术的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解,这些附图未必是按比例绘制的。本专利技术的目标及特征考虑到如下结合附图的描述将更加明显,附图中:图1为根据本专利技术实施例的用于区块链的非信任远程交易文件安全存储系统结构示意图。具体实施方式在进行具体实施方式的说明之前,为了更为清楚的表达所论述的内容,首先定义一些非常重要的概念。交易:交易的实质是个关系数据结构,这个数据结构中包含交易参与者价值转移的相关信息。这些交易信息被称为记账总账簿。交易需经过三个创建、验证、写入区块链。交易必须经过数字签名,保证交易的合法性。区块:所有的交易信息存放于区块中,一条交易信息就是一条记录,作为一个独立的记录存放于区块链中。区块由区块头部和数据部分组成,区块头字段包含区块本身的各种特性,例如前一区块信息,merkle值及时间戳等。其中区块头哈希值和区块高度是标识区块最主要的两个指标。区块主标识符是它的加密哈希值,一个通过SHA算法对区块头进行二次哈希计算而得到的数字指纹。产生的32字节哈希值被称为区块哈希值,或者区块头哈希值,只有区块头被用于计算。区块哈希值可以唯一、明确地标识一个区块,并且任何节点通过简单地对区块头进行哈希计算都可以独立地获取该区块哈希值。区块链:由区块按照链式结构有序链接起来的数据结构。区块链就像一个垂直的堆栈,第一个区块作为栈底的首区块,随后每个区块都被放置在其他区块之上。当区块写入区块链后将永远不会改变,并且备份到其他的区块链服务器上。实施例:目前存在很多不信任的网络文件系统,例如网络文件系统NFS,网路文件贡献过系统CIFS等,参见图1,用于区块链的非信任远程交易文件安全存储系统在这些不信任的网络文件系统上提供加密的读写访问。系统使用一个软件守护进程截取所有的交易文件访问系统调用并依次转换为可信任的交易文件访问请求。利用这个概念,目前无需对区块链的硬件作任何的改动,就能建立一个安全的交易文件共享环境,并且没有明显改变现有网络存储系统的性能,对无力升级现有系统且现有系统安全性又非常有效的组织,如果使用区块链技术,该非信任远成交易文件安全存储系统是一个临时解决方案。该系统包括一个客户端,客户端上加载加密模块,所有的交易文件在被送到服务器端进行存储之前通过加密模块加密,所以无论是服务器或是服务器的管理员都不能接触明文,同样该客户端的交易数据处理负担较轻,从而传送交易文件的时候不必单独设置安全通道。加密模块对交易文件加密的时候会为每个交易文件用户保存一个加密主密钥MEK和一个签名主密钥MSK,每个交易文件有唯一的对称加密密钥FEK和一个签名密钥FSK,其中对称加密密钥FEK会提供给所有的用户,而签名密钥FSK仅提供给拥有“写”权力的用户。所有的交易文件由此被分成两个部分,原始交易数据文件source-file和交易数据文件d-file。原始交易数据文件source-file包括:交易文件拥有者的块加密主密钥MEK,用户的块加密密钥FEK,如果有写的权力,还会包含一个签名密钥FSK,另外还有一个文件拥有者的签名主密钥MSK签过名的原始交易数据哈希值块。如果文件拥有者或者用户有一个密钥保存在一个文件的原始数据中,那么他就能解密这个文件。还包括吊销用户密钥模块,从而使本文档来自技高网...
【技术保护点】
一种用于区块链的非信任远程交易文件安全存储系统,在这些不信任的网络文件系统上提供加密的读写访问,其特征在于包括:(1)客户端,所述客户端上加载加密模块,所有的交易文件在被送到服务器端进行存储之前通过所述加密模块加密,传送交易文件可在所述客户端完成;(2)软件守护进程,用于截取所有的交易文件访问系统调用,并依次转换为可信任的交易文件访问请求;(3)吊销用户密钥模块,快速吊销用户的密钥,从原始交易数据文件中去除要吊销用户的密钥块,然后生成新的块加密密钥FEK并重新加密文件,用新的块加密密钥FEK更新剩下的每个用户的块加密密钥;(4)明文保存模块,使用该明文保存模块保存恢复文件系统所必需的明文一遍,以执行完整性检验,对所有的交易数据访问和控制信息进行加密;(5)时间戳模块,在一个用户指定的间隔,对新的交易文件加时间戳;(6)多交易文件备份模块,将交易文件备份到多个服务器上限制因为没有对底层交易文件系统改变无法抵抗DOS攻击的危害;(7)公钥发送模块,给文件拥有者发送自己的公钥以添加用户,新的读或者写用户,所述公钥用于对加密密钥进行加密,并且附加到交易文件的原始交易数据中,一旦新用户的密钥被附加到原始交易数据中,所述用户就可以访问所述交易文件。...
【技术特征摘要】
1.一种用于区块链的非信任远程交易文件安全存储系统,在这些不信任的网络文件系统上提供加密的读写访问,其特征在于包括:(1)客户端,所述客户端上加载加密模块,所有的交易文件在被送到服务器端进行存储之前通过所述加密模块加密,传送交易文件可在所述客户端完成;(2)软件守护进程,用于截取所有的交易文件访问系统调用,并依次转换为可信任的交易文件访问请求;(3)吊销用户密钥模块,快速吊销用户的密钥,从原始交易数据文件中去除要吊销用户的密钥块,然后生成新的块加密密钥FEK并重新加密文件,用新的块加密密钥FEK更新剩下的每个用户的块加密密钥;(4)明文保存模块,使用该明文保存模块保存恢复文件系统所必需的明文一遍,以执行完整性检验,对所有的交易数据访问和控制信息进行加密;(5)时间戳模块,在一个用户指定的间隔,对新的交易文件加时间戳;(6)多交易文件备份模块,将交易文件备份到多个服务器上限制因为没有对底层交易文件系统改变无法抵抗DOS攻击的危害;(7)公钥发送模块,给文件拥有者发送自己的公钥以添加用户,新的读或者写用户,所述公钥用于对加密密钥进行加密,并且附加到交易文件的原始交易数据中,一旦新用户的密钥被附加到原始交易数据中,所述用户就可以访问所述交易文件。2.根据权利要求1所述的一种用于区块链的非信任远程交易文件安全存储系统,其特征在于:所述加密模块对交易文件加密的时候会为每个交易文件用户保存一个加密主密钥MEK和一个签名主密钥MSK,每个交易文件有唯一的对称加密密钥FEK和一个...
【专利技术属性】
技术研发人员:张丛,
申请(专利权)人:深圳市樊溪电子有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。