基于联盟链的电子数据存证方法及系统技术方案

本发明专利技术提供了一种基于联盟链的电子数据存证方法及系统，提出了基于分布式密钥生成协议的联盟链成员准入方法，底层联盟链不再依赖集中式CA节点，保证用户证书申请由用户独立完成，不需要第三方存证机构进行代理；提出了基于双密钥对机制和(t,n)门限加密算法的电子数据加解密方法，在确保用户所存证电子数据机密性的同时，保证司法机构可对电子数据真实性进行验证；提出了分散式的管理模式，避免了集中式管理模式带来的安全威胁。基于电子数据存证方法所实现的存证系统的系统架构，可分为用户层、应用层及数据层三层，包含注册登录、数据存证、数据核验、区块公示和个人中心五个模块。本发明专利技术能够保证电子数据存证安全可靠。

【技术实现步骤摘要】
基于联盟链的电子数据存证方法及系统
本专利技术涉及区块链
，尤其涉及一种基于联盟链的电子数据存证方法及系统。
技术介绍
随着信息技术的迅速发展，司法领域的证据种类不断进行扩充与完善。电子合约、电子票据、网页截图、电话录音等电子数据都已成为新型的电子证据材料，而普通电子数据具有易拷贝、易篡改、不易保存、证明力低等特点，所以通常不受司法认可。电子数据存证系统能够为电子数据的取证、存证及用证提供全链路服务，从而进一步提高了电子数据的公信力。现有的大多数存证系统依旧采用的是中心化的系统架构，时刻面临着系统崩溃、遭受攻击、人为篡改等固有风险，可能会发生数据丢失、数据泄露、数据篡改等严重的信息安全事故。区块链技术的分布式存储、不可篡改及可追溯等特性为电子数据存证提供了新的解决方案。部分司法机构联合第三方存证机构基于联盟链共同建立多中心的电子数据存证系统，从而保证了电子数据的完整性，避免了中心化系统架构带来的安全问题。由于电子数据保全的专业性，司法机构不得不引入第三方存证机构以寻求技术支持并将其作为合法的电子数据保全主体，所以存证系统的对外服务以及底层联盟链的部署与维护均由第三方存证机构所主导。但与此同时，在基于联盟链的存证系统中引入第三方存证机构将导致用户对系统产生根本性的信任问题。第三方存证机构可能引发的安全问题如下：1.第三方存证机构非法冒充平台用户创建存证。现有存证系统的使用过程中，用户注册登录并完成实名认证后，便可开始创建存证，而用于与底层联盟链交互的数字身份由第三方存证机构代替用户向证书颁发机构(CertificateAuthority,CA)申请。因此，用户数字身份的管理权与使用权完全由第三方存证机构掌握，第三方存证机构可随意冒充用户创建存证。由于签名具有不可抵赖性，平台用户极有可能因此而承担额外的法律责任。2.用户所存证电子数据的机密性无法得到保证。现有存证系统的使用过程中，第三方存证机构会将用户所提交的电子数据存储在其本地数据库中以供用户自身访问或司法机构调用，但第三方存证机构可能会泄露用户的电子数据以牟利，这将严重损害用户的权益。3.用户所存证电子数据的真实性无法得到保证。第三方存证机构进行存证前并不对电子数据的真实性作任何验证。联盟链仅仅能够确保数据上链后无法被篡改，但无法确定上链前是否真实可信，所以存证系统可能会存储大量无效的电子数据。此外，电子数据的时效性较强，若等到发生纠纷时再验证其真实性，成本过高，并且结果可能不准确。因此，现有的基于联盟链的电子数据存证系统解决了电子数据的完整性问题，但平台用户的权益以及电子数据的真实性没有得到有效保障。
技术实现思路
本专利技术旨在提供一种更安全的电子数据存证方案，以解决现有基于联盟链的存证系统所存在的不足。首先，用户证书的申请应由用户独立完成，而不需要第三方存证机构进行代理，并且底层联盟链不应依赖于集中式的CA节点。其次，电子数据在传输或存储过程中均需要进行加密处理，但同时需要保证司法机构能够进行解密并对有效性进行验证。最后，无论是用户证书的颁发还是电子数据的解密均需要采用分散式的方式来实现，从而避免集中式管理模式带来的安全威胁。为实现上述目的，本专利技术一方面提供了一种基于分布式密钥生成协议(DistributedKeyGenerationProtocol,DKGP)的联盟链成员准入方法，具体过程包括：所有司法节点生成自签名证书，并将其发送给其它司法节点；用户通过Web应用程序向系统发送一个包含其真实身份信息的证书请求；所有司法节点验证用户身份信息的真实性，若验证未通过，则向用户发送一条拒绝消息，请求结束，若验证通过，所有司法节点共同执行DKGP，协议结束后，每个司法节点会获得一个相同的公钥以及对应私钥的一个份额；任选一个司法节点对用户的身份、公钥等信息进行签名，并将生成的X.509证书发送给Web应用程序；所有司法节点将私钥份额及DKGP相关参数通过基于SSL或TLS协议的安全通道发送给Web应用程序；Web应用程序基于密钥份额和DKGP相关参数进行重构以获得完整的私钥，随后将证书及私钥存储到用户指定的本地目录中。其中，基于分布式密钥生成协议的密钥生成方法，具体过程包括：每个司法节点Pi(1≤i≤n)随机选择两个参数pi及qi，然后共同选定一个大素数P′>{n(3×2k-1)}2，k是期望的密钥长度。通过计算得到每个节点在这一步结束后共享一个多项式所有司法节点协同执行分布式测试，以确保N＝a×b，a,b是两个素数。若没有符合要求的a,b，则重复以上内容。若能确保N是两个素数的乘积，则每个司法节点Pi随机地选择两个整数βi∈[0,MN]与Ri∈[0,M2N]，M是足够大的正整数，以至于1/M的大小是可忽略的。所有司法节点计算并发布Δ＝n！。公钥PK＝(N,G,θ′)，其中G＝N+1。私钥另一方面，本专利技术提供了一种基于双密钥对机制和(t,n)门限加密算法的电子数据加解密方法，该方法既能够保证用户所存证电子数据的机密性，又能够保证司法机构可对电子数据的真实性进行验证，具体过程包括：用户请求入网时，所有司法节点连续执行两次DKGP以分别生成用于签名和加密的公私钥对，司法节点对加密用途私钥的份额进行备份；通过Web应用程序，用户使用加密用途的公钥对所需存证的电子数据进行加密，并使用签名用途的私钥对包含电子数据密文的事务请求进行签名后，将事务请求提交到系统；n个司法节点中的t个节点使用其备份的私钥份额共同解密电子数据密文，并对电子数据源数据的真实性进行验证；若验证未通过，则向用户发送一条失败消息，若验证通过，则将电子数据的哈希值以及数据名称、格式、大小等元数据进行上链固化。本专利技术与现有的基于联盟链的电子数据存证系统最大的不同在于采用了分散式的管理模式，因而具有更高的安全性，主要体现在如下两个方面：1.多个司法节点共同扮演着CA的角色，即使部分节点受到攻击，攻击者也不能轻易地把自己注册成合法用户，从而获得底层联盟链的访问权限。通过这种方法，有效地克服了集中式CA的脆弱性。2.借助于(t,n)门限加密算法，至少需要n个监管者中的t个监管者的私钥份额才能恢复原始数据。即使遭受攻击，只要攻击者掌控的司法节点数量不超过t个，用户的数据依旧是安全的。此外，多个司法节点还共同发挥着密钥管理中心的作用，有效地避免了因私钥丢失而造成的数据无法恢复的问题。附图说明图1为电子数据存证系统的系统架构图。图2为Fabric联盟链网络的节点结构图。图3为系统注册登录模块流程图。图4为系统实名认证和证书请求模块流程图。图5为系统创建存证模块流程图。图6为系统存证核验模块流程图。具体实施方式为使本领域技术人员更好地理解本说明书实施例中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行详细地描述。显本文档来自技高网...

【技术保护点】
1.基于联盟链的电子数据存证方法，其特征在于，包括：/n一种基于分布式密钥生成协议的联盟链成员准入方法；用户证书的申请由用户独立完成；/n一种基于双密钥对机制和(t，n)门限加密算法的电子数据加解密方法，n表示系统中司法节点总数，其中1＜n；t表示其中部分司法节点；其中1≤t≤n；电子数据在传输或存储过程中进行加密处理，司法机构能够进行解密并对有效性进行验证；/n无论是用户证书的颁发还是电子数据的解密均采用分散式的方式实现。/n

【技术特征摘要】
1.基于联盟链的电子数据存证方法，其特征在于，包括：
一种基于分布式密钥生成协议的联盟链成员准入方法；用户证书的申请由用户独立完成；
一种基于双密钥对机制和(t，n)门限加密算法的电子数据加解密方法，n表示系统中司法节点总数，其中1＜n；t表示其中部分司法节点；其中1≤t≤n；电子数据在传输或存储过程中进行加密处理，司法机构能够进行解密并对有效性进行验证；
无论是用户证书的颁发还是电子数据的解密均采用分散式的方式实现。


2.根据权利要求1所述的基于联盟链的电子数据存证方法，其特征在于：基于分布式密钥生成协议的联盟链成员准入方法，具体过程包括：
所有司法节点生成自签名证书，并将其发送给其它司法节点；
用户通过Web应用程序向系统发送一个包含其真实身份信息的证书请求；
所有司法节点验证用户身份信息的真实性，若验证未通过，则向用户发送一条拒绝消息，请求结束，若验证通过，所有司法节点共同执行分布式密钥生成协议，分布式密钥生成协议结束后，每个司法节点会获得一个相同的公钥(PublicKey，PK)以及对应私钥(SecretKey，SK)的一个份额；
任选一个司法节点对包含用户的身份、公钥信息进行签名，并将生成的证书发送给Web应用程序；
所有司法节点将私钥份额及DKGP相关参数通过基于安全套接字层(SecureSocketsLayer，SSL)或安全传输层(TransportLayerSecurity，TLS)协议的安全通道发送给Web应用程序；
Web应用程序基于密钥份额和DKGP相关参数进行重构以获得完整的私钥，随后将证书及私钥存储到用户指定的本地目录中。


3.根据权利要求1所述的基于联盟链的电子数据存证方法，其特征在于：基于分布式密钥生成协议的密钥生成方法，具体过程包括：
系统中共有n个司法节点，用Pi(1≤i≤n)表示，每个司法节点Pi随机选择两个参数，分别为pi和qi(piqi∈N*)；
然后n个司法节点共同选定一个素数P′，满足P′＞{n(3×2k-1)}2，k(1≤k)是期望的密钥长度；
通过BGW(M.Ben-Or，S.Goldwasser，andA.Wigderson)协议计算得到模数N和一个欧拉函数N是组成公钥的一个元素，是私钥计算的构成部分；mod是求余函数，
所有司法节点协同执行分布式测试，以确保模数N是两个素数的乘积，即N＝a×b，a、b是两个素数；
当能确保模数N是两个素数的乘积，则每个司法节点Pi随机地选择两个整数，分别用βi(1≤i≤n)和Ri(1≤i≤n)表示，其中βi∈[0，104N]，Ri∈[0，108N]；
所有司法节点发布一个多项式θ‘，θ‘是组成公钥的一个元素，通过BGW协议计算而得，
公钥PK＝(N，N+1，θ′)，私钥


4.根据权利要求1所述的基于联盟链的电子数据存证方法，其特征在于：基于双密钥对机制和(t，n)门限加密算法的电子数据加解密方法，具体过程包括：
用户请求入网时，所有司法节点连续执行两次DKGP以分别生成用于签名和加密的公私钥对，司法节点对加密用途私钥的份额进行备份；
通过Web应用程序，用户使用加密用途的公钥对所需存证的电子数据进行加密，并...

【专利技术属性】
技术研发人员：包振山，刘月，王凯旋，张文博，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11