本发明涉及安全,特别是指一种算力网络节点的委托加密方法、系统、加密设备及介质。
背景技术:
1、随着数字经济和互联网技术的快速发展,算力网络已成为数字经济时代新的生产力。算力网络是将算力和网络深度融合的新型一体化服务基础设施,算力越强,处理数据的能力也就越强,能够得到的有用数据也就越大、越精准。算力网络能够将分布的计算节点连接起来,动态、实时地感知计算资源和网络资源状态,形成一张计算资源可感知、可分配、可调度的网络,从而满足新业务、新应用对算力的要求。
2、其中,算力网络的核心是数据处理,包括数据存储、计算等。作为算力网络主要用途之一的数据存储,支持用户将数据存储在远程算网节点上,以满足用户由于设备限制或访问便捷性对存储的需要。此外,通过在算网节点上存储数据,还可以实现在不同机构之间高效、便捷的共享数据。
3、目前,为了保护数据的隐私性,现有技术的部分方案采用委托加密的方式对数据进行加密。这些方案中,通常由数据提供者dp将数据发送给算网节点存储,并将加密密钥同步给算网节点和数据使用者,委托算网节点对数据进行加密存储,而数据使用者需要使用数据时,可以从算网节点获取加密数据并使用数据提供者dp同步的加密密钥对加密数据进行解密。
4、然而,若算网节点被攻破或者可信任度较低,那么仍存在较高的数据泄露风险,对用户造成了一定的安全隐患。
技术实现思路
1、本发明的目的是提供一种算力网络节点的委托加密方法、系统、加密设备及介质,解决了现有的委托加密方法存在数据泄露风险的问题。
2、为达到上述目的,本发明的实施例提供一种算力网络节点的委托加密方法,应用于算力网络的委托加密系统,所述委托加密系统包括:密钥管理节点、数据提供者节点、算网委托加密节点、算网节点以及数据使用者节点,所述方法包括:
3、所述密钥管理节点确定并公开系统参数;
4、所述数据提供者节点对待加密数据进行盲化处理,得到盲化数据,并将所述盲化数据发送至所述算网委托加密节点;
5、所述算网委托加密节点根据所述系统参数,对所述盲化数据进行加密处理,得到所述待加密数据对应的加密数据,并将所述加密数据发送至所述算网节点;
6、所述算网节点接收并存储所述加密数据;
7、所述数据使用者节点从所述算网节点中获取所述加密数据,并对所述加密数据进行解密,得到所述待加密数据。
8、可选地,所述系统参数包括加法循环群g1、乘法循环群g2、密钥管理节点的公钥ppub和哈希函数中的至少一项。
9、可选地,所述哈希函数包括以下至少一项:
10、第一哈希函数h1,表示将任意长度的二进制数据映射到g1;
11、第二哈希函数h2,表示将g2的数据映射到长度为n的二进制数据;
12、第三哈希函数h3,表示将长度为n的二进制数据映射到模为q的加法群;
13、第四哈希函数h4,表示将长度为n的二进制数据映射到长度为n的二进制数据;
14、第五哈希函数h5,表示表示将g1的数据映射到长度为n的二进制数据;
15、其中,n表示所述待加密数据的比特长度,q表示所述密钥管理节点根据预配置的安全参数k所生成的大素数,zq表示整数集合。
16、可选地,所述密钥管理节点确定系统参数,包括:
17、根据预配置的安全参数k,生成大素数q;
18、根据所述大素数q,确定q阶的所述加法循环群g1和所述乘法循环群g2;
19、根据所述加法循环群g1和所述乘法循环群g2,确定所述哈希函数;
20、从模为q的整数乘法群中,随机选择一个元素作为主密钥s,并根据所述主密钥s和所述加法循环群g1的生成元p,确定所述密钥管理节点的公钥ppub。
21、可选地,所述方法还包括:
22、所述密钥管理节点根据所述数据使用者节点的身份标识符iddun、所述第一哈希函数h1和所述主密钥s,生成所述数据使用者节点的私钥sdun;
23、通过安全通道,将所述私钥sdun发送至所述数据使用者节点。
24、可选地,所述方法还包括:
25、所述数据使用者节点接收所述密钥管理节点发送的所述数据使用者节点的私钥sdun;
26、从模为q的整数乘法群中,随机选择一个元素作为第一随机参数x;
27、根据所述第一随机参数x、所述第一哈希函数h1和所述数据使用者节点的身份标识符iddun,生成所述数据使用者节点的第一初始化参数x,以及,
28、根据所述第一随机参数x、所述第五哈希函数h5和所述私钥sdun,生成与所述第一初始化参数x相匹配的第二初始化参数x';
29、将所述第一初始化参数x和第二初始化参数x'作为所述数据使用者节点的初始化参数,并将所述初始化参数发送至所述密钥管理节点。
30、可选地,所述方法还包括:
31、所述密钥管理节点接收所述数据使用者节点发送的所述初始化参数;
32、对所述初始化参数进行有效性验证;
33、在所述初始化参数通过验证的情况下,公布所述数据使用者节点对应的公开信息,所述公开信息包括所述数据使用者节点的身份标识符iddun和所述第一初始化参数x。
34、可选地,所述数据提供者节点对待加密数据进行盲化处理,得到盲化数据,包括:
35、获取所述密钥管理节点公布的所述数据使用者节点的第一初始化参数x;
36、从模为q的整数乘法群中,随机选择一个元素作为第二随机参数y;
37、根据所述第二随机参数y、所述第一哈希函数h1和所述数据使用者节点的身份标识符iddun,确定盲化公钥y;
38、根据所述第二随机参数y、所述第五哈希函数h5和所述第一初始化参数x,对所述待加密数据进行盲化处理,得到盲化消息m′;
39、将盲化公钥y、所述盲化消息m′和所述第一初始化参数x确定为所述盲化数据。
40、可选地,所述算网委托加密节点根据所述系统参数,对所述盲化数据进行加密处理,得到所述待加密数据对应的加密数据,包括:
41、从模为q的整数乘法群中,随机选择一个元素作为第三随机参数α;
42、根据所述第三哈希函数h3、所述第三随机参数α和所述盲化消息m′,确定第一数据v;
43、根据所述第二哈希函数h2、所述密钥管理节点的公钥ppub和所述第一初始化参数x,确定第二数据w;
44、根据所述第四哈希函数h4、所述第三随机参数α和所述盲化消息m′,确定第三数据t;
45、将所述盲化公钥y、所述第一数据v、所述第二数据w和所述第三数据t确定为所述加密数据。
46、可选地,所述数据使用者节点从所述算网节点获取所述加密数据,并对所述加密数据进行解密,得到所述待加密数据,包括:
47、根据所述待加密数据的访问地址,从所述算网节点获取所述待加密数据对应的加密数据;
48、根据所述第一随机参数x、所述数据使用者节点的私钥sdun和所述第二哈希函数h2,对所述加密数据进行解密,获得盲化消息m′;
49、根据所述第一随机参数x和所述第五哈希函数h5,对所述盲化消息m′进行去盲化,获得所述待加密数据。
50、为达到上述目的,本发明的实施例提供一种算力网络节点的委托加密系统,包括:密钥管理节点、数据提供者节点、算网委托加密节点、算网节点以及数据使用者节点;
51、所述密钥管理节点用于确定并公开系统参数;
52、所述数据提供者节点用于对待加密数据进行盲化处理,得到盲化数据,并将所述盲化数据发送至所述算网委托加密节点;
53、所述算网委托加密节点用于根据所述系统参数,对所述盲化数据进行加密处理,得到所述待加密数据对应的加密数据,并将所述加密数据发送至所述算网节点;
54、所述算网节点用于接收并存储所述加密数据;
55、所述数据使用者节点用于从所述算网节点中获取所述加密数据,并对所述加密数据进行解密,得到所述待加密数据。
56、可选地,所述系统参数包括加法循环群g1、乘法循环群g2、密钥管理节点的公钥ppub和哈希函数中的至少一项。
57、可选地,所述哈希函数包括以下至少一项:
58、第一哈希函数h1,表示将任意长度的二进制数据映射到g1;
59、第二哈希函数h2,表示将g2的数据映射到长度为n的二进制数据;
60、第三哈希函数h3,表示将长度为n的二进制数据映射到模为q的加法群;
61、第四哈希函数h4,表示将长度为n的二进制数据映射到长度为n的二进制数据;
62、第五哈希函数h5,表示表示将g1的数据映射到长度为n的二进制数据;
63、其中,n表示所述待加密数据的比特长度,q表示所述密钥管理节点根据预配置的安全参数k所生成的大素数,zq表示整数集合。
64、可选地,所述密钥管理节点包括:
65、第一处理模块,用于根据预配置的安全参数k,生成大素数q;
66、第二处理模块,用于根据所述大素数q,确定q阶的所述加法循环群g1和所述乘法循环群g2;
67、第三处理模块,用于根据所述加法循环群g1和所述乘法循环群g2,确定所述哈希函数;
68、第四处理模块,用于从模为q的整数乘法群中,随机选择一个元素作为主密钥s,并根据所述主密钥s和所述加法循环群g1的生成元p,确定所述密钥管理节点的公钥ppub。
69、可选地,所述密钥管理节点包括:
70、第五处理模块,用于根据所述数据使用者节点的身份标识符iddun、所述第一哈希函数h1和所述主密钥s,生成所述数据使用者节点的私钥sdun;
71、第一发送模块,用于通过安全通道,将所述私钥sdun发送至所述数据使用者节点。
72、可选地,所述数据使用者节点包括:
73、第一接收模块,用于接收所述密钥管理节点发送的所述数据使用者节点的私钥sdun;
74、第六处理模块,用于从模为q的整数乘法群中,随机选择一个元素作为第一随机参数x;
75、第七处理模块,用于根据所述第一随机参数x、所述第一哈希函数h1和所述数据使用者节点的身份标识符iddun,生成所述数据使用者节点的第一初始化参数x,以及,
76、第八处理模块,用于根据所述第一随机参数x、所述第五哈希函数h5和所述私钥sdun,生成与所述第一初始化参数x相匹配的第二初始化参数x';
77、第二发送模块,用于将所述第一初始化参数x和第二初始化参数x'作为所述数据使用者节点的初始化参数,并将所述初始化参数发送至所述密钥管理节点。
78、可选地,所述密钥管理节点包括:
79、第二接收模块,用于接收所述数据使用者节点发送的所述初始化参数;
80、第一验证模块,用于对所述初始化参数进行有效性验证;
81、信息公布模块,用于在所述初始化参数通过验证的情况下,公布所述数据使用者节点对应的公开信息,所述公开信息包括所述数据使用者节点的身份标识符iddun和所述第一初始化参数x。
82、可选地,所述数据提供者节点包括:
83、参数获取模块,用于获取所述密钥管理节点公布的所述数据使用者节点的第一初始化参数x;
84、第九处理模块,用于从模为q的整数乘法群中,随机选择一个元素作为第二随机参数y;
85、第十处理模块,用于根据所述第二随机参数y、所述第一哈希函数h1和所述数据使用者节点的身份标识符iddun,确定盲化公钥y;
86、盲化处理模块,用于根据所述第二随机参数y、所述第五哈希函数h5和所述第一初始化参数x,对所述待加密数据进行盲化处理,得到盲化消息m′;
87、第十一处理模块,用于将盲化公钥y、所述盲化消息m′和所述第一初始化参数x确定为所述盲化数据。
88、可选地,所述算网委托加密节点包括:
89、第十二处理模块,用于从模为q的整数乘法群中,随机选择一个元素作为第三随机参数α;
90、第十三处理模块,用于根据所述第三哈希函数h3、所述第三随机参数α和所述盲化消息m′,确定第一数据v;
91、第十四处理模块,用于根据所述第二哈希函数h2、所述密钥管理节点的公钥ppub和所述第一初始化参数x,确定第二数据w;
92、第十五处理模块,用于根据所述第四哈希函数h4、所述第三随机参数α和所述盲化消息m′,确定第三数据t;
93、第十六处理模块,用于将所述盲化公钥y、所述第一数据v、所述第二数据w和所述第三数据t确定为所述加密数据。
94、可选地,所述数据使用者节点包括:
95、数据获取模块,用于根据所述待加密数据的访问地址,从所述算网节点获取所述待加密数据对应的加密数据;
96、第一解密模块,用于根据所述第一随机参数x、所述数据使用者节点的私钥sdun和所述第二哈希函数h2,对所述加密数据进行解密,获得盲化消息m′;
97、第二解密模块,用于根据所述第一随机参数x和所述第五哈希函数h5,对所述盲化消息m′进行去盲化,获得所述待加密数据。
98、为达到上述目的,本发明的实施例提供一种加密设备,包括收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行程序或指令时实现如上应用于委托加密系统的委托加密方法。
99、为达到上述目的,本发明的实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上应用于委托加密系统的委托加密方法中的步骤。
100、本发明的上述技术方案的有益效果如下:
101、本发明实施例的方法,由数据提供者节点对待加密数据进行盲化处理,得到盲化数据,并将盲化数据发送至算网委托加密节点,再由算网委托加密节点根据系统参数,对盲化数据进行加密处理,得到待加密数据对应的加密数据,并将加密数据发送至算网节点,然后由算网节点接收并存储加密数据,数据使用者节点从算网节点中获取加密数据,并对加密数据进行解密,可得到待加密数据,上述过程中,算网节点上存储是加密数据,可以避免算网节点获取敏感数据,从而避免因算网节点被攻破或者可信任度较低而导致的数据泄露问题。
1.一种算力网络节点的委托加密方法,其特征在于,应用于算力网络的委托加密系统,所述委托加密系统包括:密钥管理节点、数据提供者节点、算网委托加密节点、算网节点以及数据使用者节点,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述系统参数包括加法循环群g1、乘法循环群g2、密钥管理节点的公钥ppub和哈希函数中的至少一项。
3.根据权利要求2所述的方法,其特征在于,所述哈希函数包括以下至少一项:
4.根据权利要求3所述的方法,其特征在于,所述密钥管理节点确定系统参数,包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
8.根据权利要求3所述的方法,其特征在于,所述数据提供者节点对待加密数据进行盲化处理,得到盲化数据,包括:
9.根据权利要求8所述的方法,其特征在于,所述算网委托加密节点根据所述系统参数,对所述盲化数据进行加密处理,得到所述待加密数据对应的加密数据,包括:
10.根据权利要求6所述的方法,其特征在于,所述数据使用者节点从所述算网节点获取所述加密数据,并对所述加密数据进行解密,得到所述待加密数据,包括:
11.一种算力网络节点的委托加密系统,其特征在于,所述委托加密系统包括:密钥管理节点、数据提供者节点、算网委托加密节点、算网节点以及数据使用者节点;
12.一种加密设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1-10任一项所述的算力网络节点的委托加密方法。
13.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1-10任一项所述的算力网络节点的委托加密方法中的步骤。
