一种基于散列链的离线数据防篡改系统技术方案

本发明专利技术涉及一种基于散列链的离线数据防篡改系统，属于检测离线用户篡改离线数据行为技术领域。本发明专利技术使用散列链技术实现对离线数据的记录与追溯，对离线数据防篡改提供了可靠安全的技术方案，为散列链技术开拓新的应用场景，具有重要的现实应用价值。具有重要的现实应用价值。具有重要的现实应用价值。

【技术实现步骤摘要】
一种基于散列链的离线数据防篡改系统


[0001]本专利技术属于检测离线用户篡改离线数据行为
，具体涉及一种基于散列链的离线数据防篡改系统。

技术介绍

[0002]数据共享服务是使科学数据价值得到实现的桥梁和媒介，良好的共享服务形式是科学数据价值充分发挥的必要条件。离线数据是数据共享服务中的重要一环，随着开放科学的持续发展，离线数据安全共享越发重要。然而，离线数据作为数字资产具有独特性：在离线模式下，用户脱离了数据共享平台的在线监管，其使用情况不受监督，数据持有者可在违背监管的情况下将数据用于不正当用途，严重制约了数据共享服务的生态发展。因此，数据共享服务平台为实现对离线数据的监督，可定时要求离线用户提交离线数据。在上述前提假设下，离线数据的防篡改成为数据共享服务体系的关键环节之一。
[0003]离线数据安全对促进数据共享具有重要意义，防篡改机制可为离线数据的交互与共享提供有力安全保障。数据的防篡改有多种方式，包括文件固化技术、哈希值校验技术、数字签名技术、可信时间戳技术、区块链技术等。现有防篡改技术主要应用于网页防篡改领域、区块链应用、文件完整性校验等领域。本专利技术在基于哈希值校验技术基础上使用散列链结合数字签名技术实现离线数据防篡改并满足离线数据动态更新需求。针对离线数据防篡改难题，本专利技术使用哈希值校验技术对离线数据的完整性及正确性进行校验。此外，为满足离线数据动态更新需求并实现离线数据实时记录，本专利技术使用散列链对离线数据进行记录。最后，为防止离线用户删减离线散列链节点哈希摘要，本专利技术使用数字签名技术对离线散列链节点进行加密。
[0004]散列链(hash chain)的思想最初由美国数学家Lamport提出，应用于各种网络安全环境，如认证系统、加密货币和各种区块链驱动系统。散列链具体实现是通过对数据资产进行多次散列运算，把每次散列运算的结果组成一个序列(W0
→
W1
→
W2
→……→
Wn
‑1→
Wn)，该序列即称为散列链。散列链的安全性依赖于单向散列函数的单向性，即从Wn
‑
1可推导Wn，但Wn
‑
1无法推导出Wn。由此可见，散列链适用于数据动态增长时的散列运算。

技术实现思路

[0005](一)要解决的技术问题
[0006]本专利技术要解决的技术问题是：为离线数据防篡改提供了可靠安全的技术方案。
[0007](二)技术方案
[0008]为了解决上述技术问题，本专利技术提供了一种基于散列链的离线数据防篡改系统，包括用户终端、云服务平台，将所述用户终端简称为用户；
[0009]所述用户向云服务平台发送请求，请求中包含用户身份唯一标识，云服务平台接收请求后，验证用户身份信息，用户身份信息验证通过后，针对该请求，生成与用户绑定的唯一的哈希值W0与SM2密钥对，安全存储SM2私钥，并备份哈希值W0，再向用户发放包含SM2
公钥和哈希值W0的加密程序；
[0010]用户离线生成数据D1，所述加密程序对哈希值W0与离线数据D1进行散列运算得到哈希值W1，加密程序完成散列运算后使用SM4和SM2混合加密算法对哈希值W0进行加密；用户后续离线每生成一份数据Di，即按照步骤S2，生成哈希值Wi并加密Wi
‑
1，最终，在生成长度为n的数据时，得到长度为n+1的离线散列链，其中，离线散列链节点Wi，i＝2,1,2,...,n+1被加密，尾节点Wn未加密；
[0011]用户上线提交离线数据与离线散列链，云服务平台接收到离线数据与离线散列链后，读取本地备份的哈希值W0，使用备份的哈希值W0与用户提交的离线数据进行多次散列运算得到散列链；
[0012]云服务平台将计算所得的散列链与用户提交的离线散列链进行哈希校验，若校验不通过，则判定离线的用户修改了离线数据；
[0013]云服务平台检测用户提交的离线散列链的尾节点是否未加密哈希值，若云服务平台检测该离线散列链不存在未加密的尾节点，则判定离线的用户删减了散列链；
[0014]云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，若检测到任意节点的加密次数大于1，则判定离线用户删除离线数据与离线散列链节点，并重新生成离线数据与离线散列链节点。
[0015]云服务平台发放的加密程序进行SM4和SM2混合算法加密离线散列链节点的具体流程如下：
[0016](1)离线的用户A随机生成SM4算法加解密的密钥；用户A从加密程序中获取云服务平台B发放的SM2公钥PublicKeyB；用户A用SM4密钥Key对明文Data进行SM4加密，得到密文块CipherData；用户A用云服务平台B的公钥PublicKeyB利用SM2算法加密密钥Key，得到密钥块CipherKey；用户A将密文块CipherData和密钥块CipherKey相加形成加密数据Cipher；
[0017](2)云服务平台B将数据Cipher分为密文块CipherData和密钥块CipherKey；云服务器B用SM2私钥PrivateKeyB对CipherKey进行SM2解密，得到SM4密钥Key；云服务器B用SM4密钥Key对密文块CipherData进行SM4解密得到明文Data。
[0018]优选地，所述用户身份唯一标识包括用户证书、个人信息。
[0019]云服务平台将计算所得的散列链与用户提交的离线散列链进行哈希校验，若校验不通过，则根据Hash函数的抗碰撞性，判定离线的用户修改了离线数据。
[0020]云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，检测到任意节点的加密次数大于1，判定离线的用户删减了散列链后，对该用户执行预设应对措施。
[0021]云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，检测到任意节点的加密次数大于1，判定离线的用户删减了散列链后，对该用户执行权限控制措施。
[0022]云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，检测到任意节点的加密次数大于1，判定离线用户删除离线数据与离线散列链节点中，重新生成离线数据与离线散列链节点后，对该用户执行预设应对措施。
[0023]云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，检测到任意节点的加密次数大于1，判定离线用户删除离线数据与离线散列链节点，重新生成
离线数据与离线散列链节点后，对该用户执行权限控制措施。
[0024]本专利技术还提供了一种所述的系统在检测离线用户篡改离线数据行为
中的应用。
[0025]本专利技术还提供了一种所述的系统在数据共享服务中的应用。
[0026](三)有益效果
[0027]本专利技术为实现离线数据防篡改，采用散列链技术和混合加密机制的对离线数据进行加密，使用散列函数对离线数据进行散列运算，依赖散列函数的单向性，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于散列链的离线数据防篡改系统，其特征在于，包括用户终端、云服务平台，将所述用户终端简称为用户；所述用户向云服务平台发送请求，请求中包含用户身份唯一标识，云服务平台接收请求后，验证用户身份信息，用户身份信息验证通过后，针对该请求，生成与用户绑定的唯一的哈希值W0与SM2密钥对，安全存储SM2私钥，并备份哈希值W0，再向用户发放包含SM2公钥和哈希值W0的加密程序；用户离线生成数据D1，所述加密程序对哈希值W0与离线数据D1进行散列运算得到哈希值W1，加密程序完成散列运算后使用SM4和SM2混合加密算法对哈希值W0进行加密；用户后续离线每生成一份数据Di，即按照同样的方式生成哈希值Wi并加密Wi
‑
1，最终，在生成长度为n的数据时，得到长度为n+1的离线散列链，其中，离线散列链节点Wi，i＝2,1,2,...,n+1被加密，尾节点Wn未加密；用户上线提交离线数据与离线散列链，云服务平台接收到离线数据与离线散列链后，读取本地备份的哈希值W0，使用备份的哈希值W0与用户提交的离线数据进行多次散列运算得到散列链；云服务平台将计算所得的散列链与用户提交的离线散列链进行哈希校验，若校验不通过，则判定离线的用户修改了离线数据；云服务平台检测用户提交的离线散列链的尾节点是否未加密哈希值，若云服务平台检测该离线散列链不存在未加密的尾节点，则判定离线的用户删减了散列链；云服务平台检测用户提交的离线散列链的每个节点的SM4和SM2混合加密次数，若检测到任意节点的加密次数大于1，则判定离线用户删除离线数据与离线散列链节点，并重新生成离线数据与离线散列链节点。2.如权利要求1所述的系统，其特征在于，云服务平台发放的加密程序进行SM4和SM2混合算法加密离线散列链节点的具体流程如下：(1)离线的用户A随机生成SM4算法加解密的密钥；用户A从加密程序中获取云服务平台B发放的SM2公钥PublicKeyB；用户A用SM4密钥Key对明文Data进行SM4加密，得到密文块CipherData；用户A用云服务平台B的公钥PublicKeyB利用SM2...

【专利技术属性】
技术研发人员：王成欢，孙鑫，陈晓东，秦天浩，黄家辉，马小乐，黄腾，范志超，周志昊，
申请(专利权)人：航天科工智能运筹与信息安全研究院武汉有限公司，
类型：发明
国别省市：