(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111555639.2 (22)申请日 2021.12.17 (71)申请人 复旦大学 地址 200433 上海市杨 浦区邯郸路2 20号 (72)发明人 阚海斌　秦语晗　刘百祥　 (74)专利代理 机构 上海正旦专利代理有限公司 31200 代理人 陆飞　陆尤 (51)Int.Cl. H04L 67/1097(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) G06F 16/182(2019.01) (54)发明名称 基于区块链和属性密码学的数字档案管理 系统 (57)摘要 本发明公开了一种基于区块链和属性签密 的数字档案管理系统。 本发明数字档案管理系统 包括用户、 多联盟链、 IPFS分布式存储系统， 属性 签密工具； 用户完成对数字档案数据的整体管理 及操作； 通过服务器完成链间的数据交互； 多联 盟链， 调用智能合约系统， 包括数据链与监管链 上的智能合约系统， 数据链上根据数字档案文件 大小分别处理并对数字档案数据的摘要信息进 行存储， 监管链上对数据链间数据访问行为进行 存储； IPFS系统对数字档案原件内容进行存储； 属性签密工具对 数据进行签密及解签密。 本发明 可实现对数字档案数据的细粒化访问控制以及 对数字档案数据来源验证， 并能够确保数字档案 安全性、 隐私性， 确保有效防止信息泄 露。 权利要求书2页 说明书5页 附图3页 CN 114338717 A 2022.04.12 CN 114338717 A 1.一种基于区块链和属性签密的数字档案管理系统， 其特征在于， 包括四部分： IPFS分 布式系统， 区块链， 属性签密工具， 以及用户， 称为 “节点”； 其中： 所述IPFS分布式系统， 即星际文件系统， 是一个分布式文件管理系统； 在IPFS中， 用户 可以通过哈希值寻址到文件的存储位置， 进而实现对数据或文件本身的查阅； 用于完成对 数字档案原 始数据的存 储， 作为数字档案原件 存储平台； 所述区块链， 本质上是一个 “链式结构 ”的分布式公共账本， 以区块作为基本单位， 存储 相关的信息与记录； 通过联盟链多链结构， 使用数据链及监管链用于完成对数字档案摘要 及哈希地址的存储和具体的访问申请及访问记录追溯； 其中， 数据链作为关键信息包括摘 要等的存储平台， 监管链作为数据访问行为存储平台； 在申请所需数据后， 由监管链完成向 数据链的请求， 访问行为存 入监管链； 所述属性签密工具， 是通过属性签密算法， 完成一个步骤内的签名及加密； 用于完成对 于关键数据的签密上链， 以及关键数据的解签密； 通过属 性签密工具可以支持完成细粒度 访问控制及签名合法性验证； 使用时首先需要完成全局初始化及属 性授权中心初始化， 并 为用户生成密钥； 其中密钥根据属 性集合生成； 签密过程中， 根据访问控制策略完成签密， 生成对应签密密 文； 预解密过程中， 满足访问控制策略即可生成预解密参数； 解签密过程中 由预解密参数获得明文消息， 及签名认证； 所述用户， 作为节点具有自己的属性集合， 是数据的拥 有者也是数据的申请访问者， 完 成数字档案的上传与访问； 另外， 还有监管用户， 负责完成属性的相关授权以及管理存储等 工作； 并且， 监管用户还负责完成操作行为的审计工作。 2.根据权利要求1所述的数字档案管理系统， 其特征在于， 在属性签密工具的属性签密 方案中， 分为六个步骤： 全局初始化、 属性授权中心初始化、 用户密钥生成、 签密、 预解密以 及解签密； 属性签密方案的实现操作分为前端操作与后端实现部 分； 其中， 前端操作包括属 性申请、 密钥生成以及解签密， 后端实现包括属性授权、 全局初始 化、 属性授权中心初始 化、 用户密钥生成、 签密、 预解密以及解签密几个部分。 3.根据权利要求1所述的数字档案管理系统， 其特征在于， 从数字档案的存储、 使用角 度， 分为数字档案存 储模块、 数字档案共享模块以及数字档案人员模块； 其中： 数字档案存储模块涉及所述的IPFS系统以及区块链部分， 其中IPFS系统完成对数字档 案原始数据的存 储， 区块链技 术中的联盟链的数据链完成对关键内容签密后的上链； 数字档案共享模块涉及所述的区块链部分以及属性签密工具以及IPFS系统部分， 数字 档案共享的交互操作在数据链与监管链间进 行， 同时获得原始档案数据需要使用属性签密 工具来完成对关键内容的解签密， 完成签名合法性验证并获取IPFS中的哈希地址； 数字档案人员模块涉及所述的用户， 分为普通用户以及监管用户， 监管用户又包括普 通管理员及安全审计员， 各自负责不同的管理内容； 数字档案存储模块在存在数字档案新增时， 将数字档案存储到IPFS私有集群中， 并调 用属性签密工具将数字档案地址哈希签密上链； 数字档案共享模块在 存在数字档案访问请 求时， 调用监管链智能合约返回数据， 数据为签密密文， 支持解签密操作， 签名为数据提供 身份背书； 数字档案人员模块涉及系统人员划分， 人员模块给予其中用户全局唯一GID， 给 用户以申请属性 集合的权限。 4.根据权利要求1 ‑3之一所述的数字档案管理系统， 其特 征在于， 工作流 程为：权　利　要　求　书 1/2 页 2 CN 114338717 A 2(1)普通用户注 册后完成对 全局身份GID的申请， 完成属性申请， 获得属性私钥； (2)普通用户可以完成数字档案数据上传， 通过调用属性签密工具完成数字档案数据 的签密， 并将其上传至数据链； (3)普通用户可以完成数字档案数据的访问， 通过调用属性签密工具完成对满足自身 属性集合的签密密 文的解签密， 访问数据链上或IPFS系统中数字档案数据， 其中， 有签名认 证； (4)监管用户为 “三员”用户， 由权威机构担任， 其中， 普通管理员完成属性授权、 属性私 钥发放、 属性公钥存 储、 数字档案分级 脱敏关键 字及密钥管理 (5)安全审计管理员查看普通用户及系统管理员操作日志， 对操作行为进行审计。权　利　要　求　书 2/2 页 3 CN 114338717 A 3