[发明专利]基于区块链的对象存储系统可信存证与访问权限控制方法

权利要求书

1.基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，包括以下步骤：

步骤一、数据持有方将数据存储到自身的对象存储系统中，确定对象存储系统中所使用的存储桶以及文件id；

步骤二、数据持有方采用MD5算法对存储数据进行摘要计算得到文件摘要值，将文件的相关信息写入智能合约，数据持有方只能更新智能合约中自身公钥所对应的文件信息集合；

步骤三、数据请求方请求读取某文件，若数据持有方同意该请求方读取所请求的文件，则将该数据请求方公钥地址添加到对应文件在智能合约中存储的文件授权用户地址列表中并告知数据请求方已授权；

步骤四、数据请求方通过调用数据持有方的服务平台所提供的接口，发起文件下载请求；所述的请求参数包括原始请求内容raw、时间戳timestamp、公钥地址key和签名signature，其中：

raw为由目标文件的存储桶id和文件id两个字段组成的json格式的字符串；

timestamp为发起请求时的时间戳；

key为数据请求方的公钥；

signature为数据请求方使用自身私钥对raw+timestamp的哈希值所生成的签名，数据请求方生成的签名方式为：

signature＝sign(privateKey,hash(raw+timestamp)) (1)

其中privateKey为请求方私钥，hash为摘要算法，sign为非对称加密算法；

步骤五、数据持有方服务平台接口接收到请求后，对请求进行校验；若校验通过，则数据持有方生成文件的预下载链接返回给数据请求方，否则，拒绝该请求；校验包括以下步骤：

1)请求时间戳与当前时间相差超过两分钟，则拒绝该请求，否则执行下一步校验；

2)采用式(1)中所使用的摘要算法计算raw+timestamp的哈希值H,通过签名算法计算数据请求方公钥地址skey：

skey＝verify(H,signature) (2)

其中verify对应式(1)中所使用的非对称加密算法的签名验证算法，signature为请求参数中的签名；

若skey不等于key，则拒绝该请求，否则执行下一步校验；

3)通过调用智能合约，查询智能合约上数据持有方所拥有的文件中bucketid和fileid所指定的文件的授权用户地址列表是否存在值为key的数据，若不存在则拒绝该请求；

若上述校验过程均通过，则数据持有方生成文件的预下载链接返回给数据请求方；

步骤六、数据请求方下载请求的文件后，本地采用MD5算法计算该文件的MD5摘要值，然后调用智能合约读取区块链上存储的摘要值，对比与本地计算所得的文件的MD5摘要值是否一致，从而验证文件是否被篡改过。

2.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，步骤二所述的文件的相关信息包括文件名、文件拥有者公钥地址、文件MD5摘要值、存储桶id、文件id和文件授权用户地址列表。

3.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，智能合约上文件信息数据结构包含以下字段：

(一)owner文件拥有者的公钥地址；

(二)digest文件MD5摘要值；

(三)bucketId文件存储桶id；

(四)fileId文件id；

(五)filename文件名；

(六)receivers文件授权用户地址列表。

4.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，基于同一条区块链，每一方均兼具数据请求方和数据持有方，每一方均需要对外提供文件下载服务接口。

5.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，所述区块链支持智能合约。

6.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，不限定某一种类的底层区块链平台，底层区块链平台为以太坊、HyperledgerFabric或者Corda。

7.根据权利要求1所述的基于区块链的对象存储系统可信存证与访问权限控制方法，其特征在于，所述对象存储系统支持亚马逊S3。