一种区块链和云存储环境下的数据安全共享方法和系统技术方案

本发明专利技术公开了一种区块链和云存储环境下的数据安全共享方法和系统，属于互联网安全领域。本发明专利技术直接采用智能合约对数据请求端进行身份验证，云服务器不参与任何阶段的权限认证，避免了恶意云的干扰，保证了基于属性的访问控制环境下，密钥生成与分发的安全性。本发明专利技术将用户的实际数据密文放在云服务器，将元数据信息放在区块链上，实际数据和元数据的分开，避免了区块链的臃肿，保持了数据格式的一致性，有利于存储和查询。数据拥有端把权限集中委托给智能合约，数据拥有端可以随时改变数据文件的访问控制策略，实现用户在上传数据后依然持有数据的管理控制权。本发明专利技术使用基于密文策略的属性加密方案，实现“一对多”细粒度访问控制。

【技术实现步骤摘要】
一种区块链和云存储环境下的数据安全共享方法和系统
本专利技术属于互联网安全
，更具体地，涉及一种区块链和云存储环境下的数据安全共享方法和系统。
技术介绍
随着互联网技术的不断发展，不同机构和组织间的信息交流逐渐增加，数据的共享程度与日俱增。与此同时，智能化使移动终端迅速成为许多互联网业务的关键入口，通过移动设备进行数据共享已成为社会发展的必然趋势。然而，移动终端受到电量、计算力和存储力等资源的限制，这也促使了云服务的产生。云服务的安全关系着大量用户数据隐私的安全，稍有不慎就会造成不可挽救的后果。当前市场的云服务或多或少存在一些问题，亟待构建更加安全可靠的数据共享系统。针对移动终端电量、计算力和存储力等资源的限制，当前移动终端用户倾向于将大量数据存放到企业云平台中以实现数据的实时访问和共享。但是当这些数据存储在云上之后，用户就失去了对云上数据访问控制权限的管理。在传统的访问控制管理中，云存储执行访问权限验证，并且引入了一个第三方机构来进行访问权限的管理以及相关密钥生成与分发的工作。但是，云被认为是“诚实但好奇的”，也就是半可信的，且本文档来自技高网...

【技术保护点】
1.一种区块链和云存储环境下的数据安全共享方法，其特征在于，该方法包括：初始化阶段、数据加密存储阶段、属性密钥获取阶段和数据访问阶段；/n所述初始化阶段的处理如下：/n(1)智能合约利用基于密文策略的属性加密方法，生成系统主密钥和系统公钥，数据拥有端本地生成用于加密文件的对称密钥；/n(2)智能合约将系统主密钥存储在区块链中，将系统公钥发送给数据拥有端；/n(3)数据拥有端将自身属性集上传至区块链中存储；/n所述数据加密存储阶段的处理如下：/n①数据拥有端使用对称密钥对明文数据进行加密，生成数据密文；/n②数据拥有端根据自身属性集指定对称密钥的访问控制策略，并使用访问控制策略和系统公钥，采用基...

【技术特征摘要】
1.一种区块链和云存储环境下的数据安全共享方法，其特征在于，该方法包括：初始化阶段、数据加密存储阶段、属性密钥获取阶段和数据访问阶段；
所述初始化阶段的处理如下：
(1)智能合约利用基于密文策略的属性加密方法，生成系统主密钥和系统公钥，数据拥有端本地生成用于加密文件的对称密钥；
(2)智能合约将系统主密钥存储在区块链中，将系统公钥发送给数据拥有端；
(3)数据拥有端将自身属性集上传至区块链中存储；
所述数据加密存储阶段的处理如下：
①数据拥有端使用对称密钥对明文数据进行加密，生成数据密文；
②数据拥有端根据自身属性集指定对称密钥的访问控制策略，并使用访问控制策略和系统公钥，采用基于属性基的加密方式对对称密钥进行加密，得到对称密钥密文；
③数据拥有端将数据密文和对称密钥密文打包成数据文件，并存储在云服务器上；
④云服务器接收到数据文件进行存储后，将数据文件存储地址返回给数据拥有端；
⑤通过智能合约，数据拥有端将数据文件存储地址及访问控制策略上传到区块链或者本地保存；
所述属性密钥获取阶段的处理如下：
a)数据请求端向智能合约发送属性密钥获取请求；
b)智能合约从区块链中获取访问控制策略，根据获取到的访问控制策略判断数据请求端是否有访问权限，若是，进入步骤c)，否则，智能合约拒绝数据请求端的获取属性密钥请求；
c)智能合约根据数据请求端的属性集和系统主密钥，生成属性密钥，并将属性密钥发送给数据请求端；
所述数据访问阶段的处理如下：
i)数据请求端向云服务器发送数据访问请求；
ii)云服务器将数据请求端身份信息发送至智能合约；
iii)智能合约从区块链中获取访问控制策略，根据获取到的访问控制策略，对数据请求端的身份进行访问权限验证，区块链记录数据请求端的身份信息、访问信息和验证结果，验证通过，进入步骤iv)，否则，进入步骤v)，
iv)云服务器将数据文件发送给数据请求端，数据请求端使用自己的属性密钥解密对称密钥密文，获得对称密钥，然后使用对称密钥解密数据密文，获得明文数据，结束数据访问；
v)智能合约通过云服务器向数据请求端传送数据访问请求失败信息。


2.如权利要求1所述的方法，其特征在于，该方法还包括：数据文件使用历史记录调查阶段，该阶段的处理如下：
1)数据拥有端向智能合约发起数据文件的使用历史记录调查请求；
2)针对发起调查的数据文件，智能合约对区块链进行访问记录搜索，查询得到该数据文件的数据请求端和请求时间；
3)根据数据文件的数据请求端和请求时间，判断该数据文件是否被泄露或者滥用，若是，通过智能合约向第三方申请问责程序。


3.如权利要求1或2所述的方法，其特征在于，初始化阶段，步骤(1)中，数据拥有端在本地调用对称密钥生成算法，生成用于加密文件的对称密钥。


4.如权利要求1至3任一项所述的方法，其特征在于，初始化阶段，系统主密钥和自身属性集通过以下方式存储在区块链：
以键值对的形式存储在联盟链HyperledgerFabric框架所提供的私有数据集中。


5.如权利要求1至4任一项所述的方法，其特征在于，所述自身属性集包括：用户注册系统时产生的特定身份信息以及用户自定义的属性信息。


6.如权利要求1至5任一项所述的方法，其特征在于，属性密钥的生成方式如下：
1)智能合约从区块链中获取数据请求端的属性集和系统主密钥；
2)智能合约使用CP-ABE算法中的属性密钥生成过程生成属性密钥...

【专利技术属性】
技术研发人员：李瑞轩，张瑜，李玉华，辜希武，李水祥，田纹龙，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：湖北;42