【技术实现步骤摘要】
基于双区块链的细粒度访问控制方法及系统
本专利技术涉及一种基于双区块链的细粒度访问控制方法及系统,属于数据安全技术和区块链
技术介绍
使用云存储技术的不同用户之间的数据流通和共享能够提高业务流程效率和促进业务发展,但传统的对称加密技术和公钥加密技术难以应对云存储中用户对数据的细粒度访问控制需求。如何进行数据共享中的细粒度访问控制从而实现安全高效且可控的数据共享是国内外研究人员研究的热门课题。区块链技术作为比特币、以太坊等数字加密货币的核心技术,近年来得到了各领域研究人员的广泛关注。区块链能够通过分布式节点的验证和共识机制解决去中心化系统节点间信任建立的问题,实现去中心化、分布式的信任建立机制。将区块链技术用于细粒度数据访问控制从而实现安全可控的数据共享,主要有以下优势:首先,区块链的开放共识特点能够满足访问策略的分布式动态更新需求,提高访问控制策略的灵活性和可扩展性;其次,区块链技术的去信任特点解决了传统访问控制方案中的信任问题,使数据共享的安全级别达到更高层次;然后,区块链技术中的智能合约能够辅助实现数据访问控制的可信自动化执行,判决过程效率更高;最后,区块链技术的不可篡改和可追溯性等特点使其事务数据永远存储在链上并无法被篡改,能够实现数据共享过程中的追踪管理,更有利于系统审计功能的实现,从而实现更为可信可控的数据共享。对于新技术条件下的访问控制所需的去中心、分布式、匿名化、轻量级、高效率和可审计追踪等更高要求,区块链技术具有的开放共识、去中心、去信任、匿名性、不可篡改、可追溯性等 ...
【技术保护点】
1.一种基于双区块链的细粒度访问控制方法,其特征在于,所述方法包括:/n建立联盟链,将多个属性授权机构作为联盟链上的多个记帐节点,并进行系统初始化;/n各属性授权机构初始化,生成各属性授权机构的公私钥对,并将各属性授权机构的公钥发布至联盟链;/n数据拥有者将共享数据进行对称加密,得到数据密文,并将数据密文上传至云服务器中进行存储;/n数据拥有者将对称密钥进行加密,得到密钥密文,并将密钥密文连同与共享数据相关的元数据一起发布至以太坊,使用以太坊作为数据共享收费平台;/n数据访问者在以太坊中获取数据拥有者发布的元数据,使用以太坊付费后,向所需共享数据的属性集对应的属性授权机构发送数据访问请求,以使属性授权机构对付费交易进行验证,确认后对数据访问者进行解密密钥授权;/n数据访问者利用得到的解密密钥对密钥密文进行解密,对云服务器存储的数据密文进行解密访问。/n
【技术特征摘要】
1.一种基于双区块链的细粒度访问控制方法,其特征在于,所述方法包括:
建立联盟链,将多个属性授权机构作为联盟链上的多个记帐节点,并进行系统初始化;
各属性授权机构初始化,生成各属性授权机构的公私钥对,并将各属性授权机构的公钥发布至联盟链;
数据拥有者将共享数据进行对称加密,得到数据密文,并将数据密文上传至云服务器中进行存储;
数据拥有者将对称密钥进行加密,得到密钥密文,并将密钥密文连同与共享数据相关的元数据一起发布至以太坊,使用以太坊作为数据共享收费平台;
数据访问者在以太坊中获取数据拥有者发布的元数据,使用以太坊付费后,向所需共享数据的属性集对应的属性授权机构发送数据访问请求,以使属性授权机构对付费交易进行验证,确认后对数据访问者进行解密密钥授权;
数据访问者利用得到的解密密钥对密钥密文进行解密,对云服务器存储的数据密文进行解密访问。
2.根据权利要求1所述的细粒度访问控制方法,其特征在于,所述方法还包括:
当需要撤销解密密钥时,数据访问者向各属性授权机构发送解密密钥撤销请求,以使属性集满足数据访问者被撤销访问策略的属性授权机构进行解密密钥撤销操作,并将新公钥发布至联盟链;
当需要更新解密密钥时,数据访问者向各属性授权机构发送解密密钥更新请求,以使属性集满足数据访问者被更新访问策略的属性授权机构进行解密密钥更新操作,并将新公钥发布至联盟链;
数据拥有者定期读取联盟链上的新区块数据,使用属性授权机构的新公钥进行密文重加密,将重加密的密钥密文连同其他元数据一起打包发布至以太坊。
3.根据权利要求2所述的细粒度访问控制方法,其特征在于,所述进行解密密钥撤销操作,具体为:调用多中心可撤销密钥策略属性基加密方案的解密密钥撤销算法进行解密密钥撤销操作;
所述调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法进行解密密钥撤销操作,具体包括:
根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk,AMKk),计算新的用户密钥撤销参数,如下式:
将数据访问者的参数删除;
根据以上计算结果,得到撤销数据访问者后的公私钥对(APKk*,AMKk*)。
4.根据权利要求2所述的细粒度访问控制方法,其特征在于,所述进行解密密钥更新操作,具体为:先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法,再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法,得到更新后的公私钥对和数据访问者的解密密钥;
所述先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法,再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法,得到更新后的公私钥对和数据访问者的解密密钥,具体包括:
根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk,AMKk),计算新的用户密钥撤销参数,如下式:
将数据访问者的参数删除;
根据以上计算结果,得到撤销后的属性授权机构的公私钥对(APKk*,AMKk*);
更新用户密钥撤销参数:随机选取将数据访问者的全局IDu并入用户集Uk=Uk∪u中,并计算下式:
根据与数据访问者对应的访问策略Pk,按照线性秘密共享方案的计算方法得到属性授权机构k私钥αk的秘密分享值和数据访问者的全局IDu的秘密分享值其中,l表示秘密共享矩阵中的行,与属性授权机构k管理的属性相对应;
计算解密密钥的组成部分:
根据解密密钥的组成部分计算结果,得到由属性授权机构k授权的数据访问者的部分解密密钥为:
将部分解密密钥发送给数据访问者,以组成数据访问者的解密密钥,如下式:
5.根据权利要求2所述的细粒度访问控制方法,其特征在于,所述使用属性授权机构的新公钥进行密文重加密,具体包括:
使用属性授权机构的新公钥计算密文第二部分并更新版本号,如下式:
将原密钥密文CT重新加密,得到重新加密后的密钥密文,如下式:
6.根据权利...
【专利技术属性】
技术研发人员:肖媚燕,黄琼,苗莹,刘文博,
申请(专利权)人:华南农业大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。