基于双区块链的细粒度访问控制方法及系统技术方案

本发明专利技术公开了一种基于双区块链的细粒度访问控制方法及系统，方法包括：建立联盟链，将多个属性授权机构作为联盟链上的多个记帐节点，并进行系统初始化；各属性授权机构生成各自的公私钥对，并将各自的公钥发布至联盟链；数据拥有者将共享数据进行对称加密；数据拥有者将对称密钥进行加密，并将密钥密文连同与共享数据相关的元数据一起发布至以太坊，使用以太坊作为数据共享收费平台；数据访问者在以太坊中获取数据拥有者发布的元数据，使用以太坊付费后，向所需共享数据的属性集对应的属性授权机构发送数据访问请求；数据访问者利用得到的解密密钥对密钥密文进行解密，对数据密文进行解密访问。本发明专利技术具有较强的安全性、灵活性和较高的运行效率。

【技术实现步骤摘要】
基于双区块链的细粒度访问控制方法及系统
本专利技术涉及一种基于双区块链的细粒度访问控制方法及系统，属于数据安全技术和区块链

技术介绍
使用云存储技术的不同用户之间的数据流通和共享能够提高业务流程效率和促进业务发展，但传统的对称加密技术和公钥加密技术难以应对云存储中用户对数据的细粒度访问控制需求。如何进行数据共享中的细粒度访问控制从而实现安全高效且可控的数据共享是国内外研究人员研究的热门课题。区块链技术作为比特币、以太坊等数字加密货币的核心技术，近年来得到了各领域研究人员的广泛关注。区块链能够通过分布式节点的验证和共识机制解决去中心化系统节点间信任建立的问题，实现去中心化、分布式的信任建立机制。将区块链技术用于细粒度数据访问控制从而实现安全可控的数据共享，主要有以下优势：首先，区块链的开放共识特点能够满足访问策略的分布式动态更新需求，提高访问控制策略的灵活性和可扩展性；其次，区块链技术的去信任特点解决了传统访问控制方案中的信任问题，使数据共享的安全级别达到更高层次；然后，区块链技术中的智能合约能够辅助实现数据访问控制的可信自动化执行，判决过程效率更高；最后，区块链技术的不可篡改和可追溯性等特点使其事务数据永远存储在链上并无法被篡改，能够实现数据共享过程中的追踪管理，更有利于系统审计功能的实现，从而实现更为可信可控的数据共享。对于新技术条件下的访问控制所需的去中心、分布式、匿名化、轻量级、高效率和可审计追踪等更高要求，区块链技术具有的开放共识、去中心、去信任、匿名性、不可篡改、可追溯性等特点正好相符合，能够很好地解决传统模式下无法很好解决的问题。
技术实现思路
有鉴于此，本专利技术提供了一种基于双区块链的细粒度访问控制方法及系统，其将区块链技术与多中心可撤销密钥策略属性基加密方案相结合，形成的新型细粒度访问控制方案具有去中心化密钥授权管理、独立用户撤销和更新、部分用户撤销和更新、密钥身份可追踪、公钥数据不可篡改、共享数据完整性保证和密钥授权行为不可抵赖等功能，并利用了公有链中信息发布的广泛性和支付功能的可靠性，以及联盟链中成员管理的可控性和交易生成的高效性进行双链优势整合，使其具有较强的安全性、灵活性和较高的运行效率。本专利技术的第一个目的在于提供一种基于双区块链的细粒度访问控制方法。本专利技术的第二个目的在于提供一种基于双区块链的细粒度访问控制系统。本专利技术的第一个目的可以通过采取如下技术方案达到：一种基于双区块链的细粒度访问控制方法，所述方法包括：建立联盟链，将多个属性授权机构作为联盟链上的多个记帐节点，并进行系统初始化；各属性授权机构初始化，生成各属性授权机构的公私钥对，并将各属性授权机构的公钥发布至联盟链；数据拥有者将共享数据进行对称加密，得到数据密文，并将数据密文上传至云服务器中进行存储；数据拥有者将对称密钥进行加密，得到密钥密文，并将密钥密文连同与共享数据相关的元数据一起发布至以太坊，使用以太坊作为数据共享收费平台；数据访问者在以太坊中获取数据拥有者发布的元数据，使用以太坊付费后，向所需共享数据的属性集对应的属性授权机构发送数据访问请求，以使属性授权机构对付费交易进行验证，确认后对数据访问者进行解密密钥授权；数据访问者利用得到的解密密钥对密钥密文进行解密，对云服务器存储的数据密文进行解密访问。进一步的，所述方法还包括：当需要撤销解密密钥时，数据访问者向各属性授权机构发送解密密钥撤销请求，以使属性集满足数据访问者被撤销访问策略的属性授权机构进行解密密钥撤销操作，并将新公钥发布至联盟链；当需要更新解密密钥时，数据访问者向各属性授权机构发送解密密钥更新请求，以使属性集满足数据访问者被更新访问策略的属性授权机构进行解密密钥更新操作，并将新公钥发布至联盟链；数据拥有者定期读取联盟链上的新区块数据，使用属性授权机构的新公钥进行密文重加密，将重加密的密钥密文连同其他元数据一起打包发布至以太坊。进一步的，所述进行解密密钥撤销操作，具体为：调用多中心可撤销密钥策略属性基加密方案的解密密钥撤销算法进行解密密钥撤销操作；所述调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法进行解密密钥撤销操作，具体包括：根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk，AMKk)，计算新的用户密钥撤销参数，如下式：将数据访问者的参数删除；根据以上计算结果，得到撤销数据访问者后的公私钥对进一步的，所述进行解密密钥更新操作，具体为：先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法，再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法，得到更新后的公私钥对和数据访问者的解密密钥；所述先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法，再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法，得到更新后的公私钥对和数据访问者的解密密钥，具体包括：根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk，AMKk)，计算新的用户密钥撤销参数，如下式：将数据访问者的参数删除；根据以上计算结果，得到撤销后的属性授权机构的公私钥对更新用户密钥撤销参数：随机选取将数据访问者的全局IDu并入用户集Uk＝Uk∪u中，并计算下式：根据与数据访问者对应的访问策略Pk，按照线性秘密共享方案的计算方法得到属性授权机构k私钥αk的秘密分享值和数据访问者的全局IDu的秘密分享值其中，l表示秘密共享矩阵中的行，与属性授权机构k管理的属性相对应；计算解密密钥的组成部分：根据解密密钥的组成部分计算结果，得到由属性授权机构k授权的数据访问者的部分解密密钥为：将部分解密密钥发送给数据访问者，以组成数据访问者的解密密钥，如下式：进一步的，所述使用属性授权机构的新公钥进行密文重加密，具体包括：使用属性授权机构的新公钥计算密文第二部分并更新版本号，如下式：将原密钥密文CT重新加密，得到重新加密后的密钥密文，如下式：进一步的，所述各属性授权机构初始化，生成各自的公私钥对，具体为：各属性授权机构调用多中心可撤销密钥策略属性基加密方案的属性授权机构初始化算法进行各属性授权机构初始化，并生成各属性授权机构的公私钥对；所述调用多中心可撤销密钥策略属性基加密方案的属性授权机构初始化算法进行各属性授权机构初始化，并生成各属性授权机构的公私钥对，具体包括：随机选取设置初始用户集Uk＝{u0，u1}；其中，u0，u1从中随机选取，表示初始用户集里两个用户的全局ID；设置用户密钥撤销参数：随机选取并计算下式：生成各属性授权机构的公私钥对，如下式：其中，Verk是属性授权机构k的公钥版本号。本文档来自技高网...

【技术保护点】
1.一种基于双区块链的细粒度访问控制方法，其特征在于，所述方法包括：/n建立联盟链，将多个属性授权机构作为联盟链上的多个记帐节点，并进行系统初始化；/n各属性授权机构初始化，生成各属性授权机构的公私钥对，并将各属性授权机构的公钥发布至联盟链；/n数据拥有者将共享数据进行对称加密，得到数据密文，并将数据密文上传至云服务器中进行存储；/n数据拥有者将对称密钥进行加密，得到密钥密文，并将密钥密文连同与共享数据相关的元数据一起发布至以太坊，使用以太坊作为数据共享收费平台；/n数据访问者在以太坊中获取数据拥有者发布的元数据，使用以太坊付费后，向所需共享数据的属性集对应的属性授权机构发送数据访问请求，以使属性授权机构对付费交易进行验证，确认后对数据访问者进行解密密钥授权；/n数据访问者利用得到的解密密钥对密钥密文进行解密，对云服务器存储的数据密文进行解密访问。/n

【技术特征摘要】
1.一种基于双区块链的细粒度访问控制方法，其特征在于，所述方法包括：
建立联盟链，将多个属性授权机构作为联盟链上的多个记帐节点，并进行系统初始化；
各属性授权机构初始化，生成各属性授权机构的公私钥对，并将各属性授权机构的公钥发布至联盟链；
数据拥有者将共享数据进行对称加密，得到数据密文，并将数据密文上传至云服务器中进行存储；
数据拥有者将对称密钥进行加密，得到密钥密文，并将密钥密文连同与共享数据相关的元数据一起发布至以太坊，使用以太坊作为数据共享收费平台；
数据访问者在以太坊中获取数据拥有者发布的元数据，使用以太坊付费后，向所需共享数据的属性集对应的属性授权机构发送数据访问请求，以使属性授权机构对付费交易进行验证，确认后对数据访问者进行解密密钥授权；
数据访问者利用得到的解密密钥对密钥密文进行解密，对云服务器存储的数据密文进行解密访问。


2.根据权利要求1所述的细粒度访问控制方法，其特征在于，所述方法还包括：
当需要撤销解密密钥时，数据访问者向各属性授权机构发送解密密钥撤销请求，以使属性集满足数据访问者被撤销访问策略的属性授权机构进行解密密钥撤销操作，并将新公钥发布至联盟链；
当需要更新解密密钥时，数据访问者向各属性授权机构发送解密密钥更新请求，以使属性集满足数据访问者被更新访问策略的属性授权机构进行解密密钥更新操作，并将新公钥发布至联盟链；
数据拥有者定期读取联盟链上的新区块数据，使用属性授权机构的新公钥进行密文重加密，将重加密的密钥密文连同其他元数据一起打包发布至以太坊。


3.根据权利要求2所述的细粒度访问控制方法，其特征在于，所述进行解密密钥撤销操作，具体为：调用多中心可撤销密钥策略属性基加密方案的解密密钥撤销算法进行解密密钥撤销操作；
所述调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法进行解密密钥撤销操作，具体包括：
根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk，AMKk)，计算新的用户密钥撤销参数，如下式：









将数据访问者的参数删除；
根据以上计算结果，得到撤销数据访问者后的公私钥对(APKk*，AMKk*)。


4.根据权利要求2所述的细粒度访问控制方法，其特征在于，所述进行解密密钥更新操作，具体为：先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法，再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法，得到更新后的公私钥对和数据访问者的解密密钥；
所述先调用多中心可撤销密钥策略属性基加密方案的密钥撤销算法，再调用多中心可撤销密钥策略属性基加密方案的密钥授权算法，得到更新后的公私钥对和数据访问者的解密密钥，具体包括：
根据数据访问者的全局IDu和属性授权机构的公私钥对(APKk，AMKk)，计算新的用户密钥撤销参数，如下式：









将数据访问者的参数删除；
根据以上计算结果，得到撤销后的属性授权机构的公私钥对(APKk*，AMKk*)；
更新用户密钥撤销参数：随机选取将数据访问者的全局IDu并入用户集Uk＝Uk∪u中，并计算下式：









根据与数据访问者对应的访问策略Pk，按照线性秘密共享方案的计算方法得到属性授权机构k私钥αk的秘密分享值和数据访问者的全局IDu的秘密分享值其中，l表示秘密共享矩阵中的行，与属性授权机构k管理的属性相对应；
计算解密密钥的组成部分：
根据解密密钥的组成部分计算结果，得到由属性授权机构k授权的数据访问者的部分解密密钥为：



将部分解密密钥发送给数据访问者，以组成数据访问者的解密密钥，如下式：





5.根据权利要求2所述的细粒度访问控制方法，其特征在于，所述使用属性授权机构的新公钥进行密文重加密，具体包括：
使用属性授权机构的新公钥计算密文第二部分并更新版本号，如下式：






将原密钥密文CT重新加密，得到重新加密后的密钥密文，如下式：





6.根据权利...

【专利技术属性】
技术研发人员：肖媚燕，黄琼，苗莹，刘文博，
申请(专利权)人：华南农业大学，
类型：发明
国别省市：广东;44