本发明专利技术提供了一种基于LSSS(线性秘密共享)和区块链的访问控制方法,其特征在于该方法用于在分布式存储的场景下满足用户对数据的访问控制和数据隐私性和完整性保护的需求。该方法包括数据所有者(DO)、数据访问者(DU)、可信的密钥分发中心(AC)、加密服务提供商(ESP)、解密服务提供商(DSP)和分布式存储系统(IPFS)。在LSSS方案中加入了版本号控制并利用智能合约设计出动静结合的访问控制方法。本发明专利技术通过结合LSSS和区块链技术,提供了一种安全可靠的访问控制方案,可以在分布式存储的场景下保护数据的隐私性和完整性,同时确保数据访问的合法性。问的合法性。问的合法性。
【技术实现步骤摘要】
一种基于LSSS和区块链的访问控制方法
[0001]本专利技术涉及一种基于LSSS和区块链的访问控制技术,具体涉及一种使用LSSS线性密钥和区块链智能合约相结合的访问控制方法,属于信息安全领域。
技术介绍
[0002]近年来,随着互联网和移动互联网的普及,数字资源在线交互越来越频繁,保护数字资源的隐私和安全显得尤为重要。密文访问控制作为一种重要的信息安全技术,其主要目的是通过加密数据来保护数字资源的隐私,并通过控制用户的解密能力来限制对数据的访问,防止未经授权的访问。目前已有的密文访问控制方法主要包括属性基密码(ABE)、身份基密码(IBE)和角色基密码(RBE)等。其中,属性基密码(CP
‑
ABE)是目前应用较为广泛的一种密文访问控制技术。CP
‑
ABE作为密文访问控制技术,自从提出以来就被广泛研究和应用。其基于对用户属性的加密,能够更细粒度地控制用户的访问权限,并且更好地保护了用户隐私。LSSS作为一种线性秘密共享技术是由CP
‑
ABE方案进行改进,具有较好的秘密分享性能和灵活性,它最初由Lewko,Waters于2011年提出。LSSS线性秘密共享方案与CP
‑
ABE方案相比,具有一些优势。首先,LSSS方案的安全性更高。它的安全性主要基于线性代数理论,而不是对称密钥密码学,因此具有更高的安全性。其次,LSSS方案具有更好的性能。它没有像CP
‑
ABE方案那样需要进行大量的密钥交换和管理,因此具有更好的性能。另外,LSSS方案更加灵活,可以根据需求动态的调整权限,而CP
‑
ABE方案需要重新发放新的密钥,更加麻烦。CP
‑
ABE在信息安全领域中已经被广泛应用,如数据隐私保护、多方认证等。然而,CP
‑
ABE存在一些问题,如访问控制策略的管理和维护困难、密钥管理复杂等,由于很多研究是基于云存储等机构的中心化管理,存在着单点故障和可信第三方的问题。
[0003]区块链技术兴起后,区块链与访问控制相结合成为了研究热点。区块链技术具有分布式、交易透明、上链信息难以篡改等特点,且无需第三方背书,与访问控制系统的需求不谋而合。因此,基于区块链的访问控制方案在研究中越来越受关注。其中,基于智能合约的访问控制方案是比较常见的一种,利用智能合约和区块链的可信任性以及智能合约的图灵完备性,将访问控制策略转化为相关的代码存储到区块链上。
[0004]结合区块链技术的LSSS方案,可以利用区块链的去中心化特性,增强LSSS方案的安全性和可信性,并且可以更好地管理和控制分发和维护秘密共享的过程。在区块链上存储秘密共享信息,可以增强对秘密共享信息的完整性和审计性。此外,使用智能合约可以实现自动化的秘密共享管理和控制,使得运行更加高效和简便。结合区块链技术的LSSS方案还可以支持多组织的秘密共享协作,提高系统的可扩展性和可用性。这些优势使得结合区块链技术的LSSS方案在访问控制领域有着巨大的潜力。本专利技术就是在此背景下提出的。
技术实现思路
[0005]本专利技术所要解决的技术问题是提出了基于区块链和线性秘密共享的安全可靠的访问控制方案,用于在分布式存储的场景下满足用户对数据的访问控制和数据隐私性和完
整性保护的需求。
[0006]本专利技术的方案的系统的参与者主要包括如下实体:
[0007]1)数据所有者DO:访问控制系统中数据的所有者,主要负责上传数据到IPFS系统、为数据访问者DU制定访问控制策略、创建和部署智能合约、给用户分配属性集合、为用户生成私钥、为用户添加有效的访问周期以及对用户的违规进行检查等;
[0008]2)数据访问者DU:访问控制系统中数据的访问者,只有其访问周期未过期、不在作恶名单中并且属性符合访问的文件制定的访问策略时,才可以对得到的密文文件进行正确的解密得到文件的内容;
[0009]3)可信的密钥分发中心AC:AC是可信的密钥分发中心,主要负责为系统生成公钥和主密钥并且为文件生成加密密钥对;
[0010]4)加密服务提供商ESP:加密服务提供商主要负责帮助数据所有者DO提供文件的加密服务;
[0011]5)解密服务提供商DSP:解密服务提供商主要负责帮助数据访问者DU提供文件的解密服务;
[0012]6)IPFS文件系统:相对于云存储等集中式存储,IPFS文件系统提供了分布式的存储系统,负责存储数据所有者DO上传的加密文件的密文以及加密文件使用的密钥的密文,并返回密文保存在IPFS上的唯一的路径地址,用来确保数据的完整性;
[0013]7)以太坊区块链:此区块链用于部署智能合约,智能合约为数据的存储和获取提供了接口,对数据所有者上传的文件需要的属性信息、用户的属性信息以及用户的行为信息进行存储。本方案的访问控制系统由于引入了智能合约,可以有效的帮助信息进行追溯,防止信息被篡改;
[0014]本专利技术的方案的系统模块主要包括系统可以分为五个模块,分别为属性注册模块、密钥生成模块、策略管理模块、数据传输模块和密文解密模块。属性注册模块主要包括描述用户属性和在智能合约中发布属性集合;密钥生成模块主要包括生成用户私钥、利用对称加密算法对文件进行加密以及利用Diffie
‑
Hellman协议交换密钥;策略管理模块主要包括为用户制定访问策略以及访问时间,并且管理用户的违规情况;数据传输模块主要包括将文件上传到IPFS,并与智能合约完成上链交互;密文解密模块主要包括解密文件。
[0015]本专利技术采用的方案的工作流程主要包括如下步骤:
[0016]步骤1、系统初始化流程
[0017]1‑
1、完成密钥分发中心AC、数据拥有者DO、数据访问者DU的注册;
[0018]1‑
2、密钥分发中心AC生成以太坊账户并转一定数目的以太通行证;
[0019]1‑
3、密钥分发中心AC随机生成两个256位的密钥对k1、k2,通过哈希运算得到加密密钥
[0020]1‑
4、密钥分发中心AC执行LSSS初始化算法Setup(λ,U,V),生成系统主密钥MSK和公钥PK;
[0021]1‑
5、密钥分发中心AC调用智能合约将PK和MSK存储到以太坊中,将AC的以太坊地址与PK和MSK进行映射;
[0022]1‑
6、数据所有者DO生成以太坊账户并部署名为StorageLSSS的智能合约,返回智能合约的地址;
System)是一种全球分布式文件系统,旨在将所有类型的数据存储在全球分布式网络中,并能够在这些数据之间进行快速和可靠的交互。IPFS使用哈希编码,将哈希值映射到文件路径,使文件可以在网络上任意位置存储与分发而不影响可访问性。使用类似于BitSwap的协议来确保网络节点间数据交换的高效性和可靠性。
[0041]进一步的,所述步骤中的合约以及以太坊采用的是几台服务器搭建的私链,通过以太坊客户端进行搭建本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于LSSS和区块链的访问控制方法,其包括:数据所有者(DO)、数据访问者(DU)、可信的密钥分发中心(AC)、加密服务提供商(ESP)、解密服务提供商(DSP)和分布式存储系统(IPFS)。2.根据权利要求1所述的一种基于LSSS和区块链的访问控制方法中,DO负责上传数据到IPFS系统、为数据访问者DU制定访问控制策略、创建和部署智能合约、给用户分配属性集合、为用户生成私钥、为用户添加有效的访问周期以及对用户的违规进行检查;DU只有其访问周期未过期、不在作恶名单中并且属性符合访问的文件制定的访问策略时,才可以对得到的密文文件进行正确的解密得到文件的内容;AC负责为系统生成公钥和主密钥,并为文件生成加密密钥对;ESP和DSP则负责提供文件的加密和解密服务;IPFS系统则负责存储和管理文件。3.根据权利要求1所述的一种基于LSSS和区块链的密文访问控制方法,其特征在于该方法用于在分布式存储的场景下满足用户对数据的访问控制和数据隐私性和完整性保护的需求。4.根据权利要求1或2所述的一种基于LSSS和区块链的访问控制方法其包括如下步骤:步骤1、系统初始化工作,其包括:密钥分发中心AC、数据拥有者DO、数据访问者DU的注册、密钥分发中心AC随机生成两个256位的密钥对k1、k2,通过哈希运算得到加密密钥ck=sha256(k1⊕
k2)、密钥分发中心AC执行LSSS初始化算法Setup(λ,U,V),生成系统主密钥MSK和公钥PK、密钥分发中心AC调用智能合约将PK和MSK存储到以太坊中,将AC的以太坊地址与PK和MSK进行映射、数据所有者DO生成以太坊账户并部署名为StorageLSSS的智能合约,返回智能合约的地址等步骤。步骤2、文件共享工作,其包括:2
‑
1、数据所有者DO使用对称加密机制用密钥ck对文件M进行加密,并生成文件的加密形式Eck(M);2
‑
2、数据所有者DO将Eck(M)上传到IPFS得到CID,对CID哈夫曼编码得到HuffmanCode(CID)并将其命名为HashID存储在智能合约中;2
‑
3、数据所有者DO调用智能合约将文件需要的属性数据集发布到区块链上并为文件M分配访问控制策略;2
‑
4、数据所有者DO通过智能合约得到系统的公钥PK,然后,在加密服务提供商ESP的帮助下,执行LSSS加密算法Encryption(PK,(M,ρ),k1)生成密钥k1的加密密文CT;2
‑
5、数据所有者DO将密钥k1的加密密文CT序列化的二进制文件存储在IPFS中,返回CT文件的IPFS地址存储在智能合约中;2
‑
6、数据所有者DO将StorageLSSS合约的地址和Eck(M)文件的HuffmanCode(CID)重新打包后上传到IPFS,记录了IPFS的返回路径;2
‑
7、如果存在数据访问者DU访问数据的情况,数据所有者DO则将有效期限添加到数据访问者DU并将其存储在智能合约中,如果存在DU作弊的情况,数据所有者DO则将作弊情况添加到数据访问者DU并将其存储在智能合约中,通过记录检查DU的违规情况;步骤3、访问文件流程,其包括:3
‑
1、数据访问者DU得到Eck(M)文件的HuffmanCode(CID)以及智能合约StorageLSS...
【专利技术属性】
技术研发人员:杨双婷,
申请(专利权)人:杨双婷,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。