【技术实现步骤摘要】
基于区块链的物联网密文访问控制方法
[0001]本专利技术属于区块链
,特别是涉及一种基于区块链的物联网密文访问控制方法
。
技术介绍
[0002]区块链作为一种新兴的集成技术,因其具有数据确权
、
不可篡改和共识同步等特点,可以在个体或组织之间在不可信环境下建立可信的数据访问控制
。
近年来,众多学者使用区块链代替物联网访问控制中的中央可信实体,提出了基于区块链的物联网访问控制模型
。
[0003]当前,基于区块链的物联网访问控制方法主要分为2种:
(1)
将区块链引入当前已有的物联网访问控制方案中,充当可信实体
。
在现有技术中,使用区块链来防止用户身份属性和访问策略被恶意篡改,将访问策略与权限公开至区块链上,防止恶意节点的欺诈行为,并且将区块链作为可信数据库记录
、
存储相关数据,如:访问权限的授权
、
变更等
。(2)
区块链不仅作为可信实体,同时作为访问策略的关键载体,包括基于交易的访问控制和基于智能合约的访问控制
。
有现有技术提出一种基于私有链的轻量级智能家居设备访问控制方案,将访问策略存储于区块头,将相关操作例如访问
、
添加和删除设备等存储于区块体,以交易的形式进行访问控制管理;还有现有技术提出基于
ABAC
的物联网访问控制方案,将设备属性记录在交易中,由多个属性权威机构进行属性管理,当链上属性与策略属性匹配成...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
基于区块链的物联网密文访问控制方法,其特征在于,包括:
S1
,构建系统模型及安全模型;
S2
,系统初始化,数据拥有者输入安全参数
λ
,运行
Global Setup(
λ
)
生成全局公共参数
GP
=
(p,g,G,H,F)
并交易上链,其中
G
为阶数为
p
的双线性群,
g
为双线性群
G
的生成元,
H
为将全局属性授权标识
AID
映射到群
G
的哈希函数
H:{0,1}
*
→
G
,
F
为将用户身份标识
UID
映射到群
G
的哈希函数
F:{0,1}
*
→
G
;
S3
,建立属性管理节点和用户节点;
S4
,加密以形成密文,数据拥有者制定访问控制策略
(A,
ρ
)
,其中
A
为维度为
n
×
l
的访问控制矩阵,
ρ
为将属性
i
映射到矩阵的映射函数,将明文
M、
访问控制策略
(A,
ρ
)、
全局参数
GP
和相关属性公钥
APK
作为输入,运行
Encrypt(M,(A,
ρ
),GP,{APK})
获得加密密文
CT
;
S5
,链上阶段,数据拥有者将密文上传至云服务商并将地址上链存储,然后对密文安全性验证,接着用户属性私钥生成,数据使用者根据自身属性,向属性管理节点
AA
申请获取用户属性私钥,然后用户属性私钥共识验证,当数据使用者计算能力较弱时可向
CSP
申请外包解密;
S6
,数据使用者通过访问控制获得数据明文
。2.
根据权利要求1所述的基于区块链的物联网密文访问控制方法,其特征在于,所述
S1
中,系统模型包括:数据拥有者,用于访问控制策略的制定和明文数据的加密;共识网络,即区块链网络,各节点是诚实且好奇的,所述共识网络中每个属性管理节点独立管理一个属性,多个属性管理节点共同为合法的数据使用者生成用户属性私钥,所述共识网络用于数据使用者的身份验证
、
用户属性私钥生成
、
密文安全性管理和密钥安全性管理;云服务商,用于存储密文以及密文的外包解密;数据使用者,用于根据自身属性向属性管理节点
AA
申请获取用户属性私钥,还可向云服务商申请外包解密
。3.
根据权利要求1所述的基于区块链的物联网密文访问控制方法,其特征在于,所述
S3
包括:区块链中各属性管理节点将
GP
作为输入,运行
Authority Setup(GP)
和
User Setup(GP)
算法,生成各自的公私钥对
(APK,ASK)、(UPK,USK)
;其中,
Authority Setup(GP)
→
APK,ASK
:对于某一属性管理节点管理的用户属性
i
,节点选择两个随机指数
α
i
,y
i
∈Z
N
,
Z
N
表示具有
N
个元素的整数集,并生成公私钥对
(APK,ASK)
,之后该节点将
APK
交易上链,将
ASK
在本地安全存储:在本地安全存储:
APK
i
是属性管理节点管理的用户属性
i
的公钥;
ASK
i
是属性管理节点管理的用户属性
i
的私钥;
e
表示双线性映射;
UserSetup(GP)
→
UPK,USK
:区块链中各用户节点运行
UserSetup(GP)
算法生成公私钥对
(UPK,USK)
,数据使用者选择一个随机指数
x∈Z
N
并生成用户公私钥对
(UPK,USK)
,之后将
用户公钥
UPK
交易上链,将用户私钥
USK
在本地安全存储;
UPK
=
g
x
,USK
=
x。4.
根据权利要求1所述的基于区块链的物联网密文访问控制方法,其特征在于,所述
S4
包括:
Encrypt(M,(A,
ρ
),GP,{APK})
→
CT
:选择一个随机数
s∈Z
N
和一个以
s
为第一分量的随机向量令
λ
x
表示
A
x
·
v
,其中
A
x
为矩阵
A
的第
x
行,之后选择一个以0为第一分量的随机向量令
ω
x
表示
A
x
·
ω
,对于
A
的每一行
A
x
,选择随机数
r
x
∈Z
N
,计算密文
CT
:
C0=
Me(g,g)
s
,,,
其中,表示具有
N
个整数元素的
l
维向量空间,
λ
x
表示以
s
为第一分量的第
x
个秘密共享密钥份额,
ω
x
表示以0为第一分量的第
x
个秘密共享密钥份额,
C0表示原始密文分量,
C
1,x
表示对应属性
x
的第1个密文分量,
C
2,x
表示对应属性
x
的第2个密文分量,
C
3,x
表示对应属性
x
的第3个密文分量,
α
ρ
(x)
表示对应于矩阵中第
ρ
(x)
个属性的随机数,
y
ρ
(x)
表示对应于矩阵中第
ρ
(x)
个属性的随机数
。5.
根据权利要求1所述的基于区块链的物联网密文访问控制方法,其特征在于,所述
S5
中:密文上传的具体过程包括:输入交易标识
ID
,密文存储地址
CT
Address
,密文中的原始密文分量
C0,用户私钥
USK
;计算密文中
C0的完整性检查文本
CheckText
=
H(C0)
,计算密文上传交易的数字摘要
MD
=
H(ID,CT
Address
,CheckText)
,使用
USK
进行数字签名
sign
=
Sign
USK
(MD)
;
H
是哈希函数;生成密文上传交易
Tx
CTupload
=
{ID,CT
Address
,CheckText,sign}
,其中,
ID
用于识别
CTupload
交易,
CT
Address
为密文
CT
在
CSP
上的存储地址,
CheckText
为密文完整性检查文本,
MD
为密文上传交易的数字摘要,
sign
为
DO
在区块链上的数字签名,
Tx
CTupload
为密文上传交易
。6.
根据权利要求1或5所述的基于区块链的物联网密文访问控制方法,其特征在于,所述
S5
中,对密文安全性验证包括:输入密文上传交易
Tx
CTupload
和用户公钥
UPK
;计算密文上传交易的数字摘要
MD
′
=
H(ID,CT
Address
,CheckText)
,计算签名的数字摘要
MD
=
Compute
UPK
(sign)
;判断
MD
′
和
MD
是否相等,若相等则根据密文存储地址
CT
Address
下载密文中的
C0;然后计算
C0的完整性检查验证文本
CheckText
′
=
H(C0)
,判断
CheckText
技术研发人员:任志鑫,余益民,张玉,陈韬伟,杨潜,赵进一,闫恩华,欧新宇,袁娇,
申请(专利权)人:云南农优科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。