CN110493347A 基于区块链的大规模云存储中数据访问控制方法及系统 （重庆邮电大学）

基于区块链的大规模云存储中数据访问控制选出密钥管理员并执行(t,n)门限多属性权威发起匿名的密钥生成交易为申请者生成属性私2S1、参与数据访问的所有用户注册成为区块链身S3、数据拥有者选择系统身份属性构建数据的访问参数和系统身份属性公钥并利用所述属性密码机制加密数据，将密文上传到云存储服务S6、数据申请者对收到的被成功预解密的密文利2.根据权利要求1所述的一种基于区块链的大规模云存储中数据访问控制方法，其特发布的声誉评价列表链接、以及该用户使用自身的区块链私钥对文档的哈希值所做的签3.根据权利要求1所述的一种基于区块链的大规模云存储中数据访问控制方法，其特步骤S102、发布用户对所述属性声明采用签步骤S103、发布用户对签名后的可验证属性证明Sign1＝Sign[H(属性||属性声明的编号||发布用户身份标识||H(接收用户的身份标识))],Sign2＝Sign[H(属性||属性声明的3步骤S111、每个用户构建匿名属性撤销声明，对所述匿名属性撤销声明包括对以前该用户所发布的属性声明的编号、撤销步骤S113、将匿名属性撤销声明及其签名存储步骤S121、用户对其他用户在数据访问控制系统或数据访问过程中的活动进行评价，步骤S122、用户将各个声誉评价或声誉值使用该4.根据权利要求1所述的一种基于区块链的大规模云存储中数据访问控制方法，其特5.根据权利要求1所述的一种基于区块链的大规模云存储中数据访问控制方法，所述6.根据权利要求5所述的一种基于区块链的大规模云存储中数据访问控制方法，所述S403、数据申请者分别利用密钥管理员的公钥者身份标识的哈希值H(数据申请者身份标识)以及签名Sign1；i指代数据申请者请求的属4性集中的每一个属性，Sign1＝Sign[H(属性i||属性i声明的编号||发布用户身份标识||H7.根据权利要求6所述的一种基于区块链的大规模云存储中数据访问控制方法，所述S411、密钥管理员利用其自身的区块链私钥对S412、密钥管理员验证请求明文中的每一个身S4122、对属性私钥生成请求中的每一个属属性声明的编号||属性i的属性声明的发布者身份标识||H(数据申请者身份标识)]，与S413、对属性私钥生成请求中的每一个属性，8.根据权利要求5～7任一所述的一种基于区块链的大规模云存储中数据访问控制方S421、对请求中的每一个属性，密钥管S422、密钥管理员利用请求中申请者本地生成9.根据权利要求1所述的一种基于区块链的大规模云存储中数据访问控制方法，所述S502、数据申请者构建匿名数据访问请求，该请求中包S503、数据申请者使用云存储服务器的区块链S505、云存储服务器利用属性证明发布者的区S507、云存储服务器按照数据访问请求中的文档5S508、对搜索到的每一个文档密文，云存储服务器检验其中，Sign2＝Sign[H(属性||属性声明的编号||发布用户身份标识)]；Si10.一种基于区块链的大规模云存储中数据访问控制系统，所述数据访问控制系统控密钥管理员生成模块：用于根据区块链的权益证明机制选择出前n个高声誉的区块链数据访问请求验证单元：用于云存储服务器数据预解密单元：用于云存储服务器判断数据申云存储服务器：为数据拥有者提供数据存储服务6[0002]密文策略的属性密码(ciphetext-policyattributebasedencryption,简称CP-ABE)技术是在不可信的云存储环境实现数据安全存储和共享的最具潜力的密码技术，[0003]为了解决这个问题，多属性权威的非中心化CP-ABE被提出(LewkoA,WatersB.DecentralizingAttribute-BasedEncryption[C]//AdvancesinCryptology-eurocrypt-internationalConferenceontheTheory&ApplicationsofRobustandVerifiableThresholdMulti-AuthorityAccessControlSysteminPublicCloudStorage[J].IEEETransactionsonParallelandDistributed不少于t个属性权威的份额综合能够得到完整的属性私钥，这个方案较好地解决了属性权7[0009](2)由一个可信中心维护一个属性撤销列表，并由一个可信的第三方仲裁根据属[0015]S2、利用权益证明机制选出n个节点作为密钥管理员，被选出的密钥管理员执行(t,n)门限多属性权威的密文策略的属性密码机制，生成并发布系统公共参数以及系统身[0019]S6、数据申请者对收到的被成功预解密的密文利用所述转换密8[0023]密钥管理员生成模块：用于根据区块链的权益证明机制选择出前n个高声誉的区[0033]数据解密单元：用于数据申请者利用转换密钥最终解密被成功预解密之后的数9[0041]图1为本发明方法一种基于区块链的大规模云存储中数据访问控制方法的整体流[0042]图2为本发明系统一种基于区块链的大规模云存储中数据访问控制系统的框架结[0054]作为一种实现方式，所有的参与方注册成为具有自我主权身份区块链平台的节及该用户使用自身的区块链私钥对文档的哈希值所做[0059]可以理解的是，所述的系统身份属性是指属性密码系统中的所有属性集中的属[0063]Sign1＝Sign[H(属性||属性声明的编号||发布者身份标识||H(属性拥有者的身份标识))],Sign2＝Sign[H(属性||属性声明的编[0065]步骤S102、发布用户对所述属性声明采用签名算法利用其区块[0066]步骤S103发布用户对签名后的可验证属性声明采用加密算法利用接收用户的区[0071]在一个实施例中，如图4所示，向其他用户发送可验证属性撤销声明包括以下步[0073]所述匿名属性撤销声明包括对以前该用户所发布的属性证明的编号、撤销时间、属性撤销列表的任意一种访问操作都会产生对应的交易记录存储在区块链中作为存证而[0086]S2、利用权益证明机制选出n个节点作为密钥管理员，被选出的密钥管理员执行(t,n)门限多属性权威的密文策略的属性密码机制，生成并发布系统公共参数以及系统身[0088]另外，步骤S2中的(t,n)门限多属性权威的密文策略的属性密码方案是指将无中[0105]S411、密钥管理员利用其自身的区块链私钥对匿名属性私钥生[0113]S422、密钥管理员利用请求中申请者本地生成的公钥加密生[0117]S501、数据申请者随机选取一个转换密钥将其自身属性私钥和身份标识进行转[0125]S6、数据申请者对收到的被成功预解密的密文利用所述转换密VerifiableThresholdMulti-AuthorityAccessControlSysteminPublicCloudStorage[J].IEEETransactionsonParallelandDistributedSystems,2015,27(5):1-1.)中的多属性权威的门限属性密码方案为实施例来解释本发明的方法，为了保证用户和p",公布对应的公钥份额分别为和则可以得到系统属性i的公钥分别为和每个密钥管理员的系统属性[0132]用户j关于系统属性i的公钥e(g,g)"r对应的私钥份额可以通过公式计算[0133]对于另一个关于系统属性i的系统身份属性公钥gA,可以按照同样的方法计算[0134]举例而言，密钥管理员j利用自己的属性i的私钥份额和可以生[0135]密钥管理员将生成的所有属性私钥份额利用请求中申请者本地生成的公钥进行私钥为最后一个等式由拉格朗日插值[0139]文档密文包括对称密钥密文C(K)和数据密文C(data)，对称密钥密文是应用属性[0142]云存储服务器检测用户的身份属性集是否满足密文C(K)中的访问策略Γ,如果满[0147]如果云存储服务器用户的属性集不满足密文C(K)中的访问策略Γ,则对应的数据[0154]密钥管理员生成模块：用于根据区块链的权益证明机制选择出前n个高声誉的区[0165]数据解密单元：用于数据申请者利用转换密钥最终解密被成功预解密之后的数权益证明机制选择出具有前n个高声誉的用户作为密钥管理员；当然在成为密钥管理员之前，该用户可能是数据申请者也可能是数据拥有者也可以是区块链平台中的其他运行节[0170]一方面，数据拥有者通过数据加密模块构建数据访问策略并[0171]另一方面，数据申请者通过用户匿名私钥请求单元向