[发明专利]一种基于属性加密的区块链数据访问控制方法及装置

权利要求书

1.一种基于属性加密的区块链数据访问控制方法，其特征在于，包括:

在系统初始化时，生成基于属性加密的系统参数、系统属性集合和时间密钥管理参数；

在用户向系统注册时，系统向用户发送基于用户属性集合的私钥、签名密钥、验证密钥和用户的访问时间段；所述用户的访问时间段是依据用户属性确定的；

在生成新的交易信息时，从所述系统属性集合中挑选至少一个属性；

依据挑选出的属性构建访问控制树；

依据所述时间密钥管理参数计算时间限制密钥；

基于所述访问控制树和时间限制密钥对所述交易信息进行加密，生成密文，并将所述密文保存到区块中；

响应于用户的访问请求，依据用户的属性集合和用户的访问时间对交易信息进行访问。

2.根据权利要求1所述的方法，其特征在于，所述依据所述时间密钥管理参数计算时间限制密钥，包括：

依据时间密钥管理参数和基于属性加密的系统参数，计算第一时间密钥参数；

基于时间密钥管理的哈希函数和第一时间密钥参数，计算时间限制密钥。

3.根据权利要求1所述的方法，其特征在于，所述响应于用户的访问请求，依据用户的属性集合和用户的访问时间对交易信息进行访问，包括：

判断当前的访问时间是否在用户的访问时间段内，且所述用户的属性集合是否包含所述访问控制树中所有的属性；

若当前的访问时间在用户的访问时间段内，计算时间限制密钥；

依据所述用户属性加密的私钥和所述时间限制密钥计算所述交易信息的解密私钥；

利用用户的属性集合、所述解密私钥和所述访问控制树中的各个叶子节点，对密文进行解密。

4.根据权利要求1所述的方法，其特征在于，还包括：

获取区块生成者的验证密钥，并依据所述区块生成者的验证密钥验证交易所在区块是否存在；

获取所述交易信息生成者的验证密钥，并依据所述交易信息生成者的验证密钥验证交易是否存在；

在所述交易所在区块存在，且所述验证密钥存在的情况下，响应用户的访问请求。

5.一种基于属性加密的区块链数据访问控制装置，其特征在于，包括:

系统属性集合生成单元，用于在系统初始化时，生成基于属性加密的系统参数、系统属性集合和基于时间密钥管理参数；

用户属性集合生成单元，用于在用户向系统注册时，系统向用户发送基于用户属性集合的私钥、签名密钥、验证密钥和用户的访问时间段；所述用户的访问时间段是依据用户属性确定的；

密文生成单元，用于在生成新的交易信息时，从所述系统属性集合中挑选至少一个属性；依据挑选出的属性构建访问控制树；依据所述时间密钥管理参数计算时间限制密钥；基于所述访问控制树和时间限制密钥对所述交易信息进行加密，生成密文，并将所述密文保存到区块中；

数据访问单元，用于响应于用户的访问请求，依据用户的属性集合和用户的访问时间对交易信息进行访问。

6.根据权利要求5所述的装置，其特征在于，所述时间限制密钥计算子单元，包括：

第一计算子单元，用于依据时间密钥管理参数和基于属性加密的系统参数，计算第一时间密钥参数；

第二计算子单元，用于基于时间密钥管理的哈希函数和第一时间密钥参数，计算时间限制密钥。

7.根据权利要求6所述的装置，其特征在于，所述数据访问单元，包括：

判断子单元，用于判断当前的访问时间是否在用户的访问时间段内，且所述用户的属性集合是否包含所述访问控制树中所有的属性；

时间限制密钥计算子单元，用于若当前的访问时间在用户的访问时间段内，计算时间限制密钥；

解密私钥计算子单元，用于依据所述用户属性加密的私钥和所述时间限制密钥计算所述交易信息的解密私钥；

解密子单元，用于利用用户的属性集合、所述解密私钥和所述访问控制树中的各个叶子节点，对密文进行解密。

8.根据权利要求5所述的装置，其特征在于，还包括：

第一验证单元，用于获取区块生成者的验证密钥，并依据所述区块生成者的验证密钥验证交易所在区块是否存在；

第二验证单元，用于获取所述交易信息生成者的验证密钥，并依据所述交易信息生成者的验证密钥验证交易是否存在；

访问请求响应单元，用于在所述交易所在区块存在，且所述验证密钥存在的情况下，响应用户的访问请求。