[发明专利]一种基于区块链的去中心数据访问控制方法及系统

权利要求书

1.一种基于区块链的去中心数据访问控制方法，包括配置联盟区块链系统以及用户访问区块链系统的加密数据，其特征在于，所述用户访问区块链系统的加密数据的过程包括：

S1：数据用户向联盟区块链系统的云存储服务器提交第一次请求信息，所述第一次请求信息包括可验证身份标识和密文数据访问请求；

S2：云存储服务器接到第一次请求信息后，向数据用户返回所需的属性；数据用户向属性权威节点发送所需的属性和对应的属性私钥请求；

S3：属性权威节点接收所需的属性和对应的属性私钥请求后验证请求是否有效，若有效，则为数据用户颁发属证书和对应的属性私钥，否则请求无效；

S4：数据用户向云存储服务器提交第二次请求信息，所述第二次请求信息包括可验证身份标识、属性证书和密文数据访问请求；云存储服务器接收到第二次请求信息后，验证数据用户发送的第二次请求信息是否有效，若第二次请求信息有效，则返回数据用户申请访问的数据密文，否则拒绝该用户的请求；

S5：数据用户得到密文数据，利用属性私钥解密密文；若数据数据用户中的属性集满足数据密文的访问策略，则正确解密密文，得到明文；否则得不到正确明文，数据访问无效。

2.根据权利要求1所述的一种基于区块链的去中心数据访问控制方法，其特征在于，配置联盟区块链系统的过程包括：

步骤1：将参与数据访问的所有用户注册成为联盟区块链上的节点；对联盟区块链的各个节点配置区块链公钥、私钥、可验证身份标识以及对应的身份标识文档；

步骤2：将各个节点分为普通用户节点和属性权威节点；属性权威节点发布各自管理的属性集；属性权威节点协商属性密码系统参数，根据系统参数发布各属性权威管理的每个属性对应的属性公钥；

步骤3：数据拥有者选取属性集中的属性构建属性子集，通过属性子集构建数据访问策略；对待访问的数据使用属性公钥进行加密处理；将加密后的密文传到云存储服务器。

3.根据权利要求2所述的一种基于区块链的去中心数据访问控制方法，其特征在于，获取可验证身份标识包括：各个节点根据区块链公钥编码生成字符串；采用节点区块链私钥对该字符串签名，生成可验证的身份标识。

4.根据权利要求2所述的一种基于区块链的去中心数据访问控制方法，其特征在于，属性权威节点发布各自管理的属性集的过程包括：

步骤1：属性权威节点确定自己管理的属性集，属性权威节点使用自己身份标识对应的区块链私钥签名属性集；

步骤2：将单个属性权威节点的属性集存放在该属性权威对应的身份标识文档中；

步骤3：将所有属性权威节点的属性集公布在区块链上；

步骤4：每个属性权威节点将各自管理的每一个属性对应的属性公钥发布在区块链上或者发布在区块链下。

5.根据权利要求2所述的一种基于区块链的去中心数据访问控制方法，其特征在于，对待访问的数据进行加密处理包括：采用密文策略的属性密码机制加密算法对数据进行加密；加密方式包括：采用属性加密算法加密对称密钥，再使用对称密钥加密密文。

6.根据权利要求1所述的一种基于区块链的去中心数据访问控制方法，其特征在于，属性权威节点为数据用户颁发属性私钥包括：

步骤1：属性权威节点根据属性密码系统参数对各自管理的属性进行属性密码初始化，生成各自属性的主私钥；

步骤2：数据用户向属性权威节点提交拥有的属性、属性私钥请求、身份标识、使用的签名算法类型以及哈希算法的类型；

步骤3：属性权威节点根据用户提交的身份标识找到该用户的身份标识文档；属性权威节点根据用户提交的签名算法类型采用相同的签名算法验证文档的签名；采用哈希算法类型一致的哈希算法验证身份标识对应的文档哈希值，同时确定该哈希值与区块链上的哈希值是否一致；

步骤4：若验证失败，则请求失败；若验证成功，属性权威节点使用属性主私钥为用户生成属性私钥，将该用户的可验证身份标识作为全局唯一标识符；将该标识符作为用户属性私钥的生成组件，根据可验证身份标识得到数据用户的区块链公钥，采用该公钥加密属性私钥；将加密后的属性私钥写入属性证书中；属性权威节点采用自己的区块链私钥对属性证书进行签名，将签名后的属性证书通过安全通道发送给请求的用户。