[发明专利]一种基于区块链的去中心数据访问控制方法及系统

说明书

本发明属于区块链技术领域，具有涉及一种基于区块链的去中心数据访问控制方法，包括：构建联盟区块链平台，确定平台的节点；将各个节点分为普通的用户节点和属性权威节点；数据拥有者在其构建的数据访问策略下加密数据上传到云存储服务器；数据用户根据身份标识和具有的属性向属性权威节点请求属性私钥；属性权威节点为合法用户颁发可验证属性证书，并颁发对应的属性私钥；数据用户向云存储服务器提交属性证书并发送访问密文请求；云存储服务器验证数据用户的属性证书是否被撤销并返回密文数据；用户得到密文，并用属性私钥解密密文得到明文。本发明为数据共享提供了一种去中心化的数据访问控制方法，具有好的场景拓展和灵活的数据共享实现。

技术领域

本发明属于云存储、数据共享、访问控制和区块链领域，特别涉及一种基于区块链的去中心数据访问控制方法及系统。

背景技术

密文策略的属性密码(ciphetext-policy attribute based encryption,简称CP-ABE)能在不可信的云存储环境下实现数据的安全存储与共享，密文策略的属性密码技术是指将密文和访问策略相关联，在访问策略中指定允许访问的属性，只要用户的属性满足密文中的访问策略就可以解密。密文策略的属性密码技术可以实现细粒度的访问控制，满足一方加密多方解密。最初的CP-ABE方案是由单个权威为所有用户分发密钥，存在单个权威中心腐败问题。

为了解决这个问题，多属性权威的非中心化CP-ABE被提出(Lewko A,WatersB.Decentralizing Attribute-Based Encryption[C]//Advances in Cryptology-eurocrypt-international Conference on the TheoryApplications ofCryptographic Techniques.2011.)，但是系统中的每一个属性权威都要参与密钥分发，某一个权威失效会使整个系统失效。同时，如果有节点加入或者退出需要重新启动系统，针对此问题，去中心的多属性权威的DABE被提出(Lewko A,Waters B.Decentralizingattribute-based encryption[C]//Annual international conference on the theoryand applications of cryptographic techniques.Springer,Berlin,Heidelberg,2011:568-588.)，该方案中任意能够创建属性公钥和颁发属性私钥的节点都可以成为属性权威，且在该方案中，任意节点的加入和离开不会影响系统的正常运行。这个方案较好的解决了单属性权威失效影响系统的问题，当有节点加入或者退出时不会影响系统，同时该方案的去中心化特性十分吻合区块链的特点。

上述CP-ABE方案中，需要共同协商系统参数，任意节点只有拥有该系统参数就可以通过创建属性公钥，颁发属性私钥成为属性权威节点，而且系统维护性和可控性较差，同时属性私钥需要通过安全信道分发，使得系统的正常运行具有局限性。

发明内容

为解决以上现有技术问题，本发明提出了一种基于区块链的去中心数据访问控制方法，包括配置联盟区块链系统以及用户访问区块链系统的加密数据，所述用户访问区块链系统的加密数据的过程包括：

S1：数据用户向联盟区块链系统的云存储服务器提交第一次请求信息，所述第一次请求信息包括可验证身份标识和密文数据访问请求；

S2：云存储服务器接到第一次请求信息后，向数据用户返回所需的属性；数据用户向属性权威节点发送所需的属性和对应的属性私钥请求；

S3：属性权威节点接收所需的属性和对应的属性私钥请求后验证请求是否有效，若有效，则为数据用户颁发属证书和对应的属性私钥，否则请求无效；