[发明专利]基于雾区块链和属性加密的细粒度访问控制方法及系统

权利要求书

1.一种基于雾区块链和属性加密的细粒度访问控制方法，其特征在于，其用于由多个属性权威机构、数据拥有者、分布式存储系统以及数据访问者组成的访问系统，所述方法包括：

通过区块链注册为属性权威机构和数据访问者分别生成唯一身份标识，初始化每个属性权威机构的属性集合，并生成每个属性权威机构对应的公钥和私钥；

数据拥有者对待发布的数据进行加密，并将数据密文进行存储；所述将数据密文进行存储，具体将数据密文存储于链外分布式存储系统中；其中，数据拥有者部署智能合约，将数据密文哈希、属性密文及访问策略以存储交易的形式发送到联盟链中；

基于数据拥有者预设的访问策略对数据加密密钥及存储地址进行加密，其中，所述访问策略为来自多个属性权威机构的属性构成的集合；

基于所述属性权威机构的公钥和私钥对所述数据访问者提供的属性集合生成转换密钥和用户解密密钥；判断所述数据访问者的属性集合是否满足访问策略，若满足则基于所述转换密钥将加密后的数据加密密钥及存储地址解密为转换密文；并基于所述用户解密密钥对所述转换密文进行最终解密，获得数据加密密钥及存储地址明文；

基于所述存储地址获得数据密文，并基于数据加密密钥对所述数据密文进行解密获得原始数据；

所述方法使用多属性权威机构为系统中用户分配属性集合，生成带有身份标识的转换密钥和用户密钥，且转换密钥存储在区块链中；所述基于所述转换密钥将加密后的数据加密密钥及存储地址解密为转换密文，具体为：通过联盟链中的雾节点进行解密计算，在进行所述解密计算前，需预先判断数据访问者的属性集合是否满足访问策略，若不满足，则禁止访问；若满足，则执行解密计算；对于满足访问策略的数据访问者，所述雾节点基于数据访问者的属性集合获得一组常量，使得，其中，s为数据拥有者选定的秘密值，用于加密明文消息，为s在访问矩阵M中的第i份共享份额；雾节点通过数据访问者的身份标识找到对应的转换密钥，并对密文进行转换，即为多个密文组件和密钥组件进行密集型的配对计算；

其中，所述联盟链中的背书节点由雾节点组成，所述雾节点具有存储和计算能力，用于为存储能力有限的数据拥有者存储转换密钥，为计算能力有限的数据访问者完成解密过程中的密集型运算；同时使用PBFT对执行结果达成共识，减少由雾节点潜在的懒惰和不诚实行为导致错误执行结果的可能性，降低用户对不完全可信的第三方外包存储和计算的验证开销。

2.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法，其特征在于，所述数据拥有者对数据加密时，需计算数据密文的哈希值，用于数据解密时验证数据密文的完整性。

3.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法，其特征在于，所述数据拥有者对待发布的数据进行加密，具体采用对称密码算法及预设密钥进行加密。

4.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法，其特征在于，所述通过区块链注册为属性权威机构和数据访问者分别生成唯一身份标识，具体为：属性权威机构和数据访问者在区块链中进行注册，区块链选取一个系统安全参数和一个属性域，生成全局公共参数、属性权威机构全局唯一身份标识，用户全局唯一身份标识。