[发明专利]基于雾区块链和属性加密的细粒度访问控制方法及系统

说明书

本发明提供了一种基于雾区块链和属性加密的细粒度访问控制方法及系统，其属于信息安全技术领域，所述方案引入了多属性权威机构，更符合细粒度访问控制需求，也避免了单点故障、密钥泄露等问题；所述方案通过将联盟链与雾节点结合，利用雾节点拥有一定的存储能力和计算能力，能为系统中属性权威和用户分配全局唯一身份标识并维护它们的身份列表，并存储多属性权威根据身份和属性集合生成的密钥，以便后续非法行为的追溯；为计算能力有限的用户完成解密过程中的密集型计算，而联盟链中PBFT共识机制的容错性能提高执行结果的正确性，减少用户的验证开销。

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于雾区块链和属性加密的细粒度访问控制方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着工业互联网和移动互联网的快速发展，网络空间各类应用和服务遍布人们的日常生活和工作当中，并产生了海量的数据，导致了数据量爆炸式增长。由于产生这些数据的物联网设备和服务提供商普遍存在着存储和计算资源受限等问题，人们通常将数据存储和计算外包给存储和计算能力强大的云服务提供商。云服务提供商以虚拟化技术为基础，以网络为载体，提供充沛的存储和计算资源。然而，云服务提供商对数据是集中式存储和处理的，急速膨胀的数据存储和计算访问请求造成了网络拥塞和云平台响应时间延迟增大等问题。为了解决这些问题，作为云计算扩展的雾计算应运而生。雾计算是一种分布式信息基础设施，位于物联网设备/服务商网络节点和云服务提供商的中间层，拥有一定的存储能力和计算能力。将数据存储在物联网设备/服务商网络节点的附近，能够提高数据的安全性和外包服务的流畅性，也减少了服务器和设备之间的响应时间。

资源有限的物联网设备和服务商网络节点将数据外包存储到雾节点同样也面临着一些数据安全的问题。数据一旦外包存储，数据拥有者就会失去数据管理权和控制权。雾节点同云服务提供商一样，并不是完全可信的，可能为了自身利益与非法用户勾结或者泄露用户的数据，可能会给用户带来信息泄露等安全风险。访问控制技术是解决这一问题的有效措施，它能够保证只有符合访问控制策略要求的用户才能访问加密的指定数据。然而，基于传统密码算法的访问控制技术存在着访问控制不够细粒度、安全性不够高等问题。属性加密（ABE： attribute-based encryption，基于属性的加密）是目前广泛应用与于细粒度访问控制的加密算法。根据控制权所有者的不同，属性加密算法可以分为KP-ABE（key-policy ABE，基于密钥策略的属性加密）和CP-ABE（ciphertext-policy ABE，基于密文策略的属性加密）。在KP-ABE中，用户的密钥与访问策略相关联，密文与属性集合相关联，这种访问方式符合静态数据共享。在CP-ABE中，密文与访问策略相关联，用户的密钥与他拥有的属性集合相关联，由数据拥有者控制数据的访问权限，更适用于现实中的复杂应用场景中。

发明人发现，目前许多CP-ABE方案只有一个属性权威机构，该属性权威机构负责颁发和管理系统内的所有密钥。而在实际应用场景中，用户往往拥有多个属性权威机构赋予的属性；且单个权威机构容易造成单点故障、密钥泄露等问题；同时，一些资源有限的用户往往将解密过程中的密集型计算都外包给云或雾平台，首先，他们使用自身密钥生成转换密钥和解密密钥，然后将转换密钥发送给云/雾平台进行解密，这增加了用户密钥转换的计算开销。且因为云/雾平台并不完全可信的特点，需要对解密结果进行验证，又增加了用户对解密结果验证的计算开销。

发明内容

本发明为了解决上述问题，提供了一种基于雾区块链和属性加密的细粒度访问控制方法及系统，所述方案使用多属性权威机构为系统中用户分配属性集合，生成带有身份标识的转换密钥和用户密钥，更符合实际应用需求，且转换密钥存储在区块链中，方便可用于后续的追责；同时，解密过程中的密集型计算外包给区块链中的雾节点，可有效降低用户的解密开销和验证开销。

根据本发明实施例的第一个方面，提供了一种基于雾区块链和属性加密的细粒度访问控制方法，其用于由若干属性权威机构、数据拥有者、分布式存储系统以及数据访问者组成的访问系统，所述方法包括：