[发明专利]基于区块链技术和属性加密的数据访问控制方法

说明书

本发明属于数据安全技术领域，特别涉及基于区块链技术和属性加密的数据访问控制方法，安全性更高，包括以下步骤：数据属主使用对称秘钥对目标数据进行加密，生成数据密文，将其发送给第三方存储系统，该系统给数据属主返回存储地址；数据属主利用属性加密技术对对称秘钥和存储地址进行加密，生成秘钥密文和存储地址密文，并上传区块链系统中；数据消费者在与数据属主协商成功之后从区块链系统获取访问目标数据所需的属性、存储地址密文和秘钥密文，在秘钥生成中心的参与下在本地计算出属性对应的属性秘钥，利用其得到对称秘钥和存储地址；利用存储地址获取数据密文，并在验证数据密文没被篡改的情况下对数据密文进行解密，得到目标数据。

技术领域

本发明涉及数据安全技术领域，特别涉及一种基于区块链技术和属性加密的数据访问控制方法。

背景技术

数据交易平台的存储中心作为第三方存储平台，存在着数据泄露的问题。一项调查显示，出于安全方面的考虑，超过70％的用户仍然不愿意将数据置于自身控制域之外。目前密文访问控制技术是在存储中心不可信的情况下保证数据机密性的解决方案，即数据属主使用数据加密加密数据并上传密文数据，通过控制秘钥的分发来实现对数据的访问控制。

目前，常规的密文访问控制方法，通过使用用户的公钥加密数据秘钥，并将秘钥的密文存储在服务端，用户直接访问服务器获得数据秘钥；在该方法中，系统都需要维护大量的数据秘钥信息，秘钥获取权的管理的复杂程度将随数据量和数据消费者的增长显著增加，从而导致数据属主成为系统的瓶颈。

在分层访问控制(hierarchical access control，HAC)方法中，虽然减少了需要委会的秘钥数量，数据消费者可以通过私人秘钥和一份公开的信息表(token)推导出被授权访问的数据秘钥，但是HAC由于数据消费者权限的变更需要对token表进行繁琐的操作，大规模用户进行访问时，对用户的访问控制效率较低。在基于代理重加密的访问控制方法中，在假设服务器部分可信的情况下，通过代理重加密技术，数据属主根据用户信息计算出一个代理重加密秘钥交付给云存储供应商(cloud storage provider，CSP)，CSP利用代理重加密秘钥对存储的密文数据进行重加密，生成只有指定用户能够解密的密文，但是，如果服务器不可信，将导致数据访问环境不可信，安全性低。

发明内容

基于此，有必要针对上述技术问题，提供一种基于区块链技术和属性加密的数据访问控制方法，以解决使用目前技术进行数据访问控制时存在的数据访问环境不可信，安全性低的问题。

本发明提供了一种基于区块链技术和属性加密的数据访问控制方法，包括以下步骤：

数据属主使用对称秘钥对目标数据进行加密，生成与所述目标数据对应的数据密文，并将所述数据密文发送给第三方存储系统进行存储，所述第三方存储系统给所述数据属主返回一个存储地址；

数据属主利用属性加密技术对所述对称秘钥和存储地址进行加密，生成与所述对称秘钥对应的秘钥密文和与所述存储地址对应的存储地址密文，并将所述秘钥密文和所述存储地址密文上传至区块链系统中；

数据消费者在与数据属主协商成功之后，数据消费者从区块链系统获取访问所述目标数据所需的属性、所述存储地址密文和所述秘钥密文，并在秘钥生成中心的参与下在本地计算出属性对应的属性秘钥，利用所述属性秘钥对所述秘钥密文和所述存储地址密文进行解密，得到所述对称秘钥和存储地址；利用所述存储地址从第三方存储系统获取所述数据密文，并在验证所述数据密文没被篡改的情况下利用所述对称秘钥对所述数据密文进行解密，得到所述目标数据。

优选的，所述并在秘钥生成中心的参与下在本地计算出属性对应的属性秘钥，包括：

数据消费者在本地随机选取参数r∈Z_p作为秘密共享对象，Z_p为模p的整数环，并选取随机系数a₁,a₂,…,a_t-1构造一个t-1次多项式f(x)，其中，