CN110458554A - 区块链上基于身份的数据快速交易方法 - Google Patents

Abstract

本发明公开了一种区块链上基于身份的数据快速交易方法，主要解决现有数据交易方案中数据篡改和购买者身份无法控制的问题，其实现方案为：管理者进行参数初始化，然后用户进行注册；数据出售方上传数据，并对密钥加密；数据购买方对加密数据进行验证；数据出售方向数据购买方发送承诺签名；数据购买方进行快速支付，支付完成后提取密钥并解密数据。本发明中交易双方由于直接进行交易，不会引入半可信第三方参与者，同时由于使用基于身份的加密体制，保证了数据交易的公平性，提高了数据交易的安全性，降低了数据交易时延，能够保护数据的隐私和交易双方的匿名，可用于互联网中敏感数据的快速安全交易。

Description

区块链上基于身份的数据快速交易方法

技术领域

本发明属于密码技术领域，更进一步涉及数据快速交易方法，可用于虚拟网络中隐私数据的快速公平交易。

背景技术

如今，人们经常在网络中进行敏感数据的交易。在进行数据交易时，网络环境可能会暴露交易双方的真实身份和数据的隐私。此外，由于商家和用户没有任何的信任基础，所以容易导致欺骗行为的发生。而且，网络无法实现对买家身份的控制，交易数据可能被恶意买家用作其他用途。因此，使用安全可靠的数据快速交易方法来实现公平交易是十分必要的，这样可以有效的保证交易双方的合法权益。

杭州珞珈数据科技有限公司在其申请的专利文献“一种公共数据平台上的私有数据交易方法”(公开号：CN109377227A，申请号：201811296869.X，申请日：2018年11月1日)中公开了一种私有数据的交易方法。该方法由可信任的第三方机构、后台控制系统、以太坊私有链，以及分布式数据库所构建的交易环境；后台控制系统控制所述以太坊私有链及节点的运行，以及分布式数据库的运行；当有数据拥有者申请加入所述私有链网络进行数据交易时，系统自动获取账户地址，将所需交易数据上传至所述分布式数据库，数据拥有者在私有链上部署智能合约，并设定密钥和价格；数据购买方通过智能合约付款，并获取数据库中对应数据。该方法保证了交易的安全性，降低了交易成本。该方法存在的不足之处是，数据购买者要购买的数据可能被篡改。此外，整个交易过程都需要第三方作为中间人参与，该交易方法需要确认交易时间，存在交易延迟。

重庆邮电大学在其申请的专利文献“基于以太坊的数据交易平台”(公开号：CN109389500A，申请号：201811148017.6，申请日：2018年9月29日)中公开了一种基于以太坊的数据交易方法。该方法的数据提供方和数据需求方通过以太坊节点加入到交易平台的底层以太坊平台中，用户双方通过操作自己的以太坊节点，在以太坊平台中通过智能合约完成交易过程。数据交易平台通过以太坊平台的智能合约实现交易规则的制定，数据提供方通过智能合约注册所提供的数据的描述信息，并将其保存在区块链上；数据需求方通过智能合约查询当前平台中已经注册的数据信息，选择自己想要的数据进行交易；买家、卖家双方通过智能合约完成交易流程。该方法的数据交易平台没有第三方控制机构，解决了交易数据存储的安全问题，保证了参与用户的个人隐私安全。该方法存在的不足之处是，由于以太坊用户的匿名性，任何用户都可以购买数据，可能导致数据被恶意买家购买用作其他用途。此外，该交易平台在支付成功前无法验证数据的有效性。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种区块链上基于身份的数据快速交易方法，以通过属性加密保证数据只能被合法用户购买和解密，保证数据的存储安全和交易的公平性。

为实现上述目的，本发明采用的技术方案包括以下步骤：

(1)管理者随机选择两个大小不同的正整数α和β，使用初始化算法计算公共参数pp和主密钥MSK；

(2)用户注册：

(2a)数据出售方和数据购买方向管理者进行身份注册，管理者根据用户的身份信息，使用基于身份的密钥生成算法计算用户的身份密钥SK_id，发送给数据出售方和数据购买方；

(2b)数据出售方和数据购买方向管理者进行属性注册，管理者根据用户的属性集合，使用属性加密的密钥生成算法计算用户的属性密钥SK_S，发送给数据出售方和数据购买方；

(3)数据上传：

(3a)数据出售方将要交易的数据平均分成N份，即m₁,m₂,…,m_N，并随机选择N个不同正整数作为AES加密算法的N个种子密钥k₁,k₂,…,k_N，使用AES加密算法，分别对N份数据m₁,m₂,…,m_N进行加密，生成N份数据密文C₁,C₂,…,C_N，N≥1；

(3b)数据出售方使用安全抗碰撞哈希函数，计算数据密文C₁,C₂,…,C_N的密文哈希值h₁，并使用基于身份的签名算法对密文哈希值h₁进行签名，生成身份签名Sig₁；

(3c)数据出售方将数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁上传到公有云；

(4)密钥加密：

(4a)数据购买方在公有云下载数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁，并使用基于身份的签名验证算法对身份签名Sig₁进行验证；

(4b)数据出售方随机选择正整数作为加密私钥sk，使用椭圆曲线密钥生成算法计算加密私钥对应的加密公钥pk；

(4c)数据出售方使用椭圆曲线加密算法对N个种子密钥k₁,k₂,…,k_N进行加密，生成N个密钥密文D₁,D₂,…,D_N，并使用安全抗碰撞哈希函数计算密钥密文D₁,D₂,…,D_N的密钥哈希值h₂；

(4d)数据出售方使用属性加密算法对密钥密文D₁,D₂,…,D_N进行加密，生成属性密文Z；

(5)数据验证：

(5a)数据出售方将密钥哈希值h₂、属性密文Z和加密公钥pk发送给数据购买方；

(5b)数据购买方判断自己的属性是否满足属性密文的访问策略，若满足，则执行步骤(5c)，否则，结束交易；

(5c)数据购买方使用属性加密的解密算法对属性密文Z进行解密，得到N个密钥密文D₁,D₂,…,D_N，并选择一个正整数作为验证组号j发送给数据出售方；

(5d)数据出售方将验证组号j对应的数据m_j，种子密钥k_j发送给数据购买方；

(5e)数据购买方验证数据m_j是否真实，若真实，则执行步骤(6)，否则，结束交易；

(6)承诺签名：

(6a)数据出售方使用椭圆曲线签名算法对消息进行签名计算承诺签名Sig₂，将承诺签名Sig₂发送给数据购买方；

(6b)数据购买方使用椭圆曲线签名验证算法对承诺签名Sig₂进行验证；

(6c)数据出售方随机选择正整数作为接收私钥w，使用椭圆曲线密钥生成算法计算接收私钥w对应的接收公钥W，将接收公钥W发送给数据购买方；

(7)快速支付：

(7a)数据购买方使用快速支付账户将区块链资产发送到加密公钥pk和接收公钥W的联合地址上；

(7b)数据出售方花费联合地址的区块链资产，使用椭圆曲线签名算法对交易进行签名Sig₃，将交易广播到区块链网络中；

(8)提取密钥：数据购买方监听区块链网络中关于联合地址的交易，并使用椭圆曲线签名漏洞算法计算加密私钥sk；

(9)解密数据：数据购买方使用椭圆曲线解密算法对N个密钥密文D₁,D₂,…,D_N进行解密，得到N个种子密钥k₁,k₂,…,k_N，并使用AES解密算法对数据密文C₁,C₂,…,C_N进行解密，得到数据，完成交易。

本发明与现有技术相比具有以下优点：

第一，本发明由于使用基于身份的签名算法对数据进行签名，使得数据存储在公有云中无法被篡改，保证了数据的真实性，克服了现有技术中交易数据可能被恶意攻击者修改的缺点，使得本发明的方法的交易数据更加安全。

第二，本发明由于使用属性加密对交易的秘密信息进行加密，使得只有满足访问策略对应属性的用户才能解密，阻止了非法用户购买数据，克服了现有技术中恶意用户可以购买数据的缺点，使得本发明的方法能够对数据购买方的身份进行控制，防止恶意用户进行攻击，实现了数据交易的可控性。

第三，本发明由于中使用快速支付地址进行支付，可以即时的完成数据交易，数据出售方想要拿到区块链资产，就必须暴露加密数据的密钥，保证了交易双方的公平性，克服了现有技术中的方法存在交易时间延迟的缺点，使得本发明的方法减少了交易确认时间，实现了交易的快速完成。

附图说明

图1是本发明的实现流程图。

具体实施方式

以下结合附图对本发明的具体实例做进一步详细描述。

参照图1，本实例的具体实现步骤如下：

步骤1，初始化。

管理者随机选择两个大小不同的正整数α和β，计算公共参数pp和主密钥MSK。

初始化的方法有基于大数分解的密码体制和基于离散对数的密码体制，本实例采用基于离散对数的密码体制对参数进行初始化，具有更强的安全性。初始化算法计算公式如下：

pp＝(g,e(g,g)^α,g^β,h(·))，

MSK＝g^α，

其中，g表示生成元，e(·)表示双线性映射，h(·)表示安全抗碰撞哈希函数。

步骤2，用户注册。

2.1)数据出售方和数据购买方向管理者进行身份注册，管理者根据用户的身份信息，计算用户的身份密钥SK_id，发送给数据出售方和数据购买方：

现有技术计算用户身份密钥的算法有基于证书的密码算法和基于身份的密码算法，本实例采用基于身份的密钥生成算法生成用户的身份密钥SK_id，能够对用户的身份进行灵活控制，计算公式如下：

SK_id＝{g^αg^βt,g^t,h(id)^t}，

其中，g表示生成元，t表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数，id表示用户的身份信息；

2.2)数据出售方和数据购买方向管理者进行属性注册，管理者根据用户的属性集合，计算用户的属性密钥SK_S，发送给数据出售方和数据购买方：

现有计算用户的属性密钥算法有基于密文策略的属性加密算法和基于密钥策略的属性加密算法，本实例采用基于密文策略的属性加密算法计算用户的属性密钥SK_S，能够实现对加密密文的访问控制，公式如下：

SK_S＝{g^αg^βb,g^b,h(x)^b _x∈S}，

其中，g表示生成元，h(·)表示安全抗碰撞哈希函数，b表示随机选择的正整数，x表示用户的子属性，S表示用户的属性集合。

步骤3，数据出售方上传数据。

3.1)数据出售方将要交易的数据平均分成N份，即m₁,m₂,…,m_N，并随机选择N个不同正整数作为AES加密算法的N个种子密钥k₁,k₂,…,k_N，使用AES加密算法，分别对N份数据m₁,m₂,…,m_N进行加密，生成N份数据密文C₁,C₂,…,C_N，N≥1；

3.2)数据出售方使用安全抗碰撞哈希函数，计算数据密文C₁,C₂,…,C_N的密文哈希值h₁，并对密文哈希值h₁进行签名，生成身份签名Sig₁：

现有签名算法有DSA签名算法，RSA签名算法，椭圆曲线签名算法以及基于身份的签名算法等，本实例采用基于身份的签名算法，签名更加安全，任何人都无法伪造签名，保证了数据的真实性，使得数据无法被篡改。计算公式如下：

Sig₁＝(id,g^αg^β(^t+τ),g^t,g^τ,h(id)^t·h(h₁)^τ)，

其中，id表示用户的身份信息，g表示生成元，t和τ表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数；

3.3)数据出售方将数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁上传到公有云。

步骤4，密钥加密。

4.1)数据购买方在公有云下载数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁，并使用基于身份的签名验证算法对身份签名Sig₁进行验证，即验证如下公式是否成立：

如果等式成立，则签名通过验证，否则，签名不通过验证，其中，e(·)表示双线性映射，g表示生成元，t和τ表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数；

4.2)数据出售方随机选择正整数作为加密私钥sk，计算加密私钥对应的加密公钥pk，计算公式如下：

pk＝sk·G，

其中，·表示相乘操作，G表示椭圆曲线上的基点；

4.3)数据出售方使用椭圆曲线加密算法对N个种子密钥k₁,k₂,…,k_N进行加密，生成N个密钥密文D₁,D₂,…,D_N,并使用安全抗碰撞哈希函数计算密钥密文D₁,D₂,…,D_N的密钥哈希值h₂；

4.4)数据出售方对密钥密文D₁,D₂,…,D_N进行加密，生成属性密文Z：

现有对密文加密的基于密钥策略的属性加密和基于密文策略的属性加密，本实例采用基于密文策略的属性加密，能够实现对密钥密文D₁,D₂,…,D_N的访问控制，使得只有满足访问条件的用户才能解密，实现步骤如下：

4.4a)数据出售方制定访问控制策略T，并生成线性秘密共享体制LSSS构造访问控制结构(M,ρ)，其中M是l行d列的生成矩阵，ρ是将集合{1,2,…,l}中的元素映射到密文策略属性集L中属性的映射，密文策略属性集L是访问控制策略T中所有属性的集合；

4.4b)数据出售方随机选择正整数s作为秘密值，并计算秘密值s的l个秘密份额λ_i，

λ_i＝M_i·v，

其中，M_i表示矩阵M的第i行，i∈[1,l]，v表示随机向量(s,v₂,...,v_l)，v₂,...,v_l表示随机选择的l-1个正整数；

4.4c)数据出售方随机选择l个正整数r₁,…,r_l，计算属性密文Z：

其中，D表示密钥密文，e(·)表示双线性映射，g表示生成元，s表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数。

步骤5，数据验证。

5.1)数据出售方将密钥哈希值h₂、属性密文Z和加密公钥pk发送给数据购买方；

5.2)数据购买方判断自己的属性是否满足属性密文的访问策略，若满足，则继续交易，执行5.3)，否则，结束交易；

5.3)数据购买方使用属性加密的解密算法对属性密文Z进行解密，得到N个密钥密文D₁,D₂,…,D_N，并选择一个正整数作为验证组号j发送给数据出售方，解密步骤如下：

5.3a)根据拉格朗日插值公式，计算随机数s；

5.3b)按照下式，计算密钥密文D：

其中，g表示生成元，e(·)表示双线性映射，t表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数；

5.4)数据出售方将验证组号j对应的数据m_j，种子密钥k_j发送给数据购买方；

5.5)数据购买方验证数据m_j是否真实，若真实，则执行步骤(6)，否则，结束交易。验证步骤如下：

5.5a)验证明文数据是否是自己想要的数据，如果是，则继续验证，否则，结束交易；

5.5b)验证明文和密文是否对应，如果对应，则继续验证，否则，结束交易；

5.5c)验证密钥和密钥密文是否对应，如果对应，则数据真实，否则，数据不真实。

步骤6，承诺签名。

6.1)数据出售方使用椭圆曲线签名算法对消息进行签名计算承诺签名Sig₂，将承诺签名Sig₂发送给数据购买方，计算步骤如下：

6.1a)按照下式，计算消息的哈希值e₁：

e₁＝h(o₁)，

其中，h(·)表示安全抗碰撞哈希函数，o₁表示要签名的消息；

6.1b)随机选择一个整数f，按照下式计算临时公钥R：

R＝xmodn，

(x,y)＝f·G，

其中，(x,y)表示秘密值的公钥对应的坐标值，·表示相乘操作，G表示椭圆曲线上的基点,n表示生成元的阶；

6.1c)按照下式，计算签名Sig₂：

Sig₂＝f^-1(e₁+R·sk)(modn)，

其中，f^-1表示不同于f的整数，且满足f^-1·f＝1(modn)；

6.2)数据购买方使用椭圆曲线签名验证算法对承诺签名Sig₂进行验证，验证步骤如下：

6.2a)按照下式，计算消息的哈希值e：

e＝h(o)，

其中，h(·)表示安全抗碰撞哈希函数，o表示要签名的消息；

6.2b)按照下式，计算解点(x₁,y₁)：

(x₁,y₁)＝e·Sig₂ ^-1·G+R·Sig₂ ^-1·pk，

其中，·表示相乘操作，Sig₂ ^-1表示不同于Sig₂的整数，且满足Sig₂ ^-1·Sig₂＝1(modn)，n表示生成元的阶，G表示椭圆曲线上的基点，R表示临时公钥；

6.2c)验证下式是否成立：

x₁ mod n＝R，

如果成立，则签名正确，否则，签名不正确；

6.3)数据出售方随机选择正整数作为接收私钥w，使用椭圆曲线密钥生成算法计算接收私钥w对应的接收公钥W，将接收公钥W发送给数据购买方，计算公式如下：

W＝w·G，

其中，·表示相乘操作，G表示椭圆曲线上的基点。

步骤7，快速支付。

7,1)数据购买方使用快速支付账户将区块链资产发送到加密公钥pk和接收公钥W的联合地址上,该地址的锁定脚本是加密公钥pk和接收公钥W，只有同时提供对应两个公钥的签名，才能花费资产；此外，公钥pk的签名必须采用固定的随机数f；

7.2)数据出售方花费联合地址的区块链资产，使用椭圆曲线签名算法对交易进行签名Sig₃，将交易广播到区块链网络中，实现步骤如下：

7.2a)按照下式，计算消息的哈希值e₂：

e₂＝h(o₂)，

其中，h(·)表示安全抗碰撞哈希函数，o₂表示要签名的消息；

7.2b)随机选择一个整数f，按照下式计算临时公钥R：

R＝x mod n，

(x,y)＝f·G，

其中，(x,y)表示秘密值的公钥对应的坐标值，·表示相乘操作，G表示椭圆曲线上的基点,n表示生成元的阶；

7.2c)按照下式，计算签名Sig₃：

Sig₃＝f^-1(e₂+R·sk)(modn)，

其中，f^-1表示不同于f的整数，且满足f^-1·f＝1(modn)。

步骤8，提取密钥。

数据购买方监听区块链网络中关于联合地址的交易，并计算私钥sk：

本实例使用椭圆曲线签名漏洞算法，根据两次使用同一随机数f的签名Sig₂和Sig₃，得到私钥sk，以在数据出售方拿到资产的同时，数据购买方也拿到私钥，实现快速交易，减少交易时间，保证交易的公平性。具体计算公式如下：

其中，f表示两次签名时使用的随机数，e₁表示承诺签名的消息哈希，R表示f对应的临时公钥，e₂表示监听到的交易信息哈希。

步骤9，解密数据。

数据购买方使用椭圆曲线解密算法对N个密钥密文D₁,D₂,…,D_N进行解密，得到N个种子密钥k₁,k₂,…,k_N，并使用AES解密算法对数据密文C₁,C₂,…,C_N进行解密，得到数据，完成交易。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围内之内。

Claims (10)

1.一种区块链上基于身份的数据快速交易方法，其特征在于，包括如下：

(1)管理者随机选择两个大小不同的正整数α和β，使用初始化算法计算公共参数pp和主密钥MSK；

(2)用户注册：

(2a)数据出售方和数据购买方向管理者进行身份注册，管理者根据用户的身份信息，使用基于身份的密钥生成算法计算用户的身份密钥SK_id，发送给数据出售方和数据购买方；

(2b)数据出售方和数据购买方向管理者进行属性注册，管理者根据用户的属性集合，使用属性加密的密钥生成算法计算用户的属性密钥SK_S，发送给数据出售方和数据购买方；

(3)数据上传：

(3a)数据出售方将要交易的数据平均分成N份，即m₁,m₂,…,m_N，并随机选择N个不同正整数作为AES加密算法的N个种子密钥k₁,k₂,…,k_N，使用AES加密算法，分别对N份数据m₁,m₂,…,m_N进行加密，生成N份数据密文C₁,C₂,…,C_N，N≥1；

(3b)数据出售方使用安全抗碰撞哈希函数，计算数据密文C₁,C₂,…,C_N的密文哈希值h₁，并使用基于身份的签名算法对密文哈希值h₁进行签名，生成身份签名Sig₁；

(3c)数据出售方将数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁上传到公有云；

(4)密钥加密：

(4a)数据购买方在公有云下载数据密文C₁,C₂,…,C_N，密文哈希值h₁和身份签名Sig₁，并使用基于身份的签名验证算法对身份签名Sig₁进行验证；

(4b)数据出售方随机选择正整数作为加密私钥sk，使用椭圆曲线密钥生成算法计算加密私钥对应的加密公钥pk；

(4c)数据出售方使用椭圆曲线加密算法对N个种子密钥k₁,k₂,…,k_N进行加密，生成N个密钥密文D₁,D₂,…,D_N，并使用安全抗碰撞哈希函数计算密钥密文D₁,D₂,…,D_N的密钥哈希值h₂；

(4d)数据出售方使用属性加密算法对密钥密文D₁,D₂,…,D_N进行加密，生成属性密文Z；

(5)数据验证：

(5a)数据出售方将密钥哈希值h₂、属性密文Z和加密公钥pk发送给数据购买方；

(5b)数据购买方判断自己的属性是否满足属性密文的访问策略，若满足，则执行步骤(5c)，否则，结束交易；

(5c)数据购买方使用属性加密的解密算法对属性密文Z进行解密，得到N个密钥密文D₁,D₂,…,D_N，并选择一个正整数作为验证组号j发送给数据出售方；

(5d)数据出售方将验证组号j对应的数据m_j，种子密钥k_j发送给数据购买方；

(5e)数据购买方验证数据m_j是否真实，若真实，则执行步骤(6)，否则，结束交易；

(6)承诺签名：

(6a)数据出售方使用椭圆曲线签名算法对消息进行签名计算承诺签名Sig₂，将承诺签名Sig₂发送给数据购买方；

(6b)数据购买方使用椭圆曲线签名验证算法对承诺签名Sig₂进行验证；

(6c)数据出售方随机选择正整数作为接收私钥w，使用椭圆曲线密钥生成算法计算接收私钥w对应的接收公钥W，将接收公钥W发送给数据购买方；

(7)快速支付：

(7a)数据购买方使用快速支付账户将区块链资产发送到加密公钥pk和接收公钥W的联合地址上；

(7b)数据出售方花费联合地址的区块链资产，使用椭圆曲线签名算法对交易进行签名Sig₃，将交易广播到区块链网络中；

(8)提取密钥：数据购买方监听区块链网络中关于联合地址的交易，并使用椭圆曲线签名漏洞算法计算加密私钥sk；

(9)解密数据：数据购买方使用椭圆曲线解密算法对N个密钥密文D₁,D₂,…,D_N进行解密，得到N个种子密钥k₁,k₂,…,k_N，并使用AES解密算法对数据密文C₁,C₂,…,C_N进行解密，得到数据，完成交易。

2.根据权利要求1所述的方法，其特征在于，步骤(1)中使用初始化算法计算公共参数pp和主密钥MSK，计算公式如下：

pp＝(g,e(g,g)^α,g^β,h(·))，

MSK＝g^α，

其中，g表示生成元，e(·)表示双线性映射，h(·)表示安全抗碰撞哈希函数。

3.根据权利要求1所述的方法，其特征在于，步骤(2a)中计算用户的身份密钥SK_id，公式如下：

SK_id＝{g^αg^βt,g^t,h(id)^t}，

其中，g表示生成元，t表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数，id表示用户的身份信息。

4.根据权利要求1所述的方法，其特征在于，步骤(2b)中计算用户的属性密钥SK_S，公式如下：

SK_S＝{g^αg^βb,g^b,h(x)^b _x∈S}，

其中，g表示生成元，h(·)表示安全抗碰撞哈希函数，b表示随机选择的正整数，x表示用户的子属性，S表示用户的属性集合。

5.根据权利要求1所述的方法，其特征在于，步骤(3b)中对密文哈希值h₁进行签名，公式如下：

Sig₁＝(id,g^αg^β(t+τ),g^t,g^τ,h(id)^t·h(h₁)^τ)，

其中，id表示用户的身份信息，g表示生成元，t和τ表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数。

6.根据权利要求1所述的方法，其特征在于，步骤(4a)中对身份签名Sig₁进行验证，验证如下公式是否成立：

如果等式成立，则签名通过验证，否则，签名不通过验证，其中，e(·)表示双线性映射，g表示生成元，t和τ表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数。

7.根据权利要求1所述的方法，其特征在于，步骤(4d)中使用属性加密算法对密钥密文D₁,D₂,…,D₁₀₀进行加密，实现步骤如下：

(4d1)，数据出售方制定访问控制策略T，并生成线性秘密共享体制LSSS构造访问控制结构(M,ρ)，其中M是l行d列的生成矩阵，ρ是将集合{1,2,…,l}中的元素映射到密文策略属性集L中属性的映射，密文策略属性集L是访问控制策略T中所有属性的集合；

(4d2)数据出售方随机选择正整数s作为秘密值，并计算秘密值s的l个秘密份额λ_i，

λ_i＝M_i·v，

其中，M_i表示矩阵M的第i行，i∈[1,l]，v表示随机向量(s,v₂,...,v_l)，v₂,...,v_l表示随机选择的l-1个正整数；

(4d3)数据出售方随机选择l个正整数r₁,…,r_l，计算属性密文Z：

其中，D表示密钥密文，e(·)表示双线性映射，g表示生成元，s表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数。

8.根据权利要求1所述的方法，其特征在于，步骤(5c)中对属性密文Z进行解密，步骤如下：

(5c1)根据拉格朗日插值公式，计算随机数s；

(5c2)按照下式，计算密钥密文D：

其中，g表示生成元，e(·)表示双线性映射，t表示随机选择的正整数，h(·)表示安全抗碰撞哈希函数。

9.根据权利要求1所述的方法，其特征在于，步骤(5e)中数据购买方验证数据m_j是否真实，验证步骤如下：

(5e1)验证明文数据是否是自己想要的数据，如果是，则执行步骤(5e2)，否则，结束交易；

(5e2)验证明文和密文是否对应，如果对应，则执行步骤(5e3)，否则，结束交易；

(5e3)验证密钥和密钥密文是否对应，如果对应，则数据真实，否则，数据不真实。

10.根据权利要求1所述的方法，其特征在于，步骤(8)中计算加密私钥sk，公式如下：

其中，f表示两次签名时使用的随机数，e₁表示承诺签名的消息哈希，R表示f对应的临时公钥，e₂表示监听到的交易信息哈希。