CN111079191A - 一种基于区块链的cp-abe访问控制方案 - Google Patents
一种基于区块链的cp-abe访问控制方案 Download PDFInfo
- Publication number
- CN111079191A CN111079191A CN202010020135.XA CN202010020135A CN111079191A CN 111079191 A CN111079191 A CN 111079191A CN 202010020135 A CN202010020135 A CN 202010020135A CN 111079191 A CN111079191 A CN 111079191A
- Authority
- CN
- China
- Prior art keywords
- key
- attribute
- user
- access control
- block chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims abstract description 8
- 238000010586 diagram Methods 0.000 claims description 5
- 230000009466 transformation Effects 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种区块链结合基于属性加密的访问控制架构,针对多授权中心的场景下基于密文策略的属性加密,将授权中心的工作交由区块链执行,利用智能合约构建属性授权中心之间的信任关系,并建立密钥管理机制,由智能合约完成属性授权、密钥管理以及属性撤销。本申请中的方案使得基于属性加密的访问控制过程公开透明,更加灵活安全。
Description
技术领域
本发明涉及基于区块链的访问控制领域,尤其涉及基于属性加密的访问控制。
背景技术
访问控制能够防止非法用户访问系统中的数据,非常适合应用于云环境中,保护用户的隐私安全。然而传统的访问控制方案存在很多问题,它要求实施访问控制策略的一方必须是可信的,另外它不能应用于更细粒度更灵活的环境中。基于属性加密(Attribute-Based Encryption,ABE)的访问控制方案能够解决上述问题,被认为是一种适合应用于云存储环境中保护数据安全的访问控制技术。基于属性的加密分为两类:密文策略的属性加密(Ciphertext Policy Attribute Based Encryption,CP-ABE)和密钥策略的属性加密(Key Policy Attribute Based Encryption,KP-ABE)。在CP-ABE 访问控制方案中,数据拥有者可以制定具体的访问控制策略, 这使得访问控制更容易实施。
传统的基于CP-ABE的访问控制方案中的大部分工作都由一个属性授权中心(Attribute authority ,AA)完成,包括属性授权、密钥管理等,这会存在单点故障等安全问题,并且现如今用户的属性往往来源于不同的机构,所以多授权中心更符合应用需求。现有的多授权中心下的CP-ABE访问控制方案大都需要一个第三方建立AA间的信任问题、管理公共安全参数等,这里的第三方需要完全可信,但在实际场景下是存在安全隐患的。
区块链作为一种分布式去中心化的计算和存储架构,能够解决访问控制中心化授权机构设计所导致的问题。中心化授权机构存在的问题主要体现在单点故障以及中心机构自身的安全问题,将区块链引入CP-ABE访问控制中,可利用区块链可追踪且不可篡改的特性建立AA注册、密钥管理和属性撤销。
发明内容
本发明提出了一种基于区块链的CP-ABE访问控制架构,将原有方案中AA的工作交给区块链完成,主要包括AA注册、属性授权、密钥计算和属性撤销。
本发明的目的是通过以下技术方案来实现的:一种基于区块链的CP-ABE访问控制方案,该方案中的架构根据其功能分为两层:应用层和区块链层。应用层包括用户、属性授权中心、认证中心,通过智能合约与区块链进行交互。
一种基于区块链的CP-ABE访问控制方案的工作流程:
所有的AA根据其职能划分为多个域,每个AA管理一个域;
数据所有者到本域的AA请求加密密钥,请求通过后AA返回一个加密密钥;
数据所有者将数据文件使用加密密钥加密,数据所有者对明文加密后,选择RSA密钥对,利用公钥对密文再次加密,然后将密文上传到云服务商,同时将私钥发布到区块链作为转换密钥(Transform Key, TK),用于后续撤销;
用户从云服务商请求得到密文;
用户通过智能合约向AA获取属性授权,AA将用户的属性签名后写入用户的合约;
用户利用收集得到的属性合约和自身的公钥向AA请求解密密钥,AA验证用户的属性后计算得到解密密钥,并通过用户公钥加密后返回给用户;
用户利用自己的私钥解密后得到解密密钥,然后解密密文;
属性撤销的发起者是AA,当一个用户的某个属性失效时,相关AA要对该属性撤销。首先向用户属性合约写入属性,状态为禁用,然后通知数据所有者使用新的公钥对密文重加密,然后将新的私钥发布到区块链替换TK,设置对状态为禁用的用户不可见。
所述基于区块链的CP-ABE访问控制方案的实现方法:应用层与现有的区块链对接,区块链作为一个可信的第三方,替代原有方案中的第三方平台,每个AA作为区块链上的账户,应用层将计算、管理等任务委托给区块链完成。
总的来说,本发明的有益效果如下:
本发明中基于区块链的CP-ABE访问控制架构,利用区块链建立AA间的信任关系,计算和管理密钥,一方面解决了原有方案中的单点故障问题,减轻了AA的工作负担,另一方面可以保证访问控制过程的公开透明,其中的数据不会被篡改。
附图说明
图1是本发明基于区块链的CP-ABE访问控制架构示意图;
图2是本发明访问控制中的用户请求密钥流程示意图;
图3是本发明访问控制中的属性撤销流程示意图;
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示的架构展示了本发明的整体流程:
第1步:新加入的属性授权机构要向区块链发起注册请求,通过智能合约发送其主题、有效时间和公钥,认证中心对其认证通过后颁发身份证书。
第2步:数据所有者到本域的AA请求加密密钥,请求通过后AA返回一个加密密钥;
第3步:数据所有者将数据文件使用加密密钥加密,数据所有者对明文加密后,选择RSA密钥对,利用公钥对密文再次加密,然后将密文上传到云服务商,同时将私钥发布到区块链作为转换密钥TK,用于后续撤销;
第4步:用户从云服务商请求得到密文;
第5步:用户通过智能合约向AA获取属性授权,AA将用户的属性签名后写入用户的合约;
第6步:用户利用收集得到的属性合约和自身的公钥向AA请求解密密钥,AA验证用户的属性后计算得到解密密钥,并通过用户公钥加密后返回给用户;
第7步:用户利用自己的私钥解密后得到解密密钥,然后解密密文;
基于上述的架构,提出基于区块链的CP-ABE访问控制中的密钥请求和属性撤销方案。
参照图2,图2为本发明基于区块链的CP-ABE访问控制中密钥请求的流程示意图:
本发明实施例提供了基于区块链的CP-ABE访问控制中密钥请求的实施例,需要说明的是,虽然在示意图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
基于区块链的CP-ABE访问控制的密钥请求流程包括:
第1步:用户建立自己的属性智能合约公布到区块链上,通过线下方式向各个AA请求认证,认证通过的AA以<属性,认证时间,状态>的方式写入到用户的属性智能合约中;
第2步:用户利用自己的属性智能合约和自己的公钥向本域AA请求解密密钥,本域AA读取合约中的所有状态为“可用”的属性,计算一个解密密钥,然后将该密钥使用用户的公钥加密后以智能合约的形式返回给用户;
第3步:用户得到AA返回的结果后,利用自己的私钥对其解密得到解密密钥。
参照图3,本发明基于区块链的CP-ABE访问控制中属性撤销的流程示意图:
第1步:属性授权机构通知数据所有者要发起撤销,数据所有者需要更新密钥和密文;
第2步:数据所有者选取新的转换密钥TK对密文进行重加密,并将TK发布到区块链上;
第3步:属性授权机构将需要撤销的用户的属性更新,更新方式为重新按照<属性,时间,状态>的形式写入用户的属性智能合约,这里的状态置为“禁用”。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。
Claims (4)
1.一种基于区块链的CP-ABE访问控制架构,其特征包括:将区块链引入CP-ABE访问控制中,可利用区块链可追踪且不可篡改的特性建立AA注册、密钥管理和属性撤销。
2.如权利1要求所述,一种基于区块链的CP-ABE访问控制步骤如下:
第1步:新加入的属性授权机构要向区块链发起注册请求,通过智能合约发送其主题、有效时间和公钥,认证中心对其认证通过后颁发身份证书;
第2步:数据所有者到本域的AA请求加密密钥,请求通过后AA返回一个加密密钥;
第3步:数据所有者将数据文件使用加密密钥加密,数据所有者对明文加密后,选择RSA密钥对,利用公钥对密文再次加密,然后将密文上传到云服务商,同时将私钥发布到区块链作为转换密钥(TK),用于后续撤销;
第4步:用户从云服务商请求得到密文;
第5步:用户通过智能合约向AA获取属性授权,AA将用户的属性签名后写入用户的合约;
第6步:用户利用收集得到的属性合约和自身的公钥向AA请求解密密钥,AA验证用户的属性后计算得到解密密钥,并通过用户公钥加密后返回给用户;
第7步:用户利用自己的私钥解密后得到解密密钥,然后解密密文。
3.基于区块链的CP-ABE访问控制的密钥请求流程包括:
第1步:用户建立自己的属性智能合约公布到区块链上,通过线下方式向各个AA请求认证,认证通过的AA以<属性,认证时间,状态>的方式写入到用户的属性智能合约中;
第2步:用户利用自己的属性智能合约和自己的公钥向本域AA请求解密密钥,本域AA读取合约中的所有状态为“可用”的属性,计算一个解密密钥,然后将该密钥使用用户的公钥加密后以智能合约的形式返回给用户;
第3步:用户得到AA返回的结果后,利用自己的私钥对其解密得到解密密钥。
4.基于区块链的CP-ABE访问控制中属性撤销的流程示意图:
第1步:属性授权机构通知数据所有者要发起撤销,数据所有者需要更新密钥和密文;
第2步:数据所有者选取新的转换密钥TK对密文进行重加密,并将TK发布到区块链上;
第3步:属性授权机构将需要撤销的用户的属性更新,更新方式为重新按照<属性,时间,状态>的形式写入用户的属性智能合约,这里的状态置为“禁用”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010020135.XA CN111079191A (zh) | 2020-01-09 | 2020-01-09 | 一种基于区块链的cp-abe访问控制方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010020135.XA CN111079191A (zh) | 2020-01-09 | 2020-01-09 | 一种基于区块链的cp-abe访问控制方案 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111079191A true CN111079191A (zh) | 2020-04-28 |
Family
ID=70322533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010020135.XA Pending CN111079191A (zh) | 2020-01-09 | 2020-01-09 | 一种基于区块链的cp-abe访问控制方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111079191A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698083A (zh) * | 2020-06-03 | 2020-09-22 | 湖南大学 | 一种可外包多授权中心的属性基加密方法 |
| CN111935080A (zh) * | 2020-06-24 | 2020-11-13 | 布比(北京)网络技术有限公司 | 区块链的数据共享方法、装置、计算机设备和存储介质 |
| CN112671535A (zh) * | 2020-12-28 | 2021-04-16 | 华南农业大学 | 多中心可撤销密钥策略属性基加密方法、装置及存储介质 |
| CN113507359A (zh) * | 2021-06-18 | 2021-10-15 | 泰安北航科技园信息科技有限公司 | 基于区块链的数字版权多权限属性加密管理系统 |
| CN114338026A (zh) * | 2021-12-17 | 2022-04-12 | 复旦大学 | 基于属性签名与区块链的匿名信息反馈系统 |
| CN114513533A (zh) * | 2021-12-24 | 2022-05-17 | 北京理工大学 | 一种分类分级健身健康大数据共享系统及方法 |
| CN114567639A (zh) * | 2022-03-03 | 2022-05-31 | 临沂大学 | 一种基于区块链的轻量级访问控制系统及方法 |
| CN114710370A (zh) * | 2022-06-08 | 2022-07-05 | 山东省计算中心(国家超级计算济南中心) | 基于雾区块链和属性加密的细粒度访问控制方法及系统 |
| US12284227B1 (en) | 2019-11-09 | 2025-04-22 | Arrowhead Center, Inc. | Scalable auditability of monitoring |
-
2020
- 2020-01-09 CN CN202010020135.XA patent/CN111079191A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12284227B1 (en) | 2019-11-09 | 2025-04-22 | Arrowhead Center, Inc. | Scalable auditability of monitoring |
| CN111698083A (zh) * | 2020-06-03 | 2020-09-22 | 湖南大学 | 一种可外包多授权中心的属性基加密方法 |
| CN111935080A (zh) * | 2020-06-24 | 2020-11-13 | 布比(北京)网络技术有限公司 | 区块链的数据共享方法、装置、计算机设备和存储介质 |
| CN112671535A (zh) * | 2020-12-28 | 2021-04-16 | 华南农业大学 | 多中心可撤销密钥策略属性基加密方法、装置及存储介质 |
| CN113507359A (zh) * | 2021-06-18 | 2021-10-15 | 泰安北航科技园信息科技有限公司 | 基于区块链的数字版权多权限属性加密管理系统 |
| CN114338026A (zh) * | 2021-12-17 | 2022-04-12 | 复旦大学 | 基于属性签名与区块链的匿名信息反馈系统 |
| CN114513533A (zh) * | 2021-12-24 | 2022-05-17 | 北京理工大学 | 一种分类分级健身健康大数据共享系统及方法 |
| CN114513533B (zh) * | 2021-12-24 | 2023-06-27 | 北京理工大学 | 一种分类分级健身健康大数据共享系统及方法 |
| CN114567639A (zh) * | 2022-03-03 | 2022-05-31 | 临沂大学 | 一种基于区块链的轻量级访问控制系统及方法 |
| CN114567639B (zh) * | 2022-03-03 | 2023-08-18 | 临沂大学 | 一种基于区块链的轻量级访问控制系统及方法 |
| CN114710370A (zh) * | 2022-06-08 | 2022-07-05 | 山东省计算中心(国家超级计算济南中心) | 基于雾区块链和属性加密的细粒度访问控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111079191A (zh) | 一种基于区块链的cp-abe访问控制方案 | |
| Saini et al. | A smart-contract-based access control framework for cloud smart healthcare system | |
| CN114172735B (zh) | 基于智能合约的双链混合式区块链数据共享方法及系统 | |
| US9948619B2 (en) | System and method for encryption key management in a mixed infrastructure stream processing framework | |
| TWI701929B (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| US9380037B2 (en) | Methods and devices for trusted protocols for a non-secured, distributed environment with applications to virtualization and cloud-computing security and management | |
| CN110099043A (zh) | 支持策略隐藏的多授权中心访问控制方法、云存储系统 | |
| CN109818757A (zh) | 云存储数据访问控制方法、属性证书颁发方法及系统 | |
| CN106302334B (zh) | 访问角色获取方法、装置及系统 | |
| CN114826766B (zh) | 基于区块链跨链的安全可验证服务提供方法及系统 | |
| JP2023527815A (ja) | 非中央集権化されたコンピュータ・ネットワークを介したセキュアなデータ転送のための方法、装置、及びコンピュータ可読媒体 | |
| CN113360886B (zh) | 一种加密数据共享的方法、装置、设备及可读介质 | |
| CN112487443A (zh) | 一种基于区块链的能源数据细粒度访问控制方法 | |
| Alniamy et al. | Attribute-based access control of data sharing based on hyperledger blockchain | |
| WO2023078055A1 (zh) | 在第一区域和第二区域间数据安全共享的方法和系统 | |
| CN115694838A (zh) | 基于可验证凭证与零知识证明的匿名可信访问控制方法 | |
| CN101296230A (zh) | 基于PKI和PMI的Web服务安全控制机制 | |
| Wise et al. | Cloud docs: secure scalable document sharing on public clouds | |
| CN112307508B (zh) | 一种基于sgx、cp-abe和区块链的可撤销数据共享系统 | |
| CN114944941A (zh) | 一种基于区块链的物联网服务分布式访问控制方法 | |
| US9219715B2 (en) | Mediator utilizing electronic content to enforce policies to a resource | |
| Zhao et al. | PKI-based authentication mechanisms in grid systems | |
| CN118368117A (zh) | 针对链上数字内容基于密文策略属性加密的受控访问方法及设备 | |
| CN117473551A (zh) | 一种基于区块链和访问控制的数据共享方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200428 |