CN114650137A - 一种基于区块链的支持策略隐藏的解密外包方法及系统 - Google Patents

一种基于区块链的支持策略隐藏的解密外包方法及系统 Download PDF

Info

Publication number
CN114650137A
CN114650137A CN202210559496.0A CN202210559496A CN114650137A CN 114650137 A CN114650137 A CN 114650137A CN 202210559496 A CN202210559496 A CN 202210559496A CN 114650137 A CN114650137 A CN 114650137A
Authority
CN
China
Prior art keywords
ciphertext
outsourcing
block chain
key
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210559496.0A
Other languages
English (en)
Other versions
CN114650137B (zh
Inventor
徐淑奖
钟金荣
王连海
张淑慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weihai Gangtong Information Technology Co ltd
Qilu University of Technology
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Shandong Computer Science Center National Super Computing Center in Jinan
Priority to CN202210559496.0A priority Critical patent/CN114650137B/zh
Publication of CN114650137A publication Critical patent/CN114650137A/zh
Application granted granted Critical
Publication of CN114650137B publication Critical patent/CN114650137B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于数据安全技术领域,提供了一种基于区块链的支持策略隐藏的解密外包方法及系统,将访问策略中的属性分为属性名和属性值两部分,将更为敏感的属性值嵌入到密文中隐藏访问策略,从而避免访问策略显式存储造成的用户隐私泄露缺陷;利用区块链实现对用户分布式的细粒度访问控制;将解密过程分为两层,先由第三方服务器对密文进行转换,用户只需要进行一次幂操作即可恢复明文消息,可有效降低用户的数据解密计算开销;使用智能合约对返回的第三方外包转换结果和存储在区块链中的验证密文进行自动比对,实现外包计算的公开验证,既可以验证了第三方外包计算结果的正确性,又保证了验证操作的公平性和可信性。

Description

一种基于区块链的支持策略隐藏的解密外包方法及系统
技术领域
本发明属于数据安全技术领域,尤其涉及一种基于区块链的支持策略隐藏的解密外包方法及系统。
背景技术
数据呈现出爆炸式增长、海量聚集等特点,本地有限的存储空间难以存放日益增多的海量数据,许多个人和单位选择将数据外包存储到存储和计算资源充沛的云服务提供商中。
目前的外包方法中存在如下技术问题,一方面,由于云服务提供商一般提供的是集中式存储,容易单点故障,另一方面,未经加密的数据外包存储到云服务提供商后,数据拥有者就失去对数据的管理权和控制权,可能会带来数据泄露等安全风险。
访问控制技术是保障数据安全的有效措施,它可以保证只有授权用户才能访问指定数据,防止非授权用户的非法访问,访问控制技术依赖于所使用的密码算法,传统加密方式如公钥加密体制(Public Key Cryptosystem)、IBE(identity-based encryption)等只能实现一对一的粗粒度访问控制,难以满足实际应用需求。
由于现实应用中大部分用户的计算能力有限,用户一般难以独立完成计算密集型操作。传统基于属性的加密算法(Attribute-Based Encryption,ABE)、基于密文策略的属性加密(Ciphertext-Policy ABE,CP-ABE)访问控制方案一般只考虑保护数据的机密性,而未考虑用户的隐私泄露问题,通常只将数据进行加密,且访问策略与密文一起显式地存储在云端,由于访问策略中包含授权用户的特定属性,显式存储会暴露数据拥有者和授权用户的隐私信息。目前在大部分基于CP-ABE的访问控制方案中,密文和访问策略都存储在集中式云服务器中,虽然访问控制策略由数据拥有者制定,但对用户的访问控制都由中心化的云服务器执行,存在权力过大和单点故障等缺陷。
发明内容
为了解决上述背景技术中存在的至少一项技术问题,本发明提供一种基于区块链的支持策略隐藏的解密外包方法及系统,其使用了表达灵活的线性访问结构,能支持任意形式的访问控制策略,且隐藏了访问策略,在保护数据机密性的同时保护了用户的隐私。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一个方面提供一种基于区块链的支持策略隐藏的解密外包方法,包括如下步骤:
属性权威机构接收用户端提交的属性集合并生成对应的属性密钥;
数据拥有者采用对称密钥将明文加密得到的密文存储至分布式存储系统,制定访问策略,采用访问策略对对称密钥加密得到隐藏的访问控制策略;
数据拥有者部署智能合约,生成存储交易,将明文哈希值、密钥密文和隐藏的访问控制策略发送至区块链;
数据访问者部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器发送给数据访问者对转换密文解密。
本发明的第二个方面提供一种基于区块链的支持策略隐藏的解密外包系统,包括:
属性权威机构用于接收用户端提交的属性集合并生成对应的属性密钥;
数据拥有者用于采用对称密钥将明文加密得到的密文存储至分布式存储系统,制定访问策略,采用访问策略对对称密钥加密得到隐藏的访问控制策略;
数据拥有者用于部署智能合约,生成存储交易,将明文哈希值、密钥密文和隐藏的访问控制策略发送至区块链;
数据访问者用于部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器将发送至用户端对转换密文解密。
与现有技术相比,本发明的有益效果是:
本发明将访问策略中的属性分为属性名和属性值两部分,公开属性名,将更为敏感的属性值嵌入到密文中,以此来隐藏访问策略,从而避免访问策略显式存储造成的用户隐私泄露缺陷。
本发明使用表达能力强的LSSS访问结构,可以支持任意形式的访问控制策略;利用区块链和CP-ABE实现对用户分布式的细粒度访问控制;将解密过程分为两层,先由第三方服务器对密文进行转换,用户只需要进行一次幂操作即可恢复明文消息,可有效降低用户的数据解密计算开销。
本发明使用智能合约对返回的第三方外包转换结果和存储在区块链中的验证密文进行自动比对,实现外包计算的公开验证,既可以验证了第三方外包计算结果的正确性,又保证了验证操作的公平性和可信性。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是基于区块链的支持策略隐藏的解密外包方法流程图;
图2是基于区块链的支持策略隐藏的解密外包方式示意图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
整体思路:
将访问策略中的属性分为属性名和属性值两部分,将属性名公开,将更为敏感的属性值嵌入到密文当中,以此来隐藏访问策略,在保证数据机密性的同时,也保证用户的隐私不被泄露。利用表达能力强的线性秘密共享结构作为访问结构,支持任意“与”门、“或”门和门限;使用对称密码算法将数据加密存储在链外分布式存储系统中,将密文哈希值存储在区块链中,防止密文被窃取或篡改;使用属性加密方法将数据加密密钥加密,并和访问策略一起存储在区块链中;利用区块链和CP-ABE实现分布式的细粒度访问控制;将解密过程中的密集型计算外包给云服务器,并对返回的转换结果与区块链中的验证密文比较,实现外包计算结果的公开可信验证。因为解密过程中第一层和第二层使用不同的密钥,执行外包解密算法的第三方和恶意用户都不能完全解密密文。
实施例一
如图1-图2所示,本实施例提供了一种基于区块链的支持策略隐藏的解密外包方法,包括如下步骤:
步骤1:系统初始化
作为一种或多种实施例,步骤1中,所述系统初始化包括:
Register(注册):数据拥有者和数据访问者在区块链上进行注册,获取签名公私钥对,用于对交易签名和验证交易的有效性。
(1)Setup(λ) →{PK,MK}
属性权威机构选取安全参数λ,生成公钥和系统主密钥,具体包括:
属性权威机构输入安全参数λ,运行双线性群生成器生成公共参数
Figure 280165DEST_PATH_IMAGE001
其中,p 1p 2p 3p 4是四个不同的大质数,GG T 是阶均为大素数N的乘法循环群,N= p 1 p 2 p 3 p 4;e是双线性配对运算,
Figure 316254DEST_PATH_IMAGE002
,G有四个子群
Figure 332621DEST_PATH_IMAGE003
,子群的阶分别为素数p 1p 2p 3p 4,属性空间表示为U。
(2)从子群
Figure 516477DEST_PATH_IMAGE004
中随机选择g,从ZN中随机选取α、a、β。计算
Figure 292804DEST_PATH_IMAGE005
其中,g为
Figure 917820DEST_PATH_IMAGE006
的生成元;Z N为模N的余数集合;e(g,g)为将群G中元素映射群G T 中的双线性配对运算,即
Figure 511612DEST_PATH_IMAGE007
(3)HH 1为两个哈希函数,
Figure 854869DEST_PATH_IMAGE008
,H1用于验证转换密文的正确性。其中,
Figure 949733DEST_PATH_IMAGE009
为长度为
Figure 491573DEST_PATH_IMAGE010
的二进制串,
Figure 193949DEST_PATH_IMAGE011
为将二进制串映射到模p的整数群中;H 1为普通哈希函数,将字符串映射为指定长度的哈希串。
(4)生成系统公钥
Figure 962185DEST_PATH_IMAGE012
,主密钥
Figure 408210DEST_PATH_IMAGE013
步骤2:
Figure 804556DEST_PATH_IMAGE014
用户端向属性权威机构提交属性集合,S=(I S ,L S )属性权威机构为用户端生成属性密钥
Figure 864785DEST_PATH_IMAGE015
作为一种或多种实施例,步骤2中,属性权威机构接收用户端提交的属性集合并生成对应的属性密钥包括:
属性权威机构从Z N中随机选取t,从
Figure 182634DEST_PATH_IMAGE016
中随机选取R、R1、Ri,其中
Figure 229087DEST_PATH_IMAGE017
。计算
Figure 948782DEST_PATH_IMAGE018
,
Figure 665065DEST_PATH_IMAGE019
属性密钥为
Figure 532527DEST_PATH_IMAGE020
Z N为模N的余数集合;R、R1、Ri都为子群
Figure 320354DEST_PATH_IMAGE021
中的元素;α、a、β、g1为MK中的参数;H(Li)为将属性值映射到整数群中。
其中,所述属性集合包括用户的属性名集合I S 和用户的属性值集合L S ,属性密钥用于生成外包转换密钥。
步骤3:
Figure 815926DEST_PATH_IMAGE022
数据拥有者采用对称密钥算法将待加密的明文数据加密得到的密文存储至分布式存储系统,制定矩阵型访问策略A,其中,访问策略中的属性分为属性名和属性值两部分,将属性名矩阵和映射函数显式存储,将属性值隐藏在密钥密文的多个组件中。
作为一种或多种实施例,步骤3具体包括:
(1)数据拥有者选择对称密码算法和密钥M,加密明文数据data以及数据密文存储到链外分布式存储系统中;
(2)数据拥有者指定访问策略
Figure 93324DEST_PATH_IMAGE023
,其中A为l×n矩阵,ρ将A中的每一行Ax映射为属性名,
Figure 120186DEST_PATH_IMAGE024
为与
Figure 383808DEST_PATH_IMAGE025
关联的属性值集合;
数据拥有者从Z N中随机选取向量
Figure 874832DEST_PATH_IMAGE026
;从群
Figure 260814DEST_PATH_IMAGE027
中随机选取
Figure 227502DEST_PATH_IMAGE028
Figure 153870DEST_PATH_IMAGE029
,从ZN中随机选取rx,其中
Figure 437084DEST_PATH_IMAGE030
(3)将访问策略中的属性分为属性名和属性值两部分,将属性名公开,将更为敏感的属性值嵌入到密文当中。
计算
Figure 197229DEST_PATH_IMAGE031
,
Figure 198683DEST_PATH_IMAGE032
Figure 928742DEST_PATH_IMAGE033
Figure 253413DEST_PATH_IMAGE034
(4)输出生成的密文
Figure 246777DEST_PATH_IMAGE035
其中,g为PK中参数,α、a、β、g1为MK中参数;e(g,g1)为将群G中元素映射群G T 中的双线性配对运算,即
Figure 532265DEST_PATH_IMAGE036
Figure 941380DEST_PATH_IMAGE037
计算哈希值,防止
Figure 995924DEST_PATH_IMAGE038
被篡改,用于对转换密文的验证。
步骤4:数据拥有者部署智能合约,生成存储交易,将明文哈希值、密钥密文和显式存储的属性名矩阵和映射函数元组
Figure 160189DEST_PATH_IMAGE039
发送至区块链;
作为一种或多种实施例,步骤4中,存储交易的生成包括:
步骤401:数据拥有者部署智能合约,输入密文数据的存储地址、密钥密文、区块链中注册得到的私钥,输出存储交易
Figure 57607DEST_PATH_IMAGE040
数据拥有者计算数据明文的摘要
Figure 332730DEST_PATH_IMAGE041
,数据密文的存储地址
Figure 772939DEST_PATH_IMAGE042
、数据密文摘要
Figure 514630DEST_PATH_IMAGE043
、密钥密文
Figure 977972DEST_PATH_IMAGE044
和访问策略
Figure 853524DEST_PATH_IMAGE045
的共同摘要
Figure 85923DEST_PATH_IMAGE046
,并对该摘要签名
Figure 253642DEST_PATH_IMAGE047
步骤402:存储交易生成后,节点将该交易在链上广播给其他节点以验证,通过数据拥有者的签名验证交易的有效性,具体包括:
其他节点接收到广播交易后,计算交易的消息摘要值,记为
Figure 266597DEST_PATH_IMAGE048
,使用数据拥有者的公钥解密他的签名
Figure 883523DEST_PATH_IMAGE049
比较交易的消息摘要值和共同摘要
Figure 908111DEST_PATH_IMAGE050
,若相等,表明该交易确实由数据拥有者发送原始交易,为有效交易,则该交易将会被打包到区块以便通过PBFT进行共识;若不相等,表明该交易被篡改。
步骤5:数据访问者部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥
Figure 116239DEST_PATH_IMAGE051
对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器将转换密文发送至用户端进行最终解密。
作为一种或多种实施例,步骤5中,数据访问者部署解密外包合约,将外包转换密钥发送给区块链包括:
步骤501:
Figure 209966DEST_PATH_IMAGE052
用户随机选取
Figure 427320DEST_PATH_IMAGE053
,计算
Figure 634311DEST_PATH_IMAGE054
Figure 888706DEST_PATH_IMAGE055
步骤502:数据访问者部署智能合约,输入外包转换密钥和在区块链中注册得到的私钥,输出存储交易
Figure 610674DEST_PATH_IMAGE056
数据访问者计算外包转换密钥的摘要
Figure 569403DEST_PATH_IMAGE057
,并对该摘要签名
Figure 817850DEST_PATH_IMAGE058
步骤503:存储交易生成后,节点将该交易在链上广播给其他节点以验证,通过数据访问者的签名验证交易的有效性,具体包括:
其他节点接收到广播交易后,计算交易的消息摘要值,记为
Figure 633360DEST_PATH_IMAGE059
。使用数据访问者的公钥解密他的签名
Figure 780307DEST_PATH_IMAGE060
比较
Figure 214831DEST_PATH_IMAGE061
,若相等,表明该交易确实由数据访问者发送原始交易,为有效交易,则该交易将会被打包到区块链以便进行共识;若不相等,表明该交易被篡改。
所述云服务器采用外包转换密钥对密文进行转换,具体包括:
数据访问者者部署智能合约,输入外包转换密钥TK、密文CT A ,输出存储交易
Figure 927572DEST_PATH_IMAGE062
云服务器搜索计算任务,并下载其中的外包转换密钥和密文;
云服务器使用外包转换密钥TK对密文CT A 进行转换,并将转换密文CT’附在合约上返回。
Figure 117245DEST_PATH_IMAGE063
Figure 938439DEST_PATH_IMAGE064
Figure 238970DEST_PATH_IMAGE065
区块链执行智能合约对服务器返回的解密结果进行验证
Figure 71797DEST_PATH_IMAGE066
,若成立,智能合约判断为true,表明云服务器返回正确结果,智能合约将云服务器返回的结果附在解密外包合约中返回给用户。若不成立,智能合约判断为false,表示云服务器返回错误结果。
用户使用UK对区块链返回的部分解密结果进行最终解密,解密结果为M或
Figure 104475DEST_PATH_IMAGE067
Figure 226015DEST_PATH_IMAGE068
步骤6:数据访问者获取到对称密码算法中的密钥后,根据区块链上存储的密文地址,对密文进行解密得到数据明文data。计算数据明文摘要
Figure 861396DEST_PATH_IMAGE069
,并对比解密后的明文哈希
Figure 938942DEST_PATH_IMAGE070
和原始明文哈希D进行比对,若相等,表明明文未被篡改,若不相等,则表明被篡改。
其中,所述访问策略采用线性矩阵秘密共享方案(Linear Secret SharingScheme,LSSS);
一个线性秘密共享方案是指用一个秘密值s对消息进行加密,该秘密值被分成多份被不同共享份额持有。解密的前提是恢复出秘密值s,达到一定的共享份额即可恢复出秘密值s。该方案包括秘密共享和秘密重构:
(1)秘密共享:在方案中,存在一个l×n的共享矩阵M和映射函数ρ,ρ可以将矩阵中的每一行映射为一个属性。指定
Figure 267155DEST_PATH_IMAGE071
为待共享的秘密值,随机选取
Figure 610412DEST_PATH_IMAGE072
,构成随机列向量
Figure 456008DEST_PATH_IMAGE073
。计算
Figure 201110DEST_PATH_IMAGE074
,M i 为M中第i行向量,λ i 为s在访问矩阵M中的第i份共享份额。
(1)秘密重构:设A为任意授权集合,定义
Figure 965804DEST_PATH_IMAGE075
根据矩阵M,映射函数ρ可以计算一个常量集合
Figure 717728DEST_PATH_IMAGE076
,有
Figure 898174DEST_PATH_IMAGE077
,则可以恢复秘密值
Figure 825678DEST_PATH_IMAGE078
而对于非授权集合来说,不存在这样的常量集合,即无法恢复秘密值s。
由于访问策略中包含授权用户的特定属性,显式存储会暴露数据拥有者和授权用户的隐私信息。
例如在医疗数据共享领域中,患者制定一个访问策略{医院:省立医院;科室:遗传科;医生编号:G-001},即使不知道患者加密的具体数据,但所有人都能通过访问策略知道该患者患有遗传病,这显然不够安全。目前在大部分基于CP-ABE的访问控制方案中,密文和访问策略都存储在集中式云服务器中,虽然访问控制策略由数据拥有者制定,但对用户的访问控制都由中心化的云服务器执行,存在权力过大和单点故障等缺陷。
实施例二
本发明提供一种基于区块链的支持策略隐藏的解密外包系统,包括:
属性权威机构用于接收用户端提交的属性集合并生成对应的属性密钥;
数据拥有者用于采用对称密钥将明文加密得到的密文存储至分布式存储系统,制定矩阵型访问策略将对称密钥加密得到密钥密文,其中访问策略中的属性分为属性名和属性值两部分,将属性名矩阵和映射函数显式存储,将属性值隐藏在密钥密文的多个组件中;
数据拥有者用于部署智能合约,生成存储交易,将明文哈希值、密钥密文和显式存储的属性矩阵和映射函数元组发送至区块链;
数据访问者用于部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器将转换密文发送至用户端,用户对转换密文进行最终解密。
所述访问策略采用线性矩阵秘密共享方案。
所述访问策略中的属性分为属性名和属性值两部分,将属性名公开,将属性值嵌入到密文当中,以此来隐藏访问策略。
云服务器采用外包转换密钥对密文进行转换包括:
搜索计算任务,并下载其中的外包转换密钥和密文;
使用外包转换密钥对密文进行转换,得到转换密文,将转换密文附在合约上返回至区块链。
数据访问者获取到对称密码算法中的密钥后,根据区块链上存储的密文地址,对密文进行解密得到数据明文,计算数据明文摘要,并对比数据明文摘要和
Figure 371060DEST_PATH_IMAGE079
,若结果为true,表明明文未被篡改;若结果为False,表明结果被篡改。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于区块链的支持策略隐藏的解密外包方法,其特征在于,包括如下步骤:
属性权威机构接收用户端提交的属性集合并生成对应的属性密钥;
数据拥有者采用对称密钥将明文加密得到的密文存储至分布式存储系统,制定矩阵型访问策略,其中访问策略中的属性分为属性名和属性值两部分,将属性名矩阵和映射函数显式存储,将属性值隐藏在密钥密文的多个组件中;
数据拥有者部署智能合约,生成存储交易,将明文哈希值、密钥密文和显式存储的属性矩阵和映射函数发送至区块链;
数据访问者部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器将转换密文发送给数据访问者进行解密。
2.如权利要求1所述的一种基于区块链的支持策略隐藏的解密外包方法,其特征在于,所述访问策略采用线性矩阵秘密共享方案。
3.如权利要求2所述的一种基于区块链的支持策略隐藏的解密外包方法,其特征在于,所述线性矩阵秘密共享方案包括:秘密共享和秘密重构,所述秘密共享为在方案中,存在共享矩阵和映射函数,映射函数将共享矩阵中的每一行映射为一个属性,指定待共享的秘密值,构成随机列向量,访问共享矩阵中的共享份额;
所述秘密重构为根据共享矩阵,映射函数计算一个常量集合,恢复秘密值。
4.如权利要求1所述的一种基于区块链的支持策略隐藏的解密外包方法,其特征在于,云服务器采用外包转换密钥对密文进行转换包括:
搜索计算任务,并下载其中的外包转换密钥和密文;
使用外包转换密钥对密文进行转换,得到转换密文,将转换密文附在合约上返回至区块链。
5.如权利要求1所述的一种基于区块链的支持策略隐藏的解密外包方法,其特征在于,数据访问者获取到对称密码算法中的密钥后,根据区块链上存储的密文地址,对密文进行解密得到数据明文,计算数据明文摘要,并对比解密后的数据明文摘要和原始明文摘要,若相等,表明原始明文未被篡改,若不相等,则表明被篡改。
6.一种基于区块链的支持策略隐藏的解密外包系统,其特征在于,包括:
属性权威机构用于接收用户端提交的属性集合并生成对应的属性密钥;
数据拥有者用于采用对称密钥将明文加密得到的密文存储至分布式存储系统,制定访问策略,采用访问策略对对称密钥加密得到隐藏的访问控制策略;
数据拥有者用于部署智能合约,生成存储交易,将明文哈希值、密钥密文和隐藏的访问控制策略发送至区块链;
数据访问者用于部署解密外包合约,将外包转换密钥发送给区块链,区块链将外包转换密钥和密文发送至云服务器,云服务器采用外包转换密钥对密文进行转换,区块链执行智能合约对服务器返回的解密结果进行验证,验证正确,云服务器将转换密文发送至用户端对转换密文解密。
7.如权利要求6所述的一种基于区块链的支持策略隐藏的解密外包系统,其特征在于,所述访问策略采用线性矩阵秘密共享方案。
8.如权利要求7所述的一种基于区块链的支持策略隐藏的解密外包系统,其特征在于,所述线性矩阵秘密共享方案包括:秘密共享和秘密重构,所述秘密共享为在方案中,存在共享矩阵和映射函数,映射函数将共享矩阵中的每一行映射为一个属性,指定待共享的秘密值,构成随机列向量,访问共享矩阵中的共享份额;
所述秘密重构为根据共享矩阵,映射函数计算一个常量集合,恢复秘密值。
9.如权利要求6所述的一种基于区块链的支持策略隐藏的解密外包系统,其特征在于,云服务器用于采用外包转换密钥对密文进行转换包括:
搜索计算任务,并下载其中的外包转换密钥和密文;
使用外包转换密钥对密文进行转换,得到转换密文,将转换密文附在合约上返回至区块链。
10.如权利要求6所述的一种基于区块链的支持策略隐藏的解密外包系统,其特征在于,数据访问者获取到对称密码算法中的密钥后,根据区块链上存储的密文地址,对密文进行解密得到数据明文,计算数据明文摘要,并对比解密后的数据明文摘要和原始明文摘要,若相等,表明原始明文未被篡改,若不相等,则表明被篡改。
CN202210559496.0A 2022-05-23 2022-05-23 一种基于区块链的支持策略隐藏的解密外包方法及系统 Active CN114650137B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210559496.0A CN114650137B (zh) 2022-05-23 2022-05-23 一种基于区块链的支持策略隐藏的解密外包方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210559496.0A CN114650137B (zh) 2022-05-23 2022-05-23 一种基于区块链的支持策略隐藏的解密外包方法及系统

Publications (2)

Publication Number Publication Date
CN114650137A true CN114650137A (zh) 2022-06-21
CN114650137B CN114650137B (zh) 2023-03-24

Family

ID=81997655

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210559496.0A Active CN114650137B (zh) 2022-05-23 2022-05-23 一种基于区块链的支持策略隐藏的解密外包方法及系统

Country Status (1)

Country Link
CN (1) CN114650137B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208674A (zh) * 2022-07-18 2022-10-18 神州数码融信软件有限公司 一种去中心化的全局限流方法及系统
CN115567247A (zh) * 2022-08-31 2023-01-03 西安电子科技大学 一种去中心化的多权威隐私保护数据访问控制方法及系统
CN117251873A (zh) * 2023-02-19 2023-12-19 桂林电子科技大学 一种基于区块链的地理信息数据云存储方法
CN117648706A (zh) * 2023-11-30 2024-03-05 云南大学 基于区块链和属性加密的访问控制方法
CN117955752A (zh) * 2024-03-27 2024-04-30 暨南大学 一种计算可控的数据隐私保护方法、系统及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180069899A1 (en) * 2016-07-08 2018-03-08 Ulrich Lang Method and system for policy management, testing, simulation, decentralization and analysis
CN111695095A (zh) * 2020-04-27 2020-09-22 西安电子科技大学 一种部分策略隐藏访问控制方法、系统、无线通信系统
CN112752236A (zh) * 2020-12-31 2021-05-04 网络通信与安全紫金山实验室 一种基于区块链的网联汽车认证方法、设备及储存介质
CN113055168A (zh) * 2021-03-29 2021-06-29 陕西师范大学 支持策略隐藏和属性更新的密文策略属性加密方法
CN113626831A (zh) * 2020-05-08 2021-11-09 西安电子科技大学 一种云中支持隐私保护和解密的cp-abe方法
CN113836222A (zh) * 2021-08-24 2021-12-24 北京理工大学 一种基于区块链的可隐藏策略和属性的访问控制方法
CN114065265A (zh) * 2021-11-29 2022-02-18 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备
CN114143094A (zh) * 2021-12-02 2022-03-04 兰州理工大学 基于区块链的多授权属性基可验证加密方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109559231B (zh) * 2018-12-29 2020-08-04 华东师范大学 一种面向区块链的追溯查询方法
CN112532588B (zh) * 2020-11-06 2023-01-31 北京工业大学 一种基于区块链的策略隐藏型数据访问控制方法
CN113489733B (zh) * 2021-07-13 2022-07-29 郑州轻工业大学 基于区块链的内容中心网络隐私保护方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180069899A1 (en) * 2016-07-08 2018-03-08 Ulrich Lang Method and system for policy management, testing, simulation, decentralization and analysis
CN111695095A (zh) * 2020-04-27 2020-09-22 西安电子科技大学 一种部分策略隐藏访问控制方法、系统、无线通信系统
CN113626831A (zh) * 2020-05-08 2021-11-09 西安电子科技大学 一种云中支持隐私保护和解密的cp-abe方法
CN112752236A (zh) * 2020-12-31 2021-05-04 网络通信与安全紫金山实验室 一种基于区块链的网联汽车认证方法、设备及储存介质
CN113055168A (zh) * 2021-03-29 2021-06-29 陕西师范大学 支持策略隐藏和属性更新的密文策略属性加密方法
CN113836222A (zh) * 2021-08-24 2021-12-24 北京理工大学 一种基于区块链的可隐藏策略和属性的访问控制方法
CN114065265A (zh) * 2021-11-29 2022-02-18 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备
CN114143094A (zh) * 2021-12-02 2022-03-04 兰州理工大学 基于区块链的多授权属性基可验证加密方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ZHAOQIAN ZHANG;JIANBIAO ZHANG;YILIN YUAN;ZHENG LI: "An Expressive Fully Policy-Hidden Ciphertext Policy Attribute-Based Encryption Scheme With Credible Verification Based on Blockchain", 《IEEE INTERNET OF THINGS JOURNAL》 *
张智烁: "云空间下密文策略属性基加密的研究", 《中国优秀硕士学位论文全文数据库 电子期刊》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208674A (zh) * 2022-07-18 2022-10-18 神州数码融信软件有限公司 一种去中心化的全局限流方法及系统
CN115208674B (zh) * 2022-07-18 2024-09-17 神州数码融信软件有限公司 一种去中心化的全局限流方法及系统
CN115567247A (zh) * 2022-08-31 2023-01-03 西安电子科技大学 一种去中心化的多权威隐私保护数据访问控制方法及系统
CN115567247B (zh) * 2022-08-31 2024-03-19 西安电子科技大学 一种去中心化的多权威隐私保护数据访问控制方法及系统
CN117251873A (zh) * 2023-02-19 2023-12-19 桂林电子科技大学 一种基于区块链的地理信息数据云存储方法
CN117648706A (zh) * 2023-11-30 2024-03-05 云南大学 基于区块链和属性加密的访问控制方法
CN117648706B (zh) * 2023-11-30 2024-07-09 云南大学 基于区块链和属性加密的访问控制方法
CN117955752A (zh) * 2024-03-27 2024-04-30 暨南大学 一种计算可控的数据隐私保护方法、系统及存储介质
CN117955752B (zh) * 2024-03-27 2024-06-07 暨南大学 一种计算可控的数据隐私保护方法、系统及存储介质

Also Published As

Publication number Publication date
CN114650137B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
CN114650137B (zh) 一种基于区块链的支持策略隐藏的解密外包方法及系统
CN112019591B (zh) 一种基于区块链的云数据共享方法
Hao et al. Fine-grained data access control with attribute-hiding policy for cloud-based IoT
CN108881314B (zh) 雾计算环境下基于cp-abe密文隐私保护方法及系统
US5815573A (en) Cryptographic key recovery system
JP3872107B2 (ja) 暗号キー回復システム
CN114039790B (zh) 一种基于区块链的细粒度云存储安全访问控制方法
US20050058294A1 (en) Method, system and device for enabling delegation of authority and access control methods based on delegated authority
CN102571329B (zh) 密码密钥管理
CN110390203B (zh) 一种可验证解密权限的策略隐藏属性基加密方法
CN113411323B (zh) 基于属性加密的医疗病历数据访问控制系统及方法
Fugkeaw et al. Secure and Lightweight Blockchain-Enabled Access Control for Fog-Assisted IoT Cloud Based Electronic Medical Records Sharing
CN115361126B (zh) 一种可验证外包的部分策略隐藏属性加密方法及系统
Hahn et al. Trustworthy delegation toward securing mobile healthcare cyber-physical systems
CN116668072A (zh) 一种基于多权限属性基加密的数据安全共享方法及系统
Chaudhary et al. RMA-CPABE: A multi-authority CPABE scheme with reduced ciphertext size for IoT devices
WO2023098390A1 (zh) 一种基于国密算法的安全的文件共享方法和系统
CN110519040B (zh) 基于身份的抗量子计算数字签名方法和系统
Tian et al. An efficient scheme of cloud data assured deletion
Ruan et al. A policy-hiding attribute-based access control scheme in decentralized trust management
CN110784300A (zh) 一种基于乘法同态加密的密钥合成方法
CN112671543B (zh) 一种基于区块链的公开可验证外包属性基加密方法
CN117454442A (zh) 匿名安全和可追溯的分布式数字取证方法与系统
CN115499229B (zh) 基于身份的云存储加密数据转换方法和系统
Ding et al. Secure Multi‐Keyword Search and Access Control over Electronic Health Records in Wireless Body Area Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20221230

Address after: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Applicant after: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Applicant after: Qilu University of Technology

Applicant after: Weihai Gangtong Information Technology Co.,Ltd.

Address before: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Applicant before: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Patentee after: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Country or region after: China

Patentee after: Qilu University of Technology (Shandong Academy of Sciences)

Patentee after: Weihai Gangtong Information Technology Co.,Ltd.

Address before: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Patentee before: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Country or region before: China

Patentee before: Qilu University of Technology

Patentee before: Weihai Gangtong Information Technology Co.,Ltd.

CP03 Change of name, title or address