CN114826652A - 一种基于双区块链的可溯源访问控制方法 - Google Patents

一种基于双区块链的可溯源访问控制方法 Download PDF

Info

Publication number
CN114826652A
CN114826652A CN202210233245.3A CN202210233245A CN114826652A CN 114826652 A CN114826652 A CN 114826652A CN 202210233245 A CN202210233245 A CN 202210233245A CN 114826652 A CN114826652 A CN 114826652A
Authority
CN
China
Prior art keywords
file
strategy
access
user
point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210233245.3A
Other languages
English (en)
Inventor
郭永安
王园梦
郭静
孙洪波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202210233245.3A priority Critical patent/CN114826652A/zh
Publication of CN114826652A publication Critical patent/CN114826652A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于双区块链的可溯源访问控制方法,包括:生成解密密钥、文件存储、访问控制策略存储、访问授权、用户访问、文件解密,初始用户需要提供自身属性信息进行注册,得到解密密钥;上传的文件经过加密后存储在IPFS分布式文件系统中,并根据文件设置属性的访问智能策略,只有满足智能策略时才能访问文件;访问获取的文件还需要注册时的解密密钥进行解密,当发现文件被篡改时,查看访问过程查找违规用户,达到更准确的设备溯源。本发明采用无配对CP‑ABE算法对上传文件加密,利用椭圆曲线加密中的简单标量乘法代替双线性配对,提高文件加密的效率;利用IPFS分布式文件系统存储文件数据,降低数据库被攻击的风险,防止文件丢失和被篡改。

Description

一种基于双区块链的可溯源访问控制方法
技术领域
本发明涉及区块链访问控制领域,特别涉及一种基于双区块链的可溯源访问控制方法。
背景技术
随着云计算、物联网、大数据等信息技术的发展,分布在不用域的各种不同系统、设备之间频繁地互联互通,相互之间数据的访问和流转成为一种趋势。在数据访问和流转中,数据的安全性和隐私性成为制约信息技术发展的瓶颈,访问控制技术为合法的主体在特定的访问环境下授予一定的访问权限,成为保障数据安全和隐私的主要手段。
中国发明专利CN108123936公开了一种基于区块链技术的访问控制方法及系统,将区块链技术与属性基访问控制相结合,以策略为依据,将属性和策略的判定过程绑定在所有区块链节点上。
中国发明专利CN111130757公开了一种基于区块链的多云CP-ABE访问控制方案,其包括加密过程与解密过程,通过引入多云存储架构,每个子云托管部分属性集,可有效地为用户提供隐私保障,同时提供了更好的冗余和容错机制。
现有访问控制方法存在以下缺点:(1)访问过程形成的访问记录有被访问者篡改的可能,无法保证其可信度;(2)数据文件加密效率较低,总体计算开销较大;(3)文件数据存放在云端数据库中由第三方进行管理,存在易被篡改丢失的风险;(4)由第三方执行访问控制授权,过程不透明,无法确定第三方授权中心授权结果的可信度。
发明内容
发明目的:针对以上问题,本发明目的是提供一种基于双区块链的可溯源访问控制方法,将区块链技术、无配对CP-ABE加密和属性基访问控制相结合,提高访问控制的安全性和可信度。
技术方案:本发明的一种基于双区块链的可溯源访问控制方法,包括如下步骤:
S10,生成解密密钥
用户管理点接收用户端发送的自身属性,执行无配对CP-ABE算法为每个用户分配用户标识UID和全局参数PP,生成解密密钥USK返回给用户端;
S20,文件存储
加密节点接收用户端发送的文件,通过无配对CP-ABE算法对文件加密,计算文件内容哈希值H2并发送给用户端,加密节点将加密后的文件发送到IPFS分布式文件系统进行存储;
IPFS分布式文件系统返回文件地址哈希值H1,通过加密节点发送给用户端;S30,访问控制策略存储
策略管理点接收用户端发送的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,并通过策略部署点上传到客体区块链存储智能策略;
客体区块链返回智能策略地址,通过策略部署点发送到策略管理点进行存储;S40,访问授权
策略执行点接收来自用户端的访问请求,将该访问请求对应的请求内容发送到策略管理点查询文件的智能策略地址,策略执行点生成访问决策请求并发给策略决策点;
策略决策点决策访问属性是否满足,并将访问授权过程存储在日志区块链上;S50,用户访问
IPFS分布式文件系统接收用户端发送的访问凭据和访问请求,将访问凭据转发到访问凭据验证点进行验证,若验证正确,IPFS分布式文件系统则将请求文件发送给用户端;
访问凭据验证点将访问过程生成访问日志,发送到日志区块链进行存储;
S60,文件解密
用户端的访问者接收到请求文件,对文件进行解密和哈希值H2验证,若验证正确,则文件没有被篡改,错误则查找上次访问者访问操作。
进一步,所述无配对CP-ABE算法包括用户初始化、公钥生成、私钥生成三个过程:
S101,用户初始化:
智能合约根据用户端上传的自身属性随机生成一个安全参数K,经过计算得到全局参数PP与用户标识UID,构建阶为q的有限域GF(q),在有限域GF(q)中选取椭圆曲线E,根据椭圆曲线E的阶数r生成不同的椭圆曲线循环群,G为阶是r的椭圆曲线循环群生成器;选取哈希函数H(UID)->GF(q),哈希函数的输入为用户身份标识UID,使用户身份标识UID映射到GF(q)中元素,并定义属性集L={a1,a2,...,am},生成全局参数PP={GF(q),G,L,E,H};
S102,公钥生成:
用户端输入全局参数PP到智能合约,智能合约对用户自身属性管理,对属性ai选取随机数ki∈GF(q),并维护与用户标识UID对应的属性列表生成公钥PK与主密钥MSK,公钥表示为PK={kiG|ai∈L},主密钥表示为MSK={ki|ai∈L};
S103,私钥生成:
智能合约为用户生成私钥Ski,UID,表示身份标识为UID的用户所包含属性ai的属性密钥,用户管理点将生成的私钥发送到用户端的用户,用户选取随机数z,n∈GF(q),得到用户解密密钥USK,由用户保管,用来解密加密的文件;SKi,UID=MSK+H(UID),USK=SKi,UID+H(UID)*n+z;
进一步,步骤S20中,通过无配对CP-ABE算法对文件加密包括:
输入全局参数PP、公钥PK及文件M,由智能合约执行无配对CP-ABE算法对文件M进行加密,得到密文CT,将密文CT打包成区块,加密节点将密文CT发送到IPFS分布式文件系统中进行存储。
进一步,在步骤S10中,生成解密密钥包括:
用户管理点调用智能合约对属性集进行管理,生成公钥PK与主密钥MSK,计算生成用户解密密钥USK。
进一步,在步骤S30中,所述策略管理点包括策略转化点和策略库;
所述策略转化点根据收到的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,策略转化点将智能策略发送到策略部署点;
所述策略库用于存放智能策略地址。
进一步,在步骤S30中,客体区块链返回智能策略地址,通过策略部署点发送到策略管理点进行存储之后还包括:
策略管理点根据策略形成时间为智能策略设置策略标识符,将策略标识符存放到策略库中;
用户端将文件地址哈希值H1和文件内容哈希值H2打包处理成客体索引,将客体索引发送到客体部署点,客体部署点将接受到的客体索引放置到客体区块链上。
进一步,步骤S40中,策略决策点接收策略执行点的访问决策请求后还包括:
S401,策略决策点调用智能合约,智能合约根据智能策略地址从客体区块链中调取智能策略,从策略信息点中调取访问者的属性信息,并执行智能策略,判断访问用户属性是否满足智能策略要求,判断完成后,生成访问控制结果发送到策略决策点;
S402,策略决策点将访问控制结果存储到客体区块链,并将访问控制结果发送给策略执行点;
S403,如果访问控制结果为授权成功,策略执行点返回一个文件的访问凭据给用户端,如果访问控制结果为授权失败,策略执行点返回授权失败结果给客户端;
S404,访问授权结束后,策略执行点将访问授权过程生成访问授权日志,将访问授权日志发送给日志记录点,由日志记录点将访问授权日志存储到日志区块链上。
进一步,步骤S50中,IPFS分布式文件系统接收用户端发送的访问凭据和访问请求之前还包括:策略执行点接收用户端发送的访问凭据和访问请求,解析出文件地址哈希值H1,通过文件地址哈希值H1在IPFS分布式文件系统中调取请求文件。
进一步,步骤S60中,当文件被篡改后,包括:
S601,用户端将已被篡改的文件信息发送到文件检查点,文件检查点对文件内容哈希值H2进行验证;
S602,若验证结果为该文件确被篡改,则篡改文件信息发送到日志管理点,由日志管理点去日志区块链上调取该文件的上次访问者,查看上次访问者的访问操作;
S603,如果上次访问者的访问操作中存在违规行为,日志管理点将信息广播到其他节点,并将该访问者的设备信息发送到用户管理点,用户管理点将该用户信息去除,并设置黑名单。
进一步,所述访问凭据只能使用一次,用户端的访问用户再次访问文件时,需要再申请访问凭据。
有益效果:本发明与现有技术相比,其显著优点是:
1、本发明采用客体区块链和日志区块链的双链结构,利用客体区块链存储访问凭据、文件内容哈希值、文件直至哈希值,防止上述数据被篡改;利用日志区块链存储访问过程、访问授权过程,保证访问过程的可溯源,便于找到恶意访问设备;
2、采用无配对CP-ABE算法对上传文件加密,利用椭圆曲线加密中的简单标量乘法代替双线性配对,提高文件加密的效率,减少总体计算开销;
3、利用IPFS分布式文件系统存储文件数据,将文件拆散存储在多个节点中,降低数据库被攻击的风险,防止文件丢失和被篡改;
4、将访问控制策略和CP-ABE加密算法通过智能合约的形式,部署在计算节点中,保证访问控制授权过程和加密过程的透明度,提高节点的授权结果可信性;
5、采用可变属性设计访问控制策略,放置一次授权多次访问,每次访问都要进行重新访问授权,提高文件存储安全性。
附图说明
图1为本发明流程图;
图2为文件存储框架图;
图3为访问控制策略存储框架图;
图4为访问授权框架图;
图5为用户访问框架图;
图6为文件解密流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。
本实施例所述的一种基于双区块链的可溯源访问控制方法,流程图如图1所示,包括以下步骤:
S10,生成解密密钥
使用该方法上传文件或访问文件的用户,都需要先进行注册,获取一个专属的解密密钥。注册时,用户将自身属性上传到用户管理点,用户管理点接收用户端发送的自身属性后,执行无配对CP-ABE算法为每个用户分配用户标识UID和全局参数PP。用户管理点调用智能合约对属性集进行管理,生成公钥PK与主密钥MSK,计算生成用户解密密钥USK,将解密密钥USK返回给用户端。
无配对CP-ABE算法包括用户初始化、公钥生成、私钥生成三个过程:
S101,用户初始化:
智能合约根据用户端上传的自身属性随机生成一个安全参数K,经过计算得到全局参数PP与用户标识UID,构建阶为q的有限域GF(q),在有限域GF(q)中选取椭圆曲线E,根据椭圆曲线E的阶数r生成不同的椭圆曲线循环群,G为阶是r的椭圆曲线循环群生成器。选取哈希函数H(UID)->GF(q),哈希函数的输入为用户身份标识UID,使用户身份标识UID映射到GF(q)中元素,并定义属性集L={a1,a2,...,am},生成全局参数PP={GF(q),G,L,E,H};
S102,公钥生成:
用户端输入全局参数PP到智能合约,智能合约对用户自身属性管理,对属性ai选取随机数ki∈GF(q),并维护与用户标识UID对应的属性列表生成公钥PK与主密钥MSK,公钥表示为PK={kiG|ai∈L},主密钥表示为MSK={ki|ai∈L};
S103,私钥生成:
智能合约为用户生成私钥Ski,UID,表示身份标识为UID的用户所包含属性ai的属性密钥,用户管理点将生成的私钥发送到用户端的用户,用户选取随机数z,n∈GF(q),得到用户解密密钥USK,由用户保管,用来解密加密的文件。SKi,UID=MSK+H(UID),USK=SKi,UID+H(UID)*n+z;
S20,文件存储
如图2所示,上传用户将文件上传到加密节点,加密节点接收用户端发送的文件后,通过无配对CP-ABE算法对文件加密,计算文件内容哈希值H2并发送给用户端,加密节点将加密后的文件发送到IPFS分布式文件系统进行存储;IPFS分布式文件系统返回文件地址哈希值H1,通过加密节点发送给用户端。
其中,通过无配对CP-ABE算法对文件加密包括:
输入全局参数PP、公钥PK及文件M,由智能合约执行无配对CP-ABE算法对文件M进行加密,得到密文CT,将密文CT打包成区块,加密节点将密文CT发送到IPFS分布式文件系统中进行存储。
IPFS分布式文件系统属于第三方分布式数据库,内部由一条区块链维护,包含多个存储节点,将接受到的文件数据拆散,保存到多个内部节点中,根据多个节点地址生成文件地址哈希值H1,保存到内部区块链上,并返回给加密节点;访问用户提供文件地址哈希值H1,IPFS分布式文件系统就会根据文件地址哈希值H1查询文件,将保存在多个节点的文件合并成原始文件,返回给访问用户。
S30,访问控制策略存储
如图3所示,上传用户根据上传文件设计访问控制策略,策略管理点接收用户端发送的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,并通过策略部署点上传到客体区块链存储智能策略;客体区块链返回智能策略地址,通过策略部署点发送到策略管理点进行存储。策略管理点根据策略形成时间为智能策略设置策略标识符,用来区别不同文件智能策略,将策略标识符存放到策略库中。用户端将文件地址哈希值H1和文件内容哈希值H2打包处理成客体索引,将客体索引发送到客体部署点,客体部署点将接受到的客体索引放置到客体区块链上。
访问控制策略是指上传用户设置允许用户访问的操作行为,如可查看不能下载、部分下载、全部下载等行为,设置允许用户访问的属性集,如时间、位置、访问网络环境、设备IP地址等属性。
策略管理点包括策略转化点和策略库,策略转化点根据收到的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,策略转化点将智能策略发送到策略部署点,策略库用于存放智能策略地址。
S40,访问授权
如图4所示,访问者根据需要访问的文件生成访问请求,将请求发送给策略执行点,策略执行点接收来自用户端的访问请求后,将该访问请求对应的请求内容发送到策略管理点查询文件的智能策略地址,策略执行点生成访问决策请求并发给策略决策点。策略决策点决策访问属性是否满足,并将访问授权过程存储在日志区块链上。
日志区块链上记录了访问授权过程和访问过程,访问授权过程和访问过程将记录上述计算节点的授权过程、验证过程和访问用户的访问操作等信息,上传用户可以查看自己上传的文件有没有存在非法授权操作,访问用户可以查看授权点和验证点等控制点是否执行智能合约的规定,监察节点,防止这些节点被攻击和收买。
将该访问请求对应的请求内容发送到策略管理点查询文件的智能策略地址包括:
策略执行点根据收到的访问请求,查询访问请求所要访问文件的策略标识符,将策略标识符发送给策略管理点;
策略管理点根据接收到的策略标识符,在策略库中查询策略标识符对应的智能策略地址,将智能策略地址返回给策略执行点。
策略决策点接收策略执行点的访问决策请求后还包括:
S401,策略决策点调用智能合约,智能合约根据智能策略地址从客体区块链中调取智能策略,从策略信息点中调取访问者的属性信息,并执行智能策略,判断访问用户属性是否满足智能策略要求,判断完成后,生成访问控制结果发送到策略决策点;
上述策略信息点保存访问用户的访问属性,当访问用户想要访问文件时,策略信息点检测访问用户的访问属性,包括时间、地点、访问网络环境、设备IP等,将检测到的访问用户的访问属性保存,以便执行智能策略时提取验证。
S402,策略决策点将访问控制结果存储到客体区块链,并将访问控制结果发送给策略执行点;
S403,如果访问控制结果为授权成功,策略执行点返回一个文件的访问凭据给用户端,如果访问控制结果为授权失败,策略执行点返回授权失败结果给客户端;
S404,访问授权结束后,策略执行点将访问授权过程生成访问授权日志,将访问授权日志发送给日志记录点,由日志记录点将访问授权日志存储到日志区块链上。
S50,用户访问
如图5所示,访问用户接收到策略执行点发送的文件访问凭证后,请求文件时再将访问凭据和访问请求发送给策略执行点,策略执行点接收用户端发送的访问凭据和访问请求后,解析出文件地址哈希值H1,通过文件地址哈希值H1调取存储在IPFS分布式文件系统的请求文件。
IPFS分布式文件系统接收用户端发送的访问凭据和访问请求,将访问凭据转发到访问凭据验证点进行验证,访问凭据验证点对访问凭据验证完成后,将验证结果放到客体区块链上,返回验证结果给IPFS分布式文件系统。若验证正确,IPFS分布式文件系统则将请求文件发送给用户端;如果验证错误,IPFS分布式文件系统则将验证错误结果发送给用户端。访问过程结束后,访问凭据验证点会将上述访问过程生成访问日志,将访问日志发送给日志记录点,由日志记录点将访问日志放到日志区块链上进行存储。
访问凭据只能使用一次,用户端的访问用户再次访问文件时,需要再申请访问凭据。访问凭据中记录了访问凭据ID值、文件索引值、策略地址、策略标识、允许访问用户的操作行为、访问用户属性、允许访问用户的属性集。
S60,文件解密
如图6所示,用户端的访问者接收到请求文件,对文件进行解密和哈希值H2验证,若验证正确,则文件没有被篡改,错误则查找上次访问者访问操作。
进一步,步骤S60中,当文件被篡改后,包括:
S601,用户端将已被篡改的文件信息发送到文件检查点,文件检查点对文件内容哈希值H2进行验证;
S602,若验证结果为该文件确被篡改,则篡改文件信息发送到日志管理点,由日志管理点去日志区块链上调取该文件的上次访问者,查看上次访问者的访问操作;
S603,如果上次访问者的访问操作中存在违规行为,日志管理点将信息广播到其他节点,并将该访问者的设备信息发送到用户管理点,用户管理点将该用户信息去除,并设置黑名单。
上述文件解密时,访问用户对获得的文件执行CP-ABE算法的数据解密过程。解密时访问用户用自己保存的私钥USK对密文CT进行解密,如果访问用户私钥USK中的属性满足密文CT中设置的属性集,则可以得到原始文件M。

Claims (10)

1.一种基于双区块链的可溯源访问控制方法,其特征在于,包括如下步骤:
S10,生成解密密钥
用户管理点接收用户端发送的自身属性,执行无配对CP-ABE算法为每个用户分配用户标识UID和全局参数PP,生成解密密钥USK返回给用户端;
S20,文件存储
加密节点接收用户端发送的文件,通过无配对CP-ABE算法对文件加密,计算文件内容哈希值H2并发送给用户端,加密节点将加密后的文件发送到IPFS分布式文件系统进行存储;
IPFS分布式文件系统返回文件地址哈希值H1,通过加密节点发送给用户端;
S30,访问控制策略存储
策略管理点接收用户端发送的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,并通过策略部署点上传到客体区块链存储智能策略;
客体区块链返回智能策略地址,通过策略部署点发送到策略管理点进行存储;
S40,访问授权
策略执行点接收来自用户端的访问请求,将该访问请求对应的请求内容发送到策略管理点查询文件的智能策略地址,策略执行点生成访问决策请求并发给策略决策点;
策略决策点决策访问属性是否满足,并将访问授权过程存储在日志区块链上;
S50,用户访问
IPFS分布式文件系统接收用户端发送的访问凭据和访问请求,将访问凭据转发到访问凭据验证点进行验证,若验证正确,IPFS分布式文件系统则将请求文件发送给用户端;
访问凭据验证点将访问过程生成访问日志,发送到日志区块链进行存储;
S60,文件解密
用户端的访问者接收到请求文件,对文件进行解密和哈希值H2验证,若验证正确,则文件没有被篡改,错误则查找上次访问者访问操作。
2.根据权利要求1所述的可溯源访问控制方法,其特征在于,所述无配对CP-ABE算法包括用户初始化、公钥生成、私钥生成三个过程:
S101,用户初始化:
智能合约根据用户端上传的自身属性随机生成一个安全参数K,经过计算得到全局参数PP与用户标识UID,构建阶为q的有限域GF(q),在有限域GF(q)中选取椭圆曲线E,根据椭圆曲线E的阶数r生成不同的椭圆曲线循环群,G为阶是r的椭圆曲线循环群生成器;选取哈希函数H(UID)->GF(q),哈希函数的输入为用户身份标识UID,使用户身份标识UID映射到GF(q)中元素,并定义属性集L={a1,a2,...,am},生成全局参数PP={GF(q),G,L,E,H};
S102,公钥生成:
用户端输入全局参数PP到智能合约,智能合约对用户自身属性管理,对属性ai选取随机数ki∈GF(q),并维护与用户标识UID对应的属性列表生成公钥PK与主密钥MSK,公钥表示为PK={kiG|ai∈L},主密钥表示为MSK={ki|ai∈L};
S103,私钥生成:
智能合约为用户生成私钥Ski,UID,表示身份标识为UID的用户所包含属性ai的属性密钥,用户管理点将生成的私钥发送到用户端用户,用户选取随机数z,n∈GF(q),得到用户解密密钥USK,由用户保管,用来解密加密的文件;SKi,UID=MSK+H(UID),USK=SKi,UID+H(UID)*n+z。
3.根据权利要求2所述的可溯源访问控制方法,其特征在于,步骤S20中,通过无配对CP-ABE算法对文件加密包括:
输入全局参数PP、公钥PK及文件M,由智能合约执行无配对CP-ABE算法对文件M进行加密,得到密文CT,将密文CT打包成区块,加密节点将密文CT发送到IPFS分布式文件系统中进行存储。
4.根据权利要求3所述的可溯源访问控制方法,其特征在于,在步骤S10中,生成解密密钥包括:
用户管理点调用智能合约对属性集进行管理,生成公钥PK与主密钥MSK,计算生成用户解密密钥USK。
5.根据权利要求1所述的可溯源访问控制方法,其特征在于,在步骤S30中,所述策略管理点包括策略转化点和策略库;
所述策略转化点根据收到的访问控制策略,调用智能合约,将访问控制策略转化为智能策略,策略转化点将智能策略发送到策略部署点;
所述策略库用于存放智能策略地址。
6.根据权利要求5所述的可溯源访问控制方法,其特征在于,在步骤S30中,客体区块链返回智能策略地址,通过策略部署点发送到策略管理点进行存储之后还包括:
策略管理点根据策略形成时间为智能策略设置策略标识符,将策略标识符存放到策略库中;
用户端将文件地址哈希值H1和文件内容哈希值H2打包处理成客体索引,将客体索引发送到客体部署点,客体部署点将接受到的客体索引放置到客体区块链上。
7.根据权利要求1所述的可溯源访问控制方法,其特征在于,步骤S40中,策略决策点接收策略执行点的访问决策请求后还包括:
S401,策略决策点调用智能合约,智能合约根据智能策略地址从客体区块链中调取智能策略,从策略信息点中调取访问者的属性信息,并执行智能策略,判断访问用户属性是否满足智能策略要求,判断完成后,生成访问控制结果发送到策略决策点;
S402,策略决策点将访问控制结果存储到客体区块链,并将访问控制结果发送给策略执行点;
S403,如果访问控制结果为授权成功,策略执行点返回一个文件的访问凭据给用户端,如果访问控制结果为授权失败,策略执行点返回授权失败结果给客户端;
S404,访问授权结束后,策略执行点将访问授权过程生成访问授权日志,将访问授权日志发送给日志记录点,由日志记录点将访问授权日志存储到日志区块链上。
8.根据权利要求1所述的可溯源访问控制方法,其特征在于,步骤S50中,IPFS分布式文件系统接收用户端发送的访问凭据和访问请求之前还包括:策略执行点接收用户端发送的访问凭据和访问请求,解析出文件地址哈希值H1,通过文件地址哈希值H1在IPFS分布式文件系统中调取请求文件。
9.根据权利要求1所述的可溯源访问控制方法,其特征在于,步骤S60中,当文件被篡改后,包括:
S601,用户端将已被篡改的文件信息发送到文件检查点,文件检查点对文件内容哈希值H2进行验证;
S602,若验证结果为该文件确被篡改,则将篡改文件信息发送到日志管理点,由日志管理点去日志区块链上调取该文件的上次访问者,查看上次访问者的访问操作;
S603,如果上次访问者的访问操作中存在违规行为,日志管理点将信息广播到其他节点,并将该访问者的设备信息发送到用户管理点,用户管理点将该用户信息去除,并设置黑名单。
10.根据权利要求1所述的可溯源访问控制方法,其特征在于,所述访问凭据只能使用一次,用户端的访问用户再次访问文件时,需要再申请访问凭据。
CN202210233245.3A 2022-03-10 2022-03-10 一种基于双区块链的可溯源访问控制方法 Pending CN114826652A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210233245.3A CN114826652A (zh) 2022-03-10 2022-03-10 一种基于双区块链的可溯源访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210233245.3A CN114826652A (zh) 2022-03-10 2022-03-10 一种基于双区块链的可溯源访问控制方法

Publications (1)

Publication Number Publication Date
CN114826652A true CN114826652A (zh) 2022-07-29

Family

ID=82529075

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210233245.3A Pending CN114826652A (zh) 2022-03-10 2022-03-10 一种基于双区块链的可溯源访问控制方法

Country Status (1)

Country Link
CN (1) CN114826652A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906927A (zh) * 2022-11-29 2023-04-04 李星 基于人工智能的数据访问分析方法、系统及云平台
CN117034355A (zh) * 2023-10-08 2023-11-10 江西省工业和信息化研究院 一种多源工业信息的数据管理方法及系统
CN117176477A (zh) * 2023-11-02 2023-12-05 中国兵器工业信息中心 基于区块链的装备研制数据细粒度访问控制系统及方法
CN117251859A (zh) * 2023-03-15 2023-12-19 桂林电子科技大学 一种基于区块链地理信息数据共享系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112836229A (zh) * 2021-02-10 2021-05-25 北京深安信息科技有限公司 属性基加密和区块链结合的可信数据访问控制方案
CN113360925A (zh) * 2021-06-04 2021-09-07 中国电力科学研究院有限公司 电力信息物理系统中可信数据的存储和访问方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112836229A (zh) * 2021-02-10 2021-05-25 北京深安信息科技有限公司 属性基加密和区块链结合的可信数据访问控制方案
CN113360925A (zh) * 2021-06-04 2021-09-07 中国电力科学研究院有限公司 电力信息物理系统中可信数据的存储和访问方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
QIJIE QIAN, ET AL.: "Multi-path selection access algorithm and design of intelligent perception network model for blockchain-enabled CPSs", ACM DIGITAL LIBRARY *
董江涛等: "雾计算中基于无配对CP-ABE可验证的访问控制方案", 通信学报, vol. 42, no. 8, pages 139 - 150 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115906927A (zh) * 2022-11-29 2023-04-04 李星 基于人工智能的数据访问分析方法、系统及云平台
CN115906927B (zh) * 2022-11-29 2023-11-03 北京国联视讯信息技术股份有限公司 基于人工智能的数据访问分析方法、系统及云平台
CN117251859A (zh) * 2023-03-15 2023-12-19 桂林电子科技大学 一种基于区块链地理信息数据共享系统及方法
CN117034355A (zh) * 2023-10-08 2023-11-10 江西省工业和信息化研究院 一种多源工业信息的数据管理方法及系统
CN117034355B (zh) * 2023-10-08 2024-01-16 江西省工业和信息化研究院 一种多源工业信息的数据管理方法及系统
CN117176477A (zh) * 2023-11-02 2023-12-05 中国兵器工业信息中心 基于区块链的装备研制数据细粒度访问控制系统及方法
CN117176477B (zh) * 2023-11-02 2024-01-26 中国兵器工业信息中心 基于区块链的装备研制数据细粒度访问控制系统及方法

Similar Documents

Publication Publication Date Title
Kaaniche et al. A secure client side deduplication scheme in cloud storage environments
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
Michalas The lord of the shares: Combining attribute-based encryption and searchable encryption for flexible data sharing
US10803194B2 (en) System and a method for management of confidential data
CN113132103B (zh) 一种数据跨域安全共享系统及方法
Jiang et al. Secure and efficient cloud data deduplication with ownership management
US8838961B2 (en) Security credential deployment in cloud environment
US9219722B2 (en) Unclonable ID based chip-to-chip communication
US10911538B2 (en) Management of and persistent storage for nodes in a secure cluster
CN114826652A (zh) 一种基于双区块链的可溯源访问控制方法
US20140270179A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US20160330209A1 (en) A data securing system and method
US20200259637A1 (en) Management and distribution of keys in distributed environments
KR20160044022A (ko) 데이터에 대한 액세스 인에이블링
CN114239046A (zh) 数据共享方法
Tu et al. A secure, efficient and verifiable multimedia data sharing scheme in fog networking system
Chen et al. Password-authenticated searchable encryption
CN114826702A (zh) 数据库访问密码加密方法、装置和计算机设备
US9485229B2 (en) Object level encryption system including encryption key management system
Yan et al. Secure and efficient big data deduplication in fog computing
US20090164782A1 (en) Method and apparatus for authentication of service application processes in high availability clusters
Thota et al. Split key management framework for Open Stack Swift object storage cloud
Lu et al. DCR: DataCapsule Replication System
US20240070309A1 (en) System and method for efficient cryptographically-assured data access management for advanced data access policies
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination