CN115189974B - 基于区块链的多组织访问控制方法及装置 - Google Patents
基于区块链的多组织访问控制方法及装置 Download PDFInfo
- Publication number
- CN115189974B CN115189974B CN202211107193.1A CN202211107193A CN115189974B CN 115189974 B CN115189974 B CN 115189974B CN 202211107193 A CN202211107193 A CN 202211107193A CN 115189974 B CN115189974 B CN 115189974B
- Authority
- CN
- China
- Prior art keywords
- attribute
- ciphertext
- updated
- user
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000008520 organization Effects 0.000 claims abstract description 55
- 238000012545 processing Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 abstract description 3
- 238000005070 sampling Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 101150088238 trmFO gene Proteins 0.000 description 8
- 238000012217 deletion Methods 0.000 description 7
- 230000037430 deletion Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101100426292 Myxococcus xanthus (strain DK1622) trmFO gene Proteins 0.000 description 1
- 101100274323 Pinus contorta chlN gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 101150034648 mnmG gene Proteins 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本说明书一个或多个实施例提供一种基于区块链的多组织访问控制方法及装置,方法包括:组织确定需要更新的目标属性后,所述组织所属的属性权威根据所述目标属性,更新所述属性权威的公钥,更新加入所述组织的用户的私钥,更新密文的访问结构;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对发布的数据进行加密后得到的。对于多个属性权威,当属性发生变化时,由属性所属的属性权威根据该属性更新属性权威的公钥、用户私钥和密文即可,无需重新再生成公钥、私钥和密文,能够提高运算效率,降低系统开销。
Description
技术领域
本说明书一个或多个实施例涉及信息安全技术领域,尤其涉及一种基于区块链的多组织访问控制方法及装置。
背景技术
随着分布式应用的发展,多个不同组织之间进行合作已成为趋势。基于属性基加密(attribute-based encryption,ABE)的加密方法具有一对多加密和细粒度访问控制等优点,被广泛应用于区块链访问控制,然而其单权威机制无法实现多组织合作的访问控制。多权威属性基加密 (Multi-Authority ABE,MA-ABE) 方案中,每个权威的属性集合固定,当属性发生变化时,必须基于更新后的属性重新生成公钥、私钥和密文,开销大、效率低,不适用于在区块链上实现访问控制。因此,如何实现一种在区块链上支持多组织间的访问控制方法,是本领域所需解决的问题。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种基于区块链的多组织访问控制方法及装置,能够在区块链上实现多个不同组织间的访问控制。
基于上述目的,本说明书一个或多个实施例提供了基于区块链的多组织访问控制方法,包括:
组织确定需要更新的目标属性后,所述组织所属的属性权威根据所述目标属性,更新所述属性权威的公钥,更新加入所述组织的用户的私钥,更新密文的访问结构;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对发布的数据进行加密后得到的。
可选的,所述属性权威根据所述目标属性,更新所述属性权威的公钥,包括:
根据公共参数、所述属性权威的原始公钥和索引、更新的目标属性、更新的属性的数量,对所述原始公钥进行更新,得到更新后的公钥。
可选的,所述属性权威根据所述目标属性,更新用户的私钥,包括:
根据公共参数、所述属性权威的索引、公钥和私钥、用户的原始私钥、所述属性权威更新后的属性数量、更新的属性、用户的属性集和用户标识符,对用户的原始私钥进行更新,得到更新后的用户的私钥。
可选的,所述属性权威根据所述目标属性,更新密文的访问结构,包括:
根据所述目标属性,确定更新的访问结构;
根据公共参数、所述属性权威的索引和公钥、所述密文的原始访问结构、所述更新的访问结构和所述密文,对所述密文进行更新,得到更新后的密文。
可选的,所述属性权威根据所述目标属性,更新密文的访问结构之前,还包括:
根据公共参数、所述数据、所述制定的访问结构和所有属性权威的公钥,对所述数据进行加密处理,生成密文。
可选的,所述方法还包括:
将所述密文保存于存储服务器中;
将所述密文在所述存储服务器中的存储地址和根据所述数据生成的摘要值发送至区块链。
可选的,对所述密文进行解密,包括:
根据公共参数、所述密文、用户的私钥,所有属性权威的公钥,对所述密文进行解密处理,得到明文数据。
可选的,所述方法还包括:
当第一组织中的目标用户访问第二组织中的数据时,由所述第二组织所属的属性权威根据公共参数、第二组织的属性权威的索引、公钥和私钥、目标用户的原始私钥、第二组织的属性权威的属性数量、更新的属性、目标用户的属性集和目标用户标识符,对目标用户的原始私钥进行更新,得到所述第二组织为目标用户分配的私钥。
可选的,所述方法还包括:
创建中央权威,生成公共参数;
创建多个组织,向所述中央权威注册至少一个属性权威,生成所述属性权威的公钥和私钥;
用户向至少一个组织注册,各属性权威生成所述用户的私钥。
本说明书实施例还提供一种基于区块链的抗量子多组织访问控制装置,包括:
属性更新模块,用于当组织确定需要更新的目标属性后,所述组织所属的属性权威根据所述目标属性,更新所述属性权威的公钥,更新加入所述组织的用户的私钥,更新密文的访问结构;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对数据进行加密后得到的。
从上面所述可以看出,本说明书一个或多个实施例提供的基于区块链的多组织访问控制方法及装置,组织确定需要更新的目标属性后,组织所属的属性权威根据目标属性,更新属性权威的公钥,更新加入组织的用户的私钥,更新密文的访问结构。这样,当属性发生变化时,由属性权威根据该属性更新属性权威的公钥、用户私钥和密文即可,无需重新再生成公钥、私钥和密文,能够提高运算效率,降低系统开销。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例的系统框架示意图;
图2为本说明书一个或多个实施例的方法流程示意图;
图3为本说明书一个或多个实施例的注册流程示意图;
图4为本说明书一个或多个实施例的数据发布示意图;
图5为本说明书一个或多个实施例的数据访问示意图;
图6为本说明书一个或多个实施例的高斯前像采样算法的原理流程图;
图7为本说明书一个或多个实施例的装置结构框图;
图8为本说明书一个或多个实施例的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如图1所示,本说明书实施例提供一种基于区块链的多组织访问控制方法,应用于基于区块链的多权威属性基加密系统中,系统包括中央权威、多个属性权威、存储服务器和区块链。创建组织时,配置属性权威,在不同的应用场景中,组织可以是不同的公司,或者公司中的不同部门,或者不同的学校,或者学校中的不同部门等,属性权威用于管理组织中的属性集合,用户可注册加入一个或多个组织,由组织所属的属性权威为注册的用户分配私钥,组织为加入的用户分配属性集合中的属性。
如图2所示,本实施例提供的基于区块链的多组织访问控制方法,包括:
S201:组织确定需要更新的目标属性后,该组织所属的属性权威根据目标属性,更新属性权威的公钥,更新加入该组织的用户的私钥,更新密文的访问结构。其中,密文是数据拥有者基于制定的访问结构,利用预设的加密算法对数据进行加密后得到的。
本实施例中,当目标属性更新时,属性权威根据目标属性,更新属性权威的公钥,并更新用户的私钥和密文的访问结构,由于属性权威的私钥与属性无关,所以无需更新属性权威的私钥。对于多个属性权威,由于不同属性权威分别管理不同组织的属性集合,因此,当目标属性更新时,由管理目标属性的属性权威进行更新,且仅更新与目标属性相关的部分(属性权威的公钥、用户私钥和密文的访问结构),各属性权威独立更新所管理的属性,当多个属于不同属性权威的目标属性更新时,不同的属性权威可以同时更新与各自管理的目标属性相关的部分。这样,对于多个属性权威,当属性发生变化时,由属性所属的属性权威根据该属性更新属性权威的公钥、用户私钥和密文即可,无需重新再生成公钥、私钥和密文,能够提高运算效率,降低系统开销。
一些实施例中,属性权威根据目标属性,更新属性权威的公钥,包括:
根据公共参数、属性权威的原始公钥、属性权威的索引、更新的目标属性、更新的属性的数量,对属性权威的原始公钥进行更新,得到更新后的属性权威的公钥。
其中,公共参数和属性权威的原始公钥、索引均在系统初始化阶段生成。属性权威
的公钥的更新算法可以表示为 ,更新算法的输
入为:公共参数,属性权威的索引和原始公钥,增加或删除的属性,增加或
删除的属性的数量,算法输出更新后的公钥,由于属性权威的私钥与属性无关,因
而无需更新。
一些实施例中,属性权威根据目标属性,更新加入组织的用户的私钥,包括:
根据公共参数、属性权威的索引、公钥和私钥、用户的原始私钥、属性权威的原始属性数量、更新的属性的数量、用户的属性集和用户标识符,对用户的原始私钥进行更新,得到更新后的用户的私钥。
其中,用户的原始私钥在用户注册加入组织时生成,用户的私钥是各个属性权威
生成的私钥的集合。用户的私钥的更新算法可以表示为:,更新算法的输入为:属
性权威的索引、公钥和私钥,用户的原始私钥,属性权威增加或删除后的
属性数量,增加或删除的属性,用户的属性集和用户标识符gid,算法计算用户gid
在属性权威上的私钥,更新私钥集合中对应于属性权威的私钥部分,最
后输出更新后的用户私钥。
一些实施例中,属性权威根据目标属性,更新密文的访问结构,包括:
根据目标属性,确定更新的访问结构;
根据公共参数、属性权威的索引和公钥、密文的原始访问结构、更新的访问结构和密文,对密文进行更新,得到更新后的密文。
结合图1所示,一些实施例中,数据拥有者可以在系统上发布数据,由数据拥有者制定访问结构,调用加密算法对所要发布的数据进行加密,生成密文,将密文保存于存储服务器中,并将密文在存储服务器中的存储地址和根据数据生成的摘要值发送至区块链。
其中,根据所要发布的数据和制定的访问结构,利用加密算法对数据加密生成密
文的方法是:根据公共参数、发布的数据、访问结构和所有属性权威的公钥,对数据进行加
密处理,生成密文。加密算法可以表示为,算法的输入为:
数据拥有者输入的数据和访问结构W,公共参数,所有属性权威的公钥集合,
算法的输出为密文ct。
一些方式中,支持的访问结构是由正属性(可用上标“+”表示)和负属性(可用上标“-”表示)组成的属性集。正属性表示用户必须持有才能成功解密的属性,负属性表示持有其中一个或多个属性的用户将被排除在授权用户之外。所有属性权威的访问结构共同构成了嵌入密文中的访问结构,这意味着用户需要满足所有访问结构才能访问密文。
当数据使用者从系统获取数据时,先从区块链查询密文在存储服务器中的存储地址,然后根据查询得到的存储地址从存储服务器获取密文和摘要值,调用解密算法对密文进行解密得到明文数据,计算明文数据的摘要值,将计算出的摘要值和获取的摘要值进行比较,判断数据是否被篡改,如果没有篡改可以正常使用。
其中,对密文进行解密的方法是:根据公共参数、密文、用户的私钥,所有属性权威
的公钥,对密文进行解密,得到明文数据。解密算法可以表示为,算法的输入为:密文ct、公共参数、用户的私
钥和所有属性权威的公钥集合,如果用户gid持有的属性集满足密文ct中
包含的访问结构,则解密算法返回解密出的明文数据 ,否则返回符号。对于解密出的明
文数据,计算摘要值,将计算出的摘要值与从区块链获取的摘要值进行比较,若二者一
致,则该明文数据即为数据拥有者发布的数据。
一些实施例中,本申请的多组织访问方法还支持跨组织的数据访问控制。当第一组织中的目标用户访问第二组织中的数据时,目标用户向第二组织申请权限,第二组织所属的属性权威调用用户私钥的更新算法为目标用户更新私钥。根据目标用户的属性集,第二组织的属性权威可以更新其所管理的属性,为目标用户分配私钥之后,目标用户即可利用该私钥访问第二组织中的数据。
其中,第二组织的属性权威利用用户私钥的更新算法为目标用户分配私钥时,算
法的输入为:第二组织的属性权威的索引,第二组织的属性权威的公钥和私钥
,用户的原始私钥,第二组织的属性权威的属性数量,更新的属性(更新的属性可
以是原有的属性由正属性变为负属性,或者负属性变为正属性,对于没有更新的属性,该项
为空即可),目标用户的属性集和目标用户的标识符gid,算法计算目标用户在第二组织
的属性权威上的私钥,更新私钥集合中对应于属性权威上的私钥的部
分,最后输出第二组织为目标用户分配的用户私钥。
以下结合具体实施例对本说明书的基于区块链的多组织访问控制方法进行详细说明。
如图1、3所示,系统包括中央权威、多个属性权威、多个组织以及加入一个或多个
组织的用户。在初始化阶段,S301:创建中央权威,输入一个设定的安全参数,通过全局初
始化算法生成一个公共参数,表示为。全局初始化算法的过程为:
给定安全参数,随机选取,输出公共参数,为正整数,其中,,为高斯参数,,q是素数,。
创建中央权威之后,S302:创建多个组织,并确定组织中的属性,向中央权威注册
属性权威。利用权威初始化算法初始化属性权威,生成属性权威的公钥和私钥,表示为:。设属性权威的数量为N个,属性权威的索引为,每个属性权威独立管理个属性,权威初始化算法的过程为:输入公共参
数和索引之后,属性权威执行:
创建属性权威之后,S303:用户向组织注册,组织所属的属性权威调用密钥生成算
法为用户分配私钥,表示为:,。算法的
输入为:公共参数,所有属性权威的公钥集合和私钥集合,属性数量,用
户标识符gid和该用户的属性集,由每个属性权威生成一个私钥,由各属性权威
生成的密钥的集合组成该用户的私钥。
具体的,输入各项参数之后,属性权威执行:
如图4所示,系统初始化之后,S401:数据拥有者可以在系统上发布数据,由数据拥有者制定访问结构;S402:调用加密算法对所要发布的数据进行加密,生成密文;S403:将密文保存于存储服务器中,并将密文在存储服务器中的存储地址和根据数据生成的摘要值发送至区块链。
如图5所示,当数据使用者从系统获取数据时,S501:先从区块链查询密文在存储服务器中的存储地址,S502:根据查询得到的存储地址从存储服务器获取密文和摘要值,S503:调用解密算法对密文进行解密得到明文数据,S504:计算明文数据的摘要值;S505:将计算出的摘要值和获取的摘要值进行比较,判断数据是否被篡改,S506:如果没有篡改可以正常使用;S507:如果数据被篡改则无法使用。
当属性权威的属性更新时,由组织确定需要添加或删除的属性,属性权威调用属性更新算法更新属性权威的公钥,调用用户私钥更新算法更新用户的私钥,调用密文更新算法更新密文中的访问结构。
其中,权威属性更新算法为,每个属性
权威输入相应的公钥,增加或删除的属性,增加或删除的属性个数,由于属性权
威的私钥与属性无关,无需更新,因而算法仅需输出更新后的公钥。具体的,输入属性
权威的索引,公钥,增加或删除的属性,增加或删除的属性个数,计算:
本说明书实施例提供的基于区块链的多组织访问控制方法,当属性发生变化时,由管理该属性的属性权威根据该属性更新属性权威的公钥、用户私钥和密文即可,无需更新私钥,也无需重新再生成公钥、私钥和密文,能够提高运算效率,降低系统开销。当组织间需要交互访问数据时,由属性权威为用户分配访问数据所需的私钥即可,并根据需要更新属性即可,能够满足多组织间的数据合作需求。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
如图7所示,本说明书实施例还提供一种基于区块链的多组织访问控制装置,包括:
属性更新模块701,用于当组织确定需要更新的目标属性后,所述组织所属的属性权威根据所述目标属性,更新所述属性权威的公钥,更新加入所述组织的用户的私钥,更新密文的访问结构;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对数据进行加密后得到的。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图8示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线 1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (7)
1.基于区块链的多组织访问控制方法,其特征在于,包括:
组织确定需要更新的目标属性后,所述组织所属的属性权威根据公共参数、所述属性权威的原始公钥和索引、更新的目标属性、更新的属性的数量,对所述原始公钥进行更新,得到更新后的属性权威的公钥;
根据公共参数、所述属性权威的索引、公钥和私钥、用户的原始私钥、所述属性权威更新后的属性数量、更新的属性、用户的属性集和用户标识符,对用户的原始私钥进行更新,得到更新后的用户的私钥;
根据所述目标属性,确定更新的访问结构;根据公共参数、所述属性权威的索引和公钥、密文的原始访问结构、所述更新的访问结构和密文,对所述密文进行更新,得到更新后的密文;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对发布的数据进行加密后得到的。
2.根据权利要求1所述的方法,其特征在于,所述属性权威根据所述目标属性,确定更新的访问结构之前,还包括:
根据公共参数、所述数据、所述制定的访问结构和所有属性权威的公钥,对所述数据进行加密处理,生成密文。
3.根据权利要求2所述的方法,其特征在于,还包括:
将所述密文保存于存储服务器中;
将所述密文在所述存储服务器中的存储地址和根据所述数据生成的摘要值发送至区块链。
4.根据权利要求3所述的方法,其特征在于,对所述密文进行解密,包括:
根据公共参数、所述密文、用户的私钥,所有属性权威的公钥,对所述密文进行解密处理,得到明文数据。
5.根据权利要求1所述的方法,其特征在于,还包括:
当第一组织中的目标用户访问第二组织中的数据时,由所述第二组织所属的属性权威根据公共参数、第二组织的属性权威的索引、公钥和私钥、目标用户的原始私钥、第二组织的属性权威的属性数量、更新的属性、目标用户的属性集和目标用户标识符,对目标用户的原始私钥进行更新,得到所述第二组织为目标用户分配的私钥。
6.根据权利要求1所述的方法,其特征在于,还包括:
创建中央权威,生成公共参数;
创建多个组织,向所述中央权威注册至少一个属性权威,生成所述属性权威的公钥和私钥;
用户向至少一个组织注册,各属性权威生成所述用户的私钥。
7.基于区块链的抗量子多组织访问控制装置,其特征在于,包括:
属性更新模块,用于当组织确定需要更新的目标属性后,所述组织所属的属性权威根据公共参数、所述属性权威的原始公钥和索引、更新的目标属性、更新的属性的数量,对所述原始公钥进行更新,得到更新后的属性权威的公钥;根据公共参数、所述属性权威的索引、公钥和私钥、用户的原始私钥、所述属性权威更新后的属性数量、更新的属性、用户的属性集和用户标识符,对用户的原始私钥进行更新,得到更新后的用户的私钥;根据所述目标属性,确定更新的访问结构;根据公共参数、所述属性权威的索引和公钥、密文的原始访问结构、所述更新的访问结构和密文,对所述密文进行更新,得到更新后的密文;其中,所述密文是数据拥有者基于制定的访问结构,利用预设的加密算法对数据进行加密后得到的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211107193.1A CN115189974B (zh) | 2022-09-13 | 2022-09-13 | 基于区块链的多组织访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211107193.1A CN115189974B (zh) | 2022-09-13 | 2022-09-13 | 基于区块链的多组织访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115189974A CN115189974A (zh) | 2022-10-14 |
CN115189974B true CN115189974B (zh) | 2022-12-09 |
Family
ID=83524535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211107193.1A Active CN115189974B (zh) | 2022-09-13 | 2022-09-13 | 基于区块链的多组织访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115189974B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101220160B1 (ko) * | 2012-03-09 | 2013-01-11 | 동국대학교 경주캠퍼스 산학협력단 | 모바일 클라우드 환경에서 안전한 프록시 재암호화 기반의 데이터 관리 방법 |
CN104113408A (zh) * | 2014-07-11 | 2014-10-22 | 西安电子科技大学 | 一种实现及时用户属性撤销的基于密文策略属性加密方法 |
CN105592100A (zh) * | 2016-01-26 | 2016-05-18 | 西安电子科技大学 | 一种基于属性加密的政务云访问控制方法 |
CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
CN113193953A (zh) * | 2021-04-16 | 2021-07-30 | 南通大学 | 一种基于区块链的多权威属性基加密方法 |
CN113486384A (zh) * | 2021-07-28 | 2021-10-08 | 北京字节跳动网络技术有限公司 | 密钥更新方法、装置、多属性权威管理系统、设备及介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6014585B2 (ja) * | 2010-05-19 | 2016-10-25 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 属性ベースのデジタル署名システム |
CN103297227B (zh) * | 2013-07-02 | 2016-03-23 | 西安电子科技大学 | 支持灵活且直接撤销的密文策略下基于属性的加密 |
CN105071937B (zh) * | 2015-07-14 | 2019-01-11 | 河海大学 | 具有高效属性撤销的密文策略属性基加密方法 |
CN112688927B (zh) * | 2020-12-18 | 2022-06-24 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
CN114301677B (zh) * | 2021-12-28 | 2024-02-23 | 中国电信股份有限公司 | 秘钥协商方法、装置、电子设备及存储介质 |
-
2022
- 2022-09-13 CN CN202211107193.1A patent/CN115189974B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101220160B1 (ko) * | 2012-03-09 | 2013-01-11 | 동국대학교 경주캠퍼스 산학협력단 | 모바일 클라우드 환경에서 안전한 프록시 재암호화 기반의 데이터 관리 방법 |
CN104113408A (zh) * | 2014-07-11 | 2014-10-22 | 西安电子科技大学 | 一种实现及时用户属性撤销的基于密文策略属性加密方法 |
CN105592100A (zh) * | 2016-01-26 | 2016-05-18 | 西安电子科技大学 | 一种基于属性加密的政务云访问控制方法 |
CN112073479A (zh) * | 2020-08-26 | 2020-12-11 | 重庆邮电大学 | 一种基于区块链的去中心数据访问控制方法及系统 |
CN113193953A (zh) * | 2021-04-16 | 2021-07-30 | 南通大学 | 一种基于区块链的多权威属性基加密方法 |
CN113486384A (zh) * | 2021-07-28 | 2021-10-08 | 北京字节跳动网络技术有限公司 | 密钥更新方法、装置、多属性权威管理系统、设备及介质 |
Non-Patent Citations (1)
Title |
---|
云存储环境下属性基加密综述;赵志远等;《计算机应用研究》;20170818(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115189974A (zh) | 2022-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102451109B1 (ko) | 디바이스 익명성을 제공하는 키 증명문 생성 | |
EP3639465B1 (en) | Improved hardware security module management | |
US10721217B2 (en) | Cryptographic datashare control for blockchain | |
US10963542B2 (en) | Blockchain-based image processing method and apparatus | |
CN107370730A (zh) | 一种登录信息处理方法及设备 | |
KR102550812B1 (ko) | 동형 암호를 이용한 암호문 비교 방법 및 이를 수행하기 위한 장치 | |
CN101325594A (zh) | 管理a/v简档的方法、设备和系统 | |
US9641328B1 (en) | Generation of public-private key pairs | |
US8972732B2 (en) | Offline data access using trusted hardware | |
CN110851843A (zh) | 基于区块链的数据管理方法及装置 | |
CN114785556B (zh) | 加密通信方法、装置、计算机设备以及存储介质 | |
CN107567625B (zh) | 组许可加密和解密 | |
US8694798B2 (en) | Generating and securing multiple archive keys | |
CN116346310A (zh) | 基于同态加密的匿踪查询方法、装置和计算机设备 | |
CN116340897A (zh) | 一种基于区块链的数字资产处理方法及装置 | |
CN115189974B (zh) | 基于区块链的多组织访问控制方法及装置 | |
KR102132685B1 (ko) | 순서 노출 암호화를 위한 장치 및 방법 | |
CN108985109B (zh) | 一种数据存储方法及装置 | |
CN115208630B (zh) | 基于区块链的数据获取方法、系统及区块链系统 | |
CN116132065A (zh) | 密钥确定方法、装置、计算机设备和存储介质 | |
CN111010283A (zh) | 用于生成信息的方法和装置 | |
CN113434535B (zh) | 数据处理方法、通信系统、设备、产品及存储介质 | |
KR102442674B1 (ko) | 사설 클라우드 서버에 대한 액세스를 관리하는 액세스 관리 서버 및 그 동작 방법 | |
US10291592B2 (en) | Secure electronic communication | |
WO2024087312A1 (zh) | 一种数据库访问方法、计算设备和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |