CN115314277A - 一种基于区块链可追溯的个人隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于区块链可追溯的个人隐私保护方法，涉及隐私保护技术领域，具体内容包括：系统初始化、密钥生成、数据加密、数据解密、策略更新、解密密钥验证、路径追踪；本发明适用于区块链上的隐私保护和细粒度数据共享，在计算和存储成本方面大大提高了原始可追溯CP‑ABE方案的效率；本发明不仅能够跟踪泄露私钥的恶意用户，还可以防止密钥的非法共享和滥用；此外，本发明允许更新访问控制策略，以便数据所有者可以灵活地修改访问控制策略。

Description

一种基于区块链可追溯的个人隐私保护方法

技术领域

本发明涉及隐私保护技术领域，更具体的说是涉及一种基于区块链可追溯的个人隐私保护方法。

背景技术

区块链是一种分布式连接的点对点网络，可以防止个人隐私数据通过第三方服务机构传输，提高数据传输速率，减少传输延迟。为了安全地存储和传输这些数据，以保证其完整性、有效性和真实性，访问控制也成为个人隐私数据安全共享的重要研究内容。因此，许多学者将区块链技术与现有的访问控制模型相结合，开展了一系列研究工作。Zyskind和Nathan结合自主访问控制模型(DAC)，通过区块链上的访问控制策略来管理链下敏感数据。Cruz等人使用区块链解决基于角色的访问控制模型(RBAC)中的跨组织访问控制问题，实现用户角色的跨组织身份验证。Maesa等人扩展了基于属性的访问控制模型(ABAC)的标准工作流程，用区块链代替传统数据库来存储策略，并以事务的形式管理访问策略。但上述方法仅适用于特定场景，访问控制单一，不适用于个人信息访问中的一对多加密场景。

目前，基于属性的加密算法(ABE)被认为是解决安全访问控制问题的方法。ABE是在IBE(Identity-based Encryption，IBE)的基础上发展起来的，特别适用于一对多的加密场景。当解密者满足加密者指定的某些要求时，解密者就可以成功解密她/他想要访问的密文ABE算法不仅保证了数据的机密性，还提供了对数据的细粒度访问控制。因此，在个人信息需要共享的环境下，ABE加密算法可以有效解决外包数据的安全访问控制问题。

ABE拥有广泛的应用场景，ABE方案的许多变体包括密钥策略ABE(KP-ABE)和密文策略ABE(CP-ABE)已被提出。在实现一对多加密数据共享的场景中，经常使用CP-ABE方案。然而，该方案的低效率严重阻碍了其在实践中的应用。Bethencourt等人提出了一种CP-ABE方案，由于其简单的树结构，适合实际应用。除了树访问结构之外，还有其他基于与门和线性秘密共享方案(LSSS)矩阵的ABE结构。在CP-ABE方案的应用中，密钥滥用是数据用户可能将私钥信息泄露给非法用户的问题之一。

个人隐私信息保护越来越成为当下关注的热点问题，而互联网技术的应用又使得个人信息保护变得十分困难。传统的个人信息保护技术已经不能充分保障个人信息的安全，因此如何保护个人信息是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于区块链可追溯的个人隐私保护方法，克服上述缺陷。

为了实现上述目的，本发明提供如下技术方案：

一种基于区块链可追溯的个人隐私保护方法，具体步骤为：

系统初始化：初始化Shamir的阈值共享方案INS_t,n得到系统公钥PK和主私钥MSK；

数据加密：将消息m采用第一对称密钥k进行加密，生成消息密文CT_m，将消息密文CT_m和LSSS矩阵访问策略(M,ρ)上传至IPFS存储服务器进行存储；根据LSSS矩阵访问策略(M,ρ)和第一对称密钥k生成密文CT，上传至区块链进行存储；从素群属性集映射组合

中择一随机数s，根据第二对称密钥k'生成随机密文Enc_k'(s)；

密钥生成：根据系统公钥PK、主私钥MSK、用户身份ID、用户属性集

生成解密密钥

数据解密：通过对密文CT、系统公钥PK、解密密钥

进行计算获得第一对称密钥k，根据第一对称密钥k解密消息密文CT_m获得消息m；

策略更新：将LSSS矩阵访问策略(M,ρ)更新为待更新访问策略(M',ρ')，并通过第二对称密钥k'解密随机密文Enc_k'(s)获得随机数s；根据待更新访问策略(M',ρ')、随机数s、RSA签名σ获得待更新密文CT'；

策略验证：通过RSA签名验证算法验证RSA签名σ的正确性，将待更新密文CT'与密文CT进行对比，判断是否成立；若成立，获得更新密文CT”；根据更新密文CT”生成更新的策略块A'；

解密密钥

验证：根据系统公钥PK、系统主私钥MSK和解密密钥

对解密密钥

进行形式验证，根据验证结果，执行对应操作；

路径追踪：若验证成功，根据解密密钥

提取用户身份ID。

可选的，系统公钥PK的表达式为：

式中，g,w均为素群

的随机数；u,a,b均为素群属性集映射组合

的随机数；

和

分别为系统运行群生成算法获得的双线性对e和p阶素群；H为哈希函数。

可选的，主私钥MSK的表达式为：

MSK＝{α,a,b,u,k₁,k₂}；

式中，α,u,a,b均为素群属性集映射组合

的随机数；k₁、k₂均为概率加密算法的密钥。

可选的，解密密钥的表达式为：

式中，K、K'、L、SK均为解密密钥参数；

为用户属性集中任一属性的解密密钥。

可选的，解密过程具体为：

获取密文CT；

根据待读取用户的访问策略计算矩阵的行集；

判断行集中的参数属性是否满足密文CT的LSSS矩阵访问策略(M,ρ)，若否，输出⊥；若是，获得第一对称密钥k；

根据第一对称密钥k解密消息密文CT_m获得消息m。

可选的，解密过程表达式为：

式中，e(·)表示双线性映射；K、K'、L、SK均为解密密钥参数；C为第一对称密钥k加密后的密文；C_i为；C₁、C₂均为密钥密文CT₁的密文参数；g,w均为素群

的随机数；σ为RSA签名；c,α,u,a,b,h均为素群属性集映射组合

的随机数；s为随机数；w_i常数；H为哈希函数；

为用户属性集中任一属性的解密密钥；attr_i表示用户属性集中的任一个属性。

可选的，待更新密文CT'的表达式为：

CT'＝{C,(M',ρ'),C'₀,C'₁,C'₂,{C'_i}_i∈[l]}；

式中，(M',ρ')为待更新访问策略；C为第一对称密钥k加密后的密文；C'₀、C'₁、C'₂、C'_i均为为密文参数；l为M的列数。

可选的，更新密文CT”的表达式为：

CT”＝{C,C₀,C₁,C₂,{C'_i}_i∈[l]}；

式中，C为第一对称密钥k加密后的密文；C'_i、C₀、C₁、C₂均为密钥密文CT₁的密文参数。

可选的，解密密钥

验证的条件为：

e(SK,g^b)＝e(w^aw^K′,g^b)e(H(0)||1||1||1),L)；

e(K,g^ag^K′)＝e(g,g)^αe(g^b,w^a+K′)；

式中，K、K'、L、SK均为解密密钥参数；e(·)表示双线性映射；α,a,b均为素群属性集映射组合

的随机数；g,w均为素群

的随机数；H为哈希函数。

可选的，路径追踪的具体步骤为：

从解密密钥

中获取K'，求得

判断(x',y')是否属于{(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)}，若是，根据

获得用户身份ID；若否结合点(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)和(x',y')通过拉格朗日插值公式恢复INS_t-1,n的秘密值a^*；

根据秘密值a^*判断是否输出用户身份ID；

其中，x，y为任意一点的坐标的值；K'为解密密钥参数。

经由上述的技术方案可知，与现有技术相比，本发明公开了一种基于区块链可追溯的个人隐私保护方法，适用于区块链上的隐私保护和细粒度数据共享，在计算和存储成本方面大大提高了原始可追溯CP-ABE方案的效率；本发明不仅能够跟踪泄露私钥的恶意用户，还可以防止密钥的非法共享和滥用；此外，本发明允许更新访问控制策略，以便数据所有者可以灵活地修改访问控制策略。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明的方法流程示意图；

图2为本发明的操作过程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本发明实施例公开了一种基于区块链可追溯的个人隐私保护方法，如图1和图2所示，包括以下步骤：

步骤1)系统初始化。(1^λ)→(PK,MSK)：系统运行群生成算法来获得双线性对e和p阶素群

和

定义U为属性集，然后将属性集U映射到组合

随机选取

随机选取一个哈希函数

该算法选择具有两个不同密钥k₁和k₂的概率加密算法(Enc、Dec)。系统通过选择t–1阶多项式f(x)和存储多项式f(x)中t-1个点(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)来初始化Shamir的阈值共享方案INS_t,n。系统公钥PK和主私钥MSK设置如下：

MSK＝{α,a,b,u,k₁,k₂}；

步骤2)加密。(PK,ID,m,(M,ρ))→(CT_m,CT)：输入公钥PK、消息m和LSSS矩阵访问策略(M,ρ)。数据所有者首先将他/她的ID发送给权威机构，为ID生成RSA签名σ。假设矩阵M有l行n列，函数ρ将矩阵M映射到用户属性集，并将M_i,j定义为矩阵M的第(i,j)个元素(第i行第j列)。数据所有者选择一个对称密钥

用k将消息m加密为CT_m＝Enc_k(m)，然后将CT_m和(M,ρ)上传到IPFS存储服务器进行存储。此外，对存储的限制是数据用户只有在数据用户的属性满足访问策略(M,ρ)的情况下才能从IPFS中获取消息密文CT_m。接下来，选择随机数

并使用密钥k'的对称加密算法对其进行预加密并保存为随机密文Enc_k'(s)。对用于消息加密的对称密钥k使用基于属性的加密算法进行加密，如下所示。

(M,ρ),C＝ke(g,g)^σαs,C₀＝g^σs；

C₁＝g^σas,C₂＝g^σbs；

密文设置为CT＝{CT₁,CT₂}，其中密钥密文CT₁＝{C,C₀,C₁,C₂}，访问策略密文CT₂＝{(M,ρ),C_i}_i∈[l]。最后，密文CT₁存储为事务块TX，密文CT₂存储为策略块A。

步骤3)密钥生成。

用户向权威机构提交他/她的身份ID、属性集

(其中的attr_i表示用户属性集中的一个属性)。权限使用系统公钥PK和主私钥MSK生成用户的密钥。计算得到x＝

随机选择

为用户生成解密密钥

如下：

用户的解密密钥设置为：

步骤4)解密。

数据用户访问区块链，从区块链交易块TX中获取密文CT₁，从交易块TX对应的最新访问策略块A中获取密文CT₂。数据用户首先计算矩阵M的行集，即

其中行对应的属性属于用户属性集

中的元素。如果用户的属性集

满足在密文CT的访问策略中，数据用户可以计算出一组常数{ω_i}_i∈I满足∑_i∈Iω_iM_i＝(1,0,0,…,0)，其中M_i是矩阵的第i行。否则，解密算法输出⊥。解密过程如下：

数据用户计算对称密钥k＝C/Y，然后使用密钥k解密从存储服务器下载的密文CT_m，得到消息m。

正确性：

步骤5)更新策略。(σ,Enc_k'(s),(M',ρ'))→CT':输入签名σ、预先保存的Ens_k'(s)和要更新的访问策略(M',ρ')。然后输出更新后的密文CT'。数据拥有者首先将IPFS中CT_m对应的访问策略(M,ρ)更新为(M',ρ')。然后，数据拥有者使用对称密钥k′解密Enc_k'(s)得到s，然后计算CT'如下：

C'₀＝g^σs,C'₁＝g^σas,C'₂＝g^σbs；

密文CT'＝{C,(M',ρ'),C'₀,C'₁,C'₂,{C'_i}_i∈[l]}。

步骤6)策略验证。(σ,CT')→CT”:输入签名σ和密文CT'。区块链节点首先通过RSA签名验证算法验证签名σ的正确性，然后比较C'₀＝C₀,C'₁＝C₁,C'₂＝C₂是否成立，如果成立，则更新密文为CT”＝{C,C₀,C₁,C₂,{C'_i}_i∈[l]}。然后上传{C'_i}_i∈[l]生成一个新的策略块A'。

步骤7)密钥检查。

输入系统公钥PK、系统主私钥MSK和用户的解密密钥

用户密钥

的形式首先由权威机构针对以下三个条件进行验证：

2)e(SK,g^b)＝e(w^aw^K′,g^b)e(H(0)||1||1||1),L)；

3)e(K,g^ag^K′)＝e(g,g)^αe(g^b,w^a+K′)；

如果密钥满足三个条件，则返回1，否则返回0。

步骤8)路径追踪。

如果密钥检查算法输出为0，则路径追踪算法输出为⊥。否则，表明

是一个格式良好的密钥，因此可以从以下操作中提取ID。

1)路径追踪算法首先从用户的密钥

中得到K'，然后得到

令(x'＝x,y'＝y)。

2)如果(x',y')∈{(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)}，然后计算ID＝

否则，转到步骤(3)。

3)该算法结合了点(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)和(x',y')通过拉格朗日插值公式恢复INS_t-1,n的秘密值a^*。它验证a^*＝f(0)是否成立。如果成立，则计算

否则，算法的输出为⊥。

实施例2

如图2所示，首先系统初始化。系统运行群生成算法来获得双线性对e和p阶素群

和

定义U为属性集，然后将属性集U映射到组合

该算法选择具有两个不同密钥k₁和k₂的概率加密算法(Enc、Dec)。系统通过选择t–1阶多项式f(x)和存储多项式f(x)中t-1个点(x₁,y₁),(x₂,y₂),…(x_t-1,y_t-1)来初始化Shamir的阈值共享方案INS_t-1,n。系统公钥PK和主私钥MSK设置如下：

MSK＝{α,a,b,u,k₁,k₂}；

隐私所有者向授权机构提交自己的ID，授权机构则向隐私所有者返回隐私所有者的签名σ。用户向权威机构提交他/她的身份ID、属性集

权限使用系统公钥PK和主私钥MSK生成用户的密钥。计算得到

y＝f(x),

随机选择

为用户生成解密密钥

如下。

用户的解密密钥设置为：

隐私所有者的对称密钥k以及访问策略(M,ρ)通过基于密文策略属性加密(CP-ABE)生成密文CT，生成的密文CT被分成CT₁和CT₂，分别作为交易块TX和访问策略块A存储到区块链中。输入公钥PK、消息m和LSSS矩阵访问策略(M,ρ)。数据所有者首先将他/她的ID发送给权威机构，为ID生成RSA签名σ。假设矩阵M有l行n列，函数ρ将矩阵M映射到用户属性集，并将M_i,j定义为矩阵M的第(i,j)个元素。数据所有者选择一个对称密钥

用k将消息m加密为CT_m＝Enc_k(m)，然后将CT_m和(M,ρ)上传到IPFS进行存储。此外，对存储服务器的限制是数据用户只有在数据用户的属性满足访问策略(M,ρ)的情况下才能从IPFS中获取CT_m。接下来，随机选择

并使用密钥k'的对称加密算法对其进行预加密并保存为Enc_k'(s)。对用于消息加密的对称密钥k使用基于属性的加密算法进行加密，如下所示：

(M,ρ),C＝ke(g,g)^σαs,C₀＝g^σs；

C₁＝g^σas,C₂＝g^σbs；

密文设置为CT＝{CT₁,CT₂},其中密钥密文CT₁＝{C,C₀,C₁,C₂}，访问策略密文CT₂＝{(M,ρ),C_i}_i∈[l]。最后，密文CT₁存储为事务块TX，密文CT₂存储为策略块A。

云平台将通过对称密钥k加密后的个人隐私数据CT_m存储在IPFS服务器中；区块链用于存储加密后的k和访问策略，可以实现数据的防篡改和访问控制策略的灵活修改。输入签名σ、预先保存的Enc_k'(s)和要更新的访问策略(M',ρ')。然后输出更新后的密文CT'。数据所有者首先将云端CT_m对应的访问策略(M,ρ)更新为(M',ρ')。然后，数据拥有者使用对称密钥k′解密Enc_k'(s)得到s，然后计算CT'如下。

C'₀＝g^σs,C'₁＝g^σas,C'₂＝g^σbs；

密文CT'＝{C,(M',ρ'),C'₀,C'₁,C'₂,{C'_i}_i∈[l]}。

访问用户隐私的企业或用户需要将自己的身份ID和拥有的属性集

提交给授权机构，授权机构会生成相应的密钥

返回给申请者，之后隐私申请者便可以通过

尝试获得k以及解密隐私数据。输入系统公钥PK、系统主私钥MSK和用户的解密密钥

用户密钥

的形式首先由权威机构针对以下三个条件进行验证：

2)e(SK,g^b)＝e(w^aw^K,g^b)e(H(0)||1||1||1),L)；

3)e(K,g^ag^K′)＝e(g,g)^αe(g^b,w^a+K′)；

如果密钥满足三个条件，则返回1，否则返回0。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于区块链可追溯的个人隐私保护方法，其特征在于，具体步骤为：

系统初始化：初始化Shamir的阈值共享方案INS_t，n得到系统公钥PK和主私钥MSK；

数据加密：将消息m采用第一对称密钥k进行加密，生成消息密文CT_m，将消息密文CT_m和LSSS矩阵访问策略(M，ρ)上传至IPFS存储服务器进行存储；根据LSSS矩阵访问策略(M，ρ)和第一对称密钥k生成密文CT，上传至区块链进行存储；从素群属性集映射组合

中择一随机数s，根据第二对称密钥k'生成随机密文Enc_k'(s)；

密钥生成：根据系统公钥PK、主私钥MSK、用户身份ID、用户属性集

生成解密密钥

数据解密：通过对密文CT、系统公钥PK、解密密钥

进行计算获得第一对称密钥k，根据第一对称密钥k解密消息密文CT_m获得消息m；

策略更新：将LSSS矩阵访问策略(M，ρ)更新为待更新访问策略(M'，ρ')，并通过第二对称密钥k'解密随机密文Enc_k'(s)获得随机数s；根据待更新访问策略(M'，ρ')、随机数s、RSA签名σ获得待更新密文CT'；

策略验证：通过RSA签名验证算法验证RSA签名σ的正确性，将待更新密文CT'与密文CT进行对比，判断是否成立；若成立，获得更新密文CT”；根据更新密文CT”生成更新的策略块A'；

解密密钥

验证：根据系统公钥PK、系统主私钥MSK和解密密钥

对解密密钥

进行形式验证，根据验证结果，执行对应操作；

路径追踪：若验证成功，根据解密密钥

提取用户身份ID。

2.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，系统公钥PK的表达式为：

式中，g，w均为素群

的随机数；u，a，b均为素群属性集映射组合

的随机数；

和

分别为系统运行群生成算法获得的双线性对e和p阶素群；H为哈希函数。

3.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，主私钥MSK的表达式为：

MSK＝{α，a，b，u，k₁，k₂}；

式中，α，u，a，b均为素群属性集映射组合

的随机数；k₁、k₂均为概率加密算法的密钥。

4.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，解密密钥的表达式为：

式中，K、K'、L、SK均为解密密钥参数；

为用户属性集中任一属性的解密密钥。

5.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，解密过程具体为：

获取密文CT；

根据待读取用户的访问策略计算矩阵的行集；

判断行集中的参数属性是否满足密文CT的LSSS矩阵访问策略(M，ρ)，若否，输出⊥；若是，获得第一对称密钥k；

根据第一对称密钥k解密消息密文CT_m获得消息m。

6.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，解密过程表达式为：

式中，e(·)表示双线性映射；K、K′、L、SK均为解密密钥参数；C为第一对称密钥k加密后的密文；C_i、C₁、C₂均为密钥密文CT₁的密文参数；g，w均为素群

的随机数；σ为RSA签名；c，α，u，a，b，h均为素群属性集映射组合

的随机数；s为随机数；ω_i为常数；H为哈希函数；

为用户属性集中任一属性的解密密钥；attr_i表示用户属性集中的任一个属性。

7.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，待更新密文CT′的表达式为：

CT′＝{C，(M′，ρ′)，C′₀，C′₁，C′₂，{C′_i}_i∈[l]}；

式中，(M′，ρ′)为待更新访问策略；C为第一对称密钥k加密后的密文；C′₀、C′₁、C′₂、C′_i均为密文参数；l为M的列数。

8.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，更新密文CT″的表达式为：

CT″＝{C，C₀，C₁，C₂，{C′_i}_i∈[l]}；

式中，C为第一对称密钥k加密后的密文；C′_i、C₀、C₁、C₂均为密钥密文CT₁的密文参数。

9.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，解密密钥

验证的条件为：

e(SK，g^b)＝e(w^aw^K′，g^b)e(H(0)||1||1||1)，L)；

e(K，g^ag^K′)＝e(g，g)^αe(g^b，w^a+K′)；

式中，K、K′、L、SK均为解密密钥参数；e(·)表示双线性映射；α，a，b均为素群属性集映射组合

的随机数；g，w均为素群

的随机数；H为哈希函数。

10.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法，其特征在于，路径追踪的具体步骤为：

从解密密钥

中获取K′，求得

判断(x′，y′)是否属于{(x₁，y₁)，(x₂，y₂)，...(x_t-1，y_t-1)}，若是，根据

获得用户身份ID；若否，结合点(x₁，y₁)，(x₂，y₂)，...(x_t-1，y_t-1)和(x′，y′)通过拉格朗日插值公式恢复INS_t-1，n的秘密值a^*；

根据秘密值a^*判断是否输出用户身份ID；

其中，x，y为任意一点的坐标的值；K′为解密密钥参数。

Images