CN117473551A - 一种基于区块链和访问控制的数据共享方法 - Google Patents
一种基于区块链和访问控制的数据共享方法 Download PDFInfo
- Publication number
- CN117473551A CN117473551A CN202311472458.2A CN202311472458A CN117473551A CN 117473551 A CN117473551 A CN 117473551A CN 202311472458 A CN202311472458 A CN 202311472458A CN 117473551 A CN117473551 A CN 117473551A
- Authority
- CN
- China
- Prior art keywords
- data
- blockchain
- access
- ciphertext
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 102100032467 Transmembrane protease serine 13 Human genes 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000000765 microspectrophotometry Methods 0.000 claims description 3
- 235000019799 monosodium phosphate Nutrition 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000011217 control strategy Methods 0.000 abstract description 3
- 238000013459 approach Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于区块链和访问控制的数据共享方法,属于数据共享领域。定义区块链网络上的访问控制组件,构建区块链数据访问模型,使用初始化算法进行系统初始化,数据拥有者和数据请求者向证书颁发机构注册,获得对区块链执行操作的权限,数据拥有者通过文件共享系统发布数据,数据访问者通过访问管理合约发出资源访问请求,获得密文数据,数据访问者通过区块链获取解密密钥,解密密文数据得到明文数据。通过智能合约技术实现去中心化的访问控制,可在满足特定条件时控制数据访问。本发明结合了区块链技术的去中心化特性和访问控制策略的安全性,提供了一种高度安全、可靠且分布式的数据共享方式。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于区块链技术和访问控制的数据共享方法。
背景技术
传统数据共享过程中,数据所有者缺乏对数据共享方式的控制权,无法对数据请求者的行为进行有效的监控和控制,这可能导致恶意方通过已经安装的后门来访问用户的敏感和机密数据。数据访问控制作为一种安全措施,旨在确保只有经过授权的用户或实体能够访问特定的数据资源。传统的访问控制技术通过中心化方法来解决,如自主访问控制、基于身份的访问控制和强制访问控制。自主访问控制和基于身份的访问控制依赖于为系统上的每个人创建访问控制列表,而强制访问控制通常由中央管理员强制执行,无法避免单点故障。集中式方法还存在扩展项差、吞吐量低和可靠性低的缺点。由此可知,寻找一种适合多方分散场景下的数据共享方法,实现保护用户隐私、实现分散粒度访问控制,保证数据共享的扩展性与吞吐量,是当前亟需解决的技术问题。
发明内容
本发明的目的在于,提供一种基于区块链和访问控制的数据共享方法,有效解决了在保证数据隐私的前提下,对分散细粒度访问控制,访问过程透明、可审计。
本发明提供一种基于区块链和访问控制的数据共享方法,应用于基于区块链的数据共享系统,解决上述技术问题采用的技术方案如下:
S1、定义区块链网络上的访问控制组件,构建区块链数据访问模型;
S2、基于区块链数据访问模型,使用初始化算法进行系统初始化;
S3、数据拥有者和数据请求者向证书颁发机构注册,获得相应的身份、属性证书和私钥,然后获得对区块链执行某些操作的权限;
S4、数据拥有者通过文件共享系统发布数据;
S5、数据访问者通过访问管理合约发出资源访问请求,获得密文数据;
S6、数据访问者通过区块链获取解密密钥,解密密文数据得到明文数据。
本发明的特点还在于,
所述访问控制组件包括以下内容:资源、私有数据分发、用户属性、资源属性、访问控制策略;
所述资源表征为,任何可以存储在区块链上的都被称之为资源;
所述私有数据分发表征为,私有数据通过Gossip协议将用户数据分发到特定组织的节点,并使用区块链技术保证数据的安全性和完整性,在私有数据集合中,资源的数据结构是JSON对象;
所述用户属性表征为,将用户属MSK性划分为公共属性(UApub)和私有属性(UApriv),UApriv中的属性存储在成员服务提供商(MSP)在注册期间生成的客户端X.509证书中,X.509证书包含客户端ID、MSPID、公钥和其他相关信息,客户端ID在MSP中唯一,RApub属性以JSON格式存储在通道状态中,包含一个公共密钥字段,用于解决多个MSP时歧义问题;
所述资源属性表征为,划分为公共资源属性(RApub)和私有资源属性(RApriv),RApub中的属性以JSON格式存储在通道状态中,data有一个data字段,每个实体都有一个公钥字段;
所述访问控制策略表征为,用于在用户请求访问资源时,根据一组规则来授予所需的访问权限,规则以JSON格式存储在账本中,管理员负责在需要时添加、删除和修改这些规则。
所述数据访问模型以分布式方式进行访问决策,并且需要多数节点达成一致才能执行访问控制,可以根据当前情况通过添加或删除属性来更改策略,实现细粒度的访问控制;系统初始化包括:向系统输入安全参数λ,系统初始化生成系统公钥PK(主密钥)和主私钥(节点密钥);对区块链参数进行初始化以及部署智能合约。
所述初始化的表达式为:
Setup(λ)→GP(PK,MSK),
在区块链系统中,该函数由区块链证书颁发机构运行,它以λ为安全参数,生成公共参数GP,输出系统公钥PK和主私钥MSK,调用智能合约将公共参数存在区块链中,以便在访问控制阶段使用。
步骤S4具体需要经过如下步骤:
S41、数据拥有者从密钥空间中随机选取一个对称密钥K来加密共享数据Data,生成密文CT1;
S42、在本地制定数据资源访问策略,为密文数据资源设置解密令牌Token,同时利用函数加密函数对对称密钥K进行加密,生成密文CT2,加密函数的格式为:
Encrypt(GP,M,P(A,p),{PKi})→CT2,
该函数输入包括公共参数GP,要加密的对称密钥K,数据拥有者设置的访问策略P(A,ρ)与相关的公钥{PKi};
S43、将密文数据上传到星际文件系统;
S44、获取星际文件系统返回的密文资源地址,即
S45、将解密令牌Token与密文数据资源地址进行加密形成密文令牌secretTokeni,以交易的形式,调用相应的资源管理合约和策略管理合约,将星际文件系统返回的密文资源/>密文令牌secretTokeni,访问策略P(A,ρ)上传至区块链账本中。
步骤S5具体需要经过以下步骤:
S51、数据请求者发出访问数据资源的请求,触发相应的访问控制合约,验证其属性是否满足访问数据资源相应的访问策略,如果得到满足,则将满足数据请求者属性的密文资源地址和子策略P(A,ρ)返回给数据请求者;
S52、收到密文资源地址与子访问策略后,在星际文件系统中查询并获取密文数据资源。
步骤S6具体需要经过以下步骤:
S61、通过区块链的访问控制合约发起解密请求;
S62、根据子策略中所包含的属性,访问控制合约找到相应的密文令牌并将其返回给数据请求者;
S63、在接收到密文令牌后,数据请求者对密文资源地址进行解密获取解密令牌,根据令牌私钥在本地执行解密算法,获取密文的解密密钥,获取明文数据。
一种基于属性和区块链数据共享机制,该机制用于执行上述基于区块链和访问控制的数据共享方法,该机制包括:身份和属性管理模块、数据安全存储模块、访问策略管理和访问控制实现模块、密钥管理模块;
所述身份和属性管理模块,负责管理普通用户、验证用户的身份和属性,并向证书颁发机构注册新用户;
所述数据安全存储模块,负责用户数据隐私保护,包括使用加密算法对本地数据资源进行加密,形成密文并上传到星际文件系统,调用资源管理合约,将星际文件系统返回的存储在区块链上,调用链码函数将数据资源信息添加到区块链上作为凭证,输入格式为:
(resId,ownerId,resName,hashCT);
所述访问策略管理和访问控制实现模块,由数据拥有者、数据请求者与区块链网络的交互实现,数据拥有者调用策略管理合约的函数,上传访问策略到区块链,数据请求者调用访问管理合约中的方法,向数据拥有者发出基于属性的访问控制请求,最后下载相应的数据密文;
所述密钥管理模块,用于保证对称密钥的安全性,并基于访问结构Γ与秘密共享者P共享,其中P={1,2,3...n}代表n个秘密共享者,如果秘密共享者子集Q在允许的访问列表(i.e Q∈Γ)中,就可以访问这个秘密,其中满足访问结构的集合Q称为授权集;由于主策略Psubject由许多子策略组成,如果其中一个子策略满足主属性集,则可以访问该资源。
本发明的有益效果:
相对于现有技术,本发明采用一种基于区块链和访问控制的数据共享方法。采用线性秘密共享算法构造由访问策略组成的矩阵,防止未授权访问和篡改;利用星际文件系统为数据提供分布式存储平台,将存储共享数据的哈希值存储在区块链上,在从星际文件系统上获取加密数据后,可以计算密文哈希值,然后与其从区块链上获得的密文哈希值做对比,验证加密数据是否被篡改,确保数据的完整性;通过智能合约技术实现去中心化的访问控制,智能合约是自动执行的程序,可在满足特定条件时控制数据访问。本发明结合了区块链技术的去中心化特性和访问控制策略的安全性,提供了一种高度安全、可靠且分布式的数据共享方式。
附图说明
图1是一种基于区块链和访问控制的数据共享方法。
图2是基于区块链和访问控制的数据共享方法模型图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种基于区块链和访问控制的数据共享方法,应用于基于区块链的数据共享系统,采用的技术方案具体按照以下步骤实施:
S1、定义区块链网络上的访问控制组件,构建区块链数据访问模型。
访问控制组件包括以下内容:资源、私有数据分发、用户属性、资源属性、访问控制策略;
资源表征为,任何可以存储在区块链上的都被称之为资源;
私有数据分发表征为,私有数据通过Gossip协议将用户数据分发到特定组织的节点,并使用区块链技术保证数据的安全性和完整性,在私有数据集合中,资源的数据结构是JSON对象;
用户属性表征为,将用户属性划分为公共属性(UApub)和私有属性(UApriv),UApriv中的属性存储在成员服务提供商(MSP)在注册期间生成的客户端X.509证书中,X.509证书包含客户端ID、MSPID、公钥和其他相关信息,客户端ID在MSP中唯一,RApub属性以JSON格式存储在通道状态中,包含一个公共密钥字段,用于解决多个MSP时歧义问题;
资源属性表征为,划分为公共资源属性(RApub)和私有资源属性(RApriv),RApub中的属性以JSON格式存储在通道状态中,data有一个data字段,每个实体都有一个公钥字段;
访问控制策略表征为,用于在用户请求访问资源时,根据一组规则来授予所需的访问权限,规则以JSON格式存储在账本中,管理员负责在需要时添加、删除和修改这些规则。
开发人员可以在链码中方便地管理区块链网络上的访问控制组件,并实现安全的访问控制策略,签名验证确保只有授权的用户能够执行活动,从而增强了网络的安全性。
S2、基于区块链数据访问模型,使用初始化算法进行系统初始化。
数据访问模型以分布式方式进行访问决策,并且需要多数节点达成一致才能执行访问控制,可以根据当前情况通过添加或删除属性来更改策略,实现细粒度的访问控制;系统初始化包括:向系统输入安全参数λ,系统初始化生成系统公钥PK(主密钥)和主私钥MSK(节点密钥);对区块链参数进行初始化以及部署智能合约。
初始化的表达式为:
Setup(λ)→GP(PK,MSK),
在区块链系统中,该函数由区块链证书颁发机构运行,它以λ为安全参数,生成公共参数GP,输出系统公钥PK和主私钥MSK,调用智能合约将公共参数存在区块链中,以便在访问控制阶段使用。
S3、数据拥有者和数据请求者向证书颁发机构注册,获得相应的身份、属性证书和私钥,然后获得对区块链执行某些操作的权限;
S4、数据拥有者通过文件共享系统发布数据。
具体过程如下:
S41、首先,数据拥有者从密钥空间中随机选取一个对称密钥K来加密共享数据Data,生成密文CT1;
S42、在本地制定数据资源访问策略,为密文数据资源设置解密令牌Token,同时利用函数加密函数对对称密钥K进行加密,生成密文CT2,加密函数的格式为:
Encrypt(GP,M,P(A,p),{PKi})→CT2,
该函数输入包括公共参数GP,要加密的对称密钥K,数据拥有者设置的访问策略P(A,ρ)与相关的公钥{PKi};
S43、将密文数据上传到星际文件系统;
S44、获取星际文件系统返回的密文资源地址,即
S45、将解密令牌Token与密文数据资源地址进行加密形成密文令牌secretTokeni,以交易的形式,调用相应的资源管理合约和策略管理合约,将星际文件系统返回的密文资源/>密文令牌secretTokeni,访问策略P(A,ρ)上传至区块链账本中。
S5、数据访问者通过访问管理合约发出资源访问请求,获得密文数据。
具体过程如下:
S51、数据请求者发出访问数据资源的请求,触发相应的访问控制合约,验证其属性是否满足访问数据资源相应的访问策略,如果得到满足,则将满足数据请求者属性的密文资源地址和子策略P(A,ρ)返回给数据请求者;
S52、收到密文资源地址与子访问策略后,在星际文件系统中查询并获取密文数据资源。
S6、数据访问者通过区块链获取解密密钥,解密密文数据得到明文数据。
具体过程如下:
S61、通过区块链的访问控制合约发起解密请求;
S62、根据子策略中所包含的属性,访问控制合约找到相应的密文令牌并将其返回给数据请求者;
S63、在接收到密文令牌后,数据请求者对密文资源地址进行解密获取解密令牌,根据令牌私钥在本地执行解密算法,获取密文的解密密钥,获取明文数据。
一种基于属性和区块链数据共享机制,该机制用于执行上述基于区块链和访问控制的数据共享方法,该机制包括:身份和属性管理模块、数据安全存储模块、访问策略管理和访问控制实现模块、密钥管理模块。
其中,身份和属性管理模块负责管理普通用户、验证用户的身份和属性,并向证书颁发机构注册新用户;
数据安全存储模块负责用户数据隐私保护,包括使用加密算法对本地数据资源进行加密,形成密文并上传到星际文件系统,调用资源管理合约,将星际文件系统返回的存储在区块链上,调用链码函数将数据资源信息添加到区块链上作为凭证,输入格式为:
(resId,ownerId,resName,hashCT);
访问策略管理和访问控制实现模块由数据拥有者、数据请求者与区块链网络的交互实现,数据拥有者调用策略管理合约的函数,上传访问策略到区块链,数据请求者调用访问管理合约中的方法,向数据拥有者发出基于属性的访问控制请求,最后下载相应的数据密文;
密钥管理模块用于保证对称密钥的安全性,并基于访问结构Γ与秘密共享者P共享,其中P={1,2,3...n}代表n个秘密共享者,如果秘密共享者子集Q在允许的访问列表(i.e Q∈Γ)中,就可以访问这个秘密,其中满足访问结构的集合Q称为授权集;由于主策略Psubject由许多子策略组成,如果其中一个子策略满足主属性集,则可以访问该资源。
Claims (8)
1.一种基于区块链和访问控制的数据共享方法,其特征在于,其方法包括:
S1、定义区块链网络上的访问控制组件,构建区块链数据访问模型;
S2、基于区块链数据访问模型,使用初始化算法进行系统初始化;
S3、数据拥有者和数据请求者向证书颁发机构注册,获得相应的身份、属性证书和私钥,然后获得对区块链执行某些操作的权限;
S4、数据拥有者通过文件共享系统发布数据;
S5、数据访问者通过访问管理合约发出资源访问请求,获得密文数据;
S6、数据访问者通过区块链获取解密密钥,解密密文数据得到明文数据。
2.根据权利要求1所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述访问控制组件包括以下内容:资源、私有数据分发、用户属性、资源属性、访问控制策略;
所述资源表征为,任何可以存储在区块链上的都被称之为资源;
所述私有数据分发表征为,私有数据通过Gossip协议将用户数据分发到特定组织的节点,并使用区块链技术保证数据的安全性和完整性,在私有数据集合中,资源的数据结构是JSON对象;
所述用户属性表征为,将用户属性划分为公共属性(UApub)和私有属性(UApriv),UApriv中的属性存储在成员服务提供商(MSP)在注册期间生成的客户端X.509证书中,X.509证书包含客户端ID、MSPID、公钥和其他相关信息,客户端ID在MSP中唯一,RApub属性以JSON格式存储在通道状态中,包含一个公共密钥字段,用于解决多个MSP时歧义问题;
所述资源属性表征为,划分为公共资源属性(RApub)和私有资源属性(RApriv),RApub中的属性以JSON格式存储在通道状态中,data有一个data字段,每个实体都有一个公钥字段;
所述访问控制策略表征为,用于在用户请求访问资源时,根据一组规则来授予所需的访问权限,规则以JSON格式存储在账本中,管理员负责在需要时添加、删除和修改这些规则。
3.根据权利要求1所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述数据访问模型以分布式方式进行访问决策,并且需要多数节点达成一致才能执行访问控制,可以根据当前情况通过添加或删除属性来更改策略,实现细粒度的访问控制;系统初始化包括:向系统输入安全参数λ,系统初始化生成系统公钥PK(主密钥)和主私钥MSK(节点密钥);对区块链参数进行初始化以及部署智能合约。
4.根据权利要求2所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述初始化的表达式为:
Setup(λ)→GP(PK,MSK)
在区块链系统中,该函数由区块链证书颁发机构运行,它以λ为安全参数,生成公共参数GP,输出系统公钥PK和主私钥MSK,调用智能合约将公共参数存在区块链中,以便在访问控制阶段使用。
5.根据权利要求1所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述步骤S4需要经过如下步骤:
S41、数据拥有者从密钥空间中随机选取一个对称密钥K来加密共享数据Data,生成密文CT1;
S42、在本地制定数据资源访问策略,为密文数据资源设置解密令牌Token,同时利用函数加密函数对对称密钥K进行加密,生成密文CT2,加密函数的格式为:
Encrypt(GP,M,P(A,p),{PKi})→CT2
该函数输入包括公共参数GP,要加密的对称密钥K,数据拥有者设置的访问策略(A,ρ)与相关的公钥{PKi};
S43、将密文数据上传到星际文件系统;
S44、获取星际文件系统返回的密文资源地址,即
S45、将解密令牌Token与密文数据资源地址进行加密形成密文令牌secretTokeni,以交易的形式,调用相应的资源管理合约和策略管理合约,将星际文件系统返回的密文资源/>密文令牌secretTokeni,访问策略P(A,ρ)上传至区块链账本中。
6.根据权利要求1所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述步骤S5需要经过以下步骤:
S51、数据请求者发出访问数据资源的请求,触发相应的访问控制合约,验证其属性是否满足访问数据资源相应的访问策略,如果得到满足,则将满足数据请求者属性的密文资源地址和子策略P(A,ρ)返回给数据请求者;
S52、收到密文资源地址与子访问策略后,在星际文件系统中查询并获取密文数据资源。
7.根据权利要求1所述的一种基于区块链和访问控制的数据共享方法,其特征在于,所述步骤S6需要经过以下步骤:
S61、通过区块链的访问控制合约发起解密请求;
S62、根据子策略中所包含的属性,访问控制合约找到相应的密文令牌并将其返回给数据请求者;
S63、在接收到密文令牌后,数据请求者对密文资源地址进行解密获取解密令牌,根据令牌私钥在本地执行解密算法,获取密文的解密密钥,获取明文数据。
8.一种基于属性和区块链数据共享机制,该机制用于执行上述基于区块链和访问控制的数据共享方法,该机制包括:身份和属性管理模块、数据安全存储模块、访问策略管理和访问控制实现模块、密钥管理模块;
所述身份和属性管理模块,负责管理普通用户、验证用户的身份和属性,并向证书颁发机构注册新用户;
所述数据安全存储模块,负责用户数据隐私保护,包括使用加密算法对本地数据资源进行加密,形成密文并上传到星际文件系统,调用资源管理合约,将星际文件系统返回的存储在区块链上,调用链码函数将数据资源信息添加到区块链上作为凭证,输入格式为:
(resId,ownerId,resName,hashCT);
所述访问策略管理和访问控制实现模块,由数据拥有者、数据请求者与区块链网络的交互实现,数据拥有者调用策略管理合约的函数,上传访问策略到区块链,数据请求者调用访问管理合约中的方法,向数据拥有者发出基于属性的访问控制请求,最后下载相应的数据密文;
所述密钥管理模块,用于保证对称密钥的安全性,并基于访问结构Γ与秘密共享者P共享,其中P={1,2,3...n}代表n个秘密共享者,如果秘密共享者子集Q在允许的访问列表(i.e Q∈Γ)中,就可以访问这个秘密,其中满足访问结构的集合Q称为授权集;由于主策略Psubject由许多子策略组成,如果其中一个子策略满足主属性集,则可以访问该资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311472458.2A CN117473551A (zh) | 2023-11-07 | 2023-11-07 | 一种基于区块链和访问控制的数据共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311472458.2A CN117473551A (zh) | 2023-11-07 | 2023-11-07 | 一种基于区块链和访问控制的数据共享方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117473551A true CN117473551A (zh) | 2024-01-30 |
Family
ID=89636050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311472458.2A Pending CN117473551A (zh) | 2023-11-07 | 2023-11-07 | 一种基于区块链和访问控制的数据共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117473551A (zh) |
-
2023
- 2023-11-07 CN CN202311472458.2A patent/CN117473551A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110099043B (zh) | 支持策略隐藏的多授权中心访问控制方法、云存储系统 | |
US10803194B2 (en) | System and a method for management of confidential data | |
Megouache et al. | Ensuring user authentication and data integrity in multi-cloud environment | |
Riad et al. | A dynamic and hierarchical access control for IoT in multi-authority cloud storage | |
US7577258B2 (en) | Apparatus and method for group session key and establishment using a certified migration key | |
CN114039790B (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
CN114065265A (zh) | 基于区块链技术的细粒度云存储访问控制方法、系统及设备 | |
Pussewalage et al. | A patient-centric attribute based access control scheme for secure sharing of personal health records using cloud computing | |
CN111079191A (zh) | 一种基于区块链的cp-abe访问控制方案 | |
EP4158838A1 (en) | Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network | |
CN114239046A (zh) | 数据共享方法 | |
WO2017061950A1 (en) | Data security system and method for operation thereof | |
Nakanishi et al. | IOTA-based access control framework for the Internet of Things | |
Albulayhi et al. | Fine-grained access control in the era of cloud computing: An analytical review | |
CN109587115B (zh) | 一种数据文件安全分发使用方法 | |
US20240064009A1 (en) | Distributed anonymized compliant encryption management system | |
CN106790185B (zh) | 基于cp-abe的权限动态更新集中信息安全访问方法和装置 | |
CN116155585A (zh) | 一种数据共享方法和系统 | |
KR101389981B1 (ko) | 퍼블릭 클라우드 스토리지 서비스를 위한 데이터 위임 및 엑세스 방법 | |
CN117473551A (zh) | 一种基于区块链和访问控制的数据共享方法 | |
Suresh | Highly secured cloud based personal health record model | |
Charanya et al. | A Review on Access Control Issues in Ehealth Application in Cloud Computing | |
Myint et al. | Policy-based Revolutionary Ciphertext-policy Attributes-based Encryption | |
Edwin et al. | Fragmentation and Dynamic Replication Model in Multicloud by Data Hosting with Secured Data Sharing | |
Chavan et al. | Efficient Attribute Based Encryption Outsourcing in Cloud Storage with User Revocation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |