CN117610041A - 基于区块链、智能合约的访问控制模型及方法 - Google Patents
基于区块链、智能合约的访问控制模型及方法 Download PDFInfo
- Publication number
- CN117610041A CN117610041A CN202311581018.0A CN202311581018A CN117610041A CN 117610041 A CN117610041 A CN 117610041A CN 202311581018 A CN202311581018 A CN 202311581018A CN 117610041 A CN117610041 A CN 117610041A
- Authority
- CN
- China
- Prior art keywords
- data
- attribute
- key
- blockchain
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000007246 mechanism Effects 0.000 claims abstract description 46
- 238000013523 data management Methods 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims abstract description 4
- 238000013475 authorization Methods 0.000 claims description 13
- 238000007726 management method Methods 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 6
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 6
- 239000002245 particle Substances 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000013506 data mapping Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及电力能源行业技术领域,具体涉及一种基于区块链、智能合约的访问控制模型及方法。其包括如下内容:联盟链CB、星际文件传输系统IPFS、授权机构、属性机构、数据拥有者DO和数据访问者DU;授权机构包括中心授权机构CA和属性授权机构AA,其中:属性机构基于联盟链CB,包括数据管理机构和数据监管机构;数据拥有者DO通过利用SHA‑1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;使用公钥将关键字集合keyWord加密成关键字密文。针对传统密文加密访问方案,基于区块链和智能合约的多属性机构访问控制方法,用户访问效率提高,数据保护安全性提高。
Description
技术领域
本发明涉及电力能源行业技术领域,具体涉及一种基于区块链、智能合约的访问控制模型及方法。
背景技术
传统访问控制设计中,大多数机构选择加强自治域的防御边界,构建其数据自治系统,造成各个机构间数据孤岛局面,阻碍了有效的协作式合作和研究,另一方面出于数据分析的需要,要求机构之间进行数据共享。此外,机密性、完整性和可用性不能同时得到保证。基于类型的代理重加密进行细粒度共享,为每种类型的数据生成一个轻量级的一次性类型密钥,通过使用类型密钥和一次重新加密过程授予请求者多种数据类型,实现通用云计算环境中的差异访问控制和保护隐私披露。但是解密时长高,访问授权效率低。支持密钥撤销的部分策略隐藏方案,其访问结构基于线性秘密共享方案(LSSS,Linear SecretSharing Scheme),并且在离线字典攻击下保证匿名安全。但是都无法支持访问过程可信、透明的保障。
如中国专利CN201910946948.9,其公开了一种基于区块链和属性密码的高校证书存储管理系统,其区块链存储节点调用智能合约,对传入参数进行验证并存储;发起查询时,学生向属性密码平台发送查询请求;高校调用SDK查询请求;学生和其他机构通过哈希编码进行验证。但该方案缺乏有效的优化和调度机制,处理大量请求时出现延迟和拥堵情况时导致访问效率低下;访问控制中,存在数据重复存储的问题,浪费存储资源并导致数据不一致;密钥的生成和管理集中少数几个机构手中,容易受到攻击和窃取;缺乏细粒度的访问控制,数据的保护可能不够充分。
发明内容
本发明要解决的技术问题是:克服现有技术的不足,提供一种基于区块链、智能合约的访问控制模型及方法。
本发明的技术方案为:
一种基于区块链、智能合约的访问控制模型,包括如下内容:
联盟链CB,包括联盟链中的区块链的所有节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;
星际文件传输系统IPFS,将区块链的所有节点构成分布式文件系统;
授权机构,包括中心授权机构CA和属性授权机构AA,其中:
中心授权机构CA,由CA节点构成,CA节点通过所有节点共同随机选出,CA节点不包含任何属性,也不负责验证用户属性;用户DO向CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
属性授权机构AA,联盟链CB将属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥,同时属性授权机构AA生成属性机构的公钥;
属性机构,基于联盟链CB,包括数据管理机构和数据监管机构;
数据拥有者DO,通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;
数据访问者DU,通过运行Encrypt算法对数据加密;发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成。
本发明模型具有以下有益效果:
本技术方案利用区块链的不可篡改和分布式特性,将基于联盟链网络中的节点机构取代了传统的多授权CP-ABE方案中的授权机构,联盟链中的相互认证保证属性机构的操作和管理在可认证可信赖的情况下进行,该方案构建一个保证用户数据隐私以及各方安全数据交换的模型,并通过结合联盟链、密文属性加密访问控制算法、以及智能合约自动执行访问控制中的关键部分,实现既安全又可靠的数据共享,同时用户持有私钥由分布式的节点协作生成,避免传统CP-ABE方案中密钥授权机构属性私钥生成权威集中的情况,实现了细粒度访问控制和数据隐私保护。为了避免数据关键信息泄露、具有限时访问权限控制,有效识别重复数据并且拒绝相应的存储请求,联盟链中各部分维护映射表,将在感兴趣的数据真正解密之前提高访问速度。
在其中一些实施例中,所述联盟链CB中的相互认证保证属性机构的操作和管理在可认证可信赖的情况下进行,访问控制模型保证用户数据隐私以及各方安全数据交换的模型,并通过结合联盟链、密文属性加密访问控制算法、以及智能合约自动执行访问控制中的关键部分,实现既安全又可靠的数据共享,同时用户持有私钥由分布式的节点协作生成。
在其中一些实施例中,所述数据拥有者DO制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
在其中一些实施例中,所述星际文件传输系统IPFS中,上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志。
在其中一些实施例中,所述属性授权机构属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
本发明的技术方案为:
一种基于区块链、智能合约的访问控制模型的方法,采用基于区块链、智能合约的访问控制模型,包括如下步骤:
S1、初始阶段:由联盟链中的区块链的所有节点共同随机选出一个CA节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;对于属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥;同时属性授权机构AA生成属性机构公钥;
S2、用户注册阶段:用户向中心授权机构CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
S3、数据加密阶段:在将数据外包传到云环境之前,数据拥有者DO通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;数据拥有者DO通过运行Encrypt算法对数据加密;
S4、数据上传阶段:数据拥有者基于数据基本信息包含数据描述信息和数据隐私信息;智能合约负责将以上信息提交至区块链网络中;
S5、数据访问阶段:数据访问者DU发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据的关键描述信息进行查找,当DU需要查看数据时,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成;上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志;
S6、访问撤销阶段:如果属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
本技术方案通过区块链的不可篡改和分布式特性,可以实现数据的安全性和可靠性;通过基于联盟链网络的节点机构取代传统的多授权CP-ABE方案中的授权机构,可以实现更细粒度的访问控制和数据隐私保护;通过智能合约自动执行访问控制中的关键部分,可以提高数据共享的效率和安全性;通过分布式的节点协作生成用户私钥,可以避免传统CP-ABE方案中密钥授权机构属性私钥生成权威集中的情况,实现更安全的数据共享;通过联盟链中各部分维护映射表,可以在解密之前提高访问速度,同时避免重复存储数据,进一步提高了数据共享的效率。
在其中一些实施例中,所述步骤S3还设置有前置步骤:
S3'、为了方便后续查找快速查找数据映射表DET,在加密数据之前,对数据m提取x个关键字w,按照关键词随机哈希构成m的关键字集keyWord,数据拥有者DO随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;此外,由数据拥有者制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
在其中一些实施例中,所述步骤S5中,合法用户的属性集满足嵌入到密文当中的访问结构时,允许解密此内容密钥,并使用密钥解密数据。
本发明方法具有以下有益效果:
针对传统密文加密访问方案,基于区块链和智能合约的多属性机构访问控制方法,用户访问效率提高,数据保护安全性提高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明访问控制模型的方法的流程原理框图。
图2是用户注册阶段的智能合约算法实施算法一图。
图3是数据上传阶段的智能合约算法实施算法二图。
图4是数据访问阶段的智能合约算法实施算法三图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
实施例1
如图1所示,本实施例提供了一种基于区块链、智能合约的访问控制模型,包括如下内容:
联盟链CB,包括联盟链中的区块链的所有节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;
星际文件传输系统IPFS,将区块链的所有节点构成分布式文件系统;
授权机构,包括中心授权机构CA和属性授权机构AA,其中:
中心授权机构CA,由CA节点构成,CA节点通过所有节点共同随机选出,CA节点不包含任何属性,也不负责验证用户属性;用户DO向CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
属性授权机构AA,联盟链CB将属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥,同时属性授权机构AA生成属性机构的公钥;
属性机构,基于联盟链CB,包括数据管理机构和数据监管机构;
数据拥有者DO,通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;
数据访问者DU,通过运行Encrypt算法对数据加密;发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成。
本技术方案利用区块链的不可篡改和分布式特性,将基于联盟链网络中的节点机构取代了传统的多授权CP-ABE方案中的授权机构,联盟链中的相互认证保证属性机构的操作和管理在可认证可信赖的情况下进行,该方案构建一个保证用户数据隐私以及各方安全数据交换的模型,并通过结合联盟链、密文属性加密访问控制算法、以及智能合约自动执行访问控制中的关键部分,实现既安全又可靠的数据共享,同时用户持有私钥由分布式的节点协作生成,避免传统CP-ABE方案中密钥授权机构属性私钥生成权威集中的情况,实现了细粒度访问控制和数据隐私保护。为了避免数据关键信息泄露、具有限时访问权限控制,有效识别重复数据并且拒绝相应的存储请求,联盟链中各部分维护映射表,将在感兴趣的数据真正解密之前提高访问速度。
在其中一些实施例中,所述联盟链CB中的相互认证保证属性机构的操作和管理在可认证可信赖的情况下进行,访问控制模型保证用户数据隐私以及各方安全数据交换的模型,并通过结合联盟链、密文属性加密访问控制算法、以及智能合约自动执行访问控制中的关键部分,实现既安全又可靠的数据共享,同时用户持有私钥由分布式的节点协作生成。
在其中一些实施例中,所述数据拥有者DO制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
在其中一些实施例中,所述星际文件传输系统IPFS中,上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志。
在其中一些实施例中,所述属性授权机构属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
实施例2
如图2至图4所示,在实施例1基础上,本实施例提供了一种基于区块链、智能合约的访问控制模型的方法,采用基于区块链、智能合约的访问控制模型,包括如下步骤:
S1、初始阶段:由联盟链中的区块链的所有节点共同随机选出一个CA节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;对于属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥;同时属性授权机构AA生成属性机构公钥;
S2、用户注册阶段:如图2所示,用户向中心授权机构CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
S3、数据加密阶段:在将数据外包传到云环境之前,数据拥有者DO通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;数据拥有者DO通过运行Encrypt算法对数据加密;
S4、数据上传阶段:如图3所示,数据拥有者基于数据基本信息包含数据描述信息和数据隐私信息;智能合约负责将以上信息提交至区块链网络中;
S5、数据访问阶段:如图4所示,数据访问者DU发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据的关键描述信息进行查找,当DU需要查看数据时,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成;上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志;
S6、访问撤销阶段:如果属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
本技术方案通过区块链的不可篡改和分布式特性,可以实现数据的安全性和可靠性;通过基于联盟链网络的节点机构取代传统的多授权CP-ABE方案中的授权机构,可以实现更细粒度的访问控制和数据隐私保护;通过智能合约自动执行访问控制中的关键部分,可以提高数据共享的效率和安全性;通过分布式的节点协作生成用户私钥,可以避免传统CP-ABE方案中密钥授权机构属性私钥生成权威集中的情况,实现更安全的数据共享;通过联盟链中各部分维护映射表,可以在解密之前提高访问速度,同时避免重复存储数据,进一步提高了数据共享的效率。
在其中一些实施例中,所述步骤S3还设置有前置步骤:
S3'、为了方便后续查找快速查找数据映射表DET,在加密数据之前,对数据m提取x个关键字w,按照姓名科室等关键词随机哈希构成m的关键字集keyWord,数据拥有者DO随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;此外,由数据拥有者制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
在其中一些实施例中,所述步骤S5中,合法用户的属性集满足嵌入到密文当中的访问结构时,允许解密此内容密钥,并使用密钥解密数据。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种基于区块链、智能合约的访问控制模型,其特征在于,包括如下内容:
联盟链CB,包括联盟链中的区块链的所有节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;
星际文件传输系统IPFS,将区块链的所有节点构成分布式文件系统;
授权机构,包括中心授权机构CA和属性授权机构AA,其中:
中心授权机构CA,由CA节点构成,CA节点通过所有节点共同随机选出,CA节点不包含任何属性,也不负责验证用户属性;用户DO向CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
属性授权机构AA,联盟链CB将属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥,同时属性授权机构AA生成属性机构的公钥;
属性机构,基于联盟链CB,包括数据管理机构和数据监管机构;
数据拥有者DO,通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;
数据访问者DU,通过运行Encrypt算法对数据加密;发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成。
2.如权利要求1所述的基于区块链、智能合约的访问控制模型,其特征在于,所述联盟链CB中的相互认证保证属性机构的操作和管理在可认证可信赖的情况下进行,访问控制模型保证用户数据隐私以及各方安全数据交换的模型,并通过结合联盟链、密文属性加密访问控制算法、以及智能合约自动执行访问控制中的关键部分,实现既安全又可靠的数据共享,同时用户持有私钥由分布式的节点协作生成。
3.如权利要求1所述的基于区块链、智能合约的访问控制模型,其特征在于,所述数据拥有者DO制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
4.如权利要求1所述的基于区块链、智能合约的访问控制模型,其特征在于,所述星际文件传输系统IPFS中,上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志。
5.如权利要求1所述的基于区块链、智能合约的访问控制模型,其特征在于,所述属性授权机构属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
6.一种基于区块链、智能合约的访问控制模型的方法,采用权利要求1-5任意一项所述的基于区块链、智能合约的访问控制模型,其特征在于,包括如下步骤:
S1、初始阶段:由联盟链中的区块链的所有节点共同随机选出一个CA节点,区块链内各个节点互相承认链上操作和记录,选出可靠可信赖节点负责全局钥对的构成;属性随机分给属性授权机构AA,每个属性由K个属性授权机构共同管理,同时每个属性授权机构AA获得不同的属性集进行独立管理;对于属性授权机构AA管理的每个属性隐含指定一个属性版本私钥并生成属性公钥;同时属性授权机构AA生成属性机构公钥;
S2、用户注册阶段:用户向中心授权机构CA注册,其动作触发智能合约,以用户信息和用户唯一标识为用户生成认证证书和签名信息以及全局公钥和私钥;
S3、数据加密阶段:在将数据外包传到云环境之前,数据拥有者DO通过利用SHA-1对数据m进行哈希获得哈希摘要值hash,哈希摘要值帮助数据访问者DU在后续下载访问时验证数据完整性;数据拥有者DO通过运行Encrypt算法对数据加密;
S4、数据上传阶段:数据拥有者基于数据基本信息包含数据描述信息和数据隐私信息;智能合约负责将以上信息提交至区块链网络中;
S5、数据访问阶段:数据访问者DU发起访问请求,查询区块链交易记录,通过智能合约数据访问者提交数据的关键描述信息进行查找,当DU需要查看数据时,需要提交自己的令牌信息;令牌信息由中心授权机构CA根据访问者在全局系统中的UID和全局公共参数GPP以及用户属性公钥集合PK生成;上传到区块链上公开存放的密文供任何人查询,同时由区块链保存相关的查询历史,借助智能合约,记录用户记录、权限记录和访问日志;
S6、访问撤销阶段:如果属性授权机构AA中管理的属性发生撤销,属性撤销包括被撤销属性所在的属性授权机构AA更新密钥,未吊销的用户更新其密钥;通过更新和撤销的属性相关的密钥组件、密文组件,无需变化密钥、密文的其他部分。
7.如权利要求6所述的基于区块链、智能合约的访问控制模型的方法,其特征在于,所述步骤S3还设置有前置步骤:
S3'、为了方便后续查找快速查找数据映射表DET,在加密数据之前,对数据m提取x个关键字w,按照关键词随机哈希构成m的关键字集keyWord,数据拥有者DO随机计算私钥和公钥,使用公钥将关键字集合keyWord加密成关键字密文;此外,由数据拥有者制定访问结构,根据数据m的逻辑粒度,将数据划分成多个数据颗粒,在加密中附上对称密钥和制定的访问结构生成密文。
8.如权利要求6所述的基于区块链、智能合约的访问控制模型的方法,其特征在于,所述步骤S5中,合法用户的属性集满足嵌入到密文当中的访问结构时,允许解密此内容密钥,并使用密钥解密数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311581018.0A CN117610041A (zh) | 2023-11-23 | 2023-11-23 | 基于区块链、智能合约的访问控制模型及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311581018.0A CN117610041A (zh) | 2023-11-23 | 2023-11-23 | 基于区块链、智能合约的访问控制模型及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117610041A true CN117610041A (zh) | 2024-02-27 |
Family
ID=89949201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311581018.0A Pending CN117610041A (zh) | 2023-11-23 | 2023-11-23 | 基于区块链、智能合约的访问控制模型及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117610041A (zh) |
-
2023
- 2023-11-23 CN CN202311581018.0A patent/CN117610041A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Aujla et al. | SecSVA: secure storage, verification, and auditing of big data in the cloud environment | |
WO2022007889A1 (zh) | 基于区块链与同态加密的可搜索加密数据共享方法及系统 | |
CN109829326B (zh) | 基于区块链的跨域认证与公平审计去重云存储系统 | |
JP7514343B2 (ja) | ブロックチェーンネットワークのためのクレデンシャル生成及び分配方法 | |
Chen et al. | Bidm: a blockchain-enabled cross-domain identity management system | |
Namasudra et al. | Data accessing based on the popularity value for cloud computing | |
CN111614680B (zh) | 一种基于cp-abe的可追溯云存储访问控制方法和系统 | |
Sun et al. | Research on logistics information blockchain data query algorithm based on searchable encryption | |
CN117396869A (zh) | 用于使用分布式账本技术进行安全密钥管理的系统和方法 | |
Bhandari et al. | A framework for data security and storage in Cloud Computing | |
Chen et al. | Password-authenticated searchable encryption | |
Ali et al. | Authorized attribute-based encryption multi-keywords search with policy updating | |
Gajmal et al. | Blockchain-based access control and data sharing mechanism in cloud decentralized storage system | |
Sammy et al. | An Efficient Blockchain Based Data Access with Modified Hierarchical Attribute Access Structure with CP‐ABE Using ECC Scheme for Patient Health Record | |
Han et al. | Identity-based secure distributeddata storage schemes | |
di Vimercati et al. | Data security issues in cloud scenarios | |
Han et al. | TCA-PEKS: Trusted certificateless authentication public-key encryption with keyword search scheme in cloud storage | |
Deepa et al. | An extensive review and possible attack on the privacy preserving ranked multi-keyword search for multiple data owners in cloud computing | |
Yan et al. | Secure and efficient big data deduplication in fog computing | |
Feng et al. | One-stop efficient PKI authentication service model based on blockchain | |
CN114866244B (zh) | 基于密文分组链接加密的可控匿名认证方法、系统及装置 | |
CN117610041A (zh) | 基于区块链、智能合约的访问控制模型及方法 | |
Deshmukh et al. | Secure fine-grained data access control over multiple cloud server based healthcare applications | |
Song et al. | A group key exchange and secure data sharing based on privacy protection for federated learning in edge‐cloud collaborative computing environment | |
Tian et al. | Fine‐grained assured insertion and deletion scheme based on onion encryption in cloud storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |