CN112257112A - 一种基于区块链的数据访问控制方法 - Google Patents

Abstract

本发明公开了一种基于区块链的数据访问控制方法，有效的解决了现有技术中在基于区块链的基础上存在着需建立数据共享智能合约、数据用户无法得到数据明文、数据拥有者无法对自己的数据进行管理的问题，本发明利用区块链为数据拥有者和数据用户之间提供可信的数据共享平台，属性管理中心θ通过区块链发布公共参数，数据拥有者利用公共参数实现基于数据属性对数据明文M进行加密得到密文C，并将密文C传输至数据共享平台上，数据用户通过区块链各属性管理中心θ请求属性u对应的密钥K从而获取数据明文M，从而避免了数据拥有者无法对自己的数据进行管理的问题，也使得数据用户能够在本地获得数据明文，也保证了数据共享过程中数据明文的安全。

Description

一种基于区块链的数据访问控制方法

技术领域

本发明涉及数据访问控制领域，特别是一种基于区块链的数据访问控制方法。

背景技术

在数据共享领域中，数据传递的安全性非常重要。在传统的数据共享方式中，数据所有者将数据上传到平台，数据所有者向平台索取数据。在这种情况下，数据的所有权转移到平台，难以保障数据所有者的权益。此外，数据安全完全由中心化的平台掌控，存在密钥泄露、数据泄露等风险，且单一的中心无法同时获取多方信任，严重限制了数据共享的范畴。

区块链作为一种去中心化技术，可以在无中心场景下实现数据共享支撑；作为一种分布式账本技术，其不可篡改的特性使它保管的数据具备不可篡改特性，为数据共享的流程提供了可追溯性和可信性。因此，借助区块链构建平台，实现数据的传递、权限的管理等功能，成为研究热点。

现有技术1：专利号为CN 110224814 A的《一种区块链数据共享方法及装置》专利，涉及一种数据共享方法，分以下两步进行：第一步，数据拥有者结合数据哈希值和使用者公钥，对数据进行加密后发送到智能合约；第二步，数据请求者使用私钥，对数据进行解密，但此种方法要求数据共享双方在区块链的基础上建立数据共享智能合约才能实现数据共享；

现有技术2：专利号为CN 111385301 A的《一种区块链数据共享加密和解密方法、设备及存储介质》专利提供的方法分以下几步进行：第一步：数据拥有者产生公钥A1，私钥A，对明文进行加密得到a1，上传到区块链；第二步：区块链为数据拥有者生成密钥C1；第三步：数据拥有者使用密钥C1对A进行加密得到reA，上传到区块链；第四步：智能合约利用reA对密文a1进行加密，得到a2；第五步：数据使用方利用a2进行同态运算，使用C1对结果进行解密，可以在不知道明文的情况下获得计算结果。而这种方法实现的是多方安全计算，数据请求者并未能获得数据明文，并不能算是完全的数据共享；

现有技术3：专利号为CN 111444264 A的《一种基于区块链的数据安全共享方法》，涉及一种数据共享方法，分以下几步进行：第一步，数据拥有者对数据进行脱敏及清洗后，上传至数据共享平台；第二步，平台对数据进行加密处理后，获取数据哈希后，写入区块链；第三步，平台将数据权限及访问规则写入智能合约部署到区块链；第四步，数据请求者用自己的权限向平台查询数据。而这种方法的数据加密及权限管理，这些权利完全属于平台所有，数据所有者本身无法对自己的数据进行管理。

因此本发明提供一种的新的方案来解决此问题。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于区块链的数据访问控制方法，有效的解决了现有技术中在基于区块链的基础上存在着需建立数据共享智能合约、数据请求者无法得到数据明文、数据所有者无法对自己的数据进行管理的问题。

其解决的技术方案是，一种基于区块链的数据访问控制方法，所述控制方法包括如下具体步骤：

S1、若干个属性管理中心θ共同建立基于区块链的数据共享平台，数据共享平台的节点对数据共享平台进行初始化，其中数据共享平台的节点包括各个属性管理中心θ；

S2、数据拥有者通过数据共享平台发布数据；

S3、数据用户通过数据共享平台检索并查询所需要的数据，获取数据并完成解密。

进一步地，所述节点为参与维护及运营区块链的的服务器，节点有多个，利用区块链发布自身数据的为数据拥有者，通过区块链获取数据的为数据用户，属性管理中心θ为管理数据拥有者数据权限控制的服务器。

进一步地，所述步骤S1需要经过如下步骤：

S11、区块链的各个节点之间进行协商，生成包括双线性群G、元g为在内的参数，

H(user_id)→G

并制定哈希函数：F(access_policy)→G，其中，H函数用于将用户的id user_id映射到双线性群G，F函数用于将访问控制策略access_policy映射到双线性群G，其中节点包括属性管理中心；

S12、定义双线性运算e(g,g)是将双线性群G进行映射G×G→G_T；

S13、公开到数据共享平台的参数包括g,e(g,g),G，以及用户的id user_id；

S14、每个属性管理中心θ为自己生成随机数作为私钥(α_θ,y_θ)，发布公钥

到数据共享平台；

S15、数据共享平台初始化完成。

进一步地，所述步骤S2经过如下步骤：

S21、数据拥有者针对数据进行加密，得到密文C＝Me(g,g)^z，其中M为加密的数据明文，z为加密密钥；

S22、数据拥有者生成访问控制策略p，令访问控制策略p为C@c AND B@b，其中p为便于表述而简写的access_policy，表示为当属性管理中心c签发的C属性和属性管理中心b签发的B属性同时存在时可访问数据，在平台中访问控制策略p为(A,δ,ρ)，其中A为访问控制策略p对应的访问控制矩阵，共l行n列，δ指代映射函数δ(x)，表示第x行对应的属性，ρ指代映射函数ρ(x)，表示为第x行对应的属性管理中心θ；

S23、根据访问控制策略p(A,δ,ρ)，生成访问控制密文CT，在数据加密的过程中，首先生成随机数T，构建向量ν＝(z,ν₂...,v_n)^T和w＝(0,w₂...,w_n)^T，令λ_x＝<A_x,v>，其中A_x为访问控制矩阵A的第x行，而后针对每一行分别生成随机数t_x，访问控制密文CT计算过程如下：

CT＝{C_1,x,C_2,x,C_3,x,C_4,x}

S24、将密文C、访问控制密文CT、访问控制策略p上传至至数据共享平台。

进一步地，所述步骤S3经过如下步骤：

S31、数据用户向各属性管理中心θ请求属性u对应的密钥K，对于每一个属性u，对应的属性管理中心生成随机数t，并生成密钥K1,K2

K2_uid,u＝g^t

从数据共享平台查询数据，获取到所需数据的访问控制密文CT、密文C、访问控制策略p，其中uid为便于表述而简写的user_id；

S32、将访问控制策略p重新转为(A,δ,ρ)形式，计算c_x使得∑_xc_xA_x＝(1,0,...,0)，对每一行进行计算：

S33、得到数据明文M＝C₀/e(g,g)^z，完成解密。

由于以上技术方案的采用，本发明与现有技术相比具有如下优点：

(1)本发明利用区块链为数据拥有者和数据用户之间提供可信的数据共享平台，属性管理中心θ通过区块链发布公共参数，数据拥有者利用公共参数实现基于数据属性对数据明文M进行加密得到密文C，并将密文C传输至区块链上，数据用户通过区块链各属性管理中心θ请求属性u对应的密钥K从而获取数据明文M，从而避免了数据拥有者无法对自己的数据进行管理的问题；

(2)本发明针对数据共享过程中存在的安全问题，设计了基于多主体属性加密的机制：密钥K本身仅仅能由具有对应属性的用户解开，由于属性来自不同的密钥管理中心，不同用户在不同属性产生的密钥无法合并，明文未经过任何公开传输，属性密钥也由数据用户自身在本地进行合并，并通过解密得到数据明文，避免了数据泄露的风险，无需多一步建立数据共享智能合约就能实现数据共享，保证了数据共享过程中数据的安全。

附图说明

图1为本发明一种基于区块链的数据访问控制方法的示意图。

具体实施方式

为有关本发明的前述及其他技术内容、特点与功效，在以下配合参考附图1对实施例的详细说明中，将可清楚的呈现。以下实施例中所提到的结构内容，均是以说明书附图为参考。

下面将参照附图描述本发明的各示例性的实施例。

一种基于区块链的数据访问控制方法，是由若干个属性管理中心θ建立基于区块链的数据共享平台，基于数据共享平台数据拥有者与数据用户实现数据共享，数据请求者即为数据用户，数据所有者即为数据拥有者，所述控制方法包括如下具体步骤：

S1、若干个属性管理中心θ建立基于区块链的数据共享平台，数据共享平台的节点对数据共享平台进行初始化，其中数据共享平台的节点包括各个属性管理中心；

S2、数据拥有者通过数据共享平台发布数据；

S3、数据用户通过数据共享平台检索并查询所需要的数据，获取数据并完成解密。所述节点为参与维护及运营区块链的的服务器，节点有多个，利用区块链发布自身数据的为数据拥有者，通过区块链获取数据的为数据用户，属性管理中心θ为管理数据拥有者数据权限控制的属性的服务器；

所述步骤S1需要经过如下步骤：

S11、区块链的各个节点之间进行协商，生成包括双线性群G、元g为在内的参数，并制定哈希函数：

其中，H函数用于将用户的id user_id映射到双线性群G，F函数用于将访问控制策略access_policy映射到双线性群G，其中节点包括属性管理中心；

S12、定义双线性运算e(g,g)是将双线性群G进行映射G×G→G_T；

S13、公开到数据共享平台的参数包括g,e(g,g),G，以及用户的id user_id；

S14、每个属性管理中心θ为自己生成随机数作为私钥(α_θ,y_θ)，发布公钥

到数据共享平台；

S15、数据共享平台初始化完成；

所述步骤S2经过如下步骤：

S21、数据拥有者针对数据进行加密，得到密文C＝Me(g,g)^z，其中M为加密的数据明文，z为加密密钥；

S22、数据拥有者生成访问控制策略p，令访问控制策略p为C@c AND B@b，其中p为便于表述而简写的access_policy，表示为当属性管理中心c签发的C属性和属性管理中心b签发的B属性同时存在时可访问数据，在平台中访问控制策略p为(A,δ,ρ)，其中A为访问控制策略p对应的访问控制矩阵，共l行n列，δ指代映射函数δ(x)，表示第x行对应的属性，ρ指代映射函数ρ(x)，表示为第x行对应的属性管理中心θ；

S23、根据访问控制策略p(A,δ,ρ)，生成访问控制密文CT，在数据加密的过程中，首先生成随机数T，构建向量ν＝(z,ν₂...,v_n)^T和w＝(0,w₂...,w_n)^T，令λ_x＝<A_x,v>，其中A_x为访问控制矩阵A的第x行，而后针对每一行分别生成随机数t_x，访问控制密文CT计算过程如下：

CT＝{C_1,x,C_2,x,C_3,x,C_4,x}

S24、将密文C、访问控制密文CT、访问控制策略p上传至至数据共享平台；

所述步骤S3经过如下步骤：

S31、数据用户向各属性管理中心θ请求属性u对应的密钥K，对于每一个属性u，对应的属性管理中心生成随机数t，并生成密钥K1，K2

K2_uid,u＝g^t

从数据共享平台查询数据，获取到所需数据的访问控制密文CT、密文C、访问控制策略p，其中uid为便于表述而简写的user_id；

S32、将访问控制策略p重新转为(A,δ,ρ)形式，计算c_x使得∑_xc_xA_x＝(1,0,...,0)，对每一行进行计算：

S33、得到数据明文M＝C₀/e(g,g)^z，完成解密。

本发明在进行具体使用的时候，采用Fabric构建区块链，利用Charm框架实现属性的加解密，实验结果如下：

区块链实验环境为部署于金山云上的1核2G服务器，Ubuntu 16.04***，区块链架构采用Hyperledger Fabric 1.4.0，并利用docker容器部署联盟链节点，智能合约采用JavaScript进行编写，采用50次运行平均值，得写入链上步骤用时2060ms，共识用时75ms，查询用时14ms，因此，全局初始化的环节约用时2060ms；

各属性中心的初始化、数据拥有者的加密环节与数据请求者的解密环节均在链下进行，采用charm框架实现，Ubuntu 16.04***，CPU主频2.4GHZ，2G RAM，Python3.5.3环境下，在不同曲线下，用时如下表所示：

因属性管理中心的计算能力可能远远超过数据所有者及使用者，初始化环节、密钥生成环节可忽略不计，数据发布上链后并不要求数据请求者立即知道，上链时间对本发明的实际影响极小。

因此仅对数据拥有者和数据用户的时间开销进行分析：以SS512曲线，4属性为例，对于数据拥有者，发布数据的时间为：加密75ms+共识通过75ms＝150ms，对于数据用户，获得数据的时间为：查询时间14ms+密钥生成时间91.5ms+解密时间34.5ms＝140ms。

本发明提供的控制方法并不影响数据拥有者和数据用户所使用的时间，并且利用区块链为数据拥有者和数据请求者之间提供可信的数据共享平台，属性管理中心θ通过区块链发布公共参数，数据拥有者利用公共参数实现基于数据属性对数据明文M进行加密得到密文C，并将密文C传输至区块链上，数据用户通过区块链各属性管理中心θ请求属性u对应的密钥K从而获取数据明文M，从而避免了数据拥有者无法对自己的数据进行管理的问题，也使得数据用户能够在本地获得数据明文，通过基于多主体属性加密的机制，也保证了数据共享过程中数据明文的安全。

Claims (5)

1.一种基于区块链的数据访问控制方法，其特征在于，所述控制方法包括如下具体步骤：

S1、若干个属性管理中心θ共同建立基于区块链的数据共享平台，数据共享平台的节点对数据共享平台进行初始化，其中数据共享平台的节点包括各个属性管理中心θ；

S2、数据拥有者通过数据共享平台发布数据；

S3、数据用户通过数据共享平台检索并查询所需要的数据，获取数据并完成解密。

2.如权利要求1所述的一种基于区块链的数据访问控制方法，其特征在于，所述节点为参与维护及运营区块链的服务器，节点有多个，利用区块链发布自身数据的为数据拥有者，通过区块链获取数据的为数据用户，属性管理中心θ为管理数据拥有者数据权限控制的属性的服务器。

3.如权利要求1所述的一种基于区块链的数据访问控制方法，其特征在于，所述步骤S1需要经过如下步骤：

S11、区块链的各个节点之间进行协商，生成包括双线性群G、元g为在内的参数，并制定哈希函数：

其中，H函数用于将用户的id user_id映射到双线性群G，F函数用于将访问控制策略access_policy映射到双线性群G，其中节点包括属性管理中心θ；

S12、定义双线性运算e(g,g)是将双线性群G进行映射G×G→G_T；

S13、公开到数据共享平台的参数包括g,e(g,g),G，以及用户的id user_id；

S14、每个属性管理中心θ为自己生成随机数作为私钥(α_θ,y_θ)，发布公钥

到数据共享平台；

S15、数据共享平台初始化完成。

4.如权利要求1所述的一种基于区块链的数据访问控制方法，其特征在于，所述步骤S2经过如下步骤：

S21、数据拥有者针对数据进行加密，得到密文C＝Me(g,g)^z，其中M为加密的数据明文，z为加密密钥；

S22、数据拥有者生成访问控制策略p，令访问控制策略p为C@c AND B@b，其中p为便于表述而简写的access_policy，表示为当属性管理中心c签发的C属性和属性管理中心b签发的B属性同时存在时可访问数据，在平台中访问控制策略p为(A,δ,ρ)，其中A为访问控制策略p对应的访问控制矩阵，共l行n列，δ指代映射函数δ(x)，表示第x行对应的属性，ρ指代映射函数ρ(x)，表示为第x行对应的属性管理中心θ；

S23、根据访问控制策略p(A,δ,ρ)，生成访问控制密文CT，在数据加密的过程中，首先生成随机数T，构建向量ν＝(z,ν₂...,v_n)^T和w＝(0,w₂...,w_n)^T，令λ_x＝<A_x,v>，其中A_x为访问控制矩阵A的第x行，而后针对每一行分别生成随机数t_x，访问控制密文CT计算过程如下：

CT＝{C_1,x,C_2,x,C_3,x,C_4,x}

S24、将密文C、访问控制密文CT、访问控制策略p上传至至数据共享平台。

5.如权利要求1所述的一种基于区块链的数据访问控制方法，其特征在于，所述步骤S3经过如下步骤：

S31、数据用户向各属性管理中心θ请求属性u对应的密钥K，对于每一个属性u，对应的属性管理中心生成随机数t，并生成密钥K1,K2

K2_uid,u＝g^t

从数据共享平台查询数据，获取到所需数据的访问控制密文CT、密文C、访问控制策略p，其中uid为便于表述而简写的user_id；

S32、将访问控制策略p重新转为(A,δ,ρ)形式，计算c_x使得∑_xc_xA_x＝(1,0,...,0)，对每一行进行计算：

S33、得到数据明文M＝C₀/e(g,g)^z，完成解密。

Images