CN115580431A - 一种基于联盟链智能合约的隐私数据访问控制方法 - Google Patents

一种基于联盟链智能合约的隐私数据访问控制方法 Download PDF

Info

Publication number
CN115580431A
CN115580431A CN202211063417.3A CN202211063417A CN115580431A CN 115580431 A CN115580431 A CN 115580431A CN 202211063417 A CN202211063417 A CN 202211063417A CN 115580431 A CN115580431 A CN 115580431A
Authority
CN
China
Prior art keywords
data
mpt
authority
user
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211063417.3A
Other languages
English (en)
Other versions
CN115580431B (zh
Inventor
殷丽华
孙哲
刘帅
方滨兴
韩伟红
李超
张美范
李然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202211063417.3A priority Critical patent/CN115580431B/zh
Publication of CN115580431A publication Critical patent/CN115580431A/zh
Application granted granted Critical
Publication of CN115580431B publication Critical patent/CN115580431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于联盟链智能合约的隐私数据访问控制方法,包括以下步骤:S1:初始化***,设置***参数并计算用户公钥;S2:生成发布数据的密文,构造发往服务器的消息;S3:请求数据并验证权限;S4:从数据库中下载数据;S5:更新本地授权信息,新增享有资源的用户的权限;S6:更新本地授权信息,删除不再享有资源的用户的权限。本发明提供的技术方案能够实现对数据访问者的访问权限控制:联盟链中的权限验证智能合约来验证请求者权限的MPT中的相关隐私数据,智能合约验证计算结果是否与区块中相应的MPT哈希值相等,有效地实现了实现对数据访问者的访问权限控制。

Description

一种基于联盟链智能合约的隐私数据访问控制方法
技术领域
本发明属于区块链应用技术领域,具体涉及一种基于联盟链智能合约的隐私数据访问控制方法。
背景技术
随着物联网技术、云计算、大数据等新兴技术的发展,越来越多的个人和组织用户将其数据进行在线存储及远程共享。用户可以随时随地访问并获取数据。然而,存储在云端的数据可能包含大量的隐私和机密,一旦受到攻击或缺乏监控,可能造成数据被篡改或隐私泄露等重大事故凹。数据加密被认为是实现数据安全的有效方法之。
云存储信息泄露与破坏影响着云存储应用***实施的效率,也是目前云存储应用面临的一个重要问题。云存储应用***中信息被破坏表现为黑客入侵、病毒攻击。对云存储的非法操作包括非法访问者访问隐私数据以及合法访问者对云存储非授权对象进行非法访问。造成云存储被攻击的主要原因是云存储访问控制技术不能保障数据库本身的安全防护,具体表现在云存储访问控制过程的中心化管理缺乏对数据库访问者访问行为的认证、记录和监管,对云存储信息泄露事件的责任追溯及控制力不足等。所以,如何加强对云存储访问者身份及访问权限的认证,构建对访问者访问行为的动态、实时监管机制以及访问者身份、访问行为的事后追溯体系,是目前云存储访问控制需要解决的问题。
区块链是比特币的技术体系与应用模式,最早于2008年11月由中本聪提出。区块链的根本特点是去中心化共识认证和分布式记账,由于使用了哈希计算和数字签名技术,区块链从理论上构建了一个完善的、不可伪造的信息或数据记录体系,成功解决了信息或数据的可追溯问题。区块链本身的技术特性使其在实际应用中具备开放性和灵活性,区块链可以根据具体应用环境的特点轻松地进行调整并与应用体系进行融合,而且对应用体系没有额外的硬件设备要求。区块链这一技术体系是多个成熟技术的融合,应用过程中在软件构建方面也不会带来新的问题。因此,区块链在社会生活相关领域得到了迅猛发展
现有技术的问题在于:1)随着用户属性个数的增加,其计算密钥生成和分发的难度越来越大,不能满足实际应用的需要,因此使用CP-ABE进行权限验证效率降低。2)权限验证是在不受信的第三方服务器上进行时,服务器可能会恶意篡改数据。对数据访问者的权限设置不当造成隐私数据泄露和权限验证计算开销。
发明内容
鉴于现有问题,本发明的目的在于提供一种基于联盟链智能合约的隐私数据访问控制方法,,以解决上述问题。
本发明提供如下的技术方案:
一种基于联盟链智能合约的隐私数据访问控制方法,包括以下步骤:S1:初始化***,设置***参数并计算用户公钥;S2:生成发布数据的密文,构造发往服务器的消息;S3:请求数据并验证权限;S4:从数据库中下载数据;S5:更新本地授权信息,新增享有资源的用户的权限;S6:更新本地授权信息,删除不再享有资源的用户的权限。
步骤S1具体为:***设置EIGamal签名算法时使用的参数(p,g),其中p为素数,g为
Figure BDA0003827234200000021
的一个生成元,
Figure BDA0003827234200000022
为非零元的集合;Zp的非零元
Figure BDA0003827234200000023
构成一个乘法群,用户从
Figure BDA0003827234200000024
中选取
Figure BDA0003827234200000025
的值;(p,g)作为用户的私钥,计算自通过公式y≡gxmodp计算用户的公钥,并在本地安全保存为(SKi,PKi)。
述步骤S2包括:
S21:数据拥有者DO生成数据的密文:数据拥有者DO收集需要发布的数据m,选择一随机正整数a0,计算k=H256(a0),使用对称密钥k对数据m进行加密得到密文C=Ek(m),计算密文哈希值hc=H256(C);
S22:数据拥有者DO将拥有访问权限的授权用户信息***到MPT中,其中授权用户信息包括公钥哈希值和公钥加密的解密密钥;并在本地生成一个空文件记录被授权用户的信息;
S23:数据拥有者DO构造发往服务器的消息:
Figure BDA0003827234200000026
其中,hc是密文在云存储服务器上的索引,PKDO是DO的公钥,C=Ek(m)为密文,SigSKDO为通过数据拥有者的私钥进行的签名,desc是数据拥有者DO对数据的描述;
S24:通过云存储服务器验证数据拥有者DO签名合法性,若签名合法则把消息meg储存在本地,云存储服务器返回存储地址dress;
S25:数据拥有者DO发布交易提案
Figure BDA0003827234200000031
其中,H(MPT)为MPT的哈希结果;
S26:数据拥有者DO把交易提案发送至联盟链网络中,区块链中的节点对交易提案进行验证和共识,数据拥有者DO通过在新接收到的区块中查询是否有自己的交易提案来确定交易提案是否被记录到联盟链上。
步骤S3包括:
S31:数据访问者DU对数据拥有者DO的哈希值为hc的数据感兴趣时,通过公式:
Figure BDA0003827234200000032
把hc下载并记录在本地并且生成一个交易请求发布到区块链中,其中,req为数据访问者DU的具体请求内容;
S32:联盟链中的节点对交易提案进行验证和共识,如果验证通过,则调用联盟链中预设的访问控制智能合约,对数据访问者DU进行权限验证,通过重构MPT′的根来验证数据访问者DU的公钥是否在已发布的MPT中,智能合约同时通过计算所有节点的SHA-256值验证一致性,如果最终验证结果和区块中存储的MPT根值一致,则该用户获得访问权限;
S33:验证通过后,联盟链将存储在MPT中使用数据访问者DU公钥加密的解密密钥发送给数据访问者DU并将数据访问者DU的公钥发送给授权的云存储服务器,若验证为通过,则告知数据访问者DU无权访问所请求的数据。
步骤S4包括:
S41:使用云存储服务器在数据库中下载相关数据,对相关数据签名后发送给数据访问者DU;
S42:数据访问者DU收到云存储服务器发送的密文C后,验证签名的合法性,如果签名不合法,则忽略密文C;如果签名合法,计算hc′=H256(C)比较hc′与hc是否相同,其中hc是之前在联盟链中记录的哈希值,以确保密文没有被篡改;如果密文正确,则使用对称密钥k计算Dk(C)得到DO的数据m。
步骤S5对于新增权限用户
Figure BDA0003827234200000033
数据拥有者DO在本地更新本地授权信息后,新增享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
步骤S5中的交易提案所包含内容的格式如下:
重新部署智能合约:SCIupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure BDA0003827234200000041
全网广播以下信息:
Figure BDA0003827234200000042
联盟链在网络中发布数据权限更新交易之后,数据拥有者DO通过在本地执行MPT***操作来验证服务器是否进行了正确的用户权限***。
步骤S6对于删除权限用户
Figure BDA0003827234200000043
在数据拥有者DO在本地更新本地授权信息删除不再享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
步骤S6中的交易提案所包含内容的格式如下:
重新部署智能合约:SCDupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure BDA0003827234200000044
全网广播以下信息:
Figure BDA0003827234200000045
联盟链在网络中发布数据权限更新交易之后,数据拥有者DO通过在本地执行MPT***操作来验证服务器的用户权限删除是否有误。
本发明的有益技术效果在于:
1.本发明提供的基于联盟链智能合约的隐私数据访问控制方法,能够实现对数据访问者的访问权限控制:联盟链中的权限验证智能合约来验证请求者权限的MPT中的相关隐私数据,智能合约验证计算结果是否与区块中相应的MPT哈希值相等,有效地实现了实现对数据访问者的访问权限控制。
2.本发明提供的技术方案,通过预设的智能合约有效的防止了权限被篡改,或者服务器找到与原始数据的哈子碰撞值,然而这是非常困难的。因此将数据的哈希值保存在联盟链中能够保证数据的不可篡改性。
附图说明
图1是本发明实施例基于联盟链智能合约的隐私数据访问控制方法的流程示意图;
图2是本发明的一优选实施例中MPT树的模型示意图;
图3是本发明的一优选实施例中联盟链的数据流转示意图。
具体实施方式
下面对本发明的实施例作详细说明,下述的实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,在不冲突的情况下,本文所描述的实施例可以与其它实施例相结合。
实施例1
如图1,本发明实施例提供的基于联盟链智能合约的隐私数据访问控制方法,包括以下步骤:
S1:初始化***,设置***参数并计算用户公钥;S2:生成发布数据的密文,构造发往服务器的消息;S3:请求数据并验证权限;S4:从数据库中下载数据;S5:更新本地授权信息,新增享有资源的用户的权限;S6:更新本地授权信息,删除不再享有资源的用户的权限。
步骤S1具体为:***设置EIGamal签名算法时使用的参数(p,g),其中p为素数,g为
Figure BDA0003827234200000051
的一个生成元,
Figure BDA0003827234200000052
为非零元的集合;Zp的非零元
Figure BDA0003827234200000053
构成一个乘法群,用户从
Figure BDA0003827234200000054
中选取
Figure BDA0003827234200000055
的值;(p,g)作为用户的私钥,计算自通过公式y≡gxmodp计算用户的公钥,并在本地安全保存为(SKi,PKi),如图2所示。
述步骤S2包括:
S21:数据拥有者DO生成数据的密文:数据拥有者DO收集需要发布的数据m,选择一随机正整数a0,计算k=H256(a0),使用对称密钥k对数据m进行加密得到密文C=Ek(m),计算密文哈希值hc=H256(C);
S22:数据拥有者DO将拥有访问权限的授权用户信息***到MPT中,其中授权用户信息包括公钥哈希值和公钥加密的解密密钥;并在本地生成一个空文件记录被授权用户的信息;
S23:数据拥有者DO构造发往服务器的消息:
Figure BDA0003827234200000061
其中,hc是密文在云存储服务器上的索引,PKDO是DO的公钥,C=Ek(m)为密文,SigSKDO为通过数据拥有者的私钥进行的签名,desc是数据拥有者DO对数据的描述;
S24:通过云存储服务器验证数据拥有者DO签名合法性,若签名合法则把消息meg储存在本地,云存储服务器返回存储地址dress;
S25:数据拥有者DO发布交易提案
Figure BDA0003827234200000062
其中,H(MPT)为MPT的哈希结果;
S26:数据拥有者DO把交易提案发送至联盟链网络中,区块链中的节点对交易提案进行验证和共识,数据拥有者DO通过在新接收到的区块中查询是否有自己的交易提案来确定交易提案是否被记录到联盟链上。
步骤S3包括:
S31:数据访问者DU对数据拥有者DO的哈希值为hc的数据感兴趣时,通过公式:
Figure BDA0003827234200000063
把hc下载并记录在本地并且生成一个交易请求发布到区块链中,其中,req为数据访问者DU的具体请求内容;
S32:联盟链中的节点对交易提案进行验证和共识,如果验证通过,则调用联盟链中预设的访问控制智能合约,对数据访问者DU进行权限验证,通过重构MPT′的根来验证数据访问者DU的公钥是否在已发布的MPT中,智能合约同时通过计算所有节点的SHA-256值验证一致性,如果最终验证结果和区块中存储的MPT根值一致,则该用户获得访问权限;
S33:验证通过后,联盟链将存储在MPT中使用数据访问者DU公钥加密的解密密钥发送给数据访问者DU并将数据访问者DU的公钥发送给授权的云存储服务器,若验证为通过,则告知数据访问者DU无权访问所请求的数据。
步骤S4包括:
S41:使用云存储服务器在数据库中下载相关数据,对相关数据签名后发送给数据访问者DU;
S42:数据访问者DU收到云存储服务器发送的密文C后,验证签名的合法性,如果签名不合法,则忽略密文C;如果签名合法,计算hc′=H256(C)比较hc′与hc是否相同,其中hc是之前在联盟链中记录的哈希值,以确保密文没有被篡改;如果密文正确,则使用对称密钥k计算Dk(C)得到DO的数据m。
步骤S5对于新增权限用户
Figure BDA0003827234200000071
数据拥有者DO在本地更新本地授权信息后,新增享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
步骤S5中的交易提案所包含内容的格式如下:
重新部署智能合约:SCIupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure BDA0003827234200000072
全网广播以下信息:
Figure BDA0003827234200000073
联盟链在网络中发布数据权限更新交易之后,数据拥有者DO通过在本地执行MPT***操作来验证服务器是否进行了正确的用户权限***。
步骤S6对于删除权限用户
Figure BDA0003827234200000074
在数据拥有者DO在本地更新本地授权信息删除不再享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
步骤S6中的交易提案所包含内容的格式如下:
重新部署智能合约:SCDupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure BDA0003827234200000075
全网广播以下信息:
Figure BDA0003827234200000076
联盟链在网络中发布数据权限更新交易之后,数据拥有者DO通过在本地执行MPT***操作来验证服务器的用户权限删除是否有误。
实施例2
如图3所示,本发明实施例提供的基于联盟链智能合约的隐私数据访问控制方法,是在实施例1的基础上,进一步的具体应用。
在需要将电子病历单共享给医生的场景下,在患者进行就医的时候,医生可能需要了解到患者的以往病史或者其他患者的类似病历的治疗方案,可能对患病史进行查看或者需要对某种病史的用药情况,检查数据,治疗方案等进行查看,通过查看可以作为依据来确定本次的治疗方案;本发明提供的技术方案在场景的应用时,其基于联盟链智能合约的隐私数据访问控制方法具体的步骤如下:
1.初始化***,设置***参数并计算用户公钥:患者用随机生成的对称密钥对原始医疗病历隐私数据进行加密处理生成密文并将其存储到云存储服务器,然后使用已授权医生用户的公钥生成一个访问权限MPT存储结构。
2.生成发布数据的密文,构造发往服务器的消息:患者向联盟链中提交隐私数据发布交易,交易中附带MPT根值,并且在联盟中预设访问控制智能合约。
3.请求数据并验证权限:当医生想要获取患者的医疗病历隐私数据时需要先向联盟链发送隐私数据访问请求,通过检索寻找到相关信息,联盟链调用智能合约验证医生权限的MPT中的相关隐私数据,智能合约验证计算结果是否与区块中相应的MPT哈希值相等,如果验证通过,联盟链发送医生的公钥到授权的云存储服务器,将存储在MPT中用DU公钥加密的解密密钥发送给DU,否则,告知无权访问所请求的隐私数据。
4.从数据库中下载数据:当联盟链将验证结果返回给医生,医生再向云存储服务器发起请求,当医生收到服务器发来的密文和加密的解密密钥后,首先计算密文的哈希值,与联盟链中记录的数据哈希值进行对比,如果一致,则数据没有被篡改,进一步对密文进行解密得到隐私数据明文。
5.更新本地授权信息,新增享有资源的用户的权限,删除不再享有资源的用户的权限:患者有权对医生访问隐私数据的权限进行修改,通过更新动态MPT和重新部署访问控制智能合约来删除或者***授权用户。添加授权用户可以赋予医生隐私数据的访问权限,删除授权用户可以取消医生对隐私数据的访问权限。
本发明上述实施例提供的技术方案,能够实现对数据访问者的访问权限控制:联盟链中的权限验证智能合约来验证请求者权限的MPT中的相关隐私数据,智能合约验证计算结果是否与区块中相应的MPT哈希值相等,有效地实现了实现对数据访问者的访问权限控制。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的试验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (9)

1.一种基于联盟链智能合约的隐私数据访问控制方法,其特征在于,包括以下步骤:
S1:初始化***,设置***参数并计算用户公钥;
S2:生成发布数据的密文,构造发往服务器的消息;
S3:请求数据并验证权限;
S4:从数据库中下载数据;
S5:更新本地授权信息,新增享有资源的用户的权限;
S6:更新本地授权信息,删除不再享有资源的用户的权限。
2.根据权利要求1所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于,所述步骤S1具体为:***设置EIGamal签名算法时使用的参数(p,g),其中p为素数,g为
Figure FDA0003827234190000011
的一个生成元,
Figure FDA0003827234190000012
为非零元的集合;Zp的非零元
Figure FDA0003827234190000013
构成一个乘法群,用户从
Figure FDA0003827234190000014
中选取
Figure FDA0003827234190000015
的值;(p,g)作为用户的私钥,计算自通过公式y≡gxmod p计算用户的公钥,并在本地安全保存为(SKi,PKi)。
3.根据权利要求2所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于,所述步骤S2包括:
S21:数据拥有者DO生成数据的密文:所述数据拥有者DO收集需要发布的数据m,选择一随机正整数a0,计算k=H256(a0),使用对称密钥k对数据m进行加密得到密文C=Ek(m),计算密文哈希值hc=H256(C);
S22:所述数据拥有者DO将拥有访问权限的授权用户信息***到MPT中,其中所述授权用户信息包括公钥哈希值和公钥加密的解密密钥;并在本地生成一个空文件记录被授权用户的信息;
S23:所述数据拥有者DO构造发往服务器的消息:
Figure FDA0003827234190000016
其中,hc是密文在云存储服务器上的索引,PKDO是DO的公钥,C=Ek(m)为密文,SigSKDO为通过数据拥有者的私钥进行的签名,desc是数据拥有者DO对数据的描述;
S24:通过云存储服务器验证所述数据拥有者DO签名合法性,若签名合法则把消息meg储存在本地,云存储服务器返回存储地址dress;
S25:所述数据拥有者DO发布交易提案
Figure FDA0003827234190000021
其中,H(MPT)为MPT的哈希结果;
S26:所述数据拥有者DO把交易提案发送至联盟链网络中,区块链中的节点对交易提案进行验证和共识,所述数据拥有者DO通过在新接收到的区块中查询是否有自己的交易提案来确定交易提案是否被记录到联盟链上。
4.根据权利要求3所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于,所述步骤S3包括:
S31:数据访问者DU对所述数据拥有者DO的哈希值为hc的数据感兴趣时,通过公式:
Figure FDA0003827234190000022
把hc下载并记录在本地并且生成一个交易请求发布到区块链中,其中,req为数据访问者DU的具体请求内容;
S32:联盟链中的节点对交易提案进行验证和共识,如果验证通过,则调用联盟链中预设的访问控制智能合约,对数据访问者DU进行权限验证,通过重构MPT′的根来验证数据访问者DU的公钥是否在已发布的MPT中,智能合约同时通过计算所有节点的SHA-256值验证一致性,如果最终验证结果和区块中存储的MPT根值一致,则该用户获得访问权限;
S33:验证通过后,联盟链将存储在MPT中使用所述数据访问者DU公钥加密的解密密钥发送给所述数据访问者DU并将所述数据访问者DU的公钥发送给授权的云存储服务器,若验证为通过,则告知所述数据访问者DU无权访问所请求的数据。
5.根据权利要求4所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于所述步骤S4包括:
S41:使用云存储服务器在数据库中下载相关数据,对相关数据签名后发送给所述数据访问者DU;
S42:所述数据访问者DU收到云存储服务器发送的密文C后,验证签名的合法性,如果签名不合法,则忽略所述密文C;如果签名合法,计算h′c=H256(C)比较h′c与hc是否相同,其中hc是之前在联盟链中记录的哈希值,以确保密文没有被篡改;如果密文正确,则使用对称密钥k计算Dk(C)得到DO的数据m。
6.根据权利要求5所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于所述步骤S5对于新增权限用户
Figure FDA0003827234190000031
所述数据拥有者DO在本地更新本地授权信息后,新增享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
7.根据权利要求6所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于所述步骤S5中所述的交易提案所包含内容的格式如下:
重新部署智能合约:SCIupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure FDA0003827234190000032
全网广播以下信息:
Figure FDA0003827234190000033
联盟链在网络中发布数据权限更新交易之后,所述数据拥有者DO通过在本地执行MPT***操作来验证服务器是否进行了正确的用户权限***。
8.根据权利要求7所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于所述步骤S6对于删除权限用户
Figure FDA0003827234190000034
在所述数据拥有者DO在本地更新本地授权信息删除不再享有资源的权限的用户,然后重新部署联盟链上的访问权限的智能合约,发布交易提案并进行全网广播。
9.根据权利要求8所述的基于联盟链智能合约的隐私数据访问控制方法,其特征在于所述步骤S6中所述的交易提案所包含内容的格式如下:
重新部署智能合约:SCDupdate→{H(MPT)DO=H(MPT′)DU};
重新发布交易提案:
Figure FDA0003827234190000035
全网广播以下信息:
Figure FDA0003827234190000036
联盟链在网络中发布数据权限更新交易之后,所述数据拥有者DO通过在本地执行MPT***操作来验证服务器的用户权限删除是否有误。
CN202211063417.3A 2022-09-01 2022-09-01 一种基于联盟链智能合约的隐私数据访问控制方法 Active CN115580431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211063417.3A CN115580431B (zh) 2022-09-01 2022-09-01 一种基于联盟链智能合约的隐私数据访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211063417.3A CN115580431B (zh) 2022-09-01 2022-09-01 一种基于联盟链智能合约的隐私数据访问控制方法

Publications (2)

Publication Number Publication Date
CN115580431A true CN115580431A (zh) 2023-01-06
CN115580431B CN115580431B (zh) 2024-07-02

Family

ID=84579144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211063417.3A Active CN115580431B (zh) 2022-09-01 2022-09-01 一种基于联盟链智能合约的隐私数据访问控制方法

Country Status (1)

Country Link
CN (1) CN115580431B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269790A (zh) * 2020-11-26 2021-01-26 阿拉拇 区块链大数据安全处理***及方法
CN112949582A (zh) * 2021-03-30 2021-06-11 吉安职业技术学院 基于区块链的生物特征采集***
WO2021220062A1 (zh) * 2020-04-29 2021-11-04 支付宝实验室(新加坡)有限公司 区块链交易
CN113783836A (zh) * 2021-08-02 2021-12-10 南京邮电大学 基于区块链和ibe算法的物联网数据访问控制方法及***
CN114143080A (zh) * 2021-11-30 2022-03-04 兰州理工大学 基于零知识证明的区块链数据隐私保护和共享方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021220062A1 (zh) * 2020-04-29 2021-11-04 支付宝实验室(新加坡)有限公司 区块链交易
CN112269790A (zh) * 2020-11-26 2021-01-26 阿拉拇 区块链大数据安全处理***及方法
CN112949582A (zh) * 2021-03-30 2021-06-11 吉安职业技术学院 基于区块链的生物特征采集***
CN113783836A (zh) * 2021-08-02 2021-12-10 南京邮电大学 基于区块链和ibe算法的物联网数据访问控制方法及***
CN114143080A (zh) * 2021-11-30 2022-03-04 兰州理工大学 基于零知识证明的区块链数据隐私保护和共享方法

Also Published As

Publication number Publication date
CN115580431B (zh) 2024-07-02

Similar Documents

Publication Publication Date Title
CN114186248B (zh) 基于区块链智能合约的零知识证明可验证凭证数字身份管理***及方法
CN112532588B (zh) 一种基于区块链的策略隐藏型数据访问控制方法
Chai et al. CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles
CN109218981B (zh) 基于位置信号特征共识的Wi-Fi接入认证方法
CN113553574A (zh) 一种基于区块链技术的物联网可信数据管理方法
CN114172735A (zh) 基于智能合约的双链混合式区块链数据共享方法及***
CN111970299A (zh) 基于区块链的分布式物联网设备身份认证装置和方法
CN115065679B (zh) 基于区块链的电子健康档案共享模型、方法、***和介质
CN111010430B (zh) 一种基于双链结构的云计算安全数据共享方法
CN113536389A (zh) 一种细粒度可控的去中心化可编辑区块链构造方法和***
CN114139203B (zh) 基于区块链的异构身份联盟风险评估***、方法及终端
CN109190384A (zh) 一种多中心区块链熔断保护***及方法
CN113761582A (zh) 基于群签名的可监管区块链交易隐私保护方法及***
Yang et al. Stateless cloud auditing scheme for non-manager dynamic group data with privacy preservation
CN111614680A (zh) 一种基于cp-abe的可追溯云存储访问控制方法和***
CN112733179B (zh) 一种轻量级非交互隐私保护数据聚合方法
CN111901432A (zh) 一种基于区块链的安全数据交换方法
CN113554421A (zh) 一种基于区块链的警务资源数据治理协同方法
CN115883214A (zh) 基于联盟链和cp-abe的电子医疗数据共享***及方法
Ma et al. Be-trdss: Blockchain-enabled secure and efficient traceable-revocable data-sharing scheme in industrial internet of things
Sang et al. Provable multiple-copy integrity auditing scheme for cloud-based iot
CN115883102B (zh) 基于身份可信度的跨域身份认证方法、***及电子设备
CN116232732A (zh) 一种基于区块链的轻量级分布式安全通信认证方法及***
CN114124392B (zh) 支持访问控制的数据可控流通方法、***、设备和介质
WO2023010688A1 (zh) 一种密钥管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant