CN116432207B - 一种基于区块链的电力数据权限分级管理方法 - Google Patents

一种基于区块链的电力数据权限分级管理方法 Download PDF

Info

Publication number
CN116432207B
CN116432207B CN202310668641.3A CN202310668641A CN116432207B CN 116432207 B CN116432207 B CN 116432207B CN 202310668641 A CN202310668641 A CN 202310668641A CN 116432207 B CN116432207 B CN 116432207B
Authority
CN
China
Prior art keywords
key
user
department
data
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310668641.3A
Other languages
English (en)
Other versions
CN116432207A (zh
Inventor
蔡宇翔
蒋鑫
倪文书
付婷
刘璐
王川丰
杨启帆
林琛
林德威
肖琦敏
吴茜
谢景瑜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Fujian Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Original Assignee
Xiamen University
State Grid Fujian Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen University, State Grid Fujian Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd filed Critical Xiamen University
Priority to CN202310668641.3A priority Critical patent/CN116432207B/zh
Publication of CN116432207A publication Critical patent/CN116432207A/zh
Application granted granted Critical
Publication of CN116432207B publication Critical patent/CN116432207B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于区块链的电力数据权限分级管理方法,包括:将电力数据按照部门分类;区块链初始化n个节点,对应n个部门,设置密钥管理中心,文件管理中心和加密中心;验证并注册用户,作为第一级权限;多个加密组织协同对文件和密钥进行双层加密,作为数据防伪的第二级权限;验证用户是否满足所需数据的两级权限。本发明将身份验证、基于属性的访问控制方式与区块链相结合的方法,分级的对客户端用户进行管理和应答,可以更快排除一些不符合要求的用户,并进一步实现去中心化的基于属性的访问控制,它能让资源拥有者根据自己的意愿制定相关访问策略,符合属性条件的数据访问申请者才能在智能合约自动执行时判决成功,并最终访问成功。

Description

一种基于区块链的电力数据权限分级管理方法
技术领域
本发明涉及一种基于区块链的电力数据权限分级管理方法,属于电力数据管理技术领域。
背景技术
电网***作为一个涵盖了建设、生产、营销等业务的庞大组织,其产生的电力数据具有数据类型多、业务跨度大、涉及部门广的特点。由于电网***中存在不同的子***,它们作为不同的数据生产主体,独立地对各自的生产数据进行生产维护。然而,当需要跨***进行数据共享时,由于电网***架构复杂且产生的电力数据量庞大,对数据的权限划分往往不够细致准确,使得子***间的数据共享存在安全问题。如果直接将一个部门的数据完全开放给另一个部门,存在泄密的风险,如果部门在分享部分数据后各自维护,又会存在一数多源、多源维护、共享效率低的问题,同时,在数据交互过程中,若未设置安全的加密策略,也会出现数据黑客截获敏感电力数据的情况。为了保证数据共享时的安全问题,如何合理地设置数据权限,进行数据隔离成为电力数据管理的重要问题。
区块链凭借其去中心化、自治性、数据可溯源等特点,能极好地解决因电网子***繁多导致的数据共享难题,若在加密过程中引入基于属性的加密方式,利用属性加密细粒度访问控制的特点,为访问人员分配细粒度权限,便能结合区块链和构建一个安全的电力数据共享***,使得数据分布式存储和管理,提高了数据的安全性。然而,由于电网是一个巨大的闭环***,其不对外开发的特点导致其需要保证只有授权的参与者才可以参与到区块链的交易和共识过程中,而区块链中的授权证明机制恰好能保证链上节点由共同信任的组织维护和管理。同时,传统的加密依赖单一加密中心,若这一加密中心被攻击者攻破,数据便立刻会被泄露,引入多加密机构组成的加密组织能够拆分加密组织层级分散攻击风险。将基于区块链的属性访问控制方式和多加密机构组成的加密组织运用在电力***中,给不同***的不同角色设计相关属性,数据拥有者再根据所有属性及属性之间的关系来设计分级访问策略,满足相关属性的成员将被智能合约自动判决访问相关数据,使得电网中电力数据的共享更加安全高效。
发明内容
为了克服上述问题,本发明提供一种基于区块链的电力数据权限分级管理方法,该方法将身份验证、基于属性的访问控制方式与区块链相结合的方法,分级的对客户端用户进行管理和应答,可以更快排除一些不符合要求的用户,并进一步实现去中心化的基于属性的访问控制,它能让资源拥有者根据自己的意愿制定相关访问策略,符合属性条件的数据访问申请者才能在智能合约自动执行时判决成功,并最终访问成功。
本发明的技术方案如下:
一种基于区块链的电力数据权限分级管理方法,包括:
S1、对电力数据进行预处理,所述电力数据包括来自n个不同部门的电力数据,所述预处理为按照电力数据来源部门进行分类;
S2、对区块链进行初始化,并在所述区块链上安置n个组织节点,各所述组织节点对应不同的部门;
设置属性授权中心、密钥管理中心、文件管理中心和加密中心;
S3、部署区块链智能合约,所述智能合约用于身份管理、密钥管理、文件加密、服务转发和数据查询;
S4、用户与区块链上的组织节点建立TLS连接,并进行交互,组织节点验证所述用户是否属于组织节点对应的部门,若是,则为所述用户注册身份并分配与区块链交互的权限,作为数据访问的第一级权限,所述注册身份包括赋予用户属性集,所述属性集用于验证用户是否满足访问策略;
S5、各所述组织节点分别与所述密钥管理中心建立TLS连接,利用DH协议进行密钥协商,生成密钥集合
S6、分别取出各组织节点对应的密钥,加密中心利用密钥/>加密对应部门i的数据文件/>,得到加密文件集合/>,将加密文件存储至所述文件管理中心,将部门i对应的加密文件/>的文件地址存储至部门i对应的组织节点;
S7、根据文件机密等级对各部门的数据文件密钥设置访问策略,所述访问策略/>具备区分访问者级别的结构;
S8、所述组织节点将数据加密请求提交给所述属性授权中心,为数据设置第二级权限,所述属性授权中心对所述密钥集合中的密钥在访问策略下加密,生成加密后的密钥集合/>,并存储至所述密钥管理中心;
S9、用户查询部门i的数据文件时,用户通过分配的第一级权限身份在区块链上查询是否存在所需数据,若是,用户所属部门对应的组织节点向密钥管理中心请求加密密钥集合中对应的密钥e i 并返回给用户;
S10、判断用户是否具备所需数据的第二级权限,若具备,则解密密钥e i 得到所需部门密钥k i ,使用所述密钥k i 对所需数据的密文解密得到数据明文,所需数据的密文属于加密文件
进一步的,步骤S6中,加密中心利用密钥和AES对称加密算法加密对应部门i的数据文件/>
进一步的,步骤S8中,所述属性授权中心利用cpabe算法对所述密钥集合中的密钥在访问策略下加密。
进一步的,步骤S4包括:
用本地证书向区块链请求注册一个管理员身份,所述本地证书利用证书生成文件生成,生成与所属部门组织上相同的证书,当管理员被登记到组织节点后,在客户端拥有管理员身份,并收到管理员使用的签名密钥和证书;
管理员用成员相应的信息将部门成员用户注册到组织节点中,组织节点返回一个成员机密;
客户端使用所述机密将用户注册到身份管理机构,得到用户的签名密钥和证书,存储在本地身份钱包中,用于执行与区块链的交互。
进一步的,步骤S5包括:
组织节点A与密钥管理中心进行协商,协商过程如下:
组织节点A与密钥管理中心节点建立TLS连接,共享一个素数p以及该素数p的本原根g,2≤g≤p-1;
组织节点A产生一个私有的随机数R a ,且所述随机数R a 满足1≤R a ≤p-1,计算,将K a 通过TLS传输通道发送给所述密钥管理中心;
密钥管理中心产生一个私有的随机数R b ,且所述随机数R b 满足1≤R b ≤p-1,计算,将结果K b 通过传输通道发送给组织节点A;
组织节点A计算,密钥管理中心计算/>,得到共享密钥K
进一步的,步骤S7包括:
设置文件机密等级L、部门权限等级R和部门属性,机密等级集合为{},部门权限等级集合为{/>},部门i属性/>,其中T为部门所属公司,R为部门权限等级;
对部门i不同机密等级的文件设置不同的访问策略
对于机密等级为L1的文件,设置访问策略R 1 R 2 R 31of3表示部门权限等级为R 1R 2R 3可查看,/>表示部门所述公司为a公司可查看,2of2表示需同时满足前面的两个条件;
对于L2的文件,设置访问策略R 2 R 31of2表示部门权限等级为R 2R 3可查看;
对于L3的文件,设置访问策略R 31of1表示部门权限等级为R 3可查看。
进一步的,步骤S8包括:
对于用户发起的加密请求,所述属性授权中心生成安全参数k,根据cpabe初始化算法setup,以k为输入,计算生成公钥PK:
利用步骤S7生成的访问策略,属性授权中心在访问策略/>下对各部门的密钥集合/>进行加密,利用cpabe加密算法Encrypt输入***公钥PK、密钥集合和基于属性的访问测量/>,生成加密后的密钥集合{/>},将加密后的密钥集合存放在密钥管理中心。
进一步的,步骤S9包括:
只有经过身份注册的用户才有操纵智能合约的权限;
用户调用查询智能合约查询指定部门的加密密钥时,区块链将查询加密密钥的请求转发给密钥管理中心,密钥管理中心查询出结果后返回给用户。
进一步的,步骤S10包括:
属性授权中心根据用户属性检查每个通过一级身份验证用户的属性集S,将S作为cpabe算法密钥生成的一个输入,输出与该属性集对应的用户私钥SK
用户调用cpabe解密算法Decrypt,以公钥PK、密文CT和用户私钥SK作为输入,若用户属性集符合步骤S7中所述的访问策略,成功解密密钥密文得到解密后的对称密钥/>,利用对称密钥/>对文件管理中心存储的加密文件/>进行对称解密得到所需数据。
进一步的,步骤S2采用联盟链HyperledgerFabric作为可信平台。
本发明具有如下有益效果:
1.本发明使用的电力数据权限分级管理的方法,分级的方式使得用户访问数据的速度比传统的单一基于属性访问控制的方法得到提高,更快地排除了不符合身份的客户端用户,访问效率也有所提高。
2.本发明设计了多个密文密钥管理中心,分散了数据泄露的风险。第一次对称加密获得加密密文,存储在文件管理中心,区块链上的属性授权中心用于分配属性加密的密钥,第二次属性加密获得加密后的对称加密密钥,存储在密钥管理中心。攻击者仅仅破解其中的一方,无法得到数据明文。与传统的电力***访问控制方式相比,安全性更高。
3.本发明针对电力数据体系子***繁多和电力数据种类多的特点,对数据和部门进行定制化分级,设计了分级访问策略,并依照访问策略设计了分级访问树,对不同***的数据进行数据隔离,防止部门数据直接的交叉修改。
附图说明
图1为本发明方法的流程图。
图2为本发明实施例的第一级权限设置示意图。
图3为本发明实施例的第二级权限设置示意图。
图4为本发明实施例的电力部门上传数据流程示意图。
图5为本发明实施例的用户访问数据流程示意图。
具体实施方式
下面结合附图和具体实施例来对本发明进行详细的说明。
参考图1~5,一种基于区块链的电力数据权限分级管理方法,包括:
S1、对电力数据进行预处理,所述电力数据包括来自n个不同部门的电力数据,所述预处理为按照电力数据来源部门进行分类;
S2、对区块链进行初始化,并在所述区块链上安置n个组织节点,各所述组织节点对应不同的部门;
设置属性授权中心、密钥管理中心、文件管理中心和加密中心;
S3、部署区块链智能合约,所述智能合约用于身份管理、密钥管理、文件加密、服务转发和数据查询;
S4、用户与区块链上的组织节点建立TLS连接,并进行交互,组织节点验证所述用户是否属于组织节点对应的部门,若是,则为所述用户注册身份并分配与区块链交互的权限,作为数据访问的第一级权限,所述注册身份包括赋予用户属性集,所述属性集用于验证用户是否满足访问策略;TLS即安全传输层协议;
S5、各所述组织节点分别与所述密钥管理中心建立TLS连接,利用DH协议进行密钥协商,生成密钥集合;DH协议即Diffie-Hellman,一种确保共享KEY安全穿越不安全网络的方法;
S6、分别取出各组织结构对应的密钥,加密中心利用密钥/>加密对应部门i的数据文件/>,得到加密文件集合/>,将加密文件存储至所述文件管理中心,将部门i对应的加密文件/>的文件地址存储至部门i对应的组织节点;
S7、根据文件机密等级对各部门的数据文件密钥设置访问策略,所述访问策略/>具备区分访问者级别的结构;
S8、所述组织节点将数据加密请求提交给所述属性授权中心,为数据设置第二级权限,所述属性授权中心对所述密钥集合中的密钥在访问策略下加密,生成加密后的密钥集合/>,并存储至所述密钥管理中心;
S9、用户查询部门i的数据文件时,用户通过分配的第一级权限身份在区块链上查询是否存在所需数据,若是,用户所属部门对应的组织节点向密钥管理中心请求加密密钥集合中对应的密钥e i 并返回给用户;
S10、判断用户是否具备所需数据的第二级权限,若具备,则解密密钥e i 得到所需部门密钥k i ,使用所述密钥k i 对所需数据的密文解密得到数据明文,所需数据的密文属于加密文件;所述判断用户是否具备所需数据的第二级权限即判断用户是否符合访问策略P i 的要求。
本发明设计了多个密文密钥管理中心,分散了数据泄露的风险。第一次对称加密获得加密密文,存储在文件管理中心,区块链上的属性授权中心用于分配属性加密的密钥,第二次属性加密获得加密后的对称加密密钥,存储在密钥管理中心。攻击者仅仅破解其中的一方,无法得到数据明文。与传统的电力***访问控制方式相比,安全性更高。
步骤S2中的属性授权中心用于分配属性加密的密钥,密钥管理中心为***提供密钥的生成,保存,分发、查询和更新等相关操作,文件管理中心将各部门的文件按部门分别存储在此,提供文件的存储和查询等操作,加密中心应用密码学原理,采用AES,CPABE等加密算法对数据和密钥等进行加密。
在一种具体实施例中,步骤S5中的密钥集合为各组织节点与密钥管理中心协商后得到的密钥,如/>为编号为1的部门与密钥管理中心协商后得到的密钥,以此类推。
在一种具体实施例中,步骤S6中的加密文件集合为各组织节点对应部门的数据文件加密后的加密文件,如/>为编号为1的部门的数据文件加密后得到的加密文件。
在一种具体实施例中,所述属性授权中心设置在链上,所述密钥管理中心、所述文件管理中心和所述加密中心设置在链下,参考图3。
在本发明的一种实施方式中,步骤S6中,加密中心利用密钥和AES对称加密算法加密对应部门i的数据文件/>
在本发明的一种实施方式中,步骤S8中,所述属性授权中心利用cpabe算法对所述密钥集合中的密钥在访问策略下加密。
在本发明的一种实施方式中,步骤S4包括:
用本地证书向区块链请求注册一个管理员身份,所述本地证书利用证书生成文件生成,生成与所属部门组织上相同的证书,当管理员被登记到组织节点后,在客户端拥有管理员身份,并收到管理员使用的签名密钥和证书;
管理员用成员相应的信息将部门成员用户注册到组织节点中,组织节点返回一个成员机密;所述机密包含用户的权限信息,在部分实施例中,包括能够访问的机密等级。
客户端使用所述机密将用户注册到身份管理机构,得到用户的签名密钥和证书,存储在本地身份钱包中,用于执行与区块链的交互。
在本发明的一种实施方式中,步骤S5包括:
组织节点A与密钥管理中心进行协商,协商过程如下:
组织节点A与密钥管理中心节点建立TLS连接,共享一个素数p以及该素数p的本原根g,2≤g≤p-1;因为无论k取何值,0 k mod p始终为0,1 k modp始终为1,由本原根定义知,g显然不为0和1,又由于g产生于素数p的一个完全剩余系,{0,1,…,p-1}是素数p的一个完全剩余系,故取2≤g≤p-1;
组织节点A产生一个私有的随机数R a ,且所述随机数R a 满足1≤R a ≤p-1,计算,将K a 通过TLS传输通道发送给所述密钥管理中心;由本原根的定义知,g1modp,g2mod p,…,gp-1mod p是不同的并且包含1到p-1的整数的某种排列,故取R a 满足1≤R a ≤p-1,
密钥管理中心产生一个私有的随机数R b ,且所述随机数R b 满足1≤R b ≤p-1,计算,将结果K b 通过传输通道发送给组织节点A;R b 的取值原理与R a 相同;
组织节点A计算,密钥管理中心计算/>,得到共享密钥K
在一种具体实施例中,每次协商包括以下步骤:
T1:部门a与密钥管理中心建立TLS连接,共享素数p以及p的本原根g(2≤g≤p-1)。
T2:部门a产生一个私有的随机数,满足1≤/>≤p-1,计算/>modp=/>
T3:结果通过TLS传输通道发送给密钥管理中心;
T4:与此同时,密钥管理中心产生一个私有的随机数,满足1≤/>≤p-1,计算modp=/>,将结果/>通过传输通道发送给部门A。
T5:部门a计算,密钥管理中心计算/>,得到共享密钥K,
其中,mod为取模运算符。
在本发明的一种实施方式中,步骤S7包括:
设置文件机密等级L、部门权限等级R和部门属性,机密等级集合为{},部门权限等级集合为{/>},部门i属性/>,其中T为部门所属公司,R为部门权限等级;
对部门i不同机密等级的文件设置不同的访问策略
对于机密等级为L1的文件,设置访问策略R 1 R 2 R 31of3表示部门权限等级为R 1R 2R 3可查看,/>表示部门所述公司为a公司可查看,2of2表示需同时满足前面的两个条件;
对于L2的文件,设置访问策略R 2 R 31of2表示部门权限等级为R 2R 3可查看;
对于L3的文件,设置访问策略R 31of1表示部门权限等级为R 3可查看。
在本发明的一种实施方式中,步骤S8包括:
对于用户发起的加密请求,所述属性授权中心生成安全参数k,根据cpabe初始化算法setup,以k为输入,计算生成公钥PK:
利用步骤S7生成的访问策略,属性授权中心在策略/>下对各部门的密钥集合进行加密,利用cpabe加密算法Encrypt输入***公钥PK、密钥集合和基于属性的访问策略/>,生成加密后的密钥集合{/>},将加密后的密钥集合存放在密钥管理中心。
在本发明的一种实施方式中,步骤S9包括:
只有经过身份注册的用户才有操纵智能合约的权限;
用户调用查询智能合约查询指定部门的加密密钥时,区块链将查询加密密钥的请求转发给密钥管理中心,密钥管理中心查询出结果后返回给用户。
在本发明的一种实施方式中,步骤S10包括:
属性授权中心根据用户属性检查每个通过一级身份验证用户的属性集S,将S作为cpabe算法密钥生成的一个输入,输出与该属性集对应的用户私钥SK
用户调用cpabe解密算法Decrypt,以公钥PK、密文CT和用户私钥SK作为输入,若用户属性集符合步骤S7中所述的访问策略,成功解密密钥密文得到解密后的对称密钥/>,利用对称密钥/>对文件管理中心存储的加密文件/>进行对称解密得到所需数据。
在本发明的一种实施方式中,步骤S2采用联盟链HyperledgerFabric作为可信平台。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种基于区块链的电力数据权限分级管理方法,其特征在于,包括:
S1、对电力数据进行预处理,所述电力数据包括来自n个不同部门的电力数据,所述预处理为按照电力数据来源部门进行分类;
S2、对区块链进行初始化,并在所述区块链上安置n个组织节点,各所述组织节点对应不同的部门;
设置属性授权中心、密钥管理中心、文件管理中心和加密中心;
S3、部署区块链智能合约,所述智能合约用于身份管理、密钥管理、文件加密、服务转发和数据查询;
S4、用户与区块链上的组织节点建立TLS连接,并进行交互,组织节点验证所述用户是否属于组织节点对应的部门,若是,则为所述用户注册身份并分配与区块链交互的权限,作为数据访问的第一级权限,所述注册身份包括赋予用户属性集,所述属性集用于验证用户是否满足访问策略;
S5、各所述组织节点分别与所述密钥管理中心建立TLS连接,利用DH协议进行密钥协商,生成密钥集合{k1,k2,...,kn};
S6、分别取出各组织节点对应的密钥ki,加密中心利用密钥ki加密对应部门i的数据文件Fi,得到加密文件集合{C1,C2,...,Cn},将加密文件存储至所述文件管理中心,将部门i对应的加密文件Ci的文件地址存储至部门i对应的组织节点;
S7、根据文件机密等级对各部门的数据文件密钥设置访问策略Pi,所述访问策略Pi具备区分访问者级别的结构;
S8、所述组织节点将数据加密请求提交给所述属性授权中心,为数据设置第二级权限,所述属性授权中心对所述密钥集合中的密钥在访问策略Pi下加密,生成加密后的密钥集合{e1,e2,...,en},并存储至所述密钥管理中心;
S9、用户查询部门i的数据文件时,用户通过分配的第一级权限身份在区块链上查询是否存在所需数据,若是,用户所属部门对应的组织节点向密钥管理中心请求加密密钥集合{e1,e2,...,en}中对应的密钥ei并返回给用户;
S10、判断用户是否具备所需数据的第二级权限,若具备,则解密密钥ei得到所需部门密钥ki,使用所述密钥ki对所需数据的密文解密得到数据明文,所需数据的密文属于加密文件Ci;所述判断用户是否具备所需数据的第二级权限即判断用户是否符合访问策略Pi的要求;
步骤S7包括:
设置文件机密等级L、部门权限等级R和部门属性,机密等级集合为{L1,L2,L3},部门权限等级集合为{R1,R2,R3},部门i属性Attri={T,R},其中T为部门所属公司,R为部门权限等级;
对部门i不同机密等级的文件设置不同的访问策略Pi
对于机密等级为L1的文件,设置访问策略Pi=R1R2R3 1 of 3 Ta 2 of 2;其中,R1R2R31of 3表示部门权限等级为R1、R2和R3可查看,Ta表示部门所属公司为a公司可查看,2 of 2表示需同时满足前面的两个条件;
对于机密等级为L2的文件,设置访问策略Pi=R2R3 1 of 2 Ta 2 of 2;其中,R2R31 of 2表示部门权限等级为R2和R3可查看;
对于机密等级为L3的文件,设置访问策略Pi=R3 1 of 1 Ta 2 of 2;其中,R31 of 1表示部门权限等级为R3可查看。
2.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S6中,加密中心利用密钥ki和AES对称加密算法加密对应部门i的数据文件Fi
3.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S8中,所述属性授权中心利用cpabe加密算法对所述密钥集合中的密钥在访问策略Pi下加密。
4.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S4包括:
用本地证书向区块链请求注册一个管理员身份,所述本地证书利用证书生成文件生成,生成与所属部门组织上相同的证书,当管理员被登记到组织节点后,在客户端拥有管理员身份,并收到管理员使用的签名密钥和证书;
管理员用成员相应的信息将部门成员用户注册到组织节点中,组织节点返回一个成员机密;
客户端使用所述机密将用户注册到身份管理机构,得到用户的签名密钥和证书,存储在本地身份钱包中,用于执行与区块链的交互。
5.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S5包括:
组织节点A与密钥管理中心进行协商,协商过程如下:
组织节点A与密钥管理中心节点建立TLS连接,共享一个素数p以及该素数p的本原根g,2≤g≤p-1;
组织节点A产生一个私有的随机数Ra,且所述随机数Ra满足1≤Ra≤p-1,计算将Ka通过TLS传输通道发送给所述密钥管理中心;
密钥管理中心产生一个私有的随机数Rb,且所述随机数Rb满足1≤Rb≤p-1,计算将结果Kd通过传输通道发送给组织节点A;
组织节点A计算密钥管理中心计算/>得到共享密钥K,
其中,mod为取模运算符。
6.根据权利要求3所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S8包括:
对于用户发起的加密请求,所述属性授权中心生成安全参数k,根据cpabe的初始化算法,以k为输入,计算生成公钥PK:
利用步骤S7生成的访问策略Pi,属性授权中心在访问策略Pi下对各部门的密钥集合{k1,k2,...,kn}进行加密,利用cpabe的加密算法输入***公钥PK、密钥集合{k1,k2,...,kn}和基于属性的访问策略Pi,生成加密后的密钥集合{e1,e2,...,en},将加密后的密钥集合存放在密钥管理中心。
7.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S9包括:
只有经过身份注册的用户才有操纵智能合约的权限;
用户调用查询智能合约查询指定部门的加密密钥时,密钥管理中心查询出结果后返回给用户,所述结果为是否存在所需数据,若存在,则返回加密密钥集合{e1,e2,...,en}中对应的对应部门的密钥。
8.根据权利要求6所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S10包括:
属性授权中心根据用户属性检查每个通过第一级权限身份验证的用户的属性集S,将S作为cpabe的解密算法密钥生成的一个输入,输出与该属性集对应的用户私钥SK;
用户调用cpabe的解密算法,以公钥PK、密文CT和用户私钥SK作为输入,若用户属性集符合步骤S7中所述的访问策略Pi,成功解密密钥密文得到解密后的对称密钥ki,利用对称密钥ki对文件管理中心存储的加密文件Ci进行对称解密得到所需数据。
9.根据权利要求1所述基于区块链的电力数据权限分级管理方法,其特征在于,步骤S2采用联盟链Hyperledger Fabric作为可信平台。
CN202310668641.3A 2023-06-07 2023-06-07 一种基于区块链的电力数据权限分级管理方法 Active CN116432207B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310668641.3A CN116432207B (zh) 2023-06-07 2023-06-07 一种基于区块链的电力数据权限分级管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310668641.3A CN116432207B (zh) 2023-06-07 2023-06-07 一种基于区块链的电力数据权限分级管理方法

Publications (2)

Publication Number Publication Date
CN116432207A CN116432207A (zh) 2023-07-14
CN116432207B true CN116432207B (zh) 2023-09-22

Family

ID=87091028

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310668641.3A Active CN116432207B (zh) 2023-06-07 2023-06-07 一种基于区块链的电力数据权限分级管理方法

Country Status (1)

Country Link
CN (1) CN116432207B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117035740B (zh) * 2023-08-21 2024-04-19 广西科学院 桥梁结构检测监测与维修数据溯源***的构建方法
CN117792797B (zh) * 2024-02-26 2024-05-14 中国信息通信研究院 基于工业互联网标识解析的数据权限管理方法和装置

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018032374A1 (zh) * 2016-08-13 2018-02-22 深圳市樊溪电子有限公司 一种用于区块链的加密存储***及其使用方法
CN110147994A (zh) * 2019-04-13 2019-08-20 山东公链信息科技有限公司 一种基于同态加密的区块链的即时执行方法
CN110879897A (zh) * 2019-12-03 2020-03-13 广东电网有限责任公司 一种基于区块链的电力数据安全保护方法
KR20200044363A (ko) * 2018-10-19 2020-04-29 빅픽처랩 주식회사 블록체인 기반 신뢰도 정보 관리방법
CN112184247A (zh) * 2020-10-16 2021-01-05 浙江工业大学 一种基于区块链分片技术的产品全环节信息追溯***
CN112581126A (zh) * 2020-12-08 2021-03-30 腾讯科技(深圳)有限公司 基于区块链的平台数据管理方法、装置及存储介质
CN112671580A (zh) * 2020-12-23 2021-04-16 厦门大学 一种基于区块链技术的qar数据管理方法
CN113222595A (zh) * 2021-04-23 2021-08-06 上海和数软件有限公司 一种基于区块链技术的电力数据存储、查询方法及***
CN113535852A (zh) * 2021-07-16 2021-10-22 中国工商银行股份有限公司 基于区块链的文件处理方法、文件访问方法、装置及***
CN113742782A (zh) * 2021-11-04 2021-12-03 中国信息通信研究院 基于隐私保护的区块链访问权限控制方法和区块链***
CN113992406A (zh) * 2021-10-27 2022-01-28 杭州云象网络技术有限公司 一种用于联盟链跨链的权限访问控制方法
CN114462067A (zh) * 2022-03-07 2022-05-10 湖南天河国云科技有限公司 基于区块链的数字资产可信交换管理方法及装置
CN114780943A (zh) * 2022-04-20 2022-07-22 珠海复旦创新研究院 基于区块链和去中心属性密码的食品供应链管理***
CN115052129A (zh) * 2022-04-20 2022-09-13 国网浙江省电力有限公司台州供电公司 施工现场可视化监管***及其监管方法
CN115841330A (zh) * 2023-02-09 2023-03-24 国网数字科技控股有限公司 一种区块链跨域身份管理及控制***和方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11290261B2 (en) * 2011-10-31 2022-03-29 Reid Consulting Group, Inc. System and method for securely storing and sharing information

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018032374A1 (zh) * 2016-08-13 2018-02-22 深圳市樊溪电子有限公司 一种用于区块链的加密存储***及其使用方法
KR20200044363A (ko) * 2018-10-19 2020-04-29 빅픽처랩 주식회사 블록체인 기반 신뢰도 정보 관리방법
CN110147994A (zh) * 2019-04-13 2019-08-20 山东公链信息科技有限公司 一种基于同态加密的区块链的即时执行方法
CN110879897A (zh) * 2019-12-03 2020-03-13 广东电网有限责任公司 一种基于区块链的电力数据安全保护方法
CN112184247A (zh) * 2020-10-16 2021-01-05 浙江工业大学 一种基于区块链分片技术的产品全环节信息追溯***
CN112581126A (zh) * 2020-12-08 2021-03-30 腾讯科技(深圳)有限公司 基于区块链的平台数据管理方法、装置及存储介质
CN112671580A (zh) * 2020-12-23 2021-04-16 厦门大学 一种基于区块链技术的qar数据管理方法
CN113222595A (zh) * 2021-04-23 2021-08-06 上海和数软件有限公司 一种基于区块链技术的电力数据存储、查询方法及***
CN113535852A (zh) * 2021-07-16 2021-10-22 中国工商银行股份有限公司 基于区块链的文件处理方法、文件访问方法、装置及***
CN113992406A (zh) * 2021-10-27 2022-01-28 杭州云象网络技术有限公司 一种用于联盟链跨链的权限访问控制方法
CN113742782A (zh) * 2021-11-04 2021-12-03 中国信息通信研究院 基于隐私保护的区块链访问权限控制方法和区块链***
WO2023077794A1 (zh) * 2021-11-04 2023-05-11 中国信息通信研究院 区块链访问权限控制方法和***、设备、程序及介质
CN114462067A (zh) * 2022-03-07 2022-05-10 湖南天河国云科技有限公司 基于区块链的数字资产可信交换管理方法及装置
CN114780943A (zh) * 2022-04-20 2022-07-22 珠海复旦创新研究院 基于区块链和去中心属性密码的食品供应链管理***
CN115052129A (zh) * 2022-04-20 2022-09-13 国网浙江省电力有限公司台州供电公司 施工现场可视化监管***及其监管方法
CN115841330A (zh) * 2023-02-09 2023-03-24 国网数字科技控股有限公司 一种区块链跨域身份管理及控制***和方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
能源区块链的关键技术及信息安全问题研究;丁伟;王国成;许爱东;陈华军;洪超;;中国电机工程学报(第04期);62-73 *

Also Published As

Publication number Publication date
CN116432207A (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
CN110099043B (zh) 支持策略隐藏的多授权中心访问控制方法、云存储***
Qin et al. A blockchain-based access control scheme with multiple attribute authorities for secure cloud data sharing
Riad et al. A dynamic and hierarchical access control for IoT in multi-authority cloud storage
Zhou et al. Achieving secure role-based access control on encrypted data in cloud storage
CN103618728B (zh) 一种多机构中心的属性加密方法
CN116432207B (zh) 一种基于区块链的电力数据权限分级管理方法
Sharma et al. Blockchain-based cloud storage system with CP-ABE-based access control and revocation process
Xu et al. A CP-ABE scheme with hidden policy and its application in cloud computing
CN108600174B (zh) 一种大型合作网络的访问控制机制及其实现方法
CN110933033A (zh) 智慧城市环境下多物联网域的跨域访问控制方法
Tiwari et al. SecCloudSharing: Secure data sharing in public cloud using ciphertext‐policy attribute‐based proxy re‐encryption with revocation
Fugkeaw Enabling trust and privacy-preserving e-KYC system using blockchain
Wu et al. Blockchain-enabled multi-authorization and multi-cloud attribute-based keyword search over encrypted data in the cloud
Kang et al. A decentralized identity-based blockchain solution for privacy-preserving licensing of individual-controlled data to prevent unauthorized secondary data usage
Aruna et al. Medical healthcare system with hybrid block based predictive models for quality preserving in medical images using machine learning techniques
CN113055164A (zh) 一种基于国密的密文策略属性加密算法
CN115883102B (zh) 基于身份可信度的跨域身份认证方法、***及电子设备
Hong et al. Constructing conditional PKEET with verification mechanism for data privacy protection in intelligent systems
Kaaniche et al. Id-based user-centric data usage auditing scheme for distributed environments
Mishra et al. Fine-grained access control of files stored in cloud storage with traceable and revocable multi-authority CP-ABE scheme
Fan et al. A secure cross-domain access control scheme in social networks
Song et al. A group key exchange and secure data sharing based on privacy protection for federated learning in edge‐cloud collaborative computing environment
Feng et al. Multi-authorization attribute-based verifiable encryption scheme based on blockchain
Zhang et al. Revocable data sharing methodology based on SGX and blockchain
Yao et al. Compact and anonymous role-based authorization chain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231207

Address after: 350003 No. 257, 54 Road, Gulou District, Fuzhou, Fujian

Patentee after: STATE GRID FUJIAN ELECTRIC POWER Co.,Ltd.

Patentee after: INFORMATION AND COMMUNICATION BRANCH OF STATE GRID FUJIAN ELECTRIC POWER Co.,Ltd.

Address before: 350003 No. 257, 54 Road, Gulou District, Fuzhou, Fujian

Patentee before: STATE GRID FUJIAN ELECTRIC POWER Co.,Ltd.

Patentee before: INFORMATION AND COMMUNICATION BRANCH OF STATE GRID FUJIAN ELECTRIC POWER Co.,Ltd.

Patentee before: XIAMEN University