【技術實現(xiàn)步驟摘要】
本專利技術涉及網(wǎng)絡空間安全數(shù)據(jù)共享領域,具體為一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法。
技術介紹
1、隨著云計算的迅速發(fā)展,數(shù)據(jù)已成為網(wǎng)絡時代最為關鍵的資源。在這種背景下,跨域數(shù)據(jù)交換和共享變得越來越重要,訪問控制機制的作用也顯得愈加突出。訪問控制的主要目的是保護數(shù)據(jù)資源的安全性,確保在各種安全需求下,資源的機密性、完整性和可用性都得到有效維護。通過制定合適的訪問控制策略,訪問控制對主體(如用戶)對資源的訪問權限進行限制,從而確保只有合法用戶才能訪問和操作相關數(shù)據(jù)。現(xiàn)有的訪問控制機制在單一管理域內(nèi)能夠有效地管理和控制訪問權限,確保數(shù)據(jù)安全。然而,隨著數(shù)據(jù)共享需求的急劇增長以及企業(yè)和組織之間的合作和業(yè)務往來的增多,跨域數(shù)據(jù)的安全交換變得尤為重要。
2、外包加解密技術(outsourcedencryptionanddecryption)是指將加解密操作從傳統(tǒng)的本地系統(tǒng)或設備中移交給第三方(如云服務提供商)進行的技術。處理數(shù)據(jù)時,它允許用戶將計算密集型的加解密操作外包給云服務,從而減少本地計算資源的消耗,提高系統(tǒng)的效率和靈活性。外包加密時,用戶將加密操作委托給云服務提供商或第三方進行。在這種情況下,數(shù)據(jù)在存儲或傳輸之前會被加密,確保數(shù)據(jù)即使被外部訪問,也無法被讀取或篡改。外包解密時,在外包加密的基礎上,外包解密允許第三方在滿足某些條件的情況下對加密數(shù)據(jù)進行解密。通過有效的加解密控制和權限管理,可以保證只有符合條件的用戶或服務能夠解密數(shù)據(jù),且解密操作可以由第三方代為執(zhí)行。
3、區(qū)塊鏈是一種按照時
4、基于屬性的可搜索加密是一種結合了屬性基加密(attribute-basedencryption,abe)和可搜索加密(searchable?encryption,se)的密碼學技術,數(shù)據(jù)加密時,數(shù)據(jù)不僅綁定了訪問控制策略(例如,數(shù)據(jù)只能由具有某些屬性的用戶解密),同時還使得數(shù)據(jù)能夠基于關鍵詞或?qū)傩赃M行加密查詢。在搜索時,查詢請求與加密數(shù)據(jù)的屬性匹配,只有滿足訪問控制策略的用戶才能執(zhí)行搜索,并且在進行搜索時不會暴露數(shù)據(jù)的實際內(nèi)容,用于在加密數(shù)據(jù)中進行特定屬性的安全查詢。隨著云計算、數(shù)據(jù)共享和隱私保護需求的增加,這項技術日益受到關注,尤其適用于需要細粒度訪問控制和高效數(shù)據(jù)檢索的場景。
技術實現(xiàn)思路
1、本專利技術針對現(xiàn)有屬性基加密中用戶本地計算開銷大和數(shù)據(jù)共享效率低的缺陷的問題,提供一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,在提高數(shù)據(jù)共享效率和安全性的同時能夠降低本地用戶計算開銷。
2、為實現(xiàn)上述目的,本專利技術提出一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,該方法步驟如下:
3、s1、可信權威機構aa初始化生成系統(tǒng)公鑰pk和主密鑰msk,根據(jù)數(shù)據(jù)用戶的屬性集合生成用戶屬性私鑰;
4、s2、數(shù)據(jù)擁有者制定訪問控制策略,協(xié)助外包加密服務商進行部分加密,數(shù)據(jù)用戶和外包加密服務商對關鍵字、數(shù)據(jù)密文存儲地址和對稱密鑰進行加密并將加密后的密文上傳到區(qū)塊鏈中存儲;
5、s3、數(shù)據(jù)用戶生成搜索陷門,并將搜索陷門發(fā)送給區(qū)塊鏈,調(diào)用搜索陷門合約驗證用戶屬性,若用戶屬性滿足訪問控制策略則將關鍵字對應的相關密文返還給數(shù)據(jù)用戶;
6、s4、數(shù)據(jù)用戶先協(xié)助外包解密服務商對密文部分解密,再本地解密得到數(shù)據(jù)存儲地址和對稱密鑰,根據(jù)該存儲地址在ipfs下載數(shù)據(jù)密文,最終使用對稱密鑰解密數(shù)據(jù)密文得到數(shù)據(jù)明文。
7、優(yōu)選的,s1中,可信權威機構初始化生成系統(tǒng)公鑰pk和主密鑰msk的具體步驟為:
8、可信權威機構aa執(zhí)行初始化算法setup(1λ)→(pk,msk),輸入安全參數(shù)λ,生成一個素數(shù)階為p的乘法循環(huán)群g1和gt,給定一個雙線性映射對e:g1×g1→gt,定義兩個隨機抗碰撞hash函數(shù),對于每個屬性i∈u,隨機選擇參數(shù)t1,t2,t3,分別計算e(g,g)α、gβ,生成系統(tǒng)公鑰pk和主密鑰msk:
9、
10、msk={t1,t2,t3,α,β};
11、式中,e(g,g)α和gβ均為密碼學中關于雙映射對里面的數(shù)學公式,且均為計算結果,屬于系統(tǒng)公鑰pk的組成部分,g是g1的生成元,映射關系h1:{0,1}*→g1,表示1,2,...,p-1的有限域,{0,1}*表示任意長度的比特字符串集合,u為系統(tǒng)屬性集合,隨機選取有限域的兩個整數(shù)
12、優(yōu)選的,s1中,可信權威機構根據(jù)數(shù)據(jù)用戶的屬性集合生成用戶屬性私鑰的具體步驟為:
13、s11、可信權威機構aa執(zhí)行密鑰生成算法keygenblind(pk,msk,s)→(sk),輸入系統(tǒng)公鑰pk、主密鑰msk和用戶屬性集合s,可信權威機構aa使用schnorr協(xié)議盲化用戶每個屬性i,i∈s,計算q、l,計算挑戰(zhàn)σi,計算對挑戰(zhàn)σi的響應,其計算公式為:
14、q=z·g;
15、l=m·g;
16、σi=h2(g‖q‖p‖j);
17、
18、式中,q表示盲化后的公鑰,l表示簽名與消息內(nèi)容綁定的計算值,σi表示驗證者向證明者發(fā)送一個隨機生成的挑戰(zhàn),表示證明者基于自己的秘密和挑戰(zhàn)生成一個響應,并發(fā)送給驗證者,g為橢圓曲線上的點,數(shù)據(jù)用戶du隨機選取有限域內(nèi)的兩個整數(shù)
19、s12、令數(shù)據(jù)用戶du將info發(fā)送給智能合約對于每個屬性i∈u,可信權威機構aa根據(jù)盲化后的用戶屬性集生成屬性私鑰,隨機選取有限域內(nèi)的一個整數(shù)計算得到的屬性私鑰sk為:
20、
21、式中,info為定義的四元組,d1,d2為屬性私鑰的部分組成參數(shù)。
22、優(yōu)選的,s2中,數(shù)據(jù)用戶和外包加密服務商對關鍵字、數(shù)據(jù)密文存儲地址和對稱密鑰進行加密并將加密后的密文上傳到區(qū)塊鏈中存儲,其具體步驟包括:
23、s21、加密服務商esp部分加密,形成中間密文;
24、s22、數(shù)據(jù)擁有者do在中間密文的基礎上先對數(shù)據(jù)明文加密,再對數(shù)據(jù)密文存儲地址加密,最后對關鍵字集合、對稱密鑰加密。
25、優(yōu)選的,s21中,外包加密服務商部分加密形成中間密文的具體步驟為:
26、s211、加密服務商esp執(zhí)行encryptesp(pk,t)算法,輸入用戶制定的訪問控制策略并轉(zhuǎn)化為訪問結構樹t;
27、s212、系統(tǒng)公鑰pk從訪問結構樹t的根節(jié)點開始,自上而下對訪問結構樹的每個非葉子節(jié)點x,隨機選取一個階數(shù)為dx的多項式qx,隨機選取有限域里的一個正整數(shù)作為訪問結構樹t根節(jié)點r的節(jié)點值,設置qr(0)=s本文檔來自技高網(wǎng)...
【技術保護點】
1.一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,該方法步驟如下:
2.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S1中,可信權威機構初始化生成系統(tǒng)公鑰PK和主密鑰MSK的具體步驟為:
3.根據(jù)權利要求2所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S1中,可信權威機構根據(jù)數(shù)據(jù)用戶的屬性集合生成用戶屬性私鑰的具體步驟為:
4.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S2中,數(shù)據(jù)用戶和外包加密服務商對關鍵字、數(shù)據(jù)密文存儲地址和對稱密鑰進行加密并將加密后的密文上傳到區(qū)塊鏈中存儲,其具體步驟包括:
5.根據(jù)權利要求4所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S21中,外包加密服務商部分加密形成中間密文的具體步驟為:
6.根據(jù)權利要求4所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S22中,數(shù)據(jù)擁有者DO在中間密文的
7.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S3中,數(shù)據(jù)用戶生成搜索陷門調(diào)用區(qū)塊鏈中智能合約進行關鍵字匹配獲取密文的具體步驟為:
8.根據(jù)權利要求7所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,區(qū)塊鏈中的搜索陷門智能合約用于驗證DU屬性集是否滿足訪問控制策略,且檢查屬性合法性是通過非交互式Schnoor協(xié)議驗證。
9.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S4中,數(shù)據(jù)用戶先協(xié)助外包解密服務商對密文部分解密的具體步驟如下:
10.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,S4中,DU拿到轉(zhuǎn)化密文后再本地進行解密得到對稱密鑰,訪問IPFS最終解密得到數(shù)據(jù)明文的具體步驟為:
...【技術特征摘要】
1.一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,該方法步驟如下:
2.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,s1中,可信權威機構初始化生成系統(tǒng)公鑰pk和主密鑰msk的具體步驟為:
3.根據(jù)權利要求2所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,s1中,可信權威機構根據(jù)數(shù)據(jù)用戶的屬性集合生成用戶屬性私鑰的具體步驟為:
4.根據(jù)權利要求1所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,s2中,數(shù)據(jù)用戶和外包加密服務商對關鍵字、數(shù)據(jù)密文存儲地址和對稱密鑰進行加密并將加密后的密文上傳到區(qū)塊鏈中存儲,其具體步驟包括:
5.根據(jù)權利要求4所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,其特征在于,s21中,外包加密服務商部分加密形成中間密文的具體步驟為:
6.根據(jù)權利要求4所述的一種基于區(qū)塊鏈上外包計算和屬性基可搜索加密的訪問控制方法,...
【專利技術屬性】
技術研發(fā)人員:胡帥,何鵬,鄭巧仙,陳輝,陳文豪,吳江雨,
申請(專利權)人:湖北大學,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。