一种基于智能合约的云存储访问控制方法

本发明属于云存储领域，具体涉及一种基于智能合约的云存储访问控制方法。

背景技术：

1、云存储环境以其高度的可扩展性、成本效益、以及从任何地点通过互联网访问数据的能力而著称。它利用遍布全球的数据中心，提供灵活的存储解决方案，支持数据的自动备份和灾难恢复。然而，这种便利性也带来了访问控制方面的挑战。在云存储中，确保数据的安全性和隐私性变得复杂，因为数据不再完全受到用户直接控制。常见的访问控制问题包括如何有效地管理用户权限、防止未授权访问，以及如何确保数据在传输和存储过程中的加密。此外，由于多租户环境的特性，如何在保持数据隔离的同时实现资源共享，也是一个重要问题。因此，选择云存储服务时，重要的是要考虑提供商的安全措施、加密协议以及他们对访问控制的管理策略。

2、属性基访问控制(abac，attribute-based access control)模型是一种灵活的访问控制机制，它基于属性(如用户属性、资源属性、操作属性和环境属性)来决定访问权限。在abac模型中，访问决策不仅取决于用户的身份，还取决于一系列定义良好的规则和属性。这种模型的优点在于其高度的灵活性和适应性，能够支持复杂的访问控制策略，适合于动态和多变的环境。它允许精细化的访问控制，能够基于广泛的属性组合来授予或拒绝访问权。然而，abac的缺点在于它的复杂性和管理成本。实施abac模型需要维护大量的属性和规则，且随着规模的扩大，管理这些属性和规则的复杂性也会增加。此外，由于决策过程的复杂性，abac可能会影响系统的性能。因此，尽管abac提供了高度的灵活性和细粒度控制，但它也需要仔细规划和有效的管理策略来克服其潜在的复杂性和性能挑战。

3、区块链技术是一种分布式账本技术，以其安全性、透明性和去中心化的特性而闻名。它允许数据以块的形式被储存和传输，这些块通过密码学方法链接在一起，并在网络的多个节点上复制，以确保数据的不可篡改性和持久性，因此可以应用于云存储领域。区块链的主要创新之处在于它消除了交易中心化管理的需求，使得所有参与方都可以直接参与验证和记录交易。这种技术最初是为比特币等数字货币设计的，但其潜力远远超出了加密货币领域，正逐渐在供应链管理、智能合约、身份验证、版权保护等多个领域得到应用。尽管如此，区块链技术仍然面临着一些挑战，如可扩展性问题、能源消耗问题以及法律和监管的不确定性。但随着技术的不断发展和完善，它有潜力为多种行业带来革命性的变化。

4、其中，智能合约是一种自动执行、自动强制执行合约条款的计算机协议，通常运行在区块链技术之上。它们允许在不需要第三方中介的情况下进行可信的交易和协议，这些交易是透明的、不可逆的，并且由程序代码直接控制。智能合约的主要优势在于其高度的自动化，可以显著降低传统合约执行中的时间和成本。此外，由于交易记录在区块链上，智能合约还提供了增强的安全性和不可篡改性。然而，智能合约也面临着一些挑战，包括代码中的漏洞或错误可能导致严重后果，以及目前的法律框架可能不足以完全支持智能合约的复杂性。尽管如此，随着区块链技术的不断成熟，智能合约正在逐渐变得更加可靠和普遍，被广泛应用于金融服务、供应链管理、自动化执行等多个领域。

5、针对目前的云存储访问控制方案，比如借助区块链和智能合约提出管理电子病例(emr)的方案、基于层级区块链的物联网分布式体系架构(distributed architecturebased on hierarchical blockchain for internet of things，dahb)等，但针对访问控制结构而言，目前仍需要更高效的属性树构建方法、更快速的验证算法以及更复杂的属性约束模型，以适应不断增长的数据需求和复杂性。而针对模型扩展性而言，随着云存储数据量的不断增加，访问控制系统需要具备更好的可扩展性和性能。未来的研究可以关注如何应对大规模数据的管理和访问需求，以及如何优化系统的性能表现。目前比较集中的问题在于，需要最大化减少恶意领导的影响，减少更换恶意领导所消耗的时间，传统访问控制模型存在访问控制单点化和策略决策中心化问题，使得访问控制机制本身并不可信，而现有访问控制模型的授权和鉴权过程不完备，一些方案在采用智能合约实现访问控制流程时，没有考虑到区块数据公开化的问题，会泄露主体隐私数据。而且，身份认证和访问控制是一个整体的过程，现有的身份认证方案适用于分布式的环境下，并且身份信息的管理和认证存在中心化问题，存在单点作恶的问题，并未有效实现去中心化的访问控制。

6、因此，在此基础上，有必要提出一种改进的云存储访问控制方案，以实现数据的安全存储和读取，以及高效访问控制机制等目的。

技术实现思路

1、为了解决现有技术中存在的上述问题，本发明提供了一种基于智能合约的云存储访问控制方法和一种高校的数据安全共享系统。本发明要解决的技术问题通过以下技术方案实现：

2、第一方面，本发明实施例提供了一种基于智能合约的云存储访问控制方法，应用于进行云存储的区块链系统，所述系统基于属性基访问控制abac模型实现，采用可扩展访问控制标记语言xacml；所述系统包括密钥管理中心kmc、数据所有者do和数据访问者du；所述方法包括：

3、系统初始化步骤，包括：由kmc设置系统中的主体、资源并分配相应的属性；为主体分配身份标识并生成系统公钥、系统私钥；所述系统初始化步骤生成的不同数据利用对应的智能合约进行存储；

4、数据上传步骤，包括：do将数据上传至分布式存储系统进行存储，将表征数据存储位置的数据索引利用do的系统私钥进行加密得到密文数据；do基于属性对上传的数据定制访问策略，将do的密文数据使用定制的访问策略进行属性基加密得到策略密文；其中，do利用智能合约区分存储do上传的数据和策略密文；

5、数据访问步骤，包括：du提交数据访问请求后，基于智能合约，检索所需数据的策略密文，在检索到策略密文后利用自身的用户属性私钥进行解密，在解密通过后得到密文数据；du获取所需数据的拥有者do的系统公钥对得到的密文数据解密，在解密通过后得到数据索引，并依据得到的数据索引进行数据访问。

6、在本发明的一个实施例中，所述系统初始化步骤中，由kmc设置系统中的主体、资源并分配相应的属性，包括：

7、kmc根据所述系统的应用场景，定义不同的用户角色作为主体，每种主体在所述系统中作为do和/或du；并定义不同的数据作为资源；

8、kmc为每种用户角色对应的主体设置多个用户属性；并为每种资源设置多个资源属性。

9、在本发明的一个实施例中，所述系统初始化步骤中，为主体分配身份标识并生成系统公钥、系统私钥，包括：

10、kmc为验证通过的每个主体分配唯一的身份标识；

11、针对每个主体，kmc根据该主体的身份标识，利用预设加密算法生成该主体的系统公钥和系统私钥。

12、在本发明的一个实施例中，所述kmc为验证通过的每个主体分配唯一的身份标识，包括：

13、kmc针对验证通过的每个主体，基于该主体进行系统注册时的用户信息的散列值，为该用户生成唯一的身份标识。

14、在本发明的一个实施例中，所述系统初始化步骤中，主体、资源分配的属性利用所述智能合约中的属性合约存储；主体的系统公钥、系统私钥利用所述智能合约中的密钥管理合约存储。

15、在本发明的一个实施例中，所述数据上传步骤中，do将数据上传至分布式存储系统进行存储，将表征数据存储位置的数据索引利用do的系统私钥进行加密得到密文数据，包括：

16、do将数据上传至分布式存储系统ipfs进行存储，获取到数据索引datahash作为数据在ipfs存储位置的唯一索引；

17、do将datahash利用自身的系统私钥进行加密得到密文数据signdatahash，将signdatahash提交到所述智能合约中的数据存储合约进行存储。

18、在本发明的一个实施例中，所述数据上传步骤中，do基于属性对上传的数据定制访问策略，将do的密文数据使用定制的访问策略进行属性基加密得到策略密文，包括：

19、do基于上传的数据的属性，在所述智能合约中的策略管理合约内对存储的数据定制访问策略；

20、将signdatahash使用定制的访问策略，利用cp-abe属性基加密算法进行加密，得到策略密文ct_signdatahash，并存储在所述数据存储合约中。

21、在本发明的一个实施例中，所述数据访问步骤中，du提交数据访问请求之前，所述方法还包括：

22、du提交自身的属性集，利用所述智能合约中的属性合约对du提交的属性集的正确性进行验证，验证通过后du被允许提交数据访问请求。

23、在本发明的一个实施例中，所述数据访问步骤中，基于智能合约，检索所需数据的策略密文，包括：

24、依据du提交的数据访问请求中的数据编号或名称，在所述智能合约的数据存储合约中检索所需数据的策略密文；

25、所述数据访问步骤中，du自身的用户属性私钥是根据du自身的属性集，由kmc生成并存储在所述智能合约中的密钥管理合约内。

26、第二方面，本发明实施例提供了一种高校的数据安全共享系统，利用第一方面所述的基于智能合约的云存储访问控制方法实现；所述高校的数据安全共享系统中，kmc包括高校的信息技术部门；作为主体的do和du包括与高校相关的教师、研究人员、工作人员以及学生；资源包括课程资料、成绩记录、技术资料。

27、本发明的有益效果：

28、本发明实施例提供的基于智能合约的云存储访问控制方法，通过研究abac模型，在此基础上借助属性加密算法，提出一种策略和数据分开存储的方式，能够灵活的运用加密算法，实现数据的安全存储和读取。将xacml模型和智能合约进行结合，在传统的访问控制描述节点的基础上，添加多种智能合约担任不同的功能，利用合约之间的协作实现自动化、智能化的访问控制策略。将身份标识运用在分布式的身份管理中，将身份标识与加密算法结合，保证用户身份合法性和访问控制流程中的公私钥的安全性。因此，本发明有助于在云存储环境下，保证多方数据的安全和隐私性，解决传统访问控制方法的中心化和不可信问题，为安全的云上数据共享提供了可行的解决方案；能够解决分布式环境下带来的身份管理问题，借助分布式身份标识和凭证，安全隐私的验证用户；并且借助区块链技术，实现了访问控制流程的可审计、可溯源；通过自动化的智能合约，实现了访问控制全流程的自动化和高效化。1

29、在此基础上提供的高校的数据安全共享系统能够实现高校数据的安全共享和隐私保护。