基于区块链和属性加密的访问控制授权方法

本发明属于计算机软件开发领域，特别涉及了云计算环境下安全灵活的用户授权方法。

背景技术：

1、访问控制是组成信息安全体系不可或缺的重要部分，也是保障云计算服务安全的一个重要方面。访问控制通过对访问主体施加约束，使受保护的信息资源仅在合法范围内可访问。随着云用户数量的增多以及运算存储方式的变化，资源也变得难以集中管控，如何革新研究出适合云计算环境的访问控制模型将成为解决云安全威胁的关键。

2、ye t等人针对cp-abe属性加密的访问控制方案面临系统成本过大、策略属性撤销或恢复不灵活等问题，提出了一种基于cp-abe的高效访问控制方案，对策略属性集采用最小共享重加密密钥的重加密机制，然后通过为每个叶节点属性创建相应的虚拟属性来扩展访问结构树，提高了属性更改的效率和灵活性。maesa d d f等人将abac模型中的策略编码为为智能合约，并将其部署在区块链上，从而将政策评估过程转变为完全分布式的智能合约执行，保证了授权的不变性和透明度。yang c等人提出了一个基于区块链的具有隐私保护的访问控制框架，使用区块链中节点的账户地址作为身份，同时重新定义数据对云的访问控制权限，这些数据被加密并存储在区块链中，防止恶意用户非法访问资源，保护授权隐私。

3、综上所述，如何改进abac模型，实现云计算环境下的对资源的细粒度管理，保障了隐私性的同时并增加其灵活性。已经成为本领域亟待解决的问题。

技术实现思路

1、为了解决上述背景技术提到的技术问题，本发明提出了基于区块链和属性加密的访问控制授权方法。

2、为了实现上述技术目的，本发明的技术方案为：

3、基于区块链和属性加密的访问控制授权方法，包括以下步骤：

4、(1)数据拥有者向可信秘钥分发中心请求秘钥，可信密钥分发中心执行密钥生成算法，输入为公钥puk和主密钥mak，并根据数据所有者指定的属性集attrs，使用cp-abe算法生成私钥，对数据进行加密并将加密数据发送至云服务器；

5、(2)数据拥有者使用shamir秘密共享算法，将秘钥拆分成n个片段，并通过一个安全通道发给秘钥节点；

6、(3)数据访问者向云服务端发出访问请求，区块链网络调用智能合约进行请求判定，若判定结果为不通过则拒绝访问请求，若通过则进入步骤(4)；

7、(4)数据访问者从云服务器端获得该文件的密文(encfile)，然后向可信密钥分发中心请求获得t个密钥节点的地址；

8、(5)数据访问者从区块链网络中的密钥节点sn获取私钥(sk)，通过私钥对密文进行解密。

9、进一步地，在步骤(1)的具体过程如下：

10、(101)由第三方的可信密钥分发中心指定随机函数，生成初始化随机数。输入为安全参数s，输出包括公钥(puk)和主密钥(mak)，生成公式如下：

11、(puk,mak)＝setup(s)                     (1-1)

12、(102)可信密钥分发中心生成密钥sk，输入为公式(2-3)生成的puk和mak以及属性集attrs，属性集为数据所有者自定义，输出私钥(sk)公示如下：

13、sk＝keygen(puk,mak,attrs)                  (1-2)

14、(103)使用公钥puk和策略p对数据mes加密得到密文e，加密公式如下：

15、e＝ encrypt(puk,mes,p)                     (1-3)

16、进一步地，在步骤(2)的具体过程如下：

17、(201)数据所有者在有限域上选择一个随机多项式如下：

18、f(x)＝b0+b1x+...+bt-1xt-1(mod p)             (2-1)

19、其中，f(x)为生成多项式，p为一个大素数，bt-1≠0，0和b0表示解密密钥；

20、(202)通过设置x＝1,2,...,n并计算f(x)，即点(1，f(1)),...,(n，f(n)，这n个点即为秘钥片段信息；

21、(203)数据所有者向区块链发送一个交易，获得n个活跃旷工节点的地址，将(202)中n个点分配给n个密钥节点，每个秘钥节点仅存储这些片段中的一个。

22、进一步地，在步骤(3)中区块链网络中主节点通过智能合约验证用户的身份与访问权限，若验证不通过则拒绝访问请求，若验证通过则进入步骤(4)。

23、进一步地，在步骤(4)中云服务器响应用户请求，向用户发送密文数据，数据使用者获得密文数据后将请求交易发送至秘钥管理中心以获得t个秘钥节点的地址。

24、进一步地，在步骤(5)的具体过程如下：

25、(501)数据使用者通过安全信道向秘钥节点发送请求，获得解密密钥片段和p；

26、(502)数据使用者使用解密密钥片段(xi，f(xi))和大素数p重建秘钥，公式如下：

27、

28、(503)数据使用者通过秘钥解密数据，公式如下：

29、m＝decrypt(puk,e,sk)                      (5-2)

30、其中puk为公钥，e为密文，sk为密钥。

31、采用上述技术方案带来的有益效果：

32、(1)针对传统abac模型中心化授权策略执行不透明、数据自主性差和数据管理不灵活等问题，本发明使用了云服务器存储数据，区块链存储数据的hash值、密文位置的hash值、访问控制策略等重要信息，通过此方式，解决了区块链系统的存储瓶颈，提高了访问控制的安全性和透明性。

33、(2)本发明提出的秘钥节点存储秘钥，将属性加密中使用的密钥通过区块链节点分发，采用cp-abe加密算法，秘钥与属性集关联，只有当用户的属性集满足指定的策略时，才能获取秘钥片段，还原秘钥，进而对密文进行解密，相比于传统的abac模型，保护了用户隐私，并实现了高效且细粒度的授权。

技术特征：

1.基于区块链和属性加密的访问控制方法，其特征在于，包括以下步骤：

2.根据权利要求1所述基于区块链和属性加密的访问控制方法，其特征在于，步骤(1)的具体过程如下：

3.根据权利要求1所述基于区块链和属性加密的访问控制方法，其特征在于，步骤(2)的具体过程如下：

4.根据权利要求1所述基于区块链和属性加密的访问控制方法，其特征在于，在步骤(3)中区块链网络中主节点通过智能合约验证用户的身份与访问权限，若验证不通过则拒绝访问请求，若验证通过则进入步骤(4)。

5.根据权利要求1所述基于区块链和属性加密的访问控制方法，其特征在于，在步骤(4)中云服务器响应用户请求，向用户发送密文数据，数据使用者获得密文数据后将请求交易发送至秘钥管理中心以获得t个秘钥节点的地址。

6.根据权利要求1所述基于区块链和属性加密的访问控制方法，其特征在于，步骤(5)的具体过程如下：

技术总结本发明公开了基于区块链和属性加密的访问控制授权方法，该方法在传统ABAC模型中引入了区块链，数据的hash值、密文位置的hash值、访问控制策略等其他重要信息存储在区块链上，通过智能合约实现访问控制，采用CP‑ABE加密算法，将密文与访问控制策略关联，秘钥与属性集关联，只有当用户的属性集满足指定的策略时，才能够对密文进行解密，本授权方法中使用Shamir秘密共享方案管理加密密钥，在区块链平台中引入密钥节点，用于存储解密密钥。实现了去中心化的授权方式，对资源的细粒度管理，保障了隐私性的同时也增加了灵活性。技术研发人员：许峰,李泽林,张烁,沈赛杰,宿凯茗,汪泠洁,关一涵,李静,张天瑜,殷娟受保护的技术使用者：南京航空航天大学技术研发日：技术公布日：2024/8/1