[发明专利]一种区块链和云存储环境下的数据安全共享方法和系统

说明书

本发明公开了一种区块链和云存储环境下的数据安全共享方法和系统，属于互联网安全领域。本发明直接采用智能合约对数据请求端进行身份验证，云服务器不参与任何阶段的权限认证，避免了恶意云的干扰，保证了基于属性的访问控制环境下，密钥生成与分发的安全性。本发明将用户的实际数据密文放在云服务器，将元数据信息放在区块链上，实际数据和元数据的分开，避免了区块链的臃肿，保持了数据格式的一致性，有利于存储和查询。数据拥有端把权限集中委托给智能合约，数据拥有端可以随时改变数据文件的访问控制策略，实现用户在上传数据后依然持有数据的管理控制权。本发明使用基于密文策略的属性加密方案，实现“一对多”细粒度访问控制。

技术领域

本发明属于互联网安全技术领域，更具体地，涉及一种区块链和云存储环境下的数据安全共享方法和系统。

背景技术

随着互联网技术的不断发展，不同机构和组织间的信息交流逐渐增加，数据的共享程度与日俱增。与此同时，智能化使移动终端迅速成为许多互联网业务的关键入口，通过移动设备进行数据共享已成为社会发展的必然趋势。然而，移动终端受到电量、计算力和存储力等资源的限制，这也促使了云服务的产生。云服务的安全关系着大量用户数据隐私的安全，稍有不慎就会造成不可挽救的后果。当前市场的云服务或多或少存在一些问题，亟待构建更加安全可靠的数据共享系统。

针对移动终端电量、计算力和存储力等资源的限制，当前移动终端用户倾向于将大量数据存放到企业云平台中以实现数据的实时访问和共享。但是当这些数据存储在云上之后，用户就失去了对云上数据访问控制权限的管理。在传统的访问控制管理中，云存储执行访问权限验证，并且引入了一个第三方机构来进行访问权限的管理以及相关密钥生成与分发的工作。但是，云被认为是“诚实但好奇的”，也就是半可信的，且第三方机构是一个集中式机构，第三方机构被要求完全可信，若第三方机构与其他用户或者恶意云合谋，则会导致数据的泄露。在传统的数据共享系统中若发生数据泄露问题，也很难追踪到究竟是哪一方泄露相关数据。因此，传统的数据共享模型中存在半可信的云和第三方管理机构以及数据泄露难以追踪泄露源头的问题。

区块链去中心化、不可篡改和智能合约公开透明、自动运行等特性，使得将区块链和智能合约应用到云存储中的数据安全共享成为一个必然趋势。结合了区块链技术的云存储中数据安全共享，解决了半可信的第三方管理机构问题，由去中心化、不可篡改记录的区块链和智能合约代替执行，使得数据共享更加安全，透明，可追踪。因为区块链是一个去中心化的结构，由多个节点共同维护区块链的运行，区块链的记录是由区块链中的全体节点共同决定的。此外，访问权限验证和数据访问密钥生成与分发都由智能合约执行，减少了恶意方共谋的机率。云服务商除非勾结了区块链中的51％以上的节点，才可能控制区块链的记录，因此存在区块链上的记录更加安全可信。若恶意用户为了自身利益泄露数据，那么可以利用区块链的可追溯性追踪到泄露数据的源头。

然而，首先，现有的基于区块链和云服务器的数据共享方法要实现多数据请求端同时访问，需要在数据拥有端本地或云服务器中维护大量的数据请求端身份信息和相关密钥信息列表，当数据请求端申请访问权限时，需要数据拥有端或者云服务器进行“一对一”的处理，当数据请求端进行数据请求访问时，数据拥有端或者云服务器首先需要在列表中查询数据请求端对应的密钥。其次，现有的基于区块链和云服务器的数据共享方法未能完全实现去中心化，云服务器还保留对数据请求端身份验证的基本功能，若云服务器是恶意的，它有可能向智能合约传达虚假数据请求端身份验证通过信息。然后，现有的基于区块链和云服务器的数据共享方法存储数据形式比较单一，未能实现数据存储分离甚至存储较为混乱。最后，现有的基于区块链和云服务器的数据共享方法无法实现数据泄露追责。

发明内容

针对现有技术访问控制复杂、未完全去中心化操作以及数据存储格式单一的缺陷和改进需求，本发明提供了一种区块链和云存储环境下的数据安全共享方法和系统，其目的在于实现完全去中心化操作，并能进行细粒度的访问控制和不同数据格式存储和共享。