[发明专利]一种基于区块链的能源数据细粒度访问控制方法

权利要求书

1.一种基于区块链的能源数据细粒度访问控制方法，其特征在于：

Step1：在注册阶段，授权机构CA初始化，生成全局参数GP，为系统用户进行注册生成唯一的用户编号Uid，并产生公钥UPK，为各属性机构AAs进行注册生成全局唯一的属性机构编号Aid，然后各属性机构进行初始化，根据全局参数GP生成自己的公私钥对APK，ASK；各属性机构AAs根据自己管理的属性为数据用户DU的各属性生成相应的属性私钥；

Step2：在数据加密上链阶段，数据拥有者DO利用SM4对称加密算法对能源数据进行加密存储在本地数据库，然后利用哈希算法对密文数据进行哈希，然后将生成的哈希值、对称密钥以及存储地址，根据制定好的数据访问策略将其加密，将其作为交易上传到自己所在域内的数据链上以及监管链内；

Step3：在数据访问阶段，数据用户发送数据访问请求信息，server端根据数据用户DU发送的访问目标链标识判断数据用户是进行域内数据访问还是跨域数据访问，若目标链标识与数据用户DU所在数据链标识一致则为域内数据访问，若不一致则为跨域数据访问。

2.根据权利要求1所述的基于区块链的能源数据细粒度访问控制方法，其特征在于：数据访问分为域内数据访问和跨域数据访问；

域内数据访问：数据用户DU根据交易哈希、属性私钥进行域内数据访问，当数据用户DU的属性集合满足加密能源数据的访问控制策略时，数据用户DU可对返回的链上密文数据进行解密获得能源数据的存储地址、密文哈希以及解密的对称密钥，然后根据存储地址访问数据拥有者DO的本地数据库，获得能源密文数据，然后利用对称解密密钥将能源密文数据进行解密获得明文数据；当数据用户DU的属性集合不满足加密能源数据的访问控制策略时，则数据用户DU不具备访问的权力；

跨域数据访问：数据用户根据目标链标识、交易哈希、属性私钥进行跨链数据访问，server端根据数据用户DU发送的目标链标识调用监管链相应的接口，从相应的数据链上获取交易数据，返回给数据用户DU；当数据用户DU的属性集合满足加密能源数据的访问控制策略时，可将链上获取的密文进行解密得到能源数据的存储地址、密文哈希以及解密的对称密钥，然后根据存储地址访问数据库，获得能源密文数据然后利用对称解密密钥将能源密文数据进行解密获得明文数据；当数据用户DU的属性集合不满足加密能源数据的访问控制策略时，则数据访问者不具备访问的权力。

3.根据权利要求1所述的基于区块链的能源数据细粒度访问控制方法，其特征在于所述Step1中，各属性机构AAs为数据用户DU各属性生成属性私钥的方法为：

当数据用户DU发送用户编号Uid、自身属性集合S请求私钥时，各属性机构AAs验证其身份，Uid正确，然后各属性机构AAs根据自己管理的属性为数据用户DU的各属性生成属性私钥SK以及转换密钥TK；若数据用户DU的Uid不正确，则返回数据用户DU身份验证失败信息，让数据用户DU发送正确的身份信息。

4.根据权利要求1所述的基于区块链的能源数据细粒度访问控制方法，其特征在于所述Step2中制定访问控制策略的方法为：

采用LSSS访问策略，数据拥有者DO输入全局参数GP，明文M，设置的访问策略矩阵(A,ρ)以及相关属性机构AA的公钥APKs，运行加密算法对明文M进行加密生成密文CT。

5.根据权利要求1或2所述的基于区块链的能源数据细粒度访问控制方法，其特征在于所述Step3中，数据用户DU对链上数据进行属性解密的方法为：

首先由外包服务器对密文CT进行预解密，输入全局参数GP，密文CT，以及数据用户DU拥有的属性集合S相对应的转换密钥TK，当属性集合S中的属性满足密文中设置的访问策略矩阵(A,ρ)时，可以将密文CT解密为预解密密文CT’，当属性集合S中的属性不满足密文中设置的访问策略矩阵(A,ρ)时，则输出⊥；

数据用户DU获得预解密密文CT’，根据自己的属性私钥SK对密文进行解密获得能源数据密文哈希、存储地址、以及对称解密密钥，然后根据存储地址获得加密的能源数据以及数据哈希，将从数据库获得的数据哈希与链上获取的数据哈希进行对比，如果一致则能源数据传输过程中没有被篡改，利用对称解密密钥对其解密；如果不一致则能源数据传输过程中被篡改，重新访问DO所在的本地数据库，获得能源数据密文。