[发明专利]一种许可链数据共享及监管的属性重构加密方法及系统

权利要求书

1.一种许可链数据共享及监管的属性重构加密方法，其特征包括：

步骤一，许可链权威组织作为数据监管组织，构建用于管理全链属性的属性管理基础设施；

所述属性管理基础设施建立的步骤如下：

系统初始化阶段，由权威组织建立属性管理基础设施的结构、存储方式等，用于对全链的所有属性进行规范化管理；各组织申请接入许可链系统时，权威组织根据申请组织的业务、角色等，为其分配公开属性；各组织可以根据自身业务开展情况，向权威组织申请维护自己的私有属性，权威组织决定是否通过申请，通过申请后组织即可用于后续的数据加解密；权威组织根据属性申请结果，动态管理属性管理基础设施中的属性集合；

所述属性管理基础设施由许可链权威组织管理，具体包括：

各组织的属性集合包括自己拥有的公开属性和私有属性，对非权威组织之外的其他组织而言保密，保证各组织的数据隐私，满足个性化加密需要；属性管理基础设施仅限于权威组织信任节点间传递共享，对其他组织而言保密，防止非法组织恶意猜测属性，窃取数据隐私；

步骤二，数据发布组织提交的访问树重构为属性管理基础设施下的规范标准访问树；

步骤三，利用重构后的规范标准访问树对组织提交的密文进行转加密，将个性化的加密及访问控制转为全链规范的加密及访问控制；

步骤31，组织端选择属性生成访问树

其中，访问树是数据共享组织对拟上链共享数据设置访问控制需求的表示形式，通过访问树的遍历即可判定是否具有共享数据的访问权限；访问树的叶子节点表示用于数据加密的属性，非叶子节点为门限节点，用于表示访问控制需求中属性的逻辑关系，支持“与”、“或”逻辑运算，数据访问者需满足此门限最低值，方可解密此节点秘密值；

步骤32，组织端基于属性的数据加密

其中，数据加密根据选中的属性采用CP-ABE算法，将拟上链共享的明文数据转为加密后的密文；

步骤33，数据发布上链

其中，数据是指采用CP-ABE算法加密后的密文；组织端系统将数据的密文及访问树一起发送至组织端节点，由该节点负责向许可链系统提交数据共享的交易提案请求；

步骤34，权威组织端重构访问树

其中，重构访问树是根据属性管理基础设施，即属性字典，将组织端提交的访问树转为规范标准的访问树；权威组织管理的Order节点接收到交易提案后，根据属性管理基础设施对交易提交的访问树进行检查，将同义、近义的属性转为规范属性，并重新构造为规范访问树；

步骤35，权威组织端属性重构加密

其中，重构加密是权威组织对组织端提交的密文进行解密，并采用重新构造的规范访问树进行CP-ABE加密；权威组织管理全链所有组织的属性，因此可解密所有组织提交地密文数据，根据规范访问树采用相同的CP-ABE加密算法，对解密后的明文数据进行重新加密，得到规范的数据密文；

步骤36，加密数据写入区块

其中，加密数据是指经权威组织属性重构加密后的密文数据，区块指许可链系统统一生成的数据区块，可以分散存储于各许可链系统节点；权威组织管理的Order节点根据区块生成规则，将接收到的当前数据统一打包生成一个新的区块，并将该区块广播给各接入的组织端节点；各组织端节点接收到区块信息后，更新本地管理的账本数据。

2.根据权利要求1所述的一种许可链数据共享及监管的属性重构加密方法，其特征还在于：各上链组织采用基于属性加密算法对上链数据进行加密的步骤，包括：组织根据共享数据的访问控制需求，在自己拥有的属性集合中选择加密的属性，采用基于属性加密的算法对数据加密，并为其生成访问控制策略。

3.根据权利要求1或2所述的一种许可链数据共享及监管的属性重构加密方法，其特征还在于：获知将组织的密文及访问控制策略转为全链规范的密文及访问控制策略，转换步骤具体包括：权威组织利用属性管理基础设施，将访问控制策略中组织的属性转为全链规范的属性，并重构访问控制策略，解决属性多样化问题；权威组织根据重构后的访问控制策略，对数据发布组织的密文进行转加密，将个性化加密转为规范的加密，降低访问控制判定的复杂度；权威组织拥有属性管理基础设施的全部控制权，进而可以对规范化的加密数据进行高效监管。