[发明专利]一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质

说明书

本发明公开了一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质：输出系统主密钥对和用户密钥对；加密；系统主密钥封装后上传至区块链；主密钥代理存储节点生成转换密钥；转换密钥计算节点生成新的胶囊；数据使用者从区块链上获得主密钥密文，获得系统主密钥；获得属性私钥；数据使用者获得共享数据密文，输入属性私钥，通过解密算法，获得明文。本发明基于区块链的分布式数据安全共享方法、系统和计算机可读介质利用分布式代理密钥封装机制实现了主密钥的密钥封装，解决主密钥在区块链网络中的安全分发和管理问题，提高了私钥的生成效率，解决了现有技术中存在的主密钥在区块链网络中的安全分发和管理等问题。

技术领域

本发明属于数据安全技术领域，涉及一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质。

背景技术

目前，信息技术高速发展，数据成为了各行各业发展离不开的一种战略性资源。然而，随着数据的开放和共享，越来越多的信息泄露事件使得敏感数据的安全性和隐私性成为各行各业必须面临的问题。解决敏感数据安全和隐私安全的一种有效做法是在数据分享前进行加密，但传统的密文共享方法需要耗费大量的通信开销和运算代价。因此，采用具有“一对多加密”和细粒度访问控制等优势的密文策略属性基加密(CP-ABE，ciphertext-policy attribute-based encryption)算法可以有效解决上述问题。

密文策略属性基加密算法作为一种新兴加密技术，将用户身份与一系列属性绑定，密文与访问控制结构绑定，通过对用户私钥设置属性集合与访问控制，只有属性集合与访问控制结构相匹配才能解密出该密文的明文数据，从而实现了一对多加密以及细粒度的访问控制。Waters首次在标准模型下证明了CP-ABE的安全性，并提出一个采用线性秘密共享方案(LSSS，Linear secret sharing scheme)实现秘密共享的CP-ABE，在效率上有了明显的提升。Lewko等人采用双系统加密机制，使用完全可行的方法实现CCA安全的CP-ABE机制，采用LSSS矩阵作为访问结构，支持任何单调的访问控制表示策略，将一次使用的CP-ABE机制转换为属性多次使用的ABE机制。

算法的正确性和安全性、密钥管理、可扩展性是安全协议研究的核心。当前的CP-ABE算法由于其属性密钥仅与属性集合相关，而与用户标识无关，因此无法预防和追溯非法用户持有合法用户的私钥。此外，由于基本ABE均由单权威机构授权，不能满足大规模分布式应用对于不同机构协作的需求，这要求了该权威机构必须完全诚实可信，违背了分布式应用信任分散的需求。

区块链(Blockchain)由中本聪在比特币(Bitcoin)中首次提出。区块链是按照时间顺序排列的数据区块的连式结构，本质上是通过去中心化的方式使用密码学实现各环节安全性的数据库。区块链具有去中心化、去信任化、防篡改、可溯源和公开验证等特点，能够在陌生节点之间建立可信账本，形成唯一不可篡改的区块，非常适合解决当前CP-ABE存在的密钥审计和分布式信任分散的需求。在基于区块链属性基加密方面，George Bramm等人将CP-ABE与区块链结合，提升了分布式系统密钥管理的安全性和效率；Yongkai Fan等人将CP-ABE应用于云计算，使用区块链进行密钥的传递及记录，解决了不受信任云服务器的数据存储隐私和访问控制问题；田有亮提出了一种基于属性加密的区块链素原算法，实现了交易隐私的动态保护；闫玺玺等提出一种基于区块链且支持验证的属性基搜索加密方案，解决了半诚实且好奇的云服务器模型下返回搜索结果不正确的问题。但上述CP-ABE方案仍采用中央可信机构CA(central authority)管理用户属性和进行密钥计算分发，工作量大，影响效率，并且存在很大的安全隐患。一旦CA被破坏，攻击者可以获取任何用户的私钥和属性，并解密所有密文。为解决中心化密钥中心所带来的的问题，Gao等人通过同态加密的方式将用户属性隐藏，通过智能合约向权威机构发送Proof进行认证，从而获得主密钥，并由用户生成私钥，实现了分布式的密钥计算和属性保存，但其主密钥仍由中心化机构保管，存在安全隐患；郑良汉等设计了一种层次化CP-ABE算法，通过区块链技术使得所有授权机构能够诚实并行地进行私钥分发，但其本质仍为多中心化权威机构，与区块链融合度不高。