[发明专利]针对物联网数据安全共享过程中隐私保护的系统及方法

权利要求书

1.针对物联网数据安全共享过程中隐私保护的方法，其特征在于，至少包括：

由构成区块链的边缘服务器对来自请求下载权限的数据使用者的基于属性的零知识证明进行验证；

若验证通过，数据使用者将边缘服务器所返回的至少包括存储地址的信息发送至云服务器并申请下载密文；

由云服务器验证该申请，若验证通过，将由数据拥有者使用去中心化的基于属性加密DABE对待共享数据进行加密得到的密文返回至数据使用者；

数据拥有者基于DABE解密密文以得到原始数据，由数据拥有者制定并构成属性列表，以及将待共享数据基于DABE加密得到密文，并生成关于属性权限列表的承诺协议，所述DABE包含多个属性授权机构，每个属性授权机构负责一部分属性对应私钥构件的生成，用户申请私钥时需要同时向多个属性授权机构申请，组合成最终私钥进行解密；

承诺协议是通过基于属性列表来构造Merkle属性树并计算出Merkle树根和给定的随机数的方式计算得到的，该方式包括以下步骤：

使用伪随机数产生函数对属性列表进行排序并在属性列表中填入一定数量的0以保证列表长度一致来混淆属性列表；

使用抗碰撞哈希函数构建固定深度的Merkle树来存储属性列表，并计算得出Merkle树根。

2.根据权利要求1所述的方法，其特征在于，数据拥有者将密文和承诺协议发送给一边缘服务器，边缘服务器将密文上传至云服务器并获得关于密文的存储地址。

3.根据权利要求2所述的方法，其特征在于，由边缘服务器将存储地址组成相关权限写入区块链上的访问权限列表ACL，并返回存储地址给数据拥有者。

4.根据权利要求3所述的方法，其特征在于，边缘服务器在验证通过数据使用者发送的基于属性的零知识证明后所返回的信息至少包括验证凭证，该验证凭证用于云服务器判断是否通过密文下载申请。

5.根据权利要求4所述的方法，其特征在于，数据使用者从属性授权机构获得与其密文对应的属性密钥，并基于该属性密钥来解密密文数据。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：系统初始化，生成DABE和基于属性的零知识证明需要的全局安全参数，每个属性授权机构生成对应的公私钥对。

7.针对物联网数据安全共享过程中隐私保护的方法，其特征在于，至少包括：

由数据拥有者制定属性权限策略并根据该策略构造非交互的承诺协议；

基于数据使用者的属性和地址生成与承诺协议相符的基于属性的零知识证明；

承诺协议与基于属性的零知识证明中均不泄漏各自对应的用户的相关属性；

利用基于承诺协议预编译的零知识证明合约来验证该基于属性的零知识证明；

输出验证结果，由数据拥有者制定并构成属性列表，以及将待共享数据基于DABE加密得到密文，并生成关于属性权限列表的承诺协议，所述DABE包含多个属性授权机构，每个属性授权机构负责一部分属性对应私钥构件的生成，用户申请私钥时需要同时向多个属性授权机构申请，组合成最终私钥进行解密；

承诺协议是通过基于属性列表来构造Merkle属性树并计算出Merkle树根和给定的随机数的方式计算得到的，该方式包括以下步骤：

使用伪随机数产生函数对属性列表进行排序并在属性列表中填入一定数量的0以保证列表长度一致来混淆属性列表；

使用抗碰撞哈希函数构建固定深度的Merkle树来存储属性列表，并计算得出Merkle树根。

8.针对物联网数据安全共享过程中隐私保护的系统，其特征在于，至少包括多个模块，多个模块分别被配置为执行至少一个以下步骤：

用于数据拥有者使用DABE加密待共享数据，和/或存储密文与权限至云服务器；

用于数据使用者证明自己的属性权限并申请获得数据存储地址；

用于边缘节点验证用户权限并返回验证凭证密文数据存储地址给数据使用者；

用于数据使用者在获得凭证和存储地址后向云服务器申请下载数据；

用于云服务器校验凭证的有效性并返回密文给数据使用者，由数据拥有者制定并构成属性列表，以及将待共享数据基于DABE加密得到密文，并生成关于属性权限列表的承诺协议，所述DABE包含多个属性授权机构，每个属性授权机构负责一部分属性对应私钥构件的生成，用户申请私钥时需要同时向多个属性授权机构申请，组合成最终私钥进行解密；

承诺协议是通过基于属性列表来构造Merkle属性树并计算出Merkle树根和给定的随机数的方式计算得到的，该方式包括以下步骤：

使用伪随机数产生函数对属性列表进行排序并在属性列表中填入一定数量的0以保证列表长度一致来混淆属性列表；

使用抗碰撞哈希函数构建固定深度的Merkle树来存储属性列表，并计算得出Merkle树根。