[发明专利]一种基于区块链的细粒度云存储安全访问控制方法

说明书

本发明属于云存储、访问控制和区块链技术领域，具体涉及一种基于区块链的细粒度云存储安全访问控制方法，该方法包括：对基于区块链的安全数据共享模型进行初始化；数据所有者对拥有的明文进行加密，将加密后的密文上传到云存储服务器中；数据请求者向区块链发送注册和获取私钥请求；区块链根据请求信息对数据请求者生成私钥，并通过安全通道分发给各个数据请求者；数据请求者向云存储服务器发起数据请求，云存储服务器验证请求的合法性，若请求合法，则将密文发送给数据请求者，并进行解密处理；若不合法，则云存储服务器拒绝发送密文；本发明通过区块链实现去中心化的密钥管理，避免了半可信云服务商带来的安全隐患。

技术领域

本发明属于云存储、访问控制和区块链技术领域，具体涉及一种基于区块链的细粒度云存储安全访问控制方法。

背景技术

云存储服务以其使用方便、费用低廉等特点得到了广泛使用，然而存储在云中的数据可能会遭到非法用户或云计算提供商的窥视、修改或损坏，如何保证安全地共享云存储数据是一个重大的挑战。对用户数据进行加密并实现数据的访问控制是确保云存储中数据安全和安全共享的有效方法。密文策略属性基加密(ciphetext-policy attributebased encryption,简称CP-ABE)技术被认为是不可信的云存储环境中实现数据安全存储和共享的最具潜力的密码技术，具有如下优势：

数据拥有者自己确定数据的访问策略并嵌入到密文中。只要用户属性满足密文中的访问策略就可以正确解密数据，因此一个文档仅需加密一次可以安全共享给多个不同用户，一个用户只需拥有一份密钥可以访问多个不同的数据密文。

然而在以往的基于属性加密技术的云安全存储方案中，存在以下两个问题：1)一个属性权威需要为所有用户分发密钥，然而单个属性权威的属性密码系统不能满足大规模分布式应用对不同机构协作的需求，属性权威管理系统中所有属性需要为用户认证属性颁发密钥，工作量大，成为系统的性能瓶颈。同时，这个属性权威容易受到集中攻击，单点故障可能导致系统崩溃。2)由于要满足细粒度访问控制的需要，需要考虑密钥变更和权限撤销问题。当前研究存在“完全撤销”和“直接撤销”两种方式，这两种撤销方案都不具备良好的扩展性并且不能实现细粒度变更。

发明内容

为解决以上现有技术存在的问题，本发明提出了一种基于区块链的细粒度云存储安全访问控制方法，该方法包括：

S1：对基于区块链的安全数据共享模型进行初始化；基于区块链的安全数据共享模型由云存储服务器CSP、数据所有者DO以及数据请求者DU组成；

S2：DO根据区块链分发的秘钥参数、自身访问策略树和属性基加密技术对加密秘钥ck进行加密，生成的秘钥密文CT，并对明文M进行对称加密生成密文E_ckM，将秘钥密文CT和密文E_ckM上传到CSP中；

S3：DU向区块链发送注册和获取私钥请求；区块链根据DU的信息进行区块注册并生成私钥，并将生成的私钥通过安全通道分发给各个DU；

S4：DU接收到私钥后向CSP发起数据请求，CSP验证请求的合法性，若请求合法，则将秘钥密文CT和密文E_ckM发送给DU；DU接收到密文后采用所持私钥对密文进行解密；若不合法，则CSP拒绝发送密文。

优选的，数据所有者DO用于负责定义访问策略并且加密数据；数据请求者DU拥有一组属性，若该组属性满足访问策略，则DU能解密密文并获取数据；云存储服务器CSP用于存储加密数据并对DU进行合法验证。

优选的，对基于区块链的安全数据共享模型进行初始化包括：

S11：DO将自身标识uid、策略所对应的属性集合Λ和集合所对应的秘密给区块链，并在区块链中部署智能合约；

S12：区块链返回智能合约地址，并通过初始化算法Setup(α,β)随机生成公钥参数PK和主密钥MSK，并向DO分发公钥参数PK和主密钥MSK。