(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210637715.2 (22)申请日 2022.06.08 (65)同一申请的已公布的文献号 申请公布号 CN 114710370 A (43)申请公布日 2022.07.05 (73)专利权人 山东省计算中心 （国家超 级计算 济南中心） 地址 250014 山东省济南市历下区科院路 19号 (72)发明人 徐淑奖　钟金荣　王连海　张淑慧　 邵蔚　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 黄海丽(51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/1097(2022.01) G06F 21/60(2013.01) 审查员 李姮 (54)发明名称 基于雾区块链和属性加密的细粒度访问控 制方法及系统 (57)摘要 本发明提供了一种基于雾区块链和属性加 密的细粒度访问控制方法及系统， 其属于信息安 全技术领域， 所述方案引入了多属性权威机构， 更符合细粒度访问控制需求， 也避免了单点故 障、 密钥泄露等问题； 所述方案通过将联盟链与 雾节点结合， 利用雾节点拥有一定的存储能力和 计算能力， 能为系统中属性权威和用户分配全局 唯一身份标识并维护它们的身份列表， 并存储多 属性权威根据身份和属性集合生 成的密钥， 以便 后续非法行为的追溯； 为计算能力有限的用户完 成解密过程中的密集型计算， 而联盟链中PBFT共 识机制的容错性能提高执行结果的正确性， 减少 用户的验证开销。 权利要求书2页 说明书10页 附图2页 CN 114710370 B 2022.11.04 CN 114710370 B 1.一种基于雾区块链和属性加密的细粒度访问控制方法， 其特征在于， 其用于由多个 属性权威机构、 数据拥有者、 分布式存储系统以及数据访问者组成的访问系统， 所述方法包 括： 通过区块链注册为属性权威机构和数据访问者分别生成唯一身份标识， 初始化每个属 性权威机构的属性 集合， 并生成每 个属性权威机构对应的公钥和私钥； 数据拥有者对待发布的数据进行加密， 并将数据密文进行存储； 所述将数据密文进行 存储， 具体将数据密文存储于链外分布式存储系统中； 其中， 数据拥有者部署智能合约， 将 数据密文哈希、 属性密文及 访问策略以存 储交易的形式发送到联盟链中； 基于数据拥有者预设的访 问策略对数据加密密钥及存储地址进行加密， 其中， 所述访 问策略为 来自多个属性权威机构的属性构成的集 合； 基于所述属性权威机构的公钥和私钥对所述数据访问者提供的属性集合生成转换密 钥和用户解密密钥； 判断所述数据访问者的属 性集合是否满足访问策略， 若满足则基于所 述转换密钥将加密后的数据加密密钥 及存储地址解密为转换密文； 并基于所述用户解密密 钥对所述 转换密文 进行最终解密， 获得 数据加密 密钥及存 储地址明文； 基于所述存储地址获得数据密文， 并基于数据加密密钥对所述数据密文进行解密获得 原始数据； 所述方法使用多属性权威机构为系统中用户分配属性集合， 生成带有身份标识的转换 密钥和用户密钥， 且转换密钥存储在区块链中； 所述基于所述转换密钥将加密后的数据加 密密钥及存储地址解密为转换密文， 具体为： 通过联盟链中的雾节点进 行解密计算， 在进 行 所述解密计算前， 需预先判断数据访问者的属性集合是否满足访问策略， 若不满足， 则禁止 访问； 若满足， 则执行解密计算； 对于满足访问策略的数据访问者， 所述雾节点基于数据访 问者的属性集合获得一组常量 ， 使得 ， 其中， s为数据拥有者选定 的秘密值， 用于加密明文消息， 为s在访问矩阵M中的第i份共享份额； 雾节点通过数据访 问者的身份标识找到对应的转换密钥， 并对密文进行转换， 即为多个密文组件和密钥组件 进行密集型的配对计算； 其中， 所述联盟链中的背书节点由雾节点组成， 所述雾节点具有存储和计算能力， 用于 为存储能力有限的数据拥有者存储转换密钥， 为计算能力有限的数据访问者完成解密过程 中的密集型运算； 同时使用PBFT对执行结果达成共识， 减少由雾节点潜在的懒惰和不诚实 行为导致错误执行结果的可能性， 降低用户对不完全可信的第三方外包存储和计算的验证 开销。 2.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法， 其特征 在于， 所述数据拥有者对数据加密时， 需计算数据密 文的哈希值， 用于数据解密时验证数据 密文的完整性。 3.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法， 其特征 在于， 所述数据拥有者对待发布的数据进行加密， 具体采用对称密码算法及预设密钥进行 加密。 4.如权利要求1所述的一种基于雾区块链和属性加密的细粒度访问控制方法， 其特征 在于， 所述通过区块链注册为属性权威机构和数据访问者分别生成唯一身份标识， 具体为：权　利　要　求　书 1/2 页 2 CN 114710370 B 2属性权威机构和数据访问者在区块链中进 行注册， 区块链选取一个系统安全参数和一个属 性域， 生成全局公共参数、 属性权威机构全局唯一身份标识， 用户全局唯一身份标识。 5.一种基于 雾区块链和 属性加密的细粒度访问控制系统， 其特 征在于， 包括： 初始化单元， 其用于通过区块链注册为属性权威机构和数据访问者分别生成唯一身份 标识， 初始化每 个属性权威机构的属性 集合， 并生成每 个属性权威机构对应的公钥和私钥； 数据加密单元， 其用于数据拥 有者对待发布的数据进行加密， 并将数据密文进行存储； 所述将数据密 文进行存储， 具体将数据密 文存储于链外 分布式存储系统中， 其中， 数据拥有 者部署智能合约， 将数据密文哈希、 属 性密文及访问策略以存储交易的形式发送到联盟链 中； 属性加密单元， 其用于基于数据拥 有者预设的访问策略对数据加密密钥及存储地址进 行加密， 其中， 所述访问策略为 来自多个属性权威机构的属性构成的集 合； 数据访问单元， 其用于基于所述属性权威机构的公钥和私钥对所述数据访问者提供的 属性集合生成转换密钥和用户解密密钥； 判断所述数据访问者的属性集合是否满足访问策 略， 若满足则基于所述转换密钥将加密后的数据加密密钥及存储地址解密为转换密文； 并 基于所述用户解密密钥对所述转换密文进行最终解密， 获得数据加密密钥及存储地址明 文； 原始数据获取单元， 其用于基于所述存储地址获得数据密文， 并基于数据加密密钥对 所述数据密文 进行解密获得原 始数据； 所述系统使用多属性权威机构为系统中用户分配属性集合， 生成带有身份标识的转换 密钥和用户密钥， 且转换密钥存储在区块链中； 所述基于所述转换密钥将加密后的数据加 密密钥及存储地址解密为转换密文， 具体为： 通过联盟链中的雾节点进 行解密计算， 在进 行 所述解密计算前， 需预先判断数据访问者的属性集合是否满足访问策略， 若不满足， 则禁止 访问； 若满足， 则执行解密计算； 对于满足访问策略的数据访问者， 所述雾节点基于数据访 问者的属性集合获得一组常量 ， 使得 ， 其中， s为数据拥有者选定 的秘密值， 用于加密明文消息， 为s在访问矩阵M中的第i份共享份额； 雾节点通过数据访 问者的身份标识找到对应的转换密钥， 并对密文进行转换， 即为多个密文组件和密钥组件 进行密集型的配对计算； 其中， 所述联盟链中的背书节点由雾节点组成， 所述雾节点具有存储和计算能力， 用于 为存储能力有限的数据拥有着存储转换密钥， 为计算能力有限的数据访问者完成解密过程 中的密集型运算； 同时使用PBFT对执行结果达成共识， 减少由雾节点潜在的懒惰和不诚实 行为导致错误执行结果的可能性， 降低用户对不完全可信的第三方外包存储和计算的验证 开销。 6.一种电子设备， 包括存储器、 处理器及存储在存储器上运行的计算机程序， 其特征在 于， 所述处理器执行所述程序时实现如权利要求1 ‑4任一项所述的一种基于雾区块链和属 性加密的细粒度访问控制方法。 7.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处 理器执行时实现如权利要求 1‑4任一项所述的一种基于雾区块链和属性加密的细粒度访问 控制方法。权　利　要　求　书 2/2 页 3 CN 114710370 B 3