(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210926368.5 (22)申请日 2022.08.03 (71)申请人 南京邮电大 学 地址 210023 江苏省南京市栖霞区文苑路9 号 (72)发明人 陈丹伟　刘萌　马圣东　 (74)专利代理 机构 北京睿智保诚专利代理事务 所(普通合伙) 11732 专利代理师 杜娟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/14(2006.01) H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 67/1097(2022.01) (54)发明名称 一种基于区块链可追溯的个人隐私保护方 法 (57)摘要 本发明公开了一种基于区块链可追溯 的个 人隐私保护方法， 涉及隐私保护技术领域， 具体 内容包括： 系统初始化、 密钥生成、 数据加密、 数 据解密、 策略更新、 解密密钥验证、 路径追踪； 本 发明适用于区块链上的隐私保护和细粒度数据 共享， 在计算和存储成本方面大大提高了原始可 追溯CP‑ABE方案的效率； 本发明不仅能够 跟踪泄 露私钥的恶意用户， 还可以防止密钥的非法共享 和滥用； 此外， 本发明允许更新访问控制策略， 以 便数据所有者可以灵活地 修改访问控制策略。 权利要求书3页 说明书8页 附图2页 CN 115314277 A 2022.11.08 CN 115314277 A 1.一种基于区块链可追溯的个人隐私保护方法， 其特 征在于， 具体步骤为： 系统初始化： 初始化Shamir的阈值共享方案I NSt， n得到系统公钥PK和主私钥MSK； 数据加密： 将消息m采用第一对称密钥k进行加密， 生成消息密文CTm， 将消息密文CTm和 LSSS矩阵访问策略(M， ρ )上传至IPFS存储服务器进行存储； 根据LSSS矩阵访问策略(M， ρ )和 第一对称密钥k生成密文CT， 上传至区块链进行存储； 从素群属性集映射组合 中择一随机 数s， 根据第二对称密钥k'生成随机密文Enck'(s)； 密钥生成： 根据系统公钥PK、 主私钥MSK、 用户身份ID、 用户属性集 生成解密密钥 数据解密： 通过对密 文CT、 系统公钥PK、 解密密钥 进行计算获得第一对称密钥k， 根据第一对称密钥k 解密消息密文CTm获得消息m； 策略更新： 将LSSS矩阵访问策略(M， ρ )更新为待更新访问策略(M'， ρ')， 并通过第二对 称密钥k'解密随机密文Enck'(s)获得随机数s； 根据待更新访问策略(M'， ρ')、 随机数s、 RSA 签名 σ 获得待更新密文CT'； 策略验证： 通过RSA签名验证算法验证RSA签名σ 的正确性， 将待更新密文CT'与密文CT 进行对比， 判断是否成立； 若成立， 获得更新密文CT ”； 根据更新密文CT ”生成更新的策略块 A'； 解密密钥 验证： 根据系统公钥PK、 系统主私钥MSK和解密密钥 对解密密钥 进行形式验证， 根据验证结果， 执 行对应操作； 路径追踪： 若验证成功， 根据解密 密钥 提取用户身份ID。 2.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 系 统公钥PK的表达式为： 式中， g， w均为素群 的随机数； u， a， b均为素群属性集映射组合 的随机数； 和 分别为系统运行群生成算法获得的双线性对e和p阶素群； H为哈希函数。 3.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 主 私钥MSK的表达式为： MSK＝{α， a， b， u， k1， k2}； 式中， α， u， a， b均为素群属性 集映射组合 的随机数； k1、 k2均为概率加密算法的密钥。 4.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 解 密密钥的表达式为： 式中， K、 K'、 L、 SK均为 解密密钥参数； 为用户属性 集中任一属性的解密 密钥。 5.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 解 密过程具体为： 获取密文CT；权　利　要　求　书 1/3 页 2 CN 115314277 A 2根据待读取用户的访问策略计算矩阵的行集； 判断行集中的参数属性是否满足密文CT的LSSS矩阵访问策略(M， ρ )， 若否， 输出 ⊥； 若 是， 获得第一对称密钥k； 根据第一对称密钥k 解密消息密文CTm获得消息m。 6.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 解 密过程表达式为： 式中， e(·)表示双线性映射； K、 K ′、 L、 SK均为解密密钥参数； C为第一对称密钥k加密后 的密文； Ci、 C1、 C2均为密钥密文CT1的密文参 数； g， w均为素群 的随机数； σ 为RSA签名； c， α， u， a， b， h均为素群属性集映射组合 的随机数； s为随机数； ωi为常数； H为哈希函数； 为用户属性 集中任一属性的解密 密钥； attri表示用户属性 集中的任一个属性。 7.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 待 更新密文CT ′的表达式为： CT′＝{C， (M′， ρ′)， C′0， C′1， C′2， {C′i}i∈[l]}； 式中， (M′， ρ′)为待更新访问策略； C为第一对称密钥k加密后的密文； C ′0、 C′1、 C′2、 C′i均 为密文参数； l 为M的列数。 8.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 更 新密文CT ″的表达式为： CT″＝{C， C0， C1， C2， {C′i}i∈[l]}； 式中， C为第一对称密钥k加密后的密文； C ′i、 C0、 C1、 C2均为密钥密文CT1的密文参数。 9.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 解 密密钥 验证的条件为： e(SK， gb)＝e(wawK′， gb)e(H(0)| |1||1||1)， L)； e(K， gagK′)＝e(g， g)αe(gb， wa+K′)； 式中， K、 K ′、 L、 SK均为解密密钥参数； e( ·)表示双线性映射； α， a， b均为素群属性集映 射组合 的随机数； g， w均为素群 的随机数； H为哈希函数。 10.根据权利要求1所述的一种基于区块链可追溯的个人隐私保护方法， 其特征在于， 路径追踪的具体步骤为： 从解密密钥 中获取K′， 求得 判断(x′， y′)是否属于{(x1， y1)， (x2， y2)， ...(xt‑1， yt‑1)}， 若是， 根据 获 得用户身份ID； 若否， 结合点(x1， y1)， (x2， y2)， ...(xt‑1， yt‑1)和(x′， y′)通过拉格朗日插值 公式恢复I NSt‑1， n的秘密值a*；权　利　要　求　书 2/3 页 3 CN 115314277 A 3