(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210927429.X (22)申请日 2022.08.03 (71)申请人 北京航空航天大 学 地址 100089 北京市海淀区学院路37号 申请人 云南省科 学技术院　昆明理工大 学 (72)发明人 胡凯　陈回归　冯艳　沈韬　 孔庆雯　高建　李承晴　柏粉花　 刘英莉　 (74)专利代理 机构 郑州晟佳专利代理事务所 (普通合伙) 4120 5 专利代理师 张心龙　符亚飞 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 基于区块链技术和属性加密的数据访问控 制方法 (57)摘要 本发明属于数据安全技术领域， 特别涉及基 于区块链 技术和属性加密的数据访问控制方法， 安全性更高， 包括以下步骤： 数据属主使用对称 秘钥对目标数据进行加密， 生成数据密文， 将其 发送给第三方存储系统， 该系统给数据属主返回 存储地址； 数据属主利用属性加密技术对对称秘 钥和存储地址进行加密， 生 成秘钥密文和存储地 址密文， 并上传区块链系统中； 数据消费者在与 数据属主协商成功之后从区块链系统获取访问 目标数据所需的属性、 存储地址密文和秘钥密 文， 在秘钥生成中心的参与下在本地计算出属性 对应的属性秘钥， 利用其得到对称 秘钥和存储地 址； 利用存储地址获取数据密文， 并在验证数据 密文没被篡改的情况下对数据密文进行解密， 得 到目标数据。 权利要求书2页 说明书10页 附图3页 CN 115296817 A 2022.11.04 CN 115296817 A 1.一种基于区块链技 术和属性加密的数据访问控制方法， 其特 征在于， 包括以下步骤： 数据属主使用对称秘钥对目标数据进行加密， 生成与所述目标数据对应的数据密文， 并将所述数据密 文发送给第三方存储系统进 行存储， 所述第三方存储系统给所述数据属主 返回存储地址； 数据属主利用属性加密技术对所述对称秘钥和存储地址进行加密， 生成与 所述对称秘 钥对应的秘钥密 文和与所述存储地址对应的存储地址密 文， 并将所述秘钥密 文和所述存储 地址密文上传至区块链系统中； 数据消费者在与数据属主协商成功之后， 数据消费者从区块链系统获取访问所述目标 数据所需的属 性、 所述存储地址密文和所述秘钥密文， 并在秘钥生成中心的参与下在本地 计算出属性对应的属性秘钥， 利用所述属性秘钥对所述秘钥 密文和所述存储地址密 文进行 解密， 得到所述对称秘钥和存储地址； 利用所述存储地址从第三方存储系统获取所述数据 密文， 并在 验证所述数据密 文没被篡改的情况下利用所述对称秘钥对所述数据密 文进行解 密， 得到所述目标 数据。 2.根据权利要求1所述的基于区块链技术和属性加密的数据访问控制方法， 其特征在 于， 所述并在秘钥生成中心的参与下在本地计算出属性对应的属性秘钥， 包括： 数据消费者在本地随机选取参数r∈Zp作为秘密共享对象， Zp为模p的整数环， 并选取随 机系数a1,a2,…,at‑1构造一个t ‑1次多项式f(x)， 其中， f(x)＝r+a1x+a2x2+…+at‑1xt‑1； 然后随机选择xi,i＝1,2..t， 计算系数mi＝f(xi)， 并将系数mi,i＝1,2,..t和数据消费 者拥有的属性j∈S分享至 秘钥生成中心， 其中S为数据消费者的属性 集合； 秘钥生成中心为每个属性j随机生成对应的参数rj∈Zp， 并基于系统主秘钥MK和系统公 钥PK生成部分秘钥SK1， 然后返回给 数据消费者， 其中： PK＝(G0,g,h＝gβ,f＝g1/β,e(g,g)α) MK＝( β,gα) 其中， G0为系统初始化选择的双线性群， 素数p为G0的阶， g为群G0的生成元， α和β 初始化 时选择的加密参数； 数据消费在 本地构造重构 函数h(xi)， 计算出h(x1)分享至秘钥生成中心， 委托秘钥生成 中心计算Dj,i， 并将计算结果记录在区块链系统中并返回给 数据消费者， 其中， 数据消费者在本地构造重构函数h(xi)， 并计算子秘钥SK2＝gr/β和子秘钥SK3＝{Dj}， 其 中：权　利　要　求　书 1/2 页 2 CN 115296817 A 2根据拉格朗日插值法得 出 计算得出： SK2＝gr/β 数据消费者在本地将子 秘钥SK1， SK2， SK3进行组合获取完整的秘钥SK： 3.根据权利要求1所述的基于区块链技术和属性加密的数据访问控制方法， 其特征在 于， 所述数据属主利用属性加密技 术对所述对称秘钥和存 储地址进行加密， 包括： 数据属主自定义访问树结构， 并利用属性加密技术将所述访问树结构 嵌入到秘钥密文 和存储地址密文中， 所述访问树结构支持小于操作符， 所述小于操作符的表达方式为： 将目标日期转 化为二进制a1a2a3 …an； 基于a1a2a3 …an生成集合A＝{A1， A2， …， An}， 且集合A中元素Ai的长度为n或者为Ai＝ null， 其中： 对于bindex,i定义如下： 将集合A中的元 素为null值的Ai剔除， 然后使用或操作符将集 合A中的各个元 素连接。 4.根据权利要求3所述的基于区块链技术和属性加密的数据访问控制方法， 其特征在 于， 所述访问树结构还支持大于操作符， 所述大于操作符的表达方式为： 将(目标日期+1)转 化为二进制a1a2a3 …an； 基于二进制a1a2a3 …an生成表达式B＝b1b2b3 …bn， 其中bi定义如下： 5.根据权利要求1所述的基于区块链技术和属性加密的数据访问控制方法， 其特征在 于， 所述第三方存 储系统为 IPFS星际文件系统。权　利　要　求　书 2/2 页 3 CN 115296817 A 3