基于属性加密的区块链隐私数据访问控制方法与流程

技术特征：

1.一种基于属性加密的区块链隐私数据访问控制方法，包括如下步骤：

(1)初始化：

(1a)输入系统安全参数1^λ，生成阶为素数p的第一乘法循环群G₀、第二乘法循环群G₁和有限域Z_p，随机选择第一乘法循环群G₀的生成元g，定义双线性映射e:G₀×G₀→G₁；

(1b)从有限域Z_p中选取N个元素作为系统属性，组成系统属性集合S，按照属性之间的相关性将S中的属性划分到n棵树中，设第i棵树的深度为l_i，定义l＝max{l_i}_i∈[1,n]表示n棵树的最大深度，i∈[1,n]；

(1c)随机选择第一向量U＝(u_θ)_1≤θ≤l和第二向量U′＝(u′_θ′)_{1≤θ′≤n}，其中，u_θ表示属性树的第θ层对应的公开参数，u_θ∈G₀，u′_θ′表示第θ′棵属性树对应的公开参数，u′_θ′∈G₀；定义为有限域Z_p中与p互素的元素集合，在中选择两个大小不同的随机数α和β，计算公开参数Y＝e(g,g)^α，生成系统参数PK和主私钥MK：

PK＝(G₀,g,g^β,Y,U,U′)，

MK＝(α,β)；

(2)身份注册：

(2a)使用者向系统提出注册申请，获取与其真实身份信息对应的身份标识ID及使用者属性集合S_u，并提交给权威中心CA，其中使用者包括普通用户和监管中心，监管中心获取的属性权限高于其管辖范围内普通用户的属性权限，

(2b)权威中心CA验证使用者的身份标识ID及使用者属性集合S_u的正确性，若正确，执行步骤(3)，否则，终止注册；

(3)密钥分发：

(3a)权威中心CA对使用者属性集合S_u中第j个属性a_j，计算其属性私钥d_j、私钥参数D_j和权限参数集合D′_j；

(3b)权威中心CA计算该使用者的私钥SK：

$SK=(D,{\{d_j,D_j,D_j^{\′}\}}_{a_j\∈S_u}),$

其中，D＝g^(α+r)/β是该使用者的私钥SK中的部分密钥；

(3c)权威中心CA将该使用者的私钥SK通过安全信道发送给该使用者秘密保存；

(4)加密交易隐私数据：

(4a)交易方A制定访问控制策略P，并通过线性秘密共享体制LSSS构造访问控制结构(M,ρ)，其中M是c行d列的生成矩阵，ρ是将集合{1,2,…,δ,...,d}中的元素映射到密文策略属性集L中属性的映射，密文策略属性集L是访问控制策略P中所有属性的集合；

(4b)选择随机秘密值生成秘密值s的d个秘密份额{s_δ}_δ∈[1,d]，其中，s_δ是秘密值s的第δ个秘密份额，δ∈[1,d]；

(4c)对于密文策略属性集L中的第j′个属性a_j′，计算其属性密文C_j′和策略参数C′_j；

(4d)交易方A输入要加密的交易明文信息m，生成密文E：

$E=(P,\tilde{C},C,{\{C_{j^{\′}},C_{j^{\′}}^{\′}\}}_{a_{j^{\′}}\∈L}),$

其中，是包含交易明文信息m的部分密文，C＝g^βs是包含秘密值s的部分密文；

(5)上传交易数据：

(5a)交易方A通过安全签名算法Sig对密文E及附加验证信息M′进行签名，将生成的初步签名文件σ_A发给交易方B；

(5b)交易方B收到初步签名文件σ_A，解密其中的密文E，查看交易信息正确无误后，对初步签名文件σ_A进行签名，生成最终签名文件σ_B，并广播至区块链；

(6)执行交易：

(6a)系统在一段时间内选出记账最快最好的记账员F；

(6b)记账员F将包含这段时间内所有交易信息的数据区块在区块链中广播，区块链中每个节点都可以对该数据区块中的交易信息进行验证，如果交易信息真实有效，就将该区块添加到区块链中；

(6c)记账员F使用加法同态算法对交易双方A和B的账户余额进行变更；

(7)访问密文：

(7a)用户或监管中心在查看某条交易信息的具体内容前，首先验证自己的属性集合S_u是否满足访问控制策略P：

若不满足，则无法正确执行解密操作；

若满足，则选出满足访问控制策略P的授权集合S′_u，执行步骤(7b)，其中，

(7b)在授权集合S′_u中选出能覆盖密文策略属性a_j′的使用者属性a_j，其中a_j∈S_u；

(7c)计算使用者属性a_j的解密权限值d′_j和双线性对

(7d)对区块链中交易信息的密文E解密，得到交易明文信息m。

2.根据权利要求1所述的方法，其特征在于，步骤(3a)中计算属性私钥d_j、私钥参数D_j和属性权限参数集合D′_j，按照如下公式计算：

$d_j=g^r{\left(u_i^{\′}{\Π}_{k=1}^h{u_k}^{a_{jk}}\right)}^{r_j}$

$D_j=g^{r_j}$

$D_j^{\′}=\{u_{h+1}^{r_j},u_{h+2}^{r_j},...,u_{l_i}^{r_j}\},$

其中，g是第一乘法循环群G₀的生成元，r是用于抵抗共谋攻击的随机数，u′_i表示第i棵属性树对应的公开参数，h是使用者属性a_j在属性树中的深度，u_k是属性树第k层的公开参数，a_jk是使用者属性a_j的路径R_j＝(a_j0,a_j1…,a_jk,…,a_jh)中第k层的相应属性，k∈[0,h]，r_j是属性随机数，r_j∈Z_p，是属性树第h+1层到第l_i层的公开参数。

3.根据权利要求1所述的方法，其特征在于，步骤(4b)中计算秘密值s的d个秘密份额{s_δ}_δ∈[1,d]，按照如下公式计算：

s_δ＝M_δ·v，

其中，s_δ是与策略属性a_j′对应的秘密值s的第δ个秘密份额，M_δ是生成矩阵M的第δ行，δ∈[1,d]，随机向量v＝(s,v₂,…,v_c)^T，s是随机选择的秘密值，v₂,…,v_c是从有限域Z_p中随机选择的c-1个随机数。

4.根据权利要求1所述的方法，其特征在于，步骤(4c)中计算属性密文C_j′和策略参数C′_j′，按照如下公式计算：

$C_{j^{\′}}={\left(u_{i^{\′}}^{\′}{\Π}_{k^{\′}=1}^{h^{\′}}{u_{k^{\′}}}^{a_{j^{\′}{k}^{\′}}}\right)}^{s_{\mathrm{\δ}}}$

$C_{j^{\′}}^{\′}=g^{s_{\mathrm{\δ}}},$

其中，u′_i′表示第i′棵属性树对应的公开参数，h′是策略属性a_j′在属性树中的深度，u_k′是属性树第k′层的公开参数，a_j′k′是策略属性a_j′的路径R_j′＝(a_j′0,a_j′1,…,a_j′k′,...,a_j′h′)中第k′层的相应属性，k′∈[0,h′]，g是第一乘法循环群G₀的生成元，s_δ是与策略属性a_j′对应的秘密值s的第δ个秘密份额，δ∈[1,d]。

5.根据权利要求1所述的方法，其特征在于，步骤(5a)中的交易方A通过安全签名算法Sig对密文E及附加验证信息M′进行签名，按照如下公式进行：

${\mathrm{\σ}}_A={\mathrm{Sig}}_{s_A}\left(E\right|\left|M^{\′}\right)\left|\right|{\mathrm{ID}}_A,$

其中，σ_A是交易方A签名后的初步签名文件，附加验证信息M′包含了比特币的金额数量和来源信息，s_A是交易方A的签名私钥，||表示级联运算，ID_A是交易方A的身份标识。

6.根据权利要求1所述的方法，其特征在于，步骤(5b)中对初步签名文件σ_A进行签名，按照如下公式进行：

${\mathrm{\σ}}_B={\mathrm{Sig}}_{s_B}\left({\mathrm{\σ}}_A\right)\left|\right|{\mathrm{ID}}_B\left|\right|{\mathrm{ID}}_A,$

其中，σ_B是交易方B生成的最终签名文件，s_B是交易方B的签名私钥，ID_A是交易方A的身份标识，ID_B是交易方B的身份标识，||表示级联运算。

7.根据权利要求1所述的方法，其特征在于，步骤(7b)中在授权集合S_u′中选出能覆盖策略属性a_j′的使用者属性a_j，需同时满足以下条件：#

使用者属性a_j在第i棵属性树中，策略属性a_j′在第i′棵属性树中，二者之间满足：i＝i′；

使用者属性a_j的深度h与策略属性a_j′的深度h′之间满足：h≤h′；

使用者属性a_j的路径R_j＝(a_j0,a_j1,…,a_jk,…,a_jh)与策略属性a_j′的路径R_j′＝(a_j′0,a_j′1,…,a_j′k′,...,a_j′h′)之间满足：当k＝k′时，a_jk＝a_j′k′，其中k∈[0,h]，k′∈[0,h′]。

8.根据权利要求1所述的方法，其特征在于，步骤(7c)中计算解密权限值d′_j和双线性对A_jδ，按如下公式计算：

$d_j^{\′}=d_j\·{\left(u_{h+1}^{r_j}\right)}^{a_{j^{\′},h+1}}{\left(u_{h+2}^{r_j}\right)}^{a_{j^{\′},h+2}}...{\left(u_{h^{\′}}^{r_j}\right)}^{a_{j^{\′}{h}^{\′}}}=g^r{\left(u_i^{\′}{\Π}_{k^{\′}=1}^{h^{\′}}{u_{k^{\′}}}^{a_{j^{\′}{k}^{\′}}}\right)}^{r_j}$

$A_{j\mathrm{\δ}}=e(d_j^{\′},C_{j^{\′}}^{\′})/e(D_j,C_{j^{\′}})=e{(g,g)}^{{\mathrm{rs}}_{\mathrm{\δ}}},$

其中，d_j是属性私钥，是权限参数集合D′_j中的元素，表示使用者属性a_j的权限参数，a_j′,h+1,a_j′,h+2,...,a_j′h′是密文策略属性a_j′的路径R_j′＝(a_j′0,a_j′1,…,a_j′k′,...,a_j′h′)中第h+1层到第h′层的相应属性，r_j是随机数，r_j∈Z_p，C_j′是策略属性a_j′的属性密文，D_j是策略属性a_j′的私钥参数，C′_j′是策略属性a_j′的策略参数，s_δ是与策略属性a_j′对应的秘密值s的第δ个秘密份额。

9.根据权利要求1所述的方法，其特征在于，步骤(7d)中对区块链中交易信息的密文E解密，按如下公式计算：

$m=\frac{\tilde{C}}{e(C,D)\·{\Π}_{\mathrm{\δ}\∈I}{A}_{j\mathrm{\δ}}^{{\mathrm{\λ}}_{\mathrm{\δ}}}},$

其中，m为解密后的交易明文信息，是包含交易明文信息m的部分密文，C是包含秘密值s的部分密文，D是使用者私钥SK中的部分密钥，λ_δ为集合{λ_δ}_δ∈I中第δ个参数，λ_δ∈Z_p，集合{λ_δ}_δ∈I是根据LSSS方案的重构性质得到的参数集合，I＝{δ:ρ(δ)∈S′_u}，ρ(δ)表示用映射ρ将δ映射到密文策略属性集L中的策略属性a_j′。