一种基于区块链和CP-ABE的访问控制方法

本发明涉及短波通信领域，尤其涉及一种基于区块链和cp-abe的访问控制方法。

背景技术：

1、物联网和云计算的快速发展使得可穿戴设备能实时采集和分析人体健康数据，包括：体温、血氧、脉搏等，通过共享以上数据，结合医院检查记录，能为医生诊断提供更准确的依据，这是云健康的一种典型应用场景。尽管云计算技术为用户健康数据在第三方服务器上存储计算提供了一种低成本的解决方案,但是如何确保这些健康数据易于分享和不被泄露,依然是一个棘手的问题，目前通常采用访问控制策略来保护数据安全。

2、ciphertext-policy attribute-based encryption(cp-abe)是一种被云计算广泛采用的一对多访问控制策略。尽管有大量研究人员进行改进，但是其仍然存在一些问题：单点失效,比如属性服务器宕机或者属性机构恶意泄露用户私钥。信息泄露,比如访问策略：“(doctor-id:1234)and(department:infectious diseases)and(all-data)”，一个恶意的用户可以轻易的推测出该病人得了传染病，显然，这泄露了病人的隐私。访问策略更新复杂甚至缺失，比如当医疗研究机构想获取病人心率数据和手环采集的血氧数据，病人可能无法及时将上面的访问策略更改为：“(disease research institutes)and(bloodoxygen)and(heart rate)”,另外当访问策略对应的加密文件存在层次关系，比如医疗数据文件包含了病人姓名，也包含了blood oxygen data和heart rate data，显然，病人希望其主治医生能访问到所有数据，而研究机构只能访问到检查记录，现有的cp-abe，需要对每个文件分别加密，这将产生较大的计算与存储开销。

3、区块链技术的核心优势是公开可验证，能够通过运用数字签名、时间戳、分布式共识等手段，确保医疗数据合规使用，从而为解决单点失效和属性机构泄露私钥、数据存储低效和不安全等问题提供支持。虽然区块链的这些特性适合解决传统cp-abe单一属性授权机构固有的问题，但是区块链存在共识计算量大，延迟高的问题，比如pow,pos等，而raft共识机制虽然效率大幅提升，但当存在大量被选举人时，选主算法无法快速收敛，也不适用于多节点共识。另外区块链存在扩容问题，基于哈希寻址的ipfs存储技术能够减轻区块链节点存储负荷，也便于检索加密信息。

4、hidden policy cp-abe(hp-cp-abe)的提出改善了用户隐私泄露的问题。现有技术提出了一种抵抗属性值猜测攻击attribute value guessing attacks，(avga)，并且支持外包解密测试算法来协助用户解密密文，然而该方案不支持属性撤销和密文搜索。

5、综上所述，现有的方案，存在以下4个主要的显著问题：

6、1、多节点属性密钥分发的追溯问题，当存在恶意授权节点时，无法追溯授权者的身份。

7、2、属性泄露问题：传统cpabe方案会泄露用户属性，比如访问策略：比如访问策略：“(doctor-id:1234)and(department:infectious diseases)and(all-data)”，一个恶意的用户可以轻易的推测出该病人得了传染病，显然，这泄露了病人的隐私。

8、3、访问策略更新复杂甚至缺失：比如当医疗研究机构想获取病人心率数据和手环采集的血氧数据，病人可能无法及时将上面的访问策略更改为：“(disease researchinstitutes)and(blood oxygen)and(heart rate)”,另外当访问策略对应的加密文件存在层次关系，比如医疗数据文件包含了病人姓名，也包含了blood oxygen data和heart ratedata，显然，病人希望其主治医生能访问到所有数据，而研究机构只能访问到检查记录，现有的cp-abe，需要对每个文件分别加密，这将产生较大的计算与存储开销。

9、4、区块链采用的raft共识机制选主速率慢，共识效率低，其共识机制也难以对恶意属性授权节点进行追责。

10、因此，有必要提供一种基于区块链和cp-abe的访问控制方法解决上述技术问题。

技术实现思路

1、本发明提供一种基于区块链和cp-abe的访问控制方法，解决了为了克服了现有技术中的短波全频段任意频点接收困难而且硬件资源所需较大缺点，解决现有技术中存在的任意频点接收以及硬件资源的问题。

2、为解决上述技术问题，本发明提供的一种基于区块链和cp-abe的访问控制方法，包括以下步骤：

3、一种基于区块链和cp-abe的访问控制方法，其特征在于，s1，系统建立；s2，数据加密存储；s3，数据查询；s4，数据访问；s5，权限更新。

4、优选的，在步骤s1中，包括如下步骤：

5、s11，用户注册：所有用户包括各属性授权机构aai、用户(do和da)以及ps和ss均注册成为区块链的用户，产生自己的密钥对(pkaaiskaai)、(pkdoi，skdoi)、(pkdai，skdai)、(pkps，skps)、(pkss，skss)，并为每一个合法的属性权威aai和用户分发一个身份aid和uid；

6、s12，属性授权机构初始化：该过程由初始权威aai执行；系统建立函数输入系统中的属性集合as和安全参数k，输出系统主密钥mk和系统公钥pk。

7、优选的，在步骤s2中，包括如下步骤：

8、s21，系统根据访问结构a生成密文ck；

9、s22，数据拥有者将密文ck发送给代理服务器ps，ps将密文ck发送给ipfs，ipfs将存储地址返回给ss搜索服务器；或者ps使用重加密密钥rk和同态加密算法和对ck、cm进行重加密；

10、s23，ipfs将存储地址返回给ps代理服务器，ps将地址信息经改进的raft协议共识后，上传区块链存储。

11、优选的，在步骤s3中，包括如下步骤：

12、s31，数据拥有者生成密文搜索索引，供数据访问者查询，索引indexw生成后分别发送给ipfs和ss；

13、s32，数据访问者da查询某个用户数据，生成搜索陷门tw，并将tw发送给ss；

14、s33，搜索服务器ss进行关键词匹配，匹配成功返回ck的存储地址给da；

15、s34，da使用返回的地址addrs查询区块链，进行地址匹配，如匹配成功，进入下一步，进行数据访问。

16、优选的，在步骤s4中，包括如下步骤：

17、s41，获取属性私钥skdai阶段，数据访问者向aai申请属性密钥钥skdai；用户向初始权威aai，发送用户属性集合uida，初始权威aai为用户生成属性密钥skdai经改进的raft协议共识后，通过区块链网络发送给用户；

18、s42，解密阶段，数据访问者使用属性密钥skdai解密对称密钥密文ck，输出对称密钥k，并解密密文cm获得明文数据md；

19、优选的，在步骤s5中，包括如下步骤：

20、s51，ck、cm密文转换；

21、s52，代理重加密密钥生成；

22、s53，属性私钥更新；

23、s54，代理重加密。

24、与相关技术相比较，本发明提供的一种基于区块链和cp-abe的访问控制方法具有如下有益效果：

25、1、利用区块链记录属性私钥的分发记录并设计信用评分方法促进参与方共享数据，保证私钥分发记录可追溯，同时提升raft投票选取属性授权机构(attributeauthority，aa)领导人的速度，提升共识效率，同时信用评分机制也实现了对恶意授权节点的追责。

26、2、该方案使用区块链来记录属性密钥的分发，使用ipfs来记录患者信息的存储地址，在解决区块链容量不足的同时，实现了密钥分发的可追溯性。

27、3在策略隐藏的前提下，首次设计了结构化数据&用户属性权限树，从用户、用户属性、文件结构三个维度支持细粒度的访问控制，以增强隐私。对应的n个文件的计算复杂度为o(n)*对称加密代价+o(1)*非对称加密代价，而非文件树结构的加密代价为o(n)*非对称加密代价，显著降低了计算复杂度。

28、4、为了更新用户的属性，我们首次实现了对称密钥(用于加密单个文件)的更新和属性私钥(用于加密对称密钥)的更新，以及属性密文的同步更新。使用了pre(代理重加密技术)用于更新ipfs上文件的密文，其他方案都不能实现密钥更新。