本發明提供一種基于屬性加密的區塊鏈數據監管方法及系統，包括：用戶向可信數據處理中心提交用戶標識、存儲數據及用戶屬性；可信數據處理中心通過會話密鑰加密存儲數據得到密文數據，獲取監管策略類型及包含用戶屬性的ABE密文策略；根據不同的ABE密文策略，得到ABE會話密鑰密文及可能存在的門限會話密鑰密文；將密文數據哈希寫入區塊鏈，存儲ABE會話密鑰密文、可能存在的門限會話密鑰密文及監管策略類型至數據存儲中心；監管部門根據上述數據及通過可信數據處理中心獲取的ABE解密私鑰及門限解密方案的一私鑰份額，得到存儲數據。本發明有效兼顧敏感數據的隱私保護，實現細粒度、強制性、非交互式的數據監管，滿足不同數據的監管需求。

技術領域

本發明屬于計算機應用技術領域，尤其涉及一種基于屬性加密的區塊鏈數據監管方法及系統。

背景技術

區塊鏈本質上是一種分布式賬本，作為一種集成了分布式數據存儲、點對點傳輸、共識機制、加密算法等技術的新型應用系統，具有去中心化、集體維護、匿名、不可篡改、不可偽造、可追溯等強大特征。區塊鏈的應用起源于金融領域，隨著區塊鏈技術研究的深入，逐步擴展到企業管理、互聯網治理、政務管理、醫療、軍事、食品安全等諸多領域中，對實現數據的安全防護，形成數據資產，提升數據質量和應用價值具有重要意義。

然而，隨著區塊鏈應用到政府部門、軍事以及各類關系到國計民生的行業與領域，如金融和能源等等，監管成為了區塊鏈得以應用，并大力推廣的必要條件。如果區塊鏈監管缺失，區塊鏈的去中心化、匿名性、隱私保護等安全特性將被惡意用戶利用，進行非法交易、發送敏感數據等非法操作，區塊鏈最終會淪為惡意用戶的保護傘。區塊鏈數據，包括區塊鏈中存儲或處理的數據本身，是區塊鏈中首要監管的對象。通常數據監管是在明文數據上開展的，然而敏感數據以明文形式存在將不利于數據的隱私保護；而傳統的加密方案可保護數據隱私，卻難以開展數據監管，因此，可兼顧數據隱私保護及可靠數據監管的系統和方案設計成為亟待解決的問題。不同的區塊鏈應用中數據的監管需求各不相同，因此區塊鏈數據監管系統與方法應該支持靈活的監管策略設置，并能保證監管的可靠、高效。

為實現細粒度、強制性、非交互式數據監管，本發明采用屬性加密方案(Attribute-based Encryption，ABE)。ABE是一種能夠實現細粒度非交互訪問控制機制的加密技術。據其功能不同，可將ABE分為兩大類密鑰策略的屬性加密方案(Keyword-Policy-ABE，KP-ABE)，其中密鑰與訪問控制策略相關聯，密文與用戶的屬性集合相關聯；而密文策略的屬性加密方案(Ciphertext-Policy-ABE，CP-ABE)，密鑰與用戶的屬性集合相關，密文與訪問策略相關聯。對于這兩種屬性加密方案，當屬性集合滿足訪問控制策略的時候，用戶即能夠正確解密。本發明采用CP-ABE在密文中嵌入監管策略，實現數據監管。

為了提高加密效率，采用密鑰封裝機制(Key Encapsulation Mechanisms，KEM)/數據封裝機制(Data Encapsulation Mechanism，DEM)混合加密，即使用ABE方案加密會話密鑰，使用用會話密鑰作為DEM部分的私鑰加密數據本身。同樣，僅具有合法屬性的用戶才可解密KEM部門，獲取封裝的會話密鑰，再使用會話密鑰解密DEM部分獲得原始數據。

為支持多方聯合監管，提升監管的靈活性，本發明采用分布式RSA方案(distributed RSA，dRSA)。RSA是一種發展成熟，使用廣泛的公鑰加密方案，分布式RSA是RSA方案的擴展，允許可信第三方將解密私鑰劃分為若干弱私鑰，分別分配給多個實體，解密數據時，需要所有實體聯合才能完成解密，獲得原始數據。這一方案在多用戶場景中有廣泛的用途。

本發明以屬性加密、分布式RSA加密技術為核心，解決區塊鏈中數據隱私保護和監管的問題。相比之前的技術，本發明能有效實現區塊鏈敏感數據的隱私保護，并支持靈活可靠的數據監管，支持細粒度、強制性、非交互式的數據監管策略，以及多方聯合監管，可滿足不同區塊鏈應用的數據監管需求。

發明內容