本發明公開一種基于區塊鏈的數據搜索細粒度訪問控制方法，包括系統初始化、密鑰生成、加密階段、上傳數據、查詢密文、下載數據和解密數據。本發明將區塊鏈系統部署于霧計算節點，讓霧節點承擔主要計算和存儲任務，本發明還通過密文策略屬性基加密算法的部分加解密計算任務外包給霧節點，以減少用戶端的計算負擔；再次，本發明利用智能合約來實現密文之上的搜索操作，預防了惡意服務器的非法操作，實現了高效、安全且透明可信的可搜索類數據分享功能。

技術領域

本發明屬于信息安全技術領域，具體涉及一種基于區塊鏈的數據搜索細粒度訪問控制方法、系統。

背景技術

隨著云計算的普及，越來越多的人愿意將數據上傳至第三方云平臺進行存儲，以緩解本地的存儲和訪問壓力。通常情況下，服務器會如實按照用戶需求進行數據的存取，但在面對惡意服務器時，數據服務的真實完整性和數據的隱私性保護性就無法得到有效保障。

為了抵抗誠實但好奇的服務器，敏感數據可以先加密再上傳。密鑰策略的屬性加密技術和密文策略的屬性加密技術的應用可以實現數據的加密上傳和細粒度訪問控制，只有滿足相應訪問策略的終端用戶才能獲取密文并解密密文。盡管加密在一定程度上保證了數據的機密性，卻也導致傳統的明文檢索技術無法應用在密文上。可搜索加密技術提出讓終端用戶可以在密文上進行關鍵字搜索，在搜索過程中不會對惡意服務器泄漏任何的信息。

進一步，可搜索加密技術和屬性加密技術的結合可以實現加密數據的搜索和數據的細粒度訪問控制。但是，目前現有密文策略的可搜索加密技術的計算和存儲開銷與訪問策略的復雜度成正比，這讓計算資源有限的終端用戶帶來了很大的局限性。另一方面在惡意服務器場景下，當用戶需要上傳和下載數據時，服務器為了節省資源，會無視用戶的請求或者提供不正確的服務。

發明內容

發明目的：本發明的目的在于解決現有技術中存在的不足，提供一種基于區塊鏈的數據搜索細粒度訪問控制方法，本發明將區塊鏈系統部署于霧計算節點，讓霧節點承擔主要計算和存儲任務，本發明還通過密文策略屬性基加密算法的部分加解密計算任務外包給霧節點，以減少用戶端的計算負擔；再次，本發明利用智能合約來實現密文之上的搜索操作，預防了惡意服務器的非法操作，實現了高效、安全且透明可信的可搜索類數據分享功能。

技術方案：本發明一種基于區塊鏈的數據搜索細粒度訪問控制方法，包括以下步驟：

S1、系統初始化

授權中心TA根據安全參數1^λ和系統屬性集L，輸出系統公鑰PK，主密鑰MSK 和搜索密鑰QK；

S2、密鑰生成

用戶通過非對稱加密算法生成用于申請注冊的公鑰pk_u和私鑰sk_u，并向授權中心TA發送身份屬性集合S和pk_u以請求屬性私鑰；授權中心TA根據用戶身份屬性集合S和系統主密鑰MSK，為用戶生成屬性私鑰skm,ska，并將屬性私鑰skm,ska發送給用戶；skm為屬性主私鑰，ska為屬性副私鑰；此處用戶包括數據擁有者和數據使用者；

S3、加密階段

數據擁有者先使用搜索密鑰QK對關鍵詞集kws_F加密生成關鍵詞密文集Ck_F，然后使用其對稱密鑰fkey將文件F加密生成數據密文Cf_F和相應數據密文的哈希值HCf_F；為了減輕計算負擔，數據擁用者向霧節點FP發送計算訪問策略密文的請求；霧節點FP收到計算請求后，為數據擁有者生成訪問策略密文Cp；數據擁有者接收到訪問策略密文Cp后，對對稱密鑰fkey進行加密生成文件密鑰密文 Cfk_fkey；

S4、上傳數據