本發明屬于數據安全技術領域，提供了一種基于區塊鏈的支持策略隱藏的解密外包方法及系統，將訪問策略中的屬性分為屬性名和屬性值兩部分，將更為敏感的屬性值嵌入到密文中隱藏訪問策略，從而避免訪問策略顯式存儲造成的用戶隱私泄露缺陷；利用區塊鏈實現對用戶分布式的細粒度訪問控制；將解密過程分為兩層，先由第三方服務器對密文進行轉換，用戶只需要進行一次冪操作即可恢復明文消息，可有效降低用戶的數據解密計算開銷；使用智能合約對返回的第三方外包轉換結果和存儲在區塊鏈中的驗證密文進行自動比對，實現外包計算的公開驗證，既可以驗證了第三方外包計算結果的正確性，又保證了驗證操作的公平性和可信性。

技術領域

本發明屬于數據安全技術領域，尤其涉及一種基于區塊鏈的支持策略隱藏的解密外包方法及系統。

背景技術

數據呈現出爆炸式增長、海量聚集等特點，本地有限的存儲空間難以存放日益增多的海量數據，許多個人和單位選擇將數據外包存儲到存儲和計算資源充沛的云服務提供商中。

目前的外包方法中存在如下技術問題，一方面，由于云服務提供商一般提供的是集中式存儲，容易單點故障，另一方面，未經加密的數據外包存儲到云服務提供商后，數據擁有者就失去對數據的管理權和控制權，可能會帶來數據泄露等安全風險。

訪問控制技術是保障數據安全的有效措施，它可以保證只有授權用戶才能訪問指定數據，防止非授權用戶的非法訪問，訪問控制技術依賴于所使用的密碼算法，傳統加密方式如公鑰加密體制（Public Key Cryptosystem）、IBE（identity-based encryption）等只能實現一對一的粗粒度訪問控制，難以滿足實際應用需求。

由于現實應用中大部分用戶的計算能力有限，用戶一般難以獨立完成計算密集型操作。傳統基于屬性的加密算法（Attribute-Based Encryption，ABE）、基于密文策略的屬性加密（Ciphertext-Policy ABE,CP-ABE）訪問控制方案一般只考慮保護數據的機密性，而未考慮用戶的隱私泄露問題，通常只將數據進行加密，且訪問策略與密文一起顯式地存儲在云端，由于訪問策略中包含授權用戶的特定屬性，顯式存儲會暴露數據擁有者和授權用戶的隱私信息。目前在大部分基于CP-ABE的訪問控制方案中，密文和訪問策略都存儲在集中式云服務器中，雖然訪問控制策略由數據擁有者制定，但對用戶的訪問控制都由中心化的云服務器執行，存在權力過大和單點故障等缺陷。

發明內容

為了解決上述背景技術中存在的至少一項技術問題，本發明提供一種基于區塊鏈的支持策略隱藏的解密外包方法及系統，其使用了表達靈活的線性訪問結構，能支持任意形式的訪問控制策略，且隱藏了訪問策略，在保護數據機密性的同時保護了用戶的隱私。

為了實現上述目的，本發明采用如下技術方案：

本發明的第一個方面提供一種基于區塊鏈的支持策略隱藏的解密外包方法，包括如下步驟：

屬性權威機構接收用戶端提交的屬性集合并生成對應的屬性密鑰；

數據擁有者采用對稱密鑰將明文加密得到的密文存儲至分布式存儲系統，制定訪問策略，采用訪問策略對對稱密鑰加密得到隱藏的訪問控制策略；

數據擁有者部署智能合約，生成存儲交易，將明文哈希值、密鑰密文和隱藏的訪問控制策略發送至區塊鏈；

數據訪問者部署解密外包合約，將外包轉換密鑰發送給區塊鏈，區塊鏈將外包轉換密鑰和密文發送至云服務器，云服務器采用外包轉換密鑰對密文進行轉換，區塊鏈執行智能合約對服務器返回的解密結果進行驗證，驗證正確，云服務器發送給數據訪問者對轉換密文解密。

本發明的第二個方面提供一種基于區塊鏈的支持策略隱藏的解密外包系統，包括：

屬性權威機構用于接收用戶端提交的屬性集合并生成對應的屬性密鑰；