(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210990925.X (22)申请日 2022.08.18 (71)申请人 华南理工大 学 地址 510640 广东省广州市天河区五山路 381号 申请人 南方电网科 学研究院有限责任公司 (72)发明人 徐玲玲　金祥　徐培明　 (74)专利代理 机构 广州市华学知识产权代理有 限公司 4 4245 专利代理师 李斌 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) G06F 16/901(2019.01) G06F 16/903(2019.01)G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 区块链上基于属性的具有前向和后向隐私 的可搜索加密方法及系统 (57)摘要 本发明公开了一种区块链上基于属性的具 有前向和后 向隐私的可搜索加密方法及系统方 法包括： S1、 生成系统参数SPP并将SPP公布， 生成 私钥dk1和dk2， 为用户生成私钥Ku； S2、 为文档生 成索引密文 集EDB和已更新的映射∑， 并把EDB部 署到区块链上； S3、 数据用户D U进行检索操作时， 使用其私钥Ku对关键字q进行加密， 得到检索陷 门Tra并发送给区块链网络； S4、 根据 EDB[H2(C)] 判断用户是否具有相应的访问权限； 权限检查通 过后， 便根据 EDB[H2(C)]得到相应的状态值； S5、 数据用户接收到结果集MEI后， 使用私钥Ku， 恢复 出对应的明文内容。 本发明能有效对用户的访问 权限进行设置； 同时实现数据的前向隐私和后向 隐私； 并利用区块链， 实现检索的去中心化。 权利要求书5页 说明书16页 附图3页 CN 115412233 A 2022.11.29 CN 115412233 A 1.区块链上基于属性的具有前向和后向隐私的可搜索加密方法， 其特征在于， 包括下 述步骤： S1、 数据拥有者DO根据 安全参数λ， 生成系统参数SPP并将SPP公布， 接着根据SPP生成私 钥dk1和dk2， 并利用公共参数SPP、 私钥dk2和数据使用者即用户的属 性集Su， 为用户生成私 钥Ku， 并通过安全的通道发送给用户DU； S2、 数据拥 有者DO使用其私钥dk1、 数据集合DB＝{OP， ind， W， T}、 公开参数SPP以及一个 映射∑， 为文档生 成索引密文集EDB和已更新的映射∑， 并把EDB部署 到区块链上， 其中OP表 示对数据的操作方式即添加或者删除， ind表示文件索引集， W表示关键字集合， T表示关键 字的访问树 集合； S3、 数据用户D U进行检索操作时， 数据用户使用其私钥Ku对关键字q进行加密， 得到检索 陷门Tra并发送给区块链网络； S4、 区块链网络BP收到数据用户DU 发来的检索陷门Tra之后， BP先根据EDB[Tind]获取得 到相应的访问树T； 接着利用陷门中的Tq以及用户的属性集在访问树上进行计算得到C， 根 据EDB[H2(C)]判断用户是否具有相应的访问权限； 权限检 查通过后， 根据EDB [H2(C)]得到相 应的状态值， 从该状态开始， 向前回溯， 将这之前每次更新的与关键字q相关的加密索引添 加到结果 集MEI中， 最终将M EI返回给 数据用户； S5、 数据用户接收到结果 集MEI后， 使用私钥Ku， 恢复出对应的明文内容。 2.根据权利要求1所述区块链上基于属性的具有前向和后向隐私的可搜索加密方法， 其特征在于， 步骤S1中， 所述数据拥有者DO生成系统参数SPP、 私钥dk1和私钥dk2后， 将系统 参数SPP公开 发布在区块链网络中或广播给所有用户， 所有用户均有访问系统公开参数SPP 的权限； 私钥dk1和私钥dk2保存于数据拥有者DO中， 只有数据拥有者DO具有访问私钥dk1和 私钥dk2的权限。 3.根据权利要求1所述区块链上基于属性的具有前向和后向隐私的可搜索加密方法， 其特征在于， 步骤S1具体为： S11、 数据拥有者DO用群生成器 执行 生成(G1， G2， e， g， q)， 其中， q为素数， G1和G2 为关于q的乘法群， g是G1的生成元， e： G1×G1→G2是一个双线性映射； S12、 数据拥有者DO随机选择多个安全hash函数， 并选择一个伪随机序列生成函数F、 F ‑1， F： {0， 1}λ*{0， 1}λ→{0， 1}λ， F‑1是其逆置换； 将以上安全hash函数、 伪随机序列生成函数 和步骤S11中的参数组合成公开参数SPP＝(G1， G2， e， g， q， H0， H1， H2， H3， H4， h1， h2， h3， h4， F， F ‑1)， 将SPP发布在区块链网络中或广播给系统中所有用户， 其中H0， H1， H2， H3， H4， h1， h2， h3， h4 均表示安全hash函数； S13、 数据拥有者DO初始化一个空的映射∑， 即∑[key]＝value， 该映射由数据拥有者 DO来维护， 用于存 储关键字的状态； S14、 数据拥有者DO定义拉格朗日系数： 其中S表示一个集合， i， j ∈Zq*； S15、 数据拥有者随机选择α， β ∈Zq*， 计算gα， gβ和e(g， g)α， 得到dk1＝(e(g， g)α， gβ)， dk2 ＝( β， gα)；权　利　要　求　书 1/5 页 2 CN 115412233 A 2S16、 数据拥有者随机选择r∈Zq*， 计算 和k3＝gr， 对于用户的属性集Su中 的每个属性ai， 都进行以下计算： 随机选择 然后计算 和 最终用户的私钥 并通过安全 的通道发送给用户DU。 4.根据权利要求1所述区块链上基于属性的具有前向和后向隐私的可搜索加密方法， 其特征在于， 步骤S2中， 所述索引密 文集EDB是指数据拥有者通过对关键字进 行加密后的数 据， 在搜索阶段时， 通过用户提交的访问树索引Tind找到相应的访问树 是对于关键字 wi的访问权限描述， 服务器利用访问树和用户发送的检索令牌计算得到结果， 利用该结果 判断是否有相应的加密 索引， 从而继续检索。 5.根据权利要求1所述区块链上基于属性的具有前向和后向隐私的可搜索加密方法， 其特征在于， 步骤S2具体为： S21、 数据拥有者DO随机 选择版本号v∈Zq*， 计算并公开版本信息 EV＝gv； S22、 数据拥有者对数据集DB中的每个关键字wi进行以下计算， 利用映射∑判断关键字 是否存在， 不存在则对其状态值 进行初始化， 接着利用状态值计算得到键 再将 存储在相应的值 中， 其中 是DB(wi)的大小， DB(wi)是wi对应的文件索引 的集合； S23、 对于DB(wi)中的每个索引 进行以下计算， 首 先对索引进行加密， 公式如下： 然后利用状态值计算另一个键 将加密索引存储在相应的值 中， 其中， S24、 接着数据拥有者随机选择秘密数s∈Zq*， 并计算 s作为属性访问树的根的 秘密值； 令t为 的根节点， 对 中的每个节点x做以下计算， 如 果x是t则随机选择dt＝kt‑ 1次的多项式qt， 并设置qt(0)＝s， 随机设置dt个多项式qt的系数来完成qt的定义； 否则随机 选择dx＝kx‑1次的多项式qx， 并设置qx(0)＝qparent(x)(index(x))； S25、 令X为所有叶子节点的集 合， 对每个叶子节点x做以下计算， 最终得到相应的访问树 S26、 最后计算与用户陷门进行匹配的值 以及访问树的索引Tind 权　利　要　求　书 2/5 页 3 CN 115412233 A 3