基于区块链的个人敏感数据安全存储及共享方法

针对云环境中的数据安全共享困难、隐私信息易泄露和加解密开销大的问题，本文提出一种基于区块链的个人敏感数据安全存储及共享方法。方案利用以太坊区块链平台搭建实验环境，采用改进的国密SM2数字签名算法对敏感数据加以保护，部署在区块链上的智能合约能够执行自动化的属性判断，实现了中心化的访问控制机制。用户的访问记录都保存在区块链中，保证可溯源追责。实验分析表明，该方案在数据安全性、隐私保护等方面有明显的优势。

在信息化时代，人们常常需要使用到类似出生证明、健康证明、财产契约和学术成绩单等的官方文件， 此类数据由一些公认的可信机构发布， 或在研究机构中贡献研究价值， 例如购物记录、医疗数据等；或由所有者在与其他人或组织的交涉中使用，以证明某些陈述的真实性，例如健康证明、财产证明、学籍信息、征信数据等。这类数据往往包含有用户隐私信息，而用户习惯于将个人数据存储在半可信的云服务商中，若将数据明文存储在云上，用户无法控制云平台上对数据的使用，易于造成了个人隐私数据的泄露风险；若将数据密文存储在云上，数据加解密计算耗费巨大，难以实现高效共享。为了使这类数据能更好地在研究或特定场景下发挥其价值，加密数据云存储的访问控制是非常重要的，因此迫切需要一个既能有效保护用户隐私信息，又能高效实现数据共享的方案。

自2008 年比特币概念被中本聪提出，经过十多年的发展，作为比特币底层技术的区块链也逐渐被学者探索其在数字货币领域外的应用。尤其在信息安全领域，区块链以其去中心化、公开透明、不可篡改等特性，获得诸多学者在解决隐私数据安全共享问题上的青睐。ZYSKIND [1]等提出基于一个去中心化用户数据管理框架，但该系统要求数据所有者与数据访问者必须同时在线；Jemel [2]等提出了一种具有时间维度的分布式访问控制模型，该方案结合区块链技术与CP-ABE 算法来验证用户的访问权限，但该方案无法满足复杂的访问需求；Li [3]等提出了基于区块链的分布式基于多授权CP-ABE 和DMA-ABS 的数据存储与共享系统，数据所有者可以安全地与多个满足策略的用户共享数据，不需要单独授予单独的权限， 但数据所有者无法动态更改数据访问策略；SHU [4]等基于多门限哈希函数构造了一种MCPS 无证书聚合签名方案，实现基于区块链的医疗信息的安全存储和共享，具有较高的计算效率和存储效率，但方案中没有实现患者对医疗数据的自主控制权；Gao [5]等提出了一种优化的基于区块链的策略隐藏方案OHP-CP-ABE，并使用乘法同态ElGamal 密码系统来确保授权验证期间的属性隐私，保证了策略和属性隐私的同时实现可信访问，但双线性映射和指数运算的频繁运用使得加重算法计算开销；Niu [6]等采用可搜索加密技术实现区块链上的安全搜索，利用区块链的不可否认性确保关键字和密文的安全性，验证算法保证了云上数据的完整性，但该方案的属性撤销由权威中心负责，用户对数据未能实现完全控制；文献[7]提出了基于以太坊平台的访问控制方案，方案设计了访问控制、判断和注册三大合约，访问者的属性判断、授权以及记录存档都由智能合约自动化完成。文献[8]实现了分布式物联网设备配置文件的管理，智能合约记录物联网设备的访问控制操作，配置文件和访问数据形成共识后上传到私有链中，私链的运用保证了较高的隐私性，但中心化程度也相对较高。