基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型

在大數(shù)據(jù)時代背景下，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，不同的企業(yè)或者部門之間數(shù)據(jù)共享成了一個迫切需

求。在數(shù)據(jù)共享領(lǐng)域，研究人員針對數(shù)據(jù)的隱私和

安全性，從醫(yī)療、物聯(lián)網(wǎng)、云存儲等應(yīng)用場景進(jìn)行

了一系列研究。文獻(xiàn)

[1]

在2007年提出一種更加靈

活可實現(xiàn)的密文策略屬性基加密方案（CiphertextPolicyAttribute-BasedEncryption，CP-ABE），其

中由屬性集作為因子關(guān)聯(lián)密鑰，由訪問策略結(jié)構(gòu)樹作為因子關(guān)聯(lián)密文。

驗證了基于屬性加密的多關(guān)鍵字搜索方案中外包私鑰的正確性。

提出了帶權(quán)重的屬性基加密方案，通過權(quán)重訪問策略樹實現(xiàn)訪問控制，從而降低密文的計算

和存儲開銷。提出了一種高效的基于非對稱素數(shù)階群而構(gòu)建的基于屬性基加密（Attribute-BasedEncryption，ABE）

方案，

減少樹形訪問結(jié)構(gòu)

中雙線性對的運(yùn)算，同時降低數(shù)據(jù)屬主端的加密和數(shù)據(jù)消費(fèi)者端的解密開銷。通過優(yōu)化同態(tài)加密算法的方案，建立加密關(guān)鍵字索引方法實

現(xiàn)數(shù)據(jù)的隱私保護(hù)和檢索。提出了基于可搜索加密和同態(tài)加密的匹配方法，解決物聯(lián)網(wǎng)云中數(shù)據(jù)的隱私泄露。提出將數(shù)據(jù)分類

理，如用戶的個人隱私相關(guān)數(shù)據(jù)放入用戶鏈中，需

要特殊處理的交易記錄以及分享的病例和診療方法放入外部鏈中。通過這個方法實現(xiàn)數(shù)據(jù)的共享，并通過代理重加密保證數(shù)據(jù)的安全可靠。提出使用可搜索加密技術(shù)（PublicKeySearchableEncryption，PEKS）

進(jìn)行關(guān)鍵字的加密

和搜索，CP-ABE機(jī)制和數(shù)字簽名技術(shù)實現(xiàn)數(shù)據(jù)的細(xì)粒度訪問控制和完整性保護(hù)。提出了一種基于區(qū)塊鏈的電子病例數(shù)據(jù)搜索方案，基于屬性加密機(jī)制實現(xiàn)了云數(shù)據(jù)的細(xì)粒度訪問控制，并利用屬性簽名

技術(shù)驗證了電子病例數(shù)據(jù)源的真實性。提

出了一種面向電子健康記錄的基于密文策略的權(quán)重屬性加密方案，通過分別計算屬性值和權(quán)重屬性值的CP-ABE加解密，實現(xiàn)數(shù)據(jù)的細(xì)粒度訪問控制。然而以上數(shù)據(jù)共享模型或者方案中，存在如下

問題：（1）應(yīng)用軟件惡意查詢等情況下，無法實現(xiàn)

阻攔；（2）數(shù)據(jù)搜索以關(guān)鍵字為索引，無法實現(xiàn)數(shù)

據(jù)預(yù)覽摘要，必須下載數(shù)據(jù)文件，造成寬度開銷；（3）不同企業(yè)或者單位，相同級別權(quán)限不一

致的數(shù)據(jù)訪問控制問題。本文針對以上問題，提出一種基于區(qū)塊鏈的數(shù)

據(jù)共享訪問控制模型，通過利用聯(lián)盟鏈的鏈下計算鏈上存儲方式實現(xiàn)數(shù)據(jù)的共享和可追溯，通過基于權(quán)重屬性基的加密機(jī)制保證了數(shù)據(jù)的機(jī)密性和細(xì)粒

度訪問控制。１.

預(yù)備知識1.1

訪問結(jié)構(gòu)1.1.1

定義1：訪問結(jié)構(gòu)定義訪問結(jié)構(gòu)

[11]：設(shè)

為參與者集合，

?B,C,若B?C且B?C

,則C∈A，稱集合

是單調(diào)的。一個訪問結(jié)構(gòu)A是一個非空集合

的子集，

即。

在A中的集合稱為授權(quán)集合，不在A中的集合稱為非授權(quán)集合。1.1.2

定義2：權(quán)重門限訪問結(jié)構(gòu)定義權(quán)重門限訪問結(jié)構(gòu)

：設(shè)U為全體屬性的集合，令

ω

∶U→N為一個權(quán)重函數(shù),T∈N為門限值，

定義，則為N的權(quán)重門限訪問結(jié)構(gòu)。1.1.3

定義3：屬性分割算法屬性分割算法的輸入是一個屬性集合，系統(tǒng)根據(jù)屬性的重要性將屬性分割，

并賦予不同的權(quán)值。對于屬性集中的每個屬性允許系統(tǒng)

中的最大權(quán)值為，權(quán)值為整數(shù)。將屬性集中

的每個屬性

依據(jù)權(quán)重進(jìn)行分割，分割后屬性

對

應(yīng)于

，

設(shè)定分割后的最小份額為1，

其構(gòu)成的集合稱為屬性權(quán)重分割集。1.2

同態(tài)加密算法Paillier等人提出了新的同態(tài)加密算法——Paillier公鑰加密。該算法具有同態(tài)加法的性質(zhì)，并在隨機(jī)語言模型下具有抵抗適應(yīng)性攻擊的特點。算法流程如下文所述。（1）密鑰生成。首先隨機(jī)選取兩個大素數(shù)p和q，這兩個大素數(shù)必須滿足條件；

其

次

計

算n=pq和

；

最后再次隨機(jī)選擇整數(shù)，必須滿足條件

式，其中L可以表示為式。那么可得公鑰就是

，私鑰就是。（2）加密算法。對于一個給定的明文，首先

隨機(jī)選擇一個整數(shù)，公鑰為

，那么加密

結(jié)果為。（3）解密算法。對于一個給定的密文，

使用用戶私鑰

，解密結(jié)果為。1.3

區(qū)塊鏈技術(shù)區(qū)塊鏈技術(shù)是一種去中心化、去信任化的分布式數(shù)據(jù)庫技術(shù)方案。采用如圖1所示的Merkle樹的結(jié)構(gòu)，按照區(qū)塊生成的時間順序鏈接一起，并通過區(qū)塊頭的哈希值保證區(qū)塊的完整性。圖

1Merkle

樹區(qū)塊鏈的智能合約是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機(jī)協(xié)議，主要包括代碼、合約值、合約狀態(tài)3個部分，位于區(qū)塊鏈的中間協(xié)議層。智能合約的工作原理如圖2所示，通過判斷合約的狀態(tài)值是否滿足預(yù)定義的一系列的場景和條

件等，如果得到滿足就及時地響應(yīng)相關(guān)動作。圖

2智能合約２.數(shù)據(jù)共享訪問控制模型基于區(qū)塊鏈的數(shù)據(jù)訪問控制模型如圖3所示，涉及可信中心（TrustCentre，TC）、數(shù)據(jù)擁有者（DataOwner，DO）、

數(shù)

據(jù)請求

者（DataRequestUser，

DRU）

、聯(lián)盟鏈（ConsortiumBlackchain，CB）

、云

儲存服務(wù)商（CloudStorageServiceProvider，CSP）5個主體。為了加強(qiáng)數(shù)據(jù)的監(jiān)管和可追溯性，保證接入節(jié)點的安全性本模型采用半中心化的CB。此外，本模型采用全同態(tài)加密算法將數(shù)據(jù)摘要和關(guān)鍵字進(jìn)行加密保護(hù)；

利用CP-ABE機(jī)制實現(xiàn)原始文件的細(xì)粒度訪問控制和機(jī)密性要求；通過簽名值對比判定數(shù)據(jù)的一致性。在數(shù)據(jù)的檢索方面，首先通過智能合約機(jī)制優(yōu)先過濾一部分非法訪問，其次將關(guān)鍵字索引密文引入ＣＢ中實現(xiàn)快速檢索。圖３數(shù)據(jù)共享訪問控制模型(1)TC負(fù)責(zé)向首次進(jìn)入CB的每個使用者頒發(fā)數(shù)字證書。每個數(shù)據(jù)使用者向TC提交相關(guān)注冊信息（身份信息、單位、職務(wù)、密級等）

，只

有TC身份認(rèn)證授權(quán)后才能獲得公私鑰以及屬性私

鑰和數(shù)字證書。（2）DO主要將數(shù)據(jù)共享給其他DRU。主要通過制定智能合約規(guī)則和訪問控制策略結(jié)構(gòu)樹實現(xiàn)

數(shù)據(jù)的細(xì)粒度訪問控制和機(jī)密性，將數(shù)據(jù)信息摘要提取并加密模糊處理實現(xiàn)數(shù)據(jù)可預(yù)覽。（3）DRU若要獲取數(shù)據(jù)，則需滿足相應(yīng)權(quán)限才能訪問數(shù)據(jù)。（4）CB節(jié)點由不同部門單位、同部門不同級別單位、其他研究性機(jī)構(gòu)等構(gòu)成，并共同維護(hù)區(qū)塊鏈。CB存儲數(shù)據(jù)摘要密文和元數(shù)據(jù)，以防止數(shù)據(jù)

被惡意篡改。（5）CSP提供存儲加密數(shù)據(jù)功能。３.方案描述基于區(qū)塊鏈的數(shù)據(jù)訪問控制模型，主要分為系

統(tǒng)初始化階段、數(shù)據(jù)存儲階段和數(shù)據(jù)搜索與共享階

段3個階段。3.1

系統(tǒng)初始化階段本階段主要包含CP-AEB生成密鑰和Paillier算法生成密鑰。CP-AEB生成密鑰包含Setup和keyGen兩個步驟。（1）Setup步

驟。TC輸

入

安

全

參數(shù)λ

和

屬

性

集A，

輸

出

公

開

參

數(shù)PK和

主

密

鑰。輸入安全參數(shù)，設(shè)p是一大素數(shù)，定義是

階數(shù)為

的兩個乘法循環(huán)群，令為群G0生成元，定義雙線性映

射。安全參數(shù)

λ決定群的大小。TC隨機(jī)選擇兩個隨機(jī)數(shù)，計算

和

，生成公開參數(shù)

和主密鑰。（2）KeyGen步

驟。表

示

系

統(tǒng)中用戶的屬性集合；A*

是屬性A對應(yīng)的權(quán)重

屬性分割集，，b是屬性A*

對應(yīng)的

權(quán)重屬性分割集的和

表示系統(tǒng)中用戶的屬性所有參數(shù)集合。TC輸入DRU以用戶的屬性所有參數(shù)集合A'

和主密鑰MK,輸

出

屬

性

權(quán)

重

私

鑰。

系

統(tǒng)

隨

機(jī)選取，并為A'

每個屬性

選擇一個隨機(jī)值，則屬性權(quán)重私鑰為Paillier算法生成密鑰，，

其中。3.2

數(shù)據(jù)存儲階段DO分別計算出元數(shù)據(jù)（存儲索引密文CT，數(shù)

據(jù)關(guān)鍵字和摘要密文CH，原數(shù)據(jù)哈希值），

并

將其存入CB中，

實現(xiàn)鏈下計算和鏈上存儲。具體

的計算步驟如下：（1）從TC中獲取對稱密鑰key，將明文數(shù)據(jù)M對稱加密得到密文

。將上傳至云存儲服務(wù)器，獲得存儲位置索引loc。（2）構(gòu)造訪問策略

T，如圖

4

所示，先通過預(yù)處理，將每個屬性權(quán)重相加，得到權(quán)重值的和b作為葉子節(jié)點，從而減少CP-ABE計算的開銷。圖

4

訪問策略權(quán)限樹（3）通過CP-ABE，

將訪問策略T、存儲位

置索引loc、對稱密鑰key，通過加密算法得到密

文，設(shè)根節(jié)點滿足

是屬性所有參數(shù)集合，則：（4）選隨機(jī)數(shù)，計算關(guān)鍵子和數(shù)據(jù)摘

要的同態(tài)加密密文。（5）計算元數(shù)據(jù)的哈希值（6）將元數(shù)據(jù)格式存入CB中。3.3

數(shù)據(jù)搜索與共享階段DRU訪問數(shù)據(jù)的流程如圖5所示，先通過智

能合約機(jī)制去驗證用戶的身份密級和文件的保護(hù)期

限；

如果滿足的情況下，再查詢CB的數(shù)據(jù)關(guān)鍵字

和摘要信息；并通過CP-ABE驗證訪問策略結(jié)構(gòu)樹驗證通過后解密得到數(shù)據(jù)的索引地址和對稱密鑰；

從云服務(wù)器下載密文數(shù)據(jù)，使用對稱密鑰解密得到明文，并對比哈希值確保數(shù)據(jù)的完整性。具體的步驟如下文所述。圖

5數(shù)據(jù)搜索與共享訪問流程（1）DO設(shè)定智能合約規(guī)則，設(shè)置數(shù)據(jù)的密級

和保密期限。DRU調(diào)用智能合約驗證自身密級和數(shù)據(jù)的密級一致性，

并針對數(shù)據(jù)的保密期限進(jìn)行審查，

符合智能合約規(guī)定的密級和保密期限執(zhí)行步驟（2），

否則直接拒絕訪問。設(shè)定智能合約的定時輪詢檢測功能，如果文件期限有問題，則直接提醒數(shù)據(jù)的擁

有者，

針對CB元數(shù)據(jù)進(jìn)行更改重新上鏈。具體的算法偽代碼如下文所述。（2）DRU在CB查詢中關(guān)鍵字或摘要的密文，獲取數(shù)據(jù)文件索引密文CT和哈希值

使用屬性權(quán)重私鑰SK驗證DRU是否滿足訪問控

制樹T，其中q是T的一個節(jié)點，設(shè)

γ

是訪問控制樹T的一個根節(jié)點，如果滿足的情況下，計算。獲得原始數(shù)據(jù)的文件索引loc和對稱密鑰（3）從云存儲服務(wù)器下載數(shù)據(jù)密文，并解密數(shù)據(jù)得到明文（4）計算哈希值，校驗數(shù)據(jù)的一致性。４.模型分析4.1安全性分析本模型采用鏈下計算鏈上存儲的數(shù)據(jù)共享方式，因此從數(shù)據(jù)鏈下加密計算方向和鏈上存儲方向分析數(shù)據(jù)的安全性。4.1.1加密算法安全性在本模型中，結(jié)合數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）、Paillier算法、CP-ABE等多種加密技術(shù)，其中DES算法可以保證算法的安全性。Paillier同態(tài)加密算法

證明了在隨機(jī)語言模型下，該算法能夠抵抗適應(yīng)性攻擊，具有很好的同態(tài)特性；CP-ABE算法通過選擇屬性和選擇明文攻擊下的不可區(qū)分性（in-distinguishabilityagainstselectiveaccessstructureandchosenplaintextattack，IND-SASCPA）游戲，證明了該算法可以達(dá)到抵抗選擇明文攻擊下的安全性。本文采用權(quán)重屬性集作為葉子節(jié)點和文獻(xiàn)[16]采用普通屬性集作為葉子節(jié)點的研究方法相同，因此證明方法也相同，可以達(dá)到抵抗選擇明文攻擊下的安全性要求。4.1.2數(shù)據(jù)的機(jī)密性和完整性在本模型中DES對稱加密保證了云服務(wù)器存儲的數(shù)據(jù)為密文，通過Pailler算法同態(tài)加密保證了關(guān)鍵字和數(shù)據(jù)摘要為密文，通過CP-ABE加密保證了數(shù)據(jù)文件索引和對稱密鑰為密文。因此，在數(shù)據(jù)流轉(zhuǎn)過程中保證了數(shù)據(jù)的機(jī)密性，并通過元數(shù)據(jù)的哈希值，保證了原文件的完整性。4.1.3CB安全性分析在本模型中采用CB的方式，即數(shù)據(jù)區(qū)塊通過Merkle樹構(gòu)造，并按照時間順序鏈接保證區(qū)塊消息不能任意修改，除非全網(wǎng)51%的節(jié)點被篡改。此外，本鏈中通過TC的監(jiān)管，保證了接入節(jié)點的安全性，且本模型將關(guān)鍵字和數(shù)據(jù)摘要的密文以及地址索引和對稱密鑰密文存儲在CB上，因此具備防篡改能力。4.2模型的對比通過對比本文數(shù)據(jù)共享處理的模型和其他場景模型的數(shù)據(jù)共享功能分析，得到表1?？梢钥闯觯啾任墨I(xiàn)[5]、文獻(xiàn)[6]、文獻(xiàn)[10]中的模型，本模型具有明顯優(yōu)勢。相比于文獻(xiàn)[8]，本模型采用權(quán)重屬性基加密，可以實現(xiàn)更精細(xì)的粒度控制，且適用范圍更廣；本模型采用關(guān)鍵字和摘要同態(tài)加密，可以實現(xiàn)摘要的預(yù)覽從而減少帶寬開銷。表１模型對比５.實驗與結(jié)果分析為了更準(zhǔn)確地評估本模型的實際性能，本

文對CP-ABE算法、Pailler算法和智能合約機(jī)制

進(jìn)行實驗仿真。實驗的硬件環(huán)境：i5-75003.4GHz的CPU、隨機(jī)存取存儲器（RandomAccessMemory，RAM）

為8GB。實驗環(huán)境構(gòu)造：

在VMwareWorkstation12上

安

裝Ubuntu16.04.7；

采用HyperledgerFabric的版本v1.4，

進(jìn)行重構(gòu)設(shè)計智能合約。本文在不同的屬性策略條件下，選擇512字節(jié)的數(shù)據(jù)，對比文獻(xiàn)

[10]

和本文模型的CP-ABE加解密開銷。如圖6所示，結(jié)果表明本模型在加解密方面有明顯的優(yōu)勢。其中，文獻(xiàn)

[10]

將屬性值和屬性權(quán)重值相分離，計算了兩次CP-ABE加解密，而本模型采用權(quán)重屬性總計算值作為屬性因子進(jìn)行加解密可以減少大量開銷。圖

6

CP-ABE

不同方案加解密時間開銷本文的模型是基于區(qū)塊鏈的元數(shù)據(jù)來進(jìn)行CP-ABE加解密，因此數(shù)據(jù)的長度有限。本文選擇256字節(jié)和512字節(jié)的數(shù)據(jù)進(jìn)行實驗仿真。如圖7所示，結(jié)果表明CP-ABE加解密時間開銷隨著屬性策略的

增加時間變長，但是在實際應(yīng)用在可接收范圍內(nèi)。

圖７CP-ABE不同明文長度加解密時間開銷本模型采用Pailler算法針對搜索關(guān)鍵字和摘要

進(jìn)行加密，根據(jù)文件