基于區塊鏈的物聯網安全數據共享系統

楊業平, 林德威, 黃芳芳, 王斌, 楊旸

(1. 國網福建省電力有限公司信息通信分公司， 福建 福州 350003； 2. 國網信通億力科技有限責任公司， 福建 福州 350003； 3. 福州大學計算機與大數據學院， 福建 福州 350108)

0 引言

基于區塊鏈的物聯網模型可以廣泛應用于智能電網、 車聯網、 智慧醫療等領域， 實現分布式的資源管理以及更低的管理開銷和更高的商業價值[1]. 在巨大的商業潛在價值背后， 區塊鏈物聯網技術的推廣也面臨著巨大的安全威脅和挑戰： 增加數據竊聽、 拒絕服務攻擊和僵尸網絡攻擊等風險. 其中， 最大的安全威脅是數據泄露， 這些數據極易被攻擊者竊聽和搜集， 然后在暗網中進行售賣[2]. 因此， 區塊鏈物聯網的隱私性保護是一個亟待解決的問題.

Lu等[3]提出基于區塊鏈的安全數據共享架構， 通過僅共享數據模型來實現對數據隱私性的保護. Hassija等[4]通過博弈論模型來實現電網和車輛之間交互的性能優化， 但是系統對數據安全性的保護較弱. 喬康等[5]設計了面向物聯網數據共享的鏈下交易機制， 基于閃電網絡的方案可以提高交易吞吐量， 降低交易時延. 蔣宇娜等[6]構造了基于區塊鏈的去中心化物聯網數據共享和存儲算法， 通過存儲證明的共識機制， 對區塊傳播時延進行均衡化處理. Yu等[7]綜合屬性基加密(attribute based encryption， ABE)算法和變色龍哈希技術， 提出可更新的數據共享訪問控制方案. 任天宇等[8]提出基于多級身份驗證和輕量級加密的電力物聯網數據安全方案， 采用RC6和Fiestel加密算法對敏感數據進行處理， 但是加密數據共享的方式不夠靈活. Ren等[9]結合ABE和區塊鏈技術實現了跨域的數據訪問令牌申請和更新. Qi等[10]設計了基于壓縮算法的物聯網隱私數據共享框架， 從而利用區塊鏈對隱私數據進行管理.

為了實現對數據的隱私保護， 本研究提出一種新型區塊鏈物聯網安全數據共享算法， 利用屬性基加密方式， 實現對物聯網數據訪問權限的細粒度控制， 并且通過外包解密技術降低用戶端的計算開銷. 本系統的一個核心功能是實現對用戶訪問次數的控制， 運用同步聚合簽名、 可驗證隨機函數等算法， 對用戶的每次訪問進行管理. 在付費使用模型線下， 根據用戶對數據的付費情況， 分配有限次數的物聯網數據訪問. 同時， 區塊鏈的智能合約功能可以提供用戶管理和訪問驗證功能. 此外， 本研究對方案進行了性能測試， 包括通信開銷、 計算時間、 消耗的區塊鏈Gas值等指標， 實驗結果表明本方案具有高效性和實用性.

1 系統核心組件

1.1 密文策略屬性基加密

密文策略屬性基加密(ciphertext-policy attribute based encryption, CP-ABE)可以為數據共享提供保護隱私的細粒度訪問控制， 通過引入外包解密功能， 可以降低數據使用者的恢復明文數據的計算開銷. 具體包含五個算法：

1) Setup(1λ)→(PP, MSK): 輸入安全參數λ， 輸出系統公開參數PP和主密鑰MSK.

2) KeyGen(PP, MSK,S)→(TK, RK): 輸入PP, MSK和用戶屬性集合， 輸出密文轉換密鑰TK和提取密鑰RK.

3) Enc(PP,m,A)→(EK, CT): 輸入PP， 消息m和訪問策略A， 輸出封裝密鑰EK和密文CT.

4) Trans(TK, CT)→TCT/⊥: 輸入TK, CT， 如果TK中的屬性集合S與CT中的訪問A匹配(f(S,A)=1)， 則輸出轉換密文(或稱為部分解密密文)TCT， 否則輸出0.

5) Dec(RK, TCT)→(EK,m): 輸入RK, TCT， 輸出封裝密鑰EK和消息m.

1.2 同步聚合簽名

本系統使用同步聚合簽名(synchronized aggregate signature， SAS)對云服務器提供的數據安全訪問服務進行審計. SAS包含六個算法：

1) Setup(1λ)→PP: 輸入安全參數λ， 輸出系統公開參數PP.

2) KeyGen(PP)→(pk,sk): 輸入PP， 輸出公私鑰pk/sk.

3) Sign(PP,sk,m,ω)→σ: 輸入PP，sk， 消息m和有效期ω， 輸出簽名σ.

4) Verify(PP,pk,m,σ)→1/0: 輸入PP,pk,m,σ， 輸出1表示簽名有效， 否則輸出0.

5) Agg(PP, PK, Msg, Sig)→σ∑: 輸入PP， 一組公鑰PK=(pk1, …,pkl)， 一組消息Msg=(m1, …,ml)， 一組簽名Sig=(σ1, …,σl)， 輸出聚合簽名σ∑.

6) AggVerify(PP, PK, Msg,σ∑)→1/0: 輸入PP, PK, Msg,σ∑， 輸出1表示聚合簽名有效， 否則輸出0.

1.3 可驗證隨機函數

可驗證隨機函數(verifiable random function， VRF)是一種可提供驗證功能的偽隨機函數， 包含四個算法：

1) Setup(1λ)→PP: 輸入安全參數λ， 輸出系統公開參數PP.

2) KeyGen(PP)→(pk,sk): 輸入PP， 輸出公私鑰pk/sk.

3) Prove(PP,sk,x)→(y,π): 輸入PP，sk和消息x， 輸出VRF評估值y和證明值π.

4) Verify(PP,pk,x,y,π)→1/0: 輸入PP,pk,x,y,π， 輸出1表示(y,π)是對x的有效評估和證明值， 否則輸出0.

1.4 屬性集合訪問策略定義

屬性集合定義： 本系統用符號A表示單個屬性， 令{A1,A2, …,An}表示所有屬性的集合.令符號S表示用戶的屬性集合， 并滿足S?{A1,A2, …,An}.利用n比特串表示屬性集合S=(a1,a2, …,an)， 其中ai∈{0, 1}表示第i個屬性對應的比特值： 若Ai?S， 則ai=1； 若Ai?S， 則ai=0.例如， 假設n-6， 則S=(1, 0, 1, 0, 1, 1)表示屬性集合S包含屬性{A1,A2, …,An}.

訪問策略定義： 本系統使用基于與門(AND gate)和屬性集合{A1,A2, …,An}的訪問結構來定義訪問策略A.利用n比特字符串表示訪問策略A=(b1,b2, …,bn)， 其中bi∈(0, 1)表示第i個屬性對應的比特值： 若Ai∈A， 則bi=1； 若Ai?A， 則bi=0.例如， 假設n=6， 則A=(0, 0, 1,0, 1, 0)表示滿足訪問策略A需要包含屬性{A3,A5}.

屬性與訪問策略匹配定義： 對于屬性集合S=(a1,a2, …,an)和訪問策略a=(b1,b2, …,bn)， 如果對于所有的i∈(1, 2, …,n)， 都滿足ai≥bi， 則稱屬性集合S和訪問策略A匹配， 表示為A?S.

2 系統模型

系統架構如圖1所示， 包括密鑰生成中心、 云服務器、 區塊鏈、 物聯網和數據使用者.

圖1 系統架構和工作流程圖Fig.1 System model and workflow

密鑰生成中心. 產生公開參數PP， 并分發密鑰(步驟①)： 為物聯網設備分發公私鑰對(PKO, SKO)， 為數據使用者分發(PKU, SKU)， 為用戶生成密文轉換密鑰TKU和提取密鑰RKU， 將(PKU, SKU, RKU)發送給數據使用者， 并將(PKU, TKU)發送給云平臺.

物聯網. 物聯網設備需要對產生的數據m進行加密， 并使用訪問控制策略A來對允許訪問數據的用戶屬性S進行限定產生密文CT. 假設物聯網設備授權用戶對數據訪問次數為κ， 物聯網設備產生κ對簽名密鑰對， 并對簽名私鑰進行加密產生CK. 最后， 物聯網設備將密文CT和簽名密鑰對CK上傳到云平臺進行存儲， 云平臺將CT發送到區塊鏈平臺進行存證(步驟②). 物聯網調用智能合約對云平臺的服務證明proof∑進行驗證， 然后進行付費操作(步驟⑦).

數據使用者. 將訪問請求req提交給云服務器(步驟③), 由云服務器完成密文轉換操作(步驟④). 數據使用者將接收到的轉換密文TCT提交給區塊鏈智能合約進行正確性驗證， 若正確則對其進行解密恢復出明文m. 然后， 數據使用者需要生成數據資源使用證明proof(步驟⑤).

云服務器. 提供數據存儲服務和外包解密服務， 根據訪問控制策略對授權數據使用者提供服務(步驟④). 在收到數據使用者訪問證明proof后， 云平臺將proof提交給區塊鏈智能合約進行驗證. 若通過驗證則進行聚合生成聚合證明proof∑以對提供的服務進行收費(步驟⑥).

區塊鏈. 為物聯網數據存儲、 共享、 訪問、 收費過程提供存證服務， 同時利用智能合約對數據使用者的數據使用、 付費行為， 以及云服務器產生的聚合簽名進行驗證(步驟①②④⑥⑦).

3 基于區塊鏈的安全數據共享系統

3.1 系統初始化階段

KGC.Setup(1λ)→(PP, MSK)： 密鑰生成中心根據安全參數λ， 生成橢圓曲線群G=(p,Ep(a,b),Q)， 其中Q是橢圓曲線G的生成元， 群G的階為素數p.生成雙線性對(p,G,GT,e)， 其中群G和GT的階為素數p， 雙線性對映射e:G×G→GT.令系統的全局屬性集合為U=(A1, …,An).

3.2 密鑰生成階段

3.3 物聯網數據加密和共享階段

3.4 物聯網數據請求階段

3.5 物聯網數據解密和證明階段

U.DecVerify(PP, PKO, RKU, TCT, CSKctr)→(m,ski)/⊥： 數據使用者從轉換密文恢復出訪問密鑰ski和明文消息m. 數據使用者用密文提取密鑰RKU=ζ恢復出原始消息m. 首先計算下式:

3.6 區塊鏈聚合證明階段

3.7 區塊鏈聚合驗證階段

4 安全數據共享系統測試實驗

通過個人電腦終端， 借助Charm庫和以太坊測試網絡進行安全數據共享系統進行性能測試. Charm庫是一種可以用來對密碼系統進行原型開發的函數庫， 使用的編程語言是Python. 本研究從Charm庫選取了三條橢圓曲線進行系統性能測試： secp384r1, secp256k1和secp224r1， 橢圓曲線的代數公式為E:y2=x3+ax+b， 定義在素數域Fp上，p為大素數， 其參數a,b∈Fp. 這三條曲線均為NIST(national institute of standards and technology)推薦的Weierstrass型曲線， 在OpenSSL庫中可以實現. OpenSSL是一個開放源代碼的軟件庫， 應用程序可以使用OpenSSL庫來進行安全通信， 被廣泛應用在互聯網的網頁服務器上. secp384r1橢圓曲線的大素數p=2384-2128-296+232-1，p的長度為384-bit， 可以實現192-bit的安全等級(該曲線方程參數均為長度大于100-bit的大整數， 故此處未列出). secp256k1的橢圓方程為E:y2=x3+7， 256-bit的大素數p=2256-232-29-28-27-26-24-1， 可以實現128-bit的安全等級. secp224r1的橢圓方程為E:y2=x3+5， 224-bit的大素數p=2224-232-212-211-29-27-24-2-1， 可以實現112-bit的安全等級. 以太坊測試網絡(release-1.8 version)可以用過Solidity編程語言進行智能合約的編寫和部署. 本研究使用Python庫中的py-solc和web3聯接以太坊的智能合約并進行編譯， 通信過程采用RPC遠程過程調用. 實驗環境環境為PC， 配置為Intel Core i7-9700 CPU@ 3.00 GHz*8， 16 GB RAM， 運行64-bit Ubuntu 18.04.5 LTS操作系統.

根據系統初始化階段、 密鑰生成階段、 物聯網數據加密和共享階段、 物聯網數據請求階段、 區塊鏈聚合證明階段以及區塊鏈聚合驗證階段的劃分， 對區塊鏈安全數據共享系統的通信開銷和計算開銷進行了測試， 實驗結果如圖2～5所示.

(a) 各算法計算開銷

(b) 各算法通信開銷

(a) 初始化階段計算開銷

(b) 初始化階段通信開銷

(a) 加密階段計算開銷

(b) 加密階段通信開銷

在圖2中， 密鑰生成階段， 解密和證明階段， 聚合證明階段和聚合驗證階段的計算開銷都是固定值， 對于secp384r1橢圓曲線， 計算時間分別為2.126、 31.725、 27.473 和27.473 ms. 密鑰生成階段、 數據請求階段、 解密和證明階段、 聚合證明階段的通信開銷都是固定值， 對于secp384r1橢圓曲線， 通信量分別為0.56、 0.49、 0.56 和0.07 kbit. 圖2的實驗結果表明， 方案的各個算法在secp224r1、 secp256k1和secp384r1三條橢圓曲線上分別進行測試時， 計算開銷和通信開銷呈現依次遞增的趨勢， 這是因為三條曲線的參數依次增大， 隨著素數域中素數比特長度的增加， 每一次橢圓曲線上的加法和乘法操作計算開銷都會增加. 但是由此帶來的是安全級別的提升， 從112-bit安全性， 提高到192-bit安全性. 因此， 在secp224r1曲線上的密鑰生成階段、 解密和證明階段、 聚合證明階段、 聚合驗證階段的算法實現具有高效性， 在secp384r1曲線上的實現會帶來更高的安全級別. 因此， 該系統在實際部署時可以根據需求

對效率和安全性之間做出權衡.

圖3展示了系統初始化階段的通信和計算開銷， 兩者都隨著系統中支持的屬性數量n線性增長， 選擇n的變化值分別為{5, 10, 15, 20, 25, 30}. 在系統初始化階段， 密鑰生成中心會為系統全局屬性集合中的每個屬性Ai分別生成公開參數(Qi,Ui,Vi)， 其中i∈{1, …,n}.因此， 隨著屬性數量n的增長， KGC在初始化過程中的計算量和通信量也會隨之增加. 當n=30時， 為了實現112-bit、 128-bit和192-bit的安全性， 系統初始化的時間開銷分別為48.41、 61.852 和99.927 ms, 通信量分別為3.906、 4.278和6.51 kbit.

圖4為物聯網數據加密和共享階段的計算和通信量， 圖5為請求階段的計算開銷， 兩幅性能圖的對比可以看出加密時間高于請求階段的計算時間， 并且都隨著屬性數量增加而線性遞增. 加密階段的運算量主要來自于屬性基加密的計算， 耗時最多的是橢圓曲線上的冪指數運算. 請求階段的數據使用方運算量較小， 云服務器對密文進行轉換的計算量較大， 主要目的是降低用戶端的解密開銷. 當n=30時， 對于secp384r1橢圓曲線(192-bit安全性)， 物聯網數據加密的計算和通信開銷分別是83.363 ms和2.66 KB, 數據請求和密文轉換的計算量和通信量分別為72.568 ms和0.49 Kbit.

圖5 請求階段的計算開銷 Fig.5 Computation overheads of query phase

通過上述實驗結果表明， 本研究所提出的基于區塊鏈的物聯網安全數據共享系統中的各個階段在不同的橢圓曲線上效率較高， 通信量低， 能夠有效保護物聯網數據的隱私性， 同時提供細粒度的數據共享策略， 并能夠對授權用戶的訪問次數進行限定.

5 結語

針對傳統物聯網數據共享系統中安全性保護級別低、 共享靈活性不足等問題， 提出一種基于區塊鏈的物聯網安全數據共享系統， 不僅能夠實現數據保密性， 非交互式的細粒度訪問控制和數據不可偽造性， 還具有防篡改性， 抗分布式拒絕服務攻擊和數據過度下載等特性， 適用于付費商業模型. 實驗測試結果表明， 本研究提出的數據共享系統有很低的計算開銷和通信量， 同時， 具有高效性， 系統能夠在通過橢圓曲線的選取達到不同的安全級別.