基于區(qū)塊鏈和密文屬性加密的訪問控制方案

摘要：隨著數(shù)字社會的到來，使得數(shù)據(jù)成為了重要的生產(chǎn)要素，為了充分釋放數(shù)據(jù)要素價值，作為數(shù)據(jù)安全共享的訪問控制技術(shù)是實現(xiàn)數(shù)據(jù)安全應(yīng)用與治理的關(guān)鍵。因此，圍繞分布式架構(gòu)下密文及密鑰的安全性問題提出了一種基于區(qū)塊鏈的密文訪問控制方案。該方案利用密文生成算法與驗證合約實現(xiàn)外包密文存儲的真實性與完整性驗證；設(shè)計了基于安全多方計算的屬性密碼，實現(xiàn)了用戶私鑰的鏈下安全多方計算并確保了私鑰的唯一性，極大緩解了單屬性權(quán)威的計算壓力，可有效保護用戶屬性隱私、避免單點故障；定義了格式化的事務(wù)數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)了訪問控制的全過程追責(zé)。通過安全性分析、性能分析和實驗仿真分析表明，該方案在安全性和性能上均滿足通用區(qū)塊鏈的需求，為數(shù)據(jù)開放共享提供了一種通用的區(qū)塊鏈訪問控制方案。

關(guān)鍵詞：區(qū)塊鏈； 屬性基加密； 訪問控制； 屬性隱藏； 秘密共享

中圖分類號：TP309.7文獻標(biāo)志碼：A

文章編號：1001-3695（2022）04-004-0986-06

doi：10.19734/j.issn.1001-3695.2021.09.0368

Access control scheme based on blockchain and CPABE

Zhang Xiaodonga， Chen Taoweia， Yu Yimina，b， Wang Huiyuana

（a.School of Information， b.Intelligent Application Research Institute， Yunnan University of Finance amp; Economics， Kunming 650221， China）

Abstract：With the advent of the digital society， data has become an important factors of productivity. In order to fully realize the values of data， access control as a technology of data security sharing is a fundamental component of data security and data governance. Therefore， this paper proposed a cipher-text access control scheme based on blockchain aiming at improving security of cipher-text and secret key in distributed architecture. Firsly， this scheme verified the authenticity and integrity of outsourced cipher-text storage by using cipher-text generation algorithm and verifiable smart contract. Secondly， it designed an attribute key based on off-chain secure multi-party computation（SMC） to ensure the security of the user’s secret key and the uniqueness of the secret key， which could reduce computational complexity of the single attribute authority， and could effectively protect the user’s attribute privacy and avoided the single point of failure. Finally， through defining the formatted transaction data structure， it realized the whole process accountability of access control on the blockchain. Security analysis， performance analysis and experimental simulation results show that proposed scheme meets the requirements of general blockchain in terms of security and performance， and provides a general block chain access control scheme for data sharing.

Key words：blockchain; attribute-based encryption; access control; attribute hiding; secret sharing

0引言

隨著云計算、物聯(lián)網(wǎng)等技術(shù)的不斷發(fā)展，數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟中的重要資產(chǎn)，訪問控制作為數(shù)據(jù)共享與流動的關(guān)鍵技術(shù)，是釋放數(shù)據(jù)要素價值的關(guān)鍵。目前，基于屬性的訪問控制方法（ABAC）、基于角色的訪問控制方法（RBAC）等已廣泛應(yīng)用于數(shù)據(jù)的開放應(yīng)用與安全治理。但是，當(dāng)前的訪問控制方案［1～3］主要是由中央可信實體實現(xiàn)集中授權(quán)的訪問控制，極易造成數(shù)據(jù)壟斷和安全風(fēng)險，如Facebook數(shù)據(jù)外泄事件，iCloud云端系統(tǒng)漏洞風(fēng)波等。近年來，區(qū)塊鏈作為一種新興的集成技術(shù)，因其去中心化、可追溯和不可竄改等特點，成為了替代中央可信實體、實現(xiàn)個體或組織之間在弱信任或無信任網(wǎng)絡(luò)中數(shù)據(jù)可信訪問控制的有效合理選擇。例如，文獻［4］提出一種基于區(qū)塊鏈和無證書密碼技術(shù)的分布式數(shù)據(jù)存儲方案，該方案使用區(qū)塊鏈進行交易驗證及記錄，并將訪問策略以列表形式表示，以交易的方式驗證用戶是否具有訪問控制權(quán)限；文獻［5］提出一種基于ABAC的區(qū)塊鏈訪問控制方案，該方案將物聯(lián)網(wǎng)中設(shè)備屬性記錄在交易中，由多個屬性權(quán)威機構(gòu)進行管理，當(dāng)區(qū)塊鏈上記錄的屬性滿足訪問策略時，則允許設(shè)備進行數(shù)據(jù)訪問；文獻［6］提出一種基于區(qū)塊鏈的訪問控制框架Ancile，使用智能合約來加強訪問控制，實現(xiàn)了安全的病例共享；文獻［7］以ABAC為基礎(chǔ)，通過智能合約實現(xiàn)物聯(lián)網(wǎng)設(shè)備的跨域訪問控制方案，利用信任度量對用戶屬性權(quán)限進行測評，防止惡意節(jié)點非法授權(quán)訪問。然而，由于區(qū)塊鏈公開透明的特性，使得其在處理敏感業(yè)務(wù)和隱私數(shù)據(jù)時受到了極大限制。隨著區(qū)塊鏈技術(shù)的不斷發(fā)展，眾多學(xué)者針對區(qū)塊鏈上數(shù)據(jù)隱私保護及安全訪問控制提出了基于密碼學(xué)的技術(shù)方案。屬性基加密（attri-bute based encryption，ABE）作為一種現(xiàn)代加密工具，由于其一對多加密和細粒度訪問控制等優(yōu)點，被廣泛應(yīng)用于區(qū)塊鏈訪問控制，如物聯(lián)網(wǎng)［8］、云計算［9］和醫(yī)療數(shù)據(jù)共享［10］等。

屬性基加密是2005年由Sahai等人［11］提出的一種基于模糊身份（fuzzy identity）的加密方式，而后發(fā)展為基于屬性的加密。當(dāng)前的屬性基加密分為密鑰策略屬性加密［12］（key-policy ABE，KP-ABE）和密文策略屬性加密［13］（ciphertext-policy ABE，CP-ABE）。在KP-ABE中，將策略嵌入到密鑰，屬性嵌入到密文中；而在CP-ABE中，是將策略嵌入到密文，屬性嵌入到密鑰中。因此，CP-ABE允許數(shù)據(jù)擁有者自由制定訪問策略，相比于KP-ABE更適合于分布式存儲及解密方不確定的訪問控制環(huán)境［14］。在當(dāng)前基于屬性基加密的區(qū)塊鏈訪問控制方案中，Bramm等人［15］將CP-ABE與區(qū)塊鏈結(jié)合，提升了分布式系統(tǒng)密鑰管理的安全性及效率；田有亮等人［16］提出了一種基于屬性加密的區(qū)塊鏈溯源算法，實現(xiàn)了交易隱私的動態(tài)保護；Fan等人［17］將屬性基加密應(yīng)用于云計算，使用區(qū)塊鏈對密鑰傳遞過程進行記錄，解決了不受信任云服務(wù)器訪問控制問題。傳統(tǒng)訪問控制方案的安全性依賴于可信的引用監(jiān)控器，而基于密碼學(xué)的訪問控制方案的安全性則依賴于密鑰的安全性［18］。但文獻［15～17］均采用單授權(quán)機構(gòu)進行用戶私鑰SK的生成與分發(fā)，易造成用戶私鑰與屬性隱私的泄露，且計算開銷大、效率低；此外，上述基于區(qū)塊鏈的屬性基加密方案僅使用區(qū)塊鏈進行相關(guān)事務(wù)的記錄，與區(qū)塊鏈融合度不高。

鑒于上述分析，本文提出一種基于區(qū)塊鏈和密文屬性加密的訪問控制方案，主要貢獻如下：a）利用門限秘密分享技術(shù)對用戶私鑰SK中安全指數(shù)t分割，實現(xiàn)共識網(wǎng)絡(luò)的安全多方計算，而密鑰中心僅負責(zé)主密鑰MSK的托管和部分用戶私鑰SK的計算，共識網(wǎng)絡(luò)通過秘密共享實現(xiàn)剩余用戶私鑰SK的生成;b）將用戶私鑰SK由單授權(quán)機構(gòu)生成轉(zhuǎn)換為由用戶本地生成，有效保護了用戶的私鑰安全與屬性隱私，同時提高了效率，避免了單點故障等問題;c）提出一種驗證密文外包存儲的真實性與完整性方法，利用定義的檢查文本驗證密文的完整性，利用數(shù)字簽名驗證密文的來源真實性;d）設(shè)計分布式密鑰管理事務(wù)結(jié)構(gòu)與生成算法，實現(xiàn)了屬性基加密相關(guān)參數(shù)傳遞的全過程歸管，實現(xiàn)了密鑰傳遞的可追責(zé)性;e）通過單節(jié)點在并發(fā)條件下進行區(qū)塊鏈?zhǔn)聞?wù)生成及其驗證的性能測試下，單節(jié)點保持了較高的響應(yīng)速度和TPS。

1預(yù)備知識

1.1參數(shù)定義

本文基于區(qū)塊鏈和密文屬性加密的訪問控制方案涉及的主要參數(shù)如表1所示。

1.2合數(shù)階雙線性映群

設(shè)G和GT為階數(shù)為N=pqr的乘法循環(huán)群，其中p、q、r為三個互不相同的素數(shù)。e：G×G→GT是雙線性映射，滿足如下性質(zhì)：

a）雙線性。對于任意u，v∈G;a，b∈ZN，有e（au，bv）=e（abu，v）=e（u，abv）=e（u，v）ab。

b）非退化性。存在一個g∈G，使得e（g，g）在GT中的階是N。

c）正確性。存在有效算法對于任意u，v∈G，可計算e（u，v）。

2系統(tǒng)概述

2.1系統(tǒng)架構(gòu)

如圖1所示，本文改進的屬性基加密方案系統(tǒng)架構(gòu)共包括六部分，分別為數(shù)據(jù)擁有者DO（data owner）、數(shù)據(jù)使用者DU（data user）、密鑰管理中心KMC（key management center）、第三方存儲TPS（third-party storage）、共識網(wǎng)絡(luò)CN（consensus network）和區(qū)塊鏈BC（blockchain）。

a）DO。數(shù)據(jù)擁有者DO負責(zé)訪問控制策略的制定和數(shù)據(jù)的加密。

b）DU。數(shù)據(jù)使用者DU在獲取密文后，生成用戶屬性私鑰SK（secret key）來對密文CT（ciphertext）進行解密并獲得明文數(shù)據(jù)。

c）KMC。密鑰管理中心KMC負責(zé)系統(tǒng)主密鑰MSK（master secret key）的托管和部分SK的計算。

d）TPS。第三方存儲TPS負責(zé)存儲密文CT，并將存儲地址返回至區(qū)塊鏈BC。

e）CN。共識網(wǎng)絡(luò)CN中各節(jié)點進行私鑰SK的安全多方計算，并且所有參數(shù)傳遞過程均記錄在區(qū)塊鏈上。

f）BC。區(qū)塊鏈BC上記錄密文CT的TPS存儲地址以及系統(tǒng)中的所有參數(shù)傳遞。

在系統(tǒng)中，只有DO和DU參與訪問控制管理，其中DO負責(zé)訪問控制策略的制定，DU利用自身屬性集合生成私鑰SK，因此可以有效防止數(shù)據(jù)使用者DU的屬性隱私泄露和單點故障。用戶屬性私鑰SK由DU、KMC和CN中各節(jié)點協(xié)作生成，可以避免傳統(tǒng)CPABE方案中密鑰中心掌握所有用戶屬性私鑰SK而帶來的安全問題。除此之外，加密和解密計算均是在鏈下本地完成，無中介實體參與。

2.2算法概述

改進的CPABE算法主要由系統(tǒng)初始化、加密、私鑰門限秘密共享、主密鑰托管計算、屬性私鑰委托計算、私鑰生成和解密七個部分組成，如圖2所示。

a）Setup（1k）→（PK，ASK，MSK）。系統(tǒng)初始化算法通過輸入安全參數(shù)k，輸出系統(tǒng)公鑰PK、屬性密鑰ASK和系統(tǒng)主密鑰MSK。

b）Enc（PK，m，A）→CT。加密算法通過輸入公鑰PK、明文m和訪問控制策略A，輸出密文CT。只有屬性集合滿足訪問控制策略A的DU可以對CT進行解密。

c）TShar（t，（m，n））→tFrag。私鑰門限秘密共享算法通過輸入隨機數(shù)t和門限值（m，n），輸出t被分割的片段tFrag。

d）MskTrustCpt（PK，MSK，tFrag）→SK1。主密鑰托管計算算法輸入系統(tǒng)公私鑰對（PK，MSK）和片段tFrag，輸出部分用戶私鑰SK1=（K，L）。

e）AttrSkTrustCpt（S，tFrag）→SK2。屬性私鑰委托計算算法通過輸入用戶屬性集合S和片段tFrag，輸出部分用戶私鑰SK2=Ki。

f）KeyGen（SK1，SK2）→SK。私鑰生成算法輸入用戶私鑰片段SK1和SK2，輸出完整用戶私鑰SK。

g）Dec（CT，SK）→m。解密算法輸入關(guān)于訪問策略A的密文CT和關(guān)于用戶屬性集合S的私鑰SK。若解密者屬性集合S滿足訪問策略A，則輸出明文m，否則解密失敗。

2.3安全模型

改進的CPABE方案安全模型是選擇明文攻擊下的不可區(qū)分性（indistinguish ability against chosen plaintext attack，IND-CPA）游戲。游戲中包括一個挑戰(zhàn)者和一個敵手，敵手與挑戰(zhàn)者均為誠實且好奇的，必要時可獲得各節(jié)點的公鑰。假設(shè)用戶之間通信信道安全，挑戰(zhàn)者將模擬系統(tǒng)運行并回答敵手的詢問。

a）系統(tǒng)初始化。挑戰(zhàn)者運行系統(tǒng)初始化算法Setup，將PK發(fā)送給敵手，將MSK自己保存。

b）私鑰詢問。敵手發(fā)送多個屬性集合S1，S2，…，Sn自適應(yīng)地詢問挑戰(zhàn)者的私鑰。挑戰(zhàn)者運行密鑰生成算法KeyGen生成相應(yīng)屬性私鑰SKv并發(fā)給敵手。

c）挑戰(zhàn)明文。敵手發(fā)送兩個等長消息m0、m1和兩個不能滿足訪問控制策略A1、A2的屬性集合給挑戰(zhàn)者。挑戰(zhàn)者隨機選擇y∈{0，1}，運行加密算法Enc生成密文CT*并將CT*作為挑戰(zhàn)密文發(fā)送給敵手。

d）重復(fù)步驟b）。敵手繼續(xù)詢問挑戰(zhàn)者的私鑰，但規(guī)定所提交的屬性集合Si都不滿足訪問策略A1和A2。

e）猜測。敵手輸出對y的猜測y′ ∈ {0，1}，若y =y′，則贏得該游戲。

定義1若所有多項式時間敵手在安全游戲中的優(yōu)勢為P=Pr［y=y′］－1/2是可以忽略的，則改進的CPABE方案是安全的。

3基于區(qū)塊鏈和密文屬性加密的訪問控制方案

改進的CPABE方案分為以下四個階段：

a）初始化階段。數(shù)據(jù)擁有者DO將安全參數(shù)k作為輸入并得到（p，q，r，G，GT，e），其中G=Gp×Gq×Gr，G和GT是階數(shù)為N=pqr的循環(huán)群。之后，DO運行Setup生成系統(tǒng)公鑰PK和系統(tǒng)主密鑰MSK。

Setup（1k）：DO隨機選擇gp、gr為群Gp和Gr的生成元，隨機選擇si（i∈U）∈ZN、α，a∈Zp以及Rc∈Gr，生成系統(tǒng)公鑰為PK=（N，gp，gap，e（gp，gp）α），屬性密鑰為ASK=Ti=gsip·Rc，i∈U，系統(tǒng)主密鑰為MSK=α。

b）加密階段。DO輸入PK和明文m，輸入用于LSSS的張成方案（M，ρ），其中M是一個l×n的矩陣，函數(shù)ρ為M的行指定屬性。除此之外，DO隨機選擇v=（s，v2，…，vn）∈ZN和r1，r2，…，rl∈Zp，計算λi=v·Mi（i=1，2，…，l）。選擇Rs∈Gr對gs進一步隨機化，輸出密文CT。

CT=（C=m·e（gp，gp）αs，C′=gsp·Rs，Cl=gαλlpT－rlρ（l），Dl=grlp）

其中：v=（s，v2，…，vn）用來分割加密指數(shù)s;λi=v·Mi（i=1，2，…，l）是分割s得到的第i個份額;Ci（i=1，2，…，l）將λi關(guān)聯(lián)到第ρ（i）個屬性。

c）鏈上階段。DO將密文CT上傳至第三方存儲TPS，并將存儲地址CTAddress通過storage事務(wù)上鏈：

Txstorage={ID，Address，CTcheck，sign}

其中：ID用來識別該事務(wù);CTAddress為CT的存儲地址;CTcheck為密文CT的驗證碼;sign是用DO在區(qū)塊鏈中的私鑰生成的數(shù)字簽名。

算法1Txstorage事務(wù)生成

輸入：事務(wù)識別碼ID；密文存儲地址CTAddress；密文CT；區(qū)塊鏈中DO的用戶私鑰BSKDO。

輸出：事務(wù)Txstorage。

/*DO計算密文數(shù)字摘要*/

CTcheck=H（CT）;

/* 計算事務(wù)Txstorage數(shù)字摘要 */

MD=H（ID，CTAddress，CTcheck）;

/* DO進行數(shù)字簽名 */

sign=SignBSK（MD）;

/* DO生成Txstorage事務(wù)*/

Txstorage={ID，CTAddress，CTcheck，sign}；

return Txstorage。

生成Txstorage事務(wù)后，DO將該事務(wù)廣播給區(qū)塊鏈網(wǎng)絡(luò)中其他節(jié)點對其進行驗證。各節(jié)點通過計算該事務(wù)的數(shù)字摘要MD′，與DO簽名的數(shù)字摘要MD進行對比。若MD′=MD，則表示Txstorage事務(wù)驗證成功。

算法2Txstorage事務(wù)驗證

輸入：Txstorage={ID，Address，CTcheck，sign}；區(qū)塊鏈中DO的用戶公鑰BPKDO。

輸出：事務(wù)Txstorage和密文CT的驗證結(jié)果。

/* 計算事務(wù)Txstorage數(shù)字摘要*/

MD′=H（ID，CTAddress，CTcheck）;

/* 驗證簽名 */

MD=ComputeBPK（sign）;

if MD′=MD then

通過地址CTAddress獲得密文CT；

/* 生成Txstorage事務(wù) */

CTCheck′=H（CT）；

if CTCheck′=CTcheck then

return true；

else

return 1；

return 1

為實現(xiàn)用戶屬性私鑰SK的安全多方計算，數(shù)據(jù)使用者DU隨機選擇t∈ZN，并運行TShar算法將t分割為n個片段，門限值為m。

算法3Tshar私鑰門限秘密共享

輸入：隨機數(shù)t；秘密持有人數(shù)n；秘密重構(gòu)門限數(shù)m。

輸出：門限秘密片段tFragi。

/*隨機生成xi */

random 1≤xi≤m-1;

/*構(gòu)造一個m-1次多項式*/

f（x）=t+a1x+…+am－1xm－1;

/*計算t秘密片段tFragi*/

tFragi=f（xi）;

/*銷毀f（x）*/

delete f（x）；

return tFragi。

生成tFragi后，DU發(fā)出委托計算請求，共識網(wǎng)絡(luò)中各節(jié)點響應(yīng)請求成為委托計算節(jié)點CptNode，DU將各tFragi使用各節(jié)點在區(qū)塊鏈中的公鑰加密后生成tFrag分享事務(wù)：

TxtFragShare={ID，CptNodeAddressi，E（tFragi），sign}

其中：CptNodeAddressi為委托計算節(jié)點CptNode在區(qū)塊鏈網(wǎng)絡(luò)中的地址列表；E（tFragi）為加密后的tFragi列表；sign為DU的數(shù)字簽名。

算法4TxtFragShare事務(wù)生成

輸入：事務(wù)識別碼ID；CptNode地址CptNodeAddressi；tFragi密文E（tFragi）；區(qū)塊鏈中DU的用戶私鑰BSKDU。

輸出：事務(wù)TxtFragShare。

/* 計算E（tFragi）密文 */

for 1≤i≤n do

E（tFragi）=Enc（tFragi） by BPKCptNode；

/* 生成CptNodeAddressi列表*/

/* 生成Txstorage事務(wù) */

TxtFragShare={ID，CptNodeAddressi，E（tFragi），sign}；

return TxtFragShare。

生成TxtFragShare事務(wù)后，DO將該事務(wù)廣播給區(qū)塊鏈網(wǎng)絡(luò)中其他節(jié)點，委托計算節(jié)點從TxtFragShare事務(wù)中獲取秘密值tFragi后進行保管。密鑰托管中心KMC請求獲取CptNode的秘密tFragi來進行主密鑰托管計算，事務(wù)TxtFragShare為

TxtFragShare={ID，KMCAddressi，E（tFragi），sign}

其中：E（tFragi）為KMC公鑰加密的密文;sign為CptNode的數(shù)字簽名，交易生成算法與算法4相似。之后KMC進行秘密t重構(gòu)和SK中主密鑰部分計算，并選擇RK，RL∈Gr對K、L進一步隨機化。

算法5MskTrustCpt主密鑰托管計算

輸入：系統(tǒng)公鑰PK；系統(tǒng)主密鑰MSK；秘密t片段tFragi。

輸出：SK1=（K，L）。

/* 構(gòu)造t秘密重構(gòu)函數(shù) */

g（x）=∏mi=1（x－xj）（xi－xj）;

/* 進行t秘密重構(gòu) */

t=∑mi=1tFragi·g（xi）;

/* 生成SK1 */

K=gαgat·RK，L=gt·RL;

SK1=（K，L）；

return SK1。

DU進行用戶私鑰SK中Ki生成時，從KMC獲取屬性密鑰ASK，選擇Ri∈Gr并委托區(qū)塊鏈中CptNode進行計算Ki。DU將Ti·Ri發(fā)送至共識網(wǎng)絡(luò)，擁有tFragi的節(jié)點申請計算，當(dāng)達到門限值m個節(jié)點申請后，多方協(xié)同計算出Ki。

算法6AttrSkTrustCpt屬性私鑰托管計算

輸入：屬性密鑰ASK={Ti·Ri}；秘密t片段tFragi。

輸出：SK2={Ki}。

/* 構(gòu)造t秘密重構(gòu)函數(shù) */

同算法5;

/* t秘密重構(gòu) */

同算法5;

/* 生成SK2 */

Ki=Tti·Rii∈S;

SK2={Ki}；

return SK2。

密鑰托管中心KMC和共識網(wǎng)絡(luò)CN將SK1、SK2發(fā)送給DU，事務(wù)為TxSK={ID，DUAddressi，E（SKi），sign}。

其中：E（SKi）為KMC與CN持有的SKi;sign分別為KMC和CN的數(shù)字簽名。數(shù)據(jù)使用者DU運行私鑰生成算法KeyGen獲得完整私鑰SK=（K，L，Ki）

d）解密階段。DU獲得完整私鑰SK與密文CT后對CT進行解密。定義I={i：ρ（i）∈S}{1，2，…，l}，令{ωi∈Zp|i∈I}，使得如果{λi}是秘密值s對應(yīng)于M的有效份額，則∑i∈Iωiλi=s（ωi的選擇不唯一）。則有

e（Ci，L）=e（gaλiT－riρ（i），gtRL）=e（gaλi，gt）e（T－riρ（i），gt）=

e（g，g）aλit－ritsρ（i）

e（Di，Kρ（i））=e（gri，Ttρ（i）Rρ（i））=e（gri，Trρ（i））=e（g，g）ritsρ（i）

∏i∈I（e（Ci，L）·e（Di，Kρ（i）））ωi=e（g，g）at∑i∈Iλiωi=e（g，g）ats

e（C′，K）=e（gs，gαgatRK）=e（gs，gαgat）=e（g，g）αs·e（g，g）ast

所以有

∏i∈I（e（Ci，L）·e（Di，Kρ（i）））ωie（C′，K）=∏i∈Ie（g，g）taλiωie（g，g）αs·e（g，g）ast=1e（g，g）αs

最終獲得明文m=Ce（g，g）αs。

4安全性證明

4.1鏈上安全性分析

a）可信任。為保證主密鑰安全，當(dāng)前大多數(shù)CPABE方案均需要密鑰中心利用用戶的屬性集合生成私鑰，這會導(dǎo)致很高的信任構(gòu)建成本、單點故障、用戶屬性隱私泄露和私鑰安全等問題。本文方案利用區(qū)塊鏈對CPABE進行分布式密鑰管理，密鑰托管方僅負責(zé)系統(tǒng)主密鑰MSK的保管，利用門限秘密共享實現(xiàn)區(qū)塊鏈網(wǎng)絡(luò)中各節(jié)點安全多方計算生成私鑰SK，使區(qū)塊鏈網(wǎng)絡(luò)中各參與方均無法獲得用戶屬性隱私；且屬性私鑰由DU本地保存，很好地解決了單點故障以及私鑰安全等問題。因此，本文改進的CPABE方案是可信的。

b）隱私性。為方便實現(xiàn)細粒度訪問控制，目前的CPABE方案大多是公開訪問策略或?qū)傩约希瑢﹄[私構(gòu)成了很大的威脅。為保護用戶屬性隱私，需要避免暴露訪問策略和屬性或?qū)ζ溥M行隱藏處理。在訪問策略隱私方面，本文方案對其進行加密隱藏，使其無法被竊聽；在屬性隱私方面，本文方案通過對私鑰生成部分進行重新設(shè)計，使用戶DU可在本地進行私鑰生成。因此，即使在區(qū)塊鏈透明和分布式的環(huán)境中，也可以實現(xiàn)隱私保護。

c）密文完整性。為提高系統(tǒng)擴展性，本文方案將密文存儲于第三方存儲TPS，將密文地址存儲于區(qū)塊鏈，并在密文存儲事務(wù)中包含了密文完整性檢查代碼，因此可通過哈希值驗證密文的完整性。

d）可追溯性。本文改進的基于區(qū)塊鏈和密文屬性加密的訪問控制方案中，初始化、加密、解密以及密鑰生成均在鏈下計算，而鏈上則通過事務(wù)進行相關(guān)參數(shù)的傳遞，任何授權(quán)記錄均為不可變的訪問事務(wù)，因此鏈上任何節(jié)點都可追溯整個過程。此外，由于其不可竄改性，各節(jié)點還可以通過事務(wù)信息檢測惡意節(jié)點的相關(guān)攻擊，以此來維護區(qū)塊鏈網(wǎng)絡(luò)的穩(wěn)定性。

4.2算法安全性分析

假設(shè)1給定一個群生成算法""（1λ），gp←Gp，

gr←Gr，X3←Gr，D=（N，G，GT，e，gp，X3），T1←Gp×Gq，T2←Gp

定義算法"定義2對于任意一個多項式時間算法和一個群生成算法，若Adv1可忽略不計，則群生成算法滿足假設(shè)1。

假設(shè)2給定一個群生成算法

，定義如下分布：

（N=pqr，G，GT，e）

（1λ），

（gp，X1）←Gp，（X2，Y2，Z2）←Gq，X3←Gr，

D=（N，G，GT，e，gp，X1X2，X3，Y2Y3），T1←G，T2←Gp×Gq

定義算法

攻破假設(shè)2的優(yōu)勢是

Adv2

=|Pr［

（D，T1）=1］－Pr［

（D，T2）=1］|

定義3對于任意一個多項式時間算法

和一個群生成算法

，若Adv2

可忽略不計，則群生成算法

滿足假設(shè)2。

假設(shè)3給定一個群生成算法

，定義如下分布：

（N=pqr，G，GT，e）←

（1λ），

α，s←ZN，gp←Gp，（X2，Y2，Z2）←Gq，X3←Gr，

D=（N，G，GT，e，gp，gαpX2，X3，gsY2，Z2），

T1←e（g，g）αs，T2←GT

定義算法

攻破假設(shè)3的優(yōu)勢是

Adv3

=|Pr［

（D，T1）=1］－Pr［

（D，T2）=1］|

定義4對于任意一個多項式時間算法

和一個群生成算法

，若Adv3

可忽略不計，則群生成算法

滿足假設(shè)3。

定理1如果假設(shè)1～3成立，則改進的CPABE算法是完全安全的。

證明為證明改進的CPABE方案的安全性，本文引入半功能密文（semi-function ciphertext）和半功能密鑰（semi-function key）。有關(guān)安全性證明詳細內(nèi)容如附錄1所示（見電子版）。

5性能分析

方案性能分析包括理論分析和實驗仿真兩方面。理論分析方面，將本文方案與文獻［19，20］進行對比，分析各方案中密鑰中心的存儲開銷、與單用戶的通信開銷和計算開銷，得到結(jié)果列表；實驗仿真方面，在相同條件下進行實驗仿真，分析單用戶密鑰生成時間隨屬性個數(shù)增加所需時間和多用戶密鑰生成時間隨用戶數(shù)量增加所需時間，得到結(jié)果圖。

在進行性能評估時，|G|代表群G中數(shù)據(jù)元素長度；|P|代表域Zp中數(shù)據(jù)元素長度；nA代表系統(tǒng)屬性個數(shù)；nU代表每個用戶屬性集合中屬性個數(shù)；E代表模指數(shù)運算；xi代表用戶個數(shù)。

5.1理論分析

比較各方案密鑰中心的存儲開銷、與單用戶的通信開銷和計算開銷，如表2所示。

從表2可以看出，在密鑰中心存儲開銷方面，文獻［16］由于采用單密鑰中心進行用戶私鑰的生成，存儲系統(tǒng)屬性集合和所有用戶的屬性集合，所以需要存儲開銷為（nA+nU）|G|+2|P|。文獻［17］由于其主密鑰委托區(qū)塊鏈網(wǎng)絡(luò)管理，所以相比文獻［16］節(jié)省了|P|的存儲開銷。本文方案無須生成用戶私鑰的屬性相關(guān)部分，僅需要生成主密鑰相關(guān)部分，因此只需存儲系統(tǒng)屬性集合以及主密鑰，即存儲開銷為nA|G|+|P|。在與單用戶的通信開銷方面，由于文獻［16，17］中用戶私鑰中包含該用戶屬性，而文獻［17］節(jié)省主密鑰部分，所以通信開銷分別為nU|G|+3|P|和nU|G|+|P|。本文方案因?qū)傩圆糠炙借€為用戶本地生成，所以通信開銷僅包括主密鑰部分，為3|P|。計算開銷方面，文獻［16，17］均為（2+xinU）E，而本文方案僅為2E。綜上所述，本文方案在密鑰中心的存儲開銷、與單用戶的通信開銷以及計算開銷方面均有較大的優(yōu)勢，極大緩解了由密鑰中心進行用戶私鑰生成的壓力，提高了效率，同時又很好地解決了私鑰及用戶隱私和單點故障等問題。

5.2實驗仿真分析

本實驗仿真對本文方案和文獻［16，17］在單用戶密鑰生成和多用戶密鑰生成時間進行評估。實驗采用一臺主機（Intel Core i7-8750 CPU @2.20 GHz，8.0 GB RAM，Ubuntu 18.64操作系統(tǒng)），并利用基于配對的PBC密碼庫［19］和編程語言Python來構(gòu)建實驗框架，利用CITA區(qū)塊鏈設(shè)置若干節(jié)點，采用Python編寫PBFT共識算法和Solidity編寫智能合約對數(shù)據(jù)流轉(zhuǎn)操作進行模擬。具體仿真結(jié)果如圖3和4所示。

如圖3所示，當(dāng)訪問策略屬性個數(shù)設(shè)置為4、8、12和16個時，隨著屬性個數(shù)增加，文獻［16，17］無明顯差異，而本文方案由于在用戶私鑰生成時需要區(qū)塊鏈共識網(wǎng)絡(luò)進行秘密共享，導(dǎo)致本文密鑰生成時間代價總體高于文獻［16，17］60～80 ms。

如圖4所示，當(dāng)訪問策略屬性個數(shù)設(shè)置為4個，用戶數(shù)量分別為1、2、4和6個時，隨著用戶數(shù)量增加，本文方案密鑰時間對比文獻［16，17］具有明顯優(yōu)勢。由于文獻［16，17］用戶私鑰SK由密鑰中心生成，本文方案密鑰由密鑰托管中心生成SK1、區(qū)塊鏈共識網(wǎng)絡(luò)和用戶生成SK2，最后由用戶獲得最終SK，因此在大規(guī)模分布式應(yīng)用時具有明顯優(yōu)勢。

圖5為事務(wù)數(shù)量與事務(wù)響應(yīng)時間及TPS的關(guān)系。測試對象為從區(qū)塊鏈網(wǎng)絡(luò)中隨機挑選的一個節(jié)點，測試內(nèi)容為調(diào)用CITA SDK生成事務(wù)與事務(wù)信息查詢，并發(fā)數(shù)條件分別為200、300、400、500、600、700、800。在性能測試下，單節(jié)點保持較高的響應(yīng)速度和TPS。在400～700并發(fā)數(shù)量下，單節(jié)點事務(wù)生成與事務(wù)驗證時間保持在14 s內(nèi)，TPS維持在80條/s以上。每個節(jié)點可擁有較快的事務(wù)生成及驗證速度，可提供高性能的服務(wù)。

6結(jié)束語

考慮到數(shù)據(jù)安全共享與訪問控制的可行性，本文改進了傳統(tǒng)的密文策略屬性基加密算法。在密鑰安全方面，將用戶私鑰分片為主密鑰部分和用戶屬性密鑰部分，并由密鑰托管中心和用戶分別計算，極大地減少了單屬性權(quán)威的計算開銷。此外，在每個用戶私鑰SK中嵌入該用戶獨有的隨機數(shù)，有效防止了密鑰濫用問題；在密文安全方面，本文方案設(shè)計了密文生成算法和密文驗證合約，實現(xiàn)了密文外包存儲的真實性和完整性驗證。最后本文方案提出了格式化的事務(wù)結(jié)構(gòu)，使得區(qū)塊鏈中各節(jié)點快速準(zhǔn)確地檢索到所需參數(shù)，實現(xiàn)訪問控制全過程的行為追責(zé)。因此，本文方案具有廣闊的應(yīng)用前景，不僅為區(qū)塊鏈隱私數(shù)據(jù)訪問控制提供了具體的思路和方法，還有效地保護了用戶屬性隱私，保證了用戶私鑰的安全，減少了單屬性權(quán)威密鑰計算的開銷，為區(qū)塊鏈訪問控制提供了基于屬性加密的解決方案。

參考文獻：

[1]程學(xué)林，楊小虎，卓崇魁.基于組織架構(gòu)的數(shù)據(jù)權(quán)限控制模型研究與實現(xiàn)［J］.計算機科學(xué)， 2021，48（S1）：558-562.（Cheng Xuelin， Yang Xiaohu， Zhuo Chongkui. Research and implementation of data authority control model based on organization［J］.Computer Science，2021，48（S1）：558-562.）

［2]馬佳樂，郭銀章.云計算用戶行為信任評估與訪問控制策略研究［J］.計算機應(yīng)用研究，2020，37（S2）：260-262.（Ma Jiale， Guo Yinzhang. Research on cloud computing user behavior trust evaluation and access control strategy［J］.Application Research of Compu-ters，2020，37（S2）：260-262.）

［3]葛麗娜，胡雨谷，張桂芬，等.云計算環(huán)境基于客體屬性匹配的逆向混合訪問控制方案［J］. 計算機應(yīng)用，2021，41（6）：1604-1610.（Ge Lina， Hu Yugu， Zhang Guifen， et al. Reverse hybrid access control scheme based on object attribute matching in cloud computing environment［J］.Journal of Computer Applications，2021，41（6）：1604-1610.）

［4]Li Ruinian， Song Tianyi， Mei Bo， et al. Blockchain for large-scale Internet of Things data storage and protection［J］.IEEE Trans on Services Computing，2018，12（5）：762-771.

［5]Ding Sheng， Cao Jin， Li Chen， et al. A novel attribute-based access control scheme using blockchain for IoT［J］.IEEE Access，2019，7：38431-38441.

［6]Dagher G G， Mohler J， Milojkovic M， et al. Ancile： privacy-preserving framework for access control and interoperability of electronic health records using blockchain technology［J］.Sustainable Cities and Society，2018，39：283-297.

［7]杜瑞忠，劉妍，田俊峰.物聯(lián)網(wǎng)中基于智能合約的訪問控制方法［J］.計算機研究與發(fā)展，2019，56（10）：2287-2298.（Du Ruizhong， Liu Yan， Tian Junfeng. An access control method using smart contract for Internet of Things［J］.Journal of Computer Research and Development，2019，56（10）：2287-2298.）

［8]Zhang Yunru， He Debiao， Choo K R. BaDS： blockchain-based architecture for data sharing with ABS and CP-ABE in IoT［J］.Wireless Communications and Mobile Computing，2018，2018：article ID 2783658.

［9]Li Wei， Xue Kaiping， Xue Yingjie， et al. TMACS： a robust and veri-fiable threshold multi-authority access control system in public cloud storage［J］.IEEE Trans Parallel Distributed System，2016，27：1484-1496.

［10]Wang Hao， Song Yujiao. Secure cloud-based EHR system using attribute-based cryptosystem and blockchain［J］.Journal of Medical Systems，2018，42（8）：152.

［11]Sahai A， Waters B. Fuzzy identity-based encryption［C］//Proc of Annual International Conference on Theory and Applications of Cryptographic Techniques.Berlin：Springer，2005：457-473.

［12]Goyal V， Pandey O， Sahai A， et al. Attribute-based encryption for fine-grained access control of encrypted data［C］//Proc of the 13th ACM Conference on Computer and Communications Security.New York：ACM Press，2006：89-98.

［13]Waters B. Ciphertext-policy attribute-based encryption： an expressive，efficient and provable secure realization［C］//Proc of the 14th International Conference on Practice and Theory in Public Key Cryptography Conference on Public Key Cryptography.Berlin：Springer，2011：53-70.

［14]王悅，樊凱.隱藏訪問策略的高效CP-ABE方案［J］.計算機研究與發(fā)展，2019，56（10）：2151-2159.（Wang Yue， Fan Kai. Effective CP-ABE with hidden access policy［J］.Journal of Computer Research and Development，2019，56（10）：2151-2159.）

［15]Bramm G， Gall M， Julian S. BDABE-blockchain-based distributed attribute based encryption［C］//Proc of the 15th International Joint Conference on e-Business and Telecommunications.2018：99-110.

［16]田有亮，楊科迪，王纘，等.基于屬性加密的區(qū)塊鏈數(shù)據(jù)溯源算法［J］.通信學(xué)報，2019，40（11）：101-111.（Tian Youliang， Yang Kedi， Wang Zuan， et al. Algorithm of blockchain data provenance based on ABE［J］.Journal on Communications，2019，40（11）：101-111.）

［17]Fan Yongkai， Lin Xiaodong， Liang Wei， et al. TraceChain： a blockchain-based scheme to protect data confidentiality and traceability［J］.Software：Practice amp; Experience，2022，52（1）：115-129.

［18]Ben L.PBC library［EB/OL］.（2013-06-14）.https：//crypto.stanford.edu/pbc/.

收稿日期：2021-09-21；

修回日期：2021-11-15

基金項目：國家自然科學(xué)基金資助項目（71964037）；中央引導(dǎo)地方科技發(fā)展專項資金項目（202007AD110001）；電子政務(wù)建模仿真國家工程實驗室開放課題項目（MEL-18-03）

作者簡介：張曉東（1995-），男，河北邯鄲人，碩士研究生，主要研究方向為區(qū)塊鏈技術(shù)、密碼學(xué)；陳韜偉（1972-），男（通信作者），云南昆明人，教授，博士，主要研究方向為信號處理、區(qū)塊鏈技術(shù)（twchen@ynufe.edu.cn）；余益民（1968-），男，云南昆明人，教授，博士，主要研究方向為區(qū)塊鏈技術(shù)；王會源（1997-），男，河南安陽人，碩士研究生，主要研究方向為區(qū)塊鏈技術(shù)、密碼學(xué).