基于區塊鏈的可驗證外包解密屬性基加密方案

李 琳

(鄭州航空工業管理學院 智能工程學院,河南 鄭州 450046)

1 引 言

隨著云計算、物聯網技術的不斷發展及基礎設施的不斷完善，尤其是5G技術的逐漸成熟，智能互聯的綜合能力也得到了較大的提升。為了解決大數據環境下數據存儲困難問題，越來越多的人選擇使用云服務供應商提供的云存儲服務器進行數據的存儲。如今，物聯網技術已經成為智能交通、智能醫療、智能家居、智能穿戴等方面的基礎構架，但在海量數據面前，數據的高效、可靠、安全傳輸問題變得尤為重要[1]。

數據擁有者(DO，data owner)將數據存儲在云端時，云端數據會脫離DO的掌控，面臨著數據泄露的風險。為了解決數據安全問題，常規的方案是非對稱數據加密，即同時擁有公鑰和私鑰。私鑰由DO妥善保管，公鑰由數據服務提供商(DSP, data service provider)發布，數據使用者(DU, Data User)通過向第三方供應商購買公鑰訪問云端數據，解決了DO管理密鑰的難題。但這面臨著兩個難題：一是DO無法做到總能識別所有擁有訪問權限的DU身份[2]；二是信息更新頻繁時，導致多次加密，運算量陡增，效率低下[3]。為了解決上述難題，Shamir[4]首次提出了身份基加密概念，即通信時不需要密鑰，直接驗證通信方身份，但在實際應用時面臨很多問題。Sahai等[5]基于Shamir的研究提出了基于身份加密的屬性基加密(Attribute-Based Encryption, ABE)方案，用戶身份用一組屬性集來表示，加密信息用另一組屬性集表示，當且僅當兩個屬性集的交集不少于門限時才能解密加密信息。但是門限機制表達訪問策略的效率低下，故而更為高效的基于密鑰策略(Key-Policy, KP)[6]的ABE方案和基于密文策略(Ciphertext-Policy, CP)[7]的ABE方案被提了出來。圍繞CP-ABE的研究也開始從多個方面展開：比如加密/解密效率、策略隱藏、加密信息/密鑰長度、屬性撤銷等。如Lewko[8]支持屬性撤銷功能的ABE方案。Attrapadung[9]研究了系統屬性數目與加密信息長度的關系。Kapadia[10]，Nishide[11]和王悅[12]等人提出了可實現策略隱藏的CP-ABE方案。Lai先后提出了基于合數階雙線性群的策略隱藏的ABE方案以及基于線性秘密共享方案的部分策略隱藏的ABE方案。為了減少數據使用者的本地計算量，同時確保可驗證外包解密，他又提出了可驗證外包解密的ABE方案[13]。該方案會通過生成一個隨機信息作為對加密信息的許可來實現可驗證性，從而導致運算效率低下。

區塊鏈概念作為比特幣等加密貨幣存儲數據的獨有方式為人所熟知，但是區塊鏈作為實現了數據公開透明、可追溯的架構設計方法[17]，加密貨幣僅是其開發實現的一類產品。區塊鏈技術架構可分為6層，如圖1所示。數據層作為最底層技術，主要功能是存儲數據和保證賬戶的安全及交易的實現。例如區塊鏈并非完全不可篡改，但是哈希函數、非對稱加密等密碼學原理給予了區塊鏈安全保障。網絡層功能是網絡節點之間傳遞信息和參與區塊數據校驗和記賬的過程，例如P2P網絡實現節點對節點的傳輸，其他節點會驗證本節點交易信息的有效性即驗證機制。共識層功能是讓網絡層的眾多分散節點針對區塊數據的有效性達成共識，決定可添加到主鏈中的新區塊，由共識算法和共識機制合作完成。激勵層有著一套激勵機制，使得全網節點參與區塊鏈系統的建設維護，從而保障區塊鏈系統的安全可靠。合約層封裝各類腳本代碼、算法以及智能合約，是實現節點之間數據交流存儲的基礎。應用層即區塊鏈在不同場景的應用，例如時間戳由達成共識的節點共同驗證和記錄，可應用于數據公正和審計要求嚴格的場景。本文中區塊鏈與CP-ABE算法結合，在強化系統可靠性的同時提高算法運算效率。

圖1 區塊鏈架構圖

區塊鏈技術又被稱為“共識技術”，是按照時間順序將加密的數據(即區塊)進行疊加，生成永久的、不可逆向修改的記錄。在區塊鏈下，共識機制在不同系統中均處于核心地位，其最大的特點是安全性較高。具體可表現為三個方面：其一為單向性，例如哈希算法的單向性是保證區塊鏈的記錄不被篡改的基礎技術之一。其二為抗碰撞性，即區塊鏈具備唯一性，對于一個給定的區塊，無法生成另一與其完全一致的區塊。其三為數據的可驗證性，區塊鏈中采用默克爾樹(Merkle Tree，即哈希樹)結構，默克爾樹實現對哈希值的逐層記錄，這保證了對于底層數據的任何變動，都將傳遞到其父節點，并沿著路徑一直到樹根，這保證了數據關系容易得到驗證。

近年來，比特幣系統的出現讓人們逐步認識到了區塊鏈技術的優勢。進而，基于區塊鏈技術的分布式和高可靠性模式[14]為數據的存儲和傳遞提供了新的解決途徑。目前關于屬性基訪問控制的研究主要圍繞細粒度和實現多級安全訪問開展，區塊鏈技術的發展為解決上述問題提供了新的解決方案。一是區塊鏈不可篡改、可追溯的特性[15]，可用于存儲公共屬性參數，記錄每個用戶的訪問記錄，即提供存儲功能；二是區塊鏈可編程的特性[16]，可通過區塊鏈的智能合約實現自動解密和驗證，降低DU的本地運算量，即提供計算功能。本文在Lai方案[13]的基礎上提出了一種基于區塊鏈的外包可驗證的屬性基加密方案，并通過性能分析和實驗驗證了本方案的可行性。

2 預備知識

2.1 合數階雙線性群

假定雙線性群生成算法ζ，雙線性群表示為(p=p1p2p3,G0,G1,e)。其中p1,p2,p3是不同的素數，G0,G1為階p=p1p2p3的乘法循環群，Gp1表示群的階是pi的子群。雙線性映射e:G0×G0→G1滿足[18]：

2)?g∈G0，使e(g·g)為G1的生成元。

3)?x,y∈G0，存在著一個多項式時間算法可運算e(x,y)。

4)?gi∈Gpi,?gj∈Gpj，假定i≠j，則e(gi,gj)=1。

2.2 方案設計

如圖2所示，本方案由密鑰授權中心(Key Management Center)、數據擁有者(DO)、數據使用者(DU)、云服務器(CSP)以及區塊鏈五部分組成。各部分職能如下：

密鑰授權中心：通過執行系統寫入的算法生成公鑰和主密鑰。公鑰保存在區塊鏈上，由數據使用者通過訪問區塊鏈獲得，主密鑰用于私鑰生成授權。

DO：制定訪問策略，加密數據，上傳密文；使用外包計算器對密文進行外包解密；通過區塊鏈中的智能合約，驗證解密密文的正確性。

DU：通過向云服務器發起訪問請求，使用私鑰執行密鑰轉換算法對外包進行解密以及智能合約匹配，驗證使用者信息。驗證成功后，解密密文并恢復數據。

CSP：主要負責外包解密、用戶屬性和密文策略匹配，并將解密密文傳遞給智能合約，減輕數據使用者的本地計算壓力。

區塊鏈：區塊鏈具有防止篡改、可追溯、公開透明的特性，可避免驗證參數被惡意修改。將其與訪問控制策略結合，能夠可靠地存儲密鑰和保留用戶訪問記錄。通過智能合約，用戶信息通過驗證，當形成合法的交易時，區塊鏈節點會將本次交易打包成區塊保存到主鏈，形成不可篡改、可追溯的可信記錄。

圖2 系統模型圖

3 算法設計

為了實現外包可驗證的CP-ABE方案，本算法在常規CP-ABE算法基礎上增加了密鑰轉換算法GenTK(PK,SK)和密文轉換算法Transform(PK,CT,TK)。算法構成如下：

1)系統建立算法setup(λ,U)→(PK,MSK)

2)密鑰生成算法KeyGen(PK,MSK,δ)→(SK)

SKδ={δ,K,K0,Ki,?i∈δ}

3)加密算法Encrypt(PK,M,A)→(CT)

(1)

輸出的密文形式為CT={C,C′,Ci,Di}

4)密鑰轉換算法GenTK(PK,SK)→(TK,RK)

檢索密鑰即為RK=z

5)密文轉換算法Transform(PK,CT,TK)→CT′

(2)

6)解密算法(M′)←Decrypt(CT′,PK)

在智能合約中，輸入檢索密鑰和轉換密文PK和轉換密文CT′，計算

(3)

4 方案分析與實驗驗證

4.1 方案分析

本方案的安全模型沿用Lai方案，安全性分析及證明見參考文獻[13]。本文選取了Green方案[19]、Li方案[20]以及Lai方案與本文提出的屬性基加密方案進行性能參數上的對比，見表1。本方案與Lai方案的通信開銷對比見表2，兩方案各階段算法運算量對比見表3。

表1 性能對比

表中n為用戶屬性的個數，Tmap為雙線性群計算所耗時間，Te為指數運算所耗時間，|Gpi|為群Gpi內元素的長度。

為了區分表中對比數據的差異性，特選取了雙線性群和指數運算兩種計算耗時較長的算法進行分析。從表1可以看出，雖然Green方案相比于本方案密文開銷較少，但是本方案具有可驗證性且能隱藏策略。本方案相比于Lai方案以及Li方案，無論是在功能性還是解密時間上均有所優化。可見本方案比其他屬性基加密方案具有更高的安全性和可驗證性，并具有更高的本地解密效率。

表2中m為系統內屬性的個數。由表2可見本方案的公鑰和主密鑰的長度更長，驗證了本方案的匿名性。從表3可見本方案和Lai方案的區別在于本方案利用區塊鏈中智能合約來進行外包驗證和解密，在加密和外包解密階段節省了大量的計算時間，甚至本地解密計算量幾乎為0，降低了DU的本地計算性能門檻。

表2 通信開銷對比

表3 運算量對比

4.2 實驗驗證

實驗環境配置如表4所示。雙線性群映射中群的階數為160比特，群內的元素大小為1024比特。在3節中計算了方案6個階段的算法運算量，現通過實驗記錄兩種方案在各階段的耗時，對比結果如圖3～圖8所示

表4 環境配置

圖3 屬性數目與系統建立耗時的關系

圖4 屬性數目與生成密鑰耗時的關系

圖5 屬性數目與加密耗時的關系

圖6 屬性數目與轉換密鑰耗時的關系

圖7 屬性數目與外包解密耗時的關系

圖8 屬性數目與本地解密耗時關系

如圖3、圖4所示，在建立系統、生成密鑰兩階段，運算量隨著屬性數目的增加而逐漸增大，運算耗時也隨之延長。雖然本方案的運算耗時比Lai方案的耗時更多且隨著屬性數目的增加而逐漸增大，但是最大差距也在0.5s以內，相對于整個方案的運算耗時而言影響微乎其微。如圖6所示，在轉換密鑰階段，屬性數目對運算量的影響可忽略不計，隨著屬性數目的增加，本方案的耗時比Lai方案的耗時長，但最大差距僅為0.03s，相對于整個方案耗時而言影響同樣微乎其微。如圖8所示，在本地解密階段由于本方案通過區塊鏈中的智能合約進行解密，為DU省去了本地解密過程，因此本方案耗時為0，相比于Lai方案提高了運算效率，提升了DU的使用體驗。

如圖5所示，在密文加密階段，運算量隨著屬性數目的增加而逐漸增大，運算耗時也隨之延長，而且對于任意屬性數目，本方案的加密耗時都要比Lai 方案耗時短，最大差距在1s左右，經分析原因是Lai方案在對密文進行加密時沒有對真實信息與隨機信息予以區分，對其均進行驗證，而本方案僅耗時加密真實信息。如圖7所示，在外包解密階段，運算量隨著系統屬性數目的增加而增大，運算耗時也隨之延長，且對于任意屬性數目，本方案的外包解密耗時都要比Lai方案耗時長，經分析其原因是本方案相比于Lai方案增加了匿名性。

5 結 論

考慮到現有的屬性基加密方案具有訪問策略易暴露、解密成本高以及屬性授權機構權限過高等問題，本文將訪問控制與區塊鏈相結合，提出了一種基于區塊鏈的外包可驗證的屬性基加密方案，通過使用合數階雙線性群實現外包可驗證的策略隱藏，區塊鏈因為不可篡改、可追溯等特性作為可信的數據庫保存公共參數，同時搭載著智能合約可完成外包驗證算法，減輕了用戶的本地計算壓力，具有可自動轉賬、可審計訪問日志的優點。最后通過方案分析和實驗驗證了本方案比Lai方案具有更高的計算效率。