基于CP-ABE 和區(qū)塊鏈技術(shù)的數(shù)據(jù)安全共享技術(shù)

王賢哲

摘要：針對傳統(tǒng)訪問控制機(jī)制中存在的靈活性較低、安全性不夠等問題，文章將CP-ABE與區(qū)塊鏈技術(shù)引入到數(shù)據(jù)安全共享中。提出了一種基于CP-ABE（Attribute-Based Encryption） 與區(qū)塊鏈技術(shù)的數(shù)據(jù)安全共享方案。該方案首先利用CP-ABE技術(shù)對數(shù)據(jù)進(jìn)行加密，然后利用區(qū)塊鏈的分布式特性和不可篡改性來確保數(shù)據(jù)共享的可靠性和安全性。通過實(shí)驗(yàn)和對比，驗(yàn)證了該方案在數(shù)據(jù)安全共享方面的優(yōu)勢。最后，對數(shù)據(jù)安全共享技術(shù)未來的發(fā)展和應(yīng)用關(guān)鍵方向進(jìn)行了探討和展望。

關(guān)鍵詞：CP-ABE；區(qū)塊鏈技術(shù)；數(shù)據(jù)安全共享

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）14-0083-03 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID） ：

隨著物聯(lián)網(wǎng)的普及與云計(jì)算技術(shù)的發(fā)展，數(shù)據(jù)的復(fù)雜性與規(guī)模呈現(xiàn)爆發(fā)式增長的趨勢。在這種背景下，傳統(tǒng)數(shù)據(jù)共享方式中的訪問控制和數(shù)據(jù)隱私保護(hù)面臨著巨大挑戰(zhàn)和問題。例如，無法有效處理動(dòng)態(tài)變化的訪問策略、難以實(shí)現(xiàn)細(xì)粒度的訪問控制，以及不能保證數(shù)據(jù)的可靠性和安全性等。為了有效解決上述問題，本文基于CP-ABE與區(qū)塊鏈技術(shù)，設(shè)計(jì)了一種新的數(shù)據(jù)安全共享方案。該方案不僅能實(shí)現(xiàn)細(xì)粒度的訪問控制，還能實(shí)現(xiàn)共享的可追溯性，從而顯著提高數(shù)據(jù)的可管理性和可信度。

1 相關(guān)技術(shù)

1.1 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)作為一種革命性的分布式賬本技術(shù)，由多個(gè)部分組成，包括數(shù)據(jù)層、網(wǎng)絡(luò)層、應(yīng)用層、合約層、激勵(lì)層和共識層，構(gòu)成了完整的區(qū)塊鏈架構(gòu)。在應(yīng)用層，區(qū)塊鏈可以實(shí)現(xiàn)可編程貨幣、可編程社會(huì)和可編程金融等應(yīng)用場景。合約層通過算法機(jī)制和腳本代碼來編寫和執(zhí)行智能合約。激勵(lì)層涉及發(fā)行機(jī)制和分配機(jī)制，通過為參與者提供激勵(lì)來維護(hù)和運(yùn)行區(qū)塊鏈網(wǎng)絡(luò)。共識層利用PoS（Proof of Stake，權(quán)益證明）、DPoS（Delegated Proof of Stake，委托權(quán)益證明）、PBFT（Practical Byzantine Fault Tolerance，實(shí)用拜占庭容錯(cuò)）、PoW（Proof of Work，工作量證明）等共識算法來確保網(wǎng)絡(luò)中的節(jié)點(diǎn)在某個(gè)事務(wù)上達(dá)成一致。網(wǎng)絡(luò)層利用驗(yàn)證機(jī)制、傳播機(jī)制和P2P（Peer-to-Peer，點(diǎn)對點(diǎn)）網(wǎng)絡(luò)來保障信息傳遞和驗(yàn)證的可靠性。數(shù)據(jù)層利用鏈?zhǔn)浇Y(jié)構(gòu)、Merkle樹（哈希樹）、數(shù)據(jù)區(qū)塊和加密技術(shù)等手段來確保數(shù)據(jù)的不可篡改性和安全性[1]。完整的區(qū)塊鏈架構(gòu)如圖1所示。

利用區(qū)塊鏈技術(shù)及其特點(diǎn)，能夠構(gòu)建一個(gè)安全可信與去中心化的系統(tǒng)。這種技術(shù)的應(yīng)用為各行各業(yè)的創(chuàng)新與發(fā)展提供了新的思路，可以大幅提高交易的效率和降低中間環(huán)節(jié)的成本，并在數(shù)據(jù)可信度、溯源及隱私等方面具有重要現(xiàn)實(shí)意義。

1.2 基于CP-ABE 的數(shù)據(jù)共享技術(shù)

基于CP-ABE的數(shù)據(jù)共享技術(shù)可以實(shí)現(xiàn)數(shù)據(jù)隱私保護(hù)與細(xì)粒度訪問控制。CP-ABE基于屬性向量與訪問策略來解密與加密數(shù)據(jù)，僅允許符合特定屬性的用戶解密和訪問相應(yīng)的數(shù)據(jù)。CP-ABE的基本原理是，數(shù)據(jù)擁有者可以定義一個(gè)多重屬性組成的訪問策略，只有符合訪問策略中所要求屬性的用戶才能得到相應(yīng)的密鑰來解密數(shù)據(jù)。這種方式能夠靈活地指定訪問權(quán)限，實(shí)現(xiàn)細(xì)粒度的訪問控制。該技術(shù)具有保護(hù)數(shù)據(jù)隱私、控制靈活、支持動(dòng)態(tài)更新與撤銷等特點(diǎn)，在實(shí)際應(yīng)用中具有較大的優(yōu)勢。

1.3 基于區(qū)塊鏈的數(shù)據(jù)共享技術(shù)

基于區(qū)塊鏈的數(shù)據(jù)共享技術(shù)充分利用區(qū)塊鏈的分布式特性、不可篡改性和去中心化等特點(diǎn)，能夠有效保障數(shù)據(jù)的可靠性和完整性，同時(shí)提供可追溯性和透明性。該技術(shù)具有多重優(yōu)勢。首先，通過區(qū)塊鏈的不可篡改特性，保證了數(shù)據(jù)的可信度和安全性。其次，通過智能合約機(jī)制，可以定義和執(zhí)行數(shù)據(jù)共享訪問控制策略，實(shí)現(xiàn)細(xì)粒度的權(quán)限管理。此外，區(qū)塊鏈的共識算法和分布式特性還保證了數(shù)據(jù)的一致性和可靠性，顯著提高了數(shù)據(jù)共享的可信度和效率。基于區(qū)塊鏈的數(shù)據(jù)共享技術(shù)在各行業(yè)領(lǐng)域都有廣泛的應(yīng)用。例如，在供應(yīng)鏈管理中，可以實(shí)現(xiàn)供應(yīng)鏈數(shù)據(jù)的溯源和共享；在金融領(lǐng)域，可以實(shí)現(xiàn)安全的跨境支付和交易；在醫(yī)療健康領(lǐng)域，可以實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的授權(quán)訪問和安全共享。

2 基于CP-ABE 和區(qū)塊鏈的數(shù)據(jù)安全共享方案設(shè)計(jì)

2.1 系統(tǒng)模型

本文設(shè)計(jì)的數(shù)據(jù)安全共享方案涉及六個(gè)主要角色，分別是屬性管理器（AM） 、區(qū)塊鏈（BC） 、可信授權(quán)中心（TA） 、云服務(wù)商（CSP） 、數(shù)據(jù)用戶（DU） 及數(shù)據(jù)擁有者（DO） [2]。數(shù)據(jù)擁有者按照指定的訪問策略加密數(shù)據(jù)，并對交易數(shù)據(jù)進(jìn)行簽名；數(shù)據(jù)用戶作為請求訪問數(shù)據(jù)的實(shí)體，需要使用相應(yīng)的密鑰來解密數(shù)據(jù)，且在解密階段，可以驗(yàn)證數(shù)據(jù)是否被篡改；云服務(wù)商負(fù)責(zé)存儲(chǔ)和管理加密的數(shù)據(jù)，并對密文哈希值進(jìn)行簽名，提供數(shù)據(jù)存儲(chǔ)與計(jì)算服務(wù)的同時(shí)，保障數(shù)據(jù)的安全性；可信授權(quán)中心負(fù)責(zé)完成系統(tǒng)的初始化工作，為數(shù)據(jù)用戶生成密鑰加密密鑰與私鑰，如果屬性發(fā)生撤銷，可信授權(quán)中心需要及時(shí)更新屬性群密鑰；系統(tǒng)借助聯(lián)盟區(qū)塊鏈來存儲(chǔ)和使用數(shù)據(jù)共享的相關(guān)信息，每個(gè)區(qū)塊都包括密文的哈希值與存儲(chǔ)位置；屬性管理器用于密文的重加密，尤其是屬性發(fā)生撤銷時(shí)，其執(zhí)行密文更新算法，同時(shí)其還與云服務(wù)商進(jìn)行密文交互，以保障數(shù)據(jù)的可靠性與安全性。這些角色相互配合，共同實(shí)現(xiàn)了數(shù)據(jù)的訪問控制與安全共享[2]。系統(tǒng)模型圖如圖2所示。

2.2 算法定義

算法定義過程如下：1） 系統(tǒng)初始化階段，TASetup（1λ，U）→（PK，MSK）、CSPSteup（PK）→（CPK，CSK）、DOS?teup（PK）→（DPK， DSK）。可信授權(quán)中心（TA） 執(zhí)行算法，生成系統(tǒng)公鑰PK與主私鑰MSK，再使用PK生成CSP與DO的公鑰與私鑰。2） 密鑰生成階段，TAKey?gen（id， PK， MSK， L）→（SK， KEK'）、AMKekgen（KEK'， L）→KEK。先由TA執(zhí)行算法，生成用戶私鑰與屬性群初始密鑰；再由AM執(zhí)行算法生成屬性群密鑰。3） 數(shù)據(jù)文件加密階段，DOEnc（PK， Data， W）→CT'、AMRenc（PK， CT'）→（CT， Hdr）、SignatureGen（CT）→（SigCSP（CT），Loc）。數(shù)據(jù)擁有者執(zhí)行算法加密數(shù)據(jù)文件，并生成中間密文，再由屬性管理器執(zhí)行重加密操作，生成最終密文與密文頭，云服務(wù)商對密文完成簽名，同時(shí)生成簽名，并將密文存儲(chǔ)位置發(fā)送至數(shù)據(jù)擁有者。4） 交易產(chǎn)生階段，TransGen（SigCSP（CT））→transaction。數(shù)據(jù)擁有者按照云服務(wù)商發(fā)來的簽名完成密文驗(yàn)證，如果成功則創(chuàng)建交易，并將密文哈希值、密文存儲(chǔ)位置及數(shù)據(jù)擁有者的公鑰保存到交易中，同時(shí)計(jì)算出交易的哈希值，對其他節(jié)點(diǎn)進(jìn)行廣播。5） 解密階段，Decrypt（PK， SK， CT， Hdr， KEK）→Data。數(shù)據(jù)用戶執(zhí)行算法，使用私鑰、屬性群密鑰來解密密文，從而得到明文信息。6） 用戶屬性撤銷階段，TAUpKEK（MSK， KEK， Lx）→-K---E-K-、AMUpCT（PK， CT， Hdr， Lx）→（---- CT，- - -- -Hdr）。可信授權(quán)中心執(zhí)行屬性撤銷算法，并更新屬性群密鑰，再由屬性管理器執(zhí)行算法，更新密文，生成最新的密文與密文頭[3]。

2.3 具體方案構(gòu)造

方案構(gòu)造思路如下：1） TA生成系統(tǒng)公鑰與主私鑰，將其與生成元與雙線性映射函數(shù)進(jìn)行定義，同時(shí)CSP和DO生成各自的公私鑰對；2） TA結(jié)合用戶屬性選擇生成屬性群初始密鑰與用戶私鑰，AM生成屬性組密鑰；3） DO用對稱密鑰加密明文數(shù)據(jù)，生成訪問樹，并將密文與訪問樹發(fā)送至AM；4） AM計(jì)算出重加密密文，同時(shí)生成密文頭，并將密文與密文頭發(fā)送至CSP與DO；5） DO生成交易，同時(shí)廣播給其他節(jié)點(diǎn)；6）DU結(jié)合交易信息與CSP返回的密文完成解密操作，獲取明文數(shù)據(jù)；7） 如果用戶屬性發(fā)生撤銷，TA和AM 更新系統(tǒng)公鑰、主私鑰等[4]。經(jīng)過上述過程與操作，能夠很好地實(shí)現(xiàn)數(shù)據(jù)安全共享方案的功能特性與安全性要求。

2.4 性能分析與安全性

本文設(shè)計(jì)的方案在功能性、存儲(chǔ)與計(jì)算開銷及加解密效率等方面表現(xiàn)出色。相較于其他方案，該方案實(shí)現(xiàn)了策略隱藏與屬性撤銷功能，功能特征更豐富；存儲(chǔ)開銷較低，計(jì)算開銷相對較小，并在解密階段具有較高的效率，非常適用于屬性頻繁變動(dòng)的應(yīng)用場景。其中，不同方案在功能性上的對比結(jié)果如表1所示[5-7]。

該方案具有前向安全性、后向安全性和抗攻擊性。在該方案中，如果用戶的屬性被撤銷，AM會(huì)更新密文，而屬性組密鑰由TA負(fù)責(zé)更新。當(dāng)用戶撤銷屬性后的訪問策略與密文的訪問策略不符合時(shí)，用戶將無法解密密文。同樣地，如果用戶的屬性與密文數(shù)據(jù)的訪問策略不符合，用戶也無法解密密文。屬性組密鑰將節(jié)點(diǎn)存儲(chǔ)的隨機(jī)值當(dāng)作加密密文部件的隨機(jī)值，當(dāng)用戶的屬性被撤銷時(shí)，無法獲取對應(yīng)的屬性組密鑰和隨機(jī)值。同時(shí)，通過私鑰和可信授權(quán)中心的更新，有效地防止和預(yù)防用戶合謀攻擊。

2.5 未來發(fā)展與應(yīng)用

隨著數(shù)據(jù)安全共享技術(shù)的不斷發(fā)展與廣泛應(yīng)用，其也面臨著諸多挑戰(zhàn)與改進(jìn)方向，以下是其未來發(fā)展與應(yīng)用的挑戰(zhàn)與關(guān)鍵研究方向：

1） 加密與解密算法的研究：目前加密算法在實(shí)際應(yīng)用中仍存在諸多局限性，尤其是在大規(guī)模數(shù)據(jù)共享場景下。需要研究并設(shè)計(jì)更安全、高效的加密與解密算法，以提高解密與加密的效率與速度，同時(shí)保證密鑰的安全管理與分發(fā)。改進(jìn)現(xiàn)有非對稱加密算法與對稱加密算法，以提高解密與加密的效率與速度，并考慮密鑰管理的問題，保證密鑰的安全管理與分發(fā)。另外，需要不斷探索和設(shè)計(jì)更多新的加密算法，如基于量子密碼學(xué)、混沌理論等新興技術(shù)，以滿足未來數(shù)據(jù)安全共享的需求。保證數(shù)據(jù)的機(jī)密性的同時(shí)，也要關(guān)注數(shù)據(jù)的完整性保護(hù)，可能需要設(shè)計(jì)合理的消息認(rèn)證碼技術(shù)與數(shù)字簽名算法來實(shí)現(xiàn)，并研究與設(shè)計(jì)更安全、高效的密鑰管理機(jī)制，以保障密鑰的可信度與安全性。

2） 區(qū)塊鏈技術(shù)的應(yīng)用擴(kuò)展：區(qū)塊鏈技術(shù)在數(shù)據(jù)安全共享應(yīng)用中發(fā)揮著重要作用，然而，也面臨一些挑戰(zhàn)與限制。為進(jìn)一步推動(dòng)和促進(jìn)區(qū)塊鏈技術(shù)在數(shù)據(jù)安全共享相關(guān)領(lǐng)域的發(fā)展與創(chuàng)新，首先，需要解決區(qū)塊鏈的擴(kuò)展性問題與交易速度。目前區(qū)塊鏈的交易速度還比較慢，這一定程度上限制了其廣泛應(yīng)用，相關(guān)研究人員與專家學(xué)者可以探索改進(jìn)共識算法、分片技術(shù)等來提高吞吐量與交易處理速度。其次，區(qū)塊鏈技術(shù)應(yīng)用中還有另一個(gè)重要問題，即隱私保護(hù)。現(xiàn)有區(qū)塊鏈技術(shù)在隱私保護(hù)方面仍存在諸多不足，如缺乏身份匿名性、交易信息的公開性等。未來研究需要集中于設(shè)計(jì)更加友好安全的區(qū)塊鏈機(jī)制與協(xié)議，如同態(tài)加密、零知識證明等，以更好保障數(shù)據(jù)共享過程中的隱私保護(hù)。另外，區(qū)塊鏈技術(shù)的應(yīng)用范圍還需要進(jìn)一步擴(kuò)展，當(dāng)前區(qū)塊鏈多應(yīng)用于金融領(lǐng)域，其在物聯(lián)網(wǎng)、供應(yīng)鏈管理及醫(yī)療保健等領(lǐng)域尚未完全發(fā)掘，未來研究重點(diǎn)可以放在這些領(lǐng)域，研究并設(shè)計(jì)對應(yīng)的區(qū)塊鏈解決方案，例如，可將物聯(lián)網(wǎng)與區(qū)塊鏈技術(shù)緊密結(jié)合，以實(shí)現(xiàn)設(shè)備間的可信數(shù)據(jù)共享與交換。

3） 數(shù)據(jù)可用性與隱私保護(hù)：數(shù)據(jù)的可用性旨在保證合法用戶能夠正確解密與使用數(shù)據(jù)，隱私保護(hù)的主要目的是確保數(shù)據(jù)在存儲(chǔ)、傳輸及處理過程中不被泄露或避免發(fā)生未授權(quán)方訪問。為保障數(shù)據(jù)的可用性，需要研究并設(shè)計(jì)更安全、有效的機(jī)制來保證合法用戶能夠正確解密與使用數(shù)據(jù)，這涉及探索改進(jìn)密鑰管理機(jī)制、優(yōu)化訪問策略的執(zhí)行效率以及研究更高效的解密算法。另外，還可以結(jié)合使用數(shù)據(jù)預(yù)取、緩存技術(shù)等方法來有效提高數(shù)據(jù)的響應(yīng)性、及時(shí)性與訪問速度，以更好地滿足實(shí)時(shí)數(shù)據(jù)共享的需要。在隱私保護(hù)方面，需要進(jìn)一步探索和設(shè)計(jì)更可靠科學(xué)的隱私保護(hù)技術(shù)，以保障數(shù)據(jù)在存儲(chǔ)、處理及傳輸過程中不會(huì)被泄露關(guān)鍵信息，這需要綜合運(yùn)用同態(tài)加密、數(shù)據(jù)加密等先進(jìn)加密技術(shù)來保護(hù)關(guān)鍵信息，同時(shí)，還需要綜合使用隱私保護(hù)算法及協(xié)議來對數(shù)據(jù)的訪問與使用進(jìn)行限制，如安全多方計(jì)算、差分隱私等，從而更好地保護(hù)用戶的隱私信息。

3 結(jié)束語

綜上所述，本文提出的數(shù)據(jù)安全共享方案綜合運(yùn)用了CP-ABE的細(xì)粒度訪問控制與區(qū)塊鏈的分布式特性和不可篡改性，能夠有效解決傳統(tǒng)數(shù)據(jù)共享方式中存在的數(shù)據(jù)可信度和訪問控制限制等問題，具有積極的意義。該方案不僅提高了數(shù)據(jù)共享的安全性，還增強(qiáng)了數(shù)據(jù)共享的可追溯性和可靠性，這有助于促進(jìn)數(shù)據(jù)安全共享的創(chuàng)新與發(fā)展。未來，將持續(xù)研究與探索新興技術(shù)的應(yīng)用，如邊緣計(jì)算、機(jī)器學(xué)習(xí)等，以探索更高效、先進(jìn)的數(shù)據(jù)安全共享解決思路與方案。

參考文獻(xiàn)：

[1] 施亞東.基于區(qū)塊鏈技術(shù)的企業(yè)金融科技數(shù)據(jù)安全共享方法[J].產(chǎn)業(yè)與科技論壇，2023，22（12）：41-43.

[2] 王維，宋倩.區(qū)塊鏈技術(shù)視域下的醫(yī)療數(shù)據(jù)共享安全平臺設(shè)計(jì)研究[J].現(xiàn)代信息科技，2022，6（18）：20-23，27.

[3] 張曉婷.基于區(qū)塊鏈技術(shù)的基因數(shù)據(jù)安全共享系統(tǒng)的研究與設(shè)計(jì)[D].合肥：中國科學(xué)技術(shù)大學(xué)，2021.

[4] 夏景，高琦.基于區(qū)塊鏈技術(shù)的工業(yè)制造數(shù)據(jù)安全共享方法[J].電子設(shè)計(jì)工程，2022，30（5）：165-169.

[5] 李節(jié).面向隱私數(shù)據(jù)安全共享的區(qū)塊鏈技術(shù)研究與應(yīng)用[D].南京：東南大學(xué)，2021.

[6] 吳正雪.基于區(qū)塊鏈和CP-ABE的大數(shù)據(jù)安全共享技術(shù)研究[D].包頭：內(nèi)蒙古科技大學(xué)，2022.

[7] 鐘金榮.基于區(qū)塊鏈和CP-ABE的安全可驗(yàn)證數(shù)據(jù)共享技術(shù)研究[D].濟(jì)南：齊魯工業(yè)大學(xué)，2023.

【通聯(lián)編輯：張薇】