基于混合加密技術的電力物資抽檢信息加密方法探索

一、引言

（一）研究背景

在信息化和數字化飛速發展的今天，電力行業作為國家經濟的重要支柱，其安全運行和管理愈發引人關注。隨著電力行業的不斷發展和擴展，電力設備和物資的管理變得日益復雜和繁瑣，如何確保物資管理的高效、安全和可靠，成為了電力企業面臨的重要課題。然而，當前電力物資抽檢管理領域仍面臨著一系列挑戰，其中最為突出的問題在于信息安全和權限管理。

傳統的物資抽檢流程通常采用二維碼、條形碼等方式對物資進行標識，這些標識包含了物資的詳細信息，如制造商、供應商、日期、批次等。由于這些信息通常以明文形式存在，任何人只需通過簡單的掃描設備就能輕易獲取信息，信息安全性極低。

同時，傳統的抽檢管理系統在權限控制方面也存在顯著不足。現有的權限管理往往采用簡單的用戶角色劃分方式，缺乏細粒度的權限控制手段，無法根據用戶的具體屬性和需求進行靈活的權限配置。導致在實際操作中，常常出現權限濫用和信息泄露的情況。例如，一些普通員工可能通過共享賬號或越權訪問獲取到敏感信息，出現廉政風險，而這些信息原本只應當由特定的管理人員或技術人員訪問。

（二）問題陳述

當前的物資抽檢信息管理方式存在多種缺陷。首先，信息直接暴露在外，容易遭受篡改和信息泄露。其次，權限管理不足，導致信息濫用和潛在的安全風險，比如在廠外抽檢中， 取樣、送樣是重要環節， 但因經手人員多， 涉及單位多， 管理流程長， 若信息泄露，則存在著被試樣品被“調包”的巨大風險。因此，需要一種更為安全和高效的信息加密管理來解決這些問題。

（三）研究現狀

目前，加密算法作為數據安全的核心技術，正在不斷發展。主要包括對稱加密算法（如 AES）、非對稱加密算法（如 RSA 和 ECC，適用于不同場景的密鑰管理和數據加密），以及屬性基加密（適用于細粒度的訪問控制）。

（四）解決方案

單一加密技術難以同時滿足高安全性和復雜權限管理的需求，常常通過設計混合加密技術來解決問題。本研究為解決信息加密與實現細粒度的權限管理，提出采用RSA和CP-ABE相結合的加密技術，RSA提供強大的數據加密能力，確保信息在傳輸過程中的機密性和完整性，而CP-ABE則允許基于用戶屬性進行訪問控制，實現更為精細化的權限管理。通過結合這兩種加密技術的優勢，實現對物資抽檢信息的高效保護和多權限管理。預期能夠提升信息安全性、管理效率，并解決傳統方法中的主要問題。

二、基于RSA與屬性基的二次加密解密方法

（一）RSA加密原理

RSA加密算法是一種廣泛使用的公鑰加密技術，由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出。它基于大整數分解的困難性，是一種非對稱加密算法，即加密和解密使用不同的密鑰。在RSA算法中，有兩個密鑰：公鑰用于加密（2.1）數據，得到密文c；私鑰用于解密（2.2），得到明文m。公鑰e和私鑰d是一對，由兩個大素數的乘積生成。RSA算法的安全性依賴于大整數分解問題的難度，目前它被廣泛用于安全數據傳輸。

（二）CP-ABE加密原理

屬性基加密（ABE）是一種先進的加密形式，它允許加密數據基于用戶屬性或用戶所屬的屬性組進行訪問控制。CP-ABE是ABE的一種形式，其中加密策略是與密文相關聯的。在CP-ABE中，加密者可以定義一個策略，該策略指定哪些屬性的組合是解密所必需的。用戶擁有一個私鑰，該私鑰與他們的屬性相關聯。只有當用戶的屬性滿足加密時定義的策略時，他們才能解密數據。提供了一種靈活的訪問控制機制，允許細粒度的權限管理。

1. 基本算法

CP-ABE 加密算法涉及到屬性集合，訪問控制結構和訪問控制樹。

（1）屬性集合：設每個參與者的身份信息由一個屬性集合Ai表示，P為所有參與者屬性的集合，即Ai是P的一個非空子集.例如：P={國家電網物資檢測相關人員，國家電網，物資供應商，物資檢測商}，Ai={國家電網物資檢測相關人員， 物資供應商}。

（2）訪問控制結構：訪問控制結構是一組判斷條件，通常表示為 Γ，包含P中的若干屬性元素和門限邏輯運算符（如OR、AND 等）。若某個屬性集滿足該判斷條件，稱這個屬性集為授權集，反之為非授權集。

（3）訪問控制樹：訪問控制樹被用來描述訪問控制結構，每個葉子節點x代表一個屬性λx，每個父節點是一個門限邏輯運算符。圖1是{（國家電網物資抽檢相關人員） AND（（國家電網）OR（物資供應商）OR（物資檢測商））}的訪問控制樹。

2. CP-ABE基本模塊

典型且常用的CP-ABE 機制由下列4 個模塊構成：

初始化（Setup）：產生一個公鑰對{PK，MK}，其中，MK是主密鑰，PK是公開參數；

加密算法（Encrypt）：輸入集合為{明文M，訪問控制結構 Γ，公開參數PK}，輸出為密文CΓ，CΓ與訪問控制結構相關聯；

私鑰生成算法（KeyGen）：輸入集合為{屬性集S，公開參數PK，主密鑰MK}，輸出SK，即為用戶的私鑰；

解密算法（Decrypt）：輸入集合為{密文CΓ，公開參數PK，私鑰SK，訪問控制結構Γ}，若屬性集S滿足訪問控制結構Γ，則可以還原出明文M。

三、系統實現與效果驗證

（一）系統設計

本研究提出了一種結合RSA公鑰加密和屬性基加密（CP-ABE）的多權限多信息加密解密方案系統，圖2。該方案能夠實現對不同用戶權限的細粒度控制，系統加解密框架如下：

（二）加密流程

加密流程分為兩個主要步驟：使用RSA公鑰對抽檢信息進行加密和使用CP-ABE對RSA私鑰進行加密。

1. RSA公鑰對抽檢信息進行加密

首先，系統生成RSA密鑰對，即公鑰和私鑰。服務器使用RSA公鑰對電力物資的抽檢信息進行分級加密，將明文信息轉換為密文。這一步驟確保了抽檢信息在傳輸和存儲過程中的安全性，只有持有相應私鑰的人才能解密這些信息。生成的密文在沒有私鑰的情況下是無法解讀的，從而有效地保護了敏感信息。

2.使用CP-ABE對RSA私鑰進行加密

為了實現細粒度的權限管理，系統在使用CP-ABE技術對RSA私鑰進行加密。CP-ABE允許加密策略與密文相關聯，并基于用戶的屬性進行訪問控制。服務器根據用戶的權限屬性對RSA私鑰進行加密。這樣，只有具有特定屬性集合并滿足加密策略的用戶，才能解密并獲取RSA私鑰。

（三）解密流程

解密流程分為三個主要步驟：用戶請求加密信息，使用CP-ABE解密獲取RSA私鑰和使用解密后的RSA私鑰對密文進行解密。

1.用戶請求加密信息

當用戶請求訪問抽檢信息時，用戶需要向服務器提交其屬性參數。服務器接收到請求后，會驗證用戶的屬性。驗證通過后，服務器返回加密的RSA私鑰和相應權限的密文給用戶。這一過程確保了只有經過驗證并具有相應權限的用戶，才能獲得解密密鑰和相應的密文信息。

2.使用CP-ABE解密獲取RSA私鑰

用戶在接收到服務器返回的加密RSA私鑰和權限密文后，首先需要使用CP-ABE解密算法進行解密。用戶通過其屬性參數進行解密操作，如果用戶的屬性滿足預先定義的加密策略，解密過程將成功，用戶能夠獲得解密后的RSA私鑰。此步驟確保了只有符合特定屬性的用戶才能獲得用于解密抽檢信息的RSA私鑰，從而實現細粒度的訪問控制。

3.使用解密后的RSA私鑰對密文進行解密

在成功獲取到RSA私鑰后，用戶使用該私鑰對加密的抽檢信息密文進行解密操作。通過RSA私鑰的解密，用戶能夠將密文轉換回明文，讀取到原始的抽檢信息。此過程保證了信息的安全傳輸和存儲，只有持有正確私鑰的授權用戶才能獲取明文信息，確保了信息的保密性和完整性。

結合RSA和CP-ABE的加密流程和解密流程，系統不僅能夠確保抽檢信息的高效加密和安全傳輸，還能實現對不同用戶權限的精細控制，防止未經授權的訪問和信息泄露，從而全面提升電力物資抽檢信息的安全性和管理效率。

四、系統可用性驗證

在本部分中，我們將詳細描述如何驗證提出的混合加密技術在電力物資抽檢信息保護中的有效性和可行性。驗證環節主要包括權限管理準確性測試和信息安全性證明。

本文設計的實驗環境如下：硬件設備為macbook pro；操作系統為MacOS 13.2.1 （22D68）；內存為16 GB；操作平臺IntelliJ IDEA 2023，Java語言環境；使用SpringBoot作為后端，微信小程序作為前端。

（一）驗證方案描述

為了驗證混合加密技術的性能和安全性，我們設計了一系列實驗場景，模擬不同用戶對加密信息的訪問過程。實驗環境包括具有不同權限的用戶、未授權訪問者以及一個用于加密解密操作的服務器。我們使用真實的電力物資抽檢數據進行測試，以確保實驗結果的可靠性。

（二） 權限管理準確性與安全性測試

驗證系統的權限控制功能，確保不同權限的用戶能夠正確獲取相應的解密信息，同時嘗試在未經授權的情況下獲取加密的抽檢數據。

設計具有不同權限的用戶，包括管理員（國家電網：權限0）、普通用戶（物資供應商：權限1，物資抽檢商：權限2）。CP-ABE訪問控制樹如上圖1。

分別對這些用戶分配對應的抽檢數據RSA加密解密密鑰對。

（1） 對編號T100物資設計明文集，包含三部分信息的明文信息集M={M1，M2，M3}。

（2） 對信息使用RSA進行一次加，得到密文。

（3） 使用CP-ABE對RSA私鑰進行加密，并為用戶返回其權限對應的CP-ABE用戶私鑰。此時不同權限用戶得到不同的私鑰。這里私鑰使用UUID作為代替，訪問API傳參UUID可訪問獲取系統中對應的私鑰。

后臺設定三個權限的用戶，在小程序讓各權限用戶嘗試解密相應的加密信息。

預期結果：權限為0的國家電網用戶可以獲得全部信息，權限為1的用戶可得到M2，M3的信息，權限為2的用戶僅可以得到M3信息。實驗驗證了上述預期。

五、系統的性能與安全性

（一）RSA和CP-ABE加密的性能

加密/解密速度：對1GB的數據進行加密和解密測試，加密操作耗時平均為1.2秒，解密操作耗時平均為1.5秒，性能表現良好。

計算資源消耗：在加密和解密過程中，CPU占用率平均為30%，內存使用率平均為25%，資源消耗在可接受范圍內。

系統響應時間：用戶請求加密信息到獲得解密結果的平均響應時間為300毫秒，能夠滿足實際應用需求。

（二）RSA和CP-ABE的安全性

RSA算法的安全性主要依賴于大整數分解問題的難度。這意味著，只有能夠快速分解一個RSA公鑰對應的大合數，攻擊者才能破解RSA加密。現代計算機即便使用最先進的技術，也無法在合理時間內完成這一分解過程，這使得RSA在實踐中被認為是安全的。RSA也廣泛應用于資產管理數據加密安全存儲。

CP-ABE算法的安全性基于屬性基加密（ABE）的概念。在CP-ABE中，密文包含訪問策略，而用戶的私鑰包含屬性。只有當用戶的屬性滿足密文中的訪問策略時，用戶才能解密數據。這種機制提供了細粒度的訪問控制，并且可以靈活地適應不同的安全需求。CP-ABE通過使用復雜的訪問控制策略，使得即便攻擊者能夠獲取到密文，若其屬性不滿足策略要求，也無法解密密文。這種基于屬性的加密方式，增加了系統的靈活性和安全性。

六、結論

（一）研究成果總結

通過研究和實驗驗證，提出的新型混合加密技術有效提高了電力物資抽檢信息的安全性和管理效率，實現了對不同權限級別的管理和控制，確保了抽檢信息的準確性和可靠性。

（二）研究意義

本研究為電力物資管理提供了一種更加安全高效的解決方案，促進了電力行業的信息化和數字化發展，提升了電力物資抽檢工作的質量和效率。

（三）未來工作

未來的研究方向包括進一步優化加密算法，提高加密解密效率，擴展應用范圍至其他行業的質量抽檢部門，并不斷完善移動終端應用APP的功能和用戶體驗。同時，推進研究成果的實際應用，繼續探索物聯網與區塊鏈技術結合在物資管理中的應用潛力。

作者單位：國網重慶市電力公司物資分公司