基于區(qū)塊鏈的防特權(quán)賬號篡改審計系統(tǒng)*

方國強

（中國移動通信集團浙江有限公司，浙江 杭州 310000）

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息系統(tǒng)與人們生活結(jié)合得越來越緊密，給人們帶來了諸多便利。這些便利也給網(wǎng)絡(luò)黑客帶去了攻擊便利，增加了網(wǎng)絡(luò)攻擊的攻擊面。即使是最強大的網(wǎng)絡(luò)防火墻[1]、入侵檢測系統(tǒng)[2]和反病毒軟件[3]一起，也無法保證信息系統(tǒng)的完全安全。在這種情況下，計算機審計系統(tǒng)[4]的作用愈發(fā)明顯。審計系統(tǒng)通過記錄和分析系統(tǒng)中發(fā)生的操作事件，對攻擊行為進行抽絲剝繭般的分析、追溯和特征歸納，從而對未來網(wǎng)絡(luò)攻擊進行預(yù)警。然而，現(xiàn)有的審計系統(tǒng)往往存在超級管理員權(quán)限過大的問題。具體來說，超級管理員擁有刪除審計記錄的權(quán)限。在極端情況，超級管理員可以監(jiān)守自盜，并且從審計系統(tǒng)中刪除可能追蹤到他的所有審計記錄。此外，調(diào)查研究發(fā)現(xiàn)[5]，60%以上安全攻擊來自于內(nèi)部。因此，超級管理員的極端情況是不得不考慮的安全事件。

針對超級管理員問題，很多學(xué)者和企業(yè)也提出了許多解決方案，主要包括分散法和加層法。分散法中，超級管理員不是一個人，而是一個賬戶，該賬戶由多個人共同管理。當僅有其中的少數(shù)人作惡時，無法獲得審計記錄刪除權(quán)限，從而解決了超級管理員問題。但是，這種方法存在如下問題。超級管理員人數(shù)不能過多，如果人數(shù)過多將不利于日常升級系統(tǒng)的管理；一旦人數(shù)過少，將易使得合謀成功，從而又回到該問題的原點。加層法則指的是在超級管理員上面再設(shè)立一個管理員，該管理員只負責(zé)記錄超級管理員的操作行為。然而，這種方法完全寄托于新設(shè)立管理員的可信度。當該管理員和超級管理員合謀時，超級管理問題將再次發(fā)生。另外，當該管理員作惡如偽造超級管理員操作，將陷害超級管理員。如此一來，要區(qū)分是誰在作假，審計系統(tǒng)還需引進一套決策系統(tǒng)。公平地說，目前已有的審計系統(tǒng)沒有很好地解決超級管理員問題。

2008 年年底，一個化名為中本聰?shù)膶W(xué)者提出了一種新的密碼貨幣，名為比特幣[6]。經(jīng)過不斷發(fā)展，將在比特幣中涉及的技術(shù)歸納總結(jié)為區(qū)塊鏈技術(shù)。區(qū)塊鏈技術(shù)可以在一個無中心的不可信的環(huán)境中建立可信數(shù)據(jù)鏈，這些數(shù)據(jù)共享于全網(wǎng)絡(luò)且不可篡改。超級管理員問題實質(zhì)上是數(shù)據(jù)篡改問題，而區(qū)塊鏈的一大特點是不可篡改性。因此，本文將結(jié)合區(qū)塊鏈技術(shù)，利用其不可篡改性，提出一個防篡改的審計系統(tǒng)。該系統(tǒng)不同于已有的解決方案，并不對已有的審計系統(tǒng)進行修改，而是將其作為一個黑盒，節(jié)約建設(shè)成本和人員培訓(xùn)成本；由于區(qū)塊鏈本身是在不可信環(huán)境中建立可信的性質(zhì)，最大程度上降低了超級管理員與區(qū)塊鏈進行合謀的可能性。

當然，僅僅使用區(qū)塊鏈技術(shù)并不能完全解決超級管理問題，原因有二。第一，當審計數(shù)據(jù)上鏈后，這些數(shù)據(jù)將被全網(wǎng)獲取，因此必須對其進行保密處理，而且是細粒度的訪問控制。第二，由于區(qū)塊鏈本身不支持查找搜索的特性，勢必會影響其審計數(shù)據(jù)稽核效率，因此必須設(shè)計一種快速有效的稽核方法。本文所提的最終解決方案較好地解決了以上兩個問題。

本文剩余內(nèi)容安排如下。第1 節(jié)介紹所提審計系統(tǒng)的系統(tǒng)框架和設(shè)計目標。第2 節(jié)介紹所提審計系統(tǒng)涉及的基礎(chǔ)知識，包括哈希函數(shù)、數(shù)字簽名、區(qū)塊鏈和屬性基加密等。第3 節(jié)和第4 節(jié)分別給出系統(tǒng)的描述和分析。第5 節(jié)基于之前的系統(tǒng)提出一個更高效的防篡改審計系統(tǒng)。最后，在第6 節(jié)給出結(jié)論。

1 系統(tǒng)框架和設(shè)計目標

介紹涉及的防篡改審計系統(tǒng)的設(shè)計框架、信任假設(shè)以及設(shè)計目標。

1.1 系統(tǒng)設(shè)計框架

如圖1 所示，提出的防篡改審計系統(tǒng)共有5 個部分，分別是傳統(tǒng)審計系統(tǒng)、數(shù)據(jù)采集網(wǎng)關(guān)、區(qū)塊鏈網(wǎng)絡(luò)、審計驗證系統(tǒng)和密鑰管理服務(wù)器。傳統(tǒng)審計系統(tǒng)顧名思義是現(xiàn)行的審計系統(tǒng)，具有對系統(tǒng)內(nèi)部操作進行記錄和分析的功能，包括超級管理員對系統(tǒng)的操作。但是，由于超級管理員的權(quán)限設(shè)置問題，使得超級管理員可以刪除操作記錄。為了防止該情況的發(fā)生，數(shù)據(jù)采集網(wǎng)關(guān)將超級管理員的操作記錄收集并上傳至區(qū)塊鏈網(wǎng)絡(luò)中，利用區(qū)塊鏈的不可篡改性防止超級管理員對其操作記錄進行刪除。由于這些操作記錄涉及到企業(yè)內(nèi)部信息或超級管理員的敏感信息，因此數(shù)據(jù)采集網(wǎng)關(guān)必須在上傳至區(qū)塊鏈網(wǎng)絡(luò)前對其進行加密。最后，用戶可以通過審計驗證系統(tǒng)驗證傳統(tǒng)審計系統(tǒng)中超級管理員的操作記錄是否經(jīng)過修改。當然，用戶在驗證時需要用到解密密鑰。操作記錄的加解密密鑰都是由密鑰管理器生成和分發(fā)的。另外，這里的區(qū)塊鏈可以是許可鏈也可以是非許可鏈，但是不管是哪種區(qū)塊鏈，上鏈數(shù)據(jù)都需要進行認證。因此，在數(shù)據(jù)上傳前操作記錄將會由數(shù)據(jù)采集網(wǎng)關(guān)進行簽名。簽名所用到的公私鑰對由網(wǎng)關(guān)獨立生成，簽名驗證鑰（公鑰）由密鑰管理服務(wù)器上傳至區(qū)塊鏈。

圖1 防篡改審計系統(tǒng)的系統(tǒng)設(shè)計框架

1.2 信任假設(shè)

在所提的防篡改審計系統(tǒng)中，本文分別對各個參與組件做出如下信任假設(shè)。

（1）傳統(tǒng)審計系統(tǒng)是可靠的，即系統(tǒng)中的所有操作都會被記錄，但是在記錄后超級管理員可以利用其權(quán)限對操作記錄進行修改。

（2）數(shù)據(jù)采集網(wǎng)關(guān)是完全可信的，也就是說該網(wǎng)關(guān)會采集所有滿足條件的審計記錄（在本文的具體例子中指超級管理員的操作記錄），并且不會存儲所采集的審計記錄而泄露給其他參與方或外部人員。

（3）密鑰管理服務(wù)器也是完全可信的，會存儲數(shù)據(jù)采集網(wǎng)關(guān)的簽名驗證鑰（私鑰），會產(chǎn)生對記錄進行加解密操作的加解密鑰，并對其進行安全分發(fā)。它與數(shù)據(jù)采集網(wǎng)關(guān)之間的通信信道是可信的，而與審計驗證系統(tǒng)的通信信道是可信并保密的。

（4）區(qū)塊鏈網(wǎng)絡(luò)是誠實但好奇的，也就是區(qū)塊鏈網(wǎng)絡(luò)中的節(jié)點會根據(jù)區(qū)塊鏈的共識機制對數(shù)據(jù)進行驗證和上鏈操作，但是同時它們也對上鏈數(shù)據(jù)（審計數(shù)據(jù)）感興趣并嘗試獲得這些信息。當然，根據(jù)區(qū)塊鏈的性質(zhì)，它不會發(fā)起主動攻擊。

（5）審計驗證系統(tǒng)由用戶控制，只有用戶具有對應(yīng)的解密密鑰時，才能判斷審計記錄是否進行了修改。

1.3 系統(tǒng)設(shè)計目標

本系統(tǒng)的設(shè)計目標包含安全和效率兩個方面。

1.3.1 安全設(shè)計目標

安全設(shè)計目標又包含審計記錄不可篡改性和審計記錄的保密性兩個子目標。不可篡改性指的是審計記錄一旦生成，任何人包括超級管理員都不能對其進行修改。保密性指的是審計數(shù)據(jù)在從數(shù)據(jù)采集網(wǎng)關(guān)出來后，只有授權(quán)過的用戶才能訪問這些審計數(shù)據(jù)，并滿足細粒度訪問控制的要求。

1.3.2 效率設(shè)計目標

效率設(shè)計目標包含上鏈效率和下鏈效率兩個子方面。上鏈效率指的是審計數(shù)據(jù)通過數(shù)據(jù)采集服務(wù)器出來后記錄到區(qū)塊鏈中的速度。在本文的具體應(yīng)用中，需要滿足中國移動審計系統(tǒng)中每天上百萬條的數(shù)據(jù)量。下鏈效率指的是進行審計數(shù)據(jù)稽核時，它的效率在能接收的范圍內(nèi)。當數(shù)據(jù)沒有被修改時，它的稽核效率不應(yīng)該小于1 000 條/秒；當數(shù)據(jù)有修改時，假設(shè)1 000 條記錄中有1 條被修改，其定位效率不低于5 s。

2 基礎(chǔ)知識

本節(jié)中將主要介紹所設(shè)計的防篡改審計系統(tǒng)涉及的基本概念，包括區(qū)塊鏈、哈希函數(shù)、數(shù)字簽名以及屬性基加密。

2.1 哈希函數(shù)

哈希函數(shù)是一種特殊的函數(shù)，其輸入可以是任意字符串，而其輸出是一串恒定長度的字符串。兩個輸入字符串中僅僅只有一個比特不同，其得到的輸出也有很大的不同。一個哈希函數(shù)必須滿足單向性和抗碰撞性兩個安全屬性。單向性指的是從函數(shù)的輸出求不出函數(shù)的輸入?？古鲎残灾傅氖钦也坏絻蓚€不同的輸入其輸出是一樣的。在本文的剩余部分，將用H 來表示哈希函數(shù)。

2.2 數(shù)字簽名

數(shù)字簽名方案是一種公鑰密碼方案，包含公私鑰生成算法KeyGen、簽名算法Sign 和驗證算法Verify 這3 個算法。在公私鑰生產(chǎn)算法中會產(chǎn)生一對公私鑰對(pk,sk)私鑰sk 用在簽名算法中產(chǎn)生對消息m 的簽名σ，而公鑰pk 可在驗證算法中用來驗證σ，判斷其是否是消息m 的有效簽名。公鑰pk也可被稱為簽名驗證鑰。在本文的剩余部分，將用S 來表示數(shù)字簽名方案。

對于數(shù)字簽名來說，其安全屬性主要是不可偽造性。該屬性保證了攻擊者即使通過自適應(yīng)的方式獲得相當數(shù)量的消息簽名對(m,σ)后，也不能對一個新的消息m 產(chǎn)生有效的簽名σ。

2.3 區(qū)塊鏈

區(qū)塊鏈技術(shù)來源于一個化名為中本聰?shù)膶W(xué)者提出的比特幣[6]，其最大的特點是不可篡改性。該性質(zhì)主要通過全局共享和哈希鏈結(jié)構(gòu)獲得。區(qū)塊鏈由一系列數(shù)據(jù)塊組成，且這些數(shù)據(jù)塊是公開可獲得的。也就是說，網(wǎng)絡(luò)中的任何一個節(jié)點都可以獲得區(qū)塊鏈上的所有數(shù)據(jù)，即使一個節(jié)點丟失了區(qū)塊鏈數(shù)據(jù)，也可以從其他網(wǎng)絡(luò)節(jié)點中獲得區(qū)塊鏈數(shù)據(jù)。此外，這些數(shù)據(jù)塊通過哈希函數(shù)連接在一起，修改其中的任何一個數(shù)據(jù)都會引起其后續(xù)區(qū)塊的變動。然而，根據(jù)哈希函數(shù)的安全屬性，這種變動很難實現(xiàn)。結(jié)合以上兩點，區(qū)塊鏈上的數(shù)據(jù)是不可篡改的。本文正是利用區(qū)塊鏈的該特性，提出了一個基于區(qū)塊鏈的防篡改審計系統(tǒng)。

2.4 屬性基加密

屬性基加密是一種特殊公鑰加密類型，由密碼學(xué)家Sahai 和Waters[7]在歐密2005 會議上提出，主要用來實現(xiàn)密文的細粒度訪問控制系統(tǒng)。只有用戶的屬性滿足密文的訪問控制要求時，用戶所擁有的私鑰才能進行解密活動對應(yīng)的明文。屬性基加密分為密鑰策略和密文策略兩種類型。前者中，訪問控制策略主要通過用戶所擁有的私鑰來實現(xiàn)；后者中，主要通過密文來實現(xiàn)。當然，屬性基加密也包含加密算法Enc 和解密算法Dec，還有系統(tǒng)公私鑰對產(chǎn)生算法SKeyGen 和用戶私鑰產(chǎn)生算法Ext。SKeyGen產(chǎn)生一對公私鑰對(mpk,msk)，mpk 公開，msk 由一個叫密鑰生成中心（PKG）的實體掌握。該PKG 可以利用msk 根據(jù)用戶的屬性在Ext 算法中產(chǎn)生對應(yīng)的用戶私鑰。在本文的剩余部分，用ABE 表示屬性基加密。

對于屬性基加密來說，它的安全屬性主要通過不可區(qū)分性來保證所加密消息的私密性。不可區(qū)分性指的是攻擊者不能得知一個給定的密文所對應(yīng)的消息，即使這個消息是其所選定的兩個消息之一。另外，根據(jù)攻擊者是否可以獲得其他一些信息，不可區(qū)分性又可分為多個等級，如選擇明文攻擊（Chosen-plaintext Attack，CPA）、選擇密文攻擊（Chosen-ciphertext Attack，CCA）以及選擇模型（Selective Model，SM）等。

3 防篡改審計系統(tǒng)的設(shè)計

利用介紹的基本工具，給出設(shè)計的防篡改審計系統(tǒng)。該系統(tǒng)主要包括系統(tǒng)初始化階段、數(shù)據(jù)收集階段、數(shù)據(jù)上鏈階段以及數(shù)據(jù)下鏈階段。

3.1 系統(tǒng)初始化階段

該階段，各個系統(tǒng)組件生成必要的密鑰數(shù)據(jù)。

（3）系統(tǒng)中的用戶可以向密鑰管理服務(wù)器申請自己屬性所對應(yīng)的私鑰。具體來說，密鑰管理服務(wù)器首先要認證用戶聲稱的屬性是真實的，可通過第三方認證系統(tǒng)來實現(xiàn)，如短信認證等。通過認證后，密鑰管理服務(wù)器運行生成用戶屬性所對應(yīng)的私鑰，并通過可信且保密的通信信道傳輸給用戶。

3.2 數(shù)據(jù)收集階段

該階段，數(shù)據(jù)采集網(wǎng)關(guān)將從傳統(tǒng)審計系統(tǒng)中收集到的審計數(shù)據(jù)經(jīng)過處理上傳至區(qū)塊鏈網(wǎng)絡(luò)。具體來說，主要有以下步驟。

（1）從傳統(tǒng)審計系統(tǒng)中收集審計數(shù)據(jù)，記為m。

（2）利用一個對稱加密算法如SM4，對m 進行加密。加密所使用的密鑰記為k，加密后所得的密文記為C1。

（4）用sk 對密文C1、C2和m 的生成時間t 運行 S.Sign算法，獲得相對應(yīng)的簽名σ。

（5）將(t,C1,C2,σ)廣播到區(qū)塊鏈網(wǎng)絡(luò)中。

3.3 數(shù)據(jù)上鏈階段m

該階段，區(qū)塊鏈網(wǎng)絡(luò)中的區(qū)塊生成節(jié)點（或稱共識節(jié)點）對傳播到區(qū)塊鏈網(wǎng)絡(luò)中的(t,C1,C2,σ)進行驗證。如驗證通過，則將其記錄到區(qū)塊鏈中；如驗證不通過，則拋棄該(t,C1,C2,σ)。

驗證過程主要包括以下步驟。

（1）(t,C1,C2,σ)是否已包含在區(qū)塊鏈中，如是，則驗證不通過；

（2）利用pk 運行 S.Sign算法驗證簽名σ 是否是對(t,C1,C2)的有效簽名，如不是有效簽名，則驗證不通過。

3.4 數(shù)據(jù)下鏈階段

該階段，用戶可以通過審計驗證系統(tǒng)驗證傳統(tǒng)審計系統(tǒng)中是否有記錄進行了改動。

（1）用戶確定稽核時間段[T1,T2]。

（2）根據(jù)時間段[T1,T2]，從傳統(tǒng)審計系統(tǒng)中下載對應(yīng)數(shù)據(jù)M′={m′}。這里M′是一個審計數(shù)據(jù)的集合，包含數(shù)個待稽核的審計數(shù)據(jù)m′。

（3）根據(jù)時間段[T1,T2]，從區(qū)塊鏈中下載對應(yīng)數(shù)據(jù)，輸入從密鑰管理服務(wù)器處獲得的自己的私鑰，讓審計驗證服務(wù)器對下載的數(shù)據(jù)進行解密獲得審計數(shù)據(jù)明文。具體來說，用用戶的私鑰對C2運行算法獲得k，然后利用k 對C1進行解密獲得m。最終，從區(qū)塊鏈中獲得的審計數(shù)據(jù)記為M={m}。

（4）對集合M′和M 中的數(shù)據(jù)逐項進行稽核，從而驗證傳統(tǒng)審計系統(tǒng)中在時間段[T1,T2]是否有記錄進行了修改。

4 系統(tǒng)分析

本節(jié)將對提出的防篡改審計系統(tǒng)進行分析，包括安全分析和效率分析。

4.1 安全分析

4.1.1 防篡改性

根據(jù)信任假設(shè)可知，數(shù)據(jù)采集網(wǎng)關(guān)一定能收集到所有的審計數(shù)據(jù)，并將這些審計數(shù)據(jù)傳輸?shù)絽^(qū)塊鏈網(wǎng)絡(luò)。當區(qū)塊鏈網(wǎng)絡(luò)收到數(shù)據(jù)采集網(wǎng)關(guān)發(fā)來的審計數(shù)據(jù)時，會驗證其有效性。通過有效性驗證后，這些數(shù)據(jù)將會被寫入?yún)^(qū)塊鏈。由區(qū)塊鏈的不可篡改性可知，數(shù)據(jù)一旦上傳至區(qū)塊鏈中將不可被修改；而用戶通過審計驗證服務(wù)器，一定能從區(qū)塊鏈上下載到完整的審計數(shù)據(jù)。數(shù)據(jù)采集網(wǎng)關(guān)會對所有傳輸?shù)絽^(qū)塊鏈網(wǎng)絡(luò)中的審計數(shù)據(jù)進行數(shù)字簽名認證。根據(jù)數(shù)字簽名的不可偽造性可知，系統(tǒng)中的其他實體或者其他人無法產(chǎn)生偽造的審計數(shù)據(jù)。因此，在所提的審計系統(tǒng)中，任何人都無法篡改審計數(shù)據(jù)，從而滿足防篡改性。

4.1.2 細粒度訪問控制

審計數(shù)據(jù)是經(jīng)過對稱加密算法進行加密的，其使用的加密密鑰又是經(jīng)過屬性基加密方案加密的。根據(jù)屬性基加密和對稱加密算法的安全性可知，沒有對應(yīng)的解密密鑰是無法獲得對應(yīng)的審計數(shù)據(jù)的。根據(jù)屬性基加密的特點，如果用戶的屬性無法滿足密文的訪問控制要求，那么用戶擁有的密鑰將無法進行解密。因此，即使用戶可以從區(qū)塊鏈中隨意下載(t,C1,C2,σ)數(shù)據(jù)，但只有其屬性滿足要求時才能審計明文數(shù)據(jù)，從而實現(xiàn)細粒度訪問控制。

4.2 效率分析

在所提的防篡改審計系統(tǒng)中，系統(tǒng)初始化階段的主要消耗是公私鑰的產(chǎn)生。這些操作可在秒級程度上完成。初始化操作一般都只執(zhí)行一次，或者在系統(tǒng)更新時才執(zhí)行，而系統(tǒng)更新的頻率很低，次數(shù)屈指可數(shù)，因此初始化操作即使在分鐘級別也是能夠接受的。另外，在數(shù)據(jù)上鏈階段，主要消耗包括對數(shù)據(jù)采集網(wǎng)關(guān)簽名的驗證和共識形成。前者的時間消耗在毫秒級內(nèi)完成，特別是使用ECDSA 時，而后者取決于所使用的共識機制。在非許可鏈中，使用PoS（Proof of Stake）共識機制的變體[8]，其效率可以在秒級程度上完成。在許可鏈中可以獲得比在非許可鏈中更高的效率[9]。因此，下面將詳細分析數(shù)據(jù)收集階段和數(shù)據(jù)下鏈階段兩個階段的效率。

（1）數(shù)據(jù)收集階段。該階段，時間的消耗主要是在屬性基加密操作。對于屬性基加密來說，時間消耗在秒級。對于一天數(shù)百萬審計記錄的系統(tǒng)來說，該階段的時間消耗很大，遠遠達不到高效的要求。

（2）數(shù)據(jù)下鏈階段。不同于數(shù)據(jù)收集階段，該階段的時間消耗除了在屬性基解密操作上外，還有相當部分時間消耗在區(qū)塊鏈上查找對應(yīng)的審計數(shù)據(jù)上。眾所周知，區(qū)塊鏈是一個不支持快速查詢的數(shù)據(jù)庫，其查找只能按順序逐個查找，時間復(fù)雜度是O(n)，n 是區(qū)塊鏈上審計數(shù)據(jù)的數(shù)量。當審計數(shù)據(jù)達到每天數(shù)百萬的量級時，查找速度將會無法忍受。

由上述分析可知，提出的審計系統(tǒng)雖然在安全性上達到了設(shè)計要求，但其效率遠遠不足，必須對其進行改進。

5 更高效的防篡改審計系統(tǒng)

在給出本文的改進方案之前，簡要闡述改進思路。

（1）密碼操作加速。對于屬性基加解密的操作，由于所使用的密碼算法都已是標準算法或知名算法，已經(jīng)很難從算法本身去改進。為此，從計算機系統(tǒng)思路進行改進，采取批處理的思想，即多個審計記錄用相同的加密密鑰，從而減少屬性基加解密操作次數(shù)。

（2）查找加速。由于區(qū)塊鏈本身不支持查找搜索功能，因此必須自建一個對應(yīng)于區(qū)塊鏈的數(shù)據(jù)庫，從而達到快速查找的功能。但是，如此一來，如何保證自建數(shù)據(jù)庫不可篡改性就成了一個新問題。為此，設(shè)計了一個快速稽核方法，在每次利用自建數(shù)據(jù)庫稽核前都要驗證自建數(shù)據(jù)庫是否被篡改。

5.1 系統(tǒng)初始化階段

同第4 節(jié)中描述相同。

5.2 數(shù)據(jù)收集階段

本階段中，數(shù)據(jù)將被分批、分階段、分類型進行打包、上傳至區(qū)塊鏈網(wǎng)絡(luò)。

（1）建立一個空打包表，包括時間點、訪問策略、屬性基密文以及密鑰。

（2）從傳統(tǒng)審計系統(tǒng)中收集審計數(shù)據(jù)，記為m。

（3）在打包表中查找滿足以下兩方面的記錄。

①審計數(shù)據(jù)m 的生成時間t 和記錄的時間點處于相同時間段。時間段的定義可靈活設(shè)置，可為1 h、1 d 或1 a 等。

②審計數(shù)據(jù)m 的訪問控制策略和記錄的訪問策略是否一致。

如果存在這樣的記錄，則取出對應(yīng)的屬性基密文（記為C2）和密鑰（記為k）;如果不存在這樣的記錄，則隨機生成滿足對稱加密的密鑰k，對k利用算法，獲得對應(yīng)于訪問控制策略的屬性基密文，并將審計數(shù)據(jù)m 的t、訪問策略、C2和k 記錄在打包表中。

（4）對m 進行加密，加密使用的密鑰記為k，得到密文C1。

（5）用sk 對密文C1、C2、t、h、h-1運行 S.Sign算法，獲得相對應(yīng)的簽名σ。這里h=H(h-1||C1||C2||t)，h-1為上一條審計記錄的h 值。

（6）將(t,C1,C2,σ,h,h-1)廣播到區(qū)塊鏈網(wǎng)絡(luò)。

對比第4 節(jié)中的數(shù)據(jù)收集階段，本文并不是對每一條審計記錄都進行屬性基加密，在同一時間段內(nèi)訪問控制策略一致的審計數(shù)據(jù)只做一次屬性基加密操作，從而大大減少了數(shù)據(jù)收集階段的時間消耗。

5.3 數(shù)據(jù)下鏈階段

審計驗證系統(tǒng)將建立一個支持搜索功能的數(shù)據(jù)庫，該數(shù)據(jù)庫存儲(t,C1,C2,σ,h,h-1)和區(qū)塊ID 等，并主動監(jiān)測區(qū)塊鏈。當有新的區(qū)塊產(chǎn)生時，審計驗證系統(tǒng)去區(qū)塊中讀取(t,C1,C2,σ,h,h-1)，并連同區(qū)塊ID存儲在數(shù)據(jù)庫中。

審計數(shù)據(jù)稽核過程如下。

（1）用戶確定稽核時間段[T1,T2]。

（2）自建數(shù)據(jù)庫對應(yīng)于時間段[T1,T2]為

（3）從區(qū)塊鏈中取得{ti1,C1,i1,C2,i2,σi1,hi1,h-1,i1}的前一審計記錄(t,C1,C2,σ,h,h-1)，驗證h-1,i1=h 是否成立，且對于j=1,…,n-1，驗證和hij=H(h-1,ij||C1||C2||t)是否成立。如果h-1,ij+1=hij有一個不成立，說明自建數(shù)據(jù)庫被人修改過，需要重新讀取數(shù)據(jù)；否則，說明自建數(shù)據(jù)庫在時間段[T1,T2]的數(shù)據(jù)和區(qū)塊鏈中的數(shù)據(jù)一致。

（4）根據(jù)時間段[T1,T2]，從傳統(tǒng)審計系統(tǒng)中下載對應(yīng)數(shù)據(jù)M′={m′}。這里M′是一個審計數(shù)據(jù)的集合，包含數(shù)個待稽核的審計數(shù)據(jù)m′。

（5）根據(jù)時間段[T1,T2]，從區(qū)塊鏈中下載對應(yīng)數(shù)據(jù)，輸入從密鑰管理服務(wù)器處獲得的自己的私鑰，讓審計驗證服務(wù)器對下載的數(shù)據(jù)進行解密，獲得審計數(shù)據(jù)明文。具體來說，用戶需要建立一個解密表，包括屬性基密文和密鑰。在打包表中查找C2。如果存在這樣的記錄，則取出對應(yīng)密鑰（記為k）；如果不存在這樣的記錄，則利用其密鑰進行算法，獲得對稱加密密鑰k（可能為空，即無法解密），并將C2和k 記錄在解密表中。

（6）當k 不為空時，對密文解密獲得m。最終，從區(qū)塊鏈中獲得的審計數(shù)據(jù)記為M={m}。

（7）對集合M′和M 中的數(shù)據(jù)逐項進行稽核，從而驗證傳統(tǒng)審計系統(tǒng)中在時間段[T1,T2]是否有記錄進行了修改。

對比第4 節(jié)中的數(shù)據(jù)收集階段，本文并不是對每一條審計記錄都進行屬性基加密，在同一時間段內(nèi)訪問控制策略一致的審計數(shù)據(jù)只做一次屬性基加密操作。另外，對于區(qū)塊鏈的操作僅僅是一次，而不是每條審計記錄都要進行臨時下鏈操作，從而大大提高了稽核效率。

6 結(jié) 語

針對傳統(tǒng)審計系統(tǒng)無法對超級管理員進行有效審計的問題，利用區(qū)塊鏈技術(shù)的不可篡改性，提出了一個新的防篡改審計系統(tǒng)。為了保護審計數(shù)據(jù)的私密性，利用屬性基加密實現(xiàn)了密文的審計數(shù)據(jù)的細粒度訪問控制。由于使用區(qū)塊鏈和屬性基加密帶來了效率上的損失，于是提出了相應(yīng)的提速方法。