基于區(qū)塊鏈的支持訪問控制的可搜索加密方案

許宗蓮，王崇宇，朱曉明，朱宇坤，陳瑞東

(1.電子科技大學(xué)，四川 成都 611731；2.中國電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081)

0 引言

區(qū)塊鏈技術(shù)[1]經(jīng)過十多年的發(fā)展，在應(yīng)用場景與實現(xiàn)功能上都得到了極大的擴(kuò)展與完善，其去中心化的信任機(jī)制挑戰(zhàn)了傳統(tǒng)的第三方中心機(jī)構(gòu)在網(wǎng)絡(luò)系統(tǒng)中的地位，為用戶提供了一種新的網(wǎng)絡(luò)安全保障方案。分布式存儲是區(qū)塊鏈的本質(zhì)特征，區(qū)塊鏈系統(tǒng)內(nèi)全部節(jié)點(diǎn)都存儲和維護(hù)同一份完全相同的賬本數(shù)據(jù)，這一點(diǎn)導(dǎo)致了大量的數(shù)據(jù)存儲冗余和計算冗余，造成不必要的資源浪費(fèi)和成本開銷，影響了區(qū)塊鏈在大規(guī)模數(shù)據(jù)業(yè)務(wù)環(huán)境下的應(yīng)用擴(kuò)展。此外，區(qū)塊鏈數(shù)據(jù)混合式存儲也面臨數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性等方面的安全挑戰(zhàn)。區(qū)塊鏈節(jié)點(diǎn)都存儲著完整的鏈上數(shù)據(jù)副本，若不對鏈上數(shù)據(jù)進(jìn)行加密處理，其余用戶可輕易獲取他人數(shù)據(jù)，嚴(yán)重危害用戶的個人隱私。此外，將數(shù)據(jù)存儲到鏈下，存儲安全性、數(shù)據(jù)的可獲得性、完整性、機(jī)密性都應(yīng)是重點(diǎn)關(guān)注的問題，以避免數(shù)據(jù)的泄露、篡改與缺失。

針對上述問題，近年來研究人員將加密技術(shù)應(yīng)用到區(qū)塊鏈外包存儲架構(gòu)中，針對外包數(shù)據(jù)驗證[2-3]、數(shù)據(jù)訪問控制[4-6]、加密方案安全性[7]以及用戶隱私保護(hù)[8]等問題，研究基于區(qū)塊鏈的加密數(shù)據(jù)搜索方案與數(shù)據(jù)的訪問控制策略，減小不可靠的外包服務(wù)器可能帶來的安全威脅。

目前的研究成果各有側(cè)重，單一特點(diǎn)的加密技術(shù)應(yīng)用不足以解決區(qū)塊鏈外包存儲所面臨的安全威脅。本文提出了一種面向大規(guī)模數(shù)據(jù)業(yè)務(wù)的區(qū)塊鏈安全存儲技術(shù)，結(jié)合多種加密技術(shù)，同時解決區(qū)塊鏈外包存儲技術(shù)面臨的安全問題，實現(xiàn)數(shù)據(jù)的加密存儲、加密搜索與訪問控制。

1 區(qū)塊鏈安全存儲技術(shù)

1.1 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)的設(shè)計理念打破了傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中必須依賴中心機(jī)構(gòu)節(jié)點(diǎn)的觀念，為對等參與者實現(xiàn)業(yè)務(wù)平等溝通，也為保障數(shù)據(jù)可信可靠共享提供了新的解決方案。

顧名思義，區(qū)塊鏈的數(shù)據(jù)結(jié)構(gòu)是以區(qū)塊為數(shù)據(jù)基本存儲單位并依次按順序鏈接構(gòu)成，內(nèi)部節(jié)點(diǎn)身份對等，根據(jù)共識機(jī)制設(shè)定的規(guī)則產(chǎn)生并發(fā)送新區(qū)塊，使區(qū)塊鏈具有不可篡改、共同維護(hù)、點(diǎn)對點(diǎn)通信的特點(diǎn)。因此區(qū)塊鏈的早期應(yīng)用是作為完全同步的分布式數(shù)據(jù)庫，為加密貨幣系統(tǒng)記錄重要的交易數(shù)據(jù)。隨著區(qū)塊鏈技術(shù)的發(fā)展與演變，智能合約被引入該系統(tǒng)中，成為用戶擴(kuò)展區(qū)塊鏈功能的關(guān)鍵技術(shù)。

在區(qū)塊鏈平臺上編譯執(zhí)行的程序被稱為智能合約，具有自動執(zhí)行、不可修改的特點(diǎn)。合約程序一旦上傳至鏈上，程序代碼便不能再修改，只能按照預(yù)先編寫設(shè)計的程序流程運(yùn)行計算，只要區(qū)塊鏈系統(tǒng)中各個節(jié)點(diǎn)的輸入狀態(tài)相同，執(zhí)行程序一致，運(yùn)行結(jié)果就能保持不變，體現(xiàn)了各個節(jié)點(diǎn)的一致性與同步性。以太坊[9]是目前最受歡迎的區(qū)塊鏈平臺，智能合約運(yùn)行在以太坊虛擬機(jī)(Ethereum Virtual Machine，EVM)上，極大地避免了程序運(yùn)行錯誤、崩潰等意外情況對系統(tǒng)造成的不利影響。

通過智能合約實現(xiàn)數(shù)據(jù)檢索方案，存儲數(shù)據(jù)與執(zhí)行程序一經(jīng)上傳不可篡改，能夠有效避免用戶、檢索節(jié)點(diǎn)與外包節(jié)點(diǎn)等參與方的欺騙行為，確保數(shù)據(jù)存儲及檢索過程的安全可靠。如Li等人[10]提出一種基于區(qū)塊鏈的SSE方案，能夠自動檢查搜索結(jié)果的正確性，維護(hù)數(shù)據(jù)檢索方與數(shù)據(jù)提供方的公平性；Huang等人[11]提出了一種基于區(qū)塊鏈的數(shù)據(jù)共享方案，鼓勵用戶共享數(shù)據(jù)，并提供用戶自定義功能，定義可訪問屬性策略。Guo等人[8]采用前向安全的加密方案，利用區(qū)塊鏈存儲外包數(shù)據(jù)信息，驗證加密檢索結(jié)果的正確性。因此，本文通過智能合約實現(xiàn)加密方案，使區(qū)塊鏈作為數(shù)據(jù)共享平臺，確保參與各方的公平信任。

1.2 區(qū)塊鏈安全存儲與搜索訪問技術(shù)

區(qū)塊鏈上任意節(jié)點(diǎn)都能夠獲取完整的區(qū)塊鏈數(shù)據(jù)，明文存儲的方式無法保證數(shù)據(jù)的機(jī)密性，泄露用戶隱私。因此，研究者引入訪問控制與數(shù)據(jù)加密技術(shù)保護(hù)數(shù)據(jù)安全，防止無授權(quán)的數(shù)據(jù)訪問，避免隱私信息泄露。

利用可搜索加密技術(shù)實現(xiàn)鏈上數(shù)據(jù)加密及密文搜索是當(dāng)前常見的一種解決方案?？伤阉骷用芩阉鞯膶ο笫羌用苊芪?，因此需要事先選擇搜索關(guān)鍵詞，加密生成查詢目標(biāo)密文。常見的可搜索加密方案包括對稱可搜索加密(Symmetric Searchable Encryption，SSE)[12]與公鑰可搜索加密(Public Key Encryption with Keywords Search，PEKS)[13]等。在構(gòu)建鏈上可搜索加密方案時，研究人員將關(guān)注點(diǎn)放在加密搜索安全性及性能上的提升，區(qū)塊鏈僅僅作為方案實現(xiàn)的平臺，提供可信的數(shù)據(jù)存儲及檢索功能。如，杜瑞忠等人[7]提出一種基于區(qū)塊鏈的公鑰可搜索加密方案，該方案通過智能合約檢索數(shù)據(jù)內(nèi)容，防止關(guān)鍵詞猜測攻擊，限制數(shù)據(jù)發(fā)送時的惡意行為；牛淑芬等人[3]研究了適用于區(qū)塊鏈的支持多關(guān)鍵詞檢索的可搜索加密方案，將加密索引與數(shù)據(jù)以交易的形式存儲到區(qū)塊鏈上，解決了服務(wù)器不誠實檢索的問題；李涵[14]在區(qū)塊鏈P2P存儲系統(tǒng)上，使用改進(jìn)的對稱可搜索加密實現(xiàn)對存儲數(shù)據(jù)索引的加密搜索，在提供搜索數(shù)據(jù)動態(tài)更新功能的同時，保證了搜索方案的前向安全性。此類方案采用一般的加密搜索方案，不能對檢索用戶進(jìn)行分類與識別，擁有檢索令牌的用戶可獲得該令牌能夠檢索的所有結(jié)果，缺乏對用戶身份的訪問控制，不利于數(shù)據(jù)的安全共享。

屬性加密方案(Attribute-based Encryption，ABE)被用于實現(xiàn)鏈上數(shù)據(jù)的訪問控制與隱私保護(hù)。屬性加密方案中，只有當(dāng)用戶私鑰與密文關(guān)聯(lián)的屬性與訪問結(jié)構(gòu)符合時，才能夠解密密文。由于加密策略不同，屬性加密具有兩種類型，分別是密鑰策略屬性加密方案(Key-Policy ABE，KP-ABE)[15]和密文策略屬性加密方案(ciphertext-policy ABE，CP-ABE)[16]。前者密文與屬性關(guān)聯(lián)，私鑰與訪問結(jié)構(gòu)關(guān)聯(lián)；后者密文與訪問結(jié)構(gòu)關(guān)聯(lián)，私鑰與屬性關(guān)聯(lián)。不論哪種加密策略，都可以實現(xiàn)對數(shù)據(jù)的訪問控制。如，劉彥松等人[5]在構(gòu)建區(qū)塊鏈的鏈上數(shù)據(jù)安全共享體系時，采用屬性加密與同態(tài)加密計算技術(shù)，保障了數(shù)據(jù)共享過程中的數(shù)據(jù)安全與用戶隱私。汪金苗等人[6]則關(guān)注到屬性加密方案中單一授權(quán)中心的權(quán)限集中問題，基于區(qū)塊鏈系統(tǒng)分布式節(jié)點(diǎn)身份對等的特點(diǎn)，提出了基于多屬性權(quán)威屬性加密的區(qū)塊鏈隱私保護(hù)與訪問控制方法，將多授權(quán)屬性中心分散到區(qū)塊鏈共識節(jié)點(diǎn)上，解密條件需要從節(jié)點(diǎn)中獲取完整的私鑰構(gòu)件才能得到解密私鑰，增強(qiáng)了方案的抗共謀攻擊能力。此外，屬性加密方案也被用于密文搜索。康晉華[4]提出了一個具有關(guān)鍵詞搜索性質(zhì)的CP-ABE方案，屬性符合訪問結(jié)構(gòu)之后，再進(jìn)行關(guān)鍵詞檢索。分析上述研究成果，考慮到屬性加密所需的計算開銷較大，在加密檢索過程中使用屬性加密將帶來較大的負(fù)擔(dān)，因此，為了增加訪問控制功能，只將屬性加密技術(shù)應(yīng)用于檢索結(jié)果的加密中，并不對檢索令牌進(jìn)行屬性加密，盡量避免增加檢索開銷。

2 可搜索加密方案

2.1 基本架構(gòu)

本文提出一種基于區(qū)塊鏈的鏈上鏈下混合式存儲架構(gòu)，鏈下存儲原始數(shù)據(jù)，減小鏈上存儲數(shù)據(jù)規(guī)模，降低區(qū)塊鏈節(jié)點(diǎn)的資源浪費(fèi)和存儲需求?；旌鲜酱鎯軜?gòu)如圖1所示，可分為用戶層、應(yīng)用層、區(qū)塊鏈層和外包存儲層。

用戶層主要包括數(shù)據(jù)擁有者、數(shù)據(jù)使用者和密鑰生成中心。

應(yīng)用層為用戶提供數(shù)據(jù)服務(wù)、密鑰服務(wù)、身份認(rèn)證服務(wù)，用戶向密鑰生成中心請求密鑰，通過身份認(rèn)證體系生成可驗證的用戶身份，用戶在應(yīng)用層實現(xiàn)數(shù)據(jù)加解密及驗證功能，并進(jìn)行鏈上的鏈下數(shù)據(jù)存儲與數(shù)據(jù)查詢功能。

區(qū)塊鏈層包括API接口、分布式賬本、智能合約引擎與共識算法等組成部分，分布式賬本存儲加密索引數(shù)據(jù)，智能合約引擎用于編譯、執(zhí)行智能合約，共識算法保持和維護(hù)區(qū)塊鏈數(shù)據(jù)的一致性。

外包存儲層用于存儲大規(guī)模數(shù)據(jù)，可以是數(shù)據(jù)庫、星際文件系統(tǒng)(InterPlanetary File System，IPFS)和云存儲服務(wù)器等。

圖1 區(qū)塊鏈混合式存儲架構(gòu)Fig.1 Blockchain hybrid storage architecture

2.2 實現(xiàn)方法

基于上述存儲架構(gòu)，本文選擇云服務(wù)器作為外包存儲方式，采用對稱加密、PEKS以及CPABE三種加密方案分別對原始數(shù)據(jù)、搜索關(guān)鍵詞以及原始數(shù)據(jù)索引進(jìn)行加密，構(gòu)建了一個基于區(qū)塊鏈的數(shù)據(jù)安全存儲方案，確保數(shù)據(jù)外包存儲與鏈上存儲的安全性與機(jī)密性。該方案包括5個實體：數(shù)據(jù)擁有者(Data Owner ，DO)、數(shù)據(jù)使用者(Data User， DU)、區(qū)塊鏈(blockchain，BC)、云服務(wù)提供商(Cloud Service Provider，CSP)以及密鑰生成中心(Key Generation Center，KGC)。

本方案中，搜索關(guān)鍵詞與原始數(shù)據(jù)索引分開加密，比只使用可搜索加密方式的方案增加了訪問控制的能力，比只使用屬性加密的方式降低了屬性加密的開銷。采用PEKS避免密鑰泄露給第三方，降低密文猜測攻擊的風(fēng)險；采用CPABE數(shù)據(jù)擁有者可根據(jù)個人需求設(shè)計訪問結(jié)構(gòu)，更加靈活方便。對原始文件進(jìn)行簽名，可用于驗證云服務(wù)器等外包存儲設(shè)備返回的文件是否一致，避免偽造、修改等行為。

圖2 區(qū)塊鏈安全存儲方案Fig.2 Blockchain secure storage solution

密鑰生成中心是一個可靠安全的第三方平臺，為數(shù)據(jù)擁有者提供屬性加密與公鑰可搜索加密的密鑰參數(shù)。在存儲數(shù)據(jù)之前，DO首先向密鑰生成中心請求PEKS的公鑰PKSE和私鑰SKSE，CPABE的公開參數(shù)PK和主密鑰MK。數(shù)據(jù)加密存儲的方案如下所示：

① DO生成對稱加密密鑰key，使用對稱加密算法DES加密原始數(shù)據(jù)file，得到密文CTfile←EncryptDES(file,key)；

② DO將密文CTfile上傳至CSP，CSP返回密文存儲位置location；

③ DO根據(jù)獲得的主密鑰MK構(gòu)造訪問結(jié)構(gòu)A，使用CPABE加密密文存儲位置location與密鑰key，得到文件索引密文CTindex←EncryptABE(PK,A,key,location)；

④ DO從原始數(shù)據(jù)中選擇若干個搜索關(guān)鍵詞組W={w1,…,wn}，其中n為關(guān)鍵詞個數(shù)，采用PEKS加密關(guān)鍵詞組，得到關(guān)鍵詞密文CTkeyword←EncryptPEKS(PKSE,W)；

DU在檢索和解密之前，需要從密鑰生成中心獲得PEKS的私鑰SKSE，以及CPABE分配給DU的屬性解密私鑰SKABEDU。數(shù)據(jù)檢索下載的方案如下所示：

① DU生成關(guān)鍵詞組W′={w′1,…,w′m，使用解密私鑰計算陷門T′W←Trapdroor(SKSE,W′)，并發(fā)送至區(qū)塊鏈；

② 區(qū)塊鏈查詢鏈上存儲的關(guān)鍵詞密文，通過Test(PKSE,CTkeyword,T′W)判斷是否檢索成功，將檢索到的關(guān)鍵詞密文CTkeyword對應(yīng)的文件索引密文CTindex與文件簽名sigDO(file)返回給DU；

③ DU使用私鑰SKABE驗證是否符合文件索引密文CTindex的訪問結(jié)構(gòu)，符合條件則解密得到原始數(shù)據(jù)密文的密鑰與存儲位置DecryptABE(SKABEDU,CTindex)→key,location；

④ 根據(jù)location向CSP請求原始數(shù)據(jù)密文CTfile′，然后解密得到原始數(shù)據(jù)文件file′=DecryptDES(key,CTfile′)，再計算解密文件的簽名與鏈上存儲的文件簽名是否一致，如果相等則說明獲得的文件就是目標(biāo)文件。

2.3 安全性分析

在本方案中，結(jié)合DES、PEKS、CPABE等多種加密技術(shù)與數(shù)字簽名技術(shù)，實現(xiàn)了區(qū)塊鏈大規(guī)模數(shù)據(jù)的安全存儲，其安全性保障體現(xiàn)在以下幾點(diǎn)。

(1) 數(shù)據(jù)機(jī)密性

鏈上鏈下存儲的數(shù)據(jù)都是加密或處理過的密文數(shù)據(jù)，如原始文件密文、關(guān)鍵詞密文、數(shù)據(jù)索引密文與文件簽名等。普通用戶即使獲取到密文數(shù)據(jù)，在沒有密鑰的情況下，仍然不能讀出相應(yīng)的明文信息。在加密搜索過程中，查詢者將使用私鑰加密的關(guān)鍵詞與驗證使用的公鑰發(fā)送給區(qū)塊鏈節(jié)點(diǎn)，節(jié)點(diǎn)也不能知道關(guān)鍵詞明文信息。因此，保護(hù)了數(shù)據(jù)機(jī)密性。

分離立交橋梁工程是高速公路重要組成部分，由于其規(guī)模性、復(fù)雜性常常要面臨許多難以預(yù)測的安全風(fēng)險[1]，這通常會導(dǎo)致施工期間人身傷亡事故的發(fā)生.因此，對分離立交橋梁工程施工風(fēng)險進(jìn)行分析就顯得十分重要[2].

(2) 數(shù)據(jù)完整性

在本方案中，數(shù)據(jù)完整性體現(xiàn)在兩方面：其一是區(qū)塊鏈的數(shù)據(jù)完整性，由區(qū)塊鏈共識機(jī)制實現(xiàn)，惡意用戶不能隨意修改鏈上存儲的數(shù)據(jù)；其二是原始數(shù)據(jù)完整性校驗，依托鏈上數(shù)據(jù)進(jìn)行。云服務(wù)器等外包存儲服務(wù)并不是完全可靠的，可能將錯誤文件或者修改過的文件返回給用戶，用戶可通過鏈上存儲的文件簽名驗證返回文件的完整性。

(3) 訪問控制

CPABE的訪問策略由數(shù)據(jù)擁有者決定。將訪問策略與生成的密文關(guān)聯(lián)，密文存儲上鏈后，查詢者首先要通過可搜索加密查詢得到該密文，再驗證個人屬性是否符合密文的訪問結(jié)構(gòu)，屬性由可信的第三方平臺密鑰生成中心分配，或者由數(shù)據(jù)擁有者分配，符合訪問結(jié)構(gòu)時密文才能夠解密成功。

3 實驗與結(jié)果分析

本文在操作系統(tǒng)為Ubuntu 18.04.3 LTS，硬件環(huán)境為Intel(R) Xeon(R) Gold 5115 CPU@2.40 GHz，內(nèi)存16 GB的實驗環(huán)境上進(jìn)行實驗。使用python語言，基于Crypto、PBC函數(shù)庫與CPABE，構(gòu)建加密函數(shù)方案，測試方案性能。

本文提出設(shè)計方案的特點(diǎn)在于結(jié)合多種加密方案，分別實現(xiàn)加密搜索、訪問控制與隱私保護(hù)的功能，其加密的主要開銷也體現(xiàn)在3次加密過程中。因此在本文的性能測試方案以測試3種加密方案性能為主，總的加解密開銷僅需要對3種時間進(jìn)行線性疊加即可。本文分別使用DES加密原始文件、PEKS加密搜索關(guān)鍵詞、CPABE加密原始文件密文索引及密鑰。其中，DES加密性能由原始文件大小決定，文件越大加密時間越長。因此在測試過程中，以10 Mbit為步長，從10～50 Mbit選擇5個文件作為加密文件參與測試；PEKS加密搜索性能與關(guān)鍵詞數(shù)量有關(guān)，關(guān)鍵詞個數(shù)越多所需時間越長，以10個為步長，從10～100選擇關(guān)鍵詞個數(shù)用于測試；CPABE加密內(nèi)容，格式確定長度有限，不會影響到加密所需時間，但是加密選取訪問結(jié)構(gòu)與解密所用的屬性個數(shù)對性能影響較大，同樣以10個為步長，從10～50，確定5個屬性個數(shù)。加密時間通過多次測量求平均值的方式得到。

圖3～圖5分別是對上述3種加密方案的性能測試結(jié)果，分別測試了文件大小、關(guān)鍵詞個數(shù)以及屬性個數(shù)對加密方案的影響。可以看出，加密方案性能與上述3個條件成正相關(guān)關(guān)系。其中，對加密方案性能影響較大的是原始文件大小。

圖3 DES加密和解密時間Fig.3 Encryption and decryption time of DES

圖4 PEKS加密與陷門生成時間Fig.4 Encryption and trapdoor generation time of PEKS

圖5 CPABE加密與解密時間Fig.5 Encryption and decryption time of CPABE

在本次實驗中，盡管DES加密方式計算開銷相對較小，但是所需加密文件大小遠(yuǎn)遠(yuǎn)大于PEKS與CPABE加密方案，因此DES加解密所需時間顯著超過PEKS與CPABE加密方案所需的時間，這一特殊設(shè)計在于模擬實際應(yīng)用場景下，外包數(shù)據(jù)較大不便于存儲到區(qū)塊鏈上的情況，其索引大小與關(guān)鍵詞大小遠(yuǎn)小于原始數(shù)據(jù)。在PEKS和CPABE的測試結(jié)果中，雖然隨著關(guān)鍵詞和屬性個數(shù)增加，所需時間增加，但是在數(shù)據(jù)量較小的情況下，時間開銷是可接受的。上述測試結(jié)果說明，該加密方案是可行的。

4 結(jié)束語

本文提出了一種面向大規(guī)模數(shù)據(jù)業(yè)務(wù)的區(qū)塊鏈安全存儲架構(gòu)及相應(yīng)的加密方案，使用云存儲服務(wù)器拓展區(qū)塊鏈的存儲能力，設(shè)計并提出了鏈上鏈下混合式存儲的基本架構(gòu)及其工作流程；針對鏈上數(shù)據(jù)信息泄露及外包服務(wù)器不可信任的問題，結(jié)合對稱加密、可搜索加密、屬性加密技術(shù)，構(gòu)造了一個區(qū)塊鏈的安全存儲技術(shù)的實現(xiàn)方案，實現(xiàn)鏈上數(shù)據(jù)加密檢索、訪問控制、數(shù)據(jù)驗證、隱私保護(hù)等多種功能。本方案是一個相對通用的加密框架，內(nèi)部相應(yīng)的加密模塊優(yōu)化改進(jìn)后同樣適用。因此，其安全性及性能完全依賴于采用的對稱加密、可搜索加密、屬性加密等加密模塊的安全性與性能，其在前后向隱私、加密檢索效率與功能等方面，仍有很大的提升空間。