基于CP-ABE 和区块链技术的数据安全共享技术

王贤哲

摘要：针对传统访问控制机制中存在的灵活性较低、安全性不够等问题，文章将CP-ABE与区块链技术引入到数据安全共享中。提出了一种基于CP-ABE（Attribute-Based Encryption） 与区块链技术的数据安全共享方案。该方案首先利用CP-ABE技术对数据进行加密，然后利用区块链的分布式特性和不可篡改性来确保数据共享的可靠性和安全性。通过实验和对比，验证了该方案在数据安全共享方面的优势。最后，对数据安全共享技术未来的发展和应用关键方向进行了探讨和展望。

关键词：CP-ABE；区块链技术；数据安全共享

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2024）14-0083-03 开放科学（资源服务）标识码（OSID） ：

随着物联网的普及与云计算技术的发展，数据的复杂性与规模呈现爆发式增长的趋势。在这种背景下，传统数据共享方式中的访问控制和数据隐私保护面临着巨大挑战和问题。例如，无法有效处理动态变化的访问策略、难以实现细粒度的访问控制，以及不能保证数据的可靠性和安全性等。为了有效解决上述问题，本文基于CP-ABE与区块链技术，设计了一种新的数据安全共享方案。该方案不仅能实现细粒度的访问控制，还能实现共享的可追溯性，从而显著提高数据的可管理性和可信度。

1 相关技术

1.1 区块链技术

区块链技术作为一种革命性的分布式账本技术，由多个部分组成，包括数据层、网络层、应用层、合约层、激励层和共识层，构成了完整的区块链架构。在应用层，区块链可以实现可编程货币、可编程社会和可编程金融等应用场景。合约层通过算法机制和脚本代码来编写和执行智能合约。激励层涉及发行机制和分配机制，通过为参与者提供激励来维护和运行区块链网络。共识层利用PoS（Proof of Stake，权益证明）、DPoS（Delegated Proof of Stake，委托权益证明）、PBFT（Practical Byzantine Fault Tolerance，实用拜占庭容错）、PoW（Proof of Work，工作量证明）等共识算法来确保网络中的节点在某个事务上达成一致。网络层利用验证机制、传播机制和P2P（Peer-to-Peer，点对点）网络来保障信息传递和验证的可靠性。数据层利用链式结构、Merkle树（哈希树）、数据区块和加密技术等手段来确保数据的不可篡改性和安全性[1]。完整的区块链架构如图1所示。

利用区块链技术及其特点，能够构建一个安全可信与去中心化的系统。这种技术的应用为各行各业的创新与发展提供了新的思路，可以大幅提高交易的效率和降低中间环节的成本，并在数据可信度、溯源及隐私等方面具有重要现实意义。

1.2 基于CP-ABE 的数据共享技术

基于CP-ABE的数据共享技术可以实现数据隐私保护与细粒度访问控制。CP-ABE基于属性向量与访问策略来解密与加密数据，仅允许符合特定属性的用户解密和访问相应的数据。CP-ABE的基本原理是，数据拥有者可以定义一个多重属性组成的访问策略，只有符合访问策略中所要求属性的用户才能得到相应的密钥来解密数据。这种方式能够灵活地指定访问权限，实现细粒度的访问控制。该技术具有保护数据隐私、控制灵活、支持动态更新与撤销等特点，在实际应用中具有较大的优势。

1.3 基于区块链的数据共享技术

基于区块链的数据共享技术充分利用区块链的分布式特性、不可篡改性和去中心化等特点，能够有效保障数据的可靠性和完整性，同时提供可追溯性和透明性。该技术具有多重优势。首先，通过区块链的不可篡改特性，保证了数据的可信度和安全性。其次，通过智能合约机制，可以定义和执行数据共享访问控制策略，实现细粒度的权限管理。此外，区块链的共识算法和分布式特性还保证了数据的一致性和可靠性，显著提高了数据共享的可信度和效率。基于区块链的数据共享技术在各行业领域都有广泛的应用。例如，在供应链管理中，可以实现供应链数据的溯源和共享；在金融领域，可以实现安全的跨境支付和交易；在医疗健康领域，可以实现医疗数据的授权访问和安全共享。

2 基于CP-ABE 和区块链的数据安全共享方案设计

2.1 系统模型

本文设计的数据安全共享方案涉及六个主要角色，分别是属性管理器（AM） 、区块链（BC） 、可信授权中心（TA） 、云服务商（CSP） 、数据用户（DU） 及数据拥有者（DO） [2]。数据拥有者按照指定的访问策略加密数据，并对交易数据进行签名；数据用户作为请求访问数据的实体，需要使用相应的密钥来解密数据，且在解密阶段，可以验证数据是否被篡改；云服务商负责存储和管理加密的数据，并对密文哈希值进行签名，提供数据存储与计算服务的同时，保障数据的安全性；可信授权中心负责完成系统的初始化工作，为数据用户生成密钥加密密钥与私钥，如果属性发生撤销，可信授权中心需要及时更新属性群密钥；系统借助联盟区块链来存储和使用数据共享的相关信息，每个区块都包括密文的哈希值与存储位置；属性管理器用于密文的重加密，尤其是属性发生撤销时，其执行密文更新算法，同时其还与云服务商进行密文交互，以保障数据的可靠性与安全性。这些角色相互配合，共同实现了数据的访问控制与安全共享[2]。系统模型图如图2所示。

2.2 算法定义

算法定义过程如下：1） 系统初始化阶段，TASetup（1λ，U）→（PK，MSK）、CSPSteup（PK）→（CPK，CSK）、DOS?teup（PK）→（DPK， DSK）。可信授权中心（TA） 执行算法，生成系统公钥PK与主私钥MSK，再使用PK生成CSP与DO的公钥与私钥。2） 密钥生成阶段，TAKey?gen（id， PK， MSK， L）→（SK， KEK'）、AMKekgen（KEK'， L）→KEK。先由TA执行算法，生成用户私钥与属性群初始密钥；再由AM执行算法生成属性群密钥。3） 数据文件加密阶段，DOEnc（PK， Data， W）→CT'、AMRenc（PK， CT'）→（CT， Hdr）、SignatureGen（CT）→（SigCSP（CT），Loc）。数据拥有者执行算法加密数据文件，并生成中间密文，再由属性管理器执行重加密操作，生成最终密文与密文头，云服务商对密文完成签名，同时生成签名，并将密文存储位置发送至数据拥有者。4） 交易产生阶段，TransGen（SigCSP（CT））→transaction。数据拥有者按照云服务商发来的签名完成密文验证，如果成功则创建交易，并将密文哈希值、密文存储位置及数据拥有者的公钥保存到交易中，同时计算出交易的哈希值，对其他节点进行广播。5） 解密阶段，Decrypt（PK， SK， CT， Hdr， KEK）→Data。数据用户执行算法，使用私钥、属性群密钥来解密密文，从而得到明文信息。6） 用户属性撤销阶段，TAUpKEK（MSK， KEK， Lx）→-K---E-K-、AMUpCT（PK， CT， Hdr， Lx）→（---- CT，- - -- -Hdr）。可信授权中心执行属性撤销算法，并更新属性群密钥，再由属性管理器执行算法，更新密文，生成最新的密文与密文头[3]。

2.3 具体方案构造

方案构造思路如下：1） TA生成系统公钥与主私钥，将其与生成元与双线性映射函数进行定义，同时CSP和DO生成各自的公私钥对；2） TA结合用户属性选择生成属性群初始密钥与用户私钥，AM生成属性组密钥；3） DO用对称密钥加密明文数据，生成访问树，并将密文与访问树发送至AM；4） AM计算出重加密密文，同时生成密文头，并将密文与密文头发送至CSP与DO；5） DO生成交易，同时广播给其他节点；6）DU结合交易信息与CSP返回的密文完成解密操作，获取明文数据；7） 如果用户属性发生撤销，TA和AM 更新系统公钥、主私钥等[4]。经过上述过程与操作，能够很好地实现数据安全共享方案的功能特性与安全性要求。

2.4 性能分析与安全性

本文设计的方案在功能性、存储与计算开销及加解密效率等方面表现出色。相较于其他方案，该方案实现了策略隐藏与属性撤销功能，功能特征更丰富；存储开销较低，计算开销相对较小，并在解密阶段具有较高的效率，非常适用于属性频繁变动的应用场景。其中，不同方案在功能性上的对比结果如表1所示[5-7]。

该方案具有前向安全性、后向安全性和抗攻击性。在该方案中，如果用户的属性被撤销，AM会更新密文，而属性组密钥由TA负责更新。当用户撤销属性后的访问策略与密文的访问策略不符合时，用户将无法解密密文。同样地，如果用户的属性与密文数据的访问策略不符合，用户也无法解密密文。属性组密钥将节点存储的随机值当作加密密文部件的随机值，当用户的属性被撤销时，无法获取对应的属性组密钥和随机值。同时，通过私钥和可信授权中心的更新，有效地防止和预防用户合谋攻击。

2.5 未来发展与应用

随着数据安全共享技术的不断发展与广泛应用，其也面临着诸多挑战与改进方向，以下是其未来发展与应用的挑战与关键研究方向：

1） 加密与解密算法的研究：目前加密算法在实际应用中仍存在诸多局限性，尤其是在大规模数据共享场景下。需要研究并设计更安全、高效的加密与解密算法，以提高解密与加密的效率与速度，同时保证密钥的安全管理与分发。改进现有非对称加密算法与对称加密算法，以提高解密与加密的效率与速度，并考虑密钥管理的问题，保证密钥的安全管理与分发。另外，需要不断探索和设计更多新的加密算法，如基于量子密码学、混沌理论等新兴技术，以满足未来数据安全共享的需求。保证数据的机密性的同时，也要关注数据的完整性保护，可能需要设计合理的消息认证码技术与数字签名算法来实现，并研究与设计更安全、高效的密钥管理机制，以保障密钥的可信度与安全性。

2） 区块链技术的应用扩展：区块链技术在数据安全共享应用中发挥着重要作用，然而，也面临一些挑战与限制。为进一步推动和促进区块链技术在数据安全共享相关领域的发展与创新，首先，需要解决区块链的扩展性问题与交易速度。目前区块链的交易速度还比较慢，这一定程度上限制了其广泛应用，相关研究人员与专家学者可以探索改进共识算法、分片技术等来提高吞吐量与交易处理速度。其次，区块链技术应用中还有另一个重要问题，即隐私保护。现有区块链技术在隐私保护方面仍存在诸多不足，如缺乏身份匿名性、交易信息的公开性等。未来研究需要集中于设计更加友好安全的区块链机制与协议，如同态加密、零知识证明等，以更好保障数据共享过程中的隐私保护。另外，区块链技术的应用范围还需要进一步扩展，当前区块链多应用于金融领域，其在物联网、供应链管理及医疗保健等领域尚未完全发掘，未来研究重点可以放在这些领域，研究并设计对应的区块链解决方案，例如，可将物联网与区块链技术紧密结合，以实现设备间的可信数据共享与交换。

3） 数据可用性与隐私保护：数据的可用性旨在保证合法用户能够正确解密与使用数据，隐私保护的主要目的是确保数据在存储、传输及处理过程中不被泄露或避免发生未授权方访问。为保障数据的可用性，需要研究并设计更安全、有效的机制来保证合法用户能够正确解密与使用数据，这涉及探索改进密钥管理机制、优化访问策略的执行效率以及研究更高效的解密算法。另外，还可以结合使用数据预取、缓存技术等方法来有效提高数据的响应性、及时性与访问速度，以更好地满足实时数据共享的需要。在隐私保护方面，需要进一步探索和设计更可靠科学的隐私保护技术，以保障数据在存储、处理及传输过程中不会被泄露关键信息，这需要综合运用同态加密、数据加密等先进加密技术来保护关键信息，同时，还需要综合使用隐私保护算法及协议来对数据的访问与使用进行限制，如安全多方计算、差分隐私等，从而更好地保护用户的隐私信息。

3 结束语

综上所述，本文提出的数据安全共享方案综合运用了CP-ABE的细粒度访问控制与区块链的分布式特性和不可篡改性，能够有效解决传统数据共享方式中存在的数据可信度和访问控制限制等问题，具有积极的意义。该方案不仅提高了数据共享的安全性，还增强了数据共享的可追溯性和可靠性，这有助于促进数据安全共享的创新与发展。未来，将持续研究与探索新兴技术的应用，如边缘计算、机器学习等，以探索更高效、先进的数据安全共享解决思路与方案。

参考文献：

[1] 施亚东.基于区块链技术的企业金融科技数据安全共享方法[J].产业与科技论坛，2023，22（12）：41-43.

[2] 王维，宋倩.区块链技术视域下的医疗数据共享安全平台设计研究[J].现代信息科技，2022，6（18）：20-23，27.

[3] 张晓婷.基于区块链技术的基因数据安全共享系统的研究与设计[D].合肥：中国科学技术大学，2021.

[4] 夏景，高琦.基于区块链技术的工业制造数据安全共享方法[J].电子设计工程，2022，30（5）：165-169.

[5] 李节.面向隐私数据安全共享的区块链技术研究与应用[D].南京：东南大学，2021.

[6] 吴正雪.基于区块链和CP-ABE的大数据安全共享技术研究[D].包头：内蒙古科技大学，2022.

[7] 钟金荣.基于区块链和CP-ABE的安全可验证数据共享技术研究[D].济南：齐鲁工业大学，2023.

【通联编辑：张薇】