基于區(qū)塊鏈的噪聲化數(shù)據(jù)分享控制協(xié)議

謝晴晴，楊念民，馮霞

（1.江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013；2.江蘇大學(xué)汽車與交通工程學(xué)院，江蘇 鎮(zhèn)江 212013）

0 引言

區(qū)塊鏈技術(shù)具有難以篡改、公開透明、去中心化等優(yōu)點(diǎn)，是數(shù)字加密貨幣的底層核心技術(shù)[1]。目前已有許多學(xué)者基于區(qū)塊鏈技術(shù)來實(shí)現(xiàn)數(shù)據(jù)的可信分享。以金融供應(yīng)鏈為例，傳統(tǒng)金融體系存在著信息不對稱、信息孤島、結(jié)算不能自動(dòng)完成等缺點(diǎn)。以區(qū)塊鏈為底層技術(shù)的金融供應(yīng)鏈可以將銀行、核心企業(yè)、二三級(jí)供應(yīng)商和其他金融機(jī)構(gòu)上鏈，支持資金流、信息流、信任流同時(shí)傳遞，并通過嵌入智能合約實(shí)現(xiàn)協(xié)議的自動(dòng)執(zhí)行，提高信息共享的效率，降低信任和資金傳遞成本[2]。然而，區(qū)塊鏈的開放特性使所有節(jié)點(diǎn)都可以復(fù)制和共享區(qū)塊鏈上的數(shù)據(jù)，查看所有交易歷史。這給敏感數(shù)據(jù)的隱私保護(hù)帶來了挑戰(zhàn)[3]。

為了解決隱私泄露的問題，許多學(xué)者從密碼學(xué)的角度出發(fā)來設(shè)計(jì)解決方法。牛淑芬等[4]提出了一種基于聯(lián)盟鏈的可搜索加密方案。該方案將區(qū)塊鏈技術(shù)和可搜索加密算法相結(jié)合，通過代理重加密技術(shù)保障數(shù)據(jù)在不同醫(yī)院之間進(jìn)行傳輸時(shí)不會(huì)泄露患者的敏感信息，從而解決了病例數(shù)據(jù)在不同醫(yī)院中共享的問題。薛騰飛等[5]建立了基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享模型，采用代理重加密方案解決了訪問控制問題。Chen 等[6]提出了一種基于區(qū)塊鏈的物聯(lián)網(wǎng)跨域數(shù)據(jù)共享方法，使用門限代理重加密的方法對密文進(jìn)行處理，避免惡意的代理機(jī)構(gòu)與訪問者合謀，保證數(shù)據(jù)在跨域存儲(chǔ)、共享過程的安全性。

但是目前已有的基于區(qū)塊鏈的數(shù)據(jù)分享協(xié)議皆不適用于數(shù)據(jù)的噪聲化分享場景。例如，導(dǎo)航服務(wù)應(yīng)用程序需要精確的位置數(shù)據(jù)，外賣服務(wù)中顧客可以僅提供樓棟號(hào)而非具體的房間號(hào)以保護(hù)隱私。在醫(yī)療健康數(shù)據(jù)的共享中，醫(yī)院為了保護(hù)病人的隱私，對一些敏感數(shù)據(jù)進(jìn)行不同程度的噪聲化處理，然后根據(jù)數(shù)據(jù)用戶的不同需求來提供不同精度的數(shù)據(jù)。在社交平臺(tái)上，用戶出于人身安全的考慮，可以先將自己的位置信息進(jìn)行零度、輕度和重度的噪聲化處理后，再分別發(fā)布給家人、普通朋友和應(yīng)用程序。上述情況皆可以歸結(jié)為數(shù)據(jù)的噪聲化分享控制問題，即通過控制用戶訪問到的數(shù)據(jù)精度來實(shí)現(xiàn)數(shù)據(jù)的噪聲化分享控制。

為此，本文將智能合約和密文策略屬性基加密（CP-ABE,ciphertext policy attribute-based encryption）算法相結(jié)合，設(shè)計(jì)了一種基于區(qū)塊鏈的噪聲化數(shù)據(jù)分享控制協(xié)議。首先采用支持外包的CP-ABE 算法來減少用戶端的加解密計(jì)算負(fù)擔(dān)。其次，利用智能合約來實(shí)現(xiàn)密文之上的數(shù)據(jù)搜索，預(yù)防了惡意服務(wù)器的非法操作，實(shí)現(xiàn)了高效、安全且可搜索的數(shù)據(jù)分享功能。具體來說，本文協(xié)議的主要貢獻(xiàn)如下。

1) 本文將智能合約、云計(jì)算技術(shù)和CP-ABE算法相結(jié)合，實(shí)現(xiàn)了數(shù)據(jù)的噪聲化細(xì)粒度分享控制，不但保護(hù)了數(shù)據(jù)隱私，而且能夠提供可信的數(shù)據(jù)搜索結(jié)果。

2) 本文協(xié)議可以支持密文同態(tài)運(yùn)算，使數(shù)據(jù)更新的計(jì)算復(fù)雜度為O(1)。因此本文協(xié)議適用于數(shù)據(jù)實(shí)時(shí)更新的應(yīng)用場景。

3) 本文協(xié)議的安全性和性能評估分別得到了充分的分析和驗(yàn)證，表明本文協(xié)議具有安全性和可行性。

1 相關(guān)工作

本節(jié)主要介紹訪問控制技術(shù)和基于區(qū)塊鏈的數(shù)據(jù)分享兩方面的相關(guān)工作。

1.1 訪問控制技術(shù)

基于屬性的加密（ABE,attribute-based encryption）技術(shù)使數(shù)據(jù)所有者能夠根據(jù)用戶的屬性對敏感數(shù)據(jù)進(jìn)行細(xì)粒度的訪問控制。ABE 的概念最早由Sahai 等[7]提出，其原型來源于基于身份的加密。根據(jù)解密策略的位置不同，ABE 可以分為密鑰策略屬性基加密[8]（KP-ABE,key policy attribute-based encryption）和密文策略屬性基加密[9]（CP-ABE,ciphertext policy attribute-based encryption）。在KP-ABE 中，密鑰關(guān)聯(lián)于一個(gè)訪問控制策略，密文關(guān)聯(lián)于數(shù)據(jù)屬性集合；在CP-ABE 中，密文關(guān)聯(lián)于一個(gè)訪問控制策略，密鑰關(guān)聯(lián)于用戶屬性集合。無論是 KP-ABE 還是 CP-ABE，只有屬性集和訪問控制策略完全匹配時(shí)，用戶才能解密該密文。與傳統(tǒng)加密方法相比，ABE 實(shí)現(xiàn)了一對多加密，降低了密鑰管理開銷。

ABE 技術(shù)是最適用于云存儲(chǔ)的加密方法之一，已被廣泛研究。隨著區(qū)塊鏈技術(shù)的發(fā)展，分布式存儲(chǔ)技術(shù)得到廣泛關(guān)注，迎來了ABE 與區(qū)塊鏈相結(jié)合的熱潮。汪玉江等[10]提出基于ABE 和區(qū)塊鏈的個(gè)人隱私數(shù)據(jù)保護(hù)方案，實(shí)現(xiàn)個(gè)人數(shù)據(jù)的一對多的安全傳輸和數(shù)據(jù)的細(xì)粒度訪問控制。牛淑芬等[11]針對中心化云存儲(chǔ)帶來的數(shù)據(jù)安全和隱私保護(hù)問題，提出了一種區(qū)塊鏈上基于云輔助的密文策略屬性基數(shù)據(jù)共享加密方案，確保了數(shù)據(jù)的安全存儲(chǔ)。Zhang 等[12]結(jié)合區(qū)塊鏈技術(shù)、密文策略分級(jí)屬性加密技術(shù)和星際文件系統(tǒng)設(shè)計(jì)了一種語音數(shù)據(jù)加密的分布式存儲(chǔ)方案，確保了語音數(shù)據(jù)的安全性、難以篡改性和可擴(kuò)展性。Wu 等[13]提出一種基于區(qū)塊鏈的隱藏策略和屬性訪問控制方案，實(shí)現(xiàn)屬性和策略的私密性，增強(qiáng)數(shù)據(jù)的安全性。Yin 等[14]針對區(qū)塊鏈物聯(lián)網(wǎng)中指定接收者的敏感數(shù)據(jù)安全共享問題，提出一種基于去中心化密鑰生成和可編程密文的私有數(shù)據(jù)共享方案。該方案設(shè)計(jì)了一種新的密文策略去中心化密鑰屬性基加密算法，以防止敏感數(shù)據(jù)泄露。Zhang 等[15]針對車聯(lián)網(wǎng)面臨的敏感數(shù)據(jù)暴露、數(shù)據(jù)易受非法訪問和篡改、云服務(wù)器單點(diǎn)故障等問題，提出一種基于屬性加密的區(qū)塊鏈數(shù)據(jù)訪問方法。為了加強(qiáng)隱私保護(hù)，屬性被隱藏，所有生成的交易都記錄在區(qū)塊鏈上以供審計(jì)。Yu 等[16]提出了一種基于區(qū)塊鏈的具有屬性撤銷的細(xì)粒度訪問控制算法，并應(yīng)用于物聯(lián)網(wǎng)應(yīng)用系統(tǒng)中。Li 等[17]針對醫(yī)療行業(yè)的安全存儲(chǔ)、可靠共享和隱私保護(hù)問題，提出了一種基于屬性和同態(tài)密碼系統(tǒng)的區(qū)塊鏈電子醫(yī)療系統(tǒng)。系統(tǒng)中應(yīng)用的屬性基加密算法實(shí)現(xiàn)了基于部分密文的半策略隱藏和動(dòng)態(tài)權(quán)限更改的功能。

1.2 基于區(qū)塊鏈的數(shù)據(jù)分享

隨著區(qū)塊鏈技術(shù)的發(fā)展，去中心化存儲(chǔ)模式進(jìn)入大眾視野。去中心化存儲(chǔ)方式可以解決傳統(tǒng)云存儲(chǔ)系統(tǒng)的單點(diǎn)故障問題，與中心化存儲(chǔ)相比具有價(jià)格低、安全性高等諸多優(yōu)勢。此外，區(qū)塊鏈具有難以篡改、多方可信等特征，可以有效解決數(shù)據(jù)篡改和服務(wù)器不可信等問題。為此相關(guān)學(xué)者基于區(qū)塊鏈技術(shù)陸續(xù)提出了一系列的數(shù)據(jù)安全分享方案。

Liu 等[18]針對醫(yī)療數(shù)據(jù)泄露問題，將區(qū)塊鏈技術(shù)和基于屬性的可搜索加密技術(shù)結(jié)合，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的安全共享。Long 等[19]針對工業(yè)區(qū)塊鏈隱私泄露問題，結(jié)合對稱加密和同態(tài)加密技術(shù)，提出數(shù)據(jù)隱私保護(hù)方法。Huang 等[20]將聯(lián)盟鏈與云計(jì)算相結(jié)合提出了一套分布式醫(yī)療數(shù)據(jù)隱私保護(hù)方案。該方案通過云服務(wù)器為區(qū)塊鏈節(jié)點(diǎn)提供服務(wù)并設(shè)計(jì)了基于區(qū)塊鏈的智能醫(yī)療分布式數(shù)據(jù)管理架構(gòu)。Regueiro 等[21]利用區(qū)塊鏈技術(shù)和Paillier 加密算法提出了一種用于健康數(shù)據(jù)統(tǒng)計(jì)分析的隱私保護(hù)方法。該方法能夠在保護(hù)患者隱私的前提下提高數(shù)據(jù)分析的準(zhǔn)確性。Gochhayat 等[22]針對物聯(lián)網(wǎng)和邊緣設(shè)備的快速增長所帶來海量數(shù)據(jù)的安全存儲(chǔ)問題，提出了一種新穎的基于區(qū)塊鏈技術(shù)的輕量級(jí)去中心化加密云存儲(chǔ)架構(gòu)。Agyekum 等[23]提出了一種基于區(qū)塊鏈和代理重加密算法的物聯(lián)網(wǎng)數(shù)據(jù)安全共享方案，實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性和安全性。Zhang 等[24]基于CP-ABE 和區(qū)塊鏈提出了一套輕量級(jí)、去中心化且多權(quán)限的訪問控制方案，用以保證車聯(lián)網(wǎng)用戶的信息安全和隱私保護(hù)。Liu 等[25]提出了一種基于CP-ABE 的分層物流數(shù)據(jù)訪問控制方案，以超級(jí)賬本中的成員身份代替?zhèn)鹘y(tǒng)的密鑰分發(fā)中心來保證用戶私鑰的安全性。

但是以上工作僅能實(shí)現(xiàn)部分的如下功能：1)隱私保護(hù)的數(shù)據(jù)搜索；2)安全可信的數(shù)據(jù)搜索；3)針對搜索權(quán)限的細(xì)粒度控制。

2 預(yù)備知識(shí)

本節(jié)主要介紹本文使用的密碼學(xué)知識(shí)，包括雙線性配對和CP-ABE 方案。

2.1 雙線性配對

設(shè)G0和GT均為q階大素?cái)?shù)循環(huán)群，稱映射e:G0×G0→GT為雙線性配對，e滿足下列條件。

1) 雙線性：對于任意x,y∈G0和任意a,b∈Zq，都有e(xa,yb)=e(x,y)ab。

2) 非退化：若g是G0的生成員，則e(g,g)≠1GT。

3) 可計(jì)算：對于任意x,y∈G0，e(x,y)∈GT可被有效計(jì)算。

2.2 密文策略屬性基加密（CP-ABE）方案

CP-ABE 將訪問策略嵌入密文中，將用戶的身份屬性集合嵌入用戶的身份私鑰中。只有當(dāng)用戶的身份屬性集合滿足數(shù)據(jù)的訪問策略時(shí)，該用戶才能成功解密獲得明文。然而，在傳統(tǒng)的CP-ABE 系統(tǒng)中，加解密需要花費(fèi)較大的計(jì)算開銷，不但導(dǎo)致數(shù)據(jù)分享延遲，而且不適用于資源受限的物聯(lián)網(wǎng)場景。為此，很多研究學(xué)者提出了支持加解密外包的CP-ABE 方案[26]，基本框架如下。

3) Encrypt1(PK,T)→CT′。輸入公鑰PK 和訪問策略樹T，輸出中間密文CT′。該算法的計(jì)算復(fù)雜度與訪問策略樹T有關(guān)，即O(NumLeaf)，其中NumLeaf 是訪問策略樹T的葉子節(jié)點(diǎn)數(shù)。從訪問策略樹T的根節(jié)點(diǎn)開始為T的每個(gè)節(jié)點(diǎn)x賦予一個(gè)階為dx的多項(xiàng)式qx，令kx為節(jié)點(diǎn)x的門限值，則dx=kx-1。對于T的根節(jié)點(diǎn)r，隨機(jī)選擇s∈Zp，令qr(0)=s，并選擇dr個(gè)隨機(jī)整數(shù)來確定多項(xiàng)式qr。對于其他節(jié)點(diǎn)x，令qx(0)=qparent（x）(index(x))，選擇dx個(gè)隨機(jī)整數(shù)來確定多項(xiàng)式qx，其中parent(x)是節(jié)點(diǎn)x的父節(jié)點(diǎn)，當(dāng)前節(jié)點(diǎn)是x的第index(x)個(gè)子節(jié)點(diǎn)。令X表示T中所有葉子節(jié)點(diǎn)構(gòu)成的集合，att(x)表示節(jié)點(diǎn)x對應(yīng)的屬性，該算法輸出。

3 模型設(shè)計(jì)

本節(jié)主要介紹系統(tǒng)模型和安全模型。

3.1 系統(tǒng)模型

基于區(qū)塊鏈的噪聲化數(shù)據(jù)分享控制系統(tǒng)模型如圖1 所示，主要包括四類主體：①可信機(jī)構(gòu)（TA,trusted authority）、②數(shù)據(jù)主（DO,data owner）、③數(shù)據(jù)用戶（DU,data user）、④云服務(wù)器（CS,cloud server）。

圖1 基于區(qū)塊鏈的噪聲化數(shù)據(jù)分享控制系統(tǒng)模型

1) TA。TA 生成系統(tǒng)參數(shù)和系統(tǒng)主密鑰，為用戶分發(fā)屬性私鑰，維持屬性列表。

2) DO。DO 首先為待分享的敏感數(shù)據(jù)設(shè)置訪問策略，從數(shù)據(jù)文件中提取關(guān)鍵字，然后加密數(shù)據(jù)文件，將密文存儲(chǔ)到云服務(wù)器中并獲取存儲(chǔ)地址，最后在區(qū)塊鏈中生成關(guān)鍵字索引列表，并部署索引合約。

3) DU。DU 首先計(jì)算搜索令牌，將公鑰和搜索令牌發(fā)送給云服務(wù)器，然后云服務(wù)器對數(shù)據(jù)密文進(jìn)行半解密，并將半解密結(jié)果返回給DU，最后DU在本地計(jì)算相應(yīng)的噪聲化數(shù)據(jù)。

4) CS。CS 負(fù)責(zé)存儲(chǔ)DO 上傳的數(shù)據(jù)密文，并提供外包加解密服務(wù)。

智能合約包括屬性合約、查詢合約和索引合約。其中，屬性合約維護(hù)屬性列表；查詢合約根據(jù)DU 給出的搜索令牌來尋找相應(yīng)的數(shù)據(jù)密文存儲(chǔ)地址；索引合約建立關(guān)鍵字搜索令牌和密文地址的映射關(guān)系。

各個(gè)主體之間的交互流程如下。TA 為DU 計(jì)算屬性私鑰1、屬性私鑰2 和證書，并將屬性私鑰1和證書上傳到區(qū)塊鏈，屬性私鑰2 交給DU 保存；DO 將公鑰和訪問策略發(fā)送給CS；CS 執(zhí)行外包CP-ABE 的加密算法，并將訪問策略密文發(fā)送給DO；DO 加密消息和噪聲并將完整密文上傳到CS；DO 根據(jù)關(guān)鍵詞生成索引，部署并調(diào)用索引合約；DU 將搜索請求<公鑰，搜索令牌，簽名>發(fā)送給云CS；CS 將搜索請求轉(zhuǎn)發(fā)給查詢合約；區(qū)塊鏈運(yùn)行查詢合約，并將查詢到的密文地址和屬性私鑰1 返回給CS；CS 執(zhí)行外包CP-ABE 的解密操作，將得到的中間密文并返回給DU；DU 進(jìn)行本地解密，計(jì)算得到噪聲化數(shù)據(jù)。

3.2 安全模型

考慮到本文所提方案是通過加密來實(shí)現(xiàn)數(shù)據(jù)的隱私保護(hù)和密文搜索的，因此本節(jié)討論的安全模式針對2 種典型的安全標(biāo)準(zhǔn)：選擇明文攻擊下的不可區(qū)分性和適應(yīng)性選擇關(guān)鍵詞語義安全。

1) 選擇明文攻擊下的不可區(qū)分性

定義1為證明選擇明文攻擊下的不可區(qū)分性，本文定義了敵手和挑戰(zhàn)者之間的交互性游戲。

初始化。挑戰(zhàn)者C 運(yùn)行初始化程序并且向敵手A 發(fā)送公鑰PK。

階段1。敵手A 提交屬性集合A1,A2,···,An進(jìn)行解密密鑰查詢。作為響應(yīng)，挑戰(zhàn)者C 運(yùn)行屬性密鑰生成算法生成相應(yīng)的屬性密鑰ASKj，其中j∈[1,n1]，這些屬性私鑰發(fā)送給敵手A。

猜測。敵手A 輸出猜測μ′∈[0,1]。

本文定義敵手A 的優(yōu)勢在這個(gè)游戲中為AdvA=Pr[μ′=μ]-。

定理1如果任意多項(xiàng)式時(shí)間的敵手A 在以上的安全游戲中的優(yōu)勢AdvA是可忽略的，那么本文協(xié)議是CPA 安全的。

2) 適應(yīng)性選擇關(guān)鍵詞語義安全

本文在有狀態(tài)的模擬器S 和敵手A 之間采用基于模擬的游戲，允許泄露訪問模式和搜索模式來證明安全。信息泄露情況采用2 個(gè)泄露函數(shù)進(jìn)行描述，即，輸入數(shù)據(jù)文件集合D，輸出數(shù)據(jù)文件集合的大小、數(shù)據(jù)文件數(shù)量、每個(gè)數(shù)據(jù)文件的大小和標(biāo)識(shí)符；L2定義為L2(D,w)=(AP(w),Tokw)，輸入數(shù)據(jù)文件集合和查詢關(guān)鍵詞w，輸出關(guān)鍵詞的訪問模式AP(w)和搜索令牌。在挑戰(zhàn)者C、敵手A 以及模擬器S 之間進(jìn)行的游戲定義如下。

RealA(λ)。挑戰(zhàn)者C 根據(jù)安全參數(shù)λ初始化系統(tǒng)、敵手A 給挑戰(zhàn)者文件集合D，挑戰(zhàn)者根據(jù)索引生成算法和數(shù)據(jù)加密算法生成安全索引I和加密文檔D并給敵手。敵手向挑戰(zhàn)者發(fā)起多項(xiàng)式次查詢，對于每次查詢q，查詢的關(guān)鍵詞產(chǎn)生搜索令牌并發(fā)送給A，最后A 輸出一個(gè)比特位作為游戲的輸出。

IdealA(λ)。數(shù)據(jù)文件集合D，給定泄露函數(shù)L1和L2，模擬器S 產(chǎn)生并發(fā)送 (I*,C*)給A。然后敵手A 重復(fù)向模擬器S 發(fā)起多項(xiàng)式次查詢，對于每次查詢q，模擬器S 根據(jù)泄露函數(shù)L2返回相應(yīng)的搜索令牌 To，最后敵手A 輸出一個(gè)比特位作為該概率實(shí)驗(yàn)的結(jié)果。

4 交易數(shù)據(jù)隱私保護(hù)方案

本節(jié)介紹協(xié)議的具體構(gòu)造，假設(shè)本文涉及的所有成員都有自己的公私鑰對，記為 pkentity/skentity，其中entity 指代實(shí)體名稱。本文協(xié)議的主要標(biāo)記符說明如表1 所示。

表1 主要標(biāo)識(shí)符說明

4.1 系統(tǒng)初始化

TA 首先設(shè)置用戶屬性空間L={ai}i∈[1,n],調(diào)用Setup(1k,L)→(PK,MSK)產(chǎn)生系統(tǒng)公鑰PK 和主密鑰 MSK,然后定義公開的偽隨機(jī)函數(shù)F:{0,1}k×{0,1}*→{0,1}l，并生成隨機(jī)搜索密鑰SKS←{0,1}k。

4.2 用戶注冊

用戶注冊過程是DU、TA 和區(qū)塊鏈之間的交互，如圖2 所示，主要步驟如下。

圖2 用戶注冊時(shí)序

步驟1用戶u向TA 發(fā)送二元組 〈Au,pku〉以請求計(jì)算屬性私鑰ASKu，其中Au是該用戶的身份屬性集合，pku是該用戶的公鑰。

步驟2TA 首先調(diào)用KeyGen(MSK,Au)→ASKu算法為用戶生成屬性私鑰ASKu=〈 AK1,AK2〉 并為用戶分發(fā)證書Cert(skTA,pku)；然后將 〈Cert(skTA,pku),pku,Au〉上傳到區(qū)塊鏈中，返回交易號(hào)；再以pku為鍵，為值調(diào)用屬性合約，屬性合約的執(zhí)行過程如算法1 所示。若TA 賬戶沒有足夠的余額來支付礦工收取的燃料費(fèi)，則系統(tǒng)回滾；最后將屬性私鑰分量 ASKu.AK2和搜索密鑰SKS發(fā)回給DU。

算法1屬性合約

4.3 數(shù)據(jù)加密

DO 首先設(shè)置噪聲集合 NoiS={τi}i∈[1,N]和相應(yīng)的訪問策略樹 TS={Ti}i∈[1,N]，其中Ti規(guī)定了能獲得噪聲化數(shù)據(jù)noi(m,τi)的用戶類型，τi隨著i的增加而變大。在TS 的基礎(chǔ)上，DO 設(shè)計(jì)一個(gè)新的訪問策略樹T?，其定義為用戶屬性集滿足T?當(dāng)且僅當(dāng)其滿足任一訪問樹Ti∈TS。另外，DO 還需要產(chǎn)生一個(gè)對稱的會(huì)話密鑰k，用于加密原始數(shù)據(jù)的相關(guān)信息，支持?jǐn)?shù)據(jù)的高效更新。

然后，DO 和 CS 計(jì)算 NoiS 的密文CTNoiS={εTi(Aτi)i∈[1,N]}和會(huì)話密鑰k的密文εT?(k)，計(jì)算過程如下。

步驟1DO 將PK和T?發(fā)送給CS，CS 執(zhí)行外包屬性基加密算法，計(jì)算密文 C=Encrypt1(PK,T?)，并將C返回給DO。

步驟2DO 加密會(huì)話密鑰k為(k)=Encrypt2(PK,k,C)。

步驟3DO 隨機(jī)選擇,∈Zq，計(jì)算噪聲集合密文 CTNoiS。對于 ?τi∈NoiS，執(zhí)行以下步驟。

1) DO 將PK和Ti發(fā)送給 CS，CS 計(jì)算CTi′=Encrypt1(PK,Ti)并發(fā)送給DO。

至此，數(shù)據(jù)加密階段結(jié)束，DO 得到噪聲集合NoiS 密文 CTNoiS={εTi(Aτi)}i∈[1,N]、會(huì)話密鑰k密文(k)和原數(shù) 據(jù)m的密文共享組件CTm={Cm,Ek(Pup)}。值得注意的是，CTNoiS和(k)的計(jì)算與原數(shù)據(jù)m無關(guān)，因此在數(shù)據(jù)m持續(xù)更新的場景中，DO 僅需更新數(shù)據(jù)的密文共享組件CTm即可。

4.4 生成索引

假設(shè)數(shù)據(jù)m的關(guān)鍵詞集為KWm，其索引的計(jì)算步驟如下。

步驟1DO 向TA 申請搜索密鑰SKS，TA 使用DO 的公鑰pkDO來加密搜索密鑰 En c(SKS,pkDO)并傳送給DO。

步驟2DO 將CTm和εT?(k)||C TNoiS||TS 分別存放到CS 中，并返回存儲(chǔ)地址addrm和addrτ，令addrmτ={addrm,addrτ}。

步驟3對 ?wj∈KWm，DO 計(jì)算搜索令牌，將 〈Tok,addrmτ〉通過交易發(fā)送給索引合約，調(diào)用索引合約更新索引I，如算法2 所示。若DO 賬戶沒有足夠的余額來支付燃料費(fèi)，則系統(tǒng)回滾。假設(shè)只有2 個(gè)數(shù)據(jù)m1和m2被分享，其中數(shù)據(jù)m1有關(guān)鍵詞w1和w2，密文存儲(chǔ)地址為 addrm1τ；數(shù)據(jù)m2有關(guān)鍵詞w1,w2,w3，密文存儲(chǔ)地址為 addrm2τ，則生成的索引如表2 所示。索引合約的執(zhí)行過程如算法 2所示。

表2 生成的索引

算法2索引合約

上述數(shù)據(jù)加密和生成索引流程如圖3 所示。

圖3 數(shù)據(jù)加密和生成索引流程

4.5 訪問數(shù)據(jù)

假設(shè)用戶u的搜索關(guān)鍵詞集合為KWu，初始化查詢結(jié)果Ru為空集。訪問數(shù)據(jù)過程如下。

步驟1用戶u首先計(jì)算搜索令牌集TKu={TokWi=F(SKS,wi)|wi∈KWu}，然后簽名搜索令牌集得到Sig(sku,TKu)，并形成搜索請求〈TKu,pku,Sig(sku,TKu)〉發(fā)送給CS。

步驟2CS 將搜索請求〈TKu,pku,Sig(sku,TKu)〉轉(zhuǎn)發(fā)給查詢合約。該查詢合約根據(jù)搜索請求執(zhí)行搜索，其執(zhí)行過程如算法3 所示。

算法3查詢合約

步驟3針對 ?a ddrmτ∈Ru，CS 執(zhí)行操作如下。

1) 從addrmτ.addrτ中獲取εT?(k)||C TNoiS||TS 。

2) 對于?Ti∈TS，一旦找到數(shù)據(jù)用戶u的身份屬性集合Au滿足的訪問策略樹Ti，則從addrmτ.addrm中獲取數(shù)據(jù)密文共享組件CTm={Cm,Ek(Pup)}，并跳到第3)步；否則結(jié)束該進(jìn)程，繼而處理下一個(gè)數(shù)據(jù)密文地址addrmτ∈Ru。

3) CS 使用屬性私鑰 ASKu.AK1外包解密，調(diào)用Decrypt1(PK,εTi(Aτi),ASKu.AK1)和 Decrypt1(PK,εT?(k),ASKu.AK1)，并將結(jié)果{C Tm,CA′τi,Ck}返回給u。

4)u首先對收到的密文做第二次解密，執(zhí)行式(1)和式(2)。

4.6 更新數(shù)據(jù)

在數(shù)據(jù)噪聲化分享場景中，一般只更新原數(shù)據(jù)m，而無須更新噪聲。具體的更新過程如下。

5 安全性證明

本文協(xié)議通過加密實(shí)現(xiàn)了數(shù)據(jù)的隱私保護(hù)和密文搜索，因此本節(jié)將證明本文協(xié)議具有選擇明文攻擊下的不可區(qū)分性和適應(yīng)性選擇關(guān)鍵詞語義安全。

5.1 選擇明文攻擊下的不可區(qū)分性證明

證明假設(shè)一個(gè)概率多項(xiàng)式時(shí)間敵手A 的優(yōu)勢在之前的安全模型的定義中是AdvA，然后證明可以基于A 構(gòu)建敵手 A ′，使 A ′能夠破解屬性基加密算法難以區(qū)分的多重加密，在接下來的安全博弈中具有與AdvA相同的優(yōu)勢。

初始化。A 獲取屬性基加密算法的公鑰，然后發(fā)送公鑰給敵手A。相應(yīng)的主密鑰只有屬性基加密算法的挑戰(zhàn)者C 知道。

階段1。A 提交屬性集合A1,A2,A3,···,An1。為了產(chǎn)生相應(yīng)的屬性密鑰，A' 對于每個(gè)屬性集Al,l∈[1,n1]向挑戰(zhàn)者C 生成一個(gè)屬性密鑰查詢。然后 A ′將生成的私鑰 ASKl={AK1,l,AK2,l}l∈[1,n1]發(fā)送給敵手A。

步驟1A ′隨機(jī)選擇一個(gè)秘密的會(huì)話密鑰k并且在相應(yīng)的訪問策略樹加密k。相應(yīng)的密文計(jì)算過程為

階段2。在沒有一組屬性可以滿足挑戰(zhàn)中的任何訪問策略樹的條件下重復(fù)階段1。

猜測。敵手A 從μ∈[0,1]輸出猜測u′。然后，敵手 A ′輸出u′結(jié)束游戲。

根據(jù)之前定義的安全模型，敵手 A ′的優(yōu)勢攻破具有多重加密的屬性基加密算法的概率是AdvA=。上述等式表明，如果在本文的安全模型中AdvA是不可忽略的，那么對于敵手也具有不可忽略的優(yōu)勢AdvA=AdvA′來打破具有多重加密的屬性基加密算法的安全性。證畢。

5.2 適應(yīng)性選擇關(guān)鍵詞語義安全

階段2。生成模擬安全索引I*。模擬器在{0,1}l隨機(jī)選擇n個(gè)元素作為模擬搜索令牌，并生成模擬安全索引I*。在RealA(λ)中采用偽隨機(jī)方法F構(gòu)造索引，而模擬安全索引I*由模擬器隨機(jī)生成的字符串代替。根據(jù)偽隨機(jī)函數(shù)的安全性，在搜索密鑰SKs未知的情況下，敵手A 在計(jì)算中無法區(qū)分隨機(jī)字符串和偽隨機(jī)函數(shù)F的輸出結(jié)果。因此，敵手A在計(jì)算中無法區(qū)分I和I*,故negl2(λ)，其中IndexGen 是索引生成算法。

本文用Advan(A(C))來表示對手A 能辨別真實(shí)的密文和隨機(jī)密文的優(yōu)勢，用Advan(A(I))來表示對手A 辨別真實(shí)的加密索引和隨機(jī)字符串的優(yōu)勢，則

根據(jù)上述證明，對于在任意概率多項(xiàng)式時(shí)間的外部敵手A，RealA(λ)和 IdealA,S的輸出是不可區(qū)分的，因此，本文協(xié)議滿足適應(yīng)性選擇關(guān)鍵詞語義安全。證畢。

6 性能分析

本節(jié)將介紹所提出的數(shù)據(jù)噪聲化分享協(xié)議在功能和性能方面與其他現(xiàn)有工作的對比。

6.1 功能對比

文獻(xiàn)[10-11,27]與本文協(xié)議類似，因此將本文協(xié)議與其進(jìn)行功能對比，對比結(jié)果如表3 所示。文獻(xiàn)[10]方案實(shí)現(xiàn)了解密計(jì)算的外包，但是用戶端的加密計(jì)算開銷與訪問策略樹屬性數(shù)量成正比，而且數(shù)據(jù)關(guān)鍵字以明文的形式出現(xiàn)在區(qū)塊鏈。文獻(xiàn)[11]方案將可搜索加密和區(qū)塊鏈技術(shù)相結(jié)合實(shí)現(xiàn)數(shù)據(jù)隱私保護(hù)，但不支持高效的數(shù)據(jù)更新。文獻(xiàn)[27]方案依賴半可信服務(wù)器，而且未考慮密文之上的數(shù)據(jù)搜索。

表3 功能對比

6.2 性能對比

表4 展示了本文協(xié)議與文獻(xiàn)[10-11,27]在數(shù)據(jù)主端的加密計(jì)算、數(shù)據(jù)用戶端的解密計(jì)算、搜索令牌計(jì)算、數(shù)據(jù)搜索計(jì)算和數(shù)據(jù)更新開銷的計(jì)算代價(jià)進(jìn)行對比。其中，Te表示指數(shù)運(yùn)算；Tm表示乘法運(yùn)算；Tp表示雙線性對操作；TD表示一次對稱加解密；H表示散列運(yùn)算；F表示偽隨機(jī)函數(shù)；表示訪問策略樹中的葉子節(jié)點(diǎn)個(gè)數(shù)；k表示用戶屬性數(shù)量；kn表示搜索關(guān)鍵詞的數(shù)量；符號(hào)—表示不適用；nz表示噪聲集合中噪聲因子的數(shù)量；S表示滿足訪問結(jié)構(gòu)的最小屬性集合數(shù)量。

表4 性能對比

1) 數(shù)據(jù)主端的加密計(jì)算。文獻(xiàn)[10-11]方案沒有實(shí)現(xiàn)數(shù)據(jù)的噪聲化處理，所以數(shù)據(jù)主端的加密開銷與訪問策略樹的葉子節(jié)點(diǎn)數(shù)量成正比。文獻(xiàn)[27]方案的數(shù)據(jù)主端加密開銷與葉子節(jié)點(diǎn)數(shù)量和噪聲因子數(shù)量成正比。本文協(xié)議提供不同程度的噪聲化數(shù)據(jù)，所以數(shù)據(jù)主端的加密開銷與噪聲因子數(shù)量成正比；又由于將訪問策略計(jì)算的加密部分外包給了CS，所以數(shù)據(jù)主端的加密開銷與葉子節(jié)點(diǎn)數(shù)量無關(guān)。此外，本文協(xié)議只在初始化時(shí)需要計(jì)算噪聲因子密文，后續(xù)對數(shù)據(jù)進(jìn)行噪聲化加密時(shí)只需采用數(shù)據(jù)更新算法即可，其復(fù)雜度與噪聲因子數(shù)量無關(guān)。而文獻(xiàn)[10-11]方案若要提供不同程度的噪聲化數(shù)據(jù)，需要對數(shù)據(jù)執(zhí)行nz次加密，顯然本文協(xié)議具有顯著優(yōu)勢。

2) 數(shù)據(jù)用戶端的解密計(jì)算。文獻(xiàn)[10]方案將解密操作的部分加密外包給了CS，但是數(shù)據(jù)用戶端的解密開銷與用戶的屬性數(shù)量成正比。文獻(xiàn)[11]方案的數(shù)據(jù)用戶端解密開銷與訪問控制策略和用戶屬性數(shù)量皆無關(guān)，僅需要一次雙線性對運(yùn)算，一次乘法運(yùn)算和一次對稱加密計(jì)算。文獻(xiàn)[27]方案的數(shù)據(jù)用戶端的解密開銷與訪問策略樹的復(fù)雜程度和用戶的屬性數(shù)量有關(guān)，需要4S+2次雙線性對運(yùn)算，2S+1次乘法運(yùn)算，2S次指數(shù)運(yùn)算，一次對稱加密運(yùn)算。本文協(xié)議將與訪問控制策略相關(guān)的解密運(yùn)算外包給了CS，所以數(shù)據(jù)用戶端的解密計(jì)算需要2 次雙線性對運(yùn)算，3 次乘法運(yùn)算，一次對稱加密運(yùn)算。

3) 搜索令牌計(jì)算。文獻(xiàn)[27]方案不支持對密文進(jìn)行檢索，所以搜索令牌計(jì)算開銷不存在。文獻(xiàn)[10]方案采用明文關(guān)鍵字進(jìn)行搜索，所以搜索令牌計(jì)算開銷記為0。文獻(xiàn)[11]方案將屬性基加密與可搜索加密結(jié)合，所以計(jì)算搜索陷門時(shí)需對用戶的每個(gè)屬性做運(yùn)算，故計(jì)算搜索開銷與用戶的屬性數(shù)量成正比；計(jì)算單個(gè)關(guān)鍵字陷門需要2k+1次指數(shù)運(yùn)算、k次乘法運(yùn)算，1+k次哈希運(yùn)算。本文協(xié)議需對每個(gè)搜索關(guān)鍵詞計(jì)算一次偽隨機(jī)函數(shù)，因此計(jì)算代價(jià)為nk F。

4) 數(shù)據(jù)搜索計(jì)算。本文協(xié)議和文獻(xiàn)[10]方案在構(gòu)建索引時(shí)皆采用基于鍵值對的查找表方式，因此數(shù)據(jù)搜索計(jì)算的代價(jià)皆為常數(shù)級(jí)。而文獻(xiàn)[11]方案將訪問控制策略應(yīng)用于關(guān)鍵字搜索上，當(dāng)用戶的搜索陷門與索引陷門相匹配且用戶的屬性滿足訪問控制策略時(shí)，搜索匹配才能成功，所以文獻(xiàn)[11]方案搜索開銷與用戶的屬性數(shù)量成正比。

5) 數(shù)據(jù)更新開銷。文獻(xiàn)[27]方案和本文數(shù)據(jù)更新需要3 次乘法運(yùn)算，一次指數(shù)計(jì)算和一次對稱加密計(jì)算，與訪問策略和噪聲因子數(shù)量無關(guān)，更新開銷較少。

6.3 實(shí)驗(yàn)分析

為了更準(zhǔn)確地評估協(xié)議性能，本文在系統(tǒng)初始化、密鑰生成、用戶加密、索引生成、搜索令牌生成、搜索、用戶解密和用戶更新密文的時(shí)間方面進(jìn)行仿真測試。本節(jié)實(shí)驗(yàn)選取 JPBC（java pairing-based cryptography library）庫中提供的 A 類橢圓曲線，偽隨機(jī)函數(shù)采用 HMAC-SHA256，智能合約采用 solidity 語言，運(yùn)行在以太坊虛擬機(jī)中，使用web3.js 庫對部署的3 個(gè)智能合約進(jìn)行調(diào)用和測試。本文實(shí)驗(yàn)的硬件環(huán)境為 Intel(R) Core(TM)i5-4210M CPU @ 2.60 GHz，RAM 為8 GB。

數(shù)據(jù)加解密的運(yùn)行開銷如圖4 所示。圖4(a)描述了在不同數(shù)量的噪聲因子下，數(shù)據(jù)主端的加密時(shí)間。數(shù)據(jù)主端加密開銷主要包含三部分：數(shù)據(jù)明文的加密即共享組件的計(jì)算、會(huì)話組件的加密以及噪聲集合的加密。共享組件計(jì)算和會(huì)話組件加密的時(shí)間復(fù)雜度為O(1)，而噪聲集合密文的計(jì)算開銷與噪聲因子數(shù)量成正比。由于使用了具有外包加解密的CP-ABE 算法，有關(guān)訪問策略的計(jì)算部分都外包給了CS，用戶端屬性基加密的開銷與屬性數(shù)量無關(guān)，這很大程度減少了用戶端的計(jì)算開銷。此外，數(shù)據(jù)主僅在初始化時(shí)需計(jì)算噪聲集合密文，在后續(xù)數(shù)據(jù)更新時(shí)不需要重新計(jì)算噪聲密文。而文獻(xiàn)[27]方案數(shù)據(jù)主端的加密時(shí)間包含了有關(guān)訪問策略的計(jì)算部分，開銷大于本文協(xié)議。圖4(b)描述了當(dāng)噪聲因子數(shù)量為1 時(shí)，各方案的數(shù)據(jù)主端加密時(shí)間。由于使用了外包加解密的CP-ABE 算法，本文協(xié)議的數(shù)據(jù)主端加密時(shí)間幾乎不受屬性數(shù)量影響，而文獻(xiàn)[10-11,27]方案的數(shù)據(jù)主端加密時(shí)間與屬性數(shù)量近似成正比。圖4(c)描述了在不同的滿足訪問策略樹的最小屬性數(shù)量下，數(shù)據(jù)用戶端的解密時(shí)間。本文協(xié)議的數(shù)據(jù)用戶端解密開銷主要包含三部分：會(huì)話組件密文解密運(yùn)算、噪聲密文解密運(yùn)算、加噪數(shù)據(jù)的運(yùn)算。盡管數(shù)據(jù)主設(shè)置了多個(gè)噪聲密文集，但是數(shù)據(jù)用戶在解密時(shí)只需解密與其屬性集合匹配的噪聲密文，所以用戶解密時(shí)間與噪聲因子數(shù)量無關(guān)。同樣，由于本文協(xié)議使用了外包加解密的CP-ABE 算法，用戶端的解密時(shí)間與屬性數(shù)量也無關(guān)，解密開銷較低。文獻(xiàn)[11]方案中的數(shù)據(jù)用戶端解密不包含與訪問策略相關(guān)的運(yùn)算，所以解密時(shí)間與屬性數(shù)量無關(guān)。而文獻(xiàn)[10-27]方案中的數(shù)據(jù)用戶端解密包含與訪問樹相關(guān)的運(yùn)算，所以解密時(shí)間與屬性數(shù)量成正比。綜上，本文協(xié)議在解密時(shí)間上略高于文獻(xiàn)[11]方案，但遠(yuǎn)低于[10,27]方案。

圖4 數(shù)據(jù)加解密的運(yùn)行開銷

圖5(a)描述了當(dāng)用戶屬性數(shù)量為10 時(shí)，各方案搜索令牌的生成時(shí)間和搜索時(shí)間。本文采用HMAC-SHA256 算法生成搜索令牌，在Java 語言環(huán)境下經(jīng)1 000 次獨(dú)立實(shí)驗(yàn)測得搜索密鑰初始化時(shí)間平均為102 ms。當(dāng)搜索關(guān)鍵詞數(shù)量為10 時(shí)，在搜索密鑰已初始化的情況下，搜索令牌生成時(shí)間為4 ms。當(dāng)搜索關(guān)鍵詞數(shù)量為20 時(shí)，在搜索密鑰已初始化的情況下，搜索令牌生成時(shí)間為6 ms。搜索關(guān)鍵詞數(shù)量越多，生成搜索令牌的花費(fèi)開銷平均到計(jì)算單個(gè)關(guān)鍵詞搜索令牌的開銷上越小，因此具有較高的效率。而文獻(xiàn)[11]方案中搜索令牌的計(jì)算步驟包括指數(shù)運(yùn)算、乘法運(yùn)算和哈希運(yùn)算，搜索令牌的生成時(shí)間與搜索關(guān)鍵詞數(shù)量成正比。圖5(b)描述了當(dāng)搜索關(guān)鍵詞數(shù)量為10 時(shí)，各方案的搜索令牌生成時(shí)間。本文協(xié)議搜索令牌生成時(shí)間與數(shù)據(jù)用戶屬性數(shù)無關(guān)。而文獻(xiàn)[11]方案中搜索令牌生成時(shí)間與用戶屬性數(shù)量成正比。

圖5 搜索令牌的生成時(shí)間和搜索時(shí)間

圖5(c)和圖5(d)展示了各方案執(zhí)行查詢合約的搜索時(shí)間。假設(shè)索引表中存儲(chǔ)50 個(gè)鍵值對，每個(gè)鍵值對存儲(chǔ)10 個(gè)密文存儲(chǔ)地址。圖5(c)描述了當(dāng)用戶屬性數(shù)量為10 時(shí)，各方案搜索時(shí)間與搜索關(guān)鍵詞數(shù)量之間的關(guān)系。本文協(xié)議和文獻(xiàn)[10]方案在構(gòu)建索引時(shí)皆采用基于鍵值對的查找表方式，而文獻(xiàn)[11]方案采用基于屬性的可搜索加密的方式，其需與關(guān)鍵詞和訪問策略進(jìn)行匹配，所以本文協(xié)議在搜索效率上高于文獻(xiàn)[11]方案。圖5(d)描述了當(dāng)搜索關(guān)鍵詞數(shù)量為10 時(shí)，各方案搜索時(shí)間與用戶屬性數(shù)量的關(guān)系。本文協(xié)議和文獻(xiàn)[10]方案在構(gòu)建索引時(shí)皆采用基于鍵值對的查找表方式，所以搜索計(jì)算開銷與用戶屬性數(shù)無關(guān)。而文獻(xiàn)[11]方案中的搜索計(jì)算開銷與用戶屬性數(shù)量成正比。

圖6(a)和圖6(b)分別描述了數(shù)據(jù)主端數(shù)據(jù)更新時(shí)間與用戶屬性數(shù)量和噪聲因子數(shù)量之間的關(guān)系。數(shù)據(jù)主端更新一個(gè)密文數(shù)據(jù)大約耗費(fèi)4.25 ms，更新的計(jì)算開銷與訪問策略和噪聲因子數(shù)量皆無關(guān)，因此數(shù)據(jù)更新效率高。

圖6 數(shù)據(jù)更新時(shí)間

7 結(jié)束語

本文采用密文策略屬性基加密算法和智能合約技術(shù)，構(gòu)造了一套安全且高效的噪聲化數(shù)據(jù)分享控制協(xié)議。本文協(xié)議實(shí)現(xiàn)了對不同類型的數(shù)據(jù)用戶可以訪問到的數(shù)據(jù)精度的控制。首先，為了抵抗惡意服務(wù)器，本文協(xié)議利用智能合約機(jī)制實(shí)現(xiàn)數(shù)據(jù)搜索；其次，為了減輕客戶端的計(jì)算開銷，屬性加解密過程被外包給云服務(wù)器；其次，本文協(xié)議支持密文的快速更新，更新的時(shí)間開銷與訪問策略復(fù)雜度和噪聲因子數(shù)量無關(guān)；最后，安全性分析證明本文協(xié)議具有密文不可區(qū)分性和適應(yīng)性選擇關(guān)鍵詞語義的安全性，性能分析與實(shí)驗(yàn)評估證明了本文協(xié)議在客戶端的計(jì)算開銷、搜索效率和數(shù)據(jù)更新開銷等方面具有優(yōu)良的性能。