基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型_第1頁
基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型_第2頁
基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型_第3頁
基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型_第4頁
基于區(qū)塊鏈的數(shù)據(jù)共享訪問控制模型_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

01

預備知識1.1

訪問結構1.1.1

定義1:訪問結構定義訪問結構

[11]:設

為參與者集合,

?B,C,若B?C且B?C

,則C∈A,稱集合

是單調的。一個訪問結構A是一個非空集合

的子集,

即。

在A中的集合稱為授權集合,不在A中的集合稱為非授權集合。1.1.2

定義2:權重門限訪問結構定義權重門限訪問結構

:設U為全體屬性的集合,令

ω

∶U→N為一個權重函數(shù),T∈N為門限值,

定義,則為N的權重門限訪問結構。1.1.3

定義3:屬性分割算法屬性分割算法的輸入是一個屬性集合,系統(tǒng)根據(jù)屬性的重要性將屬性分割,

并賦予不同的權值。對于屬性集中的每個屬性允許系統(tǒng)

中的最大權值為,權值為整數(shù)。將屬性集中

的每個屬性

依據(jù)權重進行分割,分割后屬性

應于

,

設定分割后的最小份額為1,

其構成的集合稱為屬性權重分割集。1.2

同態(tài)加密算法提出了新的同態(tài)加密算法——Paillier公鑰加密。該算法具有同態(tài)加法的性質,并在隨機語言模型下具有抵抗適應性攻擊的特點。算法流程如下文所述。(1)密鑰生成。首先隨機選取兩個大素數(shù)p和q,這兩個大素數(shù)必須滿足條件;

算n=pq和

;

最后再次隨機選擇整數(shù),必須滿足條件

式,其中L可以表示為式。那么可得公鑰就是

,私鑰就是。(2)加密算法。對于一個給定的明文,首先

隨機選擇一個整數(shù),公鑰為

,那么加密

結果為。(3)解密算法。對于一個給定的密文,

使用用戶私鑰

,解密結果為。1.3

區(qū)塊鏈技術區(qū)塊鏈技術是一種去中心化、去信任化的分布式數(shù)據(jù)庫技術方案。采用如圖1所示的Merkle樹的結構,按照區(qū)塊生成的時間順序鏈接一起,并通過區(qū)塊頭的哈希值保證區(qū)塊的完整性。圖

1Merkle

樹區(qū)塊鏈的智能合約是一種旨在以信息化方式傳播、驗證或執(zhí)行合同的計算機協(xié)議,主要包括代碼、合約值、合約狀態(tài)3個部分,位于區(qū)塊鏈的中間協(xié)議層。智能合約的工作原理如圖2所示,通過判斷合約的狀態(tài)值是否滿足預定義的一系列的場景和條

件等,如果得到滿足就及時地響應相關動作。圖

2智能合約02數(shù)據(jù)共享訪問控制模型基于區(qū)塊鏈的數(shù)據(jù)訪問控制模型如圖3所示,涉及可信中心(TrustCentre,TC)、數(shù)據(jù)擁有者(DataOwner,DO)、

數(shù)

據(jù)請求

者(DataRequestUser,

DRU)

、聯(lián)盟鏈(ConsortiumBlackchain,CB)

、云

儲存服務商(CloudStorageServiceProvider,CSP)5個主體。為了加強數(shù)據(jù)的監(jiān)管和可追溯性,保證接入節(jié)點的安全性本模型采用半中心化的CB。此外,本模型采用全同態(tài)加密算法將數(shù)據(jù)摘要和關鍵字進行加密保護;

利用CP-ABE機制實現(xiàn)原始文件的細粒度訪問控制和機密性要求;通過簽名值對比判定數(shù)據(jù)的一致性。在數(shù)據(jù)的檢索方面,首先通過智能合約機制優(yōu)先過濾一部分非法訪問,其次將關鍵字索引密文引入CB中實現(xiàn)快速檢索。圖3數(shù)據(jù)共享訪問控制模型(1)TC負責向首次進入CB的每個使用者頒發(fā)數(shù)字證書。每個數(shù)據(jù)使用者向TC提交相關注冊信息(身份信息、單位、職務、密級等)

,只

有TC身份認證授權后才能獲得公私鑰以及屬性私

鑰和數(shù)字證書。(2)DO主要將數(shù)據(jù)共享給其他DRU。主要通過制定智能合約規(guī)則和訪問控制策略結構樹實現(xiàn)

數(shù)據(jù)的細粒度訪問控制和機密性,將數(shù)據(jù)信息摘要提取并加密模糊處理實現(xiàn)數(shù)據(jù)可預覽。(3)DRU若要獲取數(shù)據(jù),則需滿足相應權限才能訪問數(shù)據(jù)。(4)CB節(jié)點由不同部門單位、同部門不同級別單位、其他研究性機構等構成,并共同維護區(qū)塊鏈。CB存儲數(shù)據(jù)摘要密文和元數(shù)據(jù),以防止數(shù)據(jù)

被惡意篡改。(5)CSP提供存儲加密數(shù)據(jù)功能。03方案描述基于區(qū)塊鏈的數(shù)據(jù)訪問控制模型,主要分為系

統(tǒng)初始化階段、數(shù)據(jù)存儲階段和數(shù)據(jù)搜索與共享階

段3個階段。3.1

系統(tǒng)初始化階段本階段主要包含CP-AEB生成密鑰和Paillier算法生成密鑰。CP-AEB生成密鑰包含Setup和keyGen兩個步驟。(1)Setup步

驟。TC輸

參數(shù)λ

集A,

數(shù)PK和

鑰。輸入安全參數(shù),設p是一大素數(shù),定義是

階數(shù)為

的兩個乘法循環(huán)群,令為群G0生成元,定義雙線性映

射。安全參數(shù)

λ決定群的大小。TC隨機選擇兩個隨機數(shù),計算

,生成公開參數(shù)

和主密鑰。(2)KeyGen步

驟。表

統(tǒng)中用戶的屬性集合;A*

是屬性A對應的權重

屬性分割集,,b是屬性A*

對應的

權重屬性分割集的和

表示系統(tǒng)中用戶的屬性所有參數(shù)集合。TC輸入DRU以用戶的屬性所有參數(shù)集合A'

和主密鑰MK,輸

鑰。

統(tǒng)

機選取,并為A'

每個屬性

選擇一個隨機值,則屬性權重私鑰為Paillier算法生成密鑰,,

其中。3.2

數(shù)據(jù)存儲階段DO分別計算出元數(shù)據(jù)(存儲索引密文CT,數(shù)

據(jù)關鍵字和摘要密文CH,原數(shù)據(jù)哈希值),

將其存入CB中,

實現(xiàn)鏈下計算和鏈上存儲。具體

的計算步驟如下:(1)從TC中獲取對稱密鑰key,將明文數(shù)據(jù)M對稱加密得到密文

。將上傳至云存儲服務器,獲得存儲位置索引loc。(2)構造訪問策略T,如圖4所示,先通過預處理,將每個屬性權重相加,得到權重值的和b作為葉子節(jié)點,從而減少CP-ABE計算的開銷。圖

4

訪問策略權限樹(3)通過CP-ABE,

將訪問策略T、存儲位

置索引loc、對稱密鑰key,通過加密算法得到密

文,設根節(jié)點滿足

是屬性所有參數(shù)集合,則:(4)選隨機數(shù),計算關鍵子和數(shù)據(jù)摘

要的同態(tài)加密密文。(5)計算元數(shù)據(jù)的哈希值(6)將元數(shù)據(jù)格式存入CB中。3.3

數(shù)據(jù)搜索與共享階段DRU訪問數(shù)據(jù)的流程如圖5所示,先通過智

能合約機制去驗證用戶的身份密級和文件的保護期

限;

如果滿足的情況下,再查詢CB的數(shù)據(jù)關鍵字

和摘要信息;并通過CP-ABE驗證訪問策略結構樹驗證通過后解密得到數(shù)據(jù)的索引地址和對稱密鑰;

從云服務器下載密文數(shù)據(jù),使用對稱密鑰解密得到明文,并對比哈希值確保數(shù)據(jù)的完整性。具體的步驟如下文所述。圖

5

數(shù)據(jù)搜索與共享訪問流程(1)DO設定智能合約規(guī)則,設置數(shù)據(jù)的密級

和保密期限。DRU調用智能合約驗證自身密級和數(shù)據(jù)的密級一致性,

并針對數(shù)據(jù)的保密期限進行審查,

符合智能合約規(guī)定的密級和保密期限執(zhí)行步驟(2),

否則直接拒絕訪問。設定智能合約的定時輪詢檢測功能,如果文件期限有問題,則直接提醒數(shù)據(jù)的擁

有者,

針對CB元數(shù)據(jù)進行更改重新上鏈。具體的算法偽代碼如下文所述。(2)DRU在CB查詢中關鍵字或摘要的密文,獲取數(shù)據(jù)文件索引密文CT和哈希值

使用屬性權重私鑰SK驗證DRU是否滿足訪問控

制樹T,其中q是T的一個節(jié)點,設

γ

是訪問控制樹T的一個根節(jié)點,如果滿足的情況下,計算。獲得原始數(shù)據(jù)的文件索引loc和對稱密鑰(3)從云存儲服務器下載數(shù)據(jù)密文,并解密數(shù)據(jù)得到明文(4)計算哈希值,校驗數(shù)據(jù)的一致性。04模型分析4.1安全性分析本模型采用鏈下計算鏈上存儲的數(shù)據(jù)共享方式,因此從數(shù)據(jù)鏈下加密計算方向和鏈上存儲方向分析數(shù)據(jù)的安全性。4.1.1加密算法安全性在本模型中,結合數(shù)據(jù)加密標準(DataEncryptionStandard,DES)、Paillier算法、CP-ABE等多種加密技術,其中DES算法可以保證算法的安全性。Paillier同態(tài)加密算法

證明了在隨機語言模型下,該算法能夠抵抗適應性攻擊,具有很好的同態(tài)特性;CP-ABE算法通過選擇屬性和選擇明文攻擊下的不可區(qū)分性(in-distinguishabilityagainstselectiveaccessstructureandchosenplaintextattack,IND-SASCPA)游戲,證明了該算法可以達到抵抗選擇明文攻擊下的安全性。本文采用權重屬性集作為葉子節(jié)點采用普通屬性集作為葉子節(jié)點的研究方法相同,因此證明方法也相同,可以達到抵抗選擇明文攻擊下的安全性要求。4.1.2數(shù)據(jù)的機密性和完整性在本模型中DES對稱加密保證了云服務器存儲的數(shù)據(jù)為密文,通過Pailler算法同態(tài)加密保證了關鍵字和數(shù)據(jù)摘要為密文,通過CP-ABE加密保證了數(shù)據(jù)文件索引和對稱密鑰為密文。因此,在數(shù)據(jù)流轉過程中保證了數(shù)據(jù)的機密性,并通過元數(shù)據(jù)的哈希值,保證了原文件的完整性。4.1.3CB安全性分析在本模型中采用CB的方式,即數(shù)據(jù)區(qū)塊通過Merkle樹構造,并按照時間順序鏈接保證區(qū)塊消息不能任意修改,除非全網51%的節(jié)點被篡改。此外,本鏈中通過TC的監(jiān)管,保證了接入節(jié)點的安全性,且本模型將關鍵字和數(shù)據(jù)摘要的密文以及地址索引和對稱密鑰密文存儲在CB上,因此具備防篡改能力。4.2模型的對比通過對比本文數(shù)據(jù)共享處理的模型和其他場景模型的數(shù)據(jù)共享功能分析,得到表1。本模型采用權重屬性基加密,可以實現(xiàn)更精細的粒度控制,且適用范圍更廣;本模型采用關鍵字和摘要同態(tài)加密,可以實現(xiàn)摘要的預覽從而減少帶寬開銷。表1模型對比05實驗與結果分析為了更準確地評估本模型的實際性能,本

文對CP-ABE算法、Pailler算法和智能合約機制

進行實驗仿真。實驗的硬件環(huán)境:i5-75003.4GHz的CPU、隨機存取存儲器(RandomAccessMemory,RAM)

為8GB。實驗環(huán)境構造:

在VMwareWorkstation12上

裝Ubuntu16.04.7;

采用HyperledgerFabric的版本v1.4,

進行重構設計智能合約。本文在不同的屬性策略條件下,選擇512字節(jié)的數(shù)據(jù),本文模型的CP-ABE加解密開銷。如圖6所示,結果表明本模型在加解密方面有明顯的優(yōu)勢。其中,將屬性值和屬性權重值相分離,計算了兩次CP-ABE加解密,而本模型采用權重屬性總計算值作為屬性因子進行加解密可以減少大量開銷。圖

6

CP-ABE

不同方案加解密時間開銷本文的模型是基于區(qū)塊鏈的元數(shù)據(jù)來進行CP-ABE加解密,因此數(shù)據(jù)的長度有限。本文選擇256字節(jié)和512字節(jié)的數(shù)據(jù)進行實驗仿真。如圖7所示,結果表明CP-ABE加解密時間開銷隨著屬性策略的

增加時間變長,但是在實際應用在可接收范圍內。

圖7CP-ABE不同明文長度加解密時間開銷本模型采用Pailler算法針對搜索關鍵字和摘要

進行加密,根據(jù)文件摘要的長度特點本文選擇長度

為1024字節(jié)、2048字節(jié)、3072字節(jié)、4096字節(jié)進

行實驗仿真。如圖8所示,隨著數(shù)據(jù)長度的增加,

加解密時間增加,但是在實際應用,加密時間在可

接收范圍內。圖

8

Pailler

加解密時間開銷本模型通過將智能合約機制進行仿真實驗,如圖9所示,隨著元數(shù)據(jù)數(shù)目增加時間開銷越低,滿足實際使用需求。圖

9

智能合約機制的時間開銷對比06結語本文提出了一個基于區(qū)塊鏈的數(shù)據(jù)訪問控制模型,通過采用CB的方式,可以保證接入CB的節(jié)點的安全性,實現(xiàn)共享數(shù)據(jù)的追溯。通過模型分析和實驗仿真表明,本模型可以解決數(shù)據(jù)共享的安全和訪問控制問題。本文的主要貢獻如下:(1)由于數(shù)據(jù)在不同的企業(yè)或者部門中流轉,傳統(tǒng)的檢索方法是針對關鍵字相關檢索,無法預覽共享數(shù)據(jù)摘要,造成重復多次無用下載,增加寬度開銷

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論