葛紀紅，沈 韜

（昆明理工大學信息工程與自動化學院，昆明 650500）

（*通信作者電子郵箱shentao@kust.edu.cn）

0 引言

以能源互聯(lián)網(wǎng)為核心的第三次工業(yè)革命在全世界范圍內逐漸發(fā)展，在以可再生能源、分布式發(fā)電等為代表的新能源技術以及云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等先進技術的推動下，能源互聯(lián)網(wǎng)有了進一步的發(fā)展［1］。能源互聯(lián)網(wǎng)中的各個節(jié)點都是一個數(shù)據(jù)源，它們在能源產(chǎn)生、能源存儲、能源轉移或能源消耗過程中都會產(chǎn)生大量數(shù)據(jù)［2-3］。能源數(shù)據(jù)的共享對于能源互聯(lián)網(wǎng)的發(fā)展、能源信息的進一步利用有很好的推動作用。能源互聯(lián)網(wǎng)中，數(shù)據(jù)存儲在不同企業(yè)和部門中，跨區(qū)域、跨企業(yè)、跨部門實現(xiàn)數(shù)據(jù)共享可以更好地發(fā)揮數(shù)據(jù)資本的價值。現(xiàn)階段能源公司內部以及能源公司之間的數(shù)據(jù)共享是一個難題，面臨數(shù)據(jù)泄露風險高、數(shù)據(jù)不可信以及數(shù)據(jù)控制權易丟失等諸多問題。而區(qū)塊鏈具備的可追溯、高可信、防篡改等特性，在運行方式、拓撲形態(tài)、安全防護等方面與能源互聯(lián)網(wǎng)理念相適應，可以很好地與能源大數(shù)據(jù)形成互補，滿足復雜的能源互聯(lián)網(wǎng)安全可信的需求［4］。

大數(shù)據(jù)技術的發(fā)展使得海量數(shù)據(jù)的潛在價值日益凸顯。電力行業(yè)作為國家重要的能源行業(yè)，電網(wǎng)企業(yè)在長期經(jīng)營過程中積累了大量的數(shù)據(jù)。這些數(shù)據(jù)不僅可以助力電網(wǎng)企業(yè)自身提升服務質量，創(chuàng)造更大收益，更可以作為經(jīng)濟社會運行狀況的重要反映。然而，當前電網(wǎng)企業(yè)正面臨著嚴峻的“數(shù)據(jù)孤島”問題。數(shù)據(jù)作為電力公司的資產(chǎn)，各大電力公司不同業(yè)務部門不希望自己內部的數(shù)據(jù)被其他部門所訪問，更不希望自己的數(shù)據(jù)被同行業(yè)不同公司所獲取。對于電網(wǎng)企業(yè)收集到的豐富數(shù)據(jù)資源，缺乏有效的共享和管理機制，使得數(shù)據(jù)的巨大價值被浪費。面對現(xiàn)在電網(wǎng)企業(yè)內部與外部的信息壁壘所帶來的內外部信息不對稱，以及數(shù)據(jù)價值的衰減，對電網(wǎng)企業(yè)不同業(yè)務系統(tǒng)之間進行數(shù)據(jù)的連接、貫通與共享，將進一步激發(fā)電網(wǎng)企業(yè)各部門的協(xié)同力以及活力。隨著電力行業(yè)業(yè)務逐漸復雜，產(chǎn)生的業(yè)務數(shù)據(jù)越來越多樣化以及復雜化，多業(yè)務系統(tǒng)跨鏈交互的需求也越來越多。

目前利用區(qū)塊鏈來進行數(shù)據(jù)的訪問控制，解決數(shù)據(jù)孤島問題，在很多領域的應用越來越廣泛，但隨著數(shù)據(jù)的不斷增加，區(qū)塊鏈的存儲空間成為其限制條件，同時數(shù)據(jù)隱私也是數(shù)據(jù)共享面臨的關鍵問題。Liang 等［5］為了解決集中式醫(yī)療服務系統(tǒng)中的信息孤島問題，提出了一個基于輕量級信息共享的醫(yī)療區(qū)塊鏈系統(tǒng)，該系統(tǒng)使用交織編碼器對原始的電子病例進行加密，隱藏電子病歷的敏感信息，提出一種（t，n）門限的輕量級消息共享方案，將被交易編碼器破壞語義的電子病歷分成n份來存儲，每個區(qū)塊鏈節(jié)點存儲其中的一份，然后，用（t1

基于屬性的加密（Attribute-Based Encryption，ABE）技術不僅可以保護數(shù)據(jù)的隱私性，還可以對實體進行細粒度的訪問控制，引起了很多研究學者的關注［12-13］?；趯傩约用艿乃枷胧紫扔蒘ahai 等［14］提出。Bethencourt 等［15］首次提出了基于密文策略的屬性加密（Ciphertext-Policy ABE，CP-ABE），CP-ABE 將訪問策略放置于密文中，將屬性集合放置在密鑰中，只有當密鑰中用戶的屬性集合滿足密文中設置的訪問策略時，用戶才能對密文進行解密獲得明文。針對單授權中心風險過于集中的問題，Lewko 等［16］提出了一個具有多授權中心的屬性加密方案，其中任何一個授權中心都可以成為中心權威，每個屬性授權中心都是獨立的。Zhang 等［17］提出了一種去中心化的基于屬性加密方案，該方案包含一個中央機構和多個屬性機構，每個屬性機構負責互不相交的屬性域并且相互獨立。Zhang 等［18］為了解決智能電網(wǎng)數(shù)據(jù)共享中的隱私保護和數(shù)據(jù)安全問題，提出了一種具有隱私保護的多權限屬性加密方案。Banerjee 等［19］為了物聯(lián)網(wǎng)環(huán)境中的數(shù)據(jù)使用提出基于CP-ABE 的多權限屬性加密方案，并且具有恒定大小的密鑰和密文。在上述多屬性中心的屬性加密方案中，存在解密開銷過大的問題，本文提出一個支持可驗證外包解密的多授權屬性加密方案。

圍繞能源互聯(lián)網(wǎng)企業(yè)內部數(shù)據(jù)訪問控制與企業(yè)之間數(shù)據(jù)共享過程中的隱私保護以及數(shù)據(jù)確權爭議問題，本文提出了一種基于多聯(lián)盟鏈和支持外包的多授權屬性加密算法的能源數(shù)據(jù)訪問控制方案。首先多聯(lián)盟鏈是監(jiān)管鏈和多條數(shù)據(jù)鏈的多鏈的架構，其中多條數(shù)據(jù)鏈存儲各能源公司的數(shù)據(jù)，實現(xiàn)了不同能源公司數(shù)據(jù)的隔離保護；監(jiān)管鏈存儲用戶跨通道數(shù)據(jù)訪問信息，可實現(xiàn)對數(shù)據(jù)的監(jiān)管、審計與確權。然后利用支持外包的多授權屬性加密技術，緩解單授權中心風險過于集中計算負載過重的問題；同時增加預解密算法，用來緩解解密計算開銷過大問題。最后通過安全性分析以及區(qū)塊鏈網(wǎng)絡的性能和支持外包的多授權屬性加密的仿真實驗分析表明，本文方案能有效防止隱私數(shù)據(jù)的泄露，實現(xiàn)能源數(shù)據(jù)的細粒度訪問控制。

1 基礎知識

1.1 區(qū)塊鏈

區(qū)塊鏈是一種以區(qū)塊為單位有序鏈接起來的鏈式結構。區(qū)塊是指數(shù)據(jù)的集合，相關信息和記錄都包括在里面。區(qū)塊由區(qū)塊頭和區(qū)塊體兩部分組成：區(qū)塊頭一般包含版本號、前一個區(qū)塊的哈希值、merkle 根、時間戳等；區(qū)塊體一般包含自前一區(qū)塊之后發(fā)生的多筆數(shù)據(jù)交易信息。區(qū)塊鏈的本質是一個多方維護的分布式賬本，其利用加密技術、默克爾樹和共識機制等技術，實現(xiàn)了交易數(shù)據(jù)的透明、不可篡改以及可追蹤特性［20-21］。與傳統(tǒng)數(shù)據(jù)庫相比，區(qū)塊鏈的優(yōu)勢是數(shù)據(jù)防篡改、可信任、多方維護。

1.2 雙線性映射

定義1雙線性映射。設有三個p素數(shù)階乘法循環(huán)群G1、G2和Gt，g1是G1的生成元，g2是G2的生成元，若映射e：G1×G2→Gt滿足如下三個性質，則稱該映射是雙線性映射。

1）雙線性性。對于?g1∈G1，?g2∈G2，?a，b∈Zp，均有成立。

2）非退化性。?g1∈G1，?g2∈G2，使得e(g1，g2)≠1。

3）可計算性。存在有效的算法，對于?g1∈G1，?g2∈G2，均可計算e(g1，g2)。

1.3 支持外包的多授權屬性加密形式化定義

支持外包的多授權屬性加密主要包括以下6個算法：

1）全局初始化算法：CA_Setup(1λ) →(GP)。

輸入安全參數(shù)λ，由授權中心（Certificate Authority，CA）運行全局初始化算法生成系統(tǒng)的全局參數(shù)GP。

2）各屬性中心（Attribute Authorities，AA）初始化算法：AA_Setup(GP) →(ASK，APK)。

輸入全局參數(shù)GP，各屬性中心（AA）運行屬性中心初始化算法生成自己的公私鑰對APK，ASK。

3）密鑰生成算法：KeyGen(Uid，GP，S，ASK) →SKS，Uid，TKS，Uid。

輸入用戶的身份Uid，系統(tǒng)的全局參數(shù)GP，用戶屬性集合S和相關屬性中心的私鑰ASK，運行密鑰生成算法生成用戶屬性相對應的用戶私鑰SKS，Uid，以及轉換密鑰TKS，Uid。

4）加密算法：Enc(GP，M，(A，ρ)，{APK}) →CT。

輸入全局參數(shù)GP，明文M，設置的訪問策略(A，ρ)以及相關屬性中心的公鑰ASK，運行加密算法將明文M加密生成密文CT。

5）預解密算法：Pre?Dec(GP，CT，{TKS，Uid}) →CT'。

輸入全局參數(shù)GP，密文CT，以及轉換密鑰TKS，Uid，判斷轉換密鑰TKS，Uid中所包含的用戶的屬性集合是否滿足密文中設置的訪問策略，滿足則可以將密文解密為預解密密文CT'，否則輸出⊥。

6）解密算法：Dec(GP，CT'，{SKS，Uid}) →M。

輸入全局參數(shù)GP，預解密密文CT'，以及用戶私鑰SKS，Uid，判斷用戶私鑰SKS，Uid中包含的屬性集合是否滿足密文中設置的訪問策略，滿足用戶可將密文解密為明文M；否則輸出⊥。

2 總體框架設計

2.1 系統(tǒng)模型

本文系統(tǒng)模型提出將區(qū)塊鏈多鏈與本地數(shù)據(jù)庫相結合，實現(xiàn)鏈上存儲數(shù)據(jù)摘要、鏈下存儲原始數(shù)據(jù)、同時結合支持外包的多屬性中心屬性加密機制，實現(xiàn)數(shù)據(jù)的細粒度訪問控制。模型如圖1所示，由如下6個實體組成：

圖1 能源數(shù)據(jù)訪問控制模型Fig.1 Energy data access control model

1）授權中心（CA）。主要負責生成系統(tǒng)全局參數(shù)，在系統(tǒng)用戶申請注冊時，根據(jù)用戶的身份Uid，為其生成身份密鑰，并且為屬性中心AA生成唯一的Aid。

2）各屬性中心（AA）。屬性中心負責生成自己的公私鑰對，以及根據(jù)系統(tǒng)全局參數(shù)、數(shù)據(jù)用戶的身份密鑰和屬性集合為數(shù)據(jù)用戶生成屬性私鑰以及轉換密鑰。

3）數(shù)據(jù)擁有者（Data Owner，DO）。能源數(shù)據(jù)所有者，對能源數(shù)據(jù)進行對稱加密并存儲在本地數(shù)據(jù)庫，同時可設置訪問控制策略，用于加密能源數(shù)據(jù)摘要、能源數(shù)據(jù)的存儲地址和加密的對稱密鑰，并將其上傳到相應數(shù)據(jù)鏈。

4）數(shù)據(jù)用戶（Data User，DU）。能源數(shù)據(jù)用戶，用戶屬性滿足設置的訪問控制策略時，可以獲得訪問數(shù)據(jù)的存儲地址以及加密的對稱密鑰，進而可以對獲得的密文數(shù)據(jù)進行解密，得到明文能源數(shù)據(jù)。

5）聯(lián)盟鏈多鏈（Multi-Consortium BlockChain，MCBC）。不同數(shù)據(jù)鏈存儲不同通道內的用戶能源數(shù)據(jù)摘要、存儲地址、對稱密鑰以及通道內用戶的訪問信息，監(jiān)管鏈存儲跨通道數(shù)據(jù)訪問的信息，當能源數(shù)據(jù)的所有權有疑問，可通過追溯歷史信息，實現(xiàn)數(shù)據(jù)的確權。

6）本地數(shù)據(jù)庫（Local DataBase，LDB）。數(shù)據(jù)擁有者將能源數(shù)據(jù)利用對稱加密技術進行加密存儲在本地數(shù)據(jù)庫，以緩解區(qū)塊鏈的存儲壓力。

2.2 能源數(shù)據(jù)訪問控制方案

1）在用戶注冊階段，用戶向授權中心CA 發(fā)送注冊申請，授權中心CA 驗證數(shù)據(jù)用戶DU 的身份根據(jù)其身份編號Uid為其生成身份密鑰uk，然后屬性中心AA 根據(jù)數(shù)據(jù)訪問者DU 提交的身份密鑰uk和屬性集合S為其生成對應的屬性私鑰SK以及轉換密鑰TK。

2）在能源數(shù)據(jù)授權階段，數(shù)據(jù)擁有者DU 使用SM4 加密算法對能源數(shù)據(jù)文件進行加密存儲在本地數(shù)據(jù)庫，設置訪問策略(A，ρ)，利用設定的訪問策略(A，ρ)對數(shù)據(jù)存儲地址addr、對稱加密密鑰進行加密，得到密文CT，對加密后的數(shù)據(jù)以及數(shù)據(jù)摘要進行上傳。

3）在能源數(shù)據(jù)上鏈階段，共識節(jié)點對數(shù)據(jù)信息進行驗證、共識，產(chǎn)生新區(qū)塊并加入?yún)^(qū)塊鏈，能源數(shù)據(jù)摘要、存儲地址以及對稱加密密鑰則被存儲在所在通道內的數(shù)據(jù)鏈以及監(jiān)管鏈內。

4）在能源數(shù)據(jù)授權訪問階段：a）當相同通道內的數(shù)據(jù)用戶根據(jù)數(shù)據(jù)摘要申請訪問能源數(shù)據(jù)時，被授權用戶可根據(jù)自己的屬性私鑰成功獲得能源數(shù)據(jù)的存儲地址以及SM4對稱密鑰，在解密前可由通道內的節(jié)點對鏈上加密數(shù)據(jù)進行預解密，被授權用戶可對預解密密文進行解密，然后根據(jù)存儲地址請求得到加密的能源數(shù)據(jù)，使用對稱密鑰解密獲得明文數(shù)據(jù)；而對于未被授權用戶則無法獲得能源數(shù)據(jù)的存儲地址，不能進行數(shù)據(jù)的訪問，實現(xiàn)了可控的數(shù)據(jù)訪問。b）在跨通道能源數(shù)據(jù)授權訪問階段，數(shù)據(jù)用戶向監(jiān)管鏈節(jié)點發(fā)送數(shù)據(jù)請求信息以及自己的屬性私鑰，監(jiān)管鏈節(jié)點則調用鏈碼向相應通道內的數(shù)據(jù)鏈申請數(shù)據(jù)的存儲地址以及對稱密鑰，監(jiān)管鏈節(jié)點獲得加密數(shù)據(jù)，對跨通道數(shù)據(jù)用戶的屬性進行驗證判斷其是否符合訪問控制策略要求，符合要求則將加密的數(shù)據(jù)存儲地址以及對稱密鑰進行解密，獲得預解密密文并將其返回給數(shù)據(jù)用戶，數(shù)據(jù)用戶利用屬性私鑰可解密獲得數(shù)據(jù)的存儲地址以及對稱密鑰，然后根據(jù)存儲地址請求數(shù)據(jù)獲得對稱加密的密文數(shù)據(jù)，用對稱密鑰解密密文獲得明文能源數(shù)據(jù)。

2.3 多鏈架構

本設計利用Fabric 中的通道來對不同能源公司的數(shù)據(jù)進行隔離，每個通道都有自己的賬本，只有屬于該通道的特定的組織內的節(jié)點才能訪問維護其賬本，不同通道的組織節(jié)點無法直接進行跨通道的數(shù)據(jù)訪問。本文擬把各能源公司看作不同的組織，各能源公司分別處于不同的通道內，以對能源公司的數(shù)據(jù)進行隔離保護。各能源公司內部選擇節(jié)點來維護自己的數(shù)據(jù)鏈，同時引入政府能源部門、社會權威部門等節(jié)點組成監(jiān)管組織，存在于各個通道的交叉通道內，監(jiān)管節(jié)點存儲各交叉通道內的數(shù)據(jù)鏈以及用戶進行跨通道數(shù)據(jù)訪問的信息。當監(jiān)管節(jié)點對用戶的數(shù)據(jù)有異議時，可追溯歷史信息，查找檢查數(shù)據(jù)；當數(shù)據(jù)有確權爭議時，監(jiān)管節(jié)點也可查看存儲的用戶跨通道數(shù)據(jù)訪問的信息，確定爭議數(shù)據(jù)具體屬于哪個用戶。多鏈架構如圖2所示。

圖2 多鏈架構Fig.2 Multi-chain architecture

2.4 多鏈交互

目前主流的區(qū)塊鏈跨鏈技術主要有公證人機制、側鏈技術、中繼技術以及哈希鎖定等［22-23］。其中中繼技術通過中繼鏈來實現(xiàn)各單鏈的交互，可很好地實現(xiàn)多鏈的跨鏈互聯(lián)。本文多鏈架構中處于不同通道內的用戶不能直接進行數(shù)據(jù)的訪問，如圖3 所示，多鏈交互采用中繼機制，有跨鏈需求的數(shù)據(jù)鏈可向中繼鏈申請加入多鏈系統(tǒng)，中繼鏈保存各數(shù)據(jù)鏈的信息以及與數(shù)據(jù)鏈的聯(lián)絡節(jié)點。當數(shù)據(jù)鏈A的用戶想要訪問數(shù)據(jù)鏈B 的數(shù)據(jù)，需要提交跨鏈數(shù)據(jù)訪問的請求，由數(shù)據(jù)鏈A 的聯(lián)絡節(jié)點將訪問請求發(fā)送到中繼鏈（即監(jiān)管鏈）節(jié)點，等待中繼鏈驗證操作，然后中繼鏈節(jié)點調用鏈碼訪問數(shù)據(jù)鏈B 相應的數(shù)據(jù)；數(shù)據(jù)鏈B 的聯(lián)絡節(jié)點接收到訪問請求向用戶收集相關數(shù)據(jù)，并將數(shù)據(jù)返回給中繼鏈節(jié)點，由中繼鏈節(jié)點將數(shù)據(jù)返回給數(shù)據(jù)鏈A 的聯(lián)絡節(jié)點，再由數(shù)據(jù)鏈A 的聯(lián)絡節(jié)點將數(shù)據(jù)返回給數(shù)據(jù)鏈A 的用戶。當跨鏈數(shù)據(jù)訪問成功，監(jiān)管鏈存儲跨鏈數(shù)據(jù)訪問的信息，實現(xiàn)跨鏈過程的數(shù)據(jù)可追溯以及數(shù)據(jù)的確權。

2.5 安全模型

本文方案使用選擇明文攻擊模型，該安全模型通過挑戰(zhàn)者B與敵手A之間的交互游戲進行，具體步驟如下：

1）初始化階段Setup。首先由挑戰(zhàn)者B運行全局初始化算法，生成系統(tǒng)的全局參數(shù)GP。然后由敵手A指定被破壞的AA 的集合。每個屬性中心AA 都執(zhí)行AA 初始化算法，生成公私鑰對。對于被破壞的AA，敵手可以得到公鑰和私鑰；對于正常的AA，敵手只能得到公鑰。

2）詢問階段Phase1。敵手A向挑戰(zhàn)者B發(fā)起屬性集為S=(y1，y2，…，yq1)的私鑰以及轉換密鑰詢問，屬性集合不能滿足敵手A要挑戰(zhàn)的訪問結構(A，ρ)，挑戰(zhàn)者B運行密鑰生成算法為敵手A生成屬性集S相對應的私鑰以及轉換密鑰。

3）挑戰(zhàn)階段Challenge。敵手A向挑戰(zhàn)者B發(fā)送兩個等長的消息M0，M1。挑戰(zhàn)者B收到消息后，隨機地拋一枚公平硬幣，根據(jù)結果b∈{0，1}來加密消息，并且在訪問結構(A，ρ)下加密，生成加密密文CT，然后挑戰(zhàn)者B將挑戰(zhàn)密文發(fā)送給敵手A。

4）詢問階段Phase2。重復Phase1，繼續(xù)向挑戰(zhàn)者B發(fā)起私鑰以及轉換密鑰詢問，私鑰及轉換密鑰的屬性集合不能滿足要挑戰(zhàn)的訪問結構(A，ρ)。

5）猜測階段Guess。敵手A輸出關于密文b的猜測b'。如果b'=b，則敵手A贏得該游戲。

在上述游戲中，敵手A贏得該游戲的優(yōu)勢為：AdvA=。

定義2如果對于所有概率多項式時間的敵手A，贏得上述交互游戲的概率至多為AdvA，且AdvA是可以忽略不計的，那么本屬性基加密方案在選擇明文攻擊下是安全的。

2.6 支持外包的多授權屬性加密方案

算法具體步驟如下：

1）全局初始化算法：CA_Setup。

輸入安全參數(shù)λ，由授權中心CA 選擇兩個階均為素數(shù)P的乘法循環(huán)群G，GT，g為G的生成元，定義雙線性映射e：G×G→GT，選擇一個哈希函數(shù)H：{0，1}*→G，同時隨機選取a∈Zp，計 算h=ga。輸出系統(tǒng)的全局參數(shù)GP={g，h，G，GT，H}

當該系統(tǒng)收到用戶的注冊請求時，系統(tǒng)根據(jù)用戶的Uid，隨機取ruid∈Zp，為其生成身份密鑰，公鑰ukuid，d=gruid，d。

當一個AA 加入系統(tǒng)時，CA 需要對AA 的身份進行認證，如果該屬性授權機構是合法的，則為其分配一個系統(tǒng)唯一的身份標識Aid。

2）AA初始化算法：AA_Setup。

輸入系統(tǒng)的全局參數(shù)GP，根據(jù)每個屬性授權機構AAi負責的屬性集U n，對每個屬性i∈Un隨機取一個數(shù)αi，βi∈Zp，運行初始化算法，輸出屬性中心AAi的公鑰

3）密鑰生成算法：KeyGen。

輸入用戶的身份Uid，系統(tǒng)的全局參數(shù)GP，用戶屬性集合S和相關屬性中心的私鑰，AAi運行密鑰生成算法生成用戶屬性相對應的用戶私鑰SKi，uid以及用戶屬性相對應的轉換密鑰TKuid。

隨機選擇t，z∈Zp，設用戶的屬性集合為S，用戶私鑰SKi，uid和轉換公鑰TPKuid為：

轉換私鑰TSKuid=z，轉換密鑰TKuid=(TPKuid，TSKuid)。

4）加密算法：Enc。

數(shù)據(jù)加密階段，由數(shù)據(jù)擁有者（DO）執(zhí)行，輸入系統(tǒng)的全局參數(shù)GP以及明文M，此外輸入設置的LSSS（Linear Secret Sharing Scheme）類型的訪問策略(A，ρ)，函數(shù)ρ將矩陣A的每一行映射到一個屬性，其中A是一個l×n的矩陣，l代表屬性數(shù)量，DO 隨機選取一個用于共享的秘密值s∈Zp和一個隨機向量v=(s，r2，r3，…，rn)∈Zp，密文

5）預解密算法：Pre-dec。

輸入系統(tǒng)的全局參數(shù)GP，密文CT，以及用戶屬性集合對應的轉換密鑰TK，判斷屬性集合S中的屬性是否滿足密文中設置的訪問策略(A，ρ)：若滿足則可以將密文成功解密，獲得預解密密文；若屬性集合S中的屬性不滿足密文中設置的訪問策略(A，ρ)，則輸出⊥。

計算預解密密文為：

6）解密算法：Dec。

數(shù)據(jù)解密階段，輸入為用戶私鑰及預解密密文并計算：

3 安全分析

3.1 系統(tǒng)安全

1）系統(tǒng)的數(shù)據(jù)隱私保護問題。區(qū)塊鏈的基本特性使得存儲在區(qū)塊鏈中的數(shù)據(jù)是不可更改的、可信任的。能源數(shù)據(jù)在存儲到數(shù)據(jù)庫時使用SM4 算法進行加密，其加密密鑰以及數(shù)據(jù)摘要通過設置的訪問策略加密后存儲到通道內的數(shù)據(jù)鏈，只有滿足訪問策略的用戶才能解密數(shù)據(jù)，保證了數(shù)據(jù)的機密性。本文通道中的數(shù)據(jù)相互隔離，每個通道都有自己的賬本，只有屬于該通道的特定的組織內的節(jié)點才能訪問維護其賬本，不同通道的組織節(jié)點無法直接進行跨通道訪問。當數(shù)據(jù)用戶訪問數(shù)據(jù)時，首先用自己的屬性私鑰解密鏈上密文數(shù)據(jù)獲得對稱密鑰、數(shù)據(jù)摘要以及存儲地址，然后請求能源數(shù)據(jù)密文，根據(jù)對稱密鑰解密密文得到能源數(shù)據(jù)。數(shù)據(jù)擁有者設置訪問策略，相當于數(shù)據(jù)擁有者對數(shù)據(jù)用戶進行授權。因此，數(shù)據(jù)擁有者能夠對自己的能源數(shù)據(jù)進行細粒度訪問控制。

2）數(shù)據(jù)鏈跨鏈的安全問題。為了更好地實現(xiàn)區(qū)塊鏈跨鏈，實現(xiàn)數(shù)據(jù)鏈間的互聯(lián)互通，通過中繼鏈機制使得位于不同通道的數(shù)據(jù)鏈能夠進行跨鏈交互。數(shù)據(jù)鏈之間的交互需要數(shù)據(jù)鏈聯(lián)絡節(jié)點與監(jiān)管鏈節(jié)點的協(xié)同來實現(xiàn)，因此跨鏈安全要保證通信安全，可以選擇安全可信的通信技術來保護跨鏈的通信?？珂溚ㄐ胖腥绻麛?shù)據(jù)鏈存在欺騙性交互，則其造成的損失會由主鏈或其他數(shù)據(jù)鏈的用戶承擔，因此對接入系統(tǒng)的數(shù)據(jù)鏈進行安全認證；同時跨鏈的安全性與監(jiān)管鏈節(jié)點的安全可信有很大的關系，對監(jiān)管鏈節(jié)點設置準入機制，以及對其跨鏈通信行為進行監(jiān)控，來遏制節(jié)點的惡意行為。

3.2 安全性分析

3.2.1 數(shù)據(jù)的機密性

在數(shù)據(jù)共享系統(tǒng)中，如果數(shù)據(jù)用戶的屬性集合不能滿足密文中設置的訪問策略，用戶則不能解密密文得到最終明文。本文的數(shù)據(jù)機密性建立在不可區(qū)分性選擇明文攻擊（Indistinguishable Chosen-Plaintext Attack，IND-CPA）模型安全上，即攻擊者無法根據(jù)加密的消息區(qū)分密文。

定理1如果存在一個敵手A可以在多項式時間內以不可忽略的優(yōu)勢ε贏得安全游戲，那么可以構造另一個多項式時間內的敵手以ε/2 的優(yōu)勢解決決定性雙線性Diffie-Hellman（Decisional Bilinear Diffie-Hellman，DBDH）困難問題。

證明 給定兩個階為P的循環(huán)群G，GT，設g是G群的生成元，e為雙線性映射。另外，給定敵手A一個DBDH 實例(g，ga，gb，gc，e(g，g)z)，其中z=abc或者z∈Zp是一個隨機數(shù)，挑戰(zhàn)者B與敵手A進行如下的模擬游戲：

本文方案使用IND-CPA 模型，該安全模型通過IND-CPA的交互游戲來模擬。游戲在挑戰(zhàn)者B與敵手A之間進行，具體步驟如下：

1）初始化階段（Setup）。挑戰(zhàn)者B運行全局初始化算法CA_Setup，生成全局參數(shù)GP={g，h=ga，G，GT，H}給敵手A。敵手指定被破壞的AA 的集合，然后將其返回給挑戰(zhàn)者B。每個AA 都執(zhí)行AA 初始化算法AA_Setup，生成公鑰APKAAi=和私鑰。對于被破壞的AA，敵手獲得公鑰和私鑰；對于正常的AA，敵手只獲得公鑰。

2）詢問階段（Phase1）。敵手A向挑戰(zhàn)者B發(fā)起屬性集合Suid的私鑰詢問以及轉換密鑰詢問，其中屬性集合Suid不滿足設置的訪問結構(A，ρ)，挑戰(zhàn)者B運行密鑰生成算法KeyGen為A生成對應私鑰{SK1，uid，SK2，uid，…，SKi，uid}，以及轉換密鑰TK。隨機選擇t，z∈Zp，設用戶的屬性集合為S，對于任意x∈S，計算參數(shù)，然后將這些參數(shù)發(fā)送給敵手A。

3）挑戰(zhàn)階段（Challenge）。敵手A發(fā)送兩個等長的消息M0、M1給挑戰(zhàn)者B。挑戰(zhàn)者B收到消息后，隨機地拋一枚公平硬幣，根據(jù)結果b∈{0，1}來加密消息，并且在訪問結構(A，ρ)下加密，加密密文為CT，計算參數(shù)，然 后B將 挑戰(zhàn)密文CT=(C0，C，C1，x，C2，x，C3，x，?x∈[1，m])發(fā)送給敵手A。

4）詢問階段（Phase2）。重復Phase1，繼續(xù)向挑戰(zhàn)者B發(fā)起屬性集的私鑰、轉換密鑰的訪問，用戶的屬性集合Suid不滿足設置的訪問結構(A，ρ)。

5）猜測階段（Guess）。敵手A輸出關于密文b的猜測b'∈{0，1}。如果b'=b，挑戰(zhàn)者B輸出0，則Z=e(g，g)abc；否則輸出1，則Z=R。如果b=0，敵手的優(yōu)勢為ε，那么+ε；如 果b=1，那 么。所以挑戰(zhàn)者B在DBDH游戲中的優(yōu)勢為：

因此，如果敵手以不可忽略的優(yōu)勢攻破了本文方案，那么挑戰(zhàn)者B能以ε/2的優(yōu)勢解決DBDH困難問題。

3.2.2 抗合謀攻擊

1）針對屬性中心合謀攻擊。本文方案有n個AA 共同管理數(shù)據(jù)用戶DU 的屬性集合，每個AA 分別保管不相交的屬性集合，并且生成合法用戶的一部分私鑰SKi。一種情況是當惡意用戶想要解密不屬于自己的密文時，就需要截獲每個AA生成的部分SKi并進行組裝，才能獲得最終的密鑰SK，從而解密文件；只要有一個AA 的部分私鑰未被泄露，惡意用戶便不能計算出SK，這樣攻擊者獲得的密鑰是不能滿足待解密密文中訪問結構所要求的屬性值的，最終攻擊者不能解密密文。所以，本文方案可以抵抗針對n-1的AA合謀攻擊。

2）對于用戶合謀攻擊。在本文方案中，當用戶的屬性集合不滿足訪問結構時，當有多個用戶進行合謀共用屬性私鑰，合謀后的屬性集合滿足設置的訪問結構時也不能對密文成功解密。本文方案在初始化階段為每一個用戶生成全局唯一的用戶身份標識Uid，在密鑰生成階段，將用戶的身份標識Uid嵌入到用戶的私鑰和轉換密鑰中，在預解密及解密階段如果用戶的私鑰和轉換密鑰中包含不同的身份標識Uid，則將不能成功解密。所以本文方案是可以抵抗用戶合謀攻擊的。

4 實驗與結果分析

4.1 區(qū)塊鏈網(wǎng)絡性能

區(qū)塊鏈網(wǎng)絡實驗測試環(huán)境如表1所示。

表1 測試環(huán)境Tab.1 Test environment

測試區(qū)塊鏈網(wǎng)絡運行在單臺主機上，包含分屬于2 個組織的單個節(jié)點，2 個MSP（Membership Service Provider），1 個采用Solo 共識的排序服務，位于同一個通道內。測試方法為向區(qū)塊鏈網(wǎng)絡發(fā)送5 000 筆交易，交易類型為寫入和查詢，觀察在不同的交易發(fā)送頻率（Send Rate）下，系統(tǒng)的平均時延（Avg Latency）和吞吐量的變化結果。結果如圖4～5所示。

圖4 查詢性能Fig.4 Query performance

可以看到平均時延隨著交易發(fā)送頻率的增加均有所上升，吞吐量在交易類型為查詢，交易發(fā)送頻率為每秒150 筆交易數(shù)（Transactions Per Second，TPS）時達到最大，吞吐量在交易類型為寫入，交易發(fā)送頻率為75 TPS時達到最大。

圖5 寫入性能Fig.5 Writie performance

4.2 支持外包的多授權屬性加密實驗

支持外包的多授權屬性加密的實驗環(huán)境如下：操作系統(tǒng)為64 位Windows 10 家庭中文版，CPU 為Inter Core E8400@3.00 GHz，內存大小為4 GB 內存，使用jpbc2.0.0 庫，根據(jù)提供的TypeA 曲線構造雙線性映射，利用Java 開發(fā)語言來實現(xiàn)本文支持外包的多授權屬性加密方案。

如表2 所示，本文方案與相關方案功能性比較：文獻［15］方案不支持多屬性中心以及預解密；文獻［16-24］方案支持多屬性中心，但沒有預解密階段；本文引入多屬性中心，解決單屬性中心風險過于集中計算負載過重的問題，然后增加了預解密階段，減少數(shù)據(jù)用戶的解密開銷。

表2 本文方案與其他方案的功能性比較Tab.2 Functionality comparison of proposed scheme and other schemes

本文方案與其他方案算法的各階段計算量的比較如表3所示。在密鑰生成階段，因為本文方案增加了轉換密鑰的生成，所以本文方案計算量比文獻［16］方案高；但與文獻［24］方案相比，本文方案減少了指數(shù)運算所以計算量較低；在加密階段，本文方案減少了指數(shù)運算，計算量比文獻［16，24］方案低；在解密階段，因本文方案增加了預解密階段，所以本階段只需進行一次指數(shù)運算就可以恢復出明文，本文方案比文獻［16，24］方案大幅降低了解密開銷。

表3 本文方案與其他方案算法的各階段計算量比較Tab.3 Comparison of proposed scheme and other schemes in computing cost at each stage

在密鑰生成階段、加密階段、解密階段將本文方案與文獻［16］方案和文獻［24］方案進行實驗對比分析，如圖6～8 所示，其中屬性機構數(shù)量固定為3個。

圖6 不同方案的密鑰生成時間對比Fig.6 Key generation time comparison of different schemes

圖7 不同方案的加密時間對比Fig.7 Encryption time comparison of different schemes

圖8 不同方案的解密時間對比Fig.8 Decryption time comparison of different schemes

5 結語

為了實現(xiàn)能源互聯(lián)網(wǎng)數(shù)據(jù)企業(yè)內部與企業(yè)之間的細粒度訪問控制，本文基于區(qū)塊鏈多鏈、支持外包的多授權屬性加密等技術提出了一種多鏈架構的能源數(shù)據(jù)訪問控制方法，其中通過多數(shù)據(jù)鏈實現(xiàn)各能源公司數(shù)據(jù)的隔離保護，采用監(jiān)管鏈實現(xiàn)跨數(shù)據(jù)鏈的交互以及存儲跨數(shù)據(jù)鏈訪問的信息對數(shù)據(jù)進行監(jiān)管、審計以及確權；數(shù)據(jù)訪問控制過程中，利用支持外包的多授權屬性加密技術，在滿足細粒度訪問控制的同時，解決單授權機構負擔過重、風險集中的問題以及緩解數(shù)據(jù)用戶解密計算開銷過大的問題。實驗結果表明，本文方案可以在保護用戶隱私的同時實現(xiàn)能源數(shù)據(jù)的細粒度訪問控制。