張曉東，陳韜偉，余益民，2

（1.云南財經(jīng)大學 信息學院，昆明 650221；2.云南財經(jīng)大學 智能應用研究院，昆明 650221）

0 概述

隨著區(qū)塊鏈技術的不斷普及，使用區(qū)塊鏈在弱信任或無信任網(wǎng)絡中進行數(shù)據(jù)共享已經(jīng)非常普遍。但是由于區(qū)塊鏈的“不可篡改”和“公開透明”的特點，使得區(qū)塊鏈上的隱私數(shù)據(jù)保護成為一個挑戰(zhàn)。近年來，研究人員針對區(qū)塊鏈上的隱私保護和數(shù)據(jù)共享提出了新的解決方案［1-3］。其中，基于屬性的加密算法由于其“一對多”加密和可以實現(xiàn)細粒度訪問控制等優(yōu)點，被廣泛應用在數(shù)據(jù)溯源［4］、云存儲［5］、醫(yī)療數(shù)據(jù)共享［6］、物聯(lián)網(wǎng)［7］等區(qū)塊鏈的各種方案中。

屬性基加密（Attribute-Based Encryption，ABE）來源于SAHAI等［9］于2005 年提出的基于模糊身份加密，后來演變?yōu)榛趯傩缘募用堋Ｆ渲?，在密鑰策略屬性基加密（Key Policy-Attribute Based Encryption，KP-ABE）中，密文與屬性關聯(lián)，密鑰與訪問策略關聯(lián)；而在密文策略屬性基加密［10］（Ciphertext Policy Attribute Based Encryption，CP-ABE）中，密鑰與屬性關聯(lián)，密文與訪問策略關聯(lián)，允許數(shù)據(jù)擁有者自由制定訪問控制策略，適用于分布式存儲和解密方不確定的環(huán)境［11］。近年來，關于ABE 的研究主要集中于計算效率［12-13］、訪問策略及屬性隱藏［14］和身份管理［15］。2007 年，BETHENCOURT等［16］描述了密文策略屬性基加密算法，針對一個解密的對象群體，利用用戶相關屬性及其用戶對象間的相互信任關系作為授權依據(jù)，設計訪問控制結構，通過一個中心權威構建加解密原語，只有當屬性滿足訪問結構時，用戶才能成功解密密文，從而實現(xiàn)一對多加密以及細粒度的訪問控制。2011 年，WATERS［10］在標準模型下證明了CP-ABE 的安全性，并提出一個采用線性秘密共享方案實現(xiàn)秘密共享的CP-ABE，在效率上有了明顯提升。2012 年，OKAMOTO等［17］提出一個無界內(nèi)積屬性基加密方案，解除了以往屬性基加密方案對謂詞和屬性大小的限制。2013 年，GORBUBOV［18］提出基于多項式邏輯電路的屬性基加密方案，其公開參數(shù)和密文大小隨著電路深度線性增長，實現(xiàn)了由基于布爾公式向基于電路的轉變，可有效抵御合謀攻擊。2014 年，WATERS［19］受ROUSELAKIS等［20］提出的屬性基加密方案啟發(fā)，提出Online-Offline 屬性基加密方案，將所有配對操作進行離線處理，減少了在線階段的計算開銷。

隨著量子計算的不斷發(fā)展，基于數(shù)論問題的困難性將會極大降低，以數(shù)論為基礎的傳統(tǒng)公鑰密碼體系面臨著被破解的風險。格密碼采用格困難問題作為格密碼構造的安全性基礎，擁有最困難情況假設下無法求解的安全性，可以很好地抵抗量子攻擊。目前，被證明安全的格困難問題主要由小整數(shù)解［21］（Small Integer Solution，SIS）問題和容錯學習問題［22］（Learning With Errors，LWE）問題。兩種困難問題均從最壞情況理想格問題向一般變種問題歸約，且計算效率高，易存儲。目前，基于格的加密方案相繼被提出，但主要集中于基于身份加密［23］、數(shù)字簽名［24］和零知識證明［25］等。2021年5 月，DATTA等［26］基于LWE 困難問題，構造一種基于密文策略的屬性基加密算法，實現(xiàn)了可抵抗量子攻擊的CPABE 方案。

本文通過改進CPABE 方案，提出適用于區(qū)塊鏈的抗量子攻擊LWE-CPABE 算法，并給出支持策略更新的密文策略屬性基加密算法，以實現(xiàn)數(shù)據(jù)的動態(tài)訪問控制。在此基礎上，定義適用于LWE-CPABE 算法的可公開驗證數(shù)據(jù)的格式化交易結構，設計交易生成算法和交易驗證合約。

1 預備知識

1.1 相關參數(shù)定義

本文設λ為安全參數(shù)，negl：? →? 表示可忽略函數(shù)，若該函數(shù)漸進地小于任意反多項式函數(shù)，則該函數(shù)可忽略，即對于任意常數(shù)c＞0 存在一個整數(shù)Nc，對于所有λ＞Nc都有negl(λ)≤λ-c，[n]={1，2，…，n}。

令PPT（Probability Polynomial-Time）為概率多項式時間，對于某一分布X，令x←X 為X 分布隨機抽樣值；對于集合X，令x←X為集合X中元素均勻采樣值。在默認情況下，文中向量即為行向量；在矩陣中，第j行記為Mj，MJ記為M的子矩陣，由所有Mj的行組成（j∈J），J為矩陣的一組行索引；對于向量v，令‖v‖為該向量的?2范數(shù)，‖v‖∞為該項量的?∞范數(shù)。

對于整數(shù)q≥2，設?q為模q的環(huán)，?q表示(-q/2，q/2]范圍內(nèi)的整數(shù)。

1.2 B 邊界

對于整數(shù)上的一組分布D={Dλ}λ∈?}并且存在邊界B=B(λ)＞0，若對于每個λ∈? 都有：

則認為D 是有B邊界的。

引理1設B1=B1(λ)和B2=B2(λ)為正，令D={Dλ}λ為B1的有界分布族，U={Uλ}λ為[-B2(λ)，B2(λ)]上 的均勻分布。若存在一個可忽略函數(shù)negl(·)使得對于所有λ∈? 都有：

則認為分布族D+U 和U 在統(tǒng)計上是不可區(qū)分的。

1.3 剩余哈希

定理1（剩余哈希定理）令n：? →?，q：? →?，m＞(n+1)logaq+ω(logan)并且k=k(n)為多項式，則以下兩個分布在統(tǒng)計上是不可區(qū)分的：

1.4 格

引理2若離散高斯分布的參數(shù)σ較小，則從該分布提取的任何向量大概率將較短。

引理3令m、n、q為正整數(shù)且滿足m＞n，q＞2。定義矩陣，則存在可忽略函數(shù)negl(·)，使得：

1.5 LWE 困難問題假設

對于安全參數(shù)λ∈?，假設n：? →?，q：? →?，σ：? →?+是λ的函數(shù)。定義LWEn，q，σ為由n=n(λ)、q=q(λ)和σ=σ(λ)參數(shù)化的LWE 困難問題假設。對于任意PPT 敵手A，存在一個可忽略函數(shù)negl(·)，對于任意λ∈?：

定義1若存在一個PPT 敵手可以解決LWE 困難問題假設，那么存在一個PPT 量子算法可以在最高困難下解決格困難問題。

鑒于目前有關格困難問題的技術方案，當所有λ∈?，n=n(λ)，q=q(λ)，σ=σ(λ)滿足以下條件時：

LWE 困難問題假設對于任意多項式n(·)和任意函數(shù)q(·)、σ(·)都成立。

2 LWE-CPABE 算法

2.1 算法描述

如圖1 所示，LWE-CPABE 算法主要由系統(tǒng)初始化、用戶屬性私鑰生成、明文加密、密文解密、密文策略生成以及密文策略更新6 個部分組成。

圖1 LWE-CPABE 算法流程Fig.1 Procedure of LWE-CPABE algorithm

LWE-CPABE 算法流程如下：

1）Setup(1λ，smax，U)→(PK，MSK)。系統(tǒng)初始化算法通過輸入安全參數(shù)λ，LSSS 矩陣所支持的最大寬度smax=smax(λ)和用戶屬性集合U，輸出系統(tǒng)公私鑰對(PK，MSK)。

3）Enc(PK，m，(M，ρ))→CT。明文加密算法通過輸入公鑰PK、明文m和訪問控制策略，輸出密文CT。

設ρ是一個將屬性映射到矩陣M行向量的映射函數(shù)，即ρ(i)為矩陣M中第i行相關聯(lián)的屬性。隨機選擇并計算：

4）Dec(PK，CT，SK)→m。密文解密算法輸入公鑰PK、密文CT 和用戶屬性私鑰SK，輸出明文m。

設用戶所擁有的屬性滿足訪問控制策略。令I為對應于屬性的行向量集合，令{ωi}i∈I∈{0，1}??q為重構系數(shù)。對于任意i∈I，令ρ(i)為行關聯(lián)屬性，計算：

5）AccGen(M′，ρ′)→。密文策略生成算法將新的訪問控制策略作為輸入，輸出更新后的策略密文。

2.2 安全模型

LWE-CPABE 安全游戲中包含一個挑戰(zhàn)者和一個敵手，挑戰(zhàn)者模擬系統(tǒng)運行并回答敵手詢問。具體游戲如下：

1）系統(tǒng)建立。敵手接收安全參數(shù)1λ并提交一個訪問控制策略(M，ρ)，挑戰(zhàn)者運行Setup 算法生成系統(tǒng)公鑰PK 發(fā)送給敵手。

2）私鑰詢問。敵手對挑戰(zhàn)者進行多項式時間的私鑰詢問，對于每次密鑰查詢，敵手發(fā)送一組屬性U∈U，但是這些屬性不滿足訪問控制策略(M，ρ)。挑戰(zhàn)者運行KeyGen 算法并將生成的用戶屬性私鑰SK發(fā)送給敵手。

3）挑戰(zhàn)階段。挑戰(zhàn)者選擇一個隨機消息b←{0，1}并使用敵手提供的訪問控制策略(M，ρ)運行Enc 算法對消息進行加密。此后，將密文CT 發(fā)送給敵手。

4）重復步驟2）。

5）猜測階段。敵手輸出對b的猜想b′←{0，1}。

敵手A 在該游戲中的優(yōu)勢為：

定義2若對于任何PPT 敵手A，存在一個可忽略函數(shù)negl(·)，使得對于所有的λ∈?，都有，則本文所提出的LWECPABE 方案是選擇性安全的。

3 LWE-CPABE 區(qū)塊鏈數(shù)據(jù)共享方案

3.1 方案架構

為實現(xiàn)區(qū)塊鏈中的數(shù)據(jù)高效流轉與策略更新，數(shù)據(jù)的上傳、共享、修改及策略更新都通過交易的形式寫入?yún)^(qū)塊鏈中。用戶可通過所持有的與自身屬性相匹配的用戶屬性私鑰訪問鏈上的授權信息，完成安全可控的數(shù)據(jù)共享。LWE-CPABE 區(qū)塊鏈數(shù)據(jù)共享方案架構如圖2 所示，其中，實線為交易過程，虛線為相關參數(shù)傳遞過程。

圖2 數(shù)據(jù)共享方案的架構Fig.2 Architecture of data sharing scheme

3.2 格式化交易結構

格式化交易結構如下：

1）用戶（DO、DU）。包括數(shù)據(jù)擁有者和數(shù)據(jù)使用者。數(shù)據(jù)擁有者DO 制定訪問控制策略，并生成相對應的密文，將密文上傳至第三方存儲并將地址上傳至區(qū)塊鏈，同時，將主密鑰MSK 委托密鑰中心保管；數(shù)據(jù)使用者DU 從密鑰中心獲取主密鑰，之后利用自己的屬性集合生成用戶屬性私鑰SK，從區(qū)塊鏈獲取密文并解密。

2）第三方存儲（TPS）。提供加密數(shù)據(jù)的存儲服務，并將加密數(shù)據(jù)地址存入?yún)^(qū)塊鏈中。

3）共識網(wǎng)絡（CN）。由區(qū)塊鏈中各記賬節(jié)點組成，負責LWE-CPABE 區(qū)塊鏈加密協(xié)議中所涉及的交易的共識與記賬更新。

4）密鑰中心（KA）。存儲LWE-CPABE 加密算法中的主密鑰MSK，各用戶通過密鑰中心獲取主密鑰。

5）智能合約（SC）。為協(xié)議各參與方提供交互接口。

LWE-CPABE 區(qū)塊鏈數(shù)據(jù)共享方案以區(qū)塊鏈中的交易為載體實現(xiàn)數(shù)據(jù)的加密存儲與細粒度訪問控制。加密數(shù)據(jù)的訪問控制權限由數(shù)據(jù)擁有者制定，數(shù)據(jù)被發(fā)布至鏈上后可以任意次數(shù)更新訪問控制策略，直至加密數(shù)據(jù)被撤銷，結束本次加密數(shù)據(jù)共享的生命周期。為使各參與方更高效地獲取所需數(shù)據(jù)，便于審計和掌握訪問控制動態(tài)，加密協(xié)議中定義了適用于該協(xié)議的交易格式：

其中：From 表示交易發(fā)起方；To 表示交易接收方；TxType 表示交易類型，A 表示訪問控制策略類消息，D 表示數(shù)據(jù)類消息；OpType 表示操作類型，P 表示發(fā)布，U 表示更新，R 表示撤銷；Timestamp 表示交易發(fā)布的時間戳；Data 表示交易包含的數(shù)據(jù)體；CheckText 表示數(shù)據(jù)域Data 的哈希值；Sign 表示交易發(fā)起方的簽名。

3.3 交易發(fā)布與驗證合約

在LWE-CPABE 區(qū)塊鏈數(shù)據(jù)共享方案中，各參與方通過交易的方式進行相關數(shù)據(jù)的流轉。為保證交易的正確性、完整性和可追溯性，在交易生成后需共識網(wǎng)絡中各節(jié)點進行共識驗證。

參與數(shù)據(jù)共享的各參與方和全網(wǎng)節(jié)點通過智能合約的方式進行交易的生成與驗證。交易生成合約如算法1 所示。

算法1交易生成算法

交易生成后，將被廣播至共識網(wǎng)絡被其他節(jié)點驗證。區(qū)塊鏈中的節(jié)點可通過CheckText 和簽名Sign 對該交易進行快速驗證。

交易驗證合約如算法2 所示。

算法2交易驗證合約算法

當該交易獲得節(jié)點驗證成功并全網(wǎng)共識后，挖礦節(jié)點會打包交易、出塊并全網(wǎng)廣播，最終由本地節(jié)點接收并同步區(qū)塊。

3.4 方案構造

本節(jié)將詳細闡述基于LWE-CPABE 方案的區(qū)塊鏈數(shù)據(jù)共享過程。

DO 選擇正確性證明所需的參數(shù)約束。對于任意B∈?，令UB表示? ∩[-B，B]上的均勻分布。系統(tǒng)初始化算法選擇參數(shù)n、m、σ、q和噪聲分布Xlwe、X1、X2、Xbig：

1）系統(tǒng)初始化。數(shù)據(jù)擁有者DO 選取安全參數(shù)λ，LSSS 矩陣支持的最大寬度smax和用戶屬性集合U，運行Setup 算法生成公鑰PK 和主密鑰MSK。

系統(tǒng)初始化算法如算法3 所示。

算法3系統(tǒng)初始化算法

DO 生成交易TxUploadPK=｛DO，BC，A，P，Timestamp，PK，CheckText，SigDO｝將公鑰上鏈。然后使用KA 公鑰對主密鑰加密得到CTMSK，并生成交易TxUploadMSK=｛DO，KA，A，P，Timestamp，CTMSK，CheckText，SigDO｝，將主密鑰MSK 委托KA 保管。

2）數(shù)據(jù)加密。數(shù)據(jù)擁有者DO 制定訪問控制策略(M，ρ)，(M，ρ)為LSSS 訪問控制策略，其中M=，ρ為屬性映射（單射）函數(shù)ρ：[?]→U，將訪問控制矩陣Mi映射到屬性集合U。之后，運行Enc 算法，輸入公鑰PK、明文m和訪問控制策略(M，ρ)后得到密文CT。

數(shù)據(jù)加密算法如算法4 所示。

算法4數(shù)據(jù)加密算法

DO生成交易TxUploadCT=｛DO，TPS，A，P，Timestamp，CTMSK，CheckText，SigDO｝，將密文上傳至第三方存儲TPS，TPS 生成交易TxCTAddress=｛TPS，BC，A，D，Timestamp，CTAddress，CheckText，SigTPS｝，將密文地址上鏈。

3）用戶屬性私鑰生成。各數(shù)據(jù)使用者DU 從密鑰中心KA 處申請獲得主密鑰，KA 使用各用戶區(qū)塊鏈公鑰對MSK 加密后生成交易TxDownloadMSK=｛KA，DU，A，P，Timestamp，CTMSK，CheckText，SigDO｝。之后DU 輸入自身屬性信息U和主密鑰MSK，運行KeyGen 算法輸出與自身屬性對應的用戶屬性私鑰SK。

用戶屬性私鑰生成算法如算法5 所示。

算法5用戶屬性私鑰生成算法

4）密文解密。DU 從區(qū)塊鏈BC 檢索密文地址，通過密文地址CTAddress從TPS 搜索到相對應密文CT 并下載至本地，TPS 生成交易TxDownloadCT=｛TPS，DU，D，P，Timestamp，CT，CheckText，SigTPS｝進行密文下載記錄。DU 使用SK 對密文CT 進行解密，獲取明文。

在密文解密過程中，SK 對應于屬性集合U 的某個子集U∈U，若(1，0，…，0)不在與U關聯(lián)的矩陣M的行空間中，則解密失??；否則，設I為矩陣M的一組行索引并滿足?i∈I：ρ(i)∈U，設標量{ωi}i∈I∈{0，1}??q，且=(1，0，…，0)，其中Mi為矩陣M的第i行。

解密算法如算法6 所示。

算法6解密算法

5）密文策略生成。當訪問控制策略發(fā)生變更時，重新加密需要耗費更多密鑰空間成本和密文加密時間成本。在LWE-CPABE 區(qū)塊鏈加密協(xié)議中，數(shù)據(jù)使用者可進行原始密文保留的訪問控制策略更新。在進行策略更新時，DO 生成新的訪問控制策略(M′，ρ′)，之后運行AccGen 算法得到更新后的策略密文UpdateCT=

隨后生成策略更新交易TxAccGen=｛DO，TPS，A，U，Timestamp，UpdateCT，CheckText，SigDO｝發(fā)送給第三方存儲TPS。同時，生成原密文撤銷交易發(fā)送至區(qū)塊鏈以更新密文信息TxAccUpdate=｛DO，BC，A，R，Timestamp，CT，CheckText，SigDO｝告知各數(shù)據(jù)使用者DU。

6）密文策略更新。TPS 獲取更新后的策略密文后，從原CT 中獲取密文C，輸入更新的訪問控制策略密文，運行AccUpdate 算法生成更新 后密文CT′。

更新后密文仍使用原密文地址，各數(shù)據(jù)使用者仍可通過上述步驟獲取密文并進行解密。

在基于LWE-CPABE 的區(qū)塊鏈加密協(xié)議中，各用戶利用格式化的交易結構可快速高效地檢索到各自所需信息，同時，整個數(shù)據(jù)流轉周期內(nèi)實現(xiàn)了各節(jié)點行為全過程鏈上監(jiān)管，可以更好地進行審計和掌握訪問控制動態(tài)。

4 方案分析

4.1 正確性分析

假設某數(shù)據(jù)使用者擁有的屬性U∈U，并且滿足LSSS 訪問控制策略(M，ρ)，則由密文解密算法可得：

因此，以λ中幾乎可以忽略的概率，syT的最高有效位（MSB）不受上述噪聲的影響，其范圍為q/4，因此不影響最高有效位，即MSB(K)=MSB(syT)。

證畢。

4.2 安全性分析

本文基于LSSS 訪問控制結構的LWE-CPABE，定義了更靈活的選擇性安全，即“線性獨立約束下的選擇性安全”。因此，將游戲中的密鑰詢問階段修改如下：

在密鑰詢問階段，敵手向挑戰(zhàn)者進行多項式的密鑰詢問，對于每次密鑰詢問，攻擊者發(fā)送一系列不滿足訪問控制策略(M，ρ)的屬性U∈U。此外，訪問控制矩陣M的行由U中的屬性進行標記，即M在ρ-1(U)中的索引必須線性無關。之后，挑戰(zhàn)者回復相應的用戶屬性私鑰SK ←KeyGen(MSK，U)。

敵手A 在該游戲中的優(yōu)勢定義為：

定義3若上述游戲中任意PPT 敵手A 的優(yōu)勢(λ)可以忽略不計，則基于LSSS 訪問控制結構的LWE-CPABE 加密方案在線性獨立約束下是選擇性安全的。

定義4若LWE 困難問題假設成立，則本文所構造的LWE-CPABE 滿足選擇性安全。

證明為證明定義4，本文設置了一系列混合博弈游戲，該系列游戲在公共參數(shù)的生成、密文挑戰(zhàn)和密鑰詢問階段各不相同。系列游戲中的第一個游戲對應于所提出的LWE-CPABE 方案在線性獨立約束博弈下的選擇性安全，最后一個游戲是證明敵手A的優(yōu)勢為0。此外，敵手A 在每個連續(xù)游戲之間的變化量可忽略不計。

證畢。

以下是混合游戲的構建與歸約：

Hyb0：該混合游戲對應于ABE 方案的真實弱安全選擇性博弈。

Hyb1和Hyb0之間的變化僅僅是句法上的變化，因此這兩個混合游戲是無法區(qū)分的。

Hyb2：該游戲與Hyb1類似，區(qū)別是在Setup 階段矩陣{Hu}生成的改變。

Hyb2和Hyb1之間的變化同樣僅僅是句法上的變化，因此這兩個混合游戲是無法區(qū)分的。

Hyb3：該游戲與Hyb2類似，區(qū)別是在Setup 階段矩陣{}生成的改變。

Hyb6和Hyb5的不可區(qū)分性源于格陷門函數(shù)EnLT=(EnTrapGen，EnSamplePre)。

Hyb7：該游戲與Hyb6類似，區(qū)別在于回答敵手A的密鑰詢問時密鑰組件的改變。

Hyb7和Hyb6之間的變化同樣僅僅是句法上的變化，因此這兩個混合游戲是無法區(qū)分的。

Hyb8：該游戲與Hyb7類似，區(qū)別在于回答敵手A的密鑰詢問時向量{ku}u∈U∩ρ([?])的改變。

由LWE 困難問題假設可知，Hyb11和Hyb10在選擇上是不可區(qū)分的。

證明對于任意敵手A 和任意x∈{0，1，…，11}。令pA，x：? →[0，1]為一個函數(shù)，對于所有λ∈?，定義敵手在混合博弈游戲中勝出的概率為pA，x(λ)。根據(jù)Hyb0的定義，對于所有的λ∈?，有：

另外，對于所有λ∈?，有pA，11=1/2，因為在Hyb11中的挑戰(zhàn)密文中沒有挑戰(zhàn)者選擇挑戰(zhàn)位的信息。因此，對于所有λ∈?，有：

同理分析可知，在Hyb1與Hyb2中，pA，1(λ)=pA，2(λ)。

由于EnLT=(EnTrapGen，EnSamplePre)滿足剩余哈希定理，因此在Hyb3到Hyb10中，對于任意敵手A，存在一個可忽略函數(shù)negli(·)，使得對于所有的λ∈?，有：|pA，i-1(λ)-pA，i(λ) |≤negli(·)。

又由于LWE 困難問題假設成立，因此對于任意PPT 敵手A，存在一個可忽略函數(shù)negl11(·)，使得對于所有的λ∈?，滿足：|pA，10(λ)-pA，11(λ) |≤negl11(·)。

由此可知，敵手A 在混合博弈游戲中的優(yōu)勢為0。

證畢。

4.3 鏈上安全性分析

本節(jié)將介紹常見的區(qū)塊鏈攻擊模型及本文方案如何抵抗這些典型攻擊。

合謀攻擊：在分布式體系中，攻擊者通過多個秘密集合反向計算出授權方的主密鑰或其他用戶的用戶屬性私鑰。在本文方案中，每個用戶屬性私鑰在生成時會生成一個均勻獨立分布的隨機向量t^←X1，任意的用戶屬性私鑰的隨機向量均不同，因此該用戶屬性私鑰對于任何人都是信息論隱藏的，無法實現(xiàn)合謀攻擊。

中間人攻擊：中間人攻擊是指攻擊者在通信方兩端分別建立獨立聯(lián)系，交換其所收到的數(shù)據(jù)，監(jiān)聽或篡改信息。在本文方案中，各節(jié)點間所有的通信均以交易的方式進行，交易由發(fā)起方利用其區(qū)塊鏈私鑰進行簽名，返回的秘密數(shù)據(jù)通過對方公鑰進行加密，中間人無法通過篡改地址或偽造簽名來通過驗證。因此，本文方案可以很好地防止中間人攻擊。

鏈接攻擊：鏈接攻擊是指攻擊者通過鏈接同一地址的多條交易查找用戶的隱私數(shù)據(jù)。在本文方案中，用戶屬性相關授權過程可由用戶自己決定，用戶可以選擇公開其身份屬性，也可以隱藏身份信息以保護隱私。此外，相關數(shù)據(jù)在鏈上均為密文，安全性通過算法安全性得到保證，攻擊者無法獲取用戶相關信息，做到抗鏈接攻擊。

4.4 性能對比分析

通過對比本文方案與文獻［5］方案的功能特性，分析本文方案在數(shù)據(jù)共享上的優(yōu)缺點，如表1 所示。

表1 不同方案的性能對比分析Table 1 Performance comparison and analysis of different schemes

文獻［5］由于采用q-PBDHE 困難問題假設，即無法在多項式時間內(nèi)破解私鑰和對單向函數(shù)求逆，以可以忽略的概率被破解，但隨著量子計算的不斷發(fā)展，這些困難問題假設將會面臨被破解的風險，因此基于此類困難問題所構造的密碼學方案是非絕對安全的，但本文所構造的LWE-CPABE 方案可以得到絕對的安全性證明。此外，本文的LWE-CPABE方案是基于最高困難的安全類型，其他代數(shù)結構中均為平均困難的安全類型。在該安全類型中，若破解密碼算法，則需要解決最高情況的困難問題。最后，文獻［5］所構造的CPABE 方案在計算上需要乘法運算、模指數(shù)運算和雙線性映射等開銷較大的運算，而本文方案則只需進行開銷較小的加法運算，極大地提高了運算效率。

另外，通過對比本文方案和文獻［26］方案的功能特性，分析本文方案在數(shù)據(jù)共享上的優(yōu)缺點，結果如表2 所示。

表2 不同方案的功能對比分析Table 2 Functional comparison and analysis of different schemes

在文獻［26］方案中，若數(shù)據(jù)使用者群體發(fā)生改變，則需要數(shù)據(jù)使用者重新生成訪問控制矩陣并對明文數(shù)據(jù)進行重新加密。而在本文方案中，增加了策略撤銷與更新算法，當數(shù)據(jù)使用者集合發(fā)生改變時，數(shù)據(jù)擁有者僅需生成新的訪問控制矩陣即可實現(xiàn)對密文訪問控制策略的變更。同時，通過策略撤銷交易即可實現(xiàn)原有訪問策略的撤銷，有效地減少了計算代價和存儲代價。另外，本文方案支持公共數(shù)據(jù)（如密文、公鑰等）的共識驗證，可有效保證公共數(shù)據(jù)的安全性、完整性與來源真實性。在基于密碼學的數(shù)據(jù)共享方案中，其安全性依賴于密鑰的安全性，而密鑰盜版及濫用問題一直是屬性基加密中難以解決的問題。因此，在本文方案中，利用格式化的交易結構、改進的密鑰生成算法、嚴格的密鑰申請交易和密鑰傳遞交易，可實現(xiàn)密鑰流轉的全過程行為記錄，實現(xiàn)快速、準確的密鑰相關行為追溯。因此，對比文獻［26］方案，本文方案更適用于區(qū)塊鏈數(shù)據(jù)共享。

4.5 實驗仿真分析

本節(jié)主要針對方案的實現(xiàn)性能進行分析。實驗采用一臺主機（Intel Core i7-8750H CPU@2.20 GHz，8.0 GB RAM，Win10操作系統(tǒng)），并利用PBC密碼庫、PALISADE密碼庫和編程語言C++來構建實驗框架。在對性能指標進行選擇時，本文方案并未對區(qū)塊鏈網(wǎng)絡的交易流程進行改動，只是將網(wǎng)絡中上鏈的數(shù)據(jù)采用LWE-CPABE 進行加密，不會影響到區(qū)塊鏈網(wǎng)絡的運行效率。因此，本文首先對LWE-CPABE 方案的性能指標進行評估。

在實驗中，明文數(shù)據(jù)設置為308 Byte。因為本文方案無需進行模指數(shù)、雙線性映射等復雜運算，僅需要進行加法運算，所以在各階段的時間代價均明顯優(yōu)于文獻［5］方案。

如圖3 所示，系統(tǒng)初始化時間與系統(tǒng)屬性數(shù)量呈線性增長關系。該階段文獻［5］方案時間代價增長率明顯大于本文方案，即隨著屬性數(shù)量的增加，本文方案在分布式數(shù)據(jù)共享和訪問控制方面更具優(yōu)勢。

圖3 不同方案的系統(tǒng)初始化時間Fig.3 System initialization time of different schemes

如圖4 所示，隨著系統(tǒng)中屬性的不斷增加，本文方案中數(shù)據(jù)擁有者在鏈下加密所花費的時間明顯少于文獻［5］的方案，其原因是在以文獻［5］方案為代表的傳統(tǒng)屬性基加密方案中需要復雜的雙線性配對運算和指數(shù)運算，而本文方案僅需加法運算，因此，將本文LWE-CPABE 方案應用于區(qū)塊鏈數(shù)據(jù)共享，將對系統(tǒng)的整體效率有極大的提升。

圖4 不同方案的加密時間Fig.4 Encrypt time of different schemes

如圖5 所示，在密鑰生成階段，隨著屬性的不斷增加，本文方案明顯優(yōu)于文獻［5］的方案，在進行多用戶、多屬性集合的密鑰生成時，本文方案具有更強的實用性。

圖5 不同方案的密鑰生成時間Fig.5 Key generation time of different schemes

如圖6 所示，在解密階段，本文方案在0～2 ms 左右遠低于文獻［5］方案，對于分布式系統(tǒng)的整體效率有非常大的提升，因此更適合區(qū)塊鏈數(shù)據(jù)共享。為完整模擬整個策略更新過程，本文實驗利用1 臺主機4 個節(jié)點并采用C++編寫的PBFT 共識算法對數(shù)據(jù)流轉操作進行模擬。訪問控制策略更新過程可分解為策略生成、策略更新和策略上鏈3 個步驟。通過模擬本文算法步驟得到各部分時間代價如圖7 所示，當更新算法的屬性個數(shù)依次為2、4、6、8、12、14 和16 時，策略生成、更新和上鏈時間代價總和維持在1 500 ms 以內(nèi)。

圖6 不同方案的解密時間Fig.6 Decrypt time of different schemes

圖7 策略更新時間Fig.7 Policy update time

如圖8 所示，在模擬交易數(shù)量與交易響應時間及TPS 的關系時，測試對象為從區(qū)塊鏈網(wǎng)絡中隨機挑選的一個節(jié)點，測試內(nèi)容為調(diào)用CITA SDK 生成交易與交易信息查詢，并發(fā)數(shù)條件分別為200～800。在性能測試時，單節(jié)點保持較高的響應速度和TPS。在400～700 并發(fā)數(shù)下，交易生成和驗證時間保持在14 s內(nèi)，TPS為每秒80 條以上。因此，本文方案可以實現(xiàn)區(qū)塊鏈上數(shù)據(jù)訪問控制策略的快速更新，且擁有較快的交易生成及驗證速度，可以提供高性能的服務。

圖8 交易平均響應時間與TPSFig.8 Average transaction response time and TPS

5 結束語

區(qū)塊鏈上的隱私保護技術是數(shù)據(jù)安全共享的重要因素，隨著量子計算的快速發(fā)展，傳統(tǒng)的以數(shù)論為基礎的公鑰密碼體系無法抵抗量子攻擊。因此，本文將區(qū)塊鏈技術與格屬性基加密算法有效融合，提出一種基于LWE-CPABE的區(qū)塊鏈數(shù)據(jù)共享方案。通過對CPABE方案進行改進，給出可更新策略的抗量子攻擊屬性基加密算法，以實現(xiàn)數(shù)據(jù)的動態(tài)保護。在此基礎上，設計區(qū)塊鏈格式化交易結構實現(xiàn)基于格的CPABE 細粒度訪問控制，在保證算法抗量子攻擊特性的同時，確保過程的可追溯性。實驗結果表明，與傳統(tǒng)CPABE 算法相比，基于格的算法可以明顯提升計算速度。下一步將研究區(qū)塊鏈上基于LWE-CPABE 的分布式密鑰生成方案及策略隱藏，以實現(xiàn)更加安全高效的基于屬性基加密的分布式數(shù)據(jù)共享。