CN113489733B

CN113489733B - 基于区块链的内容中心网络隐私保护方法

Info

Publication number: CN113489733B
Application number: CN202110788755.2A
Authority: CN
Inventors: 张建伟; 孙海燕; 吴作栋; 蔡增玉; 朱亮; 梁树军; 崔梦梦; 彭中原; 陈曦
Original assignee: Zhengzhou University of Light Industry
Current assignee: Zhengzhou University of Light Industry
Priority date: 2021-07-13
Filing date: 2021-07-13
Publication date: 2022-07-29
Anticipated expiration: 2041-07-13
Also published as: CN113489733A; US20230043852A1

Abstract

本发明提出了一种基于区块链的内容中心网络隐私保护方法，其步骤为：可信属性授权中心执行初始化算法生成公共参数和主密钥；每个消费者和出版者生成其公钥和私钥；可信属性授权中心随机生成自己的公钥和私钥；互相通信计算出公钥；生成密文并上传给云服务提供商；交易上链阶段；解密阶段：当消费者想要获取感兴趣的内容时，在联盟链上找到内容的交易信息；消费者根据交易信息发送兴趣包，通过交易信息中的存储地址获取密文；联盟链根据消费者的访问信息生成访问交易，并以数据包发送给消费者，消费者在本地进行解密并在联盟链上验证。本发明实现了内容共享的机密性、抗合谋攻击和抗CSP攻击；实现了分布式访问控制且访问策略安全。

Description

基于区块链的内容中心网络隐私保护方法

技术领域

本发明涉及隐私保护的技术领域，尤其涉及一种基于区块链的内容中心网络隐私保护方法。

背景技术

传统的CCN(内容中心网络)隐私保护方案通常借助第三方来进行内容的访问控制，然而如果第三方的数据库一旦出现问题，就会导致数据隐私安全等问题。使用区块链技术，能减少第三方不可信造成的数据隐私安全问题，塑造CCN可信中立的环境。区块链可将不同的内容通过同一数据格式统一存储在链上，实现内容安全共享。

基于密文策略属性加密(CP-ABE)是一种用于一对多数据共享和细粒度访问控制的复杂加密技术，是CCN进行隐私保护的一种重要手段。在CP-ABE方案中，每个密文都用访问控制策略加密，该策略由出版者制定，每个消费者的私钥都与自己的属性相关联。当且仅当消费者的属性满足访问控制策略时，消费者才能解密密文。而且设计者为了更好地利用CP-ABE的优势，让系统统一便捷的进行隐私保护内容，同时降低配置、部署和管理方面的成本，通常会将访问策略下的加密内容委托给云服务提供商等第三方，让消费者通过一组属性从这些中介机构获得秘钥，从云服务提供商上解密加密数据。虽然这样在执行时会使消费者获得内容的效率大大增强，但是在其安全性和可靠性方面上也会极大依赖于云服务提供商或者其他第三方机构。而且，学术界将它们分别假定为半信任和信任，这在现实中是不现实的，具体实施时依然会存在建立信任成本高、单点故障等问题。特别是将其应用在CCN的的背景下，平衡第三方带来的效率和安全问题将日渐突出。Jung等人提出了多属性加密方案，属性由不同的属性授权机构管理，用来解决单一数据库故障的问题。Waters等人首先提出了基于LSSS(线性秘密共享)的策略隐藏CP-ABE方案，第三方服务器无法通过密文获得访问策略，但该方案没有实现属性撤销，没有从根本上抵制串谋攻击。Lai等人提出了一种基于多权限属性隐藏可撤销的加密方案，但是其计算成本较高，内容检索延迟较大。He等人加强了Lai等人的方案的执行效率，但是出版者还是需要在加密之前通过属性权限转化访问策略。Green等人提出了一种外包解密方案，将用户的秘钥分为属性秘钥和解密秘钥；在解密阶段，主要的计算开销被外包给云服务提供商提供商，虽然提升执行效率，但是又不可避免的使用了第三方。可见，研究兼具安全性和效率性的属性加密方案确实是个棘手的问题。

为了解决这些问题，工业界和学术界开始提出了利用区块链技术作为一个可信第三方来解决CCN内容共享中的可靠性问题。区块链技术是伴随加密数字货币逐渐兴起的一种去中心化基础架构与分布式计算范式，以块链结构存储数据。区块链的主要特点是分散性、开放性、自主性和非篡改性。区块链可以作为一种分类帐，记录双方之间的交易，交易一旦被记录下来，就不能被篡改，因此，可以使用区块链来解决传统的CP-ABE中的问题：可以在区块链上记录访问控制策略，实现用户自认证和云不可否认；还可以记录数据的哈希值，以抵抗数据篡改攻击。因此，基于区块链的CP-ABE使得在CCN中安全、高效地共享数据成为可能。但是如何改进CP-ABE技术的访问控制手段成为了CCN利用区块链作为隐私保护的重要手段，也是新一代网络在隐私保护领域最重要的研究工作。

发明内容

针对传统隐私保护方法往往因为串谋等实体的参与而长时遭受信任、单点故障、隐私泄露等的技术问题，本发明提出一种基于区块链的内容中心网络隐私保护方法，使用CP-ABE实现一对多的数据共享，使用区块链记录数据的访问策略，实现用户自认证和云服务提供商的不可抵赖性；另外，考虑到CCN节点的计算能力，采用了一种有效的证书方法，同时还支持数据撤销。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于区块链的内容中心网络隐私保护方法，其步骤如下：

(1)初始化阶段：系统为可信属性授权中心AAC分配身份标识aid，可信属性授权中心AAC执行初始化算法，利用安全参数生成公共参数和主密钥；

(2)密钥生成阶段：可信属性授权中心AAC为每个合法的消费者和出版者分配唯一的标识身份，并为每个消费者和出版者生成其公钥和私钥；同时，可信属性授权中心AAC随机生成自己的公钥和私钥；

(3)加密阶段：每个可信属性授权中心AAC互相通信共同计算出公钥SPK，并广播出去；生成密文CT并上传给云服务提供商；

(4)交易上链阶段：消费者利用自己的私钥将带有隐藏访问策略的密文CT打包成一个存储交易发送给高级矿工们；存储交易被消费者广播到联盟链中的联盟链节点CBMs，高级矿工们通过签名验证存储交易的有效性、通过校验码验证密文CT的有效性；

(5)解密阶段：当消费者想要获取感兴趣的内容时，在联盟链上找到内容的交易信息；消费者根据交易信息发送兴趣包，通过交易信息中的存储地址找到对应的云服务提供商CSP获取密文CT；联盟链根据消费者的访问信息生成访问交易，离云服务提供商CSP最近的缓存路由节点CR接收到密文CT，并以数据包的形式发送给消费者，由消费者在本地进行解密并在联盟链上验证内容的正确性。

所述步骤(1)的实现方法为：利用安全参数λ双线性参数生成器生成双线性参数Ф＝{G₀,G₁,e}，其中，乘法群G₀的阶为p，g是乘法群G₀的生成元，选取双线性对e:G₀×G₀→G₁为双线性映射；随机挑选一个整数α∈Z_p作为主密钥MSK；计算h＝g^α，建立全局参数Params＝{Ф,h,H}；其中，H:{0,1}^*→G₀为一个哈希函数，*表示随机挑选；Z_p为整数集，h为计算的全局参数。

所述步骤(2)的实现方法为：

可信属性授权中心AAC为每个合法的消费者和出版者分配唯一的标识身份uid，随机挑选一个整数t_uid∈Z_p作为消费者或出版者的私钥SK_uid＝{t_uid}；分别计算

和

作为消费者或出版者的公钥

并发送给消费者或出版者；g是生成元；α为主密钥，Z_p为整数集；

每个可信属性授权中心AAC随机挑选一个整数r∈Z_p作为自己私钥SK_aid＝{r}，计算双线性映射e(g,g)^ri作为可信属性授权中心AAC的公钥PK_aid＝{e(g,g)^r}。

步骤(3)的实现方法为：

完成初始化阶段后，每一个可信属性授权中心AAC开始广播双线性对

可信属性授权中心AAC接收到所有的双线性对后，计算公钥SPK＝e(g,g)^r；r代表可信属性授权中心AAC的私钥SK_aid；

随机挑选n-1个整数y₂…y_n用于共享加密；选择一个随机向量v＝(s,y₂,y₃,...,y_n)^T，其中，s是待分享的秘密指数；计算中间变量λ_i＝v×M_i；其中，1≤i≤l；M_i为l×n的矩阵M的行向量，λ_i为分割秘密指数s得到的第i个份额；v是访问控制策略形成的随机向量；

计算中间变量w_i＝M_iZ；其中，Z表示为一个随机的整数；分别计算C₀,C₁,C₂,C₃,C₄，其中C₀＝me(g,g)^st，C₁＝h^s，C₂＝H(e(g,g)^ys)，

C₄＝H(β(i))。其中，C₀＝me(g,g)^st代表明文m和双线性对相乘，st代表着随机挑选的秘密参数，y代表着随机向量，β(i)表示行指定属性；

消费者将密文CT＝{C₀,C₁,C₂,C₃,C₄}上传到云服务提供商CSP保存。

所述打包存储交易的方法为：利用哈希函数H:{0,1}^*→G₀计算密文的哈希值为CheckCode，且Checkcode＝H(CT)；计算交易的哈希值

其中，m代表明文，

代表签名结果；用消费者的私钥SK_uid对交易的哈希值MD进行签名

其中，

为签名计算；产生一个存储交易Tx_storage＝(H(m),Address,Sign,CheckCode)。

所述高级矿工们通过比较接收到的存储交易Tx_storage中的哈希值MD'和出版者广播的公钥BPK_uid验证签名Sign生成的交易的哈希值来验证存储交易Tx_storage的有效性：

利用哈希函数计算交易的哈希值MD'＝H(T,Address,Sign,CheckCode)；其中，T代表时间戳；

用消费者用于签名的公钥DPK_uid去验签Sign，得到哈希值

其中

表示用公钥DPK_uid验签的过程；

如果哈希值MD'＝MD则：根据Address获得密文CT的地址，计算密文CT的哈希值CheckCode'＝H(CT)；如果哈希值CheckCode'＝CheckCode，则验证成功；否则，验证失败。

所述步骤(5)中生成访问交易的方法为：

利用哈希函数计算内容名字Content_name的哈希值为H(Content_name)；计算交易的哈希值MD＝H(uid,Address_uid,Sign,H(Content_name))；用消费者的私钥SK_uid对哈希值MD进行签名：

产生访问交易Tx_proof＝(uid,Address_uid,Sign,H(Content_name))。

所述访问交易Tx_proof通过签名验证有效性：联盟链节点CBMs通过比较接收到的访问交易Tx_proof中的哈希值MD'和出版者广播的公钥BPK_uid验签Sign生成的消息摘要MD验证访问交易Tx_proof的有效性：

利用哈希函数计算交易的哈希值MD'＝H(uid,Address_uid,Sign,H(Content_name))；用公钥DPK_uid验签Sign得到哈希值

如果哈希值MD'＝MD：则根据地址Address_uid找到兴趣包中内容名字的哈希值H'(Content_name)；如果哈希值H(Content_name)＝H'(Content_name)，则验证成功；否则，验证失败；其中，H'是哈希函数；

所述消费者生成访问交易Tx_access的方法为：如果访问交易Tx_proof是有效的，则：得到当时的时间time；计算访问交易的哈希值MD＝H(A,uid,Address_store,Sign,BPK_uid,time)；其中，A是访问交易的标识；

利用出版者的公钥BPK_uid对哈希值MD进行签名

得到访问交易Tx_access＝(A,uid,Address_store,sign,BPK_uid,time)；否则，返回空值。其中，时间表示Tx_access产生的时间，Sign被用来证明访问交易Tx_access确实是由消费者发送的。

所述消费者进行解密的方法为：

对于属性x_t，可信属性授权中心AAC挑选一个随机数a_i∈Z_p；消费者属性集S＝(x₁,x₂,x₃,...,x_n)，1＜t＜n，x_i表示消费者的属性，n表示消费者属性的个数；

可信属性授权中心AAC产生密钥

其中，k、α、

都是计算的安全参数，D1、D2、D3为密钥参数；

消费者接收到密文CT后，对密文CT进行预计算：

其中，I代表访问属性，x代表消费者的属性，s代表秘密值，C_x为某一消费者属性的计算值，P_x为某一消费者属性的预计算值；

消费者用密钥SK_uid,aid解密密文，计算明文：

当消费者得到明文m时，计算明文m的哈希值，并在联盟链上形成存储交易：

利用哈希函数H:{0,1}^*→G₀计算明文m的哈希值为H'(m)；找到存储交易Tx_storage中明文的哈希值H(m)；

如果是H(m)＝H'(m)，则Code＝true；否则Code＝false；

得到当时的时间time；计算交易的哈希值MD＝H(time,uid,H(m),Tx_storage,Sign,Code)；

利用消费者的私钥SK_uid对哈希值MD进行签名：

产生一个存储交易Tx_verify＝(time,uid,H(m),Tx_storage,Sign,Code)。

所述存储交易Tx_verfiy生成后被广播到联盟链中的联盟链节点CBMS进行验证：

利用哈希函数计算交易的哈希值MD'＝H(time,uid,H(m),Tx_storage,Sign,Code)；

用公钥BSK_uid去验签Sign，得到哈希值

如果哈希值MD'＝MD，则验证成功；否者，验证失败。

与现有技术相比，本发明的有益效果：

(1)本发明提出了一种基于CP-ABE和区块链的内容共享隐私保护方案，可以解决由于服务器介入而导致安全性和隐私性等问题，利于区块链作为可信第三方，从而使系统环境变成可信、中立。

(2)设计区块链来进行内容的访问控制，实现了消费者和出版者的自认证和云服务提供商不可抵赖，以一个行为账本的方式记录节点的行为。同时，利用线性秘密共享方案(LSSS)隐藏访问策略里面的敏感信息，还可以实现消费者快速认证。

(3)通过安全分析表明，本发明实现了数据机密性、抗合谋攻击和抗CSP等攻击。且将本发明案部署在CCN网络下，能够细粒度的进行访问控制，具有较低的内容检索延迟。

本发明利用区块链来实现分布式、可信的访问控制管理，以一种行为账本的方式记录节点的行为，追溯内容共享的全部过程，定位恶意节点；同时，为了实现消费者细粒度的访问内容，又搭配了基于线性秘密共享的CP-ABE来一对多的共享内容，实现了策略隐藏和快速认证，表达更为灵活。安全分析表明，本发明实现了内容共享的机密性、抗合谋攻击和抗CSP(抗服务器攻击)攻击。实验结果表明，本发明实现了分布式访问控制，并保证了访问策略安全，数据不可篡改，具有可追踪等优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程示意图。

图2为本发明的原理图。

图3为本发明的模型图。

图4为本发明仿真的网络拓扑结构。

图5为本发明和对比方案的隐私风险系数对比示意图。

图6为本发明和对比方案的内容检索延迟对比示意图，其中，(a)为lai方案的内容检索延迟，(b)为Waters方案的内容检索延迟，(c)为He方案的内容检索延迟，(d)为本发明的内容检索延迟。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图3所示，本发明由6个实体组成：消费者、出版者、云服务提供商(CSP)、联盟链节点(CBMs)和可信属性授权中心(AAC)；其中，云服务提供商：CSP接收并存储密文，然后将密文的签名返回给CBMs；此外，CSP还负责为出版者提供数据访问服务和存储服务。联盟链节点：CBMs需要验证CSP是否正确接收了密文。如果CSP的值与密文的哈希值相等，则CBMs将访问控制策略、数据的哈希值和CSP签名打包为一个交易。在本发明的区块链联盟中，CBMs按交易数量和信誉分为高级矿工(HCBMs)和正常矿工(CBMs)。声誉就是工作年限和是否具有恶意行为记录，正常矿工可以通过提高他们的声誉和交易数量来晋升为高级矿工，所有CBMs共同维护区块链，只有高级矿工才能和CCN进行交互，并生成新的区块。

出版者：负责制定访问策略，并使用CP-ABE加密数据；而且为了在提高系统效率的同时实现可信的安全访问控制，消费者打包交易将密文地址发送给CBMs；在本发明中，出版者包括用户和缓存路由节点(CR)。消费者：消费者是一个拥有全局标识uid的数据请求者；在访问内容之前，用户可以通过区块链验证自己的属性是否满足相应的访问策略；解密密文后，用户可以验证数据没有被篡改；只有属性满足访问控制策略时，消费者才能解密密文。属性授权中心(AAC)：AAC是一个完全受信任的属性授权机构，负责在其管理域中识别消费者并生成相应的属性密钥；而且AAC向用户颁发全局唯一的用户标识，并把用户标识发送给CSP。在本发明中，每个AAC可以管理多个属性，但每个属性只能被唯一的AA管理。CS表示服务器。

图3中的内容共享过程，即三条线的具体数据传输过程为：CN的整个内容共享过程如图1所示，内容主要有二种类型：兴趣包和数据包。虚线代表兴趣包的传输过程，断点线代表数据包的传输过程。消费者首先发送一个兴趣包来请求数据，这个兴趣包带有所需内容的名称，便于找到该数据信息。一旦兴趣包到达了一个拥有所请求数据的节点，这个节点会发送回来一个数据包，并携带了相关的名称前缀、数据内容、以及出版者的签名信息。兴趣包在转发过程中会留下一条所经过的路径，而这个数据包会沿着这条路径返回到最初的消费者。无论是兴趣包还是数据包，都没有携带任何主机地址或接口地址。兴趣包是基于在兴趣数据名称的路由机制下找到数据提供者的，而数据包也是通过兴趣包在每个节点留下的记录来找到消费者的。半点线主要是针对本发明，代表本地用户把交易上传到区块链上供高级矿工进行验证。

如图3所示，在发明中，计算过程是在本地完成的，执行过程只包含消费者、出版者、可信属性授权中心和联盟链节点。云服务提供商只是参与存储密文，来平衡安全机制带来的效率问题。本发明不仅可以实现分布式、可信的访问控制，而且可以保护访问策略和属性的私密性。

表1本发明的参数

参数	参数意义
		m	内容
λ	安全参数
		e	双线性对e：G<sub>1</sub>×G<sub>1</sub>→G<sub>2</sub>
H	哈希函数
		Ф	双线性参数生成器
aid	属性授权中心身份标识
		(M,ρ)	线性访问结构
M	秘密共享矩阵：l×n
		ρ	将每一行M<sub>i</sub>映射到对应的属性ρ(i)
uid	用户身份

如图1和图2所示，一种基于区块链的内容中心网络隐私保护方法，包括六个阶段：初始化阶段、密钥生成阶段、加密阶段、交易上链阶段和解密阶段，具体步骤如下：

(1)初始化阶段：系统为可信属性授权中心AAC分配身份标识aid，可信属性授权中心AAC执行初始化算法，利用安全参数生成公共参数和主密钥。

在这一阶段，系统为可信属性授权中心AAC分配全局唯一标识aid，代表着拥有合法的执行权力进行方案的初始化。AAC执行初始化算法，安全参数λ作为输入和运行双线性参数生成器生成公共参数Params及主密钥MSK。

(2)密钥生成阶段：可信属性授权中心AAC为每个合法的消费者和出版者分配唯一的标识身份，并为每个消费者和出版者生成其公钥和私钥；同时，可信属性授权中心AAC随机生成自己的公钥和私钥。

在这一阶段，可信属性授权中心AAC为每个合法的消费者和出版者分配唯一的标识身份uid，然后为每个消费者和出版者生成解密公私钥对(DSK_uid,DPK_uid)(每个出版者和消费者的uid是不一样的，所以公私钥对都是不一样的)。除此之外，AAC也随机生成自己的公私钥对(PK_aid,SK_aid)(aid代表每个AAC的身份标识，用于区分每个AAC生成的公私钥对)，具体实现方法为：

(3)加密阶段：每个可信属性授权中心AAC互相通信共同计算出公钥PK，并广播出去；生成密文CT上传给云服务提供商。

在这一阶段，每个可信属性授权中心AAC互相通信，共同计算出公钥SPK，并将其广播出去。出版者在收到公钥SPK后将内容和自己定义的访问控制策略(M,β)作为输入，其中(M,β)中的M是一个l×n的矩阵，ρ负责将矩阵M的每一行映射到对应的属性。出版者选择一个秘密指数s，而且为了隐藏秘密指数s，出版者又随机选择y₂,y₃,...,y_n∈Z_p构造随机向量

最后生成密文CT上传给云服务提供商CSP。

(4)交易上链阶段：消费者利用自己的私钥将带有隐藏访问策略的密文CT打包成一个存储交易发送给高级矿工们；存储交易被消费者广播到联盟链中的联盟链节点CBMs，高级矿工通过签名验证存储交易的有效性，联盟链节点CBMs的高级矿工通过校验码验证密文CT的有效性。

为了实现能够建立一个全程可信的内容共享过程，消除具有第三方带来的信任问题。在这个阶段，消费者将带有隐藏访问策略的密文CT打包成一个存储交易发送给高级矿工们。

存储交易Tx_storage生成后，被广播到联盟链中的联盟链节点CBMS进行验证，CBMS可以通过签名验证存储交易的有效性，通过校验码验证密文的有效性。具体来说，CBMS通过比较接收到的存储交易Tx_storage中的哈希值MD'和出版者广播的公钥BPK_uid验证签名Sign生成的交易的哈希值MD来验证存储交易Tx_storage的有效性。

为了降低存储成本，本发明的出版者单独向联盟链发送密文的CSP存储地址，而且为了保证CSP存储的密文的完整性，需要进一步检查与密文CT的存储地址Address相关的密文哈希值checkCode'是否等于存储交易Tx_storage中的哈希值CheckCode。一旦被证实，高级矿工HCBMS将被打包成一个区块，由全部的联盟链节点CBMs达成共识。

高级矿工会利用公钥验证签名，得到值和校验码进行字符比对，如果比对成功，说明密文没有被篡改，密文是有效的；否则，密文无效。

(5)解密阶段：当消费者想要获取感兴趣的内容时，在联盟链上找到内容的交易信息(类似于有关内容的信息，比如说内容名字的哈希值)；消费者根据联盟链上交易信息发送兴趣包，消费者可以通过交易信息中的存储地址找到对应的云服务提供商CSP获取密文CT；联盟链根据消费者的访问信息生成访问交易，离云服务提供商CSP最近的CR可以接收到密文CT，并以数据包的形式发送给消费者，由消费者在本地进行解密并在联盟链上验证内容的正确性。

当消费者想要获取自己感兴趣的内容时，其首先在联盟链上找到内容的交易信息。接着，消费者发送兴趣包，其路由和转发可以通过交易信息中的密文的存储地址Address来找到对应的云服务提供商CSP来获取密文。同时，联盟链也会产生消费者的访问信息交易。最后，离CSP最近的CR可以接收到密文，并以数据包的形式发送给消费者，由消费者在本地进行解密并在联盟链上验证内容的正确性。具体来说，消费者在本地通过函数ρ将他的每个属性映射到矩阵的对应行，得到他的属性矩阵M'。如果计算属性矩阵M'的秩等于它的阶数，则表示消费者的属性满足访问控制策略，在其兴趣包中添加一个访问证明proof，并把相关信息打包形成访问交易上传到联盟链上。CSP在检查到联盟链上的访问交易之后，根据消费者的位置把密文发送到离消费者最近的CR，CR形成数据包最终抵达消费者。消费者在本地利用自己的私钥进行解密，并在联盟链上对比内容的哈希值，来保证内容在传输过程中的完整性和保密性。

访问交易Tx_proof生成后，被广播到联盟链中的CBMs进行验证。CBMS可以通过签名验证交易的有效性。具体来说，CBMs通过比较接收到的访问交易Tx_proof中的哈希值MD'和出版者广播的公钥BPK_uid验签Sign生成的消息摘要MD来验证访问交易Tx_proof的有效性。

在此之后，消费者生成了一个有效的访问交易Tx_access，智能合约也验证了访问权限。其中，A是访问交易的标识，时间表示Tx_access产生的时间，Sign被用来证明访问交易Tx_access确实是由消费者发送的。

区块链上的CB授权AAC产生私钥SK_uid,aid发送给已经获得访问权限的消费者。云服务提供商CSP在检查到联盟链上的访问交易之后，根据消费者的位置把密文发送到离消费者最近的CR，CR形成数据包最终抵达消费者。消费者在本地利用私钥SK_uid,aid和私钥SK_uid进行解密。

当消费者得到内容即明文m时，需要计算明文m的哈希值，并在联盟链

上形成验证交易，证明这个哈希值是否等于H(m)。如果不是，则联盟链上显

示Code＝false，表示明文m不是原始上传的数据，CSP需要更新密文。否则，

联盟链上显示Code＝true，表示内容m正确。

[消费者]:Gen_verify(time,uid,H(m),Sign,Code)→Tx_verify

存储交易Tx_verfiy生成后，被广播到联盟链中的联盟链节点CBMS进行验证，形式和上述交易验证相同，由高级矿工HCBMS打包发布到联盟链上。

在本发明的方案中，使用拜占庭容错(PBFT)协议来维护区块链，具体过程如图3所示，智能合约描述如下：

(1)CBMs按交易数量和信誉分为高级矿工HCBMs和正常矿工CBMs。信誉就是工作年限和是否具有恶意行为记录，正常矿工可以通过提高他们的声誉和交易数量来晋升为高级矿工，所有CBMs共同维护区块链，只有高级矿工才能和CCN进行交互，并生成新的区块。

(2)序号分配：消费者和CBMs都可以将数据上传到联盟链，然后将自己生成的交易广播到整个网络。此外，高级矿工收集和排序交易，然后将它们放入一个列表，并向网络广播该列表。

(3)交互：一旦CBM接收到交易列表，它将根据订单验证交易。CBMs在验证了所有交易之后，HCBM根据交易计算新块计算散列值，然后将该值广播到网络。在这个过程中，每个CBM需要验证交易中是否有签名才被验证为有效交易。

(4)序号确认：一旦CBM收到2f+1条提交消息(包括它自己的提交消息)，它将把所有交易打包到一个新的块中，并在本地区块链上记录它。高级矿工负责生成一个新块。

内容共享的机密性和可靠性：为了实现CCN可信的安全内容共享，现有的大部分工作都需要一个中间实体来进行访问控制，这必将导致较高的信任建立成本、单点故障、隐私泄露等问题。本发明利用了区块链的分布式存储、去中心化、透明和防篡改的特性来解决这些问题。区块链上记录的是数据的哈希值，通过将生成的具有隐藏访问策略的密文和地址发送到区块链，可以在不涉及任何中介实体的情况下保证内容共享的可靠性，唯一的CSP只是起存储作用。在联盟链授权阶段，每个消费者的证明通过预定义的智能合约进行验证，该智能合约以较少的人工干预实现可信授权。而且本发明的内容的可靠性是基于LSSS的隐藏策略CP-ABE方案的，这对于出版者来说是安全的。只有当消费者的属性满足访问控制策略时，CSP才会使用它们的属性密钥对密文进行解密。另外，消费者的解密密钥是由AAC颁发的，而且AAC又是分布式、完全可信的。因此，本发明结合区块链和属性加密在服务于数据共享将是可信的。

隐私性：现有的大部分工作都是将访问策略或属性集直接存储在区块链上，对隐私的泄露构成了极大的威胁。为了保护这些隐私，需要进行必要的隐藏处理。在访问策略隐私方面，CP-ABE可以通过向量表示来隐藏访问策略。本发明不仅可以实现细粒度的访问控制，而且可以将数据以加密的形式存储，使得窃听者无法获取敏感数据，这样就可以在区块链的透明分布式环境中实现隐私保护。

完整性：为了增加系统的可扩展性，将密文地址存储在区块链中。但是，密文地址关联的密文可能会被CSP改变。为了保证消费者能够获得完整的内容，在存储交易中加入了密文的完整性校验码，可以随时对密文进行校验，确保内容的完整性。

可追踪性：可以跟踪和验证区块链中的访问控制信息。任何授权都被记录为一个不可变的访问交易，因此出版者将知道哪个消费者访问了自己存储在CSP的内容，任何消费者都不能拒绝访问操作。此外，存储交易也使出版者无法拒绝不提供数据。消费者可以通过验证检测消费者的恶意尝试。

抗干扰和劫持攻击：当攻击者伪装成为一个合法的消费者传递一个不必要的或恶意的内容请求时，首先需要向其本地CR发送一个兴趣包，并向联盟链提交个虚假的访问交易Tx_proof。之后，区块链将验证地址和发现消息的合法性。如果它是不合法的，这个不必要的或恶意的内容请求将被取消，这样就可以防止干扰攻击。对于劫机攻击，本发明可以帮助定位恶意CCN节点。具体来说，当一个恶意的CCN节点声明任何内容作为出版者的无效路径时，可以帮助挖掘联盟链中记录的密文存储交易Tx_stroge。然后，恶意CCN节点作为发布者可以根据存储交易Tx_stroge和记录在AAC出版者标识进行跟踪。

抗合谋和串谋攻击：有时，在利益的驱使下，非法用户可能会相互串通来解密密文。假设一个消费者定义了一个访问控制策略(A)∧(B∨C)，这意味着只有具有(AB)和(AC)属性的用户才能访问该数据。用户1有属性A，用户2有属性B、C。很明显，A和B不能单独解密密文。但是，如果A和B串通，他们两个将有满足的属性。在本发明中，每个用户的解密密钥都对应于他唯一的身份标识。AAC不会生成来自不同用户标识的密钥。因此，本发明能够抵抗用户的合谋。

在另一种情况下，CSP还与非法用户串通进行串谋攻击，他们可以得到的密文。但是，它们没有相应的解密密钥，他们仍然无法恢复数据。因此，本发明也能抵抗CSP与用户的串通。

抗CSP攻击：在现有的CP-ABE方案中，都认为云服务提供商CSP是半信任的，这意味着它严格遵循本发明的方案，但可能会对内容造成威胁。然而，在实践中，一些CSPs也可能篡改数据或拒绝合法的用户访问数据，现有的CP-ABE并不考虑这些。在本发明的方案中，使用区块链来记录内容和密文的哈希值。当消费者得到内容m时，需要计算内容m的哈希值，并在联盟链上形成验证交易证明这个值是否等于H(m)。如果不是，则联盟链上显示Code＝false，表示内容m不是原始上传的数据，消费者可以发送错误报告给CSP，CSP更新密文。否则，联盟链上显示Code＝true，表示内容m正确。因此，本发明能够抵抗CSP对数据的篡改。

本发明主要从计算复杂度、通讯消耗和功能性方面比较了本发明和其他相关的基于区块链的隐私保护方法。在计算复杂度方面，由于本发明中大部分操作耗时主要集中在双线性配对和群上的指数操作，所以仅对这二个操作分析密文的长度和解密的时间。在通讯消耗方面，主要从公钥、主密钥、私钥和密文长度进行分析。在功能性方面，主要从数据加密存储、细粒度访问控制、访问策略和用户属性的隐私性等几个方面对本发明进行了分析。

计算开销来自于计算的时间复杂度，如表2所示是本发明与其他方法的运算量比较。令N为系统属性个数，n为用户属性个数，p表示双线性配对运算花费的时间，e表示群G上指数运算花费的时间，|I|为解密密钥上满足一个密文访问结构的属性个数。

表2计算复杂度对比

从表2可以看出，对于系统初始化阶段，由于本发明和He方案都是将访问策略隐藏，所以首先要对N个属性进行处理，因此会多出N个指数运算。而在加密和密钥生成阶段，本发明的优势在于指数时间为Lai方案的一半，比He方案少。双线性配对运算次数则三个方案差不多。Waters方案初始化阶段的运行时间与属性个数无关，但在加密阶段会有乘法或是点乘运算，其可以忽略不计，所以本发明的策略隐藏并没有过多的进行双线性配对运算。同时，本发明解密的时间少于Waters方案的时间。总的来说，本发明并没有牺牲执行效率来增加安全性。

通信开销与消息长度相关联，其中，|G_p0|表示群元素G_p0的长度，|G_p1|表示群元素G_p1的长度。PK、SK分别表示公钥和私钥。

表3通讯开销对比

从表3可以看出，本发明与He方案的通信开销相差不大，虽然本发明在公钥大小方面比He方案少了一个群G元素的大小，但是由于本发明在MSK生成主公钥时增加了一个群G元素的长度，所以几乎可以弥补上面所说的差距。和其他方案相比，本发明会使得公钥长度有所增加，但密文长度减少一半，总体来说，本发明会增加一些系统存储空间。

表4描述了功能性比较结果，其中，Blockchain表示是否用了区块链辅助进行访问控制，AAC表示是否应用了多属性授权中心，可溯源表示是否可以进行溯源数据，、FullScure表示是否能规约到某个数学难题。与其他方案作对比，本发明使用更加灵活，更符合实际应用场景的LSSS访问结构，减少了权威机构以及出版者的计算与存储负担，同时支持可追踪性质。此外，只有本发明借用了区块链的优秀属性，将带有隐藏访问策略的密文地址发送到联盟链，证明了结合区块链特性的CP-ABE在进行CCN访问控制的可靠性。

表4功能对比.

为了验证本发明的性能，使用了ns-3中的ccnSim模块进行了CCN平台的仿真，联盟链主要通过调用BlockNDN(一个专门调用区块链的框架)的接口来实现。在评价指标方面，引入了网络性能和隐私保护效果二个方面进行评价，其中网络性能评价指标包括：缓存命中率和内容检索平均时延，隐私保护效果主要是缓存隐私风险系数。最后通过和其他方案的仿真结果的对比与分析，验证了本发明所提方案的优越性。

仿真实验的硬件环境为Inel(R)Core(TM)7-9700CPU@300GHz,32GB内存，操作系统为Ubuntu 20.10。ccnSim模块使用的是C++编写CCN模拟器，能够模拟CCN基本功能。实验采用的如图4所示的网络型拓扑结构，其中有缓存路由节点有30个，每个缓存节点的缓存大小一致，最大数目为50，节点之间的链路带宽为20Mbps，延时为1ms。在网络中设置4个内容源服务器充当消费者，负责发布内容和打包交易给联盟链。初始状态各个缓存节点缓存为空，默认缓存方式为LRU，采用泛在化缓存。运行时间设置为50s，每个5s进行采样分析。消费者设置为15个，请求概率服从齐普夫分布。用户的请求服从Zipf分布，参数α＝1，每一个用户会在一定的周期内发出10/s的内容请求，具体参数如表5所示。

表5仿真参数

缓存隐私风险系数分析：

在本次实验中，假定敌手的攻击频率和消费者请求频率一样，均为10次/s。则按照Waters所定义的计算方法，如图5所示，在实验的初始阶段，所有方案的RCP(隐私风险系数)值变化都很接近。但随着仿真实验中节点和缓存内容不断增加，敌手利用了Waters是用第三方进行的访问控制，敌手很容易发动劫持攻击和第三方攻击，所以RCP值一直居高不下，最高RCP值能达到2.65，隐私泄露风险极大。Lai方案和He案虽然具有隐藏策略的功能，但是敌手随着节点的增加而构建大量的不受欢迎的内容时，二个方案显然没有抵御这种攻击的能力，系统趋于面临崩溃，Lai方案的RCP值趋于2.4值，He方案的RCP值不断变化，都具有隐私泄露的风险。本发明引入区块链技术可以弥补三个方案的二个不足，一方面：本发明的CSP只是负责存储密文，并没有访问控制的权利，敌手没有消费者自己掌握的私钥，根本没办法解密密文，劫持攻击和第三方攻击对本发明无效。另一方面，本发明还将密文地址和访问记录到区块链上，这大大提高了系统的敏感性，可以有效防止缓存污染攻击，平稳RCP值才为2.12。

图6显示各个方案在内容检索所耗的时间对比。在实验的初始阶段，节点的数量不断增加，各个方案节点内相关的信息表和缓存逐渐充盈，对内容的接受和处理所需时间逐渐增加。但随着实验继续运行，节点内命中率较高的缓存内容将逐渐替换命中率较低的缓存内容，各个方案的内容的检索耗时将逐渐减少。但对于Lai方案，无论内容是否流行，都是由第三方服务器控制着内容的传输，转化和存放都是半诚实代理商完成的访问结构，消费者必须接收到代理商的密钥才能获取内容。因此，Lai方案在内容检索延迟方面上不占优势，内容检索权限延迟几乎达到200ms。其他三个方案在面对这种变化时，出版者都是将要分发数据包只加密一次，让消费者只需要接收密钥便可解密内容，所以带来较小的计算代价和处理时间。然而，Waters方案依赖于CCN网络的整体性能，边缘节点在处理数据包和兴趣包时，带宽资源和处理时间会消耗稍大，最高延迟达到220ms。本发明在He方案优势的基础上又增加了云服务提供商去存储和分发密文，虽然内容数据检索权限延迟随着节点数量的增加而增加，但始终保持在一个低于秒的值。而且消费者只需在联盟链上浏览交易记录便可检索到自己感兴趣的内容，节省了在缓存路由器中匹配的时间。当节点达到20时，本发明的内容检索权限延迟几乎稳定，不会大幅增加，平稳延迟低于150ms。这证明，本发明可以在较低的水平上保留数据检索权限延迟，且不会随着网络规模的增加而显著增加。

本发明引入了区块链作为一个可信第三方，提出了一种基于CP-ABE和区块链的安全的CCN内容共享方法，引入区块链来用来进行分布式、可信的访问控制管理，以一种行为账本的方式记录节点的行为，追溯内容共享的全部过程，定位恶意节点。同时，为了实现消费者细粒度的访问内容，采用基于线性秘密共享的CP-ABE来一对多的共享内容，实现了策略隐藏和快速认证，表达更为灵活。安全分析表明，本发明实现了内容共享的机密性、抗合谋攻击和抗CSP攻击。实验结果表明，本发明在保证了访问策略安全，数据不可篡改，具有可追踪等优点的同时还具有较低的内容检索延迟。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于区块链的内容中心网络隐私保护方法，其特征在于，其步骤如下：

其中，m代表明文，

其中，

为签名计算；产生一个存储交易Tx_storage＝(H(m),Address,Sign,CheckCode)；

用消费者用于签名的公钥DPK_uid去验签Sign，得到哈希值

其中

表示用公钥DPK_uid验签的过程；

如果哈希值MD'＝MD则：根据Address获得密文CT的地址，计算密文CT的哈希值CheckCode'＝H(CT)；如果哈希值CheckCode'＝CheckCode，则验证成功；否则，验证失败；

2.根据权利要求1所述的基于区块链的内容中心网络隐私保护方法，其特征在于，所述步骤(1)的实现方法为：利用安全参数λ双线性参数生成器生成双线性参数Ф＝{G₀,G₁,e}，其中，乘法群G₀的阶为p，g是乘法群G₀的生成元，选取双线性对e:G₀×G₀→G₁为双线性映射；随机挑选一个整数α∈Z_p作为主密钥MSK；计算h＝g^α，建立全局参数Params＝{Ф,h,H}；其中，H:{0,1}^*→G₀为一个哈希函数，*表示随机挑选；Z_p为整数集，h为计算的全局参数。

3.根据权利要求1或2所述的基于区块链的内容中心网络隐私保护方法，其特征在于，所述步骤(2)的实现方法为：