CN114024686A

CN114024686A - 基于区块链的智慧社区物联网信息共享模型

Info

Publication number: CN114024686A
Application number: CN202111294330.2A
Authority: CN
Inventors: 芮兰兰; 刘会永; 孙艺喆; 杨杨; 高志鹏
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2021-11-03
Filing date: 2021-11-03
Publication date: 2022-02-08
Anticipated expiration: 2041-11-03
Also published as: CN114024686B

Abstract

本发明公开了一种基于区块链的智慧社区物联网信息共享模型，首先，考虑到区块链的性能，采用基于属性访问控制的混合加密策略对异构数据进行分类，将轻量级文本数据存储到区块链全节点上，是一种基于区块链的轻量级数据存储方法。其次，本发明提出了一种基于MEC的分布式数据访问方法。通过在边缘轻量节点运行访问控制服务，降低了路由开销和请求延迟。在此场景中，设计了令牌机制，有效地减少了系统的密钥管理工作。此外，在CP‑ABE访问控制算法中，本发明改进了CP‑ABE算法，使用更少的配对操作和更安全的操作组，将属性数量和解密时间解耦，保证解密时间是恒定的，并将解密计算性能优化至常数级别，对于多终端共享更友好。

Description

基于区块链的智慧社区物联网信息共享模型

技术领域

本发明涉及区块链技术和CP-ABE访问控制技术领域，尤其涉及一种基于区块链的智慧社区物联网信息共享模型。

背景技术

随着云计算、区块链和物联网技术的发展，智慧社区可信协作、共享信息的需求越来越大。近年来，许多社区机构将社区数据如监控视频、房屋信息和人口信息等存储共享到集中式云中，以降低运维成本。然而，一旦数据上传到广泛部署的第三方云，隐私数据将面临泄露风险，甚至可能被恶意实体利用。随着数据访问的增加，云中心的计算负载不断增加，长距离传输造成较大的路由开销。为了解决上述问题，可以利用区块链的去中心化和防篡改特性来构建一个隐私数据的安全存储解决方案。

区块链允许不同的和不信任的集会在没有中央监督的情况下共享数据，以更低的成本建立信任的基础。但是区块链中的非对称加密要求对相同的消息对不同传输会话的用户进行不同的加密，带来了不必要的成本，并没有为物联网终端的可扩展性提供足够的支持。

基于密文策略属性的加密(CP-ABE)将加密和访问控制结合起来，在面对不同的访问请求时只加密一次，是开放环境中最适合的细粒度访问控制技术之一。但CP-ABE的解密时间随着用户的增加呈线性增长，密钥存储开销也给系统带来了巨大的成本。并且，智能合约中计算密集的加密和集中的访问控制不能很好地支持区块链分布式存储。

为了解现有技术的发展状况，对已有的论文和专利进行了检索、比较和分析，筛选出如下与本发明相关度比较高的技术信息：

技术方案1：CN113162907A(申请号CN202110230381.2)的专利申请提出一种基于区块链的属性基访问控制方法及系统。每个设备由系统中定义的属性进行描述，属性授权机构会根据其身份或能力为其分发对应的属性，同时使用区块链来记录属性的分发，可以有效简化访问管理，极大的提升系统的效率和性能；属性授权机构之间共同维护一个公开可信的记录“属性交易”的分布式账本，而且通过各种密码学算法有效保证了链上的数据不可篡改和不可伪造的，可以解决传统物联网访问控制方案的单点故障问题，并提升物联网系统中数据存储的可靠性。

技术方案2：公开号CN113065107A(申请号CN202110372127.6)的专利申请提出一种基于区块链的CP-ABE云数据安全共享方案，该发明通过结合多种技术，扬长避短，使用区块链技术去掉可信第三方，支持用户行为追溯及追责，提供防篡改及数据完整性验证的功能；使用属性基加密技术提供支持细粒度访问控制的云安全共享。该发明引入了两个可信第三方，实现了数据拥有者没有权限决定谁可以解密数据，极大降低了密钥生成效率，通过实现了一种改进的CP-ABE方案，实现了生成的密钥更少，生成的密文也更少，存储占用更小。

现有的基于区块链的隐私数据共享方法中，技术方案1通过将隐私数据与访问控制属性上链存储，实现了数据不可篡改和不可伪造性，增强系统可用性与稳定性。但该方案采用的CP-ABE算法难以适用于物联网场景下的多移动终端共享。因为不论是计算开销还是存储开销，都是随属性而线性增长的。技术方案2提出的结合区块链与使用两种可信第三方访问控制的共享方案虽然能降低了密钥生成效率，生成的密文也更少，存储占用更小，但仍不能有效地解决基于区块链的访问控制在计算性能、存储开销和隐私安全的冲突。因此，需要设计一种适用于边缘场景下社区物联网的数据共享方法。

发明内容

有鉴于此，本发明提出一种基于区块链的智慧社区物联网信息共享模型，以保证社区隐私数据跨域共享的安全性和效率。

为了实现上述目的，本发明提供如下技术方案：

基于区块链的智慧社区物联网信息共享模型，包括以下步骤：

S1、对智慧社区物联网异构数据进行处理，采用边缘轻量节点与区块链全节点协同完成基于CP-ABE的数据共享；

S2、基于混合加密方法完成数据存储过程；

S3、基于令牌机制完成数据访问过程。

进一步地，步骤S1的具体过程为：将物联网设备数据分为文本数据和多媒体数据，对多媒体数据进行压缩和集成，对多媒体数据进行加密并分布式存储在边缘轻量节点中按需下载；对文本数据进行摘要汇总后存储在区块链全节点。

进一步地，步骤S2的具体过程为：

S201、系统准备：数据拥有者自己定义用于签名和对称加密的密钥，部署在MEC平台的区块链轻量节点生成CP-ABE的PK和MK；

S202、数据加密：使用私钥对EMR数据进行签名，然后使用对称密钥对签名数据进行加密生成数据密文，将对称密钥和私钥利用哈希运算生成令牌，对合并密钥进行加密生成访问控制密文；

S203；发送请求：数据拥有者将访问控制令牌及加密数据密文和加密访问控制密文发送给最近的边缘轻量节点提交存储请求，边缘轻量节点将令牌与注册者进行关联映射，并将所有密文与数据拥有者属性列表发送给全节点进行存储；

S204、返回结果：全节点对请求进行验证和共识，并返回给轻量节点结果，轻量节点收到成功或失败的消息并转发给数据拥有者。

进一步地，步骤201中的算法1为访问控制的初始化，输入安全参数λ并输出系统的公钥PK及主密钥MK，选择一个双线性映射群和三个随机数，根据计算规则生成公钥PK和主密钥MK。

进一步地，步骤202中对合并密钥进行加密生成访问控制密文的算法2为：输入系统公钥PK、明文消息msg和访问控制结构WT，输出密文WS，访问控制结构根据线性秘密共享方案转换成矩阵M，利用选取的随机数根据计算规则组成密文。

进一步地，步骤S3的具体过程为：

S301、访问请求：数据请求者将注册证书发送给边缘节点，边缘节点将其发送给全节点进行属性验证，验证成功后全节点返回数据密文和访问控制密文给轻量节点，轻量节点将访问控制密文发送给数据请求者；

S302、密钥动态生成：边缘轻量节点根据存储的MK和证书中的属性列表，根据改进的CP-ABE密钥生成算法计算出的密钥加密发送给数据请求者；

S303、解密：数据请求者使用边缘节点发送来的密钥对访问控制密文进行解密，当数据请求者的属性符合数据拥有者定义的访问结构时，可解密得到正确的对称密钥和签名公钥，对称密钥和签名公钥用于访问控制令牌的计算和对数据密文进行签名验证；

S304、令牌对比：计算令牌发送给边缘节点对比，若一致则发送数据密文给数据请求者，数据请求者使用解密得到的对称密钥解密，并使用签名公钥进行验证。

进一步地，步骤S302中的秘钥生成算法3为：输入系统主密钥MK和属性列表Attribute，输出私钥SK。只有满足访问控制结构的属性列表才能输出正确的私钥。

进一步地，步骤S303中对访问控制密文进行解密的算法4为：输入私钥SK和密文WS，输出明文消息msg。

与现有技术相比，本发明的有益效果为：

本发明考虑到可用性和扩展性，引入移动边缘计算(MEC)和令牌机制，提出一种基于区块链的智慧社区物联网信息共享模型，首先，考虑到区块链的性能，采用基于属性访问控制的混合加密策略对异构数据进行分类，将轻量级文本数据存储到区块链全节点上，是一种基于区块链的轻量级数据存储方法。其次，本发明提出了一种基于MEC的分布式数据访问方法。通过在边缘轻量节点运行访问控制服务，降低了路由开销和请求延迟。在此场景中，设计了令牌机制，有效地减少了系统的密钥管理工作。此外，在CP-ABE访问控制算法中，本发明改进了CP-ABE算法，使用更少的配对操作和更安全的操作组，将属性数量和解密时间解耦，保证解密时间是恒定的，并将解密计算性能优化至常数级别，对于多终端共享更友好。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于区块链的访问控制在不同场景下的服务响应时间结果。

图2为本发明实施例提供的访问控制解密用时结果。

图3为本发明实施例提供的访问控制加密用时结果。

图4为本发明实施例提供的访问控制密钥生成用时结果。

图5为本发明实施例提供的访问控制密钥存储开销结果。

具体实施方式

为了更好地理解本技术方案，下面结合附图对本发明的方法做详细的说明。

本发明提供了一种基于区块链的智慧社区物联网信息共享模型，步骤如下：

1)异构数据处理：

为了实现社区物联网异构数据的统一存储，避免区块链性能瓶颈，对EMR数据进行了分类。首先，将社区数据分为文本数据和多媒体数据，并对多媒体数据进行压缩和集成，降低数据容量，提高数据质量。然后，对多媒体数据进行加密并分布式存储在边缘轻量节点中按需下载。文本数据在存储在区块链全节点之前应该进行摘要汇总，以消除冗余信息，优化存储性能。无论是边缘节点缓存还是区块链存储，都需要经过访问控制和身份验证阶段。轻量节点与全节点协同完成基于CP-ABE的数据共享。

2)基于混合加密的数据存储过程。

(1)系统准备：数据拥有者自己定义用于签名和对称加密的密钥。部署在MEC平台的区块链轻量节点执行算法1，输入安全参数λ，输出公钥PK和主密钥MK。选择一个双线性映射群par和三个随机数a、k和m，根据计算规则生成公钥PK和主密钥MK。

(2)数据加密：使用私钥对EMR数据进行签名，然后使用对称密钥对签名数据进行加密生成数据密文。将对称密钥和私钥利用哈希运算生成令牌，并用算法2对合并密钥进行加密生成访问控制密文。算法2输入系统公钥PK、明文消息msg和访问控制结构WT，输出密文WS。访问控制结构根据线性秘密共享方案转换成矩阵M并生成映射函数π，利用随机数根据计算规则组成密文。

(3)发送请求：数据拥有者将访问控制令牌及加密数据密文和加密访问控制密文发送给最近的边缘轻量节点提交存储请求。边缘轻量节点将令牌与注册者进行关联映射，并将所有密文与数据拥有者属性列表发送给全节点进行存储。

(4)返回结果：全节点对请求进行验证和共识，并返回给轻量节点结果。轻量节点收到成功或失败的消息并转发给数据拥有者。

3)基于令牌机制的数据访问流程：

上文已对存储过程进行了说明，对于数据拥有者定义的访问结构，只有满足其结构的才可正确解密，访问控制令牌的作用在于动态计算CP-ABE的密钥，节省密钥空间，数据访问的总流程如下：

(1)访问请求：数据请求者将注册证书发送给边缘节点，边缘节点将其发送给全节点进行属性验证，验证成功后全节点返回数据密文和访问控制密文给轻量节点，轻量节点将访问控制密文发送给数据请求者。

(2)密钥动态生成：边缘轻量节点根据存储的MK和证书中的属性列表，根据算法3计算出的密钥加密发送给数据请求者。算法3输入系统主密钥MK和属性列表Attribute，输出私钥SK。只有满足访问控制结构的属性列表才能输出正确的私钥。

(3)解密：数据请求者使用边缘节点发送来的密钥和算法4对访问控制密文进行解密，只有数据请求者的属性符合数据拥有者定义的访问结构时，才可解密得到正确的对称密钥和签名公钥。这两个密钥不仅可以用于访问控制令牌的计算，还可以最后对数据密文进行签名验证，保证数据的可靠性。算法4输入私钥SK和密文WS，输出明文消息msg。

(4)令牌对比：并计算令牌发送给边缘节点对比，若一致则发送数据密文给数据请求者。数据请求者使用算法4解密得到的对称密钥解密，签名公钥进行验证。

本发明使用python搭建仿真平台并实现CP-ABE算法，同时设计了仿真实验对数据共享请求的平均响应时间、解密计算性能和密钥空间开销指标与BSW、Waters等基准算法进行了对比实验。仿真分析表明，本发明所提出的方法在访问控制属性较多时的性能要优于这几种算法。具体试验如下：

为了评估本发明提出的基于区块链的智慧社区物联网信息共享方法的性能，我们使用Python搭建仿真环境并实现算法进行了仿真分析算法性能。下面对搭建的仿真环境进行简要介绍：

(1)Python版本为Python 3.8；

(2)采用128位AES对称加密算法和1024位RSA签名算法。

服务响应结果如图1所示，通过比较在相同区块链、相同用户数量和加密属性下，集中式云、远程边缘云和本地边缘云的数据共享延迟差异，验证MEC的优势。经过10次实验取平均值后得到的对比柱状图如图1所示，说明MEC的引入可以使访问控制更快得到响应。由于MEC层距离用户较近，认证服务和密钥服务得到更快的响应，进一步降低了时延。MEC的引入进一步提高了算法的效率。

为评估本发明所提出技术方案的性能，本节将本文所设计算法(改进CP-ABE)与四种对比算法的仿真实验结果进行比较分析。每组在同一属性个数时使用的访问策略都是相同的，结果取10次仿真的平均值。四种对比算法如下所示：

(1)BSW：首次提出的CP-ABE算法。

(2)Waters：一种高效且可证明安全的CP-ABE算法。

(3)CGW：通过谓词编码改进质数阶群中的双系统ABE。

(4)SPIRC：用于具有可扩展撤销的选择性访问。

实验将比较访问控制算法的解密计算性能的平均占比和处理突发流量场景过程中服务器的负载情况。实验结果如图3-5所示。

如图2所示，BSW、Waters和SPIRC方案几乎是随着属性数量的增加而线性增加的，但本方案改进CP-ABE访问控制算法方案总是花费大约0.08秒，因为我们只需要固定数量的配对操作。CGW比本方案的解密时间稍长一点，但他的加密时间损耗较大。

如图3所示，在加密操作中，本发明的CP-ABE访问控制算法时间更快，加密50组访问结构属性只需不到1秒。这是因为我们将策略转换为线性秘密共享形式，节省了大量时间。Waters和BSW的加密时间相差不大，CGW加密耗时最长。Waters和BSW在H组的指数计算比较多，所以他们在加密时间上的表现不如本方案。因为CGW在H组中的操作成本最高，所以加密时间也最多。SPIRC在加密方面的性能与我们的方案几乎相同。

如图4所示，在密钥生成上，Waters是最快的，因为它没有对高消耗的H群进行操作，而且是基于对称曲线的，而对称双线性映射存在严重的安全问题。由于CGW对非对称曲线进行了大量计算，这导致效率非常低。本方案的CP-ABE访问控制算法在非对称曲线的安全组中的操作比Waters和BSW更多，安全性和时间仅次于Waters，这也是可以接受的。一旦系统属性的数量超过30，SPIRC的密钥生成时间将比我们的方案更长。

忽略身份认证数字证书对存储空间的影响，我们比较了使用CP-ABE的访问控制策略存储访问控制信息所需的空间。对于Waters、BSW和CGW来说，无论用户是否访问数据，都需要一些空间来存储密钥，这占用了很大的空间。随着用户数量和资源的快速增长，空间消耗将呈指数级增长。如图5所示，在消息大小固定的情况下，我们观察属性从5增加到50时密钥空间的分布情况。结果显示，本方案的方法使用动态生成，使用的存储空间是固定的。CGW生成的密钥更复杂，占用存储空间最多。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，但这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于区块链的智慧社区物联网信息共享模型，其特征在于，包括以下步骤：

S1、对社区物联网设备的异构数据进行处理，采用边缘轻量节点与区块链全节点协同完成基于CP-ABE的数据共享；

S2、基于混合加密方法完成数据存储过程；

S3、基于令牌机制完成数据访问过程。

2.根据权利要求1所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤S1的具体过程为：将物联网设备数据分为文本数据和多媒体数据，对多媒体数据进行压缩和集成，对多媒体数据进行加密并分布式存储在边缘轻量节点中按需下载；对文本数据进行摘要汇总后存储在区块链全节点。

3.根据权利要求1所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤S2的具体过程为：

4.根据权利要求3所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤201中的算法1为访问控制的初始化，输入安全参数λ并输出系统的公钥PK及主密钥MK，选择一个双线性映射群和三个随机数，根据计算规则生成公钥PK和主密钥MK。

5.根据权利要求3所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤202中对合并密钥进行加密生成访问控制密文的算法2为：输入系统公钥PK、明文消息msg和访问控制结构WT，输出密文WS，访问控制结构根据线性秘密共享方案转换成矩阵M，利用选取的随机数根据计算规则组成密文。

6.根据权利要求1所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤S3的具体过程为：

S302、密钥动态生成：边缘轻量节点根据存储的MK和证书中的属性列表，根据密钥生成算法计算出的密钥加密发送给数据请求者；

7.根据权利要求1所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤S302中的秘钥生成算法3为：输入系统主密钥MK和属性列表Attribute，输出私钥SK。

8.根据权利要求1所述的基于区块链的智慧社区物联网信息共享模型，其特征在于，步骤S303中对访问控制密文进行解密的算法4为：输入私钥SK和密文WS，输出明文消息msg。