馬海峰，李玉霞，薛慶水，楊家海，高永福

（1.上海應(yīng)用技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與信息工程學(xué)院，上海 201418；2.清華大學(xué) 網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院，北京 100084）

0 引言

比特幣問世時(shí)，區(qū)塊鏈通過一系列的技術(shù)為交易系統(tǒng)提供了一定的安全性，避免了惡意交易、雙花攻擊等威脅［1］，但在隱私方面，由于區(qū)塊鏈賬本公開，區(qū)塊鏈網(wǎng)絡(luò)中所有節(jié)點(diǎn)都可以查看賬本內(nèi)容。惡意用戶可以借助爬蟲技術(shù)獲取區(qū)塊鏈平臺(tái)的服務(wù)信息，構(gòu)建用戶網(wǎng)絡(luò)拓?fù)?、交易網(wǎng)絡(luò)拓?fù)洌媒灰滋卣骷八菰醇夹g(shù)獲取隱私信息，其中包括交易隱私、賬戶地址隱私和用戶身份信息等敏感信息［2］。為了進(jìn)一步確保對(duì)用戶隱私的保護(hù)，近年來相關(guān)密碼學(xué)技術(shù)已應(yīng)用于該領(lǐng)域，如用零知識(shí)證明、屬性基加密、環(huán)簽名和聚合簽名等保證鏈上數(shù)據(jù)隱私［3-7］。然而數(shù)據(jù)的全部隱藏為非法交易提供了可乘之機(jī)，數(shù)字貨幣的濫用給政府和金融監(jiān)管機(jī)構(gòu)帶來了麻煩。人們對(duì)數(shù)字貨幣的監(jiān)管呈現(xiàn)不同態(tài)度［8］：一些人認(rèn)為用戶有保留自己的隱私和自由交易的權(quán)力，因此貨幣系統(tǒng)應(yīng)該全匿名且不受監(jiān)管；另一部分人認(rèn)為監(jiān)管必不可少，這將大幅減少違法犯罪活動(dòng)。實(shí)際應(yīng)用中，貨幣系統(tǒng)需要在隱私性和可監(jiān)管之間取得某種平衡才能更好地發(fā)展，設(shè)計(jì)一種在隱私保護(hù)的同時(shí)又能實(shí)現(xiàn)監(jiān)管的區(qū)塊鏈方案很有意義。

隨著區(qū)塊鏈數(shù)據(jù)隱私保護(hù)的研究明顯增多，區(qū)塊鏈的安全性得到了一定提升。然而，區(qū)塊鏈應(yīng)用的復(fù)雜程度在不斷增長，許多學(xué)者提出一些可監(jiān)管的區(qū)塊鏈隱私保護(hù)方案。Yuan 等［9］利用密文策略屬性基加密（Ciphertext Policy Attribute Based Encryption，CP-ABE）實(shí)現(xiàn)了一種私有鏈的數(shù)據(jù)隱私保護(hù)及監(jiān)管機(jī)制，并應(yīng)用于電子文檔的管理。該方案允許任何第三方驗(yàn)證公開解密密鑰的身份，允許審計(jì)師公開審計(jì)惡意用戶或當(dāng)局是否應(yīng)對(duì)公開解密密鑰負(fù)責(zé)，密鑰濫用者不能否認(rèn)。Xue 等［10］集成多種加密技術(shù)，使用概率公鑰加密、基于身份標(biāo)識(shí)加密（Identity-Based Cryptograph，IBC）、Pedersen 承諾和零知識(shí)證明等實(shí)現(xiàn)區(qū)塊鏈隱私保護(hù)和監(jiān)管功能。雖然該算法在安全性和隱私性方面有很大優(yōu)勢(shì)，但性能和效率上需進(jìn)一步提升才能實(shí)現(xiàn)應(yīng)用。趙曉琦等［11］提出了一種可審計(jì)的區(qū)塊鏈匿名交易方案，使用Elgamal 加密隱藏交易數(shù)據(jù)，用隱地址實(shí)現(xiàn)監(jiān)管；但交易金額需審計(jì)方審計(jì)，交易越多，審計(jì)時(shí)間越長，所以應(yīng)改進(jìn)優(yōu)化審計(jì)策略，提高審計(jì)效率。Hill 等［12］設(shè)計(jì)了一種隱私保護(hù)協(xié)議，通過把密鑰和文件分割來增強(qiáng)供應(yīng)鏈中的數(shù)據(jù)可用性和隱私性。審計(jì)方是供應(yīng)鏈中數(shù)據(jù)的唯一參與者，負(fù)責(zé)解決參與者之間的爭(zhēng)議，但該協(xié)議只針對(duì)供應(yīng)鏈，未廣泛應(yīng)用。Feng 等［13］提出一種基于可搜索屬性加密的區(qū)塊鏈數(shù)據(jù)隱私保護(hù)訪問控制方案。該方案利用基于密文策略的屬性加密來加密陷門密鑰，并使用可搜索加密加密區(qū)塊鏈上的交易，但該方案屬性機(jī)構(gòu)必須完全可信，而且用戶可能合謀訪問無權(quán)訪問的數(shù)據(jù)。

本文主要針對(duì)文獻(xiàn)［13］中存在的屬性機(jī)構(gòu)權(quán)力過大和用戶合謀問題，提出新的訪問控制方案，同時(shí)實(shí)現(xiàn)區(qū)塊鏈的可監(jiān)管。本文工作如下：

1）提出使用多屬性機(jī)構(gòu)的屬性基加密方案實(shí)現(xiàn)區(qū)塊鏈的隱私保護(hù)。解密密鑰不依賴于單一機(jī)構(gòu)產(chǎn)生，更符合區(qū)塊鏈去中心化的性質(zhì)，最主要的是一個(gè)機(jī)構(gòu)被攻破，非法用戶也無法獲取密鑰解密文件。相較于單一機(jī)構(gòu)必須完全可信，有更大的容錯(cuò)空間。

2）為了防止用戶合謀訪問無權(quán)訪問的數(shù)據(jù)，用戶在請(qǐng)求解密密鑰組件時(shí)，需將自己的身份標(biāo)識(shí)符ID 和屬性集都發(fā)送給屬性機(jī)構(gòu)。由此生成的私鑰組件就跟該用戶綁定，只有該用戶能用。同一用戶的私鑰組件才能合成解密密鑰，用戶間就不能合謀生成解密密鑰訪問權(quán)限外的數(shù)據(jù)。

3）使用基于身份的簽名（Identity-Based Signature，IBS）方案修改后的簽名算法生成交易密鑰。該方案既保密了用戶身份，又能建立用戶身份與用戶錢包地址之間的鏈接，以此實(shí)現(xiàn)區(qū)塊鏈的可監(jiān)管。

1 基礎(chǔ)知識(shí)

1.1 雙線性映射

取階數(shù)為素?cái)?shù)q的乘法循環(huán)群G0、G1。對(duì)于群的隨機(jī)生成器，存在滿足以下屬性的雙線性對(duì)映射：

1）雙線性性。對(duì)所有u，v∈G0；a，b∈Zp，等 式e(ua，vb)=e(u，v)ab成立。

2）非退化性。存在元素u，v∈G0，e(u，v) ≠1。

3）可計(jì)算性。對(duì)任意u，v∈G0，有一種多項(xiàng)式時(shí)間算法用于計(jì)算e(u，v)。

1.2 線性秘密共享方案

密碼學(xué)者已經(jīng)提出了很多線性秘密共享方案（Linear Secret Sharing Scheme，LSSS），且這些方案在安全性和效率上都在逐步提升。LSSS 是Shamir 秘密共享方案的一般性推廣。線性秘密共享方案在參與組上滿足以下條件：

1）各方參與者的份額來自矩陣Zp。定義一個(gè)c行d列的分享生成矩陣M，該矩陣對(duì)應(yīng)的秘密共享方案為∏。函數(shù)ρ將M第i行的參與者標(biāo)記定義為本文把行向量看作共享的秘密，其中v2，v3，…，vc∈Zp隨機(jī)選擇。Mv是根據(jù)秘密共享方案∏得出的秘密份額，份額(Mv)i∈ρ(i)。

2）假設(shè)∏是訪問結(jié)構(gòu)的LSSS。假設(shè)Su∈A是屬性機(jī)構(gòu)的任意子集，A是屬性集合，I∈{1，2，…，l}。如果{λi}是∏中的有效秘密份額，將會(huì)有一個(gè)常數(shù)使S。此外，這些常數(shù){wi}可以在共享生成器矩陣M的多項(xiàng)式時(shí)間中找到。

1.3 判定性雙線性Diffie-Hellman假設(shè)

設(shè)G1和G2是階q為素?cái)?shù)的乘法循環(huán)群。選擇一個(gè)生成器g∈G1，選擇參數(shù)得 到ga，gb，gc∈G1，e(g，g)abc，e(g，g)r∈G2。判 定e(g，g)abc和e(g，g)r∈G2的 關(guān)系是否相等。

定義1對(duì)于任意多項(xiàng)式概率時(shí)間算法敵手A，DBDH假設(shè)的優(yōu)勢(shì)定義為：

其 中：A(ga，gb，gc，e(g，g)abc)表示對(duì)手A 接收輸入?yún)?shù)ga、gb、gc，并嘗試確定配對(duì)e(g，g)abc是否成立；A(ga，gb，gc，e(g，g)r)代表修改版本，是一個(gè)隨機(jī)值r指數(shù)化到雙線性映射。如果測(cè)定值可以忽略不計(jì)，則將建立判定性雙線性Diffie-Hellman 假設(shè)。

2 系統(tǒng)模型

本文方案提出的基于屬性基加密的隱私保護(hù)方案包含的實(shí)體有：用戶（User）、數(shù)據(jù)擁有者（Data Owner，DO）、多屬性權(quán)威機(jī)構(gòu)（Multi-attribute Authority，MA）、密鑰提供商（Key server）、監(jiān)管節(jié)點(diǎn)（Regulation node），如圖1 所示。

圖1 系統(tǒng)模型Fig.1 System model

用戶 向系統(tǒng)提出注冊(cè)請(qǐng)求，生成身份標(biāo)識(shí)符，組合每個(gè)屬性機(jī)構(gòu)（Attribute Authority，AA）生成的私鑰構(gòu)件，形成解密加密數(shù)據(jù)的私鑰。用戶ID 作為生成用戶屬性私鑰的參數(shù)，用于防止用戶共謀訪問無權(quán)訪問的數(shù)據(jù)。

數(shù)據(jù)擁有者 對(duì)交易簽名和加密。數(shù)據(jù)擁有者為區(qū)塊鏈系統(tǒng)中的用戶。

多屬性權(quán)威機(jī)構(gòu) 每個(gè)授權(quán)機(jī)構(gòu)獨(dú)立管理每類屬性，不同授權(quán)機(jī)構(gòu)生成的私鑰組件共同組成用戶解密密鑰。監(jiān)管過程中向監(jiān)管節(jié)點(diǎn)授權(quán)屬性密鑰。

密鑰提供商 根據(jù)用戶提交的ID 和隨機(jī)值計(jì)算用戶簽名公私鑰對(duì)的重要組成部分，并通過秘密通道發(fā)送給用戶。在監(jiān)管節(jié)點(diǎn)監(jiān)測(cè)到非法用戶時(shí)，向監(jiān)管節(jié)點(diǎn)提供非法用戶的真實(shí)身份。

監(jiān)管節(jié)點(diǎn) 監(jiān)管節(jié)點(diǎn)負(fù)責(zé)對(duì)交易監(jiān)管，但不參與交易過程。該方案假定監(jiān)管節(jié)點(diǎn)可信，只有在屬性機(jī)構(gòu)授權(quán)屬性密鑰后，監(jiān)管節(jié)點(diǎn)才能解密非法交易內(nèi)容，揭露用戶身份，區(qū)塊鏈賬本中的正常交易信息對(duì)監(jiān)管節(jié)點(diǎn)不可見。

3 本文方案具體構(gòu)造

本文方案包含隱私保護(hù)部分和監(jiān)管部分兩個(gè)部分。

針對(duì)隱私保護(hù)部分，基本思路是采用多屬性機(jī)構(gòu)的屬性基加密實(shí)現(xiàn)鏈上數(shù)據(jù)的訪問控制，通過限制訪問數(shù)據(jù)的用戶避免賬本公開帶來的安全隱患。每個(gè)屬性機(jī)構(gòu)根據(jù)用戶的屬性集為它生成私鑰構(gòu)件，只有滿足訪問結(jié)構(gòu)的用戶才能解密交易密文。為了防止用戶間合謀訪問無權(quán)訪問的數(shù)據(jù)，本方案使用用戶身份作為密鑰組件的標(biāo)識(shí)，只限定該密鑰組件由單一用戶使用。

針對(duì)監(jiān)管部分，基本思路是在交易生成時(shí)，交易雙方需對(duì)交易簽名。密鑰提供商為用戶提供簽名密鑰，對(duì)交易簽名不會(huì)泄露身份隱私。監(jiān)管節(jié)點(diǎn)隨機(jī)選擇交易驗(yàn)證用戶身份。授權(quán)監(jiān)管節(jié)點(diǎn)通過錢包地址和交易信息獲取交易者的身份，驗(yàn)證是否為誠實(shí)用戶。若為非法用戶，監(jiān)管節(jié)點(diǎn)揭露非法用戶的真實(shí)身份，并將其錢包地址拉入黑名單。

為了方便理解，表1 列出了文章中出現(xiàn)的部分符號(hào)。

表1 符號(hào)定義Tab.1 Symbol definitions

本文方案的兩個(gè)主要部分劃分為以下7 個(gè)步驟：

1）初始化。

系統(tǒng)初始化 在群G0中選擇素?cái)?shù)p，使用元素g生成組，在限制域中選N個(gè)元素，根據(jù)系統(tǒng)屬性生成系統(tǒng)屬性集S=(ω1，ω2，…，ωN)，ωi∈Zp，Zp是整數(shù)集合。選擇兩個(gè)隨機(jī)值α，a∈Zp。公共參數(shù)pp={e，G0，G1，g1，g2，p}定義雙線性映射e：G0× G0→G1。數(shù)據(jù)所有者選擇兩個(gè)隨機(jī)數(shù)μ、η，計(jì)算公鑰PK={g，gμ}，g是群G0的生成元。

AA 初始化 假定有x個(gè)屬性機(jī)構(gòu)p{A1，A2，…，Ax}，每個(gè)屬性機(jī)構(gòu)管理一類屬性集合，Ai運(yùn)行初始化算法把公共參數(shù)pp作為輸入，得到每個(gè)屬性機(jī)構(gòu)的公私鑰對(duì)。屬性機(jī)構(gòu)保存密鑰，公布公鑰。

2）用戶注冊(cè)。

用戶向系統(tǒng)提出注冊(cè)申請(qǐng)，獲得與用戶身份相對(duì)應(yīng)的身份標(biāo)識(shí)和屬性集是系統(tǒng)屬性集合，ωi是屬性。用戶提交{ID，r*p}給密鑰服務(wù)商，其中代表用戶身份。密鑰服務(wù)商驗(yàn)證ID的有效性，如果有效，則運(yùn)行密鑰生成算法QID=H2(ID，r*p)，SID=a*QID=a*H2(ID，r*p)，并把私鑰SID通過安全通道發(fā)送給用戶。簽名公鑰pksig=QID=H2(ID，r*p)，私鑰sksig=(SID，r*)=(a*QID，r*)。在該方案中，用戶的公鑰不是真實(shí)身份，而是由隨機(jī)值生成的隨機(jī)化的身份散列，這就隱藏了簽名者的身份。通過密鑰生成算法，用戶可以通過選擇不同的隨機(jī)值{ai*}生成不同的密鑰對(duì)，以此建立了用戶身份和用戶錢包地址之間的連接。錢包密鑰對(duì)的生成如圖2。

圖2 錢包密鑰對(duì)生成Fig.2 Wallet key pair generation

3）交易產(chǎn)生及簽名。

4）加密。

(m，(M，ρ)，pp) →Cw。數(shù)據(jù)擁有者運(yùn)行加密算法，輸入公共參數(shù)pp、訪問控制策略(M，ρ)和交易信息m，得到交易密文Cw。

5）密鑰生成。

(ID，Su，SKi) →USKuid：用戶向AA 提交申請(qǐng)，AA 根據(jù)用戶標(biāo)識(shí)符ID、用戶屬性集Su∈S和主密鑰生成私鑰構(gòu)件USKuid。用戶拿到所有AA 生成的私鑰構(gòu)件，計(jì)算自己的私鑰SKT。

6）解密。

(UID，PK，Cw，SKT) →m：算法由數(shù)據(jù)使用者執(zhí)行。該算法將用戶身份UID、公共參數(shù)pp、密文Cw和用戶生成的密鑰SKT作為輸入。當(dāng)訪問策略滿足時(shí)，輸出交易明文m；否則輸出為空。

7）監(jiān)管。

若對(duì)交易信息有異議，授權(quán)監(jiān)管節(jié)點(diǎn)希望驗(yàn)證用戶身份，它將通過輸入授權(quán)屬性密鑰和密文運(yùn)行解密算法對(duì)交易信息解密，該算法返回一個(gè)身份ID'，監(jiān)管節(jié)點(diǎn)通過計(jì)算pk=并把它和錢包地址pkai比較驗(yàn)證身份：如果相等，則ID'=IDA，A 是誠實(shí)用戶；否則，監(jiān)管節(jié)點(diǎn)向密鑰提供商發(fā)送請(qǐng)求以得到用戶的真實(shí)身份A，并把錢包地址IDA添加到黑名單。

4 方案分析與比較

4.1 安全模型

CP-ABE 方案的安全模型與基于身份加密（Identity-Based Encryption，IBE）方案類似，允許敵手對(duì)任意的密鑰（不包括能夠解密挑戰(zhàn)密文的密鑰）進(jìn)行逆向詢問。敵手會(huì)選擇挑戰(zhàn)一個(gè)滿足訪問結(jié)構(gòu)p*的密文，并能對(duì)任何不滿足p*的屬性集合S*進(jìn)行密文詢問。CP-ABE 方案的選擇明文攻擊下的不可區(qū)分游戲（記為IND-CP-ABE-CPA 游戲）如下：

1）初始化。由挑戰(zhàn)者運(yùn)行，產(chǎn)生系統(tǒng)參數(shù)params并將它發(fā)送給敵手。

2）階段1。敵手發(fā)出對(duì)屬性集合S*的密鑰產(chǎn)生詢問。挑戰(zhàn)者運(yùn)行密鑰產(chǎn)生算法，產(chǎn)生與S*對(duì)應(yīng)的密鑰SK*，并發(fā)送給敵手，這個(gè)過程可以進(jìn)行多項(xiàng)式有界次問詢。

3）挑戰(zhàn)。敵手提交兩個(gè)長度相等的消息m0和m1。此外，敵手選定一個(gè)想要挑戰(zhàn)的訪問結(jié)構(gòu)p*，其中敵手在階段1中詢問過的屬性集合均不能滿足此訪問結(jié)構(gòu)。挑戰(zhàn)者選擇隨機(jī)數(shù)b∈{0，1}，并以p*加密mb將密文給敵手。

4）階段2。敵手發(fā)出對(duì)屬性集合S*的密鑰產(chǎn)生詢問，唯一的限制是這些S*均不能滿足挑戰(zhàn)階段的訪問結(jié)構(gòu)p*。挑戰(zhàn)者以階段1 中的方式進(jìn)行回應(yīng)，這個(gè)詢問過程可進(jìn)行多項(xiàng)式有界次。

5）猜測(cè)。敵手輸出猜測(cè)b' ∈{0，1}，如果b'=b，則敵手攻擊成功。

4.2 安全分析

以下將證明在隨機(jī)預(yù)言模型下，本文方案是安全的。

定理1基于DBDH 假設(shè)，如果本文方案可以抵抗選擇明文攻擊（Chosen Plaintext Attack，CPA），則本文方案是CPA安全的。

證明 假設(shè)一個(gè)概率多項(xiàng)式時(shí)間，敵手可以利用優(yōu)勢(shì)?攻擊。證明以下DBDH 游戲可以被敵手A 以優(yōu)勢(shì)攻擊。e：G0× G0→G1是雙線性映射，其中G 是生成元為g、階為p的循環(huán)群。挑戰(zhàn)者隨機(jī)選擇a，b，c，z∈Zp，u∈{0，1}：如果u=0，(g，A，B，C，Z)=(g，ga，gb，gc，e(g，g)abc)；如 果u=1，(g，A，B，C，Z)=(g，ga，gb，gc，e(g，g)z)。

初始化 敵手至少控制兩個(gè)授權(quán)權(quán)限，挑戰(zhàn)者控制其余權(quán)限。敵手確認(rèn)了LSSS 訪問結(jié)構(gòu)的挑戰(zhàn)。挑戰(zhàn)者隨機(jī)選擇a=ξ，b=ψ，c=ζ，且隨機(jī)數(shù)ξ，ψ，ζ∈Zp，并 把Y：e(A，B)=e(g，g)ab發(fā)給敵手。

階段1 敵手根據(jù)屬性集要求提供許多他想要的私鑰，但這些私鑰不滿足訪問結(jié)構(gòu)。在收到身份為RID 的敵手的私鑰請(qǐng)求時(shí)，挑戰(zhàn)者隨機(jī)選擇βRID，k∈Zp并計(jì)算每個(gè)屬性k∈S的私鑰組件

階段2 重復(fù)階段1。

猜測(cè) 敵手提交的猜想θ'，當(dāng)θ=θ'時(shí)，如果θ=0，代表挑戰(zhàn)者的模擬器將輸出(g，ga，gb，gc，e(g，g)abc)，否則輸出DBDH 數(shù)組(g，ga，gb，gc，e(g，g)z)。如果θ=1，敵手無法獲得有用信息，他的優(yōu)勢(shì)Pr=；當(dāng)θ=0，他的優(yōu)勢(shì)是Pr=所以在DBDH 游戲中，敵手的概率多項(xiàng)式時(shí)間如果游戲中的多項(xiàng)式時(shí)間是?，敵手不可忽視的優(yōu)勢(shì)是因此基于DBDH 假設(shè)，敵手在該安全游戲中沒有優(yōu)勢(shì)，這表示本文方案是安全的。

4.3 隱私保護(hù)分析

內(nèi)容隱私 本文采用基于密文策略的屬性基加密技術(shù)實(shí)現(xiàn)對(duì)交易信息的訪問控制，與對(duì)稱密碼技術(shù)相比，本文技術(shù)更加安全。在交易密文生成后，只有屬性滿足訪問策略的用戶才能解密交易數(shù)據(jù)，杜絕了區(qū)塊鏈賬本對(duì)所有節(jié)點(diǎn)公開所帶來的一系列安全問題。在解密私鑰生成的過程中，引入了用戶標(biāo)識(shí)符，限制解密密鑰只能單一用戶使用，因此，即使想串通，屬性不滿足訪問結(jié)構(gòu)的用戶也不能解密交易信息。所以本文方案對(duì)內(nèi)容隱私的保護(hù)是合格且安全的。

身份隱私 本文使用新的簽名算法代替橢圓曲線簽名生成錢包密鑰對(duì)。用戶的公鑰不是真實(shí)身份，而是由隨機(jī)值生成的隨機(jī)化的身份散列。通過密鑰生成算法，用戶可以通過選擇不同的隨機(jī)值生成不同的密鑰對(duì)。只有監(jiān)管節(jié)點(diǎn)在得到屬性密鑰授權(quán)的情況下才可以得到用戶的真實(shí)身份，如果用戶非法才能揭露其身份。

4.4 方案比較

文獻(xiàn)［14］中提出了一種基于聚合簽名的區(qū)塊鏈簽名方案，當(dāng)事務(wù)有n個(gè)輸入地址和m個(gè)輸出地址時(shí)，簽名數(shù)可以從n減少到1，接收方的身份隱私得到有效保護(hù)，但交易金額是公開的，同時(shí)沒有監(jiān)管功能。文獻(xiàn)［15］中使用環(huán)簽名的匿名性確保區(qū)塊鏈應(yīng)用中的數(shù)據(jù)安全和用戶身份隱私。文獻(xiàn)［16］中提出使用屬性基加密的方案，把解密密鑰分為兩部分，一部分放到DO，一部分放到屬性機(jī)構(gòu)，這分散了屬性機(jī)構(gòu)的權(quán)力，防止屬性機(jī)構(gòu)間的合謀但并沒有設(shè)計(jì)監(jiān)管功能。文獻(xiàn)［17］中使用公鑰密碼實(shí)現(xiàn)可搜索關(guān)鍵字的區(qū)塊鏈檢索隱私保護(hù)機(jī)制，讓DO 在什么都不知道的情況下驗(yàn)證檢索請(qǐng)求中的關(guān)鍵字授權(quán)，但該方案不涉及防合謀和不可連接。從表2 可以看出，本文使用多屬性機(jī)構(gòu)的屬性基加密方案實(shí)現(xiàn)了區(qū)塊鏈數(shù)據(jù)的隱藏，同時(shí)防止了用戶間合謀。修改后的簽名算法能在有效保護(hù)用戶身份隱私的同時(shí)實(shí)現(xiàn)用戶可追蹤，保證了鏈上交易安全。

表2 本文方案與其他隱私保護(hù)方案比較Tab.2 Comparison of proposed scheme and other privacy protection schemes

5 實(shí)驗(yàn)驗(yàn)證

在Ubuntu18.04 系統(tǒng)中搭建了Hypeledger Fabric 實(shí)驗(yàn)環(huán)境，在CPU 為Intel Core i7-7500U@3.5 GHz 的電腦上運(yùn)行。

圖3 顯示了運(yùn)行密鑰生成算法和加密所產(chǎn)生的密鑰生成時(shí)間和加密時(shí)間的測(cè)量結(jié)果。該實(shí)現(xiàn)基于512 位有限域上的超奇異橢圓曲線y2=x3+x的160 位橢圓曲線組。在測(cè)試環(huán)境中，PBC 庫可以在大約5.5 ms 內(nèi)計(jì)算配對(duì)，G0和G1的求冪分別需要大約6.4 ms 和0.6 ms。隨機(jī)選擇元素也是一項(xiàng)重要的操作，G0需要16 ms，G1需要1.6 ms。

圖3 密鑰生成和加密所需時(shí)間Fig.3 Time required for key generation and encryption

從圖3 中可以看出：密鑰生成所需時(shí)間與它所包含的密鑰相關(guān)的屬性數(shù)幾乎是線性的；加密鏈上數(shù)據(jù)的時(shí)間與訪問策略中葉子節(jié)點(diǎn)數(shù)幾乎是完全線性的。內(nèi)部節(jié)點(diǎn)的運(yùn)算相當(dāng)于適度的乘法運(yùn)算，不會(huì)顯著增加運(yùn)行時(shí)間。即使對(duì)于更大的問題實(shí)例，這兩種方法仍然可行。

現(xiàn)存的區(qū)塊鏈隱私保護(hù)方案大多存在設(shè)計(jì)臃腫、開銷大和實(shí)用性低等問題。為了驗(yàn)證所提方案在區(qū)塊鏈應(yīng)用中的可行性，將本文方案設(shè)計(jì)的加密和簽名方案加入本地搭建的私鏈中進(jìn)行仿真實(shí)驗(yàn)。實(shí)驗(yàn)主要對(duì)比區(qū)塊生成速度，因區(qū)塊生成過程包含交易生成、驗(yàn)證、數(shù)據(jù)上鏈等過程，所以鏈中塊的生成速度是區(qū)塊鏈隱私保護(hù)方案效率的直觀體現(xiàn)。圖4給出本文方案與文獻(xiàn)［15，17］方案在生成相同區(qū)塊數(shù)時(shí)所花費(fèi)的時(shí)間對(duì)比。從圖4 可以看出，相較于文獻(xiàn)［15，17］方案，本文方案在生成相同區(qū)塊數(shù)時(shí)時(shí)間更少，效率更高，證明了所提方案具有可行性。

圖4 區(qū)塊生成時(shí)間對(duì)比Fig.4 Comparison of block generation time

6 結(jié)語

由于使用區(qū)塊鏈技術(shù)存儲(chǔ)交易信息的全球賬本對(duì)加入?yún)^(qū)塊鏈網(wǎng)絡(luò)的任何節(jié)點(diǎn)開放，帶來的安全性問題阻礙了區(qū)塊鏈的推廣，區(qū)塊鏈的隱私保護(hù)受到了許多關(guān)注。隨著區(qū)塊鏈的應(yīng)用越來越廣泛，復(fù)雜程度也在增加，區(qū)塊鏈和屬性基加密結(jié)合很有必要。本文利用MA-ABE 實(shí)現(xiàn)對(duì)鏈上數(shù)據(jù)的訪問控制和交易隱私保護(hù)，利用修改后的IBS 方案建立用戶身份與錢包地址之間的鏈接，以此來實(shí)現(xiàn)對(duì)用戶的監(jiān)管。相較于文獻(xiàn)［13］方案，解除了單一屬性機(jī)構(gòu)必須完全可信的限制，并防止了用戶間合謀訪問無權(quán)訪問的數(shù)據(jù)。在隱私保護(hù)的同時(shí)引入監(jiān)管機(jī)制，在檢測(cè)到非法交易時(shí)，把用戶錢包地址拉入黑名單，這將大幅降低非法交易的可能。最后經(jīng)過安全分析和實(shí)驗(yàn)驗(yàn)證，證明了所提方案的安全性和有效性。