中图分类号:TP309.2 文献标识码:A 文章编号:2096-4706(2025)07-0168-06
Abstract:Aiming at the access control problems ofstudent information,this paper proposes a student informationsecurity sharingschemebasedonconsortium blockchainandCP-ABE.Theschemestorestheaccess policyintheconsortiumblockchain through theon-chainandof-chaincolaborativestorage mechanism,andstorestheencryptedstudentinformationinthecloud service,whichcannotonlyreduce theon-chainstoragecost,butalsoensurethesafe storage and efective sharingof student information.Atthesametime,CP-ABEtechnologyiscombinedwithsmartcontract,andthekeygenerationandaescontrol strategyof CP-ABEare automaticall processed byusing the automatic execution abilityofsmartcontract,soastorealize the instant,utomaticandfinegraedaccessmanagementofstudentinformation.Throughthesecurityanalysisandexpermental verificationoftheseme,theresultsshowthattheschemehasgoodsecurityandavailabilitycanefectivelysolvetheacess control problemof student information,and providesanewideaand methodforinformationsecuritysharing inthefeldof education.
Keywords:data sharing; consortium blockchain; CP-ABE; smart contract; access control
0 引言
信息技术的迅猛发展使得Web应用成为信息时代的关键部分。从最初的CS架构到现在的云计算和大数据,Web应用架构持续进化,以应对不断增长的数据量和用户需求。CS架构通过在客户端和服务器端分配应用逻辑,实现了应用的高效执行和迅速响应。然而,随着应用的复杂性和数据量的增加,这种模式在数据安全和隐私保护方面面临着挑战。
区块链技术是一种新兴的分布式账本技术,在教育领域得到了广泛的应用。朱建明等[讨论了区块链技术在教育领域的应用,认为它不仅有助于解决教育数据共享和隐私保护问题,还能与人工智能、大数据、云计算等技术结合,推动教育信息化发展。宋桂平等[2研究了如何通过云端实现高校学生管理系统的数据存储、管理、备份和恢复,确保数据安全和可靠。郑旭东等[3构建并应用了基于区块链的学生综合素质评价系统,提高了学生综合素质评价的效率。殷艳菲等[利用区块链技术构建了一个学生档案共享的可信性保护框架,实现学生档案信息共享密钥的生成和分发,保障了学生档案信息的安全共享。近年来,也提出了一些利用区块链技术实现数据共享和管理的方案。Dagher等[5提出了一种区块链高效数据访问方案,通过智能合约实现访问控制,并用代理重加密技术保护数据安全。Gao等[提出了一个区块链访问控制方案,支持可信数据访问和隐私保护,同时提出了优化的隐藏策略CP-ABE方案,使用ELGamal密码系统保护属性隐私。Pratima等[提出了一种结合区块链和CP-ABE的云存储方案,支持用户撤销权限,并通过智能合约提供多种服务。杨小东等[提出了一种利用区块链技术和属性加密技术的办公数据安全共享方案。董祥千等[借助区块链技术建立了一种全新的去中心化数据共享模型,借助安全多方计算及差分隐私技术保障数据所有者的计算和输出隐私。然而,传统存储和共享方式存在数据泄露、篡改和非法访问的风险,这不仅可能泄露学生身份信息,还会威胁学生的隐私和安全。
因此,针对目前学生信息管理所存在的安全存储和访问问题,本文采用链上链下协同存储技术,将属性集合和元数据的哈希值上传至联盟链,实际的学生信息存储在云存储服务中,降低了链上数据的存储开销。学生数据需要加密存储,但传统加密方法只能提供粗略的访问控制,加密者只能通过共享密钥来授权用户访问,无法指定特定用户访问数据。为解决此问题,本文通过集成CP-ABE和智能合约实现精细的访问控制,加密者在加密时根据用户凭证属性设定访问策略,对数据加密,实现数据的细粒度共享。利用智能合约自动化管理CP-ABE密钥生成和访问控制策略,实现对学生信息访问的即时、自动化管理。CP-ABE适合大规模数据共享环境,因为它能够基于用户属性动态授权而非固定身份,使得数据能更灵活地共享给符合条件者。在用户种类多、数量大的学生信息管理中,本文使用CP-ABE来实现对于学生数据的细粒度访问控制。
1背景知识
1.1 联盟链
联盟链是一种区块链类型,不同于公有链(如比特币或以太坊)和私有链。联盟链一般由一组预定的成员组织(企业或机构)构成,共同制定区块链的规则和权限。联盟链采用与公有链不同的共识机制,比如拜占庭容错算法或其他适合少数参与者的算法,这些机制通常比公有链的PoW或PoS更高效。由于联盟链的节点数量有限,并且节点之间是已知的,所以联盟链在性能和交易速度上可以优于公有链,这使得联盟链适合处理大量交易的商业应用。
1.2 CP-ABE算法
属性基加密[]方案分为基于密文策略的属性基加密(CP-ABE)[]和基于密钥策略的属性基加密(KP-ABE)。KP-ABE用户的密钥中包含策略,解密时通过密钥的策略控制访问,但加密者无法控制访问策略,只能依赖密钥策略,灵活性较低。CP-ABE允许加密者定义访问策略,可以对加密数据进行细粒度的控制。因此对于学生信息安全共享,本文选用CP-ABE,允许加密者定义具体的访问控制策略,比如根据学生的班级、学科等属性来决定谁可以访问特定的信息。这种细粒度的控制更符合保护敏感学生数据的需求,能够提供更高的安全性和灵活性。CP-ABE算法步骤如下:
1)初始化:输入安全参数k,得到公共参数PK和主密钥MK。2)加密:输入公共参数PK、明文M和访问结构T,加密得到密文CT。3)私钥生成:输入属性集合S和主密钥MK,得到解密密钥SK。4)解密:输入密文CT、解密密钥SK和公共参数PK,进行解密得到明文消息 M 。
1.3 智能合约
智能合约[12]是利用区块链技术开发的,通过编程语言编写并存储于区块链中。它们能够自动执行多种任务,比如在交易中自动检查条件并转移资金,无须第三方介入。智能合约的执行环境多在以太坊等区块链平台上,这些平台提供了必要的软硬件设施,确保智能合约在全球范围内安全运作。图1为智能合约的运行原理图。
2 方案设计
2.1方案整体架构设计
在基于联盟链和CP-ABE的学生信息安全共享方案中,采用CP-ABE算法对学生信息进行加密,并将加密后的数据上传至云存储服务,将数据摘要和访问控制策略上传至联盟链存储。然后使用CP-ABE与智能合约集成,利用智能合约自动化管理CP-ABE密钥生成和访问控制策略,实现安全共享。本方案由五部分组成,分别是学生信息管理者、密钥生成中心(KGC)、第三方用户、联盟链和云存储服务,具体内容如下:
1)学生信息管理者:学生信息管理者拥有未加密的学生信息,例如个人信息、学习成绩、课程参与情况等属性,这些属性将用于生成其私钥。
2)密钥生成中心(KGC):执行系统初始化算法,并生成公共参数PK给学生信息管理者。根据不同的用户角色分配相应的凭证属性并生成对应的解密密钥,从而实现不同的访问权限,达到细粒度的访问控制。
3)第三方用户:申请访问学生信息的个体,包括学生自己、教师或其他组织,如教育部门、招聘单位等。
4)联盟链:联盟链由多所学校和智能合约构成,存储学生上传的密文摘要以及对应密文的访问策略。为防止数据被恶意篡改,存储数据的信息也会在联盟链上记录下来,使用户可以根据存储信息找到云存储服务器中的加密信息。另外,联盟链也会记录数据的上传和访问操作,进而有效防止恶意否认数据访问的行为。
5)云存储服务:主要存储加密数据。如果将所有大量学生信息直接存储在联盟链上,代价过于昂贵,使用云存储可以降低存储成本。联盟链通常对存储容量有一定限制,而云存储服务提供了大规模的存储能力,使得加密后的学生信息可以被有效地存储和管理。方案框架如图2所示。
图2方案整体架构2.2方案实施流程
基于联盟链和CP-ABE的学生信息安全共享方案分为3步:初始化、数据加密存储、数据访问和解密。具体内容如下:
1)初始化。首先,密钥生成中心对学生信息属性空间进行初始化,并分配相应的凭证属性,然后执行初始化算法Setup以生成加密和解密所需的公共参数PK和主密钥MSK。
2)数据加密存储。学生信息管理者根据共享数据的需求制定相应的访问控制策略A。本方案中的访问策略是由用户属性以及逻辑词组成的,例如可以制定一个访问策略为{计算机学院OR(研二AND区块链)},根据这个访问策略,用户只是研二或只是具备区块链属性是无法完成匹配的,而所有计算机学院的用户则满足访问策略。同时,执行加密算法Encrypt对学生信息加密,生成密文CT和数据摘要。加密后,将加密数据上传至云存储,并将访问策略A及数据摘要上传至联盟链存储。访问控制策略被编码成智能合约,在联盟链上部署,以便用户申请访问时自动执行访问控制。
3)数据访问和解密。当第三方用户需要访问学生信息时,需要获得能够解密数据的解密密钥。首先,第三方用户向联盟链发送数据访问请求,该行为会被联盟链记录,以防止第三方否认自己的行为。智能合约接收到访问请求后,查找与之对应的属性集合S并发送给KGC,KGC利用CP-ABE密钥生成算法为用户生成私钥,通过属性集合S和主密钥MSK,执行私钥生成算法KeyGen,得到解密密钥SK,发送给第三方用户。
第三方用户得到加密数据CT和私钥SK后,执行解密算法Decrypt,只有当用户的属性集合满足访问策略时,才能够正确解密获得明文。用户解密数据后生成摘要值,与区块链存储的摘要值比对,以检验数据完整性。若摘要值匹配,则说明数据在传输或存储中未被篡改,确认访问的数据完整未修改。方案流程图如图3所示。
3 方案分析
3.1 安全性分析
在加密存储过程中,加密数据被安全上传到云存储服务,访问策略记录在不可篡改的联盟链上,保障了数据完整性和访问透明性。此外,智能合约的部署自动化了访问控制流程,使得任何访问请求都必须经过严格的验证,从而在数据加密、存储和访问控制的每个环节都提供了强大的安全性保障。
只有那些持有与加密数据的访问策略相匹配的私钥的用户才能解密数据。用户私钥由密钥生成中心(KGC)根据属性动态生成,并与访问策略紧密相关。用户请求访问数据时,智能合约会检查用户属性是否符合密文访问策略,只有验证通过的用户才能解密密文。解密过程包含复杂的双线性映射计算,确保即使数据在传输中被截获,没有正确私钥的攻击者也无法还原原始数据。这种细粒度的访问控制和强大的加密机制共同保障了数据在访问和解密阶段的安全性。
3.2 功能性分析
将本方案与学生信息领域的其他文献[2-3,14-15]进行功能上的对比,结果如表1所示。
图3方案流程图
表1不同方案功能对比通过分析各项指标发现,本方案将学生加密信息存储在云存储服务中,降低链上数据的存储开销,进而实现学生信息的安全存储与共享。同时将CP-ABE与智能合约集成,利用智能合约自动化管理CP-ABE密钥生成和访问控制策略,实现对学生信息访问的即时、自动化管理和细粒度访问控制。与其他方案相比,
本方案具有一定优势。
3.3 性能测试
图4展示了在基于联盟链和CP-ABE的学生信息安全共享方案中的解密性能测试结果。测试在Inteli7-9700KCPU和16GBRAM的系统上进行,使用了定制的测试脚本,并通过GCC编译器编译了相关的C程序。测试比较了基本CP-ABE和带有撤销功能的CP-ABE在解密操作中的耗时。结果显示,基本CP-ABE的平均解密耗时为0.010678秒,而带有撤销功能的CP-ABE的平均耗时为 0 . 0 1 1 8 6 3 秒导致了轻微的性能开销。测试结果验证了系统的解密机制能够成功执行。
图6加密和解密时间开销对比从图5可以看出,Administrator作为所有者的用户成功解密了数据;Tester#1成功解密了数据,但有一次测试中返回了无效的输出;Tester#2的所有解密尝试均失败。图6显示加密时间比解密时间长,加密操作平均耗时7.24毫秒,Tester#1和Tester#2的平均解密时间分别为0.99毫秒和0.93毫秒。结果表明在给定的属性集合和访问策略下,用户能够成功解密数据,这验证了CP-ABE算法的访问控制功能。这些数据不仅验证了系统的解密机制的有效性,还揭示了不同用户角色在解密过程中的性能差异。当无效输出返回时,可能表明在某些情况下,解密过程中出现了错误或异常,这需要进一步调查和解决。当用户属性不满足加密时定义的访问策略,或者存在其他问题(如属性验证失败)时,会导致解密失败。
4结论
本文提出了一种基于联盟链和CP-ABE的学生信息安全共享方案。该方案通过CP-ABE算法加密学生信息,保障了数据共享安全,并将加密信息存储于云存储服务,访问策略存于联盟链,优化了存储效率,同时将访问策略编码为智能合约自动执行,提升了时间效率。最后对方案的安全性进行分析并进行测试,表明本文方案具有较好的效率和实用性。在未来工作中将考虑访问策略隐藏,进一步提升学生信息共享过程中的隐私安全。
参考文献:
[1]朱建明,张沁楠,高胜.区块链关键技术及其应用研究进展[J].太原理工大学报,2020,51(3):321-330.
[2]宋桂平,基于高校学生管理系统的数据管理云存储技术研究[J].科技创新与应用,2024,14(19):159-162.
[3]郑旭东,杨现民.基于区块链技术的学生综合素质评价系统设计[J].现代远程教育研究,2020,32(1):23-32.
[4]殷艳菲.基于区块链技术的学生档案信息安全共享方法[J].信息技术与信息化,2024(2):164-167.
[5]DAGHERGG,MOHLERJ,MILOJKOVICM,etal.Ancile:Privacy-Preserving Framework for Access Control andInteroperabilityofElectronicHealth RecordsUsingBlockchainTechnology [J].Sustainable cities and society,2018,39:283-297.
[6]GAOS,PIAOGR,ZHUJM,etal.Trustaccess:ATrustworthy Secure Ciphertext-Policy and Attribute Hiding AccessControl Scheme Based on Blockchain [J].IEEE Transactions onVehicularTechnology,2020,69(6):5784-5798.
[7] PRATIMA S,RAJNI J,DUTTAB M.Blockchain-Based Cloud Storage Systemwith CP-ABE-BasedAccessControland Revocation Process [J].Journal of Supercomputing,2022,78(6):7700-7728.
[8]杨小东,廖泽帆,刘磊,等.基于区块链和属性基加密的电力数据共享方案[J].电力系统保护与控制,2023,51(13):169-176.
[9]董祥千,郭兵,沈艳,等.一种高效安全的去中心化数据共享模型[J].计算机学报,2018,41(5):1021-1036.
[10] GOYALV,PANDEY O,SAHAIA,et al.Attribute-BasedEncryption forFine-GrainedAccess ControlofEncryptedData [C]//Proceedings of the 13th ACM conference on Computerand communications security,20o6:89-98.
[11]BETHENCOURTJ,SAHAIA,WATERSB.Ciphertext-Policy Attribute-Based Encryption [C]//20o7 IEEESymposium on Security and Privacy (SP O7).Berkeley:IEEE,2007:321-334.
[12]SZABON.SmartContracts:BuildingBlocksforDigital Markets[EB/OL].[2020-10-06].https://www.semanticscholar.org/ paper/Smart-Contracts%3A-Building-Blocks-for-Digital-Szabo/9b 6cd3fe0bf5455dd44ea31422d015b003b5568f.
[13]Sifra,MereteE.一个基于区块链的使用代理重加密和IPFS的安全学生记录共享[D].西安:西安电子科技大学,2022.
[14]李姝琪.基于区块链技术的高校学生信息管理系统的设计与实现[D].大连:东北财经大学,2021.
作者简介:赵鹏(1973一),男,汉族,山西太原人,教授,博士,研究方向:软件工程、大数据、区块链;元童颜(1999一),女,汉族,山西临汾人,硕士研究生在读,研究方向:区块链技术、加密算法;通信作者:卢波(1988一),男,汉族,山西晋中人,助教,博士,研究方向:协议安全性分析、区块链;赵捷(1997一),男,汉族,山西忻州人,硕士研究生在读,研究方向:区块链技术、共识算法。
