基于區塊鏈與函數加密的隱私數據安全共享模型研究

李懿，王勁松，張洪瑋

1. 天津理工大學計算機科學與工程學院，天津 300384；

2. 智能計算機及軟件新技術天津市重點實驗室，天津 300384；

3. 計算機病毒防治技術國家工程實驗室，天津 300457

0 引言

現代生活中，大部分領域實現了數字化，如商品、商業、服務等。通信技術、硬件技術的發展加速了大數據時代的到來，數據成為新的生產資料和價值高地。大量的個人數據被移動設備采集并存入云端。依賴于大量數據的個性化服務（如商品推薦、健康監測）隨之出現。與此同時，公眾對隱私數據的關注度日益增長，加上相繼出臺的隱私數據保護法規，各大公司和服務提供商正積極探尋既能維持用戶信任又能合法合理收集數據的方法。雖然用戶可以使用簡單的端到端加密算法來直接提升數據安全性，但數據加密也將導致現在被廣泛接受的便利服務消失，這是因為服務提供商無法獲得并分析原始數據。因此，隱私計算的概念應運而生，其主要目標是實現“數據可用不可見，數據不動模型動”，讓用戶將數據保存本地或者加密后上傳至云端，服務提供商只獲取數據處理結果，從而保護原始數據。常見的隱私計算方法有安全多方計算、零知識證明、可信執行環境等。此外，還有一些是能夠在保護隱私的同時不降低數據可用性的加密算法，函數加密就是其中的一種。與同態加密技術類似，函數加密允許數據使用者直接從密文中獲取信息，并且數據擁有者可以精確控制數據使用者從密文中獲取的信息量，這給數據安全共享帶來了新的可能性。因此，本文提出了基于區塊鏈與函數加密的隱私數據安全共享模型，旨在實現面向隱私保護的數據安全共享平臺。

1 研究現狀

傳統中心化數據共享具有單點故障、數據易丟失、易被篡改、隱私數據難保護等問題。近年來隨著區塊鏈技術的興起，研究熱點已經轉移到去中心化數據共享。Chen J C等人[1]利用區塊鏈難以篡改的特性，將系統中的每次數據共享記錄及相關信息記錄在區塊鏈中，并利用智能合約充當數據交換的媒介。但是由于區塊鏈具有數據透明的特點，直接將原始數據暴露在鏈上會導致數據隱私難以通過該方案共享。Liang X P等人[2]利用聯盟鏈創建了一個以用戶為中心的健康數據共享模型，用戶的可穿戴設備和醫療設備收集到的數據會同步存儲到云端，并且為了保證數據的完整性，云端會把數據的檢索記錄和驗證結果傳至區塊鏈進行保存，還利用基于樹的方法提高平臺的可擴展性和性能。但是其假設云是可信的，這大大減弱了該模型的安全性。Theodouli A等人[3]提出基于區塊鏈的電子健康信息共享平臺，其假設云服務器是惡意的，并通過對比鏈上數據的哈希值，確保惡意云服務器沒有篡改數據，還給用戶提供了完善的頁面，幫助用戶快速獲知自己數據的訪問情況，起到審計和監督的作用。但是其并未考慮惡意服務器泄露數據的風險，并且其假設網絡由可信實體維護，這使得該方案難以落地。Gordon W J等人[4]分析了基于區塊鏈構建醫療數據共享架構時需考慮的安全風險，但是其并未給出具體的解決措施和架構。Azaria A等人[5]提出去中心化的電子病歷管理系統，用戶可以通過智能合約自定義訪問控制策略，并與不同的機構共享自己的電子病歷。此外，作者還設計了激勵系統來鼓勵權威機構積極參與，維護網絡穩定。Yang H等人[6]借助區塊鏈和屬性基加密（attribute-based encryption，ABE）實現安全電子健康數據共享，用戶將能夠訪問數據的屬性條件記錄在鏈上，只有擁有相關屬性的人才能向云服務器發起數據訪問請求。Cao S等人[7]提出了云鏈結合的安全電子醫療數據共享系統，其核心思想是將每個數據操作寫為公有鏈中的一筆交易，并在數據上傳時將數據的哈希值與簽名存在鏈上，從而保證數據的正確性和完整性。劉彥松等人[8]利用屬性加密和同態加密構建了保護隱私的鏈上數據交易平臺，利用同態加密對密文進行計算，從而避免泄露原始數據，但是其并未給出該系統的性能指標，并且同態加密的計算開銷大，復雜計算難以在鏈上實現。Yu K P等人[9]利用智能合約和屬性基加密，實現了工業互聯網的數據共享平臺，域管理員負責制訂域安全和訪問策略。其中擁有與訪問策略相匹配的屬性的用戶，可以從邊緣/云服務器獲取中間解密參數，并且支持用戶屬性的更新和撤銷。Zhang Y等人[10]和W?rner D等人[11]都通過在比特幣中寫入自建協議，配合鏈下數據解析腳本，構建IoT設備數據共享平臺。這種方法利用比特幣的穩定性來保證共享服務的穩定性，并利用假名技術保護用戶隱私。但是比特幣的性能不高，難以滿足IoT的低時延需求。?zyilmaz K R等人[12]利用智能合約構建了IoT傳感器與數據使用者的數據共享平臺，但是IoT設備通常不具有運行區塊鏈的能力，并且該研究同樣沒有考慮隱私數據。Shafagh H等人[13]利用區塊鏈實現了去中心化的訪問控制和數據管理，并通過傳統訪問控制方法來保護隱私數據，但是其不支持訪問策略的更新。Pan J L等人[14]利用智能合約控制IoT設備從邊緣服務器獲取數據，邊緣服務器通過讀取鏈上數據來判斷IoT設備訪問是否合法。張召等人[15]對現有基于區塊鏈的數據共享模型進行了分析，指出了該架構中存在的問題，并提出了鏈上數據完整性存證、鏈下實際數據傳輸的數據共享模型，但是并未解決隱私數據問題，且未給出實驗證明。

通過對比現有數據共享研究不難發現，盡管在該領域已有一些研究成果，但是還存在諸多可以改進的地方，例如未考慮隱私數據、將云服務器假設為完全可信等。有些問題難以單獨使用區塊鏈或云來解決。為此，本文提出了基于區塊鏈與函數加密的隱私數據安全共享模型，實現了更加高效、安全的數據共享。

2 相關技術

2.1 區塊鏈及智能合約技術

區塊鏈是一個公開、分布式、難以篡改的賬簿，其最早在中本聰于2008年發布的比特幣白皮書中被提出，其被作為支撐比特幣系統的底層技術。區塊鏈通常由運行相同或相近版本的客戶端軟件的節點通過對等網絡組成，網絡中傳遞的能夠引起系統狀態變化的消息被稱為交易。整個對等網絡中不存在中心化節點，所有節點間的地位及權利都是相等的，只有運行提前商定的共識算法，網絡中的所有節點才能夠對整個網絡的狀態變更達成統一。常見的共識算法包括工作量證明（proof of work，PoW）、權益證明（proof of stake，PoS）、權威證明（proof of authority，PoA）等[16]?？傮w來說，區塊鏈具有多種性質，這里僅列出與本文關系密切的特性。

● 透明性。區塊鏈中的任何節點都可以隨時獲取區塊鏈的所有狀態，包括歷史狀態與當前狀態，并且所有的歷史交易與當前正在網絡中傳播的交易都是透明的。

● 永久存儲。區塊鏈會永久記錄所有造成狀態變更的交易，一旦區塊被添加并確認，其內容就是不可更改的，這也是區塊鏈技術非常突出的特性。

● 去中心化。區塊鏈網絡中不存在中心節點，這意味著只要交易自身是正確的，其一定會被忠實地執行。并且由于不存在中心節點，沒有任何單獨實體能夠控制整個網絡，除非所有節點同時宕機，否則區塊鏈網絡將永遠存在。

智能合約是區塊鏈發展過程中極其重要的里程碑，簡而言之，智能合約可以被看作預先定義好的一段程序代碼，代碼通過交易的形式被存儲在區塊鏈中，并得到網絡中各參與節點的共識。智能合約通常由Solidity語言編寫，只能被區塊中的交易觸發執行。智能合約是否被正確執行，由所有區塊鏈節點共同驗證。結合區塊鏈自身的加密貨幣屬性與共識協議中的執行激勵，智能合約可以實現復雜的交易和業務邏輯。以太坊是第一個支持圖靈完備智能合約的區塊鏈，其設想最早由Vitalik Buterin于2014年提出。以太坊存在兩種賬戶：外部賬戶和合約賬戶。外部賬戶由唯一對應的公鑰和私鑰控制，能夠通過私鑰進行簽名并發起交易，其地址由公鑰計算得到。合約賬戶與外部賬戶最大的不同在于沒有私鑰能夠控制合約賬戶，并且合約賬戶能夠存儲代碼，其賬戶地址由固定算法直接算出。與比特幣一樣，每個交易都由輸入方和接收方構成，外部賬戶可以通過使用私鑰簽名的交易進行轉賬、合約創建、合約調用等一系列操作。智能合約的行為完全取決于預設代碼及外部賬戶調用傳入的參數。

2.2 函數加密技術

函數加密是在Shamir A[17]提出的身份基加密（identity-based encryption，IBE）和Goyal V等人[18]提出的屬性基加密的基礎上發展而來的一種新型公鑰加密算法，最早由Boneh B等人[19]于2011年正式提出。它從兩個方面拓展了傳統公鑰加密算法體系：一是其支持訪問控制，只有滿足特定條件的人才能解密；二是其允許通過對密文進行選擇性的計算直接得到計算結果。

具體來說，傳統公鑰解密中往往只有解密成功或者解密失敗兩種結果，也就是說，解密者要么獲取所有明文信息，要么不能獲得任何信息。但函數加密允許加密者精確控制透露給解密者的信息量。例如，使用計算平均值的函數密鑰對加密數據進行解密時，只能獲取該加密數據的平均值，而不會獲得額外信息。函數加密中每個函數F的密鑰都與密鑰空間K中的某個k值相關聯，該密鑰由可信權威機構利用全局主密鑰生成。當消息空間X中的數據x被可信權威機構生成的主公鑰加密后，使用與k相關聯的密鑰skk解密后的結果為F(k,x)。一個函數加密方案包含5個算法：Setup輸入安全參數生成后續需要的素數群；Master Key Generation創建主公鑰和主私鑰；Fu nction Key Derivation以主私鑰和具體函數F為輸入，生成skk用于獲取函數結果；Encryption用于加密數據，生成密文；Decryption以s kk和密文為輸入，獲取F(x)的解密結果。

2.3 零知識證明技術

零知識證明技術是一種加密技術，用于證明某個斷言，而不具體透露其他任何信息。雖然其出現早于區塊鏈，但卻因為區塊鏈被廣為關注。由于區塊鏈的透明性讓網絡中的用戶可以隨意訪問所有數據，容易造成隱私數據泄露等問題。零知識證明的特性使其成為實現區塊鏈隱私保護的重要方法。零知識證明包含以下3個特性。

● 完整性：誠實的證明方產生的合法證明一定會通過驗證。

● 可靠性：證據在計算上是不可偽造的。

● 零知識性：驗證者除證據本身外不能獲取任何額外知識。

零知識證明主要分為兩類：交互式零知識證明和非交互式零知識證明。交互式零知識證明是指驗證方多次向證明方的聲明提出挑戰，雙方需要多次通信，直至驗證方認為正確概率大于某個閾值時表示認可。同時，值得注意的是，在交互式零知識證明中，證明方只能同時向一方證明。非交互式零知識證明是指證明方單方計算證據，隨后任何驗證方都可以隨時快速驗證證據的正確性，因此現在廣泛使用的都是非交互式零知識證明。非交互式零知識證明的主要參與方包含3個：Generator以安全參數k為輸入，輸出另一個安全參數pp；Prover生成證據π，用于證明某個聲明的真實性；Verifier能夠快速驗證證據的真實性。

3 系統架構

3.1 設計目標

本文模型旨在達到如下設計目標。

● 數據擁有者可控的數據共享。針對數據易復制、難管控、難確權等問題，本文模型旨在讓數據擁有者對數據擁有完全的控制權。本文模型具有原始數據不外露、云存儲數據防篡改、訪問控制、安全共享等特點。

● 隱私保護。為了在保護原始數據的前提下實現數據共享，本文模型旨在結合密碼學和區塊鏈技術，實現“數據可用不可見”、結果可驗證，從而保證隱私數據的安全性。

● 可靠性驗證。使用零知識證明技術，保證數據處理結果的可靠性，消除由原始數據不可見帶來的數據處理不可信風險，保護數據使用者的權益。

3.2 整體架構

本文結合區塊鏈與云服務器，實現數據鏈上存證、鏈下存儲的混合存儲架構，并使用函數加密、零知識證明等技術實現隱私保護以及可驗證結果的安全數據共享，具體架構如圖1所示。本文模型包含以下主要角色：可信機構（trusted authority，TA）、區塊鏈（blockchain，BC）、云服務提供商（cloud service provider，CSP）、數據擁有者（data owner，DO）、數據使用者（data user，DU）。

圖1 整體架構及各角色間交互

各個角色具體介紹如下。

● 可信機構：負責全局初始化設置，本文模型中使用的函數加密及零知識證明的初始化參數設置都由TA生成，并且TA負責函數加密中私鑰的生成。本文假設TA完全可信。

● 區塊鏈：負責存儲加密數據摘要、驗證零知識證明的正確性、發布DO的定價及函數、接收DU的數據請求以及最終的自動支付流程，上述功能通過智能合約實現，合約中包含相關事件，用于傳遞消息。

● 云服務提供商：負責存儲數據擁有者上傳的密文，并向購買后的數據使用者提供密文。

● 數據擁有者：負責存儲數據、加密數據、指定使用函數并定價。

● 數據使用者：金融機構、科技公司、政府機構等具有私人數據使用需求的用戶。

本文模型共涉及3種密碼學算法，分別為函數加密、零知識證明和非對稱加密。其中函數加密的相關符號均以FE開頭，將在第4.1節詳細論述。零知識證明的生成方法將在第4.2節詳細論述。這里介紹非對稱加密部分，即圖1中的Hash(Ex)、Enc(sk,Upk)、Sig_D(Hash(Ex))、Decrypt(Usk,Enc(sk,Upk))。Hash(Ex)表示對函數加密后的密文Ex進行哈希計算。Si g_D(Hash(Ex))表示對密文哈希值進行數字簽名，用于防止數據被篡改。Enc(sk,Upk)表示使用用戶公鑰Upk對派生出的密鑰sk進行加密。Decrypt(Usk,Enc(sk,Upk))表示使用用戶私鑰Usk對加密后的sk進行解密，獲取原始sk。

3.3 運行流程

本文模型的詳細運行過程如下。

步驟1：全局初始化。首先由TA設置全局安全參數，生成系統主公鑰和主私鑰，并將系統主公鑰公開在區塊鏈中。

步驟2：數據加密及上傳。DO從鏈上獲取主公鑰，并運行函數加密算法后，得到密文Ct。為了避免數據過大造成區塊鏈節點負擔過重，本文模型采用鏈上鏈下混合存儲的方法。DO對密文Ct進行哈希摘要和數字簽名，然后連同密文Ct一起上傳到CSP，并將哈希摘要及簽名通過交易發送至區塊鏈進行存儲，從而提高模型的性能及可擴展性，降低鏈上空間開銷。同時，因為本文模型中假設CSP是誠實的，即CSP會誠實地執行用戶的指令，但是可能會對用戶的數據產生好奇和惡意，這種存儲方案也能避免CSP篡改數據。CSP會對鏈上事件進行監聽，保證只有合法的DU能夠拿到加密數據。然后，DO需指定能夠作用在加密數據上的函數及對應的價格。由于本文模型采用了內積函數加密（inner product functional encryption，IP-FE），除DO預設函數外，DU可以自行上傳加密數據處理函數，函數種類包括加權和、平均值，甚至簡單的機器學習模型等。

步驟3：數據訪問。當DU想要獲取數據時，其并不直接獲取原始數據，而是獲取加密數據的函數處理結果，即F(x)。將傳統數據共享中的共享原始數據改為共享數據的計算結果，實現數據的隱私保護共享。DU可以選擇鏈上的預設函數或自行提供函數F，同時提供個人公鑰Upk，該公鑰用于對最終結果進行加密，最后通過交易調用智能合約。

步驟4：密鑰生成。TA監聽到鏈上事件后，從事件中獲取DU購買的函數F及個人公鑰Upk，運行密鑰生成算法，對F及加密數據進行處理并生成sk。并通過零知識證明算法生成sk的有效性證明Proof，將Proof上傳至鏈上進行驗證。智能合約驗證Pro of的有效性后，會將步驟3中DU預存的資金發送給D O。如果驗證未通過或在規定時間內TA未生成Proof，交易將會被取消并對TA進行懲罰。最后使用Upk加密的sk會被記錄在合約中，相關事件被觸發以通知DU獲取sk。

步驟5：解密。DU首先利用Usk對鏈上獲取的被Upk加密的sk進行解密。然后從CSP獲取密文，并與鏈上的哈希值進行對比，驗證文件是否被篡改，最后運行解密算法獲取F(x)。

4 算法構造

下面詳細闡述本文模型中使用的函數加密和零知識證明的具體算法設計及構造過程。

4.1 函數加密

本函數加密模型基于DDH（decisional Diffie-Hellman）假設構建。下面對DDH假設進行簡單介紹。

其中，Group G en為任意概率多項式時間算法，輸入安全參數l λ，產生一個三元組，其中G為p階素數群，其生成元為g。那么(g,ga,gb,gab)與(g,ga,gb,gc)是不可分辨的，其中的a、b、c均隨機獨立選取。與第2.2節中介紹的相同，IPFE=(Setup,KeyDer,Encrypt,Decrypt)。

● Setup(lλ,ll)初始化整個系統，生成主公鑰和主私鑰，將全局安全參數λ和l作為輸入參數，其中整數s1,…,sζ∈Zp，最后返回密鑰對(mpk,msk)。

● KeyDer(msk,y)為數據使用者提供的向量y=(y1,…,yl)生成對應的sk，將sk作為獲取F(x)的密鑰。以主私鑰以及y為輸入，返回密鑰sky=〈y,s〉。

● Encrypt(mpk,x)使用主公鑰對數據進行加密，保護原始數據的隱私安全。將主公鑰及數據x作為輸入，返回密文Ct。

其中，Ct0=gr，g是G的生成元，h、r是隨機變量。

● Decrypt(mpk,Ct,sky)以主公鑰mpk、密文Ct、密鑰sky為輸入，返回以g為基的離散對數。因此，由上述3個算法可以得出。

4.2 零知識證明

本文模型采用與Zcash、Filecoin等相同的零知識證明技術zk-SNARK，基于Groth16算法[20]構造。證明者需要證明自己知道一個秘密witness(al+1,…,am)與statement(a1…,al)，a0=1能夠滿足如下計算式。

其中，ui(X)、vi(X)、wi(X)、h(X)、t(X)均與待證明的問題本身相關。

本文模型需要證明sk的有效性，即sk是通過正確的msk計算得到的，然后將該問題轉化為相應的電路。由于zk-SNARK不能直接解決任何實際問題，需要將問題轉化為多項式，并對多項式施加一系列約束才能進行后續的證明。隨后，將電路轉化為R1CS（rank-1 constraint system），并通過拉格朗日插值法轉化為QAP(quadratic arithmetic program)。使用Groth16算法生成證明。具體來說，本文模型使用zk-SNARK生成證明的過程主要分為以下3步。

● Tr ust S et up生 成CR S作 為 公共安全參數。首先選取α,β,γ,δ,x←Zp*，τ=(α,β,γ,δ,x), 然后計算σ=([σ1]1,[σ2]2)，其中[σ1]1為橢圓曲線G1上的元素，[σ2]2為橢圓曲線G2上的元素。具體的計算式如下。

值得注意的是，計算完σ后，原始的σ1、σ2通常被稱為“有毒廢料”，應該被銷毀，否則整個零知識證明將不再安全。

● 選取r,s←Zp，選取與msk和y長度相等的隨機變量g、h。通過向量乘法將msk和y隱藏，具體計算式如下。

將c1、c2、v作為計算證明的公開部分，r、s、y作為生成證明的秘密部分。

● 計算證明π=([A]1,[C]1,[B]2)，其中A、B、C的生成方式如下。

最后將證明π傳入智能合約進行驗證。

5 安全性分析與實驗

5.1 安全性分析

本文模型基于Abdalla M等人[21]提出的函數加密方案，引入區塊鏈及零知識證明技術，實現隱私保護和數據安全共享。下面對本文模型進行安全性證明。

CSP被假定為誠實的，即CSP會執行用戶的命令，但同時對用戶的數據好奇。在本文模型中，原始數據首先經過用戶加密后再上傳存儲，且密鑰僅在TA處存放。因此數據的隱私安全得以保證。此外，為了防止CSP提供錯誤的加密數據給DU，在上傳數據時，對數據進行哈希計算并對結果進行數字簽名，隨后將哈希值與數字簽名一并存儲在區塊鏈上。因此，DU通過運行哈希算法，就可以輕易辨別數據是否被篡改，數據完整性也能得到保證。對于數據的可用性，用戶可以選擇將數據存儲在多個CSP上，通過冗余的方式保證數據的可用性，但冗余產生的費用需要用戶自行承擔。

DO通過限制數據使用者對加密數據的處理方式，實現對數據使用擁有完全的控制權。DU支付費用后，由TA負責生成密鑰和密鑰的有效性零知識證明，保證DU除函數處理結果外不能獲取任何信息。零知識證明在鏈上被驗證后，智能合約自動完成支付。從整個網絡來看，此次數據交易已經完成，DU可以隨時取回密鑰，解密獲取結果，因此，本文模型是安全有效的。

5.2 實驗結果及分析

本文實驗利用以太坊搭建了本地5節點私有網絡，節點宿主機均為VMware虛擬機，版本為Ubuntu 18.04，其配置為Intel Core i7 CPU，內存為32 GB。為了方便實驗，選用PoA單節點打包區塊（即出塊），其余參數，如區塊大小、gasLimit與Rinkeby Ethereum testnet保持一致。利用Solidity語言編寫智能合約Market，實現DO鏈上數據發布、DU鏈上數據購買、零知識證明鏈上驗證等。使用Rust語言實現鏈下計算復雜度高、計算密集的、不適合在區塊鏈上進行的算法部分，如函數加密、零知識證明證據的生成。鏈下數據通過交易的形式傳遞至鏈上，鏈上交易通過智能合約中定義的交易事件，即對應的動作會觸發預先設計的事件，通知鏈下CSP和其他相關方。本實驗采用本地節點模擬CSP，節點配置同上述節點宿主機，網絡帶寬為1 000 MB。

在實驗初始化階段，等網絡出塊穩定后，通過Remix將Market部署在本地私有網絡中，零知識證明采用ZoKrates組件，并對部署合約和各個函數消耗的Gas和時間進行測量，結果見表1。對比ChooseCt與UploadFn函數可以看出，如果DU使用DO預先設定的函數，其Gas消耗量僅為上傳自定義函數的5%，上傳自定義函數消耗的Gas隨所求變量大小的變化如圖2所示。使用自定義函數的Gas較高的主要原因在于，隨著所求變量大小的增大，調用UploadFn函數時傳入參數的大小也會增加。該函數會將參數寫到鏈上并通過交易事件通知云服務商，而在以太坊中，存儲成本遠高于計算成本，因此DU可以盡可能選擇預先定義的函數，以降低使用數據的成本。

圖2 上傳自定義計算函數消耗的Gas隨所求變量大小的變化

表1 部署合約和各個函數消耗的Gas與時間

內積函數加密算法性能會受到所求向量長度的影響，從而影響整個數據交易的性能，因此本文對不同長度的向量進行了性能測試，實驗環境與上述以太坊節點宿主機相同，得到的實驗結果如圖3所示。由圖3可以看出，隨著向量長度的增加，加密和解密所需時間增長較塊，但是派生密鑰所需時間依然維持在較低水平，這也側面證明了本文模型將加密和解密放到鏈下執行的正確性。

圖3 函數加密操作消耗的時間隨向量長度的變化

6 結束語

本文提出的基于區塊鏈與函數加密的隱私數據安全共享模型，利用區塊鏈及函數加密實現了數據的安全共享，借助函數加密的特性，用戶可以自主控制數據使用者從密文中獲取的信息量，避免使用傳統公鑰加密時的共享數據量不可控問題。并且，通過零知識證明生成相關計算的可信證明，實現了鏈上自動支付。本文模型在保證隱私數據的前提下，實現了“數據可用不可見”。