具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请基于区块链的分布式数据安全共享系统，包括六个参与方：

数据拥有者DO(Data Owner)，通过系统加密算法，将共享数据明文加密为共享数据密文，将共享数据密文存储于星际文件系统中，将共享数据密文的密文数字摘要记录在主链PC上，通过主密钥封装算法封装得到主密钥密文，使得主密钥以密文形式记录在区块链主链上。

数据使用者DU(Data User)，向用户初始化算法中输入系统安全参数，输出区块链中各用户节点的用户密钥对；向主密钥代理存储节点发送转换密钥请求，获得转换密钥，通过转换密钥计算节点获得重加密的私钥，并对主密钥密文解密得到系统主密钥，结合系统主密钥与用户属性，获得属性私钥，并对共享数据密文解密得到明文。

主密钥代理存储节点PSN(Proxy Storage Node)，基于信誉积分投票选举而得，用于储存系统主密钥，且用于验证验证发布者签名，通过用户私钥转换算法生成转换密钥，并将转换密钥传递给转换密钥计算节点RKCN。

转换密钥计算节点RKCN(Re-Key Calculate Node)，接收胶囊capsule₁，用于进行重加密私钥的计算，并发送给数据使用者。

星际文件系统IPFS(Inter Planetary File System)，用于存储共享数据密文，减轻了区块链容量压力，实现大容量数据的存储访问。

区块链BC(Block Chain)，为双链架构，如图1所示，包括一条基于POW共识算法的主链PC(Public Chain)和一条基于POA共识算法的子链CC(Child Chain)，其中主链上包括区块pb(public block)，子链上包括区块cb(child block)，主链上各区块pb之间采用hash方式连接，子链上各区块cb之间采用智能合约进行交互，子链上区块cb与主链上区块pb之间采用hash方式连接，其中区块pb存储有共享数据密文CT的密文数字摘要和各节点信誉积分RS(Rating Score)，区块cb存储PKEM-CPABE中各参数传递过程的交易信息，同时区块链节点会将这次交易打包成区块，添加到区块链主链上，形成不可篡改、真实可信、可追溯的记录。

本申请基于区块链的分布式数据安全共享方法，如图6、图7所示，包括以下步骤：

(1)AbeSetup(1^k)→(PK，MSK)，系统初始化，输出系统主密钥和系统公钥：

数据拥有者DO向系统初始化算法AbeSetup(1^k)中输入系统安全参数k和系统属性集合U，生成阶数为大素数p的乘法循环群乘法循环群的生成元为g，的双线性映射e：满足双线性、非退化性和可计算性，系统安全参数k决定乘法循环群的大小，系统属性集合记为U，大小为|U|，随机选择α，及乘法循环群的元素h₁，h₂，...，h_u，其中为阶数为p的有限整数域，{1，2，...，u}表示系统属性集合U对应的属性标号，输出系统公钥对(PK，MSK)，PK表示系统公钥，MSK表示系统主密钥；

系统公钥PK公开至主链PC上，MSK存储在主密钥代理存储节点PSN上，主密钥代理存储节点PSN是基于信誉积分被投票选举出来的。

(2)区块链中各用户节点初始化，输出区块链中各用户节点的用户公钥和用户私钥：

数据使用者DU向用户初始化算法中输入系统安全参数生成阶数为素数q的乘法循环群乘法循环群的生成元为f，随机选择(此处的a与步骤S1中的α表示不同含义)，表示阶数为q的有限整数域，输出区块链中各用户节点的用户密钥对为(pk，sk)。

式中，pk表示用户公钥，sk表示用户私钥。

(3)数据拥有者通过系统加密算法，将共享数据明文加密为共享数据密文：

数据拥有者DO输入系统公钥PK、共享数据明文m以及访问控制策略(M，ρ)，至系统加密算法AbeEnc(PK，m，(M，ρ))中，输出共享数据密文CT，只有满足访问控制策略的请求者才可能解密共享数据密文，将共享数据密文CT上传至星际文件系统IPFS(InterPlanetaryFile System)数据库中，并获取共享数据密文CT存储在星际文件系统IPFS的事务信息Tx＝(ID，DO，IPFS，Y，TimeStamp，Sig，CT)(ID表示事务标识号，Y表示可以公开，TimeStamp表示事务发布时间戳，Sig表示发布者签名)，且将事务信息Tx＝(ID，DO，IPFS，Y，TimeStamp，Sig，CT)上传至子链Child Chain(CC)的区块cb(child block)中，区块链中通过交易进行信息传递、审计，并且将共享数据密文CT进行哈希处理生成密文数字摘要，再通过事务上传至主链PC的区块pb上。

由于区块链本身容量有限，将全部数据存储不现实，因此本申请将共享数据密文存储于第三方存储系统IPFS，再将其地址存储于区块链中，任何人可根据地址找到IPFS中的密文，节省空间，有效提升区块链系统的可扩展性。

加密过程中，访问控制策略(M，ρ)中M是l×n的访问矩阵，l表示矩阵行数，n表示矩阵列数，函数ρ为M的行指定属性，用随机向量分割秘密共享密钥s，生成共享数据密文CT信息，y表示秘密分割生成的随机值，秘密共享密钥s即为y₁，是分割秘密共享密钥s得到的第i个份额，M_i表示M矩阵的第i行，C_i(i＝1，2，..，l)表示第i个属性对应的密文，最终创建共享数据密文CT为：

CT＝{C＝m·e(g，g)^αs，C′＝g^s)

式中，C表示密文的一部分，m表示共享数据明文，α，β表示步骤(1)中生成的随机数，g表示乘法循环群的生成元，C′表示密文的另一部分，用于隐藏秘密共享密钥s，C_i表示第i个属性对应的密文，表示属性哈希值，r_i表示随机数，用于隐藏属性哈希h_ρ(i)，D_i表示隐藏随机数r_i，后续解密阶段用以解密C_i。

(4)PkemMSK(MSK，pk_A)→(CT_MSK，capsule₁)，将系统主密钥封装后上传至双链架构中的子链，子链进行密钥生成相关工作，采用POS共识机制，效率与性能更高：

数据拥有者DO输入系统主密钥MSK和主密钥代理存储节点PSN的用户公钥pk_PSN，至主密钥封装算法PkemMSK(MSK，pk_A)中，输出封装后的主密钥密文CT_MSK和胶囊capsule₁，胶囊capsule₁用于代理密钥封装所需要的传递参数，并通过事务Tx＝(ID，DO，CC，Y，TimeStamp，Sig，CT_MSK)将封装后的主密钥密文CT_MSK上传至子链CC上，通过事务Tx＝(ID，DO，RKCN，N，TimeStamp，Sig，capsule₁)将capsule₁发送给转换密钥计算节点RKCN(Re-Key CalculateNode)，用于进行重加密私钥的计算。

定义哈希函数H₂，随机选择e，定义为AES(Advanced EncryptionStandard)对称加密函数，ε_AES，分别表示对称加密算法加密函数与解密函数。输出主密钥密文CT_MSK和胶囊capsule₁为：

E＝f^e，V＝f^v

s＝v+e·H₂(E，V)

CT_MSK＝ε_AES(MSK，K_MSK)

capsule₁＝(E，V，s)

式中，E表示代理密钥封装构造的一个密钥，V表示代理密钥封装构造的另一密钥，s表示秘密共享密钥，K_MSK表示使用主密钥代理存储节点PSN的用户公钥pk_PSN生成的对系统主密钥加密的密钥。

(5)用户私钥转换：数据使用者DU(DataUser)向主密钥代理存储节点PSN发送请求，主密钥代理存储节点PSN验证发布者签名Sig后，输入主密钥代理存储节点PSN的私钥sk_PSN和数据使用者DU的公钥pk_DU，通过用户私钥转换算法PkemKeyGen(sk_A，pk_B)，生成转换密钥rk_PsN→DU和X_A，使得系统主密钥MSK由PSN用户公钥加密转换为由数据使用者用户公钥加密，X_A表示用户私钥转换算法PkemKeyGen(sk_A，pk_B)→(X_A，rk_A→B)所需要的参数，并发送事务Tx＝(/D，PSN，RKCN，N，TimeStamp，Sig，(X_A，rk_PSN→DU))给转换密钥计算节点RKCN，用于下一步用户私钥重加密。

选择随机生成的临时密钥定义哈希函数H₃，计算转换密钥rk_PSN→DU：

rk_PSN→DU＝sk_PSN·d^-1

式中，d表示解密参数，表示数据使用者的公钥用x_A加密。

(6)用户私钥重加密：转换密钥计算节点RKCN收到计算请求，输入收到的胶囊capsule₁和转换密钥rk_PSN→DU，通过用户私钥重加密算法PkemEnc(rk_A→B，capsule₁)，生成新的胶囊capsule₂，转换密钥计算节点RKCN生成事务Tx＝(ID，RKCN，DU，N，TimeStamp，Sig，(X_A，capsule₂))，将该事务发送给数据使用者DU，使得数据使用者DU获得胶囊capsule₂连同X_A，经重加密的私钥可以不进行解密操作就可以将由主密钥代理存储节点的用户公钥加密的密文转换为由数据使用者的用户公钥加密，本申请基于CPABE的重加密技术实现了去中心化的系统主密钥管理。

capsule₁＝(E，V，s)

capsul_e2＝(E′，V′，s)

式中，E′表示E经转换密钥后的密钥，V′表示V经转换密钥后的密钥。

(7)系统主密钥解密：数据使用者DU获得X_A和capsule₂后，从双链架构中的子链上获得主密钥密文CT_MSK，然后输入X_A、capsule₂和sk_DU，通过主密钥解密算法PkemDec(CT_MSK，X_A，sk_B，capsule₂)，获得系统主密钥MSK：

式中，d表示解密密钥，K_MSK表示用户公钥pk_PSN生成的对系统主密钥加密的密钥。

(8)属性私钥生成：数据使用者DU获得系统主密钥MSK后，输入用户属性集合S，通过属性私钥生成算法AbeKeyGen(MSK，S)，获得属性私钥SK。

式中，L表示私钥中参数，K表示私钥中包括系统主密钥的参数，K_x表示私钥中每个属性对应的密钥，h_x表示属性哈希值，t表示随机数，x表示用户所对应的属性。

(9)解密：数据使用者DU通过事务Tx＝(ID，PC，DU，Y，TimeStamp，Sig，CT)获得共享数据密文CT，输入属性私钥SK，则通过解密算法AbeDec(CT，SK)，获得明文m。

定义单个数据使用者所拥有的属性集合令是秘密共享密钥s访问矩阵M的有效份额，则∑_i∈Iω_iλ_i＝s。解密计算式为：

最终的明文信息为

式中，i表示属性的数目变量，ρ(i)表示行指定属性，S表示用户属性集合，l表示访问矩阵M的矩阵行数，ω_i表示随机数，C_i表示第i个属性对应的密文，L表示私钥中参数，t表示随机数，Π表示累乘运算。

主链PC根据节点信誉积分RS(Rating Score)对子链CC中主密钥代理存储节点PSN(Proxy Storage Node)和转换密钥计算节点RKCN(Re-Key Calculate Node)的选举，具体为：RS记录公开存储于主链PC，任何节点均可查询，RS作为节点的量化评价指标，可以客观反映出该节点的好坏，信誉积分越高，代表该节点在之前的行为表现良好，信任度高；反之则表示该节点可能为危险节点，信誉积分RS采取连带责任制，对于表现好的节点，根据其贡献程度奖励相应的RS，而为其投票的节点也将获得相应奖励；对于故障或恶意节点，则扣除相应RS，为其投票的节点也将获得相应惩罚。

其中，投票票数按照下式计算：

其中，AV(Affirmative Vote)表示赞成票，NV(Negative Vote)表示反对票，RS_i为第i个节点所拥有的RS值，m为该节点获得赞成票个数，n为该节点获得反对票个数。

为第i个节点投票所占权重，总赞成票减去总反对票数，与节点自身信誉积分RS值相加，获得最终票数Votes。

节点选举：

基于PKEM-CPABE双链架构中的子链节点负责代理主密钥封装的密钥存储和转换密钥计算，对于Votes值小于0的节点则默认其Votes值为0。在一轮投票中，对所有参与节点Votes值进行由高到低排序，将节点分为不同类型：

1)PSN：Votes值为前20％的节点，作为主密钥代理存储节点；

2)RKCN：Votes值为20％-80％的节点，作为转换密钥计算节点；

3)危险节点：Votes值为最后20％的节点。

信誉积分奖惩机制：

在子链CC中，对于成功贡献的节点会给予一定的奖励；反之，则给予一定的惩罚，即建立信誉积分奖惩机制：设共有k个节点参与，单个节点的工作量为WL(Work Load)，奖励系数为τ，根据其工作量所占权重，进行奖励或惩罚。

以某积极节点为例，当其成功完成其工作时，工作量为WL_i，节点获得奖励：

参与投积极票AV的节点也将获得奖励，设共有m个节点为该节点投积极票，奖励系数为γ：

则该节点最终信誉积分为RS_Final＝RS+Score。

若该节点需要受到惩罚，Score计算方法同上式，参与投积极票NV的节点也将受到惩罚，该节点最终信誉积分为RS_Final＝RS-Score。

事务结构：

为实现基于PKEM-CPABE的双链架构中密钥流转的来源追溯，定位各节点行为。本申请基于基于区块链的分布式数据安全共享方法对区块结构进行设计，利用区块链进行密钥传递过程的行为追责。事务结构定义如下：

Tx＝(ID，From，To，TxType，TimeStamp，Sig，Data)

其中：ID表示事务标识号；From和To分别表示该事务的发送方与接收方；TxType表示该事务类型，Y为可以公开，N为不可公开；TimeStamp表示事务发布时间戳；Sig表示发布者签名；Data表示事务包含的可选数据域。

某共识节点在收到一笔事务后进行状态初始化，提取事务信息并下载至本地，根据TxType字段判断该事务是否可公开，从Data字段中获取事务的公共参数。

双链性能分析：

基于PKEM-CPABE的双链架构在主链PC采用传统的POW共识机制。为更好地契合PKEM-CPABE算法，在子链CC采用响应速度更快的POA共识机制，其优势如表1所示。

相比较于POW，POA在响应时间、交易确认延迟、可扩展性方面都有明显的优势，而其安全性问题，本申请所设计信誉积分和投票机制以及引入的PKEM-CPABE算法可有效避免验证者节点作恶和隐私保护问题。

表1共识机制对比

实验仿真分析：

基于区块链的PKEM-CPABE算法实验采用一台主机(CPU为Intel i7-8750H，内存为8GB，主频2.20GHz，操作系统为Ubuntu18.64)，并利用基于配对的PBC密码库和编程语言Python来构建实验框架，实验数据在条件相同情况下，重复性实验50次取得平均值。

如图2所示，当数据大小设置为308B，访问策略属性个数设置为4、8、12和16个时，随着属性个数的增加，由于本申请方案在加密时需要引入代理密钥封装机制，导致本申请方案加解密时间代价总体高于Waters方案，加密时间和解密时间代价平均比Waters方案高出50ms。

如图3所示，当数据大小设置为308B，访问策略属性个数设置为4、8、12和16个时，随着属性个数增加，本申请密钥生成时间代价总体高于Waters方案平均27ms。

Waters方案的来源是：Waters B.Ciphertext-policy attribute-basedencryption：an expressive，efficient，and provably secure realization[C]//LNCS6571：Proceedings of the14th International Conference on Practice andTheory in Public Key Cryptography，Taormina，Mar 6-9，2011.Berlin，Heidelberg：Springer，2011：53-70.

如图4所示，当数据大小设置为308B，访问策略属性个数设置为4个，用户数量分别为4、8、12、16个时，随着用户数量增加，本申请方案密钥生成时间对比Waters方案有明显的优势。由于Waters方案私钥SK由密钥中心生成，本申请方案由各用户单独生成，因此在大规模分布式应用时具有明显优势。

为信誉积分和投票机制进行模拟，实验基于Python语言模拟100个网络节点进行投票，其中设置优秀节点、普通节点和恶意节点比率为20％、60％和20％，初始RS设置为60，共进行200轮投票。

如图5所示，在多轮投票过程中，优秀节点所得票数明显逐渐升高并在后续投票过程保持领先，表示该节点表现优秀，无不良记录，其他节点更倾向于投票给它以获得更高RS；普通节点整体表现稳定；恶意节点初始时RS值与其他节点相似，随着轮数的增加，其他节点向恶意节点投反对票来维持系统稳定，恶意节点RS值逐渐减少，有效阻止了恶意节点进入子链。

上述的基于区块链的分布式数据安全共享系统可以实施为计算机程序，保存在硬盘中，并可记载到处理器中执行，以实施本发明实施例的方法。

本发明实施例还提供了一种存储有计算机程序代码的计算机可读介质，所述计算机程序代码在由处理器执行时实现如上所述的基于区块链的分布式数据安全共享方法。

基于区块链的分布式数据安全共享方法实施为计算机程序时，也可以存储在计算机可读存储介质中作为制品。例如，计算机可读存储介质可以包括但不限于磁存储设备(例如，硬盘、软盘、磁条)、光盘(例如，压缩盘(CD)、数字多功能盘(DVD))、智能卡和闪存设备(例如，电可擦除可编程只读存储器(EPROM)、卡、棒、键驱动)。此外，本发明实施例描述的各种存储介质能代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于能存储、包含和/或承载代码和/或指令和/或数据的无线信道和各种其它介质(和/或存储介质)。

应该理解，上述的实施例仅是示意。本发明描述的实施例可在硬件、软件、固件、中间件、微码或者其任意组合中实现。对于硬件实现，处理单元可以在一个或者多个特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器和/或设计为执行本发明所述功能的其它电子单元或者其结合内实现。

需要说明的是，在本申请中，诸如第一、第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。