沙特国王大学学报基于区块链的分层半分散方法,使用IPFS实现安全高效的数据共享Smita Athanerea, Ramesh Thakurba计算机工程、IET、DAVV、Incident、MP、印度b国际专业研究所,DAVV,印度,MP阿提奇莱因福奥文章历史记录:收到2021年2022年1月3日修订2022年1月29日接受2022年2月15日在线提供保留字:云存储区块链星际文件系统(IPFS)集中式分散半分散式多权限数据共享A B S T R A C T如今,云服务器正在收集越来越多的数据。数据通常以密文的形式存储在云服务器上,以保护数据的安全性和隐蔽性。当消费者请求访问加密数据时,第三方必须提供访问密钥。然而,如果第三方或内部人员不诚实,系统为了解决这个问题,本研究提出了一种新的基于区块链的安全分散系统,使用IPFS进行安全数据传输。由于系统模型的所有参与者都记录了链上的每个动作,并且不断扩展的在所提出的方法中,数据所有者将加密文件上传到IPFS,随后将其分成称为哈希码的n个秘密部分数据所有者必须另外写入访问权限,以便访问此安全数据。为了安全起见,系统使用两级密钥管理:首先,数据所有者加密文件,然后IPFS服务器对加密文件进行哈希码所提出的解决方案采用区块链技术,使消费者能够跨多个域进行处理,消除了传统集中式系统中的单点故障,并在消费者层面减少了与通信和计算相关的开销。安全性分析表明,该系统能够有效抵御单个恶意用户和协同恶意用户,以及不可信的云服务器。©2022作者(S)。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍虽然云计算公司在尽可能方便地进行数据共享方面付出了很多努力,但仍有许多安全问题需要解决。最严重的问题之一是云服务提供商并不总是可靠的。它们将更加脆弱-不仅能够受到对手的外部攻击,还能够受到敌对员工的内部攻击,为云数据共享带来严重的数据安全风险(见表1)。加密技术可以被认为是实现数据访问权限的安全保证。另一方面,在一项研究中,*通讯作者。电子邮件地址:smita. gmail.com(S. Athanere)。沙特国王大学负责同行审查加密数据的访问权限是一个主要挑战。具有层次链接的许多访问模式被广泛用于云中的数据共享。‘Ciphertext-policy attribute-basedencryption (CP-ABE)’, on the other hand, is one of the best solu-tions for delivering safe data access from cloud storage (例如, 2019年)。 在大多数现有的“CP-ABE”方案中,所有消费者必须信任一个权威机构(Hao等人,2019年;Li等人,2019年)。在单点上构建故障更容易,并且在实际实现中,属性通常分散在许多信任域和组织中。Chase提供了第一个多权限CP-ABE解决方案,其中不同的权限管理许多不连续的域,以识别消费者尽管已经提出了集中式系统的几种扩展,但单点故障问题仍然存在(Lewko和Waters,2011; Yang等人,2013; Sandor等人,2019年)。整个属性集合被划分为许多不同的子集,每个子集由单独的权威机构管理,使这些方案能够引用集中式系统。https://doi.org/10.1016/j.jksuci.2022.01.0191319-1578/©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comS. Athanere和R. Thakur沙特国王大学学报1524表1使用区块链技术和IPFS的云存储访问控制方案的前期研究参考工作访问控制方案区块链技术/平台(He等人, 2020)用于共享数据的访问控制(Wang等人, 2019用于共享数据的访问控制框架属性基础加密方案以太坊平台(Zhang等人, 2018年物联网设备细粒度和属性基础密码系统智能合约基于以太坊平台(Qin等人, 2021云安全数据交换的访问控制策略(Zuo等人, 2021)在云中共享安全数据,无需任何可信方的干预多权威基与Shamir秘密共享方案密文策略属性基加密方案超级账本Fabric平台块安全技术(Zhu等人, 2018使用基于交易的访问控制进行数据共享的数字资产管理。安全属性基方案比特币(Maesa等人, 2019)使用区块链的可审计访问控制系统通用访问控制方案以太坊平台(Gaoet al., 2020)可信的安全数据交换细粒度基础方案-(Zhu等人, 2019)云数据管理模型通用访问控制方案以太坊平台(Paillisse et al., 2019)使用多管理域的访问控制分布式访问控制Hyper ledgerFabric平台(Guo等人, 2019)多权限访问控制一般属性基础方案智能区块链合同(Sandor等人, 2019)移动云数据的有效分散系统存储多权限基础方案(Stanciu,2017)边缘计算(Jemel和Serhrouchni,2017)数据交换一般属性基础加密多链技术(Steichen等人, 2018)为 文 件 共享 提供访问控制修改的星际文件系统(IPFS)以太坊平台(Wang等人, 2018数据的分散访问控制机制共享基于属性的加密方案和以太坊平台(Sun等人, 2020)用于数据访问的密文基础加密方案基于IPFS的方案技术数据越来越多地存储在云服务上。为了保护数据的隐私和安全,它通常以密文的形式存储在云服务器上。当用户请求访问加密数据时,需要第三方访问密钥。如果第三方不可信,系统的安全性将受到影响。为了解决这个问题,我们可以使用使用区块链的分散系统来创建用于数据共享的多权限基础访问控制方案(Lyu等人,2020年)。区块链技术的特点是去中心化,开放性,自治性和独立于可信任的第三方。它利用加密技术来保持匿名性,通常比标准的数据存储方法更安全。当区块链技术与云数据共享系统相结合时,存在很多希望(Gai等人,2020年)。目前,区块链技术可用于解决诸如通过分散的多权限框架进行安全数据访问等问题。几乎所有的应用程序都需要访问控制作为一种安全特性。由于其独特的属性,如不变性,持久性,可扩展性和可靠性,区块链被认为是访问控制解决方案的补充。 区块链受欢迎程度上升的主要原因之一是其能够提供交易透明度以及支持交易隐私和安全数据。在所有对等体上,区块链保留所有记录的交易和数据。1.1. 动机访问控制是一种计算机安全系统,确定谁可以访问系统资源。几乎所有的程序都需要它作为一个安全功能。许多问题困扰着今天的访问控制系统,包括第三方的存在,缓慢和隐私的损失。单点故障是用于集中式接入系统的系统的主要困难。区块链有可能解决这些问题。最近,区块链作为一种具有很大潜力和交易透明度的有前途的技术获得了很多关注(Salman et al., 2018年)。由于其独特的品质,如不变性,稳定性,可追溯性和可靠性,区块链正在被探索作为安全访问控制系统的补充。它跟踪所有对等体记录的所有事务和数据。区块链的自主性和安全性,以及它在数据传输和共享方面的新应用,激发了这项研究(Yang et al.,2018年)。我们可以利用区块链和IPFS来创建一个去中心化的多权限系统,将来自不同属性域的各种权限之间的集体计算过程编码到合约中,并提供解密令牌,消费者(朱例如,2019年; Chen等人,2019年)。因为区块链交易是公开的,有必要考虑如何将链算法包括到基于区块链的访问控制策略的隐私中(Wei等人, 2020年)。1.2. 挑战尽管区块链技术具有潜在的好处,但它仍然面临着巨大的困难,限制了其在安全方面的实用性。在这一部分中,我们i) 通信开销:网络流量和系统处理能力将大幅增加,因为区块链具有点对点连接。在传统系统中,事务和块必须广播而不是单播。因此,网络ii) 可扩展性:人们认为区块链技术将比旧的集中式方法更好地扩展。随着消费者和网络节点数量的增长,该技术表现不佳。iii) 单点故障:大多数相关研究都集中在这个问题上,这是集中式系统所固有的,因为经典的访问控制解决方案都是集中式的。S. Athanere和R. Thakur沙特国王大学学报1525被证实了为了解决这一难题,相关研究已经使用了基于区块链技术的分布式访问控制和各种其他策略。iv) 安全性:每个访问控制系统都应该面对的另一个关键难题是安全性。然而,纵观历史,攻击媒介和结构已经发生了进步。然而,无论与哪种技术相结合,区块链技术都提供了安全性作为一种内在品质。尽管如此,为了达到系统中的最高安全级别,使用了加密过程。v) 访问&权限的管理授权:访问权限的委托、管理和授权也是访问控制系统的重要方面。必须强调的是,授权实体尽管每个访问控制系统都希望解决这个问题,但相关的研究都集中在它上面。1.3. 问题陈述云服务器是集中的权威机构,保存着大量的数据。中央权威与各种危险有关,包括单点故障。为了避免这样的失败,一个多权威的层次结构的建立,与中央机构划分为基于域的权威。因此,我们可以部分解决单点故障问题。因为所有的用户特征都是由一个中心机构处理的,所以在大多数现有的基于属性的加密解决方案中构建一个单点故障是微不足道的。因此,已经提出了许多用于处理用户属性的多权限CP-ABE方法。然而,这些系统并没有消除特定的故障点,因为它们没有消除数据用户所面临的显著的处理和通信开销。为了解决这些问题,我们提供了一个基于区块链和IPFS的去中心化系统,允许许多机构以高效和安全的方式访问云存储区块链技术用于保存数据所有者-用户协议的永久记录。用户在同意区块链的条款和条件后向所有者请求数据。使用区块链,所建议的方法提供了研究数据的透明性,问责制和细粒度。1.4. 我们的贡献在这项研究中,我们提出了一种集中式,分散式和半分散式的多权限云访问方法。传统方法用于创建集中式系统,其中不包括区块链。集中式系统存在一些缺点,例如单点故障和在某些情况下可以由较低级别的当局修改的数据因此,我们建议采用基于区块链和IPFS的去中心化和半去中心化多权限架构,以提供安全高效的云访问。然后对集中式、分散式和半分散式系统进行了比较。由于没有值得信赖的第三方,并且该方案以分散的方式构建,因此用户可以使用区块链和IPFS安全有效地从云服务器检索数据。以下是我们对该计划发展的贡献-i) 首先,设计了一个集中式的云数据访问系统.ii) 开发了一种分散的访问控制机制,将区块链技术与星际文件系统相结合。这种技术可以解决单个点故障、昂贵的处理和数据用户的由于区块链具有可追溯性和可重复性的特性,它还可以跟踪数据访问事务并随时跟踪日志文件iii) 我们还设计了半分散系统。在我们的去中心化区块链系统中,我们扩展了传统的基于属性的分层多权限加密方法,并建立了加密解密技术,以实现基于多权限的跨域协作。iv) 该方案的性能和安全性进行了测试,以及所提出的方案在用户侧的计算通信开销方面的功效研究论文的其余部分结构如下。第2节总结了基于区块链和IPFS的云数据共享访问控制的众多研究。第3节介绍了任何拟议项目必须包括的基本内容。建议的基于区块链和IPFS的网络模型和算法,用于使用区块链和IPFS在云中共享数据,详见第4节。第5节包含拟议的工作和绩效评估。最后,在第6节中,我们总结了我们的研究。2. 文献调查本节讨论使用区块链技术来控制云服务器中的数据访问的可能性。几项研究已经公开了基于多权限属性的加密方法和基于区块链的数据共享访问控制机制。区块链访问记录的防篡改和可审计性质是由于其安全特性。因此,以下文献是关于现有的和最近的基于区块链和IPFS协议的访问控制系统为了在云中共享数据,He等人设计了一种“基于属性的分层访问控制方案(AHAC)”。在该方案中,如果作为数据访问者的任何属性与访问控制结构相匹配,则与该结构相关联的数据可以由该属性解密。通过大量的实验证明,该方案比CP-ABE(基于属性的密文策略加密)方案更有效、更安全。此外,当数据的加密文件的数量增加时,AHAC的速度显著提高(He等人,2020年)。Wang等人提出了使用区块链在安全云服务器中共享数据的访问控制架构。在这个框架中,他们合并了两种技术,“基于属性的加密(CP-ABE)”和以太坊基础区块链。所提出的云访问控制框架以分散的方式开发,不涉及可信的第三方。它有三个主要特征。最初,以太坊区块链上的数据所有者可以使用智能合约来存储密文。其次,数据所有者可以指定允许的访问时间来解密密文。最后,trace函数用于跟踪每个智能合约的调用(Wang等人,2019年)。通过“ABS(基于属性的方案)”和“CP-ABE(基于密文策略属性的加密)”方案,Zhang等人提出了一种基于区块链的架构,用于物联网(IoT)中的隐私保护和用户控制的基础数据交换,以及细粒度的访问控制。它从物联网设备收集数据并发送回云端进行处理或其他操作目的。然而,由于数据泄露和隐私问题,云可能不是一个完全值得信赖的实体。为了安全和容错,建议的隐私保护架构使用区块链和基于属性的密码系统(Zhang et al.,2018; Cha等人, 2018年)。S. Athanere和R. Thakur沙特国王大学学报1526为了实现数据的安全共享,秦军等提出了一种基于区块链的多权限数据访问控制机制。多权限概念用于避免单点故障,并且由于区块链技术,安全的数据访问是可能的该方法采用Sha-mir秘密共享和Hyper ledger Fabric区块链此外,他们利用基于区块链的技术在不同的管理当局之间建立信任,并在属性和管理当局之间使用令牌共享智能合约。它将减少用户(Qin等人,2021年)。Zuo等人提出了一种基于区块链的密文策略属性的加密技术,用于在云中交换安全数据,而不涉及任何可信的第三方。他们可以通过使用区块链技术来保护该计划中数据所有者的权利和安全 作者将所提出的方案与现有的云安全方案进行了比较,并发现了几个优点,包括:i)只有数据所有者有权确定谁有权访问数据; ii)跟踪每一条记录; iii)方案具有“一对多”加密;iv)方案中没有第三方参与;v)他们使用离散对数问题来表明所提出的系统是安全的(Zuo等人, 2021年)。对于数据共享,Zhu et al.建议基于事务的访问控制体系结构。它是“基于属性的访问控制(ABAC)”方案和区块链技术的混合组合在该方法中,针对四个阶段使用四种类型的事务作为访问控制机制,这四种事务是对象托管、主体注册、访问请求和授权。这些被组合到一个算法中,该算法允许灵活和不同的权限管理以及在开放的去中心化环境中处理经验证的透明访问(Zhu等人,2018年)。Maesa等人为可审计的访问控制系统开发了一种基于区块链的策略作者以这种方式使用区块链此外,事务可用于将资源所有者的访问权限从一个用户转移到另一个用户然后,任何用户都可以通过审核这些事务来查看访问控制历史记录。由于区块链的不变性和透明性,交易可重复性是可能的。为了测试该方案的性能,作者提供了一个基于XACML规则和部署在以太坊网络上的Solidity创作的智能合约的参考实现(Maesa等人, 2019年)。Gao等人设计了安全密文策略和基于区块链的访问管理。区块链用于该系统的可追溯性和问责制。通过使用智能合约,数据用户可以证明其权威性。然后,数据所有者将访问交易记录传输到区块链与其为数据所有者和用户的每个组合编写唯一的合约,所提出的解决方案允许他们使用四个智能合约在不同的消费者和数据所有者之间实现访问控制(Gao等人, 2020年)。Zhu等人提出了一种基于可控可信区块链技术的云数据它可以处理云环境中的任何数据存储,包括缺乏控制。在这种技术中,信任权威节点允许终止任何强大的破坏性行为,即使在多数攻击下所提出的方法已经过安全性和性能以及其实用性的测试(Zhu等人, 2019年)。Paillisse等人利用区块链实现了基于多权限的分布式访问控制机制。他们采用许可区块链实现,以安全的方式广播访问控制策略网络管理员在这里定义基于组的策略,然后通过交易存储在区块链中。路由器利用区块链来分析用户在建立安全与资源消费者的连接(Paillisse等人,2019年)。San-dor等人提出了一种用于移动云数据存储的分散式多权限属性技术。它消除了CP-ABE的中央权威问题,消除了对全球用户识别的需求,并通过云用户辅助减少了用户侧的通信开销。在与众多属性权威机构的交互期间,它充当移动用户的网关(Sandor等人, 2019年)。Alizadeh等人介绍了一种基于IPFS和区块链的去中心化系统,该系统采用“分布式哈希表(DHT)”技术以高可靠性和最小存储成本存储信息。通过降低区块链上的整体处理时间,并建立一个可以通过RestfulAPI与区块链通信的协议服务,使用DHT技术提高了效率。他们证明了所提出的系统的有用性,得出的结论是,集成IPFS和区块链可以实现高效 的 加 密 存 储 , 稳 定 的 记 录 , 以 及 分 散 方 式 的 整 体 更 好 的 功 效(Alizadeh等人,2020年)。利用区块链和IPFS,Naz等人建立了一个去中心化的安全数据共享架构。所有者将Meta数据上传到IPFS服务器,然后将其划分为秘密共享。该方法通过应用智能合约中定义的所有者访问角色来实现安全和访问控制。以太坊区块链,加密,解密,智能合约和各种激励系统构成了拟议的安全和分散的框架。透明度、保密性、访问控制、所有者合法性和数据共享质量都得到了实现(Naz等人,2019年)。Gao等人介绍了一种用于个人数据的安全数据共享系统,具有细粒度的数据访问。在所提出的方法中结合了区块链技术、“基于密文策略属性的加密(CP-ABE)”和“星际文件系统(IPFS)”。数据所有者对可共享的材料进行加密并将其存储在IPFS上,强调了系统的分散性。只有属性满足访问策略的数据用户才能下载和解密数据。最后,作者评估了建议方案的安全性和性能,并得出结论,它是实用的(Gao等人,2021年)。Javed等人介绍了一种使用区块链技术的车辆网络安全数据交换方法。在这项技术中,智能车辆产生的大量数据存储在一个分布式文件存储系统中,称为星际文件系统(IPFS)。它用于解决集中式系统中的数据存储问题,例如数据篡改,隐私泄露,黑客漏洞等。在该方案中,智能合约用于在不涉及第三方的情况下使系统程序自动化,并验证提供给边缘节点的评论(Javedet al., 2020年)。丹尼尔和Tschorsch研究了几篇论文,并编制了一份关于IPFS及其朋友的调查。他们集中讨论了下一代数据网络的概况.他们采用了各种数据网络来介绍一般概念并突出新的进展。作者更详细地介绍了星际文件系统,以及Swarm,Hypercore协议,Storj和SAFE(Daniel和Tschorsch,2021)。Gutub等人讨论了一次有多个人对单个资源感兴趣的秘密共享他们提出了一项工作,基于并行计数的一,在贡献,这是负责秘密生成。在这篇文章中,他们提出了两种秘密共享模型及其优缺点(Gutub等人, 2019年)。Qurashi等人提出了一种很有前途的方法,即基于计数的秘密共享的多用户认证。生成的秘密密钥是通过简单的翻转操作的一个或两个0位内的密钥在不同的位置。密钥重构采用(n,k)门限并行实现。安全性增强是通过修改共享生成来实现的。S. Athanere和R. Thakur沙特国王大学学报1527××2222222 22通 过将 份额 划分 为m 个 不同 的块 来完 成( Gutub 和Al-Qurashi ,2020)。基于计数的秘密共享的轻量级半完全认证水印图像。本文利用基于计数的秘密共享策略,使RGB水印在部分图像文件受到干扰的情况下仍能有效地实现所有权的确认。我们验证图像水印部分轻量级半完全验证,这是不可能在正常的随机流水印方案。这项工作进行了测试,并与其他最先进的方法进行了比较(Gutub,2022)。Almehmadi等人提出了一种基于计数秘密共享的支持部分不诚实的阿拉伯文电子文本在本文中,他们使用扩展的阿拉伯字符隐藏水印比特的过程需要密码来触发基于计数的秘密共享,以生成要嵌入的水印 隐 藏 位 的 流 份 额 ( Almehmadi 和 Gutub , 2021;Gutub ,2021)。Al-Shaarani等人提出了一种基于矩阵计数的秘密共享方案。在标准的秘密共享方法中,密钥在几个授权的参与者之间分配,只需要他们中的预定组来重建原始密钥。这些方案在密码学和隐写术的安全性方面都得到了广泛的应用,并取得了令人瞩目的成果。重点介绍了两种特殊的秘密共享技术,即基于计数的秘密共享和基于矩阵的秘密共享,后者是基于计数的秘密共享。这些方法简单直观(Al-Shaarani和Gutub,2021 a,2021 b)。3. 预赛我们将在本节中列出一些背景信息,这些信息将作为拟议模型的基础。这些基本原理基于双线性映射,将区块链集成到多权限访问系统和星际文件系统(IPFS)中。3.1. 双线性对双线性对产生三个相同素数阶的乘法循环群:G1,G2和GT。一个双线性对关系e:G1 G2?GT被定义在三个群G1、G2、GT上,并且它满足如下三个性质:(i) 双线性:6g1G1和g2G2,a,bZp,e(ga,hb)= e(g,h)ab。(ii) 非退化:$g1 G1,g2 G2,e(g1,g2)- 1,表示G1 G2中没有对被发送到GT群中的身份。(iii) 有效的可计算性:对于给定的两个项6g1 G1,g2 G2,至少一个现有算法可以有效地计算e(g1,g2)。与双线性对一样,双线性对生成器(BPG)也被定义为一种概率算法,它以安全参数k为输入,输出参数为{g1,g2,G1,G2,e,q},其中g1和g2是两个生成器,e是一个双线性映射,q是一个k位素数,(G1,G2)是两个同阶q的循环群,G1是乘法群,G2是加法群,G1是乘法群.3.2. 区块链区块链技术允许建立一个不可更改的,分散的,始终可访问的,安全的和可公开访问的数据存储库。分布式共识协议用于以分布式方式管理该存储库。与写和读操作相关的信任级别取决于区块链的类型。写操作是更新分类账的能力,即向其添加新内容,而访问现有内容的能力被称为读操作。因为任何不可信的实体都可以读取区块链,所以它被称为公共的。它们被称为较少权限,因为它们允许任何不可信的实体进行写入(Sankar等人,2017; Stanciu,2017;Xu等人,2017年)。区块链技术最初是为了支持过去的加密货币而引入的(Cachin,2016)。在这种情况下,区块链被用作公共分类账,用于存储实体之间转移价值的交易尽管比特币加密货币系统是第一个使用区块链的系统,但从那时起,已经出现了一系列新的想法。在基于区块链的访问控制系统中,访问日志被存储为一系列事务块,每个块通过哈希值与前一个块相链接。(Nakamot等,2008;Yli-Huumo等,2016年)。3.3. 星际文件系统(IPFS)Interplanetary File System(IPFS;Benet,2014)是一组子协议,组成了一个点对点分布式文件系统,该系统使用分布式哈希表(DHT)来跟踪所有内容,包括谁拥有什么数据。此外,它还为分散环境中的文件共享提供了一种新方法。IPFS使用哈希表来存储数据包。IPFS使用KademliaPetar Maymounkov和David Mazieres在2002年创建了Kademlia,作为分布式对等计算机网络的DHT(Maymounkov和Mazieres,2002)。在IPFS中,唯一的哈希是保留数据而不考虑其大小的结果。IPFS可以保存哈希,稍后各方可以使用它来检索数据。当数据准备好添加到IPFS网络时,它将被分解为许多小比特。每个块都有其唯一的哈希来标识它。然后,块将在网络上分散到具有最接近对等体ID的哈希的节点。当用户请求块时,DHT用于传输到存在哈希的节点。在检查了所有现有的块之后,主对象只是从所有的块连接起来。另一方面,DHT的分布式部分意味着完整的表在多个地方共享。基于DHT的分布式系统是完全连接的系统,位于不同位置的参与者之间没有实质性差异。因此,每个人都可以访问最新的哈希表。4. 拟议工作所提出的工作分三个阶段实施和实验,其中第一阶段是集中式服务器系统,第二阶段是分散式系统,第三阶段是半分散式系统。在最近的情况下,云提供商使用集中式服务器系统提供大量的数据存储和访问服务。在集中式系统中,数据所有者将数据上传到主服务器,数据使用者从服务器访问数据。然而,一个重要的问题是云服务供应商并不完全值得信赖。它们容易受到恶意人员的外部和内部攻击,为云数据共享提供了大量的数据安全问题。亚马逊员工,对于S. Athanere和R. Thakur沙特国王大学学报1528例如,将消费者的敏感信息出售给第三方以谋取私利,云存储公司经常泄露用户的个人信息。为了解决上述问题,在集中式系统中提出了密码访问控制技术,以通过使用只能由具有该秘密密钥的个人解密的秘密密钥执行加密来提供安全的数据共享。然而,在该模型中,所有成员都必须信任一个权威机构,这可能会导致单点失效,并且在实际实现中,重要参数通常分散在多个信任域和组织中。图1描绘了集中式系统模型。数据所有者、数据用户、中央机构和域机构都在此图中描述。中央机构是数据所有者上传数据的主服务器,域机构是以分层方式对服务器进行的域分区,对该域的用户负有全部责任。特定域的数据用户可以从其域中获取数据在集中式系统中,确定了两个主要问题,第一个是内部员工的数据操作,第二个是单点故障。提出了基于区块链的去中心化系统,以克服诸如单一权威失效、内部员工的数据操纵、通信开销和消费者侧的过度处理开销等问题区块链可以跟踪数据访问日志,这允许可审计的访问控制管理。在本文中,安全和熟练的数据传输机制,提出了使用基于区块链的分散和半分散的多权限访问的概念。去中心化区块链的概念通过IPFS协议实现。分散系统的系统模型如图2所示。在去中心化系统中,数据所有者将数据上传到云服务器上,区块链网络创建上传文件的哈希值。这种加密哈希代码是使用称为SHA256的密钥管理技术生成的的散列值被分发到具有授权数据用户的网络上。具有访问权限的数据用户可以访问哈希代码及其原始内容去中心化网络上的原始数据不能被任何其他成员或用户操纵,因为每当数据发生任何变化时,区块链都会为被操纵的数据创建新的哈希码。因此,分散式数据访问比集中式数据访问更安全分散式系统还克服了单点故障的问题,因为区块链像分布式系统一样工作在区块链中,网络中的每个节点都保存着其他节点的数据副本,并且没有任何单一的权威机构,因此数据可以在故障时轻松恢复。在分散式系统中,网络上的通信开销被确定为主要问题,因为节点之间的多个数据副本和数据分发与授权用户。为了减少与数据用户的通信开销,提出了半分散的区块链机制. 半分散系统的系统模型如图3所示。在半去中心化系统中,数据所有者首先加密数据,然后上传到云服务器上,区块链创建加密数据的哈希码。在区块链上创建分层结构,其中域权威机构根据其用户分布创建一个域的用户可以访问和保留彼此的数据副本,而其他域的当数据用户想要访问所有者上传的数据时,用户可以从其域权威机构访问,并且用户可以在其本地机器上使用解密引擎解密原始内容在这个系统中,提出了两级密钥管理技术拥有解密密钥的用户只能访问数据,因此用户端的通信开销最小或稳定。域用户只保留相同域数据的副本,这也减少了副本的存储开销。Fig. 1. 中央系统。S. Athanere和R. Thakur沙特国王大学学报1529图二. 基于IPFS的分散式系统。图3.第三章。基于层次结构和IPFS的半分散系统。S. Athanere和R. Thakur沙特国王大学学报15304.1. 系统模型本节解释系统模型,该模型由六个不同的实体组成。为了理解后续的理论算法,还介绍了程序流程的语法.管理员:管理员负责设置系统参数和初始化系统。域授权机构(DA):DA负责通过IPFS向数据用户每个DA由一个域中的多个用户组成云服务提供商(CSP):数据所有者可以使用CSP来存储他们的数据。数据所有者(DO):CSP不值得信任上传文件,因此DO使用加密来规范数据访问。DO创建访问策略,在将数据文件提交给云供应商之前对其进行加密,并将密钥和数据密文单独提交给IPFS。IPFS:所有上述实体都是IPFS网络的一部分。IPFS为数据所有者上传的数据和密钥密文生成单独的哈希代码。为了保持其完整性和不可变性,IPFS保存公共参数并访问元数据。它还帮助企业进行部分可信计算,并允许许多DA统一管理用户凭据数据用户(DU):CSP为所有DU提供免费的密文下载。如果用户希望访问数据可访问性,则必须从IPFS请求密钥信息以进行解密。不同域的用户解密权限不同,只有客户的凭证与密文中编码的认证方案匹配,才能成功完成解密。出于这个原因,解密引擎链接到授权用户。4.2. 算法基于区块链的分散式分层系统由以下算法组成本节概述了图4中的程序。在本节结束时,还显示了基于脚本的算法。①管理员创建系统初始化参数并上传到IPFS服务器。②用户建立私钥和公钥组合,并在进入系统时向IPFS提交公钥。③对于加密,数据所有者使用已初始化的IPFS公共参数。数据F由DO加密,谁从IPFS获取公钥,以便这样做IPDO加密文件并使用加密文件Evk(F)将其传输到IPFS服务器。IPFS在将文件F提交给CSP之前生成文件F的散列码HC(ID)。云数据所有者DU向其DA发出访问请求,然后DA将其上传到IPFS服务器。IPFS查找用户的凭据并验证可访问性。加密后的IPFS服务器中保存认证DUDU从IPFS获取密钥信息和密钥密文,进行最终解密。IPDU通过从IPFS服务器下载加密文件来检索其密钥密文。DU使用解密引擎对密文进行链下解密,并在其本地机器上获取原始文件。设置(1 k,AT)?(PK,MK):为了进行设置过程,DO采用由k定义的安全参数和由U指定的特征的通用集合作为输入。作为算法实现的结果,产生了表示为“PK”的公钥和表示为“MK”的主密钥。图4示出了该过程的步骤① ②。具有文件ID的文件F使用SHA256加密方法加密,并且当DO将加密的文件传输到云服务器时记录为Evk(F)(其中vk表示“加密密钥”)。该SHA256哈希技术是用来散列提供vided文件名ID HC(ID)。IPFS节点的地址、文件ID和加密的文件Evk(F)以及文件ID散列HC被子打包并递送到IPFS服务器(ID)。请务必注意IPFS服务器提供的文件路径,如图4步骤③中所示。加密(PK,vk,0)?CT:公钥PK、访问结构级别0和对称加密密钥vk都是加密方法的输入,该加密方法返回密文CT作为输出。保持密文CT。图10中的步骤100 四是展示如何使用。见图4。通信图。S. Athanere和R. Thakur沙特国王大学学报1531←←Fm/CTPu¼kgx mod p由方程式(1)F表示SHA-256的函数,m表示文件或文档,CT表示创建的输出。由方程式(2),Pu表示公钥,Kg表示密钥生成器,x表示私钥成员,p表示素数。Key_Gen(MSK,XS)?SK:基本的创建程序仍然由“DO”执行。“DU”向DA提出访问请求,DA为DU分配一组属性和有效访问项。该方法接受DU属性集X以及主密钥“MSK”作为贡献,并返回DU私钥“XK”。一旦“DO”和“DU”共享频繁密钥,则使用公用密钥作为加密密钥对“SK”进行对称加密。密文SK 0是加密的私钥,用于保持匿名性。 参见图步骤 4没关系解密(PK、SK和CT)?vk:DU执行解密过程。DA将访问权限授予DU。当且仅当提供了正确的访问凭证时,DU才执行解密过程。“DU”从IPFS服务器获取“CT”和私钥“SK 0”的密文。加密方法SHA256用作为“解密密钥”的常规密钥解密作为私钥SK的SK 0。该过程将公钥“PK”、私钥“SK”和密文“CT”作为输入。当且仅当“SK”符合访问策略时,DU可以检索加密文档的密钥ck,允许其被解密;如果不符合,则解密将不成功。在DO加密文档F之前,DU从CS(云服务器)检索加密文档Evk(F),用密钥“vk”解密加密物品“FO”,并输出物品F。如图4所示,在步骤1004,算法:数据所有者上传文件,密钥生成,数据用户注册输入:IPFS所有者的加密文件输出:用户获取解密文件1. 加密(PK,vk,0)?CT2. 如果(如果从DO请求):通过IPFS verifiedDataOwner()接受加密文件否则:丢弃请求结束,如果3. 设置(1 k,AT)?(PK,MK)4. (MSK,XS)?SK?generate_keys()5. 地址?IPFSaddress()+ PK,SK6. keepPrivatekey()7. registerDataUser()8. public_key,private_key = generate_keys()9. authenticateUserRequest()10. 解密(PK、SK、CT)?vk?getDecryptedFile()11. extractOriginalFile()算法:密钥生成(属性= x)输入:属性(x),DU标识,输出:关键帧1 过程设置PK(x,PKI,x)2 如果CheckDU(DU,DA)= True,则//收集x 3 subPK [x]subPK [x] Upki的公共子密钥;4 count [x] ++;5 如果count[x] = value[x].threshold则//生成公钥6 PKx设置PK(subPK [x]);7 end if8 end if9 结束程序算法:用户注册输入:帐号,用户名输出:bool1如果 msg.datauser is not _self,则 2投掷;3 其他4 u = account_idx.find(account); 5如果 u==null则6 返回false;7 其他8 id = id;10 account_idx.modify(u);11 返回true;12 端13 端算法:数据所有者上传文件(属性= x)输入:account,t kx,CT Kf| href位置输出:bool1如果 msg.datauser不是_self,则2抛出;3 其他4 data_row.cf = CT Kf| href位置;5 data_table.emplace(data_row);6 search_row. A =account;7 search_row.t = tkx;8 search_row.fid = data_row. fid。9 search_table.emplce();10 返回true;11 端S. Athanere和R. Thakur沙特国王大学学报15325. 安全和性能分析本节探讨了拟议的基于区块链的去中心化数据交换系统的安全性经验证,该系统在非完全可信云环境下是安全的在下面的小节中,讨论了关于所提出的访问控制方法的安全性和性能的几点5.1. 安全分析避免单点故障:通过提供半分散的基于区块链的技术,这项工作修改了经典的“基于密文策略属性的加密”方法。在初始方法中,单个中心机构分发密钥的困难可以被更多的用户访问所压倒。域权威机构而不是中心权威机构分配数据用户通过区块链的可审计属性实现的安全性:系统的机密性通过使用最好的加密和解密引擎来确保。云服务提供商负责保存文件的密文;然而,虽然“CS”云服务器可以不受限制地访问密文,但它对恶意用户没有优势。用户的访问凭证从域服务器中获取,并且它们仅适用于特定的DA。IPFS是一种支持交易隐私和私有数据的许
