论文部分内容阅读
区块链能够将数据以链式结构存储在一起,保证数据真实且不可篡改,从而能够在复杂的环境中建立信任,有利于解决物联网、供应链等领域在数据溯源、防伪、追责等方面的信任问题。但是在物联网和供应链中,对数据的访问控制需求更为复杂,当前的区块链机制还无法满足这些需求,表现为:一方面,数据所有者在共享生产数据时,由于数据涉及商业机密,数据所有者只希望将数据共享给一部分用户,并限制其他非授权用户的访问,此过程为正向的访问控制;同时,数据使用方需要对数据所有者发布的数据属性是否符合要求进行反向访问控制验证。而现有的经典区块链方案只有简单的身份验证机制,无法满足上述用户对正向和反向两方面同时进行访问控制的需求。另一方面,在访问控制过程中,企业往往需要增加或取消对其他企业的数据访问授权以保护自身的利益,这就需要对访问策略进行变更,而访问控制策略的变更依赖于区块数据的可编辑功能的支持。因此,如何在不损害区块链数据可信性的基础上,设计一种能够提供双向访问控制和数据编辑功能的区块链就变得极为重要。针对上述问题,本文从区块链的双向访问控制机制和可编辑区块链两个方面展开研究,并结合具体的使用场景设计了可行的方案。主要工作如下:(1)针对区块链应用场景中需要双向访问控制机制的问题,提出了一种分布式外包的双重策略ABE(Attribute-Based Encryption)方案。在该方案中,首先设计了双重策略的ABE,以满足用户双向访问控制的需求;其次,为了适应区块链的分布式环境,在双重策略ABE的基础上引入分布式密钥生成协议,以实现分布式授权;再次,为了减轻双重策略ABE给物联网等领域轻量级设备带来的计算压力,在双重策略ABE的基础上设计了密文加解密外包方案,满足未来越来越多的轻量级设备的应用需求;最后,安全性分析表明该方案在选择明文攻击下是多项式安全的。(2)针对区块链中访问控制策略变更需要区块链编辑功能支持的问题,设计了一种基于记录验证树和多重签名的可编辑区块链方案。首先,为了实现区块记录的修改和删除,该方案在区块结构中设计了一个二叉三叉混合树,树的叶子节点包含验证记录和编辑请求的两个验证参数,分别来保证记录和编辑请求的合法性;其次,为了保证区块数据编辑的可信性,在用户对自己拥有的数据进行编辑时,该方案要求利益相关方对编辑请求进行许可并多重签名之后才能进行,以对用户的数据编辑行为进行有效的限制;最后,安全性分析和实验结果表明本文方案能够在保证区块结构完整的情况下实现可信、合法、安全的修改和删除数据。