一种基于区块链的代理重加密逆向防火墙方法与流程

1.本发明涉及信息安全技术领域，特别涉及一种适用于车联网环境的基于区块链的代理重加密密码逆向防火墙方法。


背景技术：

2.在当今社会环境下，车联网技术(iov)是大数据时代中一项关键而重要的技术。无线通信技术可以定期收集、分析和存储道路上的实时数据，并且还可以在与iov技术的连接中提供更方便快捷的功能，通过让附近的车辆和设施形成一个自组织网络，来确保路上的人获得实时的交通数据。为了更兼容iov环境，我们共享收集的车联网数据，该系统在cbsc和数据用户之间建立智能合约。尽管iov技术日益完善，但在复杂多变的道路上仍存在各种问题，比如共享信息的内部安全性，第三方云服务器的可信任性仍然是我们需要考虑的重要问题。
3.爱德华
·
斯诺登(edward snowden)最近的研究表明，用户自己的硬件和软件可以通过各种方式被用来泄露她人的私密信息。为此，我们引入了密码逆向防火墙(crf)的概念。crf位于用户的计算机和外部世界之间，会修改参与加密协议时发送和接收的消息从而保证即使在受到内部攻击的情况下，攻击者也无法获取关键信息。近几年许多学者对密码逆向防火墙的应用领域有了进一步的研究。chaya ganesh等人在2020年提出一种用于交互式证明系统(ips)的加密逆向防火墙。该方案提出我们是否可以在不信任目标机器或者说在目标机器被破坏并受到对手控制时，也保证目标方不会泄露任何信息。更加值得关注的是，2022年周等人提出了一种用于云辅助无线体域网的后门抗身份代理重加密方案。该方案在远程医疗数据共享场景中展示了该应用，提供了选定的明文攻击安全性，并抵抗了泄露攻击。上述的方案可以保证用户信息的内部安全性，以及对于文件传输的保密性，但是在具体应用场景的实现过程中，每个用户对于数据共享过程中的公开程度和便利性要求以及对于所需信息的保密性的冲突是一直存在于密码学的问题。接下来我们从如下两个方面来进行进一步分析。
4.区块链由一个个记录着用户交易信息的区块相互连接而成，是一个无中心、交易可追踪和多方联合共同维护的分布式数据库。链上的数据被所有节点共享，任何一个机构都不能任意的修改这些数据，可以为多个互相不了解的用户建立可靠的信任关系。区块链的机制可以极大的提高数据的共享程度，同时智能合约的出现也可以保证对于数据处理的高效性。但是，在区块链环境中，用户个人信息以及用户加密的信息在区块链环境中是公开透明的，所以区块链的使用在提高了数据高度的共享性的同时，也带来了极大的信息安全隐患。
5.blaze等人首次提出的代理重加密(pre)概念允许代理将根据委托人的公钥计算的文件转换为针对被委托人的加密。让数据所有者成为委托人，让数据接收方成为被委托人。在这样的方案中，数据所有者可以在不泄露其密钥的情况下临时向用户发送加密消息。pre方案的一个内在特征是代理不完全可信(它不知道数据所有者的密钥)。这被视为以安
全的方式授权对加密数据的访问的主要候选者，这在任何数据共享场景中都是至关重要的组成部分。pre方案解决了共享数据的泄露问题，由于是对于传输到服务器中的密文进行二次加密，所以已知的各类pre方案的计算开销是非常巨大的，对于我们海量的车联网用户节点，已知的pre方案并不能很好的满足车联网环境的需求。


技术实现要素：

6.发明目的：针对现有技术中存在的问题，本发明公开一种基于区块链的代理重加密逆向防火墙方法，通过逆向防火墙方法保护了信息传递中的内部安全性，以及区块链技术保证了其高效性以及可靠性，从而保证车联网环境中信息传输的安全、高效与稳定。
7.技术方案：本发明公开一种基于区块链的代理重加密逆向防火墙方法，包括有以下步骤：
8.步骤1：系统参数初始化：给出一个安全参数k，pkg选择两个具有相同素数阶p＞2k的加法群g1，以及循环乘法群g2，p为g1的生成元，一个双线性对映射：g1×
g1＝g2；两个安全的hash函数h1：{0，1}
*
→
g1、h2：g2×
{0，1}
*
→
g1；pkg随机选取主密钥并计算p
pub
＝sp；随后，pkg保密主密钥s，并将发送给w
pkg
；
9.步骤2：w
pkg
重随机系统参数：w
pkg
生成一个随机数α，计算p
′
pub
＝sαp并且公开系统参数
10.步骤3：密钥生成：给定一个用户idu，u∈{do，dr}，pkg计算用户私钥sku＝squ，其中，用户公钥qu＝h1(idu)，将用户私钥发送至w
pkg
；w
pkg
重随机用户私钥生成sk
′u，并将其以一个安全的方式发送给用户；
11.步骤4：加密阶段：数据拥有者do选取一个随机数并使用自己的公钥q
do
对数据m进行加密，计算代理重加密算法的第一层密文为：数据m进行加密，计算代理重加密算法的第一层密文为：并将c
do
发送给w
do
；w
do
重随机密文生成c
′
do
，将c
′
do
发送至与区块链结合的分布式云服务器cbsc中；
12.步骤5：信息的存储与访问：cbsc将收到的密文保存成元数据存储在云服务器上，生成一个与元数据相关的关键词以及存储地址的哈希表并将其存储在区块链上；数据接收者向cbsc发送一个申请信息以及想要的信息的关键词，智能合约验证其身份合理之后来寻找相关信息；找到后返回该信息在云服务器中的存储地址，交由云服务器向do发出申请，申请do到dr的代理重加密密钥；
13.步骤6：代理重加密密钥生成：do通过生成dr的代理重加密密钥授权用户dr的合法权益，计算代理重加密密钥为：
[0014][0015]
然后将其发送给w
do
；
[0016]
步骤7：w
do
重随机重加密密钥：当w
do
收到之后，计算将c
′
do
和发送给cbsc中的智能合约进行重加密；
[0017]
步骤8：智能合约重加密密文：cbsc收到c
′
do
和之后，计算之后，计算之后，计算之后将c
dr
发送给授权的接收方dr；
[0018]
步骤9：解密阶段：对于只能由数据拥有者和数据接收方来解密的数据c
′
do
和c
dr
，进行解密得到密文m。
[0019]
进一步地，所述步骤3中w
pkg
重随机用户私钥的具体方法为：
[0020]
sk
′u＝αsku＝sαqu。
[0021]
进一步地，所述步骤4中w
do
重随机密文生成c
′
do
具体为：
[0022]wdo
重随机密文：当w
do
收到c
do
后，通过随机数生成算法生成一个随机数β，计算后，通过随机数生成算法生成一个随机数β，计算然后将c
′
do
发送至与区块链结合的分布式云服务器cbsc中；
[0023]
进一步地，所述步骤9中对于只能由数据拥有者和数据接收方来解密的数据c
′
do
和c
dr
，有如下两种解密方式：
[0024]
步骤9.1：未重加密的密文：当数据拥有者do想要解密密文时，w
do
将在cbsc上收到的c
′
do
来计算来计算然后将c
″
do
发送给数据拥有者，do可以计算出：
[0025][0026]
步骤9.2：重加密密文：当数据接收方想要解密密文时，接收者dr收到c
dr
后计算：
[0027][0028]
有益效果：
[0029]
本发明公开一种适用于车联网环境的基于区块链的代理重加密逆向防火墙方法，采用了代理重加密的方式来保证信息在云服务器中的安全存储，将信息的存储地址以及用户id散列成哈希表存储在区块链上，可以避免云服务器的单点故障问题，保证共享数据的开放性、独立性、自治性以及系统的去中心化。之后数据拥有者产生重加密密钥，并交由智能合约进行代理重加密使得授权用户可以对密文信息进行访问。同时，我们采用逆向防火墙的方式，满足重随机化的要求并运用在系统公共参数和私钥上，致使敌手无法伪造加密信息和代理重加密密钥，由此保证了使用此加密的车辆能够抵制内部攻击，提高了安全性。与近些年的方案相比，我们的方案具有更高的效率。因此，我们的方案适合应用在高速、低开销的车联网环境中。
附图说明
[0030]
图1为本发明的系统模型图；
[0031]
图2为本发明的代理重加密第一轮加密算法流程示意图；
[0032]
图3为本发明的重加密算法流程示意图。
具体实施方式
[0033]
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
[0034]
本发明公开一种基于区块链的代理重加密逆向防火墙方法，适用于车联网环境中，共设置两个密码逆向防火墙，分别设置在密钥生成中心(pkg)和数据拥有者(do)的本地设备上。具体参见图1，包括有以下步骤：
[0035]
步骤1：系统参数初始化：给出一个安全参数k，pkg选择两个具有相同素数阶p＞2k的加法群g1，以及循环乘法群g2，p为g1的生成元，一个双线性对映射：g1×
g1＝g2；两个安全的hash函数h1：{0，1}
*
→
g1、h2：g2×
{0，1}
*
→
g1；pkg随机选取主密钥并计算p
pub
＝sp；随后，pkg保密主密钥s，并将发送给w
pkg
来进行重随机化，防止敌手针对于主密钥s的内部攻击。
[0036]
步骤2：w
pkg
重随机系统参数：由pkg的crf生成一个随机数α，计算p
′
pub
＝sαp并且公开系统参数
[0037]
步骤3：车辆用户密钥生成：给定一个用户idu，u∈{do，dr}，pkg计算用户私钥sku＝squ，其中，用户公钥qu＝h1(idu)，将用户私钥发送至w
pkg
来进行重随机化，防止内部敌手的攻击，将用户id和公钥qu放到与区块链结合的分布式云服务器(cbsc)中保存。
[0038]wpkg
重随机用户私钥：计算sk
′u＝αsku＝sαqu，并将其以一个安全的方式发送给所有车辆用户。
[0039]
步骤4：加密阶段：数据拥有者车辆单元do选取一个随机数并使用自己的公钥q
do
对数据m进行加密，计算代理重加密算法的第一层密文为：对数据m进行加密，计算代理重加密算法的第一层密文为：并将c
do
发送给w
do
来进行重随机化，防止敌手针对于随机数r的内部攻击。
[0040]wdo
重随机密文：当w
do
收到c
do
后，通过随机数生成算法生成一个随机数β，计算后，通过随机数生成算法生成一个随机数β，计算然后将c
′
do
发送至cbsc中进行保存。
[0041]
步骤5：信息的存储与访问：cbsc将收到的密文和id信息保存成元数据存储在云服务器上，生成一个与元数据相关的关键词(interest)以及存储地址的哈希表，将其存储在区块链上方便智能合约来调用。
[0042]
数据接收者向cbsc发送一个签名信息，其中包含个人id以及目标信息的关键词，智能合约验证其身份合理之后来寻找相关信息。找到后返回该信息在云服务器中的存储地址，之后云服务器向do发出申请，申请从do到dr的代理重加密密钥。
[0043]
步骤6：代理重加密密钥生成：do通过生成dr的代理重加密密钥，来授权用户dr的合法权益，计算代理重加密密钥为
[0044][0045]
然后将其发送给w
do
进行重随机化，来消除之前重随机化带来的影响，保证了逆向防火墙中的保持功能性。
[0046]
步骤7：w
do
重随机重加密密钥：当w
do
收到之后，计算将c
′
do
和发送给cbsc中的智能合约进行重加密。
[0047]
步骤8：智能合约重加密密文：cbsc收到c
′
do
和之后，将其发送给智能合约进行计算：进行计算：进行计算：之后将cdr发送给授权的车辆节点dr。
[0048]
步骤9：解密阶段：对于只能由数据拥有者车辆节点do和数据接收车辆节点dr来解密的数据c
′
do
和c
dr
，有如下两种解密方式：
[0049]
步骤9.1：未重加密的密文：当数据拥有者车辆节点do想要解密密文时，w
do
将通过在cbsc上收到的c
′
do
来计算来计算然后将c
″
do
发送给数据拥有者，do可以计算出
[0050][0051]
步骤9.2：重加密密文：当数据接收方想要解密密文时，车辆节点dr使用自己的私钥和发送方的公钥在收到c
dr
后计算
[0052][0053]
对于该方案实施过程中主要使用的主要符号总结在下表1中。
[0054]
表1方案主要符号表
[0055][0056]
通过本发明公开的一种适用于车联网环境的基于区块链的代理重加密逆向防火墙方法。采用了代理重加密的方式来保证信息在云服务器中的安全存储，将信息的存储地址和用户id散列成哈希表存储在区块链上，可以避免云服务器的单点故障问题，保证共享数据的开放性、独立性、自治性以及系统去中心化，以及使用区块链中的智能合约进行重加密运算的方式，使得授权用户可以对密文信息进行安全高效的访问。采用逆向防火墙的方式，满足重随机化的要求并运用在系统公共参数，私钥以及重加密密钥上，致使敌手无法伪造加密信息和代理重加密密钥，由此保证了使用此加密方法的车辆能够抵制内部攻击。与近些年的方案相比，我们的方案具有更高的效率。因此，我们的方案更加适合应用在高速、低开销的车联网环境中。
[0057]
上述实施方式只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。

技术特征：
1.一种基于区块链的代理重加密逆向防火墙方法，其特征在于，包括有以下步骤：步骤1：系统参数初始化：给出一个安全参数k，pkg选择两个具有相同素数阶p＞2
k
的加法群g1，以及循环乘法群g2，p为g1的生成元，一个双线性对映射：g1×
g1＝g2；两个安全的hash函数h1：{0，1}
*
→
g1、h2：g2×
{0，1}
*
→
g1；pkg随机选取主密钥并计算p
pub
＝sp；随后，pkg保密主密钥s，并将发送给w
pkg
；步骤2：w
pkg
重随机系统参数：w
pkg
生成一个随机数α，计算p
′
pub
＝sαp并且公开系统参数步骤3：密钥生成：给定一个用户id
u
，u∈{do，dr}，pkg计算用户私钥sk
u
＝sq
u
，其中，用户公钥q
u
＝h1(id
u
)，将用户私钥发送至w
pkg
；w
pkg
重随机用户私钥生成sk
′
u
，并将其以一个安全的方式发送给用户；步骤4：加密阶段：数据拥有者do选取一个随机数并使用自己的公钥q
do
对数据m进行加密，计算代理重加密算法的第一层密文为：c
do
＝{c1，c2}＝{rp，m
·
并将c
do
发送给w
do
；w
do
重随机密文生成c
′
do
，将c
′
do
发送至与区块链结合的分布式云服务器cbsc中；步骤5：信息的存储与访问：cbsc将收到的密文保存成元数据存储在云服务器上，生成一个与元数据相关的关键词以及存储地址的哈希表并将其存储在区块链上；数据接收者向cbsc发送一个申请信息以及想要的信息的关键词，智能合约验证其身份合理之后来寻找相关信息；找到后返回该信息在云服务器中的存储地址，交由云服务器向do发出申请，申请do到dr的代理重加密密钥；步骤6：代理重加密密钥生成：do通过生成dr的代理重加密密钥授权用户dr的合法权益，计算代理重加密密钥为：然后将其发送给w
do
；步骤7：w
do
重随机重加密密钥：当w
do
收到之后，计算将c
′
do
和发送给cbsc中的智能合约进行重加密；步骤8：智能合约重加密密文：cbsc收到c
′
do
和之后，计算之后，计算之后，计算之后，计算之后将c
dr
发送给授权的接收方dr；步骤9：解密阶段：对于只能由数据拥有者和数据接收方来解密的数据c
′
do
和c
dr
，进行解密得到密文m。2.根据权利要求1所述的基于区块链的代理重加密逆向防火墙方法，其特征在于，所述步骤3中w
pkg
重随机用户私钥的具体方法为：
sk
′
u
＝αsk
u
＝sαq
u
。3.根据权利要求1所述的基于区块链的代理重加密逆向防火墙方法，其特征在于，所述步骤4中w
do
重随机密文生成c
′
do
具体为：w
do
重随机密文：当w
do
收到c
do
后，通过随机数生成算法生成一个随机数β，计算后，通过随机数生成算法生成一个随机数β，计算然后将c
′
do
发送至与区块链结合的分布式云服务器cbsc中。4.根据权利要求1所述的基于区块链的代理重加密逆向防火墙方法，其特征在于，所述步骤9中对于只能由数据拥有者和数据接收方来解密的数据c
′
do
和c
dr
，有如下两种解密方式：步骤9.1：未重加密的密文：当数据拥有者do想要解密密文时，w
do
将在cbsc上收到的c
′
do
来计算来计算然后将c
″
do
发送给数据拥有者，do可以计算出：步骤9.2：重加密密文：当数据接收方想要解密密文时，接收者dr收到c
dr
后计算：

技术总结
本发明公开了一种基于区块链的代理重加密逆向防火墙方法，系统参数初始化；PKG处的逆向防火墙W


技术研发人员：陈冠华 陈智伟 金春花 陈晓兵 金鹰 于长辉
受保护的技术使用者：DO
技术研发日：2023.05.31
技术公布日：2023/8/5