【摘要】物联网环境下网络智能设备接入云端过程中，将产生大量的用户访问数据、智能终端控制服务数据、跨域共享数据等信息，也不可避免地带来物联网数据信息访问、传输、存储与共享的安全隐患，包括数据存储格式多样、可追溯及访问控制混乱、跨域数据泄露、数据共享不可控等一系列问题。因而提出基于数据加密技术、分布式存储技术、MQTT传输协议、复合账户控制管理机制等技术，建构起物联网跨域数据安全共享模型，使用属性基加密算法对多个网络节点数字签名信息叠加，并作出双线性配对的数据加密／解密运算，采用智能合约对网络链上数据信息进行共享管理，提高物联网加密数据跨域访问、传输与共享的安全性。

　　【关键词】区块链技术；物联网；属性基加密；数据共享

　　物联网(Internet of Things,IoT)是将数以亿计智能设备连接到互联网的网络模式，而区块链网络技术本身具有分布式结构、去中心化、不可篡改性等特征，将其应用到物联网数据加密／解密、转换与共享服务中，可建立起局域或跨域网络的节点数据访问、传输与共享信任，规避单个节点故障或断网带来的数据信息传输、处理和存储安全风险。基于区块链技术设置物联网数据信息协同共享方案，利用MQTT网络传输协议、智能合约对接入智能设备作出身份认证、数据访问控制、数据共享记录及密钥管理，可提升区块链“链上”“链下”数据可追溯性、数据共享安全性。

　　1基于区块链网络隐私数据防护的主要技术

　　1.1区块链技术

　　区块链作为基于分布式数据库的数据管理技术，通常会设置多个具有互联结构的基本区块单元，用于区块链网络内的元数据信息传输与存储，根据区块链部署方式的差异可将其分为公有链、私有链、联盟链等链式结构。本文使用联盟链的部署形式，由多机构参与设置多个区块链中心、预先选定区块链记账节点，基于MQTT网络传输协议、PBFT/Raft共识协议运行数据加解密算法，使用不同秘钥对隐私数据作出非对称加密和解密，只有拥有解密私钥的用户才能完成解密操作。其中，联盟链可在任何时间段读取任意的数据区块信息，将上一区块的哈希值存储至下一区块节点，并由普通节点发送用于数据加解密校验的信息，确保区块链数据信息传输与共享、分布式存储的安全性与准确性。

　　１．２属性基加密技术

　　属性基加密（Ａｔｔｒｉｂｕｔｅ－ＢａｓｅｄＥｎｃｒｙｐｔｉｏｎ，ＡＢＥ）算法为数据加密细粒度访问控制方法，基于密钥策略的属性加密是将数据属性嵌入密文与密钥中，形成ＫＰ－ＡＢＥ（Ｋｅｙ－Ｐｏｌｉｃｙ”－、，一案组，成“×Ｇ１→Ｇ２的双线性映射，若用户解密密钥属性满足密文的访问策略，则加密密文可以被解密。

　　１．３ＭＱＴＴ网络传输协议

　　ＭＱＴＴ（ＭｅｓｓａｇｅＱｕｅｕｉｎｇＴｅｌｅｍｅｔｒｙＴｒａｎｓｐｏｒｔ）传输协议为物联网多设备通信的网络协议，使用消息发布／订阅模式提供一对多的数据通信传输服务，存在发布者（Ｐｕｂｌｉｓｈ）、代理服务器（Ｂｒｏｋｅｒ）、订阅者（Ｓｕｂｓｃｒｉｂｅ）等通信参与模块［２］。依据搭建好的ＭｙＳＱＬ关系型数据库、ＩＰＦＳ文件系统数据库，设置ＭＱＴＴ网络通信的Ｔｏｐｉｃ消息类型、ｐａｙｌｏａｄ消息内容，由外部客户端向服务器端发送请求，服务器端响应请求后实时共享文档、图片、音频、视频等数据资源。ＭＱＴＴ服务器存在身份认证模块、访问控制模块，会自动化管理外部设备登入／登出、主题发布、数据转发操作，将加密的用户身份标识号（ＩＤ）、数字签名和公钥等数据信息写入ＩＰＦＳ数据库中。

　　１．４复合账户控制机制

　　物联网用户匿名账号、隐私数据加密控制，通常基于区块链复合账户机制，由后端数据库管理人员完全控制多方帐户，并基于生成的匿名用户帐户发布加密和解密签名密钥，作出物联网网络节点的数字签名、加密／解密任务执行。也即在原有物联网传输数据加密的基础上，增加网络节点数据通信的节点加密、解密操作，设置用户（ｕ）、服务（ｓ）、数字签名（ｓｉｇ）、私有秘钥ＳＫ等复合账户控制机制，实现隐私数据传输与共享的网络节点安全控制。

　　１．５分布式存储技术

　　基于区块链技术的物联网数据隐私防护与共享，通常采用去中心化、分布式数据存储方案，将海量化、不同类型数据信息分布存储于各数据块之中。通常情况下，区块链分布式存储分为云存储系统、本地服务器等两种模式，云存储系统模式是将结构化、非结构化数据封装为数据文件形式来完成对象存储；本地服务器存储是先将传输的用户访问控制数据、隐私数据缓存至相应网络节点，再以数据块形式存储至后台服务器、数据库。当单一的物联网节点受到攻击时，其他网络节点仍然可保持加密数据传输、数据存储和共享管理的正常运行，提高了私有数据的分布式处理效率、降低了数据存储成本和安全风险。

　　２基于区块链及属性基加密的物联网数据协同共享模型

　　基于区块链的数据协同共享模型，通常由数据管理者（ＤＭ）、数据请求者（ＤＲ）、属性基数据加密、访问身份认证模块（ＣＡ）、区块链模块（Ｂｌｏｃｋｃｈａｉｎ）、ＴＡＳ服务器等结构组成，具体如图１所示［３］。其中数据管理者为物联网智能设备数据资源的拥有者，负责访问控制结构部署、网络数据对称加密；数据请求者为外部访问主体，负责数据访问请求发送、区块链解密结果验证，二者都可被看作区块联盟链的网络节点。

　　数据请求者发送物联网智能设备的访问请求后，由数据管理者根据制定的访问策略，调用智能合约ＳＣ生成数据的信息描述，只有在用户解密密钥属性满足密文的访问策略时，才被允许访问数据。而在数据管理者的物联网数据加密中，通常使用ＣＰ－ＡＢＥ属性基数据加密算法进行加密，得到密文数据后上传至ＩＰＦＳ分布式数据库中。ＩＰＦＳ分布式文件系统根据加密后的密文数据，生成用户身份标识号（ＩＤ）、密文数据ｈａｓｈ地址并回传至数据管理者，将不同物联网数据寻址后的ｈａｓｈ地址存储于分布式ｈａｓｈ列表之中。

　　数据请求者从ＩＰＦＳ分布式数据库中下载数据，根据数据管理者调用智能合约ＳＣ上传的数据信息描述，判定自身是否需要该数据，若需要，则对其进行ＣＰ－ＡＢＥ属性基数据解密、根据ｈａｓｈ地址标识下载数据信息，否则舍弃。授权中心ＫＧＣ负责预定义数据属性、节点私钥ＳＫ生成，根据智能合约的约束协议更新属性集、更新或撤销用户权限［４］。

　　３区块链技术下物联网数据信息加解密、协同共享研究
　　３．１双线性映射配对

　　双线性映射为物联网云计算数据共享的初始化阶段。假设令｛Ｇ１，Ｇ２，…，Ｇｎ｝为参与共享的数据属性集合，若存在集合Ａ⊆｛Ｇ１，Ｇ２，…，Ｇｎ｝且Ｂ∈Ａ＆Ｂ⊆Ｃ，则Ｃ∈Ａ，这一访问结构被定义为用户解密密钥的属性访问策略。也即若用户｛１，２，３，４｝属性中只有（１，２）或（３，４）合作才能解密密钥，则（１，３，４）合作也可以解密密钥［５］。

　　Ｇ１、Ｇ２和ＧＴ表示３个均为ｐ阶的属性循环群，ｇ１、ｇ２分别为Ｇ１和Ｇ２的生成元，ｅ（）为双线性对，则Ｇ１×Ｇ２→ＧＴ表示属性循环群的双线性映射，且满足如下３个条件：

　　①对于任意的ａ，ｂ∈ＺＮ、ｇ１∈Ｇ１、ｇ２∈Ｇ２，存在ｅ（ｇ，ｇ）＝ｅ（ｇ１，ｇ２）ａｂ。

　　②存在任意ｇ１∈Ｇ１、ｇ２∈Ｇ２，使得ｅ（ｇ１，ｇ２）在属性循环群ＧＴ中的阶数为ｐ。

　　③对于任意ｇ１∈Ｇ１、ｇ２∈Ｇ２，存在有效多项式时间算法计算ｅ（ｇ１，ｇ２）∈ＧＴ。

　　那么，物联网云服务系统公钥ＰＫ、节点私钥ＳＫ的共享方案设置如式（１）（２）所示。

　　ＰＫ＝（ｐ，Ｇ１，Ｇ２，ＧＴ，ｅ，ｇ１，ｇ２）（１）

　　ＳＫ＝（ａ，ｂ，Ｚｎ，ｇ１，ｇ２）（２）

　　３．２用户注册与数据上传

　　用户注册为物联网云服务平台中新用户创建、隐私数据管理的验证流程。在外部用户向ＣＡ数字认证中心发送注册请求后，由授权中心对用户ＩＤ合法性作出验证，若结果为“ｉｆ验证结果！＝ｔｒｕｅｔｈｅｎ”表明用户合法，则将用户信息存储至区块链中。

　　由数据管理者依据以上属性访问控制策略，将智能设备的隐私数据作出上传与加密操作。选择对称密钥ｋ、ｋ∈ＧＴ，利用属性密钥ｋ将物联网隐私数据ｍ加密为ＣＴｍ，存储加密后的数据至ＩＰＦＳ数据库中，由ＩＰＦＳ数据库返回ＣＴｍ数据的ｈａｓｈ存储地址，具体数据上传的函数代码如下。

　　ＩｎｐｕｔｍＧ１×Ｇ２→ＧＴ；

　　Ｅｎｃｋ（ｍ）→ＣＴｍ，将对称加密算法指令统一集成到ｅｎｃ指令中；

　　ＣＴｍ→ＩＰＦＳａｄｄｒ，将ＣＴｍ加密数据发送到ＩＰＦＳ数据库；

　　ＣＴ（ＣＴ１，ＣＴ２）←（ＰＫ，ＩＤ，ｋ，ｈａｓｈＣＴ，ＧＴ），将ＣＴ作为访问策略块存储；

　　ｒｅｔｕｒｎＣＴｍ，ＣＴ。

　　３．３智能合约权限管理

　　智能合约与账本为区块链数据共享管理的核心组件，也被称为智能合约链码（Ｃｈａｉｎｃｏｄｅ），用于物联网设备注册、设备行为记录、权限管理、数据查询等任务执行的管理。智能合约约束协议存在“ＣｏｎｎｅｃｔＡｕｔｈ客户端登录验证”“ＥｘｃｈａｎｇｅＫｅｙ客户端通信密钥上传”“ＣｌｉｅｎｔＳｕｂｓｃｒｉｂｅ／ｔＣｏｎｎｅｃｔ上链客户端订阅／连接记录”“ＧｅｔＤａｔａＩｎｆｏｒｍａｔｉｏｎ数据通信密钥和摘要获取”“ＵｐｌｏａｄＤａｔａＨａｓｈ客户端数据摘要上传”等约束函数［６］。

　　基于智能合约比较区块链存储用户信息、用户数字证书信息是否一致，以此验证用户操作物联网智能设备的合法性。由物联网智能设备向ＴＡＳ服务器发送“ｃｌｉｅｎｔＩＤ”“ｕｓｅｒｎａｍｅ”“ｐａｓｓｗｏｒｄ”的函数字段，进行设备注册、客户端登录、密钥交换等操作的合法性认证，调动“ＣｏｎｎｅｃｔＡｕｔｈ”客户端登录验证合约函数，以“ｕｓｅｒｎａｍｅ”为键查询区块链账本获取用户公钥、私钥对，验证设备密钥签名、密文认证登录的合法性［７］。

　　３．４数据属性基加密

　　基于区块链技术的物联网隐私数据加密，具有分布式结构、去中心化属性特征。采用ＣＰ－ＡＢＥ属性基密文加密方案，定义Ｇ１、Ｇ２和ＧＴ为椭圆曲线Ｅｐ（ａ，ｂ）的循环子群，首先，将系统发送公钥ＰＫ编码为椭圆曲线上的一个点ｇｍ＝（ｘｍ，ｙｍ），对该ｇｍ点进行加解密变换运算，然后对该点ｇｍ的解密数据进行逆向译码得到明文，具体算法加解密执行过程如下：

　　①密钥生成（ＫｅｙＧｅｎ）。选取椭圆曲线Ｅｐ（ａ，ｂ）上阶数为ｐ的生成元ｇ，依据物联网加密数据的公钥ＰＫ、属性密钥ｋ、属性集合Ｇ作为输入，通过ＫｅｙＧｅｎ算法生成用户私钥ＳＫ，ＫｅｙＧｅｎ（ＰＫ，ｋ，Ｇ）→ＳＫ。

　　②数据加密（Ｅｎｃｒｙｐｔ）。在点ｇ隐私数据加密变换中，利用ＡＢＥ密钥ｋ（１＜ｋ＜ｎ）的随机整数，计算Ｃ１＝ｋｇ、Ｃ２＝ｇｍ＋ｋ（ｘｍ，ｙｍ），则加密完成后的密文可表示为Ｃ＝（Ｃ１，Ｃ２）。

　　③解密（Ｄｅｃｒｙｐｔ）。对于Ｃ＝（Ｃ１，Ｃ２）加密密文的解密，通常根据以上加密数据的用户私钥计算Ｃ２－ｘＣ１＝ｇｍ＋ｋｘｍｇｍ－（Ｃ１，Ｃ２）计算出ｇｍ，则需求取基于ＡＢＥ密钥ｋ的离散对数问题。

　　④ＩＰＦＤ隐私数据存储。加密数据通过ＩＰＦＤ数据库，返回数据访问的ｈａｓｈ存储地址ｈａｓｈＣＴ，将解密后的隐私数据Ｄｅｃｒｙｐｔ（ＰＫ，ＳＫ，ｈａｓｈＣＴ）→ＣＴ存储至ＩＰＦＤ数据库中。

　　３．５区块链隐私数据共享

　　根据外部用户对物联网不同隐私数据的访问情况，从ＩＰＦＤ数据库中获取数据属性集合｛Ｇ１，Ｇ２，…，Ｇｎ｝、解密数据ＣＴｍ，系统共享的隐私数据资源包括数据库存储的加密数据、客户订阅主题数据［８］。当外部用户想要访问共享的隐私数据时，需向授权中心提交用户身份ＩＤ、验证其身份合法，随后调用ＣＰ－ＡＢＥ属性基加密算法从交易块中获得密文ＣＴｍ，判定用户解密密钥属性集是否满足密文的访问策略，若满足则得到对称加密密钥ｋ、数据存储地址ｈａｓｈＣＴ，使用密钥ｋ解密获得隐私数据，具体隐私数据访问共享的流程如图２所示。

　　在智能设备发布隐私数据后，基于ＴＡ服务器将隐私数据写入ＩＰＦＤ数据库，根据条目数量将其打包成数据块，从数据块中提取不可逆的消息摘要信息，并将消息摘要信息与数据ｈａｓｈ地址、时间范围等信息整合后上传到区块链。当用户Ａ向用户Ｂ提供数据摘要和通信密钥等信息时，设置一次性数据共享密码以授权数据访问权限，用户Ｂ可通过授权的数据访问权限和数据地址获得加密的私有数据，最后基于智能合约的约束函数进行数据的完整性验证，使用对称密钥ｋ对私有数据进行解密得到明文数据。

　　４仿真实验及结果分析４．１实验环境设置

　　基于Ｉｎｔｅｌｉ７－４７９０ｋＣＰＵ＠３．６０ＧＨｚ１６ＧＢ１ＴＢ网络计算机、Hyperledger Fabric平台、管理者服务器等软硬件，搭建用于CP-ABE算法属性基加解密的实验环境，部署Fabric区块链的区块链节点(1个）、IPFS数据库节点(3个）、Zookeeper服务协调节点(3个）、排序节点(3个），将多个组件节点部署到1台工作机上。

　　选择最多包含30个属性的多个数据集，基于CP-ABE算法、Base-N算法（对比算法）进行属性基的加解密测试，加解密数据集大小分别为10MB、100MB、200MB、500MB、800MB、1024MB,测试在细粒度模型下对隐私数据加解密的实现性能，所有实验重复50次区平均值。

　　4.2实验结果分析

　　在同一算法模型下对不同大小的数据集进行加解密，由于更大数据集的数据属性数更多，使用CP-ABE属性基算法占用的加解密时间也更长。在CP-ABE算法、Base-N算法等不同算法模型下，对10MB、100MB、200MB、500MB、800MB、1024MB等多个数据集进行隐私数据加解密操作，发现在加解密大小为100MB以内的数据集时，CP-ABE、B~ase-N两种算法的执行性能不存在较大差别，都控制在200 800ms之间。

　　但若加解密的数据集增加至500MB、800MB、1024MB,且测试中存在IPFS数据库的数据上传、下载等程序执行情况，则使用Base-~N算法的数据集加解密运算方案、耗费时长将密、解密，由于将解密过程放置于区块链的智能合约中运行，其加解密运算耗时可控制在2000~5000ms,大大优于作为对比的Base-N算法加解密方案，且在访问控制数据属性多、密文访问结构复杂情况下，使用CP-ABE属性基算法的解密时间控制更稳定、区块链数据的节点共享效果更好。

　　5结语

　　物联网智能设备隐私数据的跨域传输与共享，可针对不同信任域TA构建区块链，利用IPFS分布式文件系统、KP-ABE属性基加密算法、MQTT网络传输协议制定访问控制策略，作出跨域数据传输的对称加密／解密操作，利用智能合约对接入的智能设备进行身份认证、数据访问控制、数据共享记录及密钥管理。通过基于区块链技术、属性基加密算法建立起物联网数据协同共享模型，基本上可实现区块链“链上”“链下”隐私数据的可追溯性管理，保证细粒度数据访问控制、提升数据共享管理的安全性。

　　［参考文献］

　　[1]陈鹏阁，柏粉花，张弛，江年旗．适用于物联网数据共享的区块链节点存储优化方案[J].通信技术，2022(07):905-910.

　　[2]代书桥，张旭刚，江志刚．区块链视角下供应链物流管理的优化研究究[J].物流工程与管理，2023,45(05):71-73+118.

　　[3]翁晓泳．基于区块链的云计算数据共享系统研究[J].计算机工程与应用，2021(03):120-124.

　　[4]董超，王晓冬，史田雨，王皓磊．基于区块链技术的政务数据共享开放模式研究[J].中国经贸导刊（中），2020(03):4-5.

　　[5]刘朗，王卓．基于区块链技术的双链数据共享系统研究[J].信息技术与信息化，2023(06):125-128.

　　[6]王维，宋倩．区块链技术视域下的医疗数据共享安全平台设计研究[J].现代信息科技，2022(18):20-23+27.

　　[7]王畅畅，苏航，段琳娜，杨骄一，侯雅青．材料数据共享现状综述及区块链应用前景探讨[J].材料导报，2022(24):5-13.

　　[8]马小美．基于物联网技术的物流园区供应链集成管理平台构建对策[J].物流工程与管理，2023,45(01):36-38.