ABE 密碼學，以及與區塊鏈結合的價值

背景

區塊鏈技術具備篡改難度高、使用成本低、分布式的優點，本應成為各行各業的重要助力。但是由于鏈上參與方擔心自己的核心數據外泄，不愿將自己的核心數據上鏈，這個原因成為阻止區塊鏈落地的主要難題。
使用 ABE密碼學，就可以使得區塊鏈中數據所有權得到有效保護，鏈上數據歸屬權為參與者本人所有，外人無法訪問。

ABE 密碼學是什么

ABE 是基于屬性的加密，即（Attribute-Based Encryption）。與 RSA、IBE （基于身份加密）等加密方式相比，其最大的不同點是實現了一對多的加解密。也就是說，ABE 不需要像其他加密方式那樣，每次加密都必須知道接受者的身份信息，只要用戶擁有的屬性符合加密者所描述的策略時，用戶就可以解密。

例子

一個數據擁有者需要將一份明文文件，加密發送給N個不同的用戶，倘若使用傳統公鑰加密算法，數據擁有者需要首先保存這N個用戶的公鑰（不考慮公鑰證書的情況下），利用這N個不同公鑰，使用該份明文文件，加密N次，形成N份不同的密文，分別發送給這個N個用戶。

若使用ABE來完成這項任務則會輕松很多。此時，數據擁有者只需要制定一條僅有這N個用戶才能滿足的訪問策略，接著輸入公共參數PP、該條策略以及明文文件至ABE加密算法，進行加密一次，形成唯一一份密文。得到密文后，數據擁有者將該份密文分別發送給這N個不同用戶。

從加密計算開銷與存儲開銷的角度來看，ABE在該場景下（數據加密共享場景）相較于傳統公鑰加密算法，有著肉眼可見的性能優勢，此處便不再贅述。

屬性指的是什么

屬性可以理解為一個對象具有的某些特征。舉個例子，Jacky Li 是 A 大學信息安全學院的教授，那么「A 大學」，「信息安全學院」以及「教授」就是 ABE 中刻畫 Jacky Li 這個人的多個屬性，多個不同的屬性，可以構成不同的屬性集合。在此基礎上，策略實際即是由屬性及它們間關系所組成的一個邏輯表達式。
倘若拋開嚴謹的定義，用一句話說明 ABE 公鑰加密算法，其實就是看屬性集合與策略是否匹配密碼要求的過程。
在 ABE 中，需要弱化公鑰這一概念，稱之為公共參數（public parameter）。屬性集合則被嵌入到私鑰中，如果用戶擁有的屬性可以與密碼要求的策略匹配成功，就可以成功解密。

具體的例子

假設現有一條密文策略規定：參與 X 課題 or （信息安全學院 and A 大學 and 教授）
這條策略表達的含義是，唯有 X 課題組的成員或 A 大學信息安全學院的教授才能滿足要求進行解密。現在有三個用戶，分別是 A 大學信息安全學院的 Alan 教授，A 大學經濟管理學院的 Black 教授，B 大學參與 X 課題的 Charles 教授。
三個用戶中，Alan 的屬性集合{計算機學院，A 大學，教授}滿足要求，Charles 的屬性{參與 X 課題}也滿足要求，但是 Black 的屬性不能滿足要求。所以 Alan 和 Charles 解密成功，而 Black 解密失敗。

兩種不同的方案

目前，實現 ABE 的方案主要有 CP-ABE （密文策略 ABE）和 KP-ABE （秘鑰策略 ABE）。二者最大的分別在于策略和屬性的匹配方式上。
CP-ABE，指的是策略嵌入在密文中，屬性集合嵌入到密鑰中，當且僅當屬性能夠滿足策略時可以解密。
KP-ABE 是指，策略嵌入到密鑰中，屬性集合嵌入到密文中。
雖然在結構上，二者具有明顯的對偶關系，但在實際使用中，二者的應用場景卻有著明顯的不同。
CP-ABE 由于策略嵌入密文中，這就意味著，數據擁有者可以通過設定策略去決定擁有哪些屬性的人能夠訪問這份密文，也就相當于對這份數據做了一個加密訪問控制。CP-ABE 的應用場景一般是公有云上的數據加密存儲與共享。
KP-ABE 的應用場景則更加偏向于付費視頻網站、日志加密管理等等。

5 分鐘了解 ABE 密碼學，以及與區塊鏈結合的價值

CP-ABE?

簡介

CP-ABE(ciphertext policy attribute based encryption，密文策略屬性基加密系統)：所謂密文政策加密系統是指，密文對應于一個訪問結構而密鑰對應于屬性集合，解密當且僅當屬性集合中的屬性能夠滿足此訪問結構。這種設計比較接近于現實中的應用場景，可以假象每個用戶根據自身條件或者屬性從屬性機構得到密鑰，然后加密者來制定對消息的訪問控制。

流程?

設置：使用隨機算法，輸入隱藏的安全參數，輸出公開參數PK和一個主密鑰MK。
加密：使用隨機算法，輸入一個消息m、一個訪問結構A、公開參數PK，輸出密文E。?
密鑰生成：使用隨機算法，輸入一組屬性Y、主密鑰MK、公開參數PK，輸出一個解密密鑰D。
解密算法輸入：?基于訪問結構A加密的密文E，對應屬性組Y的解密密鑰D，公開參數PK。如果Y∈A，輸出X消息m。

KP-ABE?

簡介

KP-ABE?(key policy attribute based encryption，密鑰策略屬性基加密系統)：所謂密鑰政策加密系統是指，密鑰對應于一個訪問控制而密文對應于一個屬性集合，解密當且僅當屬性集合中的屬性能夠滿足此訪問結構。這種設計比較接近靜態場景，此時密文用與其相關的屬性加密存放在服務器上，當允許用戶得到某些消息時，就分配一個特定的訪問結構給用戶。

流程

設置：使用隨機算法，輸入隱藏的安全參數，輸出公開參數PK和一個主密鑰MK。
加密：使用隨機算法，輸入一個消息m、一組屬性Y、公開參數PK，輸出密文E。?
密鑰生成：使用隨機算法，輸入訪問結構A、主密鑰MK、公開參數PK，輸出一個解密密鑰D。
解密算法輸入：?基于屬性組Y加密的密文E，對應訪問結構A的解密密鑰D，公開參數PK。如果Y∈A，輸出X消息m。

與區塊鏈怎么結合? ?隱私

區塊鏈的一大特點在于數據共享，這本是區塊鏈的一大優點。然而，在實際應用中，很多參與者的數據很涉及機密，數據所有者并不樂意把自己的數據公開出來。
比如在金融領域。數據上鏈可以提高數據本身的安全性，也有利于監管機構從區塊鏈中調取數據進行監管，這些我們都知道了。但是為什么金融領域的區塊鏈應用遲遲推進不下去呢？一個亟待解決的重要問題是，金融公司本身不愿意將數據存在鏈上。因為這些數據都是相當敏感且重要的，一旦數據外泄，會帶來不小的損失。
通過 ABE，金融公司可以將自己的數據加密后傳到區塊鏈上。由于數據全程都是密文，鏈上其他人只能看到加密之后的亂碼，沒有使用價值，拿到了也沒有用。與之相對，金融公司自身可以控制誰能對數據進行訪問，只需要把數據訪問的權限交給監管機構和與之有數據合作的伙伴即可。
傳統的加密方式是將數據加密后，將秘鑰發送給各個需要訪問數據的機構，這種方式效率雖然比較高，但是一旦秘鑰外泄，無法斷定是哪一個機構作為。相比起傳統的加密，ABE 的好處很明顯，因為每一個機構的屬性不盡相同，其秘鑰也不盡相同，一旦我把秘鑰泄露給外界，很容易就被追查得到。
CP-ABE不需要像其它加密方式那樣，如非對稱加密，每次加密都必須知道接收者的身份信息且發送給多個用戶時必須加密多次，CP-ABE只需要設置訪問策略僅執行一次加密，當用戶擁有的屬性符合加密者所描述的策略時，數據使用者就可以解密。
可解決對稱加密密鑰傳輸帶來的密鑰泄露的問題，保護了數據擁有者信息，也保護了數據使用者信息。

支持用戶屬性可撤銷和恢復的CP-ABE算法實現步驟

CP-ABE主要由7個步驟組成，前兩步均在證書頒發中心(CA)執行，并存儲PK\MK\UK：

初始化：初始化算法為隨機化算法，初始化僅生成系統公鑰PK、系統主秘鑰MSK。
撤銷機構初始化：輸入參數為PK，生成一個素數域P，為每個屬性att計算list=1。算法輸出初始化的P，map<userGID,prime>及map<att,list>，list并不是我們常見的list，而是一個大數，且為素數，用來記錄是否被撤銷。
秘鑰生成KeyGen：可信授權中心根據PK、MK和數據請求者提交的屬性集合S，為數據請求者生成與屬性集合關聯的用戶秘鑰UK。在素數域中為用戶申請一個素數prime，從P中刪除這個prime，保證不同用戶獲取的prime不一樣，然后素數存入映射表map<userGID,prime>中。
加密Encrypt：加密算法（隨機化算法）輸入參數為PK、待加密消息M、訪問策略關聯的訪問控制結構，輸出基于屬性加密的密文。
解密Decrypt：解密為確定化算法，由數據請求者執行。解密分為兩個步驟，第一步：訪問策略樹的葉子節點，令i=att(x)，x表示密文策略訪問樹的葉子節點，(函數att(x)返回節點x所對應的屬性)，如果i∈S，算法獲取該屬性對應的撤銷列表list并取模list%prime。若值不為0，表明該用戶未被撤銷，若為0，表示已被撤銷，解密結束；第二步：當第一步驗證通過后，算法輸入UK、密文M，如果屬性集合滿足訪問策略，算法可成功解密密文M。
用戶屬性撤銷：算法輸入參數為屬性att，屬性對應的撤銷列表list、用戶user及用戶對應的素數prime。當用戶user被撤銷屬性att時，DO分別從映射表map＜user，prime＞和map＜att，list＞取出用戶對應的素數prime及屬性對應的撤銷列表list，并計算list'=list×prime。屬性att對應的撤銷列表更新為list'。
用戶屬性恢復：算法輸入參數為屬性att，屬性對應的撤銷列表list、用戶user及用戶對應的素數prime。用戶被撤銷可能是暫時的，當用戶user重新擁有屬性att時，DO分別從映射表map＜user，prime＞和map＜att，list＞取出用戶對應的素數prime及屬性對應的撤銷列表list，并計算list'=list÷prime。屬性att對應的撤銷列表更新為list'。

用戶和秘鑰管理

用戶管理

用戶擁有的基本信息（最小數據集合）：GID（CA提供或業務方提供，但要保證全局唯一性）、CP-ABE用戶屬性（業務方提供）、唯一素數（CA用戶注冊單元提供）、私鑰（CA用戶私鑰生成單元產生）。
用戶提交信息（GID、CP-ABE用戶屬性、唯一素數）到CA，申請注冊和生成用戶私鑰，用戶私鑰存在CA中，CA提供接口查詢用戶和用戶私鑰獲取。

策略更改

在實際工程應用中，撤銷方案盡量選擇復雜度低、計算開銷小、實現簡單的方案。因此，本設計中采用的策略撤銷方案：通過固定長度的撤銷列表記錄撤銷用戶，撤銷過程不必更新系統及相關用戶的秘鑰，可大大降低撤銷所引起的計算開銷。

撤銷

用戶屬性撤銷：算法輸入參數為屬性att，屬性對應的撤銷列表list、用戶user及用戶對應的素數prime。當用戶user被撤銷屬性att時，DO分別從映射表map＜user，prime＞和map＜att，list＞取出用戶對應的素數prime及屬性對應的撤銷列表list，并計算list'=list×prime。屬性att對應的撤銷列表更新為list'。

恢復

用戶屬性恢復：算法輸入參數為屬性att，屬性對應的撤銷列表list、用戶user及用戶對應的素數prime。用戶被撤銷可能是暫時的，當用戶user重新擁有屬性att時，DO分別從映射表map＜user，prime＞和map＜att，list＞取出用戶對應的素數prime及屬性對應的撤銷列表list，并計算list'=list÷prime。屬性att對應的撤銷列表更新為list'。