1、第 31 卷 第 1 期北京电子科技学院学报2023 年 3 月Vol31 No1Journal of Beijing Electronic Science and Technology InstituteMar2023基于代理重加密的区块链学生档案管理系统设计研究*韩妍妍1,2魏万奇1窦凯丽11北京电子科技学院,北京市1000702西安电子科技大学,西安市710071摘要:伴随着信息技术的高速发展和高等教育的普及,传统的中心化高校学生档案管理平台已经不能满足日益增长的需求,数字化档案系统建设已经成为一种必然趋势。传统的中心化档案管理系统存在数据容易被篡改、数据不一致、数据共享难等问题。针对这
2、些问题,区块链技术去中心化和去信任的特性基本解决了目前数字化档案所存在的安全和信任问题,但是可用性较差、扩展性不强,并且当电子档案遭到破坏后无法恢复,难以满足档案数据共享的实际要求。本文提出一种基于代理重加密的区块链档案数据共享模型,并在此基础上设计实现了一种基于代理重加密的区块链学生档案管理系统,性能分析表明系统在加密和解密阶段的计算开销相对较小,而且执行效率相对较高,在档案数据共享场景具备一定的优势和实用性。关键词:学生档案管理;代理重加密;星际文件系统;区块链;智能合约中图分类号:TP311文献标识码:A文章编号:1672464X(2023)13044*基金项目:北京高校高精尖学科建设项
3、目(项目编号:3201023);北京电子科技学院基本科研业务费优硕培养类资助项目(项目编号:328202233)作者简介:韩妍妍(1982),女,通信作者,博士,副研究员,主要从事秘密共享、信息安全管理、区块链研究,E-mail:hyy bestieducn;魏万奇(1998),男,硕士研究生,主要研究方向为区块链技术及其应用;窦凯丽(1997),女,硕士研究生,主要研究方向为可视密码。引言上世纪 90 年代初,美国展开了对数字档案馆建设的工作1,而后其他国家受其影响都开始建设本国的数字化档案馆。上世纪 90 年代末,中国国家档案管理局开始对建设数字化档案馆进行规划,并做了相关探索和实践。20
4、02 年,国家档案管理局正式发布了全国档案信息化建设实施方案2,全国数字化档案馆建设真正开始。2014 年,国家档案管理局颁布数字档案试建设指南3 明确了我国数字化档案室建设的相关要求与策略。而近年来,伴随着高等教育的蓬勃发展以及信息化技术的全面普及,数字化的学生档案管理系统已经广泛应用于各大高校。然而数字化档案的广泛应用带来的不仅仅是高效和便捷,同时也带来了不小的安全隐患。例如高校档案目录数据库与全文数据不能实现有效挂接、数据容易被篡改等问题4 日益突出。因而构建一种安全可靠、能进行可信管理的高校学生档案管理系统势在必行。自 2008 年中第 31 卷基于代理重加密的区块链学生档案管理系统设
5、计研究本聪5 发明比特币以来,区块链技术因其去中心化、不可篡改、可追溯的特性,目前已经被广泛应用于医疗健康68、物联网9,10、电子取证11 和数字档案馆建设等领域。加拿大学者 Victoria Lemieux 将区块链技术视为一种文档管理技术,并就区块链技术是如何保证电子文件的安全性、完整性等展开了一系列分析,最终通过这些分析提出了可将区块链技术作为档案可信保存的基础框架的论断1215。此外,Lemieux 通过 Web 原理和技术来处理档案记录事务,并由此提出了一种新的数据模型16,不仅解决了区块链系统在实现档案数据记录时存在的缺失数据与档案之间的关联性问题,而且在最大程度上证明了数字档案
6、传递过程中的存取记录的真实性。由英国国家档案馆牵头,萨里大学等单位协同共建的 ACHANGLE 项目17 构建了基于以太坊平台的档案管理系统,并提出了一套相对完整的档案管理验证框架,以此实现了电子档案的信任管理。Muwafaq A18 等人设计了一种基于区块链和感知哈希图像的版权数字管理系统架构,解决了在集中式服务器中版权信息存储容易被篡改等诸多问题。以上解决方案,虽然利用区块链技术去中心化和去信任的特性基本解决了目前数字化档案所存在的安全和信任问题,但是可用性较差、扩展性不强,并且当电子档案遭到破坏后无法恢复,难以满足档案数据共享的实际要求。相较于国外,国内将区块链技术应用于数字档案管理的研
7、究起步要晚一些,但最近这几年发展迅猛。张珊19 对区块链技术在电子档案管理上的可能性做了展望,并从区块链技术的特点和应用现状出发,探讨了区块链在电子档案管理的四点适用性。刘越男20 采用文献研究的方法,对区块链技术在文件档案管理中的应用做了探讨性研究,并针对目前电子档案管理中存在的不足给出了意见与建议。张凯伦21 就目前电子文件中持续存在的问题给出了一种基于电子文件安全性管理的实际方案,并对区块链关键技术应用于电子文件安全管理做了可行性分析。赵哲22 设计了一种集档案管理、档案监控、区块链技术于一身的档案管理系统,通过结合区块链技术与监控技术增强了档案管理的安全性和可靠性。苏联灯23 提出了一
8、种基于区块链的异构档案数据安全存储模型,实现了档案文件在多场景下的安全访问。王辉24 等设计的区块链人事档案管理系统实现了人事档案的本地备份和转移共享。王迪25 提出的区块链健康档案管理方案则保证了数据共享过程中的安全性。上述方案中由于数据存储在存储网络里,且数据上传者不能泄漏自己的私钥,因而在数据共享过程中,数据上传者需要先下载文件再解密,而后再利用数据请求者的公钥加密后上传至存储网络中,之后数据请求者便可以从存储网络中获取文件。因而上述解决方案仅使用了存储网络的存储功能,但并未使用存储网络的计算功能。代理重加密技术则充分利用了存储网络的存储功能和计算功能,用户只需计算代理重加密密钥便可完成
9、数据共享,因而代理重加密技术在数据共享领域具有广泛的应用。Samanthula 等人26 设计了一种基于云计算的数据安全共享和查询框架,利用同态加密和代理重加密有效防止了被撤销的用户重新加入系统时泄露未经授权的数据。Deng 等人27 提出一种基于混合属性的代理重加密方案,是资源首先的用户可以有效地访问之前属性加密的数据。Wang 等人28 利用身份代理重加密技术,实现了社交云数据受控共享。Su 等人29 针对物联网节点提出基于代理重加密的可信授权方案,实现了在授权服务器下数据的安全共享。苏铓等人30 提出一种基于代理重加密的云数据访问授权确定性更新方案,实现了授权变更时密钥的确定性更新。以上
10、方案主要是利用代理重加密技术在云平台或大数据环境实现数据共享,但并不适用于在区块链上进行高效稳定的数据共享。13北京电子科技学院学报2023 年为解决上述问题,张小红等人31 在以上解决方案的基础上,提出一种支持关键字检索及属性代理重加密的区块链存储共享方案,实现了信息存储的高效共享。李莉等人32 构建了基于Schnorr 的代理重加密方案,实现了数据的安全共享。唐飞等人33 提出一种基于区块链和代理重加密的电子处方共享方案,解决了电子处方存储中心化、共享困难及传输安全性高等问题。李雪莲等人34 针对医疗数据共享领域存在的访问控制、隐私泄露等问题,提出一种隐藏访问策略的属性加密与代理重加密相结
11、合的方案。翟社平等人35 提出一种基于区块链的属性代理重加密数据共享方案,有效解决了传统数据管理方式中存在的数据存储中心化、数据共享难等问题。薛庆水等人36 针对联盟链之间存在的存储压力大、互操作性差等问题,提出一种基于条件代理重加密的跨链数据共享方案。综合上述分析,本文面向学生数字档案管理领域,提出一种基于代理重加密的区块链档案数据共享模型,在此基础上设计并实现一种基于代理重加密的区块链学生档案管理系统。利用区块链技术解决数字化档案所存在的安全和信任问题,利用代理重加密实现区块链上高效信息共享。本文的贡献主要有以下几点:(1)提出一种基于代理重加密的区块链档案数据共享模型。利用 SM2 密码
12、算法构造代理重加密算法保障数据安全,在保障电子档案数据共享过程安全性的同时,降低了开销,提高了工作效率。(2)设计并实现一种基于代理重加密的区块链学生档案管理系统。系统利用区块链和星际文件系统技术解决了传统高校学生档案管理学系统存在的数据易篡改、数据难恢复等问题。(3)构造出一种“本地 MySQL+星际文件系统”双数据库存储模式。采用此种模式不仅提高了查询效率,而且有效防止了数据伪造、数据受损后难以恢复等问题。(4)安全性分析和性能分析表明,本文提出的方案不仅解决了高校学生电子档案所存在的数据受损后难以恢复、可用性较差、扩展性不强等问题,而且在功能性、计算开销等方面更好适应区块链环境下档案数据
13、共享。1相关技术1.1区块链技术区块链技术37 是一种去中心化的技术,与传统的中心化数据库相比,这种新兴技术采用了分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。整个区块链架构可分为六层,自底向上可分为数据层、网络层、共识层、激励层、合约层和应用层。其中,第一层是数据层,封装了 Merkle 树和时间戳等技术,描述了区块链底层的组成原理;第二层是网络层,包含 P2P 网络机制、验证机制等,各节点共同维护整个区块链系统;第三层是共识层,主要解决当整个区块链系统中存在故障节点时如何达成共识的问题;第四层是激励层,通过采取一定的激励措施来鼓励系统中的节点能够积极参与到整个区
14、块链系统的维护与验证当中;第五层是合约层,通过自动化脚本代码来完成对数据的操作,以此来减少外界对交易的干扰;第六层是应用层,封装了各种应用到区块链技术的实际场景。1.2SM2 加密算法SM238 加密算法是我国自主产权的商用密码算法,属于椭圆加密算法的一种,所依据难题为椭圆曲线上的离散对数问题。SM2 算法加密与解密过程如下所示。(1)加密过程给定参数 parameters,明文消息比特串 m,其比特长度为 m_len,用公钥 P 做如下加密。a)随机数发生器产生一个随机数 k (1,n 1)。23第 31 卷基于代理重加密的区块链学生档案管理系统设计研究b)计算椭圆曲线点 Q1=k G=(x
15、1,y1),并将 Q1的数据类型转化为比特串;c)计算 k P=(x2,y2);d)计算 trans=KDF(x2y2,m_len);e)计算 Q2=m trans;f)计算 Q3=Hash(x2y2m);g)得到密文 Q=(Q1,Q2,Q3)。(2)解密过程给定参数 parameters,密文 Q=(Q1,Q2,Q3),用公钥 S 进行解密。a)计算 S Q1=(x2,y2);b)计算 trans=KDF(x2y2,m_len);c)计算 m=Q2 trans;d)计算 Q3=Hash(x2y2m),若 Q3=Q3,输出 m。1.3代理重加密代理重加密39(Proxy e-Encryptio
16、n,PE)是密文间的一种密钥转换机制,在 1998 年的欧洲密码学年会上,由 Blaze40 等人首次提出。PE 中的代理者通过发送者的私钥和接收者的公钥组成的重加密密钥实现对密文的转换,接收者在收到转换后的密文后可利用自己的私钥解密来获取明文。图 1 描述了运用 PE 对数据进行加解密的过程。本文利用 1.2 节所述 SM2 算法来生成发送者和接受者的公钥和私钥,并利用 PE 技术实现对数字档案加密共享。整个 PE 过程中,代理者无法获取与明文有关的任何信息,从而保证了数据的安全性。图 1代理重加密过程1.4星际文件系统星 际 文 件 系 统38(Inter Planetary FileSystem,IPFS)是一种基于点对点方式的文件共享系统,其目的在于改变信息分发的方式。同时,IPFS 也是一种基于内容寻址、版本化以及点对点超媒体的分布式协议,集分布式哈希表、自认证文件等系统的优势于一身,采用永久的去中心化保存和共享文件方式,切实保障了文件存取过程中的安全性。IPFS 的工作原理包含三个基本原则:一是文件唯一标识通过内容寻址来实现;二是数据之间的链接与访问通过有向非循环图来实现;
