一個基于盲簽名技術的智能合約模型

楊 茜 黃曉芳

(西南科技大學計算機科學與技術學院 四川綿陽 621010)

“智能合約”概念于1996年由學者Nick Szabo初次定義：一個智能合約是一套以數字形式定義的承諾，包括合約參與方可以在其上執行這些承諾的協議[1]，其基本理念是將合約條款嵌入到硬物理實體并通過協議與用戶接口來促進合約的自動執行。而區塊鏈[2]的提出使智能合約的執行獲得了可信的環境，其去中心化、不可篡改等特質使得合約能夠公平公正執行。但是，區塊鏈中的交易存儲在公開的全局賬本中，智能合約的整個生命周期均全網廣播并被記錄，即使合約方可通過偽造公鑰來提高匿名性，攻擊者仍能通過分析獲取到交易信息中的關聯關系發現匿名地址對應的真實身份信息[3]，并且大部分金融合同交易的真實數據涉及到機密不便公開，此時合約的隱私得不到保護，這便成為去中心化智能合約被廣泛采納的主要障礙。本文針對以上問題，提出基于部分盲簽名算法的智能合約模型，該模型通過引入管理節點達到更好的匿名性，使用部分盲簽名算法改善智能合約的隱私保護問題，使得區塊鏈節點無法知曉合約方的身份、所簽署合約等關鍵信息。本文引入部分盲簽名技術及管理節點并未改變區塊鏈底層協議，故與以太坊系統兼容。

1 相關工作

1.1 區塊鏈技術研究

區塊鏈(blockchain)，即通過去中心化和去信任方式集體維護一個可靠數據庫的技術方案[2]。該方案讓系統的任意多個節點把一段時間內所有信息交流的數據通過密碼學算法計算和記錄到一個數據塊(block)中，并且生成該數據塊的唯一標識(hash值)用于鏈接(chain)下個數據塊和校驗，系統所有參與節點通過共識算法的執行來確定記錄的真實性，并維護數據的一致性。區塊鏈把數據分為若干區塊，每個區塊依據特定的信息鏈接到上一區塊，前后順次相連呈現一套完整的數據。每個區塊的塊頭包含前一區塊的哈希值，該值是對前一區塊的塊頭進行哈希函數計算而得到，各區塊間都由這樣的哈希值與先前的區塊相連構成一個鏈條，如圖1所示。

圖1 區塊鏈工作原理Fig. 1 Working principle of blockchain

1.2 智能合約研究現狀

用智能合約替代紙質合約可以大大地減少在合約制定、控制協議和執行效能上的人工花費與計算成本，而且能使以前無法完成的新類型合同成為可能，并且智能合約能夠弱化風險、擴大信任以及增加其他締約機會[4]。在文獻[5]中Nick Szabo定義了智能合約的3大重要性質：可觀察性、可驗證性與接入控制。將智能合約和區塊鏈技術相結合則更好地滿足上述3點，區塊鏈可實現智能合約的去中心化，即智能合約是基于安全公開賬本且沒有中心化監管執行的合約，參與者可以在沒有第三方監管的前提下自動履行合約內容。如圖2所示是智能合約的概念模式：通常情況下，智能合約封裝預定義的若干狀態、轉換規則、觸發條件以及應對操作等，經各方簽署后以程序代碼的形式附著在區塊鏈數據上, 經P2P網絡傳播和節點驗證后記入各個節點的分布式賬本中，區塊鏈可以實時監控整個智能合約的狀態，在核查外部數據源確認滿足特定的觸發條件后激活并執行合約[6]。

圖2 智能合約概念模式Fig. 2 Conceptual model of smart contract

以太坊[7]是首個具有圖靈完備編程語言的區塊鏈平臺，Augur[8]，Counterparty[9]等基于以太坊或者通過分叉而來的智能合約應用也隨之產生。但是，現有的智能合約模型并未保證交易的隱私性，其主要關注點在于交易的公平性，Asokan[11]等所提出的公平交換協議中所需的中心化可信第三方等特質被Liu等[10]基于以太坊的智能合約所替換，但他們將交換的數字內容直接存儲在智能合約中，因此合約的隱私無法得到保障。Hawk[12]利用可信計算環境來解決合約內容的隱私問題，而不是針對代碼自身或是用戶查詢請求的隱私性。Quorum[13]基于實際業務情況將數據劃分為隱私和公開兩部分進行操作以保護用戶隱私。

1.3 盲簽名技術

1983年Chaum[14]首次提出盲數字簽名的方案，即簽名者在不知道所簽文件或消息具體內容的情況下進行簽署，而發送者卻可以從簽名者關于盲化后文件或消息的簽名中提取出簽名者關于真實文件或消息的有效簽名，因此，盲簽名具有盲性及不可偽造性。此后眾多學者又基于此構造出不同的盲簽名方案，1996年Abe等[15]提出了部分盲簽名方案，即允許簽名者在簽名中嵌入與消息發送者事先確定的公共消息，例如簽署時間等，且這些信息無法被移除或非法篡改。而后Abe[16]等基于盲簽名安全特性進行相應的安全證明得出部分盲簽名的安全特性，即部分盲性和不可偽造性。

2 基于區塊鏈的智能合約模型

2.1 模型架構概述

本模型主要涉及合約方、管理節點、共識節點等部分，共同維護該智能合約模型的有效安全執行。引入去信任的第三方作為管理節點，負責消息的盲化處理、全網廣播/監聽合約消息、接收/驗證消息等。模型架構如圖3所示。

圖3 模型架構設計Fig. 3 Architecture design for models

本模型主要針對聯盟鏈，借助以太坊區塊鏈不僅能維護存儲匿名地址余額的全局賬本且能夠執行用戶自定義程序的特點，并做出以下假設：(1)各節點通過不安全信道連接，且各節點行為是任意的；(2)合約方及共識節點在區塊鏈通信中可采用一次性公鑰地址，該公鑰地址可能與其身份無關聯。

2.2 部分盲簽名算法

部分盲簽名算法主要由系統建立、密鑰生成、簽名發布和簽名驗證等4個算法構成[15]。其中，簽名發布算法又分為消息盲化、公共消息生成、簽名以及脫盲等4個步驟，是消息發送者和簽名者間的交互協議。以下為密鑰生成算法、簽名發布算法各步驟與簽名驗證函數各符號。

KeyGen(sk,P)：密鑰生成函數。隨機選擇sk∈N*計算pk=sk*P。pk為公鑰，sk為私鑰。

Blind(m)：消息盲化函數。輸入原始消息m，輸出盲化后消息m*。

τ(c) ：公共消息生成函數。輸入公共消息c，輸出關于c的格式化結果。

BlindSig(sk,τ(c),m*)：簽名算法。輸入私鑰sk，公共消息τ(c)，盲化后消息m*，計算輸出部分盲簽名σ*。

Blind-1(σ*)：脫盲函數。輸入部分盲簽名σ*，輸出m的簽名σ。

Rl(m,τ(c))：關系函數。輸入消息m，公共消息τ(c)，輸出簽名σ，表示σ是m的簽名，且公共消息為τ(c)。

Ver(sk,pk,σ)：簽名驗證函數。指定合約方作為簽名驗證者進行驗證，輸入sk,pk和簽名σ，輸出驗證結果，若合法則輸出1，否則輸出0。

2.3 基于盲簽名技術的智能合約模型

本文模型主要包括合約建立及合約盲簽名兩部分。其中主要符號及其含義如表1所示，圖4所示為模型執行流程圖。

表1 符號標識及其含義Table 1 Symbol identification and its meaning

圖4 模型執行流程圖Fig. 4 Flowchart of model execution

(1)合約建立

1) 管理節點I調用密鑰生成函數生成公私鑰對。

2)A,B使用自然語言制定合約條款M，而后編寫合約代碼m。

3) 借助形式化檢驗工具驗證合約代碼m與合約條款M的一致性及代碼正確性。

4)A,B分別計算σA,σB，對確認無誤的合約代碼m簽名后發送給I。此處簽名由以太坊的私鑰生成，而非合同簽名。

5)I對σA,σB進行校驗，若簽名合法則繼續，否則執行步驟2)。

(2)合約盲簽名

4) 某一合約方執行簽名驗證算法，若Ver(sk,pk,σCi)=1成立個數滿足共識協議的容錯能力，則繼續新合約的建立，否則公開該簽名。

2.4 模型安全性分析

定理1 管理節點的可靠性。

在模型中，管理節點I并非可信第三方，其有可能作為惡意節點篡改合約內容或是與其余各方合謀。但是若I將合約信息泄露，其將會受到罰款大額代幣的處罰且其簽名將被公開而后信譽值降低；若I與某合約方共謀試圖篡改合約信息，其將在驗證得到m改變后遭受上述類似處罰；本方案安全性基于文獻[15]，公共消息c的計算運用陷門函數，由此可知I試圖偽造c無法成功。

定理2 指定任一合約方執行部分盲簽名的簽名驗證算法即限制驗證性，有效增強合約信息的隱私性[17]。

因為驗證時須用到指定驗證者的私鑰，故其他人無法驗證。若想驗證該消息，則須通過pk=sk·P獲取，但涉及到離散對數的問題，所以其他人無法獲取驗證者私鑰，且此處選擇合約方作為驗證者能對管理節點與共識節點進行監督，從而增強安全性及隱私性。

定理3 引入部分盲簽名算法，在進行共識之前約定當前日期等參數為公共消息，故對共識并無影響。

本文模型雖引入部分盲簽名算法，但并未改變區塊鏈底層協議，且雖隱藏了合同中涉及到用戶隱私的關鍵信息，但仍存在協商好的公共消息部分，故共識階段未受影響。

3 結束語

本文結合盲簽名算法的基本思想，提出了一種基于部分盲簽名技術的智能合約模型。該模型通過引入管理節點及結合部分盲簽名算法更有效地保護了合約隱私，且引入管理節點后仍是去中心化的，最后對所提出模型安全性進行了分析。

本文側重于對盲簽名算法在區塊鏈中使用的認證和分析，因此僅考慮模型的建立與安全性分析，在下一步工作中會將理論模型與實際系統相結合，完成進一步的驗證與分析。

[1] SZABO N. Smartcontracts: building blocks for digital markets[M]. Extropy, 1996.

[2] NAKAMOTO S. Bitcoin: A peer-to-peerelectronic cash system[J]. Consulted, 2008.

[3] MEIKLEJOHN S, POMAROLE M, JORDAN G, et al. A fistful of bitcoins: characterizing payments among men with no names[C]//Proceedings of the 2013 Conference on Internet Measurement Conference. ACM, 2013: 127-140.

[4] Smart contracts: 12 use cases for business and beyond chamber of digital commerce[EB/OL]. https://digitalchamber.org/smart-contracts/, 2016-12-06.

[5] SZABO N.Formalizing and securing relationships on public networks[J]. First Monday, 1997, 2(9).

[6] 袁勇, 王飛躍. 區塊鏈技術發展現狀與展望[J]. 自動化學報, 2016, (4): 481-494.

[7] BUTERIN V. A next-generation smart contract and decentralized application platform[J]. White Paper, 2014.

[8] Decentralized Prediction Markets | Augur Project[EB/OL]. https://augur.net/.

[9] Pioneering peer-to-peer finance[EB/OL].https://counterparty.io/.

[10] ASOKAN N, SHOUP V, WAIDNER M. Optimistic fair exchange of digital signatures[J]. IEEE Journal on Selected Areas Incommunications, 2000, 18(4): 593-610.

[11] LIU J, LI W, KARAME G O, et al. Towards fairness of cryptocurrency payments[J]. ArXiv Preprint ArXiv:1609.07256, 2016.

[12] KOSBA A, MILLER A, SHI E, et al. The blockchain model of cryptography and privacy-preserving smart contracts[C]//Security and Privacy (SP), 2016 IEEE Symposium on. IEEE, 2016: 839-858.

[13] MEIKLEJOHN S, POMAROLE M, JORDAN G, et al. A fistful of bitcoins: characterizing payments among men with no names[C]//Proceedings of the 2013 Conference on Internet Measurement Conference. ACM, 2013: 127-140.

[14] CHAUM D. Blind signatures for untraceable payments[C]//Advances in Cryptology. Springer, 1983: 199-203.

[15] ABE M, FUJISAKI E. How to date blind signatures[C]//Advances in Cryptology-ASIACRYPT 1996. Springer, 1996: 244-251.

[16] ABE M, OKAMOTO T. Provably secure partially blind signatures[C]//Advances in Cryptology-CRYPTO 2000. Springer, 2000: 271-286.

[17] 李彥, 張偉哲. 指定驗證者的部分盲簽名方案[J]. 中國高新區, 2017, (11): 30.