基于區塊鏈的物聯網密鑰協商協議

何德彪/HE Debiao

李莉/LI Li

（武漢大學，湖北武漢430070）

國際電信聯盟（ITU）將物聯網（IoT）定義為：信息社會全球基礎設施（通過物理和虛擬手段）將基于現有和正在出現的、信息互操作和通信技術的物質相互連接，以提供先進的服務。它起源于1999年美國麻省理工學院（MIT）提出的無線射頻識別（RFID）的思想，并在2005年的信息社會世界峰會（WSIS）被正式確定概念[1]。IoT本質上是一個傳感器智能網，它通過RFID、紅外感應器、激光掃描儀等傳感設備將物與互聯網相連，從而實現智能化識別、定位、監測控制與管理。IoT被認為是信息產業繼計算機、互聯網之后的第3次浪潮，是實現智慧城市[2]的關鍵技術；但其自身存在一些技術瓶頸。傳感網絡的大規模和分布式特性使得IoT的安全運維成為一大挑戰，例如：基于Mirai僵尸物聯網的分布式拒絕服務（DDoS）攻擊就曾使得Dyn癱瘓，Twitter、Paypal等人氣網站停止服務。隨著IoT設備的指數級增長，數據流的中心化管理負載過重，容易造成信息堵塞。此外，IoT還存在數據標準不一致引起的通信兼容問題。

圖1 區塊鏈在物聯網的應用

區塊鏈作為一種新興的信息技術，具有公開可驗證、可編程、可追溯、防篡改等性質。通過區塊鏈技術構建IoT系統（如圖1所示），由區塊鏈充當通用的數字賬本，節點設備廣播交易，經區塊共識后記錄上鏈，可實現數據的可證溯源。同時，加密算法保障了交易數據的隱私性、完整性，共識算法實現了節點間數據的一致性。區塊鏈去中心化的運行機制規避了高額的運維成本，數以億計閑置設備的算力、存儲被充分利用，實現了IoT安全擴容。此外，其激勵機制促進了數據升值，點對點（P2P）網絡打破了信息孤島桎梏，促進了設備間的多方協作和信息交流。2015年出現的比特幣電腦可實現區塊鏈小微支付網絡與IoT的連接。通過分布式資源調配，構建起真正的分享經濟模式。2017年全球首個IoT區塊鏈（BOT）項目成立，定義了可信IoT服務平臺框架。區塊鏈與IoT的結合有效地解決了IoT缺乏隱私、運維高昂、通信不兼容等行業痛點，有力地推動了智慧城市[3]的發展。

為了實現IoT設備安全可靠的數據通信，亟需一個安全的密鑰協商協議以提供身份認證。文獻[4]首次提出2個比特幣密鑰交換協議，以實現交易后比特幣用戶間端到端的安全通信。然而在該方案中，交易雙方使用橢圓曲線數字簽名算法（ECDSA）確定交易的所有權。隨著IoT設備的指數級增長，數以億計的設備都需要生成和維護一個公鑰證書。為了規避證書頒發與維護的巨額開銷，我們提出使用基于身份的Schnorr簽名替換原有的ECDSA簽名，不再使用公鑰證書，從而實現了物聯網設備輕量級的身份認證。進一步地，我們提出了2種密鑰協商方式：基于Diffie-Hellman的比特幣密鑰協商協議、基于YAK的比特幣密鑰協商協議。其中，基于YAK的比特幣密鑰協商協議通過零知識證明（ZKP）提供了前向安全性。

1 關鍵技術

1.1 基于身份的Schnorr簽名方案

該方案由以下4個算法組成。

（1）Setup：輸入安全參數k，系統選擇一個階q為 2k≤q<2k+1的群G，令g為G的生成元。系統選擇2個安全的密碼哈希函數H1,H2:{0 ,1}*→Zq，并隨機 選擇s∈RZq作為系統主私鑰。最后，系統秘密保存s并公開參數

（2）Extract：給 定 用 戶 身 份id∈{0 ,1}*，系統隨機選擇r∈RZq，計算did=r+sH1(gr,id)modq，并通過安全信道發送did給用戶。

（3）Sign：給定消息m∈{0 ,1}*，用戶隨機選擇t∈RZq，計算e=t+did?H2(id,gt,m)modq，用戶輸出消息m的簽名σ=(gt,e,gr)。

（4）Verify：給定消息簽名對(m,σ)，驗證者通過式（1）驗證簽名σ的有效性：

若簽名σ有效，返回“1”；否則，返回“0”。

1.2 比特幣

比特幣[5]是區塊鏈技術在數字金融領域的第一個應用，是一種基于P2P網絡的虛擬加密貨幣。它為每個比特幣用戶生成公私鑰對，其中私鑰用于簽名交易，公鑰用于驗證數據。比特幣網絡可以實現用戶匿名識別、比特幣轉移，以及歷史交易的記錄上鏈，具有去中心化、匿名性、通脹預防等特點。目前，一些主流交易平臺有：btc-e.com、bitstamp；中國的主流交易平臺有比特幣中國、OKCoin、火幣等。截至日前，比特幣的流通市值已達到7 743.97億元人民幣，日成交額達到280.328億元人民幣。

1.2.1 比特幣交易

比特幣交易是相互關聯的輸入輸出交易事務，使用未經使用的交易的輸出（UTXO）作為輸入，并生成新的輸出。同一筆交易可以有多個輸入和多個輸出，具體交易格式如表1所示。

比特幣地址由公鑰經一系列哈希、編碼而來，即：

比特幣地址=Base58{Hash160||前4字節（SHA256(SHA256(Hash160||地址版本號）））}

其中，Hash160=RIPEMD160(SHA256(65字節公鑰))。

1.2.2 區塊

網絡中的所有交易由背書節點收集驗證打包上鏈，經過6個區塊確認后交易不可逆轉。平均每10 min生成一個新區塊鏈接到最長的鏈尾部。整個區塊鏈是一個鏈式結構[6]，如圖2所示，其中Tx表示交易。

1.2.3 共識機制

共識機制[7-8]是分布式網絡中互不信任節點間建立共識的規則與方法。現有的共識機制根據通信方式可分為異步通信共識機制和同步通信共識機制。異步通信共識機制的代表為有向無環圖（DAG），與定期檢查同步點的日志機制不同，DAG采用異步處理事務操作的方式，極大地提高了系統吞吐量。區塊鏈主要使用同步通信共識機制。其中，同步通信共識機制包括強一致性共識算法和最終一致性共識算法。最終一致性共識算法多用于私有鏈、聯盟鏈的共識，可進一步細分為具備拜占庭容錯特性[9]的一類，如授權拜占庭容錯（DBFT）、實用拜占庭容錯（PBFT）、資產證明（PoA）、Ripple、Pool驗證池等；不具備拜占庭容錯特性的一類，如Paxos、Raft等。強一致性共識算法多用于公有鏈的共識，包括工作量證明（PoW）、權益證明（PoS）、股份授權證明（DPoS）、重要性證明（PoI）等，具體分類參見表2。

比特幣區塊鏈的共識主要采用強一致性算法中的PoW、PoS、DPoS。

表1 比特幣交易格式

（1）PoW。尋找隨機數n，使得：SHA(SHA(v||hp||t||n||hm))<目標哈希，最先找到隨機數n的礦工獲得記賬權并獲得比特幣獎勵，這一過程也稱“挖礦”。挖礦難度的調整周期為2周，目的是使區塊的生成時間穩定在10 min左右。PoW具有完全去中心化、節點可自由進出等優點，但挖礦行為造成大量的資源浪費，且共識周期較長，存在51%攻擊，不適合商業應用。

圖2 區塊鏈的鏈式結構

表2 共識機制的分類

（2）PoS。系統中具有最高權益的節點（如幣齡最長）獲得記賬權。PoS的優點在于減少了PoW的資源消耗，縮短了共識時間，且惡意節點只有掌握超過全網1/3的資源，才能破壞整個共識過程；但共識過程需等待多個確認，容易產生分叉。

（3）DPoS。記賬權由101位受托人輪流實現。其中，受托人由股東根據股份權益選出，且需保證99%以上的在線時間。DPoS機制大幅度縮減了驗證和記賬節點的數量，可以達到秒級驗證；但其去中心化的程度不足，依賴于代幣的特性限制了其應用領域。

2 方案設計

考慮IoT中的2臺設備Alice和Bob。區塊鏈充當數據管理系統，IoT中所有的交易都記錄上鏈。Alice和Bob通過以下方式實現密鑰協商。

2.1 基于Diffie-Hellman的比特幣密鑰協商協議

圖3 基于Diffie-Hellman的比特幣密鑰交換協議

如圖3所示，協議的具體執行過程如下：首先，Alice利用私鑰提取出與交易TA相關的一次性隨機數然后，Alice在鏈上獲取Bob的交易簽名對并從中提取與公鑰相關的Alice根據計算會話密鑰同理，Bob計算一次性隨機數tB，從σTA中提取，進一步計算會話密鑰κ。

本協議實現了IoT設備基于交易的密鑰協商，任意2個設備節點只需從鏈上獲取自身及對方的交易簽名對，就能線下計算會話密鑰κ。本協議中，與交易相關的隨機數可直接利用私鑰計算，避免了隨機數存儲的開銷，克服了IoT設備資源受限的缺陷。

2.2 基于YAK的比特幣密鑰協商協議

如圖4所示，協議的具體執行過程如下：首先，Alice（Bob）利用私鑰提取出與交易TA（TB））相關的一次性隨機數tA（tB）。然后，Alice（Bob）在鏈上獲取 Bob（Alice）的交易簽名對 (TB,σTB)（(TA,σTA)）。Alice（Bob）選取隨機數wA∈Zq（wB∈Zq），計算WA（WB）以及wA（wB）的零知識證明ZKP(wA)（ZKP(wB)）并發送給對 方 。 Alice（Bob）通 過ZKP(wB)（ZKP(wA)）驗證隨機數wB（wA）的真實性并計算會話密鑰κ。

同2.1類似，本協議中節點可直接利用私鑰計算與交易相關的隨機數。不同的是：此協議是交互性的，雙方進行密鑰協商時需選取隨機數wA、wB作為與會話相關的秘密值并做ZKP，對方通過ZKP驗證隨機數的真實性后方可計算κ。假設IoT節點私鑰的安全性被攻陷，敵手截獲了交易后的某次會話。由于每次會話都重新選取隨機數，則實現了后續會話的不可追蹤，提供了前向安全性。

圖4 基于 YAK的比特幣密鑰交換協議

本文中我們采用了Schnorr ZKP方案[10]，假設Alice對秘密值wA做了零知識證明ZKP(wA)，可通過如下方式使Bob相信自己擁有這一秘密而不向Bob泄露秘密wA的任何信息。

（1）ZKP產生（ZKP-Gen）

1）Alice隨機選取l∈RZq，計算L=gl，h=H(g,L,wA,idA)，r=l-wAh；

2）Alice→Bob：WA，{idA,L,r}。

（2）ZKP驗證（ZKP-Verify）

給定WA，{idA,L,r}，Bob相信Alice擁有秘密值wA當且僅當式（2）成立：Alice擁有秘密值

同理，Alice通過此方式驗證Bob確實擁有秘密值wB。

3 安全分析

對于密鑰協商協議的安全，我們考慮以下3種安全特性。

（1）私鑰安全：一次性會話中秘密值的泄露不影響設備節點靜態私鑰的安全性。

（2）前向安全：即使用戶私鑰被攻陷，已建立會話的會話密鑰的安全性不受影響。

（3）會話密鑰安全：攻擊者冒充用戶，但無法訪問用戶的私鑰，則無法計算會話密鑰。

3.1 基于Diffie-Hellman的比特幣密鑰協商協議

假設Alice和Bob分別從鏈上獲取了交易簽名對（TA,σTA），（TB,σTB），我們證明所提協議可以提供私鑰安全和會話密鑰安全。

（1）私鑰安全的證明

假設存在一個概率多項式時間的被動敵手A，已掌握Bob的與交易相關的隨機數tB。若A獲得了Alice的秘密值wA，A可通過計算得到會話密鑰，然而A無法獲得didA的任何信息。

（2）會話密鑰安全證明

假設存在一個概率多項式時間的主動敵手B，冒充Bob與Alice進行通信。現假定Alice和Bob選取的與交易相關的隨機數分別為tA=φ，tB=φ。給定一個計算型Diffie-Hellman 問題 (gφ,gφ,gφφ)，假定敵手B能成功計算K，由可得gφφ=K，則困難問題計算型 Diffie-Hellman（CDH），與實際矛盾。

3.2 基于YAK的比特幣密鑰協商協議

假設Alice和Bob分別從鏈上獲取 了 交 易 簽 名 對 （TA,σTA） ，（TB,σTB）。與3.1節不同，此協議會話密鑰的產生依賴于與交易相關的隨機數（tA，tB），以及交互過程中選取的秘密值（wA，wB）。我們證明了此協議可以提供私鑰安全、會話密鑰安全以及前向安全。

（1）私鑰安全

證明如下：假設存在一個概率多項式時間的主動敵手A，已掌握Bob的與交易相關的隨機數tB以及Bob某一次會話選取的秘密值wB。若A獲得了Alice的秘密值wA，A可通過計算會話密鑰，然而A無法獲得didA的任何信息。

（2）前向安全

證明如下：假設存在一個概率多項式時間的被動敵手A，已獲取Alice和Bob的與交易相關的隨機數tA和tB。現假定Alice和Bob交互過程中選取的隨機數分別為wA=φ，wB=φ。給定一個計算型Diffie-Hellman 問題 (gφ,gφ,gφφ)，假定敵手A能成功計算K，由可得則困難問題CDH可解，與實際矛盾。

（3）會話密鑰安全

證明如下：假設存在一個概率多項式的主動敵手B，冒充Bob與Alice進行通信。B已獲取Alice的與交易相關的隨機數tA，并從公開信道上截獲了WB?，F假定Alice交互過程中選取的隨機數為wA=φ，Bob選取的與交易相關的隨機數為tB=φ。給定一個計算型Diffie-Hellman問題(gφ,gφ,gφφ)，假定敵手B能成功計算K，由可 得則困難問題CDH可解，與實際矛盾。故會話密鑰不能被成功計算，此協議可以提供會話密鑰安全。

4 性能分析

文章中，我們在Ubuntu平臺搭建regtest測試鏈，基于c++版本的比特幣代碼，使用make編譯器編譯程序。我們采用的仿真平臺如表3所示，測試鏈參數如表4所示。

假定交易查詢階段記為P1，密鑰協商階段記為P2，原始交易檢索時間為tgtx，交易解析時間為tdtx，協議執行的總時間為Total。我們通過bitcoin-cli查詢測試鏈1 000次得到了交易的平均檢索時間t=tgtx+tdtx為：real（21.212 s）、user（0.164 s）、sys（0.196 s），我們實際采用user時間。同時，我們通過運行miracl庫10 000次得到了協議的平均執行時間，實驗結果如表5、6所示。

由表6可知：文中提出的2種比特幣密鑰協商協議都具有合理的運行開銷，適用于設備資源受限的IoT環境。

5 結束語

我們使用基于身份的Schnorr簽名替換比特幣交易原有的ECDSA簽名，提出了2種密鑰協商協議，避免了設備資源受限的IoT環境下公鑰證書管理的巨額開銷。我們分析了所提協議的安全性，并搭建了比特幣測試鏈模擬了交易查詢及密鑰協商過程，結果表明協議在實際應用中是切實可行的。

表3 仿真平臺參數信息

表4 測試鏈參數信息

表5 操作的執行時間

表6 協議的執行時間