基于SM9算法可證明安全的區塊鏈隱私保護方案*

楊亞濤, 蔡居良, 張筱薇, 袁 征

1(北京電子科技學院 電子與通信工程系,北京 100070)

2(北京電子科技學院 密碼科學與技術系,北京 100070)

3(西安電子科技大學 通信工程學院,陜西 西安 710071)

區塊鏈技術因其“去中心化”與“去信任化”等特點,可在可信第三方不參與的情況下與陌生節點之間進行安全的信息傳遞,有效提高了信息交互效率,降低交互成本,在比特幣、供應鏈等領域具有較為廣闊的前景[1].哈希算法以及數字簽名算法在區塊鏈中應用廣泛,用以驗證區塊以及交易的正確性.區塊鏈在實際場景中應用時,不僅需要核驗節點的公鑰地址,還應驗證各個節點的真實身份.傳統的PKI體制因為可信中心的權重過大,不符合區塊鏈“去中心化”與“去信任化”的特點.因此,無證書的加密與簽名方案[2]可以在區塊鏈技術中得到應用.2012年,Yu等人[3]提出一種在標準模型下可證明安全的無證書簽名方案,但該方案需要使用5次以上的雙線性對運算,計算效率較低.同年,Gong等人[4]提出基于橢圓曲線的無證書密碼體制,但其并不能有效抵抗第一類超級攻擊者的攻擊.2017年,Tseng等人[5]提出一種抗連續泄漏攻擊的安全無證書簽名方案.

隱私泄露是區塊鏈技術中不容忽視的問題[6].與傳統中心化結構不同,區塊鏈機制不依賴特定中心節點處理與存儲數據,因此可以避免惡意中心或因其他原因導致的中心信息泄露[7].但為了驗證交易信息,區塊鏈中的所有交易記錄必須公開,因此將顯著增加信息泄露風險.Kosba等人[8]認為,交易地址暴露于區塊鏈環境中容易被跟蹤查找.因為區塊鏈技術與當前 IT架構存在區別,以往的隱私保護方案并不適用.所以,區塊鏈的隱私保護需要更具針對性的機制[9].2013年,Miers等人[10]基于比特幣提出了擁有匿名性的區塊鏈數字貨幣方案——零幣.該方案通過運用零知識證明等密碼學技術,以隱藏用戶地址、切斷交易雙方聯系的方式保證了交易的非關聯性,從而達到匿名與不可追蹤的效果.但該方案基于公有鏈進行設計,區塊生成速度與比特幣近似,無法進行高效率的交易流通,并且節點需要額外維護貨幣作廢列表以保證交易的惟一性,在一定程度上影響了交易驗證的效率.2016年,Shen等人[11]提出了基于環簽名的區塊鏈秘密交易方案.該方案隨機選取無關地址后連同交易發起方進行環簽名,達到混淆交易用戶身份的目的.但該方案與零幣方案均存在因切斷交易關聯性而導致溯源性較差的問題,難以在實際場景中得到應用,并且單次交易信息量過大,而該方案的匿名性取決于參與環簽名的地址數量,為縮小交易信息量而減少地址個數,也將面臨去匿名化的風險.

群簽名的概念由Chaum和Heyst[12]在1991年提出后,它以獨特的性質引起人們的關注并被廣泛研究.群簽名允許群體中任何一名成員代表整個群體對消息進行匿名簽名.與普通數字簽名一樣,群簽名可以公開驗證,并且發生糾紛時,群管理員可以打開群簽名以揭露簽名者的真實身份.基于身份的群簽名方案具有在身份標識驗證的基礎上,采用群簽名的方式保護用戶的隱私,兼具二者特點,在區塊鏈環境中具有應用價值.目前,許多基于身份的群簽名方案被提出.2008年,Zhang等人[13]提出一種針對惡意PKG的無證書群簽名方案.2010年,陳虎等人[14]提出一種高效的無證書簽名與群簽名方案,具有前向安全性等特點,但其并不能使用戶的不同交易隱蔽關聯性,無法直接應用于區塊鏈中.2012年,Zhan等人[15]提出基于身份的門限群簽名方案.同年,Cheng等人[16]提出了實用的基于身份的群簽名方案.2015年,Lin等人[17]提出一種基于群簽名和基于身份簽名的安全隱私保護協議.2017年,Bande等人[18]提出具有驗證者本地撤銷的安全隱私保護群簽名方案,其安全性基于強RSA假設.但該方案并非基于身份,所以難以抵抗公鑰替換攻擊.以上方案雖然可以實現無證書簽名以及利用群簽名保護簽名者隱私,但均沒有針對區塊鏈特殊架構進行設計,無法應用于區塊鏈高開放度的環境中,對節點身份進行隱藏與保護.

本文的貢獻在于,提出一種基于SM9算法可證明安全的區塊鏈隱私保護方案,對現有SM9算法進行適當優化,提出了一種基于 SM9算法的群簽名方案,以區塊鏈中的聯盟鏈為應用環境,實現對交易過程的隱私保護.方案效率較現有方案相比,所需指數運算與雙線性對運算均有減少,運算效率得到提升,可以為聯盟鏈的應用提供有效安全和隱私保護支撐.

1 預備知識

1.1 區塊鏈與聯盟鏈

區塊鏈是一種按照時間順序將數據區塊以鏈條的方式組合成特定的數據結構[19],并以密碼學方式保證的不可篡改和不可偽造的去中心化共享總賬,能夠安全存儲簡單的、有先后關系的、能在系統內驗證的數據[20].區塊鏈可以看做存儲數字記錄的數據庫,數據庫由網絡節點共享,節點可以提交新的記錄,區塊鏈網絡通過共識機制保證節點之間數據的一致性,記錄一旦被輸入,就永遠不會被更改或刪除.

總體上區塊鏈可以分為 3種類型：公有鏈、聯盟鏈和私有鏈,本文設計的隱私保護方案主要在聯盟鏈中實現.在聯盟鏈中,區塊鏈的區塊和交易的有效性由預先設定的一個驗證者群體決定,這個驗證群體形成一個聯盟.例如,要使得聯盟鏈中的一個區塊有效,需要聯盟中 50%以上的成員認可通過,新區塊才有效.區塊鏈上的信息可以是公開的,也可以只對聯盟成員可見.

1.2 SM9標識密碼算法

SM9密碼算法涉及有限域、橢圓曲線、橢圓曲線上雙線性對的運算等基本知識和技術[21],其中,SM9數字簽名算法包括數字簽名生成算法和驗證算法.簽名者持有一個標識和一個相應的私鑰,該私鑰由密鑰生成中心(key generation center,簡稱 KGC)通過主私鑰和簽名者的標識結合產生.簽名者用自身私鑰對數據產生數字簽名,驗證者用簽名者的標識生成其公鑰,驗證簽名的有效性,即驗證發送數據的真實性、完整性和數據發送者的身份.

1.3 群簽名

群簽名是由包含下面過程的數字簽名方案[22]組成.

(1) 創建：一個用以產生群公鑰和私鑰的多項式時間概率算法;

(2) 加入：一個用戶和群管理員之間使用戶成為群管理員的交互式協議.執行該協議可以產生群員的私鑰和成員證書,并使群管理員得到群成員的私有密鑰;

(3) 簽名：一個概率算法,當輸入一個消息和一個群成員的私鑰后,輸出對消息的簽名;

(4) 驗證：一個在輸入消息原文、對消息的群簽名以及群公鑰后驗證簽名是否有效的算法;

(5) 打開：一個在給定一個簽名及群私鑰的條件下,確認簽名人的合法身份的算法.

2 區塊鏈隱私保護方案設計

本文提出一種適用于區塊鏈技術的隱私保護方案,通過對廣播交易信息中用戶身份信息進行多KGC群簽名運算,實現隱藏用戶身份以及同一用戶不同交易之間的關聯性.具體描述如下.

2.1 節點構成

本方案基于聯盟鏈進行設計,節點由主要節點與次要節點構成,具體結構如圖1所示.

次要節點持有各自的簽名密鑰對與群簽名密鑰對,次要節點為群簽名中的用戶,次要節點之間可進行交易,完成區塊鏈中點對點交易信息傳遞的流程.交易商定結束,需對信息進行群簽名后進行廣播,新區塊將交易信息寫入并由各個節點確認后即為生效.

2.2 交易流程

次要節點之間需要使用簽名來驗證對方身份,并使用群簽名生成需要廣播的交易信息.

簽名具體步驟如下.

1. 簽名生成

設消息為比特串M,則次要節點A若需要對其進行數字簽名,則首先計算群GT中元素g=e(P1,Ppub-e),并選取隨機數r∈[1,N-1],計算w=gr以及整數h=H2(M||w,N),之后,計算整數l=(r-h) modN,若l為0,則重新選取隨機數;l不為0時,則最后計算S=[l]dsA,可得到關于消息M的簽名(h,S).

2. 簽名驗證

設驗證者為次要節點B,其接收到的消息M′的簽名為(h′,S′),如需要驗證簽名,則需要首先驗證h′∈[1,N-1]以及S′∈G1,若均成立,則計算群GT中的元素g=e(P1,Ppub-e),再計算群GT中的元素t=gh′與整數h1=H1(IDA||hid,N),之后計算群G2中的元素P=[h1]P2+Ppub-s與群GT中的元素u=e(S′,P),再計算群GT中的元素w′=u·t,最后計算h2=H2(M′||w′,N)并與h′進行比較,若一致,則驗證通過.

相比 SM9標準的簽名驗簽算法,考慮到聯盟區塊鏈中多個主要節點與 KGC的功能要求,我們提出采用多KGC模式對標準SM9簽名算法的參數生成步驟進行改進,將KGC的功能分配于主要節點,主要節點共同參與參數維護與密鑰生成,符合聯盟鏈部分去中心化的架構要求,以及將無證書體制與聯盟區塊鏈運作模式結合的需要.因簽名算法基于SM9算法進行改進,故加密算法改進方式于此類似,不再贅述.

群簽名主要功能如下.

1. 創建

設群管理員(group manager,簡稱GM)的身份為IDGM,則其需要向全部KGC申請建立群,KGC在核實GM身份后,將IDGM記錄,以便之后KGC對新加入的成員生成并發放群私鑰.申請群成功后,該群的公鑰即為GM身份IDGM.群管理員的私鑰則由簽名算法生成并交由管理員GM保存.

2. 加入

當次要節點A想加入群時,主要分兩種情況.

(2) 若KGC在群中,則次要節點A可直接將自己的身份IDA通過安全信道送于KGC核實,通過后,群密鑰對生成方法與第1種情況相同.

3. 群簽名

若群中次要節點A要對消息M進行群簽名,則其需要首先計算g=e(P1,Ppub-e),并秘密選取隨機數r1∈[1,N-1]與r2∈[1,N-1],計算w=gr1,之后計算h=H2(M||w,N),計算S1= (r2-1)·(r1-h) ·dsA與S2= (r2-1)(r1-h) ·dsAG,最后計算h1=H1(IDA||hid,N),P3′=[h1]P2+Ppub-s,P3=[r2]P3′得出次要節點A對消息M的群簽名(h,P3,S1,S2).

4. 驗證

對于接收到的消息M′與其群簽名 (h′,P3′,S1′,S2′),群中次要節點B若想驗證其是否屬于群IDGM,則需要首先計算h1=H1(IDGM||hid,N),接著計算P=[h1]P2+Ppub-s,之后計算u1=e(S2,P)與u2=e(S1,Ppub-e),若u1≠u2,則驗證不通過;否則繼續計算u=e(S1,P3),g=e(P1,Ppub-e)與t=gh′,最終計算w′=u·t,得到h=H2(M′||w′,N).對比h′與h,一致則驗證通過,至此可證明該消息由群IDGM中某個成員所簽名.

5. 打開

在區塊鏈交易中,節點間進行信息交互時需要核對對方身份,所以將簽名算法與群簽名算法一同使用,當需要核實信息簽名來源時,KGC可根據所持有的用戶信息IDA找到該用戶所屬密鑰,并查看是否已被撤銷或更新,以確定交易產生的時間以及是否合法.

6. 系統維護與成員撤銷

當 GM 需要撤銷群成員節點時,在將要撤銷的成員信息中記錄“已作廢”標記;而當系統參數需要更新時,KGC可重新生成系統參數,并且更新用戶信息,分發給群成員新的密鑰對.同時保留曾經使用的系統參數.

次要節點之間的交易流程如圖2所示.

交易進行時,發起方節點A需將與本次交易相關的上次交易信息的所屬編號Num(TX0),與上次交易中,節點A所屬的哈希值HashA(TX0),使用與上次交易相同的群簽名要素P3(A)進行群簽名(h,P3(A),S1,S2)后,結合本此交易的待交易信息UTXO0(B)(如貨幣數量等)進行簽名,使用接收方節點B的身份為公鑰進行加密,并將信息傳遞給節點B.交易請求信息①中包含的內容為

其中,Sig(M)表示基于SM9算法的多KGC簽名方案,GSig(M)表示使用本文設計的群簽名方案.

節點B接受后,使用私鑰進行解密,使用節點A的公鑰驗證簽名,以及使用群身份進行群簽名驗證,全部通過并且核對本次交易的輸入P3(A)與上次交易的輸出P3(A)′是否一致,相同后確認交易信息,無誤后組合Num(TX0),HashA(TX0)以及UTXO0(B),并計算其哈希值,作為所屬自己的本次交易輸出哈希值,并將此數據進行群簽名(h,P3(B),S1,S2),最終將結果簽名,使用節點A公鑰進行加密,返回節點A,交易確認信息②中包含的內容為

節點A解密驗簽通過后,將交易信息進行廣播,并入新生區塊中,廣播的交易信息(TX)結構如圖3所示.

廣播的交易信息主要包括與本次交易關聯的上次交易信息TX0以及本次交易的輸出UTXO.TX0用于追溯上次交易的相關信息,并據此核對本次交易輸入是否合理;UTXO主要包括各個輸出所屬的交易信息UTXO0以及輸出哈希值與群簽名,除了用于各個節點的確認之外,也作為下次交易輸入的核對信息.

2.3 區塊生成及驗證

本方案基于聯盟鏈,主要節點負責區塊生成.各主要節點首先需商定區塊生成的共識算法,確保不會生成分叉區塊.次要節點不能生成區塊.區塊結構如圖4所示.

其中,新生區塊需要記錄上一個區塊的編號Num(Block0)以及其哈希值Hash(Block0)來保證區塊之間的關聯性.同時,生成區塊時,需要確定本區塊的編號Num(Block)并計算本區塊中全部數據的哈希值Hash(Block),將此4個數據組合,進行簽名,最后發布.

各節點在接受新區塊時,需對其進行身份驗證,確認其為主要節點生成,并且與最近一次生成的區塊相關聯后,再進行交易信息驗證流程.各次要節點接收到交易信息后,需要首先驗證其群簽名是否有效,驗證通過后,尋找與此交易輸入關聯的上一次的交易輸出UTXO0,核對本次交易輸入端的P3與上次交易輸出端的3P′是否相同：若一致,則本次交易驗證通過.當本次交易經過全部次要節點中半數以上驗證通過后,才可并入新區塊中.至此,節點A與B的交易確認有效.

2.4 具體流程

本方案在保護節點用戶身份隱私的同時,因交易采用 UTXO的形式,具有可溯源特性.在實際場景,如供貨鏈、物品買賣、房屋租賃等交易中,不同節點用戶交易過程中可能會產生糾紛,通過應用本方案,可進行溯源追責.本方案的具體交易流程如圖5所示.

交易流程說明如下.

1) 當次要節點A準備向B發起交易時,需首先將與本次交易關聯的上次的交易輸出以及本次的交易內容進行簽名與群簽名,加密處理后,形成如公式(1)所示內容,發送至次要節點B;

2) 節點B收到后進行解密與驗簽,審核交易信息無誤后,附上自己關于此次交易自身的群簽名,做簽名加密處理后,形成如公式(2)所示內容,返回節點A;

3) 節點A審核無誤后,將所有相關信息組合成如圖3所示的等待入鏈的交易信息,包括上次交易的編號Num(TX0)及哈希值HashA(TX0)、本次交易輸入輸出的群簽名GSig(Hash0)與GSig(HashB)等內容,發送至主要節點V1.此時,交易發起方節點A與接收方節點B等候新區塊發布與審核;

4) 主要節點V1將收到的所有交易信息以圖4所示的結構寫入新生區塊,發布區塊并等待次要節點反饋,所有進行交易后等待的次要節點收到發布的新區塊后,對其中信息進行群簽名驗簽,并將驗簽結果返回主要節點V1;

5) 當V1收到當前參與交易節點半數以上的驗簽通過信息后,將新生區塊并入鏈中.至此,所有在此區塊中的交易生效,交易流程結束.

上述交易流程中采用 UTXO的交易方式,所有節點均可通過查看已入鏈區塊的交易信息進行交易溯源.如在貨物買賣場景中,若交易接收方收到的貨物出現了質量問題,則可以通過對該次交易逐鏈溯源的方式,找到該貨物的首發地址,即為主要節點的供貨商或該貨物的生產廠家進行追責.

3 方案安全性與效率分析

3.1 方案正確性證明

對于簽名算法,在簽名驗證階段,需要驗證h2與h′是否相等,因為h2=H2(M′||w′,N),h′=H2(M||w,N),驗證二者是否相等等價于驗證w與w′是否相等.因為u=e(S′,P),而：

又因：

則：

所以驗證通過,簽名算法正確性得到證明.

對于群簽名算法,在群簽名驗證階段,需要比對u1與u2是否一致,所以其正確性證明如下：

u1=e(S2,P)=e(S2,([h1]P2+Ppub-s))=e(S2,([h1]P2+[ks]P2)),而：

由雙線性對性質可得：

二者結果一致,所以可繼續執行下面的驗證過程.而：

二者同樣一致,所以驗證通過,方案正確性得到證明.

3.2 方案安全性證明

3.2.1 不可偽造性

根據無證書簽名的安全模型[3]可知,方案需要做到成員密鑰對于簽名不可偽造.

· 第1類敵手——公鑰替換攻擊

對于簽名算法,因為基于身份的無證書簽名算法使用節點的ID為公鑰進行簽名,所以可抵抗公鑰替換攻擊.對于群簽名算法,敵手E1知道群節點A的公鑰IDA,若利用此身份進行通信,則必須偽造該身份的密鑰對.

· 第2類敵手——惡意的KGC攻擊

在區塊生成與驗證階段中,主要節點負責生成區塊,所生成區塊中包含其自身簽名,各節點需要驗證后方可并入鏈中.除了主要節點,其余節點均不能生成區塊,除了由主要節點生成的合法區塊,任何新區塊均為無效區塊,保證了新生區塊的不可偽造性.各個節點驗證TX時,需要驗證輸入與輸出的群簽名,通過后才能并入區塊,保證了交易信息的不可偽造性.

3.2.2 前向與后向安全性

當群簽名方案的系統參數需要更新時,KGC需重新商定ks以及根據各自持有的kej確定主私鑰,向所有節點發放新的密鑰對.以前的系統參數仍要保留,群成員節點可以根據當時生效的參數來驗證更新前的簽名.對于系統參數而言,由于ks與kej均為隨機選取,所以二者在更新前后不存在聯系,敵手無法根據當前階段的密鑰偽造更新前的密鑰.若敵手持有更新前的密鑰,也無法加入群,同時也無法偽造當前階段正確的群簽名.

3.3 方案匿名性分析

給定合法的群簽名(h,P3,S1,S2),從算法流程可知：簽名驗證過程中,僅使用群身份IDGM作為公鑰進行驗證,來判斷是否為群內成員節點,但不能驗證具體成員節點身份.

3.4 方案效率與安全性分析

本方案基于 SM9算法改進設計,除了初始參數與密鑰生成之外,簽名驗簽步驟基本一致,所以計算代價與SM9數字簽名算法基本相同.而本方案還可有效抵抗惡意KGC攻擊,彌補了SM9數字簽名算法的不足.

為了說明本方案的運算效率與安全性,本文列舉幾種典型方案進行對比.現定義符號TE表示指數運算,TM表示群中元素點乘運算,TB表示雙線性對運算.由于dsA為區塊鏈中群成員節點持有,可將g=e(dsA,P2)視為預運算,不作為運算步驟考慮.可得到性能對比分析表,見表1.

Table 1 Comparison of efficiency and security表1 方案效率與安全性對比

在上述運算過程中,雙線性對運算消耗資源較多,因此主要比較該運算在方案中的使用次數[26].從表1中可以看出：本文的方案在驗簽步驟上較文獻[2]減少 2次雙線性對運算,驗簽效率提高約 40%;與文獻[23,24]相比,雖然雙線性對運算的使用次數相同,但本方案指數運算分別減少4次與2次,計算效率整體得到提高.本方案與SM9算法與文獻[25]相比整體效率相當.對于方案安全性,文獻[2]與SM9簽名算法均無法抵抗第二類攻擊,本方案通過多KGC的方式,安全性更高,滿足了區塊鏈節點認證以及交易信息確認中保護身份隱私的需要.

除此之外,本文列舉兩種主流的區塊鏈系統隱私保護方案進行對比.考慮到實際應用中可能發生的追責情況,方案應在保護隱私的同時,滿足一定的溯源性,且為了滿足高頻率的交易請求,區塊生成時間應在保證安全的基礎上擁有較快的生成速率.對比分析表見表2.

Table 2 Comparison of different privacy preserving schemes表2 隱私保護方案對比

通過表 2對比可以看出：在交易關聯性方面,文獻[11]方案由于交易發起方通過環簽名的方式隱藏身份,但通過統計分析等方法,仍存在暴露關聯交易的風險;本方案在具有強匿名性的同時,由于P3=[r2]P3′,同一節點用戶的不同交易均存在密碼學計算困難問題,無法證明關聯,保證了弱關聯性.在溯源性方面,由于文獻[10]方案采用貨幣“生成-銷毀”以及零知識證明認證的方式來代替用戶間的交易過程,導致溯源性弱;而本方案沿用區塊鏈中的 UTXO方式進行區塊生成,使得交易仍可溯源,在實際場景應用中,主要節點需要公開身份,而本方案初始交易均需由主要節點發起,故可在需要情況下進行溯源追蹤.在交易信息量方面,文獻[10,11]方案每筆交易需要產生的數據量較大,本方案在保證性能的前提下,交易信息量分別為兩種隱私保護方案的1/5與1/3,減輕了區塊容量的壓力,方案更適用于實際應用,具有較高的安全性與通信效率.

4 方案仿真

本文主要測試方案中所使用的群簽名算法的運行時間以及主要節點生成新區塊后驗證成功與并入鏈中所需的時間.方案仿真使用Java語言進行測試,使用Windows系統,CPU2.4GHz,內存為4GB.新生區塊由一個主要節點產生,并由10個次要節點進行驗證.由圖6～圖8可知,群簽名生成與驗證所需時間為21.632ms與46.141ms,所需時間較短;對于生成交易信息過程,在節點確認信息無誤的情況下,生成發送至主要節點的交易信息所需時間為 133.642ms,所需時間較短;而對于區塊驗證過程,在不考慮區塊內容傳輸時間的情況下,過半數節點驗證通過,新生區塊合理并入鏈中所需時間為63.572ms;主要節點產生新區塊的間隔定為2s,由此可知,在擁有10個次要節點時,一次交易從產生到有效所需的時間為2.063s,交易時間相對較短,可以滿足區塊鏈交易實際需要.

5 結 論

本文通過將 SM9算法、群簽名與區塊鏈技術相結合,提出并設計了一種可應用于區塊鏈環境中的隱私保護方案,通過多 KGC群簽名機制隱藏了交易雙方的節點身份.通過安全性證明與效率分析,本方案具有簽名不可偽造性、可保證節點匿名性及前向安全性,計算效率較目前提出的方案有較大提升.綜合而言,本方案在運算時間與安全性方面整體具有較大優勢,可實現在節點間進行身份驗證的同時,保護節點隱私的目的,符合聯盟區塊鏈部分去中心化和保護節點隱私的要求.本方案可應用于大量需要驗證用戶身份的場合,如房屋租賃、實物交易等等.如何根據具體應用場景簡化交易流程,提高單位時間內的交易數量,可以作為下一階段的研究工作.