基于國密算法的區塊鏈架構①

楊 洵,王景中,付 楊,王寶成

(北方工業大學 信息學院,北京 100144)

區塊鏈作為一個可靠的分布式數據庫,被廣泛應用于版權保護、數據共享、大數據確權等領域.例如:吳健提出了以區塊鏈技術為核心的數字版權保護方案[1],指出區塊鏈技術在版權保護中具備安全性高、成本低、可溯源等優勢.薛騰飛等提出基于區塊鏈的醫療數據共享模型[2],該架構在醫療方面解決了不同層級機構的數據共享難題.王海龍將區塊鏈應用于數據確權,以完整性和持久性為中心,采用區塊鏈實現證據與確權結果的強一致性,與傳統確權手段相比,提高了技術的可信度,并降低了被篡改的風險[3].但是,上述文章只是將區塊鏈架構應用于不同的場景,忽略了區塊鏈架構面臨的共識算法的不可更改的問題.

區塊鏈架構按應用場景劃分為兩種,第一種為需要全社會達成共識的公有鏈架構;另一種只需要合作伙伴之間達成共識的聯盟鏈架構.前者采用POW、DPOS[4]等算法,可以在任意用戶數量的環境下達成共識,但挖礦會造成大量資源浪費,且達成共識周期較長;后者采用PBFT[5]算法,在少量節點的環境下可以快速、高效的達成共識,但在多用戶環境中效率較低,無法滿足多節點情況下對于共識速度方面的需求.雖然兩類共識算法各有利弊,但由于目前沒有一種共識算法可以兼顧多節點與共識效率,因此沒有一個區塊鏈架構可以滿足不同的應用需求.

區塊鏈技術是P2P 網絡協議、分布式數據庫、密碼學技術等多種技術的集成創新,以密碼機制和共識機制最為核心[6].

目前,國密算法SM2、SM3的可證安全性已經達到了密碼算法的最高安全級別,其實現效率相當或略高于國際標準的密碼算法,相較于比特幣、超級賬本等現有區塊鏈架構選用的國際通用密碼算法ECC、SHA-256,擁有安全、穩定、高效等優勢.文章以SM2、SM3為基礎,提出了基于國密算法的國密鏈架構,實現更高層面的自主可控.另外,針對當前區塊鏈架構共識算法不可更改的現狀,本文設計了“可插拔共識”協議,即通過設計通用共識接口的方式,使開發者可以靈活選用適當的共識算法,以滿足系統需求.

1 預備知識

1.1 SM2/SM3 算法

SM2 基于求解離散對數問題,是我國自主研發的橢圓曲線密碼算法,相較于ECC-256 算法,SM2 算法在解密正確性判斷、明文編碼問題、對待加密數據長度的限制及加密計算等方面具有更高的效率,在實際應用中,SM2 算法具有速度快、損耗低的特點,比ECC-256 算法更具有優勢[7].

SM2 簽名算法主要分為3 個步驟實現消息的簽名:(1)密鑰對生成;(2)用戶哈希生成;(3)數字簽名生成.

設用戶A為簽名者,通過以下步驟獲取待簽名消息M的數字簽名(r,s),其中參數說明如表1所示.

表1 SM2 參數對照表

(1)密鑰對生成

①用隨機數發生器生成私鑰dA∈[1,n?2].

②G為基點,生成公鑰:

(2)用戶哈希生成

①計算用戶A的哈希值:

(3)數字簽名生成

數字簽名生成分為消息預處理,簽名計算兩部分,具體過程如圖1所示.

圖1 SM2 簽名過程

如圖2所示,SM2 驗簽算法通過用戶哈希ZA、用戶公鑰pA對數字簽名(r,s)進行驗簽計算,以確定簽名是否通過,完成簽名的驗證過程.

SM3是我國自主研發的散列密碼算法.在國密算法體系中,SM3 主要用于數字簽名及其驗證、消息認證碼生成及其驗證和隨機數生成.具體算法流程如圖3所示.

SM3的壓縮函數與SHA-256的壓縮函數具有相似的結構,但SM3 設計更加復雜,如SHA-256 壓縮函數的每一輪都使用2 個消息字[8].SM3 在避免高概率局部碰撞方面效果顯著,能夠有效抵抗強碰撞性“差分分析”、碰撞性“線性分析”等密碼分析方法[9].

圖2 SM2 驗簽過程

圖3 SM3 算法流程

1.2 區塊鏈

《2018 中國區塊鏈產業白皮書》[10]指出,區塊鏈作為一項重點前沿技術,在供應鏈、征信、溯源、版權等領域廣泛應用,在一定意義上促進了技術變革.區塊鏈本質是一種結合散列算法、公鑰密碼體制、分布式一致性等技術所形成的安全機制,具備了弱中心化、防篡改、高度透明和可溯源等優良特性.從數據存儲層面上來講,區塊鏈作為一種非關系型數據庫,各個區塊中包含事務信息,在打包事務信息產生新區塊之前,利用散列算法的計算機制連接前一區塊,在發生篡改時將引起一系列波動,并且塊與塊之間形成單點式對應,從而可以驗證整個鏈式結構的完整性和有效性.如圖4所示,在比特幣中,當前區塊里面包含上一個區塊的哈希值,后面一個區塊又包含當前區塊的哈希值,以這樣連接起來,形成一個數據塊鏈條.

圖4 比特幣中的區塊鏈架構

鏈式結構增加了區塊鏈數據的篡改難度.區塊鏈是一個被所有節點共同維護的數據鏈條,若某節點修改其中某一區塊的內容,其余節點驗證區塊時會發現問題,數據不會被全網接收為合法數據.為了使篡改數據合法,則需要掌握全網50%的算力下,修改后續所有區塊內容,其代價遠超篡改數據后所得到利益.

區塊鏈中的每一條交易數據以散列值的形式記錄在區塊中,一方面提供了數據可追溯性,另一方面也間接保證了鏈上數據的公開透明.

1.3 共識機制

作為區塊數據達成一致的核心,共識機制主要體現為“在對等網絡中,互不信任的節點通過預置規則校驗數據,達到數據一致性”的過程.區塊鏈作為一個分布式賬本,共識機制是衡量架構設計優劣的關鍵因素.區塊鏈典型的共識算法有工作量證明(POW)和實用拜占庭容錯算法(PBFT)等.

(1)工作量證明算法(POW)

工作量證明機制由中本聰于2009年提出[11],比特幣中,全網節點通過POW 達成對交易池中待確認交易的共識過程.P2P 網絡中所有對等節點通過完成工作量證明機制競爭記賬權,只有當某個節點完成共識過程并提出當前階段區塊數據后,全網節點才可以繼續嘗試完成工作量證明,提出新區塊.

工作量證明通常包含3 個階段:第1 步,生成新區塊挖礦難度(Difficulty);第2 步,采用挖礦算法嘗試解決難度;最后,比對難度目標,驗證難度是否被滿足.工作量證明的本質是利用節點算力來解決數學難題,在比特幣系統中是通過找到一個滿足條件的Hash 值來證明節點的工作量.具體步驟描述如下:

Step 1.動態調整難度生成算法,生成當前挖礦難度Difficulty;

Step 2.采用挖礦算法計算當前階段區塊的Hash值,通過改變難度目標 (Nonce)的方式改變 Hash 值結果,直到新區塊哈希值小于難度 Difficulty;

Step 3.驗證算法校驗新區塊哈希值是否小于難度直至滿足,將新的區塊數據寫入本地區塊鏈.開始下一輪共識過程.

比特幣中通過工作量證明機制實現交易在全網節點中的共識過程.當區塊鏈較長時,除了鏈條尾部少數區塊外,其余區塊均以得到確認,實現了一致性.同時,全網節點可以自由加入區塊鏈,且單節點操作不會對區塊鏈一致性造成影響.每個節點通過消耗算力完成工作量證明機制,保證了攻擊者無法通過創建多身份標識的方式削弱備份數據效力,可以有效抵御Sybil[12].在誠實節點的算力占多數的情況下,可以有效解決數字貨幣的“雙花”問題,保證全網數據安全.

在共識效率方面,工作量證明機制存在一些問題:首先,共識效率較低.區塊鏈的生成需要消耗時間,每個新區塊需要被后續區塊確認后才能被認定有效,這個過程需要消耗更多的時間,影響了工作量證明機制的共識效率.例如在比特幣網絡中,系統動態調整難度目標,保證系統每隔10 分鐘生成一個區塊,且新區塊需要被后續6 個區塊確認.在比特幣系統中,完成一筆交易要等待至少60 分鐘才可能達成共識.其次,在數據安全方面存在隱患:為保證區塊數據的安全,POW算法要求惡意節點的算力不能超過全網算力的50%,然而目前比特幣礦池中算力排名前列的礦池總算力所占比例已經過半[13],理論上可以完成對整體比特幣網絡的控制,對公平性與安全性造成影響.第三,算力對資源的損耗.POW 基于算力,造成資源與能源的大量消耗,即使后來提出的有用的工作量證明機制(Proof Of Useful Work,POUW)[14],仍無法解決效率等問題.

(2)實用拜占庭容錯算法(PBFT)

實用拜占庭容錯算法(Practical Byzantine Fault Tolerance,PBFT)源于拜占庭協定,主要是指如何在異步模型下,多節點分布式系統中可以容忍一定錯誤(即不確定行為的未知節點)并保持正常工作實現共識.假設系統中存在惡意節點f個,PBFT 可以實現節點數不小于3f+1 個的分布式系統的分布式一致性.相比于BFT (Byzantine Fault Tolerance,拜占庭容錯算法),PBFT 更高效的達成了一致性,避免資源浪費;且在一個階段,僅有一個節點提出新區塊,剩余節點則進行區塊數據的校驗工作,可以有效提高交易與區塊的共識效率.

然而,PBFT 在網絡節點擴展性方面存在一定缺陷.算法的共識效率依賴于當前區塊鏈網絡的節點個數,當節點數量增加時,數據的廣播與確認周期變長,導致共識效率降低.因此,該協議不適用于節點數量較大的區塊鏈系統,擴展性差.此外,一輪是否可以取得共識也依賴于主節點是否誠實,若主節點提出無效區塊,則本輪不會產生區塊,影響效率[15].

2 國密鏈

2.1 架構模型

“國密鏈”架構模型分為4 個邏輯層次:應用層、接口層、區塊鏈服務層與存儲層,架構模型如圖5所示.

圖5 國密鏈架構模型

應用層:應用層主要為去中心化應用程序,例如版權保護系統、數據存證系統.

接口層:接口層為上層應用提供API,用于去中心化應用實現如數據上鏈、查詢等業務邏輯.

區塊鏈服務層:區塊鏈服務層主要包括數據存儲、網絡共識、賬戶管理等模塊.數據存儲模塊實現從交易池中讀取交易,創建并向其他節點發送區塊等功能;網絡共識模塊實現全網新區塊共識、接收并存儲缺失區塊等功能;賬戶管理實現賬戶的創建與保存,實現交易的簽名與驗簽等功能.

存儲層:存儲層主要包括數據緩存與數據庫服務.緩存操作用于緩存內存中的臨時信息,包括從用戶接收的交易信息、支持系統運行的臨時數據等;數據庫操作是以非關系型數據庫為基礎實現的數據存儲.

2.2 算法設計

2.2.1 SM3

“國密鏈”中,SM3 算法應用于Hash 值與Merkle根的計算.區塊頭由3 組區塊元數據組成,數據結構如表2所示.首先是一組引用前一區塊哈希值的數據,這組元數據用于將該區塊與區塊鏈中前一區塊相連接.第2 組元數據是Merkle 樹根,用以記錄當前區塊交易信息.第3 組元數據,即難度、時間戳和nonce,用以共識算法為POW 時的挖礦操作.

表2 區塊頭結構

表2中前兩組元數據為通用數據結構,第3 組與挖礦有關的元數據的必要性依賴于共識算法.例如當前系統采用PBFT 算法,難度目標、隨機數數據項與共識過程沒有聯系,則由系統隨機填充數據.

(1)區塊Hash 值

“國密鏈”中,通過SM3 算法對區塊頭數據進行二次哈希計算而得到32 字節的區塊哈希值,用以唯一標識一個區塊.

(2)Merkle 根

區塊頭中的Merkle 根由區塊體中所有交易的哈希值生成.如圖6所示:從下往上,兩兩成對,連接兩個節點哈希,將組合哈希作為新的哈希,重復該過程,直到僅有一個根哈希,則被作為整個區塊交易的標識,保存到區塊頭.

2.2.2 SM2

“國密鏈”中,SM2 算法應用于交易的簽名、驗簽操作.交易是國密鏈系統中最重要的部分,系統中任何其他的部分都是為了確保交易可以被生成、能在國密鏈網絡中得以傳播和通過驗證,并最終添加入全網交易總賬簿.

國密鏈交易的本質是數據結構,主要包含交易哈希、交易數據、交易簽名等3 部分內容,如表3所示.

圖6 生成Merkle 根

表3 交易結構

交易簽名驗簽流程:

設節點A創建一筆交易TA,包含交易數據D.Step 1.節點注冊

系統首先通過SM2 算法生成節點A的私鑰dA和公鑰pA,計算用戶A的哈希值ZA,將dA、ZA加密存儲于本地.

Step 2.交易簽名

對數據D進行預處理,得到數據.通過SM3 算法對數據進行散列運算得到其散列值e.利用SM2 中的簽名算法對交易數據散列值e進行簽名,得到交易的數字簽名S IGT=(r,s).將公鑰pA、簽名SIGT與交易綁定,得到交易TA={TA,pA,S IGT},向全網廣播.

Step 3.交易驗證

具有生成區塊權利的節點,即公有鏈中的挖礦節點、聯盟鏈中的主節點,負責收集交易池中未確認的交易,通過SM2 驗簽算法校驗交易中綁定的用戶公鑰pA與交易簽名SIGT合法性.若驗證通過,則認定交易TA合法,并將其存儲至新區塊中.

2.3 可插拔共識

“國密鏈”模塊化交易共識過程,通過自定義接口的方式,對外提供交易處理與共識模塊的方法調用,以達到“可插拔共識”的目的.其中共識算法選取與相關共識操作均由使用者完成,實現了共識算法的靈活可變.

2.3.1 接口定義

接口類定義如下:

(1)Consensus:共識算法接口類

class Consensus {

public:

virtual void Create(Transaction transaction)=0;

virtual void Broadcast(Transaction transaction)=0;

};

方法介紹:

Create()方法負責創建一筆交易;

Broadcast()方法在交易創建后負責將交易向全網廣播.

(2)Manage:交易管理類

class Manage {

public:

Manage(){};

～Manage(){};

vectorTransactionPool();

void SetConsensus (Consensus consensus);

void Start();

void Inject(Transaction transaction);

void Halt();

}

方法介紹:

TransPool()方法會返回一個vector 容器用以存儲交易;

SetConsensus ()方法負責設置共識對象;

Start()方法負責啟動Manager 線程;

Inject (Transaction transaction)方法會在Transaction-Pool()收到事件之后將事件發放給Dispose進行處理;

Halt()方法負責停止Manager 線程.

2.3.2 可插拔共識協議

“國密鏈”將交易共識過程拆分為交易管理、交易共識兩部分.其中共識算接口類Consensus 實現了共識的基本邏輯與相關流程,并對外提供共識方法接口;交易管理類Manage 調用接口,實現交易的共識操作.

Step 1.使用者首先繼承接口類Consensus 實現共識算法,調用NewConsenter 方法初始化共識引擎,NewConsenter 可插拔;

Step 2.交易TA被賬戶A創建,由交易管理類Manage調用方法SetConsensus 指定交易實際處理對象Consensus,SetConsensus 可插拔;

即所有與共識有關的參數傳遞全部可插拔,并且對外提供了相應接口.使用者通過自定義Consensus 初始化共識算法,在交易處理時SetConsensus,即可實現“可插拔共識”.

以PBFT 算法為例,演示“可插拔共識”的實現過程.整體實現可插拔共識分為兩個階段:共識算法預準備(Pre-Consensus)、交易共識(Tra-Consensus).

設系統網絡結構如圖7所示,其中,N0為主節點,負責建塊相關操作;N1、N2為分布式節點,負責交易驗證;N3為宕機節點,不參與共識過程.

圖7 系統網絡結構

(1)Pre-Consensus:

①調用共識算法接口Consensus,實現PBFT的共識邏輯.

Order():排序服務函數,實現待確認交易排序服務;

Commit():區塊確認函數,實現新區塊數據確認過程;

StateUpdate():區塊狀態更新函數,新區塊校驗通過時,實現新區塊上鏈操作.

②調用NewConsenter 方法初始化共識引擎.

(2)Tra-Consensus:

①全網選出一個主節點N0,負責新區塊的生成.

②每個節點將交易向全網廣播,主節點調用Order()函數將收集到的待確認交易進行排序后存入列表,并將該列表向全網廣播,N0→N1/N2/N3.

N1、N2接收到交易列表后,調用SM2 算法驗證交易簽名.所有交易驗證完畢后,基于交易結果計算新區塊散列值,向全網廣播,N1→N0、N2、N3;N2→N0、N1、N3.N3作為拜占庭節點不負責交易驗證與廣播.

④N1、N2分別接收到其它節點發來的區塊散列值,調用Commit()函數將該散列值與本地結果進行校驗,并記錄校驗通過次數,若次數大于2f(f為可容錯的拜占庭節點數,此時f=1)個,則向全網廣播一條Commit 消息.

⑤若N1、N2分別接收到大于2f條Commit 信息,則調用StateUpdate()函數將新區塊追加到本地區塊鏈和狀態數據庫,完成共識過程.

3 性能分析

3.1 SM2/SM3

“國密鏈”中,密碼算法主要應用于交易的簽名驗簽,且SM2、ECC 也分別采用SM3、SHA-256 進行哈希運算,因此本文將對SM2、ECC 設計測試實驗,以比較國密鏈相較于普通區塊鏈架構的優勢.

3.1.1 差異分析

(1)SM3與SHA-256

SM3與SHA-256 都是哈希算法,具有類似的結構與流程.例如:兩者數據最大輸入均為264 位,輸出為256 位的哈希值;消息分組均為512 位,每個分組采用64 輪循環迭代,且壓縮函數具有相同的結構,計算流程基本一致.SM3的優勢在于將消息擴展為132 個字,相較于SHA-256 算法將消息擴展為64 個字,位之間相關性更強,擁有更優良的抗碰撞性能.

(2)SM2與ECC-256

SM2是ECC 橢圓曲線算法的一種,其私鑰長度為256 位.主要分為簽名驗簽、加密解密、密鑰交換3 個功能模塊.表4顯示了SM2與ECC-256 簽名算法的不同之處.

表4 SM2與ECC-256 算法差異

可以看出,SM2與ECC-256的簽名算法主要差別是計算消息M的哈希值e時,需要額外計算一個ZA值.ZA長度為256 位,是根據簽名者自己的ID、橢圓曲線參數、自身公鑰pA等信息的哈希值,使得簽名擁有更全面的用戶信息,簽名值擁有更強的效力,最終提高簽名的可信性.

3.1.2 性能測試

(1)測試環境

兩種算法使用基于素數域的橢圓曲線,在素數域Fp上的方程為:

其中,SM2 采用選用國密推薦標準,參數如下:

ECC 采用seck256k1 曲線,參數如下:

(2)測試方法

選取長度為32、64、128 字節的字符串,分別通過SM2、ECC 算法完成簽名驗簽操作,重復10 000 次,計算簽名驗簽的時間開銷與內存開銷.

(3)測試結果

①時間開銷

由表5可以看出,SM2 簽名驗簽算法具有更快的執行速度,相較于比特幣中采用的secp256k1 曲線,時間節約了大概20%.

②內存開銷

由表6可知,SM2+SM3 實現簽名驗簽比ECC-256+SHA-256 算法占用的內存更少,節約內存大概10%.

表5 SM2和ECC-256 簽名驗簽時間開銷(單位:s)

表6 SM2和ECC-256 簽名驗簽內存開銷(單位:Byte)

3.2 可插拔共識

“國密鏈”設計的可插拔共識協議,支持不同共識機制.本節從以下3 個維度分析可插拔共識協議:

(1)安全性

“可插拔共識”協議以純分布式P2P 作為基本網絡架構,即新節點隨機與某個節點建立連接.通過這種隨機拓撲的方式,與普通區塊鏈結構中的結構化P2P 網絡相比,擁有以下優點:

①使用泛洪的方式通信,節點不依賴分布式哈希表等節點發現機制查找對等節點,節點可以任意的加入或退出國密鏈網絡,使得網絡可擴展性強;

②節點在加入或退出國密鏈網絡時只會對臨近節點造成影響,對整體網絡影響不大,使得網絡更穩定;

③可以有效避免集中式網絡單點性能瓶頸和單點故障的問題,使得網絡魯棒性更強;

④為了完成交易的共識過程,國密鏈中賬戶地址、交易詳情等隱私數據需要保證一定的公開性.通過隨機拓撲的方式可以有效地弱化賬戶地址與實際網絡地址之間的聯系,可以有效抵御基于節點數據的分析溯源攻擊,使得國密鏈中賬戶數據更為安全.

(2)擴展性

“可插拔共識”協議定義了通用共識接口,使國密鏈架構支持共識算法的擴展.

當前典型的聯盟鏈、公有鏈架構,如超級賬本、比特幣,分別采用實用拜占庭容錯算法(PBFT)、工作量證明(POW)作為唯一共識機制,實現交易的共識操作.由于二者均不具備改變共識機制的條件,當系統應用范圍從最開始的少量用戶節點發展至大量用戶節點時,必須分別選擇以上兩種共識機制,即需要兩倍的開發工作量來滿足當前的系統需求.

不同于普通區塊鏈架構中共識算法不可更改的情況,當系統應用范圍擴大時,基于國密鏈的應用開發者可重新設計并實現滿足需求的共識算法,實現共識的靈活應用.

(3)性能效率

“可插拔共識”協議提供共識接口可以簡潔高效地實現不同的共識算法,以滿足不同應用環境的性能需求.

國密鏈的共識效率取決于開發者選取的共識算法,共識過程最關鍵的步驟是P2P 節點對新區塊交易的校驗,主要操作為驗證交易的簽名是否合法.與普通的區塊鏈架構采用ECC-256+SHA-256 橢圓曲線密碼算法實現交易簽名驗簽不同,國密鏈采用更安全高效的國密SM2+SM3 算法.上節實驗表明,基于國密算法的國密鏈架構相較于普通區塊鏈架構,在占用內存更少的情況下,擁有更快的簽名驗簽速度,間接提高了共識效率.

4 結論

本文以國密算法SM2、SM3為基礎,設計并實現了“國密鏈”架構,使區塊鏈技術更為自主可控.結合“可插拔共識”協議,有效解決了區塊鏈架構面臨的共識算法妥協問題.經過分析,“國密鏈”架構相較于普通區塊鏈架構,在交易簽名驗簽方面擁有更低的時間開銷與內存開銷,而且增加了共識算法的可擴展性,實現了共識算法的靈活應用.