區(qū)塊鏈電子拍賣中基于身份的盲簽名方案

鄭 東，范秦銘，郭 瑞，楊 耿

(西安郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,陜西 西安 710121)

互聯(lián)網(wǎng)信息時(shí)代賦予了商品新的交易形式，如電子交易和電子拍賣等。先進(jìn)的網(wǎng)絡(luò)技術(shù)帶給人們便利生活和經(jīng)濟(jì)利益的同時(shí)，也增加了交易的安全風(fēng)險(xiǎn)和隱患，在人們進(jìn)行電子交易和電子拍賣的過程中，對(duì)個(gè)人隱私數(shù)據(jù)的竊取也與日俱增。電子拍賣[1-2]作為最重要的電子活動(dòng)之一，是由第三方主持的一種特殊的交易方式，因此，電子拍賣的支付和交易的安全性、公平性和欺詐等問題也日益突顯。區(qū)塊鏈具有去中心化、數(shù)據(jù)可靠、交易可追溯等特點(diǎn)，以太坊智能合約提供了一套完整的區(qū)塊鏈分布式應(yīng)用平臺(tái)，使用以太坊進(jìn)行數(shù)字貨幣交易時(shí)，任何人都可在應(yīng)用平臺(tái)上發(fā)布和使用分布式系統(tǒng)。引入以太坊智能合約可以為電子拍賣系統(tǒng)提供去中心可信的三方(Trusted Third Party，TTP)服務(wù)，以保證拍賣過程的公平性，增強(qiáng)拍賣者對(duì)協(xié)議的信任程度，擴(kuò)大協(xié)議的適用范圍[3-4]。

隨著區(qū)塊鏈的出現(xiàn)，盲簽名[5-7]越來越受到人們的關(guān)注。在基于區(qū)塊鏈的數(shù)字貨幣、拍賣系統(tǒng)、投票系統(tǒng)以及物聯(lián)網(wǎng)中，盲簽名可以保證合法用戶的匿名認(rèn)證，不可追蹤簽名者，為需要盲性的系統(tǒng)奠定了基礎(chǔ)[8-10]。1983年，Chaum[11]提出了首個(gè)用于創(chuàng)建不可追蹤支付系統(tǒng)的盲簽名，其有用戶和簽名者兩個(gè)主要參與者，用戶只知道原始消息而不知道簽名密鑰，而簽名者只知道自己簽署了消息，并不知道何時(shí)簽署。盲簽名滿足了盲性和不可偽造性[12-13]兩個(gè)主要性質(zhì)，即：簽名者在不知道自己簽署了什么的情況下簽署了消息，但不能否認(rèn)自己簽署了消息；用戶不能偽造簽名者的簽名。因此，盲簽名可以保護(hù)用戶敏感信息的匿名性，現(xiàn)已廣泛應(yīng)用在投票和拍賣領(lǐng)域。然而，基于盲簽名的電子拍賣系統(tǒng)雖然通過電子拍賣協(xié)議(Fujioka Okamoto Ohta，F(xiàn)OO)實(shí)現(xiàn)了基于盲簽名的大規(guī)模電子拍賣，但是無抗偽造性和抗共謀性[14]。

基于身份的密碼體制[15]是將用戶身份加入其公鑰中，避免使用公鑰證書，簡(jiǎn)化了密鑰的管理過程，減少了證書所造成的開銷，同時(shí)具有了不可偽造性。基于身份的盲簽名[16]可以有效保護(hù)簽署消息的內(nèi)容，與用戶身份對(duì)應(yīng)的私鑰是由可信的第三方密鑰生成中心計(jì)算并安全地分發(fā)給用戶，可以有效地抗共謀。因此，擬提出一種應(yīng)用于區(qū)塊鏈電子拍賣的基于身份盲簽名方案。在基于身份的盲簽名中加人SM3密碼雜湊算法，保證其安全性和可靠性，并結(jié)合運(yùn)行在以太坊上的智能合約，構(gòu)建電子拍賣系統(tǒng)，以期改善電子拍賣過程中存在的安全風(fēng)險(xiǎn)與隱患。

1 基礎(chǔ)知識(shí)

1.1 盲簽名

盲簽名[17-18]中橢圓曲線密碼體制(Elliptic Curve Cryptography，ECC)是一種基于橢圓曲線離散對(duì)數(shù)問題難解性的高效密碼體制，其使用較短的操作數(shù)即可實(shí)現(xiàn)與RSA加密算法及離散對(duì)數(shù)系統(tǒng)相同安全等級(jí)的密碼服務(wù)。與其他公鑰算法體制相比，ECC在帶寬與復(fù)雜度方面性能優(yōu)勢(shì)非常明顯，并且以太坊在升級(jí)后也允許使用橢圓曲線進(jìn)行加密。

設(shè)p是有限域上大于3的素?cái)?shù)，橢圓曲線E(Fp)是方程y2=x3+ax+b(modp)在群Fp上的所有解的集合，其中，4a3+27b2≠0 (modp)。

定義橢圓曲線E上的加法，設(shè)P=(x1,y1),Q=(x2,y2)，如果x2=x1，y2=-y1，則P+Q=0，否則P+Q=(x3,y3)，其中

在盲簽名過程中，用戶先將自己的信息進(jìn)行盲化，讓簽名者對(duì)于盲化信息進(jìn)行簽名。若m為原始明文消息，u為盲化因子，q為隨機(jī)數(shù)，則盲化處理后的信息為

e=muq(modp)

盲化信息的簽名為

s′=ed(modp)

其中，qd=1 (modp)。

對(duì)盲化信息的簽名進(jìn)行解盲，得到最終信息的簽名為

s=s′u-1(modp)

簽名s正確性的驗(yàn)證過程為

uqd=u(modp)
s=s′u-1=edu-1=mduqdu-1=mduu-1=md(modp)

1.2 SM3密碼雜湊算法

SM3密碼雜湊算法[19]是基礎(chǔ)密碼算法之一，其將任意長度比特的消息壓縮成算法固定的長度，已廣泛用于數(shù)字簽名及驗(yàn)證、消息認(rèn)證碼生成及驗(yàn)證、隨機(jī)數(shù)生成等，并且算法公開，安全性及效率與SHA-256相當(dāng)。SM3密碼雜湊算法的結(jié)構(gòu)是Merkle-Damgard，消息分組長度為512 b，摘要長度為256 b，壓縮函數(shù)狀態(tài)為256 b，共64步操作。初始值由8個(gè)32 b串聯(lián)構(gòu)成，共256 b，壓縮函數(shù)比SHA-256增加了16步全異或操作、消息雙字介入、增加快速雪崩效應(yīng)的P置換等技術(shù)，具有較高的安全性，實(shí)現(xiàn)效率也高于或等同于其他密碼雜湊算法。

1.3 以太坊

以太坊[20-21]是建立在區(qū)塊鏈技術(shù)上的去中心應(yīng)用平臺(tái)，其網(wǎng)絡(luò)架構(gòu)完善且系統(tǒng)性能穩(wěn)定，是目前主流的區(qū)塊鏈平臺(tái)之一，具有成熟的應(yīng)用開發(fā)語言和技術(shù)系統(tǒng)。以太坊智能合約開發(fā)語言成熟，能實(shí)現(xiàn)多樣的以太坊應(yīng)用，例如，基于以太坊智能合約實(shí)現(xiàn)拍賣系統(tǒng)、投票系統(tǒng)等。智能合約只需要達(dá)到事先約定好的條件就會(huì)觸發(fā)，而且合約生效后，直到達(dá)到條件后才會(huì)自動(dòng)銷毀。智能合約在合約層，與算法機(jī)制和腳本代碼互相配合，以代碼的形式將復(fù)雜的人工處理環(huán)節(jié)轉(zhuǎn)化為數(shù)字化，自動(dòng)化的約定協(xié)議，大幅降低了處理流程時(shí)間，達(dá)到瞬時(shí)響應(yīng)瞬時(shí)完成的效率。合約的執(zhí)行過程中，從開始直至銷毀，任何形式的故意破壞都不能使其受影響，只會(huì)按照事先設(shè)定的條件準(zhǔn)確執(zhí)行。智能合約在拍賣系統(tǒng)中的運(yùn)作機(jī)制如圖1所示。

圖1 智能合約在拍賣系統(tǒng)中的運(yùn)作機(jī)制

2 基于身份的盲簽名方案

W=

其中：Ppub=qG為用戶公鑰；a,b∈E(Fq)，用于確定橢圓曲線方程

y2=x3+ax+b,q>3
y2+xy=x3+ax2+b,q=2

基于身份的盲簽名方案包括密鑰生成、簽名和驗(yàn)證等3個(gè)部分。

2.1 密鑰生成

簽名者私鑰SI=qQI，QI=M(I)，將SI通過安全信道發(fā)送給簽名者。簽名者收到SI后，驗(yàn)證SIG=QIPpub是否成立，若成立，則接受該私鑰，否則，重新生成私鑰。

2.2 簽名

R+βG+γH+δQ=(x,y)

(1)

盲化后消息的計(jì)算表達(dá)式為

e=c-δ

(2)

c=M(m‖a‖I)

a=x(modp)

其中，(·‖·)表示兩個(gè)比特串連接。

簽名者對(duì)e進(jìn)行簽名

r=SI(1-e)

(3)

將簽名r發(fā)送給用戶，得到m的盲簽名為(c,ρ,σ)，其中，ρ=r+β，σ=r+γ。

2.3 驗(yàn)證

任何第三方可以驗(yàn)證盲簽名(c,ρ,σ)的正確性。驗(yàn)證等式為c=M[m‖I‖Rx(cQ+ρG+σH)(modp)]其中，Rx(·)表示x坐標(biāo)的值。等式成立則接受簽名，否則拒絕簽名。驗(yàn)證過程如下。

cQ+ρG+σH=
cSI(G+H)+ρG+σH=
(cSI+ρ)G+(cSI+σ)H=
(cSI+r+β)G+(cSI+r+γ)H=
(cSI+SI-eSI+β)G+(cSI+SI-eSI+γ)H=
(δSI+SI+β)G+(δSI+SI+γ)H

而

R+βG+γH+δQ=
βG+γH+SI(G+H)+δSI(G+H)=
(β+SI+δSI)G+(γ+SI+δSI)H

因此

cQ+ρG+σH=R+βG+γH+δQ

盲簽名(c,ρ,σ)驗(yàn)證成功。

3 電子拍賣系統(tǒng)

基于身份的盲簽名方案，結(jié)合以太坊的智能合約，構(gòu)建電子拍賣系統(tǒng)。基于身份的盲簽名方案的引入為競(jìng)標(biāo)者進(jìn)行身份合法性認(rèn)證授權(quán)，不僅保護(hù)競(jìng)標(biāo)者隱私安全，還可有效防止外界攻擊破壞匿名性。智能合約[22-23]分為競(jìng)標(biāo)者管理合約與競(jìng)價(jià)管理合約。競(jìng)標(biāo)組織者在區(qū)塊鏈上發(fā)布競(jìng)標(biāo)商品及競(jìng)標(biāo)規(guī)則等，競(jìng)標(biāo)者利用與自己身份有關(guān)的公鑰和對(duì)應(yīng)的私鑰對(duì)競(jìng)標(biāo)商品信息，標(biāo)價(jià)加密給拍賣人，有出價(jià)最高者則成交商品。整個(gè)電子拍賣過程如圖2所示。

圖2 電子拍賣過程

3.1 角色定義

電子拍賣系統(tǒng)主要包括競(jìng)標(biāo)組織者、中央信任證書授權(quán)(Certificate Authority，CA)機(jī)構(gòu)、競(jìng)標(biāo)者管理合約和競(jìng)價(jià)管理合約等角色。

中央信任機(jī)構(gòu)CA負(fù)責(zé)為合法競(jìng)標(biāo)者頒發(fā)資格認(rèn)證，生成基于身份的公私鑰對(duì)的智能合約。競(jìng)標(biāo)者管理合約自動(dòng)審核競(jìng)標(biāo)者身份的合法性，并參與標(biāo)價(jià)盲簽名，包括接受、簽名和反饋。競(jìng)價(jià)管理合約自動(dòng)選出收到的標(biāo)價(jià)，并公布最高價(jià)。

3.2 競(jìng)拍者注冊(cè)

競(jìng)拍者V向CA表明身份，等待CA對(duì)競(jìng)拍者的合法身份進(jìn)行認(rèn)證審核，若合格則頒發(fā)證書。同時(shí)，CA負(fù)責(zé)頒發(fā)基于競(jìng)拍者身份的公私鑰對(duì)給智能合約。競(jìng)拍者注冊(cè)的具體步驟如下。

步驟1競(jìng)拍者V生成基于身份的密鑰SI，得到公鑰R=SI(G+H)。

步驟2競(jìng)拍者V發(fā)送注冊(cè)消息{R,I}給CA進(jìn)行身份審核。

步驟3CA完成認(rèn)證，若注冊(cè)申請(qǐng)人V具有競(jìng)拍資格，則CA為其頒發(fā)資格證書C。

步驟4CA為拍賣者管理合約生成(SI,R)簽名密鑰對(duì)。私鑰SI通過安全信道傳遞給競(jìng)拍者管理合約并保密。

步驟5競(jìng)拍者管理合約根據(jù)競(jìng)拍者注冊(cè)情況生成競(jìng)拍者記錄表。

步驟6CA為標(biāo)價(jià)管理合約生成簽名密鑰對(duì)(SI,R)。同樣，將私鑰SI通過安全信道傳遞給標(biāo)價(jià)管理合約并保密。

3.3 拍賣簽名

競(jìng)拍者請(qǐng)求管理合約對(duì)競(jìng)拍價(jià)進(jìn)行簽名操作，具體步驟如下。

步驟1競(jìng)拍者V給出價(jià)格υ。

步驟3競(jìng)拍者管理合約利用式(3)對(duì)盲化價(jià)格進(jìn)行簽名計(jì)算，得到簽名r。將競(jìng)拍者記錄表中的C位置記錄為“1”，并將r傳回V。

3.4 競(jìng)價(jià)

競(jìng)拍者V對(duì)r進(jìn)行解盲，獲得原始價(jià)格簽名信息，生成正式價(jià)格。正式價(jià)格需通過匿名加密方式發(fā)送給競(jìng)價(jià)管理合約，具體步驟如下。

步驟1競(jìng)拍者V根據(jù)ρ=r+β，σ=r+γ對(duì)r進(jìn)行解盲，得到原始價(jià)格的盲簽名(c,ρ,σ)。

步驟2競(jìng)拍者V將價(jià)格信息{(c,ρ,σ)‖υ}利用競(jìng)價(jià)管理合約公鑰進(jìn)行加密運(yùn)算，生成正式價(jià)格

B=E{(c,ρ,σ)‖υ}

步驟3競(jìng)拍者V將正式價(jià)格B匿名發(fā)送給競(jìng)價(jià)管理合約。

3.5 公布

競(jìng)價(jià)合約收到V的B，利用私鑰SI解密B，驗(yàn)證簽名(c,ρ,σ)的有效性，即驗(yàn)證式(5)是否成立。若成立，接受簽名(c,ρ,σ)，在競(jìng)拍者列表中查詢c以防止復(fù)制攻擊，若已有記錄，則拋棄價(jià)格B。最終公布價(jià)格統(tǒng)計(jì)結(jié)果，并通過共識(shí)算法進(jìn)行節(jié)點(diǎn)認(rèn)證后記入?yún)^(qū)塊鏈中。

4 安全性分析

4.1 不可偽造性分析

通過CA對(duì)競(jìng)拍者身份進(jìn)行審核，保證了競(jìng)拍者群體身份的合法性。采用盲簽名對(duì)價(jià)格信息加密，攻擊者從競(jìng)拍者合約與競(jìng)價(jià)合約中竊取的信息{e,r,C}與{(ρ,σ),v}無法推斷出關(guān)聯(lián)性，且任何第三方都無法查看價(jià)格信息，保證了公平性。

攻擊者選擇(c,ρ,σ)冒充競(jìng)拍者V對(duì)價(jià)格v簽名，則攻擊者需要計(jì)算r=SI(1-e)，而攻擊者不知道SI，則攻擊者無法偽造競(jìng)拍者V對(duì)價(jià)格v的合法盲簽名。

攻擊者對(duì)價(jià)格的盲化由c=M(v‖a‖I)可知，攻擊者在β,γ,δ未知情況下無法完成盲化。

攻擊者對(duì)價(jià)格v的脫盲由ρ=r+β，σ=r+γ可知，攻擊者在β,γ未知情況下無法進(jìn)行c脫盲。

4.2 不可關(guān)聯(lián)性分析

拍賣者V1和拍賣者V2提供價(jià)格v1和v2，與簽名者合作完成簽名運(yùn)算，得到v1和v2的盲簽名分別為(c1,ρ1,σ1)和(c2,ρ2,σ2)，則

c1=av1(modp)
c2=av2(modp)

若簽名者猜測(cè)c1與v1對(duì)立，c2與v2對(duì)立，則

脫盲運(yùn)算ρ=r+β，σ=r+γ無法判斷簽名者猜測(cè)ρ1、σ1、ρ2、σ2與r1、r2的對(duì)立關(guān)系是否正確，故每次簽名更換盲因子β和γ，可確保被簽名的消息對(duì)簽名者的隱秘性。

競(jìng)價(jià)合約維護(hù)競(jìng)拍列表，防止復(fù)制攻擊，競(jìng)價(jià)者列表與競(jìng)價(jià)列表使電子拍賣過程中具有不可偽造性。區(qū)塊鏈智能合約設(shè)定運(yùn)行的邏輯性代碼，用戶可以公開審查以確定其安全性，分布式結(jié)構(gòu)也使得整個(gè)過程具有較強(qiáng)的魯棒性。

4.3 效率分析

為了證實(shí)上述理論分析，在Inter(R) Core(TM) i5-8500 CPU @3.00 GHz，內(nèi)存8 GB，Windows 10操作系統(tǒng)，JPBC代碼庫的仿真環(huán)境下，對(duì)所提方案進(jìn)行仿真實(shí)驗(yàn)。所提方案密鑰生成時(shí)間為2.65 ms，簽名時(shí)間為2.37 ms，驗(yàn)證時(shí)間為2.62 ms。

所提方案與文獻(xiàn)[24]方案、文獻(xiàn)[25]方案、文獻(xiàn)[26]方案和文獻(xiàn)[27]方案等5種方案在計(jì)算次數(shù)為0～100的運(yùn)行時(shí)間對(duì)比，如圖3所示。可以看出，在任何計(jì)算次數(shù)下，所提方案的運(yùn)行時(shí)都比其他方案有所提高。

圖3 不同方案運(yùn)行時(shí)間對(duì)比

不同方案計(jì)算次數(shù)柱狀圖如圖4所示，可以看出，所提方案與其他方案相比，計(jì)算次數(shù)有所減少。對(duì)比上述5種方案的特性，結(jié)果如表1所示。可以看出，所提方案同時(shí)具有安全性、公平性和身份合法性，優(yōu)于其他4種方案。

圖4 不同方案計(jì)算次數(shù)對(duì)比

表1 特性比較

所提方案的計(jì)算開銷主要來自盲簽名的乘法和指數(shù)運(yùn)算。定義盲簽名過程的乘法運(yùn)算為M，冪乘運(yùn)算為E，不同方案的計(jì)算開銷對(duì)比如表2所示。

表2 計(jì)算開銷

從表2中可以看出，所提方案只用了8次乘法運(yùn)算，減少了指數(shù)和乘法運(yùn)算，比其他方案計(jì)算速度更快、運(yùn)行時(shí)間更短、效率更高。

區(qū)塊鏈技術(shù)使得所提方案具有安全性和公平性，基于身份的盲簽名使得所提方案具有身份合法性。因此，所提方案更適合電子拍賣。

5 結(jié)語

在電子拍賣系統(tǒng)中，加入了基于身份的盲簽名和區(qū)塊鏈技術(shù)，加強(qiáng)了電子拍賣中身份信息的隱蔽，改善了復(fù)雜的證書管理問題，同時(shí)，降低拍賣成本，減少了信任依賴。安全性分析結(jié)果表明所提方案具有安全性、公平性和身份合法性，且運(yùn)算速度快，同時(shí)也驗(yàn)證了區(qū)塊鏈技術(shù)在電子拍賣系統(tǒng)領(lǐng)域的適用性。