鼓勵合作秘密分享方案的概念與構建

程小剛 郭韌 盧正添 周長利 陳永紅

摘要： 提出一種新的鼓勵合作秘密分享方案的概念，即參與秘密重建的成員越多，則重建過程越簡單、計算量越小；若有少數成員缺席重建秘密過程，則秘密重建仍然是可能的，只是計算量有所增加，即重建計算工作量隨缺席成員的個數指數級增加，而成功概率指數級降低.基于區塊鏈中的工作量證明（PoW）和哈希函數碰撞方法，構建一個具體可行的方案.通過隨機預言模型（ROM）證明了所提方案的安全性.

關鍵詞： 秘密分享； 哈希函數； 區塊鏈； 比特幣； 計算復雜度

中圖分類號： TN 918文獻標志碼： A?? 文章編號： 1000-5013（2023）04-0518-08

Concept and Construction of Collaboration-Encouraging Secret Sharing Scheme

CHENG Xiaogang1，2， GUO Ren3， LU Zhengtian1，2，ZHOU Changli1，2， CHEN Yonghong1，2

（1. College of Computer Science and Technology， Huaqiao University， Xiamen 361021， China；

2. Xiamen Key Laboratory of Data Security and Blockchain Technology， Huaqiao University， Xiamen 361021， China；

3. College of Business Administration， Huaqiao University， Quanzhou 362021， China）

Abstract： A new concept of collaboration-encouraging secret sharing scheme is proposed， it shows that more members participate in secret reconstruction， the simpler the reconstruction process and the smaller the computation. If a few members are absent from the secret reconstruction process， secret reconstruction is still possible， but the amount of computation increases， that is， the amount of reconstruction computation increases exponentially with the decreasing of absent members， while the success probability decreases exponentially. Based on the proof-of-work （PoW） and Hash function collision method in the blockchain， a concrete and feasible scheme is constructed. The security of the proposed scheme is proved through the random oracle model （ROM）.

Keywords： secret sharing； Hash function； blockchain； Bitcoin； computation complexity

秘密分享［1-2］是指秘密分發者（dealer）可以把一個秘密值分成多份，分別傳輸給不同的參與方，全部或部分滿足預先設定好條件的參與方集合（訪問結構）就能恢復秘密，而不滿足條件的參與方集合則不能恢復秘密.如果不能恢復，甚至不能獲得任何關于秘密的信息，則稱為完美秘密分享方案.

常用的（t，n）秘密分享是指n個參與方中如有t方以上參與秘密重建，則可以重建秘密；若參與重建秘密的人數不足t個，則不能獲得關于秘密的任何信息.基于多項式的拉格朗日差值公式，Shamir［1］構建了第一個且最重要的（t，n）完美秘密分享方案.其他的實現方式還有基于幾何的秘密分享方案［2］、基于中國剩余定理的（t，n）秘密分享方案［3］等.

秘密分享方案有很多變種，如支持不同的訪問結構［4-5］、可驗證秘密分享（VSS）［6］、對量子比特進行分享的量子秘密分享（QSS）方案［7］、支持越多人參與可減少通訊復雜度的QSS方案［8］、混合式秘密分享［9］、閾值可調秘密分享方案［10］、理性秘密分享（RSS）［11-12］、量子理性秘密分享［13-14］、主動安全秘密分享（PSS）［15-16］等.

在區塊鏈技術［17-18］中，多參與方以分布式方式共同維護一個記錄賬本，在沒有一個中心可信任方的情況下，確保記錄的唯一性，其典型應用是為比特幣（Bitcoin）［18］維護一個交易賬本，用計算難度大的數學難題的解決，證明某個交易的合法性.常用的數學難題就是哈希（Hash）函數的碰撞.近年來，區塊鏈技術在隱私保護、智能家居、共識協議、智能合約等方面都有廣泛的研究和應用［19-27］.

Shamir［1］的秘密分享方案特性是只要參與重建秘密的人數大于閾值t即可，更多的人參與不能帶來任何益處，甚至可能使重建工作量更大，因為重建t-1次多項式只要t個點即可.基于此，本文提出一種新的鼓勵合作秘密分享方案.

1 初步知識

定義1 鼓勵合作多方秘密分享方案如下.

秘密分發者Dealer可將秘密分成n份，分別分給n個參與方：若有n方都參與秘密重建過程，則可高效恢復秘密并驗證秘密的正確性；若有1方缺席秘密重建過程，如果想重建秘密，則要花費較多的計算量且成功概率稍低；一般地，如果有m方缺席重建過程，若要重建秘密，花費的計算工作量隨m指數級增長或成功概率隨m指數級降低.

區塊鏈中，共識機制是在分布式環境下多方能達成一致意見的機制，在Bitcoin的應用中是讓各方都同意和維護一個唯一的交易賬本，從而防止貨幣的重復使用問題.基于工作量證明（PoW）的共識機制是通過計算能力來保證達成共識，即只要網絡中誠實的參與者（礦工）計算力大于攻擊者，就可以保證交易賬本的唯一性，保證Bitcoin的正常運行.計算力主要是通過Hash函數（如SHA256）的碰撞實現，如要求找到一個隨機數，使得交易數據與此隨機數的哈希結果前面若干位必須為0.在基于區塊鏈的加密貨幣Bitcoin中，挖礦的目的就是找到Hash值符合一定條件（如前若干位為0）的原像作為工作量證明，獎勵系統分配給發現Hash碰撞的礦工若干比特幣進行激勵，從而保證系統的正常運行.

借鑒Bitcoin，把符合條件的Hash函數值作為秘密，參與人的秘密為原像，全部都參與，則有原像，可簡單構建出作為秘密的Hash值，而缺1方或多方的話，則原像不完整，必須對缺少的部分原像進行猜測，才能構建秘密.顯然，缺少的秘密越多，則要隨機猜測的比特數越多，工作量也就越大.

2 鼓勵合作秘密分享方案的構建

2.1 初始構建

秘密分享的步驟如下.

1） 若有n方參與秘密分享，那么，Dealer就要為每一方生成m比特的隨機信息，即x1，x2，…，xn，每個xi的長度都為m比特.

2） Dealer對這些數據進行Hash運算，h（x1，x2，…，xn）.那么，得到的Hash值的指定部分比特（如后50%比特）就是要共享的秘密，而其他部分（如前50%比特）是作為驗證的比特，即可驗證重構出來的秘密是否正確；此時，共享的秘密顯然是隨機值，若希望共享一預先給定的值，則可以將此隨機值作為對稱加密方案（如AES）的秘鑰來加密給定值，重建秘密時只需重建出共享的隨機值（即秘鑰），再進行解密即可.

3） Dealer把x1，x2，…，xn分別傳送給參與秘密分享的n方作為他們的秘密值，同時傳送作為驗證的那部分（如前50%比特）Hash值比特.

重建秘密的步驟如下.

1） 如果參與秘密分享的n方都參與重建，那么，重構過程非常簡單，只要計算Hash值，即

h′=h（y1，y2，…，yn）.

2） 驗證.把h′中的指定部分（如前50%比特）同公開的驗證比特進行比較，如果相同，那么剩下的部分就是重建出來的秘密；如果不同，就說明成員中有一部分是惡意的，即沒有貢獻出真正的秘密，或者不是參與方之一.

3） 缺1方.如果缺1方，不失一般性地，假設缺席的是第n個參與方（即xn），則前n-1個參與方也可嘗試重構秘密，即對每個可能的xn值計算Hash值，如果某個Hash值的指定部分同公開驗證比特相同，那么，高概率剩下的部分就是秘密，計算代價為O（2m），其中，m為1個參與方從Dealer處獲得的分享（Share）的比特長度.

4） 缺2方、多方.如果缺席是2方，那么，計算代價為O（22×m）；一般地，若缺席r方，那么，計算代價為O（2r×m），計算代價隨著缺席的人數指數級上升；若r×m>l（即缺失的比特數大于Hash函數的輸出長度l），那么，會有原像沖突，即1個Hash值可能對應多個原像，則平均每個Hash值有2r×m-l個原像，猜測成功的概率為（1/2）r×m-l.

上述分析其實不夠精確，由于敵手可以直接盲目猜測作為秘密的那部分Hash比特，那么，計算代價就是固定的O（1），成功的概率為1/2秘密長度.因此，可以通過加長秘密的長度來增強安全性.

2.2 提高安全性的構建

為避免上述的安全性問題，可考慮進行多次Hash，把多個Hash函數輸出值作為秘密，即在一次hj（x1，x2，…，xn，0）的基礎上，延長秘密包含

hj（x1，x2，…，xn，1），hj（x1，x2，…，xn，2），…，hj（x1，x2，…，xn，k），

即加長了秘密的長度，可把hj（x1，x2，…，xn，0）的部分或全部比特作為驗證比特，后面的Hash值作為秘密值.此時，可根據需要設定k的值，k值越大，秘密越長.由于秘密的長度較大，直接盲目猜測的成功概率就大大降低，甚至可忽略不計.

2.3 一個簡單的示例

選取一個簡單的Hash函數（實際應用中，應該選取更安全的Hash函數，如SHA256）如下

h（x1，x2，…，xn）=∑ni=1ai·ximod N.

上式中：N為一素數；系數（a1，a2，…，an）∈{0，1，…，N-1}為隨機數.

以3方為例，令N=257，（a1，a2，a3）=（17，123，25），則Hash函數為

h（x1，x2，x3）=17x1+123x2+25x3mod 257，

則容易得到h（1，2，3）=81，h（7，8，9）=43.

基于此Hash函數可設計秘密分享方案如下.

隨機選擇x1=59，x2=98，x3=213，計算Hash值為

h（59，98，213）=17·59+123·98+25·213mod 257=135=（1000 0111）2.

可設置要分享的秘密為后四位0111，而前四位1000作為驗證比特.

顯然，當3方都參與秘密重建時，只需3方各自提供自己的部分，進行一次Hash運算即可，并可用得到的Hash值前四位同1000比較，若相同，則剩下四位即為重建的秘密0111；若不同，則重建失敗，說明有用戶提供了假的秘密部分.

若只用2方參與秘密重建，設參與方為x1=59，x2=98，此2方也可嘗試重建秘密，即對x3={0，1，2，…，256}的每個值嘗試計算Hash值，前四位為1000的Hash值區間為128～143.Hash值滿足前四位條件的原像與秘密值，如表1所示.

由表1可知：16個Hash值都可能是秘密，因為其值的前四位都是1000，假如任選其中之一作為秘密，顯然成功的概率為1/16.

符合條件的原像個數與成功概率，如表2所示.類似地，假設只有1方x1=59想重建秘密，那么，可對x2，x3的每個可能值進行Hash運算，可知符合前四位條件的Hash值有4 112，與理論估計值4 096非常接近，任選其中一組，重建成功概率為14 112；若假設一個參與方都沒有，成功的概率為11 056 784，與理論估計值1 048 576也非常接近，說明此Hash函數的輸出隨機性較好，即實現了計算量和成功概率隨缺失方數指數級增加和降低.

但上述的分析有問題，即如果敵手直接忽略各方的Share，直接瞎猜后四位，成功的概率也是1/16，即此時多參與方并不能真正帶來重建工作量的減少或成功概率的提高.需要進行安全性的加強，即延長秘密的長度，降低盲目猜測的概率，促使敵手進行大量計算.

此時，秘密不只是上述Hash值的后四位，還包括h2（x1，x2，x3，1），需要可繼續加長秘密，包含h2（x1，x2，x3，2），h2（x1，x2，x3，3）等）.h2是另一個Hash函數，定義為

h2（x1，x2，x3，i）=17x1+123x2+25x3+81imod 257.

顯然，h2（x1，x2，x3，0）跟上述的Hash函數是一樣的.

同上，取x1=59，x2=98，x3=213mod 257，計算Hash值為

h2（x1，x2，x3，0）=135，? h2（x1，x2，x3，1）=216.

用h2（x1，x2，x3，0）即135的前50%比特1000作為驗證比特，而后四位和h2（x1，x2，x3，1）=216=1101 1000作為秘密，此時秘密長度為12位；若敵手忽略x1，x2直接盲目猜測，那么，成功概率為1/212，此時，敵手的理性選擇是利用x1，x2對所有可能的x3進行Hash運算嘗試，運算量為28，成功概率是1/16.二次Hash延長秘密長度，如表3所示.表3中任何一行都是可能的秘密.

由表3可知：h2（x1，x2，x3，1）與h2（x1，x2，x3，0）有簡單的線性關系，即敵手可在盲目猜測h2（x1，x2，x3，0）后加上81得到后八位，成功概率不變；然而，此處用的Hash函數很簡單（線性運算），實際中的Hash函數（如SHA256）采用的是比較復雜的非線性運算，即敵手盲目猜測h2（x1，x2，x3，0）后，不會得到關于h2（x1，x2，x3，1）的任何信息，只能先猜測原像x1，x2，x3的值，再計算h2（x1，x2，x3，0）和h2（x1，x2，x3，1），直接猜測Hash值的成功率較低.

假設缺2方，直接盲目猜測的成功概率為1/212，此時秘密的長度為12位，對缺的2方所有值進行Hash計算工作量為1/216，可得到符合條件的Hash值約為216/24（假設每個Hash值都是隨機），即成功概率為1/212，同盲目猜測概率相當；采取類似方法繼續擴展秘密長度，把h2（x1，x2，x3，2）也作為秘密，秘密長度為12+8=20，盲目猜測的概率為1/220，此時，敵手的理性選擇為對所缺的2方所有可能值進行嘗試.在實際應用中，可根據具體情況調整秘密的長度，以確保重建的工作量滿足設計要求，利用包含h2（x1，x2，x3，i）技術增加秘密長度.

3 安全性與參數分析

上述方案的安全性主要是基于Hash函數的安全性，同Bitcoin中的工作量證明PoW類似，持有原像，則可直接通過Hash運算得到Hash值，否則，只能隨機嘗試.只要Hash函數是安全的，文中方案就是安全的，下面基于隨機預言模型（ROM）證明文中方案的安全性.

定理1 基于隨機預言模型，鼓勵合作秘密分享方案滿足安全性性質，即計算量和成功概率隨缺失方數分別指數級增長或指數級下降.

證明：設參與秘密重建的人數少1人，即缺失的Hash原像位數為m，對缺失的m位的每一種可能進行嘗試，計算量為2m，目標是找到Hash函數值的前128位（假設用于驗證的比特位數為128位）滿足給定值的缺失的m位原像.注意ROM下Hash有2個性質.

性質1 在ROM中，獲得Hash值的唯一方法是查詢預言器Oracle，查詢1次就獲得1個對應的Hash值，Oracle內部如何運作是黑箱，不能被了解.

性質2 每次查詢，Oracle返回的Hash值都是獨立和隨機的（要滿足對同一個原像的查詢返回的Hash值一致的條件）.

在這2個性質下，不能快速求逆，因為其黑箱運作不能逆向工程破解，要找到符合條件的原像只能做隨機嘗試，即

1） 當缺失的原像位數m<128時，重建的成功概率較高，而計算量隨m指數級增加，即2m；

2） 當缺失的原像位數m>128時，重建成功的概率隨m指數級降低，約為1/2m-128，因為缺失的原像位數為m（m>128）時，對每個可能的原像（有2m個）求Hash值，會得到2m個Hash函數值（每個長度為128），而所有可能的Hash函數值只有2128個，在Hash函數是隨機的假設下，每個Hash值對應的原像數量平均為2m/2128=2m-128個，其中，只有1個是真正的秘密，所以，成功的概率為1/2m-128.

設每個人的秘密Share為m位、n個參與人，Hash函數的輸入消息為n×m位，若采用SHA256哈希函數，則一個Hash輸出為256位，平均每個輸出對應的原像個數為

2n×m/2256 = 2n×m-256.

假設把hj（x1，x2，…，xn，0）的前50%比特即128位作為驗證比特，則后50%比特為秘密比特，如果秘密長度不足，還可擴展秘密包括hj（x1，x2，…，xn，1），hj（x1，x2，…，xn，2），…，hj（x1，x2，…，xn，k），此時，秘密長度為128+k×256比特.

1） 當每方的分享長度m=64時，則缺1方時需要嘗試的次數為264，計算量較大，假設每個Hash值都是隨機的，那么，1個隨機256位Hash值有原像的概率為264/2256，即只要嘗試缺失那方的每一個值，成功重建秘密的概率很高；失敗只可能是符合128位驗證比特的Hash值有多個，產生了沖突，即重建出的秘密有多個，不能分辨哪一個是正確的，只能隨機選擇.此時，總共264個Hash值，每個Hash值符合條件（即前128位符合給定的驗證比特）的概率為1/2128，則可能產生沖突（重建失敗）的概率較小，為

1-1-12128264.

精確來說，當有k個Hash值沖突，這k個值中只有一個是正確的，即錯誤的概率為（k-1）/k，而恰有k個Hash值沖突的概率Ckn為

Ckn=12128k1-12128n-k.

上式中：n=264.所以，重建失敗的概率PFail為

PFail=∑264k=1kk+1Ckn12128k1-12128n-k.

當k=0時是沒有沖突的，只有一個值符合條件的情況，即

PFail<∑264k=1Ckn12128k1-12128n-k=∑264k=0Ckn12128k1-12128n-k-1-12128n=

1-1-12128264<1-1-1264=1264.

當01-np，可用數學歸納法證明：當n=2時，（1-p）2=1-2p+p2>1-2p顯然成立，若n=k成立，則（1-p）k+1>（1-kp）（1-p）=1-（k+1）p+kp2>1-（k+1）p成立.

此時，產生沖突（重建失敗）的概率很小，成功的概率很高.

而缺2方時計算量為2128，類似上述計算，成功是沒有沖突發生（符合前128位條件的Hash值唯一），概率較低.則成功概率為

PSuccess≈1-121282128≈1e≈0.367 88，

這是因為limn→∞1-1nn=1e.

缺3方時，計算量為2192，平均一個符合前128位條件Hash值有1/264個原像，即成功的概率約為1/264，而敵手的另一種選擇是直接盲目猜測128為秘密值，成功概率很低，為1/2128，但計算開銷很小，為O（1）.

缺4方時，計算量為2256，成功概率約為1/2128， 原秘密長度128位就不夠了，若保持128位秘密長度，則敵手可以選擇直接盲目猜測，成功概率為1/2128，與上述經過大量計算后成功的概率一致，所以，理性的敵手會選擇直接盲目猜測，此時，要求秘密長度S遠遠大于128，即|S|128；若經過計算后成功概率為p，那么要求秘密長度遠遠大于lg（1/p），否則，敵手可直接盲目猜測，這違背了文中方案的設計初衷.增加秘密的長度可用上述方法，即加上hj（x1，x2，…，xn，k）（k=1，2，3，…）作為秘密.

2） 當m=128時，缺1方計算量為2128且成功概率較低，而缺2方時計算量為2256，此時，要求秘密長度遠大于128位.

3） 當m=256時，缺1方計算量為2256，要求秘密長度遠大于128位.

4） 當m>256時，缺1方計算量為2m，要求秘密長度遠大于（m-128）位.

綜上，不同的每方分享長度下，計算量、成功概率、缺失方數和缺失位數的關系，如表4所示.

當缺失的原像位數m>128時，找到一個符合條件的Hash原像需要花費的計算量約為1/2128，而表4中列出的工作量1/2m為找到全部符合條件的原像的總工作量，即嘗試缺失m位的每一種可能性.

顯然，若敵手直接盲目猜測，計算量為O（1），成功概率與秘密長度有關，即

1） 當驗證與秘密總長度為256位（hj（x1，x2，…，xn，0）），驗證比特為128，秘密也為128位，則盲目猜測成功概率為1/2128.

2） 當驗證與秘密總長度為512位（hj（x1，x2，…，xn，0）和hj（x1，x2，…，xn，1）），秘密為384位，盲目猜測成功概率為1/2384.

3） 當驗證與秘密總長度為768位（hj（x1，x2，…，xn，0），hj（x1，x2，…，xn，1），hj（x1，x2，…，xn，2）），秘密為640位，盲目猜測成功概率為1/2640.

4 結論

通常的（t，n）門限秘密分享方案中，只要參與重建秘密的人數超過閾值t，就可以重建出秘密，超過閾值后，更多人的參與不會帶來任何好處，甚至可能使計算量更大.提出一種新的鼓勵合作的秘密分享方案，即參與秘密重建的成員越多，則重建過程越簡單、計算量越小；若有少數成員缺席重建秘密過程，則秘密重建仍然是可能的，只是計算量有所增加，即重建計算工作量隨缺席成員的個數指數級增加，而成功概率指數級降低.

未來準備進一步擴展的方向有以下4點.

1） 結合（t，n）秘密分享方案，設置一個最低的閾值t，參與人數大于等于t時，重建秘密才是可能的，否則，重建秘密是不可能的.

2） 擴展至量子信息領域，設計實現符合文中秘密分享概念的量子秘密分享方案，即參與人數越多，重建量子秘密的計算量越小.

3） 結合能節約通訊復雜度的秘密分享概念，即設計實現參與人數越多時，不僅計算量越小，而且所需的通訊復雜度也越低.同時，結合量子糾纏態探索進一步節約重建秘密時所需的通訊復雜度.

4） 設計實現重建工作量日增的秘密分享方案，以保證長期秘密分享方案的安全性.參考文獻：

［1］ SHAMIR A.How to share a secret［J］.Communications of the ACM，1979，22（11）：612-613.DOI：10.1145/359168.359176.

［2］ BLAKLEY G R.Safeguarding cryptographic keys［C］∥Proceedings of Managing Requirements Knowledge， International Workshop on IEEE Computer Society.New York：IEEE Press，1979：313-318.DOI：10.1109/MARK.1979.8817296.

［3］ ASMUTH C A，BLOOM J.A modular approach to key safeguarding［J］.IEEE Transactions on Information Theory，1983，29（2）：208-210.DOI：10.1109/TIT.1983.1056651.

［4］ HARN L，HSU C，ZHANG Mingwu，et al.Realizing secret sharing with general access structure［J］.Information Sciences，2016，367/368：209-220.DOI：10.1016/j.ins.2016.06.006.

［5］ JIA Xingxing，GUO Yusheng，LUO Xiangyang，et al.A perfect secret sharing scheme for general access structures［J］.Information Sciences，2022，595：54-69.DOI：10.1016/j.ins.2022.02.016.

［6］ CHOR B，GOLDWASSER S，MICALI S，et al.Verifiable secret sharing and achieving simultaneity in the presence of faults［C］∥Proceedings of the 26th IEEE Symposium on the Foundations of Computer Science.Portland：IEEE Press，1985：383-395.DOI：10.1109/SFCS.1985.64.

［7］ HILLERY M，BUEK V，BERTHIAUME A.Quantum secret sharing［J］.Physical Review A，1999，59（3）：1829-1834.DOI：10.1103/PhysRevA.59.1829.

［8］ SENTHOOR K，SARVEPALLI P K.Communication efficient quantum secret sharing［J］.Physical Review A，2019，100（5）：052313.DOI：10.1103/PhysRevA.100.052313.

［9］ LIPINSKA V，MURTA G，RIBEIRO J，et al.Verifiable hybrid secret sharing with few qubits［J］.Physical Review A，2020，101（3）：032332.DOI：10.1103/PhysRevA.101.032332.

［10］ HARN L，HSU C，ZHE Xia.A novel threshold changeable secret sharing scheme［J］.Frontiers of Computer Science，2022，16：161807.DOI：10.1007/s11704-020-0300-x.

［11］ HALPERN J Y，TEAGUE V.Rational secret sharing and multiparty computation： Extended abstract［C］∥Proceedings of the Thirty-Sixth Annual ACM Symposium on Theory of Computing.New York：ACM，2004：623-632.DOI：10.1145/1007352.1007447.

［12］ GORDON S D，KATZ J.Rational secret sharing， revisited［C］∥International Conference on Security and Cryptography for Networks.Berlin：Springer，2006：229-241.DOI：10.1007/11832072_16.

［13］ MAITEA A，DE S J，PAUL G，et al.Proposal for quantum rational secret sharing［J］.Physical Review A，2015，92（2）：022305.DOI：10.1103/PhysRevA.92.022305.

［14］ QIN Huawang，TANG W K S，TSO R.Rational quantum secret sharing［J］.Scientific Reports，2018，8：11115.DOI：10.1038/s41598-018-29051-z.

［15］ HERZBERG A，JARECKI S，KRAWCZYK H，et al.Proactive secret sharing or： How to cope with perpetual leakage［C］∥Proceedings of the 15th Annual International Cryptology Conference on Advances in Cryptology.Berlin：Springer，1995：339-352.DOI：10.1007/3-540-44750-4_27.

［16］ DEHKORDI M H，MASHHADI S，ORAEI H.A proactive multi stage secret sharing scheme for any given access structure［J］.Wireless Personal Communications，2019，104（1）：491-503.DOI：10.1007/s11277-018-6032-7.

［17］ 邵奇峰，金澈清，張召，等.區塊鏈技術： 架構及進展［J］.計算機學報，2018，41（5）：969-988.DOI：10.11897/SP.J.1016.2018.00969.

［18］ 秦波，陳李昌豪，伍前紅，等.比特幣與法定數字貨幣［J］.密碼學報，2017，4（2）：176-186.DOI：10.13868/j.cnki.jcr.000172.

［19］ 祝烈煌，高峰，沈蒙，等.區塊鏈隱私保護研究綜述［J］.計算機研究與發展，2017，54（10）：2170-2186.DOI：10.7544/issn1000-1239.2017.20170471.

［20］ 劉敖迪，杜學繪，王娜，等.區塊鏈技術及其在信息安全領域的研究進展［J］.軟件學報，2018，29（7）：2092-2115.DOI：10.13328/j.cnki.jos.005589.

［21］ 曾詩欽，霍如，黃韜，等.區塊鏈技術研究綜述： 原理、進展與應用［J］.通信學報，2020，41（1）：134-151.DOI：10.11959/j.issn.1000-436x.2020027 .

［22］ 劉明達，陳左寧，拾以娟，等.區塊鏈在數據安全領域的研究進展［J］.計算機學報，2021，44（1）：1-27.DOI：10.11897/SP.J.1016.2021.00001.

［23］ 夏清，竇文生，郭凱文，等.區塊鏈共識協議綜述［J］.軟件學報，2021，32（2）：277-299.DOI：10.13328/j.cnki.jos.006150.

［24］ 徐恪，凌思通，李琦，等.基于區塊鏈的網絡安全體系結構與關鍵技術研究進展［J］.計算機學報，2021，44（1）：55-83.DOI：10.11897/SP.J.1016.2021.00055.

［25］ 張利華，張贛哲，曹宇，等.基于區塊鏈的智能家居認證與訪問控制方案［J］.計算機應用研究，2022，39（3）：863-867，873.DOI：10.19734/j.issn.1001-3695.2021.08.0321.

［26］ 衛宏儒，李思月，郭涌浩.基于智能合約的秘密重建協議［J］.計算機科學，2022，49（6A）：469-473.DOI：10.11896/jsjkx.210700033.

［27］ 張亮，劉百祥.區塊鏈與秘密分享融合技術綜述［J］.計算機工程，2022，48（8）：1-11.DOI：10.19678/j.issn.1000-3428.0064102.

（責任編輯：? 黃曉楠? 英文審校： 吳逢鐵）

收稿日期： 2023-03-12

通信作者： 程小剛（1973-），男，講師，博士，主要從事信息安全、應用密碼學的研究.E-mail：cxg@hqu.edu.cn.

基金項目： 福建省社會科學基金資助項目（FJ2021B163， FJ2020B044）

http：∥www.hdxb.hqu.edu.cn