本文由区块链与数字货币技术专题特约编辑斯雪明教授和陈文光教授推荐
为了解决区块链交易过程中的隐私泄漏问题,对SM9标识密码算法进行改进,提出了基于身份认证的多KGC群签名方案.以联盟链为基础,设计了基于SM9算法可证明安全的区块链隐私保护方案,并对以上方案进行安全性与效率分析.通过分析证明,方案具有签名不可伪造、保证节点匿名及前向安全等特性.通过效率分析:该方案较Al-Riyami等人提出的无证书签名方案减少2次双线性对运算,验签效率提高约40%;较Tseng等人与Chen等人提出的方案分别减少4次与2次指数运算,计算效率整体得到提高.该方案通过多KGC群签名保护交易双方的用户身份,实现在节点间进行身份验证的同时,保护了节点的隐私.
In order to solve the problem of privacy leakage in the transaction process of block chain, by improving the SM9 identification cryptography algorithm, a multi KGC group signature scheme based on SM9 algorithm was proposed for the first time. Based on the alliance chain, a privacy preserving scheme in block chain with provably secure was designed based on SM9 algorithm. By analyzing the security and efficiency about this scheme, it is proved that the proposed scheme has many advantages, such as signature unforgery, the node anonymity, forward security, and so on. By analyzing the efficiency, the proposed scheme decreases twice bilinear pairing operations compared with the certificateless signature scheme proposed by Al-Riyami S Ss', and the efficiency of signature verifying is increased by about 40%. Moreover, the proposed scheme cuts down four times and twice exponent operations compared with schemes of Tseng Y Ms' and Chen Ys', the overall calculation efficiency is improved. The user identity of two parties can be protected by the cryptographic operation, and the privacy preserving of the nodes is achieved.
区块链技术因其“去中心化”与“去信任化”等特点, 可在可信第三方不参与的情况下与陌生节点之间进行安全的信息传递, 有效提高了信息交互效率, 降低交互成本, 在比特币、供应链等领域具有较为广阔的前景[
隐私泄露是区块链技术中不容忽视的问题[
群签名的概念由Chaum和Heyst[
本文的贡献在于, 提出一种基于SM9算法可证明安全的区块链隐私保护方案, 对现有SM9算法进行适当优化, 提出了一种基于SM9算法的群签名方案, 以区块链中的联盟链为应用环境, 实现对交易过程的隐私保护.方案效率较现有方案相比, 所需指数运算与双线性对运算均有减少, 运算效率得到提升, 可以为联盟链的应用提供有效安全和隐私保护支撑.
区块链是一种按照时间顺序将数据区块以链条的方式组合成特定的数据结构[
总体上区块链可以分为3种类型:公有链、联盟链和私有链, 本文设计的隐私保护方案主要在联盟链中实现.在联盟链中, 区块链的区块和交易的有效性由预先设定的一个验证者群体决定, 这个验证群体形成一个联盟.例如, 要使得联盟链中的一个区块有效, 需要联盟中50%以上的成员认可通过, 新区块才有效.区块链上的信息可以是公开的, 也可以只对联盟成员可见.
SM9密码算法涉及有限域、椭圆曲线、椭圆曲线上双线性对的运算等基本知识和技术[
群签名是由包含下面过程的数字签名方案[
(1) 创建:一个用以产生群公钥和私钥的多项式时间概率算法;
(2) 加入:一个用户和群管理员之间使用户成为群管理员的交互式协议.执行该协议可以产生群员的私钥和成员证书, 并使群管理员得到群成员的私有密钥;
(3) 签名:一个概率算法, 当输入一个消息和一个群成员的私钥后, 输出对消息的签名;
(4) 验证:一个在输入消息原文、对消息的群签名以及群公钥后验证签名是否有效的算法;
(5) 打开:一个在给定一个签名及群私钥的条件下, 确认签名人的合法身份的算法.
本文提出一种适用于区块链技术的隐私保护方案, 通过对广播交易信息中用户身份信息进行多KGC群签名运算, 实现隐藏用户身份以及同一用户不同交易之间的关联性.具体描述如下.
本方案基于联盟链进行设计, 节点由主要节点与次要节点构成, 具体结构如
方案节点构成
Composition of nodes in the scheme
其中, 主要节点负责维护区块链参数与历史数据, 进行区块链中所使用的SM9多KGC签名算法以及群签名算法的参数初始化, 参与区块生成以及管理次要节点的加入与相关密钥的分发.设现有
次要节点持有各自的签名密钥对与群签名密钥对, 次要节点为群签名中的用户, 次要节点之间可进行交易, 完成区块链中点对点交易信息传递的流程.交易商定结束, 需对信息进行群签名后进行广播, 新区块将交易信息写入并由各个节点确认后即为生效.
次要节点之间需要使用签名来验证对方身份, 并使用群签名生成需要广播的交易信息.
签名具体步骤如下.
1.签名生成
设消息为比特串
2.签名验证
设验证者为次要节点
相比SM9标准的签名验签算法, 考虑到联盟区块链中多个主要节点与KGC的功能要求, 我们提出采用多KGC模式对标准SM9签名算法的参数生成步骤进行改进, 将KGC的功能分配于主要节点, 主要节点共同参与参数维护与密钥生成, 符合联盟链部分去中心化的架构要求, 以及将无证书体制与联盟区块链运作模式结合的需要.因签名算法基于SM9算法进行改进, 故加密算法改进方式于此类似, 不再赘述.
群签名主要功能如下.
1.创建
设群管理员(group manager, 简称GM)的身份为
2.加入
当次要节点
(1) KGC不在群中, 则由GM核实次要节点
(2) 若KGC在群中, 则次要节点
3.群签名
若群中次要节点
4.验证
对于接收到的消息
5.打开
在区块链交易中, 节点间进行信息交互时需要核对对方身份, 所以将签名算法与群签名算法一同使用, 当需要核实信息签名来源时, KGC可根据所持有的用户信息
6.系统维护与成员撤销
当GM需要撤销群成员节点时, 在将要撤销的成员信息中记录“已作废”标记; 而当系统参数需要更新时, KGC可重新生成系统参数, 并且更新用户信息, 分发给群成员新的密钥对.同时保留曾经使用的系统参数.
次要节点之间的交易流程如
节点间交易流程
Transaction process between the nodes
交易进行时, 发起方节点
其中,
节点
节点
需要验证的交易信息
Transaction information
广播的交易信息主要包括与本次交易关联的上次交易信息
本方案基于联盟链, 主要节点负责区块生成.各主要节点首先需商定区块生成的共识算法, 确保不会生成分叉区块.次要节点不能生成区块.区块结构如
区块结构与所含信息
Block structure and information contained
其中, 新生区块需要记录上一个区块的编号
各节点在接受新区块时, 需对其进行身份验证, 确认其为主要节点生成, 并且与最近一次生成的区块相关联后, 再进行交易信息验证流程.各次要节点接收到交易信息后, 需要首先验证其群签名是否有效, 验证通过后, 寻找与此交易输入关联的上一次的交易输出
本方案在保护节点用户身份隐私的同时, 因交易采用UTXO的形式, 具有可溯源特性.在实际场景, 如供货链、物品买卖、房屋租赁等交易中, 不同节点用户交易过程中可能会产生纠纷, 通过应用本方案, 可进行溯源追责.本方案的具体交易流程如
具体交易流程
Specific transaction process
交易流程说明如下.
1) 当次要节点
2) 节点
3) 节点
4) 主要节点
5) 当
上述交易流程中采用UTXO的交易方式, 所有节点均可通过查看已入链区块的交易信息进行交易溯源.如在货物买卖场景中, 若交易接收方收到的货物出现了质量问题, 则可以通过对该次交易逐链溯源的方式, 找到该货物的首发地址, 即为主要节点的供货商或该货物的生产厂家进行追责.
对于签名算法, 在签名验证阶段, 需要验证
又因:
则:
所以验证通过, 签名算法正确性得到证明.
对于群签名算法, 在群签名验证阶段, 需要比对
由双线性对性质可得:
二者结果一致, 所以可继续执行下面的验证过程.而:
二者同样一致, 所以验证通过, 方案正确性得到证明.
根据无证书签名的安全模型[
● 第1类敌手——公钥替换攻击
对于签名算法, 因为基于身份的无证书签名算法使用节点的
假设敌手伪造了节点
● 第2类敌手——恶意的KGC攻击
对于签名算法, 设敌手
对于群签名算法, 敌手
在区块生成与验证阶段中, 主要节点负责生成区块, 所生成区块中包含其自身签名, 各节点需要验证后方可并入链中.除了主要节点, 其余节点均不能生成区块, 除了由主要节点生成的合法区块, 任何新区块均为无效区块, 保证了新生区块的不可伪造性.各个节点验证
当群签名方案的系统参数需要更新时, KGC需重新商定
给定合法的群签名(
由于
本方案基于SM9算法改进设计, 除了初始参数与密钥生成之外, 签名验签步骤基本一致, 所以计算代价与SM9数字签名算法基本相同.而本方案还可有效抵抗恶意KGC攻击, 弥补了SM9数字签名算法的不足.
为了说明本方案的运算效率与安全性, 本文列举几种典型方案进行对比.现定义符号
方案效率与安全性对比
Comparison of efficiency and security
方案 | 签名效率 | 验签效率 | 第1类攻击 | 第2类攻击 |
文献[ |
4 |
√ | × | |
文献[ |
√ | √ | ||
文献[ |
3 |
2 |
√ | √ |
文献[ |
3 |
3 |
√ | √ |
SM9签名算法 | √ | × | ||
本方案 | 2 |
√ | √ |
在上述运算过程中, 双线性对运算消耗资源较多, 因此主要比较该运算在方案中的使用次数[
除此之外, 本文列举两种主流的区块链系统隐私保护方案进行对比.考虑到实际应用中可能发生的追责情况, 方案应在保护隐私的同时, 满足一定的溯源性, 且为了满足高频率的交易请求, 区块生成时间应在保证安全的基础上拥有较快的生成速率.对比分析表见
隐私保护方案对比
Comparison of different privacy preserving schemes
方案 | 匿名性 | 交易关联性 | 溯源性 | 交易信息量 |
文献[ |
强 | 弱 | 弱 | 25KB |
文献[ |
强 | 较弱 | 较弱 | 15KB |
本方案 | 强 | 弱 | 较强 | 2KB~5KB |
通过
本文主要测试方案中所使用的群签名算法的运行时间以及主要节点生成新区块后验证成功与并入链中所需的时间.方案仿真使用Java语言进行测试, 使用Windows系统, CPU2.4GHz, 内存为4GB.新生区块由一个主要节点产生, 并由10个次要节点进行验证.由
签名与验签所用时间
Time for signing and verifying
交易信息生成所用时间
Time to generate transaction information
区块并入成功所需时间
Time for block generation
本文通过将SM9算法、群签名与区块链技术相结合, 提出并设计了一种可应用于区块链环境中的隐私保护方案, 通过多KGC群签名机制隐藏了交易双方的节点身份.通过安全性证明与效率分析, 本方案具有签名不可伪造性、可保证节点匿名性及前向安全性, 计算效率较目前提出的方案有较大提升.综合而言, 本方案在运算时间与安全性方面整体具有较大优势, 可实现在节点间进行身份验证的同时, 保护节点隐私的目的, 符合联盟区块链部分去中心化和保护节点隐私的要求.本方案可应用于大量需要验证用户身份的场合, 如房屋租赁、实物交易等等.如何根据具体应用场景简化交易流程, 提高单位时间内的交易数量, 可以作为下一阶段的研究工作.
Shao QF, Jin CQ, Zhang Z, Qian WN, Zhou AY. Blockchain:Architecture and research progress. Chinese Journal of Computers, 2018, 41(5):969-988(in Chinese with English abstract).
邵奇峰, 金澈清, 张召, 钱卫宁, 周傲英.区块链技术:架构及进展.计算机学报, 2018, 41(5):969-988
Al-Riyami SS, Paterson KG. Certificateless public key cryptography. Proc. of the ASIACRYPT, 2003, 2894(2):452-473.
Yu Y, Mu Y, Wang G, Xia Q, Yang B. Improved certificateless signature scheme provably secure in the standard model. IET Information Security, 2012, 6(2):102-110.
Gong P, Li P. Further improvement of a certificateless signature scheme without pairing. Int'l Journal of Communication Systems, 2014, 27(10):2083-2091.
Tseng YM, Huang SS, Wu JD. Secure certificateless signature resisting to continual leakage attacks. In: Proc. of the Int'l Conf. on Applied System Innovation. 2017.1263-1266.
Swan M. Blockchain thinking:The brain as a decentralized autonomous corporation. IEEE Technology & Society Magazine, 2015, 34(4):41-52.
Chiesa A, Green M, Liu JC, Miao PH, Miers I, Mishra P. Decentralized anonymous micropayments. In: Proc. of the Advances in Cryptology (EUROCRYPT 2017). 2017.
Kosba A, Miller A, Shi E, Wen ZK, Papamanthou C. Hawk: The blockchain model of cryptography and privacy-preserving smart contracts. In: Proc. of the Security and Privacy. IEEE, 2016.839-858.
Qian WN, Shao QF, Zhu YC, Jin CQ, Zhou AY. Research problems and methods in blockchain and trusted data management. Ruan Jian Xue Bao/Journal of Software, 2018, 29(1):150-159(in Chinese with English abstract). http://www.jos.org.cn/1000-9825/5434.htm[doi:10.13328/j.cnki.jos.005434]
钱卫宁, 邵奇峰, 朱燕超, 金澈清, 周傲英.区块链与可信数据管理:问题与方法.软件学报, 2018(1):150-159. http://www.jos.org.cn/1000-9825/5434.htm[doi:10.13328/j.cnki.jos.005434]
Miers I, Garman C, Green M, Rubin AD. Zerocoin: Anonymous distributed E-cash from Bitcoin. In: Proc. of the IEEE Symp. on Security & Privacy. 2013.397-411.
Shen N, Adam M. Ring confidential transactions. Ledger, 2016, 1(1):1-18.
Chaum D, Heyst EV. Group signatures. In: Proc. of the Advances in Cryptology (EUROCRYPT'91). Berlin, Heidelberg: Springer- Verlag, 1991.257-265.
Zhang G, Wang S. A certificateless signature and group signature schemes against malicious PKG. In: Proc. of the Int'l Conf. on Advanced Information Networking and Applications. IEEE Computer Society, 2008.334-341.
Chen H, Zhu CJ, Song RS. Efficient certificateless signature and group signature schemes. Journal of Computer Research and Development, 2010, 47(2):231-237(in Chinese with English abstract).
陈虎, 朱昌杰, 宋如顺.高效的无证书签名和群签名方案.计算机研究与发展, 2010, 47(2):231-237.
Zhang Z, Ye Y. A new ID-based threshold group signature scheme. In: Proc. of the Int'l Conf. on Wireless Communications, Networking and Mobile Computing. IEEE, 2012.1-4.
Cheng X, Zhou S, Yu J, Li X, Ma H. A practical ID-based group signature scheme. Journal of Computers, 2012, 7(11):842-849.
Lin XD, Lu RX. GSIS: Group signature and ID-based signature-based secure and privacy-preserving protocol. In: Proc. of the Vehicular Ad Hoc Network Security and Privacy. John Wiley & Sons, Inc., 2015.216-220.
Bande AS, Shikalpure SG. Secure and privacy preserving group signature scheme with verifier local revocation. In: Proc. of the 2017 Int'l Conf. on Computational Intelligence in Data Science (ICCIDS 2017). Chennai, 2017.1-5.
Zhu LH, Gao F, Shen M, Li Y, Zheng B, Mao H, Wu Z. Survey on privacy preserving techniques for blockchain technology. Journal of Computer Research and Development, 2017, 54(10):2170-2186(in Chinese with English abstract).
祝烈煌, 高峰, 沈蒙, 李艳东, 郑宝昆, 毛洪亮, 吴震.区块链隐私保护研究综述.计算机研究与发展, 2017, 54(10):2170-2186.
Kiayias A, Russell A, David B, Oliynykov R. Ouroboros: A provably secure proof-of-stake blockchain protocol. In: Proc. of the Int'l Cryptology Conf. (CRYPTO 2017). LNCS 10401, Springer-Verlag, 2017.357-388.
State Cryptography Administration. SM9 identity-based cryptographic algorithms. GM/T0044-2016(in Chinese with English abstract).
国家密码管理局.SM9标识密码算法.GM/T0044-2016.
Zhang FT, Zhang FG, Wang YM. Group signature and its applications. Journal of China Institute of Communications, 2001, 22(1):77-85(in Chinese with English abstract).
张福泰, 张方国, 王育民.群签名及其应用.通信学报, 2001, 22(1):77-85.
Li YQ, Li JG, Zhang YC. Certificateless signature scheme without random oracles. Journal on Communications, 2015, 36(4):185-194(in Chinese with English abstract).
李艳琼, 李继国, 张亦辰.标准模型下安全的无证书签名方案.通信学报, 2015, 36(4):185-194.
Tseng YM, Huang SS, Wu JD. Secure certificateless signature resisting to continual leakage attacks. In:Proc. of the Int'l Conf. on Applied System Innovation (ICASI 2017). 2017.1263-1266.
Chen Y, Zhao Y, Xiong H, Yue F. A certificateless strong designated verifier signature scheme with non-delegatability. Int'l Journal of Network Security, 2017, 19(4):573-582.
Fan AW, Yang ZF, Xie LM. Security analysis and improvement of strongly secure certificate less signature scheme. Journal on Communications, 2014, 35(5):118-123(in Chinese with English abstract).
樊爱宛, 杨照峰, 谢丽明.强安全无证书签名方案的安全性分析和改进.通信学报, 2014, 35(5):118-123.