基于公平盲签名和分级加密的联盟链隐私保护方案
2022-09-03张学旺黎志鸿林金朝
张学旺,黎志鸿,林金朝
(1.重庆邮电大学软件工程学院,重庆 400065;2.重庆大学微电子与通信工程学院,重庆 400004;3.重庆邮电大学光电信息感测与传输技术重庆市重点实验室,重庆 400065)
0 引言
区块链技术为能源交易[1]、供应链金融[2-3]、车辆自组网[4]、智能家居[5]、数字档案[6]等一系列行业带来了较大影响。区块链技术的蓬勃发展,得益于其去中心化、可追溯、信息不可篡改等特性[7-8],但这些特性也使链上交易数据以及用户身份的隐私安全难以得到保障。安全隐私问题是区块链技术中的重要问题,交易数据以及用户身份的链上安全成为亟待解决的问题[9-10]。
针对目前区块链领域中的用户身份隐私保护问题,国内外学者不断进行研究探索,出现了以群签名[11]、环签名[12]、多方安全计算[13]为代表的去中心化混币机制和以盲签名[14]为代表的中心化混币机制2 个研究方向。Zhang 等[15]将群签名与区块链结合应用于移动边缘计算,提出了一种可验证区块的群签名方案,解决了区块链存在的诸多安全漏洞。群签名匿名性不足的缺点,限制了其应用场景。2007 年,一种不需要中间节点参与签名过程的、无条件匿名的签名方法——环签名被提出[12]。Li 等[16]将具有无条件匿名性的环签名与区块链技术相结合,提出了一种完全匿名的区块链隐私保护方案,使用户成员不依赖于群主节点和其他成员便可进行签名。Chaum[14]首次提出盲签名,其因签名者对授权交易不可追溯的特点,目前广泛应用于电子现金和不记名投票等领域;但盲签名的运用使交易用户完全匿名,难以对用户的恶意行为进行有效监管。Stadler 等[17]提出公平盲签名的思想,该思想将盲签名的无条件匿名转换为条件匿名,解决了盲签名的不可追溯问题。
针对区块链交易数据隐私保护的研究以哈希上链、密钥加密、同态加密[18]、零知识证明[19]等方向为主,区块链数据隐私安全的重要性不言而喻,同时链上数据的安全可验证性也很重要[20]。李宇溪等[21]结合同态加密算法提出一种K-近邻搜索方案,用于解决移动社交网络的身份隐私保护问题。Dowlin 等[22]将同态加密算法应用于生物信息领域,为解决基因数据等隐私信息的泄露问题提供了新的手段。2009 年,Gentry[23]提出了第一个真正意义上满足全同态运算的同态加密算法,即全同态加密算法,但其极度复杂的计算过程导致其运算十分耗时。虽然之后陆续有更优的全同态加密算法被提出[24],但依旧未能解决这一短板。半同态加密算法虽然效率优于全同态加密算法,但其加解密过程的耗时相比于对称密码仍高出不少。
综上所述,针对联盟链中存在的用户身份与链上交易数据的隐私安全隐患及现行方案存在的不足,本文提出一种基于公平盲签名和分级加密的联盟链隐私保护方案。该方案的主要贡献如下。
1)对已有公平盲签名方法进行了针对联盟链应用场景的重新设计,结合零知识证明提出一种基于联盟链身份隐私保护的可行性方案。该方案可在保护用户身份隐私的同时,实现对恶意交易的追溯。
2)设计并实现了一种分级加密方法。针对单级加密无效耗时,该方法在实现对已脱敏交易数据可监管的同时,有效减少了加解密过程的时间损耗,降低了交易过程的响应时效。
1 相关知识概述
1.1 联盟链
区块链根据其应用场景和开放程度[25]的不同,可分为公有链、私有链和联盟链三类。其中,私有链与传统的分布式存储方案几乎没有区别,由于私有链不具有开放性和可扩展性,其使用范围一般限于公司内部,公司掌握了全链的写入能力,智能合约的部署以及节点共识的达成都只由该公司的内部成员完成。公有链具有开放透明的特点,但出块缓慢限制了其应用场景。相比于公有链和私有链,联盟链在兼具开放性的同时具有更强大的数据处理能力、数据私密性以及共识机制的可扩展性。
Linux 基金会为推动区块链数字技术的发展,于2015 年牵头发起了开放式账本项目;同年年底,项目名称由开放式账本改为Hyperledger 区块链开源项目[26]。Hyperledger 拥有Burrow、Cello、Fabric和Iroha 等多个顶级项目,项目可分为框架和工具两类,其中,框架类项目Fabric 的影响最大。Hyperledger Fabric[27]的提出旨在推动区块链技术跨行业领域的应用,使区块链的应用场景不再局限于金融贸易行业。
1.2 Paillier 同态加密
同态加密是指通过使用某种特殊函数对数据明文进行加密处理后再进行加或乘运算的结果,与直接对明文进行相应运算的结果是等价的。同态加密算法的合理运用为许多应用场景的数据隐私泄露问题提供了解决方法[24,28-29]。同态加密算法可对密文进行运算的特性使其能应对脱敏后信息的二次处理和监管需求。
Paillier 同态加密算法[30]于1999 年提出,该算法满足 Enc(m1)Enc(m2)=Enc(m1+m2)modn2,其中,Enc 为加密操作,n为2 个大素数的乘积,m1和m2为明文,即使用Paillier 同态加密算法加密后的密文可以直接进行加减运算,解密密文加减后的结果,与直接对明文进行计算的结果相同。Paillier 同态加密基于复合剩余类的困难问题,其功能如图1 所示。用户通过客户端调用Paillier 库对数据进行加密,再将加密后数据提交到服务器端进行计算,最后调用Paillier库对计算结果解密即得到相关数据的计算结果。
图1 Paillier 同态加密功能
1.3 公平盲签名
在许多区块链应用中,用户需要授权机构验证自己的身份,并授予参与某项目的权限,还要确保授权机构在授权后不能对授权发起追溯。例如,在电子投票时,选民需要在领取到选票后,再进行匿名投票;在现实生活中实现该类需求并不困难,但程序却难以实现。盲签名技术的出现为解决匿名投票类难题提供了一种可行性方案。不难分析盲签名依赖数据的盲化和解盲过程实现匿名性;虽然用户的身份隐私得到了保障,但也让恶意用户的行为难以监管。本节通过以下4 个步骤解释基于盲签名进行匿名授权的过程。
步骤1用户在本地利用盲因子对数据的哈希值进行盲化处理。
步骤2用户将盲化后的数据哈希值传递给授权组织机构进行授权操作,待授权组织验明用户身份后,通过签名算法,使用其私钥对待授权盲化数据的哈希值进行签名授权。
步骤3授权组织机构签名授权后将完成签名授权的盲化数据的哈希值传递给用户。
步骤4用户对授权后的盲化数据的哈希值进行解盲操作,得到授权后的原始数据的哈希值。
公平盲签名是具有条件匿名性的盲签名,其通过引入除用户、授权组织机构外的可信第三方(TTP,trusted third party),由可信第三方保管用户的盲因子及用户信息,当授权组织机构需要追溯恶意交易数据信息的来源时,可信第三方查询交易的发起用户,完成对恶意用户的追溯。
2 本文方案描述
2.1 本文方案中的实体
本文方案主要涉及6 个实体,包括交易发起者(TO,transaction originator)、追溯者(Tracer)、密钥生成中心(KGC,key generation center)、联盟链(CB,consortium blockchain)、组织机构(ORG,organization)、可信第三方(TTP,trusted third party),各实体描述如下。
1)TO 是指数据的真实拥有者,依赖其所属的ORG 向CB 中发布交易;TO 的身份是对外匿名的,ORG 外部并不知道其存在,ORG 本身也无法通过交易独立追溯TO 的真实身份。
2)Tracer 一般指交易的接收方,当其发现交易有恶意时,向ORG 发起追溯。
3)KGC 在联盟链系统搭建的初始阶段,为所有ORG 和TTP 生成并分发密钥对。
4)CB 在本文方案中指由TTP 发起并联合ORG建立的联盟链,CB 中的TTP 和各ORG 都拥有至少2 个节点参与共识。
5)ORG 是由多个TO 组成的组织,为TO 发起交易提供混币服务,并在Tracer 发起追溯时,联合TTP 完成对恶意TO 的追溯。
6)TTP 是CB 的发起者,拥有CB 的访问权限和节点加入权限,并负责CB 的监管工作,同时协同ORG 实现对TO 的追溯。
2.2 需求与隐患
在联盟链实际应用场景中,TO 存在隐匿敏感信息的需求,但区块链中全账本节点都存有链上交易数据的完整副本,使TO 的需求仅靠区块链技术难以满足,故运用密码学等技术手段对数据信息进行脱敏处理不可避免。但面对脱敏后的交易数据,TTP 利用传统技术难以实现有效监管;而且将现有公平盲签名方案应用于CB 中TO 身份隐私保护存在如下安全隐患。
TTP 经手TO 的身份隐私信息,隐私信息的安全性完全依赖于TTP 对TO 做出的承诺;事实上,所有隐私信息都存在被TTP 选择性保存在其本地数据库中的可能,该行为并不受限制。即使考虑TTP 诚实,仍存在数据库被敌手攻击,导致所有TO 的身份隐私信息被泄露的风险。由于TTP集中掌握了大量关键的交易数据信息,使联盟链交易具有单中心化的特征,与区块链去中心化的思想相违背。
2.3 方案构建
为解决2.2 节中的需求及安全隐患,本文提出一种基于公平盲签名和分级加密的联盟链隐私保护方案,结合零知识证明技术实现公平盲签名的联盟链去中心化;并提出了一种分级加密方法,将待处理的数据按敏感度进行分级,对不同分级的数据提供不同级别的加密,实现数据隐私保护的灵活性。方案主要包括联盟链初始化、数据加解密、数据上链及数据分析等4 个阶段。
阶段1联盟链初始化。
步骤1TTP 与各ORG 一同组建CB,KGC 为ORG 和TTP 生成其全局密钥对。以ORG 密钥对的生成为例,选取2 个大素数p和q,并计算n=pq和Φ(n)=(p−1)(q−1)。
选取ORG 的公钥指数eorg,满足 gcd(eorg,Φ(n))=1,eorg<Φ(n),通过逆运算求出ORG 的私钥指数dorg,如式(1)所示。
这样,KGC 就完成了对ORG 公钥Opub={eorg,n}及私钥Oprv={dorg,n}的生成。TTP 的密钥生成类似,可参照ORG 密钥对的生成过程,此处不再赘述;生成的TTP 密钥对为Tpub={ettp,n}和Tprv={dttp,n}。
步骤2ORG 与TTP 协定方程ξ=qαmodp用于数据上链阶段ORG 成员TO 的身份验证。ξ,p,q值由ORG 与TTP 双方共享;ORG 为其TO 发放α作为组织凭证。
阶段2数据加解密
步骤1TO 录入交易数据后,客户端根据交易数据敏感度的不同,将原始交易数据拆分为可公开数据和不可公开数据两类。按其是否需要进行监管处理,将不可公开数据继续细分为需要进行监管处理的动态数据和不需要进行监管处理的静态数据两类。交易数据细粒度分级如图2 所示。
图2 交易数据细粒度分级
步骤 2客户端对可公开数据进行 RLP(recursive length prefix)编码处理;可公开数据在区块链网络中以编码后的形式进行传输和存储。
步骤3对于静态数据,客户端先对其进行RLP编码操作,再使用对称加密算法进行脱敏处理,如算法1 所示。
步骤4对于需要进行监管处理的动态数据,客户端进行RLP 编码后使用Paillier 同态加密算法进行加解密处理。具体处理过程如下。
1)密钥生成
选取2 个大素数p和q,满足gcd(n,Φ(n))=1,分别计算n=pq和Φ(n)=(p−1)(q−1),根据欧几里得算法计算λ=gcd(p−1,q−1),为便于阐述,以下将p−1 表示为x,将q−1 表示为y。由于p和q均为大素数,故x≥y>0。使用带余数的除法,得x=k1y+r1,0≤r1 若r1=0,则gcd(x,y)=y;若r1≠0,则必定存在,故一定有,即。由于y>r1,得y=k2r1+r2,0≤r2 以上迭代过程中,余数将不断递减且为正整数,当余数递减为0 时,计算出λ的值。选取g满足g 密钥对生成完成,私钥为{λ,μ},公钥为{n,g}。 2)加密 选取随机数r,满足r∈,gcd(r,n)=1;使用公钥{n,g}加密明文m,生成密文c。 3)解密 密钥交换可以通过线下交换的方式进行,或者在使用非对称加密算法加密密钥后,在安全网络环境条件下进行在线交换。分级加密方法如图3 所示,用户通过客户端调用相关库函数接口对不同敏感度分级的数据进行加密处理后,将数据组装成交易并发送到联盟链节点中。 图3 分级加密方法 阶段3数据上链 TO 通过客户端将编码后的可公开数据的明文、静态数据密文以及动态数据密文重新组装成完整的交易数据m。最后计算其哈希值Hash(m)。TO 使用基于零知识证明的公平盲签名方案对Hash(m)进行签名授权。数据上链的流程如图4 所示。具体由以下几个步骤组成。相关符号如表1 所示。 表1 相关符号及其含义 图4 数据上链流程 步骤1TO 持Hash(m)向TTP 提交交易注册申请,并使用零知识证明向TTP 证明其所在机构ORG;完整身份证明过程如以下4 个步骤所示。 步骤1-1TO 生成i个随机数{r1,r2,…,ri},其中i满足i≥ 16,ri满足ri 步骤1-2TTP 与TO 根据算法2 产生i个随机位{β1,β2,…,βi}。 算法2随机位生成 步骤 1-3根据随机位开始身份验证,若βi=0,TO 向TTP 发送ri;若βi=1,TO 向TTP发送(ri−rv)mod(p−1),v=,TTP 验证式(5)是否成立。 步骤1-4TO 向TTP 发送(α−rv)mod(p−1),TTP 验证式(6)是否成立。 若以上i+1 个等式均成立,则证明TO 属于该ORG。TTP 为TO 生成k,k∈(1,n);并将Hash(m)、k存于本地数据库中。通过TO 所在机构的公钥Opub和k对Hash(m)盲化处理,生成签名,并向TO 返回。 步骤2TO 使用Tpub对返回的进行认证,确认签名的信息没有被篡改;认证通过后,TO 向ORG 提交授权申请,并把m' 传递给ORG。 步骤3ORG 使用Tpub对进行认证,认证通过后则对m'授权,生成,并将返回给TO,签名过程如式(8)所示;ORG 的本地数据库中保存和TO 的个人信息。 步骤4TO 使用k对进行解盲处理,得到,解盲过程如式(9)所示。 步骤5TO 通过客户端将打包完整的交易后,调用相关API 将其提交到CB 节点等待验证。验证及共识达成后交易随区块存储。 TTP 与ORG 存储用户信息时,选用分布式集群存储方案,避免将全部信息存储于同一个数据库中,防止单存储节点故障导致的数据丢失。 阶段4数据分析 步骤1TTP 通过CB 获取到相关数据后,对其进行分解从而提取到加密后的动态数据信息c。 步骤2TTP 利用同态加密算法同态运算的性质对数据密文进行处理,处理算法如式(10)所示,其中,Enc(m1)和 Enc(m2)分别表示明文m1和m2加密后生成的密文,k为任意标量。 分析1证明式(4)的正确性,根据卡迈克尔定理=Φ(n2)=nΦ(n),对于任意ω∈都有 因此,有 分析2证明本文方案中公平盲签名过程的正确性,即式(7)~式(9)的正确性。 由欧拉定理得eΦ(k)modk=edmodk demodΦ(n)=1→de=st+1 其中,s=Φ(n),t∈Z; 本节分别从用于身份隐私保护的公平盲签名和用于交易数据保护的分级加密方法两方面展开安全性分析。此处给出以下4 种定理并进行证明,以说明本文方案的安全性。 定理1在ORG 的私钥未泄露的前提下,若敌手对盲化后的交易数据进行篡改,其成功的概率是可忽略的。 证明TTP 对交易进行盲化处理后,基于公平盲签名的授权认证一旦签发,认证的原始数据不能任意改变;公平盲签名基于离散对数数学难题,对于其安全性分析考虑方程ξ=qαmodp;对于给定的p、y、q,最多仅需执行x次乘法运算便可计算出y的值;相反,对于给定的ξ,p,q计算α的值异常困难,其计算的难度级别为。当选取的随机数为足够大的素数时,根据ξ、p、q计算α的值是计算不可行的。 若敌手想窃取签名者的私钥Oprv,则必须计算出Φ(n)的值;考虑一般情形分析有 根据式(15),该计算为大整数的因子分解难题。故交易篡改成功的概率可忽略。证毕。 定理2敌手攻击TTP 与ORG 中的一个或多个节点,导致指定TO 信息泄露的概率可以忽略。 证明将TTP 的节点表示为集合{T1,T2,…,Tn},假设敌手攻击TTP 的节点Ti,致使节点Ti中存储的用户信息泄露,泄露的信息包括Hash(m)及其对应的k。敌手通过TTP 节点Ti中存储的信息,仅能通过式(7)计算m';无法得知该笔交易数据对应TO 的身份隐私信息。同理,若敌手攻击ORG 节点集合为{O1,O2,…,On}中的节点Oi,获取ORG 节点Oi中存储的TO 部分信息;根据节点Oi中存有的以及TO 身份信息,敌手无法对泄露的数据信息进行合理应用。若同时攻击TTP 和ORG 的多个节点,敌手分别从两方节点中获取了TO 部分信息。因TTP 和ORG 对TO 的部分信息进行存储时,使用分布式集群存储的方案;敌手通过攻击TTP 节点得到的TO 交易信息与攻击ORG 节点得到的TO 交易信息比对上的可能性极低。证毕。 定理3具有窃听能力的敌手窃听到CB 上的交易数据并对其进行有效分析的概率可以忽略。 证明本文方案的分级加密方法中,对交易数据的保护基于SM4 对称加密算法和Paillier 同态加密算法。SM4 加密算法的安全程度与128 bit 的AES相当,可抵抗差分攻击和线性攻击,目前并没有发现有效的攻击手段。Paillier 同态加密算法基于复合剩余类的困难问题;在私钥保存完好的情况下,并没有行之有效的攻击手段。在对SM4 对称加密算法和Paillier 同态加密算法的密钥进行在线传输时,本文方案使用基于离散对数难题的椭圆曲线加密算法对其进行加密后,再在安全网络环境下进行线上传输,通过协同加密手段为交易数据的安全保护链建立闭环,故定理3 成立。证毕。 定理4对于敌手发动的恶意交易攻击,本文方案虽无法对恶意交易的发起进行阻止,但能对恶意交易进行追溯。 证明根据公平盲签名的条件匿名性,ORG 可以与TTP 对恶意交易发起联合追溯。恶意交易追溯如图5 所示,具体追溯过程分为以下5 个步骤。 图5 恶意交易追溯 步骤1恶意交易发生时,Tracer 通过追查到恶意交易的签名方ORG。 步骤2Tracer 向ORG 提供恶意交易的数据信息,并委托ORG 追溯该笔交易的发起者。 步骤3ORG 向TTP 申请合作,向TTP 提交m和;并向TTP 提供其私钥Oprv以证明身份。 步骤4TTP 收到ORG 的合作请求时,先通过Oprv验证该笔交易是否由提出追溯申请的ORG 签名授权。若验证通过,则TTP 计算Hash(m),将其与本地数据库中存储的k以及Opub结合,计算m'=;将m'返回给ORG。ORG使用Oprv与m'计算得出。 步骤5ORG 通过查询本地数据库,得到被追溯的恶意交易发起用户的身份信息,联合监管部门对其进行相应处罚;至此追溯完成。 证毕。 本文方案中的分级加密方法拟在保护交易数据安全的基础上提高加解密过程的效率。分级加密方法的计算代价分别来自对称加密和同态加密两方面。定义符号TX表示模乘运算的时间开销,TE表示模幂运算的时间开销,TSM4表示执行一次SM4 加解密运算的时间开销,Tm表示执行一次乘法运算的时间开销。将文献[28,31-32]方案与本文方案进行效率对比分析,其效率分析对比如表2 所示,其中X%+Y% <1。 表2 效率分析对比 根据表2 分析可知,文献[31]方案因加密过程需进行k次循环,理论时间开销大于其他方案;而文献[28]方案对于数据信息的保护选择了改进的同态加密算法进行单级加密处理,一定程度上降低了加解密过程的耗时;文献[32]方案的加密过程基于RSA 同态加密算法,其理论时间开销最低。将本文所提分级加密方法与表2 中其他方案进行仿真实验对比真实效率,仿真实验选用Java为主要编程语言实现代码编写,代码基于bouncycastle 库实现分级加密方法,调用java.math.BigInteger 类实现大整数的运算;实验设备及其参数如表3 所示。 表3 实验设备及其参数 考虑到区块链中的每一个区块都是大小有限的数据(一般不超过1 Mbit),区块分为区块头和区块体;仿真实验选取5~50 kbit 的10 组不同大小的测试文件模拟10 个不同的区块体进行加解密测试,并且对每组测试用例进行5 次测量,实验结果取5 次测量值的平均值。实际应用中需要进行二次计算的数据量往往仅占数据总量的一小部分,为模拟真实情况,测试用例中的静态数据量占比应高于动态数据,故设置敏感度数据比例为1:2:1;同时考虑控制变量原则,此处所使用的敏感度数据比例始终保持1:2:1;即可公开数据:不可公开数据(静态):不可公开数据(动态)=1:2:1。不同方案加密开销对比如图6 所示,实验数据如表4 所示。 图6 不同方案加密开销对比 表4 不同方案加密开销对比 从图6 和表4 可以看出,本文方案的加密开销比对比方案中理论耗时最少的文献[32]方案低15%以上,与同样满足加法同态运算的文献[28,31]方案相比,效率提升明显。为测试本文方案应对不同数据时的效率变化,选取对3 组不同敏感度分级的测试用例,分别使用相同的10 组测试文件进行测试比较,并且对每组测试用例进行5 次测量,最终结果取其平均值。不同分级比例加密开销对比如图7 所示,实验数据如表5 所示,其中,a 表示可公开数据:不可公开数据(静态):不可公开数据(动态)=1:2:1,b 表示可公开数据:不可公开数据(静态):不可公开数据(动态)=1:3:1,c 表示可公开数据:不可公开数据(静态):不可公开数据(动态)=1:5:1。 图7 不同分级比例加密开销对比 表5 不同分级比例加密开销对比 从图7 和表5 可以看出,随着静态数据在总文件数据中所占比例的不断增加,分级加密方法在时间开销上的优势呈不断增加的趋势。为进一步对比分析本文分级加密方法与其他方法的解密过程真实效率,选取上述加密测试实验的结果数据作为新的测试文件;为保证数据可靠性,此处同样对每组测试用例进行5 次测量,最终结果取其平均值。不同方案解密开销对比如图8 所示,实验数据如表6所示。 表6 不同方案解密开销对比 图8 不同方案解密开销对比 从图8 和表6 可以看出,本文方案的解密时间开销相比文献[31]方案明显减少;较文献[28]方案和文献[31]方案,本文方案的解密时间开销分别降低约62%和83%。选取50 kbit 的数据文件进行加解密总时间开销对比,结果如图9 所示,实验数据如表7 所示。 图9 加解密总时间开销对比 表7 加解密总时间开销对比 从图9 和表7 可以看出,本文方案与对比方案中耗时最短的文献[32]方案相比,总消耗时间降低约46%。综上所述,本文方案能在保证对部分数据进行同态运算的同时,有效降低交易数据加解密过程的时间开销,在联盟链实际应用中具有一定的使用价值。 本文方案基于公平盲签名的条件匿名性以及同态加密算法的同态运算特性,分别从用户身份隐私保护和链上交易数据的隐私安全两方面展开研究。通过对现有公平盲签名进行重新设计,结合零知识证明技术,实现了对联盟链用户身份隐私的保护;安全性分析证明,重新设计的公平盲签名方案能有效抵抗攻击者窃取用户身份信息,并能够对恶意交易进行追溯。另一方面,基于Paillier 同态加密算法,根据敏感级别对数据进行细粒度划分设计出一套分级加密方法;安全性分析和仿真实验对比检测证明,该分级加密方法具备良好的安全性和能效性。在确保方案功能完备的前提下,进一步完善公平盲签名的联盟链身份隐私保护方案,降低分级加密方法中加密解密过程的时间开销,是下一步研究的主要工作。
3 分析及实验
3.1 正确性分析
3.2 安全性分析
3.3 效率分析及实验
4 结束语
