周 健,屈 冉

(1.安徽財經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院,安徽 蚌埠 233030; 2.北京郵電大學(xué) 計算機學(xué)院,北京 100876)

0 概述

區(qū)塊鏈?zhǔn)且环N去中心化的分布式賬本系統(tǒng),其提供了在開放環(huán)境中存儲信息、執(zhí)行事務(wù)、執(zhí)行功能和建立信任的創(chuàng)新方法[1],廣泛應(yīng)用于全球部署的加密貨幣[2]、智能合約[3]、物聯(lián)網(wǎng)[4-5]、智能電網(wǎng)[6-7]、供應(yīng)鏈[8-9]等領(lǐng)域。區(qū)塊鏈[10]、人工智能[11]和大數(shù)據(jù)[12]被認為是下一代金融科技發(fā)展的三大核心計算技術(shù),但將區(qū)塊鏈作為底層技術(shù)的去中心化平臺和應(yīng)用通常面臨賬戶管理難題,由于沒有可信第三方,如果用戶硬盤崩潰或病毒損壞數(shù)據(jù)或遺失攜帶密鑰的設(shè)備而丟失與其錢包相關(guān)的私鑰,則將無法找回區(qū)塊鏈賬戶上的資產(chǎn)[13-14]。許多比特幣用戶就因為密鑰管理可用性差、惡意交換和錢包安全漏洞而遭受巨大損失[15]。2015年1月,攻擊者通過惡意軟件進入Bitstamp熱錢包,竊取1.9萬枚比特幣。2016年8月,攻擊者利用Bitfinex交易所和BitGo公司的多重簽名錢包中的安全漏洞竊取12萬枚比特幣。2017年7月,攻擊者利用以太坊多重簽名錢包Parity的安全漏洞竊取約15萬枚以太幣[16]。因此,提出一個切實可行的區(qū)塊鏈賬戶管理方案是亟待解決的問題。

目前,學(xué)術(shù)界針對區(qū)塊鏈上的賬戶管理問題主要研究如何提高用戶私鑰生成、存儲和使用階段的安全性和便利性。在用戶私鑰生成階段,文獻[17]提出隨機種子結(jié)合密碼的私鑰生成方案,利用存儲在本地設(shè)備的隨機種子和密碼生成私鑰。在私鑰存儲階段,研究人員提出本地存儲、加密錢包、離線存儲[18]、賬戶托管[19]和分層確定性錢包[20-21]等方案。在私鑰使用階段,研究人員提出多重簽名[22-23]和門限簽名[24-25]方案。比特幣在進行多重簽名交易時,需要由多重簽名交易地址中N個成員中的M個成員簽署才能生效,其中M≤N,若要變更多重簽名交易策略,則需要生成新的多重簽名交易地址和腳本。在基于門限簽名的賬戶管理方案中,賬戶的私鑰碎片分割成多份碎片分布在每個參與者手中,實現(xiàn)一筆交易需要大于門限值份額的參與者共同簽名,并且可依據(jù)參與者的身份賦予參與者不同的權(quán)重。這類方案實現(xiàn)一筆交易需要多人共同參與,能夠有效增強賬戶的可靠性,但管理各參與者的密鑰是一大難題。文獻[26]根據(jù)比特幣兼容的門限秘密共享和屬性基加密方案提出一種分布式比特幣賬戶管理(DBAM)框架,實現(xiàn)對企業(yè)和企業(yè)比特幣賬戶的聯(lián)合管理。文獻[27]提出一個用于確保比特幣錢包安全的最優(yōu)閾值數(shù)字簽名方案,該方案僅需大于門限閾值的誠實節(jié)點即可保證方案的不可偽造性。

通過上述分析可看出,現(xiàn)有研究多數(shù)為針對用戶個人賬戶的私鑰管理,并且由用戶個人選用不同方式保存私鑰,若用戶不慎丟失私鑰,則將無法訪問賬戶。因此,本文提出一種基于門限密鑰共享[28]的區(qū)塊鏈賬戶私鑰分布式管理方案。將私鑰和用戶設(shè)置的秘密口令相結(jié)合生成秘密,再將秘密通過門限機制分割成多份碎片,由網(wǎng)絡(luò)中成員進行分布式保存,網(wǎng)絡(luò)節(jié)點的加入和退出都會對私鑰碎片和門限值進行更新。但即使用戶不慎丟失私鑰,只要收集超過門限閾值數(shù)量的密鑰碎片再結(jié)合秘密口令就可恢復(fù)私鑰,并且由于本文方案中的門限值和秘密碎片隨網(wǎng)絡(luò)規(guī)模的變化更新,因此攻擊者難以在一個更新時期內(nèi)收集到超過門限閾值的秘密碎片和用戶設(shè)置的秘密口令以竊取用戶私鑰。

1 門限密碼學(xué)

2 私鑰管理方案

在本文私鑰管理方案中,區(qū)塊鏈網(wǎng)絡(luò)采用實用拜占庭容錯協(xié)議[30]達成一致性,其算法流程如圖1所示。該算法包括請求(request)、預(yù)準(zhǔn)備(pre-prepare)、準(zhǔn)備(prepare)、確認(commit)和回復(fù)(reply)5個階段。假定系統(tǒng)中故障節(jié)點數(shù)目為f,當(dāng)系統(tǒng)中故障節(jié)點占比小于1/3時,實用拜占庭容錯算法才能達成共識。在請求階段,客戶端C向主節(jié)點0發(fā)送請求消息。在預(yù)準(zhǔn)備階段,主節(jié)點0為客戶端C的請求分配次序并向從節(jié)點1、從節(jié)點2、從節(jié)點3發(fā)送預(yù)準(zhǔn)備消息,節(jié)點對預(yù)準(zhǔn)備消息檢驗并同意后進入準(zhǔn)備階段。在準(zhǔn)備階段,誠實從節(jié)點1、誠實從節(jié)點2向節(jié)點0～節(jié)點3廣播準(zhǔn)備消息,故障節(jié)點3不響應(yīng),當(dāng)收集到從不同節(jié)點廣播且與預(yù)準(zhǔn)備消息一致的2f+1個準(zhǔn)備消息后,進入確認階段。在確認階段,誠實節(jié)點0、誠實節(jié)點1、誠實節(jié)點2向除自己以外的其他節(jié)點發(fā)送確認消息,當(dāng)收集到不同節(jié)點發(fā)送且與預(yù)準(zhǔn)備消息一致的2f+1個確認消息后,進入回復(fù)階段。在回復(fù)階段,誠實節(jié)點0、誠實節(jié)點1、誠實節(jié)點2向客戶端發(fā)送回復(fù)消息,客戶端收到2f+1個不同節(jié)點發(fā)送的響應(yīng)消息時,請求執(zhí)行成功。

圖1 實用拜占庭容錯算法流程Fig.1 Procedure of practical Byzantine fault tolerance algorithm

假定該區(qū)塊鏈系統(tǒng)運行于網(wǎng)絡(luò)規(guī)模為n的企業(yè)網(wǎng)絡(luò)上,企業(yè)員工使用私鑰對企業(yè)事務(wù)進行審批處理并廣播,收到確認后達成一致。企業(yè)員工在加入?yún)^(qū)塊鏈網(wǎng)絡(luò)時,將私鑰根據(jù)門限秘密共享方案分割成n份碎片,使用企業(yè)其他員工公鑰加密并廣播,收到超過2/3的確認后達成一致。如果企業(yè)員工的私鑰不慎丟失,則在企業(yè)使用的區(qū)塊鏈客戶端廣播請求私鑰碎片并附帶私鑰碎片正確調(diào)用口令,只要企業(yè)員工收集到超過門限閾值的私鑰碎片就可根據(jù)拉格朗日插值法恢復(fù)私鑰,正常處理企業(yè)事務(wù)。

2.1 初始化

步驟3節(jié)點ui調(diào)用口令hash值、加密后私鑰碎片和加密后私鑰碎片hash值{hash(λi),hash(sski,j),Epkj(sski,j),j=1,2,…,n}并通過客戶端發(fā)送給主節(jié)點。在預(yù)準(zhǔn)備階段,主節(jié)點將信息進行排序并發(fā)送給網(wǎng)絡(luò)中的成員。在準(zhǔn)備和預(yù)準(zhǔn)備階段,網(wǎng)絡(luò)中成員uj,j∈1,2,…,n收到消息后使用其私鑰skj解密Epkj(sski,j),并計算hash[Dski(Epki(sski,j))]=hash(sski,j)。

若上式成立,uj向其他節(jié)點廣播信息,否則uj節(jié)點不廣播信息。在確認階段,各節(jié)點對其他節(jié)點廣播信息進行驗證后,向其他節(jié)點發(fā)送確認消息,秘密保存{hash(λi),hash(sski,j),sski,j}并在回復(fù)階段響應(yīng)客戶端?？蛻舳巳羰占?2n/3」+1個響應(yīng),則私鑰碎片分配完成。若響應(yīng)數(shù)目少于?2n/3」+1,則更換主節(jié)點,重新處理請求。

在初始化階段完成后,網(wǎng)絡(luò)中的成員將自身私鑰分割成n份私鑰碎片并分別保存于網(wǎng)絡(luò)節(jié)點處,在私鑰分配初始化過程中未能及時響應(yīng)的節(jié)點可請求網(wǎng)絡(luò)中其他節(jié)點獲取自身需保存的密鑰碎片并對其進行保存。私鑰丟失成員至少需收集t=?2n/3」+1份私鑰碎片,再結(jié)合設(shè)置的口令αi才可以恢復(fù)自身私鑰。

2.2 節(jié)點加入

2.3 節(jié)點退出

2.4 密鑰恢復(fù)

當(dāng)網(wǎng)絡(luò)成員uc的私鑰丟失后,uc可創(chuàng)建一個臨時賬號加入網(wǎng)絡(luò),密鑰恢復(fù)后注銷。其公私鑰對為(pkc′,skc′),uc通過以下步驟恢復(fù)密鑰:

步驟1成員uc通過客戶端向主節(jié)點發(fā)送密鑰恢復(fù)請求,并附加其密鑰調(diào)用口令。

步驟2主節(jié)點將該消息廣播到網(wǎng)絡(luò)中的其他節(jié)點,網(wǎng)絡(luò)中的其他節(jié)點在經(jīng)過準(zhǔn)備和協(xié)商階段的驗證后,確認該信息的調(diào)用口令為正確,響應(yīng)客戶端并對私鑰碎片使用成員uc的臨時賬號公鑰加密sskc,j,將Epkc′(sskc,j)發(fā)送給成員uc。

步驟4成員uc恢復(fù)密鑰skc后,變更其密鑰碎片調(diào)用口令λc為λ′c,并將其hash值hash(λ′c)通過客戶端發(fā)送給主節(jié)點,主節(jié)點發(fā)送給其他節(jié)點,網(wǎng)絡(luò)中節(jié)點確認消息正確后響應(yīng)服務(wù)器并變更秘密存儲的{hash(λc),hash(sskc,j),sskc,j}為{hash(λ′c),hash(sskc,j),sskc,j}。

3 安全性分析

3.1 抗合謀攻擊分析

3.2 密鑰可恢復(fù)性分析

密鑰可恢復(fù)性是門限密鑰的特性。用戶收集到超過門限閾值的秘密碎片即可根據(jù)拉格朗日插值法恢復(fù)出分配的秘密ski+αi,由于用戶已知自己設(shè)置的口令αi,因此對ski重新編碼即可使用恢復(fù)的私鑰。

3.3 抗單點失效分析

由私鑰和用戶秘密口令組成的秘密被分割成n份存儲在網(wǎng)絡(luò)節(jié)點中,用戶僅需記住自己設(shè)置的秘密口令以及私鑰碎片調(diào)用口令,即可收集秘密碎片并在收集到超過門限閾值的秘密碎片后就能恢復(fù)秘密,同時根據(jù)秘密口令和秘密恢復(fù)私鑰。由于網(wǎng)絡(luò)中只要存在超過門限閾值以上的正常節(jié)點系統(tǒng)就可正確運行,因此單個節(jié)點的故障不會影響系統(tǒng)的正常運行。

3.4 匿名性分析

不同于多重簽名和門限簽名方案完成一筆交易需要多個節(jié)點的簽名,本文中的私鑰碎片持有者僅協(xié)助用戶進行私鑰恢復(fù),不參與用戶交易事務(wù),賬戶由私鑰所有者單節(jié)點控制,保證網(wǎng)絡(luò)中用戶的匿名性。網(wǎng)絡(luò)中成員僅已知其他成員的標(biāo)識符、公鑰以及地址,無法了解其他成員的身份和隱私信息。

將本文方案與離線存儲方案[18]、賬戶托管方案[19]、多重簽名方案[22-23]、門限簽名方案[24-25]進行安全性對比,其結(jié)果如表1所示。本文方案具有抗合謀攻擊、抗單點失效、無可信中心、密鑰可恢復(fù)、匿名、賬戶單節(jié)點控制特性,可保證使用用戶的賬戶安全以及隱私,并在一定程度上保障用戶的使用便利性。

表1 私鑰管理方案安全性對比Table 1 Security comparison of private key management schemes

4 效率分析

4.1 計算開銷分析

由于多項式的計算開銷非常小,因此本文對多項式的計算開銷可忽略不計,并且假設(shè)本文方案的網(wǎng)絡(luò)規(guī)模為n。

在初始化階段,用戶為目前網(wǎng)絡(luò)中其他節(jié)點分配密鑰碎片,單個用戶需要計算口令和私鑰碎片的hash值,私鑰碎片使用其他節(jié)點公鑰加密后的密文且進行n次加密運算和n+1次hash運算。網(wǎng)絡(luò)中的其他節(jié)點對用戶發(fā)送的私鑰碎片密文進行解密,并通過hash運算驗證其完整性,存儲單個用戶的私鑰碎片需要進行一次解密運算和一次hash運算。存儲網(wǎng)絡(luò)中全部節(jié)點的私鑰碎片需要進行n次解密運算和n次hash運算,其計算開銷與網(wǎng)絡(luò)規(guī)模線性相關(guān)。

在節(jié)點加入階段,新加入節(jié)點需要為其他節(jié)點分配私鑰碎片,其他節(jié)點也需更新私鑰碎片并為新加入節(jié)點分配私鑰碎片。新加入節(jié)點在分配自身私鑰碎片過程中進行n+1次加密運算和n+2次hash運算,其他節(jié)點在重新分配自身私鑰碎片的過程中進行n+1次加密運算和n+1次hash運算,網(wǎng)絡(luò)中的節(jié)點在接收并存儲其他節(jié)點私鑰碎片的過程中進行n+1次解密運算和n+1次hash運算。

在節(jié)點退出階段,節(jié)點退出網(wǎng)絡(luò),網(wǎng)絡(luò)中的剩余節(jié)點需更新私鑰碎片和門限值。網(wǎng)絡(luò)中的節(jié)點需要進行n-1次加密運算和n-1次hash運算重新分配自身私鑰碎片,在驗證并存儲網(wǎng)絡(luò)中其他節(jié)點時需要進行n-1次解密運算和n-1次hash運算更新私鑰碎片。

在密鑰恢復(fù)階段,網(wǎng)絡(luò)中的節(jié)點將用戶臨時賬戶公鑰加密后的私鑰碎片發(fā)送給用戶,用戶使用私鑰解密并通過拉格朗日插值法恢復(fù)密鑰并更新調(diào)用口令。網(wǎng)絡(luò)中的節(jié)點需要將用戶私鑰使用用戶臨時公鑰加密,其中進行一次加密運算。私鑰丟失用戶需要使用臨時私鑰解密私鑰碎片,并對其進行hash運算驗證其是否為正確的私鑰碎片,通過拉格朗日插值法恢復(fù)私鑰并更改私鑰碎片調(diào)用口令,該過程至少需要進行t次解密運算和t+1次hash運算,其中t為密鑰恢復(fù)門限閾值。

4.2 消息開銷分析

假設(shè)方案運行過程中有m個節(jié)點為無法正常運行節(jié)點,其中,m

4.3 存儲開銷分析

網(wǎng)絡(luò)中用戶需要保存自身私鑰和其他節(jié)點的私鑰碎片信息。由于私鑰sk

4.4 網(wǎng)絡(luò)負載分析

本文使用Lencq表示Lq位數(shù)據(jù)加密后的密文長度,hash值相較于Lencq可忽略不計。在初始化階段,n為網(wǎng)絡(luò)規(guī)模,m

5 結(jié)束語

為解決區(qū)塊鏈上用戶私鑰丟失后恢復(fù)困難的問題,本文提出一種基于門限秘密共享的私鑰管理方案。用戶將由私鑰和秘密口令構(gòu)成的秘密通過門限密鑰機制分割成碎片,通過實用拜占庭容錯算法將碎片分發(fā)至網(wǎng)絡(luò)中其他節(jié)點,當(dāng)用戶私鑰丟失后,只要收集到超過門限閾值份額的秘密碎片并結(jié)合秘密口令就可恢復(fù)出私鑰。安全性與效率分析結(jié)果表明,本文方案滿足抗合謀攻擊、密鑰可恢復(fù)性、抗單點失效、匿名性等需求,并且計算開銷和存儲開銷與區(qū)塊鏈網(wǎng)絡(luò)規(guī)模分別呈線性相關(guān)與正相關(guān),適用于小規(guī)模區(qū)塊鏈網(wǎng)絡(luò)上的用戶管理私鑰。下一步可將該方案中的實用拜占庭容錯算法和Shamir門限秘密共享方案進行優(yōu)化與改進,提高共識算法的效率并降低私鑰管理方案的計算和存儲開銷,使其適用于大規(guī)模區(qū)塊鏈網(wǎng)絡(luò)。