周 健，孫麗艷，付 明

1.安徽財經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽蚌埠233041

2.北京郵電大學(xué)計(jì)算機(jī)學(xué)院，北京100083

1 引言

區(qū)塊鏈?zhǔn)潜忍貛诺幕A(chǔ)支撐技術(shù)[1]，首次出現(xiàn)在中本聰（Satoshi Nakamoto）發(fā)表的《比特幣：一種點(diǎn)對點(diǎn)式的電子現(xiàn)金系統(tǒng)》文獻(xiàn)中[2]，它具有去中心化、不可篡改、去信任化和可溯源等特性，廣義的區(qū)塊鏈技術(shù)有望徹底重塑人類社會活動形態(tài)[3]，為金融、科技、文化、政治等領(lǐng)域帶來深刻的變革[4-6]。區(qū)塊鏈建立在密碼學(xué)的基礎(chǔ)上，如哈希函數(shù)、公鑰機(jī)制、橢圓密碼曲線等，通過密碼學(xué)的特性保證在非可信的分布式環(huán)境中如何進(jìn)行安全交易，防止諸如51%攻擊、偽造身份、重復(fù)交易、支撐犯罪活動等問題[7]。密鑰基礎(chǔ)的性質(zhì)決定了區(qū)塊鏈的安全特性和功能性，通過密碼基礎(chǔ)為區(qū)塊鏈技術(shù)提供新的功能和安全性質(zhì)是區(qū)塊鏈研究的一個重要內(nèi)容，未來區(qū)塊鏈將進(jìn)一步利用密碼學(xué)技術(shù)衍生新功能[8]。

比特幣的所有權(quán)是通過數(shù)字密鑰、比特幣地址和數(shù)字簽名來確立的[9]。在基于區(qū)塊鏈的虛擬貨幣系統(tǒng)中私鑰是用戶唯一的身份證明和安全證明基礎(chǔ)[10]，它由用戶自主產(chǎn)生并維護(hù)，無需第三方支持[11]。它能夠標(biāo)志區(qū)塊鏈用戶身份，是用戶之間進(jìn)行虛擬貨幣交易的基礎(chǔ)，區(qū)塊鏈的交易受到私鑰的控制，私鑰的安全性直接關(guān)系賬戶的交易資金的流向，因此私鑰安全受到惡意攻擊者的極大關(guān)注。私鑰實(shí)際上并不是存儲在網(wǎng)絡(luò)中，而是由用戶生成并存儲在一個文件或簡單的數(shù)據(jù)庫中，稱為錢包[12]。存儲在用戶錢包中的數(shù)字密鑰完全獨(dú)立于比特幣協(xié)議，可由用戶的錢包軟件生成并管理，而無需區(qū)塊鏈或網(wǎng)絡(luò)連接。因此錢包是保存管理密鑰的工具，錢包安全是虛擬貨幣系統(tǒng)中非常值得研究的安全問題。

區(qū)塊鏈錢包本身的安全性很高，采用非對稱密鑰機(jī)制，保證了安全性和有效性，針對錢包私鑰的安全性問題集中在三方面：（1）使用困難，256 bit的私鑰表現(xiàn)成50個字符長度形式，難以記憶，采用輔助交易的方式給攻擊者提供了機(jī)會，一旦委托方的失效或者被攻擊，將導(dǎo)致財產(chǎn)損失[13]。（2）不可恢復(fù)性，由于沒有可靠的第三方支持，私鑰僅由資產(chǎn)所有者持有，一旦錢包丟失或被偷竊，不僅密鑰不能夠被恢復(fù)找回，攻擊者實(shí)施的惡意交易行為也無法撤銷和跟蹤[14]。（3）難以托管，區(qū)塊鏈建立在完全分布式基礎(chǔ)上，將私鑰托管在可信第三方不僅不符合區(qū)塊鏈的結(jié)構(gòu)設(shè)計(jì)，也會引發(fā)單點(diǎn)失效問題，托管方成為攻擊重點(diǎn)[15]。上述安全性質(zhì)使得區(qū)塊鏈錢包的私鑰保護(hù)對于區(qū)塊鏈的安全具有十分重要的意義[16]。

本文基于門限密鑰協(xié)議[17]提出一種私鑰保護(hù)和恢復(fù)機(jī)制，通過動態(tài)的門限密鑰機(jī)制將用戶的私鑰分成與網(wǎng)絡(luò)規(guī)模等同的密鑰碎片，即使私鑰丟失，網(wǎng)絡(luò)成員可通過收集超過門限數(shù)量的密鑰碎片恢復(fù)私鑰，契合區(qū)塊鏈分布式存儲結(jié)構(gòu)。私鑰保護(hù)過程中，容忍網(wǎng)絡(luò)的擴(kuò)展，私鑰的更新規(guī)模小于網(wǎng)絡(luò)規(guī)模。安全性上，攻擊者需要攻擊超過網(wǎng)絡(luò)半數(shù)以上的成員才能恢復(fù)私鑰，隨著網(wǎng)絡(luò)規(guī)模的增加，攻擊網(wǎng)絡(luò)的困難程度不斷增加。每個節(jié)點(diǎn)維護(hù)網(wǎng)絡(luò)的密鑰碎片，建立密鑰碎片樹，通過交互密鑰碎片樹信息維護(hù)全網(wǎng)的密鑰完整性。建議的錢包保護(hù)方案為區(qū)塊鏈中私鑰的保護(hù)提供一種可行安全方案。

2 研究現(xiàn)狀

私鑰安全性研究主要包括私鑰的生成安全、存儲安全和使用安全。現(xiàn)有的方案側(cè)重從上述三方面提出增強(qiáng)錢包安全性的安全方案。

在私鑰的生成安全性研究上，文獻(xiàn)[18]提出了隨機(jī)種子的方法，引入存儲在本地設(shè)備的隨機(jī)種子，將該隨機(jī)種子與密碼結(jié)合在一起通過橢圓密碼曲線生成完整的私鑰，但是僅僅依靠隨機(jī)種子在沒有密碼的情況下無法生成完整的私鑰，且能夠在用戶忘記密碼的情況下恢復(fù)完整的私鑰，操作簡單，但并不能防止隨機(jī)種子和密碼被盜取。

在私鑰保存方式安全性研究上，冷存儲將私鑰的隔離存儲在一個硬件設(shè)備上，文獻(xiàn)[19]提出比特幣硬件令牌，錢包私鑰永久存儲在離線硬件上，用戶輸入正確的口令才能解密拿到私鑰簽署交易，因?yàn)椴恍柚苯舆B接到比特幣網(wǎng)絡(luò)所以生成成本低，但問題是如果用戶的令牌和口令不幸同時被盜取將會給用戶造成不可挽回的損失。文獻(xiàn)[20]提出的托管賬戶是一種依靠第三方來管理私鑰的托管賬戶方案，幫助用戶管理私鑰，這種方案能夠有效避免用戶不慎遺失私鑰的問題，這個第三方必然會成為攻擊者的目標(biāo)，并且在用戶大量交易的時候，可能會出現(xiàn)服務(wù)延遲的現(xiàn)象。此外兩因子錢包（two factor wallet）將私鑰分為兩個部門，分別保存在電腦和智能手機(jī)上，只有兩個部分都同意簽發(fā)，交易才能確認(rèn)，進(jìn)一步擴(kuò)展將私鑰分成多個部分存儲在不同的硬件設(shè)備上，但是同樣交易的效率受到影響[21]。

在私鑰的安全使用方式研究中，文獻(xiàn)[22]提出雙重認(rèn)證機(jī)制，交易的確認(rèn)不僅與私鑰簽名相關(guān)，而且交易過程與郵箱或移動智能終端設(shè)備相關(guān)，在提高私鑰安全使用的前提下犧牲了私鑰的匿名性。在私鑰的使用，文獻(xiàn)[23]首次提出使用門限密鑰管理私鑰，文獻(xiàn)[24]提出的加權(quán)閾值簽名方案是將密鑰分成多個份額。由多個參與者持有，且參與者具有不同的優(yōu)先級，即每個參與者所占的權(quán)重不相同。每個參與者根據(jù)權(quán)重持有不同份額的密鑰。這個方案確實(shí)能達(dá)到極高的安全性，但是管理各個參與者的密鑰是一大難題。文獻(xiàn)[25]提出的多重簽名錢包類似于拜占庭容錯機(jī)制，在簽署一筆交易時需要N個成員中M個成員來簽署才能生效，其中N和M是可自由設(shè)定的，這種方案可靠的前提是創(chuàng)建多重簽名錢包時的大多數(shù)賬戶都是可信的，且如果可靠的賬戶錯過了簽名將使惡意賬戶有機(jī)可乘。上述方案通過門限機(jī)制將私鑰分成多個碎片，解決私鑰可恢復(fù)性問題，但是這些方案存在如下的缺陷：首先，忽略了成員的動態(tài)性，由于私鑰碎片分配給不同的成員，這些成員可能因?yàn)榄h(huán)境或內(nèi)部因素導(dǎo)致?lián)p毀或失效，進(jìn)而導(dǎo)致密鑰碎片的在線存儲規(guī)模小于規(guī)定的可恢復(fù)的門限閾值，造成私鑰不可恢復(fù)；其次，固定的門限值會降低系統(tǒng)的安全性，隨著密鑰碎片的增加，攻擊者有更多的機(jī)會收集到小閾值規(guī)模的密鑰碎片；然后，私鑰持有人為了維護(hù)門限密鑰，必須始終在線，增加了系統(tǒng)維護(hù)成本。建議的方案在此基礎(chǔ)上進(jìn)行優(yōu)化，允許在私鑰持有者離線情況下，具有超門限數(shù)量的密鑰碎片的持有者承擔(dān)新密鑰碎片的發(fā)布，保證密鑰碎片實(shí)施動態(tài)管理，規(guī)模與網(wǎng)絡(luò)的規(guī)模相關(guān)，保證私鑰在動態(tài)網(wǎng)絡(luò)中可恢復(fù)性。

3 門限密鑰

本文基于Shamir(t,n)門限密鑰分享方案[26]，該方案是基于多項(xiàng)式的Lagrange插值公式的密碼技術(shù)，把分享秘密sk分為n個不同的部分，即碎片sski，任何成員只要收到至少t個碎片sski就能恢復(fù)分享秘密sk。

初始化階段：

步驟1秘密分享者user選擇秘密多項(xiàng)式f(x)=，其中ai∈Z，f(x)的常系數(shù)部分為共享秘密sk。

步驟2秘密分享者user給分享者uj(i=1,2,…,n)分配密鑰碎片，計(jì)算，并將sskj秘密通過安全信道發(fā)送給uj，uj是節(jié)點(diǎn)的標(biāo)志或身份。

秘密恢復(fù)階段：

步驟1任意t個參與者S={u1,u2,…,ut}可以通過公式重構(gòu)sk，計(jì)算如下的公式：

步驟2成員uk?S通過下式計(jì)算分享的密鑰碎片：

4 錢包狀態(tài)

成員的公鑰加密密鑰和私有解密密鑰由區(qū)塊鏈的錢包生成，錢包的狀態(tài)決定了私鑰的狀態(tài)。如圖1錢包包含五種狀態(tài)。新加入錢包，以新成員身份加入網(wǎng)絡(luò)中，成員生成私鑰，并向全網(wǎng)絡(luò)發(fā)布該私鑰對應(yīng)的密鑰碎片。在線錢包，成員在網(wǎng)絡(luò)中處于活躍階段，負(fù)責(zé)私有解密密鑰的新碎片的生成。離線錢包，成員在網(wǎng)絡(luò)中處于非活躍狀態(tài)，不能負(fù)責(zé)新密鑰碎片的生成，此時由持有該密鑰碎片的門限數(shù)量的在線錢包負(fù)責(zé)生成密鑰碎片。失效錢包，錢包所有者可能因?yàn)槊荑€丟失或被竊取，導(dǎo)致所有者無法恢復(fù)私有解密密鑰，通過線下身份確認(rèn)，由超過門限數(shù)量的在線節(jié)點(diǎn)恢復(fù)私有解密密鑰。死亡錢包，一旦網(wǎng)絡(luò)中錢包對應(yīng)的密鑰碎片數(shù)量小于給定的門限值，并且碎片對應(yīng)的歸屬錢包處于非在線狀態(tài)，則網(wǎng)絡(luò)中成員刪除失效的密鑰碎片，并保持全網(wǎng)絡(luò)密鑰碎片的同步性。

Fig.1 Status transfer of blockchain wallet圖1 區(qū)塊鏈錢包的狀態(tài)轉(zhuǎn)移

5 錢包保護(hù)機(jī)制

區(qū)塊鏈錢包的保護(hù)機(jī)制需要滿足如下的條件，每個成員具有全網(wǎng)唯一的地址或標(biāo)識，建立互鎖機(jī)制，當(dāng)新成員注冊和成員錢包恢復(fù)不能并發(fā)執(zhí)行，即系統(tǒng)在一定時間間隔內(nèi)只能執(zhí)行新成員注冊或錢包恢復(fù)操作。絕大部分成員保持在線狀態(tài)，極少數(shù)的成員會丟失或較長時間段內(nèi)不在線。網(wǎng)絡(luò)中任意時間段內(nèi)增加的節(jié)點(diǎn)數(shù)量超過死亡節(jié)點(diǎn)數(shù)量。

5.1 錢包初始化階段

5.2 新錢包加入階段

5.3 密鑰碎片追加

因此對于離線錢包，在離線狀態(tài)下門限值不變，這也使得離線下，隨著網(wǎng)絡(luò)規(guī)模的增加，離線節(jié)點(diǎn)的安全性逐漸降低。

當(dāng)錢包由離線狀態(tài)轉(zhuǎn)為在線狀態(tài)，錢包提高新門限閾值t′(t′＞t)，目前的門限值t，不失一般性，設(shè)網(wǎng)絡(luò)錢包身份為(u1,u2,…,ut,…,ut′,…,uN)。

5.4 錢包恢復(fù)機(jī)制

當(dāng)錢包私鑰丟失時候，錢包ul向全網(wǎng)絡(luò)廣播，提出申請恢復(fù)錢包，即恢復(fù)私有解密密鑰skl,i，接收請求的在線錢包發(fā)送密鑰碎片＜ul,sskl,i＞，當(dāng)密鑰碎片規(guī)模超過規(guī)定門限值，成員執(zhí)行恢復(fù)過程。

步驟1成員ul發(fā)送恢復(fù)錢包私鑰請求，請求恢復(fù)密鑰。

步驟2成員ui同意后，查找對應(yīng)的私鑰碎片，加密EPKl(sskl,i)，并將其發(fā)送給成員。

步驟3成員收集密鑰碎片sskl,i，如果碎片規(guī)模小于門限值，則返回恢復(fù)失?。环駝t，利用門限數(shù)量的密鑰碎片恢復(fù)密鑰。

步驟4恢復(fù)密鑰的成員更新方程，為沒有獲得此密鑰碎片的成員分配密鑰碎片。

網(wǎng)絡(luò)錢包的私鑰碎片分布隨著錢包的加入和退出產(chǎn)生變化，一直在線的錢包能夠與網(wǎng)絡(luò)保持同步，因此可以將密鑰碎片分發(fā)到每個錢包，并保持密鑰碎片的一致性，但是也存在部分錢包的密鑰碎片可能因?yàn)殡x線和不滿足門限數(shù)量的持有密鑰碎片的在線錢包，導(dǎo)致該私鑰無法恢復(fù)，也使得網(wǎng)絡(luò)中錢包存儲無法恢復(fù)的密鑰碎片，造成空間浪費(fèi)。盡管網(wǎng)絡(luò)中每個錢包持有相同錢包的不同密鑰碎片，從錢包的角度出發(fā)，每個錢包的密鑰碎片結(jié)構(gòu)是相同的，因此維護(hù)全網(wǎng)的密鑰碎片同步很必要。

表1中有7個錢包，橫坐標(biāo)為時間段，縱坐標(biāo)為時間點(diǎn)，括號內(nèi)的參數(shù)值為網(wǎng)絡(luò)規(guī)模、門限值、自身碎片數(shù)量，可見1和2錢包始終是在線狀態(tài)，6和7是后加入節(jié)點(diǎn)，一直保持在線狀態(tài)，4和5節(jié)點(diǎn)加入后離線，4節(jié)點(diǎn)死亡。網(wǎng)絡(luò)中在線的錢包保存的密鑰碎片狀態(tài)為如下形式：

錢包1的密鑰碎片圖如圖2所示，錢包2的密鑰碎片圖如圖3所示，錢包3的密鑰碎片圖如圖4所示，錢包4的密鑰碎片圖如圖5所示。

步驟1錢包發(fā)布自己的密鑰碎片樹的從上到下的哈希值，如節(jié)點(diǎn)1發(fā)布樹根哈希值H(1,2,3,4,5,6,7)，節(jié)點(diǎn)2發(fā)布樹根哈希值H(1,2,3,4,5,6,7)，節(jié)點(diǎn)3發(fā)布樹根哈希值H(1,2,3,5,6,7)，節(jié)點(diǎn)4發(fā)布樹根哈希值H(1,2,3,5,6,7)。

Tabel 1 State of key fragments in wallets表1 錢包中密鑰碎片狀態(tài)變化

Fig.2 Key fragments of wallet 1圖2 錢包1的密鑰碎片圖

Fig.3 Key fragments of wallet 2圖3 錢包2的密鑰碎片圖

Fig.4 Key fragments of wallet 3圖4 錢包3的密鑰碎片圖

Fig.5 Key fragments of wallet 4圖5 錢包4的密鑰碎片圖

步驟2每個錢包回復(fù)哈希值，如果確認(rèn)值滿足哈希值，則停止發(fā)送確認(rèn)，否則執(zhí)行步驟3，如錢包1得到來自錢包2的1個確認(rèn)，錢包2得到來自錢包1的1個確認(rèn)，錢包3得到來自錢包4的1個確認(rèn)，錢包4得到來自錢包3的1個確認(rèn)，它們都不滿足。

步驟3沒有滿足確認(rèn)數(shù)量的錢包發(fā)送密鑰樹下一層次的哈希值，如節(jié)點(diǎn)1發(fā)送H(1,2,3,4),H(5,6,7)；節(jié)點(diǎn)2發(fā)送H(1,2,3,4),H(5,6,7)；節(jié)點(diǎn)3發(fā)送H(1,2,3),H(5,6,7)；節(jié)點(diǎn)4發(fā)送H(1,2,3),H(5,6,7)；返回步驟2確認(rèn)數(shù)量，錢包1得到H(1,2,3,4)的1個確認(rèn)和H(5,6,7)4個確認(rèn)，錢包2得到H(1,2,3,4)的1個確認(rèn)和4個H(5,6,7)確認(rèn)，錢包3得到H(1,2,3)的1個確認(rèn)和4個H(5,6,7)確認(rèn)；錢包4得到H(1,2,3)的1個確認(rèn)和4個H(5,6,7)確認(rèn)。

依次類推，每個錢包詢問子樹H(1,2)的4個確認(rèn)，最終得到H(3)的4個確認(rèn)和H(4)的2個確認(rèn)，因此錢包4不滿足門限值，成為死亡節(jié)點(diǎn)，錢包1和2刪除葉子節(jié)點(diǎn)4。

6 安全性分析

安全性分析包括私鑰完整性、抗合謀攻擊、私鑰可恢復(fù)性、容忍損毀和匿名性。

6.1 私鑰完整性

私鑰的完整性包括個體的私鑰完整性和整體網(wǎng)絡(luò)私鑰的完整性。個體在密鑰更新過程中，盡管每個成員的多項(xiàng)式方程的階數(shù)增加，但是多項(xiàng)式的常系數(shù)部分不變，值為私鑰，因此每個成員更新多項(xiàng)式方程后，私鑰仍舊保持不變，動態(tài)門限值的調(diào)整使得密鑰碎片多次更新后，仍然保證私鑰不變。與方案[23-25]不同,個體在密鑰恢復(fù)過程中，通過收集超過門限數(shù)量的密鑰碎片確保密鑰的完整性，即使個體處于非在線狀態(tài)，網(wǎng)絡(luò)中具有超過門限數(shù)量的私鑰碎片個體，它們保證網(wǎng)絡(luò)動態(tài)規(guī)模增加中成員私有密鑰的不變性，容忍網(wǎng)絡(luò)成員的動態(tài)變化，保證系統(tǒng)的穩(wěn)定性。整體網(wǎng)絡(luò)私鑰的完整性即保證每個成員具有相同的密鑰碎片樹，具有全網(wǎng)全部可恢復(fù)私鑰的碎片，通過私鑰碎片的撤銷機(jī)制刪除死亡的密鑰碎片，保證全網(wǎng)的每個節(jié)點(diǎn)具有相同的密鑰碎片樹。

6.2 抗合謀攻擊

門限機(jī)制保證不超過門限數(shù)量的任意碎片不能恢復(fù)私鑰，成功攻擊可能通過收集超過節(jié)點(diǎn)創(chuàng)世門限值達(dá)到成功攻擊，或者需要攻擊一半以上的全網(wǎng)絡(luò)成員，與方案[23-25]對比，隨著網(wǎng)絡(luò)規(guī)模的不斷增加，需要收集的碎片規(guī)模也不斷增加，攻擊難度逐漸增加。錢包在非在線狀態(tài)時，為保持私鑰樹的完整性，在門限值不變的情況下增加密鑰碎片，盡管對于攻擊者增加了成功攻擊碎片的機(jī)會，但是密鑰的攻擊強(qiáng)度不變，攻擊者仍舊需要收集門限數(shù)量的密鑰碎片。新加入節(jié)點(diǎn)必須確認(rèn)當(dāng)前網(wǎng)絡(luò)的規(guī)模，可以從區(qū)塊賬本中獲得可信的網(wǎng)絡(luò)規(guī)模，否則惡意節(jié)點(diǎn)可以通過不斷加入網(wǎng)絡(luò)欺騙獲得密鑰碎片，增加成功攻擊的機(jī)會。

6.3 私鑰可恢復(fù)性

密鑰丟失后，合法成員向超過門限數(shù)量的成員提出請求，通過密鑰碎片恢復(fù)出私鑰。每個錢包通過安全信道收集門限值數(shù)量的碎片后，執(zhí)行如下公式得到私鑰。

既然參與分配的節(jié)點(diǎn)和被分配節(jié)點(diǎn)使用相同的分配方程f(x)，且它的常系數(shù)部分為sskl，則最佳私鑰具有可恢復(fù)性。

當(dāng)節(jié)點(diǎn)由離線狀態(tài)轉(zhuǎn)為在線狀態(tài)，更新方程為：

因此f(0)=sskw，因此當(dāng)節(jié)點(diǎn)從離線轉(zhuǎn)變?yōu)樵诰€時，重新分配的還是原來的私鑰。

6.4 容忍損毀

方案[23]中，節(jié)點(diǎn)失效導(dǎo)致私鑰恢復(fù)過程失敗，因?yàn)闆]有足夠的密鑰碎片，方案[24]中，持有密鑰碎片較多的成員的失效對系統(tǒng)的影響更大。在建議的方案中，部分錢包損毀導(dǎo)致密鑰碎片的損毀，網(wǎng)絡(luò)仍然可以通過收集超過門限值數(shù)量的密鑰碎片恢復(fù)出私有密鑰，區(qū)塊鏈網(wǎng)絡(luò)中任意成員的身份對等，因此個體的損毀對每個私鑰的影響程度是一致的。但是當(dāng)成員處于離線狀態(tài)時，由于不能及時調(diào)整門限值，節(jié)點(diǎn)損毀會增加離線節(jié)點(diǎn)恢復(fù)私鑰的困難性，當(dāng)節(jié)點(diǎn)損毀的數(shù)量使得現(xiàn)有的私鑰碎片少于門限值時，該離線節(jié)點(diǎn)的私鑰將死亡。通過節(jié)點(diǎn)合作的方式為離線節(jié)點(diǎn)補(bǔ)充密鑰碎片，防止私鑰的死亡。

6.5 匿名性

不同門限值的設(shè)置會泄露錢包的隱私。錢包的密鑰碎片由私有持有者負(fù)責(zé)分發(fā)，無可信第三方支撐。盡管每個成員擁有不同的私鑰碎片，每個成員持有的私鑰具有對等性，攻擊者不能根據(jù)密鑰碎片區(qū)別節(jié)點(diǎn)的身份。密鑰恢復(fù)過程只需要提供密鑰碎片，無需提供錢包身份。

7 效率性分析

效率性分析包括計(jì)算開銷、消息開銷、存儲開銷。文獻(xiàn)[23-25]中門限值的設(shè)置與網(wǎng)絡(luò)規(guī)模無關(guān)，因此它們的開銷與網(wǎng)絡(luò)規(guī)模無關(guān)，建議的方案門限值設(shè)置與網(wǎng)絡(luò)規(guī)模相關(guān)，因此建議方案的開銷與網(wǎng)絡(luò)規(guī)模相關(guān)。

7.1 計(jì)算開銷

計(jì)算開銷主要集中在加密密鑰碎片和解密密鑰碎片操作。

新成員加入時，每個成員使用多項(xiàng)式方程計(jì)算一個碎片值，執(zhí)行N次加密運(yùn)算，每個成員執(zhí)行一次解密運(yùn)算，同時其他成員執(zhí)行次加密運(yùn)算為其他成員發(fā)送一個新的密鑰碎片，總計(jì)加密次數(shù)，解密次數(shù)相同。

成員非在線時，門限數(shù)量t的錢包承擔(dān)密鑰碎片的分解，每個錢包為其他錢包發(fā)送一個碎片執(zhí)行一次加密，N-t個錢包執(zhí)行t次解密操作，總計(jì)加密次數(shù)t(N-t)，解密次數(shù)相同。

密鑰碎片樹是一個二叉樹結(jié)構(gòu)，因此最多執(zhí)行l(wèi)bN哈希值計(jì)算。

7.2 消息開銷

新成員加入時，發(fā)送N次消息，同時其他成員發(fā)送次消息。成員非在線時，承擔(dān)密鑰碎片的分解的門限數(shù)量t的錢包發(fā)送至多t(N-t)次消息。

7.3 存儲開銷

設(shè)網(wǎng)絡(luò)的在線規(guī)模為N，則每個錢包至少N存儲開銷需要保存網(wǎng)絡(luò)中每個節(jié)點(diǎn)的至少一份碎片，存儲開銷與網(wǎng)絡(luò)規(guī)模成線性相關(guān)性。

8 實(shí)驗(yàn)仿真

通過實(shí)驗(yàn)仿真驗(yàn)證方案的有效性，文獻(xiàn)[23]和文獻(xiàn)[25]本質(zhì)上是一種方案，只是前者將門限方案應(yīng)用于密碼保存，后一種方案將門限方案應(yīng)用于實(shí)際支付過程，因此實(shí)驗(yàn)中將文獻(xiàn)[23]和文獻(xiàn)[25]歸類為一種方案[23]，文獻(xiàn)[24]提出方案[24]是對方案[23]的一種優(yōu)化，每個成員分配的碎片規(guī)模根據(jù)身份重要性而不同。

8.1 私鑰可恢復(fù)性

私鑰的可恢復(fù)性是指在成員動態(tài)變化的情況下資產(chǎn)所有者能夠通過收集足夠的密鑰碎片恢復(fù)它的私鑰。圖6中給出3種方案的比較，設(shè)置的場景中有1 000個區(qū)塊鏈節(jié)點(diǎn)。建議的方案中，100個節(jié)點(diǎn)使用動態(tài)分配的方式分配密鑰碎片，門限值為50；方案[23]和方案[24]使用固定的門限值，門限值設(shè)為20。場景中節(jié)點(diǎn)隨機(jī)地退出網(wǎng)絡(luò)或者新節(jié)點(diǎn)加入網(wǎng)絡(luò)中。橫坐標(biāo)是區(qū)塊鏈節(jié)點(diǎn)的更新率，縱坐標(biāo)是私鑰的可恢復(fù)率。由于節(jié)點(diǎn)的加入或退出導(dǎo)致方案[23]和方案[24]中攜帶碎片的節(jié)點(diǎn)退出，使得私鑰無法恢復(fù)，而方案[24]中由于節(jié)點(diǎn)攜帶的碎片規(guī)模不同，隨著更新率的增加，攜帶較大規(guī)模的節(jié)點(diǎn)退出網(wǎng)絡(luò)的概率較大，因此加劇了私鑰可恢復(fù)率的急劇下降，圖中當(dāng)節(jié)點(diǎn)的更新率達(dá)到20%時候，只有幾個節(jié)點(diǎn)能夠恢復(fù)私鑰，方案[23]和方案[24]不能容忍攜帶密鑰碎片節(jié)點(diǎn)的加入和退出。而推薦的方案中盡管節(jié)點(diǎn)退出或加入，通過合作的方式使得新加入節(jié)點(diǎn)也擁有密鑰碎片，保證碎片規(guī)模，使得私鑰可恢復(fù)性保持在一個較高的程度，盡管網(wǎng)絡(luò)節(jié)點(diǎn)更新率達(dá)到20%，建議方案中的超過90%的私鑰仍舊可以恢復(fù)。因此建議方案適合動態(tài)區(qū)塊鏈網(wǎng)絡(luò)，能夠容忍攜帶密鑰碎片節(jié)點(diǎn)的加入或退出。

Fig.6 Recovery rate of private key圖6 私鑰的恢復(fù)率

8.2 私鑰恢復(fù)延時開銷

Fig.7 Time delay of private key recovery圖7 私鑰恢復(fù)延時

當(dāng)合法使用者請求恢復(fù)私鑰時，會廣播發(fā)送請求給其他區(qū)塊鏈節(jié)點(diǎn)，擁有對應(yīng)密鑰碎片的節(jié)點(diǎn)會共享該碎片，進(jìn)而恢復(fù)私鑰，為了保證私鑰恢復(fù)過程的匿名性，私鑰碎片被隨機(jī)地分布在網(wǎng)絡(luò)中，私鑰擁有者沒有碎片分布的知識。在圖7中設(shè)計(jì)10種場景，網(wǎng)絡(luò)規(guī)模分別為100節(jié)點(diǎn)到1 000節(jié)點(diǎn)，每種場景規(guī)模差距為100個節(jié)點(diǎn)，作為橫坐標(biāo)，網(wǎng)絡(luò)密度分布均勻，分別使用建議方案、方案[23]和方案[24]，考察3種方案為了恢復(fù)私鑰需要的延時，以跳數(shù)作為縱坐標(biāo)。由于3種方案中密鑰碎片是被均勻分布在網(wǎng)絡(luò)中，私鑰需要搜索整個網(wǎng)絡(luò)尋找超過門限數(shù)量的密鑰碎片，因此它們需要的延時與網(wǎng)絡(luò)的規(guī)模相關(guān)，而與采用的門限密鑰方案無關(guān)。

9 結(jié)束語

本文提出了一種基于門限密鑰的錢包私鑰管理方式，即使發(fā)生錢包丟失或遺失，區(qū)塊鏈網(wǎng)絡(luò)成員通過協(xié)商合作恢復(fù)出該私鑰，同時當(dāng)錢包離線中，門限數(shù)量的持有該錢包密鑰碎片的其他錢包合作保持全網(wǎng)的私鑰碎片的分發(fā)，使得全網(wǎng)的密鑰碎片結(jié)構(gòu)同步，通過對密鑰碎片樹的哈希值提供高效的通信交互效率。私鑰的分布式管理過程具有非中心化、開放性和自治性的特點(diǎn)，無需可信第三方的介入，契合區(qū)塊鏈網(wǎng)絡(luò)的內(nèi)在特征。下一步工作中研究如何激勵節(jié)點(diǎn)參與到私鑰的分布式保護(hù)策略，以及提高私鑰碎片的分布效率。