基于區(qū)塊鏈的物聯(lián)網(wǎng)密鑰協(xié)商協(xié)議

何德彪/HE Debiao

李莉/LI Li

（武漢大學(xué)，湖北武漢430070）

國(guó)際電信聯(lián)盟（ITU）將物聯(lián)網(wǎng)（IoT）定義為：信息社會(huì)全球基礎(chǔ)設(shè)施（通過(guò)物理和虛擬手段）將基于現(xiàn)有和正在出現(xiàn)的、信息互操作和通信技術(shù)的物質(zhì)相互連接，以提供先進(jìn)的服務(wù)。它起源于1999年美國(guó)麻省理工學(xué)院（MIT）提出的無(wú)線射頻識(shí)別（RFID）的思想，并在2005年的信息社會(huì)世界峰會(huì)（WSIS）被正式確定概念[1]。IoT本質(zhì)上是一個(gè)傳感器智能網(wǎng)，它通過(guò)RFID、紅外感應(yīng)器、激光掃描儀等傳感設(shè)備將物與互聯(lián)網(wǎng)相連，從而實(shí)現(xiàn)智能化識(shí)別、定位、監(jiān)測(cè)控制與管理。IoT被認(rèn)為是信息產(chǎn)業(yè)繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后的第3次浪潮，是實(shí)現(xiàn)智慧城市[2]的關(guān)鍵技術(shù)；但其自身存在一些技術(shù)瓶頸。傳感網(wǎng)絡(luò)的大規(guī)模和分布式特性使得IoT的安全運(yùn)維成為一大挑戰(zhàn)，例如：基于Mirai僵尸物聯(lián)網(wǎng)的分布式拒絕服務(wù)（DDoS）攻擊就曾使得Dyn癱瘓，Twitter、Paypal等人氣網(wǎng)站停止服務(wù)。隨著IoT設(shè)備的指數(shù)級(jí)增長(zhǎng)，數(shù)據(jù)流的中心化管理負(fù)載過(guò)重，容易造成信息堵塞。此外，IoT還存在數(shù)據(jù)標(biāo)準(zhǔn)不一致引起的通信兼容問(wèn)題。

圖1 區(qū)塊鏈在物聯(lián)網(wǎng)的應(yīng)用

區(qū)塊鏈作為一種新興的信息技術(shù)，具有公開(kāi)可驗(yàn)證、可編程、可追溯、防篡改等性質(zhì)。通過(guò)區(qū)塊鏈技術(shù)構(gòu)建IoT系統(tǒng)（如圖1所示），由區(qū)塊鏈充當(dāng)通用的數(shù)字賬本，節(jié)點(diǎn)設(shè)備廣播交易，經(jīng)區(qū)塊共識(shí)后記錄上鏈，可實(shí)現(xiàn)數(shù)據(jù)的可證溯源。同時(shí)，加密算法保障了交易數(shù)據(jù)的隱私性、完整性，共識(shí)算法實(shí)現(xiàn)了節(jié)點(diǎn)間數(shù)據(jù)的一致性。區(qū)塊鏈去中心化的運(yùn)行機(jī)制規(guī)避了高額的運(yùn)維成本，數(shù)以億計(jì)閑置設(shè)備的算力、存儲(chǔ)被充分利用，實(shí)現(xiàn)了IoT安全擴(kuò)容。此外，其激勵(lì)機(jī)制促進(jìn)了數(shù)據(jù)升值，點(diǎn)對(duì)點(diǎn)（P2P）網(wǎng)絡(luò)打破了信息孤島桎梏，促進(jìn)了設(shè)備間的多方協(xié)作和信息交流。2015年出現(xiàn)的比特幣電腦可實(shí)現(xiàn)區(qū)塊鏈小微支付網(wǎng)絡(luò)與IoT的連接。通過(guò)分布式資源調(diào)配，構(gòu)建起真正的分享經(jīng)濟(jì)模式。2017年全球首個(gè)IoT區(qū)塊鏈（BOT）項(xiàng)目成立，定義了可信IoT服務(wù)平臺(tái)框架。區(qū)塊鏈與IoT的結(jié)合有效地解決了IoT缺乏隱私、運(yùn)維高昂、通信不兼容等行業(yè)痛點(diǎn)，有力地推動(dòng)了智慧城市[3]的發(fā)展。

為了實(shí)現(xiàn)IoT設(shè)備安全可靠的數(shù)據(jù)通信，亟需一個(gè)安全的密鑰協(xié)商協(xié)議以提供身份認(rèn)證。文獻(xiàn)[4]首次提出2個(gè)比特幣密鑰交換協(xié)議，以實(shí)現(xiàn)交易后比特幣用戶間端到端的安全通信。然而在該方案中，交易雙方使用橢圓曲線數(shù)字簽名算法（ECDSA）確定交易的所有權(quán)。隨著IoT設(shè)備的指數(shù)級(jí)增長(zhǎng)，數(shù)以億計(jì)的設(shè)備都需要生成和維護(hù)一個(gè)公鑰證書(shū)。為了規(guī)避證書(shū)頒發(fā)與維護(hù)的巨額開(kāi)銷，我們提出使用基于身份的Schnorr簽名替換原有的ECDSA簽名，不再使用公鑰證書(shū)，從而實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備輕量級(jí)的身份認(rèn)證。進(jìn)一步地，我們提出了2種密鑰協(xié)商方式：基于Diffie-Hellman的比特幣密鑰協(xié)商協(xié)議、基于YAK的比特幣密鑰協(xié)商協(xié)議。其中，基于YAK的比特幣密鑰協(xié)商協(xié)議通過(guò)零知識(shí)證明（ZKP）提供了前向安全性。

1 關(guān)鍵技術(shù)

1.1 基于身份的Schnorr簽名方案

該方案由以下4個(gè)算法組成。

（1）Setup：輸入安全參數(shù)k，系統(tǒng)選擇一個(gè)階q為 2k≤q<2k+1的群G，令g為G的生成元。系統(tǒng)選擇2個(gè)安全的密碼哈希函數(shù)H1,H2:{0 ,1}*→Zq，并隨機(jī) 選擇s∈RZq作為系統(tǒng)主私鑰。最后，系統(tǒng)秘密保存s并公開(kāi)參數(shù)

（2）Extract：給 定 用 戶 身 份id∈{0 ,1}*，系統(tǒng)隨機(jī)選擇r∈RZq，計(jì)算did=r+sH1(gr,id)modq，并通過(guò)安全信道發(fā)送did給用戶。

（3）Sign：給定消息m∈{0 ,1}*，用戶隨機(jī)選擇t∈RZq，計(jì)算e=t+did?H2(id,gt,m)modq，用戶輸出消息m的簽名σ=(gt,e,gr)。

（4）Verify：給定消息簽名對(duì)(m,σ)，驗(yàn)證者通過(guò)式（1）驗(yàn)證簽名σ的有效性：

若簽名σ有效，返回“1”；否則，返回“0”。

1.2 比特幣

比特幣[5]是區(qū)塊鏈技術(shù)在數(shù)字金融領(lǐng)域的第一個(gè)應(yīng)用，是一種基于P2P網(wǎng)絡(luò)的虛擬加密貨幣。它為每個(gè)比特幣用戶生成公私鑰對(duì)，其中私鑰用于簽名交易，公鑰用于驗(yàn)證數(shù)據(jù)。比特幣網(wǎng)絡(luò)可以實(shí)現(xiàn)用戶匿名識(shí)別、比特幣轉(zhuǎn)移，以及歷史交易的記錄上鏈，具有去中心化、匿名性、通脹預(yù)防等特點(diǎn)。目前，一些主流交易平臺(tái)有：btc-e.com、bitstamp；中國(guó)的主流交易平臺(tái)有比特幣中國(guó)、OKCoin、火幣等。截至日前，比特幣的流通市值已達(dá)到7 743.97億元人民幣，日成交額達(dá)到280.328億元人民幣。

1.2.1 比特幣交易

比特幣交易是相互關(guān)聯(lián)的輸入輸出交易事務(wù)，使用未經(jīng)使用的交易的輸出（UTXO）作為輸入，并生成新的輸出。同一筆交易可以有多個(gè)輸入和多個(gè)輸出，具體交易格式如表1所示。

比特幣地址由公鑰經(jīng)一系列哈希、編碼而來(lái)，即：

比特幣地址=Base58{Hash160||前4字節(jié)（SHA256(SHA256(Hash160||地址版本號(hào)）））}

其中，Hash160=RIPEMD160(SHA256(65字節(jié)公鑰))。

1.2.2 區(qū)塊

網(wǎng)絡(luò)中的所有交易由背書(shū)節(jié)點(diǎn)收集驗(yàn)證打包上鏈，經(jīng)過(guò)6個(gè)區(qū)塊確認(rèn)后交易不可逆轉(zhuǎn)。平均每10 min生成一個(gè)新區(qū)塊鏈接到最長(zhǎng)的鏈尾部。整個(gè)區(qū)塊鏈?zhǔn)且粋€(gè)鏈?zhǔn)浇Y(jié)構(gòu)[6]，如圖2所示，其中Tx表示交易。

1.2.3 共識(shí)機(jī)制

共識(shí)機(jī)制[7-8]是分布式網(wǎng)絡(luò)中互不信任節(jié)點(diǎn)間建立共識(shí)的規(guī)則與方法?，F(xiàn)有的共識(shí)機(jī)制根據(jù)通信方式可分為異步通信共識(shí)機(jī)制和同步通信共識(shí)機(jī)制。異步通信共識(shí)機(jī)制的代表為有向無(wú)環(huán)圖（DAG），與定期檢查同步點(diǎn)的日志機(jī)制不同，DAG采用異步處理事務(wù)操作的方式，極大地提高了系統(tǒng)吞吐量。區(qū)塊鏈主要使用同步通信共識(shí)機(jī)制。其中，同步通信共識(shí)機(jī)制包括強(qiáng)一致性共識(shí)算法和最終一致性共識(shí)算法。最終一致性共識(shí)算法多用于私有鏈、聯(lián)盟鏈的共識(shí)，可進(jìn)一步細(xì)分為具備拜占庭容錯(cuò)特性[9]的一類，如授權(quán)拜占庭容錯(cuò)（DBFT）、實(shí)用拜占庭容錯(cuò)（PBFT）、資產(chǎn)證明（PoA）、Ripple、Pool驗(yàn)證池等；不具備拜占庭容錯(cuò)特性的一類，如Paxos、Raft等。強(qiáng)一致性共識(shí)算法多用于公有鏈的共識(shí)，包括工作量證明（PoW）、權(quán)益證明（PoS）、股份授權(quán)證明（DPoS）、重要性證明（PoI）等，具體分類參見(jiàn)表2。

比特幣區(qū)塊鏈的共識(shí)主要采用強(qiáng)一致性算法中的PoW、PoS、DPoS。

表1 比特幣交易格式

（1）PoW。尋找隨機(jī)數(shù)n，使得：SHA(SHA(v||hp||t||n||hm))<目標(biāo)哈希，最先找到隨機(jī)數(shù)n的礦工獲得記賬權(quán)并獲得比特幣獎(jiǎng)勵(lì)，這一過(guò)程也稱“挖礦”。挖礦難度的調(diào)整周期為2周，目的是使區(qū)塊的生成時(shí)間穩(wěn)定在10 min左右。PoW具有完全去中心化、節(jié)點(diǎn)可自由進(jìn)出等優(yōu)點(diǎn)，但挖礦行為造成大量的資源浪費(fèi)，且共識(shí)周期較長(zhǎng)，存在51%攻擊，不適合商業(yè)應(yīng)用。

圖2 區(qū)塊鏈的鏈?zhǔn)浇Y(jié)構(gòu)

表2 共識(shí)機(jī)制的分類

（2）PoS。系統(tǒng)中具有最高權(quán)益的節(jié)點(diǎn)（如幣齡最長(zhǎng)）獲得記賬權(quán)。PoS的優(yōu)點(diǎn)在于減少了PoW的資源消耗，縮短了共識(shí)時(shí)間，且惡意節(jié)點(diǎn)只有掌握超過(guò)全網(wǎng)1/3的資源，才能破壞整個(gè)共識(shí)過(guò)程；但共識(shí)過(guò)程需等待多個(gè)確認(rèn)，容易產(chǎn)生分叉。

（3）DPoS。記賬權(quán)由101位受托人輪流實(shí)現(xiàn)。其中，受托人由股東根據(jù)股份權(quán)益選出，且需保證99%以上的在線時(shí)間。DPoS機(jī)制大幅度縮減了驗(yàn)證和記賬節(jié)點(diǎn)的數(shù)量，可以達(dá)到秒級(jí)驗(yàn)證；但其去中心化的程度不足，依賴于代幣的特性限制了其應(yīng)用領(lǐng)域。

2 方案設(shè)計(jì)

考慮IoT中的2臺(tái)設(shè)備Alice和Bob。區(qū)塊鏈充當(dāng)數(shù)據(jù)管理系統(tǒng)，IoT中所有的交易都記錄上鏈。Alice和Bob通過(guò)以下方式實(shí)現(xiàn)密鑰協(xié)商。

2.1 基于Diffie-Hellman的比特幣密鑰協(xié)商協(xié)議

圖3 基于Diffie-Hellman的比特幣密鑰交換協(xié)議

如圖3所示，協(xié)議的具體執(zhí)行過(guò)程如下：首先，Alice利用私鑰提取出與交易TA相關(guān)的一次性隨機(jī)數(shù)然后，Alice在鏈上獲取Bob的交易簽名對(duì)并從中提取與公鑰相關(guān)的Alice根據(jù)計(jì)算會(huì)話密鑰同理，Bob計(jì)算一次性隨機(jī)數(shù)tB，從σTA中提取，進(jìn)一步計(jì)算會(huì)話密鑰κ。

本協(xié)議實(shí)現(xiàn)了IoT設(shè)備基于交易的密鑰協(xié)商，任意2個(gè)設(shè)備節(jié)點(diǎn)只需從鏈上獲取自身及對(duì)方的交易簽名對(duì)，就能線下計(jì)算會(huì)話密鑰κ。本協(xié)議中，與交易相關(guān)的隨機(jī)數(shù)可直接利用私鑰計(jì)算，避免了隨機(jī)數(shù)存儲(chǔ)的開(kāi)銷，克服了IoT設(shè)備資源受限的缺陷。

2.2 基于YAK的比特幣密鑰協(xié)商協(xié)議

如圖4所示，協(xié)議的具體執(zhí)行過(guò)程如下：首先，Alice（Bob）利用私鑰提取出與交易TA（TB））相關(guān)的一次性隨機(jī)數(shù)tA（tB）。然后，Alice（Bob）在鏈上獲取 Bob（Alice）的交易簽名對(duì) (TB,σTB)（(TA,σTA)）。Alice（Bob）選取隨機(jī)數(shù)wA∈Zq（wB∈Zq），計(jì)算WA（WB）以及wA（wB）的零知識(shí)證明ZKP(wA)（ZKP(wB)）并發(fā)送給對(duì) 方 。 Alice（Bob）通 過(guò)ZKP(wB)（ZKP(wA)）驗(yàn)證隨機(jī)數(shù)wB（wA）的真實(shí)性并計(jì)算會(huì)話密鑰κ。

同2.1類似，本協(xié)議中節(jié)點(diǎn)可直接利用私鑰計(jì)算與交易相關(guān)的隨機(jī)數(shù)。不同的是：此協(xié)議是交互性的，雙方進(jìn)行密鑰協(xié)商時(shí)需選取隨機(jī)數(shù)wA、wB作為與會(huì)話相關(guān)的秘密值并做ZKP，對(duì)方通過(guò)ZKP驗(yàn)證隨機(jī)數(shù)的真實(shí)性后方可計(jì)算κ。假設(shè)IoT節(jié)點(diǎn)私鑰的安全性被攻陷，敵手截獲了交易后的某次會(huì)話。由于每次會(huì)話都重新選取隨機(jī)數(shù)，則實(shí)現(xiàn)了后續(xù)會(huì)話的不可追蹤，提供了前向安全性。

圖4 基于 YAK的比特幣密鑰交換協(xié)議

本文中我們采用了Schnorr ZKP方案[10]，假設(shè)Alice對(duì)秘密值wA做了零知識(shí)證明ZKP(wA)，可通過(guò)如下方式使Bob相信自己擁有這一秘密而不向Bob泄露秘密wA的任何信息。

（1）ZKP產(chǎn)生（ZKP-Gen）

1）Alice隨機(jī)選取l∈RZq，計(jì)算L=gl，h=H(g,L,wA,idA)，r=l-wAh；

2）Alice→Bob：WA，{idA,L,r}。

（2）ZKP驗(yàn)證（ZKP-Verify）

給定WA，{idA,L,r}，Bob相信Alice擁有秘密值wA當(dāng)且僅當(dāng)式（2）成立：Alice擁有秘密值

同理，Alice通過(guò)此方式驗(yàn)證Bob確實(shí)擁有秘密值wB。

3 安全分析

對(duì)于密鑰協(xié)商協(xié)議的安全，我們考慮以下3種安全特性。

（1）私鑰安全：一次性會(huì)話中秘密值的泄露不影響設(shè)備節(jié)點(diǎn)靜態(tài)私鑰的安全性。

（2）前向安全：即使用戶私鑰被攻陷，已建立會(huì)話的會(huì)話密鑰的安全性不受影響。

（3）會(huì)話密鑰安全：攻擊者冒充用戶，但無(wú)法訪問(wèn)用戶的私鑰，則無(wú)法計(jì)算會(huì)話密鑰。

3.1 基于Diffie-Hellman的比特幣密鑰協(xié)商協(xié)議

假設(shè)Alice和Bob分別從鏈上獲取了交易簽名對(duì)（TA,σTA），（TB,σTB），我們證明所提協(xié)議可以提供私鑰安全和會(huì)話密鑰安全。

（1）私鑰安全的證明

假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的被動(dòng)敵手A，已掌握Bob的與交易相關(guān)的隨機(jī)數(shù)tB。若A獲得了Alice的秘密值wA，A可通過(guò)計(jì)算得到會(huì)話密鑰，然而A無(wú)法獲得didA的任何信息。

（2）會(huì)話密鑰安全證明

假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的主動(dòng)敵手B，冒充Bob與Alice進(jìn)行通信。現(xiàn)假定Alice和Bob選取的與交易相關(guān)的隨機(jī)數(shù)分別為tA=φ，tB=φ。給定一個(gè)計(jì)算型Diffie-Hellman 問(wèn)題 (gφ,gφ,gφφ)，假定敵手B能成功計(jì)算K，由可得gφφ=K，則困難問(wèn)題計(jì)算型 Diffie-Hellman（CDH），與實(shí)際矛盾。

3.2 基于YAK的比特幣密鑰協(xié)商協(xié)議

假設(shè)Alice和Bob分別從鏈上獲取 了 交 易 簽 名 對(duì) （TA,σTA） ，（TB,σTB）。與3.1節(jié)不同，此協(xié)議會(huì)話密鑰的產(chǎn)生依賴于與交易相關(guān)的隨機(jī)數(shù)（tA，tB），以及交互過(guò)程中選取的秘密值（wA，wB）。我們證明了此協(xié)議可以提供私鑰安全、會(huì)話密鑰安全以及前向安全。

（1）私鑰安全

證明如下：假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的主動(dòng)敵手A，已掌握Bob的與交易相關(guān)的隨機(jī)數(shù)tB以及Bob某一次會(huì)話選取的秘密值wB。若A獲得了Alice的秘密值wA，A可通過(guò)計(jì)算會(huì)話密鑰，然而A無(wú)法獲得didA的任何信息。

（2）前向安全

證明如下：假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的被動(dòng)敵手A，已獲取Alice和Bob的與交易相關(guān)的隨機(jī)數(shù)tA和tB?，F(xiàn)假定Alice和Bob交互過(guò)程中選取的隨機(jī)數(shù)分別為wA=φ，wB=φ。給定一個(gè)計(jì)算型Diffie-Hellman 問(wèn)題 (gφ,gφ,gφφ)，假定敵手A能成功計(jì)算K，由可得則困難問(wèn)題CDH可解，與實(shí)際矛盾。

（3）會(huì)話密鑰安全

證明如下：假設(shè)存在一個(gè)概率多項(xiàng)式的主動(dòng)敵手B，冒充Bob與Alice進(jìn)行通信。B已獲取Alice的與交易相關(guān)的隨機(jī)數(shù)tA，并從公開(kāi)信道上截獲了WB?，F(xiàn)假定Alice交互過(guò)程中選取的隨機(jī)數(shù)為wA=φ，Bob選取的與交易相關(guān)的隨機(jī)數(shù)為tB=φ。給定一個(gè)計(jì)算型Diffie-Hellman問(wèn)題(gφ,gφ,gφφ)，假定敵手B能成功計(jì)算K，由可 得則困難問(wèn)題CDH可解，與實(shí)際矛盾。故會(huì)話密鑰不能被成功計(jì)算，此協(xié)議可以提供會(huì)話密鑰安全。

4 性能分析

文章中，我們?cè)赨buntu平臺(tái)搭建regtest測(cè)試鏈，基于c++版本的比特幣代碼，使用make編譯器編譯程序。我們采用的仿真平臺(tái)如表3所示，測(cè)試鏈參數(shù)如表4所示。

假定交易查詢階段記為P1，密鑰協(xié)商階段記為P2，原始交易檢索時(shí)間為tgtx，交易解析時(shí)間為tdtx，協(xié)議執(zhí)行的總時(shí)間為Total。我們通過(guò)bitcoin-cli查詢測(cè)試鏈1 000次得到了交易的平均檢索時(shí)間t=tgtx+tdtx為：real（21.212 s）、user（0.164 s）、sys（0.196 s），我們實(shí)際采用user時(shí)間。同時(shí)，我們通過(guò)運(yùn)行miracl庫(kù)10 000次得到了協(xié)議的平均執(zhí)行時(shí)間，實(shí)驗(yàn)結(jié)果如表5、6所示。

由表6可知：文中提出的2種比特幣密鑰協(xié)商協(xié)議都具有合理的運(yùn)行開(kāi)銷，適用于設(shè)備資源受限的IoT環(huán)境。

5 結(jié)束語(yǔ)

我們使用基于身份的Schnorr簽名替換比特幣交易原有的ECDSA簽名，提出了2種密鑰協(xié)商協(xié)議，避免了設(shè)備資源受限的IoT環(huán)境下公鑰證書(shū)管理的巨額開(kāi)銷。我們分析了所提協(xié)議的安全性，并搭建了比特幣測(cè)試鏈模擬了交易查詢及密鑰協(xié)商過(guò)程，結(jié)果表明協(xié)議在實(shí)際應(yīng)用中是切實(shí)可行的。

表3 仿真平臺(tái)參數(shù)信息

表4 測(cè)試鏈參數(shù)信息

表5 操作的執(zhí)行時(shí)間

表6 協(xié)議的執(zhí)行時(shí)間