基于改進(jìn)公證人機(jī)制的聯(lián)盟鏈跨鏈隱私保護(hù)方案

郭曉涵，姚中原，張勇，郭尚坤，王超，斯雪明

基于改進(jìn)公證人機(jī)制的聯(lián)盟鏈跨鏈隱私保護(hù)方案

郭曉涵1，2，3*，姚中原1，2，3，張勇1，2，3，郭尚坤1，2，3，王超1，2，3，斯雪明1，3

（1.中原工學(xué)院 前沿信息技術(shù)研究院，鄭州 450007； 2.河南省網(wǎng)絡(luò)密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室（信息工程大學(xué)），鄭州 450001； 3.河南省區(qū)塊鏈與數(shù)據(jù)共享國(guó)際聯(lián)合實(shí)驗(yàn)室（中原工學(xué)院），鄭州 450007）（ ? 通信作者電子郵箱thebestguoxh@163.com）

聯(lián)盟鏈跨鏈交互既增強(qiáng)了聯(lián)盟鏈應(yīng)用的功能，又?jǐn)U展了應(yīng)用的使用范圍，因此對(duì)促進(jìn)聯(lián)盟鏈應(yīng)用推廣和產(chǎn)業(yè)發(fā)展意義重大。然而，目前聯(lián)盟鏈跨鏈交互依然存在著用戶(hù)身份和資產(chǎn)交易信息隱私泄露的問(wèn)題，進(jìn)而阻礙了聯(lián)盟鏈跨鏈交互技術(shù)的廣泛應(yīng)用。針對(duì)以上問(wèn)題，提出一個(gè)基于改進(jìn)公證人機(jī)制的聯(lián)盟鏈資產(chǎn)跨鏈隱私保護(hù)方案。首先，在合約層引入哈希鎖定機(jī)制來(lái)改進(jìn)傳統(tǒng)的單簽名公證人跨鏈方式，從而降低傳統(tǒng)公證人機(jī)制中心化作惡的風(fēng)險(xiǎn)；其次，利用同態(tài)加密的特性在保證交易合法的前提下，實(shí)現(xiàn)對(duì)交易資產(chǎn)的可用不可見(jiàn)；同時(shí)，利用多密鑰生成中心（KGC）模式的標(biāo)識(shí)密碼算法實(shí)現(xiàn)在網(wǎng)絡(luò)層上的用戶(hù)身份隱私保護(hù)。理論分析和實(shí)驗(yàn)結(jié)果表明，所提方案對(duì)聯(lián)盟鏈跨鏈交互時(shí)交易中的用戶(hù)身份信息和資產(chǎn)信息具有良好的隱私保護(hù)效果，且相較于其他同類(lèi)方案在簽名和驗(yàn)證方面的開(kāi)銷(xiāo)更低。

區(qū)塊鏈；公證人；哈希鎖定；同態(tài)加密；標(biāo)識(shí)密碼；隱私保護(hù)

0 引言

區(qū)塊鏈?zhǔn)且环N鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，它將數(shù)據(jù)以區(qū)塊的形式保存，每個(gè)區(qū)塊大小相同，再以時(shí)間順序連接形成鏈。區(qū)塊鏈具備去中心化、不可篡改和不可偽造等優(yōu)勢(shì)［1］，是國(guó)內(nèi)外公認(rèn)的未來(lái)金融服務(wù)基礎(chǔ)設(shè)施［2］。目前，區(qū)塊鏈在金融［3］、醫(yī)療［4］和物流監(jiān)管［5］等方面得到了廣泛的應(yīng)用。隨著區(qū)塊鏈行業(yè)的不斷發(fā)展，區(qū)塊鏈開(kāi)始融入更多行業(yè)，應(yīng)用場(chǎng)景日漸豐富，使得不同的聯(lián)盟鏈之間數(shù)據(jù)流通［6］、應(yīng)用協(xié)同等需求也日益增加，使用區(qū)塊鏈跨鏈技術(shù)［7-9］成為擴(kuò)展聯(lián)盟鏈應(yīng)用的功能及其使用范圍的主要途徑。然而，跨鏈的過(guò)程中會(huì)出現(xiàn)如用戶(hù)的身份信息、重要交易數(shù)據(jù)等隱私泄露的問(wèn)題，攻擊者能夠從用戶(hù)的交易記錄中推出用戶(hù)賬戶(hù)之間的關(guān)聯(lián)等一系列信息，這將會(huì)給用戶(hù)帶來(lái)一定的財(cái)產(chǎn)損失，嚴(yán)重時(shí)可能會(huì)威脅到用戶(hù)的人身安全；而且多種聯(lián)盟鏈系統(tǒng)架構(gòu)及其各自隱私保護(hù)方法實(shí)現(xiàn)之間的差異性也進(jìn)一步增加了跨鏈隱私保護(hù)這一問(wèn)題的復(fù)雜程度。

作為當(dāng)前普遍使用的跨鏈技術(shù)，公證人機(jī)制實(shí)現(xiàn)簡(jiǎn)單，執(zhí)行效率較高。然而在該機(jī)制中，公證人需要獨(dú)自承擔(dān)所有業(yè)務(wù)，包括數(shù)據(jù)的搜集、驗(yàn)證以及交易的確認(rèn)，存在過(guò)度中心化的風(fēng)險(xiǎn)，極易出現(xiàn)如單點(diǎn)故障、主觀作惡、系統(tǒng)性能受限于中間人能力等一系列問(wèn)題。一旦公證人遭受攻擊或出現(xiàn)故障變得不可信，公證人手中的用戶(hù)信息和交易信息可能泄漏，給用戶(hù)帶來(lái)無(wú)窮的隱患與風(fēng)險(xiǎn)，這也給跨鏈隱私保護(hù)帶來(lái)新的挑戰(zhàn)。

針對(duì)以上問(wèn)題，本文面向基于賬戶(hù)模型的聯(lián)盟鏈，通過(guò)引入標(biāo)識(shí)密碼（Identity-Based Cryptography， IBC）和同態(tài)加密技術(shù)，結(jié)合公證人機(jī)制和哈希鎖定技術(shù)實(shí)現(xiàn)跨鏈交易的隱私保護(hù)，實(shí)現(xiàn)對(duì)用戶(hù)的身份和交易隱私保護(hù)。

本文的主要工作包括：

1）設(shè)計(jì)了一個(gè)跨鏈模型。該模型能夠通過(guò)公證人機(jī)制實(shí)現(xiàn)跨鏈資產(chǎn)交易，同時(shí)通過(guò)哈希鎖定技術(shù)減少公證人中心化作惡的風(fēng)險(xiǎn)，模型中包含密鑰生成中心（Key Generation Center， KGC）聯(lián)盟、公證人和交易用戶(hù)三方實(shí)體，其中KGC聯(lián)盟負(fù)責(zé)聯(lián)盟鏈的維護(hù)和節(jié)點(diǎn)的身份審核，公證人負(fù)責(zé)跨鏈交易。

2）基于上述跨鏈模型提出一種隱私保護(hù)方案。通過(guò)結(jié)合標(biāo)識(shí)密碼和同態(tài)加密技術(shù)，保護(hù)用戶(hù)交易和身份信息的隱私安全。

3）通過(guò)仿真實(shí)現(xiàn)所提方案，分析它的安全性，與其他方案模型進(jìn)行隱私保護(hù)能力的對(duì)比，并測(cè)試它的性能。

1 相關(guān)工作

根據(jù)祝烈煌等［10］的研究，區(qū)塊鏈的隱私大致可以分為兩類(lèi)：一類(lèi)是身份隱私，指用戶(hù)身份信息和區(qū)塊鏈賬戶(hù)地址之間的關(guān)聯(lián)；另一類(lèi)是交易隱私，指存儲(chǔ)在區(qū)塊鏈的交易記錄和相關(guān)信息，包括交易金額和交易雙方的信息等。在區(qū)塊鏈系統(tǒng)中，這兩類(lèi)隱私的泄漏問(wèn)題一直存在，并且在區(qū)塊鏈跨鏈系統(tǒng)中更加嚴(yán)重。

目前針對(duì)區(qū)塊鏈的隱私保護(hù)［11-13］研究已經(jīng)相對(duì)成熟，如Maxwell［14］提出的Coinjoin方案，該方案采用混幣的方式隱藏了輸入輸出地址的映射，保證供給者無(wú)法獲取精確信息，保護(hù)用戶(hù)的隱私。Zerocash［15］為保護(hù)交易雙方的賬戶(hù)地址和交易金額，引入了非交互式零知識(shí)證明，該方法得到了廣泛的認(rèn)同。Maxwell［16］在同態(tài)加密中加入盲化因子，提出了機(jī)密交易技術(shù)。Noether等［17］提出了環(huán)機(jī)密交易技術(shù)，能夠在隱藏區(qū)塊鏈賬本數(shù)據(jù)中交易金額的同時(shí)隱藏交易的輸入輸出地址。楊亞濤等［18］提出了基于身份認(rèn)證的多KGC群簽名方案，通過(guò)改進(jìn)的SM9標(biāo)識(shí)密碼方案，實(shí)現(xiàn)在節(jié)點(diǎn)間驗(yàn)證身份的同時(shí)保護(hù)節(jié)點(diǎn)隱私。刁一晴等［19］結(jié)合群簽名中群的概念和聯(lián)盟鏈，加入同態(tài)加密，實(shí)現(xiàn)對(duì)區(qū)塊鏈交易和身份隱私保護(hù)。郭陽(yáng)楠等［20］通過(guò)結(jié)合標(biāo)識(shí)密碼和無(wú)證書(shū)公鑰密碼體制的優(yōu)點(diǎn)，從網(wǎng)絡(luò)層和應(yīng)用層的雙層簽名認(rèn)證，保護(hù)了交易和身份隱私安全。但這些方案明顯不適用于跨鏈間的隱私泄露問(wèn)題。

針對(duì)跨鏈的隱私保護(hù)，戴波等［21］提出一種基于多角色節(jié)點(diǎn)的區(qū)塊鏈跨鏈方案，該方案通過(guò)不同角色的權(quán)限控制可以實(shí)現(xiàn)節(jié)點(diǎn)間的隱私保護(hù)；但是該方案需要兼顧區(qū)塊鏈擴(kuò)展、跨鏈和監(jiān)管方面的性能，隱私保護(hù)方面的功能完全由節(jié)點(diǎn)權(quán)限控制完成，身份隱私保護(hù)效果不佳。郭佳程等［22］針對(duì)分布式能源調(diào)度等問(wèn)題，結(jié)合區(qū)塊鏈，通過(guò)側(cè)鏈技術(shù)構(gòu)建3層網(wǎng)絡(luò)，設(shè)計(jì)了一種分布式能源共享網(wǎng)絡(luò)，提升能源利用率的同時(shí)實(shí)現(xiàn)隱私保護(hù)；但是該方案通過(guò)側(cè)鏈將資產(chǎn)與能源儲(chǔ)備信息隔離的方式實(shí)現(xiàn)隱私保護(hù)的方法并沒(méi)有保護(hù)用戶(hù)的身份隱私。唐榆程［23］設(shè)計(jì)了滿(mǎn)足隱私保護(hù)需求的交易智能合約，結(jié)合相關(guān)隱私保護(hù)算法實(shí)現(xiàn)一個(gè)跨鏈平臺(tái)，完成了跨鏈數(shù)據(jù)的可控共享，完成對(duì)交易賬戶(hù)金額的隱私保護(hù)；但是該方案沒(méi)有做到真正的匿名，沒(méi)有實(shí)現(xiàn)用戶(hù)的身份隱私保護(hù)。王宇［24］針對(duì)電子健康記錄，提出了一種基于跨區(qū)塊鏈技術(shù)的電子健康記錄隱私保護(hù)方案，該方案將電子健康記錄脫敏處理后生成索引上傳至區(qū)塊鏈，通過(guò)區(qū)塊鏈實(shí)現(xiàn)對(duì)電子健康記錄的隱私保護(hù)；但是該方案并沒(méi)有實(shí)現(xiàn)對(duì)醫(yī)生身份的隱私保護(hù)。

以上方案在區(qū)塊鏈跨鏈隱私保護(hù)方面作出了一些成果，但是這些方案大都只做數(shù)據(jù)隱私（交易隱私）保護(hù)，忽視了身份隱私的保護(hù)，并不是完善的隱私保護(hù)方案。

鄭建輝等［25］針對(duì)跨鏈操作難的問(wèn)題提出了一種聯(lián)盟自治的跨鏈機(jī)制，通過(guò)以鏈治鏈的方法解決不同區(qū)塊鏈之間的數(shù)據(jù)共享、價(jià)值流通等問(wèn)題；然而該方案通過(guò)通道隔離和私有數(shù)據(jù)等方法實(shí)現(xiàn)的隱私保護(hù)雖然實(shí)現(xiàn)了身份和交易隱私保護(hù)，但是保護(hù)性能完全取決于通道，保護(hù)效果有限。萬(wàn)哲驛［26］結(jié)合零證明技術(shù)，通過(guò)智能合約替代交易雙方的信息交換，改進(jìn)了現(xiàn)有的原子交換協(xié)議［27-28］，保護(hù)跨鏈原子交換中雙方的隱私；但是該方案的實(shí)現(xiàn)條件比較苛刻，方案實(shí)現(xiàn)難度較大。這些方案同時(shí)做到身份和交易隱私的保護(hù)，但是在實(shí)現(xiàn)效果或者實(shí)現(xiàn)難度方面略有缺陷。

2 基礎(chǔ)知識(shí)

2.1　區(qū)塊鏈

區(qū)塊鏈［29］是一種將數(shù)據(jù)區(qū)塊按照時(shí)間順序以鏈的形式組合而成的數(shù)據(jù)結(jié)構(gòu)，結(jié)合了分布式存儲(chǔ)、點(diǎn)對(duì)點(diǎn)（Peer-to-Peer， P2P）傳輸、共識(shí)機(jī)制和智能合約等技術(shù)，具有防篡改、可追溯、公開(kāi)透明等特點(diǎn)。區(qū)塊鏈系統(tǒng)架構(gòu)自下而上依次是數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層，架構(gòu)模型如圖1所示。

圖1　區(qū)塊鏈的架構(gòu)模型

其中，數(shù)據(jù)層包括底層數(shù)據(jù)區(qū)塊、相關(guān)的哈希值、隨機(jī)數(shù)、交易信息和公私鑰等，是區(qū)塊鏈結(jié)構(gòu)中的最底層數(shù)據(jù)結(jié)構(gòu)；網(wǎng)絡(luò)層的P2P和數(shù)據(jù)驗(yàn)證機(jī)制等保證了數(shù)據(jù)的傳輸；共識(shí)層則主要封裝了區(qū)塊鏈核心技術(shù)中的共識(shí)機(jī)制。以上3層結(jié)構(gòu)是區(qū)塊鏈底層基礎(chǔ)結(jié)構(gòu)。激勵(lì)層主要是經(jīng)濟(jì)激勵(lì)機(jī)制，一般通過(guò)挖礦獎(jiǎng)勵(lì)數(shù)字資產(chǎn)維持區(qū)塊鏈賬本的更新；合約層主要構(gòu)建了區(qū)塊鏈可編程特性的基礎(chǔ)，在合約層運(yùn)行著眾多腳本和智能合約；應(yīng)用層則包含了區(qū)塊鏈的應(yīng)用場(chǎng)景和案例［30］。

區(qū)塊鏈根據(jù)它的開(kāi)放程度可以分為公有鏈、私有鏈和聯(lián)盟鏈3類(lèi)。聯(lián)盟鏈具有一定的中心化，且區(qū)塊的產(chǎn)生和交易是可以控制的，具有一定的隱私性。

2.2　Paillier同態(tài)加密

同態(tài)加密技術(shù)可以對(duì)密文進(jìn)行計(jì)算，并且可以保證計(jì)算后的結(jié)果經(jīng)過(guò)解密與對(duì)應(yīng)明文數(shù)據(jù)進(jìn)行相同計(jì)算得到的結(jié)果相同?；诖颂匦?，同態(tài)加密技術(shù)保證了在處理密文時(shí)操作者無(wú)法獲知真實(shí)的數(shù)據(jù)，大幅提高了數(shù)據(jù)安全性。

根據(jù)算法對(duì)支持的計(jì)算類(lèi)型的不同，同態(tài)加密可以分為全同態(tài)加密方案和部分同態(tài)加密方案。其中，全同態(tài)加密方案功能強(qiáng)大，支持對(duì)密文進(jìn)行任意形式的計(jì)算，即同時(shí)滿(mǎn)足密文加法和乘法的混合且不限制次數(shù)的運(yùn)算；但目前全同態(tài)加密仍處于方案探索發(fā)展階段，現(xiàn)有算法存在著一些問(wèn)題，如密鑰過(guò)大、效率低等。部分同態(tài)加密方案僅支持對(duì)密文進(jìn)行有限的計(jì)算，如僅支持加法、僅支持乘法或支持有限次加法和乘法。部分加密方案構(gòu)造簡(jiǎn)單、執(zhí)行效率較高，因此常用于特定場(chǎng)景。

目前較為常見(jiàn)的部分同態(tài)加密設(shè)計(jì)包括RSA、ElGamal和Paillier［31］。其中，RSA與ElGamal支持乘法同態(tài)，Paillier算法則具備加法同態(tài)特性。在區(qū)塊鏈的交易中，賬本金額的變化一般僅通過(guò)加減完成，因此Paillier算法常用于區(qū)塊鏈中驗(yàn)證賬本交易金額、賬戶(hù)金額和交易后余額的合法性等方面。

1）密鑰生成。

2）數(shù)據(jù)加密。

3）密文解密。

4）密文加法同態(tài)。

2.3　公證人機(jī)制

當(dāng)用戶(hù)進(jìn)行跨鏈交易［32-33］時(shí)，交易雙方是互不信任且信息不對(duì)稱(chēng)，最簡(jiǎn)單的交易方式是引入一方或多方可信實(shí)體作信用背書(shū)，由可信實(shí)體承擔(dān)數(shù)據(jù)收集、交易確認(rèn)和驗(yàn)證的任務(wù)，這樣的跨鏈機(jī)制就被稱(chēng)為公證人機(jī)制［34-35］。

公證人機(jī)制是目前應(yīng)用最為廣泛的一種跨鏈機(jī)制，并且較易實(shí)現(xiàn)，其中最大的公證人就是交易所。

公證人機(jī)制分為單簽名公證人機(jī)制和多簽名公證人機(jī)制。單簽名公證人機(jī)制運(yùn)行處理效率較高，但是中心化嚴(yán)重，公證人的可信是系統(tǒng)正常運(yùn)行的基礎(chǔ)，公證人一旦遭受攻擊，系統(tǒng)將非常危險(xiǎn)。多簽名公證人機(jī)制有多個(gè)公證人，在每次交易驗(yàn)證時(shí)從公證人群體中隨機(jī)選出一部分公證人，共同完成簽名，而這就需要鏈上支持多重簽名機(jī)制。因此本文選擇在單簽名公證人機(jī)制上進(jìn)行改進(jìn)。

單簽名公證人模式下的以太坊和比特幣（Bitcoin）通過(guò)交易所進(jìn)行資產(chǎn)交換的過(guò)程如下：

1）用戶(hù)U1發(fā)起一筆交易，交易金額為1個(gè)比特幣，輸出地址為交易所賬戶(hù)地址；

2）用戶(hù)U1向交易所提出用比特幣兌換以太幣（Ether）的請(qǐng)求，兌換比例1∶10；

3）用戶(hù)U2向交易所賬戶(hù)地址轉(zhuǎn)入10個(gè)以太幣；

4）用戶(hù)U2向交易所提出用以太幣兌換比特幣的請(qǐng)求，兌換比例10∶1；

5）交易所匹配兌換請(qǐng)求，作為第三方達(dá)成交易共識(shí)；

6）交易所將相應(yīng)的比特幣和以太幣分別轉(zhuǎn)入U(xiǎn)2和U1的賬戶(hù)地址，交易結(jié)束［36］。

2.4　哈希鎖定

通過(guò)哈希鎖定完成跨鏈交易的基本流程如圖2所示。

哈希鎖定通過(guò)哈希鎖和時(shí)間鎖保障了跨鏈交易的原子性，是原子交易的基本框架。但是，哈希鎖定無(wú)法完成資產(chǎn)的鏈間轉(zhuǎn)移，只能實(shí)現(xiàn)跨鏈的資產(chǎn)兌換，即各鏈資產(chǎn)總量不變，只是將資產(chǎn)轉(zhuǎn)移至對(duì)方賬戶(hù)下。對(duì)于資產(chǎn)轉(zhuǎn)移，還需要配合其他跨鏈技術(shù)方可實(shí)現(xiàn)。

圖2　哈希鎖定流程

2.5　SM9標(biāo)識(shí)密碼體制

標(biāo)識(shí)密碼（IBC）由Shamir［36］提出，它最主要的特點(diǎn)是不需要由證書(shū)授權(quán)中心（Certificate Authority， CA）生成公私鑰對(duì)，公鑰的傳遞也無(wú)須使用證書(shū)；在IBC中，用戶(hù)使用如網(wǎng)際互連協(xié)議（Internet Protocol， IP）地址、手機(jī)號(hào)和電子郵箱等唯一標(biāo)識(shí)信息作為公鑰，私鑰則由KGC根據(jù)系統(tǒng)主密鑰和用戶(hù)標(biāo)識(shí)計(jì)算得出。Boneh等［37］和Sakai等［38］都獨(dú)立提出使用橢圓曲線配對(duì)構(gòu)造標(biāo)識(shí)公鑰密碼。與傳統(tǒng)的公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）體系相比，除了上述特點(diǎn)外，IBC還有成本低和效率高等優(yōu)點(diǎn)。

SM9標(biāo)識(shí)密碼算法［39］包含總則、數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加密算法，涉及有限域、橢圓曲線、雙線性對(duì)及安全曲線、橢圓曲線上雙線性對(duì)的運(yùn)算等基本知識(shí)和技能。本文方案主要使用數(shù)字簽名算法為消息簽名，公鑰加密算法為數(shù)據(jù)加密。

3 系統(tǒng)模型

本文方案針對(duì)跨鏈資產(chǎn)交易實(shí)現(xiàn)身份和交易的隱私保護(hù)，在網(wǎng)絡(luò)層通過(guò)KGC聯(lián)盟模式下的標(biāo)識(shí)密碼，完成對(duì)用戶(hù)真實(shí)信息和鏈上賬戶(hù)的分離，實(shí)現(xiàn)用戶(hù)身份隱私的保護(hù)；在合約層以公證人技術(shù)為跨鏈基礎(chǔ)，通過(guò)使用哈希鎖定機(jī)制完成交易，降低公證人機(jī)制中心化的作惡風(fēng)險(xiǎn)的同時(shí)，為了確?？珂溋鬓D(zhuǎn)時(shí)的隱私，使用同態(tài)加密技術(shù)保護(hù)哈希鎖定交易，由于Paillier同態(tài)加密的加同態(tài)特性，保證加密后的交易可驗(yàn)證。以此為核心，設(shè)計(jì)了如圖3所示的架構(gòu)模型。

圖3　本文方案的系統(tǒng)架構(gòu)模型

在本文構(gòu)建的方案中，兩條區(qū)塊鏈的基本架構(gòu)一致，都采用基本的區(qū)塊鏈六層架構(gòu)，且合約層都支持哈希鎖定機(jī)制。由KGC聯(lián)盟負(fù)責(zé)兩條鏈區(qū)塊的生成、維護(hù)和加入?yún)^(qū)塊鏈的用戶(hù)審核和后續(xù)的用戶(hù)地址及私鑰分配。普通交易節(jié)點(diǎn)一般情況下是兩個(gè)賬戶(hù)屬于不同的用戶(hù)，本文為了方便展示及簡(jiǎn)化流程，設(shè)定本文中的交易需求用戶(hù)同時(shí)擁有兩條鏈上的賬戶(hù)。

3.1　節(jié)點(diǎn)構(gòu)成

本文方案基于聯(lián)盟鏈［40］設(shè)計(jì)，節(jié)點(diǎn)主要由KGC節(jié)點(diǎn)、公證人節(jié)點(diǎn)和普通節(jié)點(diǎn)構(gòu)成，如圖4所示。

1）KGC節(jié)點(diǎn)。聯(lián)盟鏈的管理者。主要負(fù)責(zé)維護(hù)區(qū)塊鏈參數(shù)和歷史數(shù)據(jù)和密鑰的生成和發(fā)放，根據(jù)用戶(hù)身份標(biāo)識(shí)號(hào)（Identity Document， ID）及其身份信息為加入?yún)^(qū)塊鏈的節(jié)點(diǎn)分配地址及對(duì)應(yīng)密鑰。

2）公證人節(jié)點(diǎn)。公證人節(jié)點(diǎn)加入?yún)^(qū)塊鏈時(shí)需要經(jīng)過(guò)KGC聯(lián)盟的認(rèn)證，檢查它是否具有公證人資質(zhì)后根據(jù)它的ID為它分配交易地址和私鑰。主要負(fù)責(zé)與普通節(jié)點(diǎn)進(jìn)行交易，收到普通節(jié)點(diǎn)的交易請(qǐng)求后發(fā)起哈希鎖定合約并驗(yàn)證普通節(jié)點(diǎn)的合約是否正確。

3）普通節(jié)點(diǎn)。參與交易的普通用戶(hù)。交易過(guò)程中需要向公證人節(jié)點(diǎn)發(fā)起交易請(qǐng)求，并驗(yàn)證公證人發(fā)起的哈希鎖定合約以完成交易。普通節(jié)點(diǎn)加入?yún)^(qū)塊鏈時(shí)需要向KGC聯(lián)盟提供它的ID等身份信息［41］，KGC聯(lián)盟驗(yàn)證身份信息后為使用哈希函數(shù)為它生成交易地址，再根據(jù)SM9標(biāo)識(shí)密碼算法生成對(duì)應(yīng)私鑰，地址作為公鑰使用。身份信息只有KGC聯(lián)盟知道，其余用戶(hù)無(wú)法查看，在網(wǎng)絡(luò)層面隱藏身份信息和交易地址的聯(lián)系。

圖4　本文方案的節(jié)點(diǎn)構(gòu)成

3.2　賬戶(hù)分配及私鑰

本文借鑒基于SM9的可證明安全的隱私保護(hù)方案［17］，該方案通過(guò)多KGC群簽名機(jī)制隱藏了交易雙方的身份信息。在本文方案中，同樣使用多KGC的模式，采用多KGC的模式可以降低單一KGC被攻擊后中心化的風(fēng)險(xiǎn)，通過(guò)KGC聯(lián)盟使用哈希函數(shù)為用戶(hù)ID等身份信息生成鏈上賬戶(hù)地址，再根據(jù)主私鑰和鏈上賬戶(hù)地址生成與賬戶(hù)地址配套的私鑰，實(shí)現(xiàn)用戶(hù)ID與賬戶(hù)的分離，保護(hù)用戶(hù)隱私。私鑰生成過(guò)程如圖5所示。

圖5　KGC聯(lián)盟分配賬戶(hù)地址和私鑰

用戶(hù)私鑰生成過(guò)程如下：

3.3　基于哈希鎖定的公證人機(jī)制

本文方案基于原始的單簽公證人機(jī)制，在公證人接收驗(yàn)證消息的過(guò)程中引入哈希時(shí)間鎖定機(jī)制，使得公證人想要完成某筆跨鏈交易時(shí)，需要先將交易中需要交易的資產(chǎn)鎖定在目標(biāo)鏈上，待與公證人交易的用戶(hù)對(duì)鎖定的資產(chǎn)金額驗(yàn)證成功后，公證人才能從原鏈上的哈希鎖定交易中拿到自己應(yīng)得的那份資產(chǎn)。通過(guò)這樣的機(jī)制，降低單簽公證人的中心化的風(fēng)險(xiǎn)。

如圖6所示，具體的公證人哈希鎖定機(jī)制如下。

2）用戶(hù)驗(yàn)證鏈A的哈希鎖定交易金額，若驗(yàn)證通過(guò)，則繼續(xù)執(zhí)行下一步；若驗(yàn)證未通過(guò)，則交易結(jié)束。

4）公證人驗(yàn)證鏈B的哈希鎖定交易金額，若驗(yàn)證通過(guò)，則繼續(xù)執(zhí)行下一步；若驗(yàn)證未通過(guò)，則交易結(jié)束。

圖6　基于哈希鎖定的公證人機(jī)制

與原有公證人機(jī)制相比，本文方案通過(guò)結(jié)合哈希鎖定機(jī)制完成交易，需要公證人事先在兩條鏈上都有賬戶(hù)，并且賬戶(hù)中需要有一定的資金，而不是單純地匹配兩條鏈上的交易促使交易的完成。本文方案的公證人需要切實(shí)地參與交易，成為交易方，并且按照規(guī)則需要先支付一定的資金將交易鎖定，可以有效地降低公證人中心化的風(fēng)險(xiǎn)。

4 方案設(shè)計(jì)

本文面向聯(lián)盟鏈跨鏈交易，通過(guò)哈希鎖定機(jī)制限制公證人的行動(dòng)，降低中心化的風(fēng)險(xiǎn)，再加上同態(tài)加密和KGC聯(lián)盟下的標(biāo)識(shí)密碼，實(shí)現(xiàn)對(duì)用戶(hù)的隱私保護(hù)。方案流程如圖7所示，大致可分為以下3個(gè)過(guò)程。

1）信息生成階段。生成交易階段需要的信息，包括KGC聯(lián)盟需要的主密鑰、系統(tǒng)參數(shù)、用戶(hù)的賬戶(hù)地址和私鑰等。

2）交易階段。這是交易的主體階段，在此階段完成整個(gè)交易，包括用戶(hù)和公證人的信息交換和合約交易等。

3）驗(yàn)證階段。驗(yàn)證交易階段的一些數(shù)據(jù)，保證交易的正常進(jìn)行。

圖7　本文方案的具體流程

4.1　信息生成階段

本文方案中算法使用的函數(shù)符號(hào)含義如表1所示。

表1　函數(shù)符號(hào)及其含義

在本文方案中需要使用的密鑰如下。

4.2　交易階段

在交易階段，需求用戶(hù)需要和公證人產(chǎn)生信息交流，該部分信息包括兩個(gè)部分：第一部分是交易需求部分，用戶(hù)和公證人之間需要點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)層交流，因此對(duì)這部分信息使用標(biāo)識(shí)密碼加密，保護(hù)用戶(hù)的隱私；第二部分是交易階段的金額等信息，體現(xiàn)在哈希鎖定交易中，由于這部分信息在驗(yàn)證過(guò)程中需要使用，所以需要對(duì)這部分信息使用同態(tài)加密保護(hù)，同時(shí)便于后續(xù)驗(yàn)證。

算法1 消息傳遞Transmit。

算法2 哈希傳遞HTransmit。

交易流程如圖8所示。

4.3　驗(yàn)證階段

在整個(gè)交易階段，一共需要如下驗(yàn)證。

1）驗(yàn)證簽名。收到信息的用戶(hù)先使用本人加解密私鑰對(duì)消息解密，之后對(duì)消息簽名驗(yàn)證，驗(yàn)證通過(guò)后方可進(jìn)行下一步操作。

簽名驗(yàn)證算法Verify_sign（以公證人驗(yàn)證用戶(hù)消息為例）。

算法3 簽名驗(yàn)證算法Verify_sign。

輸出 消息驗(yàn)證結(jié)果。

2）驗(yàn)證交易正確性。對(duì)與用戶(hù)相關(guān)的哈希鎖定交易，用戶(hù)需要獲取其中的使用同態(tài)加密之后的交易金額，與自己的賬戶(hù)余額做相關(guān)運(yùn)算，檢驗(yàn)該交易是否正確。驗(yàn)證通過(guò)則表明該交易是正確的，符合自己預(yù)期的交易，之后進(jìn)行下一步操作。

交易正確性驗(yàn)證算法Verify_trx（以需求用戶(hù)驗(yàn)證鏈B哈希交易為例）。

算法4 交易正確性驗(yàn)證算法Verify_trx。

輸出 判斷結(jié)果。

在整個(gè)交易階段，用戶(hù)與公證人之間的交流信息分為以下兩個(gè)方面：

一是在鏈上網(wǎng)絡(luò)層傳遞的非交易信息，用于傳遞用戶(hù)的交易意愿或者與哈希鎖定交易相關(guān)的重要信息。由于區(qū)塊鏈鏈上賬本公開(kāi)透明的特性，所有的鏈上消息都可能被攻擊者獲取，為了防止被攻擊者獲取與用戶(hù)相關(guān)的信息，本文方案使用標(biāo)識(shí)密碼加密這些消息，保護(hù)用戶(hù)的身份隱私。

5 方案分析

本文方案在網(wǎng)絡(luò)層采用多KGC的SM9標(biāo)識(shí)密碼算法，通過(guò)多個(gè)KGC節(jié)點(diǎn)共同生成維護(hù)整個(gè)區(qū)塊鏈，區(qū)塊鏈中的用戶(hù)也都由KGC聯(lián)盟審核后方可加入?yún)^(qū)塊鏈，根據(jù)標(biāo)識(shí)密碼的特性及性質(zhì)，對(duì)用戶(hù)在網(wǎng)絡(luò)層的身份信息通過(guò)KGC聯(lián)盟使用哈希函數(shù)轉(zhuǎn)換為鏈上賬戶(hù)地址，實(shí)現(xiàn)用戶(hù)的身份信息和鏈上賬號(hào)的不可逆轉(zhuǎn)換，從而保護(hù)用戶(hù)的身份隱私；在合約層使用改進(jìn)后的公證人機(jī)制，通過(guò)引入哈希鎖定交易，使用Paillier同態(tài)加密對(duì)交易金額進(jìn)行加密，從而保護(hù)用戶(hù)的交易隱私。

5.1　安全性分析

攻擊者類(lèi)型1 普通攻擊者通過(guò)偽裝成被攻擊者（需求用戶(hù)）U獲取信息或私鑰。

對(duì)于攻擊類(lèi)型1的普通攻擊者，根據(jù)本文模型，攻擊者能夠偽裝成需求用戶(hù)只需要攻擊者能夠使用需求用戶(hù)對(duì)應(yīng)的私鑰簽名信息即可，即攻擊者能夠計(jì)算出用戶(hù)私鑰，而用戶(hù)的私鑰由KGC聯(lián)盟使用標(biāo)識(shí)密碼主密鑰對(duì)計(jì)算得出，即攻擊者要在多項(xiàng)式時(shí)間內(nèi)求解橢圓曲線上的離散對(duì)數(shù)問(wèn)題。顯然離散對(duì)數(shù)問(wèn)題是困難問(wèn)題，故本文方案被普通攻擊者獲取信息或者私鑰的概率可以忽略不計(jì)。

對(duì)本文方案，單一的惡意節(jié)點(diǎn)無(wú)法獲取攻擊者私鑰，而能夠獲取用戶(hù)私鑰的情況需要攻擊者掌握超過(guò)一半的KGC節(jié)點(diǎn)，代價(jià)較高且該問(wèn)題存在于所有同結(jié)構(gòu)的去中心化機(jī)構(gòu)中；由于本文方案采用哈希鎖定進(jìn)行交易，惡意節(jié)點(diǎn)需要自己先付出代價(jià)鎖定部分代幣，風(fēng)險(xiǎn)較高，一旦進(jìn)入哈希交易步驟，便無(wú)法作惡。因此本文方案可以抵抗惡意KGC的攻擊。

5.2　匿名性分析

本文方案中使用的標(biāo)識(shí)密碼由KGC聯(lián)盟生成，可以很好地避免中心化CA機(jī)構(gòu)遭到攻擊或者信息泄露而帶來(lái)的安全隱患。若存在攻擊者想要獲取用戶(hù)的身份信息，則存在如下博弈。

類(lèi)型Ⅰ博弈 此類(lèi)攻擊者為區(qū)塊鏈上某個(gè)普通節(jié)點(diǎn)。試圖通過(guò)鏈上公開(kāi)的賬戶(hù)地址獲取用戶(hù)的真實(shí)ID或它的關(guān)聯(lián)信息。

由于網(wǎng)絡(luò)層使用的賬戶(hù)地址是由KGC聯(lián)盟根據(jù)用戶(hù)的ID等身份信息使用哈希生成的，所以如果該攻擊者想要獲取用戶(hù)的身份信息就必須攻擊KGC聯(lián)盟，直至攻擊者擁有超過(guò)一半的節(jié)點(diǎn)；或者通過(guò)賬戶(hù)地址逆推出它的身份信息，則KGC聯(lián)盟使用的哈希函數(shù)將不具備單向性，與哈希函數(shù)的定義不符。因此，在此類(lèi)博弈中，攻擊者優(yōu)勢(shì)極小，即本文方案能夠保護(hù)此類(lèi)博弈下的用戶(hù)身份隱私。

類(lèi)型Ⅱ博弈 此類(lèi)攻擊者為KGC聯(lián)盟中某個(gè)惡意節(jié)點(diǎn)。

由于本文方案使用的KGC聯(lián)盟具有去中心化的特性，此類(lèi)攻擊者在掌握單一節(jié)點(diǎn)的情況下無(wú)法獲取用戶(hù)身份信息，而能夠獲取用戶(hù)身份信息則需要掌握超過(guò)一半的KGC節(jié)點(diǎn)，需要消耗巨大的代價(jià)，并且此類(lèi)問(wèn)題存在于同結(jié)構(gòu)的所有去中心化機(jī)構(gòu)中。因此，在此類(lèi)博弈中，攻擊者優(yōu)勢(shì)極小，換言之，本文方案能夠保護(hù)此類(lèi)博弈下的用戶(hù)身份隱私。

5.3　性能與功能理論分析

從表2可以看出，在開(kāi)銷(xiāo)方面，與其他對(duì)比方案相比，本文方案的簽名開(kāi)銷(xiāo)要低于文獻(xiàn)［20］方案，而驗(yàn)證開(kāi)銷(xiāo)低于文獻(xiàn)［19］方案，略高于文獻(xiàn)［18，20］方案的模型。相較于文獻(xiàn)［18，20］方案，本文方案增加了加密，開(kāi)銷(xiāo)稍高，并且相較于文獻(xiàn)［18］方案，本文方案能夠做到交易隱私的保護(hù)。

綜上所述，本文方案通過(guò)使用同態(tài)加密和標(biāo)識(shí)密碼在公證人哈希鎖定機(jī)制中實(shí)現(xiàn)了跨鏈交易的隱私保護(hù)，并且根據(jù)Paillier同態(tài)加密的加同態(tài)特性，可以實(shí)現(xiàn)交易的正確性驗(yàn)證；在保證交易的安全性的同時(shí)，又在一定程度上保證了效率，滿(mǎn)足區(qū)塊鏈跨鏈交易時(shí)的隱私保護(hù)需求。

表2　本文方案與同類(lèi)隱私保護(hù)方案在效率和隱私保護(hù)上的對(duì)比

6 仿真實(shí)驗(yàn)

本文的仿真實(shí)驗(yàn)環(huán)境為Intel Core i7-5500U CPU @ 2.40 GHz處理器，8 GB內(nèi)存的Windows10系統(tǒng)，主機(jī)系統(tǒng)下的IntelliJ IDEA 做鏈下Paillier同態(tài)加密及解密，區(qū)塊鏈搭建在Ubuntu on Windows中的Ubuntu 20.04.4 LTS，配置和主機(jī)一致，搭建的區(qū)塊鏈為Fisco Bcos單群組四節(jié)點(diǎn)聯(lián)盟鏈，版本2.8.0，兩條區(qū)塊鏈同樣的配置，在區(qū)塊鏈上通過(guò)智能合約進(jìn)行同態(tài)運(yùn)算驗(yàn)證交易金額的正確性。

本次實(shí)驗(yàn)測(cè)試用戶(hù)ID為201508020116，通過(guò)KGC聯(lián)盟驗(yàn)證后為它分配鏈上地址和對(duì)應(yīng)私鑰，如表3所示。

表3　賬戶(hù)信息

本文方案的模型包括SM9的加密（SM9_Encrypt）、解密（SM9_Decrypt）、簽名（SM9_Sign）、驗(yàn)簽（SM9_Verify）和Paillier同態(tài)加密的加密（Paillier_Encrypt）和解密（Paillier_Decrypt）。經(jīng)過(guò)對(duì)各算法的多次測(cè)試，測(cè)試結(jié)果和平均消耗時(shí)間如圖9～10、表4所示。

表4　各算法平均耗時(shí) 單位：ms

圖9　同態(tài)加解密耗時(shí)

從表4可知，SM9部分算法占據(jù)大部分的時(shí)間，與SM9部分算法相比，同態(tài)加密的耗時(shí)較短，即在本文方案中交易的正確性驗(yàn)證可以很流暢地進(jìn)行，但是在用戶(hù)和公證人做驗(yàn)證和加解密信息的過(guò)程將占據(jù)交易的大部分時(shí)間。

圖10　SM9算法耗時(shí)

本次實(shí)驗(yàn)還驗(yàn)證了交易的正確性，同態(tài)加密交易金額和用戶(hù)當(dāng)前賬戶(hù)余額，并且將加密后的金額在智能合約中運(yùn)行，結(jié)果圖11所示。

鏈上調(diào)用智能合約計(jì)算同態(tài)加密后結(jié)果與鏈下計(jì)算結(jié)果對(duì)比如圖12所示。

圖11　同態(tài)加密結(jié)果

圖12　鏈上鏈下結(jié)果對(duì)比

對(duì)比結(jié)果顯示結(jié)果一致，表明哈希鎖定交易中確為目標(biāo)金額，交易的正確性得到驗(yàn)證，表明本文方案確實(shí)可以保證交易的正確性。同時(shí)因?yàn)樵撓⑹鞘褂肞aillier同態(tài)加密算法加密的，消息的隱私性得到算法的保護(hù)，即保護(hù)了用戶(hù)的交易隱私。

7 結(jié)語(yǔ)

本文提出一種基于哈希鎖定的公證人機(jī)制跨鏈資產(chǎn)交換隱私保護(hù)方案。方案改進(jìn)了公證人機(jī)制，通過(guò)結(jié)合哈希鎖定機(jī)制加大公證人中心化作業(yè)的難度，降低隱私泄露的風(fēng)險(xiǎn)。在網(wǎng)絡(luò)層中通過(guò)哈希函數(shù)切斷用戶(hù)身份與區(qū)塊鏈的聯(lián)系，保護(hù)用戶(hù)的身份隱私；在合約層交易時(shí)實(shí)現(xiàn)交易信息的加密可驗(yàn)證，保護(hù)用戶(hù)交易隱私。實(shí)驗(yàn)結(jié)果表明，本文方案在兼顧身份隱私保護(hù)和交易隱私保護(hù)的同時(shí)并沒(méi)有損失太多的效率，并且在保護(hù)隱私的同時(shí)能夠保證交易的正確性，在跨鏈隱私保護(hù)方面具有一定優(yōu)勢(shì)；但是具有一定的限制，未來(lái)的工作將會(huì)在本文方案的基礎(chǔ)上進(jìn)一步研究減少限制。

[1] 邵奇峰，金澈清，張召，等. 區(qū)塊鏈技術(shù)：架構(gòu)及進(jìn)展［J］. 計(jì)算機(jī)學(xué)報(bào)， 2018， 41（5）： 969-988.（SHAO Q F， JIN C Q， ZHANG Z， et al. Blockchain： architecture and research progress［J］. Chinese Journal of Computers， 2018， 41（5）： 969-988.）

[2] 黃征，李祥學(xué)，來(lái)學(xué)嘉，等. 區(qū)塊鏈技術(shù)及其應(yīng)用［J］. 信息安全研究， 2017， 3（3）：237-245.（HUANG Z， LI X X， LAI X J， et al. Blockchain technology and its application［J］. Journal of Information Security Research， 2017， 3（3）：237-245.）

[3] TRELEAVEN P， GENDAL BROWN R， YANG D. Blockchain technology in finance［J］. Computer， 2017， 50（9）：14-17.

[4] SHAHNAZ A， QAMAR U， KHALID A. Using blockchain for electronic health records［J］. IEEE Access， 2019， 7：147782-147795.

[5] PAL A， KANT K. Using blockchain for provenance and traceability in internet of things-integrated food logistics［J］. Computer， 2019， 52（12）： 94-98.

[6] 張志威，王國(guó)仁，徐建良，等. 區(qū)塊鏈的數(shù)據(jù)管理技術(shù)綜述［J］. 軟件學(xué)報(bào)， 2020， 31（9）：2903-2925.（ZHANG Z W， WANG G R， XU J L， et al. Survey on data management in blockchain systems［J］. Journal of Software， 2020， 31（9）：2903-2925.）

[7] 何帥，黃襄念，陳曉亮. 區(qū)塊鏈跨鏈技術(shù)發(fā)展及應(yīng)用研究綜述［J］. 西華大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2021， 40（3）：1-14.（HE S， HUANG X N， CHEN X L. The research summary of the development and application of blockchain cross-chain technology［J］. Journal of Xihua University （Natural Science Edition）， 2021， 40（3）：1-14.）

[8] 李芳，李卓然，趙赫. 區(qū)塊鏈跨鏈技術(shù)進(jìn)展研究［J］. 軟件學(xué)報(bào)， 2019， 30（6）：1649-1660.（LI F， LI Z R， ZHAO H. Research on the progress in cross-chain technology of blockchains［J］. Journal of Software， 2019， 30（6）：1649-1660.）

[9] ROBINSON P. Survey of crosschain communications protocols［J］. Computer Networks， 2021， 200： No.108488.

[10] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護(hù)研究綜述［J］. 計(jì)算機(jī)研究與發(fā)展， 2017， 54（10）：2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey on privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）： 2170-2186.）

[11] 王晨旭，程加成，桑新欣，等. 區(qū)塊鏈數(shù)據(jù)隱私保護(hù)：研究現(xiàn)狀與展望［J］. 計(jì)算機(jī)研究與發(fā)展， 2021， 58（10）：2099-2119.（WANG C X， CHENG J C， SANG X X， et al. Data privacy-preserving for blockchain： state of the art and trends［J］. Journal of Computer Research and Development， 2021， 58（10）：2099-2119.）

[12] 張奧，白曉穎. 區(qū)塊鏈隱私保護(hù)研究與實(shí)踐綜述［J］. 軟件學(xué)報(bào)， 2020， 31（5）：1406-1434.（ZHANG A， BAI X Y. Survey of research and practices on blockchain privacy protection［J］. Journal of Software， 2020， 31（5）：1406-1434.）

[13] 劉彥松，夏琦，李柱，等. 基于區(qū)塊鏈的鏈上數(shù)據(jù)安全共享體系研究［J］. 大數(shù)據(jù)， 2020， 6（5）：92-105.（LIU Y S， XIA Q， LI Z， et al. Research on secure data sharing system based on blockchain［J］. Big Data Research， 2020， 6（5）：92-105.）

[14] MAXWELL G. CoinJoin： Bitcoin privacy for the real world［EB/OL］. （2013-08-22） ［2022-05-03］.https：//bitcointalk.org/？topic=279249.

[15] BEN SASSON E， CHIESA A， GARMAN C， et al. Zerocash： decentralized anonymous payments from Bitcoin［C］// Proceedings of the 2014 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2014：459-474.

[16] MAXWELL G. Confidential transactions［EB/OL］. ［2022-09-15］.https：//elementsproject.org/features/confidential-transactions.

[17] NOETHER S， MACKENZIE A， Monero Research Lab. Ring confidential transactions［J］. Ledger， 2016， 1：1-18.

[18] 楊亞濤，蔡居良，張?bào)戕保? 基于SM9算法可證明安全的區(qū)塊鏈隱私保護(hù)方案［J］. 軟件學(xué)報(bào)， 2019， 30（6）：1692-1704.（YANG Y T， CAI J L， ZHANG X W， et al. Privacy preserving scheme in block chain with provably secure based on SM9 algorithm［J］. Journal of Software， 2019， 30（6）： 1692-1704.）

[19] 刁一晴，葉阿勇，張嬌美，等. 基于群簽名和同態(tài)加密的聯(lián)盟鏈雙重隱私保護(hù)方法［J］. 計(jì)算機(jī)研究與發(fā)展， 2022， 59（1）：172-181.（DIAO Y Q， YE A Y， ZHANG J M， et al. A dual privacy protection method based on group signature and homomorphic encryption for alliance blockchain［J］. Journal of Computer Research and Development， 2022， 59（1）：172-181.）

[20] 郭陽(yáng)楠，蔣文保，葉帥. 可監(jiān)管的區(qū)塊鏈匿名交易系統(tǒng)模型［J］. 計(jì)算機(jī)應(yīng)用， 2022， 42（9）：2757-2764.（GUO Y N， JIANG W B， YE S. Supervisable blockchain anonymous transaction system model［J］. Journal of Computer Applications， 2022， 42（9）：2757-2764.）

[21] 戴波，賴(lài)旬陽(yáng)，胡凱，等. 基于多角色節(jié)點(diǎn)的區(qū)塊鏈可擴(kuò)展方案研究與設(shè)計(jì)［J］. 浙江工業(yè)大學(xué)學(xué)報(bào)， 2021， 49（5）：487-493.（DAI B， LAI X Y， HU K， et al. Research and design of scalable blockchain scheme based on multi-role nodes［J］. Journal of Zhejiang University of Technology， 2021， 49（5）：487-493.）

[22] 郭佳程，寧德軍，李泱丞，等. 基于區(qū)塊鏈的可信分布式能源共享網(wǎng)絡(luò)研究［J］. 計(jì)算機(jī)工程， 2021， 47（3）：17-28.（GUO J C， NING D J， LI Y C， et al. Research on trusted distributed energy sharing network based on blockchain［J］. Computer Engineering， 2021， 47（3）：17-28.）

[23] 唐榆程. 基于區(qū)塊鏈的隱私保護(hù)技術(shù)的研究與應(yīng)用［D］. 成都：電子科技大學(xué)， 2021：15-41.（TANG Y C. Research and application of privacy protection technology based on blockchain［D］. Chengdu： University of Electronic Science and Technology of China， 2021：15-41.）

[24] 王宇. 基于跨區(qū)塊鏈的電子健康記錄隱私保護(hù)方案研究［D］. 成都：西華大學(xué)， 2021：15-40.（WANG Y. Research on privacy-preserving scheme of electronic health records based on cross-blockchain［D］. Chengdu： Xihua University， 2021：15-40.）

[25] 鄭建輝，林飛龍，陳中育，等. 基于聯(lián)盟自治的區(qū)塊鏈跨鏈機(jī)制［J］. 計(jì)算機(jī)應(yīng)用， 2022， 42（11）：3444-3457.（ZHENG J H， LIN F L， CHEN Z Y， et al. Federated-autonomy-based cross-chain scheme for blockchain［J］. Journal of Computer Applications， 2022， 42（11）：3444-3457.）

[26] 萬(wàn)哲驛. 基于零知識(shí)證明的區(qū)塊鏈數(shù)據(jù)隱私保護(hù)方法研究［D］. 重慶：重慶郵電大學(xué)， 2020：17-41.（WAN Z Y. Research on blockchain data privacy protection method based on zero knowledge proof［D］. Chongqing： Chongqing University of Posts and Telecommunications， 2020：17-41.）

[27] IMOTO S， SUDO Y， KAKUGAWA H， et al. Atomic cross-chain swaps with improved space and local time complexity［C］// Proceedings of the 2019 International Symposium on Stabilization， Safety， and Security of Distributed Systems， LNCS 11914. Cham： Springer， 2019：194-208.

[28] HERLIHY M. Atomic cross-chain swaps［C］// Proceedings of the 2018 ACM Symposium on Principles of Distributed Computing. New York： ACM， 2018：245-254.

[29] 蔡曉晴，鄧堯，張亮，等. 區(qū)塊鏈原理及其核心技術(shù)［J］. 計(jì)算機(jī)學(xué)報(bào)， 2021， 44（1）：84-131.（CAI X Q， DENG Y， ZHANG L， et al. The principle and core technology of blockchain［J］. Chinese Journal of Computers， 2021， 44（1）：84-131.）

[30] 袁勇，王飛躍. 區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望［J］. 自動(dòng)化學(xué)報(bào)， 2016， 42（4）：481-494.（YUAN Y， WANG F Y. Blockchain： the state of the art and future trends［J］. Acta Automatica Sinica， 2016， 42（4）：481-494.）

[31] PAILLIER P. Public-key cryptosystems based on composite degree residuosity classes［C］// Proceedings of the 1999 International Conference on the Theory and Applications of Cryptographic Techniques， LNCS 1592. Berlin： Springer， 1999： 223-238.

[32] HERLIHY M， LISKOV B， SHRIRA L. Cross-chain deals and adversarial commerce［J］. The VLDB Journal， 2022， 31（6）：1291-1039.

[33] ROBINSON P， RAMESH R， JOHNSON S. Atomic cross-chain transactions for Ethereum private sidechains［J］. Blockchain： Research and Applications， 2022， 3（1）：100030.

[34] 郭朝，郭帥印，張勝利，等. 區(qū)塊鏈跨鏈技術(shù)分析［J］. 物聯(lián)網(wǎng)學(xué)報(bào)， 2020， 4（2）：35-48.（GUO Z， GUO S Y， ZHANG S L， et al. Analysis of cross-chain technology of blockchain［J］. Chinese Journal on Internet of Things， 2020， 4（2）：35-48.）

[35] 路愛(ài)同，趙闊，楊晶瑩，等. 區(qū)塊鏈跨鏈技術(shù)研究［J］. 信息網(wǎng)絡(luò)安全， 2019（8）：83-90.（LU A T， ZHAO K， YANG J Y， et al. Research on cross-chain technology of blockchain［J］. Netinfo Security， 2019（8）：83-90.）

[36] SHAMIR A. Identity-based cryptosystems and signature schemes［C］// Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques， LNCS 196. Berlin： Springer， 1985：47-53.

[37] BONEH D， FRANKLIN M. Identity-based encryption from the Weil pairing［C］// Proceedings of the 2001 Annual International Cryptology Conference LNCS 2139. Berlin： Springer， 2001：213-229.

[38] SAKAI R. Cryptosystems based on pairing［C］// Proceedings of the 2000 Symposium on Cryptography and Information Security. Okinawa， Japan： ［S.n.］， 2000：26-28.

[39] 袁峰，程朝輝. SM9標(biāo)識(shí)密碼算法綜述［J］. 信息安全研究， 2016， 2（11）：1008-1027.（YUAN F， CHENG Z H. Overview on SM9 identity-based cryptographic algorithm［J］. Journal of Information Security Research， 2016， 2（11）：1008-1027.）

[40] WANG Q， WANG S， ZHANG P， et al. An achieving data exchange cross-chain alliance protocol［J］. Journal of Physics： Conference Series， 2019， 1213（4）： No.042037.

[41] WANG H， CEN Y， LI X. Blockchain router： a cross-chain communication protocol［C］// Proceedings of the 6th International Conference on Informatics， Environment， Energy and Applications. New York： ACM， 2017：94-97.

Cross-chain privacy protection scheme of consortium blockchain based on improved notary mechanism

GUO Xiaohan1，2，3*，YAO Zhongyuan1，2，3，ZHANG Yong1，2，3，GUO Shangkun1，2，3，WANG Chao1，2，3，SI Xueming1，3

（1，，450007，；2（），450001，；3（），450007，）

Cross-chain interaction of consortium blockchain not only enhances the function of the application of consortium blockchain， but also expands the scope of usage of the application， so that it is of great significance to the application promotion and industrial development of consortium blockchain. However， the cross-chain interaction of consortium blockchain still has the privacy disclosure problems of user identity and asset transaction information at present， which has become a major factor hindering the wide application of the cross-chain interaction technology of consortium blockchain. In view of the above problems， a cross-chain privacy protection scheme for consortium blockchain assets based on improved notary mechanism was proposed. In the scheme， a hash locking mechanism was introduced at the contract layer to improve the traditional single-signature notary cross-chain method at first， so as to reduce the risk of the traditional notary mechanism centralizing and doing evil. Then， the characteristics of homomorphic encryption were used to realize the usability and invisibility of transaction assets under the premise of ensuring the legitimacy of transactions. At the same time， the identity-based cryptographic algorithm of multi-Key Generation Center （KGC） mode was used to protect the user identity privacy at the network layer. The theoretical analysis and experimental results show that the proposed scheme has a good privacy protection effect on the user identity information and asset information in the cross-chain interaction of consortium blockchain， and this scheme has lower overhead in signature and verification than other similar schemes.

blockchain; notary; hash locking; homomorphic encryption; Identity-Based Cryptography (IBC); privacy protection

1001-9081（2023）10-3028-10

10.11772/j.issn.1001-9081.2022111641

2022?11?02；

2022?12?02；

河南省重大公益專(zhuān)項(xiàng)（201300210300）；河南省網(wǎng)絡(luò)密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室研究課題（LNCT2021?A14）；河南省科技攻關(guān)項(xiàng)目（222102210168）。

郭曉涵（1996—），男，河南鄭州人，碩士研究生，CCF會(huì)員，主要研究方向：區(qū)塊鏈； 姚中原（1988—），男，河南固始人，講師，博士，CCF會(huì)員，主要研究方向：密碼學(xué)、區(qū)塊鏈； 張勇（1995—），男，四川內(nèi)江人，碩士研究生，CCF會(huì)員，主要研究方向：區(qū)塊鏈； 郭尚坤（1998—），男，山東菏澤人，碩士研究生，CCF會(huì)員，主要研究方向：區(qū)塊鏈； 王超（1998—），男，河南林州人，碩士研究生，CCF會(huì)員，主要研究方向：區(qū)塊鏈； 斯雪明（1966—），男，浙江諸暨人，教授，CCF會(huì)員，主要研究方向：區(qū)塊鏈、網(wǎng)絡(luò)安全。

TP309； TP311.13

A

2022?12?13。

This work is partially supported by Major Public Welfare Project of Henan Province （201300210300）， Research Project of Henan Key Laboratory of Network Cryptography Technology （LNCT2021-A14）， Key Science and Technology Project of Henan Province （222102210168）.

GUO Xiaohan， born in 1996， M. S. candidate. His research interests include blockchain.

YAO Zhongyuan， born in 1988， Ph. D.， lecturer. His research interests include cryptology， blockchain.

ZHANG Yong， born in 1995， M. S. candidate. His research interests include blockchain.

GUO Shangkun， born in 1998， M. S. candidate. His research interests include blockchain.

WANG Chao， born in 1998， M. S. candidate. His research interests include blockchain.

SI Xueming， born in 1966， professor. His research interests include blockchain， cybersecurity.