基于可追蹤環(huán)簽名的聯(lián)盟鏈身份隱私保護(hù)方法

任正偉,余易晉

(1.武漢科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,湖北 武漢 430065;2.智能信息處理與實(shí)時(shí)工業(yè)系統(tǒng)湖北省重點(diǎn)實(shí)驗(yàn)室(武漢科技大學(xué)),湖北 武漢 430065)

0 引 言

區(qū)塊鏈具有去中心化、不可篡改和不可偽造等特點(diǎn),能夠應(yīng)用于很多領(lǐng)域[1]。目前,根據(jù)中心化程度的不同,區(qū)塊鏈主要可分為三類(lèi),即公有鏈、聯(lián)盟鏈和私有鏈。其中,公有鏈也被稱(chēng)為非許可鏈,用戶(hù)無(wú)需授權(quán)就可以參與其中。聯(lián)盟鏈和私有鏈也被稱(chēng)為許可鏈,用戶(hù)需要通過(guò)驗(yàn)證并獲得授權(quán)后才能加入到系統(tǒng)中[2]。相較于公有鏈,聯(lián)盟鏈具有處理事務(wù)快和隱私性強(qiáng)等優(yōu)點(diǎn);相較于私有鏈,聯(lián)盟鏈具有可擴(kuò)展性強(qiáng)和適用范圍廣等優(yōu)點(diǎn)。因此,聯(lián)盟鏈在商品溯源、供應(yīng)鏈管理和公共慈善等場(chǎng)景下都有廣泛的應(yīng)用[3]。

然而,在實(shí)際應(yīng)用中,區(qū)塊鏈用戶(hù)的身份隱私保護(hù)是一個(gè)亟待解決的問(wèn)題,雖然大部分區(qū)塊鏈都具有一定的匿名性,但是攻擊者仍能通過(guò)動(dòng)態(tài)監(jiān)聽(tīng)和靜態(tài)分析等方式獲得用戶(hù)的身份隱私[4]。即使在隱私性較強(qiáng)的聯(lián)盟鏈中,內(nèi)部的節(jié)點(diǎn)也可以使用地址聚類(lèi)[5]等去匿名化方法獲得用戶(hù)的身份隱私。此外,在聯(lián)盟鏈中,由于用戶(hù)的身份驗(yàn)證和授權(quán)是由中心機(jī)構(gòu)負(fù)責(zé)的,中心機(jī)構(gòu)完全掌握著用戶(hù)的身份信息,一旦中心機(jī)構(gòu)受到攻擊,用戶(hù)的身份隱私就會(huì)被泄漏。

對(duì)上述問(wèn)題,研究人員提出了一些方法以進(jìn)一步保護(hù)用戶(hù)的身份隱私。這些方法主要分為三類(lèi)：混合服務(wù)、環(huán)簽名和非交互式零知識(shí)證明[4]?；旌戏?wù)可以防止攻擊者通過(guò)分析將交易發(fā)送者或交易接收者相關(guān)聯(lián),從而獲得用戶(hù)的身份,但是需要有足夠多的用戶(hù)參與其中。而環(huán)簽名無(wú)需其它用戶(hù)參與,簽名者就可以生成隱藏其身份的簽名,但環(huán)簽名為用戶(hù)提供完全匿名性的身份保護(hù),這種完全匿名性會(huì)使得用戶(hù)的身份難以被追查。非交互式零知識(shí)證明可以在用戶(hù)不泄露額外信息的情況下證明自己的身份是有效的,其實(shí)現(xiàn)的也是用戶(hù)身份的完全匿名。

此外,研究者也提出了具有條件匿名性的群簽名方案。但是,在聯(lián)盟鏈中,群簽名的去匿名化依賴(lài)于中心機(jī)構(gòu),會(huì)使得用戶(hù)對(duì)于中心機(jī)構(gòu)不具有匿名性并且聯(lián)盟鏈的運(yùn)作依賴(lài)于中心機(jī)構(gòu),因此,群簽名也不能很好地保護(hù)聯(lián)盟鏈中用戶(hù)的身份隱私。

為此,該文提出了一種基于可追蹤環(huán)簽名的身份隱私保護(hù)方法,以保護(hù)聯(lián)盟鏈中用戶(hù)的身份隱私。該方法結(jié)合了可追蹤環(huán)簽名和實(shí)用拜占庭容錯(cuò)協(xié)議,利用可追蹤環(huán)簽名實(shí)現(xiàn)用戶(hù)身份的條件匿名性,既能保證包括中心機(jī)構(gòu)在內(nèi)的其他參與方不能獲得用戶(hù)的身份,又能在出現(xiàn)糾紛時(shí)揭露不誠(chéng)實(shí)方的身份。而且,在文中方法中,去匿名化是由聯(lián)盟鏈中的節(jié)點(diǎn)通過(guò)實(shí)用拜占庭容錯(cuò)協(xié)議來(lái)實(shí)現(xiàn)的,一方面使得中心機(jī)構(gòu)在此過(guò)程中也無(wú)法獲得用戶(hù)身份,另一方面也增加了系統(tǒng)的容錯(cuò)性?？偟膩?lái)說(shuō),該文基于上述問(wèn)題能夠?qū)崿F(xiàn)以下改進(jìn)：

(1)利用可追蹤環(huán)簽名實(shí)現(xiàn)用戶(hù)身份的條件匿名性,并將中心機(jī)構(gòu)去匿名化的權(quán)利交給聯(lián)盟鏈中的節(jié)點(diǎn),使其無(wú)法將匿名交易和用戶(hù)的真實(shí)身份關(guān)聯(lián)起來(lái)。

(2)增加了檢測(cè)機(jī)制,保證了只有交易相關(guān)節(jié)點(diǎn)才能提出去匿名化請(qǐng)求,并且惡意的去匿化請(qǐng)求會(huì)被檢測(cè),提高了方案的安全性。

(3)匿名交易的去匿名化交由聯(lián)盟鏈中節(jié)點(diǎn)使用實(shí)用拜占庭容錯(cuò)來(lái)完成,既讓中心機(jī)構(gòu)減少了資源消耗,也保證了它無(wú)法發(fā)揮功能時(shí)系統(tǒng)能夠繼續(xù)運(yùn)行,增加了系統(tǒng)的容錯(cuò)性。

1 相關(guān)工作

由于區(qū)塊鏈給用戶(hù)身份隱私提供的保護(hù)是有限度的,已有研究工作提出了區(qū)塊鏈中用戶(hù)的身份隱私保護(hù)方法。例如,在近幾年被納入到區(qū)塊鏈體系中用來(lái)保護(hù)用戶(hù)的身份隱私的混合服務(wù),主要分為兩類(lèi)：集中式和分布式。在集中式混合服務(wù)方案中,混合服務(wù)是由混合服務(wù)提供商充當(dāng)?shù)幕旌掀魍瓿?Mixcoin[6]解決了混合服務(wù)提供商可能由攻擊者假扮來(lái)竊取用戶(hù)資產(chǎn)的問(wèn)題,但是存在混合服務(wù)提供商會(huì)泄露用戶(hù)身份的問(wèn)題。為此,Blindcoin[7]使用盲簽名來(lái)防止混合服務(wù)提供商獲得混合服務(wù)中輸入地址和輸出地址的關(guān)聯(lián)。盡管如此,集中式混合服務(wù)仍然存在需要等待足夠的用戶(hù)參與混合服務(wù)而導(dǎo)致交易延遲增加、混合服務(wù)提供商易受攻擊以及需要提交手續(xù)費(fèi)等問(wèn)題;在分布式混合服務(wù)中,交易的參與者之間自行協(xié)商混合服務(wù)的細(xì)節(jié),Coinjoin[8]避免了集中式混合服務(wù)中混合服務(wù)提供商易受攻擊和需要支付手續(xù)費(fèi)的問(wèn)題,然而參與者知道混合服務(wù)中地址配對(duì)的詳細(xì)信息,并且其能夠通過(guò)提供虛假交易信息來(lái)妨礙混合服務(wù)的正常進(jìn)行[3]。Coinshuffle[9]和XIM[10]以匿名通信的方式解決了地址配對(duì)泄露的問(wèn)題,但是參與者仍可以妨礙混合服務(wù)的正常進(jìn)行。最重要的是這些混合服務(wù)都需要等待定量的參與者才能進(jìn)行。

而可以自主生成的環(huán)簽名[11]和非交互式零知識(shí)證明[12]能夠解決上述問(wèn)題。文獻(xiàn)[13]使用環(huán)簽名來(lái)保護(hù)用戶(hù)的身份隱私,然而環(huán)簽名由于其不可鏈接性和完全匿名性容易產(chǎn)生一票多投和雙重花費(fèi)等安全問(wèn)題。使用非交互式零知識(shí)證明的區(qū)塊鏈Zerocoin[14],主要思想是用戶(hù)首先鑄造一枚硬幣,然后用一枚沒(méi)有歷史使用記錄的硬幣來(lái)代替,并使用非交互式零知識(shí)證明保證硬幣的有效性,但是Zerocoin局限于通過(guò)防止攻擊者分析用戶(hù)的資金流向來(lái)獲取用戶(hù)的身份。此外,由于環(huán)簽名和非交互式零知識(shí)證明為用戶(hù)提供完全匿名性,不適合需要監(jiān)管的聯(lián)盟鏈。根據(jù)聯(lián)盟鏈所需的匿名程度來(lái)看,具有條件匿名性的群簽名比較適合。文獻(xiàn)[15]使用群簽名保護(hù)聯(lián)盟鏈中用戶(hù)的身份隱私,但是該方案中群簽名的驗(yàn)證以及用戶(hù)的追蹤依賴(lài)于中心機(jī)構(gòu)(群管理員),并且中心機(jī)構(gòu)能夠自主對(duì)用戶(hù)的群簽名去匿名化,系統(tǒng)的容錯(cuò)性和安全性較低。

與群簽名類(lèi)似的還有可追蹤環(huán)簽名,其分為主動(dòng)追蹤和被動(dòng)追蹤。主動(dòng)可追蹤環(huán)簽名以文獻(xiàn)[16]提出的自可追溯性為起點(diǎn),用戶(hù)可以提供相關(guān)數(shù)據(jù)證明自己是真正的簽名者,也可以由可信第三方[17]或者接收者[18]收集環(huán)成員的相關(guān)數(shù)據(jù)來(lái)對(duì)可追蹤環(huán)簽名去匿名化。在區(qū)塊鏈身份隱私保護(hù)方案[19]中,去匿名化的請(qǐng)求由用戶(hù)提出,中心機(jī)構(gòu)(審計(jì)節(jié)點(diǎn))進(jìn)行去匿名化,這可能導(dǎo)致用戶(hù)惡意提出去匿名化請(qǐng)求來(lái)暴露目標(biāo)用戶(hù)的真實(shí)身份,而且如果中心機(jī)構(gòu)受到攻擊或者產(chǎn)生錯(cuò)誤,系統(tǒng)無(wú)法正常運(yùn)行。在區(qū)塊鏈身份隱私保護(hù)方案[20]中,去匿名化的請(qǐng)求由第三方提出,中心機(jī)構(gòu)(審計(jì)節(jié)點(diǎn))進(jìn)行去匿名化,雖然能夠防止用戶(hù)惡意提出去匿名化請(qǐng)求,但是系統(tǒng)的運(yùn)行也依賴(lài)中心機(jī)構(gòu)。此外,在文獻(xiàn)[19-20]方案中,中心機(jī)構(gòu)也能夠自主對(duì)可追蹤環(huán)簽名去匿名化。被動(dòng)可追蹤環(huán)簽名[21]在一定的條件下用戶(hù)的簽名會(huì)被鏈接或者被追蹤,支持多種電子貨幣的應(yīng)用層協(xié)議Cryptonote[22]就使用了修改后的可追蹤環(huán)簽名來(lái)保護(hù)用戶(hù)的身份隱私。與之類(lèi)似的還有使用多層可鏈接自發(fā)組簽名[23]的門(mén)羅幣[24],然而,針對(duì)這類(lèi)被動(dòng)可追蹤環(huán)簽名,惡意用戶(hù)可以針對(duì)同一事件發(fā)表多個(gè)具有相同意見(jiàn)的簽名來(lái)發(fā)起拒絕服務(wù)攻擊,使其它節(jié)點(diǎn)忙于驗(yàn)證簽名,而惡意用戶(hù)的身份不會(huì)因此暴露[25]。

2 方案設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)

文中方案包括三個(gè)參與方,分別是用戶(hù)、中心機(jī)構(gòu)和聯(lián)盟鏈節(jié)點(diǎn),其架構(gòu)以及主要流程如圖1所示。用戶(hù)在聯(lián)盟鏈中的活動(dòng)以節(jié)點(diǎn)的身份進(jìn)行,在聯(lián)盟鏈之外的活動(dòng)以用戶(hù)的身份進(jìn)行。

圖1 系統(tǒng)架構(gòu)

(1)用戶(hù)。

用戶(hù)依據(jù)聯(lián)盟鏈的規(guī)則生成自己的公私鑰對(duì),然后通過(guò)安全信道將自己的真實(shí)身份和公鑰提交給中心機(jī)構(gòu)。當(dāng)用戶(hù)通過(guò)中心機(jī)構(gòu)的認(rèn)證后,中心機(jī)構(gòu)將給予用戶(hù)聯(lián)盟鏈中的虛擬身份,用戶(hù)則作為節(jié)點(diǎn)加入到聯(lián)盟鏈中。

(2)中心機(jī)構(gòu)。

中心機(jī)構(gòu)負(fù)責(zé)驗(yàn)證用戶(hù)的真實(shí)身份,為合法用戶(hù)生成聯(lián)盟鏈中的虛擬身份,并將用戶(hù)的虛擬身份與公鑰對(duì)應(yīng)后廣播至聯(lián)盟鏈中。此外,中心機(jī)構(gòu)還需要定期從聯(lián)盟鏈中獲取節(jié)點(diǎn)信息表,并處理其中因失信行為而被注銷(xiāo)的用戶(hù)。

(3)節(jié)點(diǎn)。

節(jié)點(diǎn)負(fù)責(zé)維護(hù)聯(lián)盟鏈以及維護(hù)記錄了所有節(jié)點(diǎn)狀態(tài)的節(jié)點(diǎn)信息表。此外,節(jié)點(diǎn)之間通過(guò)可追蹤環(huán)簽名進(jìn)行匿名交易,并在出現(xiàn)糾紛時(shí)對(duì)交易進(jìn)行去匿名化。

2.2 安全假設(shè)

(1)文中方案安全性模型的成立依賴(lài)于離散對(duì)數(shù)問(wèn)題(Discrete Logarithm,DL)和Computational Diffie-Hellman(CDH)問(wèn)題。

(2)中心機(jī)構(gòu)是不可信的。中心機(jī)構(gòu)可能會(huì)被攻擊者利用來(lái)破壞用戶(hù)的身份隱私。

(3)用戶(hù)與中心機(jī)構(gòu)之間,節(jié)點(diǎn)與節(jié)點(diǎn)之間存在由相互之間的公私鑰加解密建立的安全信道。

2.3 方案構(gòu)造

文中方案包括四個(gè)階段：用戶(hù)注冊(cè)、匿名交易、糾紛解決和用戶(hù)注銷(xiāo)。

在注冊(cè)階段,用戶(hù)向中心機(jī)構(gòu)提供真實(shí)身份和公鑰,并在通過(guò)驗(yàn)證后加入到聯(lián)盟鏈中成為節(jié)點(diǎn)。在交易階段,節(jié)點(diǎn)通過(guò)可追蹤環(huán)簽名和實(shí)用拜占庭容錯(cuò)協(xié)議進(jìn)行匿名交易。在糾紛解決階段,節(jié)點(diǎn)通過(guò)實(shí)用拜占庭容錯(cuò)協(xié)議進(jìn)行去匿名化操作,以揭露和記錄失信節(jié)點(diǎn)。在注銷(xiāo)階段,節(jié)點(diǎn)廣播注銷(xiāo)消息以退出聯(lián)盟鏈。

2.3.1 注 冊(cè)

圖2 用戶(hù)注冊(cè)流程

中心機(jī)構(gòu)在驗(yàn)證用戶(hù)的真實(shí)身份和公鑰的合法性后,為用戶(hù)i生成虛擬身份vidi,并保存用戶(hù)i的真實(shí)身份和vidi的映射,然后為用戶(hù)的虛擬身份和公鑰生成簽名SigskCA(vidi‖pki)‖H(vidi‖pki),并將該簽名廣播到聯(lián)盟鏈中。

聯(lián)盟鏈中的各個(gè)節(jié)點(diǎn)在驗(yàn)證上述簽名的有效性后,將(vidi,pki,online,null)加入到各自維護(hù)的節(jié)點(diǎn)信息表中。至此,用戶(hù)i加入聯(lián)盟鏈中成為節(jié)點(diǎn)i。

2.3.2 匿名交易

節(jié)點(diǎn)在聯(lián)盟鏈中實(shí)現(xiàn)匿名交易的過(guò)程如圖3所示。當(dāng)節(jié)點(diǎn)a和節(jié)點(diǎn)b要進(jìn)行匿名交易時(shí),a和b首先通過(guò)安全信道協(xié)商交易m并交換各自對(duì)m的簽名,然后a計(jì)算M=RSigA(m)‖H(Sigska(m)‖Sigskb(m))。其中,RSigA(m)表示a在環(huán)A上用可追蹤環(huán)簽名對(duì)交易m的簽名,Sigska(m)為a對(duì)m的簽名,Sigskb(m)為b對(duì)m的簽名。接著,a使用實(shí)用拜占庭容錯(cuò)協(xié)議將M上傳到聯(lián)盟鏈,并將實(shí)用拜占庭容錯(cuò)預(yù)準(zhǔn)備階段中的驗(yàn)證簽名的步驟改為驗(yàn)證可追蹤環(huán)簽名。

圖3 基于可追蹤環(huán)簽名的匿名交易過(guò)程

b獲得聯(lián)盟鏈上的M后,驗(yàn)證M的正確性,若驗(yàn)證未通過(guò),則終止與a的交易,若驗(yàn)證通過(guò),則計(jì)算M'=RSigB(m)‖H(Sigska(m)‖Sigskb(m)),表示b在環(huán)B上用可追蹤環(huán)簽名對(duì)交易m的簽名,并使用實(shí)用拜占庭容錯(cuò)協(xié)議將M'上傳至聯(lián)盟鏈。至此,a和b分別以環(huán)A和環(huán)B的身份開(kāi)始遵守交易m。

節(jié)點(diǎn)a生成RSigA(m)的具體過(guò)程如下：

(1)選擇環(huán)成員L={vid1,vid2,…,vidn}(包括vida)。

Ri=xiP(i=1,2,…,n,i≠a),Ti=tiP。

(4)計(jì)算hi=H(m,T,Ri)(i=1,2,…,n,i≠a)。

(6)計(jì)算ha=H(m,T,Ra),Z=(xa+ha)ska。

(7)RSigA(m)=(m,Z,Ri,TKi,T,L)(i=1,2,…,n)。

2.3.3 解決糾紛

當(dāng)a和b產(chǎn)生爭(zhēng)議時(shí),假設(shè)聯(lián)盟鏈有3f+1個(gè)節(jié)點(diǎn),并且由a提出仲裁申請(qǐng),a令N=Sigska(m)‖Sigskb(m)。整個(gè)解決糾紛的流程可以分為預(yù)準(zhǔn)備階段、準(zhǔn)備階段和確認(rèn)階段,具體過(guò)程如下：

(1)預(yù)準(zhǔn)備階段。

預(yù)準(zhǔn)備階段主要分為預(yù)準(zhǔn)備階段1和預(yù)準(zhǔn)備階段2,預(yù)準(zhǔn)備階段1主要是a向其它節(jié)點(diǎn)提出去匿名化請(qǐng)求的過(guò)程,預(yù)準(zhǔn)備階段2主要是各個(gè)節(jié)點(diǎn)之間交換對(duì)可追蹤環(huán)簽名進(jìn)行去匿名化所需信息的過(guò)程。

①預(yù)準(zhǔn)備階段1。

a廣播<N>,其中,Pre-prepare-first表示預(yù)準(zhǔn)備階段1,view是視圖編號(hào),count是序列號(hào)。

a之外的節(jié)點(diǎn)在收到該預(yù)準(zhǔn)備消息后,驗(yàn)證視圖(view)、序列號(hào)(count)和H(N)的正確性,并且H(N)已記錄在聯(lián)盟鏈上,才會(huì)接受預(yù)準(zhǔn)備消息。如果節(jié)點(diǎn)不接受第一階段的預(yù)準(zhǔn)備消息則什么都不做。

②預(yù)準(zhǔn)備階段2。

接受第一階段預(yù)準(zhǔn)備消息的節(jié)點(diǎn)根據(jù)H(N)匹配聯(lián)盟鏈上的M和M',檢查M中的環(huán)成員L和M'中的環(huán)成員L'來(lái)判斷自己是否為環(huán)A或環(huán)B的成員。若節(jié)點(diǎn)既不是環(huán)A的成員也不是環(huán)B的成員,則什么都不做。

當(dāng)e(J,pki)=e(T,P)時(shí),各個(gè)節(jié)點(diǎn)可以得出pka,當(dāng)e(K,pkj)=e(T',P)時(shí),各個(gè)節(jié)點(diǎn)可以得出pkb,然后節(jié)點(diǎn)根據(jù)聯(lián)盟鏈上的m判斷是b違約還是a惡意提出去匿名化請(qǐng)求,最后將判斷結(jié)果記錄為E。

(1)

(2)

(2)準(zhǔn)備階段。

如果節(jié)點(diǎn)不接受預(yù)準(zhǔn)備消息則什么都不做,而接受了預(yù)準(zhǔn)備消息的節(jié)點(diǎn)k向其它節(jié)點(diǎn)廣播<Sigskk(E)‖H(E)‖pkk>。由于預(yù)準(zhǔn)備階段被用來(lái)收集去匿名化所需的數(shù)據(jù),a無(wú)法在預(yù)準(zhǔn)備階段就表達(dá)自己的意見(jiàn),所以a參與發(fā)送準(zhǔn)備消息。其中,Prepare表示準(zhǔn)備階段,Sigskk(E)表示k使用私鑰skk對(duì)E進(jìn)行簽名,pkk為k的公鑰。

收到準(zhǔn)備消息的節(jié)點(diǎn)驗(yàn)證視圖(view)、序列號(hào)(count)和H(N)的正確性以及簽名Sigskk(E)的合法性。當(dāng)節(jié)點(diǎn)在收到2f個(gè)與其接受的預(yù)準(zhǔn)備消息對(duì)應(yīng)的準(zhǔn)備消息后(相同的視圖(view)、序列號(hào)(count)和H(N)),將這2f+1個(gè)準(zhǔn)備消息(包括自己)寫(xiě)入臨時(shí)日志中,在2f+1個(gè)準(zhǔn)備消息中至少有f+1個(gè)(包括自己)相同的為真。

(3)確認(rèn)階段。

如果節(jié)點(diǎn)不接受預(yù)準(zhǔn)備消息則什么都不做,接受了準(zhǔn)備消息的節(jié)點(diǎn)k向其它節(jié)點(diǎn)廣播自己準(zhǔn)備階段判斷為真的消息對(duì)應(yīng)的確認(rèn)消息<Sigskk(E)‖H(E)‖pkk>。其中,Commit表示確認(rèn)階段,Sigskk(E)表示k使用私鑰skk對(duì)E進(jìn)行簽名,pkk為k的公鑰。

收到確認(rèn)消息的各個(gè)節(jié)點(diǎn)驗(yàn)證視圖(view)、序列號(hào)(count)和H(N)的正確性以及簽名Sigskk(E)的合法性。當(dāng)節(jié)點(diǎn)在收到2f個(gè)與其接受的準(zhǔn)備消息所對(duì)應(yīng)的確認(rèn)消息后,將這2f+1個(gè)確認(rèn)消息(包括自己)寫(xiě)入臨時(shí)日志中,在2f+1個(gè)確認(rèn)消息中至少有f+1個(gè)(包括自己)相同的為真。

最后,每個(gè)節(jié)點(diǎn)根據(jù)臨時(shí)日志中的內(nèi)容對(duì)各自的節(jié)點(diǎn)信息表進(jìn)行修改,如果是b違約,則修改節(jié)點(diǎn)信息表中b所對(duì)應(yīng)的映射為(vidb,pkb,offline, default),如果是a惡意提出去匿名化請(qǐng)求,則修改節(jié)點(diǎn)信息表中a所對(duì)應(yīng)的映射為(vida,pka,offline, default),其中offline表示用戶(hù)從聯(lián)盟鏈中注銷(xiāo),default表示用戶(hù)因?yàn)槭判袨槎N(xiāo)。整個(gè)解決糾紛階段的流程如圖4所示。

圖4 用戶(hù)解決糾紛流程

2.3.4 注 銷(xiāo)

當(dāng)節(jié)點(diǎn)k退出聯(lián)盟鏈,則廣播Sigskk(logout‖vidk)‖H(logout‖vidk)‖pkk,其中,Sigskk(logout‖vidk)表示k用私鑰skk對(duì)logout‖vidk簽名,logout表示注銷(xiāo)消息,vidk表示k的虛擬身份,pkk表示k的公鑰。

其它節(jié)點(diǎn)在驗(yàn)證上述簽名的合法性后,將節(jié)點(diǎn)信息表中k對(duì)應(yīng)的映射由(vidk,pkk,online,null)改為(vidk,pkk,offline,null)。

因?yàn)楣?jié)點(diǎn)信息表由聯(lián)盟鏈中的節(jié)點(diǎn)共同維護(hù),所以中心機(jī)構(gòu)只需要定期向一定數(shù)量的隨機(jī)節(jié)點(diǎn)請(qǐng)求節(jié)點(diǎn)信息表,并通過(guò)對(duì)比節(jié)點(diǎn)信息表和自己本地保存的用戶(hù)真實(shí)身份和虛擬身份的映射,找到該節(jié)點(diǎn)對(duì)應(yīng)用戶(hù)的真實(shí)身份。

如果表中節(jié)點(diǎn)是正常注銷(xiāo),中心機(jī)構(gòu)將刪除該節(jié)點(diǎn)對(duì)應(yīng)用戶(hù);如果表中節(jié)點(diǎn)是因?yàn)檫`規(guī)行為而注銷(xiāo),中心機(jī)構(gòu)將通過(guò)該節(jié)點(diǎn)對(duì)應(yīng)用戶(hù)的真實(shí)身份來(lái)對(duì)用戶(hù)進(jìn)行處罰。

3 方案分析

首先對(duì)文中方案進(jìn)行了正確性分析、可追蹤性分析和安全性分析,然后將文中方案與其它方案進(jìn)行對(duì)比。

3.1 正確性

以驗(yàn)證RSigA(m)為例,在交易階段中,各個(gè)節(jié)點(diǎn)通過(guò)公式3來(lái)驗(yàn)證可追蹤環(huán)簽名的合法性。

(3)

若公式3成立,則驗(yàn)證通過(guò),判斷的過(guò)程如下所示：

在解決糾紛的預(yù)準(zhǔn)備階段2中,每個(gè)節(jié)點(diǎn)驗(yàn)證Ti的有效性,具體過(guò)程如下所示：

e(TKi,P)=e(tiriP,P)=e(tiP,riP)=e(Ti,pki)

3.2 可追蹤性

以得出環(huán)A中真正簽名者節(jié)點(diǎn)a的公鑰為例,在解決糾紛中的預(yù)準(zhǔn)備階段2中,節(jié)點(diǎn)使用環(huán)中成員的公鑰pki驗(yàn)證等式e(J,pki)=e(T,P),其中T由公式4給出,該公式再生成RSigA(m)的第3步。

(4)

當(dāng)i=a時(shí),上式成立,pka即為可追蹤環(huán)簽名中真正簽名者的公鑰,具體過(guò)程如下所示：

3.3 安全性

文中方案使用已經(jīng)被證明能夠增加用戶(hù)匿名性的可追蹤環(huán)簽名[17-18]來(lái)防止地址聚類(lèi)等分析方法的去匿名化攻擊,并且通過(guò)新增檢測(cè)機(jī)制和結(jié)合實(shí)用拜占庭容錯(cuò)得到以下兩種新的安全特性。

(1)防止節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求。

為了防止交易無(wú)關(guān)節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求,在交易階段,節(jié)點(diǎn)通過(guò)安全信道交換各自對(duì)交易的簽名,即只有交易相關(guān)節(jié)點(diǎn)擁有對(duì)交易的簽名。在解決糾紛階段,申請(qǐng)對(duì)可追蹤環(huán)簽名去匿名化的節(jié)點(diǎn)必須提交所有交易相關(guān)節(jié)點(diǎn)的簽名,聯(lián)盟鏈中的其它節(jié)點(diǎn)才會(huì)接受該節(jié)點(diǎn)的去匿名化請(qǐng)求。

為了防止交易相關(guān)節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求,在解決糾紛階段,去匿名化將會(huì)應(yīng)用于所有交易相關(guān)節(jié)點(diǎn),如果交易相關(guān)節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求,將會(huì)被其它節(jié)點(diǎn)通過(guò)交易內(nèi)容判斷為失信節(jié)點(diǎn)并記錄在節(jié)點(diǎn)信息表中,最后受到中心機(jī)構(gòu)的處罰。

(2)對(duì)中心機(jī)構(gòu)匿名。

由于文中方案使用可追蹤環(huán)簽名并且限定只有交易相關(guān)節(jié)點(diǎn)才能提出去匿名化請(qǐng)求,中心機(jī)構(gòu)沒(méi)有權(quán)利自主對(duì)用戶(hù)的可追蹤環(huán)簽名進(jìn)行去匿名化操作,也無(wú)法向環(huán)成員提出去匿名化請(qǐng)求,所以用戶(hù)對(duì)于中心機(jī)構(gòu)是匿名的。

3.4 方案對(duì)比

文中方案將可追蹤環(huán)簽名與實(shí)用拜占庭容錯(cuò)結(jié)合,既能保護(hù)用戶(hù)的身份隱私,也能保證較好的容錯(cuò)性和安全性。

總的來(lái)說(shuō),相較于文獻(xiàn)[13,22]的方案,文中方案具有條件匿名性,可以防止雙花攻擊和拒絕服務(wù)攻擊;相較于文獻(xiàn)[15,19-20]的方案,文中方案能同時(shí)滿(mǎn)足防止節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求和對(duì)中心機(jī)構(gòu)(群管理員和審計(jì)節(jié)點(diǎn))匿名兩種安全特性,并且擁有較高的容錯(cuò)率。表1是文中方案與其它身份隱私保護(hù)方案的對(duì)比。

表1 文中方案與其它方案的對(duì)比

4 實(shí)驗(yàn)及分析

4.1 實(shí)驗(yàn)環(huán)境

文中方案的實(shí)驗(yàn)環(huán)境：CPU為Intel(R) Core(TM) i7-7700HQ,主頻為2.80 GHz,2.00 GB內(nèi)存,操作系統(tǒng)為Ubuntu 21.10,編程語(yǔ)言為C語(yǔ)言,使用的PBC庫(kù)版本號(hào)為0.5.14。

4.2 實(shí)驗(yàn)結(jié)果及分析

本節(jié)測(cè)量了四種具有條件匿名性的身份隱私保護(hù)方案中系統(tǒng)初始化的時(shí)間以及在不同節(jié)點(diǎn)數(shù)量的環(huán)或群中,系統(tǒng)初始化、生成簽名、驗(yàn)證簽名和追蹤簽名所需的總時(shí)間。

現(xiàn)定義符號(hào)TE表示模冪運(yùn)算的時(shí)間,TM表示模乘運(yùn)算的時(shí)間,TZr表示初始化模r整數(shù)環(huán)的時(shí)間,TG表示初始化G1群的時(shí)間。

(1)系統(tǒng)初始化。

表2展示了在系統(tǒng)初始化階段,各個(gè)方案所需的理論時(shí)間和具體時(shí)間。

表2 系統(tǒng)初始化所需的時(shí)間

其中,文中方案和文獻(xiàn)[15]方案由用戶(hù)根據(jù)系統(tǒng)生成的公共參數(shù)自行生成公私鑰,其理論時(shí)間是固定不變并且所需時(shí)間較少,而文獻(xiàn)[19-20]方案由用戶(hù)根據(jù)系統(tǒng)使用秘密共享生成公共參數(shù)來(lái)生成公私鑰,其所需時(shí)間與秘密共享參數(shù)(t,n)的設(shè)置有關(guān),秘密共享參數(shù)(t,n)表示n個(gè)節(jié)點(diǎn)的系統(tǒng)中需要t個(gè)節(jié)點(diǎn)合作才能共享秘密。此次實(shí)驗(yàn)中,為了便于測(cè)量文獻(xiàn)[19-20]方案的秘密共享參數(shù)設(shè)置為(3,5),遠(yuǎn)小于實(shí)際情況下的參數(shù)設(shè)置。

(2)總時(shí)間。

圖5展示了文中方案、文獻(xiàn)[15,19-20]方案這四個(gè)具有條件匿名性的身份隱私保護(hù)方案在不同數(shù)量的環(huán)(群)節(jié)點(diǎn)的情況下,系統(tǒng)初始化、生成簽名、驗(yàn)證簽名和追蹤簽名所需的總時(shí)間。

圖5 具有條件匿名性的四個(gè)方案的總時(shí)間

雖然文中方案與文獻(xiàn)[19-20]方案使用的都是可追蹤環(huán)簽名,但是文中方案在系統(tǒng)初始化時(shí)間上小于文獻(xiàn)[19-20]方案,所以文中方案所需的總時(shí)間較小,而且文中方案相較于文獻(xiàn)[19-20]方案新增了防止節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求的安全特性。

雖然文中方案相較于文獻(xiàn)[15]方案需要花費(fèi)較多時(shí)間,但是文中方案對(duì)中心機(jī)構(gòu)具有匿名性,并減少了中心機(jī)構(gòu)的任務(wù),具有更高的安全性和容錯(cuò)性。

5 結(jié)束語(yǔ)

針對(duì)聯(lián)盟鏈中現(xiàn)有的用戶(hù)身份隱私保護(hù)方案不夠完善的問(wèn)題,將可追蹤環(huán)簽名和實(shí)用拜占庭容錯(cuò)結(jié)合并運(yùn)用于聯(lián)盟鏈中用戶(hù)的身份隱私保護(hù)上,不僅能夠保證聯(lián)盟鏈中的用戶(hù)對(duì)于其它用戶(hù)和中心機(jī)構(gòu)都具有條件匿名性,還添加了防止節(jié)點(diǎn)惡意提出去匿名化請(qǐng)求的特性,增加了系統(tǒng)的安全性,并且通過(guò)結(jié)合實(shí)用拜占庭容錯(cuò),增加了系統(tǒng)的容錯(cuò)性。理論和實(shí)驗(yàn)表明,該方案既能夠保護(hù)用戶(hù)的身份隱私,又能保證較高的安全性和容錯(cuò)性,并且時(shí)間開(kāi)銷(xiāo)較為合理。