CN110445603B - 一种去中心化随机数生成方法 - Google Patents

Abstract

本发明公开了一种去中心化随机数生成方法，包括多轮随机数计算和生成，每一轮随机数计算和生成包括以下步骤：步骤1、系统初始化如下参数；步骤2、参与者计算本轮原始随机数和本轮最终哈希值h₂；步骤3、系统对所有参与者进行合法性验证，非法则返回步骤1，合法则转至步骤4；步骤4：生成供用户使用的随机数。本发明所述去中心化随机数生成方法由于引入了幸运值概念，并对参与者计算的合法性进行验证，最后再经过延迟计算才生成最终的供用户使用的随机数，能够实现任意参与者都无法预测、无法控制、可公开验证的去中心化随机数生成，实现了真正意义上的随机性。

Description

一种去中心化随机数生成方法

技术领域

本发明涉及一种随机数生成方法，尤其涉及一种去中心化随机数生成方法。

背景技术

随机数应用广泛，比如游戏抽奖、车牌摇号、政府抽查、防伪码或验证码的生成等。随机数是专门的随机试验结果，其最重要的特性是：它所产生的后面的那个数与前面的那个数毫无关系。

随着互联网的发展，人们对随机数的运用更多依赖中心化系统，但几乎所有的中心化系统生成的随机数都是伪随机数，不是真正意义上的随机数，存在着极高的作弊风险。

由于中心化系统生成的随机数存在着极高的作弊风险，所以现在已经有很多去中心化系统诞生，比如区块链技术。由于区块链技术的去中心化特性，理论上能产生比中心化系统更公平的随机数，但是在去中心化环境里，如果出现巨额利益，随机数反而比中心化系统更容易遭受黑客攻击。事实上，区块链要求各个节点的运算结果是一致的，在区块链系统内部天生不具备生成随机数的能力。目前有些基于智能合约的方案生成随机数如Randao，但其涉及到过于复杂的激励机制的设计，同时无法解决最后一轮参与者的作弊问题。

随着人们对随机数的公正性的需求越来越强烈，也即随机数生成方案必须满足不可预测性、不可控制性和可公开验证的特性。目前也有一些技术方案在做这方面的尝试，这里详细描述目前最为大众熟知的两种方案Commit Reveal和BLS，目前其他的一些方案基本都是这两种方案的增强或组合。

使用Commit Reveal方案将整个随机数的生成过程分为三个阶段：

1、收集有效sha3(s)：所有参与者在指定的时间窗口期内随意挑选数字s并计算sha3(s)；

2、收集有效s：所有成功提交sha3(s)的参与者在第一阶段结束后，在第二阶段指定的时间窗口期内发送各自在第一阶段选择的数字s，系统检查s是否合格也即计算sha3(s)是否与第一阶段提交的一致；

3、计算随机数：全部s收集完成后，计算f(s1,s2,...,sn)作为最终的随机数。

该方案的核心思想是利用哈希函数的单向性。

另外BLS机制的核心思想是构造BLS签名，N个成员组成一个组，一个组有一个逻辑上的私钥S(使用S对消息签名的结果记为SIG，S对应的公钥记为P)，而每个成员i只拥有这个私钥的一部分si，完整的私钥S不存在于任何人手中，没人能直接计算出SIG。签名时，每个人用自己的私钥si对一个消息签名得到sigi，只有收集了k个(某个预先设置的阈值)成员的签名，才能计算出签名SIG。

BLS签名的核心特征是私钥S由全网共同决定，但S的真实值不会出现在任何计算过程中，除非全组所有成员串通，否则无法得到S。

上述Commit Reveal和BLS方案都存在缺陷，具体如下：

Commit Reveal机制的核心依赖于一个区块链的智能合约系统，存在着如下无法解决的问题：

1、现有的所有区块链系统都是由一个叫矿池的中心化组织在控制，如果随机数一旦涉及到巨大利益，矿池势必会破坏或控制系统的随机数生成机制；

2、生成速度慢，从请求开始到生成随机数，至少需要10多个区块的时间，同时需要参与者多次发送交易且提交数据，其生成时间过长且生成成本过高；

3、由于智能合约的执行过程是顺序的，最后一轮的最后一个参与者在面临对自己不利的随机数结果时，完全有理由放弃参与权。

BLS方案的生成过程是在链外进行，相应的响应速度较快，但是其具有较高的中心化特征，如初始参数的生成和分发过程是中心化的；参与节点一旦确定之后，就不会变化；在利益面前，参与者是完全可能结盟从而破坏系统运行规则的。

发明内容

本发明的目的就在于为了解决上述问题而提供一种任意参与者都无法预测、无法控制、可公开验证的去中心化随机数生成方法。

本发明通过以下技术方案来实现上述目的：

一种去中心化随机数生成方法，包括多轮随机数计算和生成，每一轮随机数计算和生成包括以下步骤：

步骤1、系统初始化如下参数：sk：私钥；pk：公钥；pre_hash：上一轮数据的哈希值即hash值，若为第一轮即创世轮，则pre_hash由系统自动生成；r：计算幸运值需要的用于工作量计算的目标难度值，是一个系统参数，是一个定值；u：每一轮的头部信息，包括上一轮数据的哈希值h₂和当前的轮次索引，若为第一轮即创世轮，则u由系统自动生成；t：工作量证明的目标难度；

步骤2、参与者计算本轮原始随机数和本轮最终哈希值h₂：假设每一轮等量地产生v(v≥1)个随机数，其中第i轮原始随机数列表如下：

其中，Hash_sk(x)定义为对自变量x做哈希运算后再对其用私钥sk做数字签名的结果；

定义幸运值变量为luck且其最小值为MIN、最大值为MAX，依次计算h₁＝Hash_sk(pre_hash||luck)，直到满足h₁＜r时停止，停止计算时的luck值作为本轮本参与节点的最终幸运值；

计算t＝f(luck)，f(luck)是工作量计算中目标难度与幸运值之间的单调递减的凹函数；

寻找合适的nonce使得h₂＝Hash_sk(u||nonce)＜t成立，即完成本轮工作量计算，nonce表示只被使用一次的任意或非重复的随机数值，h₂即为本轮数据的哈希值即hash值，并将本轮的h₂作为下一轮的pre_hash；

步骤3、系统对所有参与者进行合法性验证：

先验证Verify_pk(h₁)＝Hash(pre_hash||luck)、t＝f(luck)和h₁＜r这三个表达式是否成立，如果有一个不成立则验证结果为非法并返回步骤1；

再验证Verify_pk(h₂)＝Hash(u||nonce)以及h₂＜t这两个表达式是否成立，如果有一个不成立，则验证结果为非法并返回步骤1；如果这两个表达式都成立，则验证结果为合法并转至步骤4；

其中，Verify_pk(x)＝Hash(y)表示用公钥pk验证自变量x是否为自变量y的哈希值的签名；

步骤4：生成供用户使用的随机数：假设第i轮生成的原始随机数为R_i，0，R_i，1，...，R_i，v-1，定义变量m取值空间为(MIN<m<MAX)，则从m＝MIN开始到m＝MAX，依次计算Hash(R_i，0||R_i，1||...||R_i，v-1||m)，找到满足Hash(R_i，0||R_i，1||...||R_i，v-1||m)＜t的最小的m；若这样的m不存在，则取m＝MAX；

最终在本轮即第i轮生成的供用户使用的随机数为：

上述Hash即哈希函数，一般翻译做散列、杂凑，或音译为哈希，是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

本发明的有益效果在于：

本发明所述去中心化随机数生成方法由于引入了幸运值概念，并对参与者计算的合法性进行验证，最后再经过延迟计算才生成最终的供用户使用的随机数，能够实现任意参与者都无法预测、无法控制、可公开验证的去中心化随机数生成，实现了真正意义上的随机性；具体优点如下：

1、参与者可随意自愿进入或退出系统，任意时刻都无法准确预测或感知当前参与者的数量和具体的参与者。

2、任意参与者都无法预测每一轮生成的随机数。

3、任意参与者都无法控制随机数生成过程。

具体实施方式

下面结合实施例对本发明作进一步说明：

实施例：

一种去中心化随机数生成方法，包括多轮随机数计算和生成，每一轮随机数计算和生成包括以下步骤：

步骤1、系统初始化如下参数：sk：私钥；pk：公钥；pre_hash：上一轮数据的哈希值即hash值，若为第一轮即创世轮，则pre_hash由系统自动生成；r：计算幸运值需要的用于工作量计算的目标难度值，是一个系统参数，是一个定值；u：每一轮的头部信息，包括上一轮数据的哈希值h₂和当前的轮次索引，若为第一轮即创世轮，则u由系统自动生成；t：工作量证明的目标难度；

步骤2、参与者计算本轮原始随机数和本轮最终哈希值h₂：假设每一轮等量地产生v(v≥1)个随机数，其中第i轮原始随机数列表如下：

其中，Hash_sk(x)定义为对自变量x做哈希运算后再对其用私钥sk做数字签名的结果；

定义幸运值变量为luck且其最小值为MIN、最大值为MAX，依次计算h₁＝Hash_sk(pre_hash||luck)，直到满足h₁＜r时停止，停止计算时的luck值作为本轮本参与节点的最终幸运值；

计算t＝f(luck)，f(luck)是工作量计算中目标难度与幸运值之间的单调递减的凹函数；

寻找合适的nonce使得h₂＝Hash_sk(u||nonce)＜t成立，即完成本轮工作量计算，nonce表示只被使用一次的任意或非重复的随机数值，h₂即为本轮数据的哈希值即hash值，并将本轮的h₂作为下一轮的pre_hash；

步骤3、系统对所有参与者进行合法性验证：

先验证Verify_pk(h₁)＝Hash(pre_hash||luck)、t＝f(luck)和h₁＜r这三个表达式是否成立，如果有一个不成立则验证结果为非法并返回步骤1；

再验证Verify_pk(h₂)＝Hash(u||nonce)以及h₂＜t这两个表达式是否成立，如果有一个不成立，则验证结果为非法并返回步骤1；如果这两个表达式都成立，则验证结果为合法并转至步骤4；

其中，Verify_pk(x)＝Hash(y)表示用公钥pk验证自变量x是否为自变量y的哈希值的签名；

步骤4：生成供用户使用的随机数：假设第i轮生成的原始随机数为R_i，0，R_i，1，...，R_i，v-1，定义变量m取值空间为(MIN<m<MAX)，则从m＝MIN开始到m＝MAX，依次计算Hash(R_i，0||R_i，1||...||R_i，v-1||m)，找到满足Hash(R_i，0||R_i，1||...||R_i，v-1||m)＜t的最小的m；若这样的m不存在，则取m＝MAX；

最终在本轮即第i轮生成的供用户使用的随机数为：

本发明所述去中心化随机数生成方法可用于游戏抽奖、车牌摇号、政府抽查、防伪码或验证码等需要产生随机数的应用场景，也可以用于区块链技术。

将本发明设计思路如下：

整个系统由三种角色的服务组成：生产者、发布者、消费者，与本发明的参与者、系统和用户对应。

比特数系统的设计目标是要满足一CPU一票的去中心化理念。在现有区块链的工作量证明机制中引入私钥计算的概念，现有区块链的工作量需要生产者节点在庞大的解空间中寻找满足哈希值小于特定值的目标解，在比特数中，生产者节点需要在庞大的解空间中寻找满足数字签名小于特定值的目标解。这样设计的好处在于生产者节点之间如果要形成合作必须要共享私钥，而私钥是整个系统的参与者最私密的数据，所以生产者会出于安全性的考虑，最好的选择就是成为一个独立的生产者。

其次对于生产者来说，本发明创新性地设计了一种名叫高阶工作量证明的机制，在这种机制下，能严格证明若干节点合作的期望产出会小于不合作的期望产出，接下来详细介绍该机制。

首先引入幸运值的概念，生产者在每一轮会根据自己的私钥和前一区块的哈希值的数字签名计算出幸运值，幸运值越高，难度越小；幸运值越低，则难度越大。

如果幸运值的计算和验证都是低能耗的话，还是无法有效阻止某些恶意节点会批量计算大量私钥在某一轮的幸运值，然后选择较高幸运值的私钥参与生产，这也就相当于恶意节点拥有操作权，为了防止这种恶意行为，本系统在计算幸运值时再次引入一个轻量级的工作量证明。

需要说明的是，计算幸运值所做的工作量证明是轻量级的，这一描述是相对于全网节点数量来说的，当全网节点数量较少的时候，为了有效对抗合作，计算幸运值消耗的工作量会低于运气最好的节点计算目标区块消耗的计算量，这时可以称为轻量级工作量证明。当网络节点数量足够多的时候，计算幸运值消耗的工作量可能要远远高于运气最好的节点计算目标区块的工作量，这样的设计可以保证在全网节点数量足够多的时候，系统具有较高的安全性。

正是由于在比特数的生产者节点中采用了这种两阶段工作量证明的设计，所以将其称为高阶工作量证明机制。

接下来通过引入一个数学模型来证明这种高阶工作量证明机制能有效抑制节点间的合作。

首先假设某一轮节点的运气值为l∈L，其中l在取值空间L＝[a,b]中服从均匀分布，对于每个l，期望的难度用期望的出块时间表示为f(l)，其中f(l)是递减函数。

对于掌握m个节点的生产者来说，这m个节点合作的期望出块时间为(暂未考虑节点间合作的调度成本，实际上合作的期望出块时间会更长)：

对于这m个节点，在不合作的情况下，期望出块时间为：

在这m个节点的出块时间独立分布的假设下，以上表达式可以化简为

对比E₁(m)和E₂(m)，l越大而f(l)减小的速度足够快，就可以满足E₂(m)＜E₁(m)。

这也就说，对于掌握多个节点的生产者来说，让这些节点独立的工作期望产出会高于让它们合作的产出。

由于出块的过程需要依赖私钥参与签名运算，对于互不信任的生产者来说，他们是没有理由共享私钥参与合作；对于掌握多个节点的生产者来说，按照以上的论述，其最优策略则是让这些节点独立工作而不是合作。这样也就实现了真正意义上的“一CPU一票”的去中心化目标。

在比特数中，发布者是介于随机数生产者与消费者之间的纽带，由于随机数的生成结果往往会与某种巨大的利益挂钩，而生产者在自身利益驱使下，可能会选择不发布对自己不利的随机数。为了杜绝这种情况的发生，在整个系统架构层面，增加发布者这一角色，发布者会在生产者产出基础随机数之后，进行一个可验证的延迟加工计算，在比特数系统中，发布者是通过一个工作量证明计算来完成这个可验证的延迟计算的，然后发布者发布最终可供消费者使用的随机数。这个可验证的延迟在真正意义上实现了随机数的不可控制性。

在比特数系统中，消费者这一角色也就是通过应用接口获取随机数。比特数平台提供了两种获取随机数模式，一种是预取模式，主要用于高公正性场合；另一种是及时获取模式，这种主要用于高频调用模式。为了保证公正性，接口的每次调用情况都会记录到一个联盟链系统中。

上述应用有两个主要优点：

首先对于本发明中提出的高阶工作量证明机制，相比传统工作量证明机制，具有对抗合作串谋的作用；传统的工作量证明主要用于对抗女巫攻击，而高阶工作量证明机制在对抗女巫攻击同时能有效对抗参与节点的合作串谋；在去中心化的意义下，高阶工作量证明机制更能实现一CPU一票的目标。

其次，从系统性风险角度比较高阶工作量证明机制与传统工作量证明机制的优势：在生成随机数方面，本发明不依赖于任意第三方区块链平台，其生成的随机数不会被任意类型的生产者或参与者控制；支持预取和及时获取模式，能满足所有应用场景的需求；由于发布者只是完成一个可延迟的计算，其本身并不能操纵结果；而生产者在工作量竞争状态下无法提前预知最终的随机数是否有利于自己，能最大程度保证公正性。

通过上述实际案例证明，本发明的无法预测性、无法控制性、可公开验证性。

上述实施例只是本发明的较佳实施例，并不是对本发明技术方案的限制，只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案，均应视为落入本发明专利的权利保护范围内。

Claims (1)

1.一种去中心化随机数生成方法，包括多轮随机数计算和生成，其特征在于：每一轮随机数计算和生成包括以下步骤：

步骤1、系统初始化如下参数：sk：私钥；pk：公钥；pre_hash：上一轮数据的哈希值即hash值，若为第一轮即创世轮，则pre_hash由系统自动生成；r：计算幸运值需要的用于工作量计算的目标难度值，是一个系统参数，是一个定值；u：每一轮的头部信息，包括上一轮数据的哈希值h₂和当前的轮次索引，若为第一轮即创世轮，则u由系统自动生成；t：工作量证明的目标难度；

步骤2、参与者计算本轮原始随机数和本轮最终哈希值h₂：假设每一轮等量地产生v(v≥1)个随机数，其中第i轮原始随机数列表如下：

其中，Hash_sk(x)定义为对自变量x做哈希运算后再对其用私钥sk做数字签名的结果；

定义幸运值变量为luck且其最小值为MIN、最大值为MAX，依次计算h₁＝Hash_sk(pre_hash||luck)，直到满足h₁＜r时停止，停止计算时的luck值作为本轮本参与节点的最终幸运值；

计算t＝f(luck)，f(luck)是工作量计算中目标难度与幸运值之间的单调递减的凹函数；

寻找合适的nonce使得h₂＝Hash_sk(u||nonce)＜t成立，即完成本轮工作量计算，nonce表示只被使用一次的任意或非重复的随机数值，h₂即为本轮数据的哈希值即hash值，并将本轮的h₂作为下一轮的pre_hash；

步骤3、系统对所有参与者进行合法性验证：

先验证Verify_pk(h₁)＝Hash(pre_hash||luck)、t＝f(luck)和h₁＜r这三个表达式是否成立，如果有一个不成立则验证结果为非法并返回步骤1；

再验证Verify_pk(h₂)＝Hash(u||nonce)以及h₂＜t这两个表达式是否成立，如果有一个不成立，则验证结果为非法并返回步骤1；如果这两个表达式都成立，则验证结果为合法并转至步骤4；

其中，Verify_pk(x)＝Hash(y)表示用公钥pk验证自变量x是否为自变量y的哈希值的签名；

步骤4：生成供用户使用的随机数：假设第i轮生成的原始随机数为R_i，0，R_i，1，...，R_i，v-1，定义变量m取值空间为(MIN<m<MAX)，则从m＝MIN开始到m＝MAX，依次计算Hash(R_i，0||R_i，1||...||R_i，v-1||m)，找到满足Hash(R_i，0||R_i，1||...||R_i，v-1||m)＜t的最小的m；若这样的m不存在，则取m＝MAX；

最终在本轮即第i轮生成的供用户使用的随机数为：