CN106506165A - 基于同态加密的虚拟资产匿名排序方法 - Google Patents

Abstract

本发明公开了一种基于同态加密的虚拟资产匿名排序方法，主要解决现有技术中直接将私钥交给代理服务器，造成用户隐私泄露和单一客户端密文定序范围狭小问题，其实现步骤为：1)系统初始化确定授权中心CA的签名公私钥和一些公开参数。2)用户向授权中心CA进行身份注册申请；3)授权中心CA给已注册的用户颁发密钥；4)用户利用自己的密钥参与资产排名，并采用基于容错学习LWE的同态加密算法，直接对自己的资产数据加密，并对密文进行处理，实现虚拟资产的排名。本发明实现了用户隐私的保护、提高了密文定序的普适性和抗共谋攻击能力，可用于比特币网络中资产监管。

Description

基于同态加密的虚拟资产匿名排序方法

技术领域

本发明属于密码技术领域，更进一种涉及密码技术领域中的基于同态加密的虚拟资产匿名排序方法，可用于比特币网络中资产监管。

背景技术

比特币是一种P2P形式的数字加密货币，与其他虚拟货币相比，比特币是一种点对点的电子现金系统，不基于信用而基于密码学原理，使得任何达成一致的双方在不需要第三方的参与下能够直接进行交易。点对点的传输意味着去中心化的全球性的支付系统，不依赖于特定的货币发行机构。比特币采用全分布式拓扑结构，利用整个P2P网络中众多节点构成的分布式数据库确认并且记录交易信息，而整个技术的核心就是区块链。区块链作为比特币的底层技术，是一串使用密码技术相关联产生的数据块，每个数据块中都包含一次比特币交易信息，每次交易记录只有在大部分节点验证通过的情况下被记录到当前区块中，具有去中心化、开放性、信息不可篡改性、匿名性等特点。简而言之，它是一个在网络上去中心化的分布式共享账本或者数据库。比特币作为一种数字虚拟资产，以其安全、便捷、去中心化的特性备受金融行业和普通用户的关注。

比特币是数字虚拟资产的一种形式，虽然采用去中心化的模式运行，但在整个网络中流通的比特币仍需要一定的监管，以防止滥用和非法交易，监管中心，即银行或政府要实时监测比特币交易过程中的资产流动情况，特别是对账户资产较多且交易频繁的用户。由于比特币系统是全球性的，若监管中心对全部的参与者都进行实时监测，必会带来巨大的工作量，所以有必要对用户账户的资产进行排名，实现监管资源最大化的有效监测，即对资产较多、交易频繁的账户重点监测，对资产较少的账户不必做到实时监测，这一定程度上抑制了非法交易和比特币滥用现象。同时比特币作为市场用户的个人财产，本身就要求具有隐私性，用户未经允许不能获取其他用户的账户财产信息。某些用户想要在保证自身账户保密性的前提下，又希望知道自己的数字虚拟资产在整个网络中的地位，获得自己在整个网络中资产的排名，从而确定自己的社会价值。这样，不仅要将用户的账户信息进行加密，而且还要保证监管中心在不知道用户账户信息的情况下获得整个网络中用户资产排名情况。这就需要在多个用户协作的情况下，对个人资产对应的密文进行一定的操作。

苏州大学在其申请的专利“一种面向同态加密的密文定序方法及系统”（公开号：103401871A，申请号：201310336834.5，申请日：2013年08月05日）中公开一种面向同态加密的密文定序方法，该方法由客户端生成公钥和私钥，将私钥发送给代理服务器，将数据加密并托管给存储服务器，然后客户端向存储服务器发送定序指令，存储服务器做同态减运算并将结果发送给代理服务器，最后代理服务解密定密文的序，并将结果加密后通过存储服务器发送给客户端，客户端解密得到明文。该方法存在的不足之处是：

1.该专利客户端将私钥直接交给代理服务器，导致代理服务器可以完全替代客户端，会带来致命的隐私泄露问题；

2.仅由单一的客户端来完成密文的定序，应用范围过于狭小，不利于推广和使用；

3.代理服务器和存储服务器可以合谋并且易受到攻击，带来很大的安全问题。

发明内容

本发明的目的在于针对上述现有技术的不足，提供一种基于同态加密的虚拟资产匿名排序方法，以避免用户隐私的泄露，提高密文定序的普适性。

本发明的技术方案是，首先由授权中心完成对用户的认证过程，然后采用多用户交互的模式，通过请求、应答的方式，在用户隐私保护的同时，完成虚拟资产匿名排序。其实现步骤包括如下：

（1）系统初始化：

（1a）授权中心CA运行Sig_Gen_CA()算法，生成授权中心自身的验证公钥(N,e)和签名私钥d，并对签名私钥d进行秘密保存；

（1b）授权中心CA选择满足安全性的奇数t和整数集合定义用户公私钥选取集合并将用户公私钥选取集合的范围限定在(-t/2,t/2]；

（1c）授权中心CA在用户公私钥选取集合上定义离散高斯分布χ；

（1d）授权中心CA公开系统参数(N,e,t,χ)；

（2）用户身份注册：

用户i向授权中心CA提交身份信息ID进行注册申请，授权中心CA验证用户i的身份是否合法，若合法，则进行步骤（3），否则，拒绝用户i的身份注册申请；

（3）密钥分发：

（3a）对于合法的用户i，授权中心CA选取g维向量将x_i作为用户i的私钥，并计算用户i的公钥pk_i；

（3b）授权中心CA通过安全信道将用户i的私钥x_i发送给用户i；

（3c）授权中心CA选取抗碰撞的身份哈希函数H₁和公钥哈希函数H₂，通过H₁计算用户i身份信息的哈希值h_ID，并利用自己的签名私钥d对h_ID进行签名，得到授权中心的签名值σ；

（3d）授权中心CA将数字证书cert＝h_ID||TS||TE||pk_i||σ发送给用户i，其中，TS表示数字证书的生效时间，TE表示数字证书的失效时间，||表示级联操作；

（3e）用户i将数字证书cert公开，并将私钥x_i秘密保存；

（4）多用户资产排名：

假设有L个用户参与资产排名，用户i拥有的虚拟资产总数为带符号的数n表示用户i虚拟资产总数值的二进制长度，表示符号位，其排名步骤如下：

（4a）用户i向其他L-1个用户发送资产排名请求；

（4b）其他L-1个用户收到用户i的排名请求后，发送确认应答给用户i；

（4c）用户i收到用户j的确认应答，利用自己的公钥pk_i，按照下式逐比特计算资产数对应的密文

其中，表示用户i资产数值二进制的第k比特密文值，Enc()表示基于容错学习LWE的同态加密操作，表示用户i资产数值二进制的第k比特，pk_i表示用户i的公钥，下标k取遍[0,n-1]；

（4d）用户i将资产总数对应的密文值发送给用户j，1≤j≤L,j≠i；

（4e）用户j查询用户i的公钥pk_i并验证其有效性，若验证通过，则进行步骤（4f），否则，断开与用户i的通信；

（4f）用户j计算其资产总数的补码，即将资产总数作位反相运算，再对运算结果加1；

（4g）用户j按照下式计算其资产总数的补码密文

其中，表示用户j资产数值二进制的第k比特密文值，表示用户j资产数值二进制的第k比特，表示比特1的密文值，⊕表示基于容错学习LWE的密文同态加法操作，表示带进位的密文同态加法操作，表示进位之后得到的第k比特加密的密文值；

（4h）用户j利用收到的将用户i和用户j资产数的密文进行同态相加，得到合密文

其中，表示合密文的第k个密文值， 表示合密文第k位的进位值，表示合密文第k-1位的进位值，表示基于容错学习LWE的密文同态乘法操作，表示合密文的最低位，表示合密文最低位的进位值；

（4i）用户j将合密文的最高位发送给用户i；

（4j）用户i根据计算明文：

其中，表示合密文的最高位，x_i表示用户i的私钥，Decrypt表示基于容错学习LWE的同态解密操作；

（4k）用户i根据的值的大小确定自己的排名情况，若用户i将自己排在用户j之前，若用户i将自己排在用户j之后，并将该排名公布给所有参与用户；

（4l）用户j根据用户i和自己的排名情况，确定在此步骤之后的通信用户：若用户j排在用户i之前，则用户j与排名在用户i之前的其他用户执行步骤（4a）到（4k）；若用户j排在用户i之后，则用户j与排名在用户i之后的其他用户执行步骤（4a）到（4k）；

（4m）剩余的每一个用户根据已经完成排名的用户的结果执行步骤（4l），完成L个用户的虚拟资产总数的排名。

与现有技术相比，本发明具有以下优点：

第一，由于本发明通过授权中心为用户生成公钥和私钥，私钥由用户自己秘密保存，克服了现有技术中将密钥交付给代理服务器的缺点，实现了更安全的隐私保护。

第二，本发明由于采用多用户交互的模式，解决了单一客户端密文定序方法应用范围狭小这一问题，扩展了安全排名的应用范围。

第三，本发明由于取消了代理服务器和存储服务器，采用用户匿名机制，可以有效地抵抗共谋攻击。

附图说明

图1为本发明的实现流程图；

图2为本发明中多用户资产排名的子流程图。

具体实施方式

下面结合附图对本发明做进一步详细描述。

参照图1，本发明的实现步骤如下。

步骤1，系统初始化。

（1a）授权中心CA运行Sig_Gen_CA()算法，即先选择满足公式ed＝1mod((P-1)·(Q-1))的两个数值不同的素数P、Q，和两个数值不同的正整数e、d，再计算模数N＝PQ，生成授权中心自身的验证公钥(N,e)和签名私钥d，并对签名私钥d进行秘密保存；

（1b）授权中心CA选择满足安全性的奇数t和整数集合定义用户公私钥选取集合并将用户公私钥选取集合限定在(-t/2,t/2]的范围内；

（1c）授权中心CA在用户公私钥选取集合上定义离散高斯分布χ；

（1d）授权中心CA公开系统参数(N,e,t,χ)。

步骤2，用户身份注册。

用户i向授权中心CA提交身份信息ID进行注册申请，授权中心CA验证用户i的身份是否合法，若合法，则进行步骤（3），否则，拒绝用户i的身份注册申请。

步骤3，密钥分发。

（3a）对于合法的用户i，授权中心CA选取g维向量并将x_i作为用户i的私钥；

（3b）授权中心CA选取错误向量e_i←χ^m和服从均匀分布的矩阵按照如下公式计算用户i的公钥pk_i：

pk_i＝A_i||b_i，

其中，b_i＝A_ix_i+2e_i表示中间变量，||表示级联操作，x_i表示用户i的私钥；

（3c）授权中心通过安全的信道将用户i的私钥x_i发送给用户i；

（3d）授权中心CA选取抗碰撞的身份哈希函数H₁和公钥哈希函数H₂，通过H₁计算用户i身份信息的哈希值h_ID，并利用自己的签名私钥d对h_ID进行签名，得到授权中心的签名值σ：

σ＝h^d(modN)，

其中，h＝H₂(h_ID||pk_i)表示h_ID和pk_i级联后的哈希值，h_ID＝H₁(ID)表示用户i身份信息的哈希值，d表示授权中心CA的签名私钥；

（3e）授权中心CA根据签名值σ、用户i的公钥pk_i和用户i身份信息的哈希值h_ID生成数字证书cert＝h_ID||TS||TE||pk_i||σ，并将该数字证书cert发送给用户i，其中，TS表示数字证书的生效时间，TE表示数字证书的失效时间，||表示级联操作；

（3f）用户i将数字证书cert公开，并将私钥x_i秘密保存。

步骤4，多用户资产排名。

假设有L个用户参与资产排名，用户i拥有的虚拟资产总数为带符号的数n表示用户i虚拟资产总数值的二进制长度，表示符号位，

参照图2，本步骤的排名如下：

（4a）用户i向其他L-1个用户发送资产排名请求；

（4b）其他L-1个用户收到用户i的排名请求后，发送确认应答给用户i；

（4c）用户i收到用户j的确认应答，利用自己的公钥pk_i，按照下式逐比特计算资产数对应的密文

其中，表示用户i资产数值二进制的第k比特密文值，Enc()表示基于容错学习LWE的同态加密操作，表示用户i资产数值二进制的第k比特，pk_i表示用户i的公钥，下标k取遍[0,n-1]；

上述基于容错学习LWE的同态加密操作Enc()，具体步骤如下：

（4c1）随机选取向量r_k∈{0,1}^m；

（4c2）根据向量r_k，按照如下公式计算向量相加值v_k和明文加密值w_k：

v_k＝A_i ^Tr_k，

其中，A_i表示授权中心CA从中选取的服从均匀分布的m行g列的矩阵，T表示对矩阵A_i的转置，b_i＝A_ix_i+2e_i表示中间变量，e_i表示授权中心CA从离散高斯分布χ中选取的m维错误向量，x_i表示用户i的私钥；

（4c3）根据向量相加值v_k和明文加密值w_k，按照如下公式计算用户i资产数值二进制的第k比特密文值

（4d）用户i将资产总数对应的密文值发送给用户j，1≤j≤L,j≠i；

（4e）用户j查询用户i的公钥pk_i并验证其有效性，即由用户j利用授权中心CA的验证公钥(N,e)和用户i的数字证书cert验证下式是否成立：

h＝σ^e(modN)，

若成立，则验证通过，用户j计算其资产总数的补码，即将资产总数作位反相运算，再对运算结果加1；否则，用户j断开与用户i的通信；

（4f）用户j按照下式计算其资产数值二进制的第k比特密文值和比特1的密文值

其中，表示用户j资产数值二进制的第k比特；

（4g）用户j根据和按照下式计算其资产总数的补码密文

其中，⊕表示基于容错学习LWE的密文同态加法操作，表示带进位的密文同态加法操作，表示进位之后得到的第k比特密文值；

（4h）用户j利用收到的当下标k∈[1,n-1]时，按照下式计算合密文的第k位的进位值和合密文的第k个密文值

其中，表示基于容错学习LWE的密文同态乘法操作，表示合密文的第k-1位的进位值；

当下标k＝0时，按照下式计算合密文最低位的进位值和合密文的最低位

其中，表示用户i资产数二进制的最低位密文值，表示用户j资产数的补码密文最低位；

（4i）用户j根据和得到合密文

（4j）用户j将合密文的最高位发送给用户i；

（4k）用户i根据计算明文

其中，表示合密文的最高位，x_i表示用户i的私钥，Decrypt表示基于容错学习LWE的同态解密操作；

（4l）用户i根据的值的大小确定自己的排名情况，若说明s⁽ⁱ⁾≥s^(j)，则用户i将自己排在用户j之前，若说明s⁽ⁱ⁾＜s^(j)，则用户i将自己排在用户j之后，并将该排名公布给所有参与用户；

（4m）用户j根据用户i和自己的排名情况，确定在此步骤之后的通信用户：若用户j排在用户i之前，则用户j与排名在用户i之前的其他用户执行步骤（4a）到（4l）；若用户j排在用户i之后，则用户j与排名在用户i之后的其他用户执行步骤（4a）到（4l）；

（4n）剩余的每一个用户根据已经完成排名的用户的结果执行步骤（4m），完成L个用户的虚拟资产总数的排名。

下面通过安全性分析和效率分析对本发明做进一步的描述。

1.安全性分析：

在比特币网络中，标记用户唯一信息的只有比特币地址，是一串以数字“1”开头的十六进制数，为了保证隐私保护，每个用户可以有多个比特币地址，比特币的交易，本质上将比特币就是从一个地址转移到另一个地址的过程。在排名实现过程中，用户利用自己的比特币地址作为唯一的标记参与排名，即使有多个用户合谋想要获得某个用户的虚拟资产总额，也只能得到某个比特币地址对应的虚拟资产总额，并不能确定比特币地址对应的用户本人的真实身份，所以本发明通过匿名性可以保证抗共谋攻击。

2.效率分析：

本发明采用基于容错学习LWE的同态加密方法，所有计算都是线性操作，同时在多用户资产排名过程中，第一个用户执行协议L-1次，第二个用户在第一个用户基础上且在平均情况下，可以将执行协议的次数减半，以此类推每一个用户在上一个用户的基础上将排序范围缩小，这种快速排序总共将步骤4执行O(LlogL)次就可以完成虚拟资产的排名。

Claims (6)

1.基于同态加密的虚拟资产匿名排序方法，包括如下步骤：

(1)系统初始化：

(1a)授权中心CA运行Sig_Gen_CA()算法，生成授权中心自身的验证公钥(N,e)和签名私钥d，并对签名私钥d进行秘密保存；

(1b)授权中心CA选择满足安全性的奇数t和整数集合定义用户公私钥选取集合并将用户公私钥选取集合的范围限定在(-t/2,t/2]；

(1c)授权中心CA在用户公私钥选取集合上定义离散高斯分布χ；

(1d)授权中心CA公开系统参数(N,e,t,χ)；

(2)用户身份注册：

用户i向授权中心CA提交身份信息ID进行注册申请，授权中心CA验证用户i的身份是否合法，若合法，则进行步骤(3)，否则，拒绝用户i的身份注册申请；

(3)密钥分发：

(3a)对于合法的用户i，授权中心CA选取g维向量将x_i作为用户i的私钥，并计算用户i的公钥pk_i；

(3b)授权中心CA通过安全信道将用户i的私钥x_i发送给用户i；

(3c)授权中心CA选取抗碰撞的身份哈希函数H₁和公钥哈希函数H₂，通过H₁计算用户i身份信息的哈希值h_ID，并利用自己的签名私钥d对h_ID进行签名，得到授权中心的签名值σ；

(3d)授权中心CA将数字证书cert＝h_ID||TS||TE||pk_i||σ发送给用户i，其中，TS表示数字证书的生效时间，TE表示数字证书的失效时间，||表示级联操作；

(3e)用户i将数字证书cert公开，并将私钥x_i秘密保存；

(4)多用户资产排名：

假设有L个用户参与资产排名，用户i拥有的虚拟资产总数为带符号的数n表示用户i虚拟资产总数值的二进制长度，表示符号位，其排名步骤如下：

(4a)用户i向其他L-1个用户发送资产排名请求；

(4b)其他L-1个用户收到用户i的排名请求后，发送确认应答给用户i；

(4c)用户i收到用户j的确认应答，利用自己的公钥pk_i，按照下式逐比特计算资产数对应的密文

$\stackrel{\‾}{s_i^{\left(i\right)}}=\left(\stackrel{\‾}{s_{n-1,i}^{\left(i\right)}},\stackrel{\‾}{s_{n-2,i}^{\left(i\right)}},\mathrm{...},\stackrel{\‾}{s_{k,i}^{\left(i\right)}},\stackrel{\‾}{\mathrm{...},s_{0,i}^{\left(i\right)}}\right)$

其中，表示用户i资产数值二进制的第k比特密文值，Enc()表示基于容错学习LWE的同态加密操作，表示用户i资产数值二进制的第k比特，pk_i表示用户i的公钥，下标k取遍[0,n-1]；

(4d)用户i将资产总数对应的密文值发送给用户j，1≤j≤L,j≠i；

(4e)用户j查询用户i的公钥pk_i并验证其有效性，若验证通过，则进行步骤(4f)，否则，断开与用户i的通信；

(4f)用户j计算其资产总数的补码，即将资产总数作位反相运算，再对运算结果加1；

(4g)用户j按照下式计算其资产总数的补码密文

$\stackrel{\‾}{-s_i^{\left(j\right)}}=\left(\right(\stackrel{\‾}{-s_{n-1,i}^{\left(j\right)}}\⊗\stackrel{\‾}{1_i}),\mathrm{...},(\stackrel{\‾}{s_{k,i}^{\left(j\right)}}\⊕\stackrel{\‾}{1_i}),\mathrm{...},(\stackrel{\‾}{s_{0,i}^{\left(j\right)}}\⊗\stackrel{\‾}{1_i}\left)\right)\widetilde{\⊕}\stackrel{\‾}{1_i}=(\stackrel{\‾}{-s_{n-1,i}^{(-j)}},\mathrm{...},\stackrel{\‾}{s_{k,i}^{(-j)}},\mathrm{...},\stackrel{\‾}{s_{0,i}^{(-j)}}),$

其中，表示用户j资产数值二进制的第k比特密文值，表示用户j资产数值二进制的第k比特，表示比特1的密文值，⊕表示基于容错学习LWE的密文同态加法操作，表示带进位的密文同态加法操作，表示进位之后得到的第k比特加密的密文值；

(4h)用户j利用收到的将用户i和用户j资产数的密文进行同态相加，得到合密文

$\stackrel{\‾}{s_i^{(i-j)}}=\stackrel{\‾}{s_i^{\left(i\right)}}\widetilde{\⊕}\stackrel{\‾}{-s_i^{\left(j\right)}}=\left(\stackrel{\‾}{s_{n-1,i}^{(i-j)}},\mathrm{...},\stackrel{\‾}{s_{k,i}^{(i-j)}},\mathrm{...},\stackrel{\‾}{s_{0,i}^{(i-j)}}\right),$

其中，表示合密文的第k个密文值，表示合密文第k位的进位值，表示合密文第k-1位的进位值，表示基于容错学习LWE的密文同态乘法操作，表示合密文的最低位，表示合密文最低位的进位值；

(4i)用户j将合密文的最高位发送给用户i；

(4j)用户i根据计算明文：

其中，表示合密文的最高位，x_i表示用户i的私钥，Decrypt表示基于容错学习LWE的同态解密操作；

(4k)用户i根据的值的大小确定自己的排名情况，若用户i将自己排在用户j之前，若用户i将自己排在用户j之后，并将该排名公布给所有参与用户；

(4l)用户j根据用户i和自己的排名情况，确定在此步骤之后的通信用户：若用户j排在用户i之前，则用户j与排名在用户i之前的其他用户执行步骤(4a)到(4k)；若用户j排在用户i之后，则用户j与排名在用户i之后的其他用户执行步骤(4a)到(4k)；

(4m)剩余的每一个用户根据已经完成排名的用户的结果执行步骤(4l)，完成L个用户的虚拟资产总数的排名。

2.根据权利要求1所述的方法，其特征在于，步骤(1a)中所述的授权中心CA运行Sig_Gen_CA()算法，是先选择满足公式ed＝1mod((P-1)·(Q-1))的两个数值不同的素数P、Q，和两个数值不同的正整数e、d，再计算模数N＝PQ。

3.根据权利要求1所述的方法，其特征在于，步骤(3a)中所述的授权中心CA计算用户i的公钥pk_i，按如下公式进行：

pk_i＝A_i||b_i，

其中，A_i表示授权中心CA从中选取的服从均匀分布的m行g列的矩阵，b_i＝A_ix_i+2e_i表示中间变量，||表示级联操作，e_i表示授权中心CA从离散高斯分布χ中选取的m维错误向量，x_i表示用户i的私钥。

4.根据权利要求1所述的方法，其特征在于，步骤(3c)中授权中心用自己的签名私钥d对h_ID进行签名，按如下公式进行：

σ＝h^d(modN)，

其中，h＝H₂(h_ID||pk_i)表示h_ID和pk_i级联后的哈希值，h_ID＝H₁(ID)表示用户i身份信息的哈希值，d表示授权中心CA的签名私钥，σ表示签名值。

5.根据权利要求1所述的方法，其特征在于，步骤(4c)中基于容错学习LWE的同态加密操作Enc()，具体步骤如下：

(4c1)随机选取向量r_k∈{0,1}^m；

(4c2)根据向量r_k，按照如下公式计算向量相加值v_k和明文加密值w_k：

v_k＝A_i ^Tr_k，

$w_k={b_i}^T{r}_k+s_k^{\left(i\right)},$

其中，A_i表示授权中心CA从中选取的服从均匀分布的m行g列的矩阵，T表示对矩阵A_i的转置，b_i＝A_ix_i+2e_i表示中间变量，e_i表示授权中心CA从离散高斯分布χ中选取的m维错误向量，x_i表示用户i的私钥；

(4c3)根据向量相加值v_k和明文加密值w_k，按照如下公式计算用户i资产数值二进制的第k比特密文值

$\stackrel{\‾}{s_{k,i}^{\left(i\right)}}=(v_k,w_k).$

6.根据权利要求1所述的方法，其特征在于，步骤(4e)中用户j验证用户i的公钥的有效性，是由用户j利用授权中心CA的验证公钥(N,e)和用户i的数字证书cert验证下式是否成立：

h＝σ^e(modN)，

其中，h＝H₂(h_ID||pk_i)表示h_ID和pk_i级联后的哈希值，h_ID＝H₁(ID)表示用户i身份信息的哈希值；

若上式成立则验证通过，否则验证失败。