CN109409884A

CN109409884A - 一种基于sm9算法的区块链隐私保护方案和系统

Info

Publication number: CN109409884A
Application number: CN201811245996.7A
Authority: CN
Inventors: 杨亚涛; 蔡居良; 张筱薇; 黄洁润; 赵阳
Original assignee: Beijing Peace Is As Mountain Culture Science And Technology Ltd
Current assignee: Beijing Peace Is As Mountain Culture Science And Technology Ltd
Priority date: 2018-10-25
Filing date: 2018-10-25
Publication date: 2019-03-01

Abstract

本发明公开了一种基于我国SM9商用密码算法的区块链隐私保护方案和系统，属于区块链安全与隐私保护领域。提供了一种基于联盟链的节点间交易平台，定义了平台中各类节点的权限与功能，交易平台支持节点交易，信息验证，参数维护，区块生成等功能；描述了一种改进SM9多KGC(密钥产生中心)签名算法，该算法对SM9算法中单KGC工作模式进行改进，适应联盟链结构，节点间在交易时采用该算法确定对方身份；提出了一种基于SM9算法的群签名方案，将SM9算法的身份验证改进为群签名验证，有效保护了签名方的身份隐私，节点交易后将交易信息通过该算法进行群签名并写入区块链中，可有效隐藏交易双方身份信息，在保护了节点隐私的同时保证了交易的合法性。

Description

一种基于SM9算法的区块链隐私保护方案和系统

技术领域

本发明属于区块链安全与隐私保护领域，具体涉及一种基于联盟区块链的隐私保护方案和系统架构设计。

背景技术

区块链技术因其“去中心化”与“去信任化”等特点，可在可信第三方不参与的情况下与陌生节点之间进行安全的信息传递，从而可有效提高信息交互效率，降低交互成本，在比特币、供应链等领域具有较为广阔的应用前景。哈希算法以及数字签名算法在区块链中应用广泛，用以验证区块以及交易的正确性。区块链在实际场景中应用时，不仅仅需要核验节点的公钥地址，还应验证各个节点的真实身份。传统的PKI体制因为可信中心的权重过大，不符合区块链“去中心化”与“去信任化”的特点。因此，无证书的加密与签名方案可以在区块链技术中得到应用。

隐私泄露是区块链技术中不容忽视的问题。与传统中心化结构不同，区块链机制不依赖特定中心节点处理与存储数据，因此可以避免恶意中心或因其他原因导致的中心信息泄露。但为了验证交易信息，区块链中的所有交易记录必须公开，因此将显著增加信息泄露风险。交易地址暴露于区块链环境中容易被跟踪查找。因为区块链技术与当前IT架构存在区别，以往的隐私保护方案并不适用。所以，区块链的隐私保护需要更具针对性的机制。

专利文献1(公开号：CN106534085A，公开日2017年3月22日)提供了一种基于区块链技术的隐私保护方法，设计引入非对称加密方案，对隐私数据进行区块化封装，并对其进行加密保护。可以在保护密文数据隐私性的前提下，支持在区块链环境下进行交易流程，同时保证了执行效率。但该发明侧重点在于保护区块中相关敏感数据的隐私，通过加密手段使得非授权人员无法解密得到相关信息，而并未能隐藏提交数据的节点身份，从而仍有相关隐私信息泄露的风险，同时由于加解密流程需验证身份，则需要引入PKI体系，难以适应区块链高度去中心化的架构体系。

专利文献2(公开号：CN107911216A，公开日2018年4月13日)提供了一种区块链交易隐私保护方法及系统。该发明主要基于联盟链环境，侧重描述利用群签名技术保护节点交易信息隐私，同时记账节点也可使用私钥打开信息，追踪信息来源。但其公开的交易信息中含有交易节点的私钥签名，交易确认阶段会面临节点伪造的问题。且该发明基于联盟区块链环境，记账节点需要持有大量用户私钥数据以验证交易信息，在增大管理难度的同时，也存在严重的信息泄露风险。

针对上述发明的不完善之处，本发明通过模式创新，采用基于功能需求的密文服务策略，构造了一种基于SM9算法的区块链隐私保护方案和系统，支持节点间安全可信交易，联盟链区块高效生成，交易信息确认以及节点隐私保护等功能。对现有SM9算法进行改进，提出一种SM9多KGC签名算法，弥补其所存在的不足，并提出一种基于SM9算法的群签名方案，以区块链中的联盟链为应用环境，实现对交易过程的隐私保护。实现效率较现有方案相比，所需指数运算与双线性对运算均有减少，运算效率有所提升。

发明内容

为了克服上述现有技术的不足，本发明从安全性、匿名性与运算效率等多方面综合因素考虑，设计了一种基于SM9算法的区块链隐私保护方案和系统。

与现有技术相比，本发明主要存在如下三方面有益效果：

(1)解决了区块链架构难以应用于现实场景的问题

由于区块链环境下，节点间多使用公钥定义自身身份进行交易，因交易物为相关数字货币，故无需验证对方真实身份，但现实场景中双方进行信息沟通时，必须通过数字证书验证对方合法身份，而因区块链去中心化的特点，导致传统数字证书体系无法适用于区块链结构。本发明通过引入并改进基于身份的SM9标识密码算法，利用其无证书特性，可使节点在无可信第三方情况下验证对方真实身份，解决了区块链技术在现实场景中的应用问题。

(2)解决了当前区块链环境节点交易过程中的隐私泄漏问题

当前区块链技术的应用场景中，节点间多以固定公钥地址进行交易，若进行交易追踪，可较易推断出参与交易节点的真实身份，导致交易双方身份隐私的泄露。本发明通过提供一种基于SM9算法的群签名方案，在交易信息写入区块时使用群签名，有效隐藏节点身份信息，同时确保同一节点两次不同交易无法判断关联性，在节点交易信息确认过程中保护了节点的身份隐私。

(3)设计了新的联盟区块链工作模式，增大联盟链结构的去中心化程度

在现有联盟区块链应用中，主要节点负责承担大部分区块链相关的运算工作，如区块生成，交易信息确认等等，次要节点仅参与交易，在授权后才能查看区块，中心化程度依然较高。本发明提供了一种新的联盟链工作模式，进一步减少主要节点的权限与工作量，将交易信息确认交由次要节点完成，大幅降低主要节点的工作量，增大了联盟链结构的去中心化程度，同时，由于参与信息确认的节点增多，区块链的安全程度也相应提高。

附图说明

图1是基于SM9算法的区块链隐私保护方案和系统总体架构示意图；

图2是区块链隐私保护方案和系统节点交易过程图；

图3是区块链隐私保护方案和系统交易信息结构图；

图4是系统链中区块主要结构图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细的说明，但不以任何方式限制本发明的范围。

本发明采用一种区块链节点隐私保护方案，在联盟区块链环境下，构建了一种基于联盟链的隐私保护交易平台，可以实现对节点身份隐私的保护，保证区块生成合法性，同时减少联盟区块链中主要节点的工作权重，去中心化程度更高。设计的基于SM9算法的区块链隐私保护方案和系统总体架构如图1所示。

主要节点负责维护区块链参数与历史数据，进行区块链中所使用的SM9多KGC签名算法以及群签名算法的参数初始化，参与区块生成以及管理次要节点的加入与相关密钥的分发。

次要节点持有各自的签名密钥对与群签名密钥对，次要节点为群签名中的用户，次要节点之间可进行交易，完成区块链中点对点交易信息传递的流程。交易商定结束，需对信息进行群签名后进行广播，新区块将交易信息写入并由各个节点确认后即为生效。

本方案主要描述了节点交易流程，交易信息结构与链中区块主要结构，分别如图2，3，4所示。根据方案设计，节点交易过程具体操作步骤如下：

步骤A01.群管理员(Group Manager，GM)的身份为ID_GM，则其需要向全部KGC申请建立群，KGC在核实GM身份后，将ID_GM记录，以便之后KGC对新加入的节点成员生成并发放群私钥。申请群成功后，该群的公钥即为GM身份ID_GM。群管理员的私钥则由签名算法生成并交由管理员GM保存。，进入步骤A02。

步骤A02.节点加入群后，KGC在验证节点合法之后，向节点成员发放签名私钥以及群私钥，交易进行时，发起方节点A需将与本次交易相关的上次交易信息的所属编号Num(TX₀)，与上次交易中，节点A所属的哈希值Hash_A(TX₀)，使用与上次交易相同的群签名要素P₃(A)进行群签名后，结合本此交易的待交易信息UTXO₀(B)(如货币数量等)进行签名，使用接受方节点B的身份为公钥进行加密并将信息传递给节点B，进入步骤A03。

步骤A03.节点B接受后，使用私钥进行解密，使用节点A的公钥验证签名，以及使用群身份进行群签名验证，全部通过并且核对本次交易的输入P₃(A)与上次交易的输出P₃(A)′是否一致，相同后确认交易信息，无误后组合Num(TX₀)，Hash_A(TX₀)以及UTXO₀(B)，并计算其哈希值，作为所属自己的本次交易输出哈希值，并将此数据进行群签名，最终将结果签名，使用节点A公钥进行加密，返回节点A，进入步骤A04。

步骤A04.节点A解密验签通过后，进行交易信息的制作。广播的交易信息结构如图3所示，主要包括与本次交易关联的上次交易信息TX₀以及本次交易的输出UTXO，将步骤A02中发送的数据写入本次交易的输入端，即为图3的TX₀中，再将步骤A03中节点B返回的信息写入本次交易的输出端，即为图3的UTXO中，交易信息生成完毕后进行广播，TX₀用于追溯上次交易的相关信息，并据此核对本次交易输入是否合理。UTXO主要包括各个输出所属的交易信息UTXO₀以及输出哈希值与群签名，除了用于各个节点的确认之外，也作为下次交易输入的核对信息。主要节点接受广播的交易信息后，需要生成新区块，进入步骤A05。

步骤A05.主要节点在接受一段时间内的全部交易信息后，开始进行区块生成与并入。区块主要结构如图4所示，新生区块不仅需要记录全部TX，也需要记录上一个区块的编号Num(Block₀)以及其哈希值Hash(Block₀)来保证区块之间的关联性。同时，生成区块时，需要确定本区块的编号Num(Block)并计算本区块中全部数据的哈希值Hash(Block)，将此四个数据组合，进行签名，最后发布，供各节点进行验证，进入步骤A06。

步骤A06.各节点在接受新区块时，需对其进行身份验证，确认其为主要节点生成，并且与最近一次生成的区块相关联后，再进行交易信息验证流程。各次要节点接收到交易信息后，需要首先验证其群签名是否有效，验证通过后，寻找与此交易输入关联的上一次的交易输出UTXO₀，核对本次交易输入端的P₃与上次交易输出端的P₃′是否相同，若一致，则本次交易验证通过。当本次交易经过全部次要节点中半数以上验证通过后，才可并入新区块中。至此，节点A与B的交易确认有效。

本发明的签名算法采用SM9多KGC签名算法与一种基于SM9算法的群签名方案。方案需要进行参数初始化方法，所需运算方法与相关参数与SM9算法标准相同。定义了k个KGC，所有KGC首先商定随机数ks∈[1，N-1]，并各自持有另一个随机数ke_j∈[1，N-1]，其中j表示第j个KGC。每个KGC计算G₂中元素P_pub-s＝[ks]P₂与P_pub-j＝[ke_j]P₂，之后依次计算直到j＝k为止，使得则签名主密钥对为(ke，P_pub-s，P_pub-e)，每个KGC秘密保存ks与自己持有的ke，公开P_pub-s与P_pub-e。次要节点A的标识为ID_A，为了产生次要节点A的签名私钥ds_A，KGC首先在有限域上计算t₁＝H₁(ID_A||hid，N)+ks，若t₁不为0，则计算t_j＝ke_j·t₁ ^-1mod N，然后将结果发送给次要节点A，最后次要节点A在本地计算得到自己的私钥。在群签名方案中，用户加入流程为：定义需要加入群的节点A，由GM核实次要节点A的身份ID_A，核对通过后，将ID_A通过权利要求2所述的SM9多KGC签名算法方案进行签名后，通过安全信道发送至KGC，KGC对GM的签名进行验证，完成后提取出ID_A，商定ks∈[1，N-1]，以及每个KGC各自持有ke_j∈[1，N-1]，首先计算d₁＝[H₁(ID_GM||hid，N)+ks]¹mod N，再根据ID_A计算d₂＝[H₁(ID_A||hid，N)+ks]^-1mod N，得出ds_A′＝[d₂]P₁，之后每个KGC计算ds_Aj＝[ke_j]ds_A′，次要节点A将每个KGC的ds_Aj相加即可得到签名私钥之后次要节点A选取随机数K∈[1，N-1]，计算将结果重新发送给所有KGC，KGC重新计算一次，得发送给次要节点A，次要节点A最后运算可得到次要节点A的群私钥ds_AG。至此次要节点A加入成功，其群密钥对为(ds_A，ds_AG，ID_A，ID_GM)，其中ds_A，ds_AG为私钥，由A保存；ID_GM为GM身份，亦为群签名的唯一标识。同时KGC需要保存用户的身份ID_A。

SM9多KGC签名算法的签名生成过程为：定义消息为比特串M，则次要节点A若需要对其进行数字签名，则首先计算群G_T中元素g＝e(P₁，P_pub-e)，并选取随机数r∈[1，N-1]，计算w＝g^r以及整数h＝H₂(M||w，N)，之后计算整数l＝(r-h)mod N，若l为0，则重新选取随机数，l不为0时则最后计算S＝[l]ds_A，可得到关于消息M的签名(h，S)。验证过程为：定义验证者为次要节点B，其接收到的消息M′的签名为(h′，S′)，如需要验证签名，则需要首先验证h′∈[1，N-1]以及S′∈G₁，若均成立，则计算群G_T中的元素g＝e(P₁，P_pub-e)，再计算群G_T中的元素t＝g^h′与整数h₁＝H₁(ID_A||hid，N)，之后计算群G₂中的元素P＝[h₁]P₂+P_pub-s与群G_T中的元素u＝e(S′，P)，再计算群G_T中的元素w′＝u·t，最后计算h₂＝H₂(M′||w′，N)并与h′进行比较，若一致，则验证通过。

基于SM9的群签名方案的签名生成过程为：定义群中次要节点A，其要对消息M进行群签名，则其需要首先计算g＝e(P₁，P_pub-e)，并秘密选取随机数r₁∈[1，N-1]与r₂∈[1，N-1]，计算之后计算h＝H₂(M||w，N)，计算S₁＝(r₁ ^-1)·(r₁-h)·ds_A与S₂＝(r₂ ^-1)(r₁-h)·ds_AG，最后计算h₁＝H₁(ID_A||hid，N)，P_3′＝[h₁]P₂+P_pub-s，P₃＝[r₂]P_3′得出次要节点A对消息M的群签名(h，P₃，S₁，S₂)。验证过程为：定义群中次要节点B，接收到的消息M′与其群签名(h′，P₃′，S₁′，S₂′)，群中次要节点B若想验证其是否属于群ID_GM，则需要首先计算h₁＝H₁(ID_GM||hid，N)，接着计算P＝[h₁]P₂+P_pub-s，之后计算u₁＝e(S₂，P)与u₂＝e(S₁，P_pub-e)，若u₁≠u₂则验证不通过，否则继续计算u＝e(S₁，P₃)，g＝e(P₁，P_pub-e)与t＝g^W，最终计算w′＝u·t，得到h＝H₂(M′||w′N)，对比h′与h，一致则验证通过，至此可证明该消息由群ID_GM中某个成员所签名。

Claims

1.一种基于SM9算法的区块链隐私保护方案和系统，其特征在于，提供了一种基于联盟链的隐私保护交易平台，描述了节点间交易以及区块生成与验证流程，包括如下步骤：

定义了基于区块链技术的点对点交易与区块信息验证平台，在联盟区块链环境下提供了一种由主要节点、次要节点构成的交易隐私保护架构设计。

a)主要节点负责维护区块链参数与历史数据，进行区块链中所使用的SM9多KGC签名算法以及群签名算法的参数初始化，参与区块生成以及管理次要节点的加入与相关密钥的分发。

b)次要节点持有各自的签名密钥对与群签名密钥对，次要节点为群签名中的用户，次要节点之间可进行交易，完成区块链中点对点交易信息传递的流程。交易商定结束，需对信息进行群签名后进行广播，新区块将交易信息写入并由各个节点确认后即为生效。

步骤001.群管理员(Group Manager，GM)的身份为ID_GM，则其需要向全部KGC申请建立群，KGC在核实GM身份后，将ID_GM记录，以便之后KGC对新加入的节点成员生成并发放群私钥。申请群成功后，进入步骤002。

步骤002.节点加入群后，KGC在验证节点合法之后，向节点成员发放签名私钥以及群私钥，节点接收私钥后，可与其他节点进行交易。发起方节点A将交易信息进行签名与群签名后，加密传递给节点B，进入步骤003。

步骤003.节点B接受后进行解密，使用节点A的公钥验证签名，以及使用群身份进行群签名验证，全部通过并且核对本次交易的发起方与上次交易的接受方是否一致，相同后确认交易信息，无误后并将此数据进行群签名，最终将结果签名，加密返回节点A，进入步骤004。

步骤004.节点A解密验签通过后，将交易信息进行广播，主要节点接受广播的交易信息后，生成新区块，进入步骤005。

步骤005.各节点在接受新区块时，需对其进行身份验证，确认其为主要节点生成，并且与最近一次生成的区块相关联后，再进行交易信息验证流程。当本次交易经过全部次要节点中半数以上验证通过后，才可并入新区块中。至此，节点A与B的交易确认有效。

2.根据权利要求1所述基于SM9算法的区块链隐私保护方案和系统，其特征在于，提供了一种SM9多KGC签名算法以及群签名算法方案，方案需要进行参数初始化方法，所需运算方法与相关参数与SM9算法标准相同。定义了k个KGC，所有KGC首先商定随机数ks∈[1，N-1]，并各自持有另一个随机数ke_j∈[1，N-1]，其中j表示第j个KGC。每个KGC计算G₂中元素P_pub-s＝[ks]P₂与P_pub-j＝[ke_j]P₂，之后依次计算直到j＝k为止，使得则签名主密钥对为(ke，P_pub-s，P_pub-e)，每个KGC秘密保存ks与自己持有的ke，公开P_pub-s与P_pub-e。次要节点A的标识为ID_A，为了产生次要节点A的签名私钥ds_A，KGC首先在有限域上计算t₁＝H₁(ID_A||hid，N)+ks，若t₁不为0，则计算t_j＝ke_j·t₁ ^-1mod N，然后将结果发送给次要节点A，最后次要节点A在本地计算得到自己的私钥。

3.根据权利要求2所述SM9多KGC签名算法方案，其特征在于，提供了一种SM9多KGC签名生成方法：定义消息为比特串M，则次要节点A若需要对其进行数字签名，则首先计算群G_T中元素g＝e(P₁，P_pub-e)，并选取随机数r∈[1，N-1]，计算w＝g^r以及整数h＝H₂(M||w，N)，之后计算整数l＝(r-h)mod N，若l为0，则重新选取随机数，l不为0时则最后计算S＝[l]ds_A，可得到关于消息M的签名(h，S)。

4.根据权利要求2所述SM9多KGC签名算法方案，其特征在于，提供了一种SM9多KGC签名验证方法：定义验证者为次要节点B，其接收到的消息M′的签名为(h′，S′)，如需要验证签名，则需要首先验证h′∈[1，N-1]以及S′∈G₁，若均成立，则计算群G_T中的元素g＝e(P₁，P_pub-e)，再计算群G_T中的元素t＝g^h′与整数h₁＝H₁(ID_A||hid，N)，之后计算群G₂中的元素P＝[h₁]P₂+P_pub-s与群G_T中的元素u＝e(S′，P)，再计算群G_T中的元素w′＝u·t，最后计算h₂＝H₂(M′||w′，N)并与h′进行比较，若一致，则验证通过。

5.根据权利要求2所述基于SM9的群签名算法方案，其特征在于，提供了一种基于SM9的群签名用户加入方法：定义需要加入群的节点A，由GM核实次要节点A的身份ID_A，核对通过后，将ID_A通过权利要求2所述的SM9多KGC签名算法方案进行签名后，通过安全信道发送至KGC，KGC对GM的签名进行验证，完成后提取出ID_A，商定ks∈[1，N-1]，以及每个KGC各自持有ke_i∈[1，N-1]，首先计算d₁＝[H₁(ID_GM||hid，N)+ks]^-1mod N，再根据ID_A计算d₂＝[H₁(ID_A||hid，N)+ks]^-1mod N，得出ds_A′＝[d₂]P₁，之后每个KGC计算ds_Aj＝[ke_j]ds_A′，次要节点A将每个KGC的ds_Aj相加即可得到签名私钥之后次要节点A选取随机数K∈[1，N-1]，计算将结果重新发送给所有KGC，KGC重新计算一次，得发送给次要节点A，次要节点A最后运算可得到次要节点A的群私钥ds_AG。至此次要节点A加入成功，其群密钥对为(ds_A，ds_AG，ID_A，ID_GM)，其中ds_A，ds_AG为私钥，由A保存；ID_GM为GM身份，亦为群签名的唯一标识。同时KGC需要保存用户的身份ID_A。

6.根据权利要求2所述基于SM9的群签名算法方案，其特征在于，提供了一种基于SM9的群签名生成方法：定义群中次要节点A，其要对消息M进行群签名，则其需要首先计算g＝e(P₁，P_pub-e)，并秘密选取随机数r₁∈[1，N-1]与r₂∈[1，N-1]，计算之后计算h＝H₂(M||w，N)，计算S₁＝(r₂ ^-1)·(r₁-h)·ds_A与S₂＝(r₂ ^-1)(r₁-h)·ds_AG，最后计算h₁＝H₁(ID_A||hid，N)，P_3′＝[h₁]P₂+P_pub-s，P₃＝[r₂]P_3′得出次要节点A对消息M的群签名(h，P₃，S₁，S₂)。

7.根据权利要求2所述基于SM9的群签名算法方案，其特征在于，提供了一种基于SM9的群签名验证方法：定义群中次要节点B，接收到的消息M′与其群签名(h′，P₃′，S₁′，S₂′)，群中次要节点B若想验证其是否属于群ID_GM，则需要首先计算h₁＝H₁(ID_GM||hid，N)，接着计算P＝[h₁]P₂+P_{pub s}，之后计算u₁＝e(S₂，P)与u₂＝e(S₁，P_pub-e)，若u₁≠u₂则验证不通过，否则继续计算u＝e(S₁，P₃)，g＝e(P₁，P_{pub e})与t＝g^h′，最终计算w′＝u·t，得到h＝H₂(M′||w′，N)，对比h′与h，一致则验证通过，至此可证明该消息由群ID_GM中某个成员所签名。

8.根据权利要求1所述基于SM9算法的区块链隐私保护方案和系统，其特征在于，提供了一种广播交易信息构成方法：广播的交易信息主要包括与本次交易关联的上次交易信息TX₀以及本次交易的输出UTXO。TX₀用于追溯上次交易的相关信息，并据此核对本次交易输入是否合理。UTXO主要包括各个输出所属的交易信息UTXO₀以及输出哈希值与群签名，除了用于各个节点的确认之外，也作为下次交易输入的核对信息。

9.根据权利要求1所述基于SM9算法的区块链隐私保护方案和系统，其特征在于，提供了一种新生区块构成方法：新生区块需要记录上一个区块的编号Num(Block₀)以及其哈希值Hash(Block₀)来保证区块之间的关联性。同时，生成区块时，需要确定本区块的编号Num(Block)并计算本区块中全部数据的哈希值Hash(Block)，将此四个数据组合，进行签名，最后发布。