CN110599163A - 一种面向区块链交易监管的交易记录外包方法 - Google Patents

Abstract

本发明公开一种面向区块链交易监管的交易记录外包方法，包括以下步骤：系统初始化，用户属性私钥生成，离线加密，离线解密，交易记录数据传输，在线加密，在线解密，交易记录真实性验证。本发明包括的系统成员为：基于区块链的交易平台，交易拥有者，监管者，云服务器和可信第三方TTP。本发明为区块链交易提供了安全、高效、隐私保护的交易记录存储环境，解决了交易记录的隐私保护性和可监管性的矛盾问题。

Description

一种面向区块链交易监管的交易记录外包方法

技术领域

本发明涉及区块链安全交易技术，具体涉及一种面向区块链交易监管的交易 记录外包方法。

背景技术

区块链技术是现代去中心化在线交易的核心技术之一，具有维持交易的完整 性且提供完整性验证证据的能力。因此，将区块链技术应用于实现安全在线交易 是当今智能交易的大趋势。但是随着时间的累积，在线交易将产生巨大的交易记 录数据量，这些交易记录的完整保存是一项浩大的工程，更重要的是对网络交易 的监管提供了重要的数据支持。为了完整地保存这些交易记录，可以通过两种存 储方式来进行：

(1)存储在区块链上。区块链具有保证数据不被篡改的能力。但是区块 链上的存储代价非常高，1MB的数据存储在区块链上大约耗费3.76ETH(以太 币)。

(2)存储在云服务器上。云计算具有灵活、强大、低成本的存储和计算 能力，但是存在的问题是云作为第三方营利机构，它具有不可信性。首先，它很 好奇，希望从存储的数据中推测出交易拥有者或者用户的个人机密信息。其次， 有些云服务器存在主动或者被动地篡改、伪造和丢失交易记录等的恶意行为。

为了实现针对区块链交易的外包数据的隐私保护和安全分享，业界进行了大 量努力，分别给出了基于区块链的交易、基于Merkle哈希树(MHT，Merkle hash tree)的数据真实性验证技术和访问控制方案。

1、基于区块链的交易

自从2008年中本聪首次提出区块链以来，区块链已被研究应用于多个交易 领域中以保证安全、公平、高效的交易，如抽奖、能源交易、电力市场、商业处 理管理等。由于区块链使用了密码学的数据结构，篡改区块链中的数据非常具有 挑战性，难以实现。因此，区块链技术能够使得交易方之间在不依赖可信第三方 的情况下就可以进行可信交互，因此在交易处理过程中既提高了交易效率，又节 省了成本。但是交易记录的隐私保护存储和可监管的矛盾问题还未引起足够的重 视。

2、基于MHT的数据真实性验证技术

基于MHT的数据真实性验证技术最初是由Ralph C.Merkle在1980年提出 的，是目前主流的外包数据真实性验证技术，其基本思想是用抗碰撞性的哈希运 算来代替签名，原因是哈希运算比签名操作开销小，速度快。MHT通常是一棵 二叉树，每个叶子节点指向一条信息记录并保存对应的哈希值，中间节点存储子 节点哈希值串联后再做哈希计算得到的结果，最后数据源使用私钥对根节点的哈 希值签名，并公布数据源的公钥，所以客户端能够验证根节点的正确性。因为哈 希函数具有抗碰撞性，所以要篡改某节点的哈希值又使得根节点的哈希值不会发 生改变在计算上是不可行的。

3、访问控制方案

基于身份的加密是一种经典的细粒度数据访问控制机制。进一步地，基于属 性的加密(ABE，Attribute-based encryption)方案使用属性集合来定义一个用户 的身份。Sahai和Waters首次提出将通过ABE方案对敏感数据进行加密，从而 实施访问控制。后来Goyal等和Bethencourt等分别将ABE方案扩展成密钥策略 属性基加密(KP-ABE，Key-policy attribute based encryption)方案和密文策略属 性基加密(CP-ABE，Ciphertext-policy attribute based encryption)方案。在密钥 策略属性基加密KP-ABE方案中，用户的私钥关联于基于属性的访问策略。当 且仅当用密文的属性集合满足用户私钥关联的访问策略时，该用户才能成功解密。 而在密文策略属性基加密CP-ABE方案中，密文关联于基于属性的访问策略，而 用户私钥产生自其身份特征的属性集合。用户能够成功解密当且仅当其属性集合 满足密文中指定的访问策略时。

但目前的CP-ABE方案具有加解密操作复杂度较高、无法满足实际应用中的 实时监管需求等缺陷。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种面向区 块链交易监管的交易记录验证方法。

技术方案：本发明的一种面向区块链交易监管的交易记录外包方法，其特征 在于：包括以下步骤：

(1)系统初始化；

交易记录信息的传输格式为<m，ID_m，HS_m>，m是指一条交易记录(描 述了交易时间、交易成员、交易项目、交易金额等)，ID_m是指基于交易记录m 生成的区块号，HS_m是指能够重构出ID_m区块中MHT根节点哈希值的最小哈希 值集合；

交易记录信息的密文存储格式为<ComT_m,ID_m,HS_m>，ComT_m是交易记录m 的完整密文；

可信第三方TTP调用CP-ABE法中的初始化算法计算系统公钥pk和主密钥 mk；值得注意的是公钥pk对全网公开，而主密钥mk仅为可信第三方TTP所知

(2)用户属性私钥生成；可信第三方TTP将监管者Bob的身份属性集合(描 述身份特征，比如身份属性集合{省份：江苏，工作性质：公务员，部门：工商 局，职位：科员}描述的是江苏省工商局科员这类用户)、系统公钥pk和主密钥 mk作为输入，然后使用CP-ABE法的密钥生成算法为该监管者Bob生成属性私钥 SK_u；最后可信第三方再将该属性私钥SK_u安全地发送给该用户u；

(3)离线加密；首先交易拥有者Alice确定访问策略树T并虚构一条交易记 录m’，然后设置一个对称密钥k和辅助私钥R，并基于访问策略树T对交易记录m’ 进行加密产生交易记录密文ComT_m’＝<C_c,C_m’>；最后将完整的交易记录密文 ComT_m’＝<C_c,C_m’>上传到云端进行存储；

其中，C_c为公共密文元素，即该交易拥有者后来基于同一套访问策略树T加 密的所有交易记录都有密文元素C_c；C_m’为特有密文元素，因为每条交易记录的 密文中都有一个特有的密文元素C_m’；

(4)离线解密；监管者使用属性私钥SK_u来解密公有密文元素C_c；若该监管 者的属性集合满足访问策略树T，则该监管者能够解得对称密钥k和辅助私钥R； 否则，该监管者无法成功解密，返回空值null；

(5)传输交易记录数据；在有新的交易记录m_i产生时，基于区块链的交易 平台将该交易记录m_i、所处的区块号及其必要的最小哈希值集合发送给 相应的交易拥有者；

(6)在线加密；交易拥有者接收到新交易记录m_i后，使用密文C_m’以及对称 密钥k和辅助私钥R为新交易记录实时计算密文C_mi；新交易记录m_i的密文在云服 务器中的存储格式为<C_c,C_mi,ID_mi,HS_mi>；

(7)在线解密；监管者从云服务器中下载交易记录的特有密文元素C_mi，然 后采用所解得的对称密钥k和辅助私钥R对该交易记录密文C_mi进行解密可得到交 易记录m_i；

(8)验证交易记录真实性；监管者首先从云端下载相应的ID_mi和HS_mi，然 后结合步骤(7)解得的交易记录m_i重构出MHT的根节点哈希值，记为hash′_root； 接着在区块链中查找到区块ID_mi，取得其中所存储的MHT根哈希值，记为hash_root； 最后判断hash′_root与hash_roo_t是否相等；若两者相等，则说明步骤(7)解得的交易 记录m_i是原封不动地来自于基于区块链的交易平台的；若不相等，则说明m_i不是 真实的，不可作为监管的依据。

进一步的，所述步骤(3)中，使用对称密钥k和辅助私钥R对交易记录m_i进 行加密时，引入一些随机数，然后与对称加密机制一起来为交易记录m_i产生密文 C_mi；这种双密钥加密机制能够使访问策略更新操作代理给多个不勾结的云服务 器，从而降低了交易拥有者的代价。

进一步的，所述随机数为然后按照下式计算两个随机参数R′₁、R′₂和一个辅助私钥R：

R′₁和R′₂是两个随机参数，R是辅助私钥；然后交易拥有者Alice随机虚构一 条交易记录m’，随机选择一个对称密钥k∈G_T，再根据相关政府监管部门设定的 访问策略树T来加密m’得到其完整密文信息ComT_m′＝<C_c,C_m′>，其中特有密文

元素C_m′和公共密文元素C_c如下两式所示：

其中E_k(·)是基于对称密钥k的对称加密算法，CPABE.Encrypt(·)是指调用传统密文策略属性基加密CP-ABE方案中的加密算法。

进一步的，所述步骤(4)的离线解密过程中，

k＝CPABE.Decrypt(pk,C_k,SK_u),R＝CPABE.Decrypt(pk,C_R,SK_u)。

进一步的，所述步骤(6)中在线加密的具体过程为：

(6.1)交易拥有者Alice从云服务器端获得密文元素C_m′的成员并使用 在离线加密时设置的对称密钥k来解密得到其中D_k(·)是和对称 加密算法E_k(·)对应的对称解密算法；

(6.2)交易拥有者Alice首先选择一个随机数△s∈Z_p，并计算

△R_i＝e(g,g)^α·△s

然后使用△R_i更新R′₁为并加密为如下式所示：

接着交易拥有者Alice计算下式

之后将和发送给云服务器；

(6.3)云服务器接收到和之后，为新交易记录m_i计算密文元素如下式所示：

其中取自虚拟交易记录m’的密文元素C_m′。

至此新交易记录m_i的完整密文计算完成，即

进一步的，所述步骤(7)中在线解密的具体过程为：

监管者Bob首先从云服务器下载交易记录m_i的特有密文元素然后使用从离线解密中得到的对称密钥k和辅助私钥R依次解密得到 和

上述发明中主要包括以下三个内容：交易可监管、轻量级存储和交易信息隐 私保护。交易可监管通过采用基于密文策略属性基加密的访问控制技术来实现的。 轻量级存储是通过将区块链和云计算相结合，将每个区块体存储到云端的外包思 路来实现的。交易信息隐私保护通过对交易记录使用“先加密在上传”的外包模式 在实现的。

有益效果：本发明与现有技术相比具有以下优点：

(1)本发明基于云计算和区块链技术，将两者进行结合互补不足，提出了 一套新颖的交易外包协议，实现了交易记录的安全且真实完整的外包存储。

(2)本发明基于传统的密文策略属性基加密CP-ABE方案，保留其细粒度 的访问控制特性，加入一个对称密钥k和辅助密钥R，从而将加解密过程解耦成 离线和在线两部分，设计出一套双密钥版CP-ABE，使得在线加解密的计算代价 由传统的O(n)降低为O(1)，其中n为访问策略树T的叶子节点数量。

(3)本发明在与区块链数据结构保持兼容的前提下，向监管者提供最少且 足够的MHT的部分叶子节点和中间节点的哈希值，使得在不暴露其他交易记录 的同时监管者就可以对自己解密的交易记录进行真实完整性验证。

附图说明

图1为实施例中的系统模型示意图；

图2为实施例中的交易记录外包协议结构示意图；

图3为实施例的流程示意图；

图4为实施例的交易记录外包协议系统仿真搭建示意图；

图5为本发明实施例中的一个区块；

图6为本发明实施例中基于区块链的交易平台与交易拥有者之间的信息传递 格式示意图；

图7为本发明实施例中的交易记录密文在云服务器中的存储格式示意图；

图8为本发明实施例中MHT根节点哈希值重构示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述 实施例。

如图1至图5所示，本发明的一种面向区块链交易监管的交易记录外包方法，包 括以下环节：系统初始化，用户属性私钥生成，离线加密，离线解密，交易记录 数据传输，在线加密，在线解密，交易记录真实性验证。各环节的执行流程见图3所示。

实施例1：

本实施例假设一个交易拥有者为Alice，监管者为Bob，以此为例来具体阐述 上述8个环节如下：

环节ⅰ(系统初始化)：

可信第三方TTP调用传统密文策略属性基加密CP-ABE方案的初始化算法 来计算出系统公钥pk和主密钥mk。值得注意的是公钥pk对全网公开，而主密 钥mk仅为可信第三方TTP所知。

环节ii(用户属性私钥生成)：

可信第三方TTP将监管者的身份属性集合、环节i系统初始化后产生的系统 公钥pk和主密钥mk作为输入，传统密文策略属性基加密CP-ABE方案的密钥 生成算法，来为该监管者生成属性私钥SK_u。最后可信第三方再将该属性私钥SK_u安全地发送给该用户u。

环节iii(离线加密)：

在还未真正加密实际的交易记录之前，交易拥有者Alice在空闲时间执行此 离线加密环节。首先，交易拥有者Alice选择两个随机数并计算

其中R称为辅助密钥。然后交易拥有者Alice随机虚构一条交易记录m’，随机选 择一个对称密钥k∈G_T，再根据相关政府监管部门设定的访问策略树T来加密m’ 得到其完整密文信息ComT_m′＝<C_c,C_m′>，其中特有密文元素C_m′和公共密文元素 C_c如下两式所示：

其中E_k(·)是基于对称密钥k的对称加密算法，CPABE.Encrypt(·)是指调用传统密 文策略属性基加密CP-ABE方案中的加密算法。最终交易拥有者Alice将虚拟交 易记录m’的完整密文为ComT_m′＝<C_c,C_m′>上传到云服务器中进行存储。值得注意 的是，此处完整密文序偶的第一元素C_c将是该交易拥有者Alice接下来所有实际 交易记录的公共密文元素，而第二元素C_m′对于每条交易记录的密文来说都是不 同的，因此称为特有密文元素。

环节iv(离线解密)：

每个监管者在开始访问实际交易记录之前需要离线执行该环节以得到环节 iii中设置的对称密钥k和辅助密钥R。值得注意的是，在访问同一个交易拥有者 的基于同一套访问策略树加密的交易记录时，每个监管者仅需要执行一次该环节 iv离线解密。

首先，监管者Bob从云服务器端下载相应的公共密文元素C_c，然后利用从 环节ii得到的属性私钥SK_u来两次调用传统密文策略属性基加密CP-ABE方案中 的解密算法对公共密文C_c进行解密。若其属性私钥SK_u关联的属性集合A_u符合 密文C_c所对应的访问策略树T，那么监管者Bob将得到对称密文k和辅助密钥R， 如下式所示：

k＝CPABE.Decrypt(pk,C_k,SK_u),R＝CPABE.Decrypt(pk,C_R,SK_u)(6)

环节v(交易记录数据传输)：

在有新的交易记录m_i产生时，基于区块链的交易平台将该交易记录m_i、所 处的区块号及其必要的最小哈希值集合发送给相应的交易拥有者。以 图5中的一个区块为例，假设其区块号为123，包括四条交易记录m₁、m₂、m₃、 m₄，其中m₁是隶属于交易拥有者Alice的交易记录，然后此交易平台将这些交 易记录以及区块号123、哈希集按照图6的数据 格式所示发送给该交易拥有者Alice。

环节vi(在线加密)：

交易拥有者Alice在接收到新的交易记录m_i之后，与云服务器协作执行三个 步骤来完成该环节vi在线加密。具体描述如下：

步骤1：交易拥有者Alice从云服务器端获得密文元素C_m′的成员(见式 (4)所示)，并使用在环节iii设置的对称密钥k来解密得到其中 D_k(·)是和对称加密算法E_k(·)对应的对称解密算法。

步骤2：交易拥有者Alice首先选择一个随机数△s∈Z_p，并计算

△R_i＝e(g,g)^α·△s (7)

然后使用△R_i更新步骤1中的R′₁为并加密为如下式所示：

接着交易拥有者Alice计算下式

之后将和发送给云服务器。

步骤3：云服务器接收到和之后，为新交易记录m_i计算密文元素如下式所示：

其中取自虚拟交易记录m’的密文元素C_m′(见式(4)所示)。

至此新交易记录m_i的完整密文计算完成，即如图7所示新交易记录m₁和虚拟交易记录m’的密文在云中的存储格式。

环节vii(在线解密)：

监管者Bob首先从云服务器下载交易记录m_i的特有密文元素然后使用从环节iv离线解密中得到的对称密钥k和辅助私钥R依次解密得到 和

环节viii(交易记录真实性验证)：

监管者Bob通过此环节可以验证交易记录是否完完整整地来自基于区块链 的交易平台，即是否被篡改或者伪造。该环节主要包括两个步骤，下面以图5 中的交易记录m₁为例来具体讲述这两个步骤。

步骤1：监管者Bob在通过环节vii在线解密得到m₁之后，从云服务器端下 载相应的区块号123和哈希集然后从下向上重 构出MHT根节点的哈希值，记为hash′_root，具体构造过程见图8所示。

步骤2：监管者Bob根据区块号123定位到交易平台区块链中的相应区块头， 并取出其中的MHT根哈希值，记为hash_root。该监管者验证hash′_root与hash_root是否 相等。若相等，则说明在环节vii在线解密得到的交易记录m₁是真实可信的，否 则说明交易记录m₁无效，已被交易拥有者Alice或者其他黑客篡改或者伪造。

通过上述实施例砍可以看出，首先，本发明将区块链和云计算相结合，各取 所长弥补了区块链存储代价太高和云计算不可信性的缺点。其次，本发明将加密 过程解耦成离线和在线两部分进行，其中对于每个交易拥有者来说，离线加密过 程仅需要执行一次。离线和在线加密的解耦设计使得访问控制的效率足以匹配区 块链的吞吐量，从而在满足隐私保护外包的同时也支持实时的交易监管。综上， 本发明为区块链交易提供了安全、高效、隐私保护的交易记录存储环境，解决了 交易记录的隐私保护性和可监管性的矛盾问题。

Claims (6)

1.一种面向区块链交易监管的交易记录外包方法，其特征在于：包括以下步骤：

(1)系统初始化；

交易记录信息的传输格式为<m，ID_m，HS_m>，m是指一条交易记录，ID_m是指基于交易记录m生成的区块号，HS_m是指能够重构出ID_m区块中MHT根节点哈希值的最小哈希值集合；交易记录信息的密文存储格式为<ComT_m,ID_m,HS_m>，ComT_m是交易记录m的完整密文；可信第三方TTP调用CP-ABE法中的初始化算法计算系统公钥pk和主密钥mk；

(2)用户属性私钥生成；可信第三方TTP将监管者Bob的身份属性集合、初始化后产生的系统公钥pk和主密钥mk作为输入，然后使用CP-ABE法的密钥生成算法为该监管者Bob生成属性私钥SK_u；最后可信第三方再将该属性私钥SK_u安全地发送给该用户u；

(3)离线加密；首先交易拥有者Alice确定访问策略树T并虚构一条交易记录m’，然后设置一个对称密钥k和辅助私钥R，并基于访问策略树T对交易记录m’进行加密产生交易记录密文ComT_m’＝<C_c,C_m’>；最后将完整的交易记录密文ComT_m’＝<C_c,C_m’>上传到云端进行存储；

其中，C_c为公共密文元素，即该交易拥有者后来基于同一套访问策略树T加密的所有交易记录都有密文元素C_c；C_m’为特有密文元素，因为每条交易记录的密文中都有一个特有的密文元素C_m’；

(4)离线解密；监管者使用属性私钥SK_u来解密公有密文元素C_c；若该监管者的属性集合满足访问策略树T，则该监管者能够解得对称密钥k和辅助私钥R；否则，该监管者无法成功解密，返回空值null；

(5)传输交易记录数据；在有新的交易记录m_i产生时，基于区块链的交易平台将该交易记录m_i、所处的区块号及其必要的最小哈希值集合发送给相应的交易拥有者；

(6)在线加密；交易拥有者接收到新交易记录m_i后，使用密文C_m’以及对称密钥k和辅助私钥R为新交易记录实时计算密文C_mi；新交易记录m_i的密文在云服务器中的存储格式为<C_c,C_mi,ID_mi,HS_mi>；

(7)在线解密；监管者从云服务器中下载交易记录的特有密文元素C_mi，然后采用所解得的对称密钥k和辅助私钥R对该交易记录密文C_mi进行解密可得到交易记录m_i；

(8)验证交易记录真实性；监管者首先从云端下载相应的ID_mi和HS_mi，然后结合步骤(7)解得的交易记录m_i重构出MHT的根节点哈希值，记为hash′_root；接着在区块链中查找到区块ID_mi，取得其中所存储的MHT根哈希值，记为hash_root；最后判断hash′_root与hash_root是否相等；若两者相等，则说明步骤(7)解得的交易记录m_i是原封不动地来自于基于区块链的交易平台的；若不相等，则说明m_i不是真实的，不可作为监管的依据。

2.根据权利要求1所述的面向区块链交易监管的交易记录外包方法，其特征在于：所述步骤(3)中，使用对称密钥k和辅助私钥R对交易记录m_i进行加密时，引入相应随机数，然后与对称加密机制一起来为交易记录m_i产生密文C_mi。

3.根据权利要求2所述的面向区块链交易监管的交易记录外包方法，其特征在于：所述随机数为然后按照下式计算两个随机参数R′₁、R′₂和一个辅助私钥R

R＝R′₁/R′₂

R′₁和R′₂是两个随机参数，R是辅助私钥；然后交易拥有者Alice随机虚构一条交易记录m’，随机选择一个对称密钥k∈G_T，再根据相关政府监管部门设定的访问策略树T来加密m’得到其完整密文信息ComT_m′＝<C_c,C_m′>：

其中E_k(·)是基于对称密钥k的对称加密算法，CPABE.Encrypt(·)是指调用传统密文策略属性基加密CP-ABE方案中的加密算法。

4.根据权利要求1所述的面向区块链交易监管的交易记录外包方法，其特征在于：所述步骤(4)的离线解密过程中，

k＝CPABE.Decrypt(pk,C_k,SK_u),R＝CPABE.Decrypt(pk,C_R,SK_u)；

其中，C_k＝CPABE.Encrypt(T,k,pk)，C_R＝CPABE.Encrypt(T,R,pk)。

5.根据权利要求1所述的面向区块链交易监管的交易记录外包方法，其特征在于：所述步骤(6)中在线加密的具体过程为：

(6.1)交易拥有者Alice从云服务器端获得密文元素C_m′的成员并使用在离线加密时设置的对称密钥k来解密得到其中D_k(·)是和对称加密算法E_k(·)对应的对称解密算法；

(6.2)交易拥有者Alice首先选择一个随机数△s∈Z_p，并计算

△R_i＝e(g,g)^α·△s

然后使用△R_i更新R′₁为并加密为如下式所示：

接着交易拥有者Alice计算下式

之后将和发送给云服务器；

(6.3)云服务器接收到和之后，为新交易记录m_i计算密文元素如下式所示：

其中取自虚拟交易记录m’的密文元素C_m′；

至此新交易记录m_i的完整密文计算完成，即

6.根据权利要求1所述的面向区块链交易监管的交易记录外包方法，其特征在于：所述步骤(7)中在线解密的具体过程为：

监管者Bob首先从云服务器下载交易记录m_i的特有密文元素然后使用从离线解密中得到的对称密钥k和辅助私钥R依次解密得到和