CN111010265B

CN111010265B - 基于分层密钥和bls数字签名的区块链组织密钥管理方法

Info

Publication number: CN111010265B
Application number: CN201911331342.0A
Authority: CN
Inventors: 阚海斌; 管吉星; 刘百祥; 陶余会
Original assignee: SHANGHAI CHUWA SOFTWARE CO Ltd; Fudan University
Current assignee: SHANGHAI CHUWA SOFTWARE CO Ltd; Fudan University
Priority date: 2019-12-21
Filing date: 2019-12-21
Publication date: 2023-04-18
Anticipated expiration: 2039-12-21
Also published as: CN111010265A

Abstract

本发明属于区块链技术领域，具体为一种基于分层密钥和BLS数字签名的区块链组织密钥管理方法。本发明的区块链组织密钥管理方法，采用分层密钥的管理方式，将密钥赋予层级归属关系，上层密钥对自己下层密钥拥有完全的控制权，对应于组织的上下级关系；其中，组织首先生成一个根密钥，再通过根密钥进一步生成子密钥、孙密钥；根密钥对其衍生的所有子孙密钥具有绝对控制权，即只要拥有子孙密钥生成时使用的索引编号，即可完全恢复出子、孙密钥的内容，由此可以进行子、孙密钥的任何操作。本发明客服了区块链技术架构下账户只能通过单一的密钥来控制的缺陷，为区块链系统增加更加复杂的账户关系，从而能够支撑企业组织对于区块链授权特性的需求。

Description

基于分层密钥和BLS数字签名的区块链组织密钥管理方法

技术领域

本发明属于区块链技术领域，具体涉及一种用于区块链的组织密钥管理方法。

背景技术

时至今日，计算机已是不可或缺的存在，随着信息化的普及越来越全面，软件系统无处不在，而所有软件必不可少的一部分便是权限控制，如对资源读取的权限控制，对资源修改的权限控制。一般的权限控制使用账户结合角色的机制，每个账户拥有自身的角色列表，每个角色对应着不同的权限，由于资源全部存储在中心化的服务器上，服务器主机可以根据预设好的权限机制进行用户和角色的权限判断，得出拒绝或者接受两种结果。

由比特币衍生出的区块链技术可以称作“区块链1.0”，比特币中的交易使用了未花费交易输出(Unspent Transaction Output，UTXO)[7]来作为账户的余额的表现方法，任何UTXO的花费都需要提供一个签名，放到交易的解锁脚本中运行，只有脚本执行通过，UTXO才可被成功使用。2014年，Vitalik等人提出了以太坊(Ethereum,ETH)[9]并发布了以太坊的开源代码，此系统针对比特币仅仅可以用来支付的局限性做了改进，提出并实现了“智能合约”，使得区块链系统拥有了运行“去中心化应用”(Distrubuted Application，DAPP)的能力，大大的增强了区块链的扩展性。这两种区块链技术中，对与账户所有权的判断完全通过数字签名来实现，同时一个私钥对应一个账户，不同的账户之间没有任何关联，此机制不适应企业和组织的结构，因此难以在组织企业中应用落地。

发明内容

本发明的目的在于解决区块链技术架构下账户只能同通过单一的密钥来控制的缺陷，为区块链系统增加更加复杂的账户关系，以便支撑企业组织对于区块链授权特性的需求，提供一种用于区块链的组织密钥管理方法。

本发明提供的区块链组织密钥管理方法，是基于分层密钥和BLS数字签名技术的，即采用分层密钥的管理方式，将密钥赋予层级归属关系，上层密钥对归属于自己的下层密钥拥有完全的控制权，对应于组织的上下级管理关系。其中，组织首先生成一个根密钥，然后通过根密钥进一步生成子密钥、孙密钥；根密钥对其衍生的所有子孙密钥具有绝对控制权，即只要拥有子孙密钥生成时使用的索引编号，即可完全恢复出子、孙密钥的内容，由此可以进行子、孙密钥的任何操作。这里“组织”是指包含多个人的实体，比如企业、机构等。

本发明提供的区块链组织密钥管理方法，将涉及椭圆曲线双线性配对算法、HMAC散列消息认证码算法。

所述椭圆曲线双线性配对[1]表示将两个椭圆曲线的群上的元素映射到第三个椭圆曲线群上，使用字母e表示，如下：

e:G₁×G₂→G_T

这里，e表示映射，G表示椭圆曲线点的集合；三个椭圆曲线群G₁、G₂、G_T的阶为素数q，G₁的生成元用G₁表示，G₂的生成元用G₂表示，本方法使用的椭圆曲线参数为BLS12-381曲线参数，参考自文献[2]。

所述的HMAC散列消息认证码算法[3]，其函数表示式为：

其中，H为SHA256函数[4]。

本发明中，所述分层密钥管理方式，具体包括：构建密钥生成函数，由主私钥推导子私钥，由主私钥推导子公钥，由主公钥推导子公钥，签名生成，签名验证；

(一)构建密钥生成函数

密钥生成函数使用KeyGen表示，用于生成分层确定性密钥的主密钥对，主密钥对使用(k_par，K_par)表示，密钥生成函数表示为：

KeyGen(λ，S，K)→(k_par，c_par)

k_par称为主私钥，K_par称为主公钥，c_par称为主链码，λ为安全系数，S为随机熵种子，K为预设的一个字符串。

密钥生成函数生成密钥的具体步骤如下(参见图1)：

(1)输入参数：λ，S，K；

(2)根据安全系数λ取对应长度的随机比特序列作为熵种子S，比如1024位随机比特；

(3)计算I＝HMAC_SHA512(Key＝″test″，Data＝S)；这里使用的HMAC函数为前文介绍的HMAC散列消息认证码算法；

(4)将512比特的I切分成2个256比特的序列：

I_L＝I[0:256]；

I_R＝I[256:512]；

(5)若I_L＝0或者I_L≥n，k_par无效，需要重新生成；

(6)主私钥：k_par＝Parse256(I_L)；

(7)主链码：c_par＝I_R；

(8)返回：(k_par，c_par)。

(二)由主私钥推导子私钥

主私钥推导子私钥函数CKDPriv2Priv通过主私钥k_par和主链码c_par推导出子私钥k_i和子链码c_i，输入参数i表示推导的子密钥的编号，i∈[0，2³²)。

由主私钥推导子私钥函数表示为：

CKDPriv2Priv((k_par，c_par)，i)→(k_i，c_i)

主私钥推导子私钥函数从主私钥推导子私钥的具体步骤如下(参见图2)：

(1)检查i是否小于2³²：

是，继续；

否，终止；

(2)计算：D＝0x00||SerPoint(Point(k_par))||ser32(i))；

(3)计算：I＝HAMC_SHA512(Key＝c_par，Data＝D)；

(4)将I拆分成2个256比特的序列：

I_L＝I[0:256]；

I_R＝I[256:512]；

(5)子密钥：k_i＝parse(I_L)+k_par(mod n)；

(6)子链码：c_i＝I_R；

(7)返回：(k_i，c_i)。

(三)由主私钥推导子公钥

由主私钥推导子私钥函数CKDPriv2Pub通过主私钥k_par和主链码c_par推导出子公钥K_i和子链码c_i，此函数首先使用由主私钥推导子私钥的函数CKDPriv2Priv推导出子私钥k_i，再使用k_i计算出子公钥K_i，函数的输入参数与CKDPriv2Priv相同，输出不同。

由主私钥推导子私钥函数表示为：

CKDPriv2Pub((k_par，c_par)，i)→(k_i，c_i)→(K_i，c_i)

由主私钥推导子私钥函数推导子私钥的具体步骤如下(参见图2)：

(1)执行由主私钥推导子私钥的函数：

CKDPriv2Priv((k_par，c_par)，i)

得到(k_i，c_i)；

(2)通过子密钥k_i计算对应的子公钥K_i：

K_i＝Point(k_i)

(3)返回：(K_i，c_i)。

(四)由主公钥推导子公钥

主公钥推导子公钥函数CKDPub2Pub通过主公钥K_par和主链码c_par推导出子公钥K_i和子链码c_i。

主公钥推导子公钥函数为：

CKDPub2Pub((K_par，c_par)，i)→(K_i，c_i)

主公钥推导子公钥函数推导子公钥的具体步骤为(参见图2)：

(1)检查i是否小于2³²

是，继续；

否，终止；

(2)计算：D＝0x00||SerPoint(K_par)||Ser32(i)；

(3)计算：I＝HAMC_SHA512(Key＝c_par，Data＝D)；

(4)将I拆分成2个256比特的序列；

I_L＝I[0:256]；

I_R＝I[256:512]；

(5)子公钥：K_i＝Point(parse(I_L))+K_par；

(6)子链码：c_i＝I_R；

(7)返回：(K_i，c_i)。

子密钥对的简化表示：

本发明使用推导路径法来表示密钥，令主密钥对为(k_par，K_par)，主链码为c_par，此密钥对在区块链中对应的组织名称为ON(Organization Name)。

编号为i的一级子密钥为(k_i，K_i，c_i)＝CKDPriv2Priv((k_par，c_par)，i)，则(k_i，K_i，c_i)的简化表示方法为ON/i。

一级子密钥k_i推导出的编号为j的二级子密钥为：

(k_i，j，K_i，j，c_i，j)＝CKDPriv2Priv((k_i，c_i)，j)，

则(k_i，j，K_i，j，c_i，j)的简化表示方法为ON/i/j。

之后各个层级子密钥对的表示方法以此类推，本发明使用κ来代指分层密钥对的简化表示形式。子密钥简化表示方法可以节省存储空间，同时便于人类阅读，从κ的内容中能够清晰的分辨出此密钥对的归属层级关系。

(五)签名生成

签名生成函数使用私钥对k对消息m进行签名，输出一个数字签名σ。

签名生成函数表示为：

Sign(k，m)→σ；

签名生成函数形成签名的具体步骤为：

(1)将消息m映射为G₁上的点P：P＝MsgToG1(m)；

(2)计算签名γ：γ＝k·P；

(3)序列化签名：σ＝SerPoint(γ)

(4)返回：σ。

(六)签名验证

签名验证函数使用公钥K对消息m的数字签名σ进行验证，输出验证结果r。

签名验证函数表示为：

Verify(K，m，σ)→r；

签名验证函数进行签名验证的具体步骤为：

(1)将消息m映射为G₁上的点P：P＝MsgToG1(m)；

(2)反序列化签名：γ＝ParsePoint(σ)；

(3)验证γ是否为G₁上的点，若不是，令r＝false，返回；

(4)验证n

若不满足，令r＝false，返回；

(5)计算γ和G₂的双线性配对：c＝e(γ，G₂)；

(6)计算P和K的双线性配对：c′＝e(P，K)；

(7)比较c和c′是否相等，若相等，r＝true，否则r＝false；

(8)返回：r。

设区块链是具有区块链特性的自研系统，区块链的一个节点对应一个组织机构实体，多个节点构成一个区块链网络。基于上述设计，本发明提出的区块链组织密钥管理方法，具体流程为(参见图3所示)：

(1)首先进行初始化，启动区块链节点；

(2)组织的管理员，首先使用密钥生成函数KeyGen()自行生成主私钥和主链码，然后构造一个包含组织机构详细信息的json格式数据，使用私钥对此json数据调用签名生成函数Sign()进行签名；最后将签名后的消息广播到区块链网络中；此处的消息包含组织的名称、公钥和链码。

(3)组织的管理员妥善保管自行生成的私钥和链码；当需要生成新的私钥时，使用主私钥推导子私钥函数CKDPriv2Priv()生成子私钥，其输入主私钥和主链码以及子私钥编号i，比如i＝1时，生成的私钥路径为org/1，使用生成的子私钥再生成孙私钥，方法相同。

(4)生成的子、孙私钥可用于向区块链网络中签名并发送交易消息。消息发送时附带私钥对应的路径信息，如org/1，节点收到交易消息之后，根据路径信息解析私钥对应的组织名称，之后使用组织的公钥和链码，通过由主公钥推导子公钥函数CKDPub2Pub()计算出消息签名的账户对应的公钥，此后即可使用签名验证函数Verify()方验证签名的真伪。

(5)签名验证，节点收到消息之后需要对消息中的数字签名进行验证，具体为调用Verify(K，m，σ)签名验证函数，得到验证结果(通过或不通过)；

(5.1)如果签名验证通过，节点记录此交易消息，并将其打包到区块中。

(5.2)如果签名验证不通过，节点拒绝并丢弃此消息。

(6)组织管理员需要撤销一个子孙密钥的权限时，构造一个Revoke交易并对其签名，之后广播到区块链网络中。交易消息中包含了欲撤销的密钥的路径信息，节点接受到消息之后将此账户标记为invalid，之后所有由此帐户签名的交易消息都会被节点拒绝。

与现有技术相比，本发明的有益效果：

本发明方法基于BLS数字签名的分层密钥技术，此技术适应于区块链的去中心化技术架构，用于方便企业对多个密钥的控制，本发明的分层密钥技术具有天然的层级结构，能够解决企业组织在使用区块链技术时所有财产和资源均归属于单一密钥的问题。客服了区块链技术架构下账户只能通过单一的密钥来控制的缺陷，为区块链系统增加更加复杂的账户关系，从而能够支撑企业组织对于区块链授权特性的需求。

目前公有链中企业如需绑定多个密钥，需要系统额外的账户信息绑定机制的支持，同时随着绑定密钥数量的增加，存储在区块链上的数据也随之增加，本发明可将密钥与组织之间的绑定关系通过密钥自身的特征体现出来，无需使用额外的账户绑定机制。在向区块链网络发送一笔交易时，发送者仍然使用私钥进行签名，但交易消息无需附带签名者的公钥信息，只需要携带该密钥的路径信息(比如“org/0/1”)即可。

附图说明

图1为组织创建流程图示。

图2为子账户(密钥)创建流程图示。

图3为密钥管理方法流程图示。

具体实施方式

下面结合附图对本发明的具体实施方式进行详细描述。在以本发明技术方案为前提下进行使用，以便相关领域的技术人员能更好地理解本发明的技术特点和功能特点，但本发明的保护范围不限于下述使用案例。

在本使用案例中，编程语言为Golang和JavaScript，区块链是具备基本区块链特性的自研系统，浏览器为Chrome，用于打开JavaScript编写的页面应用，本系统是区块链、B/S架构的Web系统。具体步骤如下(见图3)：

(1)首先进行初始化，使用genesis.json文件作为配置文件，启动区块链节点，一个组织机构启动一个节点，多个节点构成一个区块链网络。

(2)组织的管理员使用web页面进行各种操作。首先使密钥生成函数KeyGen()自行生成主私钥和主链码，构造一个json格式的组织信息:

使用私钥和签名生成函数Sign()对上述信息进行签名。最后将签名后的消息广播到区块链网络中；此处的消息包含组织的名称、公钥和链码，计算出的数字签名内容填写到signature中:

(3)组织的管理员妥善保管自行生成的私钥和链码，需要生成新的私钥时，使用主私钥推导子私钥函数CKDPriv2Priv()生成子私钥，其输入主私钥和主链码以及子私钥编号i，比如i＝1时，生成的私钥路径为org/1，使用生成的子私钥再生成孙私钥，方法相同。

(4)生成的子、孙私钥可用于向区块链网络中签名并发送交易消息。消息发送时附带私钥对应的路径信息，如org/1，消息示例如下：

节点收到交易消息之后，根据路径信息解析私钥对应的组织名称，之后使用组织的公钥和链码，通过由主公钥推导子公钥函数CKDPub2Pub()计算出消息签名的账户对应的公钥，此后即可使用签名验证函数来验证签名的真伪。

(5)签名验证；节点收到消息之后需要对消息中的数字签名进行验证，具体为调用Verify(K，m，σ)签名验证函数，得到验证结果(通过或不通过)；

(5.2)如果签名验证不通过，节点拒绝并丢弃此消息。

(6)组织管理员需要撤销一个子孙密钥的权限时，构造一个Revoke交易消息并对其签名，之后广播到区块链网络中。交易消息示例如下：

交易消息中包含了欲撤销的密钥的路径信息，即上述示例的account字段中，节点接收到消息之后将此账户标记为invalid，之后所有由此帐户签名的交易消息都会被节点拒绝。

参考文献

[1]Costello C.Pairings for beginners[J].2012.

[2]Dan Boneh；Ben Lynn&HovavShacham(2004)."Short Signatures from theWeil Pairing".Journal of Cryptology.17(4):297–319.

[3]PUB F.Secure hash standard(shs)[J].FIPS PUB,2012,180(4).

[4]Krawczyk H,Canetti R,Bellare M.HMAC:Keyed-hashing for messageauthentication[J].1997.。

Claims

1.一种基于分层密钥和BLS数字签名的区块链组织密钥管理方法，其特征在于，采用分层密钥的管理方式，将密钥赋予层级归属关系，上层密钥对归属于自己的下层密钥拥有完全的控制权，对应于组织的上下级管理关系；其中，组织首先生成一个根密钥，然后通过根密钥进一步生成子密钥、孙密钥；根密钥对其衍生的所有子孙密钥具有绝对控制权，即只要拥有子孙密钥生成时使用的索引编号，即可完全恢复出子、孙密钥的内容，由此可以进行子、孙密钥的任何操作；

所述分层密钥管理方式，依次包括：构建密钥生成函数，由主私钥推导子私钥，由主私钥推导子公钥，由主公钥推导子公钥，签名生成，签名验证；其中：

(一)构建密钥生成函数

密钥生成函数使用KeyGen表示，用于生成分层确定性密钥的主密钥对，主密钥对使用(k_par,K_par)表示，密钥生成函数表示为：

KeyGen(λ,S,K)→(k_par,c_par)

k_par称为主私钥，K_par称为主公钥，c_par称为主链码，λ为安全系数，S为随机熵种子，K为预设的一个字符串；

(二)由主私钥推导子私钥

主私钥推导子私钥函数CKDPriv2Priv通过主私钥k_par和主链码c_par推导出子私钥k_i和子链码c_i，输入参数i表示推导的子密钥的编号，i∈[0,2³²)；

由主私钥推导子私钥函数表示为：

CKDPriv2Priv((k_par,c_par),i)→(k_i,c_i)；

(三)由主私钥推导子公钥

由主私钥推导子私钥函数CKDPriv2Pub通过主私钥k_par和主链码c_par推导出子公钥K_i和子链码c_i，此函数首先使用由主私钥推导子私钥的函数CKDPriv2Priv推导出子私钥k_i，再使用k_i计算出子公钥K_i，函数的输入参数与CKDPriv2Priv相同，输出不同；

由主私钥推导子私钥函数表示为：

CKDPriv2Pub((k_par,c_par),i)→(k_i,c_i)→(K_i,c_i)；

(四)由主公钥推导子公钥

主公钥推导子公钥函数CKDPub2Pub通过主公钥K_par和主链码c_par推导出子公钥K_i和子链码c_i；

主公钥推导子公钥函数为：

CKDPub2Pub((K_par,c_par),i)→(K_i,c_i)；

(五)签名生成

签名生成函数使用私钥对k对消息m进行签名，输出一个数字签名σ；

签名生成函数表示为：

Sign(k,m)→σ；

(六)签名验证

签名验证函数使用公钥K对消息m的数字签名σ进行验证，输出验证结果r；

签名验证函数表示为：

Verify(K,m,σ)→r；

签名验证函数进行签名验证的具体步骤为：

(1)将消息m映射为G₁上的点P：P＝MsgToG1(m)；

(2)反序列化签名：γ＝ParsePoint(σ)；

(3)验证γ是否为G₁上的点，若不是，令r＝false，返回；

(4)验证

若不满足，令r＝false，返回；

(5)计算γ和G₂的双线性配对：c＝e(γ,G₂)；

(6)计算P和K的双线性配对：c^′＝e(P,K)；

(7)比较c和c′是否相等，若相等，r＝true，否则r＝false；

(8)返回：r。

2.根据权利要求1所述的区块链组织密钥管理方法，其特征在于，密钥生成函数生成密钥的具体步骤如下：

(1)输入参数：λ，S，K；

(2)根据安全系数λ取对应长度的随机比特序列作为熵种子S；

(3)计算I＝HMAC_SHA512(Key＝″test″，Data＝S)；

(4)将512比特的I切分成2个256比特的序列：

I_L＝I[0：256]，

I_R＝I[256：512]，

(5)若I_L＝0或者I_L≥n，k_par无效，需要重新生成；

(6)主私钥：k_par＝Parse256(I_L)；

(7)主链码：c_par＝I_R；

(8)返回：(k_par，c_par)。

3.根据权利要求2所述的区块链组织密钥管理方法，其特征在于，主私钥推导子私钥函数从主私钥推导子私钥的具体步骤如下：

(1)检查i是否小于2³²：

是，继续；

否，终止；

(2)计算：D＝0x00||SerPoint(Point(k_par))||ser32(i))；

(3)计算：I＝HAMC_SHA512(Key＝c_par，Data＝D)；

(4)将I拆分成2个256比特的序列：

I_L＝I[0：256]；

I_R＝I[256：512]；

(5)子密钥：k_i＝parse(I_L)+k_par(mod n)；

(6)子链码：c_i＝I_R；

(7)返回：(k_i，c_i)。

4.根据权利要求3所述的区块链组织密钥管理方法，其特征在于，由主私钥推导子私钥函数推导子私钥的具体步骤如下：

(1)执行由主私钥推导子私钥的函数：

CKDPriv2Priv((k_par，c_par)，i)

得到(k_i，c_i)；

(2)通过子密钥k_i计算对应的子公钥K_i：

K_i＝Point(k_i)；

(3)返回：(K_i，c_i)。

5.根据权利要求4所述的区块链组织密钥管理方法，其特征在于，主公钥推导子公钥函数推导子公钥的具体步骤为：

(1)检查i是否小于2³²

是，继续；

否，终止；

(2)计算：D＝0x00||SerPoint(K_par)||Ser32(i)；

(3)计算：I＝HAMC_SHA512(Key＝c_par，Data＝D)；

(4)将I拆分成2个256比特的序列；

I_L＝I[0：256]；

I_R＝I[256：512]；

(5)子公钥：K_i＝Point(parse(I_L))+K_par；

(6)子链码：c_i＝I_R；

(7)返回：(K_i，c_i)。

6.根据权利要求5所述的区块链组织密钥管理方法，其特征在于，签名生成函数形成签名的具体步骤为：

(1)将消息m映射为G₁上的点P：P＝MsgToG1(m)；

(2)计算签名γ：γ＝k·P；

(3)序列化签名：σ＝SerPoint(γ)

(4)返回：σ。

7.根据权利要求1-6之一所述的区块链组织密钥管理方法，其特征在于：

设区块链是具有区块链特性的自研系统，区块链的一个节点对于一个组织，多个节点构成一个区块链网络，具体步骤为：

(1)首先进行初始化，启动区块链节点；

(2)组织的管理员首先使用密钥生成函数KeyGen()自行生成主私钥和主链码，然后构造一个包含组织机构详细信息的json格式数据，使用私钥对此json数据调用签名生成函数Sign()进行签名；最后将签名后的消息广播到区块链网络中；此处的消息包含组织的名称、公钥和链码；

(3)组织的管理员妥善保管自行生成的私钥和链码；当需要生成新的私钥时，使用主私钥推导子私钥函数CKDPriv2Priv()生成子私钥，其输入主私钥和主链码以及子私钥编号i，使用生成的子私钥再生成孙私钥，方法相同；

(4)生成的子、孙私钥用于向区块链网络中签名并发送交易消息；消息发送时附带私钥对应的路径信息，节点收到交易消息之后，根据路径信息解析私钥对应的组织名称，之后使用组织的公钥和链码，通过由主公钥推导子公钥函数CKDPub2Pub()计算出消息签名的账户对应的公钥，此后即使用签名验证函数Verify()方验证签名的真伪；

(5)签名验证；

(5.1)如果签名验证通过，节点记录此交易消息，并将其打包到区块中；

(5.2)如果签名验证不通过，节点拒绝并丢弃此消息；

(6)当组织管理员需要撤销一个子孙密钥的权限时，构造一个Revoke交易并对其签名，之后广播到区块链网络中；交易消息中包含欲撤销的密钥的路径信息，节点接受到消息之后将此账户标记为invalid，之后所有由此帐户签名的交易消息都会被节点拒绝。