CN113065141B - 一种区块链的持续的门限群更新方法 - Google Patents

Abstract

本发明提供一种区块链的持续的门限群更新方法，在异常情况下，比如网络异常导致某些发送方的共享没有及时的到达某些接收方，节点发出错误的共享，本发明能处理投诉表中的恶节点比较多时可能这个表就无法被处理的情况，能在这种情况下第n次朝代初始化失败了，第n+2次朝代就沿用第n‑1次朝代的初始化结果，并且这个初始化结果的要素包括两方面：合格群和阈值组成员，保证门限群更新的一致性，且大大提高了私钥的安全性。

Description

一种区块链的持续的门限群更新方法

技术领域

本发明涉及区块链的应用领域，为基于一种区块链的持续的门限群更新方法。

背景技术

区块链是共识算法、分布式存储、点对点传输、加密算法等计算机技术的新型系统。被广泛应用于证券交易、电子商务、智能合约、物联网、社交通讯以及文件存储等众多领域。当前的区块链技术是由一串使用密码学方法产生的数据块组成的，每一个区块都包含了上一个区块的哈希值，并且确保按照时间顺序在上一个区块之后产生，从创始区块开始连接到当前区块，形成块链。共识算法是区块链的核心技术。它决定着区块链的效率和部分安全性。

但是基于分布式密钥的门限组签名的密钥没有更新会带来更多的影响，比如说初始密钥可能被人为泄露，并且阈值组成员没有持续更新的机制，最开始的阈值组成员可能想退出，后续可能有新的用户押注进入，需要有阈值组的可持续更新机制。

发明内容

有鉴于此，本发明提供一种解决或部分解决上述问题的门限群阈值组密钥更新方法；为达到上述技术步骤的效果，本发明的技术步骤为：步骤一：每个参与方先生成多项式系数，并对每个多项式系数生成承诺，然后作为发送方生成对每个接收方的共享并进行加密传输，每个接收方根据发送方的承诺验证发送方后，发给发送方每个接收方的共享；没有收到的或没有验证的每个接收方对发送方进行投诉；根据需要生成合格群，每个参与方都只聚合合格群里的共享作为签名私钥，用聚合的签名私钥签名一个指定的全局消息，用以生成签名分片；

步骤二：通过基于共识的周期的区块来构建构建允许表，在每个朝代结束时调用投诉处理算法来处理允许表确定合格群和剩余的阈值组成员；

将允许表取反，得到投诉表；每200个块为一个朝代，确定一个投诉表；

当每个参与方作为接收方时，只要验证通过一个发送方给接收方的共享，就对外广播一个同意消息，同意消息的格式为：{srcID:发送方id,destID:接收方id,sig:接收方签名}，出块者将收到的同意消息写入区块中；将每个朝代为一个统计周期确定当前朝代写入区块的所有同意消息，每个同意消息对应允许表中的一个单元格，

初始化时，设定正常情况下每个朝代的允许表不包含任何作恶标识的，即投诉表中没有投诉；

在异常情况下导致发送方的共享没有及时的到达接收方，拜占庭节点发出错误的共享；如果投诉表中的作恶标识比较多，则投诉表就无法被处理，如果判断当前朝代初始化失败，下下朝代就沿用当前朝代的上一朝代的初始化结果，初始化结果包括有合格群和阈值组成员；

步骤三：开始对投诉表进行分析，以对一个发送方是否超过t个被投诉确定是否能进入合格群作为筛选条件，t为自然数，对于没有超过t个被投诉的发送方判定为合格，但对于投诉发送方的参与方，参与方的投诉是因为参与方在一个朝代内没有收到发送方发出的共享或收到错误的共享，参与方无法聚合出正确的聚合私钥；然后转到步骤四进行处理；步骤四的处理用于让少于t个被投诉的发送方仍然在合格群里，并隐含着踢掉所有投诉他的人阈值组成员的身份的情况；

步骤四：对门限群更新进行不安全情况的分析：a、一个对手掌握所有的分布式密钥；b、一个对手掌握超过t个接收方；对门限群更新进行无法继续存活情况的分析：c、剩余合格的阈值组成员不足t个；

步骤五，设定前提1：恶人的股份不超过合格群中全网股份的1/3；基于前提1判断步骤四中不安全情况的存在和无法继续存活情况的存在；

步骤六：减少一个对手在合格群中的股份总和不小于合格群中全网股份的1/3，来消除一个对手掌握所有的合格群的分布式密钥的可能性；

或者选出的参与方的股份总和的概率超过1/3，用以消除一个对手掌握超过t个接收方的可能性；

步骤七：构造三种投诉处理算法，根据步骤六中选出的参与方的股份总和的概率超过1/3，用消除一个对手掌握超过t个接收方的可能性；那经过投诉处理算法进行删除后选出的参与方的股份总和的概率仍然满足大于1/3；

步骤八：三种投诉处理算法中第一投诉处理算法为：一边选出参与方一边按股份进行排序，如果当前选出的最小的t个的股份总和加起来小于总股份的1/3，就回退当前选择，重新选择；

步骤九：设定允许重复选择，根据投诉表对被反诉的参与方进行删除，但不根据被反诉的参与方的在合格群中的股份少而进行删除；

如果超过一半的人的股份小于1/3的，那就无法处理；

根据步骤九中的允许重复选择的情况下，第一投诉处理算法基于概率选出t-1个最没股份的账户，最差的情况为最没股份的那1个账户被选了t-1次，那之后的选择有可能最有股份的账户进去仍不满足加起来大于1/3；

步骤十：第一投诉处理算法选出t-1个最没股份的账户是基于概率进行实现：每次账户被选出的概率是和他的股份是成正比的，按照正态分布，总选择次数n接近t，n为自然数，正态分布的中轴线为n/3接近t/3，中轴线的作用是选出的恶人总数的较大概率分布，从而将恶人总数大于等于t就变成了一个非常小的概率；

第一投诉处理算法对允许表的处理：处理的目标是将一个允许表中所有含作恶标识的单元格删除，可采取的行为是删除一行或一列，删除一行的作用是删除一个参与方的阈值组成员的身份，即下个朝代没有资格发签名分片；删除一列的作用是删除一个参与方的被聚合共享资格的身份，即所有的阈值组成员都不会去聚合发出的共享。

步骤十一：第二投诉处理算法将当前所有押注的人作为候选集；如果开始删除操作，就将一个参与方的阈值组成员的身份和被聚合共享资格的身份的两种身份一并删除，具体步骤为是按照投诉表的对角线逐一扫描，找出某个第m行和第m列加起来作恶标识最多的索引m，将索引m剔除，重复步骤十一直到投诉表中不再含有作恶标识，此时如果剩余行列的个数>=t即成功；否则视为失败；

失败后的结果是阈值组成员和阈值组成员的聚合的共享都维持不变，即本朝代初始化过程作废，继续沿用上次初始化成功的结果。

步骤十二：第三投诉处理算法面对每个被投诉的列，进行选择：

选择1：保留阈值组成员的列，即保留被聚合共享资格的身份，则要踢出所有投诉的行，即踢掉所有投诉他的参与方的阈值组成员的身份）

选择2：删除这个列，即删除被聚合的身份；。

第三投诉处理算法的选择作用是把每个被投诉的列放入价值聚合最大体系，当每个被投诉的列放入价值聚合最大体系时，增加相应的股份，相应的股份包含每个被投诉的列本身，还有因为行被删除导致其他列也不包含作恶标识的其他列的股份总和，即那些列也被一并放入价值聚合最大体系；

但与此同时付出的代价是有若干行被删除，被删除的若干行的行数就是代价，代价不能超过t，否则剩下的阈值组成员就不足t，突破存活条件；

步骤十三：初始化步骤一，用于实现一轮密钥相关信息的执行交换，将持续的初始化步骤一的过程作为每个朝代重复的执行交换的过程，并将每个执行交换过程的结果作用在下下个朝代上，即在下下个朝代才生效，以使下个朝代能及时检测到区块链网络中拜占庭节点从而能做相应的处理。

具体实施方式

为了使本发明所要解决的技术问题、技术步骤及有益效果更加清楚明白，以下结合实施例，对本发明进行详细的说明。应当说明的是，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，能实现同样功能的产品属于等同替换和改进，均包含在本发明的保护范围之内。具体方法如下：

实施例1：下面将对基于随机数秘密共享共识算法的系统的应用场景举例如下：本发明将Q定义为在投诉算法之后合格的密钥生成器的节点集。然后，

·组公钥：

·汇总的私钥：

·任何一方都无法计算该组的私钥。

5）密钥合并后，就可以开始生成签名切片：

6）各方可以通过收集t个签名切片来恢复组签名：或直接接收组签名并通过以下方式验证它：e（g1，σ）=e（PK，H0（m））

每个参与方

1. 生成多项式系数

2. 对每个系数生成承诺

3. 生成对每个接收方的共享并加密传输

4. 每个接收方根据发送方的承诺验证发给自己的共享。没有收到的或没有验证的对发送方进行投诉，根据一定的规则生成合格群。都只聚合合格群里的共享作为签名私钥

5. 用聚合的签名私钥签名一个指定的全局消息，生成签名分片

6. 只要收集到任意超过阈值数目的签名分片，就能通过计算，生成对应那个全局消息的唯一的组签名

第4步是算法需要依赖于强同步网络的原因：只有强同步网络能保证每个参与方对投诉表的视角是一致的

用区块链的共识可以解决依赖于强同步网络的问题，将投诉表基于共识的周期的区块来构建，每200个块为一个朝代，确定一个投诉表。具体实现为：每个参与方作为接收方时，只要验证通过了一个发送方给他的共享，就对外广播一个同意消息{srcID:发送方id,destID:接收方id,sig:接收方签名}，出块者将他收到的同意消息写入区块中。以每个朝代（即为一次朝代的结果）为一个统计周期确定了这个朝代写入了区块的所有同意消息，每个同意消息对应了允许表中的一个单元格。

本实施例中有n个参与方集合，...

1）生成一个随机多项式。

2）生成多项式系数的承诺，然后广播承诺

3）计算份额，并将每个份额秘密发送给

4）每个密钥聚合器验证参与方数量i和阈值组签名数量j。

将允许表表取反，就得到了投诉表：

本发明下一个步骤是对投诉表的处理问题：一开始本发明决定以对一个发送方是否超过t个被投诉来简单的确定筛选是否进入合格群的条件。但随着本发明在研究开发过程中，认为这个判断太简单且不合理。原因：对于没有超过t个被投诉的共享发送方，仍然是合格的，但是对于那些投诉他的参与方来说，他们投诉是因为他们在一个朝代内没有收到他发出的共享或收到了错误的共享，所以他们是无法聚合出正确的聚合私钥。所以让这种被投诉的发送方仍然在合格群里就隐含着踢掉所有投诉他的人阈值组成员的身份。

本发明对门限群更新进行安全分析：

什么情况下是不安全的：

1. 一个对手掌握了所有的分布式密钥

2. 一个对手掌握了超过t个接收方

什么情况下无法继续存活：

3. 剩余合格的阈值组成员不足t个

本发明的前提：恶人的股份不超过全网股份的1/3

基于这个前提对上述前2个条件做推导：

1. 以合格群的股份总和不小于1/3，来消除一个对手掌握了所有的合格群的分布式密钥的可能性

2. 以选出的参与方的股份总和大概率超过1/3，来消除一个对手掌握了超过t个接收方的可能性

这两点好像是一件事；好像是一回事，所以本发明第一点重点是强调删除后的合格群里的，即先考虑第2点，大概率选出来的股份总和是大于1/3的，那经过一顿删后仍然满足大于1/3（删除的算法就是本发明的投诉处理算法)

简单的实现：边选参与方边按股份排序，如果当前选出的最小的t个的股份总和加起来小于总股份的1/3，就回退本次选择，重新选择。

当前本发明的实现是每200个块返回top100，现在先讨论posTable的账户是小于100个的情况，所以当前方案等价于返回全量集。所以t为n/2

首先一定要允许重复选择，不然如果超过一半的人的股份就是小于1/3的，那就无解，而且这种情况下所谓的“解”是删除参与方。但本发明删除参与方是因为投诉的关系，而不是因为它股份少了。

允许重复选择的情况下，简单的实现可能会出现一种情况是：小概率选出了t-1个最没股份的账户，最差的情况是最没股份的那1个账户被选了t-1次，那之后的选择有可能最有股份的账户进去仍不满足加起来大于1/3。。。所以这样实现还是不行的。

基于概率的实现：

因为每次账户被选出的概率是和他的股份是成正比的，按照正态分布来说，总选择次数n接近t，正态分布的中轴线为n/3接近t/3，这个中轴线的意义是选出的恶人总数的较大概率分布，从而恶人总数大于等于t就变成了一个非常小的概率。

对允许表的处理：

处理目标是将一个允许表中所有含作恶标识的单元格删除，可采取的行为是删除一行或一列，删除一行的意义是删除了一个参与方的阈值组成员的身份，即他下个朝代没有资格发签名分片；删除一列的意义是删除了一个参与方被聚合他的共 享的资格，即所有的阈值组成员都不会去聚合他发出的共享。

最简单的实现是就以当前所有押注的人作为候选集。

如果删除就将一个参与方的两种身份一并删除，具体实现是按照表的对角线逐一扫描，找出某个第m行和第m列加起来作恶标识最多的index m，将之剔除，重复这个过程直到表中不再含有作恶标识，此时如果剩余行列的个数>=t即成功，实际应用中本发明设为>=1.5*t。

否则视为失败。

失败了的结果是阈值组成员和他们聚合的共享都维持不变，相当于本朝代初始化过程作废，继续沿用上次初始化成功的结果。

上述简单的处理没有考虑到安全分析中的两个问题，只要有足够多的女巫节点数量超过t，他们就能解出每个发送方的密钥（突破安全条件2）。

如果他们的数量没有超过t，他们还可以构造一些投诉将所有的诚实账户踢出去，从而使剩下的恶意账户能够掌握所有的私钥（突破安全条件1）。

较复杂的实现：投诉处理算法

面对每个被投诉的列，面临一个选择，

1. 保留这个列（保留他被聚合的身份），那就要踢出所有投诉他的行（踢掉所有投诉他的参与方的阈值组成员的身份）

2. 删除这个列（删除他被聚合的身份）。

这个选择类似于要不要把这个列放入价值聚合最大体系，放入价值聚合最大体系，就增加了相应的股份，这个股份不仅包含它这列本身的还有因为那些行被删除了导致其他列也不包含作恶标识的其他列的股份总和，即那些列也被一并放入价值聚合最大体系了。但与此同时付出的代价是有若干行被删除了，被删除的行数就是代价，这个代价不能超过t，否则剩下的阈值组成员就不足t，突破了存活条件。

追求在给定放入总体积的限制下放入价值的最大化。

追求在放入价值满足某个最小限制的前提下的放入体积的最小化。

这里放入价值就是所有放入的列的股份总和，放入体积就是删掉的行数，也即踢掉了多少个投诉的人。

以一个稍微复杂的同意table为例举例如下：

Totalslots=40,targetvalue=40×1/3=12,t=5

四．持续的初始化过程

本发明定义初始化的过程第1到4步，其实它实现了一轮密钥相关信息的交换，持续的初始化过程就是每个朝代（每200个块为一个朝代）重复的执行这个交换过程。并且每个交换过程的结果影响的是下下个朝代(n+2)。

为什么不直接作用于下个朝代(n+1)呢；

因为这样的话，当前的拜占庭行为如果能导致分叉的话就会直接在下个朝代生效。如果在n+2朝代才生效的话，至少n+1朝代能及时检测到拜占庭行为从而能做相应的处理。

下面是每个阈值组成员发签名分片的过程。

构建允许表，在每个朝代结束时调用投诉处理算法来处理允许表确定合格群和剩余的阈值组成员的过程。

在大多数情况下，每个朝代的允许表应该是不包含任何作恶标识的，即没有投诉。

在异常情况下，比如网络异常导致某些发送方的共享没有及时的到达某些接收方，拜占庭节点发出错误的共享。如果表中的作恶标识比较多，可能这个表就无法被处理，这种情况下，比如第n次朝代初始化失败了，第n+2次朝代就沿用第n-1次朝代的初始化结果（这个初始化结果包括两方面：合格群和阈值组成员）

本发明的有益成果为：本发明提供一种区块链的持续的门限群更新方法，在异常情况下，比如网络异常导致某些发送方的共享没有及时的到达某些接收方，拜占庭节点发出错误的共享。如果投诉表中的作恶标识比较多，可能这个表就无法被处理，这种情况下，比如第n次朝代初始化失败了，第n+2次朝代就沿用第n-1次朝代的初始化结果（这个初始化结果包括两方面：合格群和阈值组成员），保证门限群更新的一致性，且大大提高了私钥的安全性。

以上所述仅为本发明之较佳实施例，并非用以限定本发明的权利要求保护范围。同时以上说明，对于相关技术领域的技术人员应可以理解及实施，因此其他基于本发明所揭示内容所完成的等同改变，均应包含在本权利要求书的涵盖范围内。

Claims (1)

1.在一种区块链的持续的门限群更新方法，其特征在于，步骤一：每个参与方先生成多项式系数，并对每个所述多项式系数生成承诺，然后作为发送方生成对每个接收方的共享并进行加密传输，每个接收方根据发送方的承诺验证发送方后，发给发送方每个接收方的共享；没有收到的或没有验证的每个接收方对发送方进行投诉；

根据需要生成合格群，每个所述参与方都只聚合所述合格群里的共享作为签名私钥，用聚合的所述签名私钥签名一个指定的全局消息，用以生成签名分片；

步骤二：通过基于共识的周期的区块来构建构建允许表，在每个朝代结束时调用投诉处理算法来处理允许表确定合格群和剩余的阈值组成员；

将允许表取反，得到投诉表；每200个块为一个朝代，确定一个投诉表；

当每个参与方作为接收方时，只要验证通过一个发送方给接收方的共享，就对外广播一个同意消息，同意消息的格式为：{srcID:发送方id,destID:接收方id,sig:接收方签名}，出块者将收到的同意消息写入区块中；将每个朝代为一个统计周期确定当前朝代写入区块的所有同意消息，每个同意消息对应允许表中的一个单元格，

初始化时，设定正常情况下每个朝代的允许表不包含任何作恶标识的，即投诉表中没有投诉；

在异常情况下导致发送方的共享没有及时的到达接收方，拜占庭节点发出错误的共享；如果投诉表中的作恶标识比较多，则投诉表就无法被处理，如果判断当前朝代初始化失败，下下朝代就沿用当前朝代的上一朝代的初始化结果，所述初始化结果包括有合格群和阈值组成员；

步骤三：开始对投诉表进行分析，以对一个发送方是否超过t个被投诉确定是否能进入合格群作为筛选条件，t为自然数，对于没有超过t个被投诉的发送方判定为合格，但对于投诉发送方的参与方，参与方的投诉是因为参与方在一个朝代内没有收到发送方发出的共享或收到错误的共享，参与方无法聚合出正确的聚合私钥；然后转到步骤四进行处理；步骤四的处理用于让少于t个被投诉的发送方仍然在合格群里，并隐含着踢掉所有投诉他的人阈值组成员的身份的情况；

步骤四：对门限群更新进行不安全情况的分析：a、一个对手掌握所有的分布式密钥；b、一个对手掌握超过t个接收方；对门限群更新进行无法继续存活情况的分析：c、剩余合格的阈值组成员不足t个；

步骤五，设定前提1：恶人的股份不超过合格群中全网股份的1/3；基于前提1判断步骤四中不安全情况的存在和无法继续存活情况的存在；

步骤六：减少一个对手在合格群中的股份总和不小于合格群中全网股份的1/3，来消除一个对手掌握所有的合格群的分布式密钥的可能性；

或者选出的参与方的股份总和的概率超过1/3，用以消除一个对手掌握超过t个接收方的可能性；

步骤七：构造三种投诉处理算法，根据步骤六中选出的参与方的股份总和的概率超过1/3，用消除一个对手掌握超过t个接收方的可能性；那经过投诉处理算法进行删除后选出的参与方的股份总和的概率仍然满足大于1/3；

步骤八：三种投诉处理算法中第一投诉处理算法为：一边选出参与方一边按股份进行排序，如果当前选出的最小的t个的股份总和加起来小于总股份的1/3，就回退当前选择，重新选择；

步骤九：设定允许重复选择，根据投诉表对被反诉的参与方进行删除，但不根据所述被反诉的参与方的在合格群中的股份少而进行删除；

如果超过一半的人的股份小于1/3的，那就无法处理；

根据步骤九中的允许重复选择的情况下，第一投诉处理算法基于概率选出t-1个最没股份的账户，最差的情况为最没股份的那1个账户被选了t-1次，那之后的选择有可能最有股份的账户进去仍不满足加起来大于1/3；

步骤十：第一投诉处理算法选出t-1个最没股份的账户是基于概率进行实现：每次账户被选出的概率是和他的股份是成正比的，按照正态分布，总选择次数n接近t，n为自然数，正态分布的中轴线为n/3接近t/3，中轴线的作用是选出的恶人总数的较大概率分布，从而将恶人总数大于等于t就变成了一个非常小的概率；

第一投诉处理算法对允许表的处理：处理的目标是将一个允许表中所有含作恶标识的单元格删除，可采取的行为是删除一行或一列，删除一行的作用是删除一个参与方的阈值组成员的身份，即下个朝代没有资格发签名分片；删除一列的作用是删除一个参与方的被聚合共享资格的身份，即所有的阈值组成员都不会去聚合发出的共享；

步骤十一：第二投诉处理算法将当前所有押注的人作为候选集；如果开始删除操作，就将一个参与方的阈值组成员的身份和被聚合共享资格的身份的两种身份一并删除，具体步骤为是按照投诉表的对角线逐一扫描，找出某个第m行和第m列加起来作恶标识最多的索引m，将所述索引m剔除，重复步骤十一直到投诉表中不再含有作恶标识，此时如果剩余行列的个数>=t即成功；否则视为失败；

失败后的结果是阈值组成员和阈值组成员的聚合的共享都维持不变，即本朝代初始化过程作废，继续沿用上次初始化成功的结果；

步骤十二：第三投诉处理算法面对每个被投诉的列，进行选择：

选择1：保留阈值组成员的列，即保留被聚合共享资格的身份，则要踢出所有投诉的行，即踢掉所有投诉他的参与方的阈值组成员的身份；

选择2：删除这个列，即删除被聚合的身份；

第三投诉处理算法的选择作用是把每个被投诉的列放入价值聚合最大体系，当每个被投诉的列放入价值聚合最大体系时，增加相应的股份，所述相应的股份包含每个被投诉的列本身，还有因为行被删除导致其他列也不包含作恶标识的其他列的股份总和，即那些列也被一并放入价值聚合最大体系；

但与此同时付出的代价是有若干行被删除，被删除的若干行的行数就是代价，代价不能超过t，否则剩下的阈值组成员就不足t，突破存活条件；

步骤十三：初始化步骤一，用于实现一轮密钥相关信息的执行交换，将持续的初始化步骤一的过程作为每个朝代重复的执行交换的过程，并将每个执行交换过程的结果作用在下下个朝代上，即在下下个朝代才生效，以使下个朝代能及时检测到区块链网络中拜占庭节点从而能做相应的处理。