CN114493593B

CN114493593B - 多区块链隐蔽通信方法

Info

Publication number: CN114493593B
Application number: CN202210092472.9A
Authority: CN
Inventors: 胡清华; 许春香
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2022-01-26
Filing date: 2022-01-26
Publication date: 2023-05-30
Anticipated expiration: 2042-01-26
Also published as: CN114493593A

Abstract

本发明提供一种多区块链隐蔽通信方法，包含步骤：系统初始化阶段：在发送方和接收方进行隐蔽通信之前，确定系统的公共参数以及双方使用的密钥；资金准备阶段：区块链的每一笔有效的交易都代表着金额从发送地址转移到接收地址中。发送者嵌入信息与广播交易阶段：发送者将需要发送的消息嵌入到交易签名的随机数中，然后将交易在区块链网络上广播；接收者搜索交易与提取信息阶段：接收者搜索可能存在通信的区块链交易地址，如果发现嵌入信息的交易，则从中提取信息。本发明不需要特殊模式来支撑，因而具有很强的隐蔽性的区块链上的隐蔽通信方法。本发明运行效率高，费用低且可以保证双方的加密货币资金安全。

Description

多区块链隐蔽通信方法

技术领域

本发明涉及隐蔽通信技术，特别涉及一种基于多区块链的隐蔽通信技术。

背景技术

在机密程度高的应用场景中，两方的通信不仅需要保证通信内容安全，而且要隐藏通信行为。普通的加密技术仅能保证通信双方内容的机密性，却无法隐藏通信行为。敌手能够通过窃听通信数据的方式，推测通信行为是否发生，并进一步计算通信频率，分析通信数据量。

现有的隐蔽通信方案一般基于数字签名实现，即将需要发送的消息嵌入到数字签名的随机数中。这种方式使得发送者可以轻易地通过数字签名将消息发送给接收者。然而在实际生活中，数字签名的应用场景较少，发送者冒然发送一个带数字签名的消息可能会引起敌手注意，难以达到隐藏通信行为的目的。

区块链中的每一笔交易都需要数字签名，使得区块链成为一个可以搭载隐蔽通信的媒介。除此之外，区块链还有其他优势。首先，区块链用户数量大，且可以使用假名的特点使得消息发送者可以在区块链上隐藏自己的身份。并且，区块链防篡改的特性保证了通信数据的完整性。此外，区块链提供了网络通信能力，使得发送者不需要借助其他方式来完成数据的发送。

国内外提出了多种建立在区块链上的隐蔽通信方案。然而这些方案都存在一些问题，比如特殊的交易模式难以保证通信的隐蔽性，或者效率过低难以应用在实际之中，或者要求通信双方共享私钥难以保证通信双方加密货币的安全性。

发明内容

本发明所要解决的技术问题是，提供一种与普通的区块链交易没有任何区别，且不需要特殊模式来支撑，因而具有很强的隐蔽性的区块链上的隐蔽通信方法。

本发明为解决上述技术问题采用的技术方案利用区块链数字签名所需的随机数发送隐蔽信息。用户发布一个区块链交易需要对该交易签名，而签名需要使用一个随机数。本发明中，签名随机数不通过系统随机产生，而是通过计算而来，且具有所需随机性。隐蔽通信的消息嵌入随机数中，以此来达到隐蔽通信的目的。

多区块链隐蔽通信方法主要包含如下步骤：

(1)系统初始化阶段：在发送方和接收方进行隐蔽通信之前，确定系统的公共参数以及双方使用的密钥；

(2)资金准备阶段：区块链的每一笔有效的交易都代表着金额从发送地址转移到接收地址中。因此，发送者完成对发送地址的资金准备，以确保保证后续通信正常进行。

(3)发送者嵌入信息与广播交易阶段：发送者将需要发送的消息嵌入到交易签名的随机数中，然后将交易在区块链网络上广播；

(4)接收者搜索交易与提取信息阶段：接收者搜索可能存在通信的区块链交易地址，如果发现嵌入信息的交易，则从中提取信息。

发送者生成此方案中的区块链交易与生成普通区块链交易的时间几乎相同，说明方案具有较高的效率。本发明的信息嵌入在区块链签名中，敌手在没有密钥的情况下，无法分辨被嵌入信息的交易与其他普通交易。敌手即使在已知此方案细节和能检测所有区块链交易的情况下，依然无法判断通信是否发生。此外，此方案不需要通信双方共享私钥，从而保证了双方资金的安全性。

进一步的，本发明提出的基于区块链的隐蔽通信方法中的交易可以是不同的区块链交易，即提出了多区块链隐蔽通信的概念。本发明可以同时使用多种区块链进行隐蔽通信，这进一步增强了通信的隐蔽性。

本发明的有益效果是:

(1)可以同时在多个区块链上运行，嵌入信息的交易可能出现的范围增大，进一步增加了敌手探测这些交易的难度。

(2)有很强的隐蔽性，嵌入信息的交易和普通区块链交易难以区分

(3)运行效率高，生成嵌入信息的交易和生成普通区块链交易的运行时间几乎相同。

(4)不需要发送者和接收者共享私钥，从而可以保证双方的加密货币资金安全。

(5)费用低，发送者可以将信息嵌入到自己的日常交易中，从而免去使用此方案的费用。

附图说明

图1为本发明示意图。

具体实施方式

本发明涉及到的技术包括椭圆曲线数字签名算法ECDSA(Elliptic CurveDigital SignatureAlgorithm)、UTXO模型、哈希函数和对称加密算法。

ECDSA是一种广泛应用于区块链的交易签名算法。给定椭圆曲线E，其椭圆曲线基点为G，阶为n，待签名消息m，哈希函数hash，私钥sk，公钥pk＝sk·G，签名过程如下：

1)产生一个随机数k满足k＜n，并计算一个椭圆曲线点(x，y)＝k·G，x，y分别表示横坐标，纵坐标；

2)令中间值r＝x，并计算签名值s＝k^-1(hash(m)+r·sk)(mod n)；

3)签名结果为(r，s)。

验证过程如下：

1)计算验证值R＝(hash(m)s^-1)·G+(rs^-1)·pk；

2)验证R.x＝＝r，若成立，则签名有效，否则签名无效。

UTXO(Unspent Transaction Output)模型与传统的账户模型不同。一般地，每一笔交易都至少有一个输入和一个输出。在UTXO模型中，所有没有被花费的交易输出都会被保存未花费交易集合中。交易的每一个输入都指向前一笔交易的一个输出。如果该输出不在此集合中，则当前交易是无效的。比如，当一笔交易使用了另一笔没有上链的交易的输出或者已经花费了的交易输出，那么这个交易是无效的。每一个交易上链代表着金额交易输入转移到交易输出中，也就意味着交易输入中的钱已经被花费了，此时前面交易的输出会从集合中删除，同时此交易的输出会添加到这个集合中。通常，如果一个用户想花费一笔交易的输出，那么他必须提供该输出的对应地址的签名。

哈希函数将任意长度的输入映射到固定长度作为消息摘要。本方案需要哈希函数满足抗碰撞性，即攻击者找到两个不同的消息m₁和m₂，满足hash(m₁)＝hash(m₂)的概率是可忽略的。所使用的哈希算法实例，应参考具体的区块链来确定。

对称加密算法即加密密钥和解密密钥一致，且加解密速度快的加密算法，如AES。实施例推荐采用AES作为本发明中对称加密算法。

发明的主要步骤包括：

1.发送者与接收者协商密钥和确定其他参数；

2.发送者生成区块链私钥，计算私钥应在的区块链，使用相应账户接收加密货币；

3.发送者根据最新的区块链哈希为接收者生成新的区块链临时地址，将信息切片，加密，然后嵌入区块链交易中。发送者将嵌入信息的交易广播到相应区块链中；

4.接收者在相应区块链中通过接收地址和发送地址搜索这些交易。接收者从搜索到的交易中提取信息，并解密消息，恢复出发送者嵌入的信息。

实施例

(一)系统初始化阶段

1)确定系统参数。E：基点为G的椭圆曲线，基点的阶为n；哈希函数hash；对称加密算法(Gen，Enc，Dec)，其中Gen需要一个安全参数作为输入，并输出一个密钥，Enc(k，m)表示用密钥k对消息m加密，Dec(k，c)表示用密钥k解密密文c；

2)两方进行密钥协商。在协商之后，发送者和接收者共享主密钥key_m，密钥tk₀和密钥tk₁构成陷门密钥对(tk₀，tk₁)和地址密钥key_add。此外接收者生成一对公私钥对(sk_r，pk_r)，其中公钥pk_r共享给发送者。

(二)资金准备阶段

发送者在一次通信过程发送两个或者多个交易，这些交易的签名私钥按照下文所述方法生成。在一个区块链交易中，转账资金的来源地址是发送地址，转账资金的接收地址为接收地址。根据前面UTXO模型的描述，发送者需要保证用于通信交易的发送地址有钱，从而这些交易有效。因此，发送者需要在通信之前使用这些区块链地址接收转账。公钥地址是区块链上的公开数据，理论上公钥地址个数是无限的。公钥地址既可以是发送地址也可以是接收地址。

值得注意的是，如果在需要发送消息的时候，发送者才为这些私钥对应的地址准备资金(转账)，然后马上利用这些账户发布包含通信消息的交易，那么这可能泄露通信行为。因为攻击者可以去监听那些转入资金又很快转出资金的账户，从而判断是否可能存在通信行为。因此资金准备阶段的目的是提前生成一系列私钥sk_i(0＜i≤q)，并使用这些私钥对应的账户接收资金。q为私钥总数。一个私钥对应一个公钥，这个公钥对应一个地址，这三者是一一对应关系，可以通过私钥计算公钥，通过公钥计算地址，不能反向计算。一个私钥可以签署多个交易，但签名私钥最好只使用一次，否则存在隐私问题，在本方法中还会有资金安全问题。具体步骤如下：

发送者随机选取私钥sk₀，并计算私钥sk₁＝sk₀·tk₀(mod n)，tk₀为陷门密钥对的第一部分。私钥sk₀的生成过程不需要接收者参与，也不需要在初始化阶段完成。

如果消息过长，则需要将消息切片，并需要发布更多的交易。如，将消息分为l片，传送这些消息的交易对应的私钥为sk_i＝hash(sk₀，i，tk₁)，2≤i≤l，tk₁为陷门密钥对的第二部分。发送者提前将金额转入到这些私钥对应的公钥地址中，保证后续交易能够正确发布。

(三)发送者嵌入交易

消息切片。由于ECDSA所需随机数的长度有要求，因此过长的消息需要切片，然后分别嵌入到不同的交易签名中。发送者将要发送的消息m切片，分别用m₁，m₂，...，m_l。m_l中包含表示信息终止的符号。发送者一共需要发送l+1个交易，分别用T₀，T₁，...，T_l表示，l≤q。消息m_i需要嵌入到交易T_i的签名的随机数中(1≤i≤l)。交易T₀不嵌入消息，其一个接收地址由算法生成(发送者为接收者生成的临时地址，这个地址不是由发送者任意指定，通过算法生成，以帮助接收方识别交易)。而T_i(1≤i≤l)的接收地址可以是任意地址，一个发送地址由算法生成。除此之外的交易其他参数不受限制，可以任意指定(如交易的金额等)。

1)转出资金。发送者转出多准备的私钥sk_i(l＜i≤q)控制的资金。

2)嵌入消息。发送者获取最新生成的区块哈希bh，计算交易T₀的接收地址tadd＝hash(hash(key_add||bh)·pk_r)。tadd是一个公钥的哈希，该公钥对应的私钥为hash(key_add||bh)·sk_r(mod n)，且仅由接收者掌握。发送者生成会话密钥key_s＝hash(key_m||sk₀)，生成交易T₁中签名需要使用的随机数k₁＝Enc(key_s，m₁)。发送者按下述方法生成交易T₀，T₁的签名，信息m₁以随机数的形式嵌入在交易T₁的签名σ₁中：

(R_0x，R_0y)＝tk₁·k₁·G，(R_1x，R_1y)＝k₁·G

s₀＝(tk₁·k₁)^-1·(hash(data₀)+sk₀·R_0x)(mod n)

s₁＝(k₁)^-1·(hash(datax)+tk₀·sk₀·R_1x)(mod n)

σ₀＝(R_0x，s₀)，σ₁＝(R_1x，s₁)

T₀＝(data₀，σ₀)，T₁＝(data₁，σ₁)

其中，data₀表示原始交易数据(包含交易的输入、输出等，不包含签名)，data_i表示第i个交易数据。发送者计算k_i＝Enc(key_s，m_i)，2≤i≤l，并以k_i作为随机数生成其他交易签名，生成方式如下：

s_i＝(k_i)^-1·(hash(data_i)+sk_i·R_ix)(mod n)

σ_i＝(R_ix，s_i)，T_i＝(data_i，σ_i)

3)广播交易。发送者将除交易T₀外的其他交易在区块链网络上广播。在这些交易全部上链之后，发送者最后广播交易T₀。这是因为接收者在得到交易T₀和T₁后，可以通过这两个交易计算得到私钥sk₀，进而得到sk_i。如果此时交易T_i(2≤i≤l)还没有上链，接收者可以取走这些私钥sk_i(2≤i≤l)对应的地址中的钱。

(四)接收者搜索交易和提取信息阶段：

1)搜索交易T₀和T₁。对于每一个新生成的公开的区块哈希值bh，接收者计算tadd＝hash(Enc(key_add，bh)·pk_r)，然后在区块链上监听一个收款地址为tadd的交易T₀，监听时长为三个区块(这是因为发布的交易不一定能马上上链，如果三个区块后该交易还没有上链，则表明发送者并没有发送该交易，接收者不再监听此tadd。此外，监听时长可以据实际情况修改)。接收者如果监听到T₀，则读取T₀的发送公钥pk₀，然后计算交易T₁的发送地址sadd₁＝hash(pk₀·tk₀)。接收者在区块链上查找交易T₁，然后从交易T₀，T₁中恢复出T₀的私钥sk₀，T₁签名中的随机数k₁。恢复方法如下：

(data₀，σ₀)＝T₀，(R_0x，s₀)＝σ₀，(data₁，σ₁)＝T₁，(R_1x，s₁)＝σ₁

k₁＝(s₁)^-1·(hash(data₁)+tk₀·sk₀·R_1x)(mod n)

接收者利用主密钥key_m计算会话密钥key_s＝Enc(key_m，sk₀)，然后使用会话密钥解密k₁，得到明文m₁＝Dec(key_s，k₁)。

2)搜索其他交易。接收者计算区块链私钥sk_i＝hash(sk₀，i，tk₁)，2≤i≤l，在区块链上查找这些私钥签名的交易T_i。需要注意的是，m的长度对接收者未知，因此接收者并不知道l的具体值。为了得到全部携带信息的交易，接收者需要不停地计算sk_i，并搜索交易，直到在解密的信息中发现表示信息终止的符号。接收者在除交易T₀，T₁外的其他交易中提取随机数的计算方法为：

(data_i，σ_i)＝T_i，(R_ix，s_i)＝σ_i

k_i＝(s_i)^-1·(hash(data_i)+sk_i·R_ix)(mod n)

接收者使用会话密钥keys解密随机数得到明文m_i＝Dec(key_s，k_i)(2≤i≤l)，并将消息m₁，m₂，...，m_l拼接，恢复出完整信息m。

多区块链工作模式：

本发明还支持多区块链工作模式。假定需要支持的区块链共b_num个，分别编号为0，1，2，...，b_num-1。为了方便接收者查找交易T₀，发送者需要和接收者事先约定交易T₀发布的区块链编号。除此之外的其他交易发布的区块链与其公钥的数值有关，对应的区块链编号为b_i＝hash(pk_i||tk₁)(mod b_num)，2≤i≤l，其中pk_i为交易T_i对应的公钥。接收者在搜索交易时，首先需要去指定的区块链上搜索交易T₀，计算出pk₁。通过pk₁计算交易T₁的位置，进而通过发送地址查找交易T₁。并进一步计算pk_i，(2≤i≤l)；然后计算其对应交易所在的区块链b_i＝hash(pk_i||tk₁)(mod b_num)，2≤i≤l。按照发送地址在相应的区块链上搜索交易，并恢复出消息。

Claims

1.多区块链隐蔽通信方法，其特征在于，包含步骤：

初始化阶段：发送方和接收方进行确定系统的公共参数以及双方使用的密钥；

资金准备阶段：发送者完成对发送地址的资金准备；

发送者嵌入信息与广播交易阶段：发送者将需要隐蔽通信的消息嵌入到交易签名的随机数中，再将交易在区块链上广播；发送者一共需要发送的交易数为隐蔽通信的消息分片数量加1；初始交易不嵌入消息，其中一个接收地址通过算法生成；嵌入消息的交易的发送地址由算法生成；交易在区块链上广播时，先广播嵌入消息的交易，最后发送初始交易；

当隐蔽通信的消息被分为2片以上时，每一片消息对应嵌入一个交易中，各片消息嵌入的交易不限于同一区块链；

接收者搜索交易与提取信息阶段：接收者搜索可能存在通信的区块链交易地址，如果发现嵌入信息的交易，则从中提取出隐蔽通信的消息；

系统初始化阶段中发送方和接收方进行确定系统的公共参数为：椭圆曲线的基点G、密钥生成算法Gen、加密算法Enc以对应的及解密算法Dec、哈希函数hash；

确定系统的公共参数以及双方使用的密钥包括：主密钥key_m、陷门密钥对(tk₀，tk₁)和地址密钥key_aad；接收者生成一对公私钥对(sk_r，pk_r)，其中公钥pk_r共享给发送者；

发送者完成对发送地址的资金准备的具体步骤为：

发送者随机选取私钥sk₀，并计算私钥sk₁＝sk₀·tk₀(mod n)，tk₀为陷门密钥对的第一部分，n为椭圆曲线的基点的阶；当隐蔽通信的消息被分为2片以上时，发送者确定传送分片消息的交易对应的私钥为sk_i＝hash(sk₀，i，tk₁)，2≤i≤l，l为消息分片总数，i为交易对应的私钥序号，传送分片消息的交易对应的私钥为sk_i＝hash(sk₀，i，tk₁)，2≤i≤l，tk₁为陷门密钥对的第二部分；

发送者将需要隐蔽通信的消息嵌入到交易签名的随机数中的具体方法是：

发送者获取最新生成的区块哈希bh，对于初始交易T₀，计算交易T₀的接收地址tadd＝hash(hash(key_add||bh)·pk_r)，tadd对应的由接收者掌握私钥为hash(key_add||bh)·sk_r(mod n)，||表示数据连接，

发送者生成会话密钥key_s＝hash(key_m||sk₀)；生成交易T₁中签名需要使用的随机数k₁＝Enc(key_s，m₁)，其中m₁为第一个交易分片；

发送者生成交易T₀，T₁的签名，信息m₁以随机数的形式嵌入在交易T₁的签名σ₁中：

交易T₀签名的椭圆曲线坐标(R_0x，R_0y)＝tk₁·k₁·G；G为双方确定的椭圆曲线的基点；交易T₀的签名值s₀＝(tk₁·k₁)^-1·(hash(data₀)+sk₀·R_0x)(mod n)，R_0x为椭圆曲线坐标的横坐标，data₀为交易T₀的交易数据；生成交易T₀的签名σ₀＝(R_0x，s₀)；最后得到将上链的交易T₀＝(data₀，σ₀)；

交易T₁签名的椭圆曲线坐标(R_1x，R_1y)＝k₁·G；交易T₁的签名值s₁＝(k₁)^-1·(hash(data₁)+tk₀·sk₀·R_1x)(mod n)，R_1x为椭圆曲线坐标的横坐标，data₁为交易T₁的交易数据；生成交易T₁的签名σ₁＝(R_1x，s₁)；最后得到将上链的交易T₁＝(data₁，σ₁)；

当隐蔽通信的消息被分为2片以上时，发送者计算交易T_i中签名需要使用的随机数k_i＝Enc(key_s，m_i)，2≤i≤l，在计算交易T_i的椭圆曲线坐标(R_ix，R_iy)，交易T_i的签名值s_i＝(k_i)^-1·(hash(data_i)+sk_i·R_ix)(mod n)，生成交易T_i的签名σ_i＝(R_ix，s_i)；最后得到交易T_i＝(data_i，σ_i)。

2.如权利要求1所述方法，其特征在于，接收者搜索交易和提取信息的具体方法为：

搜索交易T₀和T₁：对于每一个新生成的区块哈希值bh，接收者计算tadd＝hash(Enc(key_add，bh)·pk_r)，然后在区块链上监听一个收款地址为tadd的交易T₀，监听时长为三个区块；当接收者监听到交易T₀，则读取交易T₀的发送公钥pk₀，然后计算交易T₁的发送地址sadd₁＝hash(pk₀·tk₀)；接收者在区块链上查找交易T₁，然后从交易T₀与T₁中恢复出T₀的私钥sk₀以及T₁签名中的随机数k₁：

(data₀，σ₀)＝T₀，(R_0x，s₀)＝σ₀，(data₁，σ₁)＝T₁，(R_1x，s₁)＝σ₁，

k₁＝(s₁)^-1·(hash(data₁)+tk₀·sk₀·R_1x)(mod n)

接收者计算会话密钥key_s＝Enc(key_m，bh)，然后使用会话密钥解密k₁，得到明文m₁＝Dec(key_s，k₁)；

搜索其他交易T_i：接收者计算区块链私钥sk_i＝hash(sk₀，i，tk₁)，2≤i≤l，在区块链上查找这些私钥签名的交易T_i，直至在解密交易T_i对应的明文m_i中出现信息终止的符号；接收者使用私钥sk_i提取出随机数，并用会话密钥key_s解密随机数得到明文m_i＝Dec(key_s，k_i)(2≤i≤l)，并将消息m₁，m₂，...，m_l拼接，恢复出完整信息m。

3.如权利要求1所述方法，其特征在于，当隐蔽通信的消息被分为2片以上时，各片消息嵌入的交易不限于同一区块链时，区块链共b_num个，发送者和接收者事先约定交易T₀发布的区块链编号；其他交易发布的区块链与其公钥的数值有关，对应的区块链编号为b_i＝hash(pk_i||tk₁)(mod b_num)，2≤i≤l，其中pk_i为交易T_i对应的公钥；

接收者在搜索交易时，首先需要去指定的区块链上搜索交易T₀，计算出pk₁，通过pk₁计算交易T₁的位置，进而找交易T₁，再计算下一个交易的公钥pk_i，2≤i≤l；然后计算其对应交易所在的区块链b_i＝hash(pk_i||tk₁)(mod b_num)，2≤i≤l；按照发送地址在相应的区块链上搜索交易，并恢复出消息。