CN114726538A - 一种基于区块链环签名的隐蔽通信方法 - Google Patents

Abstract

本发明公开了一种基于区块链环签名的隐蔽通信方法，其步骤包括：步骤S1：得到发送方和接收方的长期公钥及初始对称密钥；步骤S2：构造环签名交易，作为机密消息载体；步骤S3：发送方广播构造好的环签名交易；步骤S4:接收方检查交易池，解析机密消息。本发明具有原理简单、操作简便、适用范围更广、处理速度更快、安全性更高等优点。

Description

一种基于区块链环签名的隐蔽通信方法

技术领域

本发明主要涉及到网络安全技术领域，特指一种基于区块链环签名的隐蔽通信方法。

背景技术

随着网络技术的发展，数据传输的安全性和隐私性越来越受到重视，也为隐蔽通信的研究提供了前提和基础。相较于单一的加密通信，“隐蔽通信”在其基础上还掩盖了双方进行数据通信的事实。

现有传统的隐蔽通信方法往往使用数据包的冗余字段等作为载体，将加密后的机密信息嵌入到这些载体中，再使用传统的网络信道进行发送。但这些传统方法仍存在数据包被恶意篡改等风险。因此，考虑到区块链的不可篡改性，人们的着眼点逐渐转向基于区块链系统的隐蔽通信方法。

大多数基于区块链的隐蔽通信方法建立在区块链的匿名性假设上，但实际上可能通过线下信息、区块链地址间的交互等推测出真实身份，因此该假设不成立。

对于大多数传统的基于区块链的隐蔽通信方法，均存在以下两个问题：

(1)区块链地址的非完全匿名性导致的隐蔽通信双方身份泄露风险；

(2)加密所用的共享密钥固定导致的统计学密码分析风险。

为此，有从业者提出了中国专利申请“一种基于区块链网络的数据隐蔽传输方法”(CN110225016B)，该技术方案为：

步骤一、链外密钥交换阶段：通信双方各自使用加密算法生成公私钥对，其中私钥存放在本地，公钥作为隐蔽通信的凭证相互交换；

步骤二、隐蔽数据构造阶段：发送信息时，发送方按照区块链系统使用的非对称加密算法生成一对新的公私钥，然后用生成的的公钥加密待发送的消息，最后构造一个特殊的区块链交易：交易的数据字段存储加密后的数据；交易的签名字段利用接收方公钥使用Kleptography技术生成，此签名信息中包含了能够泄露发送方私钥的后门；交易的发送地址是由发送方生成的公钥转化得到，交易的接收地址既可以是接收方的比特币地址，也可以是任意比特币地址；

步骤三、链内数据传输阶段：发送方将特殊的区块链交易广播到区块链网络，携带加密数据的特殊交易按照泛洪传播模式在区块链网络中传播，最终，特殊的区块链交易将传播至所有的区块链节点，包括接收方所在的节点；

步骤四、隐蔽数据提取阶段：接收方逐个读取和检测区块链网络中传播的每一个区块链交易，如果交易中的签名数据能够利用Kleptography技术提取出私钥，则说明此交易是携带加密数据的特殊交易；然后接收方将利用提取的私钥解密出原文。其中，Kleptography技术是指一种密码后门技术。Kleptography技术能够对已有的密码算法进行改造，从而产生特殊的加密输出。此加密输出与原本的密码算法的输出具有一致的安全性和格式。但是，持有特定密钥的用户可以从此加密输出中提取出加密时使用的密钥。Kleptography技术通常被用于实现具有后门的密码系统。

在上述技术方案中，对于问题(1)的解决方案是每次传输前新生成随机发送方地址，但是这将导致出现大量代币余额为0；发起单笔交易的地址，与正常地址的业务逻辑仍存在出入；同时，公私钥管理的困难性增大。

由上可知，传统技术中并没有很好的解决基于区块链的隐蔽通信方法存在的问题，亟待一种新的技术来形成更加的解决方案。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理简单、操作简便、适用范围更广、处理速度更快、安全性更高的基于区块链环签名的隐蔽通信方法

为解决上述技术问题，本发明采用以下技术方案：

一种基于区块链环签名的隐蔽通信方法，其步骤包括：

步骤S1：得到发送方和接收方的长期公钥及初始对称密钥；

步骤S2：构造环签名交易，作为机密消息载体；

步骤S3：发送方广播构造好的环签名交易；

步骤S4:接收方检查交易池，解析机密消息。

作为本发明方法的进一步改进：所述步骤S2中，将区块链交易中环签名的随机数有序集合R作为机密消息的载体，按照规则进行嵌入。

作为本发明方法的进一步改进：所述步骤S2中，将后64-bit为全0的初始向量IV作为携带机密消息的标识，并使用IV和共享对称密钥对所要传输数据作AES-CBC模式的加密。

作为本发明方法的进一步改进：在所述步骤S2中，发送方每次发起携带机密消息的环签名交易时，根据接收方的两个长期公钥新生成一次性公钥，只有接收方能计算出对应一次性私钥。

作为本发明方法的进一步改进：所述步骤S2的步骤包括：

步骤S201：生成接收方一次性地址；

步骤S202：选取公钥集合PK；

步骤S203：在随机数集合R中嵌入共享密钥z_i加密的机密消息。

作为本发明方法的进一步改进：所述步骤S202的流程包括：

步骤S2021：发送方选取自己私钥可解锁的任意面额的未花费输出，作为隐蔽通信时需构造交易的输入；

步骤S2022：生成Z_p ^*上的随机数r，计算pk_tx＝r·G，作为交易的附加字段内容；

步骤S2023：计算pk_r＝Hash(r·pk_r1)·G+pk_r2，作为交易的输出中的接收方一次性公钥；

步骤S2024：发送方从UTXO池中随机选出N个面额相同的未花费输出(此处令N＝10，也可调整为其他数值)，将其公钥有序集合并上pk_s(令pk_i＝pk_s,i∈{1,2,...,11})，记作PK＝{pk₁,...,pk_i-1,pk_i,pk_i+1,...,pk₁₁}。

作为本发明方法的进一步改进：在所述步骤S203中，发送方生成Z_p ^*上的随机数有序集合R＝{r₁,...,r_i-1,r_i+1,...,r₁₁}，并在其中嵌入机密消息；具体规则包括：

(1)单个环签名中嵌入消息的先后相对顺序为r_i+1→r_i+2→...→r₁₁→r₁→...→r_i-1；

(2)消息的完整格式包括：

IV：AES-CBC模式下128-bit的初始向量，后64-bit需要为全0；

Sequence flag：由1开始的自增字段，当同一共享密钥对应的机密消息不能仅嵌入在单个环签名中时，需要分片并通过该字段来判定分片的先后相对顺序；

Payload：机密消息；

Separator：分隔字符串“$nkey$”，起定位作用；

z_i+1：更新后的共享对称密钥；

(3)生成符合规则(2)的随机IV，并使用当前共享对称密钥z_i加密，作为单个环签名嵌入的机密消息的前128-bit；使用密钥z_i和初始向量IV对Sequence flag||Payload||Separator||z_i+1作AES-CBC模式加密，得到嵌入的机密消息128bit后的部分。

作为本发明方法的进一步改进：所述步骤S203的流程包括：

步骤S2031：选取Z_p ^*上的随机数k，计算B_i＝k·G＝(x_i,y_i),c_i+1＝x_i+Hash(m)modp；

步骤S2032：对j＝i+1,...,11,1,...,i-1，依次计算：

B_j＝r_j·G+(r_j+c_j)·pk_j＝(x_j,y_j),c_j+1＝x_j+Hash(m)modp

步骤S2033：计算r_i＝(1+sk_i)^-1·(k-c_i·sk_i)modp，并将r_i并入有序集合R。

作为本发明方法的进一步改进：在所述步骤S3中，发送方得到交易的环签名sig(m)＝(c₁,PK,R)，并广播该交易。

作为本发明方法的进一步改进：在所述步骤S3中，若机密消息过长，作分片传输；在环签名的随机数中嵌入自增字段Sequence flag，实现分片传输机密消息的分片定序。

作为本发明方法的进一步改进：所述步骤S4的流程包括：

步骤S401：接收方检查交易池中的交易，若发现该交易使用环签名，且满足：

(3)pk_r＝Hash(sk_r1·pk_tx)·G+sk_r2·G；

(4)环签名中的有序集合R存在r_j，使用共享对称密钥z_i解密其前128-bit后得到的结果的后64-bit为全0；

则判定该交易为隐蔽通信的载体，进入步骤S402，否则继续检查其他交易；

步骤S402：使用密钥z_i和上述步骤中得到的初始向量IV，以AES-CBC模式解密R中嵌入的机密消息；

步骤S403：接收方解析嵌入机密消息的环签名交易，直到在最后一个分片中得到新的共享对称密钥z_i+1；根据Sequence flag字段确定分片传输的先后顺序，拼接得到完整机密消息，并在本地将原对称密钥z_i更新为z_i+1。

作为本发明方法的进一步改进：在所述步骤S1中，隐蔽通信的发送方和接收方在链外的安全信道上进行密钥交换及协商，得到双方的长期公钥及初始对称密钥；在每次完整机密消息传输的最后嵌入由当前对称密钥加密的新对称密钥。

与现有技术相比，本发明的优点在于：

1、本发明的一种基于区块链环签名的隐蔽通信方法，原理简单、操作简便，基于环签名实现发送方的匿名化，避免每次新生成地址造成的公私钥管理负担；并根据接收方的两对长期公钥每次新生成一次性公钥，实现了接收方的匿名化。

2、本发明的一种基于区块链环签名的隐蔽通信方法，将区块链交易中环签名的随机数有序集合R作为机密消息的载体，在数据传输的同时该交易也可转移自定义资产，更符合正常业务逻辑，满足隐蔽通信需求。

3、本发明的一种基于区块链环签名的隐蔽通信方法，通过安全信道协商初始对称密钥，在每次完整机密消息传输的最后嵌入由当前对称密钥加密的新对称密钥，保证共享密钥的及时更新，有效提高安全性。

4、本发明的一种基于区块链环签名的隐蔽通信方法，在环签名的随机数中嵌入自增字段Sequence flag，实现分片传输机密消息的分片定序，以及帮助接收方确认是否有交易丢失(如受网络问题影响)的情况，满足可靠传输需求。

5、本发明的一种基于区块链环签名的隐蔽通信方法，基于环签名来保证发送方的匿名性，使交易更符合正常业务逻辑，且减轻了发送方的公私钥管理负担。

6、本发明的一种基于区块链环签名的隐蔽通信方法，根据接收方的长期公钥每次新生成一次性公钥，只有接收方能计算出对应的一次性私钥，且非隐蔽通信参与方无法通过一次性公钥得到接受方的长期公钥，以此来保证接收方的匿名性。

附图说明

图1是本发明方法的流程示意图。

图2是本发明在具体应用实例中的原理示意图。

图3是本发明在具体应用实例中消息(明文)的完整格式示意图。

图4是本发明在具体应用实例中将r_i并入有序集合R的示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

为了便于描述，本发明将本领域涉及到的字符及参数先行定义如下：

Z_p：所使用的椭圆曲线被定义在有限域Z_p上。

Z_p ^*：Z_p-{0}。

(pk_s,sk_s)：发送方的长期公私钥对，其中pk_s＝sk_s·G(G为椭圆曲线上选取的基点)。

(pk_r1,sk_r1),(pk_r2,sk_r2)：接收方的长期公私钥对(2对)，其中pk_r1＝sk_r1·G,pk_r2＝sk_r2·G(G为椭圆曲线上选取的基点)。

z_i：当前共享对称密钥。

UTXO池(Unspent Transaction Output)：池中包含区块链系统中尚未花费的交易输出条目。

m：待签名的消息。

如图1和图2所示，本发明的一种基于区块链环签名的隐蔽通信方法，其包括：

步骤S1：得到发送方和接收方的长期公钥及初始对称密钥；

步骤S2：构造环签名交易，作为机密消息载体；

步骤S3：发送方广播构造好的环签名交易；

步骤S4:接收方检查交易池，解析机密消息。

在具体应用实例中，在所述步骤S2中，将区块链交易中环签名的随机数有序集合R作为机密消息的载体，按照规则进行嵌入。

根据实际需要，作为优先方案可以采用如下方式：将后64-bit为全0的初始向量IV作为携带机密消息的标识，并使用IV和共享对称密钥对所要传输数据作AES-CBC模式的加密。在其他应用时，也可以根据实际需要采用其他形式的方案，也应在本发明的保护范围之内。

在具体应用时，所述步骤S2包括：

步骤S201：生成接收方一次性地址；

步骤S202：选取公钥集合PK；

步骤S203：在随机数集合R中嵌入共享密钥z加密的机密消息。

在具体应用实例中，在所述步骤S2中，发送方每次发起携带机密消息的环签名交易时，根据接收方的两个长期公钥新生成一次性公钥，只有接收方能计算出对应一次性私钥。

在具体应用实例中，所述步骤S202的详细流程包括：

步骤S2021：发送方选取自己私钥可解锁的任意面额的未花费输出，作为隐蔽通信时需构造交易的输入；

步骤S2022：生成Z_p ^*上的随机数r，计算pk_tx＝r·G，作为交易的附加字段内容。

步骤S2023：计算pk_r＝Hash(r·pk_r1)·G+pk_r2，作为交易的输出中的接收方一次性公钥。

步骤S2024：发送方从UTXO池中随机选出N个面额相同的未花费输出(此处令N＝10，也可调整为其他数值)，将其公钥有序集合并上pk_s(令pk_i＝pk_s,i∈{1,2,...,11})，记作PK＝{pk₁,...,pk_i-1,pk_i,pk_i+1,...,pk₁₁}。

在具体应用实例中，在所述步骤S203中，发送方生成Z_p ^*上的随机数有序集合R＝{r₁,...,r_i-1,r_i+1,...,r₁₁}，并在其中嵌入机密消息。在此过程中，具体规则如下：

(1)单个环签名中嵌入消息的先后相对顺序为r_i+1→r_i+2→...→r₁₁→r₁→...→r_i-1。

(2)消息(明文)的完整格式如图3所示。

IV：AES-CBC模式下128-bit的初始向量，后64-bit需要为全0。

Sequence flag：由1开始的自增字段，当同一共享密钥对应的机密消息不能仅嵌入在单个环签名中时，需要分片并通过该字段来判定分片的先后相对顺序。

Payload：机密消息(明文)。

Separator：分隔字符串“$nkey$”，起定位作用。

z_i+1：更新后的共享对称密钥。

(3)生成符合规则(2)的随机IV，并使用当前共享对称密钥z_i加密，作为单个环签名嵌入的机密消息的前128-bit。使用密钥z_i和初始向量IV对Sequence flag||Payload||Separator||z_i+1作AES-CBC模式加密，得到嵌入的机密消息128bit后的部分。

在具体应用实例中，所述步骤S203的详细流程包括：

步骤S2031：选取Z_p ^*上的随机数k，计算B_i＝k·G＝(x_i,y_i),c_i+1＝x_i+Hash(m)modp；

步骤S2032：对j＝i+1,...,11,1,...,i-1，依次计算：

B_j＝r_j·G+(r_j+c_j)·pk_j＝(x_j,y_j),c_j+1＝x_j+Hash(m)modp

步骤S2033：计算r_i＝(1+sk_i)^-1·(k-c_i·sk_i)modp，并将r_i并入有序集合R。参见图4。

在具体应用实例中，在所述步骤S3中，若机密消息过长，作分片传输；即，在环签名的随机数中嵌入自增字段Sequence flag，实现分片传输机密消息的分片定序。

在具体应用实例中，在所述步骤S3中，发送方得到交易的环签名sig(m)＝(c₁,PK,R)，并广播该交易。

在具体应用实例中，在所述步骤S4的详细流程包括：

步骤S401：接收方检查交易池中的交易，若发现该交易使用环签名，且满足：pk_r＝Hash(sk_r1·pk_tx)·G+sk_r2·G。

环签名中的有序集合R存在r_j，使用共享对称密钥z_i解密其前128-bit后得到的结果的后64-bit为全0。

则判定该交易为隐蔽通信的载体，进入步骤S402，否则继续检查其他交易。

步骤S402：使用密钥z_i和上述步骤中得到的初始向量IV，以AES-CBC模式解密R中嵌入的机密消息；按步骤203中的规则(1)：从r_j的129bit到r_j-2的最后1bit。

步骤S403：接收方解析嵌入机密消息的环签名交易，直到在最后一个分片中得到新的共享对称密钥z_i+1。根据Sequence flag字段确定分片传输的先后顺序，拼接得到完整机密消息，并在本地将原对称密钥z_i更新为z_i+1。

在具体应用实例中，在所述步骤S1中，通过安全信道协商初始对称密钥。然后，本发明在每次完整机密消息传输的最后嵌入由当前对称密钥加密的新对称密钥。

作为较佳实施例，在所述步骤S1中，隐蔽通信的发送方和接收方在链外(安全信道上)进行密钥交换及协商，得到双方的长期公钥及初始对称密钥。

在密码学中，环签名是一种数字签名，可以由一组用户中的任何成员执行(每个用户的公钥公开)。因此，用环签名签名的消息是由特定人群中的某个人背书的。环签名的一个安全属性是，在计算上不可能确定是该集合成员的哪个密钥用于生成签名。那么在本发明中，环签名允许一个签名者代表一个签名集合进行签名，同时保证签名者身份的匿名性；签名者在签名时无需集合中其他成员的帮助，甚至于可以不让其他成员知晓，只需要用自己的私钥和其他成员的公钥就能实现。验证签名的不同点在于：仅可验证签名来自群组成员，但是无法区分某个具体成员。

在本发明的上述实例中是将机密消息嵌入于环签名的随机数有序集合R；但实际上，环签名有多种实现方案，使用者根据实际需要来选择合适的即可，也就是说若使用其他实现方案，但仍将环签名本身作为载体，那么就仍在本发明的保护范围内。

以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims (12)

1.一种基于区块链环签名的隐蔽通信方法，其特征在于，步骤包括：

步骤S1：得到发送方和接收方的长期公钥及初始对称密钥；

步骤S2：构造环签名交易，作为机密消息载体；

步骤S3：发送方广播构造好的环签名交易；

步骤S4：接收方检查交易池，解析机密消息。

2.根据权利要求1所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S2中，将区块链交易中环签名的随机数有序集合R作为机密消息的载体，按照规则进行嵌入。

3.根据权利要求1所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S2中，将后64-bit为全0的初始向量IV作为携带机密消息的标识，并使用IV和共享对称密钥对所要传输数据作AES-CBC模式的加密。

4.根据权利要求1所述的基于区块链环签名的隐蔽通信方法，其特征在于，在所述步骤S2中，发送方每次发起携带机密消息的环签名交易时，根据接收方的两个长期公钥新生成一次性公钥，只有接收方能计算出对应一次性私钥。

5.根据权利要求1或2或3或4所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S2的步骤包括：

步骤S201：生成接收方一次性地址；

步骤S202：选取公钥集合PK；

步骤S203：在随机数集合R中嵌入共享密钥z_i加密的机密消息。

6.根据权利要求5所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S202的流程包括：

步骤S2021：发送方选取自己私钥可解锁的任意面额的未花费输出，作为隐蔽通信时需构造交易的输入；

步骤S2022：生成Z_p ^*上的随机数r，计算pk_tx＝r·G，作为交易的附加字段内容；Z_p ^*为不含零元的p的有限域；G为椭圆域上的基点；pk_tx为临时交易公钥；

步骤S2023：计算pk_r＝Hash(r·pk_r1)·G+pk_r2，其中pk_r1，pk_r2为接收方持有的两个长期公钥，作为交易的输出中的接收方一次性公钥；

步骤S2024：发送方从UTXO池中随机选出N个面额相同的未花费输出(此处令N＝10，也可调整为其他数值)，将其公钥有序集合并上pk_s(令pk_i＝pk_s，i∈{1，2，...，11})，记作PK＝{pk₁，...，pk_i-1，pk_i，pk_i+1，...，pk₁₁}，其中pk_s为发送方持有的长期公钥。

7.根据权利要求5所述的基于区块链环签名的隐蔽通信方法，其特征在于，在所述步骤S203中，发送方生成Z_p ^*上的随机数有序集合R＝{r₁，...，r_i-1，r_i+1，...，r₁₁}，并在其中嵌入机密消息；具体规则包括：

(1)单个环签名中嵌入消息的先后相对顺序为r_i+1→r_i+2→...→r₁₁→r₁→...→r_i-1；

(2)消息的完整格式包括：

IV：AES-CBC模式下128-bit的初始向量，后64-bit需要为全0；

Sequence flag：由1开始的自增字段，当同一共享密钥对应的机密消息不能仅嵌入在单个环签名中时，需要分片并通过该字段来判定分片的先后相对顺序；

Payload：机密消息；

Separator：分隔字符串“$nkey$”，起定位作用；

z_i+1：更新后的共享对称密钥；

(3)生成符合规则(2)的随机IV，并使用当前共享对称密钥z_i加密，作为单个环签名嵌入的机密消息的前128-bit；使用密钥z_i和初始向量IV对Sequence flag||Payload||Separator||z_i+1作AES-CBC模式加密，得到嵌入的机密消息128bit后的部分。

8.根据权利要求5所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S203的流程包括：

步骤S2031：选取Z_p ^*上的随机数k，计算B_i＝k·G＝(x_i，y_i)，c_i+1＝x_i+Hash(m)modp；

步骤S2032：对j＝i+1，...，11，1，...，i-1，依次计算：

B_j＝r_j·G+(r_j+c_j)·pk_j＝(x_j，y_j)，c_j+1＝x_j+Hash(m)modp

步骤S2033：计算r_i＝(1+sk_i)^-1·(k-c_i·sk_i)modp，并将r_i并入有序集合R，其中sk_i为发送方持有的长期私钥。

9.根据权利要求1或2或3或4所述的基于区块链环签名的隐蔽通信方法，其特征在于，在所述步骤S3中，发送方得到交易的环签名sig(m)＝(c₁，PK，R)，并广播该交易。

10.根据权利要求1或2或3或4所述的基于区块链环签名的隐蔽通信方法，其特征在于，在所述步骤S3中，若机密消息过长，作分片传输；在环签名的随机数中嵌入自增字段Sequence flag，实现分片传输机密消息的分片定序。

11.根据权利要求3或4所述的基于区块链环签名的隐蔽通信方法，其特征在于，所述步骤S4的流程包括：

步骤S401：接收方检查交易池中的交易，若发现该交易使用环签名，且满足：

(1)pk_r＝Hash(sk_r1·pk_tx)·G+sk_r2·G；其中，sk_r1，sk_r2为接收方持有的两个长期私钥；

(2)环签名中的有序集合R存在r_j，使用共享对称密钥z_i解密其前128-bit后得到的结果的后64-bit为全0；

则判定该交易为隐蔽通信的载体，进入步骤S402，否则继续检查其他交易；

步骤S402：使用密钥z_i和上述步骤中得到的初始向量IV，以AES-CBC模式解密R中嵌入的机密消息；

步骤S403：接收方解析嵌入机密消息的环签名交易，直到在最后一个分片中得到新的共享对称密钥z_i+1；根据Sequence flag字段确定分片传输的先后顺序，拼接得到完整机密消息，并在本地将原对称密钥z_i更新为z_i+1。

12.根据权利要求1或2或3或4所述的基于区块链环签名的隐蔽通信方法，其特征在于，在所述步骤S1中，隐蔽通信的发送方和接收方在链外的安全信道上进行密钥交换及协商，得到双方的长期公钥及初始对称密钥；在每次完整机密消息传输的最后嵌入由当前对称密钥加密的新对称密钥。

Images