面向區(qū)塊鏈貿(mào)易系統(tǒng)的無管理者安全模型

黃龍霞，王良民，張功萱

（1.江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013；2.南京理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 210094）

1 引言

隨著各種電子錢包的發(fā)展，以數(shù)字貨幣為主體的貿(mào)易系統(tǒng)以不可阻擋的發(fā)展速度在生活中得到普及。傳統(tǒng)的集中式貿(mào)易系統(tǒng)在解決智能服務(wù)貿(mào)易時賦予中心實(shí)體過高的權(quán)力，而權(quán)力集中會帶來集權(quán)者濫用權(quán)力的問題。但簡單地從貿(mào)易系統(tǒng)中取消管理者，會使貿(mào)易系統(tǒng)因管理員的缺失而產(chǎn)生惡意貿(mào)易、處理不及時等情況[1]，進(jìn)而導(dǎo)致貿(mào)易系統(tǒng)可靠性以及安全性受到威脅。因此，如何設(shè)計(jì)分布式分中心的服務(wù)貿(mào)易模型、突破分布式架構(gòu)下的關(guān)鍵技術(shù)、確保貿(mào)易的可靠性和安全性成為亟待解決的問題[2]。

隨著區(qū)塊鏈技術(shù)的發(fā)展，越來越多的貿(mào)易系統(tǒng)引入該技術(shù)[3]。區(qū)塊鏈?zhǔn)侵敢幌盗谢诿艽a學(xué)原理而不基于中心節(jié)點(diǎn)的通用技術(shù)，具備去中心化、公開透明、去信任、匿名性和不可篡改性等屬性[4]，用于在點(diǎn)對點(diǎn)的分布式網(wǎng)絡(luò)中交換信息和數(shù)字資產(chǎn)。通過引入機(jī)制允許所有節(jié)點(diǎn)參與，對貿(mào)易進(jìn)行一致性協(xié)商使貿(mào)易民主化，在如物聯(lián)網(wǎng)、邊緣計(jì)算、政府管理、云計(jì)算、金融、醫(yī)療和物流等領(lǐng)域均得到了廣泛的應(yīng)用[5-6]。

基于區(qū)塊鏈技術(shù)建立貿(mào)易系統(tǒng)借助區(qū)塊鏈的去中心化和去信任的屬性，可以解決傳統(tǒng)貿(mào)易系統(tǒng)中存在的中心化集權(quán)的問題[7]，但完全去中心的公有鏈無法滿足企業(yè)的需求，同時在隱私和監(jiān)管方面均存在不足，因而實(shí)際應(yīng)用中企業(yè)往往選擇具備部分去中心和提供隱私保護(hù)及監(jiān)管的聯(lián)盟鏈[8]。在聯(lián)盟鏈中，買家發(fā)起的貿(mào)易需要網(wǎng)絡(luò)中的背書節(jié)點(diǎn)進(jìn)行背書簽名，只有在管理者確認(rèn)買家已收齊背書的情況下，買家才可以繼續(xù)執(zhí)行貿(mào)易提交的操作。在本文方案的無管理者貿(mào)易模型中，該環(huán)節(jié)的安全性與高效性由同態(tài)屬性與雙線性對[1]來保證。買家可自行驗(yàn)證是否收齊背書簽名，且僅當(dāng)收齊背書簽名，買家在后續(xù)階段中能夠通過驗(yàn)證。

同態(tài)屬性還可以實(shí)現(xiàn)大量信息的高效驗(yàn)證，鑒于區(qū)塊鏈中區(qū)塊的設(shè)置，每個區(qū)塊存儲的信息有限，因此需借助線上驗(yàn)證?線下存儲的模式[9]。隨著時間的推移，貿(mào)易系統(tǒng)會以不可預(yù)估的速度產(chǎn)生大量數(shù)據(jù)，因此需要考慮如何高效驗(yàn)證線下存儲的貿(mào)易信息的正確性，同時還需要在驗(yàn)證過程中確保數(shù)據(jù)信息的隱私不被泄露。公開審計(jì)技術(shù)借助挑戰(zhàn)?應(yīng)答協(xié)議[10]，能實(shí)現(xiàn)大量數(shù)據(jù)的安全與高效驗(yàn)證，以及基于區(qū)塊鏈的貿(mào)易系統(tǒng)的安全性與高效驗(yàn)證。為了提高驗(yàn)證效率并確保驗(yàn)證安全性，本文方案在貿(mào)易驗(yàn)證階段引入了公開審計(jì)技術(shù)。

除了安全性，基于區(qū)塊鏈的貿(mào)易系統(tǒng)中的部分去中心化帶來的系統(tǒng)不穩(wěn)定問題也亟須處理，系統(tǒng)中貿(mào)易處理不及時、參與者發(fā)布惡意貿(mào)易等問題均會降低貿(mào)易系統(tǒng)的可靠性。所以，基于區(qū)塊鏈技術(shù)的貿(mào)易系統(tǒng)需要合理的激勵機(jī)制[11]。雖然聯(lián)盟鏈中的節(jié)點(diǎn)是被指定的或者為利益共同體，但是對買家的正確行為進(jìn)行獎勵以及對惡意行為進(jìn)行懲罰，有利于減少惡意貿(mào)易出現(xiàn)的機(jī)會，使貿(mào)易系統(tǒng)良化。本文方案采取一種快速的判定方法，該方法根據(jù)實(shí)體行為對信譽(yù)值進(jìn)行加分或減分，對信譽(yù)值高的買家所發(fā)起的貿(mào)易優(yōu)先處理，確保系統(tǒng)穩(wěn)定的同時鼓勵實(shí)體執(zhí)行正確操作。

本文方案中去管理者的貿(mào)易系統(tǒng)流程能夠同時從可靠性和安全性兩方面來提高基于區(qū)塊鏈的貿(mào)易系統(tǒng)的質(zhì)量。本文的貢獻(xiàn)如下。

1) 實(shí)現(xiàn)了去管理者的安全背書認(rèn)證，借助同態(tài)屬性，使用戶在收到所有背書節(jié)點(diǎn)的背書簽名后可自行生成有效的背書簽名，且支持高效密鑰更新。

2) 實(shí)現(xiàn)了高效且安全的批量貿(mào)易驗(yàn)證，引入公開審計(jì)技術(shù)，實(shí)現(xiàn)驗(yàn)證階段的批量高效簽名驗(yàn)證，且不需要使用其他實(shí)體的私有信息。

3) 保證了貿(mào)易系統(tǒng)的可靠性，采用基于信譽(yù)的激勵機(jī)制對任務(wù)進(jìn)行排序，減少高信譽(yù)用戶等待時間并周期性對所有節(jié)點(diǎn)的信譽(yù)值進(jìn)行定量評估。

針對中心實(shí)體或者管理者所導(dǎo)致的權(quán)限集中與濫用權(quán)力的問題，公有鏈系統(tǒng)的結(jié)構(gòu)采取完全去中心化[12]，開放性在帶給用戶獲取鏈上數(shù)據(jù)權(quán)限的同時給隱私保護(hù)和監(jiān)督帶來威脅；私有鏈在解決如上問題時會引起信息孤島的問題[8]。因而，兼具管理、認(rèn)證、授權(quán)、監(jiān)控、審計(jì)的聯(lián)盟鏈成為貿(mào)易系統(tǒng)的首選，但為了適應(yīng)無管理者安全模型，還需要引入新的技術(shù)來實(shí)現(xiàn)安全的去中心。

自2007年Ateniese等[13]基于RSA（Rivest-Shamir-Adleman）算法提出非可信存儲環(huán)境中的可證明數(shù)據(jù)持有協(xié)議，使用了同態(tài)加密和雙線性對技術(shù)。之后基于該協(xié)議，多種公開審計(jì)方案應(yīng)用于云環(huán)境[1]、無線體域網(wǎng)[14]等領(lǐng)域以確保遠(yuǎn)程數(shù)據(jù)的正確性。文獻(xiàn)[15]加強(qiáng)了原有完整性驗(yàn)證方法，解決了驗(yàn)證者使用收集的證明信息獲取用戶身份隱私或者數(shù)據(jù)隱私的問題。Wang 等[16]結(jié)合區(qū)塊鏈技術(shù)和RSA 簽名實(shí)現(xiàn)高效的私有數(shù)據(jù)持有證明，系統(tǒng)管理者負(fù)責(zé)公有參數(shù)的設(shè)定與私有信息的分發(fā)。以上方法可提高貿(mào)易系統(tǒng)中的海量貿(mào)易信息的驗(yàn)證效率，同時批量驗(yàn)證允許驗(yàn)證者同時處理多個審計(jì)任務(wù)請求，大大降低驗(yàn)證開銷[17]。為防止驗(yàn)證者在驗(yàn)證過程中通過線性結(jié)合收到的驗(yàn)證信息來恢復(fù)出信息，驗(yàn)證過程中的隱私保護(hù)不容忽視，對此，文獻(xiàn)[18]使用盲化技術(shù)對發(fā)送的信息進(jìn)行保護(hù)，文獻(xiàn)[1]使用聯(lián)盟鏈對驗(yàn)證者進(jìn)行管理與控制，文獻(xiàn)[19]設(shè)計(jì)了一個基于物流行業(yè)的區(qū)塊鏈應(yīng)用與監(jiān)管系統(tǒng)，用分級分層模式實(shí)現(xiàn)了具有隱私保護(hù)的可追溯。

聯(lián)盟鏈為貿(mào)易系統(tǒng)提供管理、認(rèn)證、授權(quán)、監(jiān)控、審計(jì)等功能，但背書節(jié)點(diǎn)具備過于集中的權(quán)力。針對集權(quán)化問題，F(xiàn)u等[20]指出這種設(shè)置將導(dǎo)致權(quán)力濫用和誣陷等問題，并提出將單個管理者的身份認(rèn)證權(quán)力分發(fā)給若干管理者共同維護(hù)，實(shí)現(xiàn)身份追溯權(quán)力的分發(fā)。Huang等[1]借助秘密共享技術(shù)將權(quán)力分發(fā)給每個參與用戶，直接取消管理者，但是由于全員參與的設(shè)定，該方案的計(jì)算與通信開銷均較高，且每次的密鑰更新均涉及所有參與實(shí)體，這導(dǎo)致不支持高效的成員動態(tài)。而貿(mào)易系統(tǒng)中的動態(tài)性也是不可忽視的，因此以上方法不能直接應(yīng)用于無管理者的貿(mào)易系統(tǒng)。

現(xiàn)有的激勵機(jī)制主要有基于互惠機(jī)制的方案、基于電子貨幣的機(jī)制和基于信譽(yù)的激勵機(jī)制?；诨セ輽C(jī)制的方案根據(jù)用戶的貢獻(xiàn)度來匹配價(jià)值相當(dāng)?shù)姆?wù)[21]，但系統(tǒng)中的實(shí)體需要建立長期的互惠關(guān)系。最廣為人知的激勵策略是基于貨幣的機(jī)制，通過將記賬節(jié)點(diǎn)獲取的獎勵定期減半[22]來鼓勵礦工挖礦，但該激勵機(jī)制基于公有區(qū)塊鏈，無法直接應(yīng)用于本文方案?；陔娮迂泿诺臋C(jī)制需要集權(quán)的可信中心，均不適用于無管理者貿(mào)易系統(tǒng)?；谛抛u(yù)的激勵機(jī)制評估用戶的信譽(yù)值，信譽(yù)值高的用戶可獲得更好的服務(wù)。同時，根據(jù)參與實(shí)體的貿(mào)易表現(xiàn)及時地進(jìn)行信譽(yù)更新也是很有必要的[23]。

2 預(yù)備知識

2.1 雙線性對

群G1和G2代表2 個q階乘法循環(huán)群，g是群G1的生成元，雙線性對e:G1×G1→G2具備如下特性。

1) 對于群G1中每個元素u,v∈G1和素?cái)?shù)域中每個元素a,b∈Zq，有e(u a,vb)=e(u,v)ab=e(ub,va)。

2) 對于群G1中的每個元素u1,u2,v∈G1，可得到e(u1u2,v)=e(u1,v)e(u2,v)。

3)e是可計(jì)算的且是不可解的，也就是說e是非退化的，即e(g,g) ≠ 1。

本文方案中密碼算法安全性依賴于2 個困難問題，具體如下。

1) DL（discrete logarithm）問題。給定循環(huán)群的生成元g和公鑰Y=g x∈G1，計(jì)算出私鑰x∈Zq在計(jì)算上是困難的。

2) CDH（computational Diffie-Hellman）問題。給定元組在未知α,β的情況下計(jì)算出在計(jì)算上是不可行的。

2.2 區(qū)塊鏈

比特幣熱潮之后，其背后的技術(shù)支持?區(qū)塊鏈技術(shù)進(jìn)入人們的視野，并在工業(yè)界與學(xué)術(shù)界均成為熱點(diǎn)。從嚴(yán)格定義上來說，區(qū)塊鏈分為3 種類型：公有鏈、私有鏈和聯(lián)盟鏈。公有鏈上的操作是公開的；私有鏈?zhǔn)潜容^封閉的局域網(wǎng)；聯(lián)盟鏈由參與實(shí)體共同維護(hù)并提供對參與成員的管理、認(rèn)證、授權(quán)、監(jiān)控、審計(jì)等全套安全管理功能。聯(lián)盟鏈?zhǔn)且环N特定的區(qū)塊鏈，具有多個預(yù)選節(jié)點(diǎn)，從而以適中的成本建立分布式共享數(shù)據(jù)庫[24]。

2.3 公開審計(jì)技術(shù)

作為公開審計(jì)技術(shù)的核心內(nèi)容，挑戰(zhàn)?應(yīng)答協(xié)議使用4 個步驟完成第三方驗(yàn)證，借助挑戰(zhàn)–應(yīng)答協(xié)議，公開審計(jì)使驗(yàn)證者在不知道用戶私鑰的情況下使用公開信息對遠(yuǎn)程存儲的信息進(jìn)行完整性驗(yàn)證，且不需要下載所有存儲的信息。公開審計(jì)模型如圖1 所示。

圖1 公開審計(jì)模型

如圖1 所示，用戶群中的實(shí)體可自行存儲/下載信息，可通過執(zhí)行挑戰(zhàn)–應(yīng)答協(xié)議驗(yàn)證存儲至云服務(wù)器的數(shù)據(jù)。首先用戶給驗(yàn)證者發(fā)送驗(yàn)證請求；收到驗(yàn)證請求的驗(yàn)證者發(fā)送挑戰(zhàn)信息給云服務(wù)器；云服務(wù)器根據(jù)挑戰(zhàn)信息使用本身存儲內(nèi)容計(jì)算生成證明信息并返回給驗(yàn)證者；驗(yàn)證者在驗(yàn)證證明信息的正確性后將結(jié)果返還給用戶。具體的過程可參考文獻(xiàn)[10]。

2.4 同態(tài)認(rèn)證技術(shù)

同態(tài)性在實(shí)現(xiàn)數(shù)據(jù)密文可計(jì)算的同時能保證明文不可見，即某一信息先計(jì)算后加密與先加密后計(jì)算所得到的結(jié)果是相同的。同態(tài)認(rèn)證技術(shù)便基于該屬性，其是公開審計(jì)技術(shù)實(shí)現(xiàn)安全抽樣驗(yàn)證的基礎(chǔ)。該技術(shù)主要應(yīng)用了同態(tài)性的2 種屬性：無塊驗(yàn)證與不可延展性[14]。其中，無塊驗(yàn)證利用了同態(tài)屬性使驗(yàn)證者在驗(yàn)證文件完整性時不需要下載該文件；不可延展性可有效防止不良實(shí)體使用線性結(jié)合已有的信息生成組合文件的簽名，除非該實(shí)體竊取了正確的簽名私鑰。

2.5 基于信譽(yù)的激勵機(jī)制

在區(qū)塊鏈貿(mào)易系統(tǒng)中，為了確保貿(mào)易系統(tǒng)的穩(wěn)定性與及時性，需要加入激勵機(jī)制以加速貿(mào)易的確認(rèn)與打包。基于信譽(yù)的激勵機(jī)制對積極參與的實(shí)體進(jìn)行信譽(yù)獎勵，信譽(yù)值高的實(shí)體能夠在貿(mào)易打包過程中獲取較高的優(yōu)先級，以此激勵實(shí)體執(zhí)行正確的操作。

3 系統(tǒng)模型

3.1 安全交互模型

如圖2 所示，本文方案的安全交互模型包含3 種實(shí)體：認(rèn)證中心、貿(mào)易節(jié)點(diǎn)群和聯(lián)盟鏈網(wǎng)絡(luò)。認(rèn)證中心負(fù)責(zé)所有參與者的注冊與登錄；貿(mào)易節(jié)點(diǎn)群由買家與賣家組成；聯(lián)盟鏈網(wǎng)絡(luò)中有3 種節(jié)點(diǎn)，分別是背書節(jié)點(diǎn)、排序節(jié)點(diǎn)和記賬節(jié)點(diǎn)，這3 種節(jié)點(diǎn)分別負(fù)責(zé)貿(mào)易背書、貿(mào)易排序和貿(mào)易驗(yàn)證。

本文方案的安全交互模型包含10 個步驟，具體如下。

步驟1用戶向認(rèn)證中心注冊、登錄，同時信譽(yù)值賦值。

步驟2買家向背書節(jié)點(diǎn)提交貿(mào)易提案。

步驟3背書節(jié)點(diǎn)基于信譽(yù)進(jìn)行背書簽名。

步驟4背書節(jié)點(diǎn)返回貿(mào)易模擬。

步驟5買家向排序節(jié)點(diǎn)提交貿(mào)易。

步驟6排序節(jié)點(diǎn)執(zhí)行排序共識算法。

步驟7排序節(jié)點(diǎn)在全網(wǎng)廣播區(qū)塊。

步驟8記賬主節(jié)點(diǎn)對貿(mào)易結(jié)果進(jìn)行批量驗(yàn)證。

步驟9全網(wǎng)同步區(qū)塊鏈信息。

步驟10記賬主節(jié)點(diǎn)根據(jù)驗(yàn)證結(jié)果進(jìn)行信譽(yù)減分及終止貿(mào)易，全網(wǎng)節(jié)點(diǎn)進(jìn)行信譽(yù)反饋與更新。

3.2 設(shè)計(jì)目標(biāo)

為了實(shí)現(xiàn)安全的去管理者貿(mào)易系統(tǒng)，本文方案需要實(shí)現(xiàn)以下目標(biāo)。

圖2 安全交互模型

1) 無管理者。在背書簽名階段，買家可自行生成有效的背書簽名。

2) 正確性。若實(shí)體誠實(shí)地執(zhí)行簽名/協(xié)議，一定能夠通過完整性驗(yàn)證。

3) 不可偽造性。在沒有簽名者的私鑰的情況下，其他實(shí)體無法偽造正確的簽名。

4) 抗重放攻擊。在正確的數(shù)據(jù)塊被損壞的情況下，存儲實(shí)體無法進(jìn)行重放攻擊。

5) 隱私保護(hù)。在驗(yàn)證過程中，驗(yàn)證者無法從收到的驗(yàn)證信息中獲取敏感信息。

6) 高效性。在驗(yàn)證貿(mào)易信息和判斷事件成功時均能實(shí)現(xiàn)快速驗(yàn)證。

7) 動態(tài)性。當(dāng)背書節(jié)點(diǎn)群發(fā)生變化時，系統(tǒng)能夠快速實(shí)現(xiàn)密鑰更新。

4 貿(mào)易系統(tǒng)的無管理者安全模型

本文基于區(qū)塊鏈技術(shù)提出的貿(mào)易系統(tǒng)中的安全模型包含3 個階段：背書階段、貿(mào)易階段和信譽(yù)管理階段，具體包含8 個算法：用戶注冊與登錄、貿(mào)易提案提交、基于信譽(yù)的背書、買家提交貿(mào)易、排序共識、貿(mào)易結(jié)果驗(yàn)證、不良貿(mào)易節(jié)點(diǎn)懲罰和信譽(yù)反饋與更新。為便于讀者理解，本文所用符號及其含義如表1 所示。

4.1 背書階段

算法1用戶注冊與登錄。該算法由認(rèn)證中心運(yùn)行，輸入為用戶的身份信息，輸出為買家用戶的初始化系數(shù)。具體執(zhí)行過程如下。

認(rèn)證中心為系統(tǒng)中每個用戶P隨機(jī)從素?cái)?shù)域中選取sk∈Zq作為用戶的私鑰，使用循環(huán)群G的生成元g計(jì)算公鑰pk=gsk∈G，公私密鑰對(sk,pk)中的私鑰sk 通過安全通道發(fā)送給對應(yīng)用戶P，公鑰pk 為系統(tǒng)公開信息；用戶P的信譽(yù)值被初始化為θ；每個背書節(jié)點(diǎn)的私鑰為；集合Δ為背書節(jié)點(diǎn)的集合；背書簽名的公鑰為

算法2貿(mào)易提案提交。該算法由買家實(shí)體運(yùn)行，輸入為買家的密鑰信息和貿(mào)易信息，輸出為貿(mào)易提案的參數(shù)列表txa，具體執(zhí)行過程如下。

首先，買家Pa通過連接到背書節(jié)點(diǎn)來與區(qū)塊鏈網(wǎng)絡(luò)進(jìn)行通信；然后買家Pa使用ska對貿(mào)易信息m加密生成客戶端簽名σm，生成參數(shù)列表包含身份標(biāo)識IDa，合約標(biāo)識與方法SCa，貿(mào)易信息m，時間戳T，客戶端簽名σm；最后買家Pa將貿(mào)易提案的txa發(fā)送給背書節(jié)點(diǎn)。

算法3基于信譽(yù)的背書。該算法由背書節(jié)點(diǎn)運(yùn)行，輸入為貿(mào)易提案和背書節(jié)點(diǎn)的密鑰，輸出為貿(mào)易提案的模擬執(zhí)行結(jié)果，具體執(zhí)行過程如下。

4.2 貿(mào)易階段

算法4買家提交貿(mào)易。該算法由買家運(yùn)行，輸入為用戶的身份信息與貿(mào)易模擬結(jié)果，輸出為貿(mào)易簽名信息，具體執(zhí)行過程如下。

首先，買家Pa將背書節(jié)點(diǎn)群Δ里所有背書節(jié)點(diǎn)返回的貿(mào)易提案初模擬結(jié)果進(jìn)行整合，計(jì)算得到簽名信息若未收集到足夠的貿(mào)易提案初模擬結(jié)果，貿(mào)易失??；然后，買家Pa將包含貿(mào)易模擬結(jié)果、最終背書簽名信息以及自身節(jié)點(diǎn)信息的貿(mào)易提案模擬結(jié)果{rm,ρe,Pa}上傳至半可信云服務(wù)器[1]，云服務(wù)器驗(yàn)證是否成立，若成立則接收該信息進(jìn)行存儲；最后，買家Pa將貿(mào)易m相關(guān)信息提交給排序節(jié)點(diǎn)群中的排序節(jié)點(diǎn)PO，并附上排序節(jié)點(diǎn)的身份標(biāo)識idO。

算法5排序共識。該算法由排序節(jié)點(diǎn)運(yùn)行，輸入為若干有效背書，輸出為打包好的貿(mào)易區(qū)塊，具體執(zhí)行過程如下。

首先，排序節(jié)點(diǎn)PO根據(jù)某一時段中來自貿(mào)易群組若干買家產(chǎn)生的共計(jì)N條貿(mào)易信息，即N條有效背書，記為使用式(1)對每個貿(mào)易信息的背書進(jìn)行驗(yàn)證，其中，聚合而成。

其中，H(?)表示哈希函數(shù)，pke表示背書節(jié)點(diǎn)的公鑰，g表示循環(huán)群G的生成元，e(?)表示雙線性對運(yùn)算；排序節(jié)點(diǎn)PO計(jì)算排序值其中，Tj表示貿(mào)易信息的時間戳值，Θj表示貿(mào)易信譽(yù)值，αj表示共識算法中時間戳的權(quán)重值，βj表示共識算法里面貿(mào)易信譽(yù)值的權(quán)重值，αj和βj均由系統(tǒng)按照實(shí)際需求設(shè)定；計(jì)算貿(mào)易的賣家PA的信譽(yù)值其中，q表示貿(mào)易買家信譽(yù)權(quán)重值，由系統(tǒng)按照實(shí)際需求設(shè)定；θa表示貿(mào)易買家Pa的信譽(yù)值；排序節(jié)點(diǎn)PO將收到的所有貿(mào)易信息按照計(jì)算得到的排序值νj的大小進(jìn)行排序，完成貿(mào)易打包。最后，排序節(jié)點(diǎn)PO將打包好的貿(mào)易區(qū)塊發(fā)送給記賬主節(jié)點(diǎn)PC，并附上記賬節(jié)點(diǎn)身份標(biāo)識idC。

算法6貿(mào)易結(jié)果驗(yàn)證。該算法由記賬主節(jié)點(diǎn)運(yùn)行，輸入為打包好的貿(mào)易區(qū)塊，輸出為驗(yàn)證結(jié)果，具體執(zhí)行過程如下。

記賬主節(jié)點(diǎn)PC為記賬節(jié)點(diǎn)群選取的群組中信譽(yù)值最高的記賬節(jié)點(diǎn)PC。首先，記賬主節(jié)點(diǎn)PC將排序節(jié)點(diǎn)發(fā)送的貿(mào)易區(qū)塊中的信息進(jìn)行驗(yàn)證，使用同態(tài)認(rèn)證的同態(tài)特性對若干信息同時進(jìn)行驗(yàn)證，即驗(yàn)證式(2)是否成立。驗(yàn)證分為3 個步驟：1) 記賬主節(jié)點(diǎn)PC選取一個由c個隨機(jī)數(shù)組成的集合I來定位本次驗(yàn)證向云服務(wù)器挑戰(zhàn)的c個貿(mào)易，集合I（即I為挑戰(zhàn)貿(mào)易的下標(biāo)集合）中每個元素選擇隨機(jī)數(shù)生成內(nèi)容為的集合R，將集合發(fā)送給存儲貿(mào)易的云服務(wù)器；2) 云服務(wù)器根據(jù)集合R和存儲的信息計(jì)算和并將證明值(S,P)返還給記賬主節(jié)點(diǎn)；3) 記賬主節(jié)點(diǎn)根據(jù)收到的信息來驗(yàn)證式(2)。

其中，J為集合I中每個下標(biāo)對應(yīng)貿(mào)易信息的買家的身份集合，IDδ為集合中買家的身份標(biāo)識，和ργ分別為貿(mào)易背書及其簽名。

4.3 信譽(yù)管理階段

算法7不良貿(mào)易節(jié)點(diǎn)懲罰。該算法由記賬主節(jié)點(diǎn)運(yùn)行，輸入為打包好的貿(mào)易區(qū)塊，若驗(yàn)證不通過輸出新的信譽(yù)值，具體執(zhí)行過程如下。

記賬主節(jié)點(diǎn)PC丟棄驗(yàn)證不通過的貿(mào)易區(qū)塊，根據(jù)無效信息對跟該貿(mào)易相關(guān)的買家、賣家、背書節(jié)點(diǎn)、排序節(jié)點(diǎn)進(jìn)行信譽(yù)減分。設(shè)原信譽(yù)值θi為實(shí)體Pi與記賬主節(jié)點(diǎn)PC進(jìn)行交互的事件集合為集合E中事件的權(quán)重集合記為集合E中事件成功與否的結(jié)果集合記為取1 時表示成功，取0 時表示失??；記賬主節(jié)點(diǎn)PC計(jì)算若R=0，則說明實(shí)體Pi進(jìn)行了不良操作，因此需要對實(shí)體Pi進(jìn)行信譽(yù)值減分，得到新信譽(yù)值wi表示事件ei對應(yīng)的權(quán)重值。然后，重復(fù)上述步驟直至所有參與實(shí)體完成信譽(yù)更新。

算法8信譽(yù)反饋與更新。該算法由記賬主節(jié)點(diǎn)運(yùn)行，輸入為打包好的貿(mào)易區(qū)塊，若驗(yàn)證不通過則輸出為新的信譽(yù)值，具體執(zhí)行過程如下。

首先，記賬主節(jié)點(diǎn)PC計(jì)算R=v1∧v2∧ …∧vn，若R=1則說明實(shí)體Pi對所有貿(mào)易進(jìn)行了誠實(shí)操作，實(shí)體Pi進(jìn)行信譽(yù)值加分重復(fù)上述步驟直至所有參與實(shí)體完成信譽(yù)更新；全網(wǎng)同步信譽(yù)積分后，新的信譽(yù)值θ'i作為該節(jié)點(diǎn)Pi下次貿(mào)易成功的預(yù)測值。

5 安全證明和性能分析

5.1 安全性證明

為了證明本文方案的安全性，本節(jié)從正確性、不可偽造性、抗重放攻擊、隱私保護(hù)、安全密鑰更新方面進(jìn)行證明。

1) 正確性。按照背書算法生成的簽名能夠通過簽名驗(yàn)證，正確存儲了文件信息的云能夠通過驗(yàn)證。

由此可知，式(2)成立，即說明云服務(wù)器正確存儲了相關(guān)信息。

證畢。

2) 不可偽造性。除了合法的背書節(jié)點(diǎn)，其他實(shí)體無法生成有效的背書簽名。

證明假設(shè)算法A是一個(t',ε')算法，元組(t',ε')表示算法A以優(yōu)勢ε'偽造能夠通過驗(yàn)證的簽名的運(yùn)行時間是t'。敵手一共最多可以執(zhí)行qH次哈希查詢和qS次簽名查詢。算法B是一個(t,ε)算法，即算法可在時間t內(nèi)以優(yōu)勢ε解決CDH 問題，其中其中，是冪運(yùn)算的時間。

算法B使用元組構(gòu)造公鑰，為了生成簽名，敵手借助算法B使用算法A進(jìn)行哈希查詢和簽名查詢。對于每個貿(mào)易背書信息的哈希查詢，算法通過擲硬幣，以px概率擲出0。如果擲出0，算法則選取隨機(jī)數(shù)o∈Zp并返回否則返回h=go。因?yàn)殡S機(jī)數(shù)o也是從域Zq隨機(jī)選取出的，所以算法無法區(qū)分?jǐn)S硬幣的結(jié)果。

針對敵手的每次簽名查詢，算法均進(jìn)行擲硬幣，簽名查詢的擲硬幣結(jié)果與哈希查詢的擲硬幣結(jié)果是相互獨(dú)立的。如果擲硬幣結(jié)果為0，則說明敵手要哈希查詢的結(jié)果來攻擊公鑰，那么算法B退出；否則，算法B返回簽名查詢結(jié)果，其中h'=g b go。

由于CDH 問題是難解，因此算法B中的優(yōu)勢概率ε是極低的，也就是說敵手在未知私鑰的情況下無法偽造正確的簽名。

證畢。

3) 抗重放攻擊。本文方案能夠抵抗重放攻擊。

證明云存儲服務(wù)器只有在使用本身存儲的正確的信息并按照挑戰(zhàn)?應(yīng)答協(xié)議計(jì)算出證明信息的情況下，才能夠通過貿(mào)易結(jié)果驗(yàn)證階段的驗(yàn)證。

證畢。

4) 隱私保護(hù)。記賬主節(jié)點(diǎn)在驗(yàn)證貿(mào)易信息的正確性時無法從驗(yàn)證信息中獲取貿(mào)易信息。

證明在貿(mào)易結(jié)果驗(yàn)證階段，記賬主節(jié)點(diǎn)選取的挑戰(zhàn)信息為其中sγ為隨機(jī)數(shù)；記賬主節(jié)點(diǎn)從服務(wù)器得到的證明信息(S,P)，其中

挑戰(zhàn)集合的大小為|I|，假設(shè)貿(mào)易信息所在域包含q個元素，如果使用窮舉法從證明信息中獲取貿(mào)易信息和背書簽名需要來驗(yàn)證q|I|次。而域的大小是一個大素?cái)?shù)，隨機(jī)集合I中隨機(jī)數(shù)個數(shù)的選取決定了破解的難度，在文獻(xiàn)[10]中詳述了集合個數(shù)的選取原則，在此不做累述。在性能分析階段，本文方案選取300 或者460 個隨機(jī)數(shù)進(jìn)行挑戰(zhàn)，在q為大素?cái)?shù)的基礎(chǔ)上，窮舉法的選項(xiàng)接近無窮大，因此，本文方案在貿(mào)易驗(yàn)證階段確保記賬主節(jié)點(diǎn)無法在驗(yàn)證過程中獲取貿(mào)易信息。

證畢。

5) 安全密鑰更新。當(dāng)背書節(jié)點(diǎn)加入或者退出貿(mào)易系統(tǒng)時，背書簽名密鑰的更新是安全的。

證畢。

5.2 性能分析

本節(jié)首先分析本文方案的計(jì)算和通信開銷，然后通過與IPANM（incentive public auditing scheme for non-manager）方案對比來評估本文方案的性能，此外本節(jié)還對比了普通驗(yàn)證與批量驗(yàn)證的性能。為了方便讀者閱讀，表2 列出了本節(jié)中所用符號的含義。

表2 密碼運(yùn)算符號的含義

5.2.1計(jì)算開銷

計(jì)算開銷主要集中在貿(mào)易方法中算法4 當(dāng)中的背書簽名的合成與算法6 貿(mào)易結(jié)果的驗(yàn)證。在背書簽名合成階段，買家將收集的來自各個背書節(jié)點(diǎn)的簽名進(jìn)行整合計(jì)算，所需開銷為。因?yàn)轵?yàn)證背書簽名時使用的驗(yàn)證公鑰也需要計(jì)算開銷，即為，所以背書簽名的合成的總計(jì)算開銷為

表3 計(jì)算開銷

5.2.2通信開銷

本文方案的通信開銷來自算法2 中貿(mào)易提案的提交、算法3 中背書簽名的匯總、算法4 中買家提交貿(mào)易和算法6 中貿(mào)易驗(yàn)證階段中協(xié)議交互。如表4所示，算法2 最后提交貿(mào)易提案其中，的長度均為|id|，信息m的長度為，簽名σm的長度為|G1|，故算法2的通信開銷為

表4 通信開銷

買家在運(yùn)行算法 4 之后需要提交信息{rm,ρe,Pa}提交，其中模擬結(jié)果rm的長度為|Zq|，背書簽名ρe的長度為|G1|，身份信息Pe的長度為|id|。所以算法4 的通信開銷為（|id| +|Zq| +2|G1|）。

在實(shí)現(xiàn)貿(mào)易結(jié)果驗(yàn)證的算法6 中，涉及通信開銷的有兩步：挑戰(zhàn)信息發(fā)送和證明信息發(fā)送。挑戰(zhàn)信息為集合R={＜γ,sγ＞}γ∈I，需要的通信開銷為2c|Zq|，證明信息(S,P)長度為2|G1|。因此算法6的通信開銷為2c|Zq| +c|G1|。

5.2.3實(shí)驗(yàn)結(jié)果

在實(shí)驗(yàn)仿真中，本文方案使用PBC（pairing based cryptography）[25]庫來模擬所有方案中的密碼操作，所有的實(shí)驗(yàn)均在Ubuntu 系統(tǒng)中進(jìn)行，實(shí)驗(yàn)次數(shù)不少于1 000 次，該系統(tǒng)配置為Intel Core i7 3.40 GHz。為了確保檢測概率高于99%，可以在應(yīng)用時設(shè)置挑戰(zhàn)塊數(shù)c=460。本文將和|G1|的長度設(shè)置為160 bit，|id|的長度設(shè)置為40 bit，n為參與實(shí)體的總個數(shù)，根據(jù)秘密共享的最低安全性要求，設(shè)置門限值。為解決管理者集權(quán)帶來的問題，IPANM[1]將管理員的權(quán)限分發(fā)給每個普通用戶，由若干用戶共同完成管理員的工作，從而取消管理員。本文方案受IPANM 的啟發(fā)，在聯(lián)盟鏈中實(shí)現(xiàn)多背書節(jié)點(diǎn)子簽名的安全高效聚合。

背書簽名的生成。本文方案中為了貿(mào)易系統(tǒng)的安全性，采取多背書節(jié)點(diǎn)對同一貿(mào)易進(jìn)行背書的方法，并且取消管理者進(jìn)行背書聚合，以避免權(quán)力集中的管理者濫用權(quán)力。本文方案中，買家在收集齊所有背書節(jié)點(diǎn)的背書之后，自行聚合成最終背書簽名，保證系統(tǒng)安全與背書簽名安全的同時會產(chǎn)生的計(jì)算額外開銷。

本文方案中背書簽名生成的計(jì)算開銷隨背書節(jié)點(diǎn)個數(shù)的增加呈線性增長，但是額外開銷的單位為微秒（μs），考慮到該方案區(qū)塊鏈環(huán)境下不需要搜索確認(rèn)背書簽名是否收集齊，該部分開銷是在可接受范圍內(nèi)的，尤其在網(wǎng)絡(luò)環(huán)境不佳的情況下。如圖3 所示，本文方案的計(jì)算開銷明顯優(yōu)于IPANM 方案，原因是在密鑰協(xié)商階段，每個用戶均需參與并進(jìn)行3輪計(jì)算。

圖3 簽名聚合階段的計(jì)算開銷對比

圖4 簽名聚合階段的通信開銷對比

圖5 簽名聚合分階段的通信開銷對比

高效驗(yàn)證?；陔p線性對的屬性，本文方案中的貿(mào)易驗(yàn)證可實(shí)現(xiàn)聚合驗(yàn)證，即批驗(yàn)證，因此比普通驗(yàn)證的一一驗(yàn)證節(jié)省了可觀的計(jì)算開銷。

如圖6 所示，相比于普通驗(yàn)證，批驗(yàn)證具備明顯的優(yōu)勢。當(dāng)挑戰(zhàn)塊數(shù)c=460 時，錯誤檢測率可達(dá)至少99%，對應(yīng)普通驗(yàn)證的計(jì)算開銷為5.737 12 ms，批驗(yàn)證的計(jì)算開銷為0.035 458 ms，僅為普通驗(yàn)證的0.6%。主要原因是執(zhí)行雙線性對計(jì)算的開銷過大，普通驗(yàn)證執(zhí)行的雙線性對次數(shù)與挑戰(zhàn)塊數(shù)成正比，而批驗(yàn)證中的雙線性對計(jì)算次數(shù)獨(dú)立于挑戰(zhàn)塊數(shù)。

圖6 貿(mào)易驗(yàn)證階段的普通驗(yàn)證與批驗(yàn)證對比

6 結(jié)束語

在傳統(tǒng)的集中式貿(mào)易系統(tǒng)中，集中式管理者擁有過高的權(quán)力，本文提出面向區(qū)塊鏈貿(mào)易的去管理者安全模型，同時解決因去管理者所造成的不安全背書、貿(mào)易時延以及貿(mào)易低效等問題?；谛抛u(yù)的激勵機(jī)制保證了誠實(shí)用戶貿(mào)易的及時性，安全分析證明引入同態(tài)加密和公開審計(jì)技術(shù)的無管理者安全貿(mào)易模型具備正確性、不可偽造性、抗重放攻擊、隱私保護(hù)和安全密鑰更新。性能分析表明了本文方案在計(jì)算開銷與通信開銷上均具有明顯優(yōu)勢。綜上，本文方案實(shí)現(xiàn)了貿(mào)易系統(tǒng)的安全性和可靠性。