基于區(qū)塊鏈的隱私保護數(shù)據(jù)共享*

郭乃網(wǎng) ，倪瑋棟

（1.國網(wǎng)上海市電力公司國網(wǎng)上海電科院，上海 200437；2.華東理工大學信息科學與工程學院，上海 200237）

0 引 言

區(qū)塊鏈技術(shù)是以比特幣[1]為代表的加密數(shù)字貨幣系統(tǒng)中的底層技術(shù)。由于區(qū)塊鏈具有去中心化、公開透明等特點，受到了研究者的廣泛關注。其主要解決了在沒有引入可信第三方的基礎上，相互不信任的節(jié)點之間達成共識的問題。抽象來看，區(qū)塊鏈可以看作是一個無中心化的可信第三方，進而消除了中心化可信第三方的不可靠性。借助區(qū)塊鏈這種虛擬的可信第三方，參與者可以實現(xiàn)雙方數(shù)據(jù)的共享訪問。尤其在開放性的網(wǎng)絡環(huán)境中，基于區(qū)塊鏈的數(shù)據(jù)共享能夠消除用戶對可信中心節(jié)點的依賴。在比特幣之后，又出現(xiàn)了多種改進的區(qū)塊鏈協(xié)議[2-3]。

需要強調(diào)的是，區(qū)塊鏈技術(shù)本身并不提供隱私保護功能。雖然在比特幣系統(tǒng)中，通過隨機賬戶的引入，可以在一定程度上保護用戶的身份信息，但是區(qū)塊鏈上所有的交易數(shù)據(jù)本身依然是明文保存于交換的。在后續(xù)的加密數(shù)字貨幣中引入了更強的隱私保護功能[4]，但是為了保護區(qū)塊鏈上一般數(shù)據(jù)的私密性，需要采用更多的密碼技術(shù)[5]。在特定的場景下，如金融企業(yè)雙方需要共享用戶的違約等信用信息又不愿意泄露自己的用戶信息情況下，隱私保護的數(shù)據(jù)共享尤為重要。近年來，利用區(qū)塊鏈在不同行業(yè)實現(xiàn)數(shù)據(jù)共享的應用也廣泛得到研究[6-9]。

本文基于區(qū)塊鏈技術(shù)設計了一套新的數(shù)據(jù)共享協(xié)議。在滿足多方數(shù)據(jù)共享的前提下，避免對非授權(quán)者泄露數(shù)據(jù)提供者擁有的數(shù)據(jù)信息與隱私，數(shù)據(jù)請求者也只能正確獲取在其權(quán)限范圍內(nèi)的數(shù)據(jù)。

1 預備知識

1.1 區(qū)塊鏈及其安全特性

區(qū)塊鏈由區(qū)塊+鏈構(gòu)成。以比特幣為例，所有交易信息在數(shù)字簽名后存儲在區(qū)塊上，每個節(jié)點在本地維護一份賬本副本。區(qū)塊鏈通過數(shù)字簽名等密碼學知識實現(xiàn)數(shù)據(jù)的防篡改、防抵賴等安全保護，解決了拜占庭將軍問題[10]與雙花問題。Juan[11]等人于2015年證明了區(qū)塊鏈理論的安全性。區(qū)塊鏈作為一種新型的分布式多方記賬系統(tǒng)，正逐漸由單純記錄數(shù)字貨幣的交易信息發(fā)展至承載產(chǎn)權(quán)、合約等價值存儲，并在各大金融機構(gòu)的努力下衍生出了聯(lián)盟鏈與私有鏈。

區(qū)塊鏈所能提供的安全性特性包括：

（1）一致性：在分布式環(huán)境中，所有的參與節(jié)點都能夠得到一致的數(shù)據(jù)結(jié)果。

（2）存活性：即便有惡意節(jié)點存在，區(qū)塊鏈仍然能持續(xù)不斷的記錄新的數(shù)據(jù)。

（3）公平性：因為有誠實節(jié)點的存在，所有用戶的信息都能得到記錄和存儲。

但是區(qū)塊鏈協(xié)議并不能提供數(shù)據(jù)的隱私保護，區(qū)塊鏈中所承載的數(shù)據(jù)所有參與節(jié)點均能接收，因此在需要隱私保護的場景應疊加其他密碼技術(shù)。

1.2 智能合約

20多年前著名密碼學專家Nick Szabo提出智能合約這一概念[12]。智能合約用計算機編程語言來實現(xiàn)傳統(tǒng)合約，它通過代碼來制定合約，執(zhí)行協(xié)議實現(xiàn)合約雙方的權(quán)利與義務。智能合約可以較好的控制價值的存儲與管理，與狀態(tài)機相似，通過定義多種狀態(tài)與規(guī)則，制定合約被觸發(fā)時所需的條件與相應響應邏輯自動完成交易流程。

然而，在區(qū)塊鏈技術(shù)出現(xiàn)以前，智能合約一直未能落地，因為執(zhí)行智能合約需要靠可信的第三方來監(jiān)督合約不被篡改并被雙方可靠執(zhí)行，但傳統(tǒng)計算機程序無法保障這一點。將智能合約代碼與狀態(tài)通過共識存放在區(qū)塊鏈上，保障了代碼執(zhí)行、資產(chǎn)轉(zhuǎn)移過程的安全性以及存儲記錄的永久性。智能合約提高了自動化交易水平，降低了交易成本，同時也保障了交易的安全性。基于區(qū)塊鏈的智能合約可以在金融等領域提供更多的應用場景，這其實相當于基于區(qū)塊鏈的安全多方計算。

2 協(xié)議設計

為了簡化討論，假設數(shù)據(jù)共享為參與者為A、B兩方。數(shù)據(jù)提供者為A，數(shù)據(jù)請求者為B。數(shù)據(jù)提供者負責存儲數(shù)據(jù)索引與提供真實數(shù)據(jù)，并對數(shù)據(jù)共享請求作權(quán)限校驗；數(shù)據(jù)請求者向數(shù)據(jù)提供者請求讀取數(shù)據(jù)的權(quán)限。

應用場景為，當B知道數(shù)據(jù)的索引信息，則A向B提供該索引信息的數(shù)據(jù)查詢服務，當B不知道數(shù)據(jù)的索引信息，則B不能獲取A的任何數(shù)據(jù)信息。該場景適合于當A、B有共同的客戶注冊信息時（如用戶名、身份證號等），雙方可共享信用數(shù)據(jù)。而一方不能主動查詢另一方的用戶信息。

2.1 身份注冊與管理

本協(xié)議中，參與者的身份由公鑰密碼基礎設施（PKI）加以保護，注冊中心CA向外提供注冊與身份校驗服務。區(qū)塊鏈的共識節(jié)點在加入共識前先進行注冊，并由CA簽發(fā)包含其公鑰的證書，通過CA校驗身份后才可加入共識網(wǎng)絡環(huán)境。普通參與者采用同樣的機制獲得公鑰證書，并參與后續(xù)的數(shù)據(jù)共享協(xié)議。

2.2 區(qū)塊鏈數(shù)據(jù)訪問接口

區(qū)塊鏈作為一種數(shù)字化的、安全的總賬賬簿，具有防篡改的特性。用于共享交換的數(shù)據(jù)存放在區(qū)塊鏈上，協(xié)議定義三類與區(qū)塊鏈進行交互的接口，分別為Tdata與Taccess與Tdeploy。

Tdeploy：每個應用為了提供特定的服務與功能都需要在上次部署智能合約，所以本系統(tǒng)在進行數(shù)據(jù)共享時需要通過deploy命令部署智能合約，即鏈碼Chaincode。

Tdata：存儲數(shù)據(jù)協(xié)議。當系統(tǒng)希望區(qū)塊鏈通過BuildBlock構(gòu)建區(qū)塊存儲數(shù)據(jù)時，首先將數(shù)據(jù)打包成交易，并將key作為關鍵信息寫入交易，簽名后進行廣播，Peer收到交易后傳遞給共識插件進行全網(wǎng)共識。

Taccess：查找數(shù)據(jù)協(xié)議。以key作為關鍵信息遍歷區(qū)塊鏈中的區(qū)塊，找到其中所有的Transactions信息。再遍歷Transactions以key為索引找到對應的交易，校驗其智能合約ID和操作類型，并驗證其完整性后得到內(nèi)部payLoad數(shù)據(jù)。

2.3 隱私數(shù)據(jù)共享協(xié)議

假設數(shù)據(jù)提供者為A節(jié)點，數(shù)據(jù)請求者為B節(jié)點。CA節(jié)點啟動并進行預注冊后，協(xié)議的具體流程如圖1所示。

圖1 隱私數(shù)據(jù)共享協(xié)議流程圖

協(xié)議執(zhí)行流程為：

（1）A用戶計算數(shù)據(jù)索引，該數(shù)據(jù)索引可根據(jù)不同的數(shù)據(jù)類型變化，例如，金融企業(yè)可以通過用戶名及身份證號來作為數(shù)據(jù)索引。A將數(shù)據(jù)索引通過哈希算法計算哈希值Hash（index）。以該哈希值作為key，{userId，peerId}打包成一對參數(shù)作為data通過Tdata協(xié)議進行存儲，存儲的數(shù)據(jù)類型為STORE_INDEX，同時將數(shù)據(jù)索引與真正數(shù)據(jù)之間的映射關系存儲在本地數(shù)據(jù)庫中。

（2）B用戶通過數(shù)據(jù)索引查詢數(shù)據(jù)，對該索引同樣計算哈希Hash（index），通過Taccess協(xié)議在區(qū)塊鏈中找到對應的完整數(shù)據(jù)擁有者，查找類型為STORE_INDEX。

（3）B節(jié)點將數(shù)據(jù)索引與自己的身份信息做Hash計算摘要后，通過區(qū)塊鏈底層P2P網(wǎng)絡作為請求信息單播給提供者A。同時將之前的哈希值一同發(fā)送。可通過參數(shù)設置是否需要TLS/SSL安全信道進行傳輸。這一步的目的是通知數(shù)據(jù)提供者本節(jié)點具有獲取共享數(shù)據(jù)的權(quán)限，是數(shù)據(jù)的合法使用者。

（4）A節(jié)點接受請求，對B的身份信息與數(shù)據(jù)索引的正確性進行校驗。校驗通過后，通過數(shù)據(jù)索引從本地數(shù)據(jù)庫中找到真正數(shù)據(jù)，并為B請求的數(shù)據(jù)隨機生成對稱密鑰key。使用B的公鑰通過Epub(B)(key)加密后，利用Tdata協(xié)議將加密后的對稱密鑰存儲在區(qū)塊鏈上，存儲類型為STORE_KEY。同時將使用Ekey(data)即對稱加密后的數(shù)據(jù)也通過Tdata協(xié)議存放在區(qū)塊鏈上，存儲類型為STORE_DATA。

（5）B節(jié)點以hash（index+id）作為key通過Taccess獲取加密后的對稱密鑰key后，使用私鑰Dpriv(B)解密，并使用key對從區(qū)塊鏈上獲取的完整數(shù)據(jù)進行對稱解密即可完成數(shù)據(jù)共享過程。

3 協(xié)議安全性分析

本節(jié)我們將對前一小節(jié)設計的協(xié)議進行簡單的正確性與安全性的分析，并在協(xié)議中引入仲裁機制，當數(shù)據(jù)提供者與請求者在數(shù)據(jù)共享的過程中發(fā)生爭議時提供相應的解決方案。依舊假設數(shù)據(jù)提供者為A，數(shù)據(jù)請求者為B，真實數(shù)據(jù)用data表示，數(shù)據(jù)索引用index表示。

3.1 正確性

在本系統(tǒng)中，每個真實數(shù)據(jù)都會擁有一個對應的數(shù)據(jù)索引。節(jié)點之間預先溝通或通過某種手段對這個映射關系達成一致。只有獲取提供正確的數(shù)據(jù)索引才有權(quán)利共享數(shù)據(jù)提供者擁有的真實數(shù)據(jù)。

（1）根據(jù)協(xié)議，A的本地數(shù)據(jù)庫中會存儲data與index之間的映射關系。A對index進行哈希計算，并將計算結(jié)果hash(index)與自己的身份信息存儲在鏈上，那么若B通過某種途徑獲取index′，則它計算hash(index′)后，如果index與index′相同，則hash(index)等于hash(index′)，即 B 可以成功在鏈上找到對應的區(qū)塊，并獲取A的身份信息。

（2）B 將hash(index′)+id(B)+hash(index+id(B))發(fā)送給A后，A計算本地是否有對應的索引，并通過計算hash(index+id(B))是否與B傳過來的一致來檢測B身份標識的有效性。若索引存在并且身份檢查通過，則說明需要向B提供真實數(shù)據(jù)。A在本地生成隨機對稱密鑰key后，使用B的公鑰對對稱密鑰key進行加密，并將hash(index+id(B))+Epub(B)(key)放在區(qū)塊上，由于B擁有index，則它在本地計算hash(index+id(B))，即可在區(qū)塊鏈上找到對應的區(qū)塊。B使用自己的私鑰即可成功解密獲取對稱密鑰key。

（3）A在本地生成對稱密鑰key后，從本地數(shù)據(jù)庫中根據(jù)index查詢到真正的數(shù)據(jù)data，并將data使用加密，將hash(index+id(B))+Ekey(RealData)放在區(qū)塊上。同樣，B可以在區(qū)塊鏈上根據(jù)hash(index+id(B))找到對應的區(qū)塊，由于B之前已經(jīng)獲取了對稱密鑰key，那它就使用key進行解密，成功拿到需要的最終數(shù)據(jù)。

根據(jù)以上三步看到整個過程具有可行性與正確性，在雙方均配合的情況下，擁有數(shù)據(jù)索引的數(shù)據(jù)請求者可以成功從數(shù)據(jù)提供者中獲取數(shù)據(jù)。

3.2 安全性

現(xiàn)在分析協(xié)議的安全性，假設系統(tǒng)中存在攻擊者C，C可能已經(jīng)經(jīng)過CA的授權(quán)，并且通過登錄成為了網(wǎng)絡中合法的成員。C試圖在沒有獲取索引index的前提下，根據(jù)區(qū)塊鏈上的已有信息或者通過竊聽節(jié)點之間的通信流來嘗試得到真實數(shù)據(jù)。首先分析本協(xié)議如何抵抗被動攻擊：

（1）C無法獲知A擁有的數(shù)據(jù)索引信息。區(qū)塊鏈中存儲了hash(index+id(A))，該類信息為數(shù)據(jù)索引的散列值。對于該類信息，因為本節(jié)開始已分析了SHA-256算法的單向性與抗強碰撞的能力，C是無法根據(jù)已有信息反推得到index，C需要耗費大量資源去隨機找到一個index′，使得hash(index′)等于hash(index)，可知C沒有能力得到關于index的任何信息。

（2）C無法得到與B有關的對稱密鑰key的任何信息。根據(jù)設計的協(xié)議，鏈上存儲了hash(index+id(B))+Epub(B)(key)，該類信息存儲之后對真實數(shù)據(jù)加密的對稱密鑰。因為本系統(tǒng)底層有可信PKI基礎設施的支撐，并且節(jié)點或用戶在生成私鑰后一直保存在本地從未對外公開或傳遞過。因此C無法獲得B的私鑰，即他無法通過解密得到對稱密鑰key的任何信息。

（3）無法獲得真實數(shù)據(jù)。A將真實數(shù)據(jù)以hash(index+id(B))+Ekey(RealData)的形式存儲在鏈上，即真實數(shù)據(jù)已經(jīng)被對稱密鑰key加密。在（2）中我們有了C無法獲得對稱密鑰key的前提，因此C無法對其進行解密，即它無法得到真實數(shù)據(jù)的任何消息。

C還可以通過監(jiān)聽網(wǎng)絡信息進行主動攻擊，可能存在兩種主動攻擊方式。第一通過模擬B的身份信息來假裝自己是B，誘騙A認為自己擁有數(shù)據(jù)索引，有權(quán)利獲取真實數(shù)據(jù)data；第二種情況是嘗試將獲取的身份信息由B改成C。但下面將證明這兩點依舊是不可行的。對于第一點，雖然通過模擬B，A會受騙并把加密后的對稱密鑰和真實數(shù)據(jù)存放在區(qū)塊鏈上，但由于C沒有B對應的私鑰，因此它依舊無法進行解密。而為了實現(xiàn)第二點，即使C可以將id（B）改為id（C），但C同時需要構(gòu)造hash(index′+id(C))，即它需要重新計算{index+id(C)}的散列值。前面分析過，C無法根據(jù)hash(index)得到index，即它無法計算得到hash(index′+id(C))。因此，C通過嗅探網(wǎng)絡上的數(shù)據(jù)包進行主動攻擊仍然無法得到關于真實數(shù)據(jù)的任何信息。

同時，節(jié)點B在于A的通信過程中，也只能獲取它擁有的index對應的真實數(shù)據(jù)data，無法獲得A擁有的其他數(shù)據(jù)的任何信息。

4 結(jié) 語

本文針對用戶間數(shù)據(jù)共享的場景，基于區(qū)塊鏈以及智能合約技術(shù)給出了一種隱私保護的數(shù)據(jù)共享協(xié)議。該協(xié)議可以允許用戶實現(xiàn)具有共同索引的數(shù)據(jù)交換共享，避免單方面的數(shù)據(jù)流動。同時協(xié)議過程由數(shù)據(jù)的擁有者主動授權(quán)，并且協(xié)議執(zhí)行過程可實現(xiàn)公平仲裁。