區塊鏈數據隱私的可信任監管技術研究

史 瑋，藍 龍，王正華，代文昊

（1.國防科技大學計算機學院；2.國防科技大學量子信息研究所兼高性能計算國家重點實驗室，湖南長沙 410073；3.中國科學院大學 網絡空間安全學院，北京 100101）

0 引言

區塊鏈技術于2008 年在中本聰發表的論文《Bitcoin：A peer-to-peer electronic cash system》中被首次提出［1］。區塊鏈作為對等式網絡中的一種去中心化的分布式賬本技術，近些年受到企業、科研機構、政府的廣泛關注和研究。區塊鏈采用鏈式的結構進行驗證并存儲數據，并使用可信的共識機制以保證數據更新，從而創建出一個用于存儲和共享數據的防篡改數字平臺［2］。區塊鏈具有去中心化、公開透明和不可篡改等特性，這些特性使得區塊鏈在金融資產結算、數字政務、存證防偽數據服務等領域具有廣闊的應用場景［3］。但是，在實際應用中公開透明等特性也帶來了隱私保護問題，主要包括用戶的匿名性和用戶數據隱私保護［4］。用戶數據的隱私泄露問題不勝枚舉，例如Facebook 自成立以來惡意收集300PB 的用戶數據并造成5 000萬用戶數據泄露［5-7］。在公開透明的區塊鏈中，用戶數據的隱私保護顯得更為重要。2018 年，由中國信息通信研究院與中國通信標準化協會牽頭，聯合多家合作單位共同研究編制的《區塊鏈安全白皮書——技術應用篇》中指出，為了促進技術安全應用，需創新監管手段，強化區塊鏈平臺應用監管力度，打造安全監測和監管平臺技術實力［8］?？梢钥吹?，在可監管的前提下，保護區塊鏈中數據的隱私信息仍然是一個極富實用價值和挑戰性的研究課題。

從立法和技術的角度出發，很多方案嘗試解決該問題。Dwork 等［9］使用差分隱私技術在分享數據時注入噪聲，通過引入噪聲達到數據隱私保護目的；Gentry 等［10］使用全同態加密技術處理數據，使得可以對加密后的數據進行任意運算。雖然Dwork 和Gentry 的方案極具開拓性，但僅僅保證了數據的隱私性，除非將噪聲規律/同態私鑰暴露給監管者，否則無法做到可監管特性；Zyskind 等［11］提出一種去中心化的用戶隱私數據管理方案，該方案中用戶完全擁有和控制自己的數據，可使用該方案中的訪問授權功能實現可監管，但授權權限完全掌握在用戶手中，弱化了可監管的概念以及存在訪問授權變更時無法改變加密密鑰等問題；Rahulamathavan 等［12］使用屬性加密技術提出一種適用于物聯網的可授權的數據隱私保護方案，在該方案中可通過為監管者賦予多標簽實現可監管功能，但屬性加密需要基于身份的密碼體制，與目前區塊鏈中使用的密碼體制不同，需要重新維護一套基于身份的密碼體制；Xiao 等［13］提出一種名為超級鏈的支持智能合約并行執行的方案，超級鏈開源項目中的分層確定性加密可以很好地進行加密數據監管，但額外暴露了用戶的歸屬關系等隱私信息以及用戶的任一上級均可進行監管，即用戶無法控制監管授權權限［14］。

為了解決上述問題，本文提出一種適用于區塊鏈的數據隱私保護及其可信任監管技術，在保護用戶數據隱私的同時，只有被用戶授權的監管機構可以訪問數據，并且用戶可以動態地改變監管授權策略，被回收權限的機構則無法繼續訪問用戶隱私數據，使得用戶數據真正掌握在用戶手中。

1 背景知識

1.1 區塊鏈

本文引用《區塊鏈技術及應用》一書中對區塊鏈的定義［15］。區塊鏈是一種數據以區塊為單位產生和存儲，并按照時間順序首尾相連形成鏈式結構，同時通過密碼學保證不可篡改、不可偽造及數據傳輸訪問安全的去中心化分布式賬本。

為了便于理解，以比特幣為例，在比特幣問世之前，傳統的金融系統需要可信賴的、中心化的權威第三方進行維護，而比特幣沒有中心化的可信第三方維護這個賬本，系統中每個用戶的地位都是平等的，共同維護賬本且可以解決雙重支付和賬本一致性問題［16-18］。區塊鏈根據讀寫權限可以被分為3 種類型：公有鏈、私有鏈和聯盟鏈。顧名思義，在公有鏈中任何人都可以讀取和寫入區塊鏈的數據。私有鏈與公有鏈恰恰相反，私有鏈中的寫入權限僅被一個組織/機構所擁有，讀取權限則可根據需求選擇性地對外開放。聯盟鏈則是介于公有鏈與私有鏈之間的區塊鏈，其寫入權限是由預先選定的多個組織/機構控制，讀取權限按需求選擇性地對外開放。

區塊鏈通過鏈式結構存儲數據，每個數據區塊包括區塊頭和區塊體兩部分，每個區塊擁有唯一的哈希值作為其標識，當前區塊通過存儲前一區塊哈希值與前一區塊相連，從而形成鏈式結構，如圖1 所示。區塊頭中封裝了前一區塊的哈希值、時間戳、Merkle 樹根值等信息［19］；區塊體存儲交易信息，即由區塊鏈記錄的數據信息，每筆交易都由交易方對其進行數字簽名，從而確保數據未被偽造且不可篡改，每一筆已完成的交易都將被永久性地記錄在區塊體中，供參與者查詢。

1.2 BIP32 密鑰生成協議

比特幣改進建議32（Bitcoin Improvement Proposals32，BIP32）是一個密鑰生成協議，用戶可以通過一個隨機種子生成一對擴展公私鑰，然后通過公鑰/私鑰生成多對子擴展公私鑰，并且這些子擴展公私鑰也可以衍生出自己的擴展公私鑰對，因此也被稱為分層確定性密鑰衍生協議［20］。

Fig.1 Data structure of blockchain圖1 區塊鏈的數據結構

在BIP32 中，擴展密鑰的數據結構被定義為（Key，ChildNumber，ChainCode，Depth，IsPrivate，FingerPrint），其中Key為密鑰、ChildNumber為序列號、ChainCode 為鏈碼、Depth 為該擴展密鑰所在的深度、IsPrivate 為區分公鑰和私鑰的標識符、FingerPrint 為父擴展密鑰的哈希值。BIP32 中的密鑰衍生算法分為兩種：普通衍生和強化衍生，兩者的區別在于普通衍生是使用擴展公鑰衍生子密鑰，強化衍生是使用擴展私鑰衍生子密鑰。圖2 為BIP32 密鑰生成協議示意圖。

Fig.2 Schematic diagram of BIP32 key generation protocol圖2 BIP32 密鑰生成協議

2 區塊鏈數據隱私保護與可監管方案

本方案在BIP32 協議的基礎上進行了補充和優化，用戶可以控制中間機構的監管權限，并且適用于多層次數據監管場景。本文設計的可信任監管方案整體流程如圖3 所示，整個監管過程分為5 個具體步驟。首先由監管者衍生出加密密鑰并下發給用戶；用戶根據加密密鑰生成完整的密鑰對；使用加密公鑰對消息加密并上鏈；在消息上鏈過程中用戶能夠靈活地增加或刪除中間機構的監管權限；最后，中間機構可通過密文信息查看自身是否被授權，如果被授權，則合規地解密數據并訪問，其中，被授權的中間機構相互無法獲知對方身份信息，保證了監管者的匿名性。

2.1 整體架構

本文提出的可信任監管技術方案基于成熟的標準密碼學組件和可監管組件。其中使用到的標準密碼學組件包括：非對稱加密算法，簽名算法和哈希算法。具體而言，非對稱加密算法Genc、?enc、Denc包括生成算法、加密算法和解密算法；簽名算法Gsig、Ssig、Vsig包括生成算法、簽名算法和驗證算法；哈希算法? 包括兩種實現方式：SHA-256 和SHA-512［21］，分別表示為?256和?512。在實際實驗中，非對稱加密算法和簽名算法分別由ECIES 和ECDSA 實現［22-23］。上述標準密碼學組件是本文提出的可信任監管技術方法的重要組成部分，但是密碼學組件本身無法實現可監管目標，為實現本文提出的可信任監管功能，下文將重點介紹可監管組件。

Fig.3 Overall flow of trusted regulatory scheme圖3 可信任監管方案整體流程

構建的可監管組件包括 ：加密密鑰對Addressenc=(pkenc,skenc)，其中pkenc為加密公鑰，skenc為加密私鑰；完整密鑰對Address=(Addresssig,Addressenc)，其中Addresssig為簽名密鑰對，Addressenc為加密密鑰對；輔助函數(pksig,pkenc,c,σ) ←Parse(tx)，該函數用于交易解析。可監管組件由算法1-3 實現，本方案以標準密碼學組件和可監管組件為支撐，共同構建了可信任監管方案；2.3 節對方案算法進行說明，具體由算法4-6 實現，其中算法4 實現了用戶數據加密上鏈；算法5-6 實現了被授權的監管機構對用戶加密數據的監管以及用戶通過修改加密公鑰中的訪問控制字段以增加或刪除監管者的監管權限；2.4 節將闡述安全性說明。整體架構如圖4 所示。

Fig.4 Overall architecture of trusted regulatory approach圖4 可信任監管方法整體架構

2.2 可監管組件構建

對方案中使用的組件進行簡要介紹，同時假設讀者熟悉區塊鏈技術［24］。

2.2.1 加密密鑰對

每個用戶都有一對由上級衍生的加密密鑰，該加密密鑰對具有層次關系。當用戶需要保護敏感數據的隱私時，可使用加密公鑰對數據進行加密處理后上鏈。當數據量

較大時，出于加密效率考慮，可使用加密公鑰加密一個隨機選取的對稱密鑰，然后使用對稱密鑰加密數據。本文對加密密鑰進行了擴展，數據結構如下：

相較于BIP32，新增了密文血緣關系字段EncBloodline和訪問控制字段AccessControl，其中EncBloodline字段為鍵值對集合，鍵為深度，值為該層中序列號的密文或明文。用戶可以通過修改這兩個字段動態改變監管方的授權，使被監管的權力掌握在自己手中。用戶u的加密密鑰對為：

如算法1 所示，闡述上級監管者s衍生用戶u加密密鑰的過程。其中，I是SHA-512 算法計算得到的一個大小為512 位的哈希值，哈希的原像為上級監管者的私鑰信息、上級監管者的鏈碼以及序列號，哈希值I的前256 位作為用戶的加密密鑰，后256 位作為用戶加密密鑰的鏈碼，當中間機構衍生出加密密鑰后，通過秘密通道將密鑰發送給用戶，本文的衍生算法僅允許安全性更強的強化衍生。

算法1 加密密鑰衍生算法

2.2.2 完整密鑰對

在傳統的區塊鏈中使用偽匿名機制，即用公鑰哈希后的地址標識用戶，每個用戶擁有至少一對用于簽名交易的公私鑰對。在本文中，用戶不僅擁有用于簽名交易的公私鑰對，還擁有由上級監管者衍生出的加密密鑰。因此，用戶的完整密鑰對為：

其中，簽名公私鑰對Addresssig=(pksig,sksig)，加密公私鑰對Addressenc=(pkenc,skenc)。用戶u從上級監管者收到加密公私鑰對后，需要對加密密鑰進行初始化，進行訪問控制設置（其中最高級監管者為必選項，其余上級監管者為可選項）。

如算法2 所示，闡述了用戶初始化加密公鑰的過程。該算法將用戶的加密公鑰和訪問控制字段作為輸入，生成含有訪問控制屬性的加密公鑰。首先通過隨機選取的大整數異或用戶公鑰對血緣關系進行加密，然后通過訪問控制字段調整監管策略，進行授權設置。

算法2 加密公鑰初始化算法

如算法3 所示，闡述了用戶完整密鑰對的生成過程。該算法調用算法1 和算法2，當中間機構衍生出加密密鑰后，用戶對加密密鑰進行初始化，最終生成完整公私鑰對，其中一對公私鑰用于簽名，另一對公私鑰用于消息加密。

算法3 完整密鑰對生成算法

2.2.3 輔助函數

Parse(tx)表示對交易進行反序列化，由于本文方案內容與接收者無關，故省略接收者的地址，得到交易發起人的簽名公鑰、加密公鑰、密文信息和簽名。形式化地表示為：(pksig,pkenc,c,σ) ←Parse(tx)。

2.3 可信任監管方法

當用戶發起一筆附有加密數據的交易時，用戶執行算法4。當上級監管者對一筆附有加密數據的交易進行監管時，監管者執行算法5。當用戶想更換加密數據的訪問權限時，用戶執行算法6。同時，為了便于闡述方案，本文簡化了交易的定義，僅包括發送者的簽名公鑰、發送者的加密公鑰、加密密文和簽名信息。

2.3.1 數據加密上鏈算法

本方案允許用戶對需要隱藏的數據進行加密處理，處理后的密文以交易的形式上鏈。更進一步地說，就是使用用戶的加密公鑰對消息進行加密。因為本文方案是對區塊鏈中需要存儲的數據進行加密，數據一般存儲在交易的附加字段，該字段在共識階段無需驗證，因此本文方案適用于各種共識機制。如有特殊需求可對共識機制進行額外補充，例如在聯盟鏈的共識階段加入對密態數據的合法驗證，即數據上鏈前進行監管。如算法4 所示，闡述了用戶執行的數據加密上鏈算法。該算法將用戶完整密鑰對和需要加密的消息作為輸入，得到解析后的加密公鑰和簽名私鑰，用公鑰對消息加密，私鑰對交易簽名，整合起來生成附有加密數據的交易信息，隨后用戶可將該交易信息提交至區塊鏈。

算法4 數據加密上鏈算法

2.3.2 加密數據監管算法

用戶對數據進行加密上鏈后，被授權的上級監管者可對加密數據進行解密監管，未被授權的上級監管者則無權訪問解密數據。如算法5 所示，闡述了監管者執行的加密數據監管算法。該算法將監管者加密私鑰和附有加密數據的交易信息作為輸入，監管者從鏈上獲取交易信息并解析，驗證簽名的正確性。如果驗證未通過，返回失?。蝗绻炞C成功，則根據加密公鑰的訪問控制字段判斷自己是否被授權，若沒有授權則無法進行下一步操作。若被授權則正確恢復用戶加密公鑰的血緣關系，然后根據監管者自身的加密私鑰和恢復后的血緣關系推導出用戶的加密私鑰，最后使用推導出的加密私鑰解密數據密文，生成消息，進行監管。

算法5 加密數據監管算法

2.3.3 訪問授權變更算法

用戶可以通過修改加密公鑰中的訪問控制字段增加或刪除監管者的監管權限。如算法6 所示，闡述了用戶執行的訪問授權變更算法。該算法將用戶加密密鑰、變更行為字段和監管者加密公鑰作為輸入，生成用戶的加密密鑰。其中變更行為字段可以起到變更訪問授權的作用，當用戶增加監管者的權限時，僅需在用戶公私鑰對中的訪問控制字段追加監管者信息即可；當用戶刪除監管者的權限時，為防止不誠實的監管者在被刪除權限后，仍查看用戶信息，需調用算法2，不僅改變訪問控制字段，也要更新密文血緣關系。其中，用戶加密私鑰存儲的血緣關系為明文，存儲的訪問控制字段為監管者們的公鑰信息和附加信息。

算法6 訪問授權變更算法

2.4 可信任監管安全性說明

機密性：數據的機密性是基于非對稱加密算法ECIES實現的機密性。敵手攻擊交易數據的機密性，意味著從密文中恢復有關消息m 的信息，可以直接規約到攻擊ECIES。因此，數據的機密性基于非對稱加密ECIES 的安全性。

可監管性：數據的可監管性是基于橢圓曲線點乘運算實現的可監管性。敵手攻擊交易的可監管性，即增加未被授權的監管者，意味著需要從r·G中恢復出r以及從?256(pathKey)中恢復出pathKey，可以直接規約到攻擊橢圓曲線的離散對數問題ECDLP［25］和單向散列函數。因此，數據的可監管性是基于ECDLP 和SHA256 的安全性。

3 性能測試

本方案適用于區塊鏈中隱私數據的多層級監管場景，因此對該方案進行性能測試和分析。實驗環境為：處理器Intel Core i7-4770 ＠ 2.2GHz、內存16GB 1 600 MHz、操作系統macOS Catalina 10.13.3、編程語言為Golang［26］。

3.1 方案實現

本方案擴展了加密密鑰的存儲結構，其數據結構如表1 所示。

Table 1 Data structure of the extended key表1 擴展密鑰的數據結構

擴展密鑰的主要方法如表2 所示，包含主密鑰的生成、子密鑰的衍生、加密血緣關系、解密血緣關系、訪問控制設置等功能，用于實現密鑰的生成、加密、存儲、訪問控制和讀取等功能。

Table 2 Main methods of extending the key表2 擴展密鑰的主要方法

本方案使用EncryptDataToBlockchain 函數實現數據加密上鏈算法。首先調用Encrypt 方法對消息進行加密，然后調用SHA-256 方法對加密消息進行哈希計算，最后調用Sign 方法對加密消息摘要進行簽名，主要代碼如下所示。

本方案使用SuperviseEncrytedData 函數實現加密數據監管算法。首先調用Verify 方法驗證簽名和數據的完整性，接著調用DecryptionKeyDerivation 方法判斷是否被授權以及恢復血緣關系，然后調用CorrespondingPrivateChild 方法衍生出用戶加密私鑰，最后調用Decrypt 方法解密消息，進行監管，主要代碼如下所示。

3.2 測試結果

本文對方案的性能進行了測試，測試結果為100 次實驗模擬的均值，并且方差不大于5%。其中，訪問授權變更算法開銷很小，可忽略不計，因此本文對用戶數據加密上鏈算法和加密數據監管算法的性能進行說明。

數據加密上鏈算法測試調用EncryptDataToBlockchain函數，計算交易生成所耗時間，該算法所用時間包括用戶使用加密公鑰加密消息的時間、對消息進行哈希運算的時間和簽名消息的時間。測試結果如圖5 所示，橫坐標為用戶加密公鑰的深度，縱坐標為時間。隨著加密密鑰深度的增加，加密時間無明顯變化，基本為恒定值，在0.55ms 附近震蕩，說明本文加密方案的性能十分穩定，不會隨著子密鑰層數的變化而變化。

Fig.5 Encryption performance test圖5 加密性能測試

加密數據監管算法測試調用SuperviseEncrytedData 函數，該算法所用時間包括監管機構使用自身加密私鑰恢復用戶加密公鑰衍生路徑的時間、監管中心推導用戶加密私鑰的時間以及監管機構解密消息的時間。測試結果如圖6所示，隨著加密密鑰深度的增加，監管時間緩慢上升，幅度很小，每單位的時間增量為0.03ms（每深度單位可監管2^32位用戶），說明本文監管方案性能較優，適用于大規模監管系統部署。

Fig.6 Supervision performance test圖6 監管性能測試

3.3 性能對比

為了說明本文方案的實用性，在相同的實驗環境下，本文與開源項目超級鏈中的分層確定性加密方案做了性能比較。超級鏈的分層確定性加密方案和本文方案都可以實現對加密數據的監管，但本文方案隱藏了用戶的歸屬關系以及用戶可以控制監管授權，實現層級化隱私保護監管能力，加密密鑰對是基于現有的BIP32 協議優化生成，無需額外引入第三方復雜的密鑰管理和分配服務，減少了系統開銷。本文對數據加密算法的性能和監管算法的性能進行了比較，橫坐標為用戶加密公鑰的深度，縱坐標為時間，結果如圖7 和圖8 所示。如預期，本文的用戶加密算法與超級鏈的用戶加密算法耗時大致相同，但本文花費了更多的監管耗時以增強用戶的隱私保護和增加用戶控制監管授權功能，大約多花費0.15ms，相較于整個系統開銷，本文認為這部分額外開銷是在可接受范圍內。

Fig.7 Encryption performance comparison圖7 加密性能比較

Fig.8 Supervision performance comparison圖8 監管性能比較

4 結語

本文提出一種適用于區塊鏈的數據隱私保護和大規模監管技術方案。用戶可以將數據加密后上傳至區塊鏈，監管機構無需與用戶交互即可對密文消息進行監管。并且，除最高監管機構外，用戶可以對任意上級監管者的監管權限進行訪問控制，有效地保障了用戶鏈上數據的機密性和數據的可授權監管性。安全性分析說明了本方案在一定的密碼學假設下是安全的。最后，通過性能測試可以看出，本方案簡單高效且具有很強的實用性。與傳統分層確定性加密方案相比，本文提出的方案有效地增強了數據隱私的分層保護和監管能力，可降低監管溯源難度，從而克服現有技術缺陷。