基于抗量子區(qū)塊鏈的用戶隱私保護(hù)方案*

邵雨濛 高玉龍

（1.法國(guó)圖盧茲第一大學(xué)信息技術(shù)學(xué)院 圖盧茲 31000）

（2.中國(guó)傳媒大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院 北京 100024）

1 引言

越來(lái)越多的研究成果相繼應(yīng)用在我們的日常生活中，如云計(jì)算［1～2］、安全多方計(jì)算［3］等，尤其是數(shù)據(jù)挖掘技術(shù)［4］。當(dāng)前，信息量的指數(shù)級(jí)增長(zhǎng)預(yù)示著大數(shù)據(jù)的時(shí)代已經(jīng)到來(lái)［5］，數(shù)據(jù)挖掘?qū)?huì)被應(yīng)用到更多的場(chǎng)景之中。然而，大數(shù)據(jù)技術(shù)憑借其多樣性，數(shù)據(jù)量大，時(shí)效性等特點(diǎn)對(duì)傳統(tǒng)數(shù)據(jù)管理技術(shù)帶來(lái)新的挑戰(zhàn)［6］。另一方面，繼大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)之后，區(qū)塊鏈成為當(dāng)前又一個(gè)熱門的信息技術(shù)。2008 年，中本聰設(shè)計(jì)了一種點(diǎn)到點(diǎn)的電子現(xiàn)金交易系統(tǒng)，他也在文中首次提出并描述了該系統(tǒng)的底層技術(shù)——區(qū)塊鏈［7］。在該技術(shù)中，每個(gè)區(qū)塊都會(huì)指向前一個(gè)區(qū)塊的哈希值，這樣就在這些區(qū)塊之間建立了一個(gè)鏈接，構(gòu)成了一條區(qū)塊鏈［8～11］。隨著區(qū)塊鏈技術(shù)的不斷成熟和應(yīng)用范圍的不斷擴(kuò)大，區(qū)塊鏈?zhǔn)袌?chǎng)正快速增長(zhǎng)。

區(qū)塊鏈2.0 版本特別地新增了超級(jí)賬本（Hyperledger）和智能合約技術(shù)［12～13］。此外，區(qū)塊鏈技術(shù)中包含公鑰密碼算法、哈希算法、分布式網(wǎng)絡(luò)（P2P）、時(shí)間戳等技術(shù)［14］。它更像是一個(gè)分布式的超級(jí)分類帳系統(tǒng)，依賴于所有用戶的維護(hù)，交易信息不能被偽造和修改。

在收集數(shù)據(jù)中，用戶可能還要考慮自己的個(gè)人隱私，因此如果沒有一個(gè)很好的平臺(tái)或模型，用戶可能不會(huì)提供自己的真實(shí)信息。數(shù)據(jù)挖掘的應(yīng)用中也面臨這樣一個(gè)問題：信息量的龐大，而其中有意義的信息占比卻少之又少，尤其是其中包含大量不可驗(yàn)證或不可信的信息，這對(duì)數(shù)據(jù)挖掘之后的結(jié)果帶來(lái)了一定的難題。如何既能收集到大量可信任的信息，又能保證個(gè)人隱私，使用戶能夠放心地提供自己的真實(shí)數(shù)據(jù)，這是對(duì)數(shù)據(jù)挖掘技術(shù)研究的新的課題［15～16］。

針對(duì)這一情況，本文結(jié)合格密碼算法以及區(qū)塊鏈技術(shù)，設(shè)計(jì)并提出一種安全的用戶隱私保護(hù)方案。在方案中，首先，我們?cè)O(shè)計(jì)將個(gè)人的隱私數(shù)據(jù)信息按照權(quán)值進(jìn)行分級(jí)，例如，針對(duì)個(gè)人姓名、地址等隱私信息，這些數(shù)據(jù)的權(quán)值則較高，而對(duì)查詢、愛好等信息權(quán)值則相對(duì)較低。然后，將個(gè)人以上數(shù)據(jù)的權(quán)限（加密指針）存儲(chǔ)在區(qū)塊鏈中，信息則存儲(chǔ)在手機(jī)端本地，實(shí)現(xiàn)個(gè)人數(shù)據(jù)與手機(jī)應(yīng)用中使用數(shù)據(jù)的分離，用戶在享受應(yīng)用商服務(wù)的同時(shí)只需上傳部分個(gè)人相關(guān)可用數(shù)據(jù)。當(dāng)使用結(jié)束，數(shù)據(jù)將仍然存儲(chǔ)在本地，應(yīng)用服務(wù)提供商不能再次使用。這就對(duì)應(yīng)用商個(gè)人數(shù)據(jù)讀取加上了一個(gè)權(quán)限管理。另一方面，針對(duì)數(shù)據(jù)挖掘所應(yīng)用的數(shù)據(jù)，用戶能夠通過個(gè)人的私鑰管理自己的個(gè)人信息，使得部分信息可以讀取，個(gè)人姓名等信息將不能被讀取，保護(hù)了用戶的隱私信息。同時(shí)，基于區(qū)塊鏈技術(shù)的原理，利用私鑰的簽名保證了數(shù)據(jù)的可驗(yàn)證性。攻擊者無(wú)法偽造相關(guān)數(shù)據(jù)。本文提出的方案可以很好地應(yīng)用于保護(hù)個(gè)人隱私的場(chǎng)景中，對(duì)于用戶管理個(gè)人信息起到積極的作用和影響，同時(shí)，可以為數(shù)據(jù)挖掘提供一種安全和可信任的信息獲取方式，提高數(shù)據(jù)挖掘結(jié)果的可靠性。

2 基于區(qū)塊鏈的隱私保護(hù)方案

2.1 橢圓曲線簽名算法

橢圓曲線數(shù)字簽名算法（Elliptic Curve Digital Signature Algorithm，ECDSA）［17］是數(shù)字簽名算法的橢圓曲線版本。其密鑰對(duì)與一組特定的橢圓曲線域參數(shù)相關(guān)聯(lián)。定義在有限域GF（q）的橢圓曲線E，其階為某個(gè)大素?cái)?shù)n，選取E 上的一個(gè)階為該素?cái)?shù)n的點(diǎn)P。算法具體過程如下。

2.2 基于格密碼的簽名算法

然而，隨著量子計(jì)算機(jī)的深入研究，ECDSA 的安全性受到極大的威脅。量子計(jì)算機(jī)所具備的強(qiáng)大并行計(jì)算能力，能夠破解用戶的密鑰，繼而威脅當(dāng)前區(qū)塊鏈技術(shù)的安全性。2008年，Gentry等［18］提出一種基于原像采樣的陷門設(shè)計(jì)密碼體制。

在本文中，基于文獻(xiàn)［19］中的構(gòu)造短格基原理和原像采樣原理，設(shè)計(jì)并提出了一種基于格上小整數(shù)解問題（Small Integer Solutions problem，SIS）的簽名算法。

2.3 方案設(shè)計(jì)

在新的區(qū)塊鏈方案中，我們將2.2 節(jié)中的格密碼簽名算法引入到區(qū)塊鏈技術(shù)中。我們的解決方案的目的是使用戶能夠控制和審計(jì)哪些數(shù)據(jù)被存儲(chǔ)以及它們是如何使用的。同時(shí)，訪問也應(yīng)該是可撤銷的。

正如前文總結(jié)的區(qū)塊鏈的優(yōu)點(diǎn)，可以看出，它非常適用于優(yōu)化系統(tǒng)中用戶的信息安全。因此，基于密碼學(xué)的原理和區(qū)塊鏈的特點(diǎn)，在本文中，設(shè)計(jì)一個(gè)基于區(qū)塊鏈的用戶隱私權(quán)限保護(hù)方案。該方案將對(duì)個(gè)人數(shù)據(jù)的訪問策略（權(quán)限）存儲(chǔ)在區(qū)塊鏈上，區(qū)塊鏈在該模型應(yīng)用中作為訪問私有數(shù)據(jù)的權(quán)限的過濾器，用于驗(yàn)證和檢查應(yīng)用服務(wù)提供商對(duì)用戶敏感數(shù)據(jù)和操作的權(quán)限。

方案中主要組成部分為以下三種：普通用戶、區(qū)塊鏈系統(tǒng)和服務(wù)提供商。用戶和應(yīng)用服務(wù)提供商通過密鑰協(xié)商的方式生成一個(gè)共用的密鑰，用來(lái)加密區(qū)塊鏈中的數(shù)據(jù)，使得用戶和應(yīng)用服務(wù)提供商都可以使用查詢區(qū)塊鏈中的數(shù)據(jù)或操作。通過運(yùn)行2.2 節(jié)中的基于格密碼的簽名算法，分別對(duì)用戶以及應(yīng)用服務(wù)提供商生成各自的公私密鑰對(duì)(pk,sk)。我們將個(gè)人信息，如身份信息、位置信息、圖像信息等在本地存儲(chǔ)。區(qū)塊鏈中，分別存儲(chǔ)的是相應(yīng)的權(quán)限，如位置權(quán)限、圖像權(quán)限等。在該分布式網(wǎng)絡(luò)中，用戶的權(quán)限發(fā)布在該網(wǎng)絡(luò)中，之后通過礦工挖礦的方式（工作量證明），加載在該區(qū)塊鏈的主鏈上。設(shè)n 為一個(gè)正整數(shù)，假設(shè)在該系統(tǒng)中，用戶Alice的個(gè)人信息，如身份信息、位置信息、圖像信息的權(quán)限（比特串）等分別設(shè)為a1,a2,…,an，權(quán)限為對(duì)應(yīng)信息的加密密鑰，該密鑰由系統(tǒng)通過對(duì)稱加密算法生成并分發(fā)給各自用戶。通過權(quán)限即可訪問對(duì)應(yīng)的Alice 信息。由此，得到一個(gè)用戶Alice的信息權(quán)限集合A={a1,a2,…,an}。同時(shí)，對(duì)密鑰進(jìn)行二次加密得到對(duì)應(yīng)的密鑰集合B={b1,b2…,bn}。Alice通過運(yùn)行格密碼算法，可以生多個(gè)公私密鑰對(duì)，即可以得到一個(gè)包含用戶公私密鑰對(duì)的數(shù)據(jù)集合Key={(pk1,sk1)，(pk2,sk2),…，(pkn,skn)}。系統(tǒng)將Alice 的權(quán)限集合分別與該密鑰集合一一對(duì)應(yīng)。該模型具體實(shí)現(xiàn)過程如下所示。

步驟1：Alice將自己的權(quán)限信息，如位置權(quán)限、圖像權(quán)限等，分別采用對(duì)應(yīng)的私鑰進(jìn)行簽名，分別生成不同的交易單txn，被礦工通過挖礦的方式上傳到區(qū)塊鏈的主鏈中。

步驟2：當(dāng)服務(wù)提供商被要求提供某項(xiàng)服務(wù)需要Alice信息a1時(shí)，則要向Alice發(fā)出該信息的訪問權(quán)限詢問以獲得該權(quán)限的訪問資格。

步驟4：礦工挖礦（工作量證明）和驗(yàn)證簽名e′的合法性，驗(yàn)證通過，則將其加載在自己區(qū)塊鏈的主鏈上，否則將其拒絕并丟棄。

步驟5：通過驗(yàn)證的交易將在該分布式網(wǎng)絡(luò)中進(jìn)行共識(shí)機(jī)制，該交易最終被確認(rèn)和達(dá)成共識(shí)，與其他節(jié)點(diǎn)一樣，存儲(chǔ)在公共賬本中。

步驟6：應(yīng)用服務(wù)提供商憑借該交易信息和Alice 自己的簽名e′，證明其訪問資格。從而經(jīng)過系統(tǒng)驗(yàn)證通過，系統(tǒng)即將權(quán)限a1的解密密鑰b1發(fā)送給應(yīng)用服務(wù)提供商。應(yīng)用服務(wù)提供商即獲得該Alice 的某一項(xiàng)隱私信息（經(jīng)過解密操作），并為Alice提供相應(yīng)的服務(wù)。

步驟7：當(dāng)Alice想要撤銷該應(yīng)用服務(wù)提供商的某項(xiàng)資格時(shí)，可以通過自己的私鑰，對(duì)該權(quán)限進(jìn)行二次生成交易，得到新的簽名e″，即該應(yīng)用服務(wù)提供商的簽名被更新，原簽名e′失效，應(yīng)用服務(wù)提供商即無(wú)法繼續(xù)保留針對(duì)Alice信息a1訪問的權(quán)限資格。

3 性能分析

在該方案中，簽名算法的中的密鑰長(zhǎng)度對(duì)模型的在實(shí)際應(yīng)用中的性能要求直觀重要。與文獻(xiàn)［20］和文獻(xiàn)［21］中的同類型的簽名算法相比，本文中的參數(shù)選取n、m、q與同類文獻(xiàn)中的相同。如表1所示，其公鑰、私鑰和簽名的大小均大于本文的簽名方案。此外，本文的簽名算法的安全性依賴于格SIS 難題。平均情況的格SIS 難題可以多項(xiàng)式時(shí)間歸約到最壞情況的最短線性無(wú)關(guān)向量問題，已經(jīng)被證明具備抵抗量子計(jì)算攻擊的優(yōu)勢(shì)。這說(shuō)明本文的簽名方案是抗量子安全的。

表1 與其他算法進(jìn)行比較

4 結(jié)語(yǔ)

在本文中，基于密碼學(xué)的原理和區(qū)塊鏈的特點(diǎn)，設(shè)計(jì)并提出了一個(gè)基于抗量子區(qū)塊鏈的用戶隱私保護(hù)方案。該方案中引入格密碼簽名算法，采用格密碼算法進(jìn)行用戶的簽名，提升了區(qū)塊鏈的安全性。該方案可為數(shù)據(jù)挖掘提供一種安全和可信任的信息獲取方式，提高數(shù)據(jù)挖掘結(jié)果的可靠性。綜上所述，本文的工作中主要對(duì)區(qū)塊鏈保護(hù)用戶隱私，以及區(qū)塊鏈技術(shù)與數(shù)據(jù)挖掘的結(jié)合作了一個(gè)新的嘗試與探索，對(duì)二者未來(lái)的發(fā)展提供一個(gè)新的參考和應(yīng)用研究方向。