可编辑且可追责的区块链方案

赵晓琦,张正昊,李 勇

北京交通大学电子信息工程学院 北京 中国 100044

区块链技术在信息监管、隐私保护、数据更新等方面存在切实的编辑需求[1]。从信息监管角度出发,由于互联网上的每个人都可以写到无许可的区块链,所以一些恶意用户可能滥用发布任意交易消息的能力[2],存储在分类帐中的数据可能是敏感、有害或非法的。例如,区块链包含泄露的私钥[3],甚至是违法乱纪的谣言等。这使得区块链在涉及政府记录和社交媒体等数据的领域中更广泛地应用受到限制。

从隐私保护角度出发,欧盟于2018 年5 月出台通用数据保护条例(General data protection regulation,GDPR),它不再有利于当前的区块链去记录个人数据,比如比特币和以太坊。GDPR 将“被遗忘的权利”作为关键的数据主体权利[4],即数据所有者有权利从控制者处去除私人信息,所以在遵守有关私人数据的新法规的同时如何促进区块链的广泛使用已成为一个新的挑战。

从数据更新角度出发,区块链不可篡改这一特性限制了区块链在多领域的广泛应用,比如金融领域、版权领域。一旦在区块链中创建了记录或者块,传统区块链的特性保证其不可更改,但在某些情况下应进行修改或者删除内容,必须有一定的灵活性来应对用户的错误或事故,以保护系统的完整性。

因此,在确保区块链安全可信等优势的同时,对数据进行可控编辑具有现实意义。实现区块链的可编辑性和可追责性的结合,将进一步促进区块链实现更广泛的落地应用。为了满足区块链在信息监管、隐私保护、数据更新等方面存在的编辑需求,本文提出可编辑且可追责的区块链方案,在数据失效或错误时,只要超过阈值数节点同意便可实现区块数据的合法编辑,同时保持区块链接不变,且可对数据合法性进行验证。若验证不通过,则可进行相关责任方的追责。

在可编辑区块链研究中,埃森哲公司获得了可编辑区块链专利,通过使用变色龙哈希来对链中的某个区块进行更改,但存在编辑权中心化的问题。Ateniese 等人[5]提出可修改区块链的概念,该方案是基于变色龙哈希的许可区块链方案[6],在编辑区块时,使用带陷门的变色龙哈希函数,因此可以有效地计算出变色龙哈希函数的碰撞,并在任意修改后保持哈希一致性。李佩丽等人[7]对可修改区块链技术进行改进,利用秘密共享方案,将陷门分配给系统各节点,当且仅当阈值节点联合时方可恢复陷门,进而编辑。但是该方案需要秘密通道,将陷门子密钥发送给链中的各个成员,而且,当修改后的数据出现问题时并没有考虑追责。Ashritha[8]提出使用增强型变色龙哈希的可编辑区块链,在该方案中,使用了非线性秘密共享方案来防止恶意参与者共享虚假份额,每次修改需经过发布者同意。

Marsalek 等人[9]提出基于共识投票机制的可编辑区块链,在投票过程需要各个节点验证编辑是否合法,进而达成共识,但编辑颗粒较粗,是面向整个区块的修改。任艳丽等人[10]基于抗碰撞哈希函数,提出可删除区块链系统,利用安全的门限签名方案,在超过门限值的节点同意时,可对单个区块的全部交易数据进行删除。但该方案无法删除指定交易数据,也无法进行数据修改。为了支持细颗粒的可控区块链编辑,Derler 等人[11]提出基于策略的变色龙哈希的概念,其中满足策略的任何人都可以找到给定哈希的碰撞实现区块链的编辑。Puddu 等人[12]提出了一种可编辑的区块链,称为µ链。在µ链中,交易发送方可以加密交易的不同版本,用“变异”表示,解密密钥在矿工之间秘密共享,交易的未加密版本被视为活动交易。但是,恶意用户可能会错误编辑,甚至破坏交易的稳定性。此外,在通过多方计算协议重建解密密钥时,μ 链还面临可伸缩性问题。

Deuber 等人[13]提出了第一个在无许可情况下的可编辑区块链协议,它不依赖繁重的加密协议或其他信任假设。一旦用户提出了修订建议,该协议便开始基于共识的投票期,并且只有在获得足够的投票批准修订之后,该版本才会在区块链上执行。Thyagarajan 等人[14]提出了通用协议Reparo 来编辑区块链,通过引入外部数据结构来存储区块内容,保持区块结构不变。但是,新加入的用户必须在投票期内检查所有区块,以验证对区块链的修改。并且投票期长,难以实际应用。任艳丽等人[15]提出可修改的区块链方案,引入机动因子,从而保证签名子块不变,满足哈希一致性,但该方案建立在基于空间证明的区块链,不适用于普通的区块链结构。Jia 等人[16]提出了具有可撤销子密钥的有状态变色龙哈希(Stateful chameleon hash with revocable subkey,sCHRS),进而在此基础上提出了一种新型的可编辑区块链构造。在该构造中存在一个半可信的监管方对编辑行为进行监管,避免出现恶意修改的情况。同时,用户也可以监督监管方是否正确行使权力。该方案实现了一定程度的监管功能,但是没有研究当确实出现非法行为之后,如何进行追责的问题。

可编辑且可追责的区块链系统由三类角色组成:用户、领导者、监管方。

(1) 用户(User): 联盟区块链中的成员,即交易的参与方;

(2) 领导者(Leader): 联盟链中的管理者,也是陷门子密钥的分发者;

(3) 监管方(Regulator): 联盟链中的监管者,具有监管和追责的功能。

系统框架如图1 所示:

图1 系统框架Figure 1 System framework

具体过程如下:

(1) 领导者分发陷门密钥给各用户;

(2) 用户发起编辑请求,其他用户对请求投票,并将投票结果发送给领导者;

(3) 在系统用户中,选出具有编辑权的编辑者;

(4) 编辑者对需要修改的数据进行编辑;

(5) 用户对编辑后的区块进行验证,是否可被接受;

(6) 若编辑后的区块未通过验证,则向监管方请求追责。

4.1 方案定义

可编辑且可追责的区块链方案由秘密分享、投票、寻找编辑者、编辑、验证追责5 个阶段构成。

(1) 在秘密分享阶段,该阶段包含4 个算法:

2)Share（S）→（Y1,Y2,Y3,…,Yn,C0,C1,…,Ct-1,πl）:密钥分发算法,由Leader 执行,以陷门S作为输入,输出n份加密后的陷门子密钥、t个承诺值和证明πl。

3)Verifykey（Y1,Y2,Y3,…,Yn,C0,C1,…,Ct-1,πl）→b: 验证子密钥算法,由用户执行,以n份加密后的陷门子密钥、t个承诺值和证明πl作为输入,若验证成功,则输出1,证明子密钥分发成功;若验证失败,则输出0,表明分发的子密钥错误。

4)Dec（Yi,upki,uski）→解密子密钥算法,由用户执行,以用户收到的加密子密钥Yi,用户的公钥upki和用户的私钥uski作为输入,输出解密后的子密钥Si和相对应的证据

(2) 在投票阶段,该阶段包含3 个算法:

2)Vote（req,rdi,b,lpk）→（enci）: 投票算法,由用户执行,以编辑请求req、用户选择的随机数rdi、用户投票意见b、Leader 的公钥lpk作为输入,其中,若用户同意修改,则b为1,输出加密后的投票信息enci,并将其发送至Leader。

3)Vresult（enci,lsk）→（deci,result,rdsum）: 结果算法,由Leader 执行,以用户加密的投票信息enci、Leader 私钥lsk作为输入,输出明文deci、投票结果result和计算所得的随机数总和rdsum。

(3) 寻找编辑者阶段,该阶段包含寻找编辑者算法。

Find（rdsum,upki）→（hashmin,upkmin）: 寻 找编辑者算法,由用户执行,以Leader 所广播的随机数总和rdsum、用户的公钥upki作为输入,每个用户计算个人公钥和rdsum的哈希值广播到链中。经排序后,输出最小的哈希值hashmin和所对应的用户公钥upkmin,与最小哈希值对应的用户即为具有编辑权的编辑者。

(4) 在编辑阶段,包含两个算法:

1)Recover（S1,S2,…,Si（i≥t））→（S）: 恢复密钥算法,由用户中的编辑者执行,以子密钥S1,S2,…,Si（i≥t）作为输入,输出陷门密钥S。

2)Edit（S,m,m",r）→（r"）: 编辑算法,由用户中的编辑者执行,以陷门密钥S、编辑的原内容m、编辑后的新内容m、以及变色龙哈希所使用的随机数r作为输入,输出计算所得的新随机数r",以保证哈希一致性。

(5) 验证追责阶段,该阶段包含验证算法。

→（b1,b2,b3,b4）: 验证算法,由用户执行,若验证投票和随机数正确,则b1输出1,若不正确,则输出0;若验证编辑区块信息的用户具有编辑权,则b2输出1,若不正确,则输出0;若验证哈希一致性成立,则b3输出1,若不正确,则输出0;若验证链中用户发送的子密钥值正确,即验证为真,则b4输出1,若不正确,则输出0。

4.2 安全模型

定义1.陷门安全性。如果满足下列条件,则任何t-1个用户利用他们的子密钥都不能恢复出陷门值,任何t个用户利用他们的子密钥都可以恢复陷门值。

其中,v（λ）为可忽略函数。

或者

即任何t-1个用户利用他们的子密钥不能恢复出陷门值的概率接近1;任何t个用户利用他们的子密钥恢复出陷门值的概率同样接近1。

定义2.可编辑性。如果方案满足下列条件,则编辑者可以对请求编辑的内容进行修改,具有可编辑性。

即在编辑者恢复出陷门密钥后,可计算出新随机数进行编辑的概率接近于1。

定义3.可追责性。如果方案满足下列条件,则可以进行追责。

令事件B 为:

即编辑块符合编辑规则,可被区块链接受,不需要进行追责。

或者

即当Leader 投票结果和所计算的随机数不正确时,用户可验证到这一情况,向监管者汇报对Leader进行追责的概率接近于1。

或者

即当编辑者不具有编辑权时,用户可验证到这一情况,向监管者汇报对编辑者进行追责的概率接近于1。

或者

即当编辑前后哈希不一致,且子密钥分享正确时,用户可验证到这一情况,向监管者汇报对编辑者进行追责的概率接近于1。

或者

即当编辑前后哈希不一致,且子密钥分享不正确时,用户可验证到这一情况,向监管者汇报对该密钥拥有者进行追责的概率接近于1。

首先给出可编辑且可追责的区块链方案(Editable and accountable blockchain scheme,EAB)的概述,然后给出各个算法的具体实现过程。

5.1 方案概述

在EAB 方案中,Leader首先将陷门作为秘密,作公开可验证的秘密分享给链中的各个用户,并附带证明πl,以保证Leader 正确发送各个用户的陷门子密钥。链中用户对编辑请求投票后,利用用户公钥和Leader 所计算的随机数进行哈希并排序哈希值,选出具有编辑权的编辑者,该随机数的使用保证了编辑者的随机性,避免恶意攻击者攻击固定编辑者情况的发生。其他用户发送相应的子密钥给编辑者,并附带相应的证明πu,以保证各用户正确分享子密钥。编辑者至少收到t个子密钥后,利用拉格朗日插值函数恢复出陷门密钥并进行编辑,保证编辑前后的哈希一致性。对编辑后的区块进行验证,并对相关责任方进行追责。

5.2 方案具体构建

EAB 方案的具体算法构建如下:

(1) 秘密分享阶段:

2)Share（S）→（Y1,Y2,Y3,…,Yn,C0,C1,…,Ct-1,πl）:密钥分发算法,由Leader 执行,具体步骤如下:

步骤一: 随机选择s ∈Zq,令陷门S=hs∈G。选 择（t-1）次 的多项 式f（x）=其中a0=s,aj∈Zq;

步骤二: Leader 计算系数的承诺值Cj=,j=0,1,…,t-1;

步骤三: 对子密钥进行加密,Yi=yif（i）,i=1,2,…,n;

步骤四: 构建证据。对于每个i ∈1,2,…,n,Leader 随机选择数值wi∈Zq,并计算a1i=利用Xi,Yi,a1i,a2i计算公共值c1=H（X1‖X2‖…‖Xn‖Y1‖…‖Yn‖a11‖…‖a1n‖a21‖…‖a2n）,其中‖表示两个比特串的连接。计算对每个用户的应答ri=wif（i）c1mod q,证明πl=（c1,r1,r2,…,rn）。

输出加密后的子密钥Y1,Y2,Y3,…,Yn,系数承诺值C0,C1,…,Ct-1,证明πl=（c1,r1,r2,…,rn）,并广播到链中。

3) Verifykey（Y1,Y2,Y3,…,Yn,C0,C1,…,Ct-1,πl）→b: 验证子密钥算法,由用户执行,以n份加密后的陷门子密钥、t个承诺值和证明πl作为输入。具体步骤如下:

4)Dec（Yi,upki,uski）→解密子密钥算法,由用户执行,以用户收到的加密子密钥Yi,用户的公钥upki和用户的私钥uski作为输入,具体步骤如下:

(2) 投票阶段:

2)Vote（req,rdi,b,lpk）→（enci）: 投票算法,由用户执行,以编辑请求req、用户选择的随机数rdi、用户投票意见b、Leader 的公钥lpk作为输入,其中,若用户同意修改,则b为1。若同意修改,则进行以下操作: 首先,验证用户的编辑请求与金融交易信息无关,验证编辑请求符合编辑策略,不会使链中下一个块无效。若请求内容无效,则丢弃该请求。若请求内容有效,则针对编辑请求进行投票。若同意修改,用户Ui随机选择一个数rdi,计算hi=H（rdi,b,req）,用Leader公钥lpk加密后的密文enci=E（rdi,hi,lpk）,输出加密后的投票信息enci,并将其发送至Leader。

若不同意修改,则略过投票步骤。

3)Vresult（enci,lsk）→（deci,result,rdsum）: 结果算法,由Leader 执行,以用户加密的投票信息enci、Leader 私钥lsk作为输入,使用Leader 私钥解密密文enci，得deci=D（enci,lsk）=（rdi,hi）。统计收到的投票信息,收到半数以上的投票则同意修改。并计算rdsum=∑rdi,输出明文deci、投票结果result和计算所得的随机数总和rdsum。

(3) 寻找编辑者阶段:

Find（rdsum,upki）→（hashmin,upkmin）:寻找编辑者算法,由用户执行,以Leader所广播的随机数总和rdsum、用户的公钥upki作为输入,计算hashi=H（upki,rdsum）,各个用户将自己计算的hashi和个人公钥广播到链中,将哈希值按从小到大的顺序排序,输出最小的哈希值hashmin和所对应的用户公钥upkmin,最小哈希值所对应的公钥即为寻找到的编辑者。

(4) 编辑阶段:

2)Edit（S,m,m",r）→r": 编辑算法,由用户中的编辑者执行,以陷门密钥S、编辑的原内容m、编辑后的新内容m"、以及变色龙哈希所使用的随机数r作为输入,计算使 得CH（*）表示变色龙哈希算法,保证编辑前后哈希一致性,输出r。

(5) 验证追责阶段:

1)根据Leader 公布的明文deci和收到的随机数总和rdsum,计算随机数总和是否正确,投票用户的哈希值是否正确,若验证投票和随机数正确,则b1输出1,若不正确,则输出0,并追责Leader;

2) 判断具有编辑权的编辑者公钥是否对应最小哈希值,计算hashmin=H（upkmin,rdsum）等式是否成立,若成立,则编辑区块信息的用户具有编辑权,b2输出1,若不成立,则编辑者并不具备编辑权,b2输出0,并追责编辑者。同时,为了防范拥有陷门密钥的Leader 进行非法编辑,也会计算Leader 的公钥和随机数和的hash 值,并验证是否等于最小hash 值,当验证不通过时,追责Leader;

3) 判断编辑前后的哈希一致性,计算等式CH（m,r）=是否成立,若成立,则b3输出1,若不正确,则输出0;

4) 验证链中用户发送的子密钥值的正确性,即验证πui是否为真,计算等式c2=是否成立,若成立,则b4输出1,若不正确,则输出0。在b3为0,b4为1 的情况下,追责编辑者;在b3为0,b4为0 的情况下,追责该密钥的拥有者。

定理1(陷门安全性).若Diffie-Hellman假设成立,则任何（t-1）个用户利用他们的子密钥不能通过计算恢复出陷门密钥,任何t个用户利用他们的子密钥能恢复出陷门密钥。

证明.首先证明任何（t-1）个用户利用他们的子密钥不能通过计算恢复出陷门密钥。假设（t-1）个用户利用他们的子密钥能恢复出陷门密钥S,不妨设这（t-1）个用户就是前（t-1）个用户Ui(i=1,2,…,t-1)。即证明,对于任给的gα和gβ,攻击者A 利用这（t-1）个用户作为预言机,能算出gαβ。

现在为攻击者设置一个模拟系统,使得攻击者将前（t-1）个用户作为预言机,就能算出gαβ。具体过程如下:

(1)攻击者A 令h=gα,C0=gβ（=gf（0））,隐含确定了f（0）=β;

(2)A 随机选取（t-1）个值: f（1）,f（2）,f（3）,…,f（t-1）∈Zq,则确定了f（x）函数;

(3) A 计算前（t-1）个Xi和Yi的值,Xi=gf（i）i=1,2,…,t-1;Yi=yif（i）i=1,2,…,t-1。

(4) 由于f（0）是隐含确定的,所以攻击者A 无法计算出f（t）,f（t+1）,…,f（n）。但是可以利用拉格朗日插值函数计算出剩余的Xi值:

其中,i=t,t+1,…,n;j=0,1,…,t-1。

上述线性方程组中,攻击者A 知道f（1）,f（2）,…,f（t-1）,但不知道f（0）,所以无法求出（a0,a1,…,at-1）。但是 A 可以求出,即各个Cj（j=1,2,…,t-1）。

若上述线性方程组的系数矩阵为J,因为J是范德蒙矩阵,所以J存在逆矩阵。设J-1为

由于攻击者A 知道C0和各个Xi(i=1,2,…,t-1),所以计算得:

在这一模拟系统中,前（t-1）个用户可以计算出相关信息,根据假设这（t-1）个用户可以计算出密钥hf（0）,攻击者A 将这前（t-1）个用户作为预言机,所以A 可以得知hf（0）。由于h=gα且f（0）=β,因此A 就可以计算出gαβ。这就与Diffie-Hellman 假设矛盾。

所以任何（t-1）个用户利用他们的子密钥不能通过计算恢复出陷门密钥。

其次,证明任何t个用户利用他们的子密钥能恢复出陷门密钥。假设（t-1）个用户的子密钥为Si（i ∈B，B=且|B|=t）,有:

综上,若Diffie-Hellman 假设成立,任何（t-1）个用户利用他们的子密钥不能通过计算恢复出陷门密钥,任何t个用户利用他们的子密钥能恢复出陷门密钥S,满足陷门安全性。

定理2(可编辑性).当具有编辑权的编辑者收到至少t个子密钥,正确恢复出陷门密钥后,编辑者进行编辑,并保证哈希一致性,即具有可编辑性。

证明.当编辑者收到至少t个子密钥Si（i∈B，B=且|B|=t）利用拉格朗日插值函数恢复得出的陷门密钥S。

由变色龙哈希的构建CH（m,r）=gmhrmod p,其中,h=gS为陷门公钥,S为陷门私钥,m为消息,r为随机数。当CH（m,r）=CH（m",r"）时,有进而得出m+Sr=因此

定理3(可追责性).当编辑后的内容广播到区块链中,用户可验证是否可被接受,在出现错误时,可向相关责任方进行追责,即具有可追责性。

证明.若方案具有追责性,即在用户验证到区块不被接受时,可以追责到相关责任方。即存在以下几种情况:

情况一: 链中用户可根据Leader 广播的公开信息,即投票信息的明文deci、投票结果result和随机数总和rdsum，判断用户的投票信息hi是否存在于Leader 所公开的信息中,计算rdsum=∑rdi等式是否成立,即是否存在与链中用户串通作弊,通过更改随机数和从而内定编辑者的可能性。若等式不成立,运行验证算法输出(0,1,1,1),表明Leader 所计算的随机数和不正确,则可追责到Leader;

情况二: 链中用户计算hashi=H（upki,rdsum）,并进行排序,得到计算hashmin=H（upkmin,rdsum）,判断=hashmin等式是否成立,若不成立,运行验证算法输出(1,0,1,1),表明编辑者的哈希值不是最小哈希值,实际并不具备编辑权,则可以追责到编辑者;

若上式成立,运行验证算法输出(1,1,0,1),表明链中用户发送的子密钥值为真,则可追责编辑者;若不成立,则为情况四;

情况四: 运行验证算法输出(1,1,0,0),表明子密钥值为假,则可追责子密钥值的拥有者。

综上所述,若编辑后的内容经公共验证后不被接受,则可根据验证算法的输出结果追究到Leader、编辑者、子密钥的拥有者等相关责任方,因此该方案具有可追责性。

本方案与文献[7,10,15]进行对比,如表1 所示。可以看出,本方案实现了可编辑性和可追责性,且不需要秘密通道,在陷门子密钥分发时保证了安全性。

表1 各方案对比Table 1 Comparison of the schemes

为了更好的验证本方案,通过仿真实验对方案中各阶段的算法进行性能评估,并在不同密钥长度的情况下进行时间对比。算法的运行时间为十次实验中去掉最大值和最小值后的平均运行时间。本实验用Java语言编写,实验所用环境具体配置如表2 所示。

表2 实验环境配置Table 2 Experimental environment configuration

本实验实现了秘密分享、投票、寻找编辑者、编辑、验证追责五个阶段的具体算法。其中,将系统用户设置为10 人,阈值为5 人,密钥长度为1024 比特。

方案中各阶段算法的运行时间如图2 所示,其中所用的密钥长度为1024 比特,Setup 算法运行时间为20317ms,即20.317s,虽然与其他步骤相比时间较长,但是在该算法中生成了系统参数、用户的公私钥对以及Leader 的公私钥对,仅执行一次,不用反复执行。密钥分发算法的运行时间1517ms,即1.517s;寻找编辑者算法运行时间仅630ms,即0.63s;恢复密钥算法运行时间仅 6.2ms;编辑算法运行时间265ms;验证算法仅需34ms。

图2 各算法的运行时间Figure 2 Running time of each algorithm

在密钥长度分别为512 比特、1024 比特以及2048 比特时,秘密分享阶段和投票阶段主要算法的运行时间如图3 所示。图中显示,在验证子密钥以及执行投票结果算法时,不同比特的算法运行时间大致相同。在2048 比特时,解密子密钥约为2s,投票约为3.7s,投票结果算法的执行时间约为94ms。

图3 秘密分享阶段和投票阶段算法的运行时间Figure 3 Running time of the algorithm for the secret sharing phase and the voting phase

在密钥长度分别为512 比特、1024 比特以及2048 比特时,寻找编辑者阶段、编辑阶段以及验证追责阶段算法的运行时间如图4 所示。图中显示,在寻找编辑者、恢复密钥以及进行编辑操作时,虽然密钥长度不同,但是算法的执行时间相近,在寻找编辑者的时间均不到1ms。在2048 比特时,恢复密钥时间约为8ms,验证追责时间约为145ms,时间成本较低。从整体看,这三个阶段算法的执行时间偏低,均为毫秒级,具有较高的效率。

图4 寻找、编辑以及验证追责阶段算法运行时间Figure 4 Finding,editing and verifying the running time of the recourse phase algorithm

本文提出了可编辑且可追责的区块链方案,可以对区块链中的非交易数据进行编辑,修改区块链中错误数据、更新陈旧数据,该编辑不影响前后区块。若该区块在编辑之后不被公共接受,可对编辑过程中的相关责任方进行追责,实现可追责性。该方案结合公开可验证秘密共享、零知识证明、变色龙哈希等工具,针对编辑中心化、编辑者的选定以及编辑块的追责问题,实现了编辑权的去中心化和编辑者的随机化以及已编辑块不能通过验证时的可追责性,且在陷门值分发时不需要秘密通道,满足陷门安全性。最后对方案进行了安全性证明与性能分析,该方案满足陷门安全性、可编辑性和可追责性,仿真实验表明方案中各算法效率较高。下一步工作将考虑编辑者的编辑权更新和方案效率提升之间的平衡和优化的问题。