黃龍霞，王良民，張功萱

（1.江蘇大學(xué)計算機科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013；2.南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院，江蘇 南京 210094）

1 引言

隨著各種電子錢包的發(fā)展，以數(shù)字貨幣為主體的貿(mào)易系統(tǒng)以不可阻擋的發(fā)展速度在生活中得到普及。傳統(tǒng)的集中式貿(mào)易系統(tǒng)在解決智能服務(wù)貿(mào)易時賦予中心實體過高的權(quán)力，而權(quán)力集中會帶來集權(quán)者濫用權(quán)力的問題。但簡單地從貿(mào)易系統(tǒng)中取消管理者，會使貿(mào)易系統(tǒng)因管理員的缺失而產(chǎn)生惡意貿(mào)易、處理不及時等情況[1]，進(jìn)而導(dǎo)致貿(mào)易系統(tǒng)可靠性以及安全性受到威脅。因此，如何設(shè)計分布式分中心的服務(wù)貿(mào)易模型、突破分布式架構(gòu)下的關(guān)鍵技術(shù)、確保貿(mào)易的可靠性和安全性成為亟待解決的問題[2]。

隨著區(qū)塊鏈技術(shù)的發(fā)展，越來越多的貿(mào)易系統(tǒng)引入該技術(shù)[3]。區(qū)塊鏈?zhǔn)侵敢幌盗谢诿艽a學(xué)原理而不基于中心節(jié)點的通用技術(shù)，具備去中心化、公開透明、去信任、匿名性和不可篡改性等屬性[4]，用于在點對點的分布式網(wǎng)絡(luò)中交換信息和數(shù)字資產(chǎn)。通過引入機制允許所有節(jié)點參與，對貿(mào)易進(jìn)行一致性協(xié)商使貿(mào)易民主化，在如物聯(lián)網(wǎng)、邊緣計算、政府管理、云計算、金融、醫(yī)療和物流等領(lǐng)域均得到了廣泛的應(yīng)用[5-6]。

基于區(qū)塊鏈技術(shù)建立貿(mào)易系統(tǒng)借助區(qū)塊鏈的去中心化和去信任的屬性，可以解決傳統(tǒng)貿(mào)易系統(tǒng)中存在的中心化集權(quán)的問題[7]，但完全去中心的公有鏈無法滿足企業(yè)的需求，同時在隱私和監(jiān)管方面均存在不足，因而實際應(yīng)用中企業(yè)往往選擇具備部分去中心和提供隱私保護及監(jiān)管的聯(lián)盟鏈[8]。在聯(lián)盟鏈中，買家發(fā)起的貿(mào)易需要網(wǎng)絡(luò)中的背書節(jié)點進(jìn)行背書簽名，只有在管理者確認(rèn)買家已收齊背書的情況下，買家才可以繼續(xù)執(zhí)行貿(mào)易提交的操作。在本文方案的無管理者貿(mào)易模型中，該環(huán)節(jié)的安全性與高效性由同態(tài)屬性與雙線性對[1]來保證。買家可自行驗證是否收齊背書簽名，且僅當(dāng)收齊背書簽名，買家在后續(xù)階段中能夠通過驗證。

同態(tài)屬性還可以實現(xiàn)大量信息的高效驗證，鑒于區(qū)塊鏈中區(qū)塊的設(shè)置，每個區(qū)塊存儲的信息有限，因此需借助線上驗證?線下存儲的模式[9]。隨著時間的推移，貿(mào)易系統(tǒng)會以不可預(yù)估的速度產(chǎn)生大量數(shù)據(jù)，因此需要考慮如何高效驗證線下存儲的貿(mào)易信息的正確性，同時還需要在驗證過程中確保數(shù)據(jù)信息的隱私不被泄露。公開審計技術(shù)借助挑戰(zhàn)?應(yīng)答協(xié)議[10]，能實現(xiàn)大量數(shù)據(jù)的安全與高效驗證，以及基于區(qū)塊鏈的貿(mào)易系統(tǒng)的安全性與高效驗證。為了提高驗證效率并確保驗證安全性，本文方案在貿(mào)易驗證階段引入了公開審計技術(shù)。

除了安全性，基于區(qū)塊鏈的貿(mào)易系統(tǒng)中的部分去中心化帶來的系統(tǒng)不穩(wěn)定問題也亟須處理，系統(tǒng)中貿(mào)易處理不及時、參與者發(fā)布惡意貿(mào)易等問題均會降低貿(mào)易系統(tǒng)的可靠性。所以，基于區(qū)塊鏈技術(shù)的貿(mào)易系統(tǒng)需要合理的激勵機制[11]。雖然聯(lián)盟鏈中的節(jié)點是被指定的或者為利益共同體，但是對買家的正確行為進(jìn)行獎勵以及對惡意行為進(jìn)行懲罰，有利于減少惡意貿(mào)易出現(xiàn)的機會，使貿(mào)易系統(tǒng)良化。本文方案采取一種快速的判定方法，該方法根據(jù)實體行為對信譽值進(jìn)行加分或減分，對信譽值高的買家所發(fā)起的貿(mào)易優(yōu)先處理，確保系統(tǒng)穩(wěn)定的同時鼓勵實體執(zhí)行正確操作。

本文方案中去管理者的貿(mào)易系統(tǒng)流程能夠同時從可靠性和安全性兩方面來提高基于區(qū)塊鏈的貿(mào)易系統(tǒng)的質(zhì)量。本文的貢獻(xiàn)如下。

1) 實現(xiàn)了去管理者的安全背書認(rèn)證，借助同態(tài)屬性，使用戶在收到所有背書節(jié)點的背書簽名后可自行生成有效的背書簽名，且支持高效密鑰更新。

2) 實現(xiàn)了高效且安全的批量貿(mào)易驗證，引入公開審計技術(shù)，實現(xiàn)驗證階段的批量高效簽名驗證，且不需要使用其他實體的私有信息。

3) 保證了貿(mào)易系統(tǒng)的可靠性，采用基于信譽的激勵機制對任務(wù)進(jìn)行排序，減少高信譽用戶等待時間并周期性對所有節(jié)點的信譽值進(jìn)行定量評估。

針對中心實體或者管理者所導(dǎo)致的權(quán)限集中與濫用權(quán)力的問題，公有鏈系統(tǒng)的結(jié)構(gòu)采取完全去中心化[12]，開放性在帶給用戶獲取鏈上數(shù)據(jù)權(quán)限的同時給隱私保護和監(jiān)督帶來威脅；私有鏈在解決如上問題時會引起信息孤島的問題[8]。因而，兼具管理、認(rèn)證、授權(quán)、監(jiān)控、審計的聯(lián)盟鏈成為貿(mào)易系統(tǒng)的首選，但為了適應(yīng)無管理者安全模型，還需要引入新的技術(shù)來實現(xiàn)安全的去中心。

自2007年Ateniese等[13]基于RSA（Rivest-Shamir-Adleman）算法提出非可信存儲環(huán)境中的可證明數(shù)據(jù)持有協(xié)議，使用了同態(tài)加密和雙線性對技術(shù)。之后基于該協(xié)議，多種公開審計方案應(yīng)用于云環(huán)境[1]、無線體域網(wǎng)[14]等領(lǐng)域以確保遠(yuǎn)程數(shù)據(jù)的正確性。文獻(xiàn)[15]加強了原有完整性驗證方法，解決了驗證者使用收集的證明信息獲取用戶身份隱私或者數(shù)據(jù)隱私的問題。Wang 等[16]結(jié)合區(qū)塊鏈技術(shù)和RSA 簽名實現(xiàn)高效的私有數(shù)據(jù)持有證明，系統(tǒng)管理者負(fù)責(zé)公有參數(shù)的設(shè)定與私有信息的分發(fā)。以上方法可提高貿(mào)易系統(tǒng)中的海量貿(mào)易信息的驗證效率，同時批量驗證允許驗證者同時處理多個審計任務(wù)請求，大大降低驗證開銷[17]。為防止驗證者在驗證過程中通過線性結(jié)合收到的驗證信息來恢復(fù)出信息，驗證過程中的隱私保護不容忽視，對此，文獻(xiàn)[18]使用盲化技術(shù)對發(fā)送的信息進(jìn)行保護，文獻(xiàn)[1]使用聯(lián)盟鏈對驗證者進(jìn)行管理與控制，文獻(xiàn)[19]設(shè)計了一個基于物流行業(yè)的區(qū)塊鏈應(yīng)用與監(jiān)管系統(tǒng)，用分級分層模式實現(xiàn)了具有隱私保護的可追溯。

聯(lián)盟鏈為貿(mào)易系統(tǒng)提供管理、認(rèn)證、授權(quán)、監(jiān)控、審計等功能，但背書節(jié)點具備過于集中的權(quán)力。針對集權(quán)化問題，F(xiàn)u等[20]指出這種設(shè)置將導(dǎo)致權(quán)力濫用和誣陷等問題，并提出將單個管理者的身份認(rèn)證權(quán)力分發(fā)給若干管理者共同維護，實現(xiàn)身份追溯權(quán)力的分發(fā)。Huang等[1]借助秘密共享技術(shù)將權(quán)力分發(fā)給每個參與用戶，直接取消管理者，但是由于全員參與的設(shè)定，該方案的計算與通信開銷均較高，且每次的密鑰更新均涉及所有參與實體，這導(dǎo)致不支持高效的成員動態(tài)。而貿(mào)易系統(tǒng)中的動態(tài)性也是不可忽視的，因此以上方法不能直接應(yīng)用于無管理者的貿(mào)易系統(tǒng)。

現(xiàn)有的激勵機制主要有基于互惠機制的方案、基于電子貨幣的機制和基于信譽的激勵機制?；诨セ輽C制的方案根據(jù)用戶的貢獻(xiàn)度來匹配價值相當(dāng)?shù)姆?wù)[21]，但系統(tǒng)中的實體需要建立長期的互惠關(guān)系。最廣為人知的激勵策略是基于貨幣的機制，通過將記賬節(jié)點獲取的獎勵定期減半[22]來鼓勵礦工挖礦，但該激勵機制基于公有區(qū)塊鏈，無法直接應(yīng)用于本文方案。基于電子貨幣的機制需要集權(quán)的可信中心，均不適用于無管理者貿(mào)易系統(tǒng)?；谛抛u的激勵機制評估用戶的信譽值，信譽值高的用戶可獲得更好的服務(wù)。同時，根據(jù)參與實體的貿(mào)易表現(xiàn)及時地進(jìn)行信譽更新也是很有必要的[23]。

2 預(yù)備知識

2.1 雙線性對

群G1和G2代表2 個q階乘法循環(huán)群，g是群G1的生成元，雙線性對e:G1×G1→G2具備如下特性。

1) 對于群G1中每個元素u,v∈G1和素數(shù)域中每個元素a,b∈Zq，有e(u a,vb)=e(u,v)ab=e(ub,va)。

2) 對于群G1中的每個元素u1,u2,v∈G1，可得到e(u1u2,v)=e(u1,v)e(u2,v)。

3)e是可計算的且是不可解的，也就是說e是非退化的，即e(g,g) ≠ 1。

本文方案中密碼算法安全性依賴于2 個困難問題，具體如下。

1) DL（discrete logarithm）問題。給定循環(huán)群的生成元g和公鑰Y=g x∈G1，計算出私鑰x∈Zq在計算上是困難的。

2) CDH（computational Diffie-Hellman）問題。給定元組在未知α,β的情況下計算出在計算上是不可行的。

2.2 區(qū)塊鏈

比特幣熱潮之后，其背后的技術(shù)支持?區(qū)塊鏈技術(shù)進(jìn)入人們的視野，并在工業(yè)界與學(xué)術(shù)界均成為熱點。從嚴(yán)格定義上來說，區(qū)塊鏈分為3 種類型：公有鏈、私有鏈和聯(lián)盟鏈。公有鏈上的操作是公開的；私有鏈?zhǔn)潜容^封閉的局域網(wǎng)；聯(lián)盟鏈由參與實體共同維護并提供對參與成員的管理、認(rèn)證、授權(quán)、監(jiān)控、審計等全套安全管理功能。聯(lián)盟鏈?zhǔn)且环N特定的區(qū)塊鏈，具有多個預(yù)選節(jié)點，從而以適中的成本建立分布式共享數(shù)據(jù)庫[24]。

2.3 公開審計技術(shù)

作為公開審計技術(shù)的核心內(nèi)容，挑戰(zhàn)?應(yīng)答協(xié)議使用4 個步驟完成第三方驗證，借助挑戰(zhàn)–應(yīng)答協(xié)議，公開審計使驗證者在不知道用戶私鑰的情況下使用公開信息對遠(yuǎn)程存儲的信息進(jìn)行完整性驗證，且不需要下載所有存儲的信息。公開審計模型如圖1 所示。

圖1 公開審計模型

如圖1 所示，用戶群中的實體可自行存儲/下載信息，可通過執(zhí)行挑戰(zhàn)–應(yīng)答協(xié)議驗證存儲至云服務(wù)器的數(shù)據(jù)。首先用戶給驗證者發(fā)送驗證請求；收到驗證請求的驗證者發(fā)送挑戰(zhàn)信息給云服務(wù)器；云服務(wù)器根據(jù)挑戰(zhàn)信息使用本身存儲內(nèi)容計算生成證明信息并返回給驗證者；驗證者在驗證證明信息的正確性后將結(jié)果返還給用戶。具體的過程可參考文獻(xiàn)[10]。

2.4 同態(tài)認(rèn)證技術(shù)

同態(tài)性在實現(xiàn)數(shù)據(jù)密文可計算的同時能保證明文不可見，即某一信息先計算后加密與先加密后計算所得到的結(jié)果是相同的。同態(tài)認(rèn)證技術(shù)便基于該屬性，其是公開審計技術(shù)實現(xiàn)安全抽樣驗證的基礎(chǔ)。該技術(shù)主要應(yīng)用了同態(tài)性的2 種屬性：無塊驗證與不可延展性[14]。其中，無塊驗證利用了同態(tài)屬性使驗證者在驗證文件完整性時不需要下載該文件；不可延展性可有效防止不良實體使用線性結(jié)合已有的信息生成組合文件的簽名，除非該實體竊取了正確的簽名私鑰。

2.5 基于信譽的激勵機制

在區(qū)塊鏈貿(mào)易系統(tǒng)中，為了確保貿(mào)易系統(tǒng)的穩(wěn)定性與及時性，需要加入激勵機制以加速貿(mào)易的確認(rèn)與打包。基于信譽的激勵機制對積極參與的實體進(jìn)行信譽獎勵，信譽值高的實體能夠在貿(mào)易打包過程中獲取較高的優(yōu)先級，以此激勵實體執(zhí)行正確的操作。

3 系統(tǒng)模型

3.1 安全交互模型

如圖2 所示，本文方案的安全交互模型包含3 種實體：認(rèn)證中心、貿(mào)易節(jié)點群和聯(lián)盟鏈網(wǎng)絡(luò)。認(rèn)證中心負(fù)責(zé)所有參與者的注冊與登錄；貿(mào)易節(jié)點群由買家與賣家組成；聯(lián)盟鏈網(wǎng)絡(luò)中有3 種節(jié)點，分別是背書節(jié)點、排序節(jié)點和記賬節(jié)點，這3 種節(jié)點分別負(fù)責(zé)貿(mào)易背書、貿(mào)易排序和貿(mào)易驗證。

本文方案的安全交互模型包含10 個步驟，具體如下。

步驟1用戶向認(rèn)證中心注冊、登錄，同時信譽值賦值。

步驟2買家向背書節(jié)點提交貿(mào)易提案。

步驟3背書節(jié)點基于信譽進(jìn)行背書簽名。

步驟4背書節(jié)點返回貿(mào)易模擬。

步驟5買家向排序節(jié)點提交貿(mào)易。

步驟6排序節(jié)點執(zhí)行排序共識算法。

步驟7排序節(jié)點在全網(wǎng)廣播區(qū)塊。

步驟8記賬主節(jié)點對貿(mào)易結(jié)果進(jìn)行批量驗證。

步驟9全網(wǎng)同步區(qū)塊鏈信息。

步驟10記賬主節(jié)點根據(jù)驗證結(jié)果進(jìn)行信譽減分及終止貿(mào)易，全網(wǎng)節(jié)點進(jìn)行信譽反饋與更新。

3.2 設(shè)計目標(biāo)

為了實現(xiàn)安全的去管理者貿(mào)易系統(tǒng)，本文方案需要實現(xiàn)以下目標(biāo)。

圖2 安全交互模型

1) 無管理者。在背書簽名階段，買家可自行生成有效的背書簽名。

2) 正確性。若實體誠實地執(zhí)行簽名/協(xié)議，一定能夠通過完整性驗證。

3) 不可偽造性。在沒有簽名者的私鑰的情況下，其他實體無法偽造正確的簽名。

4) 抗重放攻擊。在正確的數(shù)據(jù)塊被損壞的情況下，存儲實體無法進(jìn)行重放攻擊。

5) 隱私保護。在驗證過程中，驗證者無法從收到的驗證信息中獲取敏感信息。

6) 高效性。在驗證貿(mào)易信息和判斷事件成功時均能實現(xiàn)快速驗證。

7) 動態(tài)性。當(dāng)背書節(jié)點群發(fā)生變化時，系統(tǒng)能夠快速實現(xiàn)密鑰更新。

4 貿(mào)易系統(tǒng)的無管理者安全模型

本文基于區(qū)塊鏈技術(shù)提出的貿(mào)易系統(tǒng)中的安全模型包含3 個階段：背書階段、貿(mào)易階段和信譽管理階段，具體包含8 個算法：用戶注冊與登錄、貿(mào)易提案提交、基于信譽的背書、買家提交貿(mào)易、排序共識、貿(mào)易結(jié)果驗證、不良貿(mào)易節(jié)點懲罰和信譽反饋與更新。為便于讀者理解，本文所用符號及其含義如表1 所示。

4.1 背書階段

算法1用戶注冊與登錄。該算法由認(rèn)證中心運行，輸入為用戶的身份信息，輸出為買家用戶的初始化系數(shù)。具體執(zhí)行過程如下。

認(rèn)證中心為系統(tǒng)中每個用戶P隨機從素數(shù)域中選取sk∈Zq作為用戶的私鑰，使用循環(huán)群G的生成元g計算公鑰pk=gsk∈G，公私密鑰對(sk,pk)中的私鑰sk 通過安全通道發(fā)送給對應(yīng)用戶P，公鑰pk 為系統(tǒng)公開信息；用戶P的信譽值被初始化為θ；每個背書節(jié)點的私鑰為；集合Δ為背書節(jié)點的集合；背書簽名的公鑰為

算法2貿(mào)易提案提交。該算法由買家實體運行，輸入為買家的密鑰信息和貿(mào)易信息，輸出為貿(mào)易提案的參數(shù)列表txa，具體執(zhí)行過程如下。

首先，買家Pa通過連接到背書節(jié)點來與區(qū)塊鏈網(wǎng)絡(luò)進(jìn)行通信；然后買家Pa使用ska對貿(mào)易信息m加密生成客戶端簽名σm，生成參數(shù)列表包含身份標(biāo)識IDa，合約標(biāo)識與方法SCa，貿(mào)易信息m，時間戳T，客戶端簽名σm；最后買家Pa將貿(mào)易提案的txa發(fā)送給背書節(jié)點。

算法3基于信譽的背書。該算法由背書節(jié)點運行，輸入為貿(mào)易提案和背書節(jié)點的密鑰，輸出為貿(mào)易提案的模擬執(zhí)行結(jié)果，具體執(zhí)行過程如下。

4.2 貿(mào)易階段

算法4買家提交貿(mào)易。該算法由買家運行，輸入為用戶的身份信息與貿(mào)易模擬結(jié)果，輸出為貿(mào)易簽名信息，具體執(zhí)行過程如下。

首先，買家Pa將背書節(jié)點群Δ里所有背書節(jié)點返回的貿(mào)易提案初模擬結(jié)果進(jìn)行整合，計算得到簽名信息若未收集到足夠的貿(mào)易提案初模擬結(jié)果，貿(mào)易失??；然后，買家Pa將包含貿(mào)易模擬結(jié)果、最終背書簽名信息以及自身節(jié)點信息的貿(mào)易提案模擬結(jié)果{rm,ρe,Pa}上傳至半可信云服務(wù)器[1]，云服務(wù)器驗證是否成立，若成立則接收該信息進(jìn)行存儲；最后，買家Pa將貿(mào)易m相關(guān)信息提交給排序節(jié)點群中的排序節(jié)點PO，并附上排序節(jié)點的身份標(biāo)識idO。

算法5排序共識。該算法由排序節(jié)點運行，輸入為若干有效背書，輸出為打包好的貿(mào)易區(qū)塊，具體執(zhí)行過程如下。

首先，排序節(jié)點PO根據(jù)某一時段中來自貿(mào)易群組若干買家產(chǎn)生的共計N條貿(mào)易信息，即N條有效背書，記為使用式(1)對每個貿(mào)易信息的背書進(jìn)行驗證，其中，聚合而成。

其中，H(?)表示哈希函數(shù)，pke表示背書節(jié)點的公鑰，g表示循環(huán)群G的生成元，e(?)表示雙線性對運算；排序節(jié)點PO計算排序值其中，Tj表示貿(mào)易信息的時間戳值，Θj表示貿(mào)易信譽值，αj表示共識算法中時間戳的權(quán)重值，βj表示共識算法里面貿(mào)易信譽值的權(quán)重值，αj和βj均由系統(tǒng)按照實際需求設(shè)定；計算貿(mào)易的賣家PA的信譽值其中，q表示貿(mào)易買家信譽權(quán)重值，由系統(tǒng)按照實際需求設(shè)定；θa表示貿(mào)易買家Pa的信譽值；排序節(jié)點PO將收到的所有貿(mào)易信息按照計算得到的排序值νj的大小進(jìn)行排序，完成貿(mào)易打包。最后，排序節(jié)點PO將打包好的貿(mào)易區(qū)塊發(fā)送給記賬主節(jié)點PC，并附上記賬節(jié)點身份標(biāo)識idC。

算法6貿(mào)易結(jié)果驗證。該算法由記賬主節(jié)點運行，輸入為打包好的貿(mào)易區(qū)塊，輸出為驗證結(jié)果，具體執(zhí)行過程如下。

記賬主節(jié)點PC為記賬節(jié)點群選取的群組中信譽值最高的記賬節(jié)點PC。首先，記賬主節(jié)點PC將排序節(jié)點發(fā)送的貿(mào)易區(qū)塊中的信息進(jìn)行驗證，使用同態(tài)認(rèn)證的同態(tài)特性對若干信息同時進(jìn)行驗證，即驗證式(2)是否成立。驗證分為3 個步驟：1) 記賬主節(jié)點PC選取一個由c個隨機數(shù)組成的集合I來定位本次驗證向云服務(wù)器挑戰(zhàn)的c個貿(mào)易，集合I（即I為挑戰(zhàn)貿(mào)易的下標(biāo)集合）中每個元素選擇隨機數(shù)生成內(nèi)容為的集合R，將集合發(fā)送給存儲貿(mào)易的云服務(wù)器；2) 云服務(wù)器根據(jù)集合R和存儲的信息計算和并將證明值(S,P)返還給記賬主節(jié)點；3) 記賬主節(jié)點根據(jù)收到的信息來驗證式(2)。

其中，J為集合I中每個下標(biāo)對應(yīng)貿(mào)易信息的買家的身份集合，IDδ為集合中買家的身份標(biāo)識，和ργ分別為貿(mào)易背書及其簽名。

4.3 信譽管理階段

算法7不良貿(mào)易節(jié)點懲罰。該算法由記賬主節(jié)點運行，輸入為打包好的貿(mào)易區(qū)塊，若驗證不通過輸出新的信譽值，具體執(zhí)行過程如下。

記賬主節(jié)點PC丟棄驗證不通過的貿(mào)易區(qū)塊，根據(jù)無效信息對跟該貿(mào)易相關(guān)的買家、賣家、背書節(jié)點、排序節(jié)點進(jìn)行信譽減分。設(shè)原信譽值θi為實體Pi與記賬主節(jié)點PC進(jìn)行交互的事件集合為集合E中事件的權(quán)重集合記為集合E中事件成功與否的結(jié)果集合記為取1 時表示成功，取0 時表示失敗；記賬主節(jié)點PC計算若R=0，則說明實體Pi進(jìn)行了不良操作，因此需要對實體Pi進(jìn)行信譽值減分，得到新信譽值wi表示事件ei對應(yīng)的權(quán)重值。然后，重復(fù)上述步驟直至所有參與實體完成信譽更新。

算法8信譽反饋與更新。該算法由記賬主節(jié)點運行，輸入為打包好的貿(mào)易區(qū)塊，若驗證不通過則輸出為新的信譽值，具體執(zhí)行過程如下。

首先，記賬主節(jié)點PC計算R=v1∧v2∧ …∧vn，若R=1則說明實體Pi對所有貿(mào)易進(jìn)行了誠實操作，實體Pi進(jìn)行信譽值加分重復(fù)上述步驟直至所有參與實體完成信譽更新；全網(wǎng)同步信譽積分后，新的信譽值θ'i作為該節(jié)點Pi下次貿(mào)易成功的預(yù)測值。

5 安全證明和性能分析

5.1 安全性證明

為了證明本文方案的安全性，本節(jié)從正確性、不可偽造性、抗重放攻擊、隱私保護、安全密鑰更新方面進(jìn)行證明。

1) 正確性。按照背書算法生成的簽名能夠通過簽名驗證，正確存儲了文件信息的云能夠通過驗證。

由此可知，式(2)成立，即說明云服務(wù)器正確存儲了相關(guān)信息。

證畢。

2) 不可偽造性。除了合法的背書節(jié)點，其他實體無法生成有效的背書簽名。

證明假設(shè)算法A是一個(t',ε')算法，元組(t',ε')表示算法A以優(yōu)勢ε'偽造能夠通過驗證的簽名的運行時間是t'。敵手一共最多可以執(zhí)行qH次哈希查詢和qS次簽名查詢。算法B是一個(t,ε)算法，即算法可在時間t內(nèi)以優(yōu)勢ε解決CDH 問題，其中其中，是冪運算的時間。

算法B使用元組構(gòu)造公鑰，為了生成簽名，敵手借助算法B使用算法A進(jìn)行哈希查詢和簽名查詢。對于每個貿(mào)易背書信息的哈希查詢，算法通過擲硬幣，以px概率擲出0。如果擲出0，算法則選取隨機數(shù)o∈Zp并返回否則返回h=go。因為隨機數(shù)o也是從域Zq隨機選取出的，所以算法無法區(qū)分?jǐn)S硬幣的結(jié)果。

針對敵手的每次簽名查詢，算法均進(jìn)行擲硬幣，簽名查詢的擲硬幣結(jié)果與哈希查詢的擲硬幣結(jié)果是相互獨立的。如果擲硬幣結(jié)果為0，則說明敵手要哈希查詢的結(jié)果來攻擊公鑰，那么算法B退出；否則，算法B返回簽名查詢結(jié)果，其中h'=g b go。

由于CDH 問題是難解，因此算法B中的優(yōu)勢概率ε是極低的，也就是說敵手在未知私鑰的情況下無法偽造正確的簽名。

證畢。

3) 抗重放攻擊。本文方案能夠抵抗重放攻擊。

證明云存儲服務(wù)器只有在使用本身存儲的正確的信息并按照挑戰(zhàn)?應(yīng)答協(xié)議計算出證明信息的情況下，才能夠通過貿(mào)易結(jié)果驗證階段的驗證。

證畢。

4) 隱私保護。記賬主節(jié)點在驗證貿(mào)易信息的正確性時無法從驗證信息中獲取貿(mào)易信息。

證明在貿(mào)易結(jié)果驗證階段，記賬主節(jié)點選取的挑戰(zhàn)信息為其中sγ為隨機數(shù)；記賬主節(jié)點從服務(wù)器得到的證明信息(S,P)，其中

挑戰(zhàn)集合的大小為|I|，假設(shè)貿(mào)易信息所在域包含q個元素，如果使用窮舉法從證明信息中獲取貿(mào)易信息和背書簽名需要來驗證q|I|次。而域的大小是一個大素數(shù)，隨機集合I中隨機數(shù)個數(shù)的選取決定了破解的難度，在文獻(xiàn)[10]中詳述了集合個數(shù)的選取原則，在此不做累述。在性能分析階段，本文方案選取300 或者460 個隨機數(shù)進(jìn)行挑戰(zhàn)，在q為大素數(shù)的基礎(chǔ)上，窮舉法的選項接近無窮大，因此，本文方案在貿(mào)易驗證階段確保記賬主節(jié)點無法在驗證過程中獲取貿(mào)易信息。

證畢。

5) 安全密鑰更新。當(dāng)背書節(jié)點加入或者退出貿(mào)易系統(tǒng)時，背書簽名密鑰的更新是安全的。

證畢。

5.2 性能分析

本節(jié)首先分析本文方案的計算和通信開銷，然后通過與IPANM（incentive public auditing scheme for non-manager）方案對比來評估本文方案的性能，此外本節(jié)還對比了普通驗證與批量驗證的性能。為了方便讀者閱讀，表2 列出了本節(jié)中所用符號的含義。

表2 密碼運算符號的含義

5.2.1計算開銷

計算開銷主要集中在貿(mào)易方法中算法4 當(dāng)中的背書簽名的合成與算法6 貿(mào)易結(jié)果的驗證。在背書簽名合成階段，買家將收集的來自各個背書節(jié)點的簽名進(jìn)行整合計算，所需開銷為。因為驗證背書簽名時使用的驗證公鑰也需要計算開銷，即為，所以背書簽名的合成的總計算開銷為

表3 計算開銷

5.2.2通信開銷

本文方案的通信開銷來自算法2 中貿(mào)易提案的提交、算法3 中背書簽名的匯總、算法4 中買家提交貿(mào)易和算法6 中貿(mào)易驗證階段中協(xié)議交互。如表4所示，算法2 最后提交貿(mào)易提案其中，的長度均為|id|，信息m的長度為，簽名σm的長度為|G1|，故算法2的通信開銷為

表4 通信開銷

買家在運行算法 4 之后需要提交信息{rm,ρe,Pa}提交，其中模擬結(jié)果rm的長度為|Zq|，背書簽名ρe的長度為|G1|，身份信息Pe的長度為|id|。所以算法4 的通信開銷為（|id| +|Zq| +2|G1|）。

在實現(xiàn)貿(mào)易結(jié)果驗證的算法6 中，涉及通信開銷的有兩步：挑戰(zhàn)信息發(fā)送和證明信息發(fā)送。挑戰(zhàn)信息為集合R={＜γ,sγ＞}γ∈I，需要的通信開銷為2c|Zq|，證明信息(S,P)長度為2|G1|。因此算法6的通信開銷為2c|Zq| +c|G1|。

5.2.3實驗結(jié)果

在實驗仿真中，本文方案使用PBC（pairing based cryptography）[25]庫來模擬所有方案中的密碼操作，所有的實驗均在Ubuntu 系統(tǒng)中進(jìn)行，實驗次數(shù)不少于1 000 次，該系統(tǒng)配置為Intel Core i7 3.40 GHz。為了確保檢測概率高于99%，可以在應(yīng)用時設(shè)置挑戰(zhàn)塊數(shù)c=460。本文將和|G1|的長度設(shè)置為160 bit，|id|的長度設(shè)置為40 bit，n為參與實體的總個數(shù)，根據(jù)秘密共享的最低安全性要求，設(shè)置門限值。為解決管理者集權(quán)帶來的問題，IPANM[1]將管理員的權(quán)限分發(fā)給每個普通用戶，由若干用戶共同完成管理員的工作，從而取消管理員。本文方案受IPANM 的啟發(fā)，在聯(lián)盟鏈中實現(xiàn)多背書節(jié)點子簽名的安全高效聚合。

背書簽名的生成。本文方案中為了貿(mào)易系統(tǒng)的安全性，采取多背書節(jié)點對同一貿(mào)易進(jìn)行背書的方法，并且取消管理者進(jìn)行背書聚合，以避免權(quán)力集中的管理者濫用權(quán)力。本文方案中，買家在收集齊所有背書節(jié)點的背書之后，自行聚合成最終背書簽名，保證系統(tǒng)安全與背書簽名安全的同時會產(chǎn)生的計算額外開銷。

本文方案中背書簽名生成的計算開銷隨背書節(jié)點個數(shù)的增加呈線性增長，但是額外開銷的單位為微秒（μs），考慮到該方案區(qū)塊鏈環(huán)境下不需要搜索確認(rèn)背書簽名是否收集齊，該部分開銷是在可接受范圍內(nèi)的，尤其在網(wǎng)絡(luò)環(huán)境不佳的情況下。如圖3 所示，本文方案的計算開銷明顯優(yōu)于IPANM 方案，原因是在密鑰協(xié)商階段，每個用戶均需參與并進(jìn)行3輪計算。

圖3 簽名聚合階段的計算開銷對比

圖4 簽名聚合階段的通信開銷對比

圖5 簽名聚合分階段的通信開銷對比

高效驗證。基于雙線性對的屬性，本文方案中的貿(mào)易驗證可實現(xiàn)聚合驗證，即批驗證，因此比普通驗證的一一驗證節(jié)省了可觀的計算開銷。

如圖6 所示，相比于普通驗證，批驗證具備明顯的優(yōu)勢。當(dāng)挑戰(zhàn)塊數(shù)c=460 時，錯誤檢測率可達(dá)至少99%，對應(yīng)普通驗證的計算開銷為5.737 12 ms，批驗證的計算開銷為0.035 458 ms，僅為普通驗證的0.6%。主要原因是執(zhí)行雙線性對計算的開銷過大，普通驗證執(zhí)行的雙線性對次數(shù)與挑戰(zhàn)塊數(shù)成正比，而批驗證中的雙線性對計算次數(shù)獨立于挑戰(zhàn)塊數(shù)。

圖6 貿(mào)易驗證階段的普通驗證與批驗證對比

6 結(jié)束語

在傳統(tǒng)的集中式貿(mào)易系統(tǒng)中，集中式管理者擁有過高的權(quán)力，本文提出面向區(qū)塊鏈貿(mào)易的去管理者安全模型，同時解決因去管理者所造成的不安全背書、貿(mào)易時延以及貿(mào)易低效等問題?；谛抛u的激勵機制保證了誠實用戶貿(mào)易的及時性，安全分析證明引入同態(tài)加密和公開審計技術(shù)的無管理者安全貿(mào)易模型具備正確性、不可偽造性、抗重放攻擊、隱私保護和安全密鑰更新。性能分析表明了本文方案在計算開銷與通信開銷上均具有明顯優(yōu)勢。綜上，本文方案實現(xiàn)了貿(mào)易系統(tǒng)的安全性和可靠性。