陳琳韋婭

（中國(guó)農(nóng)業(yè)銀行湖南省分行科技與產(chǎn)品管理部，湖南 長(zhǎng)沙 410000）

1 數(shù)學(xué)原理

區(qū)塊鏈系統(tǒng)中使用哈希函數(shù)輸出的散列來(lái)表示區(qū)塊鏈的狀態(tài)，它為區(qū)塊鏈的不可篡改性提供了密碼學(xué)上的保障。該文設(shè)計(jì)了基于同態(tài)變色龍哈希的陷門分配和恢復(fù)方案。它使用變色龍哈希函數(shù)取代區(qū)塊鏈中的普通哈希函數(shù)（sha256），既可以利用哈希函數(shù)的特性保障區(qū)塊鏈的安全，又可以利用陷門對(duì)區(qū)塊鏈進(jìn)行編輯。而加入了同態(tài)性的變色龍哈希函數(shù)使數(shù)據(jù)的處理者在對(duì)陷門進(jìn)行管理時(shí)只能接觸到加密處理后的數(shù)據(jù)，無(wú)法訪問(wèn)數(shù)據(jù)本身，實(shí)現(xiàn)了分離處理權(quán)和所有權(quán)的目標(biāo)，保護(hù)了數(shù)據(jù)隱私，提高了數(shù)據(jù)的安全性。

1.1 同態(tài)性原理

代數(shù)領(lǐng)域的同態(tài)性可以為4種，加法同態(tài)、乘法同態(tài)、減法同態(tài)和除法同態(tài)。Ron Rivest和Leonard Adleman在1978年率先提出了同態(tài)加密的概念。

要滿足加法同態(tài)加密函數(shù)就需要滿足（）+（）=（+）。其中，（）、（）為自變量函數(shù)；（+）為自變量和的函數(shù)。

基于復(fù)合剩余類困難問(wèn)題的Paillier 算法是對(duì)加法同態(tài)的。滿足乘法同態(tài)的加密函數(shù)需要滿足（）×（）=（×）。其中，（×）為自變量積的函數(shù)。

基于大素?cái)?shù)的分解因子難題的RSA算法對(duì)乘法操作是同態(tài)的。一個(gè)同時(shí)滿足加法同態(tài)和乘法同態(tài)的同態(tài)加密算法稱為代數(shù)同態(tài)，也叫全同態(tài)。

1.2 基于離散對(duì)數(shù)的變色龍哈希函數(shù)

可以將變色龍哈希函數(shù)的安全性規(guī)約到密碼學(xué)體系的數(shù)學(xué)難題，解決算法有基于離散對(duì)數(shù)困難性的算法、基于大整數(shù)分解困難性的算法。密碼學(xué)中的離散對(duì)數(shù)問(wèn)題如下：限定循環(huán)群={g|=0，1，2，…}及其生成元和階=||（為次方，為整數(shù)）；給定整數(shù)，計(jì)算元素=很容易（為次方，為整數(shù)）；給定元素，計(jì)算整數(shù)使=非常困難，不存在多項(xiàng)式時(shí)間算法。

1.3 同態(tài)變色龍哈希算法

選擇系統(tǒng)安全參數(shù)，根據(jù)系統(tǒng)安全參數(shù)選取素?cái)?shù)、，令素?cái)?shù)如公式（1）所示。

選取1個(gè)階為、生成元為的GDH群。GDH群對(duì)DDH問(wèn)題是簡(jiǎn)單的，對(duì)CDH問(wèn)題是困難的。

基于系統(tǒng)的公開參數(shù)，計(jì)算消息的變色龍哈希值，如公式（3）所示。

式中：為信息，∈Z

其中，滿足公式（5）。

該算法滿足以下4個(gè)性質(zhì)：1） 有效計(jì)算。對(duì)給定的公鑰、私鑰、消息以及隨機(jī)值對(duì)（，）來(lái)說(shuō)，在多項(xiàng)式時(shí)間內(nèi)可以計(jì)算哈希值H（，）。2） 抗碰撞性。沒(méi)有一個(gè)有效的多項(xiàng)式時(shí)間算法在僅輸入公鑰后就可以找到消息和隨機(jī)數(shù)對(duì)（，）和（，）（（），使公式（6）成立）。3） 陷門沖突。能找到一個(gè)有效的概率多項(xiàng)式算法，在輸入陷門密鑰時(shí)，任何一對(duì)消息、隨機(jī)數(shù)對(duì)（，）和任意的消息都能找到隨機(jī)數(shù)，使公式（6）成立且滿足公式（7）。4） 一致性。從隨機(jī)選擇的中無(wú)法得到任何關(guān)于的信息。

2 方案原理

普通區(qū)塊鏈的區(qū)塊鏈接方式通常由1個(gè)三元組＜，，＞組成（為父區(qū)塊的交易哈希值，∈{0，1}；為交易根哈希值，∈{0，1}；為算法計(jì)數(shù)器，∈）。當(dāng)?shù)V工成功地計(jì)算出解密該區(qū)塊相關(guān)數(shù)學(xué)題的答案后，便根據(jù)相應(yīng)的路由分配算法通過(guò)廣播的形式在全網(wǎng)廣播新的區(qū)塊。每個(gè)收到新區(qū)塊的節(jié)點(diǎn)都會(huì)根據(jù)哈希算法：{0，1}{0，1}（變色龍哈希函數(shù)）對(duì)區(qū)塊的有效性進(jìn)行驗(yàn)證，有效的區(qū)塊須滿足條件（（，，）＜）（＜）=1。

不同于普通區(qū)塊鏈?zhǔn)枪潭ǖ墓Ｒ蕾囮P(guān)系，可編輯區(qū)塊鏈的每個(gè)區(qū)塊單元之間有1把可以打開的“鎖”。如果沒(méi)有對(duì)應(yīng)的“鑰匙”很難找到哈希沖突，那么該區(qū)塊鏈?zhǔn)遣豢勺兊?。但是擁有“鑰匙”就可以有效地找到任意內(nèi)容的哈希沖突，從而替換區(qū)塊的內(nèi)容?？删庉媴^(qū)塊鏈的區(qū)塊鏈接由1個(gè)四元組＜，，（，）＞組成（（為哈希值；為對(duì)比字符）。

可編輯區(qū)塊鏈一共包括4個(gè)算法（CH=（HGen，Hash，HVer，HCol））：1） 密鑰生成算法HGen。輸入安全參數(shù)，輸出公鑰h、陷門t。該過(guò)程如公式（8）所示。2） 哈希生成算法Hash。輸入公鑰h、消息，輸出哈希值、對(duì)比字符串。該過(guò)程如公式（9）所示。3） 有效性驗(yàn)證算法HVer。輸入公鑰h、消息、哈希值以及對(duì)比字符串，輸出驗(yàn)證結(jié)果。該過(guò)程如公式（10）所示。4） 哈希碰撞算法HCol。輸入陷門t、哈希值、消息、對(duì)比字符串以及消息，輸出對(duì)比字符串。該過(guò)程如公式（11）所示且滿足公式（12）。

可編輯區(qū)塊鏈的交易和出塊過(guò)程與普通區(qū)塊鏈一樣，當(dāng)?shù)V工利用哈希生成算法挖到礦后，就在全網(wǎng)廣播新的區(qū)塊。每個(gè)收到新區(qū)塊的節(jié)點(diǎn)都會(huì)根據(jù)有效性驗(yàn)證算法對(duì)區(qū)塊的有效性進(jìn)行驗(yàn)證。驗(yàn)證結(jié)果是一個(gè)布爾值，當(dāng)=1時(shí)，表示區(qū)塊有效；當(dāng)=0時(shí)，表示區(qū)塊無(wú)效。此時(shí)的變色龍哈希算法對(duì)沒(méi)有陷門的節(jié)點(diǎn)來(lái)說(shuō)，與傳統(tǒng)的哈希算法并沒(méi)有區(qū)別，仍然是抗碰撞的。此時(shí)，有效區(qū)塊須滿足公式（13）。

式中：：{0，1}*{0，1}為變色龍哈希函數(shù)，∈，∈。

當(dāng)可編輯區(qū)塊鏈有編輯需求時(shí)，陷門持有者利用密鑰生成算法生成的陷門可以對(duì)區(qū)塊進(jìn)行操作。這時(shí)從問(wèn)題區(qū)塊到其父區(qū)塊之間的“鎖”是可以打開的，那么任何編輯操作都是可能的（刪除、修改和插入任意數(shù)量的區(qū)塊）。當(dāng)編輯者利用哈希碰撞算法人為地制造出哈希沖突后，在全網(wǎng)廣播新的區(qū)塊，每個(gè)收到新區(qū)塊的節(jié)點(diǎn)都會(huì)對(duì)新的區(qū)塊進(jìn)行驗(yàn)證。此時(shí)，有效的區(qū)塊除了滿足公式（13）以外，還需要滿足公式（12）。

如果陷門丟失或破壞，那么可編輯的區(qū)塊鏈將失去可編輯的特性，還原為不可變的普通區(qū)塊鏈。

3 系統(tǒng)模型

為了提高實(shí)際生產(chǎn)環(huán)境內(nèi)容管理的能力，解決當(dāng)前區(qū)塊鏈系統(tǒng)中內(nèi)容缺乏監(jiān)管的問(wèn)題，突破普通區(qū)塊鏈錯(cuò)誤數(shù)據(jù)不可變的局限性，提高系統(tǒng)應(yīng)對(duì)復(fù)雜環(huán)境的靈活性，該文設(shè)計(jì)了基于雙鏈的可編輯區(qū)塊鏈系統(tǒng)。采用普通區(qū)塊鏈和可編輯區(qū)塊鏈相結(jié)合的方式對(duì)陷門進(jìn)行驗(yàn)證，避免出現(xiàn)陷門持有者故意給出錯(cuò)誤的分片破壞陷門恢復(fù)、信道傳輸過(guò)程中惡意節(jié)點(diǎn)篡改陷門分片等現(xiàn)象。同時(shí)，各個(gè)陷門分片的持有者線下生成隨機(jī)數(shù)作為陷門分片，避免出現(xiàn)中心化分發(fā)者權(quán)利過(guò)大的現(xiàn)象，并且該方案減少了因建立安全信道和安全多方計(jì)算而產(chǎn)生的計(jì)算開銷過(guò)大的問(wèn)題。

3.1 系統(tǒng)初始化

首先設(shè)置了2條不斷增長(zhǎng)的鏈：其中一條是區(qū)塊內(nèi)容不可改的監(jiān)管鏈BC，另外一條是區(qū)塊內(nèi)容可修改的交易鏈RBC。普通區(qū)塊鏈?zhǔn)褂闷胀ü：瘮?shù)，可編輯區(qū)塊鏈?zhǔn)褂霉€動(dòng)態(tài)更新的變色龍哈希函數(shù)。

普通節(jié)點(diǎn)的權(quán)限如下：1） 擁有自身區(qū)塊鏈地址的公私鑰對(duì)可以在區(qū)塊鏈上發(fā)起交易、觸發(fā)普通交易相關(guān)的智能合約。2） 知道自身所在區(qū)塊鏈的哈希公鑰可以通過(guò)區(qū)塊鏈的哈希函數(shù)驗(yàn)證區(qū)塊內(nèi)容，也可以競(jìng)爭(zhēng)礦工角色并打包區(qū)塊。這類節(jié)點(diǎn)分別獨(dú)立存在于監(jiān)管鏈BC和交易鏈RBC中，2條鏈的普通節(jié)點(diǎn)相互之間并不存在關(guān)聯(lián)。

特權(quán)節(jié)點(diǎn)是系統(tǒng)的管理員節(jié)點(diǎn)，在初始化時(shí)從特權(quán)節(jié)點(diǎn)池中預(yù)選出個(gè)特權(quán)節(jié)點(diǎn)。特權(quán)節(jié)點(diǎn)可以對(duì)監(jiān)管鏈BC和交易鏈RBC進(jìn)行操作，而特權(quán)節(jié)點(diǎn)池中暫時(shí)沒(méi)有當(dāng)選為特權(quán)節(jié)點(diǎn)的其他節(jié)點(diǎn)則成為監(jiān)管鏈BC上的普通節(jié)點(diǎn)。特權(quán)節(jié)點(diǎn)的主要工作如下：1） 每個(gè)特權(quán)節(jié)點(diǎn)P負(fù)責(zé)管理交易鏈RBC的變色龍哈希陷門的分片x，包括陷門分片x的生成和陷門的恢復(fù)。2） 特權(quán)節(jié)點(diǎn)P需要參與交易鏈RBC的區(qū)塊內(nèi)容編輯共識(shí)，在認(rèn)可新的區(qū)塊內(nèi)容后，通過(guò)變色龍哈希函數(shù)H計(jì)算區(qū)塊哈希值所對(duì)應(yīng)的哈希沖突，達(dá)到編輯區(qū)塊鏈內(nèi)容的目的。3） 特權(quán)節(jié)點(diǎn)在身份驗(yàn)證智能合約SC上可以發(fā)起并參與仲裁投票，從而在系統(tǒng)中剔除存在惡意操作的可疑特權(quán)節(jié)點(diǎn)。

3.2 系統(tǒng)交易流程

交易鏈RBC上的創(chuàng)世區(qū)塊RB由特權(quán)節(jié)點(diǎn)初始化，并且規(guī)定交易鏈上有且僅有創(chuàng)世區(qū)塊RB是不可更改的。RB區(qū)塊體中包括鏈接到監(jiān)管鏈BC上的中心管理智能合約SC的地址。該合約上包括監(jiān)管鏈BC上所有涉及交易鏈RBC區(qū)塊編輯操作的合約地址，包括身份驗(yàn)證智能合約SC、密鑰管理智能合約SC以及陷門驗(yàn)證智能合約SC的地址。交易鏈RBC上每個(gè)區(qū)塊RB的變色龍哈希函數(shù)H的公鑰y以密鑰管理智能合約SC所發(fā)布最新的哈希公鑰為準(zhǔn)。

監(jiān)管鏈BC的密鑰管理智能合約SC上生成交易鏈RBC的變色龍哈希公鑰以及陷門私鑰。具體的變色龍陷門生成方法如下：首先，根據(jù)系統(tǒng)安全參數(shù)選取滿足=+1的2個(gè)大素?cái)?shù)、（為任意整數(shù)）和變色龍哈希函數(shù)的基數(shù)（∈Z）在全網(wǎng)公開。每個(gè)特權(quán)節(jié)點(diǎn)P私下選取隨機(jī)數(shù)x（x∈Z）作為陷門的分片，并按公式（14）~公式（15）計(jì)算公鑰分片y。

為了保證陷門分片x不暴露，公鑰的具體生成過(guò)程如下：第一個(gè)特權(quán)節(jié)點(diǎn)在密鑰管理智能合約SC上發(fā)布第一個(gè)公鑰分片，如公式（16）所示。第二個(gè)特權(quán)節(jié)點(diǎn)根據(jù)密鑰管理智能合約SC上最新的公鑰分片計(jì)算，如公式（17）所示。

根據(jù)該方法類推，第個(gè)特權(quán)節(jié)點(diǎn)根據(jù)公鑰分片y來(lái)計(jì)算得到最新的公鑰分片y，直至所有特權(quán)節(jié)點(diǎn)完成公鑰的合成操作，如公式（18）所示。

由離散對(duì)數(shù)難題的難解性可知，節(jié)點(diǎn)在公網(wǎng)上已知公鑰和參數(shù)、以及，并不能由此算出任意陷門的分片x和陷門，因此可以保證陷門的保密性。。

在監(jiān)管鏈BC的密鑰管理智能合約SC公布了交易鏈RBC的最新變色龍哈希函數(shù)的公鑰后，交易鏈RBC里的普通節(jié)點(diǎn)就可以配合隨機(jī)數(shù)對(duì)區(qū)塊的交易內(nèi)容（∈Z*）進(jìn)行打包，計(jì)算得到滿足計(jì)算難度的區(qū)塊的哈希值。所用到的哈希算法為變色龍哈希函數(shù)H，如公式（19）所示。

交易鏈RBC上的礦工計(jì)算出區(qū)塊內(nèi)容、對(duì)應(yīng)的哈希值之后，根據(jù)哈希函數(shù)的抗碰撞性可知，沒(méi)有一個(gè)有效的方法可以在僅輸入公鑰后就找到消息和隨機(jī)數(shù)對(duì)（，）、（，）。其中，使公式（20）成立。

首先，交易鏈RBC上的某個(gè)區(qū)塊RB通過(guò)投票共識(shí)確定需要將內(nèi)容修改為。其次，每個(gè)特權(quán)節(jié)點(diǎn)需要在線下廣播該區(qū)塊的陷門分片。由于區(qū)塊鏈具有公開透明性，因此根據(jù)觸發(fā)密鑰管理智能合約SC生成公鑰分片y的記錄可知，其觸發(fā)節(jié)點(diǎn)對(duì)應(yīng)的身份為P。于是當(dāng)廣播收到特權(quán)節(jié)點(diǎn)P的陷門分片后，將其記為x。

當(dāng)特權(quán)節(jié)點(diǎn)收到-1個(gè)陷門分片后，就可以利用同態(tài)變色龍哈希函數(shù)的同態(tài)性對(duì)陷門的正確性進(jìn)行驗(yàn)證。當(dāng)滿足公式（21）時(shí)，就可以認(rèn)為節(jié)點(diǎn)收到的分片正確。

合約根據(jù)密鑰管理智能合約SC中記錄的公鑰分片y的值來(lái)計(jì)算公式（21）右式的值，如公式（27）所示。

根據(jù)y的值計(jì)算得出公式（28）。

驗(yàn)證通過(guò)后，特權(quán)節(jié)點(diǎn)按照公式（2）合成的正確陷門，利用陷門來(lái)計(jì)算哈希沖突，從而將編輯區(qū)塊鏈內(nèi)容為。其基本原理如公式（27）所示。

根據(jù)公式（27）可以得到公式（28）。

因此，特權(quán)節(jié)點(diǎn)可以計(jì)算出變色龍哈希的沖突值，如公式（29）所示。

最后，特權(quán)節(jié)點(diǎn)需要在監(jiān)管鏈BC的中心管理智能合約SC上公布交易鏈RBC當(dāng)前所修正的區(qū)塊RB最新的隨機(jī)數(shù)以及內(nèi)容的哈希值作為存證。使交易鏈RBC能夠確定最新的區(qū)塊內(nèi)容為目標(biāo)內(nèi)容。考慮不斷增長(zhǎng)的區(qū)塊鏈存在性能問(wèn)題，實(shí)際內(nèi)容只在交易鏈RBC廣播，監(jiān)管鏈BC上只保存的哈希值，以節(jié)省區(qū)塊鏈的存儲(chǔ)空間，優(yōu)化查詢和管理效率。在完成一次完整的交易鏈RBC上區(qū)塊編輯交易過(guò)程之后，特權(quán)節(jié)點(diǎn)需要重復(fù)一次監(jiān)管鏈BC上交易鏈RBC的公鑰和陷門生成過(guò)程，以及時(shí)更新可編輯鏈的公鑰及陷門。

4 結(jié)語(yǔ)

作為一個(gè)有效的解決方案，可編輯的區(qū)塊鏈技術(shù)可以讓用戶修改區(qū)塊鏈的數(shù)據(jù)。然而，由于存在可信第三方的要求、管理費(fèi)用高或缺乏問(wèn)責(zé)機(jī)制等問(wèn)題，因此現(xiàn)有的可編輯區(qū)塊鏈不能保障數(shù)據(jù)安全。該文從銀行業(yè)的實(shí)際業(yè)務(wù)需求出發(fā)，提供了一個(gè)可編輯區(qū)塊鏈系統(tǒng)方案。為了避免增加系統(tǒng)的額外負(fù)擔(dān)，該文設(shè)計(jì)的區(qū)塊鏈基于雙鏈結(jié)構(gòu)，從普通區(qū)塊鏈和可編輯區(qū)塊鏈的區(qū)塊結(jié)構(gòu)、變色龍哈希算法的特點(diǎn)（優(yōu)勢(shì)）2個(gè)方面解釋了可編輯區(qū)塊鏈的編輯原理，并描述了具體的方案。該方案利用變色龍哈希解決可能出現(xiàn)的安全問(wèn)題。區(qū)塊鏈將在陷門管理過(guò)程中記錄各種信息，并在出現(xiàn)爭(zhēng)議時(shí)將其作為問(wèn)責(zé)的證據(jù)。分析表明，該方法成本不高，且能有效處理惡意行為。