王灑灑，戴炳榮，2，朱孟祿，李 超

1.上海計算機軟件技術(shù)開發(fā)中心，上海 201112

2.上海海事大學(xué) 信息工程學(xué)院，上海 201306

隨著區(qū)塊鏈應(yīng)用場景不斷豐富和復(fù)雜化，區(qū)塊鏈之間的數(shù)據(jù)流通、應(yīng)用協(xié)同需求日益顯現(xiàn)，越來越多的區(qū)塊鏈項目提出跨鏈需求與解決方案，跨鏈技術(shù)成為當前區(qū)塊鏈研究熱點之一[1-2]。在企業(yè)聯(lián)盟鏈場景下，跨鏈技術(shù)所解決的問題不僅單單指數(shù)據(jù)的轉(zhuǎn)移，更要解決的問題是多鏈多場景下的不同區(qū)塊鏈系統(tǒng)的互信以及高效的業(yè)務(wù)協(xié)作[3]。

在中心化的身份管理系統(tǒng)中，由于各系統(tǒng)獨立并存，容易出現(xiàn)跨系統(tǒng)用戶身份認證難、系統(tǒng)間消息封閉互通難以及用戶信息在各系統(tǒng)交互時隱私保護難等問題[4]。同樣的問題隨著區(qū)塊鏈平臺以及應(yīng)用系統(tǒng)的不斷落地也相繼在區(qū)塊鏈行業(yè)間涌現(xiàn)。通常情況下，每個用戶在不同的區(qū)塊鏈系統(tǒng)中都需要進行一次身份的注冊，由于多場景下的業(yè)務(wù)需求往來，用戶在多個區(qū)塊鏈系統(tǒng)中會有多個注冊賬號，且各賬號互不相連，身份并不互通，形成身份信息管理“孤島”[5]。因此，不僅對多種不同的區(qū)塊鏈平臺的互聯(lián)互通提出了新的要求，對跨鏈身份管理以及跨鏈隱私保護也提出了新的需求[6-7]。

基于區(qū)塊鏈的去中心化用戶身份識別是當前研究的新方向，國內(nèi)外學(xué)者從不同角度提出了可能的解決思路。

在身份管理方面，針對用戶身份的可信認證問題，董貴山等人[5]設(shè)計了一種可實施的異構(gòu)身份管理體系架構(gòu)，該架構(gòu)基于區(qū)塊鏈實現(xiàn)異構(gòu)身份管理系統(tǒng)的可信接入，可支持實體跨域和安全身份認證，但并未實現(xiàn)跨區(qū)塊鏈的身份管理。Conti 等人[6]提出了一種基于區(qū)塊鏈的輕量級分布式移動生產(chǎn)者身份驗證（BlockAuth）協(xié)議，該協(xié)議有效解決了生產(chǎn)者與網(wǎng)絡(luò)轉(zhuǎn)發(fā)信息管理系統(tǒng)的不安全交互問題，但并未考慮到生產(chǎn)者的隱私問題，缺乏對鏈上存儲信息的隱私保護。Lin 等人[8]提出一個基于區(qū)塊鏈技術(shù)的分布式的用戶認證框架Poster，采用鏈上鏈下協(xié)同的方式對用戶信息進行存儲，并設(shè)置智能合約進行應(yīng)用授權(quán)。Wang 等人[9]提出一種基于區(qū)塊鏈證書方案的跨域身份認證模型BlockCAM，通過用戶授權(quán)CA的哈希值與區(qū)塊鏈中存儲的哈希值的一致性進行跨域認證，具有匿名性。楊淳等人[10]提出了一種異構(gòu)身份聯(lián)盟統(tǒng)一身份信息標識模型，分為身份關(guān)聯(lián)、跨域訪問、信任評價三個方面進行設(shè)計，通過全局統(tǒng)一身份標識UID實現(xiàn)與各個接入聯(lián)盟鏈的身份關(guān)聯(lián)。

在用戶密鑰管理方面，Sciancalepore 等人[11]提出一種新的密鑰管理協(xié)議，該協(xié)議將隱式證書與標準的橢圓曲線Diffie-Hellman 交換相結(jié)合，并執(zhí)行身份驗證和密鑰推導(dǎo)。Han等人[12]提出一種用于批量設(shè)備的輕量級雙向認證和動態(tài)會話密鑰方案，采用去中心化認證方式，雖然在一定程度上解決單點身份認證故障問題，但是存在密鑰分發(fā)、泄露等問題。鄧小鴻等人[13]提出一種基于區(qū)塊鏈的身份托管模型，采用橢圓曲線簽名算法進行登錄驗證，解決多應(yīng)用系統(tǒng)下用戶需要記住不同密碼的問題。

從上述研究內(nèi)容可以看出，目前研究內(nèi)容主要是采用某單個區(qū)塊鏈解決傳統(tǒng)中心化的用戶身份管理問題，缺少對跨鏈用戶身份管理的研究。因此，本文提出一種基于ECC-ZKP的跨鏈身份認證模型。該模型基于中繼鏈建立跨鏈用戶身份模型，解決多鏈下的用戶身份管理問題。通過引入橢圓曲線加密算法和零知識證明協(xié)議，為用戶在跨鏈系統(tǒng)中建立統(tǒng)一身份標識，并且基于該標識為用戶在跨鏈資源訪問過程中提供身份認證服務(wù)，有效解決用戶跨鏈交互過程中容易出現(xiàn)的重復(fù)認證以及身份信息隱私泄露問題，并通過理論分析和實驗分析表明該方案具有較高的安全性和事務(wù)處理效率。

1 基礎(chǔ)理論

1.1 跨鏈技術(shù)

跨鏈技術(shù)是指通過智能合約[14]，使?jié)M足規(guī)定通信協(xié)議的鏈通過特定的連接方式，從而實現(xiàn)獨立運行的多個區(qū)塊鏈之間的信息及資產(chǎn)的原子性轉(zhuǎn)移或互換的技術(shù)手段[1，15]。

公證人機制、側(cè)鏈/中繼、哈希鎖定和分布式私鑰控制是當前流行的跨區(qū)塊鏈架構(gòu)方案[16-17]。公證人機制是一種中心化或基于多重簽名的見證人模式，通過選舉一個或多個組織作為公證人對某條區(qū)塊鏈進行進行監(jiān)聽，并進行及時響應(yīng)。側(cè)鏈/中繼鏈是一種能夠自行檢驗交易數(shù)據(jù)且具有可擴展性的跨鏈技術(shù)。哈希鎖定技術(shù)是在無需可信公證人的情況下，通過時間差和隱藏的哈希值來保證資產(chǎn)的原子交換。分布式私鑰控制方案通過分布式節(jié)點控制各種資產(chǎn)的私鑰，并將各種資產(chǎn)從原始鏈映射到跨區(qū)塊鏈系統(tǒng)，保證資產(chǎn)的互聯(lián)。

1.2 零知識證明

零知識證明（zero-knowledge proof）在20世紀80年代初提出[18]。它指的是證明者能夠證明某個論斷對于驗證者來說是真實的，除了特定陳述屬實之外，不向驗證者提供任何有用的信息。

安全的零知識身份認證方案應(yīng)當包含三個性質(zhì)：

（1）正確性。如果證明者不擁有知識，則驗證者相信證明者認證的概率很低。

（2）完備性。如果證明者擁有知識，則證明者總能被驗證者所接受。

（3）零知識性。在證明過程中，當證明者確實擁有知識時，驗證者只能給出證明者擁有知識的結(jié)論，而無法得到知識本身的任何信息。

1.3 橢圓曲線加密算法

橢圓曲線密碼算法（elliptic curve cryptosystem，ECC）[19]是一種基于橢圓曲線數(shù)學(xué)的公開密鑰加密算法，其本質(zhì)是利用離散對數(shù)問題實現(xiàn)加密，主要用于加密數(shù)據(jù)、解密數(shù)據(jù)和交換秘鑰[20]。設(shè)存在大素數(shù)q，素數(shù)域Fq以q為模，素數(shù)域Fq上存在非奇異橢圓曲線Eq(a,b)，滿足等式：

橢圓曲線密碼體制是將加密問題轉(zhuǎn)換為橢圓曲線群中元素的計算問題，采取非對稱的公、私雙秘鑰方式進行加解密運算。以下以素數(shù)域上的橢圓曲線為例介紹加密通信過程。

（1）公私鑰生成

隨機選取橢圓曲線Eq(a,b)上一點G作為基點，設(shè)私鑰為k，記為Sk，計算公鑰PkG，記為Pk。將Eq(a,b)、G、Pk發(fā)送給用戶。

（2）加密過程

對于明文消息M，用戶隨機選擇正整數(shù)r，r∈[1 ,n-1] ，使用參數(shù)G和公鑰Pk，計算c1=rG，c2=M+rPk，生成密文C={c1,c2} 。

（3）解密過程

接收到密文C={c1,c2} ，用私鑰Sk可解密出對應(yīng)的明文消息M=c2-Skc1，計算公式如下：

2 基于ECC-ZKP的跨鏈身份標識方案

2.1 跨鏈身份標識模型定義

針對多鏈用戶在跨鏈交互出存在的信任傳遞、跨鏈訪問、隱私保護等問題，提出一種面向跨鏈系統(tǒng)中分布式用戶的身份標識設(shè)計模型?？珂溕矸輼俗R（crossblock Chain unified identity，C-BCID）是用戶在跨鏈系統(tǒng)中的全局標識，由跨鏈系統(tǒng)負責(zé)維護管理，在中繼鏈中進行存儲，并實現(xiàn)與各個獨立區(qū)塊鏈的身份交換。如圖1 所示，在跨鏈架構(gòu)模型中，用戶在多個各個獨立區(qū)塊鏈的身份信息在跨鏈系統(tǒng)進行關(guān)聯(lián)。

圖1 跨鏈系統(tǒng)用戶標識基礎(chǔ)架構(gòu)Fig.1 User identity infrastructure in cross-chain system

本文提出的跨鏈交互場景是一個基于中繼鏈的交互架構(gòu)，在用戶標識基礎(chǔ)架構(gòu)中，中繼鏈負責(zé)維護接入跨鏈系統(tǒng)中用戶的統(tǒng)一身份憑證的分發(fā)，并提供跨鏈的信任傳遞服務(wù)機制；跨鏈系統(tǒng)負責(zé)用戶的跨鏈訪問及跨鏈身份標識驗證。異構(gòu)區(qū)塊鏈系統(tǒng)在申請接入跨鏈系統(tǒng)時，須在中繼鏈上注冊身份標識，為本鏈上用戶提供跨鏈信任服務(wù)。根據(jù)跨鏈系統(tǒng)用戶標識基礎(chǔ)架構(gòu)，給出以下相關(guān)定義：

定義1（獨立區(qū)塊鏈用戶身份信息）獨立區(qū)塊鏈節(jié)點信息作為用戶在跨鏈系統(tǒng)中申請身份標識時的注冊信息，定義為ID={BCID,Cert，{A1,A2,A3…} }。其中，BCID為節(jié)點在某獨立區(qū)塊鏈上的用戶標識；Cert是該節(jié)點所在區(qū)塊鏈系統(tǒng)頒發(fā)的證書；{A1,A2,A3…} 為該節(jié)點的身份屬性信息。

定義2（跨鏈系統(tǒng)統(tǒng)一用戶身份標識）跨鏈系統(tǒng)統(tǒng)一用戶身份標識定義為UID={C-BCID，{PKC-BCID,SKC-BCID}，{ID1,ID2,…}，H( )ABCID,OP}。其中，一個跨鏈身份標識可關(guān)聯(lián)多個獨立區(qū)塊鏈上的身份信息，表示該用戶在多個區(qū)塊鏈系統(tǒng)中均有注冊節(jié)點?？珂溝到y(tǒng)中用戶身份標識的符號含義，詳見表1。

表1 跨鏈用戶身份標識結(jié)構(gòu)Table 1 Structure of user identification in cross-chain system

2.2 跨鏈身份標識認證實現(xiàn)

（1）跨鏈身份標識注冊

獨立區(qū)塊鏈接入接入跨鏈系統(tǒng)后，鏈上用戶需要在跨鏈系統(tǒng)中注冊跨鏈身份標識后才能進行跨鏈操作。用戶注冊統(tǒng)一身份標識算法的輸入為用戶在獨立區(qū)塊鏈系統(tǒng)上的身份信息，用于在跨鏈系統(tǒng)中進行身份綁定。輸出為跨鏈系統(tǒng)中用戶生成的公私鑰以及身份標識，用戶在跨鏈交互中的身份認證。實現(xiàn)算法如下：

算法1 跨鏈身份標識注冊

已在跨鏈系統(tǒng)中注冊過的用戶，需要添加在其他區(qū)塊鏈上的身份信息時，可以進行更新身份標識操作，實現(xiàn)多條區(qū)塊鏈上身份信息的關(guān)聯(lián)。用戶標識信息更新算法輸入為用戶在獨立區(qū)塊鏈系統(tǒng)上的身份標識和屬性，輸出為跨鏈系統(tǒng)中用戶的身份標識及更新結(jié)果簽名。實現(xiàn)算法如下：

算法2 跨鏈身份標識更新

在用戶認證階段，為保護用戶身份隱私，本文引入零知識證明協(xié)議，即認證階段是零知識性的。在跨鏈系統(tǒng)中，若區(qū)塊鏈系統(tǒng)A上用戶想要對區(qū)塊鏈系統(tǒng)B進行跨鏈交互，需要用戶先將帶有數(shù)字簽名的請求信息通過跨鏈系統(tǒng)發(fā)送給區(qū)塊鏈系統(tǒng)B，區(qū)塊鏈系統(tǒng)B檢驗該數(shù)字簽名是否有效，如果為無效數(shù)字簽名，則零知識身份認證過程中斷。如果為有效的，則開始進行認證，經(jīng)過N次的零知識證明后，若驗證成功，則證明用戶的身份可信，區(qū)塊鏈系統(tǒng)B 允許其對用戶的資源進行訪問，如圖2所示。

科學(xué)技術(shù)的四種不確定性及其風(fēng)險規(guī)避路徑——基于約納斯“責(zé)任倫理”的考察 ………………………………………………………… 葉立國（2．78）

如圖2，區(qū)塊鏈跨鏈身份的認證基于橢圓曲線算法和零知識證明進行設(shè)計。假設(shè)E為有限域Ep上的橢圓曲線，G為E上的基點，SKC-BCID為用戶U的私鑰，PKC-BCID∈E作為用戶U的公鑰，滿足PKC-BCID=(x1,y1)=SKC-BCID·G。具體驗證步驟為：

圖2 跨鏈統(tǒng)一身份標識認證流程Fig.2 Unified identity authentication process in cross-chain system

（3）驗證通過，表示區(qū)塊鏈系統(tǒng)B 同意零知識身份認證。則區(qū)塊鏈系統(tǒng)A 選取r∈Ep，計算V=rG,V∈E，并將V發(fā)送區(qū)塊鏈系統(tǒng)B。

（4）區(qū)塊鏈系統(tǒng)B接受V，并隨機選取隨機數(shù)R1∈Ep，向區(qū)塊鏈系統(tǒng)A發(fā)出提問。

（5）區(qū)塊鏈系統(tǒng)A收到隨機數(shù)R1，計算W=r+R1·SKC-BCID發(fā)送給區(qū)塊鏈系統(tǒng)B。

（6）區(qū)塊鏈系統(tǒng)B 驗證WG=V+R1·PKC-BCID是否成立。

若成立，則區(qū)塊鏈系統(tǒng)B 接收區(qū)塊鏈系統(tǒng)A 的證明，區(qū)塊鏈系統(tǒng)A 的用戶身份正確，同意用戶請求；否則，則拒絕區(qū)塊鏈系統(tǒng)A上的用戶請求。

3 方案分析

在本章中，對上一章所提出的跨鏈身份標識認證方案進行簡單的正確性和安全性的分析。

3.1 正確性分析

由上述可知等式兩邊成立，則表示本方案是正確的。

3.2 安全性分析

本方案提出的ECC-ZKP的跨鏈身份標識認證模型是指在證明者不透漏個人信息的情況下，讓驗證者相信證明者的跨鏈用戶身份。在協(xié)議運行過程中可能存在攻擊者A或者惡意證明者P1，試圖獲取鏈上數(shù)據(jù)和用戶信息。

（1）存在攻擊者A 冒充證明者P。攻擊者試圖冒充證明者向驗證者發(fā)起交互請求，以此獲得驗證者信任，從而獲取交互信任。但是攻擊者A 沒有證明者P的私鑰，因此無法獲取步驟（1）中得數(shù)字簽名S，若偽造簽名S′則不能通過步驟（2）中的簽名驗證：

因此惡意證明者P1無法獲取驗證者的信任。

（3）存在惡意驗證者V1泄露驗證者P的認證消息。惡意驗證者V1在認證過程中泄露證明者P信息給攻擊者A，但通過零知識認證流程可知，驗證者V1在驗證過程中只能得到證明者P發(fā)送得V和W，卻無法得知驗證者的私鑰。其次，若攻擊者想要得到驗證者私鑰SKC-BCID，需要根據(jù)步驟（5）計算隨機數(shù)r和R1，其困難度是解決橢圓曲線離散對數(shù)問題的難度。因此，攻擊者A在有限的時間內(nèi)對其進行破解是十分困難的。

通過上述分析來看，本方案能夠用抵御惡意偽造、冒充以及泄露等風(fēng)險，具有較高的安全性。

4 實驗分析

本章將使用自主研發(fā)的跨鏈系統(tǒng)ChainOSX對接以太坊私有鏈作為實驗環(huán)境，進行認證模型的效率和資源利用率的實驗分析。實驗環(huán)境配置如表2、表3所示。

表2 以太坊私有鏈搭建環(huán)境Table 2 Building environment of Ethereum private chain

表3 跨鏈系統(tǒng)運行環(huán)境Table 3 Operation environment of cross-chain system

4.1 效率分析

基于提出的用戶身份標識模型，本節(jié)實驗分別基于ECC、SM2和RSA加密算法，其中ECC和SM2的密鑰長度均采用常用的256 位加密長度，RSA 采用常用的2 048 位加密長度，與對跨鏈系統(tǒng)中用戶各階段事務(wù)處理效率進行實驗設(shè)計及分析。

（1）用戶身份標識注冊階段效率分析

在用戶身份標識注冊階段，跨鏈系統(tǒng)需根據(jù)用戶提交的注冊信息基于ECC、SM2 和RSA 加密算法分別進行標識生成實驗驗證，時延驗證結(jié)果如圖3所示。

圖3 多用戶下用戶身份標識注冊時延對比Fig.3 Comparison of time delay for user identity registration in multi-user scenario

從圖3 可以看出，隨著用戶數(shù)的增加，用戶身份標識注冊階段時延也在發(fā)生變化。基于ECC、SM2的用戶身份標識注冊的時間開銷隨用戶數(shù)的線性增長較為緩慢，基于RSA（2 048 bit）的用戶標識生成所消耗的時間最長，處理效率最低，同時這里采用的ECC 256 bit的密鑰長度，與RSA（2 048 bit）相比具有更高的安全性。注冊階段TPS實驗驗證結(jié)果如圖4所示。

圖4 用戶身份標識并發(fā)注冊處理效率對比Fig.4 Efficiency comparison of user identity concurrent registration

由圖4可以看出，用戶身份標識事務(wù)處理效率隨著用戶數(shù)的線性增長逐漸趨于平穩(wěn)，當每秒請求達到700時基于SM2 的標識算法處理能力達到鼎峰、當每秒請求達到800時基于ECC的標識算法處理能力達到鼎峰，基于RSA 的用戶標識每秒處理效率較低。還可以看出，隨著用戶注冊數(shù)量的增加，基于ECC的標識算法每秒事務(wù)處理效率略高于SM2。

（2）用戶身份標識認證階段效率分析

在用戶身份認證階段，基于ECC、SM2和RSA算法在同等驗證場景下進行身份標識認證實驗，實驗結(jié)果如圖5所示。

在跨鏈用戶身份標識認證階段，由圖5（a）和（b）可以看出RSA 在驗簽時的效率高于ECC 和SM2，但在跨鏈用戶認證過程中會同時執(zhí)行簽名和驗簽，通過圖5（c）和（d）可以看出RSA 在整個階段的效率是比較低的。此外，隨著用戶數(shù)量的增加，在跨鏈系統(tǒng)中，用戶的認證時延呈線性增長的趨勢，這是由于用戶量的增加用戶需排隊等待驗證。

圖5 基于ECC、SM2和RSA的算法效率對比分析Fig.5 Comparative analysis of efficiency of authentication algorithms based on ECC，SM2 and RSA

4.2 資源利用率

RSA加密算法，分別進行用戶身份標識注冊和區(qū)塊鏈跨鏈身份認證過程中的CPU 使用率進行監(jiān)聽，監(jiān)聽結(jié)果如圖6、圖7所示。

由圖6 和圖7 可知，CPU 占用率隨用戶數(shù)量的增加呈現(xiàn)線性增長的趨勢，在身份標識注冊階段，用戶數(shù)達到200時CPU使用占比還沒有達到50%，說明系統(tǒng)可承載用戶量及事務(wù)處理數(shù)量還可進行增加。在用戶身份標識認證階段可以看出，RSA算法的CPU占用率較高，需要占用較多的系統(tǒng)資源，而ECC 和SM2 兩種加密算法的CPU占用率在各階段的CPU占用率上差距不大。

圖6 用戶身份標識注冊時CPU使用率對比Fig.6 Comparison of CPU usage in user identity registration

綜上所述，通過本節(jié)的實驗可以看出，RSA 算法并不適用于本方案，基于ZCC-ZKP 的跨鏈用戶身份標識認證模型在處理效率、資源利用率方面表現(xiàn)較好，能夠滿足跨鏈系統(tǒng)的業(yè)務(wù)需求。

5 總結(jié)

在開展以上實驗過程中，同步對基于ECC、SM2 和

本文針對當前跨鏈跨鏈信任難、用戶隱私易泄露等問題進行了研究，提出在跨鏈系統(tǒng)中建立一種基于ZCC-ZKP的統(tǒng)一身份標識認證模型。該模型通過獨立區(qū)塊鏈中的身份與跨鏈系統(tǒng)身份進行關(guān)系映射，實現(xiàn)同一用戶在不同區(qū)塊鏈系統(tǒng)中身份對齊。并在該模型架構(gòu)基礎(chǔ)上引入橢圓曲線加密算法和零知識證明協(xié)議，實現(xiàn)用戶的跨鏈訪問功能以及保障用戶在跨鏈系統(tǒng)身份隱私。同時，本文對該模型架構(gòu)進行了安全性分析以及效率分析。從理論和實驗分析可知，本文提出的基于ECC-ZKP 的跨鏈身份驗證具有較高的安全性，在用戶注冊和認證階段都具有較高的事務(wù)處理能力和較低的時間開銷，能夠滿足跨鏈系統(tǒng)的業(yè)務(wù)需求。在未來工作中將繼續(xù)深入研究跨鏈交互中用戶身份互聯(lián)互認的方法研究，設(shè)計更高效、更安全的認證方式。