CN110572254B

CN110572254B - 一种基于格的可更改区块链方法

Info

Publication number: CN110572254B
Application number: CN201910862612.4A
Authority: CN
Inventors: 徐海霞; 彭春英; 李佩丽
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-09-12
Filing date: 2019-09-12
Publication date: 2020-12-04
Anticipated expiration: 2039-09-12
Also published as: CN110572254A

Abstract

本发明提出一种基于格的可更改区块链方法，包括以下步骤：联盟链中的用户提出对某一历史区块内容的更改请求时，联盟链中的其他用户对是否允许更改进行投票，如果同意更改的票数超过总人数的一半时，则投票通过；投票通过后，从参与投票的用户中随机选出一个编辑者来进行历史区块内容的更改；编辑者将内容更改完成后，在整个联盟链广播所有信息，包括更改后的内容与随机数、参与投票用户的投票、编辑者被选出的凭据、以及编辑者自己对整个内容的签名；联盟链里的其他用户对编辑者广播的所有信息进行验证，验证通过后记录更改后的历史区块，并标记编辑者广播的所有信息。本方法能够在保证区块链可更改的同时，还可以抵抗量子计算攻击。

Description

一种基于格的可更改区块链方法

技术领域

本发明属于信息安全技术领域，涉及后量子可更改区块链的设计方案，具体为基于格的可更改区块链方法和***，能够提高区块链的风险抵抗能力。

背景技术

区块链作为去中心化记账平台的核心技术，具有防篡改，不可更改，交易可追溯的特点，是金融科技领域的一项重要技术创新。它能够不依赖第三方可信机构在陌生节点之间建立点对点的可信价值传递，有助于降低交易成本，提高交互效率，被认为在资产管理、金融、征信、物联网、经济贸易结算等众多领域都拥有非常广阔的应用前景，受到了各界的广泛关注。虽然区块链的不可更改保证了数据的可靠性和完整性，但也不是没有它的缺点。从国际刑警组织揭露比特币区块链中存在有害非法的文件、图像和链接，到区块链平台存在漏洞，需要进行错误纠察，以及特殊情况下，需要撤销区块链上的合同和记录或者撤销交易，都需要区块链提供可更改机制来保证区块链应用的健康发展。

2000年，Krawczyk和Rabin首次提出变色龙哈希函数的概念，除了满足哈希函数抗碰撞的性质，它有自己的特殊性质，那就是陷门碰撞。在知道陷门信息时，可以有效计算出满足条件的碰撞；而在没有陷门时，等同于普通哈希函数的抗碰撞。2017年，Ateniese G,Magri B和Venturi D等在所著论文“Redactable Blockchain or Rewriting History inBitcoin and Friends”中首次提出可更改区块链的概念，他们用变色龙哈希函数替代了区块链里普通的哈希函数SHA256，在给定私密陷门时，碰撞可以被有效计算用来修改区块而保持链的状态不变。不过存在的问题是如果陷门被一个实体所掌握，那他可以任意修改历史区块。如若采用秘密分享再通过MPC协议恢复陷门，则因为效率问题而不适用于多用户的无许可场景如比特币网络。之后，Puddu I，Dmitrienko A和Capkun S在论文“μchain:Howto Forget Without Hard Forks”里提出了一个新的可更改区块链叫μ链，为了替换数据记录，引入了可变交易的概念。链上所有数据的修改都是通过访问控制策略实现，并且经过授权和共识，可以像正常交易一样得到认证。然而，敌手可以将他的交易设置为不可更改或者仅他自己可以更改，MPC也会影响到效率和链的可伸缩性。

2018年，Li P L等人在所著论文“Research on fault-correcting blockchaintechnology”中针对联盟链，设计了新的变色龙哈希函数，在修改触发条件满足时，联盟链的每个成员都有机会修改历史记录。这与本发明的研究内容相似，不过其方案存在陷门私钥暴露问题，如果陷门密钥不变，对不同的消息计算两次哈希值，就可以计算出陷门私钥。

除去密码算法技术，还有采用非密码技术来修改区块链，如硬分叉和软分叉。硬分叉中不管区块上有什么交易需要修改，直接从需要修改的区块前接上新的区块链，但影响很大，许多已经被确认的区块作废，所有用户需要重新下载新链。软分叉中旧的节点可能不知道共识规则已经改变，容易导致混乱。

最近，Deuber D等人在论文“Redactable Blockchain in the PermissionlessSetting”中，针对无许可设置，设计了基于共识投票的区块链更改方案，如果提出的修改操作得到了足够多的投票，那么对应的区块就可以用新版本替换(旧区块仍保留在链上)。Derler D,Samelin K和Slamanig D等人在所著论文“Fine-Grained and ControlledRewriting in Blockchains:Chameleon-Hashing Gone Attribute-Based”中提出基于属性的变色龙哈希函数，在原来变色龙哈希的基础上增加了策略作为输入，在寻找碰撞的时候，只有满足该策略的用户才能找到，更加精细。不过目前已有的针对区块链可更改机制的研究工作，都不能抵抗量子计算攻击。

发明内容

针对以现有公钥密码为基础的区块链在量子计算下不再安全，本发明旨在基于格的哈希函数这种特殊算法提供一种基于格的可更改区块链方法，给出一种后量子可更改区块链方案，能够在保证区块链可更改的同时，还可以抵抗量子计算攻击。

本发明借鉴Cash和Hofheinz提出的基于格的变色龙哈希函数，设计了新的基于格的变色龙哈希函数，实现了后量子安全的联盟链可更改方案构建：

1.基于格的变色龙哈希函数

基于格的哈希函数是Cash和Hofheinz等人在“Bonsai trees,or how todelegate a lattice basis”中首次提出，函数的定义如下：

整数n≥1,整数q≥2,整数k≥1,整数p≥1，k是消息长度，消息空间

高斯参数s，随机数空间

值域

对于矩阵

以及A＝A₀||A₁，哈希函数

的表达式为：

h_A(m；r)＝A·(m||r)＝A₀m+A₁r

其中m是要加密的消息，r是随机数。

2.改进的基于格的哈希函数

在本方法中，参考了上述基于格的哈希函数的概念和定义，提出了一个新的哈希函数。

对于矩阵

(i∈[n]),A＝A₀||A₁||...||A_n，随机数r＝(r₁,r₂,...,r_n)，哈希函数

表示为：

Hash_A(m；r)＝A·(m||r)＝A₀m+A₁r₁+A₂r₂+...+A_nr_n

其中，m表示加密内容，r表示随机数，其他参数和Cash和Hofheinz等人提出的哈希函数中的参数保持一致。

本发明的一种基于格的可更改区块链方法，包括以下步骤：

1.需要更改历史区块信息的用户提出更改请求，联盟链中的其他用户(可以是其他部分用户)对其进行投票，如果同意更改的票数超过联盟链总人数的一半，则进行下一步骤。

2.更改请求在投票通过以后，从联盟链参与投票的成员中随机选出一个编辑者来进行历史区块内容的更改。

3.编辑者将内容更改完成后，在整个链广播更改后的内容与随机数、参与用户的投票、编辑者被选出的凭据、以及自己对整个内容的签名，联盟链里的其他用户进行验证和记录。

本发明中，假定联盟链的所有成员数为n，且每个成员都有一个固定的ID，待修改信息为m，则上述基于格的可更改区块链方法的具体步骤包括：

1.投票阶段

当出现突发情况时，就需要对某一历史区块的信息进行更改。若联盟链中的用户P_s(s∈[n])自愿发起更改请求，请求将某一历史区块内容m改为m’，则他开启投票的步骤如下：

1)对更改请求R_s签名，广播(R_s,σ_s)；

2)联盟链中的其他用户在收到更改请求后，如果同意修改，则对P_s的请求R_s进行签名并广播；

3)当P_s收集到超过一半的用户的签名后(假设用户数目为

)，广播这t个签名。

2.选举阶段

当编辑请求被通过后，需要从参与投票的用户中随机选取一个编辑者，本方法使用(P₁,P₂,...P_t)来代表这t个参与投票的用户。

4)每个参与投票的用户选取一个随机字符串S_i(i∈[t])，并对字符串进行签名，然后广播(S_i,σ_si)；

5)当联盟链中的其他用户收到字符串以后，按照参与投票的用户的用户ID将字符串进行排序，然后将排序结果作为普通哈希函数(预先确定的)的输入，得到H(S₁,S₂,...,S_t)＝jmodt。按照联盟链所有用户ID列表，排在第j位的参与投票的用户将获得更改历史区块的机会，用P_c来代表。

3.更改确认阶段

6)为了保证哈希值相同，编辑者P_c需要找到满足条件Hash_Α(m；r)＝Hash_A(m'；r')的碰撞，即A₀m+...+A_cr_c+...+A_nr_n＝A₀m′+...+A_cr_c′+...+A_nr_n。通过化简，可以得到等式A_cr_c′＝A₀m-A₀m′+A_cr_c，然后通过使用私钥(基S_c)可以从分布

采样随机数r_c′，其中

7)为了更好地表达，将区块表示为B＝＜s,x,ctr,r＞，其中s是前一块的状态，x是块数据，ctr是每轮中哈希询问的最大的次数，r是随机数。编辑者P_c在将区块B＝＜s,x,ctr,r＞更改为B＝＜s,x',ctr,r'＞后，需要广播(m',(r₁,...,r_c',...,r_n))，其他用户的t个投票(投票阶段其他用户对更改请求R_s的签名)，选举阶段的随机字符串S_i(i∈[t])，以及P_c对以上内容的签名。

8)联盟链里的除编辑者以外其他所有用户验证H(S₁,S₂,...S_t)是否等于j mod t，P_c的签名，以及参与者的投票。如果验证通过，再验证Hash_A(m；r)是否等于Hash_A(m′；r′)。通过验证后，记录更改后的历史区块并标记，标记的内容包括上一步编辑者P_c广播的所有信息。

本发明方法与现有技术相比，采用基于格的哈希函数代替原有的哈希函数，能够抵抗量子计算攻击。新的共识机制通过引入随机字符串为多方决策提供了保证，确保选出的编辑者公平随机，联盟链里的每一个成员都有机会获得编辑的权利。更改历史区块时不需要整个链的成员共同协作，交互次数少，效率高。因此本发明提供了一种整体高效安全的可更改区块链方法。

附图说明

图1是本发明的可更改区块链结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例，对本发明做进一步说明。

假设在一个联盟链中，用户总数目记为n，每个用户都有一个固定的ID，用户需要更改的信息记为m。本发明方案的具体实施方式如下：

1.发起投票

1)用户A想要将历史区块的信息m更改为m’，于是对更改请求R_A签名，并广播(R_A,σ_A)；

2)联盟链里的其他用户在收到更改请求后，如果同意用户A的修改请求，则对用户A的请求R_A进行签名并广播；

3)用户A收集到超过一半的联盟链成员的签名后(假设数目为

)，广播这t个签名。

2.选举编辑者

4)超过一半的联盟链成员同意更改请求后，就需要从参与投票的人当中随机选出一个编辑者，用(P₁,P₂,...P_t)来代表这t个参与投票的用户。每个参与投票的用户选取一个随机字符串S_i(i∈[t])，并对字符串进行签名，然后广播(S_i,σ_si)；

5)当联盟链中的其他用户收到字符串以后，按照参与投票的用户的用户ID将字符串进行排序，然后将排序结果作为普通哈希函数(预先确定)的输入，得到H(S₁,S₂,...,S_t)＝jmodt。按照联盟链所有用户ID列表，排在第j位的参与投票的用户将获得更改历史区块的机会，用P_B来代表。

3.更改区块内容

6)为了保证更改前后的区块哈希值相同，编辑者P_B需要找到满足条件Hash_Α(m；r)＝Hash_A(m'；r')的碰撞，代入哈希函数的表达式，则等价于解以下等式：A₀m+...+A_Br_B+...+A_nr_n＝A₀m'+...+A_Br_B'+...+A_nr_n。通过化简，可以得到等式A_Br_B'＝A₀m-A₀m'+A_Br_B，然后通过使用自己的私钥(基S_B)可以从分布

采样随机数r_B'，其中

4.确认

编辑者将区块更改完后，需要将整个更改过程的信息广播整个链，然后联盟链的其他成员进行验证与记录。

7)为了更好地表达，将区块表示为B＝＜s,x,ctr,r＞，其中s是前一块的状态，x是块数据，ctr是每轮中哈希询问的最大的次数，r是随机数。编辑者P_B在将区块B＝＜s,x,ctr,r＞更改为B＝＜s,x',ctr,r'＞后，需要广播(m',(r₁,...,r_B',...,r_n))，其他用户的t个投票(投票阶段其他用户对更改请求R_s的签名)，选举阶段的随机字符串S_i(i∈[t])，以及P_B对以上内容的签名。

8)联盟链里的除编辑者以外的其他所有用户验证H(S₁,S₂,...S_t)是否等于j modt，P_B的签名，以及参与者的投票。如果验证通过，再验证Hash_A(m；r)是否等于Hash_A(m′；r′)。通过验证后，记录更改后的历史区块并标记，标记的内容包括上一步用户P_B编辑者的所有信息。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于格的可更改区块链方法，其特征在于，包括以下步骤：

联盟链中的用户提出对某一历史区块内容的更改请求时，联盟链中的其他用户对是否允许更改进行投票，如果同意更改的票数超过联盟链总人数的一半时，则投票通过；

投票通过后，从参与投票的用户中随机选出一个编辑者来进行历史区块内容的更改；

其中，选择编辑者的方法包括以下步骤：

每个参与投票的用户选取一个随机字符串，对字符串进行签名并广播；

当联盟链中的其他用户收到字符串以后，按照参与投票的用户ID将字符串进行排序；

将排序结果的哈希函数输出值与参与投票的用户数进行取模运算，得到参数j；

按照联盟链所有用户的ID列表，将排在第j位的参与投票的用户作为编辑者；

其中，编辑者在进行内容更改时，根据改进的基于格的哈希函数，找出满足条件的随机数来确保更改前后的区块哈希值相同，步骤如下：

改进的基于格的哈希函数的表达式如下：

Hash_A(m；r)＝A₀m+...+A_Br_B+...+A_nr_n；

其中矩阵

r为随机数，r选自随机数空间

m为加密内容，s为高斯参数，k为消息长度，n、k、p均为大于等于1的整数，q为大于等于2的整数；

满足条件Hash_A(m；r)＝Hash_A(m’；r’)；

Hash_A(m’；r’)＝A₀m’+...+A_Br_B’+...+A_nr_n；

求解A_Br_B′＝A₀m-A₀m′+A_Br_B，通过私钥从分布

采样随机数r_B′，其中

编辑者将内容更改完成后，在整个联盟链广播所有信息，包括更改后的内容与随机数、参与投票用户的投票、编辑者被选出的凭据、以及编辑者自己对整个内容的签名；

联盟链里的除编辑者以外的其他所有用户对编辑者广播的所有信息进行验证，验证通过后记录更改后的历史区块，并标记编辑者广播的所有信息。

2.如权利要求1所述的方法，其特征在于，用户提出更改请求时，对更改请求进行签名并广播。

3.如权利要求2所述的方法，其特征在于，联盟链中的其他用户在收到更改请求后，如果同意更改，则对更改请求进行签名并广播；当用户收到超过一半的用户的签名后，广播这些签名。

4.如权利要求3所述的方法，其特征在于，参与投票用户的投票是指参与投票的用户对更改请求的签名。

5.如权利要求1所述的方法，其特征在于，编辑者被选出的凭据是指每个参与投票的用户选取的随机字符串。

6.如权利要求1所述的方法，其特征在于，对于区块B＝<s,x,ctr,r>，其中s是前一块的状态，x是块数据，ctr是每轮中哈希询问的最大的次数，r是随机数，编辑者更改后的区块则为B＝<s,x′,ctr,r′>。

7.如权利要求1所述的方法，其特征在于，更改后的内容与随机数为(m',(r₁,...,r_B',...,r_n))。