论文总结：基于可编辑区块链的工业物联网数据管理机制

qquad

qquad

qquad

qquad

qquad

qquad

变色龙哈希是一种带有陷门的哈希函数，设计变色龙哈希时需要满足：拥有两个信息

x

′

x'

x′和

x

x

x且

x

≠

x

′

x neq x'

x​=x′的情况下仍然有

H

(

x

′

)

=

H

(

x

)

H(x')=H(x)

H(x′)=H(x)，其中

H

(

)

H()

qquad

（1）初始化：需要构造安全参数

λ

lambda

λ以及两个大质数

p

p

p和

q

q

q并满足

q

∣

(

p

−

1

)

q|(p-1)

q∣(p−1)，输出是一个乘法群

Z

p

∗

Z_{p}^{*}

Zp∗​，其中生成元为

λ

lambda

λ，阶数为

q

q

qquad

（2）密钥生成：私钥为

x

∈

Z

q

∗

x in Z_{q}^{*}

x∈Zq∗​ ，公钥为

y

≡

g

x

m

o

d

p

y equiv g^{x} mod p

qquad

（3）哈希计算：选取一个随机数

r

r

r，利用前两步的生成元、公钥对信息

m

m

m进行哈希计算得到

H

a

s

h

(

y

,

m

,

r

)

=

g

m

y

r

Hash(y,m,r)=g^{m}y^{r}

qquad

（4）构造碰撞：针对一个新的信息

m

′

m'

m′，构造一个新的随机数

r

′

=

(

m

−

m

′

+

x

r

)

x

−

1

r'=(m−m′+xr)x^{-1}

r′=(m−m′+xr)x−1，使得

H

a

s

h

(

y

,

m

′

,

r

′

)

=

H

a

s

h

(

y

,

m

,

r

)

Hash(y,m',r') =Hash(y,m,r)

qquad

本方案采用的是Shamir密钥共享，这种方案的优势是将密钥分发给

n

n

n个人，而恢复密钥的时候只需要

t

t

t个人（满足

t

<

n

t < n

qquad

（1）初始化：生成随机两个大素数

p

p

p和

q

q

q，需要满足

q

∣

(

p

−

1

)

q|(p−1)

q∣(p−1)，并设定密钥持有者人数

n

n

n和门限值

t

t

t，门限值作用是规定有恢复密钥需要

t

t

qquad

（2）密钥分配：密钥分发过程中，

t

t

t个人随机选取属于自己的

a

i

a_{i}

ai​，其中

i

∈

[

0

,

t

−

1

]

i in [0,t-1]

i∈[0,t−1]，并且

a

0

a_{0}

a0​是被共享的密钥，密钥片段分配时，首先需要计算表达式

f

(

x

)

=

a

0

+

a

1

x

+

a

2

x

2

+

⋅

⋅

⋅

+

a

t

−

1

x

t

−

1

f(x)=a_{0}+a_{1}x+a_{2}x^{2}+cdotcdotcdot+a_{t-1}x^{t-1}

f(x)=a0​+a1​x+a2​x2+⋅⋅⋅+at−1​xt−1，每个人都需要随机选择

x

i

(

i

∈

[

1

,

n

]

)

x_{i}(i in [1,n])

xi​(i∈[1,n])，密钥片段将会以

(

x

i

,

f

(

x

i

)

)

(x_{i},f(x_{i}))

qquad

（3）密钥恢复：当有

t

t

t个密钥片段持有者时，通过拉格朗日插值多项式进行密钥恢复，多项式为：

F

(

x

)

=

{

∑

i

=

1

t

(

y

i

∏

1

≤

j

≤

t

,

j

≠

i

(

x

−

x

j

)

(

∏

1

≤

j

≤

t

,

j

≠

i

(

x

j

−

x

i

)

)

−

1

)

}

m

o

d

(

p

)

F(x)=left{sum_{i=1}^{t}left(y_{i} prod_{1 leq j leq t, j neq i}left(x-x_{j}right)left(prod_{1 leq j leq t, j neq i}left(x_{j}-x_{i}right)right)^{-1}right)right} bmod (p)

F(x)={∑i=1t​(yi​∏1≤j≤t,j​=i​(x−xj​)(∏1≤j≤t,j​=i​(xj​−xi​))−1)}mod(p)，恢复的结果就是

a

0

a_{0}

qquad

qquad

qquad

qquad

陷门恢复需要满足至少有

t

t

qquad

qquad

碰撞构造算法输入旧的信息、新的信息、旧的随机数以及生成元，输出的元素是新的随机数，新的随机数满足公式

H

a

s

h

(

y

,

m

′

,

r

′

)

=

H

a

s

h

(

y

,

m

,

r

)

Hash(y,m',r') =Hash(y,m,r)

qquad

qquad

qquad

qquad

区块链初始化阶段：这一阶段分为两个算法Setup和TrapdoorGen，Setup算法作用是生成可编辑区块链和用于监管的区块链，以及系统所需要的两个大素数

p

,

q

p,q

p,q和生成元

g

g

g，这三个参数将写入两条链的智能合约当中。TrapdoorGen负责陷门的生成，陷门生成后，将按照Shamir共享的方式进行陷门片段的分发，陷门片段表示为

x

i

x_{i}

xi​，陷门

T

=

∏

i

=

1

n

x

i

T=prod^{n}_{i=1}x_{i}

T=∏i=1n​xi​，而Shamir表达式当中的

a

0

a_{0}

a0​的值为

T

T

qquad

密钥初始化阶段：该算法负责系统公钥的生成，公钥生成需要陷门片段和生成元的参与，第一个门限片段持有者进行运算

y

1

=

g

x

1

m

o

d

p

y_{1}=g^{x_{1}} bmod p

y1​=gx1​modp，

y

2

y_{2}

y2​的计算又与

y

1

y_{1}

y1​直接相关，

y

2

y_{2}

y2​的计算方式为

y

2

=

y

1

x

2

y_{2}=y_{1}^{x_{2}}

y2​=y1x2​​，即

y

2

=

g

x

1

x

2

y_{2}=g^{x_{1}x_{2}}

y2​=gx1​x2​，由此可得

y

=

y

n

=

g

∏

i

=

1

n

x

i

m

o

d

p

y=y_{n}=g^{prod_{i=1}^{n} x_{i}} bmod p

y=yn​=g∏i=1n​xi​modp，

y

y

qquad

qquad

哈希计算的公式是

CHash

⁡

(

m

,

r

,

y

,

p

,

g

)

=

g

m

y

r

m

o

d

p

operatorname{CHash}(m, r, y, p, g)=g^{m} y^{r} bmod p

qquad

恢复陷门（VerRestore)算法流程如下：1. 第一个陷门持有者将自己的陷门

x

1

x_{1}

x1​和

f

(

x

1

)

f(x_{1})

f(x1​)发布到监管区块链上，假设当前陷门片段有误，此时就可以假设

x

’

1

x’_{1}

x’1​和

f

(

x

1

′

)

f(x'_{1})

f(x1′​)。2.之后就需要计算

y

1

′

y'_{1}

y1′​，并和监督区块链上的

y

1

y_{1}

y1​进行比较，如果

y

1

≡

y

1

′

y_{1} equiv y'_{1}

y1​≡y1′​则说明陷门片段正确可以进行下一步。3.按照公式

y

i

′

=

g

∏

j

=

1

i

x

j

′

m

o

d

p

y_{i}^{prime}=g prod_{j=1}^{i} x_{j}^{prime} bmod p

yi′​=g∏j=1i​xj′​modp进行递推求解验证陷门片段的正确性。4.如果最后的计算结果和

y

y

qquad

恢复陷门的备份方法（AltRestore）只会在其中一个陷门片段失效了以后运行，剩下的陷门持有者将先公布自己的正确陷门片段，之后将会利用Shamir密钥恢复的思想恢复陷门

T

T

qquad

碰撞构造：对于一个新的信息

m

′

m'

m′，需要计算一个新的随机数

r

′

r'

r′满足

CHash

⁡

(

r

,

m

,

y

)

=

CHash

⁡

(

r

′

,

m

′

,

y

)

operatorname{CHash}(r,m, y)=operatorname{CHash}left( r^{prime},m^{prime}, yright)

CHash(r,m,y)=CHash(r′,m′,y)，

r

′

r'

r′计算公式是

r

′

=

(

m

−

m

′

+

T

r

)

⋅

T

−

1

m

o

d

q

r^{prime}=left(m-m^{prime}+T rright) cdot T^{-1} bmod q

r′=(m−m′+Tr)⋅T−1modq，之后将会对

m

′

m'

m′和

r

′

r'

r′进行广播，对信息

m

′

m'

m′和哈希值进行验证，如果哈希值不变且信息

m

′

m'

qquad

qquad

离散对数问题：如果敌手需要获取陷门片段

x

i

x_{i}

xi​，那么敌手需要获得

y

i

y_{i}

yi​、

y

i

−

1

y_{i-1}

yi−1​和

p

p

p，根据VerRestore算法，敌手如果只是知道了

y

i

−

1

y_{i-1}

yi−1​以前的公钥片段是不足以求解，同理，如果敌手知道了

y

i

+

1

y_{i+1}

yi+1​以后的公钥片段，因为这一片段必然包含

y

i

y_{i}

yi​，从而也无法进行陷门片段

x

i

x_{i}

xi​的求解。即便是直接从监管区块链上获取了

y

i

y_{i}

yi​、

y

i

−

1

y_{i-1}

yi−1​和

p

p

p，敌手也会因为计算困难而导致无法获取陷门

x

i

x_{i}

qquad

陷门的恢复：通过计算

y

i

=

y

i

−

1

x

i

m

o

d

p

y_{i}=y_{i-1}^{x_{i}} bmod p

yi​=yi−1xi​​modp即可排查出陷门片段的错误。本文将陷门恢复的情况分为了三类：（1）恶意的陷门持有者

T

H

i

TH_{i}

THi​提供了错误的陷门片段

(

x

i

,

f

(

x

i

)

)

(x_{i},f(x_{i}))

(xi​,f(xi​))（2）恶意的陷门持有者

T

H

i

TH_{i}

THi​没有及时提供陷门片段

(

x

i

,

f

(

x

i

)

)

(x_{i},f(x_{i}))

qquad

qquad

qquad

qquad

qquad

qquad