区块链本质上是一个没有管理员的、去中心化的、每个节点都拥有全部数据的分布式存储系统. 作为一种在不可信的竞争环中以低成本建立信任的新型计算范式和协作模式^[1]，区块链凭借其独有的信任建立机制而被广泛应用于全球部署的车联网^[2]、物联网^[3]、金融服务^[4-5]、智能电网^[6]、供应链^[7-8]等领域. 区块链^[9]、大数据^[10]、人工智能^[11]、云计算和网络安全为当前新兴数字产业发展的几大方向. 区块链在展露出蓬勃生命力的同时，其底层去中心化平台的安全性问题也日益显露. 2014年，著名比特币交易平台Mt.Gox声称遭到延展性攻击，总共损失了85万枚比特币，创下最高盗窃记录. 作为互联网支柱的IOTA(一种为物联网全新优化的新型小额支付加密货币)，2017年收到麻省理工学院学术研究专家组的邮件，提醒其哈希算法中的Curl-P存在漏洞，引起了学术界对区块链密码学安全技术方面的关注. 而私钥作为区块链世界中唯一用来标识用户身份的证明，一旦丢失则无法恢复. 据《白话区块链》^[12]所披露的信息，在比特币系统中，有很多被遗忘私钥的地址，其价值总额加起来高达数十亿美元. 因此，提出安全可行的区块链用户私钥管理方案是亟待解决的问题.

目前，针对区块链网络中用户私钥安全管理的问题，学术界主要围绕如何提高用户私钥生成、如何存储私钥以及私钥使用中的延展性与安全性进行研究^[13]. 在生成用户私钥阶段，Panda等^[14]提出使用单向哈希链技术生成公钥和私钥对，并允许密钥对随时进行自我验证，单项哈希链技术增加了攻击者窃取密钥的难度. 在存储私钥阶段，学术界提出本地存储、账户托管^[15-16]、离线存储^[17-18]、云存储及加密钱包保护等方案. 在使用私钥阶段，学术界提出基于门限签名^[19-20]和多重签名^[21]的方案. Zhu等^[22]提出通过仲裁流程来恢复账户的方法，该方法包括一个垃圾邮件过滤器，将合法请求与恶意或垃圾请求分开，其投票机制由博弈论和控制措施支持，以避免恶意攻击. Gennaro等^[23]提出一种有效且最佳的阈值数字签名方案，该方案仅须大于或等于门限阈值的诚实节点参与即可有效保证比特币钱包的安全性. Dikshit等^[24]提出带有比特币椭圆曲线数字签名算法的加权阈值方案，其中参与者的优先级不同，所拥有的权重也不尽相同，当且仅当所有份额的权重之和大于或等于固定阈值时，正权重才与每个参与者相关联，并且可以重建签名. 该方案的安全性很高，但如何管理每位参与者按权重持有的密钥又是一个难题.

综上所述，现有研究多数针对用户个人账户的私钥管理，并且由于用户个人选用保存私钥的方式不同，若用户不慎丢失私钥，则会无法访问，私钥碎片持有人须时刻在线，否则将因为达不到门限阈值而无法恢复用户私钥，且门限密钥共享技术在密钥分割时无法保证分割密钥的节点和拼接密钥的参与节点不作恶.

本研究在以上基础上进行优化，在各节点投票选举出主节点后，主节点进行私钥分割，在将分割的私钥碎片分发给各参与节点时加入各参与节点的身份ID，以便根据身份ID对参与节点进行追踪，并且在每一轮投票选举出新的主节点时，新的主节点重新分配私钥碎片到各参与节点; 参与节点在收到私钥片段后，对私钥片段进行验证，以防止主节点在私钥分割时作恶; 在拼接私钥阶段，参与节点验证持有的私钥片段后，验证算法在区块链网络中对验证结果进行广播，以防止参与节点在拼接私钥阶段作恶，且防止了主节点和参与节点勾结作恶的情况. 即便用户不慎遗失私钥，只须收集等于或大于门限阈值数量的密钥碎片进行拼接即可恢复原私钥，并且由于本研究在密钥分割和恢复阶段都进行验证，攻击者很难通过收集到超过门限阈值的密钥片段或攻击参与节点来窃取用户私钥. 方案还允许在私钥持有节点离线时，私钥碎片的拥有节点和主节点一起承担新密钥碎片的发布任务，以保证密钥碎片的动态管理，确保用户私钥在动态网络中的可恢复性. 区块链中可公开验证的门限密钥共享技术流程图如图1所示.

区块链是一种分布式共享总账系统，通过密码学相关技术保证其拥有防篡改、去中心化、公开透明和区块数据不可伪造等优点.

区块链通过点对点(peer-to-peer，P2P)网络协议和链式结构来实现数据的分布式存储与去中心化. 利用共识机制来约束区块链网络中每一个分散节点，维护区块链网络系统的运作顺序和公平性，使每一个互不相干的节点能够验证、确认网络中的数据，进而产生信任，达成共识. 采用密码学技术来保证存在于区块链网络中的用户密钥、传输信息的机密性、完整性、可用性和不可篡改性. 支持用户使用自动化脚本快速准确且安全地生成智能合约，极大地扩展了区块链的应用. 区块链的安全模型从下至上可以抽象为3个层次，如图2所示.

1）数据层. 数据层利用多种密码学技术如哈希函数、加密算法、Merkle树、密钥管理等来保证区块链网络中数据的安全性.

2）网络与共识层. 主要包含区块链的组网方式和共识机制. 区块链采用点对点协议进行网络传输，节点验证交易信息是否可靠并将其存储在区块中，节点通过共识机制使区块链达成一致.

3）应用层. 主要包含各种将区块链作为底层应用平台的上层应用和平台. 应用层利用区块链的高安全性的隐私保护技术、访问控制和安全审计等手段来确保其安全性. 从区块链安全模型的组成来看，其每一层都离不开密码学技术，它是区块链技术安全性得以实施的核心支撑.

Shamir(t, n)门限密钥共享技术^[25]是针对账户密钥如何可信安全地分配给多方参与者而基于拉格朗日插值算法提出的密钥共享技术. 在方案中，将共享密钥s分为n份并分发给n个参与者，每个参与者掌握一份密钥，即碎片s_i，只要集齐至少t个碎片s_i就可以将共享密钥s恢复.

密钥分发者随机选取一个 $t - 1$次多项式 $f(x)$， $f(x) = {a_{t - 1}}{x^{t - 1}} \;+\; {a_{t - 2}}{x^{t - 2}} + \cdots + {a_1}x \;+\; s$，其中， ${a_1},\;\cdots， $ $ {a_{t - 1}} \in {\bf{Z}}$，且 ${a_{t - 1}} \ne 0$.

密钥分发者选择随机多项式，多项式满足条件 $f(0) = s$，之后将s_i = f (i)分发给各参与者P_i，i = 1, 2, $\cdots,n$.

参与者中的任意t个成员 $P = \left\{ {{P_1},{P_2}, \cdots ,{P_t}} \right\}$利用拉格朗日插值法重构：

(1) $ f(x) = \sum\limits_{i = 1}^k {{s_i}} \prod\limits_{1 \leqslant j \leqslant k,\;i \ne j} {\frac{{x - {x_j}}}{{{x_i} - {x_j}}}}. $

式中： $f(x)$为重构之后的原密钥， $k$为门限值. 在构建后，可以通过s = f (0)计算出原共享密钥s.

本研究方案基于Shamir(t, n)门限密钥共享技术和Pedersen可验证密钥方案^[26]进行研究. 通过在区块链网络中使用可公开验证门限密钥共享技术，来解决传统门限密钥共享技术因自身缺陷而导致用户私钥泄露，或因持有密钥碎片的节点离线而导致用户私钥不可恢复的问题.

区块链网络中所有节点通过投票的方式选举出主节点. 设p、q分别为大素数，其中q为p−1的大素数因子， ${G_q}$为乘法循环群 $Z_p^*$的唯一q阶子群，g、h为 ${G_q}$的生成元且任何人（除了主节点外）都不知道离散对数 ${\log _g}\;h$. 假设投票选出的主节点为密钥分发者 $ D $，n个子节点为参与节点，分别用 $ {P_1},{P_2},\cdots,{P_n} $表示，门限值为 $ k $.

对于密钥 $s \in$阶为q的整数群 ${Z_q} $，主节点D广播对 $ s $的一个承诺 $ {E_0} = E(s,t) = {g^s}{h^t} $，其中 $ t \in {Z_q} $为主节点D随机选取的秘密值. 主节点D在 $ {Z_q}\left[ x \right] $中随机选取一个 $ k - 1 $次的多项式 $ F(x) = s + {F_1}x + \cdots + $ $ {F_{k - 1}}{x^{k - 1}} $，并计算 ${s_j} = F(j) $ $ (j = 1, $ $ 2,\cdots ,n)$. 主节点 $ D $随机选取 ${G_1}, {G_2}, \cdots , {G_{k - 1}} \in $ $ {Z_q}$，计算并广播对 $ {F_i} $的承诺 $ {E_i} = E\left( {{F_i},{G_i}} \right) = {g^{{F_i}}}{h^{{G_i}}} $，其中 $ i = 1,\cdots,k - 1 $. 令 $ G\left( x \right) = $ $ t + {G_1}x + \cdots + {G_{k - 1}}{x^{k - 1}} $，计算 $ {t_j} = G\left( j \right) $ $\left( j = 1,2,\cdots, n \right)$. 主节点 $ D $将(s_j, t_j)及可以用来验证子节点的身份ID秘密地发送给参与节点 $ {P_j} $作为其持有的共享密钥片段 $ \left( {j = 1,2,\cdots,n} \right) $，其中 $ \left( {{s_j},{t_j}} \right) $为密钥碎片.

每一参与节点 $ {P_j} $在收到密钥片段后，通过 $E\left( {{s_j},{t_j}} \right) = \displaystyle \prod\limits_{i = 0}^{{{k- }}1} {E_i^{{j^i}}}$来验证自己收到的密钥片段是否有效. 如果参与节点 $ {P_j} $对密钥片段验证结果为失败，则可以报怨或者拒绝，且不参与后续的密钥恢复. 假设验证失败的份额有 $c$个，则方案变成 $\left( {k,\;n - c} \right)$门限方案. 当 $c \geqslant n - k$时，可以认定主节点欺诈，进而节点重新投票选举出新的主节点.

来参与密钥恢复的 $ k $个或多于 $ k $个的子节点执行 $ {g^{{s_{i},t}}} = \displaystyle \prod\limits_{j = 0}^{k - 1} {F_{j}^{{t^j}}} $来证明自己的密钥片段是否正确. 子节点执行验证算法，在执行完毕后验证算法会将验证结果在区块链网络中进行公布. 只有验证通过的子节点才能利用拉格朗日多项式插值的方法来进行密钥拼接，区块链网络会对验证不通过的节点根据密钥分发阶段的身份ID追踪该节点并对其进行刷新.

当持有密钥碎片的节点离线时，密钥碎片的拥有节点和主节点一起为未分配的节点分配密钥片段. 主节点召集大于等于门限值的其他参与节点，对参与节点持有的密钥片段验证后进行恢复，在恢复出原密钥后重新分割密钥，再分配给其他参与节点.

$ \left( {t,\;n} \right) $门限特性是指将密钥分割后分发给 $ n $个参与节点，只须满足等于或大于 $ t $个正确节点就能恢复出原密钥，小于 $ t $个则不能恢复出原密钥. 即使攻击者获得 $ t - 1 $个密钥片段，也只能构造出 $ t - 1 $个含 $ t $个未知数的方程组：

(2) $ \left.\begin{gathered} s + {F_1}({s_1},{t_1}) + {F_{\text{2}}}{({s_1},{t_1})^{\text{2}}}{\text{ + }}\cdots{\text{ + }}{{F}_{t - 1}}{({s_1},{t_1})^{t - 1}} = F({s_1},{t_1}), \hfill \\ s + {F_1}({s_2},{t_2}) + {F_{\text{2}}}{({s_2},{t_2})^{\text{2}}}{\text{ + }}\cdots{\text{ + }}{{F}_{t - 1}}{({s_2},{t_2})^{t - 1}} = F({s_2},{t_2}), \hfill \\ \qquad\qquad\qquad\qquad\;\;\;\; \vdots \hfill\\ s + {F_1}({s_{t - 1}},{t_{t - 1}}) + {F_{\text{2}}}{({s_{t - 1}},{t_{t - 1}})^{\text{2}}}{\text{ + }}\cdots{\text{ + }}{{F}_{t - 1}}{({s_{t - 1}},{t_{t - 1}})^{t - 1}} = F({s_{t - 1}},{t_{t - 1}}). \hfill \\ \end{gathered} \right\} $

式中： $\left( {{s_i},{t_i}} \right)$为某一节点拥有的密钥碎片. 当未知数个数大于方程个数时，上述方程无解，得不到 $ F(x) $的具体形式，也就得不到 $ F(0) $，即得不到原共享密钥 $ s = f\left( 0 \right) = {a_0} $. 因此，本研究方案具有门限特性，满足至少 $ t $个参与节点才可以恢复原共享密钥.

各参与节点的不可伪造性是指任何一个参与节点都不能以其他参与节点的名义生成合法的密钥片段. 假设参与节点的身份集合为 ${\rm{ID}} = \left\{ {{\rm{ID}}_1},{{\rm{ID}}_2},\cdots, $ $ {{\rm{ID}}_t} \right\}$，对于参与节点 $ {P_i} $，其身份 $ {{\rm{ID}}_i} $是已知的.

攻击1　攻击者 $ {P_j} $冒充 $ {P_i} $来进行密钥拼接. 在密钥拼接前须先进行密钥验证， $ {P_j} $执行验证函数 $ {g^{{s_{i},t}}} = \displaystyle \prod\limits_{j = 0}^{k - 1} {F_{i,j}^{{t^j}}} $不通过，随后 $ {P_j} $验证失败的结果被公布在区块链网络中，区块链网络根据 $ {P_j} $的身份ID追溯到 $ {P_j} $，之后对 $ {P_j} $节点进行刷新. 因此， $ {P_j} $无法冒充 $ {P_i} $.

将本研究方案与方案1^[23]、方案2^[24]、Shamir门限密钥共享方案进行安全性对比，其分析结果如表1所示. 本研究的方案具有抗合谋攻击性、无需可信节点参与且允许动态添加参与节点，可以保证用户私钥的安全及隐私.

区块链中可公开验证的密钥共享技术和Shamir门限密钥共享技术方案的实验环境如下: 操作系统为Windows10家庭中文版64位，CPU为Inter(R) Core(TM)i7-10510U CPU@1.80 GHz 2.30 GHz，内存大小为16 GB，利用Java开发语言来实现. 可验证密钥共享算法伪代码如下所示.

算法1 publicly verifiable secret sharing

1. function setPartyShares

2. for i ← 0 to total

3. for j ← 1 to threshold

4. secret division result

5. end

6. end

7. function setIndiviualShares

8. for i ← 0 to share.size()

9. while tShares > 0

10. secret splicing;

11. end

12. end

13. function verifyShare()

14. verify shares;

15. verify secret fragment;

16. verify result;

17. function mergeShares

18. while entry

19. get secrcet shares

20. end

21. while entry2

22. secret splicing;

23. end

私钥可恢复性是指区块链网络中参与节点动态变化时，用户可以通过主节点收集足够的密钥碎片恢复出他的私钥. 如图3所示为4种方案的比较，设置实验中有20个参与节点. 在本研究所提出的方案中，所有节点均使用动态分配的方式分配密钥碎片，门限值为11；方案1^[23]、方案2^[24]和Shamir门限密钥方案的门限值固定设为10，在实验中节点随机加入或者退出网络. 图中，Ru为区块链节点的更新率，r为私钥恢复率. 可以看出，随着节点更新率的增加，方案2^[24]和Shamir门限密钥方案的私钥可恢复率相近，方案1^[23]的私钥可恢复率相对高一些. 当节点的更新率达到35%时，方案2^[24]由于节点持有的密钥碎片权重不同，其私钥可恢复率接近0，Shamir门限密钥方案的私钥可恢复率接近15%，方案1^[23]的私钥可恢复率有所下降. 而本研究推荐的方案可以有效应对节点退出或加入的情况，通过主节点召集参与节点的方式使得新加入节点也拥有密钥碎片，保证碎片规模，使得私钥可恢复性保持在一个较高的水平. 即使网络节点更新率达到40%，本研究推荐的方案中也仍有超过80%的私钥可以恢复. 因此，本研究推荐的方案更适合动态区块链网络，能够有效容忍携带密钥碎片节点的退出和新节点的加入.

当合法用户请求恢复私钥时，区块链网络中主节点广播恢复私钥请求到其他节点，持有私钥碎片的节点首先执行验证算法，在验证无误后参与恢复私钥. 设置有20个参与节点，门限值从11到18，以恢复密钥需要的门限值作为横坐标，密钥恢复时间作为纵坐标，本研究推荐方案、方案1^[23]、方案2^[24]和Shamir门限密钥方案的对比图如图4所示. 图中，T为恢复时间. 本研究推荐方案、方案1^[23]、方案2^[24]和Shamir门限密钥方案的密钥碎片被分布在区块链网络中的不同节点中，拼接私钥需要整个区块链网络中超过门限数量的密钥碎片，即使本研究方案对每一份密钥碎片都进行公开验证，密钥恢复的时间和其他3种方案依然相差不大，且本研究的方案在保证用户私钥不会泄露的同时提高了区块链网络的安全性.

节点作恶是指区块链网络中恶意节点对持有的密钥进行篡改，导致恢复阶段私钥拼接失败的情况. 对本研究所提出的方案和Shamir门限密钥共享方案，模拟节点作恶的情况. 如图5所示为节点作恶时密钥可恢复性的展示. 设置场景中有20个参与节点，1个主节点，门限值为12. 图中，n_e为作恶节点数量. 当作恶节点数 > 参与节点数−门限值时，所有方案的私钥均不可恢复，因此，模拟最多8个节点作恶的情况. 可以看出，随着作恶节点数量的增加，私钥可恢复率均有所下降，当作恶节点数量超过4时，Shamir门限密钥方案的私钥可恢复率急速下降; 而本研究推荐方案的私钥可恢复率均保持在85%左右. 因此，本研究推荐的方案在抵抗恶意节点作恶时安全性更高，能够容忍更多作恶节点.

用户数量不同时的私钥可恢复性是指在区块链网络中，当用户数量不同，参与私钥恢复的节点数也不同时私钥的可恢复率. 如图6所示为本研究方案用户数量n_u不同时的私钥可恢复率. 区块链网络中的用户数量从1增加至12，参与节点为15（门限值10）和20（门限值14），n_u为区块链网络中的用户数量. 当区块链网络中参与节点为15个，用户数量不超过4时，私钥可恢复率为100%，此后随着用户数量的增加，私钥可恢复率缓慢下降，当用户数量增加到12个时，私钥可恢复率接近60%; 当区块链网络中参与节点为20个，用户数量不超过3时，私钥可恢复率为100%，此后随着用户数量的增加，私钥恢复率均约为60%，当用户数量增加到12个时，私钥可恢复率为50%. 即使节点数量和用户数量不断增加，本研究推荐方案的私钥可恢复率均约为50%，因此本研究推荐的方案适用于中小规模区块链网络.

针对当前区块链网络中用户私钥丢失或泄露的安全性问题，设计区块链中可公开验证门限密钥共享技术. 动态门限的设计使得即使持有密钥碎片的节点离线，仍可以保证用户私钥的可恢复性. 安全性分析表明本研究的方案具有门限特性、不可伪造性和可追踪性，适用于动态区块链网络.

在下一步研究中，将对密钥拼接算法进行研究，在区块链网络中用户数量增多时，进一步提高用户私钥的可恢复率，使其适用于大规模区块链网络.