面向區塊鏈貿易系統的無管理者安全模型

黃龍霞，王良民，張功萱

（1.江蘇大學計算機科學與通信工程學院，江蘇 鎮江 212013；2.南京理工大學計算機科學與技術學院，江蘇 南京 210094）

1 引言

隨著各種電子錢包的發展，以數字貨幣為主體的貿易系統以不可阻擋的發展速度在生活中得到普及。傳統的集中式貿易系統在解決智能服務貿易時賦予中心實體過高的權力，而權力集中會帶來集權者濫用權力的問題。但簡單地從貿易系統中取消管理者，會使貿易系統因管理員的缺失而產生惡意貿易、處理不及時等情況[1]，進而導致貿易系統可靠性以及安全性受到威脅。因此，如何設計分布式分中心的服務貿易模型、突破分布式架構下的關鍵技術、確保貿易的可靠性和安全性成為亟待解決的問題[2]。

隨著區塊鏈技術的發展，越來越多的貿易系統引入該技術[3]。區塊鏈是指一系列基于密碼學原理而不基于中心節點的通用技術，具備去中心化、公開透明、去信任、匿名性和不可篡改性等屬性[4]，用于在點對點的分布式網絡中交換信息和數字資產。通過引入機制允許所有節點參與，對貿易進行一致性協商使貿易民主化，在如物聯網、邊緣計算、政府管理、云計算、金融、醫療和物流等領域均得到了廣泛的應用[5-6]。

基于區塊鏈技術建立貿易系統借助區塊鏈的去中心化和去信任的屬性，可以解決傳統貿易系統中存在的中心化集權的問題[7]，但完全去中心的公有鏈無法滿足企業的需求，同時在隱私和監管方面均存在不足，因而實際應用中企業往往選擇具備部分去中心和提供隱私保護及監管的聯盟鏈[8]。在聯盟鏈中，買家發起的貿易需要網絡中的背書節點進行背書簽名，只有在管理者確認買家已收齊背書的情況下，買家才可以繼續執行貿易提交的操作。在本文方案的無管理者貿易模型中，該環節的安全性與高效性由同態屬性與雙線性對[1]來保證。買家可自行驗證是否收齊背書簽名，且僅當收齊背書簽名，買家在后續階段中能夠通過驗證。

同態屬性還可以實現大量信息的高效驗證，鑒于區塊鏈中區塊的設置，每個區塊存儲的信息有限，因此需借助線上驗證?線下存儲的模式[9]。隨著時間的推移，貿易系統會以不可預估的速度產生大量數據，因此需要考慮如何高效驗證線下存儲的貿易信息的正確性，同時還需要在驗證過程中確保數據信息的隱私不被泄露。公開審計技術借助挑戰?應答協議[10]，能實現大量數據的安全與高效驗證，以及基于區塊鏈的貿易系統的安全性與高效驗證。為了提高驗證效率并確保驗證安全性，本文方案在貿易驗證階段引入了公開審計技術。

除了安全性，基于區塊鏈的貿易系統中的部分去中心化帶來的系統不穩定問題也亟須處理，系統中貿易處理不及時、參與者發布惡意貿易等問題均會降低貿易系統的可靠性。所以，基于區塊鏈技術的貿易系統需要合理的激勵機制[11]。雖然聯盟鏈中的節點是被指定的或者為利益共同體，但是對買家的正確行為進行獎勵以及對惡意行為進行懲罰，有利于減少惡意貿易出現的機會，使貿易系統良化。本文方案采取一種快速的判定方法，該方法根據實體行為對信譽值進行加分或減分，對信譽值高的買家所發起的貿易優先處理，確保系統穩定的同時鼓勵實體執行正確操作。

本文方案中去管理者的貿易系統流程能夠同時從可靠性和安全性兩方面來提高基于區塊鏈的貿易系統的質量。本文的貢獻如下。

1) 實現了去管理者的安全背書認證，借助同態屬性，使用戶在收到所有背書節點的背書簽名后可自行生成有效的背書簽名，且支持高效密鑰更新。

2) 實現了高效且安全的批量貿易驗證，引入公開審計技術，實現驗證階段的批量高效簽名驗證，且不需要使用其他實體的私有信息。

3) 保證了貿易系統的可靠性，采用基于信譽的激勵機制對任務進行排序，減少高信譽用戶等待時間并周期性對所有節點的信譽值進行定量評估。

針對中心實體或者管理者所導致的權限集中與濫用權力的問題，公有鏈系統的結構采取完全去中心化[12]，開放性在帶給用戶獲取鏈上數據權限的同時給隱私保護和監督帶來威脅；私有鏈在解決如上問題時會引起信息孤島的問題[8]。因而，兼具管理、認證、授權、監控、審計的聯盟鏈成為貿易系統的首選，但為了適應無管理者安全模型，還需要引入新的技術來實現安全的去中心。

自2007年Ateniese等[13]基于RSA（Rivest-Shamir-Adleman）算法提出非可信存儲環境中的可證明數據持有協議，使用了同態加密和雙線性對技術。之后基于該協議，多種公開審計方案應用于云環境[1]、無線體域網[14]等領域以確保遠程數據的正確性。文獻[15]加強了原有完整性驗證方法，解決了驗證者使用收集的證明信息獲取用戶身份隱私或者數據隱私的問題。Wang 等[16]結合區塊鏈技術和RSA 簽名實現高效的私有數據持有證明，系統管理者負責公有參數的設定與私有信息的分發。以上方法可提高貿易系統中的海量貿易信息的驗證效率，同時批量驗證允許驗證者同時處理多個審計任務請求，大大降低驗證開銷[17]。為防止驗證者在驗證過程中通過線性結合收到的驗證信息來恢復出信息，驗證過程中的隱私保護不容忽視，對此，文獻[18]使用盲化技術對發送的信息進行保護，文獻[1]使用聯盟鏈對驗證者進行管理與控制，文獻[19]設計了一個基于物流行業的區塊鏈應用與監管系統，用分級分層模式實現了具有隱私保護的可追溯。

聯盟鏈為貿易系統提供管理、認證、授權、監控、審計等功能，但背書節點具備過于集中的權力。針對集權化問題，Fu等[20]指出這種設置將導致權力濫用和誣陷等問題，并提出將單個管理者的身份認證權力分發給若干管理者共同維護，實現身份追溯權力的分發。Huang等[1]借助秘密共享技術將權力分發給每個參與用戶，直接取消管理者，但是由于全員參與的設定，該方案的計算與通信開銷均較高，且每次的密鑰更新均涉及所有參與實體，這導致不支持高效的成員動態。而貿易系統中的動態性也是不可忽視的，因此以上方法不能直接應用于無管理者的貿易系統。

現有的激勵機制主要有基于互惠機制的方案、基于電子貨幣的機制和基于信譽的激勵機制?；诨セ輽C制的方案根據用戶的貢獻度來匹配價值相當的服務[21]，但系統中的實體需要建立長期的互惠關系。最廣為人知的激勵策略是基于貨幣的機制，通過將記賬節點獲取的獎勵定期減半[22]來鼓勵礦工挖礦，但該激勵機制基于公有區塊鏈，無法直接應用于本文方案?；陔娮迂泿诺臋C制需要集權的可信中心，均不適用于無管理者貿易系統?；谛抛u的激勵機制評估用戶的信譽值，信譽值高的用戶可獲得更好的服務。同時，根據參與實體的貿易表現及時地進行信譽更新也是很有必要的[23]。

2 預備知識

2.1 雙線性對

群G1和G2代表2 個q階乘法循環群，g是群G1的生成元，雙線性對e:G1×G1→G2具備如下特性。

1) 對于群G1中每個元素u,v∈G1和素數域中每個元素a,b∈Zq，有e(u a,vb)=e(u,v)ab=e(ub,va)。

2) 對于群G1中的每個元素u1,u2,v∈G1，可得到e(u1u2,v)=e(u1,v)e(u2,v)。

3)e是可計算的且是不可解的，也就是說e是非退化的，即e(g,g) ≠ 1。

本文方案中密碼算法安全性依賴于2 個困難問題，具體如下。

1) DL（discrete logarithm）問題。給定循環群的生成元g和公鑰Y=g x∈G1，計算出私鑰x∈Zq在計算上是困難的。

2) CDH（computational Diffie-Hellman）問題。給定元組在未知α,β的情況下計算出在計算上是不可行的。

2.2 區塊鏈

比特幣熱潮之后，其背后的技術支持?區塊鏈技術進入人們的視野，并在工業界與學術界均成為熱點。從嚴格定義上來說，區塊鏈分為3 種類型：公有鏈、私有鏈和聯盟鏈。公有鏈上的操作是公開的；私有鏈是比較封閉的局域網；聯盟鏈由參與實體共同維護并提供對參與成員的管理、認證、授權、監控、審計等全套安全管理功能。聯盟鏈是一種特定的區塊鏈，具有多個預選節點，從而以適中的成本建立分布式共享數據庫[24]。

2.3 公開審計技術

作為公開審計技術的核心內容，挑戰?應答協議使用4 個步驟完成第三方驗證，借助挑戰–應答協議，公開審計使驗證者在不知道用戶私鑰的情況下使用公開信息對遠程存儲的信息進行完整性驗證，且不需要下載所有存儲的信息。公開審計模型如圖1 所示。

圖1 公開審計模型

如圖1 所示，用戶群中的實體可自行存儲/下載信息，可通過執行挑戰–應答協議驗證存儲至云服務器的數據。首先用戶給驗證者發送驗證請求；收到驗證請求的驗證者發送挑戰信息給云服務器；云服務器根據挑戰信息使用本身存儲內容計算生成證明信息并返回給驗證者；驗證者在驗證證明信息的正確性后將結果返還給用戶。具體的過程可參考文獻[10]。

2.4 同態認證技術

同態性在實現數據密文可計算的同時能保證明文不可見，即某一信息先計算后加密與先加密后計算所得到的結果是相同的。同態認證技術便基于該屬性，其是公開審計技術實現安全抽樣驗證的基礎。該技術主要應用了同態性的2 種屬性：無塊驗證與不可延展性[14]。其中，無塊驗證利用了同態屬性使驗證者在驗證文件完整性時不需要下載該文件；不可延展性可有效防止不良實體使用線性結合已有的信息生成組合文件的簽名，除非該實體竊取了正確的簽名私鑰。

2.5 基于信譽的激勵機制

在區塊鏈貿易系統中，為了確保貿易系統的穩定性與及時性，需要加入激勵機制以加速貿易的確認與打包?；谛抛u的激勵機制對積極參與的實體進行信譽獎勵，信譽值高的實體能夠在貿易打包過程中獲取較高的優先級，以此激勵實體執行正確的操作。

3 系統模型

3.1 安全交互模型

如圖2 所示，本文方案的安全交互模型包含3 種實體：認證中心、貿易節點群和聯盟鏈網絡。認證中心負責所有參與者的注冊與登錄；貿易節點群由買家與賣家組成；聯盟鏈網絡中有3 種節點，分別是背書節點、排序節點和記賬節點，這3 種節點分別負責貿易背書、貿易排序和貿易驗證。

本文方案的安全交互模型包含10 個步驟，具體如下。

步驟1用戶向認證中心注冊、登錄，同時信譽值賦值。

步驟2買家向背書節點提交貿易提案。

步驟3背書節點基于信譽進行背書簽名。

步驟4背書節點返回貿易模擬。

步驟5買家向排序節點提交貿易。

步驟6排序節點執行排序共識算法。

步驟7排序節點在全網廣播區塊。

步驟8記賬主節點對貿易結果進行批量驗證。

步驟9全網同步區塊鏈信息。

步驟10記賬主節點根據驗證結果進行信譽減分及終止貿易，全網節點進行信譽反饋與更新。

3.2 設計目標

為了實現安全的去管理者貿易系統，本文方案需要實現以下目標。

圖2 安全交互模型

1) 無管理者。在背書簽名階段，買家可自行生成有效的背書簽名。

2) 正確性。若實體誠實地執行簽名/協議，一定能夠通過完整性驗證。

3) 不可偽造性。在沒有簽名者的私鑰的情況下，其他實體無法偽造正確的簽名。

4) 抗重放攻擊。在正確的數據塊被損壞的情況下，存儲實體無法進行重放攻擊。

5) 隱私保護。在驗證過程中，驗證者無法從收到的驗證信息中獲取敏感信息。

6) 高效性。在驗證貿易信息和判斷事件成功時均能實現快速驗證。

7) 動態性。當背書節點群發生變化時，系統能夠快速實現密鑰更新。

4 貿易系統的無管理者安全模型

本文基于區塊鏈技術提出的貿易系統中的安全模型包含3 個階段：背書階段、貿易階段和信譽管理階段，具體包含8 個算法：用戶注冊與登錄、貿易提案提交、基于信譽的背書、買家提交貿易、排序共識、貿易結果驗證、不良貿易節點懲罰和信譽反饋與更新。為便于讀者理解，本文所用符號及其含義如表1 所示。

4.1 背書階段

算法1用戶注冊與登錄。該算法由認證中心運行，輸入為用戶的身份信息，輸出為買家用戶的初始化系數。具體執行過程如下。

認證中心為系統中每個用戶P隨機從素數域中選取sk∈Zq作為用戶的私鑰，使用循環群G的生成元g計算公鑰pk=gsk∈G，公私密鑰對(sk,pk)中的私鑰sk 通過安全通道發送給對應用戶P，公鑰pk 為系統公開信息；用戶P的信譽值被初始化為θ；每個背書節點的私鑰為；集合Δ為背書節點的集合；背書簽名的公鑰為

算法2貿易提案提交。該算法由買家實體運行，輸入為買家的密鑰信息和貿易信息，輸出為貿易提案的參數列表txa，具體執行過程如下。

首先，買家Pa通過連接到背書節點來與區塊鏈網絡進行通信；然后買家Pa使用ska對貿易信息m加密生成客戶端簽名σm，生成參數列表包含身份標識IDa，合約標識與方法SCa，貿易信息m，時間戳T，客戶端簽名σm；最后買家Pa將貿易提案的txa發送給背書節點。

算法3基于信譽的背書。該算法由背書節點運行，輸入為貿易提案和背書節點的密鑰，輸出為貿易提案的模擬執行結果，具體執行過程如下。

4.2 貿易階段

算法4買家提交貿易。該算法由買家運行，輸入為用戶的身份信息與貿易模擬結果，輸出為貿易簽名信息，具體執行過程如下。

首先，買家Pa將背書節點群Δ里所有背書節點返回的貿易提案初模擬結果進行整合，計算得到簽名信息若未收集到足夠的貿易提案初模擬結果，貿易失??；然后，買家Pa將包含貿易模擬結果、最終背書簽名信息以及自身節點信息的貿易提案模擬結果{rm,ρe,Pa}上傳至半可信云服務器[1]，云服務器驗證是否成立，若成立則接收該信息進行存儲；最后，買家Pa將貿易m相關信息提交給排序節點群中的排序節點PO，并附上排序節點的身份標識idO。

算法5排序共識。該算法由排序節點運行，輸入為若干有效背書，輸出為打包好的貿易區塊，具體執行過程如下。

首先，排序節點PO根據某一時段中來自貿易群組若干買家產生的共計N條貿易信息，即N條有效背書，記為使用式(1)對每個貿易信息的背書進行驗證，其中，聚合而成。

其中，H(?)表示哈希函數，pke表示背書節點的公鑰，g表示循環群G的生成元，e(?)表示雙線性對運算；排序節點PO計算排序值其中，Tj表示貿易信息的時間戳值，Θj表示貿易信譽值，αj表示共識算法中時間戳的權重值，βj表示共識算法里面貿易信譽值的權重值，αj和βj均由系統按照實際需求設定；計算貿易的賣家PA的信譽值其中，q表示貿易買家信譽權重值，由系統按照實際需求設定；θa表示貿易買家Pa的信譽值；排序節點PO將收到的所有貿易信息按照計算得到的排序值νj的大小進行排序，完成貿易打包。最后，排序節點PO將打包好的貿易區塊發送給記賬主節點PC，并附上記賬節點身份標識idC。

算法6貿易結果驗證。該算法由記賬主節點運行，輸入為打包好的貿易區塊，輸出為驗證結果，具體執行過程如下。

記賬主節點PC為記賬節點群選取的群組中信譽值最高的記賬節點PC。首先，記賬主節點PC將排序節點發送的貿易區塊中的信息進行驗證，使用同態認證的同態特性對若干信息同時進行驗證，即驗證式(2)是否成立。驗證分為3 個步驟：1) 記賬主節點PC選取一個由c個隨機數組成的集合I來定位本次驗證向云服務器挑戰的c個貿易，集合I（即I為挑戰貿易的下標集合）中每個元素選擇隨機數生成內容為的集合R，將集合發送給存儲貿易的云服務器；2) 云服務器根據集合R和存儲的信息計算和并將證明值(S,P)返還給記賬主節點；3) 記賬主節點根據收到的信息來驗證式(2)。

其中，J為集合I中每個下標對應貿易信息的買家的身份集合，IDδ為集合中買家的身份標識，和ργ分別為貿易背書及其簽名。

4.3 信譽管理階段

算法7不良貿易節點懲罰。該算法由記賬主節點運行，輸入為打包好的貿易區塊，若驗證不通過輸出新的信譽值，具體執行過程如下。

記賬主節點PC丟棄驗證不通過的貿易區塊，根據無效信息對跟該貿易相關的買家、賣家、背書節點、排序節點進行信譽減分。設原信譽值θi為實體Pi與記賬主節點PC進行交互的事件集合為集合E中事件的權重集合記為集合E中事件成功與否的結果集合記為取1 時表示成功，取0 時表示失??；記賬主節點PC計算若R=0，則說明實體Pi進行了不良操作，因此需要對實體Pi進行信譽值減分，得到新信譽值wi表示事件ei對應的權重值。然后，重復上述步驟直至所有參與實體完成信譽更新。

算法8信譽反饋與更新。該算法由記賬主節點運行，輸入為打包好的貿易區塊，若驗證不通過則輸出為新的信譽值，具體執行過程如下。

首先，記賬主節點PC計算R=v1∧v2∧ …∧vn，若R=1則說明實體Pi對所有貿易進行了誠實操作，實體Pi進行信譽值加分重復上述步驟直至所有參與實體完成信譽更新；全網同步信譽積分后，新的信譽值θ'i作為該節點Pi下次貿易成功的預測值。

5 安全證明和性能分析

5.1 安全性證明

為了證明本文方案的安全性，本節從正確性、不可偽造性、抗重放攻擊、隱私保護、安全密鑰更新方面進行證明。

1) 正確性。按照背書算法生成的簽名能夠通過簽名驗證，正確存儲了文件信息的云能夠通過驗證。

由此可知，式(2)成立，即說明云服務器正確存儲了相關信息。

證畢。

2) 不可偽造性。除了合法的背書節點，其他實體無法生成有效的背書簽名。

證明假設算法A是一個(t',ε')算法，元組(t',ε')表示算法A以優勢ε'偽造能夠通過驗證的簽名的運行時間是t'。敵手一共最多可以執行qH次哈希查詢和qS次簽名查詢。算法B是一個(t,ε)算法，即算法可在時間t內以優勢ε解決CDH 問題，其中其中，是冪運算的時間。

算法B使用元組構造公鑰，為了生成簽名，敵手借助算法B使用算法A進行哈希查詢和簽名查詢。對于每個貿易背書信息的哈希查詢，算法通過擲硬幣，以px概率擲出0。如果擲出0，算法則選取隨機數o∈Zp并返回否則返回h=go。因為隨機數o也是從域Zq隨機選取出的，所以算法無法區分擲硬幣的結果。

針對敵手的每次簽名查詢，算法均進行擲硬幣，簽名查詢的擲硬幣結果與哈希查詢的擲硬幣結果是相互獨立的。如果擲硬幣結果為0，則說明敵手要哈希查詢的結果來攻擊公鑰，那么算法B退出；否則，算法B返回簽名查詢結果，其中h'=g b go。

由于CDH 問題是難解，因此算法B中的優勢概率ε是極低的，也就是說敵手在未知私鑰的情況下無法偽造正確的簽名。

證畢。

3) 抗重放攻擊。本文方案能夠抵抗重放攻擊。

證明云存儲服務器只有在使用本身存儲的正確的信息并按照挑戰?應答協議計算出證明信息的情況下，才能夠通過貿易結果驗證階段的驗證。

證畢。

4) 隱私保護。記賬主節點在驗證貿易信息的正確性時無法從驗證信息中獲取貿易信息。

證明在貿易結果驗證階段，記賬主節點選取的挑戰信息為其中sγ為隨機數；記賬主節點從服務器得到的證明信息(S,P)，其中

挑戰集合的大小為|I|，假設貿易信息所在域包含q個元素，如果使用窮舉法從證明信息中獲取貿易信息和背書簽名需要來驗證q|I|次。而域的大小是一個大素數，隨機集合I中隨機數個數的選取決定了破解的難度，在文獻[10]中詳述了集合個數的選取原則，在此不做累述。在性能分析階段，本文方案選取300 或者460 個隨機數進行挑戰，在q為大素數的基礎上，窮舉法的選項接近無窮大，因此，本文方案在貿易驗證階段確保記賬主節點無法在驗證過程中獲取貿易信息。

證畢。

5) 安全密鑰更新。當背書節點加入或者退出貿易系統時，背書簽名密鑰的更新是安全的。

證畢。

5.2 性能分析

本節首先分析本文方案的計算和通信開銷，然后通過與IPANM（incentive public auditing scheme for non-manager）方案對比來評估本文方案的性能，此外本節還對比了普通驗證與批量驗證的性能。為了方便讀者閱讀，表2 列出了本節中所用符號的含義。

表2 密碼運算符號的含義

5.2.1計算開銷

計算開銷主要集中在貿易方法中算法4 當中的背書簽名的合成與算法6 貿易結果的驗證。在背書簽名合成階段，買家將收集的來自各個背書節點的簽名進行整合計算，所需開銷為。因為驗證背書簽名時使用的驗證公鑰也需要計算開銷，即為，所以背書簽名的合成的總計算開銷為

表3 計算開銷

5.2.2通信開銷

本文方案的通信開銷來自算法2 中貿易提案的提交、算法3 中背書簽名的匯總、算法4 中買家提交貿易和算法6 中貿易驗證階段中協議交互。如表4所示，算法2 最后提交貿易提案其中，的長度均為|id|，信息m的長度為，簽名σm的長度為|G1|，故算法2的通信開銷為

表4 通信開銷

買家在運行算法 4 之后需要提交信息{rm,ρe,Pa}提交，其中模擬結果rm的長度為|Zq|，背書簽名ρe的長度為|G1|，身份信息Pe的長度為|id|。所以算法4 的通信開銷為（|id| +|Zq| +2|G1|）。

在實現貿易結果驗證的算法6 中，涉及通信開銷的有兩步：挑戰信息發送和證明信息發送。挑戰信息為集合R={＜γ,sγ＞}γ∈I，需要的通信開銷為2c|Zq|，證明信息(S,P)長度為2|G1|。因此算法6的通信開銷為2c|Zq| +c|G1|。

5.2.3實驗結果

在實驗仿真中，本文方案使用PBC（pairing based cryptography）[25]庫來模擬所有方案中的密碼操作，所有的實驗均在Ubuntu 系統中進行，實驗次數不少于1 000 次，該系統配置為Intel Core i7 3.40 GHz。為了確保檢測概率高于99%，可以在應用時設置挑戰塊數c=460。本文將和|G1|的長度設置為160 bit，|id|的長度設置為40 bit，n為參與實體的總個數，根據秘密共享的最低安全性要求，設置門限值。為解決管理者集權帶來的問題，IPANM[1]將管理員的權限分發給每個普通用戶，由若干用戶共同完成管理員的工作，從而取消管理員。本文方案受IPANM 的啟發，在聯盟鏈中實現多背書節點子簽名的安全高效聚合。

背書簽名的生成。本文方案中為了貿易系統的安全性，采取多背書節點對同一貿易進行背書的方法，并且取消管理者進行背書聚合，以避免權力集中的管理者濫用權力。本文方案中，買家在收集齊所有背書節點的背書之后，自行聚合成最終背書簽名，保證系統安全與背書簽名安全的同時會產生的計算額外開銷。

本文方案中背書簽名生成的計算開銷隨背書節點個數的增加呈線性增長，但是額外開銷的單位為微秒（μs），考慮到該方案區塊鏈環境下不需要搜索確認背書簽名是否收集齊，該部分開銷是在可接受范圍內的，尤其在網絡環境不佳的情況下。如圖3 所示，本文方案的計算開銷明顯優于IPANM 方案，原因是在密鑰協商階段，每個用戶均需參與并進行3輪計算。

圖3 簽名聚合階段的計算開銷對比

圖4 簽名聚合階段的通信開銷對比

圖5 簽名聚合分階段的通信開銷對比

高效驗證?；陔p線性對的屬性，本文方案中的貿易驗證可實現聚合驗證，即批驗證，因此比普通驗證的一一驗證節省了可觀的計算開銷。

如圖6 所示，相比于普通驗證，批驗證具備明顯的優勢。當挑戰塊數c=460 時，錯誤檢測率可達至少99%，對應普通驗證的計算開銷為5.737 12 ms，批驗證的計算開銷為0.035 458 ms，僅為普通驗證的0.6%。主要原因是執行雙線性對計算的開銷過大，普通驗證執行的雙線性對次數與挑戰塊數成正比，而批驗證中的雙線性對計算次數獨立于挑戰塊數。

圖6 貿易驗證階段的普通驗證與批驗證對比

6 結束語

在傳統的集中式貿易系統中，集中式管理者擁有過高的權力，本文提出面向區塊鏈貿易的去管理者安全模型，同時解決因去管理者所造成的不安全背書、貿易時延以及貿易低效等問題?；谛抛u的激勵機制保證了誠實用戶貿易的及時性，安全分析證明引入同態加密和公開審計技術的無管理者安全貿易模型具備正確性、不可偽造性、抗重放攻擊、隱私保護和安全密鑰更新。性能分析表明了本文方案在計算開銷與通信開銷上均具有明顯優勢。綜上，本文方案實現了貿易系統的安全性和可靠性。