周 健，孫麗艷，付 明

1.安徽財經(jīng)大學管理科學與工程學院，安徽蚌埠233041

2.北京郵電大學計算機學院，北京100083

1 引言

區(qū)塊鏈是比特幣的基礎支撐技術[1]，首次出現(xiàn)在中本聰（Satoshi Nakamoto）發(fā)表的《比特幣：一種點對點式的電子現(xiàn)金系統(tǒng)》文獻中[2]，它具有去中心化、不可篡改、去信任化和可溯源等特性，廣義的區(qū)塊鏈技術有望徹底重塑人類社會活動形態(tài)[3]，為金融、科技、文化、政治等領域帶來深刻的變革[4-6]。區(qū)塊鏈建立在密碼學的基礎上，如哈希函數(shù)、公鑰機制、橢圓密碼曲線等，通過密碼學的特性保證在非可信的分布式環(huán)境中如何進行安全交易，防止諸如51%攻擊、偽造身份、重復交易、支撐犯罪活動等問題[7]。密鑰基礎的性質決定了區(qū)塊鏈的安全特性和功能性，通過密碼基礎為區(qū)塊鏈技術提供新的功能和安全性質是區(qū)塊鏈研究的一個重要內容，未來區(qū)塊鏈將進一步利用密碼學技術衍生新功能[8]。

比特幣的所有權是通過數(shù)字密鑰、比特幣地址和數(shù)字簽名來確立的[9]。在基于區(qū)塊鏈的虛擬貨幣系統(tǒng)中私鑰是用戶唯一的身份證明和安全證明基礎[10]，它由用戶自主產生并維護，無需第三方支持[11]。它能夠標志區(qū)塊鏈用戶身份，是用戶之間進行虛擬貨幣交易的基礎，區(qū)塊鏈的交易受到私鑰的控制，私鑰的安全性直接關系賬戶的交易資金的流向，因此私鑰安全受到惡意攻擊者的極大關注。私鑰實際上并不是存儲在網(wǎng)絡中，而是由用戶生成并存儲在一個文件或簡單的數(shù)據(jù)庫中，稱為錢包[12]。存儲在用戶錢包中的數(shù)字密鑰完全獨立于比特幣協(xié)議，可由用戶的錢包軟件生成并管理，而無需區(qū)塊鏈或網(wǎng)絡連接。因此錢包是保存管理密鑰的工具，錢包安全是虛擬貨幣系統(tǒng)中非常值得研究的安全問題。

區(qū)塊鏈錢包本身的安全性很高，采用非對稱密鑰機制，保證了安全性和有效性，針對錢包私鑰的安全性問題集中在三方面：（1）使用困難，256 bit的私鑰表現(xiàn)成50個字符長度形式，難以記憶，采用輔助交易的方式給攻擊者提供了機會，一旦委托方的失效或者被攻擊，將導致財產損失[13]。（2）不可恢復性，由于沒有可靠的第三方支持，私鑰僅由資產所有者持有，一旦錢包丟失或被偷竊，不僅密鑰不能夠被恢復找回，攻擊者實施的惡意交易行為也無法撤銷和跟蹤[14]。（3）難以托管，區(qū)塊鏈建立在完全分布式基礎上，將私鑰托管在可信第三方不僅不符合區(qū)塊鏈的結構設計，也會引發(fā)單點失效問題，托管方成為攻擊重點[15]。上述安全性質使得區(qū)塊鏈錢包的私鑰保護對于區(qū)塊鏈的安全具有十分重要的意義[16]。

本文基于門限密鑰協(xié)議[17]提出一種私鑰保護和恢復機制，通過動態(tài)的門限密鑰機制將用戶的私鑰分成與網(wǎng)絡規(guī)模等同的密鑰碎片，即使私鑰丟失，網(wǎng)絡成員可通過收集超過門限數(shù)量的密鑰碎片恢復私鑰，契合區(qū)塊鏈分布式存儲結構。私鑰保護過程中，容忍網(wǎng)絡的擴展，私鑰的更新規(guī)模小于網(wǎng)絡規(guī)模。安全性上，攻擊者需要攻擊超過網(wǎng)絡半數(shù)以上的成員才能恢復私鑰，隨著網(wǎng)絡規(guī)模的增加，攻擊網(wǎng)絡的困難程度不斷增加。每個節(jié)點維護網(wǎng)絡的密鑰碎片，建立密鑰碎片樹，通過交互密鑰碎片樹信息維護全網(wǎng)的密鑰完整性。建議的錢包保護方案為區(qū)塊鏈中私鑰的保護提供一種可行安全方案。

2 研究現(xiàn)狀

私鑰安全性研究主要包括私鑰的生成安全、存儲安全和使用安全。現(xiàn)有的方案側重從上述三方面提出增強錢包安全性的安全方案。

在私鑰的生成安全性研究上，文獻[18]提出了隨機種子的方法，引入存儲在本地設備的隨機種子，將該隨機種子與密碼結合在一起通過橢圓密碼曲線生成完整的私鑰，但是僅僅依靠隨機種子在沒有密碼的情況下無法生成完整的私鑰，且能夠在用戶忘記密碼的情況下恢復完整的私鑰，操作簡單，但并不能防止隨機種子和密碼被盜取。

在私鑰保存方式安全性研究上，冷存儲將私鑰的隔離存儲在一個硬件設備上，文獻[19]提出比特幣硬件令牌，錢包私鑰永久存儲在離線硬件上，用戶輸入正確的口令才能解密拿到私鑰簽署交易，因為不需直接連接到比特幣網(wǎng)絡所以生成成本低，但問題是如果用戶的令牌和口令不幸同時被盜取將會給用戶造成不可挽回的損失。文獻[20]提出的托管賬戶是一種依靠第三方來管理私鑰的托管賬戶方案，幫助用戶管理私鑰，這種方案能夠有效避免用戶不慎遺失私鑰的問題，這個第三方必然會成為攻擊者的目標，并且在用戶大量交易的時候，可能會出現(xiàn)服務延遲的現(xiàn)象。此外兩因子錢包（two factor wallet）將私鑰分為兩個部門，分別保存在電腦和智能手機上，只有兩個部分都同意簽發(fā)，交易才能確認，進一步擴展將私鑰分成多個部分存儲在不同的硬件設備上，但是同樣交易的效率受到影響[21]。

在私鑰的安全使用方式研究中，文獻[22]提出雙重認證機制，交易的確認不僅與私鑰簽名相關，而且交易過程與郵箱或移動智能終端設備相關，在提高私鑰安全使用的前提下犧牲了私鑰的匿名性。在私鑰的使用，文獻[23]首次提出使用門限密鑰管理私鑰，文獻[24]提出的加權閾值簽名方案是將密鑰分成多個份額。由多個參與者持有，且參與者具有不同的優(yōu)先級，即每個參與者所占的權重不相同。每個參與者根據(jù)權重持有不同份額的密鑰。這個方案確實能達到極高的安全性，但是管理各個參與者的密鑰是一大難題。文獻[25]提出的多重簽名錢包類似于拜占庭容錯機制，在簽署一筆交易時需要N個成員中M個成員來簽署才能生效，其中N和M是可自由設定的，這種方案可靠的前提是創(chuàng)建多重簽名錢包時的大多數(shù)賬戶都是可信的，且如果可靠的賬戶錯過了簽名將使惡意賬戶有機可乘。上述方案通過門限機制將私鑰分成多個碎片，解決私鑰可恢復性問題，但是這些方案存在如下的缺陷：首先，忽略了成員的動態(tài)性，由于私鑰碎片分配給不同的成員，這些成員可能因為環(huán)境或內部因素導致?lián)p毀或失效，進而導致密鑰碎片的在線存儲規(guī)模小于規(guī)定的可恢復的門限閾值，造成私鑰不可恢復；其次，固定的門限值會降低系統(tǒng)的安全性，隨著密鑰碎片的增加，攻擊者有更多的機會收集到小閾值規(guī)模的密鑰碎片；然后，私鑰持有人為了維護門限密鑰，必須始終在線，增加了系統(tǒng)維護成本。建議的方案在此基礎上進行優(yōu)化，允許在私鑰持有者離線情況下，具有超門限數(shù)量的密鑰碎片的持有者承擔新密鑰碎片的發(fā)布，保證密鑰碎片實施動態(tài)管理，規(guī)模與網(wǎng)絡的規(guī)模相關，保證私鑰在動態(tài)網(wǎng)絡中可恢復性。

3 門限密鑰

本文基于Shamir(t,n)門限密鑰分享方案[26]，該方案是基于多項式的Lagrange插值公式的密碼技術，把分享秘密sk分為n個不同的部分，即碎片sski，任何成員只要收到至少t個碎片sski就能恢復分享秘密sk。

初始化階段：

步驟1秘密分享者user選擇秘密多項式f(x)=，其中ai∈Z，f(x)的常系數(shù)部分為共享秘密sk。

步驟2秘密分享者user給分享者uj(i=1,2,…,n)分配密鑰碎片，計算，并將sskj秘密通過安全信道發(fā)送給uj，uj是節(jié)點的標志或身份。

秘密恢復階段：

步驟1任意t個參與者S={u1,u2,…,ut}可以通過公式重構sk，計算如下的公式：

步驟2成員uk?S通過下式計算分享的密鑰碎片：

4 錢包狀態(tài)

成員的公鑰加密密鑰和私有解密密鑰由區(qū)塊鏈的錢包生成，錢包的狀態(tài)決定了私鑰的狀態(tài)。如圖1錢包包含五種狀態(tài)。新加入錢包，以新成員身份加入網(wǎng)絡中，成員生成私鑰，并向全網(wǎng)絡發(fā)布該私鑰對應的密鑰碎片。在線錢包，成員在網(wǎng)絡中處于活躍階段，負責私有解密密鑰的新碎片的生成。離線錢包，成員在網(wǎng)絡中處于非活躍狀態(tài)，不能負責新密鑰碎片的生成，此時由持有該密鑰碎片的門限數(shù)量的在線錢包負責生成密鑰碎片。失效錢包，錢包所有者可能因為密鑰丟失或被竊取，導致所有者無法恢復私有解密密鑰，通過線下身份確認，由超過門限數(shù)量的在線節(jié)點恢復私有解密密鑰。死亡錢包，一旦網(wǎng)絡中錢包對應的密鑰碎片數(shù)量小于給定的門限值，并且碎片對應的歸屬錢包處于非在線狀態(tài)，則網(wǎng)絡中成員刪除失效的密鑰碎片，并保持全網(wǎng)絡密鑰碎片的同步性。

Fig.1 Status transfer of blockchain wallet圖1 區(qū)塊鏈錢包的狀態(tài)轉移

5 錢包保護機制

區(qū)塊鏈錢包的保護機制需要滿足如下的條件，每個成員具有全網(wǎng)唯一的地址或標識，建立互鎖機制，當新成員注冊和成員錢包恢復不能并發(fā)執(zhí)行，即系統(tǒng)在一定時間間隔內只能執(zhí)行新成員注冊或錢包恢復操作。絕大部分成員保持在線狀態(tài)，極少數(shù)的成員會丟失或較長時間段內不在線。網(wǎng)絡中任意時間段內增加的節(jié)點數(shù)量超過死亡節(jié)點數(shù)量。

5.1 錢包初始化階段

5.2 新錢包加入階段

5.3 密鑰碎片追加

因此對于離線錢包，在離線狀態(tài)下門限值不變，這也使得離線下，隨著網(wǎng)絡規(guī)模的增加，離線節(jié)點的安全性逐漸降低。

當錢包由離線狀態(tài)轉為在線狀態(tài)，錢包提高新門限閾值t′(t′＞t)，目前的門限值t，不失一般性，設網(wǎng)絡錢包身份為(u1,u2,…,ut,…,ut′,…,uN)。

5.4 錢包恢復機制

當錢包私鑰丟失時候，錢包ul向全網(wǎng)絡廣播，提出申請恢復錢包，即恢復私有解密密鑰skl,i，接收請求的在線錢包發(fā)送密鑰碎片＜ul,sskl,i＞，當密鑰碎片規(guī)模超過規(guī)定門限值，成員執(zhí)行恢復過程。

步驟1成員ul發(fā)送恢復錢包私鑰請求，請求恢復密鑰。

步驟2成員ui同意后，查找對應的私鑰碎片，加密EPKl(sskl,i)，并將其發(fā)送給成員。

步驟3成員收集密鑰碎片sskl,i，如果碎片規(guī)模小于門限值，則返回恢復失??；否則，利用門限數(shù)量的密鑰碎片恢復密鑰。

步驟4恢復密鑰的成員更新方程，為沒有獲得此密鑰碎片的成員分配密鑰碎片。

網(wǎng)絡錢包的私鑰碎片分布隨著錢包的加入和退出產生變化，一直在線的錢包能夠與網(wǎng)絡保持同步，因此可以將密鑰碎片分發(fā)到每個錢包，并保持密鑰碎片的一致性，但是也存在部分錢包的密鑰碎片可能因為離線和不滿足門限數(shù)量的持有密鑰碎片的在線錢包，導致該私鑰無法恢復，也使得網(wǎng)絡中錢包存儲無法恢復的密鑰碎片，造成空間浪費。盡管網(wǎng)絡中每個錢包持有相同錢包的不同密鑰碎片，從錢包的角度出發(fā)，每個錢包的密鑰碎片結構是相同的，因此維護全網(wǎng)的密鑰碎片同步很必要。

表1中有7個錢包，橫坐標為時間段，縱坐標為時間點，括號內的參數(shù)值為網(wǎng)絡規(guī)模、門限值、自身碎片數(shù)量，可見1和2錢包始終是在線狀態(tài)，6和7是后加入節(jié)點，一直保持在線狀態(tài)，4和5節(jié)點加入后離線，4節(jié)點死亡。網(wǎng)絡中在線的錢包保存的密鑰碎片狀態(tài)為如下形式：

錢包1的密鑰碎片圖如圖2所示，錢包2的密鑰碎片圖如圖3所示，錢包3的密鑰碎片圖如圖4所示，錢包4的密鑰碎片圖如圖5所示。

步驟1錢包發(fā)布自己的密鑰碎片樹的從上到下的哈希值，如節(jié)點1發(fā)布樹根哈希值H(1,2,3,4,5,6,7)，節(jié)點2發(fā)布樹根哈希值H(1,2,3,4,5,6,7)，節(jié)點3發(fā)布樹根哈希值H(1,2,3,5,6,7)，節(jié)點4發(fā)布樹根哈希值H(1,2,3,5,6,7)。

Tabel 1 State of key fragments in wallets表1 錢包中密鑰碎片狀態(tài)變化

Fig.2 Key fragments of wallet 1圖2 錢包1的密鑰碎片圖

Fig.3 Key fragments of wallet 2圖3 錢包2的密鑰碎片圖

Fig.4 Key fragments of wallet 3圖4 錢包3的密鑰碎片圖

Fig.5 Key fragments of wallet 4圖5 錢包4的密鑰碎片圖

步驟2每個錢包回復哈希值，如果確認值滿足哈希值，則停止發(fā)送確認，否則執(zhí)行步驟3，如錢包1得到來自錢包2的1個確認，錢包2得到來自錢包1的1個確認，錢包3得到來自錢包4的1個確認，錢包4得到來自錢包3的1個確認，它們都不滿足。

步驟3沒有滿足確認數(shù)量的錢包發(fā)送密鑰樹下一層次的哈希值，如節(jié)點1發(fā)送H(1,2,3,4),H(5,6,7)；節(jié)點2發(fā)送H(1,2,3,4),H(5,6,7)；節(jié)點3發(fā)送H(1,2,3),H(5,6,7)；節(jié)點4發(fā)送H(1,2,3),H(5,6,7)；返回步驟2確認數(shù)量，錢包1得到H(1,2,3,4)的1個確認和H(5,6,7)4個確認，錢包2得到H(1,2,3,4)的1個確認和4個H(5,6,7)確認，錢包3得到H(1,2,3)的1個確認和4個H(5,6,7)確認；錢包4得到H(1,2,3)的1個確認和4個H(5,6,7)確認。

依次類推，每個錢包詢問子樹H(1,2)的4個確認，最終得到H(3)的4個確認和H(4)的2個確認，因此錢包4不滿足門限值，成為死亡節(jié)點，錢包1和2刪除葉子節(jié)點4。

6 安全性分析

安全性分析包括私鑰完整性、抗合謀攻擊、私鑰可恢復性、容忍損毀和匿名性。

6.1 私鑰完整性

私鑰的完整性包括個體的私鑰完整性和整體網(wǎng)絡私鑰的完整性。個體在密鑰更新過程中，盡管每個成員的多項式方程的階數(shù)增加，但是多項式的常系數(shù)部分不變，值為私鑰，因此每個成員更新多項式方程后，私鑰仍舊保持不變，動態(tài)門限值的調整使得密鑰碎片多次更新后，仍然保證私鑰不變。與方案[23-25]不同,個體在密鑰恢復過程中，通過收集超過門限數(shù)量的密鑰碎片確保密鑰的完整性，即使個體處于非在線狀態(tài)，網(wǎng)絡中具有超過門限數(shù)量的私鑰碎片個體，它們保證網(wǎng)絡動態(tài)規(guī)模增加中成員私有密鑰的不變性，容忍網(wǎng)絡成員的動態(tài)變化，保證系統(tǒng)的穩(wěn)定性。整體網(wǎng)絡私鑰的完整性即保證每個成員具有相同的密鑰碎片樹，具有全網(wǎng)全部可恢復私鑰的碎片，通過私鑰碎片的撤銷機制刪除死亡的密鑰碎片，保證全網(wǎng)的每個節(jié)點具有相同的密鑰碎片樹。

6.2 抗合謀攻擊

門限機制保證不超過門限數(shù)量的任意碎片不能恢復私鑰，成功攻擊可能通過收集超過節(jié)點創(chuàng)世門限值達到成功攻擊，或者需要攻擊一半以上的全網(wǎng)絡成員，與方案[23-25]對比，隨著網(wǎng)絡規(guī)模的不斷增加，需要收集的碎片規(guī)模也不斷增加，攻擊難度逐漸增加。錢包在非在線狀態(tài)時，為保持私鑰樹的完整性，在門限值不變的情況下增加密鑰碎片，盡管對于攻擊者增加了成功攻擊碎片的機會，但是密鑰的攻擊強度不變，攻擊者仍舊需要收集門限數(shù)量的密鑰碎片。新加入節(jié)點必須確認當前網(wǎng)絡的規(guī)模，可以從區(qū)塊賬本中獲得可信的網(wǎng)絡規(guī)模，否則惡意節(jié)點可以通過不斷加入網(wǎng)絡欺騙獲得密鑰碎片，增加成功攻擊的機會。

6.3 私鑰可恢復性

密鑰丟失后，合法成員向超過門限數(shù)量的成員提出請求，通過密鑰碎片恢復出私鑰。每個錢包通過安全信道收集門限值數(shù)量的碎片后，執(zhí)行如下公式得到私鑰。

既然參與分配的節(jié)點和被分配節(jié)點使用相同的分配方程f(x)，且它的常系數(shù)部分為sskl，則最佳私鑰具有可恢復性。

當節(jié)點由離線狀態(tài)轉為在線狀態(tài)，更新方程為：

因此f(0)=sskw，因此當節(jié)點從離線轉變?yōu)樵诰€時，重新分配的還是原來的私鑰。

6.4 容忍損毀

方案[23]中，節(jié)點失效導致私鑰恢復過程失敗，因為沒有足夠的密鑰碎片，方案[24]中，持有密鑰碎片較多的成員的失效對系統(tǒng)的影響更大。在建議的方案中，部分錢包損毀導致密鑰碎片的損毀，網(wǎng)絡仍然可以通過收集超過門限值數(shù)量的密鑰碎片恢復出私有密鑰，區(qū)塊鏈網(wǎng)絡中任意成員的身份對等，因此個體的損毀對每個私鑰的影響程度是一致的。但是當成員處于離線狀態(tài)時，由于不能及時調整門限值，節(jié)點損毀會增加離線節(jié)點恢復私鑰的困難性，當節(jié)點損毀的數(shù)量使得現(xiàn)有的私鑰碎片少于門限值時，該離線節(jié)點的私鑰將死亡。通過節(jié)點合作的方式為離線節(jié)點補充密鑰碎片，防止私鑰的死亡。

6.5 匿名性

不同門限值的設置會泄露錢包的隱私。錢包的密鑰碎片由私有持有者負責分發(fā)，無可信第三方支撐。盡管每個成員擁有不同的私鑰碎片，每個成員持有的私鑰具有對等性，攻擊者不能根據(jù)密鑰碎片區(qū)別節(jié)點的身份。密鑰恢復過程只需要提供密鑰碎片，無需提供錢包身份。

7 效率性分析

效率性分析包括計算開銷、消息開銷、存儲開銷。文獻[23-25]中門限值的設置與網(wǎng)絡規(guī)模無關，因此它們的開銷與網(wǎng)絡規(guī)模無關，建議的方案門限值設置與網(wǎng)絡規(guī)模相關，因此建議方案的開銷與網(wǎng)絡規(guī)模相關。

7.1 計算開銷

計算開銷主要集中在加密密鑰碎片和解密密鑰碎片操作。

新成員加入時，每個成員使用多項式方程計算一個碎片值，執(zhí)行N次加密運算，每個成員執(zhí)行一次解密運算，同時其他成員執(zhí)行次加密運算為其他成員發(fā)送一個新的密鑰碎片，總計加密次數(shù)，解密次數(shù)相同。

成員非在線時，門限數(shù)量t的錢包承擔密鑰碎片的分解，每個錢包為其他錢包發(fā)送一個碎片執(zhí)行一次加密，N-t個錢包執(zhí)行t次解密操作，總計加密次數(shù)t(N-t)，解密次數(shù)相同。

密鑰碎片樹是一個二叉樹結構，因此最多執(zhí)行l(wèi)bN哈希值計算。

7.2 消息開銷

新成員加入時，發(fā)送N次消息，同時其他成員發(fā)送次消息。成員非在線時，承擔密鑰碎片的分解的門限數(shù)量t的錢包發(fā)送至多t(N-t)次消息。

7.3 存儲開銷

設網(wǎng)絡的在線規(guī)模為N，則每個錢包至少N存儲開銷需要保存網(wǎng)絡中每個節(jié)點的至少一份碎片，存儲開銷與網(wǎng)絡規(guī)模成線性相關性。

8 實驗仿真

通過實驗仿真驗證方案的有效性，文獻[23]和文獻[25]本質上是一種方案，只是前者將門限方案應用于密碼保存，后一種方案將門限方案應用于實際支付過程，因此實驗中將文獻[23]和文獻[25]歸類為一種方案[23]，文獻[24]提出方案[24]是對方案[23]的一種優(yōu)化，每個成員分配的碎片規(guī)模根據(jù)身份重要性而不同。

8.1 私鑰可恢復性

私鑰的可恢復性是指在成員動態(tài)變化的情況下資產所有者能夠通過收集足夠的密鑰碎片恢復它的私鑰。圖6中給出3種方案的比較，設置的場景中有1 000個區(qū)塊鏈節(jié)點。建議的方案中，100個節(jié)點使用動態(tài)分配的方式分配密鑰碎片，門限值為50；方案[23]和方案[24]使用固定的門限值，門限值設為20。場景中節(jié)點隨機地退出網(wǎng)絡或者新節(jié)點加入網(wǎng)絡中。橫坐標是區(qū)塊鏈節(jié)點的更新率，縱坐標是私鑰的可恢復率。由于節(jié)點的加入或退出導致方案[23]和方案[24]中攜帶碎片的節(jié)點退出，使得私鑰無法恢復，而方案[24]中由于節(jié)點攜帶的碎片規(guī)模不同，隨著更新率的增加，攜帶較大規(guī)模的節(jié)點退出網(wǎng)絡的概率較大，因此加劇了私鑰可恢復率的急劇下降，圖中當節(jié)點的更新率達到20%時候，只有幾個節(jié)點能夠恢復私鑰，方案[23]和方案[24]不能容忍攜帶密鑰碎片節(jié)點的加入和退出。而推薦的方案中盡管節(jié)點退出或加入，通過合作的方式使得新加入節(jié)點也擁有密鑰碎片，保證碎片規(guī)模，使得私鑰可恢復性保持在一個較高的程度，盡管網(wǎng)絡節(jié)點更新率達到20%，建議方案中的超過90%的私鑰仍舊可以恢復。因此建議方案適合動態(tài)區(qū)塊鏈網(wǎng)絡，能夠容忍攜帶密鑰碎片節(jié)點的加入或退出。

Fig.6 Recovery rate of private key圖6 私鑰的恢復率

8.2 私鑰恢復延時開銷

Fig.7 Time delay of private key recovery圖7 私鑰恢復延時

當合法使用者請求恢復私鑰時，會廣播發(fā)送請求給其他區(qū)塊鏈節(jié)點，擁有對應密鑰碎片的節(jié)點會共享該碎片，進而恢復私鑰，為了保證私鑰恢復過程的匿名性，私鑰碎片被隨機地分布在網(wǎng)絡中，私鑰擁有者沒有碎片分布的知識。在圖7中設計10種場景，網(wǎng)絡規(guī)模分別為100節(jié)點到1 000節(jié)點，每種場景規(guī)模差距為100個節(jié)點，作為橫坐標，網(wǎng)絡密度分布均勻，分別使用建議方案、方案[23]和方案[24]，考察3種方案為了恢復私鑰需要的延時，以跳數(shù)作為縱坐標。由于3種方案中密鑰碎片是被均勻分布在網(wǎng)絡中，私鑰需要搜索整個網(wǎng)絡尋找超過門限數(shù)量的密鑰碎片，因此它們需要的延時與網(wǎng)絡的規(guī)模相關，而與采用的門限密鑰方案無關。

9 結束語

本文提出了一種基于門限密鑰的錢包私鑰管理方式，即使發(fā)生錢包丟失或遺失，區(qū)塊鏈網(wǎng)絡成員通過協(xié)商合作恢復出該私鑰，同時當錢包離線中，門限數(shù)量的持有該錢包密鑰碎片的其他錢包合作保持全網(wǎng)的私鑰碎片的分發(fā)，使得全網(wǎng)的密鑰碎片結構同步，通過對密鑰碎片樹的哈希值提供高效的通信交互效率。私鑰的分布式管理過程具有非中心化、開放性和自治性的特點，無需可信第三方的介入，契合區(qū)塊鏈網(wǎng)絡的內在特征。下一步工作中研究如何激勵節(jié)點參與到私鑰的分布式保護策略，以及提高私鑰碎片的分布效率。