CN109274481B

CN109274481B - 一种区块链的数据可追踪方法

Info

Publication number: CN109274481B
Application number: CN201810862064.0A
Authority: CN
Inventors: 马添军; 徐海霞; 李佩丽; 穆永恒
Original assignee: Data Assurance and Communication Security Research Center of CAS
Current assignee: Data Assurance and Communication Security Research Center of CAS
Priority date: 2018-08-01
Filing date: 2018-08-01
Publication date: 2020-03-27
Anticipated expiration: 2038-08-01
Also published as: WO2020024465A1; US20210144006A1; CN109274481A

Abstract

本发明公开了一种区块链的数据可追踪方法。本方法为：1)监管机构生成公共参数pp；各用户生成自己的注册信息并发送给监管机构；2)监管机构验证用户的注册信息并公开；3)当区块链应用中的数据需间接参与用户的公开信息且需提供身份证明时；A_create中的各用户获取B_other中自己所需的间接参与数据创建的用户身份证明；A_create中各用户创建自己的身份证明，然后生成数据data_trace＝[{proof_id}_id∈I,data_body]_crytool并发送到节点网络中；4)节点网络验证通过收到的用户数据后将其记入区块中；5)监管机构从区块链获取数据，并对其进行解密得到每个数据所对应的身份集合。

Description

一种区块链的数据可追踪方法

技术领域

本发明属于信息安全技术领域，涉及区块链的可追踪机制设计方案，具体为利用变色龙哈希(chameleon hash)，简洁非交互零知识证明(zero-knowledge Succinct Non-interactive ARgument of Knowledge，zk-SNARK)等技术来实现对区块链用户隐私信息的追踪，能够保证协议执行的安全性和整体高效性。

背景技术

进入21世纪，随着互联网、云计算、大数据、人工智能等技术的快速发展，整个社会越来越数字化、网络化与智能化。而越来越受产业界与学术界所关注的区块链，其所呈现的数字化、网络化、智能化、数据不可篡改等特性，更能够满足当今社会发展的需求。现如今，区块链技术在军事、金融、物联网、云计算、人工智能、通信、保险、医疗等领域有着非常不错的应用前景。

区块链起源于中本聪所提出的比特币，是比特币核心支撑技术，实现了用户之间点对点直接支付，而无需中心机构存在。区块链可以看成是一种分布式数据系统(分布式账本)，以区块存储数据，区块结构分为区块头与区块体，每个区块的块头中存有前一个区块的块头哈希值，从而形成区块链。区块链具有分布式，去中心化，匿名性，安全可靠，数据透明等特性。区块链并不是单一的技术，而是密码学技术、点对点网络技术等多种技术的整合。

现在，针对区块链的研究主要侧重于增强区块链的隐私保护，提高区块链数据处理速度以及区块链结构的安全性分析等方面。但是，却忽略了对区块链数据提供可监管机制。区块链的强隐私保护为诸如勒索软件，洗钱等违法犯罪行为提供了便利，这阻碍了区块链的广泛应用。为此，针对区块链发展的现实需求，本发明提出一种区块链可追踪方案，使得只有监管机构能够对区块链中的数据进行监管，获取用户私密信息，如用户身份，数据内容等，而其他人无法获取用户私密信息。这样，监管机构可以借助于可追踪机制来有效打击利用区块链的违法犯罪行为，为区块链的健康稳定发展提供必要的保证。

本发明借助了密码学中的变色龙哈希，简洁非交互零知识证明等密码学技术来实现区块链的可追踪机制方案构建：

1.变色龙哈希

定义1.1一个变色龙哈希有四种算法cham_hash＝(Setup，KeyGen，Chash，UForge)组成：

·Setup(λ)：输入安全参数λ，输出公共参数pp；

·KeyGen(pp)：输入公共参数pp，输出公私钥对(HK，CK)，HK为公钥，CK为私钥，又称为陷门；

·Chash(HK，m，r)：输入公钥HK，消息m，随机数r，输出变色龙哈希值CH；

·UForge(CK，m，r，m，)：输入私钥CK，消息m，随机数r，消息m′。输出另一个数r′满足CH＝Chash(HK，m，r)＝Chash(HK，m′，r′)。

定义1.2变色龙哈希满足的安全性要求：

·碰撞稳固(collision resistance)：没有一个有效算法在输入公钥HK，可以找到m₁≠m₂的两对(m₁，r₁)和(m₂，r₂)，满足Chash(HK，m₁，r₁)＝Chash(HK，m₂，r₂)。

·陷门碰撞(trapdoor collisions)：存在有效算法，在输入陷门CK后，对于任意的m₁，r₁，给定m₂，可以计算出r₂，满足Chash(HK，m₁，r₁)＝Chash(HK，m₂，r₂)。

·语义安全(semantic security)：对于任意消息m₁，m₂，Chash(HK，m₁，r₁)与Chash(HK，m₂，r₂)的概率分布是不可区分的，特别地，当r为随机选择时，从Chash(HK，m，r)无法得到关于m的任何信息。

本发明使用Hugo Krawczyk与Tal Rabin所提出的变色龙哈希方案：

·Setup(λ)：输入安全性参数λ，构造一个满足安全参数λ的大素数p，q，其中p，q满足p＝kq+1，选取乘法循环群

中阶为q的元素g，输出公共参数pp＝(p，q，g)；

·KeyGen(pp)：输入公共参数pp，在乘法循环群

中随机选择指数x，计算h＝g^x。最后得到私钥CK＝x，公钥HK＝h；

·Chash(HK，m，r)：输入公钥HK＝h，消息m，随机数r，m，r均为

中的元素，输出变色龙哈希值CH＝g^mh^r mod p；

·UForge(CK，m，r，m′)：输入私钥CK＝x，消息m，随机数r，消息m′，m，r，m′均为

中的元素，根据CH＝g^mh^r＝g^m′h^r′mod p，可得m+xr＝m′+xr′mod q，继而可计算出r′。

2.简洁非交互零知识证明

定义2.1域F上的算术电路AC：Fⁿ×F^h→F^l的算术电路可满足问题是关系R_AC＝{(statement，witness)∈Fⁿ×F^h|AC(statement，witness)＝0^l}；它的语言为L_AC＝{statement∈Fⁿ|

满足AC(statement，witness)＝0^l}。

定义2.2语言L_AC(具有关系R_AC)的zk-SNARK包含3个有效算法II＝(Gen，Prove，Verify)：

·生成算法Gen：输入安全性参数λ，域F上算术电路AC，输出证明密钥pk，验证密钥vk；

·证明算法Prove：输入pk，(statement，witness)，输出对使用证据witness的陈述statement的证明π；

·验证算法Verify：输入vk，statement，π，若π为statement的有效证明，则输出1，否则输出0。

另外，本发明方案使用公开可验证的zk-SNARK，也就是(pk，vk)都公开作为公共参数。

3.公钥加密方案

定义3.1公钥加密方案(Public-Key Encryption Scheme)包含四种算法Γ＝(Setup，KeyGen，ENC，DEC)：

·初始化算法Setup(λ)：输入安全性参数λ，输出公共参数pp_enc；

·私钥生成算法KeyGen(pp_enc)：输入安全性参数pp_enc，输出公私钥对(pk_enc，sk_enc)；

·加密算法ENC(pk_enc，m)：输入公钥pk_enc，消息m，输出密文C；

·解密算法DEC(sk_enc，C)：输入私钥sk_enc，密文C，则输出明文m或⊥(表示C为无效密文，无法解密)。

发明内容

针对现有区块链中数据无法有效监管问题，本发明的目的在于提供一种针对区块链中数据的可追踪方案。

本发明的技术方案为：

一种区块链的数据可追踪方法，其步骤包括：

1)监管机构生成公共参数pp；各用户生成自己的注册信息C_loginfo并发送给监管机构；

2)监管机构验证用户的注册信息，并将各注册用户身份所对应的h||CH_id公开；h为变色龙哈希的公钥，CH_id为身份id的变色龙哈希值；

3)当区块链应用中的数据需要间接参与用户的公开信息且需要提供身份证明时；A_create中的各用户获取B_other中自己所需的间接参与数据创建的用户身份证明；A_create中各用户创建自己的身份证明，然后生成数据data_trace＝[{proof_id}_id∈I，data_body]_crytool并发送到节点网络中；其中，{proof_id}_id∈I为用户身份证明集合，身份id的用户身份证明为proof_id，I为需提供身份证明的用户身份id集合，A_create＝{a₁，...，a_n}是直接参与数据创建且需提供身份证明的用户公开信息集合，B_other＝{b₁，...，b_n′}是间接参与数据创建且需提供身份证明的用户公开信息集合；data_body包含数据内容以及不需要提供身份证明的用户公开信息，crytool代表密码学工具；

4)每当节点网络中的验证节点收到用户数据，会验证数据中的用户身份和数据内容，如果均通过验证，则将数据记入区块中，之后节点网络根据共识机制对网络中的某个区块达成共识，并记入区块链；

5)监管机构从区块链获取数据，并对数据中相应的密文进行解密，之后查询相关记录得到每个数据所对应的身份集合。

进一步的，所述公共参数pp＝(pk_loginfo，vk_loginfo，pk_idproof，vk_idproof，pk_au，pp_chash)，其中，(pk_loginfo，vk_loginfo)为证明(statement，witness)∈R_loginfo的证明密钥/验证密钥对，(pk_idproof，vk_idproof)为证明(statement′，witness′)∈R_idproof的证明密钥/验证密钥对，pk_au为监管机构的公钥，pp_chash为变色龙哈希方案的公共参数，陈述statement＝(id，g，h，CH_id)，证据witness＝(x，r)，关系R_loginfo为：{(statement，witness)|h＝g^x∧CH_id＝g^idh^r}；陈述statement′＝(rt，pub，g，pk_au，C_id)，证据witness′＝(path_id，CH_id，x，h，priv，r′，rn)，关系R_idproof为：{(statement′，witness′)|pub＝gen(priv)∧h＝g^x∧CH_id＝cham_hash.CHash(h，priv，r′)∧C_id＝Γ.ENC(pk_au，rn，h)∧TreeBranch(rt，path_id，h||CH_id)}；其中，g为乘法循环群

中阶为q的元素，x为乘法循环群

中一随机数，并且是计算CH_id的私钥，r为计算CH_id的随机数，rt为Merkle树的树根，path_id为从h||CH_id到rt的路径，pub为用户的公开信息，priv为用户的私密信息，rn为用于加密的随机数，注册用户身份所对应的h||CH_id以Merkle树的形式公开。

进一步的，用户使用zk-SNARK证明算法Prove(pk_loginfo，statement，witness)生成证明π_loginfo；π_loginfo用以向监管机构证明用户知道witness使得(statement，witness)满足关系R_loginfo，但不会泄露关于证据witness的任何信息；用户保存(id，g，h，CH_id，x，r)，并使用监管机构公钥将(statement，π_loginfo)加密发送给监管机构。

进一步的，监管机构收到密文后解密恢复出(statement，π_loginfo)，首先检查身份id的有效性，然后使用zk-SNARK验证算法Verify(vk_loginfo，statement，π_loginfo)来验证用户是否知道证据witness使得(statement，witness)满足关系R_loginfo；若验证都通过，则保存(h，id，CH_id)，并将h||CH_id以Merkle树的形式公开。

进一步的，生成所述身份证明的方法为：身份id的用户P注册成功后，从监管机构公开的Merkle树中获取路径path_id，然后根据所拥有的公开信息和私密信息(pub，priv)，计算r′＝cham_hash.UForge(CK，id，r，priv)，之后用户P使用监管机构公钥对h进行加密得密文C_id＝Γ.ENC(pk_au，rn，h)；用户P生成陈述statement′＝(rt，pub，g，pk_au，C_id)和证据witness′＝(path_id，CH_id，x，h，priv，r′，rn)，然后使用zk-SNARK证明算法Prove(pk_idproof，statement′，witness′)生成证明π_id，最终用户P得到关于身份id的证明信息proof_id＝(statement′，π_id)。

进一步的，验证身份证明的方法为：验证节点使用zk-SNARK验证算法Verify(vk_idproof，proof_id)来验证用户是否知道证据witness′使得(statement′，witness′)满足关系R_idproof，若验证通过，则身份证明合法，否则身份证明验证失败。

进一步的，监管机构从区块链数据data_trace中获取密文集合

对于密文集合C中每一

计算

查询(h，id，CH_id)记录，获取h_i所对应的身份id_i并将id_i加入到身份集合ID中，最终，获取data_trace所对应的身份集合ID。

本发明的主要内容涉及：

1.区块链数据模型

在区块链的应用中，每个用户都有公开信息(public information，pub)，如公钥地址，序列号等，和与之对应的私密信息(private information，priv)，如私钥地址，签名私钥等。公开信息是由私密信息生成的。如比特币中的公钥地址与私钥是ECDSA的公私钥对，或者Zerocash中的公钥地址是由私钥地址通过伪随机函数生成的。所以，用户公开信息与私密信息之间存在着生成关系，即pub＝gen(priv)。但是，无论以何种方式生成公开信息和私密信息，它们有一共同点，那就是使用数据必须要有相应私密信息的用户才可以进行，即用户私密信息保证了用户惟一使用数据的权利。

区块链可以看作是一个分布式数据库，其上存储的是数据。未使用可追踪机制的区块链中数据模型为：

data_untrace＝[U，data_body]_crytool

其中，U为需提供身份证明的用户公开信息，data_body为数据主体，其包含了数据内容以及不需要提供身份证明的用户公开信息。crytool代表密码学工具，用来保证数据的不可篡改、隐私保护等特性。

U＝{A_create，B_other}，A_create＝{a₁，...，a_n}是直接参与数据创建且需提供身份证明的用户公开信息集合。a_i(1≤i≤n)代表了用户P_i的公开信息，如公开地址，序列号等。A_create可能为空，如比特币中的交易数据存在可链接性，那么只需要对输出地址，即下述的间接参与数据创建的用户，提供身份证明就可以达到追踪的目的。B_other＝{b₁，...，b_n′}是间接参与数据创建且需提供身份证明的用户公开信息集合，用以接收数据，如比特币中的输出地址。B_other也有可能为空，如用户只是单纯的创建保存在区块链中的数据，不需要其它参与方。

本发明设计可追踪机制的主要策略在于向区块链数据中需要提供身份证明信息的用户追加身份证明，附图1显示了区块链可追踪机制中的数据模型：

data_trace＝[{proof_id}_id∈I，data_body]_crytool

其中{proof_id}_id∈I为用户身份证明集合，替换了data_untrace中的U。I为需提供身份证明的用户身份id集合，|I|＝|U|。proof_id为身份id的用户身份证明。

2.区块链可追踪方案概述

假设监管机构已按照下一小节中可追踪方案的Setup算法生成公共参数pp＝(pk_loginfo，vk_loginfo，pk_iaproof，vk_idproof，pk_au，pp_chash)，其中，(pk_loginfo，vk_loginfo)为证明(statement，witness)∈R_loginfo的证明密钥/验证密钥对，(pk_idproof，vk_idproof)为证明(statement′，witness′)∈R_idproof的证明密钥/验证密钥对，关系R_loginfo，R_idproof在下面进行描述，pk_au为监管机构的公钥，pp_chash＝(p，q，g)为变色龙哈希方案的公共参数。从下述几个方面来概述本发明的可追踪方案：

1)用户注册

用户P调用cham_hash.KeyGen(pp_chash)算法得到变色龙哈希的公私钥对(h，x)，之后用户计算自身身份id的变色龙哈希值CH_id＝cham_hash.Chash(h，id，r)＝g^idh^r mod p。这样，用户得到陈述statement＝(id，g，h，CH_id)与证据witness＝(x，r)，用户要向监管机构证明(statement，witness)满足关系R_loginfo：{(statement，witness)|h＝g^x∧CH_id＝g^idh^r}，即“给定陈述statement，用户知道证据witness满足：(1)变色龙哈希的公钥h被正确计算：h＝g^x；(2)变色龙哈希CH_id被正确计算：CH_id＝g^idh^r。”

用户使用zk-SNARK证明算法Prove(pk_loginfo，statement，witness)生成证明π_loginfo。π_loginfo用以向监管机构证明用户知道witness使得(statement，wftness)满足关系R_loginfo，但不会泄露关于证据witness的任何信息。之后用户保存(id，g，h，CH_id，x，r)，并使用监管机构公钥将(statement，π_loginfo)加密得到注册信息C_loginfo，并发送给监管机构。

监管机构收到注册信息C_loginfo后解密恢复出(statement，π_loginfo)，首先检查id的有效性，之后，使用zk-SNARK验证算法Verify(vk_loginfo，statement，π_loginfo)来验证用户是否知道证据witness使得(statement，witness)满足关系R_loginfo。若验证都通过，则保存(h，id，CH_id)，并将h||CH_id以Merkle树的形式公开。用户一旦查到自己的h||CH_id被公开，就说明自己注册成功。

2)身份证明的创建与验证

创建身份证明：用户P注册成功后，会从监管机构公开的merkle树(树根为rt)中获取自己h||CH_id的路径path_id。用户根据所拥有的公开信息和私密信息(pub，priv)，计算r′＝cham_hash.UForge(CK，id，r，priv)，之后用户P使用监管机构公钥对h进行加密得密文C_id＝Γ.ENC(pk_au，rn，h)，rn为加密时所用的随机数。这样，用户得到陈述statement′＝(rt，pub，g，pk_au，C_id)和证据witness′＝(path_id，CH_id，x，h，priv，r′，rn)，用户要向验证节点证明(statement′，witness′)满足关系R_idproof：{(statement′，witness′)|pub＝gen(priv)∧h＝g^x∧CH_id＝cham_hash.CHash(h，priv，r′)∧C_id＝Γ.ENC(pk_au，rn，h)∧TreeBranch(rt，path_id，h||CH_id)}，即“给定陈述statement′，用户知道证据witness′满足：(1)私密信息与公开信息相匹配：pub＝gen(priv)；(2)用户变色龙哈希的公钥h与私钥x匹配：h＝g^x；(3)变色龙哈希值CH_id被正确计算：CH_id＝cham_hash.CHash(h，priv，r′)；(4)密文C_id所对应的明文为h：C_id＝Γ.ENC(pk_au，rn，h)；(5)h||CH_id在以rt为根的merkle树的叶子结点上：TreeBranch(rt，path_id，h||CH_id)。”

用户使用zk-SNARK证明算法Prove(pk_idproof，statement′，witness′)生成证明π_id。π_id用以向验证节点证明用户知道witness′使得(statement′，witness′)满足关系R_idproof，但不会向验证节点泄露关于证据witness′的任何信息。最终用户得到关于身份id的证明信息proof_id＝(statement′，π_id)。

验证身份证明：验证节点使用zk-SNARK验证算法Verify(vk_idproof，proof_id)来验证用户是否知道证据witness′使得(statement′，witness′)满足关系R_idproof，若验证通过，则身份证明合法，否则身份证明验证失败。

3)监管机构追踪

监管机构从区块链数据data_trace中获取密文集合

并逐个解密得到身份集合i中每个身份id_i所对应的h_i；然后监管机构查询(h，id，CH_id)记录，获取h_i所对应的身份id_i并将id_i加入到身份集合ID中，最终，获取data_trace所对应的身份集合ID。

从可追踪方案的概述中可以看出：使用本发明所提出的可追踪方案要求参与数据创建的用户在数据中显示公开信息(如公钥地址，序列号等)。但这并不影响区块链的隐私保护，因为公/私信息对可以任意创建，所以只要保证每个公开信息只使用一次，就并未影响区块链的匿名性。

3.区块链可追踪方案构建

让II＝(Geh，prove，Verify)为zk-SNARK方案，Γ＝(Setup，KeyGen，ENC，DEC)为公钥加密方案，cham_hash＝(Setup，KeyGen，Chash，UForge)为Hugo Krawczyk与Tal Rabin所提出的变色龙哈希方案。可追踪方案(Setup，Genloginfo，Verifyloginfo，Genidproof，Verifyidproof，Trace)构造如下：

Setup

·输入：安全参数λ

·输出：公共参数pp

1.构建关系R_loginfo对应的算术电路AC_loginfo；

2.构建关系R_idproof对应的算术电路AC_idproof；

3.计算(pk_loginfo，vk_loginfo)＝П.Gen(λ，AC_loginfo)；

4.计算(pk_idproof，vk_idproof)＝П.Gen(λ，AC_idproof)；

5.生成公钥加密方案公共参数pp_enc＝Γ.Setup(λ)；

6.生成监管机构的公私钥对(pk_au，sk_au)＝Γ.KeyGen(pp_enc)；

7.生成变色龙哈希的公共参数pp_chash＝(p，q，g)＝cham_hash.Setup(λ)；

8.输出公共参数pp＝(pk_loginfo，vk_loginfo，pk_idproof，vk_idproof，pk_au，pp_chash)。

Genloginfo

·输入：公共参数pp，用户身份id

·输出：密文C_loginfo

1.生成变色龙哈希公私钥对(HK，CK)＝(h，x)＝cham_hash.KeyGen(pp_chash)；2.生成变色龙哈希值CH_id＝cham_hash.CHash(HK，id，r)；

3.设置statement＝(id，g，HK，CH_id)，witness＝(CK，r)；

4.计算π_loginfo＝П.Prove(pk_loginfo，statement，witness)；

5.计算C_loginfo＝Γ.ENC(pk_au，m)，其中m＝(statement，π_loginfo)；

6.用户保存(id，g，HK，CK，r，CH_id)，并输出C_loginfo。

Verifyloginfo

·输入：密文C_loginfo，监管机构私钥sk_au，公共参数pp

·输出：b，若b为1则验证通过，否则验证失败

1.计算m＝Γ.DEC(sk_au，C_loginfo)；

2.验证身份的有效性，若无效，则输出b＝0；

3.否则：

若П.Verify(vk_loginfo，statement，π_loginfo)＝0，则输出b＝0；

否则：

(a)保存(h，id，CH_id)；

(b)将h||CH_id以Merkle树的形式公开；

(c)输出b＝1。

Genidproof

·输入：

-用户公开信息pub

-用户隐私信息priv

-变色龙哈希值CH_id

-用户计算变色龙哈希的公私钥对(HK，CK)

-用户身份id

-计算CH_id的随机数r

-merkle树根rt

-从h||CH_id到rt的路径path_id

-公共参数pp

·输出：用户身份的证明proof_id

1.计算r′＝cham_hash.UForge(CK，id，r，priv)；

2.计算密文C_id＝Γ.Enc(pk_au，rn，h)，rn为用于加密的随机数；

3.设置statement′＝(rt，pub，g，pk_au，C_id)，witness′＝(path_id，CH_id，x，h，priv，r′，rn)；

4.计算π_id＝П.Prove(pk_idproof，statement′，witness′)；

5.输出proof_id＝(statement′，π_id)。

Verifyidproof

·输入：身份证明proof_id，公共参数pp

·输出：b，若b为1则验证通过，否则验证失败

1.将proof_id解析成(statement′，π_id)；

2.若П.Verify(vk_idproof，statement′，π_idproof)＝0，则输出b＝0；

否则，输出b＝1。

Trace

·输入：区块链数据data_trace

·输出：数据data_trace所对应的身份集合ID

1.设置集合

2.从区块链数据data_trace中获取密文集合

3.for each

计算

查询(h，id，CH_id)记录，获取h_i所对应的身份id_i；

将id_i加入到身份集合ID中；

4.输出ID。

上述方案实现了对身份的可追踪，但有些方案会对敏感信息(sens_info)进行隐藏，为使监管机构可以针对这些方案进行敏感信息分析以判定用户是否进行非法操作，直接参与数据创建的用户可在发送给监管机构的身份密文中添加敏感信息，即C_id＝Γ.Enc(pk_au，rn，h||sens_info)，但是，必须要给出C_id是h和用户隐藏的敏感信息加密后所对应密文的证明。

与现有技术相比，本发明的创造性在于：

在用户注册中，用户自己生成注册信息，并加密发送给监管机构，监管机构只需做验证工作，减轻了监管机构的工作量，而且用户与监管机构之间无需安全信道；在用户的注册过程中，用户使用简洁非交互零知识证明技术使得监管机构不知道生成注册信息的私密信息(即证据)，这样，只要监管机构诚实执行注册过程，那么，除了用户外，谁也无法伪造该用户的身份证明，提供了一定程度上的安全性保证；在创建身份证明时，由于用户知道陷门，借助于变色龙哈希，不用公开自己的身份id，使用其他值，如用户私钥等私密信息，就可以构造CH_id，不用每次生成身份证明时，都要向监管机构去注册。这样，用户只需向监管机构注册一次，减轻了用户与监管机构的开销；在生成用户身份证明时，使用用户的私密信息priv来生成变色龙哈希值CH_id，在关系R_idproof中又证明了pub＝gen(priv)，这样就保证了只有知道私密信息priv的用户可以生成proof_id，而他人无法篡改用户的proof_id。这样，用户可以公开自己的proof_id，让他人在创建数据时，无需与用户进行交互，就可以获得proof_id，降低开销。

本发明的积极效果体现在，针对区块链发展的现实需求，本发明提出一种区块链可追踪方案，可以与现有的区块链隐私保护技术相结合，实现区块链的可控匿名，使得只有监管机构能够对区块链中的数据进行监管，获取用户私密信息，如用户身份，数据内容等，而其他人无法获取用户私密信息。这样，监管机构可以借助于可追踪机制来有效打击利用区块链的违法犯罪行为，为区块链的健康稳定发展提供必要的保证。

附图说明

图1为区块链可追踪机制中的数据模型；

图2为区块链可追踪机制过程。

具体实施方式

本发明的可追踪方案，可以与现有的区块链隐私保护技术相结合，来为区块链提供可控匿名机制，结合附图2，介绍本发明方案的具体实施方式：

1)监管机构首先调用Setup算法生成公共参数pp；

2)各个用户调用Genloginfo算法生成自己的注册信息C_loginfo，并发送给监管机构；

3)监管机构调用Verifyloginfo算法来验证每个用户的注册信息，并将每个用户身份所对应的h||CH_id公开，用户一旦查到自己的h||CH_id被公开，就说明自己注册成功；

4)用户注册成功后，如果区块链应用中的数据需要间接参与用户的公开信息且需要提供身份证明，如比特币中的输出地址。此时，每个间接参与用户会提前调用Genidproof算法生成用户的身份证明proof_id并公开，这样，A_create中各用户在创建数据时可以直接获取B_other中自己所需的间接参与数据创建用户的身份证明，而无需与间接参与用户进行交互。之后，A_create中的每个用户调用Genidproof算法创建自己的身份证明，最终，生成数据data_trace＝[{proof_id}_id∈I，data_body]_crytool，并发送到节点网络中；

5)每当节点网络中的验证节点收到数据后，首先调用算法Verifyidproof验证用户身份，之后验证数据内容，如果验证都通过，则记入区块中，之后节点网络根据共识机制对网络中的某个区块达成共识，并记入区块链；

6)一旦有新的区块上链，则监管机构可获取新上链区块中的所有数据，并调用Trace算法获得区块中每个数据所对应的身份集合，从而达到对区块链实施监管的目的。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种区块链的数据可追踪方法，其步骤包括：

3)当区块链应用中的数据需要间接参与用户的公开信息且需要提供身份证明时；A_create中的各用户获取B_other中自己所需的间接参与数据创建的用户身份证明；A_create中各用户创建自己的身份证明，然后生成数据data_trace＝[{proof_id}_id∈I，data_body]_crytool并发送到节点网络中；其中，{proof_id}_id∈I为用户身份证明集合，身份id的用户身份证明为proof_id，I为需提供身份证明的用户身份id集合，A_create＝{a₁，...，a_n}是直接参与数据创建且需提供身份证明的用户公开信息集合，B_other＝{b₁，...，b_n’}是间接参与数据创建且需提供身份证明的用户公开信息集合；data_body包含数据内容以及不需要提供身份证明的用户公开信息，crytool代表密码学工具；

5)监管机构从区块链获取数据，并对数据中相应的密文进行解密，之后查询相关记录得到每个数据所对应的身份集合；

其中，所述公共参数pp＝(pk_loginfo，vk_loginfo，pk_idproof，vk_idproof，pk_au，pp_chash)；(pk_loginfo，vk_loginfo)为证明(statement，witness)∈R_loginfo的证明密钥/验证密钥对，(pk_idproof，vk_idproof)为证明(statement′，witness′)∈R_idproof的证明密钥/验证密钥对，pk_au为监管机构的公钥，pp_chash为变色龙哈希方案的公共参数，陈述statement＝(id，g，h，CH_id)，证据witness＝(x，r)，关系R_loginfo为：{(statement，witness)|h＝g^x∧CH_id＝g^idh^r}；陈述statement′＝(rt，pub，g，pk_au，C_id)，证据witness′＝(path_id，CH_id，x，h，priv，r′，rn)，关系R_idproof为：{(statement′，witness′)|pub＝gen(priv)∧h＝g^x∧CH_id＝cham_hash.CHash(h，priv，r′)∧C_id＝Γ.ENC(pk_au，rn，h)∧TreeBranch(rt，path_id，h||CH_id)}；其中，g为乘法循环群

中阶为q的元素，x为乘法循环群

中一随机数，并且是计算CH_id的私钥，r为计算CH_id的随机数，rt为Merkle树的树根，path_id为从h||CH_id到rt的路径，pub为用户的公开信息，priv为用户的私密信息，C_id代表使用监管机构公钥pk_au对h加密的密文，rn为用于加密的随机数，注册用户身份所对应的h||CH_id以Merkle树的形式公开；

用户使用zk-SNARK证明算法Prove(pk_loginfo，statement，witness)生成证明π_loginfo；π_loginfo用以向监管机构证明用户知道witness使得(statement，witness)满足关系R_loginfo，但不会泄露关于证据witness的任何信息；用户保存(id，g，h，CH_id，x，r)，并使用监管机构公钥将(statement，π_loginfo)加密发送给监管机构

监管机构收到密文后解密恢复出(statement，π_loginfo)，首先检查身份id的有效性，然后使用zk-SNARK验证算法Verify(vk_loginfo，statement，π_loginfo)来验证用户是否知道证据witness使得(statement，witness)满足关系R_loginfo；若验证都通过，则保存(h，id，CH_id)，并将h||CH_id以Merkle树的形式公开；

生成所述身份证明的方法为：身份id的用户P注册成功后，从监管机构公开的Merkle树中获取路径path_id，然后根据所拥有的公开信息和私密信息(pub，priv)，计算r′＝cham_hash.UForge(CK，id，r，priv)，其中CK代表生成身份id的变色龙哈希的私钥，之后用户P使用监管机构公钥对h进行加密得密文C_id＝Γ.ENC(pk_au，rn，h)；用户P生成陈述statement′＝(rt，pub，g，pk_au，C_id)和证据witness′＝(path_id，CH_id，x，h，priv，r′，rn)，然后使用zk-SNARK证明算法Prove(pk_idproof，statement′，witness′)生成证明π_id，最终用户P得到关于身份id的证明信息proof_id＝(statement′，π_id)；

验证节点使用zk-SNARK验证算法Verify(vk_idproof，proof_id)来验证用户是否知道证据witness′使得(statement′，witness′)满足关系R_idproof，若验证通过，则身份证明合法，否则身份证明验证失败；

监管机构从区块链数据data_trace中获取密文集合

对于密文集合C中每一

计算

其中sk_au为监管者私钥，查询(h，id，CH_id)记录，获取h_i所对应的身份id_i并将id_i加入到身份集合ID中；最终，获取data_trace所对应的身份集合ID。