CN109862046A - 一种联盟链中可追溯匿名方法 - Google Patents

Abstract

本发明公开一种联盟链中可追溯匿名方法，包括：用户向审计中心提交账号u，审计中心通过审批后以私钥对u进行签名授权；用户以通过审批的账号u为基础，将u以及安全系数n作为输入，生成匿名账号集合；用户选择任意匿名账户u_i，将u_i提交至账号中心；账号中心对u_i的有效性进行验证，将其公布于联盟链；用户以u_i作为交易账号，对交易进行签名授权；审计中心可以在任意时刻对已提交至账号中心的匿名账号u_i进行解密，追溯定位至匿名账号的原始账号u。本发明允许用户本地独立生成新的匿名账户。审计方拥有对匿名账户的追溯解密能力，定位对应的原始账户。保证了用户身份的不可伪造性，并允许任何人对用户生成匿名账户过程的完整性有效性进行验证。

Description

一种联盟链中可追溯匿名方法

技术领域

本发明涉及一种联盟链中可追溯匿名方法，属于区块链中信息安全技术领域。

背景技术

以区块链为核心技术的比特币等去中心化的数字货币已经有了较大的普及度。比特币的成功是建立在其创新性的核心技术区块链技术之上。区块链是一个去中心化运行的系统，信息一经记录在区块链上，经过一段时间便会被认为不可篡改。区块链技术的应用帮助比特币解决了数字货币中经典的双花问题。也正是由于比特币的成功使得外界开始对其核心的区块链技术产生了浓厚的兴趣。

目前主流的区块链分为两种类型，分别为公有链和联盟链。现在较为流行的比特币等主流数字货币大多都是基于公有链之上。公有链与联盟链的不同点在于其内部维护节点的准入机制。公有链是无准入机制，即任何人都可以随时参与到维护区块链的过程之中，不需要额外的资格申请。对应的在比特币系统中，维护节点即所谓的矿工并不存在资格限制，任何人都可以通过在本地机器部署比特币的代码程序参与到比特币系统的维护之中。而联盟链则是存在准入机制，所有参与区块链维护的节点都需要经过中心的认证准许之后，才有资格参与系统的维护。也因为二者相对应的背景不同，所采用的共识协议以及处理的业务也不尽相同。

由于区块链的信息被各个互不信任的节点在本地大量复制并被验证信息的正确有效性，因此区块链上的信息都是公开的。信息的公开导致用户的很多使用信息直接暴露在区块链上，这其中存在许多的隐私风险。在公有链上，已经提出了许多加强隐私的手段，常见的有通过零知识证明达到信息完全匿名的零币，通过环签名以及生成一次性账户的门罗币，以及混币等各种技术。相关的公有链保护隐私的技术可以直接应用在联盟链中来强化用户的隐私。但联盟链中，普遍存在着一个公有链并不存在的问题，即很多场景下联盟链中会存在一个审计中心，要求对信息进行审计追踪。而通过传统的公有链的手段，通常需要用户自己主动提供相关的信息才可进行身份信息的解密，但是联盟链的某些场景下，这种依赖于用户的配合的审计模式是不可取的。审计中心的审计不应该需要用户的配合，审计中心可通过区块链上的信息直接进行回溯解密，达到审计的目的。

在一个公有链中，大多数用户采用的最经典的强化隐私的做法是用户本地生成多个账户，并且在各个场景中使用这些互不相关的账户。尽管这个做法相当直接，但是在要求可以进行审计的联盟链中，审计方难以直接将这些用户本地生成的账户同用户本身进行直接的关联。针对这种场景，本发明提出了一种联盟链中可追溯匿名方案。

发明内容

发明目的：针对现有技术中存在的问题与不足，本发明提供一种联盟链中可追溯匿名方法，特别是一种联盟链中基于SGX的可追溯匿名方法，方法中，审计方对信息的解密不需要依赖用户主动提供信息，且不需要审计方参与用户生成新的匿名身份，用户可以本地独立生成新的匿名账户。本发明方法保证了用户身份的不可伪造性，并允许任何人对用户生成匿名账户过程的完整性有效性进行验证。

技术方案：一种联盟链中可追溯匿名方法，包括如下内容：

1)用户向审计中心提交账号u，审计中心通过审批后以私钥对u进行签名授权；设审计中心批准授权的账号集合为V，有u∈V；

2)用户以通过审批的账号u为基础，将u以及安全系数n作为输入，生成匿名账号集合U＝(u₁,u₁,…,u_k)；用户选择任意匿名账户u_i∈U，将其作为用户的交易用匿名账号，并将u_i提交至账号中心；

3)账号中心对u_i的有效性进行验证，将其公布于联盟链；

4)用户以u_i作为交易账号，对交易进行签名授权；

5)审计中心可以在任意时刻对已提交至账号中心的匿名账号u_i进行解密，追溯定位至匿名账号的原始账号u，该过程设为AccDec(u_i)＝u。

所述3)中，账号中心对u_i的有效性进行验证，将其公布于联盟链；公布后，联盟链上任意角色都有可以对u_i的有效性进行验证；匿名账号有效性的验证算法，设为AccVerify(u_i)，当u_i∈U，且u∈V时算法输出true，否则输出false。

所述4)中，用户以u_i作为交易账号，对交易进行签名授权，设签名授权过程为TxSign(u_i,tx)；系统中的任意角色都有能力对u_i授权的交易进行有效性正确性的验证；设交易验证过程为TxVerify(u_i,tx)，其中tx为u_i授权的某笔具体的交易，交易有效时算法输出true，否则输出false。

所述方法包括用户、审计中心以及账号中心三个角色，审计中心不参与日常业务的场景，用户、审计中心和账号中心可不同时在线。

通过借助SGX实现可信执行环境，将整个可信执行环境抽象为一个算法集合∑_TEE，在可信执行环境进行初始化结束后，会生成有密钥对(pk_TEE,sk_TEE)，将这个密钥对定义为可信执行环境的主公钥和主私钥；可信执行环境中对应SGX中的Enclave级操作分为TEE.install以及TEE.resume；前者TEE.install属于Enclave的初始化，将Enclave中的程序代码prog作为输入，初始实例化结束后会输出对应实例Enclave的eid；初始化结束后的Enclave执行TEE.resume，其中输入eid指定对应的Enclave实例，输入指定的功能函数fun以及函数所需的参数args，Enclave将会输出对应的结果outp，同时附带硬件的签名证明σ_TEE＝∑_TEE.Sig(sk_TEE,(prog,outp))；

将

[outp,σ_TEE]:＝TEE.resume(eid,fun,args)

简化为

[outp,σ_TEE]:＝EF(args)。

可信执行环境生成的硬件签名σ_TEE有∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)，该函数当σ_TEE有效时函数输出1，否则输出0；σ_TEE的有效条件为outp，是主公钥为pk_TEE且载入了程序片段prog的Enclave的输出结果；设可信硬件是正确且可信的，即设∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)的结果是绝对正确的。

算法1(原始账号初始化申请授权)：

输入：用户的原始账号pk_u，其中pk_u来自(pk_u,sk_u)←∑.KGen(1^λ)；

输出：审计中心授权的签名σ_A；

1)审计中心验证用户原始账号pk_u是否符合规定要求；

2)运行签名算法，通过密钥sk_A对申请的用户账号pk_u进行签名授权，获取签名σ_A；即，σ_A←∑.Sig(sk_A,pk_u)；

3)输出返回σ_A；

算法1为内容1)的具体细节；内容1)中用户需要本地生成一个密钥对，并将公钥pk_u作为自己的原始账号提交至审计中心；审计中心通过检查后，签名授权该账号，允许该账号进行联盟链上的交易，并将自己的授权签名σ_A返回给用户。

算法2(可信执行环境SEnc)：

输入：用户的原始账号pk_u，审计中心的授权签名σ_A，用户的公共参数P_pub，用户的签名信息σ_u；

输出：原始账号加密信息ue，硬件签名σ_TEE；

1)运行签名验证算法，通过密钥pk_u验证σ_u是否是内容(pk_u,P_Pub)的有效签名；即，∑.Vf(pk_u,σ_u,(pk_u,P_Pub))是否通过；

2)运行签名验证算法，通过密钥pk_A验证σ_A是否是内容(pk_u)的有效签名；即，∑.Vf(pk_A,σ_A,pk_u)是否通过；

3)运行加密算法，使用密钥pk_A对原始账号pk_u进行加密生成密文ue；

即，

4)对内容(P_pub,ue)生成硬件签名σ_TEE；即，σ_TEE←∑_TEE.Sig(sk_TEE,P_pub,ue)；

5)输出返回ue，σ_TEE。

算法3(衍生匿名账号Extract)：

输入：用户的原始账号密钥对(pk_u,sk_u)，审计中心的授权签名σ_A；

输出：原始账号加密信息ue，匿名账号对应的私钥sk_ue，硬件签名σ_TEE；

1)随机选取s∈Z_q并计算P_pub←s·P；

2)运行签名算法，通过密钥sk_u对内容(pk_u,P_Pub)进行签名，生成σ_u；即，

σ_u←∑.Sig(sk_u,(pk_u,P_Pub))；

3)将原始账号pk_u，审计中心的授权签名σ_A用户的公共参数P_pub以及用户对输入内容的签名σ_u输入可信执行环境Enclave中，执行EF程序，返回原始账号的加密密文ue以及相对应的硬件签名σ_TEE；即，(σ_TEE,ue)←EF(pk_u,σ_A,P_pub,σ_u)；

4)计算Q_ID←H₁(ue)；

5)计算本次衍生的匿名账号所对应的私钥sk_ue，sk_ue←s·Q_ID；

6)输出返回(ue,P_Pub,σ_TEE)以及sk_ue。

内容2)的具体实现为算法3。用户本地运行算法3，输入原始的账号密钥对以及审计中心的授权签名，算法3会进入可信执行环境SGX的Enclave执行算法2。算法2是部署在SGX的Enclave代码程序，函数接口为SEncEF指用户通过SGX调用实例化后Enclave里函数SEnc的过程。SEnc中判断输入的签名的合法性后，使用审计中心的公钥进行加密生成密文ue，之后将ue同用户的公共参数进行签名绑定。用户本次运行获取的衍生匿名账号为(ue,P_Pub,σ_TEE)，对应的私钥为sk_ue。用户可以通过多次执行算法3获得多次输出，达到衍生多个匿名账号的效果。

内容3)可以通过SGX提供的验证服务对其硬件签名进行验证，即对应为∑_TEE.Vf(pk_TEE,EF,(P_pub,ue),σ_TEE)。输入待验证的匿名账号，并且指定输入程序为算法2指定的EF程序，会返回该硬件签名的有效性。当通过时可认为该匿名账号正确有效。

算法4(交易签名TxSign)：

输入：匿名账号对应的私钥sk_ue，待签名的交易tx；

输出：交易的授权签名σ_ue＝(R,S)；

1)随机选取k∈Z_q ^*；

2)计算R←k·P；

3)计算S←k^-1(H₂(m)·P+H₃(R)·sk_ue)；

4)输出返回σ_ue＝(R,S)。

算法5(交易验证TxVerify)：

输入：用户的匿名账号(ue,P_Pub,σ_TEE)，待验证的交易(tx,σ_ue)；

输出：验证通过true；

1)计算Q_ID←H₁(ue)；

2)计算e(R,S)以及判断二者是否相等，若不相等则输入的签名非法无效，验证

3)验证通过，返回true。

内容4)中用户使用匿名账号签名TxSign，以及其签名验证TxVerify的实现分别为算法4和算法5。算法4中用户输入匿名账号对应的私钥sk_ue对交易进行签名认证产生σ_ue，任何人都可以使用算法5将交易中的账号(ue,P_Pub,σ_TEE)作为公钥，对交易中的签名(tx,σ_ue)进行验证。

内容5)中审计中心的AccDec可以直接使用审计中心的私钥进行原始账号的解密追溯，通过匿名账号(ue,P_Pub,σ_TEE)中的ue字段，定位原始账号pk_u。

具体实施方式

下面结合具体实施例，进一步阐明本发明，应理解这些实施例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。

1.本发明涉及的预备知识

1.1双线性对(Bilinear Pairing)

G1和G2是两个阶为素数p的循环群。这两个群存在一个映射关系，可表示为e:G1×G1→G2。g1以及g2为G1和G2的生成元。当e满足以下性质时，e定义为双线性映射：

·双线性性：对于所有的u,v∈G1以及x,y∈Zp，e(u^x,v^y)＝e(u,v)^xy成立；

·非退化性：e(g,g)≠1_G2，其中1_G2为G2的单位元；

·可计算性：对于所有的u,v∈G1，e(u,v)可以在多项式时间内计算出结果。1.2基于身份的签名

一个基于身份的签名方案包含以下四个多项式时间的随机算法：

1)系统参数设置(Setup)：输入安全参数k，算法输出系统的主密钥msk以及系统的公共参数mpk。主密钥保密不公开，公开系统的公共参数。

2)用户密钥提取(Extract)：输入用户的身份信息ID，系统的主密钥msk，算法输出用户的密钥usk。

3)签名(Sign)：输入用户的身份信息ID，欲签名的信息m以及用户的密钥usk，输出m基于ID的签名σ。

4)验证(Verify)：输入用户的身份信息ID，信息m，m的签名σ以及系统的公共参数mpk，输出签名σ是否是m基于ID的有效签名。

1.3可信硬件环境

可信执行环境(Trusted Execution Environment，以下简称TEE)为程序提供了可信的执行环境，以保护计算的机密性以及计算的完整性。TEE可以为程序的执行环境生成正确性和完整性的证明(Attestation)。

Intel公司提出的Intel Software Guard Extensions(SGX)是一套基于CPU硬件的TEE实现。SGX搭载于Intel近期型号的CPU，SGX基于CPU提供的一组新指令，为用户级代码提供了硬件保护。SGX中提供的TEE环境称之为enclave，用于执行通用的程序计算。当来自TEE的数据从处理器转移到内存中时，数据会使用仅处理器可知的密钥进行暂时的加密用于转移至内存。所以无论是操作系统，管理员程序和其他的用户都无法访问enclave内存中的数据。SGX支持提供证明验证，即SGX能通过为enclave中的执行程序以及其输出，使用一种仅硬件可知的密钥为其进行签名，提供一个远程证明(Remote Attestation)。SGX提供了安全可靠的证明，除了SGX平台之外的任何实体都不可能生成任何正确的证明，即证明是不可伪造的。

2.本发明技术方案

当前联盟链由于其准入制机制，参与联盟链业务的用户都需要经过批准认证。在一个经典银行业务的联盟链中，用户需要经过银行的开户才被允许使用联盟链进行交易。为了保证联盟链中的验证节点可以对用户的交易进行验证，用户不得不将自己的交易账号直接暴露在联盟链的交易中，导致了用户隐私的直接泄露。用户希望可以以自己开户的账号为基础衍生多个新的账号用于交易，以强化自己的隐私。但若依赖于账号中心进行衍生工作，则需要用户信赖账号中心，而用户若本地独立进行衍生，则无法保证匿名账号的可验证性，为审计带来障碍。

本发明讨论的匿名方案涉及到联盟链中的用户、审计中心以及账号中心三个实体。其中，用户作为联盟链上参与交易的普通用户，希望可以在不使用原始账号的情况下使用匿名账号进行交易。审计中心仅负责对用户的账号进行有效性的背书签名，实际场景中应存在中间角色负责用户身份的上传验证，例如用户在商业银行开户时，由商业银行将用户开户的身份上传至人行请求授权背书。账号中心为联盟链中的账号管理节点，进入联盟链的用户以及维护节点都需通过账号中心的授权批准。

本发明方法主要保护的是用户的账号隐私。本发明中，除了审计中心是可信任的角色之外，任何角色包括联盟链上的账号中心都将视为不可信任。目标为用户的匿名身份仅用户以及审计中心可以解密追溯，其余任何角色都无法解密匿名账号，且需保证除用户本人外，攻击者无法伪造用户的匿名身份，保证匿名身份的不可伪造性。

一种联盟链中可追溯匿名方法，包括如下内容：

1)用户向审计中心提交账号u，审计中心通过审批后以私钥对u进行签名授权；设审计中心批准授权的账号集合为V，有u∈V；V并不对外公开仅审计中心可知。

2)用户以通过审批的账号u为基础，将u以及安全系数n作为输入，生成匿名账号集合U＝(u₁,u₁,…,u_k)。设生成匿名账号的算法为Extract(u,n,k)＝U。用户选择任意匿名账户u_i∈U，将其作为用户的交易用匿名账号，并将u_i提交至账号中心。

3)账号中心对u_i的有效性进行验证，将其公布于联盟链。公布后，联盟链上任意角色都有可以对u_i的有效性进行验证。匿名账号有效性的验证算法,设为AccVerify(u_i)，当u_i∈U，且u∈V时算法输出true，否则输出false。

4)账号中心对u_i的有效性验证通过后，用户以u_i作为交易账号，对交易进行签名授权，设签名授权过程为TxSign(u_i,tx)。系统中的任意角色都有能力对u_i授权的交易进行有效性正确性的验证。设交易验证过程为TxVerify(u_i,tx)，其中tx为u_i授权的某笔具体的交易，交易有效时算法输出true，否则输出false。

5)审计中心可以在任意时刻对已提交至账号中心的匿名账号u_i进行解密，追溯定位至匿名账号的原始账号u，该过程设为AccDec(u_i)＝u。

将上述联盟链中可追溯匿名方法设为方案Π。方案Π中涉及到的各个算法过程是本地独立运行而非交互式的，这意味着无论是用户匿名账号的生成，亦或者是对公开的匿名账号的验证，这些过程都要求各个角色之间不存在交互行为。现实场景中普遍存在审计方不参与日常业务的场景，并且各个角色之间并不能保证时刻在线，算法能够独立运行是非常必要的条件。

3.方案实现

a)可信执行环境的建模

通过借助SGX实现一个可信执行环境，保证了计算的保密性和完整性，同时提供外界对结果进行认证的途径。为了更好的对可信执行环境的功能进行诠释，我们对方案Π中涉及到可信执行环境的部分进行了抽象建模。

将整个可信执行环境抽象为一个算法集合∑_TEE。在可信执行环境进行初始化结束后，会生成有密钥对(pk_TEE,sk_TEE)，将这个密钥对定义为可信执行环境的主公钥和主私钥。该密钥对为硬件级别密钥对，硬件型号对应pk_TEE。由于硬件型号群组共享，因此pk_TEE公开对所有人已知。可信执行环境中对应SGX中的Enclave级操作分为TEE.install以及TEE.resume。前者TEE.install属于Enclave的初始化，将Enclave中的程序代码prog作为输入，初始实例化结束后会输出对应实例Enclave的eid。初始化结束后的Enclave执行TEE.resume，其中输入eid指定对应的Enclave实例，输入指定的功能函数fun(将程序代码部署在SGX的Enclave中，然后通过配置入口函数调用Enclave中的程序功能，功能函数就是Enclave中程序的API接口)以及函数所需的参数列表args，Enclave将会输出对应的结果outp，同时附带硬件的签名证明σ_TEE＝∑_TEE.Sig(sk_TEE,(prog,outp))。

我们的方案中可信执行环境仅需执行一段特定的代码程序，对应仅需要一个Enclave实例，因此对方案中涉及到的Enclave执行步骤进行简化描述。我们设我们方案在执行时程序prog已经过TEE.install初始化，prog提供的唯一函数接口设为SEnc，将调用Enclave实例的过程

[outp,σ_TEE]:＝TEE.resume(eid,SEnc,args)

简化表述为

[outp,σ_TEE]:＝EF(args)

其中args为函数SEnc所需的参数列表。

可信执行环境生成的硬件签名σ_TEE有∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)，该函数当σ_TEE有效时函数输出1，否则输出0。σ_TEE的有效条件为outp，是主公钥为pk_TEE且载入了程序片段prog的Enclave的输出结果。设可信硬件是正确且可信的，即设∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)的结果是绝对正确的。

b)方案实现细节

设非对称加密方案(KGen，Enc，Dec)以及数字签名方案∑(KGen,Sig,Vf)，两种方案均基于传统RSA算法，保证同一密钥对能够同时进行非对称加密以及数字签名

假设联盟链环境中已初始化生成q阶循环群G₁和G₂，其中q为素数。双线性对映射e:G₁×G₁→G₂，且有随机选取的P∈G₁。H₁，H₂以及H₃为公共的密码散列函数，H₁:{0,1}^*→G₁，H₂:{0,1}^*→Z_q，以及H₃:G₁→Z_q。审计中心有密钥对(pk_A,sk_A)←∑.KGen(1^λ)，公开审计中心的公钥pk_A，KGen(1^λ)是数字签名算法中的密钥生成算法，使用RSA作为数字签名算法以及非对称加密算法，函数里面的输入指的就是安全系数即密钥的长度。以上除审计中心的私钥外皆为公共参数对任何人已知。

算法1(原始账号初始化申请授权)：

输入：用户的原始账号pk_u，其中pk_u来自(pk_u,sk_u)←∑.KGen(1^λ)；

输出：审计中心授权的签名σ_A；

1)审计中心验证用户原始账号pk_u是否符合规定要求；

2)σ_A←∑.Sig(sk_A,pk_u)；

3)输出返回σ_A。

算法1为方案Π中内容1)的具体细节。用户需要本地生成一个密钥对，并将公钥pk_u作为自己的原始账号提交至审计中心。审计中心通过检查后，签名授权该账号，允许该账号进行联盟链上的交易，并将自己的授权签名σ_A返回给用户。

算法2(可信执行环境SEnc)：

输入：用户的原始账号pk_u，审计中心的授权签名σ_A，用户的公共参数P_pub，用户的签名信息σ_u；

输出：原始账号加密信息ue，硬件签名σ_TEE；

1)验证∑.Vf(pk_u,σ_u,(pk_u,P_Pub))是否通过；

2)验证∑.Vf(pk_A,σ_A,pk_u)是否通过；

3)

4)σ_TEE←∑_TEE.Sig(sk_TEE,P_pub,ue)；

5)输出返回ue，σ_TEE。

算法3(衍生匿名账号Extract)：

输入：用户的原始账号密钥对(pk_u,sk_u)，审计中心的授权签名σ_A；

输出：原始账号加密信息ue，匿名账号对应的私钥sk_ue，硬件签名σ_TEE；

1)随机选取s∈Z_q并计算P_pub←s·P；

2)σ_u←∑.Sig(sk_u,(pk_u,P_Pub))；

3)(σ_TEE,ue)←EF(pk_u,σ_A,P_pub,σ_u)；

4)Q_ID←H₁(ue)；

5)sk_ue←s·Q_ID；

6)输出返回(ue,P_Pub,σ_TEE)以及sk_ue。

方案Π中内容2)的具体实现为算法3。用户本地运行算法3，输入原始的账号密钥对以及审计中心的授权签名，算法3会进入可信执行环境SGX的Enclave执行算法2。算法2是部署在SGX的Enclave代码程序，函数接口为SEncEF指用户通过SGX调用实例化后Enclave里函数SEnc的过程。SEnc中判断输入的签名的合法性后，使用审计中心的公钥进行加密生成密文ue，之后将ue同用户的公共参数进行签名绑定。用户本次运行获取的衍生匿名账号为(ue,P_Pub,σ_TEE)，对应的私钥为sk_ue。用户可以通过多次执行算法3获得多次输出，达到衍生多个匿名账号的效果。

方案Π中内容3)可以通过SGX提供的验证服务对其硬件签名进行验证，即对应为∑_TEE.Vf(pk_TEE,EF,(P_pub,ue),σ_TEE)。输入待验证的匿名账号，并且指定输入程序为算法2指定的EF程序，会返回该硬件签名的有效性。当通过时可认为该匿名账号正确有效。

算法4(交易签名TxSign)：

输入：匿名账号对应的私钥sk_ue，待签名的交易tx；

输出：交易的授权签名σ_ue＝(R,S)；

1)随机选取k∈Z_q ^*，Z_q ^*表示非0且小于q的整数；

2)R←k·P；

3)S←k^-1(H₂(m)·P+H₃(R)·sk_ue)；

4)输出返回σ_ue＝(R,S)。

算法5(交易验证TxVerify)：

输入：用户的匿名账号(ue,P_Pub,σ_TEE)，待验证的交易(tx,σ_ue)；

输出：验证通过true；

1)Q_ID←H₁(ue)；

2)验证

3)验证通过，返回true。

方案Π中内容4)中用户使用匿名账号签名TxSign，以及其签名验证TxVerify的实现分别为算法4和算法5。算法4中用户输入匿名账号对应的私钥sk_ue对交易进行签名认证产生σ_ue，任何人都可以使用算法5将交易中的账号(ue,P_Pub,σ_TEE)作为公钥，对交易中的签名(tx,σ_ue)进行验证。

方案Π中内容5)中审计中心的AccDec可以直接使用审计中心的私钥进行原始账号的解密追溯，通过匿名账号(ue,P_Pub,σ_TEE)中的ue字段，定位原始账号pk_u。

4.实验结果

我们通过Intel SGX技术实现TEE环境，并使用了斯坦福大学实现的双线性对库PBC，以及密码学常用库Openssl，在配置为Intel I7-6700HQ，内存16GB系统为Ubuntu16.04的设备上对我们的方案进行了编程实现，并对其整体性能进行了评估测试。我们的方案中涉及到审计方的签名以及加密算法采用了经典的RSA技术，双线性对基于椭圆曲线进行实现。

表1是整个方案100次实验之后所取得平均值。其中RSA位数为3072位，双线性对中的元素是阶为512位的素数椭圆曲线y²＝x³+x的群上元素。可以通过表1看出，整个过程中，Verify Attestation为验证Enclave硬件签名所消耗的时间。其消耗相较其他过程花费时间相当之高。这是由于SGX的硬件签名验证依赖于Intel提供的线上服务。验证硬件签名需要同Intel远程在线服务器进行通信，时间主要消耗在网络通信之上。正如上文所说，硬件签名仅第一次需要验证，因此实际中的Verify过程通常仅存在Verify Signature的时间消耗。

表1仿真实验结果

	Extract	TxSign	Verify Attestation	TxVerify
					时间(/ms)	97.86	3.73	3110.15	3.74

Claims (9)

1.一种联盟链中可追溯匿名方法，其特征在于，包括如下内容：

1)用户向审计中心提交账号u，审计中心通过审批后以私钥对u进行签名授权；设审计中心批准授权的账号集合为V，有u∈V；

2)用户以通过审批的账号u为基础，将u以及安全系数n作为输入，生成匿名账号集合U＝(u₁,u₁,…,u_k)；用户选择任意匿名账户u_i∈U，将其作为用户的交易用匿名账号，并将u_i提交至账号中心；

3)账号中心对u_i的有效性进行验证，将其公布于联盟链；

4)用户以u_i作为交易账号，对交易进行签名授权；

5)审计中心可以在任意时刻对已提交至账号中心的匿名账号u_i进行解密，追溯定位至匿名账号的原始账号u，该过程设为AccDec(u_i)＝u。

2.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，所述3)中，账号中心对u_i的有效性进行验证，将其公布于联盟链；公布后，联盟链上任意角色都有可以对u_i的有效性进行验证；匿名账号有效性的验证算法，设为AccVerify(u_i)，当u_i∈U，且u∈V时算法输出true，否则输出false。

3.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，所述4)中，用户以u_i作为交易账号，对交易进行签名授权，设签名授权过程为TxSign(u_i,tx)；系统中的任意角色都有能力对u_i授权的交易进行有效性正确性的验证；设交易验证过程为TxVerify(u_i,tx)，其中tx为u_i授权的某笔具体的交易，交易有效时算法输出true，否则输出false。

4.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，用户匿名账号的生成及对公开的匿名账号的验证均是独立运行的。

5.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，所述方法包括用户、审计中心以及账号中心三个角色，审计中心不参与日常业务的场景，用户、审计中心和账号中心可不同时在线。

6.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，通过借助SGX实现可信执行环境，将整个可信执行环境抽象为一个算法集合∑_TEE，在可信执行环境进行初始化结束后，会生成有密钥对(pk_TEE,sk_TEE)，将这个密钥对定义为可信执行环境的主公钥和主私钥；可信执行环境中对应SGX中的Enclave级操作分为TEE.install以及TEE.resume；前者TEE.install属于Enclave的初始化，将Enclave中的程序代码prog作为输入，初始实例化结束后会输出对应实例Enclave的eid；初始化结束后的Enclave执行TEE.resume，其中输入eid指定对应的Enclave实例，输入指定的功能函数fun以及函数所需的参数args，Enclave将会输出对应的结果outp，同时附带硬件的签名证明σ_TEE＝∑_TEE.Sig(sk_TEE,(prog,outp))；

将

[outp,σ_TEE]:＝TEE.resume(eid,fun,args)

简化为

[outp,σ_TEE]:＝EF(args)。

可信执行环境生成的硬件签名σ_TEE有∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)，该函数当σ_TEE有效时函数输出1，否则输出0；σ_TEE的有效条件为outp，是主公钥为pk_TEE且载入了程序片段prog的Enclave的输出结果；设可信硬件是正确且可信的，即设∑_TEE.Vf(pk_TEE,prog,outp,σ_TEE)的结果是绝对正确的。

7.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，

算法1，原始账号初始化申请授权：

输入：用户的原始账号pk_u，其中pk_u来自(pk_u,sk_u)←∑.KGen(1^λ)；

输出：审计中心授权的签名σ_A；

1)审计中心验证用户原始账号pk_u是否符合规定要求；

2)运行签名算法，通过密钥sk_A对申请的用户账号pk_u进行签名授权，获取签名σ_A；

3)输出返回σ_A；

算法1为内容1)的具体细节；内容1)中用户需要本地生成一个密钥对，并将公钥pk_u作为自己的原始账号提交至审计中心；审计中心通过检查后，签名授权该账号，允许该账号进行联盟链上的交易，并将自己的授权签名σ_A返回给用户。

8.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，

算法2，可信执行环境EF：

输入：用户的原始账号pk_u，审计中心的授权签名σ_A，用户的公共参数P_pub，用户的签名信息σ_u；

输出：原始账号加密信息ue，硬件签名σ_TEE；

1)运行签名验证算法，通过密钥pk_u验证σ_u是否是内容(pk_u,P_Pub)的有效签名；

2)运行签名验证算法，通过密钥pk_A验证σ_A是否是内容(pk_u)的有效签名；

3)运行加密算法，使用密钥pk_A对原始账号pk_u进行加密生成密文ue；

4)对内容(P_pub,ue)生成硬件签名σ_TEE；

5)输出返回ue，σ_TEE；

算法3，衍生匿名账号Extract：

输入：用户的原始账号密钥对(pk_u,sk_u)，审计中心的授权签名σ_A；

输出：原始账号加密信息ue，匿名账号对应的私钥sk_ue，硬件签名σ_TEE；

1)随机选取s∈Z_q并计算P_pub←s·P；

2)运行签名算法，通过密钥sk_u对内容(pk_u,P_Pub)进行签名，生成σ_u；

3)将原始账号pk_u，审计中心的授权签名σ_A用户的公共参数P_pub以及用户对输入内容的签名σ_u输入可信执行环境Enclave中，执行EF程序，返回原始账号的加密密文ue以及相对应的硬件签名σ_TEE；

4)计算Q_ID←H₁(ue)；

5)计算本次衍生的匿名账号所对应的私钥sk_ue，sk_ue←s·Q_ID；

6)输出返回(ue,P_Pub,σ_TEE)以及sk_ue；

内容2)的具体实现为算法3，用户本地运行算法3，输入原始的账号密钥对以及审计中心的授权签名，算法3会进入可信执行环境SGX的Enclave执行算法2，算法2是部署在SGX的Enclave代码程序，判断输入的签名的合法性后，使用审计中心的公钥进行加密生成密文ue，之后将ue同用户的公共参数进行签名绑定，用户本次运行获取的衍生匿名账号为(ue,P_Pub,σ_TEE)，对应的私钥为sk_ue；用户可以通过多次执行算法3获得多次输出，达到衍生多个匿名账号的效果；

内容3)可以通过SGX提供的验证服务对其硬件签名进行验证，即对应为∑_TEE.Vf(pk_TEE,EF,(P_pub,ue),σ_TEE)；输入待验证的匿名账号，并且指定输入程序为算法2指定的EF程序，会返回该硬件签名的有效性；当通过时可认为该匿名账号正确有效。

9.如权利要求1所述的联盟链中可追溯匿名方法，其特征在于，

算法4，交易签名TxSign：

输入：匿名账号对应的私钥sk_ue，待签名的交易tx；

输出：交易的授权签名σ_ue＝(R,S)；

1)随机选取k∈Z_q ^*；

2)计算R←k·P；

3)计算S←k^-1(H₂(m)·P+H₃(R)·sk_ue)；

4)输出返回σ_ue＝(R,S)；

算法5，交易验证TxVerify：

输入：用户的匿名账号(ue,P_Pub,σ_TEE)，待验证的交易(tx,σ_ue)；

输出：验证通过true；

1)计算Q_ID←H₁(ue)；

2)计算e(R,S)以及判断二者是否相等，若不相等则输入的签名非法无效；

3)验证通过，返回true；

内容4)中用户使用匿名账号签名TxSign，以及其签名验证TxVerify的实现分别为算法4和算法5；算法4中用户输入匿名账号对应的私钥sk_ue对交易进行签名认证产生σ_ue，任何人都可以使用算法5将交易中的账号(ue,P_Pub,σ_TEE)作为公钥，对交易中的签名(tx,σ_ue)进行验证；

内容5)中审计中心的AccDec可以直接使用审计中心的私钥进行原始账号的解密追溯，通过匿名账号(ue,P_Pub,σ_TEE)中的ue字段，Dec(sk_A,ue)定位原始账号pk_u。