CN111211907A - 一种物流区块链的信息隐私保护与监管方法及系统 - Google Patents

Abstract

本发明公开了一种物流区块链的信息隐私保护与监管方法及系统。本方法包括：1)在初始阶段，产生群公钥和群私钥，用户获得证书，物流站点获得签名密钥和验证密钥；2)在协商阶段，发送方产生标签，连同发货请求一起发送给接收方，接收方用群公钥对自己的公钥和证书加密，给出证明，发送给发送方；3)发送方用接收方的公钥对货物信息加密，将物流信息上链，并传至下一中转站；每一中转站接收到信息后，用自己的签名密钥对待传输信息签名，将签名连同信息上链；4)接收方证明其拥有密文对应的私钥以取信息；5)接收方解密得到货物的明文信息，并用私钥对其群签名，连同收到的密文信息上链。本发明可保证物流信息的不可篡改性和不可否认性。

Description

一种物流区块链的信息隐私保护与监管方法及系统

技术领域

本发明属于信息安全技术领域，具体为一种物流区块链的信息隐私保护与监管方法及系 统，可实现物流信息隐私保护和监管，保证物流运输过程中的数据安全。

背景技术

区块链概念自2008年提出以来，引起了相关技术领域学者的关注并进行研究。近年来， 随着区块链技术的不断创新进步，在国内外引起了研究和开发区块链应用的浪潮。区块链是 一种由多方共同维护，以块链结构存储数据，使用密码学保证传输和访问安全，能够实现数 据一致存储、无法篡改、无法抵赖的技术体系，具有防伪、防篡改、交易可追溯、去信任化 等特点。目前区块链技术发展还处于不断成熟和完善阶段，主要应用在金融领域。在其他领 域的应用仍处在初步探索阶段，包括保险、物流、食品溯源等方面。本文主要研究区块链在 物流运输领域的应用及其隐私保护和监管技术。

本文引用《区块链技术指南》一书中对区块链的定义。区块链是基于区块链技术形成的 分布式公共数据库(或称公开账本)。其中区块链技术是指多个参与方之间基于现代密码学、 分布式一致性协议、点对点网络通信技术和智能合约编程语言等形成的数据交换、处理和存 储的技术组合。

为了方便的理解区块链技术，我们先从介绍比特币入手。在比特币出现之前，数字货币 系统需要可信的第三方机构来保证交易的安全有效，例如银行、支付宝、微信等，记账权则 交给这些可信中心。比特币是首个去中心化的数字货币，可以解决双重支付和共识问题。比 特币系统不依赖于可信的中心管理员，系统中的用户地位平等。大家共同维护账本、验证交 易，并且竞争提出区块(记账)。

比特币系统的分布式记账就是通过区块链技术来实现的。在比特币系统中交易被存储在 数据区块中，大约每10分钟就会产生一个区块。每个区块包含区块头和区块体两部分。其中 交易以Merkle tree的形式存储在区块体部分，区块头包含当前版本号、前一个区块的地址、 时间戳、随机数和当前区块的哈希值以及交易Merkle tree的根。区块是通过挖矿产生的。而 挖矿的过程是穷举随机数的过程。矿工(比特币用户)将10分钟内的交易打包加上前一个区 块的哈希值，算出一个随机数，使得这些值的哈希值满足某个条件。如果矿工算出了满足条 件的随机数则获得了这个区块的记账权，随后矿工需要将其广播交给其他用户验证。挖矿的 矿工竞争获得最终记账权，矿工需要付出大量的能源和时间，以更大的概率获得一个区块的 记账权。通过这样的记账方式，大家共同验证、维护统一的账本，已经记录在区块链中的数 据无法篡改。

比特币中区块链的简易结构如图1所示。

物流涵盖了物体的运输、仓储、包装、搬运装卸、流通加工、配送以及相关的物流信息 等环节。然而目前的物流行业或多或少存在一些安全方面的隐患：有的物流公司，从客户发 货到对方收货，客户对货物途中运输情况完全不知，只有物流公司自己知道。有的物流公司 虽将运输情况公开给用户，用户通过运单号可随时查看，不过物流数据也可能存在伪造、篡 改的风险。区块链技术为此提供了解决思路，区块链分布式、不可篡改、可追踪等特点，适 合应用于物流运输的信息记录环节。将用户的货品信息、发货方、收货方记录在公开的账本 (即链)上，任意节点都可以下载存储物流数据。链上的物流数据不可篡改，货品的运输情 况(包括货从哪来，货经过了哪些节点，目前在哪里)可追踪。本文我们只关注物流的线上 信息，不考虑物流线下对货物的包装、运输等操作，假设物流的线下操作是可靠的。

然而直接将区块链引入物流并不是完美的解决方案，因为区块链的公开透明性，链上的 物流信息：发货方、货品内容、收货方都是公开的，这对用户的隐私带来威胁。大多情况下， 用户并不希望自己的身份、货品被无关的人看到。理想情况下，物流隐私信息应该对除了发 货方、收货方、监管方以外的其他节点(包括运输节点)都保密。鉴于此，本文研究基于区 块链的物流传输信息系统，重点研究其隐私保护问题和监管问题。提出针对物流运输场景下 的区块链隐私保护和监管方法。本发明的方案在保护用户身份及货物的同时，物流监管者可 以获得交易双方身份和货品内容(货品内容在发货时就应该可以得到，以确保运输符合规范)。

显然，若想走向实际，首要解决的问题就是用户身份和信息的隐藏。目前区块链隐私保 护方法大致可分为三类：基于混合技术、基于环签名和基于零知识证明。下面分别对这三类 进行介绍，并指出将其直接用于区块链物流存在的困难。

基于混合技术：混合技术目的是为了打乱输入和输出之间的对应关系，使得其他用户不 知道一笔钱来自哪个用户，即实现了发送者的匿名性。在这方面有很多相关的工作，其中又 分为带中心的混合和去中心的混合。混合技术适用于多个节点同时有交易任务且交易内容一 样的情况下。

在物流系统中，每个用户要运输的货物大都不同，因此混合这种匿名方法不适合应用于 物流运输场景。

基于环签名：环签名是一种简化的群签名，环签名中只有环成员没有管理者,不需要环成 员间的合作。其他用户只知道签名是由环中的用户所签，但不知道是具体是哪个用户。 CryptoNote就采用环签名方案实现了发送者身份的隐藏，采用隐身地址的方法实现了接收者 的身份隐藏。隐身地址的方法具体来说就是发送方通过接收方的公开信息生成一个随机地址 作为接收方的地址，接收方可以通过自己的秘密信息恢复出相应的私钥。因此每次接收者的 地址在变化，使得其他节点不能链接哪些交易是发向同一个接收者的，实现了交易的不可关 联性。门罗币在CryptoNote基础上实现，后续提出了金额隐藏的方案，且实现了交易可链接 的性质，采用了可链接的环签名技术。

环签名和隐身地址方法相结合能够保证发送者和接收者的匿名性，发送交易的用户只需 要知道环中其他成员的公钥，不需要其他成员的参与，适用于实现物流用户的匿名性。

基于零知识证明：为了提供更好的匿名性，Miers等人基于零知识证明设计了一种扩展的 比特币系统Zerocoin，使得输入的比特币地址与输出的比特币地址之间没有直接关系。 Zerocoin中币值金额是固定的，无法实现金额的拆分。Ben-Sasson等人在2014年提出了一种 新的匿名数字货币：Zerocash。Zerocash建立在Zerocoin的基础上并对其进行了改进。它采 用简洁的非交互零知识证明(zk-SNARKs)和同态承诺等密码工具，被称为是一种完全匿名的 货币。

这种方法提供了很好的隐私保护，不过目前来看证明的实现比较复杂，产生证明效率较 低，离实际应用还有一段距离。

上述三类技术关注隐私保护问题的研究，都没有考虑用户身份的监管问题。在实际物流 系统中，监管是至关重要的环节。通过前面的分析，环签名技术较适用于实现物流用户的匿 名性，在此基础的监管可以考虑用可链接、可追踪的环签名实现特定条件下的用户身份追踪。 可链接、可追踪的环签名只有在同一个用户对相同的消息用相同的私钥做了两次签名的情况 下，其身份才会被追踪到。这个技术适用场景较窄，不适合物流系统强监管的要求-即物流监 管者希望可以追踪到任意用户的身份。

发明内容

本发明的目的在于提供一种基于群签名和公钥加密的区块链物流信息隐私保护与监管方 法及系统。根据现有技术的分析可以确定，若直接将物流运输系统的信息直接放在区块链上， 虽然满足了用户对物流信息的实时掌握，却也威胁到了用户的隐私；而现有的基于区块链的 隐私保护技术，都没有考虑到用户身份的监管。因此为了保证物流信息的隐私保护和监管， 本发明设计了一种基于群签名和公钥加密的区块链物流信息隐私保护与监管方法，使得物流 信息有选择性的仅对其用户公开，且用户身份可监管。

为实现上述目的，本发明采取如下技术方案：

一种物流区块链的信息隐私保护与监管方法，其步骤包括：

1)物流监管者运行群签名算法产生群公钥GPK、群私钥GSK，以及用户i的公私钥对(SK_i,PK_i)和相应的证书cert_i；物流站点运行签名算法产生签名密钥和验证密钥；

2)当用户A计划给用户B发送货物M时，用户A随机产生发货标签tag，将发货请求和tag发给用户B；用户B用群公钥GPK对用户B的公钥PK_B加密得到C₁、对用户B 的证书cert_B加密得到C₂,并给出相应的证明π₁；用户B将公钥PK_B和收货站点地址 D(B)、C₁、C₂、π₁发送给用户A；

3)用户A通过用户B的公钥PK_B加密货物信息M，得到密文C；用户A用私钥SK_A对 tag、用户A的发货地点D(A)、C、C₁、C₂、π₁和D(B)做群签名，得到的签名记为σ₀； 用户A将发货物流信息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)公布到区块链上；

4)用户A的发货站点D(A)根据从区块链上获取的message₀中的发货、收货站点信息， 将货物配送到中间站点T_i，然后站点D(A)用自己的签名密钥对消息(message₀,T_i)进行签名得到σ_i，并将message_i＝(message₀,T_i,σ_i)发布到区块链上；站点T_i收到货物 并发往下一中间站点T_i+1，站点T_i用自己的私钥对(message_i,T_i+1)签名得到σ_i+1，并 将message_i+1＝(message_i,T_i+1,σ_i+1)发布到区块链上；当中间站点T_i+1为最后一中 间站点时，T_i+1收到货物并发往目的站点D(B)，站点T_i+1用自己的私钥对 (message_i+1,D(B))签名得到σ_i+2，并将message_i+2＝(message_i+1,D(B),σ_i+2)发布到 区块链上；站点D(B)收到货物，对相应区块链上的消息message_i+2做签名得到σ_D， 将message_D＝(message_i+2,σ_D)公布在区块链上；

5)用户B查看区块链信息，如果区块链信息中的标签tag与收到的标签tag一致，且区 块链上该tag标签的消息被目标站点D(B)签名，则判定自己的货物已经到达站点；用 户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的私钥，验证通过后D(B) 将货物M给用户B。

进一步的，当物流监管者需要对发送者用户A监管时，执行群签名的打开算法，获得用 户A的公钥PK_A，然后根据公钥PK_A对应到用户身份是否为用户A；当物流监管者对接收者 用户B监管时，用群私钥GSK解密密文C₁，得到用户B的公钥PK_B，然后根据公钥PK_B对 应到用户身份是否为用户B。

进一步的，用户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的私钥的方法为： 目标站点D(B)向用户B发送挑战消息m,用户B用私钥SK_B对D(B)发过来的挑战消息m做 签名，记为sig_B(m),并用群公钥GPK对签名sig_B(m)加密，得到密文C₃，以及生成相应的证明π₂；然后将密文C₃和证明π₂发给D(B)。

进一步的，所述证明π₁为用于证明关系Verify(GPK,PK_B,cert_B)＝1,EncGPK(PK_B)＝ C₁，EncGPK(cert_B)＝C₂；所述证明π₂为用于证明Verify(m,PK_B,sig_B(m))＝1, EncGPK(sig_B(m))＝C₃，EncGPK(PK_B)＝C₁。

进一步的，用户B用自己的私钥解密密文C，得到货物的明文信息，如果解密得到的明 文信息与收到的货品信息相匹配，则用户B用私钥SK_B对消息message_D进行群签名，得到σ_end， 将message_end＝(message_D,σ_end)公布到区块链上，表示收货完成。

进一步的，采用零知识证明的方法生成证明π₁、证明π₂。

进一步的，message₀记录在实体货物M上。

一种物流区块链的信息隐私保护与监管系统，其特征在于，包括初始化模块、发货协商 模块、发货模块、中间传输模块和收货确认模块；其中，

初始化模块，用于运行群签名算法产生物流监管者的群公钥GPK、群私钥GSK，以及用 户i的公私钥对(SK_i,PK_i)和相应的证书cert_i；运行签名算法为物流站点产生签名密钥和验证 密钥；

发货协商模块，用于将用户A的发货请求和随机产生的标签tag发给用户B；以及将用户 B的公钥PK_B、收货站点地址D(B)、C₁、C₂、π₁发送给用户A；其中，用户B用群公钥GPK 对用户B的公钥PK_B加密得到C₁、对用户B的证书cert_B加密得到C₂,并给出相应的证明π₁； 当用户A为货物M的发送者，用户B为用户A选取的货物M的接收者；

发货模块，用于将用户A的发货物流信息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)公 布到区块链上；其中，密文C为用户A通过用户B的公钥PK_B加密货物信息M得到；签名σ₀为 用户A用私钥SK_A对tag、用户A的发货地点D(A)、C、C₁、C₂、π₁和D(B)做群签名得到；

中间传输模块，用于将message_i＝(message₀,T_i,σ_i)、 message_i+1＝(message_i,T_i+1,σ_i+1)、message_i+2＝(message_i+1,D(B),σ_i+2)、message_D＝ (message_i+2,σ_D)发布到区块链上；其中，message_i为中间站点T_i生成的信息，中间站点T_i为 用户A所选的发货站点D(A)根据从区块链上获取的message₀中的发货、收货站点信息确定 的中间站点，签名σ_i为站点D(A)用自己的签名密钥对消息(message₀,T_i)进行签名得到；中间 站点T_i+1为中间站点T_i的下一中间站点，用于生成信息message_i+1，签名σ_i+1为中间站点T_i用 自己的私钥对(message_i,T_i+1)签名得到；当中间站点T_i+1为最后一中间站点时，中间站点T_i+1生成message_i+2，签名σ_i+2为站点T_i+1用自己的私钥对(message_i+1,D(B))签名得到；message_D为站点D(B)生成的信息，签名σ_D为站点D(B)收到货物M时对相应区块链上的消息 message_i+2做签名得到；

收货确认模块，用于验证用户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的 私钥。

进一步的，还包括一监控模块，用于当物流监管者需要对发送者用户A监管时，执行群 签名的打开算法，获得用户A的公钥PK_A；以及用于当物流监管者对接收者用户B监管时， 用群私钥GSK解密密文C₁，得到用户B的公钥PK_B。

进一步的，收货确认模块将message_end＝(message_D,σ_end)公布到区块链上，表示用户B 收货完成；其中，签名σ_end为用户B用私钥SK_B对消息message_D进行群签名得到。

如上所述，环签名的方法比较适合用于物流场景下的用户隐私保护。不过为了实现可监 管特性，本发明采用了群签名技术。群签名概念是由Chaum和van Heyst在1991年的欧密会 上提出的，其具有三个特性：1、只有群中的成员可以进行签名；2、接收者可以验证这是一 个有效的签名，但是无法知道这个签名属于群中的哪一个成员，实现匿名性；3、一旦出现争 议或纠纷，群管理员可以打开签名，找到此签名属于群中哪一个成员，实现可追踪性。正是 由于结合了匿名性与可追踪两种特性，群签名适合用户区块链用户身份的匿名和监管(即身 份的可追踪)。

群签名一般包含创建(Setup)、加入(Join)、签名(Sign)、验证(Verify)、打开(Open)、撤销 (Revoke)六个多项式时间算法。

1)创建(Setup)群管理员生成群公钥和群私钥，群公钥用于群签名验证，群私钥用于生成 成员证书及打开签名。

2)加入(Join)此时分为两种情况：

a)动态群签名中，用户会和群管理员进行交互，完成后群管理员获取可以打开此用户群 签名相关的追踪信息，用户获得成员证书以及用于进行群签名的私钥。

b)静态群签名中，群管理员和用户之间没有交互，由群管理员直接生成成员的证书并秘 密传送给成员。

3)签名(Sign)群成员利用自己的成员证书和私钥来对消息进行签名。

4)验证(Verify)验证者通过群公钥来验证群签名的合法性，但是无法获得签名的实际签名 者的信息。

5)打开(Open)对于合法的群签名，群管理员可以打开签名，并找出实际的签名者。

6)撤销(Revoke)群管理员可以撤销某成员的签名权利，此后，此用户无法再生成合法的群 签名。

群签名有一个群管理者，签名者对其他用户保密，但群管理者能够获得签名者的身份， 这比较符合物流场景的监管需求。群签名实现物流发送方的匿名性和可监管。发送者做了群 签名后，其公钥是隐藏的，保证了匿名性；监管者(即群管理员)通过陷门可以从签名中获 得实际签名者的公钥，继而对应到用户身份，保证了监管。

然而如何同时做到接收者的匿名和监管，这方面目前还没有相关工作。接收者的匿名性 如果采用隐身地址的方法，监管较为困难。本发明采用群签名的证书机制结合公钥加密算法 来实现。接收者的公钥是用监管者的公钥加密后放在区块链上的，另外还要附上相应的证书 的密文(证书在初始化阶段从群管理者那里获得)。采用零知识证明的方法证明公钥和证书的 有效性。其他人员可以验证接收者的有效性但不知道具体公钥，只有群管理者可以解密得到 用户的公钥。

进一步的，本发明考虑物流信息的保密。鉴于物流的特点，物流信息只需要满足保密性 和完整性，本发明采用公钥加密的方法实现对物流信息的隐藏。发送者用接收者的公钥加密 物流信息，接收者解密得到货物明文信息。

到这里本发明实现了物流信息的隐私保护和监管。不过接收者如何判断哪个是属于自己 的货物呢，本发明引入了一个标记标签，这个标签是发送者在发货协商阶段产生并发送给接 收者的。

综上，本方案基于区块链的物流信息隐私保护与监管技术，旨在解决区块链在物流领域 应用存在的隐私保护和监管难题。为了达到隐私保护和监管的平衡，本文基于群签名、零知 识证明、公钥加密技术，提出了可以保证发货方、收货方匿名可追踪的方案。具有以下安全 性特点：

1)用户的匿名和可追踪

发货方的匿名和可追踪：发货方的匿名性和可追踪特性是通过群签名本身的的匿名性和 可追踪性实现的。

收货方的匿名性和可追踪：收货方的公钥和证书都用群管理员的公钥做的加密，对其他 用户来讲是保密的，即保证了其匿名性；群管理员可以解密拿到用户的公钥和证书，从而可 以追踪到用户身份。

2)物流内容的保密

物流信息与金额交易不同，不涉及到中途的验证运算。因此本文采用一般的公钥加密算 法实现物流货物信息的保密，物流信息用接收者的公钥加密，只有物流接收者可以解密得到 货物明文信息。

附图说明

图1是比特币中区块链的简易结构。

图2是物流运输的过程顺序图。

图3是在初始阶段，用户进行注册的流程图。

图4是在协商阶段，用户间进行发货协商的流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图， 对本方案构造做进一步说明。

方案符号说明：假设用户A给用户B发送货物，A的发货地点记为D(A)，B的收货地点记为D(B)。为了实现用户实际住址的隐私保护，D(A)，D(B)表示离用户地址最近的物流站点。 为了方便方案描述，假设用户A给用户B发送货物中途需要经过两个中间站点，记为T₁，T₂。 Enc表示公钥加密算法，Dec表示相应的解密算法。

图1是比特币中区块链的简易结构。每一个区块的头部信息中除了包含区块体中默克尔 树的根节点信息，还包含序列中前一个区块头部信息的哈希指针；其作用是为了保证数据的 安全性，防止数据被任意篡改。当区块链中某一区块i的某一交易被篡改时，会先改变区块i 头部的默克尔根节点的哈希值，然后导致区块i的头部哈希值也发生改变，那么就会和下一 个区块i+1的区块头部中所存的区块i的区块头部哈希值产生差异。要改变区块链中任一区块 中的任意交易数据，需要依次修改至最新区块的头部信息上，因此根据该区块头部信息与其 他区块上所存储的信息的一致性，即可判断该区块中的数据是否正确。

如图2所示，本文基于区块链物流运输过程分为了五个阶段：1.初始阶段，2.用户发货协 商阶段，3.用户发货，4.中间传输，5.用户收货。

具体地，方案设计如下：

一、初始阶段：群管理员(这里即物流监管者)运行群签名的创建(Setup)算法，产生群 公钥GPK和群私钥GSK，用户和群管理员之间执行群签名的加入(Join)算法，用户获得公私 钥(SK_i,PK_i)和相应的证书cert_i(如图2)。另外物流站点运行普通的签名算法产生签名密钥 和验证密钥。

二、协商阶段：如图3所示，用户A计划给用户B发送货物M，用户A随机产生发货 标签，记为tag，将发货请求和tag发给B；

用户B用群管理者的公钥GPK对PK_B和cert_B分别做加密，记为C₁,C₂,并给出证明π₁，证明关系Verify(GPK,PK_B,cert_B)＝1,EncGPK(PK_B)＝C₁，EncGPK(cert_B)＝C₂。PK_B是 用户B的公钥，在初始阶段用户和群管理员执行Join算法得到的。

用户B将公钥PK_B和收货站点地址D(B)，C₁，C₂，π₁发送给用户A。

三、发货记录：

1)用户A通过用户B的公钥PK_B加密货物信息M，得到密文C；

2)用户A用私钥SK_A对tag，D(A)，C，C₁，C₂，π₁，D(B)做群签名，得到的签名记为σ₀；如图4 所示；这部分群签名实现了用户A的匿名。用户B的公钥PK_B在这里没有出现，出现的是用 户B公钥的证书的密文C₁，C₂，因此也保密了用户B。

3)用户A将发货物流信息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)公布到区块链上。 message₀也记录在实体货物上。

四、运输阶段信息记录

站点D(A)根据从区块链上获取的message₀中的发货、收货站点信息，将货物配送到中 间站点T₁，货物发出后，站点D(A)用自己的签名密钥对消息(message₀,T₁)进行签名(这里 就用一般的签名算法)，得到σ₁。将message₁＝(message₀,T₁,σ₁)发布到区块链上。

站点T₁收到货物并发往中间站点T₂。站点T₁用自己的私钥对(message₁,T₂)签名，得到σ₂。 将message₂＝(message₁,T₂,σ₂)发布到区块链上。

站点T₂收到货物并发往目的站点D(B)。站点T₂用自己的私钥对(message₂,D(B))签名， 得到σ₃。将message₃＝(message₂,D(B),σ₃)发布到区块链上。

站点D(B)收到货物，对相应区块链上的消息message₃做签名，得到σ₄，将message₄＝ (message₃,σ₄)公布在区块链上。

五、收货阶段

用户B查看区块链信息，判断是否有自己的货物到达站点。判断方法为：查看消息的标 签tag是否是之前协商阶段收到的标签，另外区块链上具有自己收到的tag标签的消息是否被 目标站点D(B)签名。如果这两个都满足，则表示自己的货物已经到达站点。

用户B到目标站点D(B)处取货物。向目标站点证明其拥有密文C₁中公钥PK_B所对应的私 钥。证明方法为：目标站点D(B)向用户B发送挑战消息m，用户B用私钥SK_B对D(B)发过来的挑战消息m做签名，记为sig_B(m)，并用GPK对签名做加密，得到密文C₃，产生证明π₂,证明Verify(m,PK_B,sig_B(m))＝1,EncGPK(sig_B(m))＝C₃，EncGPK(PK_B)＝C₁。将密文C₃和 证明π₂发给D(B)。D(B)验证通过则将货物给用户B。

用户B对密文C解密，得到货物的明文信息。这里本发明假设线下物理运输是安全的， 那么解密得到的明文数据应和物理的货品信息是相匹配的。用户B用私钥SK_B对消息message₄进行群签名，得到σ₅，将message₅＝(message₄,σ₅)公布到区块链上，表示收货完，成。如果有人恶意冒充收货方，监管者可以查出签名者并找到谁在作弊。

监管：群管理员有了区块链上的消息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)，若 需要对发送者用户A做监管，执行打开(Open)算法，获得签名者(用户A)的公钥PK_A， 然后根据公钥PK_A对应到用户身份是否为用户A。若对接收者用户B做监管，群管理员用群 私钥GSK解密密文C₁，得到用户B的公钥PK_B，然后根据公钥PK_B对应到用户身份是否为 用户B，实现监管。

通过上面的方案描述可以看出，区块链保证了物流信息的不可篡改性和不可否认性。区 块链上通过验证的消息不能被人篡改；用户不能否认其对信息的签名。另外区块链历史记录 可追溯特点使得物流信息的来源、去向明确，出现问题容易查找相关站点。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可 以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保 护范围应以权利要求书所述为准。

Claims (10)

1.一种物流区块链的信息隐私保护与监管方法，其步骤包括：

1)物流监管者运行群签名算法产生群公钥GPK、群私钥GSK，以及用户i的公私钥对(SK_i,PK_i)和相应的证书cert_i；物流站点运行签名算法产生签名密钥和验证密钥；

2)当用户A计划给用户B发送货物M时，用户A随机产生发货标签tag，将发货请求和tag发给用户B；用户B用群公钥GPK对用户B的公钥PK_B加密得到C₁、对用户B的证书cert_B加密得到C₂,并给出相应的证明π₁；用户B将公钥PK_B和收货站点地址D(B)、C₁、C₂、π₁发送给用户A；

3)用户A通过用户B的公钥PK_B加密货物信息M，得到密文C；用户A用私钥SK_A对tag、用户A的发货地点D(A)、C、C₁、C₂、π₁和D(B)做群签名，得到的签名记为σ₀；用户A将发货物流信息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)公布到区块链上；

4)用户A的发货站点D(A)根据从区块链上获取的message₀中的发货、收货站点信息，将货物配送到中间站点T_i，然后站点D(A)用自己的签名密钥对消息(message₀,T_i)进行签名得到σ_i，并将message_i＝(message₀,T_i,σ_i)发布到区块链上；站点T_i收到货物并发往下一中间站点T_i+1，站点T_i用自己的私钥对(message_i,T_i+1)签名得到σ_i+1，并将message_i+1＝(message_i,T_i+1,σ_i+1)发布到区块链上；当中间站点T_i+1为最后一中间站点时，T_i+1收到货物并发往目的站点D(B)，站点T_i+1用自己的私钥对(message_i+1,D(B))签名得到σ_i+2，并将message_i+2＝(message_i+1,D(B),σ_i+2)发布到区块链上；站点D(B)收到货物，对相应区块链上的消息message_i+2做签名得到σ_D，将message_D＝(message_i+2,σ_D)公布在区块链上；

5)用户B查看区块链信息，如果区块链信息中的标签tag与收到的标签tag一致，且区块链上该tag标签的消息被目标站点D(B)签名，则判定自己的货物已经到达站点；用户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的私钥，验证通过后D(B)将货物M给用户B。

2.如权利要求1所述的方法，其特征在于，当物流监管者需要对发送者用户A监管时，执行群签名的打开算法，获得用户A的公钥PK_A，然后根据公钥PK_A对应到用户身份是否为用户A；当物流监管者对接收者用户B监管时，用群私钥GSK解密密文C₁，得到用户B的公钥PK_B，然后根据公钥PK_B对应到用户身份是否为用户B。

3.如权利要求1所述的方法，其特征在于，用户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的私钥的方法为：目标站点D(B)向用户B发送挑战消息m,用户B用私钥SK_B对D(B)发过来的挑战消息m做签名，记为sig_B(m),并用群公钥GPK对签名sig_B(m)加密，得到密文C₃，以及生成相应的证明π₂；然后将密文C₃和证明π₂发给D(B)。

4.如权利要求3所述的方法，其特征在于，所述证明π₁为用于证明关系Verify(GPK,PK_B,cert_B)＝1,EncGPK(PK_B)＝C₁，EncGPK(cert_B)＝C₂；所述证明π₂为用于证明Verify(m,PK_B,sig_B(m))＝1,EncGPK(sig_B(m))＝C₃，EncGPK(PK_B)＝C₁。

5.如权利要求1所述的方法，其特征在于，用户B用自己的私钥解密密文C，得到货物的明文信息，如果解密得到的明文信息与收到的货品信息相匹配，则用户B用私钥SK_B对消息message_D进行群签名，得到σ_end，将message_end＝(message_D,σ_end)公布到区块链上，表示收货完成。

6.如权利要求1所述的方法，其特征在于，采用零知识证明的方法生成证明π₁、证明π₂。

7.如权利要求1所述的方法，其特征在于，message₀记录在实体货物M上。

8.一种物流区块链的信息隐私保护与监管系统，其特征在于，包括初始化模块、发货协商模块、发货模块、中间传输模块和收货确认模块；其中，

初始化模块，用于运行群签名算法产生物流监管者的群公钥GPK、群私钥GSK，以及用户i的公私钥对(SK_i,PK_i)和相应的证书cert_i；运行签名算法为物流站点产生签名密钥和验证密钥；

发货协商模块，用于将用户A的发货请求和随机产生的标签tag发给用户B；以及将用户B的公钥PK_B、收货站点地址D(B)、C₁、C₂、π₁发送给用户A；其中，用户B用群公钥GPK对用户B的公钥PK_B加密得到C₁、对用户B的证书cert_B加密得到C₂,并给出相应的证明π₁；当用户A为货物M的发送者，用户B为用户A选取的货物M的接收者；

发货模块，用于将用户A的发货物流信息message₀＝(tag,D(A),C,C₁,C₂,π₁,D(B),σ₀)公布到区块链上；其中，密文C为用户A通过用户B的公钥PK_B加密货物信息M得到；签名σ₀为用户A用私钥SK_A对tag、用户A的发货地点D(A)、C、C₁、C₂、π₁和D(B)做群签名得到；

中间传输模块，用于将message_i＝(message₀,T_i,σ_i)、message_i+1＝(message_i,T_i+1,σ_i+1)、message_i+2＝(message_i+1,D(B),σ_i+2)、message_D＝(message_i+2,σ_D)发布到区块链上；其中，message_i为中间站点T_i生成的信息，中间站点T_i为用户A所选的发货站点D(A)根据从区块链上获取的message₀中的发货、收货站点信息确定的中间站点，签名σ_i为站点D(A)用自己的签名密钥对消息(message₀,T_i)进行签名得到；中间站点T_i+1为中间站点T_i的下一中间站点，用于生成信息message_i+1，签名σ_i+1为中间站点T_i用自己的私钥对(message_i,T_i+1)签名得到；当中间站点T_i+1为最后一中间站点时，中间站点T_i+1生成message_i+2，签名σ_i+2为站点T_i+1用自己的私钥对(message_i+1,D(B))签名得到；message_D为站点D(B)生成的信息，签名σ_D为站点D(B)收到货物M时对相应区块链上的消息message_i+2做签名得到；

收货确认模块，用于验证用户B向目标站点D(B)证明其拥有密文C₁中公钥PK_B所对应的私钥。

9.如权利要求8所述的系统，其特征在于，还包括一监控模块，用于当物流监管者需要对发送者用户A监管时，执行群签名的打开算法，获得用户A的公钥PK_A；以及用于当物流监管者对接收者用户B监管时，用群私钥GSK解密密文C₁，得到用户B的公钥PK_B。

10.如权利要求8所述的系统，其特征在于，收货确认模块将message_end＝(message_D,σ_end)公布到区块链上，表示用户B收货完成；其中，签名σ_end为用户B用私钥SK_B对消息message_D进行群签名得到。

Images