CN113554436A - 一种区块链系统用户身份匿名方法、追踪方法和系统 - Google Patents

Abstract

本发明涉及一种区块链系统用户身份匿名方法、追踪方法和系统。用户端将用户的标签属性和用户的身份发送至区块链网络中的监管中心，以获取证书；采用监管中心的公钥加密用户的标签属性，并进行随机化，得到用户的公钥；将从监管中心获取的证书进行随机化；根据用户的公钥和随机化后的证书产生交易并上传至区块链中；监管中心将用户端发送的用户的标签属性和用户的身份保存到注册列表，采用监管中心的私钥解密区块链上的交易中用户的公钥，得到用户的标签属性，通过查找注册列表找到对应的用户的身份。本发明保持区块链用户的匿名性质并增加了可追踪的功能，同时不增加原系统的负担，用户产生证明简洁、证明验证高效，监管中心的追踪简单。

Description

一种区块链系统用户身份匿名方法、追踪方法和系统

技术领域

本发明属于信息安全技术领域，具体为一种区块链系统用户身份匿名方法、追踪方法和系统，可实现用户身份的匿名和认证，只有监管机构有权追踪到其身份。

背景技术

区块链作为比特币系统的核心技术，受到企业、科研机构、政府的广泛关注和研究。目前对于区块链没有统一的定义，一般认为区块链是一种分布式的公开数据库，具有防伪、防篡改、交易可追溯、去信任化等特点。区块链的诸多优点吸引了不少企业开发基于区块链的应用。区块链技术目前主要应用在金融领域，另外在保险行业、物流、版权保护等领域已初步有一些应用。

到目前为止，比特币仍然是区块链最典型的应用，比特币系统中通过用户大量自由生成交易地址来实现用户真实身份的保密，即实现了匿名性。区块链上的交易内容包括用户的地址、转账金额等都是公开透明的，可以让所有参与节点对交易进行验证和记录。区块链账本公开透明的特点方便了节点对交易的验证，但同时带来了用户的隐私保护问题。在E.Felten等人所著的“Bitcoin and cryptocurrency technologies:A comprehensiveintroduction.In Princeton University Pres,2016.”中提到，由于区块链数据的公开透明性，通过大量分析交易和网络数据，可以设计去匿名方案。在实际应用中，企业或用户可能不希望自己的交易信息被公开的放在链上，包括交易双方的身份、交易金额、交易事由等内容。隐私问题对于个人和企业都至关重要，尤其在很多金融系统、军事领域更是如此。那么该如何保证区块链上用户身份和数据的机密性是区块链走向实际应用面临的一项重要挑战。在此基础上的监管问题也受到大家的关注，因为隐私保护可能会助长恶意用户的行为。本发明针对区块链用户身份保护和监管进行研究，提出了区块链用户匿名与可追踪技术，在保护用户身份的同时，只有监管机构可以追踪用户的身份。

目前区块链隐私保护方法大致可分为三类：基于混合技术、基于环签名和基于零知识证明。下面分别对这三类进行介绍。

1)基于混合技术：1981年，Chaum首次提出了混合网络的概念并给出基本的混合协议“Untraceable electronic mail,return addresses,and digital pseudonyms.”混合技术目的是为了打乱输入和输出之间的对应关系，使得其他用户不知道一笔钱来自哪个用户，即实现了发送者的匿名性。在这方面有很多相关的工作，其中又分为带中心的混合和去中心的混合。混合技术适用于多个节点同时有交易任务且交易金额一样的情况下。

2)基于环签名：2001年，Rivest,shamir和Tauman三位密码学家首次提出了环签名“Ring Signatures of Sub-linear Size Without Random Oracles[C]”。环签名是一种简化的群签名，环签名中只有环成员没有管理者，不需要环成员间的合作。其他用户只知道签名是由环中的用户所签，但不知道是具体是哪个用户。CryptoNote就采用环签名方案实现了发送者身份的隐藏，采用隐身地址的方法实现了接收者的身份隐藏。隐身地址的方法具体来说就是发送方通过接收方的公开信息生成一个随机地址作为接收方的地址，接收方可以通过自己的秘密信息恢复出相应的私钥。因此每次接收者的地址在变化，使得其他节点不能链接哪些交易是发向同一个接收者的，实现了交易的不可关联性。门罗币在CryptoNote基础上实现，后续提出了金额隐藏的方案，且实现了交易可链接的性质，采用了可链接的环签名技术。环签名和隐身地址方法相结合能够保证发送者和接收者的匿名性，发送交易的用户只需要知道环中其他成员的公钥，不像混合技术需要其他用户同时参与交易。

3)基于零知识证明：为了提供更好的匿名性，Miers等人在所著的论文“Zerocoin:Anonymous distributed e-cash from bitcoin.”中基于零知识证明设计了一种扩展的比特币系统Zerocoin，使得输入的比特币地址与输出的比特币地址之间没有直接关系。Zerocoin中币值金额是固定的，无法实现金额的拆分。Ben-Sasson等人在2014年所著的的论文“Zerocash:Decentralized Anonymous Payments from Bitcoin.”提出了一种新的匿名数字货币Zerocash。Zerocash建立在Zerocoin的基础上并对其进行了改进。它采用简洁的非交互零知识证明(zk-SNARKs)和同态承诺等密码工具，被称为是一种完全匿名的货币。这种方法提供了很好的隐私保护，不过目前来看证明的实现比较复杂，产生证明效率较低，离实际应用还有一段距离。

上述三类技术关注隐私保护问题的研究，都没有考虑用户身份的监管问题。后续有一些工作研究用户身份的追踪问题，2014年，Ateniese等人在所著的论文“CertifiedBitcoins”中设计了一个比特币的认证系统，使得用户可以获得可信机构颁发的证书，从而提升其地址的可信度，用户的身份可以被可信机构追踪。El Defrawy等人在所著的论文“Founding DigitalCurrency on Secure Computation”中基于安全多方计算设计了多个服务器协同存储账本和监管的方案。多个服务器拥有用户身份的秘密分享份额，只有大于门限个数的服务器才可以恢复用户身份。Zheng等人在做著的论文“Linkable GroupSignature for Auditing Anonymous Communication”设计了可链接的群签名方案，用于实现用户身份的可追踪，交易内容的可审计。群签名方案满足匿名性和可追踪性。验证者可以验证群签名的确是由群中的成员所签，但不知道是谁。群管理者能够获得签名者的身份(这里公钥即身份)。Ateniese等人和Zheng等人的工作都是将用户公钥和证书绑定，监管中心通过证书来追踪公钥即可知道用户身份。然而目前大多区块链系统中(比特币、以太坊、门罗币等)，用户公钥不断更新变化，依据Ateniese等人和Zheng等人的方法，用户每产生一对密钥都需要去中心注册，增加了用户和监管中心的负担。

发明内容

本发明的目的在于提供一种区块链系统中用户身份匿名和可追踪的方法，使得用户只需要到监管中心注册一次获得相应的证书。该方法保持区块链用户的匿名性质，在此基础上增加了可追踪的功能，同时不增加原系统的负担，用户产生证明简洁、证明验证高效，监管中心的追踪简单。

本发明采用的技术方案如下：

一种区块链系统用户身份匿名方法，适用于区块链网络中的用户端，包括以下步骤：

将用户的标签属性和用户的身份发送至区块链网络中的监管中心，以获取证书；

采用监管中心的公钥加密用户的标签属性，并进行随机化，得到用户的公钥；

将从监管中心获取的证书进行随机化；

根据用户的公钥和随机化后的证书产生交易并上传至区块链中。

进一步地，所述证书由监管中心采用以下步骤产生：

随机选择r←Z_p ^*，计算a＝f^-r，b＝(U_i·h)^rz，证书cert:＝(a,b)；

其中，Z_p ^*表示模p的乘法群，U_i表示用户的标签属性，f,h,z为随机选择的群元素，a为证书前半部分，b为证书后半部分。

进一步地，所述采用监管中心的公钥加密用户的标签属性，并进行随机化，得到用户的公钥，包括：

随机选择r←Z_p，计算密文c₁＝g^r,c₂＝U_iA^r；其中A为监管中心的公钥，U_i表示用户的标签属性，g为群G的生成元；

将用户的公钥设置为PK＝(c₁,c₂)。

进一步地，所述将从监管中心获取的证书进行随机化，包括：

随机选择ρ←Z_p，计算

随机化之后的证书记为cert'＝(a',b')，并计算R＝a'^r；其中tag_i表示用户的私密标签。

进一步地，通过证明Π保证用户的公钥PK是认证过的，且用户有公钥所对应的秘密(r,tag_i)，其中证明Π采用关于知识的签名技术实现。

进一步地，所述根据用户的公钥和随机化后的证书产生交易，生成的交易为tx＝(PK,a',b',R,m,Π)，其中m表示交易内容。

一种区块链系统用户身份追踪方法，适用于区块链网络中的监管中心，包括以下步骤：

接收区块链网络中的用户端发送的用户的标签属性和用户的身份，并保存到注册列表；

采用监管中心的私钥解密区块链上的交易中用户的公钥，得到用户的标签属性，通过查找注册列表，找到对应的用户的身份。

一种实现用户身份匿名和追踪的区块链系统，包括由监管中心和用户端构成的区块链网络；所述用户端采用上述本发明的方法进行用户身份匿名；所述监管中心采用上述本发明的方法进行用户身份追踪。

一种电子装置，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

一种计算机可读存储介质，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

本发明提出了一种实用高效的区块链用户匿名和可追踪方法，能够降低用户和监管中心的负担，具有如下优点：1)用户只需要到监管中心注册一次，能够高效地产生用户证明；2)监管机构的追踪操作简单；3)能够保持原系统的匿名性。

附图说明

图1是在初始阶段，用户进行注册的流程图。用户i产生用户的标识tag_i和U_i，其中

用户i给监管中心发送id_i和U_i及相关证明π，监管中心验证收到的消息，产生相应的证书(a,b)。监管中心将U_i,id_i添加到注册列表。用户i验证监管中心返回的消息，若验证通过则用户i保存(tag_i,U_i,a,b)。注册完成。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本方案构造做进一步说明。

本发明的区块链用户匿名可追踪技术，包含1初始化，2用户注册，3用户公钥的产生，4交易产生及验证，5身份追踪五部分。

1.初始化算法Setup(1^k):

a)监管中心产生双线性群gk:＝(p,G,G_T,e,g)←G(1^k)_。其中G为双线性群产生算法，k为系统安全参数，p为大素数，G、G_T均为阶为p的群，g为群G的生成元，e表示双线性映射运算符，←表示左边的内容由右边的算法生成。

b)随机选择群元素f,h,z←G，计算群G_T中的元素T:＝e(f,z)；随机选择一个整数x作为Elgamal加密方案的私钥，计算公钥A＝g^x mod p；监管中心有一个注册列表，记为Reg，初始为空。

c)返回(mpk,msk):＝((gk,f,h,T,A),(z,x))。其中，mpk表示主公钥，msk表示主私钥。

2.用户注册

采用Groth在2007年所著的论文“Fully Anonymous Group Signatures WithoutRandom Oracles”中可认证签名(certified signature)思想来产生用户的证书。

注册算法是个交互的过程，包含用户算法User和中心算法Issuer，具体过程如下：

a.用户i产生用户的标签对

其中，tag_i表示用户的私密标签，U_i表示标签属性，i是用户的标记。其中tag_i只有用户自己知道，用户i将U_i、id_i，π发给监管中心，其中π是证明其有U_i的以g为底的指数tag_i。

b.监管中心随机选择r←Z_p ^*，计算a＝f^-r，b＝(U_i·h)^rz，证书cert:＝(a,b)。将证书(a,b)发送给用户，其中a为证书前半部分，b为证书后半部分。其中，Z_p ^*表示模p的乘法群。

c.用户验证收到的证书。证书的验证算法记为Cert.Verify，即判断是否满足以下等式：

在注册算法结束后，用户拿到(tag_i,U_i)和相应的证书cert＝(a,b)。监管中心将(U_i,id_i)添加到注册列表Reg，注册列表Reg对其他用户都是保密的。其中，id_i是用户i的身份。

3.用户公钥的产生

用户用监管中心的公钥A加密自己的标签属性U_i。采用Elgamal公钥加密方案，包括以下步骤：

随机选择r←Z_p，计算密文c₁＝g^r,c₂＝U_iA^r；其中Z_p表示模p的整数加法群；

用户将其公钥设置为PK＝(c₁,c₂)。

4.交易的产生和验证

4.1)交易的产生：

用户用公钥PK＝(c₁,c₂)要在区块链上做某笔交易时，需证明公钥是认证过的，且用户有公钥所对应的秘密(r,tag_i)。其中，r是步骤“3.用户公钥的产生”阶段用的随机数，tag_i是用户的私密标签。

a)用户计算随机化的证书，随机选择ρ←Z_p，计算

随机化之后的证书记为cert'＝(a',b')，计算R＝a'^r。

随机化后的证书仍然满足验证等式e(a',U_i·h)e(f,b')＝T。

b)证明公钥是认证过的，且用户有公钥所对应的秘密(r,tag_i)。具体需要证明R以a'为底的指数和c₁以g为底的指数相同，还需要证明用户有PK＝(c₁,c₂)的相应的指数上的信息(r,tag_i)，这些证明记为Π，这里证明π采用关于知识的签名(SOK)技术来实现(参考论文Camenisch J.,Stadler M.(1997)Efficient group signature schemes for largegroups.In:Kaliski B.S.(eds)Advances in Cryptology—CRYPTO'97.CRYPTO1997.Lecture Notes in Computer Science,vol 1294.Springer,Berlin,Heidelberg)。证明过程见后面的具体实例。

c)生成的交易为tx＝(PK,a',b',R,m,Π)，其中m表示交易内容。

4.2)交易的验证

验证交易tx＝(PK,a',b',R,m,Π)，若验证通过，则接受这笔交易，否则拒绝。

5.身份追踪

监管中心用其私钥x解密PK，得到U_i的值，查找注册列表Reg，找到对应的用户身份id。

下面提供一个具体实例。本实例的区块链用户匿名可追踪技术分为了五个阶段：1.初始阶段2.用户注册3.公钥产生4.交易产生和验证5.用户追踪。具体步骤如下：

1.初始阶段：

监管中心产生双线性群gk:＝(p,G,G_T,e,g)←G(1^k)；

随机选择f,h,z←G，计算T:＝e(f,z)；

随机选择一个整数x作为Elgamal加密方案的私钥，计算公钥A＝^x mod p。

返回(mpk,msk):＝((gk,f,h,T,A),(z,x))。

监管中心有一个注册列表，记为Reg,初始为空。

2.用户注册：

用户随机产生一个秘密标签tag，计算U_i＝g^tag，将U_i,id_i和证明π发给监管中心，并证明其有相应的tag(这里可以直接采用∑协议实现，方法是由Schnorr在文献“C.P.Schnorr.Efficient signature generation by smart cards[J].Journal ofCryptology,4(3):161-174.”中提出的，是密码界公知的证明方法)。

监管中心验证用户的身份和证明，若验证通过，计算s←Z_p,a:＝f^-s,b:＝(U_i·h)^sz，发送证书(a,b)给用户。监管中心保存用户的注册信息(U_i,id_i)到注册列表，如图1所示。

用户验证e(a,g^tag·h)e(f,b)＝T是否成立，若是则保存(tag,a,b)。

3.公钥产生

用户用监管中心的公钥A加密自己的标签属性U_i。采用ElGamal公钥加密方案：

随机选择r←Z_p，计算密文c₁＝g^r,c₂＝U_iA^r；

用户将其公钥设置为PK＝(c₁,c₂)。

4.交易产生和验证

4.1)交易的产生：用户用公钥PK＝(c₁,c₂)要做某笔交易时，需证明公钥是认证过的，且用户拥有公钥所对应的秘密(r,tag_i)。交易内容记为m。

用户产生交易的具体方法为：

1)用户计算随机化的证书，随机选择ρ←Z_p，计算

随机化之后的证书记为cert'＝(a',b')，计算R＝a'^r。

2)产生证明Π来证明R以a'为底的指数和c₁以g为底的指数相同，并证明他有PK＝(c₁,c₂)中的相应的指数上的信息(r,tag_i)。证明Π的产生方式如下：

证明：R'＝a'^r和c₁＝g^r有相同的指数r，且其有

上的指数r和tag_i。

证明者(pk,R,a',g,r,tag_i,m)：

随机的选择k₁,k₂←Z_p ^*，计算

c＝hash(T₀,T₁,T₂,m)；

z₁＝k₁+c_tr，z₂＝k₂+c_tb

证明Π＝(c,z₁,z₂)。

其中，

表示模p乘法群，c_t表示hash函数作用在(T₀,T₁,T₂,m)上的运算值。

最后用户交易的形式为tx＝(PK,a',b',R,m,Π)

4.2)交易的验证：

验证交易tx＝(PK,a',b',R,m,Π)，其中PK＝(c₁,c₂)：

a)判断等式e(a',c₂·h)e(f,b')＝T·e(R,A)是否成立；

b)验证证明Π：

计算

判断c＝hash(T₀',T₁',T₂',m)是否成立

若a)、b)都验证通过，则接受这笔交易，否则拒绝。

5.用户追踪

监管中心监管区块链上某笔交易tx，追踪交易的发起者。监管中心用其私钥x解密PK，计算U_i＝c₂c₁ ^-x，查找注册列表Reg，找到U_i对应的用户身份id_i。

综上，本发明基于ElGamal公钥加密、Groth的可验证签名方案、关于知识的签名(SOK)设计了区块链用户匿名和可追踪方法。方案具有以下特点：

1)用户的匿名：用户公布的交易中包含tx＝(PK,a',b',R,m,Π)。其中用户的公钥PK和证书a,b和相应的信息R每次都进行随机化，不泄露任何有关用户身份的信息。证明Π采用的是关于知识的签名方案(SOK)，如要将两笔交易链接到同一用户，需要解决离散对数的判等问题，然而这是困难的。因此交易可以保持用户的匿名性。

2)用户的可追踪：证明Π可以保证交易中的公钥PK是认证过的，且证明Π是不可伪造的(这是由SOK的性质保证的)。监管中心对公钥PK解密，可以得到用户的标识U_i，从而对应到用户身份。

3)高效性：用户只需要产生一个简洁的关于知识的证明；监管机构监管高效，只需执行一次解密运算，然后对照注册列表即可。

通过上面的方案描述可以看出，引入可认证的公钥，对签名算法进行了改变，相比原区块链系统(以比特币为例)，使用了一个关于知识的证明，没有过多带来系统的负担。证明和验证简单高效，监管中心通过解密并查找注册列表来找到对应用户，实现追踪功能。

基于同一发明构思，本发明的另一个实施例提供一种实现用户身份匿名和追踪的区块链系统，包括由监管中心和用户端构成的区块链网络；所述用户端采用上述本发明的方法进行用户身份匿名；所述监管中心采用上述本发明的方法进行用户身份追踪。

基于同一发明构思，本发明的另一个实施例提供一种电子装置(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

基于同一发明构思，本发明的另一个实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种区块链系统用户身份匿名方法，适用于区块链网络中的用户端，包括以下步骤：

将用户的标签属性和用户的身份发送至区块链网络中的监管中心，以获取证书；

采用监管中心的公钥加密用户的标签属性，并进行随机化，得到用户的公钥；

将从监管中心获取的证书进行随机化；

根据用户的公钥和随机化后的证书产生交易并上传至区块链中。

2.根据权利要求1所述的方法，其特征在于，所述证书由监管中心采用以下步骤产生：

随机选择r←Z_p ^*，计算a＝f^-r，b＝(U_i·h)^rz，证书cert:＝(a,b)；

其中，Z_p ^*表示模p的乘法群，U_i表示用户的标签属性，f,h,z为随机选择的群元素，a为证书前半部分，b为证书后半部分。

3.根据权利要求2所述的方法，其特征在于，所述采用监管中心的公钥加密用户的标签属性，并进行随机化，得到用户的公钥，包括：

随机选择r←Z_p，计算密文c₁＝g^r,c₂＝U_iA^r；其中A为监管中心的公钥，U_i表示用户的标签属性，g为群G的生成元；

将用户的公钥设置为PK＝(c₁,c₂)。

4.根据权利要求3所述的方法，其特征在于，所述将从监管中心获取的证书进行随机化，包括：

随机选择ρ←Z_p，计算a'＝af^-ρ,

随机化之后的证书记为cert'＝(a',b')，并计算R＝a'^r；其中tag_i表示用户的私密标签。

5.根据权利要求4所述的方法，其特征在于，通过证明Π保证用户的公钥PK是认证过的，且用户有公钥所对应的秘密(r,tag_i)，其中证明Π采用关于知识的签名技术实现。

6.根据权利要求5所述的方法，其特征在于，所述根据用户的公钥和随机化后的证书产生交易，生成的交易为tx＝(PK,a',b',R,m,Π)，其中m表示交易内容。

7.一种区块链系统用户身份追踪方法，适用于区块链网络中的监管中心，包括以下步骤：

接收区块链网络中的用户端发送的用户的标签属性和用户的身份，并保存到注册列表；

采用监管中心的私钥解密区块链上的交易中用户的公钥，得到用户的标签属性，通过查找注册列表，找到对应的用户的身份。

8.一种实现用户身份匿名和追踪的区块链系统，其特征在于，包括由监管中心和用户端构成的区块链网络；所述用户端采用权利要求1～6中任一权利要求所述方法进行用户身份匿名；所述监管中心采用权利要求7所述方法进行用户身份追踪。

9.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～7中任一权利要求所述方法的指令。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～7中任一权利要求所述的方法。

Images