CN114531243A

CN114531243A - 基于标签加密与零知识证明的联盟链交易隐私保护方法

Info

Publication number: CN114531243A
Application number: CN202210002113.XA
Authority: CN
Inventors: 盖珂珂; 汤昊坤; 郭云伟; 徐蕾; 蒋芃; 祝烈煌
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2022-01-04
Filing date: 2022-01-04
Publication date: 2022-05-24
Anticipated expiration: 2042-01-04
Also published as: CN114531243B

Abstract

本发明公开了一种基于标签加密与零知识证明的联盟链交易隐私保护方法，属于区块链隐私保护技术领域。本方法采用标签加密与零知识证明的方式，解决了联盟链中用户身份信息泄漏问题，以及联盟链中存在恶意交易的问题。本方法提出了一种特殊的交易机制，能够在支持审计的条件下有效保护用户身份隐私数据。本方法不仅允许用户在联盟链中进行匿名交易，而且实现了对可疑交易的分布式高效追踪，同时达到有效监管和身份隐私保护，实现两方面的平衡。

Description

基于标签加密与零知识证明的联盟链交易隐私保护方法

技术领域

本发明涉及一种联盟链交易隐私保护方法，具体涉及一种基于标签加密与零知识证明的联盟链交易隐私保护方法，属于区块链隐私保护技术领域。

背景技术

随着联盟链技术广泛应用于金融、医疗、供应链等行业，企业级联盟链应用层出不穷。联盟链区别于一般区块链的地方在于，联盟链在一般区块链的基础上附加了身份管理层，只有持有被联盟许可的合法身份的用户才可以加入联盟链网络，用户产生交易时需提供合法的身份信息。这意味着联盟链用户身份存在着泄露风险，攻击者可以轻易获取联盟链用户身份信息，根据身份信息分析该用户交易轨迹，导致联盟链用户隐私受到严重威胁。

为了解决联盟链用户身份信息泄漏问题，近年来有不少针对联盟链用户身份隐私保护的方案被提出。但是，现有的方案普遍侧重于用户身份的匿名隐藏，但并未考虑到完全匿名交易所带来的其它风险。例如，恶意的联盟链用户会利用交易的匿名性产生恶意的交易，对现实造成不良影响，却无法被追踪。

因此，寻找一种能够平衡联盟链用户交易匿名性及交易可追溯性的方案，是非常必要的。

发明内容

本发明的目的是针对现有技术存在的不足，为解决联盟链中用户身份信息泄漏问题，以及联盟链中存在恶意交易的问题，创造性地提出一种基于标签加密与零知识证明的联盟链交易隐私保护方法。

本发明的创新点在于：采用标签加密与零知识证明的技术手段，实现联盟链交易隐私保护。不仅允许用户在联盟链中进行匿名交易，而且实现了对可疑交易的分布式高效追踪。

本发明采用以下技术方案实现。

基于标签加密与零知识证明的联盟链交易隐私保护方法，包括以下步骤：

步骤1：对联盟链系统进行初始设置，审计用户审计私钥分配。

具体地，步骤1包括以下步骤：

步骤1.1：认证机构CA设置验证发放公钥证书所需要的公私钥对(PK，SK)，PK表示公钥、SK表示私钥，并在联盟链系统中广播其公钥PK。

其中，认证机构CA代表一个获得授权的认证中心，负责账号的注册和管理。

步骤1.2：联盟链系统根据参数t和m，设置生成基于标签的公钥加密的公钥PKT、m个私钥v_i和m个验证公钥vk_i(i＝1,..,m)。其中，t为阈值，t≤m。

步骤1.3：CA将m个私钥v_i通过安全方式发送给m个审计用户AU_i并由AU_i保存，联盟链系统只保存公钥PKT和m个验证公钥vk_i。

其中，审计用户是联盟链系统中账本追溯问责的参与者，可以由联盟链系统指定或由所有交易用户选举获得。通过所有审计用户的合作，完成联盟链系统可疑账本的追溯认证，从而达到问责的目的。

步骤1.4：联盟链系统设置零知识证明的相关参数，如安全参数、时间参数等。

步骤1.5：CA设置针对初始交易用户认证的公私钥对PKI和SKI，PKI表示公钥、SKI表示私钥，并由联盟链系统来保存并公布PKI。

步骤2：交易用户进行账号初始注册与认证。

具体地，步骤2包括以下步骤：

步骤2.1：当交易用户U首次加入联盟链系统时，其向CA发送认证消息、相关身份资料和身份pk_u。

步骤2.2：CA认证通过后，向交易用户U发送一个针对其身份pk_u的证书CA_u和一个利用CA私钥SKI对交易用户U的身份pk_u生成的一个认证码CAI_u。

其中，认证码CAI_u的作用是区别于假名身份认证，防止在联盟链系统中攻击者伪造身份。

步骤3：交易用户假名身份注册。

具体地，步骤3包括以下步骤：

步骤3.1：交易用户U根据联盟链系统设置，随机选择n个数字作为私钥集Usk＝sk_i，i＝1,..,n。然后，计算出所有私钥sk_i对应的公钥pk_i，组成随机密钥对集Um＝(pk_i,sk_i)。

步骤3.2：交易用户U通过CA认证完成假名身份认证。

具体地，步骤3.2包括以下步骤：

步骤3.2.1：交易用户U向CA发送首次注册时的身份pk_u和对应证书CA_u，向CA验证自己的身份，并向CA发送要认证的假名数n。

步骤3.2.2：CA认证通过后，给交易用户U发送认证通过消息；

步骤3.2.3：交易用户U首先从自己生成的密钥对集合Um中选择一个pk_i，并将设置消息m为pk_i，然后与CA进行交互签名生成，其中，U作为签名中的接收方，CA作为签名者。交互完成后，交易用户U为pk_i获得一个认证的S_i，S_i是CA的签名。

步骤3.2.4：对所有假名重复执行步骤3.2.3，从而为n个假名pk_i获得系统认证证书S_i。

步骤4：用户进行交易。

具体地，步骤4包括以下步骤：

步骤4.1：交易用户U首先从密钥对集合Um中选择一个公钥pk_i和其对应证书S_i，作为本次交易的发起方。

步骤4.2：利用基于标签的公钥加密方式，加密用户的pk_u，得到密文C_u，加密的公钥为PKT，标签为pk_i。

步骤4.3：通过基于非交互式零证明方式，调用零知识证明prove算法输入(prove,x,w)产生证据π，其中，x＝(C_u，PK，PKI)，w＝(pk_i，S_i，CAI_u)，x为公开输入参数，w为秘密证据。

步骤4.4：利用私钥sk_i基于签名算法生成对(tx，π，C_u，pk_i)的签名σs，其中，tx为交易的具体内容。

步骤4.5：将TX＝(tx，π，C_u，pk_i，σs)作为完整的交易，发送到联盟链系统。

步骤4.6：联盟链系统验证TX交易合法性，如果合法就将交易记录在链上账本，交易结束；否则，交易失败。

步骤5：进行可疑交易用户身份追溯。

具体地，包括以下步骤：

步骤5.1：交易用户U对于发现的可疑交易TX_d，向联盟链系统发出对TX_d中用户追溯的消息TR＝(pk_d，C_x)，使整个系统中的所有用户都能收到；

步骤5.2：当m个审计用户AU_i收到消息TR，首先利用AU_i中的私钥v_i，并以pk_d为标签，对C_x解密得到解密共享信息VU_i，然后将其发送给交易用户U。

步骤5.3：交易用户U利用审计用户AU_i的验证公钥vk_i验证VU_i的正确性，如果正确就接收存储；否则，就不接收；

步骤5.4：当交易用户U收到超过t个VU_i后，根据其对应的验证公钥集{vk_i}、相应的{VU_i}集和标签pk_d，对密文C_x进行解密，即可成功得到交易发起方的真实pk_x。

有益效果

本发明方法，与现有技术相比，具有以下优点：

1.本发明解决了传统联盟链交易系统中存在的身份隐私保护和交易追溯问责相矛盾的问题，可以同时达到有效监管和身份隐私保护，实现两方面的平衡。

2.本发明提出了一种特殊的交易机制，该机制能够在支持审计的条件下有效保护用户身份隐私数据。

附图说明

图1为本发明方法的流程示意图。

具体实施方式

下面结合附图和实施例对本发明的技术方案进行更加清楚、具体地描述。本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施过程，都属于本发明保护的范围。

实施例

如图1所示，基于标签加密与零知识证明的联盟链交易隐私保护方法，包括以下过程：

步骤1：联盟链系统初始设置及审计私钥分配。

具体地，步骤1包括以下步骤：

步骤1.1：CA设置验证发放公钥证书所需要的公私钥对(PK,SK)，并在联盟链系统中广播其公钥PK。

步骤1.2：区块链系统调用标签加密(TPKE)的系统设置算法П_TPKESetup(1^λ,7,10),其中t＝7为阈值、λ为安全参数，设置生成基于标签的公钥加密的公钥PKT，m＝10个私钥v_i和m＝10个验证公钥vk_i(i＝1,..,10)。

步骤1.3：CA将10个私钥v_i通过安全的方式发送给10个审计用户AU_i(由系统指定)由他们来保存，系统只保存公钥PKT和10个验证公钥vk_i。

步骤1.4：联盟链系统调用零知识证明的系统设置算法П_NIZKSetup(1^λ,R)设置零知识证明的相关参数，并得到公共参数(pkn,skn)。λ为安全参数，R代表多项式时间参数。

步骤1.5：CA设置针对初始用户认证的公私钥对PKI和SKI，由系统来保存并公布PKI。

步骤1.6：将初始化参数(t,m,PKI,PKT,PK,vk_{i(i＝1,…10)})记录在联盟链的账本上。

步骤2：用户账号注册与认证。

具体地，步骤2包括以下步骤：

步骤2.1：用户U使用公钥算法RSA生成密钥对(pk_u,sk_u)，并将生成的pk_u以及用户U的相关身份信息身份证号码、姓名、性别、家庭住址提交给CA进行签名；

步骤2.2：CA会对用户信息检查，然后对生成证书和认证码其中，具体为：CA检查用户U提交的信息，包括身份证号码、姓名、性别和家庭住址；

当CA对用户U的信息检查通过后，CA分别使用私钥SK和私钥SKI对U的pk_u进行签名，调用签名产生算法输出证书CA_u＝П_sigSign(SK,pk_u)和认证码CAI_u＝П_sigSign(SKI,pk_u)；

步骤2.3：CA将步骤2.2输出的签名信息CA_u和CAI_u发送给用户U；

步骤3：用户U对三个不同假名身份注册。

具体地，步骤3包括以下步骤：

步骤3.1：用户U使用公钥算法RSA生成三个密钥对(pk_u_1,sk_u_1)、(pk_u_2,sk_u_2)和(pk_u_3,sk_u_3)组成私钥集随机密钥对集Um。

步骤3.2：用户通过CA认证完成假名身份认证：

步骤3.2.1：用户U向认证中心CA发送首次注册时的公钥pk_u和对应证书CA_u,向CA验证自己的身份，并发送要认证的假名数3；

步骤3.2.2：认证中心CA通过调用签名验证算法П_sigVerify(PK,CA_u,pk_u)来验证U的身份：成功，就给用户U发送认证通过消息；失败，反馈出错信息给U；

步骤3.2.3：收到成功消息后，用户U从自己生成的密钥对集合Um中选择一个密钥对(pk_u_1,sk_u_1)，接着将设置消息m为pk_u_1，然后与CA进行交互签名生成，具体为；

其中，U作为签名中的接收方，CA作为签名者；

用户U将消息m发送给CA，CA收到U发送的消息后利用私钥SK对pk_u_1进行签名，输出证书S₁＝П_sigSign(SK,pk_u_1),然后CA将S₁发送给U；

用户U收到S₁后将其存储在pk_u_1对应的证书库中；

步骤3.2.4：对余下2个假名重复步骤3.2.3，为2个假名pk_u_2、pk_u_3分别获得一个对应的系统认证证书S₂、S₃。

步骤4：用户交易。

具体地，步骤4包括以下步骤：

步骤4.1：交易用户U从密钥对集合Um中选择一个公私钥对(pk_u_1,sk_u_1)和其对应证书S₁作为本次交易的发起方；

步骤4.2：利用基于标签的公钥加密，以pk_u_1为标签加密用户的pk_u，调用标签加密的加密算法输出密文C_u＝П_TPKEEncrypt(PKT,pk_u_1,pk_u)；

步骤4.3：通过基于非交互式零证明，调用零知识证明prove算法，产生证据π₁＝Π_NIZKProve(pkn,x,w)，其中x＝(C_u，PK，PKI)，w＝(pk_u_1，S₁，CAI_u)；

步骤4.4：用户U利用私钥sk_u_1调用签名生成算法Sign输出签名σ1，其中：

σ1＝Π_sigSign(sk_u_1,(tx,π₁,C_u,pk_u_1))

其中，tx为交易的具体内容用户U向V发送100RMB。

步骤4.5：将TX＝(tx,π₁,C_u,pk_u_1,σ1)作为完整的交易发送到联盟链网络；

步骤4.6：联盟链网络验证TX交易合法性，具体如下：

联盟链节点首先通过签名验证算法Π_sigverify(pk_u_1,TX)的输出判断TX是否合法，如何输出为1，就进行下一阶段；否则交易非法；

如果签名合法，联盟链节点继续通过零知识证明验证算法Π_NIZKVerify(skn,π₁,x)的输出判断是否为伪造交易，如果输出仍为1，交易合法将交易添加到链上账本；否则，交易非法；

步骤5：可疑交易用户身份追溯。

具体地，步骤5包括以下步骤：

步骤5.1：当有用户U发现可疑的交易TX_d时，向系统中发出对TX_d中用户的追溯的消息TR＝(pk_d，C_x)，使整个系统中的所有用户都可以收到；

步骤5.2：当审计用户AU_i收到TR，首先将AU_i中的私钥v_i、pk_d和密文C_x作为标签加密ShareDec算法的输入对C_x解密得到一个解密共享信息VU_i＝П_TPKEShareDec(PKT,pk_d,v_i,C_x)，然后将其发送给用户U；

步骤5.3：用户U收到VU_i后首先利用其对应的公钥vk_i和标签加密的ShareVer算法，验证Π_TPKEShareVer(PKT,vk_i,pk_d,C_x,VU_i)，如果输出为1就接收存储；否则，就不接收。

步骤5.4：当用户U收到8个VU_i之后，根据其对应的验证公钥集{vk_i}、相应的{VU_i}集、标签pk_d和标签加密的Combine算法对密文C_x进行解密，即可成功得到交易发起方的真实身份pk_x。

其中，pk_x＝Π_TPKECombine(PKT,pk_d,C_x,VU₈,..,VU₈,vk₈,..vk₈)。

以上所述为本发明的较佳实施例而已，本发明不应该局限于该实施例和附图所公开的内容。凡是不脱离本发明所公开的精神下完成的等效或修改，都落入本发明保护的范围。

Claims

1.基于标签加密与零知识证明的联盟链交易隐私保护方法，其特征在于，包括以下步骤：

步骤1：对联盟链系统进行初始设置，审计用户审计私钥分配；

具体地，步骤1包括以下步骤：

步骤1.1：认证机构CA设置验证发放公钥证书所需要的公私钥对(PK，SK)，PK表示公钥、SK表示私钥，并在联盟链系统中广播其公钥PK；

其中，认证机构CA代表一个获得授权的认证中心，负责账号的注册和管理；

步骤1.2：联盟链系统根据参数t和m，设置生成基于标签的公钥加密的公钥PKT、m个私钥v_i和m个验证公钥vk_i，i＝1,..,m；其中，t为阈值，t≤m；

步骤1.3：CA将m个私钥v_i通过安全方式发送给m个审计用户AU_i并由AU_i保存，联盟链系统只保存公钥PKT和m个验证公钥vk_i；

其中，审计用户是联盟链系统中账本追溯问责的参与者，通过所有审计用户的合作，完成联盟链系统可疑账本的追溯认证；

步骤1.4：联盟链系统设置零知识证明的相关参数，包括安全参数和时间参数；

步骤1.5：CA设置针对初始交易用户认证的公私钥对PKI和SKI，PKI表示公钥、SKI表示私钥，并由联盟链系统来保存并公布PKI；

步骤2：交易用户进行账号初始注册与认证，包括以下步骤：

步骤2.1：当交易用户U首次加入联盟链系统时，其向CA发送认证消息、相关身份资料和身份pk_u；

步骤2.2：CA认证通过后，向交易用户U发送一个针对其身份pk_u的证书CA_u和一个利用CA私钥SKI对交易用户U的身份pk_u生成的一个认证码CAI_u；

其中，认证码CAI_u的作用是区别于假名身份认证，防止在联盟链系统中攻击者伪造身份；

步骤3：交易用户假名身份注册，包括以下步骤：

步骤3.1：交易用户U根据联盟链系统设置，随机选择n个数字作为私钥集Usk＝sk_i，i＝1,..,n；然后，计算出所有私钥sk_i对应的公钥pk_i，组成随机密钥对集Um＝(pk_i,sk_i)；

步骤3.2：交易用户U通过CA认证完成假名身份认证；

步骤4：用户进行交易，包括以下步骤：

步骤4.1：交易用户U首先从密钥对集合Um中选择一个公钥pk_i和其对应证书S_i，作为本次交易的发起方；

步骤4.2：利用基于标签的公钥加密方式，加密用户的pk_u，得到密文C_u，加密的公钥为PKT，标签为pk_i；

步骤4.3：通过基于非交互式零证明，调用零知识证明prove算法输入(prove,x,w)产生证据π，其中，x＝(C_u，PK，PKI)，w＝(pk_i，S_i，CAI_u)，x为公开输入参数，w为秘密证据；

步骤4.4：利用私钥sk_i基于签名算法生成对(tx，π，C_u，pk_i)的签名σs，其中，tx为交易的具体内容；

步骤4.5：将TX＝(tx，π，C_u，pk_i，σs)作为完整的交易，发送到联盟链系统；

步骤4.6：联盟链系统验证TX交易合法性，如果合法就将交易记录在链上账本，交易结束；否则，交易失败；

步骤5：进行可疑交易用户身份追溯，包括以下步骤：

步骤5.2：当m个审计用户AU_i收到消息TR，首先利用AU_i中的私钥v_i，并以pk_d为标签，对C_x解密得到解密共享信息VU_i，然后将其发送给交易用户U；

2.如权利要求1所述的基于标签加密与零知识证明的联盟链交易隐私保护方法，其特征在于，步骤3.2包括以下步骤：

步骤3.2.1：交易用户U向CA发送首次注册时的身份pk_u和对应证书CA_u，向CA验证自己的身份，并向CA发送要认证的假名数n；

步骤3.2.2：CA认证通过后，给交易用户U发送认证通过消息；

步骤3.2.3：交易用户U首先从自己生成的密钥对集合Um中选择一个pk_i，并将设置消息m为pk_i，然后与CA进行交互签名生成，其中，U作为签名中的接收方，CA作为签名者；交互完成后，交易用户U为pk_i获得一个认证的S_i，S_i是CA的签名；

3.如权利要求1所述的基于标签加密与零知识证明的联盟链交易隐私保护方法，其特征在于，步骤1.4所述零知识证明的相关参数，包括安全参数和时间参数。