CN114866259B - 一种基于秘密分享的区块链受控可追溯身份隐私方法 - Google Patents

一种基于秘密分享的区块链受控可追溯身份隐私方法 Download PDF

Info

Publication number
CN114866259B
CN114866259B CN202210776123.9A CN202210776123A CN114866259B CN 114866259 B CN114866259 B CN 114866259B CN 202210776123 A CN202210776123 A CN 202210776123A CN 114866259 B CN114866259 B CN 114866259B
Authority
CN
China
Prior art keywords
user
committee
identity
public key
supervision
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210776123.9A
Other languages
English (en)
Other versions
CN114866259A (zh
Inventor
关志
陈钟
王珂
何逸飞
李青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boya Chain Beijing Technology Co ltd
Peking University
Original Assignee
Boya Chain Beijing Technology Co ltd
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boya Chain Beijing Technology Co ltd, Peking University filed Critical Boya Chain Beijing Technology Co ltd
Priority to CN202210776123.9A priority Critical patent/CN114866259B/zh
Publication of CN114866259A publication Critical patent/CN114866259A/zh
Application granted granted Critical
Publication of CN114866259B publication Critical patent/CN114866259B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于秘密分享的区块链受控可追溯身份隐私方法。本发明包括注册阶段和追溯阶段;其中,注册阶段中,用户向身份认证机构发送身份信息
Figure DEST_PATH_IMAGE002
和包含用户公钥M、随机数
Figure DEST_PATH_IMAGE004
Figure DEST_PATH_IMAGE006
值,认证机构在核验身份信息和账户公钥信息后,对
Figure DEST_PATH_IMAGE008
进行盲签名;用户对签名脱盲得到证书
Figure DEST_PATH_IMAGE010
;身份认证机构将
Figure DEST_PATH_IMAGE012
加入映射表,并将
Figure 516114DEST_PATH_IMAGE006
作为叶子节点添加到默克尔树中;用户将
Figure 597070DEST_PATH_IMAGE004
可验证地分享给监管委员会以及向监管委员会做零知识证明;监管委员会对零知识证明验证通过后,将公钥
Figure 135499DEST_PATH_IMAGE008
和证书
Figure 615153DEST_PATH_IMAGE010
发布在区块链上;追溯阶段中,当收到公钥
Figure 897229DEST_PATH_IMAGE008
对应的账户出现违规行为的举报时,监管委员恢复出
Figure 582158DEST_PATH_IMAGE006
值并签名后发送给身份认证机构,查找到对应用户的
Figure 976973DEST_PATH_IMAGE002

Description

一种基于秘密分享的区块链受控可追溯身份隐私方法
技术领域
本发明属于安全密码应用技术领域,具体涉及一种基于秘密分享的区块链受控可追溯身份隐私方法。
背景技术
默克尔树(Merkle Tree)是一种树形数据结构,通常为二叉树,如图1所示。对于一组数据,默克尔树的叶子节点存放数据值的哈希值,非叶子结点的值由该节点所有子结点的值排列起来并做哈希运算得到。默克尔树通常用于数据完整性验证,即证明一份特定的数据存在于一组已经由默克尔树组织起来的数据中。同时,默克尔树还具有较强的防篡改性,因为任何对数据的修改都会导致从该数据到树根节点路径上的所有节点哈希值发生改变,最终使根节点的哈希值改变。当两个默克尔树对应的数据集出现单个数据不一致时,可以利用这个性质进行快速比对和定位。
盲签名是一种特殊的数字签名技术,它允许消息拥有者先将消息盲化,而后让签名者对盲化的消息进行签名,最后消息拥有者对签名除去盲因子,得到签名者关于原消息的签名。
盲签名除了满足数字签名条件外,还必须满足以下性质:
签名者不知道他所签署消息的具体内容;
签名消息不可追溯,即当签名消息被公布后,签名者无法知道该消息是他在何时签署的。
一种常用的盲签名方案是Schnorr方案(参考Fuchsbauer G, Plouviez A,Seurin Y. Blind Schnorr signatures and signed ElGamal encryption in thealgebraic group model[C]//Annual International Conference on the Theory andApplications of Cryptographic Techniques. Springer, Cham, 2020: 63-95.),步骤如下:
1.选定素域
Figure 476356DEST_PATH_IMAGE001
上的椭圆曲线
Figure 542532DEST_PATH_IMAGE002
,其生成元为
Figure 438944DEST_PATH_IMAGE003
,点群的阶为素数
Figure 904036DEST_PATH_IMAGE004
;选定哈希函数
Figure 594911DEST_PATH_IMAGE005
2.消息拥有者A拥有消息
Figure 945121DEST_PATH_IMAGE006
,签名者B拥有私钥
Figure 114065DEST_PATH_IMAGE007
和公钥
Figure 233331DEST_PATH_IMAGE008
3.B随机选取
Figure 95108DEST_PATH_IMAGE009
,并将
Figure 923825DEST_PATH_IMAGE010
发送给A;
4.A随机选取
Figure 427619DEST_PATH_IMAGE011
,计算
Figure 276757DEST_PATH_IMAGE012
,并将
Figure 778277DEST_PATH_IMAGE013
发送给B;
5.B计算
Figure 506674DEST_PATH_IMAGE014
,并将
Figure 814158DEST_PATH_IMAGE015
发送给A;
6.A验证
Figure 908016DEST_PATH_IMAGE016
,不成立则拒绝,成立则计算
Figure 642754DEST_PATH_IMAGE017
,签名为
Figure 392535DEST_PATH_IMAGE018
秘密分享是指将一个秘密分为若干个互不相同的片段,只要利用超过一定数量的片段就可以恢复出秘密。秘密分享常用于密钥的保存,将密钥分为多个部分并交由不同的人管理,即使少数部分丢失,其余持有者仍然可以恢复正确的密钥,同时密钥不会因少数部分的泄露而泄露。
可验证秘密分享在秘密分享的基础上增加了对秘密片段正确性的证明:秘密分享者分发秘密片段后,向片段持有者提供一份证明,该证明使持有者确信自己获得的片段确实属于原秘密的一部分,同时该证明不会泄露有关秘密的任何信息。
一种常用的可验证秘密分享方案是Shamir方案(Feldman P. A practicalscheme for non-interactive verifiable secret sharing[C]//28th AnnualSymposium on Foundations of Computer Science (sfcs 1987). IEEE, 1987: 427-438.):设要分享的秘密为
Figure 238132DEST_PATH_IMAGE019
,接收秘密片段的人数为
Figure 923846DEST_PATH_IMAGE020
,且不少于
Figure 767169DEST_PATH_IMAGE021
个人(
Figure 800984DEST_PATH_IMAGE022
)的秘密片段就可以恢复出
Figure 591216DEST_PATH_IMAGE023
,则秘密分享步骤为:
1.选定一条素域
Figure 925246DEST_PATH_IMAGE001
上的椭圆曲线
Figure 202119DEST_PATH_IMAGE024
,其生成元为
Figure 723230DEST_PATH_IMAGE003
,点群的阶为素数
Figure 379470DEST_PATH_IMAGE004
2.秘密持有方构造
Figure 36848DEST_PATH_IMAGE025
上的随机多项式
Figure 284289DEST_PATH_IMAGE026
,并向第
Figure 495959DEST_PATH_IMAGE027
个接收方发送
Figure 221470DEST_PATH_IMAGE028
3.秘密持有方公开
Figure 13581DEST_PATH_IMAGE029
用于验证;
4.第
Figure 635187DEST_PATH_IMAGE030
个接收方可以计算
Figure 334152DEST_PATH_IMAGE031
是否成立,如果成立则证明自己持有的秘密片段正确。
零知识证明通常是指一种方法,其中的一个参与方(证明者)可以向另一方(验证者)证明某一论断为真(例如:拥有某一数学问题的一组解),而不泄露关于“此论断为真”以外的任何信息。注意到在此例子中,一个朴素的证明方法就是直接公开拥有的解,因此难点是在不泄露任何关于解的信息的同时实现证明。
目前已有的零知识证明协议大多具有如下形式:对于某个问题
Figure 738720DEST_PATH_IMAGE032
和值
Figure 898918DEST_PATH_IMAGE033
,证明者拥有
Figure 957004DEST_PATH_IMAGE034
使得
Figure 143266DEST_PATH_IMAGE035
。证明者利用
Figure 679421DEST_PATH_IMAGE034
计算出一组数据(证明)并交给验证者验证,如果验证者证实这些数据确实满足协议中给出的特定关系(通常是一组等式),则验证者相信证明者确实拥有
Figure 431476DEST_PATH_IMAGE034
使得
Figure 926042DEST_PATH_IMAGE035
零知识证明协议必须满足以下性质:
完整性:如果
Figure 133689DEST_PATH_IMAGE036
,则证明者使用
Figure 473534DEST_PATH_IMAGE037
生成的证明总应该被接受;
可靠性:对于任何不满足
Figure 876834DEST_PATH_IMAGE036
Figure 214405DEST_PATH_IMAGE037
,证明者使用
Figure 375259DEST_PATH_IMAGE037
生成的证明最多以一个小概率
Figure 784375DEST_PATH_IMAGE038
被接受(这使得验证者可以通过多次要求证明的方式鉴别虚假的证明者);
零知识:验证者不能从证明中获得关于
Figure 242514DEST_PATH_IMAGE037
的任何信息。
目前常用的零知识证明协议包括Groth16、Sonic、Plonk等,这些协议均能够实现对常规计算问题的证明(参考Groth J. On the size of pairing-based non-interactive arguments[C]//Annual international conference on the theory andapplications of cryptographic techniques. Springer, Berlin, Heidelberg, 2016:305-326;Maller M, Bowe S, Kohlweiss M, et al. Sonic: Zero-knowledge SNARKsfrom linear-size universal and updatable structured reference strings[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and CommunicationsSecurity. 2019: 2111-2128;或Gabizon A, Williamson Z J, Ciobotaru O. Plonk:Permutations over lagrange-bases for oecumenical noninteractive arguments ofknowledge[J]. Cryptology ePrint Archive, 2019.)。
现有的技术不能在区块链保护身份隐私的环境下为监管者提供追踪恶意行为的手段:用户注册账户后,其账户地址等信息与真实身份没有任何关联,同时一个用户实体可以持有多个账户,其他人难以在账户间建立关联。因此,用户在区块链系统中实施如洗钱等恶意行为时,将很难被追查到真实身份。
发明内容
针对现有技术中存在的问题,本发明的目的在于提供一种基于秘密分享的区块链受控可追溯身份隐私方法。在区块链身份隐私的环境下本发明为监管者提供有效的追溯方法,本发明结合了盲签名、默克尔树、可验证秘密分享、零知识证明等多种密码技术,以同时保证用户正常行为的隐私性和恶意行为的可监管性。本发明方案中涉及的“零知识证明”可以实现为前述的任何一种协议,乃至不在前述范围内但同样可以实现常规计算问题证明的任何一种协议。
本发明的技术方案为:
一种基于秘密分享的区块链受控可追溯身份隐私方法,其步骤包括:
1)注册阶段:
11)身份认证机构随机选取
Figure 344462DEST_PATH_IMAGE039
,并将
Figure 461453DEST_PATH_IMAGE010
发送给用户;其中,椭圆曲线
Figure 143102DEST_PATH_IMAGE002
所在的域为素数
Figure 458677DEST_PATH_IMAGE040
,生成元为
Figure 793843DEST_PATH_IMAGE003
,点群的阶
Figure 654921DEST_PATH_IMAGE041
=
Figure 936998DEST_PATH_IMAGE042
;身份认证机构的签名私钥为
Figure 107079DEST_PATH_IMAGE043
公钥为
Figure 816409DEST_PATH_IMAGE044
12)用户随机选取
Figure 704731DEST_PATH_IMAGE045
,计算,并将ID
Figure 728181DEST_PATH_IMAGE013
发送给身份认证机构;ID为用户的身份信息,M为用户的公钥,H()为哈希函数;
13)身份认证机构计算
Figure 18348DEST_PATH_IMAGE014
,并将
Figure 898580DEST_PATH_IMAGE015
发送给用户;
14)用户验证
Figure 536847DEST_PATH_IMAGE016
是否成立,如果不成立则终止注册,如果成立则计算
Figure 160726DEST_PATH_IMAGE017
,得到签名
Figure 367717DEST_PATH_IMAGE018
15)用户计算
Figure 622112DEST_PATH_IMAGE046
,得到证书
Figure 485025DEST_PATH_IMAGE047
16)身份认证机构将
Figure 647017DEST_PATH_IMAGE048
加入映射表,并将
Figure 177355DEST_PATH_IMAGE013
作为叶子节点添加到默克尔树中,公布更新后的默克尔树并将其根哈希值发布至区块链上;
17)用户将
Figure 808843DEST_PATH_IMAGE049
可验证地分享给监管委员会;
18)用户向监管委员会做零知识证明;监管委员会对所述零知识证明验证通过后,将用户的公钥
Figure 96736DEST_PATH_IMAGE050
和证书
Figure 265681DEST_PATH_IMAGE051
发布在区块链上;
2)追溯阶段:
当所述监管委员会收到区块链上的任意用户关于公钥
Figure 260312DEST_PATH_IMAGE050
对应的账户出现违规行为的举报,所述监管委员成员通过注册阶段各自收到的秘密分享片段联合恢复出
Figure 650318DEST_PATH_IMAGE049
的值;然后通过计算
Figure 425507DEST_PATH_IMAGE052
恢复出
Figure 929301DEST_PATH_IMAGE013
的值,然后根据恢复出的
Figure 168652DEST_PATH_IMAGE053
生成身份恢复请求并对其进行多方签名后发送给身份认证机构;身份认证机构验证所述身份恢复请求由所述监管委员会发起后,通过从所述身份恢复请求中获取的
Figure 201330DEST_PATH_IMAGE053
值从维护的映射表中查找到对应用户的
Figure 260553DEST_PATH_IMAGE054
进一步的,步骤17)中,用户以Shamir秘密分享方案将
Figure 785949DEST_PATH_IMAGE049
可验证地分享给监管委员会:用户构造随机
Figure 348648DEST_PATH_IMAGE055
次多项式
Figure 755490DEST_PATH_IMAGE056
,并向每一监管委员会成员发送秘密分享片段;其中,第k个委员会成员的分享片段为
Figure 770850DEST_PATH_IMAGE057
Figure 85288DEST_PATH_IMAGE027
,区块链中存在由
Figure 299232DEST_PATH_IMAGE058
个共识节点组成的所述监管委员会;用户公开验证参数
Figure 936362DEST_PATH_IMAGE059
,用于委员会验证自己持有的关于
Figure 907860DEST_PATH_IMAGE049
的秘密片段是否正确,
Figure 557147DEST_PATH_IMAGE060
;第
Figure 156756DEST_PATH_IMAGE030
个委员会成员计算
Figure 233296DEST_PATH_IMAGE061
是否成立,如果成立则证明自己持有的秘密片段正确。
进一步的,当所述监管委员会收到区块链上的任意用户关于公钥
Figure 957670DEST_PATH_IMAGE050
对应的账户出现违规行为的举报,且对该举报达成共识的监管委员会成员达到规定数量
Figure 288944DEST_PATH_IMAGE062
时,不少于
Figure 477480DEST_PATH_IMAGE062
个对该举报达成共识的所述监管委员成员通过注册阶段各自收到的秘密分享片段联合恢复出
Figure 662604DEST_PATH_IMAGE049
的值。
进一步的,用户以私有输入
Figure 546378DEST_PATH_IMAGE063
和公共输入
Figure 534538DEST_PATH_IMAGE064
向监管委员会做零知识证明,包括:证明
Figure 577580DEST_PATH_IMAGE065
;证明
Figure 995923DEST_PATH_IMAGE066
;计算
Figure 163731DEST_PATH_IMAGE067
,并证明
Figure 224091DEST_PATH_IMAGE068
存在于默克尔树中;证明
Figure 793743DEST_PATH_IMAGE069
进一步的,身份认证机构根据用户的
Figure 108619DEST_PATH_IMAGE054
Figure 763723DEST_PATH_IMAGE013
对所述用户进行核验,核验通过后进行步骤11)。
进一步的,
Figure 565457DEST_PATH_IMAGE066
Figure 583091DEST_PATH_IMAGE008
本发明的优点如下:
本发明可以在保证用户身份隐私的情况下,在用户出现被监管者判定为(或被其他用户举报为)恶意的行为时,由监管者恢复用户的真实身份数据,进而对用户实体进行处理。
附图说明
图1为默克尔树结构示意图。
图2为本发明的流程示意图。
具体实施方式
下面结合附图对本发明进行进一步详细描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
以下从系统设定、用户注册流程和身份追溯流程三个方面说明本发明采用的技术方案,本发明的流程如图2所示。
系统设定
系统使用的哈希函数以
Figure 343237DEST_PATH_IMAGE070
表示。
系统使用的椭圆曲线
Figure 485636DEST_PATH_IMAGE071
所在的域为素数
Figure 822552DEST_PATH_IMAGE040
,生成元为
Figure 429114DEST_PATH_IMAGE003
,点群的阶为素数
Figure 625740DEST_PATH_IMAGE004
区块链系统中存在一个身份认证机构,拥有签名私钥
Figure 380070DEST_PATH_IMAGE007
和公钥
Figure 195710DEST_PATH_IMAGE008
,负责为提交身份信息的用户签发证书;该机构会维护一个用户注册信息到用户身份信息的映射表,同时维护一个默克尔树,保存所有用户注册信息的哈希值。其中,[ ]为椭圆曲线倍点运算,例如X=[x]G意为点X是由点G的x倍计算得到。
区块链系统中存在由
Figure 656778DEST_PATH_IMAGE058
个共识节点组成的监管委员会,当不少于
Figure 24306DEST_PATH_IMAGE072
个节点
Figure 144227DEST_PATH_IMAGE073
达成共识后就可以通过身份认证机构启动身份追踪流程(在实际场景中,监管委员会和身份认证机构可以是同一组织);n为大于1的正整数。
用户注册流程
设用户持有身份信息
Figure 357034DEST_PATH_IMAGE074
、私钥
Figure 734925DEST_PATH_IMAGE075
和对应的待签名账户公钥
Figure 7775DEST_PATH_IMAGE076
,则可以按如下流程向身份认证机构进行注册:
用户向身份认证机构发送
Figure 877642DEST_PATH_IMAGE054
Figure 894140DEST_PATH_IMAGE077
,认证机构在核验身份信息和账户公钥信息后(包括正确性、是否已注册、是否有违规记录等),以Schnorr方案对
Figure 329800DEST_PATH_IMAGE050
进行盲签名:
认证机构随机选取
Figure 36200DEST_PATH_IMAGE009
,并将
Figure 190101DEST_PATH_IMAGE010
发送给用户;
Figure 10290DEST_PATH_IMAGE025
为模p的整数域;
用户随机选取
Figure 300457DEST_PATH_IMAGE011
,计算
Figure 180688DEST_PATH_IMAGE078
,并将ID和
Figure 759568DEST_PATH_IMAGE013
发送给认证机构;
认证机构计算
Figure 117868DEST_PATH_IMAGE014
,并将
Figure 620849DEST_PATH_IMAGE015
发送给用户;
用户验证
Figure 671981DEST_PATH_IMAGE016
是否成立,如果不成立则终止注册流程,成立则计算
Figure 534895DEST_PATH_IMAGE017
,签名为
Figure 900148DEST_PATH_IMAGE018
用户对签名脱盲:计算
Figure 899328DEST_PATH_IMAGE046
,得到证书
Figure 386942DEST_PATH_IMAGE047
身份认证机构将
Figure 737151DEST_PATH_IMAGE048
加入映射表,同时将
Figure 702833DEST_PATH_IMAGE013
作为叶子节点添加到默克尔树中,公布更新后的默克尔树并将其根哈希值发布至区块链上;
用户以Shamir秘密分享方案将
Figure 22432DEST_PATH_IMAGE049
可验证地分享给监管委员会:
用户构造
Figure 149788DEST_PATH_IMAGE025
上的随机
Figure 252873DEST_PATH_IMAGE055
次多项式
Figure 491087DEST_PATH_IMAGE056
,并向第
Figure 996018DEST_PATH_IMAGE027
个委员会成员节点发送秘密分享片段
Figure 294275DEST_PATH_IMAGE057
用户公开验证参数
Figure 619078DEST_PATH_IMAGE079
用于委员会验证自己持有的关于
Figure 132754DEST_PATH_IMAGE049
的秘密片段是否正确;
Figure 961033DEST_PATH_IMAGE030
个委员会成员节点可以计算
Figure 695771DEST_PATH_IMAGE061
是否成立,如果成立则证明自己持有的秘密片段正确,
Figure 507869DEST_PATH_IMAGE080
为k的i次方。
用户以私有输入
Figure 681361DEST_PATH_IMAGE063
和公共输入
Figure 832988DEST_PATH_IMAGE064
向监管委员会做如下零知识证明:
证明
Figure 738627DEST_PATH_IMAGE065
证明
Figure 772442DEST_PATH_IMAGE066
(即用户确实持有获签名公钥对应的私钥);
计算
Figure 684379DEST_PATH_IMAGE067
,并证明
Figure 487250DEST_PATH_IMAGE068
存在于默克尔树中(即用户向委员会分享的秘密确实对应于已经提交的信息);
证明
Figure 563790DEST_PATH_IMAGE069
(即用户不能伪造错误的秘密片段给委员会)。
监管委员会验证证明后(监管委员会收到用户发来的零知识证明数据后,验证其是否满足特定等式,满足则验证通过。根据使用的零知识证明协议的不同,使用的等式也不相同),将用户的公钥
Figure 288164DEST_PATH_IMAGE050
和证书
Figure 475563DEST_PATH_IMAGE081
发布在区块链上,用户使用这一信息与链上应用进行交互。由于盲签名的性质,任何人均不能将公钥与用户的真实身份关联。
身份追踪流程
任何区块链上的用户一旦发现公钥
Figure 664098DEST_PATH_IMAGE082
对应的账户出现违规行为,都可以向监管委员会进行举报,在对该举报达成共识的监管委员会成员节点达到规定数量
Figure 911540DEST_PATH_IMAGE021
的情况下,委员会可以启动如下身份追溯程序:
不少于
Figure 919947DEST_PATH_IMAGE072
个共识节点通过收到的秘密分享片段
Figure 902248DEST_PATH_IMAGE028
联合恢复出
Figure 882974DEST_PATH_IMAGE049
的值:
由拉格朗日插值公式,
Figure 301317DEST_PATH_IMAGE055
次多项式
Figure 531441DEST_PATH_IMAGE083
可以被
Figure 326221DEST_PATH_IMAGE072
个节点拥有的秘密片段
Figure 223770DEST_PATH_IMAGE084
完全确定;
共识节点求解出
Figure 813015DEST_PATH_IMAGE083
后,可计算出
Figure 793084DEST_PATH_IMAGE085
对该举报达成共识的委员会通过计算
Figure 188294DEST_PATH_IMAGE052
恢复出
Figure 878032DEST_PATH_IMAGE013
的值,根据恢复出的
Figure 903757DEST_PATH_IMAGE013
值向身份认证机构发起身份恢复请求,并对请求进行多方签名;身份恢复请求包含c和达成共识的委员会成员的多方签名,用于证明该身份恢复请求合法(满足同意人数要求);
身份认证机构验证请求确实由委员会发起后,通过给定的
Figure 374053DEST_PATH_IMAGE013
值从维护的映射表中查找到用户真实身份
Figure 510636DEST_PATH_IMAGE054
身份认证机构撤销该身份及对应账户信息,并将这一结果发布在区块链上。
实施例1:匿名论坛系统
本发明可以用于学校、公司或任何组织内部的匿名论坛系统,组织内成员注册账户时提交真实身份信息和使用的账户信息,经过认证后可在论坛进行发帖等活动。论坛管理成员由组织委派,论坛内容的合规性由用户群体和管理成员共同维持,出现违规内容时由用户举报或由管理成员发现并审查,管理成员通过共识恢复对应用户真实身份并对用户及其内容进行处理。
实施例2:去中心化交易系统
本发明可以用于建立去中心化的交易系统,成员加入系统时提交真实身份信息和使用的账户信息,经过认证后可在交易系统内和其他用户发起转账等操作。在监管过程中,如有用户投诉某个账户存在诈骗等违规行为,或发现某个账户的交易状态异常(如短时多次大量转账等),则监管委员会可在达成共识后恢复账户的持有人信息并进行调查。
需要注意的是,上述实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解,在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (6)

1.一种基于秘密分享的区块链受控可追溯身份隐私方法,其步骤包括:
1)注册阶段:
11)身份认证机构随机选取
Figure DEST_PATH_IMAGE001
,并将
Figure 559935DEST_PATH_IMAGE002
发送给用户;其中,椭圆曲线
Figure DEST_PATH_IMAGE003
所在的域为素域
Figure 676927DEST_PATH_IMAGE004
,生成元为
Figure DEST_PATH_IMAGE005
,点群的阶
Figure 27749DEST_PATH_IMAGE006
=
Figure DEST_PATH_IMAGE007
;身份认证机构的签名私钥为
Figure 749849DEST_PATH_IMAGE008
、公钥为
Figure DEST_PATH_IMAGE009
12)用户随机选取
Figure 163643DEST_PATH_IMAGE010
,计算
Figure DEST_PATH_IMAGE011
,并将ID
Figure 702685DEST_PATH_IMAGE012
发送给身份认证机构;ID为用户的身份信息,M为用户的公钥,H()为哈希函数;
13)身份认证机构计算
Figure DEST_PATH_IMAGE013
,并将
Figure 922445DEST_PATH_IMAGE014
发送给用户;
14)用户验证
Figure DEST_PATH_IMAGE015
是否成立,如果不成立则终止注册,如果成立则计算
Figure 295788DEST_PATH_IMAGE016
,得到签名
Figure DEST_PATH_IMAGE017
15)用户计算
Figure 80817DEST_PATH_IMAGE018
,得到证书
Figure DEST_PATH_IMAGE019
16)身份认证机构将
Figure 172401DEST_PATH_IMAGE020
加入映射表,并将
Figure 727010DEST_PATH_IMAGE012
作为叶子节点添加到默克尔树中,公布更新后的默克尔树并将其根哈希值发布至区块链上;
17)用户将
Figure DEST_PATH_IMAGE021
可验证地分享给监管委员会;
18)用户向监管委员会做零知识证明;监管委员会对所述零知识证明验证通过后,将用户的公钥
Figure 220440DEST_PATH_IMAGE022
和证书
Figure DEST_PATH_IMAGE023
发布在区块链上;
2)追溯阶段:
当所述监管委员会收到区块链上的任意用户关于公钥
Figure 176370DEST_PATH_IMAGE022
对应的账户出现违规行为的举报,所述监管委员成员通过注册阶段各自收到的秘密分享片段联合恢复出
Figure 817567DEST_PATH_IMAGE021
的值;然后通过计算
Figure 175867DEST_PATH_IMAGE024
恢复出
Figure 789382DEST_PATH_IMAGE012
的值,然后根据恢复出的
Figure 840515DEST_PATH_IMAGE012
生成身份恢复请求并对其进行多方签名后发送给身份认证机构;身份认证机构验证所述身份恢复请求由所述监管委员会发起后,通过从所述身份恢复请求中获取的
Figure 703428DEST_PATH_IMAGE012
值从维护的映射表中查找到对应用户的
Figure DEST_PATH_IMAGE025
2.根据权利要求1所述的方法,其特征在于,步骤17)中,用户以Shamir秘密分享方案将
Figure 3435DEST_PATH_IMAGE021
可验证地分享给监管委员会:用户构造随机
Figure 2615DEST_PATH_IMAGE026
次多项式
Figure DEST_PATH_IMAGE027
,并向每一监管委员会成员发送秘密分享片段;其中,第k个委员会成员的分享片段为
Figure 303278DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
,区块链中存在由
Figure 853820DEST_PATH_IMAGE030
个共识节点组成的所述监管委员会;用户公开验证参数
Figure DEST_PATH_IMAGE031
,用于委员会验证自己持有的关于
Figure 757185DEST_PATH_IMAGE021
的秘密片段是否正确,
Figure 876451DEST_PATH_IMAGE032
Figure DEST_PATH_IMAGE033
为多项式
Figure 82435DEST_PATH_IMAGE034
中第i项
Figure DEST_PATH_IMAGE035
的系数;其中委员会成员的验证方式为:第
Figure 143712DEST_PATH_IMAGE036
个委员会成员计算
Figure DEST_PATH_IMAGE037
是否成立,如果成立则证明自己持有的秘密片段正确。
3.根据权利要求2所述的方法,其特征在于,当所述监管委员会收到区块链上的任意用户关于公钥
Figure 788451DEST_PATH_IMAGE022
对应的账户出现违规行为的举报,且对该举报达成共识的监管委员会成员达到规定数量
Figure 27802DEST_PATH_IMAGE038
时,不少于
Figure 326059DEST_PATH_IMAGE038
个对该举报达成共识的所述监管委员成员通过注册阶段各自收到的秘密分享片段联合恢复出
Figure 851194DEST_PATH_IMAGE021
的值。
4.根据权利要求1所述的方法,其特征在于,用户以私有输入
Figure DEST_PATH_IMAGE039
和公共输入
Figure 96362DEST_PATH_IMAGE040
向监管委员会做零知识证明,包括:证明
Figure DEST_PATH_IMAGE041
;证明
Figure 65586DEST_PATH_IMAGE042
;计算
Figure DEST_PATH_IMAGE043
,并证明
Figure 3586DEST_PATH_IMAGE044
存在于默克尔树中;证明
Figure DEST_PATH_IMAGE045
;其中
Figure 422542DEST_PATH_IMAGE046
为用户的私钥。
5.根据权利要求1所述的方法,其特征在于,身份认证机构根据用户的
Figure 736979DEST_PATH_IMAGE025
Figure 685344DEST_PATH_IMAGE012
对所述用户进行核验,核验通过后进行步骤13)。
6.根据权利要求1所述的方法,其特征在于,
Figure DEST_PATH_IMAGE047
CN202210776123.9A 2022-07-01 2022-07-01 一种基于秘密分享的区块链受控可追溯身份隐私方法 Active CN114866259B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210776123.9A CN114866259B (zh) 2022-07-01 2022-07-01 一种基于秘密分享的区块链受控可追溯身份隐私方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210776123.9A CN114866259B (zh) 2022-07-01 2022-07-01 一种基于秘密分享的区块链受控可追溯身份隐私方法

Publications (2)

Publication Number Publication Date
CN114866259A CN114866259A (zh) 2022-08-05
CN114866259B true CN114866259B (zh) 2022-10-14

Family

ID=82625884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210776123.9A Active CN114866259B (zh) 2022-07-01 2022-07-01 一种基于秘密分享的区块链受控可追溯身份隐私方法

Country Status (1)

Country Link
CN (1) CN114866259B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115664649B (zh) * 2022-10-19 2023-08-01 电子科技大学 基于动态委员会的高安全性区块链身份管理方法及系统
CN117118618B (zh) * 2023-10-25 2024-01-23 北京天润基业科技发展股份有限公司 数据共享方法、电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672529A (zh) * 2019-01-07 2019-04-23 苏宁易购集团股份有限公司 一种结合区块链和秘密共享的去匿名化的方法及系统
CN111064734A (zh) * 2019-12-25 2020-04-24 中国科学院信息工程研究所 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置
WO2021080449A1 (en) * 2019-10-23 2021-04-29 "Enkri Holding", Limited Liability Company Method and system for anonymous identification of a user
WO2021195219A1 (en) * 2020-03-24 2021-09-30 Ares Technologies, Inc Methods and systems for implementing mixed protocol certificates
CN113554436A (zh) * 2020-04-24 2021-10-26 中国科学院信息工程研究所 一种区块链系统用户身份匿名方法、追踪方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109274481B (zh) * 2018-08-01 2020-03-27 中国科学院数据与通信保护研究教育中心 一种区块链的数据可追踪方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672529A (zh) * 2019-01-07 2019-04-23 苏宁易购集团股份有限公司 一种结合区块链和秘密共享的去匿名化的方法及系统
WO2021080449A1 (en) * 2019-10-23 2021-04-29 "Enkri Holding", Limited Liability Company Method and system for anonymous identification of a user
CN111064734A (zh) * 2019-12-25 2020-04-24 中国科学院信息工程研究所 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置
WO2021195219A1 (en) * 2020-03-24 2021-09-30 Ares Technologies, Inc Methods and systems for implementing mixed protocol certificates
CN113554436A (zh) * 2020-04-24 2021-10-26 中国科学院信息工程研究所 一种区块链系统用户身份匿名方法、追踪方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LightLedger: A Novel Blockchain-Based Domain Certificate Authentication and Validation Scheme;GARBA, Abba 等;《IEEE TRANSACTIONS ON NETWORK SCIENCE AND ENGINEERING》;20210630;第8卷(第2期);全文 *
区块链隐私保护技术综述;张家硕 等;《保密科学技术》;20200131;全文 *

Also Published As

Publication number Publication date
CN114866259A (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
CN109785494B (zh) 基于区块链的可追踪的匿名电子投票方法
CN107609417B (zh) 用于审计和追踪的匿名消息发送系统及方法
Chen et al. Property-based attestation without a trusted third party
CN114866259B (zh) 一种基于秘密分享的区块链受控可追溯身份隐私方法
CN111814191B (zh) 区块链隐私数据保护方法、装置及系统
CN111064734A (zh) 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置
CN109687965A (zh) 一种保护网络中用户身份信息的实名认证方法
CN114255034A (zh) 一种基于区块链的可验证公平性的电子投票方法
CN113554436B (zh) 一种区块链系统用户身份匿名方法、追踪方法和系统
CN113360943A (zh) 一种区块链隐私数据的保护方法及装置
CN110190970A (zh) 基于公有链的可匿名撤销的环签名及其生成和撤销方法
Yu et al. Evaluating web pkis
CN111091380B (zh) 一种基于好友隐蔽验证的区块链资产管理方法
CN110851859B (zh) 一种具有(n,t)门限的分布式权威节点区块链系统的认证方法
CN112529573A (zh) 一种组合式区块链门限签名方法及系统
Cao et al. Decentralized group signature scheme based on blockchain
Gao et al. Quantum election protocol based on quantum public key cryptosystem
Killer et al. Æternum: A decentralized voting system with unconditional privacy
Kulyk et al. Introducing proxy voting to Helios
CN113591128A (zh) 基于群签名的区块链非法地址监管系统及追溯方法
Li et al. Decentralized Threshold Signatures with Dynamically Private Accountability
CN113362065A (zh) 一种基于分散式私钥的在线签名交易实现方法
CN117714065A (zh) 基于群签名和Bulletproofs的高效联盟链隐私保护方法及系统
CN117036027A (zh) 基于区块链的绿色电力消费认证数据处理方法及相关设备
CN110912702A (zh) 一种基于隐藏社交关系的区块链资产管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant