一种面向区块链组播交易模式的隐私保护与监管方法

本发明涉及链上组播交易模式下隐私保护与监管，尤其涉及一种面向区块链组播交易模式的隐私保护与监管方法。

背景技术：

1、当前研究大多采用匿名技术来保护身份隐私，但由于区块链交易系统账本公开、多方确认的特点，简单使用匿名认证并不能完全有效地解决交易身份隐私保护的问题。“混币”技术是目前实现交易方身份隐私的主要方法。混币交易技术是指在交易过程中增加中间环节对多个交易进行混淆，从而增加攻击者的分析难度，保护用户身份隐私。通过“混币”过程将真实交易方的身份隐藏在混淆交易构成的身份匿名集合中，它是区块链系统中实现交易身份隐藏的基本思想。混币技术可分为协同混币、自主混币和全局混币技术。

2、其中自主混币技术典型代表是门罗币。门罗币中每个用户随机生成两个椭圆曲线公钥(a,b)来作为用户的公开身份标识，相对应的私钥(a,b)由每个用户私自持有，并在交易过程中用于生成签名信息，完成用户的身份认证和支付确认；其次，门罗币实现了交易过程中的身份隐藏机制，它使用环签名实现了交易发送方的身份隐藏，使用隐蔽地址(stealth address)实现了交易接收方的身份隐藏。但目前研究缺少针对区块链组播交易模式下交易身份隐私保护与可靠监管的方案。

3、在交易内容隐私保护方面，目前区块链系统多采用信息加密和数据隔离技术实现交易内容隐藏，一般通过同态密码和零知识证明技术实现隐藏交易验证，在隐藏交易监管方面，缺少对组播交易模式下的交易内容监管。

4、交易身份隐私方面，现有的自主混币技术的典型代表是门罗币(monero)。门罗币在交易过程中提供了基于自主混币的交易身份隐藏技术，它通过隐蔽地址技术实现交易接收方的身份隐藏，在设定系统总用户数为n的情况下，观察者有效识别接收方身份的概率为1/n；通过可链接环签名完成了交易发送方的自主混币过程，实现了发送方的身份隐藏。

5、但门罗币中使用的是双密钥对地址，且没有在交易方身份隐藏的同时实现可靠监管。

6、交易内容隐私保护方面，pgc方案采用了改进的twistedelgamal加法同态算法来进行交易金额的加密，在支持交易平衡性验证的同时还可完成交易金额发送，但未考虑组播交易模式下交易接收方数据一致性的证明问题。区块链组播交易中需要对交易身份和交易内容进行隐私保护和可靠监管。

7、目前，现有技术中的区块链隐私保护缺乏合理监管，在区块链中简单使用匿名技术进行身份隐私保护依然容易遭受恶意链接攻击。目前面向行业应用的区块链隐私保护方案缺少面向组播交易模式下的隐私保护与监管方案。因此，开发一种面向区块链组播交易模式的隐私保护与监管方法是非常重要且有意义的。

技术实现思路

1、本发明的实施例提供了一种面向区块链组播交易模式的隐私保护与监管方法，以实现有效地保障区块链组播交易的安全性。

2、为了实现上述目的，本发明采取了如下技术方案。

3、一种面向区块链组播交易模式的隐私保护与监管方法，包括：

4、执行初始化算法，生成用户密钥和监管者密钥；

5、执行一次性地址派生算法、利用监管者密钥对交易地址加密及零知识证明算法，对交易接收方身份进行隐私保护；

6、利用接收方公钥执行交易金额加密及零知识证明算法，对交易内容进行隐私保护；

7、执行可链接可撤销环签名密钥更新算法进行交易一致性验证，执行可链接可撤销环签名生成算法，对交易发送方身份进行隐私保护；

8、执行地址加密零知识证明验证算法和金额加密零知识证明验证算法验证交易内容的一致性、交易金额范围的合法性，执行环签名验证算法验证环签名有效性；

9、监管者获取密态交易信息，执行交易监管算法，恢复交易发送方身份、交易接收方身份及交易真实内容；

10、接收方执行判别算法，判断一个交易的接收方是否是自己，如果是，则计算一次性地址对应的一次性私钥，用于下一次交易。

11、优选地，所述的执行初始化算法，生成用户密钥和监管者密钥，包括：

12、根据输入的安全参数λ生成公共参数pp(q,g1,gt,zq,e,h,g)，其中g1,gt为两个素数阶q的循环群，zq为q阶整数群，e为双线性映射g1×g1→gt，h为密码学哈希函数g1→zq，g为g1的生成元；然后生成用户密钥，用户i选择随机数di∈zq作为私钥，计算公钥

13、

14、生成监管者密钥rsk＝(dx,dy)、rpk＝(px,py,pt)，其中dx,dy∈zq，同时生成监管者u的监管公私钥du和以及环签名撤销参数rrevoke＝gr。

15、优选地，所述的执行一次性地址派生算法、利用监管者密钥对交易地址加密及零知识证明算法，对交易接收方身份进行隐私保护，包括：

16、设交易接收方的公钥为pr，随机选择rtx，计算计算计算一次性地址pr′＝gtpr，发送方使用监管公钥rpk对接收方的区块链地址进行加密生成监管密文，即分别选择随机数和k2∈zq，计算和计算k＝k1+k2，计算c1，c2，c3构成了撤销匿名性参数crevokr。

17、优选地，所述的利用接收方公钥执行交易金额加密及零知识证明算法，对交易内容进行隐私保护，包括：

18、对于组播交易模式，使用多个接收方公钥对交易金额加密，设置商品质押场景中的交易发送方的现有库存量为min，质押量为mout1，剩余量为mout2，多个接收方地址公钥分别为p0、p1、p2和p3，假设现有库存量密文对应的随机数为r0∈zq，选择随机数r1∈zq，构造r2＝r0-r1∈zq，使用四次twistedelgamal加密算法，得到其中yi(i∈{0,1,2})用于环签名密钥更新，交易发送方使用监管公钥pu对质押库存量进行加密，得到

19、交易发送方执行零知识证明生成算法生成证明，基于schnorr协议和fiat-shamir启发式生成非交互式零知识证明；

20、基于bulletproofs进行范围证明，设定金额范围为v＝(0,2p)，可表示为

21、对于一致性证明，选择随机数r0′,r1′,r2′,rin,rou1,rout2，计算

22、计算cequal＝

23、h(x0||x1||x2||x3||xu||y0||y1||y2||x′0||x′1||x′2||x′3||x′u||yo′||y1′||y2′)，得到

24、πequal＝(cequal,s0,s1,s2,sin,sout1,sout2)。

25、优选地，所述的执行可链接可撤销环签名密钥更新算法进行交易一致性验证，执行可链接可撤销环签名生成算法，对交易发送方身份进行隐私保护，包括：

26、设签名者公钥为pπ，私钥为dπ，区块链上获取的公钥为pi(i＝1...n,i≠π)，取tci中的yi，执行密钥更新算法，得到pi′(i＝1...n,i≠π)，其中签名者取d′π作为更新后的签名私钥，p′π作为新的公钥；

27、从区块链上获取n-1个用户公钥并使用密钥更新算法得到混淆公钥集合s＝

28、{p1,p2,…,pn}，并结合监管者公钥pu、环签名撤销参数rrevoke、签名私钥dπ、待签名消息m，调用环签名生成算法，生成的环签名σ包括密钥镜像i、环签名主体和撤销匿名性参数e，使用双线性映射计算在zq中随机选择{qi|i＝1,…,n,i≠π}和{wi|i＝1,…,n,i≠π}，并计算和选择随机数k∈zq，计算lπ＝gk和rπ＝e(rrevoke,pu)k，计算

29、c＝h(m||l1||…||ln||r1||…||rn′||s||pu||rrevoke||e)，计算wπ＝c-∑wimodq(i＝

30、1,…,n,i≠π)，qπ＝k-wπdπmodq，生成签名σ＝(i,w1,…,wn,q1,…,qn)。

31、优选地，所述的执行地址加密零知识证明验证算法和金额加密零知识证明验证算法验证交易内容的一致性、交易金额范围的合法性，执行环签名验证算法验证环签名有效性，包括：

32、将交易方的身份信息上传到区块链上，区块链上的验证节点在获取到环签名σ、签名消息m、公开的混淆公钥集合s和监管公钥pu后，对环签名σ执行如下的验证过程：对于

33、i＝1,…,n，计算计算

34、c′＝h(m||l1′||…||ln′||r1′||…||rn′||s||pu||rrevoke||e)，若cver＝c′成立，则算法输出1，签名验证通过；否则，算法输出0，表示验证失败，从环签名σ中获取密钥镜像i，检索历史密钥镜像列表进行对比，若密钥镜像i在列表中出现过，则算法输出1，表示用户进行了双花行为，拒绝此签名；

35、对于一致性验证，验证节点计算

36、

37、计算ce′qual＝

38、h(x0||x1||x2||x3||xu||y0||y1||y2||x0″||x1″||x2″||x3″||xu″||yo″||y1″||y2″)验证等式ce′qual＝cequal是否成立，若成立，则一致性验证通过；否则，一致性验证失败，一致性验证通过后，将密态交易信息上传到区块链。

39、优选地，所述的监管者获取密态交易信息，执行交易监管算法，恢复交易发送方身份、交易接收方身份及交易真实内容，包括：

40、监管者获取区块链上的密态交易信息，该密态交易信息包括撤销匿名性参数crevoke和环签名σ，使用监管私钥(dx,dy)恢复出交易接收方的一次性地址：利用环签名的可撤销性，执行撤销匿名性算法，依次代入集合s中的公钥pi，

41、i＝1,…,n，判断式子是否成立，输出使等式成立的签名公钥，监管者从密态交易身份信息中恢复出了交易发送方和接收方的真实身份，监管者恢复明文交易金额时，取交易内容中的tcu＝(xu,yu)，计算其中m为该交易中的质押库存量，在给定的小范围内恢复出明文。

42、优选地，所述的接收方执行判别算法，判断一个交易的接收方是否是自己，如果是，则计算一次性地址对应的一次性私钥，用于下一次交易，包括：

43、设交易的接收方的私钥为dr，公钥为pr，计算若pr′＝pr成立，则接收方判断该笔交易属于自己，使用自己的私钥计算交易对应的的一次性私钥

44、由上述本发明的实施例提供的技术方案可以看出，本发明方法基于自主混淆的可靠监管交易身份隐私保护技术和基于同态加密和零知识证明的可靠监管交易内容隐私保护技术实现交易的隐私保护与可靠监管。在保护交易发送方和交易接收方身份隐私的同时监管者能够恢复交易方的真实身份；在使用同态密码和零知识证明技术实现对交易内容的隐私保护及验证的同时监管者能够恢复交易的明文内容。

45、本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。