高效安全的可審計(jì)盲混幣服務(wù)方案

喬康，湯紅波，游偉，李海濤

高效安全的可審計(jì)盲混幣服務(wù)方案

喬康，湯紅波，游偉，李海濤

（信息工程大學(xué)，河南 鄭州 450001）

混幣服務(wù)能夠?yàn)閰^(qū)塊鏈隱私泄露問題提供解決方案，但仍然面臨效率瓶頸和安全風(fēng)險(xiǎn)，為進(jìn)一步提升混幣服務(wù)的效率和安全防護(hù)能力，提出一種高效安全的可審計(jì)盲混幣服務(wù)方案。該方案首先增加了審計(jì)措施，在傳統(tǒng)的混幣模型基礎(chǔ)上，增加審計(jì)區(qū)塊鏈，以記錄用戶和混幣器行為，實(shí)現(xiàn)可追溯和可問責(zé)；然后利用橢圓曲線算法構(gòu)造盲簽名，替代現(xiàn)有研究中基于雙線性對(duì)或RSA的盲簽名算法；最后基于可審計(jì)的混幣模型和新構(gòu)造的盲簽名算法，提出可審計(jì)的盲混幣服務(wù)協(xié)議。仿真分析表明，所提方案在提供隱私保護(hù)的同時(shí)，具有可審計(jì)性、抗盜竊攻擊等6種安全特性；在同等安全強(qiáng)度下，較對(duì)比方案，所提方法能夠有效降低計(jì)算開銷和存儲(chǔ)開銷。

區(qū)塊鏈；可審計(jì)；混幣服務(wù)；隱私保護(hù)

1 引言

區(qū)塊鏈作為一種公開的賬本系統(tǒng)，交易信息被收集并詳細(xì)記錄在其中，任何參與者都可以查詢鏈上信息，故其面臨嚴(yán)重的隱私泄露風(fēng)險(xiǎn)。為保護(hù)用戶隱私，區(qū)塊鏈提供一定的假名性，用戶可以在本地，通過一系列密碼學(xué)變換，自行生成與身份信息無(wú)關(guān)的隨機(jī)地址。這類隨機(jī)地址（或假名）通常作為交易輸入和輸出的賬號(hào)，雖然與傳統(tǒng)賬號(hào)相比，具有較好的匿名性，但只能提供有限的隱私保護(hù)。攻擊者通過跟蹤和分析區(qū)塊鏈交易，配合地址ID、IP信息等可以追查到賬戶和交易的關(guān)聯(lián)性，進(jìn)而推測(cè)出交易隱私和身份隱私。例如，Dorit等[1]通過分析比特幣的歷史賬本，得出相關(guān)交易之間的許多統(tǒng)計(jì)特征。Reid等[2]證明多個(gè)假名地址可以鏈接到單個(gè)用戶地址。Koshy等[3]介紹了將比特幣地址直接映射到IP地址的方法。Miller等[4]公布了一種發(fā)現(xiàn)比特幣網(wǎng)絡(luò)拓?fù)湟约瓣P(guān)鍵節(jié)點(diǎn)的技術(shù)AddressProbe。和傳統(tǒng)領(lǐng)域不同，區(qū)塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露，無(wú)法挽救，因此，區(qū)塊鏈系統(tǒng)應(yīng)該更加重視隱私防護(hù)問題，同時(shí)迫切需要為區(qū)塊鏈用戶提供完整的隱私保護(hù)服務(wù)。

一種直觀的區(qū)塊鏈隱私保護(hù)方法被稱為混幣。混幣是在不改變交易結(jié)果的前提下，通過對(duì)交易內(nèi)容進(jìn)行混淆，從而增加攻擊難度的隱私保護(hù)方法。2013年，Maxwell等[5]提出第一個(gè)混幣方案CoinJoin，通過割裂輸入地址和輸出地址的聯(lián)系，達(dá)到保護(hù)用戶交易隱私的目的。2014年，Bonneau等[6]提出一種改進(jìn)的混幣方案Mixcoin，增加審計(jì)功能，監(jiān)管混幣服務(wù)器的行為，防止混幣服務(wù)器違規(guī)操作。2015年，Valenta等[7]在Mixcoin的基礎(chǔ)上，提出一種采用盲簽名技術(shù)的方案Blindcoin，以防止混幣服務(wù)器泄露混幣地址的鏈接關(guān)系。2016年，Heilman等[8]采用盲簽名和智能合約技術(shù)，通過智能合約提供可自動(dòng)強(qiáng)制執(zhí)行的協(xié)議，能同時(shí)為鏈上區(qū)塊鏈交易和鏈下區(qū)塊鏈交易提供匿名保護(hù)。2018年，Bao等[9]在Blindcoin的基礎(chǔ)之上，利用多簽名技術(shù)對(duì)混幣方案進(jìn)一步優(yōu)化，他們?cè)O(shè)計(jì)的Lockcoin方案不僅能夠防止混幣服務(wù)器建立輸入地址和輸出地址間的映射關(guān)系，而且能夠預(yù)防混幣服務(wù)器篡改輸出地址來(lái)盜竊用戶資金。

在早期的混幣方案中，如CoinJoin[5]和Mixcoin[6]方案，為正確完成混幣操作且輸出到相應(yīng)的用戶地址，混幣服務(wù)器了解全部的混幣信息，用戶的輸入地址和輸出地址對(duì)于混幣服務(wù)器而言是透明的，存在嚴(yán)重的隱私泄露風(fēng)險(xiǎn)。為防御這類隱私泄露風(fēng)險(xiǎn)，研究者提出采用盲簽名技術(shù)的改進(jìn)方案，確保混幣服務(wù)器在正常提供混淆服務(wù)的同時(shí)，無(wú)法建立輸入和輸出地址之間的關(guān)聯(lián)性，如Blindcoin[7]、Lockcoin[9]、RSA-Coinmix[10]方案。這些采用盲簽名技術(shù)的方案能夠有效抵御混幣器泄露區(qū)塊鏈用戶隱私的風(fēng)險(xiǎn)，但存在計(jì)算和存儲(chǔ)開銷較大的問題。例如，Blindcoin和Heilman采用基于雙線性對(duì)（bilinear pairing）的盲簽名方案，RSA-Coinmix和Lockcoin則采用基于RSA算法的盲簽名方案?；陔p線性對(duì)問題構(gòu)造的簽名單位安全強(qiáng)度高，同等安全強(qiáng)度下，所需密鑰長(zhǎng)度短，但雙線性對(duì)運(yùn)算計(jì)算開銷較大。而RSA算法基于大整數(shù)因子分解問題，基于RSA算法構(gòu)造的簽名計(jì)算開銷較小，但簽名的單位安全強(qiáng)度較低，同等安全強(qiáng)度下，所需密鑰長(zhǎng)度較長(zhǎng)，存儲(chǔ)開銷較大。目前，計(jì)算和存儲(chǔ)開銷是限制區(qū)塊鏈發(fā)展的瓶頸，因此在滿足安全強(qiáng)度的條件下，需要設(shè)計(jì)更高效節(jié)能的盲簽名方案。此外，混幣服務(wù)器存在盜竊資金的風(fēng)險(xiǎn)，而用戶也存在拖延支付的可能，任何一方的違規(guī)操作，都會(huì)造成安全性和執(zhí)行效率下降，因此，需要設(shè)計(jì)可審計(jì)的混幣協(xié)議來(lái)同時(shí)監(jiān)管混幣器和用戶兩方的行為，確?；鞄欧?wù)的安全高效。

本文首先在Blindcoin[7]方案的基礎(chǔ)之上，設(shè)計(jì)了包含用戶、混幣器、審計(jì)區(qū)塊鏈三類實(shí)體的混幣服務(wù)系統(tǒng)模型；其次，利用仿射變換構(gòu)造盲簽名的方法，將Schnorr盲簽名方案在橢圓曲線上進(jìn)行模擬，并采用3個(gè)隨機(jī)盲化參數(shù)，構(gòu)造基于橢圓曲線的Schnorr強(qiáng)盲簽名方案；最后，在混幣服務(wù)系統(tǒng)模型下，應(yīng)用所構(gòu)造的Schnorr強(qiáng)盲簽名方案，并采用經(jīng)濟(jì)懲罰機(jī)制和公共日志審計(jì)措施，提出了高效安全的可審計(jì)盲混幣服務(wù)協(xié)議。

2 背景

2.1 區(qū)塊鏈的隱私需求

為了保護(hù)用戶隱私，區(qū)塊鏈需要滿足以下要求：①交易之間的鏈接關(guān)系式不可見或不可被分析；②交易內(nèi)容僅對(duì)實(shí)際參與者可見。對(duì)于私有鏈或許可鏈而言，通過設(shè)置訪問控制策略，可以增加非法節(jié)點(diǎn)進(jìn)入?yún)^(qū)塊鏈系統(tǒng)的難度，降低數(shù)據(jù)透明度，從而提升隱私防護(hù)能力。但是，區(qū)塊鏈中的節(jié)點(diǎn)通常是個(gè)人計(jì)算機(jī)或手機(jī)，安全防護(hù)能力低，容易遭受攻擊者的攻擊。此外，在公有鏈場(chǎng)景下，每個(gè)用戶都可以自由地訪問區(qū)塊鏈系統(tǒng)，能夠查看并下載全局賬本信息，存在極大的隱私泄露風(fēng)險(xiǎn)。為抵御風(fēng)險(xiǎn)，文獻(xiàn)[11]將區(qū)塊鏈的隱私需求劃分為身份隱私和交易隱私兩方面。

身份隱私指區(qū)塊鏈中的用戶信息（包括地址信息和交易內(nèi)容）和用戶真實(shí)身份之間的映射關(guān)系。在區(qū)塊鏈中，用戶可以在本地通過一系列密碼學(xué)變換，自行生成與身份信息無(wú)關(guān)的隨機(jī)地址。該地址通常作為交易輸入和輸出的賬號(hào)，雖然與傳統(tǒng)賬號(hào)相比，具有較好的匿名性，但這類隨機(jī)地址（或假名）只能提供有限的身份隱私保護(hù)。當(dāng)用戶通過隨機(jī)地址參與區(qū)塊鏈交易時(shí)，攻擊者通過遍歷賬本信息，分析區(qū)塊鏈交易的網(wǎng)絡(luò)傳播規(guī)律[12]，配合使用一些行為分析策略[13]，能夠推測(cè)出區(qū)塊鏈用戶的真實(shí)身份信息。

交易隱私指區(qū)塊鏈交易內(nèi)容和交易內(nèi)容背后的敏感信息之間的關(guān)聯(lián)性。公開的交易記錄能夠反映一些敏感信息，如用戶的購(gòu)買記錄，能夠反映用戶的消費(fèi)水平和購(gòu)買喜好。此外，在許多基于區(qū)塊鏈的應(yīng)用中，如電子醫(yī)療記錄管理[14]、匿名的身份驗(yàn)證和授權(quán)[15]等，區(qū)塊鏈上存儲(chǔ)的交易記錄涉及重要的用戶敏感信息。和傳統(tǒng)領(lǐng)域不同，區(qū)塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露就無(wú)法挽救，因此區(qū)塊鏈系統(tǒng)應(yīng)該更加重視隱私防護(hù)問題。

為提高區(qū)塊鏈系統(tǒng)隱私防護(hù)的能力，理想的解決方案應(yīng)該包括以下幾種特征。

1) 匿名性：用戶是唯一知道輸入地址和輸出地址鏈接關(guān)系的實(shí)體。

2) 可擴(kuò)展性：該系統(tǒng)具備良好的可擴(kuò)展性，能容納多個(gè)用戶。

3) 兼容性：該系統(tǒng)能夠兼容現(xiàn)有的區(qū)塊鏈系統(tǒng)，如比特幣、以太坊。

4) 可審計(jì)性（僅限混幣服務(wù)）：當(dāng)協(xié)議無(wú)法正常執(zhí)行時(shí)，參與混幣的雙方都能獲取錯(cuò)誤操作的證據(jù)。

2.2 混幣服務(wù)

在區(qū)塊鏈中，交易的輸入地址和輸出地址是可鏈接的，通過分析公開賬本的內(nèi)容，能夠推斷出一些隱私信息。針對(duì)此類攻擊，一種直觀的防護(hù)方案是借助中間混幣器來(lái)混淆交易地址的關(guān)系。1981年，Chaum首次提出混幣服務(wù)的思想[16]，起初的目的是通過混幣器來(lái)隱藏參與者的通信內(nèi)容，從而實(shí)現(xiàn)匿名通信。混幣服務(wù)的基本思想可表達(dá)為

文獻(xiàn)[13]介紹了混幣服務(wù)的基礎(chǔ)架構(gòu)，如圖1所示，多個(gè)輸入經(jīng)中間混幣服務(wù)器執(zhí)行混淆操作后依次輸出，為了隱藏輸入到達(dá)的順序，混幣器將通過隨機(jī)排序的方式打亂輸出順序。此外，為盡可能減小單個(gè)混幣器受攻擊的風(fēng)險(xiǎn)，可以將多個(gè)混幣器連接在一起，構(gòu)成級(jí)聯(lián)混幣器，提升防護(hù)能力。

圖1 混幣服務(wù)的基礎(chǔ)架構(gòu)

Figure 1 Infrastructure of mixed-coin service

2.3 盲簽名

盲簽名是由Chaum[17]在1983年提出的一種數(shù)字簽名方式，其通過允許文檔提供者在簽名者對(duì)文檔不可見的情況下，獲得“盲”文檔簽名的方式，來(lái)為實(shí)際文檔內(nèi)容提供隱私。由于文檔內(nèi)容在簽名之前對(duì)簽名者而言是不可見的（或盲化的），因此盲簽名可有效保護(hù)簽名內(nèi)容，在電子選舉和數(shù)字金融領(lǐng)域已有廣泛應(yīng)用[18]。文獻(xiàn)[19]介紹了一般簽名方案和盲簽名方案的對(duì)比，如圖2所示。在圖2(a)所示的一般簽名方案中，簽名者根據(jù)已知的消息內(nèi)容產(chǎn)生數(shù)字簽名。與一般的簽名方案相比，盲簽名的過程如圖2(b)所示。簽名請(qǐng)求方對(duì)消息執(zhí)行盲化操作，并將盲消息發(fā)送給簽名者。簽名者簽署盲消息并將盲簽名返回給請(qǐng)求方，然后請(qǐng)求方解盲簽名以獲得原始消息上的簽名。

圖2 一般簽名方案和盲簽名方案的對(duì)比

Figure 2 Comparison of general signature scheme and blind signature scheme

該方案有效的原因如下。

3 盲混幣服務(wù)方案

3.1 盲混幣服務(wù)的系統(tǒng)模型

在Blindcoin[7]方案的基礎(chǔ)上，本文設(shè)計(jì)了盲混幣服務(wù)的系統(tǒng)模型，如圖3所示，該模型包含3個(gè)主要實(shí)體，分別是混幣服務(wù)器（M，mixer）、用戶（U，user）和審計(jì)區(qū)塊鏈（audit blockchain）。

圖3 盲混幣服務(wù)的系統(tǒng)模型

Figure 3 System model of blind mixed-coin service

審計(jì)區(qū)塊鏈：審計(jì)區(qū)塊鏈?zhǔn)腔鞄欧?wù)的監(jiān)督者，可看作一塊只可添加不可更改的公告板，用于第三方驗(yàn)證。審計(jì)區(qū)塊鏈以區(qū)塊鏈的形式分享信息，發(fā)送方可通過交易的方式將證據(jù)信息記錄在區(qū)塊鏈上。用戶和混幣器均可發(fā)布區(qū)塊鏈消息，并且消息一經(jīng)發(fā)布不可刪除。如果用戶和混幣器中任何一方違反協(xié)議，通過審計(jì)區(qū)塊鏈中包含的公開信息，可證明違規(guī)方的行為。

盲混幣服務(wù)系統(tǒng)模型包含許多參數(shù)，具體如表1所示，除了模型圖中涉及的參數(shù)外，還將在3.3節(jié)盲混幣服務(wù)協(xié)議中被大量應(yīng)用。

3.2 基于橢圓曲線的Schnorr強(qiáng)盲簽名

表1 盲混幣服務(wù)系統(tǒng)模型參數(shù)

圖4 Schnorr強(qiáng)盲簽名協(xié)議

Figure 4 Schnorr strong blind signature protocol

Schnorr強(qiáng)盲簽名協(xié)議執(zhí)行步驟如下。

可用性證明如下。

一般來(lái)說(shuō)，不可偽造性、不可抵賴性、盲性、不可跟蹤性4條性質(zhì)既是設(shè)計(jì)盲簽名所遵循的標(biāo)準(zhǔn)，也是判斷盲簽名安全性的依據(jù)。因此，以這4條性質(zhì)為標(biāo)準(zhǔn)，對(duì)基于橢圓曲線的Schnorr強(qiáng)盲簽名方案進(jìn)行安全分析，該方案具有以下安全特性。

3.3 可審計(jì)的盲混幣服務(wù)協(xié)議

本節(jié)介紹可審計(jì)的盲混幣服務(wù)協(xié)議，該協(xié)議是在3.1節(jié)介紹的盲混幣服務(wù)系統(tǒng)模型下，應(yīng)用3.2節(jié)提出的基于橢圓曲線的Schnorr強(qiáng)盲簽名方案，并采用經(jīng)濟(jì)懲罰機(jī)制和審計(jì)措施，設(shè)計(jì)的一種高效安全的服務(wù)協(xié)議。經(jīng)濟(jì)懲罰機(jī)制指利用博弈論的思想，通過經(jīng)濟(jì)獎(jiǎng)懲來(lái)制約混幣服務(wù)器和用戶雙方的行為。一方面，針對(duì)混幣服務(wù)器，在混幣服務(wù)器提供混幣服務(wù)之前，要求混幣服務(wù)器預(yù)置大額誠(chéng)信押金（遠(yuǎn)超單次混幣金額）作為信用擔(dān)保。若混幣服務(wù)器正常提供服務(wù)，則在每次混幣服務(wù)后可獲取相應(yīng)獎(jiǎng)勵(lì)，并且誠(chéng)信押金可贖回，若混幣服務(wù)器執(zhí)行違規(guī)操作，故意延遲或者盜用資金，一經(jīng)核實(shí)，誠(chéng)信押金將被全部罰沒。另一方面，針對(duì)用戶，混幣服務(wù)之前用戶將混幣資金轉(zhuǎn)移到混幣服務(wù)器，若正常執(zhí)行流程，則完成混幣需求，若故意延遲或惡意發(fā)起申請(qǐng)（DoS攻擊），一經(jīng)核實(shí)，混幣資金將被罰沒作為混幣服務(wù)器的費(fèi)用。為最大化收益，混幣服務(wù)器和用戶都會(huì)遵守協(xié)議規(guī)則，確保協(xié)議的正常執(zhí)行。審計(jì)措施指利用審計(jì)區(qū)塊鏈不可篡改的特性，記錄混幣服務(wù)器和用戶的混幣信息，作為審核其行為的可信證據(jù)。與現(xiàn)有的方案相比，本文提出的可審計(jì)盲混幣服務(wù)協(xié)議，主要的特點(diǎn)是高效性，通過應(yīng)用基于橢圓曲線的Schnorr強(qiáng)盲簽名，降低了簽名過程的存儲(chǔ)開銷和計(jì)算開銷?？蓪徲?jì)盲混幣服務(wù)協(xié)議流程如圖5所示。

圖5 可審計(jì)的盲混幣服務(wù)協(xié)議

Figure 5 Auditable blind mixed-coin service protocol

可審計(jì)的盲混幣服務(wù)協(xié)議過程具體步驟如下。

Step1 系統(tǒng)初始化。

Step2 混幣服務(wù)請(qǐng)求。

Step3(a) 托管地址分發(fā)。

Step3(b) 混幣服務(wù)拒絕。

Step4(a1) 盲化。

Step4(b) 驗(yàn)證。

Step5(a1) 盲簽名。

Step5(b) 驗(yàn)證。

Step6(a1) 解盲。

Step6(b) 驗(yàn)證。

Step7(a1) 混幣服務(wù)完成。

Step7(b) 驗(yàn)證。

4 實(shí)驗(yàn)與分析

4.1 強(qiáng)盲簽名算法的有效性驗(yàn)證

強(qiáng)盲簽名算法實(shí)現(xiàn)流程如圖6所示，主要包括獲取全局參數(shù)、生成公鑰和私鑰、獲取隨機(jī)數(shù)和盲化因子、盲化、盲簽名、解盲、驗(yàn)證這7個(gè)流程。

盲簽名算法的有效性驗(yàn)證實(shí)驗(yàn)在配置為Intel Core i3-3110M @2.40 GHz CPU和4 GB內(nèi)存的計(jì)算機(jī)上進(jìn)行，操作系統(tǒng)為64位Windows7系統(tǒng)。在Eclipse平臺(tái)上用Java語(yǔ)言編程實(shí)現(xiàn)基于橢圓曲線的Schnorr強(qiáng)盲簽名算法，算法實(shí)現(xiàn)如圖7所示。

實(shí)驗(yàn)表明，經(jīng)過盲化、盲簽名、解盲、驗(yàn)證后，得到結(jié)果為true，說(shuō)明本文設(shè)計(jì)的基于橢圓曲線的Schnorr強(qiáng)盲簽名算法是可行有效的。

4.2 盲混幣服務(wù)方案的性能分析

盲混幣服務(wù)方案的性能分析包括盲簽名方案的效率分析和混幣服務(wù)的開銷分析兩方面。下面介紹盲簽名方案的效率分析，盲簽名算法主要分為密鑰生成、盲化、盲簽名、解盲和驗(yàn)證5個(gè)步驟，每個(gè)步驟都會(huì)產(chǎn)生計(jì)算開銷和存儲(chǔ)開銷。計(jì)算開銷以計(jì)算時(shí)間來(lái)衡量，存儲(chǔ)開銷以密鑰長(zhǎng)度和盲簽名長(zhǎng)度來(lái)衡量。為保證安全強(qiáng)度，本文設(shè)計(jì)的基于橢圓曲線的Schnorr強(qiáng)盲簽名方案采用256位密鑰長(zhǎng)度。為評(píng)估本文盲簽名算法的計(jì)算效率，以程序運(yùn)行時(shí)間作為計(jì)算時(shí)間的實(shí)驗(yàn)統(tǒng)計(jì)值，在4.1節(jié)實(shí)驗(yàn)條件下，分別取用戶數(shù)目為10、100、500、1 000、3 000、5 000、7 000、10 000進(jìn)行測(cè)試，每次測(cè)試重復(fù)10次取均值，統(tǒng)計(jì)各步驟的運(yùn)行時(shí)間，統(tǒng)計(jì)結(jié)果如表2所示。

圖6 強(qiáng)盲簽名算法實(shí)現(xiàn)流程

Figure 6 Strong blind signature algorithm implementation process

圖7 強(qiáng)盲簽名的算法實(shí)現(xiàn)

Figure 7 Algorithm implementation of strong blind signature

表2 盲簽名方案的計(jì)算開銷統(tǒng)計(jì)

從表2的統(tǒng)計(jì)結(jié)果可以看出各步驟運(yùn)行時(shí)間和用戶數(shù)目的關(guān)系，為更直觀展示其中的關(guān)系變化和趨勢(shì)，通過Matlab繪制分析圖，結(jié)果如圖8、圖9所示。圖8展示了運(yùn)行時(shí)間占比和用戶數(shù)目的關(guān)系，當(dāng)用戶數(shù)低于500時(shí)，密鑰生成的運(yùn)行時(shí)間占比最大，超過0.5，隨著用戶數(shù)目的增加，密鑰生成的運(yùn)行時(shí)間占比逐漸減少，而盲化和驗(yàn)證過程的運(yùn)行時(shí)間占比逐漸增加，當(dāng)用戶數(shù)超過7 000時(shí)，密鑰生成、盲化和驗(yàn)證的運(yùn)行時(shí)間占比趨于穩(wěn)定，都為0.3左右。圖9(a)展示了運(yùn)行總時(shí)間和用戶數(shù)目的關(guān)系，隨著用戶數(shù)目的增加，總的運(yùn)行時(shí)間逐漸增加，大致呈線性趨勢(shì)；圖9(b)展示了平均運(yùn)行總時(shí)間和用戶數(shù)目的關(guān)系，隨著用戶數(shù)目的增加，平均每個(gè)用戶的運(yùn)行時(shí)間逐漸減少，且當(dāng)用戶數(shù)大于1 000以后，平均每個(gè)用戶的運(yùn)行時(shí)間趨于穩(wěn)定。圖8、圖9的結(jié)果說(shuō)明本文盲簽名方案具有一定的可擴(kuò)展性，能夠支持大規(guī)模的用戶請(qǐng)求。

圖8 運(yùn)行時(shí)間占比和用戶數(shù)目的關(guān)系

Figure 8 The relationship between the proportion of running time and the number of users

為進(jìn)一步評(píng)估盲簽名方案的效率，選擇采用基于雙線性對(duì)盲簽名的Heilman[8]方案和基于RSA算法盲簽名的RSA-Mixing[10]方案作為對(duì)比，對(duì)比結(jié)果如表3所示。

本文的盲簽名算法是基于橢圓曲線上的離散對(duì)數(shù)問題構(gòu)造簽名密鑰，Heilman[8]方案是基于橢圓曲線上的雙線性對(duì)問題構(gòu)造密鑰，而雙線性對(duì)問題是依賴群上的離散對(duì)數(shù)問題，因此，本質(zhì)上本文方案和Heilman[8]方案都基于橢圓曲線上的離散對(duì)數(shù)問題構(gòu)造簽名密鑰。RSA-Mixing[10]方案則基于大整數(shù)因子分解問題構(gòu)造密鑰。因?yàn)榛跈E圓曲線上的離散對(duì)數(shù)問題構(gòu)造的簽名單位安全強(qiáng)度高于基于大整數(shù)因子分解問題構(gòu)造的簽名，所以在提供同等安全強(qiáng)度時(shí)，前者所需密鑰長(zhǎng)度更短。在本文的對(duì)比實(shí)驗(yàn)中，本文方案和Heilman[8]方案選擇256 bit的密鑰長(zhǎng)度，RSA-Mixing[10]方案則選擇1 024 bit密鑰長(zhǎng)度。

圖9 運(yùn)行總時(shí)間和用戶數(shù)目的關(guān)系

Figure 9 The relationship between the total running time and the number of users requested

表3 盲簽名方案的算法運(yùn)算過程

取=1 000，代表10 000個(gè)用戶請(qǐng)求盲簽名，在4.1節(jié)實(shí)驗(yàn)條件下，分別部署3個(gè)盲簽名算法，每次實(shí)驗(yàn)重復(fù)10次取均值，得出的對(duì)比結(jié)果如圖10所示。

從對(duì)比結(jié)果可以看出，RSA-Mixing[10]方案計(jì)算時(shí)間最長(zhǎng)，且耗時(shí)集中在密鑰生成階段，這是因?yàn)樵摲桨富诖笳麛?shù)因子分解問題，簽名的單位安全強(qiáng)度較低，同等安全強(qiáng)度下，所需的密鑰長(zhǎng)度最長(zhǎng)，而密鑰長(zhǎng)度的增加會(huì)導(dǎo)致加解密速度大大降低；Heilman[8]方案和本文方案計(jì)算時(shí)間較少，且耗時(shí)主要在盲化、盲簽名和驗(yàn)證階段，其中盲化和盲簽名階段兩方案耗時(shí)相近，驗(yàn)證階段Heilman[8]耗時(shí)約為本文方案的10倍，這是由于在驗(yàn)證階段，Heilman[8]方案中雙線對(duì)運(yùn)算的計(jì)算量較大。此外，Heilman[8]方案和本文方案的簽名單位安全強(qiáng)度較高，同等安全強(qiáng)度下，所需的密鑰長(zhǎng)度較短，因此存儲(chǔ)開銷小于RSA-Mixing[10]方案。

表4 計(jì)算和存儲(chǔ)開銷的量化比較

圖10 各盲簽名方案計(jì)算時(shí)間對(duì)比

Figure 10 Comparison of computing time of each blind signature scheme

表5 混幣服務(wù)開銷對(duì)比

表5中所列方案都是基于盲簽名的混幣服務(wù)方案，在所有對(duì)比方案中，RSA-Coinmix[10]和Blind-mixing[19]時(shí)間開銷最少，但不可審計(jì)，也不能防止盜竊攻擊，安全性較低。Lockcoin[9]、Blindcoin[7]和本文方案都具有可審計(jì)性，且Blindcoin[7]時(shí)間開銷最少，但Blindcoin[7]不能防止盜竊攻擊，存在風(fēng)險(xiǎn)。Lockcoin[9]和本文方案都具有可審計(jì)性，也能防止盜竊攻擊，但本文方案的時(shí)間開銷更低，效率更高。此外，所有對(duì)比方案的混幣費(fèi)用開銷相同。

4.3 混幣服務(wù)方案的特性分析

以理想的區(qū)塊鏈隱私匿名解決方案為衡量標(biāo)準(zhǔn)，討論本文所提可審計(jì)盲混幣服務(wù)方案，分析其具有的特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計(jì)性、可擴(kuò)展性和兼容性。

匿名性：混幣服務(wù)協(xié)議最重要的特性是匿名性，而匿名程度則以不可鏈接性和不可追蹤性來(lái)衡量。

（1）不可追蹤性

（2）不可鏈接性

圖11 追蹤攻擊分析

Figure 11 Tracking attack analysis

防DoS攻擊：在許多分布式混幣協(xié)議中，攻擊者進(jìn)行DoS攻擊主要通過用戶參與協(xié)議到一定程度后，拒絕轉(zhuǎn)移資金，導(dǎo)致操作失敗。在本文方案中，每個(gè)用戶只與混幣器交互，拒絕遵守協(xié)議，不影響其他用戶或減慢混幣過程。攻擊者還可以嘗試通過阻止資金交易和審計(jì)區(qū)塊鏈信息上鏈的方式，來(lái)進(jìn)行DoS攻擊。但這種方式是很難實(shí)際操作的，因?yàn)楣粽吆茈y控制大部分的礦池算力。此外，由于參與混幣服務(wù)需要收取費(fèi)用，針對(duì)混幣器發(fā)動(dòng)DoS攻擊，會(huì)給攻擊者帶來(lái)巨大的經(jīng)濟(jì)負(fù)擔(dān)。

防盜竊攻擊：由于混幣服務(wù)器支付了遠(yuǎn)超過單次混幣金額的押金，且協(xié)議中包含可審計(jì)的問責(zé)機(jī)制，混幣器違規(guī)盜用混幣資金將得不償失，從經(jīng)濟(jì)角度防止服務(wù)器盜竊混幣資金。

表6 不同方案的特性比較

可審計(jì)性：本文方案中使用審計(jì)區(qū)塊鏈作為審計(jì)日志，用戶和混幣服務(wù)器都需要遵守協(xié)議，在規(guī)定的時(shí)間，執(zhí)行相應(yīng)步驟。當(dāng)某一方違反協(xié)議時(shí)，第3.3節(jié)中的步驟5(a2)、步驟6(a2)、步驟7(a2)可以確保協(xié)議被正確問責(zé)。

可擴(kuò)展性：與Blindcoin[7]方案相似，混幣服務(wù)器可支撐擴(kuò)展到更多用戶，因?yàn)橛脩糁慌c中心混幣器交互，而不與彼此交互。此外，如果一個(gè)服務(wù)器達(dá)到瓶頸，則可以將混幣功能負(fù)載到幾個(gè)不同服務(wù)器上，所有的服務(wù)器均使用相同的加密密鑰進(jìn)行操作。

兼容性：本文方案的混幣協(xié)議可作為區(qū)塊鏈的一種服務(wù)，與現(xiàn)有區(qū)塊鏈系統(tǒng)兼容性高，如比特幣系統(tǒng)。

文獻(xiàn)[23]討論了主流的混幣服務(wù)方案具備的特性，本文選取了其中幾種典型方案[5-7,24-25]作為比較。此外，雖然在文獻(xiàn)[23]中未討論，但是比較典型[26-27]和新穎[9-10]的方案，本文也列出一并進(jìn)行比較，結(jié)果如表6所示。

從對(duì)比結(jié)果可知，與其余方案相比，Zerocoin[26]、Zerocash[27]、Lockcoin[9]和本文方案具有不可追蹤性、不可連接性、防DoS攻擊、防盜竊攻擊4項(xiàng)安全特性，具備更高的安全防護(hù)能力；而Zerocoin[26]和Zerocash[27]缺少可審計(jì)性和兼容性，存在問責(zé)困難和部署復(fù)雜的問題，Lockcoin[9]和本文方案則具有全部的6項(xiàng)特性；由4.2節(jié)混幣服務(wù)開銷分析可知，相較于Lockcoin[9]，本文方案開銷更低，效率更高。

5 結(jié)束語(yǔ)

本文介紹了一種高效安全保護(hù)隱私的混幣服務(wù)方案。該方案不僅能割裂輸入地址和輸出地址的鏈接，實(shí)現(xiàn)隱私保護(hù)的目的，具備較低的計(jì)算和存儲(chǔ)開銷，并且擁有良好的安全特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計(jì)性等。雖然所提方案具有較高的效率和安全性，但在等待交易的確定過程中，由于采用了工作量證明共識(shí)機(jī)制，存在交易時(shí)延較大的問題，未來(lái)可以繼續(xù)開展對(duì)共識(shí)機(jī)制的優(yōu)化研究，以提升執(zhí)行效率。

[1] DORIT R, SHAMIR A. Quantitative analysis of the full bitcoin transaction graph[C]//International Conference on Financial Cryptography and Data Security. 2013: 6-24.

[2] REID F, HARRIGAN M. An analysis of anonymity in the bitcoin system[M]//Security and privacy in social networks. 2013: 197-223.

[3] KOSHY P, KOSHY D, MCDANIEL P. An analysis of anonymity in bitcoin using P2P network traffic[C]//International Conference on Financial Cryptography and Data Security. 2014: 469-485.

[4] MILLER A, LITTON J, PACHULSKI A, et al. Discovering bitcoin’s public topology and influential nodes[R]. 2015.

[5] MAXWELL G. CoinJoin: bitcoin privacy for the real world[C]// Post on Bitcoin Forum. 2013.

[6] BONNEAU J, NARAYANAN A, MILLER A, ET al. Mixcoin: anonymity for bitcoin with accountable mixes[C]//International Conference on Financial Cryptography and Data Security. 2014: 486-504.

[7] VALENTA L, ROWAN B. Blindcoin: blinded, accountable mixes for bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2015: 112-126.

[8] HEILMAN E, BALDIMTSI F, GOLDBERG S. Blindly signed contracts: anonymous on-blockchain and off-blockchain bitcoin transactions[C]//International Conference on Financial Cryptography and Data Security. 2016: 43-60.

[9] BAO Z, WANG B, ZHANG Y, et al. Lockcoin: a secure and privacy-preserving mix service for bitcoin anonymity[J]. International Journal of Information Security, 2018, 19(3): 311-321.

[10] 吳文棟. 基于盲簽名技術(shù)的比特幣混幣系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 深圳: 深圳大學(xué), 2015.

WU W D. Bitcoin mix system design based on partial blind signature[D]. Shenzhen: Shenzhen University, 2015.

[11] FENG Q, HE D, ZEADALLY S, et al. A survey on privacy protection in blockchain system[J]. Journal of Network and Computer Applications, 2019, 126: 45-58.

[12] BIRYUKOV A, KHOVRATOVICH D, PUSTOGAROV I. Deanonymisation of clients in Bitcoin P2P network[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 15-29.

[13] SCHOTT P A. Reference guide to anti-money laundering and combating the financing of terrorism[M]. The World Bank, 2006.

[14] DUBOVITSKAYA A, XU Z, RYU S, et al. Secure and trustable electronic medical records sharing using blockchain[C]//AMIA Annual Symposium Proceedings. American Medical Informatics Association. 2017: 650.

[15] YAO Y, CHANG X, MI?? J, et al. BLA: blockchain-assisted lightweight anonymous authentication for distributed vehicular fog services[J]. IEEE Internet of Things Journal, 2019: 3775-3784.

[16] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2): 84-90.

[17] CHAUM D. Blind signatures for untraceable payments[C]//Advances in Cryptology. 1983: 199-203.

[18] ISLAM S K H, AMIN R, BISWAS G P, et al. Provably secure pairing-free identity-based partially blind signature scheme and its application in online e-cash system[J]. Arabian Journal for Science and Engineering, 2016, 41(8): 3163-3176.

[19] SHENTU Q C, YU J P. A blind-mixing scheme for Bitcoin based on an elliptic curve cryptography blind digital signature algorithm[J].Computer Science, 2015.

[20] CAMENISCH J L, PIVETEAU J M, STADLER M A. Blind signatures based on the discrete logarithm problem[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1994: 428-432.

[21] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[J]. Journal of the Franklin Institute, 2004, 239(2):135-139.

[22] 王化群, 張力軍, 趙君喜. 基于橢圓曲線的Schnorr盲簽名[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2005, 26(007):1819-1822.WANG H Q, ZHANG L J, ZHAO J X. Schnorr blind signature based on elliptic curve[J]. Computer Engineering and Design, 2005, 26(7): 1819-1822.

[23] CONTI M, KUMAR E S, LAL C, et al. A survey on security and privacy issues of bitcoin[J]. IEEE Communications Surveys & Tutorials, 2018, 20(4): 3416-3452.

[24] RUFFING T, MORENO-SANCHEZ P, KATE A. Coinshuffle: Practical decentralized coin mixing for bitcoin[C]//European Symposium on Research in Computer Security. 2014: 345-364.

[25] RUFFING T, MORENO-SANCHEZ P. ValueShuffle: mixing confidential transactions for comprehensive transaction privacy in bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2017: 133-154.

[26] MIERS I, GARMAN C, GREEN M, et al. Zerocoin: Anonymous distributed e-cash from bitcoin[C]//2013 IEEE Symposium on Security and Privacy. 2013: 397-411.

[27] SASSON E B, CHIESA A, GARMAN C, et al. Zerocash: Decentralized anonymous payments from bitcoin[C]//2014 IEEE Symposium on Security and Privacy. 2014: 459-474.

Efficient and safe auditable mixed-coin service scheme based on blind signature

QIAO Kang, TANG Hongbo, YOU Wei, LI Haitao

Information Engineering University, Zhengzhou 450001, China

The mixed-coin service can provide solutions for the privacy problem of blockchain, but it still faces efficiency bottlenecks and security risks. To further improve the efficiency and security protection of the mixed-coin service, an efficient and safe auditable mixed-coin service scheme based on blind signature was proposed. Firstly, this scheme added audit measures. It added an audit blockchain to the traditional mix-coin model to record the behavior of users and mixers, achieving traceability and accountability. Then, this method used elliptic curves algorithm to construct blind signatures instead of blind signature schemes based on bilinear pairs or RSA. Finally, this scheme proposed an auditable blind mix-coin service agreement based on the auditable mix-coin model and the blind signature algorithm based on elliptic curve.Simulation analysis shows that the proposed scheme has six security features, such as auditability and anti-theft attack, while providing privacy protection. Under the same security intensity, the proposed scheme can effectively reduce the computational overhead and storage overhead.

blockchain, auditable, mixed-coin, privacy protection

s: The National Key R&D Program Cyberspace Special (2016YFB0801605), The National Natural Science Foundation Innovation Group Project (61521003), The National Natural Science Foundation of China (61801515)

TP399

A

10.11959/j.issn.2096?109x.2020043

喬康（1994? ），男，四川邛崍人，信息工程大學(xué)碩士生，主要研究方向?yàn)橐苿?dòng)通信網(wǎng)絡(luò)安全和區(qū)塊鏈技術(shù)。

湯紅波（1968? ），男，湖北孝感人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)橐苿?dòng)通信網(wǎng)絡(luò)、新型網(wǎng)絡(luò)體系結(jié)構(gòu)。

游偉（1984?），男，江西豐城人，博士，信息工程大學(xué)講師，主要研究方向?yàn)槊艽a學(xué)和移動(dòng)通信網(wǎng)絡(luò)。

李海濤（1982? ），男，山東泰安人，信息工程大學(xué)講師，主要主要研究方向?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)挖掘。

論文引用格式：?jiǎn)炭? 湯洪波, 游偉, 等. 高效安全的可審計(jì)盲混幣服務(wù)方案[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(4): 23-36.

QIAO K, TANG H B, YOU W, et al. Efficient and safe auditable mixed-coin service scheme based on blind signature[J]. Chinese Journal of Network and Information Security, 2020, 6(4): 23-36.

2020?01?07；

2020?04?03

喬康，773441271@qq.com

國(guó)家重點(diǎn)研發(fā)計(jì)劃網(wǎng)絡(luò)空間專項(xiàng)（2016YFB0801605）；國(guó)家自然科學(xué)基金創(chuàng)新群體項(xiàng)目（61521003）；國(guó)家自然科學(xué)基金（61801515）