喬康，湯紅波，游偉，李海濤

高效安全的可審計盲混幣服務方案

喬康，湯紅波，游偉，李海濤

（信息工程大學，河南 鄭州 450001）

混幣服務能夠為區(qū)塊鏈隱私泄露問題提供解決方案，但仍然面臨效率瓶頸和安全風險，為進一步提升混幣服務的效率和安全防護能力，提出一種高效安全的可審計盲混幣服務方案。該方案首先增加了審計措施，在傳統(tǒng)的混幣模型基礎上，增加審計區(qū)塊鏈，以記錄用戶和混幣器行為，實現(xiàn)可追溯和可問責；然后利用橢圓曲線算法構(gòu)造盲簽名，替代現(xiàn)有研究中基于雙線性對或RSA的盲簽名算法；最后基于可審計的混幣模型和新構(gòu)造的盲簽名算法，提出可審計的盲混幣服務協(xié)議。仿真分析表明，所提方案在提供隱私保護的同時，具有可審計性、抗盜竊攻擊等6種安全特性；在同等安全強度下，較對比方案，所提方法能夠有效降低計算開銷和存儲開銷。

區(qū)塊鏈；可審計；混幣服務；隱私保護

1 引言

區(qū)塊鏈作為一種公開的賬本系統(tǒng)，交易信息被收集并詳細記錄在其中，任何參與者都可以查詢鏈上信息，故其面臨嚴重的隱私泄露風險。為保護用戶隱私，區(qū)塊鏈提供一定的假名性，用戶可以在本地，通過一系列密碼學變換，自行生成與身份信息無關(guān)的隨機地址。這類隨機地址（或假名）通常作為交易輸入和輸出的賬號，雖然與傳統(tǒng)賬號相比，具有較好的匿名性，但只能提供有限的隱私保護。攻擊者通過跟蹤和分析區(qū)塊鏈交易，配合地址ID、IP信息等可以追查到賬戶和交易的關(guān)聯(lián)性，進而推測出交易隱私和身份隱私。例如，Dorit等[1]通過分析比特幣的歷史賬本，得出相關(guān)交易之間的許多統(tǒng)計特征。Reid等[2]證明多個假名地址可以鏈接到單個用戶地址。Koshy等[3]介紹了將比特幣地址直接映射到IP地址的方法。Miller等[4]公布了一種發(fā)現(xiàn)比特幣網(wǎng)絡拓撲以及關(guān)鍵節(jié)點的技術(shù)AddressProbe。和傳統(tǒng)領域不同，區(qū)塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露，無法挽救，因此，區(qū)塊鏈系統(tǒng)應該更加重視隱私防護問題，同時迫切需要為區(qū)塊鏈用戶提供完整的隱私保護服務。

一種直觀的區(qū)塊鏈隱私保護方法被稱為混幣?；鞄攀窃诓桓淖兘灰捉Y(jié)果的前提下，通過對交易內(nèi)容進行混淆，從而增加攻擊難度的隱私保護方法。2013年，Maxwell等[5]提出第一個混幣方案CoinJoin，通過割裂輸入地址和輸出地址的聯(lián)系，達到保護用戶交易隱私的目的。2014年，Bonneau等[6]提出一種改進的混幣方案Mixcoin，增加審計功能，監(jiān)管混幣服務器的行為，防止混幣服務器違規(guī)操作。2015年，Valenta等[7]在Mixcoin的基礎上，提出一種采用盲簽名技術(shù)的方案Blindcoin，以防止混幣服務器泄露混幣地址的鏈接關(guān)系。2016年，Heilman等[8]采用盲簽名和智能合約技術(shù)，通過智能合約提供可自動強制執(zhí)行的協(xié)議，能同時為鏈上區(qū)塊鏈交易和鏈下區(qū)塊鏈交易提供匿名保護。2018年，Bao等[9]在Blindcoin的基礎之上，利用多簽名技術(shù)對混幣方案進一步優(yōu)化，他們設計的Lockcoin方案不僅能夠防止混幣服務器建立輸入地址和輸出地址間的映射關(guān)系，而且能夠預防混幣服務器篡改輸出地址來盜竊用戶資金。

在早期的混幣方案中，如CoinJoin[5]和Mixcoin[6]方案，為正確完成混幣操作且輸出到相應的用戶地址，混幣服務器了解全部的混幣信息，用戶的輸入地址和輸出地址對于混幣服務器而言是透明的，存在嚴重的隱私泄露風險。為防御這類隱私泄露風險，研究者提出采用盲簽名技術(shù)的改進方案，確?；鞄欧掌髟谡Ｌ峁┗煜盏耐瑫r，無法建立輸入和輸出地址之間的關(guān)聯(lián)性，如Blindcoin[7]、Lockcoin[9]、RSA-Coinmix[10]方案。這些采用盲簽名技術(shù)的方案能夠有效抵御混幣器泄露區(qū)塊鏈用戶隱私的風險，但存在計算和存儲開銷較大的問題。例如，Blindcoin和Heilman采用基于雙線性對（bilinear pairing）的盲簽名方案，RSA-Coinmix和Lockcoin則采用基于RSA算法的盲簽名方案。基于雙線性對問題構(gòu)造的簽名單位安全強度高，同等安全強度下，所需密鑰長度短，但雙線性對運算計算開銷較大。而RSA算法基于大整數(shù)因子分解問題，基于RSA算法構(gòu)造的簽名計算開銷較小，但簽名的單位安全強度較低，同等安全強度下，所需密鑰長度較長，存儲開銷較大。目前，計算和存儲開銷是限制區(qū)塊鏈發(fā)展的瓶頸，因此在滿足安全強度的條件下，需要設計更高效節(jié)能的盲簽名方案。此外，混幣服務器存在盜竊資金的風險，而用戶也存在拖延支付的可能，任何一方的違規(guī)操作，都會造成安全性和執(zhí)行效率下降，因此，需要設計可審計的混幣協(xié)議來同時監(jiān)管混幣器和用戶兩方的行為，確保混幣服務的安全高效。

本文首先在Blindcoin[7]方案的基礎之上，設計了包含用戶、混幣器、審計區(qū)塊鏈三類實體的混幣服務系統(tǒng)模型；其次，利用仿射變換構(gòu)造盲簽名的方法，將Schnorr盲簽名方案在橢圓曲線上進行模擬，并采用3個隨機盲化參數(shù)，構(gòu)造基于橢圓曲線的Schnorr強盲簽名方案；最后，在混幣服務系統(tǒng)模型下，應用所構(gòu)造的Schnorr強盲簽名方案，并采用經(jīng)濟懲罰機制和公共日志審計措施，提出了高效安全的可審計盲混幣服務協(xié)議。

2 背景

2.1 區(qū)塊鏈的隱私需求

為了保護用戶隱私，區(qū)塊鏈需要滿足以下要求：①交易之間的鏈接關(guān)系式不可見或不可被分析；②交易內(nèi)容僅對實際參與者可見。對于私有鏈或許可鏈而言，通過設置訪問控制策略，可以增加非法節(jié)點進入?yún)^(qū)塊鏈系統(tǒng)的難度，降低數(shù)據(jù)透明度，從而提升隱私防護能力。但是，區(qū)塊鏈中的節(jié)點通常是個人計算機或手機，安全防護能力低，容易遭受攻擊者的攻擊。此外，在公有鏈場景下，每個用戶都可以自由地訪問區(qū)塊鏈系統(tǒng)，能夠查看并下載全局賬本信息，存在極大的隱私泄露風險。為抵御風險，文獻[11]將區(qū)塊鏈的隱私需求劃分為身份隱私和交易隱私兩方面。

身份隱私指區(qū)塊鏈中的用戶信息（包括地址信息和交易內(nèi)容）和用戶真實身份之間的映射關(guān)系。在區(qū)塊鏈中，用戶可以在本地通過一系列密碼學變換，自行生成與身份信息無關(guān)的隨機地址。該地址通常作為交易輸入和輸出的賬號，雖然與傳統(tǒng)賬號相比，具有較好的匿名性，但這類隨機地址（或假名）只能提供有限的身份隱私保護。當用戶通過隨機地址參與區(qū)塊鏈交易時，攻擊者通過遍歷賬本信息，分析區(qū)塊鏈交易的網(wǎng)絡傳播規(guī)律[12]，配合使用一些行為分析策略[13]，能夠推測出區(qū)塊鏈用戶的真實身份信息。

交易隱私指區(qū)塊鏈交易內(nèi)容和交易內(nèi)容背后的敏感信息之間的關(guān)聯(lián)性。公開的交易記錄能夠反映一些敏感信息，如用戶的購買記錄，能夠反映用戶的消費水平和購買喜好。此外，在許多基于區(qū)塊鏈的應用中，如電子醫(yī)療記錄管理[14]、匿名的身份驗證和授權(quán)[15]等，區(qū)塊鏈上存儲的交易記錄涉及重要的用戶敏感信息。和傳統(tǒng)領域不同，區(qū)塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露就無法挽救，因此區(qū)塊鏈系統(tǒng)應該更加重視隱私防護問題。

為提高區(qū)塊鏈系統(tǒng)隱私防護的能力，理想的解決方案應該包括以下幾種特征。

1) 匿名性：用戶是唯一知道輸入地址和輸出地址鏈接關(guān)系的實體。

2) 可擴展性：該系統(tǒng)具備良好的可擴展性，能容納多個用戶。

3) 兼容性：該系統(tǒng)能夠兼容現(xiàn)有的區(qū)塊鏈系統(tǒng)，如比特幣、以太坊。

4) 可審計性（僅限混幣服務）：當協(xié)議無法正常執(zhí)行時，參與混幣的雙方都能獲取錯誤操作的證據(jù)。

2.2 混幣服務

在區(qū)塊鏈中，交易的輸入地址和輸出地址是可鏈接的，通過分析公開賬本的內(nèi)容，能夠推斷出一些隱私信息。針對此類攻擊，一種直觀的防護方案是借助中間混幣器來混淆交易地址的關(guān)系。1981年，Chaum首次提出混幣服務的思想[16]，起初的目的是通過混幣器來隱藏參與者的通信內(nèi)容，從而實現(xiàn)匿名通信。混幣服務的基本思想可表達為

文獻[13]介紹了混幣服務的基礎架構(gòu)，如圖1所示，多個輸入經(jīng)中間混幣服務器執(zhí)行混淆操作后依次輸出，為了隱藏輸入到達的順序，混幣器將通過隨機排序的方式打亂輸出順序。此外，為盡可能減小單個混幣器受攻擊的風險，可以將多個混幣器連接在一起，構(gòu)成級聯(lián)混幣器，提升防護能力。

圖1 混幣服務的基礎架構(gòu)

Figure 1 Infrastructure of mixed-coin service

2.3 盲簽名

盲簽名是由Chaum[17]在1983年提出的一種數(shù)字簽名方式，其通過允許文檔提供者在簽名者對文檔不可見的情況下，獲得“盲”文檔簽名的方式，來為實際文檔內(nèi)容提供隱私。由于文檔內(nèi)容在簽名之前對簽名者而言是不可見的（或盲化的），因此盲簽名可有效保護簽名內(nèi)容，在電子選舉和數(shù)字金融領域已有廣泛應用[18]。文獻[19]介紹了一般簽名方案和盲簽名方案的對比，如圖2所示。在圖2(a)所示的一般簽名方案中，簽名者根據(jù)已知的消息內(nèi)容產(chǎn)生數(shù)字簽名。與一般的簽名方案相比，盲簽名的過程如圖2(b)所示。簽名請求方對消息執(zhí)行盲化操作，并將盲消息發(fā)送給簽名者。簽名者簽署盲消息并將盲簽名返回給請求方，然后請求方解盲簽名以獲得原始消息上的簽名。

圖2 一般簽名方案和盲簽名方案的對比

Figure 2 Comparison of general signature scheme and blind signature scheme

該方案有效的原因如下。

3 盲混幣服務方案

3.1 盲混幣服務的系統(tǒng)模型

在Blindcoin[7]方案的基礎上，本文設計了盲混幣服務的系統(tǒng)模型，如圖3所示，該模型包含3個主要實體，分別是混幣服務器（M，mixer）、用戶（U，user）和審計區(qū)塊鏈（audit blockchain）。

圖3 盲混幣服務的系統(tǒng)模型

Figure 3 System model of blind mixed-coin service

審計區(qū)塊鏈：審計區(qū)塊鏈是混幣服務的監(jiān)督者，可看作一塊只可添加不可更改的公告板，用于第三方驗證。審計區(qū)塊鏈以區(qū)塊鏈的形式分享信息，發(fā)送方可通過交易的方式將證據(jù)信息記錄在區(qū)塊鏈上。用戶和混幣器均可發(fā)布區(qū)塊鏈消息，并且消息一經(jīng)發(fā)布不可刪除。如果用戶和混幣器中任何一方違反協(xié)議，通過審計區(qū)塊鏈中包含的公開信息，可證明違規(guī)方的行為。

盲混幣服務系統(tǒng)模型包含許多參數(shù)，具體如表1所示，除了模型圖中涉及的參數(shù)外，還將在3.3節(jié)盲混幣服務協(xié)議中被大量應用。

3.2 基于橢圓曲線的Schnorr強盲簽名

表1 盲混幣服務系統(tǒng)模型參數(shù)

圖4 Schnorr強盲簽名協(xié)議

Figure 4 Schnorr strong blind signature protocol

Schnorr強盲簽名協(xié)議執(zhí)行步驟如下。

可用性證明如下。

一般來說，不可偽造性、不可抵賴性、盲性、不可跟蹤性4條性質(zhì)既是設計盲簽名所遵循的標準，也是判斷盲簽名安全性的依據(jù)。因此，以這4條性質(zhì)為標準，對基于橢圓曲線的Schnorr強盲簽名方案進行安全分析，該方案具有以下安全特性。

3.3 可審計的盲混幣服務協(xié)議

本節(jié)介紹可審計的盲混幣服務協(xié)議，該協(xié)議是在3.1節(jié)介紹的盲混幣服務系統(tǒng)模型下，應用3.2節(jié)提出的基于橢圓曲線的Schnorr強盲簽名方案，并采用經(jīng)濟懲罰機制和審計措施，設計的一種高效安全的服務協(xié)議。經(jīng)濟懲罰機制指利用博弈論的思想，通過經(jīng)濟獎懲來制約混幣服務器和用戶雙方的行為。一方面，針對混幣服務器，在混幣服務器提供混幣服務之前，要求混幣服務器預置大額誠信押金（遠超單次混幣金額）作為信用擔保。若混幣服務器正常提供服務，則在每次混幣服務后可獲取相應獎勵，并且誠信押金可贖回，若混幣服務器執(zhí)行違規(guī)操作，故意延遲或者盜用資金，一經(jīng)核實，誠信押金將被全部罰沒。另一方面，針對用戶，混幣服務之前用戶將混幣資金轉(zhuǎn)移到混幣服務器，若正常執(zhí)行流程，則完成混幣需求，若故意延遲或惡意發(fā)起申請（DoS攻擊），一經(jīng)核實，混幣資金將被罰沒作為混幣服務器的費用。為最大化收益，混幣服務器和用戶都會遵守協(xié)議規(guī)則，確保協(xié)議的正常執(zhí)行。審計措施指利用審計區(qū)塊鏈不可篡改的特性，記錄混幣服務器和用戶的混幣信息，作為審核其行為的可信證據(jù)。與現(xiàn)有的方案相比，本文提出的可審計盲混幣服務協(xié)議，主要的特點是高效性，通過應用基于橢圓曲線的Schnorr強盲簽名，降低了簽名過程的存儲開銷和計算開銷?？蓪徲嬅せ鞄欧諈f(xié)議流程如圖5所示。

圖5 可審計的盲混幣服務協(xié)議

Figure 5 Auditable blind mixed-coin service protocol

可審計的盲混幣服務協(xié)議過程具體步驟如下。

Step1 系統(tǒng)初始化。

Step2 混幣服務請求。

Step3(a) 托管地址分發(fā)。

Step3(b) 混幣服務拒絕。

Step4(a1) 盲化。

Step4(b) 驗證。

Step5(a1) 盲簽名。

Step5(b) 驗證。

Step6(a1) 解盲。

Step6(b) 驗證。

Step7(a1) 混幣服務完成。

Step7(b) 驗證。

4 實驗與分析

4.1 強盲簽名算法的有效性驗證

強盲簽名算法實現(xiàn)流程如圖6所示，主要包括獲取全局參數(shù)、生成公鑰和私鑰、獲取隨機數(shù)和盲化因子、盲化、盲簽名、解盲、驗證這7個流程。

盲簽名算法的有效性驗證實驗在配置為Intel Core i3-3110M @2.40 GHz CPU和4 GB內(nèi)存的計算機上進行，操作系統(tǒng)為64位Windows7系統(tǒng)。在Eclipse平臺上用Java語言編程實現(xiàn)基于橢圓曲線的Schnorr強盲簽名算法，算法實現(xiàn)如圖7所示。

實驗表明，經(jīng)過盲化、盲簽名、解盲、驗證后，得到結(jié)果為true，說明本文設計的基于橢圓曲線的Schnorr強盲簽名算法是可行有效的。

4.2 盲混幣服務方案的性能分析

盲混幣服務方案的性能分析包括盲簽名方案的效率分析和混幣服務的開銷分析兩方面。下面介紹盲簽名方案的效率分析，盲簽名算法主要分為密鑰生成、盲化、盲簽名、解盲和驗證5個步驟，每個步驟都會產(chǎn)生計算開銷和存儲開銷。計算開銷以計算時間來衡量，存儲開銷以密鑰長度和盲簽名長度來衡量。為保證安全強度，本文設計的基于橢圓曲線的Schnorr強盲簽名方案采用256位密鑰長度。為評估本文盲簽名算法的計算效率，以程序運行時間作為計算時間的實驗統(tǒng)計值，在4.1節(jié)實驗條件下，分別取用戶數(shù)目為10、100、500、1 000、3 000、5 000、7 000、10 000進行測試，每次測試重復10次取均值，統(tǒng)計各步驟的運行時間，統(tǒng)計結(jié)果如表2所示。

圖6 強盲簽名算法實現(xiàn)流程

Figure 6 Strong blind signature algorithm implementation process

圖7 強盲簽名的算法實現(xiàn)

Figure 7 Algorithm implementation of strong blind signature

表2 盲簽名方案的計算開銷統(tǒng)計

從表2的統(tǒng)計結(jié)果可以看出各步驟運行時間和用戶數(shù)目的關(guān)系，為更直觀展示其中的關(guān)系變化和趨勢，通過Matlab繪制分析圖，結(jié)果如圖8、圖9所示。圖8展示了運行時間占比和用戶數(shù)目的關(guān)系，當用戶數(shù)低于500時，密鑰生成的運行時間占比最大，超過0.5，隨著用戶數(shù)目的增加，密鑰生成的運行時間占比逐漸減少，而盲化和驗證過程的運行時間占比逐漸增加，當用戶數(shù)超過7 000時，密鑰生成、盲化和驗證的運行時間占比趨于穩(wěn)定，都為0.3左右。圖9(a)展示了運行總時間和用戶數(shù)目的關(guān)系，隨著用戶數(shù)目的增加，總的運行時間逐漸增加，大致呈線性趨勢；圖9(b)展示了平均運行總時間和用戶數(shù)目的關(guān)系，隨著用戶數(shù)目的增加，平均每個用戶的運行時間逐漸減少，且當用戶數(shù)大于1 000以后，平均每個用戶的運行時間趨于穩(wěn)定。圖8、圖9的結(jié)果說明本文盲簽名方案具有一定的可擴展性，能夠支持大規(guī)模的用戶請求。

圖8 運行時間占比和用戶數(shù)目的關(guān)系

Figure 8 The relationship between the proportion of running time and the number of users

為進一步評估盲簽名方案的效率，選擇采用基于雙線性對盲簽名的Heilman[8]方案和基于RSA算法盲簽名的RSA-Mixing[10]方案作為對比，對比結(jié)果如表3所示。

本文的盲簽名算法是基于橢圓曲線上的離散對數(shù)問題構(gòu)造簽名密鑰，Heilman[8]方案是基于橢圓曲線上的雙線性對問題構(gòu)造密鑰，而雙線性對問題是依賴群上的離散對數(shù)問題，因此，本質(zhì)上本文方案和Heilman[8]方案都基于橢圓曲線上的離散對數(shù)問題構(gòu)造簽名密鑰。RSA-Mixing[10]方案則基于大整數(shù)因子分解問題構(gòu)造密鑰。因為基于橢圓曲線上的離散對數(shù)問題構(gòu)造的簽名單位安全強度高于基于大整數(shù)因子分解問題構(gòu)造的簽名，所以在提供同等安全強度時，前者所需密鑰長度更短。在本文的對比實驗中，本文方案和Heilman[8]方案選擇256 bit的密鑰長度，RSA-Mixing[10]方案則選擇1 024 bit密鑰長度。

圖9 運行總時間和用戶數(shù)目的關(guān)系

Figure 9 The relationship between the total running time and the number of users requested

表3 盲簽名方案的算法運算過程

取=1 000，代表10 000個用戶請求盲簽名，在4.1節(jié)實驗條件下，分別部署3個盲簽名算法，每次實驗重復10次取均值，得出的對比結(jié)果如圖10所示。

從對比結(jié)果可以看出，RSA-Mixing[10]方案計算時間最長，且耗時集中在密鑰生成階段，這是因為該方案基于大整數(shù)因子分解問題，簽名的單位安全強度較低，同等安全強度下，所需的密鑰長度最長，而密鑰長度的增加會導致加解密速度大大降低；Heilman[8]方案和本文方案計算時間較少，且耗時主要在盲化、盲簽名和驗證階段，其中盲化和盲簽名階段兩方案耗時相近，驗證階段Heilman[8]耗時約為本文方案的10倍，這是由于在驗證階段，Heilman[8]方案中雙線對運算的計算量較大。此外，Heilman[8]方案和本文方案的簽名單位安全強度較高，同等安全強度下，所需的密鑰長度較短，因此存儲開銷小于RSA-Mixing[10]方案。

表4 計算和存儲開銷的量化比較

圖10 各盲簽名方案計算時間對比

Figure 10 Comparison of computing time of each blind signature scheme

表5 混幣服務開銷對比

表5中所列方案都是基于盲簽名的混幣服務方案，在所有對比方案中，RSA-Coinmix[10]和Blind-mixing[19]時間開銷最少，但不可審計，也不能防止盜竊攻擊，安全性較低。Lockcoin[9]、Blindcoin[7]和本文方案都具有可審計性，且Blindcoin[7]時間開銷最少，但Blindcoin[7]不能防止盜竊攻擊，存在風險。Lockcoin[9]和本文方案都具有可審計性，也能防止盜竊攻擊，但本文方案的時間開銷更低，效率更高。此外，所有對比方案的混幣費用開銷相同。

4.3 混幣服務方案的特性分析

以理想的區(qū)塊鏈隱私匿名解決方案為衡量標準，討論本文所提可審計盲混幣服務方案，分析其具有的特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計性、可擴展性和兼容性。

匿名性：混幣服務協(xié)議最重要的特性是匿名性，而匿名程度則以不可鏈接性和不可追蹤性來衡量。

（1）不可追蹤性

（2）不可鏈接性

圖11 追蹤攻擊分析

Figure 11 Tracking attack analysis

防DoS攻擊：在許多分布式混幣協(xié)議中，攻擊者進行DoS攻擊主要通過用戶參與協(xié)議到一定程度后，拒絕轉(zhuǎn)移資金，導致操作失敗。在本文方案中，每個用戶只與混幣器交互，拒絕遵守協(xié)議，不影響其他用戶或減慢混幣過程。攻擊者還可以嘗試通過阻止資金交易和審計區(qū)塊鏈信息上鏈的方式，來進行DoS攻擊。但這種方式是很難實際操作的，因為攻擊者很難控制大部分的礦池算力。此外，由于參與混幣服務需要收取費用，針對混幣器發(fā)動DoS攻擊，會給攻擊者帶來巨大的經(jīng)濟負擔。

防盜竊攻擊：由于混幣服務器支付了遠超過單次混幣金額的押金，且協(xié)議中包含可審計的問責機制，混幣器違規(guī)盜用混幣資金將得不償失，從經(jīng)濟角度防止服務器盜竊混幣資金。

表6 不同方案的特性比較

可審計性：本文方案中使用審計區(qū)塊鏈作為審計日志，用戶和混幣服務器都需要遵守協(xié)議，在規(guī)定的時間，執(zhí)行相應步驟。當某一方違反協(xié)議時，第3.3節(jié)中的步驟5(a2)、步驟6(a2)、步驟7(a2)可以確保協(xié)議被正確問責。

可擴展性：與Blindcoin[7]方案相似，混幣服務器可支撐擴展到更多用戶，因為用戶只與中心混幣器交互，而不與彼此交互。此外，如果一個服務器達到瓶頸，則可以將混幣功能負載到幾個不同服務器上，所有的服務器均使用相同的加密密鑰進行操作。

兼容性：本文方案的混幣協(xié)議可作為區(qū)塊鏈的一種服務，與現(xiàn)有區(qū)塊鏈系統(tǒng)兼容性高，如比特幣系統(tǒng)。

文獻[23]討論了主流的混幣服務方案具備的特性，本文選取了其中幾種典型方案[5-7,24-25]作為比較。此外，雖然在文獻[23]中未討論，但是比較典型[26-27]和新穎[9-10]的方案，本文也列出一并進行比較，結(jié)果如表6所示。

從對比結(jié)果可知，與其余方案相比，Zerocoin[26]、Zerocash[27]、Lockcoin[9]和本文方案具有不可追蹤性、不可連接性、防DoS攻擊、防盜竊攻擊4項安全特性，具備更高的安全防護能力；而Zerocoin[26]和Zerocash[27]缺少可審計性和兼容性，存在問責困難和部署復雜的問題，Lockcoin[9]和本文方案則具有全部的6項特性；由4.2節(jié)混幣服務開銷分析可知，相較于Lockcoin[9]，本文方案開銷更低，效率更高。

5 結(jié)束語

本文介紹了一種高效安全保護隱私的混幣服務方案。該方案不僅能割裂輸入地址和輸出地址的鏈接，實現(xiàn)隱私保護的目的，具備較低的計算和存儲開銷，并且擁有良好的安全特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計性等。雖然所提方案具有較高的效率和安全性，但在等待交易的確定過程中，由于采用了工作量證明共識機制，存在交易時延較大的問題，未來可以繼續(xù)開展對共識機制的優(yōu)化研究，以提升執(zhí)行效率。

[1] DORIT R, SHAMIR A. Quantitative analysis of the full bitcoin transaction graph[C]//International Conference on Financial Cryptography and Data Security. 2013: 6-24.

[2] REID F, HARRIGAN M. An analysis of anonymity in the bitcoin system[M]//Security and privacy in social networks. 2013: 197-223.

[3] KOSHY P, KOSHY D, MCDANIEL P. An analysis of anonymity in bitcoin using P2P network traffic[C]//International Conference on Financial Cryptography and Data Security. 2014: 469-485.

[4] MILLER A, LITTON J, PACHULSKI A, et al. Discovering bitcoin’s public topology and influential nodes[R]. 2015.

[5] MAXWELL G. CoinJoin: bitcoin privacy for the real world[C]// Post on Bitcoin Forum. 2013.

[6] BONNEAU J, NARAYANAN A, MILLER A, ET al. Mixcoin: anonymity for bitcoin with accountable mixes[C]//International Conference on Financial Cryptography and Data Security. 2014: 486-504.

[7] VALENTA L, ROWAN B. Blindcoin: blinded, accountable mixes for bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2015: 112-126.

[8] HEILMAN E, BALDIMTSI F, GOLDBERG S. Blindly signed contracts: anonymous on-blockchain and off-blockchain bitcoin transactions[C]//International Conference on Financial Cryptography and Data Security. 2016: 43-60.

[9] BAO Z, WANG B, ZHANG Y, et al. Lockcoin: a secure and privacy-preserving mix service for bitcoin anonymity[J]. International Journal of Information Security, 2018, 19(3): 311-321.

[10] 吳文棟. 基于盲簽名技術(shù)的比特幣混幣系統(tǒng)設計與實現(xiàn)[D]. 深圳: 深圳大學, 2015.

WU W D. Bitcoin mix system design based on partial blind signature[D]. Shenzhen: Shenzhen University, 2015.

[11] FENG Q, HE D, ZEADALLY S, et al. A survey on privacy protection in blockchain system[J]. Journal of Network and Computer Applications, 2019, 126: 45-58.

[12] BIRYUKOV A, KHOVRATOVICH D, PUSTOGAROV I. Deanonymisation of clients in Bitcoin P2P network[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 15-29.

[13] SCHOTT P A. Reference guide to anti-money laundering and combating the financing of terrorism[M]. The World Bank, 2006.

[14] DUBOVITSKAYA A, XU Z, RYU S, et al. Secure and trustable electronic medical records sharing using blockchain[C]//AMIA Annual Symposium Proceedings. American Medical Informatics Association. 2017: 650.

[15] YAO Y, CHANG X, MI?? J, et al. BLA: blockchain-assisted lightweight anonymous authentication for distributed vehicular fog services[J]. IEEE Internet of Things Journal, 2019: 3775-3784.

[16] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2): 84-90.

[17] CHAUM D. Blind signatures for untraceable payments[C]//Advances in Cryptology. 1983: 199-203.

[18] ISLAM S K H, AMIN R, BISWAS G P, et al. Provably secure pairing-free identity-based partially blind signature scheme and its application in online e-cash system[J]. Arabian Journal for Science and Engineering, 2016, 41(8): 3163-3176.

[19] SHENTU Q C, YU J P. A blind-mixing scheme for Bitcoin based on an elliptic curve cryptography blind digital signature algorithm[J].Computer Science, 2015.

[20] CAMENISCH J L, PIVETEAU J M, STADLER M A. Blind signatures based on the discrete logarithm problem[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1994: 428-432.

[21] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[J]. Journal of the Franklin Institute, 2004, 239(2):135-139.

[22] 王化群, 張力軍, 趙君喜. 基于橢圓曲線的Schnorr盲簽名[J]. 計算機工程與設計, 2005, 26(007):1819-1822.WANG H Q, ZHANG L J, ZHAO J X. Schnorr blind signature based on elliptic curve[J]. Computer Engineering and Design, 2005, 26(7): 1819-1822.

[23] CONTI M, KUMAR E S, LAL C, et al. A survey on security and privacy issues of bitcoin[J]. IEEE Communications Surveys & Tutorials, 2018, 20(4): 3416-3452.

[24] RUFFING T, MORENO-SANCHEZ P, KATE A. Coinshuffle: Practical decentralized coin mixing for bitcoin[C]//European Symposium on Research in Computer Security. 2014: 345-364.

[25] RUFFING T, MORENO-SANCHEZ P. ValueShuffle: mixing confidential transactions for comprehensive transaction privacy in bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2017: 133-154.

[26] MIERS I, GARMAN C, GREEN M, et al. Zerocoin: Anonymous distributed e-cash from bitcoin[C]//2013 IEEE Symposium on Security and Privacy. 2013: 397-411.

[27] SASSON E B, CHIESA A, GARMAN C, et al. Zerocash: Decentralized anonymous payments from bitcoin[C]//2014 IEEE Symposium on Security and Privacy. 2014: 459-474.

Efficient and safe auditable mixed-coin service scheme based on blind signature

QIAO Kang, TANG Hongbo, YOU Wei, LI Haitao

Information Engineering University, Zhengzhou 450001, China

The mixed-coin service can provide solutions for the privacy problem of blockchain, but it still faces efficiency bottlenecks and security risks. To further improve the efficiency and security protection of the mixed-coin service, an efficient and safe auditable mixed-coin service scheme based on blind signature was proposed. Firstly, this scheme added audit measures. It added an audit blockchain to the traditional mix-coin model to record the behavior of users and mixers, achieving traceability and accountability. Then, this method used elliptic curves algorithm to construct blind signatures instead of blind signature schemes based on bilinear pairs or RSA. Finally, this scheme proposed an auditable blind mix-coin service agreement based on the auditable mix-coin model and the blind signature algorithm based on elliptic curve.Simulation analysis shows that the proposed scheme has six security features, such as auditability and anti-theft attack, while providing privacy protection. Under the same security intensity, the proposed scheme can effectively reduce the computational overhead and storage overhead.

blockchain, auditable, mixed-coin, privacy protection

s: The National Key R&D Program Cyberspace Special (2016YFB0801605), The National Natural Science Foundation Innovation Group Project (61521003), The National Natural Science Foundation of China (61801515)

TP399

A

10.11959/j.issn.2096?109x.2020043

喬康（1994? ），男，四川邛崍人，信息工程大學碩士生，主要研究方向為移動通信網(wǎng)絡安全和區(qū)塊鏈技術(shù)。

湯紅波（1968? ），男，湖北孝感人，信息工程大學教授、博士生導師，主要研究方向為移動通信網(wǎng)絡、新型網(wǎng)絡體系結(jié)構(gòu)。

游偉（1984?），男，江西豐城人，博士，信息工程大學講師，主要研究方向為密碼學和移動通信網(wǎng)絡。

李海濤（1982? ），男，山東泰安人，信息工程大學講師，主要主要研究方向為網(wǎng)絡數(shù)據(jù)挖掘。

論文引用格式：喬康, 湯洪波, 游偉, 等. 高效安全的可審計盲混幣服務方案[J]. 網(wǎng)絡與信息安全學報, 2020, 6(4): 23-36.

QIAO K, TANG H B, YOU W, et al. Efficient and safe auditable mixed-coin service scheme based on blind signature[J]. Chinese Journal of Network and Information Security, 2020, 6(4): 23-36.

2020?01?07；

2020?04?03

喬康，773441271@qq.com

國家重點研發(fā)計劃網(wǎng)絡空間專項（2016YFB0801605）；國家自然科學基金創(chuàng)新群體項目（61521003）；國家自然科學基金（61801515）