可監管的比特幣隱私保護混淆服務

包子健，王慶豪，張永欣，王斌，魯寧，史聞博

可監管的比特幣隱私保護混淆服務

包子健1,2，王慶豪1,2，張永欣1,2，王斌1,2，魯寧1,2，史聞博1,2

（1. 東北大學計算機科學與工程學院，遼寧 沈陽 110089；2. 東北大學秦皇島分校計算機科學與通信工程學院，河北 秦皇島 066004)

隨著比特幣隱私保護研究的深入，比特幣作為一種新型“數字貨幣”變得更加難以監管。針對該問題，提出了一種可監管的比特幣隱私保護混淆方案RBmix。RBmix模型使用公平盲簽名算法，并引入可信第三方，具有可監管性、匿名性、可擴展性、比特幣兼容性以及抗DoS攻擊性。實驗結果表明RBmix協議具有良好的擴展性和執行效率。

比特幣；隱私保護；可監管；公平盲簽名

1 引言

比特幣[1]是一種新型的“數字貨幣”，由于具有去中心化、不可篡改、匿名性等特點，一經公布就受到了社會各界的廣泛關注。近幾年，比特幣發展迅速，交易規模不斷擴大。截止到2019年1月，比特幣的市值已經達到665億美元，全球用戶數量高達1 000萬，平均日交易額達到49億美元[2]。目前，比特幣的總量約1 769萬個，預計至2045年，99.95%的比特幣將會發行完畢。

隨著比特幣的發展，其面臨的隱私泄露問題日益突出。雖然比特幣用戶與其地址之間的無聯系性可以在一定程度上保護用戶的隱私[3]，但比特幣的交易數據對全網公開，攻擊者能夠通過分析交易集合威脅比特幣系統的隱私安全。近期的研究表明[4-8]，通過對交易進行分析以及使用一些現實攻擊的方法，攻擊者可以輕松地獲取用戶的隱私。因此，隱私保護逐漸成為比特幣領域的重要研究方向之一。目前，許多學者針對比特幣隱私問題提出了相應隱私保護方案。

比特幣隱私保護方案可以保證用戶的隱私安全，但也會導致不法分子利用其進行黑市交易、跨境洗錢等非法活動。現有的大多數交易機制建立在銀行或第三方支付平臺的信用基礎上，可信的第三方機構保證了用戶交易的安全性，且能夠對非法用戶進行追蹤與處罰。而在比特幣系統中，執法部門很難對違法的比特幣交易進行追溯和處罰。由于缺少可監管性，世界各國對比特幣都持謹慎態度：俄羅斯、泰國等國嚴格限制比特幣的流通，美國等接受比特幣的國家強調要將比特幣納入國家監管體系中[9]。我國對此也采取了相應措施，早在2013年，中國央行等五部委就發布了《關于防范比特幣風險的通知》[10]，其中明確指出了比特幣存在的洗錢風險。2017年9月，中國央行等七部委發布了《關于防范代幣發行融資風險的公告》[11]，進一步對比特幣等“數字貨幣”的風險問題進行申明。隨后，銀保監會于2018年4月宣布所有ICO平臺和比特幣交易已經安全退出中國[12]。因此，比特幣作為一種影響范圍極廣的新型“數字貨幣”，不僅需要解決自身隱私保護存在的問題，而且有必要加強其可監管性，以適應國家政策的需求。

針對該問題，本文提出了一種可監管的比特幣隱私保護混淆服務RBmix，本文的主要貢獻如下。

1) 提出將RSA公平盲簽名算法用于比特幣混淆服務，并引入可信第三方來提供可監管性，在必要時，可信第三方可以追溯資金的來源。

2) 使用OP_RETURN交易構造了不可篡改的公告板機制，并利用Tor匿名網絡在網絡層保證用戶的隱私安全。

3) 協議在保證可監管性的同時, 還具有匿名性、可擴展性、可追責性、比特幣兼容性和抗DoS攻擊性。

4) 實驗結果表明，RBmix協議具有良好的擴展性和執行效率，完成1 000用戶的混淆操作大約需要135 s。

2 相關工作

目前，針對比特幣隱私保護的方案包括基于P2P形式的方案，如Coinjoin[13]、Coinswap[14]等，基于混淆服務商的Mixcoin[15]、Blindcoin[16]方案以及改進幣Zerocoin[17]和Zerocash[18]方案。針對“數字貨幣”監管問題提出的方案，包括可監管交易系統BPCSS[19]以及英國央行提出的RSCoin[20]。

Coinjoin方案由比特幣核心開發人員Grey Maxwell 提出。在Coinjoin中，由多個用戶將等額的比特幣作為輸入構造交易，并檢查自己的比特幣地址是否已經寫入交易中，如果已經寫入，則進行簽名。該交易獲得所有用戶的簽名后，就會被發布到比特幣網絡中，此時一次Coinjoin交易完成。Coinjoin提高了比特幣的匿名性，但是也存在一些不足。例如，Coinjoin交易內部用戶知曉所有用戶輸入和輸出的關系，無法抵御拒絕服務（DoS，denial of service）攻擊，且其交易大小受到比特幣交易大小的限制。

Coinswap協議主要針對利用中間人進行交易的場景。為了防止中間人偷取比特幣，該協議使用了散列鎖與多重簽名機制，保證了支付方與中間人和中間人與收款方的交易在同一時間段執行。但是，方案只適用于點對點交易的場景，而且同一時間需要6筆比特幣交易才能夠完成一次支付，交易費用和網絡資源消耗較大。

CoinShuffle[21]使用了匿名組通信協議Dissent[22]。該方案沒有第三方角色，避免了匿名服務費和比特幣交易時間等開銷，所需的只有很小的通信開銷。Tim等提出了改進的匿名通信協議，并設計了CoinShuffle++方案[23]，提高了協議效率。而SecureCoin[24]與CoinShuffle類似，同樣利用了去中心化的高效匿名比特幣協議。上述幾種協議具有較好的匿名性，但都依賴于匿名通信協議。

Bonneau提出了基于混淆節點的Mixcoin方案。該方案使用多個混淆節點進行混淆服務，前一個混淆節點混淆后的結果作為后一個節點的輸入，只要其中一個節點不泄露隱私，那么整個協議就能夠保證隱私性。Blindcoin基于Mixcoin方案，利用了盲簽名保證混淆服務商無法獲取用戶輸入地址和輸出地址之間的聯系。同時，該方案將Mixcoin中的多次混淆服務縮減到了一次，減少了混淆開銷。但是，由于缺少監管機制，這兩種方案都面臨著用戶資金被服務商盜竊的風險。

Zerocoin方案利用零知識證明技術，將用戶的比特幣轉化為比特幣側鏈上的零幣。用戶使用零幣時，需要利用零知識證明方案證明該枚零幣對應之前的一枚比特幣且未被使用。Zerocoin曾提出軟分叉方案為比特幣提供隱私保護，但是被比特幣開發人員拒絕。隨后，Sasson等提出了Zerocash方案。該方案使用非交互式的零知識證明zkSNARK[25]來保證交易的隱私安全，實現了交易金額的保密性。但是，Zerocash需要在初始化階段銷毀一對加密密鑰，密鑰是否安全銷毀直接影響整個系統的安全性。

BPCSS是基于比特幣的可監管交易系統，為客戶與商家之間的“數字貨幣”交易提供服務。在系統中，消費者以匿名形式交易來確保隱私安全，而商家則需要進行商業登記。政府財務監督單位可以審查系統中的所有交易信息，并用于稅收征收的審計參考。BPCSS引入了數字交易收據機制，為交易糾紛提供更可靠的證據，從而幫助消費者維護自己的權益。

RSCoin是由英國央行提出的一種新型“數字貨幣”模型。該模型由央行和央行授權的商業機構mintettes構成，央行完全控制貨幣產生，mintettes則負責維護交易賬本，包括收集交易、校驗交易以及交易上鏈。針對現有加密貨幣系統的不足，RSCoin致力于解決“數字貨幣”的可擴展性、可控的貨幣發行以及通用性等問題，實現了一種受中央銀行控制的、可擴展的“數字貨幣”，為可監管“數字貨幣”的實現提供了雛形。

目前，比特幣監管問題成為各界學者研究的熱點問題之一。Kevin[26]等曾就“數字貨幣”的監管問題進行了研究，主張結合現有法律構建一個凝聚力和適當規模的“數字貨幣”監管模式，以應對“數字貨幣”帶來的挑戰。可見，可監管性是“數字貨幣”進入國家層面的必要屬性。

3 預備知識

本協議主要借助比特幣OP_RETURN技術、RSA盲簽名技術以及Tor匿名網絡。接下來對這3個技術原理進行介紹。

3.1 比特幣OP_RETURN交易構造

公告板機制[27]在密碼學中有很廣泛的應用，通常用于多方溝通非機密數據，它不需要安全的信道，公告板上的數據可供任何人查看與審計。公告板應該具有分布式結構、時序性、防篡改性、可公開審計等特點[28]。

本文使用比特幣系統中的OP_RETURN[29]來構造基于比特幣系統的公告板機制。OP_RETURN腳本的樣式如下。

由于存儲數據需要消耗比特幣，所以比特幣系統中OP_RETURN存儲的信息通常是數據的散列值。散列值存儲在區塊鏈中，能有效保證數據的完整性和不可篡改性，其散列算法為32 byte的SHA256。同時，很多應用都在其前面加上前綴輔助認定相關的內容，如電子公正服務的證明材料采用了8個字節的前綴“DOCPROOF”。

使用OP_RETURN進行相關操作，可以保證上述公告板應該具有的性質。首先，比特幣區塊鏈作為P2P網絡，天生具有抗DoS攻擊的性質，每一個全節點都擁有所有的區塊信息，不存在傳統公告板技術中的單點故障問題。同時，區塊鏈以區塊的形式不斷累加，并按照時間的順序排列，可以保證公告板的有序性。區塊鏈本身也是防篡改的，擁有全網51%算力發動攻擊所付出的代價遠遠超過可能得到的收益。如同上文提到，比特幣區塊鏈上的數據任何人都可以隨時查看，因此區塊鏈作為公告板能夠達到公開審計的性質。

3.2 RSA公平盲簽名協議

盲簽名是一種特殊類型的數字簽名，由 Chaum 于1982年提出[30]。使用盲簽名，其他人無法知道被盲化信息的內容，且在盲化的信息上進行簽名，等同于在原始信息上簽名。盲簽名的具體流程如下：接收者盲化原始信息后發送給簽名者，簽名者對盲化后的信息簽名后再返還給接收者。接收者將消息去盲化，最終得到簽名者關于原始信息的正確簽名。

盲簽名增加了電子支付的匿名性，但是容易被違法分子利用進行一些非法操作。于是Stadler 等[31]提出了一種公平盲簽名協議。在必要時，該協議能夠被可信第三方揭開簽名，實現消息的追溯。

RSA公平盲簽名協議是一種基于第三方的公平盲簽名方案。該協議基于普通盲簽名和公平盲簽名協議，利用RSA算法增加了協議的安全性。協議保證了在登記和簽名過程中用戶消息不被修改，且能在必要時對消息發送者進行追蹤。

3.3 Tor匿名網絡

Tor[32]匿名網絡又被稱為洋蔥路由匿名代理網絡，其核心技術是美國海軍研究室開發的第三代洋蔥路由器系統。Tor匿名網絡的研發初衷是用于保護政府機關的數據通信隱私，現在已經被廣泛應用在民間企業、組織、機構、家庭以及個人的安全數據傳輸等場合。

Tor匿名網絡類似于分布式的虛擬專用網絡（VPN，virtual private network）。用戶使用時，先在本地環境下運行洋蔥代理服務器，該代理服務器會周期性地與其他代理服務器交流。當用戶瀏覽網頁時，請求消息會經過多跳IP地址，最終到達真正的目的地址。Tor網絡中的路由器之間進行點對點加密，如果需要看到底層的核心信息，則需要將每層加密層層剝開，每次經過一個客戶端，就好像洋蔥的一層皮，故被稱為洋蔥路由。

4 RBmix協議設計

4.1 協議模型

比特幣隱私保護方案中常用的模型是中心化服務模型。現實生活中，用戶的真實身份和比特幣地址之間的聯系可能已經被外界知曉。因此，用戶希望通過混淆服務商來切斷身份和地址的聯系。中心化的服務商對用戶的交易進行混淆操作，切斷交易輸入輸出之間的聯系，同時收取服務費。但現有的中心化服務模型有服務商知曉用戶隱私信息、不可追責等缺點。

本文在中心化服務商模型的基礎上，引入了可信第三方機構，保證了模型的可追責性，使用盲簽名確保混淆服務商無法關聯用戶的輸入地址和輸出地址。協議模型將比特幣中的UTXO模型抽象為簡單的賬戶模型，用戶擁有的是比特幣地址和對應的金額。協議模型如圖1所示。用戶Alice希望通過混淆服務，將自己可能已經被外界知曉的比特幣地址in上的資金轉移到安全的地址out上。out一般是全新生成的比特幣地址，從而防止該地址被攻擊者聯系到實際身份。協議模型包含如下3種角色。

圖1 協議模型

1) 用戶：用戶為了自身的隱私安全，愿意支付一定的費用給混淆服務提供商，通過服務商的幫助將比特幣轉移到外界攻擊者無法聯系真實身份的新地址（輸出地址）中。圖1中，Alice代表用戶的舊身份，Alice′代表用戶的新身份。

2) 混淆服務商：服務商通過提供混淆服務獲取利益，現實中有多個競爭的服務商，服務商通過信譽度、混淆費用等方式吸引用戶購買其混淆服務從而獲取利益。

3) 可信第三方：交易前，用戶和服務商都需要在可信第三方注冊。用戶將目標比特幣地址和身份信息提交給可信第三方進行注冊。混淆服務商向可信第三方提交自身信息和一定數量的保證金進行注冊。無論用戶還是服務商進行非法操作，可信第三方都能夠進行有效的追責與懲罰處理。

4.2 協議核心設計

協議核心分為以下4個步驟。

1) 混淆服務商注冊階段：混淆服務商將比特幣資金存儲在可信第三方的地址中。當混淆服務商竊取用戶資金時，可信第三方可以通過沒收保證金進行懲罰。

2) 用戶注冊階段：用戶需要將相關比特幣地址和自身信息提交給可信第三方進行注冊。

3) 混淆階段：使用盲簽名對輸出地址out進行盲化。Tor匿名網絡可以保護用戶網絡層的安全。

4) 追責階段：若惡意服務商竊取了用戶資金，可信第三方將沒收服務商的保證金進行懲罰。如果用戶使用混淆貨幣進行違法操作，可信第三方可以打開盲簽名，確認違規用戶的身份。

4.3 用戶與混淆服務商注冊階段

(1) 初始化參數

混淆服務商（M）：初始化自身的身份信息ID（為服務商的序號，表示混淆服務商），隨機選擇兩個不相等的質數和使=，并計算的歐拉函數()=(?1)(?1)。隨機選擇一個整數，使1<<()，且與()互質，并計算對于()的模反元素。服務商公布自己的公鑰信息(,)，保存私鑰信息(,)，用于盲簽名算法。同時，服務商擁有用于傳統數字簽名的公私鑰對(pub,priv)。

用戶（U）：初始化身份信息ID（為用戶的序號，表示用戶），用戶擁有自身公鑰pub和私鑰priv。

可信第三方（T）：擁有自身公鑰pub和私鑰priv。可信第三方可以是政府針對混淆服務設置的可信機構。

(2) 用戶注冊階段

在參與和服務商的交互過程之前，用戶需要先將輸出地址和自己的身份信息ID在可信第三方注冊和驗證，如圖2所示。

具體過程如下。

① 用戶選擇隨機數，使gcd(,)=1，并計算[out]C=r·H(out)mod，得到盲化后的消息[out]C，其中H()表示散列算法。

② 用戶使用pub對信息{out,,ID}加密后，將{out,,ID}pub和{[out]C}priv一同發送給可信第三方進行用戶身份和輸出地址的注冊。

③ 可信第三方根據消息{out,,ID}計算出[out]C′=r·Hout)mod，并檢查[out]C′與[out]C是否相等。若相等，則用戶注冊成功，可信第三方存儲元組信息{out,,ID}。反之，則拒絕用戶的請求行為。

④ 可信第三方在確認等式成立后，使用自己的私鑰priv對[out]C進行簽名，并將簽名后的值{[out]C}priv發送給用戶。

⑤ 用戶收到簽名后，使用可信第三方公布的公鑰pub驗證簽名。若驗證成功，則本次注冊完成。

圖2 用戶注冊階段流程

(3) 混淆服務商注冊階段

混淆服務商將自身的身份ID發送給可信第三方，同時發送比特幣至可信第三方的比特幣賬戶（為保證金的金額）。若混淆商竊取用戶的資金，誠實的用戶可以拿出證據發送給可信第三方。可信第三方將使用該服務商的保證金進行賠付，同時對該服務商實施懲罰，如圖3所示。

圖3 混淆服務商注冊階段流程

4.4 混淆協議階段

本文的協議參數信息如表1所示，其中部分關鍵參數將在4.6節進行分析。混淆階段流程如圖4所示。具體過程如下。

1) 混淆服務商將自身期望的參數、、發送到公告板上（為服務商提出的服務費率；為等待的區塊確認數；為混幣的數量）。由于市場上會有多個相互競爭的混淆服務商，用戶可以根據混淆服務商的價格、服務質量等因素來選擇合適的服務商。

2) 假設用戶A選擇了服務商M為其服務。A需要在1時間前向服務商M發送自身期望的協議參數，其中={,,,1,2,3,4,5,in}。同時，用戶A將out盲化后的值[out]C以及可信第三方的簽名{[out]AC}priv發送給服務商M。

表1 協議參數信息

圖4 混淆階段流程

3a) 若服務商M接受了用戶A的服務請求，則用自身私鑰priv對{, [out]C}和比特幣接收地址esc簽名，并在2之前發送給用戶A。

3b) 若用戶期望的收費率過低或其他原因導致服務商M選擇不接受用戶的請求，則結束本次協議。用戶可以向其他的混淆服務商發送請求。

4) 用戶A收到混淆服務商同意參數的確認信息，會將約定好的比特幣在3之前從地址in轉入到esc中。

5a) M等待步驟4)中的交易獲得比特幣網絡中個區塊的確認，再計算={[out]C}mod。需要注意的是，該步是對盲消息簽名的過程，M對[out]C簽名，而不是out。因此，服務商M無法知道in和out之間的聯系。M需要在4之前發送{[out]C}priv到比特幣公告板。

5b) 若服務商M在收到用戶A的轉賬交易后，未在事先約定的時間4之前將確認信息發送給用戶。用戶A會認為混淆服務商拒絕了此次服務。此時，用戶A需要將之前的交易和請求信息，以及比特幣轉賬交易Transfer(,in,esc)發送給可信第三方。可信第三方確認這些證據后，會從對應服務商比特幣的保證金中支付比特幣給用戶，同時對服務商實施相應的懲罰。

6) 用戶A收到后，使用去盲函數AC′計算出服務商簽名的信息=(·?1)mod。在5時間內，用戶使用Tor匿名網絡在IP層進行偽裝，并將out的簽名和out發送至公告板上。使用Tor匿名網絡是為了防止攻擊者在IP層實施攻擊，將用戶和out地址聯系起來。此時，若用戶拒絕將out的簽名和out發送至公共板上，則用戶將不會受到服務商的服務，且轉給服務商的資金將無法動用，得不償失。

7a) 服務商M獲取公告板上的用戶信息后，能夠驗證out上的簽名信息是否來自自己，但無法知道該信息是哪一次的簽名。服務商M在6之前構造交易，從自身的比特幣地址esc轉移(1?)比特幣至out，并將該交易發送至比特幣交易網絡。

7b) 若混淆服務商拒絕轉入資金到out，用戶A會將之前的交易和請求信息，以及在比特幣交易網絡中的轉賬交易Transfer(,in,esc)發送給可信第三方。可信第三方確認證據后，將從對應服務商的保證金中返還比特幣給用戶，同時對服務商實施相應的懲罰。

4.5 追責階段

如果惡意混淆服務商竊取了用戶資金，如圖4中的所有（b）操作所示，可信第三方可以從服務商提交的保證金中拿出比特幣償還給用戶，并對惡意的混淆服務商實施懲罰措施。

如果用戶使用混淆服務進行違法操作，即out中的資金被用于違法操作。可信第三方可以通過out查詢之前存儲的用戶信息元組，來對應用戶身份信息ID，進而實施懲罰措施。

4.6 協議參數說明

本協議設置了服務費率、區塊確認數、混幣數、保證金額度等可變參數，提高了協議的彈性。這些參數的變化，可能會對協議的效率產生一定影響，下文將對這些參數進行相關分析。

為混淆服務商的服務費率。它使服務商從誠實的行為中獲利，從而減少服務商停止運營或者竊取用戶資金的風險。在穩定的情況下，混淆服務商有兩種選擇：一種是誠實地進行操作，賺取每次混淆交易的收入；另一種是竊取K地址中的資金，并停止運營。因此，的取值需要在一段時間內混淆服務商能夠賺取的費用和某個時間節點服務商竊取用戶資金獲得的收益之間進行平衡。另外，還會受到混淆服務商之間競爭因素影響，安全、快速、低費的服務商自然更容易受到用戶的歡迎。

為比特幣區塊鏈上的區塊確認數量。協議中使用參數改變區塊確認的數量，來滿足不同用戶的需求。值越大，交易越安全，但相應的混淆時間也越長。一般情況下，經過6個區塊的確認就可以認為該區塊上的信息不可再被篡改。因此，協議中參數默認值為6。

為每次混淆的比特幣個數。一次混淆需要多個用戶同時參與，且同一批混淆的用戶轉給混淆服務商的資金數值要保證一致。若用戶1轉入1比特幣，用戶2轉入0.5比特幣，則攻擊者能夠輕松地將輸入地址和輸出地址關聯，導致混淆失敗。因此，本文提出了需要協商的參數，值相同的用戶將會一起進行混淆操作。需要注意的是，大額的比特幣拆分成多個小額資金進行混淆，又利用快速混淆，減少用戶等待時間。

為服務商的保證金額度。可信的第三方可能是政府或者銀行等機構，協議要求值遠大于，從而降低混淆服務商竊取用戶資金的概率。另外，過高會導致服務商的成本上升，進而轉嫁到用戶身上，甚至一部分服務商會因為負擔過重選擇停止運營。

5 性能分析

本節對RBmix協議的特性進行分析，具體分析如下。

1) 可監管性：RBmix協議使用了RSA公平盲簽名[26]算法，并引入了可信第三方。一旦用戶使用混淆后的貨幣進行違法操作，可信第三方可以揭示出用戶的真實身份并實施懲罰措施，從而保證協議的可監管性。

2) 匿名性：協議的匿名性由盲簽名技術和Tor匿名網絡來保證，前者直接作用于應用層，而后者則作用在網絡層。由上述協議過程可知，簽名信息{, [out]C,esc}priv由混淆服務商發出，用戶收到后向priv轉移比特幣。服務商在收到比特幣后，對out進行盲簽名，其無法知道具體的out地址信息。用戶收到后，進行去盲化處理，得到out的簽名信息，并使用匿名網絡將和out發布到公告板上。該out已經被混淆服務商簽名，但服務商并不知道對應的是哪一次的簽名，更無法知道對應的是哪一個用戶的輸出地址。匿名網絡可以保證攻擊者無法在網絡層聯系用戶的輸入地址和輸出地址。服務商確定是自身的簽名后，從自己的esc向out地址轉入(1?)比特幣。整個過程，混淆服務商無法聯系用戶的輸入地址和輸出地址，更無法區分每個用戶的輸出地址。對于外部攻擊者來說，其只能獲取比特幣區塊交易信息和公告板信息，無法找出用戶輸入地址和輸出地址之間的聯系。

3) 可擴展性：對于大規模的用戶混淆服務請求，混淆服務商可以動態地增加服務器數量來適應市場需求。而其他分布式的混淆方案往往受限于混淆用戶的數量，如Coinjoin僅能夠支持十位數左右的用戶混淆。因此，本文提出的協議具有良好的可擴展性。

4) 可追責性：用戶可以拿出證據證明服務商確實存在違規操作，可信第三方機構證實后會實施相應的懲罰措施，普通用戶也會因為混淆服務商信譽度降低而選擇其他更加優質的服務商。

5) 比特幣兼容性：整個協議作為一種服務兼容于比特幣系統，不需要對比特幣進行任何的軟分叉和硬分叉操作。混淆服務獨立于整個比特幣系統運行，希望使用混淆服務的用戶可以花費服務費購買混淆服務，從而保護自己的隱私。

6) 抗DoS攻擊性：不同于一些比特幣隱私保護的協議（如Coinjoin）很難防止DoS攻擊，本文的協議設計了保證金和追責制度，可以抵抗DoS攻擊，任何理性的用戶和競爭者都不會攻擊服務商。

由于本協議專注于應用層的安全，僅依賴Tor匿名網絡保證協議在網絡層中的匿名性，因此網絡層中的其他問題（如網絡的強同步性問題）會對本協議產生一定的影響。例如，用戶正確執行了協議，但由于網絡延遲或攻擊者的攔截，服務商未能及時獲取轉賬信息從而影響服務質量，這部分也是未來工作需要解決的問題。

表2 與其他方案的性能對比

與現有的基于中心服務商架構的混淆方案相比，本協議同時具有可追責性、可擴展性、比特幣兼容性、抗DoS攻擊以及可監管性，其余方案則各有自身的局限性，如Coinjoin不具備可追責性、可擴展性、抗DoS攻擊性和可監管性。具體如表2所示。

6 實驗測試

本文對RBmix協議進行實現，從而驗證協議的性能。實驗的主要開發語言為Go語言，并利用了比特幣全節點客戶端Btcd開源項目，以及比特幣用戶錢包Btcwallet項目。其中，Go語言版本為1.8.4，Btcd版本為0.12.0-Beta，Btcwallet版本為0.7.0-Alpha。

實驗利用Go語言中的Goroutine多線程機制模擬多個用戶，使用Btcd模擬比特幣區塊鏈，并使用Btcwallet作為用戶比特幣錢包，通過設定不同的用戶數量集，測試整個系統在不同數量級用戶下的運行時間。

實驗在比特幣測試網絡中運行，首先通過cmd命令啟動Btcd和Btcwallet以搭建系統運行環境。接著，使用IntelliJ IDEA開發工具運行系統工程，并啟動服務端。服務端啟動成功后，再模擬用戶啟動客戶端，并通過客戶端向服務端發送相關的服務請求。實驗利用http：//localhost：8082/地址模擬混淆服務商的服務地址，使用多線程啟動多個客戶端同時訪問服務器，來模擬大量用戶進行混淆服務的過程，從而保證性能測試實驗的真實性和可靠性。實驗結果如圖5所示。

圖5 協議實驗結果

其中，橫軸代表同一時間參與混淆的用戶個數，縱軸代表所有用戶完成混淆的時間，以秒為單位。當實驗運行1 000個用戶時，大約需要135 s來完成相應的操作，5 000個用戶大約需要691 s，10000個用戶大約需要1 360 s。與預期結果相同，隨著用戶數量的增長，總運行時間呈線性增長，為每個用戶執行混淆的時間大約在0.2 s。同時，在本實驗中，只有一臺PC作為服務器來執行混淆任務，中心化混淆服務商機制保證了本協議的高度可擴展性，隨著用戶數量的不斷增加，服務商可以設置多個服務器執行并行工作來同時滿足所有用戶的需求。對于單獨的用戶來說，比特幣區塊60 min的確認時間相比較于整個協議流程和交易構造的時間可以忽略不計。

7 結束語

本文分析了比特幣隱私保護研究的難點，提出了一種可監管的比特幣隱私保護混淆方案。該方案大大降低了中心機構違約的可能性，并保證了必要時協議的可追責能力，為比特幣匿名性與可監管性之間的沖突問題提供了新的解決思路。本文通過實驗驗證了該協議能夠在真實的比特幣交易環境中良好地運行，且具有高度可擴展性。

[1] NAKAMOTO S. Bitcoin: a peer-to-peer electronic cash system[R]. 2008: 1-9.

[2] SYMITSI E, CHALVATZIS K J. The economic value of Bitcoin: a portfolio analysis of currencies, gold, oil and stocks[J]. Research in International Business and Finance, 2019, 48: 97-110.

[3] NARAYANAN A, BONNEAU J, FELTEN E, et al. Bitcoin and cryptocurrency technologies: a comprehensive introduction[M]. Princeton University Press, 2016.

[4] BONNEAU J, MILLER A, CLARK J, et al. Sok: Research perspectives and challenges for bitcoin and cryptocurrencies[C]//IEEE Symposium on Security and Privacy (SP). 2015: 104-121.

[5] REID F, HARRIGAN M. An analysis of anonymity in the Bitcoin system[M]. Security and privacy in social networks. New York: Springer, NY, 2013: 197-223.

[6] MEIKLEJOHN S, POMAROLE M, JORDAN G, et al. A fistful of Bitcoins: characterizing payments among men with no names[C]// 2013 Internet measurement conference. ACM, 2013: 127-140.

[7] KOSHY P, KOSHY D, MCDANIEL P. An analysis of anonymity in Bitcoin using P2P network traffic[C]. International Conference on Financial Cryptography and Data Security. 2014: 469-485.

[8] PARINO F, BEIRó M G, GAUVIN L. Analysis of the Bitcoin blockchain: socio-economic factors behind the adoption[J]. EPJ Data Science, 2018, 7(1): 38.

[9] 樊云慧. 比特幣監管的國際比較及我國的策略[J]. 法學雜志, 2016, 37(10): 116-123.

FAN Y H. International comparison of Bitcoin supervision and China's strategy[J]. Law Science Magazine, 2016, 37(10): 116-123.

[10] 中國人民銀行等五部委. 關于防范比特幣風險的通知[R]. 2013.

Five ministries of China. Announcement on preventing Bitcoin risk[R]. 2013.

[11] 中國人民銀行等七部委. 關于防范代幣發行融資風險的公告[R]. 2017.

Seven ministries of China. Announcement on the prevention of financing risk of token issuance[R]. 2017.

[12] 銀保監會. 關于國內ICO平臺和比特幣交易通知[R]. 2018. China Banking and Insurance Regulatory Commission. Announcement on domestic ICO platform and Bitcoin transactions[R]. 2018.

[13] MAXWELL G. CoinJoin: bitcoin privacy for the real world[C]// Post on Bitcoin forum. 2013.

[14] MAXWELL G. CoinSwap: transaction graph disjoint trustless trading[J]. CoinSwap: Transaction Graph Disjoint Trustless Trading, 2013, (10).

[15] BONNEAU J, NARAYANAN A, MILLER A, et al. Mixcoin: anonymity for Bitcoin with accountable mixes[C]//International Conference on Financial Cryptography and Data Security. 2014: 486-504.

[16] VALENTA L, ROWAN B. Blindcoin: blinded, accountable mixes for Bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2015: 112-126.

[17] MIERS I, GARMAN C, GREEN M, et al. Zerocoin: Anonymous distributed e-cash from Bitcoin[C]//2013 IEEE Symposium on. Security and Privacy (SP), 2013: 397-411.

[18] SASSON E B, CHIESA A, GARMAN C, et al. Zerocash: decentralized anonymous payments from Bitcoin[C]//2014 IEEE Symposium on Security and Privacy (SP). 2014: 459-474.

[19] CHEN P W, JIANG B S, WANG C H. Blockchain-based payment collection supervision system using pervasive Bitcoin digital wallet[C]// Wireless & Mobile Computing, Networking & Communications. 2017.

[20] DANEZIS G, MEIKLEJOHN S. Centrally banked crypto currencies[C]//Network and Distributed System Security Symposium. 2016.

[21] RUFFING T, MORENO-SANCHEZ P, KATE A. CoinShuffle: Practical decentralized coin mixing for Bitcoin[C]//European Symposium on Research in Computer Security. 2014: 345-364.

[22] CORRIGAN-GIBBS H, FORD B. Dissent: accountable anonymous group messaging[C]//The 17th ACM Conference on Computer and Communications Security. 2010: 340-350.

[23] RUFFING T, MORENO-SANCHEZ P, KATE A. P2P mixing and unlinkable bitcoin transactions[C]//NDSS. 2017.

[24] IBRAHIM M H. SecureCoin: a robust secure and efficient protocol for anonymous Bitcoin ecosystem[J]. IJ Network Security, 2017, 19(2): 295-312.

[25] GOLDWASSER S, MICALI S, RACKOFF C. The knowledge complexity of interactive proof systems[J]. SIAM Journal on Computing, 1989, 18(1): 186-208.

[26] TU K V, MEREDITH M. Rethinking virtual currency regulation in the Bitcoin age[J]. Social Science Electronic Publishing, 2015, 90: 271.

[27] RAFAELI S. The electronic bulletin board: a computer-driven mass medium[J]. Social Science Micro Review, 1984, 2(3): 123-136.

[28] VAN DEN HEUVEL A P, COMROE R A, SOBTI A, et al. Bulletin board resource for communication system access[P]. 1994.

[29] ANTONOPOULOS A M. Mastering Bitcoin: unlocking digital crypto currencies[M]. O'Reilly Media, Inc. 2014.

[30] CHAUM D. Blind signatures for untraceable payments[C]// Advances in Cryptology. 1983: 199-203.

[31] STADLER, MARKUS J M PIVETEAU, CAMENISCH J. Fair blind signatures[C]//Advances in Cryptology — EUROCRYPT ’95. 1995.

[32] SYVERSON P, DINGLEDINE R, MATHEWSON N. Tor: the second-generation onion router[C]//Usenix Security. 2004.

Regulatory Bitcoin privacy-preserving mixing service

BAO Zijian1,2, WANG Qinghao1,2, ZHANG Yongxin1,2, WANG Bin1,2, LU Ning1,2, SHI Wenbo1,2

1. School of Computer Science and Engineering, Northeastern University, Shenyang 110089, China 2. School of Computer and Communication Engineering, Northeastern University, Qinhuangdao 066004, China

With the deepening of research on Bitcoin privacy protection, Bitcoin, a new type of digital currency, has become more difficult to regulate. A Bitcoin privacy protection confusion scheme with regulatory RBmix is proposed for this problem. The model of RBmix uses a fair blind signature algorithm and introduces trusted third parties with regulatory, anonymity, scalability, Bitcoin compatibility, and anti-DoS aggression. Experimental results show that the RBmix protocol has good scalability and execution efficiency.

Bitcoin, privacy-preserving, regulatory, fair blind signature

s: The National Natural Science foundation of China (No.61472074, U1708262)，Fundamental Research Funds for the Central Universities(No.N172304023)

TP311

A

10.11959/j.issn.2096?109x.2019037

包子健（1994? ），男，安徽黃山人，東北大學碩士生，主要研究方向為區塊鏈隱私保護、區塊鏈系統。

王慶豪（1995? ），男，江蘇鹽城人，東北大學碩士生，主要研究方向為區塊鏈、可信硬件。

張永欣（1996? ），男，山東濟寧人，東北大學碩士生，主要研究方向為區塊鏈、密碼學。

王斌（1992? ），男，遼寧鞍山人，東北大學碩士生，主要研究方向為區塊鏈智能合約漏洞檢測。

魯寧（1984? ），男，內蒙古包頭人，博士，東北大學副教授、碩士生導師，主要研究方向為網絡安全。

史聞博（1980? ），男，河北唐山人，博士，東北大學教授、博士生導師，主要研究方向為密碼協議。

2019?05?18；

2019?06?29

史聞博，shiwb@neuq.edu.cn

國家自然科學基金資助項目（No.61472074, No.U1708262）；中央高校基本科研專項基金資助項目（No.N172304023）

包子健, 王慶豪, 張永欣,等. 可監管的比特幣隱私保護混淆服務[J]. 網絡與信息安全學報, 2019, 5(4): 40-51.

BAO Z J, WANG Q H, ZHANG Y X, et al. Regulatory Bitcoin privacy-preserving mixing service[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 40-51.