高效安全的可審計盲混幣服務方案

喬康，湯紅波，游偉，李海濤

高效安全的可審計盲混幣服務方案

喬康，湯紅波，游偉，李海濤

（信息工程大學，河南 鄭州 450001）

混幣服務能夠為區塊鏈隱私泄露問題提供解決方案，但仍然面臨效率瓶頸和安全風險，為進一步提升混幣服務的效率和安全防護能力，提出一種高效安全的可審計盲混幣服務方案。該方案首先增加了審計措施，在傳統的混幣模型基礎上，增加審計區塊鏈，以記錄用戶和混幣器行為，實現可追溯和可問責；然后利用橢圓曲線算法構造盲簽名，替代現有研究中基于雙線性對或RSA的盲簽名算法；最后基于可審計的混幣模型和新構造的盲簽名算法，提出可審計的盲混幣服務協議。仿真分析表明，所提方案在提供隱私保護的同時，具有可審計性、抗盜竊攻擊等6種安全特性；在同等安全強度下，較對比方案，所提方法能夠有效降低計算開銷和存儲開銷。

區塊鏈；可審計；混幣服務；隱私保護

1 引言

區塊鏈作為一種公開的賬本系統，交易信息被收集并詳細記錄在其中，任何參與者都可以查詢鏈上信息，故其面臨嚴重的隱私泄露風險。為保護用戶隱私，區塊鏈提供一定的假名性，用戶可以在本地，通過一系列密碼學變換，自行生成與身份信息無關的隨機地址。這類隨機地址（或假名）通常作為交易輸入和輸出的賬號，雖然與傳統賬號相比，具有較好的匿名性，但只能提供有限的隱私保護。攻擊者通過跟蹤和分析區塊鏈交易，配合地址ID、IP信息等可以追查到賬戶和交易的關聯性，進而推測出交易隱私和身份隱私。例如，Dorit等[1]通過分析比特幣的歷史賬本，得出相關交易之間的許多統計特征。Reid等[2]證明多個假名地址可以鏈接到單個用戶地址。Koshy等[3]介紹了將比特幣地址直接映射到IP地址的方法。Miller等[4]公布了一種發現比特幣網絡拓撲以及關鍵節點的技術AddressProbe。和傳統領域不同，區塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露，無法挽救，因此，區塊鏈系統應該更加重視隱私防護問題，同時迫切需要為區塊鏈用戶提供完整的隱私保護服務。

一種直觀的區塊鏈隱私保護方法被稱為混幣。混幣是在不改變交易結果的前提下，通過對交易內容進行混淆，從而增加攻擊難度的隱私保護方法。2013年，Maxwell等[5]提出第一個混幣方案CoinJoin，通過割裂輸入地址和輸出地址的聯系，達到保護用戶交易隱私的目的。2014年，Bonneau等[6]提出一種改進的混幣方案Mixcoin，增加審計功能，監管混幣服務器的行為，防止混幣服務器違規操作。2015年，Valenta等[7]在Mixcoin的基礎上，提出一種采用盲簽名技術的方案Blindcoin，以防止混幣服務器泄露混幣地址的鏈接關系。2016年，Heilman等[8]采用盲簽名和智能合約技術，通過智能合約提供可自動強制執行的協議，能同時為鏈上區塊鏈交易和鏈下區塊鏈交易提供匿名保護。2018年，Bao等[9]在Blindcoin的基礎之上，利用多簽名技術對混幣方案進一步優化，他們設計的Lockcoin方案不僅能夠防止混幣服務器建立輸入地址和輸出地址間的映射關系，而且能夠預防混幣服務器篡改輸出地址來盜竊用戶資金。

在早期的混幣方案中，如CoinJoin[5]和Mixcoin[6]方案，為正確完成混幣操作且輸出到相應的用戶地址，混幣服務器了解全部的混幣信息，用戶的輸入地址和輸出地址對于混幣服務器而言是透明的，存在嚴重的隱私泄露風險。為防御這類隱私泄露風險，研究者提出采用盲簽名技術的改進方案，確保混幣服務器在正常提供混淆服務的同時，無法建立輸入和輸出地址之間的關聯性，如Blindcoin[7]、Lockcoin[9]、RSA-Coinmix[10]方案。這些采用盲簽名技術的方案能夠有效抵御混幣器泄露區塊鏈用戶隱私的風險，但存在計算和存儲開銷較大的問題。例如，Blindcoin和Heilman采用基于雙線性對（bilinear pairing）的盲簽名方案，RSA-Coinmix和Lockcoin則采用基于RSA算法的盲簽名方案。基于雙線性對問題構造的簽名單位安全強度高，同等安全強度下，所需密鑰長度短，但雙線性對運算計算開銷較大。而RSA算法基于大整數因子分解問題，基于RSA算法構造的簽名計算開銷較小，但簽名的單位安全強度較低，同等安全強度下，所需密鑰長度較長，存儲開銷較大。目前，計算和存儲開銷是限制區塊鏈發展的瓶頸，因此在滿足安全強度的條件下，需要設計更高效節能的盲簽名方案。此外，混幣服務器存在盜竊資金的風險，而用戶也存在拖延支付的可能，任何一方的違規操作，都會造成安全性和執行效率下降，因此，需要設計可審計的混幣協議來同時監管混幣器和用戶兩方的行為，確保混幣服務的安全高效。

本文首先在Blindcoin[7]方案的基礎之上，設計了包含用戶、混幣器、審計區塊鏈三類實體的混幣服務系統模型；其次，利用仿射變換構造盲簽名的方法，將Schnorr盲簽名方案在橢圓曲線上進行模擬，并采用3個隨機盲化參數，構造基于橢圓曲線的Schnorr強盲簽名方案；最后，在混幣服務系統模型下，應用所構造的Schnorr強盲簽名方案，并采用經濟懲罰機制和公共日志審計措施，提出了高效安全的可審計盲混幣服務協議。

2 背景

2.1 區塊鏈的隱私需求

為了保護用戶隱私，區塊鏈需要滿足以下要求：①交易之間的鏈接關系式不可見或不可被分析；②交易內容僅對實際參與者可見。對于私有鏈或許可鏈而言，通過設置訪問控制策略，可以增加非法節點進入區塊鏈系統的難度，降低數據透明度，從而提升隱私防護能力。但是，區塊鏈中的節點通常是個人計算機或手機，安全防護能力低，容易遭受攻擊者的攻擊。此外，在公有鏈場景下，每個用戶都可以自由地訪問區塊鏈系統，能夠查看并下載全局賬本信息，存在極大的隱私泄露風險。為抵御風險，文獻[11]將區塊鏈的隱私需求劃分為身份隱私和交易隱私兩方面。

身份隱私指區塊鏈中的用戶信息（包括地址信息和交易內容）和用戶真實身份之間的映射關系。在區塊鏈中，用戶可以在本地通過一系列密碼學變換，自行生成與身份信息無關的隨機地址。該地址通常作為交易輸入和輸出的賬號，雖然與傳統賬號相比，具有較好的匿名性，但這類隨機地址（或假名）只能提供有限的身份隱私保護。當用戶通過隨機地址參與區塊鏈交易時，攻擊者通過遍歷賬本信息，分析區塊鏈交易的網絡傳播規律[12]，配合使用一些行為分析策略[13]，能夠推測出區塊鏈用戶的真實身份信息。

交易隱私指區塊鏈交易內容和交易內容背后的敏感信息之間的關聯性。公開的交易記錄能夠反映一些敏感信息，如用戶的購買記錄，能夠反映用戶的消費水平和購買喜好。此外，在許多基于區塊鏈的應用中，如電子醫療記錄管理[14]、匿名的身份驗證和授權[15]等，區塊鏈上存儲的交易記錄涉及重要的用戶敏感信息。和傳統領域不同，區塊鏈上記錄的信息不可刪除和篡改，敏感信息一旦泄露就無法挽救，因此區塊鏈系統應該更加重視隱私防護問題。

為提高區塊鏈系統隱私防護的能力，理想的解決方案應該包括以下幾種特征。

1) 匿名性：用戶是唯一知道輸入地址和輸出地址鏈接關系的實體。

2) 可擴展性：該系統具備良好的可擴展性，能容納多個用戶。

3) 兼容性：該系統能夠兼容現有的區塊鏈系統，如比特幣、以太坊。

4) 可審計性（僅限混幣服務）：當協議無法正常執行時，參與混幣的雙方都能獲取錯誤操作的證據。

2.2 混幣服務

在區塊鏈中，交易的輸入地址和輸出地址是可鏈接的，通過分析公開賬本的內容，能夠推斷出一些隱私信息。針對此類攻擊，一種直觀的防護方案是借助中間混幣器來混淆交易地址的關系。1981年，Chaum首次提出混幣服務的思想[16]，起初的目的是通過混幣器來隱藏參與者的通信內容，從而實現匿名通信。混幣服務的基本思想可表達為

文獻[13]介紹了混幣服務的基礎架構，如圖1所示，多個輸入經中間混幣服務器執行混淆操作后依次輸出，為了隱藏輸入到達的順序，混幣器將通過隨機排序的方式打亂輸出順序。此外，為盡可能減小單個混幣器受攻擊的風險，可以將多個混幣器連接在一起，構成級聯混幣器，提升防護能力。

圖1 混幣服務的基礎架構

Figure 1 Infrastructure of mixed-coin service

2.3 盲簽名

盲簽名是由Chaum[17]在1983年提出的一種數字簽名方式，其通過允許文檔提供者在簽名者對文檔不可見的情況下，獲得“盲”文檔簽名的方式，來為實際文檔內容提供隱私。由于文檔內容在簽名之前對簽名者而言是不可見的（或盲化的），因此盲簽名可有效保護簽名內容，在電子選舉和數字金融領域已有廣泛應用[18]。文獻[19]介紹了一般簽名方案和盲簽名方案的對比，如圖2所示。在圖2(a)所示的一般簽名方案中，簽名者根據已知的消息內容產生數字簽名。與一般的簽名方案相比，盲簽名的過程如圖2(b)所示。簽名請求方對消息執行盲化操作，并將盲消息發送給簽名者。簽名者簽署盲消息并將盲簽名返回給請求方，然后請求方解盲簽名以獲得原始消息上的簽名。

圖2 一般簽名方案和盲簽名方案的對比

Figure 2 Comparison of general signature scheme and blind signature scheme

該方案有效的原因如下。

3 盲混幣服務方案

3.1 盲混幣服務的系統模型

在Blindcoin[7]方案的基礎上，本文設計了盲混幣服務的系統模型，如圖3所示，該模型包含3個主要實體，分別是混幣服務器（M，mixer）、用戶（U，user）和審計區塊鏈（audit blockchain）。

圖3 盲混幣服務的系統模型

Figure 3 System model of blind mixed-coin service

審計區塊鏈：審計區塊鏈是混幣服務的監督者，可看作一塊只可添加不可更改的公告板，用于第三方驗證。審計區塊鏈以區塊鏈的形式分享信息，發送方可通過交易的方式將證據信息記錄在區塊鏈上。用戶和混幣器均可發布區塊鏈消息，并且消息一經發布不可刪除。如果用戶和混幣器中任何一方違反協議，通過審計區塊鏈中包含的公開信息，可證明違規方的行為。

盲混幣服務系統模型包含許多參數，具體如表1所示，除了模型圖中涉及的參數外，還將在3.3節盲混幣服務協議中被大量應用。

3.2 基于橢圓曲線的Schnorr強盲簽名

表1 盲混幣服務系統模型參數

圖4 Schnorr強盲簽名協議

Figure 4 Schnorr strong blind signature protocol

Schnorr強盲簽名協議執行步驟如下。

可用性證明如下。

一般來說，不可偽造性、不可抵賴性、盲性、不可跟蹤性4條性質既是設計盲簽名所遵循的標準，也是判斷盲簽名安全性的依據。因此，以這4條性質為標準，對基于橢圓曲線的Schnorr強盲簽名方案進行安全分析，該方案具有以下安全特性。

3.3 可審計的盲混幣服務協議

本節介紹可審計的盲混幣服務協議，該協議是在3.1節介紹的盲混幣服務系統模型下，應用3.2節提出的基于橢圓曲線的Schnorr強盲簽名方案，并采用經濟懲罰機制和審計措施，設計的一種高效安全的服務協議。經濟懲罰機制指利用博弈論的思想，通過經濟獎懲來制約混幣服務器和用戶雙方的行為。一方面，針對混幣服務器，在混幣服務器提供混幣服務之前，要求混幣服務器預置大額誠信押金（遠超單次混幣金額）作為信用擔保。若混幣服務器正常提供服務，則在每次混幣服務后可獲取相應獎勵，并且誠信押金可贖回，若混幣服務器執行違規操作，故意延遲或者盜用資金，一經核實，誠信押金將被全部罰沒。另一方面，針對用戶，混幣服務之前用戶將混幣資金轉移到混幣服務器，若正常執行流程，則完成混幣需求，若故意延遲或惡意發起申請（DoS攻擊），一經核實，混幣資金將被罰沒作為混幣服務器的費用。為最大化收益，混幣服務器和用戶都會遵守協議規則，確保協議的正常執行。審計措施指利用審計區塊鏈不可篡改的特性，記錄混幣服務器和用戶的混幣信息，作為審核其行為的可信證據。與現有的方案相比，本文提出的可審計盲混幣服務協議，主要的特點是高效性，通過應用基于橢圓曲線的Schnorr強盲簽名，降低了簽名過程的存儲開銷和計算開銷。可審計盲混幣服務協議流程如圖5所示。

圖5 可審計的盲混幣服務協議

Figure 5 Auditable blind mixed-coin service protocol

可審計的盲混幣服務協議過程具體步驟如下。

Step1 系統初始化。

Step2 混幣服務請求。

Step3(a) 托管地址分發。

Step3(b) 混幣服務拒絕。

Step4(a1) 盲化。

Step4(b) 驗證。

Step5(a1) 盲簽名。

Step5(b) 驗證。

Step6(a1) 解盲。

Step6(b) 驗證。

Step7(a1) 混幣服務完成。

Step7(b) 驗證。

4 實驗與分析

4.1 強盲簽名算法的有效性驗證

強盲簽名算法實現流程如圖6所示，主要包括獲取全局參數、生成公鑰和私鑰、獲取隨機數和盲化因子、盲化、盲簽名、解盲、驗證這7個流程。

盲簽名算法的有效性驗證實驗在配置為Intel Core i3-3110M @2.40 GHz CPU和4 GB內存的計算機上進行，操作系統為64位Windows7系統。在Eclipse平臺上用Java語言編程實現基于橢圓曲線的Schnorr強盲簽名算法，算法實現如圖7所示。

實驗表明，經過盲化、盲簽名、解盲、驗證后，得到結果為true，說明本文設計的基于橢圓曲線的Schnorr強盲簽名算法是可行有效的。

4.2 盲混幣服務方案的性能分析

盲混幣服務方案的性能分析包括盲簽名方案的效率分析和混幣服務的開銷分析兩方面。下面介紹盲簽名方案的效率分析，盲簽名算法主要分為密鑰生成、盲化、盲簽名、解盲和驗證5個步驟，每個步驟都會產生計算開銷和存儲開銷。計算開銷以計算時間來衡量，存儲開銷以密鑰長度和盲簽名長度來衡量。為保證安全強度，本文設計的基于橢圓曲線的Schnorr強盲簽名方案采用256位密鑰長度。為評估本文盲簽名算法的計算效率，以程序運行時間作為計算時間的實驗統計值，在4.1節實驗條件下，分別取用戶數目為10、100、500、1 000、3 000、5 000、7 000、10 000進行測試，每次測試重復10次取均值，統計各步驟的運行時間，統計結果如表2所示。

圖6 強盲簽名算法實現流程

Figure 6 Strong blind signature algorithm implementation process

圖7 強盲簽名的算法實現

Figure 7 Algorithm implementation of strong blind signature

表2 盲簽名方案的計算開銷統計

從表2的統計結果可以看出各步驟運行時間和用戶數目的關系，為更直觀展示其中的關系變化和趨勢，通過Matlab繪制分析圖，結果如圖8、圖9所示。圖8展示了運行時間占比和用戶數目的關系，當用戶數低于500時，密鑰生成的運行時間占比最大，超過0.5，隨著用戶數目的增加，密鑰生成的運行時間占比逐漸減少，而盲化和驗證過程的運行時間占比逐漸增加，當用戶數超過7 000時，密鑰生成、盲化和驗證的運行時間占比趨于穩定，都為0.3左右。圖9(a)展示了運行總時間和用戶數目的關系，隨著用戶數目的增加，總的運行時間逐漸增加，大致呈線性趨勢；圖9(b)展示了平均運行總時間和用戶數目的關系，隨著用戶數目的增加，平均每個用戶的運行時間逐漸減少，且當用戶數大于1 000以后，平均每個用戶的運行時間趨于穩定。圖8、圖9的結果說明本文盲簽名方案具有一定的可擴展性，能夠支持大規模的用戶請求。

圖8 運行時間占比和用戶數目的關系

Figure 8 The relationship between the proportion of running time and the number of users

為進一步評估盲簽名方案的效率，選擇采用基于雙線性對盲簽名的Heilman[8]方案和基于RSA算法盲簽名的RSA-Mixing[10]方案作為對比，對比結果如表3所示。

本文的盲簽名算法是基于橢圓曲線上的離散對數問題構造簽名密鑰，Heilman[8]方案是基于橢圓曲線上的雙線性對問題構造密鑰，而雙線性對問題是依賴群上的離散對數問題，因此，本質上本文方案和Heilman[8]方案都基于橢圓曲線上的離散對數問題構造簽名密鑰。RSA-Mixing[10]方案則基于大整數因子分解問題構造密鑰。因為基于橢圓曲線上的離散對數問題構造的簽名單位安全強度高于基于大整數因子分解問題構造的簽名，所以在提供同等安全強度時，前者所需密鑰長度更短。在本文的對比實驗中，本文方案和Heilman[8]方案選擇256 bit的密鑰長度，RSA-Mixing[10]方案則選擇1 024 bit密鑰長度。

圖9 運行總時間和用戶數目的關系

Figure 9 The relationship between the total running time and the number of users requested

表3 盲簽名方案的算法運算過程

取=1 000，代表10 000個用戶請求盲簽名，在4.1節實驗條件下，分別部署3個盲簽名算法，每次實驗重復10次取均值，得出的對比結果如圖10所示。

從對比結果可以看出，RSA-Mixing[10]方案計算時間最長，且耗時集中在密鑰生成階段，這是因為該方案基于大整數因子分解問題，簽名的單位安全強度較低，同等安全強度下，所需的密鑰長度最長，而密鑰長度的增加會導致加解密速度大大降低；Heilman[8]方案和本文方案計算時間較少，且耗時主要在盲化、盲簽名和驗證階段，其中盲化和盲簽名階段兩方案耗時相近，驗證階段Heilman[8]耗時約為本文方案的10倍，這是由于在驗證階段，Heilman[8]方案中雙線對運算的計算量較大。此外，Heilman[8]方案和本文方案的簽名單位安全強度較高，同等安全強度下，所需的密鑰長度較短，因此存儲開銷小于RSA-Mixing[10]方案。

表4 計算和存儲開銷的量化比較

圖10 各盲簽名方案計算時間對比

Figure 10 Comparison of computing time of each blind signature scheme

表5 混幣服務開銷對比

表5中所列方案都是基于盲簽名的混幣服務方案，在所有對比方案中，RSA-Coinmix[10]和Blind-mixing[19]時間開銷最少，但不可審計，也不能防止盜竊攻擊，安全性較低。Lockcoin[9]、Blindcoin[7]和本文方案都具有可審計性，且Blindcoin[7]時間開銷最少，但Blindcoin[7]不能防止盜竊攻擊，存在風險。Lockcoin[9]和本文方案都具有可審計性，也能防止盜竊攻擊，但本文方案的時間開銷更低，效率更高。此外，所有對比方案的混幣費用開銷相同。

4.3 混幣服務方案的特性分析

以理想的區塊鏈隱私匿名解決方案為衡量標準，討論本文所提可審計盲混幣服務方案，分析其具有的特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計性、可擴展性和兼容性。

匿名性：混幣服務協議最重要的特性是匿名性，而匿名程度則以不可鏈接性和不可追蹤性來衡量。

（1）不可追蹤性

（2）不可鏈接性

圖11 追蹤攻擊分析

Figure 11 Tracking attack analysis

防DoS攻擊：在許多分布式混幣協議中，攻擊者進行DoS攻擊主要通過用戶參與協議到一定程度后，拒絕轉移資金，導致操作失敗。在本文方案中，每個用戶只與混幣器交互，拒絕遵守協議，不影響其他用戶或減慢混幣過程。攻擊者還可以嘗試通過阻止資金交易和審計區塊鏈信息上鏈的方式，來進行DoS攻擊。但這種方式是很難實際操作的，因為攻擊者很難控制大部分的礦池算力。此外，由于參與混幣服務需要收取費用，針對混幣器發動DoS攻擊，會給攻擊者帶來巨大的經濟負擔。

防盜竊攻擊：由于混幣服務器支付了遠超過單次混幣金額的押金，且協議中包含可審計的問責機制，混幣器違規盜用混幣資金將得不償失，從經濟角度防止服務器盜竊混幣資金。

表6 不同方案的特性比較

可審計性：本文方案中使用審計區塊鏈作為審計日志，用戶和混幣服務器都需要遵守協議，在規定的時間，執行相應步驟。當某一方違反協議時，第3.3節中的步驟5(a2)、步驟6(a2)、步驟7(a2)可以確保協議被正確問責。

可擴展性：與Blindcoin[7]方案相似，混幣服務器可支撐擴展到更多用戶，因為用戶只與中心混幣器交互，而不與彼此交互。此外，如果一個服務器達到瓶頸，則可以將混幣功能負載到幾個不同服務器上，所有的服務器均使用相同的加密密鑰進行操作。

兼容性：本文方案的混幣協議可作為區塊鏈的一種服務，與現有區塊鏈系統兼容性高，如比特幣系統。

文獻[23]討論了主流的混幣服務方案具備的特性，本文選取了其中幾種典型方案[5-7,24-25]作為比較。此外，雖然在文獻[23]中未討論，但是比較典型[26-27]和新穎[9-10]的方案，本文也列出一并進行比較，結果如表6所示。

從對比結果可知，與其余方案相比，Zerocoin[26]、Zerocash[27]、Lockcoin[9]和本文方案具有不可追蹤性、不可連接性、防DoS攻擊、防盜竊攻擊4項安全特性，具備更高的安全防護能力；而Zerocoin[26]和Zerocash[27]缺少可審計性和兼容性，存在問責困難和部署復雜的問題，Lockcoin[9]和本文方案則具有全部的6項特性；由4.2節混幣服務開銷分析可知，相較于Lockcoin[9]，本文方案開銷更低，效率更高。

5 結束語

本文介紹了一種高效安全保護隱私的混幣服務方案。該方案不僅能割裂輸入地址和輸出地址的鏈接，實現隱私保護的目的，具備較低的計算和存儲開銷，并且擁有良好的安全特性，包括匿名性、防DoS攻擊、防盜竊攻擊、可審計性等。雖然所提方案具有較高的效率和安全性，但在等待交易的確定過程中，由于采用了工作量證明共識機制，存在交易時延較大的問題，未來可以繼續開展對共識機制的優化研究，以提升執行效率。

[1] DORIT R, SHAMIR A. Quantitative analysis of the full bitcoin transaction graph[C]//International Conference on Financial Cryptography and Data Security. 2013: 6-24.

[2] REID F, HARRIGAN M. An analysis of anonymity in the bitcoin system[M]//Security and privacy in social networks. 2013: 197-223.

[3] KOSHY P, KOSHY D, MCDANIEL P. An analysis of anonymity in bitcoin using P2P network traffic[C]//International Conference on Financial Cryptography and Data Security. 2014: 469-485.

[4] MILLER A, LITTON J, PACHULSKI A, et al. Discovering bitcoin’s public topology and influential nodes[R]. 2015.

[5] MAXWELL G. CoinJoin: bitcoin privacy for the real world[C]// Post on Bitcoin Forum. 2013.

[6] BONNEAU J, NARAYANAN A, MILLER A, ET al. Mixcoin: anonymity for bitcoin with accountable mixes[C]//International Conference on Financial Cryptography and Data Security. 2014: 486-504.

[7] VALENTA L, ROWAN B. Blindcoin: blinded, accountable mixes for bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2015: 112-126.

[8] HEILMAN E, BALDIMTSI F, GOLDBERG S. Blindly signed contracts: anonymous on-blockchain and off-blockchain bitcoin transactions[C]//International Conference on Financial Cryptography and Data Security. 2016: 43-60.

[9] BAO Z, WANG B, ZHANG Y, et al. Lockcoin: a secure and privacy-preserving mix service for bitcoin anonymity[J]. International Journal of Information Security, 2018, 19(3): 311-321.

[10] 吳文棟. 基于盲簽名技術的比特幣混幣系統設計與實現[D]. 深圳: 深圳大學, 2015.

WU W D. Bitcoin mix system design based on partial blind signature[D]. Shenzhen: Shenzhen University, 2015.

[11] FENG Q, HE D, ZEADALLY S, et al. A survey on privacy protection in blockchain system[J]. Journal of Network and Computer Applications, 2019, 126: 45-58.

[12] BIRYUKOV A, KHOVRATOVICH D, PUSTOGAROV I. Deanonymisation of clients in Bitcoin P2P network[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 15-29.

[13] SCHOTT P A. Reference guide to anti-money laundering and combating the financing of terrorism[M]. The World Bank, 2006.

[14] DUBOVITSKAYA A, XU Z, RYU S, et al. Secure and trustable electronic medical records sharing using blockchain[C]//AMIA Annual Symposium Proceedings. American Medical Informatics Association. 2017: 650.

[15] YAO Y, CHANG X, MI?? J, et al. BLA: blockchain-assisted lightweight anonymous authentication for distributed vehicular fog services[J]. IEEE Internet of Things Journal, 2019: 3775-3784.

[16] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2): 84-90.

[17] CHAUM D. Blind signatures for untraceable payments[C]//Advances in Cryptology. 1983: 199-203.

[18] ISLAM S K H, AMIN R, BISWAS G P, et al. Provably secure pairing-free identity-based partially blind signature scheme and its application in online e-cash system[J]. Arabian Journal for Science and Engineering, 2016, 41(8): 3163-3176.

[19] SHENTU Q C, YU J P. A blind-mixing scheme for Bitcoin based on an elliptic curve cryptography blind digital signature algorithm[J].Computer Science, 2015.

[20] CAMENISCH J L, PIVETEAU J M, STADLER M A. Blind signatures based on the discrete logarithm problem[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1994: 428-432.

[21] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[J]. Journal of the Franklin Institute, 2004, 239(2):135-139.

[22] 王化群, 張力軍, 趙君喜. 基于橢圓曲線的Schnorr盲簽名[J]. 計算機工程與設計, 2005, 26(007):1819-1822.WANG H Q, ZHANG L J, ZHAO J X. Schnorr blind signature based on elliptic curve[J]. Computer Engineering and Design, 2005, 26(7): 1819-1822.

[23] CONTI M, KUMAR E S, LAL C, et al. A survey on security and privacy issues of bitcoin[J]. IEEE Communications Surveys & Tutorials, 2018, 20(4): 3416-3452.

[24] RUFFING T, MORENO-SANCHEZ P, KATE A. Coinshuffle: Practical decentralized coin mixing for bitcoin[C]//European Symposium on Research in Computer Security. 2014: 345-364.

[25] RUFFING T, MORENO-SANCHEZ P. ValueShuffle: mixing confidential transactions for comprehensive transaction privacy in bitcoin[C]//International Conference on Financial Cryptography and Data Security. 2017: 133-154.

[26] MIERS I, GARMAN C, GREEN M, et al. Zerocoin: Anonymous distributed e-cash from bitcoin[C]//2013 IEEE Symposium on Security and Privacy. 2013: 397-411.

[27] SASSON E B, CHIESA A, GARMAN C, et al. Zerocash: Decentralized anonymous payments from bitcoin[C]//2014 IEEE Symposium on Security and Privacy. 2014: 459-474.

Efficient and safe auditable mixed-coin service scheme based on blind signature

QIAO Kang, TANG Hongbo, YOU Wei, LI Haitao

Information Engineering University, Zhengzhou 450001, China

The mixed-coin service can provide solutions for the privacy problem of blockchain, but it still faces efficiency bottlenecks and security risks. To further improve the efficiency and security protection of the mixed-coin service, an efficient and safe auditable mixed-coin service scheme based on blind signature was proposed. Firstly, this scheme added audit measures. It added an audit blockchain to the traditional mix-coin model to record the behavior of users and mixers, achieving traceability and accountability. Then, this method used elliptic curves algorithm to construct blind signatures instead of blind signature schemes based on bilinear pairs or RSA. Finally, this scheme proposed an auditable blind mix-coin service agreement based on the auditable mix-coin model and the blind signature algorithm based on elliptic curve.Simulation analysis shows that the proposed scheme has six security features, such as auditability and anti-theft attack, while providing privacy protection. Under the same security intensity, the proposed scheme can effectively reduce the computational overhead and storage overhead.

blockchain, auditable, mixed-coin, privacy protection

s: The National Key R&D Program Cyberspace Special (2016YFB0801605), The National Natural Science Foundation Innovation Group Project (61521003), The National Natural Science Foundation of China (61801515)

TP399

A

10.11959/j.issn.2096?109x.2020043

喬康（1994? ），男，四川邛崍人，信息工程大學碩士生，主要研究方向為移動通信網絡安全和區塊鏈技術。

湯紅波（1968? ），男，湖北孝感人，信息工程大學教授、博士生導師，主要研究方向為移動通信網絡、新型網絡體系結構。

游偉（1984?），男，江西豐城人，博士，信息工程大學講師，主要研究方向為密碼學和移動通信網絡。

李海濤（1982? ），男，山東泰安人，信息工程大學講師，主要主要研究方向為網絡數據挖掘。

論文引用格式：喬康, 湯洪波, 游偉, 等. 高效安全的可審計盲混幣服務方案[J]. 網絡與信息安全學報, 2020, 6(4): 23-36.

QIAO K, TANG H B, YOU W, et al. Efficient and safe auditable mixed-coin service scheme based on blind signature[J]. Chinese Journal of Network and Information Security, 2020, 6(4): 23-36.

2020?01?07；

2020?04?03

喬康，773441271@qq.com

國家重點研發計劃網絡空間專項（2016YFB0801605）；國家自然科學基金創新群體項目（61521003）；國家自然科學基金（61801515）