格上基于盲混币的区块链隐私保护方案

技术领域

本发明涉及区块链隐私保护技术领域，特别涉及一种基于格的盲混币方法。

背景技术

区块链是一种分布式账本技术，具有去中心化、数据公开可验证和不可篡改等特点。根据开放程度，区块链可分为公有链、联盟链和私有链。公有链提供了数据的公开可验证性和不可篡改性，不过也增加了隐私泄露的风险。例如，公开可验证性使得潜在攻击者可以容易获得区块链中所有交易信息。而区块链具有的不可篡改性使得交易信息写入区块链后，一旦发生隐私泄露，将无法被修改和删除，因而导致用户隐私的永久泄露。相比于传统领域可以通过删除相关已泄露的数据来减轻隐私泄露的危害，区块链系统面临的隐私泄露问题愈加突出。因此，提高隐私保护能力，为用户提供交易信息的匿名化服务，成为区块链研究的重要一环。

混币是一种有效兼容当前主流区块链系统(比特币、以太坊)的隐私保护方法。它通过混淆交易输入输出地址间的映射关系，使攻击者无法获得准确的交易信息，达到保护区块链用户隐私的效果。根据是否需要混币服务商参与，混币又可分为中心化混币和无中心化混币。不过，在中心化混币中，存在混币服务商可能会泄露混币过程或者盗取用户资金的问题，对用户的匿名性以及交易资金的安全性造成潜在威胁。盲混币将盲签名技术与中心化混币机制结合，可保障即使混币服务商也无法掌握交易地址间的映射关系，有效解决混币服务商泄露混币过程的问题。进一步地，在盲混币中使用多重签名技术可保障混币用户交易资金安全。

随着量子科学的快速发展，实现盲混币服务的量子安全有利于实现盲混币服务的长期安全，从而保障区块链隐私保护服务的长期安全。已有的盲混币方案所依赖的密码体制在量子环境中并不安全，无法提供量子环境中的安全性。而格密码工具是公认的可以实现量子安全的后量子密码体制，近年来，取得快速发展。不过，已有的格基盲签名协议存在可能会重启的问题。换句话说，用户与签名者在执行盲签名协议交互后，可能无法得到合法的盲签名，进而需要多次执行盲签名协议直至得到合法盲签名。这在导致用户与签名者之间的计算与存储成本增大的同时，也给用户带来了较差的交互体验，即可能需要多次交互才能达到目的。BOUAZIZ-ERMANN等[BOUAZIZ-ERMANN S,CANARD S,EBERHART G,etal.Lattice-based(Partially)Blind Signature without Restart[EB/OL].https：//eprint.iacr.org/2020/260.]等解决了格基盲签名中的重启问题，有效减少了用户与签名者之间的交互次数，提升了格基盲签名协议的执行效率。进一步地，将DUCAS等[DUCAS L,DURMUS A,LEPOINT T，et al.Lattice Signatures and Bimodal Gaussians[C]//Advances in Cryptology–CRYPTO 2013.Berlin：Springer,2013：40-56.]提出的双峰高斯拒绝抽样技术应用于BOUAZIZ-ERM ANN等构造的盲签名协议可进一步提高其计算效率，从而可以大幅压缩混币用户与混币服务商(签名者)之间的计算消耗。

发明内容

已有的盲混币方案无法实现量子环境中的安全性。为此，本发明面向区块链中的隐私保护服务，提出一种能够提供抗量子攻击的盲混币方案。与已有盲混币方案比较，方案在实现了匿名性、不可链接性、可审计性、抗盗币攻击等特性的同时，还为盲混币服务方案提供可抗量子攻击的特性。能够有效提升区块链隐私保护服务的安全防护水平，为区块链用户提供长期安全的隐私保护服务。

本发明的目的通过以下技术方案实现：

一种格上基于盲混币的区块链隐私保护方案，包括如下步骤：

首先对方案中的角色作一说明：混币服务商S：提供混币服务的服务商。混币用户U：参与混币的用户。审计区块链：只可增加不可修改的公告板，可由比特币区块链实现。

设置阶段：混币服务商S公开混币相关参数，并生成用于签名及盲签名操作的密钥对(pk,sk)。

消息盲化交互：用户U和混币服务商S进行盲化交互，生成消息m＝k

用户申请混币：用户U向混币服务商申请混币。

同意混币：如果混币服务商S同意混币申请，则混币服务商S生成一个多重签名交易地址k

用户转账：用户U收到来自混币服务商S的多重签名交易地址后，通过匿名地址向多重签名交易地址k

发布盲签名：当用户成功向交易地址k

用户发布去盲签名：用户对盲签名进行去盲操作，并将去盲后的签名发送至审计区块链。

混币服务商转账：混币服务商S验证用户发布的去盲签名的合法性，如果合法，混币服务商S将向用户提供的混币输出地址中转账；如果混币服务商S未转账，则用户可提供转账交易及消息e*的合法盲签名对S进行审计追责。

用户转账：用户向混币服务商的交易地址k

取出共同资金：用户和混币服务商取出在多重签名交易地址k

进一步地，S执行以下步骤生成密钥对：①随机选择均匀矩阵

进一步地，为将消息盲化，U和S进行交互。S由

进一步地，在收到用户混币申请后，混币服务商S利用信息k

进一步地，混币服务商S通过如下方式发布盲签名：①b←{-1,1}；②z*←bSe*+y，以概率

进一步地，用户U通过如下方式进行完成签名去盲并发布。用户U计算z←z*-t

进一步地，混币服务商S通过如下方式验证用户发布去盲签名的合法性：①

与已有技术相比，本发明主要有以下优点：

1、抗量子攻击特性。本发明是基于格密码工具设计，得益于格密码的抗量子攻击特性，本发明在量子环境中依然具备安全性，能够为区块链提供长期安全的隐私保护服务。

2、高效性。本发明中设计的盲签名方案不会出现重启问题，与已有格基盲签名相比，方案的计算效率更高。

3、抗盗币攻击。用户首先将资金转入了利用k

附图说明

图1是本发明实施例的盲混币模型架构图。

图2是本发明实施例的格上盲混币方案概要图。

具体实施方式

为了更好的理解本发明的技术方案，以下结合实施例和附图对本发明做进一步描述。

本实例的格上基于盲混币的区块链隐私保护方案具体包含以下步骤：其中，用transfer(v,in,out)表示将v个BTC(比特币)从输入地址in转到输出地址out。

步骤1、设置阶段。混币服务商S公开混币相关参数{v,T

步骤2、消息盲化交互。为将消息盲化，U和S进行交互。S由

步骤3、用户申请混币。U将元组

步骤4、同意混币。混币服务商S利用信息k

步骤5、用户转账。在约定的时间T

步骤6a、发布盲签名。在交易transfer(vr,k′

步骤6b、未发布盲签名。若S未发布盲化消息e*的盲签名，则U公开证据{e*,k

步骤7、用户发布去盲签名。在约定的时间T

步骤8a、混币服务商转账。当审计区块链中出现消息m及其签名s＝(z,e)后，S通过以下方式验证消息m的去盲签名s＝(z,e)签名的合法性：①

步骤8b、混币服务商未转账。若S未完成交易transfer(v,k′

步骤9a、用户转账。在交易transfer(v,k′

步骤9b、用户未转账。如果U未完成交易transfer(v,k

步骤10、取出共同资金。U在约定的时间T