聶敏航，歐毓毅

（廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣東 廣州510006）

當(dāng)前區(qū)塊鏈已成為各國(guó)重點(diǎn)研究的技術(shù)之一。數(shù)字貨幣是區(qū)塊鏈的一項(xiàng)重要應(yīng)用，中國(guó)人民銀行從2014年就開(kāi)始研究數(shù)字貨幣，計(jì)劃把數(shù)字貨幣和電子支付工具結(jié)合起來(lái)，替代一部分現(xiàn)金[1]；2016年12月國(guó)務(wù)院將區(qū)塊鏈寫(xiě)入《“十三五”國(guó)家信息化規(guī)劃》[2]；2019年，F(xiàn)acebook正式公開(kāi)數(shù)字貨幣Libra計(jì)劃，意在打造一套全球性的數(shù)字貨幣。作為貨幣，保障用戶的隱私至關(guān)重要[3-7]。然而區(qū)塊鏈上的每一筆交易都需向全網(wǎng)絡(luò)公開(kāi)，以便所有的用戶驗(yàn)證此次交易是否合法、是否存在雙重花費(fèi)等問(wèn)題。由于這種公開(kāi)透明性，每筆交易的交易金額、地址都清晰地記錄在鏈上，攻擊者通過(guò)分析這些數(shù)據(jù)可以知曉哪些地址屬于同一個(gè)人，甚至可以知道這個(gè)人在現(xiàn)實(shí)中的身份，對(duì)用戶的隱私造成極大的威脅[8]。要保障用戶的隱私必須做到匿名性和不可鏈接性。匿名性是指無(wú)法通過(guò)鏈上的交易知曉用戶的真實(shí)身份；不可鏈接性是指無(wú)法將同一用戶的不同地址鏈接起來(lái)且無(wú)法將同一用戶的不同交易鏈接起來(lái)。

根據(jù)文獻(xiàn)[8-11]，區(qū)塊鏈的匿名性為偽匿名性，通過(guò)對(duì)發(fā)布在區(qū)塊鏈上的交易圖譜進(jìn)行分析能夠獲得用戶交易地址的鏈接關(guān)系，甚至可以將用戶地址和IP地址關(guān)聯(lián)起來(lái)[12-13]，因此并不能保護(hù)用戶的隱私。然而區(qū)塊鏈因其分布式的特點(diǎn)，傳統(tǒng)的隱私保護(hù)方法在此并不能很好地適用。

本文提出了一種改進(jìn)的數(shù)字貨幣混合方案，有混幣需要的用戶將資金委托給一組混幣服務(wù)器，混幣服務(wù)器群組在相互配合和監(jiān)督下完成混合操作。該方法可以保證資金的安全性與混合的隱私性；對(duì)用戶而言，可以節(jié)省計(jì)算與通信開(kāi)銷。

1 相關(guān)工作

增強(qiáng)區(qū)塊鏈用戶隱私的方法有如Zerocoin[14]使用的零知識(shí)證明[15]等，但此類方法通常無(wú)法兼容比特幣區(qū)塊鏈。在比特幣區(qū)塊鏈中一般使用的隱私保護(hù)方法為混幣，本文使用的即為混幣方法?；鞄偶夹g(shù)根據(jù)是否有混幣中心分為中心化混幣和去中心化混幣。

2014年Bonneau等[16]提出了中心化混幣方案Mixcoin，該方案通過(guò)引入中心化的混幣服務(wù)器來(lái)打斷交易的可鏈接性，增強(qiáng)區(qū)塊鏈的隱私性。然而Mixcoin混幣的安全性和隱私性依賴于混幣服務(wù)器，如果混幣服務(wù)器偷幣或泄露混幣細(xì)節(jié)，用戶則無(wú)法阻止。Blindcoin[17]是由Valenta等提出的采用盲簽名技術(shù)來(lái)改善Mixcoin缺陷的中心化混幣方案，利用盲簽名技術(shù)保障了混幣中心在能為混幣用戶提供服務(wù)的同時(shí)無(wú)法將用戶的輸入地址和輸出地址連接起來(lái)，但是此方法依然無(wú)法杜絕混幣中心的作弊行為。

與中心化混幣對(duì)應(yīng)的是拋棄混幣中心的去中心化混幣方案。CoinJoin[18]允許所有參與者的交易合并成一個(gè)交易，只有當(dāng)所有參與者確認(rèn)自己的輸出地址無(wú)誤時(shí)才進(jìn)行簽名，確保資金將被轉(zhuǎn)移到他們的地址。但是在混幣過(guò)程中有用戶惡意拒絕簽名就會(huì)發(fā)生DoS(Denial of Service)攻擊。CoinShuffle[19]和文獻(xiàn)[20]解決了混幣參與者知曉混幣細(xì)節(jié)的問(wèn)題，通過(guò)逐層解密并洗牌的過(guò)程使得即使混幣參與者也無(wú)法得知其他人輸入地址與輸出地址的對(duì)應(yīng)關(guān)系。但需要所有混幣用戶在混幣過(guò)程中全程在線。CoinParty[21]提出了一種基于混合網(wǎng)絡(luò)的去中心化混幣方案，混幣用戶將比特幣提交到混幣服務(wù)器群組，之后的工作由混幣服務(wù)器群組完成，無(wú)需用戶在線，但混幣金額固定。

本文提出了一種可自定義混合金額的基于混合網(wǎng)絡(luò)的混幣方案。該方案中，無(wú)需用戶全程在線，只需將混合資金與經(jīng)過(guò)層加密的輸出地址提交給混幣服務(wù)器群組，之后的工作由混幣服務(wù)器群組來(lái)完成。混幣服務(wù)器群組無(wú)法知曉混幣細(xì)節(jié)，保證了混幣的隱私性。混幣服務(wù)器相互監(jiān)督保證了混幣的安全性。懲罰機(jī)制增加攻擊成本，可減少攻擊的發(fā)生。

2 協(xié)議設(shè)計(jì)

數(shù)字貨幣的混合目的為：n個(gè)用戶將輸入地址I1···In中的資金轉(zhuǎn)移到輸出地址O1···On中，而且只有用戶Uj知曉輸出地址Oj屬于他。本方案中，用戶將輸入地址中的資金以托管的方式交付給混幣服務(wù)器群組，混幣服務(wù)器群組將加密的輸出地址混合，再將托管的資金轉(zhuǎn)移到混合后的輸出地址中。該方法能有效地實(shí)現(xiàn)數(shù)字貨幣交易的不可連接性，同時(shí)能保證數(shù)字貨幣的安全性，使攻擊者無(wú)法在混幣過(guò)程中竊取數(shù)字貨幣。為了防止因輸入地址中的金額不同，導(dǎo)致可以從輸出地址中特定的金額找到對(duì)應(yīng)的輸入地址，之前大多數(shù)的工作規(guī)定輸入地址中的金額必須相同，本方法中通過(guò)增加用戶輸出地址的數(shù)量使輸出地址中金額相同而輸入地址中金額可以不同，實(shí)現(xiàn)可自定義金額的混幣。本節(jié)將詳述方案總體設(shè)計(jì)和方案具體實(shí)現(xiàn)方法。

2.1 方案的總體流程

本方案主要有以下5個(gè)步驟。

(1)初始化階段，該階段首先從所有提供混幣服務(wù)的機(jī)構(gòu)或個(gè)人中產(chǎn)生一個(gè)混幣服務(wù)器群組，其中每個(gè)混幣服務(wù)器代表一個(gè)不同的混幣服務(wù)提供者。再由混幣服務(wù)器群組生成一個(gè)由所有混幣服務(wù)器共同控制的托管地址E。此階段只涉及混幣服務(wù)器，可以在實(shí)際混合操作之前的任何時(shí)間發(fā)生。

(2)交互階段，混幣服務(wù)器群組接收混幣參與者。該階段是用戶與混幣服務(wù)群組唯一的交互階段。想要進(jìn)行混幣操作的用戶只需向任意混幣服務(wù)器發(fā)送一個(gè)請(qǐng)求，并接收初始化階段生成的托管地址E以及一組混合參數(shù)和條件。如果此用戶同意這些條件，用戶只需生成一個(gè)輸出地址為E的交易，就可以將所需的資金提交到托管地址。該用戶還生成一個(gè)或多個(gè)新的輸出地址，并使用每個(gè)混幣服務(wù)器的公鑰為每個(gè)輸出地址分層加密。

與我國(guó)風(fēng)景園林行業(yè)關(guān)系最為密切的法律為《中華人民共和國(guó)城鄉(xiāng)規(guī)劃法》，2007年10月，由第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)，進(jìn)一步加強(qiáng)了規(guī)劃設(shè)計(jì)行業(yè)與國(guó)家社會(huì)經(jīng)濟(jì)發(fā)展、土地、環(huán)保等專項(xiàng)規(guī)劃的對(duì)接與協(xié)調(diào)，對(duì)我國(guó)風(fēng)景園林事業(yè)產(chǎn)生了重要影響。現(xiàn)行法律中涉及風(fēng)景園林行業(yè)的法律還包括《中華人民共和國(guó)建筑法》《中華人民共和國(guó)招標(biāo)投標(biāo)法》和《中華人民共和國(guó)城市房地產(chǎn)管理法》等。

(3)混合階段。交互階段完成后，混幣服務(wù)器Mi對(duì)加密過(guò)的輸出地址Si解密，然后混合排列順序得到Si+1后廣播，再由混幣服務(wù)器Mi+1繼續(xù)解密直到得到明文輸出地址。在混合階段結(jié)束后，混幣服務(wù)器獲得隨機(jī)排列的輸出地址O1···On。該地址的排列對(duì)混幣服務(wù)器本身也是未知的，因此實(shí)現(xiàn)了用戶與其輸出地址之間的不可鏈接性。

(4)在交易階段，將托管地址的資金轉(zhuǎn)移到打亂的輸出地址。所有的混幣服務(wù)器進(jìn)行簽名完成交易，確保惡意的混幣服務(wù)器不能竊取資金或過(guò)早地停止混幣進(jìn)程。

(5)解散。當(dāng)混幣服務(wù)結(jié)束后，等到區(qū)塊鏈系統(tǒng)將交易記錄到區(qū)塊鏈上，并等待區(qū)塊鏈系統(tǒng)再生成R個(gè)區(qū)塊之后，此混幣服務(wù)器群組解散。需要再次提供混合服務(wù)時(shí)，各混幣服務(wù)器再隨機(jī)組成另一個(gè)混幣服務(wù)器群組。

當(dāng)在混合過(guò)程中出現(xiàn)問(wèn)題時(shí)進(jìn)入問(wèn)責(zé)程序，若有混幣服務(wù)器行為不端，則其他混幣服務(wù)器共同生成該混幣服務(wù)器的私鑰，接管該服務(wù)器的工作，混幣正常進(jìn)行。若發(fā)現(xiàn)混幣用戶行為不端，則退回誠(chéng)實(shí)用戶資金到原地址。允許混幣服務(wù)器群組保留惡意用戶的資金，從而至少提供了針對(duì)惡意用戶DoS攻擊的反應(yīng)性保護(hù)。

2.2 方案的詳細(xì)流程

2.2.1 初始化

圖1 地址混合過(guò)程Fig.1 Overview of the address shuffling

2.2.4交易階段

在該階段，混幣服務(wù)器群組將托管資金轉(zhuǎn)移回用戶打亂的輸出地址。由于托管地址E是由所有混幣服務(wù)器共同控制的，因此不能使用標(biāo)準(zhǔn)的橢圓曲線數(shù)字簽名算法(Elliptic Curve Digital Signature Algorithm, ECDSA)，在此需要所有混幣服務(wù)器共同簽署交易。最后，將簽名消息廣播到比特幣網(wǎng)絡(luò)。

2.2.5 解散

2.2.6問(wèn)責(zé)

在混合階段失敗時(shí)進(jìn)入該階段。此階段主要有兩項(xiàng)任務(wù)：(1)判斷哪個(gè)混幣服務(wù)器或用戶造成錯(cuò)誤；(2)修復(fù)錯(cuò)誤或?qū)⑼泄苜Y金轉(zhuǎn)移回所有誠(chéng)實(shí)的用戶?；旌想A段的設(shè)計(jì)只有2個(gè)出錯(cuò)的可能：要么混幣服務(wù)器沒(méi)有正確地解密第i個(gè)加密層，篡改了洗牌；要么惡意用戶公布了一個(gè)不一致的層加密或不一致的驗(yàn)證信息，進(jìn)行DoS攻擊。處理方法如下：

3 系統(tǒng)方案分析

3.1 安全性分析

3.1.1不可鏈接性

不可鏈接性要求混幣服務(wù)器和外部觀察者無(wú)法將混幣用戶的輸入地址和輸出地址鏈接起來(lái)，參與混幣的用戶無(wú)法將其他用戶的輸入輸出地址鏈接起來(lái)。對(duì)于混幣服務(wù)器來(lái)說(shuō)，其收到混幣用戶發(fā)來(lái)的輸出地址是經(jīng)過(guò)加密的，在混合階段解密時(shí)，每個(gè)混幣服務(wù)器只解密一層，地址的交換也是隨機(jī)的，所以無(wú)法知曉輸出地址；以秘鑰分享的方式校驗(yàn)解密的正確性也確保了混幣服務(wù)器無(wú)法通過(guò)輸出地址的hash值得知混幣用戶對(duì)應(yīng)的輸出地址。對(duì)于外部觀察者來(lái)說(shuō)，只能看到多個(gè)地址中的資金轉(zhuǎn)移到一個(gè)地址中，資金又從這個(gè)地址中分散到另外的多個(gè)地址中，而無(wú)法知曉這些地址間的關(guān)系。對(duì)于參與混幣的用戶來(lái)說(shuō)，只是自己將輸入地址中的資金轉(zhuǎn)移到托管地址，而后資金又從托管地址回到自己的輸出地址，對(duì)于其他用戶的輸入輸出地址信息也無(wú)法知曉。所以本方案具有不可鏈接性。

3.1.2 低風(fēng)險(xiǎn)

惡意混幣服務(wù)器或用戶可能會(huì)破壞混幣過(guò)程。在此協(xié)議中，減少了這個(gè)問(wèn)題的發(fā)生的可能性?；鞄庞脩粜鑼⑵浔忍貛呸D(zhuǎn)移到托管地址中，如果表現(xiàn)不誠(chéng)實(shí)，混幣服務(wù)器群組將扣留其資金?；鞄欧?wù)器也需要在提供混幣服務(wù)前繳納一定的保證金，若其破壞混幣過(guò)程，保證金將不再返還。因?yàn)榛鞄挪僮餍枰Ц兑欢ǖ幕鞄刨M(fèi)用，進(jìn)行DoS和Sybil攻擊需支付較大的代價(jià)，因此能有效地防范此類攻擊。

3.2 功能分析

表1為本文方法與文獻(xiàn)[20]和[21]的對(duì)比。3種方法都能夠兼容比特幣系統(tǒng)。本文方法和文獻(xiàn)[21]都基于混合網(wǎng)絡(luò)，用戶將資金轉(zhuǎn)移到混幣服務(wù)器創(chuàng)建的托管地址后，其他操作由混幣服務(wù)器完成，用戶能享受中心化混幣的便捷。本方法相較于文獻(xiàn)[20]和文獻(xiàn)[21]可自定義混合金額，本文方法使用一個(gè)托管地址，混合操作結(jié)束后將資金返還到用戶的輸出地址，所以用戶提交到托管地址的金額可以不同，只需最后輸出地址中的資金保持一致即可。與文獻(xiàn)[20]相比本方法需要額外的混合費(fèi)用。

表1 各混合方法功能對(duì)比Table 1 Function comparison of methods

3.3 效率分析

相較于CoinShuffle[19]與文獻(xiàn)[20]等去中心化混幣方法中混幣用戶需全過(guò)程參與，本方案中混幣用戶只需要在交互階段與混幣服務(wù)器群組進(jìn)行通信，并將需要混合的資金轉(zhuǎn)移到指定的托管地址中，之后的輸出地址混合及將資金轉(zhuǎn)移到用戶輸出地址都由混幣服務(wù)器完成，無(wú)需混幣用戶參與，節(jié)省了混幣用戶的計(jì)算和通信開(kāi)銷。另外，在CoinShuffle[19]和文獻(xiàn)[20]中混幣時(shí)間與混幣用戶數(shù)量n有關(guān)，隨著混幣用戶數(shù)量n的增大，混幣所用時(shí)間就會(huì)變長(zhǎng)。在本方案中，混幣所用時(shí)間與混幣服務(wù)器數(shù)量m有關(guān)，即使混幣用戶很多，混幣時(shí)間也不會(huì)有很明顯的增加。

4 總結(jié)

通過(guò)分析公共區(qū)塊鏈記錄的交易圖譜[9-12,23]，比特幣的匿名性已經(jīng)被攻破。普通的比特幣用戶無(wú)法防范此類攻擊。這些工作表明，需要一個(gè)以用戶為中心的解決方案來(lái)重建比特幣的金融隱私。因此，學(xué)者為了匿名和隱私進(jìn)行一系列比特幣混合服務(wù)研究[16-18]。然而，這些方法各有缺點(diǎn)。

本文提出了一種分布式混合方案，結(jié)合中心化和分布式混合的優(yōu)點(diǎn)。在本方案中，用戶先將混幣資金轉(zhuǎn)移到混幣服務(wù)器群組共同控制的托管地址中，并提交經(jīng)過(guò)層加密的輸出地址，混幣服務(wù)器群組使用解密混合網(wǎng)絡(luò)混合輸出地址，最后將托管地址中的資金轉(zhuǎn)移回輸出地址中。該方法能有效地抵抗公共區(qū)塊鏈的分析攻擊，能保障混幣的安全性、不可鏈接性、匿名性等，并且輸入金額可變，提高了混幣的便利性。