工程应用

基于可信监管方的比特币强匿名混淆策略

费天龙^1,2，郭 静³，鲁 宁^1,2，史闻博^1,2

(1. 东北大学，沈阳 110819；2. 东北大学秦皇岛分校，秦皇岛 066004；3. 中国电子科学研究院，北京 100041)

摘 要： 弱匿名性是当前比特币面临的最主要安全威胁之一。攻击者利用该漏洞，可轻易追踪到用户资金真实走向，进而通过探测软硬件漏洞、种植木马病毒等方式来窃取它们的比特币。为此，研究者们提出了混币——一种通过割裂交易输入和输出的映射关系来增强匿名性的技术。鉴于已有混币策略存在匿名集小、拒绝服务、可扩展性差等问题，本文提出一种基于可信监管方的比特币强匿名混淆策略(a Strong anonymous Obfuscation scheme for Bitcoin based on trusted Regulator，简称SOBR)。该方法首先借鉴多银行电子现金的思想，设计一个基于可信监管方的混币系统模型，然后设计一个基于群盲签名的混币协议。通过理论分析，本文方法不仅极大扩大了匿名集规模，而且在抗拒绝服务攻击、提高可扩展性等方面有了很大的改善。

关键词： 比特币；强匿名；混淆；群盲签名

0 引 言

匿名性是现实货币的重要特征，它能有效地保护用户身份隐私，使货币能够更安全地流通。比特币^[1]作为一种新型的模拟真实货币的电子现金技术，一经提出，就受到人们广泛关注，当前市值更高达2180亿美元。然而，比特币交易细节的可公开性以及交易信息的可追溯性导致它仅能提供较弱的匿名功能。例如，宾夕法尼亚州立大学的P. Koshy^[2]通过深入分析由交易网络和用户网络构建的互惠视图，将用户和地址相关联，实现身份定位；苏黎世联邦理工学院的E. Androulaki^[3]通过设计高效的启发式算法将比特币的地址集和实体身份相关联，完成去匿名化分析。很明显，一旦攻击者追踪到用户资金真实走向，就能通过探测软硬件漏洞、种植木马病毒等方式来窃取比特币。为此，如何增强比特币的匿名性就成为一个急需解决的问题。

针对上述问题，学者们提出了混币技术，通过将一系列交易的输出地址进行随机置换或混合，从而割裂交易输入和输出的映射关系。按照网络组织结构来划分，已提出的混币方法可分为两类^[4]：去中心化的混币策略和中心化的混币策略，前者是由用户节点直接通过混淆输出地址、构建Coinjoin^[5]式交易(是一种无信任的方法，可将多个消费者的比特币支付合并到单一交易中，使外部各方更难以确定哪个消费者支付了哪个接收者或接收者)以及对交易进行签名来完成映射关系的割裂。然而，一方面有限规模的Coinjoin式交易会造成较小的匿名集，从而产生匿名强度低等问题，另一方面恶意用户拒绝签名会造成混币服务中断，延长服务时间。后者通过引入多个中心服务节点(称为混淆商)来完成用户输入地址与输出地址的隔离，进而切断它们之间的映射关系。因无需Coinjoin式交易以及其他用户签名，故具备较大的匿名集和较高的安全性。基于此，本文重点关注中心化的混币策略。

目前，绝大多数中心化的混币策略都是先由用户使用输入地址将用于交易的比特币转移给混淆商，然后再由混淆商构建一笔新的交易，将比特币沿输出地址返还给用户。然而，为了避免混淆商因拒绝执行第二笔交易而发起拒绝服务攻击，它们大都使用了地址托管或者凭证签名，从而公开了输出地址，使恶意用户能够轻易区分不同混淆商的匿名集。在交易总额一定的条件下，使匿名集的总体规模被限制，进而降低了系统的匿名强度。

针对上述问题，本文提出一种基于可信监管方的比特币强匿名混淆策略(a Strong anonymous Obfuscation scheme for Bitcoin based on Trusted Regulator，简称SOBR)。首先，受多银行电子现金技术的启发，提出基于可信监管方的混币系统模型，它能在完成混币任务的同时阻止混淆商的恶意行为(例如偷钱、好奇)。然后，利用群盲签名的不可链接性，设计一个混币协议，将相互独立的混淆商构建成整体，扩大用户的匿名集，增强系统的匿名性。

本文对SOBR的匿名集规模、可扩展等性能进行了理论评估。结果表明，本文方法不仅延续了传统方法对匿名性的保障，而且极大提升了匿名集规模；此外，还具备抗拒绝服务攻击、可扩展性强等特点。

本文其余部分结构如下：第2节介绍介绍相关工作的同时阐明本文的主要贡献；第3节介绍方法所需的预备知识；第4节给出本文提出的混币方法，其中4.1节给出方法的系统模型，4.2节给出方法的具体协议；第5节对所提协议进行理论分析；第6节总结全文并指出下一步的工作重点。

1 相关工作

迄今为止,已有数种混币策略被提出。按照研究思路不同，它们可划分为“革新型”和“改良型”，前者利用零知识证明与环签名等密码学手段设计一种可内置隐私功能的新数字货币，例如ZeroCoin^[6]、ZeroCash^[7]与Monero^[8]等，它们更适合下一代电子现金技术。后者认为既然比特币协议已经占据了巨大的市场份额，一旦轻易地变革必然会带来的巨大成本开销。为此，它们更倾向于在不打破基本协议的前提下来提高比特币的隐私保护和匿名性。本文重点关注改良型的混币策略，它们可分为两大类：去中心化和中心化。前者依靠用户间的交互来构建基于点对点的用户网络，进而生成一个包含用户信息的聚合交易，使恶意攻击者无法探知Coinjoin式交易输入方与输出方的映射关系，经典策略包括：Coinjoin^[5]、Coinshuffle^[9]、Coinshuffle++^[10]和Xim^[11]。但是它们存在匿名集小、拒绝服务等问题。后者使用多个混淆商来完成用户输入地址与输出地址的隔离，可以有效地避免上述问题，提高匿名强度。为此，本文主要介绍当前比较流行的中心化混币策略。

Coinswap^[12]借助比特币脚本与混淆商构建哈希锁保障用户与混淆商交易的公平性。虽然它通过许多发送者使用混淆商向许多接收者传递交易，切断了用户的输入地址与输出地址之间的映射关系，对外部实体是不可见的，但这种映射关系对于混淆商是可见的。它针对外部实体是匿名的，对于混淆商不是匿名的。

到了第三个阶段，教师往往会忽视“微课”的作用，把网络平台当做了交流平台，更多的是学生提问，老师回答。研究中我们发现，在课后为学生分享课堂上的教学“微课”是非常必要的，学生们不仅可以通过再次观看“微课”视频内化学习过的内容，更能够从中找出教师的不足，甚至有许多更好的“微课”设计创意都是来自学生课后观看“微课”所产生的。通过研究，我们认为课后分享“微课”，与其说是为了帮助学生成长，不如说是为了师生共同成长，是非常值得在翻转课堂教学系统中被使用的。

Mixcoin^[13]是一个促进比特币与类似加密货币匿名支付的第三方混淆协议。用户与第三方的混淆商交互构造一个标准大小的交易，这个交易与普通交易对于外部实体是不可区分的。但是它对于混淆商是可区分的，混淆商可以知道用户的所得到的新地址。此外它提出一种基于信誉度的追责制度来保障用户的资金的安全。但是混淆商可以在退出时，选择放弃声誉，得到用户的资金。

在夹具装夹过程中辅助支承并不起定位作用，一般是用来提高零件的装夹刚度和它的稳定性。该夹具设计的任务首先是选择和设计相应的定位元件来确定定位方式，以保证在加工时工件的精度。夹具体须将其定位元件、导向机构、夹紧装置三个连为一体，才能保证在机床上的安装精度，采用铸造夹具体的铣床夹具。其安装方便稳定好，刚度好。

Blindcoin^[14]针对Mixcoin在匿名性上的弱点，使用盲签名对其进行了改进。在Blindcoin中，盲签名隐藏输入与输出的映射关系，使混淆商不能打破用户的匿名。但是它降低了Mixcoin对于外部实体的匿名集大小。

BlindlySignedContract^[15]在用户与混淆商交易过程中使用盲签名和智能合约保障匿名性和安全性。但是它需要软分叉来增加一个操作符以支持具有高效的双线性对椭圆曲线，从而达到与比特币兼容。

TumbleBit^[16]是一个与比特币兼容的双向不可链接支付中心。TumbleBit的混淆商为了构建信任，使用多方安全计算的cut-and-choose方法来构建信任，并使用RSA盲签名来构造谜题保障匿名性，在不用对比特币进行软分叉的情况下实现用户的匿名性与混淆商资金偷窃问题的抵抗。此外，Claudio Ferretti^[17]对TumbleBit做出改进，能够适用私链的匿名支付。但是它们的匿名集的大小取决与用户参与某个特定的tumbler的数量。

与上述工作相比，本文提出一种强匿名的混币策略，其特色在于解决混淆不可区分性的同时增大用户的匿名集，进而增强系统对所有外界观察者的匿名性。需要说明的是，作者团队之前提出过可监管的隐私保护混淆服务^[18]。它使用公平的RSA盲签名方案对用户的凭证进行签名，但是盲签名方案不具备签名者的匿名性。而本文使用群盲签名方案具备签名者的匿名性，在不降低用户匿名等级的前提下，提升系统可扩展性，使混淆策略具备强匿名性。

2 预备知识

本文利用群盲签名^[19]和多混淆商来实现强匿名性。所谓群盲签名是指群成员在不知道内容的前提下能够代表群来签署消息。当签名者在回复用户的对m的签名请求时，签名者执行操作如下：

(1)选取令

(2)随机选取2^λ ≤u _i ≤2^λ+μ -1,1≤i ≤l ；令

tx 2_id ：交易tx 2的交易id 。

(3)随机选取令

(4)将发给用户。

用户执行操作如下：

(1)选取令w ∶=(af )^eb (modn )；

(2)再令

(3)执行盲化SKLOGLOG 协议和盲化SKROOTLOG 协议^[17]，并使用和作为承诺值，然后将签名者应答结果修改为和

监管方：监管方R负责群参数的建立，验证、签发证书与审计。由于混淆商不可完全信任，因此本文引入一个可信第三方作为监管方对恶意的混淆商进行追责以及资金的保管。在注册阶段，监管方可以添加或删除混淆商。在审计阶段中，监管方可以解密签名并获得签名者信息，还可以通过解密签名对恶意混淆商进行追责。本文假设监管方由银行或者政府等可信权威机构担任。

3 可信监管下的比特币强匿名混淆策略

本文首先提出一个基于可信监管方的混币系统模型，在此基础上设计面向比特币的强匿名混淆协议。

3 .1 基于可信监管方的混币系统模型

群参数: RSA公钥(n ,e )，其中n 的长度至少为2l 比特，l 为安全参数。一个阶为n 的循环群G =〈g 〉，在G 中计算离散对数是困难的。此外，我们能够选择G 作为的子群，其中p 是素数且满足n |(p -1)。单位元而且a 与n 的所有素数因子相模具有大的乘法阶。私钥长度的上界λ 和常数μ >1。群公钥Y =(n ,e ,G ,g ,a ,λ ,μ )。个人密钥x ∈_R {0,1,…,2^λ -1}，计算y =a ^x (modn )和成员密钥z =g ^y 。

(4)用户获得和，即即消息m 的最终签名，其中签名中V ₁的值V ₁=和签名中V ₂的值相关的细节可以参阅所引用的群盲签名^[19]。

混淆商：只有经过监管方认证通过注册的混淆商(即得到群证书的混淆商)才会被用户认可。混淆商与监管方的交互不以匿名的方式进行，但是每次消息的发送我们都会加密的方式进行。为了激励更多的混淆商参与混淆，每次混淆过程中混淆商可以收取一定的混淆费作为激励。

图1 基于可信监管方的混币系统模型

用户：用户是一个想将一定数量比特币从比特币地址ua 1转移到一个全新的比特币地址ua 2的实体。用户与混淆商与监管方间的通信以匿名通道的方式(如：Tor)进行。这可以保障混淆商无法将地址ua 1与ua 2联系起来。

公告板：公告板具有可公开访问以及不可篡改的特点。这可以使用比特币消息服务来协助实现^[20]，可以一次性发布多条消息，在一条比特币交易中，只需要支付一小笔比特币费用(1 kB大概只需要支付0.0002 btc)。每条消息都将有一个不可更改的唯一区块高度作为时间点。公告板所记录消息，可以成为揭发参与者恶意行为的强力证据。一旦混淆商或用户存在恶意行为，那么监管方可以凭借这些证据作为依据对恶意行为做出惩罚。

For the Figure 1a), the relationship of configuration formula derivation is shown as:

3 .2 基于群盲签名的混币协议

本文混币协议采用时间片轮转方式，一个时间片包括注册阶段、混淆阶段以及审计阶段。以下是协议参数的介绍，然后分别详细描述这三个阶段。

3 .2 .1 协议参数

本协议所用参数主要包括群参数和混淆参数。前者主要用来构建群盲签名，后者主要用于混淆。

在具体浇筑工作中，为了有效提升混凝土处理效果，主要是利用胶带将型钢表面的凹槽进行封堵处理，在后期浇筑时则要利用对称浇筑的机制完成基本工作，应用插入式振捣棒完成振捣管理，且在混凝土密实度优化提升振捣处理工序的合理性。

本文系统主要由监管方、混淆商和用户三类角色组成。监管方与混淆商之间交互包括监管方为混淆商提供资格认证、资金托管以及监管恶意行为。混淆商与用户之间的交互主要包括混淆商为用户提供比特币混淆。用户之间也可以使用签名凭证进行支付交易。主要流程如下：在注册阶段，如果混淆商想要加入群组且被用户认可，那么混淆商向监管方提出加入请求，监管方审核混淆商，一旦审核通过，监管方就给混淆商提供群证书。在交易阶段，用户使用非匿名地址向认证过的混淆商支付一定数量的比特币，同时提供凭证，以换取混淆商的群签名。用户使用这个群签名，以匿名方式任意寻找一个混淆商，要求其向凭证中的匿名地址支付一定的比特币。如此，用户就拥有了一定数量比特币的匿名地址。系统模型如图1所示。

混淆参数：交易的固定面额d _i ，混淆费的费率r ，交易混淆阶段开始时间点t ₁，审计的开始时间点t ₆。

3 .2 .2 注册阶段

在本阶段，混淆商向监管方进行注册，只有注册过的混淆商才能够为用户提供混淆服务。

Step1:混淆商给监管方发送一些注册参数D ₁=〈a ₁,(y ,z ),b ,M _i ,s ₁,tx 1_id 〉。

Step4: 如果混淆商M _a 同意用户U 所提供的参数，那么发送D ₆=〈{D ₅,a ₂,nouce }_xa ,D ₅,a ₂,nouce 〉同意签名给用户。否则User寻找其他混淆商重新执行Step3。

大海航行靠舵手，学校发展靠老师，优质的师资力量是教育质量的基本保障。要培育出一流的企业人才，优质的师资队伍是必不可少的。社会的总体资源是有限的，可以通过聘请一些行业专家以及一些经验丰富的高技能人才作为学校的兼职教师，充实学校的教学力量，促进师资队伍的健康发展，提升整体教师队伍素质。同时，还可以适当增加激励措施，鼓励教师继续学习，取得各类职业资格证书，或者是增加进企业实习或挂职机会，增加实践知识储备，提升实践能力，有效培养学科带头人，促进“双师型”教师队伍的建设，从而起到良好的传帮带效果。

(y ,z )：混淆商对x 的知识证明，用于申请群证书。

b :y 的承诺。

M _i ：混淆商的基本信息，用于用户寻找混淆商交易以及审计阶段的追责。

s ₁: 混淆商对a ₁的拥有权证明,使用地址a ₁所对应的私钥对M _i 的签名^[21]。

1.目标驱动措施。构建“四驱双核”服务型党支部，要牢牢把握“服务专业发展和学生培养”这两个双核目标，认真设计载体，有效开展工作，充分发挥教工党支部在双核目标发展中的推动作用。在服务专业发展上的目标，就是要用教工党支部中优势专业党员教师的合力，建设特色专业；用教工党员所具有的优势专长，服务特色专业，建立以首席教师为主的特色专业群，动态调控专业结构，逐步形成系列标准化课程模块；在服务学生培养上的目标，就是要真正关心学生，把解决思想问题与实际问题结合起来，把学生的政治追求、职业发展、个人成长、情感交流、生活帮助等需求纳入教工党支部服务范畴，实施精细化、过程化管理，持续增强教师党员在学生中的影响力。

tx 1_id ：tx 1是一个比特币交易，交易输入是地址a ₁，交易的解锁条件为混淆商与监管方的共同签名或者混淆商的签名与时间窗口tw 1。

Step2：监管方收到Step3中的消息D ₁后进行验证。监管方验证：a)混淆商的所拥有的地址a ₁中是否有足够的比特币用于兑换；b)s ₁是否为a ₁的拥有权证明；c)交易IDtx 1_id 所对应的交易是否构造正确；d)s ₁是否之前使用过；e) (y ,z )能否成功证明混淆商知道x 。如果验证通过，那么保存D ₁中的s ₁，并为验证通过的消息解锁交易tx 1。然后选择一些验证通过的消息，根据消息中的(y ,z )为其生成群证书v ≡(y +1)^1/e (modn )，最后向混淆商发送回复消息D ₂=〈v ,a ₂,s ₂〉。否则什么都不做。

（1）试件无损检测 试件焊缝表面呈现银白色或金黄色，表面无裂纹、咬边、未熔合的缺陷，焊缝余高未超过1～3mm，根部全焊透。按照ASME B31.1要求进行射线检测合格。

v : 混淆商Mi 的群证书。

a ₂：混淆商为用户提供签名以接受比特币的地址，初值为0。该地址的私钥由监管方保存，我们称为托管地址。

s ₂：监管方对a ₂的拥有权证明。

Step3:在监管方确定完混淆商之后，公布索引表list ₁={M ₁-a ₂,M ₂-a ₂,…,M _m -a ₂}到公告板上。列表list ₁记录混淆商的基本信息M _i 与混淆商为每个用户提供签名以接受比特币的新地址a ₂(每个混淆商的a ₂都是独特的)及其两者的对应关系。

3 .2 .3 混淆阶段

在本阶段，用户将要混淆的比特币交给任意选择的一个混淆商，获得一个凭证。用户将该凭证交给任意一个混淆商，获得“等额”的比特币。此时新获得比特币将不会泄露用户的身份。

假设混淆商M _a 与M _b 的个人私钥分别为x _a 、x _b 。相对应的公钥为y _a 、y _b 。

Step1：用户U随机选择一个混淆商M _b ，然后在一个匿名通道上给M _b 发送混淆参数D ₃=〈t ₄,t ₅〉。

t ₄：用户U匿名地在公告板中给混淆商M _b 提供凭证的截止时间。

t ₅：混淆商M _b 给用户U的匿名地址ua ₂支付BTC的截止时间。

Step2：如果混淆商M _b 同意用户U所提供的参数，那么在此匿名通道给用户发送同意签名D ₄=〈{D ₃,nouce }_xb ,D ₃,nouce 〉。否则User寻找其他混淆商重新执行Step1。

nouce：一个随机数，对于每个证明都是唯一的。

Step3: 用户U随机选择一个混淆商M _a ，然后给M _a 送混淆参数D ₅=〈t ₂,t ₃〉。

t ₂：用户U给混淆商M _a 的托管地址a ₂支付面额为(1-r )*di 的BTC的截至时间。

t ₃：混淆商M _a 将签名应答发到公告板的截止时间。

a ₁：混淆商为用户兑换比特币的资金地址，我们成为兑换地址。

nouce ：随机数，每个用户的nouce 都不一样。

Step5: 用户收到D ₆之后，用户在时间点t ₂之前构建托管交易tx 2。然后将D ₇=〈{tx 2_id ,s ₃}_yb 〉发到公告板中。如果用户没有在t ₂之前将s ₃发到公告板中，那么我们终止协议。

怀洪新河是淮北平原的重要人工河道，其立地条件与淮北平原基本一致，该区域内人工河道（乃至其他天然河道）森林建设条件与怀洪新河大体相同，因此，《规划》对这些河道森林生态系统的建立与发展有着很好的借鉴作用。淮北平原人工河道森林生态系统建立要综合考虑河道的防洪、供水、灌溉、景观、生态环境保护等功能要求，按照河流动力学、生态学、环境学、景观学以及社会经济学原理进行建设，应当重点考虑以下几个方面：

s ₃：用户对ua ₁的拥有权证明:使用地址ua ₁所对应的私钥对信息M _i 的签名。

tx 2：一个比特币交易，交易的输入方为用户U 的一个比特币地址ua ₁，输出方为混淆商M _a 的托管地址a ₂，支付面额为di BTC 。

3.2.4 审计阶段

在选择中央分隔带排水设计方式上，需要结合其宽度进行相关的优化设计。对于宽度小于3m的分隔带，要以铺面封闭的优化设计方案对其进行设计。该优化设计方案的原理主要是将铺面和横坡的坡度控制在一定的范围中，从而将路面中的降水排至路面的两侧，在设计过程中，铺面封闭设计方式应用的范围比较小，仅能够在路面要求程度不高的地段进行应用，而不适用在自然降水量大的位置[4]；

Step7：一旦用户U得到签名应答，那么用户得到和 和 V ₂可以验证 和 的正确性。即 为对凭证{ ua 2, M _i , nouce }的最终签名。用户 U 在时间点 t ₄之前使用匿名通道商将 发布到公告板中。

SCS理念指的是时空隧道+任意门（Spatio-temporaltunnel）、文化创意（Culturaloriginality）、智慧旅游（Smarttourism）理念的相互结合，即建设动态的具有时空性的充满文化创意的大别山红军文化旅游景点，并将智慧旅游灌入其中使之便捷化，从而打造出独具特色的SCS核心理念的大别山旅游体验型产品。

Step8: 混淆商 M _b 对 D ₉进行验证。我们需要验证 是否为{ ua 2, M , nouce }的群签名； b ).验证 D ₉之前是否使用过; c ).验证 D ₄是否为 Step2中的同意签名以及之前是否使用过。如果验证通过，用户在时间点 t ₅之前构建兑换交易 tx3。

tx 3：一个比特币交易，交易的输入方为混淆商 M _b 的兑换地址 a ₁，输出方为用户的匿名地址 ua ₂，支付面额为( 1-r )* di BTC。

情况 5.3 若f3(v)=2,此时最坏的情况是v点关联5个6-面,两个不相邻(3,3,7)-面,v的非三角邻点均为3-点,且它们各自还关联着一个3-面。根据引理1.4,与7-点v关联的两个三角形中如果一个为穷或半穷面,则另一个必为富面,又根据权转移规则R2.1中3度点优先取得它非三角6+-邻点的权值，故这两个三角形最坏情况下是一个穷面一个富面(或两个半穷面),最多从7-点取得的权值为由R1,R2.1,R3.1或R3.2或R3.4及最坏3-面7-点情形得

Step6：混淆商M _a 在公告板中看到D ₇之后，验证：a)交易tx 2是否支付了足额的资金；b)s ₃之前是否使用过。如果验证通过，混淆商M _a 必须在时间点t ₃之前与用户在公告板上执行群盲签名协议，群盲签名的详细过程可参考^[19]。由于我们使用公告板执行群盲签名协议，因此任何第三方都可以检查混淆商M _a 在时间点t ₃之前发送了签名应答否则中止协议。如果混淆商M _a 没有在t ₄之前发送签名应答到公告板中，那么可以认定混淆商M _a 存在恶意行为，用户向监管方进行反馈。

在本阶段，监管方可以对混淆数据进行审计，从而发现并追责恶意混淆商(若存在)，进而确保系统的正常运行。

当然，换在以前，穿帮的只是公开发表的文稿，而那些数量更多的内部使用或仅用于存档备查的文案，则几乎无人关注，即使偶尔露出马脚，人们也只是一笑了之，后果严重不到哪里去。也正是因为如此，偷懒的人继续偷懒，偷文的人照偷不误，各类奇葩新闻时时曝光，为丰富多彩的生活平添若干生动素材。

监管方收集公告板中的所有的签名。对于一个对凭证{ ua 2, M , nouce }的签名 监管方可以通过测试 确定此签名的签名者。监管方统计每个签名混淆商所签名凭证的数量 x ，比较 x *( 1-r )* di 是否小于或等于混淆商 M _a 的托管地址 a ₂中的余额数 balance 。对于某个混淆商 M _i ，如果 x *( 1-r )* di > balance ，那么认定其为恶意混淆商，将对恶意混淆商做出惩罚(如：将恶意混淆商 M _i 所对应的托管地址 a ₂中的金额平分给其它诚实混淆商)。对于诚实的混淆商，将托管地址 a ₂中的比特币退还给它们。

4 安全分析

本节主要对该策略的匿名性、抗拒绝服务攻击、可扩展性和可监管性进行理论分析。

村级土地利用规划从规划类型上来看，是整个规划体系当中最为基础也是最低的一个层次。但是目前的情况是，大家对村级土地利用规划到底该如何定位仍然存有很大争议。一部分专家对此的看法是村级土地利用规划应当属于详细规划，它并不能作为专门的一级规划来处理。因为村级土地利用规划提出的背景是在新农村建设以及当下的城乡一体化的统筹，它主要立足于解决三农问题；还有的学者持截然不同的态度，认为应当将村级土地利用规划定位为一级规划，并将它划进我国土地利用的总体规划体系当中；另一部分学者认为，我们现在所关注的村级土地利用规划，它是对当下的总的土地利用规划体系的进一步深化和扩展，是对当前规划体系的完善。

( 1)匿名性，是指一个用户的比特币地址无法与具体的身份实体产生映射关系。匿名性的论证是使用群盲签名对包含输出地址的凭证的盲化。攻击者可以是不同的角色，对于混淆商 Ma，他在对凭证群签名之前无法获知被盲化后地址的具体信息。用户以匿名的方式(如 Tor)寻找混淆商 Mb与在公告板上公布被解盲后的群签名时，混淆商 Mb也无法此用户的具体的身份。对于一个诚实而好奇的可信监管者来说，虽然他可以通过群签名对凭证进行解密，获得凭证签名者的信息，但是这并不能获取匿名地址与某个用户之间的映射关系。对于外部攻击来说，它们能够获取的信息只有匿名集的用户数量。所以攻击者无法将用户的输入地址与输出地址之间的映射关系建立起来。因此，用户正常地执行交易混淆协议可以确保地址之间的不可链接。

( 2)匿名集规模，是指帮助用户提高匿名集的大小，即参与混淆的用户地址集合的大小。根据对区块链分析，攻击者可以尝试猜测混淆用户的输入和输出地址之间的映射。此外攻击者可能构建很多 Sybil身份来参与交易，降低诚实节点的匿名集大小，提高混淆用户的输入与输出地址之间映射关系的被找到的概率。因此构建一个更大的匿名集可以为用户提供更强的匿名。为了更好的分析所提出的混币方案的匿名性，我们假设有 N个用户， M个混淆商。在平均情况下，每个混淆商可能与 N/ M个用户参与交易混淆。我们协议中不同的混淆商产生的签名凭证是不能够被除了监管方之外的其他人所分辨的。因此我们的协议所产生的匿名集大小为 N，用户的输出地址被攻击者找到的概率为 1/ N。因此，我们具有大的匿名规模，使我们的策略具有强匿名。

( 3)抗拒绝服务攻击，是指基于 Coinjoin交易的混淆协议中，恶意用户在签名阶段通过拒绝签名而达到中止交易的目的。这种攻击会延长诚实用户混淆时间。但是在本文协议中，用户参与混淆都是独立的，不存在用户与用户之间的交互，因此不会发生该攻击。此外，可能存在恶意混淆商在用户执行托管交易之后，拒绝向其提供群签名，或者在用户提交群签凭证之后，拒绝向用户的匿名地址支付比特币。但是，这些恶意行为都可以被用户使用存在于公告板中的证据证明这种恶意行为，监管者可以对恶意混淆商做出处罚。

( 4)可扩展性，是指去中心化的混淆策略大多使用 Coinjoin式交易，即将多个用户的交易输入与输出汇总在一笔交易中，考虑到比特币协议对交易产生数据的尺寸进行了限制，最终影响了汇总交易所包含用户的数量。本文采用中心化的混淆策略，用户只与混淆商进行交互，彼此不存在交互，这可以很容易地完成用户扩展。可能某个混淆商在带宽以及资金等多方面的存在限制，影响其添加用户参与混淆，因本文很容易添加多个不同的混淆商来扩张带宽与资金，故这并不会对可扩展性产生影响。

( 5)可监管性，可监管性，是指本文使用凭证方案，允许用户提供混淆商恶意行为的证据，监管方可以对这些证据进行验证，从而对恶意行为做出惩罚(如：下次混淆剔除其作为混淆商的资格)。我们系统所做的检测包括：抵抗拒绝服务和混淆商所提供的签名数量与托管地址资金数额的一致性检测。对于前者，我们使用证据揭发的方式来进行监管。公告板中的证据是不可删除的，因此证据都可在区块链网络或公告板中被记录查阅。对于后者，在审计阶段，监管方会对恶意行为做出认定，并对其做出惩罚。我们的公告板机制与 ^[14] 类似。但是，我们与他们使用信誉度的方式不同，我们使用可信的第三方进行监管。

5 结 语

比特币的弱匿名性极大地危害着其未来的应用前景。基于此，可增强其匿名性的混币技术一经提出，就成为区块链领域的研究重点和热点。为了进一步扩大匿名集，提高匿名效果，本文提出一种基于可信监管方的比特币强匿名混淆策略。与已有策略不同，该策略具备以下特征：

( 1)采用基于可信监管方的混币系统模型，在完成混币任务的同时阻止混淆商的恶意行为；

( 2)采用基于群盲签名的混币协议，有效地扩大了用户匿名集。

到目前为止，本文方法只支持监管方的完全可信，缺乏一种机制来降低监管方的可信程度。因此，我们希望在今后，以当前研究为基础设计一个半可信的监管方协议。其目标是在不久的将来研究半可信的监管方为用户提供更好的混淆服务。

参考文献：

[1] S. Nakamoto, “Bitcoin: A peer-to-peer electronic cash system,” 2008. Available: http://bitcoin.org/bitcoin.pdf.

[2] P. Koshy, D. Koshy, and P. McDaniel, “An analysis of anonymity in bitcoin using p2p network traffic,” in 18^th International Conference on Financial Cryptography and Data Security, 2014, pp. 469-485.

[3] E. Androulaki, G.O.Karameand M.Roeschlin, “Evaluating user privacy in bitcoin,” in 17^th International Conference on Financial Cryptography and Data Security, 2013, pp. 34-51.

[4] Qi. Feng and Debiao. He, “A survey on privacy protection in blockchain system”Journal of Network and Computer Application,2019, Vol. 126(2019), pp. 46-58.

[5] G. Maxwell, “Coinjoin: Bitcoin privacy for the real world,” 2013. Available:https://bitcointalk.org/index.php?topic=279249.0.

[6] I. Miers, C. Garmanand M. Green, “Zerocoin: Anonymous distributed e-cash from bitcoin,” in IEEE Symposium on Security and Privacy, 2013, pp. 397-411.

[7] E. B. Sasson, A. Chiesa and C. Garman, “Zerocash: Decentralized anonymous payments from bitcoin,” in 2014 IEEE Symposium on Security and Privacy,2014, pp. 459-474.

[8] XMR. https://getmonero.org/.

[9] T. Ruffing,P. Moreno-Sanchez andA.Kate, “Coinshuffle:Practical decentralized coin mixing for bitcoin,” in 19^th European Symposium on Research in Computer Security, 2014,pp. 345-364.

[10] T. Ruffing, P. Moreno-Sanchez, and A. Kate, “P2P mixing and unlinkable bitcoin transactions,” in 24^thannual network and distributed system security symposium (NDSS),2017, pp.1-15.

[11] G. Bissias, A. P. Ozisik, B. N. Levine, and M. Liberatore, “Sybil resistant mixing for bitcoin,” in Proceedings of the 13^th Workshop on Privacy in the Electronic Society, 2014, pp. 149-158.

[12] Maxwell,G..“Coinswap:TransactionGraphDisjointTrustlessTrading”, 2013. Available: https://bitcointalk.org/index.php?topic=321228.0.

[13] J. Bonneau, A. Narayanan and A. Miller, “Mixcoin: Anonymity for bitcoin with accountable mixes,” in 18^th International Conference on Financial Cryptography and Data Security, 2014, pp. 486-504.

[14] L. Valenta and B. Rowan, “Blindcoin: Blinded, accountable mixes for bitcoin,” in 17^th International Conference on Financial Cryptography and Data Security, 2015, pp.112-126.

[15] E.Heilman,F. Baldimtsi and S. Goldberg, “Blindly signed contracts: anonymous on-blockchain and off-blockchain bitcoin transactions,” in. International Conference on Financial Cryptography and Data Security, 2016, pp. 112-126.

[16] E. Heilman, L. Alshenibr and F. Baldimtsi, “TumbleBit: an untrusted tumbler for Bitcoin-compatible anonymous payments,” in 24^thannual network and distributed system security symposium (NDSS),2017, pp.1-15

[17] Claudio Ferretti,Alberto Leporati and Luca Mariot,“Transferable Anonymous Payments via TumbleBit in Permissioned Blockchains” in Proceedings of the Second Distributed Ledger Technology Workshop. 2019. pp.1-12

[18] 包子健, 王庆豪, 张永欣, 鲁宁, 史闻博, “可监管的比特币隐私保护混淆服务”, 网络与信息安全学报.(已录用)

[19] Lysyanskaya A, “Group blind digital signatures: A scalable solution to electronic cash,” in 2^thInternational Conference on Financial Cryptography, 1998, pp.23-25.

[20] Btcmsg, “Bitcoin message service”, 2011. Available: https://bitcointalk.org/index.php?%20topic=47283.0

[21] Shorena, “How to sign a message?,” 2013. Available:https:// bitcointalk.org/index.php?topic=990345.0.

A Strong Anonymous Obfuscation Scheme for Bitcoin Based on Trusted Regulator

FEI Tian-long^1,2,GUO Jing ³,LU Ning ^1,2,SHI Wen-bo^1,2

(1. Northeastern University, Shenyang 110819; 2. Northeastern University at Qinhuangdao, Qinhuangdao 066004;3. China Academic of Electronics and Information Technology, Beijing 100041, China)

Abstract : Weak anonymity is one of the top security threats ahead of Bitcoin. Attackers exploit the vulnerability to easily track the real flow of fund from users and steal their bitcoins through the way of finding hardware and software vulnerabilities and planting trojan virus. To this end, researchers put forward mixing coin technique to enhance anonymity by splitting mapping relations between transaction inputs and outputs. Aiming at the issues of small anonymity sets, denial of service and poor scalability in existing mixing coin strategies，this paper proposes a strong anonymous obfuscation scheme for Bitcoin based on trusted regulator, termed as SOBR. It firstly uses the basic idea of the multi-bank electronic cash, and designs a mixing coin system model based on trusted regulators, and then designs a mixing coin protocol based on group blind signature. By theoretically analyzing, this method is not only vastly increases anonymous set size, but also there are big improvements in anti-denial of service and scalability.

Key words : Bitcoin; Strong anonymity; mixing; group blind signature

中图分类号： TP391

文献标志码： A

文章编号： 1673-5692(2019)09-960-07

doi :10.3969/j.issn.1673-5692.2019.09.011

收稿日期： 2019-06-26

修订日期： 2019-08-01

作者简介

费天龙(1995—)，男，湖北人，在读研究生，专业：计算机应用技术，主要研究方向为区块链的隐私保护；E-mail: oneftl@163.com

郭 静(1982—)，女，安徽人，博士，高级工程师，主要研究方向为大数据分析挖掘；

鲁 宁(1984—)，男，内蒙古人，博士，副教授，主要研究方向为网络安全；

史闻博(1980—)，男，河北人，博士，教授，博士生导师，主要研究方向为信息安全。

标签：比特币论文;  强匿名论文;  混淆论文;  群盲签名论文;  东北大学论文;  东北大学秦皇岛分校论文;  中国电子科学研究院论文;