郭陽(yáng)楠，蔣文保，葉帥

（北京信息科技大學(xué)信息管理學(xué)院，北京 100192）

0 引言

近年來(lái)，區(qū)塊鏈技術(shù)在金融、能源、農(nóng)業(yè)、工業(yè)生產(chǎn)等各個(gè)領(lǐng)域都有著廣泛的應(yīng)用，也是目前研究的熱點(diǎn)之一；然而現(xiàn)有區(qū)塊鏈系統(tǒng)（如比特幣、以太坊）具有去中心化、匿名性強(qiáng)、難以追溯的特性，這些特性引發(fā)了許多安全問(wèn)題，使得許多基于區(qū)塊鏈技術(shù)的匿名電子貨幣成為了灰色產(chǎn)業(yè)，給權(quán)威機(jī)構(gòu)追溯責(zé)任帶來(lái)了極大的困難。如何在保證用戶隱私安全的情況下實(shí)現(xiàn)區(qū)塊鏈上的追蹤溯源成為了當(dāng)下區(qū)塊鏈技術(shù)發(fā)展的重中之重，也是未來(lái)區(qū)塊鏈技術(shù)長(zhǎng)遠(yuǎn)發(fā)展中亟待解決的問(wèn)題之一。

目前，區(qū)塊鏈中的監(jiān)管以及追溯都是基于區(qū)塊鏈系統(tǒng)本身的結(jié)構(gòu)特點(diǎn)?，F(xiàn)有區(qū)塊鏈系統(tǒng)（比特幣）中的區(qū)塊采用UTXO（Unspent Transaction Outputs）結(jié)構(gòu)，將每一筆交易與前一筆綁定，在一定程度上能夠達(dá)到追蹤溯源的效果，但是用戶可以通過(guò)混幣器（Mixer）等手段打亂交易關(guān)系，使交易無(wú)法與其發(fā)起者綁定，大幅增加了區(qū)塊鏈系統(tǒng)監(jiān)管和追溯的難度。聯(lián)盟鏈?zhǔn)墙鉀Q區(qū)塊鏈中身份認(rèn)證問(wèn)題的方案之一，如Fabric、Corda 等基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）體系的區(qū)塊鏈模型，使用證書認(rèn)證節(jié)點(diǎn)身份，便于內(nèi)部監(jiān)管；但是同時(shí)也使得匿名性大幅降低。門羅幣（Monero）、零幣（Zcash）［1］分別使用環(huán)簽名算法和零知識(shí)證明實(shí)現(xiàn)了區(qū)塊鏈上的強(qiáng)匿名性，以隱藏用戶公開地址、混淆或切斷交易雙方關(guān)系的手段解決了傳統(tǒng)區(qū)塊鏈系統(tǒng)中通過(guò)關(guān)聯(lián)性分析追蹤溯源的問(wèn)題；但這些區(qū)塊鏈系統(tǒng)極高的匿名性使得監(jiān)管方幾乎無(wú)法監(jiān)管，應(yīng)用范圍較小。楊亞濤等［2］將基于多KGC（Key Generator Center）的SM9 國(guó)密算法與群簽名結(jié)合，設(shè)計(jì)了一種基于聯(lián)盟鏈的可證明安全的區(qū)塊鏈隱私保護(hù)方案，在可監(jiān)管性和匿名性上有一定優(yōu)勢(shì)；但僅從應(yīng)用層入手，沒有考慮到網(wǎng)絡(luò)層的安全性，且群簽名的特性使得群內(nèi)管理員能夠掌握全部用戶的密鑰，不利于用戶的身份安全。高峰等［3］提出了一種輕量級(jí)的比特幣交易溯源機(jī)制，能將發(fā)起交易的匿名比特幣地址與交易節(jié)點(diǎn)的IP（Internet Protocol）地址相關(guān)聯(lián)，提高了比特幣交易追溯的效率；但僅能針對(duì)未經(jīng)過(guò)混淆的普通交易，應(yīng)用范圍較窄。魏松杰等［4］提出了一種聯(lián)盟鏈上基于身份密碼體制的跨信任域身份認(rèn)證方案，設(shè)計(jì)了一種區(qū)塊鏈證書，并加入了安全仲裁節(jié)點(diǎn)來(lái)管理用戶的身份，證書的引入和安全仲裁節(jié)點(diǎn)的使用使該系統(tǒng)可監(jiān)管性較強(qiáng)；但聯(lián)盟鏈基于證書認(rèn)證身份的特性致使用戶的匿名性不足。Li 等［5］提出了一種可追溯的門羅幣模型，引入基于環(huán)簽名的一次性交易地址來(lái)實(shí)現(xiàn)匿名交易與用戶身份；但該模型中交易結(jié)構(gòu)冗余度較高，導(dǎo)致傳輸效率低下。

大多數(shù)研究都將研究重點(diǎn)放在增強(qiáng)現(xiàn)有區(qū)塊鏈系統(tǒng)的匿名性或是使用群簽名等技術(shù)手段實(shí)現(xiàn)可追溯性，其中存在的主要問(wèn)題有：1）難以兼顧匿名性和可監(jiān)管性；2）基于證書體系引發(fā)的根CA（Certificate Authority）信任問(wèn)題；3）研究方法主要實(shí)現(xiàn)于應(yīng)用層，極少有研究從網(wǎng)絡(luò)層入手。

針對(duì)以上問(wèn)題，本文提出了一種可監(jiān)管的區(qū)塊鏈匿名交易系統(tǒng)模型，在網(wǎng)絡(luò)層實(shí)現(xiàn)了區(qū)塊鏈的隱私保護(hù)和可監(jiān)管性，并把網(wǎng)絡(luò)層身份標(biāo)識(shí)和應(yīng)用層用戶密鑰相結(jié)合，實(shí)現(xiàn)了區(qū)塊鏈系統(tǒng)匿名性和可監(jiān)管性的兼容，與其他模型進(jìn)行了整體效率及隱私保護(hù)能力的對(duì)比，驗(yàn)證了本文模型可以抵抗類型-Ⅰ（普通節(jié)點(diǎn)）和類型-Ⅱ（惡意KGC）的攻擊者。

1 相關(guān)研究

1.1 無(wú)證書公鑰密碼體制

無(wú)證書公鑰密碼體制（Certificateless Public Key Cryptography，CL-PKC）的概念來(lái)自Girault［6］提出的自認(rèn)證公鑰密碼和Al-Riyami 等［7］提出的無(wú)證書公鑰密碼，這種密碼機(jī)制介于公開證書機(jī)制和基于身份的密碼之間，根據(jù)用戶本地生成的部分私鑰和KGC 根據(jù)相關(guān)參數(shù)生成的部分私鑰（與用戶身份有關(guān)）組合而成，從一個(gè)部分無(wú)法計(jì)算另一個(gè)部分，解決了密鑰托管帶來(lái)的KGC 作惡?jiǎn)栴}。魏爽等［8］提出了一種改進(jìn)的無(wú)證書簽名方案，提高了原方案的效率和安全性，但是無(wú)法抵抗類型-Ⅱ攻擊者；文獻(xiàn)［9-10］將SM2 國(guó)密算法和無(wú)證書公鑰密碼體制結(jié)合，提出了一種基于SM2 的無(wú)證書公鑰密碼體制，并運(yùn)用形式化方法證明了該密碼機(jī)制的安全性；侯紅霞等［11］提出了一種安全的兩方協(xié)作SM2 算法模型，但引入的同態(tài)加密機(jī)制使得密鑰生成部分效率較低；Chen 等［12］提出了一種基于無(wú)證書公鑰密碼體制的強(qiáng)指定驗(yàn)證者簽名方案，可抵抗類型-Ⅰ和類型-Ⅱ攻擊者；楊龍海等［13］提出一種基于密鑰分割的改進(jìn)SM2 簽名方案，可抵抗數(shù)據(jù)篡改和簽名偽造。

根據(jù)文獻(xiàn)［9］，基于SM2 的無(wú)證書公鑰密碼體制由以下函數(shù)構(gòu)成：

CL.Setup(1k)：根據(jù)安全參數(shù)k初始化系統(tǒng)，生成系統(tǒng)主密鑰對(duì)(Mpk，Msk)函數(shù)由KGC 執(zhí)行。

CL.Set-User-Key(Mpk)：該函數(shù)生成用戶部分密鑰對(duì)(UA，xA)。

CL.Extract-Partial-Key(Mpk，Msk，IDA，UA)：該函數(shù)由KGC執(zhí)行，為用戶生成KGC 部分公鑰和部分私鑰(PA，dA)。

CL.Set-Private-Key(Mpk，IDA，UA，xA，PA，dA)：該函數(shù)生成用戶的完整私鑰sA。

CL.Set-Public-Key(Mpk，IDA，UA，PA)：該函數(shù)生成用戶“聲明”的公鑰WA（在隱式證書密碼系統(tǒng)中也稱為公鑰還原數(shù)據(jù)）。

CL.Encrypt(Mpk，IDA，WA，m)：該函數(shù)對(duì)消息m加密，生成密文C。

CL.Decrypt(Mpk，IDA，WA，sA，C)：該函數(shù)使用用戶私鑰sA對(duì)密文C解密，輸出消息m'或是終止符⊥。

1.2 標(biāo)識(shí)密碼

標(biāo)識(shí)密碼（Identity-Based Cryptograph，IBC）由Shamir［14］提出，其最大的特點(diǎn)在于擺脫了基于證書身份管理的傳統(tǒng)PKI 體系，使用用戶的特征標(biāo)識(shí)，如手機(jī)號(hào)、電子郵件、身份證號(hào)等作為公鑰，用戶的私鑰由KGC 根據(jù)系統(tǒng)主密鑰及用戶標(biāo)識(shí)計(jì)算得出，用戶不需要通過(guò)可信第三方（如CA）來(lái)保證公鑰來(lái)源的安全性。IBC 體系包含加解密算法、簽名算法和IBKA（Identity-Based Key Authority）身份認(rèn)證協(xié)議。Boneh等［15］和Sakai 等［16］兩個(gè)團(tuán)隊(duì)分別提出用橢圓曲線配對(duì)構(gòu)造標(biāo)識(shí)公鑰密碼；Choon 等［17］和Lin 等［18］基于GDH（Gap Diffie-Hellman）群分別提出了基于標(biāo)識(shí)的簽名算法和結(jié)構(gòu)化的多重簽名算法。這些工作引發(fā)了標(biāo)識(shí)密碼領(lǐng)域的新發(fā)展。相較于傳統(tǒng)的PKI 體系，基于標(biāo)識(shí)的密碼體系以用戶身份標(biāo)識(shí)作為公鑰，無(wú)需頒發(fā)和管理證書，實(shí)現(xiàn)成本低、效率高，且消息發(fā)送者只需要知悉接收方的身份標(biāo)識(shí)，節(jié)省了向CA 問(wèn)詢的傳輸成本。

本文采用了我國(guó)商用密碼SM9 算法，包含簽名、公鑰加密算法等。SM9 標(biāo)識(shí)密碼算法由國(guó)家密碼管理局2016 年3月發(fā)布，為GM/T 0044-2016 系列，共包含總則、數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加密算法、參數(shù)定義5 個(gè)部分。與其他的標(biāo)識(shí)密碼算法相同，SM9 算法的安全性基于橢圓曲線雙線性對(duì)映射的性質(zhì)。定義在橢圓曲線群上的雙線性對(duì)（bilinear pairing）主要有經(jīng)典的Weil 對(duì)、Tate 對(duì)，也有Ate 對(duì)、R-ate 對(duì)等。Barreto 等［19］提出了一種構(gòu)造素域上適合對(duì)的常曲線的方法，通過(guò)此方法構(gòu)造的曲線稱為BN 曲線（Barreto-Naehrig curve）。SM9 算法選擇的就是BN 曲線，使用安全性能好、運(yùn)算速率較高的R-ate 對(duì)，涉及的主要算法是Miller 算法和R-ate 對(duì)的計(jì)算方法。

2 可監(jiān)管的雙層認(rèn)證匿名區(qū)塊鏈架構(gòu)

本文提出一種可監(jiān)管的區(qū)塊鏈匿名交易系統(tǒng)模型，整體架構(gòu)如圖1 所示，在網(wǎng)絡(luò)層采用標(biāo)識(shí)密碼代替?zhèn)鹘y(tǒng)PKI 體系實(shí)現(xiàn)身份隱私，在應(yīng)用層使用無(wú)證書公鑰密碼將應(yīng)用層交易賬戶與網(wǎng)絡(luò)層身份標(biāo)識(shí)綁定實(shí)現(xiàn)區(qū)塊鏈可監(jiān)管、可追溯。

圖1 本文模型的整體架構(gòu)Fig.1 Overall architecture of the proposed model

本文模型的應(yīng)用層包含賬戶模型、智能合約以及管理中心；網(wǎng)絡(luò)層使用基于多KGC 的SM9 算法來(lái)生成網(wǎng)絡(luò)身份標(biāo)識(shí)。用戶加入平臺(tái)進(jìn)行交易時(shí)向KGC 聯(lián)盟申請(qǐng)網(wǎng)絡(luò)身份標(biāo)識(shí)EID，區(qū)塊鏈中節(jié)點(diǎn)間的交易則通過(guò)區(qū)塊鏈平臺(tái)賬戶Address進(jìn)行轉(zhuǎn)賬或其他操作，Address與用戶身份相關(guān)聯(lián)，便于監(jiān)管方通過(guò)(EID-Address)關(guān)聯(lián)表對(duì)異常交易進(jìn)行溯源。本文模型在網(wǎng)絡(luò)層使用多KGC 的SM9 算法來(lái)根據(jù)用戶身份ID 生成動(dòng)態(tài)的EID，保證用戶的網(wǎng)絡(luò)身份隱私；應(yīng)用層賬戶采用基于無(wú)證書公鑰密碼賬戶模型，以用戶網(wǎng)絡(luò)層身份標(biāo)識(shí)EID作為賬戶密鑰的關(guān)聯(lián)標(biāo)識(shí)，在解決密鑰托管問(wèn)題的條件下實(shí)現(xiàn)賬戶隱私安全。

2.1 網(wǎng)絡(luò)層組件

為了支持權(quán)威監(jiān)管機(jī)構(gòu)對(duì)區(qū)塊鏈隱私區(qū)塊鏈的有效監(jiān)管，網(wǎng)絡(luò)層采用SM9 標(biāo)識(shí)密碼體系，主要組件包括密鑰生成中心聯(lián)盟（KGC 聯(lián)盟）、審計(jì)節(jié)點(diǎn)、骨干節(jié)點(diǎn)和普通節(jié)點(diǎn)。網(wǎng)絡(luò)層組件結(jié)構(gòu)如圖2 所示。

圖2 網(wǎng)絡(luò)層組件結(jié)構(gòu)Fig.2 Component structure of network layer

2.1.1 KGC聯(lián)盟

KGC 主要負(fù)責(zé)選擇系統(tǒng)參數(shù)、生成主密鑰對(duì)(PKGC，MKGC)、根據(jù)用戶固定ID（如身份證號(hào)、手機(jī)號(hào)碼、電子郵箱等）為用戶生成動(dòng)態(tài)變化的EIDi(i=1，2，…)以及為EID生成對(duì)應(yīng)私鑰EIDi_sk，同時(shí)配合審計(jì)節(jié)點(diǎn)對(duì)異常交易進(jìn)行追蹤溯源。

2.1.2 審計(jì)節(jié)點(diǎn)

審計(jì)節(jié)點(diǎn)通過(guò)收集去中心化網(wǎng)絡(luò)中骨干節(jié)點(diǎn)轉(zhuǎn)發(fā)的交易信息來(lái)對(duì)全網(wǎng)中參與交易的節(jié)點(diǎn)進(jìn)行審計(jì)，一旦發(fā)現(xiàn)有異常行為，即可針對(duì)異常行為有關(guān)的數(shù)據(jù)包流量進(jìn)行溯源識(shí)別，也可通過(guò)該異常交易涉及的應(yīng)用層Address對(duì)異常行為用戶進(jìn)行追蹤，匹配其對(duì)應(yīng)的EID并通過(guò)KGC 揭示EID的真實(shí)身份。

2.1.3 骨干節(jié)點(diǎn)

骨干節(jié)點(diǎn)是匿名區(qū)塊鏈網(wǎng)絡(luò)中的主要節(jié)點(diǎn)，它們需要參與到整個(gè)網(wǎng)絡(luò)的共識(shí)過(guò)程中，并在本地下載全部世界狀態(tài)賬本；同時(shí)還需要接收來(lái)自普通節(jié)點(diǎn)或其他鄰居節(jié)點(diǎn)裝載交易信息的網(wǎng)絡(luò)數(shù)據(jù)包，驗(yàn)證網(wǎng)絡(luò)數(shù)據(jù)包簽名的有效性，若是發(fā)現(xiàn)數(shù)據(jù)包認(rèn)證不通過(guò)或是存在異常交易，則向?qū)徲?jì)節(jié)點(diǎn)舉報(bào)，申請(qǐng)異常交易溯源。

2.1.4 普通節(jié)點(diǎn)

普通節(jié)點(diǎn)是參與本平臺(tái)交易的普通用戶，它們只需要向骨干節(jié)點(diǎn)發(fā)送交易請(qǐng)求或在接收打包好交易的區(qū)塊后對(duì)其進(jìn)行驗(yàn)證并更新本地狀態(tài)，并不需要參與到共識(shí)過(guò)程中。普通節(jié)點(diǎn)在參與到本平臺(tái)中時(shí)，需向KGC 聯(lián)盟根據(jù)本人ID 申請(qǐng)?jiān)S多動(dòng)態(tài)變化的匿名標(biāo)識(shí)（EIDi）及對(duì)應(yīng)私鑰EIDi_sk，用來(lái)對(duì)裝載交易信息的網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行簽名。普通節(jié)點(diǎn)用戶可根據(jù)需要隱藏IP 地址，實(shí)現(xiàn)網(wǎng)絡(luò)層的地址信息隱藏。

2.2 應(yīng)用層組件

應(yīng)用層擬采用無(wú)證書密鑰管理技術(shù)和同態(tài)加密技術(shù)實(shí)現(xiàn)區(qū)塊鏈交易隱私保護(hù)，主要實(shí)現(xiàn)包括交易身份和交易內(nèi)容等敏感的交易信息保護(hù)，在保證可追溯性的同時(shí)解決了密鑰托管帶來(lái)的威脅。

2.2.1 無(wú)證書公鑰密碼管理

應(yīng)用層使用基于SM2 的無(wú)證書密鑰體制來(lái)生成用戶交易用的標(biāo)識(shí)Address。在用戶注冊(cè)網(wǎng)絡(luò)層身份標(biāo)識(shí)EID后，以該EID為應(yīng)用層賬戶的關(guān)聯(lián)標(biāo)識(shí)，生成Address的步驟如下：

1）應(yīng)用層KGC 生成主密鑰對(duì)(PAKGC，MAsk=s)并選擇相關(guān)參數(shù)Mpk=(E/Fp：Y2=X3+aX+b，p，q，G，PAKGC=[s]G)，其中公鑰PAKGC和相關(guān)參數(shù)Mpk是公開的；

2）用戶根據(jù)Mpk生成部分密鑰對(duì)(UA，xA)，并把該部分公鑰UA和網(wǎng)絡(luò)層身份標(biāo)識(shí)EID發(fā)送至KGC；

3）KGC 根據(jù)接收到的(UA，EID)生成KGC 部分的密鑰對(duì)(WA，dA)并將其發(fā)送至用戶，在溯源對(duì)應(yīng)列表中記錄下(EID，WA)；

4）用戶根據(jù)KGC 部分密鑰對(duì)(WA，dA)生成完整密鑰對(duì)(WA，sA)并公開WA作為自己的應(yīng)用層交易標(biāo)識(shí)Address。

通過(guò)以上步驟，應(yīng)用層KGC 服務(wù)器實(shí)現(xiàn)了用戶網(wǎng)絡(luò)身份標(biāo)識(shí)EID與用戶交易標(biāo)識(shí)Address的綁定，便于監(jiān)管方監(jiān)管鏈上交易與追蹤溯源；同時(shí)解決了傳統(tǒng)追溯系統(tǒng)中用戶密鑰與KGC 服務(wù)器深度綁定帶來(lái)的安全問(wèn)題，在保證用戶個(gè)人隱私安全的情況下解決了現(xiàn)有區(qū)塊鏈系統(tǒng)難于追溯異常交易的問(wèn)題。

2.2.2 賬戶模型

本平臺(tái)是一種類以太坊賬戶模型的區(qū)塊鏈平臺(tái)。賬戶模型是一種能夠保存賬戶世界狀態(tài)（如余額）的記賬模型，每個(gè)賬戶都有與之關(guān)聯(lián)的狀態(tài)，每個(gè)賬戶都維護(hù)自己的狀態(tài)。平臺(tái)中存在兩種類型的賬戶：一種是外部賬戶，它由公鑰和私鑰控制的賬戶，存儲(chǔ)代幣余額狀態(tài)；另一種是合約賬戶，它由外部賬戶創(chuàng)建的賬戶，除了余額還有智能合約及其變量的狀態(tài)。每個(gè)賬戶對(duì)應(yīng)一對(duì)密鑰對(duì)(WA，sA)，其中WA是該賬戶的公開交易標(biāo)識(shí)Address。

3 具體流程

本文模型最大的特點(diǎn)在于能夠根據(jù)用戶的身份標(biāo)識(shí)進(jìn)行區(qū)塊鏈上的監(jiān)管和追蹤溯源。根據(jù)監(jiān)管方式的強(qiáng)度不同分為強(qiáng)監(jiān)管和弱監(jiān)管兩種：強(qiáng)監(jiān)管通過(guò)網(wǎng)絡(luò)層流量審計(jì)實(shí)現(xiàn)，弱監(jiān)管是基于無(wú)證書公鑰密碼體制實(shí)現(xiàn)的。全部流程如下。

3.1 交易流程

用戶A向用戶B發(fā)起交易請(qǐng)求，其交易流程如下：

1）A獲取B的公鑰WB，將消息M用其私鑰sA簽名后用WB加密構(gòu)成(M‖SigA)。

2）在應(yīng)用層對(duì)消息簽名并加密后，網(wǎng)絡(luò)層節(jié)點(diǎn)使用其EIDi對(duì)應(yīng)的私鑰EIDi_sk對(duì)加密消息簽名，新的數(shù)據(jù)包為

3）B在接收到后根據(jù)發(fā)送方A的EIDA對(duì)其簽名進(jìn)行驗(yàn)證，若驗(yàn)證失敗則向溯源審計(jì)節(jié)點(diǎn)舉報(bào)異常交易行為，申請(qǐng)溯源；然后驗(yàn)證發(fā)送方A的應(yīng)用層簽名SigA，若驗(yàn)證失敗則向溯源審計(jì)節(jié)點(diǎn)舉報(bào)異常交易行為，申請(qǐng)溯源。

整體交易流程如圖3 所示。

圖3 交易流程Fig.3 Process of transaction

3.2 弱監(jiān)管

無(wú)證書公鑰密碼本身具有可追溯的特點(diǎn)，即使應(yīng)用層KGC 無(wú)法掌握完整的用戶私鑰，但可以將用戶公鑰與其提供的網(wǎng)絡(luò)層標(biāo)識(shí)EID綁定寫入列表，根據(jù)該列表進(jìn)行追蹤溯源，步驟如下：

1）審計(jì)節(jié)點(diǎn)通過(guò)主動(dòng)嗅探或用戶舉報(bào)審查異常交易。

2）審計(jì)節(jié)點(diǎn)通過(guò)審查交易記錄獲取異常節(jié)點(diǎn)的交易標(biāo)識(shí)AddressA（即WA）。

3）審計(jì)節(jié)點(diǎn)向應(yīng)用層KGC 發(fā)送查詢請(qǐng)求Src_requestApp(WA)。

4）應(yīng)用層KGC 接收請(qǐng)求后查詢(WA-EID)，根據(jù)查詢結(jié)果撤銷該用戶交易身份標(biāo)識(shí)。

表1 部分標(biāo)識(shí)對(duì)應(yīng)表Tab.1 Partial identity corresponding table

3.3 強(qiáng)監(jiān)管

強(qiáng)監(jiān)管是指當(dāng)應(yīng)用層存在異常交易行為時(shí)，審計(jì)節(jié)點(diǎn)通過(guò)審查網(wǎng)絡(luò)層數(shù)據(jù)包的簽名，直接定位該簽名對(duì)應(yīng)的異常用戶并對(duì)其進(jìn)行審查及后續(xù)操作，有如下兩種方案。

3.3.1 網(wǎng)絡(luò)層簽名溯源

1）審計(jì)節(jié)點(diǎn)通過(guò)主動(dòng)嗅探或用戶舉報(bào)審查異常交易。

2）審計(jì)節(jié)點(diǎn)審查異常交易對(duì)應(yīng)網(wǎng)絡(luò)層數(shù)據(jù)包，根據(jù)數(shù)據(jù)包簽名收集該簽名對(duì)應(yīng)的異常標(biāo)識(shí)EIDA。

3）審計(jì)節(jié)點(diǎn)向網(wǎng)絡(luò)層KGC 聯(lián)盟發(fā)送查詢請(qǐng)求Src_requestNet(EIDA)。

4）KGC 聯(lián)盟根據(jù)接收到的EIDA查詢對(duì)應(yīng)的IDA，將其發(fā)送至審計(jì)節(jié)點(diǎn)，由審計(jì)節(jié)點(diǎn)對(duì)該IDA對(duì)應(yīng)用戶進(jìn)行懲罰操作（如撤銷身份等）。

3.3.2 雙層參數(shù)傳遞溯源

1）審計(jì)節(jié)點(diǎn)通過(guò)主動(dòng)嗅探或用戶舉報(bào)審查異常交易。

2）審計(jì)節(jié)點(diǎn)獲取異常交易記錄對(duì)應(yīng)節(jié)點(diǎn)的公開交易標(biāo)識(shí)（即WA）。

3）審計(jì)節(jié)點(diǎn)向應(yīng)用層KGC 發(fā)送查詢請(qǐng)求Src_requestApp(WA)。

4）應(yīng)用層KGC 接收請(qǐng)求后查詢(WA-EID)，將查詢結(jié)果EIDA發(fā)送至審計(jì)節(jié)點(diǎn)。

5）審計(jì)節(jié)點(diǎn)向網(wǎng)絡(luò)層KGC 聯(lián)盟發(fā)送查詢請(qǐng)求Src_requestNet(EIDA)。

6）KGC 聯(lián)盟根據(jù)接收到的EIDA查詢對(duì)應(yīng)的IDA，將其發(fā)送至審計(jì)節(jié)點(diǎn)，由審計(jì)節(jié)點(diǎn)對(duì)該IDA對(duì)應(yīng)用戶進(jìn)行懲罰操作（如撤銷身份等）。

溯源流程如圖4 所示。

圖4 監(jiān)管和追溯流程Fig.4 Process of supervision and tracing

4 安全性及匿名性證明

定義1若攻擊者在多項(xiàng)式時(shí)間內(nèi)無(wú)法以不可忽略的概率攻破該模型，則稱該模型是安全的。

4.1 網(wǎng)絡(luò)層安全性

網(wǎng)絡(luò)層行為包含應(yīng)用層數(shù)據(jù)包的簽名和審計(jì)，故網(wǎng)絡(luò)層安全性可規(guī)約為網(wǎng)絡(luò)層EID簽名正確性與不可偽造性。

4.1.1 簽名正確性

定理1若消息接收方在本地根據(jù)接收到的消息M′及相關(guān)參數(shù)w′構(gòu)成的簽名h′=H()M'‖w' 與其接收到的來(lái)自發(fā)送方的簽名h不相同，即h≠h'，則稱本簽名算法不正確，即模型失效。

證明 接收方B 首先驗(yàn)證h' ∈[1，N-1]（N為循環(huán)群的階），若h' ?[1，N-1]，則稱簽名不正確，接收方丟棄該數(shù)據(jù)包并向?qū)徲?jì)節(jié)點(diǎn)舉報(bào)為異常交易；因?yàn)閔′=H(M'‖w')，故若w=w'，則根據(jù)SM9 算法簽名驗(yàn)證部分可知，該簽名h正確，則可證本文模型的正確性。

4.1.2 不可偽造性

對(duì)SM9 算法生成簽名的攻擊包括兩類：類型-Ⅰ攻擊者是普通的攻擊者，試圖通過(guò)偽裝被攻擊者A 來(lái)獲取明文信息或是A 的私鑰；類型-Ⅱ攻擊者則是惡意的KGC，通過(guò)使用本身權(quán)限來(lái)獲取被攻擊者的隱私信息，甚至冒充被攻擊者進(jìn)行相關(guān)操作。

對(duì)于類型-Ⅰ的攻擊者AⅠ，本文模型的安全性可規(guī)約為雙線性對(duì)的安全性，即：若AⅠ在多項(xiàng)式時(shí)間內(nèi)能夠計(jì)算雙線性對(duì)問(wèn)題，則存在一個(gè)算法能夠（在多項(xiàng)式時(shí)間內(nèi)）求解橢圓曲線上的離散對(duì)數(shù)問(wèn)題。而顯然離散對(duì)數(shù)問(wèn)題難解，故AⅠ獲取被攻擊者私鑰或明文信息的概率可忽略不計(jì)；如果AⅠ使用自己的簽名替換原有簽名，則有由于網(wǎng)絡(luò)層簽名者（AⅠ）與應(yīng)用層簽名者（A）不匹配，該交易會(huì)被識(shí)別為異常交易，無(wú)法正常執(zhí)行，故攻擊者無(wú)法通過(guò)替換公鑰對(duì)用戶進(jìn)行攻擊，即AⅠ在該博弈中的優(yōu)勢(shì)可忽略不計(jì)。故敵手無(wú)法通過(guò)替換簽名或偽造被攻擊節(jié)點(diǎn)的密鑰對(duì)來(lái)執(zhí)行攻擊行為，本文模型可以抵抗公鑰替換攻擊。

對(duì)于類型-Ⅱ的攻擊者ΑⅡ，作為惡意的KGC，它可以通過(guò)其建立的(Mpk，Msk)來(lái)獲取被攻擊者EIDA對(duì)應(yīng)的私鑰EIDA_sk。由于本文模型采用雙層認(rèn)證的結(jié)構(gòu)，即使攻擊者獲取了網(wǎng)絡(luò)層標(biāo)識(shí)對(duì)應(yīng)的私鑰，也無(wú)法通過(guò)該私鑰獲取對(duì)應(yīng)的應(yīng)用層密鑰對(duì)(WA，sA)。應(yīng)用層的密鑰對(duì)是基于SM2 的無(wú)證書公鑰密碼，若?、蚰軌蛟诙囗?xiàng)式時(shí)間內(nèi)根據(jù)被攻擊者網(wǎng)絡(luò)層標(biāo)識(shí)EIDA和應(yīng)用層交易標(biāo)識(shí)WA計(jì)算出被攻擊節(jié)點(diǎn)A 的應(yīng)用層私鑰sA，則存在一個(gè)算法能夠在多項(xiàng)式時(shí)間內(nèi)求解橢圓曲線上難題，而這在目前環(huán)境下是困難的。且網(wǎng)絡(luò)層主密鑰對(duì)(PKGC，MKGC)及相關(guān)參數(shù)Mpk由KGC 聯(lián)盟中的所有KGC共同維護(hù)，若存在（KGC）異常行為，則可通過(guò)聯(lián)盟內(nèi)全體投票將惡意KGC 從聯(lián)盟中排除來(lái)維持KGC 聯(lián)盟和網(wǎng)絡(luò)層的安全性。故?、蛟诓┺闹袔缀醪豢赡苋〉秒y以忽略的優(yōu)勢(shì)來(lái)贏得該博弈，因此本文模型能夠抵抗類型-Ⅱ攻擊者在網(wǎng)絡(luò)層的攻擊。

4.2 應(yīng)用層安全性

應(yīng)用層行為主要包括用戶申請(qǐng)交易標(biāo)識(shí)及用戶間交易，故應(yīng)用層安全性可規(guī)約為基于SM2 算法的無(wú)證書公鑰密碼體制安全性。

定義2GDH 復(fù)雜性假設(shè)。給定一個(gè)階為q的循環(huán)群上的一組元素(G，[α]G，[β]G)和一個(gè)DH 判定諭示DDH（Decisional Diffie-Hellman）（給定(G，[a]G，[b]G)可以判定X是否等于([ab]G)，計(jì)算[α β]G是困難的，其中α，β∈R。

定理2在隨機(jī)諭示和代數(shù)群模型下，對(duì)于基于SM2 的無(wú)證書加密算法，如果存在一個(gè)多項(xiàng)式時(shí)間攻擊者以不可忽略優(yōu)勢(shì)贏得類型-I 或者類型-Ⅱ的博弈，則存在一個(gè)多項(xiàng)式時(shí)間的算法可以求解GDH 問(wèn)題。

證明 1）類型-Ⅰ博弈。此類攻擊者為除被攻擊者外的某個(gè)普通節(jié)點(diǎn)，試圖通過(guò)公開信息（Mpk，EID等）獲取被攻擊節(jié)點(diǎn)對(duì)應(yīng)的私鑰或發(fā)送消息中的明文數(shù)據(jù)。攻擊者?、窨赡懿扇〉男袨槿缦拢╗AⅠ]代表AⅠ參與）：

（1）(PKGC，MKGC) ←CL.Setup(1k)；

（2）(UA，xA) ←CL.Set-User-Key(Mpk)[AⅠ]；

（3）(WA，sA) ←CL.Set-Key(Mpk，EID，UA，xA)[AⅠ]；

（4）C*←CL.Enc(PA，m)；

（5）m' ←CL.Dec(sA，C*)[AⅠ]。

當(dāng)m=m'時(shí)，則稱攻擊者以不可忽略的優(yōu)勢(shì)贏得該博弈。容易看出，攻擊者?、裣胍ㄟ^(guò)系統(tǒng)中的公開信息來(lái)獲取被攻擊者的私鑰sA，并使用該私鑰對(duì)密文C*解密。想要達(dá)成該目的，攻擊者?、駪?yīng)在CL.Set-User-Key 步驟中生成和被攻擊者完全相同的(UA，xA)或是根據(jù)被攻擊者的公開應(yīng)用層交易標(biāo)識(shí)WA計(jì)算。后一種在目前環(huán)境下是不可能的，而根據(jù)無(wú)證書密鑰的生成方法，攻擊者?、裆珊捅还粽呦嗤拿荑€的可能性幾乎為0，即攻擊者ΑⅠ在類型-Ⅰ博弈上的優(yōu)勢(shì)可忽略不計(jì)。

2）類型-Ⅱ博弈。此類攻擊者為應(yīng)用層惡意KGC，擁有KGC 主密鑰對(duì)(PKGC，MKGC)及列表(EIDi，Wi)，假定攻擊者?、蛟陬愋?Ⅱ的博弈中贏得該博弈的優(yōu)勢(shì)為ε(k)，給定一個(gè)GDH 問(wèn)題(G，[a]G，[b]G)，博弈模擬者S 選擇一個(gè)整數(shù)0 ＜K≤N，其中N為博弈中總共生成的公鑰的個(gè)數(shù)。S 在博弈正式開始時(shí)構(gòu)建并維護(hù)一個(gè)相關(guān)參數(shù)列表T=[EIDi，Pi，Ui，xi，di，si，wi]，攻擊者ΑⅡ可能采取的行為如下：

（1）(PKGC=[s]G，MKGC=s) ←CL.Setup(1k)[AⅡ]；

（2）(wi，Wi，di) ← CL.Extract-Partial-Key(Mpk，MKGC，EIDi，[a]G)[AⅡ]，?、蛴涗浵嚓P(guān)參數(shù)和Wi對(duì)應(yīng)私鑰；

（3）(W*，s*) ←CL.Set-Key[AⅡ]。

場(chǎng)景1 攻擊者?、蛉裟芡ㄟ^(guò)其持有的部分密鑰對(duì)及用戶完整公鑰Wi出用戶持有的部分密鑰對(duì)(UA，xA)或用戶完整私鑰sA，則稱攻擊者?、蚰軌蛞詷O大優(yōu)勢(shì)贏得此博弈，則存在一個(gè)算法能夠在多項(xiàng)式時(shí)間內(nèi)求解GDH 問(wèn)題，與定義2 相悖。故攻擊者ΑⅡ在此場(chǎng)景下優(yōu)勢(shì)極小，可忽略不計(jì)。

場(chǎng)景2 攻擊者?、蚋鶕?jù)在CL.Extract-Partial-Key 中記錄的相關(guān)參數(shù)生成新的密鑰對(duì)(W*，s*)，并使用此新密鑰對(duì)來(lái)偽裝被攻擊者進(jìn)行異常操作。在此場(chǎng)景下，被攻擊者原有的密鑰對(duì)及對(duì)應(yīng)的賬戶并不會(huì)失效，且攻擊者無(wú)法通過(guò)偽身份(W*，s*)對(duì)被攻擊者賬戶進(jìn)行修改；且攻擊者如果想使用偽身份(W*，s*)進(jìn)行操作，還需要在網(wǎng)絡(luò)層使用EIDi對(duì)應(yīng)私鑰EIDi_sk對(duì)消息進(jìn)行雙層簽名。故想要完全偽造被攻擊者的操作，除非攻擊者?、蚩刂屏藨?yīng)用層和網(wǎng)絡(luò)層的全部KGC，而這發(fā)生的概率極小。因此，攻擊者在此場(chǎng)景下的優(yōu)勢(shì)極小，故本文模型應(yīng)用層安全得證。

4.3 匿名性分析

為保護(hù)用戶身份隱私安全，本文模型在網(wǎng)絡(luò)層使用去中心化的KGC 聯(lián)盟進(jìn)行用戶網(wǎng)絡(luò)層身份標(biāo)識(shí)的維護(hù)和分發(fā)。去中心化的KGC 聯(lián)盟能夠很好地消除單一權(quán)威中心遭受攻擊而失效或作惡帶來(lái)的安全隱患；且SM9 標(biāo)識(shí)密碼的特性保證了網(wǎng)絡(luò)層身份標(biāo)識(shí)申請(qǐng)者能夠根據(jù)自我身份標(biāo)識(shí)ID 及相關(guān)派生信息直接在本地驗(yàn)證KGC 聯(lián)盟發(fā)送過(guò)來(lái)的網(wǎng)絡(luò)層身份標(biāo)識(shí)EID，從而有效避免了在密鑰交換過(guò)程中可能發(fā)生的標(biāo)識(shí)替換攻擊。

用戶在申請(qǐng)網(wǎng)絡(luò)層身份標(biāo)識(shí)EID時(shí)向KGC 聯(lián)盟提交用戶獨(dú)特身份標(biāo)識(shí)ID 和真實(shí)地址Loc。KGC 聯(lián)盟收到以上信息后對(duì)其進(jìn)行加密混淆，生成多個(gè)網(wǎng)絡(luò)層身份標(biāo)識(shí)EID以達(dá)到匿名性，并以此防止第三方攻擊者對(duì)用戶進(jìn)行流量關(guān)聯(lián)分析和追蹤溯源。利用去中心化思想構(gòu)建的KGC 聯(lián)盟為每個(gè)EID生成對(duì)應(yīng)的私鑰EID_sk，驗(yàn)證者可根據(jù)公開的EID對(duì)私鑰簽名的數(shù)據(jù)包等在本地進(jìn)行驗(yàn)證?；赟M9 的去中心化KGC 聯(lián)盟不僅能夠在用戶身份隱私保護(hù)、防止關(guān)聯(lián)性分析和追蹤溯源的基礎(chǔ)上對(duì)網(wǎng)絡(luò)層動(dòng)態(tài)身份標(biāo)識(shí)EID進(jìn)行匿名驗(yàn)證，也可以解決現(xiàn)有PKI 體系下在證書分發(fā)、公鑰管理等方面的開銷，加快數(shù)據(jù)驗(yàn)證、傳輸?shù)乃俣?。若存在攻擊者試圖獲取用戶匿名身份，則有如下兩種博弈：

類型-Ⅰ博弈 此類攻擊者為除被攻擊者外的某個(gè)普通節(jié)點(diǎn)，試圖通過(guò)公開信息EID來(lái)獲取用戶真實(shí)身份ID 和真實(shí)位置Loc 或是通過(guò)關(guān)聯(lián)性分析獲取相關(guān)信息。由于網(wǎng)絡(luò)層身份標(biāo)識(shí)EID是由真實(shí)身份ID 和Loc 使用哈希函數(shù)H加密并混淆生成的，故若攻擊者能夠通過(guò)EID逆向溯源得到用戶真實(shí)身份ID 和Loc，則哈希函數(shù)H不具有單向性，與哈希函數(shù)定義相悖，故在類型-Ⅰ博弈中攻擊者優(yōu)勢(shì)極小，則用戶身份匿名性在此場(chǎng)景下能夠保證。

類型-Ⅱ博弈 此類攻擊者為KGC 聯(lián)盟中的惡意KGC，由于此類攻擊者直接參與到公共參數(shù)及主密鑰對(duì)的生成過(guò)程中，則該攻擊者能夠訪問(wèn)相關(guān)參數(shù)。而去中心化的結(jié)構(gòu)使得單一惡意KGC 無(wú)法利用持有的密鑰作惡，則少數(shù)類型-Ⅱ攻擊者無(wú)法通過(guò)被攻擊者的EID得到其真實(shí)身份ID，除非惡意KGC 超過(guò)KGC 聯(lián)盟中成員數(shù)量的一半，而此類問(wèn)題在任一相同結(jié)構(gòu)的去中心化系統(tǒng)中都是存在的。因此，類型-Ⅱ攻擊者在此博弈中優(yōu)勢(shì)極小。

因此，網(wǎng)絡(luò)層去中心化的KGC 聯(lián)盟能夠抵抗類型-Ⅰ、類型-Ⅱ的攻擊者，則稱該模型可以保證用戶身份匿名性。

5 實(shí)驗(yàn)與結(jié)果分析

本文模型的編譯及測(cè)試均是在Linux 系統(tǒng)下進(jìn)行，計(jì)算機(jī)軟硬件配置：CPU 為AMD Ryzen 7 4800H 操作系統(tǒng)為Ubuntu 20.04；內(nèi)存為8 GB；程序編譯語(yǔ)言為Go 1.15.6。

本文模型中包含無(wú)證書公鑰密碼加密（CL-PKC_Encrypt）、解密（CL-PKC_Decrypt）、簽名（CL-PKC_Sign）、驗(yàn)證（CL-PKC_Verify）以 及SM9 算法簽名（SM9_Sign）、認(rèn) 證（SM9_Verify），各算法耗時(shí)對(duì)比如表2 所示。

表2 本文模型內(nèi)各算法的耗時(shí)對(duì)比Tab.2 Time consumption comparison of different algorithms in the proposed model

為了說(shuō)明本文模型的運(yùn)算效率與安全性，本文在此列舉幾種典型方案進(jìn)行對(duì)比。將相關(guān)參數(shù)的生成作為預(yù)運(yùn)算步驟，不計(jì)入比較中。不同模型的性能分析如表3 所示。

表3 不同模型的效率和抗攻擊性對(duì)比Tab.3 Efficiency and anti-attack performance comparison of different models

在簽名過(guò)程中，雙線性對(duì)運(yùn)算消耗的資源較多，因此主要對(duì)比該運(yùn)算在各模型中使用的次數(shù)。由表3 可以看出，本文模型的簽名耗時(shí)低于文獻(xiàn)［12］模型；而驗(yàn)證耗時(shí)比文獻(xiàn)［7］模型節(jié)省約40%，略高于文獻(xiàn)［2］模型和文獻(xiàn)［12］模型；相較于文獻(xiàn)［7］模型，本文模型能夠抵抗第Ⅰ類攻擊和第Ⅱ類攻擊，且采用雙層簽名認(rèn)證，安全性更高。

本文還列舉了幾種區(qū)塊鏈隱私保護(hù)方案，比較它們?cè)谀涿?、交易關(guān)聯(lián)性、可追溯性上的強(qiáng)弱，如表4 所示。

表4 不同模型的安全性對(duì)比Tab.4 Security comparison of different models

文獻(xiàn)［1］模型使用零知識(shí)證明技術(shù)保證強(qiáng)匿名性與弱關(guān)聯(lián)性，同時(shí)也導(dǎo)致可溯源性弱；文獻(xiàn)［2］模型將環(huán)簽名與多中心的SM9 算法結(jié)合，增強(qiáng)了可溯源性，且保證了弱關(guān)聯(lián)性；文獻(xiàn)［5］模型同樣使用了環(huán)簽名技術(shù)，同時(shí)引入長(zhǎng)期標(biāo)識(shí)（longterm address）和一次性標(biāo)識(shí)（one-time address）來(lái)保證交易的可溯源性和弱關(guān)聯(lián)性；本文模型采用無(wú)證書公鑰密碼體制和多中心的SM9 算法相結(jié)合的雙層認(rèn)證模式，分別從應(yīng)用層和網(wǎng)絡(luò)層保證交易的匿名性，同時(shí)使用動(dòng)態(tài)EID弱化交易間的關(guān)聯(lián)性，可以抵抗流量分析攻擊，通過(guò)將用戶身份信息與其網(wǎng)絡(luò)身份標(biāo)識(shí)綁定來(lái)實(shí)現(xiàn)交易的可溯源性。

本文模型使用應(yīng)用層無(wú)證書公鑰密碼體制和網(wǎng)絡(luò)層SM9 密碼結(jié)合的雙層認(rèn)證結(jié)構(gòu)，為了保證用戶節(jié)點(diǎn)間交易的匿名性和可監(jiān)管性，在報(bào)文傳輸效率上會(huì)有額外開銷。本文在同一環(huán)境下分別測(cè)試了本文模型和以太坊模型在不同傳輸模式下的傳輸耗時(shí)，測(cè)試結(jié)果如圖5、6 所示。

圖5 中比較了在相同軟硬件環(huán)境中連續(xù)發(fā)送消息情況下，以太坊節(jié)點(diǎn)間通信耗時(shí)和本文模型構(gòu)建的雙層簽名消息傳輸耗時(shí)。從圖5 中可以得知，雙層簽名消息的傳輸耗時(shí)平均比以太坊模型多168%；以太坊模型通信耗時(shí)波動(dòng)較小，而本文模型傳輸耗時(shí)相較而言波動(dòng)較大。

圖5 連續(xù)傳輸時(shí)兩種模型的傳輸耗時(shí)對(duì)比Fig.5 Transmission time consumption comparison of two models under continuous transmission

圖6 中比較了傳輸不同長(zhǎng)度消息（16 b、64 b、256 b、1 024 b）時(shí)的傳輸耗時(shí)：總體上雙層簽名消息傳輸耗時(shí)要比以太坊節(jié)點(diǎn)多38%；隨著消息長(zhǎng)度的增加，消息傳輸消耗的時(shí)間總體上也在增加，而雙層簽名消息傳輸耗時(shí)的波動(dòng)較大，不夠穩(wěn)定。

圖6 傳輸不同長(zhǎng)度消息時(shí)兩種模型的傳輸耗時(shí)對(duì)比Fig.6 Transmission time consumption comparison of two models under transmitting messages with different lengths

本文還測(cè)試并比較了在同一網(wǎng)絡(luò)環(huán)境下單層無(wú)證書公鑰密碼簽名消息傳輸耗時(shí)和雙層簽名消息傳輸耗時(shí)，結(jié)果如圖7 所示。

由圖7 可知，單層無(wú)證書公鑰密碼簽名在相同網(wǎng)絡(luò)環(huán)境下發(fā)送不同長(zhǎng)度信息的傳輸耗時(shí)要比雙層簽名分別少17.5%和9.6%，總體而言兩者差距并不是很大。

圖7 單層簽名和雙層簽名耗時(shí)對(duì)比Fig.7 Comparison of time consumption of single-layer and double-layer signatures

經(jīng)過(guò)多個(gè)角度的比較可以發(fā)現(xiàn)，目前本文模型使用的雙層認(rèn)證結(jié)構(gòu)在信息傳輸耗時(shí)上比現(xiàn)有的區(qū)塊鏈系統(tǒng)慢，但整體運(yùn)行效率在可接受范圍內(nèi)。

6 結(jié)語(yǔ)

本文將無(wú)證書公鑰密碼和標(biāo)識(shí)密碼結(jié)合，綜合兩種密碼的優(yōu)點(diǎn)，構(gòu)建了一種可監(jiān)管的區(qū)塊鏈匿名交易平臺(tái)模型。本文模型在應(yīng)用層使用與網(wǎng)絡(luò)層身份標(biāo)識(shí)關(guān)聯(lián)的無(wú)證書公鑰密碼保證用戶交易的可監(jiān)管性，在網(wǎng)絡(luò)層使用基于SM9 標(biāo)識(shí)密碼的網(wǎng)絡(luò)身份標(biāo)識(shí)保證用戶身份匿名性，通過(guò)雙層認(rèn)證簽名的結(jié)構(gòu)保證了用戶交易數(shù)據(jù)的安全性和不可篡改性。通過(guò)實(shí)驗(yàn)測(cè)試了模型各算法的性能，并對(duì)比了雙層簽名消息和純數(shù)據(jù)流消息及以太坊節(jié)點(diǎn)間的傳輸耗時(shí)，通過(guò)實(shí)驗(yàn)結(jié)果可以得知本文模型還有很大的優(yōu)化空間。

我國(guó)對(duì)區(qū)塊鏈技術(shù)的重視程度不斷增加，數(shù)字貨幣的出現(xiàn)意味著國(guó)家已邁出了區(qū)塊鏈應(yīng)用的一大步，為了使區(qū)塊鏈技術(shù)更好地服務(wù)人民，如何更好、更安全地監(jiān)管區(qū)塊鏈成為亟待解決的主要問(wèn)題之一。本文提出的區(qū)塊鏈匿名交易模型將隱私性和可監(jiān)管性兼容，能夠在一定程度上解決上述問(wèn)題，相信在未來(lái)會(huì)有更好的發(fā)展前景。