基于区块链的匿名信息监管方法及系统

1.本发明涉及信息安全及隐私保护领域，尤其涉及一种基于区块链的匿名信息监管方法及系统。


背景技术：

2.新媒体的普及得益于智能手机、电脑和各种网站论坛和社交传媒app的快速发展。普通人在当今时代获取新闻的途径变得非常广泛，从以前的熟人打听拓展为搜索引擎搜索，浏览论坛，查看资讯类app等等新兴传媒手段，自媒体行业也蓬勃发展起来，极大地丰富了新闻传播途径并充实了新闻传媒内容。然而面对海量的自媒体发布的信息其真实性和专业性往往难以保证；同时对于一些内容敏感或不想暴露身份的自媒体从业者来说当前媒体平台缺乏有效且可控的匿名机制，媒体平台存在无法匿名或匿名信息质量低等诸多问题。
3.面对信息发布者身份信息隐私性与数据可追溯性不能同时满足的问题，现有技术中主要采用基于属性的签名和基于属性环的签名。
4.基于属性的签名(abs,attribute-based signature)能够细粒度地划分身份特征,其身份被看作是一系列属性特征的集合,只有满足特定属性或某种特定访问控制结构的签名者才可以进行有效的签名.基于属性的数字签名体制因在强调匿名性身份和分布式网络系统方面的应用有着基于身份的密码体制无法比拟的优势,且其应用更为直观,灵活,广泛,而引起学者的广泛关注,目前已成为公钥密码学研究领域的一个热点。
5.环签名(ring signature)提环签名允许一个签名者代表一个签名集合进行签名，同时保证签名者身份的匿名性，签名者在签名时无需集合中其他成员的帮助(协作)，甚至于可以不让其他成员知晓，只需要用自己的私钥和其他成员的公钥就能实现。验证签名的不同点在于，仅可验证签名来自群组成员，但是无法区分某个具体成员。环签名提供的有限匿名性和可连接可撤销的特性恰好弥补单纯基于属性的签名无法追溯至个人的短板，并通过将发布者uid隐藏于uid列表的方法，保证了发布者的隐私性。
6.目前存在的多种属性签名及属性环签名的方案中，都存在一些尚未解决的问题。例如当属性关系较为复杂时，基于线性秘密共享的属性签名方案由于不支持布尔表达式出现效率低下等问题，基于拉格朗日插值多项式的属性环签名方案无法直接应用在区块链场景，单纯基于属性签名体系的方案无法实现可连接可撤销的特性等问题。


技术实现要素：

7.为克服现有技术的不足，本发明提供了一种基于区块链的匿名信息监管方法及系统。
8.根据本发明实施例的第一方面，提供基于区块链的匿名信息监管方法，包括以下步骤：
9.系统建立阶段：授权中心根据输入的安全参数，输出系统密钥对、环签名密钥对和公共参数；
10.密钥阶段：密钥生成中心根据验证者的用户属性集，生成用户私钥和转换私钥，以及，根据签名者的签名属性集和电路结构，生成签名者私钥；
11.签名阶段；签名者根据所述公共参数、消息、所述电路结构、所述签名者私钥、环签名私钥和公钥列表，生成签名，其中，所述公钥列表由所述签名者从公钥池收集他人公钥并置入自身uid得到；
12.外包计算阶段：外包计算服务器判断待验证的签名是否合法，以及在判断所述待验证的签名为合法时，对所述用户属性集、转换私钥和签名进行计算，生成外包验证签名；
13.用户验证阶段：验证者判断所述外包计算服务器是否作弊，以及在判断所述外包计算服务器未作弊时，对所述外包验证签名是否合法进行校验；
14.连接阶段：验证者根据待验证的两个签名及对应的公钥列表和消息，判断所述待验证的两个签名是否可连接，以根据判断结果确定所述待验证的两个签名是否属于同一用户。
15.根据本发明实施例的第二方面，提供基于区块链的匿名信息监管系统，包括：
16.授权中心，用于根据输入的安全参数，输出系统密钥对、环签名密钥对和公共参数；
17.密钥生成中心，用于根据验证者的用户属性集，生成用户私钥和转换私钥，以及，根据签名者的签名属性集和电路结构，生成签名者私钥；
18.签名者，用于根据所述公共参数、消息、所述电路结构、所述签名者私钥、环签名私钥和公钥列表，生成签名，其中，所述公钥列表由所述签名者从公钥池收集他人公钥并置入自身uid得到；
19.外包计算服务器，用于判断待验证的签名是否合法，以及在判断所述待验证的签名为合法时，对所述用户属性集、转换私钥和签名进行计算，生成外包验证签名；
20.验证者，用于判断所述外包计算服务器是否作弊，以及在判断所述外包计算服务器未作弊时，对所述外包验证签名是否合法进行校验；还用于根据待验证的两个签名及对应的公钥列表和消息，判断所述待验证的两个签名是否可连接，以根据判断结果确定所述待验证的两个签名是否属于同一用户。
21.本发明的实施例提供的技术方案可以包括以下有益效果：
22.使用区块链技术将存储信息，利用区块链共识机制的特性，提高信息的可信度，将属性签名的细粒度访问控制和环签名的匿名性相结合，既可以实现不泄漏信息发布者身份信息，也可以对违规违法信息进行连接，实现功能完备的区块链信息监管方案。
23.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
24.通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。
25.图1是根据本发明一示例性实施例示出的基于区块链的匿名信息监管系统的实体及原理示意图；
26.图2是门限元件示意图；
27.图3是根据本发明一示例性实施例示出的基于区块链的匿名信息监管方法的流程示意图。
具体实施方式
28.下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。
29.在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
30.应当理解，尽管在本发明可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
31.本发明将属性签名和环签名相结合，使用cp-abe(密文策略的属性签名)技术并将布尔电路作为属性访问结构以实现更灵活的访问结构，同时环签名保证发布者的匿名性，以及在环签名结构上附加可连接和可撤销的特性保证在拥有撤销权威密钥的前提下可以揭示签名者的公钥信息，并保证新闻在上链过程中数据的完整性和安全性。本方案还可以配合变色龙哈希进行满足特定访问结构的链上信息修改，更加契合区块链新闻发布和撤销的应用场景。
32.如图1所示，本发明实施例提供的技术方案中主要存在5个实体：
33.授权中心：包括属性授权和uid授权，定义全局属性集，为用户分发相应的属性集合及id密钥。
34.签名者：根据自身属性集合指定访问结构，对消息进行签名。该签名只有符合访问结构的才能解密访问。
35.验证者：对签名是否合法进行校验。
36.撤销权威：特殊的拥有撤销密钥的用户，可以对环签名进行撤销揭示签名者身份公钥。
37.外包计算服务器：负责处理相对复杂的验证运算，减少验证者的计算量。
38.另外，本发明实施例的技术方案中定义的电路结构采用单调单输出的布尔逻辑电路，详见图2：f
′
＝(n，p，a，b，gt)，其中，n为输入电线数，p为电路门数，a为电路门的第1个输入，b为电路门的第2个输入，gt为电路门的类型(三种类型，分别为and、or和threshold)。则电路有n p根电线，定义电线n p为输出电线，fi′
(input)表示输入input在结构f
′
中满足电线i，f
′
(s)＝1表示属性集满足该电路结构。
39.以下结合附图详细描述本发明实施例的技术方案。
40.图3是根据本发明一示例性实施例示出的基于区块链的匿名信息监管方法的流程示意图。
41.参见图3，该方法包括以下几个阶段：
42.s1、系统建立阶段：授权中心根据输入的安全参数，输出系统密钥对、环签名密钥对和公共参数；
43.具体的，该阶段中授权中心根据输入的安全参数λ，输出系统密钥对(系统公钥mpk和系统私钥msk)、环签名私钥msk
ring
和公共参数pp，根据所述环签名私钥msk
ring
和公共参数pp调用环签名的密钥生成算法生成环签名密钥对(包含环签名公钥pk
π
和环签名私钥sk
π
)。
44.在一个具体的实施例中，随机选择α∈z
q*
，其中，zq＝{0,1,2...,q-1}，zq*＝{k∈zq|gcd(k,q)＝1}，向授权中心输入系统安全参数λ，电路的最大层数l和布尔输入个数n。令k＝l 1，选择k 1个q阶循环乘群g1，
…
，g
k 1
，它们的生成元分别为g1，
…
，g
k 1
。定义哈希函数h:gk→
(0,1)
θ
，其中θ为明文m的长度,{h1,
…
,h
l
}是g1上的元素,则系统公钥params＝(h1,
…
,h
l
)，系统私钥为令g＝g1，环签名阶段，签名者从授权中心收集到σ(σ《《k)个参与者信息，公钥列表即uid列表为l
uid
＝{uid1,uid2,
…
,uid
σ
}，h1,
…
,h
σ
是(0,1)
*
→gi
,i∈(1,σ)上带有陷门的哈希函数，h＝h1。
45.对于环结构，生成环签名密钥对(pk
π
,sk
π
)
←
keygen
rung
(msk
ring
,pp)。
46.s2、密钥阶段：密钥生成中心根据验证者的用户属性集，生成用户私钥和转换私钥，以及，根据签名者的签名属性集和电路结构，生成签名者私钥；
47.具体的，在该阶段中，授权中心输入用户属性集s，生成用户私钥sk和用户转换私钥sk
°←
keygen
ring
(msk,pp)。对于签名者及其所用签名属性集w和其满足的电路结构f，生成签名者私钥ssk
←
keygen
abe
(f,w,pp)。
48.对于普通用户：输入属性集s和自身uid,算法选择t∈z
q*
；
49.对于用户身份：使用明文嵌入的方式得到g
α
＝uid；生成用户私钥d＝g
t
,(ki＝h
iti∈s
),e＝g
α
，用户选择x
′
∈z
q*
生成转化私钥
50.对于签名者：签名者输入签名属性集ω,单调电路结构f
′
(n,p,a,b,gt)密钥生成中心随机选择π1,
…
,π
n p
∈z
q*
,β∈z
q*
,d
′
＝g
β
。
51.对于激活的电线(即fi′
(ωi)＝1)，βi∈z
q*
，令，令d
i3
＝h
iβ
。
52.对于深度不为1的非输入电线j＝depth(i)：
53.与门电线：对于与门的两个输入分别随机选择b
i1
,b
i2
∈z
q*
，计算
54.或门电线：对于或门的两个输入分别随机选择b
i1
,b
i2
∈z
q*
，计算
55.门限电线(门限r)：对于门限元件n个输入随机选择门限电线(门限r)：对于门限元件n个输入随机选择计算
56.对于签名者身份：使用明文嵌入的方式得到并将其嵌入环签名公钥之中,
57.即生成的私钥为：
[0058][0059]
s3、签名阶段；签名者根据所述公共参数、消息、所述电路结构、所述签名者私钥、环签名私钥和公钥列表，生成签名，其中，所述公钥列表由所述签名者从公钥池收集他人公钥并置入自身uid得到；
[0060]
具体的，在该阶段，输入公共参数pp，消息m，电路结构f，签名者私钥ssk、环签名私钥sk
π
和公钥列表l
uid
(包含自身uid)，分别得到签名的属性签名部分δ1←
signature
abe
(pp,m,f,ssk)，以及，得到签名的环签名部分：δ2←
signature
ring
(pp,m,l
uid
,sk
π
)，签名者最终生成签名δ
←
(δ1,δ2)。
[0061]
签名者随机选择r1,
…
,r
n p
∈z
q*
,根据输入电线的种类，分为以下四种情况：
[0062]
1.输入电线：即i∈[1,
…
,n]，对于电路结构f随机选择ti∈z
q*
，计算对于电路结构，如果输入input满足fi′
(input)＝1，则计算：
[0063][0064]
2.对于与门电线：i∈[n 1,n p]且gt(i)＝and时，电路结构f
′
随机选择计算对于电路结构，如果输入input满足f
a(i)′
(input)＝1,则计算：
[0065][0066]
3.对于或门电线：当电线i∈[n 1,n p]且gt(i)＝or时电路结构f
′
随机选择计算计算对于电路结构，如果输入input满足f
a(i)′
(input)＝1,则计算：
[0067][0068]
如果输入input满足f
′
a(i)
(input)＝0,f
′
b(i)
(input)＝1，则计算：
[0069][0070]
4.对于门限r电线：i∈[n 1,n p]且gt(i)＝threshold时电路结构f
′
随机选择计算,
对于电路结构，如果输入input满足则计算：
[0071][0072]
如果签名者属性集满足访问结构f
′
，则算法能计算出最终结果环签名阶段，环签名σ个参与者的uid列表为l
uid
＝{uid1,uid2,
…
,uid
σ
}，签名者的uid隐于其中，event表示对此次事件的描述。h＝h(event),}，签名者的uid隐于其中，event表示对此次事件的描述。h＝h(event),是撤销权威的公私钥对，陷门哈希的结构如下式所示：
[0073][0074]
另外本文的撤销结构依赖于eigamel加密算法：u∈zq。
[0075]
(a)c1←gu
，(b)(c)c
←
{c1,c2}。
[0076]
注：y
π
＝uid
π
||e
π
，签名者从g
π
中随机选择γ，随机选择t1∈zq，令e
π
＝γ，计算i≠π时，随机选择si∈gi,随机选择:
[0077]ri1
,r
i2
∈zq，
[0078][0079][0080]
最后回填，令r
π1
＝t
1-sk
π
·cπ
，r
π2
＝t
2-u
·cπ
，迭代顺序为π 1,π 2,
…
,σ,1,2,
…
,π-1，综上，令1，综上，令δ3＝d
′
＝g
β
，最后生成的签名为：
[0081][0082]
s4、外包计算阶段：外包计算服务器判断待验证的签名是否合法，以及在判断所述待验证的签名为合法时，对所述用户属性集、转换私钥和签名进行计算，生成外包验证签名；
[0083]
具体的，外包计算服务器主要负责需要大量运算的属性是否吻合以及签名是否合法。当输入用户属性集s和转换私钥sk
′
，外包计算服务器选择用户需要验证的签名δ，即验证f(s)是否等于1，具体过程如下：
[0084]
对于输入电线即i∈[1,
…
,n]且fi(input)＝1，计算：
[0085]
[0086]
对于或门电线即电线i∈[n 1,n p]且gt(i)＝or，输入input满足f
a(i)′
(input)＝1时计算：
[0087][0088]
如果输入input满足f
′
a(i)
(input)＝0，f
′
b(i)
(input)＝1，则计算：
[0089][0090]
与门电线即i∈[n 1,n p]且gt(i)＝and，如果输入input满足f
a(i)′
(input)＝1,则计算：
[0091][0092]
对于门限电线即i∈[n 1,n p]且gt(i)＝threshold：如果输入input满足则计算：
[0093][0094]
如果用户属性集s满足签名条件，则算法能计算出最终结果如果用户属性集s满足签名条件，则算法能计算出最终结果最终外包计算服务器计算得到外包验证签名发送给验证者。
[0095]
s5、用户验证阶段：验证者判断所述外包计算服务器是否作弊，以及在判断所述外包计算服务器未作弊时，对所述外包验证签名是否合法进行校验；
[0096]
输入消息m和公钥列表l
uid
和转化后的签名δ
′
，用户的任务主要是判断转换后的签名是否合法以及服务器是否作弊。首先验证等式名是否合法以及服务器是否作弊。首先验证等式是否成立，如果不成立，停止运算，输出为服务器作弊；如果成立，则进一步进行迭代运算：当1≤i《σ时，计算：
[0097]
(1)ei＝ci·fi
(si,uidi)
[0098]
(2)
[0099]
验证等式成立则进行下一步，否则终止运算输出非法签名。最后验证等式e(δ1,g)＝e(δ2,δ3)是否成立,若成立，输出为合法签名，否则输出为非法签名。
[0100]
s6、连接阶段：验证者根据待验证的两个签名及对应的公钥列表和消息，判断所述待验证的两个签名是否可连接，以根据判断结果确定所述待验证的两个签名是否属于同一用户。
[0101]
具体的，验证者判断待验证的两个签名对应的公钥列表中uid的个数是否相等，若相等则输出为可连接，否则输出为不可连接。
[0102]
若两个签名可连接，则说明待验证的两个签名属于同一用户，从而可以判断对同一用户发送的不合规消息进行统计，以便于采取进一步的监管措施。
[0103]
可选地，在该实施例中，如图3所示，该方法还包括：
[0104]
s7、撤销阶段：撤销权威根据待撤销的签名及对应的公钥列表和自身的私钥，进行撤销操作。
[0105]
输入公钥列表l
uid
及对应的长度σ,以及合法签名δ和撤销权威私钥sk
rev
，计算：
[0106]
(1)parse(c)＝c1,c2[0107]
(2)
[0108]
通过上述计算获得对应的属性集信息，向授权中心query(uid
π
,sk
rev
)，获得结果(yes/no,属性集s)。如果uid
π
在公钥列表中且与属性集相吻合，则uid
π
则为真实的签名者。
[0109]
本发明使用区块链技术将存储自媒体新闻发布数据，利用区块链共识机制的特性，提高新闻的可信度，将属性签名的细粒度访问控制和环签名的匿名性相结合，既可以实现不泄漏新闻发布者身份信息，也可以对违规违法信息进行连接和撤销，实现功能完备的区块链自媒体新闻监管方案。
[0110]
本发明提出了一种专门面向区块链新闻发布与撤销场景、没有显著增加性能开销的方案，并且支持配合变色龙哈希实现基于策略的链上信息修改，实现匿名发布新闻信息以及链上新闻信息的连接，撤销和修改操作，建立完善的区块链新闻发布和撤销的监管平台，以属性环签名为区块链新闻分类和匿名提供基础理论支持，对于基于拉格朗日多项式的属性环签名的属性部分不支持布尔表达式以至于极大程度上限制了实用性这一问题,使用属性电路制作访问结构代替拉格朗日多项式。同时加入门限元件支持门限运算以及更灵活的属性值范围限定，使得访问控制更加灵活。
[0111]
本发明提出的区块链新闻发布和撤销的监管方案将打破自媒体新闻真假难辨的窘境，在区块链新闻、多方竞标等场景中同样具有实用价值。通过属性标识具有特定专业领域的发布者提高新闻可信性，并通过环签名可连接可撤销的特性对违法违规信息进行监管更好地适用于该应用场景，将进一步加强自媒体新闻治理与监管。
[0112]
与上述方法实施例相对应地，本发明实施例提供基于区块链的匿名信息监管系统，包括：
[0113]
授权中心，用于根据输入的安全参数，输出系统密钥对、环签名密钥对和公共参数；
[0114]
密钥生成中心，用于根据验证者的用户属性集，生成用户私钥和转换私钥，以及，根据签名者的签名属性集和电路结构，生成签名者私钥；
[0115]
签名者，用于根据所述公共参数、消息、所述电路结构、所述签名者私钥、环签名私钥和公钥列表，生成签名，其中，所述公钥列表由所述签名者从公钥池收集他人公钥并置入自身uid得到；
[0116]
外包计算服务器，用于判断待验证的签名是否合法，以及在判断所述待验证的签名为合法时，对所述用户属性集、转换私钥和签名进行计算，生成外包验证签名；
[0117]
验证者，用于判断所述外包计算服务器是否作弊，以及在判断所述外包计算服务器未作弊时，对所述外包验证签名是否合法进行校验；还用于根据待验证的两个签名及对应的公钥列表和消息，判断所述待验证的两个签名是否可连接，以根据判断结果确定所述待验证的两个签名是否属于同一用户。
[0118]
关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不再做详细阐述说明。
[0119]
可选地，在该实施例中，该系统还包括撤销权威，用于根据待撤销的签名及对应的公钥列表和自身的私钥，进行撤销操作。
[0120]
可选地，在该实施例中，授权中心具体用于根据输入的安全参数，输出系统密钥对、环签名私钥和公共参数，根据所述环签名私钥和公共参数调用环签名的密钥生成算法生成环签名密钥对。
[0121]
可选地，在该实施例中，签名者具体用于根据所述公共参数、消息、所述电路结构和所述签名者私钥调用属性签名生成算法生成签名的属性签名部分，以及，根据所述公共参数、消息、环签名私钥和所述公钥列表调用环签名生成算法生成签名的环签名部分。
[0122]
可选地，在该实施例中，验证者具体用于判断待验证的两个签名对应的公钥列表中uid的个数是否相等，若相等则输出为可连接，否则输出为不可连接。
[0123]
上文中已经参考附图详细描述了本发明的方案。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。本领域技术人员也应该知悉，说明书中所涉及的动作和模块并不一定是本发明所必须的。另外，可以理解，本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减，本发明实施例装置中的模块可以根据实际需要进行合并、划分和删减。
[0124]
本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
[0125]
附图中的流程图和框图显示了根据本发明的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0126]
以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。