CN110009318A - 一种基于门罗币的数字货币追踪方法 - Google Patents

Abstract

本发明涉及一种基于门罗币的数字货币追踪方法，包括以下步骤：***初始化，生成***参数和追踪权威的密钥；用户生成交易单，付款人为收款人生成一次公钥，并嵌入长期公钥追踪标签；付款人为付款账户铸币；付款人拉入一组混合账户隐藏真实付款账户；生成一次公钥追踪标签；完成交易单，并对交易单进行签名。将交易单广播至P2P网络中；矿工生成区块，矿工收集P2P网络中的交易单，验证收集交易单的有效性，并用有效交易单进行挖矿，生成新区块，广播该区块；追踪权威追踪恶意付款人，追踪权威在发现恶意付款人时，可以追踪恶意付款人的一次公钥和长期公钥，以撤销其匿名性，同时生成证据证明追踪结果的正确性。

Description

一种基于门罗币的数字货币追踪方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于门罗币的数字货币追踪方法。

背景技术

密码货币是一种基于公钥密码学的数字货币。传统的电子货币基于一个可信第三方，而密码货币是去中心化的，交易双方无需经过第三方可直接进行交易。密码货币的交易和验证是通过区块链实现的，区块链是一个去中心化的公开账本，由***中所有参与者以一种可验证的、永久的方式维护。区块链是一项具有深远意义的技术，它改变了现实世界中交易的方式，被视为继互联网出现后最大的变革。

保护用户隐私是密码货币最吸引人的特征之一。如果交易过程中不保护用户的敏感信息，恶意商家将售卖用户的交易信息而获取利益。同时，在密码货币交易中敏感信息泄露可能导致用户的日常生活受到各类垃圾邮件和恶意广告的骚扰。因此，探索密码货币隐私增强技术非常重要。

比特币是第一个去中心化的密码货币，自2009年问世以来一直受到学术界和业界的广泛关注。比特币为用户使用假名***，未达到真正的匿名，而比特币的假名机制不足以保护用户在现实世界应用中的隐私。例如，如果付款人使用多个付款地址共同支付同一商品时，那么同一付款人的地址将会被链接起来。为了提高密码货币中隐私保护等级，多种构造已经被提出，如门罗币、达世(Dash)、零币(Zerocash)等。

本发明着眼于门罗币是一种资源开放的去中心化密码货币，主要关注于货币的隐私性和匿名性。它于2014年作为字节币的一个分支所发行，目前已经成为占比最大的密码货币之一，截至2018年3月，它的市场值可达57亿美元。门罗币基于CryptoNote协议从而能够保护收款人的身份隐私，同时利用可链接的环签名保护特定收款人在自发环中的身份隐私，这被称为环秘密交易协议(RingCT)。2017年，Sun和Au等人提出了一种新的高效的RingCT协议(RingCT 2.0)，该协议采用了一种功能强大的工具，称为单向域的累加器，其交易单的大小独立于环中输入账户的数量，有效地节省了数据的存储空间。

密码货币交易中，匿名性是保护用户隐私的必要条件。然而，匿名性也带来了一些新的问题，如无法对非法交易进行审查等，使其成为非法活动的完美犯罪工具，如逃税、洗钱、违禁物交易和勒索。近年来，为达到非法目的滥用匿名密码货币的情况不断增长，呈上升趋势。臭名昭著的黑色丝绸之路就是利用比特币和Tor网络进行毒品交易以避免被追踪或惩罚。2017年5月，网络攻击WannaCry攻击了全球150个国家中的30多万台电脑，通过加密文件向用户索要赎金。受害者被要求支付价值300-600美元的比特币到三个硬编码账户。据估计，WannaCry造成的经济损失约为40亿美元，而犯罪者至今仍然是未知的。三个月后，犯罪者支付的比特币已被兑换为门罗币，更加难以追踪到真实的犯罪者。因此，在匿名密码货币中，可追踪性是十分重要的。

上述密码货币诸如比特币、门罗币、零币在保护用户隐私的同时均未考虑密码货币的可追踪性，未能实现密码货币的有效监管，难以平衡密码货币中用户隐私和货币监管之间的关系。在区块链中，尽管已经提出了一些对匿名密码货币追踪的方法，但现有的基于密码学工具对密码货币进行追踪的方法并不多，而对于门罗币的追踪方法少之又少。

发明内容

为了解决现有技术中存在的上述问题，以及对区块链中密码货币的隐私保护问题及滥用匿名性问题，本发明提供了一种基于门罗币的数字货币追踪方法，平衡数字货币中用户隐私和货币监管的关系，并给出两种追踪机制，分别用于追踪用户的长期账户和一次账户。

本发明方法无需追踪权威时刻在线参与交易，只在需要追踪用户时介入，且追踪权威不会干扰任何交易，对于诚实的用户，其匿名性仍能被保证，但在用户发生恶意行为时，追踪权威可以进行追踪来撤销其匿名性，以监管该***；对于基于区块链的密码货币的交易，监管和隐私保护是两个极其重要但又看似矛盾的问题，本方法完美兼容了两个性质。

因此本发明成果对于促进基于区块链的密码货币的可持续发展具有重要的理论意义和实用价值。

本发明方法要解决的技术问题通过以下技术方案实现：

一种基于门罗币的数字货币追踪方法，包括下列步骤：

步骤S100.***建立，生成***参数：选择安全参数λ，生成***的公开参数pp及追踪权威的公钥(ω，z)；每个用户在加入***时，***为其分配长期密钥。具体地，

步骤S101：选择一个安全参数λ，调用单向域累加器的参数生成算法生成累加器公共参数desc＝ACC.Gen(1^λ)，调用知识签名的参数生成算法生成知识签名公共参数par＝SoK.Gen(1^λ)。其中，单向域G_q的累加器算法包含f＝(ACC.Gen，ACC.Eval，ACC.Wit)，知识签名算法包含Sok＝(SoK.Gen，SoK.Sign，SoK.Verf)；

步骤S102：选择一个安全的大素数q，并生成以q为阶的循环群G_q，选择随机元素H为抗碰撞的Hash函数，H：{0，1}^*→G_q；

步骤S103：***公开参数为

步骤S104：为追踪权威随机生成私钥ω∈G_q，并计算追踪权威的公钥为z＝h₀ ^ω；

步骤S105：对加入***的用户，***为其自动分配公私钥对，满足(A′＝h₀ ^a′，B′＝h₀ ^b′)，其中(A′，B′)为用户的长期公钥，在***中公开，用于标识用户；(a′，b′)为用户的长期私钥。

步骤S200.生成交易单：

为了不失一般性，假定付款人在一个交易单中有一组付款账户(共m个)，同时为了保护付款人隐私，需要付款人拉入其他n-1组的混合账户(mixins)来掩盖真实的付款人账户，生成付款账户矩阵(如图3)；假定收款账户共有t个。具体地，对于付款账户：设置A表示n个用户输入账户的集合，真实付款人为第s个用户，其付款账户集合为A_s，付款账户所对应的私钥为对于输出账户：一组输出地址为R＝{pk_out，j}_1≤j≤t，输出账户集合为A_R。

步骤S201付款人根据收款人的长期公钥，为收款人生成一次公钥y，并在其中嵌入长期公钥追踪标签ct；

步骤S201-1.付款人为收款人生成一个一次公钥。

步骤S201-2.付款人为该账户生成长期公钥追踪标签。

步骤S202.付款人为付款账户铸币；付款人根据自己的一次公钥pk，恢复对应的一次私钥sk。并根据一次密钥和金额a铸币，选择随机数r计算承诺c，得到铸币(cn，ck)＝(c，(r，a))，设置付款账户为act＝(pk，cn)，对应私钥为ask＝(sk，cn)。其中，cn表示金额a对应的数字货币，(pk，sk)表示付款人的一次密钥对。

步骤S202-1.付款人根据自己的长期私钥和密钥恢复参数，按照步骤S201-1中的方式计算该一次公钥pk对应的一次私钥sk；

步骤S202-2.付款人根据一次公钥pk和金额a进行铸币。

步骤S203.付款人生成输出账户，并为输出账户铸币；同时证明输入输出账户中的金额相等。

步骤S203-1.付款人选择随机元素r_out，j∈Z_q(1≤j≤t)，对输出地址pk_out，j∈R(1≤j≤t)计算得到输出铸币付款人将输出账户act_out，j＝(pk_out，j，cn_out，j)加入集合A_R中，发送货币密钥ck_out，j＝(r_out，j，a_out，j)给一次公钥为pk_out，j的收款人。

步骤S203-2.为了防止多花(即付款人花费比付款账户里金额多的钱)，付款人需要证明输入账户和输出账户金额相等。

步骤S204.付款人生成一个花费证明，证明该笔花费的正确性，并对该交易单签名，最后生成交易记录(tx，π，S，CT)。其中，S＝{s₁，s₂，…，s_m}表示账户对应地址的序列号，CT＝(ct₁，ct₂)表示索引的密文；

步骤S204-1.付款人调用累加器算法，计算累加值和证据以证明第k个账户中的公钥的确已累加进v_k中。

步骤S204-2.计算付款账户的序列号s_k。

步骤S204-3.计算一次公钥追踪标签CT。

步骤S204-4.付款人利用可链接的环签名生成关于交易单tx的知识签名π；

步骤S204-5.付款人输出一组交易记录(tx，π，S，CT)。其中，S＝{s₁，s₂，…，s_m}表示账户对应地址的序列号，CT＝(ct₁，ct₂)表示一次公钥追踪标签；

步骤S300.区块生成：

步骤S301.矿工验证交易单；矿工随机选取P2P网络中的交易单，并验证交易的有效性；

步骤S301-1：矿工根据输入账户输入账户A_R＝{(pk_out，j，cn_out，j)}_1≤j≤t，和交易单tx的密文CT计算

步骤S301-2：矿工根据累加值(v₁，…，v_m+1)、序列号S、交易单tx和证明π验证Verf(tx，ct₁，ct₂，(v₁，…，v_m+1，s₁，…，s_m)，π)＝1是否成立。

步骤S302.根据有效交易单生成新区块，广播该区块至P2P网络；

步骤S303.P2P网络中的其他用户验证新区块的有效性。

步骤S400.追踪权威追踪恶意的付款人：

步骤S401.恶意付款人追踪。当***需要对恶意付款人进行追踪时，追踪权威可以根据自己的私钥和追踪标签追踪到恶意付款人的一次公钥和长期公钥，追踪权威在追踪后生成追踪证明。

步骤S402.恶意付款人追踪验证：***中的任何实体都可以验证追踪证明的有效性。

进一步地，所述步骤S201-1的具体步骤为：付款人查找收款人的长期公钥为(A′，B′)，付款人选择随机数r′∈G_q，计算一次密钥恢复参数R′＝h₀ ^r′，及哈希值h＝H(A′^r′，B′)。所述收款人的一次公钥为y＝B′h₀ ^h。收款人可以在收款后根据自己的长期私钥(a′，b′)和密钥恢复参数R′，计算该账户对应的一次私钥x＝b′+H(R′^a′，B′)。

进一步地，所述步骤S201-2的具体步骤为：付款人根据追踪权威的公钥z计算长期公钥追踪标签ct＝z^h，同时生成追踪标签对应的知识签名

进一步地，所述步骤S202-2的具体步骤为：付款人选择随机数r计算承诺 得到铸币(cn，ck)＝(c，(r，a))，付款人的一次账户为act＝(pk，cn)，对应账户的私钥为ask＝(sk，ck)。其中(pk，sk)表示付款人的一次密钥对。

进一步地，所述步骤S203-2的具体步骤为：付款人需要计算多花私钥 以及多花公钥 若输入账户的货币总额等于输出账户的货币总额，即则满足

进一步地，所述步骤S204-2的具体步骤为：根据账户的私钥计算序列号 来唯一标识付款账户。

进一步地，所述步骤S204-3的具体步骤为：选择随机数根据追踪权威的公钥z加密真实付款人在付款账户矩阵中的列号γ，得到密文CT＝(ct₁，ct₂)，其中，

进一步地，所述步骤S204-4的具体步骤为：付款人按照如下方式生成关于交易单tx的知识签名π；

进一步地，所述步骤S302的具体步骤为：矿工有效的交易单{tx}，根据这些交易单生成Merkle哈希树，将Merkle哈希树的根Root与前一个区块的哈希值Pre_Hash放在一起同时进行挖矿，即找到一个合适的随机数non使得区块的哈希值小于目标值：

H(non||Pre_hash||tx||tx||...||tx)＜target

若挖矿成功，则产生新的区块；

进一步地，所述步骤S303的具体步骤为：当前区块为blk_n，矿工验证新区块的哈希值是否满足条件，即验证H(non||Pre_hash||tx||tx||...||tx)＜target是否成立以接受或拒绝该区块。

进一步地，所述步骤S401中追踪恶意付款人一次公钥的具体步骤为：追踪付款人的一次公钥，追踪权威根据私钥ω、密文CT＝(ct₁，ct₂)计算p＝ct₁/ct₂ ^ω-1，查找满足p＝h₃ ^γ的索引γ∈[1，n]，得到γ对应账户的一次公钥；同时，追踪权威调用知识签名算法计算知识签名作为证明ψ′，证明γ的确是付款人的一次公钥在付款人账户集合中的索引值。

进一步地，所述步骤S401中追踪恶意付款人长期公钥的具体步骤为：追踪付款人的长期公钥，追踪权威根据私钥ω和长期公钥追踪标签计算B′为对应付款人的长期公钥，y是付款人的一次公钥，同时调用知识签名算法生成知识签名作为证明ψ，证明B′是由自己正确打开的。

进一步地，所述步骤S402的具体步骤为：***中任何实体都可以调用知识签名验证算法来验证Verf(B′，(z，y，ct)，ψ)＝1和Verf(γ，(z，ct₁，ct₂)，ψ)＝1是否成立，若成立，说明ψ和ψ是有效生成的。

与现有技术相比，本发明的有益效果：

(1)可追踪的门罗币：本发明提出了一种新的数字货币密码追踪方法，能够在门罗币的交易中同时实现有条件的匿名性和可追踪性，正常的交易可以保证参与用户的匿名性，同时存在一个追踪权威可在任何可疑的交易中撤销付款人的匿名性，很好地平衡了门罗币中的匿名性与可追踪性之间看似矛盾的关系；

(2)两种追踪机制：本发明实现了可追踪的门罗币数字货币追踪方法，包含两种追踪机制：追踪权威可通过交易记录中的一次公钥追踪标签追踪到付款人的一次公钥；进而，追踪权威可以根据付款人一次公钥中的长期公钥追踪标签追踪到恶意用户的长期公钥；

(3)***优化：本发明方法无需追踪权威时刻参与交易，只在需要追踪用户进行参与，追踪权威不会干扰任何交易，且追踪和验证产生的开销较小，***实现简单，达到较高的运行的效率。

附图说明

图1是本发明方法具体实施方式的可追踪的门罗币方法运行过程示意图。

图2是本发明方法具体实施方式的收款人一次公钥生成过程示意图。

图3是本发明方法具体实施方式的交易单中的输入账户矩阵示意图。

图4是本发明方法具体实施方式中生成交易单和验证交易单步骤增加的时间开销测试图。

图5是本发明方法具体实施方式的验证交易单步骤的效率测试图。

具体实施方式

需要说明的是，本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合，这些任何方式的组合也在本发明的保护范围之内。

本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

本发明是以公钥密码学理论为基础，提出了一种关于可追踪的门罗币的新的密码货币的追踪方法，给出了两种追踪机制，此方法是对门罗币***的改进，很好的平衡了密码货币中用户隐私与监管之间看似矛盾的关系，应用于安全性要求较高的区块链环境。在可追踪的门罗币***中，正常的交易都可像在门罗币***中那样匿名的进行，同时存在一个追踪权威能够在任何可疑交易中追踪到付款人的一次公钥或/和长期公钥，撤销付款人的匿名性；追踪权威不会干扰任何交易，仅在需要对已完成的交易进行调查时才参与。

因此本发明方法不仅对密码货币的发展有促进作用，同时具有诸多理论意义和现实意义。

首先，对本发明方法所应用的密码学理论进行简单介绍：

(1)双线性对

令G₁，G_T是阶为p的两个群。若映射e：G₁×G₁→G_T为双线性映射则满足以下三个条件：①双线性，对于任意u，v∈G₁，a，b∈Z_p，e(u^a，v^b)＝e(u，v)^ab成立；②非退化性，对于G₁中的生成元g，满足e(g，g)≠1。③可计算性：对任意u，v∈G₁，e(u，v)可以被有效地计算。

(2)单向域的累加器

累加器能够将一组给定元素累加为一个单独的值，存在一个证据用来证明某个元素的确已累加到累加器中。对于任意λ∈N，F＝{F_λ}是一组函数序列，X＝{X_λ}是一组满足的有限集序列。一个累加器族由如下所述三个多项式时间算法组成：

累加器参数生成ACC.Gen(1^λ)：该算法输入安全参数λ，输出一个描述desc和一些辅助消息。

累加器求值ACC.Eval(desc，X)：该算法输入描述desc和输出一个累加值v＝f(u，X)，其中，F∈F_λ，u∈U_λ，f(u，X)＝f(…f(u，x₁)…x_n)，

累加器证据ACC.Wit(desc，x，X)：该算法输入描述desc，和x∈X，输出一个证据ω，其中v＝f(w，x)。

本发明中使用了以下单向域累加器的实例：可累加元素的域为G_q＝<h>，单向关系定义为R_q＝{(y，x)∈Z_q×G_q：x＝h^y}，关系R_q是有效可验证的，有效可取样的，单向的。

具体算法描述如下：

ACC.Gen(1^λ)：随机选择安全的大素数p，并生成阶为p的循环群G₁＝<_g0>和G₂，设置双线性对e：G₁×G₁→G₂，累加函数其中f的映射关系为 我们可定义f：(u，v)→u(x+α)，其中α是从中随机选择的辅助信息，为了简单起见，u一般设置为中的单位元。g的映射关系为可定义为可累加的元素的域为以素数q为阶的循环群G_q＝<h>，满足最后，输出描述其中n为可累加的元素数量的最大值。

ACC.Eval(desc，X)：根据***息计算从而计算X的累加值g°f(1，X)，其中u_i是多项式的系数。

ACC.Wit(desc，x_s，X)：此累加器的关系Ω定义为Ω(ω，x，v)＝1成立当且仅当成立。元素x_s∈X：＝{x₁，x₂，…，x_n}的证据ω_s可根据***息按照如下方式计算：

其中，u_i是多项式的系数。

(3)知识签名(SoK)

对应语言的NP关系R的知识的签名由如下所述三个多项式时间算法组成：

参数生成Gen(1^λ)：该算法输入安全参数λ，输出公开参数par。

签名生成Sign(m，x，y)：该算法输入消息m，关系(x，y)∈R，输出知识的签名π。

签名验证Verf(m，π，y)：该算法输入消息m，知识的签名π，陈述y，输出0/1。

本发明方法所使用的知识签名的实例可以根据Fiat-Shamir范式，零知识协议和zksnark来获得。

(4)承诺

一个承诺方案允许承诺者对所选择的消息进行承诺，使得该消息对其他人不可见而承诺者可以揭露消息。一个承诺方案由如下所述三个多项式时间算法组成：

承诺参数生成CGen(1^λ)：该算法输入安全参数λ，输出一个公开承诺密钥ctk。

承诺生成Com(ctk，m，r)：该算法输入承诺密钥ctk，消息m和随机数r，输出承诺c。

承诺验证Open(c，m，r)：该算法输入承诺c，消息m和随机数r，验证c＝Com(ctr，m，r)是否成立。

本发明方法中使用Pedersen承诺方案，具体细节如下：

CKGen(1^λ)：输入安全参数1^λ，输出承诺密钥ctk＝(G_q，q，g，h)，其中G_q是以大素数q为阶的循环群，g，h是G_q中的随机生成元。

Com(ctk，m)：对消息m∈Z_q进行承诺，随机选择r∈Z_q，计算c＝g^mh^r。

众所周知，这种承诺方案在G_q群上的离散对数假设成立下满足完美隐藏性和可计算的强绑定性。

(5)ElGamal加密的变种

本文中，我们利用原始ElGamal加密方案的变种，该方案由如下所述算法组成：

KeyGen(λ)：该算法输入安全参数λ，生成一个阶为素数q的循环群G，g∈G是群G的生成元，随机选择为私钥，输出(x，z)。

Enc(z，m)：该算法输入公钥z，消息m，选择随机数α，对消息m加密C＝(c₁，c₂)＝(z^α，mg^α)，输出m的密文(c₁，c₂)。

Dec(x，C)：该算法输入私钥x，密文C，输出消息

参照图1，本发明方法的具体实现如下：

一种基于门罗币的数字货币追踪方法，包括下列步骤：

步骤S100.***建立，生成***参数：选择安全参数λ，生成***的公开参数；

步骤S101：选择一个安全参数λ，调用单向域累加器的参数生成算法生成累加器公共参数desc＝ACC.Gen(1^λ)，调用知识签名的参数生成算法生成知识签名公共参数par＝SoK.Gen(1^λ)。其中，单向域G_q的累加器算法包含f＝(ACC.Gen，ACC.Eval，ACC.Wit)，知识签名算法包含Sok＝(SoK.Gen，SoK.Sign，SoK.Verf)；

步骤S102：选择一个安全的大素数q，并生成以q为阶的循环群G_q，选择随机元素H为抗碰撞的Hash函数，H：{0，1}^*→G_q；

步骤S103：***公开参数为

步骤S104：为追踪权威随机40生成私钥ω∈G_q，并计算追踪权威的公钥为z＝h₀ ^ω；

步骤S105：对加入***的用户30，***为其自动分配公私钥对(***分配密钥对方法参见https：//bitcoin.org/en/developer-guide#wallet-programs)，满足(A′＝h₀ ^a′，B，＝h₀ ^b′)，其中(A′，B′)为用户的长期公钥，在***中公开，用于标识用户；(a′，b′)为用户的长期私钥。

步骤S200.用户30生成交易单：

为了不失一般性，假定付款人在一个交易单中有一组付款账户(共m个)，同时为了保护付款人隐私，需要付款人拉入其他n-1组的混合账户(mixins)来掩盖真实的付款人账户，生成付款账户矩阵(如图3)；假定收款账户共有t个。具体地，对于付款账户：设置A表示n个用户输入账户的集合，真实付款人为第s个用户，其付款账户集合为A_s，付款账户所对应的私钥为对于输出账户：一组输出地址为R＝{pk_out，j}_1≤j≤t，输出账户集合为A_R。

步骤S201.根据收款人长期公钥，付款人为收款人生成一次公钥y，并在其中嵌入长期公钥追踪标签ct，如图2所示；

步骤S201-1：付款人为收款人生成一个一次公钥。付款人查找收款人的长期公钥为(A′，B′)，付款人选择随机数r′∈G_q，计算一次密钥恢复参数R′＝h₀ ^r′，及哈希值h＝H(A′^r′，B′)。所述收款人的一次公钥为y＝B′h₀ ^h。收款人可以在收款后根据自己的长期私钥(a′，b′)和密钥恢复参数R′，计算该账户对应的一次私钥x＝b′+H(R′^a′，B′)；

步骤S201-2：付款人为该账户生成长期公钥追踪标签。付款人根据追踪权威的公钥z计算长期公钥追踪标签ct＝z^h，同时生成追踪标签对应的知识签名

步骤S202.付款人为付款账户铸币；付款人根据自己的一次公钥pk，恢复对应的一次私钥sk。并根据一次密钥和金额a铸币，得到铸币(cn，ck)＝(c，(r，a))，设置付款账户为act＝(pk，cn)，对应私钥为ask＝(sk，cn)。其中，cn表示金额a对应的数字货币，(pk，sk)表示付款人的一次密钥对。

步骤S202-1：付款人根据自己的长期私钥和密钥恢复参数，按照步骤S201-1中的方式计算该一次公钥pk对应的一次私钥sk；

步骤S202-2：付款人根据一次公钥pk和金额a进行铸币。付款人选择随机数r计算承诺得到铸币(cn，ck)＝(c，(r，a))，付款人的一次账户为act＝(pk，cn)，对应账户的私钥为ask＝(sk，ck)。其中(pk，sk)表示付款人的一次密钥对。

步骤S203.付款人生成输出账户，并为输出账户铸币；同时证明输入输出账户中的金额相等。

步骤S203-1：付款人选择随机元素r_out，j∈Z_q(1≤j≤t)，对输出地址pk_out，j∈R(1≤j≤t)计算得到输出铸币付款人将输出账户act_out，j＝(pk_out，j，cn_out，j)加入集合A_R中，发送货币密钥ck_out，j＝(r_out，j，a_out，j)给一次公钥为pk_out，j的收款人；

步骤S203-2：为了防止多花(即付款人花费比付款账户里金额多的钱)，付款人需要证明输入账户和输出账户金额相等。具体地，付款人需要计算多花私钥 以及多花公钥 若输入账户的货币总额等于输出账户的货币总额，即则满足

步骤S204.付款人生成一个花费证明，证明该笔花费的正确性，并对该交易单签名，最后生成交易记录(tx，π，S，CT)。其中，S＝{s₁，s₂，…，s_m}表示账户对应地址的序列号，CT＝(ct₁，ct₂)表示索引的密文；

步骤S204-1.付款人调用累加器算法，计算累加值和证据以证明第k个账户中的公钥的确已累加进v_k中。

步骤S204-2.计算付款账户的序列号s_k(1≤k≤m)。根据账户的私钥计算序列号来唯一标识付款账户；

步骤S204-3.计算一次公钥追踪标签CT。选择随机数根据追踪权威的公钥z加密真实付款人在付款账户矩阵中的列号γ，得到密文CT＝(ct₁，ct₂)，其中，

步骤S204-4.付款人按照如下方式生成关于交易单tx的知识签名π；

步骤S204-5.付款人输出一组交易记录(tx，π，S，CT)。其中，S＝{s₁，s₂，…，s_m}表示账户对应地址的序列号，CT＝(ct₁，ct₂)表示一次公钥追踪标签。

步骤S205.当用户30需要生成交易单时，重复步骤S201-S204。

步骤S300.矿工20生成区块。

步骤S301.矿工验证交易单；矿工随机选取P2P网络中的交易单，并验证交易的有效性；

步骤S301-1：矿工根据输入账户输入账户A_R＝{(pk_out，j，cno_ut，j)}_1≤j≤t，和交易单tx的密文CT计算

步骤S301-2：矿工根据累加值(v₁，…，v_m+1)、序列号S、交易单tx和证明π验证Verf(tx，ct₁，ct₂，(v₁，…，v_m+1，s₁，…，s_m)，π)＝1是否成立。

步骤S302.根据有效交易单生成新区块，广播该区块至P2P网络。矿工有效的交易单{tx}，根据这些交易单生成Merkle哈希树，将Merkle哈希树的根Root与前一个区块的哈希值Pre_Hash放在一起同时进行挖矿，即找到一个合适的随机数non使得区块的哈希值小于目标值：

H(non||Pre_hash||tx||tx||...||tx)＜target

若挖矿成功，则产生新的区块。

步骤S303.P2P网络中的其他用户验证新区块的有效性。当前区块为blk_n，矿工验证新区块的哈希值是否满足条件，即验证H(non||Pre_hash||tx||tx||...||tx)＜target是否成立以接受或拒绝该区块。

步骤S304.当矿工20需要生成区块时，重复步骤S301-S303。

步骤S400.追踪权威40追踪恶意的付款人：

步骤S401.恶意付款人追踪。当***需要对恶意付款人进行追踪时，追踪权威可以根据自己的私钥和追踪标签追踪到恶意付款人的一次公钥和长期公钥，追踪权威在追踪后生成追踪证明。

步骤S401-1.踪付款人的一次公钥，追踪权威根据私钥ω、密文CT＝(ct₁，ct₂)计算p＝ct₁/ct₂ω^-1，查找满足p＝h₃ ^γ的索引γ∈[1，n]，得到γ对应账户的一次公钥；同时，追踪权威调用知识签名算法计算知识签名作为证明ψ′，证明γ的确是付款人的一次公钥在付款人账户集合中的索引值。

步骤S401-2.追踪付款人的长期公钥，追踪权威根据私钥ω和长期公钥追踪标签计算B′为对应付款人的长期公钥，y是付款人的一次公钥，同时调用知识签名算法生成知识签名作为证明ψ，证明B′是由自己正确打开的。

步骤S402.恶意付款人追踪验证：***中的任何实体都可以验证追踪证明的有效性。***中任何实体都可以调用知识签名验证算法来验证Verf(B′，(z，y，ct)，ψ)＝1和Verf(γ，(z，ct₁，ct₂)，ψ)＝1是否成立，若成立，说明ψ和ψ是有效生成的。

步骤S403.当追踪权威40需要追踪恶意付款人时，重复步骤S401-S402。

为了更好的说明本发明追踪方法的实用性，本发明对主要步骤进行了效率分析和仿真测试。

实验环境：本试验的硬件测试平台是：Inter(R)Core(TM)i7-7700CPU，主频3.6Ghz，内存16.0GB；软件平台为：Windows10操作***(64位)，Visual Studio 2010编译器和Matlab2014a。所有程序使用C++调用Miracl密码库来实现大整数操作和椭圆曲线群。在测试时，我们使用非对称双线性群e：G₁×G₂→G_T，并使用Tate对来实现，为了满足安全性，在测试中，取群G₁和群G₂的阶相同，且都是1024比特的大素数，对于每一组测试代码，都执行100次，并取其平均运行时间作为测试结果。本方法主要对以下三个方面进行了效率测试。

生成交易单(步骤200)和验证交易单(步骤301)是数字货币***的主要步骤，对交易单的签名(步骤204)是生成交易单中的最耗时的部分。因此，本方法中针对交易单生成和交易单验证，分别测试了这两个步骤与RingCT 2.0协议中对应步骤的时间消耗区别(RingCT2.0协议同样基于门罗币，与本方法中的一些步骤相同，但未实现追踪性)。由于本方法中增加了货币追踪功能，因此相比于RingCT 2.0协议，本方法中的交易单生成和交易单验证步骤增加了一部分的时间开销，但增加的量很小，不影响人机交互体验，具体测试结果如图4，横坐标为付款人输入账户的个数，纵坐标为时间(毫秒)，从图4可以看到，交易单生成和交易单验证两个步骤增加的时间都是恒定的，分别约为0.70毫秒和1.07毫秒，用户感受不到交互差别；这与理论分析结果一致，因为在交易单生成和交易单验证这两个步骤中，相对于RingCT2.0，本方法增加了追踪标签的计算，而追踪标签的计算与输入账户的个数无关，只与输入账户的索引值有关。

其次，本方法测试了验证交易单(步骤301)的效率，因为验证交易单会被P2P网络中的矿工多次执行，因此，验证交易单的时间开销直接影响本方法的执行效率，测试结果如图5所示，横轴表示输入账户的个数，纵轴表示时间(秒)，时间开销随着输入账户的增加而增加。这与分析结果一致，因为混合账户对时间的影响被累加器削减了，而输入账户的个数会影响验证交易单中对知识证明的验证，因此时间随着输入账户的增加呈线性增长。

再次，本方法的重要创造性是数字货币的追踪性，因此，本方法对追踪权威追踪付款人(步骤400)的时间开销进行了测试。对于追踪权威，识别一个恶意付款人的长期账户和一次账户的时间开销约为6.331毫秒。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (10)

1.一种基于门罗币的数字货币追踪方法，其特征在于：包括下列步骤：

步骤S100.***建立，生成***参数：选择安全参数λ，生成***的公开参数pp及追踪权威的公钥(ω,z)；每个用户在加入***时，***为其分配长期密钥；

步骤S200.生成交易单：

假定付款人在一个交易单中有一组付款账户，共m个付款账户，同时为了保护付款人隐私，需要付款人拉入其他n-1组的混合账户(mixins)来掩盖真实的付款人账户，生成付款账户矩阵(n×m维)；假定收款账户共有t个，对于付款账户：设置A表示n个用户输入账户的集合，真实付款人为第s个用户，其付款账户集合为A_s，付款账户所对应的私钥为对于输出账户：一组输出地址为R＝{pk_out,j}_1≤j≤t，输出账户集合为A_R；

步骤S201.根据收款人的长期公钥，付款人为收款人生成一次公钥y，并在其中嵌入长期公钥追踪标签ct；

步骤S202.付款人为付款账户铸币，付款人根据自己的一次公钥pk，恢复对应的一次私钥sk，并根据一次密钥和金额a铸币，选择随机数r计算承诺c，得到铸币(cn,ck)＝(c,(r,a))，设置付款账户为act＝(pk,cn)，对应私钥为ask＝(sk,cn)；

其中，cn表示金额a对应的数字货币，(pk,sk)表示付款人的一次密钥对；

步骤S203.付款人生成输出账户，并为输出账户铸币；同时证明输入输出账户中的金额相等；

步骤S204.付款人生成一个花费证明，证明该笔花费的正确性，并对该交易单签名，最后生成交易记录(tx,π,S,CT)；

其中，S＝{s₁,s₂,…,s_m}表示账户对应地址的序列号，CT＝(ct₁,ct₂)表示索引的密文；

步骤S300.区块生成：

步骤S301.矿工验证交易单；矿工随机选取P2P网络中的交易单，并验证交易的有效性；

步骤S302.根据有效交易单生成新区块，广播该区块至P2P网络；

步骤S303.P2P网络中的其他用户验证新区块的有效性；

步骤S400.追踪权威追踪恶意的付款人：

步骤S401.恶意付款人追踪，当***需要对恶意付款人进行追踪时，追踪权威根据自己的私钥和追踪标签追踪到恶意付款人的一次公钥和长期公钥，追踪权威在追踪后生成追踪证明；

步骤S402.恶意付款人追踪验证：***中的任何实体都能验证追踪证明的有效性。

2.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：所述步骤S100的具体步骤为：

步骤S101：选择一个安全参数λ，调用单向域累加器的参数生成算法生成累加器公共参数desc＝ACC.Gen(1^λ)，调用知识签名的参数生成算法生成知识签名公共参数par＝SoK.Gen(1^λ)。其中，单向域G_q的累加器算法包含f＝(ACC.Gen,ACC.Eval,ACC.Wit)，知识签名算法包含Sok＝(SoK.Gen,SoK.Sign,SoK.Verf)；

步骤S102：选择一个安全的大素数q，并生成以q为阶的循环群G_q，选择随机元素H为抗碰撞的Hash函数，H∶{0,1}^*→G_q；

步骤S103：***公开参数为

步骤S104：为追踪权威随机生成私钥ω∈G_q，并计算追踪权威的公钥为z＝h₀ ^ω；

步骤S105：对加入***的用户，***为其自动分配公私钥对，满足(A′＝h₀ ^a′，B′＝h₀ ^b′)；

其中，(A′，B′)为用户的长期公钥，在***中公开，用于标识用户；(a^′，b^′)为用户的长期私钥。

3.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：所述步骤S201的具体步骤为：

步骤S201-1：付款人为收款人生成一个一次公钥，付款人查找收款人的长期公钥为(A′，B′)，付款人选择随机数r′∈G_q，计算一次密钥恢复参数R′＝h₀ ^x′，及哈希值h＝H(A′^x′,B′)，所述收款人的一次公钥为y＝B′h₀ ^h，收款人在收款后根据自己的长期私钥(a′,b′)和密钥恢复参数R′，计算该账户对应的一次私钥x＝b′+H(R^′a′,B′)；

步骤S201-2：付款人为该账户生成长期公钥追踪标签，付款人根据追踪权威的公钥z计算长期公钥追踪标签ct＝z^h，同时生成追踪标签对应的知识签名

4.根据权利要求1所述的一种门罗币的追踪方法和***，其特征在于：所述步骤S202的具体步骤为：

步骤S202-1：付款人根据自己的长期私钥和密钥恢复参数，按照步骤S201-1中的方式计算该一次公钥pk对应的一次私钥sk；

步骤S202-2：付款人根据一次公钥pk和金额a进行铸币，付款人选择随机数r计算承诺得到铸币(cn,ck)＝(c,(r,a))，付款人的一次账户为act＝(pk,cn)，对应账户的私钥为ask＝(sk,ck)；

其中，(pk,sk)表示付款人的一次密钥对。

5.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：所述步骤S203的具体步骤为：

步骤S203-1：付款人选择随机元素r_out,j∈Z_q(1≤j≤t)，对输出地址pk_out,j∈R(1≤j≤t)计算得到输出铸币付款人将输出账户act_out,j＝(pk_out,j,cn_out,j)加入集合A_R中，发送货币密钥ck_out,j＝(r_out,j,a_out,j)给一次公钥为pk_out,j的收款人；

步骤S203-2：为了防止多花，付款人需要证明输入账户和输出账户金额相等，付款人计算多花私钥以及多花公钥 若输入账户的货币总额等于输出账户的货币总额，即则满足

6.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：步骤S204的具体步骤为：

步骤S204-1.付款人调用累加器算法，计算累加值和证据以证明第k个账户中的公钥的确已累加进v_k中；

步骤S204-2.计算付款账户的序列号s_k(1≤k≤m)，根据账户的私钥计算序列号来唯一标识付款账户；

步骤S204-3.计算一次公钥追踪标签CT，选择随机数根据追踪权威的公钥z加密真实付款人在付款账户矩阵中的列号γ，得到密文CT＝(ct₁,ct₂)；

其中，

步骤S204-4.付款人按照如下方式生成关于交易单tx的知识签名π；

步骤S204-5.付款人输出一组交易记录(tx,π,S,CT)，其中，S＝{s₁,s₂,…,s_m}表示账户对应地址的序列号，CT＝(ct₁,ct₂)表示一次公钥追踪标签。

7.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：步骤S301的具体步骤为：

步骤S301-1:矿工根据输入账户输入账户A_R＝{(pk_out,j,cn_out,j)}_1≤j≤t，和交易单tx的密文CT计算

步骤S301-2：矿工根据累加值(v₁,…,v_m+1)、序列号S、交易单tx和证明π验证Verf(tx,ct₁,ct₂,(v₁,…,v_m+1,s₁,…,s_m),π)＝1是否成立。

8.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：步骤S302的具体步骤为：矿工有效的交易单{tx}，根据这些交易单生成Merkle哈希树，将Merkle哈希树的根Root与前一个区块的哈希值Pre_Hash放在一起同时进行挖矿，即找到一个合适的随机数non使得区块的哈希值小于目标值：

H(non||Pre_hash||tx||tx||…||tx)<target

若挖矿成功，则产生新的区块。

9.根据权利要求8所述的一种基于门罗币的数字货币追踪方法，其特征在于：步骤S303的具体步骤为：当前区块为blk_n，矿工验证新区块的哈希值是否满足条件，即验证H(non||Pre_hash||tx||tx||…||tx)<target是否成立以接受或拒绝该区块。

10.根据权利要求1所述的一种基于门罗币的数字货币追踪方法，其特征在于：步骤S401中追踪恶意付款人一次公钥的具体步骤为：追踪付款人的一次公钥，追踪权威根据私钥ω、密文CT＝(ct₁,ct₂)计算查找满足p＝h₃ ^γ的索引γ∈[1,n]，得到γ对应账户的一次公钥；同时，追踪权威调用知识签名算法计算知识签名作为证明ψ′，证明γ的确是付款人的一次公钥在付款人账户集合中的索引值；

步骤S401中追踪恶意付款人长期公钥的具体步骤为：追踪付款人的长期公钥，追踪权威根据私钥ω和长期公钥追踪标签计算B′＝y/ct′^ω-1，B′为对应付款人的长期公钥，y是付款人的一次公钥，同时调用知识签名算法生成知识签名 作为证明ψ，证明B′是由自己正确打开的。