本發明公開了一種基于秘密分享的區塊鏈受控可追溯身份隱私方法。本發明包括注冊階段和追溯階段；其中，注冊階段中，用戶向身份認證機構發送身份信息和包含用戶公鑰M、隨機數的值，認證機構在核驗身份信息和賬戶公鑰信息后，對進行盲簽名；用戶對簽名脫盲得到證書；身份認證機構將加入映射表，并將作為葉子節點添加到默克爾樹中；用戶將可驗證地分享給監管委員會以及向監管委員會做零知識證明；監管委員會對零知識證明驗證通過后，將公鑰和證書發布在區塊鏈上；追溯階段中，當收到公鑰對應的賬戶出現違規行為的舉報時，監管委員恢復出值并簽名后發送給身份認證機構，查找到對應用戶的。

技術領域

本發明屬于安全密碼應用技術領域，具體涉及一種基于秘密分享的區塊鏈受控可追溯身份隱私方法。

背景技術

默克爾樹（Merkle Tree）是一種樹形數據結構，通常為二叉樹，如圖1所示。對于一組數據，默克爾樹的葉子節點存放數據值的哈希值，非葉子結點的值由該節點所有子結點的值排列起來并做哈希運算得到。默克爾樹通常用于數據完整性驗證，即證明一份特定的數據存在于一組已經由默克爾樹組織起來的數據中。同時，默克爾樹還具有較強的防篡改性，因為任何對數據的修改都會導致從該數據到樹根節點路徑上的所有節點哈希值發生改變，最終使根節點的哈希值改變。當兩個默克爾樹對應的數據集出現單個數據不一致時，可以利用這個性質進行快速比對和定位。

盲簽名是一種特殊的數字簽名技術，它允許消息擁有者先將消息盲化，而后讓簽名者對盲化的消息進行簽名，最后消息擁有者對簽名除去盲因子，得到簽名者關于原消息的簽名。

盲簽名除了滿足數字簽名條件外，還必須滿足以下性質：

簽名者不知道他所簽署消息的具體內容；

簽名消息不可追溯，即當簽名消息被公布后，簽名者無法知道該消息是他在何時簽署的。

一種常用的盲簽名方案是Schnorr方案（參考Fuchsbauer G, Plouviez A,Seurin Y. Blind Schnorr signatures and signed ElGamal encryption in thealgebraic group model[C]//Annual International Conference on the Theory andApplications of Cryptographic Techniques. Springer, Cham, 2020: 63-95.），步驟如下：

1.選定素域上的橢圓曲線 ，其生成元為，點群的階為素數；選定哈希函數；

2.消息擁有者A擁有消息，簽名者B擁有私鑰和公鑰；

3.B隨機選取，并將發送給A；

4.A隨機選取，計算，并將發送給B；

5.B計算，并將發送給A；

6.A驗證，不成立則拒絕，成立則計算，簽名為。

秘密分享是指將一個秘密分為若干個互不相同的片段，只要利用超過一定數量的片段就可以恢復出秘密。秘密分享常用于密鑰的保存，將密鑰分為多個部分并交由不同的人管理，即使少數部分丟失，其余持有者仍然可以恢復正確的密鑰，同時密鑰不會因少數部分的泄露而泄露。

可驗證秘密分享在秘密分享的基礎上增加了對秘密片段正確性的證明：秘密分享者分發秘密片段后，向片段持有者提供一份證明，該證明使持有者確信自己獲得的片段確實屬于原秘密的一部分，同時該證明不會泄露有關秘密的任何信息。