基于公平盲簽名和分級加密的聯盟鏈隱私保護方案

張學旺，黎志鴻，林金朝

（1.重慶郵電大學軟件工程學院，重慶 400065；2.重慶大學微電子與通信工程學院，重慶 400004；3.重慶郵電大學光電信息感測與傳輸技術重慶市重點實驗室，重慶 400065）

0 引言

區塊鏈技術為能源交易[1]、供應鏈金融[2-3]、車輛自組網[4]、智能家居[5]、數字檔案[6]等一系列行業帶來了較大影響。區塊鏈技術的蓬勃發展，得益于其去中心化、可追溯、信息不可篡改等特性[7-8]，但這些特性也使鏈上交易數據以及用戶身份的隱私安全難以得到保障。安全隱私問題是區塊鏈技術中的重要問題，交易數據以及用戶身份的鏈上安全成為亟待解決的問題[9-10]。

針對目前區塊鏈領域中的用戶身份隱私保護問題，國內外學者不斷進行研究探索，出現了以群簽名[11]、環簽名[12]、多方安全計算[13]為代表的去中心化混幣機制和以盲簽名[14]為代表的中心化混幣機制2 個研究方向。Zhang 等[15]將群簽名與區塊鏈結合應用于移動邊緣計算，提出了一種可驗證區塊的群簽名方案，解決了區塊鏈存在的諸多安全漏洞。群簽名匿名性不足的缺點，限制了其應用場景。2007 年，一種不需要中間節點參與簽名過程的、無條件匿名的簽名方法——環簽名被提出[12]。Li 等[16]將具有無條件匿名性的環簽名與區塊鏈技術相結合，提出了一種完全匿名的區塊鏈隱私保護方案，使用戶成員不依賴于群主節點和其他成員便可進行簽名。Chaum[14]首次提出盲簽名，其因簽名者對授權交易不可追溯的特點，目前廣泛應用于電子現金和不記名投票等領域；但盲簽名的運用使交易用戶完全匿名，難以對用戶的惡意行為進行有效監管。Stadler 等[17]提出公平盲簽名的思想，該思想將盲簽名的無條件匿名轉換為條件匿名，解決了盲簽名的不可追溯問題。

針對區塊鏈交易數據隱私保護的研究以哈希上鏈、密鑰加密、同態加密[18]、零知識證明[19]等方向為主，區塊鏈數據隱私安全的重要性不言而喻，同時鏈上數據的安全可驗證性也很重要[20]。李宇溪等[21]結合同態加密算法提出一種K-近鄰搜索方案，用于解決移動社交網絡的身份隱私保護問題。Dowlin 等[22]將同態加密算法應用于生物信息領域，為解決基因數據等隱私信息的泄露問題提供了新的手段。2009 年，Gentry[23]提出了第一個真正意義上滿足全同態運算的同態加密算法，即全同態加密算法，但其極度復雜的計算過程導致其運算十分耗時。雖然之后陸續有更優的全同態加密算法被提出[24]，但依舊未能解決這一短板。半同態加密算法雖然效率優于全同態加密算法，但其加解密過程的耗時相比于對稱密碼仍高出不少。

綜上所述，針對聯盟鏈中存在的用戶身份與鏈上交易數據的隱私安全隱患及現行方案存在的不足，本文提出一種基于公平盲簽名和分級加密的聯盟鏈隱私保護方案。該方案的主要貢獻如下。

1)對已有公平盲簽名方法進行了針對聯盟鏈應用場景的重新設計，結合零知識證明提出一種基于聯盟鏈身份隱私保護的可行性方案。該方案可在保護用戶身份隱私的同時，實現對惡意交易的追溯。

2)設計并實現了一種分級加密方法。針對單級加密無效耗時，該方法在實現對已脫敏交易數據可監管的同時，有效減少了加解密過程的時間損耗，降低了交易過程的響應時效。

1 相關知識概述

1.1 聯盟鏈

區塊鏈根據其應用場景和開放程度[25]的不同，可分為公有鏈、私有鏈和聯盟鏈三類。其中，私有鏈與傳統的分布式存儲方案幾乎沒有區別，由于私有鏈不具有開放性和可擴展性，其使用范圍一般限于公司內部，公司掌握了全鏈的寫入能力，智能合約的部署以及節點共識的達成都只由該公司的內部成員完成。公有鏈具有開放透明的特點，但出塊緩慢限制了其應用場景。相比于公有鏈和私有鏈，聯盟鏈在兼具開放性的同時具有更強大的數據處理能力、數據私密性以及共識機制的可擴展性。

Linux 基金會為推動區塊鏈數字技術的發展，于2015 年牽頭發起了開放式賬本項目；同年年底，項目名稱由開放式賬本改為Hyperledger 區塊鏈開源項目[26]。Hyperledger 擁有Burrow、Cello、Fabric和Iroha 等多個頂級項目，項目可分為框架和工具兩類，其中，框架類項目Fabric 的影響最大。Hyperledger Fabric[27]的提出旨在推動區塊鏈技術跨行業領域的應用，使區塊鏈的應用場景不再局限于金融貿易行業。

1.2 Paillier 同態加密

同態加密是指通過使用某種特殊函數對數據明文進行加密處理后再進行加或乘運算的結果，與直接對明文進行相應運算的結果是等價的。同態加密算法的合理運用為許多應用場景的數據隱私泄露問題提供了解決方法[24,28-29]。同態加密算法可對密文進行運算的特性使其能應對脫敏后信息的二次處理和監管需求。

Paillier 同態加密算法[30]于1999 年提出，該算法滿足 Enc(m1)Enc(m2)=Enc(m1+m2)modn2，其中，Enc 為加密操作，n為2 個大素數的乘積，m1和m2為明文，即使用Paillier 同態加密算法加密后的密文可以直接進行加減運算，解密密文加減后的結果，與直接對明文進行計算的結果相同。Paillier 同態加密基于復合剩余類的困難問題，其功能如圖1 所示。用戶通過客戶端調用Paillier 庫對數據進行加密，再將加密后數據提交到服務器端進行計算，最后調用Paillier庫對計算結果解密即得到相關數據的計算結果。

圖1 Paillier 同態加密功能

1.3 公平盲簽名

在許多區塊鏈應用中，用戶需要授權機構驗證自己的身份，并授予參與某項目的權限，還要確保授權機構在授權后不能對授權發起追溯。例如，在電子投票時，選民需要在領取到選票后，再進行匿名投票；在現實生活中實現該類需求并不困難，但程序卻難以實現。盲簽名技術的出現為解決匿名投票類難題提供了一種可行性方案。不難分析盲簽名依賴數據的盲化和解盲過程實現匿名性；雖然用戶的身份隱私得到了保障，但也讓惡意用戶的行為難以監管。本節通過以下4 個步驟解釋基于盲簽名進行匿名授權的過程。

步驟1用戶在本地利用盲因子對數據的哈希值進行盲化處理。

步驟2用戶將盲化后的數據哈希值傳遞給授權組織機構進行授權操作，待授權組織驗明用戶身份后，通過簽名算法，使用其私鑰對待授權盲化數據的哈希值進行簽名授權。

步驟3授權組織機構簽名授權后將完成簽名授權的盲化數據的哈希值傳遞給用戶。

步驟4用戶對授權后的盲化數據的哈希值進行解盲操作，得到授權后的原始數據的哈希值。

公平盲簽名是具有條件匿名性的盲簽名，其通過引入除用戶、授權組織機構外的可信第三方（TTP,trusted third party），由可信第三方保管用戶的盲因子及用戶信息，當授權組織機構需要追溯惡意交易數據信息的來源時，可信第三方查詢交易的發起用戶，完成對惡意用戶的追溯。

2 本文方案描述

2.1 本文方案中的實體

本文方案主要涉及6 個實體，包括交易發起者（TO,transaction originator）、追溯者（Tracer）、密鑰生成中心（KGC,key generation center）、聯盟鏈（CB,consortium blockchain）、組織機構（ORG,organization）、可信第三方（TTP,trusted third party），各實體描述如下。

1)TO 是指數據的真實擁有者，依賴其所屬的ORG 向CB 中發布交易；TO 的身份是對外匿名的，ORG 外部并不知道其存在，ORG 本身也無法通過交易獨立追溯TO 的真實身份。

2)Tracer 一般指交易的接收方，當其發現交易有惡意時，向ORG 發起追溯。

3)KGC 在聯盟鏈系統搭建的初始階段，為所有ORG 和TTP 生成并分發密鑰對。

4)CB 在本文方案中指由TTP 發起并聯合ORG建立的聯盟鏈，CB 中的TTP 和各ORG 都擁有至少2 個節點參與共識。

5)ORG 是由多個TO 組成的組織，為TO 發起交易提供混幣服務，并在Tracer 發起追溯時，聯合TTP 完成對惡意TO 的追溯。

6)TTP 是CB 的發起者，擁有CB 的訪問權限和節點加入權限，并負責CB 的監管工作，同時協同ORG 實現對TO 的追溯。

2.2 需求與隱患

在聯盟鏈實際應用場景中，TO 存在隱匿敏感信息的需求，但區塊鏈中全賬本節點都存有鏈上交易數據的完整副本，使TO 的需求僅靠區塊鏈技術難以滿足，故運用密碼學等技術手段對數據信息進行脫敏處理不可避免。但面對脫敏后的交易數據，TTP 利用傳統技術難以實現有效監管；而且將現有公平盲簽名方案應用于CB 中TO 身份隱私保護存在如下安全隱患。

TTP 經手TO 的身份隱私信息，隱私信息的安全性完全依賴于TTP 對TO 做出的承諾；事實上，所有隱私信息都存在被TTP 選擇性保存在其本地數據庫中的可能，該行為并不受限制。即使考慮TTP 誠實，仍存在數據庫被敵手攻擊，導致所有TO 的身份隱私信息被泄露的風險。由于TTP集中掌握了大量關鍵的交易數據信息，使聯盟鏈交易具有單中心化的特征，與區塊鏈去中心化的思想相違背。

2.3 方案構建

為解決2.2 節中的需求及安全隱患，本文提出一種基于公平盲簽名和分級加密的聯盟鏈隱私保護方案，結合零知識證明技術實現公平盲簽名的聯盟鏈去中心化；并提出了一種分級加密方法，將待處理的數據按敏感度進行分級，對不同分級的數據提供不同級別的加密，實現數據隱私保護的靈活性。方案主要包括聯盟鏈初始化、數據加解密、數據上鏈及數據分析等4 個階段。

階段1聯盟鏈初始化。

步驟1TTP 與各ORG 一同組建CB，KGC 為ORG 和TTP 生成其全局密鑰對。以ORG 密鑰對的生成為例，選取2 個大素數p和q，并計算n=pq和Φ(n)=(p?1)(q?1)。

選取ORG 的公鑰指數eorg，滿足 gcd(eorg,Φ(n))=1,eorg<Φ(n)，通過逆運算求出ORG 的私鑰指數dorg，如式(1)所示。

這樣，KGC 就完成了對ORG 公鑰Opub={eorg,n}及私鑰Oprv={dorg,n}的生成。TTP 的密鑰生成類似，可參照ORG 密鑰對的生成過程，此處不再贅述；生成的TTP 密鑰對為Tpub={ettp,n}和Tprv={dttp,n}。

步驟2ORG 與TTP 協定方程ξ=qαmodp用于數據上鏈階段ORG 成員TO 的身份驗證。ξ,p,q值由ORG 與TTP 雙方共享；ORG 為其TO 發放α作為組織憑證。

階段2數據加解密

步驟1TO 錄入交易數據后，客戶端根據交易數據敏感度的不同，將原始交易數據拆分為可公開數據和不可公開數據兩類。按其是否需要進行監管處理，將不可公開數據繼續細分為需要進行監管處理的動態數據和不需要進行監管處理的靜態數據兩類。交易數據細粒度分級如圖2 所示。

圖2 交易數據細粒度分級

步驟 2客戶端對可公開數據進行 RLP（recursive length prefix）編碼處理；可公開數據在區塊鏈網絡中以編碼后的形式進行傳輸和存儲。

步驟3對于靜態數據，客戶端先對其進行RLP編碼操作，再使用對稱加密算法進行脫敏處理，如算法1 所示。

步驟4對于需要進行監管處理的動態數據，客戶端進行RLP 編碼后使用Paillier 同態加密算法進行加解密處理。具體處理過程如下。

1)密鑰生成

選取2 個大素數p和q，滿足gcd(n,Φ(n))=1，分別計算n=pq和Φ(n)=(p?1)(q?1)，根據歐幾里得算法計算λ=gcd(p?1,q?1)，為便于闡述，以下將p?1 表示為x，將q?1 表示為y。由于p和q均為大素數，故x≥y>0。使用帶余數的除法，得x=k1y+r1,0≤r1

若r1=0，則gcd(x,y)=y；若r1≠0，則必定存在，故一定有，即。由于y>r1，得y=k2r1+r2,0≤r2

以上迭代過程中，余數將不斷遞減且為正整數，當余數遞減為0 時，計算出λ的值。選取g滿足g

密鑰對生成完成，私鑰為{λ,μ}，公鑰為{n,g}。

2)加密

選取隨機數r，滿足r∈，gcd(r,n)=1；使用公鑰{n,g}加密明文m，生成密文c。

3)解密

密鑰交換可以通過線下交換的方式進行，或者在使用非對稱加密算法加密密鑰后，在安全網絡環境條件下進行在線交換。分級加密方法如圖3 所示，用戶通過客戶端調用相關庫函數接口對不同敏感度分級的數據進行加密處理后，將數據組裝成交易并發送到聯盟鏈節點中。

圖3 分級加密方法

階段3數據上鏈

TO 通過客戶端將編碼后的可公開數據的明文、靜態數據密文以及動態數據密文重新組裝成完整的交易數據m。最后計算其哈希值Hash(m)。TO 使用基于零知識證明的公平盲簽名方案對Hash(m)進行簽名授權。數據上鏈的流程如圖4 所示。具體由以下幾個步驟組成。相關符號如表1 所示。

表1 相關符號及其含義

圖4 數據上鏈流程

步驟1TO 持Hash(m)向TTP 提交交易注冊申請，并使用零知識證明向TTP 證明其所在機構ORG；完整身份證明過程如以下4 個步驟所示。

步驟1-1TO 生成i個隨機數{r1,r2,…,ri}，其中i滿足i≥ 16，ri滿足ri

步驟1-2TTP 與TO 根據算法2 產生i個隨機位{β1,β2,…,βi}。

算法2隨機位生成

步驟 1-3根據隨機位開始身份驗證，若βi=0，TO 向TTP 發送ri；若βi=1，TO 向TTP發送(ri?rv)mod(p?1)，v=，TTP 驗證式(5)是否成立。

步驟1-4TO 向TTP 發送(α?rv)mod(p?1)，TTP 驗證式(6)是否成立。

若以上i+1 個等式均成立，則證明TO 屬于該ORG。TTP 為TO 生成k，k∈(1,n)；并將Hash(m)、k存于本地數據庫中。通過TO 所在機構的公鑰Opub和k對Hash(m)盲化處理，生成簽名，并向TO 返回。

步驟2TO 使用Tpub對返回的進行認證，確認簽名的信息沒有被篡改；認證通過后，TO 向ORG 提交授權申請，并把m' 傳遞給ORG。

步驟3ORG 使用Tpub對進行認證，認證通過后則對m'授權，生成，并將返回給TO，簽名過程如式(8)所示；ORG 的本地數據庫中保存和TO 的個人信息。

步驟4TO 使用k對進行解盲處理，得到，解盲過程如式(9)所示。

步驟5TO 通過客戶端將打包完整的交易后，調用相關API 將其提交到CB 節點等待驗證。驗證及共識達成后交易隨區塊存儲。

TTP 與ORG 存儲用戶信息時，選用分布式集群存儲方案，避免將全部信息存儲于同一個數據庫中，防止單存儲節點故障導致的數據丟失。

階段4數據分析

步驟1TTP 通過CB 獲取到相關數據后，對其進行分解從而提取到加密后的動態數據信息c。

步驟2TTP 利用同態加密算法同態運算的性質對數據密文進行處理，處理算法如式(10)所示，其中，Enc(m1)和 Enc(m2)分別表示明文m1和m2加密后生成的密文，k為任意標量。

3 分析及實驗

3.1 正確性分析

分析1證明式(4)的正確性，根據卡邁克爾定理=Φ(n2)=nΦ(n)，對于任意ω∈都有

因此，有

分析2證明本文方案中公平盲簽名過程的正確性，即式(7)～式(9)的正確性。

由歐拉定理得eΦ(k)modk=edmodk demodΦ(n)=1→de=st+1

其中，s=Φ(n),t∈Z;

3.2 安全性分析

本節分別從用于身份隱私保護的公平盲簽名和用于交易數據保護的分級加密方法兩方面展開安全性分析。此處給出以下4 種定理并進行證明，以說明本文方案的安全性。

定理1在ORG 的私鑰未泄露的前提下，若敵手對盲化后的交易數據進行篡改，其成功的概率是可忽略的。

證明TTP 對交易進行盲化處理后，基于公平盲簽名的授權認證一旦簽發，認證的原始數據不能任意改變；公平盲簽名基于離散對數數學難題，對于其安全性分析考慮方程ξ=qαmodp；對于給定的p、y、q，最多僅需執行x次乘法運算便可計算出y的值；相反，對于給定的ξ,p,q計算α的值異常困難，其計算的難度級別為。當選取的隨機數為足夠大的素數時，根據ξ、p、q計算α的值是計算不可行的。

若敵手想竊取簽名者的私鑰Oprv，則必須計算出Φ(n)的值；考慮一般情形分析有

根據式(15)，該計算為大整數的因子分解難題。故交易篡改成功的概率可忽略。證畢。

定理2敵手攻擊TTP 與ORG 中的一個或多個節點，導致指定TO 信息泄露的概率可以忽略。

證明將TTP 的節點表示為集合{T1,T2,…,Tn}，假設敵手攻擊TTP 的節點Ti，致使節點Ti中存儲的用戶信息泄露，泄露的信息包括Hash(m)及其對應的k。敵手通過TTP 節點Ti中存儲的信息，僅能通過式(7)計算m'；無法得知該筆交易數據對應TO 的身份隱私信息。同理，若敵手攻擊ORG 節點集合為{O1,O2,…,On}中的節點Oi，獲取ORG 節點Oi中存儲的TO 部分信息；根據節點Oi中存有的以及TO 身份信息，敵手無法對泄露的數據信息進行合理應用。若同時攻擊TTP 和ORG 的多個節點，敵手分別從兩方節點中獲取了TO 部分信息。因TTP 和ORG 對TO 的部分信息進行存儲時，使用分布式集群存儲的方案；敵手通過攻擊TTP 節點得到的TO 交易信息與攻擊ORG 節點得到的TO 交易信息比對上的可能性極低。證畢。

定理3具有竊聽能力的敵手竊聽到CB 上的交易數據并對其進行有效分析的概率可以忽略。

證明本文方案的分級加密方法中，對交易數據的保護基于SM4 對稱加密算法和Paillier 同態加密算法。SM4 加密算法的安全程度與128 bit 的AES相當，可抵抗差分攻擊和線性攻擊，目前并沒有發現有效的攻擊手段。Paillier 同態加密算法基于復合剩余類的困難問題；在私鑰保存完好的情況下，并沒有行之有效的攻擊手段。在對SM4 對稱加密算法和Paillier 同態加密算法的密鑰進行在線傳輸時，本文方案使用基于離散對數難題的橢圓曲線加密算法對其進行加密后，再在安全網絡環境下進行線上傳輸，通過協同加密手段為交易數據的安全保護鏈建立閉環，故定理3 成立。證畢。

定理4對于敵手發動的惡意交易攻擊，本文方案雖無法對惡意交易的發起進行阻止，但能對惡意交易進行追溯。

證明根據公平盲簽名的條件匿名性，ORG 可以與TTP 對惡意交易發起聯合追溯。惡意交易追溯如圖5 所示，具體追溯過程分為以下5 個步驟。

圖5 惡意交易追溯

步驟1惡意交易發生時，Tracer 通過追查到惡意交易的簽名方ORG。

步驟2Tracer 向ORG 提供惡意交易的數據信息，并委托ORG 追溯該筆交易的發起者。

步驟3ORG 向TTP 申請合作，向TTP 提交m和；并向TTP 提供其私鑰Oprv以證明身份。

步驟4TTP 收到ORG 的合作請求時，先通過Oprv驗證該筆交易是否由提出追溯申請的ORG 簽名授權。若驗證通過，則TTP 計算Hash(m)，將其與本地數據庫中存儲的k以及Opub結合，計算m'=；將m'返回給ORG。ORG使用Oprv與m'計算得出。

步驟5ORG 通過查詢本地數據庫，得到被追溯的惡意交易發起用戶的身份信息，聯合監管部門對其進行相應處罰；至此追溯完成。

證畢。

3.3 效率分析及實驗

本文方案中的分級加密方法擬在保護交易數據安全的基礎上提高加解密過程的效率。分級加密方法的計算代價分別來自對稱加密和同態加密兩方面。定義符號TX表示模乘運算的時間開銷，TE表示模冪運算的時間開銷，TSM4表示執行一次SM4 加解密運算的時間開銷，Tm表示執行一次乘法運算的時間開銷。將文獻[28,31-32]方案與本文方案進行效率對比分析，其效率分析對比如表2 所示，其中X%+Y% <1。

表2 效率分析對比

根據表2 分析可知，文獻[31]方案因加密過程需進行k次循環，理論時間開銷大于其他方案；而文獻[28]方案對于數據信息的保護選擇了改進的同態加密算法進行單級加密處理，一定程度上降低了加解密過程的耗時；文獻[32]方案的加密過程基于RSA 同態加密算法，其理論時間開銷最低。將本文所提分級加密方法與表2 中其他方案進行仿真實驗對比真實效率，仿真實驗選用Java為主要編程語言實現代碼編寫，代碼基于bouncycastle 庫實現分級加密方法，調用java.math.BigInteger 類實現大整數的運算；實驗設備及其參數如表3 所示。

表3 實驗設備及其參數

考慮到區塊鏈中的每一個區塊都是大小有限的數據（一般不超過1 Mbit），區塊分為區塊頭和區塊體；仿真實驗選取5～50 kbit 的10 組不同大小的測試文件模擬10 個不同的區塊體進行加解密測試，并且對每組測試用例進行5 次測量，實驗結果取5 次測量值的平均值。實際應用中需要進行二次計算的數據量往往僅占數據總量的一小部分，為模擬真實情況，測試用例中的靜態數據量占比應高于動態數據，故設置敏感度數據比例為1:2:1；同時考慮控制變量原則，此處所使用的敏感度數據比例始終保持1:2:1；即可公開數據:不可公開數據(靜態):不可公開數據(動態)=1:2:1。不同方案加密開銷對比如圖6 所示，實驗數據如表4 所示。

圖6 不同方案加密開銷對比

表4 不同方案加密開銷對比

從圖6 和表4 可以看出，本文方案的加密開銷比對比方案中理論耗時最少的文獻[32]方案低15%以上，與同樣滿足加法同態運算的文獻[28,31]方案相比，效率提升明顯。為測試本文方案應對不同數據時的效率變化，選取對3 組不同敏感度分級的測試用例，分別使用相同的10 組測試文件進行測試比較，并且對每組測試用例進行5 次測量，最終結果取其平均值。不同分級比例加密開銷對比如圖7 所示，實驗數據如表5 所示，其中，a 表示可公開數據:不可公開數據(靜態):不可公開數據(動態)=1:2:1，b 表示可公開數據:不可公開數據(靜態):不可公開數據(動態)=1:3:1，c 表示可公開數據:不可公開數據(靜態):不可公開數據(動態)=1:5:1。

圖7 不同分級比例加密開銷對比

表5 不同分級比例加密開銷對比

從圖7 和表5 可以看出，隨著靜態數據在總文件數據中所占比例的不斷增加，分級加密方法在時間開銷上的優勢呈不斷增加的趨勢。為進一步對比分析本文分級加密方法與其他方法的解密過程真實效率，選取上述加密測試實驗的結果數據作為新的測試文件；為保證數據可靠性，此處同樣對每組測試用例進行5 次測量，最終結果取其平均值。不同方案解密開銷對比如圖8 所示，實驗數據如表6所示。

表6 不同方案解密開銷對比

圖8 不同方案解密開銷對比

從圖8 和表6 可以看出，本文方案的解密時間開銷相比文獻[31]方案明顯減少；較文獻[28]方案和文獻[31]方案，本文方案的解密時間開銷分別降低約62%和83%。選取50 kbit 的數據文件進行加解密總時間開銷對比，結果如圖9 所示，實驗數據如表7 所示。

圖9 加解密總時間開銷對比

表7 加解密總時間開銷對比

從圖9 和表7 可以看出，本文方案與對比方案中耗時最短的文獻[32]方案相比，總消耗時間降低約46%。綜上所述，本文方案能在保證對部分數據進行同態運算的同時，有效降低交易數據加解密過程的時間開銷，在聯盟鏈實際應用中具有一定的使用價值。

4 結束語

本文方案基于公平盲簽名的條件匿名性以及同態加密算法的同態運算特性，分別從用戶身份隱私保護和鏈上交易數據的隱私安全兩方面展開研究。通過對現有公平盲簽名進行重新設計，結合零知識證明技術，實現了對聯盟鏈用戶身份隱私的保護；安全性分析證明，重新設計的公平盲簽名方案能有效抵抗攻擊者竊取用戶身份信息，并能夠對惡意交易進行追溯。另一方面，基于Paillier 同態加密算法，根據敏感級別對數據進行細粒度劃分設計出一套分級加密方法；安全性分析和仿真實驗對比檢測證明，該分級加密方法具備良好的安全性和能效性。在確保方案功能完備的前提下，進一步完善公平盲簽名的聯盟鏈身份隱私保護方案，降低分級加密方法中加密解密過程的時間開銷，是下一步研究的主要工作。