基于隐私保护的央行数字货币监管审计架构*
陈逸涛,周志洪,陈恭亮
(上海交通大学,上海 200240)
摘 要: 随着对央行数字货币的不断探索和研究,其双层运营体系的架构即上层为中国人民银行、下层为商业机构最终确定。央行数字货币作为国家的法定数字货币,必然要求在确保用户隐私的基础上,在监管上需做到预防虚假交易或被篡改的交易出现,在审计上做到通过交易记录查询到违法交易双方的信息。RSCoin提出了基于双层链的央行电子货币架构有效分离了发币和交易支付,但是在一定程度上忽略了隐私保护和监管,且下层的支付链的操作方式不能满足当前的支付需求。方案探索性地提出了一种可行的带有审计和监管功能的双层链架构实现其央行数字货币的双层营运体系的监管和审计要求,利用承诺方案的隐藏性确保满足隐私保护的需求,同时利用零知识证明使其确保交易的正确性,且门限Paillier加密方案使其无需第三方可信平台达到了有效审计的功能。
关键词: 保密交易;隐私保护;监管;审计
0 引 言
自比特币[1]诞生以来,基于区块链技术的电子货币受到了强烈关注。区块链为人们构建了一个理想的无中心的开放自治系统。通过一系列的底层密码学的组合构建其有效的哈希链,从而形成了初步的信任链和监管链,而合理的激励机制和有效的共识机制,能不断维持该信任链,人们可以在基于规则的前提下实现金融货币体系的自我管理。基于区块链的电子货币系统是经济学家眼中理想的货币和金融系统。
但是,当前货币体系中铸币发行和交易支付中存在显著的边界,而该边界的存在是国家对于货币管理的体现。为此,RSCoin[2]提出了双层链架构,在无法短时间消除该边界的前提下保留其边界,通过双层链机制上层为投放清算链实现其铸币投放及其央行对各个商业银行和其他金融机构的清算管理,下层链构建其传统的交易网络,从而构筑其央行可管理的电子货币体系。但是,当前双层链的监管虽然可以做到有效的公开验证,但是却以隐私保护的缺失作为代价——通过公开所有交易使其参与者能够验证其完整性和正确性。这对于诸如交易咨询机构等,依赖于保密决策的金融服务机构。同时,对于需要遵循类似GDRP[3]的相关数据隐私法律法规的组织也是不可容忍的。
央行数字货币作为法定数字货币,在流通和发行的过程中必然要做到在确保用户隐私的前提下实行其高效和安全的监管,做到对于违法交易的有效审计。而当前的对现有电子货币的监管审计架构并不能对双层链的央行数字货币形成有效监管,故探索一种可行的基于隐私保护的对于央行数字货币的监管和审计架构迫在眉睫。
本文对于央行电子货币的双层链架构,探索性地提出了其安全有效的监管和审计机制。利用承诺机制,本方案确保了交易内容的隐匿性;采用零知识证明,使其交易网络的参与者可进行公开验证来确保交易的正确性;对于需要审计的交易记录,本方案使用基于两方的门限Paillier[4]加密方案实现了其无需可信设置的审计功能。
我们的学生只有经历不断地解决问题,产生新问题,再解决问题又产生新问题,才能在多思中培养良好的思维品质。同时,只有经历过一次次心动,学生的内心才会掀起连绵不断的情感波澜,课堂中才会迸发出精彩的火花。
1 预备知识
1.1 双层链
步骤5:需要审计时,审计机构从央行获取需要审计的交易记录和交易相关商业银行的银行账户信息。
图1 双层链架构
式(7)用于检验对于一个交易的输入总和与输出总和是否完全相等,也确保了交易中的交易相关资产在总额上的不可变更性,是资产安全性的一个重要体现。
步骤4:在上层链央行获取从下层链中获取其记录于公开账本中的交易集,并进行相关的验证。央行在初始阶段根据其法币的发行量,为其商业银行确定其初始的银行账户额度,作为其上层链的初始UTXO交易,并根据从下层链中获取的交易集获得商业银行账户的资产变动情况。上层链同样可以是一个多中心的区块链架构,多个清算行从下层链中获取交易集,之后经由共识算法形成上层链的公共账本,然后央行从其公开账本中获取各商业银行的资产变动情况。
双层链是首先由RSCoin提出的央行电子货币方案,可以有效分离央行的发币功能和商业银行或者金融机构的交易功能,同时利用其公开账本的性质实现其公开验证的监管和审计功能。本方案在下层链中不再使用其RScoin的两阶段共识机制,而是采用传统区块链的分布式账本架构。本方案注重于双层链的监管和审计,所以其双层链的模式有如下定义:下层链可以使用多中心或者无中心的分布式账本模式,商业银行的用户账户对应于每一个用户i;上层链每个商业银行对应于央行有其相应的银行账户,如图1所示。
1.2 密码学假设
定义1(DDH假设):群G是一个阶为素数p的循环群,独立随机选取整数a,b,c∈Zp和生成元g∈G对于任意PPT敌手A,存在如下关系:
南京菲尼克斯电气有限公司由德国菲尼克斯电气集团与国家电力公司南京电力自动化研究院(NARI南瑞)合资组建,引进世界一流的菲尼克斯生产技术和先进的管理经验,专业生产各种高质量的电连接器接插件、电子模块、信号变送器、现场总线和防浪涌过电压保护系统等产品,为汽车制造、电力、电子、通信、机械、建筑、石油、铁路运输、机械电气装置及各行业提供世界一流产品和优质服务。
1997年诺贝尔经济学奖获得者罗伯特·默顿最早提出“功能性监管”这一概念,它指的是按照经营业务的性质来划分监管对象的金融监管模式,如将金融业务划分为银行业务、证券业务和保险业务,监管机构针对业务进行监管,而不管从事这些业务经营的机构性质如何[4]。其优势在于监管的协调性高,发现问题能得到及时处理和解决;金融机构资产组合总体风险容易判断;可以避免重复和交叉监管现象的出现,为金融机构营造公平竞争的市场环境。
其中negl为可忽略函数,λ为安全参数。
|Pr[A(g,ga,gb,gab)=1]-Pr[A(g,ga,gb,gc)=1]|≤ negl(λ)(1)
同L2相同,也是采用range Proof;与L2不同,L3需要证明其发起交易方交易发起的合法性,即下层链的商业银行有资金来推动此次交易的生成,这是商业银行向上层央行和清算机构的证明。由于央行在商业银行加入下层链的交易网络时根据实际的法币发行和流通量给与商业银行一定的储备金,下层链交易发生时,交易发起者的商业银行应始终保证其有足够的资金发起,不去恶意创造资产。由于链上的数字货币有其国家作为保证可以以一定比例进行交换,所以下层商业银行创造资产会造成通货膨胀,影响国家经济。一个简单的想法即由于上层链中对于每个商业银行账户、央行和清算机构有其最初为其分配的储备金的Pedersen承诺,由于Pedersen承诺的隐藏性,该承诺值对于下层链的所有商业银行是公开的,且央行和清算机构会根据其从下层链获取的交易集通过Pedersen承诺的同态性,在不公开资金的情况下,根据交易中的输入和输出定时变更各个商业银行的储备金。由于各个其承诺值是公开的,上层链从下层链获取的交易集对于各个商业银行也是可知的,所以央行只能根据获取的交易集变更储备金,从而杜绝央行恶意变更商业银行资产的行为。
1.3 基于两方的门限Paillier加密系统
本方案采用的两方的门限Paillier加密算法(TPS)在文献[4]中有详细说明。在本方案中,假设p0为交易发起者及其相关交易方,p1为审计机构,有以下4个多项式时间算法:
DKeyGen(1λ):分布式生成RSA的合数N=pq,且不泄露其合数的分解因子p和q,其输入是安全参数λ,输出为参与方共同计算出来的RSA合数N。
定义审计:央行在交易监管时针对某一可疑交易向审计部门提出审计请求,审计部门解密交易中被加密的交易资金的密文。在本方案中,交易发起方采用Paillier加密系统加密交易资金。由于Paillier加密保证其在没有私钥的情况下,任意多项式时间敌手都不能分辨密文。同时,与Pedersen承诺进行绑定,通过零知识证明保证其Pedersen承诺的被承诺值与被加密值相等。对于解密,通过分布式可验证的密钥分享策略,使其监管方在整个审计流程中始终不能获取完整的私钥,而需要被审计的交易相关利益方不能使用其错误的解密密钥进行部分解密操作。
Enc(N,m,r):输入消息m,随机均匀选取随机数r∈ZN以及Paillier的公钥N,输出为Paillier加密所产生的密文c。Paillier加密是IND-CPA安全的,其任意PPT敌手都不能通过密文来获取相关的明文m的信息。
Dec(c,d0,d1):输入为Paillier的加密密文c以及p0和p1的密钥共享分片d0和d1,输出为明文m,p0计算其明文分量c0=csk0modN2,将其c0和对d0的承诺值发送给p1,同时p0发送其proof可以使其审计机构验证其身份保证其sk0的正确性;之后p1自己计算cd1并验证c=cd0·cd1成立,同样p1也计算其明文分量c1=csk1modN2,对于d1的承诺值和sk1的zkproof,将其发送给p0验证p1的身份,之后p0和p1都可以计算明文m=((c0·c1)modN2-1)/N。由于p0知道c的解密明文,可以进一步验证p1私钥和解密的正确性。
1.4 零知识证明
为了对抗其恶意敌手,且在不公开私有信息的前提下做到公开验证,本方案中需要采用如下的零知识证明:
长期以来,中国和东盟的艺术高校的对外合作与交流重点区域在欧美,双边交往以政府主导为主,且合作较少。近年来,随着中国和东盟经贸关系日益密切,艺术高校之间也频繁互动,相互认可程度逐年提高,双方也有意提升合作水平,由此呼唤出双边交流与合作创新机制。
验证其交易发起方使用Paillier加密的值c1和交易发起方的Pedersen承诺c2中的被承诺值相等,在其后的证明中由于这两者直接证其不满足soundness需要fujisaki承诺c3来作为证明桥梁:
验证交易发起方的Pedersen承诺中被承诺值大于等于0:
验证其交易的输出值的总和与输出值相等。
有一次监考,我坐在讲台前面的高凳子上,和坐在对面第一排的一米八的学生一样高。我有时不经意看到他,发现他也正一边思考物理题一边看着我,居然还对我微笑,露出深深的酒窝。我知道这和他对自己的自信有很大关系,这种自信源于知识的扎实。
2 监管设计
由于本方案是基于双层链锁建立的监管审计架构,所以在监管方面,对于下层链能使其在其保护交易内容的前提下实现对交易合法性的有效监管,必要时在下层链可以进一步隐藏交易图——隐藏交易发起者的身份,但其仍能保持交易监管的有效性。对于上层链,央行为其主要的监管方,央行需要验证从下层链中获取交易集的合法性,同时确保银行账户的正确性——防止银行账户出现负数,确保其金融市场的正常资金流动
2.1 监管机制概况
方案中对应的下层链可以是一个多中心的区块链交易网络,承载着用户的所有交易账本。在本系统中定义就如同在比特币中的交易定义,交易tx即交易发起方通过广播该交易并使用共识机制使其UTXO的所有权发生变化,形成商业银行之间的资金流动。该下层链的交易系统参与者包括交易tx的发起方和交易tx内容的接受方。对于该交易网络中其他未参与方,对该交易通过零知识证明验证、签名以及哈希的验证,对其交易的合法性、完整性进行相关验证。
(3)基坑开挖过程中,桩间土体流坍。现场踏勘情况表明,隧道下部地层为中砂,在基坑开挖中有桩间土体流失现象发生,致使隧道侧面及基底地层损失和漏空,进一步影响了隧道结构的受力状态。
2.2 交易中的监管构成
方案中对于下层链的商业银行并未假设其交易行为永远是诚实的。它假设这些商业银行存在着企图操纵账户偷取或者隐匿资产的可能性,同时这种假设也同样适用于上层链的央行和其他清算机构。基于以上考虑以及对于隐私的保护,本方案采用Pedersen承诺协议,隐藏同时绑定其交易值。Pedersen承诺具有统计意义上的隐藏性,即对于任意计算能力的敌手都不能仅从承诺值中猜测出被承诺值。同时,Pedersen承诺具有计算意义上的绑定性,即对于任意多项式敌手其不能在不更改承诺的条件下实现对被承诺值的更改。绑定性同时也意味着交易中资产不可被随意增加或减少。
对于关于资产的交易有如下定律:(1)为确保被确认的交易的不可变性,在交易中流动资产不能被任意增加和减少,可知基于Pedersen承诺的绑定性可以得到有效保障;(2)交易的合法性,即要保证被确认交易中的各个资产的值始终大于等于零,交易发起方的账户有足够的金额完成该笔交易的转账流程。这个在公开账本中可以通过检查交易内容和查看历史交易的方式实现,但是对于方案中由于交易内容通过Pedersen承诺进行了隐匿处理,所以对于交易合法性的检验必须通过一系列零知识证明来完成。具体来说,对于监管本方案使用proof L1∧ L2 ∧ L3。
2.2.1 Proof L1(πBalance)
步骤1~步骤3:用户1发起交易请求,将金额v1分别转入用户2和用户3对应的商业银行账户,其金额分别为v2和v3。交易在其他验证者处进行有效验证,并且获取其共识签名,记录于公开账本中。
对于该proof通常采用sigma-proof[5]。proof生成过程如下。
公共输入:所有输出和输入的Pedersen承诺值Cin和Cout,对于所有Pedersen承诺,从阶数为大素数p的循环群G中独立随机选取其生成元g∈G和h∈G,对于任何人其loggh都是不可知的。
私有输入:构成Pedersen承诺的被承诺值vin、vout和其所选的随机数rin、rout。
步骤1:Prover随机选取rvin,rvout,rrin,rrout,r0∈ℤp,计 算 αvin=grvinhrrin,αvout=grvouthrrout,α0=hr0, 将 αvin、αvout、α0发送给 Verifier。
步骤2:Verifier均匀随机选取challenge e。
步 骤 3:Prover计 算 fvin=rvin+e·vin,fvout=rvout+e·vout,frin=rrin+e·rin,frout=rrout+e·rout,f0=r0+e·(rin-rout), 并 将 fvin、fvout、frin、frout、f0 发 送给Verify。
Verify 验 证 g fvinhfrin=αvin·(Cin)e、gfvouthfrout=αvout·(Cout)e和hf0=α0(Cin/Cout)e这 3个等式是否成立。
此为sigma-proof交互式的证明过程,在公开账本中需要使用非交互式证明,这里可以采用Fiat-Shamir变换[6]将交互式证明转换为非交互的证明
自由主义者以信奉“理性主义”为基础,然而并不是所有国家在考虑国家利益时都会作出理性的判断。自由主义者眼中的国家不是现实主义者理解的那种单一而理性的行为体,而是国内利益的结合体。自由主义者认为,国家的政策与行为是由国内社会团体与个人的偏好累积而成的。[5]在外界因素的刺激下,国家决策往往并非完全出自理性的考虑,并不是完全符合国家利益。然而,即使出自于理性的思考而作出的决定也并非完全与国家的利益相符,即使像美国这样的大国也不能例外,如越南战争和伊拉克战争最终使得美国深陷战争的泥潭,自认为是上帝选民的美国,以世界的救世主自居而实行人权外交的同时,最终也把自己置身于受害民族国家人民的反抗浪潮之中。
2.2.2 Proof L2(πrange)
Proof L2用于检验其交易中被承诺的交易资产数量始终为正,确保交易的安全性。对于输出金额账户和输入金额账户,确保不会因为出现负数而发生在一次交易中输出账户出现资产增加而输入账户出现资产减少的情况。直接采用Bulletproof[7]证明去交易的金额值大于等于零,这是因为Bulletproof所生产的proof的size相比传统的范围证明小,达到了O(log(n)),极大地减少了交易tx的size大小,且bulletproof相比与其他范围证明如基于Borromean环签名[8]的范围证明其无需可信设置。这个特性使其更加适用于诸如保密交易[9]的公开验证。
2.2.3 Proof L 3
定义2(DCR假设):设p、q是两个大素数N=pq,独立随机选取r∈ZN和y∈Z*N2。对于任意PPT敌手A,存在一个可忽略函数negl(λ),λ为安全参数,使其满足关系:
(3)统一性。商业综合体往往会采用内向封闭的结构设计,建筑物的出入通道一般都紧挨城市交通的主干道,而且入口处由于醒目的标识也比较容易识别,这样有可以为消费者进入商场进行消费提供了较大便利。
对于该证明,可以通过证明在上层链中当前储备金的range proof来证明。但是,考虑到上层链的储备金并不是实时变更,所以该证明中还需要加上下层链中与交易发起者相关的被认可的交易的储备金的承诺值。在上层链从下层链收取交易的间隔,可以视作上层链对其各个商业银行的账户进行锁定时间,未进入上层链的交易,但是与需要证明交易的发起方相关的交易称之为挂起的交易。对于本方案来说,由于上层链会定时收取下层链的交易,所以无需人为刻意去对其进行处理,但是每次上层链获取交易时必须按照交易的先后顺序放入上层链(在时间服务器同步的情况下,可以根据时间戳进行判断),同时在交易发起方生成相关零知识证明时,需要将所有与交易发起方所在的商业银行账户相关的挂起的交易都考虑到其零知识证明中。
3 审计设计
3.1 审计机制概况
Dsk(N,sk0,sk1): 输 入 是 DKeyGen(1λ)生 成 的RSA合数N,输出为参与者的密钥共享分片d0和d1。其中,输入的sk0和sk1为p0和p1根据其DKeyGen生成的RSA合数N时产生的分解因子p和q的部分分量pi和qi,i∈{0,1},各自生成sk0=N-p0-q0+1,sk1=-p1-q1, 其 输 出 d0和 d1满 足d0+d1=d≡1modN,d≡0mod φ(N),从而确保参与者的私钥生成是根据DKeyGen算法正确生成的。
思维型学习疑难也称组织型学习疑难,它是在信息的组织时出现的异常情况而产生的学习疑难.美国学者安东尼·格里高根据知觉的具体与抽象,规则的次序与随机将人类的思维分成了四种:具体而有序的思维、抽象而有序的思维、具体而随机的思维、抽象而随机的思维[25].这四种思维类型并无好坏之分,但它们之间的思维形式有所不同[26].不同的思维形式在一方面表现出一些优势的同时,往往在另一方面会表现出劣势,以致于出现一些思维障碍,从而产生思维型学习疑难.
3.2 交易中的审计构成
为了实现审计功能,方案采用Paillier加密和密钥分享策略。在下层链的tx交易中,对交易的各方使用其各自公开的Paillier公钥进行输入和输出金额的加密。同时,为了实现完成其审计功能,对于上层链在监管方面只隐藏交易内容,我们在使用央行的公钥,对其输入和输出交易方的身份ID进行加密。这里只需确保其身份ID在解密前外不任意人知晓和更改,这里可以采用IND-CCA2安全的加密策略即可。如果下层链不需要隐藏交易图,也可以在交易中直接公开。
审计功能实现的关键在于用于审计的Paillier加密和用于监管和隐藏的Pedersen承诺需要进行相关的绑定,即要保证其被承诺值和被加密值相等。Douglas在混淆证明论文[10]中,提出其Paillier加密和Pedersen进行绑定proof需其fujisaki承诺[11]作为中间桥梁,因为Paillier加密是基于RSA的二次剩余假设,所以对于公钥N的分解因子是未知的,而传统的Pedersen承诺是一个基于已知素数的模来进行运算的,直接证明其soundness无法满足。以下是对其相关的零知识证明,方法与文献[12]类似,即proof L4:
Paillier的公钥为N,Pedersen承诺中的模为p在本方案中取安全素数q,满足q|p-1。
步骤1:Prover随机选取d∈Z2l+2k,l为其v的大小,k为安全参数,之后选取
Prover计 算 
Z=g3dh3rzmod p,并将其X、Y、Z、Ce、Cp、CF发送给Verifier。
步骤2:Verify均匀随机选取e,将其发送给Prover。
分别采用常规的串级控制和采用串级Smith预估控制,系统输入和干扰输入均为单位阶跃信号。仿真结果如图3所示。
步 骤 3:Prover计 算 f=d+e·v,fx=rxere,fy=ry+e·rF,fz=rz+e·rp, 将 f、fx、fy、fz发 送 给Verifier验证:
如果f在其范围内且3个等式成立,则接受proof L4;否则,拒绝。
根据不同的业务场景,建议将重大事件保障、远程控制优先、本地控制优先定义为三种不同的业务配置。对于重大事件保障类,由于时延要求低,需要使用上行保活的方式工作,如电气参数上报(心跳)周期可调节到90秒;对于远程控制优先类,电气参数上报(心跳)周期可调节为30分钟;对于本地控制优先类,电气参数上报(心跳)周期可调节为1小时一次。
为确保审计的正确性,本方案采用文献[4]的分布式RSA合数N生成算法DKeyGen,保证其生成的合数不偏向任何一方。同时,采用Dsk算法生成可以验证的分布式私钥,在其解密时遵循Dec算法进行相互认证,并通过零知识证明确保各自提交的解密密文使用的明文分量时使用的解密密钥是正确的。文献[4]提供的是基于两方的门限分布式Paillier加密算法,对多方进行审计时也可以使用其PVSS[13]作为可验证的密钥共享方案。文献[14]提供了使用PVSS的门限Paillier加密算法。
4 安全性分析
回顾交易的监管和审计构成,其交易的构成如下:
其中Comp(v)是对v的Pedersen承诺,Enc(ID)为使用央行的公钥对其输入输出交易方的身份ID的加密密文,ComF(v)是对v的fujisaki承诺,Encp(v)为对v的Paillier加密密文L1,L2,L3,L4在第2节和第3节的零知识证明,σtx为其交易发起方对于该交易的签名。从交易结构中可以清楚了解,Pedersen承诺保证了交易内容的隐匿性和绑定性,通过L2范围证明保证其输入和输出的合法性,通过L3保证整个交易的合法性,L1保证交易发起方发起交易的合法性,而L4保证了审计所需的加密密文与其交易中的Pedersen承诺是相关的。对于签名,则进一步确保了整个交易环节中交易的完整性和不可篡改性。方案由于在交易中使用了央行的公钥对其交易方的身份ID进行加密,故对于上层链其交易图是不隐藏的,同时对于下层链使用环签名进行交易图的隐藏。由于上层链只要确保央行不对其进行公开,下层链的各个节点是无法知道其历史交易的交易相关方的身份。方案中由于审计需要解密,故将此操作放在链下,同时审计双方在事先使用PVSS或者基于两方的可验证密钥共享策略和分布式解密,实现其公开可验证的无需可信设置的审计方案,且在双方未泄露各自私钥的前提下,审计机构无法独立获取被审计的交易的具体信息。
5 结 语
本文提出了一种基于隐私保护前提下的央行数字货币监管审计架构,确保了双层链架构的央行数字货币的安全性、隐私保护性和可监管审计性。在隐私保护和可监管性的考量下,对于监管仅需要对于上层链形成交易内容的隐藏,而在下层链不仅可以实现对交易内容的隐藏,也可以根据需求选择性实现对交易图的隐藏,从而保证其央行电子货币在交易链上的隐私受到保护。对于监管,使用其Pedersen承诺保证交易内容的隐藏和不可更改性,同时采用零知识证明确保交易的正确性和交易发起方发起交易的合法性。对于审计,采用可验证的密钥共享算法和基于门限的Paillier加密算法,确保审计者和被审计者都能正确执行审计流程,保证审计的正确性。审计私钥的分片确保了审计机构的审计行为不会破坏其他交易的隐私保护的特性,同时审计者和被审计者通过零知识证明验证了各自的审计私钥也有助于确认双方的身份。对于具有隐私保护特性的保密交易的Front-running问题,本文只是基于理想共识,在上层链交易集收取的基础上进行了简单处理,但是基于实际的共识机制的处理还需做进一步的深入研究。
参考文献:
[1] Nakamoto S.Bitcoin:A Peer-to-Peer Electronic Cash System[EB/OL].[2019-07-10].https://bitcoin.org/bitcoin.pdf.
[2] Danezis G,Meiklejohn S.Centrally Banked Cryptocurrencies[EB/OL].[2018-08-13].https://arxiv.org/pdf/1505.06895.pdf.
[3] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)[Z].Official Journal of the European Union L119,2016.
[4] Hazay C,Gert L,Tal M,et al.Efficient RSA Key Generation and Threshold Paillier in the Two-Party Setting[J].Journal of Cryptology,2011(7178):1-59.
[5] Ivan D.On Sigma Protocols[EB/OL].[2019-07-11].https://www.cs.au.dk/~ivan/Sigma.pdf.
[6] Fiat A,Shamir A.How To Prove Yourself:Practical Solutions to Identification and Signature Problems[C].Proceedings on Advances in Cryptology-CRYPTO,1999.
[7] Bunz B,Bootle J,Boneh D,et al.Bulletproofs:Short Proofs for Confidential Transactions and More[C].2018 IEEE Symposium on Security and Privacy(SP),2018.
[8] Maxwel G,Poelstra A.Borromean Ring Signature[EB/OL].[2019-07-10].https://raw.githubusercontent.com/Blockstream/borromean_paper/master/borromean_draft_0.01_34241bb.pdf.
[9] Poelstra A,Back A,Friedenbach M,et al.Confidential Assets[Z].4th Workshop on Bitcoin and Blockchain Research,2017.
[10] Douglas W.A Commitment-Consistent Proof of a Shuffle[C].Information Security & Privacy,Australasian Conference,2009.
[11] Fujisaki E.Statistical Zero Knowledge Protocols to Prove Modular Polynomial Relations[J].Proc. CRYPTO’97,1997.
[12] Boudot F.Efficient Proofs that a Committed Number Lies in an Interval[C].International Conference on the Theory and Applications of Cryptographic Techniques,2000.
[13] Pedersen T P.Non-Interactive and Information-Theoretic Secure Verifiable Secret Sharing[C].Advances in Cryptology-CRYPTO’91,1991
[14] Nishide T,Sakurai K.Distributed Paillier Cryptosystem without Trusted Dealer[EB/OL].[2010-07-11]https://link.springer.com/content/pdf/10.1007%2F978-3-642-17955-6_4.pdf.[15]Benedikt B,Shashank A,Mahdi Z,et al.Zether:Towards Privacy in a Smart Contract World[EB/OL].[2019-07-13].https://eprint.iacr.org/2019/191.
The Framework of CDBC Supervision and Auditing based on Privacy Preserving
CHEN Yi-tao, ZHOU Zhi-hong, CHEN Gong-liang
(Shanghai Jiaotong University, Shanghai 200240, China)
Abstract: With the continuous exploration and research on the central bank digital currency(CBDC), the framework of two-layers operation system—the upper layer is the People’s Bank of China and the lower level is the commercial organization—is finally determined. As the country’s legal digital currency, CBDC must ensure ,on the basis of user privacy protection, to prevent the occurrence of false transactions or falsified transactions in the supervision, and to verify the information of both parties to the illegal transaction through the transaction records. RSCoin proposed a CDBC structure based on two-layers Blockchain and effectively separated the currency and transaction payments, but to some extent ignore the demand of privacy-preserving and supervision, and the operation mode of the lower payment chain is not able to meet the current payment demand. A feasible two-layers blockchain architecture with auditing and monitoring capabilities is proposed to meet regulatory and audit requirements of CBDC that leverages the hiding attribute of commitment to satisfy the privacy-preserving requirements, while using zero-knowledge proofs to ensure the correctness of transactions. Threshold Paillier encryption scheme eliminates the need for third-party trusted platforms to achieve effective auditing.
Key words: confidential transaction; privacy preserving; supervision; auditable
中图分类号: TP309
文献标志码: A
文章编号: 1002-0802(2019)-12-3032-07
文献引用格式: 陈逸涛,周志洪,陈恭亮.基于隐私保护的央行数字货币监管审计架构[J].通信技术,2019,52(12):3032-3038.
CHEN Yi-tao,ZHOU Zhi-hong,CHEN Gong-liang.The Framework of CDBC Supervision and Auditing based on Privacy Preserving[J].Communications Technology,2019,52(12):3032-3038.
doi: 10.3969/j.issn.1002-0802.2019.12.035
* 收稿日期: 2019-08-28;修回日期:2019-11-22 Received date:2019-08-28;Revised date:2019-11-22
基金项目: 国家重点研发计划“电子货币新原理与新方法研究” (No.2017YFB0802500)
Foundation Item: Research on New Principles and New Methods of Electronic Money in National Key R&D Program (No.2017YFB0802500)
通讯联系人: chen_yi_tao@sjtu.edu.cn Corresponding author: chen_yi_tao@sjtu.edu.cn
作者简介:
陈逸涛 (1987—),男,硕士,主要研究方向为区块链隐私保护;
随着信息技术的发展,企业在经济生产活动中产生了大量的数据,会计信息化管理能够节约会计人员工作时间,提高会计工作效率。面对日益激烈的市场竞争环境,建立会计信息化管理模式成为企业发展的必然选择。企业要不断完善会计管理制度,优化部门分工结构,提升会计工作水平。
周志洪 (1979—),男,博士,讲师,主要研究方向为网络攻防;
采用潜在生态危害评价指标(表8)对土壤铅和镉污染潜在生态危害进行分级评价。经计算,各采样点土壤锌、铜和铬的潜在生态危害指数均小于40,处于轻微的潜在生态风险水平。锌、铜和铬的潜在生态危害指数平均值分别为 1.11、2.25 和 0.28,其潜在生态危害由强至弱为:Cu>Zn>Cr。具体计算结果见表9。
陈恭亮 (1961—),男,博士,教授,主要研究方向为网络安全、区块链技术及应用、轻量级密码技术及应用、物联网安全。