(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210373697.1 (22)申请日 2022.04.06 (71)申请人 胡恒浩 地址 210023 江苏省南京市仙林大 学城文 苑路9号南京邮电大 学6号学科楼 (72)发明人 胡恒浩　姚建峰　 (74)专利代理 机构 北京挺立专利事务所(普通 合伙) 11265 专利代理师 韩畅　耿彩红 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/08(2006.01) H04L 9/20(2006.01) H04L 9/32(2006.01) G06Q 20/38(2012.01) (54)发明名称 一种基于区块链的 隐私交易生 成、 验证方法 及系统 (57)摘要 本发明提供的基于区块链的隐私交易生 成、 验证方法及系统， 利用交易双方共享的随机数生 成具有随机性的真实收款地址对， 为随机数生成 对应的承诺分量， 将承诺分量同态相加获得同态 相加承诺， 执行Zerocash协议并生成数字币、 数 字币注入交易及对应的交易承诺； 收款节点利用 交易双方交换的随机数相加的承诺与数字币中 的同态相加承诺比较， 在确认 一致后还原生成对 应的承诺分量， 进一步验证交易承诺的有效性； 同时能够向区块链上的其他成员节点提供具有 zk‑SNARK证明的签名数据， 实现交易数据验证功 能； 该隐私交易过程能够完全实现区块交易数据 的不可链接性和交易身份不可追踪性， 同时兼容 传统的区块数据结构。 权利要求书3页 说明书12页 附图3页 CN 114844622 A 2022.08.02 CN 114844622 A 1.一种基于区块链的隐私交易 生成方法， 其特 征在于， 该交易 生成方法包括： 收款节点生成第一交易随机数r1、 主控公钥对addrpk： ＝(apk， pkenc)和对应的主控私钥 对addrsk： ＝(ask， skenc)， 向付款节点发送本地的主控公钥对ad drpk和第一交易随机数r1； 付款节点在本地生成第二交易随机数r2， 利用第二交易随机数r2与第一主控公钥apk生 成第一随机性公钥bpk， 利用随机数r1和r2分别生成对应的承诺分量， 并将这两个承诺分量 同态相加， 进一步将两个承诺分量、 同态相加承诺、 第一随机性公钥bpk共同参与执行 Zerocash协议并生成数字币、 数字币注入交易及对应的交易承诺， 将数字币注入交易和交 易承诺上链， 同时利用第二主控公钥pkenc对数字币加密， 将加密的数字币发送给收款节点； 付款节点利用值r1和第一随机性公钥bpk生成第二随机性公钥cpk作为真实收款地址， 将 与数字币注入交易中等 值的币发送到真实收款 地址cpk； 收款节点利用第二主控私钥skenc解密数字币， 将本地存储的第一交易随机数r1和数字 币中记录的第二交易随机数r2相加的承诺与数字币中的同态相加承诺比较， 在确认一致后 还原生成对应的承诺分量， 并利用第一主控公钥apk验证交易承诺的有效性， 在确 认有效后 利用值r1、 r2和第一主控私钥ask生成真实收款 地址cpk和对应的私钥地址 csk。 2.根据权利要求1所述的基于区块链的隐私交易生成方法， 其特征在于， 所述数字币注 入交易的生成过程 为： 第j个付款节点为第i个收款节点生成秘值ρi、 第二交易随机数r2和随机因子si， 将随机 数r2作为第一盲化因子生成系数ki： 其中， COM M()表示承诺函数， bpk， i表示关于第i个收款节点的第一随机性公钥； 利用系数ki作为第二盲化因子生成两个承诺分量t1， i和t2， i： 将随机因子si作为第三盲化因子， 并以输出的币值vi生成交易承诺cmi： 将待支付的旧币 的交易承诺所在的默克尔树根rtj、 旧币的随机序列号snj、 新生成的交 易承诺cmi加入到数字币注入交易txpour： txpour： ＝(rtj， snj， cmi) 其中， 待支付的旧币的随机序列号 PRFsn()表示关于随机序列号的 伪随机函数。 3.根据权利要求2所述的基于区块链的隐私交易生成方法， 其特征在于， 所述数字币的 生成过程 为： 第j个付款节点将生成的两个承诺分量t1， i和t2， i同态相加， 获得同态相加承诺cmT， i； 将新币输出的币值vi、 密值ρi、 第二交易随机数r2和随机因子si、 同态相加承诺cmT， i、 交 易承诺cmi组合生成待支付的数字币ci： ci： ＝(vi， ρi， r2， si， cmT， i， cmi) 利用第二主控公钥pkenc， i对数字币加密， 将加密的数字币Ci： ＝Eenc(pkenc， i， (vi， ρi， r2， si， cmT， i， cmi))发送给第i个收款节点。权　利　要　求　书 1/3 页 2 CN 114844622 A 24.根据权利要求3所述的基于区块链的隐私交易生成方法， 其特征在于， 收款节点接收 数字币的过程 为： 第i个收款节点利用第二主控公钥skenc， i解密数字币， 利用解密 得到的秘值ρi′、 第二交 易随机数r2′和本地存 储的第一主控公钥apk， i重新计算得到系数k ′i， 由系数k ′i进一步生成r1+r2′的承诺cm ″T， i， 比较cm″T， i与数字币中的同态相加承诺 cm′T， i是否一致， 如果一致， 则利用解密得到的币值v ′i、 随机因子s ′i和两个承 诺分量t′1， i和 t′2， i重新计算得到交易承诺cm ″i， 比较cm″i与数字币中的交易承诺cm ′i是否一致， 在确认一 致后利用值r1+r2′和本地存储的第一主控私钥ask， i生成公私钥对(c ′pk， i， c′sk， i)， 进一步确 认随机序列号 是否存在于账本上， 如果不存在则判定公私钥对(c ′pk， i， c′sk， i)为真实的收款 地址对。 5.根据权利要求2所述的基于区块链的隐私交易生成方法， 其特征在于， 所述的第 一随 机性公钥 bpk， i表示为： bpk， i＝r2G+apk， i 关于第i个收款节点的第二随机性公钥cpk， i表示为： cpk， i＝r1G+bpk， i 第二随机性公钥cpk， i对应的私钥csk， i表示为： csk， i＝r1+r2+ask， i 其中， G表示一条指定椭圆曲线的基点， 是一个给定的公开参数， ask， i第i个收款节点的 第一主控私钥。 6.一种基于区块链的隐私交易验证方法， 其特 征在于， 该交易验证方法包括： 付款节点构建用于执行签名的公私钥对(pksig， sksig)， 将旧币及对应的随机序列号、 旧 币的私钥地址、 旧币交易承诺所在帐本中指定的路径、 新币及对应的交易承诺绑定获得消 息m， 利用私钥sksig对消息m签名， 将公钥pksig、 消息m的中间值和数字签名 σ 附于数字币注入 交易txpour中并发布到区块链网络； 验签节点提取已上传到区块链网络中的数字币注入交易txpour， 利用数字币注入交易 txpour中消息m的中间值重新生成消息m ′， 进一步利用公钥pksig验证消息m ′的数字签名σ ′是 否与数字币注入交易txpour中的数字签名σ 一致， 如果一致则表明数字币注入交易txpour为 真， 否则表明数字币注入交易txpour为假。 7.根据权利要求6所述的基于区块链的隐私交易验证方法， 其特征在于， 付款节点生成 数字签名 σ 的过程 为： 第j个付款节点利用密钥生成函数随机生成用于执行签名的公私钥对(pksig， j， sksig， j)， 然后使用抗碰撞的哈希函数CRH计算秘密值； hsig， j： ＝CRH(pksig， j) 以旧币的私钥地址ask， j作为盲化因子， 将秘密值hsig， j输入伪随机函数计算输出中间 值： 利用证明函数构建包 含有中间值hj和数字币注入交易txpour的zk‑SNARK证明： 权　利　要　求　书 2/3 页 3 CN 114844622 A 3