CN110933045A

CN110933045A - 一种基于承诺的区块链数字资产隐私保护方法

Info

Publication number: CN110933045A
Application number: CN201911087081.2A
Authority: CN
Inventors: 王震; 范佳; 白健; 安红章
Original assignee: China Electronic Technology Cyber Security Co Ltd
Current assignee: China Electronic Technology Cyber Security Co Ltd
Priority date: 2019-11-08
Filing date: 2019-11-08
Publication date: 2020-03-27

Abstract

本发明公开了一种基于承诺的区块链数字资产隐私保护方法，发送方A通过区块链向接收方B发送一笔交易时：先通过Pedersen承诺算法对账户资产进行加密；再使用SM2签名算法对匿名交易进行签名；然后区块链节点对签名和交易进行验证，验证通过则计算哈希值并记链；接收方B从密文中恢复出金额；监管方C对区块链记录的交易密文进行审计时：发送方A将产生密文的随机数和交易金额发送给监管方C，监管方C通过区块链查验，若查验通过，则证明交易金额正确。与现有技术相比，本发明的积极效果是：实现了用户交易金额和数字资产等链上信息的匿名性；匿名数字资产的拆分及交易；匿名数字资产的可审计性；高效的隐私保护技术手段。

Description

一种基于承诺的区块链数字资产隐私保护方法

技术领域

本发明涉及一种基于承诺的区块链数字资产隐私保护方法。

背景技术

目前大多数区块链技术都是通过一个公开透明的账本记录用户的交易或操作行为，虽然通过分布式不可篡改的账本能够提高系统的容错性和可靠性，但同时也意味着用户的交易数据等隐私信息也一同被公开。目前，比特币、以太坊等多数公链并未考虑交易数据的匿名性；达世币等采用混币技术保护交易信息的隐私，但仍可以对用户的行为进行追踪链接；zcash、门罗币等采用复杂的密码技术保护用户交易信息的安全性，但效率较低、时间空间成本消耗较高。因此，如何保证账本不可篡改的同时有效的保护用户的隐私是一个亟待解决的问题。

发明内容

为了克服现有技术的上述缺点，本发明提出了一种基于承诺的区块链数字资产隐私保护方法，针对区块链账本交易数据透明、缺乏有效的用户隐私保护手段的问题，采用基于承诺的密码技术，对区块链中的交易金额、数字资产等信息进行同态加密，保护用户的数字资产的隐私性。本发明主要解决的技术问题包括：

(1)用户交易金额和数字资产等链上信息的匿名性；

(2)匿名数字资产的拆分及交易；

(3)匿名数字资产的可审计性；

(4)高效的隐私保护技术手段。

本发明解决其技术问题所采用的技术方案是：一种基于承诺的区块链数字资产隐私保护方法，包括如下内容：

一、发送方A通过区块链向接收方B发送一笔交易时：

步骤一、发送方A通过Pedersen承诺算法对账户资产进行加密；

步骤二、使用SM2签名算法对资产交易进行签名；

步骤三、区块链节点对签名和交易进行验证，验证通过则计算哈希值并记链；

步骤四、接收方B从密文中恢复出金额；

二、监管方C对区块链记录的交易密文进行审计时：

发送方A将产生密文的随机数和交易金额发送给监管方C，监管方C通过区块链查验，若查验通过，则证明交易金额正确，否则交易金额不正确。

与现有技术相比，本发明的积极效果是：

1、匿名性

基于承诺的区块链数字资产隐私保护方案采用同态承诺密码算法实现区块链中数字资产、交易金额的匿名性，极大保护了账本中用户的隐私信息，符合隐私保护的需求，为用户提供了更安全的交易手段。

2、高效性

相比其他匿名区块链技术，本方案仅采用Pedersen同态承诺算法，虽然弱化了部分功能，但避免了复杂密码算法的使用，提高了效率，增强了方案的实用性。

3、可监管性

在保证用户数字资产匿名性的同时，提供了监管手段，增设了可信的监管方，在产生纠纷时可对匿名交易进行审计，为违法犯罪等行为的监管提供有力证据。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为本发明方法的流程图。

具体实施方式

本发明基于Pedersen承诺等密码学技术设计出一种高效的区块链数字资产隐私保护方法，解决了传统区块链技术中用户交易数据等隐私信息保护不足和无法监管的问题。

本发明使用的公钥签名算法为SM2签名算法，记为Sig＝(KeyGen，Sign，Verify)，使用的哈希算法为SM3哈希算法，记为H：{0，1}^*→{0，1}^*，使用的同态密码算法为Pedersen承诺算法，记为PDS＝(Com，Open)，具体算法如下。

产生承诺值Com：设G，H∈G_p为p阶循环群的生成元，输入秘密值v和随机数r，计算承诺值C＝Com(v，r)＝vH+rG。

打开承诺值Open：输入验证值v′，r′和承诺值C，计算C′＝Com(v′，r′)＝v′H+r′G，验证C′＝C是否成立，若成立，则承诺值有效，否则承诺值无效。

一、方案概述

方案包括四类参与方，发送方A，接收方B，监管方C和区块链平台。用户A通过区块链向B发送一笔金额为v的交易时，A首先通过Pedersen承诺对金额进行加密，生成承诺值，即金额对应的密文，然后使用SM2签名算法对密文和B的接收地址进行签名。签名后，A将密文，B的接收地址和签名发送给区块链平台进行验证，区块链节点验证签名，若签名有效，则将密文和签名的哈希值记链。记链完成后，接收方B可从密文中恢复出金额。监管者可对区块链记录的交易密文进行审计，审计时，A将产生密文的随机数和金额v发送给监管方C，监管方C通过区块链查验，若验证通过，则证明交易金额是v；否则，交易金额不是v。

二、方案符号

下表为方案中变量与对应的取值范围和变量在方案中的作用。

变量符号	意义
		E	椭圆曲线及参数
G，H	椭圆曲线子群的生成元
		(sk，pk)	用户的私钥和公钥
(sk<sub>A</sub>，pk<sub>A</sub>)	用户A的密钥对
		(sk<sub>B</sub>，pk<sub>B</sub>)	用户B的密钥对
v	用户的金额或资产
		r	计算密文的随机数
v<sub>1</sub>，v<sub>2</sub>	交易的金额
		r<sub>1</sub>，r<sub>2</sub>	计算密文的随机数
C，C<sub>1</sub>，C<sub>2</sub>	金额对应的密文
		σ<sub>A</sub>	用户A产生的签名
v′	审计时用户A提供的金额
		r′	审计时用户A提供的随机数
C′	计算的用于验证的密文

三、具体方案

如图1所示，一种基于承诺的区块链数字资产隐私保护方法实施过程包含初始化、产生用户密钥对、用户资产加密、匿名资产交易、交易验证、匿名资产审计等步骤。

1、初始化：

初始化过程产生方案所需的公共参数。根据SM2签名算法产生系统的椭圆曲线E，两个生成元为G和H。

2、产生用户密钥对

用户进行注册，系统根据SM2算法产生一对密钥(sk，pk)＝KeyGen()＝(d，d·G)，其中sk＝d为用户的私钥，pk＝d·G为用户的公钥，“·”表示椭圆曲线上的点乘运算。设交易发送方用户A的密钥对为(sk_A，pk_A)，交易接收方用户B的密钥对为(sk_B，pk_B)。

3、用户资产加密

假设用户A账户余额为v，加密时首先选择随机数r，然后利用Pedersen承诺计算密文，C＝Com(v，r)＝v·G+r·H。

4、匿名资产交易

假设用户A需要发送一笔金额为v1的交易给用户B，A首先计算y1和v2的密文，C₁＝Com(v₁，r₁)＝v₁·G+r₁·H，C₂＝Com(v₂，r₂)＝v₂·G+r₂·H，其中满足v＝v₁+v₂，r＝r₁+r₂。然后利用私钥sk_A对密文C₁、C₂和B的接收地址签名，得到σ_A＝Sign(C₁||C₂||pk_B，sk_A)，C₁||C₂||pk_B表示将C₁、C₂和pk_B转化为拼接的字符串。最终，A将C₁、C₂，pk_B和σ_A发送到区块链平台。

5、交易验证

区块链节点接收到A发送的匿名交易信息后，首先利用A的公钥pk_A验证签名是否有效，即验证b＝Verify(σ_A，C₁||C₂||pk_B，pk_A)，其中b∈{0，1}，b＝0表示签名无效，b＝1表示签名有效。

若签名有效，则验证交易是否有效，即验证C＝C₁+C₂。若等式成立，则表明交易有效，即满足v＝v₁+v₂。否则，交易无效。

最终，若签名和交易均验证通过后，计算哈希值h＝H(C₁||C₂||pk_B||σ_A)并记链。

6、匿名资产审计

监管方可对任意一笔交易进行审计，审计时，首先需要交易发送方A提交匿名交易对应的随机数r′和金额v′，然后监管方验证交易金额是否正确，即验证C′＝Com(v′，r′)＝v′·G+r′·H＝C是否成立。若成立，则该笔匿名交易包含的金额为v；否则，金额不为v。

Claims

1.一种基于承诺的区块链数字资产隐私保护方法，其特征在于：包括如下内容：

一、发送方A通过区块链向接收方B发送一笔交易时：

步骤一、发送方A通过Pedersen承诺算法对账户资产进行加密；

步骤二、使用SM2签名算法对匿名交易进行签名；

步骤四、接收方B从密文中恢复出金额；

二、监管方C对区块链记录的交易密文进行审计时：

2.根据权利要求1所述的一种基于承诺的区块链数字资产隐私保护方法，其特征在于：步骤一所述发送方A通过Pedersen承诺算法对账户资产进行加密的方法为：假设发送方A账户余额为v，加密时首先选择随机数r，然后利用Pedersen承诺算法计算得到密文C＝Com(v,r)＝v·G+r·H，其中：G和H为初始化过程产生的公共参数，为根据SM2签名算法产生的系统的椭圆曲线E子群的两个生成元。

3.根据权利要求2所述的一种基于承诺的区块链数字资产隐私保护方法，其特征在于：步骤二所述的使用SM2签名算法进行匿名资产交易的方法为：发送方A向接收方B转账v1时，首先利用Pedersen承诺算法将金额v的密文C拆分为密文C1和C2；然后利用私钥sk_A对密文C₁、C₂和B的接收地址pk_B签名，得到σ_A＝Sign(C₁||C₂||pk_B,sk_A)，其中，C₁||C₂||pk_B表示将C₁、C₂和pk_B转化为拼接的字符串；最后，A将C₁、C₂，pk_B和σ_A发送到区块链平台。

4.根据权利要求3所述的一种基于承诺的区块链数字资产隐私保护方法，其特征在于：将金额v的密文C拆分为C1和C2的方法为：

C₁＝Com(v₁,r₁)＝v₁·G+r₁·H，

C₂＝Com(v₂,r₂)＝v₂·G+r₂·H，

其中满足v＝v₁+v₂，r＝r₁+r₂。

5.根据权利要求4所述的一种基于承诺的区块链数字资产隐私保护方法，其特征在于：步骤三所述区块链节点对签名和交易进行验证的方法为：

区块链节点接收到A发送的匿名交易信息后，首先利用A的公钥pk_A验证签名是否有效：计算b＝Verify(σ_A,C₁||C₂||pk_B,pk_A)，判断b是否等于1，若是，则表示签名有效；当签名有效时，继续验证交易是否有效：判断C是否等于C₁+C₂，若是，则v＝v₁+v₂，表明交易有效，否则，交易无效。

6.根据权利要求5所述的一种基于承诺的区块链数字资产隐私保护方法，其特征在于：监管方C通过区块链查验的方法为：首先交易发送方A提交匿名交易对应的随机数r′和金额v′，然后监管方验证交易金额是否正确：计算C′＝Com(v′,r′)＝v′·G+r′·H，然后判断C′是否等于C，若是，则该笔匿名交易包含的金额为v；否则，金额不为v。