CN106296138A - 基于部分盲签名技术的比特币支付系统及其方法 - Google Patents

Abstract

一种基于部分盲签名技术的比特币支付系统及其方法，主要解决了现有技术存在时间延迟和交易的匿名性不够完善的问题。系统包括用户模块、半可信第三方模块、与商家模块。方法步骤为：系统初始化、提交订单、生成支付承诺、执行支付协议、判定支付信息是否存在、商家模块向用户模块提供商品、用户模块确认是否收到商品、计算确认签名、执行问责协议、退出系统。本发明的系统完全兼容原始的比特币系统，不会给原始的比特币系统带来过多的负担，不存在交易确认时间延迟。本发明的方法提高了交易的匿名性，保证了用户的账户隐私和交易信息隐私，具有较低的计算复杂度，能够实现快捷支付。

Description

基于部分盲签名技术的比特币支付系统及其方法

技术领域

本发明属于密码技术领域，更进一步涉及密码货币技术领域中的基于部分盲签名技术的比特币支付系统及其方法。本发明以部分盲签名技术和一次性公钥地址技术为基础，通过引入半可信第三方，从而实现了一种匿名性更好效率更高的比特币系统。

背景技术

比特币以公钥作为账户地址，使得交易具备匿名性，从而更好地保护了用户的隐私。比特币的发行不依赖于任何金融中心，而是由比特币网络节点计算生成。这些特点使得比特币成为最为流行的密码货币之一。比特币系统通过一个公共总账即区块链来记录所有的交易，平均每十分钟能够生成一个新的区块。为了避免“双花”，当前交易所在区块之后至少又生成了六个区块，该交易才能被认为有效。由此看来，比特币系统的确认付款时间至少为一个小时，这带来了交易延迟；除此之外，比特币系统的区块链带来了潜在的隐私泄露问题：由于区块链是公开的，攻击者可以通过分析区块链上交易的拓扑结构来实现去匿名性，随着区块链的增长，公布的交易信息越多，去匿名性就越容易。

Luke Valenta等人在其发表的论文“Blindcoin:Blinded,Accountable Mixesfor Bitcoin”(Financial Cryptography and Data Security,2015:112-126)中公开了一种基于混币中心的比特币混币系统。该系统引入了混币中心，通过用户将比特币转入混币中心的统一账户，再由混币中心将等量的比特币转给用户新的账户这一过程，使得攻击者无法找出用户新旧账户之间的关联，从而实现了不可关联性。在该混币过程中，混币中心利用盲签名技术为用户进行比特币转账，从而达到即便是混币中心也无法区分用户账户的匿名性。即该系统实现了任何人都无法关联用户账户的匿名性，这相对于任何人都有可能关联用户账户的原有的比特币系统而言，拥有更好的匿名性。然而该系统引入的第三方是类似于区块链的公共总账，这使得用户每次与第三方交互都需要若干区块的认证，因此每次混币需要数个小时，该系统存在的不足之处是，每次的时间延迟太久，使得系统效率低下。

NV Saberhagen在其发表的论文“CryptoNote v 2.0”(Bitcoin talk,2013)中公开了一种类比特币的密码货币设计方法。该方法利用了隐身地址技术，每次由付款方生成收款方的账户地址，这使得只有付款方本人以及拥有私钥的收款方知道收款账户地址。利用了环签名技术，使得只有拥有私钥的付款方知晓付款账户地址。从而使得该密码货币相对于比特币达到了更好的匿名性。该方法存在的不足之处是，环签名技术的引入带来了复杂的计算量为原始的比特币系统增加了过多负担。

发明内容

本发明针对上述现有技术存在的不足，提出一种高效并且匿名性更好的基于部分盲签名技术的比特币系统及其方法，可以克服时间延迟的问题并且能更好地保护用户的账户隐私。

为了实现上述目的，本发明的用户比特币支付系统，包括，用户模块、商家模块、半可信第三方模块三大模块；其中：

用户模块，用于生成临时比特币公钥和私钥；计算一次性公钥，将临时公钥和商品信息发送给商家模块；对一次性公钥进行盲化，计算支付信息，将支付信息发送给半可信第三方模块，接收半可信第三方模块发送的支付承诺；计算去盲后的支付承诺并将其发送给半可信第三方模块；确认是否收到商品，若是，则计算确认签名，否则执行问责协议，将交易承诺和临时私钥发送给半可信第三方模块；

商家模块，用于接收用户模块发送的临时公钥和商品信息，计算一次性公钥及其对应的私钥；计算交易承诺并将其发送给用户模块；判断区块链中是否存在半可信第三方模块的支付信息，若是向用户模块提供商品，否则，退出系统；

半可信第三方模块，用于接收商家模块发送的支付信息；计算共识参数，计算支付承诺并将其发送给用户模块；计算用户模块的最新账户余额签名；接收用户模块发送的去盲后的支付承诺，创建比特币交易；若执行问责协议，则验证交易承诺的合法性，对商家模块进行问责。

本发明的比特币支付方法的具体步骤如下：

(1)系统初始化：

(1a)半可信第三方模块调用密钥生成算法，得到公开账户的公钥和私钥；

(1b)半可信第三方模块从当前的部分盲签名算法中任意选取一种，调用与所选算法对应的密钥生成函数，得到签名公钥和私钥；

(1c)半可信第三方模块构造哈希函数H_s(·)：{0,1}^*→F_q；其中，{·}^*表示任意长度的比特串，→表示映射操作，F_q表示比特币系统所用的椭圆曲线的域；

(1d)商家模块调用一次密钥生成算法，得到账户一的公钥和私钥，再调用一次密钥生成算法，得到账户二的公钥和私钥；

(1e)用户模块创建一个以公开账户的公钥作为交易输出的比特币交易；

(1f)按照下式，半可信第三方模块对余额信息进行数字签名：

σ_TTP＝Sig(v_Tsk,v_Upk,m,t₁)

其中，σ_TTP表示余额信息的数字签名，Sig(·)表示椭圆曲线数字签名算法中的签名函数，v_Tsk表示半可信第三方模块的签名私钥，v_Upk表示用户模块在已有的比特币账户中任意选取的一个比特币公钥，m表示比特币余额，t₁表示数字签名的时间戳；

(1g)半可信第三方模块将生成的对余额信息的数字签名发送给用户模块；

(2)提交订单并生成交易承诺：

(2a)用户模块调用密钥生成算法，得到临时公钥和私钥；

(2b)按照下式，用户模块计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(2c)用户模块将临时公钥和商品信息发送给商家模块；

(2d)按照下式，商家模块计算一次性公钥：

P＝H_s(v_aR)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(2e)按照下式，商家模块计算交易承诺：

σ_vender＝Sig(v_b,R,msg)

其中，σ_vender表示交易承诺，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_b表示账户二的私钥，R表示临时公钥，msg表示商品信息；

(2f)按照下式，商家模块计算一次性公钥对应的私钥：

P_s＝H_s(v_aR)+v_b

其中，P_s表示一次性公钥对应的私钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，v_b表示账户二的私钥；

(2g)商家模块将交易承诺发送给用户模块；

(3)生成支付承诺：

(3a)按照下式，用户模块对一次性公钥进行盲化：

P^*＝Blind(P)

其中，P^*表示盲化后的一次性公钥，Blind(·)表示步骤(1b)中所选取的部分盲签名算法中的盲化函数，P表示一次性公钥；

(3b)按照下式，用户模块计算支付信息：

${\mathrm{\σ}}_{User}^{*}=Sig(v_{Usk},{\mathrm{\σ}}_{TTP},P^{*},c)$

其中，表示支付信息，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Usk表示步骤(1f)中用户模块选取的比特币公钥对应的私钥，σ_TTP表示余额信息的数字签名，P^*表示盲化后的一次性公钥，c表示支付的比特币数量；

(3c)用户模块将支付信息和用户模块的比特币公钥发送给半可信第三方模块；

(3d)半可信第三方模块判断收到的信息是否合法，若是，则执行步骤(3e)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(3c)；

(3e)按照下式，半可信第三方模块计算共识参数：

s＝τ(c)

其中，s表示共识参数，τ(·)表示步骤(1b)中所选取的部分盲签名算法中的共识协议生成函数，c表示支付的比特币数量；

(3f)按照下式，半可信第三方模块计算支付承诺：

${\mathrm{\σ}}_{Pay}^{*}=BldSig(sk,s,P^{*})$

其中，表示支付承诺，BldSig(·)表示步骤(1b)中所选取的部分盲签名算法中的签名函数，sk表示半可信第三方模块的签名私钥，s表示共识参数，P^*表示盲化后的一次性公钥；

(3g)按照下式，半可信第三方模块对最新账户余额进行数字签名：

σ'_TTP＝Sig(v_Tsk,v_Upk,m',t′₁)，

其中，σ'_TTP表示最新账户余额的数字签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Tsk表示半可信第三方模块的私钥，m'表示用户模块的最新账户余额，v_Upk表示步骤(1f)中用户模块选取的比特币公钥，t′₁表示数字签名的时间戳；

(3h)半可信第三方模块将支付承诺和最新账户余额的数字签名发送给用户模块；

(4)执行支付协议：

(4a)按照下式，用户模块计算去盲后的支付承诺：

${\mathrm{\σ}}_{Pay}={\mathrm{Blind}}^{-1}\left({\mathrm{\σ}}_{Pay}^{*}\right)$

其中，σ_Pay表示去盲后的支付承诺，Blind^-1(·)表示步骤(1b)中所选取的部分盲签名算法中的去盲函数，表示支付承诺；

(4b)用户模块将去盲后的支付承诺发送给半可信第三方模块；

(4c)判断半可信第三方模块收到的信息是否合法，若是，则执行步骤(4d)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(4b)；

(4d)半可信第三方模块创建一个以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易；

(5)判断区块链中是否存在合法的支付信息，若是，则执行步骤(6)，否则，执行步骤(10)；

(6)商家模块向用户模块提供商品；

(7)用户模块确认是否收到了商品，若是，则执行步骤(8)，否则，执行步骤(9)；

(8)按照下式，计算确认签名后，执行步骤(10)：

σ_Receiver＝Sig(r,msg)

其中，σ_Receiver表示确认签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，r表示步骤(2a)中生成的临时私钥，msg表示商品信息；

(9)执行问责协议：

(9a)用户模块将步骤(2e)中生成的交易承诺和临时私钥发送给半可信第三方模块；

(9b)判断半可信第三方模块收到的交易承诺是否合法，若是，则执行步骤(9c)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(9a)；

(9c)按照下式，计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示步骤(2a)中生成的临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(9d)判断区块链中是否存在合法的支付信息，若是，则执行步骤(9e)，否则，向用户模块发送错误信息error2表示“问责申请失败”后，执行步骤(9a)；

(9e)半可信第三方模块对商家模块进行问责；

(10)退出系统。

本发明与现有技术相比具有以下优点：

第一，由于本发明中的系统中采用半可信第三方，可在交易的认证中不需要等到至少六个认证区块，而是一旦识别交易的输入为半可信第三方的公钥地址，就直接进行交易确认，克服了现有技术中的系统存在的时间延迟的缺陷，使得本发明的系统能够减少数个小时的交易确认时间，实现了快捷支付。

第二，本发明中的方法通过生成临时公钥和私钥，得到了每次交易的一次性公钥地址，避免了由于现有技术中区块链的公开性造成的交易信息泄露的威胁，使得本发明的方法提高了交易的匿名性，保护了用户的交易信息隐私。

第三，本发明中的方法通过调用部分盲签名算法，得到了盲化的公钥地址，避免了现有技术中直接对公钥地址进行支付造成的公钥地址可连接性，使得本发明的方法提高了交易的不可关联性，保护了用户的交易信息隐私，同时由于部分盲签名算法的高效性不会给原始的比特币系统增加过多的计算负担。

附图说明

图1为本发明系统的方框图；

图2为本发明方法的流程图。

具体实施措施

下面结合附图对本发明做进一步的详细描述。

参照附图1，本发明系统比特币支付系统，包括用户模块、商家模块、半可信第三方模块三大模块。其中：

用户模块，用于生成临时比特币公钥和私钥；计算一次性公钥，将临时公钥和商品信息发送给商家模块；对一次性公钥进行盲化，计算支付信息，将支付信息发送给半可信第三方模块，接收半可信第三方模块发送的支付承诺；计算去盲后的支付承诺并将其发送给半可信第三方模块；确认是否收到商品，若是，则计算确认签名，否则执行问责协议，将交易承诺和临时私钥发送给半可信第三方模块。

商家模块，用于接收用户模块发送的临时公钥和商品信息，计算一次性公钥及其对应的私钥；计算交易承诺并将其发送给用户模块；判断区块链中是否存在半可信第三方模块的支付信息，若是向用户模块提供商品，否则，退出系统。

半可信第三方模块，用于接收商家模块发送的支付信息；计算共识参数，计算支付承诺并将其发送给用户模块；计算用户模块的最新账户余额签名；接收用户模块发送的去盲后的支付承诺，创建比特币交易；若执行问责协议，则验证交易承诺的合法性，对商家模块进行问责。

参照附图2，本发明的比特币支付方法的具体步骤如下。

步骤1，系统初始化。

半可信第三方模块调用密钥生成算法，得到公开账户的公钥和私钥，密钥生成算法的公式如下：

M＝mG

其中，M表示公钥，m表示随机选择的私钥，m的取值范围为[1,n-1]，G表示密钥生成算法中椭圆曲线上的基点，n表示基点的阶。

半可信第三方模块从当前的部分盲签名算法中任意选取一种，调用与所选算法对应的密钥生成函数，得到签名公钥和私钥。

半可信第三方模块构造哈希函数H_s(·)：{0,1}^*→F_q；其中，{·}^*表示任意长度的比特串，→表示映射操作，F_q表示比特币系统所用的椭圆曲线的域。

商家模块调用一次密钥生成算法，得到账户一的公钥和私钥，再调用一次密钥生成算法，得到账户二的公钥和私钥。

用户模块创建一个以公开账户的公钥作为交易输出的比特币交易。

按照下式，半可信第三方模块对余额信息进行数字签名：

σ_TTP＝Sig(v_Tsk,v_Upk,m,t₁)

其中，σ_TTP表示余额信息的数字签名，Sig(·)表示椭圆曲线数字签名算法中的签名函数，v_Tsk表示半可信第三方模块的签名私钥，v_Upk表示用户模块在已有的比特币账户中任意选取的一个比特币公钥，m表示比特币余额，t₁表示数字签名的时间戳。

半可信第三方模块将生成的对余额信息的数字签名发送给用户模块。

步骤2，提交订单并生成交易承诺。

用户模块调用密钥生成算法，生成临时比特币公钥和私钥。

密钥生成算法的公式如下：

M＝mG

其中，M表示公钥，m表示随机选择的私钥，m的取值范围为[1,n-1]，G表示密钥生成算法中椭圆曲线上的基点，n表示基点的阶。

按照下式，用户模块计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥。

用户模块将临时公钥和商品信息发送给商家模块。

按照下式，商家模块计算一次性公钥：

P＝H_s(v_aR)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥。

按照下式，商家模块计算交易承诺：

σ_vender＝Sig(v_b,R,msg)

其中，σ_vender表示交易承诺，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_b表示账户二的私钥，R表示临时公钥，msg表示商品信息。

按照下式，商家模块计算一次性公钥对应的私钥：

P_s＝H_s(v_aR)+v_b

其中，P_s表示一次性公钥对应的私钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，v_b表示账户二的私钥。

商家模块将交易承诺发送给用户模块。

步骤3，生成支付承诺。

(3a)按照下式，用户模块对一次性公钥进行盲化：

P^*＝Blind(P)

其中，P^*表示盲化后的一次性公钥，Blind(·)表示所选取的部分盲签名算法中的盲化函数，P表示一次性公钥。

(3b)按照下式，用户模块计算支付信息：

${\mathrm{\σ}}_{User}^{*}=Sig(v_{Usk},{\mathrm{\σ}}_{TTP},P^{*},c)$

其中，表示支付信息，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Usk表示用户模块选取的比特币公钥对应的私钥，σ_TTP表示余额信息的数字签名，P^*表示盲化后的一次性公钥，c表示支付的比特币数量。

(3c)用户模块将支付信息和用户模块的比特币公钥发送给半可信第三方模块。

(3d)半可信第三方模块判断收到的信息是否合法，若是，则执行步骤(3e)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(3c)。

半可信第三方收到的信息的合法是指，同时满足以下三个条件的情形：

条件1，Verify(v_Tpk,σ_TTP)＝1；

条件2，

条件3，该支付信息是第一次被使用；

其中，Verify(·)表示椭圆曲线数字签名算法的验证函数，v_Tpk表示半可信第三方模块的签名公钥，σ_TTP表示对余额信息的数字签名，表示步骤(3b)中计算得到的支付信息。

(3e)按照下式，半可信第三方模块计算共识参数：

s＝τ(c)

其中，s表示共识参数，τ(·)表示部分盲签名算法中的共识协议生成函数，c表示支付的比特币数量。

(3f)按照下式，半可信第三方模块计算支付承诺：

${\mathrm{\σ}}_{Pay}^{*}=BldSig(sk,s,P^{*})$

其中，表示支付承诺，BldSig(·)表示所选取的部分盲签名算法中的签名函数，sk表示半可信第三方模块的签名私钥，s表示共识参数，P^*表示盲化后的一次性公钥。

(3g)按照下式，半可信第三方模块对最新账户余额进行数字签名：

σ'_TTP＝Sig(v_Tsk,v_Upk,m',t′₁)，

其中，σ'_TTP表示最新账户余额的数字签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Tsk表示半可信第三方模块的私钥，m'表示用户模块的最新账户余额，v_Upk表示用户模块选取的比特币公钥，t₁'表示数字签名的时间戳。

(3h)半可信第三方模块将支付承诺和最新账户余额的数字签名发送给用户模块。

步骤4，执行支付协议。

(4a)按照下式，用户模块计算去盲后的支付承诺：

${\mathrm{\σ}}_{Pay}={\mathrm{Blind}}^{-1}\left({\mathrm{\σ}}_{Pay}^{*}\right)$

其中，σ_Pay表示去盲后的支付承诺，Blind^-1(·)表示选取的部分盲签名算法中的去盲函数，表示支付承诺。

(4b)用户模块将去盲后的支付承诺发送给半可信第三方模块。

(4c)判断半可信第三方模块收到的信息是否合法，若是，则执行步骤(4d)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(4b)。

半可信第三方收到的信息的合法是指，同时满足以下两个条件的情形：

条件1，去盲后的支付承诺未被使用过；

条件2，BldVer(pk,σ_Pay)＝1；

其中，BldVer(·)表示所选取的部分盲签名算法中的验证函数，pk表示半可信第三方的签名公钥，σ_pay表示去盲后的支付承诺。

(4d)半可信第三方模块创建一个以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易。

步骤5，判断区块链中是否存在合法的支付信息，若是，则执行步骤6，否则，执行步骤10。

区块链中存在合法的支付信息是指，区块链中存在以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易。

步骤6，商家模块向用户模块提供商品。

步骤7，用户模块确认是否收到了商品，若是，则执行步骤8，否则，执行步骤9。

步骤8，按照下式，计算确认签名后，执行步骤10：

σ_Receiver＝Sig(r,msg)

其中，σ_Receiver表示确认签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，r表示临时私钥，msg表示商品信息。

步骤9，执行问责协议。

(9a)用户模块将生成的交易承诺和临时私钥发送给半可信第三方模块。

(9b)判断半可信第三方模块收到的交易承诺是否合法，若是，则执行步骤(9c)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(9a)。

条件1，Verify(v_pkb,σ_vender)＝1；

条件2，R＝rG；

其中，Verify(·)表示椭圆曲线数字签名算法的验证函数，v_pkb表示账户二的公钥，σ_vender表示交易承诺，R表示临时公钥，r表示临时私钥，G表示密钥生成算法中椭圆曲线上的基点。

(9c)按照下式，计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥。

(9d)判断区块链中是否存在合法的支付信息，若是，则执行步骤(9e)，否则，向用户模块发送错误信息error2表示“问责申请失败”后，执行步骤(9a)。

区块链中存在合法的支付信息是指，区块链中存在以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易。

(9e)半可信第三方模块对商家模块进行问责。

步骤10，退出系统。

Claims (7)

1.一种基于部分盲签名技术的比特币支付系统，包括用户模块、商家模块、半可信第三方模块三大模块；其中：

所述用户模块，用于生成临时比特币公钥和私钥；计算一次性公钥，将临时公钥和商品信息发送给商家模块；对一次性公钥进行盲化，计算支付信息，将支付信息发送给半可信第三方模块，接收半可信第三方模块发送的支付承诺；计算去盲后的支付承诺并将其发送给半可信第三方模块；确认是否收到商品，若是，则计算确认签名，否则执行问责协议，将交易承诺和临时私钥发送给半可信第三方模块；

所述商家模块，用于接收用户模块发送的临时公钥和商品信息，计算一次性公钥及其对应的私钥；计算交易承诺并将其发送给用户模块；判断区块链中是否存在半可信第三方模块的支付信息，若是向用户模块提供商品，否则，退出系统；

所述半可信第三方模块，用于接收商家模块发送的支付信息；计算共识参数，计算支付承诺并将其发送给用户模块；计算用户模块的最新账户余额签名；接收用户模块发送的去盲后的支付承诺，创建比特币交易；若执行问责协议，则验证交易承诺的合法性，对商家模块进行问责。

2.一种基于部分盲签名技术的比特币支付方法，具体步骤如下：

(1)系统初始化：

(1a)半可信第三方模块调用密钥生成算法，得到公开账户的公钥和私钥；

(1b)半可信第三方模块从当前的部分盲签名算法中任意选取一种，调用与所选算法对应的密钥生成函数，得到签名公钥和私钥；

(1c)半可信第三方模块构造哈希函数H_s(·)：{0,1}^*→F_q；其中，{·}^*表示任意长度的比特串，→表示映射操作，F_q表示比特币系统所用的椭圆曲线的域；

(1d)商家模块调用一次密钥生成算法，得到账户一的公钥和私钥，再调用一次密钥生成算法，得到账户二的公钥和私钥；

(1e)用户模块创建一个以公开账户的公钥作为交易输出的比特币交易；

(1f)按照下式，半可信第三方模块对余额信息进行数字签名：

σ_TTP＝Sig(v_Tsk,v_Upk,m,t₁)

其中，σ_TTP表示余额信息的数字签名，Sig(·)表示椭圆曲线数字签名算法中的签名函数，v_Tsk表示半可信第三方模块的签名私钥，v_Upk表示用户模块在已有的比特币账户中任意选取的一个比特币公钥，m表示比特币余额，t₁表示数字签名的时间戳；

(1g)半可信第三方模块将生成的对余额信息的数字签名发送给用户模块；

(2)提交订单并生成交易承诺：

(2a)用户模块调用密钥生成算法，得到临时公钥和私钥；

(2b)按照下式，用户模块计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(2c)用户模块将临时公钥和商品信息发送给商家模块；

(2d)按照下式，商家模块计算一次性公钥：

P＝H_s(v_aR)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(2e)按照下式，商家模块计算交易承诺：

σ_vender＝Sig(v_b,R,msg)

其中，σ_vender表示交易承诺，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_b表示账户二的私钥，R表示临时公钥，msg表示商品信息；

(2f)按照下式，商家模块计算一次性公钥对应的私钥：

P_s＝H_s(v_aR)+v_b

其中，P_s表示一次性公钥对应的私钥，H_s(·)表示哈希函数，v_a表示账户一的私钥，R表示临时公钥，v_b表示账户二的私钥；

(2g)商家模块将交易承诺发送给用户模块；

(3)生成支付承诺：

(3a)按照下式，用户模块对一次性公钥进行盲化：

P^*＝Blind(P)

其中，P^*表示盲化后的一次性公钥，Blind(·)表示步骤(1b)中所选取的部分盲签名算法中的盲化函数，P表示一次性公钥；

(3b)按照下式，用户模块计算支付信息：

${\mathrm{\σ}}_{User}^{*}=Sig(v_{Usk},{\mathrm{\σ}}_{TTP},P^{*},c)$

其中，表示支付信息，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Usk表示步骤(1f)中用户模块选取的比特币公钥对应的私钥，σ_TTP表示余额信息的数字签名，P^*表示盲化后的一次性公钥，c表示支付的比特币数量；

(3c)用户模块将支付信息和用户模块的比特币公钥发送给半可信第三方模块；

(3d)半可信第三方模块判断收到的信息是否合法，若是，则执行步骤(3e)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(3c)；

(3e)按照下式，半可信第三方模块计算共识参数：

s＝τ(c)

其中，s表示共识参数，τ(·)表示步骤(1b)中所选取的部分盲签名算法中的共识协议生成函数，c表示支付的比特币数量；

(3f)按照下式，半可信第三方模块计算支付承诺：

${\mathrm{\σ}}_{Pay}^{*}=BldSig(sk,s,P^{*})$

其中，表示支付承诺，BldSig(·)表示步骤(1b)中所选取的部分盲签名算法中的签名函数，sk表示半可信第三方模块的签名私钥，s表示共识参数，P^*表示盲化后的一次性公钥；

(3g)按照下式，半可信第三方模块对最新账户余额进行数字签名：

σ'_TTP＝Sig(v_Tsk,v_Upk,m',t'₁)，

其中，σ'_TTP表示最新账户余额的数字签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，v_Tsk表示半可信第三方模块的私钥，m'表示用户模块的最新账户余额，v_Upk表示步骤(1f)中用户模块选取的比特币公钥，t'₁表示数字签名的时间戳；

(3h)半可信第三方模块将支付承诺和最新账户余额的数字签名发送给用户模块；

(4)执行支付协议：

(4a)按照下式，用户模块计算去盲后的支付承诺：

${\mathrm{\σ}}_{Pay}={\mathrm{Blind}}^{-1}\left({\mathrm{\σ}}_{Pay}^{*}\right)$

其中，σ_Pay表示去盲后的支付承诺，Blind^-1(·)表示步骤(1b)中所选取的部分盲签名算法中的去盲函数，表示支付承诺；

(4b)用户模块将去盲后的支付承诺发送给半可信第三方模块；

(4c)判断半可信第三方模块收到的信息是否合法，若是，则执行步骤(4d)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(4b)；

(4d)半可信第三方模块创建一个以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易；

(5)判断区块链中是否存在合法的支付信息，若是，则执行步骤(6)，否则，执行步骤(10)；

(6)商家模块向用户模块提供商品；

(7)用户模块确认是否收到了商品，若是，则执行步骤(8)，否则，执行步骤(9)；

(8)按照下式，计算确认签名后，执行步骤(10)：

σ_Receiver＝Sig(r,msg)

其中，σ_Receiver表示确认签名，Sig(·)表示椭圆曲线数字签名算法的签名函数，r表示步骤(2a)中生成的临时私钥，msg表示商品信息；

(9)执行问责协议：

(9a)用户模块将步骤(2e)中生成的交易承诺和临时私钥发送给半可信第三方模块；

(9b)判断半可信第三方模块收到的交易承诺是否合法，若是，则执行步骤(9c)，否则，向用户模块发送错误信息error1表示“验证失败”后，执行步骤(9a)；

(9c)按照下式，计算一次性公钥：

P＝H_s(rv_pka)G+v_pkb

其中，P表示一次性公钥，H_s(·)表示哈希函数，r表示步骤(2a)中生成的临时私钥，v_pka表示账户一的公钥，G表示密钥生成算法中椭圆曲线上的基点，v_pkb表示账户二的公钥；

(9d)判断区块链中是否存在合法的支付信息，若是，则执行步骤(9e)，否则，向用户模块发送错误信息error2表示“问责申请失败”后，执行步骤(9a)；

(9e)半可信第三方模块对商家模块进行问责；

(10)退出系统。

3.根据权利要求2所述的基于部分盲签名技术的比特币支付方法，其特征在于，步骤(1a)、步骤(1d)、步骤(2a)所述的密钥生成算法的公式如下：

M＝mG

其中，M表示公钥，m表示随机选择的私钥，m的取值范围为[1,n-1]，n表示基点的阶，G表示密钥生成算法中椭圆曲线上的基点。

4.根据权利要求2所述的基于部分盲签名技术的比特币支付方法，其特征在于，步骤(3d)中所述的半可信第三方模块收到的信息的合法是指，同时满足以下三个条件的情形：

条件1，Verify(v_Tpk,σ_TTP)＝1；

条件2，

条件3，该支付信息是第一次被使用；

其中，Verify(·)表示椭圆曲线数字签名算法的验证函数，v_Tpk表示半可信第三方模块的签名公钥，σ_TTP表示对余额信息的数字签名，表示步骤(3b)中计算得到的支付信息。

5.根据权利要求2所述的基于部分盲签名技术的比特币支付方法，其特征在于，步骤(4c)中所述的半可信第三方模块收到的信息的合法是指，同时满足以下两个条件的情形：

条件1，去盲后的支付承诺未被使用过；

条件2，BldVer(pk,σ_Pay)＝1；

其中，BldVer(·)表示步骤(1b)中所选取的部分盲签名算法中的验证函数，pk表示半可信第三方的签名公钥，σ_pay表示去盲后的支付承诺。

6.根据权利要求2所述的基于部分盲签名技术的比特币支付方法，其特征在于，步骤(9b)中所述的半可信第三方模块接收的交易承诺的合法是指，同时满足以下两个条件的情形：

条件1，Verify(v_pkb,σ_vender)＝1；

条件2，R＝rG；

其中，Verify(·)表示椭圆曲线数字签名算法的验证函数，v_pkb表示账户二的公钥，σ_vender表示步骤(2e)中计算得到的交易承诺，R表示临时公钥，r表示临时私钥，G表示密钥生成算法中椭圆曲线上的基点。

7.根据权利要求2所述的基于部分盲签名技术的比特币支付方法，其特征在于，步骤(5)、步骤(9d)所述的区块链中存在合法的支付信息是指，区块链中存在以公开账户的公钥作为交易的输入，以一次性公钥作为交易的输出的比特币交易。