CN108171511A

CN108171511A - 一种具有隐私保护功能的区块链模型

Info

Publication number: CN108171511A
Application number: CN201711437230.4A
Authority: CN
Inventors: 陈晶; 杜瑞颖; 何琨
Original assignee: Individual
Current assignee: Guangzhou Jingsheng Digital Technology Co ltd
Priority date: 2017-12-26
Filing date: 2017-12-26
Publication date: 2018-06-15
Anticipated expiration: 2037-12-26
Also published as: CN108171511B

Abstract

本发明公开了一种具有隐私保护功能的区块链模型，由最小信任度管理员、私人部分、公共部分组成；最小信任度管理员用于协助交易的进行；私人部分用于定义参与交易的各方的输入信息以及对这些信息的发送和接收，定义交易过程中的相关计算以及交易过程中相关数据的验证；公共部分用于保证交易的公平进行；在加密货币基础上，采用分布式匿名机制、零知识证明、超时惩罚和封装方法，构建区块链。这种具有隐私保护功能的货币的生成、使用以及转换成基础货币都依靠zk‑SNARK实现对相关密文形式的数据进行验证，这样用户可以保证在不泄露用户信息的情况下实现数据的验证。

Description

一种具有隐私保护功能的区块链模型

技术领域

本发明属于计算机信息安全技术领域，涉及一种具有隐私保护功能的区块链模型，具体涉及隐私保护功能的实现以及区块验证的问题。

背景技术

随着互联网技术的发展，信息的去中心化已经得到普及，于是人们便将目光投向了价值的去中心化，所谓价值的去中心化，是指在价值流通(主要是金融交易)的过程中，交易双方直接进行价值的交换，而不需要第三方的介入，这样就可以免去由于引入第三方而带来的昂贵的法律费用和交易成本。而区块链技术的出现则为实现价值的去中心化提供了可能。

区块链是由区块链网络中所有节点共同参与维持一个去中心化的分布式数据库系统，它是由一系列基于密码学方法产生的数据块组成，每个数据块被称作一个区块，这些区块按照产生的先后被有序地链接在一条链上，这个链就是区块链。区块链技术解决了价值的去中心中两个重要的问题，即双重支付问题和拜占庭将军问题。双重支付问题是指利用货币的数字特性两次或多次使用同一笔钱完成交易，在传统的金融交易中，由于有可信的第三方中心机构来保证，可以很好地避免这个问题，区块链技术通过分布式节点的验证和共识机制解决了去中心化系统中的双重支付问题。拜占庭将军问题是指在缺少可信任的中心节点的情况下，分布式节点如何达成共识和建立互信。区块链通过分布式共识算法和数字加密技术实现了在无需信任单个节点的情况下构建一个去中心化的可信系统。区块链技术的核心优势就是去中心化，能够运用数据加密、时间戳、分布式共识和经济激励等手段，在节点无需相互信任的分布式系统中实现可信的点对点交易，从而实现价值的去中心化。

如今，基于区块链的应用大多依靠区块链来保证安全性和可行性，但是由于区块链本身的验证机制和共识机制，很多信息不得不以明文的形式暴露在区块链上，这与用户对于信息隐私保护的希望相违背，同时也为攻击者窃取用户信息，攻击用户提供了可能。尽管有些应用提供了假名机制来为用户提供隐私性的保护，但是研究已经证明，攻击者能够通过暴露在区块链上的信息追踪到用户的真实身份。除了假名机制外，有些应用还通过提供一种混淆机制来增加假名的不可区分性，这种混淆机制依靠一个可信的第三方来实现，这个可信的第三方被称作“混淆者”。这个“混淆者”每隔一段时间会对这段时间内出现在区块链网络中的大量交易记录的打乱重排以实现假名的不可区分性，从而保证用户在很长一段时间后从矿池中收取的货币不会被其他人追踪到。但是这个混淆机制是针对一个区块中交易记录打乱重排，有研究已经证明，攻击者可以通过对交易图谱的分析来还原出原有的交易记录排序从而实现对用户真实身份的追踪，而且这种混淆机制还有很多方面的缺陷：(1)从货币存入账户到确认货币不会被其他人追踪到的这个时间间隔必须足够长以保证交易历史被充分地混淆；(2)“混淆者”仍然可以追踪到用户的货币或者将自己知道的信息透露给攻击者；(3)“混淆者”有可能私吞货币。

发明内容

为了解决上述的技术问题，本发明提出了一种建立在现有的加密货币(基础货币)的基础之上通过分布式匿名机制来保证用户隐私并采用零知识证明进行数据校验的区块链模型。

本发明所采用的技术方案是：一种具有隐私保护功能的区块链模型，其特征在于：由最小信任度管理员、私人部分、公共部分组成；

所述最小信任度管理员用于协助交易的进行；所述私人部分用于定义参与交易的各方的输入信息以及对这些信息的发送和接收，定义交易过程中的相关计算以及交易过程中相关数据的验证；所述公共部分用于保证交易的公平进行；

在加密货币基础上，采用分布式匿名机制、零知识证明、超时惩罚和封装方法，构建区块链。

本发明的有益效果为：可以为用户提供隐私性的保护，在之前的基于区块链的加密货币中，尽管提供假名机制为用户提供隐私性保护，但是有研究已经证明可以通过分析用户的交易图谱(这一部分包含交易量和交易时间等信息且全网可见)逆向解码出用户的真实身份，而本发明采用了一种全新的加密机制可以有效地抵抗这种攻击方式从而为用户提供隐私性的保护。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

本发明提供的一种建立在现有的加密货币(基础货币)的基础之上通过分布式匿名机制来保证用户隐私并采用零知识证明进行数据校验的区块链模型，这个模型分为三个部分——最小信任度管理员、私人部分、公共部分，其核心为分布式匿名机制。

最小信任度管理员用来协助交易的进行。在每次交易中，所有参与交易的用户把自己参与此次交易要使用的货币都冻结到这个交易程序中，由这个最小信任度管理员进行相关计算来决定这些货币该如何重新分配，当然，分配前后货币的总价值量保持一致。这个最小信任度管理员能够看到所有交易参与者的输入，并且不会泄露这些用户的输入数据。这个最小信任度管理员由区块链网络中的其他节点担任，这些节点采用类似工作量证明的方法来“竞争上岗”，最后担任最小信任度管理员的节点要支付一定的保证金，若在交易进行过程中由于该最小信任度管理员的问题使交易提前终止，这个保证金不予退还，若是交易圆满完成，该最小信任度管理员不仅可以拿回他的保证金，同时还会得到一定的奖励。也就是说，对于每次交易的进行，都会产生一个最小信任度管理员，而这个最小信任度管理员不等同于一个可信的第三方，因为他可能与某个交易参与者合谋进行资产盗窃，或者是提前终止交易，所以为了保证交易的公平性，要对这个最小信任度管理员收取一定的保证金之后才能确认他不会妨害交易的进行，尽管如此，这个最小信任度管理员也不需要提供或者维持交易的安全性和隐私性，他只是一个推进交易进行的“催化剂”。

私人部分用来定义参与交易的各方的输入信息以及对这些信息的发送和接收，以及交易过程中的相关计算以及交易过程中相关数据的验证。这一部分主要涉及三种操作——冻结操作(freeze)，计算操作(compute)，结束操作(finalize)，这三种操作都是针对用户的私人账本中的货币。冻结操作允许用户像提交数据那样提交自己所拥有的货币，当交易开始时，参与此次交易的用户调用冻结操作提交货币，提交的货币从用户的私人账户中扣除并被冻结到交易程序中。计算操作赋予最小信任度管理员查看相关数据及进行计算的权利，当某个用户调用计算操作后，这个用户的输入数据和提交的货币量就会对这个最小信任度管理员公开，这个最小信任度管理员就可以根据这些数据进行交易中的计算从而得出这些货币应该如何重新分配。结束操作允许最小信任度管理员向区块链网络中的其他节点提交自己的计算结果，最小信任度管理员完成计算后调用结束操作向区块链提交计算结果，经过验证之后，根据计算结果对冻结货币进行重新分配，将其重新存入各个用户的私人账户中。

公共部分用于保证交易的公平进行。假设交易的每个参与者都是自私的，他们会尽可能地去为自己谋求最大利益，有时甚至会进行一些“违法”的操作，如提前终止交易进行以免除付款操作等。为此，必须要有相应的措施对这些非法操作进行制裁。本实施例通过对“违法”用户进行经济制裁，剥夺其部分资产，将其分配给其他参与交易的诚实用户。在这个模型中，还有一个最小信任度管理员，本实施例通过让其缴纳保证金的形式“参与”到此次交易中，并在其做出“违法”行为时没收其保证金分配给其他诚实的交易参与者。

分布式匿名机制，包括新型的货币表示方式、货币所属者的地址表示方法、两种新的交易形式以及一种零知识证明；其不同于现有的区块链技术依靠一个可信方通过对交易记录的打乱重排来实现匿名，所谓分布式匿名就是每个用户自己为自己提供匿名保护。这种机制是建立在基础货币(如比特币)的基础上的一种隐私保护机制。由于执行这种机制的时空开销相对于基础货币来说较大，所以日常交易还是要通过基础货币来进行，但一些涉及隐私的操作就要先采用分布式匿名机制以保证隐私，再通过其他方法将货币转换成基础货币。该机制中涉及如下数据结构和算法：

1.数据结构；

公共账本(public ledger)。用L表示。区块链维持一个公共账本，记录了当前时间下全网发生的所有交易的信息，这些信息包括交易类型、参与交易的用户的地址、交易中涉及到的钱币的序列号以及记录值。对于给定时间T，所有用户都可以获取到发生在时间T之前的交易记录L_T。这个公共账本只能添加，即对于T’>T，则有L_T是L_T’的子集。

私人账本。记为coins。每个用户维持一个私人账本用来记录通过分布式匿名机制生成的具有隐私保护功能的货币。

公共参数(public parameters)。记为pp。包括用来进行零知识证明的密钥对(pk_POUR,vk_POUR)以及用来进行数字签名的密钥对(pp_enc,pp_sig)。所有用户均可访问。

地址(address)。每个用户至少生成一对地址密钥对(addr_pk，addr_sk)，其中addr_pk:＝(a_pk,pk_enc)，它是公开的，其他用户可以使用这个密钥向它的所有者进行直接的支付；addr_sk:＝(a_sk,sk_enc)由用户自己保存，它允许它的所有者接收发送到addr_pk上的资金。另外，用户可以生成任意的地址密钥对；其中a_pk和a_sk是用来对用户假名进行保护的一对密钥对，pk_enc和sk_enc是用来完成零知识证明的一对密钥对。

钱币(coins)，记为c:＝(cm(c),v(c),p(c),addr_pk(c),other)。这是一个结构体，用来表示通过DAT生成的具有隐私保护功能的钱币，其中包含了如下一些数据：钱币在公共账本L中对应的记录值cm；钱币的价值量v；钱币的所属者的假名(用来生成钱币的序列号sn)；钱币所属者地址的公钥addr_pk；other表示一些陷门参数。每个用户所有的c的集合构成了用户的私人账本coins。

两种新的交易形式：(1)“挖掘”交易(mint)，记为tx_mint:＝(cm,v,*)。这也是一个结构体类型的数据，包含如下数据：交易所涉及的钱币在公共账本中的记录值cm；钱币的价值量v。除此之外还有一个可选项*，用来备注其他执行依赖信息，比如一些数据或者是陷门参数等；(2)“倾倒”交易(pour)，记为tx_pour:＝(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₁ ^new,v_pub,info,*)。同样的，它也是一个结构体，包括如下数据：rt是货币记录值表(CMList)构成的Merkle树的根节点在交易开始之前的值；sn₁ ^old,sn₂ ^old是两种原始货币的序列号；cm₁ ^new,cm₁ ^new是生成的两种货币在公共账本中的记录值；v_pub表示要转换成基础货币的价值；info是任意的字符串，用来指示一些信息，一般用来表示v_pub的目标；*表示其他一些执行依赖信息，如数字签名、零知识证明信息等。

两种记录信息。对于给定的时间T，可以获取到如下两种记录信息：(1)CMList_T表示在时间T时，公共账本中所有的与“挖掘”交易和“倾倒”交易有关的钱币的记录值cm。也就是说，货币记录值表是通过“挖掘”交易和“倾倒”交易生成的钱币的记录值的集合；(2)货币序列号表(SNList_T)表示在时间T时，L_T中所有出现在“倾倒”交易中的钱币的序列号sn。也就是说，货币序列号表是通过“倾倒”交易花费的钱币的序列号的集合。

2.算法；

初始化(Setup)。Setup用来生成一系列公共参数以实现一次交易中某些参数的初始化。输入包括一个安全参数λ；输出包括一系列公共参数pp。在分布式匿名机制启动时，一个可信方执行Setup算法用来生成一系列可以被所用用户访问的公共参数。这个操作只在分布式匿名机制启动时被执行一次，之后不再执行。

创建交易地址。CreatAddress用来生成一对密钥对，用来代表一个地址。输入包括公共参数pp；输出包括表示地址的密钥对(addr_pk，addr_sk)。每个用户至少可以生成一个地址对用来完成支付和收款。addr_pk:＝(a_pk,pk_enc)是公开的，其他用户可以使用它来完成对改地址所属用户的支付，addr_sk:＝(a_sk,sk_enc)是保密的，由用户自己保存，用来接收其他用户支付到addr_pk的货款。另外，这个地址对可以是任意的，不需要同其他用户进行协商。

发掘新钱币(Mint)。用户通过“挖矿”发现一个新的货币(coin)后，调用“挖掘”交易生成这个货币并产生一个“挖掘”交易记录。输入包括公共参数pp、货币的价值量v∈{0,1,2,…,v_max}、coin所属用户的公钥addr_pk；输出包括价值为v的钱币c:＝(cm(c),v(c),p(c),addr_pk(c),other)和一条“挖掘”交易记录tx_mint:＝(cm(c),v(c),*)。当用户发现一个新的钱币时，不是直接生成基础货币，而是先生成一种能够保证用户匿名性的货币，在通过验证之后将其存放在用户的私人账本中，然后在适当的时候在转换成基础货币。v_max表示系统设定的一个钱币允许的最大价值。

消费钱币(Pour)。“倾倒”交易将输入钱币转换成新的输出钱币，输入钱币就可以作为开销。同时“倾倒”交易操作可以实现钱币的合并、拆分以及转换成基础货币。输入包括公共参数pp、基于货币记录值表的Merkle树的根节点值rt、原始钱币c₁ ^old,c₂ ^old、原始钱币所属用户的地址的私钥addr_sk,1 ^old,addr_sk,2 ^old、从cm(c₁ ^old)和cm(c₂ ^old)到根节点的路径P1，P2、新的钱币的价值量v₁ ^new，v₂ ^new、新钱币所属的地址的公钥addr_pk,1 ^new，addr_pk,2 ^new、要转换成基础货币的值v_pub、交易备注信息info(可选)；

输出包括新的钱币c₁ ^new,c₂ ^new；pour交易记录tx_pour。Pour算法将两个不同的钱币c₁ ^old,c₂ ^old作为输入，并输入一个基于货币记录值表的Merkle树的根节点来验证这两个值的正确性和可用性，同时为了提高验证效率，输入c₁ ^old和c₂ ^old到根节点的可信路径P1，P2。v₁ ^new和v₂ ^new用来指定输出钱币的价值量，v_pub表示要转换成基础货币的价值，也就是说v₁ ^new+v₂ ^new+v_pub＝v₁ ^old+v₂ ^old，而addr_pk,1 ^new，addr_pk,2 ^new分别表示接收这两个钱币的地址，info用来指定v_pub的目标。通过对这些变量赋予一些特殊值(如0)可以实现货币的组合，拆分，转移等。

交易验证。VerityTransaction用来验证交易的有效性。输入包括公共参数pp、一个“挖掘”或“倾倒”交易记录tx、当前的公共账本L；输出包括一个比特信息，为1表示验证结果为有效，否则验证结果为无效。“挖掘”交易或“倾倒”交易必须在被记录之前进行验证，确认这个交易过程是正确的。验证操作可以被区块链网络中的所有节点执行。

收款。Receive允许用户扫描公共账本，接收与自己私钥相匹配的钱币。输入包括调用者的地址密钥对(addr_pk，addr_sk)、当前时间下的公共账本L；输出包括可接收钱币的集合。Receive操作只用来接收那些通过“倾倒”交易的方式发送到用户addr_pk上的钱币，而对于用户自己通过Mint方式生成的钱币则不予理会。当一个地址为(addr_pk，addr_sk)的用户想接收支付到该地址的货款时，调用Receive遍历L中的“倾倒”交易，输出那些地址为addr_pk并且还没有被使用的钱币，换句话说，就是扫描L中的“倾倒”交易，记录其中出现钱币的记录值并筛选出序列号没有出现在L中的钱币予以输出。

以下是本实施例的算法具体流程：

Freeze：

交易的参与者u想要使用c∈coins进行交易，设u的地址为(addr_pk ^u,addr_sk ^u)，最小信任度的管理员的地址为(addr_pk ^M,addr_sk ^M)，具体操作如下：

(1)SetC:＝E_enc(pk_enc ^M,(v,p,r,s))

(2)生成(pk_sig,sk_sig):＝K_sig(pp_sig)

(3)h_sig:＝HASH(pk_sig)

(4)h:＝PRF_sk(u)(h_sig)

(5)Setx:＝(rt，sn^u,h_sig,h)

(6)Set a:＝(path,c,addr_sk ^u)

(7)π:＝Prove(pk_POUR,x,a)

(8)Set m:＝(x,π,C)

(9)ρ:＝S_sig(sk_sig,m)

(10)发送(x,π,m,ρ,pk_sig)给最小信任度的管理员M

(11)对c进行冻结

参与交易的所有用户共同维持一个交易池，每个用户使用pour操作将钱转移到这个交易池中。每个交易池对用户提交coin的sn进行记录。

Compute：

最小信任度的管理员M维持一个字典(key,value)，其中key:＝addr_pk ^u，value表示用户u提交的钱币的价值量。M收到u发来的消息后首先进行校验：

(1)如果rt在公共账本L中没有记录，在字典中加入(addr_pk ^u,0)

(2)M检查交易池，如果交易池中找不到匹配的sn，在字典中加入(addr_pk ^u,0)

(3)计算h_sig:＝HASH(pk_sig)

(4)计算b:＝V_sig(pk_sig,m,ρ)

(5)计算b’:＝Verify(vk_POUR,x,π)

(6)如果b&b’＝＝1，则在字典中加入(addr_pk ^u,v)；否则加入(addr_pk ^u,0)

然后M安装合约中约定好的方法计算，对价值进行重新分配，并更新字典。

Finalize：

M将计算结果的零知识证明发送给区块链让全网节点进行验证，验证成功后M按照计算结果使用pour操作对交易池中的货币进行重新分配。

Setup

·INPUT:安全参数λ

·OUTPUT:公共参数pp

1)在安全参数λ的参与下为POUR构建C_POUR

2)(pk_POUR,vk_POUR):＝KeyGen(1^λ,C_POUR)

3)pp_enc:＝G_enc(1^λ)

4)pp_sig:＝G_sig(1^λ)

5)pp:＝(pk_POUR,vk_POUR,pp_enc,pp_sig)

6)输出pp

CreatAddress

·INPUT:公共参数pp

·OUTPUT:地址密钥对(addr_pk，addr_sk)

1)(pk_enc,sk_enc):＝K_enc(pp_enc)

2)随机采样一个PRF的种子a_sk

3)a_pk:＝PRF_ask(0)

4)addr_pk:＝(a_pk,pk_enc)

5)addr_sk:＝(a_sk,sk_enc)

6)输出(addr_pk，addr_sk)

Mint

·INPUT:

-公共参数pp

-coin的价值量v∈{0,1,2,…,v_max}

-coin所属用户的公钥addr_pk

·OUTPUT:价值为v的钱币c和一条mint记录tx_mint

1)解析addr_pk，还原出(a_pk,pk_enc)

2)随机采样一个PRF种子p作为假名

3)随机选取两个COMM陷门r，s

4)k:＝COMM_r(a_pk||p)

5)cm:＝COMM_s(v||k)

6)Set c:＝(cm,p,v,addr_pk,r,s)

7)Set tx_mint:＝(cm,v,*)，其中*:＝(k,s)

8)输出c和tx_mint

Pour

·INPUT:

-公共数据pp

-基于CMList的Merkle树的根节点值rt

-原始钱币c₁ ^old,c₂ ^old

-原始钱币所属用户的地址的私钥addr_sk,1 ^old,addr_sk,2 ^old

-从cm(c₁ ^old)和cm(c₂ ^old)到根节点的路径Path1，Path2

-新的钱币的价值量v₁ ^new，v₂ ^new

-新钱币所属的地址的公钥addr_pk,1 ^new，addr_pk,2 ^new

-交易备注信息info(可选)

·OUTPUT:新的钱币c₁ ^new,c₂ ^new和一条pour记录tx_pour

1)for i in{1,2}

a)解析c_i ^old，还原出(addr_pk,i ^old,v_i ^old,p_i ^old,r_i ^old,s_i ^old,cm_i ^old)

b)解析addr_sk,i ^old，还原出(a_sk,i ^old,sk_enc_,i ^old)

c)sn_i ^old:＝PRFa_sk,I(p_i ^old)

d)解析addr_pk,i ^old，还原出(a_pk,i ^old,pk_enc,i ^old)

e)随机选取一个PRF种子p_i ^new

f)随机选取两个COMM陷门r_i ^new,s_i ^new

g)k_i ^new:＝COMM_r(addr_pk,i ^new||p_i ^new)，r:＝r_i ^new

h)cm_i ^new:＝COMM_s(v_i ^new||k_i ^new)，s:＝s_i ^new

i)Set c_i ^new:＝(cm_i ^new,p_i ^new,v_i ^new,addr_pk,i ^new,r_i ^new,s_i ^new)

j)Set C_i:＝E_enc(pk_enc,i ^new,(p_i ^new,v_i ^new,r_i ^new,s_i ^new))

2)生成(pk_sig,sk_sig):＝K_sig(pp_sig)

3)h_sig:＝HASH(pk_sig)

4)h₁:＝PRF_ask,1(h_sig)，h₂:＝PRF_ask,2(h_sig)

5)Setx:＝(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₂ ^new,h_sig,h₁,h₂)

6)Set a:＝(path₁,path₂,c₁ ^old,c₂ ^old,addr_sk,1 ^old,addr_sk,2 ^old,c₁ ^new,c₂ ^new)

7)π_POUR:＝Prove(pk_POUR,x,a)

8)Set m:＝(x,π_POUR,info,C₁,C₂)

9)ρ:＝S_sig(sk_sig,m)

10)Set tx_pour:＝(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₂ ^new,info,*)，其中*:＝(pk_sig,h₁,h₂,π_POUR,C₁,C₂,ρ)

11)输出c₁ ^new,c₂ ^new和tx_pour

VerifyTransaction

·INPUT:

-公共参数pp

-一个mint或pour交易记录tx

-当前的公共账本L

·OUTPUT:一个比特信息，为1表示有效，否则无效

1)如果tx＝＝tx_mint

a)解析tx_mint，还原出(cm,v,*)，其中*:＝(k,s)

b)Set cm’:＝COMM_S(v||k)

c)如果cm’＝＝cm，输出b:＝1；否则输出:＝0

2)如果tx＝＝tx_pour

a)解析tx_pour，还原出(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₂ ^new,info,*)，其中*:＝(pk_sig,h₁,h₂,π_POUR,C₁,C₂,ρ)

b)如果sn₁ ^old或者sn₂ ^old在L中有记录，或者sn₁ ^old＝＝sn₂ ^old，则输出b:＝0

c)如果rt在L中没有记录，则输出b:＝0

d)h_sig:＝HASH(pk_sig)

e)Set x:＝(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₂ ^new,h_sig,h₁,h₂)

f)Set m:＝(x,π_POUR,info,C₁,C₂)

g)b:＝V_sig(pk_sig,m,ρ)

h)b’:＝Verify(vk_POUR,x,π_POUR)

i)输出b&b’

Receive

·INPUT:

-公共参数pp

-调用者的地址密钥对(addr_pk，addr_sk)

-当前时间下的公共账本L

·OUTPUT:可接收钱币的集合

1)解析addr_pk，还原出(a_pk,pk_enc)

2)解析addr_sk，还原出(a_sk,sk_enc)

3)对公共账本上的每一条pour交易：

b)for i in{1,2}

I)(v_i,p_i,r_i,s_i):＝D_enc(sk_enc,C_i)

II)如果D_enc的输出不为空，验证：sn_i在公共账本中没有记录以及cm_i ^new＝＝COMM_s(v_i||COMM_r(a_pk||p_i))

如果上一步的校验通过，则输出c_i:＝(addr_pk,v_i,p_i,r_i,s_i,cm_i ^new)。

本发明具有以下有益效果：

1.钱币所有者的匿名性；

COMM表示一种统计隐藏的非交互式提交方法，具体来说就是对于给定的随机数r以及消息m，c:＝COMM_r(m)表示要记录的信息。

简单来说，当一个新的钱币产出时(通过“倾倒”操作)，它的所有者u采样一个随机序列号sn以及一个陷门r，计算出要记录在公共账本上的信息cm:＝COMM_r(sn)并令c:＝(cm(c),r(c),sn(c))。同时，一个对应的“倾倒”交易记录tx_mint(包含cm，但不包含sn或r)被记录在公共账本L中。

当u想要使用c时，发送一个消息到区块链，这个消息中包含c的序列号sn以及一个关于“我知道cm:＝COMM_r(sn)中的r”的零知识证明π，这样其他节点在不知道u的身份的情况下就可以确认u确实拥有c。

2.直接匿名支付；

当一个用户u_A把一个钱币c:＝(cm(c),r(c),sn(c))转移给用户u_B后，u_A仍然知道c的序列号以及cm(c)的陷门，换句话说，u_A仍然可以使用c，而且当u_B使用c时，u_A就知道是u_B在进行交易，这样就无法保证u_B的匿名性，因此对原有的数据形式进行了改进。PRF_x(·)表示以x为种子的匿名随机函数。

为了确定付款目标，每个账户(一个用户可以有多个账户)都要有一个唯一标识，本实施例用密钥对的形式来表示这个唯一标识，称作该账户的地址。用户u按如下方式产生地址密钥对：随机生成a_sk，然后生成a_pk:＝PRF_ask(0)。于是对c:＝(cm(c),r(c),sn(c))做如下扩展：当用户u发现一个新的钱币时，随机生成p(可以作为交易时的假名使用)，计算sn:＝PRF_ask(p)，然后计算k:＝COMM_r(a_pk||p)以及cm:＝COMM_s(v||k)，因此c:＝(cm,p,v,a_pk,r,s)、tx_mint:＝(cm,v,k,s)。很显然，任何人都可以验证tx_mint中的cm所表示的c的价值确实为v，但是无法获取a_pk以及sn。

“倾倒”交易是用来实现钱币支付的操作，它以某些钱币作为输入，以另外一些具有相同价值的新的钱币作为输出，这样就保证了当u_A把一个钱币c转移给用户u_B后，u_A不知道新的钱币c’的sn，他也无法使用c’。具体来说，其实现过程如下：假设用户u有地址密钥对(a_sk ^old,a_pk ^old)，他想要使用c^old:＝(a_pk ^old,v^old,p^old,r^old,s^old,cm^old)，u调用“倾倒”操作之后生成两个新的钱币c₁ ^new和c₂ ^new，它们的地址公钥分别为a_pk,1 ^new,a_pk,2 ^new(a_pk,1 ^new,a_pk,2 ^new可能属于u或者属于其他用户)。c₁ ^new和c₂ ^new的生成方法与Mint操作中生成新钱币的方法一样。假设u不知道与a_pk,1 ^new相匹配的a_sk,1 ^new，u就无法使用c₁ ^new，因为他无法证明他是c₁ ^new的拥有者；同样，当另外一个用户u’(他知道a_sk,1 ^new)试图使用c₁ ^new进行消费时，u也无法对其进行追中，因为u不知道任何关于c₁ ^new的序列号sn₁ ^new的信息。

3.钱币转移；

u通过调用“倾倒”操作产生了两新的钱币c₁ ^new和c₂ ^new，假设a_pk,1 ^new是u₁的地址公钥，为了使u₁能够真正使用c₁ ^new，u₁必须知道c₁ ^new中的一些秘密参数(如一些陷门参数)。一种方法是u直接给u₁发送一条私密信息，这就需要u和u₁之间有一条直接的可信的私密通道，由于u和u₁的任意性，全网中任意两个节点之间都要有这种通道，很显然，这样会带来大量成本开销，是不太现实的，于是本实施例采用公共账本来完成这个过程：

之前定义的地址密钥对(a_sk，a_pk:＝PRF_ask(0))，对其结构进行修改以实现地址密钥的隐私保护：addr_sk:＝(a_sk,sk_enc)，addr_pk:＝(a_pk,pk_enc)。然后u使用

pk_enc,1 ^new对(v₁ ^new,p₁ ^new,r₁ ^new,s₁ ^new)进行加密得到密文C₁，u将C₁嵌入到tx_pour与其一同记录在L中。u₁查找L获得u记录的交易信息tx_pour并从中提取出C₁，然后验证者使用sk_enc,1 ^new对C₁解密即可得到(v₁ ^new,p₁ ^new,r₁ ^new,s₁ ^new)。同样，使用pk_enc,2 ^new对(v₂ ^new,p₂ ^new,r₂ ^new,s₂ ^new)进行加密得到C₂并嵌入到tx_pour中，然后由验证者进行解密。

4.基础货币的转换；

“倾倒”操作允许用户对钱币进行转移，拆分，合并。除此之外，本实施例对“倾倒”交易进行修改允许用户将通过DAT机制生成的钱币c:＝(a_pk,v,p,r,s,cm)转换成基础货币，为此在“倾倒”交易中添加两个值，v_pub和info，其中v_pub用来指定要转换成基础货币的价值量(若不希望进行基础货币的转换，则将该值设为0)，info用来指定v_pub的目的地址，这两个值是全局可见的。

5.防扩展性攻击；

攻击者可以通过更改tx_pour中的info值重新定位v_pub所指代的基础货币的交付对象。为此，本实施例采用数字签名的方法抵抗这种攻击，具体实施过程如下：

当用户u进行pour操作时，(1)选取一个密钥对(pk_sig,sk_sig)用来进行一次签名；(2)计算h_sig:＝HASH(pk_sig)；(3)计算两个值：h₁:＝PRF_sk,1(h_sig)和h₂:＝PRF_sk,₂(h_sig)，这就相当于将h_sig附着在两个原始钱币所有者的地址私钥上；(4)将h_sig，h₁，h₂添加到POUR中，并校验后两者的正确性；(5)用sk_sig对POUR操作相关的每个值进行签名，获得ρ。由于a_sk,i ^old是保密的，h_sig在每次交易中也是不一样的，所以h₁和h₂的值是不可预测的。

6.货币记录值表(CMList)的组织方式；

货币记录值表是所有与“挖掘”操作和“倾倒”操作相关的钱币在公共账本L中的记录值cm的集合，按照Merkle的方式进行组织以加快验证效率。假设要验证cm_i，只需给出cm_i到rt路径上所有节点的HASH值，就可以快速验证cm_i的存在性和正确性，这也就是说一个节点不用维持整个货币记录值表就可以完成校验工作，大大减少了校验过程的时空开销。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种具有隐私保护功能的区块链模型，其特征在于：由最小信任度管理员、私人部分、公共部分组成；

2.根据权利要求1所述的具有隐私保护功能的区块链模型，其特征在于：所述最小信任度管理员用于协助交易的进行，在每次交易中，最小信任度管理员均保持以下原则：

原则1：所有参与交易的用户把自己参与此次交易要使用的货币都冻结到这个交易程序中，由最小信任度管理员进行相关计算来决定这些货币该如何重新分配，分配前后货币的总价值量保持一致；

原则2：最小信任度管理员能够看到所有交易参与者的输入，并且不会泄露这些用户的输入数据；

原则2：最小信任度管理员由区块链网络中的其他节点担任，这些节点“竞争上岗”，最后担任最小信任度管理员的节点要支付一定的保证金，若在交易进行过程中由于该最小信任度管理员的问题使交易提前终止，这个保证金不予退还，若是交易圆满完成，该最小信任度管理员不仅可以拿回他的保证金，同时还会得到一定的奖励。

3.根据权利要求1所述的具有隐私保护功能的区块链模型，其特征在于：所述私人部分用于定义参与交易的各方的输入信息以及对这些信息的发送和接收，以及交易过程中的相关计算以及交易过程中相关数据的验证；包括冻结操作、计算操作、结束操作，这三种操作都是针对用户的私人账本中的货币；

所述冻结操作允许用户像提交数据那样提交自己所拥有的货币，当交易开始时，参与此次交易的用户调用冻结操作提交货币，提交的货币从用户的私人账户中扣除并被冻结到交易程序中；

所述计算操作赋予最小信任度管理员查看相关数据及进行计算的权利，当某个用户调用计算操作后，这个用户的输入数据和提交的货币量就会对这个最小信任度管理员公开，这个最小信任度管理员根据这些数据进行交易中的计算从而得出这些货币应该如何重新分配；

所述结束操作允许最小信任度管理员向区块链网络中的其他节点提交自己的计算结果，最小信任度管理员完成计算后调用结束操作向区块链提交计算结果，经过验证之后，根据计算结果对冻结货币进行重新分配，将其重新存入各个用户的私人账户中。

4.根据权利要求1所述的具有隐私保护功能的区块链模型，其特征在于：所述公共部分用于保证交易的公平进行，不能访问私人部分的数据，并且这一部分的内容是全网可见的；通过自定义超时惩罚措施对“违法”用户进行经济制裁，剥夺其部分资产，将其分配给其他参与交易的诚实用户。

5.根据权利要求4所述的具有隐私保护功能的区块链模型，其特征在于：所述自定义超时惩罚措施，首先定义三个超时的时间节点：T1、T2和T3，所述T1表示用户向最小信任度管理员M提交数据的截止时间，T2表示用户冻结自己交易货币的截止时间；T3表示最小信任度管理M完成计算以及货币的重新分配的时间，T1<T2<T3；若最小信任度管理员M在T1前没有接收到用户提交的数据，则最小信任度管理员M认为该用户参与此次交易；若用户在T2前没有对交易货币进行冻结，则最小信任度管理员M认为该用户违反了合约，对其进行经济惩罚；若最小信任度管理员M在T3前没有完成计算并对交易池中的货币进行重新分配，则认为最小信任度管理员M是不诚实的管理员，对其进行经济惩罚。

6.根据权利要求1-5任意一项所述的具有隐私保护功能的区块链模型，其特征在于：所述分布式匿名机制，就是每个用户自己为自己提供匿名保护，包括新型的货币表示方式、货币所属者的地址表示方法、两种交易形式以及一种零知识证明；

所述新型的货币表示方式c:＝(cm(c),v(c),p(c),addr_pk(c),r,s)，其中，cm表示货币在公共账本中对应的记录值；v表示货币的价值量；p表示货币的所属者的假名，用来生成货币的序列号sn；addr_pk表示货币所属者地址的公钥；r和s表示陷门参数；

所述货币所属者的地址表示方法，采用密钥对的形式表示用户的地址：(addr_pk，addr_sk)，其中addr_pk:＝(a_pk,pk_enc)，a_pk和a_sk是用来对用户假名进行保护的一对密钥对，pk_enc和sk_enc是用来完成零知识证明的一对密钥对，addr_pk是公开的，其他用户可以使用这个密钥向用户进行直接的支付，addr_sk:＝(a_sk,sk_enc)，addr_sk由用户自己保存，它允许它的所有者接收发送到addr_pk上的资金；用户可以生成任意的地址密钥对，且一个用户可持有一个或多个地址密钥对；

所述两种交易形式包括“挖掘”交易和“倾倒”交易，其中“挖掘”交易允许用户生成一个新的货币c:＝(cm(c),v(c),p(c),addr_pk(c),r,s)；“倾倒”交易允许用户对货币进行转移、拆分以及合并；

所述一种零知识证明，首先构建算法回路C_POUR；接着生成密钥对(pk,vk)其中证明密钥pk允许任何证明者生成一个零知识证明π，其他人用验证密钥vk来验证这个证明π。

7.根据权利要求6所述的具有隐私保护功能的区块链模型，其特征在于：所述“挖掘”交易，记为tx_mint:＝(cm,v,*)，其中，cm表示交易所涉及的货币在公共账本中的记录值；v表示货币的价值量；*表示可选项，用来备注其他执行依赖信息。

8.根据权利要求6所述的具有隐私保护功能的区块链模型，其特征在于：所述“倾倒”交易，记为tx_pour:＝(rt,sn₁ ^old,sn₂ ^old,cm₁ ^new,cm₁ ^new,v_pub,info,*)，其中rt是货币记录值表CMList构成的Merkle树的根节点在交易开始之前的值；sn₁ ^old、sn₂ ^old是两种原始货币的序列号；cm₁ ^new、cm₁ ^new是生成的两种货币在公共账本中的记录值；v_pub表示要转换成基础货币的价值；info是任意的字符串，用来表示v_pub的目标；*表示其他执行依赖信息。