CN113779606A

CN113779606A - 一种降低隐私泄露风险的信息校验方法及系统

Info

Publication number: CN113779606A
Application number: CN202111079839.5A
Authority: CN
Inventors: 王晓亮; 王苇苇; 马宇峰
Original assignee: Hangzhou Rivtower Technology Co Ltd
Current assignee: Hangzhou Rivtower Technology Co Ltd
Priority date: 2021-09-15
Filing date: 2021-09-15
Publication date: 2021-12-10

Abstract

一种降低隐私泄露风险的信息校验方法及系统，所述方法包括：将预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片并分别发送至n个授权验证方；签发方与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到会话密钥S；其中，各所述授权验证方的私钥为基于本方持有的密钥分片生成的私钥；调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识；发送所述隐私信息m和所述校验标识，重新生成所述隐私信息的变色龙散列值M₂；若重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，则所述隐私信息m通过校验。该方案可以降低信息校验过程中的隐私泄露风险。

Description

一种降低隐私泄露风险的信息校验方法及系统

技术领域

本说明书涉及区块链技术领域，尤其涉及一种降低隐私泄露风险的信息校验方法及系统。

背景技术

在互联网信息交流中，接收方常需要对接收到的信息进行校验，以确定接收到的内容确为发送方发出且未被篡改；其中，基于非对称加密技术的数字签名机制为应用较广泛的一种方案；具体而言，发送方可以使用其私钥对发送的信息的完整性校验值进行加密，得到数字签名，而接收方则可以使用发送方的公钥解密上述数字签名得到完整性校验值，从而对接收到的信息进行完整性校验。如果接收到的信息被篡改或者并非由发送方发出，则无法通过数字签名校验。

但是，在应用上述方案的情况下，由于生成完整性校验值的散列函数以及发送方的公钥均为公开信息，因此，互联网中的任何个体都可以对上述信息进行校验，全网均可确知发送者发送了该信息；可见，发送方的隐私可能存在泄露风险。

发明内容

有鉴于此，本说明书公开了一种降低隐私泄露风险的信息校验方法和系统。

根据本说明书实施例的第一方面，公开了一种降低隐私泄露风险的信息校验方法，所述方法包括：将预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片，并将所述n份密钥分片分别发送至n个授权验证方秘密持有；其中，n为正整数；

签发方与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到所述签发方与所述n个授权验证方共享的会话密钥S；其中，各所述授权验证方的私钥为：基于本授权验证方秘密持有的密钥分片生成的私钥；

所述签发方调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识；

所述签发方向任意授权验证方发送所述隐私信息m和所述校验标识，所述任意授权验证方重新生成所述隐私信息m的变色龙散列值M₂；如果重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，则所述隐私信息m通过校验。

可选的，所述将预设的变色龙散列函数的陷门密钥拆分为n份密钥分片，包括：

在特征数为素数p的有限域GF_p上取满足f(0)＝t_k的随机q-1次多项式f(x)；其中，q为小于或等于n的正整数，指示重建陷门密钥所需的授权验证方的最小数量；

针对任意1到n之间的整数i，在p-1阶循环群Z_p ^*内取随机数k_i，并将x_i＝f(k_i)作为第i份密钥分片。

可选的，所述方法还包括：

签发方在Z_p ^*内取随机数x_s作为签发方私钥，将

作为签发方公钥；

针对任意1到n之间的整数i，持有第i份密钥分片x_i的授权验证方将x_i作为其私钥，并将

作为其公钥；

其中，G₁是阶为素数p的乘法循环群，g为G₁的生成元。

可选的，所述签发方与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到所述签发方与所述n个授权验证方共享的会话密钥S，包括：

所述签发方基于如下公式生成会话密钥：

针对任意1到n之间的整数i，持有私钥x_i的授权验证方基于如下公式生成会话密钥：

其中，e:G₁ ⁿ→G₂为n-线性映射，G₂是阶为素数p的乘法循环群。

可选的，所述隐私信息m∈Z_p ^*；

所述签发方调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识，包括：

所述签发方在Z_p*中选择随机数r，并计算变色龙散列值M₁＝H(m,r)＝Y^mg^r，其中，

所述签发方在Z_p ^*中选择与p互质的随机数k，并计算第一校验标识γ＝g^kt，以及第二校验标识δ＝k-¹{h₁(M₁)-x_sh₁(γ)}，其中，t＝h₁(S)，h₁：{0,1}^*→Z_p*为预设的散列函数。

可选的，所述签发方向任意授权验证方发送所述隐私信息m和所述校验标识，包括：

所述签发方向任意授权验证方发送所述隐私信息m、所述随机数r、所述第一校验标识γ、以及第二校验标识δ；

如果重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，则所述隐私信息m通过校验，包括：

若下列等式成立，则确定重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，所述隐私信息m通过校验：

其中，M₂为所述任意授权验证方基于接收到的所述隐私信息m、所述随机数r以及公式M₂＝H(m,r)＝Y^mg^r，

重新生成的所述隐私信息m的变色龙散列值。

可选的，所述签发方为区块链网络中任意的交易发起方，所述变色龙散列函数H是用于对区块链交易进行签名的散列函数。

根据本说明书实施例的第二方面，公开了一种降低隐私泄露风险的信息校验系统，包括：

密钥管理方，用于将预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片，并将所述n份密钥分片分别发送至n个授权验证方秘密持有；其中，n为正整数；

签发方，用于与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到所述签发方与所述n个授权验证方共享的会话密钥S；其中，各所述授权验证方的私钥为：基于本授权验证方秘密持有的密钥分片生成的私钥；以及，调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识；以及，向任意授权验证方发送所述隐私信息m和所述校验标识；

授权验证方，用于参与所述密钥协商，得到所述会话密钥S；其中，接收到所述隐私信息m和所述校验标识的所述任意授权验证方还用于：重新生成所述隐私信息m的变色龙散列值M₂，如果重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，则所述隐私信息m通过校验。

根据本说明书实施例的第三方面，公开了一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现上述任一方面实施例所述的方法。

根据本说明书实施例的第四方面，公开了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一放麦呢实施例所述的方法。

以上技术方案中，一方面，由于校验标识指示的是变色龙散列值M₁和会话密钥S的完整性，因此在校验重新生成的变色龙散列值M₂与接收到的所述校验标识是否匹配时必须引入会话密钥S，该信息校验方案的校验环节只能由授权验证方完成，未获得授权的其他人员由于不具有会话密钥S，无法完成上述校验环节，也就无法确定获取到的隐私信息m的真实性；所以，上述方案可以保障上述隐私信息m的签发方的隐私。

另一方面，由于上述隐私信息m的变色龙散列值M₁是调用预设的变色龙散列函数H得到的，而该变色龙散列函数H的陷门密钥t_k被拆分为n份密钥分片由n个授权验证方秘密持有，因此，上述n个授权验证方可以将各自持有的密钥分片重新组合得到陷门密钥t_k，在保持基于变色龙散列函数H的签名不变的情况下对签名后的数据进行修改，兼顾了数据的安全性和灵活性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书文本一同用于解释原理。

图1是本说明书示出的一种现有的信息校验流程示例图；

图2是本说明书示出的一种降低隐私泄露风险的信息校验方法的流程示例图；

图3是本说明书示出的一种信息流转的示例图；

图4是本说明书示出的一种降低隐私泄露风险的信息校验系统的结构示例图；

图5是本说明书所述用于降低隐私泄露风险的信息校验的计算机设备的结构示例图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是一部分实施例，而不是全部的实施例。基于本说明书一个或多个实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的系统和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在互联网信息交流中，接收方常需要对接收到的信息进行校验，以确定接收到的内容确为发送方发出且未被篡改；其中，基于非对称加密技术的数字签名机制为应用较广泛的一种方案；请参见图1，图1是本说明书示出的一种现有的信息校验流程示例图；在该示例中，发送方可以使用其私钥，对发送的信息的完整性校验值进行加密，得到数字签名，而接收方则可以使用发送方的公钥解密上述数字签名得到完整性校验值，从而对接收到的信息进行完整性校验。如果接收到的信息被篡改或者并非由发送方发出，则无法通过数字签名校验。

但是，在应用上述方案的情况下，由于生成完整性校验值的散列函数以及发送方的公钥均为公开信息，因此，互联网中的任何个体都可以对上述信息进行校验，全网均可确知发送者发送了该信息。举例而言，假设张三在作出了一份将其10％的资产转移给李四的承诺后，将该承诺使用上述方案进行签名，则任何人都可以使用张三的公钥校验上述签名，进而获知张三确实将其10％的资产转移给了李四，但事实上张三可能并不希望所有人都有权知晓此事。可见，在传统的信息校验方案中，发送方的隐私可能存在泄露风险。

基于此，本说明书提出一种使用密钥协商手段生成会话密钥，并将会话密钥作为校验发送的信息的真实性的必要信息，以避免不持有会话密钥的非授权验证方对发送的信息的真实性进行校验的技术方案。

在实现时，一方面，隐私信息的散列值并不暴露给发送对端，实际暴露的校验标识指示的是上述散列值以及会话密钥的完整性；也就是说，上述校验标识类似于承诺协议中的承诺，而上述会话密钥起到了类似于承诺协议中盐值的作用。

另一方面，上述隐私信息的散列值可以是变色龙散列值，对应的变色龙散列函数的陷门密钥被拆分为多个密钥分片，并由上述多个授权校验方保管。

下面通过具体实施例并结合具体的应用场景对本说明书进行描述。

请参考图2，图2是本说明书一实施例提供的一种降低隐私泄露风险的信息校验方法，可以包括以下步骤S201至S204。

S201，将预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片，并将所述n份密钥分片分别发送至n个授权验证方秘密持有；其中，n为正整数。

在本说明书中，变色龙散列函数H可以是任意具备陷门性质的散列函数。通常，散列函数理论上具备抗碰撞的性质，即，在有限的计算时间内，无法找到具有相同散列值的原始数据，也可以表达为很难找到任意两个m和m'，使得Hash(m)＝Hash(m')；而陷门性质是指，在保持上述抗碰撞性的基础上，只要提供特定的陷门密钥(又称陷门值、后门)，就能够快速找到对应的碰撞，即，使得ChamelelonHash(m)＝ChamelelonHash(m')成立，其中m不等于m'。

可以理解的是，在本说明书中利用的是变色龙散列的可修改性质，该性质为变色龙散列的共性，而非某一变色龙散列函数的特性，因此，在本说明书中无需限定具体使用的变色龙散列函数的具体内容或形式，本领域普通技术人员可以参考相关技术文献自行选择或者设计具备上述可修改性质的变色龙散列函数。

在本示例中，可以由密钥管理方将上述预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片，并将上述n份密钥分片分别发送至n个授权验证方秘密持有；例如，假设上述n＝5，则上述陷门密钥t_k则可以被拆分为5份密钥分片，并被分发到5个授权验证方。上述密钥拆分的过程又称秘密共享，每个授权验证方都没有完整的陷门密钥t_k，无法独立行使数据修改的权利；但上述授权验证方将各自的密钥分片组合起来，就可以还原上述陷门密钥t_k，以便基于上述变色龙散列函数H的可修改性质，对基于上述变色龙散列函数H签名的数据进行修改。

当然可以理解的是，在实际操作中，还可以对上述秘密共享的过程设置门限；例如，依然取上述n＝5，但取门限为3，则在还原上述陷门密钥t_k时，无需全部的5个授权验证方全部出示各自的密钥分片，只需有至少3个授权验证方出示各自的密钥分片，即可完成对于上述陷门密钥t_k的还原。本领域技术人员可以自行设计上述密钥拆分的流程和算法细节，本说明书无需进行详细限定。

在示出的一种实施方式中，在执行上述密钥拆分时，可以采用如下方案：首先，在特征数为素数p的有限域GF_p上取满足f(0)＝t_k的随机q-1次多项式f(x)；其中，q为小于或等于n的正整数，指示重建陷门密钥所需的授权验证方的最小数量；在确定多项式f(x)之后，即可针对任意1到n之间的整数i，在p-1阶循环群Z_p ^*内取随机数k_i，并将x_i＝f(k_i)作为第i份密钥分片。

本说明书还提供了该密钥拆分方案对应的还原方案如下：基于多项式理论可知，若两个q-1次多项式在变量的q个不同取值处得到的函数值相等，则这两个多项式必定相等；因此可以由任意q个授权验证方提供其保存的随机数k_i和对应的第i份密钥分片x_i，并将上述[k_i,f(k_i)]作为输入值，代入拉格朗日插值公式，得到原多项式f(x)，也就得到了f(0)＝t_k，陷门密钥t_k被还原。

应用上述方案，可以利用秘密共享中的门限特性，将陷门密钥t_k拆分为能够由任意q个授权验证方即可还原的n个密钥分片，避免授权验证方失联、不可用等情况导致的陷门密钥t_k无法正常还原的情况，保障系统可用性。当然可以理解的是，除了上述密钥拆分方法以外，本领域技术人员还可以使用中国剩余定理方案、Brickell方案、Blakley方案等等，本说明书无需进行一一列举，亦无需进行详细限定。

S202，签发方与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到所述签发方与所述n个授权验证方共享的会话密钥S；其中，各所述授权验证方的私钥为：基于本授权验证方秘密持有的密钥分片生成的私钥。

密钥协商，通常指两个或多个实体协商、共同建立会话密钥的过程，其中，任何一个参与者均对结果产生影响，且不需要任何可信的第三方。在本示例中，签发方和上述n个授权验证方可以进行密钥协商，得到上述签发方与上述n个授权验证方共享的会话密钥S；具体而言，上述签发方和上述n个授权验证方可以基于各自持有的私钥完成上述密钥协商过程，由于私钥通常不会被其他人获知，因此使用各自持有的私钥进行密钥协商，可以保证每一个参与者均对结果(即，会话密钥S)产生影响。其中，由于每个授权验证方均在步骤S201中接收到了各自秘密持有的密钥分片，因此可以基于各自的密钥分片生成各自的公私钥对，并将其中的私钥用于上述会话密钥S的协商生成。

在示出的一种实施方式中，上述签发方的私钥可以是随机选取的，例如，签发方可以在Z_p ^*内取随机数x_S作为签发方私钥，并将

作为签发方公钥，得到签发方的公私钥对(x_S,y_s)；在确定授权验证方的公私钥对时，则可以针对任意1到n之间的整数i，持有第i份密钥分片x_i的授权验证方将x_i作为其私钥，并将

作为其公钥，得到第i份公私钥对(x_i,y_i)。其中，G₁是阶为素数p的乘法循环群，g为G₁的生成元。

采用此方式，各授权验证方直接将其持有的密钥分片作为私钥，可以减少数据运算量，从而提高系统运行效率；并且，由于G₁是阶为素数p的乘法循环群，g为G₁的生成元，而上述签发方与各授权验证方均使用生成元g来生成对应的公钥，因此有利于后续利用乘法循环群的性质设计密钥协商方案和校验方案。

在示出的一实施方式中，上述签发方与上述n个授权验证方基于各自持有的私钥进行密钥协商，得到上述签发方与上述n个授权验证方共享的会话密钥S的过程，可以包括以下步骤：上述签发方可以基于如下公式生成会话密钥：

而针对任意1到n之间的整数i，持有私钥x_i的授权验证方基于如下公式生成会话密钥：

其中，e:G₁ ⁿ→G₂为n-线性映射，G₂是阶为素数p的乘法循环群。通过上述方案，可以利用e:G₁ ⁿ→G₂为n-线性映射的数学性质，分别在上述签发方以及任意一授权验证方中，分别基于其已持有的信息生成相同的会话密钥S，且该会话密钥S的生成过程中，既满足任何一个参与者均对结果产生影响的要求，也不需要任何可信的第三方，因此是满足本说明书需求的会话密钥S。

S203，所述签发方调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识。

在本说明书中，在完成上述会话密钥S的生成之后，可以认为各方用于执行信息校验的数据已经配置完成，则上述签发方即可针对隐私信息m，调用变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，之后，可以进一步将变色龙散列值M₁与会话密钥S结合，生成指示上述变色龙散列值M₁与会话密钥S两者作为一个整体的完整性的校验标识。举例而言，上述会话密钥S可以作为盐值附加在上述变色龙散列值M₁上，再生成一次上述变色龙散列值M₁的加盐散列值作为上述校验标识。由于只有参与了密钥协商的个体才持有会话密钥S，因此，相当于上述签发方向任意一个授权验证方给出了一个散列承诺，该承诺的打开即为(M₁,S)，在签发方与授权验证方之间形成了类似于承诺协议的密码学结构，阻止了没有会话密钥S的非授权验证方进行校验，从而避免了签发方的隐私泄露。

在示出的一种实施方式中，上述隐私信息m∈Z_p ^*，上述签发方可以调用上述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示上述变色龙散列值M₁和上述会话密钥S的完整性的校验标识的过程，具体可以包括：在Z_p*中选择随机数r，并计算变色龙散列值M₁＝H(m,r)＝Y^mg^r，其中，

之后，上述签发方在Z_p ^*中选择与p互质的随机数k，并计算第一校验标识γ＝g^kt，以及第二校验标识δ＝k^-1{h₁(M₁)-x_sh₁(γ)}，在上述表述中，t＝h₁(S)，h₁：{0,1}^*→Z_p*为预设的散列函数。

可以理解的是，上述预设的散列函数h₁可以是任意形式的、满足散列函数性质要求的函数，本说明书无需限定其具体形式，本领域普通技术人员可以自行选择和设计上述散列函数h₁。

S204，上述签发方向任意授权验证方发送上述隐私信息m和上述校验标识，上述任意授权验证方重新生成上述隐私信息m的变色龙散列值M₂；如果重新生成的变色龙散列值M₂与接收到的上述校验标识相匹配，则上述隐私信息m通过校验。

在本说明书中，上述校验标识被生成后，可以与上述隐私信息m一并发送至任意的授权验证方，而授权验证方可以重新根据上述隐私信息m重新生成其变色龙散列值M₂。理论上，如果上述隐私信息m在传输过程中未被篡改，则生成的M₂与前述M₁是相同的，而上述校验标识能够指示变色龙散列值M₁和会话密钥S的完整性，所以只要上述隐私信息m未被篡改，M₂与会话密钥S理论上就可以与上述校验标识匹配。

对于授权验证方而言，由于其先前参与了密钥协商环节，因此持有会话密钥S，如果其持有的会话密钥S与上述隐私信息m与收到的上述校验标识相匹配，则可以证明收到的隐私信息m确为上述签发方签发的原文；而对于未获得授权的验证方而言，由于其未参与前述密钥协商环节，因此不持有会话密钥S，进而无法对于上述校验标识与隐私信息m作出任何肯定或者否定其真实性的有效判断，保护了签发方的隐私安全。

在一示出的实施方式中，在上述签发方使用第一校验标识γ＝g^kt，以及第二校验标识δ＝k^-1{h₁(M₁)-x_sh₁(γ)}作为方案中的校验标识发送至授权验证方的情况下，一并发送的还可以包括签发方生成上述变色龙散列值M₁时使用的随机数r，接收到上述第一校验标识γ以及第二校验标识δ的授权验证方可以通过校验以下等式是否成立的方式，完成对于隐私信息m的校验：

在上式中，M₂为所述任意授权验证方基于接收到的所述隐私信息m、所述随机数r以及公式M₂＝H(m,r)＝Y^mg^r，

重新生成的所述隐私信息m的变色龙散列值。

在上式中，等式左侧为基于接收到的第一校验标识γ以及第二校验标识δ计算的部分，而等式右侧则为基于接收到的隐私信息m计算的部分，若隐私信息m在传输过程中未被篡改破坏，则隐私信息m与前述第一校验标识γ以及第二校验标识δ之间的关联关系依然成立，进而会使得上述等式成立；而如果上述隐私信息m在传输过程中被篡改破坏，则隐私信息m与前述第一校验标识γ以及第二校验标识δ之间的关联关系不再成立，进而使上述等式无法成立。

请参见图3，图3是本说明书示出的一种信息流转的示例图，在该示例中展示了采用上述方案进行信息校验时各变量或信息的生成和流转的过程。在上述过程中可以看到，隐私信息m与随机数r共同生成了变色龙散列值M₁，会话密钥S转化为了中间变量t并进一步形成了第一校验标识γ；而该变色龙散列值M₁则与上述第一校验标识γ以及签发方的私钥x_s共同生成了第二校验标识δ。在校验环节，隐私信息m与随机数r共同重新生成了变色龙散列值M₂，并与接收到的第一校验标识γ、第二校验标识δ、随机数r共同代入上述等式，校验是否成立。

可见，采用上述方案，可以利用隐私信息m与前述第一校验标识γ以及第二校验标识δ之间的关联关系，结合未授权校验方不持有会话密钥S的事实，不仅实现了对于隐私信息m的校验，而且阻断了未授权校验方的校验，减少了签发方隐私泄露的可能。

在示出的一种实施方式中，上述签发方可以为区块链网络中任意的交易发起方，上述变色龙散列函数H可以是用于对区块链交易进行签名的散列函数。在区块链业务场景中，即将上链的数据可能在未来需要进行修改，在这种情况下，就可以利用变色龙散列的性质，在不改变上链的数据的散列值的情况下，改变其实际内容，从而实现区块链的有限修改。因此，区块链网络中任意的交易发起方都可以作为本方案中的签发方，指定授权校验方通过本方案对于其签发的交易进行校验，并保障其隐私不被泄露。

具体而言，以联盟链场景下的上链场景为例，该联盟链中可以包含三类节点：监管节点、授权验证节点和普通节点，约定使用变色龙散列函数H作为对链上交易进行签名的散列函数，则任意节点发布的交易经上述变色龙散列函数H签名上链之后，持有上述变色龙散列函数H的陷门密钥t_k的监管节点都可以找到对应的散列碰撞规律，从而在不改变生成的数字签名的前提下，修改数字签名对应的交易数据。该方案为区块链服务提供了更加灵活的处理方案，也能够更加方便地对被误上链的数据进行补救。

假设上述联盟链中的节点A希望向链上发布一条交易Transaction01，在发布之前希望向一批授权验证节点披露上述交易Transaction01的内容，该披露的过程中，节点A既希望这批授权验证节点能够确知上述交易Transaction01的内容，又不希望其他无关的人也能够通过数字签名机制校验确认上述交易Transaction01的内容，就可以将自己作为本方案中的签发方，将上述特定的管理群体作为授权验证方，实施本方案中的信息校验方案，使得这批授权验证节点可以确知上述交易Transaction01的内容。

此外，该机制下，上述变色龙散列函数H的陷门密钥t_k在初始状态下可以由上述监管节点持有，该监管节点也可以被称为密钥管理方；应用本说明书中所述的方案，监管节点将上述陷门密钥t_k分片处理，将得到的密钥分片交由n个授权验证节点，使得上述n个授权验证节点有权使用各自持有的密钥分片重组上述陷门密钥t_k。也就是说，n个授权验证节点作为一个整体而言持有了陷门密钥t_k，这会导致任意第三方都可以质疑n个授权验证节点使用了陷门密钥t_k篡改了节点A的交易Transaction01的内容，所以，上述n个授权验证节点虽然能够确认交易Transaction01的内容的真实性，但该真实性结论在泄露向任意第三方时都会失去可信度，实质上也就保证了任意第三方不能够通过授权验证节点间接确定交易Transaction01的真实内容。因此，在可变区块链中应用本方案，使授权验证节点既用于验证签名，又用于保存陷门密钥对应的密钥分片，可以阻止授权验证节点本身泄露隐私信息，进一步提高对于签发方(节点A)的隐私保护力度。

上述内容即为本说明书针对所述降低隐私泄露风险的信息校验方法的全部实施例。本说明书还提供了对应的降低隐私泄露风险的信息校验系统的实施例如下：

本说明书提出一种降低隐私泄露风险的信息校验系统，其结构示例如图4所示，包括：

密钥管理方401，用于将预设的变色龙散列函数H的陷门密钥t_k拆分为n份密钥分片，并将所述n份密钥分片分别发送至n个授权验证方秘密持有；其中，n为正整数；

签发方402，用于与所述n个授权验证方基于各自持有的私钥进行密钥协商，得到所述签发方与所述n个授权验证方共享的会话密钥S；其中，各所述授权验证方的私钥为：基于本授权验证方秘密持有的密钥分片生成的私钥；以及，调用所述变色龙散列函数H，生成隐私信息m的变色龙散列值M₁，并生成用于指示所述变色龙散列值M₁和所述会话密钥S的完整性的校验标识；以及，向任意授权验证方发送所述隐私信息m和所述校验标识；

授权验证方403，用于参与所述密钥协商，得到所述会话密钥S；其中，接收到所述隐私信息m和所述校验标识的所述任意授权验证方还用于：重新生成所述隐私信息m的变色龙散列值M₂，如果重新生成的变色龙散列值M₂与接收到的所述校验标识相匹配，则所述隐私信息m通过校验。

本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现前述的降低隐私泄露风险的信息校验方法。

图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述的降低隐私泄露风险的信息校验方法。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护范围。