CN117561697A - 部分基于sha的哈希函数 - Google Patents
部分基于sha的哈希函数 Download PDFInfo
- Publication number
- CN117561697A CN117561697A CN202280037107.6A CN202280037107A CN117561697A CN 117561697 A CN117561697 A CN 117561697A CN 202280037107 A CN202280037107 A CN 202280037107A CN 117561697 A CN117561697 A CN 117561697A
- Authority
- CN
- China
- Prior art keywords
- sequence
- message
- transaction
- blocks
- sha
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000013598 vector Substances 0.000 claims abstract description 108
- 238000000034 method Methods 0.000 claims abstract description 100
- 230000006870 function Effects 0.000 claims description 80
- 238000012545 processing Methods 0.000 claims description 22
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 238000013515 script Methods 0.000 description 54
- 238000004364 calculation method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 230000003287 optical effect Effects 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 7
- 239000002243 precursor Substances 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 238000007781 pre-processing Methods 0.000 description 5
- 230000001902 propagating effect Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013138 pruning Methods 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种计算机实现的方法,用于验证原像的一部分的完整性,所述原像与哈希摘要对应,所述哈希摘要是通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的,其中所述原像包括第一消息和第二消息,并且所述方法包括:a)接收迭代输入向量;b)获取第二区块序列;c)通过按照所述第二区块序列中的相应位置的顺序对所述第二区块序列中的每个区块执行所述基于SHA的哈希计算的迭代来生成最终迭代输出向量,其中对所述第二区块序列中的第一区块执行的所述基于SHA的哈希计算的所述迭代是基于所获取的迭代输入向量;以及d)基于所述最终迭代输出向量来生成候选哈希摘要,所述候选哈希摘要用于与所述哈希摘要进行比较。
Description
技术领域
本公开涉及一种证明和验证原像的一部分的完整性的方法,所述原像与通过使用基于SHA的哈希函数(即,SHA哈希函数家族中的一个SHA哈希函数,诸如SHA256)对所述原像进行哈希处理而生成的哈希摘要对应。例如,所述原像可以包括区块链事务的一部分或全部。
背景技术
区块链是指一种分布式数据结构,其中在分布式对等(P2P)网络(以下称为“区块链网络”)中的多个节点中的每个节点处维护区块链的副本,并且广泛公开该副本。区块链包括一系列数据区块,其中每个区块包括一个或多个事务(transaction)。除所谓的“coinbase事务”外,每个事务都指向序列中的先前事务,该序列可以跨越一个或多个区块,回到一个或多个coinbase事务。coinbase事务将在下文进一步讨论。提交给区块链网络的事务包括在新区块中。新区块的创建过程通常称为“挖掘”,该过程涉及多个节点中的每个节点争相执行“工作证明”,即,基于等待被包括在区块链的新区块中的一组定义的有序且核实有效的未决事务的表示解决加密难题。应当注意的是,区块链可以在一些节点处被修剪(prune),并且区块的发布可以通过仅发布区块头来实现。
区块链中的事务可用于以下目的中的一个或多个:传送数字资产(即,一定数量的数字通证);对虚拟化分类账或注册表中的一组条目进行排序;接收和处理时间戳条目;和/或对索引指针按时间排序。也可利用区块链实现区块链上的层级附加功能。例如,区块链协议可允许在事务中存储附加的用户数据或数据索引。能够存储在单个事务中的最大数据容量没有预先指定的限制,因此可以并入越来越复杂的数据。例如,这可用于在区块链中存储电子文档、音频或视频数据。
区块链网络的节点(通常称为“矿工”)执行分布式事务注册和验证过程,这将后续更详细地描述。总之,在该过程中,节点核实事务并将这些事务插入到区块模板中,这些事务尝试为该区块模板标识有效的工作证明解。一旦找到有效的解,新区块便会被传播到网络的其它节点,从而使得每个节点能够在区块链上记录新区块。为了将事务记录在区块链中,用户(例如,区块链客户端应用程序)将该事务发送到网络中的节点中的一个节点进行传播。接收该事务的节点可以争相寻找将核实有效的事务并入新区块的工作证明解。每个节点被配置为执行相同的节点协议,该协议将包括用于确认事务有效的一个或多个条件。无效事务将不会传播或并入到区块中。假定事务已经核实有效,从而在区块链上被接受,则该事务(包括任何用户数据)将因此在区块链网络中的每个节点上作为不可改变的公共记录进行注册和索引。
成功解决工作证明难题可创建最新区块的节点通常被奖励一个称为“coinbase事务”的新事务,该事务分发数字资产数额,即通证数量。无效事务的检测和拒绝是通过竞争节点的行动来执行的,这些竞争节点充当网络的代理并且通过激励报告和阻止不正当行为。信息的广泛发布使得用户可以连续地审计节点的性能。仅发布区块头使得参与者可以确保区块链具有持续完整性。
在“基于输出的”模型(有时称为基于UTXO的模型)中,给定事务的数据结构包括一个或多个输入和一个或多个输出。任何可花费输出包括指定数字资产数额的元素,该元素可从进行中的事务序列导出。可花费输出有时称为UTXO(“未花费事务输出”)。输出还可以包括锁定脚本,该锁定脚本指定输出的未来赎回条件。锁定脚本是限定核实和传送数字通证或资产所必需的条件的谓词。事务(除coinbase事务之外)的每个输入包括指向先前事务中的此类输出的指针(即引用),并且还可以包括解锁脚本,用于解锁指向输出的锁定脚本。因此,考虑一对事务,将其称为第一事务和第二事务(或“目标”事务)。第一事务包括指定数字资产数额的至少一个输出,并且包括定义解锁该输出的一个或多个条件的锁定脚本。第二目标事务包括至少一个输入和解锁脚本,该至少一个输入包括指向第一事务的输出的指针;该解锁脚本用于解锁第一事务的输出。
在此类模型中,当第二目标事务被发送到区块链网络以在区块链中传播和记录时,在每个节点处应用的有效性条件之一将是解锁脚本满足在第一事务的锁定脚本中定义的一个或多个条件中的所有条件。另一条件将是第一事务的输出尚未被另一早期有效事务赎回。根据这些条件中的任何一个条件发现目标事务无效的任何节点都不会传播该事务(作为有效事务,但可能注册无效事务),也不将该事务包括在要记录在区块链中的新区块中。
另一种事务模型是基于账户的模型。在这种情况下,每个事务均不通过参考过去事务序列中先前事务的UTXO来定义转移的数额,而是通过参考绝对账户余额进行定义。所有账户的当前状态由节点单独存储到区块链中,并不断更新。
发明内容
加密哈希函数SHA256已经广泛应用于许多技术领域,包括区块链技术。例如,所述SHA256哈希函数用于验证事务和计算工作证明或权益证明。所述SHA256哈希函数(和通常的加密哈希函数)的一个属性是,给定哈希摘要(即,哈希函数的输出)和原像(例如,消息),可以通过将所述原像输入到所述哈希函数并验证所输出的哈希摘要与所提供的哈希摘要完全匹配来验证所述原像的完整性。该验证是可能的,因为当所使用的哈希函数是SHA256时,将两个不同的原像哈希处理成相同的哈希摘要的可能性非常小。这同样适用于SHA家族中的其他哈希函数,例如SHA384或SHA512。
到目前为止,SHA哈希函数(例如,SHA256)仅用于证明和验证所述原像作为一个整体的完整性。本公开提供了一种用于证明和验证原像的一部分(即,部分原像)的完整性的技术。也就是说,原像可以包括第一消息和第二消息,本发明的实施例使得能够证明和验证所述第二消息形成所述原像的一部分。应当注意的是,这里的消息用于一般意义,不一定意味着任何类型的通信,尽管并不排除这种情况。
根据本文公开的一个方面,提供了一种计算机实现的方法,所述方法用于验证(verify)原像的一部分的完整性,所述原像与通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的哈希摘要对应。所述原像包括第一消息和第二消息。所述方法由验证方(verifying party)执行,并且所述方法包括:a)接收迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的。部分地执行所述基于SHA的哈希函数包括:i)获取第一区块序列,其中所述第一区块序列的获取:是通过填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列来进行的,或者是通过将所述第一消息的二进制表示拆分成所述第一区块序列来进行的,以及ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位。所述方法还包括b)获取第二区块序列,其中第二多个区块通过以下方式生成:i)填充所述第二消息的二进制表示以生成第二填充序列,ii)将所述第二填充序列拆分成所述第二区块序列。所述方法还包括c)通过按照所述第二区块序列中的相应位置的顺序对所述第二区块序列中的每个区块执行所述基于SHA的哈希计算的迭代,来生成最终迭代输出向量,其中对所述第二区块序列中的第一区块执行的所述基于SHA的哈希计算的所述迭代是基于所获取的迭代输入向量;以及d)基于所述最终迭代输出向量来生成候选哈希摘要,所述候选哈希摘要用于与所述哈希摘要进行比较。
根据本文公开的另一方面,提供了一种计算机实现的方法,用于证明(prove)原像的一部分的完整性,所述原像与通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的哈希摘要对应。所述原像包括第一消息和第二消息。所述方法由证明方(provingparty)执行,并且所述方法包括:a)生成迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的,其中部分地执行所述基于SHA的哈希函数包括:i)获取第一区块序列,其中所述第一区块序列的获取:是通过填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列来进行的,或者是通过将所述第一消息的二进制表示拆分成所述第一区块序列来进行的,以及ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位。所述方法还包括b)将所述迭代输入向量提供给验证方。
已经认识到,SHA256算法中的中间状态可以用于以相当于使用SHA256计算哈希值的计算成本,提供对SHA256哈希值的所述部分原像的极其紧凑的完整性证明。所述完整性证明可以用于可被划分为两个部分的任何原像,其中所述部分原像是后半部分。此外,所述完整性证明不会揭示所述第一消息,从而使得所述第一消息能够在必要时保持秘密。这同样适用于SHA家族中的其他哈希函数,例如SHA384或SHA512。
通常,所述原像可以是任何数据,并且不限于本文所述原像的特定示例。作为一个说明性示例,所述原像可以是区块链事务的一部分或全部。所述部分原像(即,第二消息)可以包括所述区块链事务的一个或多个组件,例如一个或多个可花费输出。所述完整性证明使得能够验证所述一个或多个组件(例如,所述一个或多个可花费输出)形成所述区块链事务的一部分,而不需要访问完整事务。当所述区块链事务规模较大(即,包含大量数据)时,这尤其有利,因为这使得能够在不必发送大量数据的情况下验证所述可花费输出(或所述事务的任何其他重要组件),从而节省带宽和存储需求。
作为另一个说明性示例,所述原像可以是身份证明文件,诸如驾驶执照、护照、出生证明、居住许可证等。所述完整性证明可以用于证明构成身份证明文件的一个或多个数据项(例如,记录在一个人的护照上的年龄),而不揭示其他敏感细节(例如,该人的性别)。这可以推广到任何文件(不仅仅是身份证明文件),这对于维护所述文件的至少一部分的隐私是有益的。例如,所述文件可以是合同,其中希望验证一方对所述文件进行了签名(即,所述部分原像包括所述签名),而不揭示所述合同的全部条款。
附图说明
为了帮助理解本公开的实施例并示出如何实施此类实施例,现将仅通过举例的方式参考附图进行说明,其中:
图1是一种用于实现区块链的系统的示意性框图;
图2示意性地示出了可记录在区块链中的事务的一些示例;
图3示意性地示出了用于对部分原像实现完整性证明的示例性系统;
图4示意性地示出了示例性区块链事务;
图5示出了序列化区块链事务的示例性格式。
具体实施方式
1.示例性系统概述
图1示出了一种用于实现区块链150的示例性系统100。系统100可以包括分组交换网络101,通常是诸如互联网的广域互联网。分组交换网络101包括多个区块链节点104,该多个区块链节点可以被设置成在分组交换网络101内形成对等(P2P)网络106。虽然未示出,但是区块链节点104可以被设置为近完全图。因此,每个区块链节点104高度连接到其它区块链节点104。
每个区块链节点104包括对等体的计算机设备,不同的节点104属于不同的对等体。每个区块链节点104包括处理装置,该处理装置包括一个或多个处理器,例如一个或多个中央处理单元(CPU)、加速器处理器、专用处理器和/或现场可编程门阵列(FPGA),以及其它设备,例如专用集成电路(ASIC)。每个节点还包括存储器,即采用非暂时性计算机可读介质形式的计算机可读存储器。存储器可包括一个或多个存储器单元,其采用一个或多个存储器介质,例如诸如硬盘等磁介质、诸如固态硬盘(SSD)、闪存或电可擦可编程只读存储器(EEPROM)等电子媒介和/或诸如光盘驱动器等光学介质。
区块链150包括一系列数据区块151,其中在分布式或区块链网络106中的多个区块链节点104中的每个节点处维护区块链150的相应副本。如上所述,维护区块链150的副本不一定意味着完全存储区块链150。相反,只要每个区块链节点150存储每个区块151的区块头(下面讨论),区块链150就可以进行数据修剪。区块链中的每个区块151均包括一个或多个事务152,其中该上下文中的事务是指一种数据结构。数据结构的性质将取决于用作事务模型或计划的一部分的事务协议类型。给定的区块链全程使用一个特定的事务协议。在一种常见的事务协议中,每个事务152的数据结构至少包括一个输入和至少一个输出。每个输出指定将数字资产的数量表示为财产的数额,其一个示例是输出被密码锁定到的用户103(需要该用户的签名或其它解进行解锁,从而进行赎回或花费)。每个输入指向先前事务152的输出,从而链接这些事务。
每个区块151还包括区块指针155,其指向区块链中先前创建的区块151,以定义区块151的顺序。每个事务152(除coinbase事务之外)包括指向先前事务的指针,以定义事务序列的顺序(注:事务152的序列可进行分支)。区块151的区块链一直追溯到创始区块(Gb)153,该创始区块是区块链中的第一区块。区块链150中早期的一个或多个原始事务152指向创始区块153,而非先前事务。
每个区块链节点104被配置为将事务152转发到其它区块链节点104,从而使得事务152在整个网络106中传播。每个区块链节点104被配置为创建区块151,并将相同区块链150的相应副本存储在其相应的存储器中。每个区块链节点104还维护等待并入到区块151中的事务152的有序集(或“池”)154。有序池154通常称为“内存池”。在本文中,该术语并不意在限制于任何特定的区块链、协议或模型。该术语是指节点104已接受为有效的有序事务集,并且对于该有序事务集,强制节点104不接受试图花费相同输出的任何其它事务。
在给定的当前事务152j中,输入(或每个输入)包括指针,该指针引用事务序列中先前事务152i的输出,指定该输出将在当前事务152j中被赎回或“花费”。通常,先前事务可以是有序集154或任何区块151中的任何事务。尽管为了确保当前事务有效,将需要存在先前事务152i并核实其有效,但是在创建当前事务152j甚至向网络106发送当前事务152j时,不必存在先前事务152i。因此,在本文中,“先前”是指由指针链接的逻辑序列中的前任,而不一定是时间序列中的创建时间或发送时间,因此,不一定排除无序创建或发送事务152i、152j的情况(参见下面关于孤立事务的讨论)。先前事务152i同样可以称为先行事务或前任事务。
当前事务152j的输入还包括输入授权,例如先前事务152i的输出被锁定到的用户103a的签名。反过来,当前事务152j的输出可以加密锁定到新用户或实体103b。因此,当前事务152j可将先前事务152i的输入中定义的数额转移到当前事务152j的输出中定义的新用户或实体103b。在某些情况下,事务152可具有多个输出,以在多个用户或实体间分割输入数额(其中一个可以是原始用户或实体103a,以便进行变更)。在某些情况下,事务还可以具有多个输入,将一个或多个先前事务的多个输出中的数额汇总在一起,并重新分配到当前事务的一个或多个输出。
根据基于输出的事务协议,例如比特币,当诸如个体用户或组织这类的一方103希望颁布新的事务152j时(由该方采用的自动程序或人为地),该颁布方将该新事务从其计算机终端102发送到接收者。颁布方或接收者将最终向网络106的一个或多个区块链节点104(现在通常是服务器或数据中心,但原则上也可以是其它用户终端)发送该事务。另外还不排除颁布新事务152j的一方103可以将事务直接发送到一个或多个区块链节点104,并且在一些示例中,可以不将事务发送到接收者。接收事务的区块链节点104根据在每个区块链节点104处应用的区块链节点协议来检查事务是否有效。区块链节点协议通常要求区块链节点104检查新事务152j中的加密签名是否与预期签名相匹配,这取决于事务152的有序序列中的先前事务152i。在这种基于输出的事务协议中,这可以包括检查新事务152j的输入中包括的一方103的密码签名或其它授权是否与新事务分配的先前事务152i的输出中定义的条件匹配,其中该条件通常包括至少检查新事务152j的输入中的密码签名或其它授权是否解锁新事务的输入所链接到的先前事务152i的输出。条件可以至少部分地由包括在先前事务152i的输出中的脚本来定义。或者,这可仅由区块链节点协议单独确定,或可通过其组合确定。无论采用哪种方式,如果新事务152j有效,区块链节点104会将其转发到区块链网络106中的一个或多个其它区块链节点104。这些其它区块链节点104根据相同的区块链节点协议应用相同的测试,并因此将新事务152j转发到一个或多个其它节点104等等。通过这种方式,新事务在区块链节点104的整个网络中进行传播。
在基于输出的模型中,给定输出(例如,UTXO)是否分配(例如,花费)的定义是,根据区块链节点协议,其是否通过另一个随后事务152j的输入有效赎回。事务有效的另一个条件是其试图赎回的先前事务152i的输出尚未被另一个事务赎回。同样,如果无效,则事务152j将不会在区块链150中传播(除非被标记为无效并且被传播用于提醒)或记录。这可防止重复花费,即事务处理者对同一个事务的输出分配超过一次。另一方面,基于账户的模型通过保持账户余额防止重复花费。因为同样存在定义的事务顺序,账户余额在任何时候均具有单一定义的状态。
除了核实事务有效之外,区块链节点104还争相成为在通常称为挖矿的过程中创建事务区块的第一个节点,而该过程由“工作证明”支持。在区块链节点104处,新事务被添加到尚未出现在记录在区块链150上的区块151中的有效事务的有序池154。然后,区块链节点争相通过尝试解决加密难题以组装有序事务集154中事务152的新有效事务区块151。通常情况下,这包括搜索“随机数”值,从而当随机数与未决事务有序池154的表示并置且进行哈希处理时,哈希值的输出满足预定条件。例如,预定条件可以是哈希值的输出具有某个预定义的前导零数。注意,这仅仅是一种特定类型的工作证明难题,并且不排除其它类型。哈希函数的特性是,相对于其输入,其具有不可预测的输出。因此,该搜索只能通过强力执行,从而在试图解决难题的每个区块链节点104处消耗大量的处理资源。
解决难题的第一区块链节点104在网络106上宣布难题解决,提供解决方案作为证明,然后网络中的其它区块链节点104则可以轻松检查该解决方案(一旦给出哈希值的解决方案,就可以直接检查该解决方案是否使哈希值的输出满足条件)。第一区块链节点104将一个区块传播到接受该区块的其它节点达成阈值共识,从而执行协议规则。然后,有序事务集154被每个区块链节点104记录为区块链150中的新区块151。区块指针155还分配给指向该区块链中先前创建的区块151n-1的新区块151n。创建工作证明解所需的大量工作(例如采用哈希的形式)发出信号通知第一节点104的意图以遵循区块链协议。这些规则包括如果它分配与先前核实有效的事务相同的输出,则不接受事务为有效,否则称之为重复花费。一旦创建,区块151就不能修改,因为它在区块链网络106中的每个区块链节点104处进行标识和维护。区块指针155还向区块151施加顺序。由于事务152记录在网络106中每个区块链节点104处的有序区块中,因此提供了事务的不可改变公共分类账。
应当注意的是,在任何给定时间争相解决难题的不同区块链节点104可以基于在任何给定时间尚未发布的事务的池154的不同快照来这样做,具体取决于它们何时开始搜索解或接收事务的顺序。解决相应难题的人员首先定义新区块151n中包括的事务152及其顺序,并且更新当前的未发布事务池154。然后,区块链节点104继续争相从新定义的未发布事务有序池154中创建区块,等等。此外,还存在解决可能出现的任何“分叉”的协议,其中两个区块链节点104彼此在很短的时间内解决难题,从而在节点104之间传播区块链的冲突视图。简言之,分叉方向最长的成为最终区块链150。应当注意的是,这不会影响网络的用户或代理,因为同一事务将出现在两个分叉中。
根据比特币区块链(和大多数其它区块链),成功构造新区块104的节点被授予在分配附加限定数量数字资产的新特殊类型事务中新分配附加的、接受的数额的数字资产的能力(与代理间或用户间事务相反,该事务将一定数量的数字资产从一个代理或用户转移到另一个代理或用户)。这种特殊类型的事务通常称为“coinbase事务”,但是也可以称为“启动事务”或“产生事务”。它通常形成新区块151n的第一事务。工作证明发出信号通知构造新区块的节点的意图以遵循协议规则,从而允许稍后赎回该特定事务。在可以赎回该特殊事务之前,区块链协议规则可能需要成熟期,例如100个区块。通常,常规(非生成)事务152还将在其输出中的一个输出中指定附加事务费用,以进一步奖励创建其中发布该事务的区块151n的区块链节点104。该费用通常称为“事务费用”,并在下文中讨论。
由于事务核实和发布中涉及的资源,通常至少每个区块链节点104采用包括一个或多个物理服务器单元的服务器的形式,或者甚至整个数据中心。但是,原则上来说,任何给定区块链节点104均可采用一个用户终端或联网在一起的一组用户终端的形式。
每个区块链节点104的存储器均存储被配置为在区块链节点104的处理装置上运行的软件,以根据区块链节点协议执行其相应的角色并处理事务152。应当理解的是,在本文中归因于区块链节点104的任何动作均可通过在相应计算机设备的处理装置上运行的软件执行。节点软件可以在应用层或诸如操作系统层或协议层的较低层或这些层任意组合的一个或多个应用中实现。
扮演消费用户角色的多方103中的每一方的计算机设备102也连接到网络101。这些用户可以与区块链网络106交互,但不参与核实事务或构造区块。其中一些用户或代理103可以充当事务中的发送者和接收者。其它用户可以与区块链150交互,而不必充当发送者或接收者。例如,一些当事方可以充当存储区块链150的副本(例如,已经从区块链节点104获得区块链的副本)的存储实体。
各方103中的一些或所有当事方可以作为不同网络的一部分连接,例如覆盖在区块链网络106之上的网络。区块链网络的用户(经常称为“客户端”)可以被称为是包含区块链网络106的系统的一部分;然而,这些用户不是区块链节点104,因为它们不执行区块链节点所需的角色。相反,每一方103可以与区块链网络106交互,从而通过连接到区块链节点106(即,与区块链节点106通信)来利用区块链150。出于说明目的,示出了双方103及其相应的设备102:第一方103a及其相应的计算机设备102a,以及第二方103b及其相应的计算机设备102b。应当理解的是,更多此类当事方103及其相应的计算机设备102可能存在并参与系统100,但为了方便起见,未进行说明。每一方103均可以是个人或组织。仅出于说明目的,在本文中,第一方103a称为爱丽丝,第二方103b称为鲍勃,但应当理解的是,这并不仅限于爱丽丝或鲍勃,且本文对爱丽丝或鲍勃的任何引用均可分别用“第一方”和“第二方”替换。
每一方103的计算机设备102包括相应的处理装置,其包括一个或更多个处理器,例如一个或更多个CPU、图形处理单元(GPU)、其他加速器处理器、特定应用程序处理器和/或FPGA。每一方103的计算机设备102还包括存储器,即采用非暂时性计算机可读介质形式的计算机可读存储器。该存储器可包括一个或更多个存储器单元,其采用一个或更多个存储器介质,例如诸如硬盘等磁介质、诸如SSD、闪存或EEPROM等电子媒介和/或诸如光盘驱动器等的光学介质。每一方103的计算机设备102上的存储器存储软件,其包括被设置为在处理装置上运行的至少一个客户端应用程序105的相应实例。应当理解的是,在本文中归因于给定方103的任何行动均可通过在相应计算机设备102的处理装置上运行的软件执行。每一方103的计算机设备102包括至少一个用户终端,例如台式或笔记本电脑、平板电脑、智能手机或诸如智能手表等的可穿戴设备。给定方103的计算机设备102还可包括一个或更多个其他网络资源,诸如通过用户终端访问的云计算资源。
客户端应用程序105最初可通过例如从服务器下载的适当计算机可读存储介质,或通过诸如可移动SSD、闪存密钥、可移动EEPROM、可移动磁盘驱动器、软盘或磁带等的可移动存储设备、诸如CD或DVD ROM等的光盘或可移动光驱等提供至任何给定方103的计算机设备102。
客户端应用程序105至少包括“钱包”功能。这有两个主要功能。其中一个功能是使相应方103能够创建、授权(例如签名)事务152并将其发送到一个或多个比特币节点104,然后在区块链节点104的网络中传播,从而包括在区块链150中。另一个功能是向相应方汇报其目前拥有的数字资产数额。在基于输出的系统中,该第二功能包括整理分散在区块链150中属于相关方的各种事务152的输出中定义的数额。
注意:虽然各种客户端功能可以描述为集成到给定客户端应用程序105中,但这不一定是限制性的,相反,在本文中所描述的任何客户端功能可以在由两个或更多个不同应用程序组成的套件中实现,例如经由API进行接口连接或一个应用程序作为另一个应用程序的插件。更通俗地说,客户端功能可以在应用层或诸如操作系统的较低层或这些层的任意组合实现。下面将根据客户端应用程序105进行描述,但应当理解的是,这不是限制性的。
每个计算机设备102上的客户端应用程序或软件105的实例可操作地耦合到网络106的区块链节点104中的至少一个。这可以启用客户端105的钱包功能,以将事务152发送至网络106。客户端105还可联络区块链节点104,以在区块链150中查询相应方103作为接收者的任何事务(或实际上在区块链150中检查其它方的事务,因为在实施例中,区块链150是在某种程度上通过其公开可见性提供事务信任的公共设施)。每个计算机设备102上的钱包功能被配置为根据事务协议制定和发送事务152。如上所述,每个区块链节点104运行软件,该软件被配置为根据区块链节点协议核实事务152并转发事务152以便在区块链网络106中传播。事务协议和节点协议相互对应,给定事务协议和给定节点协议一起实现给定的事务模型。相同的事务协议用于区块链150中的所有事务152。网络106中的所有节点104使用相同的节点协议。
当给定方103(比方说爱丽丝)希望发送拟包含在区块链150中的新事务152j时,她将根据相关事务协议(使用其客户端应用程序105中的钱包功能)制定新事务。然后,她将事务152从客户端应用程序105发送到她所连接的一个或多个区块链节点104。例如,这可能是与爱丽丝的计算机102最佳连接的区块链节点104。当任何给定区块链节点104接收新事务152j时,其将根据区块链节点协议及其相应的角色进行处理。这包括首先检查新接收的事务152j是否满足变为“有效”的特定条件,具体示例稍后将详细讨论。在一些事务协议中,有效条件可通过事务152中包含的脚本在每个事务的基础上进行配置。或者,条件可仅仅是节点协议的内置功能,或通过组合脚本和节点协议进行定义。
如果新接收的事务152j通过有效性测试(即:“有效”的条件下),接收事务152j的任何区块链节点104将向在区块链节点104处维护的有序事务集154中添加新的核实有效事务152。进一步地,接收事务152j的任何区块链节点104随后将核实有效事务152传播至网络106中的一个或多个其它区块链节点104。由于每个区块链节点104应用相同的协议,因此假定事务152j有效,这意味着事务很快将在整个网络106中传播。
一旦进入在给定区块链节点104处维护的未决事务有序池154,该区块链节点104将开始争相解决其各自的包含新事务152的池154的最新版本上的工作证明难题(请记住,其它区块链节点104可以尝试基于不同的事务池154来解决难题。但是,首先解决难题的人将定义包括在最新区块151中的事务集合。最终,区块链节点104将解决有序池154的一部分的难题,该有序集154包括爱丽丝的事务152j)。一旦包括新事务152j的池154完成工作证明,其将不可变地成为区块链150中区块151中的一个区块的一部分。每个事务152包括指向早前事务的指针,因此事务的顺序也被不可变地记录下来。
不同的区块链节点104可以首先接收给定事务的不同实例,并且因此在一个实例被发布到新区块151中之前具有关于哪个实例“有效”的冲突视图,此时所有区块链节点104同意所发布的实例是唯一的有效实例。如果区块链节点104将一个实例接受为有效实例,然后发现第二实例已记录在区块链150中,则区块链节点104必须接受这一点,并将丢弃(即,视为无效)其最初接受的实例(即,在区块151中尚未公布的实例)。
作为基于账户的事务模型的一部分,由一些区块链网络操作的另一种类型的事务协议可称为“基于账户的”协议。在基于账户的情况下,每个事务均不通过参考过去事务序列中先前事务的UTXO来定义转移的数额,而是通过参考绝对账户余额进行定义。所有账户的当前状态由网络的节点单独存储到区块链中,并不断更新。在此类系统中,事务使用账户的运行事务记录(也称为“头寸”)进行排序。该值由发送者签名作为其加密签名的一部分,并作为事务引用计算的一部分进行哈希处理。此外,可选的数据字段也可以在事务中签名。例如,如果数据字段中包含先前事务的ID,该数据字段可指向先前事务。
2.基于UTXO的模型
图2示出了示例性事务协议。这是基于UTXO的协议的示例。事务152(简称“Tx”)是区块链150的基本数据结构(每个区块151包括一个或多个事务152)。下面将通过参考基于输出或基于“UTXO”的协议进行描述。但这并不限于所有可能的实施例。应当注意的是,虽然参考比特币描述了示例性基于UTXO的协议,但是它同样可以在其它示例区块链网络上实现。
在基于UTXO的模型中,每个事务(“Tx”)152包括数据结构,其包括一个或多个输入202和一个或多个输出203。每个输出203可包括未花费事务输出(UTXO),其可用作另一新事务的输入202的来源(如果UTXO尚未赎回)。UTXO包括指定数字资产数额的值。这表示分布式分类账上的一组通证。UTXO还可包含其来源事务的事务ID以及其它信息。事务数据结构还可包括标头201,其可包括输入字段202和输出字段203的大小指示符。标头201还可包括事务的ID。在实施例中,事务ID是事务数据(不含事务ID本身)的哈希值,且存储在提交至节点104的原始事务152的标头201中。
比方说爱丽丝103a希望创建转移相关数字资产数额至鲍勃103b的事务152j。在图2中,爱丽丝的新事务152j标记为“Tx1”。该新事务获取在序列中先前事务152i的输出203中锁定至爱丽丝的数字资产数额,并至少将此类数额中的一部分转移至鲍勃。在图2中,先前事务152i标记为“Tx0”。Tx0和Tx1只是任意的标记,其不一定意味着Tx0指区块链151中的第一事务且Tx1指池154中的后续事务。Tx1可指向仍具有锁定至爱丽丝的未花费输出203的任何先前(即先行)事务。
当爱丽丝创建其新事务Tx1时,或至少在她将该新事务发送至网络106时,先前事务Tx0可能已经有效并包括在区块链150的区块151中。该事务此时可能已包括在区块151中的一个区块中,或者可能仍在有序集154中等待,在这种情况下,该事务将很快包括在新区块151中。或者,Tx0和Tx1可以创建并一起发送至网络106;或者,如果节点协议允许缓冲“孤立”事务,Tx0甚至可以在Tx1之后发送。本文事务序列上下文中使用的“先前”和“后续”一词是指由事务中指定的事务指针定义的序列中的事务顺序(哪个事务指向哪个其他事务等等)。它们同样可以替换为“前任”和“继任”、“先行”和“后代”或“父项”和“子项”等。这不一定指其创建、发送至网络106或到达任何给定区块链节点104的顺序。然而,指向先前事务(先行事务或“父事务”)的后续事务(后代事务或“子事务”)不会有效除非父事务有效。在父事务之前到达区块链节点104的子事务被视为孤立事务。根据节点协议和/或节点行为,其可被丢弃或缓冲一段时间,以等待父事务。
先前事务Tx0的一个或更多个输出203中的一个包括特定的UTXO,标记为UTXO0。每个UTXO包括指定UTXO表示的数字资产数额的值以及锁定脚本,该锁定脚本定义后续事务的输入202中的解锁脚本必须满足的条件,以使后续事务有效,从而成功赎回UTXO。通常情况下,锁定脚本将数额锁定至特定方(该数额的事务的受益人)。即,锁定脚本定义解锁条件,该解锁条件通常包括以下条件:后续事务的输入中的解锁脚本包括先前事务被锁定到的一方的加密签名。
锁定脚本(亦称scriptPubKey)是节点协议识别的域特定语言中写入的一段代码。此类语言的特定示例称为“脚本(Script)”(S大写),其可由区块链网络所使用。锁定脚本指定花费事务输出203所需的信息,例如爱丽丝签名的要求。解锁脚本出现在事务的输出中。解锁脚本(亦称scriptSig)是提供满足锁定脚本标准所需信息的域特定语言中写入的一段代码。例如,其可包含鲍勃的签名。解锁脚本出现在事务的输入202中。
因此在示出的示例中,Tx0的输出203中的UTXO0包括锁定脚本[Checksig PA],该锁定脚本需要爱丽丝的签名Sig PA,以赎回UTXO0(严格来说,是为了使试图赎回UTXO0的后续事务有效)。[Checksig PA]包含爱丽丝的公私密钥对中的公钥PA的表示(即哈希)。Tx1的输入202包括指向Tx1的指针(例如,通过其事务ID(TxID0),其在实施例中是整个事务Tx0的哈希值)。Tx1的输入202包括在Tx0中标识UTXO0的索引,以在Tx0的任何其他可能输出中对其进行标识。Tx1的输入202进一步包括解锁脚本<Sig PA>,该解锁脚本包括爱丽丝的加密签名,该签名由爱丽丝通过将其密钥对中的私钥应用于预定的部分数据(有时在密码学中称为“消息”)创建。爱丽丝需要签名以提供有效签名的数据(或“消息”)可通过锁定脚本、节点协议或其组合进行定义。
当新事务Tx1到达区块链节点104时,该节点应用节点协议。这包括一起运行锁定脚本和解锁脚本,以检查解锁脚本是否满足锁定脚本中定义的条件(其中该条件可包括一个或更多个标准)。在实施例中,这涉及并置两个脚本:
<Sig PA><PA>||[Checksig PA]
其中“||”表示并置,“<…>”表示将数据放在堆栈上,“[…]”表示由锁定脚本组成的函数(在该示例中指基于堆栈的语言)。同样,脚本可以使用公共堆栈一个接一个地运行,而不是并置脚本。无论采用哪种方式,当一起运行时,脚本使用爱丽丝的公钥PA(包括在Tx0的输出的锁定脚本中),以认证Tx1的输入中的解锁脚本是否包含爱丽丝签名预期部分的数据时的签名。也需要包括预期的部分数据本身(“消息”),以便执行此认证。在实施例中,签名的数据包括整个Tx1(因此不需要包括一个单独的元素来明文指定签名的部分数据,因为其本身便已存在)。
本领域技术人员将熟悉通过公私密码进行验证的细节。基本上而言,如果爱丽丝已使用其私钥加密签署消息,则给定爱丽丝的公钥和明文中的消息,诸如节点104等其它实体可验证消息必须已经由爱丽丝签名。签署通常包括对消息进行哈希,签署哈希值和将此标记到消息作为签名,从而使公钥的任何持有者能够验证签名。因此,应当注意的是,在实施例中,在本文中对签名特定数据片段或事务部分等的任何引用可以意味着对该数据片段或事务部分的哈希值进行签名。
如果Tx1中的解锁脚本满足Tx0的锁定脚本中指定的一个或多个条件(因此,在所示示例中,如果在Tx1中提供了爱丽丝的签名并进行验证),则区块链节点104认为Tx1有效。这意味着区块链节点104会将Tx1添加到待定事务有序池154。区块链节点104还会将事务Tx1转发到网络106中的一个或多个其它区块链节点104,以便其会在整个网络106中传播。一旦Tx1有效并包括在区块链150中,这会将UTXO0从Tx0定义为已花费。应当注意的是,Tx1仅在花费未花费事务输出203时才有效。如果其试图花费另一事务152已经花费的输出,则即使满足所有其它条件,Tx1也将无效。因此,区块链节点104还需要检查先前事务Tx0中引用的UTXO是否已经花费(即,其是否已经形成另一有效事务的有效输入)。这是为何区块链150对事务152施加定义的顺序很重要的原因之一。在实践中,给定区块链节点104可维护单独的数据库,标记已花费事务152的UTXO 203,但最终定义UTXO是否已花费取决于是否在区块链150中形成了另一有效事务的有效输入。
如果给定事务152的所有输出203中指定的总数额大于其所有输入202所指向的总数额,则这是大多数事务模型中的另一失效依据。因此,此类事务不会传播或包括在区块151中。
请注意,在基于UTXO的事务模型中,给定UTXO需要作为一个整体使用。不能“留下”UTXO中定义为已花费的一部分数额,而同时又花费另一部分。但UTXO的数额可以在后续事务的多个输出之间分割。例如,Tx0的UTXO0中定义的数额可以在Tx1中的多个UTXO之间分割。因此,如果爱丽丝不想将UTXO0中定义的所有数额都给鲍勃,她可以使用剩余部分在Tx1的第二输出中自己找零,或者支付给另一方。
在实践中,爱丽丝通常还需要包括用于比特币节点104的费用,该比特币节点104在区块151中成功包含爱丽丝的事务104。如果爱丽丝未包括此类费用,则Tx0可能会被区块链节点104拒绝,并且因此尽管在技术上有效,但可能不会传播并且包括在区块链150中(如果区块链节点104不希望接受事务152,节点协议不强迫区块链节点104接受)。在一些协议中,事务费用不需要其自身的单独输出203(即不需要单独的UTXO)。相反,输入202指向的总数额与给定事务152的输出203指定的总数额之间的任何差额都将自动提供给发布事务的区块链节点104。例如,假设指向UTXO0的指针是Tx1的唯一输入,并且Tx1仅具有一个输出UTXO1。如果在UTXO0中指定的数字资产数额大于在UTXO1中指定的数额,则可以由赢得工作证明竞赛以创建包含UTXO1的区块的节点104分配该差值。替代地或附加地,这不一定排除可以在其自身事务152的其中一个UTXO 203中明确指定事务费用。
爱丽丝和鲍勃的数字资产由区块链150中任何位置的任何事务152中的锁定至他们的UTXO组成。因此,通常情况下,给定方103的资产分散在整个区块链150的各种事务152的UTXO中。区块链150中的任何位置均未存储定义给定方103的总余额的一个数字。客户端应用程序105的钱包功能的作用是将锁定至相应方且在其它随后事务中尚未花费的各种UTXO值整理在一起。为实现这一点,其可以查询存储在任何一个比特币节点104处的区块链150的副本。
应当注意的是,脚本代码通常用示意图表示(即使用非精确语言)。例如,可以使用操作码(opcode)来表示特定功能。“OP_...”是指脚本语言的特定操作码。举例来说,OP_RETURN是脚本语言操作码,当在锁定脚本的开始处在操作码前加上OP_FALSE时,操作码创建事务的不可花费输出,该输出可以在事务内存储数据,从而将数据不可改变地记录在区块链150中。例如,数据可包括需存储在区块链中的文件。
通常,事务的输入包含对应于公钥PA的数字签名。在实施例中,这基于使用椭圆曲线secp256k1的ECDSA。数字签名对特定的数据段进行签名。在实施例中,对于给定事务,签名将对部分事务输入以及部分或全部事务输出进行签名。对输出的特定部分进行签名取决于SIGHASH标志。SIGHASH标志通常是包含在签名末尾的4字节代码,用于选择签名的输出(并因此在签名时固定)。
锁定脚本有时称为“scriptPubKey”,指其通常包括相应事务被锁定到的当事方的公钥。解锁脚本有时称为“scriptSig”,指其通常提供相应的签名。但是更通俗地说,在区块链150的所有应用中,UTXO赎回的条件并不一定包括对签名进行验证。更通俗地说,脚本语言可用于定义任何一个或多个条件。因此,可以优选更为通用的术语“锁定脚本”和“解锁脚本”。
3.侧信道
如图1所示,爱丽丝和鲍勃的计算机设备102a、120b中的每个计算机设备上的客户端应用程序都可以包括附加通信功能。此附加功能可使爱丽丝103a建立与鲍勃103b的单独侧信道107(在任何一方或第三方的鼓动下)。侧信道107使得能够脱离区块链网络交换数据。此类通信有时称为“链下”通信。例如,这可用于在爱丽丝与鲍勃之间交换事务152,而不将该事务(尚未)注册到区块链网络106上或将其发布到链150上,直到其中一方选择将其广播到网络106上。以这种方式共享事务有时称为共享“事务模板”。事务模板可能缺少形成完整事务所需的一个或多个输入和/或输出。替代地或附加地,侧信道107可用于交换任何其它事务相关数据,例如密钥、议付数额或条款、数据内容等。
通过与区块链网络106相同的分组交换网络101可建立侧信道107。替代地或附加地,侧信道301可以经由诸如移动蜂窝网络的不同网络或者诸如无线局域网络的局域网建立,甚至经由爱丽丝和鲍勃的设备102a、102b之间的直接有线或无线链路建立。通常,在本文中任何地方所指的侧信道107可以包括经由一项或多项联网技术或通信介质的任何一条或多条链路,这些链路用于“链下”交换数据,即脱离区块链网络106交换数据。在使用多条链路的情况下,链下链路束或集合整体上可以称为侧信道107。因此,应当注意的是,如果说爱丽丝和鲍勃通过侧信道107交换某些信息或数据等,则这不一定意味着所有这些数据都必须通过完全相同的链路或甚至相同类型的网络发送。
4.部分SHA256
本发明的实施例使得能够证明,给定使用SHA哈希函数(例如,SHA256、SHA512等)进行哈希处理的原像的哈希摘要,消息(即,任何数据片段)形成该哈希摘要的该原像的一部分。该原像的一部分(要被证明属于该原像)在本文称为“部分原像”,也称为“第二消息”。通常,该原像由第一消息(即,该原像的第一部分)和第二消息(即,该消息的第二部分)组成,其中第一消息在第二消息之前。应当注意的是,第一消息和第二消息(以及作为一个整体的原像)不一定是两个或更多个实体之间的通信意义上的消息。也就是说,术语“消息”用于指代任何类型的数据。也就是说,本公开中使用的“消息”(无论是第一消息、第二消息还是作为一个整体的原像)并不一定意味着有意义的内容或有效载荷,尽管当然并不排除这种情况。例如,消息可以包括与另一(非用户内容)元素级联的用户有效载荷和/或内容数据,诸如盐或随机数。
图3示出了用于实现本发明的实施例的示例性系统300。系统300包括证明方301和验证方302。证明方301是希望向另一方(验证方302)证明第二消息形成与哈希摘要对应的原像的一部分的实体。验证方302是希望验证第二消息形成与哈希摘要对应的原像的一部分的实体。通常,各方可以是任何类型的实体,例如诸如爱丽丝103a或鲍勃103b等用户、一组用户、组织、机器、区块链节点104等。
无论实体的特定类型如何,证明方301和验证方302操作相应计算机设备,该计算机设备包括相应的处理装置,该处理装置包括一个或多个处理器,例如一个或多个CPU、GPU、DSP、加密处理器、其他加速器处理器、专用处理器和/或FPGA。证明方301和验证方302的相应计算机设备还包括存储器,即采用非瞬时性计算机可读介质形式的计算机可读存储器。该存储器可以包括一个或多个存储器单元,该一个或多个存储器单元采用一个或多个存储器介质,例如诸如硬盘或磁带等磁介质、诸如SSD、闪存或EEPROM、ROM、DRAM、SRAM等电子媒介和/或诸如光盘驱动器或玻璃存储器等光学介质。相应计算机设备上的存储器可以存储软件,该软件包括被设置为在处理装置上运行的至少一个客户端应用程序的相应实例。应当理解的是,在本文中归因于证明方301和验证方302的任何动作均可使用在该方的相应计算机设备的处理装置上运行的软件执行。相应计算机设备包括至少一个用户终端,例如台式电脑或笔记本电脑、平板电脑、智能手机或诸如智能手表等可穿戴设备。给定方301、302的计算机设备还可以包括一个或多个其他网络资源,诸如通过用户终端访问的云计算资源。
本发明的实施例将首先根据基于SHA的哈希函数是SHA256哈希函数来描述。然而,应当理解的是,可以使用任何基于SHA的哈希函数。
从能够访问整个原像(即,第一消息和第二消息的级联)的证明方301的角度,证明方301对该原像部分地执行SHA256哈希函数。也就是说,证明方301将原像输入到SHA256哈希函数,并且运行一些但不是全部SHA256哈希函数(即,被配置为实现SHA256哈希函数的算法)。SHA256哈希函数本身是众所周知的,并且在https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf中进行了详细描述。另请参见https://en.wikipedia.org/wiki/SHA-2。
证明方301部分地执行SHA256哈希函数,以生成迭代输入向量。该迭代输入向量是在处理表示第一消息的字节区块之后输出的向量。原像被表示为字节序列。该字节序列使用一个或多个字节来填充,以生成填充序列。作为SHA256哈希函数的预处理阶段的一部分,技术人员熟悉该字节序列的填充。该填充序列然后被划分(即,解析)为区块序列,其中每个区块的大小为64字节。这将称为第一区块序列。同样,技术人员熟悉该划分。第一区块序列中的第一多个区块表示第一消息,即,该第一多个区块包括表示第一消息的字节。替代地,该第一多个区块可以通过将第一消息的二进制表示划分为多个64字节区块来直接从第一消息获取。第一区块序列中的第二多个区块表示第二消息和任何填充。也就是说,第二多个区块包括表示第二消息的字节和填充字节。然后,按顺序对第一多个区块执行SHA256哈希计算。也就是说,对第一区块序列中的第一区块执行SHA256哈希计算的迭代,然后对第一区块序列中的第二区块执行SHA256哈希计算的迭代,依此类推。迭代输入向量是对第一多个区块中的最后一个区块执行SHA256哈希函数的迭代的输出。SHA256哈希计算的每次迭代均输出相应的迭代输入向量。因此,为方便起见,在对第一多个区块中的最后一个区块执行SHA256哈希计算的最终迭代之后输出的迭代输入向量将称为目标迭代输入向量。
应当注意的是,被称为以字节表示的任何数据(例如,原像、第一消息、第二消息、填充序列、区块等)可以等效地以位表示。
为了证明第二消息形成原像的一部分,证明方301将目标迭代输入向量提供给验证方302。例如,这可以包括通过安全通信信道将目标迭代输入向量发送给验证方302。在其他示例中,目标迭代输入向量可以通过在线资源(例如,网页,可以是也可以不是可公开访问的,也就是说,可能需要密码等来访问该网页的内容)提供。
验证方302可能已经可以访问哈希摘要。如果不是,则证明方301可以将哈希摘要发送给验证方302,用于验证第二消息是原像的一部分。证明方301可以通过其他方式(例如,通过发布哈希摘要)将哈希摘要提供给验证方302。也不排除另一方将哈希摘要提供给验证方302。事实上,另一方可能是生成哈希摘要的一方。
类似地,证明方301可以向验证方302发送或以其他方式提供第二消息。
如下所述,在一些示例中,验证方302必须知道原像的位长度或字节长度。在这些示例中,证明方301可以向验证方302发送或以其他方式提供原像的位长度或字节长度。附加地或替代地,验证方302可以获取第一消息的位长度或字节长度。
例如,在从证明方301获取目标迭代输入向量之后,验证方302执行完整性证明,以验证第二消息形成原像的一部分。验证方301需要访问表示为字节序列的第二消息。该字节序列使用一个或多个字节来填充,以生成填充序列。该填充序列然后被划分(即,解析)为区块序列,其中每个区块的大小为64字节。这将称为第二区块序列。第二序列中的第一区块包括第二消息的第一字节。验证方302可以执行所述填充;或者,例如,验证方302可以从证明方301获取填充序列。然后,按顺序对第二区块序列执行SHA256哈希计算。也就是说,对第二区块序列中的第一区块执行SHA256哈希计算的迭代,然后对第二区块序列中的第二区块执行SHA256哈希计算的迭代,依此类推。如上所述,在SHA256哈希函数的每次迭代结束时输出相应的迭代输入向量。为方便起见,在处理第二区块序列中的最后一个区块之后输出的相应的迭代输入向量将称为最终迭代输出向量。
为清晰起见,迭代输入向量和迭代输出向量采用相同的格式,并且实际上是相同的。“迭代输入向量”仅用于指代将用作SHA256哈希计算的下一次迭代的输入的向量。“迭代输出向量”仅用于指代SHA256哈希计算的前一次迭代的输出。
然后,验证方302基于最终迭代输出向量302,例如通过级联最终迭代输出向量的元素来生成候选哈希摘要。如果第二消息确实是原像的一部分,则候选哈希摘要应与被声称为原像的哈希的哈希摘要匹配。因此,验证方302可以比较候选哈希摘要和所获取的哈希摘要,并验证这两个哈希摘要是相等的。如上所述,哈希摘要可以直接从证明方301或别处获取,例如在原像包括区块链事务的情况下从区块链150获取。
下面提供了所述实施例的进一步具体示例。
假设SHA256(m)=h,其中m=m1||m2是级联m1和m2的消息。如果已知h,则可以通过检查SHA256(m)是否等于h来验证m的完整性。给定哈希值h,还可以验证m2的完整性而不揭示m1。这可以相当于SHA256的一次计算的计算成本来完成。
4.1 SHA256的内部工作原理
给定输入m,其可以由字节序列b0,b1,…,bn-1表示,第一步骤是填充该输入。如上所述,所述实施例可以应用于数据(例如,原像m)的任何二进制表示,并且不限于以字节表示的数据。
1.附加一字节0x80作为bn。
2.附加p字节的0x00直至n+1+p=56 mod 64,其中p是最小正整数。
3.以8字节(大端)表示输入m的位长度,并附加该位长度。
下一步骤是将所填充的输入划分为64字节区块。应当注意的是,每字节为8位。
B0={b0,b1,…,b63}
B1={b64,b65,…,b127}
…
Bk={b64k,b64k+1,…,bn+p+8}
然后逐个处理这些区块。此类过程称为区块迭代,或者简称为迭代。每次区块迭代采用两个输入:
1.由8个元素组成的向量,每个元素的大小为4字节;以及
2.区块本身,由其16个字的分区表示,每个字的大小为4字节。
对于第一区块,输入向量称为初始向量(IV)。在SHA256算法的标准实现方式中,IV被设置为前八个素数的平方根的分数部分的前32位。对于所有后续区块,输入向量是上一次区块迭代的输出。当存在歧义时,将这些输入向量称为迭代输入向量。
每次迭代包括预处理阶段和64轮混排。预处理阶段生成64个字,每个字的大小为4字节,由W0,W1,…,W63表示。前16个字来自所处理的区块。所有后续字都是从前16个字导出的。
每轮采用两个输入:
1.由8个元素组成的向量,每个元素的大小为4字节;以及
2.字W(按顺序消耗)。
对于第一轮,将输入向量初始化为来自区块迭代的输入向量。对于所有后续轮,输入向量是上一轮的输出。为了区分它们与迭代输入向量,将它们称为轮输入向量。
在区块迭代结束时,组合最后一轮的输出与迭代输入向量,以创建该区块迭代的输出。
4.2使用SHA256实现部分原像的完整性
目标在于,给定h,证明m2的完整性而不揭示m1,其中SHA256(m1||m2)=h。SHA256的内部工作原理的描述使得能够在哈希值计算过程中的任何点停止,并找出继续计算所需的信息。换句话说,可以在消耗m1时停止,将所需信息标识为中间状态,并使用m2继续计算,其中该中间状态不会揭示m1本身。
可以推断,所需信息包括:
1.由8个元素组成的迭代输入向量;
2.由8个元素组成的轮输入向量(如果不同于上述内容);
3.待要在当前区块迭代中处理的其余字;以及
4.待要迭代的其余区块。
如果m1的字节长度正好是64的倍数,则第1项和第4项足以继续计算以得出h。否则,需要第1项、第2项和第3项来完成当前区块迭代,然后继续进行其余计算。
应当注意的是,第3项可以由先前处理的16个字或表示区块本身的前16个字来替换,因为其余字可以从中导出。
虽然SHA256的安全性在一定程度上可以由每次区块迭代继承,但是可能不是区块迭代中的每轮都是如此。因此,如果可以假设通过组合第2项和第3项,以计算方式可以得出该区块迭代中的前16个字,则可以将信息列表简化为:
1.由8个元素组成的迭代输入向量,由IViteration表示;以及
2.待要迭代的其余区块。
由于简化,可以假设从现在开始m1的长度正好是64的倍数。此外,还将其余计算表示为部分SHA256(pS256)。
应当注意的是,消息的第二部分m2不等同于其余区块。虽然最后一个区块包含输入m的长度,但是该信息在m2中不可用。因此,在验证m2的完整性而不揭示m1的情况下,需要知道m1或m的长度,以便构造填充和最后一个区块。
现在可以正式描述部分SHA256算法。使用来表示m的位长度。
步骤1:将一字节0x80附加到m2,后跟p字节的0x00,其中p是最小正整数,使得以8字节(大端)表示/>并将其附加到输入的末尾(即,填充m2)。
输出:区块列表,每个区块的大小为64字节。
步骤2:遍历SHA256等区块,其中IV被设置为IViteration。
输出:由8个元素组成的向量,每个元素的大小为4字节。
步骤3:级联步骤2的输出中的8个元素。
输出:32字节的哈希值。
主张:假设消息m的位长度为SHA256(m)=h,m=m1||m2,其中m1的位长度是512的倍数,并且用于通过SHA256算法处理m直至达到m1的输出为IViteration。对于任何m′2≠m2,在假设SHA256是抗碰撞的情况下,/>的概率可以忽略不计。
证明:假设m′2≠m2,使得假设m′=m1||m′2,使得SHA256(m′)=h。如果m′≠m,则判定SHA256发生碰撞。然而,在假设抗碰撞的情况下,在SHA256中发现碰撞的概率可以忽略不计。因此,事件/>(其中m′2≠m2)的概率也可以忽略不计。
现在,给定对于m而言哈希值为h、对于m1而言中间状态为IViteration并且m的位长度为可以证明m2的完整性而不揭示m1。当m1是秘密或某些数据(该数据太大而无法呈现、发送或存储)时,这是非常有用的。
到目前为止,已经在SHA256的上下文中描述了本发明的实施例。然而,所述实施例可以容易地适应安全哈希标准(https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf)[1]中涵盖的任何其他SHA函数。为方便起见,这里重复描述部分SHA256。
步骤1:将一字节0x01附加到m2,后跟p字节的0x00,其中p是最小正整数,使得以8字节(大端)表示/>并将其附加到输入的末尾。
输出:区块列表,每个区块的大小为64字节。
步骤2:遍历SHA256等区块,其中IV被设置为IViteration。
输出:由8个元素组成的向量,每个元素的大小为4字节。
步骤3:级联步骤2的输出中的8个元素。
输出:32字节的哈希值。
该函数可以通过四个组件来捕获:
1.IViteration,
2.填充,
3.区块迭代,和
4.最终输出。
该技术可以应用于其他SHA函数,只需对这些组件中的部分或全部组件进行更改。首先从SHA-1和SHA-224开始,四个组件如下所示。
从SHA512开始,以便涵盖其他SHA函数。
4.3 SHA512的内部工作原理
给定输入m,其可以由字节序列b0,b1,…,bn-1表示,第一步骤是填充该输入。如上所述,所述实施例应用于数据的任何二进制表示(例如,原像m),并且不限于以字节表示的数据。
1.附加一字节0x80作为bn。
2.附加p字节的0x00,直至n+1+p=112 mod 128。
3.以16字节(大端)表示输入m的位长度,并附加该位长度。
下一步骤是将所填充的输入划分为128字节区块。应当注意的是,每字节为8位。
B0={b0,b1,…,b127}
B1={b128,b129,…,b255}
…
Bk={b128k,b128k+1,…,bn+p+16}
然后逐个处理这些区块。此类过程称为区块迭代,或者简称为迭代。
每次区块迭代采用两个输入:
1.由8个元素组成的向量,每个元素的大小为8字节;以及
2.区块本身,由其16个字的分区表示,每个字的大小为8字节。
对于第一区块,输入向量称为初始向量(IV)。在SHA512算法的标准实现方式中,IV被设置为前八个素数的平方根的分数部分的前64位。对于所有后续区块,输入向量是上一次区块迭代的输出。当存在歧义时,将这些输入向量称为迭代输入向量。
每次迭代包括预处理阶段和80轮混排。预处理阶段生成80个字,每个字的大小为8字节,由W0,W1,…,W79表示。前16个字来自所处理的区块。所有后续字都是从前16个字导出的。
每轮采用两个输入:
1.由8个元素组成的向量,每个元素的大小为8字节;以及
2.字W(按顺序消耗)。
对于第一轮,将输入向量初始化为来自区块迭代的输入向量。对于所有后续轮,输入向量是上一轮的输出。为了区分它们与迭代输入向量,将它们称为轮输入向量。
在区块迭代结束时,组合最后一轮的输出与迭代输入向量,以创建该区块迭代的输出。
4.4使用SHA512实现部分原像的完整性
目标在于,给定h,证明m2的完整性而不揭示m1,其中SHA512(m1||m2)=h。SHA512的内部工作原理的描述使得能够在哈希值计算过程中的任何点停止,并找出继续计算所需的信息。换句话说,可以在消耗m1时停止,将所需信息标识为中间状态,并使用m2继续计算,其中该中间状态不会揭示m1本身。
可以推断,所需信息包括:
1.由8个元素组成的迭代输入向量,
2.由8个元素组成的轮输入向量(如果不同于上述内容),
3.待要在当前区块迭代中处理的其余字,以及
4.待要迭代的其余区块。
如果m1的字节长度正好是128的倍数,则第1项和第4项足以继续计算以得出h。否则,需要第1项、第2项和第3项来完成当前区块迭代,然后继续进行其余计算。
应当注意的是,第3项可以由先前处理的16个字或表示区块本身的前16个字来替换,因为其余字可以从中导出。
虽然SHA512的安全性在一定程度上可以由每次区块迭代继承,但是可能不是区块迭代中的每轮都是如此。因此,如果可以假设通过组合第2项和第3项,以计算方式可以得出该区块迭代中的前16个字,则可以将信息列表简化为:
1.由8个元素组成的迭代输入向量,由IViteration表示;以及
2.待要迭代的其余区块。
由于简化,可以假设从现在开始m1的长度正好是128的倍数。此外,还将其余计算表示为部分SHA512(pS512)。
应当注意的是,消息的第二部分m2不等同于其余区块。虽然最后一个区块包含输入m的长度,但是该信息在m2中不可用。因此,在验证m2的完整性而不揭示m1的情况下,需要知道m1或m的长度,以便构造填充和最后一个区块。
现在可以正式描述部分SHA512算法。使用来表示m的位长度。
步骤1:将一字节0x80附加到m2,后跟p字节的0x00,其中p是最小正整数,使得以16字节(大端)表示/>并将其附加到输入的末尾。
输出:区块列表,每个区块的大小为128字节。
步骤2:遍历SHA512等区块,其中IV被设置为IViteration。
输出:由8个元素组成的向量,每个元素的大小为8字节。
步骤3:级联步骤2的输出中的8个元素。
输出:64字节的哈希值。
现在,可以涵盖SHA384、SHA512-224和SHA512-256。
4.5示例性用例1—大尺寸原像
在比特币中,事务可以在OP_FALSE OP_RETURN输出中承载数据。此类输出的大小限制可以由比特币节点配置,并且在撰写本文时为100KB。据信,该限制将在未来完全取消。事务的一个有趣部分是可花费输出。为了证明可花费输出的完整性,必须提供整个事务来计算事务ID。也就是说,例如,为了证明标准支付到公钥哈希输出(包括输出值的34字节)的完整性,必须提供整个事务,该整个事务的大小目前可以超过100千字节,或者未来可以是几千兆字节。使用本发明的解决方案,可以将大多数事务数据编辑为IViteration,其大小恒定为32字节。图4示出了一个示例性事务。
通过使用双重SHA256对序列化事务进行哈希处理来获取事务ID TxID1。图5示出了序列化事务的格式。
可以定义m1=version||InputCount||Inputs||OutputCount||Output1,并且m2=Output2||Locktime。
为了证明第二输出的完整性,只需提供IViteration、和m2,其中IViteration为32字节,/>的上限为8字节,m2为38字节,其中包括来自锁定时间的4字节。也就是说,无论事务有多大,证明第二输出所需的数据大小的上限恒定为78字节。SHA256可以采用的最大数据大小由填充中数据长度的编码设置上限。最大值为2艾字节或2×1018字节。4字节/>可以涵盖大小高达4GB的事务。
该理念可以推广到最后一个输出或最后几个输出。当花费事务中的签名至关重要时,这些输出的完整性的相关性更加明显。更准确地说,当公钥链接到身份或可以特定方式解释时,需要确保先前锁定脚本确实需要相对于给定公钥的签名。所述完整性证明在证明先前锁定脚本的完整性方面提供了显著的节省。该理念可以进一步推广到任何大数据,其中目标部分位于数据的末尾并且尺寸较小,例如包含大型电影片尾字幕的最后一个场景。这可以用于证明演员出演了电影,而无需分享整部电影。
4.6示例性用例2—包含秘密的原像
完整性证明也可以用于隐藏m1,因为它是秘密,而不仅仅是太大数据。例如,假设护照包含有关一个人的性别和年龄的信息,并由政府进行数字签名。为了证明该人年满18周岁而不揭示其性别,他们只需提供IViteration、他们的年龄和护照文件的位长度。验证者可以基于所提供的信息来计算该文件的哈希,从而验证来自政府的数字签名。
5.结论
一旦给出本文的公开内容,所公开技术的其它变体或用例对于本领域技术人员可能变得显而易见。本公开的范围不受所描述的实施例限制,而仅受随附权利要求限制。
例如,上面的一些实施例已经根据比特币网络106、比特币区块链150和比特币节点104进行了描述。然而,应当理解的是,比特币区块链是区块链150的一个特定示例,并且上述描述通常可以应用于任何区块链。也就是说,本发明决不限于比特币区块链。更一般地,以上对比特币网络106、比特币区块链150和比特币节点104的任何引用可以分别参考区块链网络106、区块链150和区块链节点104来替换。区块链、区块链网络和/或区块链节点可以共享如上所述的比特币区块链150、比特币网络106和比特币节点104的部分或全部所述特性。
在本发明的优选实施例中,区块链网络106是比特币网络,并且比特币节点104至少执行对区块链150的区块151进行创建、发布、传播和存储中的所有所述功能。不排除可能存在仅执行这些功能中的一个或部分功能但不是全部功能的其它网络实体(或网络元件)。也就是说,网络实体可以执行传播和/或存储区块的功能,而不创建和发布区块(请记住,这些实体不被认为是优选的比特币网络106的节点)。
在本发明的其他实施例中,区块链网络106可以不是比特币网络。在这些实施例中,不排除节点可以执行对区块链150的区块151进行创建、发布、传播和存储中的至少一个或部分功能但不是所有功能。例如,在这些其它区块链网络上,“节点”可用于指被配置为创建和发布区块151但不存储和/或传播这些区块151到其它节点的网络实体。
甚至更通俗地说,上面对术语“比特币节点”104的任何引用可以用术语“网络实体”或“网络元件”代替,其中这样的实体/元件被配置为执行对区块进行创建、发布、传播和存储中的一些或全部角色。这种网络实体/元件的功能可以在硬件中实现,方法与上面参照区块链节点104所述的方式相同。
应当理解的是,上述实施例仅通过示例的方式进行描述。更通俗地说,可根据下述任何一个或多个语句提供一种方法、装置或程序。
语句1.一种计算机实现的方法,用于验证原像的一部分的完整性,所述原像与哈希摘要对应,所述哈希摘要是通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的,其中所述原像包括第一消息和第二消息,并且所述方法由验证方执行并且包括:
a)接收迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的,其中部分地执行所述基于SHA的哈希函数包括:
i)获取第一区块序列,其中所述第一区块序列通过以下方式获取:填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列,或者将所述第一消息的二进制表示拆分成所述第一区块序列,以及,
ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位;
b)获取第二区块序列,其中第二多个区块通过以下方式生成:
i)填充所述第二消息的二进制表示以生成第二填充序列,
ii)将所述第二填充序列拆分成所述第二区块序列;
c)通过按照所述第二区块序列中的相应位置的顺序对所述第二区块序列中的每个区块执行所述基于SHA的哈希计算的迭代,来生成最终迭代输出向量,其中对所述第二区块序列中的第一区块执行的所述基于SHA的哈希计算的所述迭代是基于所获取的迭代输入向量;以及,
d)基于所述最终迭代输出向量来生成候选哈希摘要,所述候选哈希摘要用于与所述哈希摘要进行比较。
基于SHA的哈希函数是在安全哈希标准中描述的哈希函数。
所述验证方可能不知道所述原像,也不知道所述第一消息。
2.根据语句1所述的方法,所述方法包括:
获取所述哈希摘要;以及,
基于所述候选哈希摘要与所获取的哈希摘要的比较,来验证所述第二消息是所获取的哈希摘要的所述原像的一部分。
3.根据语句1或2所述的方法,其中所述的接收所述迭代输入向量包括:从证明方接收所述迭代输入向量。
所述哈希摘要和/或所述迭代输入向量可以从所述证明方获取。
4.根据前述任一项语句所述的方法,所述方法包括:获取所述第二消息。
所述第二消息可以由所述证明方发送给所述证明方。
5.根据语句4所述的方法,其中所述的获取所述第二区块序列包括:生成所述第二区块序列。
6.根据语句4或5所述的方法,所述方法包括:获取所述原像的长度,并且其中所述的生成所述第二填充序列是基于所述第二消息和所述原像的所述长度。
7.根据语句4或5所述的方法,所述方法包括:获取所述第一消息的长度,并且其中生成所述第二填充序列基于所述第二消息和所述第一消息的所述长度。
8.根据前述任一项语句所述的方法,其中所述的获取所述第二区块序列包括:接收所述第二区块序列。
9.一种计算机实现的方法,用于证明原像的一部分的完整性,所述原像与哈希摘要对应,所述哈希摘要是通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的,其中所述原像包括第一消息和第二消息,并且其中所述方法由证明方执行并且包括:
a)生成迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的,其中部分地执行所述基于SHA的哈希函数包括:
i)获取第一区块序列,其中所述第一区块序列通过以下方式获取:填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列,或者将所述第一消息的二进制表示拆分成所述第一区块序列,以及,
ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位;以及,
b)将所述迭代输入向量提供给验证方。
10.根据语句9所述的方法,所述方法包括:将所述哈希摘要提供给所述验证方。
11.根据语句9或10所述的方法,所述方法包括:将所述第二消息提供给所述验证方。
12.根据语句9至11中任一项所述的方法,所述方法包括:将所述原像或所述第一消息的位长度提供给所述验证方。
13.根据前述任一项语句所述的方法,其中所述第一消息对所述验证方不可用(not available),使得在不揭示所述第一消息的情况下验证所述第二消息的完整性。
14.根据前述任一项语句所述的方法,其中所述原像包括区块链事务的至少一部分。
15.根据语句14所述的方法,其中所述第二消息包括所述区块链事务的一个或多个输出。
16.根据语句1至13中任一项所述的方法,其中所述原像包括身份证明文件的至少一部分。
17.根据语句16所述的方法,其中所述身份证明文件包括以下各项中的一项:驾驶执照、护照、出生证明、居住许可证。
18.根据语句16或17所述的方法,其中所述第二消息包括所述身份证明文件的一个或多个数据字段。
例如,所述第二消息可以包括以下各项中的一项或多项:姓名、地址、年龄、出生日期、国籍等。
19.根据前述任一项语句所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA-1、SHA-224、SHA256、SHA384、SHA512-224、SHA512-256或SHA512-512。
20.根据语句19所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA1、SHA224或SHA256,其中:
所述第一填充序列包括64字节的倍数;
所述第二填充序列包括64字节的倍数;以及,
每个区块的大小为64字节。
21.根据语句19或20所述的方法,其中所述基于SHA的哈希函数是SHA224,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边224位。
在所述基于SHA的哈希函数是SHA224或SHA256中的一个的实施例中,生成所述第一填充序列包括:将表示1的一字节附加到所述原像的所述二进制表示。根据所述原像的所述长度,生成所述第一填充序列还可以包括:附加表示0的p字节,直至n+1+p=56mod 64,其中p是最小正整数,并且所述原像用n字节来表示(即,n是所述字节长度)。此外,所述生成还可以包括:附加8字节(大端)的所述原像的所述位长度的表示。所述迭代输入向量可以包括由8个元素组成的向量,每个元素的大小为4字节。生成所述第二填充序列可以包括:将表示1的一字节附加到所述第二消息的所述二进制表示。根据所述第一消息和所述第二消息的所述长度,生成所述第二填充序列还可以包括:附加表示0的p字节,直至l+1+p=448mod512,其中p是最小正整数,而l是所述原像的所述位长度。等效地,可以附加表示0的p字节,直至n+1+p=56mod 64,其中n是所述原像的所述字节长度。生成所述第二填充序列还可以包括:附加8字节(大端)的所述原像的所述位长度的表示。所述最终迭代输出向量可以包括由8个元素组成的向量,每个元素的大小为4字节。
在所述基于SHA的哈希函数是SHA1的实施例中,初始迭代向量是由5个元素组成的向量,每个元素的大小为4字节。类似地,所述最终迭代输出向量包括5个元素,每个元素的大小为4字节。
22.根据语句19所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA384、SHA512、SHA512-224或SHA512-256,并且其中:
所述第一填充序列包括128字节的倍数;
所述第二填充序列包括128字节的倍数;以及
每个区块的大小为128字节。
23.根据语句19或22所述的方法,其中:
所述基于SHA的哈希函数是SHA384,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边384位;或者
所述基于SHA的哈希函数是SHA521-224,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边224位;或者
所述基于SHA的哈希函数是SHA521-256,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边256位。
在所述基于SHA的哈希函数是SHA384、SHA512、SHA512-224或SHA512-256中的一个的实施例中,生成所述第一填充序列包括:将表示1的一字节附加到所述原像的所述二进制表示。根据所述原像的所述长度,生成所述第一填充序列还可以包括:附加表示0的p字节,直至n+1+p=112mod128,其中p是最小正整数,并且所述原像用n字节来表示(即,n是所述字节长度)。此外,所述生成还可以包括:附加16字节(大端)的所述原像的所述位长度的表示。所述迭代输入向量可以包括由8个元素组成的向量,每个元素的大小为8字节。生成所述第二填充序列可以包括:将表示1的一字节附加到所述第二消息的所述二进制表示。根据所述第一消息和所述第二消息的所述长度,生成所述第二填充序列还可以包括:附加表示0的p字节,直至l+1+p=896mod 1024,其中p是最小正整数,而l是所述原像的所述位长度。生成所述第二填充序列还可以包括:附加16字节(大端)的所述原像的所述位长度的表示。所述最终迭代输出向量可以包括由8个元素组成的向量,每个元素的大小为8字节。
24.一种计算机设备,所述计算机设备包括:
存储器,所述存储器包括一个或多个存储器单元;以及
处理装置,所述处理装置包括一个或多个处理单元,其中所述存储器存储被设置在所述处理装置上运行的代码,所述代码被配置为当在所述处理装置上运行时,执行根据语句1至23中任一项所述的方法。
25.一种计算机程序,所述计算机程序包含在计算机可读存储器上并且被配置为当在一个或多个处理器上运行时,执行根据语句1至23中任一项所述的方法。
根据本文公开的另一方面,可以提供一种方法,所述方法包括所述验证方和所述证明方的所述动作。
根据本文公开的另一方面,可以提供一种系统,所述系统包括所述验证方和所述证明方的所述计算机设备。
Claims (25)
1.一种计算机实现的方法,用于验证原像的一部分的完整性,所述原像与哈希摘要对应,所述哈希摘要是通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的,其中所述原像包括第一消息和第二消息,并且所述方法由验证方执行并且包括:
a)接收迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的,其中部分地执行所述基于SHA的哈希函数包括:
i)获取第一区块序列,其中所述第一区块序列通过以下方式获取:填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列,或者将所述第一消息的二进制表示拆分成所述第一区块序列,以及
ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位;
b)获取第二区块序列,其中第二多个区块通过以下方式生成:
i)填充所述第二消息的二进制表示以生成第二填充序列,
ii)将所述第二填充序列拆分成所述第二区块序列;
c)通过按照所述第二区块序列中的相应位置的顺序对所述第二区块序列中的每个区块执行所述基于SHA的哈希计算的迭代来生成最终迭代输出向量,其中对所述第二区块序列中的第一区块执行的所述基于SHA的哈希计算的所述迭代是基于所获取的迭代输入向量;以及
d)基于所述最终迭代输出向量来生成候选哈希摘要,所述候选哈希摘要用于与所述哈希摘要进行比较。
2.根据权利要求1所述的方法,所述方法包括:
获取所述哈希摘要;以及
基于所述候选哈希摘要与所获取的哈希摘要的比较来验证所述第二消息是所获取的哈希摘要的所述原像的一部分。
3.根据权利要求1或2所述的方法,其中所述的接收所述迭代输入向量包括:从证明方接收所述迭代输入向量。
4.根据前述任一项权利要求所述的方法,所述方法包括:获取所述第二消息。
5.根据权利要求4所述的方法,其中所述的获取所述第二区块序列包括:生成所述第二区块序列。
6.根据权利要求4或5所述的方法,所述方法包括:获取所述原像的长度,并且其中所述的生成所述第二填充序列是基于所述第二消息和所述原像的所述长度。
7.根据权利要求4或5所述的方法,所述方法包括:获取所述第一消息的长度,并且其中生成所述第二填充序列基于所述第二消息和所述第一消息的所述长度。
8.根据前述任一项权利要求所述的方法,其中所述的获取所述第二区块序列包括:接收所述第二区块序列。
9.一种计算机实现的方法,用于证明原像的一部分的完整性,所述原像与哈希摘要对应,所述哈希摘要是通过使用基于SHA的哈希函数对所述原像进行哈希处理而生成的,其中所述原像包括第一消息和第二消息,并且其中所述方法由证明方执行并且包括:
a)生成迭代输入向量,其中所述迭代输入向量是通过部分地执行所述基于SHA的哈希函数来生成的,其中部分地执行所述基于SHA的哈希函数包括:
i)获取第一区块序列,其中所述第一区块序列通过以下方式获取:填充所述原像的二进制表示以生成第一填充序列、并将所述第一填充序列拆分成第一区块序列,或者将所述第一消息的二进制表示拆分成所述第一区块序列,以及
ii)按照所述第一区块序列中的相应位置的顺序,对所述第一区块序列中的每个区块执行基于SHA的哈希计算的迭代,直至一区块包括表示所述第二消息的一个或多个位;
以及
b)将所述迭代输入向量提供给验证方。
10.根据权利要求9所述的方法,所述方法包括:将所述哈希摘要提供给所述验证方。
11.根据权利要求9或10所述的方法,所述方法包括:将所述第二消息提供给所述验证方。
12.根据权利要求9至11中任一项所述的方法,所述方法包括:将所述原像或所述第一消息的位长度提供给所述验证方。
13.根据前述任一项权利要求所述的方法,其中所述第一消息对所述验证方是不能利用的,使得在不揭示所述第一消息的情况下验证所述第二消息的完整性。
14.根据前述任一项权利要求所述的方法,其中所述原像包括区块链事务的至少一部分。
15.根据权利要求14所述的方法,其中所述第二消息包括所述区块链事务的一个或多个输出。
16.根据权利要求1至13中任一项所述的方法,其中所述原像包括身份证明文件的至少一部分。
17.根据权利要求16所述的方法,其中所述身份证明文件包括以下各项中的一项:驾驶执照、护照、出生证明、居住许可证。
18.根据权利要求16或17所述的方法,其中所述第二消息包括所述身份证明文件的一个或多个数据字段。
19.根据前述任一项权利要求所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA-1、SHA-224、SHA256、SHA384、SHA512-224、SHA512-256或SHA512-512。
20.根据权利要求19所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA1、SHA224或SHA256,其中:
所述第一填充序列包括64字节的倍数;
所述第二填充序列包括64字节的倍数;以及
每个区块的大小为64字节。
21.根据权利要求19或20所述的方法,其中所述基于SHA的哈希函数是SHA224,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边224位。
22.根据权利要求19所述的方法,其中所述基于SHA的哈希函数是以下各项中的一项:SHA384、SHA512、SHA512-224或SHA512-256,并且其中:
所述第一填充序列包括128字节的倍数;
所述第二填充序列包括128字节的倍数;以及
每个区块的大小为128字节。
23.根据权利要求19或22所述的方法,其中:
所述基于SHA的哈希函数是SHA384,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边384位;或者
所述基于SHA的哈希函数是SHA521-224,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边224位;或者
所述基于SHA的哈希函数是SHA521-256,并且其中所述候选哈希摘要包括所述最终迭代输出向量的最左边256位。
24.一种计算机设备,所述计算机设备包括:
存储器,所述存储器包括一个或多个存储器单元;以及
处理装置,所述处理装置包括一个或多个处理单元,其中所述存储器存储被设置在所述处理装置上运行的代码,所述代码被配置为当在所述处理装置上运行时,执行根据权利要求1至23中任一项所述的方法。
25.一种计算机程序,所述计算机程序包含在计算机可读存储器上并且被配置为当在一个或多个处理器上运行时,执行根据权利要求1至23中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB2107350.7A GB2607283A (en) | 2021-05-24 | 2021-05-24 | Partial SHA-based hash function |
GB2107350.7 | 2021-05-24 | ||
PCT/EP2022/060827 WO2022248130A1 (en) | 2021-05-24 | 2022-04-25 | Partial sha-based hash function |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117561697A true CN117561697A (zh) | 2024-02-13 |
Family
ID=76637732
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280037107.6A Pending CN117561697A (zh) | 2021-05-24 | 2022-04-25 | 部分基于sha的哈希函数 |
Country Status (7)
Country | Link |
---|---|
EP (1) | EP4348927A1 (zh) |
JP (1) | JP2024519989A (zh) |
KR (1) | KR20240012503A (zh) |
CN (1) | CN117561697A (zh) |
GB (1) | GB2607283A (zh) |
TW (1) | TW202247626A (zh) |
WO (1) | WO2022248130A1 (zh) |
-
2021
- 2021-05-24 GB GB2107350.7A patent/GB2607283A/en active Pending
-
2022
- 2022-04-25 KR KR1020237044177A patent/KR20240012503A/ko unknown
- 2022-04-25 CN CN202280037107.6A patent/CN117561697A/zh active Pending
- 2022-04-25 WO PCT/EP2022/060827 patent/WO2022248130A1/en active Application Filing
- 2022-04-25 EP EP22725223.6A patent/EP4348927A1/en active Pending
- 2022-04-25 JP JP2023572620A patent/JP2024519989A/ja active Pending
- 2022-04-26 TW TW111115853A patent/TW202247626A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
GB202107350D0 (en) | 2021-07-07 |
WO2022248130A1 (en) | 2022-12-01 |
KR20240012503A (ko) | 2024-01-29 |
JP2024519989A (ja) | 2024-05-21 |
EP4348927A1 (en) | 2024-04-10 |
GB2607283A (en) | 2022-12-07 |
TW202247626A (zh) | 2022-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220278859A1 (en) | Digital contracts using blockchain transactions | |
CN113924747A (zh) | 区块链交易数据字段验证 | |
JP2022533753A (ja) | 知識証明 | |
CN115997229A (zh) | 区块链上的协议 | |
CN116113921A (zh) | 区块链上的伪随机选择 | |
CN115917546A (zh) | 生成区块链地址 | |
JP2023554148A (ja) | 機密データのブロック | |
CN116508291A (zh) | 默克尔证明实体 | |
CN116157796A (zh) | 警报账户 | |
CN114531941A (zh) | 多标准区块链协议 | |
CN118044151A (zh) | 传播锁定脚本 | |
CN116547945A (zh) | 默克尔证明实体 | |
CN117280653A (zh) | 多方区块链地址方案 | |
CN117751550A (zh) | 分层共识 | |
CN116745794A (zh) | 区块链相关验证方法和系统 | |
CN115699676A (zh) | 自定义事务脚本 | |
CN117561697A (zh) | 部分基于sha的哈希函数 | |
US20230224150A1 (en) | Bio-locked seed | |
WO2024041866A1 (en) | Blockchain transaction | |
CN118077172A (zh) | 使用第1层区块链来实现第2层令牌协议 | |
WO2024041862A1 (en) | Blockchain transaction | |
CN117121434A (zh) | 区块链实现的散列函数 | |
WO2024052065A1 (en) | Determining shared secrets using a blockchain | |
CN117941317A (zh) | 生成区块链事务 | |
CN117693926A (zh) | 区块链区块和存在证明 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |