WO2020024996A1

WO2020024996A1 - 一种隐私交易方法及系统、设备和可存储介质

Info

Publication number: WO2020024996A1
Application number: PCT/CN2019/098672
Authority: WO
Inventors: 何正军; 王志文; 吴思进
Original assignee: 杭州复杂美科技有限公司
Priority date: 2018-07-31
Filing date: 2019-07-31
Publication date: 2020-02-06
Also published as: CN109087099A

Abstract

本发明提供一种隐私交易方法及系统、设备和可存储介质，该方法包括根据转账金额在隐私地址中选择若干笔可用的第一UTXO，向区块链请求若干笔第二UTXO；获取接收方的第一公钥对，生成第一随机数，根据所述第一随机数生成第二随机数，根据所述第一随机数、所述第一公钥对生成一次性公钥；将所述一次性公钥作为隐私交易的输出目的公钥、将所述第二随机数作为所述隐私交易的输出信息，打包若干笔隐私交易；通过若干次所述环签名将各所述隐私交易发送至区块链网络进行共识。本发明利用环签名技术和一次性目标地址，保证了发送者和接收者的相关信息，从而实现了交易的不可连接性和不可追踪性。

Description

一种隐私交易方法及系统、设备和可存储介质

技术领域

本申请涉及计算机技术领域，具体涉及一种隐私交易方法及系统、设备和可存储介质。

背景技术

现有的绝大部分区块链系统的交易会公开存储在区块链上，任何人都可以在区块链上查看该笔交易的相关信息，不会做到完全的匿名，不能很好的做到不可连接性(追踪目的端)和不可追踪性(追踪发送端)，这样的交易不能很好的保护隐私性。专利CN201611107703方案中提到的方法使用的是账户模型，攻击方很容易扫描所有存在账户的状态变化来跟踪关联交易，从而导致该区块链系统不具备不可追踪性，同时，使用一次性地址作为该区块链系统的账户地址，会导致随着系统的交易越来越多，产生很多冷账户，浪费不必要的存储资源和计算资源。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种能够对实现对发送者和接收者均能做到的隐私交易方法及系统、设备和可存储介质。

第一方面，本发明提供一种隐私交易方法，包括：

根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔第一UTXO向区块链请求若干与之相同额度的第二UTXO；其中，各第二UTXO用于对转账交易的UTXO进行环签名混淆；

获取接收方的第一公钥对(A,B)，生成第一随机数r，根据第一随机数r生成椭圆曲线公钥R，根据第一随机数r、第一公钥对(A,B)生成一次性公钥P；

将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易，其中各第三UTXO由转账金额按预定的拆分方法拆分生成；

将包含若干笔第一UTXO的隐私交易(每笔第一UTXO和其他同额度的第二UTXO进行环签名混淆)发送至区块链网络进行共识并执行，以供接收方的用户端遍历所有的隐私交易后通过对应于第一公钥对(A,B)的第一私钥对(a,b)验证各隐私交易，并在验证通过后根据第一私钥对(a,b)和椭圆曲线公钥R生成一次性私钥x；其中，一次性私钥x用于花费转账金额。

第二方面，本发明提供一种隐私交易系统，包括：

数据获取单元，配置用于根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔第一UTXO向区块链请求若干相同额度的第二UTXO；其中，各第二UTXO用于对转账交易的UTXO进行环签名混淆；

一次性公钥生成单元，配置用于获取接收方的第一公钥对(A,B)，生成第一随机数r，根据第一随机数r生成椭圆曲线公钥R，根据第一随机数r、第一公钥对(A,B)生成一次性公钥P；

交易打包单元，配置用于将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易，其中各第三UTXO由转账金额按预定的拆分方法拆分生成；

交易发送单元，配置用于将将包含若干笔第一UTXO的隐私交易(每笔第一UTXO和其他同额度的第二UTXO进行环签名混淆)发送至区块链进行共识并执行，以供接收方的用户端遍历所有的隐私交易后通过对应于第一公钥对(A,B)的第一私钥对(a,b)验证各隐私交易，并在验证通过后根据第一私钥对(a,b)和椭圆曲线公钥R生成一次性私钥x；其中，一次性私钥x用于花费转账金额。

第三方面，本发明还提供一种设备，包括一个或多个处理器和存储器，其中存储器包含可由该一个或多个处理器执行的指令以使得该一个或多个处理器执行根据本发明各实施例提供的隐私交易方法。

第四方面，本发明还提供一种存储有计算机程序的存储介质，该计算机程序使计算机执行根据本发明各实施例提供的隐私交易方法。

本发明的有益效果：

本发明诸多实施例提供的隐私交易方法及系统、设备和可存储介质通过在发生隐私交易时，利用环签名技术和一次性目标地址，保证了发送者和接收者的相关信息，从而实现了交易的不可连接性和不可追踪性。同时通过拆分转账金额，长时间运行后可以更加方便的从区块链系统中获取用于混淆的UTXO。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为本发明一实施例提供的一种隐私交易方法的流程图。

图2为图1所示方法的一种优选实施方式的步骤S13的流程图。

图3为图1所示方法的一种优选实施方式中的S12和S13的示意图。

图4为图1所示方法的一种优选实施方式示意图。

图5为图1所示方法的一种优选实施方式的流程图。

图6为本发明提供的一种隐私系统的结构示意图。

图7为图6所示系统的一种优选实施方式的结构示意图。

图8为本发明一实施例提供的一种设备的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1为本发明一实施例提供的一种隐私交易方法的流程图。具体的，如图1所示，

S11、根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔第一UTXO向区块链请求若干相同额度的第二UTXO；其中，各第二UTXO用于对转账交易的UTXO进行环签名混淆；

S12、获取接收方的第一公钥对(A,B)，生成第一随机数r，根据第一随机数r生成椭圆曲线公钥R，根据第一随机数r、第一公钥对(A,B)生成一次性公钥P；

S13、将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易，其中各第三UTXO由对转账金额按预定的拆分方法拆分生成；

S15、将包含若干笔第一UTXO的隐私交易(每笔第一UTXO和其他同额度的第二UTXO进行环签名混淆)发送至区块链网络进行共识，以供接收方的用户端通过对应于第一公钥对(A,B)的第一私钥对(a,b)验证各隐私交易，并在验证通过后根据第一私钥对(a,b)和椭圆曲线公钥R生成一次性私钥x；其中，一次性私钥x用于花费转账金额。

具体地，以发送者甲想向接收者乙发送一笔额度为3721的转账为例，在步骤S11中，发送者首先从自己的隐私地址中选择若干笔可用的第一UTXO记录从而获取到3721的可用额度，然后对该若干笔中的每笔第一UTXO向区块链请求10笔跟每笔第一UTXO对应额度的第二UTXO，

在步骤S12中，发送者甲获取接收方乙的第一公钥对(A,B)，且发送方在本地生成第一随机数r，并根据第一公钥对(A,B)和第一随机数r按照一定的算法生成一次性公钥P，

步骤S13和15中，发送者按照一定的拆分方法将转账金额 3721拆分成若干笔第三UTXO后，将各第三UTXO与一次性公钥P、椭圆曲线公钥作为隐私交易的输出信息，将若干笔第一UTXO(每笔第一UTXO和其他同额度的第二UTXO进行环签名混淆)作为输入信息，打包该笔隐私交易。将该笔隐私交易发送至区块链进行共识并执行；接收方遍历收到的输出交易并用一定的算法进行验证，验证通过后，用预定的算法生成一次性私钥x来花费收到的UTXO。

在更多实施例中，步骤S11和步骤S12还可以是同时并行执行，也可以是先执行步骤S12，再执行步骤S11，并不受上述实施例的限制。另外，上述具体实施场景中向区块链请求10笔UTXO，这里的数字可以在算法中进行更改，并不受上述实施例的限制。

在更多实施例中，步骤S12中所说的获取接收方的第一公钥对(A,B)的方式可以是发送方将接收方的隐私地址进行拆分后生成第一公钥对(A,B)，也可以是接收方主动给发送方第一公钥对(A,B)，还可以是其他生成第一公钥对(A,B)的方式，并不受其中某一种方式的限制。

在更多实施例中，发送者可以同时将同一笔隐私交易发送到多个目的地址中，只需要由不同的第一公钥对(A _i,B _i)生成不同的一次性目的公钥P _i即可，其中，一次性目的公钥P也适用于UTXO找零的情况，即把接收者的隐私地址设置为发送者本身的隐私地址，继续进行步骤S12的操作即可，比如上述实施例中，假如发送方甲的第一UTXO记录为2笔2000的第一TUXO，那么除了给接收方乙3721还剩余279的第一UTXO，这时，除了要将3721按照预定的拆分方法拆分成若干笔第三UTXO外，还需要将279也按该预定的方法拆分成若干笔第三UTXO，并将拆分的所有第三UTXO作为输出信息，打包该笔隐私交易，只是3721的若干笔第三UTXO属于接收方乙的一次性目标地址P ₁，279的若干笔第三UTXO作为找零，发送到发送方的一次性目标地址P ₂中。

图2为图1所示方法的一种优选实施方式的步骤S13的流程图，如图2所示，步骤S13包括：

S131、获取转账金额的UTXO；

S132、根据预定的拆分方法将该转账金额的UTXO拆分为若干笔第三UTXO；

S133、将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易。

具体的，仍以发送者甲想向接收者乙发送一笔额度为3721的转账为例，首先，发送者从隐私地址中选取若干可用的UTXO且该若干笔可用的UTXO正好为转账额度3721，然后按预定的拆分方法对转账额度进行拆分，具体地，如获取10的最小幂次，

将具体的数值N进行拆分，N∈[0,9]

9＝5+2+2；

8＝5+2+1；

7＝5+2；

6＝5+1；

5＝5；

4＝2+2；

3＝2+1；

2＝2；

1＝1；

依次获取10的更高幂次，进行同样的拆分。

则3721会被拆分成3721＝(2000+1000)+(500+200)+20+1，6笔第三UTXO，并作为隐私交易的输出信息。

在更多实施例中，会出现作为输入信息的可用的第一UTXO记录并不能正好达到3721的情况，比如发送方的可用第一UTXO只有两笔2000的UTXO记录，那么在拆分3721的同时，按照上述实施例的拆分方法对找零的余额279进行拆分，即：

279＝200+(50+20)+(5+2+2)6笔第三UTXO。

该实施例通过预定的拆分方法将转账金额拆分成若干笔，按这种转账方式长时间运行后，发送方将很容易从区块链中获取所需与各笔第一UTXO等额的若干笔用于混淆的第二UTXO，从而使混淆度越高，隐私性越高。

上述实施例是一种比较优选的实施方式，在更多实施例中，并不局限于该种拆分方法。

具体地，椭圆曲线公钥R的生成方式为：

R＝rG；

一次性公钥P的生成方式为：

P＝H _s(rA)G+B；

其中，R为椭圆曲线公钥，r为第一随机数，G为椭圆曲线上的一个基点，A为第一公钥对(A,B)中的第一个公钥，B为第一公钥对(A,B)中的第二个公钥，H _s()为一种哈希函数。

图4为图1所示方法的一种优选实施方式示意图。

具体地，用户接收到隐私交易后，遍历所有的输出交易，并通过第一私钥对(a,b)和椭圆曲线公钥R，计算P'＝H _s(aR)G+B,其中，a为所述第一个公钥A对应的第一私钥；若P'与一次性公钥P相同(因为aR＝arG＝rA，P'＝H _s(aR)G+B＝H _s(aA)G+B＝P)，则验证通过，说明该笔UTXO属于该地址，并通过计算出一次性私钥x＝H _s(aR)+b来花费该笔UTXO。

图5为图1所示方法的一种优选实施方式的流程图。如图5所示，在一优选实施例中，上述方法还包括：

S14、隐私交易在进行共识前，需要通过以下至少一项验证：

验证第一UTXO和第二UTXO是否存在；

验证第一UTXO和第二UTXO是否已被花费。

在本实施例中，通过在共识之前进行验证，一方面可以验证该笔隐私交易的有效性，另一方面还可以避免该笔隐私交易被双花。

图6为本发明提供的一种隐私系统的结构图。如图6所示，一种隐私系统06，包括：

数据获取单元061，配置用于根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔第一UTXO向区块链请求若干相同额度的第二UTXO；其中，各第二UTXO用于对转账交易的UTXO进行环签名混淆；

一次性公钥P生成单元062，配置用于获取接收方的第一公钥对(A,B)，生成第一随机数r，根据第一随机数r生成椭圆曲线公钥R，根据第一随机数r、第一公钥对(A,B)生成一次性公钥P；

交易打包单元063，配置用于将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易，其中各第三UTXO由转账金额按预定的拆分方法拆分生成；

交易发送单元065，配置用于将包含若干笔第一UTXO的隐私交易(每笔第一UTXO和其他同额度的第二UTXO进行环签名混淆)发送至区块链进行共识，以供接收方的用户端通过对应于第一公钥对(A,B)的第一私钥对(a,b)验证各隐私交易，并在验证通过后根据第一私钥对(a,b)和椭圆曲线公钥R生成一次性私钥x；其中，一次性私钥x用于花费转账金额。

进一步优选地，数据获取单元061包括：

数据选择子单元0611，配置用于获取转账金额；

数据拆分子单元0612，配置用于根据预定的拆分方法将转账金额的UTXO拆分为若干笔第三UTXO；

数据装填子单元0613，配置用于将一次性公钥P作为隐私交易的输出目的公钥、将椭圆曲线公钥R和若干第三UTXO作为隐私交易的输出信息，打包隐私交易。

图7为图6所示系统的一种优选实施方式的结构示意图。如图7所示，在一优选实施例中，上述系统还包括：验证单元064，配置用于验证第一UTXO和第二UTXO是否存在；验证第一UTXO和第二UTXO是否已被花费。

图8为本发明一实施例提供的一种设备的结构示意图。

如图8所示，作为另一方面，本申请还提供了一种设备800，包括一个或多个中央处理单元(CPU)801，其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM803中，还存储有设备800操作所需的各种程序和数据。CPU801、ROM802以及RAM803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。

以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

特别地，根据本公开的实施例，上述任一实施例描述的隐私交易方法可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，计算机程序包含用于执行隐私交易方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这根据所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以通过执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以通过专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，例如，各单元可以是设置在计算机或移动智能设备中的软件程序，也可以是单独配置的硬件装置。其中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离本申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

一种隐私交易方法，其特征在于，包括：

根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔所述第一UTXO向区块链请求若干相同额度的第二UTXO；其中，各所述第二UTXO用于对转账交易的第一UTXO进行环签名混淆；

获取接收方的第一公钥对，生成第一随机数，根据所述第一随机数生成椭圆曲线公钥，根据所述第一随机数、所述第一公钥对生成一次性公钥；

将所述一次性公钥作为隐私交易的输出目的公钥、将所述椭圆曲线公钥和若干第三UTXO作为所述隐私交易的输出信息，打包所述隐私交易，其中各所述第三UTXO由所述转账金额按预定的拆分方法拆分生成；

将所述隐私交易发送至区块链网络进行共识并执行，以供所述接收方的用户端遍历所有的隐私交易后通过对应于所述第一公钥对的第一私钥对验证各所述隐私交易，并在验证通过后根据所述第一私钥对和所述椭圆曲线公钥生成一次性私钥；其中，所述一次性私钥用于花费所述转账金额。
根据权利要求1所述的方法，其特征在于，所述拆分方法包括：

获取10的最小幂次，将具体的数值N进行拆分，其中N∈[0,9]，

9＝5+2+2；

8＝5+2+1；

7＝5+2；

6＝5+1；

5＝5；

4＝2+2；

3＝2+1；

1＝1；

获取10的更高幂次，对所述转账金额进行拆分。
根据权利要求1或2任一项所述的方法，其特征在于，所述椭圆曲线公钥的生成方式为：

R＝rG；

所述一次性公钥的生成方式为：

P＝H _s(rA)G+B；

其中，R为椭圆曲线公钥，r为第一随机数，G为椭圆曲线上的一个基点，A为所述第一公钥对中的第一个公钥，B为所述第一公钥对中的第二个公钥，H _s()为一种哈希函数。
根据权利要求3所述的方法，其特征在于，所述验证的方式为：

计算出验证公钥P′：

P'＝H _s(aR)G+B；

其中，a为所述第一个公钥A对应的第一私钥；

判断验证公钥P′与所述隐私交易中的一次性公钥P是否相同：是，则验证通过。
根据权利要求1或2任一项所述的方法，其特征在于，所述隐私交易在进行共识并执行前，需要通过以下至少一项验证：

验证所述第一UTXO和第二UTXO是否存在；

验证所述第一UTXO和第二UTXO是否已被花费。
一种隐私交易系统，包括：

数据获取单元，配置用于根据转账金额在隐私地址中选择若干笔可用的第一UTXO，对各笔所述第一UTXO向区块链请求若干相同额度的第二UTXO；其中，各所述第二UTXO用于对转账交易的UTXO进行环签名混淆；

一次性公钥生成单元，配置用于获取接收方的第一公钥对，生成第一随机数，根据所述第一随机数生成椭圆曲线公钥，根据所述第一随机数、所述第一公钥对生成一次性公钥；

交易打包单元，配置用于将所述一次性公钥作为隐私交易的输出目的公钥、将所述椭圆曲线公钥和若干第三UTXO作为所述隐私交易的输出信息，打包所述隐私交易，其中各所述第三UTXO由所述转账金额按预定的拆分方法拆分生成；

交易发送单元，配置用于将所述隐私交易发送至所述区块链进行共识并执行，以供所述接收方的用户端遍历所有的隐私交易后通过对应于所述第一公钥对的第一私钥对验证各所述隐私交易，并在验证通过后根据所述第一私钥对和所述椭圆曲线公钥生成一次性私钥；其中，所述一次性私钥用于花费所述转账金额。
根据权利要求6所述的系统，其特征在于，所述打包单元包括：

拆分子单元，配置用于获取10的最小幂次，将具体的数值N进行拆分，其中N∈[0,9]，

9＝5+2+2；

8＝5+2+1；

7＝5+2；

6＝5+1；

5＝5；

4＝2+2；

3＝2+1；

1＝1；

获取10的更高幂次，对所述转账金额进行拆分。
根据权利要求6所述的系统，其特征在于，还包括：

验证单元，配置用于验证所述第一UTXO和第二UTXO是否存在；验证所述第一UTXO和第二UTXO是否已被花费。
一种设备，其特征在于，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如权利要求1-5中任一项所述的方法。
一种存储有计算机程序的存储介质，其特征在于，该程序被处理器执行时实现如权利要求1-5中任一项所述的方法。