WO2021147283A1

WO2021147283A1 - 一种交易发送者的监管方法和系统

Info

Publication number: WO2021147283A1
Application number: PCT/CN2020/104492
Authority: WO
Inventors: 张凡; 林齐平; 刘海英; 高胜; 窦国威; 段伟民; 孙登峰
Original assignee: 数据通信科学技术研究所; 兴唐通信科技有限公司
Priority date: 2020-01-22
Filing date: 2020-07-24
Publication date: 2021-07-29
Also published as: CN111311264B; CN111311264A

Abstract

一种交易发送者的监管方法和系统，所述方法包括：从区块链上获取交易发送者的签名消息（S102）；根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者（S104）；以及根据未花费金额UTXO查询到真实发送者的身份，其中，签名隐藏交易发送者（S106）。实现了在隐藏交易发送者和交易金额的情况下，能够对交易发送者进行监管。

Description

一种交易发送者的监管方法和系统

技术领域

本申请涉及区块链技术领域，尤其涉及一种交易发送者的监管方法和系统。

背景技术

比特币自2008年进入人们的视野以来，历经近十年的发展，各种加密货币纷纷出现，例如门罗币、零币、莱特币等。比特币具有去中心化，分布式记账以及用户身份匿名等优点。但交易的金额是明文传输的，这严重限制了比特币的广泛应用。后来的门罗币、零币等虚拟加密货币利用一些密码技术(比如环签名等特殊数字签名、承诺、零知识证明、同态加密等)来解决交易的隐私保护问题。例如门罗币采用borromean环签名和Perdersen承诺技术来实现对交易金额的隐藏，而零币利用zk-snark这种非交互式零知识证明方案对交易身份以及交易金额进行隐藏。

区块链作为加密货币的支撑技术，本质上是利用链式数据结构来验证和存储数据，利用分布式共识机制来生成并更新数据，从而保证全网诚实节点的状态一致性。去中心化、可验证以及防篡改是区块链技术的基本属性。随着对区块链技术的深入研究以及其可能的应用场景的探讨，数据的隐私保护问题显得尤为重要。在区块链系统中，隐私保护主要体现在两个方面：匿名性和秘密性。其中匿名性是指交易发起者和交易接收者的身份隐藏，而秘密性是指交易金额的隐藏。目前比特币系统只能对交易提供弱的匿名性，即交易发起者和交易接收者的真实身份与对应的公钥无关。而门罗币和零币虽然能解决隐私保护问题，但门罗币的证据长度比较大，而零币需要可信任第三方的参与，并且证据生成时间过长。

因而现有技术中存在缺少高效简洁的隐私保护方案技术问题，以及还存在中央银行等监管中心无法对非法交易、金融诈骗等违规行为进行监管的技术问题。

发明内容

鉴于上述的分析，本申请实施例旨在提供一种交易发送者的监管方法和系统，用以解决现有的缺少高效简洁的隐私保护方案以及监管中心无法对非法交易、金融诈骗等违规行为进行监管的问题。

一方面，本申请实施例提供了一种交易发送者的监管方法，包括：从区块链上获取交易发送者的签名消息；根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者；以及根据未花费金额UTXO查询到真实发送者的身份，其中，签名隐藏交易发送者。

上述技术方案的有益效果如下：能够在隐藏交易发送者和交易金额的情况下，实现对交易发送者进行监管，以避免该交易发送者进行非法交易、金融诈骗等违规行为。

基于上述方法的进一步改进，根据未花费金额UTXO查询到真实发送者的身份包括：根据未花费金额UTXO确定对应的用户公钥；以及根据用户公钥在数据库中查询到真实发送者的身份。

上述进一步改进方案的有益效果是：能够根据未花费金额UTXO查询到真实发送者的身份，从而对交易发送者进行有效的监管。

基于上述方法的进一步改进，根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者包括：根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；根据签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；判断L _i是否等于h*R _i；以及当L _i等于h*R _i时，确定第i个交易发送者为使用未花费金额UTXO的真实发送者，其中,1≤i≤n，签名为可链接门限环签名

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

上述进一步改进方案的有益效果是：根据签名消息中的签名和监管中心私钥，通过计算、判断等步骤监管中心可以按需对交易发送者进行监管。

进一步，从区块链上获取交易发送者的签名消息之前还包括：交易发送者生成签名并发送签名消息；区块链上的验证者接收签名消息并验证签名；以及当签名的验证通过时，将包括未花费金额UTXO的数据通过共识上链。

进一步，区块链上的验证者验证签名包括：根据签名，计算中间变量M _i＝f ₂(i)*T _i+a _i*H；根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；根据签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；验证f ₂(0)，f _n-2(0)是否等于

以及当f ₂(0)，f _n-2(0)等于

时，验证通过，其中，1≤i≤n，签名为可链接门限环签名

n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；Hash为抗碰撞哈希函数；C _i为密态金额；UPK为用户公钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

上述进一步改进方案的有益效果是：验证者通过签名验证能够实现共识上链。

进一步，在从区块链上获取交易发送者的签名消息之前并且在确认交易之后还包括：监管中心根据交易的输出生成未花费金额UTXO并保存在数据库中。

上述进一步改进方案的有益效果是：监管中心通过实时更新数据库，能够随时对交易发送者进行监管。

进一步，签名为可链接门限环签名为

基于以下计算公式生成可链接门限环签名：

对i＝1，2，令s _i＝r _i-usk _i，对i＝3，…，n随机选择s _i∈ _RZ _q*并计算中间变量

随机选择e _i∈ _RZ _q*并计算中间变量

其中c ₁,c ₂∈ _RZ _q*；

随机选择t _i∈ _RZ _q*并计算

中间变量

以及

中间变量

其中c _i∈ _RZ _q*,i＝3，…，n；

计算哈希值

然后根据(c,c ₁,c ₂)计算2次插值多项式f ₂(x)，使得f ₂(0)＝c,f ₂(1)＝c ₁,f ₂(2)＝c ₂，再根据(c,c ₃,c ₄,…,c _n)计算n-2次插值多项式f _n-2(x)，使得f _n-2(0)＝c,f _n-2(i)＝c _i,i＝3，…，n；以及

计算

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；q为群Q的阶；Z _q为模q的整数环；Z _q*为Z _q\{0}；Hash为抗碰撞哈希函数；∈ _R为元素从集合中随机选取；v _i为交易金额，整数，0≤v _i<2 ⁶⁴,i＝1,2,…；C _i为密态金额；r _i,c _i,e _i,s _i,t _i为随机数r _i,c _i,e _i,s _i,t _i∈Z _q*，i＝1,2,…n；UPK，usk为用户公钥和对应的私钥；a _i,b _i为中间变量；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

上述进一步改进方案的有益效果是：使用带监管的可链接环签名技术隐藏交易发送者并混淆未花费金额UTXO来保护数字货币交易发送者的隐私，从而实现了高效简洁的隐私保护方案。

另一方面，本申请实施例提供了一种交易发送者的监管系统，包括：接收模块，用于从区块链上获取交易发送者的签名消息；处理模块，用于根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者；以及查询模块，用于根据未花费金额UTXO查询到真实发送者的身份，其中，签名隐藏交易发送者。

基于上述系统的进一步改进，处理模块包括：计算模块，用于根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H并且计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；判断模块，用于判断L _i是否等于h*R _i；以及确定模块，用于当L _i等于h*R _i时，确定第i个交易发送者为使用未花费金额UTXO 的真实发送者，其中，签名为可链接门限环签名

其中，1≤i≤n，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为群Q(Q为素数阶椭圆曲线点群)的两个生成元(基点)；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量,i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

基于上述系统的进一步改进，监管系统还包括交易发送者的签名生成模块，用于基于以下计算公式生成可链接门限环签名

随机选择e _i∈ _RZ _q*并计算中间变量

其中c ₁,c ₂∈ _RZ _q*；

随机选择t _i∈ _RZ _q*并计算

中间变量

以及

中间变量

其中c _i∈ _RZ _q*,i＝3，…，n；

计算哈希值

然后根据(c,c ₁,c ₂)计算2次插值多项式f ₂(x)，使得f ₂(0)＝c,f ₂(1)＝c ₁,f ₂(2)＝c ₂，再根据(c,c ₃,c ₄,…,c _n)计算n-2次插值多项式f _n-2(x)，使得f _n-2(0)＝c,f _n-2(i)＝c _i,i＝3，…，n；

计算

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第 i个未花费金额UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；q为群Q的阶；Z _q为模q的整数环；Z _q*为Z _q\{0}；Hash为抗碰撞哈希函数；∈ _R为元素从集合中随机选取；v _i为交易金额，整数，0≤v _i<2 ⁶⁴,i＝1,2,…；C _i为密态金额；r _i,c _i,e _i,s _i,t _i为随机数r _i,c _i,e _i,s _i,t _i∈Z _q*，i＝1,2,…n；UPK，usk为用户公钥和对应的私钥；a _i,b _i为中间变量；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

采用上述进一步改进方案的有益效果是：使用带监管的可链接环签名技术保护数字货币交易发送者的隐私，从而实现了高效简洁的隐私保护方案。

本申请中，上述各技术方案之间还可以相互组合，以实现更多的优选组合方案。本申请的其他特征和优点将在随后的说明书中阐述，并且，部分优点可从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本申请的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为根据本申请的实施例的交易发送者的监管方法的流程图；

图2为根据本申请的实施例的判断交易发送者是否为使用未花费金额UTXO的真实发送者的流程图；

图3为根据本申请的实施例的验证签名的流程图；

图4为根据本申请的实施例的可链接门限环签名的生成方法的流程图；以及

图5为根据本申请的实施例的交易发送者的监管系统的流程图。

附图标记：

502-接收模块；504-处理模块；506-查询模块

具体实施方式

下面结合附图来具体描述本申请的优选实施例，其中，附图构成本申请一部分，并与本申请的实施例一起用于阐释本申请的原理，并非用于限定本申请的范围。

本申请的一个具体实施例，公开了一种交易发送者的监管方法，即，在区块链上隐藏交易发送者和交易金额以保护交易发送者的隐私的情况下，如何对交易发送者进行监管。如图1所示，交易发送者的监管方法包括：步骤S102，从区块链上获取交易发送者的签名消息，具体地，监管中心(例如，中央银行、公安机关等)如果想对某个交易的发送者进行监管，则该监管中心从区块链上获取交易的签名信息；步骤S104，根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO(Unspent Transaction Output，又称未花费交易输出，表示用户公钥地址和对应的密态金额的组合)的真实发送者，具体地，监管中心根据获取的签名消息中的签名和已知的监管中心私钥来判断该交易发送者是否为使用未花费金额UTXO的真实发送者；以及步骤S106，根据未花费金额UTXO查询到真实发送者的身份，其中，签名隐藏交易发送者。

与现有技术相比，本实施例提供的交易发送者的监管方法，能够在隐藏交易发送者和交易金额的情况下，实现对交易发送者进行监管，以避免该交易发送者进行非法交易、金融诈骗等违规行为。

具体地，根据未花费金额UTXO查询到真实发送者的身份S106还包括：根据未花费金额UTXO确定对应的用户公钥，其中，未花费金额UTXO表示用户公钥地址和对应的密态金额的组合；以及根据用户公钥在数据库中查询到真实发送者的身份，具体地，用户的身份与用户公钥通过一一对应关系保存在监控中心的数据库中，因此，监控中心根据用户公钥可以在数据库中通过检索查询到真实发送者的身份。下文中参照图2至图4，分别对签名生成、签名验证和对交易发送者实施监管三个方面进行详细描述。

首先，参照图4对签名生成进行详细描述。

对签名为可链接门限环签名为

如图4所示，基于以下计算公式生成可链接门限环签名：

步骤S402：对i＝1，2，令s _i＝r _i-usk _i，对i＝3，…，n随机选择s _i∈ _RZ _q* 并计算中间变量

步骤S404：随机选择e _i∈ _RZ _q*并计算中间变量

其中c ₁,c ₂∈ _RZ _q*；

步骤S406：随机选择t _i∈ _RZ _q*并计算

中间变量

以及

中间变量

其中c _i∈ _RZ _q*,i＝3，…，n；

步骤S408：计算哈希值

步骤S410：

计算

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；q为群Q的阶；Z _q为模 _q的整数环；Z _q*为Z _q\{0}；Hash为抗碰撞哈希函数；∈ _R为元素从集合中随机选取；v _i为交易金额，整数，0≤v _i<2 ⁶⁴,i＝1,2,…；C _i为密态金额；r _i,c _i,e _i,s _i,t _i为随机数r _i,c _i,e _i,s _i,t _i∈Z _q*，i＝1,2,…n；UPK，usk为用户公钥和对应的私钥；a _i,b _i为中间变量；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

在具体实例中，生成可链接门限环签名σ的步骤如下：

设监管中心的公钥为(X,Y)∈Q，这里X＝x*G,Y＝y*G,x,y∈ _RZ _q*；用户的身份与其长期公钥的绑定关系保存在监管中心的数据库里。每产生一笔确认过的交易(即通过共识已经上链)，监管中心都要根据该交易的输出生成UTXO并保存在数据库中。另外，监管中心知道H相对于G的离散对数h，即H＝h*G。

交易发送者向监管中心发送询问请求，监管中心返回的信息主要包括密态金额(即加过密的金额)，即C＝v*G+r*H，其中v为金额，r为随机整数；返回的结果还有与该密态金额对应的用户公钥UPK＝usk*G。

设

构成可追踪门限环签名的环成员。我们把用户公钥和密态金额的组合(也就是(UPK,C))称为UTXO，即未花费金额(Unspent Transaction Output)。下面假设(UPK ₁,C ₁)和(UPK ₂,C ₂)是属于交易发送者的，而且他要在一笔交易中消费这两个UTXO的钱(在一笔交易中想要消费几个UTXO的钱都能支持)。其余UTXO都是为了帮助隐藏这两个真实消费的UTXO。

注意，属于交易发送者自己的UTXO是指对应的用户公钥UPK已知，密态金额C＝v*G+r*H中的随机数r和金额v都已知，也就是说下面例子中usk ₁,usk ₂,v ₁,v ₂,r ₁,r ₂是已知的。

生成可链接门限环签名的过程如下：

(1)对i＝1，2，令s _i＝r _i-usk _i，对i＝3，…，n随机选择s _i∈ _RZ _q*并计算

(2)随机选择e _i∈ _RZ _q*并计算

其中c ₁,c ₂∈ _RZ _q*；

(3)随机选择t _i∈ _RZ _q*并计算

以及

其中c _i∈ _RZ _q*,i＝3，…，n；

(4)计算

(5)计算

则签名结果为

与现有技术相比，本实施例提供的签名生成方法，采用基于可链接的门限环签名对数字货币的发起者进行隐藏。从签名结果

中我们找不出真正的交易发起者，因为真正的交易发起者的UTXO和用来混淆真正交易发起者的UTXO一起构成一个环的集合，也就是

因此，除了交易双方和监管中心，其它人不知道真正的交易发起者是谁。此外，与门罗币相比，本申请减少了交易长度、交易的生成时间和验证时间，并且随着一笔交易所需要的UTXO越多，优势越明显。这是因为本申请的签名长度是固定的(只与环长度有关)，但是门罗币的签名长度却不一样，它的长度随着交易发送者需要的UTXO的增加而成倍地增加。也因为如此，相比门罗币，随着一笔交易所需要的UTXO越多，在签名长度，生成时间和验证时间这三个方面，本申请的优势越明显。

接下来，参照图3对签名验证进行详细描述。

如图3所示，区块链上的验证者验证签名包括：步骤S302，根据签名，计算中间变量M _i＝f ₂(i)*T _i+a _i*H；步骤S304，根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；步骤S306，根据签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；步骤S308，验证f ₂(0)，f _n-2(0)是否等于

以及步骤S310，当f ₂(0)，f _n-2(0)等于

时，验证通过，其中，1≤i≤n，签名为可链接门限环签名

n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；Hash为抗碰撞哈希函数；C _i为密态金额；UPK为用户公钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

具体地，从区块链上获取交易发送者的签名消息之前还包括：交易发送者生成签名并发送签名消息；区块链上的验证者接收签名消息并验证签名；以及当签名的验证通过时，将包括未花费金额UTXO的数据通过共识上链，具体地，当签名的验证通过后，对该交易进行确认以实现共识上链。

以下以具体实例的方式对签名验证进行说明。验证者在收到签名消息

后，进行如下验证操作：

(1)计算M _i＝f ₂(i)*T _i+a _i*H，1≤i≤n；

(2)计算L _i＝f _n-2(i)*(C _i–T _i)+b _i*H,1≤i≤n；

(3)计算R _i＝f _n-2(i)*UPK _i+b _i*G,1≤i≤n；

(4)验证

如果相等则验证通过，否则验证终止。

最后，参照图2，对监管交易发送者进行详细描述。

根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者包括：步骤S202，根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；步骤S204，根据签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；步骤206，判断L _i是否等于h*R _i；以及步骤S208，当L _i等于h*R _i时，确定该第i个交易发送者为使用未花费金额UTXO的真实发送者，其中，1≤i≤n，签名为可链接门限环签名

其中，n为参与签名的总UTXO个数；i为参与签名的第i个UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。具体地，在从区块链上获取交易发送者的签名消息之前并且在确认交易之后还包括：监管中心根据交易的输出生成未花费金额UTXO并保存在数据库中，具体地，监管中心通过实时更新数据库实现随时对交易发送者进行监管。

关于对交易发送者实施监管的具体实例如下：监管中心如果想对某个交易的发送者进行监管，那么该监管中心可以从区块链上找到交易的签名信息

然后：

(1)计算L _i＝f _n-2(i)*(C _i–T _i)+b _i*H,1≤i≤n；

(2)计算R _i＝f _n-2(i)*UPK _i+b _i*G,1≤i≤n；

(3)监管中心知道监管中心私钥h，所以判断L _i？＝h*R _i,1≤i≤n，如果相等就表明第i个交易发送者为真实使用UTXO的交易发送者，不相等就是随机选取的UTXO；

(4)现在，根据真实的UTXO可以找到对应的用户公钥UPK，然后监管中心就可以在数据库中查询到与该UPK对应的真实发送者的身份。

本实施例提供的交易发送者的监管方法，监管中心能够随时对交易发送者进行监管，以避免该交易发送者进行非法交易、金融诈骗等违规行为。

下文中，参照图5对交易发送者的监管系统进行详细描述。

交易发送者的监管系统包括：接收模块502，用于从区块链上获取交易发送者的签名消息；处理模块504，用于根据签名消息中的签名和监管中心私钥判断交易发送者是否为使用未花费金额UTXO的真实发送者；以及查询模块506，用于根据未花费金额UTXO查询到真实发送者的身份，其中，签名隐藏交易发送者。具体地，查询模块506用于根据未花费金额UTXO确定对应的用户公钥以及根据用户公钥在数据库中查询到真实发送者的身份。

与现有技术相比，本实施例提供的交易发送者的监管系统，能够在隐藏交易发送者和交易金额的情况下，即除了交易双方和监管中心之外，其他人不知道真正的交易发起者是谁的情况下，实现对交易发送者进行监管，以避免该交易发送者进行非法交易、金融诈骗等违规行为。

处理模块504还包括：计算模块，用于根据签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H并且计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；判断模块，用于判断L _i是否等于h*R _i；以及确定模块，用于当L _i等于h*R _i时，确定第i个交易发送者为使用未花费金额UTXO的真实发送者，其中，签名为可链接门限环签名

其中，1≤i≤n，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G，H为群Q(Q为素数阶椭圆曲线点群)的两个生成元(基点)；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。

交易发送者的监管系统还包括交易发送者的签名生成模块，用于基于以下计算公式生成可链接门限环签名

随机选择e _i∈ _RZ _q*并计算中间变量

其中c ₁,c ₂∈ _RZ _q*；

随机选择t _i∈ _RZ _q*并计算中间变量

以及

中间变量

其中c _i∈ _RZ _q*,i＝3，…，n；

计算哈希值

计算

交易发送者的监管系统还包括签名验证模块和存储模块，这些模块与交易发送者的监管方法相对应，因此，这里不再赘述。

本申请的实施例所提供的交易发送者的监控方法和系统，具有以下技术效果：(1)采用基于可链接的门限环签名对数字货币的发起者进行隐藏。从签名结果

我们找不出真正的交易发起者，因为真正的交易发起者的UTXO和用来混淆真正交易发起者的UTXO都在一起构成一个环的集合，也就是

因此，除了交易双方和监管中心，其它人不知道真正的交易发起者是谁；(2)与门罗币相比，本申请减少了交易长度、交易的生成时间和验证时间，并且随着一笔交易所需要的UTXO越多，优势越明显。这是因为本申请的签名长度是固定的(只与环长度有关)，但是门罗币的签名长度却不一样，它的长度随着交易发送者需要的UTXO的增加而成倍地增加。也因为如此，相比门罗币，随着一笔交易所需要的UTXO越多，在签名长度、生成时间和验证时间这三个方面，本申请的优势越明显；以及(3)监管中心可以随时对交易发送者进行监管。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述，仅为本申请较佳的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。

Claims

一种交易发送者的监管方法，其特征在于，包括：

从区块链上获取交易发送者的签名消息；

根据所述签名消息中的签名和监管中心私钥判断所述交易发送者是否为使用未花费金额UTXO的真实发送者；以及

根据所述未花费金额UTXO查询到所述真实发送者的身份，其中，所述签名隐藏所述交易发送者。
根据权利要求1所述的交易发送者的监管方法，其特征在于，根据所述未花费金额UTXO查询到所述真实发送者的身份包括：

根据所述未花费金额UTXO确定对应的用户公钥；以及

根据所述用户公钥在数据库中查询到所述真实发送者的身份。
根据权利要求1所述的交易发送者的监管方法，其特征在于，根据所述签名消息中的签名和监管中心私钥判断所述交易发送者是否为使用未花费金额UTXO的真实发送者包括：

根据所述签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；

根据所述签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；

判断所述中间变量L _i是否等于h*R _i；以及

当所述中间变量L _i等于h*R _i时，确定第i个交易发送者为使用所述未花费金额UTXO的真实发送者，

其中,1≤i≤n，所述签名为可链接门限环签名

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。
根据权利要求1所述的交易发送者的监管方法，其特征在于，从区块链上获取交易发送者的签名消息之前，还包括：

所述交易发送者生成签名并发送所述签名消息；

所述区块链上的验证者接收所述签名消息并验证所述签名；以及

当所述签名的验证通过时，将包括所述未花费金额UTXO的数据通过共识上链。
根据权利要求4所述的交易发送者的监管方法，其特征在于，所述区块链上的验证者验证所述签名包括：

根据所述签名，计算中间变量M _i＝f ₂(i)*T _i+a _i*H；

根据所述签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H；

根据所述签名，计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；

验证f ₂(0)，f _n-2(0)是否等于
以及

当f ₂(0)，f _n-2(0)等于
时，所述验证通过，

其中，1≤i≤n，所述签名为可链接门限环签名

n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G，H为素数阶椭圆曲线点群Q的两个生成元；Hash为抗碰撞哈希函数；C _i为密态金额；UPK为用户公钥；T _i，a _i，b _i为中间变量，i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。
根据权利要求1所述的交易发送者的监管方法，其特征在于，在从区块链上获取交易发送者的签名消息之前并且在确认交易之后，还包括：

所述监管中心根据所述交易的输出生成所述未花费金额UTXO并保存在数据库中。
根据权利要求1所述的交易发送者的监管方法，其特征在于，所述签名为可链接门限环签名为
基于以下计算公式生成所述可链接门限环签名：

对i＝1，2，令s _i＝r _i-usk _i，对i＝3，…，n随机选择s _i∈ _RZ _q*并计算中间变量

随机选择e _i∈ _RZ _q*并计算中间变量
其中c ₁,c ₂∈ _RZ _q*；

随机选择t _i∈ _RZ _q*并计算

中间变量
以及

中间变量
其中c _i∈ _RZ _q*,i＝3，…，n；

计算哈希值
然后根据(c,c ₁,c ₂)计算2次插值多项式f ₂(x)，使得f ₂(0)＝c,f ₂(1)＝c ₁,f ₂(2)＝c ₂，再根据(c,c ₃,c ₄,…,c _n)计算n-2次插值多项式f _n-2(x)，使得f _n-2(0)＝c,f _n-2(i)＝c _i,i＝3，…，n；以及

计算

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；q为群Q的阶；Z _q为模q的整数环；Z _q*为Z _q\{0}；Hash为抗碰撞哈希函数；∈ _R为元素从集合中随机选取；v _i为交易金额，整数，0≤v _i<2 ⁶⁴,i＝1,2,…；C _i为密态金额；r _i,c _i,e _i,s _i,t _i为随机数r _i,c _i,e _i,s _i,t _i∈Z _q*，i＝1，2，…n；UPK，usk为用户公钥和对应的私钥；a _i,b _i为中间变量；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。
一种交易发送者的监管系统，其特征在于，包括：

接收模块，用于从区块链上获取交易发送者的签名消息；

处理模块，用于根据所述签名消息中的签名和监管中心私钥判断所述交易发送者是否为使用未花费金额UTXO的真实发送者；以及

查询模块，用于根据所述未花费金额UTXO查询到所述真实发送者的身份，其中，所述签名隐藏所述交易发送者。
根据权利要求8所述的交易发送者的监管系统，其特征在于，所述处理模块包括：

计算模块，用于根据所述签名，计算中间变量L _i＝f _n-2(i)*(C _i–T _i)+b _i*H并且计算中间变量R _i＝f _n-2(i)*UPK _i+b _i*G；

判断模块，用于判断所述L _i是否等于h*R _i；以及

确定模块，用于当所述L _i等于h*R _i时，确定第i个交易发送者为使用所述未花费金额UTXO的真实发送者，

其中，所述签名为可链接门限环签名

其中，1≤i≤n，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；C _i为密态金额；UPK为用户公钥；h为监管中心私钥；T _i,a _i,b _i为中间变量,i＝1,2,…n；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。
根据权利要求8所述的交易发送者的监管系统，其特征在于，还包括交易发送者的签名生成模块，用于基于以下计算公式生成可链接门限环签名

对i＝1，2，令s _i＝r _i-usk _i，对i＝3，…，n随机选择s _i∈ _RZ _q*并计算中间变量

随机选择e _i∈ _RZ _q*并计算中间变量
其中c ₁,c ₂∈ _RZ _q*；

随机选择t _i∈ _RZ _q*并计算

中间变量
以及

中间变量
其中c _i∈ _RZ _q*,i＝3，…，n；

计算哈希值
然后根据(c,c ₁,c ₂)计算2次插值多项式f ₂(x)，使得f ₂(0)＝c,f ₂(1)＝c ₁,f ₂(2)＝c ₂，再根据(c,c ₃,c ₄,…,c _n)计算n-2次插值多项式f _n-2(x)，使得f _n-2(0)＝c,f _n-2(i)＝c _i,i＝3，…，n；以及

计算

其中，n为参与签名的总未花费金额UTXO个数；i为参与签名的第i个未花费金额UTXO；G,H为素数阶椭圆曲线点群Q的两个生成元；q 为群Q的阶；Z _q为模q的整数环；Z _q*为Z _q\{0}；Hash为抗碰撞哈希函数；∈ _R为元素从集合中随机选取；v _i为交易金额，整数，0≤v _i<2 ⁶⁴,i＝1,2,…；C _i为密态金额；r _i,c _i,e _i,s _i,t _i为随机数r _i,c _i,e _i,s _i,t _i∈Z _q*，i＝1,2,…n；UPK,usk为用户公钥和对应的私钥；a _i,b _i为中间变量；f ₂(x)为次数为2的多项式；以及f _n-2(x)为次数为n-2的多项式。