基于同態(tài)加密和零知識(shí)證明的區(qū)塊鏈可擴(kuò)展隱私保護(hù)方案

關(guān)鍵詞：區(qū)塊鏈；同態(tài)加密；零知識(shí)證明；隱私保護(hù)；可擴(kuò)展性

中圖分類號(hào)：TP309.2 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1001-3695（2025）07-003-1939-09

doi：10.19734/j.issn.1001-3695.2025.01.0002

Abstract：To address the increasing privacy protectionandscalability issues arising withthe widespreaduseof blockchain technology，thispaperproposedanimprovedalgorithmbasedontheOkamoto-Uchiyamaencryptionsheme.Thisalgorithmnot onlyimplementeddataencryptionbutalsosupportedzero-knowledgeprofs，esuringcompleteprivacyprotectionofusertrasactiondata.Aditionall，thepaperdesignedapaymentschemebasedonananonymousbidirectionalof-chainchael，which supportedfastandhigh-frequencyof-chaintransactions，effctivelyallviating blockchainsalabilityconcers.Comparedto existingalgorithms，theproposedmethoddemonstratedsignificantdvantages insystemparametergeneration，keygeetion， encryptionandcioficyoeicalasisdxperimetalultslidatecityasiilitydi cy of the scheme.

Key words：blockchain；homomorphic encryption；zero-knowledge proof；privacy protection；scalability

0引言

區(qū)塊鏈技術(shù)因其去中心化、無可信第三方、分布式賬本和交易記錄不可竄改的特性，近年來在物聯(lián)網(wǎng)領(lǐng)域的交易應(yīng)用中備受關(guān)注。在能源互聯(lián)網(wǎng)領(lǐng)域，傳統(tǒng)的操作模式通常依賴于一個(gè)中心化的權(quán)威機(jī)構(gòu)來處理交易驗(yàn)證、存儲(chǔ)和管理，以及維護(hù)交易信息的完整性。然而，這種中心化的架構(gòu)存在著單點(diǎn)故障的風(fēng)險(xiǎn)，且在隱私保護(hù)方面存在缺陷，容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。相比之下，區(qū)塊鏈技術(shù)提供了一種更為安全的解決方案。區(qū)塊鏈由一系列按時(shí)間順序排列的區(qū)塊組成，每個(gè)區(qū)塊包含一定數(shù)量的交易記錄、一個(gè)時(shí)間戳和一個(gè)指向前一個(gè)區(qū)塊的哈希值。區(qū)塊鏈網(wǎng)絡(luò)中的全節(jié)點(diǎn)都有一份區(qū)塊鏈的完整副本，所有節(jié)點(diǎn)通過共識(shí)機(jī)制保持?jǐn)?shù)據(jù)的一致性，它通過將集中式管理轉(zhuǎn)變?yōu)榉稚⒑妥灾蔚募軜?gòu)，從而降低了中心化帶來的風(fēng)險(xiǎn)。

在區(qū)塊鏈系統(tǒng)的實(shí)際使用中，為了保證區(qū)塊鏈上記錄數(shù)據(jù)的可溯源、可驗(yàn)證等特性，所有數(shù)據(jù)都必須公開給區(qū)塊鏈網(wǎng)絡(luò)中的所有節(jié)點(diǎn)。這一特性在保障數(shù)據(jù)安全、可驗(yàn)證的同時(shí)，也帶來了隱私安全隱患，導(dǎo)致惡意敵手可以直接獲取區(qū)塊鏈賬本中記錄的數(shù)據(jù)，并通過分析數(shù)據(jù)窺探用戶隱私[1]。并且由于全節(jié)點(diǎn)都需要存儲(chǔ)整個(gè)區(qū)塊鏈的副本，隨著區(qū)塊鏈的增長，存儲(chǔ)需求也會(huì)不斷增加。同態(tài)加密技術(shù)和零知識(shí)證明技術(shù)為解決這些問題提供了新的思路，同態(tài)加密技術(shù)與傳統(tǒng)的加密技術(shù)不同的是其允許在不訪問密鑰的情況下對(duì)加密數(shù)據(jù)執(zhí)行計(jì)算操作，得到的計(jì)算結(jié)果與原始數(shù)據(jù)相同，這意味著即使攻擊者成功解密了同態(tài)加密的結(jié)果，也無法獲知加密前的具體數(shù)據(jù)信息，從而提高了信息的安全性和隱私性[2]。零知識(shí)證明技術(shù)則允許用戶證明某個(gè)陳述是真實(shí)的，驗(yàn)證者相信的同時(shí)無法獲得任何額外信息[3]。目前，已有一些研究采用上述兩種技術(shù)來試圖解決區(qū)塊鏈系統(tǒng)的隱私保護(hù)問題和可擴(kuò)展性問題。

文獻(xiàn)[4]利用國密SM2算法、同態(tài)加密和混淆地址，提出了一種新的區(qū)塊鏈混幣方案。通過使用EC-EIGamal半同態(tài)加密技術(shù)加密交易金額，實(shí)現(xiàn)在鏈上交易過程中完全隱藏交易金額，通過混淆地址，打破交易發(fā)起方和接收方的聯(lián)系，實(shí)現(xiàn)了交易的不可鏈接性和不可追蹤性。文獻(xiàn)[5]提出了基于Paillier同態(tài)加密的區(qū)塊鏈交易數(shù)據(jù)隱私保護(hù)方案，利用同態(tài)加密及其特性對(duì)交易信息進(jìn)行隱藏和驗(yàn)證。文獻(xiàn)［6]根據(jù)Paillier算法設(shè)計(jì)了一種主私鑰合成算法，保障了用于鏈上數(shù)據(jù)修改的私鑰在合成過程中的安全。文獻(xiàn)[7」提出集成完全同態(tài)加密（FHE）來增強(qiáng)區(qū)塊鏈應(yīng)用的安全性，拓展了區(qū)塊鏈的應(yīng)用范圍，利用FHE的特性提高區(qū)塊鏈的隱私性和安全性。文獻(xiàn)[8]提出了一種基于SEAL庫的同態(tài)加權(quán)電子投票系統(tǒng)，通過全同態(tài)操作實(shí)現(xiàn)密文計(jì)票，可有效抵抗來自計(jì)票中心內(nèi)部的惡意攻擊，保證選票保密性和計(jì)票結(jié)果正確性。文獻(xiàn)[9]提出了支持BFV全同態(tài)加密的區(qū)塊鏈電子投票系統(tǒng)。該系統(tǒng)使用第二代全同態(tài)加密算法BFV來隱藏計(jì)票數(shù)據(jù)，為投票過程中的不可操縱性、匿名性、可驗(yàn)證性、不可重用性、不可脅迫性和抗量子攻擊等安全屬性提供保障。上述方案均采用單一同態(tài)加密技術(shù)來實(shí)現(xiàn)區(qū)塊鏈上的隱私保護(hù)，無法滿足區(qū)塊鏈對(duì)安全性的多元需求。此外全同態(tài)加密技術(shù)雖然理論上能夠在保護(hù)數(shù)據(jù)隱私的同時(shí)允許計(jì)算，但其高昂的計(jì)算成本限制了其在高交易吞吐量環(huán)境下的應(yīng)用，且目前的全同態(tài)加密方案在支持的計(jì)算次數(shù)上存在限制，這使得它們難以適應(yīng)區(qū)塊鏈交易量大且頻繁的特性，因此并不適合作為區(qū)塊鏈交易的通用解決方案。

文獻(xiàn)［10]基于AH-EIGamal同態(tài)加密和零知識(shí)證明提出了一種區(qū)塊鏈上無可信拍賣師的密封式競(jìng)拍方案，實(shí)現(xiàn)了競(jìng)標(biāo)者報(bào)價(jià)機(jī)密性，確保競(jìng)拍過程的公開公平公正。文獻(xiàn)［11]基于一次性地址加密和零知識(shí)證明設(shè)計(jì)了監(jiān)管可靠的一次性地址方案和可鏈接可撤銷環(huán)簽名方案，在實(shí)現(xiàn)基于自主混幣的身份隱私保護(hù)的同時(shí)，還滿足了交易雙方身份“可控匿名”的監(jiān)管要求。文獻(xiàn)[12]提出了一種基于零知識(shí)證明的匿名認(rèn)證方案，采用仿真可提取零知識(shí)zk-SNARKs以實(shí)現(xiàn)匿名和條件隱私，并通過省略重復(fù)計(jì)算使方案在VANET環(huán)境中輕量級(jí)且高效運(yùn)行。文獻(xiàn)[13]基于ElGamal承諾方案、∑協(xié)議、Bulletproofs范圍協(xié)議和 + HomEIG同態(tài)加密算法提出了一種面向聯(lián)盟鏈轉(zhuǎn)賬隱私保護(hù)的零知識(shí)證明協(xié)議，通過 +HomElG 算法加密交易金額及賬戶余額提高了效率，根據(jù)∑協(xié)議和Bulletproofs范圍協(xié)議來設(shè)計(jì)密文的零知識(shí)證明，使得交易合法性驗(yàn)證策略更完善。文獻(xiàn)［14]在Paillier加密算法的基礎(chǔ)上，結(jié)合Fujisaki-Okamoto承諾方案，提出了基于零知識(shí)證明的區(qū)塊鏈隱私保護(hù)算法。該算法既能對(duì)交易數(shù)據(jù)進(jìn)行加密，又能支持零知識(shí)證明，能夠在保證交易合法性的前提下保護(hù)用戶的隱私，但零知識(shí)證明過程的復(fù)雜性，加上區(qū)塊鏈交易確認(rèn)時(shí)間較長的固有特性，限制了該方案在實(shí)際應(yīng)用中的效率。此外，Paillier算法雖然在加密過程中提供了較高的安全性，但其加解密操作的性能表現(xiàn)并不突出，文獻(xiàn)［15]則結(jié)合Paillier加密算法與ElGamal加密算法提出了同態(tài)加密算法PailGamal。該算法既支持密文直接解密，又支持監(jiān)管方對(duì)所有密文進(jìn)行監(jiān)管。結(jié)合PailGa-mal算法與范圍證明方案Bulletproofs設(shè)計(jì)了一種高效的隱私交易方案，利用零知識(shí)證明技術(shù)在提供隱私保護(hù)的同時(shí)保證了數(shù)據(jù)的可用性和合法性。但該系統(tǒng)中每個(gè)用戶都處于監(jiān)管之中，且監(jiān)管方掌握系統(tǒng)私鑰來對(duì)每一筆交易進(jìn)行監(jiān)管，因此該方案更適用于一些對(duì)監(jiān)管性有要求的場(chǎng)景。上述方案將同態(tài)加密技術(shù)和零知識(shí)證明技術(shù)結(jié)合，能夠有效提高交易數(shù)據(jù)隱私保護(hù)的強(qiáng)度，在實(shí)現(xiàn)用戶交易或身份信息的隱私保護(hù)上都各有其優(yōu)勢(shì)，但這些方案仍未能有效解決區(qū)塊鏈交易的可擴(kuò)展性問題。

針對(duì)Paillier加密算法效率較低以及區(qū)塊鏈交易的可擴(kuò)展性問題，本文采用了相比Paillier算法效率更高的Okamoto-Uchiyama同態(tài)加密算法（OU算法），并對(duì)OU算法進(jìn)行了改進(jìn)，使其在實(shí)現(xiàn)數(shù)據(jù)加密的同時(shí)支持零知識(shí)證明。根據(jù)FujisakiOkamoto承諾方案設(shè)計(jì)了密文的零知識(shí)證明，為需要上傳至公開區(qū)塊鏈的交易雙方賬戶金額提供一種可驗(yàn)證的隱藏方案，采用匿名雙向鏈下支付通道技術(shù)，支持交易雙方快速且頻繁的交易而無須上鏈，有效解決了可擴(kuò)展性問題。最后對(duì)方案進(jìn)行了仿真實(shí)驗(yàn)以測(cè)試方案的可行性及算法效率。

1 相關(guān)知識(shí)

1.1 區(qū)塊鏈及相關(guān)技術(shù)

1. 1. 1 區(qū)塊鏈

區(qū)塊鏈?zhǔn)且环N去中心化的分布式賬本技術(shù)，依托于密碼學(xué)、共識(shí)算法和分布式網(wǎng)絡(luò)來確保數(shù)據(jù)的安全性和不可竄改性，其基本原理是通過將交易數(shù)據(jù)打包存儲(chǔ)在多個(gè)區(qū)塊中，并通過哈希函數(shù)將這些區(qū)塊以鏈?zhǔn)浇Y(jié)構(gòu)相連，從而形成一個(gè)連續(xù)的、不可逆的賬本。每個(gè)區(qū)塊不僅包含當(dāng)前的交易記錄，還存儲(chǔ)了前一個(gè)區(qū)塊的哈希值，這使得攻擊者很難對(duì)區(qū)塊鏈中的交易進(jìn)行竄改。

區(qū)塊鏈的運(yùn)行依賴于共識(shí)機(jī)制，如工作量證明（proofofwork，PoW）或權(quán)益證明（proofofstake，PoS）。共識(shí)機(jī)制確保了一個(gè)無竄改的環(huán)境，使分布式網(wǎng)絡(luò)中的節(jié)點(diǎn)通過競(jìng)爭(zhēng)或投票達(dá)成一致，共同決定數(shù)據(jù)的真實(shí)性與有效性。同時(shí)，區(qū)塊鏈技術(shù)具有透明性和不可竄改性，所有交易記錄都可以公開驗(yàn)證，保證數(shù)據(jù)的完整性和系統(tǒng)的信任基礎(chǔ)。

根據(jù)應(yīng)用場(chǎng)景的不同，區(qū)塊鏈一般被分為公有鏈、私有鏈和聯(lián)盟鏈三類。公有鏈?zhǔn)峭耆_放的，任何人都可以讀取、發(fā)送或接受交易，并允許任何參與者加入共識(shí)過程。它的去中心化程度最高，但性能和能耗問題較為明顯。私有鏈則由特定機(jī)構(gòu)控制，其寫入和訪問權(quán)限被嚴(yán)格限制，只有授權(quán)用戶可以訪問和驗(yàn)證交易，通常用于企業(yè)或組織內(nèi)部的系統(tǒng)。聯(lián)盟鏈則介于公有鏈和私有鏈之間，由多個(gè)可信實(shí)體共同管理，適用于跨企業(yè)的合作和行業(yè)聯(lián)盟場(chǎng)景。不同類型的區(qū)塊鏈根據(jù)其架構(gòu)設(shè)計(jì)，提供了不同層次的去中心化、隱私性和效率保障。

1.1.2匿名雙向支付通道

鏈下通道是一種建立在兩個(gè)參與者之間信任基礎(chǔ)上的可靠鏈下支付通道，旨在實(shí)現(xiàn)兩個(gè)參與者的快速鏈下支付[16]。雙向支付通道中，兩方參與者首先需要在鏈上鎖定一部分資金，然后在鏈下進(jìn)行多次交易，每次交易都會(huì)更新雙方的資金分配，但不會(huì)廣播到鏈上。只有當(dāng)雙方想要關(guān)閉通道時(shí)，才會(huì)將最終的資金分配結(jié)果提交到鏈上，解鎖資金并分配給雙方。這樣可以減少鏈上的交易次數(shù)、提高支付效率、降低手續(xù)費(fèi)，并保證雙方的資產(chǎn)安全。

匿名雙向支付通道是鏈下通道技術(shù)的一種，由Green等人[17]在2017年提出。匿名支付通道是一種允許參與者在不暴露其真實(shí)身份或具體交易信息的情況下進(jìn)行支付和交易的鏈下通道，旨在提高鏈下交易的隱私性和安全性。開啟通道后，交易雙方可以互相執(zhí)行轉(zhuǎn)賬協(xié)議，在通道內(nèi)執(zhí)行多次轉(zhuǎn)賬而無須上鏈，用戶需要使用零知識(shí)證明來證明資金的正確性以及新余額與原始余額的差值是正確的，區(qū)塊鏈中只記錄初始通道余額和最終余額，并在關(guān)閉通道后將資金正確分配到通道雙方的賬戶中。

1.2 零知識(shí)證明技術(shù)

零知識(shí)證明（zero-knowledgeproof，ZKP）是一種在不透露任何額外信息的情況下證明某一陳述為真的密碼學(xué)協(xié)議，它允許證明者（prover）向驗(yàn)證者（verifier）提供一個(gè)證明，證明某個(gè)聲明或計(jì)算是正確的，而不暴露與此聲明有關(guān)的任何額外信息。這一理論概念由文獻(xiàn)[18]于1985年首次提出，被廣泛應(yīng)用于數(shù)據(jù)隱私和安全領(lǐng)域。

零知識(shí)證明必須滿足完備性（completeness）、可靠性（soundness）和零知識(shí)性（zero-knowledge）三個(gè)基本性質(zhì)。完備性確保如果聲明是正確的，誠實(shí)的證明者總是能夠讓驗(yàn)證者信服?？煽啃砸馕吨绻暶魇羌俚?，驗(yàn)證者幾乎不可能被欺騙。零知識(shí)性則保證證明過程中，驗(yàn)證者無法獲得除聲明的真

實(shí)性之外的任何其他信息。

根據(jù)交互方式的不同，零知識(shí)證明可以分為交互式零知識(shí)證明（interactive zero-knowledgeproof）和非交互式零知識(shí)證明（non-interactive zero-knowledgeproof，NIZK）。在交互式零知識(shí)證明中，證明者和驗(yàn)證者通過多次交互來完成證明過程;而在非交互式零知識(shí)證明中，證明者能夠一次性提供所有證明，減少了驗(yàn)證的復(fù)雜性和交互需求，因而更適合大規(guī)模、自動(dòng)化的系統(tǒng)。

1.3Fujisaki-Okamoto承諾方案

Fujisaki-Okamoto承諾方案由文獻(xiàn)［19]于1997年提出，相關(guān)理論內(nèi)容如下[20]

設(shè) n 是一個(gè)RSA模數(shù)，Alice和Bob不知道它的分解。 h 是由 g 生成的循環(huán)群中的元素。 g 和 h 的階是大于 $1 6 0 ＼ ＼mathrm { b i t } ＼ ＼$ 的素?cái)?shù)，使得在它們生成的循環(huán)群中計(jì)算離散對(duì)數(shù)是不可行的。此外，Alice不知道 log_g^h 。Alice選擇隨機(jī)整數(shù) ，2^sn-1] ，其中 s 為安全參數(shù)。計(jì)算 ，并將 E 發(fā)送給 Bob 作為對(duì)整數(shù) x 的承諾。Alice不可能找到兩個(gè)不相等的整數(shù) x₁ 和 x₂ 使得 E（x₁，r₁）=E（x₂，r₂） ，除非他能分解 n 或者知道 log_g^h ;Bob也無法從承諾中獲得關(guān)于 x 的任何信息。該協(xié)議是統(tǒng)計(jì)安全的，詳細(xì)的安全分析見文獻(xiàn)[18]。

1.4 Okamoto-Uchiyama同態(tài)加密

OU同態(tài)加密算法是文獻(xiàn)[21]在1998年提出的概率型公鑰加密算法，其安全性是基于大整數(shù)因數(shù)分解問題和 P 子群?jiǎn)栴}，且該算法滿足IND-CPA安全。相關(guān)理論內(nèi)容如下：

a）密鑰生成。隨機(jī)選擇兩個(gè)位數(shù)相等的大素?cái)?shù) p 和 q ，計(jì)算出模數(shù) n=p²q 。在 中隨機(jī)選擇一個(gè) g （其中 Z_n^* 表示 中對(duì)乘法可逆的元素構(gòu)成的乘法群），使得 的階為 p 。計(jì)算 h=gⁿ mod n ，定義一個(gè)函數(shù) L（x）=（x-1）/p 。得到公鑰為 （n，g，h） ，私鑰為 （p，q） 。

b）加密。對(duì)于明文 m，0?m?p-1 ，選擇一個(gè)隨機(jī)數(shù) r∈ Z_n ，計(jì)算并輸出 c=g^mh^r mod n 。

c）解密。對(duì)于密文 ，計(jì)算并輸出明文： m=（L（c^p-1 mod ）mod p² 。

d）同態(tài)屬性。OU加密算法是一種半同態(tài)加密算法，具有加法同態(tài)屬性，即在不知道明文 ?_m 和 n 的情況下，通過計(jì)算Enc μ（m）Encμ（n） ，可以得到 Enc（m+n） 的值。例如，對(duì)于明文m 和 n 加密得到 mod n mod n 而后計(jì)算 Enc（m）Enc（n） ，在不知道明文 ?_m 和 n 的情況下，可以得到 m+n 的加密值。

私鑰持有者可以使用解密函數(shù)得到明文的和：

2 算法及方案設(shè)計(jì)

2.1加解密算法設(shè)計(jì)

OU算法雖然能加密用戶交易數(shù)據(jù)，但在零知識(shí)證明的應(yīng)用中存在計(jì)算開銷大、密鑰管理復(fù)雜、參數(shù)傳輸成本高等問題，限制了其在區(qū)塊鏈場(chǎng)景中的實(shí)際應(yīng)用。因此，本文優(yōu)化了OU同態(tài)加密算法的系統(tǒng)參數(shù)選取和加解密過程，使其能夠在同一套系統(tǒng)參數(shù)下生成多套公私鑰，簡(jiǎn)化密鑰管理和分發(fā)，減少零知識(shí)證明過程中需要傳遞的參數(shù)數(shù)量，從而降低系統(tǒng)負(fù)載，提高計(jì)算效率。算法具體內(nèi)容如下。

2.1.1系統(tǒng)參數(shù)及公私鑰生成

在本文方案中，每成功開啟一條鏈下通道都會(huì)為通道生成一套獨(dú)立的系統(tǒng)參數(shù)。該系統(tǒng)參數(shù)一經(jīng)設(shè)定便不可修改，在整個(gè)通道的生命周期中保持不變，并存儲(chǔ)在賬本中，供用戶和CA在交易過程中調(diào)用。系統(tǒng)參數(shù)及公私鑰的生成過程如下：

隨機(jī)選擇兩個(gè)位數(shù)相等的大素?cái)?shù) p 和 q ，計(jì)算出模數(shù) n= p²q ，在 中隨機(jī)選擇一個(gè) g₁ （其中 Z_n^* 表示 中對(duì)乘法可逆的元素構(gòu)成的乘法群），使得 g₁^p-1 mod p² 的階為 p 。然后隨機(jī)選擇整數(shù) r₀∈Z_n ，計(jì)算 mod n 。將 （n，g₁，g₂） 作為系統(tǒng)參數(shù)，記為 SP 。

隨機(jī)選擇整數(shù) x∈Z_n 且 p x，計(jì)算 h=g₂^x mod n 。將 h 作為用戶公鑰， （x，p） 作為用戶私鑰。將用戶公鑰和私鑰分別記為PK 和 SK

2.1.2加解密過程

a）加密過程。當(dāng)用戶開啟鏈下通道并進(jìn)行交易時(shí)，需要對(duì)初始余額、交易過程中的轉(zhuǎn)賬金額、轉(zhuǎn)賬后余額等交易數(shù)據(jù)進(jìn)行加密，并發(fā)送至 CA 。

對(duì)于明文信息 m∈Z_p ，選擇隨機(jī)整數(shù) r∈Z_p ，使用系統(tǒng)參數(shù) SP 中的 n，g₂ 以及公鑰 PK 中的 h ，分別計(jì)算：

將得到的密文記為 c=（c₁，c₂） 。

該加密過程記為 Enc（m，r，SP，PK） 。

b）解密過程。對(duì)于密文 c=（c₁，c₂） ，可以使用私鑰解密出對(duì)應(yīng)的明文信息 m 。解密過程如下：

使用系統(tǒng)參數(shù) SP 中的 n_?g₂ 和私鑰 SK 中的 x 和 p ，以及密文中的 c₁，c₂ 。計(jì)算：

c_m=c₁^-xc₂modn

然后根據(jù)式（6）解密 m 。

解密 m 的過程記為 Dec（c，SP，SK） ，其中 L（x）=（x-1）/p 。

c）加法同態(tài)性質(zhì)。修改后的算法仍然具有加法同態(tài)的性質(zhì)。對(duì)于兩個(gè)明文 Δ_a 和 b ，將對(duì)其加密得到的密文分別記為 。將密文乘積 c_ac_b 記為 c_ab 。則有 。

根據(jù)式（7）（8）計(jì)算密文：

解密時(shí)使用系統(tǒng)參數(shù) SP 中的 n_?g₂ 和私鑰 ^SK 中的 x 和 p 以及密文 c_1ab 和 c_2ab ，根據(jù)式（9）計(jì)算出 c_mab ，再根據(jù)式（10）可以解密得到 a+b ：

其中： r_a 和 r_b 為加密 a 和 b 時(shí)使用的隨機(jī)數(shù)。

2.2 零知識(shí)證明設(shè)計(jì)

在本文方案中，交易通常由轉(zhuǎn)賬方發(fā)起。當(dāng)交易需要驗(yàn)證或仲裁時(shí)，由權(quán)威認(rèn)證機(jī)構(gòu)CA進(jìn)行。為了確保交易的有效性，用戶不僅需要生成CA驗(yàn)證所需要的加密交易數(shù)據(jù)，還需創(chuàng)建相等性證明和范圍證明，包括交易金額的相等性證明、交易金額大于零證明、交易余額大于零證明以及交易合法性證明。這些加密交易數(shù)據(jù)和證明隨后被發(fā)送到CA進(jìn)行驗(yàn)證。若驗(yàn)證未通過，交易將被拒絕，并且用戶會(huì)接收到交易失敗的通知。

2.2.1交易金額相等性證明

交易金額相等性證明即證明兩個(gè)FO承諾中秘密數(shù)相同[20]，該NIZK 協(xié)議記為 ，其關(guān)系如下：

其過程如下所述：

a）當(dāng)通道內(nèi)發(fā)起一筆轉(zhuǎn)賬時(shí)，Alice和Bob 隨機(jī)選擇 r_A 、r_B∈Z_p ，并使用系統(tǒng)參數(shù)和雙方的公鑰分別對(duì)自己的交易金額v_A 和 v_B 加密得到密文 c_vA 和 c_vB ，從密文中提取出 c_vA2 和 c_vB2 ，然后根據(jù)式（11）（12）為交易雙方生成承諾 E 和 F

其中： g₂ 和 n 來自系統(tǒng)參數(shù) SP;h_A，h_B 分別為Alice和Bob的公鑰； r_A??r_B 則為Alice和Bob選取的隨機(jī)數(shù)。隨后Alice和Bob 將生成的承諾 E 和 F 分別發(fā)送到 CA

b）Alice和 Bob 通過下面的過程共同生成交易金額相等性證明。

Alice選擇隨機(jī)數(shù) ω∈[1，2^t+l-1] ，并通過安全信道發(fā)送給 Bob 。隨機(jī)數(shù) 和 則分別由Alice和Bob選擇，其中 和 s₂ 為四個(gè)安全參數(shù)， H 為抗碰撞安全哈希函數(shù)， 表示兩個(gè)字符串 a 和 b 的連接。

Alice計(jì)算：

Bob計(jì)算：

Alice和Bob通過安全信道共享 W₁ 和 W₂ 并計(jì)算哈希值：

然后Alice計(jì)算：

D_A=ω+Cv_A

D₁=η₁+Cr_A

將 發(fā)送到 CA 。Bob計(jì)算：

將 π_eq2=（D_B，D₂） 發(fā)送到 CA 。

c）CA接收到承諾 E，F(xiàn)，π_eq1 和 π_eq2 后，驗(yàn)證：

然后驗(yàn)證等式 是否成立，若成立，則相信v_A=v_B ，即承諾 E 和 F 中隱藏著同一個(gè)秘密值。

2.2.2交易金額大于零證明

當(dāng)Alice向Bob發(fā)起一筆轉(zhuǎn)賬時(shí)，交易雙方通過前文所述步驟生成承諾 E 和 F 并發(fā)送到CA，隨后，證明承諾 E=g₂^vh_ArA mod n 中包含的交易金額 v 是一個(gè)正數(shù)22]，將該NIZK協(xié)議記為 ，其關(guān)系如下：

R_v={（（E，g₂，h_A），（v，r_A））：

E=g₂^νh_A^rΛvgt;0Λv，r_A∈Z_p∣

其過程如下所述：

a） Alice 選擇隨機(jī)整數(shù) 1，2^t+l+sn-1] ，其中 為三個(gè)安全參數(shù)。計(jì)算：

若 ，則進(jìn)入下一步，否則重復(fù)此步驟。

b）Alice選擇隨機(jī)整數(shù) α≠0，0lt;ω?2^s+T ，使得 $u = ＼alpha ^ { 2 } （ ＼ v { v } _ { ＼ v { v } } - ＼$

（20 ι+1）+ωgt;2^l+t+s+T ，選擇隨機(jī)整數(shù) 1]，使得 -r_Aα²-r₁α-r₂∈[-2^sn+1，2^sn-1] ，計(jì)算：

G₂=G₁^αh_A^r2modn

G₃=g₂^ωh_A^r3modn

然后將 π_v={u，C^′，C^′′，D₃，D₄，D^′，G₁，G₂，G₃，G₄} 發(fā)送給CA。

c）CA驗(yàn)證承諾 G₁ 和 G₂ 隱藏著同一個(gè)秘密值 α ，承諾 G₃ 和 G₄ 隱藏著同一個(gè)秘密值 ω ，以及：

ugt;2^t+l+s+T

D₃∈[2^s+TC^′，2^t+l+s+T-1]

上述關(guān)系式是否均成立，若成立，則CA相信交易金額v?a， 。

2.2.3交易后余額大于零證明

交易后余額大于零證明與交易金額大于零證明類似，Alice隨機(jī)選擇 r_A^′ ，使用公鑰為交易后余額進(jìn)行加密得到密文c_A^′ ，然后從密文 c_A^′ 中提取出 c_A^′2 ，生成交易后余額的承諾 E^′ 并發(fā)送到CA，隨后參照2.2.2節(jié)的過程為交易后余額 A^′ 產(chǎn)生交易后余額大于零證明 π_bal=（u，C^′，C^′′，D₃，D₄，D^′，G₁，G₂，G₃ G₄ ）并發(fā)送到CA進(jìn)行驗(yàn)證。將該NIZK協(xié)議記為 P_bal，V_bal） ，其關(guān)系如下：

2.2.4交易合法性證明

交易合法性證明即驗(yàn)證交易過程中是否始終有：a）對(duì)于轉(zhuǎn)賬方，轉(zhuǎn)賬后余額與轉(zhuǎn)賬金額的和等于轉(zhuǎn)賬前余額;b）對(duì)于接收方，接受轉(zhuǎn)賬后的余額等于轉(zhuǎn)賬前的余額與轉(zhuǎn)賬金額之和。將該NIZK協(xié)議記為 ，其關(guān)系如下：

R_txl={（（n，g₂，h_A，h_B），（A，v_A，A^′，B，v_B，B^′））

驗(yàn)證過程如下：

a）假設(shè)Alice發(fā)起了一筆轉(zhuǎn)賬，Alice根據(jù)式（35）＼～（37）分別對(duì)自己的交易前余額 A ，交易金額 v_A ，交易后余額 A^′ 生成密文：

其中： r_A1…r_A2 和 r_A3 為 Alice在加密時(shí)選取的隨機(jī)數(shù)。注意在加密時(shí)，為滿足同態(tài)性，需要對(duì) r_A1，r_A2，r_A3 添加約束條件 r_A1= r_A2+r_A3 。隨后將 發(fā)送到 CA 。

b）Bob接收到來自Alice的轉(zhuǎn)賬后，同樣對(duì)自己的交易前余額 B 、交易金額 v 和交易后余額 B^′ 進(jìn)行加密，并根據(jù)式（38）＼～（40）分別為 B，v_B 和 B^′ 生成密文并發(fā)送到CA：

其中： r_B1，r_B2 和 r_B3 為 Bob 在加密時(shí)選取的隨機(jī)數(shù)。這里同樣需要對(duì) r_B1，r_B2，r_B3 添加約束條件 r_B3=r_B1+r_B2 。隨后將 π_txl2= 發(fā)送到 CA 。

c）CA接收到 π_txl1 和 π_txl2 后，驗(yàn)證：

若上述關(guān)系式均成立，則相信交易過程中無論是轉(zhuǎn)賬方還是接收方，交易始終滿足交易合法性。

2.3 整體描述

本文方案涉及系統(tǒng)管理員、用戶、驗(yàn)證中心CA、共識(shí)節(jié)點(diǎn)和區(qū)塊鏈網(wǎng)絡(luò)五個(gè)關(guān)鍵實(shí)體。它們各自承擔(dān)相應(yīng)的職責(zé)，確保方案的安全性、隱私性以及交易的合法性。

a）系統(tǒng)管理員。被認(rèn)為是一個(gè)完全誠實(shí)的實(shí)體，其行為不會(huì)對(duì)系統(tǒng)造成威脅。主要負(fù)責(zé)交易通道的系統(tǒng)參數(shù)生成以及用戶密鑰對(duì)的生成和分發(fā)。

b）用戶。交易的參與者，負(fù)責(zé)對(duì)交易信息進(jìn)行加密以及生成一系列零知識(shí)證明以供CA進(jìn)行校驗(yàn)。

c）驗(yàn)證中心CA。交易的驗(yàn)證者，負(fù)責(zé)驗(yàn)證交易的合法性和正確性，提交鏈下交易的最終結(jié)果。

d）共識(shí)節(jié)點(diǎn)。通過共識(shí)機(jī)制對(duì)CA提交的交易進(jìn)行確認(rèn)，并將交易寫入?yún)^(qū)塊鏈。

f）區(qū)塊鏈網(wǎng)絡(luò)。作為交易信息記錄和存儲(chǔ)的平臺(tái)，確保交易信息的不可竄改性。

系統(tǒng)框架和工作流程如圖1所示。

在本文所述的交易方案中，涉及到的過程被細(xì)分為用戶加密和CA驗(yàn)證兩個(gè)主要部分，這兩部分協(xié)同工作，確保交易的安全性和效率。以下是對(duì)這一過程的詳細(xì)描述：

a）當(dāng)Alice和Bob準(zhǔn)備開啟交易通道時(shí)，向系統(tǒng)管理員提交請(qǐng)求，請(qǐng)求中包含兩個(gè)用戶簽名和用戶準(zhǔn)備存入的初始余額。系統(tǒng)管理員驗(yàn)證簽名無誤后，為Alice和Bob創(chuàng)建一個(gè)多簽名錢包并存入初始金額，這筆交易稱為“錨點(diǎn)事務(wù)”。系統(tǒng)管理員生成通道的系統(tǒng)參數(shù)和Alice、Bob的公私鑰，并使用系統(tǒng)參數(shù)和雙方公鑰分別加密初始金額。然后將加密后的“錨點(diǎn)事務(wù)”廣播到網(wǎng)絡(luò)并記錄到區(qū)塊鏈上，標(biāo)志通道開啟，Alice和Bob的后續(xù)交易全部在鏈下通道中進(jìn)行。創(chuàng)建通道時(shí)生成的系統(tǒng)參數(shù)可在需要時(shí)供用戶和驗(yàn)證中心CA調(diào)用。Alice和Bob的公鑰公開，私鑰則各自保管。

b）當(dāng)Alice向Bob發(fā)起一筆轉(zhuǎn)賬時(shí)，雙方分別使用公鑰和系統(tǒng)參數(shù)對(duì)自己的交易前余額、本次交易金額和交易后余額等信息進(jìn)行加密，將生成的密文作為交易合法性證明發(fā)送到 CA 。

c）隨后交易雙方進(jìn)行如下操作：

（a）Alice和Bob從各自的密文中提取出 c_vA2 和 c_vB2 ，作為承諾 E 和 F 發(fā)送到CA，隨后共同為承諾 E 和 F 產(chǎn)生交易金額相等性證明并發(fā)送到CA；

（b）Alice為式（1）中的承諾 E 產(chǎn)生交易金額大于零證明并發(fā)送到CA；

（c） Alice從 c_A^′ 中提取出 c_A^′2 ，生成交易后余額的承諾 E^′ 并 產(chǎn)生交易后余額大于零證明發(fā)送到 cA 。

d）當(dāng)CA接收到來自Alice和Bob發(fā)送的一系列密文、承諾和證明后，分別進(jìn)行交易合法性驗(yàn)證、交易金額相等性驗(yàn)證、交易金額大于零驗(yàn)證和交易后余額大于零驗(yàn)證。

e）若CA驗(yàn)證無誤，則確認(rèn)交易正確合法，可繼續(xù)進(jìn)行后續(xù)交易。此外，Alice和Bob需簽署“承諾事務(wù)”以記錄余額狀態(tài)。例如，雙方初始各存入5BTC，Alice向Bob支付1BTC后，新承諾事務(wù)將記錄Alice有4BTC，Bob有6BTC。承諾事務(wù)經(jīng)雙方簽名交換并由CA存儲(chǔ)。當(dāng)創(chuàng)建新的承諾事務(wù)時(shí)，之前的承諾事務(wù)則作廢。金額以密文形式記錄，產(chǎn)生爭(zhēng)議時(shí)，雙方提交私鑰至CA解密金額以解決爭(zhēng)議。

f）若驗(yàn)證失敗，則認(rèn)為該筆交易無效，CA會(huì)向Alice和Bob返回一個(gè)交易失敗的信息，告知他們此次交易未能通過驗(yàn)證。系統(tǒng)會(huì)強(qiáng)制關(guān)閉當(dāng)前的交易通道，根據(jù)最新的承諾事務(wù)將通道內(nèi)的資金正確地分配回交易雙方的賬戶中，并以密文形式將交易雙方的最終余額 （C_An，C_Bn） 上傳到區(qū)塊鏈中。除了驗(yàn)證失敗的情況外，當(dāng)通道容量耗盡或通道過期時(shí)，通道也會(huì)自動(dòng)關(guān)閉。

g）人為關(guān)閉通道的情況有雙方一致同意關(guān)閉或單方?jīng)Q定關(guān)閉兩種。當(dāng)雙方一致同意關(guān)閉支付通道時(shí)，他們會(huì)共同簽署并廣播一個(gè)“結(jié)算事務(wù)”。這個(gè)結(jié)算事務(wù)記錄了通道的最終余額分配，經(jīng)過共識(shí)節(jié)點(diǎn)確認(rèn)后上傳區(qū)塊鏈。另外，在某些情況下，一方可能需要單方面關(guān)閉支付通道，例如另一方離線或無法達(dá)成共識(shí)時(shí)。此時(shí)，單方可以將最后一筆承諾事務(wù)提交，然后進(jìn)人一個(gè)挑戰(zhàn)期。挑戰(zhàn)期的時(shí)間長度可以根據(jù)系統(tǒng)的具體需求設(shè)定為數(shù)小時(shí)至數(shù)天，以平衡安全性與結(jié)算效率，其目的是為了防止一方惡意提交過時(shí)或不準(zhǔn)確的余額狀態(tài)，以確保通道關(guān)閉時(shí)資金的公正分配。在挑戰(zhàn)期內(nèi)，另一方可以提交新的承諾事務(wù)，如果提交的承諾事務(wù)通過驗(yàn)證，CA將以更新后的余額狀態(tài)作為最終結(jié)算依據(jù)。若挑戰(zhàn)期結(jié)束時(shí)沒有新的承諾事務(wù)提交或爭(zhēng)議未能得到有效證明，CA會(huì)根據(jù)最后一筆驗(yàn)證無誤的承諾事務(wù)進(jìn)行結(jié)算并上傳到區(qū)塊鏈。成功關(guān)閉通道后，系統(tǒng)管理員會(huì)將通道標(biāo)記為銷毀狀態(tài)，并丟棄通道的系統(tǒng)參數(shù)和密鑰，以確保通道不再被使用。

本文方案對(duì)交易過程中可能產(chǎn)生的交易問題進(jìn)行了多重校驗(yàn)，保障了交易數(shù)據(jù)隱私性和安全性。采用了鏈下交易通道機(jī)制提升了交易效率并減少了數(shù)據(jù)存儲(chǔ)需求。以上交易方案流程如圖2所示。

3方案分析及性能評(píng)估

3.1 正確性分析

交易金額相等性證明、交易金額大于零證明以及交易余額大于零證明為已有研究結(jié)果[18.20]，本文不再對(duì)其進(jìn)行正確性分析，僅對(duì)算法加解密的正確性和交易合法性證明的正確性進(jìn)行分析。

3.1.1算法加解密的正確性分析

定理1修改后的OU算法，加密后可以使用解密式（5）（6）解得明文 m 。

證明根據(jù)2.1.1節(jié)中的參數(shù)設(shè)置，有 即 ，令 a=g₁^p-1 ，則 g₁^p（p-1）-1=a^p-1=（a-1） （1+a²+…+a^p-1）=kp² ，所以有 p²∣（a-1） （ 1+a+…+ （204號(hào)a^p-1 ），可得 p?。╝-1） 且 p！（1+a+…+a^p-1），p?。╝-1）?a= 1+pk ，即 g₁^p-1≡1+pk mod p² 。所以：

所以 L（c_m^p-1modp²）=mkr₀ 。同理可得到 L（g₂^p-1modp²）= kr₀ 。因此：

由此可證明，修改后的OU算法，加解密仍具有正確性。

3.1.2交易合法性證明的正確性分析

定理2CA可以通過驗(yàn)證等式 和 來確認(rèn)該筆交易滿足交易合法性。

證明根據(jù)2.2.4節(jié)中交易合法性證明的過程，有：

由于 r_A1=r_A2+r_A3 ，若等式 成立，則有 A=v+A^′ 同理，若等式 c_B^′=c_vBc_B 成立，則有 B^′=v+B ，由此可證明該交易合法。

3.2 安全性分析

下面將對(duì)方案的安全性進(jìn)行分析，為此先給出以下三個(gè)主要定理。

定理3修改后的OU算法在IND-CPA安全模型下是安全的。

證明首先構(gòu)建攻擊實(shí)驗(yàn)如下：

a）實(shí)驗(yàn)中擁有一具有多項(xiàng)式資源的敵手 A 和一個(gè)能自由調(diào)用加密算法的挑戰(zhàn)者 C b）挑戰(zhàn)者C將公鑰 PK=（n，g₁，g₂，h） 發(fā)送給敵手 A c）敵手A選擇兩個(gè)長度相同的明文 m₀L，m₁∈Z_p 發(fā)送給挑戰(zhàn)者c;d）挑戰(zhàn)者C隨機(jī)選擇 b∈0，1 ，向敵手 A 發(fā)送密文 C_mb= E（m，r） ，其中 r 是加密 m_b 時(shí)選取的隨機(jī)數(shù)；e）敵手 A 猜測(cè)挑戰(zhàn)者C上一步進(jìn)行加密的明文是 m₀ 還是m₁ ，并且將猜測(cè)結(jié)果輸出，輸出結(jié)果記為 m^′ ，若 m^′=m_b ，則攻擊成功，否則失敗。

修改后的OU算法和原始OU算法一樣，其安全性是基于大整數(shù)因數(shù)分解問題和 P 子群?jiǎn)栴}，根據(jù)文獻(xiàn)[18]的安全性證明，當(dāng) P 子群?jiǎn)栴}是困難的時(shí)，對(duì)任意概率多項(xiàng)式時(shí)間敵手

Adv，對(duì)于任意常數(shù) ，以及足夠大的 k ，獲勝的概率為

其中： k 為素?cái)?shù) p 和 q 的位數(shù)。由此可見修改后的OU算法在IND-CPA安全模型下是安全的。

定理4本文零知識(shí)證明協(xié)議在隨機(jī)諭言機(jī)下具有計(jì)算零知識(shí)性。

證明首先以2.2.1節(jié)的交易金額相等性證明為例來分析。在該證明中，敵手可獲得的公開數(shù)據(jù)為 （c_vA，c_vB，E，F(xiàn) （204號(hào) π_eq1，π_eq2） ，并且可以在需要時(shí)調(diào)用相應(yīng)的系統(tǒng)參數(shù)。由定理3可知，敵手從 c_vA?c_vB?E，F(xiàn) 中獲取關(guān)于交易金額 v_A 和 v_B 的相關(guān)知識(shí)是困難的。 π_eq1 和 π_eq2 中包含 C，D_A，D_B，D₁，D₂ 個(gè)式子，其中式 c 為安全哈希函數(shù)， D_?A 和 D_B 為關(guān)于隨機(jī)數(shù) ω 和交易金額 v_A?v_B 的式子， D₁ 為關(guān)于隨機(jī)數(shù) η₁ 和隨機(jī)數(shù) r_A 的式子， D₂ 為關(guān)于隨機(jī)數(shù) η₂ 和隨機(jī)數(shù) r_B 的式子，而交易金額 v_A 、（24 v_B、ω、η₁、η₂、r_A 和 r_B 對(duì)于敵手都是未知的。而敵手很難從擁有兩個(gè)未知數(shù)的式子中確認(rèn)其中一個(gè)未知數(shù)的值。因此敵手從 π_eq1 和 π_eq2 中獲取關(guān)于交易金額 v_A 和 v_B 的相關(guān)知識(shí)是困難的。2.2.2節(jié)的交易金額大于零證明和2.2.3節(jié)的交易后余額大于零證明是兩個(gè)CFT協(xié)議，在隨機(jī)諭言機(jī)下屬于計(jì)算零知識(shí)，因此敵手從這兩個(gè)證明中獲得 v 的相關(guān)知識(shí)是困難的。在2.2.4節(jié)的交易合法性驗(yàn)證中，敵手可獲得的公開數(shù)據(jù)為 ，同樣根據(jù)定理3可知，敵手從這些密文中獲取相應(yīng)的明文信息是困難的。綜上，本文零知識(shí)證明協(xié)議在隨機(jī)諭言機(jī)下具有計(jì)算零知識(shí)性。

定理5本文零知識(shí)證明協(xié)議具有完備性和可靠性。

證明根據(jù)3.1節(jié)的正確性分析和零知識(shí)證明的正確性可知，誠實(shí)的證明者執(zhí)行本文方案，一定能夠被驗(yàn)證者驗(yàn)證通過。在本文方案中，零知識(shí)證明部分基于Fujisaki-Okamoto承諾方案構(gòu)建，該承諾在統(tǒng)計(jì)上是安全的，即證明者無法找到兩個(gè)不相等的整數(shù) m₁ 和 m₂ ，使得它們對(duì)應(yīng)的承諾值 E（x₁，r₁） 和E（x₂，r₂） 相等，這意味著證明者無法在生成承諾時(shí)欺騙驗(yàn)證者。以2.2.1節(jié)的交易金額相等性證明為例，假如證明者想要欺騙驗(yàn)證者，則需要在生成證明時(shí)找到一組 （C，D_A，D_B，D₁，D₂） （20使得零知識(shí)驗(yàn)證式成立，這需要破解安全哈希函數(shù)，在計(jì)算上是不可行的。而2.2.2節(jié)的交易金額大于零證明和2.2.3節(jié)的交易后余額大于零證明是兩個(gè)CFT協(xié)議，CFT協(xié)議本身具有完備性和可靠性。綜上，本文零知識(shí)證明協(xié)議具有完備性和可靠性。

3.3 性能評(píng)估

為驗(yàn)證方案的可行性以及測(cè)試算法性能，本節(jié)基于Hy-perledgerFabric2.4.4搭建了聯(lián)盟鏈網(wǎng)絡(luò)對(duì)方案進(jìn)行測(cè)試，仿真實(shí)驗(yàn)采用在VMware17.0.0下建立虛擬機(jī)的方式來模擬多節(jié)點(diǎn)環(huán)境，主機(jī)處理器為AMDRyzen556006-CoreCPU @ 3.50GHz ，機(jī)器配置處理器內(nèi)核4個(gè)，內(nèi)存 8GB 。相關(guān)環(huán)境配置包括Go1.21.10、Docker24.0.7以及DockerCompose2.2.2等，編程語言為Go語言。測(cè)試分為功能測(cè)試和算法效率測(cè)試兩部分。

3.3.1 功能測(cè)試

功能性測(cè)試主要涵蓋鏈下通道開啟與銷毀、交易零知識(shí)驗(yàn)證以及數(shù)據(jù)上鏈三個(gè)方面。交易雙方首先向系統(tǒng)管理員提交請(qǐng)求，請(qǐng)求中包含兩個(gè)用戶簽名和用戶準(zhǔn)備存入的初始余額。系統(tǒng)管理員驗(yàn)證雙方簽名，驗(yàn)證通過后創(chuàng)建一個(gè)多簽名錢包，為通道生成系統(tǒng)參數(shù)和Alice、Bob的公私鑰，并使用雙方公鑰對(duì)初始金額加密。隨后生成一個(gè)通道ID，將通道ID連同錨點(diǎn)事務(wù)一起記錄到區(qū)塊鏈上。查看容器日志顯示生成了通道的

相關(guān)信息，如圖3所示。具體實(shí)現(xiàn)如算法1所示。

算法1開啟交易通道

輸人：requestA （sig_A，A₀） ，requestB（sigB，B0）。

俞出：channelState。

a）if （verify（ sig_A ） n verify ）thenreturn channelState $$ \" invalid signature\"endif//驗(yàn)證Alice 和Bob 的簽名

b） SPSPGen（ ） //生成系統(tǒng)參數(shù)和雙方的密鑰對(duì)并分發(fā)

c） r_A，r_B← random //使用系統(tǒng)參數(shù)和公鑰加密Alice和Bob的初始金額

d）walle //用簽名和密文初始化多簽名錢包

e）tx $$ CreateAnchorTran（wallet）//創(chuàng)建錨點(diǎn)事務(wù)，包含多簽名錢包及其信息

f）createChannel（tx）//創(chuàng)建交易通道

g）channelState \"0pen\" （20號(hào)returnchannelState//返回通道開啟狀態(tài)

在交易零知識(shí)驗(yàn)證測(cè)試中，鏈碼實(shí)例化為用戶Alice在通道中存入初始金額100，Bob存入初始金額50，由Alice向Bob發(fā)起交易，金額為10，由Alice和Bob生成各自的交易密文、承諾、交易合法性證明，Alice和Bob合作產(chǎn)生交易相等性證明，并由Alice生成交易金額大于零和交易后余額大于零證明發(fā)送到CA，隨后CA進(jìn)行驗(yàn)證，實(shí)驗(yàn)結(jié)果顯示CA返回了驗(yàn)證成功的信息。查看容器日志可以看到CA接收到的交易信息均為密文狀態(tài)，如圖4所示。除了驗(yàn)證正確的知識(shí)外，CA還能夠拒絕惡意交易，當(dāng)交易金額設(shè)置為大于初始余額或交易金額與輸出金額不等時(shí)，盡管用戶輸出了相應(yīng)的承諾和證明，但均未通過CA校驗(yàn)。交易驗(yàn)證部分的實(shí)現(xiàn)如算法23所示。

算法2用戶生成承諾和零知識(shí)證明5 //Alice和 Bob 為此次交易生成交易合法性證明

b）Eg2AhA'Amod n F←gBhBBmod n //Alice和Bob為 v_A 和 v_B 生成承諾

c） τ_eq1，π_eq2P_eq（n，g₂，h_A，h_B，ω，η₁，η₂，v_A，v_B，r_A，v_B） //Alice和Bob合作產(chǎn)生 v_A 和 v_B 的交易相等性證明

（204號(hào) d）π_vP_v（n，g₂，h_A，φ，η，α，ω，r₁，r₂，r₃，v，r_A） //Alice對(duì)交易金額 v 生成交易金額大于零證明

（204號(hào) （20號(hào) //Alice對(duì)交易后余額 A^′ 生成承諾

f） π_balP_bal（n，g₂，h_A，φ，η，α，ω，r₁，r₂，r₃，A^′，r_A） //Alice對(duì)交易后余額 A^′ 生成交易后余額大于零證明

g）sendE，F(xiàn)，E'，πtxl，Ttl，Teql，Teq2，T，Tbal //發(fā)送承諾和零知識(shí)證明到CA

算法3CA驗(yàn)證零知識(shí)證明

輸人： E，F(xiàn)，E^′，π_rel1，π_txl2，π_eq1，π_eq2，π_ν，π_bal，n，g₂，h_A，h_B°

輸出：verificationState。 （204號(hào) a）b₀V_txl（π_txl1，π_txl2） //驗(yàn)證交易合法性 b）b₁V_eq（π_eq1，π_eq2，E，F(xiàn)，n，g₂，h_A，h_B） //驗(yàn)證交易相等性 c）b₂V_v（π_v，E，n，g₂，h_A） //驗(yàn)證交易金額大于零 （20 d）b₃V_bal（π_bal，E^′，n，g₂，h_A） //驗(yàn)證交易后余額大于零 e）if b₀∧b₁∧b₂∧b₃=1 then returnverificationState←—true else returnverificationState—1 //返回驗(yàn)證結(jié)果

當(dāng)一筆交易成功結(jié)束后，交易雙方需簽署“承諾事務(wù)”并交換以記錄余額狀態(tài)，如果出現(xiàn)爭(zhēng)議則提交私鑰到CA解密來解決爭(zhēng)議。若雙方?jīng)Q定不再繼續(xù)交易，則共同簽署“結(jié)算事務(wù)”，將“結(jié)算事務(wù)”記錄到區(qū)塊鏈上并由系統(tǒng)管理員銷毀通道。查看容器日志可以看到該交易的結(jié)算事務(wù)已被記錄，并顯示通道已成功銷毀，如圖5所示，具體實(shí)現(xiàn)如算法4所示。

算法4關(guān)閉交易通道

輸人： sig_A，sig_B，C_An，C_Bn ，channelID。

輸出：channelState。

a）signCommitmentTran（sigA，sigB，CAn，CBn） //簽署承諾事務(wù)

b）if signCommitmentStatus O= dispute then ResolveDispute end if //處理爭(zhēng)議情況

c）endTrant—EndTran（sigA，sigB，CAn，CBn） //簽署結(jié)算事務(wù)

d）destroyChannel（channelID） //銷毀通道，丟棄相關(guān)參數(shù)

e）channelState—\"destroyed\" returnchannelState //返回通道銷毀狀態(tài)

3.3.2算法效率測(cè)試

HEPZP[14]和Pailgamal算法[15]是目前區(qū)塊鏈隱私保護(hù)方向性能較好的兩種算法。本節(jié)將對(duì)本文算法與原版OU算法、

HEPZP算法和Pailgamal算法進(jìn)行對(duì)比分析。實(shí)驗(yàn)分別對(duì)系統(tǒng)參數(shù)中的密鑰長度取 1 024?2 048?3 072 bit進(jìn)行測(cè)試，交易金額設(shè)置為 64bit 隨機(jī)整數(shù)。表1是進(jìn)行200次實(shí)驗(yàn)得到的平均測(cè)試結(jié)果以及對(duì)測(cè)試結(jié)果的分析。

經(jīng)過對(duì)表1數(shù)據(jù)的深入對(duì)比分析，發(fā)現(xiàn)修改后的OU算法在密鑰生成和加密操作上展現(xiàn)出了相較于原算法更高的效率。盡管在解密效率上有所下降，但在本文方案中除交易出現(xiàn)爭(zhēng)議外，基本無須用到解密算法，因此不會(huì)對(duì)整個(gè)方案的性能產(chǎn)生影響。結(jié)合實(shí)驗(yàn)數(shù)據(jù)來看，本文算法與HEPZP和Pailgamal算法相比在系統(tǒng)參數(shù)生成、密鑰生成和加解密上都更具優(yōu)勢(shì)。

根據(jù)2.3節(jié)的整體方案描述，在表2、3中詳細(xì)記錄了交易雙方和CA在執(zhí)行零知識(shí)證明的各項(xiàng)操作時(shí)的時(shí)間開銷。此外，結(jié)合表1＼～3中的數(shù)據(jù)，表4匯總了在無爭(zhēng)議情況下完整一輪交易中各參與方操作的時(shí)間開銷。從表中可以觀察到，在3072bit安全密鑰長度下，零知識(shí)證明生成證明和驗(yàn)證的各個(gè)步驟處理時(shí)間均控制在毫秒級(jí)別。由于零知識(shí)證明的各個(gè)階段是獨(dú)立的，可以并行處理，所以該方案依舊具有較高的效率。此外，本文方案采用鏈下通道機(jī)制來提高交易效率，采用“一通道一參數(shù)”機(jī)制，并在通道銷毀后丟棄參數(shù)，相比HEPZP和Pailgamal中系統(tǒng)參數(shù)始終不變的機(jī)制更具安全性。

4結(jié)束語

本文通過對(duì)OU同態(tài)加密算法改進(jìn)，有效地拓展了OU同態(tài)加密算法的應(yīng)用范圍，使其不僅可以對(duì)交易金額進(jìn)行加密，同時(shí)支持零知識(shí)證明，能夠?qū)灰讛?shù)據(jù)進(jìn)行多重校驗(yàn)而無須披露任何交易細(xì)節(jié)，保障了交易數(shù)據(jù)的隱私性。此外，本文將匿名雙向支付通道技術(shù)與OU同態(tài)加密算法相結(jié)合，實(shí)現(xiàn)了在鏈下環(huán)境中的快速交易，有效緩解了區(qū)塊鏈網(wǎng)絡(luò)確認(rèn)交易時(shí)間過長所帶來的限制問題。最后，通過理論分析和仿真測(cè)試驗(yàn)證了方案的安全性、高效性和可行性。

本文提出的區(qū)塊鏈隱私保護(hù)方案僅涉及交易數(shù)據(jù)的隱藏，且零知識(shí)證明協(xié)議效率不突出。因此，研究區(qū)塊鏈交易中身份信息的隱私保護(hù)方案，以及更高效的零知識(shí)證明協(xié)議，是下一步的研究方向。

參考文獻(xiàn)：

[1]張奧，白曉穎.區(qū)塊鏈隱私保護(hù)研究與實(shí)踐綜述［J].軟件學(xué)報(bào)， 2020，31（5）：1406-1434.（Zhang Ao，Bai Xiaoying.Survey of research and practices on blockchain privacy protection[J].Journal of Software，2020，31（5）：1406-1434.）

[2]譚朋柳，徐滕，楊思佳，等.區(qū)塊鏈隱私保護(hù)技術(shù)研究綜述[J].計(jì) 算機(jī)應(yīng)用研究，2024，41（8）：2261-2269．（Tan Pengliu，Xu Teng， Yang Sijia，et al.Review of research on blockchain privacy protection technologies[J].Application Research of Computers，2024，41 （8）：2261-2269.）

[3]賈森，姚中原，祝衛(wèi)華，等.零知識(shí)證明賦能區(qū)塊鏈的進(jìn)展與展望 [J].計(jì)算機(jī)應(yīng)用，2024，44（12）：3669-3677．（JiaMiao，Yao Zhongyuan，Zhu Weihua，etal.Progress and prospect of zeroknowledge proof enabling blockchain[J]. Journal of Computer Applications，2024，44（12） ：3669-3677.）

[4］王冬，李政，肖冰冰.基于同態(tài)加密的區(qū)塊鏈混幣方案[J].計(jì)算機(jī) 科學(xué)，2024，51（3）：335-339．（Wang Dong，Li Zheng，Xiao Bingbing. Blockchain coin mixing scheme based on homomorphic encryption[J].Computer Science，2024，51（3）：335-339.）

[5]肖瑤，馮勇，李英娜，等.基于同態(tài)加密的區(qū)塊鏈交易數(shù)據(jù)隱私保 護(hù)方案[J].密碼學(xué)報(bào)，2022，9（6）：1053-1066．（XiaoYao，F(xiàn)eng Yong，Li Yingna，et al.Aprivacy-preserved scheme for blockchain transaction based on homomorphic encryption[J]. Journal of Cryptologic Research，2022，9（6） ：1053-1066.）

[6]薛慶水，薛震，王晨陽，等.基于加法同態(tài)的可修改區(qū)塊鏈方案 [J].計(jì)算機(jī)應(yīng)用研究，2022，39（11）：3232-3237.（XueQingshui， Xue Zhen，Wang Chenyang，et al. One modifiable blockchain scheme based onadditive homomorphic encryption algorithm[J].Application Research of Computers，2022，39（11） ：3232-3237.）

[7]Wu Xiaohua，Wang Jing，Zhang Tingbo.Integrating fully homomorphic encryption to enhance the security of blockchain applications[J].FutureGeneration Computer Systems，2024，161：467-477.

[8]楊亞濤，趙陽，張奇林，等.基于SEAL庫的同態(tài)加權(quán)電子投票系 統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào)，2020，43（4）：711-723.（YangYatao，Zhao Yang，Zhang Qilin，et al.Weighted electronic voting system with homomorphic encryption based on SEAL[J].Chinese Journal of Computers，2020，43（4） ：711-723.）

[9]楊亞濤，劉德莉，劉培鶴，等.BFV-Blockchainvoting：支持BFV全同 態(tài)加密的區(qū)塊鏈電子投票系統(tǒng)[J].通信學(xué)報(bào)，2022，43（9）：100- 111.（Yang Yatao，Liu Deli，Liu Peihe，etal. BFV-Blockchainvoting： blockchain-based electronic voting systems with BFV full homomorphic encryption[J]. Journal on Communications，2022，43（9）： 100-111. ）

[10]劉雪峰，楊丹平，仇卿云，等.區(qū)塊鏈上無可信拍賣師的密封式競(jìng) 拍方案[J].密碼學(xué)報(bào)，2023，10（3）：491-505．（Liu Xuefeng，Yang Danping，Qiu Qingyun，et al. Sealed bidding auction with no trusted auctioneer on blockchain[J].Journal of Cryptologic Research， 2023，10（3）：491-505.）

[11］宋靖文，張大偉，韓旭，等.區(qū)塊鏈中可監(jiān)管的身份隱私保護(hù)方案 [J].軟件學(xué)報(bào)，2023，34（7）：3292-3312．（Song Jingwen，Zhang Dawei，Han Xu，et al.Supervised identity privacy protection scheme in blockchain[J].Journal of Software，2023，34（7） ：3292-3312.）

[12] Shahrouz JK，Analoui M.An anonymous authentication scheme with conditional privacy-preserving for vehicular Ad hoc networks based on zero-knowledge proof and blockchain[J].Ad hoc Networks，2024， 154：103349.

[13］景旭，楊少坤.面向聯(lián)盟鏈轉(zhuǎn)賬隱私保護(hù)的 + HomElG零知識(shí)證明 協(xié)議[J].工程科學(xué)與技術(shù)，2023，55（5）：272-282.（JingXu， Yang Shaokun.+HomElG zero-knowledge proof protocol for privacy protection of consortium blockchain transfer[J].Advanced EngineeringSciences，2023，55（5） ：272-282.）

[14]李龔亮，賀東博，郭兵，等.基于零知識(shí)證明的區(qū)塊鏈隱私保護(hù)算 法[J].華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2020，48（7）：112-116. （LiGongliang，HeDongbo，Guo Bing，etal.Blockchain privacy protection algorithms based on zero-knowledge prof[J].Journal of Huazhong University of Science and Technology： Natural Science Edition，2020，48（7） ：112-116.）

[15]楊敏，徐長通，夏喆，等.一種高效且可監(jiān)管的隱私交易方案[J]. 武漢大學(xué)學(xué)報(bào)：理學(xué)版，2023，69（1）：39-50.（YangMin，Xu Changtong，Xia Zhe，et al.Anefficient and regulatable confidential transaction scheme[J]. Jourmal of Wuhan University： Natural Science Edition，2023，69（1） ：39-50.）

[16]劉懿中，姜楠，陳若楠，等.區(qū)塊鏈鏈下通道研究綜述[J].密碼學(xué) 報(bào)，2024，11（1）：45-66．（Liu Yizhong，Jiang Nan，Chen Ruonan，et al. Overview on blockchain of-chain channels[J]. Journal of Cryptologic Research，2024，11（1） ：45-66.）

[17]Green M，Miers I. Bolt：anonymous payment channels for decentralized currencies[C]//Proc of ACM SIGSAC Conference on Computer and Communications Security.New York：ACM Press，2017：473-489.

[18]Goldwasser S，Micali S，RackoffC.The knowledge complexity of interactive proof-systems[C]//Proc of the 17th Annual ACM Symposium on Theory of Computing.New York：ACM Press，1985：291-304.

[19]Fujisaki E，Okamoto T. Statistical zero knowledge protocols to prove modular polynomial relations[C]//Proc of the 17th Annual International Cryptology Conference on Advances in Cryptology.Berlin： Springer，1997：16-30.

[20]伍前紅，張鍵紅，王育民.一個(gè)高效的匹配協(xié)議[J].通信學(xué)報(bào)， 2004，25（8）：139-144.（Wu Qianhong，Zhang Jianhong，Wang Yumin.An efficient match protocol[J].Journal of China Institute of Communications，2004，25（8）：139-144.）

[21] Okamoto T，Uchiyama S.A new public-key cryptosystem as secure as factoring[M]//Nyberg K.Advances in Cryptology—EUROCRYPT' 98.Berlin：Springer，1998：308-318.

[22]伍前紅，張鍵紅，王育民.簡(jiǎn)單證明一個(gè)承諾值在特定區(qū)間 內(nèi)[J]．電子學(xué)報(bào)，2004，32（7）：1071-1073．（Wu Qianhong， Zhang Jianhong，Wang Yumin.Simple prof that a commited number isinaspecific interval[J].Acta Electronica Sinica，20o4，32（7）： 1071-1073）