[发明专利]一种适合区块链隐私保护的零知识证明方法和介质

权利要求书

1.一种适合区块链隐私保护的零知识证明方法，其特征在于，包括：

在初始化阶段生成系统参数，其中在初始化阶段生成系统参数为：PP＝(p,G₁,G₂,G_T,e,g₁,h,g₂,g_T,vk,σ,T)，其中(p,G₁,G₂,G_T,e,g₁,g₂)←G_bp(1ⁿ)是双线性组，是另外一个G₁的生成元且g_T＝e(g₁,g₂)是G_T的生成元，签名密钥为sk＝x而验证密钥为计算在0到2^ε-1的签名：计算双线性映射其中p是群G₁、G₂、G_T的阶，g₁、g₂分别是群G₁、G₂的生成元，e是一个双线性映射，_$Z_p是阶为p的整数群，μ←_$Z_p表示μ是从整数群Z_p中随机选出；

在用户配置阶段生成交易节点公私钥对并定义加密方式，其中在用户配置阶段进行交易的参与方使用paillier加密体系；

在证明生成阶段，生成证明节点的余额密文以及分别使用证明节点和验证节点公钥加密的转账金额密文，证明节点生成随机参数并以初始化阶段得到的系统参数作为通用输入，计算得到相关证明参数，以此生成非交互式零知识证明π；

在验证阶段，证明节点将π发送给验证节点，验证节点结合系统参数，对π进行解析后验证是否满足条件，若满足则允许交易。

2.根据权利要求1所述的适合区块链隐私保护的零知识证明方法，其特征在于，在证明生成阶段，拥有余额t_A的用户A在向用户B转账金额为t时，执行以下操作：

步骤1：用户A从账本中得到t_A的密文：其中r为随机数，N_A为用户A的公钥；

步骤2：为得到存在证据生成参数的方式包括步骤(1)至(3)：

(1)而且即，C_t,是相同的明文用不同公钥加密得到的密文，并由CM_t做出pederson承诺，其中N_A为用户A的公钥，N_B为用户B的公钥，r_t和为生成的随机数，l为使用在pederson承诺中的随机数；

(2)而且其中l′为使用在pederson承诺中的随机数，以及

(3)t∈[0,(2^ε)^γ],t′＝t_A-t∈[0,(2^ε)^γ),其中

ε和γ是表示方案明文空间的两参数，方案的明文空间为[0,2^β]，其中β＝ε·γ，若β≠ε·γ则可以通过适当放大范围以使β＝ε·γ成立；

步骤3：使用系统参数PP作为通用输入，A使用私密输入生成能证明步骤2中(1)、(2)、(3)的计算的论断的证据，生成证明的方式包括以下步骤：

设置N＝N_A·N_B；

随机样本其中j＝0,1,2..,γ-1，计算：

再对应于j＝0,1,2,..,γ-1随机选取样本v_j,v'_j,q_j,m_j,u←_$Z_N*p，计算：

根据以上的定义和公式，计算

其中H表示密码学中的哈希函数；代表一个随机预言；

根据c，计算出以及

z_l＝r_l-c·lmod(N*p)

z_l′＝r_l′-c·l′mod(N*p)

z₃＝r₃/(r/r_t)^c modN_A

对于j＝0,1,2,..,γ-1计算：

最后，A发送零知识证明π给B：