[发明专利]一种适合区块链隐私保护的零知识证明方法和介质

说明书

本发明公开了一种适合区块链隐私保护的零知识证明方法和介质，可支持比特币的UTXO以及以太坊的余额模型，且能很好的与智能合约相结合，进一步提升方案的安全性，扩展了方案的应用场景，且针对交易的特定代数结构设计的零知识证明，即使轻节点也可以生成证明过程。其技术方案为：方法包括初始化阶段系统参数(包含参数的生成过程和含义)，证明生成阶段生成零知识证明的具体过程(包含过程中生成的密文，涉及到的公式和参数等)，以及验证阶段(包含验证的公式和条件等)。

技术领域

本发明涉及区块链的隐私保护技术，尤其涉及区块链隐私保护中的零知识证明方法。

背景技术

区块链系统作为公开的账本，其解决了各方信任建立的共识问题。每一个参与者都能够获得完整的数据备份，所有交易数据都是公开和透明的，这个区块链的优势特点，但另一方面，对于很多区块链应用方来说，这个特点又是致命的。因为很多时候，不仅用户本身希望其帐户隐私和交易信息被保护，就商业机构来说，很多帐户和交易信息更是这些机构的重要资产和商业机密，不希望公开分享給同行，尤其是对敏感数据需要平衡隐私保护和合规监管，对于涉及大量商业机密和利益的业务场景来说，数据的暴露不符合业务规则和监管要求。

智能合约是运行在区块链上的一段代码，该代码控制和管理数据库。每个账户的资产存储在智能合约的数据库中，并可以通过智能合约在满足特定的条件下对数据库中的数据进行操作。例如在供应链金融场景中，每个账户的余额以及对该余额的操作都在智能合约中记录和进行。如节点间转账操作即是通过在全部节点间广播消息，并执行智能合约来执行。每个节点的余额都是隐私信息，各节点希望其余额对其他节点不可见。转账内容也属于隐私信息，因此广播消息中余额的变动不希望其他节点可见。同时，还需要支持智能合约中余额的变动操作，所有人都能对余额进行操作。

在区块链系统中，各节点间维持的是一致的公共账本，此账本记录了每个节点的余额信息，节点间通过一定的共识机制对公共账本进行操作。这种情况下账本中所有用户的交易信息，包括区块链上记载的其他信息都被暴露，用户的隐私保护问题随之产生。系统需要在保障用户隐私的情况下，实现区块链交易可验证、历史可查等特性，保证交易的有效性。比特币对隐私保护的解决思路是，通过隔断交易地址和地址持有人真实身份的关联，来达到匿名的效果。所以虽然能够看到每一笔转账记录的发送方和接受方的地址，但无法对应到现实世界中的具体某个人。但这样的保护是很弱的，通过观察和跟踪区块链的信息，通过地址ID、IP信息等还是可以追查到帐户和交易的关联性。

为了解决区块链的隐私保护问题，目前有混币、环签名、同态加密、零知识证明等几种方式：

1.混币原理(CoinJoin)：混币原理的实现思路是割裂输入地址和输出地址之间的关系。在一个交易中，假如有很多人参与，其中包括大量输入和输出，这样会比较难在输入和输出中找出每个人的对应对，这样一来，输入与输出之间的联系被事实上割裂。多次混币、每次少量币，效果更好。此方法虽然高度匿名，但其风险评估不到位，必须信赖匿名的第三方。

2.对公共账本上的余额直接进行加密，只有节点本身或者赋予权利的相关方能对交易信息可见，其余节点无法操作数据，账本信息难以保持一致性。例如Chinaledger提出了基于中央对手方(CCP)的方案，交易发起方使用CCP的公钥加密交易，签名后提交给CCP，由CCP实现解密、检验签名、检验余额，如果是有效再实现转账金额过户。此方法中，其余节点只能背书交易，而不能背书余额，此方案虽然保护了节点用户隐私，但过于中心化，整个系统依赖于CCP的信誉交易。还有以太坊社区提出的基于状态旁路(State channel)的隐私保护方案，此方案交易过程中，区块链中节点将交易提交到智能合约里，智能合约实现中间流程明细的加密，其余节点不可见；到交易完成时，再把最终价值分配方案解密，返回到区块链其余节点上。但此方法只保护了中间过程部分的隐私，交易的总额变动也是对所有节点透明的。