[发明专利]基于环签名的匿名交易方法及装置

权利要求书

1.一种基于环签名的匿名交易方法，包括：

根据汇款方对应账户内的待花费资产ID_j_1～ID_j_m、掩护方i对应账户内的掩护资产ID_i_1～ID_i_m，组装汇款交易M；其中，待花费资产ID_j_1～ID_j_m、掩护资产ID_i_1～ID_i_m在区块链账本中被分别记录为相应资产额对应的资产承诺；

根据汇款方所持私钥x_j、公钥P_j和掩护方i所持公钥P_i，为所述汇款交易M生成可链接环签名，包括：根据待花费资产ID_j_1～ID_j_m对应的资产额t_j_1～t_j_m、随机数r_j_1～r_j_m和资产承诺PC(t_j_1,r_j_1)～PC(t_j_m,r_j_m)，以及交易收款方Q_1～Q_u对应的转账额t’_1～t’_u、随机数r’_1～r’_u和转账额承诺PC(t’_1,r’_1)～PC(t’_u,r’_u)，确定对应于汇款方的伪公钥P”_j＝[PC(t_j_1,r_j_1)+…+PC(t_j_m,r_j_m)]-[PC(t’_1,r’_1)+…+PC(t’_u,r’_u)]、对应于汇款方的伪私钥r”＝(r_j_1+...+r_j_m)-(r’_1+...+r’_u)，u≥1；根据掩护资产ID_i_1～ID_i_m对应的资产承诺PC{i,1}～PC{i,m}，确定对应于掩护方i的伪公钥P”_i＝[PC{i,1}+…+PC{i,m}]-[PC(t’_1,r’_1)+…+PC(t’_u,r’_u)]，i∈[1,j-1]∪[j+1,n]；根据汇款方对应的私钥x_j、公钥P_j、伪私钥r”、伪公钥P”_j，掩护方i对应的公钥P_i、伪公钥P”_i，为所述汇款交易M生成可链接环签名；所述可链接环签名中包含密钥镜像I_1～I_m，且密钥镜像I_1～I_m的取值与汇款方的私钥x_j、公钥P_j和资产标识ID_j_1～ID_j_m相关；

向区块链网络提交签名后的汇款交易M；其中，在交易完成后，密钥镜像I_1～I_m被添加至历史密钥镜像集合，且所述待花费资产ID_j_1～ID_j_m在区块链账本上被保持记录为汇款方持有的资产。

2.根据权利要求1所述的方法，通过下述公式计算所述密钥镜像I_1～I_m：

I_d＝x_j×Hash_G(P_j,ID_j_d)，d∈[1,m]；

其中，Hash_G()为椭圆曲线到其自身的哈希函数。

3.根据权利要求1所述的方法，所述掩护方包括以下任一或其组合：所述汇款交易M的实际收款方、区别于所述汇款方和所述实际收款方的其他用户。

4.根据权利要求1所述的方法，

当不存在找零时，所述汇款交易M的交易收款方为实际收款方；当存在找零时，所述汇款交易M的交易收款方为所述汇款方和所述实际收款方；或，

所述交易收款方包括所述实际收款方和所述汇款方；其中，当不存在找零时，所述汇款方对应的转账额为0；或，

所述交易收款方包括所述实际收款方、所述汇款方、区别于所述实际收款方和所述汇款方的掩护方；其中，当不存在找零时，所述汇款方和作为交易收款方的掩护方对应的转账额为0；当存在找零时，所述汇款方对应的转账额为找零额、作为交易收款方的掩护方对应的转账额为0。

5.根据权利要求1所述的方法，还包括：

针对所述汇款交易M的各个交易收款方对应的转账额，分别生成相应的范围证明，所述范围证明被组装至所述汇款交易M中，以用于证明相应的转账额不小于0。

6.根据权利要求1所述的方法，

所述待花费资产ID_j_1～ID_j_m、所述资产ID_i_1～ID_i_m为相应的历史交易的交易输出；或，

所述待花费资产ID_j_1～ID_j_m被从汇款方对应的账户余额中划分而生成、所述资产ID_i_1～ID_i_m被从掩护方i对应的账户余额中划分而生成。

7.根据权利要求1所述的方法，还包括：

根据汇款方对应的伪私钥r”、伪公钥P”_j，生成密钥镜像I_(m+1)＝r”×Hash_G(P”_j)；其中，所述可链接环签名还包含所述密钥镜像I_(m+1)。