[发明专利]一种基于环签名和智能合约的以太坊交易隐私保护方法

权利要求书

1.一种基于环签名和智能合约的以太坊交易隐私保护方法，其特征在于：包括如下步骤：

(1)生成账户地址：使用者需要采用椭圆曲线加密算法额外生成n个账户地址，具体如下所示：

addressPool＝{address₀，address₁，...，address_n-2，address_n-1}

addressPool中的每个账户地址都对应一个账户公钥，即address_i对应的账户公钥为addressPool中的每个账户地址都对应一个账户私钥，账户地址发起的每一笔交易都需要依赖于对应账户私钥进行的签名，即address_i对应的账户私钥为

使用者使用自己的账户地址address_A来替代addressPool中的address_j，其中j∈[0，n-1]，生成了addressGroup；addressGroup中的账户地址对应的账户公钥集合为publicKeyGroup，具体如下所示：

addressGroup＝{address₀，...，address_j-1，address_A，address_j+1，…，address_n-1}

(2)部署智能合约：使用者使用账户地址address_j来将交易隐私保护合约部署到以太坊主网络中，并生成合约账户地址address_contract。账户地址address_j是该合约的拥有者，即owner＝address_j。owner变量会保存到交易隐私保护合约中，交易隐私保护合约中的函数在调用时需要判断调用者的账户地址是否与owner变量相同，只有合约拥有者address_j才能调用合约中的函数。

(3)计算环签名：利用公钥集合publicKeyGroup与address_A对应的账户私钥来生成环签名σ，环签名σ采用的是AOS环签名算法，环签名σ表示为σ＝(e₀，s₀，s₁，......，s_n-1)，公钥其中为address_A对应的账户私钥且素数阶为q循环群是循环群的生成元；；等待被签名的消息M＝keccak256(pwd)，其中keccak256为哈希函数，pwd是使用者为计算环签名所设置的一次性口令，该口令在整个过程中都不会公开，只有使用者知道口令pwd的内容。

(4)向合约转账：交易隐私保护合约利用合约地址address_contract来帮用户执行转账交易，但是用户需要提前使用账户地址address_j来将数额为amount的以太币(单位为wei)发送到合约账户地址address_contract，这样交易隐私保护合约才会拥有数额为amount的以太币(单位为wei)以用于替用户执行转账交易。

(5)向合约发送公钥及环签名：使用者使用账户地址address_j对应的账户私钥x_j来签名一个调用环签名合约上的sendRingSignature函数的交易。在交易中，使用者需要向函数传入的参数为账户地址集合addressGroup、账户公钥集合publicKeyGroup、环签名σ、被签名的消息keccak256(pwd)、交易接收者的账户地址address_B、交易转账的以太币数额amount，交易会被广播到交易隐私保护合约的账户地址address_contract并调用sendRingSignature函数，而sendRingSignature函数会依次调用合约内的3个函数，分别是验证公钥的verifyPublicKey函数、验证环签名的verifyRingSignature函数、执行交易的transferEther函数。

(6)验证公钥：首先，verifyPublicKey函数利用msg.sender全局变量来获取交易发起者的账户地址。只有调用者的账户地址与owner变量相同时，即调用者的地址为address_j时，函数才能被调用成功，solidity智能合约中的msg.sender全局变量可以用来获取调用合约的账户地址，该变量获取到的是合约调用者的真实账户地址。

然后，verifyPublicKey函数会判断传入的账户地址集合addressGroup中的每个账户地址是否与账户公钥集合publicKeyGroup中的每个公钥对应，判断方法的伪代码如下所示：

for i＝0；i＜n；i＝i+1 do

P_i＝publicKeyGroup[i]，address_i＝addressGroup[i]；

Base＝0x00FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF；

if(uint(keccak256(P_i))Base)≠uint(address_i)then

return false；

return true；

(7)验证环签名：接着，verifyRingSignature函数会被调用以判断传入的环签名σ＝(e₀，s₀，s₁，......，s_n-1)的完整性。

(8)执行转账交易：transferEther函数会被调用以向特定的账户地址进行转账。一旦环签名认证成功，交易隐私保护合约会使用自己的合约账户地址address_contract来向账户地址address_B发起转账交易，转账的金额是数额为amount的以太币(单位为wei)。交易隐私保护合约使用自己的合约地址address_contract来帮助用户进行交易，成功地隐藏了用户的原始账户地址，实现了保护用户以太坊交易隐私的目的。