[发明专利]利用零知识证明协议证明交易金额处于某个区间的方法

摘要

本发明公开了一种利用零知识证明协议证明交易金额处于某个区间的方法。交易发起者首先把交易金额用FO承诺进行隐藏，所述承诺作为交易密文的一部分。然后利用该承诺、一个承诺所隐藏秘密为平方数的零知识证明协议，两个承诺隐藏相等秘密的零知识证明协议，CFT范围零知识证明协议构造交易金额处于某个区间的零知识证据，之后把上述承诺及证据发送给区块链系统。区块链的节点利用接收的数据，执行零知识验证协议，验证交易金额处于声称的区间内。如果一切验证合法，则把交易记载到区块链系统，如果验证不合格，则交易不合格。该发明在支持密文同态运算的同时，能够零知识证明密文状态的交易金额处于某个区间内，保证交易金额的隐私。

主权项

1.一种利用零知识证明协议证明交易金额处于某个区间的方法，其特征在于，包括以下步骤：步骤1：设待加密的交易金额为x，已知x∈[a，b]且x为整数，b‑a≥2^2(t+l)+1，其中，安全参数t、1是大小确定的自然数；N为一个正的合数且其素数分解未知，且g有一个大阶数，乃是由g生成的一个元素，且满足以乃为底g的对数，以g为底乃的对数都未知；基于(g，乃，N)为(x，r)构造承诺E(x，r)＝g^xh^r mod N，其中随机整数r∈[‑(2^s N+1)，(2^s N+1)]，安全参数s是一个确定大小的自然数；步骤2：零知识范围证明的构造；计算c₁＝g^‑aE(x，r)mod N＝g^x‑ah^r mod N，c₂＝g^bE(x，r)^‑1 mod N＝g^b‑xh^‑r mod N；Xlower＝x‑a；Xupper＝b‑x；其中，c_prime与c₂隐藏了同样的秘密Xupper，其证据为PK(Xupper，r₁，r₂：c_prime and c₂)，其中r₁＝rXupper+r_prime，r₂＝‑r，g₁＝g^Xlower，g₂＝g，h₁＝h₂＝h，随机整数r_prime∈[‑(2^sN+1)，(2^sN+1)]；记：m＝(x‑a)(b‑x)＝XupperXlower；其中表示不大于的最大整数；其中m₃＝m‑m_i‑m₂；r＝rXupper+r_prime；r′＝r₁+r₂+r₃，其中，r₁，r₂∈[‑N，N]；基于(g，h，N)构造c_prime1＝E(m_i，r₁)，c_prime2＝E(m₂，r₂)，c_prime3＝E(m₃，r₃)；为证明承诺c_prime1，c_prime2各自隐藏一个平方数，分别构造证据PK(m₀，r₁：c_prime1)，PK(mm₀，r₂：c_prime2)；T＝b‑a‑1；m′₃＝m₃2^t+l；r₃′＝r₃2^t+l；基于(g，h，N)构造PK_cft(m′₃，r′₃：E＝E(m′₃，r′₃)and m′₃∈[‑2^t+lT，2^t+lT])，以证明m₃∈[‑T，T]的范围；步骤3：在构造完成之后，将用于证明PK(x，r：E＝E(x，r)and x∈[a，b]的所有证据发送给校验方；PK(Xupper，r₁，r₂：c_prime and c₂)，PK(m₀，r₁：c_primel)，PK(mm₀，r₂：c_prime2)，PK_cft(m′₃，r′₃：E＝E(m′₃，r′₃)and m′₃∈[‑2^t+lT，2^t+lT])，c_prime，c_primel＝E(m₁，r₁)，c_prime2＝E(m₂，r₂)，c_prime3＝E(m₃，r₃)；区间参数a，b，以及承诺E(x，r)；步骤4：校验方校验；步骤4.1：利用a，b，E(x，r)及参数(g，h，N)计算c₁，c₂；步骤4.2：使用c₂，c_prime，PK(Xupper，r₁，r₂：c_prime and c₂)校验c₂与c_prime隐藏同样的秘密Xupper，从而证明c_prime所承诺的数具有格式(x‑a)(b‑x)；步骤4.3：c_prime_verify＝c_prime1c_prime2c_prime3mod N，校验c_prime_verify与c_prime相等，从而证明m₁+m₂+m₃＝(x‑a)(b‑x)；步骤4.4：使用c_prime1，PK(m₀，r₁：c_prime1)证明承诺c_prime1隐藏了一个平方数，使用c_prime2，PK(mm₀，r₂：c_prime2)证明承诺c_prime2隐藏了一个平方数；步骤4.5：计算使用c_prime3，，PK(m′₃，r′₃：E＝E(m′₃，r₃′)and m₃′∈[‑2^t+lT，2^t+lT])证明m₃∈[‑(b‑a‑1)，(b‑a‑1)]的区间范围；如果通过以上步骤的检查，说明(x‑a)(b‑x)＝m_l+m₂+m₃，m₁，m₂都是平方数，所构造m₃满足m₃∈[‑(b‑a‑1)，(b‑a‑1)]，根据数学原理，可以得出x∈[a，b].以上任何一个校验不通过即为失败。