CN113159745B - 基于全同态的区块链交易隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于全同态的区块链交易隐私保护方法，解决了现有区块链中交易数据透明公开需要隐私保护的问题。实现方案为：用户密钥生成；加密对称密钥；发送数据至云服务器；对称加密交易金额；转化密文；密文下的平衡验证；密文下的交易运算；解密符号位进行真实验证；上传至区块链；付款方解密密文查看自己的余额，实现了区块链交易过程中的隐私保护。本发明应用同态加密保护交易信息，实现密文下的交易隐私计算，防止交易信息被攻击者获取。本发明能在区块链中保护交易信息，防止信息泄露，且对交易金额加密的状态下进行计算，可用于在区块链上对交易信息进行隐藏。

Description

基于全同态的区块链交易隐私保护方法

技术领域

本发明属于网络安全信息技术领域，主要涉及密码学中多密钥同态加密和门限加密技术，具体是一种基于全同态的区块链交易隐私保护方法，用于在区块链中对交易金额的保护以及金额隐私计算。

背景技术

区块链通过共识机制实现了不可篡改的分布式记账，为价值互联网提供了一种可靠的全新信任形式，将以信任为切入点改变互联网乃至经济社会的生态。但是，链上的信息对所有人来说都是公开可查的，隐私性有很大的牺牲。同时，在智能合约的链上运行带来的可信性同样要以牺牲隐私性为代价，所有的处理记录都可以在区块链上被查找，其应用范围也会受数据敏感性的限制。为了确保区块链上信息的安全性和可验证性，需要利用全同态加密技术实现链上信息的密文计算。

区块链的本质是应用密码算法和安全协议建立起来的一种信任机制。与云计算技术相结合，区块链提供的服务设计社会的多个方面。区块链上数据的公开化、数据本身存在的内部关联性、传统密码算法和安全协议本身存在的不足以及大数据分析技术的不断进步导致区块链上数据隐私泄露风险越来越大。

针对这一问题，目前的方式是通过零知识证明、环签名、混币以及同态加密等手段解决数字货币交易过程中的隐私问题，从而产生了各种加密货币。

零币(Zerocash)使用简洁地非交互式零知识证明技术(zk-SNARKs)和密码承诺方案来达到隐藏比特币链上交易双方以及交易金额的目的。但该方案不支持同态计算，同时证明生成过程开销较大，效率低下。

门罗币(Monero)使用可连接的环签名来隐藏交易的原始信息，从而更好的提供支付者的隐私保护。为了隐藏钱包余额，采用了承诺方案进行隐藏。但该方案采用的致盲因子被特殊选择，可能导致较低的随机性，降低方案的安全性。

2013年，Gregory提出了CoinJoin机制来混淆交易的输入输出。最简单的情况下，两个用户将两个输入组合在一起，在一个交易中进行两次支付。但要参与CoinJoin交易，必须同时找到其他想要付款的用户，大大降低了交易的效率。

综上，现有的针对区块链的隐私保护方案尚未支持同态计算，无法在密文状态下进行相应的计算，无法实现相应的隐私计算，并存在安全性和效率性问题。

发明内容

本发明的目的在于针对现有技术的不足，提出一种在金额加密的状态下依旧能够交易运算的基于全同态的区块链交易隐私保护方法。

本发明是一种基于全同态的区块链交易隐私保护方法，涉及用户和云服务器之间的交互操作，使用网络进行数据传输，用户包括付款方和收款方，在区块链上的交易过程中对交易的金额进行隐私保护，其特征在于，包括有如下步骤：

(1)用户密钥生成：需要进行交易时，用户中的付款方和收款方确定交易金额，各自均通过两种算法分别获得对称加密的私钥和同态加密的公钥和私钥；

(1a)生成同态密钥：需要进行交易时，用户调用门限加密算法生成多密钥同态加密中用户私钥份额

云服务器私钥份额/>

以及相对应私钥的公钥pk^H；

(1b)生成对称密钥：同时,用户调用对称密钥生成算法，生成对称密钥sk^S；

(2)加密对称密钥：用户使用多密钥同态加密算法加密生成的对称密钥sk^S，得到对称密钥的密文C^H(sk^S)；

(3)发送数据至云服务器：用户将对称密钥的密文C^H(sk^S)以及多密钥同态加密的公钥pk^H同时通过网络发送给云服务器，云服务器暂存；

(4)对称加密交易金额：用户使用对称密码算法加密交易金额m，将得到的对称加密的交易金额的密文C^S(m)发送给云服务器；

(5)转化密文：云服务器收到对称加密的交易金额的密文后，利用多密钥同态加密的性质，将得到的对称加密的交易金额的密文C^S(m)转化为同态加密的交易金额的密文C^H(m)；

(6)密文下的平衡验证：付款方使用收款方的公钥加密交易金额，收款方通过密文转化得到同态加密的交易金额的密文，云服务器利用同态性质在密文状态下进行交易的平衡验证，若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行；

(7)密文下的交易运算：云服务器在交易的平衡验证结果为0后，使用交易用户的同态加密的交易金额的密文C^H(m),在密文状态下进行交易运算，得到密文下的交易运算结果C^H(f(m))；

(8)解密符号位进行真实验证：云服务器验证密文下交易金额的真实性，若交易真实，则将真实的运算结果C^H(f(m))通过网络发送至付款方；否则，拒绝此笔交易；

(9)上传至区块链：云服务器使用得到的同态加密的交易金额的密文C^H(m)通过网络上传至区块链，在传输过程中以及区块链上，交易金额均以密文形式保护，全过程攻击者无法查看交易金额，交易金额在密文状态下进行隐私计算，交易完成，收款方收到交易金额；

(10)付款方解密密文查看自己的余额：付款方解密从云服务器得到的密文下的运算结果C^H(f(m))，随时可查看自己的账户余额；

(10a)云服务器将自己的私钥份额

发送给付款方；

(10b)付款方将得到的云服务器私钥份额

和自己的私钥份额/>

输入至解密算法，得到明文下的运算结果f(m)，随时查看账户余额；

(10c)为保护交易的安全性，若付款方想要进行新的交易，则需要返回执行步骤(1)-(9)，重新启动新交易。

本发明解决了区块链上交易隐私泄露的技术问题。

本发明与现有技术相比有以下优点：

实现区块链上用户的隐私保护：本发明是基于同态加密和对称加密技术对交易金额进行加密，实现对交易金额的保护，防止攻击者查看交易信息，区块链上的用户采用同态加密、对称加密和云计算辅助对交易隐私进行加密后上传，通过云服务器达成共识，由此，实现区块链上用户的隐私保护。

实现密文下的隐私计算：本发明是基于同态加密的技术进行加密，通过密文转化得到同态加密的交易金额的密文，因此用户可以根据交易需要对加密金额进行隐私计算，克服了传统方案中无法同态计算的问题，在保护用户隐私的情况下实现多方交易，攻击者无法从加密数据中获得用户的隐私信息。

本地资源消耗少:本发明加入了云服务器，用户利用云服务器强大的计算能力和内存资源协助进行交易计算，无需用户自身进行计算，克服了传统方案中本地用户计算量过大，消耗资源过多的问题，在不消耗过多的本地资源的情况下，通过云服务器实现对交易的验证和计算。

附图说明

图1是本发明中的实现总流程图；

图2是本发明中的交易流程图。

下面结合附图和实例对本发明详细说明

具体实施方式

实施例1

传统的区块链的隐私保护方案未支持同态计算，无法在密文状态下进行相应的计算，无法实现相应的隐私计算。本发明针对此问题进行了研究，提出一种基于全同态的区块链交易隐私保护方法。

本发明是一种基于全同态的区块链交易隐私保护方法，涉及用户和云服务器之间的交互操作，使用网络进行数据传输，用户包括付款方和收款方，在区块链上的交易过程中对交易的金额进行隐私保护，参见图1，包括有如下步骤：

(1)用户初始化密钥生成：需要进行交易时，用户中的付款方和收款方确定交易金额，各自均通过两种算法分别获得对称加密的私钥和同态加密的公钥和私钥。

(1a)生成同态密钥：需要进行交易时，用户调用门限加密算法生成多密钥同态加密中用户私钥份额

云服务器私钥份额/>

以及相对应私钥的公钥pk^H，用于加密对称密钥。

(1b)生成对称密钥：同时,用户调用对称密钥生成算法，生成对称密钥sk^S，用于加密交易金额。

(2)加密对称密钥：用户使用多密钥同态加密算法加密生成的对称密钥sk^S，得到对称密钥的密文C^H(sk^S)。

(3)发送数据至云服务器：用户将对称密钥的密文C^H(sk^S)以及多密钥同态加密的公钥pk^H同时通过网络发送给云服务器，云服务器暂存。

(4)对称加密交易金额：用户使用对称密码算法加密交易金额m，将得到的对称加密的交易金额的密文C^S(m)发送给云服务器。

执行步骤(1)-(4)，用户的各方完成对同态和对称密钥的生成，并进一步加密。

(5)转化密文：云服务器收到对称加密的交易金额的密文后，利用多密钥同态加密的性质，将得到的对称加密的交易金额的密文C^S(m)转化为同态加密的交易金额的密文C^H(m)。

(6)密文下的平衡验证：用户执行付款方和收款方各自的同态、对称密钥的生成及对称密钥和金额加密即执行步骤(1)-(4)后，付款方使用收款方的公钥加密交易金额，收款方通过密文转化得到同态加密的交易金额的密文，云服务器利用同态性质在密文状态下进行交易的平衡验证，若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

(7)密文下的交易运算：云服务器在交易的平衡验证结果为0后，使用得到的进行交易用户的同态加密的交易金额的密文C^H(m),在密文状态下进行交易运算，得到密文下的交易运算结果C^H(f(m))。

(8)解密符号位进行真实验证：云服务器验证密文下交易金额的真实性，若交易真实，则将真实的运算结果C^H(f(m))通过网络发送至指定的付款方；否则，拒绝此笔交易。

(9)上传至区块链：云服务器使用得到的同态加密的交易金额的密文C^H(m)通过网络上传至区块链，在传输过程中以及区块链上，交易金额均以密文形式保护，全过程攻击者无法查看交易金额，需要时交易金额可在密文状态下进行隐私计算，以此来实现对交易金额的不可见，交易完成，收款方收到交易金额。

(10)付款方解密密文查看自己的余额：付款方解密从云服务器得到的密文下的运算结果C^H(f(m))，随时可查看自己的账户余额。

(10a)云服务器将自己的私钥份额

发送给付款方；

(10b)付款方将得到的云服务器私钥份额

和自己的私钥份额/>

输入至解密算法，得到明文下的运算结果f(m)，随时查看账户余额；

(10c)为保护交易的安全性，若付款方想要进行新的交易，则需要返回执行步骤(1)-(9)，重新启动新交易。

目前，区块链上的交易数据对所有用户都是开放和透明的，但在大数据时代，链上数据的隐私保护要求与区块链技术现状之间存在尖锐矛盾，因此设计新型的安全协议，确保区块链各个环节安全运行对于链上数据隐私保护具有极其重要的意义。

本发明在基于多密钥同态加密和对称加密的基础上，建立安全的交易模型。由于对交易数据进行加密保护，因此，区块链上交易数据对于其他人不可见，实现对交易的隐私保护。设计对密文下交易数据的平衡验证和真实验证，在***露交易隐私的情况下，验证交易真实有效。对交易数据的同态加密使得交易可在密文状态下进行计算，有利于某些场景的应用。

同时，本发明引入云服务器。在加密或隐私计算中，用户可利用云服务器强大的计算能力协助计算，克服了传统方案中计算量过大的问题，实现对用户本地资源的节约。

因此，本发明不仅实现了区块链上用户交易隐私的保护，还利用同态加密实现密文下的交易数据的计算，解决了区块链上密文计算的需求。

实施例2

基于全同态的区块链交易隐私保护方法同实施例1，步骤(6)中所述的密文下的平衡验证是云服务器验证交易的平衡，假设用户A、B、C均参与本次转账交易，用户A为付款方，用户B、C均为收款方，用户A欲转账金额m_B给用户B，转账金额m_C给用户C，且用户A当前余额为m_0,A，m_0,A≠m_B≠m_C，其实现包括有如下步骤：

(6a)用户A加密转账金额m_B,m_C：用户A分别使用用户B、C的同态加密的公钥加密转账金额m_B,m_C，得到各自对应的转账金额的密文

同时发送给云服务器。

(6b)用户B、C通过转化密文获得同态密文：用户B、C各自运行步骤(1)-(5)，得到同态加密的转账金额的密文

(6c)密文下的平衡验证：云服务器利用同态性质，分别计算

和

解密计算结果，验证其是否等于0。

(6d)结果验证：若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

在本例中，付款方为一个用户A，收款方为两个用户B、C，但本发明的基于全同态的区块链交易隐私保护方法可将收款方推广到多个用户，实现一个付款方对多个收款方进行付款，参见图2。

本发明中云服务器利用同态加密的性质在密文状态下对交易的金额进行确认，***露交易金额，保证用户隐私。由此来保障了交易的平衡，防止用户进行欺诈交易，因此本发明的技术方案保障交易有效，防止用户欺骗。

实施例3

基于全同态的区块链交易隐私保护方法同实施例1-2，本发明步骤(7)所述的密文下的交易运算是云服务器协助交易用户进行交易运算，在假设用户A欲转账金额m_B给用户B，转账金额m_C给用户C的情况下，其实现如下：

用户A、B、C因为各自运行步骤(1)-(4)后，将各自的生成的C^H(sk^S),pk^H,C^S(m₀)发送给云服务器，云服务器转化密文后，进行如下步骤：

(7a)密文下取逆加1：云服务器在转账金额的密文下对用户B、C的转账金额进行逐比特取反加一的操作，得到取反密文，为交易运算准备，其逐比特取反加一的计算公式如下：

用户B同态加密的转账金额的取反密文：

用户C同态加密的转账金额的取反密文：

为对1分别使用用户B、C公钥进行同态加密的密文，其中/>

为对1使用用户B公钥进行同态加密的密文，/>

为对1使用用户C公钥进行同态加密的密文，(m_n-1,B,...,m_0,B)为转账金额m_B的二进制表示，n为二进制表示的长度，(m_n-1,C,...,m_0,C)为转账金额m_C的二进制表示，/>

为对转账金额m_B使用用户B公钥进行逐比特加密的结果，/>

为对转账金额m_C使用用户C公钥进行逐比特加密的结果。

(7b)得到密文下的交易运算的结果：云服务器利用同态操作MKFHE.EvalAdd与用户B、C的取反密文，计算得到密文下的交易运算结果

计算公式如下：

式中

为用户A同态加密的当前余额的密文。

本发明结合多密钥同态加密方案，利用云服务器的强大的计算能力，在密文状态下对交易进行运算。在密文状态下计算付款方当前余额减去转账金额，同时利用密文下的计算结果更新付款方的账户，保护了用户的隐私，防止非交易者查询交易信息。因此，本发明的技术方案实现了密文下的交易运算以及账户更新。

实施例4

基于全同态的区块链交易隐私保护方法同实施例1-3，步骤(8)中解密符号位进行真实验证是验证交易真实性，其实现包括有如下步骤：

(8a)提取密文下交易运算结果形式：根据步骤(7b)得到的运算结果

其形式为逐比特加密，即密文/>

其中最高位第n位为符号位。

(8b)解密符号位进行真实验证：用户A和云服务器联同运行门限解密算法对交易运算结果的符号位进行解密，此时双方同时获得解密值m_n-1，若m_n-1＝0，则交易真实有效，若m_n-1＝1，则云服务器拒绝此笔交易。

本发明中对交易金额二进制表示，同时结合同态加密对交易金额逐比特加密。在交易运算结果中，利用符号位对交易的真实进行验证，保证了付款方有足够的余额完成交易，防止付款方进行欺诈交易，保障交易的真实有效。因此本发明的技术方案能够保证交易真实合法，防止空头交易。

下面给出一个完整的例子，对本发明进行更详细的阐述。

实施例5

基于全同态的区块链交易隐私保护方法同1-4，本发明的基于全同态的区块链交易隐私保护方法，涉及网络、用户、区块链、云服务器，用户和云服务器之间的交互操作，使用网络进行数据传输，用户包括付款方和收款方，在区块链上的交易过程中对交易的金额进行隐私保护，参见图1，包括有如下步骤：

(1)用户初始化密钥生成：需要进行交易时，用户中的付款方和收款方确定交易金额，各自均通过两种算法分别获得对称加密的私钥和同态加密的公钥和私钥。

(1a)生成同态密钥：需要进行交易时，用户调用门限加密算法生成多密钥同态加密中用户私钥份额

云服务器私钥份额/>

以及相对应私钥的公钥pk^H，用于加密对称密钥。

(1b)生成对称密钥：同时,用户调用对称密钥生成算法，生成对称密钥sk^S，用于加密交易金额。

(2)加密对称密钥：用户使用多密钥同态加密算法加密生成的对称密钥sk^S，得到对称密钥的密文C^H(sk^S)。

本例中以BGV多密钥同态加密为例，其实现包括如下步骤：

(2a)用户得到BGV多密钥同态加密的公钥：

pk^H＝[az+pe,a]＝[b,a]

其中

为随机选择的向量，用户的私钥/>

p为与各层模数q_l,l∈{0,...,L}互素的小整数，e为从错误分布/>

中随机选择的向量。

(2b)加密对称密钥sk^S，计算其密文，其计算公式如下：

其中r,e,e'为从错误分布χ中随机选择的元素。

(3)发送数据至云服务器：用户将对称密钥的密文C^H(sk^S)以及多密钥同态加密的公钥pk^H同时通过网络发送给云服务器，云服务器暂存。

(4)对称加密交易金额：用户使用对称密码算法加密交易金额m，将得到的对称加密的交易金额的密文C^S(m)发送给云服务器。

执行步骤(1)-(4)，用户的各方完成对同态和对称密钥的生成，并进一步加密。

(5)转化密文：云服务器收到对称加密的交易金额的密文后，利用多密钥同态加密的性质，将得到的对称加密的交易金额的密文C^S(m)转化为同态加密的交易金额的密文C^H(m)。

(6)密文下的平衡验证：用户执行付款方和收款方各自的同态、对称密钥的生成及对称密钥和金额加密即执行步骤(1)-(4)后，付款方使用收款方的公钥加密交易金额，云服务器通过密文转化得到收款方的同态加密的交易金额的密文，利用同态性质在密文状态下进行交易的平衡验证，若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

假设用户A、B、C均参与本次转账交易，用户A为付款方，用户B、C均为收款方，用户A欲转账金额m_B给用户B，转账金额m_C给用户C，且用户A当前余额为m_0,A，m_0,A≠m_B≠m_C，其实现包括有如下步骤：

(6a)用户A加密转账金额m_B,m_C：用户A分别使用用户B、C的同态加密的公钥加密转账金额m_B,m_C，得到各自对应的转账金额的密文

同时发送给云服务器。

(6b)用户B、C通过转化密文获得同态密文：用户B、C各自运行步骤(1)-(5)，得到同态加密的转账金额的密文

(6c)密文下的平衡验证：云服务器利用同态性质，分别计算

和

解密计算结果，验证其是否等于0。

(6d)结果验证：若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

(7)密文下的交易运算：云服务器在交易的平衡验证结果为0后，使用得到的进行交易用户的同态加密的交易金额的密文C^H(m),在密文状态下进行交易运算，得到密文下的交易运算结果C^H(f(m))。

在假设用户A欲转账金额m_B给用户B，转账金额m_C给用户C的情况下，其实现如下：

(7a)密文下取逆加1：云服务器在转账金额的密文下对用户B、C的转账金额进行逐比特取反加一的操作，得到取反密文，为交易运算准备，其逐比特取反加一的计算公式如下：

用户B同态加密的转账金额的取反密文：

用户C同态加密的转账金额的取反密文：

其中

为对1分别使用用户B、C公钥进行同态加密的密文，其中/>

为对1使用用户B公钥进行同态加密的密文，/>

为对1使用用户C公钥进行同态加密的密文，(m_n-1,B,...,m_0,B)为转账金额m_B的二进制表示，n为二进制表示的长度，(m_n-1,C,...,m_0,C)为转账金额m_C的二进制表示，/>

为对转账金额m_B使用用户B公钥进行逐比特加密的结果，

为对转账金额m_C使用用户C公钥进行逐比特加密的结果。

(7b)得到密文下的交易运算的结果：云服务器利用同态操作MKFHE.EvalAdd与用户B、C的取反密文，计算得到密文下的交易运算结果

计算公式如下：

式中

为用户A同态加密的当前余额的密文。

(8)解密符号位进行真实验证：云服务器验证密文下交易金额的真实性，若交易真实，则将真实的运算结果C^H(f(m))通过网络发送至指定的付款方；否则，拒绝此笔交易。

解密符号位进行真实验证是验证交易真实性，其实现包括有如下步骤：

(8a)提取密文下交易运算结果形式：根据步骤(7b)得到的运算结果

其形式为逐比特加密，即密文/>

其中最高位第n位为符号位。

(8b)解密符号位进行真实验证：用户A和云服务器联同运行门限解密算法对交易运算结果的符号位进行解密，此时双方同时获得解密值m_n-1，若m_n-1＝0，则交易真实有效，若m_n-1＝1，则云服务器拒绝此笔交易。

(9)上传至区块链：云服务器使用得到的同态加密的交易金额的密文C^H(m)通过网络上传至区块链，在传输过程中以及区块链上，交易金额均以密文形式保护，全过程攻击者无法查看交易金额，需要时交易金额可在密文状态下进行隐私计算，以此来实现对交易金额的不可见，交易完成，收款方收到交易金额。

(10)付款方解密密文查看自己的余额：付款方解密从云服务器得到的密文下的运算结果C^H(f(m))，随时可查看自己的账户余额。

(10a)云服务器将自己的私钥份额

发送给付款方。

(10b)付款方将得到的云服务器私钥份额

和自己的私钥份额/>

输入至解密算法，得到明文下的运算结果f(m)，随时查看账户余额。

用户对计算结果进行解密,其实现如下：

(10b1)用户A、B、C分别拓展其同态加密的私钥sk^H＝(1,-z_l,j)，扩展后私钥为s'_l,j＝(1,-z_l,j,0,...,0)。

(10b2)用户A、B、C分别对步骤(8g)的计算结果

进行半解密，其计算公式如下：

c'_j＝(c_j,0)＝(<c,s'_l,j>,0)＝(b_l-a_l,j·z_l,j,0)

(10b3)用户A、B、C分别利用云服务器使用用户A的同态加密的公钥

加密0，其计算公式如下：

(10b4)用户A、B、C分别将半解密结果和c_A相加，即c”_j＝(b_l-a_l,j·z_l,j+b_l,A,a_l,A)，将结果发送给用户A。

(10b5)用户A计算c_sum＝c”_A+c”_B+c”_C。

(10b6)用户A对

进行解密，其计算公式如下:

m_1,A＝(c_sum-(k-1)b_l)·s_l,A

其中，k为参与交易的用户数量，在此例中k＝3。

(10c)为保护交易的安全性，若付款方想要进行新的交易，则需要返回执行步骤(1)-(9)，重新启动新交易。

本发明主要解决现有区块链中交易数据透明公开需要隐私保护的问题。其实现方案为：用户密钥生成；用户使用多密钥同态加密算法加密生成的对称密钥；用户使用对称密码算法加密交易金额m；云服务器将对称加密的交易金额的密文转化为同态加密的交易金额的密文；云服务器进行密文下的平衡验证；云服务器在密文下进行交易运算；云服务器解密交易运算结果符号位进行真实验证；云服务器将同态加密的交易金额的密文上传至区块链。本发明能在区块链中保护交易信息，防止信息泄露，且对交易金额加密的状态下进行计算，可用于在区块链上对交易信息进行隐藏。

下面给出从理论实施方面给出更详细的例子，结合本发明的技术效果再做说明。

实施例6

基于全同态的区块链交易隐私保护方法同实施例1-5，参见图1，包括有如下步骤：

步骤1，初始化

1.1)用户调用门限加密算法生成多密钥同态加密算法中用户私钥份额

云服务器私钥份额/>

以及相对应的公钥pk^H。

1.2)用户调用对称密钥生成算法，生成对称密钥sk^S。

步骤2，加密对称密钥sk^S，此处以BGV多密钥同态加密算法为例。

2.1)用户得到BGV多密钥同态加密的公钥：

pk^H＝[az+pe,a]＝[b,a]

其中

为随机选择的向量，用户的私钥/>

p为与各层模数q_l,l∈{0,...,L}互素的小整数，e为从错误分布/>

中随机选择的向量。

2.2)加密对称密钥sk^S，计算其密文C^H(sk^S)，其计算公式如下：

其中r,e,e'为从错误分布χ中随机选择的元素。

步骤3，用户将对称密钥的密文C^H(sk^S)以及多密钥同态加密的公钥pk^H发送给云服务器。

步骤4，用户使用对称密码算法加密交易金额m，将得到的对称加密的密文C^S(m)发送给云服务器。

步骤5，云服务器利用同态加密的性质，将得到的交易金额的对称加密的密文C^S(m)转化为同态加密的密文C^H(m)。

步骤6，平衡验证。

假设用户A欲转账m_B金额给用户B，转账m_C金额给用户C，且其余额为m_0,A

6.1)用户A使用用户B、C的同态加密的公钥加密转账金额m_B,m_C，得到其密文

发送给云服务器。

6.2)用户B、C各自运行步骤(1)-(5)，得到密文

6.3)服务器利用同态性质，分别计算

解密计算结果，验证其是否等于0。

6.4)若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

步骤7，交易运算。

7.1)用户A、B、C各自运行步骤(1)-(4)，将各自的生成的C^H(sk^S),pk^H,C^S(m₀)发送给云服务器。

7.2)云服务器将用户A、B、C的C^S(m)转化为多密钥同态加密的密文，其计算公式如下：

C^H(m)＝H.Eval(S.Dec(C^S(m),C^H(sk^S),pk^H)

7.3)云服务器对用户B、C的同态加密的比特位密文进行逐比特取反加一的操作，其计算公式如下：

其中

为对1的同态加密的密文，c_B,C为用户B、C同态加密的转账金额的取反密文，从而云服务器得到ct_j＝{c_j,{j},l},j＝A,B,C。

7.4)云服务器将ct_j扩展至集合S上，S＝{A,B,C}，其计算公式如下：

7.5)云服务器利用同态操作MKFHE.EvalAdd，计算

步骤8，真实验证。

8.1)根据得到的计算结果

其形式为逐比特加密，即密文

其中最高位第n位为符号位。

8.2)用户A和云服务器共同运行门限解密算法对符号位进行解密，此时双方同时获得解密值m_n-1，若m_n-1＝0，则交易真实有效，若m_n-1＝1，则云服务器拒绝此笔交易。

步骤9，云服务器使用得到的同态加密的密文C^H(m)上传至区块链，以此来实现对交易金额的不可见，同时满足隐私计算。

步骤10，用户解密。

10.1)云服务器将自己的私钥份额

发送给用户。/>

10.2)用户A、B、C分别拓展其同态加密的私钥sk^H＝(1,-z_l,j)，扩展后私钥为s'_l,j＝(1,-z_l,j,0,...,0)。

10.3)用户A、B、C分别对计算结果

进行半解密，其计算公式如下：

c'_j＝(c_j,0)＝(<c,s'_l,j>,0)＝(b_l-a_l,j·z_l,j,0)

10.4)用户A、B、C分别利用云服务器使用用户A的同态加密的公钥

加密0，其计算公式如下：

10.5)用户A、B、C分别将半解密结果和c_A相加，即

c”_j＝(b_l-a_l,j·z_l,j+b_l,A,a_l,A)，将结果发送给用户A。

10.6)用户A计算c_sum＝c”_A+c”_B+c”_C。

10.7)用户A对

进行解密，其计算公式如下:

m_1,A＝(c_sum-(k-1)b_l)·s_l,A

其中，k为参与交易的用户数量，在此例中k＝3。

10.8)为保护交易的安全性，若用户想要进行新的交易，则需要重新运行步骤(1)-(9)。

综上所述，本发明公开了一种基于全同态的区块链交易隐私保护方法，解决了现有区块链中交易数据透明公开需要隐私保护的问题。实现方案为：用户密钥生成；加密对称密钥；发送数据至云服务器；对称加密交易金额；转化密文；密文下的平衡验证；密文下的交易运算；解密符号位进行真实验证；上传至区块链；付款方解密密文查看自己的余额，实现了区块链交易过程中的隐私保护。本发明应用同态加密保护交易信息，实现密文下的交易隐私计算，防止交易信息被攻击者获取。本发明能在区块链中保护交易信息，防止信息泄露，且对交易金额加密的状态下进行计算，可用于在区块链上对交易信息进行隐藏。

Claims (4)

1.一种基于全同态的区块链交易隐私保护方法，涉及用户和云服务器之间的交互操作，使用网络进行数据传输，用户包括付款方和收款方，在区块链上的交易过程中对交易的金额进行隐私保护，其特征在于，包括有如下步骤：

(1)用户密钥生成：需要进行交易时，用户中的付款方和收款方确定交易金额，各自均通过两种算法分别获得对称加密的私钥和同态加密的公钥和私钥；

(1a)生成同态密钥：需要进行交易时，用户调用门限加密算法生成多密钥同态加密中用户私钥份额

云服务器私钥份额/>

以及相对应私钥的公钥pk^H；

(1b)生成对称密钥：同时,用户调用对称密钥生成算法，生成对称密钥sk^S；

(2)加密对称密钥：用户使用多密钥同态加密算法加密生成的对称密钥sk^S，得到对称密钥的密文C^H(sk^S)；

(3)发送数据至云服务器：用户将对称密钥的密文C^H(sk^S)以及多密钥同态加密的公钥pk^H同时通过网络发送给云服务器，云服务器暂存；

(4)对称加密交易金额：

用户使用对称密码算法加密交易金额m，将得到的对称加密的交易金额的密文C^S(m)发送给云服务器；

(5)转化密文：云服务器收到对称加密的交易金额的密文后，利用多密钥同态加密的性质，将得到的对称加密的交易金额的密文C^S(m)转化为同态加密的交易金额的密文C^H(m)；

(6)密文下的平衡验证：付款方使用收款方的公钥加密交易金额，收款方并通过密文转化得到同态加密的交易金额的密文，云服务器利用同态性质在密文状态下进行交易的平衡验证，若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行；

(7)密文下的交易运算：云服务器在交易的平衡验证结果为0后，使用交易用户的同态加密的交易金额的密文C^H(m),在密文状态下进行交易运算，得到密文下的交易运算结果C^H(f(m))；

(8)解密符号位进行真实验证：云服务器验证密文下交易金额的真实性，若交易真实，则将真实的运算结果C^H(f(m))通过网络发送至付款方；否则，拒绝此笔交易；

(9)上传至区块链：云服务器使用得到的同态加密的交易金额的密文C^H(m)通过网络上传至区块链，在传输过程中以及区块链上，交易金额均以密文形式保护，全过程攻击者无法查看交易金额，交易金额在密文状态下进行隐私计算，交易完成，收款方收到交易金额；

(10)付款方解密密文查看自己的余额：付款方解密从云服务器得到的密文下的运算结果C^H(f(m))，随时可查看自己的账户余额；

(10a)云服务器将自己的私钥份额

发送给付款方；

(10b)付款方将得到的云服务器私钥份额

和自己的私钥份额/>

输入至解密算法，得到明文下的运算结果f(m)，随时查看账户余额；

(10c)为保护交易的安全性，若付款方想要进行新的交易，则需要返回执行步骤(1)-(9)，重新启动新交易。

2.根据权利要求1所述的基于全同态的区块链交易隐私保护方法，其特征在于，步骤(6)中所述的密文下的平衡验证是云服务器验证交易的平衡，假设用户A、B、C均参与本次转账交易，用户A为付款方，用户B、C均为收款方，用户A欲转账金额m_B给用户B，转账金额m_C给用户C，且用户A当前余额为m_0,A，m_0,A≠m_B≠m_C，其实现包括有如下步骤：

(6a)用户A加密转账金额m_B,m_C：用户A分别使用用户B、C的同态加密的公钥加密转账金额m_B,m_C，得到各自对应的转账金额的密文

同时发送给云服务器；

(6b)用户B、C通过转化密文获得同态密文：用户B、C各自运行步骤(1)-(5)，得到同态加密的转账金额的密文

(6c)密文下的平衡验证：云服务器利用同态性质，分别计算

和

解密计算结果，验证其是否等于0；

(6d)结果验证：若结果等于0，则继续进行交易；否则，拒绝此笔交易的进行。

3.根据权利要求1所述的基于全同态的区块链交易隐私保护方法，其特征在于，步骤(7)所述的密文下的交易运算是云服务器协助交易用户进行交易运算，在假设用户A欲转账金额m_B给用户B，转账金额m_C给用户C的情况下，其实现如下：

(7a)密文下取逆加1：云服务器在转账金额的密文下对用户B、C的转账金额进行逐比特取反加一的操作，得到取反密文，其逐比特取反加一的计算公式如下：

用户B同态加密的转账金额的取反密文：

用户C同态加密的转账金额的取反密文：

其中

为对1使用用户B公钥进行同态加密的密文，/>

为对1使用用户C公钥进行同态加密的密文，(m_n-1,B,...,m_0,B)为转账金额m_B的二进制表示，n为二进制表示的长度，(m_n-1,C,...,m_0,C)为转账金额m_C的二进制表示，/>

为对转账金额m_B使用用户B公钥进行逐比特加密的结果，/>

为对转账金额m_C使用用户C公钥进行逐比特加密的结果；

(7b)得到密文下的交易运算的结果：云服务器利用同态操作MKFHE.EvalAdd与用户B、C的取反密文，计算得到密文下的交易运算结果

计算公式如下：

式中

为用户A同态加密的当前余额的密文。

4.根据权利要求1所述的基于全同态的区块链交易隐私保护方法，其特征在于，步骤(8)中解密符号位进行真实验证是验证交易真实性，其实现包括有如下步骤：

(8a)提取密文下交易运算结果形式：根据步骤(7b)得到的运算结果

其形式为逐比特加密，即密文/>

其中最高位第n位为符号位；

(8b)解密符号位进行真实验证：用户A和云服务器联同运行门限解密算法对交易运算结果的符号位进行解密，此时双方同时获得解密值m_n-1，若m_n-1＝0，则交易真实有效，若m_n-1＝1，则云服务器拒绝此笔交易。

Images