[发明专利]一种比特币交易隐私增强方法

权利要求书

1.一种比特币交易隐私增强方法，其特征在于：其运行步骤如下：

步骤1：系统初始化/KeyGen：生成用于加解密运算以及验证的安全参数；系统输入安全参数，输出用于加解密运算生成的公钥pk_i和私钥sk_i，同时输出用于验证的公钥pk_d，注意此公钥无配对私钥；

步骤2：计算输入总值/Insum：计算交易总输入值，即上单交易与挖矿总收入；若该交易单是作为新确认的区块，则该交易单将获得额外的50比特币费用作为奖励，总收入为明文与原密文相操作的总和；若该交易单不是新确认区块首单，则无额外收入，总收入即为上单交易传来的值；

步骤3：加密项/Encrypt：系统在交易层使用接受者公钥分别加密传输数额，同时在验证层使用系统公钥加密相同数额的各个数额；在交易层所加密的数额将在验证层通过后发送至各个接收者账户，注意到在验证层发送的加密数额将进入“哑巴账户”，哑巴账户为账户无私钥，金额在验证后即丢弃的账户；

步骤4：验证项/Verify：在验证层验证隐藏后的数额是否为正值，以及输入输出总额是否相等；验证层分为两步，第一步通过承诺值在特定区间的证明方法证明隐藏的金额始终为正值；第二步用过两个承诺值相等的证明方法证明隐藏的金额输入输出前后总数相等；当两个步骤都为真时，进入交易层的发送环节；

步骤5：解密项/Decrypt：验证层验证通过后，交易层将加密后的数额发送给接收者，接收者依据自己的私钥进行解密；在接受者核对自己的接收金额正确后，继续下一单的交易；该接受者的接收值即为下一单的输入值；

步骤6：广播确认/Broadcast：即接收者核查无误后进行全网广播交易单等待确认；经过处理后的交易单上原始的明文信息将隐藏为无法识读的密文，保证了交易过程唯一可能被分析处理的隐私；

在步骤2中所述的“计算输入总值/Insum”，计算输入总值分为两种情况，其具体作法如下：

若该交易单是作为新确认的区块，则该交易单将获得额外的50比特币费用作为奖励，总收入为该部分明文与原密文相操作的总和，表示为

若该交易单不是新确认区块首单，则无额外收入，总收入即为上单交易传来的值，表示为

在步骤4中所述的“验证项/Verify”，其验证层分为两步，第一步通过承诺值在特定区间的证明方法证明隐藏的金额始终为正值；第二步通过两个承诺值相等的证明方法证明隐藏的金额输入输出前后总数相等；其具体作法如下：

对于第一步即Verify-I，方案使用承诺值在特定区间的证明来保证被加密的数额m_i为正值，发送者Alice对于不同的接收者i，分别做出承诺为了简化，使用E₀,E₁,E₂,E₃,F,V来代替E_i0,E_i1,E_i2,E_i3,F_i,V_i；

4.11)Alice设置v＝α²y+ω＞2^t+l+s+T，其中任意选择α≠0,0＜ω≤2^s+T；

设置r₃-rα²+r₁α+r₂∈[-2^sn+1,...,2^sn-1]，

其中任意选择r₁,r₂,r₃∈[-2^sn+1,...,2^sn-1]；然后计算：

Alice发送(V,E₂,E₃,F)给接收者；

4.12)接收者计算：

E₁＝E₀(m_i,r)/g^a＝g^yh^r mod n

4.13)Alice和接收者各自计算：

其中r^*＝-rα²-r₁α-r₂；

4.14)接收者验证PK1,PK2,PK3的正确性，以及是否满足v＞2^t+l+s+T，若满足则接收者确信x＞a；

4.15)对于每个接收者m_i，方案重复步骤4.11-步骤4.14)即能证明

m_i＞0(i＝{1,2,...,i})；

该证明部分将对每个接收者的m_i重复执行i次，如果其中有任意一次失败，交易失败；如果全部成功，系统通过，并继续下个步骤的验证；

对于第二步即Verify-II，方案使用证明两个承诺值相等的证明来保证交易输出输入前后一致，即m＝m₁+m₂+...+m_i＝∑m_i；现在，Alice做出两个承诺如下：

其中r_α∈{-2^sn+1,...,2^sn-1},r_β＝n_d∈{-2^sn+1,...,2^sn-1}；如果收到相同数额的“哑巴账户”想验证其收到的密文中所含的明文数额是否与Alice发送的值相等，那么它需要进行如下两个步骤：

(1)隐藏在承诺值E和F中的秘密值相等m＝∑m_i；

(2)操作后的密文H＝∏c_id等于其中一个承诺F；

为了实现上述步骤(1)，进行如下证明：

①：Alice随机选择

ω∈{1,...,2^i+tb-1},η_α∈{1,...,2^l+t+sn-1},η_β∈{1,...,2^l+t+sn-1}；然后计算：

②：Alice计算u＝H(W_α||W_β)；

③：Alice计算：

D＝ω+um,D_α＝η_α+ur_α,D_β＝η_β+ur_β

并且发送(u,D,D_α,D_β)给“哑巴账户”；

④：“哑巴账户”检验是否u＝u′，其中

如果该部分步骤验证成功，继续进行下部分步骤证明：

①.“哑巴账户”对收到的密文进行计算：

②.从上面能看出，在加密过程中任意选取r_d＝h_β，在验证过程中任意选取r_β＝n_d；并且在系统初始化过程中，设置以及g_d＝g_β，是故：

③.检查H是否等于F，如果否，交易失败，如果是则通过，并进行下一步；

综上验证，当两个部分的步骤都为真时，进入交易层的发送环节；

其中，在步骤1中所述的“系统初始化/KeyGen”，其具体作法如下：

系统的输入为安全参数，输出则为用于加解密运算以及验证的参数；在交易层，对于每个不同的接收者i，系统生成给每个接收者两个大素数p_i和q_i；接收者私钥为sk_i＝λ_i，公钥为pk_i＝(n_i,g_i)，其中n_i＝p_iq_i；

同时在验证层，系统输出用于验证的“哑巴账户”的公钥pk_d＝(n_d,g_d)，注意到此公钥无配对私钥；即该系统账户不能对收到的金额进行操作；系统生成参数V_α(g_α,h_α)和V_β(g_β,h_β)用于验证；

其中，在步骤3中所述的“加密项/Encrypt”，加密过程为在交易层和验证层同时加密相同的数额，其具体作法如下：

在交易层，方案使用不同接收者的公钥pk₁,pk₂,...,pk_i使用Paillier加密体制来加密发送的明文数额m₁,m₂,...,m_i为c₁,c₂,...,c_i，表示为：

同时，在验证层，方案使用系统的同一个公钥pk_d将交易层中每一个发送的数额m₁,m₂,...,m_i进行加密，表示为：

其中方案设定随机数r_d＝h_β；

其中，在步骤5中所述的“解密项/Decrypt”，证层验证通过后，交易层将加密后的数额c_i发送给接收者，其具体作法如下：

接收者依据自己的私钥sk_i进行解密：

其中x∈S_n＝{u＜n²|x＝1modn}；

在接受者核对自己的接收金额正确后，继续下一单的交易；该接受者的接收值即为下一单的输入值；当交易完成后，“哑巴账户”中的密文数额将被丢弃，其作用仅作为桥梁使验证层的值与发送的值产生联系；

其中，在步骤6中所述的“广播确认/Broadcast”，即接收者核查无误后进行全网广播交易单等待确认，其具体作法如下：经过处理后的交易单上原始的明文信息将隐藏为无法识读的密文，保证了交易过程唯一能被分析处理的隐私；将此交易单标志为T_Alice，该过程同样适用于任意其他单交易。