[发明专利]格上基于盲混币的区块链隐私保护方案

权利要求书

1.一种格上基于盲混币的区块链隐私保护方案，其特征在于，包括如下步骤：

设置阶段：混币服务商S公开混币相关参数，并生成用于签名及盲签名的密钥对(pk,sk)；

消息盲化交互：用户U和混币服务商S进行盲化交互，生成消息m＝k_out的盲化消息e^*；

用户申请混币：用户U向混币服务商申请混币；

同意混币：如果混币服务商S同意混币申请，则混币服务商S生成一个多重签名交易地址k_US并发送给用户；

用户转账：用户U收到来自混币服务商S的多重签名交易地址后，通过匿名地址向多重签名交易地址k_US转账；

发布盲签名：当用户成功向交易地址k_US转账转账后，混币服务商S发布盲签名；

用户发布去盲签名：用户收到盲签名后进行去盲操作，并将去盲的结果发送至审计区块链；

混币服务商转账：混币服务商S验证用户发布的去盲签名的合法性，如果合法，混币服务商S将向用户提供的混币输出地址中转账；如果混币服务商S未转账，则用户可提供转账交易及消息e^*的合法盲签名对S进行审计追责；

用户转账：用户向混币服务商的交易地址k_esc中转账。

取出共同资金：用户和混币服务商取出在多重签名交易地址k_US中的共同资金，混币结束。

2.根据权利要求1所述的格上基于盲混币的区块链隐私保护方案，其特征在于，所述设置阶段中，混币服务商S生成密钥对包括以下步骤：

①随机选择均匀矩阵调用陷门生成算法生成一个统计接近均匀的矩阵及其对应的G-陷门②运行n次原像抽样算法s_t←SampleD(A,R,u_t,σ₂)，其中u_t是矩阵qI_n的第t列，t∈[n]，I_n为n阶单位方阵。令矩阵则有AS＝P＝qI_n(mod 2q)。则混币服务商S的公钥pk＝(A,P)，私钥sk＝(S,R)。选取哈希函数H：{0,1}^*→{v∈{0,1}ⁿ,||v||₁≤κ}。

3.根据权利要求1所述的格上基于盲混币的区块链隐私保护方案，其特征在于，所述消息盲化交互阶段中，包括以下步骤：

S由x←Ay生成x发送给U，U执行以下步骤完成消息m＝k_out的盲化：①选取g←{-1,1}，若重新生成t₂；②计算e←H(x-Pt₁-At₂ mod 2q,m)，e^*＝ge-t₁，以的概率接受e^*，否则，从重新开始。其中，类似形式表示y服从m维高斯分布。

4.根据权利要求1所述的格上基于盲混币的区块链隐私保护方案，其特征在于，所述同意混币阶段中，包括以下步骤：

混币服务商S利用信息k_U和k_S生成一个2-of-2多重签名地址k_US。混币服务商S利用sk中的私钥S，采用格上基于拒绝抽样的数字签名方案对元组{e^*,k_esc,k_US,D}签名并发送给用户U，并将该普通签名记为{e^*,k_esc,k_US,D}_S。其中，k_U和k_S是分别属于用户U和混币服务商S交易地址。