(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210002113.X (22)申请日 2022.01.04 (71)申请人 北京理工大 学 地址 100081 北京市海淀区中关村南大街5 号 (72)发明人 盖珂珂　汤昊坤　郭云伟　徐蕾　 蒋芃　祝烈煌　 (74)专利代理 机构 北京正阳理工知识产权代理 事务所(普通 合伙) 11639 专利代理师 张利萍 (51)Int.Cl. H04L 9/32(2006.01) G06F 21/62(2013.01) H04L 9/40(2022.01) (54)发明名称 基于标签加密与零知识证明的联盟链交易 隐私保护方法 (57)摘要 本发明公开了一种基于标签加密与零知识 证明的联盟链交易隐私保护方法， 属于区块链隐 私保护技术领域。 本方法采用标签加密与零知识 证明的方式， 解决了联盟链中用户身份信息泄漏 问题， 以及联盟链中存在恶意交易的问题。 本方 法提出了一种特殊的交易机制， 能够在支持审计 的条件下有效保护用户身份隐私数据。 本方法不 仅允许用户在联盟链中进行匿名交易， 而且实现 了对可疑交易的分布式高效追踪， 同时达到有效 监管和身份隐私保护， 实现两方面的平衡 。 权利要求书2页 说明书5页 附图1页 CN 114531243 A 2022.05.24 CN 114531243 A 1.基于标签加密与零知识证明的联盟链交易隐私保护方法， 其特征在于， 包括以下步 骤： 步骤1： 对联盟链系统进行初始设置， 审计用户审计私钥分配； 具体地， 步骤1包括以下步骤： 步骤1.1： 认证机构CA设置验证发放公钥证书所需要的公私钥对(PK， SK)， PK表示公钥、 SK表示私钥， 并在联盟链系统中广播 其公钥PK； 其中， 认证机构CA 代表一个获得授权的认证中心， 负责账号的注 册和管理； 步骤1.2： 联盟链系统根据参数t和 m， 设置生成基于标签的公钥加密的公钥PKT、 m个私 钥vi和m个验证公钥vki， i＝1,..,m； 其中， t为阈值， t≤m； 步骤1.3： CA将m个私钥vi通过安全方式发送给m个审计用户AUi并由AUi保存， 联盟链系 统只保存公钥PKT和m个验证公钥vki； 其中， 审计用户是联盟链系统中账本追溯问责的参与者， 通过所有审计用户的合作， 完 成联盟链系统可疑账本的追溯认证； 步骤1.4： 联盟链系统设置零知识证明的相关参数， 包括 安全参数和时间参数； 步骤1.5： CA设置针对初始交易用户认证的公私钥对PKI和SKI， PKI表示公钥、 SKI表示 私钥， 并由联盟链系统来保存并公布PKI； 步骤2： 交易用户进行 账号初始 注册与认证， 包括以下步骤： 步骤2.1： 当交易用户U首次加入联盟链系统时， 其向CA 发送认证消息、 相关身份资料和 身份pku； 步骤2.2： CA认证通过后， 向交易用户U发送一个针对其身份pku的证书CAu和一个利用CA 私钥SKI对交易用户U的身份pku生成的一个认证码CAIu； 其中， 认证码CAIu的作用是区别于假名身份认证， 防止在联盟链系统中攻击者伪造身 份； 步骤3： 交易用户假名身份注 册， 包括以下步骤： 步骤3.1： 交易用户U根据联盟链系统设置， 随机选择n个数字作为私钥集Usk＝ski， i＝ 1,..,n； 然后， 计算出 所有私钥ski对应的公钥pki， 组成随机密钥对集Um＝(pki,ski)； 步骤3.2： 交易用户U通过CA 认证完成假名身份认证； 步骤4： 用户进行交易， 包括以下步骤： 步骤4.1： 交易用户U首先从密钥对集合Um中选择一个公钥pki和其对应证书Si， 作为本 次交易的发起方； 步骤4.2： 利用基于标签的公钥加密方式， 加密用户的pku， 得到密文Cu， 加密的公钥为 PKT， 标签为pki； 步骤4.3： 通过基于非交互式零证明， 调用零知识证明prove算法输入(prove,x,w)产生 证据 π， 其中， x＝(Cu， PK， PKI)， w ＝(pki， Si， CAIu)， x为公开输入参数， w 为秘密证据； 步骤4.4： 利用私钥ski基于签名算法生成对(tx， π， Cu， pki)的签名σ s， 其中， tx为交易的 具体内容； 步骤4.5： 将TX＝(tx， π， Cu， pki， σ s)作为完整的交易， 发送到联盟链系统； 步骤4.6： 联盟链系 统验证TX交易合法性， 如果合法就将交易记录在链上账本， 交易结 束； 否则， 交易失败；权　利　要　求　书 1/2 页 2 CN 114531243 A 2步骤5： 进行 可疑交易用户身份追溯， 包括以下步骤： 步骤5.1： 交易用户U对于发现的可疑交易TXd， 向联盟链系统发出对TXd中用户追溯的消 息TR＝(pkd， Cx)， 使整个系统中的所有用户都能收到； 步骤5.2： 当m个审计用户AUi收到消息TR， 首先利用AUi中的私钥vi， 并以pkd为标签， 对Cx 解密得到解密共享信息VUi， 然后将其发送给交易用户U； 步骤5.3： 交易用户U利用审计用户AUi的验证公钥vki验证VUi的正确性， 如果正确就接 收存储； 否则， 就 不接收； 步骤5.4： 当交易用户U收到超过t个VUi后， 根据其对应的验证公钥集{vki}、 相应的 {VUi}集和标签pkd， 对密文Cx进行解密， 即可成功得到交易发起方的真实pkx。 2.如权利要求1所述的基于标签加密与零知识证明的联盟链交易隐私保护方法， 其特 征在于， 步骤3.2包括以下步骤： 步骤3.2.1： 交易用户U向CA发送 首次注册时的身份pku和对应证书CAu， 向CA验证自己的 身份， 并向CA发送要认证的假名数n； 步骤3.2.2： CA 认证通过后， 给交易用户U发送 认证通过消息； 步骤3.2.3： 交易用户U首先 从自己生成的密钥对 集合Um中选择一个pki， 并将设置消息m 为pki， 然后与CA进行交互签名生成， 其中， U作为签名中的接收方， CA作为签名者； 交互完成 后， 交易用户U为pki获得一个认证的Si， Si是CA的签名； 步骤3.2.4： 对所有假名重复执 行步骤3.2.3， 从而为 n个假名pki获得系统认证 证书Si。 3.如权利要求1所述的基于标签加密与零知识证明的联盟链交易隐私保护方法， 其特 征在于， 步骤1.4所述 零知识证明的相关参数， 包括 安全参数和时间参数。权　利　要　求　书 2/2 页 3 CN 114531243 A 3