基于同態加密和零知識證明的區塊鏈可擴展隱私保護方案

關鍵詞：區塊鏈；同態加密；零知識證明；隱私保護；可擴展性

中圖分類號：TP309.2 文獻標志碼：A 文章編號：1001-3695（2025）07-003-1939-09

doi：10.19734/j.issn.1001-3695.2025.01.0002

Abstract：To address the increasing privacy protectionandscalability issues arising withthe widespreaduseof blockchain technology，thispaperproposedanimprovedalgorithmbasedontheOkamoto-Uchiyamaencryptionsheme.Thisalgorithmnot onlyimplementeddataencryptionbutalsosupportedzero-knowledgeprofs，esuringcompleteprivacyprotectionofusertrasactiondata.Aditionall，thepaperdesignedapaymentschemebasedonananonymousbidirectionalof-chainchael，which supportedfastandhigh-frequencyof-chaintransactions，effctivelyallviating blockchainsalabilityconcers.Comparedto existingalgorithms，theproposedmethoddemonstratedsignificantdvantages insystemparametergeneration，keygeetion， encryptionandcioficyoeicalasisdxperimetalultslidatecityasiilitydi cy of the scheme.

Key words：blockchain；homomorphic encryption；zero-knowledge proof；privacy protection；scalability

0引言

區塊鏈技術因其去中心化、無可信第三方、分布式賬本和交易記錄不可竄改的特性，近年來在物聯網領域的交易應用中備受關注。在能源互聯網領域，傳統的操作模式通常依賴于一個中心化的權威機構來處理交易驗證、存儲和管理，以及維護交易信息的完整性。然而，這種中心化的架構存在著單點故障的風險，且在隱私保護方面存在缺陷，容易成為網絡攻擊的目標。相比之下，區塊鏈技術提供了一種更為安全的解決方案。區塊鏈由一系列按時間順序排列的區塊組成，每個區塊包含一定數量的交易記錄、一個時間戳和一個指向前一個區塊的哈希值。區塊鏈網絡中的全節點都有一份區塊鏈的完整副本，所有節點通過共識機制保持數據的一致性，它通過將集中式管理轉變為分散和自治的架構，從而降低了中心化帶來的風險。

在區塊鏈系統的實際使用中，為了保證區塊鏈上記錄數據的可溯源、可驗證等特性，所有數據都必須公開給區塊鏈網絡中的所有節點。這一特性在保障數據安全、可驗證的同時，也帶來了隱私安全隱患，導致惡意敵手可以直接獲取區塊鏈賬本中記錄的數據，并通過分析數據窺探用戶隱私[1]。并且由于全節點都需要存儲整個區塊鏈的副本，隨著區塊鏈的增長，存儲需求也會不斷增加。同態加密技術和零知識證明技術為解決這些問題提供了新的思路，同態加密技術與傳統的加密技術不同的是其允許在不訪問密鑰的情況下對加密數據執行計算操作，得到的計算結果與原始數據相同，這意味著即使攻擊者成功解密了同態加密的結果，也無法獲知加密前的具體數據信息，從而提高了信息的安全性和隱私性[2]。零知識證明技術則允許用戶證明某個陳述是真實的，驗證者相信的同時無法獲得任何額外信息[3]。目前，已有一些研究采用上述兩種技術來試圖解決區塊鏈系統的隱私保護問題和可擴展性問題。

文獻[4]利用國密SM2算法、同態加密和混淆地址，提出了一種新的區塊鏈混幣方案。通過使用EC-EIGamal半同態加密技術加密交易金額，實現在鏈上交易過程中完全隱藏交易金額，通過混淆地址，打破交易發起方和接收方的聯系，實現了交易的不可鏈接性和不可追蹤性。文獻[5]提出了基于Paillier同態加密的區塊鏈交易數據隱私保護方案，利用同態加密及其特性對交易信息進行隱藏和驗證。文獻［6]根據Paillier算法設計了一種主私鑰合成算法，保障了用于鏈上數據修改的私鑰在合成過程中的安全。文獻[7」提出集成完全同態加密（FHE）來增強區塊鏈應用的安全性，拓展了區塊鏈的應用范圍，利用FHE的特性提高區塊鏈的隱私性和安全性。文獻[8]提出了一種基于SEAL庫的同態加權電子投票系統，通過全同態操作實現密文計票，可有效抵抗來自計票中心內部的惡意攻擊，保證選票保密性和計票結果正確性。文獻[9]提出了支持BFV全同態加密的區塊鏈電子投票系統。該系統使用第二代全同態加密算法BFV來隱藏計票數據，為投票過程中的不可操縱性、匿名性、可驗證性、不可重用性、不可脅迫性和抗量子攻擊等安全屬性提供保障。上述方案均采用單一同態加密技術來實現區塊鏈上的隱私保護，無法滿足區塊鏈對安全性的多元需求。此外全同態加密技術雖然理論上能夠在保護數據隱私的同時允許計算，但其高昂的計算成本限制了其在高交易吞吐量環境下的應用，且目前的全同態加密方案在支持的計算次數上存在限制，這使得它們難以適應區塊鏈交易量大且頻繁的特性，因此并不適合作為區塊鏈交易的通用解決方案。

文獻［10]基于AH-EIGamal同態加密和零知識證明提出了一種區塊鏈上無可信拍賣師的密封式競拍方案，實現了競標者報價機密性，確保競拍過程的公開公平公正。文獻［11]基于一次性地址加密和零知識證明設計了監管可靠的一次性地址方案和可鏈接可撤銷環簽名方案，在實現基于自主混幣的身份隱私保護的同時，還滿足了交易雙方身份“可控匿名”的監管要求。文獻[12]提出了一種基于零知識證明的匿名認證方案，采用仿真可提取零知識zk-SNARKs以實現匿名和條件隱私，并通過省略重復計算使方案在VANET環境中輕量級且高效運行。文獻[13]基于ElGamal承諾方案、∑協議、Bulletproofs范圍協議和 + HomEIG同態加密算法提出了一種面向聯盟鏈轉賬隱私保護的零知識證明協議，通過 +HomElG 算法加密交易金額及賬戶余額提高了效率，根據∑協議和Bulletproofs范圍協議來設計密文的零知識證明，使得交易合法性驗證策略更完善。文獻［14]在Paillier加密算法的基礎上，結合Fujisaki-Okamoto承諾方案，提出了基于零知識證明的區塊鏈隱私保護算法。該算法既能對交易數據進行加密，又能支持零知識證明，能夠在保證交易合法性的前提下保護用戶的隱私，但零知識證明過程的復雜性，加上區塊鏈交易確認時間較長的固有特性，限制了該方案在實際應用中的效率。此外，Paillier算法雖然在加密過程中提供了較高的安全性，但其加解密操作的性能表現并不突出，文獻［15]則結合Paillier加密算法與ElGamal加密算法提出了同態加密算法PailGamal。該算法既支持密文直接解密，又支持監管方對所有密文進行監管。結合PailGa-mal算法與范圍證明方案Bulletproofs設計了一種高效的隱私交易方案，利用零知識證明技術在提供隱私保護的同時保證了數據的可用性和合法性。但該系統中每個用戶都處于監管之中，且監管方掌握系統私鑰來對每一筆交易進行監管，因此該方案更適用于一些對監管性有要求的場景。上述方案將同態加密技術和零知識證明技術結合，能夠有效提高交易數據隱私保護的強度，在實現用戶交易或身份信息的隱私保護上都各有其優勢，但這些方案仍未能有效解決區塊鏈交易的可擴展性問題。

針對Paillier加密算法效率較低以及區塊鏈交易的可擴展性問題，本文采用了相比Paillier算法效率更高的Okamoto-Uchiyama同態加密算法（OU算法），并對OU算法進行了改進，使其在實現數據加密的同時支持零知識證明。根據FujisakiOkamoto承諾方案設計了密文的零知識證明，為需要上傳至公開區塊鏈的交易雙方賬戶金額提供一種可驗證的隱藏方案，采用匿名雙向鏈下支付通道技術，支持交易雙方快速且頻繁的交易而無須上鏈，有效解決了可擴展性問題。最后對方案進行了仿真實驗以測試方案的可行性及算法效率。

1 相關知識

1.1 區塊鏈及相關技術

1. 1. 1 區塊鏈

區塊鏈是一種去中心化的分布式賬本技術，依托于密碼學、共識算法和分布式網絡來確保數據的安全性和不可竄改性，其基本原理是通過將交易數據打包存儲在多個區塊中，并通過哈希函數將這些區塊以鏈式結構相連，從而形成一個連續的、不可逆的賬本。每個區塊不僅包含當前的交易記錄，還存儲了前一個區塊的哈希值，這使得攻擊者很難對區塊鏈中的交易進行竄改。

區塊鏈的運行依賴于共識機制，如工作量證明（proofofwork，PoW）或權益證明（proofofstake，PoS）。共識機制確保了一個無竄改的環境，使分布式網絡中的節點通過競爭或投票達成一致，共同決定數據的真實性與有效性。同時，區塊鏈技術具有透明性和不可竄改性，所有交易記錄都可以公開驗證，保證數據的完整性和系統的信任基礎。

根據應用場景的不同，區塊鏈一般被分為公有鏈、私有鏈和聯盟鏈三類。公有鏈是完全開放的，任何人都可以讀取、發送或接受交易，并允許任何參與者加入共識過程。它的去中心化程度最高，但性能和能耗問題較為明顯。私有鏈則由特定機構控制，其寫入和訪問權限被嚴格限制，只有授權用戶可以訪問和驗證交易，通常用于企業或組織內部的系統。聯盟鏈則介于公有鏈和私有鏈之間，由多個可信實體共同管理，適用于跨企業的合作和行業聯盟場景。不同類型的區塊鏈根據其架構設計，提供了不同層次的去中心化、隱私性和效率保障。

1.1.2匿名雙向支付通道

鏈下通道是一種建立在兩個參與者之間信任基礎上的可靠鏈下支付通道，旨在實現兩個參與者的快速鏈下支付[16]。雙向支付通道中，兩方參與者首先需要在鏈上鎖定一部分資金，然后在鏈下進行多次交易，每次交易都會更新雙方的資金分配，但不會廣播到鏈上。只有當雙方想要關閉通道時，才會將最終的資金分配結果提交到鏈上，解鎖資金并分配給雙方。這樣可以減少鏈上的交易次數、提高支付效率、降低手續費，并保證雙方的資產安全。

匿名雙向支付通道是鏈下通道技術的一種，由Green等人[17]在2017年提出。匿名支付通道是一種允許參與者在不暴露其真實身份或具體交易信息的情況下進行支付和交易的鏈下通道，旨在提高鏈下交易的隱私性和安全性。開啟通道后，交易雙方可以互相執行轉賬協議，在通道內執行多次轉賬而無須上鏈，用戶需要使用零知識證明來證明資金的正確性以及新余額與原始余額的差值是正確的，區塊鏈中只記錄初始通道余額和最終余額，并在關閉通道后將資金正確分配到通道雙方的賬戶中。

1.2 零知識證明技術

零知識證明（zero-knowledgeproof，ZKP）是一種在不透露任何額外信息的情況下證明某一陳述為真的密碼學協議，它允許證明者（prover）向驗證者（verifier）提供一個證明，證明某個聲明或計算是正確的，而不暴露與此聲明有關的任何額外信息。這一理論概念由文獻[18]于1985年首次提出，被廣泛應用于數據隱私和安全領域。

零知識證明必須滿足完備性（completeness）、可靠性（soundness）和零知識性（zero-knowledge）三個基本性質。完備性確保如果聲明是正確的，誠實的證明者總是能夠讓驗證者信服。可靠性意味著如果聲明是假的，驗證者幾乎不可能被欺騙。零知識性則保證證明過程中，驗證者無法獲得除聲明的真

實性之外的任何其他信息。

根據交互方式的不同，零知識證明可以分為交互式零知識證明（interactive zero-knowledgeproof）和非交互式零知識證明（non-interactive zero-knowledgeproof，NIZK）。在交互式零知識證明中，證明者和驗證者通過多次交互來完成證明過程;而在非交互式零知識證明中，證明者能夠一次性提供所有證明，減少了驗證的復雜性和交互需求，因而更適合大規模、自動化的系統。

1.3Fujisaki-Okamoto承諾方案

Fujisaki-Okamoto承諾方案由文獻［19]于1997年提出，相關理論內容如下[20]

設 n 是一個RSA模數，Alice和Bob不知道它的分解。 h 是由 g 生成的循環群中的元素。 g 和 h 的階是大于 $1 6 0 ＼ ＼mathrm { b i t } ＼ ＼$ 的素數，使得在它們生成的循環群中計算離散對數是不可行的。此外，Alice不知道 log_g^h 。Alice選擇隨機整數 ，2^sn-1] ，其中 s 為安全參數。計算 ，并將 E 發送給 Bob 作為對整數 x 的承諾。Alice不可能找到兩個不相等的整數 x₁ 和 x₂ 使得 E（x₁，r₁）=E（x₂，r₂） ，除非他能分解 n 或者知道 log_g^h ;Bob也無法從承諾中獲得關于 x 的任何信息。該協議是統計安全的，詳細的安全分析見文獻[18]。

1.4 Okamoto-Uchiyama同態加密

OU同態加密算法是文獻[21]在1998年提出的概率型公鑰加密算法，其安全性是基于大整數因數分解問題和 P 子群問題，且該算法滿足IND-CPA安全。相關理論內容如下：

a）密鑰生成。隨機選擇兩個位數相等的大素數 p 和 q ，計算出模數 n=p²q 。在 中隨機選擇一個 g （其中 Z_n^* 表示 中對乘法可逆的元素構成的乘法群），使得 的階為 p 。計算 h=gⁿ mod n ，定義一個函數 L（x）=（x-1）/p 。得到公鑰為 （n，g，h） ，私鑰為 （p，q） 。

b）加密。對于明文 m，0?m?p-1 ，選擇一個隨機數 r∈ Z_n ，計算并輸出 c=g^mh^r mod n 。

c）解密。對于密文 ，計算并輸出明文： m=（L（c^p-1 mod ）mod p² 。

d）同態屬性。OU加密算法是一種半同態加密算法，具有加法同態屬性，即在不知道明文 ?_m 和 n 的情況下，通過計算Enc μ（m）Encμ（n） ，可以得到 Enc（m+n） 的值。例如，對于明文m 和 n 加密得到 mod n mod n 而后計算 Enc（m）Enc（n） ，在不知道明文 ?_m 和 n 的情況下，可以得到 m+n 的加密值。

私鑰持有者可以使用解密函數得到明文的和：

2 算法及方案設計

2.1加解密算法設計

OU算法雖然能加密用戶交易數據，但在零知識證明的應用中存在計算開銷大、密鑰管理復雜、參數傳輸成本高等問題，限制了其在區塊鏈場景中的實際應用。因此，本文優化了OU同態加密算法的系統參數選取和加解密過程，使其能夠在同一套系統參數下生成多套公私鑰，簡化密鑰管理和分發，減少零知識證明過程中需要傳遞的參數數量，從而降低系統負載，提高計算效率。算法具體內容如下。

2.1.1系統參數及公私鑰生成

在本文方案中，每成功開啟一條鏈下通道都會為通道生成一套獨立的系統參數。該系統參數一經設定便不可修改，在整個通道的生命周期中保持不變，并存儲在賬本中，供用戶和CA在交易過程中調用。系統參數及公私鑰的生成過程如下：

隨機選擇兩個位數相等的大素數 p 和 q ，計算出模數 n= p²q ，在 中隨機選擇一個 g₁ （其中 Z_n^* 表示 中對乘法可逆的元素構成的乘法群），使得 g₁^p-1 mod p² 的階為 p 。然后隨機選擇整數 r₀∈Z_n ，計算 mod n 。將 （n，g₁，g₂） 作為系統參數，記為 SP 。

隨機選擇整數 x∈Z_n 且 p x，計算 h=g₂^x mod n 。將 h 作為用戶公鑰， （x，p） 作為用戶私鑰。將用戶公鑰和私鑰分別記為PK 和 SK

2.1.2加解密過程

a）加密過程。當用戶開啟鏈下通道并進行交易時，需要對初始余額、交易過程中的轉賬金額、轉賬后余額等交易數據進行加密，并發送至 CA 。

對于明文信息 m∈Z_p ，選擇隨機整數 r∈Z_p ，使用系統參數 SP 中的 n，g₂ 以及公鑰 PK 中的 h ，分別計算：

將得到的密文記為 c=（c₁，c₂） 。

該加密過程記為 Enc（m，r，SP，PK） 。

b）解密過程。對于密文 c=（c₁，c₂） ，可以使用私鑰解密出對應的明文信息 m 。解密過程如下：

使用系統參數 SP 中的 n_?g₂ 和私鑰 SK 中的 x 和 p ，以及密文中的 c₁，c₂ 。計算：

c_m=c₁^-xc₂modn

然后根據式（6）解密 m 。

解密 m 的過程記為 Dec（c，SP，SK） ，其中 L（x）=（x-1）/p 。

c）加法同態性質。修改后的算法仍然具有加法同態的性質。對于兩個明文 Δ_a 和 b ，將對其加密得到的密文分別記為 。將密文乘積 c_ac_b 記為 c_ab 。則有 。

根據式（7）（8）計算密文：

解密時使用系統參數 SP 中的 n_?g₂ 和私鑰 ^SK 中的 x 和 p 以及密文 c_1ab 和 c_2ab ，根據式（9）計算出 c_mab ，再根據式（10）可以解密得到 a+b ：

其中： r_a 和 r_b 為加密 a 和 b 時使用的隨機數。

2.2 零知識證明設計

在本文方案中，交易通常由轉賬方發起。當交易需要驗證或仲裁時，由權威認證機構CA進行。為了確保交易的有效性，用戶不僅需要生成CA驗證所需要的加密交易數據，還需創建相等性證明和范圍證明，包括交易金額的相等性證明、交易金額大于零證明、交易余額大于零證明以及交易合法性證明。這些加密交易數據和證明隨后被發送到CA進行驗證。若驗證未通過，交易將被拒絕，并且用戶會接收到交易失敗的通知。

2.2.1交易金額相等性證明

交易金額相等性證明即證明兩個FO承諾中秘密數相同[20]，該NIZK 協議記為 ，其關系如下：

其過程如下所述：

a）當通道內發起一筆轉賬時，Alice和Bob 隨機選擇 r_A 、r_B∈Z_p ，并使用系統參數和雙方的公鑰分別對自己的交易金額v_A 和 v_B 加密得到密文 c_vA 和 c_vB ，從密文中提取出 c_vA2 和 c_vB2 ，然后根據式（11）（12）為交易雙方生成承諾 E 和 F

其中： g₂ 和 n 來自系統參數 SP;h_A，h_B 分別為Alice和Bob的公鑰； r_A??r_B 則為Alice和Bob選取的隨機數。隨后Alice和Bob 將生成的承諾 E 和 F 分別發送到 CA

b）Alice和 Bob 通過下面的過程共同生成交易金額相等性證明。

Alice選擇隨機數 ω∈[1，2^t+l-1] ，并通過安全信道發送給 Bob 。隨機數 和 則分別由Alice和Bob選擇，其中 和 s₂ 為四個安全參數， H 為抗碰撞安全哈希函數， 表示兩個字符串 a 和 b 的連接。

Alice計算：

Bob計算：

Alice和Bob通過安全信道共享 W₁ 和 W₂ 并計算哈希值：

然后Alice計算：

D_A=ω+Cv_A

D₁=η₁+Cr_A

將 發送到 CA 。Bob計算：

將 π_eq2=（D_B，D₂） 發送到 CA 。

c）CA接收到承諾 E，F，π_eq1 和 π_eq2 后，驗證：

然后驗證等式 是否成立，若成立，則相信v_A=v_B ，即承諾 E 和 F 中隱藏著同一個秘密值。

2.2.2交易金額大于零證明

當Alice向Bob發起一筆轉賬時，交易雙方通過前文所述步驟生成承諾 E 和 F 并發送到CA，隨后，證明承諾 E=g₂^vh_ArA mod n 中包含的交易金額 v 是一個正數22]，將該NIZK協議記為 ，其關系如下：

R_v={（（E，g₂，h_A），（v，r_A））：

E=g₂^νh_A^rΛvgt;0Λv，r_A∈Z_p∣

其過程如下所述：

a） Alice 選擇隨機整數 1，2^t+l+sn-1] ，其中 為三個安全參數。計算：

若 ，則進入下一步，否則重復此步驟。

b）Alice選擇隨機整數 α≠0，0lt;ω?2^s+T ，使得 $u = ＼alpha ^ { 2 } （ ＼ v { v } _ { ＼ v { v } } - ＼$

（20 ι+1）+ωgt;2^l+t+s+T ，選擇隨機整數 1]，使得 -r_Aα²-r₁α-r₂∈[-2^sn+1，2^sn-1] ，計算：

G₂=G₁^αh_A^r2modn

G₃=g₂^ωh_A^r3modn

然后將 π_v={u，C^′，C^′′，D₃，D₄，D^′，G₁，G₂，G₃，G₄} 發送給CA。

c）CA驗證承諾 G₁ 和 G₂ 隱藏著同一個秘密值 α ，承諾 G₃ 和 G₄ 隱藏著同一個秘密值 ω ，以及：

ugt;2^t+l+s+T

D₃∈[2^s+TC^′，2^t+l+s+T-1]

上述關系式是否均成立，若成立，則CA相信交易金額v?a， 。

2.2.3交易后余額大于零證明

交易后余額大于零證明與交易金額大于零證明類似，Alice隨機選擇 r_A^′ ，使用公鑰為交易后余額進行加密得到密文c_A^′ ，然后從密文 c_A^′ 中提取出 c_A^′2 ，生成交易后余額的承諾 E^′ 并發送到CA，隨后參照2.2.2節的過程為交易后余額 A^′ 產生交易后余額大于零證明 π_bal=（u，C^′，C^′′，D₃，D₄，D^′，G₁，G₂，G₃ G₄ ）并發送到CA進行驗證。將該NIZK協議記為 P_bal，V_bal） ，其關系如下：

2.2.4交易合法性證明

交易合法性證明即驗證交易過程中是否始終有：a）對于轉賬方，轉賬后余額與轉賬金額的和等于轉賬前余額;b）對于接收方，接受轉賬后的余額等于轉賬前的余額與轉賬金額之和。將該NIZK協議記為 ，其關系如下：

R_txl={（（n，g₂，h_A，h_B），（A，v_A，A^′，B，v_B，B^′））

驗證過程如下：

a）假設Alice發起了一筆轉賬，Alice根據式（35）＼～（37）分別對自己的交易前余額 A ，交易金額 v_A ，交易后余額 A^′ 生成密文：

其中： r_A1…r_A2 和 r_A3 為 Alice在加密時選取的隨機數。注意在加密時，為滿足同態性，需要對 r_A1，r_A2，r_A3 添加約束條件 r_A1= r_A2+r_A3 。隨后將 發送到 CA 。

b）Bob接收到來自Alice的轉賬后，同樣對自己的交易前余額 B 、交易金額 v 和交易后余額 B^′ 進行加密，并根據式（38）＼～（40）分別為 B，v_B 和 B^′ 生成密文并發送到CA：

其中： r_B1，r_B2 和 r_B3 為 Bob 在加密時選取的隨機數。這里同樣需要對 r_B1，r_B2，r_B3 添加約束條件 r_B3=r_B1+r_B2 。隨后將 π_txl2= 發送到 CA 。

c）CA接收到 π_txl1 和 π_txl2 后，驗證：

若上述關系式均成立，則相信交易過程中無論是轉賬方還是接收方，交易始終滿足交易合法性。

2.3 整體描述

本文方案涉及系統管理員、用戶、驗證中心CA、共識節點和區塊鏈網絡五個關鍵實體。它們各自承擔相應的職責，確保方案的安全性、隱私性以及交易的合法性。

a）系統管理員。被認為是一個完全誠實的實體，其行為不會對系統造成威脅。主要負責交易通道的系統參數生成以及用戶密鑰對的生成和分發。

b）用戶。交易的參與者，負責對交易信息進行加密以及生成一系列零知識證明以供CA進行校驗。

c）驗證中心CA。交易的驗證者，負責驗證交易的合法性和正確性，提交鏈下交易的最終結果。

d）共識節點。通過共識機制對CA提交的交易進行確認，并將交易寫入區塊鏈。

f）區塊鏈網絡。作為交易信息記錄和存儲的平臺，確保交易信息的不可竄改性。

系統框架和工作流程如圖1所示。

在本文所述的交易方案中，涉及到的過程被細分為用戶加密和CA驗證兩個主要部分，這兩部分協同工作，確保交易的安全性和效率。以下是對這一過程的詳細描述：

a）當Alice和Bob準備開啟交易通道時，向系統管理員提交請求，請求中包含兩個用戶簽名和用戶準備存入的初始余額。系統管理員驗證簽名無誤后，為Alice和Bob創建一個多簽名錢包并存入初始金額，這筆交易稱為“錨點事務”。系統管理員生成通道的系統參數和Alice、Bob的公私鑰，并使用系統參數和雙方公鑰分別加密初始金額。然后將加密后的“錨點事務”廣播到網絡并記錄到區塊鏈上，標志通道開啟，Alice和Bob的后續交易全部在鏈下通道中進行。創建通道時生成的系統參數可在需要時供用戶和驗證中心CA調用。Alice和Bob的公鑰公開，私鑰則各自保管。

b）當Alice向Bob發起一筆轉賬時，雙方分別使用公鑰和系統參數對自己的交易前余額、本次交易金額和交易后余額等信息進行加密，將生成的密文作為交易合法性證明發送到 CA 。

c）隨后交易雙方進行如下操作：

（a）Alice和Bob從各自的密文中提取出 c_vA2 和 c_vB2 ，作為承諾 E 和 F 發送到CA，隨后共同為承諾 E 和 F 產生交易金額相等性證明并發送到CA；

（b）Alice為式（1）中的承諾 E 產生交易金額大于零證明并發送到CA；

（c） Alice從 c_A^′ 中提取出 c_A^′2 ，生成交易后余額的承諾 E^′ 并 產生交易后余額大于零證明發送到 cA 。

d）當CA接收到來自Alice和Bob發送的一系列密文、承諾和證明后，分別進行交易合法性驗證、交易金額相等性驗證、交易金額大于零驗證和交易后余額大于零驗證。

e）若CA驗證無誤，則確認交易正確合法，可繼續進行后續交易。此外，Alice和Bob需簽署“承諾事務”以記錄余額狀態。例如，雙方初始各存入5BTC，Alice向Bob支付1BTC后，新承諾事務將記錄Alice有4BTC，Bob有6BTC。承諾事務經雙方簽名交換并由CA存儲。當創建新的承諾事務時，之前的承諾事務則作廢。金額以密文形式記錄，產生爭議時，雙方提交私鑰至CA解密金額以解決爭議。

f）若驗證失敗，則認為該筆交易無效，CA會向Alice和Bob返回一個交易失敗的信息，告知他們此次交易未能通過驗證。系統會強制關閉當前的交易通道，根據最新的承諾事務將通道內的資金正確地分配回交易雙方的賬戶中，并以密文形式將交易雙方的最終余額 （C_An，C_Bn） 上傳到區塊鏈中。除了驗證失敗的情況外，當通道容量耗盡或通道過期時，通道也會自動關閉。

g）人為關閉通道的情況有雙方一致同意關閉或單方決定關閉兩種。當雙方一致同意關閉支付通道時，他們會共同簽署并廣播一個“結算事務”。這個結算事務記錄了通道的最終余額分配，經過共識節點確認后上傳區塊鏈。另外，在某些情況下，一方可能需要單方面關閉支付通道，例如另一方離線或無法達成共識時。此時，單方可以將最后一筆承諾事務提交，然后進人一個挑戰期。挑戰期的時間長度可以根據系統的具體需求設定為數小時至數天，以平衡安全性與結算效率，其目的是為了防止一方惡意提交過時或不準確的余額狀態，以確保通道關閉時資金的公正分配。在挑戰期內，另一方可以提交新的承諾事務，如果提交的承諾事務通過驗證，CA將以更新后的余額狀態作為最終結算依據。若挑戰期結束時沒有新的承諾事務提交或爭議未能得到有效證明，CA會根據最后一筆驗證無誤的承諾事務進行結算并上傳到區塊鏈。成功關閉通道后，系統管理員會將通道標記為銷毀狀態，并丟棄通道的系統參數和密鑰，以確保通道不再被使用。

本文方案對交易過程中可能產生的交易問題進行了多重校驗，保障了交易數據隱私性和安全性。采用了鏈下交易通道機制提升了交易效率并減少了數據存儲需求。以上交易方案流程如圖2所示。

3方案分析及性能評估

3.1 正確性分析

交易金額相等性證明、交易金額大于零證明以及交易余額大于零證明為已有研究結果[18.20]，本文不再對其進行正確性分析，僅對算法加解密的正確性和交易合法性證明的正確性進行分析。

3.1.1算法加解密的正確性分析

定理1修改后的OU算法，加密后可以使用解密式（5）（6）解得明文 m 。

證明根據2.1.1節中的參數設置，有 即 ，令 a=g₁^p-1 ，則 g₁^p（p-1）-1=a^p-1=（a-1） （1+a²+…+a^p-1）=kp² ，所以有 p²∣（a-1） （ 1+a+…+ （204號a^p-1 ），可得 p！（a-1） 且 p！（1+a+…+a^p-1），p！（a-1）?a= 1+pk ，即 g₁^p-1≡1+pk mod p² 。所以：

所以 L（c_m^p-1modp²）=mkr₀ 。同理可得到 L（g₂^p-1modp²）= kr₀ 。因此：

由此可證明，修改后的OU算法，加解密仍具有正確性。

3.1.2交易合法性證明的正確性分析

定理2CA可以通過驗證等式 和 來確認該筆交易滿足交易合法性。

證明根據2.2.4節中交易合法性證明的過程，有：

由于 r_A1=r_A2+r_A3 ，若等式 成立，則有 A=v+A^′ 同理，若等式 c_B^′=c_vBc_B 成立，則有 B^′=v+B ，由此可證明該交易合法。

3.2 安全性分析

下面將對方案的安全性進行分析，為此先給出以下三個主要定理。

定理3修改后的OU算法在IND-CPA安全模型下是安全的。

證明首先構建攻擊實驗如下：

a）實驗中擁有一具有多項式資源的敵手 A 和一個能自由調用加密算法的挑戰者 C b）挑戰者C將公鑰 PK=（n，g₁，g₂，h） 發送給敵手 A c）敵手A選擇兩個長度相同的明文 m₀L，m₁∈Z_p 發送給挑戰者c;d）挑戰者C隨機選擇 b∈0，1 ，向敵手 A 發送密文 C_mb= E（m，r） ，其中 r 是加密 m_b 時選取的隨機數；e）敵手 A 猜測挑戰者C上一步進行加密的明文是 m₀ 還是m₁ ，并且將猜測結果輸出，輸出結果記為 m^′ ，若 m^′=m_b ，則攻擊成功，否則失敗。

修改后的OU算法和原始OU算法一樣，其安全性是基于大整數因數分解問題和 P 子群問題，根據文獻[18]的安全性證明，當 P 子群問題是困難的時，對任意概率多項式時間敵手

Adv，對于任意常數 ，以及足夠大的 k ，獲勝的概率為

其中： k 為素數 p 和 q 的位數。由此可見修改后的OU算法在IND-CPA安全模型下是安全的。

定理4本文零知識證明協議在隨機諭言機下具有計算零知識性。

證明首先以2.2.1節的交易金額相等性證明為例來分析。在該證明中，敵手可獲得的公開數據為 （c_vA，c_vB，E，F （204號 π_eq1，π_eq2） ，并且可以在需要時調用相應的系統參數。由定理3可知，敵手從 c_vA?c_vB?E，F 中獲取關于交易金額 v_A 和 v_B 的相關知識是困難的。 π_eq1 和 π_eq2 中包含 C，D_A，D_B，D₁，D₂ 個式子，其中式 c 為安全哈希函數， D_?A 和 D_B 為關于隨機數 ω 和交易金額 v_A?v_B 的式子， D₁ 為關于隨機數 η₁ 和隨機數 r_A 的式子， D₂ 為關于隨機數 η₂ 和隨機數 r_B 的式子，而交易金額 v_A 、（24 v_B、ω、η₁、η₂、r_A 和 r_B 對于敵手都是未知的。而敵手很難從擁有兩個未知數的式子中確認其中一個未知數的值。因此敵手從 π_eq1 和 π_eq2 中獲取關于交易金額 v_A 和 v_B 的相關知識是困難的。2.2.2節的交易金額大于零證明和2.2.3節的交易后余額大于零證明是兩個CFT協議，在隨機諭言機下屬于計算零知識，因此敵手從這兩個證明中獲得 v 的相關知識是困難的。在2.2.4節的交易合法性驗證中，敵手可獲得的公開數據為 ，同樣根據定理3可知，敵手從這些密文中獲取相應的明文信息是困難的。綜上，本文零知識證明協議在隨機諭言機下具有計算零知識性。

定理5本文零知識證明協議具有完備性和可靠性。

證明根據3.1節的正確性分析和零知識證明的正確性可知，誠實的證明者執行本文方案，一定能夠被驗證者驗證通過。在本文方案中，零知識證明部分基于Fujisaki-Okamoto承諾方案構建，該承諾在統計上是安全的，即證明者無法找到兩個不相等的整數 m₁ 和 m₂ ，使得它們對應的承諾值 E（x₁，r₁） 和E（x₂，r₂） 相等，這意味著證明者無法在生成承諾時欺騙驗證者。以2.2.1節的交易金額相等性證明為例，假如證明者想要欺騙驗證者，則需要在生成證明時找到一組 （C，D_A，D_B，D₁，D₂） （20使得零知識驗證式成立，這需要破解安全哈希函數，在計算上是不可行的。而2.2.2節的交易金額大于零證明和2.2.3節的交易后余額大于零證明是兩個CFT協議，CFT協議本身具有完備性和可靠性。綜上，本文零知識證明協議具有完備性和可靠性。

3.3 性能評估

為驗證方案的可行性以及測試算法性能，本節基于Hy-perledgerFabric2.4.4搭建了聯盟鏈網絡對方案進行測試，仿真實驗采用在VMware17.0.0下建立虛擬機的方式來模擬多節點環境，主機處理器為AMDRyzen556006-CoreCPU @ 3.50GHz ，機器配置處理器內核4個，內存 8GB 。相關環境配置包括Go1.21.10、Docker24.0.7以及DockerCompose2.2.2等，編程語言為Go語言。測試分為功能測試和算法效率測試兩部分。

3.3.1 功能測試

功能性測試主要涵蓋鏈下通道開啟與銷毀、交易零知識驗證以及數據上鏈三個方面。交易雙方首先向系統管理員提交請求，請求中包含兩個用戶簽名和用戶準備存入的初始余額。系統管理員驗證雙方簽名，驗證通過后創建一個多簽名錢包，為通道生成系統參數和Alice、Bob的公私鑰，并使用雙方公鑰對初始金額加密。隨后生成一個通道ID，將通道ID連同錨點事務一起記錄到區塊鏈上。查看容器日志顯示生成了通道的

相關信息，如圖3所示。具體實現如算法1所示。

算法1開啟交易通道

輸人：requestA （sig_A，A₀） ，requestB（sigB，B0）。

俞出：channelState。

a）if （verify（ sig_A ） n verify ）thenreturn channelState $$ \" invalid signature\"endif//驗證Alice 和Bob 的簽名

b） SPSPGen（ ） //生成系統參數和雙方的密鑰對并分發

c） r_A，r_B← random //使用系統參數和公鑰加密Alice和Bob的初始金額

d）walle //用簽名和密文初始化多簽名錢包

e）tx $$ CreateAnchorTran（wallet）//創建錨點事務，包含多簽名錢包及其信息

f）createChannel（tx）//創建交易通道

g）channelState \"0pen\" （20號returnchannelState//返回通道開啟狀態

在交易零知識驗證測試中，鏈碼實例化為用戶Alice在通道中存入初始金額100，Bob存入初始金額50，由Alice向Bob發起交易，金額為10，由Alice和Bob生成各自的交易密文、承諾、交易合法性證明，Alice和Bob合作產生交易相等性證明，并由Alice生成交易金額大于零和交易后余額大于零證明發送到CA，隨后CA進行驗證，實驗結果顯示CA返回了驗證成功的信息。查看容器日志可以看到CA接收到的交易信息均為密文狀態，如圖4所示。除了驗證正確的知識外，CA還能夠拒絕惡意交易，當交易金額設置為大于初始余額或交易金額與輸出金額不等時，盡管用戶輸出了相應的承諾和證明，但均未通過CA校驗。交易驗證部分的實現如算法23所示。

算法2用戶生成承諾和零知識證明5 //Alice和 Bob 為此次交易生成交易合法性證明

b）Eg2AhA'Amod n F←gBhBBmod n //Alice和Bob為 v_A 和 v_B 生成承諾

c） τ_eq1，π_eq2P_eq（n，g₂，h_A，h_B，ω，η₁，η₂，v_A，v_B，r_A，v_B） //Alice和Bob合作產生 v_A 和 v_B 的交易相等性證明

（204號 d）π_vP_v（n，g₂，h_A，φ，η，α，ω，r₁，r₂，r₃，v，r_A） //Alice對交易金額 v 生成交易金額大于零證明

（204號 （20號 //Alice對交易后余額 A^′ 生成承諾

f） π_balP_bal（n，g₂，h_A，φ，η，α，ω，r₁，r₂，r₃，A^′，r_A） //Alice對交易后余額 A^′ 生成交易后余額大于零證明

g）sendE，F，E'，πtxl，Ttl，Teql，Teq2，T，Tbal //發送承諾和零知識證明到CA

算法3CA驗證零知識證明

輸人： E，F，E^′，π_rel1，π_txl2，π_eq1，π_eq2，π_ν，π_bal，n，g₂，h_A，h_B°

輸出：verificationState。 （204號 a）b₀V_txl（π_txl1，π_txl2） //驗證交易合法性 b）b₁V_eq（π_eq1，π_eq2，E，F，n，g₂，h_A，h_B） //驗證交易相等性 c）b₂V_v（π_v，E，n，g₂，h_A） //驗證交易金額大于零 （20 d）b₃V_bal（π_bal，E^′，n，g₂，h_A） //驗證交易后余額大于零 e）if b₀∧b₁∧b₂∧b₃=1 then returnverificationState←—true else returnverificationState—1 //返回驗證結果

當一筆交易成功結束后，交易雙方需簽署“承諾事務”并交換以記錄余額狀態，如果出現爭議則提交私鑰到CA解密來解決爭議。若雙方決定不再繼續交易，則共同簽署“結算事務”，將“結算事務”記錄到區塊鏈上并由系統管理員銷毀通道。查看容器日志可以看到該交易的結算事務已被記錄，并顯示通道已成功銷毀，如圖5所示，具體實現如算法4所示。

算法4關閉交易通道

輸人： sig_A，sig_B，C_An，C_Bn ，channelID。

輸出：channelState。

a）signCommitmentTran（sigA，sigB，CAn，CBn） //簽署承諾事務

b）if signCommitmentStatus O= dispute then ResolveDispute end if //處理爭議情況

c）endTrant—EndTran（sigA，sigB，CAn，CBn） //簽署結算事務

d）destroyChannel（channelID） //銷毀通道，丟棄相關參數

e）channelState—\"destroyed\" returnchannelState //返回通道銷毀狀態

3.3.2算法效率測試

HEPZP[14]和Pailgamal算法[15]是目前區塊鏈隱私保護方向性能較好的兩種算法。本節將對本文算法與原版OU算法、

HEPZP算法和Pailgamal算法進行對比分析。實驗分別對系統參數中的密鑰長度取 1 024?2 048?3 072 bit進行測試，交易金額設置為 64bit 隨機整數。表1是進行200次實驗得到的平均測試結果以及對測試結果的分析。

經過對表1數據的深入對比分析，發現修改后的OU算法在密鑰生成和加密操作上展現出了相較于原算法更高的效率。盡管在解密效率上有所下降，但在本文方案中除交易出現爭議外，基本無須用到解密算法，因此不會對整個方案的性能產生影響。結合實驗數據來看，本文算法與HEPZP和Pailgamal算法相比在系統參數生成、密鑰生成和加解密上都更具優勢。

根據2.3節的整體方案描述，在表2、3中詳細記錄了交易雙方和CA在執行零知識證明的各項操作時的時間開銷。此外，結合表1＼～3中的數據，表4匯總了在無爭議情況下完整一輪交易中各參與方操作的時間開銷。從表中可以觀察到，在3072bit安全密鑰長度下，零知識證明生成證明和驗證的各個步驟處理時間均控制在毫秒級別。由于零知識證明的各個階段是獨立的，可以并行處理，所以該方案依舊具有較高的效率。此外，本文方案采用鏈下通道機制來提高交易效率，采用“一通道一參數”機制，并在通道銷毀后丟棄參數，相比HEPZP和Pailgamal中系統參數始終不變的機制更具安全性。

4結束語

本文通過對OU同態加密算法改進，有效地拓展了OU同態加密算法的應用范圍，使其不僅可以對交易金額進行加密，同時支持零知識證明，能夠對交易數據進行多重校驗而無須披露任何交易細節，保障了交易數據的隱私性。此外，本文將匿名雙向支付通道技術與OU同態加密算法相結合，實現了在鏈下環境中的快速交易，有效緩解了區塊鏈網絡確認交易時間過長所帶來的限制問題。最后，通過理論分析和仿真測試驗證了方案的安全性、高效性和可行性。

本文提出的區塊鏈隱私保護方案僅涉及交易數據的隱藏，且零知識證明協議效率不突出。因此，研究區塊鏈交易中身份信息的隱私保護方案，以及更高效的零知識證明協議，是下一步的研究方向。

參考文獻：

[1]張奧，白曉穎.區塊鏈隱私保護研究與實踐綜述［J].軟件學報， 2020，31（5）：1406-1434.（Zhang Ao，Bai Xiaoying.Survey of research and practices on blockchain privacy protection[J].Journal of Software，2020，31（5）：1406-1434.）

[2]譚朋柳，徐滕，楊思佳，等.區塊鏈隱私保護技術研究綜述[J].計 算機應用研究，2024，41（8）：2261-2269．（Tan Pengliu，Xu Teng， Yang Sijia，et al.Review of research on blockchain privacy protection technologies[J].Application Research of Computers，2024，41 （8）：2261-2269.）

[3]賈森，姚中原，祝衛華，等.零知識證明賦能區塊鏈的進展與展望 [J].計算機應用，2024，44（12）：3669-3677．（JiaMiao，Yao Zhongyuan，Zhu Weihua，etal.Progress and prospect of zeroknowledge proof enabling blockchain[J]. Journal of Computer Applications，2024，44（12） ：3669-3677.）

[4］王冬，李政，肖冰冰.基于同態加密的區塊鏈混幣方案[J].計算機 科學，2024，51（3）：335-339．（Wang Dong，Li Zheng，Xiao Bingbing. Blockchain coin mixing scheme based on homomorphic encryption[J].Computer Science，2024，51（3）：335-339.）

[5]肖瑤，馮勇，李英娜，等.基于同態加密的區塊鏈交易數據隱私保 護方案[J].密碼學報，2022，9（6）：1053-1066．（XiaoYao，Feng Yong，Li Yingna，et al.Aprivacy-preserved scheme for blockchain transaction based on homomorphic encryption[J]. Journal of Cryptologic Research，2022，9（6） ：1053-1066.）

[6]薛慶水，薛震，王晨陽，等.基于加法同態的可修改區塊鏈方案 [J].計算機應用研究，2022，39（11）：3232-3237.（XueQingshui， Xue Zhen，Wang Chenyang，et al. One modifiable blockchain scheme based onadditive homomorphic encryption algorithm[J].Application Research of Computers，2022，39（11） ：3232-3237.）

[7]Wu Xiaohua，Wang Jing，Zhang Tingbo.Integrating fully homomorphic encryption to enhance the security of blockchain applications[J].FutureGeneration Computer Systems，2024，161：467-477.

[8]楊亞濤，趙陽，張奇林，等.基于SEAL庫的同態加權電子投票系 統[J].計算機學報，2020，43（4）：711-723.（YangYatao，Zhao Yang，Zhang Qilin，et al.Weighted electronic voting system with homomorphic encryption based on SEAL[J].Chinese Journal of Computers，2020，43（4） ：711-723.）

[9]楊亞濤，劉德莉，劉培鶴，等.BFV-Blockchainvoting：支持BFV全同 態加密的區塊鏈電子投票系統[J].通信學報，2022，43（9）：100- 111.（Yang Yatao，Liu Deli，Liu Peihe，etal. BFV-Blockchainvoting： blockchain-based electronic voting systems with BFV full homomorphic encryption[J]. Journal on Communications，2022，43（9）： 100-111. ）

[10]劉雪峰，楊丹平，仇卿云，等.區塊鏈上無可信拍賣師的密封式競 拍方案[J].密碼學報，2023，10（3）：491-505．（Liu Xuefeng，Yang Danping，Qiu Qingyun，et al. Sealed bidding auction with no trusted auctioneer on blockchain[J].Journal of Cryptologic Research， 2023，10（3）：491-505.）

[11］宋靖文，張大偉，韓旭，等.區塊鏈中可監管的身份隱私保護方案 [J].軟件學報，2023，34（7）：3292-3312．（Song Jingwen，Zhang Dawei，Han Xu，et al.Supervised identity privacy protection scheme in blockchain[J].Journal of Software，2023，34（7） ：3292-3312.）

[12] Shahrouz JK，Analoui M.An anonymous authentication scheme with conditional privacy-preserving for vehicular Ad hoc networks based on zero-knowledge proof and blockchain[J].Ad hoc Networks，2024， 154：103349.

[13］景旭，楊少坤.面向聯盟鏈轉賬隱私保護的 + HomElG零知識證明 協議[J].工程科學與技術，2023，55（5）：272-282.（JingXu， Yang Shaokun.+HomElG zero-knowledge proof protocol for privacy protection of consortium blockchain transfer[J].Advanced EngineeringSciences，2023，55（5） ：272-282.）

[14]李龔亮，賀東博，郭兵，等.基于零知識證明的區塊鏈隱私保護算 法[J].華中科技大學學報：自然科學版，2020，48（7）：112-116. （LiGongliang，HeDongbo，Guo Bing，etal.Blockchain privacy protection algorithms based on zero-knowledge prof[J].Journal of Huazhong University of Science and Technology： Natural Science Edition，2020，48（7） ：112-116.）

[15]楊敏，徐長通，夏喆，等.一種高效且可監管的隱私交易方案[J]. 武漢大學學報：理學版，2023，69（1）：39-50.（YangMin，Xu Changtong，Xia Zhe，et al.Anefficient and regulatable confidential transaction scheme[J]. Jourmal of Wuhan University： Natural Science Edition，2023，69（1） ：39-50.）

[16]劉懿中，姜楠，陳若楠，等.區塊鏈鏈下通道研究綜述[J].密碼學 報，2024，11（1）：45-66．（Liu Yizhong，Jiang Nan，Chen Ruonan，et al. Overview on blockchain of-chain channels[J]. Journal of Cryptologic Research，2024，11（1） ：45-66.）

[17]Green M，Miers I. Bolt：anonymous payment channels for decentralized currencies[C]//Proc of ACM SIGSAC Conference on Computer and Communications Security.New York：ACM Press，2017：473-489.

[18]Goldwasser S，Micali S，RackoffC.The knowledge complexity of interactive proof-systems[C]//Proc of the 17th Annual ACM Symposium on Theory of Computing.New York：ACM Press，1985：291-304.

[19]Fujisaki E，Okamoto T. Statistical zero knowledge protocols to prove modular polynomial relations[C]//Proc of the 17th Annual International Cryptology Conference on Advances in Cryptology.Berlin： Springer，1997：16-30.

[20]伍前紅，張鍵紅，王育民.一個高效的匹配協議[J].通信學報， 2004，25（8）：139-144.（Wu Qianhong，Zhang Jianhong，Wang Yumin.An efficient match protocol[J].Journal of China Institute of Communications，2004，25（8）：139-144.）

[21] Okamoto T，Uchiyama S.A new public-key cryptosystem as secure as factoring[M]//Nyberg K.Advances in Cryptology—EUROCRYPT' 98.Berlin：Springer，1998：308-318.

[22]伍前紅，張鍵紅，王育民.簡單證明一個承諾值在特定區間 內[J]．電子學報，2004，32（7）：1071-1073．（Wu Qianhong， Zhang Jianhong，Wang Yumin.Simple prof that a commited number isinaspecific interval[J].Acta Electronica Sinica，20o4，32（7）： 1071-1073）