(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210288131.9 (22)申请日 2022.03.22 (71)申请人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 (72)发明人 霍鑫磊　龙宇　刘振　谷大武　 (74)专利代理 机构 上海交达专利事务所 31201 专利代理师 王毓理　王锡麟 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/40(2022.01) (54)发明名称 多人链下状态通道中信息安全保护实现方 法及系统 (57)摘要 一种多人链下状态通道中信息安全保护实 现方法,通过执行者建立多人链下状态通道并生 成系统公共参数后,发起方与接收方加入多人链 下状态通道并进行链下状态更新,经执行者验证 后更新多人链下状态通道的状态,实现对通道内 用户的保护。 本发明通过执行者进行通道建立和 对通道中交易进行排序,并在每一轮交易起始时 广播通道状态,使得交易金额对通道中非交易双 方的其他参与方是不可获知,在提升吞吐量改善 区块链可扩展性问题的同时,保护了通道内用户 的信息。 权利要求书3页 说明书5页 附图2页 CN 114826603 A 2022.07.29 CN 114826603 A 1.一种多人链下状态通道中信息安全保护实现方法， 其特征在于， 通过执行者建立多 人链下状态通道并生成系统公共参数后， 发起方与接收方加入多 人链下状态通道并进 行链 下状态更新， 经 执行者验证后更新多人链下状态通道的状态， 实现对通道内用户的保护。 2.根据权利要求1所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的多人链下状态通道， 通过以下 方式建立： 1.1)设置半诚实的执行者M， 即不存在因执行者作恶而导致通道中普通参与方受损害 的情况； 1.2)执行者M通过运行 CRSGen(ppZK)， 得到Pedersen承诺 方案公共参数与得到零知识证明的公共参考串crs， 并将Pedersen承诺方案公共参数与零 知识证明的公共参 考串crs发送至欲加入此多人状态通道的普通 参与方。 3.根据权利要求2所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的零知识证明是指： 对于满足语言L的一个实例x， 借助其证据w， 生 成证明Π， 具体为： 语言L ＝{x|x＝(cm1， cm2， cm3)}， 实例x的证据w＝(r1， r2， r3， v1， v2， v3)满足： cmi＝Comm(vi， ri)， i∈ {1， 2， 3}； v1‑v2＝v3； vi≥0， i∈{1， 2， 3}， 其中： vi为非负实数， ri为盲化因子， cmi为利用ri对 vi生成的Pedersen承诺方案的承诺值。 4.根据权利要求1所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的链下状态更新， 具体包括： 2.1)普通参与方获知并确认执行者M的身份及其公钥PKM， 具体为： 与参与通道的普通参 与方主动向执 行者M发送自己的公钥及身份信息， 并请求执 行者M的公钥； 2.2)普通参与多人链下状态通道中以Pedersen承诺的形式提交信用背书cmi， 具体为： 普通参与方发起链上状态更新， 接 收地址为通道地址， 其中代表状态的数值以承诺的方式 进行表示； 2.3)参与 多人状态通道的普通参与方将自身公钥PKi及信用背书cmi告知执行者M， 具体 为： 参与通道的普通 参与方将自身公钥及信用背 书主动发送给 执行者M， 成功加入通道。 5.根据权利要求1所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的执行者验证后更新多人链下状态通道的状态， 具体包括： 3.1)状态更新发起方将用于状态更新请求的状态更新消息发送至状态更新的接收方， 使得接收方确认状态更新正确性， 具体为： 组装符合约定的状态更新消息， 并将打开代表状 态更新数值的承诺的参数以接收方的公钥进 行加密， 发起方将状态更新消息与密 文发送给 接收方； 3.2)接收方对状态更新请求消息签名并发送至执行者M， 使得此请求参与本轮状态通 道中新提交更新请求的确认与排序； 在同一个轮次中， 同一普通参与方的状态数值可能发 生多次更新行为， 但只能作为发起方或接收方参与该轮次链下状态更新； 所述的符合约定的状态更新消息具体为： Trans＝(PKS， PKR， cmS， cmT， cmSS， Π， sigS， sigR)， 其中： PKS， PKR分别为发起方与接收方的公钥； cmT， cmSS分别为状态更新的数值承诺值与发起方状态更新后数值的承诺值； rT， rSS为发 起方选择的两个随机数， 发起方计算关于当前状态更新的数值vT及发起方状态更新后其状 态数值vSS的承诺cmT＝Comm(vT， rT)， cmSS＝Comm(vSS， rSS)； 以cmS为当前轮次开始时发起方的 承诺值， 以vS为当前轮次开始时发起方所对应的状态数值， 以rS为对应的盲化因子； Π用于权　利　要　求　书 1/3 页 2 CN 114826603 A 2证明执行者M及接 收者对于状态更新请求的输入与输出数值的平衡， 且保证发起方在通道 内有足够的状态 数值来生成更新请 求， Π＝Prove(crs， x， w)， 其中实例x＝(cmS， cmT， cmSS)， 证据w＝(rS， rT， rSS， vS， vT， vSS)； 发起方还需以公钥加密的方式将打开cmT的参数(vT， rT)发送 至接收方用于接收方对于状态更新数值的确认； 通道状态消息States用于执行者M按轮次 向全体参与通道的普通参与方广播、 更新通道状态； 通道状态消息格式为： States＝(CMs [all]， Tr ansList， r， sigM)； CMs[all]为此轮次通道中各普通参与方的状态数值的承诺值 的集合； TransList为上一轮次执行者M确认并执行的状态更新消息的集合； r 为递增的轮次 序号， sigM为执行者M对于此通道状态的签名。 6.根据权利要求5所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的步骤3.2， 具体包括： 3.2.1)双方 首先以任意方式协商状态更新数值vT； 3.2.2)发起方组装符合约定的状态更新消息Trans并签名后发送至 接收方； 3.2.3)发起方使用接收方公钥对打开状态更新数值的承诺值cmT的参数(vT， rT)加密， 将生成的密文以独立于更新消息 外的方式单独发送至 接收方； 3.2.4)接收方根据接收到带有发起方签名的消息Trans与打开状态更新的承诺值的参 数对(vT， rT)， 验证状态更新数值是否 为双方协 商的数值， 即Ver(vT， rT， cmT)的结果是否为1； 然后验证接 收方是否为自身， 即验证更新消息中接 收方地址部分是否为自身接 收地址； 当 状态更新数值与接收方地址均正确， 接收方对此状态更新消息Trans进行签名后发送至执 行者M； 3.2.5)接收方将打开状态更新数值的承诺值的参数rT保存在本地， 当该状态更新请求 被执行者M执行并被包含下一轮次的TransList中时， 接收方在下一轮次开始时更新自身状 态数值为vRR＝vR+vT， 对应盲化因子更新为rRR＝rR+rT， 其中： 当前状态数值的承诺值的参数 vR表示当前轮次开始时接收的承诺值所对应的数值、 rR表示接收方的盲化因子； 3.2.6)执 行者M收到状态更新请求信息Trans后， 验证其有效性； 3.2.7)当前轮次经过Δ时间后， 完成通道内状态更新， 然后执行者M更新并广播新一轮 次的通道状态， 即将发起 方的状态数值的承 诺更新为cmSS， 状态更新接收方的状态数值的承 诺更新为cmRR＝cmR·cmT。 7.根据权利要求5所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 所述 的验证其有效性， 具体包括： i)根据请求双方身份， 验证发起方与接收方对于当前更新请求的签名的有效性， 具体 为： 执行者M使用Trans中的公钥及更新请求， 双方附着的数字签名执 行数字签名验签算法； ii)验证发起方所声称的当前轮次的状态数值的承诺值是否与实际相符， 具体为： 判断 发起方在消息Trans中所声称的当前轮次状态数值的承诺值与执行者M所维护的当前轮次 发起方对应的状态数值的承诺值是否一 致； iii)执行者验证状态更新消息中的零知识证明部分， 具体为： 执行零知识证明验证算 法Verify(crs， x， Π)， 其中x＝(cmS， cmT， cmSS)， 当成功通过验证， 则输出 结果为1； 当以上任一 步骤验证失败时执 行者M将丢弃 此交易。 8.根据权利要求1所述的多人链下状态通道中信 息安全保护实现方法， 其特征是， 当普 通参与方要求退出通道并取回在状态通道中的信用背书时， 该普通参与方U需要在区块链权　利　要　求　书 2/3 页 3 CN 114826603 A 3