[发明专利]利用零知识证明协议证明交易金额处于某个区间的方法

权利要求书

1.一种利用零知识证明协议证明交易金额处于某个区间的方法，其特征在于，包括以下步骤：

步骤1：设待加密的交易金额为x，已知x∈[a，b]且x为整数，b-a≥2^2(t+l)+1，其中，安全参数t、1是大小确定的自然数；N为一个正的合数且其素数分解未知，且g有一个大阶数，乃是由g生成的一个元素，且满足以乃为底g的对数，以g为底乃的对数都未知；基于(g，乃，N)为(x，r)构造承诺E(x，r)＝g^xh^r mod N，其中随机整数r∈[-(2^s N+1)，(2^s N+1)]，安全参数s是一个确定大小的自然数；

步骤2：零知识范围证明的构造；

计算c₁＝g^-aE(x，r)mod N＝g^x-ah^r mod N，c₂＝g^bE(x，r)^-1 mod N＝g^b-xh^-r mod N；

Xlower＝x-a；

Xupper＝b-x；

其中，c_prime与c₂隐藏了同样的秘密Xupper，其证据为PK(Xupper，r₁，r₂：c_prime and c₂)，其中r₁＝rXupper+r_prime，r₂＝-r，g₁＝g^Xlower，g₂＝g，h₁＝h₂＝h，随机整数r_prime∈[-(2^sN+1)，(2^sN+1)]；

记：m＝(x-a)(b-x)＝XupperXlower；

其中表示不大于的最大整数；

其中

m₃＝m-m_i-m₂；

r＝rXupper+r_prime；

r′＝r₁+r₂+r₃，其中，r₁，r₂∈[-N，N]；

基于(g，h，N)构造c_prime1＝E(m_i，r₁)，c_prime2＝E(m₂，r₂)，c_prime3＝E(m₃，r₃)；

为证明承诺c_prime1，c_prime2各自隐藏一个平方数，分别构造证据PK(m₀，r₁：c_prime1)，PK(mm₀，r₂：c_prime2)；

T＝b-a-1；

m′₃＝m₃2^t+l；

r₃′＝r₃2^t+l；

基于(g，h，N)构造PK_cft(m′₃，r′₃：E＝E(m′₃，r′₃)and m′₃∈[-2^t+lT，2^t+lT])，以证明m₃∈[-T，T]的范围；

步骤3：在构造完成之后，将用于证明PK(x，r：E＝E(x，r)and x∈[a，b]的所有证据发送给校验方；

PK(Xupper，r₁，r₂：c_prime and c₂)，PK(m₀，r₁：c_primel)，PK(mm₀，r₂：c_prime2)，PK_cft(m′₃，r′₃：E＝E(m′₃，r′₃)and m′₃∈[-2^t+lT，2^t+lT])，c_prime，c_primel＝E(m₁，r₁)，c_prime2＝E(m₂，r₂)，c_prime3＝E(m₃，r₃)；区间参数a，b，以及承诺E(x，r)；

步骤4：校验方校验；

步骤4.1：利用a，b，E(x，r)及参数(g，h，N)计算c₁，c₂；

步骤4.2：使用c₂，c_prime，PK(Xupper，r₁，r₂：c_prime and c₂)校验c₂与c_prime隐藏同样的秘密Xupper，从而证明c_prime所承诺的数具有格式(x-a)(b-x)；

步骤4.3：c_prime_verify＝c_prime1c_prime2c_prime3mod N，校验c_prime_verify与c_prime相等，从而证明m₁+m₂+m₃＝(x-a)(b-x)；

步骤4.4：使用c_prime1，PK(m₀，r₁：c_prime1)证明承诺c_prime1隐藏了一个平方数，使用c_prime2，PK(mm₀，r₂：c_prime2)证明承诺c_prime2隐藏了一个平方数；

步骤4.5：计算使用c_prime3，，PK(m′₃，r′₃：E＝E(m′₃，r₃′)andm₃′∈[-2^t+lT，2^t+lT])证明m₃∈[-(b-a-1)，(b-a-1)]的区间范围；

如果通过以上步骤的检查，说明(x-a)(b-x)＝m_l+m₂+m₃，m₁，m₂都是平方数，所构造m₃满足m₃∈[-(b-a-1)，(b-a-1)]，根据数学原理，可以得出x∈[a，b].

以上任何一个校验不通过即为失败。

2.根据权利要求1所述的利用零知识证明协议证明交易金额处于某个区间的方法，其特征在于：步骤1中，如果b-a＜2^2(t+1)+1，记e＝[2^2(t+1)+1]/(b-a)，对于x∈[a，b]，得ex∈[ea，eb]，e(b-a)＝2^2(t+l)+1，即x′＝ex能满足步骤1所要求的条件；在相同的(g，h，N)基础下，E(x′)＝E(x)^e；使用E(x)，e和PK(xe，re：E＝E(xe，re)and xe∈[ae，be])证明x∈[a，b]。