基于預言機和零知識證明的區塊鏈數據上鏈方案

近年來，區塊鏈技術的飛速發展引起了國內外的廣泛關注。區塊鏈深度融合分布式賬本、共識機制、密碼學、智能合約等前沿技術，憑借去中心化、多方共識、不可篡改、透明化、安全可信的特性在醫療、人工智能、大數據、貨幣加密 等領域有著廣泛的應用前景，越來越多的基于區塊鏈技術的相關應用隨之產生。隨著“十四五”規劃的提出 ，區塊鏈成為我國數字經濟重點產業，區塊鏈技術和相關產業飛速發展。

區塊鏈系統中涉及的數據分為鏈下數據和鏈上數據兩種類型。在實際應用當中，數據不僅要從區塊鏈系統的鏈上數據中獲得，還要從鏈下的外部世界中獲得。對于鏈上數據而言，區塊鏈系統憑借其共識機制和密碼學技術保障了其真實性和可靠性。然而，外部世界的鏈下數據并沒有以賬本的形式存儲到區塊鏈系統中。因此，區塊鏈系統并不能保障鏈下數據的安全性和可靠性，這對區塊鏈數據上鏈提出了很高的要求。如何保障上鏈數據的正確性和隱私性，是區塊鏈技術發展的重要方向。隨著區塊鏈應用產業的不斷擴展，高效、安全、可靠的新型數據上鏈技術亟需被提出。

目前，區塊鏈數據上鏈有兩方面要求，一是過濾不可信數據源提供的污染數據，防止臟數據完成上鏈，保障上鏈數據的正確性；二是隱藏可信數據源提供的有效數據的明文信息，在保證數據可用不可見的前提下，保障上鏈數據的隱私性和可用性。預言機是區塊鏈系統和外部世界連接的橋梁，是一種區塊鏈上寫入鏈下數據的機制，能夠實現對上鏈數據的完整性和真實性驗證，保證上鏈數據的正確性。其主要工作是將外部應用程序接口（Application Programming Interface，API）收集到的鏈下數據整合并提供給智能合約，憑借簽名算法認證外界世界狀態的信息，從而允許確定的智能合約對不確定的外部世界做出反應。通過預言機系統進行數據源認證、數據格式轉換、數據清洗等過程完成可信數據上鏈。零知識證明作為傳統隱私保護技術在保證數據真實可用的前提下，有效保護上鏈數據的隱私信息，同時保障了數據的可用性和隱私性。

碳市場是全球為解決經濟發展所帶來的環境外部性問題而產生的政策性市場。為了平衡經濟發展帶來的環境問題，碳市場成為世界環境保護的重點陣地。目前，我國的碳市場還處于初級發展階段，需要建立良好的碳排放機制，做好數據核查、企業碳排放量分配、碳交易市場、總體清算等工作。然而，我國原有的碳排放機制呈現參與方多、數據難以協同和各方信任缺乏等特點，其突出問題在于企業碳排放數據容易出現造假現象。這是因為企業碳排放量證明由第三方機構給出，地方政府與企業之間不存在直接的信息通道。一旦企業與第三方機構聯合進行數據造假，地方政府將難以掌握企業碳排放真實情況，難以建立碳信息披露機制，不利于我國碳排放機制的實現。將區塊鏈技術應用于碳排放機制，通過安全可信的區塊鏈數據上鏈機制，在企業碳排放數據報告上鏈前進行數據認證，保障企業碳排放數據報告的真實有效性，避免第三方核查機構和企業勾結而導致的數據報告造假現象。同時，依靠區塊鏈技術的共識機制和防篡改特性還能有效減少原碳排放機制因信任機制缺乏、信息不對稱造成的相關問題。將區塊鏈技術運用于我國碳排放管理，構建一個可追溯、可共享的碳排放流程的數據共享平臺并建立信任機制和協同關系，有利于提高交易效率，共同促進碳市場發展。

本文的研究工作如下文所述。

（1）提出基于預言機和零知識證明的區塊鏈數據上鏈協議。零知識證明能夠保證在不暴露數據源明文數據的前提下，提供數據的有效性證明；預言機完成對數據的認證，保障通過預言機上鏈的數據是真實有效的。

（2）針對我國碳排放場景，將上述協議與我國碳排放機制融合，提出一種基于預言機和零知識證明的區塊鏈數據上鏈方案。該方案要上鏈的數據為企業碳排放合規性證明，由數據源利用零知識證明算法生成零知識證明，預言機系統進行零知識證明驗證和預言機系統的數據認證。通過預言機系統認證的數據才可以完成最終的數據上鏈。

（3）實現本文提到的零知識證明算法和Schnorr 簽名算法，并對其進行功能性測試與性能分析。實驗結果表明，相比于 BLS 簽名算法，本文選擇的 Schnorr 算法效率更高，簽名驗證消耗時間更少；加入零知識證明算法后，雖然運行效率降低，但極大地增強了數據的隱私安全性，在數據可用不可見的前提下，保證了數據的可用性。

１

相關工作和背景知識

1.1　相關工作

憑借區塊鏈去中心化、多方共識、不可篡改、透明化、安全可信的特性，基于區塊鏈技術的碳排放研究越來越多。袁莉莉等人 對基于區塊鏈技術的碳排放機制進行了研究，通過區塊鏈公開透明、可追溯、可共享等優點解決了碳排放環節中信息不對稱和容易數據造假的痛點問題，實現了碳交易的可追溯、可共享，提高了碳交易效率，降低了碳交易成本。張澤 基于區塊鏈智能合約技術設計了一個碳排放交易系統，實現了碳排放交易系統的基本功能，使交易數據能夠記錄到區塊鏈中，相比于傳統的碳交易平臺更加安全透明。劉林林基于區塊鏈技術設計了一個碳排放交易模型，通過屬性基加密的密碼學技術提供了高強度的隱私保護能力。宋得民等人 提出了基于區塊鏈的智慧碳排放管理方案，通過區塊鏈技術進行碳排放情況的智能化、數字化管理，并運用長短期記憶神經網絡算法對碳配額的購買進行合理規劃，從而降低交易風險。吳花平等人 對基于區塊鏈的碳排放審計流程優化進行了研究，闡述了區塊鏈技術與碳排放審計結合的可行性，并對區塊鏈技術環境下的碳排放審計流程進行了舉例說明。

1.2　區塊鏈技術

區塊鏈技術最初源于中本聰在 2008 年發表的題為 Bitcoin: A Peer-to-Peer Electronic Cash System 的論文 。其并非憑空出現的新技術，而是由密碼學技術、點對點網絡（Peer to Peer，P2P）以及時間戳技術等現有技術整合而成。經過多年的技術創新，區塊鏈已經進入到了第三階段。最初是用于記錄比特幣等數字貨幣交易的數據結構。之后隨著以太坊的出現，一個開源的有智能合約功能的公共區塊鏈平臺帶來了更多的應用實現。到如今，具有公開透明、可追溯特點的區塊鏈技術正在擴展到人們生活的各個方面，逐漸將去中心化的思想帶到人們的生活。

1.3　零知識證明

零知識證明（Zero-Knowledge Proof，ZKP）是 由 S.Goldwasser、S.Micali 及 C.Rackoff 提 出 的一種密碼協議 。它能在不向驗證者透露消息內容的前提下，證明消息含有某個值或者處于某個區間。零知識證明可以用于解決區塊鏈隱私保護以及數據的合法性驗證等問題。本文的零知識證明協議是基于 Paillier 算法，用于解決碳排放合規的合法性證明。Alice 需要在不透露c 和C 具體值的前提下向 Bob 證明兩數之間的大小關系，其中c 和C 為 Alice 擁有的隱私信息。證明流程如下文所述。

（1）系統初始化：利用 Paillier 密鑰生成算法，為 Alice 和 Bob 分別生成公私鑰對。

（2）零知識證明生成：Alice 獲取 Bob 的公鑰?根據要證明大小關系的兩數 c 和C 生成零知識證明π ，并將零知識證明π 發送給 Bob。

（3） 零 知 識 證 明 驗 證：Bob 用 自 己 的 私鑰?對零知識證明 π 進行驗證，通過驗證結果可以知道兩數c 和C 之間的大小關系。

1.4　Paillier 算法

Paillier 算 法 是 Pascal Paillier 在 1999 年發明的概率公鑰加密算法，滿足加法同態。該算法可以進行零知識證明計算。Paillier 算法具體包括以下步驟。

（1）密鑰生成：選擇兩個隨機的大素數

p 和 q ，保證為兩個參數的最大公約數。計算n為素數的乘積，λ 為最小公倍數，可以計算兩個參數的最小公倍數。選取隨機正整數且存在其中函數的定義?。此時，公鑰為私鑰為

（2）加密過程：對于明文 m ，選擇隨機數 r ，滿足是互質的關系。計算密文

（3）解密過程：利用私鑰進行解密，明文

1.5　預言機

區塊鏈 系統通過智能合約代碼將數據寫入區塊中，智能合約代碼會根據預先設定的條件自動執行，保障寫入數據的過程是透明的、可追蹤、不可篡改。然而，區塊鏈是一個確定性的、封閉的系統環境，智能合約中不允許存在不確定的因素。因此，區塊鏈無法主動獲取鏈下數據。為了建立外部數據和區塊鏈鏈上數據之間的橋梁，可以通過區塊鏈預言機進行外部數據的數據上鏈。

區塊鏈預言機（Blockchain Oracle）是一種連接現實數據源和鏈上用戶智能合約的數據服務機制。發送到區塊鏈的數據或交易事件需要通過預言機作為確定性輸入才能觸發用戶的智能合約。預言機是區塊鏈與真實數據源之間的唯一數據交互接口，外部數據源的數據首先提交預言機進行聚合和匯總，然后由預言機觸發用戶智能合約進行數據上鏈。預言機的工作流程如圖 1 所示。

圖 1　預言機工作流程

門限預言機屬于分布式預言機的一種，是多點部署預言機的機制，數據上鏈不由任何單一的節點所控制，沒有單點失效的風險。在門限預言機中，采用門限簽名算法對預言機的上傳數據進行匯總，普通預言機節點可以對與其相連的任何數據源進行認證。設系統中參與數據源認證的預言機數量為 n ，簽名門限為t ，當提交相同數據的預言機數量超過門限值t 時，則認為該數據是正確的，同時，可以通過設置積分獎懲機制管理預言機節點，減少惡意預言機作惡的可能。如果預言機節點提供了不正確的數據，就會被扣除相應的積分，而積分也會對門限預言機的選取具有重要意義。

２

方案設計

2.1　方案模型

本文的基于預言機和零知識證明的區塊鏈數據上鏈方案的模型如圖 2 所示。該方案是針對碳排放應用場景提出的一種基于預言機和零知識證明的區塊鏈數據上鏈方案，包括以下實體：用戶節點、用戶智能合約、預言機智能合約、預言機群、數據源。

（1）用戶節點：將用戶數據上傳到區塊鏈系統，并通過請求用戶智能合約進行鏈下數據上鏈，獲取所需的鏈下實時數據。

（2）用戶智能合約：接受用戶節點的鏈下數據上鏈的請求，并向預言機智能合約請求相關數據。

（3）預言機智能合約：驗證預言機群傳來的數據和簽名，上傳相關用戶數據，并完成預言機群的積分管理。

（4）預言機群：向數據源請求鏈下實時數據，驗證數據源傳來的數據和零知識證明，對于正確有效的數據生成簽名并上傳給預言機智能合約。

（5）數據源：收到預言機的數據請求，通過傳感器收集相關實時數據，并生成對應的零知識證明，上傳到對應預言機。

圖 2　方案模型

2.2　方案描述

在該方案中，數據上鏈工作流程可以分為系統初始化、數據請求、數據證明、數據簽名、數據上鏈 5 個階段。各個階段詳細描述如下文所述。

（1）系統初始化：預言機節點啟動服務程序，該服務可以調用第三方 API，獲取鏈下實時數據，并構造提供交易給智能合約。每個預言機節點還要利用安全參數產生全局參數，將全局參數公開，生成各自的公私鑰對。

（2）數據請求：用戶節點向區塊鏈系統發出實時數據請求，通過請求用戶智能合約進行鏈下實時數據上鏈，獲取相關數據信息。

（3）數據證明：數據源處的傳感器收集到原始數據后，根據數據請求來源的預言機的公鑰，生成對應的零知識證明。將實時數據和零知識證明上傳到對應的預言機。預言機通過自己的私鑰進行零知識證明驗證，核查驗證結果與實時數據是否相符，若相符則認為該數據正確。

（4）數據簽名：各個預言機對正確的數據根據自己的私鑰生成簽名，上傳到門限預言機。門限預言機進行簽名驗證，驗證通過的數據才能夠進行門限統計。當驗證通過的相同數據的數量達到門限值時，則認為該數據已經通過預言機群的驗證。將正確的數據生成簽名并上傳到預言機智能合約，由預言機智能合約進行簽名驗證，允許驗證通過的數據進行數據上鏈。同時預言機智能合約還要完成預言機群的積分管理。

（5）數據上鏈：若用戶智能合約將預言機智能合約傳來的數據進行上鏈，則認為該數據已經通過驗證。

2.3　算法設計

2.3.1　零知識證明算法設計

本文將零知識證明算法用于兩數的大小關系證明，對于兩數 c 和 C 進行大小比較，生成并上傳大小關系證明 E ，算法流程具體如下文所述。

（1）密鑰初始化

Step1　該算法由預言機節點i 執行，大素數p 和 q 的選擇要保證且

Step2 選 取 隨 機 正 整 數且 存在其中函數的定義為

Step3　輸出私鑰和公鑰并將公鑰進行公開。

（2）證明生成

Step1　該算法由數據源節點執行，傳感器收集碳排放量數據c ，與碳排放量閾值C 和預言機i 的公鑰作為輸入。

Step2　拆分

Step3　選擇隨機數滿足且是互質的關系，計算

Step4　選擇隨機數滿足且是互質的關系，計算

Step5　用上述參數生成零知識證明E ，計算：

式中：為整數，是拆分過程的中間值；是對的數據加密結果；是對的數據加密結果；為預言機節點i 的公鑰。

（3）證明驗證

Step1　該算法由預言機節點i 執行，由零知識證明 E 、私鑰和碳排放量合規性信息 m作為輸入，進行零知識證明驗證。

Step2　利用私鑰計算：

式中：X 為零知識證明的驗證結果；

是對 E 的數據解密結果；為預言機節點i 的私鑰。

Step3　驗證兩數的大小關系，若 X > 0 ，則表示若 X < 0，則表示；若 X = 0 ，則表示

Step4　通過驗證結果 X 來判斷碳排放量合規性信息 m 的正確性。

2.3.2　門限簽名算法設計

門限簽名算法適用于分布式預言機的場景，用于預言機系統進行數據認證，防止惡意預言機節點上傳臟數據到區塊鏈系統。本文選擇 Schnorr簽名算法用于單個預言機節點對數據的簽名，簽名生成后上傳至門限預言機。門限預言機收到超過門限值個相同數據后，認為該數據是正確的。此時，門限預言機對該數據簽名并上傳到區塊鏈中進行上鏈。算法具體流程如下文所述。

（1）密鑰生成initPara 。

Step1　此算法由預言機節點i 執行，選擇兩個隨機的大素數 p 和 q ，且 q 是 p 的素因子。選取整數 a ，使得a ， p ， q 被系統所有節點共同擁有，是系統的初始參數。

Step2 預 言 機 節 點 i 生成私鑰并計算作為預言機節點i的公鑰。

（2）數據簽名GenSign 。

Step1　此算法由預言機節點i 執行，選擇隨機整數 r ，并計算

Step2　將 R 附在消息 m 后面進行 Hash 計算，h 為哈希值。

Step3　利用預言機節點 i 的私鑰計算s 為簽名中間值。

Step4　生成對消息 m 的簽名

（3）簽名驗證CheckSign。

Step1　此算法由門限預言機執行，獲取預言機節點i 的公鑰

Step2　通過上述參數，計算為驗證過程的中間值。

Step3　計算并比較和 h 的大小關系。如果一致，則認為數據正確。

（4）門限觸發。

Step1　該算法由門限預言機執行，設定該算法門限值為t 。

Step2　當簽名驗證通過的相同數據的個數達到門限值t 時，則認為該數據是正確的，經過了預言機群認證。

Step3　通過門限預言機的私鑰 sk 對該數據進行簽名，并上傳到區塊鏈系統進行上鏈。

2.4　算法正確性驗證

2.4.1　零知識證明算法正確性驗證

由同態加密方案的性質，可以計算出：

式中：是對的數據加密結果；是對的數據加密結果；為生成元；n 為加密參數。

將上述結果進行解密可以得到：

因為

上述結果對模 n 取余可得：

又因為

由于所以若 m > 0，則若m < 0 ，則若 m = 0，則因此，此協議是正確的。

2.4.2　Schnorr 簽名算法正確性驗證

簽名驗證者收到后，可以計算：

式中：為驗證過程的中間值；a 為系統參數；r 為隨機數。

所以

由此可驗證消息 m 沒有在傳輸過程中被篡改，且消息m 的發送方一定為擁有對應私鑰的用戶。

2.5　具體應用方案

在碳排放應用場景中，政府部門需要向碳排放企業獲取碳排放合規性報告，完成監管和審查企業碳排放數據的工作。我國碳排放數據的報告對象是溫室氣體，主要分為二氧化碳、甲烷、一氧化二氮。碳排放企業需要通過傳感器收集核查所有溫室氣體排放數據，并與國家規定企業碳排放限額作比較，生成對應的碳排放量合規性證明并進行數據上鏈，接受政府部門的監管和審查。

針對碳排放應用，本文詳細設計基于預言機和零知識證明的區塊鏈數據上鏈方案。方案中涉及的相關參數由表 1 給出。具體應用方案流程如圖 3 所示。

圖 3　方案流程

表 1　方案相關參數

首先，政府部門向碳排放企業請求碳排放合規性證明。碳排放企業向用戶智能合約發出碳排放量合規信息的數據請求，調用預言機系統收集企業碳排放量數據；然后，預言機系統將積分值最高者選為門限預言機，多個預言機向數據源處請求數據信息；數據源處的傳感器收集原始數據并生成零知識證明，上傳給對應預言機；預言機收到信息后驗證零知識證明的正確性，選擇正確的信息進行簽名，發送正確的數據和簽名給簽名門限預言機；門限預言機接收數據后先進行簽名驗證，然后在收到門限值個相同數據時認為該數據可以進行上鏈，生成對應的簽名，最后將收集的鏈下正確數據和簽名返回到鏈上智能合約，并傳遞給碳排放企業和政府部門。方案具體流程如下文所述。

（1）碳排放企業和政府部門請求鏈下碳排放數據。觸發用戶智能合約，請求獲取數據源處碳排放量的合規情況。

（2）向預言機系統請求鏈下數據。用戶智能合約向預言機群發起數據請求，收集企業碳排放量的合規信息。

（3）預言機獲取鏈下數據。預言機接收到用戶智能合約消息后，向多個外部數據源獲取碳排放量合規信息。

（4）上傳零知識證明。接受來自編號為i 的預言機的請求，傳感器收集當月碳排放量 c ，并根據碳排放量閾值C和預言機i的公鑰生成對應的零知識證明向預言機i 上傳碳排放量合規信息m 和零知識證明E 。

（5） 預 言 機 驗 證 零 知 識 證 明。預 言 機 i根據私鑰對零知識證明 E 進行驗證，計算如果e≤0 ，則證明該數據源處碳排放量合規；如果e > 0，則證明該數據源處碳排放量不合規。當零知識證明的結果與碳排放量合規信息m 保持一致時，則認為該信息m 正確。

（6）預言機發送數據和簽名。用積分制度來規范預言機的行為（每個預言機的積分初始值為 0，每發送一次正確數據積分值加 1），選出積分值最高的節點，將其稱為門限預言機。預言機 i 對驗證通過的信息 m 生成簽名，根據私鑰和隨機整數計算將簽名發送給門限預言機。

（7）門限預言機將正確的數據和簽名上鏈。門限預言機不斷地接收預言機傳送來的數據和簽名等信息。接收預言機i 發送來的數據和簽名進行驗證，獲取預言機 i 的公鑰計算驗證是否等于若通過驗證的數據 m 數量達到t ，則認為該數據 m 是正確的，根據門限預言機的私鑰 sk ，生成簽名發送給預言機智能合約。

（8）預言機智能合約調用用戶智能合約。預言機智能合約獲取門限預言機的公鑰 pk ，對發送來的簽名和數據進行驗證。若驗證正確，則發送正確數據和簽名給用戶智能合約。對發送正確數據的預言機積分值加 1，對發送錯誤數據的預言機積分值減 1。

（9）用戶智能合約將數據返回給碳排放企業和政府部門。預言機智能合約觸發用戶智能合約后，用戶智能合約接收到數據和簽名隨后將數據返回給碳排放企業和政府部門，碳排放企業和政府部門收到所需的鏈下實時碳排放量合規數據。

３

安全性與可行性分析

通過方案設計部分提出的方案，傳感器收集的碳排放量具體值在上傳到預言機節點之前，會先生成針對碳排放合規性的零知識證明。通過僅上傳該零知識證明，可以在避免向預言機節點透露企業碳排放量具體值的前提下，證明該企業碳排放量符合規定，保護了企業碳排放數據的隱私性。在預言機系統中，通過門限簽名的方式，只有在門限預言機收到達到門限值數量的相同數據時，才認定該數據是正確的。將該數據用門限預言機的私鑰進行簽名，代表正確性經過了預言機系統的認證。門限預言機在上傳數據和簽名的同時還要分別上傳提供正確數據和錯誤數據的預言機編號，通過積分管理制度來激勵懲罰預言機節點，可以篩選出可信的預言機節點并且提高預言機節點的效率。零知識證明和相關簽名的密鑰采用隱蔽信道傳輸，可實現密鑰的不可篡改性、安全性和完整性。區塊鏈系統通過該數據上鏈方案，保障了數據的保密性、完整性、可用性、不可篡改性。

４

實驗分析

4.1　實驗環境

本方案的仿真實驗在虛擬機中進行，采用的虛擬機是 VMware Workstation Pro。在虛擬機中，采用 Ubuntu20.04 操作系統，處理器內核 4 個，內存 8 GB。智能合約在 Remix 上編譯，環境選擇Injected Web3 鏈接 MetaMask 的賬戶，將智能合約在本地 Ganache 私有鏈上部署。仿真數據源為 5臺搭載 SQL Server 的數據庫服務器。使用 Java 語言對零知識證明算法、Schnorr 算法進行模擬仿真。

4.2　加入零知識證明后的運行效率對比

為了測試本文方案中，加入零知識證明后的 Schnorr 簽名算法的運行效率，將加入零知識證明的 Schnorr 簽名算法與普通 Schnorr 簽名算法在相同硬件條件下，分別設置預言機節點為 5、10、15、20，對兩種算法進行多次模擬仿真實驗，對比結果如圖 4 所示。

圖 4　兩種算法的運行時間

從圖 4 中可以看出，加入零知識證明后的Schnorr 算法運行時間明顯變高，這是因為零知識證明生成需要一定的時間。但與此同時，零知識證明算法可以帶來對數據隱私安全的保護，讓數據在可用不可見的情況下，保留數據的可用性。

4.3　與 BLS 簽名算法的簽名驗證效率對比

為了驗證 Schnorr 簽名算法的可行性，設計了 Schnorr 簽名算法與 BLS 簽名算法的對照實驗，在同等硬件條件下，分別測試兩種簽名算法的簽名驗證效率，對比結果如表 2 所示。

表 2　兩種簽名算法效率對比

在預言機節點為 15 個，簽名數據大小為 64Byte 的情況下，相比于 BLS 簽名算法，Schnorr簽名算法在相同硬件條件下的平均簽名時間和平均驗證時間都更少，所以 Schnorr 簽名算法的運行效率更高。

５

 結　語

本文在碳排放的應用場景下，引入區塊鏈技術平臺，針對碳排放量合規性信息收集，提出了一種基于預言機和零知識證明的區塊鏈數據上鏈方案。引入零知識證明算法，生成碳排放量合規性證明，解決了區塊鏈信息明文存儲造成的隱私相關問題，讓企業在不透露具體碳排放量數據的前提下，證明企業碳排放量合規。通過預言機系統進行數據認證和數據清洗，避免單一預言機可能存在惡意節點，上傳臟數據到區塊鏈系統。區塊鏈系統利用該方案進行數據上鏈，保障了數據的保密性、完整性、可用性、不可篡改性。據實驗結果表明，相比于 BLS 簽名算法，本文選擇的 Schnorr 算法效率更高，簽名驗證消耗時間更少，加入零知識證明算法后，雖然運行效率降低，但極大地增強了數據的隱私安全性，在數據可用不可見的前提下，保證了數據的可用性。