(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210277779.6 (22)申请日 2022.03.21 (71)申请人 蚂蚁区块链科技 （上海） 有限公司 地址 200010 上海市黄浦区外马路618号8 层803室 (72)发明人 马环宇　杨飞鸿　雷浩　 (74)专利代理 机构 北京亿腾知识产权代理事务 所(普通合伙) 11309 专利代理师 陈霁　周良玉 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 多方协同生成随机数的方法及系统 (57)摘要 本说明书实施例提供一种多方协同生成随 机数的方法和系统， 其中多方包括N个节点， N个 节点包括第一节点和第二节点， 上述方法包括： 第一节点执行K轮第一操作， 其中单轮第一操作 包括， 根据第一节点持有的隐私数值， 生成与N个 节点对应的N个原始分片， 并生成对应的N个密文 分片和N个承诺值； 广播N个密文分片以及N个承 诺值。 然后， 第一节点根据K轮各自的N个原始分 片， N个密文分片和N个承诺值， 生成第一证明， 并 广播该第一证明。 第二节点利用所述第一证明， 对K轮第一操作中广播的所有密文分片进行有效 性验证； 在验证通过的情况下， 第二节点利用K轮 各自的N个密文分片， 生成K轮对应的K个随机数。 权利要求书3页 说明书11页 附图4页 CN 114915410 A 2022.08.16 CN 114915410 A 1.一种多方协同生成随机数的方法， 所述多方包括N个节点， 所述N个节点包括第一节 点和第二节点， 所述方法包括： 第一节点执行K轮第一操作， 其中单轮第一操作包括， 根据第一节点持有的隐私数值， 生成与所述N个节点对应的N个原始分片， 并生成对应的N个密文分片和N个承诺值； 广播所 述N个密文分片以及N个承诺值； 其中K 大于1； 第一节点根据K轮各自的N个原始分片， N个密文分片和N个承诺值， 生成第一证明， 并广 播该第一证明； 第二节点利用所述第一证明， 对K轮第一操作中广播的所有密文分片进行有效性验证； 在所述有效性验证通过的情况下， 第二节点利用K轮各自的N个密文分片， 生成K轮对应 的K个随机数。 2.根据权利要求1所述的方法， 其中， 生成对应的N个密文分片和N个承诺值包括： 分别利用N个节点的公钥， 对所述 N个原始分片进行加密， 得到所述 N个密文分片； 基于所述 N个原始分片进行 预定映射操作， 得到对应的N个承诺值。 3.根据权利要求1所述的方法， 其中， 生成第一证明包括： 根据第一随机值， 针对N个节点 生成对应的N组验证值； 针对所述N组验证值， 以及K轮各自的N个密文分片和N个承诺值， 施加目标映射函数， 得 到第一挑战值； 针对每个节点， 将所述K轮第一操作中该节点对应的K个原始分片进行聚合， 得到该节 点的明文聚合分片； 根据所述第一随机值， 所述明文聚合分片和所述第一挑战值， 生成该节 点对应的响应值； 形成所述第一证明， 其中包括所述第一挑战值， 以及所述 N个节点对应的N个响应值。 4.根据权利要求3所述的方法， 其中， 针对N个节点 生成对应的N组验证值， 包括： 针对每个节点， 基于所述第一随机值以及该节点的公钥， 生成第一验证值和第二验证 值， 构成该节点的一组验证值。 5.根据权利要求3所述的方法， 其中， 验证K轮第一操作中广播的所有密文分片的有效 性， 具体包括： 针对每个节点， 根据K轮各自的N个密文分片中该节点对应的K个密文分片， 所述N个响 应值中该节点对应的响应值， 生成该节点对应的一组校验值； 针对所述N个节点对应的N组校验值， 以及K轮各自的N个密文分片和N个承诺值， 进行所 述目标映射操作， 得到第二挑战值； 如果所述第一挑战值 不等于所述第二挑战值， 则验证不 通过。 6.根据权利要求5所述的方法， 其中， 生成该节点对应的一组校验值， 具体包括： 将所述K个密文分片进行聚合， 得到该节点的密文聚合分片； 将所述K轮各自的N个承诺值中该节点对应的K个承诺值进行聚合， 得到该节点的聚合 承诺值； 根据该节点的响应值和聚合承诺值， 生成第一校验值； 根据该节点的公钥， 所述响应值和密文聚合分片， 生成第二校验值。 7.根据权利要求1所述的方法， 其中， 所述N个原始分片通过分别将所述N个节点的节点 编号， 代入基于所述隐私数值构建的第一阶次的第一多 项式而得到；权　利　要　求　书 1/3 页 2 CN 114915410 A 2验证K轮第一操作中广播的所有密文分片的有效性， 包括： 针对每个节点， 基于该节点的节点编号和第二阶次的第二多项式， 生成该节点对应的 对偶码； 其中第二阶次与第一阶次满足预设 关系； 基于N个节点各自的对偶码， 对各节点的K轮承诺值的组合进行聚合， 得到聚合 值； 如果所述聚合 值不等于预定目标值， 则验证不 通过。 8.根据权利要求7所述的方法， 其中， 第一阶次为t ‑1阶， 第二阶次为N ‑t‑1， 其中t为允 许的恶意节点数目加1。 9.根据权利要求1所述的方法， 其中， 第二节点利用K轮各自的N个密文分片， 生成K轮对 应的K个随机数， 包括： 针对K轮中的任意目标轮次， 第 二节点将该目标轮次的N个密文分片中本节点对应的密 文分片进行解密， 解密结果归 入第二节点的明文分片集； 第二节点将所述目标轮次中来自其他节点的密文分片中本节点对应的密文分片进行 解密， 解密结果归入所述第二节点的明文分片集， 其中所述其他节点是通过所述有效性验 证的节点； 第二节点广播所述第 二节点的明文分片集， 并获取其他节点广播的其他节点的明文分 片集； 基于所述第 二节点的明文分片集和其他节点的明文分片集， 生成所述目标轮次的随机 数。 10.根据权利要求9所述的方法， 其中， 第二节点利用K轮各自的N个密文分片， 生成K轮 对应的K个随机数， 还 包括： 第二节点接收其 他节点广播的第二证明； 第二节点利用所述第 二证明， 验证所述其他节点的明文分片集是否为对应节点利用其 私钥对该节点对应的密文分片解密得到； 生成所述目标轮次的随机数包括： 在上述验证通过的情况下， 基于所述第二节点的明 文分片集和其 他节点的明文分片集， 生成所述目标轮次的随机数。 11.根据权利要求1 ‑10中任一项所述的方法， 其中所述N个节点为区块链系统的N个区 块链节点， 单个轮次对应于区块链系统中的一个区块， 所生成的随机数用于该区块中的交 易。 12.根据权利要求11所述的方法， 其中， 第一节点并行执行所述K轮第一操作的不同节 点， 和/或， 第二节 点并行执行所述生 成K轮对应的K个随机数的不同阶段， 使 得在对应的K个 区块的出块时间生成对应的K个随机数。 13.一种多方协同生成 随机数的方法， 所述多方包括N个节点， 所述方法通过所述N个节 点中任意的第一节点执 行， 包括： 执行K轮第一操作， 其中单轮第一操作包括， 根据第一节点持有的隐私数值， 生成与所 述N个节点对应的N个原始分片， 并生 成对应的N个密 文分片和N个承诺值； 广播所述N个密 文 分片以及N个承诺值； 其中K 大于1； 根据K轮各自的N个原 始分片， N个密文分片和N个承诺值， 生成第一证明； 广播所述第一证明， 使得所述N个节点中任意的第二节点利用所述第一证明， 对K轮第 一操作中广播的所有密 文分片进 行有效性验证， 并在所述有效性验证通过的情况下， 利用K权　利　要　求　书 2/3 页 3 CN 114915410 A 3