本文共 2900 字，大约阅读时间需要 9 分钟。

1. 引言

note commitment tree为具有固定depth的incremental Merkle tree，其用于存储由JoinSplit transfer或Spend transfer产生的note commitments。

note commitment tree 与 Bitcoin中的unspent transaction output set (UTXO set) 的相同之处在于：

• 都可以express the existence of value and the capability to spend it。

note commitment tree 与 Bitcoin中的unspent transaction output set (UTXO set) 的不同之处在于：

• note commitment tree为append-only的，无法用其来防止双花。

note commitment tree的root 与 每个treestate 关联。

该incremental Merkle tree中的每个节点都与一个hash值关联，该hash值的长度为255-bit。

令root在0层，则在第$h$层，有$2^h$个节点，编号为0~$2^h-1$。将$h$层$i$节点对应的hash值表示为$M_i^h$。

所谓note position，是指：

the index of a note’s commitment at the leafmost layer。

Merkle Tree Hash Function $MerkleCR{H}^{Sapling}$ 用于对note commitment tree进行hash，其中：

• prefix $l$ 用于区分inputs所在的layer。
• $MerkleDept{h}^{Sapling}=32$
• $l_{Merkle}^{Sapling}=255$
  

2. Merkle Path Validity

在incremental Merkle tree (note commitment tree) 中的每个节点都关联一个hash值，该hash值以bit sequence形式存在。

令root在0层，则在第$h$层，有$2^h$个节点，编号为0~$2^h-1$。将$h$层$i$节点对应的hash值表示为$M_i^h$。

在最底层，即$MerkleDept{h}^{Sapling}=32$，的节点称为leaf nodes。当添加一个note commitment到该tree中时，会在相邻可用的位置$i$处添加leaf node hash value $M_i^{MerkleDepth}$。

迄今未用的leaf nodes则关联 distinguished hash value $Uncommitte{d}^{Sapling}=l2LEBS{P}_{l_{Merkle}^{Sapling}}(1)$。

从第0层至第$MerkleDept{h}^{Sapling}-1$层的所有节点都称为 internal nodes，这些节点都关联的值为 $MerkleCR{H}^{Sapling}$的输出。这些节点的值是基于其下一层的子节点计算的，即，for $0\le h<MerkleDept{h}^{Sapling}$ and $0\le i<2^h$，有：

$M_i^h=MerkleCR{H}^{Sapling}(M_{2i}^{h+1},M_{2i+1}^{h+1})$

在incremental Merkle tree (note commitment tree) 中，由 leaf node $M_i^{MerkleDepth}$ 到 root $M_0^0$ 的 Merkle path为 序列值：

$[M_{sibling(h,i)}^h]$ 其中$h$的取值为由$MerkleDept{h}^{Sapling}$到$1$，$sibling(h,i)=floor(\frac{i}{2^{MerkleDepth-h}})\oplus 1$。

若已知a Merkle path 和root $rt=M_0^0$，可验证某 leaf node $M_i^{MerkleDepth}$ 是否在该tree中。

3. Merkle path check

参考资料

[1]

转载地址：http://ckqx.baihongyu.com/