HD钱包私钥、公钥、地址生成流程

转载请注明：https://www.cnblogs.com/tkblack/p/12625510.html

前面了解了助记词生成流程，现在完善下整个助记词到地址的完整流程。

其实在很长一段时间里，我都认为助记词和种子是同一个概念，但并非如此，一个叫mnemonic（助记符或助记词），一个叫seed（种子）。

1.首先由助记词生成种子，bip39使用PBKDF2来推出，这个过程具有不可逆性，种子不能推出助记词；

　　有必要说一下PBKDF2这个函数，简单点说就是对 “助记词+盐” 做很多次hmac_sha512，显然，这个过程是不可逆的。这里的盐是为了增加安全性，一般的钱包不会让用户去定义，而是由开发者固定。所以，不同的钱包导入相同的助记词可能生成不同的种子，进而产生不同的私钥。具体做了所少次hmac_sha512计算呢？网上一度说是2048次，参照下面的代码分析下，两层for循环，第一层63次，第二层2047次（最后一个for就不考虑了）。因此我的理解是，63 * （2047 + 1）次，我估计说2048是因为传入参数iter的值是2048。

func Key(password, salt []byte, iter, keyLen int, h func() hash.Hash) []byte {　　// 参数依次为：助记词、盐、2048、64、sha512.New
    prf := hmac.New(h, password)
    hashLen := prf.Size()
    numBlocks := (keyLen + hashLen - 1) / hashLen

    var buf [4]byte
    dk := make([]byte, 0, numBlocks*hashLen)
    U := make([]byte, hashLen)
    for block := 1; block <= numBlocks; block++ {
        // N.B.: || means concatenation, ^ means XOR
        // for each block T_i = U_1 ^ U_2 ^ ... ^ U_iter
        // U_1 = PRF(password, salt || uint(i))
        prf.Reset()
        prf.Write(salt)
        buf[0] = byte(block >> 24)
        buf[1] = byte(block >> 16)
        buf[2] = byte(block >> 8)
        buf[3] = byte(block)
        prf.Write(buf[:4])
        dk = prf.Sum(dk)
        T := dk[len(dk)-hashLen:]
        copy(U, T)

        // U_n = PRF(password, U_(n-1))
        for n := 2; n <= iter; n++ {
            prf.Reset()
            prf.Write(U)
            U = U[:0]
            U = prf.Sum(U)
            for x := range U {
                T[x] ^= U[x]
            }
        }
    }
    return dk[:keyLen]
}

 

2.上一步，得到了64字节的返回，我们将前32字节作为私钥，后32字节作为链码；

　　当然，我们实际看到的私钥是经过组装和编码的。具体组装：版本（0x80）+ 私钥原文 + 压缩标志（0x01，非压缩私钥不填充）+ 校验码（4个字节）；这里，通过对私钥原文作2次sha256，对结果取前4个字节作为校验码。由此可知，非压缩私钥37字节，压缩私钥38字节，因此，进行BASE58编码后，一般为51（非压缩）或52（压缩）个字符。

 

3.事实上，一个私钥仅生成一个公钥，再生成一个地址，但是我们的钱包却可以产生很多地址。这就和bip32相关了，bip32通过使用 公钥或私钥 + 链码 + 索引号 （索引号占32位）来生成子私钥，而子私钥又能生成孙私钥，这样类推，就可以产生很多私钥。一个私钥可以生成2的32次方个子私钥；索引号小于0x80000000为普通型，采用公钥+链码+索引号生成子私钥，大于等于0x80000000为增强型，采用私钥+链码+索引号生成子私钥。

 

4.公钥或私钥+链码+索引号，进行hmac_sha512运算，得到一个64字节的输出，将前32字节作为新的私钥，后32字节作为新的链码；

 

5.私钥生成公钥，采用ecc算法生成，使用secp256k1曲线推导，推导公式：K = k * G   （k表示私钥，K表示公钥，G表示基点）；

　　这里不介绍ecc的具体原理，简单说下，就是重定义加法和乘法运算。假设以上公式，k=3，K= G + G + G （满足结合律、交换律）；而算法中 P+Q 的结果为经过P和Q的直线（如果Q=P，则是过P点的切线）和secp256k1曲线的另一个交点关于X轴的对称点，所以其实K就是曲线上一个点。

　　前面讲到私钥分为压缩和非压缩，所以公钥也有压缩和非压缩形式。我们已经知道K是一个点K（x,y），非压缩私钥： 版本前缀（0x04） + Kx + Ky；显然，我们可以由Kx推导出Ky(因为曲线已经确定)，所以我们仅使用Kx就够了，压缩私钥：版本前缀（0x02或0x03） + Kx。需要02和03两个前缀的原因，因为y值可能为偶数，也可能为奇数，因此定义两个前缀用以区分，02表示偶，03表示奇。现在基本都使用压缩公钥。这里，我在想如果压缩公钥取Ky，那么就不需要定义2个前缀了。

 

6.公钥生成地址，使用sha256和ripemd160算法；

　　首先对公钥进行sha256运算，再进行ripemd160运算，记录下该值，假设为R；

　　对R进行2次sha256运算，结果取前4个字节作为校验码，假设为check；

　　拼接：版本前缀（0x00） + R + check，这就是完整的地址了，当然，我们知道R其实就是地址，只是后面我们又附加了一些信息，最后也是BASE58编码得到我们常见形式的地址。

 

整个过程就是这个样子，写得有点乱，如果有什么错误或描述不准确的地方，欢迎指正！