CN108418783A - 一种保护区块链智能合约隐私的方法、介质 - Google Patents

Abstract

本发明公开了一种保护区块链智能合约隐私的方法，在掩盖交易细节的同时能验证交易正确性，在保护用户隐私的同时能验证操作的合法性和有效性。其技术方案为：使用加法同态加密区块链中的隐私数据，并在交易过程中生成非交互式的零知识证明以证明交易的有效性。

Description

一种保护区块链智能合约隐私的方法、介质

技术领域

本发明涉及区块链技术，尤其涉及保护区块链智能合约隐私的方法、介质。

背景技术

区块链是源于比特币的底层技术，是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造，实现去中心化的分布式账本。在区块链系统中，节点是组成区块链网络的基本单元，一般一个节点对应一台计算机，保存账本的副本，可担任不同角色，比如发出交易、验证交易、记账等。各节点间维持的是一致的公共账本，此账本记录了每个节点的余额信息，节点间通过一定的共识机制对公共账本进行操作。由于区块链系统是去中心化的分布式账本系统，不依赖于任何的可信第三方，所以需要一种无需依赖第三方机构来鉴定和验证某一数值或交易的机制，即共识机制。共识机制是所有区块链和分布式账本应用的基础。

区块链系统作为公开的账本，其解决了各方信任建立的共识问题，但同时用户的所有交易信息包括区块链上记载的其他信息都暴露在大众面前，如果这些信息被恶意挖掘或者利用，将给用户隐私带来严重威胁。

目前区块链相关的隐私保护环节比较薄弱，尤其是对敏感数据需要平衡隐私保护和合规监管，对于涉及大量商业机密和利益的业务场景来说，数据的暴露不符合业务规则和监管要求。

系统需要在保障用户隐私的情况下，实现区块链交易可验证，历史可查等特性，以保证交易的有效性。目前区块链的隐私保护方法主要有以下几种：

1.现有的区块链系统如比特币和以太坊中使用的隐私保护技术，其仅对交易的节点使用了“伪匿名”技术，即将节点的地址匿名，而交易明细是公开透明的，交易时直接对两交易节点的余额操作。但此方法并不能真正保证节点是“匿名”的，例如在比特币系统的交易中，使用者无需使用真名，而是采用公钥哈希值作为交易标识。但通过将交易信息和现实生活中个人信息关联，再结合服务提供商等的地址信息及公开账本，地址就能对应个人用户，其所有消费记录等将显露无遗留，这将带来严重的用户隐私问题。

2.使用密码学的方法进行加密。此方法对公共账本上的余额直接进行加密，只有节点本身或者赋予权利的相关方能对交易信息可见，其余节点无法操作数据，账本信息难以保持一致性。例如Chinaledger提出了基于中央对手方(CCP)的方案，交易发起方使用CCP的公钥加密交易，签名后提交给CCP，由CCP实现解密、检验签名、检验余额，如果是有效再实现转账金额过户。此方法中，其余节点只能背书交易，而不能背书余额，此方案虽然保护了节点用户隐私，但过于中心化，整个系统依赖于CCP的信誉交易。还有以太坊社区提出的基于状态旁路(State channel)的隐私保护方案，此方案交易过程中，区块链中节点将交易提交到智能合约里。智能合约是一种运行在区块链的一段代码，可以维持自己的状态，控制自己的资产和对接收到的外界信息或者资产进行回应。智能合约实现中间流程明细的加密，其余节点不可见；到交易完成时，再把最终价值分配方案解密，返回到区块链其余节点上。但此方法只保护了中间过程部分的隐私，交易的总额变动也是对所有节点透明的。在这一方案中，智能合约是运行在区块链上的一段代码，该代码控制和管理数据库。每个账户的资产存储在智能合约的数据库中，并可以通过智能合约在满足特定的条件下对数据库中的数据进行操作。例如在供应链金融场景中，每个账户的余额以及对该余额的操作都在智能合约中记录和进行，如节点间转账操作即是通过在全部节点间广播消息，并执行智能合约来执行。每个节点的余额都是隐私信息，各节点希望其余额对其他节点不可见。转账内容也属于隐私信息，因此广播消息中余额的变动不希望其他节点可见。同时，还需要支持智能合约中余额的变动操作，所有人都能对余额进行操作。

3.使用加法同态加密技术来保证隐私，使其余节点也可对余额进行操作。加法同态加密是针对数值的一种非对称加密，对于数值A、B、C加密后密文分别为Enc(A)、Enc(B)、Enc(C)，有特性：若A+B＝C，则Enc(A)+Enc(B)＝Enc(C)。例如在专利号为“CN106549749A”的发明专利“一种基于加法同态加密的区块链隐私保护方法”中，通过同态密钥的生成，将交易发起者账户可见余额拆分为交易金额和剩余金额，用全网同态公钥加密两金额，加密后的密文记为X1和X2，并用交易接收者公钥加密交易金额，密文记为Y1；发起者发送三个加密后的密文字段以广播交易；全网节点验证交易信息，确认X1和X2的真实金额大于0并且X1和X2的同态加法和发送者的公共账本余额一致；验证成功后，对公共账本的用户余额信息进行同态修改，维护公共账本。此方法利用加法同态加密技术隐藏区块链上的交易金融和用户余额，并能保证其余用户对公共账目上余额的操作。但此方案无法确认交易的一致性，即转账金额X1和Y1的明文是否一致，缺少对交易有效性的验证环节。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

本发明的目的在于解决上述问题，提供了一种保护区块链智能合约隐私的方法，在掩盖交易细节的同时能验证交易正确性，在保护用户隐私的同时能验证操作的合法性和有效性。

本发明的技术方案为：本发明揭示了一种保护区块链智能合约隐私的方法，包括：

系统初始化公共参数：其中，G表示阶为p的循环群，p为素数，G₁，G₂,G_T分别表示阶为p的群；ε:G₁×G₂→G_T表示双线性对；g₁,h∈G₁，为群G₁的生成元，其中g₂∈G₂为群G₂的生成元；g_T∈G_T为群G_T的生成元；ψ:G₂→G₁为同构，且g₁＝ψ(g₂),g_T＝ε(g₁,g₂)；VK表示验证密钥VK＝h_s，其中x←Z_p，x为签名密钥，Z_p表示[0,p-1]范围内的所有实数；整个方法的明文空间为[0,2^ω]，其中ω＝σ·γ，σ，γ表示根据方案具体选取的表示明文长度的数值；代表方案从0到2^σ-1的签名组；代表预计算的双线性对；

证明节点的公私钥对为(SK_A,PK_A)，并获得转账节点的公钥PK_B，其中使用的加密方式为：其中y₁,为随机数，明文m∈Z_p，长度为ω＝σ·γ比特；其中， g₁为生成公钥的生成元，(x_A1,x_A2)为A的私钥对； 表示选取随机数y₁,y₂对明文m加密的方式、h^m是对明文m进行生成元为h的计算；C₁、C₂、C₃分别为加密密文中的加密参数；

在节点的公共账本中获取用PK_A加密的证明节点的余额t_A的密文 并分别用证明节点的公钥PK_A和转账节点的公钥PK_B对转账金额t进行加密，生成转账密文和C，其中密文和C均使用加法同态加密，在转账密文和C的加密过程中选取的随机数分别为y₁和y₂；其中是计算余额t_A过程中，密文的参数；和为加密余额的随机数，证明节点不知道其具体数值；h^t表示对转账金额t的明文进行生成元为h的计算；表示使用随机数y₁和y₂，并使用转账节点的公钥对转账金额t加密过程中生成的参数；

生成非交互式的零知识证明π：其中r₁,r₂,l,k←Z_p为随机数；j代表0≤j≤γ-1取值中的每一取值，并对应选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，为签名方案，表示利用私钥SK对明文m进行签名，转账金额t由下表示：0≤t_j,t′_j＜2^σ；D₁,D₂的计算公式为： a_j,a′_j的计算公式为其中T表示预计算的双线性对；z₁＝r₁-ey₁,z₂＝r₂-ey₂； 其中e为哈希值，e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1})∈Z_p；

证明节点广播证明π、转账密文和C；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

根据本发明的保护区块链智能合约隐私的方法的一实施例，证明节点生成证明π的过程分为两个方案，其中第一个方案为：

选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2；对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算： 其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；

根据上述生成的元素，计算哈希值：

e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1})∈Z_p，

并计算：z₁＝r₁-ey₁,z₂＝r₂-ey₂，

最后，A生成的证明为：

以此生成证明π；

第二个方案为：选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2；对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算：

其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；选取随机数并计算

根据上述生成的元素，计算的哈希值为：

e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1},α)∈Z_p；

计算

并计算：

最后，第二个方案中A生成的证明为：

根据本发明的保护区块链智能合约隐私的方法的一实施例，π能证明节点余额密文中的明文不小于转账密文中的明文，同时转账密文中的明文与转账密文C中的明文相等且大于0，证明方法有两个可选方案：

其中第一个可选方案的证明公式为：证明节点使用以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

其中第二个可选方案的证明公式为：证明节点使用以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

根据本发明的保护区块链智能合约隐私的方法的一实施例，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易，验证方法有两个方案，

其中第一个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

其中第二个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

根据本发明的保护区块链智能合约隐私的方法的一实施例，验证方法的第一个方案做如下优化：

验证关系中公式(1)-(3)相同，公式(4)替换为：验证者选取随机数d₀,d₁,..,d_γ-1,d′₀,d′₁,...,d′_γ-1∈Z_p，并检验下列等式是否相等：

根据本发明的保护区块链智能合约隐私的方法的一实施例，方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

本发明还揭示了一种计算机可读介质，包括介质上存储的计算机程序，所述计算机程序用于执行如前述的方法。

本发明还揭示了一种保护区块链智能合约隐私的方法，包括：

证明节点的公私钥对为(sk1,pk1)，并获得转账节点的公钥pk2；

在节点的公共账本中获取用pk1加密的证明节点的余额t1的密文C，并分别用证明节点的公钥pk1和转账节点的公钥pk2对转账金额t进行加密，生成转账密文C1和C2，其中密文C、C1和C2均使用加法同态加密，在转账密文C1和C2的加密过程中选取的随机数分别为y1和y2；

生成非交互式的零知识证明π；

证明节点广播证明π、转账密文C1和C2；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

根据本发明的保护区块链智能合约隐私的方法的一实施例，证明节点生成证明π的过程为：证明节点使用(pk1,pk2,C,C1,C2)以及系统参数为公共输入，以(sk1,y1,y2,t)为证据，生成证明π。

根据本发明的保护区块链智能合约隐私的方法的一实施例，π能证明节点余额密文C中的明文不小于转账密文C1中的明文，同时转账密文C1中的明文与转账密文C2中的明文相等且大于0。

根据本发明的保护区块链智能合约隐私的方法的一实施例，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易。

根据本发明的保护区块链智能合约隐私的方法的一实施例，方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

本发明还揭示了一种计算机可读介质，包括介质上存储的计算机程序，所述计算机程序用于执行以下的保护区块链智能合约隐私的方法：

证明节点的公私钥对为(sk1,pk1)，并获得转账节点的公钥pk2；

在节点的公共账本中获取用pk1加密的证明节点的余额t1的密文C，并分别用证明节点的公钥pk1和转账节点的公钥pk2对转账金额t进行加密，生成转账密文C1和C2，其中密文C、C1和C2均使用加法同态加密，在转账密文C1和C2的加密过程中选取的随机数分别为y1和y2；

生成非交互式的零知识证明π；

证明节点广播证明π、转账密文C1和C2；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

根据本发明的计算机可读介质的一实施例，证明节点生成证明π的过程为：证明节点使用(pk1,pk2,C,C1,C2)以及系统参数为公共输入，以(sk1,y1,y2,t)为证据，生成证明π。

根据本发明的计算机可读介质的一实施例，π能证明节点余额密文C中的明文不小于转账密文C1中的明文，同时转账密文C1中的明文与转账密文C2中的明文相等且大于0。

根据本发明的计算机可读介质的一实施例，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易。

根据本发明的计算机可读介质的一实施例，保护区块链智能合约隐私的方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

本发明对比现有技术有如下的有益效果：在区块链系统中，所有节点维护一个相同的公共账本。若账本信息有变动，则通过一定的共识机制保持其一致性。在这过程中，若账本中记录的隐私信息是公开透明的，则会对节点用户的隐私性造成严重的危害。因此需要对区块链系统节点间的隐私信息进行保护，在隐私保护的同时，也要保证节点对账本中其余节点信息的可操作性。基于此问题，本发明使用了加法同态加密算法及非交互式零知识证明的方法，以解决区块链系统中的隐私保护问题。

本发明首先使用加法同态加密算法对公共账本的信息进行加密，在保障隐私性的同时也使得所有节点能够对除自己之外其余节点数据的变动进行同态可操作性。此外，为了验证节点操作的有效性，本发明加入了非交互式零知识证明方案，使节点可以在不知道真实操作信息的情况下，验证操作是否有效。

本发明可使用的场景包括：供应链金融中进行资产转移、账本信息一致性维护时，对各节点的余额信息使用加法同态加密算法进行加密，并在节点间进行交易时，广播非交互式零知识证明，以证明交易的有效性；在清算和结算场景中，保护客户隐私的同时提升客户识别效率并降低时间成本；借贷场景中加密出款及借款方交易记录，并跟踪和保护付款的流动过程的有效性。

相对业界传统的隐私保护方法相比，本发明有以下优势：

1)每个节点用户的隐私信息在智能合约中被加密存储，对其余节点不可见，但所有节点都可以对智能合约中余额进行操作，提高灵活性和隐私性；

2)不需要第三方作为中央监管节点，更大程度上实现去中心化；

3)验证节点可以在不知道交易真实信息的情况下实现消息有效性的验证，更大程度上保护了节点用户的隐私信息。

附图说明

在结合以下附图阅读本公开的实施例的详细描述之后，能够更好地理解本发明的上述特征和优点。在附图中，各组件不一定是按比例绘制，并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。

图1示出了本发明的保护区块链智能合约隐私的方法的实施例的流程图。

具体实施方式

以下结合附图和具体实施例对本发明作详细描述。注意，以下结合附图和具体实施例描述的诸方面仅是示例性的，而不应被理解为对本发明的保护范围进行任何限制。

图1示出了本发明的保护区块链智能合约隐私的方法的实施例的流程，请参见图1，下面是对本实施例的方法的实施步骤的详细描述。

步骤1：证明节点的公私钥对为(sk1,pk1)，并获得转账节点的公钥pk2。

步骤2：在其公共账本中获取用pk1加密的证明节点的余额t1的密文Enc_1(t1)＝C，其中Enc_A(X)表示对明文X使用公钥pkA进行加法同态加密；并分别用pk1和pk2对转账金额t进行加法同态加密，加密过程中选取的随机数为y1，y2，得到转账密文Enc_1(t)＝C1和Enc_2(t)＝C2。

步骤3：证明节点使用(pk1,pk2,C,C1,C2)以及系统参数为公共输入，以(sk1,y1,y2,t1,t)为证据，生成证明π，π能证明：“C中的明文不小于C1中的明文，同时C1中的明文与C2中的明文一样，且大于0”。在生成π的过程中需要保证：只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易。

步骤4：证明节点广播π、C1、C2。

步骤5：验证节点接收到广播消息后，进行计算，验证π是否通过。若不通过，则不再继续；若通过，则在节点公共账本上对交易两节点的余额进行相应修改，对证明节点的余额进行操作：Enc_1(t1)+Enc_1(-t)＝Enc_1(t1-t)，将Enc_1(t1-t)作为证明节点新的余额；对转账节点的余额进行操作：Enc_2(t2)+Enc_2(t)＝Enc_2(t2+t)，将Enc_2(t2+t)作为转账节点新的余额。其中t2表示转账节点的转账接收者在转账前的余额。

加法同态加密方案是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。其中加法同态加密算法是指，如果存在有效算法使得或者成立，并且不泄漏x和y，其中E为加密函数，D为解密函数，则此算法成为加法同态加密算法。

其具体描述如下：G表示阶为p的循环群。g,h分别为两个生成元，明文为m∈Z_p；公钥为私钥为x₁，x₂。加密的密文如下：

这里y₁，y₂为随机数。此加密方案是加法同态的，并且C₃是pederson承诺的形式。

本发明使用的非交互式零知识证明方案，零知识证明是由S.Goldwasser、S.Micali及C.Rackoff提出。它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。其中非交互式零知识证明(NIZK)是非交互式的、单向的，即证明过程中，证明者一次性出示一个证明，而验证者拿到此证明可以一次性验证，两者在证明阶段无需进行交互，就能实现零知识性。

零知识证明分为基础方案、优化方案以及可证明方案。其中每个阶段涉及的具体计算参数和方法如下：

考虑两交易节点A和B，A的公钥A的私钥为SK_A＝(x_A1，x_A2)；同理，B的公钥B的私钥为SK_B＝(x_B1,x_B2)。

A的余额t_A以上述加密的形式存储在智能合约中，记为这里A只保存私钥和明文，方案的明文空间为[0,2³⁰]。

基础方案如下：

①初始化阶段：包括系统参数和公共参数的生成。记p素数，G₁，G₂，G_T分别表示阶为p的群。ε:G₁×G₂→G_T表示双线性对。g₁,为群G₁的生成元，g₂∈G₂为群G₂的生成元，g_T∈G_T为群G_T的生成元。ψ:G₂→G₁为同构，且g₁＝ψ(g₂),g_T＝ε(g₁,g₂)。

为使范围证明中通过签名与数字元素做对应，系统中按BB签名方案生成如下参数。选取x←Z_p，以SK＝x作为签名密钥。计算作为验证密钥VK＝h_s。利用BB方案计算0到2¹⁰-1＝1023的签名(为优化方案将2³⁰转化为(2¹⁰)³)为：

其中BB签名的签名方案和验证方案分别为：同时，预计算下面的双线性对：

该预算可以在证明中节省6个双线性对的计算，但是会极大的增大公共参数的长度。是否还选择需根据系统具体情况决定。

综上：系统的公共参数为：

②用户配置阶段：用户(如A)拥有的公私钥对，以及加密方式的描述如下，其余用户只是相应下标的变化：

公钥：其中g₁,h∈PP；

私钥：并且满足

加密：其中为随机数。因为该加密方案在解密时需要离散对数，因此明文长度限制在30比特。

③证明阶段：拥有余额t_A的用户A(证明者)在向用户B(验证者之一)转账金额t时，进行如下操作：

1.A获取账本中余额的密文A并不知道A选取随机数y₁,y₂←Z_p，生成用户B公钥下转账金额t的密文：并采用相同的随机数生成A公钥下转账金额t的密文：

2.A以为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

(1).其中i＝1,2；

(2).

(3).

(4)t∈[0,(2¹⁰)³],t_A-t∈[0,(2¹⁰)³],令

3.A按如下方式生成证明：选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2。对于j＝0,1,2选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并且计算：

其中D₁,D₂中的连乘可以通过先计算指数的和进行优化。根据上述生成的元素，计算哈希值：

e＝H(R₁,R₂,{V_j,V′_j}_j＝0,1,2,D₁,D₂,{a_j,a′_j}_j＝0,1,2)∈Z_p

并计算：

最后，A生成的证明为：

④验证阶段：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,2，验证下列关系是否全部成立：

以上公式的正确性验证如下：

(1)的正确性如下：因为z_i＝r_i-ey_i,所以有

(2)的正确性如下：

(3)的正确性如下：

(4)的正确性如下：因为a_j与a′_j完全类似，则只分析a_j：

优化方案如下：

优化方案中，证明部分与基础方案相同，④验证中(1)-(3)与基础方案相同，(4)修改为：验证者选取随机数d₀,d₁,d₂,d′₀,d′₁,d′₂∈Z_p，并检验下列等式是否相等：

公式(5)的正确性由(4)推出。

可证明方案如下：

和基础方案相比，有如下变动：

③证明阶段：拥有余额t_A的用户A(证明者)在向用户B(验证者之一)转账金额t时，进行如下操作：

1.该步骤与基础方案一致。

2.A以为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

(1).其中i＝1,2；

(2).

(3).

(4)t∈[0,(2¹⁰)³],t_A-t∈[0,(2¹⁰)³],令 或者

(5)3.A按如下方式生成证明：选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2。对于j＝0,1,2选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并且计算：

其中D₁,D₂中的连乘可以通过先计算指数的和进行优化。选取随机数计算

根据上述生成的元素，计算哈希值：

e＝H(R₁,R₂,{V_j,V′_j}_j＝0,1,2,D₁,D₂,{a_j,a′_j}_j＝0,1,2,α)∈Z_p

计算

并计算：

最后，A生成的证明为：

④验证阶段：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,2，选取随机数d₀,d₁,d₂,d′₀,d′₁,d′₂∈Z_p验证下列关系是否全部成立：

其中，在基础方案基础上，把e替换为了并增加公式(11)。

优化方案的正确性证明方法与基础方案一致。

基于上述的方法的实施例，本发明还揭示了一种计算机可读介质，介质上存储了计算机程序，计算机程序用于执行上述实施例所揭示的保护区块链智能合约隐私的方法。方法步骤同前述实施例相同，在此不再赘述。

此外，本发明进一步的加入了方法中使用到的公式和各类参数，另外揭示了本发明的保护区块链智能合约隐私的方法的一个实施例的流程，以下是关于本实施例的方法的实施步骤的详细描述，仍可参考图1所示。

实施前的系统初始化公共参数：其中，G表示阶为p的循环群，p为素数，G₁，G₂,G_T分别表示阶为p的群；ε:G₁×G₂→G_T表示双线性对；g₁,h∈G₁，为群G₁的生成元，其中g₂∈G₂为群G₂的生成元；g_T∈G_T为群G_T的生成元；ψ:G₂→G₁为同构，且g₁＝ψ(g₂),g_T＝ε(g₁,g₂)；VK表示验证密钥VK＝h_s，其中x←Z_p，x为签名密钥，Z_p表示[0,p-1]范围内的所有实数；整个方法的明文空间为[0,2^ω]，其中ω＝σ·γ，σ，γ表示根据方案具体选取的表示明文长度的数值；代表方案从0到2^σ-1的签名组；代表预计算的双线性对。

第一步：证明节点的公私钥对为(SK_A,PK_A)，并获得转账节点的公钥PK_B，其中使用的加密方式为：其中为随机数，明文m∈Z_p，长度为ω＝σ·γ比特；其中， g₁为生成公钥的生成元，(x_A1,x_A2)为A的私钥对； 表示选取随机数y₁,y₂对明文m加密的方式、h^m是对明文m进行生成元为h的计算；C₁、C₂、C₃分别为加密密文中的加密参数。

第二步：在节点的公共账本中获取用PK_A加密的证明节点的余额t_A的密文并分别用证明节点的公钥PK_A和转账节点的公钥PK_B对转账金额t进行加密，生成转账密文和C，其中密文和C均使用加法同态加密，在转账密文和C的加密过程中选取的随机数分别为y₁和y₂；其中是计算余额t_A过程中，密文的参数；和为加密余额的随机数，证明节点不知道其具体数值；h^t表示对转账金额t的明文进行生成元为h的计算；表示使用随机数y₁和y₂，并使用转账节点的公钥对转账金额t加密过程中生成的参数。

第三步，生成非交互式的零知识证明π：

第四步，证明节点广播证明π、转账密文和C。

第五步，验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

此外，若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

在上述第三步的节点生成证明π的过程分为两个方案，其中第一个方案为：

选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2；对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算： 其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；

根据上述生成的元素，计算哈希值：

e＝H(R₁,R₂,{V_j,V_j′}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1})∈Z_p，

并计算：z₁＝r₁-ey₁,z₂＝r₂-ey₂，

最后，A生成的证明为：

以此生成证明π。

第二个节点生成证明π的方案为：选取随机数r₁,r₂,l,k←Z_p，并计算i＝1,2；对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算： 其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；选取随机数并计算

根据上述生成的元素，计算的哈希值为：

e＝H(R₁,R₂,{V_j,V_j′}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1},α)∈Z_p；

计算

并计算：

最后，第二个方案中A生成的证明为：

在本实施例中，π能证明节点余额密文中的明文不小于转账密文中的明文，同时转账密文中的明文与转账密文C中的明文相等且大于0，证明方法有两个可选方案：

其中第一个可选方案的证明公式为：证明节点使用以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

其中第二个可选方案的证明公式为：证明节点使用

以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

在上述的第五步中的验证证明π是否通过的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易，验证方法有两个方案，

其中第一个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

此第一个方案的验证方法还可以做如下的优化。

验证关系中公式(1)-(3)相同，公式(4)替换为：验证者选取随机数d₀,d₁,..,d_γ-1,d′₀,d′₁,...,d′_γ-1∈Z_p，并检验下列等式是否相等：

其中第二个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

从上述实施例中可以看出，本发明通过使用零知识证明和同态加密技术，提供一种保护区块链智能合约隐私的方法。智能合约的公共账本中的数据以加法同态加密后的密文存储，任何节点想要进行操作，广播消息时需要生成非交互式零知识证明，使其余节点可以在不知道真实数据的情况下，验证操作的合法性，并同态更新智能合约中的数据。此方案在掩盖交易细节的同时，能验证交易的正确性，在保护用户的隐私性的同时能验证操作的合法性和有效性。

本发明在使用加法同态加密方法的保证节点的隐私和可操作性的基础上，加入非交互式零知识证明技术，能够证明操作的有效性。交易发起节点通过广播同态加密算法加密后的交易金额和零知识证明π给其余节点，π能够保证发起节点的余额大于转账金融，并且两转账金额一致，同时要保证只有交易发起者能够生产合法的π。其余所有节点验证交易的有效性，若通过，则此次交易有效，智能合约自动执行相关交易账户余额的增减，而交易节点真实的账户余额不会被其余节点知道。本发明在区块链中的应用场景，包括但不限于供应链金融、清算和结算、借贷场景等。

尽管为使解释简单化将上述方法图示并描述为一系列动作，但是应理解并领会，这些方法不受动作的次序所限，因为根据一个或多个实施例，一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。

本领域技术人员将进一步领会，结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性，各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性，但这样的实现决策不应被解读成导致脱离了本发明的范围。

结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。

结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中，处理器和存储介质可作为分立组件驻留在用户终端中。

在一个或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。

Claims (17)

1.一种保护区块链智能合约隐私的方法，其特征在于，包括：

系统初始化公共参数：其中，G表示阶为p的循环群，p为素数，G₁，G₂,G_T分别表示阶为p的群；ε:G₁×G₂→G_T表示双线性对；g₁,h∈G₁，为群G₁的生成元，其中g₂∈G₂为群G₂的生成元；g_T∈G_T为群G_T的生成元；ψ:G₂→G₁为同构，且g₁＝ψ(g₂),g_T＝ε(g₁,g₂)；VK表示验证密钥VK＝h_s，其中x←Z_p，x为签名密钥，Z_p表示[0,p-1]范围内的所有实数；整个方法的明文空间为[0,2^ω]，其中ω＝σ·γ，σ，γ表示根据方案具体选取的表示明文长度的数值；代表方案从0到2^σ-1的签名组；代表预计算的双线性对；

证明节点的公私钥对为(SK_A,PK_A)，并获得转账节点的公钥PK_B，其中使用的加密方式为：其中为随机数，明文m∈Z_p，长度为ω＝σ·γ比特；其中，g₁为生成公钥的生成元，(x_A1,x_A2)为A的私钥对； 表示选取随机数y₁,y₂对明文m加密的方式、h^m是对明文m进行生成元为h的计算；C₁、C₂、C₃分别为加密密文中的加密参数；

在节点的公共账本中获取用PK_A加密的证明节点的余额t_A的密文 并分别用证明节点的公钥PK_A和转账节点的公钥PK_B对转账金额t进行加密，生成转账密文和C，其中密文和C均使用加法同态加密，在转账密文和C的加密过程中选取的随机数分别为y₁和y₂；其中是计算余额t_A过程中，密文的参数；和为加密余额的随机数，证明节点不知道其具体数值；h^t表示对转账金额t的明文进行生成元为h的计算；表示使用随机数y₁和y₂，并使用转账节点的公钥对转账金额t加密过程中生成的参数；

生成非交互式的零知识证明π：其中r₁,r₂,l,k←Z_p为随机数；j代表0≤j≤γ-1取值中的每一取值，并对应选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，为签名方案，表示利用私钥SK对明文m进行签名，转账金额t由下表示：D₁,D₂的计算公式为： a_j,a′_j的计算公式为其中T表示预计算的双线性对；z₁＝r₁-ey₁,z₂＝r₂-ey₂； 其中e为哈希值，e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1})∈Z_p；

证明节点广播证明π、转账密文和C；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

2.根据权利要求1所述的保护区块链智能合约隐私的方法，其特征在于，证明节点生成证明π的过程分为两个方案，其中第一个方案为：

选取随机数r₁,r₂,l,k←Z_p，并计算对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算： 其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；

根据上述生成的元素，计算哈希值：

e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1})∈Z_p，

并计算：z₁＝r₁-ey₁,z₂＝r₂-ey₂，

最后，A生成的证明为：

以此生成证明π；

第二个方案为：选取随机数r₁,r₂,l,k←Z_p，并计算对于j＝0,1,...,γ-1选取随机数v_j,v′_j,s_j,w_j,q_j,m_j←Z_p，并计算： 其中D₁,D₂中的连乘可以通过先计算指数的和进行优化；选取随机数并计算

根据上述生成的元素，计算的哈希值为：

e＝H(R₁,R₂,{V_j,V′_j}_{j＝0,1,..,γ-1},D₁,D₂,{a_j,a′_j}_{j＝0,1,..,γ-1},α)∈Z_p；

计算

并计算：

最后，第二个方案中A生成的证明为：

3.根据权利要求2所述的保护区块链智能合约隐私的方法，其特征在于，π能证明节点余额密文中的明文不小于转账密文中的明文，同时转账密文中的明文与转账密文C中的明文相等且大于0，证明方法有两个可选方案：

其中第一个可选方案的证明公式为：证明节点使用以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

其中第二个可选方案的证明公式为：证明节点使用以及系统公共参数PP为公共输入，以(SK_A,y₁,y₂,t_A,t)为证据，证明以下论断：存在(SK_A＝(x_A1,x_A2),y₁,y₂,t_A,t)使得下列关系成立：

其中i＝1,2；

t∈[0,(2^σ)^γ],t_A-t∈[0,(2^σ)^γ],令

4.根据权利要求3所述的保护区块链智能合约隐私的方法，其特征在于，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易，验证方法有两个方案，

其中第一个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

其中第二个方案的验证方法为：验证者在获取证明π之后计算e，对于i＝1,2,j＝0,1,..,γ-1，验证下列关系是否全部成立：

5.根据权利要求4所述的保护区块链智能合约隐私的方法，其特征在于，验证方法的第一个方案做如下优化：

验证关系中公式(1)-(3)相同，公式(4)替换为：验证者选取随机数d₀,d₁,..,d_γ-1,d′₀,d′₁,...,d′_γ-1∈Z_p，并检验下列等式是否相等：

6.根据权利要求5所述的保护区块链智能合约隐私的方法，其特征在于，方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

7.一种计算机可读介质，其特征在于，包括介质上存储的计算机程序，所述计算机程序用于执行如权利要求1至6中任一项所述的方法。

8.一种保护区块链智能合约隐私的方法，其特征在于，包括：

证明节点的公私钥对为(sk1,pk1)，并获得转账节点的公钥pk2；

在节点的公共账本中获取用pk1加密的证明节点的余额t1的密文C，并分别用证明节点的公钥pk1和转账节点的公钥pk2对转账金额t进行加密，生成转账密文C1和C2，其中密文C、C1和C2均使用加法同态加密，在转账密文C1和C2的加密过程中选取的随机数分别为y1和y2；

生成非交互式的零知识证明π；

证明节点广播证明π、转账密文C1和C2；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

9.根据权利要求8所述的保护区块链智能合约隐私的方法，其特征在于，证明节点生成证明π的过程为：证明节点使用(pk1,pk2,C,C1,C2)以及系统参数为公共输入，以(sk1,y1,y2,t)为证据，生成证明π。

10.根据权利要求9所述的保护区块链智能合约隐私的方法，其特征在于，π能证明节点余额密文C中的明文不小于转账密文C1中的明文，同时转账密文C1中的明文与转账密文C2中的明文相等且大于0。

11.根据权利要求10所述的保护区块链智能合约隐私的方法，其特征在于，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易。

12.根据权利要求11所述的保护区块链智能合约隐私的方法，其特征在于，方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。

13.一种计算机可读介质，其特征在于，包括介质上存储的计算机程序，所述计算机程序用于执行以下的保护区块链智能合约隐私的方法：

证明节点的公私钥对为(sk1,pk1)，并获得转账节点的公钥pk2；

在节点的公共账本中获取用pk1加密的证明节点的余额t1的密文C，并分别用证明节点的公钥pk1和转账节点的公钥pk2对转账金额t进行加密，生成转账密文C1和C2，其中密文C、C1和C2均使用加法同态加密，在转账密文C1和C2的加密过程中选取的随机数分别为y1和y2；

生成非交互式的零知识证明π；

证明节点广播证明π、转账密文C1和C2；

验证节点收到广播消息后进行计算，验证证明π是否通过，若不通过则流程结束。

14.根据权利要求13所述的计算机可读介质，其特征在于，证明节点生成证明π的过程为：证明节点使用(pk1,pk2,C,C1,C2)以及系统参数为公共输入，以(sk1,y1,y2,t)为证据，生成证明π。

15.根据权利要求14所述的计算机可读介质，其特征在于，π能证明节点余额密文C中的明文不小于转账密文C1中的明文，同时转账密文C1中的明文与转账密文C2中的明文相等且大于0。

16.根据权利要求15所述的计算机可读介质，其特征在于，在生成证明π的过程中，保证只用证明节点本身能生成合法的π，并且若所有节点对π的验证通过，则证明节点请求的交易为有效交易。

17.根据权利要求16所述的计算机可读介质，其特征在于，保护区块链智能合约隐私的方法还包括：

若验证节点验证π通过，则在节点的公共账本上对证明节点和验证节点的余额进行修改。