CN110612547A - 一种用于信息保护的系统和方法 - Google Patents

Abstract

一种计算机实现的信息保护方法，包括：获取与多个账户间的交易相关联的多个加密的交易金额，其中，每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，且每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额被抵消；并将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便所述节点验证所述交易。

Description

一种用于信息保护的系统和方法

技术领域

本公开总体上涉及计算机技术，尤其涉及用于信息保护的系统和方法。

背景技术

隐私对于在各种用户之间的通信和数据传输是重要的。例如，针对发送方、接收方和各方之间的交易金额的信息是隐私保护的重要部分。在没有保护的情况下，用户面临着身份盗窃、非法转账或其他潜在损失的风险。当在线实施通信和转账时，由于在线信息可被自由访问，该风险甚至更高。

发明内容

本公开的各种实施例可以包括用于信息保护的系统、方法和非暂态计算机可读介质。

根据一方面，一种计算机实现的信息保护方法，包括：获取与多个账户间的交易相关联的多个加密的交易金额，其中，每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，并且每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额被抵消，并将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便所述节点验证所述交易。

在一些实施例中，每个所述交易金额的加密通过隐藏每个所述交易金额对于所述一个账户是收入(inbound)还是支出(outbound)而至少隐藏了所述一个账户是发送还是接收所述一个交易金额。

在一些实施例中，在生成所述加和证据之前，所述方法还包括：获取分别针对交易中涉及的所述账户的多个范围证据，所述范围证据至少指示了发送所述交易金额的每个所述账户具有充足的资产。

在一些实施例中，在将所述加密的交易金额和所述加和证据传输至所述一个或多个节点之前，所述方法进一步包括：获得分别来自所述账户的多个签名。将所述加密的交易金额和所述加和证据传输至所述区块链网络上的所述一个或多个节点以便所述节点验证所述交易包括：将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点，以便所述节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易。

在一些实施例中，将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点以便所述节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易包括：将所述加密的交易金额、所述范围证据、所述加和证据以及所述签名传输至所述区块链网络上的所述一个或多个节点；并促使所述节点：验证所述加密的交易金额、所述范围证据、所述加和证据以及所述签名，响应于成功验证所述交易而执行所述交易，并将所述交易添加至由所述区块链网络维护的区块链的新数据区块中。

在一些实施例中，促使所述节点响应于成功验证所述交易而执行所述交易包括：促使所述节点响应于成功验证所述交易而对应地从所述账户的加密的账户余额中扣除所述加密的交易金额。

在一些实施例中，每个所述交易金额的所述加密包括同态加密。

在一些实施例中，每个所述交易金额的所述加密包括佩德森承诺方案(PedersenCommitment scheme)。

根据另一方面，一种信息保护系统包括一个或多个处理器以及一个或多个非暂态计算机可读存储器，所述一个或多个非暂态计算机可读存储器耦接到所述一个或多个处理器并配置有可由所述一个或多个处理器执行以促使所述系统执行以下操作的指令：获取与多个账户中的交易相关联的多个加密的交易金额，其中，每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额已抵消，并将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便节点验证所述交易。

根据另一方面，一种非暂态计算机可读存储介质，配置有可由一个或多个处理器执行的以促使所述系统执行以下操作的指令：获取与多个账户中的交易相关联的多个加密的交易金额，其中，每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额已抵消，并将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便节点验证所述交易。

本文公开的所述系统、方法和非暂态计算机可读介质的这些和其他特征、操作方法、结构的相关元件的功能、部件的组合和制造的经济性，考虑参考附图结合下述说明书和所附权利要求将更加显而易见。本发明的所有附图都形成本说明书的一部分，其中，相同的附图标记表示各附图中的相应部分。然而，应该清楚地理解，附图仅用于说明和描述的目的，并不旨在作为本发明的限制的定义。

附图说明

在所附权利要求中具体阐述了本技术各实施例的特定特征。通过参考以下具体描述，将更好地理解所述技术的特征和优势，该具体描述阐述了利用了本发明的原理的示意性实施例，且附图如下：

图1示出了根据各种实施例的示例性区块链。

图2示出了根据各种实施例的用于信息保护的示例性区块链网络。

图3示出了根据各种实施例的具有混杂的发送方和接收方的示例性交易执行流程。

图4示出了根据各种实施例的用于信息保护的示例性方法的流程图。

图5示出了根据各种实施例的用于信息保护的另一示例性方法的流程图。

图6示出了根据各种实施例的用于信息保护的示例性方法的流程图。

图7示出了可实施本文所述任一实施例的示例性计算机系统的框图。

具体实施方式

现在将详细参考示例性实施例，其示例在附图中示出。以下描述参照附图，其中除非另有所指，否则不同附图中的相同数字代表相同或相似的元件。与本发明一致的示例性实施例的以下描述中所阐述的实施方式不代表与本发明一致的所有实施方式。取而代之的是，它们仅是与所述发明相关的方面一致的系统和方法的示例。

区块链技术可以建立在利用分布式节点共识算法来验证并更新数据的点对点(对等)网络上。区块链也可以使用密码术以确保数据传输和访问的安全，并利用包括自动脚本代码以编程并操纵数据的智能合约。区块链可以包括一系列数据区块，每个数据区块包括链接到前一数据区块的区块头，从而形成数据区块链。为建立链接，当前数据区块的头可以包括前一区块的头的加密哈希值或校验和。区块链网络可以方便交易的执行。交易指代任何用户(用户节点，例如它们的计算设备)之间或者用户与金融实体之间的通信。例如，交易可以指代货品或服务的购买或销售、货品或服务的提供或退回、支付交易、信用交易或其他类似交互。交易还可以指代为“贸易”或“商贸”。交易的主题可以包括，例如，金钱、代币(token)、数字货币、合约、契据、医疗记录、顾客明细、股票、债券、股权或任何其他可以以数字形式描述的资产。

区块链可以被认为是在公有或私有对等网络中记录交易的防篡改的、共享的且数字的账本。账本被分发给网络中的成员节点，且在该网络中发生的资产交易的历史被记录在区块链中。因为区块链账本是公有的且账本自身不具有隐私保护功能，因此账本中的重要交易信息会暴露给公众且面临未经授权的使用或恶意使用的风险。例如，在现有的区块链交易框架中，交易需要明确地指示哪方将发送资产、哪方将接收该资产以及交易资产金额，以上均不受保护。为了至少减轻现有技术中的不足并改善计算机的信息保护功能，参考图1至图7公开了用于信息保护的系统和方法。

图1示出了根据各种实施例的示例性区块链。如图1中所示，区块链100可以包括多个数据区块102。每个区块102为包括数据104的数据结构，该数据104包括诸如交易、支付收据等。每个区块可以通过加密哈希值链接至前一区块。例如，区块2经由区块1的哈希值106链接至区块1，区块n经由另一区块n-1的哈希值链接至区块n-1。当提交并验证了新数据时，可以生成包括新数据的附加区块并通过包括前一区块的哈希值来将附加区块附加至区块链100的最后一个区块。

图2示出了根据各种实施例的用于执行交易的示例性区块链网络200。如图2中所示，区块链网络200可以包括可通过一个或多个通信路径在彼此间通信的多个节点202以及一个或多个用户计算设备240。示例性通信路径为使用一个或多个通信协议(例如，蜂窝、WiFi和其他通信协议)以传输并接收数据的网络220(例如，互联网上的有线或无线连接等)。网络220可以基于点对点和/或客户端/服务器模型。在一些实施例中，多个节点202可以包括计算设备，每个计算设备包括一个或多个处理器204以及耦接至一个或多个处理器204的一个或多个存储器206(例如，存储指令的一个或多个非暂态计算机可读存储介质)。节点202可以是用于提高智能合约安全性的示例性系统。所述一个或多个存储器可以配置有可由一个或多个处理器执行以促使系统(例如，一个或多个处理器)执行本文所述的操作的指令。在一些实施例中，处理器204可以部分地或全部地实现为一个或多个逻辑电路。在一些实施例中，节点202和用户计算设备240可以包括其他计算资源和/或能够访问(例如，通过一个或多个连接/网络)其他计算资源。

在一些实施例中，区块链100以去中心化的方式存储在多个节点202上。在一些实施例中，节点202中的一些可以验证他们已经通过共识接收到的交易并将验证的交易传播到其他节点202。因此，节点202可以根据验证的交易更新账本208。节点202可以经由网络220与另一节点通信以发送和接收与账本208有关的数据。账本208包括已被验证并添加至区块链100的数据区块102。当新数据区块被添加至账本208时，节点202可以经由网络220通信或共享新数据区块。节点202的存储器206可以存储区块链100的账本208的至少一部分。

在一些实施例中，一个或多个用户可以通过用户计算设备240经由通信路径220向一个或多个节点202提交交易。在一些实施例中，所提交的交易可以被暂时存储在驻留于节点202的存储器206中的资源池中或存储在可通过网络220访问的远程数据库中。一个或多个节点202可以从该资源池中检索提交的交易并处理提交的交易。为简洁明了，本公开可以使用节点202的单数形式。本领域的普通技术人员应该理解，区块链网络可以具有多个节点202且一个或多个节点202可涉及处理一个交易。节点202的单数形式可以代表一个或多个节点。

在一些实施例中，节点202可以基于交易结果更新区块链100。在一些实施例中，交易可以涉及两个或多个参与者(也称作诸如发送方和接收方的各方或用户)。交易可以是双方之间用于交换资产的协议。例如，交易可以包括一方向另一方转移或支付一定金额的资产，且支付的金额可以由双方共同协定。资产可以是数字货币的形式，例如，比特币(Bitcoin)、门罗币(Monero)等。可选地，资产可以是传统货币，例如美元。交易的各方可以分别关联有账户。每个交易方账户可以具有存储在区块链100中的地址和余额。因此，在执行交易之后，节点202可以更新每个交易方账户的余额。

在一些实施例中，节点202可以在不知道哪方为发送或支付资产的发送方、以及哪方是接收资产的接收方的情况下执行交易。所公开的系统和方法可以隐藏关于哪方为发送方及哪方为接收方的信息，但仍允许区块链交易的进行。在一些实施例中，可以将待交易的资产金额标为正或负以指示与资产金额关联的一方是发送方还是接收方。例如，在A方和B方之间的交易中，针对A的金额$1000(正)指示A方向B方发送$1000，针对A的金额-$1000(负)则指示A方从B方接收$1000。因此，如果账户A的交易金额大于零，则账户A将向另一账户B支付或发送出交易金额，所以账户A为发送方。相反，如果账户A的交易金额小于零(负)，则账户A随后将接收交易金额，且账户A是接收方。

在一些实施例中，可以通过各种加密方法来加密交易金额。在一示例中，可以通过同态加密来加密交易金额。同态加密方案可以包括但不限于，Elgamal同态加密、Paillier同态加密、Benaloh同态加密、Okamoto-Uchiyama同态加密、Naccache-Stern同态加密、-Jurik同态加密、Boneh-Goh-Nissim同态加密等。在另一示例中，可以通过如同态承诺的承诺(commitment)方案来加密交易金额。例如，该同态承诺可以为Pedersen承诺。交易金额“t”的Pedersen承诺“T”可以表示如下。

T＝PC(r,t)＝rG+tH，

其中r为提供隐藏的随机盲因子(random blinding factor，又可称为绑定因子)，G和H为公开约定的椭圆曲线的生成元或基点，且可被随机选择。例如，r可以为随机数。G和H可以是被节点202所知的参数。承诺方案维持数据保密，并承诺该数据随后不会被数据的发送方更改。接收承诺的一方(例如，交易的接收方节点)只知道承诺值(例如，PC(r,t))，由于随机盲因子(例如，r)的存在，该方不能确定已被承诺的底层数据值(例如，t)。然而，接收承诺的节点202可以运行该承诺并验证被承诺的数据与所隐藏的数据匹配。以这种方式，通过隐藏各方的角色(例如，发送方或接收方)以及通过加密交易金额，第三方实体将不会知道哪方为发送方以及哪方为接收方，从而保护了交易双方的隐私。

Pedersen承诺还具有其他特性：承诺可以相加，且一组承诺的和与数据的和的承诺(其中盲键设置为盲键的总和)相同：

PC(r₁,t₁)+PC(r₂,t₂)＝PC(r₁+r₂,t₁+t₂)。

换句话说，承诺保留相加并适用交换属性，也即Pedersen承诺是相加同态的，其中底层的数据可以进行数学运算就好像其未被加密一样。因此，当对交易方的交易金额和余额应用Pedersen承诺时，可以通过直接对Pedersen承诺相加来利用交易金额更新余额，而不用解密交易金额和/或余额的Pedersen承诺。

在一些实施例中，节点202可以批量执行多个如上所述的交易。例如，除A方和B方间的交易外，C方和D方也可以请求他们间的交易。此外，E方和F方也可以请求彼此间的资产转移。A方和B方间的交易可以与C方和D方间以及E方和F方间的交易混杂。节点202可以一次性执行A、B、C、D、E、F方之间的交易而无需明确指示对应的发送方和接收方。在更复杂的情况下，节点202可以执行多个交易，其中一方(如A方)将向不同方(如B方、C方等)发送不同交易金额的资产。

参考图3，根据各种实施例示出了具有混杂的发送方和接收方的示例性交易执行流程300。交易执行流程300可以在各种系统中实现，所述系统包括，例如，图2中的区块链网络200。交易执行流程300可以通过一个或多个节点202和用户计算设备240实现。以下示出的交易执行流程300的操作是为示意性目的。依据该实施方式，示例性交易执行流程300可以包括以各种顺序或以并行方式执行的附加的、更少的或可选的步骤。

在图3示出的实施例中，方框302中示出了一个或多个交易的参与者及他们的相关账户。例如，各参与者可以与账户“账户A_i”相关联，其中1≤i≤n，且n可以是任意正整数。在一些实施例中，n可以指示参与者的总数。在其他实施例中，i可以不是连续整数，且因此n可以不指示参与者的总数。如在方框302所示的，每个账户“账户A_i”可以包括余额“s_i”，其可以是可用账户“账户A_i”中的资产金额。在一些实施例中，余额“s_1”可以为数字货币的形式，例如比特币等。可选地，余额“s_1”可以代表传统货币。此外，如在方框302所示的，可以通过如上所述的一个或多个同态加密或同态承诺方案加密余额“s_i”以获取加密的余额S_i”。加密的余额“S_i”可以是余额“s_i”的密文并被表示为“HE(s_i)”。因此，

S_i＝HE(s_i)，

其中1≤i≤n，且n可以是任意正整数。例如，账户“账户A_1”包括其余额“s_1”的密文，该密文表示为“S_1”，其中S_1＝HE(s_1)。在一些实施例中，加密的余额“S_i”为Pedersen承诺，且

HE(s_i)＝r_i*G+s_i*H，

其中r为随机盲因子。

在方框304，节点202可以从多个参与者的账户“账户A_i”接收多个交易。在图3所示出的实施例中，每个账户可以关联有诸如“A_i”的账户标识(ID)、交易金额“t_i”、范围证据“Pf_i”及签名“Sig_i”。“签名”表示来自真实身份的核准。术语“签名”可以为任意形式的核准指示。例如，来自账户的与交易相关联的签名表示该账户核准了该交易。在一些实施例中，可以加密交易以至少隐藏每个交易的发送方或接收方的身份。例如，交易可以包括每个交易的实际交易金额的密文，表示为“T_i”，其中

T_i＝HE(t_i)。

可以通过上述的同态加密或同态承诺方案生成交易金额的密文。例如，加密的交易金额“T_i”可以是实际交易金额“t_i”的Pedersen承诺。

范围证据可以是用于在不显露数字的其他信息(例如数字的真实值)的情况下，证明数字处于某一范围的安全证据协议。例如，可以通过包括如博罗米尔环签名(Borromeanring signature)方案、防弹(bullet proof)方案等的方案生成范围证据。其他方案也可以用于生成范围证据。范围证据“Pf_i”可以表示账户“A_i”具有充足的余额使得交易能够进行，例如，账户余额“s_i”大于或等于交易金额“t_i”的绝对值。账户“A_i”的范围证据“Pf_i”可以表示为：

Pf_i＝Pf(s_i-t_i≥0)。

在一些实施例中，可以根据交易生成另一证据，例如

Pf_sum＝Pf(t_1+t_2+...+t_n＝0)。

在下文中该证据可以被称为加和证据，该加和证据用于表示交易金额的和是抵消的，例如，为零。如上所述，发送方的交易金额可以指示为正值，而对应的接收方的交易金额可以指示为负值。与发送方和对应的接收方相关联的交易金额的绝对值相同。以这种方式，节点202可以在发送方和接收方间执行交易，而无需明确指示哪方是发送方以及哪方是接收方。

在以上所描述的示例中，A方将向B方支付$1000，假设A方与账户ID“A_1”相关联而B方与账户ID“A_2”相关联，则与“A_1”相关联的交易金额“t_1”为+$1000，而与“A_2”相关联的交易金额“t_2”为-$1000。可以生成加和证据“Pf_sum”以显示交易金额“t_1”和交易金额“t_2”彼此抵消，且交易金额“t_1”和“t_2”的加和为零。

在一些实施例中，可以基于加密的交易金额HE(t_i)来证明加和证据“Pf_sum”。例如，交易金额的密文HE(t_i)可以通过以下表示

HE(t_i)＝G^{t_i}*H^{r_i}，

其中r_i为随机盲因子，G和H为公开约定的椭圆曲线的生成元或基点，且可以被随机选择。因此，加和证据“Pf_sum”可以为：

Pf(r＝r_1+r_2+…+r_n)。

当验证加和证据时，节点202可以验证以下是否成立

HE(t_1)*…*HE(t_n)＝H^r。

如果HE(t_1)*…*HE(t_n)＝H^r，则表示t_1+t_2+…+t_n＝0，这证明了Pf_sum并且交易金额被抵消。否则，交易金额未被抵消，且可能会有任何错误的交易金额。在一些实施例中，可以使用其他方案来加密交易金额，且因此加和证据和加和证据的验证可以与本文所述的不同。

当存在多个发送方和/或接收方时，每对发送方和接收方之间的交易金额被抵消。在一些实施例中，当发送方将与多个接收方交易时，可以把要发送给多个接收方的所有交易金额的总和设置为发送方的交易金额。例如，当账户“A_1”要向账户“A_2”发送$1000的交易金额并向账户“A_3”发送$2000的交易金额时，账户“A_1”的交易金额为$3000(例如，$1000和$2000的加和)。账户“A_1”的交易金额被账户“A_2”的交易金额(即“-$1000”)和账户“A_3”的交易金额(即“-$2000”)抵消。类似地，交易中的其他交易金额被抵消。可以生成这样的证据并将其与交易相关联。

如上所述，可以从每个账户接收签名，并且签名在图3中表示为“Sig_i”。在一些实施例中，每个账户可以对交易、范围证据和加和证据进行签名，该签名表示为

Sig_i＝Signature(A_1:T_1,Pf_1；…；A_n:T_n,Pf_n；Pf_sum)。

以这种方式，交易中涉及的每个账户都已表示同意Signature()中的各种参数。在一些实施例中，签名可以与交易、范围证据以及加和证据中的一个或多个相关联。

在方框306，节点202可以接收与上述多个账户相关联的交易、范围证据、加和证据以及签名，以用于验证所接收到的交易，所述签名与交易、范围证据以及加和证据中的至少一个相关联。在一些实施例中，节点202可以从在交易参与者之间进行协调的组织者节点接收交易。在一些实施例中，组织者节点可以是由计算设备(未示出但与节点202类似)实现的第三方实体。例如，每个参与者可以通过用户计算设备240向组织者节点发送其账户ID连同加密的交易金额、范围证据等。组织者节点可以基于从参与者接收的交易金额生成加和证据。组织者节点可以向包括节点202的区块链网络200提交与多个账户相关联的交易、每个交易的范围证据、交易的加和证据和所述多个账户各自的签名，所述多个账户各自的签名与交易、范围证据以及加和证据中的至少一个相关联。在一些实施例中，组织者节点可以是参与者中协调其他参与者的那位。可选地，组织者可以是区块链网络200的节点202。组织者节点202可以从参与者处接收与多个账户ID相关联的交易连同每个交易的范围证据、签名，所述签名与交易、范围证据以及加和证据中的至少一个相关联。组织者节点202可以基于从参与者接收的交易金额来执行加和证据。

在方框306，节点202可以验证交易、范围证据、加和证据和签名。响应于交易和相关信息被验证，节点202可以通过更新交易中涉及的每个账户的余额来实现交易。例如，节点202可验证每个账户的签名。在一些实施例中，如果任何签名是无效的，则节点202可以拒绝交易。在每个签名被验证后，节点202可以验证用于每个交易的每个范围证据。在一些实施例中，节点202可以检索加密的余额“S_i”并针对加密的余额“S_i”检查范围证据“Pf_i”。在一些实施例中，节点202可以验证范围证据“Pf_i”自身的有效性。响应于任何范围证据为无效，节点202可以拒绝交易。

在一些实施例中，在验证每个范围证据后，节点202可以验证交易的加和证据。例如，如果加和证据是根据加密的交易金额生成的，则节点202可以根据加密方案验证加和证据，如上参考方框304所述。响应于加和证据无效，节点202可以拒绝交易。在一些实施例中，在验证加和证据后，节点202可以更新每个账户的余额。例如，节点202可以通过从余额“s_i”中减去交易金额“t_i”，即s_i-t_i，来更新余额“s_i”。在上述示例中，其中如果节点202已经验证了交易，则账户“A_1”将向账户“A_2”发送$1000的交易金额，然后节点202可以从账户“A_1”的余额“S_1”中减去$1000并向账户“A_2”的余额“S_2”中添加$1000。在一些实施例中，节点202可以直接更新加密的余额，其表示为S_i-T_i。如上所述，Pedersen承诺是可加和同态性的，且底层的数据可以就好像其未被加密一样进行数学运算。例如，节点202可以通过将交易金额的Pedersen承诺加至余额的Pedersen承诺来更新余额的Pedersen承诺。在方框308，可以获得交易结果。如图3中所示的，在执行交易后，每个账户的余额已被更新为“S_i-T_i”。

以上描述描述了以时间顺序对签名、范围证据和加和证据进行的验证。普通技术人员应当理解验证处理可以具有任何顺序。例如，节点可以以签名、加和证据、范围证据，或者范围证据、加和证据、签名，或者范围证据、签名、加和证据，或者加和证据、范围证据、签名，或者加和证据、签名、范围证据的顺序进行验证。此外，验证是可选的。一些验证，例如范围证据和/或签名，可以省略。

照此，本公开使得能够在具有增强的隐私保护的混杂的发送方和接收方之间同时执行多个交易。也即，发送方和接收方的身份是对公众隐藏的。每个参与者的交易金额可以大于零或小于零。正交易金额指示参与者的账户将消费这笔金额，而负交易金额指示账户将接收这笔金额。此外，本公开还使用同态加密、同态承诺或其他加密方案以加密交易中的每个账户的交易金额和余额，因此使得非参与者不可能知道交易金额是正还是负或者交易金额或余额的真实数字，从而防止非参与者识别出谁是发送方以及谁是接收方。

图4示出了根据各实施例的用于交易执行的示例性方法400的流程图。方法400可以在各种系统中实现，包括例如，图2的区块链网络200的一个或多个组件。示例性方法400可以由一个或多个节点202和/或用户计算设备240实现。在一示例中，方法400可以由组织者节点(例如，节点202之一)实现。在另一示例中，方法400可以由执行交易的一个或多个节点(例如节点202)实现。以下示出的方法400的操作是为示意性目的。依据该实施方式，示例性方法400可以包括以各种顺序或以并行方式执行的附加的、更少的或可选的步骤。

方框401包括获取与多个账户(例如，A_1,A_2,…A_n)间的交易相关联的多个加密的交易金额(例如，HE(t_1),HE(t_2),…,HE(t_n))，其中，每个加密的交易金额与发送或接收交易金额的账户相关联，且每个交易金额的加密至少隐藏了该账户是发送还是接收该交易金额。

在一些实施例中，加密可以由组织节点或由充当交易的发送方或接收方的节点来执行，并由组织节点接收。可以使用各种加密方法来加密交易金额。每个交易金额的加密包括同态加密。例如，每个交易金额的加密可以是同态加密或同态承诺方案(例如，Pedersen承诺方案)。

在一些实施例中，两个或更多个账户之间的资产转移可以被解耦为多个交易，每个交易与发送方账户或接收方账户相关联。每个账户可以与节点202之一相关联。例如，从账户A到账户B的$100的资产转移可以包括与账户A关联的第一交易+$100，其指示账户A消费$100，以及与账户B关联的第二交易-$100，其指示账户B接收$100。再举一个示例，从账户A到账户B的$100的资产转移以及从账户A到账户C的$80的另一资产转移可以包括：与账户A关联的第一交易+$100，其指示账户A消费$180；包括与账户B关联的第二交易-$100，其指示账户B接收$100；包括与账户A关联的第三交易+$80，其指示账户A消费$80；以及包括与账户C关联的第三交易-$80，其指示账户C接收$80。符号“+”和“-”可以互换或变为任何其他可选表示。此外，如图所示，例如，当账户对多个账户进行消费或从多个账户接收时，两个账户可以相同。

此外，在一些实施例中，每个交易金额的加密通过隐藏每个交易金额对于一账户是收入(例如接收资产)还是支出(例如发送资产)来至少隐藏该账户是发送还是接收该交易金额。在从账户A到账户B的$100的资产转移以及从账户A到账户C的$80的资产转移的示例中，通过加密，指示发送方或接收方身份的信息、例如交易金额“+$180”中的“+”以及交易金额“-$100”和“-$80”中的“-”可以被移除。也即，加密的交易金额将不包含指示发送方或接收方身份的信息。即使加密的交易金额可以(但不必)包括“+”或“-”号，该符号也可以不再正确地指示发送方或接收方的身份。因此，交易中发送方和接收方的身份受到保护而不被公众所知。

可选方框402包括：获取分别针对交易中所涉及的账户的多个范围证据(例如Pf_1,Pf_2,…,Pf_n)，范围证据至少指示发送交易金额的每个账户具有充足的资产。具体可以参考上述Pf_1。

方框403包括：基于获取的加密的交易金额生成加和证据(例如，Pf_sum)，加和证据至少指示交易金额被抵消。具体可以参考上述Pf_sum。例如，组织者节点可以获取加密的交易金额并确定以下是否成立：

HE(t_1)*…*HE(t_n)＝H^r_1*H^r_2*…*H^r_n＝H^r。

如果HE(t_1)*…*HE(t_n)＝H^r，则表明t_1+t_2+…+t_n＝0，因此组织节点验证交易金额被抵消。否则，交易金额未被抵消，则组织节点可以拒绝该交易。利用加密和加密的同态特性，组织节点甚至可以在不知道底层的交易金额以及交易金额为收入还是支出的情况下执行这样的验证。

可选方框404包括获取分别对应于多个账户的多个签名(例如，Sig_1,Sig_2,…,Sig_n)。签名与加密的交易金额、范围证据和加和证据中的至少一个相关联。具体可以参考上述Sig_i。签名处理可以遵循数字签名算法(Digital Signature Algorithm,DSA)，例如椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm,ECDSA)，其中签名的接收方(例如，验证交易的节点)可以利用签名者(例如，参与交易的节点)的公钥验证签名以认证所签名的数据。

方框405包括将加密的交易金额和加和证据传输至区块链网络上的一个或多个节点(例如，共识节点)，以供节点对交易进行验证。在一些实施例中，将加密的交易金额和加和证据传输至区块链网络上的一个或多个节点以供节点对交易进行验证包括：将加密的交易金额、范围证据、加和证据以及签名传输至区块链网络上的一个或多个节点，以供节点基于加密的交易金额、范围证据、加和证据以及签名对交易进行验证。

在一些实施例中，将加密的交易金额、范围证据、加和证据以及签名传输至区块链网络上的一个或多个节点以供节点基于加密的交易金额、范围证据、加和证据以及签名对交易进行验证包括：将加密的交易金额、范围证据、加和证据和签名传输至区块链网络上的一个或多个节点；以及促使节点：验证加密的交易金额、范围证据、加和证据和签名，响应于交易的成功验证而执行交易，并将交易添加至由区块链网络维护的区块链的新数据区块中。利用加密和加密的同态特性，节点甚至可以在不知道底层交易金额以及交易金额是收入还是支出的情况下执行这样的验证。

在一些实施例中，促使节点响应于交易的成功验证而执行交易包括：促使节点响应于交易的成功验证从账户的加密的账户余额(例如，S_i)中对应地扣除加密的交易金额(T_i)。由于同态特性，(S_i-T_i)可以在保持余额被加密的情况下根据交易更新余额。

照此，所公开的系统和方法允许在参与者账户之间执行交易而不公开哪个账户为发送方以及哪个账户为接收方。虽然底层交易金额可以大于零或小于零以指示发送方或接收方，但是定制的加密可以用于隐藏交易金额使得交易金额不能被非参与者用来指示发送方或接收方。此外，多个交易中的参与账户可以以任意顺序混杂在一起，而不指示它们是要发送资产还是接收资产。并且可以批量进行多个交易或资产转移。以这种方式，实现了参与账户的隐私保护，这改善了计算机的功能并使在线交易更加安全。

图5示出了根据各种实施例的用于交易执行的另一示例性方法500的流程图。方法500可以在包括例如图2中的区块链网络200的一个或多个组件的各种系统中实现。示例性方法500可以由一个或多个节点202和/或用户计算设备240实现。以下示出的方法500的操作是为示意性目的。依据该实施方式，示例性方法500可以包括以各种顺序或以并行方式执行的附加的、更少的或可选的步骤。

在方框502，可以接收与多个账户关联的加密的交易、用于每个交易的范围证据、交易的加和证据和来自各个账户的签名，所述各个账户的签名与加密的交易、范围证据以及加和证据中的至少一个相关联。在方框504，可以验证加密的交易、用于每个交易的范围证据、交易的加和证据和多个账户中每个账户的签名。在步骤506，可以基于验证通过更新各个账户的余额来实现交易。

图6示出了根据各种实施例的用于交易验证的示例性方法600的流程图。方法600可以在各种系统中实现，包括例如，图2中的区块链网络200的一个或多个组件。示例性方法600可以由一个或多个节点202和/或用户计算设备240实现。例如，方法600可以对应于方法500中的方框504。以下示出的方法600的操作是为示意性目的。依据该实施方式，示例性方法600可以包括以各种顺序或以并行方式执行的附加的、更少的或可选的步骤。

在方框602，可以确定签名是否有效。如果确定任何签名无效，则在方框604可以拒绝交易。如果确定每个签名都有效，则在方框606可以确定每个交易的范围证据是否有效。如果确定任何范围证据无效，则方法600进行到方框604并且可以拒绝交易。如果确定每个范围证据都有效，则在方框608可以确定加和证据是否有效。如果确定加和证据无效，则方法600进行到方框604并且可以拒绝交易。如果确定加和证据有效，则方法600进行到方框610并且可以基于与账户关联的交易金额来更新每个账户的余额。以上描述以一定顺序描述了验证。普通技术人员应当理解验证可以具有任何顺序。

本文所述的技术通过一个或多个专用计算设备实现，专用计算设备可以为台式计算机系统、服务器计算机系统、便携式计算机系统、手持设备、网络设备或任何包含硬接线和/或程序逻辑以实现这些技术的其他设备或设备的组合。

图7是示出了可在其中实施本文所述任一实施例的示例性计算机系统700的框图。系统700可以对应于以上参考图2描述的节点202或用户计算设备240。计算机系统700包括总线702或其他用于传送信息的通信机制、与总线702耦合的用于处理信息的一个或多个硬件处理器704。硬件处理器704可以为，例如，一个或多个通用微型处理器。

计算机系统700还包括主存储器706，例如随机存取存储器(RAM)、高速缓存和/或其他动态存储设备，其耦合到总线702用于存储信息和将被处理器704执行的指令。主存储器706还可以用于存储在执行将由处理器704执行的指令期间的临时变量或其他中间信息。此种指令，当存储于可由处理器704访问的存储介质中时，致使计算机系统700变成被定制为执行指令指定的操作的专用机器。计算机系统700还包括耦合到总线702的、用于存储用于处理器704的静态信息和指令的只读存储器(ROM)708或其他静态存储设备。存储设备(storage device)710，例如磁盘、光盘或USB拇指硬盘(闪存)等，被提供并耦合至总线702用于存储信息和指令。

计算机系统700可以使用与计算机系统组合促使计算机系统700作为专用机器或将计算机系统700编程为专用机器的定制的硬接线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑实现本文所述的技术。根据一实施例，本文所述的操作、方法和处理由计算机系统700响应于处理器704执行包含在主存储器706中的一个或多个指令的一个或多个序列而执行。这样的指令可以从另一存储介质，如存储设备710，被读入主存储器706。执行包含在主存储器706中的指令的序列促使处理器704执行本文所述的处理步骤。在可选实施例中，硬接线电路可以代替软件指令或与其组合使用。

处理器704可以对应于上述处理器204，且主存储器706、ROM 708和/或存储710可以对应于上述存储器206。主存储器706、ROM 708和/或存储710可以包括非暂态存储介质。本文使用的术语“非暂态介质”和类似术语指代存储促使机器以特定方式运行的指令和/或数据的任何介质。这样的非暂态介质可以包括非易失性介质和/或易失性介质。非易失性介质包括，例如，光盘或磁盘，如存储设备710。易失性介质包括动态存储器，例如主存储器706。常规形式的非易失性介质包括，例如，软磁盘、软盘、硬盘、固态硬盘、磁带或其他任何磁性数据存储介质、CD-ROM、任何其他光学数据存储介质、任何具有穿孔图案的物理介质、RAM、PROM和EPROM、FLASH-EPROM、NVRAM、任何其他存储芯片或盒式磁带、以及以上的网络版本。

计算机系统700还包括耦合到总线702的通信接口718。通信接口718提供耦合到连接至一个或多个本地网络的一个或多个网络链路的双向数据通信。例如，通信接口718可以为综合业务数字网络(ISDN)卡、电缆调制解调器、卫星调制解调器或用以提供至对应类型的电话线路的数据通信连接的调制解调器。作为另一示例，通信接口718可以为局域网(LAN)卡，以提供至可兼容LAN(或与WAN通信的WAN组件)的数据通信连接。也可以实施无线链路。在任何这样的实施方式中，通信接口718发送并接收电的、电磁的或光学信号，该信号携带代表各种类型的信息的数字数据流。

计算机系统700可以通过网络、网络链路和通信接口718发送并接收包括程序代码的数据。在互联网示例中，服务器可以通过互联网、ISP、本地网络和通信接口718传输所请求的用于应用程序的代码。代码被接收后，所接收的代码可以由处理器704执行，和/或存储在存储设备710中，或其他非易失性存储设备中用于随后的执行。

先前部分中描述的每个方案、机制、解决方案、处理、方法和算法可以嵌入由一个或多个包括计算机硬件的计算机系统或计算机处理器执行的代码模块并由该代码模块全部或部分地自动化操作。处理和算法可以部分或整体地在专用电路中实现。在一些实施例中，处理器704可以部分或整体地实现为上述一个或多个逻辑电路。

上述各种特征和处理可以独立于彼此使用或以各种方式组合使用。所有可能的组合和子组合旨在落入本公开范围内。此外，可以在一些实施例中省略特定方法或处理方框。本文所述的方法和处理也不限制于任何特定次序，且与之有关的状态或方框可以以其他合适的次序进行。例如，所描述的方框或状态可以按不同于所特定公开的顺序执行，或多个方框或状态可以组合在单个方框或状态中。示例方框或状态可以按连续、并行或一些其他方式执行。可以向所公开的示例实施例添加方框或状态或从其中移除方框或状态。本文所述的示例系统和组件可以被配置为不同于所描述的那样。例如，对比于公开的示例实施例，可以向其中添加、从中移除或重新排列元件。

可以通过算法至少部分地执行本文所述的示例方法的各种操作。算法可以包括在存储于存储器(例如，上述非暂态计算机可读存储介质)中的程序代码或指令中。这样的算法可以包括机器学习算法。在一些实施例中，机器学习算法可以不确切地将计算机编程以执行功能，但可以从训练数据中学习以建立执行该功能的预测模型。

本文所述的示例方法的各种操作可以至少一部分地由一个或多个处理器执行，所述一个或多个处理器暂时性地配置(例如，通过软件)为或永久性地配置为执行相关操作。无论暂时性地还是永久性地配置，这样的处理器都可以构建进行操作以执行本文所述的一个或多个操作或功能的由处理器实现的引擎。

类似地，本文所述方法可以至少一部分地由处理器实现，其中特定处理器或多个处理器作为硬件的示例。例如，方法的至少一些操作可以由一个或多个处理器或者由处理器实现的引擎执行。此外，一个或多个处理器还可以进行操作以支持“云计算”环境中的相关操作的性能或作为“软件即服务(SaaS)”。例如，至少一些操作可以由一组计算机(例如包括处理器的机器)执行，这些操作可经由网络(例如互联网)并且经由一个或多个合适的接口(例如应用程序接口(API))访问。

特定操作的性能可以在处理器之间分配，即不仅驻留于单个机器中，而且部署在多个机器上。在一些示例实施例中，处理器或由处理器实现的引擎可以位于单个地理位置(例如，在家庭环境、办公环境或服务器群中)。在其他示例实施例中，处理器或由处理器实现的引擎可以分布在多个地理位置。

在整个说明书中，多个示例可以实现被描述为单个示例的组件、操作或结构。尽管一个或多个方法的各个操作被示出为或描述为单独的操作，但是可以同时执行单独操作中的一个或多个，且无需按所示顺序执行操作。示例配置中作为单独组件呈现的结构和功能可以实现为组合的结构或组件。类似地，作为单个组件呈现的结构和功能可以实现为单独的组件。这些和其他变化、修改、附加和改进都落入本文主题的范围内。

本文所描述的和/或附图中所描绘的任何处理描述、元件或流程图中的方框应被理解为潜在地表示包括用于实现处理中的特定逻辑功能或步骤的一个或多个可执行指令的模块、片段或代码的部分。可选实施方式包括在本文所描述的实施例的范围内，其中元件或功能可以取决于所涉及的功能，如本领域人员理解的那样，按所示出或讨论的顺序之外的顺序被删除或执行，包括基本上同时或以相反的顺序。

尽管已经参考特定示例实施例描述了主题的概况，还是可以在不脱离本公开的实施例的宽泛范围的情况下，对这些实施例进行修改和改变。本主题的这些实施例可以单独地或共同地通过术语“发明”在本文中仅仅为了方便而提及，并且如果实际上不止一个被公开，则不旨在将本申请的范围主动地限制于任何单个公开或概念。

以充足的细节描述了本文所示出的实施例，使得本领域技术人员能够实现所公开的教导。可以使用其他实施例或从中推导出其他实施例，使得可以在不脱离本公开范围的情况下产生结构和逻辑替换和变化。因此，具体实施方式不应被视为具有限制意义，并且各种实施例的范围仅由所附权利要求以及这些权利要求所赋予的等同物的全部范围来限定。

Claims (20)

1.一种计算机实现的信息保护方法，包括：

获取与多个账户间的交易相关联的多个加密的交易金额，其中：

每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，以及

每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；

基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额被抵消；以及

将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便所述节点验证所述交易。

2.如权利要求1所述的方法，其中，每个所述交易金额的加密通过隐藏每个所述交易金额对于所述一个账户是收入还是支出，而至少隐藏了所述一个账户是发送还是接收所述一个交易金额。

3.如权利要求1所述的方法，在生成所述加和证据之前，所述方法还包括：

获取分别针对所述交易中涉及的所述账户的多个范围证据，所述范围证据至少指示发送所述交易金额的每个所述账户具有充足的资产。

4.如权利要求3所述的方法，在将所述加密的交易金额和所述加和证据传输至所述一个或多个节点之前，进一步包括：获得分别来自所述账户的多个签名，其中，

将所述加密的交易金额和所述加和证据传输至所述区块链网络上的所述一个或多个节点以便所述节点验证所述交易包括：将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点，以便所述节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易。

5.如权利要求4所述的方法，其中，将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点，以便所述节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易包括：

将所述加密的交易金额、所述范围证据、所述加和证据以及所述签名传输至所述区块链网络上的所述一个或多个节点；以及

促使所述节点：

验证所述加密的交易金额、所述范围证据、所述加和证据以及所述签名，

响应于成功验证所述交易而执行所述交易，以及

将所述交易添加至由所述区块链网络维护的区块链的新数据区块中。

6.如权利要求5所述的方法，促使所述节点响应于成功验证所述交易而执行所述交易，包括：

促使所述节点响应于成功验证所述交易而对应地从所述账户的加密的账户余额中扣除所述加密的交易金额。

7.如权利要求1所述的方法，其中，每个所述交易金额的所述加密包括同态加密。

8.如权利要求1所述的方法，其中，每个所述交易金额的所述加密包括佩德森承诺方案。

9.一种信息保护系统，包括一个或多个处理器以及一个或多个非暂态计算机可读存储器，所述一个或多个非暂态计算机可读存储器耦接到所述一个或多个处理器并配置有能够由所述一个或多个处理器执行以促使所述系统执行以下操作的指令：

获取与多个账户间的交易相关联的多个加密的交易金额，其中：

每个所述加密的交易金额与发送或接收一个所述交易金额的一个所述账户相关联，以及

每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；

基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额被抵消；以及

将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便所述节点验证所述交易。

10.如权利要求9所述的系统，其中，每个所述交易金额的加密通过隐藏每个所述交易金额对于所述一个账户是收入还是支出，而至少隐藏了所述一个账户是发送还是接收所述一个交易金额。

11.如权利要求9所述的系统，其中，在生成所述加和证据之前，所述操作还包括：

获取分别针对所述交易中涉及的所述账户的多个范围证据，所述范围证据至少指示发送所述交易金额的每个所述账户具有充足的资产。

12.如权利要求11所述的系统，其中：

在将所述加密的交易金额和所述加和证据传输至所述一个或多个节点之前，所述操作进一步包括：获得分别针对所述账户的多个签名，其中，

将所述加密的交易金额和所述加和证据传输至所述区块链网络上的所述一个或多个节点以便节点验证所述交易包括：将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点，以便节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易。

13.如权利要求12所述的系统，其中，将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点以便节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易包括：

将所述加密的交易金额、所述范围证据、所述加和证据以及所述签名传输至所述区块链网络上的所述一个或多个节点；以及

促使所述节点：

验证所述加密的交易金额、所述范围证据、所述加和证据以及所述签名，

响应于成功验证所述交易而执行所述交易，以及

将所述交易添加至由所述区块链网络维护的区块链的新数据区块中。

14.如权利要求13所述的系统，其中，促使所述节点响应于成功验证所述交易而执行所述交易包括：

促使所述节点响应于成功验证所述交易而对应地从所述账户的加密的账户余额中扣除所述加密的交易金额。

15.如权利要求9所述的系统，其中，每个所述交易金额的所述加密包括同态加密。

16.如权利要求9所述的系统，其中，每个所述交易金额的所述加密包括佩德森承诺方案。

17.一种非暂态计算机可读存储介质，配置有能够由一个或多个处理器执行以促使所述一个或多个处理器执行操作的指令，所述操作包括：

获取与多个账户间的交易相关联的多个加密的交易金额，其中：

每个所述加密的交易金额与发送或接收一个所述交易金额一个所述账户相关联，以及每个所述交易金额的加密至少隐藏了所述一个账户是发送还是接收所述一个交易金额；

基于所获取的加密的交易金额生成加和证据，所述加和证据至少指示所述交易金额被抵消；以及

将所述加密的交易金额和所述加和证据传输至区块链网络上的一个或多个节点以便所述节点验证所述交易。

18.如权利要求17所述的存储介质，其中，每个所述交易金额的加密通过隐藏每个所述交易金额对于所述一个账户是收入还是支出，而至少隐藏了所述一个账户是发送还是接收所述一个交易金额。

19.如权利要求17所述的存储介质，其中：

在生成所述加和证据之前，所述操作还包括：获取分别针对所述交易中涉及的所述账户的多个范围证据，所述范围证据至少指示发送所述交易金额的每个所述账户具有充足的资产；

在将所述加密的交易金额和所述加和证据传输至所述一个或多个节点之前，所述操作进一步包括：获得分别针对所述账户的多个签名；以及

将所述加密的交易金额和所述加和证据传输至所述区块链网络上的所述一个或多个节点以便节点验证所述交易包括：将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点，以便节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易。

20.如权利要求19所述的存储介质，其中，将所述加密的交易金额、所述范围证据、所述加和证据和所述签名传输至所述区块链网络上的所述一个或多个节点以便节点基于所述加密的交易金额、所述范围证据、所述加和证据和所述签名来验证所述交易包括：

将所述加密的交易金额、所述范围证据、所述加和证据以及所述签名传输至所述区块链网络上的所述一个或多个节点；以及

促使所述节点：

验证所述加密的交易金额、所述范围证据、所述加和证据以及所述签名，

响应于成功验证所述交易而执行所述交易，以及将所述交易添加至由所述区块链网络维护的区块链的新数据区块中。