CN111222157A - 区块链隐私数据的查询方法及装置 - Google Patents

Abstract

本说明书一个或多个实施例提供一种区块链隐私数据的查询方法及装置，应用于区块链网络中的区块链节点；所述方法包括：接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；确定所述查询方被分配的针对所述目标隐私数据的查询配额；在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

Description

区块链隐私数据的查询方法及装置

技术领域

本说明书一个或多个实施例涉及区块链技术领域，尤其涉及一种区块链隐私数据的查询方法及装置。

背景技术

区块链技术构建在传输网络(例如点对点网络)之上。传输网络中的网络节点利用链式数据结构来验证与存储数据，并采用分布式节点共识算法来生成和更新数据。

目前企业级的区块链平台技术上最大的两个挑战就是隐私和性能，往往这两个挑战很难同时解决。大多解决方案都是通过损失性能换取隐私，或者不大考虑隐私去追求性能。常见的解决隐私问题的加密技术，如同态加密(Homomorphic encryption)和零知识证明(Zero-knowledge proof)等复杂度高，通用性差，而且还可能带来严重的性能损失。

可信执行环境(Trusted Execution Environment,TEE)是另一种解决隐私问题的方式。TEE可以起到硬件中的黑箱作用，在TEE中执行的代码和数据操作系统层都无法偷窥，只有代码中预先定义的接口才能对其进行操作。在效率方面，由于TEE的黑箱性质，在TEE中进行运算的是明文数据，而不是同态加密中的复杂密码学运算，计算过程效率没有损失，因此与TEE相结合可以在性能损失较小的前提下很大程度上提升区块链的安全性和隐私性。目前工业界十分关注TEE的方案，几乎所有主流的芯片和软件联盟都有自己的TEE解决方案，包括软件方面的TPM(Trusted Platform Module，可信赖平台模块)以及硬件方面的Intel SGX(Software Guard Extensions,软件保护扩展)、ARM Trustzone(信任区)和AMDPSP(Platform Security Processor，平台安全处理器)。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种区块链隐私数据的查询方法及装置。

为实现上述目的，本说明书一个或多个实施例提供技术方案如下：

根据本说明书一个或多个实施例的第一方面，提出了一种区块链隐私数据的查询方法，应用于区块链网络中的区块链节点；所述方法包括：

接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；

确定所述查询方被分配的针对所述目标隐私数据的查询配额；

在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

根据本说明书一个或多个实施例的第二方面，提出了一种区块链隐私数据的查询装置，应用于区块链网络中的区块链节点；所述装置包括：

接收单元，接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；

确定单元，确定所述查询方被分配的针对所述目标隐私数据的查询配额；

更新单元，在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

根据本说明书一个或多个实施例的第三方面，提出了一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。

根据本说明书一个或多个实施例的第四方面，提出了一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现如第一方面所述方法的步骤。

附图说明

图1是一示例性实施例提供的一种区块链隐私数据的查询方法的流程图。

图2是一示例性实施例提供的一种创建智能合约的示意图。

图3是一示例性实施例提供的一种调用智能合约的示意图。

图4是一示例性实施例提供的一种设备的结构示意图。

图5是一示例性实施例提供的一种区块链隐私数据的查询装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。

需要说明的是：在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本说明书所描述的更多或更少。此外，本说明书中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本说明书中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。

区块链一般被划分为三种类型：公有链(Public Blockchain)，私有链(PrivateBlockchain)和联盟链(Consortium Blockchain)。此外，还有多种类型的结合，比如私有链+联盟链、联盟链+公有链等不同组合形式。其中去中心化程度最高的是公有链。公有链以比特币、以太坊为代表，加入公有链的参与者可以读取链上的数据记录、参与交易以及竞争新区块的记账权等。而且，各参与者(即节点)可自由加入以及退出网络，并进行相关操作。私有链则相反，该网络的写入权限由某个组织或者机构控制，数据读取权限受组织规定。简单来说，私有链可以为一个弱中心化系统，参与节点具有严格限制且少。这种类型的区块链更适合于特定机构内部使用。联盟链则是介于公有链以及私有链之间的区块链，可实现“部分去中心化”。联盟链中各个节点通常有与之相对应的实体机构或者组织；参与者通过授权加入网络并组成利益相关联盟，共同维护区块链运行。

不论是公有链、私有链还是联盟链，都可能存在数据隐私保护的需求。对于支持隐私保护功能的区块链网络而言，区块链节点所维护的区块数据(即呈现为链式结构的若干区块)、账本数据(比如外部账户数据、合约账户数据、合约代码、合约状态、交易收据等)等均以密文形式进行存储，使得即便被获取也不会造成损失，而只有通过区块链节点上配置的可信执行环境才能够对存储的密文数据进行解密。在相关技术中，可以通过对用户进行权限管理，以控制该用户对隐私数据(比如上述密文形式存储的数据)的获取，确保仅有获得权限的用户可以获得可信执行环境解密后的明文数据。但是，针对用户的权限管理需求可能是动态的，导致管理员需要频繁针对用户赋予和回收权限，很容易造成遗漏或误操作，从而产生数据安全风险。

针对上述情况，本说明书提出了一种基于查询配额的隐私数据查询方案，使得权限的回收操作无需管理员手动实施，以解除上述的数据安全风险。

图1是一示例性实施例提供的一种区块链隐私数据的查询方法的流程图。如图1所示，该方法应用于区块链网络中的区块链节点，可以包括以下步骤：

步骤102，接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处。

区块链网络包含若干成员，这些成员在区块链网络中存在相应的区块链节点，其中每一成员可以对应于一个或多个区块链节点。区块链网络中的成员可能存在多种类型的身份，比如具有管理权限的管理员、不具有管理权限的普通用户或者其他身份等。

查询方可以为任意希望对隐私数据进行查询的用户。例如，查询方可以为区块链网络的成员，或者查询方可以为并非成员的其他用户，本说明书并不对此进行限制。查询方通过向区块链网络中提交一笔区块链交易，即上述的查询交易，该查询交易中可以包含目标隐私数据的描述信息，以使得区块链节点满足查询方的查询需求。查询方可以在客户端上生成查询交易，而上述的区块链节点可以从该客户端处接收该查询交易；或者，客户端可以将查询交易发送至另一区块链节点，而上述的区块链节点可以从该另一区块链节点处接收该查询交易；或者，上述的区块链节点可以通过其他方式获得该查询交易。

上述的目标隐私数据可以包括指定交易，即该指定交易的原始交易本身，可以在查询交易中包含该指定交易的交易哈希，以基于该交易哈希查询到该指定交易。

上述的目标隐私数据可以包括上述指定交易执行后产生的收据(receipt)，该收据用于记录该指定交易的交易执行结果的相关信息。以以太坊为例，节点执行交易所得的收据数据可以包括如下内容：Result字段，表示交易的执行结果；Gas used字段，表示交易消耗的gas值；Logs字段，表示交易产生的日志，日志可以进一步包括From字段、To字段、Topic字段和Log data字段等，其中From字段表示调用的发起方的账户地址、To字段表示被调用对象(如智能合约)的账户地址、Topic字段表示日志的主题、Log data字段表示日志数据；Output字段，表示交易的输出。

此处提及的智能合约是指在区块链系统上可以被交易触发执行的合约。以以太坊为例，支持用户在以太坊网络中创建并调用一些复杂的逻辑，这是以太坊区别于比特币区块链技术的最大挑战。以太坊作为一个可编程区块链的核心是以太坊虚拟机(EVM)，每个以太坊节点都可以运行EVM。EVM是一个图灵完备的虚拟机，这意味着可以通过它实现各种复杂的逻辑。用户在以太坊中发布和调用智能合约就是在EVM上运行的。实际上，虚拟机直接运行的是虚拟机代码(虚拟机字节码，下简称“字节码”)。部署在区块链上的智能合约可以是字节码的形式。

例如图2所示，Bob将一个包含创建智能合约信息的交易发送到以太坊网络后，节点1的EVM可以执行这个交易并生成对应的合约实例。图中2中的“0x6f8ae93…”代表了这个合约的地址，交易的data字段保存的可以是字节码，交易的to字段为空。节点间通过共识机制达成一致后，这个合约成功创建，并且可以在后续过程中被调用。合约创建后，区块链上出现一个与该智能合约对应的合约账户，并拥有一个特定的地址，合约代码将保存在该合约账户中。智能合约的行为由合约代码控制。换句话说，智能合约使得区块链上产生包含合约代码和账户存储(Storage)的虚拟账户。例如图3所示，仍以以太坊为例，Bob将一个用于调用智能合约的交易发送到以太坊网络后，某一节点的EVM可以执行这个交易并生成对应的合约实例。图中3中交易的from字段是交易发起方(即Bob)的账户的地址，to字段中的“0x6f8ae93…”代表了被调用的智能合约的地址，value字段在以太坊中是以太币的值，交易的data字段保存的调用智能合约的方法和参数。智能合约以规定的方式在区块链网络中每个节点独立的执行，所有执行记录和数据都保存在区块链上，所以当交易完成后，区块链上就保存了无法篡改、不会丢失的交易凭证。

上述的目标隐私数据可以包括指定账户，比如该指定账户可以为外部账户(externally owned accounts)或合约账户(contract accounts)。以以太坊为例，该指定账户中可以包括balance、nonce、codeHash(外部账户为空)、storageRoot(外部账户为空)等字段，获取该指定账户实际上是获取这些字段的取值。

上述的目标隐私数据可以包括合约数据，该合约数据可以包括合约代码(如上述的字节码，或者高级语言编写、可编译为字节码的代码)和/或该合约代码所涉及的合约状态的取值等。

上述的目标隐私数据可以包括链数据，该链数据可以包括区块链网络中的交易总数量、合约总数量、某一或全部合约的调用次数、某一或全部合约的所含数据量等。

除了上述列举的多种类型之外，目标隐私数据还可以存在其他类型，本说明书并不对此进行限制。基于查询方的设置，目标隐私数据可以同时包含上述的一种或多种类型的数据，本说明书并不对此进行限制。

步骤104，确定所述查询方被分配的针对所述目标隐私数据的查询配额。

通过向查询方分配查询配额，使得查询方可以在查询配额尚未耗尽之前拥有针对目标隐私数据的查询权限，此时区块链节点可以将可信执行环境中解密得到的解密后数据提供至该查询方。以及，在查询配额耗尽的情况下，相当于查询方丧失了针对目标隐私数据的查询权限，此时区块链节点不会向查询方提供解密后数据，而无需由管理员进行手动配置。

查询配额可以存在多种可能的表征维度。例如，查询配额可以包括以下至少之一：剩余查询次数、剩余查询时长、剩余查询数据量等，当然本说明书并不对此进行限制。

查询配额可以包括对应于目标隐私数据的专用查询配额。专用查询配额即专用于目标隐私数据的查询配额，而无法应用于其他的隐私数据。因此，查询方可能存在多个专用查询配额，以用于对多个隐私数据分别进行查询权限管理。

查询配额可以包括对应于目标隐私数据所属数据类别的类别查询配额。类别查询配额可用于目标隐私数据所属数据类别的所有数据，使得查询方可以针对这些数据进行查询，即该类别查询配额可以在这些数据之间实现共享。

查询配额可以包括对应于所有隐私数据的通用查询配额。通用查询配额可用于所有隐私数据，而不论这些隐私数据所属的数据类别等，使得查询方可以针对这些数据进行查询，即该通用查询配额可以在所有数据之间实现共享。

当然，查询方可以同时拥有上述的一种或多种查询配额，以适应于查询方多样化的隐私数据查询需求。

查询方可以通过线上与线下相结合的方式，申请获得或增加上述的查询配额。例如，查询方可以与目标隐私数据的权限控制方达成线下协议，即权限控制方同意向该查询方开放对应于该目标隐私数据的指定量的查询配额。那么，权限控制方可以通过向区块链网络发起配额管理交易，使得区块链节点可以接收并执行该配额管理交易，以调整查询方对应的查询配额的取值，比如增加剩余查询次数、延长剩余查询时长、增加剩余查询数据量等，其中配额管理交易中可以包含查询配额的变化量或者变化后取值。

目标隐私数据的权限控制方可以存在多种身份类型。例如，权限控制方可以为普通用户，而目标隐私数据可以与该普通用户之间存在一定关联，才使得该普通用户能够对该目标隐私数据进行权限控制，比如该目标隐私数据对应的交易由该普通用户发起或者该交易调用的智能合约由该普通用户部署等。查询方的查询配额可以被记录于该普通用户所部署的用户智能合约中，使得区块链节点可以通过执行上述的配额管理交易来调用该用户智能合约，并对用户智能合约中对应于该查询配额的合约状态进行取值调整。其中，上述的普通用户可以通过诸如图2所示的实施例实现对上述用户智能合约的部署，此处不再赘述。

再例如，权限控制方可以为管理员，该管理员可以对区块链网络中的所有数据实现权限控制，包括上述的目标隐私数据。查询方的查询配额可以被记录于系统智能合约中，使得区块链节点可以通过执行上述的配额管理交易来调用该系统智能合约，并对该系统智能合约中对应于该查询配额的合约状态进行取值调整。系统智能合约区别于上述的用户智能合约，该系统智能合约无法由普通用户随意部署，而需要由管理员部署，其部署过程类似于图2所示的实施例；其中，区块链网络中可以包括多个管理员，那么系统智能合约可以由任一管理员部署，但是用于部署该系统智能合约的交易需要由部署的管理员签名，有时还需要其他的管理员签名且需要确保签名管理员在所有管理员中所占的比例不少于预设比例。类似地，当管理员发起上述的配额管理交易时，同样可以要求该配额管理交易由区块链网络中不少于预设比例的管理员进行签名。

查询方可以通过线上方式申请获得或增加上述的查询配额。例如，查询方的查询配额可以被记录于某一智能合约中，那么查询方可以通过上述的配额申请交易调用该智能合约，调用方式可以参考上述如图3所示的实施例；相应地，区块链接收到查询方发起的配额申请交易后，通过执行该配额申请交易来调用上述的智能合约，该智能合约所实现的逻辑可以用于调整其自身记录的查询配额的取值，使得查询方对应的查询配额得以更新(通常为取值增加)。

通过提供一些限制条件，可以避免查询方通过发起配额申请交易来随意发起线上的查询配额申请。例如，配额申请交易在调用上述的智能合约来申请查询配额时，该智能合约除了可以用于更新查询方对应的查询配额的取值之外，还需要转移该查询方在区块链网络上持有的至少一部分区块链资产，以作为其申请查询配额的代价，且转移的区块链资产的数量可以正相关于申请的查询配额的数量。由于查询方所持有的区块链资产的数量有限，因而通过上述方案可以在一定程度上限制查询方随意申请查询配额。其中，区块链资产可以包括任意类型，比如可以在查询方加入区块链网络时由系统分配、基于查询方的行为进行分配(如查询方取得记账权并完成区块打包上链后分配)、由其他成员转移至查询方、基于锚定的线下资产而分配至查询方等，本说明书并不对此进行限制。

例如，在目标隐私数据的权限控制方为普通用户、上述智能合约包括该权限控制方部署的用户智能合约的情况下，查询方发起的配额申请交易可以用于将查询方持有的至少一部分区块链资产转移至该权限控制方，以换取相应数量的查询配额，而这部分区块链资产的所有权相当于被转移至该权限控制方，而该权限控制方可以在后续过程中使用这部分区块链资产，譬如该权限控制方可以将这部分区块链资产应用于兑换查询配额等。再例如，在目标隐私数据的权限控制方为管理员、上述智能合约包括系统智能合约的情况下，查询方发起的配额申请交易可以用于将查询方持有的至少一部分区块链资产转移至预设系统账户，以换取相应数量的查询配额。其中，预设系统账户可以不归属于任何成员，专用于回收被用于兑换查询配额的区块链资产，回收的区块链资产可以被冻结、清零或重新发放。

步骤106，在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

TEE是基于CPU硬件的安全扩展，且与外部完全隔离的可信执行环境。TEE最早是由Global Platform提出的概念，用于解决移动设备上资源的安全隔离，平行于操作系统为应用程序提供可信安全的执行环境。ARM的Trust Zone技术最早实现了真正商用的TEE技术。伴随着互联网的高速发展，安全的需求越来越高，不仅限于移动设备，云端设备，数据中心都对TEE提出了更多的需求。TEE的概念也得到了高速的发展和扩充。现在所说的TEE相比与最初提出的概念已经是更加广义的TEE。例如，服务器芯片厂商Intel，AMD等都先后推出了硬件辅助的TEE并丰富了TEE的概念和特性，在工业界得到了广泛的认可。现在提起的TEE通常更多指这类硬件辅助的TEE技术。

以Intel SGX技术为例，SGX提供了围圈(enclave，也称为飞地)，即内存中一个加密的可信执行区域，由CPU保护数据不被窃取。以第一区块链节点采用支持SGX的CPU为例，利用新增的处理器指令，在内存中可以分配一部分区域EPC(Enclave Page Cache，围圈页面缓存或飞地页面缓存)，通过CPU内的加密引擎MEE(Memory Encryption Engine)对其中的数据进行加密。EPC中加密的内容只有进入CPU后才会被解密成明文。因此，在SGX中，用户可以不信任操作系统、VMM(Virtual Machine Monitor，虚拟机监控器)、甚至BIOS(BasicInput Output System，基本输入输出系统)，只需要信任CPU便能确保隐私数据不会泄漏。因此，围圈就相当于SGX技术下产生的TEE。

可见，目标隐私数据只有在TEE内才能够被正确解密，可以确保区块链节点所维护的目标隐私数据处于安全状态，即便被没有查询配额的用户所获取也由于无法被正确解密而发生数据泄露。并且，基于上述TEE的工作原理，可知TEE属于区块链节点上具有高安全性的空间，可以确保与解密目标隐私数据相关的密钥能够被安全存储于TEE中，而不会发生泄漏。

如前所述，目标隐私数据可以包括交易。例如用户Ua可以在区块链网络中提交一笔交易Tx_a，该交易可以调用一智能合约Za，该智能合约Za可以由该用户Ua或另一用户Ub所部署。出于隐私保护的目的，用户Ua可以对该交易Tx_a进行加密处理：该用户Ua可以维护一对称密钥Ma，该对称密钥Ma譬如可以由该用户Ua随机生成，那么该用户Ua可以基于该对称密钥Ma对交易Tx_a的明文交易内容进行加密、得到相应的密文交易内容；以及，各个区块链节点可以维护有节点私钥，该节点私钥譬如可以在各个区块链节点新加入区块链网络时由密钥管理服务器(KMS)通过远程证明的方式所部署，且该节点私钥对应的节点公钥被公开，使得用户Ua还可以通过该节点公钥对上述的对称密钥Ma进行加密、得到相应的加密后密钥Ma’；因此，交易Tx_a实际所含上述的密文交易内容和加密后密钥Ma’。由于对称密钥Ma仅由发起交易Tx_a的用户Ua维护，而节点私钥由区块链节点维护于TEE中、只有CPU能够实现访问，因此对于诸如用户Uc或其他的查询方而言，即便从区块链节点处获得该交易Tx_a也无法正确解密得到明文交易内容，只有通过本说明书的技术方案向区块链节点请求，从而通过消耗查询配额的方式使得区块链节点在TEE内解密，并将得到的明文交易内容提供至用户Uc。

而区块链节点可以在TEE内对上述的交易Tx_a进行解密，并最终得到明文交易内容，该解密操作通常发生于区块链节点需要校验或执行交易Tx_a的过程中，也可以响应于用户Uc对该交易Tx_a的查询需求而实施该解密操作。在将交易Tx_a读入TEE后，区块链节点可以分别得到上述的密文交易内容和加密后密钥Ma’，则解密操作可以包括：首先区块链节点通过维护的节点私钥对上述的加密后密钥Ma’进行解密、得到上述的对称密钥Ma，然后区块链节点通过该对称密钥Ma对上述的密文交易内容进行解密、得到上述的明文交易内容，该明文交易内容即为用户Uc请求查询的内容。

类似地，例如在用户Uc向区块链节点发起查询交易以查询目标隐私数据的情况下，用户Uc可以通过自身维护的对称密钥对该查询交易所含的明文交易内容进行加密、通过节点公钥对该对称密钥进行加密，从而避免暴露用户Uc对相关目标隐私数据的查询行为，以及区块链节点可以相应解密并确定出用户Uc所需查询目标隐私数据，详细过程此处不再赘述。

如前所述，目标隐私数据可以包括收据、账户数据、合约数据、链数据等，这些数据可由区块链节点在TEE中进行加密后，存储于区块链节点上(通常存储在TEE之外的存储空间)。区块链节点处的TEE中部署了用于对上述数据进行存储的对称密钥，该对称密钥譬如可以在区块链节点新加入区块链网络时由KMS服务器所部署。实际上，区块链节点可以直接采用上述的对称密钥对目标隐私数据进行加密并存储；或者，出于提升安全性的目的，区块链节点可以将上述的对称密钥作为根密钥，并由该根密钥进一步生成相应的衍生密钥，从而基于该衍生密钥对目标隐私数据进行加密并存储。区块链节点可以基于多种维度生成衍生密钥，例如：区块链节点可以分别针对不同类型的目标隐私数据生成衍生密钥，使得同一类型采用相同的衍生密钥、不同类型采用不同的衍生密钥；区块链节点可以分别针对不同交易产生的目标隐私数据生成衍生密钥，使得同一交易的数据采用相同的衍生密钥、不同交易的数据采用不同的衍生密钥；区块链节点可以分别针对不同合约产生的目标隐私数据生成衍生密钥，使得同一智能合约的数据(如合约代码、合约状态等)采用相同的衍生密钥、不同合约的数据采用不同的衍生密钥；区块链节点可以分别针对不同账户生成衍生密钥，使得同一账户的数据采用相同的衍生密钥、不同账户的数据采用不同的衍生密钥；区块链节点可以分别针对不同的合约状态生成衍生密钥，使得即便同一合约产生的不同合约状态也采用不同的衍生密钥。

那么，响应于诸如用户Uc发起的查询交易，区块链节点可以确定出相应的目标隐私数据(譬如可以在TEE内解密该查询交易后，确定出该目标隐私数据)，并通过将该目标隐私数据读入TEE内进行解密，从而得到相应的解密后数据，该解密后数据即为用户Uc请求查询的内容。这里区块链节点对读入TEE的目标隐私数据进行解密时，采用的密钥可能是上述加密过程采用的根密钥或其衍生密钥，总之如果是对称密钥那么加密与解密时的密钥相同，如果是非对称密钥则加密时采用的是公钥、解密时采用的是私钥，而这些密钥都被维护于TEE内以确保足够的安全性。

在如前所述的实施例中，查询方所需满足的数据查询条件包括：针对目标隐私数据的查询配额尚未耗尽；而除此之外，还可以进一步通过其他类型的数据查询条件对该查询方的查询操作进行限制，下面进行举例说明。

数据查询条件可以包括针对目标隐私数据的限制条件，例如可以限制目标隐私数据满足下述条件中至少之一：属于预设区块高度范围、属于预设数据类型。预设区块高度范围可以包括从某一指定的区块高度至另一指定的区块高度之间，或者早于某一指定的区块高度，或者晚于某一指定的区块高度等，可以采用任意的限定形式。预设数据类型可以包括：原始交易数据类型、交易收据类型、账户数据类型、合约代码类型、合约状态类型、链数据类型等。基于上述的预设区块高度范围和/或预设数据类型等，可以从数据范围的维度上对限制允许查询方实施查询的数据。

数据查询条件可以包括针对查询方身份的限制条件。例如，某一智能合约中可以记录有查询方白名单，只有在查询方被记录于该查询方白名单的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。类似地，某一智能合约中可以记录有查询方黑名单，只有在查询方未被记录于该查询方黑名单的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。查询方白名单(或查询方黑名单)可以专用于查询方在查询交易中指明的目标隐私数据；或者，查询方白名单(或查询方黑名单)并不专用于上述的目标隐私数据，而是可以用于一批数据，比如在该目标隐私数据存在关联的历史交易的情况下，该查询方白名单(或查询方黑名单)可以位于该历史交易调用的智能合约中，因而可以应用于所有调用该智能合约的交易的关联数据；或者，查询方白名单(或查询方黑名单)可以位于系统智能合约中，该系统智能合约可以应用于区块链网络中的所有数据(或者该系统智能合约中指定的部分数据)，包括上述的目标隐私数据。

数据查询条件可以包括针对目标隐私数据的所有方的身份限制条件。例如，某一智能合约中可以记录有被查询方白名单，只有在上述所有方被记录于被查询方白名单的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。类似地，某一智能合约中可以记录有被查询方黑名单，只有在上述所有方未被记录于该被查询方黑名单的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。比如在目标隐私数据存在关联的历史交易的情况下，被查询方白名单(或被查询方黑名单)可以位于该历史交易调用的智能合约中，因而可以应用于所有调用该智能合约的交易的关联数据；或者，被查询方白名单(或被查询方黑名单)可以位于系统智能合约中，该系统智能合约可以应用于区块链网络中的所有数据(或者该系统智能合约中指定的部分数据)，包括上述的目标隐私数据。

数据查询条件可以包括针对合约版本号的限制条件。例如，在目标隐私数据与特定交易相关的情况下，该特定交易调用的智能合约存在相应的版本号，并且该版本号可以随着该智能合约的升级而发生变更。因此，可以限制该智能合约的版本号属于预设合约版本号范围的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。

数据查询条件可以包括针对链代码的版本号的限制条件。例如，区块链节点运行的链代码存在相应的版本号，并且该版本号可以随着该链代码的升级而发生变更。因此，可以限制该链代码的版本号属于预设链版本号范围的情况下，查询方才具有查询目标隐私数据的可能性，否则该查询方将不被允许查询目标隐私数据。

数据查询条件可以包括针对区块链网络的成员用户的限制条件。例如，区块链网络的成员用户可能包括普通用户、管理员或者同时包含两者，因而可以限制该区块链网络的成员用户发生变化的情况下，基于该变化来限制查询方是否存在查询目标隐私数据的可能性。在较为严格的限制条件下，只要区块链网络的成员用户发生变化，即可限制查询方的查询操作，使得查询方无法针对目标隐私数据进行查询，除非变化过后重新为查询方开启查询授权。在相对宽松的限制条件下，允许区块链网络的普通用户发生变化、不影响查询方的查询操作，但是管理员发生变化的情况下会导致查询方无法针对目标隐私数据进行查询，除非变化过后重新为查询方开启查询授权。在相对宽松的限制条件下，需要确定成员变化的场景是否符合预设场景，比如在成员变化的场景为加入了预定义的冲突用户或者预定义的合作用户离开的情况下，可使查询方无法针对目标隐私数据进行查询，而其他用户的加入或离开则不会产生影响。

这里列举了多种数据查询条件，这些数据查询条件可以作为“查询配额尚未耗尽”的附加条件，且同时可以存在一项或多项附加条件；当然，附加条件并非必要条件。在一些实施例中，这些附加条件也可以分别独立实施，以针对查询方的查询操作进行控制。

图4是一示例性实施例提供的一种设备的示意结构图。请参考图4，在硬件层面，该设备包括处理器402、内部总线404、网络接口406、内存408以及非易失性存储器410，当然还可能包括其他业务所需要的硬件。处理器402从非易失性存储器410中读取对应的计算机程序到内存408中然后运行，在逻辑层面上形成区块链隐私数据的查询装置。当然，除了软件实现方式之外，本说明书一个或多个实施例并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

请参考图5，在软件实施方式中，该区块链隐私数据的查询装置，应用于区块链网络中的区块链节点；该装置可以包括：

第一接收单元51，接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；

确定单元52，确定所述查询方被分配的针对所述目标隐私数据的查询配额；

更新单元53，在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

可选的，所述查询配额包括以下至少之一：剩余查询次数、剩余查询时长、剩余查询数据量。

可选的，所述查询配额包括：对应于所述目标隐私数据的专用查询配额、对应于所述目标隐私数据所属数据类别的类别查询配额、对应于所有隐私数据的通用查询配额。

可选的，还包括：

第二接收单元54，接收到所述目标隐私数据的权限控制方发起的配额管理交易，所述配额管理交易由所述权限控制方与所述查询方达成线下协议后发起；

执行单元55，执行所述配额管理交易，以调整所述查询方对应的所述查询配额的取值。

可选的，所述交易执行单元55具体用于：

在所述权限控制方为普通用户、所述查询配额被记录于所述权限控制方部署的用户智能合约的情况下，通过执行所述配额管理交易来调用所述用户智能合约，并对所述用户智能合约中对应于所述查询配额的合约状态进行取值调整；

在所述权限控制方为管理员、所述查询配额被记录于系统智能合约的情况下，通过执行所述配额管理交易来调用所述系统智能合约，并对所述系统智能合约中对应于所述查询配额的合约状态进行取值调整；其中，所述配额管理交易由所述区块链网络中不少于预设比例的管理员进行签名。

可选的，还包括：

第三接收单元56，接收到所述查询方发起的配额申请交易，所述配额申请交易调用的智能合约用于记录所述查询配额；

调用单元57，通过执行所述配额申请交易调用所述智能合约，以调整所述智能合约中记录的所述查询配额的取值。

可选的，

在所述目标隐私数据的权限控制方为普通用户、所述智能合约包括所述权限控制方部署的用户智能合约的情况下，所述配额申请交易还用于将所述查询方持有的至少一部分区块链资产转移至所述权限控制方，以换取相应数量的查询配额；

在所述目标隐私数据的权限控制方为管理员、所述智能合约包括系统智能合约的情况下，所述配额申请交易还用于将所述查询方持有的至少一部分区块链资产转移至预设系统账户，以换取相应数量的查询配额。

可选的，所述数据查询条件还包括以下至少之一：

所述目标隐私数据满足下述条件中至少之一：属于预设区块高度范围、属于预设数据类型；

所述查询方被记录于查询方白名单中，或所述查询方未被记录于查询方黑名单中；

所述目标隐私数据的所有方被记录于被查询方白名单中，或所述所有方未被记录于被查询方黑名单中；

在所述目标隐私数据与特定交易相关的情况下，所述特定交易调用的智能合约的版本号属于预设合约版本号范围；

所述区块链节点运行的链代码的版本号属于预设链版本号范围；

所述区块链网络的成员用户发生变化，所述成员用户包括普通用户和/或管理员。

可选的，所述目标隐私数据包括以下至少之一：指定交易、所述指定交易执行后产生的收据、指定账户、合约数据、链数据。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

在一个典型的配置中，计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。

Claims (12)

1.一种区块链隐私数据的查询方法，应用于区块链网络中的区块链节点；所述方法包括：

接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；

确定所述查询方被分配的针对所述目标隐私数据的查询配额；

在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

2.根据权利要求1所述的方法，所述查询配额包括以下至少之一：剩余查询次数、剩余查询时长、剩余查询数据量。

3.根据权利要求1所述的方法，所述查询配额包括：对应于所述目标隐私数据的专用查询配额、对应于所述目标隐私数据所属数据类别的类别查询配额、对应于所有隐私数据的通用查询配额。

4.根据权利要求1所述的方法，还包括：

接收到所述目标隐私数据的权限控制方发起的配额管理交易，所述配额管理交易由所述权限控制方与所述查询方达成线下协议后发起；

执行所述配额管理交易，以调整所述查询方对应的所述查询配额的取值。

5.根据权利要求4所述的方法，所述执行所述配额管理交易，包括：

在所述权限控制方为普通用户、所述查询配额被记录于所述权限控制方部署的用户智能合约的情况下，通过执行所述配额管理交易来调用所述用户智能合约，并对所述用户智能合约中对应于所述查询配额的合约状态进行取值调整；

在所述权限控制方为管理员、所述查询配额被记录于系统智能合约的情况下，通过执行所述配额管理交易来调用所述系统智能合约，并对所述系统智能合约中对应于所述查询配额的合约状态进行取值调整；其中，所述配额管理交易由所述区块链网络中不少于预设比例的管理员进行签名。

6.根据权利要求1所述的方法，还包括：

接收到所述查询方发起的配额申请交易，所述配额申请交易调用的智能合约用于记录所述查询配额；

通过执行所述配额申请交易调用所述智能合约，以调整所述智能合约中记录的所述查询配额的取值。

7.根据权利要求6所述的方法，

在所述目标隐私数据的权限控制方为普通用户、所述智能合约包括所述权限控制方部署的用户智能合约的情况下，所述配额申请交易还用于将所述查询方持有的至少一部分区块链资产转移至所述权限控制方，以换取相应数量的查询配额；

在所述目标隐私数据的权限控制方为管理员、所述智能合约包括系统智能合约的情况下，所述配额申请交易还用于将所述查询方持有的至少一部分区块链资产转移至预设系统账户，以换取相应数量的查询配额。

8.根据权利要求1所述的方法，所述数据查询条件还包括以下至少之一：

所述目标隐私数据满足下述条件中至少之一：属于预设区块高度范围、属于预设数据类型；

所述查询方被记录于查询方白名单中，或所述查询方未被记录于查询方黑名单中；

所述目标隐私数据的所有方被记录于被查询方白名单中，或所述所有方未被记录于被查询方黑名单中；

在所述目标隐私数据与特定交易相关的情况下，所述特定交易调用的智能合约的版本号属于预设合约版本号范围；

所述区块链节点运行的链代码的版本号属于预设链版本号范围；

所述区块链网络的成员用户发生变化，所述成员用户包括普通用户和/或管理员。

9.根据权利要求1所述的方法，所述目标隐私数据包括以下至少之一：指定交易、所述指定交易执行后产生的收据、指定账户、合约数据、链数据。

10.一种区块链隐私数据的查询装置，应用于区块链网络中的区块链节点；所述装置包括：

接收单元，接收到查询方发起的针对目标隐私数据的查询交易，所述目标隐私数据被加密存储于所述区块链网络中的各个区块链节点处；

确定单元，确定所述查询方被分配的针对所述目标隐私数据的查询配额；

更新单元，在数据查询条件被满足的情况下，将所述目标隐私数据读入所述区块链节点的可信执行环境中进行解密以由所述查询方获取相应的解密后数据，并对所述查询配额进行递减更新；其中，所述数据查询条件包括所述查询配额尚未耗尽。

11.一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现如权利要求1-9中任一项所述的方法。

12.一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现如权利要求1-9中任一项所述方法的步骤。

Images