CN111435518A - 一种基于可信硬件的区块链隐私交易方法、装置及系统 - Google Patents

一种基于可信硬件的区块链隐私交易方法、装置及系统 Download PDF

Info

Publication number
CN111435518A
CN111435518A CN201910025964.4A CN201910025964A CN111435518A CN 111435518 A CN111435518 A CN 111435518A CN 201910025964 A CN201910025964 A CN 201910025964A CN 111435518 A CN111435518 A CN 111435518A
Authority
CN
China
Prior art keywords
transaction
information
account
terminal
trusted hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910025964.4A
Other languages
English (en)
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Changtong Internet Technology Co ltd
Original Assignee
Chengdu Mingwen Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Mingwen Technology Co ltd filed Critical Chengdu Mingwen Technology Co ltd
Priority to CN201910025964.4A priority Critical patent/CN111435518A/zh
Publication of CN111435518A publication Critical patent/CN111435518A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明涉及一种基于可信硬件的区块链隐私交易方法、装置及系统,包括:区块链接收第一账户终端发送的至少携带有交易金额的交易信息,并将自身存储的与交易信息相关的账户信息以及接收到的交易信息,发送给可信硬件,可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出交易金额,并将交易结果上传至区块链。非对称密钥是由第三方终端下发给可信硬件,并由可信硬件公开其中的公钥,以便于发起交易的第一账户终端可以基于可信硬件公开的公钥加密交易金额,这样,只有可信硬件以及第三方终端知悉非对称密钥,从而实现基于私钥对采用公钥加密的信息进行加密的目的,能够做到足够的隐私性,还可以实现第三方可查询功能。

Description

一种基于可信硬件的区块链隐私交易方法、装置及系统
技术领域
本说明书实施例涉及区块链技术领域,尤其涉及一种基于可信硬件的区块链隐私交易方法、装置及系统。
背景技术
随着区块链技术的发展,交易的隐私性受到了社会各界的广泛关注。为了提升交易安全性以及隐私性,推出了主打隐私交易的门罗币、Zcash 等数字货币。此外,在使用区块链技术进行的隐私交易场景,例如证券市场的场外交易,除了要求交易双方的隐私性外,还需要满足第三方可以查询的需求。目前,门罗币的隐私交易方案需要在交易过程中检查所有的交易信息,且需要环签名的方式实现,整个交易过程复杂,且性能较低。
由此,亟需找到一种新的原理简洁、性能较好的隐私交易方案来保证交易隐私性以及第三方可查询的需求。
发明内容
本说明书实施例提供一种基于可信硬件的区块链隐私交易方法、装置及系统,用以通过原理简洁且性能较好的隐私交易方式来保证交易隐私性以及第三方可查询的需求。
为了解决上述技术问题,本说明书实施例采用下述技术方案:
第一方面,提供了一种基于可信硬件的区块链隐私交易方法,包括:
区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件;
所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链。
第二方面,提供了一种基于可信硬件的区块链隐私交易系统,包括:区块链、可信硬件、第三方终端以及执行当前交易的第一账户终端和第二账户终端;
其中,所述区块链,接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
以及,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件;
所述可信硬件,基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链。
第三方面,提供了一种基于可信硬件的区块链隐私交易方法,包括:
区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
第四方面,提供了一种区块链,所述区块链中任一区块节点包括:
接收模块,接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
发送模块,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
第五方面,提供了一种基于可信硬件的区块链隐私交易方法,包括:
可信硬件接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
第六方面,提供了一种可信硬件,包括:
接收模块,接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
处理模块,基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过上述技术方案,区块链接收第一账户终端发送的至少携带有交易金额的交易信息,并将自身存储的与交易信息相关的账户信息以及接收到的交易信息,发送给可信硬件,可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出交易金额,并将交易结果上传至区块链。其中,非对称密钥是由第三方终端下发给可信硬件,并由可信硬件公开其中的公钥,以便于发起交易的第一账户终端可以基于可信硬件公开的公钥加密交易金额,这样,只有可信硬件以及第三方终端知悉非对称密钥,从而实现基于私钥对采用公钥加密的信息进行加密的目的,能够做到足够的隐私性,而且可以实现第三方可查询。此外,还可以通过账号信息中包含的验证信息对用户身份进行验证,能够阻挡外来攻击,保证隐私性和安全性。因此,从整体上而言,使用可信硬件的隐私交易方案可以保证交易的隐私性,原理简洁,性能良好,安全性高、抗攻击能力强。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例提供的基于可信硬件的区块链隐私交易系统架构示意图;
图2a为本说明书实施例提供的基于可信硬件的区块链隐私交易方法的步骤示意图之一;
图2b为本说明书实施例提供的基于可信硬件的区块链隐私交易方法的步骤示意图之二;
图3为本说明书实施例提供的基于可信硬件的区块链隐私交易方法的步骤示意图之三;
图4为本说明书实施例提供的基于可信硬件的区块链隐私交易方法的步骤示意图之四;
图5为本说明书实施例提供的基于可信硬件的区块链隐私交易流程示意图;
图6为本说明书实施例提供的区块链的任一区块节点的虚拟装置结构示意图;
图7为本说明书实施例提供的可信硬件的虚拟装置结构示意图;
图8为本说明书实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本说明书实施例的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书实施例保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
首先,介绍本说明书所涉及的基于可信硬件的区块链隐私交易方案所适用的系统架构,该隐私交易方案可以适用于各类交易管理场景,例如:证券交易管理,银行交易管理以及其它涉及到资产转移类交易管理业务的场景,本说明书并不对此进行限定,应理解,这些隐私交易均可以基于区块链技术实现。
参照图1所示,该系统架构100中可以包括区块链110,可信硬件120,第三方终端130,执行该隐私交易的第一账户终端140、第二账户终端150。
在本说明书中,所述区块链110可以是包含多个区块节点的区块链网络,具体类型不做限定,能够至少实现区块链技术中去中心化、存储等效果即可。
所述可信硬件120,可以是具有可信安全环境,能够对一些数据信息进行加密、解密的软件或硬件类装置。例如,可以是机密机,或是Intel旗下的SGX中的enclave(也称:飞地)。其实,enclave是为了解决区块链中记帐的真实性和安全性而实现的一个模块,它通过事务隔离和特定的加密措施来提供并行操作,大大提高了性能。
所述第三方终端130,可以是证券交易所的服务器、银行的服务器等。在本说明书中,第三方可以通过这些终端查询用户的账户信息,清楚掌握每个用户的交易往来,详情通过以下交易方案说明。
所述第一账户终端140可以是发起交易的第一用户所使用的账户终端,所述第二账户终端150可以是接受交易的第二用户所使用的账户终端。其实,本说明书所示的隐私交易系统100中还可以包括多个类似于第一账户终端140作为发起交易方的其它账户终端,以及包括多个类似于第二账户终端150作为接受交易方的其它账户终端,只是并未示出。所述账户终端具体可以是手机、计算机、Ipad等电子设备。
实施例一
参照图2a所示,为本说明书实施例提供的基于可信硬件的区块链隐私交易方法的步骤示意图,该方法可以包括以下步骤:
步骤210:区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
步骤220:所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件。
步骤230:所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链。
可选地,所述步骤230可以具体执行为:
第一步,所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,从与所述交易信息相关的账户信息中分别解密出所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥。
第二步,所述可信硬件在基于所述交易信息验证本次交易合法后,分别利用所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥,解密出所述第一账户终端的余额信息、第二账户终端的余额信息以及交易金额。
具体地,该第二步可以包括:所述可信硬件利用所述第一账户终端的对称密钥从与所述交易信息相关的账户信息中解密出所述第一账户终端的余额信息,以及利用所述第二账户终端的对称密钥从与所述交易信息相关的账户信息中解密出所述第二账户终端的余额信息,以及利用所述第一账户终端的对称密钥从所述交易信息中解密出交易金额。
第三步,所述可信硬件基于所述交易金额,分别更新所述第一账户终端的余额信息以及所述第二账户终端的余额信息,并分别基于各自对应的对称密钥进行加密后上传至区块链。
需要说明的是,所述第一账户终端可以是隐私交易的发起方,所述第二账户终端可以是隐私交易的接受方,例如,第一账户终端发起向第二账户终端的转账交易。
其实,在整个交易过程中,加解密操作都在可信硬件内部完成,进出可信硬件的账户数据都是加密数据,其他人无法解密,从而实现隐私性;这里所涉及的可信硬件适用于加密机或者其他支持可信计算的平台上使用,在可信硬件领域通用性高。
可选地,本说明书实施例中,参照图2b所示,在步骤210之前,所述方法还包括:
步骤240:所述可信硬件接收所述第三方终端生成的非对称密钥对,并公开所述非对称密钥对中的公钥。
步骤250:执行当前交易的第一账户终端和第二账户终端分别根据所述公钥对自身的对称密钥进行加密,并发送至区块链。
应理解,在步骤250中所涉及的对称密钥,只有账户终端对应的用户自己知道,其它账户终端对应的用户并不知道。例如,第一账户终端对应的用户的对称密钥为TK,而第二账户终端对应的用户的对称密钥为TK’,这里,第一账户终端对应的用户并不知悉对称密钥TK’,同理,第二账户终端对应的用户并不知悉对称密钥TK。
可选地,所述交易信息中还携带有第一账户终端的地址信息以及验证信息;其中,所述验证信息可以是基于第一账户的对称密钥对交易金额、基于公钥加密的第二账户终端的对称密钥进行加密后的信息。而基于公钥加密的第二账户终端的对称密钥可以是第一账户终端在发起交易之前,从区块链中查找到的。那么,在步骤210之后,所述方法还包括:
所述区块链根据接收到的所述交易信息中的所述第一账户终端的地址信息以及验证信息,对所述第一账户终端进行身份验证。从而可以通过身份验证来增强交易的安全性。相应地,基于该步骤的存在,步骤220可以具体执行为:
所述区块链在所述第一账户终端的身份验证通过后,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件。
可选地,在本说明书实施例中,与所述交易信息相关的账户信息至少包括:
第一账户终端的余额信息、验证信息以及对称密钥信息;第二账户终端的余额信息、验证信息以及对称密钥信息;
其中,所述第一账户终端的余额信息是使用第一账户终端的对称密钥加密所述第一账户终端的账户余额得到,所述第一账户终端的对称密钥信息是使用公钥加密对称密钥得到;所述第二账户终端的余额信息是使用第二账户终端的对称密钥加密所述第二账户终端的账户余额得到,所述第二账户终端的对称密钥信息是使用公钥加密对称密钥得到。
其实,在区块链中存储有多个账户的账户信息,可以参照表1所示,每个账户信息都以键值Key-Value的格式存储,其中,Key表示账户地址信息,例如:Address1,Address2,Address3……,Value表示账户包含的参数信息,一般是:基于自身账户对应的对称密钥加密的账户余额+验证信息+基于公钥加密的对称密钥;例如TK(data)+Mac+PK(TK),TK’(data’)+Mac’+PK(TK’),TK’’(data’’)+Mac’’+PK(TK’’)……。其中,所述验证信息是基于自身账户对应的对称密钥加密的账户余额时得到的消息验证码。
Key Value
Address1 TK(data)+Mac+PK(TK)
Address2 TK’(data’)+Mac’+PK(TK’)
Address3 TK’’(data’’)+Mac’’+PK(TK’’)
…… ……
表1
需要说明的是,该表1中的所有账户信息都是用户通过相应账户终端上传至区块链进行存储的,以PK(TK)为例,该信息可以是在交易之前的初始化阶段,第一账户终端根据用户获知的公钥对该用户自身的对称密钥加密得到,并上传存储至区块链。
应理解,所述交易信息还包括:交易内容;在上述技术方案中,所述交易内容为转账交易。
其实,基于上述技术方案,本说明书实施例还可以实现查询余额的操作;即当所述隐私交易的内容为查询余额时,所述方法还包括:
区块链接收第一账户终端发送的查询请求,所述查询请求中携带有所述第一账户终端的地址信息;
所述区块链根据所述第一账户终端的地址信息从自身存储的账户信息中,查找所述第一账户终端的余额信息,其中,所述余额信息被所述第一账户终端的对称密钥加密;
所述区块链发送查找到的所述第一账户终端的余额信息给所述第一账户终端;
所述第一账户终端根据自身的对称密钥解密出第一账户终端的账户余额。
通过上述技术方案,区块链接收第一账户终端发送的至少携带有交易金额的交易信息,并将自身存储的与交易信息相关的账户信息以及接收到的交易信息,发送给可信硬件,可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出交易金额,并将交易结果上传至区块链。其中,非对称密钥是由第三方终端下发给可信硬件,并由可信硬件公开其中的公钥,以便于发起交易的第一账户终端可以基于可信硬件公开的公钥加密交易金额,这样,只有可信硬件以及第三方终端知悉非对称密钥,从而实现基于私钥对采用公钥加密的信息进行加密的目的,能够做到足够的隐私性,而且可以实现第三方查询。此外,还可以通过账号信息中包含的验证信息对用户身份进行验证,能够阻挡外来攻击,保证隐私性和安全性。因此,从整体上而言,使用可信硬件的隐私交易方案可以保证交易的隐私性,原理简洁,性能良好,安全性高、抗攻击能力强。
其实,在本说明书实施例中,参照图3所示,以区块链作为执行主体,该基于可信硬件的区块链隐私交易方法可以包括以下步骤:
步骤310:区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
步骤320:所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
以及,参照图4所示,以可信硬件作为执行主体,该基于可信硬件的区块链隐私交易方法可以包括以下步骤:
步骤410:可信硬件接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
步骤420:所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
可选地,在步骤410之前,所述方法还包括:
所述可信硬件接收所述第三方终端生成的非对称密钥对,并公开所述非对称密钥对中的公钥,以使得执行当前交易的第一账户终端和第二账户终端分别根据所述公钥对自身的对称密钥进行加密,并发送至区块链。
下面通过具体的实例对本说明书所涉及的方案进行详述。
参照图5所示,为本说明书实施例提供的基于可信硬件的隐私交易流程图,该隐私交易系统中可以包括:第三方终端A、可信硬件B、第一账户终端C、第二账户终端D以及区块链E;
该隐私交易流程可以包括:
步骤501:第三方终端A生成一对非对称密钥。
其中,第三方终端A可以根据非对称加密算法生成一对非对称密钥,其中,非对称密钥中的公钥可以是PK,私钥可以是SK。
步骤502:第三方终端A将非对称密钥发送给可信硬件B。
步骤503:可信硬件B公开非对称密钥中的公钥PK。
具体地,可信硬件B可以通过广播的方式将自己接收到的非对称密钥中的公钥PK发送给所有可以监听到的账户终端,这些账户终端包括第一账户终端和第二账户终端,换言之,第一账户终端和第二账户终端分别接收到可信硬件B发送的公钥PK。
步骤504:第一账户终端C基于公钥PK对自身的对称密钥TK加密得到PK(TK)。
其中,第一账户终端C的对称密钥TK可以是该账户终端根据对称加密算法生成,且只有第一账户终端C对应的账户自己知悉。
步骤505:第一账户终端C将加密结果PK(TK)上传至区块链E存储。
步骤506:第二账户终端D基于公钥PK对自身的对称密钥TK’加密得到PK(TK’)。
同理,第二账户终端D的对称密钥TK’可以是该账户终端根据对称加密算法生成,且只有第二账户终端D对应的账户自己知悉。
步骤507:第二账户终端D将加密结果PK(TK’)上传至区块链E存储。
其实,PK(TK)和PK(TK’)作为参数信息分别存储在第一账户终端的账户信息以及第二账户终端的账户信息中,具体参照表1所示。
应理解,在上述步骤504和步骤506中,其执行顺序并不作先后限定。可以是先执行步骤506的操作,再执行步骤504的操作,或是,同时执行步骤504和步骤506的操作。
步骤508:第一账户终端C基于公钥PK对交易信息中交易金额value进行加密,得到PK(value)。
其中,value可以是该转账交易过程中的交易金额,例如,第一账户终端C向第二账户终端D发起的转账交易中所涉及的转账金额。
步骤509:第一账户终端C将加密结果发送给区块链E。
这里的加密结果是指包含PK(value)的交易信息。
步骤510:区块链E对第一账户终端C进行身份验证。
具体验证方案可以基于现有技术中的验证方式实现,例如,基于TK 加密 data时得到的消息验证码Mac进行验证。
步骤511:在验证通过后,区块链E调取与交易相关的账户信息:TK(data) + Mac +PK(TK)以及TK’ (data’) + Mac’ + PK(TK’)。
其中,TK(data)是基于第一账户终端的对称密钥TK对第一账户的账户余额data进行加密后的加密结果;TK’ (data’) 是基于第二账户终端的对称密钥TK’对第二账户的账户余额data’进行加密后的加密结果。
步骤512:区块链E将与交易相关的账户信息以及交易信息发送给可信硬件B。
步骤513:可信硬件B基于私钥SK对PK(TK)和PK(TK’)分别进行解密,得到TK和TK’,以及基于私钥SK对交易信息中的PK(value)进行解密,得到value。
步骤514:可信硬件B基于TK和TK’分别对TK(data)和TK’ (data’)进行解密,得到data和data’。
步骤515:可信硬件B基于解密出的value、data和data’,进行交易计算,得到(data)’和(data’)’。
其中,(data)’是进行转账交易后第一账户的账户余额,即(data)’=data-value;(data’)’是进行转账交易后第二账户的账户余额,即(data’)’= data’+ value。
步骤516:可信硬件B将分别基于TK和TK’加密后的账户余额TK((data)’)和TK’((data’)’)上传至区块链E进行存储。
步骤517:区块链E分别更新第一账户终端C的账户信息中账户余额,以及更新第二账户终端D的账户信息中账户余额。
区块链E将第一账户终端C的账户信息中账户余额由TK(data)更新为TK((data)’),以及将第二账户终端D的账户信息中账户余额由TK’(data’)更新为TK’((data’)’)。至此,转账交易完成。
步骤518:第一账户终端C向区块链E发送查询交易。
所述查询交易中携带有第一账户终端C的账户地址。
步骤519:区块链E根据查询交易查询到第一账户终端C更新后的账户余额TK((data)’)。
步骤520:区块链E将查询到的账户余额TK((data)’)发送给第一账户终端C。
步骤521:第一账户终端C根据自己的对称密钥TK对TK((data)’)进行解密,得到(data)’。
这样,第一账户终端C就可以查询到转账交易后的账户余额(data)’。
实施例二
仍参照图1所示,为本说明书实施例提供的基于可信硬件的区块链隐私交易系统,该隐私交易系统100可以包括:区块链110、可信硬件120、第三方终端130以及执行当前交易的第一账户终端140和第二账户终端150;
其中,所述区块链110,接收第一账户终端140发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件120公开的公钥加密得到;
以及,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件120;
所述可信硬件120,基于第三方终端130下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链110。
可选地,在区块链110接收第一账户终端140发送的交易信息之前,所述可信硬件120,还用于:
接收所述第三方终端130生成的非对称密钥对,并公开所述非对称密钥对中的公钥;
执行当前交易的第一账户终端140和第二账户终端150分别用于,根据所述公钥对自身的对称密钥进行加密,并发送至区块链110。
参照图6所示,为本说明书实施例提供的一种区块链的虚拟装置结构示意图,所述区块链中任一区块节点包括以下功能模块:
接收模块610,接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
发送模块620,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
参照图7所示,为本说明书实施例提供的一种可信硬件的虚拟装置结构示意图,所述可信硬件可以包括以下功能模块:
接收模块710,接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
处理模块720,基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
可选地,所述接收模块710,还接收所述第三方终端生成的非对称密钥对,并公开所述非对称密钥对中的公钥,以使得执行当前交易的第一账户终端和第二账户终端分别根据所述公钥对自身的对称密钥进行加密,并发送至区块链。
可选地,所述处理模块720,具体用于:
基于第三方终端下发的非对称密钥对中的私钥,从与所述交易信息相关的账户信息中分别解密出所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥;
在基于所述交易信息验证本次交易合法后,分别利用所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥,解密出所述第一账户终端的余额信息、第二账户终端的余额信息以及交易金额;
基于所述交易金额,分别更新所述第一账户终端的余额信息以及所述第二账户终端的余额信息,并分别基于各自对应的对称密钥进行加密后上传至区块链。
通过上述技术方案,区块链接收第一账户终端发送的至少携带有交易金额的交易信息,并将自身存储的与交易信息相关的账户信息以及接收到的交易信息,发送给可信硬件,可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出交易金额,并将交易结果上传至区块链。其中,非对称密钥是由第三方终端下发给可信硬件,并由可信硬件公开其中的公钥,以便于发起交易的第一账户终端可以基于可信硬件公开的公钥加密交易金额,这样,只有可信硬件以及第三方终端知悉非对称密钥,从而实现基于私钥对采用公钥加密的信息进行加密的目的,能够做到足够的隐私性,而且可以实现第三方可查询。此外,还可以通过账号信息中包含的验证信息对用户身份进行验证,能够阻挡外来攻击,保证隐私性和安全性。因此,从整体上而言,使用可信硬件的隐私交易方案可以保证交易的隐私性,原理简洁,性能良好,安全性高、抗攻击能力强。应理解,本说明书实施例的区块链的虚拟装置/可信硬件的虚拟装置还可执行图2-图5中的方法,并实现图2-图5所示实施例的功能,在此不再赘述。
实施例三
下面参照图8详细介绍本说明书实施例的电子设备。请参考图8,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(Non-Volatile Memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是工业标准体系结构 (Industry Standard Architecture,ISA)总线、外设部件互连标准(Peripheral Component Interconnect,PCI)总线或 扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成区块链的虚拟装置/可信硬件的虚拟装置。处理器,执行存储器所存放的程序,并具体用于执行前文所述电子设备作为执行主体时所执行的方法操作。
上述如本说明书实施例图2-图5所示实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图2-图5的方法,并实现区块链的虚拟装置/可信硬件的虚拟装置在图2-图5所示实施例的功能,本说明书实施例在此不再赘述。
当然,除了软件实现方式之外,本说明书实施例的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
实施例四
本说明书实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
或者,
接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密。
基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (14)

1.一种基于可信硬件的区块链隐私交易方法,包括:
区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件;
所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链。
2.如权利要求1所述的方法,其特征在于,在区块链接收第一账户终端发送的交易信息之前,所述方法还包括:
所述可信硬件接收所述第三方终端生成的非对称密钥对,并公开所述非对称密钥对中的公钥;
执行当前交易的第一账户终端和第二账户终端分别根据所述公钥对自身的对称密钥进行加密,并发送至区块链。
3.如权利要求1所述的方法,其特征在于,所述交易信息中还携带有第一账户终端的地址信息以及验证信息;
在所述区块链接收第一账户终端发送的交易信息之后,所述方法还包括:
所述区块链根据接收到的所述交易信息中的所述第一账户终端的地址信息以及验证信息,对所述第一账户终端进行身份验证;
所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,包括:
所述区块链在所述第一账户终端的身份验证通过后,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件。
4.如权利要求1-3任一项所述的方法,其特征在于,所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链,包括:
所述可信硬件基于第三方终端下发的非对称密钥对中的私钥,从与所述交易信息相关的账户信息中分别解密出所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥;
所述可信硬件在基于所述交易信息验证本次交易合法后,分别利用所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥,解密出所述第一账户终端的余额信息、第二账户终端的余额信息以及交易金额;
所述可信硬件基于所述交易金额,分别更新所述第一账户终端的余额信息以及所述第二账户终端的余额信息,并分别基于各自对应的对称密钥进行加密后上传至区块链。
5.如权利要求1-3任一项所述的方法,其特征在于,与所述交易信息相关的账户信息至少包括:
第一账户终端的余额信息、验证信息以及对称密钥信息;第二账户终端的余额信息、验证信息以及对称密钥信息;
其中,所述第一账户终端的余额信息是使用第一账户终端的对称密钥加密所述第一账户终端的账户余额得到,所述第一账户终端的对称密钥信息是使用公钥加密对称密钥得到;所述第二账户终端的余额信息是使用第二账户终端的对称密钥加密所述第二账户终端的账户余额得到,所述第二账户终端的对称密钥信息是使用公钥加密对称密钥得到。
6.如权利要求1所述的方法,其特征在于,当对所述隐私交易进行查询时,所述方法还包括:
所述区块链接收第一账户终端发送的查询请求,所述查询请求中携带有所述第一账户终端的地址信息;
所述区块链根据所述第一账户终端的地址信息从自身存储的账户信息中,查找所述第一账户终端的余额信息,其中,所述余额信息被所述第一账户终端的对称密钥加密;
所述区块链发送查找到的所述第一账户终端的余额信息给所述第一账户终端;
所述第一账户终端根据自身的对称密钥解密出第一账户终端的账户余额。
7.一种基于可信硬件的区块链隐私交易系统,包括:区块链、可信硬件、第三方终端以及执行当前交易的第一账户终端和第二账户终端;
其中,所述区块链,接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
以及,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件;
所述可信硬件,基于第三方终端下发的非对称密钥对中的私钥,解密出所述交易金额,并将交易结果上传至区块链。
8.如权利要求7所述的系统,其特征在于,在区块链接收第一账户终端发送的交易信息之前,所述可信硬件,还用于:
接收所述第三方终端生成的非对称密钥对,并公开所述非对称密钥对中的公钥;
执行当前交易的第一账户终端和第二账户终端分别用于,根据所述公钥对自身的对称密钥进行加密,并发送至区块链。
9.一种基于可信硬件的区块链隐私交易方法,包括:
区块链接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述区块链将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
10.一种区块链,所述区块链中任一区块节点包括:
接收模块,接收第一账户终端发送的交易信息,其中,所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
发送模块,将自身存储的与所述交易信息相关的账户信息,以及接收到的所述交易信息,发送给所述可信硬件,以使得所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
11.一种基于可信硬件的区块链隐私交易方法,包括:
可信硬件接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
所述可信硬件基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
12.一种可信硬件,包括:
接收模块,接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
处理模块,基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
13.如权利要求12所述的可信硬件,其特征在于,所述处理模块,具体用于:
基于第三方终端下发的非对称密钥对中的私钥,从与所述交易信息相关的账户信息中分别解密出所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥;
在基于所述交易信息验证本次交易合法后,分别利用所述第一账户终端的对称密钥以及所述第二账户终端的对称密钥,解密出所述第一账户终端的余额信息、第二账户终端的余额信息以及交易金额;
基于所述交易金额,分别更新所述第一账户终端的余额信息以及所述第二账户终端的余额信息,并分别基于各自对应的对称密钥进行加密后上传至区块链。
14.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
接收区块链发送的交易信息以及与所述交易信息相关的账户信息,其中,所述交易信息是由第一账户终端发送给所述区块链的,且所述交易信息中至少携带有交易金额,所述交易金额基于可信硬件公开的公钥进行加密;
基于第三方终端下发的非对称密钥对中的私钥解密出所述交易金额,并将交易结果上传至区块链。
CN201910025964.4A 2019-01-11 2019-01-11 一种基于可信硬件的区块链隐私交易方法、装置及系统 Withdrawn CN111435518A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910025964.4A CN111435518A (zh) 2019-01-11 2019-01-11 一种基于可信硬件的区块链隐私交易方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910025964.4A CN111435518A (zh) 2019-01-11 2019-01-11 一种基于可信硬件的区块链隐私交易方法、装置及系统

Publications (1)

Publication Number Publication Date
CN111435518A true CN111435518A (zh) 2020-07-21

Family

ID=71580219

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910025964.4A Withdrawn CN111435518A (zh) 2019-01-11 2019-01-11 一种基于可信硬件的区块链隐私交易方法、装置及系统

Country Status (1)

Country Link
CN (1) CN111435518A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112132578A (zh) * 2020-09-16 2020-12-25 建信金融科技有限责任公司 一种基于区块链的高效交易处理方法、追踪方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112132578A (zh) * 2020-09-16 2020-12-25 建信金融科技有限责任公司 一种基于区块链的高效交易处理方法、追踪方法及装置
CN112132578B (zh) * 2020-09-16 2022-05-06 建信金融科技有限责任公司 一种基于区块链的高效交易处理方法、追踪方法及装置

Similar Documents

Publication Publication Date Title
US11444779B2 (en) Techniques for securing application programming interface requests using multi-party digital signatures
CN111066286B (zh) 使用高可用性的可信执行环境检索区块链网络的公共数据
CN110166411B (zh) 一种数据传输方法、装置和网络节点
US10263969B2 (en) Method and apparatus for authenticated key exchange using password and identity-based signature
WO2022095244A1 (zh) 跨链交易方法、系统、装置、设备和存储介质
US20190124070A1 (en) Authentication token with client key
CN106576043B (zh) 病毒式可分配可信消息传送
US10326590B2 (en) Technologies for trusted device on-boarding
CN111095256A (zh) 在可信执行环境中安全地执行智能合约操作
CN115580396B (zh) 匿踪查询系统及匿踪查询方法
US11997107B2 (en) Decentralized techniques for verification of data in transport layer security and other contexts
CN109272314B (zh) 一种基于两方协同签名计算的安全通信方法及系统
CN114143108B (zh) 一种会话加密方法、装置、设备及存储介质
CN113901425A (zh) 一种多方安全求交集的方法、装置、存储介质及设备
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN103368918A (zh) 一种动态口令认证方法、装置及系统
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN113162915B (zh) 基于区块链的交易方法、节点、电子设备、介质和系统
CN110610418A (zh) 基于区块链的交易状态查询方法、系统、设备及存储介质
WO2021027504A1 (zh) 基于共识协议的信息处理方法及相关装置
CN111435518A (zh) 一种基于可信硬件的区块链隐私交易方法、装置及系统
CN111371785A (zh) 一种区块链隐私交易方法、装置和电子设备
CN117155549A (zh) 密钥分发方法、装置、计算机设备和存储介质
US20220366381A1 (en) System and method for distributed storage of transactions
TW201828134A (zh) 基於密文的身份驗證方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20210902

Address after: Room 2001 and 2010, 20th floor, block a, Huaxing Times Square, 478 Wensan Road, Xihu District, Hangzhou City, Zhejiang Province, 310012

Applicant after: Hangzhou Xita Technology Co.,Ltd.

Address before: Room 27-10-03, office building 2, international financial center, No. 1, section 3, Hongxing Road, Jinjiang District, Chengdu, Sichuan 610000

Applicant before: Chengdu Mingwen Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210930

Address after: 215133 room 1805-080, 18 / F, building 1, Lingyu Business Plaza, No. 66, qinglonggang Road, high speed railway new town, Xiangcheng District, Suzhou City, Jiangsu Province

Applicant after: Suzhou Changtong Internet Technology Co.,Ltd.

Address before: Room 2001 and 2010, 20th floor, block a, Huaxing Times Square, 478 Wensan Road, Xihu District, Hangzhou City, Zhejiang Province, 310012

Applicant before: Hangzhou Xita Technology Co.,Ltd.

TA01 Transfer of patent application right
WW01 Invention patent application withdrawn after publication

Application publication date: 20200721

WW01 Invention patent application withdrawn after publication