WO2021114819A1 - 生成和执行智能合约交易的方法及装置 - Google Patents

Abstract

一种保护隐私数据的发起和执行智能合约交易的方法和装置。利用上述发起智能合约交易的方法，将输入到智能合约的隐私数据划分隐私文本和隐私数值。对于隐私文本，基于指定的多个参与方的公钥，聚合生成对称密钥，采用对称加密方式进行加密，得到文本加密数据。对于隐私数值，在对称密钥的基础上，生成合约公钥私钥对，利用合约公钥，采用同态加密的方式对其进行加密，得到数值加密数据。当将以上加密后的智能合约交易发布到区块链上时，区块链节点可以对数值加密数据进行同态运算，从而进行链上执行。并且，加密算法的设计使得只有指定的参与方能够解密还原出隐私文本和隐私数值的明文，从而保护了隐私安全。

Description

生成和执行智能合约交易的方法及装置 技术领域

本说明书一个或多个实施例涉及区块链技术领域和数据安全领域，尤其涉及在保护隐私数据不泄露的前提下，在区块链中执行智能合约交易的方法及装置。

背景技术

区块链技术是利用点对点传输、共识机制、加密算法等计算机技术实现数据分布式存储的一种应用模式。在区块链网络中，数据的存储和记录通过交易的方式实现。各个交易的交易内容由区块链网络的所有节点共同维护，任何一方无法对区块中的内容进行篡改。

目前，越来越多的区块链平台支持智能合约，来执行更为丰富的交易。智能合约是一种可以自动执行的交易合约，它以数字化的形式写入区块链中，由区块链技术的特性保障存储、读取、执行整个过程透明可跟踪、不可篡改。

由于上述透明可跟踪的特性，区块链中每条交易公开记录在区块中，任何节点均可以访问读取。当交易涉及个人隐私时，如何在保证节点可以正常对交易进行验证和执行的前提下，不泄露隐私信息，成为有待解决的问题。

因此，希望提供有效的方案，能够在不泄露隐私的情况下生成和执行智能合约交易。

发明内容

本说明书一个或多个实施例描述了一种智能合约交易的生成和执行方法，可以在不泄露数据隐私的情况下，生成和执行智能合约交易。

根据第一方面，提供了一种保护隐私数据的发起智能合约交易的方法，通过第一参与方执行，所述方法包括：确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据；其中，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉 项；所述隐私数据包括第一隐私文本；生成第一辅助信息，其中包括对所述m个参与方的第一公钥部分进行第一聚合的第一聚合结果；对所述m个参与方的第二公钥部分进行与所述第一聚合对应的第二聚合；根据第二聚合结果，以及所述第一合约标识，生成第一对称密钥；利用所述第一对称密钥加密所述第一隐私文本，生成第一加密数据；生成调用所述第一智能合约的第一交易，将第一交易内容填入所述第一智能合约，所述第一交易内容包括，所述m个参与方的信息，所述第一辅助信息，以及所述第一加密数据。

在一个实施例中，隐私数据还包括第一隐私数值；相应的，上述方法还包括：基于所述第一对称密钥和所述第一合约标识，生成合约私钥和对应的合约公钥；使用第一同态加密算法，基于所述合约公钥对所述第一隐私数值进行加密，生成第二加密数据；将所述第二加密数据包含在所述第一交易内容中。

根据一种实施方式，第一参与方通过以下方式，预先进行其密钥配置：任取第一随机数，并在所述第一循环群中任取第一元素；使用预定的哈希映射函数，将所述第一参与方的标识映射到所述第一循环群中的第二元素；基于所述第一随机数，第一元素和第二元素在所述第一循环群中的群操作，得到所述第一参与方的参与方私钥；基于所述第一随机数对所述第二循环群对应的第二生成元进行群操作，得到所述第一参与方的第一公钥部分；基于所述第一循环群中的第一元素和所述第二生成元之间的配对，得到所述第一参与方的第二公钥部分。

在一个实施例中，第一参与方的密钥配置还包括：针对所述m个参与方中任意的第二参与方，使用所述哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第三元素，基于所述第一随机数，第一元素和第三元素在所述第一循环群中的群操作，得到第一参与方针对第二参与方的密钥交叉项，并至少将其发布给所述第二参与方。

根据一个实施例，第一参与方通过以下方式生成第一辅助信息：任取第二随机数，基于所述第二随机数对所述第二循环群对应的第二生成元进行群操作，生成辅助字段；基于所述第二随机数对所述m个参与方的m个第一公钥部分进行第一聚合，生成第一聚合结果；所述辅助字段和所述第一聚合结果构成所述第一辅助信息；相应的，第二聚合结果为，基于所述第二随机数对所述m个参与方的m个第二公钥部分进行第二聚合的结果。

根据一个实施例，生成第一对称密钥的步骤可以包括，将所述第二聚合结果和所述第一合约标识进行哈希运算，得到所述第一对称密钥。

在一个实施例中，生成合约私钥和对应的合约公钥的步骤可以包括：将所述第一对称密钥与所述第一合约标识进行预定哈希运算，得到所述合约私钥；基于所述合约私钥对第三循环群中的第三生成元进行群操作，得到所述合约公钥。

根据一种实施方式，生成第二加密数据的过程可以包括：基于选取的第三随机数，所述第一隐私数值，和所述合约公钥，在所述第三循环群中进行群操作，得到第二加密数据。

在一个实施例中，该方法包括，基于Σ零知识证明协议，利用所述合约公钥，生成所述第一隐私数值加密合法性的第一证明；相应的，可以在所述第一交易内容中包括所述合约公钥和所述第一证明。

在一种实施方式中，该方法还包括，基于bulletproof范围证明协议，生成所述第一隐私数值在合法范围内的第二证明；相应的，可以在所述第一交易内容中包括所述第二证明。

根据第二方面，提供了一种保护隐私数据的执行智能合约交易的方法，通过第二参与方执行，所述方法包括：获取调用第一智能合约的第一交易的交易内容，其中包括，该交易涉及的m个参与方的信息，第一辅助信息，以及第一加密数据；其中，所述m个参与方包括所述第二参与方；所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，所述第一加密数据是对第一隐私文本加密的数据；将所述m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果；根据所述第三聚合结果，所述第一辅助信息，以及所述第一循环群和第二循环群之间的配对算法，还原出对所述m个参与方的第二公钥部分进行聚合的第二聚合结果；根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥；利用所述第一对称密钥解密所述第一加密数据，得到所述第一隐私文本；至少根据所述第一隐私文本，记录本地交易状态。

根据一个实施例，所述第一交易的交易内容还包括对第一隐私数值加密得到的第二加密数据；在这样的情况下，所述方法还包括，基于所述第一对称密钥和所述第一合约标识，确定合约私钥；使用第一同态解密算法，利用所述合约私钥解密所述第二加密数 据，得到所述第一隐私数值；相应的，所述记录本地交易状态还包括，根据所述第一隐私数值，记录交易状态。

根据一个实施例，上述交易内容通过以下方式获取：响应于从区块链网络的第一节点接收到交易通知，从区块链中获取所述第一交易的交易内容。

根据一种实施方式，第二参与方的私钥通过以下方式生成：任取第四随机数，并在所述第一循环群中任取第四元素；使用预定的哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第五元素；基于所述第四随机数，第四元素和第五元素在所述第一循环群中的群操作，得到所述第二参与方的参与方私钥；相应的，所述m个参与方中任意的第三参与方针对该第二参与方生成的密钥交叉项通过以下方式生成：基于该第三参与方任取的第五随机数，在所述第一循环群中任取的第六元素，以及上述第五元素，在所述第一循环群中进行群操作，得到第三参与方针对第二参与方的密钥交叉项。

在一个具体实施例中，所述第一辅助信息包括辅助字段和所述第一聚合结果，所述辅助字段通过基于随机数对第二循环群的第二生成元进行群操作而生成；在这样的情况下，通过以下方式还原出第二聚合结果：计算所述第三聚合结果与所述辅助字段的第一配对结果，以及所述第五元素与所述第一聚合结果的第二配对结果，综合第一配对结果和第二配对结果，得到所述第二聚合结果。

根据一个实施例，确定第一对称密钥的步骤具体包括：对所述第二聚合结果以及所述第一合约标识进行哈希运算，得到所述第一对称密钥。

在一个实施例中，确定合约私钥的步骤具体包括：将所述第一对称密钥与所述第一合约标识进行预定哈希运算，得到所述合约私钥。

在一个实施例中，第二加密数据基于所述第一隐私数值和所述合约私钥对应的合约公钥，在第三循环群中进行群操作而生成；在这样的情况下，通过以下方式解密得到所述第一隐私数值：利用所述合约私钥，得到利用所述第一隐私数值对所述第三循环群的第四生成元进行群操作的结果；然后遍历该第四生成元的可能群操作结果，还原出所述第一隐私数值。

根据一种实施方式，第二参与方还执行以下步骤：获取用于对交易状态进行更新的第二隐私文本和第二隐私数值，所述第二隐私数值与所述第一隐私数值符合预定关系；利用所述第一对称密钥加密所述第二隐私文本，生成第三加密数据；基于所述合约私钥，生成对应的合约公钥；使用第一同态加密算法，基于所述合约公钥对所述第二隐私数值 进行加密，生成第四加密数据；生成调用所述第一智能合约的第二交易，将第二交易内容填入所述第一智能合约，所述第二交易内容包括，所述m个参与方的信息，所述第三加密数据，以及所述第四加密数据。

具体的，在一个实施例中，生成对应的合约公钥的步骤可以包括：基于所述合约私钥对约定的第三循环群中的第三生成元进行群操作，得到所述合约公钥。

在一个实施例中，上述方法还包括：基于Σ零知识证明协议，利用所述合约公钥，生成所述第二隐私数值加密合法性的第三证明；相应的，可以在所述第二交易内容中包括所述合约公钥和所述第三证明。

在一个实施例中，上述方法还包括，基于bulletproof范围证明协议，生成第四证明，所述第四证明用于证明所述第二隐私数值在合法范围内，且所述第二隐私数值与所述第一隐私数值的相对大小在预定范围内；相应的，可以在所述第二交易内容中包括所述第四证明。

根据第三方面，提供了一种保护隐私数据的发起智能合约交易的装置，部署在第一参与方对应的终端中，所述装置包括：确定单元，配置为确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据；其中，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述隐私数据包括第一隐私文本；辅助信息生成单元，配置为生成第一辅助信息，其中包括对所述m个参与方的第一公钥部分进行第一聚合的第一聚合结果；对称密钥生成单元，配置为对所述m个参与方的第二公钥部分进行与所述第一聚合对应的第二聚合；根据第二聚合结果，以及所述第一合约标识，生成第一对称密钥；第一加密单元，配置为利用所述第一对称密钥加密所述第一隐私文本，生成第一加密数据；第一交易生成单元，配置为生成调用所述第一智能合约的第一交易，将第一交易内容填入所述第一智能合约，所述第一交易内容包括，所述m个参与方的信息，所述第一辅助信息，以及所述第一加密数据。

根据第四方面，提供了一种保护隐私数据的执行智能合约交易的装置，部署在第二参与方对应的终端中，所述装置包括：获取单元，配置为获取调用第一智能合约的第一交易的交易内容，其中包括，该交易涉及的m个参与方的信息，第一辅助信息，以及第 一加密数据；其中，所述m个参与方包括所述第二参与方；所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，所述第一加密数据是对第一隐私文本加密的数据；聚合单元，配置为将所述m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果；还原单元，配置为根据所述第三聚合结果，所述第一辅助信息，以及所述第一循环群和第二循环群之间的配对算法，还原出对所述m个参与方的第二公钥部分进行聚合的第二聚合结果；对称密钥确定单元，根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥；第一解密单元，配置为利用所述第一对称密钥解密所述第一加密数据，得到所述第一隐私文本；记录单元，配置为至少根据所述第一隐私文本，记录本地交易状态。

根据第五方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面和第二方面的方法。

根据第六方面，提供了一种计算设备，包括存储器和处理器，其特征在于，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面和第二方面的方法。

根据本说明书一个实施例提供的方法和装置，利用特殊的密钥设计对输入到智能合约的隐私数据进行加密，使得只有指定的参与方能够解密可见。更具体的，将输入到智能合约的隐私数据划分为两部分：隐私文本和隐私数值。对于隐私文本，基于指定的多个参与方的公钥，聚合生成对称密钥，采用对称加密方式对其进行加密，得到文本加密数据。对于隐私数值，在前述对称密钥的基础上，生成合约公钥私钥对，利用其中的合约公钥，采用同态加密的方式对其进行加密，得到数值加密数据。当将以上加密数据填入智能合约，发布到区块链上时，区块链中的节点可以对数值加密数据进行同态运算。因此，以上加密方式不影响合约逻辑的链上执行，区块链中的节点仍然可以对智能合约进行执行，对其中的变量进行修改操作。同时，特殊的加密算法使得只有指定的参与方能够解密还原出隐私文本和隐私数值的明文，从而保护了隐私安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1示出根据一个实施例的智能合约交易的执行过程示意图；

图2示出根据一个实施例的隐私保护方案的示意图；

图3示出根据一个实施例的发起智能合约交易的方法流程图；

图4示出区块链中的节点执行第一交易的过程示意图；

图5示出根据一个实施例的执行智能合约交易的方法流程图；

图6示出在一个实施例中第二参与方发起第二交易的流程图；

图7示出根据一个实施例的发起智能合约交易的装置的示意性框图；

图8示出根据一个实施例的执行智能合约交易的装置的示意性框图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

图1示出根据一个实施例的智能合约交易的执行过程示意图。在图1的示例中，涉及多个机构A，B，C，D，共同完成一项业务。例如，机构A为境外企业，机构B为其境内的分支机构；机构C为境外银行，机构D为该银行的境内分支机构。并且，机构C和机构D具有区块链的链上身份，可以连接到区块链网络。假定境外机构A向境外银行C抵押一定资产，以便授权其对应的境内分支机构B从境内银行D获得对等额度的贷款金额。那么，机构C和机构D可以利用智能合约的方式，借助于区块链，实现整个授信，借款，还款全过程的记录和追踪，而不需进行链下交互。

具体地，在收到机构A的授信请求后，机构C可以向区块链网络发起一笔调用智能合约的交易Tx1，该智能合约可以是预先开发并部署到区块链中的合约，其中定义了必要的合约执行逻辑，并具有一些接口函数，供调用者传入参数。机构C可以在调用该合约的交易Tx1中，通过上述接口，填入必要的信息，例如包括，授权执行机构为D，受 益机构为B，授信额度为v，以及一些其他的约定和协议。更具体的，在典型的区块链平台(例如以太坊)所支持的交易形式下，机构C可以发起这样一笔交易，其中发起方字段(from字段)为其自身的链上身份(例如账户地址)，目标字段(to字段)为上述智能合约的合约地址，data字段中包括调用的接口函数和传入的参数。

在机构C发起上述智能合约交易Tx1后，该交易即通过区块链网络中的各个节点进行传播，最终收录在某个区块中，接入区块链。于是，区块链网络中的各个节点均会执行这笔交易。更具体的，对于支持智能合约的区块链平台来说，每个节点中均部署有虚拟机，例如以太坊虚拟机EVM，来执行智能合约中的合约逻辑，并通过共识机制实现网络上合约状态的共同改变。

对于机构C发起的上述智能合约交易Tx1，区块链网络中的各个节点均会执行该笔交易中的智能合约。更具体的，各个节点按照部署的合约代码，执行合约逻辑，并利用交易Tx1中传入的参数，修改智能合约中的变量状态，例如，将表示授信额度的变量的变量值更新为v。

通过上述交易Tx1，机构D获得授权，向机构B发放贷款款项。后续机构D可以继续通过调用上述智能合约的交易，记录与机构B的款项往来。具体地，在机构D向机构B发放款项v1或收到还款v2时，可以发起调用上述智能合约的交易Tx2，在其中填入更新的信息，例如包括，对方机构为B，发放款项为v1，或收到还款v2，以及一些其他补充信息。

通过以上过程，机构C和机构D可以利用智能合约的方式，在区块链上记录整个多方交互过程，并确保记录的真实、有效、无法篡改。

以上以授信和借贷场景为例，描述了涉及多个参与方的智能合约。可以理解，智能合约可以应用于各种场景，实现各种功能，而不限于上述应用场景。例如，在一种场景下，多个参与方可以利用智能合约维护一个共同的数据库，在每个参与方处有数据更新时，就通过调用智能合约，更新其中的变量来实现数据更新。

通过以上示例性描述可以看到，区块链中涉及智能合约的交易(或简称为智能合约交易)相比于普通转账交易更为复杂。一方面，智能合约交易可能涉及多个参与方，一方面，智能合约交易可以包含更加复杂的数据输入，其中不仅包含金额之类的数值，还可以有诸如文本之类的其他内容。例如，在前述的交易Tx1中，输入数据不仅包括授信额度v的金额数值，还包括其他约定和协议之类的补充内容。以上两个方面，都为智能 合约交易中隐私数据的保护带来更大的困难，提出更高的挑战。

为此，在本说明书的一个或多个实施例中，针对涉及多个参与方的智能合约交易提出一种隐私保护方案。图2示出根据一个实施例的隐私保护方案的示意图。该方案利用特殊的密钥设计对输入到智能合约的隐私数据进行加密，使得只有指定的参与方能够解密可见。更具体的，将输入到智能合约的隐私数据划分为两部分：隐私文本和隐私数值，对这两部分隐私数据进行不同的处理。对于隐私文本，基于指定的多个参与方的公钥，聚合生成对称密钥，采用对称加密方式对其进行加密，得到文本加密数据。对于隐私数值，在前述对称密钥的基础上，生成合约公钥私钥对，利用其中的合约公钥，采用同态加密的方式对其进行加密，得到数值加密数据。可选的，还可以基于零知识证明协议，生成隐私数值合法性的证明。

当将以上加密数据填入智能合约，发布到区块链上时，区块链中的节点可以基于零知识证明协议对隐私数值的合法性进行验证，验证通过后，可以对数值加密数据进行同态运算。因此，以上加密方式不影响合约逻辑的链上执行，区块链中的节点仍然可以对智能合约进行执行，对其中的变量进行修改操作。同时，特殊的加密算法使得只有指定的参与方能够解密还原出隐私文本和隐私数值的明文，从而保护了隐私安全。

下面描述以上构思的具体实现。

首先，描述密钥的初始化配置过程。

假设整个交易系统中有n个参与方构成一个总集合U＝{u ₁，…，u _n}。该集合U是具有区块链账户，后续有可能发起预定类型的智能合约交易的所有可能用户的集合。在初始化配置阶段，每一个参与方都要配置自己的参与方私钥和参与方公钥，其中，上述私钥和公钥的配置依赖于整个系统约定的两个循环群G ₁和G ₂。具体地，参与方私钥基于第一循环群G ₁生成，而参与方公钥包括两个部分，第一公钥部分R和第二公钥部分A，其中第一公钥部分R基于第二循环群G ₂生成，第二公钥部分A基于第一循环群G ₁和第二循环群G ₂之间的配对而生成。

下面对循环群的特点进行简单的描述。循环群典型地可以由有限域上的椭圆曲线上的点集构成。椭圆曲线是一种数学上的曲线，一般可以表示为以下的二元三阶方程：

y ²＝x ³+ax+b             (1)

其中a、b为系数。

可以在椭圆曲线上定义点之间的操作规则。在椭圆曲线上取两个点，点P和点Q， 连接P、Q两点作一条直线L，这条直线将在椭圆曲线上交于第三点个S，过S点作垂直于X轴的直线，将过椭圆曲线另一点R(一般是S点关于X轴对称的点)，R点则被定义为对点P和点Q操作的结果。在一种记录方式中，将以上点操作记为点之间的“加法”，即P+Q＝R。在另一种记录方式下，将以上点之间的操作记为点之间的“乘法”，即P*Q＝R。本文下文中均采用后一种记录方式。

在以上点P和点Q为同一个点的情况下，直线L即为椭圆曲线在P点上的切线，由此得到的点R可记为：R＝P*P＝P ²。继续进行多次操作，就可以得到对点P进行幂操作的结果P ^m＝P*P*…*P。

为了更方便的将椭圆曲线用于数据加解密，可以将椭圆曲线限定在有限域Fp中。有限域Fp是包含有限个元素的域，元素的个数为素数p。该素数p又称为有限域的阶。有限域内的运算基于对p取模而定义。

有限域Fp上公式(1)表示的椭圆曲线常记为Ep(a,b)。通过选择系数a，b和有限域p，可以唯一地定义一条椭圆曲线，不同的椭圆曲线具有不同的安全特性。常见的椭圆曲线包括P-256,secp256k1等。

在将椭圆曲线限定到有限域后，椭圆曲线包含的点从曲线上连续的无限数目的点，演变为包含有限数目个离散点的点集T。基于椭圆曲线上点的运算规则，该点集T即构成一个循环群，即阿贝尔群。该点集中点的数目即为该循环群的阶。

具体而言，有限域中的椭圆曲线所构成的循环群，具有以下特点：1.对循环群中任意两个元素P与Q之间的群操作，即P*Q，其结果仍然在该循环群中；2.对循环群中任意单个元素P进行m次群操作，得到的结果P ^m＝P*P*…*P仍然在循环群中；以上的群操作，正向运算非常容易，但是逆向运算几乎不可能；3.循环群中存在生成元g，或称为椭圆曲线的基点，还存在一椭圆曲线的无穷远点O，满足g ⁿ＝O。

基于循环群的以上特点，可以预先由系统约定两个循环群G ₁和G ₂，供各个参与方生成密钥所用，其中两个循环群分别具有生成元g ₁和g ₂。此外，系统还可以约定这两个循环群G ₁和G ₂之间的配对算法e。以上约定的信息可以作为配置参数，写入参与方使用的SDK中。于是，各个参与方可以基于以上约定的参数信息，进行自身密钥的初始化配置。

例如，任意一个参与方u _i，可以基于上述第一循环群G ₁生成其参与方私钥。

具体地，该参与方u _i可以任取一个随机数r _i∈Z _p，简单起见称为第一随机数。该第一随机数需要在两个循环群的阶数Z _p范围之内。此外，还在上述第一循环群中任取一个 元素X _i∈G ₁，称为第一元素。

然后，使用预定的哈希映射函数H：s→G ₁，将该参与方自身的标识u _i映射到第一循环群G ₁中，得到第一循环群中的第二元素H(u _i)。接着，基于第一随机数r _i，第一元素X _i和第二元素H(u _i)在第一循环群中的群操作，得到σ _ii作为参与方私钥。具体的，在一个例子中，对第二元素H(u _i)进行第一随机数次群操作，再将结果与第一元素之间进行群操作，得到参与方私钥，即：

与私钥生成相对的，参与方u _i还生成参与方公钥pk _i＝(R _i，A _i)，其中包括基于第二循环群G ₂生成的第一公钥部分R _i，基于第一循环群G ₁和第二循环群G ₂之间的配对生成的第二公钥部分A _i。

具体而言，参与方u _i可以基于上述选取的第一随机数r _i对第二循环群G ₂对应的第二生成元g ₂进行群操作，得到第一公钥部分R _i。在一个例子中，第一公钥部分通过下式得到：

此外，通过两个循环群之间的配对函数e，计算第一循环群G ₁中的上述第一元素X _i和第二循环群的生成元g ₂之间的配对结果，得到第二公钥部分A _i，即：

A _i＝e(X _i，g ₂)           (4)

如此，每个参与方u _i生成了自己的参与方私钥σ _ii，和参与方公钥pk _i＝(R _i，A _i)。

此外，每个参与方还采用与参与方私钥对应的生成方法，针对其他参与方生成密钥交叉项。例如，上述参与方u _i可以针对另一参与方u _j(其中i≠j)，生成密钥交叉项σ _ij。密钥交叉项σ _ij的生成方式与自身私钥σ _ii的生成方式相对应，只是将其中自身标识u _i的映射，替换为所针对的参与方标识u _j的映射。

也就是说，针对另一参与方u _j，参与方u _i仍然使用前述的哈希映射函数H：s→G ₁，将参与方标识u _j映射到第一循环群G ₁中，得到第一循环群中的第三元素H(u _j)。随后，基于前述第一随机数r _i，第一元素X _i和第三元素H(u _j)在第一循环群中的群操作，得到参与方u _i针对参与方u _j的密钥交叉项σ _ij。具体的，密钥交叉项σ _ij可以通过下式确定：

参与方u _i可以将针对参与方u _j生成的密钥交叉项σ _ij发送给参与方u _j。或者，参与方u _i 也可以将其针对各个其他参与方生成的密钥交叉项，公布在整个区块链网络中。

当每个参与方都针对其他参与方生成密钥交叉项，可以形成以下的交叉项矩阵：

在该矩阵中，第k行表示，第k参与方针对其他参与方生成的密钥交叉项；第k列表示，各个其他参与方针对第k参与方生成的密钥交叉项。对角线上的元素对应于各个参与方为自己生成的私钥，不过该私钥由参与方自己持有，并不公开。

通过以上方式，由可能的参与方构成的总集合U中的每个参与方，均配置形成参与方私钥，参与方公钥，并生成密钥交叉项。基于这样的密钥配置，就可以进行智能合约交易中隐私数据的加解密。

接下来描述保护隐私数据的发起智能合约交易的方法的实施例。

图3示出根据一个实施例的发起智能合约交易的方法流程图。该方法流程可以由任意的参与方执行，简单起见，称为第一参与方。需要理解，本文所提及的参与方执行的步骤，更具体地由参与方账户对应的终端设备执行。

如图3所示，首先，在步骤31，确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据。

上述的第一智能合约为第一参与方当前要调用的合约，用于实现第一参与方预期的目标功能。具体地，该第一智能合约可以是各种功能类型的合约，例如实现数据存储或交互的合约，进行支付或买卖的合约，等等。在一个具体例子中，该第一智能合约为图1场景中机构C使用的授信借贷合约。第一智能合约的第一合约标识T _id可以是该第一智能合约的合约地址，或者也可以是其他种类的id标识。

第一参与方还可以确定本次交易涉及的m个参与方，其中包括第一参与方自身。需要理解，该m个参与方是前述所有可能参与方构成的总集合U的一个子集S，因此，该m个参与方的每一个均按照前述方式，预先配置有参与方私钥和参与方公钥。并且，每个参与方还采用与参与方私钥对应的生成方法针对其他参与方生成有密钥交叉项。

此外，第一参与方获取本次交易需要填入到智能合约的隐私数据，其中包括第一隐私文本。在典型的情况下，隐私数据还包括第一隐私数值。也就是说，第一参与方将隐 私数据划分为文本部分和数值部分，以便后续对其进行不同处理。

更具体的，在第一智能合约为前述授信借贷合约的情况下，隐私数值例如可以包括，授信额度v；隐私文本例如可以包括，币种类型，补充协议，其他条款等等。

接着，在步骤32，第一参与方生成第一辅助信息，其中包括对上述m个参与方的第一公钥部分进行第一聚合的第一聚合结果；然后在步骤33，对m个参与方的第二公钥部分进行与第一聚合对应的第二聚合，并根据第二聚合结果，以及第一合约标识，确定第一对称密钥。

需要理解，第一辅助信息用于在后续解密阶段，与私钥部分和交叉项部分相结合，来帮助恢复出上述第一对称密钥。根据各个密钥部分的配置特点，在一个实施例中，基于第一公钥部分的聚合而生成该第一辅助信息。具体的，第一辅助信息可以通过以下方式生成。

首先，第一参与方任取一个随机数t，称为第二随机数。基于该第二随机数t对第二循环群G ₂对应的第二生成元g ₂进行群操作，生成辅助字段c ₁。具体的，辅助字段可以通过下式确定：

此外，第一参与方基于上述第二随机数t对m个参与方的m个第一公钥部分进行第一聚合，得到第一聚合结果c ₂。更具体的，首先对上述m个第一公钥部分R _i进行聚合，得到第一聚合值R _S＝∏ _i∈SR _i。由于每个第一公钥部分R _i对应于第二循环群中的一个元素，因此，对这些元素进行聚合的第一聚合值R _S仍然是第二循环群中的元素。然后，基于第二随机数t对该第一聚合值进行幂操作，得到第一聚合结果c ₂，即：

上述辅助字段c ₁和第一聚合结果c ₂即构成第一辅助信息。

然后在步骤33，对m个第二公钥部分A _i进行与第一聚合对应的第二聚合。也就是，类似的，首先将m个第二公钥部分A _i进行聚合，得到第二聚合值A _S＝∏ _i∈SA _i。然后，基于第二随机数t对该第二聚合值进行幂操作，得到第二聚合结果

接着，根据第二聚合结果

以及第一合约标识T _id，确定第一对称密钥K。

在一个实施例中，第一对称密钥K通过对第二聚合结果

和第一合约标识T _id施加预定的函数运算f ₁而得到，即：

优选的，该函数f ₁为逆向不可解的函数。

更具体的，在一个实施例中，上述函数f ₁为哈希函数H，于是公式(9)可以写为：

通过以上方式，第一参与方得到了第一对称密钥K，该对称密钥可以用于加密隐私文本。

于是，在接下来的步骤34，第一参与方利用该第一对称密钥K，加密第一隐私文本M，生成第一加密数据E ₁。该步骤中，可以采用任何对称加密算法进行加密，例如AES-GCM算法。

至此，第一参与方实现了对隐私文本的加密。

在隐私数据还包括隐私数值的情况下，在一个实施例中，在步骤35，基于上述第一对称密钥K和第一合约标识T _id，生成对应的合约私钥和合约公钥，用于对隐私数值进行加密。

可以首先生成合约私钥SK。在一个实施例中，通过对第一对称密钥K和第一合约标识T _id施加预定的函数运算f ₂而得到合约私钥SK，即：

SK＝f ₂(K，T _id)        (11)

其中，公式(11)中的函数f ₂与公式(9)中的f ₁可以相同也可以不相同。优先地，f ₂为逆向不可解的函数。更具体的，在一个实施例中，上述函数f ₂为哈希函数H，于是公式(11)可以写为：

SK＝H(K，T _id)        (12)

在得到合约私钥SK的基础上，可以基于合约私钥SK对第三循环群G ₃中的第三生成元h进行群操作，得到合约公钥PK：

PK＝h ^SK         (13)

其中，第三循环群G ₃可以是不同于前述第一循环群和第二循环群的另一循环群，也可以是复用其中的一个。

在以上生成合约私钥和公钥的基础上，接下来在步骤36，使用同态加密算法，基于合约公钥PK对第一隐私数值进行加密，生成第二加密数据E ₂。

如本领域技术人员所知，同态加密是这样一种加密函数，对明文进行加法和乘法运算后再加密，与加密后对密文进行相应的运算，结果是等价的。例如，用同样的公钥PK _A加密v ₁和v ₂得到

和

满足

和

如此，用私钥SK _A解密

可以得到v ₁+v ₂；用私钥SK _A解密

可以得到v ₁-v ₂。

由于同态加密的以上特性，可以对隐私数值进行同态加密，以便区块链中的节点可以直接对经过加密的隐私数值进行合约逻辑规定的操作，而不需进行解密，从而不会泄露隐私数值。

已存在多种同态加密算法，步骤36中可以选用已有的同态加密算法，基于前述步骤生成的合约公钥PK，对第一隐私数值进行同态加密。

在一个具体实施例中，对El-Gamal加密算法进行改进，基于该改进的El-Gamal算法进行同态加密。根据该算法，可以选取另一随机数r，称为第三随机数，基于该第三随机数r，要加密的第一隐私数值v，和上述合约公钥PK，在前述第三循环群G ₃中进行群操作，得到第二加密数据E ₂。

更具体的，第二加密数据E ₂可以通过以下公式得到：

E ₂＝(PK ^r，g ^vh ^r)       (14)

上式(14)中，PK为合约公钥，r为第三随机数，v是第一隐私数值，g，h为第三循环群G ₃中的两个生成元。可以验证，上述公式(14)的加密方式满足同态性：

于是，通过上述步骤34，得到了对第一隐私文本进行加密的第一加密数据E ₁，通过上述步骤36，得到了对第一隐私数值进行加密的第二加密数据E ₂。

从而，接下来，在步骤37，生成调用上述第一智能合约的第一交易Tx1，将第一交易内容填入该第一智能合约，其中第一交易内容可以包括，所述m个参与方的信息，第一辅助信息以及第一加密数据E ₁。在隐私数据包含隐私数值的情况下，第一交易内容还包括上述对隐私数值加密的第二加密数据E ₂。如此，隐私数据中的隐私文本和隐私数值被分别加密为第一加密数据E ₁和第二加密数据E ₂，然后填入智能合约中，使得智能合约交易不会泄露参与方的隐私数据。

在一个实施例中，第一参与方还基于Σ零知识证明协议，生成上述第一隐私数值加密合法性的第一证明σ ₁。

零知识证明是在不泄露明文信息的情况下，证明该信息真实性的一种方式。例如，拥有方拥有一项私密输入s，它可以基于s生成公开部分L(s)，然后公开一份零知识证明σ。利用该零知识证明，验证者可以验证拥有方拥有私密输入s，这个私密s可以生成L(s)，同时不会泄露s的明文信息。

例如，签名就是一种零知识证明的方式。其中，私钥即上述私密输入s，公钥为对应的公开部分L(s)，基于公钥的签名即为零知识证明σ。验证者可以验证某人具有与公钥对应的私钥，且不泄露私钥本身。

在以上调用智能合约的第一交易的场景下，在一个具体实施例中，可以采用Σ零知识证明协议，利用合约公钥PK，生成第一隐私数值加密合法性的第一证明σ ₁，该第一证明σ ₁包含基于公钥PK的签名信息。相应地，在步骤27填入第一交易信息时，还将上述合约公钥包含在第一交易信息中，公布上链。

在一个实施例中，还基于bulletproof范围证明协议，生成上述第一隐私数值在合法范围内的第二证明σ ₂。

范围证明，是在不泄露某个变量v的真实数值大小的情况下，证明该变量v的数值在预定范围之内。范围证明也属于零知识证明的一种。已经存在多种范围证明协议，其中bulletproof范围证明协议是在一些加密数字货币区块链网络中，用于提高保密交易的隐私性而提出的方案。在一个具体实施例中，采用bulletproof范围证明协议，使用上述合约私钥SK作为证据(witness)，生成上述第二证明σ ₂，用于证明第一隐私数值在预定义的合法范围之内。

具体的，在一个例子中，上述第一智能合约为授信借贷合约，上述第一交易为发起授信的交易，其中的第一隐私数值包括授信额度v。在这样的情况下，上述预定义的合法范围例如为大于0。

在生成上述第二证明σ ₂的情况下，相应的，将该第二证明σ ₂包含在第一交易内容中，公布上链。

通过以上过程，第一参与方在区块链网络中发起了第一交易，该第一交易调用第一智能合约，并在交易内容中包含了m个参与方的信息，第一辅助信息，对隐私文本加密得到的第一加密数据。在隐私数据还包括隐私数值的情况下，交易内容中还包括对 隐私数值加密得到的第二加密数据。可选的，交易内容还包括，上述第一证明σ ₁和/或第二证明σ ₂。

在第一参与方发出该第一交易后，区块链网络中的各个节点均会接收到该笔交易，并执行该交易。图4示出区块链中的节点执行第一交易的过程示意图。

如图4所示，首先在步骤41，对该第一交易进行校验。该校验至少包括，校验交易发起者，即上述第一参与方，对该第一交易的签名。签名的校验可以利用第一参与方预先公布的签名用公钥进行。

在第一交易的交易内容中包括有上述的第一证明σ ₁的情况下，节点可以根据该第一证明，校验第一隐私数值的加密是否合法。如前所述，在公开第一证明σ ₁的同时，第一参与方还在交易中公开合约公钥PK。于是，节点可以利用该合约公钥PK，通过零知识证明协议，基于第一证明σ ₁对第一隐私数值的加密合法性进行校验。

在第一交易的交易内容中包括有上述的第二证明σ ₂的情况下，节点可以根据该第二证明，校验第一隐私数值的范围是否符合预定范围。例如，在第二证明σ ₂使用bulletproof范围证明协议生成的情况下，节点可以根据该范围证明协议，基于第二证明σ ₂，校验第一隐私数值的范围是否合法。例如，校验第一隐私数值是否大于0。

在以上校验均通过的情况下，在步骤42，节点执行第一交易中第一智能合约的合约逻辑，对第二加密数据E ₂进行同态运算相关的操作。一般而言，隐私文本中涉及的信息并不影响合约的执行逻辑，因此，节点可以不对第一加密数据E ₁进行处理，仅将其作为交易内容的一部分进行记录。但是智能合约的执行过程会涉及一些变量的读写、修改、记录等操作，这部分变量即作为隐私数值被加密为第二加密数据E ₂。如前所述，第二加密数据E ₂采用同态加密的方式生成，因此，节点可以无需对其进行解密，而直接进行同态运算相关的操作。

例如，当需要对第二加密数据中针对的数值，与之前存储的数值进行求和时，就可以采用前述公式(15)所示的同态运算操作；当需要对第二加密数据中针对的数值，与之前存储的数值进行相减时，就可以采用前述公式(16)所示的同态运算操作。

在一个例子中，第一交易例如是新创建的授信借贷合约，第一隐私数值是针对例如授信额度首次传入的参数值。此时，将针对该第一隐私数值同态加密后的第二加密数据记录为对应参数值，以备后续同态运算所用。

在对上述第一智能合约进行链上执行后，在步骤43，节点向该第一交易涉及的 m个参与方发出通知，以通知各个参与方当前的第一交易与其相关。在一个实施例中，节点通过log通知的方式，通知各个相关参与方。在另一实施例中，节点也可以直接将第一交易的交易内容通知给各个相关参与方。

各个参与方收到区块链节点的通知后，就可以执行该智能合约交易，更新其本地交易状态。下面描述相关参与方执行该智能合约交易的过程。

图5示出根据一个实施例的执行智能合约交易的方法流程图，该流程通过前述m个参与方中的第二参与方执行。该第二参与方是m个参与方中不同于第一参与方的任意一个参与方。例如，在发起上述第一交易的第一参与方为图1所示例的机构C的情况下，第二参与方可以是对应的机构D。

如图5所示，首先在步骤51，第二参与方获取调用第一智能合约的第一交易Tx的交易内容。

在一个实施例中，上述第二参与方从区块链的节点接收到log通知，根据该log通知，从区块链中读取上述第一交易的交易内容。在另一实施例中，区块链节点直接将第一交易的交易内容发送给相关参与方，于是，第二参与方直接从节点接收到上述交易内容。

如前所述，该第一交易的交易内容中包括，该交易涉及的m个参与方的信息，第一辅助信息，第一加密数据E ₁，以及可选的第二加密数据E ₂。其中，第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，第一加密数据E ₁是对第一隐私文本加密的数据，第二加密数据E ₂是对第一隐私数值加密的数据。因此，第二参与方需要利用自身的参与方私钥，和其他参与方为其生成的密钥交叉项，借助于第一辅助信息，还原出第一加密数据对应的第一隐私文本，和第二加密数据对应的第一隐私数值。

于是，在步骤52，第二参与方将m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果。

简单清楚起见，用u _j表示第二参与方。根据前述的密钥配置过程，第二参与方具有基于第一循环群G ₁生成的私钥σ _jj。

更具体的，第二参与方u _j通过以下方式生成其私钥σ _jj。首先，第二参与方任取第四随机数r _j，并在第一循环群中任取第四元素X _j；然后，使用预定的哈希映射函数，将第二参与方的标识u _j映射到第一循环群中，得到第五元素H(u _j)；基于第四随机数r _j，第四元素X _j和第五元素H(u _j)在第一循环群中的群操作，即得到第二参与方的参与方私 钥σ _jj。更具体的，第二参与方的私钥可以表示为：

此外，如前所述，总参与方集合U中的其他参与方还针对该第二参与方生成与私钥形式对应的密钥交叉项。例如，另一参与方u _k(这里k＝1，…，n且k≠j)针对第二参与方u _j生成有密钥交叉项σ _kj：

各个其他参与方针对第二参与方形成的密钥交叉项，具体如前述矩阵(6)所示。

于是，第二参与方可以从以上矩阵中，确定出本交易的m个参与方中m-1个其他参与方为其生成的密钥交叉项σ _kj，将该m-1个密钥交叉项σ _kj，连同自身私钥σ _jj进行聚合，得到第三聚合结果σ _S，其中：

σ _S＝∏ _k∈Sσ _kj        (19)

如前所述，各个参与方私钥是基于第一循环性G ₁生成的，密钥交叉项与参与方私钥具有对应的计算方式，也是基于第一循环性生成的，因此，上述第三聚合结果是第一循环群中的元素。

而另一方面，第一辅助信息基于m个参与方的第一公钥部分的聚合而生成，而第一公钥部分基于第二循环群G ₂生成。

因此，在接下来的步骤53，可以根据第一循环群中的第三聚合结果，第二循环群中的第一辅助信息，以及第一循环群G ₁和第二循环群G ₂之间的配对算法，还原出对m个参与方的第二公钥部分进行聚合的第二聚合结果。

更具体的，如前所述，上述第一辅助信息包括辅助字段c ₁和第一聚合结果c ₂，其中辅助字段c ₁通过基于第二随机数t对第二循环群G ₂的第二生成元g ₂进行群操作而生成，第一聚合结果c ₂通过基于上述第二随机数t对m个参与方的m个第一公钥部分进行聚合而生成。

更具体的，如前述公式(7)和公式(8)所示，

基于以上所示的辅助字段c ₁和第一聚合结果c ₂，可以通过以下配对过程实现第二聚合结果的还原：计算上述第三聚合结果σ _S(第一循环群中)与辅助字段c ₁(第二循环群中)的第一配对结果，以及生成第二参与方私钥时使用的第五元素H(u _j)(第一循环群中)与第一聚合结果c ₂(第二循环群中)的第二配对结果，综合第一配对结果和第二 配对结果，得到第二聚合结果。

具体的，第二聚合结果

可以表示为：

公式(20)基于两个循环群之间的配对算法的性质而得出。具体的：

如此，还原出了第二聚合结果

于是，在步骤54，根据上述第二聚合结果

和第一智能合约的第一合约标识T _id，得到第一对称密钥K。

该步骤54的计算方式与图3中步骤33完全一致。具体的，可以根据前述公式(9)，计算得到第一对称密钥K。更具体的，可以根据前述公式(10)，对第二聚合结果以及第一合约标识进行哈希运算，得到所述第一对称密钥K。

接着，在步骤55，利用上述第一对称密钥K解密第一加密数据E ₁，得到第一隐私文本。在该步骤中，只需要采用与图3步骤34使用的对称加密算法对应的解密算法，就可以从第一加密数据中解密得到原始的第一隐私文本。

在交易内容中还包括第二加密数据的情况下，接着在步骤56，基于上述第一对称密钥K和所述第一合约标识，生成合约私钥SK。

该步骤56的计算方式与图3中步骤35完全一致。具体的，可以根据前述公式(11)，计算得到合约私钥SK。更具体的，可以根据前述公式(12)，对第一对称密钥以及第一合约标识进行哈希运算，得到该合约私钥SK。

于是，接着在步骤57，使用第一同态解密算法，利用合约私钥SK解密第二加密数据E ₂，得到第一隐私数值。在该步骤中，只需要采用与图3步骤36使用的同态非对称加密算法相对应的解密算法，就可以从第二加密数据中解密得到原始的第一隐私数值v。

具体的，当前述步骤36采用改进的El-Gamal算法进行同态加密，得到公式(14) 形式的第二加密数据E ₂时，可以首先使用合约私钥SK，通过以下运算，得到基于第一隐私数值v对第三循环群的第四生成元g进行群操作的结果g ^v：

然后遍历该第四生成元g的可能群操作结果，还原出第一隐私数值v。

于是，第二参与方在步骤55，解密出了原始的第一隐私文本，在步骤57，解密出了原始的第一隐私数值，从而获得了通过第一交易填入到第一智能合约的全部隐私数据。

于是，在步骤58，第二参与方根据解密出的第一隐私文本和第一隐私数值，记录本地交易状态。

例如，在图1所示的场景中，当第一参与方为机构C，第一交易为新建授信合约时，第二参与方可以是机构D。通过以上解密过程，机构D可以得到授信借贷的金额数值v，以及第一隐私文本指示的其他协议内容。根据这些内容，记录本地交易状态。

通过以上过程可以看到，根据本说明书描述的实施例，在发起和执行智能合约时，将填入到智能合约中的隐私数据划分为隐私文本和隐私数值，对其进行分别处理，用不同的方式进行加密和解密。以上实施例中发起和执行智能合约的过程至少具有以下优势。

首先，通过以上解密过程可以看到，只有发起方所指定的m个参与方，才可以使用自己的参与方私钥和密钥交叉项，还原出解密所需的对称密钥和合约私钥，进而对隐私数据进行解密。如此，实现了涉及多方的智能合约的隐私数据保护。

其次，通过第一加密数据的生成过程可以看到，第一对称密钥基于m个参与方的公钥聚合而得到，第一加密数据使用第一对称密钥对隐私文本加密而得到。即使参与方的数目m取较大的值，也不会导致第一加密数据的数据大小随之增大。换而言之，第一加密数据的密文大小基本为常量，不随授权群组大小增加而增加。相比于常规技术中针对每个参与方分别进行加密的密文产生方式，这样的定长密文的方式可以有效降低通信和存储的代价，更加适合于区块链中频繁通信、多份存储的场景。

此外，以上实施例中对于隐私数值采用同态加密的方式，可以使得区块链节点不需要解密，就可以对其进行同态操作，不影响合约逻辑的执行。

以上描述了第二参与方解密上述调用第一智能合约的第一交易中的隐私数据， 从而执行该第一交易的过程。在一些情况下，第二参与方可以再次调用第一智能合约，发起后续交易，从而更新其中的变量状态。例如，在第二参与方为图1的机构D，通过前述的第一交易获得额度为v的授信后，就可以与机构B进行借贷业务。于是，结构D可以通过后续再次调用第一智能合约，记录与机构B在授信额度v之内的借款还款状况。

图6示出在一个实施例中第二参与方发起第二交易的流程图。可以理解，该流程是在第二参与方执行前述第一交易之后，发起第一交易的后续交易的过程。

如图6所示，首先在步骤61，获取用于对交易状态进行更新的第二隐私文本和第二隐私数值，其中第二隐私数值与前述第一隐私数值符合预定关系。

具体的，第二隐私文本是有待填入本交易的、新产生的隐私文本，第二隐私数值是与前述第一隐私数值对应的变量相关的变量值。例如，当前述的第二参与方D与机构B发生实际借贷业务时，第二隐私文本可以是对借贷业务的说明，第二隐私数值可以是，实际发放给机构B的借款金额v′，或机构B还款的还款金额v″。显然，第二隐私数值与前述的第一隐私数值相关，且需要与第一隐私数值符合预定关系，比如在本例中，第二隐私数值v′或v″需小于或等于第一隐私数值v。

然后，在步骤62，第二参与方利用第一对称密钥K加密第二隐私文本，生成第三加密数据E ₃。此处的第一对称密钥K即第二参与方通过前述图5的步骤54还原得到的对称密钥。由于第二参与方将要发起的第二交易仍然调用第一智能合约，是前述第一交易的延续，具有相同的参与方群体，因此，该交易中可以仍然使用前述第一交易中的密钥。

接着，在步骤63，第二参与方基于前述合约私钥SK，生成对应的合约公钥PK。此处的合约私钥SK即第二参与方通过前述图5的步骤56得到的合约私钥。基于该合约私钥，采用约定的公钥生成方法，可以容易地得到对应的合约公钥PK。

具体的，可以采用前述公式(13)的方式，基于合约私钥SK对约定的第三循环群中的第三生成元h进行群操作，得到合约公钥PK＝h ^SK。

然后，在步骤64，使用第一同态加密算法，基于合约公钥PK对第二隐私数值进行加密，生成第四加密数据E ₄。该加密的过程与前述图3中的步骤36相同，不再赘述。

于是，在步骤65，第二参与方生成调用前述第一智能合约的第二交易，将第二交易内容填入该第一智能合约，所述第二交易内容包括，同样的m个参与方的信息，第三加密数据E ₃，以及第四加密数据E ₄。

需要说明的是，由于m个参与方均可以通过前述第一交易中的第一辅助信息，还原出第一对称密钥和合约私钥，因此，针对该m个参与方的后续交易中可以不再包含该第一辅助信息。不过，可选的，第二参与方也可以将前述第一辅助信息再次填入第二交易内容中，以便辅助其他参与方进行解密或验证。

在一个实施例中，第二参与方还基于Σ零知识证明协议，利用所述合约公钥PK，生成上述第二隐私数值加密合法性的第三证明σ ₃，并将所述合约公钥和第三证明σ ₃包含在前述第二交易内容中。该第三证明的生成方式与前述的第一证明相似，不再赘述。

在一个实施例中，第二参与方还基于bulletproof范围证明协议，生成第四证明σ ₄，所述第四证明用于证明第二隐私数值在合法范围内，并且，所述第二隐私数值与所述第一隐私数值的相对大小在预定范围内。更具体的，在前述授信借贷的例子中，第四证明不仅需要证明第二隐私数值v′或v″大于0，还需要证明，第二隐私数值v′或v″小于或等于第一隐私数值v，即第一隐私数值减去第二隐私数值的差值大于等于0。同样的，第二参与方将该第四证明σ ₄包含在上述第二交易内容中。

当第二参与方通过以上方式发起第二交易后，区块链中的各个节点对第二交易中的第一智能合约进行链上执行，执行方式与图4类似。以下仅描述不同之处。

在校验步骤中，在第二交易的交易内容中包括有上述的第三证明σ ₃的情况下，节点根据该第三证明，校验第二隐私数值的加密是否合法。

在第二交易的交易内容中包括有上述的第四证明σ ₄的情况下，节点根据该第四证明，校验第二隐私数值的范围是否符合预定范围，以及第二隐私数值与前述第一隐私数值的相对大小是否在预定范围。例如，节点可以根据bulletproof范围证明协议，校验第二隐私数值是否大于0，以及第一隐私数值是否大于等于第二隐私数值。

在以上校验均通过的情况下，节点执行第二交易中第一智能合约的合约逻辑，对第四加密数据E ₄进行同态运算。

例如，在一个例子中，第一隐私数值为授信额度v，第二隐私数值为借款金额v′。假定第一智能合约中还设定有变量x，表征可借贷余额。在这样的情况下，可以通过对第二加密数据E ₂和第四加密数据E ₄进行对应于减法的同态运算，得到变量x的加密值，即：

E _PK(x)＝E _PK(v)/E _PK(v′)＝(PK ^r/PK ^r′，g ^vh ^r/g ^v′h ^r′)＝E _PK(v-v′)    (22)

在另一例子中，第二隐私数值为还款金额v″。在这样的情况下，可以对之前存 储的E _PK(x)和第四加密数据E _PK(v″)进行对应于加法的同态运算，作为新的可借贷余额x的加密值，即：

E _PK(x)*E _PK(v″)＝E _PK(x+v″)          (23)

此外，还可以对之前存储的已借贷金额的加密值与上述E _PK(v″)进行对应于减法的同态运算，作为新的已借贷金额的加密值。

如此，区块链节点可以对第二交易中的第二隐私数值进行同态运算，从而更新第一智能合约中的变量参数，实现第二交易的链上执行。对于针对同样的m个参与方的同样调用前述第一智能合约的后续交易，均可以采用类似于第二交易的方式来发起交易和执行交易，从而持续记录和跟踪后续交易中各个交易变量的更新状况，同时实现在链上执行智能合约交易过程中的隐私保护。

根据另一方面的实施例，提供了一种在发起智能合约交易的装置，该装置部署在第一参与方对应的终端中，该终端可以体现为任何具有计算、处理能力的设备或平台。其中，所发起的交易涉及m个参与方，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项。在此前提下，图7示出根据一个实施例的发起智能合约交易的装置的示意性框图。如图7所示，该交易发起装置700包括以下单元。

确定单元71，配置为确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据；所述隐私数据包括，第一隐私文本。

辅助信息生成单元72，配置为生成第一辅助信息，其中包括对所述m个参与方的第一公钥部分进行第一聚合的第一聚合结果。

对称密钥生成单元73，配置为对所述m个参与方的第二公钥部分进行与所述第一聚合对应的第二聚合；根据第二聚合结果，以及所述第一合约标识，生成第一对称密钥。

第一加密单元74，配置为利用所述第一对称密钥加密所述第一隐私文本，生成第一加密数据。

第一交易生成单元77，配置为生成调用所述第一智能合约的第一交易，将第一交易内容填入所述第一智能合约，所述第一交易内容包括，所述m个参与方的信息，所述第一辅助信息，以及所述第一加密数据。

在一种实施方式下，隐私数据还包括第一隐私数值；在这样的情况下，装置700还包括以下单元。

合约密钥生成单元75，配置为基于所述第一对称密钥和所述第一合约标识，生成合约私钥和对应的合约公钥。

第二加密单元76，配置为使用第一同态加密算法，基于所述合约公钥对所述第一隐私数值进行加密，生成第二加密数据。

并且，第一交易生成单元77所填入的第一交易内容中包括所述第二加密数据。

根据一种实施方式，上述装置700还包括密钥配置单元(未示出)，具体配置为：任取第一随机数，并在所述第一循环群中任取第一元素；使用预定的哈希映射函数，将所述第一参与方的标识映射到所述第一循环群中的第二元素；基于所述第一随机数，第一元素和第二元素在所述第一循环群中的群操作，得到所述第一参与方的参与方私钥；基于所述第一随机数对所述第二循环群对应的第二生成元进行群操作，得到所述第一参与方的第一公钥部分；基于所述第一循环群中的第一元素和所述第二生成元之间的配对，得到所述第一参与方的第二公钥部分。

在一个实施例中，上述密钥配置单元还配置为：针对所述m个参与方中任意的第二参与方，使用所述哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第三元素，基于所述第一随机数，第一元素和第三元素在所述第一循环群中的群操作，得到第一参与方针对第二参与方的密钥交叉项，并至少将其发布给所述第二参与方。

根据一个实施例，辅助信息生成单元72具体配置为：任取第二随机数，基于所述第二随机数对所述第二循环群对应的第二生成元进行群操作，生成辅助字段；基于所述第二随机数对所述m个参与方的m个第一公钥部分进行第一聚合，生成第一聚合结果；所述辅助字段和所述第一聚合结果构成所述第一辅助信息；相应的，第二聚合结果为，基于所述第二随机数对所述m个参与方的m个第二公钥部分进行第二聚合的结果。

根据一个实施例，对称密钥生成单元73具体配置为，将所述第二聚合结果和所述第一合约标识进行哈希运算，得到所述第一对称密钥。

在一个实施例中，合约密钥生成单元75具体配置为：将所述第一对称密钥与所 述第一合约标识进行预定哈希运算，得到所述合约私钥；基于所述合约私钥对第三循环群中的第三生成元进行群操作，得到所述合约公钥。

根据一种实施方式，第二加密单元76具体配置为：基于选取的第三随机数，所述第一隐私数值，和所述合约公钥，在所述第三循环群中进行群操作，得到第二加密数据。

在一个实施例中，该装置还包括证明生成单元(未示出)，配置为，基于Σ零知识证明协议，利用所述合约公钥，生成所述第一隐私数值加密合法性的第一证明；相应的，第一交易生成单元77可以在所述第一交易内容中包括所述合约公钥和所述第一证明。

在一种实施方式中，该证明生成单元还配置为，基于bulletproof范围证明协议，生成所述第一隐私数值在合法范围内的第二证明；相应的，第一交易生成单元77可以在所述第一交易内容中包括所述第二证明。

根据又一方面的实施例，提供了一种在执行智能合约交易的装置，该装置部署在第二参与方对应的终端中，该终端可以体现为任何具有计算、处理能力的设备或平台。其中，所执行的交易涉及m个参与方，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项。在此前提下，图8示出根据一个实施例的执行智能合约交易的装置的示意性框图。如图8所示，该交易执行装置800包括以下单元。

获取单元81，配置为获取调用第一智能合约的第一交易的交易内容，其中包括，该交易涉及的m个参与方的信息，第一辅助信息，以及第一加密数据；所述第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，所述第一加密数据是对第一隐私文本加密的数据，所述第二加密数据是对第一隐私数值加密的数据。

聚合单元82，配置为将所述m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果。

还原单元83，配置为根据所述第三聚合结果，所述第一辅助信息，以及所述第一循环群和第二循环群之间的配对算法，还原出对所述m个参与方的第二公钥部分进行 聚合的第二聚合结果。

对称密钥确定单元84，根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥。

第一解密单元85，配置为利用所述第一对称密钥解密所述第一加密数据，得到所述第一隐私文本。

记录单元88，配置为至少根据所述第一隐私文本，记录本地交易状态。

在一个实施例中，获取单元获取的交易内容还包括对第一隐私数值加密得到的第二加密数据；在这样的情况下，装置800还包括以下单元。

合约密钥确定单元86，配置为基于所述第一对称密钥和所述第一合约标识，生成合约私钥。

第二解密单元87，配置为使用第一同态解密算法，利用所述合约私钥解密所述第二加密数据，得到所述第一隐私数值。

所述记录单元88还配置为，根据所述第一隐私数值，记录本地交易状态。

根据一个实施例，获取单元81具体配置为：响应于从区块链网络的第一节点接收到交易通知，从区块链中获取所述第一交易的交易内容。

根据一种实施方式，该装置800还包括密钥配置单元(未示出)，配置为：任取第四随机数，并在所述第一循环群中任取第四元素；使用预定的哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第五元素；基于所述第四随机数，第四元素和第五元素在所述第一循环群中的群操作，得到所述第二参与方的参与方私钥。

相应的，所述m个参与方中任意的第三参与方针对该第二参与方生成的密钥交叉项通过以下方式生成：基于该第三参与方任取的第五随机数，在所述第一循环群中任取的第六元素，以及上述第五元素，在所述第一循环群中进行群操作，得到第三参与方针对第二参与方的密钥交叉项。

在一个具体实施例中，所述第一辅助信息包括辅助字段和所述第一聚合结果，所述辅助字段通过基于随机数对第二循环群的第二生成元进行群操作而生成；在这样的情况下，还原单元83具体配置为：计算所述第三聚合结果与所述辅助字段的第一配对结果，以及所述第五元素与所述第一聚合结果的第二配对结果，综合第一配对结果和第二配对结果，得到所述第二聚合结果。

根据一个实施例，对称密钥确定单元84具体配置为：对所述第二聚合结果以及所述第一合约标识进行哈希运算，得到所述第一对称密钥。

在一个实施例中，合约密钥确定单元86具体配置为：将所述第一对称密钥与所述第一合约标识进行预定哈希运算，得到所述合约私钥。

在一个实施例中，第二加密数据基于所述第一隐私数值和所述合约私钥对应的合约公钥，在第三循环群中进行群操作而生成；在这样的情况下，第二解密单元87具体配置为：利用所述合约私钥，得到利用所述第一隐私数值对所述第三循环群的第四生成元进行群操作的结果；然后遍历该第四生成元的可能群操作结果，还原出所述第一隐私数值。

根据一种实施方式，上述装置800还包括，第二交易发起单元，包括(未示出)：获取模块，配置为获取用于对交易状态进行更新的第二隐私文本和第二隐私数值，所述第二隐私数值与所述第一隐私数值符合预定关系；第三加密模块，配置为利用所述第一对称密钥加密所述第二隐私文本，生成第三加密数据；公钥生成模块，配置为基于所述合约私钥，生成对应的合约公钥；第四加密模块，配置为使用第一同态加密算法，基于所述合约公钥对所述第二隐私数值进行加密，生成第四加密数据；交易生成模块，配置为生成调用所述第一智能合约的第二交易，将第二交易内容填入所述第一智能合约，所述第二交易内容包括，所述m个参与方的信息，所述第三加密数据，以及所述第四加密数据。

更具体的，在一个实施例中，公钥生成模块配置为：基于所述合约私钥对约定的第三循环群中的第三生成元进行群操作，得到所述合约公钥。

在一个实施例中，上述第二交易发起单元还包括证明生成模块，配置为基于Σ零知识证明协议，利用所述合约公钥，生成所述第二隐私数值加密合法性的第三证明；相应的，交易生成模块可以在所述第二交易内容中包括所述合约公钥和所述第三证明。

在一个实施例中，上述证明生成模块还配置为，基于bulletproof范围证明协议，生成第四证明，所述第四证明用于证明所述第二隐私数值在合法范围内，且所述第二隐私数值与所述第一隐私数值的相对大小在预定范围内；相应的，交易生成模块可以在所述第二交易内容中包括所述第四证明。

通过以上的装置，在不影响区块链对智能合约交易进行链上执行的情况下，保护了其中隐私数据的安全。

根据另一方面的实施例，还提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行结合图3和图5所描述的方法。

根据再一方面的实施例，还提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现结合图3和图5所述的方法。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (28)

1. 一种保护隐私数据的发起智能合约交易的方法，通过第一参与方执行，所述方法包括：

   确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据；其中，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述隐私数据包括第一隐私文本；

   生成第一辅助信息，其中包括对所述m个参与方的第一公钥部分进行第一聚合的第一聚合结果；

   对所述m个参与方的第二公钥部分进行与所述第一聚合对应的第二聚合；根据第二聚合结果，以及所述第一合约标识，生成第一对称密钥；

   利用所述第一对称密钥加密所述第一隐私文本，生成第一加密数据；

   生成调用所述第一智能合约的第一交易，将第一交易内容填入所述第一智能合约，所述第一交易内容包括，所述m个参与方的信息，所述第一辅助信息，以及所述第一加密数据。
2. 根据权利要求1所述的方法，所述隐私数据还包括第一隐私数值；所述方法还包括：

   基于所述第一对称密钥和所述第一合约标识，生成合约私钥和对应的合约公钥；

   使用第一同态加密算法，基于所述合约公钥对所述第一隐私数值进行加密，生成第二加密数据；

   将所述第二加密数据包含在所述第一交易内容中。
3. 根据权利要求1所述的方法，还包括，预先进行所述第一参与方的密钥配置，具体包括：

   任取第一随机数，并在所述第一循环群中任取第一元素；

   使用预定的哈希映射函数，将所述第一参与方的标识映射到所述第一循环群中的第二元素；基于所述第一随机数，第一元素和第二元素在所述第一循环群中的群操作，得到所述第一参与方的参与方私钥；

   基于所述第一随机数对所述第二循环群对应的第二生成元进行群操作，得到所述第 一参与方的第一公钥部分；

   基于所述第一循环群中的第一元素和所述第二生成元之间的配对，得到所述第一参与方的第二公钥部分。
4. 根据权利要求3所述的方法，其中，预先进行所述第一参与方的密钥配置还包括：

   针对所述m个参与方中任意的第二参与方，使用所述哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第三元素，基于所述第一随机数，第一元素和第三元素在所述第一循环群中的群操作，得到第一参与方针对第二参与方的密钥交叉项，并至少将其发布给所述第二参与方。
5. 根据权利要求1所述的方法，其中，所述生成第一辅助信息包括：

   任取第二随机数，基于所述第二随机数对所述第二循环群对应的第二生成元进行群操作，生成辅助字段；

   基于所述第二随机数对所述m个参与方的m个第一公钥部分进行第一聚合，生成第一聚合结果；

   所述辅助字段和所述第一聚合结果构成所述第一辅助信息；

   所述第二聚合结果为，基于所述第二随机数对所述m个参与方的m个第二公钥部分进行第二聚合的结果。
6. 根据权利要求1所述的方法，其中，所述生成第一对称密钥包括：

   将所述第二聚合结果和所述第一合约标识进行哈希运算，得到所述第一对称密钥。
7. 根据权利要求2所述的方法，其中，基于所述第一对称密钥和所述第一合约标识，生成合约私钥和对应的合约公钥，包括：

   将所述第一对称密钥与所述第一合约标识进行预定哈希运算，得到所述合约私钥；

   基于所述合约私钥对第三循环群中的第三生成元进行群操作，得到所述合约公钥。
8. 根据权利要求7所述的方法，其中，生成第二加密数据包括：

   基于选取的第三随机数，所述第一隐私数值，和所述合约公钥，在所述第三循环群中进行群操作，得到第二加密数据。
9. 根据权利要求1所述的方法，还包括，

   基于Σ零知识证明协议，利用所述合约公钥，生成所述第一隐私数值加密合法性的第一证明；

   其中，将第一交易内容填入所述第一智能合约包括，在所述第一交易内容中包括所述合约公钥和所述第一证明。
10. 根据权利要求1所述的方法，还包括，

    基于bulletproof范围证明协议，生成所述第一隐私数值在合法范围内的第二证明；

    其中，将第一交易内容填入所述第一智能合约包括，在所述第一交易内容中包括所述第二证明。
11. 一种保护隐私数据的执行智能合约交易的方法，通过第二参与方执行，所述方法包括：

    获取调用第一智能合约的第一交易的交易内容，其中包括，该交易涉及的m个参与方的信息，第一辅助信息，以及第一加密数据；其中，所述m个参与方包括所述第二参与方；所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，所述第一加密数据是对第一隐私文本加密的数据；

    将所述m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果；

    根据所述第三聚合结果，所述第一辅助信息，以及所述第一循环群和第二循环群之间的配对算法，还原出对所述m个参与方的第二公钥部分进行聚合的第二聚合结果；

    根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥；

    利用所述第一对称密钥解密所述第一加密数据，得到所述第一隐私文本；

    至少根据所述第一隐私文本，记录本地交易状态。
12. 根据权利要求11所述的方法，其中，所述第一交易的交易内容还包括对第一隐私数值加密得到的第二加密数据；所述方法还包括：

    基于所述第一对称密钥和所述第一合约标识，确定合约私钥；

    使用第一同态解密算法，利用所述合约私钥解密所述第二加密数据，得到所述第一隐私数值；

    所述记录本地交易状态还包括，根据所述第一隐私数值，记录交易状态。
13. 根据权利要求11所述的方法，其中，获取调用第一智能合约的第一交易的交易内容，包括：

    响应于从区块链网络的第一节点接收到交易通知，从区块链中获取所述第一交易的交易内容。
14. 根据权利要求11所述的方法，其中，所述第二参与方的私钥通过以下方式生成：

    任取第四随机数，并在所述第一循环群中任取第四元素；

    使用预定的哈希映射函数，将所述第二参与方的标识映射到所述第一循环群中的第五元素；基于所述第四随机数，第四元素和第五元素在所述第一循环群中的群操作，得到所述第二参与方的参与方私钥；

    所述m个参与方中任意的第三参与方针对该第二参与方生成的密钥交叉项通过以下方式生成：基于该第三参与方任取的第五随机数，在所述第一循环群中任取的第六元素，以及上述第五元素，在所述第一循环群中进行群操作，得到第三参与方针对第二参与方的密钥交叉项。
15. 根据权利要求14所述的方法，其中，所述第一辅助信息包括辅助字段和所述第一聚合结果，所述辅助字段通过基于随机数对第二循环群的第二生成元进行群操作而生成；

    所述还原出对所述m个参与方的第二公钥部分进行聚合的第二聚合结果，包括：

    计算所述第三聚合结果与所述辅助字段的第一配对结果，以及所述第五元素与所述第一聚合结果的第二配对结果，综合第一配对结果和第二配对结果，得到所述第二聚合结果。
16. 根据权利要求11所述的方法，其中，根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥，包括：

    对所述第二聚合结果以及所述第一合约标识进行哈希运算，得到所述第一对称密钥。
17. 根据权利要求12所述的方法，其中，基于所述第一对称密钥和所述第一合约标识，确定合约私钥，包括：

    将所述第一对称密钥与所述第一合约标识进行预定哈希运算，得到所述合约私钥。
18. 根据权利要求12所述的方法，其中，所述第二加密数据基于所述第一隐私数值和所述合约私钥对应的合约公钥，在第三循环群中进行群操作而生成；

    利用所述合约私钥解密所述第二加密数据，得到所述第一隐私数值，包括：

    利用所述合约私钥，得到利用所述第一隐私数值对所述第三循环群的第四生成元进行群操作的结果；

    遍历该第四生成元的可能群操作结果，还原出所述第一隐私数值。
19. 根据权利要求12所述的方法，还包括：

    获取用于对交易状态进行更新的第二隐私文本和第二隐私数值，所述第二隐私数值 与所述第一隐私数值符合预定关系；

    利用所述第一对称密钥加密所述第二隐私文本，生成第三加密数据；

    基于所述合约私钥，生成对应的合约公钥；

    使用第一同态加密算法，基于所述合约公钥对所述第二隐私数值进行加密，生成第四加密数据；

    生成调用所述第一智能合约的第二交易，将第二交易内容填入所述第一智能合约，所述第二交易内容包括，所述m个参与方的信息，所述第三加密数据，以及所述第四加密数据。
20. 根据权利要求19所述的方法，其中，基于所述合约私钥，生成对应的合约公钥，包括：

    基于所述合约私钥对约定的第三循环群中的第三生成元进行群操作，得到所述合约公钥。
21. 根据权利要求19所述的方法，还包括：

    基于Σ零知识证明协议，利用所述合约公钥，生成所述第二隐私数值加密合法性的第三证明；

    其中，将第二交易内容填入所述第一智能合约包括，在所述第二交易内容中包括所述合约公钥和所述第三证明。
22. 根据权利要求19所述的方法，还包括，

    基于bulletproof范围证明协议，生成第四证明，所述第四证明用于证明所述第二隐私数值在合法范围内，且所述第二隐私数值与所述第一隐私数值的相对大小在预定范围内；

    其中，将第二交易内容填入所述第一智能合约包括，在所述第二交易内容中包括所述第四证明。
23. 一种保护隐私数据的发起智能合约交易的装置，部署在第一参与方对应的终端中，所述装置包括：

    确定单元，配置为确定要调用的第一智能合约的第一合约标识，本次交易涉及的m个参与方，以及有待填入所述第一智能合约的隐私数据；其中，所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，其中所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所 述隐私数据包括第一隐私文本；

    辅助信息生成单元，配置为生成第一辅助信息，其中包括对所述m个参与方的第一公钥部分进行第一聚合的第一聚合结果；

    对称密钥生成单元，配置为对所述m个参与方的第二公钥部分进行与所述第一聚合对应的第二聚合；根据第二聚合结果，以及所述第一合约标识，生成第一对称密钥；

    第一加密单元，配置为利用所述第一对称密钥加密所述第一隐私文本，生成第一加密数据；

    第一交易生成单元，配置为生成调用所述第一智能合约的第一交易，将第一交易内容填入所述第一智能合约，所述第一交易内容包括，所述m个参与方的信息，所述第一辅助信息，以及所述第一加密数据。
24. 根据权利要求23所述的装置，其中，所述隐私数据还包括第一隐私数值，所述装置还包括：

    合约密钥生成单元，配置为基于所述第一对称密钥和所述第一合约标识，生成合约私钥和对应的合约公钥；

    第二加密单元，配置为使用第一同态加密算法，基于所述合约公钥对所述第一隐私数值进行加密，生成第二加密数据；

    所述第一交易生成单元所填入的所述第一交易内容还包括所述第二加密数据。
25. 一种保护隐私数据的执行智能合约交易的装置，部署在第二参与方对应的终端中，所述装置包括：

    获取单元，配置为获取调用第一智能合约的第一交易的交易内容，其中包括，该交易涉及的m个参与方的信息，第一辅助信息，以及第一加密数据；其中，所述m个参与方包括所述第二参与方；所述m个参与方的每一个各自预先配置有参与方私钥和参与方公钥，所述参与方私钥基于第一循环群生成，所述参与方公钥包括第一公钥部分和第二公钥部分，所述第一公钥部分基于第二循环群生成，所述第二公钥部分基于所述第一循环群和第二循环群之间的配对而生成；每个参与方还采用与所述参与方私钥对应的生成方式针对其他参与方生成有密钥交叉项；所述第一辅助信息包括所述m个参与方的第一公钥部分的第一聚合结果，所述第一加密数据是对第一隐私文本加密的数据；

    聚合单元，配置为将所述m个参与方中其他参与方针对该第二参与方生成的密钥交叉项，以及该第二参与方的参与方私钥进行聚合，得到第三聚合结果；

    还原单元，配置为根据所述第三聚合结果，所述第一辅助信息，以及所述第一循环群和第二循环群之间的配对算法，还原出对所述m个参与方的第二公钥部分进行聚合的 第二聚合结果；

    对称密钥确定单元，根据所述第二聚合结果和所述第一智能合约的第一合约标识，确定第一对称密钥；

    第一解密单元，配置为利用所述第一对称密钥解密所述第一加密数据，得到所述第一隐私文本；

    记录单元，配置为至少根据所述第一隐私文本，记录本地交易状态。
26. 根据权利要求25所述的装置，其中，所述第一交易的交易内容还包括对第一隐私数值加密得到的第二加密数据；所述装置还包括：

    合约密钥确定单元，配置为基于所述第一对称密钥和所述第一合约标识，生成合约私钥；

    第二解密单元，配置为使用第一同态解密算法，利用所述合约私钥解密所述第二加密数据，得到所述第一隐私数值；

    所述记录单元还配置为，根据所述第一隐私数值，记录本地交易状态。
27. 一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-22中任一项的所述的方法。
28. 一种计算设备，包括存储器和处理器，其特征在于，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-22中任一项所述的方法。

Images