區(qū)塊鏈交易隱私保護(hù)技術(shù)綜述

謝晴晴，楊念民，馮霞

區(qū)塊鏈交易隱私保護(hù)技術(shù)綜述

謝晴晴1，2*，楊念民1，2，馮霞3

（1.江蘇大學(xué) 計(jì)算機(jī)科學(xué)與通信工程學(xué)院， 江蘇 鎮(zhèn)江 212013； 2.江蘇省工業(yè)網(wǎng)絡(luò)安全技術(shù)重點(diǎn)實(shí)驗(yàn)室（江蘇大學(xué)），江蘇 鎮(zhèn)江 212013； 3.江蘇大學(xué) 汽車與交通工程學(xué)院，江蘇 鎮(zhèn)江 212013）（ ? 通信作者電子郵箱xieqq@ujs.edu.cn）

區(qū)塊鏈賬本數(shù)據(jù)是公開(kāi)透明的。一些攻擊者可以通過(guò)分析賬本數(shù)據(jù)來(lái)獲取敏感信息，這對(duì)用戶的交易隱私造成威脅。鑒于區(qū)塊鏈交易隱私保護(hù)的重要性，首先分析產(chǎn)生交易隱私泄露的原因，并將交易隱私分為交易者身份隱私和交易數(shù)據(jù)隱私兩類；其次，從這兩種不同類型的隱私角度，闡述現(xiàn)有的面向區(qū)塊鏈交易的隱私保護(hù)技術(shù)；接著，鑒于隱私保護(hù)和監(jiān)管之間的矛盾性，介紹兼具監(jiān)管的交易身份隱私保護(hù)方案；最后，總結(jié)和展望了區(qū)塊鏈交易隱私保護(hù)技術(shù)未來(lái)的研究方向。

區(qū)塊鏈；交易隱私保護(hù)；身份隱私；交易數(shù)據(jù)隱私；交易監(jiān)管

0 引言

區(qū)塊鏈最初依托于比特幣［1］被提出。區(qū)塊鏈集成了加密算法、點(diǎn)對(duì)點(diǎn)傳輸、智能合約和共識(shí)機(jī)制等技術(shù)，具有公開(kāi)透明性、不可篡改性、去中心化、交易假名化等優(yōu)點(diǎn)［2］，廣泛應(yīng)用于數(shù)字貨幣［3-4］、供應(yīng)鏈［5-6］、電子投票［7-8］、車聯(lián)網(wǎng)［9-10］、醫(yī)療業(yè)［11-12］等多個(gè)領(lǐng)域。以金融供應(yīng)鏈為例，傳統(tǒng)金融體系存在信息不對(duì)稱、信息孤島、結(jié)算不能自動(dòng)完成等諸多缺點(diǎn)［13］。金融供應(yīng)鏈可以采用區(qū)塊鏈技術(shù)將銀行、核心企業(yè)、二三級(jí)供應(yīng)商和其他金融機(jī)構(gòu)上鏈，支持資金流、信息流、信任流同時(shí)傳遞，并通過(guò)嵌入智能合約實(shí)現(xiàn)協(xié)議的自動(dòng)執(zhí)行，提高了信息共享效率，降低了信任和資金傳遞成本。

區(qū)塊鏈賬本數(shù)據(jù)的公開(kāi)透明性一方面極大地方便了各節(jié)點(diǎn)數(shù)據(jù)的維護(hù)驗(yàn)證，另一方面也給用戶隱私保護(hù)帶來(lái)威脅，攻擊者會(huì)分析全局賬本，獲取用戶的身份隱私信息和數(shù)據(jù)隱私信息。盡管區(qū)塊鏈地址是匿名的，但是攻擊者可以采用聚類技術(shù)或交易圖分析技術(shù)，建立地址與地址、地址與交易的聯(lián)系，進(jìn)而獲取地址的交易規(guī)律、交易特征、交易軌跡等［14］。通過(guò)這些交易細(xì)節(jié)，攻擊者可以將現(xiàn)實(shí)中的用戶交易行為和對(duì)賬本數(shù)據(jù)分析所勾勒出的用戶行為進(jìn)行匹配，從而獲取用戶真實(shí)身份，造成用戶身份隱私的泄露。除此之外，攻擊者可通過(guò)數(shù)據(jù)分析、數(shù)據(jù)挖掘、深度學(xué)習(xí)等方法從海量數(shù)據(jù)中提取出有價(jià)值的信息，經(jīng)過(guò)處理（如屬性匹配、信息關(guān)聯(lián)）的數(shù)據(jù)存在泄露敏感信息的可能［15］。例如：在網(wǎng)購(gòu)鏈中，攻擊者通過(guò)分析交易金額推斷用戶的購(gòu)買力、收入水平、消費(fèi)習(xí)慣等，甚至推測(cè)出用戶的真實(shí)身份；在醫(yī)療鏈中，攻擊者能夠獲取用戶的病歷信息或者家庭住址信息等，這將對(duì)用戶的日常工作生活造成不便，甚至對(duì)自身安全造成威脅。因此，區(qū)塊鏈交易隱私泄露問(wèn)題亟待解決。保證區(qū)塊鏈上用戶的身份隱私和數(shù)據(jù)隱私是區(qū)塊鏈能夠真正落地所面臨的一項(xiàng)重要挑戰(zhàn)，但是身份隱私并不是無(wú)條件的，因?yàn)榉欠ㄓ脩魰?huì)利用匿名身份逃避監(jiān)管，所以兼顧監(jiān)管的身份隱私也受到關(guān)注。

區(qū)塊鏈交易隱私保護(hù)是目前的研究熱點(diǎn)，祝烈煌等［16］從混幣技術(shù)、加密技術(shù)和限制發(fā)布技術(shù)這3方面探討了目前的交易層的隱私保護(hù)技術(shù)。王宗慧等［17］將現(xiàn)有典型的區(qū)塊鏈隱私保護(hù)方案分為3種，即混幣方案、密碼學(xué)方案和安全通道方案，并總結(jié)了這3種區(qū)塊鏈隱私保護(hù)技術(shù)方案。李旭東等［18］從兩個(gè)方面總結(jié)比特幣隱私保護(hù)技術(shù)：一方面是不需要修改現(xiàn)有比特幣協(xié)議的技術(shù)，如混幣技術(shù)、離鏈支付協(xié)議；另一方面是需要修改現(xiàn)有比特幣協(xié)議的技術(shù)，如密碼學(xué)方案。張奧等［19］主要通過(guò)技術(shù)實(shí)現(xiàn)原理，將保護(hù)技術(shù)劃分為地址混淆、信息隱藏和通道隔離。上述相關(guān)工作分類定義了區(qū)塊鏈隱私，如分為身份隱私和交易內(nèi)容隱私等［17］。然而在探討具體的隱私保護(hù)技術(shù)時(shí)，上述工作將交易身份和交易內(nèi)容的隱私保護(hù)放在一起討論，沒(méi)有集中分析面向交易內(nèi)容和交易身份的隱私保護(hù)在設(shè)計(jì)思路和實(shí)現(xiàn)手段上的差異?？紤]到實(shí)際應(yīng)用中需要保護(hù)隱私的對(duì)象不同，有必要將交易身份隱私和交易內(nèi)容隱私分開(kāi)討論。另外交易身份隱私之上的身份監(jiān)管問(wèn)題在行業(yè)應(yīng)用中日益凸顯，為此本文也討論了兼顧監(jiān)管的交易身份隱私保護(hù)技術(shù)。

依據(jù)保護(hù)對(duì)象的不同，本文將交易隱私保護(hù)技術(shù)分為交易身份隱私保護(hù)技術(shù)和交易數(shù)據(jù)隱私保護(hù)技術(shù)。其中交易身份指交易地址所關(guān)聯(lián)的真實(shí)用戶身份，交易數(shù)據(jù)指雙方交易的內(nèi)容，如交易金額。在“區(qū)塊鏈+供應(yīng)鏈”的應(yīng)用［20］中，交易身份指發(fā)送者地址、接收者地址所關(guān)聯(lián)的真實(shí)身份；交易數(shù)據(jù)指產(chǎn)品描述、價(jià)格、交易數(shù)量等數(shù)據(jù)。

如圖1所示，本文從保護(hù)對(duì)象的分類、隱私攻擊的手段、身份隱私保護(hù)措施、數(shù)據(jù)隱私保護(hù)措施和身份隱私保護(hù)上的監(jiān)管這5個(gè)方面組成區(qū)塊鏈交易隱私保護(hù)技術(shù)的框架。

圖1　區(qū)塊鏈交易隱私保護(hù)技術(shù)框架

1 區(qū)塊鏈交易隱私問(wèn)題分析

區(qū)塊鏈中的交易信息包含賬戶地址信息和交易數(shù)據(jù)信息，其中：賬戶地址信息與用戶身份相關(guān)，地址信息的關(guān)聯(lián)性會(huì)導(dǎo)致用戶身份隱私的泄露；交易數(shù)據(jù)在不同場(chǎng)景下具體表現(xiàn)不同，例如，在數(shù)字貨幣領(lǐng)域交易數(shù)據(jù)主要指交易金額，在醫(yī)療鏈領(lǐng)域交易數(shù)據(jù)主要指醫(yī)療數(shù)據(jù)。這兩類信息保護(hù)的措施不同，身份隱私保護(hù)方面，主要采用混淆技術(shù)（借助混合服務(wù)器或者密碼學(xué)技術(shù)）隱藏賬戶地址的關(guān)聯(lián)性。數(shù)據(jù)隱私保護(hù)方面，對(duì)于交易金額這類需要可驗(yàn)證的數(shù)據(jù)主要采用同態(tài)加密技術(shù)，一是可以提供機(jī)密性，二是節(jié)點(diǎn)可以利用同態(tài)加密算法的同態(tài)性驗(yàn)證隱藏交易金額的平衡性；對(duì)于其他交易數(shù)據(jù)可以采用屬性基加密、可搜索加密等。為此，本章將交易隱私分為交易身份隱私和交易數(shù)據(jù)隱私，并介紹了相應(yīng)的隱私泄露問(wèn)題。

1.1　交易身份隱私泄露

交易身份隱私指用戶的真實(shí)身份與交易賬戶地址（即交易假名）的關(guān)聯(lián)關(guān)系。區(qū)塊鏈地址的生成無(wú)須實(shí)名認(rèn)證，而且同一擁有者可以產(chǎn)生各種不同的交易賬戶地址，不同的交易賬戶地址之間無(wú)直接關(guān)聯(lián)關(guān)系，因此區(qū)塊鏈在一定程度上為用戶匿名交易提供了技術(shù)支持。但是由于所有的交易路徑都是公開(kāi)的，攻擊者可以通過(guò)地址跟蹤用戶的交易數(shù)據(jù)，分析交易規(guī)律，從而取得用戶交易地址間的關(guān)聯(lián)性，并結(jié)合網(wǎng)絡(luò)外部信息進(jìn)一步推測(cè)用戶真實(shí)身份信息［21］。Reid等［22］根據(jù)比特幣交易結(jié)構(gòu)特征提出了交易圖和用戶圖的理論，對(duì)用戶身份去匿名化。Meiklejohn等［23］在Reid等［22］工作的基礎(chǔ)上，結(jié)合區(qū)塊鏈交易的隱藏知識(shí)，即“交易的找零地址和輸入地址都同屬于一個(gè)用戶地址”，提出了一種啟發(fā)式聚類方法對(duì)用戶身份去匿名化。Androulaki等［24］使用模擬器模擬顯示大學(xué)環(huán)境中比特幣的使用，發(fā)現(xiàn)即使通過(guò)手動(dòng)創(chuàng)建新地址增強(qiáng)隱私，但是依靠交易聚合技術(shù)仍然可以在很大程度上揭露40%比特幣用戶的真實(shí)身份。Shen等［25］在底層網(wǎng)絡(luò)中使用傳播模式分析的方法對(duì)大規(guī)模的比特幣交易去匿名化。Long等［26］通過(guò)量化的啟發(fā)式去匿名方法提出一種IP匹配方法，該方法可以匹配IP的活動(dòng)信息與區(qū)塊鏈中的交易記錄，以準(zhǔn)確確定交易者及其相應(yīng)的區(qū)塊鏈地址。

1.2　交易數(shù)據(jù)隱私泄露

交易數(shù)據(jù)隱私指存儲(chǔ)在區(qū)塊鏈的交易內(nèi)容隱私，例如交易金額、交易數(shù)量等。區(qū)塊鏈公開(kāi)透明的特性雖然可以減少重復(fù)對(duì)賬行為和信用風(fēng)險(xiǎn)，但是同時(shí)也會(huì)導(dǎo)致交易數(shù)據(jù)隱私泄露［27］。以供應(yīng)鏈為例，區(qū)塊鏈技術(shù)的使用可以打造一個(gè)可信透明的數(shù)據(jù)網(wǎng)絡(luò)，提升企業(yè)決策有效性，促進(jìn)供應(yīng)鏈上下游企業(yè)數(shù)據(jù)之間的流通，但同時(shí)供應(yīng)鏈中包含著豐富的敏感數(shù)據(jù)，如信息流、資金流、物流和商流等。一般情況下，這些數(shù)據(jù)只能在具有合作伙伴關(guān)系的企業(yè)之間流動(dòng)，如果將這些數(shù)據(jù)直接上鏈存儲(chǔ)，競(jìng)爭(zhēng)對(duì)手可以通過(guò)這些公開(kāi)數(shù)據(jù)推斷出商業(yè)合作關(guān)系、市場(chǎng)供求關(guān)系和資金流轉(zhuǎn)情況等，威脅企業(yè)的核心競(jìng)爭(zhēng)力，不利于社會(huì)經(jīng)濟(jì)穩(wěn)定。因此，解決交易數(shù)據(jù)隱私泄露問(wèn)題對(duì)區(qū)塊鏈的實(shí)際落地具有重要意義。

2 交易身份隱私保護(hù)方案

交易身份隱私保護(hù)方案主要有混幣機(jī)制［28-35］和基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制［36-39］，其中：根據(jù)有無(wú)中心化服務(wù)器的參與，混幣機(jī)制分為中心化混幣機(jī)制［28-29］和去中心化混幣機(jī)制［30-35］；基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制主要使用密碼學(xué)技術(shù)，如零知識(shí)證明［36-37］和環(huán)簽名［38-39］。

2.1　混幣機(jī)制

混幣機(jī)制通過(guò)割裂交易輸入和輸出的關(guān)系達(dá)到保護(hù)用戶身份隱私的效果。

2.1.1中心化混幣機(jī)制

中心化混幣機(jī)制由第三方混幣服務(wù)器完成混幣過(guò)程。首先混幣需求者將混幣資金發(fā)送給第三方混幣服務(wù)器，其次第三方混幣服務(wù)器將分配收集的資金，最后將混幣金額發(fā)送至用戶指定輸出地址。中心化混幣服務(wù)的過(guò)程一般包含４個(gè)階段［40］。

1）協(xié)商階段：混合用戶和第三方混幣服務(wù)器關(guān)于混幣輸入地址、混幣輸出地址、第三方混幣服務(wù)器的托管地址和混合手續(xù)費(fèi)等交易細(xì)節(jié)內(nèi)容達(dá)成一致。

2）輸入階段：混合用戶將商定的混幣金額從輸入地址發(fā)送到第三方混幣服務(wù)器的托管地址上。

3）輸出階段：第三方混幣服務(wù)器從混合池里隨機(jī)選擇等額的混合資金轉(zhuǎn)移至混合用戶指定的輸出地址上。

4）混幣記錄刪除階段：混幣協(xié)議正常結(jié)束后，混幣用戶和第三方混幣服務(wù)器銷毀本次混幣記錄，防止泄露混幣信息。

目前第三方混幣服務(wù)提供商有BitLaundry（http：//bitlaundry.com/）、BitFog（http：//bitcoinfog.info/）等；但是中心化混幣機(jī)制主要存在以下問(wèn)題：1）安全性依賴于混幣服務(wù)器，混幣服務(wù)器可能盜竊資金和私自保留混幣信息，泄露混幣過(guò)程；2）相近時(shí)間內(nèi)參與混幣的用戶的混合金額需相同；3）需要支付手續(xù)費(fèi)。針對(duì)早期中心化混幣方式存在盜竊風(fēng)險(xiǎn)的問(wèn)題，Bonneau等［28］提出了可問(wèn)責(zé)的混幣方案Mixcoin。相較于早期的混幣方式，Mixcoin改進(jìn)了以下兩點(diǎn)：一是Mixcoin添加了問(wèn)責(zé)機(jī)制懲罰混幣服務(wù)器的盜竊行為，若混合用戶在規(guī)定的時(shí)間內(nèi)沒(méi)收到混幣服務(wù)器的轉(zhuǎn)賬交易，可以公布簽名承諾追責(zé)混幣服務(wù)器的盜竊行為；二是在手續(xù)費(fèi)用問(wèn)題上，Mixcoin采取隨機(jī)手續(xù)費(fèi)策略，避免因手續(xù)費(fèi)固定而降低用戶匿名性。Mixcoin實(shí)現(xiàn)了混合的不可區(qū)分性，被動(dòng)攻擊者無(wú)法確定用戶和匿名集中的哪一個(gè)用戶在交互。針對(duì)可以破壞混合不可區(qū)分性的主動(dòng)攻擊者，Mixcoin利用匿名通信網(wǎng)絡(luò)將多個(gè)混合交易鏈接在一起形成比特幣混合網(wǎng)絡(luò)，從而增加攻擊者的難度。然而混幣服務(wù)器仍然可以學(xué)習(xí)混合用戶輸入地址到輸出地址的映射，進(jìn)而泄露混幣過(guò)程。為此，Valenta等［29］提出了改進(jìn)的中心化混幣方案——盲幣（Blindcoin）。該方案使用盲簽名技術(shù)屏蔽混幣服務(wù)器學(xué)習(xí)混合用戶的輸入地址到輸出地址的映射；然而B(niǎo)lindcoin方案中的用戶必須將他們的簽名發(fā)布到公共日志上，這允許攻擊者將輸出地址鏈接到混幣服務(wù)器的簽名密鑰上，打破了混合的不可區(qū)分性。此外，Blindcoin沒(méi)有解決混幣服務(wù)器可以私自截留資金的問(wèn)題。

2.1.2去中心化混幣機(jī)制

中心化的混幣模式在一定程度上保護(hù)了交易者身份隱私。但是由于第三方混幣服務(wù)器的參與，不但用戶的資產(chǎn)會(huì)被混幣服務(wù)器盜竊，而且用戶的交易信息也會(huì)被服務(wù)器泄露，另外混合用戶需要繳納額外的手續(xù)費(fèi)。去中心化混幣機(jī)制由多個(gè)參與者協(xié)作運(yùn)行混幣協(xié)議，拋棄了第三方中心化的混幣服務(wù)器，解決了第三方混合服務(wù)器的加入所帶來(lái)的信任問(wèn)題。去中心化混幣機(jī)制的交易流程主要分為４個(gè)階段［40］。

1）協(xié)商階段。參與混幣的用戶關(guān)于混幣金額、輸入地址和輸出地址等達(dá)成一致。

2）混淆階段。參與混幣用戶根據(jù)混幣協(xié)議混淆所有輸出地址，混淆階段的目的是打亂用戶輸入和輸出地址間的關(guān)聯(lián)性。

3）廣播階段。根據(jù)混淆階段得到的輸出地址構(gòu)造混合交易，確認(rèn)交易無(wú)誤后廣播交易信息，將資產(chǎn)轉(zhuǎn)移至各混幣用戶指定的輸出地址。

4）混幣記錄刪除階段。若混合過(guò)程無(wú)異常，則所有參與此次混合的用戶銷毀本次交易記錄，混合交易結(jié)束；若混合過(guò)程出現(xiàn)錯(cuò)誤，則需要參與混幣的用戶們找出并排除行為不端的用戶。

Gregory［30］提出了第一個(gè)不需要第三方服務(wù)器參與的去中心化混幣方案——聯(lián)合混幣CoinJoin。有混合意愿的用戶共同組成一個(gè)混合群，該群共同生成一個(gè)混合交易，包含了所有混合用戶的輸入地址和隨機(jī)排序后的輸出地址。由于混幣的金額是相同的，攻擊者無(wú)法分辨交易輸入和輸出地址的關(guān)系；然而交易輸入和輸出地址的鏈接關(guān)系對(duì)于參與混幣交易的節(jié)點(diǎn)是可見(jiàn)的，無(wú)法保證交易內(nèi)部的不可鏈接性。在CoinJoin的基礎(chǔ)上，Duffield等［31］提出了達(dá)世（Dash）幣。該項(xiàng)目中的混幣交易是由網(wǎng)絡(luò)中的主節(jié)點(diǎn)構(gòu)造，從而保證了內(nèi)部隱私性。多個(gè)主節(jié)點(diǎn)為用戶的交易進(jìn)行鏈?zhǔn)交鞄?，即上一個(gè)主節(jié)點(diǎn)的交易輸出作為下一個(gè)主節(jié)點(diǎn)的交易輸入進(jìn)一步混淆，最多可以進(jìn)行16輪混合。當(dāng)混合輪數(shù)越多時(shí)，Dash幣匿名性越強(qiáng)，但是與之相應(yīng)的混合費(fèi)用和時(shí)間開(kāi)銷也會(huì)增大；另外，為了增強(qiáng)混合的匿名性，所有的交易輸入和輸出都是相同的標(biāo)準(zhǔn)面額，如0.001、0.01、0.1、1和10。Ruffing等［32］沿用CoinJoin技術(shù)提出了一種基于解密混合網(wǎng)的混幣方案CoinShuffle。CoinShuffle方案采用解密混合網(wǎng)絡(luò)技術(shù)［41］打亂輸出地址集合，解決了內(nèi)部節(jié)點(diǎn)知道其他節(jié)點(diǎn)輸出地址的問(wèn)題。然而，CoinShuffle方案混淆階段的計(jì)算開(kāi)銷和通信開(kāi)銷會(huì)隨著混合用戶的增加而急劇增大，不適合大規(guī)模用戶混合。Ziegeldorf等［33］提出了一種基于解密混合網(wǎng)絡(luò)技術(shù)和門限橢圓曲線數(shù)字簽名算法［42］的安全多方混幣方案CoinParty。CoinParty通過(guò)使用安全多方計(jì)算協(xié)議模擬受信任的第三方以實(shí)現(xiàn)用戶之間的匿名混幣。類似于CoinShuffle方案，CoinParty在混淆階段同樣采用了解密混合網(wǎng)絡(luò)技術(shù)保障內(nèi)部隱私性。另外，相較于CoinShuffle方案，CoinParty改進(jìn)了以下兩點(diǎn)：一是采用秘密分享驗(yàn)證混淆的正確性；二是要求最后一位參與者以字典序?qū)敵黾判?，再增加公共隨機(jī)置換得到最終混淆結(jié)果，避免最后一位用戶操縱排序結(jié)果。

Xiao等［34］提出了一種基于去中心化分布式簽名的混幣方案。該方案采用協(xié)商方式進(jìn)行混合交易，從而避免群成員獲悉其他成員的初始交易。為了避免對(duì)第三方的依賴以及額外的混合費(fèi)，該方案采用多方簽名協(xié)議簽署交易。圖2為去中心化混幣方案的過(guò)程［34］，有混合意愿的用戶組成一個(gè)混合群。群成員將協(xié)商請(qǐng)求分解成個(gè)相互獨(dú)立的協(xié)商子請(qǐng)求，并將協(xié)商子請(qǐng)求隨機(jī)分發(fā)給不同的群成員。其他群成員接收到協(xié)商子請(qǐng)求后做如下處理：若當(dāng)前持有金額為0，將子協(xié)商請(qǐng)求分發(fā)給其他節(jié)點(diǎn)；若當(dāng)前持有金額小于協(xié)商子請(qǐng)求的協(xié)商金額，將當(dāng)前持有金額全部轉(zhuǎn)給協(xié)商子請(qǐng)求中的輸出地址，并向其他節(jié)點(diǎn)發(fā)送新的協(xié)商請(qǐng)求以滿足剩余協(xié)商金額的需求；若當(dāng)前持有金額大于或等于協(xié)商子請(qǐng)求的協(xié)商金額，向協(xié)商子請(qǐng)求中的輸出地址發(fā)送一筆交易，交易金額為協(xié)商金額。其次，群成員將所有協(xié)商交易匯總成最終混合交易，驗(yàn)證自身輸出地址是否收到相應(yīng)金額。若無(wú)差錯(cuò)，群成員使用基于ElGamal的去中心化簽名協(xié)議簽署最終交易。然而協(xié)商過(guò)程存在較大的通信開(kāi)銷，此外，群內(nèi)成員需要相互保持匿名性，否則惡意成員根據(jù)協(xié)商請(qǐng)求消息能夠以高概率分析出交易輸入和輸出的鏈接關(guān)系。Lu等［35］提出了一種面向大規(guī)模比特幣交易的高效混幣方案CoinLayering。為了防止混合節(jié)點(diǎn)分辨出輸入和輸出地址關(guān)系，CoinLayering使用中國(guó)剩余定理和Schnoor簽名構(gòu)造的群簽名作為資產(chǎn)轉(zhuǎn)移憑證，以此消除用戶輸入和輸出地址的關(guān)系。然而，該方案并不能防止合謀攻擊，混合節(jié)點(diǎn)合謀將會(huì)暴露用戶的輸入和輸出地址關(guān)系。

圖2　去中心化混幣方案的過(guò)程

本節(jié)從混幣的角度介紹相關(guān)的身份隱私保護(hù)方案。早期，交易用戶為了保持身份的匿名性，可以向混合服務(wù)器請(qǐng)求提供混幣服務(wù)，但是這種中心化的混幣方式存在混合服務(wù)器盜竊資產(chǎn)的行為。盡管有一些改進(jìn)方案如Mixcoin、Blindcoin通過(guò)添加簽名承諾的方式約束混合服務(wù)的行為，但是如果混合服務(wù)器不顧自己的聲譽(yù)，依然可以盜竊交易用戶的資產(chǎn)。為此相關(guān)學(xué)者提出了去中心化的混幣方案，摒棄了中心化混合服務(wù)器，由參與混合的用戶自行協(xié)商混幣方式，但是去中心化的解決方式又容易產(chǎn)生混合節(jié)點(diǎn)內(nèi)部泄露混幣信息的風(fēng)險(xiǎn)和混合節(jié)點(diǎn)拒不簽名的行為。針對(duì)混合節(jié)點(diǎn)內(nèi)部泄露混幣信息的風(fēng)險(xiǎn)，可以采用解密混合網(wǎng)技術(shù)，如CoinShuffle、CoinParty方案。針對(duì)混合內(nèi)部節(jié)點(diǎn)盜竊資產(chǎn)或者拒不簽名的行為，可以采用閾值簽名的方式控制輸入資產(chǎn)，增加惡意混合節(jié)點(diǎn)拒不履行協(xié)議的成本，如CoinParty、CoinLayering方案。此外，還可以使用去中心化式的簽名方式，以相互協(xié)商的方式完成去中心化式的混幣，如文獻(xiàn)［34］方案。表1總結(jié)和對(duì)比了以上方案的結(jié)構(gòu)、不可鏈接性、盜竊風(fēng)險(xiǎn)這3個(gè)方面的特點(diǎn)；同時(shí)，鑒于抗拒絕服務(wù)（Denial of Service， DoS）攻擊和抗Sybil攻擊是兩種比較常見(jiàn)的攻擊方式，因此還比較了混幣機(jī)制對(duì)這兩種攻擊的抵抗性。

表1　混幣方案總結(jié)

注：√表示具有不可鏈接性。

2.2　基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制

2.2.1混幣方案

可以通過(guò)將交易地址打亂的方式隱藏交易之間的關(guān)聯(lián)性，保護(hù)交易者身份隱私。但是交易地址仍然公開(kāi)可見(jiàn)，惡意節(jié)點(diǎn)通過(guò)分析混合交易特征可以將交易地址關(guān)聯(lián)用戶的真實(shí)身份；而且混幣方案易遭受資金盜竊、拒絕服務(wù)和信息泄露等攻擊。為此研究者們利用零知識(shí)證明（Zero-Knowledge Proof， ZKP）［43］和環(huán)簽名等密碼學(xué)手段隱藏交易地址，增加攻擊者通過(guò)分析賬本數(shù)據(jù)獲取交易者真實(shí)身份的難度。

ZKP能夠讓證明者在不向驗(yàn)證者提供任何有用信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。零幣（Zerocoin）［36］和零鈔（Zerocash）［37］采用ZKP技術(shù)保護(hù)交易者身份隱私。這類加密貨幣通常包含兩個(gè)部分：

1）鑄幣。封裝交易來(lái)源、去向和金額，將比特幣轉(zhuǎn)換為相應(yīng)的加密貨幣，并將對(duì)應(yīng)的承諾加入承諾列表。

2）熔幣。交易發(fā)起者采用ZKP技術(shù)證明對(duì)交易輸入的所有權(quán)，從而花費(fèi)所持有的加密貨幣。

Zerocoin［36］是采用RSA（Rivest-Shamir-Adleman）累加器［44］和非交互式零知識(shí)證明技術(shù)［45］提出的加密貨幣方案。Zerocoin系統(tǒng)通過(guò)鑄幣交易將比特幣轉(zhuǎn)換為Zerocoin，并將Zerocoin對(duì)應(yīng)的唯一承諾加入混淆集RSA累加器。用戶在花費(fèi)時(shí)，僅需出示ZKP表明累加器中有一枚未花費(fèi)的硬幣即可；礦工驗(yàn)證ZKP的正確性，并檢驗(yàn)硬幣是否在其他交易中出現(xiàn)過(guò)（避免雙重支付）。若這兩個(gè)條件都滿足，則交易成功。由于借助了ZKP技術(shù)，整個(gè)過(guò)程在花費(fèi)交易時(shí)不必出示一枚具體的硬幣信息，從而隱藏了鑄幣交易和花費(fèi)交易的鏈接關(guān)系，使得攻擊者難以通過(guò)交易圖分析技術(shù)窺探交易者身份隱私。然而，Zerocoin使用固定面值的硬幣，不支持精確值支付；在花費(fèi)階段，用戶采用雙離散對(duì)數(shù)證明機(jī)制證明他對(duì)特定Zerocoin的所有權(quán)，存在存儲(chǔ)代價(jià)高、驗(yàn)證時(shí)間長(zhǎng)和交易效率低的缺點(diǎn)。

針對(duì)Zerocoin的缺陷，Ben Sasson等［37］基于簡(jiǎn)潔的非交互式零知識(shí)證明（zero-knowledge Succinct Non-interactive ARgument of Knowledge， zk-SNARK）技術(shù)［46］提出了一種改進(jìn)方案Zerocash。與Zerocoin相同，Zerocash分為鑄幣交易和花費(fèi)交易兩個(gè)部分。在鑄幣過(guò)程中，交易發(fā)起者將指定數(shù)量的基礎(chǔ)幣兌換成相同金額的Zerocash，每個(gè)幣有獨(dú)特的序列號(hào)。鑄幣過(guò)程實(shí)質(zhì)上是承諾生成過(guò)程，該承諾封裝了交易來(lái)源、去向和金額。為了達(dá)到混淆的目的，生成的承諾將被添加至承諾列表。在熔幣交易中，交易發(fā)起者將舊幣拆分或合并成新幣，并采用ZKP技術(shù)證明以下內(nèi)容：1）交易發(fā)起者在承諾列表中擁有未花費(fèi)的硬幣；2）交易前后，硬幣的總價(jià)值相等。為了使接收方使用新幣，發(fā)起者用接收方的公鑰加密新幣參數(shù)。接收方用私鑰掃描到交易內(nèi)容后解密密文，生成新幣的序列號(hào)。礦工根據(jù)交易發(fā)起者給出的證明，確認(rèn)承諾在承諾列表中且序列號(hào)未在花費(fèi)列表中。由于每一枚幣都有唯一的一次性序列號(hào)表示，序列號(hào)的唯一性保證了匿名資產(chǎn)不能被雙重花費(fèi)。

Zerocash在熔幣交易中采用ZKP技術(shù)證明用戶對(duì)交易輸入的所有權(quán)，而非采用簽名的方式解鎖未花費(fèi)交易輸出，從而割裂了鑄幣交易與熔幣交易以及熔幣交易與熔幣交易之間的關(guān)聯(lián)性，使得攻擊者無(wú)法通過(guò)交易圖技術(shù)關(guān)聯(lián)不同交易。此外，在熔幣交易過(guò)程中，接收者的交易信息被加密，保護(hù)了接收者身份隱私。相較于Zerocoin，Zerocash改進(jìn)如下：1）使用zk-SNARKs技術(shù)減少Zerocoin中證明所花費(fèi)的存儲(chǔ)空間和驗(yàn)證時(shí)間；2）支持可變金額的匿名交易和交易后找零；3）支持使用Zerocash直接向用戶支付。但是，Zerocash也存在缺點(diǎn)如下：1）需要可信的第三方設(shè)置系統(tǒng)的初始參數(shù)和公共參數(shù)，這會(huì)影響系統(tǒng)安全性；2）熔幣交易需要耗時(shí)2 min左右，交易效率低。

2.2.2基于環(huán)簽名算法的加密貨幣方案

環(huán)簽名算法最初是由Rivest等［47］提出，系統(tǒng)中只有地位相等的環(huán)成員而沒(méi)有管理者。在簽名過(guò)程中，簽名者的公私鑰和群里其他成員的公鑰混合在一起對(duì)消息簽名。在簽名驗(yàn)證過(guò)程中，驗(yàn)證者使用環(huán)參數(shù)和群成員的公鑰列表驗(yàn)證簽名的有效性。驗(yàn)證者只能驗(yàn)證出群中有環(huán)成員對(duì)消息簽名，而無(wú)法確定具體的簽名者，從而保護(hù)了簽名者身份隱私。

Saberhagen［38］提出了一種基于環(huán)簽名和一次性公鑰的電子貨幣系統(tǒng)CryptoNote。為了實(shí)現(xiàn)交易接受者身份的不可鏈接性，CryptoNote采用一次性公私鑰技術(shù)為接收者生成接收地址，使得攻擊者難以推測(cè)出任何兩個(gè)交易輸出屬于同一個(gè)接收者。為了實(shí)現(xiàn)交易發(fā)起者身份的不可追蹤性，CryptoNote在可追溯環(huán)簽名機(jī)制的基礎(chǔ)上提出了一次性環(huán)簽名機(jī)制。該機(jī)制將真實(shí)的交易發(fā)起者隱藏于其他交易輸出地址中，實(shí)現(xiàn)對(duì)交易發(fā)起者身份的隱藏。CryptoNote的過(guò)程如下：

1）構(gòu)造交易輸出地址。交易的發(fā)起者獲取接收者的公鑰，并生成一次性公鑰兼目的地址。

3）簽名驗(yàn)證和雙花檢測(cè)。礦工對(duì)接收到的交易進(jìn)行簽名驗(yàn)證和雙花檢測(cè)。礦工根據(jù)簽名驗(yàn)證算法驗(yàn)證簽名的有效性，即簽名驗(yàn)證通過(guò)后，礦工檢查密鑰鏡像是否在之前的簽名中被使用過(guò)。如果已經(jīng)使用過(guò)，表明兩筆交易被同一密鑰簽署，即存在雙花現(xiàn)象。

4）接收交易。接收者通過(guò)用私鑰檢測(cè)上傳到區(qū)塊鏈的每筆交易確定目標(biāo)交易，再計(jì)算一次性私鑰解密目標(biāo)交易輸出。

CryptoNote通過(guò)結(jié)合不可鏈接的一次性公鑰和不可追蹤的一次性環(huán)簽名實(shí)現(xiàn)了交易與交易之間的不可關(guān)聯(lián)性，較好地保護(hù)了交易發(fā)起者和接收者身份。但是，隨著環(huán)成員增多，交易簽名的大小也會(huì)線性增長(zhǎng)，給區(qū)塊鏈的存儲(chǔ)增加了負(fù)擔(dān)；此外，環(huán)簽名匿名性強(qiáng)度取決于環(huán)成員的數(shù)量。Liu等［39］采用帶有環(huán)簽名的輸出地址阻止混幣服務(wù)器學(xué)習(xí)輸入和輸出的映射關(guān)系，提出了一個(gè)不可鏈接的交易混合方案。

本節(jié)介紹了基于密碼學(xué)技術(shù)的身份隱私保護(hù)技術(shù)。目前對(duì)身份隱私保護(hù)技術(shù)所采取的隱私保護(hù)技術(shù)主要有ZKP、環(huán)簽名等。這些密碼學(xué)技術(shù)與混淆技術(shù)的原理類似，將真正的交易用戶隱藏于其他與交易無(wú)關(guān)的用戶中。與混幣技術(shù)相比，基于密碼學(xué)的身份隱私保護(hù)技術(shù)匿名性更強(qiáng)，但是存在較大的計(jì)算開(kāi)銷和驗(yàn)證開(kāi)銷。表2總結(jié)了上述基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制的優(yōu)缺點(diǎn)。

表2　基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制的總結(jié)

3 交易數(shù)據(jù)隱私保護(hù)方案

目前針對(duì)交易數(shù)據(jù)的隱私保護(hù)方案主要依賴于密碼學(xué)技術(shù)，如同態(tài)加密［48-50］、可搜索加密［51］和屬性基加密［52-53］這3類技術(shù)。

同態(tài)加密技術(shù)提供了一種處理加密數(shù)據(jù)的工具［54-55］。許多學(xué)者采用同態(tài)加密技術(shù)對(duì)區(qū)塊鏈系統(tǒng)中的交易金額進(jìn)行保密處理，以此保護(hù)交易隱私。Back［56］提出了“具有同態(tài)價(jià)值的比特幣”。Maxwell［48］在AdmBack工作的基礎(chǔ)上進(jìn)行了完善和改進(jìn)，提出了機(jī)密交易方案。該方案所采用的佩德森承諾機(jī)制具有加法同態(tài)特性［57］，礦工可以在不知曉交易金額的情況下驗(yàn)證區(qū)塊鏈交易的收支平衡。承諾中不僅加入盲化因子防止惡意用戶暴力破解金額承諾值，還添加一個(gè)范圍證明以保證承諾的金額在0和特定值之間。該機(jī)密交易方案的流程包括3個(gè)步驟：1）金額盲化，交易者采用佩德森承諾對(duì)交易輸入金額和輸出金額盲化；2）金額范圍證明，交易者基于Borromean Ring Signatures技術(shù)［58］對(duì)每個(gè)輸入和輸出金額承諾值添加范圍證明；3）驗(yàn)證，礦工驗(yàn)證輸入金額承諾值總和與輸出金額承諾值總和是否平衡，根據(jù)范圍證明判斷被盲化的金額值是否為正值。但是，該方案對(duì)交易金額盲化后，交易接收者無(wú)法恢復(fù)原數(shù)據(jù)，需要額外的通信通道接收交易金額，而且機(jī)密交易所占空間是普通交易的60倍，給區(qū)塊鏈存儲(chǔ)帶來(lái)了負(fù)擔(dān)。Wang等［49］提出使用同態(tài)加密算法［59］對(duì)交易金額進(jìn)行保密處理，如圖3所示，該過(guò)程為：

圖3　基于同態(tài)加密算法的交易金額保密方案示意圖

可搜索加密技術(shù)是搜索技術(shù)和加密技術(shù)的結(jié)合，支持對(duì)加密數(shù)據(jù)進(jìn)行關(guān)鍵字搜索［62-63］。Liu等［51］結(jié)合區(qū)塊鏈技術(shù)與可搜索加密技術(shù)，實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)隱私的保護(hù)。首先，數(shù)據(jù)擁有者對(duì)數(shù)據(jù)加密，并上傳至星際文件系統(tǒng)（Inter Planetary File System， IPFS）。若上傳成功，IPFS會(huì)返回?cái)?shù)據(jù)存儲(chǔ)地址。數(shù)據(jù)擁有者通過(guò)訪問(wèn)策略加密數(shù)據(jù)存儲(chǔ)地址、關(guān)鍵字索引以及數(shù)據(jù)密鑰，并將加密結(jié)果上傳至區(qū)塊鏈網(wǎng)絡(luò)。其次，數(shù)據(jù)查詢者利用自己的私鑰以及查詢的關(guān)鍵字計(jì)算搜索陷門，并調(diào)用搜索智能合約。若數(shù)據(jù)查詢者的屬性滿足訪問(wèn)策略，合約將返回?cái)?shù)據(jù)的存儲(chǔ)地址以及數(shù)據(jù)密鑰。最后，數(shù)據(jù)查詢者根據(jù)存儲(chǔ)地址從IPFS中下載數(shù)據(jù)。該方案基于許可鏈和分布式IPFS構(gòu)建鏈上和鏈下的存儲(chǔ)模型，采用可搜索加密算法實(shí)現(xiàn)了數(shù)據(jù)的可信存儲(chǔ)、安全存儲(chǔ)、可驗(yàn)證；但是搜索算法的計(jì)算開(kāi)銷會(huì)隨著屬性數(shù)量的增加而線性增長(zhǎng)，而且僅支持單一關(guān)鍵詞的搜索。

密文策略屬性基加密技術(shù)是一種可支持訪問(wèn)控制的數(shù)據(jù)加密方式［64-65］，結(jié)合區(qū)塊鏈可以實(shí)現(xiàn)數(shù)據(jù)的隱私保護(hù)和訪問(wèn)控制。Guan等［52］結(jié)合區(qū)塊鏈和屬性基加密技術(shù)，提出了一套智能電網(wǎng)交易數(shù)據(jù)隱私保護(hù)方案。該方案在密文策略屬性基加密（Ciphertext Policy Attribute-Based Encryption， CP-ABE）算法［66］的基礎(chǔ)上提出了一種可更新的雙層密文結(jié)構(gòu)的屬性基加密算法，實(shí)現(xiàn)對(duì)交易數(shù)據(jù)的細(xì)粒度訪問(wèn)控制。首先，用戶在客戶端發(fā)出賬戶注冊(cè)交易申請(qǐng)，系統(tǒng)采用類似比特幣賬戶生成算法為節(jié)點(diǎn)生成地址和私鑰。其次，交易發(fā)起者制定一個(gè)訪問(wèn)策略并生成一個(gè)線性密鑰共享（Linear Secret-Sharing Scheme， LSSS）的訪問(wèn)結(jié)構(gòu)［67］，對(duì)第一層明文和第二層明文加密。第一層明文包含詳細(xì)的交易合同信息，第二層明文包括基本的交易信息，只有滿足訪問(wèn)策略的交易用戶才能查看第二層明文。在獲取第二層明文的基礎(chǔ)上，產(chǎn)生交易意愿的節(jié)點(diǎn)可以通過(guò)應(yīng)用獲得第一層明文。交易雙方就交易內(nèi)容達(dá)成一致后，加密的交易合同將被傳播到網(wǎng)絡(luò)中，由記賬節(jié)點(diǎn)負(fù)責(zé)將交易信息打包成區(qū)塊，并加入?yún)^(qū)塊鏈。雙方發(fā)生爭(zhēng)議時(shí)，可以向仲裁節(jié)點(diǎn)申請(qǐng)仲裁。仲裁結(jié)果生成后，原始的密文被更新，形成新的交易記錄，以保證仲裁節(jié)點(diǎn)不會(huì)解密新的交易內(nèi)容；但是隨著屬性的增多，計(jì)算開(kāi)銷也線性增長(zhǎng)。Li等［53］結(jié)合區(qū)塊鏈技術(shù)和CP-ABE，提出了一種基于區(qū)塊鏈的車用自組織網(wǎng)絡(luò)（Vehicular Ad-hoc NETwork， VANET）數(shù)據(jù)細(xì)粒度訪問(wèn)控制方案。該方案使用區(qū)塊鏈替代第三方混合服務(wù)器管理用戶身份和存儲(chǔ)數(shù)據(jù)，并根據(jù)用戶屬性建立不同的VANET數(shù)據(jù)訪問(wèn)權(quán)限；但是存儲(chǔ)在區(qū)塊鏈中的消息易導(dǎo)致數(shù)據(jù)冗余，給區(qū)塊鏈存儲(chǔ)帶來(lái)負(fù)擔(dān)。

本節(jié)從同態(tài)加密技術(shù)、可搜索加密技術(shù)和屬性基加密技術(shù)總結(jié)當(dāng)前的交易數(shù)據(jù)隱私方案。同態(tài)加密技術(shù)可以對(duì)隱私數(shù)據(jù)進(jìn)行合法性驗(yàn)證，如交易輸入和輸出金額平衡性驗(yàn)證，也適用于需要執(zhí)行隱私計(jì)算的數(shù)據(jù)。目前常用的同態(tài)加密算法有佩德森承諾算法、Paillier加密算法和ElGamal加密算法等。佩德森承諾是一種單向承諾，無(wú)法由承諾結(jié)果得到被承諾值，還需要額外的開(kāi)銷傳輸明文值。Paillier加密算法中的承諾值可以被解密成明文，并且相較于采用佩德森諾算法的機(jī)密交易所占存儲(chǔ)空間更小。twisted ElGamal是一種加法同態(tài)加密算法，加解密效率優(yōu)于另外兩種。屬性基加密算法適用于對(duì)數(shù)據(jù)進(jìn)行細(xì)粒度訪問(wèn)控制，但是目前屬性基加密算法存在計(jì)算開(kāi)銷隨屬性增長(zhǎng)而線性增長(zhǎng)、訪問(wèn)策略暴露等問(wèn)題?？伤阉骷用芗夹g(shù)實(shí)現(xiàn)了隱私數(shù)據(jù)的關(guān)鍵字搜索，但是存在搜索效率低的問(wèn)題。表3總結(jié)了上述交易數(shù)據(jù)隱私保護(hù)方案的優(yōu)缺點(diǎn)。

表3　交易數(shù)據(jù)隱私保護(hù)方案的總結(jié)

4 兼顧監(jiān)管的交易身份隱私保護(hù)方案

隱私保護(hù)一方面增強(qiáng)用戶的隱私性，另一方面也給違法犯罪分子從事犯罪活動(dòng)提供了可乘之機(jī)。在區(qū)塊鏈交易隱私保護(hù)基礎(chǔ)上實(shí)現(xiàn)交易監(jiān)管引起了學(xué)者們的高度關(guān)注［68］。

Li等［69］改進(jìn)門羅幣［70］并提出可追蹤門羅幣（Traceable Monero）系統(tǒng)。該系統(tǒng)在原有系統(tǒng)基礎(chǔ)上增加了問(wèn)責(zé)機(jī)制，一方面可以追蹤資金的流動(dòng)軌跡，另一方面可以從一次性匿名地址中推測(cè)用戶的長(zhǎng)期地址。為了追蹤交易雙方真實(shí)的交易地址，可追蹤門羅幣系統(tǒng)要求交易發(fā)起者基于ElGamal加密算法使用監(jiān)管者的公鑰加密關(guān)鍵隱私信息。在構(gòu)造交易輸入時(shí)，交易發(fā)起者使用環(huán)簽名技術(shù)隱藏交易發(fā)起者身份，并將真實(shí)的交易輸入賬戶在交易輸入群中的索引加密；在構(gòu)造交易輸出時(shí)，交易發(fā)起者對(duì)用戶的長(zhǎng)期地址加密并作為標(biāo)簽，以此構(gòu)造一次性匿名地址。在發(fā)現(xiàn)可疑交易時(shí)，監(jiān)管者可以解密標(biāo)簽和密文獲取關(guān)鍵信息，從而追蹤用戶交易過(guò)程。隨后，Lin等［71］提出了一種基于區(qū)塊鏈的去中心化條件匿名支付（Decentralized Conditional Anonymous Payment， DCAP）系統(tǒng)。該系統(tǒng)使用自更新的假名算法［72］在隱私和監(jiān)管之間取得平衡，不僅支持用戶匿名交易，還引入監(jiān)管部門監(jiān)控交易記錄。用戶借助自更新的假名算法基于長(zhǎng)期公鑰派生出許多不可鏈接的匿名公鑰，并在匿名公鑰中嵌入監(jiān)管者公鑰。交易時(shí)，交易雙方采用匿名公鑰作為交易雙方賬戶。為了證明擁有對(duì)交易輸入的所有權(quán)，交易發(fā)起者借助知識(shí)簽名技術(shù)［73］證明擁有匿名公鑰所對(duì)應(yīng)的私鑰。在追蹤可疑交易時(shí)，監(jiān)管者可以借助他的私鑰通過(guò)匿名公鑰反推長(zhǎng)期公鑰，并根據(jù)公鑰信息查詢用戶證書(shū)以獲取它的真實(shí)身份。然而該方案采用未花費(fèi)的交易輸出（Unspent Transaction Output， UTXO）記賬模型，盡管使用了匿名公鑰作為匿名賬號(hào)，卻沒(méi)有消除交易與交易之間的關(guān)聯(lián)性，對(duì)用戶身份隱私仍存在威脅；此外，監(jiān)管者擁有絕對(duì)的追蹤權(quán)限，安全性過(guò)于依賴監(jiān)管者。Androulaki等［74］提出了一套隱私保護(hù)下可審計(jì)的代幣系統(tǒng)，其中具有隱私保護(hù)可審計(jì)的貨幣系統(tǒng)結(jié)構(gòu)［74］如圖4所示。為了實(shí)現(xiàn)隱私保護(hù)和可審計(jì)性，交易發(fā)起者基于ElGamail加密算法采用審計(jì)者的公鑰加密轉(zhuǎn)移交易信息，并采用ZKP技術(shù)證明交易信息被正確加密。在發(fā)行交易時(shí)，貨幣發(fā)行者發(fā)布基于承諾的代幣；在轉(zhuǎn)移交易時(shí)，交易發(fā)起者不直接引用歷史有效交易的代幣，而是通過(guò)向認(rèn)證者提交認(rèn)證請(qǐng)求的方式證明代幣的合法性，其中認(rèn)證請(qǐng)求包含一個(gè)代幣（即承諾）。認(rèn)證者收到此類請(qǐng)求后，檢查代幣是否包含在分類賬本的有效交易中，如果存在，認(rèn)證者使用分布式閾值盲簽名技術(shù)［75-76］對(duì)代幣盲簽名。交易發(fā)起者在收到簽名后，通過(guò)ZKP技術(shù)向礦工證明代幣存在分類賬本中且自身已注冊(cè)，從而不暴露代幣的隱私信息。

圖4　具有隱私保護(hù)可審計(jì)的貨幣系統(tǒng)示意圖

Shao等［77］提出了一種基于標(biāo)簽公鑰加密算法的隱私保護(hù)框架。該框架基于許可鏈，一方面為合法交易提供了不可鏈接性和匿名性，另一方面也為可疑交易提供了問(wèn)責(zé)機(jī)制。交易發(fā)起者在發(fā)起交易前，需向?qū)傩詸?quán)威機(jī)構(gòu)申請(qǐng)認(rèn)證。屬性權(quán)威機(jī)構(gòu)認(rèn)證成功后，使用基于屬性的簽名算法［78］為交易發(fā)起者生成證書(shū)。在發(fā)起交易時(shí)，交易發(fā)起者采用基于標(biāo)簽的公鑰加密算法［79］加密真實(shí)身份，并生成ZKP證明他的證書(shū)滿足訪問(wèn)策略以及真實(shí)身份被正確加密。在交易追蹤時(shí)，追蹤節(jié)點(diǎn)集齊個(gè)解密分享后，就可以恢復(fù)真實(shí)的用戶身份。該方案采用基于標(biāo)簽的公鑰加密算法，將追蹤不法用戶的權(quán)力分配給多個(gè)獨(dú)立的跟蹤成員，而不是依賴于單點(diǎn)管理，避免了權(quán)力的濫用，顯著改善了許可網(wǎng)絡(luò)中的用戶隱私保護(hù)和自主權(quán)，但是未能保護(hù)交易接收者身份隱私。

Barki等［80］提出了一種可追溯、可轉(zhuǎn)讓和可分割的數(shù)字貨幣系統(tǒng)，兼顧了合法用戶的隱私保護(hù)和非法用戶的身份追溯。該系統(tǒng)實(shí)現(xiàn)了中心化資產(chǎn)和去中心化資產(chǎn)的互相轉(zhuǎn)換。用戶可以將存在銀行的資產(chǎn)取出換做數(shù)字貨幣，以去中心化的方式匿名交易。在該數(shù)字貨幣系統(tǒng)中，銀行在僅知交易金額和不知對(duì)應(yīng)的用戶接收地址的情況下，就可以采用部分盲簽名技術(shù)［81］對(duì)交易金額和用戶接收地址產(chǎn)生簽名，從而保證了交易的匿名性。用戶收到數(shù)字貨幣后，可以類似于比特幣那樣進(jìn)行交易。為了實(shí)現(xiàn)交易的可審計(jì)性，該系統(tǒng)采用ElGamal加密算法加密用戶的身份公鑰，并利用ZKP的方式證明身份公鑰被正確加密；但是交易與交易之間存在鏈接性，關(guān)聯(lián)的交易特征容易成為攻擊者挖掘用戶身份的推手。

Yuen［82］提出了一種實(shí)現(xiàn)隱私交易、可認(rèn)證且可審計(jì)的聯(lián)盟鏈（Private， Authenticated & Auditable Consortium blockchain， PAChain）。PAChain有交易發(fā)起者隱私、交易金額隱私和交易接收者隱私這3個(gè)獨(dú)立的保護(hù)模塊。在交易發(fā)起者隱私保護(hù)模塊中，發(fā)起者不直接引用未花費(fèi)的交易輸出，而是采取匿名證書(shū)的形式證明擁有未花費(fèi)的輸出。具體過(guò)程為：發(fā)送者采用離散對(duì)數(shù)知識(shí)簽名技術(shù)，向背書(shū)節(jié)點(diǎn)證明他擁有某未花費(fèi)的交易輸出所對(duì)應(yīng)的私鑰；背書(shū)節(jié)點(diǎn)驗(yàn)證通過(guò)后，采用BBS群簽名算法［83］為該未花費(fèi)交易輸出頒發(fā)證書(shū)；在之后的交易中，發(fā)起者采取ZKP的方式證明他擁有背書(shū)節(jié)點(diǎn)頒發(fā)的交易輸出證書(shū)。在交易金額隱私保護(hù)模塊中，發(fā)送者基于ElGamal加密算法使用審計(jì)者的公鑰加密交易輸入金額和輸出金額，并利用基于Boneh-Boyen signature的范圍證明算法［84］為承諾值中的金額提供區(qū)間證明。在交易接收者隱私保護(hù)模塊中，發(fā)起者根據(jù)接收者的長(zhǎng)期公鑰生成一次性公鑰作為輸出地址，并采取ZKP技術(shù)證明接收者長(zhǎng)期公鑰通過(guò)認(rèn)證機(jī)構(gòu)（Certification Authority， CA）認(rèn)證。為了實(shí)現(xiàn)可審計(jì)，3個(gè)模塊中的關(guān)鍵信息，如發(fā)起者身份信息、交易金額和接收者身份信息，被審計(jì)者的公鑰加密。交易用戶可以調(diào)用3個(gè)模塊構(gòu)造1個(gè)完整、隱私保護(hù)、可認(rèn)證且可審計(jì)的交易，并且可以與Fabric融合；但是該方案過(guò)多地使用ZKP技術(shù)，導(dǎo)致交易所占存儲(chǔ)空間和驗(yàn)證開(kāi)銷較大，交易效率低。

Lin等［85］在Ethereum架構(gòu)基礎(chǔ)上提出了一種面向加密貨幣的隱私保護(hù)的許可鏈架構(gòu)（Privacy-preserving Permissioned blockChain， PPChain）。PPChain兼顧了用戶身份的匿名保護(hù)和可監(jiān)管性，以及數(shù)據(jù)的公開(kāi)透明性和機(jī)密性。交易發(fā)起者生成一筆類似于以太坊的交易后，采用廣播加密算法［86］加密交易進(jìn)行，并使用群簽名算法［87］對(duì)加密后的交易簽名。驗(yàn)證節(jié)點(diǎn)使用群公鑰驗(yàn)證簽名，若簽名正確，首先使用廣播加密中對(duì)應(yīng)的私鑰解密密文，其次驗(yàn)證交易金額是否超出世界狀態(tài)里的賬戶余額。若驗(yàn)證正確，交易將被發(fā)送到記錄節(jié)點(diǎn)，由記錄節(jié)點(diǎn)提交到區(qū)塊鏈。該方案采用群簽名算法對(duì)交易簽名，既保證用戶身份的合法性，也支持追蹤不法用戶身份。該方案所采用的廣播加密算法實(shí)現(xiàn)了交易數(shù)據(jù)的隱私保護(hù)和接收者的匿名保護(hù)。但是驗(yàn)證節(jié)點(diǎn)可以解密數(shù)據(jù)，窺探數(shù)據(jù)隱私，該架構(gòu)對(duì)驗(yàn)證節(jié)點(diǎn)可信度要求較高。

本節(jié)探討了基于身份隱私保護(hù)的監(jiān)管方案。在實(shí)現(xiàn)監(jiān)管方面，這些方案主要采用加密技術(shù)如ElGamal加密技術(shù)對(duì)用戶的身份標(biāo)識(shí)公鑰加密，再配合ZKP技術(shù)保證加密的正確性，此外還可以利用群簽名的打開(kāi)特性或者可反推的匿名算法揭露匿名身份。表4總結(jié)和對(duì)比了上述兼顧監(jiān)管的交易身份隱私保護(hù)方案的優(yōu)缺點(diǎn)。

表4　兼顧監(jiān)管的交易身份隱私保護(hù)方案的總結(jié)

5 未來(lái)研究工作

針對(duì)交易身份隱私保護(hù)、數(shù)據(jù)隱私保護(hù)和相應(yīng)的監(jiān)管需求，目前已經(jīng)有相應(yīng)的解決方案，但是也存在一些不足，如安全性問(wèn)題、計(jì)算開(kāi)銷問(wèn)題等。因此，未來(lái)可以從以下3個(gè)方向開(kāi)展研究：

1）兼顧強(qiáng)安全性和高可用性的交易隱私保護(hù)技術(shù)研究。以數(shù)字貨幣為代表的應(yīng)用場(chǎng)景對(duì)安全性和高可用性要求高。成熟的數(shù)字貨幣的資產(chǎn)安全性應(yīng)得到保證，交易能及時(shí)處理。隱私保護(hù)技術(shù)的引入是為了保護(hù)數(shù)字貨幣系統(tǒng)的隱私性，但是不能為了隱私保護(hù)而降低實(shí)際需求。在隱私保護(hù)的實(shí)際過(guò)程中，一些隱私保護(hù)方案借助ZKP和環(huán)簽名等密碼學(xué)技術(shù)應(yīng)對(duì)隱私威脅，但這些方案也引入一定的安全風(fēng)險(xiǎn)。例如Zerocash方案中所采用的簡(jiǎn)潔的非交互式零知識(shí)證明（Zero-Knowledge Succinct Non-interactive ARgument of Knowledge， ZK-SNARK）技術(shù)依賴第三方生成秘密參數(shù)，因此第三方的可信性直接決定了整個(gè)系統(tǒng)的安全性。為此，未來(lái)可以考慮采用安全多方計(jì)算形式生成秘密參數(shù)［88］，以取代第三方。另外，現(xiàn)有隱私保護(hù)方案在性能上也存在一定不足，如采用ZKP技術(shù)需要大量的計(jì)算開(kāi)銷和驗(yàn)證開(kāi)銷，這使它難以應(yīng)用到一些對(duì)交易處理速度要求高的場(chǎng)景中［89］。為此，根據(jù)實(shí)際的應(yīng)用場(chǎng)景，考慮對(duì)數(shù)據(jù)敏感性進(jìn)行細(xì)粒度分類［90］，對(duì)于低敏感度數(shù)據(jù)，系統(tǒng)性能將作為首要參考因素；對(duì)于高敏感數(shù)據(jù)，強(qiáng)隱私保護(hù)性仍然是首要考慮因素，從而實(shí)現(xiàn)性能和隱私保護(hù)兩者的折中。

2）多方監(jiān)管技術(shù)研究。多方監(jiān)管技術(shù)對(duì)以金融鏈為代表的應(yīng)用場(chǎng)景很有必要。以金融場(chǎng)景為例，我國(guó)的金融體系采用多方監(jiān)管的方式約束金融機(jī)構(gòu)。多方監(jiān)管體制可以有效降低金融市場(chǎng)的成本，維持正常的金融秩序。區(qū)塊鏈技術(shù)應(yīng)用到金融體系中也應(yīng)保留多方監(jiān)管的特點(diǎn)。然而，目前的交易監(jiān)管方案大多僅支持單方監(jiān)管，單方監(jiān)管存在監(jiān)管權(quán)力濫用、隱私泄漏、單點(diǎn)故障等問(wèn)題。要將區(qū)塊鏈技術(shù)落地，應(yīng)考慮多方監(jiān)管。為此，可以考慮基于訪問(wèn)控制策略、秘密分享［91］或安全多方計(jì)算［92］等機(jī)制向多個(gè)可信機(jī)構(gòu)賦予監(jiān)管權(quán)力。

3）跨鏈操作中的隱私保護(hù)研究。隨著區(qū)塊鏈技術(shù)的不斷發(fā)展和創(chuàng)新，越來(lái)越多的數(shù)字貨幣涌現(xiàn)，區(qū)塊鏈技術(shù)在其他場(chǎng)景得到不斷深入應(yīng)用，場(chǎng)景之間融合的需求也越來(lái)越多，如供應(yīng)鏈之間的融合。然而，目前的區(qū)塊鏈系統(tǒng)大多是異構(gòu)，鏈與鏈之間無(wú)法進(jìn)行直接的數(shù)據(jù)流通［93］。在此背景下，打破區(qū)塊鏈間的數(shù)據(jù)孤島，實(shí)現(xiàn)不同區(qū)塊鏈之間的資產(chǎn)信息互通、原子性交易、服務(wù)互補(bǔ)等功能是必然的發(fā)展趨勢(shì)?？珂溂夹g(shù)在此發(fā)揮了巨大的作用，但是在跨鏈過(guò)程中易發(fā)生信息泄露、資產(chǎn)盜竊等，解決其中的隱私和安全問(wèn)題，才有可能借助跨鏈技術(shù)將不同的區(qū)塊鏈連接成鏈聯(lián)網(wǎng)，實(shí)現(xiàn)應(yīng)用場(chǎng)景的需求如資產(chǎn)轉(zhuǎn)移、信息共享等。當(dāng)同一事務(wù)需要跨越多個(gè)區(qū)塊鏈系統(tǒng)執(zhí)行時(shí)，在保證數(shù)據(jù)高效性和一致性的前提下，降低隱私泄露的風(fēng)險(xiǎn)顯得尤為重要。所以，跨鏈操作中的隱私保護(hù)是未來(lái)的重要研究方向。為此，可以考慮將隱私智能合約［94］、可信硬件執(zhí)行環(huán)境［95］和身份認(rèn)證［96］等手段結(jié)合，以解決跨鏈過(guò)程中存在的隱私泄露問(wèn)題。

6 結(jié)語(yǔ)

區(qū)塊鏈技術(shù)有著廣闊的應(yīng)用場(chǎng)景，在應(yīng)用過(guò)程中所產(chǎn)生的交易隱私問(wèn)題成為了研究者的重點(diǎn)研究方向。首先，本文將區(qū)塊鏈交易隱私分為身份隱私和數(shù)據(jù)隱私兩類，并給了相關(guān)的定義，并分析了隱私泄露的原因。針對(duì)身份隱私保護(hù)，本文從混幣機(jī)制和基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制著手，總結(jié)了相應(yīng)的解決方案。針對(duì)數(shù)據(jù)隱私保護(hù)方案，本文介紹了同態(tài)加密技術(shù)、可搜索加密技術(shù)、屬性基加密技術(shù)等相關(guān)解決方案。其次，針對(duì)身份隱私保護(hù)技術(shù)可能被不法分子利用的問(wèn)題，還介紹了在身份隱私保護(hù)基礎(chǔ)上的監(jiān)管方案。最后，針對(duì)區(qū)塊鏈交易隱私保護(hù)方案存在的一些問(wèn)題，本文展望了未來(lái)研究方向。

[1] NAKAMOTO S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. ［2022-07-21］.http：//bitcoin.org/bitcoin.pdf.

[2] 傅麗玉，陸歌皓，吳義明，等. 區(qū)塊鏈技術(shù)的研究及其發(fā)展綜述［J］. 計(jì)算機(jī)科學(xué)， 2022， 49（6A）：447-461， 666.（FU L Y， LU G H， WU Y M， et al. Review of research and development of blockchain technology［J］. Computer Science， 2022， 49（6A）：447-461， 666.）

[3] HAN X， YUAN Y， WANG F Y. A blockchain-based framework for central bank digital currency［C］// Proceedings of the 2019 International Conference on Service Operations and Logistics， and Informatics. Piscataway： IEEE， 2019：263-268.

[4] 李娟娟，袁勇，王飛躍. 基于區(qū)塊鏈的數(shù)字貨幣發(fā)展現(xiàn)狀與展望［J］. 自動(dòng)化學(xué)報(bào)， 2021， 47（4）：715-729.（LI J J， YUAN Y， WANG F Y. Blockchain-based digital currency： the state of the art and future trends［J］. Acta Automatica Sinica， 2021， 47（4）： 715-729.）

[5] EL MANE A， CHIHAB Y， TATANE K， et al. Agriculture supply chain management based on blockchain architecture and smart contracts［J］. Applied Computational Intelligence and Soft Computing， 2022， 2022： No.8011525.

[6] 許蘊(yùn)韜，朱俊武，孫彬文，等. 選舉供應(yīng)鏈：基于區(qū)塊鏈的供應(yīng)鏈自治框架［J］. 計(jì)算機(jī)應(yīng)用， 2022， 42（6）：1770-1775.（XU Y T， ZHU J W， SUN B W， et al. Election-based supply chain： a supply chain autonomy framework based on blockchain［J］. Journal of Computer Applications， 2022， 42（6）： 1770-1775.）

[7] 吳芷菡，崔喆，劉霆，等. 基于區(qū)塊鏈的安全電子選舉方案［J］. 計(jì)算機(jī)應(yīng)用， 2020， 40（7）：1989-1995.（WU Z H， CUI Z， LIU T， et al. Secure electronic voting scheme based on blockchain［J］. Journal of Computer Applications， 2020， 40（7）： 1989-1995.）

[8] 張伯鈞，李潔，胡凱，等. 基于區(qū)塊鏈的分布式加密投票系統(tǒng)［J］. 計(jì)算機(jī)科學(xué)， 2022， 49（11A）：679-684.（ZHANG B J， LI J， HU K， et al. Distributed encrypted voting system based on blockchain［J］. Computer Science， 2022， 49（11A）： 679-684.）

[9] 熊嘯，李雷孝，高靜，等. 區(qū)塊鏈在車聯(lián)網(wǎng)數(shù)據(jù)共享領(lǐng)域的研究進(jìn)展［J］. 計(jì)算機(jī)科學(xué)與探索， 2022， 16（5）：1008-1024.（XIONG X， LI L X， GAO J， et al. Research progress of blockchain in internet of vehicles data sharing［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（5）： 1008-1024.）

[10] 陳葳葳，曹利，邵長(zhǎng)虹. 基于區(qū)塊鏈技術(shù)的車聯(lián)網(wǎng)高效匿名認(rèn)證方案［J］. 計(jì)算機(jī)應(yīng)用， 2020， 40（10）：2992-2999.（CHEN W W， CAO L， SHAO C H. Blockchain based efficient anonymous authentication scheme for IOV［J］. Journal of Computer Applications， 2020， 40（10）： 2992-2999.）

[11] VARDHINI B， SHREYAS N D， SAHANA R， et al. A blockchain based electronic medical health records framework using smart contracts［C］// Proceedings of the 2021 International Conference on Computer Communication and Informatics. Piscataway： IEEE， 2021：1-4

[12] 林超，何德彪，黃欣沂. 基于區(qū)塊鏈的電子醫(yī)療記錄安全共享［J］. 計(jì)算機(jī)應(yīng)用， 2022， 42（11）：3465-3472.（LIN C， HE D B， HUANG X Y. Blockchain?based electronic medical record secure sharing［J］. Journal of Computer Applications， 2022， 42（11）： 3465-3472.）

[13] JIANG C， RU C. Application of blockchain technology in supply chain finance［C］// Proceedings of the 5th International Conference on Mechanical， Control and Computer Engineering. Piscataway： IEEE， 2020：1342-1345.

[14] RON D， SHAMIR A. Quantitative analysis of the full Bitcoin transaction graph［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 6-24.

[15] 劉煒，彭宇飛，田釗，等. 基于區(qū)塊鏈的醫(yī)療信息隱私保護(hù)研究綜述［J］. 鄭州大學(xué)學(xué)報(bào)（理學(xué)版）， 2021， 53（2）：1-18.（LIU W， PENG Y F， TIAN Z， et al. A survey on medical information privacy protection based on blockchain［J］. Journal of Zhengzhou University （Natural Science Edition）， 2021， 53（2）： 1-18.）

[16] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護(hù)研究綜述［J］. 計(jì)算機(jī)研究與發(fā)展， 2017， 54（10）：2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey on privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）：2170-2186.）

[17] 王宗慧，張勝利，金石，等. 區(qū)塊鏈數(shù)據(jù)隱私保護(hù)研究［J］. 物聯(lián)網(wǎng)學(xué)報(bào)， 2018， 2（3）：71-81.（WANG Z H， ZHANG S L， JIN S， et al. Survey on privacy preserving techniques for blockchain［J］. Chinese Journal of Internet of Things， 2018， 2（3）：71-81.）

[18] 李旭東，牛玉坤，魏凌波，等. 比特幣隱私保護(hù)綜述［J］. 密碼學(xué)報(bào)， 2019， 6（2）：133-149.（LI X D， NIU Y K， WEI L B， et al. Overview on privacy protection in Bitcoin［J］. Journal of Cryptologic Research， 2019， 6（2）： 133-149.）

[19] 張奧，白曉穎. 區(qū)塊鏈隱私保護(hù)研究與實(shí)踐綜述［J］. 軟件學(xué)報(bào)， 2020， 31（5）：1406-1434.（ZHANG A， BAI X Y. Survey of research and practices on blockchain privacy protection［J］. Journal of Software， 2020， 31（5）： 1406-1434.）

[20] SAHAI S， SINGH N， DAYAMA P. Enabling privacy and traceability in supply chains using blockchain and zero knowledge proofs［C］// Proceedings of the 2020 IEEE International Conference on Blockchain. Piscataway： IEEE， 2020： 134-143.

[21] DI FRANCESCO MAESA D， MARINO A， RICCI L. Uncovering the Bitcoin blockchain： an analysis of the full users graph［C］// Proceedings of the 2016 IEEE International Conference on Data Science and Advanced Analytics. Piscataway： IEEE， 2016： 537-546

[22] REID F， HARRIGAN M. An analysis of anonymity in the Bitcoin system［C］// Proceedings of the 2011 IEEE International Conference on Privacy， Security， Risk and Trust/ Social Computing. Piscataway： IEEE， 2011： 1318-1326.

[23] MEIKLEJOHN S， POMAROLE M， JORDAN G， et al. A fistful of Bitcoins： characterizing payments among men with no names［C］// Proceedings of the 2013 Conference on Internet Measurement Conference. New York： ACM， 2013： 127-140.

[24] ANDROULAKI E， KARAME G O， ROESCHLIN M， et al. Evaluating user privacy in Bitcoin［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 34-51.

[25] SHEN M， DUAN J， SHANG N， et al. Transaction deanonymization in large-scale Bitcoin systems via propagation pattern analysis［C］// Proceedings of the 2020 International Conference on Security and Privacy in Digital Economy， CCIS 1268. Singapore： Springer， 2020： 661-675.

[26] LONG T， XU J， FU L， et al. Analyzing and de-anonymizing Bitcoin networks： an IP matching method with clustering and heuristics［J］. China Communications， 2022， 19（6）： 263-278.

[27] 許重建，李險(xiǎn)峰. 區(qū)塊鏈交易數(shù)據(jù)隱私保護(hù)方法［J］. 計(jì)算機(jī)科學(xué)， 2020， 47（3）： 281-286.（XU C J， LI X F. Data privacy protection method of block chain transaction［J］. Computer Science， 2020， 47（3）： 281-286.）

[28] BONNEAU J， NARAYANAN A， MILLER A， et al. Mixcoin： anonymity for Bitcoin with accountable mixes［C］// Proceedings of the 2014 International Conference on Financial Cryptography and Data Security， LNCS 8437. Berlin： Springer， 2014： 486-504.

[29] VALENTA L， ROWAN B. Blindcoin： blinded， accountable mixes for Bitcoin［C］// Proceedings of the 2015 International Conference on Financial Cryptography and Data Security， LNCS 8976. Berlin： Springer， 2015： 112-126.

[30] GREGORY M. CoinJoin： Bitcoin privacy for the real world［EB/OL］ （2013-08-22） ［2022-07-21］.http：//bitcointalk.org/index.php？topic=279249.0.

[31] DUFFIELD E， DIAZ D. Dash： a payments-focused cryptocurrency［EB/OL］ （2018-08-23） ［2022-07-21］.https：//github.com/dashpay/dash/wiki/Whitepaper.

[32] RUFFING T， MORENO-SANCHEZ P， KATE A. CoinShuffle： practical decentralized coin mixing for Bitcoin［C］// Proceedings of 2014 European Symposium on Research in Computer Security， LNCS 8713. Cham： Springer， 2014： 345-364.

[33] ZIEGELDORF J H， GROSSMANN F， HENZE M， et al. CoinParty： secure multi-party mixing of Bitcoins［C］// Proceedings of the 5th ACM Conference on Data and Application Security and Privacy. New York： ACM， 2015： 75-86.

[34] XIAO R， REN W， ZHU T， et al. A mixing scheme using a decentralized signature protocol for privacy protection in Bitcoin blockchain［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（4）： 1793-1803.

[35] LU N， CHANG Y， SHI W， et al. CoinLayering： an efficient coin mixing scheme for large scale Bitcoin transactions［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（3）： 1974-1987.

[36] MIERS I， GARMAN C， GREEN M， et al. Zerocoin： anonymous distributed e-cash from Bitcoin［C］// Proceedings of the 2013 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2013： 397-411.

[37] BEN SASSON E， CHIESA A， GARMAN C， et al. Zerocash： decentralized anonymous payments from Bitcoin［C］// Proceedings of the 2014 International Symposium on Security and Privacy. Piscataway： IEEE， 2014： 459-474.

[38] SABERHAGEN N van. CryptoNote v 2.0［EB/OL］. （2013-10-17） ［2022-07-21］.https：//cryptonote.org/old/whitepaper.pdf.

[39] LIU Y， LIU X， TANG C， et al. Unlinkable coin mixing scheme for transaction privacy enhancement of Bitcoin［J］. IEEE Access， 2018， 6： 23261-23270.

[40] 王晨旭，程加成，桑新欣，等. 區(qū)塊鏈數(shù)據(jù)隱私保護(hù)：研究現(xiàn)狀與展望［J］. 計(jì)算機(jī)研究與發(fā)展， 2021， 58（10）：2099-2119.（WANG C X， CHENG J C， SANG X X， et al. Data privacy-preserving for blockchain： state of the art and trends［J］. Journal of Computer Research and Development， 2021， 58（10）：2099-2119.）

[41] CORRIGAN-GIBBS H， FORD B. Dissent： accountable anonymous group messaging［C］// Proceedings of the 17th ACM Conference on Computer and Communications Security. New York： ACM， 2010： 340-350.

[42] IBRAHIM M H， ALI I A， IBRAHIM I I， et al. A robust threshold elliptic curve digital signature providing a new verifiable secret sharing scheme［C］// Proceedings of the 46th IEEE International Midwest Symposium on Circuits and Systems — Volume 1. Piscataway： IEEE， 2003： 276-280.

[43] BLUM M， FELDMAN P， MICALI S. Non-interactive zero-knowledge and its applications［C］// Proceedings of the 20th Annual ACM Symposium on Theory of Computing. New York： ACM， 1988： 103-112.

[44] CAMENISCH J， LYSYANSKAYA A. Dynamic accumulators and application to efficient revocation of anonymous credentials［C］// Proceedings of the 2002 Annual International Cryptology Conference， LNCS 2442. Berlin： Springer， 2002： 61-76.

[45] SCHNORR C P. Efficient signature generation by smart cards［J］. Journal of Cryptology， 1991， 4（3）： 161-174.

[46] BEN-SASSON E， CHIESA A， GENKIN D， et al. SNARKs for C： verifying program executions succinctly and in zero knowledge［C］// Proceedings of the 2013 Annual International Cryptology Conference， LNCS 8043. Berlin： Springer， 2013： 90-108.

[47] RIVEST R L， SHAMIR A， TAUMAN Y. How to leak a secret： theory and applications of ring signatures［M］// GOLDREICH O， ROSENBERG A L， SELMAN A L. Theoretical Computer Science： Essays in Memory of Shimon Even， LNCS 3895. Berlin： Springer， 2006： 164-186.

[48] MAXWELL G. Confidential transactions［EB/OL］. ［2021-07-21］.https：//elementsproject.org/features/confidential-transactions.

[49] WANG Q， QIN B， HU J， et al. Preserving transaction privacy in Bitcoin［J］. Future Generation Computer Systems， 2020， 107： 793-804.

[50] CHEN Y， MA X， TANG C， et al. PGC： decentralized confidential payment system with auditability［C］// Proceedings of the 2020 European Symposium on Research in Computer Security， LNCS 12308. Cham： Springer， 2020： 591-610.

[51] LIU J， WU M， SUN R， et al. BMDS： a blockchain-based medical data sharing scheme with attribute-based searchable encryption［C］// Proceedings of the 2021 IEEE International Conference on Communications. Piscataway： IEEE， 2021： 1-6.

[52] GUAN Z， LU X， YANG W， et al. Achieving efficient and Privacy-preserving energy trading based on blockchain and ABE in smart grid［J］. Journal of Parallel and Distributed Computing， 2021， 147： 34-45.

[53] LI H， PEI L， LIAO D， et al. FADB： a fine-grained access control scheme for VANET data based on blockchain［J］. IEEE Access， 2020， 8： 85190-85203.

[54] RIVEST R L， ADLEMAN L M， DERTOUZOS M L. On data banks and privacy homomorphisms［M］// On Data Banks and Privacy Homomorphisms. Cambridge： Academic Press， 1978： 169-179.

[55] 楊亞濤，趙陽(yáng)，張卷美，等. 同態(tài)密碼理論與應(yīng)用進(jìn)展［J］. 電子與信息學(xué)報(bào)， 2021， 43（2）：475-487.（YANG Y T， ZHAO Y， ZHANG J M， et al. Recent development of theory and application on homomorphic encryption［J］. Journal of Electronics and Information Technology， 2021， 43（2）： 475-487.）

[56] BACK A. Bitcoins with homomorphic value （validatable but encrypted）［EB/OL］. （2013-10-01） ［2022-07-21］.https：//bitcointalk.org/index.php？topic=305791.0.

[57] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing［C］// Proceedings of the 1991 Annual International Cryptology Conference， LNCS 576. Berlin： Springer， 1992： 129-140.

[58] MAXWELL G， POELSTRA A. Borromean ring signatures［EB/OL］. （2015-06-02） ［2021-07-21］.https：//raw.githubusercontent.com/Blockstream/borromean_paper/master/borromean_draft_0.01_34241bb.pdf

[59] PAILLIER P. Public-key cryptosystems based on composite degree residuosity classes［C］// Proceedings of the 1999 International Conference on the Theory and Applications of Cryptographic Techniques LNCS 1592. Berlin： Springer， 1999： 223-238.

[60] FUJISAKI E， OKAMOTO T. Statistical zero-knowledge protocols to prove modular polynomial relations［J］. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 1999， E82-A（1）： 81-92.

[61] 伍前紅，張鍵紅，王育民. 簡(jiǎn)單證明一個(gè)承諾值在特定區(qū)間內(nèi)［J］. 電子學(xué)報(bào)， 2004， 32（7）：1071-1073.（WU Q H， ZHANG J H， WANG Y M. Simple proof that a committed number is in a specific interval［J］. Acta Electronica Sinica， 2004， 32（7）： 1071-1073.）

[62] SONG D X， WAGNER D， PERRIG A. Practical techniques for searches on encrypted data［C］// Proceedings of the 2000 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2000：44-55.

[63] 李經(jīng)緯，賈春福，劉哲理，等. 可搜索加密技術(shù)研究綜述［J］. 軟件學(xué)報(bào)， 2015， 26（1）： 109-128.（LI J W， JIA C F， LIU Z L， et al. Survey on the searchable encryption［J］. Journal of Software， 2015， 26（1）： 109-128.）

[64] 王生玉，汪金苗，董清風(fēng)，等. 基于屬性加密技術(shù)研究綜述［J］. 信息網(wǎng)絡(luò)安全， 2019（9）：76-80.（WANG S Y， WANG J M， DONG Q F， et al. A survey of attribute-based encryption technology［J］. Netinfo Security， 2019（9）： 76-80.）

[65] 趙志遠(yuǎn)，王建華，朱智強(qiáng)，等. 云存儲(chǔ)環(huán)境下屬性基加密綜述［J］. 計(jì)算機(jī)應(yīng)用研究， 2018， 35（4）：961-968， 973.（ZHAO Z Y， WANG J H， ZHU Z Q， et al. Survey of attribute-based encryption in cloud storage environment［J］. Application Research of Computers， 2018， 35（4）： 961-968， 973.）

[66] WATERS B. Ciphertext-policy attribute-based encryption： an expressive， efficient， and provably secure realization［C］// Proceedings of the 2011 International Workshop on Public Key Cryptography， LNCS 6571. Berlin： Springer， 2011： 53-70.

[67] BEIMEL A. Secure schemes for secret sharing and key distribution［D］. Haifa： Technion-Israel Institute of Technology， 1996： 59-90.

[68] 王俊生，李麗麗，顏擁，等. 區(qū)塊鏈技術(shù)應(yīng)用的安全與監(jiān)管問(wèn)題［J］. 計(jì)算機(jī)科學(xué)， 2018， 45（6A）： 352-355， 382.（WANG J S， LI L L， YAN Y， et al. Security incidents and solutions of blockchain technology application［J］. Computer Science， 2018， 45（6A）： 352-355， 382.）

[69] LI Y， YANG G， SUSILO W， et al. Traceable Monero： anonymous cryptocurrency with enhanced accountability［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（2）： 679-691.

[70] SUN S F， AU M H， LIU J K， et al. RingCT 2.0： a compact accumulator-based （linkable ring signature） protocol for blockchain cryptocurrency Monero［C］// Proceedings of the 2017 European Symposium on Research in Computer Security， LNCS 10493. Cham： Springer， 2017： 456-474.

[71] LIN C， HE D， HUANG X， et al. DCAP： a secure and efficient decentralized conditional anonymous payment system based on blockchain［J］. IEEE Transactions on Information Forensics and Security， 2020， 15： 2440-2452.

[72] EUN H， LEE H， OH H. Conditional privacy preserving security protocol for NFC applications［J］. IEEE Transactions on Consumer Electronics， 2013， 59（1）： 153-160.

[73] CHASE M， LYSYANSKAYA A. On signatures of knowledge［C］// Proceedings of the 2006 Annual International Cryptology Conference， LNCS 4117. Berlin： Springer， 2006： 78-96.

[74] ANDROULAKI E， CAMENISCH J， DE CARO A， et al. Privacy-preserving auditable token payments in a permissioned blockchain system［C］// Proceedings of the 2nd ACM Conference on Advances in Financial Technologies. New York： ACM， 2020： 255-267.

[75] POINTCHEVAL D， SANDERS O. Short randomizable signatures［C］// Proceedings of the 2016 Cryptographers’ Track at the RSA Conference， LNCS 9610. Cham： Springer， 2016： 111-126.

[76] GENNARO R， JARECKI S， KRAWCZYK H， et al. Secure distributed key generation for discrete-log based cryptosystems［J］. Journal of Cryptology， 2007， 20（1）： 51-83.

[77] SHAO W， JIA C， XU Y， et al. AttriChain： decentralized traceable anonymous identities in privacy-preserving permissioned blockchain［J］. Computers and Security， 2020， 99： No.102069.

[78] EL KAAFARANI A， GHADAFI E， KHADER D. Decentralized traceable attribute-based signatures［C］// Proceedings of the 2014 Cryptographers’ Track at the RSA Conference， LNCS 8366. Cham： Springer， 2014： 327-348.

[79] GHADAFI E. Efficient distributed tag-based encryption and its application to group signatures with efficient distributed traceability［C］// Proceedings of the 2014 International Conference on Cryptology and Information Security in Latin America， LNCS 8895. Cham： Springer， 2015： 327-347.

[80] BARKI A， GOUGET A. Achieving privacy and accountability in traceable digital currency［EB/OL］. （2020-12-17） ［2022-07-21］.https：//eprint.iacr.org/2020/1565.pdf.

[81] BALDIMTSI F， LYSYANSKAYA A. Anonymous credentials light［C］// Proceedings of the 2013 ACM SIGSAC Conference on Computer and Communications Security. New York： ACM ， 2013：1087-1098.

[82] YUEN T H. PAChain： private， authenticated & auditable consortium blockchain and its implementation［J］. Future Generation Computer Systems， 2020， 112： 913-929.

[83] AU M H， SUSILO W， MU Y. Constant-size dynamic-TAA［C］// Proceedings of the 2006 International Conference on Security and Cryptography for Networks， LNCS 4116. Berlin： Springer， 2006： 111-125.

[84] CAMENISCH J， CHAABOUNI R， SHELAT A. Efficient protocols for set membership and range proofs［C］// Proceedings of the 2008 International Conference on the Theory and Application of Cryptology and Information Security， LNCS 5350. Berlin： Springer， 2008： 234-252.

[85] LIN C， HE D， HUANG X， et al. PPChain： a privacy-preserving permissioned blockchain architecture for cryptocurrency and other regulated applications［J］. IEEE Systems Journal， 2021， 15（3）： 4367-4378.

[86] ISLAM S H， KHAN M K， AL-KHOURI A M. Anonymous and provably secure certificateless multireceiver encryption without bilinear pairing［J］. Security and Communication Networks， 2015， 8（13）： 2214-2231.

[87] HO T H， YEN L H， TSENG C C. Simple-yet-efficient construction and revocation of group signatures［J］. International Journal of Foundations of Computer Science， 2015， 26（5）： 611-624.

[88] RIVINIUS M， REISERT P， RAUSCH D， et al. Publicly accountable robust multi-party computation［C］// Proceedings of the 2022 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2022： 2430-2449.

[89] 曹雪蓮，張建輝，劉波. 區(qū)塊鏈安全、隱私與性能問(wèn)題研究綜述［J］. 計(jì)算機(jī)集成制造系統(tǒng)， 2021， 27（7） 2078-2094.（CAO X L， ZHANG J H， LIU B. Review on security， privacy， and performance issues of blockchain［J］. Computer Integrated Manufacturing Systems， 2021， 27（7）： 2078-2094.）

[90] SAHA S， MALLICK S， NEOGY S. Privacy-preserving healthcare data modeling based on sensitivity and utility［J］. SN Computer Science， 2022， 3（6）： No.482.

[91] MASHAHDI S， BAGHERPOUR B， ZAGHIAN A. A non-interactive （，）-publicly verifiable multi-secret sharing scheme［J］. Designs， Codes and Cryptography， 2022， 90（8）： 1761-1782.

[92] VEUGEN T. Secure multi-party computation and its applications［C］// Proceedings of the 2022 International Conference on Innovations for Community Services， CCIS 1585. Cham： Springer， 2022： 3-5.

[93] 孫浩，毛瀚宇，張巖峰，等. 區(qū)塊鏈跨鏈技術(shù)發(fā)展及應(yīng)用［J］. 計(jì)算機(jī)科學(xué)， 2022， 49（5）： 287-295.（SUN H， MAO H Y， ZHANG Y F， et al. Development and application of blockchain cross-chain technology［J］. Computer Science， 2022， 49（5）： 287-295.）

[94] PEREZ A J， ZEADALLY S. Secure and privacy-preserving crowdsensing using smart contracts［J］. Computer Science Review， 2022， 43： No.100450.

[95] HOANG T T， DURAN C， SERRANO R， et al. Trusted execution environment hardware by isolated heterogeneous architecture for key scheduling［J］. IEEE Access， 2022， 10： 46014-46027.

[96] SHENG G， QIAN Q， ZHANG R， et al. A privacy-preserving identity authentication scheme based on the blockchain［J］. Security and Communication Networks， 2021， 2021： No.9992353.

Survey on privacy-preserving technology for blockchain transaction

XIE Qingqing1，2*， YANG Nianmin1，2， FENG Xia3

（1，，212013，；2（），212013，；3，，212013，）

Blockchain ledger is open and transparent. Some attackers can obtain sensitive information through analyzing the ledger data. It causes a great threat to users’ privacy preservation of transaction. In view of the importance of blockchain transaction privacy preservation， the causes of the transaction privacy leakage were analyzed at first， and the transaction privacy was divided into two types： the transaction participator’s identity privacy and transaction data privacy. Then， in the perspectives of these two types of transaction privacy， the existing privacy-preserving technologies for blockchain transaction were presented. Next， in view of the contradiction between the transaction identity privacy preservation and supervision， transaction identity privacy preservation schemes considering supervision were introduced. Finally， the future research directions of the privacy-preserving technologies for blockchain transaction were summarized and prospected.

blockchain; transaction privacy preservation; identity privacy; transaction data privacy; transaction supervision

1001-9081（2023）10-2996-12

10.11772/j.issn.1001-9081.2022101555

2022?10?18；

2023?01?09；

2023?01?10。

國(guó)家自然科學(xué)基金資助項(xiàng)目（62002139，62272203）；中國(guó)博士后科學(xué)基金資助項(xiàng)目（2019M651738）；江蘇省自然科學(xué)基金資助項(xiàng)目（BK20200886）。

謝晴晴（1990—），女，安徽宿州人，講師，博士，CCF會(huì)員，主要研究方向：區(qū)塊鏈監(jiān)管、應(yīng)用密碼學(xué)； 楊念民（1998—），男，江西贛州人，碩士研究生，主要研究方向：區(qū)塊鏈監(jiān)管、數(shù)字貨幣； 馮霞（1983—），女，江蘇鎮(zhèn)江人，副教授，博士，主要研究方向：物聯(lián)網(wǎng)、認(rèn)證協(xié)議、區(qū)塊鏈、應(yīng)用密碼學(xué)。

TP309

A

This work is partially supported by National Natural Science Foundation of China （62002139， 62272203）， China Postdoctoral Science Foundation （2019M651738）， Natural Science Foundation of Jiangsu Province （BK20200886）.

XIE Qingqing， born in 1990， Ph. D.， lecturer. Her research interests include blockchain supervision， applied cryptography.

YANG Nianmin， born in 1998， M. S. candidate. His research interests include blockchain supervision， digital currency.

FENG Xia， born in 1983， Ph. D.， associate professor. Her research interests include internet of things， authentication protocol， blockchain， applied cryptography.