區(qū)塊鏈隱私保護技術研究綜述

摘 要：近年來，區(qū)塊鏈在學術界和工業(yè)界都受到越來越多的關注。在不同應用中部署區(qū)塊鏈時，區(qū)塊鏈的隱私性仍是備受爭議的焦點問題。系統(tǒng)地回顧了當前區(qū)塊鏈中隱私保護的方案和機制，給出了區(qū)塊鏈的安全性和隱私性的見解。首先，對區(qū)塊鏈技術的主要功能、類型和隱私定義進行初步介紹，并分析了其面臨的隱私問題；然后，從技術角度出發(fā)，將區(qū)塊鏈隱私保護技術分為去中心化身份認證、隱私協(xié)議、加密技術和混淆技術四大類，以及去中心化身份認證、安全多方計算、差分隱私、同態(tài)加密、零知識證明、混幣技術、環(huán)簽名和匿名通信八小類，并分別對它們進行了研究，概述了不同隱私保護技術在許可鏈與非許可鏈上的作用機制；最后，對八種隱私保護技術的主要特征和屬性進行了定性研究，并探討了隱私保護技術未來研究方向。研究為區(qū)塊鏈開發(fā)人員選擇合適的隱私保護方案，以及研究人員選擇區(qū)塊鏈隱私保護研究方向提供借鑒和參考。

關鍵詞：區(qū)塊鏈； 安全技術； 區(qū)塊鏈攻擊； 隱私保護技術

中圖分類號：TP301 文獻標志碼：A

文章編號：1001-3695（2024）08-003-2261-09

doi：10.19734/j.issn.1001-3695.2023.12.0603

Review of research on blockchain privacy protection technologies

Tan Pengliu， Xu Teng， Yang Sijia， Tao Zhihui

（School of Software， Nanchang Hangkong University， Nanchang 330063， China）

Abstract：In recent years， blockchain has attracted increasing attention in both academic and industrial circles， and the privacy of blockchain remains a controversial issue when deploying blockchain in different applications. This paper systematically reviewed the current privacy protection schemes and mechanisms in blockchain， and gave insights into the security and privacy of blockchain. Firstly， this paper briefly introduced the main functions， types and privacy definitions of blockchain technology， and analyzed the privacy issues it faced. Then， from a technical perspective， this paper divided blockchain privacy protection technology into four categories： decentralized identity authentication， privacy protocol， encryption technology and obfuscation technology， as well as eight sub-categories： decentralized identity authentication， secure multi-party computation， differen-tial privacy， homomorphic encryption， zero-knowledge proof， coin mixing technology， ring signature and anonymous communication. This paper studied them separately， and summarized the mechanisms of different privacy protection technologies on permissioned and permissionless blockchains. Finally， this paper conducted qualitative research on the main characteristics and attributes of the eight privacy protection technologies， and discussed future research directions of privacy protection technologies. The research provided reference for blockchain developers to choose appropriate privacy protection schemes and for researchers to choose research directions for blockchain privacy protection.

Key words：blockchain; security technology; blockchain attack; privacy protection technology

0 引言

從2008年中本聰發(fā)表比特幣白皮書，到2014年加文（Gavin Wood）創(chuàng)造以太坊并提出Web 3.0概念，再到2021年以來的元宇宙，區(qū)塊鏈技術已經(jīng)歷15年的發(fā)展歷史，引起市場的強烈關注?，F(xiàn)如今區(qū)塊鏈已滲透到生活的方方面面，從最初的比特幣、達世幣、門羅幣和零幣等電子貨幣到銀行業(yè)、保險業(yè)和信托業(yè)等金融行業(yè)，從醫(yī)療行業(yè)和物流行業(yè)再到智能醫(yī)療和智能交通等物聯(lián)網(wǎng)行業(yè)。區(qū)塊鏈技術有助于促進數(shù)據(jù)共享、降低運營成本、建設可信系統(tǒng)，是支撐數(shù)字經(jīng)濟發(fā)展的戰(zhàn)略性技術。

隨著區(qū)塊鏈技術的高速發(fā)展，其面臨的隱私泄露問題日漸突出。區(qū)塊鏈的公開透明特性使用戶能夠查看所有交易信息，包括交易金額、合約內(nèi)容以及其他關鍵信息，不法分子攻擊區(qū)塊鏈隱私漏洞以獲取用戶真實的隱私數(shù)據(jù)，且基于區(qū)塊鏈的加密貨幣由于缺少監(jiān)管和執(zhí)著于去中心化，始終存在風險。2022年2月，黑客從包裹以太坊（wETH）盜走超過3.2億美元。同年3月，安德森公司開發(fā)的一個分支側鏈Ronin與以太坊之間的跨鏈，也遭受了黑客攻擊，被盜金額超過6.2億美元［1］。根據(jù)對區(qū)塊鏈安全事件進行統(tǒng)計，2022年共發(fā)生303件區(qū)塊鏈被黑事件，損失高達37.77億美元，其中攻擊手段主要為項目自身缺陷和各種合約漏洞引起的攻擊［2］。

區(qū)塊鏈技術中沒有中心管理者，數(shù)據(jù)在分散的節(jié)點上存儲，所有的節(jié)點地位都是平等的，這些節(jié)點通常是個人電腦，而節(jié)點與節(jié)點之間可能存在性能與安全防御能力的差異，其中性能較弱的節(jié)點很容易遭受攻擊者的入侵。另外，一些攻擊者會偽裝成合法的節(jié)點，從而直接從區(qū)塊鏈中獲取數(shù)據(jù)。對區(qū)塊鏈來說，隱私安全保護主要是要保證其交易的合法匿名性，即攻擊者既不會通過分析交易數(shù)據(jù)獲得用戶的相關身份信息，也不會偽裝成合法節(jié)點而直接獲取具體的交易數(shù)據(jù)。如圖1所示，本文從區(qū)塊鏈的基礎理論和隱私定義入手，從四種不同的技術角度出發(fā)，對各類隱私保護技術相關的機制進行了分析，了解其各自的優(yōu)缺點和適用范圍，以幫助研究人員選擇最適合自己需求的隱私保護方案，并對未來研究方向進行展望。

1 基礎理論與知識

區(qū)塊鏈是一種分布式賬本技術，通過密碼學來維護交易賬本，從而提供一個分散、透明和安全的系統(tǒng)。作為21世紀的領先技術之一，其不僅被部署在加密貨幣中，底層技術也被用于各種應用，正在改變著生活中的各個領域［3］。如區(qū)塊鏈+互聯(lián)網(wǎng)［4］、區(qū)塊鏈+能源交易［5］、區(qū)塊鏈+車載自組織網(wǎng)絡［6］、區(qū)塊鏈+供應鏈［7］、區(qū)塊鏈+邊緣計算［8］、區(qū)塊鏈+眾包［9］、區(qū)塊鏈+物聯(lián)網(wǎng)［10］、區(qū)塊鏈+醫(yī)療保?。?1］、區(qū)塊鏈+聯(lián)邦學習［12］等。區(qū)塊鏈對新興領域的影響，使得大規(guī)模的區(qū)塊鏈技術應用已成為必然的發(fā)展趨勢。

1.1 區(qū)塊鏈的主要功能

區(qū)塊鏈解決了長期存在的用戶信任問題，通過運行點對點網(wǎng)絡傳輸與共識機制，允許網(wǎng)絡用戶維護一個分布式分類賬，用戶定期將事務共享到新的塊，將這些塊附加到他們的副本中，并利用密碼散列函數(shù)使用戶保持一個不可竄改的歷史記錄。作為一個分布式加密保護數(shù)據(jù)庫，區(qū)塊鏈保留了從最初交易開始的每筆交易記錄。區(qū)塊鏈的主要功能如表1所示。

1.2 區(qū)塊鏈類型介紹

根據(jù)區(qū)塊鏈的不同特點和應用場景，基于對參與節(jié)點的身份認證或權限控制的分類，可以將其分為以下兩種類型：

1）許可區(qū)塊鏈

這種類型的區(qū)塊鏈中參與者的數(shù)量是有限的，參與者必須經(jīng)過身份認證才能被授予對網(wǎng)絡的訪問權限，所有參與節(jié)點會保留一份區(qū)塊鏈的副本。許可鏈的訪問控制機制使區(qū)塊鏈內(nèi)現(xiàn)有參與者可以決定未來的進入者。許可鏈具體分為私有鏈和聯(lián)盟鏈。私有鏈是一個中心化的網(wǎng)絡，完全由一個組織控制。而聯(lián)盟鏈是由多個組織共同構建的部分去中心化的網(wǎng)絡，其中只有一部分節(jié)點會被選擇來決定共識。私有鏈和聯(lián)盟鏈都可以為企業(yè)和組織提供更加安全、高效和創(chuàng)新的區(qū)塊鏈解決方案，例如Hyperledger Fabric和R3 Corda［13］等，需要根據(jù)實際需求進行權衡和選擇采用私有鏈或是聯(lián)盟鏈。

2）非許可區(qū)塊鏈

對于匿名參與者沒有限制的區(qū)塊鏈被稱為非許可區(qū)塊鏈或是公有鏈，其允許任何具有有效賬戶地址的節(jié)點在沒有任何授權的情況下加入和退出網(wǎng)絡，這些節(jié)點使用通用規(guī)則來接收、發(fā)送和驗證區(qū)塊，任何人都可以訪問賬本上的所有交易、創(chuàng)建交易和參與共識。非許可鏈在加密貨幣中起到很大的作用，用戶由網(wǎng)絡中的假名地址表示，這在一定程度上為用戶提供了隱私，但非許可鏈的開放性使攻擊者更容易入侵系統(tǒng)并危害大量節(jié)點，對其隱私安全帶來很大的影響。此外，大多數(shù)現(xiàn)有的非許可鏈系統(tǒng)存在效率低、通信開銷大、吞吐量低和確認延遲高的問題。已經(jīng)存在的一些措施顯著提高了非許可鏈的性能，但吞吐量仍然無法支持計算量大的區(qū)塊鏈隱私保護操作。因此，在非許可鏈系統(tǒng)中實現(xiàn)切實可行的隱私保護技術具有挑戰(zhàn)性。表2展示了許可鏈與非許可鏈之間不同的屬性區(qū)別。

1.3 區(qū)塊鏈的安全與隱私

區(qū)塊鏈在設計之初，采用了一系列技術以確保系統(tǒng)的安全性。這些技術包括密碼學技術（確保數(shù)據(jù)不受竄改）、對等網(wǎng)絡和共識機制（防止數(shù)據(jù)丟失和惡意更改）、虛擬機（作為智能合約執(zhí)行環(huán)境，對合約調用所需資源進行隔離和限制，以限定合約漏洞或惡意合約的影響范圍）、時間戳和激勵機制等，從而避免系統(tǒng)因外部惡意攻擊而受到破壞、更改或泄露數(shù)據(jù)。根據(jù)中國區(qū)塊鏈技術產(chǎn)業(yè)和發(fā)展論壇的定義［14］，區(qū)塊鏈隱私是指僅涉及個人利益且無須公開的個人信息和個人領域。隱私的主體為自然人，隱私內(nèi)容包括特定個人不愿透露給第三方的事實和行為，客體則指個人信息和個人領域。在區(qū)塊鏈網(wǎng)絡中，隱私主要用于用戶隱私和交易數(shù)據(jù)隱私兩個方面，區(qū)塊鏈中的兩種類型的交易隱私詳述如下：

a）用戶隱私。在進行用戶注冊、訪問和登錄認證等操作時，需要對用戶的身份進行驗證，并設置相應的權限來控制系統(tǒng)內(nèi)部資源的訪問。由于用戶身份隱私的安全尤為重要，所以這一過程需要高度保密且具有安全性的保障。將區(qū)塊鏈用戶的真實身份轉換為無法識別的信息，可以確保原始身份無法被獲取。

b）數(shù)據(jù)隱私。隱藏交易內(nèi)容可以保證區(qū)塊鏈數(shù)據(jù)隱私的完整性。數(shù)據(jù)隱私是機密的，即對交易中的數(shù)據(jù)內(nèi)容進行加密以保持網(wǎng)絡中的機密性。保證數(shù)據(jù)機密性可確保交易內(nèi)容不受未經(jīng)授權的訪問、干預和更改。

2 區(qū)塊鏈的隱私保護技術機制

在區(qū)塊鏈的非信任節(jié)點之間建立信任聯(lián)系是依靠一系列的密碼學算法支持的，因其不受中心機構的信用背書，并不能簡單地將傳統(tǒng)的隱私保護技術嵌套到區(qū)塊鏈上，明確傳統(tǒng)的隱私保護技術與區(qū)塊鏈技術的特征，才能實現(xiàn)高安全高隱私的區(qū)塊鏈技術。從技術角度出發(fā)，將區(qū)塊鏈隱私保護技術分為以下四種保護機制：

a）去中心化身份認證（decentralized identity verification）。通過去中心化的身份認證機制，避免了單點故障和數(shù)據(jù)泄露，保護用戶的隱私。

b）隱私協(xié)議（privacy protocols）。通過設計隱私協(xié)議來保護交易的隱私性。

c）加密技術（encryption）。使用加密技術對交易數(shù)據(jù)進行加密，以保護其隱私性。

d）混淆技術（mixing）。將多個交易混合在一起，使得關聯(lián)性無法被追蹤。

下面分別對上述四種保護機制中主流的八種隱私保護方法進行介紹，并闡述其各自的適用場景。

2.1 去中心化身份認證

身份驗證隱私保護技術是常見的一種去中心化身份認證的隱私保護機制。許可鏈節(jié)點的身份認證主要是通過頒發(fā)數(shù)字證書來實現(xiàn)節(jié)點權限控制，還可以使用分布式身份驗證協(xié)議來保護個人身份信息，確保只有授權用戶才能訪問相關數(shù)據(jù)。在非許可區(qū)塊鏈中，身份驗證隱私保護的主要方法是使用匿名性強的加密貨幣（如比特幣）進行交易。這些交易無須披露用戶的真實身份信息，而只需使用公鑰和私鑰進行數(shù)字簽名來驗證交易的合法性。曾萍等人［15］通過將區(qū)塊鏈技術與無證書密碼機制相結合，提出分布式的身份認證體系架構，為車聯(lián)網(wǎng)設計分布式身份認證協(xié)議，提供可信的通信環(huán)境，防止?jié)撛诘姆欠ㄓ脩艄簟?/p>

2.2 隱私協(xié)議

1）安全多方計算（secure multi-party computation，SMPC）

安全多方計算是基于密碼學的隱私計算，SMPC的基本目標是構建安全協(xié)議，允許多個相互不信任的參與方協(xié)同計算一個約定的函數(shù)，使每個參與主體僅獲取自己的計算結果，提高數(shù)據(jù)保密能力，從而保證輸入的私密性和輸出的正確性。確保在多個參與者之間共享數(shù)據(jù)時，個人的隱私和敏感信息得到保護。在區(qū)塊鏈中，安全多方計算通常用于加密貨幣交易的驗證和智能合約的執(zhí)行，以保護智能合約中的用戶數(shù)據(jù)隱私，圖2為安全多方計算簡要模式。

在許可鏈中，由于參與者已經(jīng)被授權和認證，多個參與者可以通過安全多方計算來檢驗彼此的行為，并達成共識，從而確保鏈上數(shù)據(jù)的真實性和完整性，保護敏感信息（如身份信息、交易記錄等），加強隱私保護和減少信息泄露的風險。

在非許可鏈中，各參與者的身份和權限無須得到其他參與者的認可或授權，而是由加密協(xié)議來保證網(wǎng)絡中的數(shù)據(jù)和交易的安全性。安全多方計算技術可以提供更高級別的隱私保護和安全性，是實現(xiàn)隱私保護的關鍵技術之一。

通過使用安全多方計算技術，尹紫荊等人［16］提出一種安全多方統(tǒng)計計算隱私保護方案，驗證秘密共享的外包數(shù)據(jù)的隱私安全的問題，保證了共享份額驗證與參與方輸入的真實性。SMPC的計算過程涉及到大量的計算和通信，因此需要高效的協(xié)議設計，并且需要考慮參與者之間的帶寬和計算資源限制。而非許可鏈通常具有更高的網(wǎng)絡延遲和較少的計算能力，SMPC在非許可鏈中可能面臨更大的技術挑戰(zhàn)。因此，需要開發(fā)高效的SMPC算法和優(yōu)化策略來適應這些限制，并確保參與者之間的通信和計算都能夠順利進行。同時，SMPC的安全性也依賴于協(xié)議和實現(xiàn)的正確性和魯棒性，因此需要經(jīng)過充分的測試和審計。當前安全多方計算模型的瓶頸在于計算效率較低，同時需要保證輸入數(shù)據(jù)的可信程度。此外，安全多方計算要求大多數(shù)參與者誠實，且參與者很難展示自己的工作量體現(xiàn)在SMPC中的哪一部分，這意味對參與者的激勵措施難以管理。

2）差分隱私（differential privacy，DP）

Dwork首次提出通過在數(shù)據(jù)中加入足夠數(shù)量的噪聲來保護隱私的想法［17］。差分隱私的概念最初是為了保護統(tǒng)計數(shù)據(jù)庫的隱私而提出的，通過在查詢數(shù)據(jù)之前向數(shù)據(jù)中加入特定值的噪聲來對抗數(shù)據(jù)分析類攻擊算法，用于在發(fā)布統(tǒng)計信息時保護數(shù)據(jù)庫中個人的隱私信息。差分隱私同時也確保數(shù)據(jù)庫中加入或刪除任何特定參與者的信息都不會影響該數(shù)據(jù)庫的查詢結果。研究人員還在各種應用中進一步應用了差分隱私的概念，例如實時健康數(shù)據(jù)監(jiān)測、物聯(lián)網(wǎng)數(shù)據(jù)、能源系統(tǒng)［18］等。差分隱私可以分為以下兩大類：

a）基于數(shù)據(jù)集合的DP。這種方法是通過對整個數(shù)據(jù)集添加噪聲來實現(xiàn)隱私保護。具體來說，在整個數(shù)據(jù)集中添加一些噪聲，使得每個個體的貢獻不再明顯，從而達到保護隱私的目的。這種方法常用于需要計算整個數(shù)據(jù)集的統(tǒng)計信息的場景，如計算平均值、方差等。

b）基于個體查詢的DP。這種方法是針對單個個體的查詢結果進行隱私保護。具體來說，為每個個體添加噪聲，從而在查詢結果中隱藏個體身份和敏感信息。這種方法常用于需要對特定個體進行查詢的場景，如查找某個人的賬戶余額等。

差分隱私與區(qū)塊鏈領域結合用于抵抗針對用戶行為特征分析的攻擊，在區(qū)塊鏈數(shù)據(jù)整體特征保持不變的前提下，可以防止攻擊者通過分析輸出結果來推測數(shù)據(jù)集中的隱私信息或個體用戶的信息。在許可鏈中，差分隱私可以用于增強數(shù)據(jù)隱私性和保護用戶敏感信息。需要注意的是，差分隱私的實現(xiàn)取決于噪聲的大小和分布，在許可鏈中實施差分隱私需要權衡隱私保護和數(shù)據(jù)準確性之間的平衡，并考慮參與者之間的通信和計算資源限制。同時，DP還需要避免惡意攻擊和數(shù)據(jù)泄露等安全問題。需要仔細選擇適合的算法和協(xié)議來實現(xiàn)DP，這可能需要額外的計算和通信開銷，因此需要在考慮資源限制的情況下進行必要的測試和審計，來確保其正確性和魯棒性。在非許可鏈中，參與者的身份和權限無須得到其他參與者的認可或授權，而是由加密協(xié)議來保證網(wǎng)絡中的數(shù)據(jù)和交易的安全性。差分隱私是一種嚴格可證明的數(shù)學方法，通過在對數(shù)據(jù)進行處理時添加一定量的隨機噪聲，使得任何單個記錄的修改或統(tǒng)計分析都不會對輸出結果造成顯著的影響，明顯接近真實結果，從而保護數(shù)據(jù)隱私。

2.3 加密技術

1）同態(tài)加密

同態(tài)加密技術與傳統(tǒng)的加密技術不同的是其允許在不訪問密鑰的情況下對加密數(shù)據(jù)執(zhí)行計算操作，得到的計算結果與原始數(shù)據(jù)相同。它利用代理重加密技術來保護選定的密文免受攻擊，也可以看作是對稱密鑰或公鑰加密的擴展版本。同態(tài)加密技術的特點是，即使攻擊者成功解密了同態(tài)加密的結果，也無法獲知加密前的具體數(shù)據(jù)信息，從而提高了信息的安全性和隱私性。

根據(jù)所支持的計算形式，同態(tài)加密技術可以分為全同態(tài)加密和半同態(tài)加密。在全同態(tài)加密中，可以對密文進行任意次數(shù)的加法和乘法操作，最終得到與對應明文數(shù)據(jù)相對應的運算規(guī)則相同的結果，從而保護數(shù)據(jù)隱私，實現(xiàn)安全多方計算，圖3為全同態(tài)加密用于數(shù)據(jù)隱私保護計算的參考實現(xiàn)。但由于全同態(tài)加密算法計算開銷較大、復雜度較高、效率低，應用場景受限，無法被大規(guī)模的使用。2011年提出的BVG算法［19］和2013年提出的GSW13算法［20］分別從上述不同的方面提高了全同態(tài)加密的效率。在半同態(tài)加密中，可以對密文進行有限次數(shù)的加法和乘法操作，并得到一個能夠解密的結果。這種加密方式相對于全同態(tài)加密而言，計算開銷相對較小，計算更加高效，也更容易實現(xiàn)。目前，常應用于聯(lián)邦學習中的半同態(tài)加密算法包括EL Gamal和Paillier算法［21］。在許可鏈中，通常更注重數(shù)據(jù)的完整性、透明度和審計，同態(tài)加密技術可以幫助數(shù)據(jù)在計算和驗證過程中得到保護。而在非許可鏈中，同態(tài)加密技術不僅保護了參與者的數(shù)據(jù)隱私，還可促進安全的跨組織協(xié)作。

2）零知識證明（zero knowledge proof，ZKP）

零知識證明是使用最廣泛的一種加密方法，能夠在去中心化、分布式、點對點區(qū)塊鏈網(wǎng)絡中轉移資產(chǎn)，并保護隱私。零知識證明的目的是證明交易的合法性，向與交易相關的驗證者提供零知識證明，即允許用戶證明自己擁有驗證所需的信息，而無須透露具體信息。圖4為零知識證明數(shù)據(jù)隱私保護模型，數(shù)據(jù)擁有方向數(shù)據(jù)驗證方證明一個陳述是真實的，而不透露除此之外的任何信息。零知識證明技術可以應用于智能合約中，提供更安全的驗證機制。例如，使用零知識證明可以驗證某個條件是否滿足而不必透露實際數(shù)據(jù)。

零知識證明必須滿足以下三個屬性：a）完整性，如果要證 明的陳述是真實的，且證明者和協(xié)議者都誠實地遵守協(xié)議，證明者總是可以進行成功的證明；b）合理性，如果要證明的陳述是錯誤的，作弊證明者無法說服驗證者它是真實的；c）不可偽造性，只有擁有有效證據(jù)的證明者才能生成具有可驗證性的證明，并使驗證者相信陳述的正確性，能夠抵御偽造攻擊。

基于證明者和驗證者之間是否需要進行多輪交互，零知識證明可以分為交互式零知識證明和非交互式零知識證明（non-interactive zero-knowledge，NIZK）。其中，交互式零知識證明需要證明者和驗證者之間進行多輪交互，且在交互的過程中不提供任何與隱私相關信息的前提下，驗證者可以逐步檢查證明者所提供的信息，并確保其真實性。雖然交互式零知識證明可以提高安全性和保密性，但它無法對證明方和驗證方事先串通的行為進行檢測和識別。其需要額外的工作來使可信第三方信服，并確保證明的真實性和準確性，因此，這種方法通常需要消耗更長的時間和更多的計算資源。非交互式零知識證明指證明者只需一次性地提供證明，而驗證者可以通過單次操作來驗證該證明的真實性。這種方法通常比交互式零知識證明更高效，解決了交互式零知識證明存在的隱患。由于非交互式零知識證明只需要一次性提供證明而無須多輪交互，所以可能會犧牲一定的安全性，攻擊者可以通過分析證明本身以推斷出敏感信息。

Bitansky等人［22］提出的零知識簡潔非交互知識論證（zk-SNARK）是NIZK證明的有效族，它具有簡潔的證明，使得驗證者能夠有效地驗證證明。非交互式零知識數(shù)字貨幣的Zerocoin協(xié)議［23］是NIZK的一個常見應用式，它利用NIZK，通過使用各種加密技術來防止交易圖分析，提供用戶匿名性，從而消除硬幣的痕跡；其擴展了比特幣協(xié)議，在無須加入可信方的情況下，實現(xiàn)完全匿名的交易。Zerocoin并不是一種成熟的分布式加密貨幣，相反，它可以被視為一種協(xié)議或機制，旨在為比特幣用戶提供更高的隱私性和匿名性。它通過允許用戶將比特幣轉換為“零幣”，這些零幣可以與其他混幣混合在一起，使得交易難以追蹤。但其缺乏隱藏交易金額的功能且易受側信道攻擊。

為了克服這個缺陷，Zerocoin演進為Zerocash系統(tǒng)［24］。Zerocash、Zerocoin均隱藏了交易過程中的賬本信息，表3為Zerocoin與Zerocash的特性對比。Zerocash提供數(shù)據(jù)機密性和用戶匿名性，交易規(guī)模和驗證時間也大大減少，使用zk-SNARK提供強大的匿名性保證，是一個成熟的分散式支付方案，缺點是使用Zerocash需要投入較高的計算資源。2016年其引入了公開可驗證性，繼續(xù)演進構建成Zcash加密貨幣系統(tǒng)［25］，這意味著任何人都可以在區(qū)塊鏈上查看交易數(shù)據(jù)，從而增加了透明度和監(jiān)管能力。此外，Zcash也引入了更高效的參數(shù)生成算法，減少了初始化階段所需的計算資源，使其在一定程度上可能存在中心化問題，容易受到分析攻擊。

許可區(qū)塊鏈中有明確的參與者和權限控制機制，且擁有更高的計算能力和資源，使用零知識證明技術時可以更加靈活地處理授權問題，通常可以更容易地適應計算資源消耗較大的零知識證明技術。在許可鏈中，參與者之間需要互相驗證對方的身份和數(shù)據(jù)的合法性。通過使用零知識證明技術，可以避免將所有的數(shù)據(jù)公開，只需要證明擁有正確的數(shù)據(jù)即可完成驗證。

在非許可區(qū)塊鏈中，則需要考慮如何平衡隱私保護和計算資源消耗之間的成本效益。在非許可鏈中，由于涉及到更多的匿名交易和信息共享，需要考慮如何保護隱私的同時實現(xiàn)有效的監(jiān)督審計。李懿等人［26］將零知識證明技術與函數(shù)加密技術相結合，實現(xiàn)了區(qū)塊鏈的安全共享。其中，通過使用零知識證明技術生成相關計算的可信度證明，用于保證數(shù)據(jù)處理結果的可靠性，消除因原始數(shù)據(jù)不可見帶來的數(shù)據(jù)處理不可信風險，而函數(shù)加密技術是對隱私數(shù)據(jù)進行加密，不僅保護了數(shù)據(jù)使用者的權益也實現(xiàn)了區(qū)塊鏈的安全共享。王丹等人［27］將零知識證明和同態(tài)加密技術分別運用到了區(qū)塊鏈上，從而分別實現(xiàn)用戶身份匿名隱私和交易數(shù)據(jù)隱私，并將區(qū)塊鏈作為數(shù)據(jù)存儲平臺，在云平臺上調用智能合約從而進行疾病預測，實現(xiàn)了智慧醫(yī)療云平臺。余健等人［28］將基于加法的同態(tài)加密和基于范圍的零知識證明算法相結合，前者實現(xiàn)對密文數(shù)據(jù)進行更新，后者用于驗證密文數(shù)據(jù)的合法性，對臨床醫(yī)療區(qū)塊鏈的數(shù)據(jù)進行隱私保護，保證中醫(yī)藥大數(shù)據(jù)的安全性和合法性。

2.4 混淆技術

1）混幣技術

數(shù)據(jù)混淆技術在加密數(shù)字貨幣中的應用稱為混幣技術。區(qū)塊鏈中的混幣機制是指一種通過將多個用戶的交易匯集在一起，然后重新分配資金并重新發(fā)送回各自的賬戶，從而增加交易隱私性和匿名性的方法。這通常包括使用隨機化算法來隱藏每個交易的真實發(fā)送者和接收者，即隱藏通信雙方的實際身份，實現(xiàn)匿名通信?；鞄艡C制旨在防止交易被跟蹤或揭示交易參與者的身份，使得區(qū)塊鏈上的交易更難以追蹤與分析。在數(shù)字貨幣領域，混幣技術主要分為基于中心節(jié)點的混幣方法和去中心化的混幣方法。

a）基于中心節(jié)點的混幣方法?；谥行幕鞄欧盏幕鞄攀且环N比較常見的混幣方式，它通過信任某個中心化的服務來保護交易隱私。

圖5為中心化混幣實現(xiàn)示意圖，用戶將自己的交易發(fā)送給混幣提供商，混幣提供商會將其與其他交易混合在一起，并重新分配不同的地址。這種方式可以提供比較高級別的隱私保護，簡單易行，適用于比特幣以及其他數(shù)字貨幣，但由于用戶需要相信該服務提供商不會竊取或泄露他們的交易信息，從而存在信任問題。

Mixcoin［29］是最早提出的一種改進的中心化混幣方案，其增加了審計功能。該方法通過中間混幣提供商的聲譽解決盜竊問題。即若中間人違規(guī)操作，用戶可以公布前面的數(shù)據(jù)，使中間人迅速丟失聲譽，但是該方案不能不讓中間人知道輸入輸出的地址，未解決混幣中的可鏈接性。Valenta等人［30］在Mixcoin的基礎上改進得到Blindcoin，其本質上增加了混幣的致盲性。盲簽名［31］是一種數(shù)字簽名方式，通過使用盲簽名技術從中間混幣提供商獲得授權，使得中間混幣提供商不能建立其輸入和輸出地址映射關系，減少了可鏈接性，但盲簽名算法的開銷較大。Blind-mixing［32］是利用橢圓曲線改進Blindcoin盲簽名技術的混幣機制，提高了混幣時的執(zhí)行效率，Blind-mixing的執(zhí)行速度是Blindcoin的10.5倍。2015年上線運營的匿名數(shù)字貨幣達世幣（DASH）［33］，通過支付額外的交易費用，增加中心節(jié)點違規(guī)操作的代價，以保證隱私性和匿名性。Lockmix［34］是一種保持比特幣匿名安全且保護隱私的混合服務，該模型通過將盲簽名和多重簽名技術相結合，防止惡意參與者對輸入和輸出地址對發(fā)起鏈接攻擊。其中，盲簽名隱藏用戶輸入和輸出地址之間的鏈接，多重簽名技術可以用作存款機制。表4為基于中心節(jié)點的各混幣機制的對比。

b）去中心化的混幣方法?；谌ブ行幕鞄艆f(xié)議的混幣是一種最安全的混幣方式，它通常使用加密學、博弈論等方式實現(xiàn)在沒有權威機構（第三方節(jié)點）的情況下，對交易進行混幣。去中心化混幣協(xié)議的基本模型如圖6所示，分為協(xié)商、混淆、確認及結束四個階段，其中，紅色節(jié)點表示混入的攻擊者（參見電子版）。與中心化混幣協(xié)議的區(qū)別主要在于執(zhí)行的角色由中心化混幣服務器轉變?yōu)橛蓞⑴c混幣的用戶多方共同完成。

基于中心化混幣服務的混幣最初的協(xié)議是CoinJoin協(xié)議［35］。CoinJoin協(xié)議利用比特幣交易中的多個輸入和輸出，將多個參與者的交易合并成一個交易。即一組要私下匯款的用戶在一個可信的混幣服務中聚集在一起，并創(chuàng)建組合事務。每個用戶檢查事務是否包含其輸出地址，如果包含，則簽名?；鞄欧諘盏蕉鄠€參與者的交易請求，將其混合在一起并重新分配給不同的地址。這個簡單協(xié)議的顯著之處在于它通過多輸入-多輸出方法解決了盜竊問題。然而其匿名性受到組大小的限制，而組大小又受到比特幣單個交易所能容納的最大簽名數(shù)量的限制。CoinShuffle［36］在CoinJoin的基礎上引入了分層加密的思想，參與者通過多層加密保障內(nèi)部隱私，設計輸出地址洗牌機制，打亂每一步加密過程。該方案的混淆階段計算量較大，花費時間較長，并且要求所有用戶在混幣過程中同時在線，容易遭受拒絕服務攻擊。Ruffing等人［37］提出了CoinShuffle的改進版本，通過開發(fā)DiceMix協(xié)議，并在DiceMix之上構建了CoinShuffle++，利用p2p混合技術提供通信匿名性，實驗表明CoinShuffle++的效率明顯高于CoinShuffle。CoinSwap協(xié)議［38］是真正防止集中式的貨幣盜竊原始解決方案，該協(xié)議利用區(qū)塊鏈系統(tǒng)中的哈希時間鎖定合約（HTLC）保證參與各方的安全問題。哈希鎖用于交易接收方接受資產(chǎn)，時間鎖用于發(fā)起方在發(fā)生異常的情況下，一定時間后取回資產(chǎn)。但該協(xié)議只允許單次混淆只有兩個參與方，在雙方混幣技術中，用戶需要與不同參與方進行多輪混幣來增強隱私性，高度保護用戶隱私。

Xim［39］解決了CoinJoin中存在用戶無法否認他們曾經(jīng)參與過混幣操作的問題，通過利用多輪公平交換協(xié)議提供兩方混合，由區(qū)塊鏈中的廣告信息匿名發(fā)現(xiàn)混幣參與方的去中心化混幣協(xié)議。通過投放廣告尋找混幣用戶，增加了交易的外部隱私性和安全性。但仍可能存在潛在的安全漏洞，例如智能合約漏洞、私鑰丟失等，這些漏洞可能會導致用戶數(shù)據(jù)泄露或資產(chǎn)損失。程其玲等人［40］分別針對CoinJoin和CoinShuffle代理節(jié)點不可信和節(jié)點需要層層傳遞加密所帶來的安全或效率低下的問題，提出了一種兩層洗牌的隱私保護機制TTShuffle。該機制將區(qū)塊鏈內(nèi)的混幣節(jié)點分成不同的組，并在組內(nèi)進行一次混幣；然后從每個組中選派代表節(jié)點進行組間的二次混幣操作，有效降低了混幣時間。但沒有采取相應措施，在混幣節(jié)點分組時，混幣的攻擊者大多會聚集在同一組而帶來誠實節(jié)點隱私泄露的風險。

TumbleBit［41］通過結合加密技術提供最大的安全保障，使發(fā)送者的初始信息和接收者的釋放信息之間沒有混合器能夠鏈接。但其要求執(zhí)行和參與者的消息是同步的，以防止時間分析。CoinParty［42］通過安全多方計算（MPC）解決了這個限制：參與者通過MPC協(xié)議建立和簽署共享地址，形成聯(lián)合交易，聯(lián)合交易由共享地址簽署。CoinParty提供了不可鏈接性，但要求至少2/3的參與者必須是誠實的，以保證協(xié)議正確性。門羅幣（monero）［43］采用環(huán)簽名機制實現(xiàn)混幣過程。通過環(huán)簽名模糊交易的輸入地址，使門羅幣的交易歷史記錄變得模糊和不可追蹤，從而增加了用戶的隱私保護。任何一個用戶可以自行實現(xiàn)混幣，能夠有效杜絕去中心化混幣方案面臨的拒絕服務攻擊、混幣參與用戶泄露混幣過程等問題。

2）環(huán)簽名

群簽名是環(huán)簽名的一種特例，群簽名指定群管理器實體，該實體定義組內(nèi)的用戶集，并能對任何簽名進行去匿名化處理。通過采用群簽名算法對交易進行簽名，從而實現(xiàn)用戶交易簽名時的身份匿名性。在許可鏈中使用群簽名可以確保只有授權者才能對交易進行簽名，從而降低了交易被惡意竄改或偽造的風險。楊亞濤等人［44］通過在多KGC群簽名方案的基礎上對SM9標識密碼算法進行改進，實現(xiàn)了簽名不可偽造、保證節(jié)點匿名等特性。但群簽名需要多個簽名，過程復雜度高，在實際應用時可能存在一些性能瓶頸和資源限制。

環(huán)簽名［45］于2001年引入，其無須像群簽名中那樣的中央權威來指定群成員，并且在生成公鑰期間無須用戶之間的任何協(xié)調。環(huán)簽名允許用戶通過包括自己在內(nèi)的可能簽名者的環(huán)來創(chuàng)建消息的簽名，根據(jù)環(huán)中創(chuàng)建者的私鑰和環(huán)中其他參與者的公鑰創(chuàng)建簽名，而不公開該環(huán)的哪個成員實際上簽名了信息。這樣做將向驗證者提示其中一個參與者已經(jīng)簽署了交易，但沒有透露誰簽署了交易的信息，實現(xiàn)了匿名性和不可偽造性。任何用戶都可以創(chuàng)建自定義用戶集并簽署消息，而無須任何其他實體披露真正的簽名者。

然而，這也使得惡意用戶容易利用這種過度的匿名性，特別是在一些應用中，例如選舉，即同一個簽名者可以創(chuàng)建兩個簽名，這可以被計為兩張選票而不被注意。Fujisaki等人［46］引入了可追蹤環(huán)簽名，能夠幫助監(jiān)管機構對交易進行審計和追蹤，從而提高整個區(qū)塊鏈的透明度和可信度。可追溯環(huán)簽名部署可用于防止區(qū)塊鏈中的雙重支出攻擊。在許可鏈中，盡管節(jié)點數(shù)量有限，但仍然存在某些節(jié)點試圖竊取個人信息或者竄改交易記錄的風險。Noether［47］提出了CryptoNote協(xié)議的一個擴展，稱為環(huán)機密交易（RingCT），其在保護隱私的同時提供驗證和證明的加密技術，以確保交易的合規(guī)性和透明度。

在非許可鏈中，群簽名將多個用戶的身份混合在一起，增強他們隱私的保護力度，使得用戶更加自由地進行交易而不必擔心身份被泄露。群簽名技術只需要一個有效簽名來驗證整個交易，而無須每個參與者都單獨簽名，從而提高了交易的效率和可擴展性。同時，由于交易只有一個簽名，也減少了身份暴露的風險，進一步增加了交易的匿名性。環(huán)簽名可以提供更好的隱私保護，確保交易的有效性和增加交易的不可竄改性，這些特性對于區(qū)塊鏈網(wǎng)絡的穩(wěn)定運行和廣泛應用非常重要。環(huán)簽名使用戶在創(chuàng)建簽名時無須彼此通信。在非許可鏈中使用可追溯的環(huán)簽名，允許特定機構或監(jiān)管者進行必要的跟蹤和審計的加密技術，可以幫助平衡交易隱私性和監(jiān)管透明度。CryptoNote技術［48］支持匿名地址，該協(xié)議不允許接收者在兩個不同的事務中使用相同的事務輸出而不被檢測到，可以幫助交易者確保自己的隱私不被泄露，因此CryptoNote更適合在非許可鏈中使用。雖然CryptoNote隱藏了事務發(fā)送方和接收方的身份，但協(xié)議也易受分析攻擊。

monero［49］是建立在CryptoNote協(xié)議之上的最流行的加密貨幣。門羅幣的交易可以被其他參與者驗證，從而確保所有交易的有效性和可信度。這種機制還可防止雙重支付等欺詐行為的發(fā)生，保證整個系統(tǒng)的安全性和穩(wěn)定性。但門羅幣的隱私保護機制會增加交易的計算和存儲成本，這可能會影響區(qū)塊鏈的性能和可擴展性。環(huán)機密交易（RingCT）［50］是CryptoNote協(xié)議的一個擴展，彌補了monero的不足，它通過簽署金額承諾而不是金額本身來掩蓋交易中的金額。由于交易中的金額是隱藏的，所以協(xié)議僅驗證輸入硬幣的總金額是否等于承諾中的輸出硬幣的總金額。

3）匿名通信技術

在區(qū)塊鏈應用中，可以考慮使用匿名通信技術來保護交易數(shù)據(jù)的傳輸過程。匿名通信技術通過多層加密來保護參與者的隱私和安全，確保參與者之間的通信和交易不被未經(jīng)授權的第三方訪問或跟蹤，從而增強整個區(qū)塊鏈網(wǎng)絡的安全性和可靠性。

a）洋蔥路由。洋蔥路由（onion routing）［51］是一種在計算機網(wǎng)絡上進行匿名通信的技術，通信數(shù)據(jù)先進行多層加密然后在由若干個被稱為洋蔥路由器組成的通信線路上被傳送，可解決高延遲的問題。在區(qū)塊鏈中，通過使攻擊者無法獲得全局信息來保證隱私安全。許可鏈與洋蔥路由隱藏混淆節(jié)點技術相結合可避免系統(tǒng)中的單點故障，實現(xiàn)了一種在無線傳感器網(wǎng)絡上進行隱私感知分布數(shù)據(jù)挖掘的解決方案。傳統(tǒng)的洋蔥路由協(xié)議中，如果目錄服務器遭到入侵，它可能不會跟蹤洋蔥網(wǎng)絡中的惡意洋蔥節(jié)點。Gupta等人［52］提出一種基于區(qū)塊鏈與洋蔥路由的安全可信架構，通過區(qū)塊鏈網(wǎng)絡存儲和跟蹤洋蔥節(jié)點閾值來保持所提洋蔥網(wǎng)絡的匿名性。在非許可鏈上，洋蔥網(wǎng)絡［53］同樣可以提供額外的隱私保護，確保參與者之間的通信和交易不被未經(jīng)授權的第三方訪問或跟蹤，更好地保護參與者的匿名性和隱私性。

b）大蒜路由。大蒜路由（garlic routing）［54］是一種通過多次加密和分組傳輸來保護通信隱私的網(wǎng)絡協(xié)議，解決了洋蔥路由存在的ISP流量攻擊和目錄服務器被破壞的問題。它類似于洋蔥路由，但與洋蔥路由不同，大蒜路由會將數(shù)據(jù)分成多個小組并按不同順序發(fā)送，以增加攻擊者破解的難度，在這個過程中，每個小組都會進行多次加密和解密，以確保消息的機密性和完整性。Samuel等人［55］提出一個基于聯(lián)盟鏈的系統(tǒng)，該系統(tǒng)通過將大蒜路由和區(qū)塊鏈結合起來，以提供低延遲的通信和高效的隱私安全性。

c）TOR。TOR［56］是提供匿名通信和審查規(guī)避的網(wǎng)絡系統(tǒng)之一，是一種通過多層加密和大蒜路由協(xié)議來保護網(wǎng)絡通信隱私的系統(tǒng)。TOR使用戶的數(shù)據(jù)被分成多個小塊并在多個節(jié)點上進行加密和解密，每個節(jié)點只知道其前后的節(jié)點，使得攻擊者很難跟蹤和監(jiān)視傳輸?shù)臄?shù)據(jù)。TOR使其用戶能夠匿名上網(wǎng)、聊天和發(fā)送信息。但是，網(wǎng)絡攻擊者也會利用該系統(tǒng)來規(guī)避犯罪活動檢測。Li等人［57］基于TOR提出一種新的用于聯(lián)盟鏈的多通道匿名共識機制，保護節(jié)點隱私，防止共識節(jié)點損壞，從而實現(xiàn)匿名共識，具有良好的共識效率。但TOR可能會降低網(wǎng)絡速度和穩(wěn)定性，因為數(shù)據(jù)傳輸需要經(jīng)過多個節(jié)點進行加密和解密，這可能導致延遲和丟包。在非許可鏈中，基于大 蒜路由的I2P網(wǎng)絡在抗流量分析攻擊上比TOR網(wǎng)絡更加安全，比TOR網(wǎng)絡中的目錄服務器方法有更強的安全性，但需要為此付出性能降低的代價。

3 隱私保護技術的比較與未來研究方向

本文主要從是否依賴第三方、安全性和風險情況三個角度來比較這八種隱私保護技術，其對比結果如表5所示。其中安全性主要包括是否隱藏交易內(nèi)容、是否隱藏交易地址及隱私保護性能。

傳統(tǒng)的區(qū)塊鏈系統(tǒng)通常使用基于數(shù)學難題的加密算法和數(shù)字簽名技術等密碼學技術來保護區(qū)塊鏈系統(tǒng)的安全性和隱私性。這些算法在面對強大的量子計算機時可能會失效，因為量子計算機具有破解復雜性算法的能力，可以輕松地破解傳統(tǒng)的加密算法。例如，非對稱加密算法RSA的解密計算——大整數(shù)分解問題，在傳統(tǒng)計算機上需要指數(shù)級別的時間復雜度，而在量子計算機上破解的時間復雜度為多項式級別的時間復雜度。因此，如何實現(xiàn)量子計算條件下安全可靠的密碼學技術將直接影響區(qū)塊鏈技術的未來發(fā)展。目前，基于量子計算的密碼學技術有下列三種：

a）量子安全的密鑰分發(fā)。其是一種利用量子糾纏的特性，即量子態(tài)不可復制和非測量，在傳輸?shù)倪^程中可以檢測到竊聽者的存在，可以用于加密通信通道中，確保在通信中使用的密鑰不會被量子計算機破解，從而實現(xiàn)密鑰分發(fā)的安全性。

b）后量子密碼。針對當前已有的加密算法在未來量子計算機攻擊下可能會被破解的風險，可以使用一些無法通過計算加速求解的數(shù)學問題，如多項式復雜程度的非確定性完全問題、基于格密碼、基于編碼理論、哈希函數(shù)和基于多元方程等數(shù)學原理的算法和協(xié)議來保證安全性，能夠抵御量子計算機對傳統(tǒng)密碼算法的攻擊。

c）后量子計算。像Shor這樣的量子算法將來可能會打破橢圓曲線公鑰加密（ECDSA）的對數(shù)或生成簽名所需的大整數(shù)分解問題（RSA）。采用抗量子計算的密碼算法，使得量子計算的算力優(yōu)勢無法在破解過程中發(fā)揮作用，從而防止密碼被破解，保證數(shù)據(jù)安全。

4 結束語

數(shù)字經(jīng)濟時代，加強對個人隱私數(shù)據(jù)的保護和管理，正在成為技術發(fā)展的必然趨勢。區(qū)塊鏈因其去中心化、數(shù)據(jù)不變性、可信性等特點，在很多領域得到了廣泛應用。但透明和去中心化使得用戶隱私很難得到有效保護，這使得區(qū)塊鏈中的隱私保護成為一個重要的研究課題。本文首先對區(qū)塊鏈技術的主要特點、區(qū)塊鏈隱私相關的理論概念以及其面臨的隱私威脅進行了闡述。從所采用的技術角度出發(fā)，將區(qū)塊鏈隱私保護技術分為四大類和八個子類，并對八類區(qū)塊鏈隱私保護技術的作用原理、實現(xiàn)機制、運用在許可鏈和非許可鏈上不同的效果進行分析，并提出了一系列未來的研究方向，有助于開發(fā)人員選擇合適的隱私保護方案。

參考文獻：

［1］Schwartz L. The 5 biggest crypto hacks of 2022［EB/OL］. （2022-12-30）. https：//fortune.com/crypto/2022/12/30/5-biggest-crypto-hacks-2022/.

［2］網(wǎng)信秦皇島.《2022年度區(qū)塊鏈安全及反洗錢分析》發(fā)布， 漏洞利用是最常見攻擊方法［EB/OL］. （2023-02-06）. https：//m.freebuf.com/articles/paper/356136.html. （Network Information Office of Qinhuangdao. Blockchain security and anti-money laundering analysis， 2022 Release， vulnerability exploitation is the most common attack method［EB/OL］. （2023-02-06）. https：//m.freebuf.com/articles/paper/356136.html.）

［3］Johar S， Ahmad N， Asher W， et al. Research and applied perspective to blockchain technology： a comprehensive survey［J］. Applied Sciences， 2021， 11（14）： 6252.

［4］Chen Qian， Srivastava G， Parizi R M， et al. An incentive-aware blockchain-based solution for Internet of fake media things［J］. Information Processing & Management， 2020， 57（6）： 102370.

［5］Wu Jiani， Tran N K. Application of blockchain technology in sustai-nable energy systems： an overview［J］. Sustainability， 2018， 10（9）： 3067.

［6］Lin Chao， He Debiao， Huang Xinyi， et al. BCPPA： a blockchain-based conditional privacy-preserving authentication protocol for vehi-cular Ad hoc networks［J］. IEEE Trans on Intelligent Transportation Systems， 2021， 22（12）： 7408-7420.

［7］Min H. Blockchain technology for enhancing supply chain resilience［J］. Business Horizons， 2019， 62（1）： 35-45.

［8］Feng Jie， Yu F R， Pei Qingqi， et al. Cooperative computation offloading and resource allocation for blockchain-enabled mobile-edge computing： a deep reinforcement learning approach［J］. IEEE Internet of Things Journal， 2020， 7（7）： 6214-6228.

［9］Li Ming， Weng Jian， Yang Anjia， et al. CrowdBC： a blockchain-based decentralized framework for crowdsourcing［J］. IEEE Trans on Parallel and Distributed Systems， 2019， 30（6）： 1251-1266.

［10］Sisinni E， Saifullah A， Han Song， et al. Industrial Internet of Things： challenges， opportunities， and directions［J］. IEEE Trans on Industrial Informatics， 2018， 14（11）： 4724-4734.

［11］Jamil F， Ahmad S， Iqbal N， et al. Towards a remote monitoring of patient vital signs based on IoT-based blockchain integrity management platforms in smart hospitals［J］. Sensors， 2020， 20（8）： 2195.

［12］Chai Haoye， Leng Supeng， Chen Yijin， et al. A hierarchical blockchain-enabled federated learning algorithm for knowledge sharing in Internet of Vehicles［J］. IEEE Trans on Intelligent Transportation Systems， 2021， 22（7）： 3975-3986.

［13］Valenta M， Sandner P. Comparison of Ethereum， hyperledger fabric and corda［EB/OL］. （2017-07）. https：//www.smallake.kr/wp-content/uploads/2017/07/2017_Comparison-of-Ethereum-Hyperledger-Corda.pdf.

［14］中國區(qū)塊鏈技術產(chǎn)業(yè)發(fā)展論壇. 區(qū)塊鏈在供應鏈中的應用探討［EB/OL］. ［2023-09-08］. https：//www.cbdforum.cn/forum/news/1517045081759166465. （China Blockchain Technology Industry Development Forum. Discussion on the application of blockchain in supply chain［EB/OL］. ［2023-09-08］. https：//www.cbdforum.cn/forum/news/1517045081759166465.）

［15］曾萍， 陳志娟， 馬英杰， 等. 基于區(qū)塊鏈的IoV隱私保護認證方案設計［J］. 計算機應用研究， 2021， 38（10）： 2919-2925. （Zeng Ping， Chen Zhijuan， Ma Yingjie， et al. Blockchain-based privacy-preserving certificateless authentication scheme for Internet of Vehicles［J］. Application Research of Computers， 2021， 38（10）： 2919-2925.）

［16］尹紫荊， 高建彬. 基于區(qū)塊鏈的安全多方計算隱私保護技術研究［D］. 成都： 電子科技大學， 2022. （Yin Zijing， Gao Jianbin. Research on secure multi-party computing privacy protection technology based on blockchain［D］. Chengdu： University of Electronic Science and Technology of China， 2022.）

［17］Zhao Ying， Chen Jinjun. A survey on differential privacy for unstructured data content［J］. ACM Computing Surveys， 2022， 54（10s）： article No. 207.

［18］時坤， 周勇， 張啟亮， 等. 基于聯(lián)盟鏈的能源交易數(shù)據(jù)隱私保護方案［J］. 計算機科學， 2022， 49（11）： 335-344. （Shi Kun， Zhou Yong， Zhang Qiliang， et al. Privacy-preserving scheme of energy trading data based on consortium blockchain［J］. Computer Science， 2022， 49（11）： 335-344.）

［19］Naehrig M， Lauter K， Vaikuntanathan V. Can homomorphic encryption be practical？［C］//Proc of the 3rd ACM Workshop on Cloud Computing Security Workshop. New York， NY： ACM Press， 2011： 113-124.

［20］Ogburn M， Turner C， Dahal P. Homomorphic encryption［J］. Procedia Computer Science， 2013， 20： 502-509.

［21］Wang Kaiyu， Tu Zhiying， Ji Zhenzhou， et al. Faster service with less resource： a resource efficient blockchain framework for edge computing［J］. Computer Communications， 2023， 199： 196-209.

［22］Bitansky N， Canetti R， Chiesa A， et al. From extractable collision resistance to succinct non-interactive arguments of knowledge， and back again［C］//Proc of the 3rd Innovations in Theoretical Computer Science Conference. New York： ACM Press， 2012： 326-349.

［23］Miers I， Garman C， Green M， et al. Zerocoin： anonymous distributed e-cash from bitcoin［C］//Proc of IEEE Symposium on Security and Privacy. Piscataway， NJ： IEEE Press， 2013： 397-411.

［24］Sasson E B， Chiesa A， Garman C， et al. Zerocash： decentralized anonymous payments from bitcoin［C］//Proc of IEEE Symposium on Security and Privacy. Piscataway， NJ： IEEE Press， 2014： 459-474.

［25］Hopwood D， Bowe S， Hornby T， et al. Zcash protocol specification［EB/OL］. （2018-03-19）. https：//cryptopapers.info/zcash_protocol/.

［26］李懿， 王勁松， 張洪瑋. 基于區(qū)塊鏈與函數(shù)加密的隱私數(shù)據(jù)安全共享模型研究［J］. 大數(shù)據(jù)， 2022， 8（5）： 33-44. （Li Yi， Wang Jinsong， Zhang Hongwei. Research on privacy data security sharing scheme based on blockchain and function encryption［J］. Big Data Research， 2022， 8（5）： 33-44.）

［27］王丹， 趙金東. 基于區(qū)塊鏈應用中用戶身份和交易數(shù)據(jù)隱私保護研究［D］. 煙臺： 煙臺大學， 2022. （Wang Dan， Zhao Jindong. Research on privacy protection of user identity and transaction data in blockchain applications［D］. Yantai： Yantai University， 2022.）

［28］余健， 胡孔法， 丁有偉. 一種面向中醫(yī)藥臨床數(shù)據(jù)的區(qū)塊鏈安全與隱私保護方案［J］. 世界科學技術-中醫(yī)藥現(xiàn)代化， 2021， 23（10）： 3688-3695. （Yu Jian， Hu Kongfa， Ding Youwei. A blockchain security and privacy protection scheme for traditional Chinese medicine clinical data［J］. Modernization of Traditional Chinese Medicine and Materia Medica-World Science and Technology， 2021， 23（10）： 3688-3695.）

［29］Bonneau J， Narayanan A， Miller A， et al. Mixcoin： anonymity for bitcoin with accountable mixes［M］//Christin N， Safavi-Naini R. Financial Cryptography and Data Security. Berlin： Springer， 2014： 486-504.

［30］Valenta L， Rowan B. Blindcoin： blinded， accountable mixes for bit-coin［M］//Brenner M， Christin N， Johnson B， et al. Financial Cryptography and Data Security. Berlin： Springer， 2015： 112-126.

［31］吳文棟. 基于盲簽名技術的比特幣混幣系統(tǒng)設計與實現(xiàn)［D］. 深圳： 深圳大學， 2015. （Wu Wendong. Design and implementation of a bitcoin coin mixing system based on blind signature technology［D］. Shenzhen： Shenzhen University， 2015.）

［32］Shentu Qingchun， Yu Jianping. A blind-mixing scheme for bitcoin based on an elliptic curve cryptography blind digital signature algorithm［EB/OL］. （2015-10-20）. https：//arxiv.org/abs/1510.05833.

［33］Qiao Yuncheng， Lan Qiujun， Zhou Zhongding， et al. Privacy-preserving credit evaluation system based on blockchain［J］. Expert Systems with Applications， 2022， 188： 115989.

［34］Bao Zijian， Shi Wenbo， Kumari S， et al. Lockmix： a secure and privacy-preserving mix service for bitcoin anonymity［J］. International Journal of Information Security， 2020，19： 311-321.

［35］Wahrsttter A， Gomes J， Khan S， et al. Improving cryptocurrency crime detection： coinjoin community detection approach［J］. IEEE Trans on Dependable and Secure Computing， 2023， 20（6）： 4946-4956.

［36］Ruffing T， Moreno-Sanchez P， Kate A. CoinShuffle： practical decentralized coin mixing for bitcoin［C］//Proc of the 19th European Symposium on Research in Computer Security. Cham： Springer， 2014： 345-364.

［37］Ruffing T， Moreno S P， Kate A. P2P mixing and unlinkable bitcoin transactions［EB/OL］. （2017-02-27）. https：//eprint.iacr.org/2016/824.pdf.［38］Maxwell G. CoinSwap： Transaction graph disjoint trustless trading［EB/OL］. （2017-06-02）. https：//bitcointalk.org/index.php？topic=321228.0.

［39］Bissias G， Ozisik A P， Levine B N， et al. Sybil-resistant mixing for bitcoin［C］//Proc of the 13th Workshop on Privacy in the Electronic Society. New York： ACM Press， 2014： 149-158.

［40］程其玲， 金瑜. TTShuffle： 一種區(qū)塊鏈中基于兩層洗牌的隱私保護機制［J］. 計算機應用研究， 2021， 38（2）： 363-366，371. （Cheng Qiling， Jin Yu. TTShuffle： privacy protection mechanism based on two-tier shuffling in blockchain［J］. Application Research of Computers， 2021， 38（2）： 363-366，371.）

［41］Shah P， Chopade M. Blockchain security： a systematic review［M］//Singh P K， Wierzchoń S T， Chhabra J K， et al. Futuristic trends in networks and computing technologies. Singapore： Springer， 2022： 969-980.

［42］Ziegeldorf J H， Grossmann F， Henze M， et al. Coinparty： secure multi-party mixing of bitcoins［C］//Proc of the 5th ACM Conference on Data and Application Security and Privacy. New York： ACM Press， 2015： 75-86.

［43］Li Jiahao. The development of blockchain privacy protection： from bitcoin to monero［C］//Proc of the 3rd International Conference on Electronics and Communication. ［S.l.］： SPIE， 2022： 277-285.

［44］楊亞濤， 蔡居良， 張筱薇， 等. 基于SM9算法可證明安全的區(qū)塊鏈隱私保護方案［J］. 軟件學報， 2019，30（6）： 1692-1704. （Yang Yatao， Cai Juliang， Zhang Xiaowei， et al. Privacy preserving scheme in block chain with provably secure based on SM9 algorithm［J］. Journal of Software， 2019， 30（6）： 1692-1704.）

［45］Rivest R L， Shamir A， Tauman Y. How to leak a secret［C］//Proc of International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer， 2001： 552-565.

［46］Fujisaki E， Suzuki K. Traceable ring signature［C］//Proc of the 10th International Conference on Practice and Theory in Public-Key Cryptography. Berlin： Springer， 2007： 181-200.

［47］Noether S. Ring signature confidential transactions for monero［EB/OL］. （2015-12-17）. https：//ia.cr/2015/1098.

［48］Gomzin S. How monero works［M］//Crypto basics： a nontechnical introduction to creating your own money for investors and inventors. Berkeley， CA： Apress， 2022： 119-137.

［49］Akcora C G， Gel Y R， Kantarcioglu M. Blockchain networks： data structures of bitcoin， monero， Zcash， Ethereum， Ripple， and Iota［J］. Wiley Interdisciplinary Reviews： Data Mining and Know-ledge Discovery， 2022， 12（1）： e1436.

［50］Cremers C， Loss J， Wagner B. A holistic security analysis of monero transactions［M］//Joye M， Leander G. Advances in Cryptology. Cham： Springer， 2024： 129-159.

［51］Yu Qihong， Li Jiguo， Shen Jian. ID-based ring signature against continual side channel attack［J］. Symmetry， 2023， 15（1）： 179.

［52］Gupta R， Jadav N K， Mankodiya H， et al. Blockchain and onion-routing-based secure message exchange system for edge-enabled IIoT［J］. IEEE Trans on Industrial Informatics， 2022， 19（2）： 1965-1976.

［53］Jadav N K， Gupta R， Alshehri M D， et al. Deep learning and onion routing-based collaborative intelligence framework for smart homes underlying 6G networks［J］. IEEE Trans on Network and Service Management， 2022， 19（3）： 3401-3412.

［54］楊云， 李凌燕， 魏慶征. 匿名網(wǎng)絡TOR與I2P的比較研究［J］. 網(wǎng)絡與信息安全學報， 2019，5（1）： 66-77. （Yang Yun， Li Lingyan， Wei Qingzheng. Comparative study of anonymous network TOR and I2P［J］. Chinese Journal of Network and Information Security， 2019， 5（1）： 66-77.）

［55］Samuel O， Omojo A B， Mohsin S M， et al. An anonymous IoT-based e-health monitoring system using blockchain technology［J］. IEEE Systems Journal， 2022， 17（2）： 2422-2433.

［56］Dutta N， Jadav N， Tanwar S， et al. TOR-the onion router［M］//Cyber Security： Issues and Current Trends. Singapore： Springer， 2022： 37-55.

［57］Li Xingyu， Zheng Ziyu， Cheng Pengyu， et al. MACT： a multi-channel anonymous consensus based on TOR［J］. World Wide Web， 2023， 26（3）： 1005-1029.