謝晴晴，楊念民，馮霞

區(qū)塊鏈交易隱私保護(hù)技術(shù)綜述

謝晴晴1，2*，楊念民1，2，馮霞3

（1.江蘇大學(xué) 計算機(jī)科學(xué)與通信工程學(xué)院， 江蘇 鎮(zhèn)江 212013； 2.江蘇省工業(yè)網(wǎng)絡(luò)安全技術(shù)重點(diǎn)實驗室（江蘇大學(xué)），江蘇 鎮(zhèn)江 212013； 3.江蘇大學(xué) 汽車與交通工程學(xué)院，江蘇 鎮(zhèn)江 212013）（ ? 通信作者電子郵箱xieqq@ujs.edu.cn）

區(qū)塊鏈賬本數(shù)據(jù)是公開透明的。一些攻擊者可以通過分析賬本數(shù)據(jù)來獲取敏感信息，這對用戶的交易隱私造成威脅。鑒于區(qū)塊鏈交易隱私保護(hù)的重要性，首先分析產(chǎn)生交易隱私泄露的原因，并將交易隱私分為交易者身份隱私和交易數(shù)據(jù)隱私兩類；其次，從這兩種不同類型的隱私角度，闡述現(xiàn)有的面向區(qū)塊鏈交易的隱私保護(hù)技術(shù)；接著，鑒于隱私保護(hù)和監(jiān)管之間的矛盾性，介紹兼具監(jiān)管的交易身份隱私保護(hù)方案；最后，總結(jié)和展望了區(qū)塊鏈交易隱私保護(hù)技術(shù)未來的研究方向。

區(qū)塊鏈；交易隱私保護(hù)；身份隱私；交易數(shù)據(jù)隱私；交易監(jiān)管

0 引言

區(qū)塊鏈最初依托于比特幣［1］被提出。區(qū)塊鏈集成了加密算法、點(diǎn)對點(diǎn)傳輸、智能合約和共識機(jī)制等技術(shù)，具有公開透明性、不可篡改性、去中心化、交易假名化等優(yōu)點(diǎn)［2］，廣泛應(yīng)用于數(shù)字貨幣［3-4］、供應(yīng)鏈［5-6］、電子投票［7-8］、車聯(lián)網(wǎng)［9-10］、醫(yī)療業(yè)［11-12］等多個領(lǐng)域。以金融供應(yīng)鏈為例，傳統(tǒng)金融體系存在信息不對稱、信息孤島、結(jié)算不能自動完成等諸多缺點(diǎn)［13］。金融供應(yīng)鏈可以采用區(qū)塊鏈技術(shù)將銀行、核心企業(yè)、二三級供應(yīng)商和其他金融機(jī)構(gòu)上鏈，支持資金流、信息流、信任流同時傳遞，并通過嵌入智能合約實現(xiàn)協(xié)議的自動執(zhí)行，提高了信息共享效率，降低了信任和資金傳遞成本。

區(qū)塊鏈賬本數(shù)據(jù)的公開透明性一方面極大地方便了各節(jié)點(diǎn)數(shù)據(jù)的維護(hù)驗證，另一方面也給用戶隱私保護(hù)帶來威脅，攻擊者會分析全局賬本，獲取用戶的身份隱私信息和數(shù)據(jù)隱私信息。盡管區(qū)塊鏈地址是匿名的，但是攻擊者可以采用聚類技術(shù)或交易圖分析技術(shù)，建立地址與地址、地址與交易的聯(lián)系，進(jìn)而獲取地址的交易規(guī)律、交易特征、交易軌跡等［14］。通過這些交易細(xì)節(jié)，攻擊者可以將現(xiàn)實中的用戶交易行為和對賬本數(shù)據(jù)分析所勾勒出的用戶行為進(jìn)行匹配，從而獲取用戶真實身份，造成用戶身份隱私的泄露。除此之外，攻擊者可通過數(shù)據(jù)分析、數(shù)據(jù)挖掘、深度學(xué)習(xí)等方法從海量數(shù)據(jù)中提取出有價值的信息，經(jīng)過處理（如屬性匹配、信息關(guān)聯(lián)）的數(shù)據(jù)存在泄露敏感信息的可能［15］。例如：在網(wǎng)購鏈中，攻擊者通過分析交易金額推斷用戶的購買力、收入水平、消費(fèi)習(xí)慣等，甚至推測出用戶的真實身份；在醫(yī)療鏈中，攻擊者能夠獲取用戶的病歷信息或者家庭住址信息等，這將對用戶的日常工作生活造成不便，甚至對自身安全造成威脅。因此，區(qū)塊鏈交易隱私泄露問題亟待解決。保證區(qū)塊鏈上用戶的身份隱私和數(shù)據(jù)隱私是區(qū)塊鏈能夠真正落地所面臨的一項重要挑戰(zhàn)，但是身份隱私并不是無條件的，因為非法用戶會利用匿名身份逃避監(jiān)管，所以兼顧監(jiān)管的身份隱私也受到關(guān)注。

區(qū)塊鏈交易隱私保護(hù)是目前的研究熱點(diǎn)，祝烈煌等［16］從混幣技術(shù)、加密技術(shù)和限制發(fā)布技術(shù)這3方面探討了目前的交易層的隱私保護(hù)技術(shù)。王宗慧等［17］將現(xiàn)有典型的區(qū)塊鏈隱私保護(hù)方案分為3種，即混幣方案、密碼學(xué)方案和安全通道方案，并總結(jié)了這3種區(qū)塊鏈隱私保護(hù)技術(shù)方案。李旭東等［18］從兩個方面總結(jié)比特幣隱私保護(hù)技術(shù)：一方面是不需要修改現(xiàn)有比特幣協(xié)議的技術(shù)，如混幣技術(shù)、離鏈支付協(xié)議；另一方面是需要修改現(xiàn)有比特幣協(xié)議的技術(shù)，如密碼學(xué)方案。張奧等［19］主要通過技術(shù)實現(xiàn)原理，將保護(hù)技術(shù)劃分為地址混淆、信息隱藏和通道隔離。上述相關(guān)工作分類定義了區(qū)塊鏈隱私，如分為身份隱私和交易內(nèi)容隱私等［17］。然而在探討具體的隱私保護(hù)技術(shù)時，上述工作將交易身份和交易內(nèi)容的隱私保護(hù)放在一起討論，沒有集中分析面向交易內(nèi)容和交易身份的隱私保護(hù)在設(shè)計思路和實現(xiàn)手段上的差異?？紤]到實際應(yīng)用中需要保護(hù)隱私的對象不同，有必要將交易身份隱私和交易內(nèi)容隱私分開討論。另外交易身份隱私之上的身份監(jiān)管問題在行業(yè)應(yīng)用中日益凸顯，為此本文也討論了兼顧監(jiān)管的交易身份隱私保護(hù)技術(shù)。

依據(jù)保護(hù)對象的不同，本文將交易隱私保護(hù)技術(shù)分為交易身份隱私保護(hù)技術(shù)和交易數(shù)據(jù)隱私保護(hù)技術(shù)。其中交易身份指交易地址所關(guān)聯(lián)的真實用戶身份，交易數(shù)據(jù)指雙方交易的內(nèi)容，如交易金額。在“區(qū)塊鏈+供應(yīng)鏈”的應(yīng)用［20］中，交易身份指發(fā)送者地址、接收者地址所關(guān)聯(lián)的真實身份；交易數(shù)據(jù)指產(chǎn)品描述、價格、交易數(shù)量等數(shù)據(jù)。

如圖1所示，本文從保護(hù)對象的分類、隱私攻擊的手段、身份隱私保護(hù)措施、數(shù)據(jù)隱私保護(hù)措施和身份隱私保護(hù)上的監(jiān)管這5個方面組成區(qū)塊鏈交易隱私保護(hù)技術(shù)的框架。

圖1　區(qū)塊鏈交易隱私保護(hù)技術(shù)框架

1 區(qū)塊鏈交易隱私問題分析

區(qū)塊鏈中的交易信息包含賬戶地址信息和交易數(shù)據(jù)信息，其中：賬戶地址信息與用戶身份相關(guān)，地址信息的關(guān)聯(lián)性會導(dǎo)致用戶身份隱私的泄露；交易數(shù)據(jù)在不同場景下具體表現(xiàn)不同，例如，在數(shù)字貨幣領(lǐng)域交易數(shù)據(jù)主要指交易金額，在醫(yī)療鏈領(lǐng)域交易數(shù)據(jù)主要指醫(yī)療數(shù)據(jù)。這兩類信息保護(hù)的措施不同，身份隱私保護(hù)方面，主要采用混淆技術(shù)（借助混合服務(wù)器或者密碼學(xué)技術(shù)）隱藏賬戶地址的關(guān)聯(lián)性。數(shù)據(jù)隱私保護(hù)方面，對于交易金額這類需要可驗證的數(shù)據(jù)主要采用同態(tài)加密技術(shù)，一是可以提供機(jī)密性，二是節(jié)點(diǎn)可以利用同態(tài)加密算法的同態(tài)性驗證隱藏交易金額的平衡性；對于其他交易數(shù)據(jù)可以采用屬性基加密、可搜索加密等。為此，本章將交易隱私分為交易身份隱私和交易數(shù)據(jù)隱私，并介紹了相應(yīng)的隱私泄露問題。

1.1　交易身份隱私泄露

交易身份隱私指用戶的真實身份與交易賬戶地址（即交易假名）的關(guān)聯(lián)關(guān)系。區(qū)塊鏈地址的生成無須實名認(rèn)證，而且同一擁有者可以產(chǎn)生各種不同的交易賬戶地址，不同的交易賬戶地址之間無直接關(guān)聯(lián)關(guān)系，因此區(qū)塊鏈在一定程度上為用戶匿名交易提供了技術(shù)支持。但是由于所有的交易路徑都是公開的，攻擊者可以通過地址跟蹤用戶的交易數(shù)據(jù)，分析交易規(guī)律，從而取得用戶交易地址間的關(guān)聯(lián)性，并結(jié)合網(wǎng)絡(luò)外部信息進(jìn)一步推測用戶真實身份信息［21］。Reid等［22］根據(jù)比特幣交易結(jié)構(gòu)特征提出了交易圖和用戶圖的理論，對用戶身份去匿名化。Meiklejohn等［23］在Reid等［22］工作的基礎(chǔ)上，結(jié)合區(qū)塊鏈交易的隱藏知識，即“交易的找零地址和輸入地址都同屬于一個用戶地址”，提出了一種啟發(fā)式聚類方法對用戶身份去匿名化。Androulaki等［24］使用模擬器模擬顯示大學(xué)環(huán)境中比特幣的使用，發(fā)現(xiàn)即使通過手動創(chuàng)建新地址增強(qiáng)隱私，但是依靠交易聚合技術(shù)仍然可以在很大程度上揭露40%比特幣用戶的真實身份。Shen等［25］在底層網(wǎng)絡(luò)中使用傳播模式分析的方法對大規(guī)模的比特幣交易去匿名化。Long等［26］通過量化的啟發(fā)式去匿名方法提出一種IP匹配方法，該方法可以匹配IP的活動信息與區(qū)塊鏈中的交易記錄，以準(zhǔn)確確定交易者及其相應(yīng)的區(qū)塊鏈地址。

1.2　交易數(shù)據(jù)隱私泄露

交易數(shù)據(jù)隱私指存儲在區(qū)塊鏈的交易內(nèi)容隱私，例如交易金額、交易數(shù)量等。區(qū)塊鏈公開透明的特性雖然可以減少重復(fù)對賬行為和信用風(fēng)險，但是同時也會導(dǎo)致交易數(shù)據(jù)隱私泄露［27］。以供應(yīng)鏈為例，區(qū)塊鏈技術(shù)的使用可以打造一個可信透明的數(shù)據(jù)網(wǎng)絡(luò)，提升企業(yè)決策有效性，促進(jìn)供應(yīng)鏈上下游企業(yè)數(shù)據(jù)之間的流通，但同時供應(yīng)鏈中包含著豐富的敏感數(shù)據(jù)，如信息流、資金流、物流和商流等。一般情況下，這些數(shù)據(jù)只能在具有合作伙伴關(guān)系的企業(yè)之間流動，如果將這些數(shù)據(jù)直接上鏈存儲，競爭對手可以通過這些公開數(shù)據(jù)推斷出商業(yè)合作關(guān)系、市場供求關(guān)系和資金流轉(zhuǎn)情況等，威脅企業(yè)的核心競爭力，不利于社會經(jīng)濟(jì)穩(wěn)定。因此，解決交易數(shù)據(jù)隱私泄露問題對區(qū)塊鏈的實際落地具有重要意義。

2 交易身份隱私保護(hù)方案

交易身份隱私保護(hù)方案主要有混幣機(jī)制［28-35］和基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制［36-39］，其中：根據(jù)有無中心化服務(wù)器的參與，混幣機(jī)制分為中心化混幣機(jī)制［28-29］和去中心化混幣機(jī)制［30-35］；基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制主要使用密碼學(xué)技術(shù)，如零知識證明［36-37］和環(huán)簽名［38-39］。

2.1　混幣機(jī)制

混幣機(jī)制通過割裂交易輸入和輸出的關(guān)系達(dá)到保護(hù)用戶身份隱私的效果。

2.1.1中心化混幣機(jī)制

中心化混幣機(jī)制由第三方混幣服務(wù)器完成混幣過程。首先混幣需求者將混幣資金發(fā)送給第三方混幣服務(wù)器，其次第三方混幣服務(wù)器將分配收集的資金，最后將混幣金額發(fā)送至用戶指定輸出地址。中心化混幣服務(wù)的過程一般包含４個階段［40］。

1）協(xié)商階段：混合用戶和第三方混幣服務(wù)器關(guān)于混幣輸入地址、混幣輸出地址、第三方混幣服務(wù)器的托管地址和混合手續(xù)費(fèi)等交易細(xì)節(jié)內(nèi)容達(dá)成一致。

2）輸入階段：混合用戶將商定的混幣金額從輸入地址發(fā)送到第三方混幣服務(wù)器的托管地址上。

3）輸出階段：第三方混幣服務(wù)器從混合池里隨機(jī)選擇等額的混合資金轉(zhuǎn)移至混合用戶指定的輸出地址上。

4）混幣記錄刪除階段：混幣協(xié)議正常結(jié)束后，混幣用戶和第三方混幣服務(wù)器銷毀本次混幣記錄，防止泄露混幣信息。

目前第三方混幣服務(wù)提供商有BitLaundry（http：//bitlaundry.com/）、BitFog（http：//bitcoinfog.info/）等；但是中心化混幣機(jī)制主要存在以下問題：1）安全性依賴于混幣服務(wù)器，混幣服務(wù)器可能盜竊資金和私自保留混幣信息，泄露混幣過程；2）相近時間內(nèi)參與混幣的用戶的混合金額需相同；3）需要支付手續(xù)費(fèi)。針對早期中心化混幣方式存在盜竊風(fēng)險的問題，Bonneau等［28］提出了可問責(zé)的混幣方案Mixcoin。相較于早期的混幣方式，Mixcoin改進(jìn)了以下兩點(diǎn)：一是Mixcoin添加了問責(zé)機(jī)制懲罰混幣服務(wù)器的盜竊行為，若混合用戶在規(guī)定的時間內(nèi)沒收到混幣服務(wù)器的轉(zhuǎn)賬交易，可以公布簽名承諾追責(zé)混幣服務(wù)器的盜竊行為；二是在手續(xù)費(fèi)用問題上，Mixcoin采取隨機(jī)手續(xù)費(fèi)策略，避免因手續(xù)費(fèi)固定而降低用戶匿名性。Mixcoin實現(xiàn)了混合的不可區(qū)分性，被動攻擊者無法確定用戶和匿名集中的哪一個用戶在交互。針對可以破壞混合不可區(qū)分性的主動攻擊者，Mixcoin利用匿名通信網(wǎng)絡(luò)將多個混合交易鏈接在一起形成比特幣混合網(wǎng)絡(luò)，從而增加攻擊者的難度。然而混幣服務(wù)器仍然可以學(xué)習(xí)混合用戶輸入地址到輸出地址的映射，進(jìn)而泄露混幣過程。為此，Valenta等［29］提出了改進(jìn)的中心化混幣方案——盲幣（Blindcoin）。該方案使用盲簽名技術(shù)屏蔽混幣服務(wù)器學(xué)習(xí)混合用戶的輸入地址到輸出地址的映射；然而Blindcoin方案中的用戶必須將他們的簽名發(fā)布到公共日志上，這允許攻擊者將輸出地址鏈接到混幣服務(wù)器的簽名密鑰上，打破了混合的不可區(qū)分性。此外，Blindcoin沒有解決混幣服務(wù)器可以私自截留資金的問題。

2.1.2去中心化混幣機(jī)制

中心化的混幣模式在一定程度上保護(hù)了交易者身份隱私。但是由于第三方混幣服務(wù)器的參與，不但用戶的資產(chǎn)會被混幣服務(wù)器盜竊，而且用戶的交易信息也會被服務(wù)器泄露，另外混合用戶需要繳納額外的手續(xù)費(fèi)。去中心化混幣機(jī)制由多個參與者協(xié)作運(yùn)行混幣協(xié)議，拋棄了第三方中心化的混幣服務(wù)器，解決了第三方混合服務(wù)器的加入所帶來的信任問題。去中心化混幣機(jī)制的交易流程主要分為４個階段［40］。

1）協(xié)商階段。參與混幣的用戶關(guān)于混幣金額、輸入地址和輸出地址等達(dá)成一致。

2）混淆階段。參與混幣用戶根據(jù)混幣協(xié)議混淆所有輸出地址，混淆階段的目的是打亂用戶輸入和輸出地址間的關(guān)聯(lián)性。

3）廣播階段。根據(jù)混淆階段得到的輸出地址構(gòu)造混合交易，確認(rèn)交易無誤后廣播交易信息，將資產(chǎn)轉(zhuǎn)移至各混幣用戶指定的輸出地址。

4）混幣記錄刪除階段。若混合過程無異常，則所有參與此次混合的用戶銷毀本次交易記錄，混合交易結(jié)束；若混合過程出現(xiàn)錯誤，則需要參與混幣的用戶們找出并排除行為不端的用戶。

Gregory［30］提出了第一個不需要第三方服務(wù)器參與的去中心化混幣方案——聯(lián)合混幣CoinJoin。有混合意愿的用戶共同組成一個混合群，該群共同生成一個混合交易，包含了所有混合用戶的輸入地址和隨機(jī)排序后的輸出地址。由于混幣的金額是相同的，攻擊者無法分辨交易輸入和輸出地址的關(guān)系；然而交易輸入和輸出地址的鏈接關(guān)系對于參與混幣交易的節(jié)點(diǎn)是可見的，無法保證交易內(nèi)部的不可鏈接性。在CoinJoin的基礎(chǔ)上，Duffield等［31］提出了達(dá)世（Dash）幣。該項目中的混幣交易是由網(wǎng)絡(luò)中的主節(jié)點(diǎn)構(gòu)造，從而保證了內(nèi)部隱私性。多個主節(jié)點(diǎn)為用戶的交易進(jìn)行鏈?zhǔn)交鞄?，即上一個主節(jié)點(diǎn)的交易輸出作為下一個主節(jié)點(diǎn)的交易輸入進(jìn)一步混淆，最多可以進(jìn)行16輪混合。當(dāng)混合輪數(shù)越多時，Dash幣匿名性越強(qiáng)，但是與之相應(yīng)的混合費(fèi)用和時間開銷也會增大；另外，為了增強(qiáng)混合的匿名性，所有的交易輸入和輸出都是相同的標(biāo)準(zhǔn)面額，如0.001、0.01、0.1、1和10。Ruffing等［32］沿用CoinJoin技術(shù)提出了一種基于解密混合網(wǎng)的混幣方案CoinShuffle。CoinShuffle方案采用解密混合網(wǎng)絡(luò)技術(shù)［41］打亂輸出地址集合，解決了內(nèi)部節(jié)點(diǎn)知道其他節(jié)點(diǎn)輸出地址的問題。然而，CoinShuffle方案混淆階段的計算開銷和通信開銷會隨著混合用戶的增加而急劇增大，不適合大規(guī)模用戶混合。Ziegeldorf等［33］提出了一種基于解密混合網(wǎng)絡(luò)技術(shù)和門限橢圓曲線數(shù)字簽名算法［42］的安全多方混幣方案CoinParty。CoinParty通過使用安全多方計算協(xié)議模擬受信任的第三方以實現(xiàn)用戶之間的匿名混幣。類似于CoinShuffle方案，CoinParty在混淆階段同樣采用了解密混合網(wǎng)絡(luò)技術(shù)保障內(nèi)部隱私性。另外，相較于CoinShuffle方案，CoinParty改進(jìn)了以下兩點(diǎn)：一是采用秘密分享驗證混淆的正確性；二是要求最后一位參與者以字典序?qū)敵黾判?，再增加公共隨機(jī)置換得到最終混淆結(jié)果，避免最后一位用戶操縱排序結(jié)果。

Xiao等［34］提出了一種基于去中心化分布式簽名的混幣方案。該方案采用協(xié)商方式進(jìn)行混合交易，從而避免群成員獲悉其他成員的初始交易。為了避免對第三方的依賴以及額外的混合費(fèi)，該方案采用多方簽名協(xié)議簽署交易。圖2為去中心化混幣方案的過程［34］，有混合意愿的用戶組成一個混合群。群成員將協(xié)商請求分解成個相互獨(dú)立的協(xié)商子請求，并將協(xié)商子請求隨機(jī)分發(fā)給不同的群成員。其他群成員接收到協(xié)商子請求后做如下處理：若當(dāng)前持有金額為0，將子協(xié)商請求分發(fā)給其他節(jié)點(diǎn)；若當(dāng)前持有金額小于協(xié)商子請求的協(xié)商金額，將當(dāng)前持有金額全部轉(zhuǎn)給協(xié)商子請求中的輸出地址，并向其他節(jié)點(diǎn)發(fā)送新的協(xié)商請求以滿足剩余協(xié)商金額的需求；若當(dāng)前持有金額大于或等于協(xié)商子請求的協(xié)商金額，向協(xié)商子請求中的輸出地址發(fā)送一筆交易，交易金額為協(xié)商金額。其次，群成員將所有協(xié)商交易匯總成最終混合交易，驗證自身輸出地址是否收到相應(yīng)金額。若無差錯，群成員使用基于ElGamal的去中心化簽名協(xié)議簽署最終交易。然而協(xié)商過程存在較大的通信開銷，此外，群內(nèi)成員需要相互保持匿名性，否則惡意成員根據(jù)協(xié)商請求消息能夠以高概率分析出交易輸入和輸出的鏈接關(guān)系。Lu等［35］提出了一種面向大規(guī)模比特幣交易的高效混幣方案CoinLayering。為了防止混合節(jié)點(diǎn)分辨出輸入和輸出地址關(guān)系，CoinLayering使用中國剩余定理和Schnoor簽名構(gòu)造的群簽名作為資產(chǎn)轉(zhuǎn)移憑證，以此消除用戶輸入和輸出地址的關(guān)系。然而，該方案并不能防止合謀攻擊，混合節(jié)點(diǎn)合謀將會暴露用戶的輸入和輸出地址關(guān)系。

圖2　去中心化混幣方案的過程

本節(jié)從混幣的角度介紹相關(guān)的身份隱私保護(hù)方案。早期，交易用戶為了保持身份的匿名性，可以向混合服務(wù)器請求提供混幣服務(wù)，但是這種中心化的混幣方式存在混合服務(wù)器盜竊資產(chǎn)的行為。盡管有一些改進(jìn)方案如Mixcoin、Blindcoin通過添加簽名承諾的方式約束混合服務(wù)的行為，但是如果混合服務(wù)器不顧自己的聲譽(yù)，依然可以盜竊交易用戶的資產(chǎn)。為此相關(guān)學(xué)者提出了去中心化的混幣方案，摒棄了中心化混合服務(wù)器，由參與混合的用戶自行協(xié)商混幣方式，但是去中心化的解決方式又容易產(chǎn)生混合節(jié)點(diǎn)內(nèi)部泄露混幣信息的風(fēng)險和混合節(jié)點(diǎn)拒不簽名的行為。針對混合節(jié)點(diǎn)內(nèi)部泄露混幣信息的風(fēng)險，可以采用解密混合網(wǎng)技術(shù)，如CoinShuffle、CoinParty方案。針對混合內(nèi)部節(jié)點(diǎn)盜竊資產(chǎn)或者拒不簽名的行為，可以采用閾值簽名的方式控制輸入資產(chǎn)，增加惡意混合節(jié)點(diǎn)拒不履行協(xié)議的成本，如CoinParty、CoinLayering方案。此外，還可以使用去中心化式的簽名方式，以相互協(xié)商的方式完成去中心化式的混幣，如文獻(xiàn)［34］方案。表1總結(jié)和對比了以上方案的結(jié)構(gòu)、不可鏈接性、盜竊風(fēng)險這3個方面的特點(diǎn)；同時，鑒于抗拒絕服務(wù)（Denial of Service， DoS）攻擊和抗Sybil攻擊是兩種比較常見的攻擊方式，因此還比較了混幣機(jī)制對這兩種攻擊的抵抗性。

表1　混幣方案總結(jié)

注：√表示具有不可鏈接性。

2.2　基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制

2.2.1混幣方案

可以通過將交易地址打亂的方式隱藏交易之間的關(guān)聯(lián)性，保護(hù)交易者身份隱私。但是交易地址仍然公開可見，惡意節(jié)點(diǎn)通過分析混合交易特征可以將交易地址關(guān)聯(lián)用戶的真實身份；而且混幣方案易遭受資金盜竊、拒絕服務(wù)和信息泄露等攻擊。為此研究者們利用零知識證明（Zero-Knowledge Proof， ZKP）［43］和環(huán)簽名等密碼學(xué)手段隱藏交易地址，增加攻擊者通過分析賬本數(shù)據(jù)獲取交易者真實身份的難度。

ZKP能夠讓證明者在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。零幣（Zerocoin）［36］和零鈔（Zerocash）［37］采用ZKP技術(shù)保護(hù)交易者身份隱私。這類加密貨幣通常包含兩個部分：

1）鑄幣。封裝交易來源、去向和金額，將比特幣轉(zhuǎn)換為相應(yīng)的加密貨幣，并將對應(yīng)的承諾加入承諾列表。

2）熔幣。交易發(fā)起者采用ZKP技術(shù)證明對交易輸入的所有權(quán)，從而花費(fèi)所持有的加密貨幣。

Zerocoin［36］是采用RSA（Rivest-Shamir-Adleman）累加器［44］和非交互式零知識證明技術(shù)［45］提出的加密貨幣方案。Zerocoin系統(tǒng)通過鑄幣交易將比特幣轉(zhuǎn)換為Zerocoin，并將Zerocoin對應(yīng)的唯一承諾加入混淆集RSA累加器。用戶在花費(fèi)時，僅需出示ZKP表明累加器中有一枚未花費(fèi)的硬幣即可；礦工驗證ZKP的正確性，并檢驗硬幣是否在其他交易中出現(xiàn)過（避免雙重支付）。若這兩個條件都滿足，則交易成功。由于借助了ZKP技術(shù)，整個過程在花費(fèi)交易時不必出示一枚具體的硬幣信息，從而隱藏了鑄幣交易和花費(fèi)交易的鏈接關(guān)系，使得攻擊者難以通過交易圖分析技術(shù)窺探交易者身份隱私。然而，Zerocoin使用固定面值的硬幣，不支持精確值支付；在花費(fèi)階段，用戶采用雙離散對數(shù)證明機(jī)制證明他對特定Zerocoin的所有權(quán)，存在存儲代價高、驗證時間長和交易效率低的缺點(diǎn)。

針對Zerocoin的缺陷，Ben Sasson等［37］基于簡潔的非交互式零知識證明（zero-knowledge Succinct Non-interactive ARgument of Knowledge， zk-SNARK）技術(shù)［46］提出了一種改進(jìn)方案Zerocash。與Zerocoin相同，Zerocash分為鑄幣交易和花費(fèi)交易兩個部分。在鑄幣過程中，交易發(fā)起者將指定數(shù)量的基礎(chǔ)幣兌換成相同金額的Zerocash，每個幣有獨(dú)特的序列號。鑄幣過程實質(zhì)上是承諾生成過程，該承諾封裝了交易來源、去向和金額。為了達(dá)到混淆的目的，生成的承諾將被添加至承諾列表。在熔幣交易中，交易發(fā)起者將舊幣拆分或合并成新幣，并采用ZKP技術(shù)證明以下內(nèi)容：1）交易發(fā)起者在承諾列表中擁有未花費(fèi)的硬幣；2）交易前后，硬幣的總價值相等。為了使接收方使用新幣，發(fā)起者用接收方的公鑰加密新幣參數(shù)。接收方用私鑰掃描到交易內(nèi)容后解密密文，生成新幣的序列號。礦工根據(jù)交易發(fā)起者給出的證明，確認(rèn)承諾在承諾列表中且序列號未在花費(fèi)列表中。由于每一枚幣都有唯一的一次性序列號表示，序列號的唯一性保證了匿名資產(chǎn)不能被雙重花費(fèi)。

Zerocash在熔幣交易中采用ZKP技術(shù)證明用戶對交易輸入的所有權(quán)，而非采用簽名的方式解鎖未花費(fèi)交易輸出，從而割裂了鑄幣交易與熔幣交易以及熔幣交易與熔幣交易之間的關(guān)聯(lián)性，使得攻擊者無法通過交易圖技術(shù)關(guān)聯(lián)不同交易。此外，在熔幣交易過程中，接收者的交易信息被加密，保護(hù)了接收者身份隱私。相較于Zerocoin，Zerocash改進(jìn)如下：1）使用zk-SNARKs技術(shù)減少Zerocoin中證明所花費(fèi)的存儲空間和驗證時間；2）支持可變金額的匿名交易和交易后找零；3）支持使用Zerocash直接向用戶支付。但是，Zerocash也存在缺點(diǎn)如下：1）需要可信的第三方設(shè)置系統(tǒng)的初始參數(shù)和公共參數(shù)，這會影響系統(tǒng)安全性；2）熔幣交易需要耗時2 min左右，交易效率低。

2.2.2基于環(huán)簽名算法的加密貨幣方案

環(huán)簽名算法最初是由Rivest等［47］提出，系統(tǒng)中只有地位相等的環(huán)成員而沒有管理者。在簽名過程中，簽名者的公私鑰和群里其他成員的公鑰混合在一起對消息簽名。在簽名驗證過程中，驗證者使用環(huán)參數(shù)和群成員的公鑰列表驗證簽名的有效性。驗證者只能驗證出群中有環(huán)成員對消息簽名，而無法確定具體的簽名者，從而保護(hù)了簽名者身份隱私。

Saberhagen［38］提出了一種基于環(huán)簽名和一次性公鑰的電子貨幣系統(tǒng)CryptoNote。為了實現(xiàn)交易接受者身份的不可鏈接性，CryptoNote采用一次性公私鑰技術(shù)為接收者生成接收地址，使得攻擊者難以推測出任何兩個交易輸出屬于同一個接收者。為了實現(xiàn)交易發(fā)起者身份的不可追蹤性，CryptoNote在可追溯環(huán)簽名機(jī)制的基礎(chǔ)上提出了一次性環(huán)簽名機(jī)制。該機(jī)制將真實的交易發(fā)起者隱藏于其他交易輸出地址中，實現(xiàn)對交易發(fā)起者身份的隱藏。CryptoNote的過程如下：

1）構(gòu)造交易輸出地址。交易的發(fā)起者獲取接收者的公鑰，并生成一次性公鑰兼目的地址。

3）簽名驗證和雙花檢測。礦工對接收到的交易進(jìn)行簽名驗證和雙花檢測。礦工根據(jù)簽名驗證算法驗證簽名的有效性，即簽名驗證通過后，礦工檢查密鑰鏡像是否在之前的簽名中被使用過。如果已經(jīng)使用過，表明兩筆交易被同一密鑰簽署，即存在雙花現(xiàn)象。

4）接收交易。接收者通過用私鑰檢測上傳到區(qū)塊鏈的每筆交易確定目標(biāo)交易，再計算一次性私鑰解密目標(biāo)交易輸出。

CryptoNote通過結(jié)合不可鏈接的一次性公鑰和不可追蹤的一次性環(huán)簽名實現(xiàn)了交易與交易之間的不可關(guān)聯(lián)性，較好地保護(hù)了交易發(fā)起者和接收者身份。但是，隨著環(huán)成員增多，交易簽名的大小也會線性增長，給區(qū)塊鏈的存儲增加了負(fù)擔(dān)；此外，環(huán)簽名匿名性強(qiáng)度取決于環(huán)成員的數(shù)量。Liu等［39］采用帶有環(huán)簽名的輸出地址阻止混幣服務(wù)器學(xué)習(xí)輸入和輸出的映射關(guān)系，提出了一個不可鏈接的交易混合方案。

本節(jié)介紹了基于密碼學(xué)技術(shù)的身份隱私保護(hù)技術(shù)。目前對身份隱私保護(hù)技術(shù)所采取的隱私保護(hù)技術(shù)主要有ZKP、環(huán)簽名等。這些密碼學(xué)技術(shù)與混淆技術(shù)的原理類似，將真正的交易用戶隱藏于其他與交易無關(guān)的用戶中。與混幣技術(shù)相比，基于密碼學(xué)的身份隱私保護(hù)技術(shù)匿名性更強(qiáng)，但是存在較大的計算開銷和驗證開銷。表2總結(jié)了上述基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制的優(yōu)缺點(diǎn)。

表2　基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制的總結(jié)

3 交易數(shù)據(jù)隱私保護(hù)方案

目前針對交易數(shù)據(jù)的隱私保護(hù)方案主要依賴于密碼學(xué)技術(shù)，如同態(tài)加密［48-50］、可搜索加密［51］和屬性基加密［52-53］這3類技術(shù)。

同態(tài)加密技術(shù)提供了一種處理加密數(shù)據(jù)的工具［54-55］。許多學(xué)者采用同態(tài)加密技術(shù)對區(qū)塊鏈系統(tǒng)中的交易金額進(jìn)行保密處理，以此保護(hù)交易隱私。Back［56］提出了“具有同態(tài)價值的比特幣”。Maxwell［48］在AdmBack工作的基礎(chǔ)上進(jìn)行了完善和改進(jìn)，提出了機(jī)密交易方案。該方案所采用的佩德森承諾機(jī)制具有加法同態(tài)特性［57］，礦工可以在不知曉交易金額的情況下驗證區(qū)塊鏈交易的收支平衡。承諾中不僅加入盲化因子防止惡意用戶暴力破解金額承諾值，還添加一個范圍證明以保證承諾的金額在0和特定值之間。該機(jī)密交易方案的流程包括3個步驟：1）金額盲化，交易者采用佩德森承諾對交易輸入金額和輸出金額盲化；2）金額范圍證明，交易者基于Borromean Ring Signatures技術(shù)［58］對每個輸入和輸出金額承諾值添加范圍證明；3）驗證，礦工驗證輸入金額承諾值總和與輸出金額承諾值總和是否平衡，根據(jù)范圍證明判斷被盲化的金額值是否為正值。但是，該方案對交易金額盲化后，交易接收者無法恢復(fù)原數(shù)據(jù)，需要額外的通信通道接收交易金額，而且機(jī)密交易所占空間是普通交易的60倍，給區(qū)塊鏈存儲帶來了負(fù)擔(dān)。Wang等［49］提出使用同態(tài)加密算法［59］對交易金額進(jìn)行保密處理，如圖3所示，該過程為：

圖3　基于同態(tài)加密算法的交易金額保密方案示意圖

可搜索加密技術(shù)是搜索技術(shù)和加密技術(shù)的結(jié)合，支持對加密數(shù)據(jù)進(jìn)行關(guān)鍵字搜索［62-63］。Liu等［51］結(jié)合區(qū)塊鏈技術(shù)與可搜索加密技術(shù)，實現(xiàn)對醫(yī)療數(shù)據(jù)隱私的保護(hù)。首先，數(shù)據(jù)擁有者對數(shù)據(jù)加密，并上傳至星際文件系統(tǒng)（Inter Planetary File System， IPFS）。若上傳成功，IPFS會返回數(shù)據(jù)存儲地址。數(shù)據(jù)擁有者通過訪問策略加密數(shù)據(jù)存儲地址、關(guān)鍵字索引以及數(shù)據(jù)密鑰，并將加密結(jié)果上傳至區(qū)塊鏈網(wǎng)絡(luò)。其次，數(shù)據(jù)查詢者利用自己的私鑰以及查詢的關(guān)鍵字計算搜索陷門，并調(diào)用搜索智能合約。若數(shù)據(jù)查詢者的屬性滿足訪問策略，合約將返回數(shù)據(jù)的存儲地址以及數(shù)據(jù)密鑰。最后，數(shù)據(jù)查詢者根據(jù)存儲地址從IPFS中下載數(shù)據(jù)。該方案基于許可鏈和分布式IPFS構(gòu)建鏈上和鏈下的存儲模型，采用可搜索加密算法實現(xiàn)了數(shù)據(jù)的可信存儲、安全存儲、可驗證；但是搜索算法的計算開銷會隨著屬性數(shù)量的增加而線性增長，而且僅支持單一關(guān)鍵詞的搜索。

密文策略屬性基加密技術(shù)是一種可支持訪問控制的數(shù)據(jù)加密方式［64-65］，結(jié)合區(qū)塊鏈可以實現(xiàn)數(shù)據(jù)的隱私保護(hù)和訪問控制。Guan等［52］結(jié)合區(qū)塊鏈和屬性基加密技術(shù)，提出了一套智能電網(wǎng)交易數(shù)據(jù)隱私保護(hù)方案。該方案在密文策略屬性基加密（Ciphertext Policy Attribute-Based Encryption， CP-ABE）算法［66］的基礎(chǔ)上提出了一種可更新的雙層密文結(jié)構(gòu)的屬性基加密算法，實現(xiàn)對交易數(shù)據(jù)的細(xì)粒度訪問控制。首先，用戶在客戶端發(fā)出賬戶注冊交易申請，系統(tǒng)采用類似比特幣賬戶生成算法為節(jié)點(diǎn)生成地址和私鑰。其次，交易發(fā)起者制定一個訪問策略并生成一個線性密鑰共享（Linear Secret-Sharing Scheme， LSSS）的訪問結(jié)構(gòu)［67］，對第一層明文和第二層明文加密。第一層明文包含詳細(xì)的交易合同信息，第二層明文包括基本的交易信息，只有滿足訪問策略的交易用戶才能查看第二層明文。在獲取第二層明文的基礎(chǔ)上，產(chǎn)生交易意愿的節(jié)點(diǎn)可以通過應(yīng)用獲得第一層明文。交易雙方就交易內(nèi)容達(dá)成一致后，加密的交易合同將被傳播到網(wǎng)絡(luò)中，由記賬節(jié)點(diǎn)負(fù)責(zé)將交易信息打包成區(qū)塊，并加入?yún)^(qū)塊鏈。雙方發(fā)生爭議時，可以向仲裁節(jié)點(diǎn)申請仲裁。仲裁結(jié)果生成后，原始的密文被更新，形成新的交易記錄，以保證仲裁節(jié)點(diǎn)不會解密新的交易內(nèi)容；但是隨著屬性的增多，計算開銷也線性增長。Li等［53］結(jié)合區(qū)塊鏈技術(shù)和CP-ABE，提出了一種基于區(qū)塊鏈的車用自組織網(wǎng)絡(luò)（Vehicular Ad-hoc NETwork， VANET）數(shù)據(jù)細(xì)粒度訪問控制方案。該方案使用區(qū)塊鏈替代第三方混合服務(wù)器管理用戶身份和存儲數(shù)據(jù)，并根據(jù)用戶屬性建立不同的VANET數(shù)據(jù)訪問權(quán)限；但是存儲在區(qū)塊鏈中的消息易導(dǎo)致數(shù)據(jù)冗余，給區(qū)塊鏈存儲帶來負(fù)擔(dān)。

本節(jié)從同態(tài)加密技術(shù)、可搜索加密技術(shù)和屬性基加密技術(shù)總結(jié)當(dāng)前的交易數(shù)據(jù)隱私方案。同態(tài)加密技術(shù)可以對隱私數(shù)據(jù)進(jìn)行合法性驗證，如交易輸入和輸出金額平衡性驗證，也適用于需要執(zhí)行隱私計算的數(shù)據(jù)。目前常用的同態(tài)加密算法有佩德森承諾算法、Paillier加密算法和ElGamal加密算法等。佩德森承諾是一種單向承諾，無法由承諾結(jié)果得到被承諾值，還需要額外的開銷傳輸明文值。Paillier加密算法中的承諾值可以被解密成明文，并且相較于采用佩德森諾算法的機(jī)密交易所占存儲空間更小。twisted ElGamal是一種加法同態(tài)加密算法，加解密效率優(yōu)于另外兩種。屬性基加密算法適用于對數(shù)據(jù)進(jìn)行細(xì)粒度訪問控制，但是目前屬性基加密算法存在計算開銷隨屬性增長而線性增長、訪問策略暴露等問題?？伤阉骷用芗夹g(shù)實現(xiàn)了隱私數(shù)據(jù)的關(guān)鍵字搜索，但是存在搜索效率低的問題。表3總結(jié)了上述交易數(shù)據(jù)隱私保護(hù)方案的優(yōu)缺點(diǎn)。

表3　交易數(shù)據(jù)隱私保護(hù)方案的總結(jié)

4 兼顧監(jiān)管的交易身份隱私保護(hù)方案

隱私保護(hù)一方面增強(qiáng)用戶的隱私性，另一方面也給違法犯罪分子從事犯罪活動提供了可乘之機(jī)。在區(qū)塊鏈交易隱私保護(hù)基礎(chǔ)上實現(xiàn)交易監(jiān)管引起了學(xué)者們的高度關(guān)注［68］。

Li等［69］改進(jìn)門羅幣［70］并提出可追蹤門羅幣（Traceable Monero）系統(tǒng)。該系統(tǒng)在原有系統(tǒng)基礎(chǔ)上增加了問責(zé)機(jī)制，一方面可以追蹤資金的流動軌跡，另一方面可以從一次性匿名地址中推測用戶的長期地址。為了追蹤交易雙方真實的交易地址，可追蹤門羅幣系統(tǒng)要求交易發(fā)起者基于ElGamal加密算法使用監(jiān)管者的公鑰加密關(guān)鍵隱私信息。在構(gòu)造交易輸入時，交易發(fā)起者使用環(huán)簽名技術(shù)隱藏交易發(fā)起者身份，并將真實的交易輸入賬戶在交易輸入群中的索引加密；在構(gòu)造交易輸出時，交易發(fā)起者對用戶的長期地址加密并作為標(biāo)簽，以此構(gòu)造一次性匿名地址。在發(fā)現(xiàn)可疑交易時，監(jiān)管者可以解密標(biāo)簽和密文獲取關(guān)鍵信息，從而追蹤用戶交易過程。隨后，Lin等［71］提出了一種基于區(qū)塊鏈的去中心化條件匿名支付（Decentralized Conditional Anonymous Payment， DCAP）系統(tǒng)。該系統(tǒng)使用自更新的假名算法［72］在隱私和監(jiān)管之間取得平衡，不僅支持用戶匿名交易，還引入監(jiān)管部門監(jiān)控交易記錄。用戶借助自更新的假名算法基于長期公鑰派生出許多不可鏈接的匿名公鑰，并在匿名公鑰中嵌入監(jiān)管者公鑰。交易時，交易雙方采用匿名公鑰作為交易雙方賬戶。為了證明擁有對交易輸入的所有權(quán)，交易發(fā)起者借助知識簽名技術(shù)［73］證明擁有匿名公鑰所對應(yīng)的私鑰。在追蹤可疑交易時，監(jiān)管者可以借助他的私鑰通過匿名公鑰反推長期公鑰，并根據(jù)公鑰信息查詢用戶證書以獲取它的真實身份。然而該方案采用未花費(fèi)的交易輸出（Unspent Transaction Output， UTXO）記賬模型，盡管使用了匿名公鑰作為匿名賬號，卻沒有消除交易與交易之間的關(guān)聯(lián)性，對用戶身份隱私仍存在威脅；此外，監(jiān)管者擁有絕對的追蹤權(quán)限，安全性過于依賴監(jiān)管者。Androulaki等［74］提出了一套隱私保護(hù)下可審計的代幣系統(tǒng)，其中具有隱私保護(hù)可審計的貨幣系統(tǒng)結(jié)構(gòu)［74］如圖4所示。為了實現(xiàn)隱私保護(hù)和可審計性，交易發(fā)起者基于ElGamail加密算法采用審計者的公鑰加密轉(zhuǎn)移交易信息，并采用ZKP技術(shù)證明交易信息被正確加密。在發(fā)行交易時，貨幣發(fā)行者發(fā)布基于承諾的代幣；在轉(zhuǎn)移交易時，交易發(fā)起者不直接引用歷史有效交易的代幣，而是通過向認(rèn)證者提交認(rèn)證請求的方式證明代幣的合法性，其中認(rèn)證請求包含一個代幣（即承諾）。認(rèn)證者收到此類請求后，檢查代幣是否包含在分類賬本的有效交易中，如果存在，認(rèn)證者使用分布式閾值盲簽名技術(shù)［75-76］對代幣盲簽名。交易發(fā)起者在收到簽名后，通過ZKP技術(shù)向礦工證明代幣存在分類賬本中且自身已注冊，從而不暴露代幣的隱私信息。

圖4　具有隱私保護(hù)可審計的貨幣系統(tǒng)示意圖

Shao等［77］提出了一種基于標(biāo)簽公鑰加密算法的隱私保護(hù)框架。該框架基于許可鏈，一方面為合法交易提供了不可鏈接性和匿名性，另一方面也為可疑交易提供了問責(zé)機(jī)制。交易發(fā)起者在發(fā)起交易前，需向?qū)傩詸?quán)威機(jī)構(gòu)申請認(rèn)證。屬性權(quán)威機(jī)構(gòu)認(rèn)證成功后，使用基于屬性的簽名算法［78］為交易發(fā)起者生成證書。在發(fā)起交易時，交易發(fā)起者采用基于標(biāo)簽的公鑰加密算法［79］加密真實身份，并生成ZKP證明他的證書滿足訪問策略以及真實身份被正確加密。在交易追蹤時，追蹤節(jié)點(diǎn)集齊個解密分享后，就可以恢復(fù)真實的用戶身份。該方案采用基于標(biāo)簽的公鑰加密算法，將追蹤不法用戶的權(quán)力分配給多個獨(dú)立的跟蹤成員，而不是依賴于單點(diǎn)管理，避免了權(quán)力的濫用，顯著改善了許可網(wǎng)絡(luò)中的用戶隱私保護(hù)和自主權(quán)，但是未能保護(hù)交易接收者身份隱私。

Barki等［80］提出了一種可追溯、可轉(zhuǎn)讓和可分割的數(shù)字貨幣系統(tǒng)，兼顧了合法用戶的隱私保護(hù)和非法用戶的身份追溯。該系統(tǒng)實現(xiàn)了中心化資產(chǎn)和去中心化資產(chǎn)的互相轉(zhuǎn)換。用戶可以將存在銀行的資產(chǎn)取出換做數(shù)字貨幣，以去中心化的方式匿名交易。在該數(shù)字貨幣系統(tǒng)中，銀行在僅知交易金額和不知對應(yīng)的用戶接收地址的情況下，就可以采用部分盲簽名技術(shù)［81］對交易金額和用戶接收地址產(chǎn)生簽名，從而保證了交易的匿名性。用戶收到數(shù)字貨幣后，可以類似于比特幣那樣進(jìn)行交易。為了實現(xiàn)交易的可審計性，該系統(tǒng)采用ElGamal加密算法加密用戶的身份公鑰，并利用ZKP的方式證明身份公鑰被正確加密；但是交易與交易之間存在鏈接性，關(guān)聯(lián)的交易特征容易成為攻擊者挖掘用戶身份的推手。

Yuen［82］提出了一種實現(xiàn)隱私交易、可認(rèn)證且可審計的聯(lián)盟鏈（Private， Authenticated & Auditable Consortium blockchain， PAChain）。PAChain有交易發(fā)起者隱私、交易金額隱私和交易接收者隱私這3個獨(dú)立的保護(hù)模塊。在交易發(fā)起者隱私保護(hù)模塊中，發(fā)起者不直接引用未花費(fèi)的交易輸出，而是采取匿名證書的形式證明擁有未花費(fèi)的輸出。具體過程為：發(fā)送者采用離散對數(shù)知識簽名技術(shù)，向背書節(jié)點(diǎn)證明他擁有某未花費(fèi)的交易輸出所對應(yīng)的私鑰；背書節(jié)點(diǎn)驗證通過后，采用BBS群簽名算法［83］為該未花費(fèi)交易輸出頒發(fā)證書；在之后的交易中，發(fā)起者采取ZKP的方式證明他擁有背書節(jié)點(diǎn)頒發(fā)的交易輸出證書。在交易金額隱私保護(hù)模塊中，發(fā)送者基于ElGamal加密算法使用審計者的公鑰加密交易輸入金額和輸出金額，并利用基于Boneh-Boyen signature的范圍證明算法［84］為承諾值中的金額提供區(qū)間證明。在交易接收者隱私保護(hù)模塊中，發(fā)起者根據(jù)接收者的長期公鑰生成一次性公鑰作為輸出地址，并采取ZKP技術(shù)證明接收者長期公鑰通過認(rèn)證機(jī)構(gòu)（Certification Authority， CA）認(rèn)證。為了實現(xiàn)可審計，3個模塊中的關(guān)鍵信息，如發(fā)起者身份信息、交易金額和接收者身份信息，被審計者的公鑰加密。交易用戶可以調(diào)用3個模塊構(gòu)造1個完整、隱私保護(hù)、可認(rèn)證且可審計的交易，并且可以與Fabric融合；但是該方案過多地使用ZKP技術(shù)，導(dǎo)致交易所占存儲空間和驗證開銷較大，交易效率低。

Lin等［85］在Ethereum架構(gòu)基礎(chǔ)上提出了一種面向加密貨幣的隱私保護(hù)的許可鏈架構(gòu)（Privacy-preserving Permissioned blockChain， PPChain）。PPChain兼顧了用戶身份的匿名保護(hù)和可監(jiān)管性，以及數(shù)據(jù)的公開透明性和機(jī)密性。交易發(fā)起者生成一筆類似于以太坊的交易后，采用廣播加密算法［86］加密交易進(jìn)行，并使用群簽名算法［87］對加密后的交易簽名。驗證節(jié)點(diǎn)使用群公鑰驗證簽名，若簽名正確，首先使用廣播加密中對應(yīng)的私鑰解密密文，其次驗證交易金額是否超出世界狀態(tài)里的賬戶余額。若驗證正確，交易將被發(fā)送到記錄節(jié)點(diǎn)，由記錄節(jié)點(diǎn)提交到區(qū)塊鏈。該方案采用群簽名算法對交易簽名，既保證用戶身份的合法性，也支持追蹤不法用戶身份。該方案所采用的廣播加密算法實現(xiàn)了交易數(shù)據(jù)的隱私保護(hù)和接收者的匿名保護(hù)。但是驗證節(jié)點(diǎn)可以解密數(shù)據(jù)，窺探數(shù)據(jù)隱私，該架構(gòu)對驗證節(jié)點(diǎn)可信度要求較高。

本節(jié)探討了基于身份隱私保護(hù)的監(jiān)管方案。在實現(xiàn)監(jiān)管方面，這些方案主要采用加密技術(shù)如ElGamal加密技術(shù)對用戶的身份標(biāo)識公鑰加密，再配合ZKP技術(shù)保證加密的正確性，此外還可以利用群簽名的打開特性或者可反推的匿名算法揭露匿名身份。表4總結(jié)和對比了上述兼顧監(jiān)管的交易身份隱私保護(hù)方案的優(yōu)缺點(diǎn)。

表4　兼顧監(jiān)管的交易身份隱私保護(hù)方案的總結(jié)

5 未來研究工作

針對交易身份隱私保護(hù)、數(shù)據(jù)隱私保護(hù)和相應(yīng)的監(jiān)管需求，目前已經(jīng)有相應(yīng)的解決方案，但是也存在一些不足，如安全性問題、計算開銷問題等。因此，未來可以從以下3個方向開展研究：

1）兼顧強(qiáng)安全性和高可用性的交易隱私保護(hù)技術(shù)研究。以數(shù)字貨幣為代表的應(yīng)用場景對安全性和高可用性要求高。成熟的數(shù)字貨幣的資產(chǎn)安全性應(yīng)得到保證，交易能及時處理。隱私保護(hù)技術(shù)的引入是為了保護(hù)數(shù)字貨幣系統(tǒng)的隱私性，但是不能為了隱私保護(hù)而降低實際需求。在隱私保護(hù)的實際過程中，一些隱私保護(hù)方案借助ZKP和環(huán)簽名等密碼學(xué)技術(shù)應(yīng)對隱私威脅，但這些方案也引入一定的安全風(fēng)險。例如Zerocash方案中所采用的簡潔的非交互式零知識證明（Zero-Knowledge Succinct Non-interactive ARgument of Knowledge， ZK-SNARK）技術(shù)依賴第三方生成秘密參數(shù)，因此第三方的可信性直接決定了整個系統(tǒng)的安全性。為此，未來可以考慮采用安全多方計算形式生成秘密參數(shù)［88］，以取代第三方。另外，現(xiàn)有隱私保護(hù)方案在性能上也存在一定不足，如采用ZKP技術(shù)需要大量的計算開銷和驗證開銷，這使它難以應(yīng)用到一些對交易處理速度要求高的場景中［89］。為此，根據(jù)實際的應(yīng)用場景，考慮對數(shù)據(jù)敏感性進(jìn)行細(xì)粒度分類［90］，對于低敏感度數(shù)據(jù)，系統(tǒng)性能將作為首要參考因素；對于高敏感數(shù)據(jù)，強(qiáng)隱私保護(hù)性仍然是首要考慮因素，從而實現(xiàn)性能和隱私保護(hù)兩者的折中。

2）多方監(jiān)管技術(shù)研究。多方監(jiān)管技術(shù)對以金融鏈為代表的應(yīng)用場景很有必要。以金融場景為例，我國的金融體系采用多方監(jiān)管的方式約束金融機(jī)構(gòu)。多方監(jiān)管體制可以有效降低金融市場的成本，維持正常的金融秩序。區(qū)塊鏈技術(shù)應(yīng)用到金融體系中也應(yīng)保留多方監(jiān)管的特點(diǎn)。然而，目前的交易監(jiān)管方案大多僅支持單方監(jiān)管，單方監(jiān)管存在監(jiān)管權(quán)力濫用、隱私泄漏、單點(diǎn)故障等問題。要將區(qū)塊鏈技術(shù)落地，應(yīng)考慮多方監(jiān)管。為此，可以考慮基于訪問控制策略、秘密分享［91］或安全多方計算［92］等機(jī)制向多個可信機(jī)構(gòu)賦予監(jiān)管權(quán)力。

3）跨鏈操作中的隱私保護(hù)研究。隨著區(qū)塊鏈技術(shù)的不斷發(fā)展和創(chuàng)新，越來越多的數(shù)字貨幣涌現(xiàn)，區(qū)塊鏈技術(shù)在其他場景得到不斷深入應(yīng)用，場景之間融合的需求也越來越多，如供應(yīng)鏈之間的融合。然而，目前的區(qū)塊鏈系統(tǒng)大多是異構(gòu)，鏈與鏈之間無法進(jìn)行直接的數(shù)據(jù)流通［93］。在此背景下，打破區(qū)塊鏈間的數(shù)據(jù)孤島，實現(xiàn)不同區(qū)塊鏈之間的資產(chǎn)信息互通、原子性交易、服務(wù)互補(bǔ)等功能是必然的發(fā)展趨勢?？珂溂夹g(shù)在此發(fā)揮了巨大的作用，但是在跨鏈過程中易發(fā)生信息泄露、資產(chǎn)盜竊等，解決其中的隱私和安全問題，才有可能借助跨鏈技術(shù)將不同的區(qū)塊鏈連接成鏈聯(lián)網(wǎng)，實現(xiàn)應(yīng)用場景的需求如資產(chǎn)轉(zhuǎn)移、信息共享等。當(dāng)同一事務(wù)需要跨越多個區(qū)塊鏈系統(tǒng)執(zhí)行時，在保證數(shù)據(jù)高效性和一致性的前提下，降低隱私泄露的風(fēng)險顯得尤為重要。所以，跨鏈操作中的隱私保護(hù)是未來的重要研究方向。為此，可以考慮將隱私智能合約［94］、可信硬件執(zhí)行環(huán)境［95］和身份認(rèn)證［96］等手段結(jié)合，以解決跨鏈過程中存在的隱私泄露問題。

6 結(jié)語

區(qū)塊鏈技術(shù)有著廣闊的應(yīng)用場景，在應(yīng)用過程中所產(chǎn)生的交易隱私問題成為了研究者的重點(diǎn)研究方向。首先，本文將區(qū)塊鏈交易隱私分為身份隱私和數(shù)據(jù)隱私兩類，并給了相關(guān)的定義，并分析了隱私泄露的原因。針對身份隱私保護(hù)，本文從混幣機(jī)制和基于密碼學(xué)技術(shù)的身份隱私保護(hù)機(jī)制著手，總結(jié)了相應(yīng)的解決方案。針對數(shù)據(jù)隱私保護(hù)方案，本文介紹了同態(tài)加密技術(shù)、可搜索加密技術(shù)、屬性基加密技術(shù)等相關(guān)解決方案。其次，針對身份隱私保護(hù)技術(shù)可能被不法分子利用的問題，還介紹了在身份隱私保護(hù)基礎(chǔ)上的監(jiān)管方案。最后，針對區(qū)塊鏈交易隱私保護(hù)方案存在的一些問題，本文展望了未來研究方向。

[1] NAKAMOTO S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. ［2022-07-21］.http：//bitcoin.org/bitcoin.pdf.

[2] 傅麗玉，陸歌皓，吳義明，等. 區(qū)塊鏈技術(shù)的研究及其發(fā)展綜述［J］. 計算機(jī)科學(xué)， 2022， 49（6A）：447-461， 666.（FU L Y， LU G H， WU Y M， et al. Review of research and development of blockchain technology［J］. Computer Science， 2022， 49（6A）：447-461， 666.）

[3] HAN X， YUAN Y， WANG F Y. A blockchain-based framework for central bank digital currency［C］// Proceedings of the 2019 International Conference on Service Operations and Logistics， and Informatics. Piscataway： IEEE， 2019：263-268.

[4] 李娟娟，袁勇，王飛躍. 基于區(qū)塊鏈的數(shù)字貨幣發(fā)展現(xiàn)狀與展望［J］. 自動化學(xué)報， 2021， 47（4）：715-729.（LI J J， YUAN Y， WANG F Y. Blockchain-based digital currency： the state of the art and future trends［J］. Acta Automatica Sinica， 2021， 47（4）： 715-729.）

[5] EL MANE A， CHIHAB Y， TATANE K， et al. Agriculture supply chain management based on blockchain architecture and smart contracts［J］. Applied Computational Intelligence and Soft Computing， 2022， 2022： No.8011525.

[6] 許蘊(yùn)韜，朱俊武，孫彬文，等. 選舉供應(yīng)鏈：基于區(qū)塊鏈的供應(yīng)鏈自治框架［J］. 計算機(jī)應(yīng)用， 2022， 42（6）：1770-1775.（XU Y T， ZHU J W， SUN B W， et al. Election-based supply chain： a supply chain autonomy framework based on blockchain［J］. Journal of Computer Applications， 2022， 42（6）： 1770-1775.）

[7] 吳芷菡，崔喆，劉霆，等. 基于區(qū)塊鏈的安全電子選舉方案［J］. 計算機(jī)應(yīng)用， 2020， 40（7）：1989-1995.（WU Z H， CUI Z， LIU T， et al. Secure electronic voting scheme based on blockchain［J］. Journal of Computer Applications， 2020， 40（7）： 1989-1995.）

[8] 張伯鈞，李潔，胡凱，等. 基于區(qū)塊鏈的分布式加密投票系統(tǒng)［J］. 計算機(jī)科學(xué)， 2022， 49（11A）：679-684.（ZHANG B J， LI J， HU K， et al. Distributed encrypted voting system based on blockchain［J］. Computer Science， 2022， 49（11A）： 679-684.）

[9] 熊嘯，李雷孝，高靜，等. 區(qū)塊鏈在車聯(lián)網(wǎng)數(shù)據(jù)共享領(lǐng)域的研究進(jìn)展［J］. 計算機(jī)科學(xué)與探索， 2022， 16（5）：1008-1024.（XIONG X， LI L X， GAO J， et al. Research progress of blockchain in internet of vehicles data sharing［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（5）： 1008-1024.）

[10] 陳葳葳，曹利，邵長虹. 基于區(qū)塊鏈技術(shù)的車聯(lián)網(wǎng)高效匿名認(rèn)證方案［J］. 計算機(jī)應(yīng)用， 2020， 40（10）：2992-2999.（CHEN W W， CAO L， SHAO C H. Blockchain based efficient anonymous authentication scheme for IOV［J］. Journal of Computer Applications， 2020， 40（10）： 2992-2999.）

[11] VARDHINI B， SHREYAS N D， SAHANA R， et al. A blockchain based electronic medical health records framework using smart contracts［C］// Proceedings of the 2021 International Conference on Computer Communication and Informatics. Piscataway： IEEE， 2021：1-4

[12] 林超，何德彪，黃欣沂. 基于區(qū)塊鏈的電子醫(yī)療記錄安全共享［J］. 計算機(jī)應(yīng)用， 2022， 42（11）：3465-3472.（LIN C， HE D B， HUANG X Y. Blockchain?based electronic medical record secure sharing［J］. Journal of Computer Applications， 2022， 42（11）： 3465-3472.）

[13] JIANG C， RU C. Application of blockchain technology in supply chain finance［C］// Proceedings of the 5th International Conference on Mechanical， Control and Computer Engineering. Piscataway： IEEE， 2020：1342-1345.

[14] RON D， SHAMIR A. Quantitative analysis of the full Bitcoin transaction graph［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 6-24.

[15] 劉煒，彭宇飛，田釗，等. 基于區(qū)塊鏈的醫(yī)療信息隱私保護(hù)研究綜述［J］. 鄭州大學(xué)學(xué)報（理學(xué)版）， 2021， 53（2）：1-18.（LIU W， PENG Y F， TIAN Z， et al. A survey on medical information privacy protection based on blockchain［J］. Journal of Zhengzhou University （Natural Science Edition）， 2021， 53（2）： 1-18.）

[16] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護(hù)研究綜述［J］. 計算機(jī)研究與發(fā)展， 2017， 54（10）：2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey on privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）：2170-2186.）

[17] 王宗慧，張勝利，金石，等. 區(qū)塊鏈數(shù)據(jù)隱私保護(hù)研究［J］. 物聯(lián)網(wǎng)學(xué)報， 2018， 2（3）：71-81.（WANG Z H， ZHANG S L， JIN S， et al. Survey on privacy preserving techniques for blockchain［J］. Chinese Journal of Internet of Things， 2018， 2（3）：71-81.）

[18] 李旭東，牛玉坤，魏凌波，等. 比特幣隱私保護(hù)綜述［J］. 密碼學(xué)報， 2019， 6（2）：133-149.（LI X D， NIU Y K， WEI L B， et al. Overview on privacy protection in Bitcoin［J］. Journal of Cryptologic Research， 2019， 6（2）： 133-149.）

[19] 張奧，白曉穎. 區(qū)塊鏈隱私保護(hù)研究與實踐綜述［J］. 軟件學(xué)報， 2020， 31（5）：1406-1434.（ZHANG A， BAI X Y. Survey of research and practices on blockchain privacy protection［J］. Journal of Software， 2020， 31（5）： 1406-1434.）

[20] SAHAI S， SINGH N， DAYAMA P. Enabling privacy and traceability in supply chains using blockchain and zero knowledge proofs［C］// Proceedings of the 2020 IEEE International Conference on Blockchain. Piscataway： IEEE， 2020： 134-143.

[21] DI FRANCESCO MAESA D， MARINO A， RICCI L. Uncovering the Bitcoin blockchain： an analysis of the full users graph［C］// Proceedings of the 2016 IEEE International Conference on Data Science and Advanced Analytics. Piscataway： IEEE， 2016： 537-546

[22] REID F， HARRIGAN M. An analysis of anonymity in the Bitcoin system［C］// Proceedings of the 2011 IEEE International Conference on Privacy， Security， Risk and Trust/ Social Computing. Piscataway： IEEE， 2011： 1318-1326.

[23] MEIKLEJOHN S， POMAROLE M， JORDAN G， et al. A fistful of Bitcoins： characterizing payments among men with no names［C］// Proceedings of the 2013 Conference on Internet Measurement Conference. New York： ACM， 2013： 127-140.

[24] ANDROULAKI E， KARAME G O， ROESCHLIN M， et al. Evaluating user privacy in Bitcoin［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 34-51.

[25] SHEN M， DUAN J， SHANG N， et al. Transaction deanonymization in large-scale Bitcoin systems via propagation pattern analysis［C］// Proceedings of the 2020 International Conference on Security and Privacy in Digital Economy， CCIS 1268. Singapore： Springer， 2020： 661-675.

[26] LONG T， XU J， FU L， et al. Analyzing and de-anonymizing Bitcoin networks： an IP matching method with clustering and heuristics［J］. China Communications， 2022， 19（6）： 263-278.

[27] 許重建，李險峰. 區(qū)塊鏈交易數(shù)據(jù)隱私保護(hù)方法［J］. 計算機(jī)科學(xué)， 2020， 47（3）： 281-286.（XU C J， LI X F. Data privacy protection method of block chain transaction［J］. Computer Science， 2020， 47（3）： 281-286.）

[28] BONNEAU J， NARAYANAN A， MILLER A， et al. Mixcoin： anonymity for Bitcoin with accountable mixes［C］// Proceedings of the 2014 International Conference on Financial Cryptography and Data Security， LNCS 8437. Berlin： Springer， 2014： 486-504.

[29] VALENTA L， ROWAN B. Blindcoin： blinded， accountable mixes for Bitcoin［C］// Proceedings of the 2015 International Conference on Financial Cryptography and Data Security， LNCS 8976. Berlin： Springer， 2015： 112-126.

[30] GREGORY M. CoinJoin： Bitcoin privacy for the real world［EB/OL］ （2013-08-22） ［2022-07-21］.http：//bitcointalk.org/index.php？topic=279249.0.

[31] DUFFIELD E， DIAZ D. Dash： a payments-focused cryptocurrency［EB/OL］ （2018-08-23） ［2022-07-21］.https：//github.com/dashpay/dash/wiki/Whitepaper.

[32] RUFFING T， MORENO-SANCHEZ P， KATE A. CoinShuffle： practical decentralized coin mixing for Bitcoin［C］// Proceedings of 2014 European Symposium on Research in Computer Security， LNCS 8713. Cham： Springer， 2014： 345-364.

[33] ZIEGELDORF J H， GROSSMANN F， HENZE M， et al. CoinParty： secure multi-party mixing of Bitcoins［C］// Proceedings of the 5th ACM Conference on Data and Application Security and Privacy. New York： ACM， 2015： 75-86.

[34] XIAO R， REN W， ZHU T， et al. A mixing scheme using a decentralized signature protocol for privacy protection in Bitcoin blockchain［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（4）： 1793-1803.

[35] LU N， CHANG Y， SHI W， et al. CoinLayering： an efficient coin mixing scheme for large scale Bitcoin transactions［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（3）： 1974-1987.

[36] MIERS I， GARMAN C， GREEN M， et al. Zerocoin： anonymous distributed e-cash from Bitcoin［C］// Proceedings of the 2013 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2013： 397-411.

[37] BEN SASSON E， CHIESA A， GARMAN C， et al. Zerocash： decentralized anonymous payments from Bitcoin［C］// Proceedings of the 2014 International Symposium on Security and Privacy. Piscataway： IEEE， 2014： 459-474.

[38] SABERHAGEN N van. CryptoNote v 2.0［EB/OL］. （2013-10-17） ［2022-07-21］.https：//cryptonote.org/old/whitepaper.pdf.

[39] LIU Y， LIU X， TANG C， et al. Unlinkable coin mixing scheme for transaction privacy enhancement of Bitcoin［J］. IEEE Access， 2018， 6： 23261-23270.

[40] 王晨旭，程加成，桑新欣，等. 區(qū)塊鏈數(shù)據(jù)隱私保護(hù)：研究現(xiàn)狀與展望［J］. 計算機(jī)研究與發(fā)展， 2021， 58（10）：2099-2119.（WANG C X， CHENG J C， SANG X X， et al. Data privacy-preserving for blockchain： state of the art and trends［J］. Journal of Computer Research and Development， 2021， 58（10）：2099-2119.）

[41] CORRIGAN-GIBBS H， FORD B. Dissent： accountable anonymous group messaging［C］// Proceedings of the 17th ACM Conference on Computer and Communications Security. New York： ACM， 2010： 340-350.

[42] IBRAHIM M H， ALI I A， IBRAHIM I I， et al. A robust threshold elliptic curve digital signature providing a new verifiable secret sharing scheme［C］// Proceedings of the 46th IEEE International Midwest Symposium on Circuits and Systems — Volume 1. Piscataway： IEEE， 2003： 276-280.

[43] BLUM M， FELDMAN P， MICALI S. Non-interactive zero-knowledge and its applications［C］// Proceedings of the 20th Annual ACM Symposium on Theory of Computing. New York： ACM， 1988： 103-112.

[44] CAMENISCH J， LYSYANSKAYA A. Dynamic accumulators and application to efficient revocation of anonymous credentials［C］// Proceedings of the 2002 Annual International Cryptology Conference， LNCS 2442. Berlin： Springer， 2002： 61-76.

[45] SCHNORR C P. Efficient signature generation by smart cards［J］. Journal of Cryptology， 1991， 4（3）： 161-174.

[46] BEN-SASSON E， CHIESA A， GENKIN D， et al. SNARKs for C： verifying program executions succinctly and in zero knowledge［C］// Proceedings of the 2013 Annual International Cryptology Conference， LNCS 8043. Berlin： Springer， 2013： 90-108.

[47] RIVEST R L， SHAMIR A， TAUMAN Y. How to leak a secret： theory and applications of ring signatures［M］// GOLDREICH O， ROSENBERG A L， SELMAN A L. Theoretical Computer Science： Essays in Memory of Shimon Even， LNCS 3895. Berlin： Springer， 2006： 164-186.

[48] MAXWELL G. Confidential transactions［EB/OL］. ［2021-07-21］.https：//elementsproject.org/features/confidential-transactions.

[49] WANG Q， QIN B， HU J， et al. Preserving transaction privacy in Bitcoin［J］. Future Generation Computer Systems， 2020， 107： 793-804.

[50] CHEN Y， MA X， TANG C， et al. PGC： decentralized confidential payment system with auditability［C］// Proceedings of the 2020 European Symposium on Research in Computer Security， LNCS 12308. Cham： Springer， 2020： 591-610.

[51] LIU J， WU M， SUN R， et al. BMDS： a blockchain-based medical data sharing scheme with attribute-based searchable encryption［C］// Proceedings of the 2021 IEEE International Conference on Communications. Piscataway： IEEE， 2021： 1-6.

[52] GUAN Z， LU X， YANG W， et al. Achieving efficient and Privacy-preserving energy trading based on blockchain and ABE in smart grid［J］. Journal of Parallel and Distributed Computing， 2021， 147： 34-45.

[53] LI H， PEI L， LIAO D， et al. FADB： a fine-grained access control scheme for VANET data based on blockchain［J］. IEEE Access， 2020， 8： 85190-85203.

[54] RIVEST R L， ADLEMAN L M， DERTOUZOS M L. On data banks and privacy homomorphisms［M］// On Data Banks and Privacy Homomorphisms. Cambridge： Academic Press， 1978： 169-179.

[55] 楊亞濤，趙陽，張卷美，等. 同態(tài)密碼理論與應(yīng)用進(jìn)展［J］. 電子與信息學(xué)報， 2021， 43（2）：475-487.（YANG Y T， ZHAO Y， ZHANG J M， et al. Recent development of theory and application on homomorphic encryption［J］. Journal of Electronics and Information Technology， 2021， 43（2）： 475-487.）

[56] BACK A. Bitcoins with homomorphic value （validatable but encrypted）［EB/OL］. （2013-10-01） ［2022-07-21］.https：//bitcointalk.org/index.php？topic=305791.0.

[57] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing［C］// Proceedings of the 1991 Annual International Cryptology Conference， LNCS 576. Berlin： Springer， 1992： 129-140.

[58] MAXWELL G， POELSTRA A. Borromean ring signatures［EB/OL］. （2015-06-02） ［2021-07-21］.https：//raw.githubusercontent.com/Blockstream/borromean_paper/master/borromean_draft_0.01_34241bb.pdf

[59] PAILLIER P. Public-key cryptosystems based on composite degree residuosity classes［C］// Proceedings of the 1999 International Conference on the Theory and Applications of Cryptographic Techniques LNCS 1592. Berlin： Springer， 1999： 223-238.

[60] FUJISAKI E， OKAMOTO T. Statistical zero-knowledge protocols to prove modular polynomial relations［J］. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 1999， E82-A（1）： 81-92.

[61] 伍前紅，張鍵紅，王育民. 簡單證明一個承諾值在特定區(qū)間內(nèi)［J］. 電子學(xué)報， 2004， 32（7）：1071-1073.（WU Q H， ZHANG J H， WANG Y M. Simple proof that a committed number is in a specific interval［J］. Acta Electronica Sinica， 2004， 32（7）： 1071-1073.）

[62] SONG D X， WAGNER D， PERRIG A. Practical techniques for searches on encrypted data［C］// Proceedings of the 2000 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2000：44-55.

[63] 李經(jīng)緯，賈春福，劉哲理，等. 可搜索加密技術(shù)研究綜述［J］. 軟件學(xué)報， 2015， 26（1）： 109-128.（LI J W， JIA C F， LIU Z L， et al. Survey on the searchable encryption［J］. Journal of Software， 2015， 26（1）： 109-128.）

[64] 王生玉，汪金苗，董清風(fēng)，等. 基于屬性加密技術(shù)研究綜述［J］. 信息網(wǎng)絡(luò)安全， 2019（9）：76-80.（WANG S Y， WANG J M， DONG Q F， et al. A survey of attribute-based encryption technology［J］. Netinfo Security， 2019（9）： 76-80.）

[65] 趙志遠(yuǎn)，王建華，朱智強(qiáng)，等. 云存儲環(huán)境下屬性基加密綜述［J］. 計算機(jī)應(yīng)用研究， 2018， 35（4）：961-968， 973.（ZHAO Z Y， WANG J H， ZHU Z Q， et al. Survey of attribute-based encryption in cloud storage environment［J］. Application Research of Computers， 2018， 35（4）： 961-968， 973.）

[66] WATERS B. Ciphertext-policy attribute-based encryption： an expressive， efficient， and provably secure realization［C］// Proceedings of the 2011 International Workshop on Public Key Cryptography， LNCS 6571. Berlin： Springer， 2011： 53-70.

[67] BEIMEL A. Secure schemes for secret sharing and key distribution［D］. Haifa： Technion-Israel Institute of Technology， 1996： 59-90.

[68] 王俊生，李麗麗，顏擁，等. 區(qū)塊鏈技術(shù)應(yīng)用的安全與監(jiān)管問題［J］. 計算機(jī)科學(xué)， 2018， 45（6A）： 352-355， 382.（WANG J S， LI L L， YAN Y， et al. Security incidents and solutions of blockchain technology application［J］. Computer Science， 2018， 45（6A）： 352-355， 382.）

[69] LI Y， YANG G， SUSILO W， et al. Traceable Monero： anonymous cryptocurrency with enhanced accountability［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（2）： 679-691.

[70] SUN S F， AU M H， LIU J K， et al. RingCT 2.0： a compact accumulator-based （linkable ring signature） protocol for blockchain cryptocurrency Monero［C］// Proceedings of the 2017 European Symposium on Research in Computer Security， LNCS 10493. Cham： Springer， 2017： 456-474.

[71] LIN C， HE D， HUANG X， et al. DCAP： a secure and efficient decentralized conditional anonymous payment system based on blockchain［J］. IEEE Transactions on Information Forensics and Security， 2020， 15： 2440-2452.

[72] EUN H， LEE H， OH H. Conditional privacy preserving security protocol for NFC applications［J］. IEEE Transactions on Consumer Electronics， 2013， 59（1）： 153-160.

[73] CHASE M， LYSYANSKAYA A. On signatures of knowledge［C］// Proceedings of the 2006 Annual International Cryptology Conference， LNCS 4117. Berlin： Springer， 2006： 78-96.

[74] ANDROULAKI E， CAMENISCH J， DE CARO A， et al. Privacy-preserving auditable token payments in a permissioned blockchain system［C］// Proceedings of the 2nd ACM Conference on Advances in Financial Technologies. New York： ACM， 2020： 255-267.

[75] POINTCHEVAL D， SANDERS O. Short randomizable signatures［C］// Proceedings of the 2016 Cryptographers’ Track at the RSA Conference， LNCS 9610. Cham： Springer， 2016： 111-126.

[76] GENNARO R， JARECKI S， KRAWCZYK H， et al. Secure distributed key generation for discrete-log based cryptosystems［J］. Journal of Cryptology， 2007， 20（1）： 51-83.

[77] SHAO W， JIA C， XU Y， et al. AttriChain： decentralized traceable anonymous identities in privacy-preserving permissioned blockchain［J］. Computers and Security， 2020， 99： No.102069.

[78] EL KAAFARANI A， GHADAFI E， KHADER D. Decentralized traceable attribute-based signatures［C］// Proceedings of the 2014 Cryptographers’ Track at the RSA Conference， LNCS 8366. Cham： Springer， 2014： 327-348.

[79] GHADAFI E. Efficient distributed tag-based encryption and its application to group signatures with efficient distributed traceability［C］// Proceedings of the 2014 International Conference on Cryptology and Information Security in Latin America， LNCS 8895. Cham： Springer， 2015： 327-347.

[80] BARKI A， GOUGET A. Achieving privacy and accountability in traceable digital currency［EB/OL］. （2020-12-17） ［2022-07-21］.https：//eprint.iacr.org/2020/1565.pdf.

[81] BALDIMTSI F， LYSYANSKAYA A. Anonymous credentials light［C］// Proceedings of the 2013 ACM SIGSAC Conference on Computer and Communications Security. New York： ACM ， 2013：1087-1098.

[82] YUEN T H. PAChain： private， authenticated & auditable consortium blockchain and its implementation［J］. Future Generation Computer Systems， 2020， 112： 913-929.

[83] AU M H， SUSILO W， MU Y. Constant-size dynamic-TAA［C］// Proceedings of the 2006 International Conference on Security and Cryptography for Networks， LNCS 4116. Berlin： Springer， 2006： 111-125.

[84] CAMENISCH J， CHAABOUNI R， SHELAT A. Efficient protocols for set membership and range proofs［C］// Proceedings of the 2008 International Conference on the Theory and Application of Cryptology and Information Security， LNCS 5350. Berlin： Springer， 2008： 234-252.

[85] LIN C， HE D， HUANG X， et al. PPChain： a privacy-preserving permissioned blockchain architecture for cryptocurrency and other regulated applications［J］. IEEE Systems Journal， 2021， 15（3）： 4367-4378.

[86] ISLAM S H， KHAN M K， AL-KHOURI A M. Anonymous and provably secure certificateless multireceiver encryption without bilinear pairing［J］. Security and Communication Networks， 2015， 8（13）： 2214-2231.

[87] HO T H， YEN L H， TSENG C C. Simple-yet-efficient construction and revocation of group signatures［J］. International Journal of Foundations of Computer Science， 2015， 26（5）： 611-624.

[88] RIVINIUS M， REISERT P， RAUSCH D， et al. Publicly accountable robust multi-party computation［C］// Proceedings of the 2022 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2022： 2430-2449.

[89] 曹雪蓮，張建輝，劉波. 區(qū)塊鏈安全、隱私與性能問題研究綜述［J］. 計算機(jī)集成制造系統(tǒng)， 2021， 27（7） 2078-2094.（CAO X L， ZHANG J H， LIU B. Review on security， privacy， and performance issues of blockchain［J］. Computer Integrated Manufacturing Systems， 2021， 27（7）： 2078-2094.）

[90] SAHA S， MALLICK S， NEOGY S. Privacy-preserving healthcare data modeling based on sensitivity and utility［J］. SN Computer Science， 2022， 3（6）： No.482.

[91] MASHAHDI S， BAGHERPOUR B， ZAGHIAN A. A non-interactive （，）-publicly verifiable multi-secret sharing scheme［J］. Designs， Codes and Cryptography， 2022， 90（8）： 1761-1782.

[92] VEUGEN T. Secure multi-party computation and its applications［C］// Proceedings of the 2022 International Conference on Innovations for Community Services， CCIS 1585. Cham： Springer， 2022： 3-5.

[93] 孫浩，毛瀚宇，張巖峰，等. 區(qū)塊鏈跨鏈技術(shù)發(fā)展及應(yīng)用［J］. 計算機(jī)科學(xué)， 2022， 49（5）： 287-295.（SUN H， MAO H Y， ZHANG Y F， et al. Development and application of blockchain cross-chain technology［J］. Computer Science， 2022， 49（5）： 287-295.）

[94] PEREZ A J， ZEADALLY S. Secure and privacy-preserving crowdsensing using smart contracts［J］. Computer Science Review， 2022， 43： No.100450.

[95] HOANG T T， DURAN C， SERRANO R， et al. Trusted execution environment hardware by isolated heterogeneous architecture for key scheduling［J］. IEEE Access， 2022， 10： 46014-46027.

[96] SHENG G， QIAN Q， ZHANG R， et al. A privacy-preserving identity authentication scheme based on the blockchain［J］. Security and Communication Networks， 2021， 2021： No.9992353.

Survey on privacy-preserving technology for blockchain transaction

XIE Qingqing1，2*， YANG Nianmin1，2， FENG Xia3

（1，，212013，；2（），212013，；3，，212013，）

Blockchain ledger is open and transparent. Some attackers can obtain sensitive information through analyzing the ledger data. It causes a great threat to users’ privacy preservation of transaction. In view of the importance of blockchain transaction privacy preservation， the causes of the transaction privacy leakage were analyzed at first， and the transaction privacy was divided into two types： the transaction participator’s identity privacy and transaction data privacy. Then， in the perspectives of these two types of transaction privacy， the existing privacy-preserving technologies for blockchain transaction were presented. Next， in view of the contradiction between the transaction identity privacy preservation and supervision， transaction identity privacy preservation schemes considering supervision were introduced. Finally， the future research directions of the privacy-preserving technologies for blockchain transaction were summarized and prospected.

blockchain; transaction privacy preservation; identity privacy; transaction data privacy; transaction supervision

1001-9081（2023）10-2996-12

10.11772/j.issn.1001-9081.2022101555

2022?10?18；

2023?01?09；

2023?01?10。

國家自然科學(xué)基金資助項目（62002139，62272203）；中國博士后科學(xué)基金資助項目（2019M651738）；江蘇省自然科學(xué)基金資助項目（BK20200886）。

謝晴晴（1990—），女，安徽宿州人，講師，博士，CCF會員，主要研究方向：區(qū)塊鏈監(jiān)管、應(yīng)用密碼學(xué)； 楊念民（1998—），男，江西贛州人，碩士研究生，主要研究方向：區(qū)塊鏈監(jiān)管、數(shù)字貨幣； 馮霞（1983—），女，江蘇鎮(zhèn)江人，副教授，博士，主要研究方向：物聯(lián)網(wǎng)、認(rèn)證協(xié)議、區(qū)塊鏈、應(yīng)用密碼學(xué)。

TP309

A

This work is partially supported by National Natural Science Foundation of China （62002139， 62272203）， China Postdoctoral Science Foundation （2019M651738）， Natural Science Foundation of Jiangsu Province （BK20200886）.

XIE Qingqing， born in 1990， Ph. D.， lecturer. Her research interests include blockchain supervision， applied cryptography.

YANG Nianmin， born in 1998， M. S. candidate. His research interests include blockchain supervision， digital currency.

FENG Xia， born in 1983， Ph. D.， associate professor. Her research interests include internet of things， authentication protocol， blockchain， applied cryptography.