一種基于區塊鏈的泛用型數據隱私保護的安全多方計算協議

劉 峰 楊 杰 李志斌 齊佳音

1(華東師范大學計算機科學與技術學院 上海 200062)2(上海對外經貿大學人工智能與變革管理研究院 上海 200336)3(華東師范大學數據科學與工程學院 上海 200062)(lsttoy@163.com)

自中本聰2008年提出比特幣以來，區塊鏈作為一種跨行業應用的突破性底層技術，得到了飛速的發展.與大數據、云計算、人工智能等當前流行的信息技術相比，區塊鏈去中心化、難篡改、可追溯、公開透明等特性更能滿足人們日益增長的需求[1].然而，隨著學界研究的不斷深入，越來越多學者發現，在基于區塊鏈技術的去中心化賬本中用戶的信息是很容易被追蹤的.陳偉利等人[2]就通過研究發現，用戶隱私信息的竊取與其用戶地址信息的泄露多少是有很大關聯的.基于環簽名的數字貨幣門羅幣，也曾被M?ser等人[3]通過追蹤用戶簽名私鑰的方式攻破了隱藏交易，從而對交易發起人的隱私信息造成了很大的威脅.除此之外，大多數區塊鏈交易所也都集成了中心化身份驗證機制，用戶的個人信息和區塊鏈的地址之間映射關系會理所當然地被交易所記錄下來.在大數據技術運用下，用戶的交易信息和行為被破解的風險也就會激增.2017年Ermilov等人就利用自動聚類法分析出用戶與其比特幣地址間的關聯關系，提出了用戶不安全的比特幣使用模式[4].

因此，區塊鏈技術的安全問題也越來越受到重視.如何合理高效地做到用戶身份信息及交易數據的隱私保護是當前區塊鏈技術領域在安全方面的一個關鍵問題.如在醫療健康服務行業，如何安全高效地解決個人醫療健康數據共享問題同時保證個人數據的隱私；再如在貨運物流行業，如何與多方貨物供應商快速建立信任關系，保證優質長尾資源同時確保交易信息不被竊取篡改等.隨著技術的不斷更新與迭代，安全多方計算的出現為解決此類問題提供了可能途徑.

在當前區塊鏈安全多方計算的研究中，區塊鏈科技服務商Defi利用區塊鏈以及可信計算搭建了幫助企業能夠實現聯合風控的系統架構，但效率、透明度上還存在一些問題；宋俊典等人[5]提出了一種基于區塊鏈的數據治理協同方法，并給出多方協作的構建標準以實現區塊鏈協同治理，但是隱私安全上卻并沒有給出較為具體的分析策略.結合上述文獻并從當前技術發展趨勢來看，要提升效率的同時做到有效的隱私保護，設計一種匿名條件下對多方消息進行合并簽署并高效驗簽的安全多方計算協議勢在必行.其實早在2001年就出現了可對不同消息進行合并簽署并驗證的BLS方案[6]，并且近些年該方案主要提出者Boneh教授仍在更新這種簽名方案[7]以適配當前安全多方計算的研究發展.不過由于BLS簽名自身獨有的運算邏輯導致其過于依賴有限域中橢圓曲線上的雙線性對(bilinear pairing)運算且運算次數較多[8-9]，這導致在相同簽名條件下，BLS簽名甚至要比當前以太坊(Ethereum)廣泛使用的ECDSA簽名驗簽花費的時間成本多上3倍.

本文在已有的研究基礎上，為了對不同消息進行合并簽署并驗證，在現有聚合簽名基礎上提升簽名驗簽的效率，同時加強敏感數據的隱私性和匿名性，參照了Yu的Pedersen承諾加Schnorr簽名方案[10]，設計出了BPLSM協議，一種區塊鏈上融合Pedersen承諾與Schnorr協議的安全多方計算協議.通過對該協議進行形式化驗證，證明了BPLSM協議能確保信息在不被泄露情況下證實簽名的合法有效.在此之后，利用此協議設計相關實驗構建了一個半誠實者模型下的簽名驗簽程序.實驗主體邏輯是通過對驗簽不通過的簽名進行舍棄，驗簽通過的抽離出相關簽名信息交由鏈上合約使用承諾時的盲因子和宣告進行解析，得出統和意見后處理事務并公布結果，保證簽署消息的合理性、匿名驗簽的高效可行性.實驗結果證明，在相同驗簽條件下基于BPLSM協議構建的簽名比BLS簽名在驗簽上能節省約83.5%的時間成本.

1 基礎知識

本節主要介紹協議所涉及的基礎知識，包括Pedersen承諾、Schnorr協議以及安全多方計算.

1.1 Pedersen承諾

目前隱私保護方案中使用較為廣泛的密碼學承諾之一便是Pedersen承諾[11].與常見的Hash承諾相比，Pedersen承諾具備同態特性，可直接對密文消息進行操作，即無需破壞敏感數據源就能實現隱匿計算.

在區塊鏈中，橢圓曲線加密(Elliptic Curve Cryptography, ECC)是基礎技術之一.而基于橢圓曲線的Pedersen承諾[12]則是一種構造范圍證明的重要手段.對于一次Pedersen承諾，示證者A向驗證者B發出關于隱私消息m的承諾后，再由B驗證承諾合法性的過程如圖1所示.從圖1中可以看出，該承諾實現方式為：承諾的準備階段在橢圓曲線上選取2個以某個大素數p為階的基點G,H，作為承諾生成時的公共參數.然后在承諾的產生階段，由A產生一個隨機數seed，通過seed按照如下公式計算承諾Commitment并將其發送給B：

Commitment=m*G+seed*H,

(1)

其中，*表示有限域上離散對數運算的二元關系.

Fig. 1 Pedersen commitment interaction process based on elliptic curve圖1 基于橢圓曲線的Pedersen承諾交互過程

在驗證階段，B將會再次接受A從匿名信道發送過來的驗證參數對(m，seed)并按照式(1)計算承諾Commitment′.通過比較Commitment與Commitment′是否相等即可判斷承諾是否正確合法.在此過程中，對于驗證者B，表征在區塊鏈上就是一個驗證承諾的智能合約，也就是由合約獲取驗證參數進行承諾驗證，在一定程度上保證公示結果正確不被篡改.

至于應用方面，Pedersen承諾在當前的基于Mimblewimble協議的交易輸出中包含了約33 B的Pedersen承諾內容以實現保密交易，并結合Bullet-Proofs的零知識證明體系消除對地址和私鑰依賴以實現輕量級的隱私保護[13-14].Pedersen承諾已在數值隱藏、恒等關系驗證以及審計驗證等方面發揮著不可或缺的作用.

1.2 Schnorr協議

作為Sigma協議(Σ-protocol)的一種，非交互式的Schnorr協議[15]是一個非常優秀、簡潔且具備零知識性的安全協議.雖然Schnorr協議于1989年就被提出，但數十年來學界對其探索、研究的熱情絲毫未減，近年來在區塊鏈領域更是大展身手.如零知識數據交換協議zkPoD中，為了另辟蹊徑實現公平交互(fair exchange)，就利用了一個擴展的Schnorr協議結合Pedersen承諾去實現高效性和可擴展性[16].在Schnorr協議研究發展中，各種Schnorr聚合簽名擴展了密碼學橢圓曲線數字簽名的方案，推動了數字簽名的發展.Maxwell等人在2019年的文獻中，也提出基于Schnorr協議的多重簽名方式，并應用到比特幣網絡中[17].

Schnorr聚合簽名可以分為密鑰生成、密鑰集聚和、交互隨機數、生成單一簽名、聚合簽名以及驗證簽名6個步驟.交互過程如圖2所示.

以3個簽名者聚合簽名為例，首先需要彼此之間交換各自的隨機數，然后利用各自的簽名私鑰分別對同一消息進行單一簽名，接著就是對單一簽名進行聚合，生成一個新簽名，最后交由驗證者利用驗證密鑰進行驗證.在此過程中，對于驗證者，表征在區塊鏈上就是一個驗證簽名的智能合約，由合約利用預定義的驗證密鑰對組合簽名進行驗證，保證簽名的合法性.

根據先行研究結合上圖簽名邏輯，不難看出對單一消息的單一簽名或者聚合簽名，Schnorr協議在簽名方案上已經非常成熟.

Fig. 2 Schnorr aggregate signature interaction process圖2 Schnorr聚合簽名的交互過程

1.3 安全多方計算

安全多方計算主要目的是解決互不信任的參與方在保護隱私的前提下協同計算的難題[18].相比傳統的數據保密，安全多方計算的優勢如表1所示：

Table 1 Comparison of Traditional Data Confidentiality and Secure Multi-Party Computation表1 傳統數據保密與安全多方計算的比較

在信息飛速發展的今天，協作情境的出現已經屢見不鮮.安全多方計算輸入隱私性、計算正確性以及去中心化性的技術特點正好滿足了在這樣的場景下參與方希望得到合作利益卻又不希望泄露自己數據的客觀需求.所以，近年來安全多方計算的研究也在不斷深入.Zhu等人[19]在2018年采用動態規劃的方法改進了常數輪的多方計算協議，提升了運算效率.周俊等人[20]也曾在邊緣計算中分析過電子醫療系統中運用安全多方計算時進行隱私保護，并權衡計算開銷.Hastings等人[21]更是在安全頂級會議Security and Privacy 2019上詳盡分析了多個安全多方計算通用框架，并在docker中將構建環境進行了打包，從各個維度評估了這些框架的優劣.

當然，隨著數據隱私問題日益明顯，區塊鏈與安全多方計算的結合也開始被納入加強隱私保護的范疇內.區塊鏈因區塊數據難被篡改的特征往往更加強調計算的可驗證性而不考慮輸入信息的保密性.而安全多方計算則強調的是多方計算過程中對消息的保密性但不能確保數據的可驗證性.故二者可進行優勢互補，一方面區塊鏈利用安全多方計算提升隱私能力，以便于實施到更多的應用場景中；另一方面，安全多方計算可借助區塊鏈技術進行公開透明不被篡改的交易驗證.如智慧醫療、輿情存證、拍賣清算等應用場景上的隱私保護與高效事務處理問題，2種技術的正交為加快分布式網絡中的數據隱私保護提供了可能.

2 安全多方計算協議BPLSM

本節先提出安全多方計算簽名的現狀引出BPLSM協議，然后從BPLSM的架構設計入手，闡釋該協議主要的3個性質并分析其安全性.

2.1 安全多方計算單一簽名現狀

一個簡單的基于區塊鏈的安全多方計算的單一簽名實現如圖3所示：

Fig. 3 Single signature based on secure multi-party computation圖3 基于安全多方計算的單一簽名

從圖3中可以看出簽名參與方在鏈下進行協作簽名且只產生一個統一簽名交由鏈上合約對其驗證，判斷合法性.而在一些多方計算場景中，參與方的選擇可能是多向的，比如投票選舉中參與方投同意票或者否決票、交易仲裁中參與方同意返還資金給買家或者釋放資金給賣家等.面對這樣的多方參與的情形，單一消息的統一簽名往往并不能滿足需求.

因此在保證安全的前提下提升一定的效率是能夠應用的關鍵.本文考慮使用具有同態加法特性的Pedersen承諾對Schnorr協議進行改進，提出了能夠實現對多種不同消息進行聚合簽名并具備在區塊鏈上進行高效驗簽能力的BPLSM協議.

2.2 BPLSM協議架構

本協議的架構設計圖如圖4所示.從圖4中可以看出，首先第一步各簽名參與方進行隱匿消息承諾，公式如下所示：

MCommitmenti=mi*G+seedi*H,

(2)

其中:G和H為有限域橢圓曲線上2個位置不同的固定點;mi為各方簽署的互異消息;seedi為隨機數種子，i∈{1,2,3}.在作出敏感消息的承諾MCommitmenti后，需要將參與三方的消息承諾進行聚合，以便生成一個統一的簽名，交由合約驗證.

Fig. 4 BPLSM protocol architecture圖4 BPLSM協議架構

有關簽名相應的步驟以及計算如下：

1) 參與三方按式(2)生成各自的承諾MCommitment1,MCommitment2和MCommitment3；

2) 各方分別私下生成盲因子r1，r2，r3，并互相公開r1*H，r2*H，r3*H，作為基于盲因子ri的公鑰Ri，i∈{1,2,3}；

3) 根據各自公開的公鑰Ri，定義組合的消息承諾:

(3)

各方將計算得出的組合交易承諾進行Schnorr簽名，即SigMi=ri+SumCom*prkeyi，其中prkeyi為各方的私鑰.并把各自交易宣告declarei，以及使用的seedi通過一個匿名信道分別傳給合約，i∈{1,2,3}；

4) 各方將各自交易的簽名交給最后簽名的一方進行聚合簽名

SigM=SigM1+SigM2+SigM3,

(4)

5) 聚合完成之后，由最后簽名的一方將單一簽名對(R,SigM,MCommitment)提交到合約，其中R=R1+R2+R3.

上述協議簽名步驟，通過利用Pedersen加法同態的特性，在不解密各方交易承諾的條件下，直接對密文形式的交易承諾進行組合運算，使得參與三方消息承諾都加入到隱私計算之中，保證了各方在匿名條件下的發言權.此外，因為最后提交到合約的是一個單一簽名，所以也減少了合約簽名驗算的時間，避免了不必要的計算開銷.

值得一提的是，具體方案設計中，相關簽名參與方是在鏈下完成業務交互后，將對應的數值變化表達成Pedersen承諾，再對承諾數據進行Schnorr簽名進行上鏈操作，這個過程中無需披露任何隱私數據明文.而上鏈之后，雖然區塊鏈分布式網絡中第三方難以通過Pedersen承諾的密文形式反推出隱私數據明文，但是可驗證承諾間的約束關系、簽名的有效性以及核實業務交互的合法性.

2.3 BPLSM協議的3個性質

為了證實研究方法中隱私計算的三大交互性質，本節從完備性、可靠性以及零知識性上進行分析.

2.3.1 完備性

誠實的參與方會按照鏈下簽名邏輯，先生成自己的消息承諾；然后接受其他參與方的消息承諾，計算組合的承諾并進行簽名；最后向合約宣告自己的消息，整個過程并不會向其他參與方泄露自己簽名的承諾，確保了方案流程的完備性.

2.3.2 可靠性

從整個協議隱私加密過程中鏈上承諾驗證和簽名驗證這2個方面的安全性進行分析.關于承諾的驗證是否可靠，可以根據式(1)推導驗證：

(5)

如果式(5)能夠成立，則說明最后提交承諾合法，承諾是可靠的.而關于簽名的驗證是否可靠，可根據式(6)進行推導驗證：

(6)

如果式(6)能夠成立，則表明簽名可靠.各參與方在各方互相公開公鑰Ri前，對需要進行Hash的組合承諾MCommitment是沒有辦法預測的，即使這個組合承諾最終是參與方自己計算的，但參與方并沒有能力通過挑選SumCom實現作弊，因為只要Ri公示之后組合承諾就被固定下來了.

最后，為防止參與方的真實地址會在驗簽結束后被使用的匿名地址所追溯，在每次驗簽結束之后，匿名地址就會被銷毀.

2.3.3 零知識性

鏈上基于Pedersen承諾的隱藏性，在合約未驗證前任何人都無法從承諾中獲取任何有關的敏感數據信息.此外，合約進行驗證時，除了最終的聚合簽名和參與方的共同公鑰，并沒有傳輸大量的數據，驗證簡潔.

對于多方計算進行組合承諾時，各參與方并未暴露自己用于承諾的隨機數seedi，且一方無法通過作弊手段獲取另一方私鑰，即無法學習到有關單個Pedersen承諾內的任何知識，該協議對每個參與方來說是零知識的.

2.4 安全性分析

鏈下實現多重簽名相比鏈上實現多重簽名而言安全性會更高，主要是前者更依賴于密碼學算法，后者更依賴于智能合約，而智能合約在設計上可能會存在漏洞，也就容易存在安全隱患.另外，由于不是每個參與方都需要與合約進行頻繁交互，且用戶地址均已匿名，因而也就降低了用戶被攻擊的風險.安全多方計算中還需要考慮以下3種攻擊者模型.

1) 在誠實者模型中，誠實的參與方總是能夠按照設計準則提供正確交易承諾和簽名，且不竊取其他參與方輸入.

2) 在半誠實者模型中，半誠實參與方按規則提供正確交易承諾，但試圖竊取其他參與方交易承諾的內容.因為單個交易的消息是按Pedersen承諾進行處理的，所以半誠實的參與方要想竊取其他參與方的交易承諾，需要拿到其他參與方生成的隨機數種子seed.但是seed是由各參與方秘密保管的，且每次簽名驗簽時只使用一次，所以只要參與方不串謀就不可能被輕易獲取.另外，對于各參與方的交易簽名，半誠實參與方因為無法獲取交易簽名中的盲因子ri以及用戶私鑰prkeyi，所以交易簽名的具體內容也是很難被竊取的.

3) 對于惡意攻擊模型，惡意參與方可能會提供虛假隱私消息承諾的簽名，并試圖竊取、更改其他參與方隱私交易承諾和結果.比如在存在一個惡意參與方的多方計算中，惡意參與方會提交虛假的承諾，然后使得參與三方組合承諾的計算值不一致，從而破壞簽名驗簽的合法流程.本研究方法并不適用于惡意攻擊模型.

此外，借助Pedersen承諾對簽名的承諾內容進行加密保證，使得任何參與方在合約宣布驗簽結果前都不會知曉組合承諾內容，以應對攻擊者可能的提前終止行為.所以總的來說，對于需要在數據密文形式上直接進行運算和交叉驗證的業務，只要不涉及互不透露數據明文的多方協同計算，相比現有的同態加密算法，以Pedersen承諾為代表的密碼學承諾往往可以提供更好的性能.

3 驗證與模擬實驗

為證實BPLSM協議的可行性，本研究以Go語言和Solidity語言為主，設計了BPLSM協議實驗.為了在簽名驗簽流程上體現出BPLSM協議高效的客觀性，本研究在同等硬件環境下對當前可簽署不同消息的主流聚合簽名之一的BLS簽名進行計算開銷對比實驗.相關實現代碼以及測試代碼參照本頁注腳(1)實驗測試代碼地址：https://github.com/york-yang-me/BPLSM-Protocol.實驗運行的硬件環境如下：

內存：8核8 GB;CPU：intel i7 2.60 GHz;硬盤：448 GB;系統運行環境：windows10家庭版.

補充說明一點，之所以選擇Go語言進行仿真實驗編碼的首選語言是因為Go語言開發效率高、執行性能好且支持并發，所以利用Go語言來編寫鏈下測試代碼模擬多方協同簽名消息是非常方便的.此外Go語言自帶的單體測試和壓力測試功能，也省去了編寫測試簽名的繁瑣代碼的時間.實驗中以3個參與方為基準，構建的BPLSM協議實驗的聚合簽名效率與基于BLS12-381曲線構建的BLS簽名效率的比較信息如圖5所示：

Fig. 5 BPLSM protocol and BLS signature stress test information圖5 BPLSM協議簽名與BLS簽名壓力測試信息

從圖5中不難看出，相同硬件環境下，利用Go語言對BPLSM協議簽名進壓力測試平均消耗的時間比(組合承諾生成時間加上聚合簽名時間)BLS簽名的平均消耗時間要少.

為了更加清晰地查看結果，將圖5上終端測試信息歸總為如表2所示:

Table 2 BPLSM Protocol and BLS Signature Stress Test表2 BPLSM協議簽名與BLS簽名壓力測試

因為BPLSM協議的簽名過程分為組合承諾的生成和聚合簽名的生成，所以需要在壓力測試過程中分成2塊進行分析，而BLS簽名需要多方參與聚合過程只有一次，所以壓力測試的時候只需要對聚合簽名進行測壓.從表2中可以看出同等測壓情況下，BPLSM協議簽名時間開銷成本比BLS簽名低，但是如果撇開效率問題，BPLSM協議牽扯到了2次多方交互的過程，所以簽名的比較還存在一些局限性.因為存在不可控的環境因素，詳細分析請參照4.1節.

驗簽過程需要通過智能合約在區塊鏈上執行，所以本實驗中用Solidity語言在Ganache私有鏈上實現與Go語言中簽名內容相適配的驗簽邏輯.并通過使用truffle框架結合Javascript腳本語言進行驗簽效率的分析.仍然以3個參與方為基準，給出利用truffle框架結合Javascript腳本語言構建BPLSM協議驗簽部分與基于BLS12-381曲線的BLS驗簽部分.單次實驗驗簽測試的信息比較如圖6所示：

Fig. 6 BPLSM protocol verification and BLS signature verification test information圖6 BPLSM協議驗簽與BLS簽名驗簽測試信息

從圖6中不難看出，在測試過程中BPLSM協議驗簽時間為186 ms，而BLS協議驗簽時間卻為2 880 ms.二者驗簽測試結果差異很大.

為了能更加準確地對兩者在以太坊智能合約驗簽上進行效率比對，從而證實設計的BPLSM協議的優勢.我們再次對BPLSM協議驗簽部分和基于BLS12-381曲線的BLS驗簽部分分別進行20次單體測試，以便加強實驗的說服力.如表3所示:

Table 3 BPLSM Protocol and BLS Signature Verification Test表3 BPLSM協議與BLS驗簽測試 ms

從表3中可以看出，本研究設計的BPLSM協議在參與三方中的平均驗簽時間約為幾百毫秒，而BLS簽名的平均驗簽時間約幾千毫秒，也就是說同等實驗環境中BPLSM協議在驗簽效率上要比BLS簽名花費的時間成本少，且無需進行多次單公鑰簽名消息比較即可驗算結果.

為客觀詳實展現實驗現象，圖7以兩者的平均驗簽時間損耗相比較.可以看出，對于該實驗中參與三方的多方計算中，BPLSM的平均驗簽時間為260.8 ms，而BLS的平均驗簽時間為2 908.8 ms.BPLSM協議驗簽時間成本損耗比BLS簽名驗簽節省了約83.5%.

Fig. 7 The average verification efficiency between BPLSM protocol and BLS signature圖7 BPLSM協議與BLS簽名平均驗簽效率

4 討 論

4.1 算力開銷

多方協作的簽名組合放在鏈下執行相比在以太坊合約中設計多重簽名的邏輯而言，利用安全多方計算來提交單一的簽名會節省算力開銷.因為鏈上驗簽是需要消耗節點算力的，而多重簽名的驗證機制就等同于一次簽多個單簽名，也就增加了算力成本的開銷.

另外從第3節的實驗中可以看出，BPLSM協議中多方簽名、驗簽的時間普遍比BLS簽名、驗簽時間快.但實驗中只進行了驗簽部分開銷的分析，并沒有對鏈下簽名部分展開比較，這是因為實驗代碼模擬的是參與三方同時在線的狀態進行的測試.由于BPLSM協議中包含Pedersen承諾與Schnorr簽名2部分，在簽名同時往往需要進行2次交互，這就給簽名時間的損耗帶來了不可控因素，因此并沒有在簽名部分與BLS簽名進行詳細的比較.

4.2 存儲開銷

通過Schnorr協議進行簽名，使用到了公共密鑰的merkle樹來進行存儲.雖然在簽名計算的參與方少且固定的情形里存儲開銷并不是很大，但是如果推廣到參與方多且不固定人數的情形里，存儲空間的開銷就會隨著參與人數增多而不斷地增大.

4.3 隱私承諾

對隱私數據機密性要求高的場景中，Hash承諾不具備隨機性，從而導致提供的數據隱匿性有限.對于單一隱私數據d，H(d)值是恒定的，所以利用Hash彩虹表即可推出H(d)中實際承諾的d.而Pedersen承諾具有便于業務系統在密文形式下對其處理的附加特性，在多個關聯的承諾值間實行加密運算和交叉驗證便會發揮很大的作用.但Pedersen承諾由于不直接提供解密功能，在互不透露的數據明文的多方協同計算中還需要結合其他功能性的密碼學算法進行擴展.

5 總結與展望

本研究從多方計算的場景出發，結合區塊鏈技術提出了一種泛用型數據隱私保護的安全多方計算協議BPLSM.該協議實現了在鏈上驗簽并做到了承諾的保證、加密值的正確性和地址的隱藏，并在鏈下利用Pedersen加法同態的特性實現了組合的交易承諾，結合Schnorr協議構造了可以簽署不同消息的安全多方計算的方案，保證了該鏈下計算方案中參與方身份鑒別的零知識性和交易簽名的正確性.同時，對設計的協議進行了實驗仿真.證實了該隱私計算的解決方案在小范圍人數固定的多方交易中，驗簽的時間成本會比當前的BLS簽名降低約83.5%.

考慮到協議僅在實驗仿真階段，并沒有將設計的BPLSM協議放入更貼近實際的多方應用場景中進行分析.在現實場景中鏈下簽名存在諸多不可控因素，如簽名方不同時在線、漏簽等，因此本研究的下一步工作將會是把協議應用到具體的場景中，如跨境貿易場景，通過BPLSM協議來融合當前主流的零知識證明算法來進一步優化.

此外，BPLSM協議雖然引入隨機數實現了信息論安全的最強隱蔽性，但是隨著Shor算法、Grover算法等量子密碼學算法的出現，在多項式時間內求解離散對數的困難問題開始變得容易[22]，協議中基于橢圓曲線的生成元G和H便不能有效抵抗量子計算的攻擊.如何融入量子同態加密[23]、引入量子比特承諾[24]來設計一個后量子安全的新型多方安全計算協議應用至網絡輿情治理、區塊鏈輿情存證等方面也是接下來的研究發展方向.

貢獻說明:劉峰在創意提出、區塊鏈技術實現及論文撰寫上做出了貢獻，楊杰在形式化推導，核心協議的輔助實現及論文撰寫上做出了貢獻，李志斌(通信作者)在本文的數學推導符號及框架設計上進行了建議和指導，齊佳音(共同通信作者)從文章場景設計角度上進行了建議和指導.