區(qū)塊鏈數(shù)據(jù)隱私保護：研究現(xiàn)狀與展望

王晨旭 程加成 桑新欣 李國棟 管曉宏

1(西安交通大學軟件學院 西安 710049) 2(西安交通大學網絡信息中心 西安 710049) 3(智能網絡與網絡安全教育部重點實驗室(西安交通大學) 西安 710049)

區(qū)塊鏈作為一種分布式賬本技術，實現(xiàn)了“去中心化”的信任，其核心思想及技術體系最早見于中本聰2008年發(fā)表的比特幣白皮書[1].隨著區(qū)塊鏈技術不斷演進，逐步集成了分布式數(shù)據(jù)庫[2]、共識機制[3]、P2P網絡[4]、智能合約[5]及密碼學[6]等技術.區(qū)塊鏈技術憑借其不可篡改、分布式容錯、去中心化等特性，迅速得到學術界和工業(yè)界的關注，被認為是繼移動互聯(lián)網后的第5代互聯(lián)網顛覆性技術[7]，對社會各個領域產生了深遠影響.如今，數(shù)據(jù)已成為寶貴的資源，企業(yè)可以基于收集的數(shù)據(jù)預測未來趨勢、優(yōu)化決策過程、為用戶提供個性化服務等[8]，但同時帶來了數(shù)據(jù)隱私泄露的問題.隨著區(qū)塊鏈技術應用領域的不斷擴展，其面臨的數(shù)據(jù)隱私泄露問題逐漸成為大家的關注重點.

2009年比特幣創(chuàng)世區(qū)塊的誕生標志著催生區(qū)塊鏈技術的比特幣項目正式落地，隨后區(qū)塊鏈在金融領域以數(shù)字貨幣的形式迅速發(fā)展，衍生出類似比特幣的萊特幣[9]、夸克幣[10]、無限幣[11]等幣種，主要應用于貨幣支付.區(qū)塊鏈技術在數(shù)字貨幣領域的應用階段稱為區(qū)塊鏈1.0階段，此時區(qū)塊鏈架構主要圍繞數(shù)字貨幣的發(fā)行與交易支付等需求而設計，在區(qū)塊鏈技術的實際應用中，由于需要保證賬本內容的一致性、可溯源、可驗證性，賬本內容需要對區(qū)塊鏈網絡中的所有節(jié)點公開.因此，比特幣賬本透明性導致的數(shù)據(jù)隱私泄露問題最初并未得到廣泛關注.區(qū)塊鏈技術為保證系統(tǒng)安全性及可驗證性需要公開賬本內容，導致惡意節(jié)點能夠獲取所有賬本信息，通過聚類技術分析賬本信息可以窺探區(qū)塊鏈匿名賬戶與現(xiàn)實用戶之間的身份關聯(lián)關系.目前，數(shù)據(jù)隱私泄露已成為比特幣及其延伸項目面臨的重要潛在問題.

智能合約概念的引入極大增強了區(qū)塊鏈技術的靈活性，拓展了其應用的范圍，標志著區(qū)塊鏈技術進入了2.0階段.智能合約與數(shù)字貨幣的緊密結合在金融領域產生了更加廣泛的應用前景，同時帶來了一定程度的數(shù)據(jù)隱私泄露問題，例如惡意攻擊者可以通過網絡中安全性較為薄弱的節(jié)點監(jiān)聽智能合約的執(zhí)行情況，竊取用戶隱私信息等.通道技術及零知識證明技術[12]為實現(xiàn)區(qū)塊鏈數(shù)據(jù)隱私保護提供了可行的解決方案.2014年Zerocoin協(xié)議[13]演進為Zerocash系統(tǒng)[14]，并于2016年構建成Zcash加密貨幣系統(tǒng)[15].一系列側重隱私保護的加密貨幣的不斷改進，側面反映了區(qū)塊鏈社區(qū)對數(shù)據(jù)隱私泄露問題的重視程度不斷提高.簡潔非交互式零知識證明(zero-knowledge succinct non-interactive argument of knowledge, ZK-SNARK)[16]、環(huán)簽名[17]等密碼學技術實現(xiàn)了一定程度上的數(shù)據(jù)隱私保護，但仍存在數(shù)據(jù)隱私泄露的風險，如采用遠程旁道攻擊可探測Zcash等加密貨幣系統(tǒng)的交易金額、用戶IP地址等隱私信息[18].智能合約的應用及區(qū)塊鏈相關技術導致的數(shù)據(jù)隱私問題已經引起業(yè)內研究與開發(fā)人員的廣泛關注，數(shù)據(jù)隱私泄露問題成為區(qū)塊鏈系統(tǒng)應用開發(fā)面臨的主要問題之一.

區(qū)塊鏈技術是具有普適性的底層技術框架,可以為金融、經濟、科技甚至政務等各領域帶來深刻變革[19].區(qū)塊鏈在金融行業(yè)之外其他領域的應用標志著區(qū)塊鏈發(fā)展進入3.0階段，該階段需要區(qū)塊鏈平臺能夠滿足更加復雜的商業(yè)邏輯及企業(yè)間合作時的數(shù)據(jù)隱私保護需求.數(shù)據(jù)隱私泄露極有可能給企業(yè)和個人帶來致命性打擊.因此，在區(qū)塊鏈系統(tǒng)實際落地前，提出合適的方案解決數(shù)據(jù)隱私泄露問題是必不可少的一環(huán).為滿足更高程度數(shù)據(jù)隱私保護需求，Hyperledger Fabric[20]采用通道隔離機制提供一定程度的數(shù)據(jù)隱私保護功能，F(xiàn)ISCO BCOS[21]則通過配置環(huán)簽名、群簽名、同態(tài)加密等密碼學工具實現(xiàn)數(shù)據(jù)隱私保護.目前針對鏈上數(shù)據(jù)及智能合約的攻擊方法也在逐步增加，區(qū)塊鏈數(shù)據(jù)隱私泄露的問題已經成為區(qū)塊鏈架構設計人員及開發(fā)人員的重要考慮因素.

區(qū)塊鏈在不同發(fā)展階段的成果相互影響促進了區(qū)塊鏈技術的發(fā)展，同時區(qū)塊鏈技術與社會各個領域的結合越發(fā)緊密，諸多傳統(tǒng)數(shù)據(jù)隱私保護方案在區(qū)塊鏈應用中的不適用性和源于區(qū)塊鏈技術自身體系結構所導致的數(shù)據(jù)隱私泄露問題已經逐步暴露出來.為此，本文系統(tǒng)整理了區(qū)塊鏈歷史發(fā)展中遇到的數(shù)據(jù)隱私泄露問題及解決方案，提出針對區(qū)塊鏈系統(tǒng)應用需求的隱私定義及分類，期望為當前及未來區(qū)塊鏈技術數(shù)據(jù)隱私保護方向的發(fā)展研究提供參考.

1 區(qū)塊鏈及數(shù)據(jù)隱私保護概述

區(qū)塊鏈技術最初應用于互聯(lián)網金融領域，旨在解決第三方中心機構的信任問題，為去中心化的交易提供一種信任機制.區(qū)塊鏈技術的核心思想源于2009年發(fā)布實施的比特幣項目，該項目涉及的核心技術主要有密碼學、激勵機制、工作量證明機制、P2P網絡、分布式數(shù)據(jù)庫[1]等技術.該項目簡化了交易流程，達到降低交易成本的目的，實現(xiàn)去中心化的交易體系.

近年來，區(qū)塊鏈數(shù)據(jù)隱私泄露問題已經引起相關研究者的廣泛關注，關于技術和隱私的關系理論可以追溯到19世紀90年代[22].根據(jù)中國區(qū)塊鏈技術產業(yè)和發(fā)展論壇對區(qū)塊鏈隱私的標準定義，隱私指僅與個人利益相關且不需要強制公開的個人信息及個人領域.隱私的主體是自然人，客體是個人信息和個人領域，內容指特定個人對信息和領域的秘而不宣，不愿第三方探知和干涉的事實和行為[23].根據(jù)隱私定義，用戶的隱私數(shù)據(jù)內容可分為2類：

1) 個人信息.直接與用戶真實身份信息相關，例如用戶的真實姓名、電話、年齡、實際住址等隱私信息.

2) 個人領域.間接與用戶真實身份信息相關，例如用戶的公私鑰對、IP地址、交易內容、節(jié)點位置及網絡中用戶收款地址與現(xiàn)實中用戶身份的關聯(lián)關系等隱私信息.

保護以上2類用戶信息的機密性是區(qū)塊鏈數(shù)據(jù)隱私保護技術的首要目標，區(qū)塊鏈的技術要點中存在一定程度的數(shù)據(jù)隱私泄露問題，目前針對各技術的數(shù)據(jù)隱私泄露問題研究者陸續(xù)提出了相應的解決方案.

分布式數(shù)據(jù)庫技術是區(qū)塊鏈核心技術之一，是一種實現(xiàn)數(shù)據(jù)庫在邏輯上統(tǒng)一但物理上分散的技術[24]，具有數(shù)據(jù)透明性、一致性、冗余性等特性.對于比特幣及其延伸項目，分布式數(shù)據(jù)庫中存儲的交易內容公開透明，可由整個系統(tǒng)中的用戶訪問，該特性能夠保證此類區(qū)塊鏈系統(tǒng)具有良好監(jiān)管性.但這一技術也導致了比特幣系統(tǒng)的匿名性不能真正意義上實現(xiàn)用戶身份的匿名化，攻擊者利用賬本的公開透明性可以侵犯用戶的賬戶隱私及交易隱私，如針對賬戶交易模型可通過賬戶聚類技術統(tǒng)計出網絡中的賬號地址和現(xiàn)實生活中用戶的身份信息之間的關聯(lián)，針對UTXO交易模型可通過交易聚類、交易溯源等技術統(tǒng)計出交易之間的關聯(lián)性以及交易和地址之間的關聯(lián)性.

P2P技術為去中心化系統(tǒng)中各對等節(jié)點對賬本內容達成共識提供了橋梁，由對等節(jié)點組成的P2P網絡有其獨特優(yōu)勢，網絡中的節(jié)點功能及地位對等，可以同時處于服務者與被服務者2種角色狀態(tài).集成了P2P技術的區(qū)塊鏈系統(tǒng)實現(xiàn)了去中心化的信任，具有很強的健壯性和可擴展性，但由于其去中心化的架構體系，P2P網絡中存在節(jié)點自身信息隱私泄露及節(jié)點之間通信信息隱私泄露兩大問題.P2P網絡中用戶節(jié)點的性能及安全性通常很難保持一致，因此攻擊者可以通過攻擊網絡中安全性較為薄弱的節(jié)點獲取網絡中的敏感信息從而窺探用戶隱私.攻擊者可以通過在P2P網絡中設置惡意監(jiān)聽節(jié)點、監(jiān)聽及分析節(jié)點之間的通信信息，進一步分析出節(jié)點之間的通信數(shù)據(jù)內容，從而損害整個區(qū)塊鏈網絡的隱私性.

以太坊智能合約的出現(xiàn)對區(qū)塊鏈應用場景的擴展具有劃時代意義，其應用范圍從數(shù)字貨幣領域拓展到了通用計算領域，開發(fā)者已經可以使用編程語言設計一些復雜的業(yè)務邏輯滿足場景需求.在某些應用場景下智能合約本身需要一定的隱私性，例如借貸應用場景中智能合約需要確保自身的保密性，其對數(shù)據(jù)的操作有可能被攻擊者觀察分析并利用統(tǒng)計學方法推測出交易內容[25]，因此智能合約本身的泄露也可能導致攻擊者掌握用戶交易的隱私情況.密碼學的安全技術與智能合約結合構成了隱私智能合約的概念，例如將密碼學中的零知識證明、同態(tài)加密[26]等技術結合智能合約可以有效實現(xiàn)隱私保護，隱私智能合約能夠極大增強用戶交易數(shù)據(jù)的匿名性.此外，智能合約是一種特殊的計算機程序，可能自身存在漏洞，這些漏洞也可能導致隱私數(shù)據(jù)的泄露.

密碼學安全技術為人類社會進入信息化時代奠定了基礎，在整個信息技術領域有著舉足輕重的地位.區(qū)塊鏈體系中融合了大量密碼學安全技術的研究成果，例如比特幣系統(tǒng)中區(qū)塊的哈希鏈式數(shù)據(jù)結構提供了防篡改的特性，公私鑰對密碼體系為比特幣系統(tǒng)提供了用戶匿名性，公鑰基礎設施(public key infrastructure, PKI)系為用戶身份認證提供了保障，數(shù)字簽名技術保證了交易內容的不可篡改性和不可抵賴性.比特幣借助于密碼學相關技術利用“去信任化”的交易模型代替了傳統(tǒng)的基于信任的交易模型，實現(xiàn)了不需要第三方中介參與的電子交易系統(tǒng).密碼學安全技術是區(qū)塊鏈系統(tǒng)實現(xiàn)數(shù)據(jù)隱私保護的關鍵，但密碼學技術存在被破解的可能，如果區(qū)塊鏈系統(tǒng)所使用的密碼學技術被破解，建立在被破解密碼學技術上的區(qū)塊鏈系統(tǒng)的安全性和隱私性將不復存在，例如Shor算法[27]及Grover算法[28]對區(qū)塊鏈體系的威脅性.此外，未來商用量子計算機對基于密集計算型算法的區(qū)塊鏈系統(tǒng)也將帶來一定的沖擊.目前，基于誘騙態(tài)BB84算法[29]的量子秘鑰分發(fā)技術[30]已經走向商用，未來更安全的基于量子糾纏進行量子秘鑰分發(fā)的技術也已出現(xiàn)，區(qū)塊鏈技術應逐步融入針對抗量子計算型的密碼學安全技術以保證區(qū)塊鏈系統(tǒng)的安全性.

區(qū)塊鏈層次結構自上而下依次為：應用層、合約層、激勵層、網絡層、數(shù)據(jù)層，其中數(shù)據(jù)層、網絡層和共識層為區(qū)塊鏈技術的核心元素.數(shù)據(jù)層、網絡層及應用層與區(qū)塊鏈數(shù)據(jù)隱私威脅問題緊密相連，祝烈煌等人[31]從數(shù)據(jù)層、網絡層及應用層角度出發(fā)對數(shù)據(jù)隱私威脅進行分析并總結出相應的數(shù)據(jù)隱私保護解決方案.本文針對區(qū)塊鏈技術要點及應用場景，對區(qū)塊鏈技術的隱私內容進行了細致的分類，依次為鏈上數(shù)據(jù)隱私、針對智能合約的鏈碼隱私、針對P2P網絡的網絡隱私、針對跨鏈技術的跨鏈隱私、針對實際應用場景的區(qū)塊鏈應用隱私，基于以上分類提出了相應的隱私威脅及挑戰(zhàn)并給出相應解決方案，表1總結了區(qū)塊鏈技術面臨的隱私問題分類及相關解決方案.最后，結合區(qū)塊鏈技術的發(fā)展趨勢，本文討論了區(qū)塊鏈數(shù)據(jù)隱私保護未來可能的研究方向.

Table 1 Categories of Blockchain Privacy Issues and Related Technologies for Privacy Preserving表1 區(qū)塊鏈隱私分類及實現(xiàn)隱私保護的相關技術

2 區(qū)塊鏈數(shù)據(jù)隱私保護問題及挑戰(zhàn)

2.1 鏈上數(shù)據(jù)隱私及威脅

鏈上數(shù)據(jù)隱私包括區(qū)塊鏈網絡中任何與用戶個人信息及個人領域相關的數(shù)據(jù)信息，共分為3類：

1) 交易隱私.交易發(fā)起方、接收方、交易金額、用戶交易特征等隱私信息.

2) 賬戶地址隱私.賬戶地址余額、賬戶之間交易聯(lián)系等隱私信息.

3) 用戶身份信息.用戶真實姓名、年齡、住址、身份證號等隱私信息.

比特幣采用基于未花費交易輸出集(unspent transaction outputs, UTXO)的交易模型，交易的公開透明性及開放性允許任何加入?yún)^(qū)塊鏈網絡的用戶能夠輕易獲取詳細交易內容，同時區(qū)塊鏈的鏈式數(shù)據(jù)結構以及Merkle樹結構可以保證系統(tǒng)中發(fā)生的每一筆交易都可以輕松溯源.盡管比特幣憑借假名機制保證了一定的匿名性，但它仍然存在許多隱私問題.

Fig. 1 An example sub-network from the transaction network[32]圖1 交易網絡中子網絡示例[32]

Reid等人[32]于2013年下載了2009-01—2011-07比特幣系統(tǒng)的公開賬本數(shù)據(jù),局部交易網絡如圖1所示，網絡中的節(jié)點表示一次交易，有向邊表示交易之間的輸出-輸入對，每條邊同時標記了交易金額以及時間戳，從而構建了比特幣的交易網絡.假設一個交易的多個輸入地址屬于同一個用戶，基于該假設，可以聚合同一用戶的所有地址并構建如圖2所示的用戶網絡，菱形表示公鑰(地址)，圓圈表示不同用戶，從而揭示出用戶的比特幣資金余額及流向.

Fig. 2 An example sub-network from the user network[32]圖2 用戶網絡局部示例[32]

Androulaki等人[33]基于真實的比特幣系統(tǒng)和一個模擬器模擬大學環(huán)境中比特幣使用情況，對比特幣系統(tǒng)的匿名性進行了評估.該實驗有2個假設，假設1：一個交易的多個輸入地址屬于同一用戶；假設2：找零地址與輸入地址屬于同一個用戶.基于假設1與假設2對模擬器輸出的交易信息進行預處理，將結果提交至聚類算法，實驗結果表明近40%的用戶數(shù)據(jù)信息可以被揭露出來.Ron等人[34]下載了比特幣的完整歷史，通過研究用戶行為、比特幣輸入輸出情況，得出其關聯(lián)交易圖的許多統(tǒng)計特性，結果表明用戶采取資產轉移以保護自身資產隱私的方法不能有效保護個人隱私.此外，論文還分析了系統(tǒng)中所有的大型交易，并發(fā)現(xiàn)了一個被人使用長鏈和分叉操作來精心隱藏的事實——幾乎所有交易都與2010年11月發(fā)生的一個大型交易密切相關.

此類假設及攻擊方法基于比特幣系統(tǒng)自身設計缺陷，通過分析賬本內容對比特幣系統(tǒng)去匿名化從而獲得地址之間關聯(lián)，從而削弱比特幣系統(tǒng)的匿名性.Meiklejohn等人[35]進一步研究了比特幣系統(tǒng)的匿名性，通過使用啟發(fā)式聚類分析算法對比特幣錢包進行分組，然后對用戶進行分類，從而識別出同一個用戶的不同地址.作者對一些公開地址以及違法犯罪相關案件進行了分析，發(fā)現(xiàn)了許多與案件涉及與交易地址相關聯(lián)的其他地址.2015年，Monaco等人[36]基于對比特幣長期交易行為的觀察，基于行為生物統(tǒng)計學思想和動態(tài)網絡特征提出了一種識別和驗證比特幣用戶的新方法，實驗結果表明隨著時間推移用戶的匿名性無法得到保證.

2.2 智能合約隱私及威脅

智能合約概念的提出為區(qū)塊鏈提供了更廣闊的應用場景，但智能合約技術在實際應用時有可能導致數(shù)據(jù)隱私的泄露.用戶發(fā)起函數(shù)調用后系統(tǒng)會構建智能合約交易，區(qū)塊鏈系統(tǒng)中的許多節(jié)點會對該交易進行處理，這要求與交易相關的操作和數(shù)據(jù)需要對所有節(jié)點開放，在處理敏感數(shù)據(jù)的應用場景時會存在隱私泄露的問題，如投票方案、醫(yī)療數(shù)據(jù)收集等[37].如何處理敏感數(shù)據(jù)與智能合約的關系需要進一步研究.以拍賣合同為例，實現(xiàn)一個基于以太坊的拍賣合同系統(tǒng)并不困難，但是建立一個密封投標機制的拍賣系統(tǒng)并不容易.密封投標拍賣的工作原理大致為:在投標階段，投標人向拍賣人提交密封投標，每個投標人的投標金額對其他投標人不可見，隨后投標被解封，通過比較投標金額選擇獲勝者.但是以太坊的所有交易金額都是公開的，如何結合智能合約實現(xiàn)數(shù)據(jù)隱私保護是目前面臨的一個挑戰(zhàn)[38].

如果智能合約代碼編寫不當，則其在執(zhí)行過程中會引發(fā)漏洞[39]，進而導致數(shù)據(jù)隱私的泄露.智能合約作為計算機系統(tǒng)程序的一種特殊形式，本身難以擺脫漏洞[40].智能合約在執(zhí)行前需要編譯成二進制字節(jié)碼，利用智能合約分析工具，如Oyente[41]等開源工具，可以對智能合約的漏洞進行分析.雖然某些系統(tǒng)在設計保護隱私的加密貨幣方面取得了一定的成果，如Zerocash[14],Zerocoin[13]和其他加密貨幣系統(tǒng)，但這些系統(tǒng)放棄了可編程性，并且尚不清楚如何在不向礦工公開明文中交易和數(shù)據(jù)的前提下實現(xiàn)可編程性.

智能合約在執(zhí)行前需要被部署到區(qū)塊鏈節(jié)點上，由于區(qū)塊鏈網絡節(jié)點的物理分散性，部分節(jié)點可能存在性能差、安全性差等情況[27].通過入侵區(qū)塊鏈網絡中安全較為薄弱的節(jié)點，節(jié)點上部署過的所有智能合約存在被攻擊者非法竊取的可能.智能合約本身的泄露對借貸等需要合約隱私性的應用場景來說是致命的，攻擊者可以利用獲取的智能合約分析合約的關聯(lián)賬戶，進而推測出現(xiàn)實生活中與合約內容相關的用戶行為，與現(xiàn)實生活中的用戶進行身份綁定.此外，攻擊者可以利用獲取的智能合約進行漏洞分析，進而利用漏洞對整個系統(tǒng)進行攻擊和系統(tǒng)隱私數(shù)據(jù)的竊取，其結果可能導致災難性的系統(tǒng)安全問題及數(shù)據(jù)隱私泄露.

2.3 網絡隱私及威脅

2.3.1 針對網絡通信的隱私及威脅

相較于比特幣項目提供的假匿名性，以目前市值最大的Zcash和Monero[42]為代表的加密貨幣系統(tǒng)在設計之初，通過使用ZK-SNARK和環(huán)簽名等先進的密碼學技術實現(xiàn)了數(shù)據(jù)隱私保護核心功能[18].盡管Zcash中應用的ZK-SNARK技術為交易信息機密性提供了良好保護、環(huán)簽名技術為交易用戶的身份匿名性提供了良好支持，但在遠程環(huán)境下利用遠程旁道攻擊仍然可以窺探交易內容及用戶身份信息，破壞交易機密性、不可追溯性、不可鏈接性及用戶匿名性.攻擊者利用在實現(xiàn)不同系統(tǒng)組件時泄露的旁道信息，可以將用戶的所有交易鏈接起來，破壞交易的不可鏈接性，如對交易發(fā)送方和接收方的流量進行分析實施計時攻擊，通過監(jiān)聽證明者與錢包之間的流量信息利用生成證明的時間間隔判斷交易金額，破壞交易機密性；通過交易和錢包收匯款人地址之間的驗證時間間隔，推斷出交易與錢包地址之間的關聯(lián)從而破壞交易的不可追溯性；將用戶IP與用戶的P2P節(jié)點鏈接起來從而推斷用戶的實際物理位置破壞用戶匿名性.

2.3.2 針對網絡節(jié)點的隱私及威脅

由于任意節(jié)點均可接入比特幣系統(tǒng)，因此攻擊者可以利用掃描技術、拓撲結構探測等信息收集技術對比特幣網絡進行探測攻擊.2013年，Reid等人[33]首次在小范圍內通過模擬和分析比特幣系統(tǒng)中用戶的使用情況，對比特幣項目隱私安全進行了較為全面的分析，實驗結果表明：即使采用比特幣建議的隱私保護方法，用戶的隱私也無法得到保證，攻擊者利用探測攻擊可大量掃描區(qū)塊鏈系統(tǒng)中的節(jié)點，獲取節(jié)點的IP地址信息并分析網絡規(guī)模，通過主動和被動監(jiān)聽的方式繪制整個系統(tǒng)的網絡拓撲[31].Bitnodes[43]通過在大范圍內部署探測節(jié)點獲取其他比特幣節(jié)點信息,進而繪制出整個比特幣系統(tǒng)的網絡拓撲，甚至暴露節(jié)點的物理位置信息.當系統(tǒng)的網絡拓撲與一些溯源技術相結合時就會嚴重危害用戶的數(shù)據(jù)隱私安全.

此外，由于網絡中的節(jié)點通常是個人電腦，在性能和安全性方面較為薄弱，因此容易受到攻擊者的攻擊和入侵.區(qū)塊鏈網絡是對等網絡，物理位置較為分散，因此想要對整個網絡采取相同的安全措施較為困難.由于區(qū)塊鏈對等網絡中的數(shù)據(jù)冗余性，入侵者可以找到一些安全較為薄弱的節(jié)點實施入侵，造成數(shù)據(jù)隱私的泄露[31].

2.4 跨鏈數(shù)據(jù)隱私及威脅

區(qū)塊鏈應用落地過程中正在形成新的“數(shù)據(jù)孤島”，跨鏈技術作為未來的發(fā)展方向，能夠實現(xiàn)不同鏈之間的價值傳遞.聯(lián)盟鏈及其落地應用更需要跨鏈技術來突破“圍墻花園”，在不同聯(lián)盟鏈中進行跨鏈操作時通常需要保證數(shù)據(jù)及賬戶地址的隱私性，而利用跨鏈技術在同構鏈或異構鏈之間進行數(shù)據(jù)交換時，跨鏈數(shù)據(jù)往往面臨數(shù)據(jù)隱私泄露的問題，不同鏈之間的系統(tǒng)架構及實現(xiàn)數(shù)據(jù)隱私保護的方式可能存在差異，這將導致跨鏈數(shù)據(jù)隱私保護面臨進一步的挑戰(zhàn).

在保障跨鏈數(shù)據(jù)隱私的前提下，各參與跨鏈的區(qū)塊鏈系統(tǒng)需要保證其系統(tǒng)的安全性和數(shù)據(jù)隱私性，任何一方的系統(tǒng)安全性或數(shù)據(jù)隱私性存在問題都將導致跨鏈數(shù)據(jù)及相關賬戶地址的隱私泄露.此外，一些跨鏈技術在實現(xiàn)的過程中可能需要跨鏈橋，例如Raze網絡[44]在實現(xiàn)不同鏈之間跨鏈隱私時需要Raze橋作為數(shù)據(jù)交換時的中間件，攻擊者通過部署監(jiān)聽節(jié)點收集跨鏈橋上的通信數(shù)據(jù)，可能進一步分析出傳輸?shù)木唧w內容，跨鏈橋的安全性及數(shù)據(jù)隱私性將直接影響到跨鏈過程中能否保障數(shù)據(jù)的隱私性.

2.5 區(qū)塊鏈應用隱私及威脅

區(qū)塊鏈技術在實際應用場景中存在隱私泄露問題，這類隱私泄露問題通常并非來源于區(qū)塊鏈技術本身，而是由其他涉及區(qū)塊鏈應用隱私泄露的主體造成，主要為區(qū)塊鏈系統(tǒng)的用戶及服務商.

許多用戶的隱私及安全觀念較為淡薄，在系統(tǒng)權限申請時很有可能會采取默認同意授權的方式，這為攻擊者獲取用戶與區(qū)塊鏈之間的交互數(shù)據(jù)提供了可乘之機.第三方對用戶數(shù)據(jù)進行收集分析的情況并不少見，Englehardt等人[45]使用開源隱私測量工具OpenWPM1[46]對100多萬個網站進行了測試，實驗結果表明以購物網站為代表的許多網站上充斥著第三方數(shù)據(jù)隱私追蹤工具.追蹤者可以在匿名貨幣交易時獲取支付流等敏感信息，如商品標識及價格等信息，通過收集足夠的購買信息并將其與區(qū)塊鏈上的交易形成一對一的對應關系，再與用戶的cookie進行關聯(lián)，進而綁定用戶身份.攻擊者可以進一步將多個交易與區(qū)塊鏈交易信息聯(lián)系起來，從而識別用戶在整個區(qū)塊鏈網絡中的交易群及地址群.此外，用戶自身對賬戶地址和密鑰的保存方式不當也將導致嚴重的隱私問題，例如在論壇公開自身賬戶地址，攻擊者可以利用論壇上用戶的相關身份信息關聯(lián)到實際生活中用戶的身份信息，進而關聯(lián)到區(qū)塊鏈網絡中的賬戶地址.由于用戶自身密鑰保存不當，攻擊者獲取密鑰后即可獲取該用戶在區(qū)塊鏈網絡中所有的用戶信息，造成嚴重的隱私泄露問題.

服務商同樣存在因操作不當或服務漏洞而導致隱私泄露的可能，例如進行權限管理操作時為權限較低的用戶授予了較高的權限，導致低權限用戶能夠獲取權限之外的信息.2018年，IOTA[47]重大盜幣事件的發(fā)生為區(qū)塊鏈應用層的隱私性及安全性敲響了警鐘，此次事件造成了1 140萬美元的損失.盜幣事件發(fā)生的原因并非是IOTA區(qū)塊鏈協(xié)議存在漏洞，而是攻擊者利用IOTA為用戶在線生成密鑰的Trinity錢包插件的漏洞，通過攻擊Trinity錢包插件不斷收集用戶生成的密鑰種子，結合分布式拒絕服務攻擊攻擊(distributed denial of service, DDOS)阻止受害者收回資金，從而完成整個盜幣過程.與此同時，被攻擊者的身份信息及交易信息也可以被攻擊者輕松獲得，利用這些敏感信息，攻擊者可以將區(qū)塊鏈系統(tǒng)中的賬戶信息與現(xiàn)實生活中的用戶身份信息進行關聯(lián)，從而導致嚴重的隱私泄露問題.

區(qū)塊鏈是比特幣等加密電子貨幣的核心技術，對于實現(xiàn)安全、分散和開放的物聯(lián)網革命至關重要.傳統(tǒng)的集中式服務商可以非法使用物聯(lián)網數(shù)據(jù)實施大規(guī)模的監(jiān)控項目，如2017年美國國家安全局利用蘋果用戶的私人數(shù)據(jù)實施了棱鏡項目.區(qū)塊鏈技術結合物聯(lián)網可有效避免第三方中心機構掌控用戶私人數(shù)據(jù)，進而避免發(fā)生損害用戶數(shù)據(jù)隱私的行為.物聯(lián)網是一種新的范式，它對工作、家庭、自動化及制造等領域產生了巨大的影響，有著巨大的發(fā)展?jié)摿48].在物聯(lián)網場景中，區(qū)塊鏈與物聯(lián)網結合盡管可以提供諸多好處，通過系統(tǒng)設計將隱私內置于物聯(lián)網設備中，分散的物聯(lián)網設備將為用戶提供新的選擇.在沒有第三方中心機構的情況下，用戶可以自己決定是否與第三方共享私人數(shù)據(jù)或出售傳感器數(shù)據(jù)，私人數(shù)據(jù)將成為用戶自己的財產.但在實際物聯(lián)網應用場景中，由于智能物聯(lián)網設備通常會在沒有用戶實際控制的情況下運行，因此隱私泄露問題依然嚴峻.

3 區(qū)塊鏈數(shù)據(jù)隱私保護解決方案

針對區(qū)塊鏈數(shù)據(jù)隱私泄露問題，本節(jié)從信息混淆機制、信息加密機制、通道隔離機制和權限限制機制4個方面詳細介紹目前區(qū)塊鏈數(shù)據(jù)隱私保護的解決方案.

信息混淆機制將交易方的地址信息、交易內容、交易方的身份信息進行混淆，解決鏈上交易隱私、用戶身份隱私、賬戶地址隱私等問題；信息加密機制通過零知識證明、同態(tài)加密等加密技術對鏈上交易數(shù)據(jù)進行加密實現(xiàn)真實數(shù)據(jù)的隱藏，抵抗交易溯源、賬戶溯源等攻擊，將加密機制與智能合約結合形成隱私智能合約可以解決交易數(shù)據(jù)隱私和跨鏈隱私問題；此外，信息加密機制通過洋蔥路由、大蒜路由等技術抵御部署節(jié)點監(jiān)聽網絡的攻擊，實現(xiàn)網絡信息隱藏；通道隔離機制通過閃電網絡、雷電網絡技術將用戶間的交易移至鏈下進行，詳細的交易信息不記錄在區(qū)塊鏈上，解決了區(qū)塊鏈網絡節(jié)點監(jiān)聽的問題.鏈上通道隔離技術將節(jié)點劃分到不同的通道，每個節(jié)點只能訪問所屬通道內的信息，解決了節(jié)點間的隱私威脅；權限限制機制通過限制節(jié)點接入和限制信息發(fā)布解決用戶端隱私、服務器端隱私和節(jié)點接入的隱私問題.

3.1 信息混淆機制

混幣機制的核心思想最早源于1981年Chaum[49]發(fā)表的文章，利用第三方機構中轉信息，對交易的輸入輸出進行混淆，從而隱藏通信雙方的實際身份，實現(xiàn)匿名通信.混幣機制是一種改變交易過程但不改變交易結果的解決方案，可歸類為信息安全中的數(shù)據(jù)失真隱私保護技術.攻擊者通過溯源技術可以揭露多個交易地址之間的關聯(lián)性，混幣機制在交易輸入方及輸出方之間進行交易混淆，使攻擊者無法有效區(qū)分交易輸入方及交易輸出方，實現(xiàn)對交易地址之間關聯(lián)性的隱藏，從而保證鏈上交易數(shù)據(jù)的隱私安全.在數(shù)字貨幣領域，根據(jù)有無第三方節(jié)點參與混幣過程，可將混幣機制分為中心化混幣和去中心化混幣2類.

3.1.1 中心化混幣

中心化混幣需要第三方服務商提供混幣服務，混幣過程由第三方服務執(zhí)行.混幣交易將多個交易用戶的資金進行混合，將混合之后的資金輸出至用戶提供的輸出地址，混幣服務的過程中需要收取一定額度的手續(xù)費.中心化混幣協(xié)議交易過程有4個階段：

1) 協(xié)商階段.交易用戶與第三方混幣服務商協(xié)定交易細節(jié)，如混幣的金額、約定用戶的輸入地址、輸出地址、混幣輸入輸出時間、第三方混幣服務商的接收地址和輸出地址、混幣服務手續(xù)費等.

2) 輸入階段.交易用戶將約定的混幣金額從輸入地址發(fā)送到第三方混幣服務商接收地址.

3) 輸出階段.第三方混幣服務商扣除約定的手續(xù)費，然后將資產輸出至交易用戶的輸出地址.

4) 結束階段.混幣協(xié)議正常結束后，為保護用戶的隱私，所有交易用戶和第三方混幣服務商需要刪除本次混幣的協(xié)商記錄.

中心化混幣協(xié)議簡單可行，目前已有許多第三方服務商提供混幣服務.但中心化混幣需要第三方節(jié)點作為中介，因此存在2個問題：

1) 信任問題.中心化混幣協(xié)議缺乏對第三方混幣服務商的問責機制，存在內部作惡的可能性.參與混幣的用戶無法確定自己的資產是否被盜刷，以及第三方混幣服務提供商是否真正刪除了協(xié)商記錄等.

2) 第三方混幣服務商提供混幣服務時可能在交易時間、交易地址等方面存在規(guī)律，導致攻擊者可以通過這些規(guī)律分析混幣交易，進而對交易用戶的輸入輸出地址進行關聯(lián).

Bonneau等人[50]提出了基于中心化混幣的Mixcoin協(xié)議，增加了獨立的加密問責機制保障用戶的交易隱私，當用戶隱私被竊取時，用戶可以通過發(fā)布服務商的簽名來降低服務商的信譽.該協(xié)議采取隨機混合費用的方案避免了攻擊者通過固定混合費用分析交易隱私的可能性，并將所有用戶的任意組合交互放入匿名集，實現(xiàn)了混淆的不可區(qū)分性.Mixcoin借助匿名通信網絡將多個混合交易鏈接在一起形成比特幣混合網絡從而增加了攻擊難度，此方案已應用于比特幣交易.

Mixcoin存在內部作惡的可能，用戶的輸入輸出地址之間的映射對于混合服務提供商是可見的.Valenta等人[51]在Blindcoin中修改了Mixcoin協(xié)議，利用盲簽名和公共日志技術保證用戶輸入輸出地址間的映射對于混合服務提供商是不可見的.即使遭受惡意攻擊，Blindcoin協(xié)議也能保證用戶的強匿名性，且該協(xié)議可以抵御拒絕服務攻擊.目前，該協(xié)議已應用于比特幣交易.

3.1.2 去中心化混幣

中心化混幣通過第三方混幣服務商實現(xiàn)交易信息的隱藏，但存在第三方泄露隱私的風險.為了徹底解決潛在的風險，Maxwell[52]最早在比特幣論壇提出了基于去中心化思想的混幣機制，利用用戶約定的多方協(xié)議實現(xiàn)混幣，從根本上解決了中心化混幣的潛在風險.去中心化混幣的交易流程分為4個階段：

1) 協(xié)商階段.參與混幣的用戶共同協(xié)商混幣協(xié)議的參數(shù).主要參數(shù)包括各個用戶混幣的金額、混幣的輸入地址、輸出地址等.

2) 混淆階段.根據(jù)去中心化混幣協(xié)議對所有協(xié)商的輸出地址進行混淆，同時隱藏用戶的輸入輸出地址間的聯(lián)系，保證用戶的匿名性.

3) 確認階段.經過混淆階段得到交易的輸出地址，根據(jù)交易輸出地址進行交易，確認輸出地址和交易無誤后廣播交易信息，將資產發(fā)送到對應的輸出地址.

4) 結束階段.若混合過程無錯誤信息，且去中心化混幣協(xié)議正常結束，則所有參與此次混合的用戶刪除此次交易記錄，混合交易結束；若混合過程出現(xiàn)錯誤，去中心化混幣協(xié)議出現(xiàn)異常，則需要所有參與用戶找出并排除惡意用戶，剩余的用戶重新進行混合交易.

去中心化混幣不需要第三方的參與，節(jié)省了服務費用.但是去中心化混幣易受到惡意攻擊，通常需要對去中心化混幣協(xié)議進行改進以增強其安全性，解決方案主要分為2類：

1) 改進虛擬貨幣協(xié)議

2013年，Maxwell[52]提出了基于去中心化思想的Coinjoin協(xié)議，該協(xié)議將來自各個參與者的多個交易合并為一個交易，通過隱藏交易輸入方及輸出方之間的對應關系，構造混幣交易，使攻擊者無法通過交易信息得到輸入和輸出之間的關系[31].該協(xié)議雖然提高了用戶的隱私保護能力，但對于行為不端的用戶缺乏彈性.如果參與混合的單個用戶在確認階段拒絕簽名，則整個交易就會失敗，因此Coinjoin協(xié)議易遭受DOS攻擊.

2014年，Ruffing等人[53]在Coinjoin協(xié)議基礎上提出了一個完全去中心化的混合協(xié)議：CoinShuffle協(xié)議，該協(xié)議規(guī)定至少有2個誠實的參與者，允許用戶以完全匿名的方式使用比特幣及其他數(shù)字貨幣.首先，每個參與者需要生成一個臨時的加解密密鑰對并對公鑰進行廣播；隨后，參與者按照一定順序進行排列，每個用戶使用其他所有參與者的公鑰對自己的輸出地址進行多層加密得到新的輸出地址，然后將新的輸出地址發(fā)送給下一用戶，混合過程保障了數(shù)據(jù)的隱私性.CoinShuffle通過問責制確保交易完成.如果協(xié)議失敗，則進入責備階段.

2017年，Ruffling等人[54]在Coinjoin和Coin-Shuffle++協(xié)議的基礎上提出了ValueShuffle協(xié)議.該協(xié)議集成了保密交易、隱形地址和混合技術實現(xiàn)了全面隱私保護，包括付款人匿名、收款人匿名和支付價值隱藏，任何攻擊者都不能鏈接到事務的輸入和輸出.ValueShuffle可以在同一筆交易中混合不同價值的資金，Dos攻擊只能延遲但無法阻止協(xié)議的執(zhí)行.為了避免攻擊者將事務的輸入與網絡級標識符聯(lián)系起來，建議使用外部匿名通信方式.

2) 引入新的虛擬貨幣

2013年，Miers等人[13]在比特幣中加入了去中心化的加密匿名電子現(xiàn)金協(xié)議Zerocoin，通過解除交易與支付來源的鏈接關系解決隱私泄露問題.基于數(shù)字承諾新型架構的Zerocoin利用零知識證明實現(xiàn)了強匿名性，有效防止了雙重支付攻擊，但Zerocoin實現(xiàn)隱私所需的成本較高.Garman等人[55]在Rational Zero中改進了Zerocoin協(xié)議，加強Zerocoin匿名性的同時降低了零知識證明的資源消耗，并且確保偽造一個零幣比挖礦的代價更大.但在Zerocoin交易過程中，會顯示交易的目的地址和交易金額.Ben-Sasson[16]等利用ZK-SNARKs的最新技術構建了一個基于分類賬且隱私保護能力更強的數(shù)字貨幣——Zerocash.該協(xié)議制定并構建了分散匿名支付方案，隱藏交易的支付來源、目的地址和交易金額，用戶可以直接進行私下交易；Zerocash交易效率比匿名性較低的Zerocoin高出多個數(shù)量級，具有較強的可用性.

3.2 信息加密機制

3.2.1 鏈上信息隱藏

傳統(tǒng)的區(qū)塊鏈交易過程中，交易信息被記錄在賬本中，攻擊者通過賬本信息獲取用戶賬戶地址、交易的金額等隱私信息.為了隱藏交易過程中相關信息，研究者們提出了同態(tài)加密、差分隱私、零知識證明、環(huán)簽名、承諾方案、安全多方計算、基于屬性的加密、可信硬件執(zhí)行環(huán)境等技術實現(xiàn)數(shù)據(jù)隱私保護.安全多方計算的輸入隱私特性和隱私數(shù)據(jù)聯(lián)合計算功能結合隱私智能合約，保證用戶輸入數(shù)據(jù)的隱私.

1) 零知識證明(zero-knowledge proof)

20世紀80年代，Goldwasser等人[56]提出了零知識證明，其核心思想是證明者在不需要向驗證者提供任何額外信息的前提下，使驗證者相信某個論斷是正確的.零知識證明分為交互式零知識證明(又稱“基礎零知識證明”)和非交互式零知識證明.交互式零知識證明通過證明者和驗證者之間不斷論述，且在論述過程中不提供任何與隱私相關信息的前提下，使驗證者相信證明者論斷的正確性.但是交互式零知識證明無法對證明方和驗證方提前串通的行為作出判斷，需要額外工作使可信第三方信服.非交互式零知識證明通過機器或程序進行試驗且試驗序列是保密的，不需要證明者與驗證者之間的交互，完全隱藏了賬本中有關交易的信息，只記錄交易的存在性，解決了交互式零知識證明存在的隱患.

在區(qū)塊鏈應用中，Zerocash和Zerocoin分別通過ZK-SNARKS技術、零知識證明技術隱藏了交易過程中的賬本信息.2016年Kosba等人[57]提出了一種去中心化且能保證隱私性的智能合約框架Hawk，區(qū)塊鏈系統(tǒng)不記錄交易的明文信息，以此保護交易數(shù)據(jù)的隱私安全.Hawk的編譯器可以對未加密的智能合約自動生成高效的密碼協(xié)議，交易參與者使用零知識證明等密碼原語與區(qū)塊鏈進行交互，確保智能合約正確執(zhí)行.Hawk不僅能夠保證鏈上隱私，而且能夠保證同一智能合約中各方彼此之間的隱私.

2020年，基于零知識證明的以太坊智能合約隱私協(xié)議Zether被Bünz等人[38]提出.該協(xié)議以Zether智能合約(zether smart contract, ZSC)的形式部署在以太坊區(qū)塊鏈上，交易過程中的交易地址、賬戶余額和交易信息始終保持加密狀態(tài)從而確保數(shù)據(jù)隱私安全，實現(xiàn)了匿名支付.學者們利用Bulletproofs和Σ協(xié)議的特性提出了新的零知識證明機制：Σ-Bullets，并且創(chuàng)建了隱私賬戶體系，進一步增加了協(xié)議的安全性和可用性.Zether協(xié)議主要應用場景包括保密支付、私密權益證明、保密支付、保密權益投票、保密競拍等.Zether隱私協(xié)議存在成本高、網絡狀況對交易結果影響較大等問題.類似Zether的其他隱私協(xié)議包括AZTEC[58],Flyclient[59],PGC[60]等.

2) 同態(tài)加密(homomorphic encryption)

20世紀70年代，Rivest等人[61]首次提出同態(tài)加密的概念，數(shù)據(jù)經過同態(tài)加密之后再進行運算得到的結果解密后，與對明文直接進行同樣運算得到的結果一致.同態(tài)加密技術隱藏了真實的賬本信息，具有較高的安全性.即使同態(tài)加密結果被成功解密，攻擊者仍無法知道加密前具體的數(shù)據(jù)信息，提高了信息的安全性和隱蔽性.

在區(qū)塊鏈應用中，同態(tài)加密技術與智能合約的結合能夠實現(xiàn)數(shù)據(jù)隱私保護.交易數(shù)據(jù)經過同態(tài)加密后發(fā)送至智能合約，智能合約對加密之后的數(shù)據(jù)進行處理，且只記錄加密后的數(shù)據(jù).攻擊者無法得知加密前的數(shù)據(jù)，保證了賬本信息的隱藏.2009年，Gentry[26]提出了全同態(tài)加密算法，加密后的數(shù)據(jù)可以通過全同態(tài)加密算法可以得到與原始數(shù)據(jù)的任意運算規(guī)則相對應的運算規(guī)則，從而保證數(shù)據(jù)的同態(tài)性.但是全同態(tài)加密算法效率低，無法被大規(guī)模的使用.2011年，Brakerski等人[62]對Gentry提出的全同態(tài)加密算法進行改進，提出了基于錯誤學習和環(huán)錯誤學習假設的同態(tài)加密算法：BGV算法.為了降低解密的復雜度、減小密文的尺寸，BGV算法使用了新的模型轉換和維數(shù)約化方法，提高了全同態(tài)加密的效率.為了突破全同態(tài)加密密鑰計算的瓶頸，Gentry等人[63]在2013年提出了GSW13算法，設計了基于屬性和身份的全同態(tài)加密方案.GSW13算法的加密密鑰由每個用戶的公鑰組成，用戶生成自己的公鑰和私鑰，不需要額外資源進行密鑰計算從而提高了全同態(tài)加密的效率，得到了廣泛的應用.

然而，利用公鑰全同態(tài)加密技術實現(xiàn)區(qū)塊鏈中的數(shù)據(jù)隱私保護，計算開銷與通信開銷巨大.為了解決公鑰全同態(tài)加密開銷大的問題，Zhou和Cao等人[64]提出了輕量級的全同態(tài)映射數(shù)據(jù)封裝機制，實現(xiàn)了高效的密態(tài)計算.該機制通過減少公鑰加密、解密的使用次數(shù)，不依賴公鑰全同態(tài)加密.該機制，利用離線狀態(tài)下常數(shù)次單向陷門置換運算加密對稱密鑰，在線狀態(tài)下僅包含乘法運算、簡單加法的帶密鑰的對稱全同態(tài)映射加密數(shù)據(jù)本身，依據(jù)混合加密基本原則，實現(xiàn)了“一次加密、多次使用”的目標.用戶的數(shù)據(jù)集的大小不會對公鑰加密的使用次數(shù)復雜度產生影響，該機制的公鑰加密的使用次數(shù)復雜度為O(1).針對多用戶場景，Zhou和Cao等人[65]進一步構建了多密鑰全同態(tài)映射數(shù)據(jù)封裝機制，利用重加密的思想，在合作不合謀的雙服務器模型下將不同密鑰加密下的密文數(shù)據(jù)轉換成統(tǒng)一密鑰加密下的密文數(shù)據(jù)，從而提出了高效的密態(tài)計算協(xié)議，可以為區(qū)塊鏈系統(tǒng)中實現(xiàn)加密賬本與密文交易數(shù)據(jù)的統(tǒng)計分析及各類云計算和邊緣計算中的輕量級數(shù)據(jù)隱私保護應用提供有力工具.

3) 安全多方計算(secure multi-party computation, MPC)

1982年，為了解決百萬富翁問題，姚期智基于混淆電路思想提出了兩方安全計算[66].為了保護隱私安全，密碼學家們經過不斷研究提出了安全多方計算技術.2004年，Malkhi等人[67]通過支持安全兩方計算的Fairplay系統(tǒng)證明了安全多方計算的可行性.2008年，Ben-David等人[68]提出了支持安全多方計算的FairplayMP系統(tǒng)，解決了多個互不信任的用戶進行協(xié)同計算的難題.在去中心化系統(tǒng)中，安全多方計算能夠保護輸入隱私，在保證數(shù)據(jù)隱私的前提下可以進行函數(shù)計算并保證計算的準確性.

安全多方計算具有去中心化、輸入隱私保護以及互不信任個體之間協(xié)同計算的特性，與區(qū)塊鏈系統(tǒng)具有天然互補性.安全多方計算可以隱蔽地進行隱私數(shù)據(jù)的聯(lián)合計算，將其應用于智能合約可以保證運算數(shù)據(jù)的隱私安全，實現(xiàn)隱私智能合約.目前已經有許多項目利用安全多方計算實現(xiàn)隱私智能合約保護數(shù)據(jù)的隱私安全.2015年，Zyskind等人[69]提出了基于安全多方計算的Enigma計算模型，實現(xiàn)了多方同時存儲數(shù)據(jù)、對數(shù)據(jù)進行運算并且保持數(shù)據(jù)的完全私有.Enigma的隱私智能合約一部分運行在公鏈上，用于存儲智能合約正確執(zhí)行的證明，另一部分運行在去中心化的鏈外隱私計算網絡，用于執(zhí)行安全多方計算.其中MIT Enigma應用了安全多方計算和智能合約實現(xiàn)了醫(yī)療數(shù)據(jù)的隱私保護.2019年，朱巖等人[70]提出了一個基于安全多方計算的智能合約框架，利用安全多方計算、SMPC算法和非阻塞信息傳遞接口技術保證了智能合約執(zhí)行過程中輸入隱私性和計算的正確性，并提供了強容錯機制，在計算節(jié)點錯誤的情況下仍然可以保證群組安全通信，確保了區(qū)塊鏈系統(tǒng)中的數(shù)據(jù)隱私安全.值得注意的是，目前的安全多方計算模型的效率較低，且需要保證輸入數(shù)據(jù)的真實性.

4) 承諾方案(commitment scheme)

承諾方案[71]是密碼學領域中一種重要的基本協(xié)議，密碼學領域中的零知識證明吸取了承諾方案的思想.此外，其對安全多方計算等加密技術也有著十分重要的地位.承諾方案是一個涉及兩方的兩階段交互式協(xié)議，涉及的雙方分別指承諾方和接收方.第1階段為承諾階段，承諾方選擇一個消息m，以密文的形式發(fā)送給接收方，意味著承諾方不會更改m.第2階段為打開階段，承諾方公開消息m與盲化因子(相當于秘鑰)，接收方以此來驗證其與承諾階段所接收的消息是否一致.承諾方案有2個基本性質：隱藏性和綁定性.隱藏性指承諾值不會泄露任何關于消息m的信息；綁定性指任何惡意的承諾方若將承諾如果打開為非m的消息則不予驗證通過，即接收方可以確信m是和該承諾對應的消息.承諾方案在分布式計算領域有廣泛應用，在區(qū)塊鏈領域可用于隱藏交易過程中的交易內容，同時可將隱藏的內容與內容所有者綁定，目前已被應用于Zerocoin和Zcash協(xié)議.

5) 環(huán)簽名(ring signature)

2001年，Rivest等人[72]提出環(huán)簽名的概念.在群簽名的基礎上進行簡化后衍生出了環(huán)簽名技術，環(huán)簽名在簽名過程中不需要成員之間進行合作，也不需要管理者，簽名者使用自身私鑰和公鑰池中的部分公鑰即可獨立進行簽名.環(huán)簽名具有無條件匿名性，其簽名過程能夠保證攻擊者哪怕得到所有的公私鑰后也無法得知真正的簽名者是誰，同時環(huán)中成員無法偽造其他成員的簽名，保證了匿名性和安全性.梁秀波等人[73]在2016年發(fā)布了一種基于環(huán)簽名的區(qū)塊鏈匿名交易方法，解決了交易雙方地址暴露的問題，實現(xiàn)了匿名交易功能.QURAS區(qū)塊鏈系統(tǒng)通過結合環(huán)簽名技術和零知識證明技術實現(xiàn)用戶隱私保護，環(huán)簽名技術使用戶無法獲取簽名的目的地址和發(fā)送者，隱藏了用戶的身份信息[63].

6) 差分隱私(differential privacy)

差分隱私[74]用來防止差分攻擊，差分攻擊指攻擊者通過樣本數(shù)據(jù)發(fā)生的新變化進行數(shù)據(jù)分析以此推斷出樣本數(shù)據(jù)的某些詳細信息.差分隱私通過在數(shù)據(jù)中引入一定量的隨機噪聲，在對數(shù)據(jù)集合整體進行分析時非常接近真實結果，但攻擊者無法對任何個體信息進行推斷.在區(qū)塊鏈領域，差分隱私可用于抵抗針對用戶行為特征分析的攻擊，在保證區(qū)塊鏈數(shù)據(jù)整體特征保持不變的前提下，攻擊者無法推測出個體用戶的信息.差分隱私無法使數(shù)據(jù)完全匿名化，但可以對抗數(shù)據(jù)分析類攻擊算法.

7) 基于屬性加密(attribute-based encryption, ABE)

基于屬性加密技術[75]有2個基本概念：屬性和策略，屬性指與個體相關的信息集合，策略指屬性及它們之間關系所組成的邏輯表達式.合理策略后能夠實現(xiàn)對加密數(shù)據(jù)的細粒度訪問控制.此外，基于屬性加密可以解決對稱加密密鑰傳輸帶來的密鑰泄露問題，保護了數(shù)據(jù)擁有者和數(shù)據(jù)使用者的信息.目前，基于屬性加密的數(shù)據(jù)隱私保護系統(tǒng)已經有多個實現(xiàn)應用.由于基于屬性加密僅從“信道安全”上部分解決了密文訪問控制問題，因此從實際應用安全角度出發(fā)，Cao等人[76]提出了“信道安全+X”安全模型，構建了可追蹤、可撤銷、多機構的基于屬性加密方案，真正實現(xiàn)了高效的密文訪問控制.具體而言，在可追蹤方面，Liu和Cao等人[77]提出了黑盒可追蹤CP-ABE系統(tǒng)，首次同時達到了適應性安全和高表達力，而且該系統(tǒng)獲得可追蹤性的代價達到了目前的最佳水平.在多機構屬性基加密方面，Lin和Cao等人[78]提出了無中央機構的門限多機構ABE，弱化單一屬性機構被攻擊帶來的威脅，解決了Sahai和Waters[79]在歐洲密碼會議EUROCRYPT 2005上提出的一個公開問題.該成果被著名密碼學家Waters在其論文[80]中作為基礎文獻引用，并由此提出一個新概念“Decentralizing ABE”，發(fā)表在歐洲密碼會議EUROCRYPT 2011上.但Waters的這項工作仍然具有“每個機構都能獨立解開部分密文”的弱點.同在2011年,給出了一個標準模型下適應性安全的多機構密文策略屬性基加密方案[81].在該方案中，任何機構都不能獨立的解開任何密文，降低了對機構的可信性依賴，解決了屬性基加密系統(tǒng)中固有的密鑰托管問題.此外，Zhou和Cao等人[82]實現(xiàn)了加密電子病歷的多級隱私保護，給出了同時滿足白盒可追蹤和可撤銷性質的多機構屬性基加密方案.

近年來，Cao等人[83]提出了針對代理路徑的高效細粒度密文訪問控制方法，即自治路徑代理重加密算法.在自治路徑代理重加密中，被代理者被賦予一定的優(yōu)先級，按照優(yōu)先級分配任務，且代理者可以自定義代理過程和路徑.

8) 可信硬件執(zhí)行環(huán)境

安全多方計算等復雜的密碼學技術會導致區(qū)塊鏈系統(tǒng)性能降低，可信執(zhí)行環(huán)境(trusted execution environment, TEE)適用于高安全需求操作、保護敏感數(shù)據(jù)和保護高價值數(shù)據(jù)等場景[84]，為解決區(qū)塊鏈性能瓶頸提供了解決方案.張凡等人[85]提出了一種經過認證的數(shù)據(jù)饋送系統(tǒng)TC(town crier),TC結合了以太坊智能合約和可信硬件,保證了與智能合約相關的數(shù)據(jù)隱私安全.由于公鏈的共識機制屬于隨機性協(xié)議，無法保證節(jié)點間信息傳輸一致，導致智能合約易受到回滾攻擊，僅依賴TEE無法完全保證公鏈系統(tǒng)的數(shù)據(jù)隱私安全，因此TEE更適應于共識機制較為確定的聯(lián)盟鏈.2019年10月，Hyperledger Fabric發(fā)布的Avalon項目結合了可信執(zhí)行環(huán)境、安全多方計算和零知識證明等技術在保證數(shù)據(jù)正確性的前提下實現(xiàn)了數(shù)據(jù)隱私保護[86].TEE與區(qū)塊鏈的結合可以更好地滿足區(qū)塊鏈系統(tǒng)中對數(shù)據(jù)安全性和隱私性的要求，并且提供盡可能高的執(zhí)行效率，提高系統(tǒng)可用性.

3.2.2 網絡信息隱藏

傳統(tǒng)區(qū)塊鏈節(jié)點之間的交易信息通過假名傳播，保證了一定的匿名性，但在遭受去匿名化攻擊時假名仍存在泄露的風險.攻擊者通過假名與IP地址的關聯(lián)關系可以推測出IP地址對應的真實用戶，進而對區(qū)塊鏈節(jié)點進行審查、流量分析、服務阻斷等，影響交易的正常進行.因此，網絡層信息的匿名性和隱蔽性至關重要.區(qū)塊鏈基于P2P網絡進行消息的廣播，惡意攻擊者通過監(jiān)聽區(qū)塊鏈的網絡廣播信息并將IP地址和鏈上交易信息進行鏈接.為防止此類攻擊，需要對區(qū)塊鏈的網絡層數(shù)據(jù)進行隱藏.目前有5種解決方案：

1) 可信第三方轉發(fā)

區(qū)塊鏈節(jié)點間的交易需要發(fā)送者和接收者的地址信息.區(qū)塊鏈網絡層中信息的匿名傳輸需要保證接收方無法得知發(fā)送方的相關信息，簡單可行的方法是利用可信第三方代替發(fā)送者發(fā)送信息，即發(fā)送方將信息發(fā)給可信第三方，再由可信第三方轉發(fā)至接收方.目前可行的技術包括代理、虛擬私人網絡等，但這類解決方案不能保證可信第三方不泄露信息，無法保證交易匿名性.

2) 混合網絡

1981年，Chaum[49]發(fā)明了混合網絡.混合網絡不僅混合線路節(jié)點，而且混合來自不同節(jié)點的信息.混合網絡可以承受互聯(lián)網服務提供商(Internet service provider, ISP)的流量分析攻擊，保證了強匿名性.但混合網絡延遲高，無法被大規(guī)模使用.

3) 洋蔥路由

受混合網絡的啟發(fā)，1998年Paul等人[87]發(fā)明了洋蔥路由.洋蔥路由通過使攻擊者無法獲得全局信息來保證隱私安全.為了解決高延遲的問題，洋蔥路由在安全性方面做出了妥協(xié).2004年上線了基于洋蔥路由和中繼覆蓋網絡的強大匿名工具—Tor網絡，Tor節(jié)點是指使用洋蔥服務的洋蔥路由器，能夠隱藏請求端和響應端的IP信息，以此保證了匿名性.Tor采用伸縮策略建立通信線路，具體流程分為3步.

① 節(jié)點選擇階段.請求端向目錄服務器發(fā)起請求，然后通過目錄服務器中的節(jié)點信息隨機選擇3個可用節(jié)點分別作為線路的入口節(jié)點、線路的中繼節(jié)點和線路的出口節(jié)點.

② 線路建立階段.請求端與入口節(jié)點建立TLS/LLS類型的TCP鏈接，并通過橢圓曲線密鑰交換協(xié)議交換密鑰；入口節(jié)點與中繼節(jié)點建立TLS/LLS類型的TCP鏈接，請求端通過入口節(jié)點與中繼節(jié)點交換密鑰；最后，中繼節(jié)點與出口節(jié)點建立TLS/LLS類型的TCP鏈接，請求端通過入口節(jié)點和中繼節(jié)點與出口節(jié)點進行密鑰交換.線路建立完成之后，請求端便可通過線路傳輸交易信息.

③ 信息傳輸階段.首先，請求端需要對發(fā)送的信息進行3層加密，最內層的密文用出口節(jié)點密鑰加密，最外層的密文用入口節(jié)點密鑰加密，中間層的密文用中繼節(jié)點密鑰加密.然后，對信息進行傳輸，確保線路上的每個節(jié)點只能解開屬于自己密鑰加密的密文.最后，出口節(jié)點解密信息后發(fā)送給響應端.如果響應端有返回信息，則會按原路返回.

為了增強區(qū)塊鏈系統(tǒng)的隱私保護，有研究者建議將Tor網絡集成在區(qū)塊鏈服務中.以太坊研究會也提議使用洋蔥路由改進輕節(jié)點的資料可得性等.但Tor網絡也存在一定的安全問題，攻擊者通過監(jiān)控多個ISP流量可以獲取鏈路的組成，從而找到真正的請求端和響應端，無法確保隱私安全；如果目錄服務器被破壞，洋蔥路由將無法繼續(xù)工作.

4) 第二代洋蔥路由

Dingledine等人[88]提出了異步、松散聯(lián)合、基于電路低延遲匿名通信服務的第二代洋蔥路由協(xié)議.它提供了擁塞控制服務、可配置的退出策略、目錄服務器、前向保密性服務、位置隱藏服務、更好地平衡服務、完整性檢查服務等，使用增量式或伸縮式路徑構建方法，不再使用單一的多重信息加密.第二代洋蔥路由具有良好的可用性.

5) 大蒜路由

為了解決洋蔥路由存在的ISP流量攻擊和目錄服務器被破壞的問題，F(xiàn)reedman[89]提出大蒜路由，該協(xié)議具有分層加密、捆綁多份信息文件、使用EIGamal/AES加密3個主要特性.大蒜路由的典型應用是隱身互聯(lián)網工程(invisible internet project, I2P)，通過KAD算法獲取網絡節(jié)點信息生成網絡數(shù)據(jù)庫，由EIGamal/AES發(fā)布網絡數(shù)據(jù)庫條目，無需目錄服務器.I2P網絡使用分層加密實現(xiàn)隧道構建和節(jié)點路由，保證隧道中每一跳節(jié)點只知道自身相鄰節(jié)點的信息.原始信息通過I2P網絡被拆分為多個加密數(shù)據(jù)包，數(shù)據(jù)包上傳下載相互獨立的多條隧道交叉疏散傳輸.通過捆綁多份信息文件確定端到端間信息傳遞是否成功.ISP流量攻擊難以追蹤真實的發(fā)送端IP和接收端IP，降低了流量分析攻擊成功的可能性.基于大蒜路由的I2P網絡主要工作流程有2個步驟.

① 隧道構建階段.由于隧道是單向的，因此發(fā)送端和接收端需要分別建立屬于自己的輸入輸出隧道.通信隧道的默認長度為3跳，完成一次完整的通信需要4條隧道[90].

② 數(shù)據(jù)加密和傳輸階段.首先待處理的信息由發(fā)送端進行3次層疊式加密，將處理得到的密文傳輸?shù)桨l(fā)送端通信輸出隧道的Gateway節(jié)點，其次需要在隧道中各個節(jié)點上依次解密，然后將解密后的結果轉發(fā)到接收端輸入隧道的Gateway節(jié)點[90].由接收端Gateway節(jié)點加密轉發(fā)到接收端，最后接收端經過解密得到信息.從接收端到發(fā)送端的消息傳輸原理一致.

3.3 通道隔離機制

為保證網絡層的數(shù)據(jù)隱私安全，研究者提出了區(qū)塊鏈通道機制實現(xiàn)賬本數(shù)據(jù)的隔離.非許可鏈中需要實現(xiàn)鏈下通道隔離，即將區(qū)塊鏈上的交易移至鏈下進行.對于許可鏈來說，通道隔離主要應用于聯(lián)盟鏈中，不同聯(lián)盟成員屬于不同通道，通道隔離技術使數(shù)據(jù)僅對通道內的節(jié)點可見.

3.3.1 鏈下通道隔離

為了減少區(qū)塊鏈上的交易壓力、提高運行效率，狀態(tài)通道技術應運而生.狀態(tài)通道的核心思想是將區(qū)塊鏈上的一些交易移到鏈下進行，經典的狀態(tài)通道技術有閃電網絡和雷電網絡2種，目前主要應用于資產交易.隨著區(qū)塊鏈技術的不斷發(fā)展，人們對隱私的要求不斷提高，研究人員將閃電網絡和雷電網絡用于保護交易過程中用戶的隱私安全.閃電網絡技術主要應用于比特幣，雷電網絡技術主要應用于以太坊.

1) 閃電網絡技術

傳統(tǒng)比特幣交易需要較高的交易費用和較長的交易時間，不適用于高頻小額支付，且易造成用戶交易信息泄露.為了實現(xiàn)高頻小額支付、提高用戶交易信息隱私安全性，2015年閃電網絡的概念由Poon和Dryja[91]首次提出，并在2016年發(fā)表了對閃電網絡詳細描述的論文.

閃電網絡運行在區(qū)塊鏈的鏈下，通過鏈下通道實現(xiàn)高頻小額支付，交易費用低，交易信息不記錄在區(qū)塊鏈上.用戶間使用閃電網絡進行鏈下交易時，首先在區(qū)塊鏈上新建交易，然后打開雙向支付通道，交易雙方記錄通道上的賬本，發(fā)生資產變化時及時更新賬本；交易雙方的資產被保存在多重簽名錢包中，多重簽名錢包指多人共同管理同一筆資金的錢包，交易的一組私鑰可以查看交易雙方的資金.當交易雙方對最終交易簽名或者交易到達了設置時間就結束交易，交易結束后多重簽名錢包會將資金返還給交易雙方；根據(jù)交易雙方對于資產劃分的規(guī)則生成承諾交易并進行簽名，通過承諾交易進行資產轉移，然后更新支付通道賬本中各自的余額信息；鏈下交易結束后，交易雙方需要用私鑰簽署交易，將雙方余額發(fā)送到區(qū)塊鏈上.此過程屬于單通道支付，交易雙方直接通過通道交易.如果交易雙方A和B不能直接建立支付通道，但存在中間方C，且A和C、B和C之間都存在支付通道，則A和B可以通過C進行交易.閃電網絡通過哈希時間鎖定合約(hash time lock contract, HTLC)保證了交易的安全性.

閃電網絡技術的鏈下交易方案實現(xiàn)了高頻小額交易.鏈下交易不僅保證了用戶的隱私，而且減少了區(qū)塊鏈的交易壓力，增強了區(qū)塊鏈的可擴展性.

2) 雷電網絡技術

雷電網絡主要應用于以太坊，其通道技術以及鏈下交易流程與閃電網絡類似.雷電網絡基于智能合約制定了鏈下通道中交易雙方共識的資產劃分規(guī)則.鏈下交易通道關閉時，由智能合約對交易進行清算并將交易雙方的余額發(fā)到區(qū)塊鏈上.雷電網絡以托管形式持有代幣，用于鏈下交易，不需要多重簽名錢包.雷電網絡在鏈下交易過程中實現(xiàn)了智能轉賬.閃電網絡中的HTLC可能存在A不想通過C向B轉賬的情況，若A想改變路徑與B交易，則需要等待HTLC到期，A不能單方面結束交易.在這個時間間隙，B和C可能會串通導致A在原來路徑中的資金遭到損失.雷電網絡利用重試哈希鎖、收據(jù)哈希鎖和時間鎖構成組合鎖，保證在多支付通道中交易雙方的資產不受損失.

雷電網絡技術相對于閃電網絡技術來說，通過智能合約為交易雙方制定交易規(guī)則，使用代幣用于鏈下交易，實現(xiàn)了智能轉賬，利用組合鎖保證用戶的資金不受損失，交易的隱私性和安全性得到保證.

3.3.2 多鏈通道隔離

實際應用場景中，存在多個組織之間用戶進行交互的情況，每個組織內部的信息需要通過通道機制實現(xiàn)隱私保護.多鏈通道隔離技術將一個區(qū)塊鏈系統(tǒng)內的節(jié)點劃分到多個通道，每個通道內維護1個子賬本，通道與通道之間相互隔離，通過身份認證、訪問控制機制保護通道內節(jié)點的數(shù)據(jù)隱私.多通道技術首先要嚴格進行節(jié)點身份管理，對通道內的節(jié)點進行授權，節(jié)點加入通道時進行身份認證，不同身份的節(jié)點其權限可能不同.其次，多通道技術要嚴格進行通道管理，主要體現(xiàn)在通道的建立、運行維護和銷毀等.最后，多通道技術要嚴格進行事務管理.

2017年Hyperledger Fabric提出的通道機制是區(qū)塊鏈中多鏈通道技術最成熟的應用.Fabric的主要應用場景是聯(lián)盟鏈，各個聯(lián)盟內部形成一個通道，通過成員身份管理維護通道內的賬本，F(xiàn)abric網絡中的通道隔離機制如圖3所示.假設一個Fabric聯(lián)盟網絡N有4個組織R1，R2，R3，R4，組織對應的證書頒發(fā)機構為CA1，CA2,CA3,CA4.組織R1與R4根據(jù)網絡配置文件NC4的內容對聯(lián)盟網絡N進行管理.通道C1,C2的通道配置文件分別是CC1，CC2，通道C1由組織R1與R2管理，通道C2由組織R2與R3管理.建立網絡時，證書頒發(fā)機構CA4先對組織R4授權，組織R4的排序節(jié)點O4作為網絡的初始化管理者，有權設置網絡的初始版本.組織R1與R2、R2與R3需要在網絡中正常通信.R1，R2，R3的客戶端應用A1，A2，A3分別在通道C1，C1與C2，C3中進行業(yè)務交易.節(jié)點P1維護C1通道內的賬本信息，節(jié)點P2同時維護C1，C2通道的賬本信息，節(jié)點P3維護通道C2的賬本信息.如果通道C1，C2之間需要通信，則需要通過節(jié)點P2實現(xiàn)2個通道間的交易.

Fig. 3 Fabric muti-channel network[92]圖3 Fabric多通道網絡[92]

鏈下通道隔離主要應用于非許可鏈，多鏈通道隔離主要應用于許可鏈.對于非許可鏈，賬本信息由所有節(jié)點進行維護.因此為了保護節(jié)點的數(shù)據(jù)隱私安全，將節(jié)點之間的交易移至鏈下進行.對于許可鏈，通過節(jié)點間的身份認證對節(jié)點進行分類和管理，通過通道技術保護各個通道內節(jié)點的隱私安全.

3.4 權限限制機制

如果區(qū)塊鏈系統(tǒng)允許任意節(jié)點加入，則惡意節(jié)點可能會加入到區(qū)塊鏈系統(tǒng)中竊取賬本信息和其他節(jié)點的隱私數(shù)據(jù)等，導致區(qū)塊鏈系統(tǒng)的隱私泄露.為了保護區(qū)塊鏈的數(shù)據(jù)隱私安全，需要對節(jié)點的接入進行身份認證，限制惡意節(jié)點和不符合系統(tǒng)要求的節(jié)點接入?yún)^(qū)塊鏈系統(tǒng).另外，用戶身份管理機制也可以保護用戶的隱私安全.

3.4.1 限制節(jié)點接入

許可鏈指參與到區(qū)塊鏈網絡的節(jié)點都是經過許可的，私有鏈和聯(lián)盟鏈都屬于許可鏈.非許可鏈對加入節(jié)點不設置限制條件，是完全去中心化的區(qū)塊鏈系統(tǒng).許可鏈和非許可鏈的身份認證機制不同，因此分為非許可鏈節(jié)點身份認證和許可鏈節(jié)點身份認證2方面介紹.

1) 非許可鏈節(jié)點身份認證.對于非許可鏈來說，節(jié)點接入不需要通過第三方認證，因此只能通過P2P網絡層對節(jié)點接入進行限制.目前主要從節(jié)點行為檢測和信任關系建立2方面對非許可鏈的節(jié)點進行身份認證[93].研究者提出了多種解決方案來識別異常節(jié)點.2013年,You等人[94]提出通過N-gram算法對節(jié)點的歷史行為進行分析，識別異常節(jié)點并對節(jié)點的可用性進行評估.2016年,Epishkina等人[95]通過T模式對節(jié)點進行隱藏事件模式聚類，該模式為了找到隱藏的事件模式，要求對每個事件的重復次數(shù)大于等于2次.2017年，行為模式聚類算法由Huang等人[96]提出，其利用行為模式聚類進行惡意節(jié)點檢測，與其他方法相比，該方案可以檢測出區(qū)塊鏈上較多的惡意節(jié)點.楊保華等人[56]利用共識機制檢測并排除惡意節(jié)點，該機制簡單易用，因此被廣泛運用于一些開源的區(qū)塊鏈項目.通過識別并且限制惡意節(jié)點加入?yún)^(qū)塊鏈，在一定程度上保證非許可區(qū)塊鏈中節(jié)點的數(shù)據(jù)隱私安全.

建立信任關系指想要接入?yún)^(qū)塊鏈系統(tǒng)的節(jié)點與已存在于區(qū)塊鏈系統(tǒng)中的節(jié)點之間構建信任關系，通過節(jié)點之間互相認證確保新加入的節(jié)點不是惡意節(jié)點.為了抵御Sybil攻擊(Sybil攻擊是指多節(jié)點、多身份的攻擊)，2006年,王鵬等人[97]提出了限制節(jié)點加入的認證方案，通過提高節(jié)點加入網絡的代價，從而提高攻擊者進行大規(guī)模攻擊的代價.網絡規(guī)模越大，對新節(jié)點驗證需要的資源越多，操作越困難.2008年,Yu等人[98]提出了SybilGuard協(xié)議，減小了Sybil攻擊的破壞性.SybilGuard協(xié)議建立節(jié)點之間的信任網絡，惡意節(jié)點雖然可以創(chuàng)建很多身份，但是這些節(jié)點間的信任關系很少.通過隨機游走將惡意節(jié)點與誠實節(jié)點進行分割，并過濾惡意節(jié)點從而限制惡意節(jié)點創(chuàng)建身份的數(shù)量.2017年，F(xiàn)ang等人[99]利用趨勢分析和差異判斷識別節(jié)點信譽值的差異，設置信任閾值和累積信譽度.如果信任度累積達到了閾值則可以建立信任關系.與其他方法相比，該方案易于實現(xiàn).

2) 許可鏈節(jié)點身份認證.為了保證許可鏈上節(jié)點的隱私安全，新的節(jié)點加入?yún)^(qū)塊鏈系統(tǒng)時，應避免無身份節(jié)點或惡意節(jié)點的加入.因此，需要對節(jié)點進行身份認證.許可鏈通過可信第三方簽發(fā)的數(shù)字證書對節(jié)點進行身份認證.

Hyperledge Fabric 1.3中提出了Fabric-CA用于對入網節(jié)點的身份進行認證[92].節(jié)點加入Fabric網絡需要先向CA發(fā)起請求，如果節(jié)點符合Fabric鏈的要求，則為節(jié)點頒發(fā)數(shù)字證書，包括發(fā)行擔保證書和發(fā)行交易證書.最后節(jié)點經過身份認證接入?yún)^(qū)塊鏈系統(tǒng)，避免節(jié)點的數(shù)據(jù)隱私被惡意節(jié)點泄露，保證了區(qū)塊鏈系統(tǒng)的安全.遠程證明是可信計算的重要功能[100]，但遠程證明模型是面向中心化網絡設計的.2018年劉明達等人[101]將區(qū)塊鏈技術與遠程證明結合,提出了基于區(qū)塊鏈的遠程證明模型(remote attestation model based on blockchain, RABBC).節(jié)點不僅需要擁有可信平臺模塊(trusted platform module, TPM)標識證明身份，同時也要證明自身處于可信狀態(tài).該模型底層采用直接匿名證明(direct anonymous attestation, DAA)認證協(xié)議實現(xiàn)了節(jié)點身份認證并保證了匿名性.

對許可鏈和非許可鏈的節(jié)點權限控制都是為了防止惡意節(jié)點接入?yún)^(qū)塊鏈系統(tǒng)，從而避免惡意攻擊和節(jié)點數(shù)據(jù)隱私泄露.為了保護數(shù)據(jù)隱私安全，非許可鏈節(jié)點權限控制主要是通過對網絡中節(jié)點的行為分析預測惡意節(jié)點，或通過節(jié)點之間的信任關系辨別出惡意節(jié)點；許可鏈節(jié)點權限控制主要是通過為節(jié)點頒發(fā)數(shù)字證書進行身份認證.

3.4.2 限制數(shù)據(jù)發(fā)布

為了實現(xiàn)區(qū)塊鏈上的數(shù)據(jù)隱私保護，可以對上鏈前的數(shù)據(jù)進行篩選過濾.從源頭上限制數(shù)據(jù)的發(fā)布，從而實現(xiàn)數(shù)據(jù)隱私保護.2020年Yong等人[102]提出了可編輯區(qū)塊鏈框架，在保證區(qū)塊鏈安全可信的前提下實現(xiàn)鏈上數(shù)據(jù)的可編輯操作.該框架可以對上鏈前的數(shù)據(jù)進行過濾，限制一些數(shù)據(jù)的發(fā)布，從而保證數(shù)據(jù)的隱私安全.

3.4.3 自我主權身份模型

隱私保護身份管理(identity management, IdM)模式加強了區(qū)塊鏈的隱私保護，但需要第三方機構集中式對用戶身份進行管理.基于自我主權身份(self-sovereign identity, SSI)[103]概念的身份管理模式能夠實現(xiàn)SSI用戶對自身所有個人信息和相關活動數(shù)據(jù)擁有完全的自主權，同時保證行駛自主權時的安全性和效率.SSI指區(qū)塊鏈系統(tǒng)中的用戶在任何時間、任何地點、任何在線情況下都可以自主的控制個人隱私數(shù)據(jù).用戶之外的第三方服務所擁有的的數(shù)據(jù)都不是原始的，保證了用戶的隱私數(shù)據(jù)不被第三方泄露.自我主權身份模式為用戶提供了匿名機制，在用戶進行交易時控制他們的隱私數(shù)據(jù)，保證隱私安全[104].SSI概念的主要過程和相關實體如圖4所示.用戶以自己為中心使用手機從發(fā)行機構獲取證書、ZK憑證和可驗證的聲明，其中用戶的私鑰被保護在錢包中.發(fā)行人向區(qū)塊鏈發(fā)送用戶的身份哈希、證書哈希和可驗證的聲明，然后用戶向區(qū)塊鏈進行SSI身份認證.為了提高SSI模型的隱私保護功能，用戶需要向服務提供者提供零知識加密證明，服務提供者在區(qū)塊鏈上對用戶簽名、身份進行檢查.

Fig. 4 Self-sovereign identity management model in blockchain[105]圖4 區(qū)塊鏈自我主權身份管理模型[105]

4 區(qū)塊鏈數(shù)據(jù)隱私保護技術發(fā)展展望

4.1 量子計算

密碼學安全技術為區(qū)塊鏈技術的誕生提供了必要的前提，但密碼學安全技術可能存在漏洞及未來被破解的可能性，這將對區(qū)塊鏈系統(tǒng)造成毀滅性打擊.1981年費曼提出量子計算的概念，即利用量子比特可以同時處于多個相干疊加態(tài)的特性，通過并行處理來提高計算的速度[56].在量子計算條件下，1994年提出的基于量子計算的Shor算法對DES等算法具有很大的威脅.若區(qū)塊鏈系統(tǒng)所使用的密碼學技術被破解，則建立于被破解密碼學技術之上的區(qū)塊鏈系統(tǒng)的安全性和隱私性將受到嚴峻挑戰(zhàn).因此，如何實現(xiàn)量子計算條件下安全可靠的密碼學安全技術將直接影響區(qū)塊鏈技術的未來發(fā)展，必將成為未來區(qū)塊鏈技術研究的熱點.

4.2 跨鏈數(shù)據(jù)隱私保護標準

區(qū)塊鏈技術要實現(xiàn)廣領域大規(guī)模應用需要成熟的跨鏈技術作為不同區(qū)塊鏈平臺之間的橋梁，同時需要更高效的隱私保護算法.跨鏈技術是實現(xiàn)各個區(qū)塊鏈之間數(shù)據(jù)交互和價值傳遞的關鍵.目前，利用跨鏈原子交換協(xié)議實現(xiàn)了區(qū)塊鏈之間的資產轉移，進行跨鏈交易時任意交易雙方的身份信息及交易內容都是公開的，對于跨鏈交易數(shù)據(jù)隱私保護問題的解決方案還較為稀缺，仍需要進一步研究.區(qū)塊鏈大規(guī)模應用場景中，如電子商務[106]和智慧城市[107]等，不同應用對隱私保護的要求標準有所不同，具體實現(xiàn)隱私保護的技術也有所區(qū)分，導致了不同區(qū)塊鏈系統(tǒng)隱私保護技術的碎片化和多樣化，使得區(qū)塊鏈系統(tǒng)之間彼此很難集成到一起.在實現(xiàn)區(qū)塊鏈跨鏈隱私保護方面，W3C正在對一些涉及隱私保護模型和技術相關的構件進行標準化，如聲明驗證[108]和去中心化身份識別器[109]等.目前，一些含隱私保護功能的區(qū)塊鏈系統(tǒng)，如Uport[110]和Sovrin[111]正計劃采用這些標準實現(xiàn)對應的隱私功能.區(qū)塊鏈行業(yè)應盡早對數(shù)據(jù)隱私保護問題制定相應的標準，在隱私保護基準的前提下實現(xiàn)跨鏈連接.標準的制定需要整個區(qū)塊鏈行業(yè)研究人員的共同參與，并且得到區(qū)塊鏈行業(yè)的廣泛認可，如何制定標準、制定什么樣的標準是實現(xiàn)跨鏈數(shù)據(jù)隱私保護需要面對的挑戰(zhàn).

4.3 數(shù)據(jù)隱私保護監(jiān)管標準

數(shù)字貨幣的匿名性極易成為洗錢組織、毒品交易組織及恐怖組織等不法分子的犯罪工具.針對反洗錢、反恐怖等社會安全需求，數(shù)字貨幣的頒發(fā)機構需要與監(jiān)管機構相互協(xié)調，滿足數(shù)字貨幣匿名性的同時，也能滿足執(zhí)法機構對犯罪分子的追蹤.當區(qū)塊鏈技術與數(shù)字貨幣領域結合時，相關的數(shù)據(jù)隱私信息除了貨幣的使用者及政府監(jiān)管部門之外，應保證其他人無法獲得貨幣的任何相關隱私信息如貨幣的歷史擁有者、歷史參與的交易等，確保交易過程的匿名性.如何讓政府監(jiān)管部門理解區(qū)塊鏈技術并適度監(jiān)管是目前區(qū)塊鏈應用面臨的一個重要挑戰(zhàn).區(qū)塊鏈技術本身的去中心化特性與匿名性容易將區(qū)塊鏈的應用場景導向一些不易監(jiān)管的領域，與此同時，政府部門對區(qū)塊鏈技術的監(jiān)管程度也將直接影響區(qū)塊鏈技術的發(fā)展前景，只有在區(qū)塊鏈技術與政府監(jiān)管標準之間找到合適的平衡點才能促進區(qū)塊鏈應用的技術發(fā)展和實際落地.例如通用數(shù)據(jù)保護條例(general data protection regulation, GDPR)[112]等規(guī)定有可能與區(qū)塊鏈技術存在沖突，區(qū)塊鏈本身的不可篡改性、持久性與該規(guī)定中用戶擁有更改和刪除自身隱私的權利相沖突.此外，2019年中國國家互聯(lián)網信息辦公室室務會議審議通過了《區(qū)塊鏈信息管理服務規(guī)定》[113]，其對中國區(qū)塊鏈信息服務提出了一系列標準和規(guī)定，開發(fā)者在區(qū)塊鏈實際應用設計和開發(fā)過程中應遵循相應的規(guī)定.

5 總 結

隨著業(yè)內關于區(qū)塊鏈技術的認知不斷深入以及各場景下區(qū)塊鏈系統(tǒng)落地數(shù)量的逐步增長，數(shù)據(jù)隱私保護問題將成為專家學者的重點研究方向.本文結合區(qū)塊鏈技術的歷史發(fā)展進程，介紹了各發(fā)展階段中的數(shù)據(jù)隱私泄露問題，提出了針對區(qū)塊鏈技術的數(shù)據(jù)隱私定義，并根據(jù)區(qū)塊鏈相關技術要點詳細介紹了相應隱私泄露問題及數(shù)據(jù)隱私保護所面臨的挑戰(zhàn).本文從信息混淆機制、信息加密機制、權限限制機制、通道隔離機制的角度總結了相應的解決方案，最后根據(jù)區(qū)塊鏈數(shù)據(jù)隱私保護的研究現(xiàn)狀，對未來區(qū)塊鏈數(shù)據(jù)隱私保護的研究方向進行了展望.