關于聯盟鏈金融隱私保護與監管功能設計

玄佳興，石 欣，王合建，李國民

(1. 國網雄安金融科技集團有限公司，北京 100053；2. 國網數字科技控股有限公司，北京 100053；3. 國網區塊鏈科技(北京)有限公司，北京 100053；4. 國家電網公司區塊鏈技術實驗室，北京 100053)

1 引言

近年來，區塊鏈[1]技術受到廣泛關注、廣泛應用，其原因在于其具有透明性、不可篡改性、分布式等特性。區塊鏈透明性受到極大關注，任意用戶能夠在區塊鏈上進行相對平等的交易，而不會因為買賣雙方信息不對稱導致巨大的經濟損失[2]。當前，以比特幣和以太坊[3]為代表的區塊鏈系統在金融領域是最成功的落地應用。在金融交易系統中，交易額隱私保護至關重要。隱藏交易額，對普通用戶而言，是基本的交易需求[4]。如果用戶的交易額被黑客盜取，則用戶的財產安全、甚至生命安全會收到巨大的威脅；對公司而言，如果公司的交易額被對手獲取，則不利于公司的發展，對手能夠在公司最艱難的時候公布公司的資產，導致公司快速破產；對國家而言，如果國家的經濟能力被敵對國獲取，則國家可能受到金融危機，甚至直接遭受軍事打擊。因此，個人，集體，國家等均需要交易額隱私保護[5]。

但是，僅有隱私保護不利于國家的經濟發展。較好的隱私保護為非法融資、非法交易等創造了生存空間。因此，需要在保護隱私的前提下，實現嚴格監管。在區塊鏈交易系統中，如果發生非法交易行為，則交易記錄永久記錄且不可更改，則國家能夠發現非法交易行為并進行對應的懲罰，有效降低非法交易行為。在嚴格監管下，國家能夠快速發現非法金融行為。因此，區塊鏈交易系統嚴格監管功能至關重要。

在公有鏈系統中，實現較好的隱私保護是非常合理的，但是在聯盟鏈交易系統中，不能缺乏監管。區塊鏈監管分為宏觀層面監管和技術層面監管。在宏觀層面，2015年英國提出金融管理局沙盒機制。“監管沙盒”是指在規定的空間內，金融科技企業可以測試其創新的金融產品、服務、商業模式和營銷方式等等，在測試的過程中，給予企業一定的空間和自由度，遇到問題時不會立即受到監管規則的約束。2017年7月25日，美國證券交易委員會在其發布的一份調查報告中認為ICO(首次數字貨幣公開眾籌)可能適用于該國證券法律監管范圍。宏觀層面監管只能在宏觀層面對區塊鏈公司的主要行為進行約束，而無法對區塊鏈公司或區塊鏈系統中的用戶進行準確約束。需要從技術層面對區塊鏈公司和用戶進行監管。

目前，從技術上對區塊鏈進行監管，主要有以下4中方法：區塊鏈交易溯源機制[6]、區塊鏈地址聚類機制[7]、區塊鏈證書管理機制[8]和基于陷門技術進行監管。1)區塊鏈交易溯源機制是在網絡層部署探針節點，通過探針節點來搜集區塊鏈網絡層中的傳輸信息，分析判斷交易的傳播路徑，從而推測出交易的始發節點，實現身份監管。該監管技術是從網絡層面進行的。2)區塊鏈地址聚類機制是分析區塊鏈交易數據特征，獲得不同地址之間的關聯關系，通過發現聚類集合中一個地址的身份信息，推測出隸屬于同一交易者的不同交易地址。該監管方式是在數據層進行的。3)區塊鏈證書管理機制是在區塊鏈的運行機制中加入可信的證書管理機構，則監管方能夠根據證書中的信息對用戶進行監管。該監管方式是在算法層實現的。4)基于陷門技術進行監管，如：可追蹤的環簽名[9]即實現簽名方隱藏，又實現監管方可追蹤；該監管方式是在密碼算法層實現的。對區塊鏈公司和用戶，需要實現細粒度監管，從密碼算法層面進行是最可靠的。

因此，針對金融系統需要同時實現隱私保護與監管需求，本文創新性地設計出同態加密方案以同時實現這兩項關鍵功能。

2 研究現狀

比特幣[1]是一種分布式記賬電子貨幣系統，而不需要任意可信第三方。比特幣通過共識機制，即工作量證明機制，吸引用戶參與維護比特幣系統，通過橢圓曲線數字簽名算法和哈希函數實現交易功能。由于比特幣使用明文進行交易，泄露了用戶的交易額隱私信息，使得黑客能夠進行統計分析攻擊。為解決用戶隱私問題，2014年Bonneau 等提出混幣機制[10]，用于解決用戶隱私保護?；鞄艡C制需要可信第三方將多個用戶的輸入與多個用戶的輸出進行混合，實現用戶交易隱私。因此，混幣機制的安全性完全取決于第三方的行為是否可信，而不是取決于技術特征。隨后，Maxwell提出的 Coinjoin 混幣技術[11]，以去中心化的方式實現多個用戶的輸入與輸出混合，但是該技術要求各參與方進行交互。這增大了用戶信息泄露的概率，且各個用戶互不信任，交互難度極大。

門羅幣[12]和零幣[13]的出現，是目前隱私保護的最高水平。門羅幣實現環簽名算法保護交易發起方身份隱私，使用同態加密方案保護交易金額，使用一次性地址技術保護接收方的身份。門羅幣中交易發起方使用環簽名實現隱私保護是自主的，而不依賴于任意管理員，且每筆交易具有不可鏈接性和不可追蹤性。同態加密使得共識節點能夠驗證交易額的輸入輸出正確性，卻不知道其它任意信息，而一次性地址技術是每個地址首次出現，僅接收方能夠計算對應的私鑰，實現對一筆費用的花費。零幣將交易雙方身份和交易金額加密，使用零知識簡潔非交互證明zk-SNARKs，證明交易雙方身份和交易額是合法的。

因此，現有方案僅通過交易溯源機制、地址聚類機制、證書管理機制和陷門機制實現監管功能；通過混幣機制、環簽名技術、零知識證明技術實現金融隱私保護功能。但是，缺乏同時實現隱私保護與監管功能的金融系統，而同時實現隱私保護與監管在金融系統中是至關重要的。因此，本文提出聯盟鏈金融隱私保護與監管系統以解決該問題。

3 系統原理

聯盟鏈金融隱私保護與監管系統模型能夠實現金融隱私保護與兩個監管方獨立監管的功能。如圖1所示，系統包含5種參與方，分別為交易發起方、接收方、共識節點、兩個獨立的監管方。該系統包含以下9個步驟：1)初始化，建立聯盟鏈系統所需公共參數；2)交易發起方、接收方和兩個監管方根據系統公共參數生成各自的私鑰和公鑰；3)交易發起方分別對支付金額和找零金額進行同態加密，并采用非交互式零知識證明協議[14]證明密態金額的輸入之和等于輸出之和、采用Bulletproofs范圍證明協議[15]證明支付金額和找零金額均大于零，從而實現交易金額隱私保護。4)交易發起方采用SM2簽名算法進行交易簽名并提交到聯盟鏈交易系統中；5)共識節點驗證用戶SM2簽名的一致性、驗證密態金額的一致性和支付金額與找零金額Bulletproofs范圍證明的正確性；如果均正確，則接受并存儲到聯盟鏈系統中，否則拒絕；6)接收方從聯盟鏈讀取交易單數據并解密收款金額同態密文，獲得收款金額明文并實現收款金額統計。7)交易發起方從聯盟鏈讀取交易單數據并解密支付金額同態密文，獲得支付金額明文并實現支付金額統計。8)和9)兩個監管方均能夠獨立解密聯盟鏈所有密態金額，實現交易金額的獨立統計與監管，實現對國家經濟活力的準確掌控，且對洗錢等非法行為進行嚴格打擊。

該系統創新點與難點在于第3步需要構造特殊的同態加密方案，實現金融隱私保護的功能，且使得第6/7/8/9步中的接收方、發送方和兩個監管方均能夠獨立解密，實現獨立的支付/接收金額統計和金融監管的功能。

圖1 聯盟鏈金融隱私保護與監管系統

4 方案構造

本節提出的具體構造方案基于文獻[16]提出的雙接收方公鑰加密方案和SM2橢圓曲線數字簽名[17]。基于聯盟鏈的金融隱私保護與監管方案具體構造包括以下9個算法：

初始化Init：橢圓曲線基域為Fq，橢圓曲線方程為y2=x3+ax+b。橢圓曲線上群G的生成元為P，其階為大素數n，其中n>2191；e為對稱雙線性映射e：G×G→GT；哈希函數H：{0，1}*→Zn，則系統公共參數為SP

SP=(a，b，e，G，GT，P，n，H)

(1)

密鑰生成KeyGen：交易發起方輸入系統公共參數SP，選擇隨機數x1∈Zn，如下計算

X1←x1P∈G

(2)

則交易發起方的私鑰和公鑰為(x1，X1)；類似地，接收方的私鑰和公鑰為(x2，X2)，監管方1的私鑰和公鑰為(x3，X3)，監管方2的私鑰和公鑰為(x4，X4)。

金額同態加密HEnc：交易發起方選擇隨機數r1∈Zn，輸入交易發起方私鑰x1、支付金額v1、交易接收方公鑰X2和兩個監管方的公鑰X3，X4，如下計算支付金額同態密文C1

C1=(U1，U2，U3)

(3)

類似地，交易發起方選擇隨機數r2∈Zn，輸入交易發起方私鑰x1、找零金額v2、交易發起方公鑰X1和兩個監管方的公鑰X3，X4，如下計算找零金額同態密文C2

C2=(V1，V2，V3)

(4)

注意：支付金額同態密文C1生成過程中嵌入了接收方公鑰X2，但是找零金同態額密文C2生成過程中嵌入的是交易發起方公鑰X1(因為找零金額同態密文C2的接收方就是交易發起方本人)。

類似地，交易發起方從聯盟鏈讀取需要花費的金額同態密文C0，有以下表達式

C0=(W1，W2，W3)

(5)

其中，x0對應上一交易單的發起方私鑰，而X1對應上一交易單的接收方公鑰。

交易發起方生成零知識證據π1表明其知道密態金額的輸入之和等于輸出之和v0=v1+v2。具體而言，交易發起方采用零知識證明協議證明其知道H(r0，x0·X1)-H(r1，x1·X2)-H(r2，x1·X1)，即滿足以下離散對數關系

W3/(U3·V3)

=e(X3，X4)(H(r0，x0·X1)-H(r1，x1·X2)-H(r2，x1·X1))

(6)

該離散對數等式中，交易發起方無法知道上一交易單中交易發起方的私鑰x0，但是，上述等式等價于以下等式

W3/(U3·V3)

=e(X3，X4)(H(r0，x1·X0)-H(r1，x1·X2)-H(r2，x1·X1))

(7)

因此，交易發起方能夠輸入其私鑰x1和公鑰X1、上一交易單中交易發起方的公鑰X0、接收方的公鑰X2、U1，V1，W1，輸出零知識證據。具體而言，交易發起方可用非交互式Sigma協議進行證明。

此外，交易發起方還需采用Bulletproofs范圍證明協議π2證明密態支付金額v1和密態找零金額v2均大于零v1≥0，v2≥0，即支付金額和找零金額范圍均屬于[0，264-1]范圍。

簽名算法Sig：交易發起方選擇隨機數k←Zn，輸入私鑰x1、需要花費的金額同態密文C0及其對應公鑰PK1、支付金額同態密文C1及其對應公鑰PK2、找零金額同態密文C2及其對應公鑰PK1，如下計算

(a1，b1)←kP∈G，

σ1←a1+SM3(m)modn，

σ2←(1+x1)-1·(k-σ1x1)modn

(8)

其中，m=(C0，PK1)‖(C1，PK2)‖(C2，PK1)。

如果σ1=0或σ2=0，則重新選擇隨機數k并重新計算σ1，σ2，否則簽名為σ=(σ1，σ2)。交易發起方將消息簽名對(m，σ)提交到聯盟鏈系統中。

驗證算法Verify：共識節點檢查σ1，σ2是否屬于[1，n-1]；如果否，則拒絕，否則以σ1、σ2和公鑰X1為輸入，如下計算

(a1，b1)←σ2P+(σ1+σ2)X1

(9)

如果σ1=a1+SM3(m)modn，無雙重花費，且密態金額的輸入之和等于輸出之和的零知識證據π1以及Bulletproofs范圍證明證據π2均驗證成功，則接受并存儲到聯盟鏈，否則拒絕。

接收方收款金額解密Dec1：接收方根據對應公鑰PK2，從聯盟鏈系統讀取密態交易金額C1，采用解密算法Dec1，輸入系統公共參數SP、其私鑰x2、交易發起方的公鑰X1、兩個監管方的公鑰X3，X4和支付金額同態密文C1，如下計算

e(P，P)v1←U3/e(X3，X4)H(U1，x2·X1)

(10)

交易發起方和接收方通常會事先或事后協商交易金額v1′，則接收方驗證協商金額v1′是否與收款金額v1一致

e(P，P)v1=e(P，P)v1′

(11)

如果一致，則接受，否則拒絕。如果交易發起方和接收方沒協商過交易金額v1′，交易金額范圍較小，則接收方能夠采用查找法快速查找出金額v1′使得等式e(P，P)v1=e(P，P)v1′成立，從而實現收款。

因此，接收方能夠解密所有收款金額，實現對收款金額的統計，并用于規劃下一階段的收款。

類似地，對于找零金額v2，交易發起方就是接收方，采用解密算法Dec1，輸入系統公共參數SP、其私鑰x1、交易發起方公鑰X1、兩個監管方的公鑰X3，X4和找零金額同態密文C2，如下計算

e(P，P)v2←V3/e(X3，X4)H(V1，x1·X1)

(12)

交易發起方知道找零金額v2′，則直接驗證找零金額解密等式e(P，P)v2=e(P，P)v2′的正確性。

因此，交易發起方能夠解密所有找零金額，實現對找零金額的統計，并用于下一輪的支付。

交易發起方支付金額解密Dec2：交易發起方根據對應公鑰X2，從聯盟鏈系統讀取交易數據C1，采用解密算法Dec2，輸入系統公共參數SP、私鑰x1、接收方的公鑰X2、兩個監管方的公鑰X3，X4和支付金額同態密文C1，如下計算明文支付金額v1

(13)

交易發起方知道支付金額v1′，則直接驗證支付金額解密等式e(P，P)v1=e(P，P)v1′的正確性。

因此，交易發起方能夠解密所有的支付金額，查看所有支付金額記錄，實現對支付金額的統計，并用于規劃下一階段的支付。

類似地，交易發起方根據對應公鑰X1，從聯盟鏈系統讀取交易數據C2，采用解密算法Dec2，輸入系統公共參數SP、私鑰x1、交易發起方的公鑰X1、兩個監管方的公鑰X3，X4和找零金額同態密文C2，如下計算明文找零金額v2

e(P，P)v2←V3/e(X3，X4)H(V1，x1·X1)

(14)

因此，交易發起方能夠解密所有的找零金額，查看所有找零金額，并用于規劃下一階段的支付。

監管方1解密Dec3：采用解密算法Dec3，輸入系統公共參數SP、私鑰x3、監管方2的公鑰X4和支付金額同態密文C1，如下計算明文金額v1

e(P，P)v1←U3/e(U2，X4)x3

(15)

采用查找法快速查找出金額v1′使得等式e(P，P)v1=e(P，P)v1′成立，實現交易金額v1的嚴格監管。

類似地，采用解密算法Dec3，輸入系統公共參數SP、私鑰x3、監管方2的公鑰X4和支付金額同態密文C2，如下計算明文金額v2

e(P，P)v2←V3/e(V2，X4)x3

(16)

采用查找法快速查找出找零金額v2′使得等式e(P，P)v2=e(P，P)v2′成立，實現找零金額v2的嚴格監管。因此，監管方1能夠實現對所有交易金額的解密，準確掌握國家經濟活力并嚴格打擊非法金融行為。

監管方2解密Dec4：采用解密算法Dec4，輸入系統公共參數SP、私鑰x4、監管方1的公鑰X3和支付金額同態密文C1，如下計算明文金額v1

e(P，P)v1←U3/e(U2，X3)x4

(17)

采用查找法快速查找出金額v1′使得等式e(P，P)v1=e(P，P)v1′成立，實現交易金額v1的嚴格監管。

類似地，采用解密算法Dec4，輸入系統公共參數SP、私鑰x4、監管方1的公鑰X3和支付金額同態密文C2，如下計算明文金額v2

e(P，P)v2←V3/e(V2，X3)x4

(18)

采用查找法快速查找出找零金額v2′使得等式e(P，P)v2=e(P，P)v2′成立，實現找零金額v2的嚴格監管。因此，監管方2能夠實現對所有交易金額的解密，準確掌握國家經濟活力并嚴格打擊非法金融行為。

5 應用分析

隱私保護：采用同態加密對交易金額進行加密，并使用零知識證明協議證明密態情況下需要支付的金額等于支付給接收方的金額和找零金額之和，使用Bulletproofs范圍證明協議證明涉及的所有金額均大于零。因此，共識節點能夠驗證支付金額的正確性，但是不知道具體的明文金額，從而實現金融隱私保護。

接收方可解密性：接收方能夠解密收款金額，則能夠定期統計所有的收款金額，并用于規劃金融事務。

發送方可解密性：交易發起方能夠解密所有支付金額，則能夠定期統計所有的支付金額，并用于規劃金融事務。

監管方1和2可解密性：兩個監管方能夠獨立解密用戶之間的交易，能夠獨立準確掌控國家經濟活力，并發現非法金融行為。該過程實現了分權監管，能夠進一步防止腐敗行為。因此，本方案的監管能夠具有較大的實用性。

6 方案對比

將本系統中的加密方案與文獻[16]中的方案進行對比。文獻[16]中的兩個接收方對應與本文同態加密方案中的兩個監管方；此外，本文同態加密方案中，發送方和接收方均能夠獨立解密密文。因此，本文方案相比文獻[16]中的方案具有更大的應用范圍。本文方案與文獻[16]加密方案私鑰和公鑰長度相等。令κ為私鑰或隨機數的長度，|G|為群G的元素長度，|GT|為雙線性群GT的元素長度，e為群G上指數計算復雜度，eT為雙線性群GT上的指數計算復雜度，哈希函數H的計算復雜度可忽略，群G和雙線性群GT的內部橢圓曲線點計算復雜度可忽略。文獻[16]的構造方案中，從密文中刪除接收方1的公鑰u=yP，則與本文的構造方案具有對應關系。

如表1所示，本系統中的加密方案比文獻[16]的加密方案多了一個接收方。此外，發送方可解密是本加密方案的一大亮點：發送方解密密文，則能夠用于定期統計所有的支付金額，并用于規劃金融活動，具有較好的應用前景。

表1 算法對比

表2 算法測試(單位：毫秒ms)

7 算法測試

對本文方案進行實驗測試。實驗設備信息：內核x86＿64操作系統Linux 4.17.6-1-ARCH，運算芯片Intel i5-8550U 1.60GHz，內存8GB。實驗選擇SM3作為哈希函數的具體實現，加密算法采用SM9算法推薦的橢圓曲線，橢圓曲線群的階為191bit。如圖表1所示，橫向表示運行時間(單位毫秒)，縱向表示關鍵算法。

本方案加密部分比文獻[16]加密時間長0.32ms，主要原因是金額在雙線性群上進行計算e(P，P)v。該計算完全取決于金額的取值。如果金額較大，則雙線性群上的計算較慢。如果金額較小，則計算較快。因為文獻[16]的方案沒有實現同態加密，所以計算速度較快。同樣原因，由于本加密方案實現了同態加密功能，所以監管方1和監管方2的解密時間僅比文獻[16]慢0.32ms和0.33ms。

8 結語

本文提出一種聯盟鏈金融隱私保護與監管系統，使用同態加密實現交易額隱私保護與監管。方案中的交易發起方、接收方、監管方1和監管方2均能夠解密，從而實現交易發起方支付金額統計、接收方收款金額統計，兩個監管方進行獨立監管。給出金額隱私保護與監管交易系統的形式化模型，定義了加密方案的安全模型，并在安全模型下證明加密方案是安全的。最后，對本文的加密方案和文獻16進行理論對比和實驗測試，結果表明本方案效率較高，具有較好的應用前景。