祝烈煌，董慧，沈蒙

北京理工大學(xué)計(jì)算機(jī)學(xué)院，北京 100081

1 引言

區(qū)塊鏈技術(shù)是一種分布式的互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)技術(shù)，它的去中心化、去信任化、公開(kāi)透明等特點(diǎn)使陌生節(jié)點(diǎn)之間可以在不依賴于第三方可信機(jī)構(gòu)的情況下建立起點(diǎn)對(duì)點(diǎn)的可信價(jià)值傳遞，主要優(yōu)勢(shì)在于能夠顯著降低信任成本、提升交互效率。區(qū)塊鏈網(wǎng)絡(luò)中沒(méi)有中心服務(wù)器，系統(tǒng)中的每個(gè)參與節(jié)點(diǎn)都持有完整的數(shù)據(jù)副本，它們共同維護(hù)著數(shù)據(jù)的完整性，能夠有效避免集中式服務(wù)器單點(diǎn)崩潰和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

然而，區(qū)塊鏈中記錄交易數(shù)據(jù)的全局賬本在網(wǎng)絡(luò)中是公開(kāi)的，任意攻擊者都能夠獲取所有交易信息，使交易者的隱私有泄露的風(fēng)險(xiǎn)。例如，比特幣系統(tǒng)目前的交易數(shù)據(jù)大約為155 GB，包含從2009年開(kāi)始運(yùn)行到當(dāng)前時(shí)刻的所有交易記錄。對(duì)賬本中的數(shù)據(jù)進(jìn)行分析整理，攻擊者可以獲得任意一個(gè)賬戶對(duì)應(yīng)的所有交易，還可以分析不同賬戶之間的交易關(guān)系圖譜，即使用戶采用不同的賬戶進(jìn)行交易，攻擊者也可以利用地址聚類技術(shù)分析出隸屬于同一個(gè)用戶的不同賬戶[1-5]①②https://en.bitcoin.it/wiki/Coinbase。而且由于用戶進(jìn)行的每一筆比特幣交易都將永久記錄在區(qū)塊鏈中，一旦某一筆歷史交易被實(shí)名化（例如比特幣交易所受到黑客攻擊，導(dǎo)致用戶賬戶信息泄露），則相關(guān)的所有交易記錄中的交易者身份信息都將泄露。此外，隨著區(qū)塊鏈交易逐漸被應(yīng)用到日常支付領(lǐng)域，攻擊者可以利用鏈外信息推測(cè)區(qū)塊鏈中賬戶的身份。例如，將用戶的購(gòu)物記錄和比特幣賬戶支付記錄進(jìn)行對(duì)比，分析賬戶的身份信息。

針對(duì)基于數(shù)據(jù)分析的隱私竊取方法，目前已出現(xiàn)一些隱私保護(hù)機(jī)制。主要思想是在不影響區(qū)塊鏈系統(tǒng)正常工作的情況下，對(duì)公開(kāi)數(shù)據(jù)中的部分信息進(jìn)行隱藏，增加數(shù)據(jù)分析的難度。其中，混幣是一種應(yīng)用廣泛的隱私保護(hù)方法?；鞄艡C(jī)制的核心思想是隱藏區(qū)塊鏈交易雙方的交易過(guò)程，使攻擊者無(wú)法準(zhǔn)確分析出不同地址之間的關(guān)聯(lián)關(guān)系，從而將交易者的交易關(guān)系分散在相互無(wú)關(guān)聯(lián)的地址中，增加分析交易者身份的難度。目前的混幣機(jī)制主要分為中心化的混幣機(jī)制和去中心化的混幣機(jī)制，在執(zhí)行效率、混幣效果、混幣費(fèi)用等指標(biāo)上還有提升空間，并存在拒絕服務(wù)攻擊、混幣過(guò)程泄密等安全問(wèn)題。

混幣機(jī)制能夠模糊區(qū)塊鏈交易中付款人和收款人的關(guān)系，增加攻擊者通過(guò)公開(kāi)賬本分析用戶交易規(guī)律的難度，是一種提升區(qū)塊鏈隱私保護(hù)能力的有效機(jī)制。通過(guò)研究混幣機(jī)制的原理，分析不同混幣機(jī)制存在的優(yōu)勢(shì)和缺陷，有利于設(shè)計(jì)出性能更優(yōu)的混幣機(jī)制，同時(shí)為不同場(chǎng)景下混幣機(jī)制的選擇提供評(píng)價(jià)依據(jù)。

2 相關(guān)知識(shí)

2.1 區(qū)塊鏈技術(shù)概述

區(qū)塊鏈?zhǔn)钦Q生于比特幣的底層技術(shù)，最早的定義來(lái)自于中本聰在2008年發(fā)表的文章③https://www.bitcoin.org/bitcoin.pdf，近年來(lái)在不斷的延伸與擴(kuò)展中發(fā)生了很多改變，逐漸形成了新型技術(shù)體系，且仍然在不斷發(fā)展演變。通常認(rèn)為區(qū)塊鏈系統(tǒng)的基礎(chǔ)架構(gòu)可以按照數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層進(jìn)行劃分，但是隨著區(qū)塊鏈技術(shù)的發(fā)展，很多傳統(tǒng)的模塊被弱化，甚至不存在意義，例如在聯(lián)盟鏈和私有鏈技術(shù)中已經(jīng)不需要激勵(lì)層。通過(guò)分析區(qū)塊鏈的核心技術(shù)與發(fā)展趨勢(shì)，可以將區(qū)塊鏈技術(shù)的基礎(chǔ)架構(gòu)簡(jiǎn)化為3個(gè)層次，即網(wǎng)絡(luò)層、交易層和應(yīng)用層。網(wǎng)絡(luò)層負(fù)責(zé)區(qū)塊鏈網(wǎng)絡(luò)的建立和各個(gè)節(jié)點(diǎn)之間的信息轉(zhuǎn)發(fā)。交易層負(fù)責(zé)交易數(shù)據(jù)的創(chuàng)建、驗(yàn)證和存儲(chǔ)，應(yīng)用層負(fù)責(zé)提供多樣化的應(yīng)用服務(wù)。

其中，區(qū)塊鏈的核心業(yè)務(wù)是在交易層中實(shí)現(xiàn)的，即兩個(gè)“地址”之間以交易的形式進(jìn)行可靠、具有公信力的數(shù)據(jù)傳遞。交易層的主要內(nèi)容包括地址格式、交易格式、全局賬本和共識(shí)機(jī)制。

區(qū)塊鏈中的“地址”是用戶為了隱藏真實(shí)身份而使用的假名，可以使用公鑰并經(jīng)過(guò)加密算法（例如ECC）得到。在加密算法中，公鑰用于生成交易的輸入地址與輸出地址，私鑰信息由用戶自己保存，用于生成支付比特幣時(shí)所必需的證明資金所有權(quán)的簽名。

區(qū)塊鏈中的“交易”對(duì)用戶之間數(shù)據(jù)交互的過(guò)程進(jìn)行記錄，并發(fā)布于區(qū)塊鏈網(wǎng)絡(luò)。交易中包含輸入地址、輸出地址和交易內(nèi)容等信息。交易內(nèi)容在數(shù)字貨幣中代表交易的金額，在其他應(yīng)用中，可能代表一個(gè)字符串或者一個(gè)證書(shū)ID。在區(qū)塊鏈數(shù)字貨幣應(yīng)用中，為了保證交易的可靠性，支付方必須有足夠的資金進(jìn)行支付，區(qū)塊鏈交易中將采用特殊設(shè)計(jì)確保輸入資金大于輸出資金。例如，比特幣中輸入地址不僅包含付款方的賬戶信息，還包含此項(xiàng)輸入資金的來(lái)源信息和簽名信息，驗(yàn)證方可以根據(jù)輸入地址信息找到資金源頭，并利用簽名驗(yàn)證發(fā)送方是否有指定資金的所有權(quán)。

全局賬本是區(qū)塊鏈的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，用于存儲(chǔ)所有的交易記錄、合約以及相關(guān)的參數(shù)信息。全局賬本通常由“區(qū)塊”構(gòu)成，交易信息按照一定順序存儲(chǔ)在區(qū)塊中，同時(shí)保存這些交易的散列值、時(shí)間戳等參數(shù)，每個(gè)區(qū)塊中可以存儲(chǔ)的交易信息是有限的。區(qū)塊之間按照時(shí)間關(guān)系通過(guò)區(qū)塊散列連接。全局賬本在系統(tǒng)中不是集中存儲(chǔ)的，所有參與節(jié)點(diǎn)都各自維護(hù)一個(gè)本地的全局賬本，鄰居節(jié)點(diǎn)之間通過(guò)定期的信息交換使全局賬本保持同步。

區(qū)塊鏈技術(shù)的共識(shí)機(jī)制可以保證區(qū)塊鏈網(wǎng)絡(luò)中事務(wù)的順序在所有節(jié)點(diǎn)上保持一致。常見(jiàn)的共識(shí)機(jī)制包括工作證明（proof of work，POW）機(jī)制[6]、股權(quán)證明（proof of s t ake，POS）機(jī)制④https://bravenewcoin.com/assets/Uploads/TransactionsAs ProofOfStake10.pdf、拜占庭容錯(cuò)（PBFT）機(jī)制[7]等。共識(shí)機(jī)制的目的是使分布式的節(jié)點(diǎn)能夠按照統(tǒng)一的規(guī)則驗(yàn)證交易合法性，并選出相同的一組交易作為下一個(gè)區(qū)塊的數(shù)據(jù)。例如，POW機(jī)制的基本工作原理是眾多競(jìng)爭(zhēng)節(jié)點(diǎn)通過(guò)解決一個(gè)數(shù)學(xué)難題競(jìng)爭(zhēng)記賬權(quán)，只有被證明付出了最大工作量的節(jié)點(diǎn)才可以當(dāng)選為記賬節(jié)點(diǎn)，該節(jié)點(diǎn)有權(quán)在區(qū)塊鏈上記錄新的交易，生成新的區(qū)塊。其他節(jié)點(diǎn)會(huì)以很小的計(jì)算代價(jià)驗(yàn)證此區(qū)塊上的所有交易，合法的區(qū)塊將被所有節(jié)點(diǎn)同步。通過(guò)這種機(jī)制，能夠保證分布式節(jié)點(diǎn)中的全局賬本是相同的，而且全局賬本中的每一筆交易都要經(jīng)過(guò)大多數(shù)節(jié)點(diǎn)的認(rèn)可，具有較高的公信力。

2.2 區(qū)塊鏈交易面臨的隱私泄露威脅

根據(jù)區(qū)塊鏈技術(shù)的特點(diǎn)，可以分析出區(qū)塊鏈交易具有以下特征。

● 區(qū)塊鏈交易中包含輸入地址和輸出地址信息，而且每一個(gè)輸入地址都指向前一筆交易，即所有輸入資金都能夠追溯到源頭。

● 區(qū)塊鏈交易存儲(chǔ)在公開(kāi)的全局賬本中，任意參與用戶都可以獲得完整的全局賬本。而且由于在共識(shí)過(guò)程驗(yàn)證節(jié)點(diǎn)需要檢索歷史交易，因此所有的交易信息不能直接采用加密等手段保護(hù)數(shù)據(jù)。

這些特征導(dǎo)致區(qū)塊鏈交易數(shù)據(jù)面臨隱私泄露威脅。以比特幣為例，比特幣交易中的地址都是由用戶自行創(chuàng)建且與身份信息無(wú)關(guān)的，任何人無(wú)法直接通過(guò)觀察交易記錄推測(cè)出交易中用戶的身份信息。但是全局賬本公開(kāi)的交易之間存在關(guān)聯(lián)關(guān)系，潛在攻擊者有可能通過(guò)分析全局賬本中的交易記錄推測(cè)出比特幣地址的交易規(guī)律，包括地址的交易頻率、交易特征、地址之間的關(guān)聯(lián)關(guān)系等?；谶@些規(guī)律，攻擊者有可能將匿名比特幣地址和特定用戶相關(guān)聯(lián)。

目前已經(jīng)有許多研究通過(guò)分析區(qū)塊鏈交易推測(cè)區(qū)塊鏈用戶的隱私信息。根據(jù)分析目的的不同，可以將這些研究分為以下兩類。

第一類研究主要通過(guò)分析地址相關(guān)的交易記錄，獲得該地址交易的規(guī)律特征，據(jù)此推測(cè)對(duì)應(yīng)用戶的身份信息。由于在某一特定類型的區(qū)塊鏈交易中會(huì)存在它特有的交易特征，攻擊者可以根據(jù)地址的交易特征，對(duì)其交易發(fā)生的真實(shí)場(chǎng)景進(jìn)行還原，從而做出用戶真實(shí)身份的推測(cè)。Androulaki E等人[8]設(shè)計(jì)了一個(gè)匹配區(qū)塊鏈地址與學(xué)生身份的模擬實(shí)驗(yàn)，學(xué)生以比特幣作為日常交易的支付手段，并使用比特幣推薦的一次性地址方法加強(qiáng)隱私保護(hù)，分析人員通過(guò)基于行為的聚類技術(shù)，能夠以42%的準(zhǔn)確率將學(xué)生身份和區(qū)塊鏈地址成功匹配。Monaco J V[9]將比特幣用戶的交易行為進(jìn)行量化，以交易時(shí)間間隔、資金流向等12項(xiàng)參數(shù)為依據(jù)分析用戶的交易規(guī)律，經(jīng)過(guò)6個(gè)月實(shí)驗(yàn)得到的大量數(shù)據(jù)表明，利用這種分析模型成功識(shí)別用戶真實(shí)身份的精度高達(dá)62%，錯(cuò)誤率低于10.1%。

第二類研究主要利用區(qū)塊鏈交易設(shè)計(jì)中存在的一些潛在知識(shí)，實(shí)現(xiàn)對(duì)不同地址的聚類，得到同一個(gè)用戶的多個(gè)地址。針對(duì)地址聚類目前主要有以下3條聚類規(guī)則。

● 對(duì)于一個(gè)具有多輸入地址的交易，通常認(rèn)為所有的輸入地址都來(lái)自同一個(gè)用戶個(gè)體或用戶的集合。當(dāng)用戶發(fā)起一次交易時(shí)，資金可能來(lái)自于用戶的多個(gè)地址，而多輸入交易中用戶需要對(duì)每個(gè)輸入地址單獨(dú)進(jìn)行簽名，因此大多數(shù)多輸入交易的輸入地址來(lái)自同一個(gè)用戶。這項(xiàng)規(guī)則已經(jīng)應(yīng)用于很多研究中[1-3]，取得了很好的聚類效果。

● 同一個(gè)Coinbase交易中的多個(gè)輸出地址屬于同一個(gè)用戶集合。隨著“挖礦”難度的增加，個(gè)體“礦工”已經(jīng)無(wú)法在競(jìng)爭(zhēng)中獲勝，需要成百上千的“礦工”加入“礦池”共同完成一次“挖礦”，得到的獎(jiǎng)勵(lì)會(huì)分配給參與集體“挖礦”的“礦工”。Coinbase交易表示將獎(jiǎng)勵(lì)發(fā)送給“礦工”的過(guò)程。

● 交易中找零地址和輸入地址隸屬于同一個(gè)用戶。在一次交易中，輸入地址中的總金額可能會(huì)大于用戶發(fā)出的金額，因此比特幣系統(tǒng)會(huì)為發(fā)送方自動(dòng)產(chǎn)生一個(gè)找零地址，用于接收交易中的找零資金。找零地址與其他地址一樣都有可能被系統(tǒng)選擇成為新的交易中的輸入地址，但作為輸出地址的情況一般只會(huì)出現(xiàn)一次。由于找零地址在交易發(fā)生時(shí)是由系統(tǒng)重新生成的，因此一個(gè)地址不可能同時(shí)作為一次交易的輸入地址和輸出地址，交易的輸出中也必然存在找零地址以外的輸出地址。利用找零地址的這些特征，可以發(fā)現(xiàn)更多地址之間的關(guān)聯(lián)關(guān)系。

目前已經(jīng)有很多研究利用上述聚類規(guī)則，發(fā)現(xiàn)了比特幣系統(tǒng)中很多地址之間的關(guān)聯(lián)性。Meiklejohn S等人[4]通過(guò)使用啟發(fā)式聚類方法實(shí)現(xiàn)了對(duì)比特幣盜竊案件中相關(guān)比特幣地址的識(shí)別。Zhao C[5]完成了一個(gè)全面的聚類過(guò)程，根據(jù)比特幣全局賬本中的全部交易數(shù)據(jù)，將35 587 286個(gè)比特幣地址劃分為13 062 822個(gè)用戶的地址集合。

3 混幣機(jī)制

完全公開(kāi)的交易存儲(chǔ)機(jī)制使區(qū)塊鏈交易存在隱私泄露風(fēng)險(xiǎn)，因此有必要在區(qū)塊鏈系統(tǒng)中采用相應(yīng)的隱私保護(hù)機(jī)制，在滿足區(qū)塊鏈共識(shí)機(jī)制的條件下，盡可能隱藏?cái)?shù)據(jù)信息和數(shù)據(jù)背后的知識(shí)。在現(xiàn)有的研究中，一種廣泛應(yīng)用的方法是在不改變交易結(jié)果的前提下改變交易過(guò)程，使攻擊者無(wú)法直接獲得交易的完整信息，這種方法被稱為“混幣”。Chaum D[10]的文章提出了一種匿名通信技術(shù)，在通信過(guò)程中隱藏了真實(shí)的通信內(nèi)容，基本思想可以通過(guò)式（1）表達(dá)：

式（1）左側(cè)為發(fā)送方發(fā)給中間人的信息，右側(cè)為中間人將信息處理后發(fā)送給接收方的消息。發(fā)送方想要將消息Z0和m發(fā)送給接收方的地址A，首先使用接收方的密鑰CA對(duì)消息進(jìn)行加密得到CA(Z0,m)，然后將中間人的驗(yàn)證消息Z1、加密后的消息CA(Z0,m)和接收方地址A進(jìn)行打包，并使用中間人的公鑰CM進(jìn)行加密，防止信息在發(fā)送過(guò)程中被攻擊者截獲或篡改。中間人收到信息后使用自己的私鑰進(jìn)行解密，得到Z1, CA(Z0,m), A，但無(wú)法解密CA(Z0,m)的內(nèi)容。中間人在驗(yàn)證Z1無(wú)誤后，將CA(Z0,m)發(fā)送給地址A。接收方使用自己的私鑰解密消息，完成此次通信。

利用這種方法，消息沒(méi)有在發(fā)送者和接收者之間直接傳遞，而是通過(guò)中間人間接傳遞，使攻擊者無(wú)法觀察到真實(shí)發(fā)送者和接收者之間的通信行為，提高了通信的匿名性。若將消息通過(guò)多個(gè)中間人進(jìn)行傳遞，攻擊者發(fā)現(xiàn)雙方通信關(guān)系的難度將大大增加。

數(shù)字貨幣中的混幣機(jī)制借鑒了上述思想，通過(guò)中間人對(duì)資金進(jìn)行中轉(zhuǎn)，使攻擊者無(wú)法直接發(fā)現(xiàn)交易中真實(shí)的發(fā)送方和接收方。數(shù)字貨幣的混幣機(jī)制原理如圖1所示。假設(shè)A和A1是一個(gè)用戶的兩個(gè)數(shù)字貨幣地址，C是潛在攻擊者，能觀察到發(fā)生的所有交易。用戶希望使用地址A向地址A1轉(zhuǎn)賬，但是不希望潛在攻擊者發(fā)現(xiàn)這次交易。通過(guò)采用混幣機(jī)制，攻擊者C無(wú)法直接觀察到從A到A1的交易過(guò)程，從而不會(huì)發(fā)現(xiàn)A和A1的關(guān)聯(lián)。

混幣過(guò)程的執(zhí)行可以由可信的第三方或某種協(xié)議實(shí)現(xiàn)。根據(jù)混幣過(guò)程中有無(wú)第三方節(jié)點(diǎn)參與，將現(xiàn)有的混幣機(jī)制分為兩類：基于中心節(jié)點(diǎn)的混幣機(jī)制和去中心化的混幣機(jī)制。這兩種機(jī)制在混幣可靠性、混幣效率和混幣成本等方面各有優(yōu)勢(shì)和缺陷，本文將分別介紹兩類混幣機(jī)制的原理和特點(diǎn)。

4 基于中心節(jié)點(diǎn)的混幣機(jī)制

基于中心節(jié)點(diǎn)的混幣機(jī)制中，混幣過(guò)程由第三方節(jié)點(diǎn)集中執(zhí)行，因此也可以稱為中心化混幣方案。參與混幣的用戶首先將資金發(fā)送給第三方節(jié)點(diǎn)，第三方節(jié)點(diǎn)收到多個(gè)混幣用戶發(fā)來(lái)的資金后進(jìn)行一系列資金分配，最終將指定金額的資金分別轉(zhuǎn)移給指定的收款地址。由于資金沒(méi)有直接在發(fā)送方和接收方之間傳遞，而是經(jīng)過(guò)第三方節(jié)點(diǎn)的處理，對(duì)資金流向進(jìn)行了干擾，因此攻擊者很難發(fā)現(xiàn)參與用戶的資金流向。

基于中心節(jié)點(diǎn)的混幣方法原理如圖2所示。用戶希望使用地址A向地址A1轉(zhuǎn)賬，但為了防止?jié)撛诠粽逤直接發(fā)現(xiàn)A和A1的關(guān)系，可以首先使用地址A向第三方地址D轉(zhuǎn)賬，D在一段時(shí)間后向用戶指定的地址A1轉(zhuǎn)賬，最終實(shí)現(xiàn)資金在A和A1之間的轉(zhuǎn)移。在一定時(shí)間內(nèi)，第三方節(jié)點(diǎn)可能完成了多個(gè)用戶的混幣過(guò)程，這在一定程度上隱藏了A和A1的關(guān)系，使得攻擊者無(wú)法在A1、E1、F1中找到與A具有關(guān)聯(lián)關(guān)系的地址。但是通過(guò)綜合分析A、D、A1三者在一段時(shí)間內(nèi)的交易過(guò)程，攻擊者有一定概率猜測(cè)出A和A1是一次真實(shí)交易的發(fā)送方與接收方。例如，在一定時(shí)間內(nèi)D有n個(gè)輸出，則攻擊者找到正確交易鏈路的概率是1/n。

圖1 混幣機(jī)制原理

圖2 基于中心節(jié)點(diǎn)的混幣機(jī)制原理

為了防止?jié)撛诠粽咄茰y(cè)出混幣過(guò)程隱藏的交易關(guān)系，第三方節(jié)點(diǎn)在執(zhí)行混幣機(jī)制時(shí)需要遵循一定的限制條件，具體如下。

● A向D轉(zhuǎn)賬和D向A1轉(zhuǎn)賬這兩筆交易之間需要存在一定時(shí)間間隔t。否則，攻擊者可以根據(jù)時(shí)間關(guān)系推測(cè)出真實(shí)的交易關(guān)系。

● 在時(shí)間間隔t以內(nèi)，D發(fā)出的交易數(shù)量n越多，混幣的效果越好，因?yàn)檫@將減小推測(cè)成功的概率1/n。

● 在一次混幣過(guò)程中，各項(xiàng)真實(shí)交易的金額不能有明顯區(qū)別。當(dāng)?shù)谌焦?jié)點(diǎn)發(fā)出的交易中僅有一筆發(fā)送給A1的交易金額與A發(fā)出的金額相近，那么攻擊者可以由此猜測(cè)出A-D-A1的交易鏈路。

● 第三方節(jié)點(diǎn)可以使用不同的地址作為轉(zhuǎn)賬的接收方和發(fā)送方，從而提升混幣效果。如圖3所示，第三方的地址D收到來(lái)自A的轉(zhuǎn)賬，然后通過(guò)地址E將資金轉(zhuǎn)出。這種情況下，攻擊者C在不知道D和D1關(guān)系的情況下，很難推測(cè)出A和A1的交易關(guān)系。

圖3 第三方使用多地址的混幣過(guò)程

此類方法簡(jiǎn)單易行，不需要額外的技術(shù)改進(jìn)，適用于比特幣等各種數(shù)字貨幣。這種機(jī)制中，用戶根據(jù)經(jīng)驗(yàn)選擇混幣服務(wù)提供商，首先向混幣服務(wù)商轉(zhuǎn)移資金，并支付一定的服務(wù)費(fèi)用，混幣服務(wù)商收到后將資金轉(zhuǎn)移給用戶指定的地址。目前提供這種混幣服務(wù)的網(wǎng)站有BitLaundry、Bitcoin Fog⑤http://bitcoinfog.info/、Blockchain.info等。

但是，使用這種方法完成混幣的過(guò)程完全依賴于第三方節(jié)點(diǎn)，因此存在以下幾點(diǎn)嚴(yán)重的缺陷。

● 額外收費(fèi)和交易延遲?；鞄欧?wù)提供商通常會(huì)收取一定的混幣費(fèi)用，并且隨著混幣次數(shù)的增加，費(fèi)用直線上升，混幣時(shí)間也會(huì)增加。通常混幣的時(shí)延為48 h，交易費(fèi)用為1%～3%。

● 第三方可能偷竊資金。若在混幣服務(wù)中不設(shè)置高效的監(jiān)督機(jī)制，第三方節(jié)點(diǎn)有可能在收到用戶資金后不執(zhí)行約定的轉(zhuǎn)賬操作，偷竊用戶資金，而用戶無(wú)法追責(zé)。

● 第三方可能泄露混幣過(guò)程。由于第三方節(jié)點(diǎn)掌握全部的混幣過(guò)程，了解真實(shí)的交易內(nèi)容，從而無(wú)法保證混幣信息不被泄露。

為了保證第三方節(jié)點(diǎn)的可信度，Bonneau J等人[11]提出一種改進(jìn)的中心化混幣方案——Mixcoin。通過(guò)設(shè)置審計(jì)功能，使用戶有權(quán)公布簽名數(shù)據(jù)，揭露第三方節(jié)點(diǎn)的違規(guī)行為，混幣服務(wù)商將付出失去信譽(yù)的代價(jià)。但是該方案沒(méi)有從根源上解除第三方對(duì)信息泄露的威脅。Valenta L等人[12]在Mixcoin的基礎(chǔ)上使用盲簽名技術(shù)進(jìn)一步優(yōu)化，設(shè)計(jì)了Blindcoin方案，使第三方節(jié)點(diǎn)在正常提供混幣服務(wù)的同時(shí)，無(wú)法得到所有交易中交易雙方的真實(shí)信息，從而避免信息泄露的風(fēng)險(xiǎn)。但使用盲簽名技術(shù)必然會(huì)增加混幣過(guò)程中的計(jì)算量。ShenTu Q C等人[13]提出一種更加高效的盲簽名混幣方案，使用橢圓曲線加密算法提升計(jì)算效率。2015年上線運(yùn)營(yíng)的匿名數(shù)字貨幣達(dá)世幣（Dash）⑥https://www.dash.org/是一款基于比特幣技術(shù)，并以保護(hù)用戶隱私為目的的數(shù)字貨幣。達(dá)世幣中所有執(zhí)行混幣過(guò)程的中心節(jié)點(diǎn)都必須支付高額押金作為擔(dān)保，否則無(wú)法獲得提供混幣服務(wù)的權(quán)利。這種方案通過(guò)加設(shè)第三方節(jié)點(diǎn)違規(guī)操作應(yīng)付出的代價(jià)，保護(hù)混幣用戶的隱私及財(cái)產(chǎn)安全。

中心化混幣方案的本質(zhì)是單純地將一筆資金在多個(gè)地址中進(jìn)行多次轉(zhuǎn)移，實(shí)現(xiàn)簡(jiǎn)單，易于操作，混幣過(guò)程不需要其他的技術(shù)支持，在區(qū)塊鏈技術(shù)下的各類數(shù)字貨幣系統(tǒng)中具有極高的適用性。但是，現(xiàn)有的中心化混幣方案普遍存在時(shí)延問(wèn)題。大多數(shù)改進(jìn)方案通過(guò)增加第三方違規(guī)的代價(jià)來(lái)防止盜竊和信息泄露的發(fā)生，不能從根本上杜絕違規(guī)行為的發(fā)生，采用盲簽名等密碼學(xué)技術(shù)的混幣方案會(huì)增加計(jì)算代價(jià)，并且由第三方執(zhí)行混幣過(guò)程必然會(huì)帶來(lái)額外的服務(wù)開(kāi)銷(xiāo)。筆者從是否需要混幣費(fèi)用、是否存在盜竊風(fēng)險(xiǎn)等方面對(duì)現(xiàn)有的中心化混幣機(jī)制特征作出對(duì)比分析，見(jiàn)表1。

5 去中心化的混幣機(jī)制

去中心化混幣方案的混幣過(guò)程通過(guò)混幣協(xié)議實(shí)現(xiàn)，不需要第三方節(jié)點(diǎn)參與。最早的去中心化混幣方案是由 Gregory Maxwell在比特幣論壇上提出的CoinJoin機(jī)制。CoinJoin機(jī)制核心思想是通過(guò)將多個(gè)交易合并成一個(gè)交易的方法，隱藏交易雙方輸入輸出的對(duì)應(yīng)關(guān)系。如圖4所示，當(dāng)一筆交易中只有一個(gè)輸入地址與一個(gè)輸出地址時(shí)，攻擊者可以直接觀察到交易雙方的關(guān)聯(lián)關(guān)系，而在CoinJoin機(jī)制下，若干筆單輸入—單輸出交易被合并為一筆多輸入—多輸出交易，交易的雙方由兩個(gè)單獨(dú)的地址變?yōu)閮蓚€(gè)地址的集合。對(duì)于一個(gè)多輸入—多輸出交易，潛在攻擊者無(wú)法通過(guò)觀察交易信息確認(rèn)輸入和輸出之間的對(duì)應(yīng)關(guān)系。一般情況下，CoinJoin機(jī)制需要第三方服務(wù)器撮合所有混幣申請(qǐng)方進(jìn)行簽名。CoinJoin交易中，每個(gè)用戶獨(dú)立分散地完成簽名，只有提供了所有簽名并進(jìn)行合并，交易才能被判定合法，并被網(wǎng)絡(luò)接收。這種去中心化的混幣機(jī)制免除了第三方服務(wù)提供者的參與，混幣過(guò)程是在所有混幣用戶的共同參與下完成的，從而有效避免了第三方盜竊與泄露混幣信息的風(fēng)險(xiǎn)。CoinJoin是去中心化混幣機(jī)制的基礎(chǔ)，其思想被運(yùn)用在多種匿名比特幣協(xié)議中，例如Dark Wallet⑦h(yuǎn)ttps://www.wired.com/2014/04/darkwallet/、CoinShuffle⑧http://insidebitcoins.com/news/coinshuffleaims-to-improve-privacy-inbitcoin/29269和 Join Market。

表1 基于中心節(jié)點(diǎn)混幣機(jī)制特征對(duì)比

圖4 CoinJoin機(jī)制示意

CoinJoin機(jī)制對(duì)所有用戶交易的匿名性提供了強(qiáng)大的保障。即使只有部分用戶使用這種協(xié)議，攻擊者也會(huì)因無(wú)法準(zhǔn)確識(shí)別全局賬本中使用該協(xié)議的交易，而無(wú)法使用第2.2節(jié)中介紹的分析方法。這種不依賴第三方節(jié)點(diǎn)的混幣機(jī)制能夠從根源解決中心化混幣方案中存在的資金偷竊、混幣費(fèi)用等問(wèn)題。但是，由于沒(méi)有第三方參與混幣的組織與執(zhí)行，混幣用戶往往需要自行組織協(xié)商，并完成混幣過(guò)程，從而暴露出以下問(wèn)題：

● 依然需要第三方節(jié)點(diǎn)協(xié)助完成尋找混幣用戶的過(guò)程，因此仍不可避免中心化混幣中的一些威脅；

● 參與混幣的用戶在協(xié)商的過(guò)程中可能暴露自己的混幣信息，無(wú)法保證所有混幣參與方守信；

● 在執(zhí)行混幣過(guò)程中，如果由于部分節(jié)點(diǎn)違規(guī)操作導(dǎo)致混幣失敗，攻擊者有可能趁機(jī)發(fā)起拒絕服務(wù)攻擊；

● CoinJoin方案形成的多輸入多輸出交易將記錄在全局賬本中，用戶無(wú)法抵賴其曾經(jīng)參與過(guò)混幣。

針對(duì)CoinJoin機(jī)制的缺陷，出現(xiàn)了很多改進(jìn)方法。Ruffing T等人[14]提出一種完全去中心化的比特幣混幣協(xié)議——CoinShuffle，在CoinJoin的基礎(chǔ)上增加了將輸出地址洗牌的機(jī)制，使混幣參與者無(wú)法得到自己以外的交易地址關(guān)聯(lián)關(guān)系。但是該方案在執(zhí)行混幣過(guò)程時(shí)要求所有參與者同時(shí)在線，容易遭受拒絕服務(wù)攻擊。Bissias G等人[15]提出一種基于區(qū)塊鏈廣告匿名尋找混幣參與者的去中心化混幣協(xié)議——Xim，隨著混幣參與用戶數(shù)量的增加，攻擊者發(fā)動(dòng)攻擊的代價(jià)也會(huì)線性增加，從而有效避免拒絕服務(wù)攻擊。CoinParty[16]中由安全多方計(jì)算模擬可信第三方，即使在部分混幣參與節(jié)點(diǎn)惡意操作或失效的情況下，混幣過(guò)程依然有效。門(mén)羅幣（Monero）⑨https://getmonero.org//knowledge-base/about的混幣機(jī)制中采用了環(huán)型加密匿名技術(shù)，使混幣參與用戶無(wú)需與其他參與節(jié)點(diǎn)進(jìn)行交流，可自行參與混幣，為去中心化混幣機(jī)制中常見(jiàn)的拒絕服務(wù)攻擊、混幣用戶泄露信息等問(wèn)題提供了有效的防御措施。

去中心化混幣機(jī)制取消了第三方混幣提供者的參與，通過(guò)混幣協(xié)議使混幣過(guò)程在多個(gè)用戶的共同參與下完成。因此混幣過(guò)程的安全不依賴于第三方節(jié)點(diǎn)的可信度，用戶也無(wú)需為混幣服務(wù)花費(fèi)額外的費(fèi)用。但是，很多去中心化混幣方案具有很高的遭受攻擊的風(fēng)險(xiǎn)，該問(wèn)題通常需要以改進(jìn)算法的方式解決，因此也增加了混幣機(jī)制的計(jì)算成本，影響混幣服務(wù)的效率。針對(duì)混幣機(jī)制中是否需要混幣費(fèi)用、是否存在盜竊風(fēng)險(xiǎn)等特征，筆者對(duì)現(xiàn)有的幾種典型去中心化混幣機(jī)制進(jìn)行了對(duì)比分析，見(jiàn)表2。

表2 去中心化混幣機(jī)制特征對(duì)比

6 未來(lái)研究方向

由于傳統(tǒng)的基于混幣機(jī)制的隱私保護(hù)方案實(shí)現(xiàn)簡(jiǎn)單，不會(huì)對(duì)區(qū)塊鏈原有的共識(shí)機(jī)制產(chǎn)生影響，在現(xiàn)有的區(qū)塊鏈應(yīng)用中得到了推廣。但區(qū)塊鏈的混幣機(jī)制中依然存在一些缺陷。在區(qū)塊鏈技術(shù)持續(xù)發(fā)展的同時(shí)，還需要對(duì)混幣機(jī)制做進(jìn)一步的研究。

如果不借助其他隱私保護(hù)技術(shù)，混幣機(jī)制的隱私保護(hù)效果十分有限，分析人員仍然可以使用特定的分析方法發(fā)現(xiàn)交易中隱藏的信息。因此，有必要通過(guò)采用密碼學(xué)算法保證混幣的安全性，例如零知識(shí)證明機(jī)制和同態(tài)加密機(jī)制。但引入加密機(jī)制需要對(duì)底層協(xié)議進(jìn)行大幅改動(dòng)，并需要消耗更多的計(jì)算資源，影響區(qū)塊鏈應(yīng)用的效率。雖然已經(jīng)出現(xiàn)一些擴(kuò)展方法對(duì)原本效率不高的安全混幣機(jī)制進(jìn)行了改良，使計(jì)算量大大減小，例如Pinocchio Coin[17]和ZeroCash[18]有望顯著降低Zerocoin的證明規(guī)模和計(jì)算成本，但這些方案及擴(kuò)展的改良方案都需要對(duì)區(qū)塊鏈系統(tǒng)做出重大修改，從而無(wú)法落實(shí)到實(shí)際應(yīng)用中。因此希望隱私保護(hù)機(jī)制在保護(hù)系統(tǒng)安全的同時(shí)盡量避免對(duì)系統(tǒng)做出改動(dòng)。然而，現(xiàn)有的一些能夠直接部署在區(qū)塊鏈上的機(jī)制（如CoinShuffle）往往不具有足夠的安全性，存在著遭受攻擊的風(fēng)險(xiǎn)。

在未來(lái)的研究中，需要使用一種更加安全高效的加密方案為混幣機(jī)制的執(zhí)行提供保障。密碼學(xué)算法保護(hù)下的混幣機(jī)制需要充分考慮區(qū)塊鏈服務(wù)器在計(jì)算性能和存儲(chǔ)性能上的缺陷，同時(shí)還需要重點(diǎn)考慮如何避免或者減少對(duì)區(qū)塊鏈底層協(xié)議的修改，使安全高效的混幣機(jī)制更容易得到落實(shí)與推廣。

7 結(jié)束語(yǔ)

本文介紹了區(qū)塊鏈技術(shù)中用于保護(hù)交易數(shù)據(jù)隱私的混幣機(jī)制。首先，從隱私保護(hù)中面臨的威脅出發(fā)，說(shuō)明了混幣機(jī)制的核心思想和應(yīng)用場(chǎng)景；其次，對(duì)混幣機(jī)制的基本原理進(jìn)行了詳細(xì)的闡述；最后，分別從基于第三方節(jié)點(diǎn)的混幣方法和去中心化的混幣方法的角度，詳細(xì)地分析了兩類混幣方法的優(yōu)勢(shì)與缺陷，總結(jié)了現(xiàn)有混幣方案作出的改進(jìn)，并展望了混幣機(jī)制未來(lái)可能的研究方向。

[1] REID F, HARRIGAN M. An analysis of anonymity in the Bitcoin system[C]//The 2011 IEEE Third International Conference on Privacy, Security, Risk and Trust,Oc tober 9-11, 2011, Boston, USA.Piscataway: IEEE Press, 2011: 1318-1326.

[2] LIAO K, ZHAO Z, DOUPE A, et al. Behind closed doors: measurement and analysis of CryptoLocker ransoms in Bitcoin[C] //The Symposium on Electronic Crime Research,June 1-3, 2016, Toronto, Canada.Piscataway: IEEE Press, 2016: 1-13.

[3] RON D, SHAMIR A. Quantitative analysis of the full Bitcoin transaction graph[C]//The 17th International Conference on Financial Cryptography and Data Security, April 1-5, 2013, Okinawa, Japan. Heidelberg:Springer, 2013: 6-24.

[4] MEIKLEJOHN S, POMAROLE M, JORDAN G, et al. A fistful of bitcoins: characterizing payments among men with no names[C]//The 13th ACM Internet Measurement Conference, October 23-25, 2013,Barcelona, Spain. New York: ACM Press,2013: 127-140.

[5] Z H A O C. G r a p h-b a s e d f o r e n s i c investigation of Bitcoin transactions[D].Iowa: Iowa State University, 2014.

[6] D W O R K C, N A O R M. P r i c i n g v i a processing or combatting junk mail[C]//The 12th Annual International Cryptology Conference on Advances in Cryptology,August 16-20, 1992, Santa Barbara, USA.Piscataway: IEEE Press, 1992: 139-147.

[7] CASTRO M, LISKOV B. Practical byzantine fault tolerance and proactive recovery[J].ACM Transactions on Computer Systems,2002, 20(4): 398-461.

[8] A N D R O U L A K I E, K A R A M E G O,ROESCHLIN M, et al. Evaluating user privacy in Bitcoin[C]//The 17th International Conference on Financial Cryptography and Data Security, April 1-5, 2013, Okinawa,Japan. Heidelberg: Springer, 2013: 34-51.

[9] MONACO J V. Identifying Bitcoin users by transaction behavior[C]//The SPIE DSS, April 20-25, 2015, Baltimore, USA.Baltimore: SPIE, 2015.

[10] CHAUM D. Untraceable electronic mail, return addresses and digital pseudonyms[J]. Communications of the ACM, 2003: 211-219.

[11] BONNEAU J, NARAYANAN A, MILLER A, et al. Mixcoin: anonymity for Bitcoin with accountable mixes [C]//The 19th International Conference on Financial Cryptography and Data Security, January 26-30, 2015,San Juan, Argentina. Barbados: Financial Cryptography, 2014: 486-504.

[12] VALENTA L, ROWAN B. Blindcoin:blinded, accountable mixes for Bitcoin[J].Financial Cryptography and Data Security,2015: 112-126

[13] SHENTU Q C, YU J P. A blind-mixing scheme for Bitcoin based on an elliptic curve cryptography blind digital signature algorithm[J]. Computer Science, 2015.

[14] R U F F I N G T, M O R E N O-S A N C H E Z P, K ATE A. CoinShuf f le: prac tical decentralized coin mixing for Bitcoin[M]//Computer Security -ESORICS 2014,Heidelberg: Springer, 2014: 345-364.

[15] BISSIAS G, OZISIK A P, LEVINE B N, et al.Sybil-resistant mixing for Bitcoin[C]//The 2015 ACM Workshop on Privacy in the Electronic Society, November 3, 2014,Scottsdale, USA. New York: ACM Press,2014: 149-158.

[16] ZI EG EL D O R F J H, G R OSSM A N N F,HENZE M, et al. CoinParty: secure multi-party mixing of Bitcoins[C]//The 5th ACM Conference on Data and Application Security and Privacy, March 2-4, 2015,San Antonio, USA. New York: ACM Press,2015: 75-86.

[17] DANEZIS G, FOURNET C, KOHLWEISS M,et al. Pinocchio coin: building zerocoin from a succinct pairing-based proof system[C]//ACM Workshop on Language Support for Privacy-Enhancing Technologies,November 4, 2013, Berlin, Germany. New York: ACM Press, 2013: 27-30.

[18] SASSON E B, CHIESA A, GARMAN C,et al. Zerocash: decentralized anonymous payments from Bitcoin[C]//The 2014 IEEE Symposium on Security and Privacy,M ay 18-21, 2014, B e r ke l ey, USA.Washington: IEEE Computer Society,2014: 459-474.