王皓 宋祥福 柯俊明 徐秋亮

0 引言

2008年，一位化名“中本聰”的學(xué)者在網(wǎng)絡(luò)上發(fā)表了一篇題為《比特幣：一種點(diǎn)對(duì)點(diǎn)的電子現(xiàn)金系統(tǒng)》的文章，這篇看似普通的文章目前看來(lái)完全可以說(shuō)具有劃時(shí)代意義——無(wú)論是對(duì)金融或是對(duì)密碼技術(shù)，真正的電子貨幣（或稱數(shù)字貨幣、密碼貨幣）從此誕生。歷經(jīng)近10年的發(fā)展，各種密碼貨幣紛紛出現(xiàn)，但這篇文章中所創(chuàng)造的數(shù)字貨幣——比特幣，一直保持著交易量全球第1 的地位，比特幣全球總市值已突破400 億美元。與此同時(shí)，支撐比特幣運(yùn)行的核心技術(shù)——區(qū)塊鏈，由于具備去中心化、可驗(yàn)證、防篡改等特性，迅速成為各國(guó)政府、國(guó)際組織、大型財(cái)團(tuán)、科研機(jī)構(gòu)關(guān)注的熱點(diǎn)，各種區(qū)塊鏈項(xiàng)目如雨后春筍般爆發(fā)式增長(zhǎng)。有觀點(diǎn)認(rèn)為，區(qū)塊鏈技術(shù)對(duì)未來(lái)世界的改變，可能絲毫不亞于云計(jì)算、大數(shù)據(jù)等IT革新技術(shù)。

在我國(guó)，區(qū)塊鏈技術(shù)受到政府等相關(guān)部門的高度重視。2016年12月，區(qū)塊鏈技術(shù)首次被列入國(guó)務(wù)院印發(fā)的《“十三五”國(guó)家信息化規(guī)劃》。與此同時(shí)，區(qū)塊鏈行業(yè)規(guī)范也相繼發(fā)布。2016年10月，在工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司的指導(dǎo)下，中國(guó)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇發(fā)布了《中國(guó)區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書（2016）》；2017年5月16日，中國(guó)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇發(fā)布了國(guó)內(nèi)首個(gè)區(qū)塊鏈標(biāo)準(zhǔn)《區(qū)塊鏈參考架構(gòu)》。這些標(biāo)準(zhǔn)化工作有助于統(tǒng)一對(duì)區(qū)塊鏈的認(rèn)識(shí)，規(guī)范和指導(dǎo)區(qū)塊鏈在各行業(yè)的應(yīng)用，促進(jìn)解決區(qū)塊鏈的關(guān)鍵技術(shù)問題，對(duì)于區(qū)塊鏈產(chǎn)業(yè)生態(tài)發(fā)展具有積極的推動(dòng)作用。

1 區(qū)塊鏈簡(jiǎn)介

為了準(zhǔn)確理解區(qū)塊鏈，首先對(duì)區(qū)塊鏈技術(shù)最典型、最成功的應(yīng)用——比特幣——進(jìn)行剖析。

1.1 比特幣的工作原理

比特幣作為無(wú)中心化的數(shù)字貨幣，其工作原理包含數(shù)據(jù)存儲(chǔ)和共識(shí)機(jī)制兩個(gè)方面。

1）比特幣的數(shù)據(jù)存儲(chǔ)在比特幣系統(tǒng)中，采用了一種鏈?zhǔn)浇Y(jié)構(gòu)存儲(chǔ)用戶轉(zhuǎn)賬記錄。與傳統(tǒng)的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)略有不同，比特幣系統(tǒng)中用哈希指針（Hash Pointer）實(shí)現(xiàn)數(shù)據(jù)塊之間的邏輯鏈接，即當(dāng)前數(shù)據(jù)塊的頭部記錄著上一數(shù)據(jù)塊的哈希值。

這種結(jié)構(gòu)在很大程度上加大了篡改數(shù)據(jù)的難度，因?yàn)槟骋粩?shù)據(jù)塊中數(shù)據(jù)發(fā)生變化，將造成其直接后繼數(shù)據(jù)塊頭部的哈希值變化，從而引起所有后續(xù)數(shù)據(jù)塊的連鎖反應(yīng)。此外，由于后續(xù)數(shù)據(jù)塊中隱含了前面數(shù)據(jù)塊的信息，從而保證了數(shù)據(jù)塊之間的時(shí)序關(guān)系。

2）比特幣的共識(shí)機(jī)制無(wú)中心的貨幣系統(tǒng)必定需要共識(shí)機(jī)制。比特幣系統(tǒng)采用了一種被稱為“挖礦”的方法來(lái)保證共識(shí)。這里的“挖礦”與現(xiàn)實(shí)中的挖金礦具有本質(zhì)類似性。黃金雖然有自身的自然價(jià)值，但作為貨幣時(shí)事實(shí)上卻可以忽略它的自然價(jià)值。它是稀缺的，且通過一定的勞動(dòng)量才能（概率地）獲得。在比特幣系統(tǒng)中，“礦工”付出工作量“挖出”的是符合某種條件的隨機(jī)數(shù)，它與黃金一樣是稀缺的、概率產(chǎn)生的。

比特幣系統(tǒng)具體共識(shí)過程如下。

（1）礦工根據(jù)當(dāng)前區(qū)塊鏈末端的數(shù)據(jù)塊計(jì)算新數(shù)據(jù)塊的頭部prev_hash。

（2）礦工生成隨機(jī)數(shù)nonce，并將新數(shù)據(jù)塊的頭部prev_hash、收集到的若干轉(zhuǎn)賬記錄 Data、隨機(jī)數(shù)nonce 作為挑戰(zhàn)哈希函數(shù)H（）的輸入（在比特幣系統(tǒng)中，H（）為連續(xù)兩次SHA 256），計(jì)算H（prev_hash ||Data||nonce）。若H（）的函數(shù)值小于某一個(gè)預(yù)設(shè)的閾值，則nonce 合法；否則，重新生成nonce，繼續(xù)計(jì)算。

（3）礦工找到合法的nonce 后迅速進(jìn)行P2P 廣播，其他礦工在收到該消息后停止挖礦并進(jìn)行驗(yàn)證，驗(yàn)證通過后，認(rèn)為新的區(qū)塊已產(chǎn)生（達(dá)成共識(shí)）。

（4）新區(qū)塊產(chǎn)生的同時(shí)，找到nonce 的礦工從系統(tǒng)得到一定數(shù)量的比特幣作為獎(jiǎng)勵(lì)。

（5）礦工基于新產(chǎn)生的區(qū)塊繼續(xù)挖礦。

比特幣系統(tǒng)中使用的這種共 識(shí)機(jī)制稱為工作量證明（proof-of- work，PoW）。挖到礦的礦工獲得一定獎(jiǎng)金，可視為其挖到的“黃金”，代表了一定抽象的工作量。此外，在比特幣系統(tǒng)中，工作量證明既是共識(shí)機(jī)制，也是發(fā)行機(jī)制。在對(duì)礦工獎(jiǎng)勵(lì)的同時(shí)，整個(gè)系統(tǒng)中的貨幣也在增加。

比特幣可以看作是一種基于區(qū)塊鏈技術(shù)的特殊貨幣。在比特幣系統(tǒng)中，每個(gè)節(jié)點(diǎn)擁有區(qū)塊鏈的一個(gè)副本，當(dāng)有交易發(fā)生時(shí)，節(jié)點(diǎn)通過執(zhí)行共識(shí)協(xié)議，對(duì)區(qū)塊鏈進(jìn)行更新，并在所有節(jié)點(diǎn)間進(jìn)行同步，從而杜絕了“雙花”行為的發(fā)生。

1.2 區(qū)塊鏈的定義

區(qū)塊鏈作為支撐比特幣運(yùn)行的核心技術(shù)，是一種利用鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來(lái)驗(yàn)證和存儲(chǔ)數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識(shí)機(jī)制來(lái)生成和更新數(shù)據(jù)的去中心化基礎(chǔ)架構(gòu)。去中心化、可驗(yàn)證、防篡改是其基本性質(zhì)。

鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)僅僅是區(qū)塊鏈的存儲(chǔ)結(jié)構(gòu)。如何形成這樣的存儲(chǔ)結(jié)構(gòu)、如何保證其可信、如何保證其安全性、如何保證分布式存儲(chǔ)的一致性，都依賴于共識(shí)機(jī)制。因此，共識(shí)機(jī)制是區(qū)塊鏈的靈魂，區(qū)塊鏈的工作原理和應(yīng)用場(chǎng)景都取決于其共識(shí)機(jī)制。

1.3 區(qū)塊鏈的分類

區(qū)塊鏈系統(tǒng)根據(jù)應(yīng)用場(chǎng)景和設(shè)計(jì)體系的不同，一般分為公有鏈、聯(lián)盟鏈和專有鏈。

1）公有鏈的各個(gè)節(jié)點(diǎn)可以自由加入和退出網(wǎng)絡(luò)，并參加鏈上數(shù)據(jù)的讀寫；運(yùn)行時(shí)以扁平的拓?fù)浣Y(jié)構(gòu)互聯(lián)互通，網(wǎng)絡(luò)中不存在任何中心化的服務(wù)端節(jié)點(diǎn)。目前，基于區(qū)塊鏈的數(shù)字貨幣或智能合約平臺(tái)均屬于公有鏈的范疇，如比特幣、以太坊等。

2）聯(lián)盟鏈的各個(gè)節(jié)點(diǎn)通常有與之對(duì)應(yīng)的實(shí)體機(jī)構(gòu)組織，通過授權(quán)后節(jié)點(diǎn)才能加入與退出網(wǎng)絡(luò)。各機(jī)構(gòu)組織組成利益相關(guān)的聯(lián)盟，共同維護(hù)區(qū)塊鏈的健康運(yùn)轉(zhuǎn)。目前，企業(yè)界更多關(guān)注聯(lián)盟鏈的搭建和使用。

3）專有鏈的各個(gè)節(jié)點(diǎn)的寫入權(quán)限歸內(nèi)部控制，讀取權(quán)限可視需求有選擇性地對(duì)外開放。專有鏈仍然具備區(qū)塊鏈多節(jié)點(diǎn)運(yùn)行的通用結(jié)構(gòu)，適用于特定機(jī)構(gòu)的內(nèi)部數(shù)據(jù)管理與審計(jì)。

2 共識(shí)機(jī)制

當(dāng)前區(qū)塊鏈技術(shù)所使用的共 識(shí)機(jī)制主要分為以下4 類：拜占庭容錯(cuò)算法（practical byzantine fault tolerance，PBFT），工作量證明（proof-of-work，PoW），權(quán)益證 明（proof-of-stake，PoS）和授權(quán) 權(quán)益證明（delegated proof-of-stake，DPoS）。

1）PBFT

PBFT 機(jī)制源于拜占庭將軍問題，即拜占庭帝國(guó)軍隊(duì)的將軍們需要一致決定是否攻擊某一支敵軍。由于拜占庭協(xié)議是基于實(shí)體之間的消息傳遞達(dá)成共識(shí)的，因而容易導(dǎo)致名為“女巫攻擊”的攻擊方法，即一個(gè)敵手控制或建立了許多惡意節(jié)點(diǎn)，如果敵手擁有足夠多的惡意節(jié)點(diǎn)，就可以控制最終結(jié)果。一般認(rèn)為，當(dāng)網(wǎng)絡(luò)中存在f個(gè)惡意節(jié)點(diǎn)時(shí)，整個(gè)網(wǎng)絡(luò)有不少于2f+1 個(gè)誠(chéng) 實(shí)節(jié)點(diǎn)，才可以正常達(dá)成共識(shí)。在比特幣系統(tǒng)中，參與方可以類比為將軍，交易就是達(dá)成共識(shí)的過程。只有大部分參與方都承認(rèn)交易的合法性，該交易才是有效的。

利用這類共識(shí)機(jī)制可以快速生成新的區(qū)塊，達(dá)成不分叉的快速共識(shí)。但這類機(jī)制要求在一個(gè)封閉的節(jié)點(diǎn)集合中兩兩節(jié)點(diǎn)進(jìn)行通信，因此比較適合于節(jié)點(diǎn)數(shù)量不多的聯(lián)盟鏈和私有鏈。聯(lián)盟鏈多采用技術(shù)成熟的 PBFT 機(jī)制及其相應(yīng)的變種RAFT 和HBFT 等來(lái)達(dá)成共識(shí)，如2016年Linux 基金會(huì)發(fā)起的開源超級(jí)賬本（HyperLedger）、IBM 推出的Fabric 基礎(chǔ)設(shè)施項(xiàng)目等。

2）PoW

PoW 機(jī)制的核心思想是通過計(jì)算能力競(jìng)爭(zhēng)的方式來(lái)保證數(shù)據(jù)一致性從而達(dá)成共識(shí)。在比特幣系統(tǒng)中，各節(jié)點(diǎn)（即礦工）基于各自的計(jì)算機(jī)算力的相互競(jìng)爭(zhēng)來(lái)解決一個(gè)求解困難但驗(yàn)證容易的SHA 256 挑戰(zhàn)，最快解決該難題的節(jié)點(diǎn)獲得區(qū)塊記賬權(quán)，即該參與方創(chuàng)建了一個(gè)區(qū)塊，所有其他參與方更新本地區(qū)塊鏈。就女巫攻擊而言，敵手需要控制大部分的計(jì)算能力，這比控制大部分節(jié)點(diǎn)更難，因此該機(jī)制從某種程度上保證了系統(tǒng)的安全性。PoW 機(jī)制的缺陷是存在資源浪費(fèi)和女巫攻擊等安全性問題。

在比特幣之前，B-Money、Karma、RPOW、BitGold 或多或少地應(yīng)用了PoW 機(jī)制。當(dāng)前，除比特幣外，Litecoin、Dogecoin、MAVE- PAY、FawkesCoin 等貨幣系統(tǒng)使用了改進(jìn)的PoW 機(jī)制。

3）PoS

PoS 機(jī)制要求貨幣持有者對(duì)某些數(shù)量的貨幣展示所有權(quán)。這種機(jī)制是基于“幣齡”實(shí)現(xiàn)的，幣齡 被定義為交易輸入大小和它存在時(shí)間的乘積。顯然，長(zhǎng)期持有貨幣的人擁有更多的幣齡，從而也就擁有更大的權(quán)益，因此也更容易挖礦成功。由此可見，PoS 機(jī)制在一定程度上解決了PoW 機(jī)制資源浪費(fèi)的弊端，縮短了達(dá)成共識(shí)的時(shí)間。PoS機(jī)制一方面解決了壟斷問題，讓“富者更富”轉(zhuǎn)化成“窮者更容易富”；另一方面一定程度上緩解了51%攻擊的威脅，如果敵手想要實(shí)行51%攻擊，則需要摧毀大量的幣齡，這顯然是不劃算的。PoS 機(jī)制的缺陷在于最高權(quán)益節(jié)點(diǎn)擁有最終決定權(quán)。

當(dāng)前，PPCoin、Nextcoin 等貨幣系統(tǒng)使用PoS 機(jī)制。此外，也有不少貨幣系統(tǒng)對(duì)PoS 機(jī)制進(jìn)行了改進(jìn)，其中最重要的一種改進(jìn)就是DPoS機(jī)制。

4）DPoS

DPoS機(jī)制主要基于“董事會(huì)決策”的思想，即每一個(gè)“股東”節(jié)點(diǎn)將其持有的股份權(quán)益授予某個(gè)“代表”節(jié)點(diǎn)，擁有股份最多的前101 個(gè)“代表”節(jié)點(diǎn)組成“董事會(huì)”，輪流執(zhí)行產(chǎn)生新區(qū)塊的任務(wù)。這些“代表”節(jié)點(diǎn)可以獲得相應(yīng)的獎(jiǎng)勵(lì)，但是也必須繳納保證金以保證其盡職盡責(zé)。一旦出現(xiàn)不稱職的行為，股東們可以行使權(quán)力將其廢除，并選取其他節(jié)點(diǎn)代行職責(zé)。通過此選舉方式，系統(tǒng)中的每個(gè)節(jié)點(diǎn)均有選擇其信任的授權(quán)節(jié)點(diǎn)的自主權(quán)，且輪流工作模式使得參與驗(yàn)證和記賬的節(jié)點(diǎn)數(shù)量大大減少，從而達(dá)到快速共識(shí)的目的。

當(dāng)前主要有Bitshares基于DPoS機(jī)制。

除以上4 種經(jīng)典的共識(shí)機(jī)制外，還存在一些變種機(jī)制。

1）股權(quán)速率證明（PoSV）。該機(jī)制解決了PoS 機(jī)制中通過收藏貨幣來(lái)累加幣齡的行為。PoSV 機(jī)制的原理為：如果貨幣進(jìn)行了交易導(dǎo)致貨幣的幣齡清零，則交易的貨幣的幣齡上升速率將會(huì)高于不交易的貨幣的幣齡上升速率，這在一定程度上鼓勵(lì)了線上交易，減少了線下囤積的不利現(xiàn)象。

當(dāng)前主要有 Reddcoin 運(yùn)用PoSV 機(jī)制對(duì)貨幣升值速率進(jìn)行 調(diào)整。

2）活躍度證明（PoA）。該機(jī)制對(duì)線上的活躍節(jié)點(diǎn)進(jìn)行獎(jiǎng)勵(lì)。目前大部分的電子貨幣在“發(fā)行”之后就轉(zhuǎn)為線下，從而減少了線上交易。PoA 機(jī)制中的礦工挖礦過程類似于PoW 機(jī)制，當(dāng)?shù)V工找到新的區(qū)塊時(shí)，會(huì)隨機(jī)選擇線上的N個(gè)活躍節(jié)點(diǎn)發(fā)送新發(fā)現(xiàn)的區(qū)塊。前N-1 個(gè)活躍節(jié)點(diǎn)驗(yàn)證新發(fā)現(xiàn)的區(qū)塊并簽名，第N個(gè)活躍節(jié)點(diǎn)除了驗(yàn)證區(qū)塊和簽名外，還要對(duì)區(qū)塊進(jìn)行包裝，并廣播該區(qū)塊。礦工和N個(gè)活躍節(jié)點(diǎn)都將因此收到獎(jiǎng)勵(lì)費(fèi)用。如果N個(gè)活躍節(jié)點(diǎn)中有一個(gè)不活躍節(jié)點(diǎn)，那么它將不能對(duì)區(qū)塊進(jìn)行簽名，從而不能收到相應(yīng)的獎(jiǎng)勵(lì)費(fèi)用。因此，PoA機(jī)制可以有效地解決囤積貨幣的行為，在點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)中有著很重要的應(yīng)用。

PoA 機(jī)制的應(yīng)用場(chǎng)景有Bit- Torrent。

3）摧毀證明（PoB）。該機(jī)制解決了如何創(chuàng)建新貨幣的問題。與比特幣由創(chuàng)世塊（Genesis Block）聲明該貨幣的產(chǎn)生不同，PoB 機(jī)制是通過一種可驗(yàn)證的方式來(lái)摧毀一種貨幣，建立和分配另一種貨幣。這種方式雖然很殘酷，但卻利用了PoW的思想，采用昂貴的資源防止了女巫攻擊。隨著貨幣的發(fā)展，舊的貨幣系統(tǒng)必然要升級(jí)到新的貨幣系統(tǒng)。升級(jí)的方式有兩種：軟分叉和硬分叉。軟分叉是指新的貨幣系統(tǒng)在舊的貨幣系統(tǒng)中依然適用。硬分叉是指新的貨幣系統(tǒng)在舊的貨幣系統(tǒng)中不再適用，所有的客戶端都需要升級(jí)；否則，兩條不同的區(qū)塊鏈將會(huì)出現(xiàn)。對(duì)于PoB 機(jī)制而言，升級(jí)問題將輕而易舉地得到解決，它可以通過摧毀貨幣對(duì)貨幣進(jìn)行升級(jí)。

PoB 機(jī)制的應(yīng)用場(chǎng)景有Counter- party、Mastercoin 和Permacoin 等。

4）中心化指定權(quán)限。在商業(yè)領(lǐng)域中，比特幣的去中心化一直被作為“賣點(diǎn)”來(lái)宣傳，但是如果我們可以相信一小部分擁有指定權(quán)限的人群，那么所有的共識(shí)問題都將變得簡(jiǎn)單，并且可以不用再考慮穩(wěn)定性和計(jì)算能力浪費(fèi)的問題。需要 注意的是，擁有指定權(quán)限的人群需要執(zhí)行誠(chéng)實(shí)的行為，不誠(chéng)實(shí)的行為不會(huì)為他們帶來(lái)任何收益。擁有指定權(quán)限的人群需要利用網(wǎng)絡(luò)進(jìn)行選舉或者由礦工指定，具體的安全性有待討論。MICALI 在2016年提出了名為ALGORAND 的公共賬本，其共識(shí)機(jī)制使用密碼抽簽（cryptographic sortition）的方式來(lái)決定出一部分人參與創(chuàng)建和驗(yàn)證區(qū)塊。其中創(chuàng)建者稱為leader，由系統(tǒng)隨機(jī)選擇。leader 創(chuàng)建一個(gè)新區(qū)塊，隨機(jī)選擇一個(gè)verifier 集合，用以驗(yàn)證區(qū)塊。

3 匿名與隱私保護(hù)

作為區(qū)塊鏈技術(shù)最典型和最成功的應(yīng)用，比特幣在設(shè)計(jì)之初，創(chuàng)始人“中本聰”期望通過使用無(wú)限量的可以自由生成的交易地址來(lái)實(shí)現(xiàn)用戶的匿名和交易的不可追蹤，從而實(shí)現(xiàn)較強(qiáng)的隱私保護(hù)。然而，近幾年的研究發(fā)現(xiàn)，由于區(qū)塊鏈數(shù)據(jù)的公開性，因此通過分析大量的交易和網(wǎng)絡(luò)數(shù)據(jù)，可以設(shè)計(jì)各類去匿名方案。區(qū)塊鏈上的匿名與隱私保護(hù)面臨巨大挑戰(zhàn)。

我們以比特幣為例，首先闡述目前基于區(qū)塊鏈的數(shù)字貨幣中匿名和隱私保護(hù)面臨的挑戰(zhàn)；然后針對(duì)這些挑戰(zhàn)，介紹目前的解決方案和研究進(jìn)展情況；最后闡述新形勢(shì)下的匿名和隱私保護(hù)問題。

3.1 匿名和隱私保護(hù)面臨的挑戰(zhàn)

1）推斷交易地址歸屬在比特 幣交易中，如果兩筆交易的接收方地址一致，那么可以肯定這兩筆交易的接收方是同一人。為了防止這樣的信息泄露，接收方可以每次使用一個(gè)全新的地址來(lái)接收比特幣。然而，發(fā)送方的比特幣金額很大程度上是分散在不同的交易輸出中。因此，當(dāng)單個(gè)交易輸出金額不足以支付時(shí)，發(fā)送方不得不把多個(gè)交 易輸出金額合并作為輸入金額。對(duì)于這種多輸入交易，人們可以以 高概率推斷出多個(gè)輸入屬于同一人所有。

可以將整個(gè)交易歷史看作一個(gè)巨大的有向圖，圖中節(jié)點(diǎn)代表不同的交易地址，有向邊的始點(diǎn)為交易的發(fā)送方，終點(diǎn)為交易的接收方。由于比特幣中交易數(shù)據(jù)的公開性，任何人都可以查看歷史上的所有交易，針對(duì)交易圖進(jìn)行分析，獲得交易地址間的關(guān)聯(lián)信息，從而嚴(yán)重威脅用戶隱私。

2）交易金額可見

在比特幣交易中，交易金額是公開的，這是因?yàn)樵诘V工驗(yàn)證交易是否合法的過程中，需要根據(jù)交易金額進(jìn)行交易合法性判定。然而，交易雙方并不希望讓其他人知道交易的具體金額。因此，如何在隱藏交易金額的同時(shí)，保證礦工能夠?qū)灰缀戏ㄐ赃M(jìn)行判定，成為了客觀需求。

3.2 現(xiàn)存的匿名和隱私保護(hù)方案

在保證交易金額的隱私性方面，比特幣核心開發(fā)者Greg Maxwell首先正式提出了“機(jī)密交易”（ confidential transactions） 的 概 念，能夠完全隱藏交易金額。該方案基于彼德森承諾和范圍證明。在交易中發(fā)送方將盲化的交易數(shù)據(jù)（機(jī)密資金）發(fā)送給接收方，接收方可以驗(yàn)證交易金額。同樣，接收方可以將接收到的機(jī)密資金用于一筆新的機(jī)密交易中。彼得森承諾可以隱藏交易中資金的具體數(shù)額，同時(shí)發(fā)送方需要向礦工提供零知識(shí)證明，證明交易輸出的合法性。零知識(shí)證明可以保證礦工在不知道交易具體金額的前提下，對(duì)交易的合法性進(jìn)行驗(yàn)證。

最初，Grey Maxwell 提出了混幣方案CoinJoin。該方案的具體思想如下：每個(gè)混幣交易對(duì)應(yīng)一個(gè)標(biāo)準(zhǔn)的多輸入多輸出比特幣交易，其中每個(gè)輸入金額相等。交易的輸出對(duì)應(yīng)參與者的接收地址，每個(gè)接收地址都可能接收任意一個(gè)交易輸入。如果參與者發(fā)現(xiàn)自己的接收地址被包含進(jìn)了該交易中，就選擇對(duì)該交易進(jìn)行簽名。一旦所有參與者完成簽名并寫入比特幣區(qū)塊鏈中，混幣完成。在外人看來(lái)，該方案不能通過交易的輸入輸出來(lái)斷定輸入輸出的關(guān)聯(lián)性，因而提供了外部不可關(guān)聯(lián)性。但是對(duì)于參與者來(lái)說(shuō)，該方案并沒有提供不可關(guān)聯(lián)性。

隨后，為了避免單個(gè)mix 節(jié)點(diǎn)偷竊和記錄輸入輸出對(duì)應(yīng)關(guān)系，BONNEAU 等人設(shè)計(jì)了混幣（Mix- coin）協(xié)議，提出了“混幣鏈”的概念。具體說(shuō)來(lái)就是將多個(gè)mix 節(jié)點(diǎn)串聯(lián)起來(lái)，使得前一個(gè)mix 節(jié)點(diǎn)的輸出作為后一個(gè)mix 節(jié)點(diǎn)的輸入。只要有一個(gè)mix 節(jié)點(diǎn)誠(chéng)實(shí)，混幣隱私就能得到保障。同時(shí)，該方案通過交易費(fèi)激勵(lì)機(jī)制，保障理性的mix節(jié)點(diǎn)誠(chéng)實(shí)執(zhí)行混幣協(xié)議。

目前，數(shù)字貨幣達(dá)世幣（Dash- Coin）就是基于CoinJoin 和Mixcoin的思想。達(dá)世幣中混幣過程需要由主節(jié)點(diǎn)來(lái)完成。為了防止主節(jié)點(diǎn)作弊或被攻擊，達(dá)世幣引入鏈?zhǔn)交旌虾兔せ乃枷?。鏈?zhǔn)交旌现赣脩艚灰讜r(shí)隨機(jī)選擇多個(gè)主節(jié)點(diǎn)進(jìn)行混合，最后輸出結(jié)果。盲化技術(shù)是指用戶不需要將輸入和輸出發(fā)送到交易池，而是指定主節(jié)點(diǎn)將輸入和輸出傳遞到另一個(gè)主節(jié)點(diǎn)。這樣，每一個(gè)主節(jié)點(diǎn)只看到所有執(zhí)行過程中屬于自己的部分，從而很難發(fā)現(xiàn)用戶身份。

Ruffing 等人通過改進(jìn)可追蹤匿名群組通信協(xié)議Dissent，設(shè)計(jì)出和比特幣完全兼容的去中心化混幣方案CoinShuffle。該方案不依賴中心化節(jié)點(diǎn)，計(jì)算、通信開銷小且無(wú)需手續(xù)費(fèi)。

為了避免交易可鏈接，早期的解決方案多基于比特幣原有結(jié)構(gòu)，隨后的一些增強(qiáng)方案提供了更為豐富的功能和特性，但這些方案要求對(duì)比特幣系統(tǒng)進(jìn)行升級(jí)，至少需要比特幣系統(tǒng)進(jìn)行軟分叉。此后，很多人將目光投向設(shè)計(jì)匿名性和隱私程度更高的數(shù)字貨幣，通過將密碼學(xué)工具，如承諾、環(huán)簽名和零知識(shí)證明等引入數(shù)字貨幣，構(gòu)造能夠直接實(shí)現(xiàn)匿名和隱私保護(hù)的數(shù)字貨幣方案。目前來(lái)看，該類方案逐漸成為研究熱點(diǎn)，比較典型的有Crypto- Note、Zerocoin 和Zerocash。

CryptoNote 引入Stealth Add- resses 來(lái)實(shí)現(xiàn)接收方的外部不可見性。具體說(shuō)來(lái)就是發(fā)送方通過接收方的公開信息生成一個(gè)隨機(jī)地址，該地址允許接收方通過自己的秘密信息恢復(fù)相應(yīng)的私鑰。然而，發(fā)送方仍然可以獲知接收方對(duì)貨幣的使用情況。為了解決這個(gè)問題，Crypto- Note 引入環(huán)簽名所提供的匿名集合來(lái)實(shí)現(xiàn)隱私保護(hù)。CryptoNote 協(xié)議通過一次環(huán)簽名的方式，允許交易發(fā)送方將交易隱藏進(jìn)一個(gè)容量為k的匿名集合中。同時(shí)，一次環(huán)簽名能夠提供一種鏈接機(jī)制，使得任何雙花都能被檢測(cè)。目前市值位列第5的門羅幣采用的就是CryptoNote 協(xié)議。除此之外，門羅幣還提供了環(huán)狀機(jī)密交易R(shí)ingCT 來(lái)隱藏交易金額和交易地址。

所有基于匿名集合的混幣方案，無(wú)論是兼容比特幣的方案，還是基于環(huán)簽名的方案，本質(zhì)上都是將真實(shí)的交易行為隱藏在匿名集 合中。實(shí)際操作中，用戶對(duì)匿名集合選取不當(dāng)也會(huì)帶來(lái)匿名和隱私保護(hù)問題。MILER 等人針對(duì)Monero 交易的分析表明，80%的Monore 交易是可鏈接的。

為了提供更高的匿名性，MIERS 等人提出了Zerocoin 方案，該方案能夠提供內(nèi)置的不可鏈接性。該方案的匿名集合是系統(tǒng)中現(xiàn)存的所有Zerocoin，允許用戶將一個(gè)比特幣通過“鑄幣”手段轉(zhuǎn)化成一個(gè)Zerocoin。當(dāng)需要花費(fèi)Zerocoin時(shí)，用戶使用零知識(shí)證明的方法向礦工證明自己的Zerocoin 存在于系統(tǒng)中且未花費(fèi)過。

然而，Zerocoin 不能在原有的比特幣系統(tǒng)中實(shí)現(xiàn)，需要比特幣系統(tǒng)進(jìn)行軟分叉；Zerocoin 的幣值金額 是固定的，不能實(shí)現(xiàn)金額的任意切分；Zerocoin 不支持非交互交易且零知識(shí)證明過程過長(zhǎng)。為了改善這種狀況，SASSON 等人提出了Zerocash方案。

Zerocash 方案將密碼學(xué)中非交互零知識(shí)證明技術(shù)zk-SNARK 引入到數(shù)字貨幣中。Zerocash 方案保障 了交易的不可鏈接和金額保密，且支持金額的任意切分。Zerocash 方 案和比特幣系統(tǒng)完全獨(dú)立，支持Zerocash 貨幣的直接交易，實(shí)現(xiàn)了當(dāng)前最高程度的隱私保護(hù)和匿名性。然而，Zerocash 方案基于的零知識(shí)密碼方案需要初始化秘密數(shù)據(jù)，任何知道該秘密數(shù)據(jù)的一方都可以憑空產(chǎn)生貨幣?；赯erocash 方案的新興數(shù)字密碼貨幣Zcash 的秘密參數(shù)雖然是不同地點(diǎn)的6 個(gè)人共同協(xié)作生成，但是到目前為止，這種生成方式仍然備受懷疑。

3.3 新形勢(shì)下的匿名和隱私保護(hù)問題

3.3.1 離鏈支付協(xié)議中的隱私保護(hù)問題為了解決公有鏈的可拓展性問題，很多研究著重于構(gòu)造離鏈支付協(xié)議，如雙向微支付通道、閃電網(wǎng)絡(luò)和Spirtes。這些方案中，雙方交易達(dá)成需要借助中繼節(jié)點(diǎn)的參與。然而，目前離鏈支付方案中，交易雙方實(shí)體和交易金額是對(duì)中繼公開的，中繼知道了很多交易雙方不想公開的內(nèi)容。

針對(duì)離鏈支付協(xié)議的隱私保護(hù)問題，目前已經(jīng)有一些研究在進(jìn)行，如HEILMAN 等人提出的TumbleBit方案。該方案能夠?qū)⒅Ц锻ǖ佬畔?duì)中繼隱藏。此外，TumbleBit 方案和比特幣系統(tǒng)完全兼容。

GREEN 等人 提 出Bolt 方案。Bolt 方案保障同一通道下的多重支付不能被鏈接在一起，即使密謀的個(gè)體之間也不能做到。且支付發(fā)生在毫秒級(jí)，不需要區(qū)塊確認(rèn)，接收方僅需要知道有人在他所提供的 支付通道中進(jìn)行了付款操作。支付也可以被安排由第三方實(shí)現(xiàn)，避免了交易雙方開關(guān)支付渠道的復(fù)雜性。Bolt 方案使得第三方不能從中作惡（即使第三方串通在一起也 不能實(shí)現(xiàn)），同時(shí)交易的資金也是保密的。

對(duì)于支付協(xié)議的安全性，目前還存在許多亟待解決的問題。例如，在爭(zhēng)端出現(xiàn)時(shí)，如何在不泄露爭(zhēng)議雙方最終金額信息的情況下進(jìn)行調(diào)停；如何設(shè)計(jì)高效的隱私保護(hù)支付路由。目前關(guān)于保密支付協(xié)議的研究還在火熱進(jìn)展中。

3.3.2 現(xiàn)存區(qū)塊鏈實(shí)現(xiàn)方案匿名和隱私保護(hù)的評(píng)估很多密碼協(xié)議在實(shí)現(xiàn)后，由于具體的實(shí)現(xiàn)細(xì)節(jié)，往往存在理論和實(shí)際不匹配的情況。例如，CryptoNote 協(xié)議通常假設(shè)將真實(shí)的交易隱藏到一個(gè)很大的匿名集合中，在基于該協(xié)議實(shí)現(xiàn)的Monore 數(shù)字貨幣中，用戶在選取 匿名集合時(shí)，匿名集合往往很小，或者M(jìn)onore 交易通過非匿名方式執(zhí)行。這些用戶行為給去隱私和匿 名分析帶來(lái)可能。另外，以太坊The DAO 被攻擊事件之后，如何對(duì)智能合約代碼進(jìn)行自動(dòng)審查和形式化驗(yàn)證也提上日程。因此，對(duì)現(xiàn)存區(qū)塊鏈方案的安全性、隱私保護(hù)和匿名性的測(cè)量、分析和評(píng)估也是目前研究的熱點(diǎn)。

3.3.3 其他公開問題如何用安全多方計(jì)算生成Zcash 的初始秘密參數(shù)，如何設(shè)計(jì)基于區(qū)塊鏈的匿名方案，如匿名證書、匿名消息系統(tǒng)，都是下一步區(qū)塊鏈匿名、隱私保護(hù)的研究熱點(diǎn)。此外，目前公有鏈上隱私保護(hù)的研究已經(jīng)全面展開，聯(lián)盟鏈上的隱私保護(hù)仍有大量問題值得研究。例如，在聯(lián)盟鏈中，業(yè)務(wù)信息是否可以加密，加密后如何保證運(yùn)算、如何保證檢索、如何進(jìn)行權(quán)限控制等。

4 結(jié)束語(yǔ)

區(qū)塊鏈作為支撐比特幣運(yùn)行的核心技術(shù)，由于其去中心化、可驗(yàn)證、防篡改等特性，已迅速成為各界關(guān)注的熱點(diǎn)，相關(guān)研究呈現(xiàn)蓬勃發(fā)展之勢(shì)。然而，基于區(qū)塊鏈的數(shù)字貨幣在共識(shí)效率及隱私保護(hù)等方面仍然存在較多問題。本文探討了數(shù)字貨幣中區(qū)塊鏈的工作原理，介紹了區(qū)塊鏈技術(shù)所使用的各類主流共識(shí)機(jī)制及其變形，并對(duì)基于區(qū)塊鏈的數(shù)字貨幣中匿名和隱私保護(hù)問題進(jìn)行了深入分析?！?/p>