李一聰， 周寬久， 王梓仲

大連理工大學(xué)軟件學(xué)院, 大連 116024

0 引 言

區(qū)塊鏈上的數(shù)據(jù)公開透明化對用戶數(shù)據(jù)的隱私造成了很多負(fù)面影響.由于去中心化的特點(diǎn)，用戶可以隨時查看鏈上其他用戶的數(shù)據(jù)，并且當(dāng)用戶數(shù)據(jù)請求存儲至區(qū)塊鏈以及數(shù)據(jù)被系統(tǒng)驗(yàn)證時，這些數(shù)據(jù)信息會在一定程度上泄露給運(yùn)行系統(tǒng)或其他用戶，降低了鏈上數(shù)據(jù)的安全保密性[1].

因此，在保證數(shù)據(jù)去中心化特征的基礎(chǔ)上，如何加強(qiáng)區(qū)塊鏈數(shù)據(jù)的信息隱私安全性，已成為區(qū)塊鏈隱私保障的核心問題.區(qū)塊鏈交易層數(shù)據(jù)與服務(wù)應(yīng)用端之間的傳輸機(jī)制隱私保密性以及區(qū)塊鏈數(shù)據(jù)的安全可驗(yàn)證性也變得十分重要[2].設(shè)計(jì)合理的隱私保護(hù)機(jī)制和智能合約程序可以確保區(qū)塊鏈的可擴(kuò)展能力更強(qiáng)、交易處理規(guī)模更大，運(yùn)算效率更高[3].

在區(qū)塊鏈發(fā)展歷程中，也涌現(xiàn)出許多隱私保護(hù)技術(shù)，例如環(huán)簽名(Ring signature)[4]、混幣技術(shù)(Mixed currency)[5]、地址隱身(Address stealth)[6]、零知識證明等.零知識證明旨在不泄露明文的情況下，通過密碼學(xué)同態(tài)加密等手段產(chǎn)生有效證據(jù)，供智能合約驗(yàn)證密文有效性，從而實(shí)現(xiàn)隱私保護(hù).

本文針對基于零知識證明的區(qū)塊鏈隱私保護(hù)問題，首先概括了區(qū)塊鏈結(jié)構(gòu)與隱私泄露的關(guān)系，闡述了零知識證明的基本概念；其次總結(jié)了零知識證明在區(qū)塊鏈隱私保護(hù)中的一些主流算法，并對這些算法進(jìn)行比較和分析；最后闡述了已提出的基于零知識證明的區(qū)塊鏈隱私保護(hù)方案，并對這些保護(hù)方案的特點(diǎn)進(jìn)行匯總和歸納.

1 知識概述

1.1 交易層隱私泄露與鏈下計(jì)算

自2009年區(qū)塊鏈技術(shù)開始迎來黃金發(fā)展期開始，區(qū)塊鏈結(jié)構(gòu)就在不斷變化與升級.發(fā)展至現(xiàn)今狀態(tài)，區(qū)塊鏈在架構(gòu)上基本可被拆分為網(wǎng)絡(luò)層、交易層、應(yīng)用層3部分[7].由于交易層負(fù)責(zé)控制全局賬本、數(shù)據(jù)節(jié)點(diǎn)共識與激勵共識、設(shè)定交易格式、智能合約驗(yàn)證等重要職能，并且其所涉及的數(shù)據(jù)種類繁雜、吞吐量龐大[8]，因此交易層存在著比網(wǎng)絡(luò)層、應(yīng)用層更嚴(yán)重的隱私泄露問題，本文中闡述的零知識證明技術(shù)，就是解決區(qū)塊鏈交易層隱私保護(hù)問題的一項(xiàng)關(guān)鍵技術(shù).

如圖1所示，零知識證明技術(shù)屬于區(qū)塊鏈鏈下擴(kuò)容手段的可驗(yàn)證鏈下計(jì)算方式，數(shù)據(jù)首先通過零知識證明進(jìn)行鏈下安全計(jì)算生成證據(jù)，之后將計(jì)算結(jié)果交由鏈上智能合約程序驗(yàn)證，形成鏈下計(jì)算、鏈上驗(yàn)證的隱私保護(hù)架構(gòu)[9].

圖1 可驗(yàn)證鏈下計(jì)算流程

1.2 零知識證明概述

零知識證明(zero-knowledge proof)理論在20世紀(jì)80年代由GOLDWASSER等提出.零知識證明技術(shù)是解決數(shù)據(jù)保密驗(yàn)證的一種密碼學(xué)手段[10].

零知識證明分為交互式與非交互式兩種.交互式證明靠驗(yàn)證器向證明者連續(xù)提出問題，并驗(yàn)證證明者提供的結(jié)果來判斷數(shù)據(jù)真實(shí)性.交互式證明的驗(yàn)證效率低下，交互響應(yīng)時間較長[11]，而且交互證明只是概率性判斷數(shù)據(jù)的真實(shí)性，證明的準(zhǔn)確率不高.因此，目前應(yīng)用在區(qū)塊鏈隱私保護(hù)問題中的證明方式大多是非交互式證明，本文中研究闡述的也是非交互式證明.非交互式證明要求證明者通過配對函數(shù)、大數(shù)計(jì)算等密碼學(xué)算法計(jì)算證明值，并將值發(fā)送給智能合約驗(yàn)證器[12].這個過程只需要執(zhí)行一次，就可以準(zhǔn)確地驗(yàn)證數(shù)據(jù)真實(shí)性，因此在準(zhǔn)確率和響應(yīng)時長都優(yōu)于交互式證明.

非交互式零知識證明技術(shù)具有完整性、正確性、零知識性的特點(diǎn).但在區(qū)塊鏈隱私保護(hù)應(yīng)用中，非交互式零知識證明還需要具有另外三個支撐性質(zhì)：

隱私性(Privacy)：對鏈上數(shù)據(jù)內(nèi)容具有較好的隱藏能力.

可擴(kuò)展性(Scalability)：保證區(qū)塊鏈分布式網(wǎng)絡(luò)的交易規(guī)模.

鏈上可計(jì)算性(On-chain computability)：保證鏈上驗(yàn)證所需計(jì)算量在可承受范圍.

這3項(xiàng)性質(zhì)直接決定了一種零知識證明技術(shù)能否穩(wěn)健地執(zhí)行鏈下計(jì)算，并高效地與智能合約參與鏈上隱私驗(yàn)證.因此，本文將上述3個支撐性質(zhì)作為衡量不同非交互式零知識證明技術(shù)在區(qū)塊鏈上性能的評判指標(biāo).

2 適用于區(qū)塊鏈隱私保護(hù)的零知識證明技術(shù)

當(dāng)前適合應(yīng)用在區(qū)塊鏈中的主流非交互式零知識證明有ZK-snark[13]、ZK-stark[14]、AZTEC[15]、Bulletproof[16].

本文按照時間順序分別闡述了上述4種主流技術(shù)以及一些其它創(chuàng)新的非交互證明方法，如Shellproof[17]、ZKRP[18].為更清晰地了解這些技術(shù)的發(fā)展歷程，本文列出了上述零知識證明技術(shù)被提出的順序時間軸，如圖2所示.

圖2 證明技術(shù)的發(fā)展時間軸

2.1 ZK-snark

ZK-snark技術(shù)起源于Zcash[19]電子貨幣的出現(xiàn).ZK-snark技術(shù)也是現(xiàn)今為止作為解決區(qū)塊鏈隱私問題最有效的零知識證明技術(shù)之一.ZK-snark主要分為四部分：多項(xiàng)式轉(zhuǎn)換、隨機(jī)抽樣、同態(tài)加密、零知識認(rèn)證[20].其執(zhí)行流程如圖3所示.

圖3 ZK-snark執(zhí)行流程圖

首先，系統(tǒng)需要將驗(yàn)證的問題拆分并轉(zhuǎn)換為一組基于Fujisaki-Okamoto承諾[21]的多項(xiàng)式等式，驗(yàn)證問題的真實(shí)性只需要驗(yàn)證多項(xiàng)式等式是否成立即可.這時，證明者(Prover)通過獲取一組公共參考字符串(common reference string,CRS)，來計(jì)算隨機(jī)抽樣測試點(diǎn)帶入多項(xiàng)式后的計(jì)算結(jié)果，因?yàn)闇y試點(diǎn)是經(jīng)過同態(tài)加密的，證明者不知道測試點(diǎn)的明文內(nèi)容，但依然可以對測試點(diǎn)密文進(jìn)行運(yùn)算并通過解密得到明文的運(yùn)算結(jié)果.最后證明者將計(jì)算結(jié)果發(fā)送給驗(yàn)證器(Verifier).若驗(yàn)證器驗(yàn)證等式成立，則相信證明者提供的驗(yàn)證問題為真.

早期ZK-snark的構(gòu)建協(xié)議以Sonic[22]和Groth16[23]為主，Sonic支持通用可變的公共參考字符串，證據(jù)尺寸固定，但是驗(yàn)證成本較高.而Groth16的證明速度快、證明數(shù)據(jù)量小，因而被應(yīng)用至Zcash平臺.

但已有的ZK-snark構(gòu)建協(xié)議最大的缺陷在于，需要系統(tǒng)提前為證明者與驗(yàn)證者提供公共參考字符串來完成驗(yàn)證，而公共參考字符串通常由小部分群體制定，使得其很容易被惡意攻擊，提交假證據(jù)影響驗(yàn)證結(jié)果，形成信任危機(jī).因此ZK-snark在隱私性能方面存在一定缺陷.但在2020年初，ZK-snark推出了許多全新的構(gòu)建協(xié)議，這些構(gòu)建摒棄了已有的可信設(shè)置，采用透明設(shè)置或通用設(shè)置來增加安全系數(shù).例如采用透明設(shè)置的Fractal[24]、Halo[25]、SuperSonic-CG[26]以及采用通用設(shè)置并基于Sonic改進(jìn)的SuperSonic-RSA[27]、Marlin[28]、Plonk[29].

2.2 ZK-stark

ZK-stark由BEN等提出，ZK-stark的前身是SCI(Scalable Computational Integrity)證明系統(tǒng)[30]，其開發(fā)目的是依靠抗碰撞散列函數(shù)來代替可信設(shè)置，從而解決傳統(tǒng)ZK-snark的信任危機(jī)問題.但SCI不能夠進(jìn)行零知識證明，而且相比ZK-snark的證明性能較差.因此，BEN等[14]經(jīng)過進(jìn)一步改進(jìn)，提出了ZK-stark.ZK-stark同樣具有零知識特性，以及知識論證流程.ZK-stark也實(shí)現(xiàn)了將隱私數(shù)據(jù)的輸入進(jìn)行加密隱藏，這些處理思想在本質(zhì)上與ZK-snark相同.

但ZK-stark與ZK-snark的不同之處在于，ZK-stark擁有可擴(kuò)展性，ZK-stark的可擴(kuò)展性表現(xiàn)在證明耗時與原始計(jì)算耗時呈擬線性關(guān)系，驗(yàn)證耗時與原始計(jì)算耗時呈對數(shù)關(guān)系.因此，當(dāng)驗(yàn)證的數(shù)據(jù)集變得很大時，ZK-stark的驗(yàn)證時間將比ZK-snark快很多.另外，ZK-stark不需要生成公共參考字符串，因此ZK-stark的證明生成過程比ZK-snark更加透明，對外界具有更好的抗攻擊能力.

2.3 AZTEC

AZTEC(anonymous zero-knowledge transact-ions with efficient communication)[15]作為一種新的基于智能合約端零知識證明的隱私保護(hù)方案在2018年12月被提出.AZTEC放棄零知識鏈下計(jì)算，將ZK-snark部署在智能合約中，目的是為了以更低的計(jì)算成本和更有效的方式去加密區(qū)塊鏈數(shù)據(jù)，旨在將隱私交易保護(hù)實(shí)現(xiàn)在區(qū)塊鏈平臺上.

AZTEC將同態(tài)加密算法與一種范圍證明結(jié)合，通過橢圓曲線標(biāo)量乘法和雙線性配對比較來驗(yàn)證交易的合法性.但這種方法依然需要橢圓曲線點(diǎn)作為公共參數(shù)從而構(gòu)建可信設(shè)置.

2.4 Bulletproof

Bulletproof又稱子彈證明，是一種使用內(nèi)積法設(shè)計(jì)的范圍證明，由斯坦福大學(xué)密碼學(xué)家BENEDIKT 等[16]提出.

Bulletproof由兩部分組成，分別為內(nèi)積范圍證明與改進(jìn)的內(nèi)積參數(shù)協(xié)議.其中，改進(jìn)的內(nèi)積參數(shù)協(xié)議主要是將BOOTLE等[31]提出的內(nèi)積參數(shù)論證如式(1)所示：

p=ga·hb·uc

(1)

進(jìn)行參數(shù)向量維度的縮減，將向量協(xié)議n維向量a、b與n維元素g、h拆分為原來一半，將維度由n變?yōu)閚/2，使論證的通信復(fù)雜度從6lg(n)降低至4lg(n)，改進(jìn)后的參數(shù)向量如公式(2)所示：

(2)

內(nèi)積范圍證明采用Pedersen向量承諾方案[32]，將秘密值范圍表示成一組向量內(nèi)積，隨后加入隨機(jī)數(shù)因子將內(nèi)積進(jìn)行盲化，并利用改進(jìn)的內(nèi)積參數(shù)協(xié)議進(jìn)行內(nèi)積多項(xiàng)式合并.最終，驗(yàn)證器以驗(yàn)證一組盲化多項(xiàng)式正確性的形式，去驗(yàn)證秘密值范圍是否合法.

Bulletproof的最大優(yōu)點(diǎn)是，其生成的證據(jù)十分簡短，僅需要組元素就可以證明秘密值在一定范圍內(nèi).在時間上，證明者使用Bulletproof提供證據(jù)的時間和驗(yàn)證器驗(yàn)證的時間與維度n是線性的，并且Bulletproof支持聚合范圍證明.但即使子彈證明對內(nèi)積參數(shù)進(jìn)行了優(yōu)化，在處理實(shí)際問題中的計(jì)算成本仍然很高.

2.5 其他算法

2.5.1 ZKRP

ZKRP[18]是一種基于Fujisaki-Okamoto承諾改進(jìn)的零知識范圍證明，由TSAI等提出.ZKRP為整數(shù)的范圍證明設(shè)計(jì)了一種等式如式(3)所示：

M+R=ω2(m-a+1)(b-m+1)

(3)

假設(shè)證明整數(shù)m屬于范圍a至b，則有不等式(m-a+1)(b-m+1)>0，因?yàn)樯鲜霾坏仁饺菀妆┞墩麛?shù)m的值，因此ZKRP引入系數(shù)ω2并將不等式變?yōu)榈仁剑仁揭贿呌?分解為M與R，只需要證明M為一個平方數(shù)，并且R>0則M+R>0，則可以相信整數(shù)m屬于范圍a至b.ZKRP首先根據(jù)Fujisaki-Okamoto承諾，給出初始證據(jù)c1、c2、c′，生成式(4)如下：

(4)

之后將EL證明(two commitments hide the same secret proof)[33]與SQR證明(committed number is a square proof)[34]相結(jié)合，通過提供相等數(shù)值的證據(jù)證明R>0和數(shù)值為平方數(shù)的證據(jù)證明M為平方數(shù)，進(jìn)而證明M+R>0.這種ZKRP證明相比與普通的范圍證明的優(yōu)點(diǎn)是，它可以對任意范圍的整數(shù)提供證據(jù)，證明相對靈活，性能穩(wěn)定.

2.5.2 Shellproof

Shellproof[16]是一種基于Bulletproof改進(jìn)而來的零知識范圍證明.Shellproof利用特定的壓縮標(biāo)量對內(nèi)積參數(shù)進(jìn)行壓縮，將Bulletproof中的n維向量a、b與n維場元素由式(5)改進(jìn)為式(6)：

(5)

改進(jìn)為：

(6)

Shellproof只將參數(shù)向量的一半與x進(jìn)行運(yùn)算，取消向量與x的-1次冪相乘，其余算法步驟與Bulletproof相同，卻將證明計(jì)算復(fù)雜度從Bulletproof的4lg(n)降低至2lg(n).

3 零知識證明技術(shù)比較分析

本文對比了4種方法的證據(jù)尺寸和驗(yàn)證時間復(fù)雜度以及可信設(shè)置情況，如表1所示，因?yàn)镾hellproof是在Bulletproof基礎(chǔ)上做出的改進(jìn)，因此將Shellproof同時與主流算法作對比.

根據(jù)表1中信息可以看出，Bulletproof與Shellproof的性能更全面，其證據(jù)尺寸明顯小于ZK-snark，并且驗(yàn)證時間復(fù)雜度更為穩(wěn)定，可信設(shè)置也得到了完善.而ZK-stark的性能介于ZK-snark與Bulletproof之間，由于ZK-stark的證據(jù)尺寸過大，當(dāng)分布式服務(wù)器性能不高時不建議使用ZK-stark進(jìn)行證據(jù)生成.

表1 方法性能的分析比較

根據(jù)表2可以看出，Bulletproof與Shellproof通過內(nèi)積參數(shù)法的改進(jìn)，在隱私性上比ZK-snark、ZK-stark以及AZTEC有很大的提升的同時，并沒有犧牲其可擴(kuò)展性，其證據(jù)生成時間和驗(yàn)證時間仍然是線性的.但是由于內(nèi)積參數(shù)法生成的證據(jù)，其智能合約驗(yàn)證運(yùn)算較為復(fù)雜.因此，在鏈上可計(jì)算方面Bulletproof與Shellproof弱于ZK-snark.

表2 基于3種性質(zhì)的方法比較

4 基于零知識證明的隱私保護(hù)方案的區(qū)塊鏈應(yīng)用

4.1 Zcash

Zcash[19]由ECC電子貨幣公司于2016年發(fā)行，是最經(jīng)典的采用零知識證明技術(shù)ZK-snark進(jìn)行隱私保護(hù)的區(qū)塊鏈應(yīng)用.

由于在Zcash發(fā)行時，ZK-snark技術(shù)還是一種十分尖端的加密證明技術(shù)，在一定程度上可以有效保護(hù)賬戶隱私，因此Zcash很快發(fā)展成為世界上應(yīng)用范圍最廣、安全系數(shù)最高的加密貨幣之一.但由于ZK-snark技術(shù)的證明驗(yàn)證時間很長，導(dǎo)致Zcash的匿名交易十分遲緩，這也是Zcash的弊病所在.因此，近年來ECC公司的開發(fā)人員以及密碼學(xué)家也研究出許多ZK-snark新的構(gòu)建形式，來優(yōu)化證明速度以及安全問題.

4.2 RZcash

RZcash[36]是由XUE等于2019年提出的一種基于零知識范圍證明的區(qū)塊鏈雙賬戶隱私保護(hù)方案.其主要應(yīng)用于Ethereum平臺賬戶型區(qū)塊鏈中，為了實(shí)現(xiàn)零知識的賬戶型區(qū)塊鏈隱私保護(hù)，它與Zcash相似地提出使用一種隱私賬戶，將鏈上的交易金額和交易細(xì)節(jié)進(jìn)行隱藏，并使用與ZK-snark技術(shù)相同的基于橢圓曲線的Pedersen承諾方案和范圍證明對交易進(jìn)行驗(yàn)證.

如圖4所示，RZcash為賬戶生成的承諾分為交易承諾和余額承諾兩種.其中交易承諾用來證明每筆交易金額，余額承諾用來證明交易前后的賬戶余額.RZcash隱私賬戶會在每次交易時根據(jù)交易金額生成交易承諾，并根據(jù)收款方不同的賬戶類型，獲取不同的信息給付款方，當(dāng)收款方是隱私賬戶時，則提供余額承諾，若其為開放賬戶，則直接傳遞賬戶余額.付款方計(jì)算并更新收款方的余額承諾以及收款賬戶余額，隨后將交易承諾與更新的余額承諾發(fā)送給驗(yàn)證器，驗(yàn)證器利用零知識證明對承諾算式進(jìn)行驗(yàn)證，并利用范圍證明驗(yàn)證交易金額的范圍是否合法.因此，RZcash隱私賬戶余額承諾是伴隨交易的進(jìn)行而動態(tài)更新的，當(dāng)交易完成后，收款人的賬戶余額承諾也會更新.

圖4 RZcash交易執(zhí)行過程

4.3 Monero

Monero是在2014年基于中本聰比特幣理論創(chuàng)建的另一種開源加密貨幣，又稱門羅幣.Monero最大的特點(diǎn)是隱私保護(hù)和可擴(kuò)展性.在最初發(fā)布時，Monero主要基于CryptoNote協(xié)議實(shí)現(xiàn)隱私保護(hù)，并在區(qū)塊鏈模糊化方面有顯著的算法優(yōu)勢.在改進(jìn)的Monero隱私保護(hù)方案中，Monero部署了Bulletproof進(jìn)一步強(qiáng)化了基于零知識證明的隱私保護(hù)性能，事務(wù)體積顯著降低.Monero區(qū)塊鏈的分布式數(shù)據(jù)庫，其數(shù)據(jù)庫結(jié)構(gòu)也各不相同，目的是提高效率和拓寬靈活性.Monero也設(shè)置了最小的環(huán)簽名大小，以便所有數(shù)據(jù)都按照授權(quán)分配進(jìn)行交易，并且實(shí)施了RingCT以隱藏交易金額.

Monero以優(yōu)秀的隱私保護(hù)體系而受到廣泛認(rèn)可，但在一定程度上也損失了易用性和高效性.

4.4 StarkWare

StarkWare項(xiàng)目是一個使用ZK-stark技術(shù)實(shí)現(xiàn)區(qū)塊鏈賬戶隱私保護(hù)的解決方案，其項(xiàng)目提供零知識證明和量子安全加密證明保障用戶個人信息不外泄.StarkWare采用的ZK-stark技術(shù)利用零知識協(xié)議保護(hù)鏈上信息的隱私，并支持將大數(shù)據(jù)壓縮成小樣本減少計(jì)算量.而在實(shí)際應(yīng)用上這種方案也比量子計(jì)算更高效、透明和安全.

StarkWare開發(fā)設(shè)計(jì)了一個完整的證明堆棧以支持用于生成和驗(yàn)證一般計(jì)算的快速可靠的完整性證明.StarkWare由證明端提供的證據(jù)不依賴于任何第三方數(shù)據(jù)源，并且不會透露隱私數(shù)據(jù)的具體信息，只向智能合約提供證據(jù)，以此實(shí)現(xiàn)零知識證明執(zhí)行流程.

4.5 zk-AuthFeed

zk-AuthFeed[37]作為一種較新穎的隱私保護(hù)方案在2019年由WAN等提出.它提出在零知識證明之前對數(shù)據(jù)進(jìn)行身份認(rèn)證，并對應(yīng)提出將ZK-snark與數(shù)字簽名相結(jié)合的zk-DASNARK技術(shù).zkAuthFeed主要由4部分組成：數(shù)據(jù)認(rèn)證器、用戶、驗(yàn)證器、智能合約程序.其中數(shù)據(jù)認(rèn)證器提供可信的數(shù)據(jù)源，為zk-DASNARK生成必要的安全參數(shù)、公鑰、私鑰以及電子簽名.用戶將申請存儲數(shù)據(jù)的證據(jù)和電子簽名發(fā)送給驗(yàn)證器，由驗(yàn)證器負(fù)責(zé)審核提供的證據(jù)是否真實(shí)，計(jì)算結(jié)果是否來自于真正的請求數(shù)據(jù).

另外，為了同時保護(hù)用戶輸入數(shù)據(jù)和輸出證據(jù)的隱私性，zkAuthFeed對ZK-snark證據(jù)的計(jì)算結(jié)果R以及哈希值h也進(jìn)行了加密保護(hù)的改進(jìn)，改進(jìn)過程如圖5所示.其中R表示為付款證明值，h表示為與付款證明R相匹配的哈希電路輸出結(jié)果.

圖5 zk-AuthFeed的計(jì)算結(jié)果改進(jìn)

將計(jì)算結(jié)果R以直接提供給智能合約的方式改為對R加密并間接向智能合約提供支付承諾的方式.隨后，zkAuthFeed將哈希值h分為h與h′,其中h作為簽名證據(jù)，h'作為驗(yàn)證簽名并由認(rèn)證器進(jìn)行有效驗(yàn)證，進(jìn)而保護(hù)整體哈希值h的安全.

5 工作思路與設(shè)想

基于目前的零知識證明技術(shù)現(xiàn)狀，團(tuán)隊(duì)針對區(qū)塊鏈隱私安全研究的工作思路由三方面展開：異構(gòu)平臺的零知識證明技術(shù)加速、零知識證明的區(qū)塊鏈隱私保護(hù)應(yīng)用范圍、鏈上隱私數(shù)據(jù)的多樣化適配.

5.1 異構(gòu)平臺的零知識證明技術(shù)加速

零知識證明技術(shù)雖然已經(jīng)應(yīng)用在如Zcash、Monero等電子貨幣平臺中，但其證據(jù)產(chǎn)生和智能合約驗(yàn)證的速度是十分緩慢的，例如采用Groth16協(xié)議的ZK-snark生成證據(jù)需要1～2min，執(zhí)行驗(yàn)證需要1～10ms.這對于數(shù)據(jù)量龐大的金融區(qū)塊鏈以及商業(yè)聯(lián)盟鏈來說，是一項(xiàng)不可忽略的時間開銷.在未來，團(tuán)隊(duì)希望將零知識證明隱私保護(hù)方案與異構(gòu)平臺進(jìn)行更好地結(jié)合，使用CPU+FPGA異構(gòu)并行處理的模式，加速零知識證明執(zhí)行過程，異構(gòu)平臺的零知識證明加速流程如圖6所示.

圖6 異構(gòu)平臺的零知識證明加速

本地節(jié)點(diǎn)CPU傳輸指令至FPGA芯片，F(xiàn)PGA芯片通過調(diào)用公共參考字符串，對請求和需要加密的明文信息進(jìn)行零知識運(yùn)算處理.智能合約驗(yàn)證FPGA芯片提供的密鑰和零知識證據(jù)是否合法，并將數(shù)據(jù)存儲至區(qū)塊鏈中.節(jié)點(diǎn)將橢圓曲線算法、對數(shù)函數(shù)等復(fù)雜的密碼學(xué)運(yùn)算交由FPGA芯片處理，使用CPU執(zhí)行任務(wù)調(diào)度與智能合約程序驗(yàn)證等工作，在硬件的角度上解決證據(jù)生成時間慢、匿名交易遲緩的問題.

5.2 零知識證明的區(qū)塊鏈隱私保護(hù)應(yīng)用范圍

目前大部分零知識證明隱私保護(hù)技術(shù)都應(yīng)用于電子貨幣公有鏈中，例如Zcash貨幣，卻很少應(yīng)用于聯(lián)盟鏈的隱私保護(hù)中.

聯(lián)盟鏈可以應(yīng)用于深度學(xué)習(xí)數(shù)據(jù)保護(hù)、航空航天數(shù)據(jù)溯源、智慧城市數(shù)據(jù)跟蹤等諸多場景.在未來研究中，應(yīng)設(shè)計(jì)出更多適用于聯(lián)盟鏈的零知識證明隱私保護(hù)方案，對更多場景的隱私數(shù)據(jù)進(jìn)行保護(hù).

5.3 鏈上隱私數(shù)據(jù)的多樣化適配

而在聯(lián)盟鏈中，需要去中心化管理的數(shù)據(jù)除貨幣數(shù)據(jù)之外，也涉及許多字符串、浮點(diǎn)數(shù)信息.例如智慧農(nóng)業(yè)區(qū)塊鏈涉及到的農(nóng)產(chǎn)品信息溯源以及農(nóng)產(chǎn)品交易物流信息.這些數(shù)據(jù)都具有不可篡改性，需要保證數(shù)據(jù)的真實(shí)正確性，因此這些字符類型數(shù)據(jù)的安全隱私問題也亟待解決.隱私數(shù)據(jù)多樣化適配的研究重點(diǎn)是將零知識證明技術(shù)以及同態(tài)加密等算法適用到字符串中，使保護(hù)的隱私數(shù)據(jù)類型多樣化，使零知識證明的隱私保護(hù)方案可以應(yīng)用至更廣泛的實(shí)際場景中.

6 未來研究方向與展望

未來基于零知識證明的隱私保護(hù)方案將以區(qū)塊鏈為平臺，應(yīng)用于諸多技術(shù)領(lǐng)域，例如卷積神經(jīng)網(wǎng)絡(luò)模型的隱私保護(hù)、航天數(shù)據(jù)溯源等.其中，卷積神經(jīng)網(wǎng)絡(luò)利用非交互式證明的良好隱私性能，對模型的卷積層和權(quán)值參數(shù)生成零知識證據(jù)，并將訓(xùn)練數(shù)據(jù)存儲至區(qū)塊鏈中，使訓(xùn)練數(shù)據(jù)不可篡改、模型信息不對外公開，使驗(yàn)證者在不掌握模型信息的情況下，信任訓(xùn)練結(jié)果以及神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)性能.在航空航天方面，航天器飛行數(shù)據(jù)可上傳至區(qū)塊鏈平臺，使重要的飛行數(shù)據(jù)作為追溯對象不可篡改；利用零知識證明技術(shù)對數(shù)據(jù)進(jìn)行加密，在不影響數(shù)據(jù)可用性的同時，加強(qiáng)數(shù)據(jù)私密性.

7 結(jié) 論

本文以區(qū)塊鏈隱私安全問題為驅(qū)動，闡述了多種區(qū)塊鏈中的零知識證明技術(shù)以及其對應(yīng)的方案應(yīng)用.本文也分析總結(jié)了不同種類零知識證明技術(shù)之間的特點(diǎn)與異同.目前，應(yīng)用至實(shí)際區(qū)塊鏈項(xiàng)目中的隱私保護(hù)解決方案仍存在時間復(fù)雜度高、隱私性弱、算力開銷高昂等亟待解決的問題.而許多創(chuàng)新型方案，如Shellproof、ZKRP等，雖然理論新穎，但算法和技術(shù)確少實(shí)踐考量，目前尚未得到實(shí)際應(yīng)用和部署.因此，基于零知識證明的隱私保護(hù)方案還需要在未來不斷地深入研究和改進(jìn)，并在不同場景中逐漸得到廣泛應(yīng)用.最后，本文致謝中央高?；究蒲袠I(yè)務(wù)費(fèi)的大力支持.