霍鑫磊，龍 宇，谷大武，2

1(上海交通大學 計算機科學與工程系，上海 200240) 2(上海交通大學 網絡空間安全學院，上海 200240)

1 引 言

區(qū)塊鏈技術最初在2008年由Nakamoto作為比特幣底層實現(xiàn)技術被提出[1]，是以時間為序的公共的、防篡改的分布式記賬技術，是互聯(lián)網交互中信任問題的一個分布式解決方法.區(qū)塊鏈技術使得其用戶在不引入可信第三方的情況下建立一套信任機制，且區(qū)塊鏈網絡中交易公開透明，一旦上鏈很難被篡改.因此，區(qū)塊鏈技術被視為解決當前互聯(lián)網信任機制所導致的一系列問題的突破性技術，目前，具有準入機制的聯(lián)盟鏈是應用最為廣泛的區(qū)塊鏈.

然而，由于區(qū)塊鏈使用參與結點共識機制來實現(xiàn)信任，這立足于全網交易的公開可驗證性.但交易的公開可驗證性帶來了暴露交易相關節(jié)點隱私的隱患：如交易雙方身份(交易匿名性)及交易的金額(金額隱私性)等.這引發(fā)了關于區(qū)塊鏈隱私保護的一系列研究分析[2,3].典型工作包括CoinJoin[4]、CoinShuffle[5]、TumbleBit[6]等使用了混幣的思想.而Cryptonote協(xié)議[7]、Zerocoin[8]、Zerocash[9]等則使用了零知識證明、環(huán)簽名等密碼原語.良好的隱私保護機制在一定程度上可以保護區(qū)塊鏈網絡中節(jié)點的隱私，卻可能使得對區(qū)塊鏈數(shù)據(jù)的監(jiān)管較難實現(xiàn).具備極強隱私保護機制的區(qū)塊鏈網絡易為不法分子所用.為此，人們展開了對區(qū)塊鏈的監(jiān)管的研究.

在區(qū)塊鏈監(jiān)管方面，按照監(jiān)管者能力，主要劃分為區(qū)塊鏈數(shù)據(jù)審計和數(shù)據(jù)管理兩個方向.區(qū)塊鏈鏈上數(shù)據(jù)審計指監(jiān)管者判斷交易內容是否滿足某些特定的格式(如一段時間內的交易總額、納稅比例等).主要模型有兩類：一類主要應用于銀行中介模型，通過引入第三方參與交易確認(RSCoin[10]、Solidus協(xié)議[11]等)；另一類主要應用于各類隱私貨幣，使用密碼學工具(zkledger[12]、FabZK[13]、PGC[14]等)，通過提供諸如“具有觀察權限的審計密鑰”等手段實現(xiàn)對部分數(shù)據(jù)的審計.區(qū)塊鏈鏈上數(shù)據(jù)管理指通過對區(qū)塊鏈上信息的重編輯以刪除鏈上惡意數(shù)據(jù)，也包括兩個模型：一類不需要可信監(jiān)管方，通過全網投票實現(xiàn)數(shù)據(jù)管理[15]；另一類則存在可信監(jiān)管方，監(jiān)管方通過密碼學私鑰來修改區(qū)塊鏈數(shù)據(jù)[16-18].

在現(xiàn)有的研究中，對可同時保護交易匿名性及隱私性的區(qū)塊鏈下的數(shù)據(jù)監(jiān)管問題的研究尚不足夠.如RSCoin不考慮隱私問題；zkledger不考慮數(shù)據(jù)管理問題且需要極大的公開賬本以實現(xiàn)公開的交易正確性驗證；PGC既不保護交易用戶匿名性也不考慮數(shù)據(jù)管理問題；文獻[15-17]著重于數(shù)據(jù)管理但均不考慮隱私保護.為此，本文在聯(lián)盟鏈場景下，針對以上問題進行了首次全面的綜合研究，提出了一個兼具交易匿名性、金額隱私性，且支持強制數(shù)據(jù)審計和數(shù)據(jù)管理的監(jiān)管方案.

具體而言，本文基于聯(lián)盟鏈的金融交易場景.在存在可信授權監(jiān)管方的前提下(如中國銀聯(lián))，多個金融機構共同參與構建聯(lián)盟鏈.各參與方的經濟活動均在鏈上進行，經過全網共識的正確交易才能計入公開賬本.一方面，聯(lián)盟鏈網絡中的任一用戶所發(fā)起的交易將被強制監(jiān)管，即中國銀聯(lián)可以打開網絡中所有交易的具體信息并執(zhí)行任意審計，還可以針對鏈上的違規(guī)惡意信息進行一定程度的數(shù)據(jù)修訂.另一方面，在每筆金融交易中，除交易雙方與中國銀聯(lián)外，其他交易無關用戶均不能知道交易金額和交易者身份.

2 基礎技術

2.1 聯(lián)盟鏈及其賬本結構

聯(lián)盟鏈是存在準入機制的區(qū)塊鏈.其最大的特點是參與者角色明確，其共識過程只針對某個特定群體的成員和有限的第三方開放，其區(qū)塊生成僅由預選節(jié)點共同決定.聯(lián)盟鏈是目前區(qū)塊鏈應用的主要場景，在銀行和金融等行業(yè)聯(lián)盟中，擁有天然的可落地基因.

與公有鏈類似，聯(lián)盟鏈也使用哈希鏈和默克爾樹來實現(xiàn)交易的打包和定序，如圖1所示.交易本身主要使用兩種記賬結構：基于交易的UTXO(Unspent Transaction Output，未花費的交易輸出)模型和基于余額的賬戶模型.前者可以應用在腳本受限的平臺上，具有更大的普適性.本文采用這種模型.

圖1 一般區(qū)塊鏈組織結構示意圖Fig.1 Schematic of general blockchain structure

在UTXO模型中，UTXO不可分割，表示記錄在區(qū)塊中的用戶所持有的金額.在此模型中，交易發(fā)起方以其擁有的一筆或多筆UTXO作為輸入，輸出為一筆或多筆屬于一個或多個接收方的UTXO，且每個UTXO只能被消費一次，記賬方式如圖2所示.

圖2 UTXO模型下的交易示意圖Fig.2 Transaction diagram under UTXO model

2.2 非交互零知識證明

非交互零知識證明涉及到的對象被稱為證明方和驗證方.在證明過程中，給定某個NP問題(稱為語言L)，證明方擁有屬于L的實例x及其證據(jù)w.需要向驗證方證明x∈L且不泄露除此之外的任何信息.零知識證明具有完備性、健壯性與零知識性.本文所使用的非交互零知識證明算法簡單描述如下：

1)Setup(1kNIZK).以安全參數(shù)kNIZK為輸入，輸出公共參數(shù)ppNIZK.

2)CRSGen(ppNIZK).以零知識證明公共參數(shù)ppNIZK為輸入，輸出公共參考串crs.

3)Prove(crs，x，w).以公共參考串crs、實例-證據(jù)對(x，w)∈L為輸入，輸出Π=Prove(crs，x，w).

4)Verify(crs，x，Π).以公共參考串crs、實例x、證明Π為輸入，若通過驗證，輸出為1，反之則輸出為0.

2.3 變色龍哈希函數(shù)

變色龍哈希函數(shù)是一種帶有“陷門”的密碼學哈希函數(shù).在變色龍哈希函數(shù)中，可以人為設下一個“私鑰”，通過使用此“私鑰”易找到碰撞.其算法簡單描述如下：

1)HGen(1kCH).選取安全參數(shù)kCH作為輸入，輸出哈希密鑰hk，陷門密鑰tk.

2)CHash(hk，m，ξ).哈希密鑰hk的持有者輸入哈希密鑰hk、消息m、隨機數(shù)ξ(檢查字符串)，輸出哈希值h=CHash(hk，m，ξ)；

3)CHVer(hk，m，(h，ξ)).哈希密鑰hk持有者輸入哈希密鑰hk、消息m、哈希值h與隨機數(shù)ξ(檢查字符串)，若h=CHash(hk，m，ξ)，輸出為1，反之輸出為0；

4)CHCol(tk，(h，m，ξ)，m′).陷門密鑰tk持有者輸入陷門密鑰tk、原消息m、哈希值h、原隨機數(shù)ξ與修改后消息m′.輸出新檢查字符串ξ′=CHCol(tk，(h，m，ξ)，m′).新的檢查字符串ξ′滿足CHVer(hk，m′，(h，ξ′))=1.

2.4 數(shù)字簽名算法

數(shù)字簽名算法涉及到的對象稱為簽名方與驗證方.數(shù)字簽名具有不可偽造性與不可抵賴性.算法簡單描述如下：

數(shù)字簽名算法涉及到的對象稱為簽名方與驗證方.數(shù)字簽名具有不可偽造性與不可抵賴性.算法簡單描述如下：

1)Setup(1kSig).以安全參數(shù)kSig為輸入，輸出公共參數(shù)ppSig.

2)KeyGen(ppSig).以公共參數(shù)ppSig為輸入，輸出簽名密鑰對(pk，sk).

3)Sign(sk，m).簽名方存在數(shù)字簽名公私鑰對(pk，sk).簽名方以數(shù)字簽名私鑰sk與消息m為輸入，得到數(shù)字簽名σ=Sign(sk，m).

4)VerSig(pk，m，σ)：接收方以簽名方數(shù)字簽名公鑰pk，及其原消息內容m和對應的數(shù)字簽名σ為輸入，若通過驗證，輸出為1，反之輸出為0.

2.5 公鑰加密算法

公鑰加密算法簡單描述如下：

1)Setup(1kPKE).以安全參數(shù)kPKE為輸入，輸出公共參數(shù)ppPKE.

2)KeyGen(ppPKE).以公共參數(shù)ppPKE為輸入，輸出公私鑰對(PK，SK)

3)EncPK(m，r)：消息加密方以消息接收方公鑰PK、消息m及隨機數(shù)r接為輸入，生成密文c=EncPK(m，r).

4)DecSK(c)：消息接收方以自身私鑰SK與密文c為輸入，若SK與加密時使用的PK對應同一對公私鑰對，輸出消息m，反之則輸出不可讀消息.

3 方案設計

3.1 方案參與方及基本思路

本文所提出的基于聯(lián)盟鏈的方案旨在協(xié)調交易過程中交易隱私保護與監(jiān)管粒度.方案參與角色包括：證書簽發(fā)機構、授權監(jiān)管方、記賬節(jié)點、普通交易節(jié)點.方案模型如圖3所示.

圖3 方案模型Fig.3 Scheme model

1)證書簽發(fā)機構：可信第三方，負責成員身份管理.在方案初始化之前，聯(lián)盟鏈各成員節(jié)點從證書簽發(fā)機構獲得自己數(shù)字證書.

2)授權監(jiān)管方：聯(lián)盟鏈交易的可信監(jiān)管者，負責交易審計和鏈上數(shù)據(jù)管理.在此方案中授權監(jiān)管方默認已知各普通用戶在聯(lián)盟鏈中普通用戶的初始UTXO持有情況.

3)記賬節(jié)點：也稱“共識節(jié)點”，聯(lián)盟鏈中預先選定的多個節(jié)點，負責收集交易并通過安全共識算法形成公開賬本.

4)普通交易節(jié)點：參與聯(lián)盟鏈中的交易節(jié)點，包括交易發(fā)起方和接收方.普通交易節(jié)點生成交易并將交易提交給記賬節(jié)點，不參與記賬行為與區(qū)塊生成.

為實現(xiàn)交易隱私性，本方案中交易發(fā)起方使用交易接收方公鑰來加密交易，從而保護交易金額及接收方地址的隱私性；為保證交易的可審計性，本方案同時使用監(jiān)管者公鑰來加密交易；為保證交易/審計的正確性及審計的強制性，本方案使用非交互零知識證明來確保交易的正確性和有效性.此外，為實現(xiàn)監(jiān)管方的鏈上數(shù)據(jù)管理，方案中使用了變色龍哈希函數(shù)，使得授權監(jiān)管方可以對承載惡意信息的區(qū)塊進行修訂而保持所修訂的區(qū)塊原哈希值不變，從而保持了鏈結構.

3.2 方案UTXO交易及區(qū)塊結構

本文所基于的UTXO模型的交易信息結構如圖4(a)所示.此方案針對交易金額與交易輸出地址字段進行隱私保護，涉及到的交易均非區(qū)塊生成交易.

圖4 本方案所使用的交易結構與區(qū)塊結構Fig.4 Transaction structure and block structure used in this scheme

其中，Sig為交易發(fā)起方使用數(shù)字簽名方案對交易的輸入輸出部分的簽名，以保證交易的完整性與不可抵賴性，并參與交易發(fā)起方對于作為輸入的UTXO的所有權的驗證；Witnessadd用于驗證交易發(fā)起方對于作為輸入的UTXO具有使用權；Witnessout用于驗證交易可被監(jiān)管者監(jiān)管；Witnessa用于驗證整個交易金額的平衡性.值得注意的是，交易無關的其他節(jié)點均不能從Witnessadd、Witnessout、Witnessa中讀取任何交易隱私相關信息.

一個Input字段，即為此交易的一個PreUTXO，PreUTXO，表示為其所在的交易標識PreTxId與其對應的偏移量Index，則Input=(PreTxId，Index).例如，圖2中Input5-2=(TxId4，2).TxId為該交易的輸入輸出的哈希值，TxId=H(Inputs‖Outputs)；一個Output字段表示的即使一個新的UTXO，包括交易輸出的交易金額Amount與交易的接收方地址LockAddress，Output=(Amount，LockAddress).Amount與LockAddress與字段均以密文形式出現(xiàn)在交易中，交易無關用戶不可讀取.

此方案中所使用的區(qū)塊結構包括前一區(qū)塊的哈希值HashPrev；區(qū)塊生成的相關參數(shù)Nonce；當前區(qū)塊所包含交易的默克爾樹的根Merkel Root；變色龍哈希函數(shù)的檢查字符串Check string，具體如圖4(b)所示.此區(qū)塊結構中，區(qū)塊的哈希值的計算方式為：H(n，S，CHash(hk，x，ξ)).

4 方案構造

算法1.初始化算法.

初始化算法的主要功能是生成此方案所需參數(shù).

輸入：kCH,kSig,kNIZK,kPKE安全參數(shù)；

輸出：公共參數(shù)parapub與私有參數(shù)parasec.

1)生成變色龍哈希函數(shù)的公私鑰對(hk，tk).

2)生成簽名方案的公共參數(shù)ppSig.

3)生成公鑰加密算法的公共參數(shù)ppPKE.

4)生成非交互式零知識證明的公共參數(shù)ppNIZK與crs.

5)規(guī)定零知識證明語言Ladd.

6)規(guī)定零知識證明語言Lout.

7)規(guī)定零知識證明語言La.

La={(CB1，…，CBn，CA1，…，CAm)|?(b1，…，bn，a1，…，am，

8)私有參數(shù)parasec=(tk)授權監(jiān)管方存儲，公共參數(shù)parapub=(hk，ppSig，ppPKE，ppNIZK，crs)廣播給網絡中節(jié)點.

算法2.交易生成算法.

交易生成算法的主要功能是生成符合此方案的交易規(guī)則的交易并廣播到區(qū)塊鏈網絡中.

輸出：交易輸入Inputs、交易輸出Outputs、交易見證Witness.

交易信息meg包含作為輸入的UTXO的集合與新生成的UTXO的集合.輸入的UTXO的集合即為Inputs.新生成的UTXO集合即為Outputs.網絡中的交易可包含多個輸入與多個輸出，以下以僅包含一個輸入一個輸出的情況進行說明.

交易見證Witness=(Sig，Witnessadd，Witnessout，Witnessa).在此交易中，Witnessadd即為Πadd，Witnessout即為(yS，CA，Cp，Πout)，Witnessa即為Πa.

2)表示此交易的Inputs，即此交易所使用的PreUTXO.PreTxId為交易發(fā)起方使用的PreUTXO所在的交易的標識；Index表示作為輸入的PreUTXO在PreTxId交易輸出中的偏移量，則Input=(PreTxId，Index)；

3)計算交易標識TxId=H(Input‖Output)；

算法3.交易驗證算法.

交易驗證算法的主要功能是驗證交易的有效性與正確性.

輸入：公共參數(shù)parapub、交易輸入Inputs、交易輸出Outputs、交易見證Witness；

輸出：1或0.

1)通過非交互式零知識證明的驗證算法Verify(crs，xadd，Πadd)驗證交易的完整性與交易發(fā)起方對PreUTXO的所有權；

2)通過非交互式零知識證明的驗證算法Verify(crs，xout，Πout)驗證交易發(fā)起方以密文形式發(fā)送給授權監(jiān)管方的監(jiān)管信息的正確性；

3)通過非交互式零知識證明的驗證算法Verify(crs，xa，Πa)驗證交易金額的平衡性.

若輸出為1，則表示該交易有效且正確；若輸出為0，則表示該交易無效，丟棄此交易.

算法4.交易接收算法.

交易接收算法的主要功能是使得交易接收方獲知交易具體金額，并更新自身資產列表.

輸出：交易金額a

對于已經上鏈的交易，交易接收方使用自身私鑰解密CA，得到交易金額，并更新自身資產列表.

算法5.審計算法.

審計算法的主要功能是使得授權監(jiān)管方獲知網絡中交易的流動.

輸入：公共參數(shù)parapub、交易輸入Inputs、交易輸出Outputs、交易見證Witness、授權監(jiān)管方私鑰SKS；

輸出：全部交易接收方公鑰地址與對應輸出的金額的集合.

對于使用交易驗證算法驗證后輸出為1的交易，針對其每一個輸出授權監(jiān)管方均使用自身私鑰解密yS，得到當前交易的金額與接收方的公鑰地址及相關參數(shù).

算法6.區(qū)塊信息修訂算法.

區(qū)塊信息修訂算法的主要功能是使得授權監(jiān)管方可針對存儲在區(qū)塊中的交易無關的惡意信息修訂.

記賬節(jié)點利用安全共識協(xié)議將交易信息打包成區(qū)塊，區(qū)塊間關系如圖5所示.區(qū)塊Sj-1，Sj，Sj+1為相鄰的3個區(qū)塊.假設其中區(qū)塊Sj包含了惡意內容.授權監(jiān)管方需要在保證整個區(qū)塊鏈的區(qū)塊間鏈接信息不變的前提下，完成對區(qū)塊Sj的修訂，即刪除區(qū)塊Sj的惡意內容，且保證區(qū)塊Sj的區(qū)塊哈希值不變.

圖5 區(qū)塊間的鏈接關系與區(qū)塊信息修訂Fig.5 Relationship of links between blocks and revision of block information

輸入：私有參數(shù)parasec、需修改區(qū)塊Sj；對目標區(qū)塊進行的修訂操作op；

輸出：修改后的區(qū)塊S′j

1)授權監(jiān)管方刪除惡意信息，并利用剩余數(shù)據(jù)重新計算區(qū)塊區(qū)塊Sj的Merkel Root的值，得到x′j.

2)授權監(jiān)管方利用自己所掌握的變色龍哈希函數(shù)的哈希私鑰tk針對新的Merkel Rootx′j，計算ξ′j=CHCol(tk，(hj，xj，ξj)，x′j)，得到新的檢查字符串，其中hj=CHash(hk，xj，ξj)，即區(qū)塊Sj的原變色龍哈希值.新檢查字符串ξ′j滿足：CHVer(hk，x′j，(hj，ξ′j))=1.

3)CHash(hk，x′j，ξ′j)更新區(qū)塊SjMerkel Root字段為x′j，Check String部分為ξ′j，完成區(qū)塊Sj的修訂.

區(qū)塊間的變化如圖5所示.由此，在不影響其他區(qū)塊正確性的前提下授權監(jiān)管方實現(xiàn)了對包含惡意內容的區(qū)塊的修訂.

5 方案分析

5.1 安全性定義及分析

本文試圖緩解基于聯(lián)盟鏈的金融交易場景中交易信息的隱私保護與監(jiān)管間的沖突，可能遭遇兩類不良行為：逃避監(jiān)管及隱私攻擊.前者是指交易參與方試圖構造“看似”合法的交易以通過共識節(jié)點的認可，但交易中并不包含審計信息或試圖產生錯誤的審計信息.后者是指與交易無關的非監(jiān)管節(jié)點試圖從交易中讀取交易相關金額、身份等信息.

依據(jù)攻擊者的攻擊目標，定義本方案所需滿足的安全性質分別為：強制審計性、審計可靠性、交易金額與地址隱私性.若方案滿足強制審計性、審計可靠性與交易金額與地址隱私性，則稱此交易方案是安全的.

性質1.強制審計性.該性質要求：若不誠實用戶發(fā)布缺失審計信息的交易，則此交易被納入區(qū)塊鏈的概率為0.

性質1分析：強制審計性保證網絡中每一筆交易都強制接受授權監(jiān)管方的審計，由此，授權監(jiān)管方可監(jiān)察整個網絡的交易流動.方案要求交易發(fā)起方將審計信息作為方案中交易內容的一部分，即只有完整、正確的交易才有機會通過共識節(jié)點的驗證機制并被納入區(qū)塊鏈.假設存在不誠實的普通交易節(jié)點想要逃避授權監(jiān)管方的審計進行交易，并使得該交易通過共識節(jié)點的驗證機制并最終被區(qū)塊鏈接收.在此情況下，不誠實節(jié)點發(fā)布的交易缺失Witnessout字段，導致交易信息不符合方案完整交易內容的需求.此時，該不誠實節(jié)點發(fā)布的交易消息不合法，即無法通過共識節(jié)點的驗證機制并被納入區(qū)塊鏈.共識協(xié)議的安全性保障了方案的強制審計性.

性質2.審計可靠性.該性質要求：在交易過程中，若授權監(jiān)管方接收到不誠實節(jié)點的交易，該交易中包含與原交易信息不一致的虛假審計信息，則該交易通過驗證算法的概率是可忽略的.

性質3.交易金額與地址隱私性.該性質要求：在交易過程中交易金額與地址泄露給除交易接收方與授權監(jiān)管方以外的交易無關節(jié)點的概率是可忽略的.

性質3分析：交易金額與地址隱私性主要針對用戶而言.網絡中的每筆交易的交易金額與交易接收方地址以密文或零知識證明的隱私輸入的形式出現(xiàn)在交易中.在交易的Outputs字段，交易發(fā)起方以交易接收方公鑰分別對交易金額與交易地址進行公鑰加密；在交易的Witnessout字段，交易發(fā)起方以授權監(jiān)管方的公鑰對交易金額與交易地址進行公鑰加密.此外，交易金額與交易接收方地址還作為零知識證明的隱私輸入參與交易Witness字段證據(jù)的生成.對于密文形式數(shù)據(jù)而言，只有持有正確的私鑰的節(jié)點才能解密密文得到交易的交易金額與交易地址信息，其他節(jié)點無法從密文中獲取任何信息.公鑰加密體制的安全性保證密文的CCA2安全；對于零知識證明隱私輸入而言，假設存在不誠實節(jié)點通過收集學習網絡中交易的零知識證明生成的證據(jù)部分獲得某交易的交易金額、交易接收地址信息.這與零知識證明的零知識性相違背，因此，網絡中其他成員節(jié)點無法從零知識證明生成的證據(jù)中得到任何交易金額與交易地址的信息.綜上，公鑰加密體制與零知識證明的零知識性保證了方案的交易金額與地址隱私性.

5.2 特性分析

本小節(jié)將此方案與部分具有代表性的適用于區(qū)塊鏈的隱私保護與監(jiān)管的方案進行對比，結果如表1所示.綜合來看，本文方案兼具交易金額與交易地址的隱私，且不需要授權監(jiān)管方參與交易確認.交易上鏈即在授權監(jiān)管方的可控范圍內，監(jiān)管粒度細致到每個交易的每一個輸入輸出.此外，較于其他方案，本文方案提供了強制監(jiān)管與區(qū)塊鏈修訂功能，使授權監(jiān)管方能執(zhí)行審計和數(shù)據(jù)管理.

表1 適用于區(qū)塊鏈的授權監(jiān)管方案的特性對比Table 1 Characters of supervision scheme

6 總 結

本文提出了一種適用于聯(lián)盟鏈的兼具隱私保護與授權監(jiān)管的方案.首先，本方案結合公鑰加密方案與零知識證明技術使得普通用戶的交易信息隱私得到保障，解決了普通用戶在交易過程中隱私信息保護的基本訴求.其次，在本方案中授權監(jiān)管方兼具審計與修訂區(qū)塊的能力.授權監(jiān)管方可審計網絡中全部交易，在一定程度上可溯源，實現(xiàn)對洗錢、違規(guī)融資等違規(guī)行為的監(jiān)管.最后，授權監(jiān)管方可以使用變色龍哈希函數(shù)的陷門密鑰可實現(xiàn)對區(qū)塊上違規(guī)信息的修訂，阻斷了交易不相關的違規(guī)消息的進一步傳播，及時消除不良影響.此外，就效率方面，在此方案中，零知識證明的證據(jù)的個數(shù)與交易輸出的個數(shù)呈正相關，使用非交互式零知識證明方案證明生成時開銷較大，因此提高隱私保護與授權監(jiān)管方案的效率是下一步研究中應重點考慮的問題.