王皓 宋祥福 柯俊明 徐秋亮

0 引言

2008年，一位化名“中本聰”的學(xué)者在網(wǎng)絡(luò)上發(fā)表了一篇題為《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》的文章，這篇看似普通的文章目前看來完全可以說具有劃時代意義——無論是對金融或是對密碼技術(shù)，真正的電子貨幣（或稱數(shù)字貨幣、密碼貨幣）從此誕生。歷經(jīng)近10年的發(fā)展，各種密碼貨幣紛紛出現(xiàn)，但這篇文章中所創(chuàng)造的數(shù)字貨幣——比特幣，一直保持著交易量全球第1 的地位，比特幣全球總市值已突破400 億美元。與此同時，支撐比特幣運行的核心技術(shù)——區(qū)塊鏈，由于具備去中心化、可驗證、防篡改等特性，迅速成為各國政府、國際組織、大型財團、科研機構(gòu)關(guān)注的熱點，各種區(qū)塊鏈項目如雨后春筍般爆發(fā)式增長。有觀點認為，區(qū)塊鏈技術(shù)對未來世界的改變，可能絲毫不亞于云計算、大數(shù)據(jù)等IT革新技術(shù)。

在我國，區(qū)塊鏈技術(shù)受到政府等相關(guān)部門的高度重視。2016年12月，區(qū)塊鏈技術(shù)首次被列入國務(wù)院印發(fā)的《“十三五”國家信息化規(guī)劃》。與此同時，區(qū)塊鏈行業(yè)規(guī)范也相繼發(fā)布。2016年10月，在工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司的指導(dǎo)下，中國區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇發(fā)布了《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書（2016）》；2017年5月16日，中國區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇發(fā)布了國內(nèi)首個區(qū)塊鏈標準《區(qū)塊鏈參考架構(gòu)》。這些標準化工作有助于統(tǒng)一對區(qū)塊鏈的認識，規(guī)范和指導(dǎo)區(qū)塊鏈在各行業(yè)的應(yīng)用，促進解決區(qū)塊鏈的關(guān)鍵技術(shù)問題，對于區(qū)塊鏈產(chǎn)業(yè)生態(tài)發(fā)展具有積極的推動作用。

1 區(qū)塊鏈簡介

為了準確理解區(qū)塊鏈，首先對區(qū)塊鏈技術(shù)最典型、最成功的應(yīng)用——比特幣——進行剖析。

1.1 比特幣的工作原理

比特幣作為無中心化的數(shù)字貨幣，其工作原理包含數(shù)據(jù)存儲和共識機制兩個方面。

1）比特幣的數(shù)據(jù)存儲在比特幣系統(tǒng)中，采用了一種鏈式結(jié)構(gòu)存儲用戶轉(zhuǎn)賬記錄。與傳統(tǒng)的鏈式數(shù)據(jù)結(jié)構(gòu)略有不同，比特幣系統(tǒng)中用哈希指針（Hash Pointer）實現(xiàn)數(shù)據(jù)塊之間的邏輯鏈接，即當前數(shù)據(jù)塊的頭部記錄著上一數(shù)據(jù)塊的哈希值。

這種結(jié)構(gòu)在很大程度上加大了篡改數(shù)據(jù)的難度，因為某一數(shù)據(jù)塊中數(shù)據(jù)發(fā)生變化，將造成其直接后繼數(shù)據(jù)塊頭部的哈希值變化，從而引起所有后續(xù)數(shù)據(jù)塊的連鎖反應(yīng)。此外，由于后續(xù)數(shù)據(jù)塊中隱含了前面數(shù)據(jù)塊的信息，從而保證了數(shù)據(jù)塊之間的時序關(guān)系。

2）比特幣的共識機制無中心的貨幣系統(tǒng)必定需要共識機制。比特幣系統(tǒng)采用了一種被稱為“挖礦”的方法來保證共識。這里的“挖礦”與現(xiàn)實中的挖金礦具有本質(zhì)類似性。黃金雖然有自身的自然價值，但作為貨幣時事實上卻可以忽略它的自然價值。它是稀缺的，且通過一定的勞動量才能（概率地）獲得。在比特幣系統(tǒng)中，“礦工”付出工作量“挖出”的是符合某種條件的隨機數(shù)，它與黃金一樣是稀缺的、概率產(chǎn)生的。

比特幣系統(tǒng)具體共識過程如下。

（1）礦工根據(jù)當前區(qū)塊鏈末端的數(shù)據(jù)塊計算新數(shù)據(jù)塊的頭部prev_hash。

（2）礦工生成隨機數(shù)nonce，并將新數(shù)據(jù)塊的頭部prev_hash、收集到的若干轉(zhuǎn)賬記錄 Data、隨機數(shù)nonce 作為挑戰(zhàn)哈希函數(shù)H（）的輸入（在比特幣系統(tǒng)中，H（）為連續(xù)兩次SHA 256），計算H（prev_hash ||Data||nonce）。若H（）的函數(shù)值小于某一個預(yù)設(shè)的閾值，則nonce 合法；否則，重新生成nonce，繼續(xù)計算。

（3）礦工找到合法的nonce 后迅速進行P2P 廣播，其他礦工在收到該消息后停止挖礦并進行驗證，驗證通過后，認為新的區(qū)塊已產(chǎn)生（達成共識）。

（4）新區(qū)塊產(chǎn)生的同時，找到nonce 的礦工從系統(tǒng)得到一定數(shù)量的比特幣作為獎勵。

（5）礦工基于新產(chǎn)生的區(qū)塊繼續(xù)挖礦。

比特幣系統(tǒng)中使用的這種共 識機制稱為工作量證明（proof-of- work，PoW）。挖到礦的礦工獲得一定獎金，可視為其挖到的“黃金”，代表了一定抽象的工作量。此外，在比特幣系統(tǒng)中，工作量證明既是共識機制，也是發(fā)行機制。在對礦工獎勵的同時，整個系統(tǒng)中的貨幣也在增加。

比特幣可以看作是一種基于區(qū)塊鏈技術(shù)的特殊貨幣。在比特幣系統(tǒng)中，每個節(jié)點擁有區(qū)塊鏈的一個副本，當有交易發(fā)生時，節(jié)點通過執(zhí)行共識協(xié)議，對區(qū)塊鏈進行更新，并在所有節(jié)點間進行同步，從而杜絕了“雙花”行為的發(fā)生。

1.2 區(qū)塊鏈的定義

區(qū)塊鏈作為支撐比特幣運行的核心技術(shù)，是一種利用鏈式數(shù)據(jù)結(jié)構(gòu)來驗證和存儲數(shù)據(jù)、利用分布式節(jié)點共識機制來生成和更新數(shù)據(jù)的去中心化基礎(chǔ)架構(gòu)。去中心化、可驗證、防篡改是其基本性質(zhì)。

鏈式數(shù)據(jù)結(jié)構(gòu)僅僅是區(qū)塊鏈的存儲結(jié)構(gòu)。如何形成這樣的存儲結(jié)構(gòu)、如何保證其可信、如何保證其安全性、如何保證分布式存儲的一致性，都依賴于共識機制。因此，共識機制是區(qū)塊鏈的靈魂，區(qū)塊鏈的工作原理和應(yīng)用場景都取決于其共識機制。

1.3 區(qū)塊鏈的分類

區(qū)塊鏈系統(tǒng)根據(jù)應(yīng)用場景和設(shè)計體系的不同，一般分為公有鏈、聯(lián)盟鏈和專有鏈。

1）公有鏈的各個節(jié)點可以自由加入和退出網(wǎng)絡(luò)，并參加鏈上數(shù)據(jù)的讀寫；運行時以扁平的拓撲結(jié)構(gòu)互聯(lián)互通，網(wǎng)絡(luò)中不存在任何中心化的服務(wù)端節(jié)點。目前，基于區(qū)塊鏈的數(shù)字貨幣或智能合約平臺均屬于公有鏈的范疇，如比特幣、以太坊等。

2）聯(lián)盟鏈的各個節(jié)點通常有與之對應(yīng)的實體機構(gòu)組織，通過授權(quán)后節(jié)點才能加入與退出網(wǎng)絡(luò)。各機構(gòu)組織組成利益相關(guān)的聯(lián)盟，共同維護區(qū)塊鏈的健康運轉(zhuǎn)。目前，企業(yè)界更多關(guān)注聯(lián)盟鏈的搭建和使用。

3）專有鏈的各個節(jié)點的寫入權(quán)限歸內(nèi)部控制，讀取權(quán)限可視需求有選擇性地對外開放。專有鏈仍然具備區(qū)塊鏈多節(jié)點運行的通用結(jié)構(gòu)，適用于特定機構(gòu)的內(nèi)部數(shù)據(jù)管理與審計。

2 共識機制

當前區(qū)塊鏈技術(shù)所使用的共 識機制主要分為以下4 類：拜占庭容錯算法（practical byzantine fault tolerance，PBFT），工作量證明（proof-of-work，PoW），權(quán)益證 明（proof-of-stake，PoS）和授權(quán) 權(quán)益證明（delegated proof-of-stake，DPoS）。

1）PBFT

PBFT 機制源于拜占庭將軍問題，即拜占庭帝國軍隊的將軍們需要一致決定是否攻擊某一支敵軍。由于拜占庭協(xié)議是基于實體之間的消息傳遞達成共識的，因而容易導(dǎo)致名為“女巫攻擊”的攻擊方法，即一個敵手控制或建立了許多惡意節(jié)點，如果敵手擁有足夠多的惡意節(jié)點，就可以控制最終結(jié)果。一般認為，當網(wǎng)絡(luò)中存在f個惡意節(jié)點時，整個網(wǎng)絡(luò)有不少于2f+1 個誠 實節(jié)點，才可以正常達成共識。在比特幣系統(tǒng)中，參與方可以類比為將軍，交易就是達成共識的過程。只有大部分參與方都承認交易的合法性，該交易才是有效的。

利用這類共識機制可以快速生成新的區(qū)塊，達成不分叉的快速共識。但這類機制要求在一個封閉的節(jié)點集合中兩兩節(jié)點進行通信，因此比較適合于節(jié)點數(shù)量不多的聯(lián)盟鏈和私有鏈。聯(lián)盟鏈多采用技術(shù)成熟的 PBFT 機制及其相應(yīng)的變種RAFT 和HBFT 等來達成共識，如2016年Linux 基金會發(fā)起的開源超級賬本（HyperLedger）、IBM 推出的Fabric 基礎(chǔ)設(shè)施項目等。

2）PoW

PoW 機制的核心思想是通過計算能力競爭的方式來保證數(shù)據(jù)一致性從而達成共識。在比特幣系統(tǒng)中，各節(jié)點（即礦工）基于各自的計算機算力的相互競爭來解決一個求解困難但驗證容易的SHA 256 挑戰(zhàn)，最快解決該難題的節(jié)點獲得區(qū)塊記賬權(quán)，即該參與方創(chuàng)建了一個區(qū)塊，所有其他參與方更新本地區(qū)塊鏈。就女巫攻擊而言，敵手需要控制大部分的計算能力，這比控制大部分節(jié)點更難，因此該機制從某種程度上保證了系統(tǒng)的安全性。PoW 機制的缺陷是存在資源浪費和女巫攻擊等安全性問題。

在比特幣之前，B-Money、Karma、RPOW、BitGold 或多或少地應(yīng)用了PoW 機制。當前，除比特幣外，Litecoin、Dogecoin、MAVE- PAY、FawkesCoin 等貨幣系統(tǒng)使用了改進的PoW 機制。

3）PoS

PoS 機制要求貨幣持有者對某些數(shù)量的貨幣展示所有權(quán)。這種機制是基于“幣齡”實現(xiàn)的，幣齡 被定義為交易輸入大小和它存在時間的乘積。顯然，長期持有貨幣的人擁有更多的幣齡，從而也就擁有更大的權(quán)益，因此也更容易挖礦成功。由此可見，PoS 機制在一定程度上解決了PoW 機制資源浪費的弊端，縮短了達成共識的時間。PoS機制一方面解決了壟斷問題，讓“富者更富”轉(zhuǎn)化成“窮者更容易富”；另一方面一定程度上緩解了51%攻擊的威脅，如果敵手想要實行51%攻擊，則需要摧毀大量的幣齡，這顯然是不劃算的。PoS 機制的缺陷在于最高權(quán)益節(jié)點擁有最終決定權(quán)。

當前，PPCoin、Nextcoin 等貨幣系統(tǒng)使用PoS 機制。此外，也有不少貨幣系統(tǒng)對PoS 機制進行了改進，其中最重要的一種改進就是DPoS機制。

4）DPoS

DPoS機制主要基于“董事會決策”的思想，即每一個“股東”節(jié)點將其持有的股份權(quán)益授予某個“代表”節(jié)點，擁有股份最多的前101 個“代表”節(jié)點組成“董事會”，輪流執(zhí)行產(chǎn)生新區(qū)塊的任務(wù)。這些“代表”節(jié)點可以獲得相應(yīng)的獎勵，但是也必須繳納保證金以保證其盡職盡責(zé)。一旦出現(xiàn)不稱職的行為，股東們可以行使權(quán)力將其廢除，并選取其他節(jié)點代行職責(zé)。通過此選舉方式，系統(tǒng)中的每個節(jié)點均有選擇其信任的授權(quán)節(jié)點的自主權(quán)，且輪流工作模式使得參與驗證和記賬的節(jié)點數(shù)量大大減少，從而達到快速共識的目的。

當前主要有Bitshares基于DPoS機制。

除以上4 種經(jīng)典的共識機制外，還存在一些變種機制。

1）股權(quán)速率證明（PoSV）。該機制解決了PoS 機制中通過收藏貨幣來累加幣齡的行為。PoSV 機制的原理為：如果貨幣進行了交易導(dǎo)致貨幣的幣齡清零，則交易的貨幣的幣齡上升速率將會高于不交易的貨幣的幣齡上升速率，這在一定程度上鼓勵了線上交易，減少了線下囤積的不利現(xiàn)象。

當前主要有 Reddcoin 運用PoSV 機制對貨幣升值速率進行 調(diào)整。

2）活躍度證明（PoA）。該機制對線上的活躍節(jié)點進行獎勵。目前大部分的電子貨幣在“發(fā)行”之后就轉(zhuǎn)為線下，從而減少了線上交易。PoA 機制中的礦工挖礦過程類似于PoW 機制，當?shù)V工找到新的區(qū)塊時，會隨機選擇線上的N個活躍節(jié)點發(fā)送新發(fā)現(xiàn)的區(qū)塊。前N-1 個活躍節(jié)點驗證新發(fā)現(xiàn)的區(qū)塊并簽名，第N個活躍節(jié)點除了驗證區(qū)塊和簽名外，還要對區(qū)塊進行包裝，并廣播該區(qū)塊。礦工和N個活躍節(jié)點都將因此收到獎勵費用。如果N個活躍節(jié)點中有一個不活躍節(jié)點，那么它將不能對區(qū)塊進行簽名，從而不能收到相應(yīng)的獎勵費用。因此，PoA機制可以有效地解決囤積貨幣的行為，在點對點的網(wǎng)絡(luò)中有著很重要的應(yīng)用。

PoA 機制的應(yīng)用場景有Bit- Torrent。

3）摧毀證明（PoB）。該機制解決了如何創(chuàng)建新貨幣的問題。與比特幣由創(chuàng)世塊（Genesis Block）聲明該貨幣的產(chǎn)生不同，PoB 機制是通過一種可驗證的方式來摧毀一種貨幣，建立和分配另一種貨幣。這種方式雖然很殘酷，但卻利用了PoW的思想，采用昂貴的資源防止了女巫攻擊。隨著貨幣的發(fā)展，舊的貨幣系統(tǒng)必然要升級到新的貨幣系統(tǒng)。升級的方式有兩種：軟分叉和硬分叉。軟分叉是指新的貨幣系統(tǒng)在舊的貨幣系統(tǒng)中依然適用。硬分叉是指新的貨幣系統(tǒng)在舊的貨幣系統(tǒng)中不再適用，所有的客戶端都需要升級；否則，兩條不同的區(qū)塊鏈將會出現(xiàn)。對于PoB 機制而言，升級問題將輕而易舉地得到解決，它可以通過摧毀貨幣對貨幣進行升級。

PoB 機制的應(yīng)用場景有Counter- party、Mastercoin 和Permacoin 等。

4）中心化指定權(quán)限。在商業(yè)領(lǐng)域中，比特幣的去中心化一直被作為“賣點”來宣傳，但是如果我們可以相信一小部分擁有指定權(quán)限的人群，那么所有的共識問題都將變得簡單，并且可以不用再考慮穩(wěn)定性和計算能力浪費的問題。需要 注意的是，擁有指定權(quán)限的人群需要執(zhí)行誠實的行為，不誠實的行為不會為他們帶來任何收益。擁有指定權(quán)限的人群需要利用網(wǎng)絡(luò)進行選舉或者由礦工指定，具體的安全性有待討論。MICALI 在2016年提出了名為ALGORAND 的公共賬本，其共識機制使用密碼抽簽（cryptographic sortition）的方式來決定出一部分人參與創(chuàng)建和驗證區(qū)塊。其中創(chuàng)建者稱為leader，由系統(tǒng)隨機選擇。leader 創(chuàng)建一個新區(qū)塊，隨機選擇一個verifier 集合，用以驗證區(qū)塊。

3 匿名與隱私保護

作為區(qū)塊鏈技術(shù)最典型和最成功的應(yīng)用，比特幣在設(shè)計之初，創(chuàng)始人“中本聰”期望通過使用無限量的可以自由生成的交易地址來實現(xiàn)用戶的匿名和交易的不可追蹤，從而實現(xiàn)較強的隱私保護。然而，近幾年的研究發(fā)現(xiàn)，由于區(qū)塊鏈數(shù)據(jù)的公開性，因此通過分析大量的交易和網(wǎng)絡(luò)數(shù)據(jù)，可以設(shè)計各類去匿名方案。區(qū)塊鏈上的匿名與隱私保護面臨巨大挑戰(zhàn)。

我們以比特幣為例，首先闡述目前基于區(qū)塊鏈的數(shù)字貨幣中匿名和隱私保護面臨的挑戰(zhàn)；然后針對這些挑戰(zhàn)，介紹目前的解決方案和研究進展情況；最后闡述新形勢下的匿名和隱私保護問題。

3.1 匿名和隱私保護面臨的挑戰(zhàn)

1）推斷交易地址歸屬在比特 幣交易中，如果兩筆交易的接收方地址一致，那么可以肯定這兩筆交易的接收方是同一人。為了防止這樣的信息泄露，接收方可以每次使用一個全新的地址來接收比特幣。然而，發(fā)送方的比特幣金額很大程度上是分散在不同的交易輸出中。因此，當單個交易輸出金額不足以支付時，發(fā)送方不得不把多個交 易輸出金額合并作為輸入金額。對于這種多輸入交易，人們可以以 高概率推斷出多個輸入屬于同一人所有。

可以將整個交易歷史看作一個巨大的有向圖，圖中節(jié)點代表不同的交易地址，有向邊的始點為交易的發(fā)送方，終點為交易的接收方。由于比特幣中交易數(shù)據(jù)的公開性，任何人都可以查看歷史上的所有交易，針對交易圖進行分析，獲得交易地址間的關(guān)聯(lián)信息，從而嚴重威脅用戶隱私。

2）交易金額可見

在比特幣交易中，交易金額是公開的，這是因為在礦工驗證交易是否合法的過程中，需要根據(jù)交易金額進行交易合法性判定。然而，交易雙方并不希望讓其他人知道交易的具體金額。因此，如何在隱藏交易金額的同時，保證礦工能夠?qū)灰缀戏ㄐ赃M行判定，成為了客觀需求。

3.2 現(xiàn)存的匿名和隱私保護方案

在保證交易金額的隱私性方面，比特幣核心開發(fā)者Greg Maxwell首先正式提出了“機密交易”（ confidential transactions） 的 概 念，能夠完全隱藏交易金額。該方案基于彼德森承諾和范圍證明。在交易中發(fā)送方將盲化的交易數(shù)據(jù)（機密資金）發(fā)送給接收方，接收方可以驗證交易金額。同樣，接收方可以將接收到的機密資金用于一筆新的機密交易中。彼得森承諾可以隱藏交易中資金的具體數(shù)額，同時發(fā)送方需要向礦工提供零知識證明，證明交易輸出的合法性。零知識證明可以保證礦工在不知道交易具體金額的前提下，對交易的合法性進行驗證。

最初，Grey Maxwell 提出了混幣方案CoinJoin。該方案的具體思想如下：每個混幣交易對應(yīng)一個標準的多輸入多輸出比特幣交易，其中每個輸入金額相等。交易的輸出對應(yīng)參與者的接收地址，每個接收地址都可能接收任意一個交易輸入。如果參與者發(fā)現(xiàn)自己的接收地址被包含進了該交易中，就選擇對該交易進行簽名。一旦所有參與者完成簽名并寫入比特幣區(qū)塊鏈中，混幣完成。在外人看來，該方案不能通過交易的輸入輸出來斷定輸入輸出的關(guān)聯(lián)性，因而提供了外部不可關(guān)聯(lián)性。但是對于參與者來說，該方案并沒有提供不可關(guān)聯(lián)性。

隨后，為了避免單個mix 節(jié)點偷竊和記錄輸入輸出對應(yīng)關(guān)系，BONNEAU 等人設(shè)計了混幣（Mix- coin）協(xié)議，提出了“混幣鏈”的概念。具體說來就是將多個mix 節(jié)點串聯(lián)起來，使得前一個mix 節(jié)點的輸出作為后一個mix 節(jié)點的輸入。只要有一個mix 節(jié)點誠實，混幣隱私就能得到保障。同時，該方案通過交易費激勵機制，保障理性的mix節(jié)點誠實執(zhí)行混幣協(xié)議。

目前，數(shù)字貨幣達世幣（Dash- Coin）就是基于CoinJoin 和Mixcoin的思想。達世幣中混幣過程需要由主節(jié)點來完成。為了防止主節(jié)點作弊或被攻擊，達世幣引入鏈式混合和盲化的思想。鏈式混合指用戶交易時隨機選擇多個主節(jié)點進行混合，最后輸出結(jié)果。盲化技術(shù)是指用戶不需要將輸入和輸出發(fā)送到交易池，而是指定主節(jié)點將輸入和輸出傳遞到另一個主節(jié)點。這樣，每一個主節(jié)點只看到所有執(zhí)行過程中屬于自己的部分，從而很難發(fā)現(xiàn)用戶身份。

Ruffing 等人通過改進可追蹤匿名群組通信協(xié)議Dissent，設(shè)計出和比特幣完全兼容的去中心化混幣方案CoinShuffle。該方案不依賴中心化節(jié)點，計算、通信開銷小且無需手續(xù)費。

為了避免交易可鏈接，早期的解決方案多基于比特幣原有結(jié)構(gòu)，隨后的一些增強方案提供了更為豐富的功能和特性，但這些方案要求對比特幣系統(tǒng)進行升級，至少需要比特幣系統(tǒng)進行軟分叉。此后，很多人將目光投向設(shè)計匿名性和隱私程度更高的數(shù)字貨幣，通過將密碼學(xué)工具，如承諾、環(huán)簽名和零知識證明等引入數(shù)字貨幣，構(gòu)造能夠直接實現(xiàn)匿名和隱私保護的數(shù)字貨幣方案。目前來看，該類方案逐漸成為研究熱點，比較典型的有Crypto- Note、Zerocoin 和Zerocash。

CryptoNote 引入Stealth Add- resses 來實現(xiàn)接收方的外部不可見性。具體說來就是發(fā)送方通過接收方的公開信息生成一個隨機地址，該地址允許接收方通過自己的秘密信息恢復(fù)相應(yīng)的私鑰。然而，發(fā)送方仍然可以獲知接收方對貨幣的使用情況。為了解決這個問題，Crypto- Note 引入環(huán)簽名所提供的匿名集合來實現(xiàn)隱私保護。CryptoNote 協(xié)議通過一次環(huán)簽名的方式，允許交易發(fā)送方將交易隱藏進一個容量為k的匿名集合中。同時，一次環(huán)簽名能夠提供一種鏈接機制，使得任何雙花都能被檢測。目前市值位列第5的門羅幣采用的就是CryptoNote 協(xié)議。除此之外，門羅幣還提供了環(huán)狀機密交易RingCT 來隱藏交易金額和交易地址。

所有基于匿名集合的混幣方案，無論是兼容比特幣的方案，還是基于環(huán)簽名的方案，本質(zhì)上都是將真實的交易行為隱藏在匿名集 合中。實際操作中，用戶對匿名集合選取不當也會帶來匿名和隱私保護問題。MILER 等人針對Monero 交易的分析表明，80%的Monore 交易是可鏈接的。

為了提供更高的匿名性，MIERS 等人提出了Zerocoin 方案，該方案能夠提供內(nèi)置的不可鏈接性。該方案的匿名集合是系統(tǒng)中現(xiàn)存的所有Zerocoin，允許用戶將一個比特幣通過“鑄幣”手段轉(zhuǎn)化成一個Zerocoin。當需要花費Zerocoin時，用戶使用零知識證明的方法向礦工證明自己的Zerocoin 存在于系統(tǒng)中且未花費過。

然而，Zerocoin 不能在原有的比特幣系統(tǒng)中實現(xiàn)，需要比特幣系統(tǒng)進行軟分叉；Zerocoin 的幣值金額 是固定的，不能實現(xiàn)金額的任意切分；Zerocoin 不支持非交互交易且零知識證明過程過長。為了改善這種狀況，SASSON 等人提出了Zerocash方案。

Zerocash 方案將密碼學(xué)中非交互零知識證明技術(shù)zk-SNARK 引入到數(shù)字貨幣中。Zerocash 方案保障 了交易的不可鏈接和金額保密，且支持金額的任意切分。Zerocash 方 案和比特幣系統(tǒng)完全獨立，支持Zerocash 貨幣的直接交易，實現(xiàn)了當前最高程度的隱私保護和匿名性。然而，Zerocash 方案基于的零知識密碼方案需要初始化秘密數(shù)據(jù)，任何知道該秘密數(shù)據(jù)的一方都可以憑空產(chǎn)生貨幣?；赯erocash 方案的新興數(shù)字密碼貨幣Zcash 的秘密參數(shù)雖然是不同地點的6 個人共同協(xié)作生成，但是到目前為止，這種生成方式仍然備受懷疑。

3.3 新形勢下的匿名和隱私保護問題

3.3.1 離鏈支付協(xié)議中的隱私保護問題為了解決公有鏈的可拓展性問題，很多研究著重于構(gòu)造離鏈支付協(xié)議，如雙向微支付通道、閃電網(wǎng)絡(luò)和Spirtes。這些方案中，雙方交易達成需要借助中繼節(jié)點的參與。然而，目前離鏈支付方案中，交易雙方實體和交易金額是對中繼公開的，中繼知道了很多交易雙方不想公開的內(nèi)容。

針對離鏈支付協(xié)議的隱私保護問題，目前已經(jīng)有一些研究在進行，如HEILMAN 等人提出的TumbleBit方案。該方案能夠?qū)⒅Ц锻ǖ佬畔χ欣^隱藏。此外，TumbleBit 方案和比特幣系統(tǒng)完全兼容。

GREEN 等人 提 出Bolt 方案。Bolt 方案保障同一通道下的多重支付不能被鏈接在一起，即使密謀的個體之間也不能做到。且支付發(fā)生在毫秒級，不需要區(qū)塊確認，接收方僅需要知道有人在他所提供的 支付通道中進行了付款操作。支付也可以被安排由第三方實現(xiàn)，避免了交易雙方開關(guān)支付渠道的復(fù)雜性。Bolt 方案使得第三方不能從中作惡（即使第三方串通在一起也 不能實現(xiàn)），同時交易的資金也是保密的。

對于支付協(xié)議的安全性，目前還存在許多亟待解決的問題。例如，在爭端出現(xiàn)時，如何在不泄露爭議雙方最終金額信息的情況下進行調(diào)停；如何設(shè)計高效的隱私保護支付路由。目前關(guān)于保密支付協(xié)議的研究還在火熱進展中。

3.3.2 現(xiàn)存區(qū)塊鏈實現(xiàn)方案匿名和隱私保護的評估很多密碼協(xié)議在實現(xiàn)后，由于具體的實現(xiàn)細節(jié)，往往存在理論和實際不匹配的情況。例如，CryptoNote 協(xié)議通常假設(shè)將真實的交易隱藏到一個很大的匿名集合中，在基于該協(xié)議實現(xiàn)的Monore 數(shù)字貨幣中，用戶在選取 匿名集合時，匿名集合往往很小，或者Monore 交易通過非匿名方式執(zhí)行。這些用戶行為給去隱私和匿 名分析帶來可能。另外，以太坊The DAO 被攻擊事件之后，如何對智能合約代碼進行自動審查和形式化驗證也提上日程。因此，對現(xiàn)存區(qū)塊鏈方案的安全性、隱私保護和匿名性的測量、分析和評估也是目前研究的熱點。

3.3.3 其他公開問題如何用安全多方計算生成Zcash 的初始秘密參數(shù)，如何設(shè)計基于區(qū)塊鏈的匿名方案，如匿名證書、匿名消息系統(tǒng)，都是下一步區(qū)塊鏈匿名、隱私保護的研究熱點。此外，目前公有鏈上隱私保護的研究已經(jīng)全面展開，聯(lián)盟鏈上的隱私保護仍有大量問題值得研究。例如，在聯(lián)盟鏈中，業(yè)務(wù)信息是否可以加密，加密后如何保證運算、如何保證檢索、如何進行權(quán)限控制等。

4 結(jié)束語

區(qū)塊鏈作為支撐比特幣運行的核心技術(shù)，由于其去中心化、可驗證、防篡改等特性，已迅速成為各界關(guān)注的熱點，相關(guān)研究呈現(xiàn)蓬勃發(fā)展之勢。然而，基于區(qū)塊鏈的數(shù)字貨幣在共識效率及隱私保護等方面仍然存在較多問題。本文探討了數(shù)字貨幣中區(qū)塊鏈的工作原理，介紹了區(qū)塊鏈技術(shù)所使用的各類主流共識機制及其變形，并對基于區(qū)塊鏈的數(shù)字貨幣中匿名和隱私保護問題進行了深入分析?！?/p>