（中共中央黨校，北京 100091）

2008 年，中本聰在《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》一文中首次提出了區(qū)塊鏈的相關(guān)概念。2009 年，比特幣系統(tǒng)正式上線，區(qū)塊鏈作為比特幣的核心技術(shù)開始進(jìn)入人們的視野。10 多年來，區(qū)塊鏈技術(shù)經(jīng)歷了由“數(shù)字貨幣層級的1.0 時代”、“數(shù)字貨幣與智能合約相結(jié)合的2.0 時代”到“超越貨幣、金融與市場應(yīng)用的3.0 時代”的快速發(fā)展，應(yīng)用范圍不斷擴(kuò)展至醫(yī)療、教育、公益、社交、版權(quán)等諸多領(lǐng)域，“區(qū)塊鏈+”模式已成為推動經(jīng)濟(jì)社會發(fā)展的重要力量。在上述領(lǐng)域中，區(qū)塊鏈在數(shù)字貨幣中的應(yīng)用最為成熟，區(qū)塊鏈與密碼學(xué)技術(shù)的有效融合為實現(xiàn)數(shù)字貨幣的可控匿名性提供了技術(shù)保障。

一、問題的提出

數(shù)字貨幣是互聯(lián)網(wǎng)時代商品經(jīng)濟(jì)發(fā)展的產(chǎn)物。從本質(zhì)上講，數(shù)字貨幣可被視作是經(jīng)過加密處理，包含發(fā)行方、發(fā)行金額、流通要求、時間約束以及智能合約等關(guān)鍵信息的字符串[1]。數(shù)字貨幣主要包括基于E-Cash 系統(tǒng)的數(shù)字貨幣與基于區(qū)塊鏈技術(shù)的數(shù)字貨幣兩類[2]。在基于區(qū)塊鏈技術(shù)的數(shù)字貨幣中，根據(jù)發(fā)行主體的不同，可以將其分為法定數(shù)字貨幣與非法定數(shù)字貨幣；在非法定數(shù)字貨幣中，根據(jù)組織結(jié)構(gòu)的不同，可以進(jìn)一步分為中心化非法定數(shù)字貨幣與去中心化非法定數(shù)字貨幣（見表1）。

表1 基于區(qū)塊鏈技術(shù)的數(shù)字貨幣

可控匿名性是數(shù)字貨幣的重要特性，它具有雙重意蘊(yùn)。一方面，匿名性理應(yīng)賦予數(shù)字貨幣保護(hù)用戶隱私的正向功能；另一方面，匿名性不應(yīng)使數(shù)字貨幣淪為少數(shù)人進(jìn)行金融犯罪的工具。

實現(xiàn)數(shù)字貨幣的可控匿名性需要強(qiáng)有力的技術(shù)支撐，區(qū)塊鏈?zhǔn)瞧渲械年P(guān)鍵要素。區(qū)塊鏈?zhǔn)且环N具有去中心化特點的分布式賬本數(shù)據(jù)庫，它以P2P網(wǎng)絡(luò)作為通信載體，通過密碼學(xué)確定所有權(quán)與保障隱私，通過分布式系統(tǒng)共識框架保障內(nèi)部一致性，從而能夠?qū)崿F(xiàn)低成本高效率的價值傳遞[3]。根據(jù)記錄權(quán)利的歸屬，可以將區(qū)塊鏈分為公有鏈、聯(lián)盟鏈與私有鏈（見表2）。在公有鏈中，所有節(jié)點共同參與記錄維護(hù)；在聯(lián)盟鏈中，由預(yù)先指定的節(jié)點參與記錄維護(hù)；在私有鏈中，只由單一節(jié)點參與記錄維護(hù)。

已有研究主要圍繞數(shù)字貨幣的交易技術(shù)、安全技術(shù)與信用保障技術(shù)等方面展開，對數(shù)字貨幣匿名技術(shù)的系統(tǒng)研究相對較少。本文從區(qū)塊鏈技術(shù)治理的視角出發(fā)，梳理數(shù)字貨幣匿名技術(shù)的發(fā)展歷程，探討其中存在的基本問題與可能的優(yōu)化路徑。

表2 公有鏈、聯(lián)盟鏈與私有鏈的對比

二、基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名技術(shù)

E-Cash 是一種以數(shù)據(jù)形式流通的貨幣，它最早由Chaum 提出，后來經(jīng)過Juels、Foteini 等人不斷發(fā)展完善。在基于E-Cash 系統(tǒng)的數(shù)字貨幣中，匿名性主要通過盲簽名、信任標(biāo)識與可擴(kuò)展簽名等技術(shù)實現(xiàn)（見表3）。

表3 基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名技術(shù)

在Chuam 的設(shè)計中，E-Cash 系統(tǒng)能夠通過盲簽名技術(shù)實現(xiàn)強(qiáng)匿名性。一方面，在貨幣發(fā)行時，簽名要經(jīng)過盲化處理，能夠確保銀行無法獲得用戶的相關(guān)信息；另一方面，在銀行從商家收取貨幣時，商家只能看到銀行簽名而非用戶簽名。在基于盲簽名技術(shù)的E-Cash 系統(tǒng)中，即使銀行與商家聯(lián)合起來也無法有效追蹤貨幣的使用情況，從而有效保護(hù)了用戶的隱私。

在E-Cash 的應(yīng)用過程中，人們發(fā)現(xiàn)Chuam 的方案存在運行效率較低、金融監(jiān)管困難等問題。為了改善E-Cash 系統(tǒng)，Juels 在Chaum 方案的基礎(chǔ)上，引入了基于“信任標(biāo)識”技術(shù)的第三方追蹤機(jī)制[4]。在Juels 的設(shè)計中，用戶可以向可信第三方申請“信任標(biāo)識”并儲存，在需要時能夠通過第三方追查貨幣流通過程中持有者的相關(guān)信息。Juels 的方案提升了E-Cash 系統(tǒng)的運行效率，但其匿名性會受到第三方可信度的影響。

Foteini 等人提出了E-Cash 系統(tǒng)的另一種改進(jìn)方案：他們通過引入可擴(kuò)展簽名技術(shù)，構(gòu)建可傳遞的數(shù)字貨幣交易系統(tǒng)。在Foteini 的方案中，用戶能夠根據(jù)消息n 的簽名計算消息n'的簽名，以此為基礎(chǔ)實現(xiàn)了觀察后接收、花費后觀察與花費后接收完全匿名性[5]。Foteini 的方案解決了基于E-Cash 系統(tǒng)的數(shù)字貨幣不可傳遞的問題，進(jìn)一步提升了基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名性，但這一方案同樣存在著金融監(jiān)管困境。

總體來看，在盲簽名、信任標(biāo)識與可擴(kuò)展簽名等技術(shù)的支撐下，基于E-Cash 系統(tǒng)的數(shù)字貨幣具有較強(qiáng)的匿名性，但由于這類系統(tǒng)存在不可拆分、不可聚合等問題，不利于進(jìn)行大量交易[6]。

三、基于公有鏈的去中心化非法定數(shù)字貨幣匿名技術(shù)

去中心化的非法定數(shù)字貨幣，是指以個人信用擔(dān)保發(fā)行的數(shù)字貨幣，主要包括比特幣、達(dá)世幣、門羅幣等，它們建立在公有鏈的基礎(chǔ)之上。在去中心化非法定數(shù)字貨幣中，匿名性主要通過假名、混幣、環(huán)簽名、零知識證明等技術(shù)實現(xiàn)（見表4）。

表4 基于公有鏈的去中心化數(shù)字貨幣匿名技術(shù)

比特幣（Bitcoin）是第一種去中心化的數(shù)字貨幣，也是最受用戶歡迎的數(shù)字貨幣之一。據(jù)不完全統(tǒng)計，截至2020 年3 月底，全世界共有5 290 多種數(shù)字貨幣，總市值達(dá)1 800 多億美元，其中比特幣市值超過1 148 億美元，占世界數(shù)字貨幣總市值60%以上。比特幣主要運用假名技術(shù)實現(xiàn)匿名性。在比特幣交易過程中，運行系統(tǒng)通過地址標(biāo)識買賣雙方，避免了直接使用賬戶進(jìn)行交易存儲與管理；用戶在不同交易中可以更換地址，從而阻斷交易行為與用戶身份的直接關(guān)聯(lián)。然而，隨著比特幣遭受攻擊日益頻繁，研究者發(fā)現(xiàn)：這種運用其他符號替代用戶賬戶進(jìn)行交易的假名技術(shù)所能提供的匿名性比較有限。攻擊者可以運用統(tǒng)計規(guī)律與背景知識發(fā)起有效攻擊：第一，攻擊者能夠根據(jù)交易記錄，對交易地址進(jìn)行關(guān)聯(lián)；第二，攻擊者能夠根據(jù)信息地址，進(jìn)行標(biāo)簽化標(biāo)注；第三，攻擊者能夠結(jié)合背景知識，繪制交易分析圖，并運用拓?fù)浼夹g(shù)映射用戶真實身份。

達(dá)世幣（Dash）在比特幣基礎(chǔ)上進(jìn)行了技術(shù)改良，通過引入混幣技術(shù)Coinjoin，提升了交易的匿名性。達(dá)世幣網(wǎng)絡(luò)中新加入主節(jié)點，并將Coinjoin 作為協(xié)議內(nèi)容的一部分。在發(fā)起達(dá)世幣匿名交易請求時，單筆交易會被分解成數(shù)筆更小的交易發(fā)送至不同的主節(jié)點，并與其他交易進(jìn)行混合，以此增加攻擊者通過數(shù)額推測交易相關(guān)性的難度。需要說明的是，Coinjoin 技術(shù)為達(dá)世幣提供的匿名性是有限的：一方面，提供服務(wù)的第三方能夠追蹤混幣交易的流向；另一方面，達(dá)世幣交易中也存在主節(jié)點被控制以及惡意用戶參與混幣交易的風(fēng)險。

為了解決上述問題，門羅幣（Monero）通過引入環(huán)簽名與隱蔽地址技術(shù)，提供了一種不依賴于中心節(jié)點的數(shù)字貨幣匿名方案。門羅幣的用戶持有兩對公私鑰對，用于生成一次性密鑰對；在貨幣交易時，用戶使用一次性公私鑰計算key image，并選擇一個公鑰集合進(jìn)行環(huán)簽名；當(dāng)環(huán)簽名系統(tǒng)成員數(shù)量為n時，攻擊者將單筆交易輸入地址與輸出地址關(guān)聯(lián)起來的概率不會超過1/n。同時，貨幣交易的發(fā)送者借助接受者的地址與一個隨機(jī)數(shù)生成隨機(jī)地址，隨機(jī)數(shù)只由發(fā)送者掌握，進(jìn)一步提升了門羅幣交易系統(tǒng)的匿名性。然而，門羅幣所使用的技術(shù)從本質(zhì)上看仍屬于混合方案，因此在交易過程中也會遇到與達(dá)世幣相似的問題。

零鈔（Zerocash）引入的零知識證明技術(shù)，被視作是打破數(shù)字貨幣混合方案局限性的重要嘗試。在貨幣交易中，系統(tǒng)運用承諾函數(shù)將交易發(fā)送者、交易接受者與交易金額等信息進(jìn)行封裝；在驗證過程中，系統(tǒng)運用零知識證明將需要驗證的信息轉(zhuǎn)化為一個多項式驗證問題，身處其中的證明者與驗證者只需要交換少量信息就能夠完成驗證。相關(guān)研究表明，零鈔是目前匿名性最好的數(shù)字貨幣之一[7]。但是運用零知識證明技術(shù)會產(chǎn)生大量的時間與計算開銷，這成為制約零鈔發(fā)展的效率瓶頸。

與E-Cash 系統(tǒng)相比，基于公有鏈的去中心化非法定數(shù)字貨幣匿名技術(shù)更加豐富，同時推動了數(shù)字貨幣傳遞、拆分與聚合等功能的優(yōu)化。但兩者也存在著共同問題：隨著匿名性能的提升，系統(tǒng)的運行效率會受到明顯影響。

四、基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣匿名技術(shù)

中心化非法定數(shù)字貨幣，是指JP Morgan、IBM、Facebook 等以企業(yè)信用背書發(fā)行的數(shù)字貨幣[8]，主要包括摩根幣、天秤幣等，它們建立在聯(lián)盟鏈與私有鏈的基礎(chǔ)之上。在中心化非法定數(shù)字貨幣中，匿名性主要通過Quorum、CoCo 框架等技術(shù)實現(xiàn)（見表5）。需要指出的是，聯(lián)盟鏈與私有鏈沒有強(qiáng)烈的激勵社區(qū)成員的現(xiàn)實需要，因此并不都具有專屬的數(shù)字貨幣。

2019 年2 月，JP Morgan 在其開發(fā)的私有鏈項目Quarum上發(fā)行摩根幣（JPM Coin）。在Quorum 項目中，貨幣交易數(shù)據(jù)被分成public 和private 部分，根據(jù)約定協(xié)議進(jìn)行數(shù)據(jù)交互；系統(tǒng)允許用戶運用PrivateFor語法指定交易可見方，從而提升了匿名性；監(jiān)管者則可以通過記錄在多個節(jié)點上的數(shù)據(jù)信息對交易進(jìn)行追溯，從而提升監(jiān)管效率。由于摩根幣只是JPMorgan為機(jī)構(gòu)客戶設(shè)計的一種即時價值流轉(zhuǎn)工具，一般的外部投資者無法使用，因此適用范圍比較有限。

表5 基于聯(lián)盟鏈與私有鏈的去中心化數(shù)字貨幣匿名技術(shù)

為了解決Quorum 通用性不強(qiáng)的問題，IBM 提供了一種適用于多種聯(lián)盟鏈數(shù)字貨幣的CoCo 方案。這一方案引入了TEE（Trust Execution Environment）環(huán)境，通過借助Intel SGX 以及Windows 的VSM 虛擬安全模式等方式，創(chuàng)建可信的網(wǎng)絡(luò)環(huán)境。TEE 環(huán)境既可以保證代碼的正確執(zhí)行，又能保證系統(tǒng)運行時內(nèi)部數(shù)據(jù)不被外界獲取，使聯(lián)盟鏈技術(shù)可以在完全受信任的節(jié)點上高效運行。Coco 方案的不足主要是由于其兼容各類區(qū)塊鏈協(xié)議的發(fā)展目標(biāo)較為宏大，實現(xiàn)過程相對復(fù)雜，落地場景會受到一定限制。

2019 年6 月，F(xiàn)acebook 主導(dǎo)發(fā)行天秤幣（Libra）。由于發(fā)行時間較短與尚未進(jìn)入中國市場等原因，關(guān)于天秤幣匿名技術(shù)的研究相對較少。目前可以推斷的是，天秤幣的匿名性是通過建立在其自主研發(fā)的智能合約語言MOVE 基礎(chǔ)之上的復(fù)合密碼學(xué)技術(shù)實現(xiàn)的。

與去中心化非法定數(shù)字貨幣相比，基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣在保證匿名性的同時，提升了系統(tǒng)運行效率。

五、法定數(shù)字貨幣匿名技術(shù)的應(yīng)用與展望

法定數(shù)字貨幣，是由各國中央銀行發(fā)行的、以國家信用為擔(dān)保的數(shù)字貨幣。根據(jù)用途不同，可以將其劃分為批發(fā)型法定數(shù)字貨幣與零售型法定數(shù)字貨幣[9]；批發(fā)型數(shù)字貨幣主要用于金融機(jī)構(gòu)之間的支付結(jié)算，而零售型數(shù)字貨幣則廣泛應(yīng)用于企業(yè)與個人的日常生活。在國際實踐中，多數(shù)國家央行以區(qū)塊鏈為基礎(chǔ)發(fā)行法定數(shù)字貨幣，其普遍具有的可追蹤性有助于提升金融監(jiān)管效率（見表6）。

我國央行早在2014 年就啟動了法定數(shù)字貨幣的研究工作，并于2017 年開始進(jìn)行“DC/EP”項目研發(fā)?，F(xiàn)階段已完成頂層框架設(shè)計，正在深圳、蘇州、成都與雄安四個城市進(jìn)行數(shù)字貨幣運營的試點工作。

表6 世界各國法定數(shù)字貨幣特點比較

根據(jù)設(shè)想，DC/EP 將采用“一幣、兩庫、三中心”運行模式，按照“前臺自愿、后臺實名”的方式實現(xiàn)可控匿名性。第一，在DC/EP 的交易過程中，貨幣接收者無法通過獲得的數(shù)字貨幣判斷對方的身份信息，從而實現(xiàn)交易雙方之間的匿名；第二，在自愿的前提下，用戶可以留下個人身份信息，并設(shè)置為貨幣接收者可見；第三，央行掌握DC/EP 的流通信息，在公共利益需要維護(hù)的情境中，經(jīng)授權(quán)的特定主體可以向央行申請調(diào)取相應(yīng)賬戶的交易記錄與戶主信息。

關(guān)于DC/EP 未來使用的匿名技術(shù)，我們認(rèn)為可以在借鑒已有數(shù)字貨幣匿名技術(shù)的基礎(chǔ)上，研發(fā)具有更廣闊應(yīng)用場景與更高運行效率的復(fù)合匿名技術(shù)，同時努力構(gòu)建符合國情與行業(yè)發(fā)展規(guī)律的金融監(jiān)管體系，推動實現(xiàn)數(shù)字貨幣匿名、效率與監(jiān)管三者之間動態(tài)平衡。

六、結(jié)語

回顧數(shù)字貨幣的演化歷程，可以看出實現(xiàn)數(shù)字貨幣可控匿名性要著力解決好三個基本問題：一是由于技術(shù)能力不足導(dǎo)致用戶隱私泄露的問題；二是匿名技術(shù)與系統(tǒng)運行效率難以兼顧的問題；三是匿名性能與金融監(jiān)管如何有效平衡的問題。在從基于E-Cash 系統(tǒng)的數(shù)字貨幣向基于公有鏈的去中心化非法定數(shù)字貨幣的演化中，第一個問題得到了一定程度的解決；在從基于公有鏈的去中心化非法定數(shù)字貨幣向基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣的演化中，第二個問題得到了比較好的解決。法定數(shù)字貨幣是數(shù)字貨幣未來的發(fā)展趨勢，解決好第三個問題是其取得成功的關(guān)鍵。充分實現(xiàn)數(shù)字貨幣可控匿名性是一個漫長的過程，需要廣大學(xué)者進(jìn)行多方面、全方位的深入研究。