白國(guó)柱 張文俊 趙 鵬

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心陜西分中心 西安 710075)

2016年以來(lái)，智能合約在眾多行業(yè)落地生根，特別是在物聯(lián)網(wǎng)、金融、能源、醫(yī)療健康、供應(yīng)鏈、游戲等領(lǐng)域，推動(dòng)相關(guān)產(chǎn)業(yè)結(jié)構(gòu)進(jìn)一步升級(jí).針對(duì)每個(gè)行業(yè)的特定需求，除Ethereum[1]以外，還誕生了Hyperledger Fabric[2],Corda[3],Stellar[4],Rootstock[5]和EOS[6]等智能合約平臺(tái).目前僅Ethereum系統(tǒng)上就已經(jīng)部署了60萬(wàn)個(gè)智能合約，有超過(guò)5 000萬(wàn)個(gè)Ethereum賬戶(hù).專(zhuān)家估計(jì)，2017—2023年期間，智能合約市場(chǎng)將以32%的年增長(zhǎng)率增長(zhǎng)[7].

隨著智能合約的迅猛發(fā)展，隱私泄露等信息安全隱患也逐漸進(jìn)入研究人員的視野.智能合約是區(qū)塊鏈上可共享的程序代碼，具有公開(kāi)透明的特性，因此難以安全地存儲(chǔ)和計(jì)算敏感數(shù)據(jù).Meiklejohn等人[8]利用Bitcoin找零地址推算出部分大宗客戶(hù)以及這些客戶(hù)間的交易行為.隱私泄露問(wèn)題在Ethereum等區(qū)塊鏈2.0平臺(tái)上更為嚴(yán)重.在這些系統(tǒng)中，應(yīng)用程序的內(nèi)部狀態(tài)是公開(kāi)的，與之相關(guān)的函數(shù)調(diào)用歷史也是公開(kāi)的.因此，除交易隱私、身份隱私外，還需要考慮智能合約代碼隱私.

解決隱私泄露問(wèn)題的一種方案是設(shè)計(jì)新的智能合約基礎(chǔ)設(shè)施.例如，為確保智能合約的隱私性和安全性，Hawk模型[9]定義了用戶(hù)、代理人和編程人員3類(lèi)角色，實(shí)現(xiàn)了包含凍結(jié)、計(jì)算和定案3個(gè)基本操作的新密碼套件，智能合約執(zhí)行必須由代理人協(xié)助；Ekiden模型[10]將分布式賬本與可信執(zhí)行環(huán)境結(jié)合起來(lái)，實(shí)現(xiàn)了智能合約的完整性和隱私性目標(biāo).另一種方案是利用密碼學(xué)手段，如零知識(shí)證明、安全多方計(jì)算、同態(tài)加密等，在不破壞原有信任模型的基礎(chǔ)上實(shí)現(xiàn)智能合約的隱私保護(hù)目標(biāo).文獻(xiàn)[11-15]顯示，零知識(shí)證明已經(jīng)在Ethereum等智能合約平臺(tái)上得到推廣應(yīng)用.大量研究表明，應(yīng)用零知識(shí)證明、安全多方計(jì)算、同態(tài)加密和可信執(zhí)行環(huán)境等技術(shù)手段實(shí)現(xiàn)智能合約隱私保護(hù)已經(jīng)成為當(dāng)前研究的熱點(diǎn).

1 智能合約隱私保護(hù)關(guān)鍵技術(shù)

1.1 零知識(shí)證明

零知識(shí)證明(zero knowledge proof, ZKP)[16]由Goldwasser等人在20世紀(jì)80年代初提出.是指證明者能夠在不向驗(yàn)證者提供任何有用信息的前提下，使驗(yàn)證者相信某個(gè)論斷是正確的.區(qū)塊鏈領(lǐng)域中的隱私保護(hù)使用最廣泛的零知識(shí)證明是零知識(shí)簡(jiǎn)潔的非交互式知識(shí)論證(zero knowledge succinct non-interactive arguments of knowledge, zk-SNARKs)[17]，非交互式是指證明者與驗(yàn)證者沒(méi)有雙向通信，證明過(guò)程僅包含從證明者發(fā)送給驗(yàn)證者的單個(gè)消息.理論上，zk-SNARKs包含3個(gè)算法[18]：

1)密鑰生成算法(pk,vk)=G(λ,C).其中，G為密鑰發(fā)生器，λ為秘密參數(shù)，C為生成程序.該算法生成2個(gè)公開(kāi)可獲得的密鑰：證明密鑰pk和驗(yàn)證密鑰vk.實(shí)際操作過(guò)程中需要保證沒(méi)人知道或保存秘密參數(shù)λ.

2)證明算法prf=P(pk,x,w).其中，prf為生成的證明，P為證明函數(shù)，x為公開(kāi)數(shù)據(jù)，w為私有數(shù)據(jù).P知道w，且w滿(mǎn)足生成程序C.

3)驗(yàn)證算法V(vk,x,prf).如果prf是正確的，V返回“true”，說(shuō)明P擁有w.

1.2 安全多方計(jì)算

安全多方計(jì)算(secure multi-party computation, SMPC)[18]由姚期智于1982年提出.為了闡明該概念，姚期智用著名的百萬(wàn)富翁問(wèn)題來(lái)說(shuō)明.百萬(wàn)富翁問(wèn)題是指在沒(méi)有可信第三方的前提下，2個(gè)百萬(wàn)富翁如何不泄露自己的真實(shí)財(cái)產(chǎn)狀況來(lái)比誰(shuí)更有錢(qián).經(jīng)眾多學(xué)者的創(chuàng)新工作，安全多方計(jì)算逐漸發(fā)展成為密碼學(xué)的一個(gè)重要分支.

安全多方計(jì)算模型可以簡(jiǎn)單抽象為圖1所示過(guò)程：存在n個(gè)參與方P1，P2，…，Pn，每個(gè)參與方Pi都有自己的私有秘密輸入xi.參與方共同執(zhí)行一個(gè)計(jì)算邏輯R=f(x1,x2,…,xn)(如求解最大值)，并獲得計(jì)算結(jié)果.計(jì)算結(jié)束時(shí)，每個(gè)參與方Pi只知道計(jì)算結(jié)果R，而不能獲取除此之外的其他參與方的任何信息.

圖1 安全多方計(jì)算模型

1.3 同態(tài)加密

Rivest等人[19]在20世紀(jì)70年代首先提出同態(tài)加密(homomorphic encryption，HE)的概念.同態(tài)加密關(guān)注數(shù)據(jù)處理安全，提供了一種對(duì)加密數(shù)據(jù)進(jìn)行處理的功能.同態(tài)加密原理如圖2所示，數(shù)據(jù)先經(jīng)過(guò)同態(tài)加密，對(duì)密文數(shù)據(jù)進(jìn)行特定計(jì)算處理，得到計(jì)算結(jié)果，對(duì)該計(jì)算結(jié)果進(jìn)行對(duì)應(yīng)的同態(tài)解密，得到的處理結(jié)果等同于對(duì)明文數(shù)據(jù)直接進(jìn)行計(jì)算處理，實(shí)現(xiàn)了數(shù)據(jù)的“可算不可見(jiàn)”.該特性對(duì)于信息安全具有重要意義，利用同態(tài)加密技術(shù)可以讓解密方只能獲知最后結(jié)果，而無(wú)法獲得每個(gè)密文消息，提高了信息的安全性.

圖2 同態(tài)加密原理

早些年的同態(tài)加密方案不能同時(shí)支持加法和乘法，且對(duì)運(yùn)算次數(shù)有限制，限制了其應(yīng)用.2009年，Gentry等人[20]首次提出一種基于理想格的全同態(tài)加密(full homomorphic encryption, FHE)方案.FHE是指同時(shí)滿(mǎn)足加同態(tài)和乘同態(tài)，可以進(jìn)行任意多次加和乘運(yùn)算的加密函數(shù)，數(shù)學(xué)表達(dá)如式(1)所示：

Dec(f(En(m1),En(m2),…,En(mk)))=

f(m1,m2,…,mk)，

(1)

其中，f為任意函數(shù).

1.4 可信執(zhí)行環(huán)境

2009年，開(kāi)放移動(dòng)終端平臺(tái)(Open Mobile Terminal Platform, OMTP)組織定義了可信執(zhí)行環(huán)境(trusted execution environment, TEE)[21].硬件和軟件資源被劃分為富執(zhí)行環(huán)境(rich execution environment, REE)和安全區(qū)域(trust zone, TZ).在TEE中獨(dú)立運(yùn)行一個(gè)完整且緊湊的操作系統(tǒng)，一般只有10 KB～10 MB大小.該操作系統(tǒng)以系統(tǒng)調(diào)用(可信內(nèi)核直接處理)的方式提供少數(shù)服務(wù)，專(zhuān)門(mén)處理敏感信息以保證信息的機(jī)密性和完整性.在TEE中運(yùn)行的多個(gè)用戶(hù)可信應(yīng)用(trust application, TA)可以訪(fǎng)問(wèn)設(shè)備主處理器和內(nèi)存的全部功能，TZ保護(hù)這些TA不受REE中運(yùn)行的用戶(hù)安裝應(yīng)用程序(open application, OA)的影響.TEE和REE通過(guò)一個(gè)名為Monitor的模式進(jìn)行溝通、轉(zhuǎn)換.TEE簡(jiǎn)要模型如圖3所示.

目前支持TEE的主流平臺(tái)[21]包括ARM TrustZone，ARM SVM，Intel SGX，Intel TXT和TI M-Shield等，其中ARM TrustZone和Intel SGX是典型代表.ARM TrustZone擁有專(zhuān)用的I/O通道，通過(guò)TZASC和TZPC硬件組件實(shí)現(xiàn).Intel SGX是2013年推出的指令集擴(kuò)展，以硬件安全為強(qiáng)制保障，將合法軟件的安全操作封裝在一個(gè)飛地中，保護(hù)數(shù)據(jù)和代碼的完整性與機(jī)密性.

1.5 智能合約隱私保護(hù)關(guān)鍵技術(shù)對(duì)比

表1給出了當(dāng)前智能合約隱私保護(hù)4種關(guān)鍵技術(shù)的綜合能力對(duì)比情況，表中符號(hào)“√”表示對(duì)應(yīng)項(xiàng)存在，符號(hào)“×”表示對(duì)應(yīng)項(xiàng)不存在.其中，零知識(shí)證明、安全多方計(jì)算和同態(tài)加密應(yīng)用密碼學(xué)原理進(jìn)行加密計(jì)算，實(shí)現(xiàn)隱私保護(hù)，可信執(zhí)行環(huán)境則采用可信硬件達(dá)到相同目標(biāo).創(chuàng)建零知識(shí)證明需要事先完成可信設(shè)置，但為不同智能合約做可信設(shè)置的成本很高，增加了零知識(shí)證明的復(fù)雜程度；安全多方計(jì)算中節(jié)點(diǎn)間存在溝通成本，協(xié)議速度緩慢，因此對(duì)網(wǎng)絡(luò)帶寬要求較高；當(dāng)前，同態(tài)加密技術(shù)僅能實(shí)現(xiàn)單比特的運(yùn)算，效率較低，且大多數(shù)的同態(tài)加密安全性基于未被證實(shí)的困難問(wèn)題，安全性支撐仍存疑；可信執(zhí)行環(huán)境是智能合約隱私保護(hù)技術(shù)中最容易進(jìn)行規(guī)模擴(kuò)張的技術(shù)，但硬件保證始終要面臨安全漏洞被攻擊的風(fēng)險(xiǎn).

表1 智能合約隱私保護(hù)關(guān)鍵技術(shù)對(duì)比

2 智能合約隱私保護(hù)技術(shù)研究現(xiàn)狀

近年來(lái)涌現(xiàn)的智能合約隱私保護(hù)方案多是將上述4種技術(shù)進(jìn)行改進(jìn)和組合.下面以智能合約運(yùn)行平臺(tái)為分類(lèi)標(biāo)準(zhǔn)，對(duì)智能合約隱私保護(hù)技術(shù)的研究進(jìn)展進(jìn)行梳理和總結(jié).

2.1 Bitcoin及其衍生平臺(tái)

OP-RETURN Bitcoin腳本是最早應(yīng)用的智能合約，由于其計(jì)算能力非常有限，只能實(shí)現(xiàn)基本的算術(shù)、邏輯運(yùn)算及驗(yàn)證加密功能，因此對(duì)智能合約隱私的初期研究主要集中在合約支付交易雙方的身份、金額隱私保護(hù)方面.例如，為了提供更好的匿名性，Miers等人[11]基于零知識(shí)證明設(shè)計(jì)了一種擴(kuò)展的Bitcoin系統(tǒng)Zerocoin，實(shí)現(xiàn)了交易的保密性.2014年，Sasson等人[22]在Zerocoin的基礎(chǔ)上提出了匿名數(shù)字貨幣Zerocash.Zerocash采用了zk-SANRKs和同態(tài)加密等密碼工具，通過(guò)鑄幣-熔幣過(guò)程實(shí)現(xiàn)了交易完全匿名.Zerocash與Zerocoin相比，實(shí)現(xiàn)了與Bitcoin系統(tǒng)的兼容，并支持金額拆分.改進(jìn)后的Zerocash協(xié)議已在多種加密貨幣中進(jìn)行了商業(yè)部署，包括Zcash[23]，Solidus[24]和zkLedger[25]等.在Zerocash的基礎(chǔ)上，Bowe等人[12]提出了Zexe區(qū)塊鏈系統(tǒng)，使用戶(hù)無(wú)法將同一用戶(hù)的多個(gè)交易聯(lián)系在一起，也不能根據(jù)這些信息選擇性地審查交易.與只允許幾種交易類(lèi)型的Zerocash相比，Zexe實(shí)現(xiàn)了表達(dá)能力上的重大改進(jìn).Zexe的隱私保護(hù)技術(shù)的核心是去中心化私有計(jì)算協(xié)議(decentralized private computation, DPC)，該協(xié)議底層技術(shù)為zk-SNARKs和遞歸證明組合.

2.2 Ethereum及其衍生平臺(tái)

Ethereum作為第1個(gè)實(shí)際部署智能合約的系統(tǒng)，不是為隱私而設(shè)計(jì).Ethereum作為公有鏈本身不隱藏任何數(shù)據(jù)，如智能合約的輸入/輸出、合約功能、參與用戶(hù)等.Steffen等人[26]提出了類(lèi)型化語(yǔ)言Zkay.Zkay采用靜態(tài)類(lèi)型檢查，允許直觀(guān)地指定智能合約邏輯，并防止合約信息泄露.通過(guò)對(duì)10個(gè)部署在Ethereum上的采用Zkay編寫(xiě)的智能合約進(jìn)行評(píng)估，結(jié)果表明，相較直接使用zk-SNARKs編程，Zkay編程效率顯著.Bünz等人[13]提出了針對(duì)Ethereum智能合約平臺(tái)的隱私協(xié)議Zether，以智能合約ZSC(Zether Smart Contract)的形式部署在Ethereum上，具有自己的代幣ZTH，賬戶(hù)余額和交易地址等都是保密的，所有交易通過(guò)Sigma-Bullets來(lái)有效證明各方交易余額.Sigma-Bullets是一種零知識(shí)證明機(jī)制，結(jié)合了Bulletproofs與Sigma協(xié)議特性.Origo[27]提出一種隱私保護(hù)協(xié)議Origo，該協(xié)議結(jié)合可信硬件和零知識(shí)證明，為Ethereum智能合約添加匿名保護(hù).Origo協(xié)議要求合約參與方質(zhì)押一定數(shù)量的代幣以防止參與方選擇惡意行為或泄露他人隱私，若存在惡意行為，質(zhì)押的代幣將會(huì)被罰沒(méi).與其他隱私保護(hù)方案不同，Origo協(xié)議中并不是每個(gè)節(jié)點(diǎn)都會(huì)執(zhí)行合約，而是由參與方從網(wǎng)絡(luò)中選擇1個(gè)節(jié)點(diǎn)負(fù)責(zé)合約執(zhí)行和零知識(shí)證明構(gòu)造.Kerber等人[14]在通用組合模型的基礎(chǔ)上提出私有智能合約的統(tǒng)一安全模型，并提出一種核心協(xié)議Kachina，用于部署私有智能合約，打破了其他隱私保護(hù)方案中無(wú)法統(tǒng)一構(gòu)建Ethereum公有合約的限制.Kachina協(xié)議的核心思想是將智能合約狀態(tài)分為共享的鏈上的公共狀態(tài)以及個(gè)人的鏈外的私有狀態(tài)，交易各方以零知識(shí)證明的方式實(shí)現(xiàn)智能合約的隱私保護(hù).Arbitrum[28]是由Offchain Labs團(tuán)隊(duì)構(gòu)建的Ethereum鏈上合約管理鏈下協(xié)議，該協(xié)議基于委員會(huì)的方法同意和執(zhí)行智能合約的鏈下操作，依賴(lài)于一個(gè)完全誠(chéng)實(shí)的委員會(huì)來(lái)保護(hù)智能合約隱私.Li等人[7]討論了通用智能合約混合鏈下執(zhí)行模型，該模型將智能合約的私有功能與公有功能分離，形成一個(gè)鏈下合約，并使鏈下合約僅由感興趣的參與方執(zhí)行.該方法節(jié)約了礦工的計(jì)算資源，保護(hù)了區(qū)塊鏈中智能合約的敏感信息.對(duì)該模型在Ethereum官方測(cè)試網(wǎng)絡(luò)Kovan中進(jìn)行了實(shí)現(xiàn)和評(píng)估，結(jié)果證明該方法在Ethereum中是有效的.Zhang等人[29]提出一種可信數(shù)據(jù)輸入系統(tǒng)TC(Town Crier)，TC將Ethereum的智能合約前端和基于SGX的可信執(zhí)行環(huán)境后端結(jié)合起來(lái).摩根大通基于Ethereum設(shè)計(jì)了Quorum協(xié)議[30]，實(shí)現(xiàn)了靈活的隱私政策，但是該協(xié)議需要引入監(jiān)管節(jié)點(diǎn)，限制了適用范圍.為了解決Quorum協(xié)議通用性不強(qiáng)的問(wèn)題，微軟提出了Coco框架[30]，基于可信執(zhí)行環(huán)境的Coco框架保證了合約的代碼隱私.

2.3 Hyperledger Fabric及其衍生平臺(tái)

Hyperledger Fabric對(duì)傳統(tǒng)的智能合約平臺(tái)進(jìn)行了革新，在訪(fǎng)問(wèn)控制方面做出了優(yōu)化，細(xì)化了智能合約節(jié)點(diǎn)的權(quán)限粒度，不同用戶(hù)對(duì)智能合約具有部署、查詢(xún)、執(zhí)行等不同權(quán)限.為確保原始數(shù)據(jù)及計(jì)算過(guò)程的保密性和安全性，Hyperledger Fabric允許通過(guò)可信硬件中的計(jì)算節(jié)點(diǎn)對(duì)加密鏈上信息執(zhí)行智能合約的計(jì)算.Benhamouda等人[31]實(shí)現(xiàn)了一個(gè)競(jìng)標(biāo)系統(tǒng)，探索應(yīng)用安全多方計(jì)算實(shí)現(xiàn)Hyperledger Fabric隱私數(shù)據(jù)保護(hù).各方將其私有數(shù)據(jù)存儲(chǔ)在Hyperledger Fabric上，并用個(gè)人私鑰加密,當(dāng)智能合約調(diào)用私有數(shù)據(jù)時(shí)，擁有密鑰的一方將私有密文數(shù)據(jù)解密，作為SMPC協(xié)議的輸入進(jìn)行二次加密，確保系統(tǒng)其他用戶(hù)不可見(jiàn).Kang等人[15]提出一種擴(kuò)展的Hyperledger Fabric，命名為FabZK.FabZK只存儲(chǔ)每筆交易的加密數(shù)據(jù)(如交易金額等)，并匿名智能合約各方的交易關(guān)系，將交易細(xì)節(jié)隱藏在共享分類(lèi)賬上，通過(guò)支持可驗(yàn)證的Pedersen承諾和構(gòu)造零知識(shí)證明來(lái)實(shí)現(xiàn)隱私性.此外，F(xiàn)abZK還支持按需的基于加密數(shù)據(jù)的自動(dòng)審計(jì)，采用了來(lái)自zkLedger[25]的表格結(jié)構(gòu)分類(lèi)賬，并開(kāi)發(fā)了額外的證明和驗(yàn)證機(jī)制來(lái)提高審計(jì)性能.

2.4 其他平臺(tái)

Kosba等人[9]提出了為Ethereum等區(qū)塊鏈平臺(tái)提供隱私保護(hù)的智能合約框架Hawk.為確保智能合約的隱私性和安全性，Hawk模型定義了用戶(hù)、代理人和編程人員3類(lèi)角色，實(shí)現(xiàn)了包含凍結(jié)、計(jì)算和定案3個(gè)基本操作的密碼套件.Hawk編程人員以一種直觀(guān)的方式編寫(xiě)智能合約，Hawk編譯器會(huì)自動(dòng)生成一種有效的加密協(xié)議，智能合約用戶(hù)使用零知識(shí)證明等加密原語(yǔ)與區(qū)塊鏈交互.Hawk合同執(zhí)行由代理人協(xié)助，代理人具備最低限度信任特征，代理人惡意終止協(xié)議將會(huì)受到經(jīng)濟(jì)懲罰，即使代理人與交易方串通也無(wú)法影響合約的正確執(zhí)行.中國(guó)科學(xué)院與武漢大學(xué)的密碼學(xué)專(zhuān)家合作實(shí)現(xiàn)了保護(hù)余額與轉(zhuǎn)賬資產(chǎn)的分布式智能合約系統(tǒng)[32]，在賬戶(hù)模型下利用同態(tài)加密和零知識(shí)證明保護(hù)合約隱私.斯坦福大學(xué)SERO團(tuán)隊(duì)首創(chuàng)了可以運(yùn)行智能合約的零知識(shí)證明加密系統(tǒng)，相較Zcash系統(tǒng)在加密速度上提高了20倍以上[33].麻省理工學(xué)院的學(xué)者開(kāi)發(fā)了一項(xiàng)加密合約Enigma協(xié)議[34]，應(yīng)用在Catalyst上，該協(xié)議使用Intel的SGX可信硬件和SMPC技術(shù)來(lái)保證智能合約隱私.Cheng等人[10]提出了Ekiden模型，該模型采用計(jì)算和共識(shí)分割開(kāi)的機(jī)制：計(jì)算節(jié)點(diǎn)在線(xiàn)下的可信執(zhí)行環(huán)境中完成隱私數(shù)據(jù)的計(jì)算，并向區(qū)塊鏈提供正確計(jì)算的證明；共識(shí)節(jié)點(diǎn)維護(hù)區(qū)塊鏈賬本，實(shí)現(xiàn)高效可信硬件支持的保密性智能合約.評(píng)估結(jié)果顯示該模型相較于Ethereum，吞吐率提高了600倍，延遲和交易成本都大幅降低.Solomon等人[35]提出利用全同態(tài)加密來(lái)支持私有智能合約平臺(tái)smartFHE，允許用戶(hù)構(gòu)建任意分散的應(yīng)用程序，使用單密鑰/多密鑰全同態(tài)加密計(jì)算賬戶(hù)余額等私有數(shù)據(jù)，為任意數(shù)量的用戶(hù)輸入保存輸入/輸出隱私；同時(shí)引入隱私保護(hù)智能合約概念，該概念涵蓋了對(duì)多用戶(hù)輸入/輸出隱私任意計(jì)算的支持，擴(kuò)展了Zerocash[22]和Zether[13]對(duì)智能合約隱私正確性和安全性的定義.

2.5 智能合約隱私保護(hù)解決方案對(duì)比

表2給出了主要智能合約隱私保護(hù)解決方案的對(duì)比情況.通過(guò)對(duì)這些研究成果調(diào)研發(fā)現(xiàn)，當(dāng)前智能合約隱私保護(hù)方案仍存在諸多不足，距離解決隱私威脅尚有較大空間，具體表現(xiàn)在：

表2 主要智能合約隱私保護(hù)解決方案對(duì)比

1)安全風(fēng)險(xiǎn).部分隱私保護(hù)方案借助零知識(shí)證明、安全多方計(jì)算、同態(tài)加密等密碼學(xué)技術(shù)和可信執(zhí)行環(huán)境應(yīng)對(duì)隱私威脅，但這些方案也引入了一定的安全風(fēng)險(xiǎn).例如，Zexe[12]等方案中采用的zk-SNARKs需要可信第三方生成私密參數(shù)，而生成的私密參數(shù)會(huì)對(duì)整個(gè)系統(tǒng)安全性引入風(fēng)險(xiǎn)變量；可信執(zhí)行環(huán)境始終要面臨攻擊風(fēng)險(xiǎn)，目前應(yīng)用較為廣泛的Intel SGX已經(jīng)暴露了2個(gè)重大安全漏洞Meltdown and Spectre和Foreshadow[36]，亟待新的可信執(zhí)行環(huán)境架構(gòu)方案出現(xiàn).

2)性能限制.除安全風(fēng)險(xiǎn)外，現(xiàn)有隱私保護(hù)方案在性能上也存在不足.零知識(shí)證明、安全多方計(jì)算以及同態(tài)加密等密碼學(xué)技術(shù)需要大量的計(jì)算驗(yàn)證時(shí)間和存儲(chǔ)空間，這使得這些隱私保護(hù)方案難以應(yīng)用到大規(guī)模的場(chǎng)景中.

3 未來(lái)研究方向

隨著智能合約的發(fā)展與應(yīng)用，智能合約隱私保護(hù)已成為國(guó)內(nèi)外學(xué)者的關(guān)注熱點(diǎn).智能合約隱私保護(hù)在國(guó)內(nèi)外已經(jīng)取得了許多成果，未來(lái)應(yīng)兼顧考慮智能合約的安全攻防、性能提升和隱私保護(hù).

一是結(jié)合可信執(zhí)行環(huán)境和多種密碼學(xué)技術(shù).目前多數(shù)方案僅采用了傳統(tǒng)密碼學(xué)技術(shù)，隨著人工智能和量子計(jì)算的興起，傳統(tǒng)算法面臨被破解的風(fēng)險(xiǎn).因此，借鑒Enigma，Ekiden等解決方案，將密碼學(xué)技術(shù)與可信執(zhí)行環(huán)境沒(méi)有沖突地結(jié)合起來(lái)將會(huì)起到更好的隱私保護(hù)效果.

二是對(duì)后量子時(shí)代的加密方案加快研究部署.量子計(jì)算機(jī)的研制成功對(duì)以經(jīng)典密碼體系為安全性基礎(chǔ)的隱私保護(hù)技術(shù)構(gòu)成巨大威脅.研究顯示，格密碼具有抗量子計(jì)算攻擊的安全優(yōu)勢(shì)，但是其密鑰長(zhǎng)度過(guò)長(zhǎng)，遠(yuǎn)大于傳統(tǒng)的經(jīng)典密碼學(xué)算法[37].因此，在未來(lái)的后量子隱私保護(hù)研究中，研究重點(diǎn)將是設(shè)計(jì)密鑰更短、簽名更短的抗量子密碼學(xué)算法.

4 結(jié)束語(yǔ)

區(qū)塊鏈2.0時(shí)代，智能合約作為區(qū)塊鏈的核心構(gòu)成要素，對(duì)區(qū)塊鏈技術(shù)的應(yīng)用和普及具有重要意義.本文重點(diǎn)介紹了4種智能合約隱私保護(hù)關(guān)鍵技術(shù)，分析了不同技術(shù)的特點(diǎn)和適用性；以智能合約運(yùn)行平臺(tái)為基準(zhǔn)，分類(lèi)總結(jié)了當(dāng)前智能合約隱私保護(hù)解決方案的最新研究成果，并對(duì)未來(lái)研究方向進(jìn)行了展望.希望本文能夠?yàn)橹悄芎霞s隱私保護(hù)研究作出一些有益的探索.