謝晴晴，楊念民，馮霞

區(qū)塊鏈交易隱私保護技術綜述

謝晴晴1，2*，楊念民1，2，馮霞3

（1.江蘇大學 計算機科學與通信工程學院， 江蘇 鎮(zhèn)江 212013； 2.江蘇省工業(yè)網絡安全技術重點實驗室（江蘇大學），江蘇 鎮(zhèn)江 212013； 3.江蘇大學 汽車與交通工程學院，江蘇 鎮(zhèn)江 212013）（ ? 通信作者電子郵箱xieqq@ujs.edu.cn）

區(qū)塊鏈賬本數據是公開透明的。一些攻擊者可以通過分析賬本數據來獲取敏感信息，這對用戶的交易隱私造成威脅。鑒于區(qū)塊鏈交易隱私保護的重要性，首先分析產生交易隱私泄露的原因，并將交易隱私分為交易者身份隱私和交易數據隱私兩類；其次，從這兩種不同類型的隱私角度，闡述現有的面向區(qū)塊鏈交易的隱私保護技術；接著，鑒于隱私保護和監(jiān)管之間的矛盾性，介紹兼具監(jiān)管的交易身份隱私保護方案；最后，總結和展望了區(qū)塊鏈交易隱私保護技術未來的研究方向。

區(qū)塊鏈；交易隱私保護；身份隱私；交易數據隱私；交易監(jiān)管

0 引言

區(qū)塊鏈最初依托于比特幣［1］被提出。區(qū)塊鏈集成了加密算法、點對點傳輸、智能合約和共識機制等技術，具有公開透明性、不可篡改性、去中心化、交易假名化等優(yōu)點［2］，廣泛應用于數字貨幣［3-4］、供應鏈［5-6］、電子投票［7-8］、車聯(lián)網［9-10］、醫(yī)療業(yè)［11-12］等多個領域。以金融供應鏈為例，傳統(tǒng)金融體系存在信息不對稱、信息孤島、結算不能自動完成等諸多缺點［13］。金融供應鏈可以采用區(qū)塊鏈技術將銀行、核心企業(yè)、二三級供應商和其他金融機構上鏈，支持資金流、信息流、信任流同時傳遞，并通過嵌入智能合約實現協(xié)議的自動執(zhí)行，提高了信息共享效率，降低了信任和資金傳遞成本。

區(qū)塊鏈賬本數據的公開透明性一方面極大地方便了各節(jié)點數據的維護驗證，另一方面也給用戶隱私保護帶來威脅，攻擊者會分析全局賬本，獲取用戶的身份隱私信息和數據隱私信息。盡管區(qū)塊鏈地址是匿名的，但是攻擊者可以采用聚類技術或交易圖分析技術，建立地址與地址、地址與交易的聯(lián)系，進而獲取地址的交易規(guī)律、交易特征、交易軌跡等［14］。通過這些交易細節(jié)，攻擊者可以將現實中的用戶交易行為和對賬本數據分析所勾勒出的用戶行為進行匹配，從而獲取用戶真實身份，造成用戶身份隱私的泄露。除此之外，攻擊者可通過數據分析、數據挖掘、深度學習等方法從海量數據中提取出有價值的信息，經過處理（如屬性匹配、信息關聯(lián)）的數據存在泄露敏感信息的可能［15］。例如：在網購鏈中，攻擊者通過分析交易金額推斷用戶的購買力、收入水平、消費習慣等，甚至推測出用戶的真實身份；在醫(yī)療鏈中，攻擊者能夠獲取用戶的病歷信息或者家庭住址信息等，這將對用戶的日常工作生活造成不便，甚至對自身安全造成威脅。因此，區(qū)塊鏈交易隱私泄露問題亟待解決。保證區(qū)塊鏈上用戶的身份隱私和數據隱私是區(qū)塊鏈能夠真正落地所面臨的一項重要挑戰(zhàn)，但是身份隱私并不是無條件的，因為非法用戶會利用匿名身份逃避監(jiān)管，所以兼顧監(jiān)管的身份隱私也受到關注。

區(qū)塊鏈交易隱私保護是目前的研究熱點，祝烈煌等［16］從混幣技術、加密技術和限制發(fā)布技術這3方面探討了目前的交易層的隱私保護技術。王宗慧等［17］將現有典型的區(qū)塊鏈隱私保護方案分為3種，即混幣方案、密碼學方案和安全通道方案，并總結了這3種區(qū)塊鏈隱私保護技術方案。李旭東等［18］從兩個方面總結比特幣隱私保護技術：一方面是不需要修改現有比特幣協(xié)議的技術，如混幣技術、離鏈支付協(xié)議；另一方面是需要修改現有比特幣協(xié)議的技術，如密碼學方案。張奧等［19］主要通過技術實現原理，將保護技術劃分為地址混淆、信息隱藏和通道隔離。上述相關工作分類定義了區(qū)塊鏈隱私，如分為身份隱私和交易內容隱私等［17］。然而在探討具體的隱私保護技術時，上述工作將交易身份和交易內容的隱私保護放在一起討論，沒有集中分析面向交易內容和交易身份的隱私保護在設計思路和實現手段上的差異。考慮到實際應用中需要保護隱私的對象不同，有必要將交易身份隱私和交易內容隱私分開討論。另外交易身份隱私之上的身份監(jiān)管問題在行業(yè)應用中日益凸顯，為此本文也討論了兼顧監(jiān)管的交易身份隱私保護技術。

依據保護對象的不同，本文將交易隱私保護技術分為交易身份隱私保護技術和交易數據隱私保護技術。其中交易身份指交易地址所關聯(lián)的真實用戶身份，交易數據指雙方交易的內容，如交易金額。在“區(qū)塊鏈+供應鏈”的應用［20］中，交易身份指發(fā)送者地址、接收者地址所關聯(lián)的真實身份；交易數據指產品描述、價格、交易數量等數據。

如圖1所示，本文從保護對象的分類、隱私攻擊的手段、身份隱私保護措施、數據隱私保護措施和身份隱私保護上的監(jiān)管這5個方面組成區(qū)塊鏈交易隱私保護技術的框架。

圖1　區(qū)塊鏈交易隱私保護技術框架

1 區(qū)塊鏈交易隱私問題分析

區(qū)塊鏈中的交易信息包含賬戶地址信息和交易數據信息，其中：賬戶地址信息與用戶身份相關，地址信息的關聯(lián)性會導致用戶身份隱私的泄露；交易數據在不同場景下具體表現不同，例如，在數字貨幣領域交易數據主要指交易金額，在醫(yī)療鏈領域交易數據主要指醫(yī)療數據。這兩類信息保護的措施不同，身份隱私保護方面，主要采用混淆技術（借助混合服務器或者密碼學技術）隱藏賬戶地址的關聯(lián)性。數據隱私保護方面，對于交易金額這類需要可驗證的數據主要采用同態(tài)加密技術，一是可以提供機密性，二是節(jié)點可以利用同態(tài)加密算法的同態(tài)性驗證隱藏交易金額的平衡性；對于其他交易數據可以采用屬性基加密、可搜索加密等。為此，本章將交易隱私分為交易身份隱私和交易數據隱私，并介紹了相應的隱私泄露問題。

1.1　交易身份隱私泄露

交易身份隱私指用戶的真實身份與交易賬戶地址（即交易假名）的關聯(lián)關系。區(qū)塊鏈地址的生成無須實名認證，而且同一擁有者可以產生各種不同的交易賬戶地址，不同的交易賬戶地址之間無直接關聯(lián)關系，因此區(qū)塊鏈在一定程度上為用戶匿名交易提供了技術支持。但是由于所有的交易路徑都是公開的，攻擊者可以通過地址跟蹤用戶的交易數據，分析交易規(guī)律，從而取得用戶交易地址間的關聯(lián)性，并結合網絡外部信息進一步推測用戶真實身份信息［21］。Reid等［22］根據比特幣交易結構特征提出了交易圖和用戶圖的理論，對用戶身份去匿名化。Meiklejohn等［23］在Reid等［22］工作的基礎上，結合區(qū)塊鏈交易的隱藏知識，即“交易的找零地址和輸入地址都同屬于一個用戶地址”，提出了一種啟發(fā)式聚類方法對用戶身份去匿名化。Androulaki等［24］使用模擬器模擬顯示大學環(huán)境中比特幣的使用，發(fā)現即使通過手動創(chuàng)建新地址增強隱私，但是依靠交易聚合技術仍然可以在很大程度上揭露40%比特幣用戶的真實身份。Shen等［25］在底層網絡中使用傳播模式分析的方法對大規(guī)模的比特幣交易去匿名化。Long等［26］通過量化的啟發(fā)式去匿名方法提出一種IP匹配方法，該方法可以匹配IP的活動信息與區(qū)塊鏈中的交易記錄，以準確確定交易者及其相應的區(qū)塊鏈地址。

1.2　交易數據隱私泄露

交易數據隱私指存儲在區(qū)塊鏈的交易內容隱私，例如交易金額、交易數量等。區(qū)塊鏈公開透明的特性雖然可以減少重復對賬行為和信用風險，但是同時也會導致交易數據隱私泄露［27］。以供應鏈為例，區(qū)塊鏈技術的使用可以打造一個可信透明的數據網絡，提升企業(yè)決策有效性，促進供應鏈上下游企業(yè)數據之間的流通，但同時供應鏈中包含著豐富的敏感數據，如信息流、資金流、物流和商流等。一般情況下，這些數據只能在具有合作伙伴關系的企業(yè)之間流動，如果將這些數據直接上鏈存儲，競爭對手可以通過這些公開數據推斷出商業(yè)合作關系、市場供求關系和資金流轉情況等，威脅企業(yè)的核心競爭力，不利于社會經濟穩(wěn)定。因此，解決交易數據隱私泄露問題對區(qū)塊鏈的實際落地具有重要意義。

2 交易身份隱私保護方案

交易身份隱私保護方案主要有混幣機制［28-35］和基于密碼學技術的身份隱私保護機制［36-39］，其中：根據有無中心化服務器的參與，混幣機制分為中心化混幣機制［28-29］和去中心化混幣機制［30-35］；基于密碼學技術的身份隱私保護機制主要使用密碼學技術，如零知識證明［36-37］和環(huán)簽名［38-39］。

2.1　混幣機制

混幣機制通過割裂交易輸入和輸出的關系達到保護用戶身份隱私的效果。

2.1.1中心化混幣機制

中心化混幣機制由第三方混幣服務器完成混幣過程。首先混幣需求者將混幣資金發(fā)送給第三方混幣服務器，其次第三方混幣服務器將分配收集的資金，最后將混幣金額發(fā)送至用戶指定輸出地址。中心化混幣服務的過程一般包含４個階段［40］。

1）協(xié)商階段：混合用戶和第三方混幣服務器關于混幣輸入地址、混幣輸出地址、第三方混幣服務器的托管地址和混合手續(xù)費等交易細節(jié)內容達成一致。

2）輸入階段：混合用戶將商定的混幣金額從輸入地址發(fā)送到第三方混幣服務器的托管地址上。

3）輸出階段：第三方混幣服務器從混合池里隨機選擇等額的混合資金轉移至混合用戶指定的輸出地址上。

4）混幣記錄刪除階段：混幣協(xié)議正常結束后，混幣用戶和第三方混幣服務器銷毀本次混幣記錄，防止泄露混幣信息。

目前第三方混幣服務提供商有BitLaundry（http：//bitlaundry.com/）、BitFog（http：//bitcoinfog.info/）等；但是中心化混幣機制主要存在以下問題：1）安全性依賴于混幣服務器，混幣服務器可能盜竊資金和私自保留混幣信息，泄露混幣過程；2）相近時間內參與混幣的用戶的混合金額需相同；3）需要支付手續(xù)費。針對早期中心化混幣方式存在盜竊風險的問題，Bonneau等［28］提出了可問責的混幣方案Mixcoin。相較于早期的混幣方式，Mixcoin改進了以下兩點：一是Mixcoin添加了問責機制懲罰混幣服務器的盜竊行為，若混合用戶在規(guī)定的時間內沒收到混幣服務器的轉賬交易，可以公布簽名承諾追責混幣服務器的盜竊行為；二是在手續(xù)費用問題上，Mixcoin采取隨機手續(xù)費策略，避免因手續(xù)費固定而降低用戶匿名性。Mixcoin實現了混合的不可區(qū)分性，被動攻擊者無法確定用戶和匿名集中的哪一個用戶在交互。針對可以破壞混合不可區(qū)分性的主動攻擊者，Mixcoin利用匿名通信網絡將多個混合交易鏈接在一起形成比特幣混合網絡，從而增加攻擊者的難度。然而混幣服務器仍然可以學習混合用戶輸入地址到輸出地址的映射，進而泄露混幣過程。為此，Valenta等［29］提出了改進的中心化混幣方案——盲幣（Blindcoin）。該方案使用盲簽名技術屏蔽混幣服務器學習混合用戶的輸入地址到輸出地址的映射；然而Blindcoin方案中的用戶必須將他們的簽名發(fā)布到公共日志上，這允許攻擊者將輸出地址鏈接到混幣服務器的簽名密鑰上，打破了混合的不可區(qū)分性。此外，Blindcoin沒有解決混幣服務器可以私自截留資金的問題。

2.1.2去中心化混幣機制

中心化的混幣模式在一定程度上保護了交易者身份隱私。但是由于第三方混幣服務器的參與，不但用戶的資產會被混幣服務器盜竊，而且用戶的交易信息也會被服務器泄露，另外混合用戶需要繳納額外的手續(xù)費。去中心化混幣機制由多個參與者協(xié)作運行混幣協(xié)議，拋棄了第三方中心化的混幣服務器，解決了第三方混合服務器的加入所帶來的信任問題。去中心化混幣機制的交易流程主要分為４個階段［40］。

1）協(xié)商階段。參與混幣的用戶關于混幣金額、輸入地址和輸出地址等達成一致。

2）混淆階段。參與混幣用戶根據混幣協(xié)議混淆所有輸出地址，混淆階段的目的是打亂用戶輸入和輸出地址間的關聯(lián)性。

3）廣播階段。根據混淆階段得到的輸出地址構造混合交易，確認交易無誤后廣播交易信息，將資產轉移至各混幣用戶指定的輸出地址。

4）混幣記錄刪除階段。若混合過程無異常，則所有參與此次混合的用戶銷毀本次交易記錄，混合交易結束；若混合過程出現錯誤，則需要參與混幣的用戶們找出并排除行為不端的用戶。

Gregory［30］提出了第一個不需要第三方服務器參與的去中心化混幣方案——聯(lián)合混幣CoinJoin。有混合意愿的用戶共同組成一個混合群，該群共同生成一個混合交易，包含了所有混合用戶的輸入地址和隨機排序后的輸出地址。由于混幣的金額是相同的，攻擊者無法分辨交易輸入和輸出地址的關系；然而交易輸入和輸出地址的鏈接關系對于參與混幣交易的節(jié)點是可見的，無法保證交易內部的不可鏈接性。在CoinJoin的基礎上，Duffield等［31］提出了達世（Dash）幣。該項目中的混幣交易是由網絡中的主節(jié)點構造，從而保證了內部隱私性。多個主節(jié)點為用戶的交易進行鏈式混幣，即上一個主節(jié)點的交易輸出作為下一個主節(jié)點的交易輸入進一步混淆，最多可以進行16輪混合。當混合輪數越多時，Dash幣匿名性越強，但是與之相應的混合費用和時間開銷也會增大；另外，為了增強混合的匿名性，所有的交易輸入和輸出都是相同的標準面額，如0.001、0.01、0.1、1和10。Ruffing等［32］沿用CoinJoin技術提出了一種基于解密混合網的混幣方案CoinShuffle。CoinShuffle方案采用解密混合網絡技術［41］打亂輸出地址集合，解決了內部節(jié)點知道其他節(jié)點輸出地址的問題。然而，CoinShuffle方案混淆階段的計算開銷和通信開銷會隨著混合用戶的增加而急劇增大，不適合大規(guī)模用戶混合。Ziegeldorf等［33］提出了一種基于解密混合網絡技術和門限橢圓曲線數字簽名算法［42］的安全多方混幣方案CoinParty。CoinParty通過使用安全多方計算協(xié)議模擬受信任的第三方以實現用戶之間的匿名混幣。類似于CoinShuffle方案，CoinParty在混淆階段同樣采用了解密混合網絡技術保障內部隱私性。另外，相較于CoinShuffle方案，CoinParty改進了以下兩點：一是采用秘密分享驗證混淆的正確性；二是要求最后一位參與者以字典序對輸出集排序，再增加公共隨機置換得到最終混淆結果，避免最后一位用戶操縱排序結果。

Xiao等［34］提出了一種基于去中心化分布式簽名的混幣方案。該方案采用協(xié)商方式進行混合交易，從而避免群成員獲悉其他成員的初始交易。為了避免對第三方的依賴以及額外的混合費，該方案采用多方簽名協(xié)議簽署交易。圖2為去中心化混幣方案的過程［34］，有混合意愿的用戶組成一個混合群。群成員將協(xié)商請求分解成個相互獨立的協(xié)商子請求，并將協(xié)商子請求隨機分發(fā)給不同的群成員。其他群成員接收到協(xié)商子請求后做如下處理：若當前持有金額為0，將子協(xié)商請求分發(fā)給其他節(jié)點；若當前持有金額小于協(xié)商子請求的協(xié)商金額，將當前持有金額全部轉給協(xié)商子請求中的輸出地址，并向其他節(jié)點發(fā)送新的協(xié)商請求以滿足剩余協(xié)商金額的需求；若當前持有金額大于或等于協(xié)商子請求的協(xié)商金額，向協(xié)商子請求中的輸出地址發(fā)送一筆交易，交易金額為協(xié)商金額。其次，群成員將所有協(xié)商交易匯總成最終混合交易，驗證自身輸出地址是否收到相應金額。若無差錯，群成員使用基于ElGamal的去中心化簽名協(xié)議簽署最終交易。然而協(xié)商過程存在較大的通信開銷，此外，群內成員需要相互保持匿名性，否則惡意成員根據協(xié)商請求消息能夠以高概率分析出交易輸入和輸出的鏈接關系。Lu等［35］提出了一種面向大規(guī)模比特幣交易的高效混幣方案CoinLayering。為了防止混合節(jié)點分辨出輸入和輸出地址關系，CoinLayering使用中國剩余定理和Schnoor簽名構造的群簽名作為資產轉移憑證，以此消除用戶輸入和輸出地址的關系。然而，該方案并不能防止合謀攻擊，混合節(jié)點合謀將會暴露用戶的輸入和輸出地址關系。

圖2　去中心化混幣方案的過程

本節(jié)從混幣的角度介紹相關的身份隱私保護方案。早期，交易用戶為了保持身份的匿名性，可以向混合服務器請求提供混幣服務，但是這種中心化的混幣方式存在混合服務器盜竊資產的行為。盡管有一些改進方案如Mixcoin、Blindcoin通過添加簽名承諾的方式約束混合服務的行為，但是如果混合服務器不顧自己的聲譽，依然可以盜竊交易用戶的資產。為此相關學者提出了去中心化的混幣方案，摒棄了中心化混合服務器，由參與混合的用戶自行協(xié)商混幣方式，但是去中心化的解決方式又容易產生混合節(jié)點內部泄露混幣信息的風險和混合節(jié)點拒不簽名的行為。針對混合節(jié)點內部泄露混幣信息的風險，可以采用解密混合網技術，如CoinShuffle、CoinParty方案。針對混合內部節(jié)點盜竊資產或者拒不簽名的行為，可以采用閾值簽名的方式控制輸入資產，增加惡意混合節(jié)點拒不履行協(xié)議的成本，如CoinParty、CoinLayering方案。此外，還可以使用去中心化式的簽名方式，以相互協(xié)商的方式完成去中心化式的混幣，如文獻［34］方案。表1總結和對比了以上方案的結構、不可鏈接性、盜竊風險這3個方面的特點；同時，鑒于抗拒絕服務（Denial of Service， DoS）攻擊和抗Sybil攻擊是兩種比較常見的攻擊方式，因此還比較了混幣機制對這兩種攻擊的抵抗性。

表1　混幣方案總結

注：√表示具有不可鏈接性。

2.2　基于密碼學技術的身份隱私保護機制

2.2.1混幣方案

可以通過將交易地址打亂的方式隱藏交易之間的關聯(lián)性，保護交易者身份隱私。但是交易地址仍然公開可見，惡意節(jié)點通過分析混合交易特征可以將交易地址關聯(lián)用戶的真實身份；而且混幣方案易遭受資金盜竊、拒絕服務和信息泄露等攻擊。為此研究者們利用零知識證明（Zero-Knowledge Proof， ZKP）［43］和環(huán)簽名等密碼學手段隱藏交易地址，增加攻擊者通過分析賬本數據獲取交易者真實身份的難度。

ZKP能夠讓證明者在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。零幣（Zerocoin）［36］和零鈔（Zerocash）［37］采用ZKP技術保護交易者身份隱私。這類加密貨幣通常包含兩個部分：

1）鑄幣。封裝交易來源、去向和金額，將比特幣轉換為相應的加密貨幣，并將對應的承諾加入承諾列表。

2）熔幣。交易發(fā)起者采用ZKP技術證明對交易輸入的所有權，從而花費所持有的加密貨幣。

Zerocoin［36］是采用RSA（Rivest-Shamir-Adleman）累加器［44］和非交互式零知識證明技術［45］提出的加密貨幣方案。Zerocoin系統(tǒng)通過鑄幣交易將比特幣轉換為Zerocoin，并將Zerocoin對應的唯一承諾加入混淆集RSA累加器。用戶在花費時，僅需出示ZKP表明累加器中有一枚未花費的硬幣即可；礦工驗證ZKP的正確性，并檢驗硬幣是否在其他交易中出現過（避免雙重支付）。若這兩個條件都滿足，則交易成功。由于借助了ZKP技術，整個過程在花費交易時不必出示一枚具體的硬幣信息，從而隱藏了鑄幣交易和花費交易的鏈接關系，使得攻擊者難以通過交易圖分析技術窺探交易者身份隱私。然而，Zerocoin使用固定面值的硬幣，不支持精確值支付；在花費階段，用戶采用雙離散對數證明機制證明他對特定Zerocoin的所有權，存在存儲代價高、驗證時間長和交易效率低的缺點。

針對Zerocoin的缺陷，Ben Sasson等［37］基于簡潔的非交互式零知識證明（zero-knowledge Succinct Non-interactive ARgument of Knowledge， zk-SNARK）技術［46］提出了一種改進方案Zerocash。與Zerocoin相同，Zerocash分為鑄幣交易和花費交易兩個部分。在鑄幣過程中，交易發(fā)起者將指定數量的基礎幣兌換成相同金額的Zerocash，每個幣有獨特的序列號。鑄幣過程實質上是承諾生成過程，該承諾封裝了交易來源、去向和金額。為了達到混淆的目的，生成的承諾將被添加至承諾列表。在熔幣交易中，交易發(fā)起者將舊幣拆分或合并成新幣，并采用ZKP技術證明以下內容：1）交易發(fā)起者在承諾列表中擁有未花費的硬幣；2）交易前后，硬幣的總價值相等。為了使接收方使用新幣，發(fā)起者用接收方的公鑰加密新幣參數。接收方用私鑰掃描到交易內容后解密密文，生成新幣的序列號。礦工根據交易發(fā)起者給出的證明，確認承諾在承諾列表中且序列號未在花費列表中。由于每一枚幣都有唯一的一次性序列號表示，序列號的唯一性保證了匿名資產不能被雙重花費。

Zerocash在熔幣交易中采用ZKP技術證明用戶對交易輸入的所有權，而非采用簽名的方式解鎖未花費交易輸出，從而割裂了鑄幣交易與熔幣交易以及熔幣交易與熔幣交易之間的關聯(lián)性，使得攻擊者無法通過交易圖技術關聯(lián)不同交易。此外，在熔幣交易過程中，接收者的交易信息被加密，保護了接收者身份隱私。相較于Zerocoin，Zerocash改進如下：1）使用zk-SNARKs技術減少Zerocoin中證明所花費的存儲空間和驗證時間；2）支持可變金額的匿名交易和交易后找零；3）支持使用Zerocash直接向用戶支付。但是，Zerocash也存在缺點如下：1）需要可信的第三方設置系統(tǒng)的初始參數和公共參數，這會影響系統(tǒng)安全性；2）熔幣交易需要耗時2 min左右，交易效率低。

2.2.2基于環(huán)簽名算法的加密貨幣方案

環(huán)簽名算法最初是由Rivest等［47］提出，系統(tǒng)中只有地位相等的環(huán)成員而沒有管理者。在簽名過程中，簽名者的公私鑰和群里其他成員的公鑰混合在一起對消息簽名。在簽名驗證過程中，驗證者使用環(huán)參數和群成員的公鑰列表驗證簽名的有效性。驗證者只能驗證出群中有環(huán)成員對消息簽名，而無法確定具體的簽名者，從而保護了簽名者身份隱私。

Saberhagen［38］提出了一種基于環(huán)簽名和一次性公鑰的電子貨幣系統(tǒng)CryptoNote。為了實現交易接受者身份的不可鏈接性，CryptoNote采用一次性公私鑰技術為接收者生成接收地址，使得攻擊者難以推測出任何兩個交易輸出屬于同一個接收者。為了實現交易發(fā)起者身份的不可追蹤性，CryptoNote在可追溯環(huán)簽名機制的基礎上提出了一次性環(huán)簽名機制。該機制將真實的交易發(fā)起者隱藏于其他交易輸出地址中，實現對交易發(fā)起者身份的隱藏。CryptoNote的過程如下：

1）構造交易輸出地址。交易的發(fā)起者獲取接收者的公鑰，并生成一次性公鑰兼目的地址。

3）簽名驗證和雙花檢測。礦工對接收到的交易進行簽名驗證和雙花檢測。礦工根據簽名驗證算法驗證簽名的有效性，即簽名驗證通過后，礦工檢查密鑰鏡像是否在之前的簽名中被使用過。如果已經使用過，表明兩筆交易被同一密鑰簽署，即存在雙花現象。

4）接收交易。接收者通過用私鑰檢測上傳到區(qū)塊鏈的每筆交易確定目標交易，再計算一次性私鑰解密目標交易輸出。

CryptoNote通過結合不可鏈接的一次性公鑰和不可追蹤的一次性環(huán)簽名實現了交易與交易之間的不可關聯(lián)性，較好地保護了交易發(fā)起者和接收者身份。但是，隨著環(huán)成員增多，交易簽名的大小也會線性增長，給區(qū)塊鏈的存儲增加了負擔；此外，環(huán)簽名匿名性強度取決于環(huán)成員的數量。Liu等［39］采用帶有環(huán)簽名的輸出地址阻止混幣服務器學習輸入和輸出的映射關系，提出了一個不可鏈接的交易混合方案。

本節(jié)介紹了基于密碼學技術的身份隱私保護技術。目前對身份隱私保護技術所采取的隱私保護技術主要有ZKP、環(huán)簽名等。這些密碼學技術與混淆技術的原理類似，將真正的交易用戶隱藏于其他與交易無關的用戶中。與混幣技術相比，基于密碼學的身份隱私保護技術匿名性更強，但是存在較大的計算開銷和驗證開銷。表2總結了上述基于密碼學技術的身份隱私保護機制的優(yōu)缺點。

表2　基于密碼學技術的身份隱私保護機制的總結

3 交易數據隱私保護方案

目前針對交易數據的隱私保護方案主要依賴于密碼學技術，如同態(tài)加密［48-50］、可搜索加密［51］和屬性基加密［52-53］這3類技術。

同態(tài)加密技術提供了一種處理加密數據的工具［54-55］。許多學者采用同態(tài)加密技術對區(qū)塊鏈系統(tǒng)中的交易金額進行保密處理，以此保護交易隱私。Back［56］提出了“具有同態(tài)價值的比特幣”。Maxwell［48］在AdmBack工作的基礎上進行了完善和改進，提出了機密交易方案。該方案所采用的佩德森承諾機制具有加法同態(tài)特性［57］，礦工可以在不知曉交易金額的情況下驗證區(qū)塊鏈交易的收支平衡。承諾中不僅加入盲化因子防止惡意用戶暴力破解金額承諾值，還添加一個范圍證明以保證承諾的金額在0和特定值之間。該機密交易方案的流程包括3個步驟：1）金額盲化，交易者采用佩德森承諾對交易輸入金額和輸出金額盲化；2）金額范圍證明，交易者基于Borromean Ring Signatures技術［58］對每個輸入和輸出金額承諾值添加范圍證明；3）驗證，礦工驗證輸入金額承諾值總和與輸出金額承諾值總和是否平衡，根據范圍證明判斷被盲化的金額值是否為正值。但是，該方案對交易金額盲化后，交易接收者無法恢復原數據，需要額外的通信通道接收交易金額，而且機密交易所占空間是普通交易的60倍，給區(qū)塊鏈存儲帶來了負擔。Wang等［49］提出使用同態(tài)加密算法［59］對交易金額進行保密處理，如圖3所示，該過程為：

圖3　基于同態(tài)加密算法的交易金額保密方案示意圖

可搜索加密技術是搜索技術和加密技術的結合，支持對加密數據進行關鍵字搜索［62-63］。Liu等［51］結合區(qū)塊鏈技術與可搜索加密技術，實現對醫(yī)療數據隱私的保護。首先，數據擁有者對數據加密，并上傳至星際文件系統(tǒng)（Inter Planetary File System， IPFS）。若上傳成功，IPFS會返回數據存儲地址。數據擁有者通過訪問策略加密數據存儲地址、關鍵字索引以及數據密鑰，并將加密結果上傳至區(qū)塊鏈網絡。其次，數據查詢者利用自己的私鑰以及查詢的關鍵字計算搜索陷門，并調用搜索智能合約。若數據查詢者的屬性滿足訪問策略，合約將返回數據的存儲地址以及數據密鑰。最后，數據查詢者根據存儲地址從IPFS中下載數據。該方案基于許可鏈和分布式IPFS構建鏈上和鏈下的存儲模型，采用可搜索加密算法實現了數據的可信存儲、安全存儲、可驗證；但是搜索算法的計算開銷會隨著屬性數量的增加而線性增長，而且僅支持單一關鍵詞的搜索。

密文策略屬性基加密技術是一種可支持訪問控制的數據加密方式［64-65］，結合區(qū)塊鏈可以實現數據的隱私保護和訪問控制。Guan等［52］結合區(qū)塊鏈和屬性基加密技術，提出了一套智能電網交易數據隱私保護方案。該方案在密文策略屬性基加密（Ciphertext Policy Attribute-Based Encryption， CP-ABE）算法［66］的基礎上提出了一種可更新的雙層密文結構的屬性基加密算法，實現對交易數據的細粒度訪問控制。首先，用戶在客戶端發(fā)出賬戶注冊交易申請，系統(tǒng)采用類似比特幣賬戶生成算法為節(jié)點生成地址和私鑰。其次，交易發(fā)起者制定一個訪問策略并生成一個線性密鑰共享（Linear Secret-Sharing Scheme， LSSS）的訪問結構［67］，對第一層明文和第二層明文加密。第一層明文包含詳細的交易合同信息，第二層明文包括基本的交易信息，只有滿足訪問策略的交易用戶才能查看第二層明文。在獲取第二層明文的基礎上，產生交易意愿的節(jié)點可以通過應用獲得第一層明文。交易雙方就交易內容達成一致后，加密的交易合同將被傳播到網絡中，由記賬節(jié)點負責將交易信息打包成區(qū)塊，并加入區(qū)塊鏈。雙方發(fā)生爭議時，可以向仲裁節(jié)點申請仲裁。仲裁結果生成后，原始的密文被更新，形成新的交易記錄，以保證仲裁節(jié)點不會解密新的交易內容；但是隨著屬性的增多，計算開銷也線性增長。Li等［53］結合區(qū)塊鏈技術和CP-ABE，提出了一種基于區(qū)塊鏈的車用自組織網絡（Vehicular Ad-hoc NETwork， VANET）數據細粒度訪問控制方案。該方案使用區(qū)塊鏈替代第三方混合服務器管理用戶身份和存儲數據，并根據用戶屬性建立不同的VANET數據訪問權限；但是存儲在區(qū)塊鏈中的消息易導致數據冗余，給區(qū)塊鏈存儲帶來負擔。

本節(jié)從同態(tài)加密技術、可搜索加密技術和屬性基加密技術總結當前的交易數據隱私方案。同態(tài)加密技術可以對隱私數據進行合法性驗證，如交易輸入和輸出金額平衡性驗證，也適用于需要執(zhí)行隱私計算的數據。目前常用的同態(tài)加密算法有佩德森承諾算法、Paillier加密算法和ElGamal加密算法等。佩德森承諾是一種單向承諾，無法由承諾結果得到被承諾值，還需要額外的開銷傳輸明文值。Paillier加密算法中的承諾值可以被解密成明文，并且相較于采用佩德森諾算法的機密交易所占存儲空間更小。twisted ElGamal是一種加法同態(tài)加密算法，加解密效率優(yōu)于另外兩種。屬性基加密算法適用于對數據進行細粒度訪問控制，但是目前屬性基加密算法存在計算開銷隨屬性增長而線性增長、訪問策略暴露等問題?？伤阉骷用芗夹g實現了隱私數據的關鍵字搜索，但是存在搜索效率低的問題。表3總結了上述交易數據隱私保護方案的優(yōu)缺點。

表3　交易數據隱私保護方案的總結

4 兼顧監(jiān)管的交易身份隱私保護方案

隱私保護一方面增強用戶的隱私性，另一方面也給違法犯罪分子從事犯罪活動提供了可乘之機。在區(qū)塊鏈交易隱私保護基礎上實現交易監(jiān)管引起了學者們的高度關注［68］。

Li等［69］改進門羅幣［70］并提出可追蹤門羅幣（Traceable Monero）系統(tǒng)。該系統(tǒng)在原有系統(tǒng)基礎上增加了問責機制，一方面可以追蹤資金的流動軌跡，另一方面可以從一次性匿名地址中推測用戶的長期地址。為了追蹤交易雙方真實的交易地址，可追蹤門羅幣系統(tǒng)要求交易發(fā)起者基于ElGamal加密算法使用監(jiān)管者的公鑰加密關鍵隱私信息。在構造交易輸入時，交易發(fā)起者使用環(huán)簽名技術隱藏交易發(fā)起者身份，并將真實的交易輸入賬戶在交易輸入群中的索引加密；在構造交易輸出時，交易發(fā)起者對用戶的長期地址加密并作為標簽，以此構造一次性匿名地址。在發(fā)現可疑交易時，監(jiān)管者可以解密標簽和密文獲取關鍵信息，從而追蹤用戶交易過程。隨后，Lin等［71］提出了一種基于區(qū)塊鏈的去中心化條件匿名支付（Decentralized Conditional Anonymous Payment， DCAP）系統(tǒng)。該系統(tǒng)使用自更新的假名算法［72］在隱私和監(jiān)管之間取得平衡，不僅支持用戶匿名交易，還引入監(jiān)管部門監(jiān)控交易記錄。用戶借助自更新的假名算法基于長期公鑰派生出許多不可鏈接的匿名公鑰，并在匿名公鑰中嵌入監(jiān)管者公鑰。交易時，交易雙方采用匿名公鑰作為交易雙方賬戶。為了證明擁有對交易輸入的所有權，交易發(fā)起者借助知識簽名技術［73］證明擁有匿名公鑰所對應的私鑰。在追蹤可疑交易時，監(jiān)管者可以借助他的私鑰通過匿名公鑰反推長期公鑰，并根據公鑰信息查詢用戶證書以獲取它的真實身份。然而該方案采用未花費的交易輸出（Unspent Transaction Output， UTXO）記賬模型，盡管使用了匿名公鑰作為匿名賬號，卻沒有消除交易與交易之間的關聯(lián)性，對用戶身份隱私仍存在威脅；此外，監(jiān)管者擁有絕對的追蹤權限，安全性過于依賴監(jiān)管者。Androulaki等［74］提出了一套隱私保護下可審計的代幣系統(tǒng)，其中具有隱私保護可審計的貨幣系統(tǒng)結構［74］如圖4所示。為了實現隱私保護和可審計性，交易發(fā)起者基于ElGamail加密算法采用審計者的公鑰加密轉移交易信息，并采用ZKP技術證明交易信息被正確加密。在發(fā)行交易時，貨幣發(fā)行者發(fā)布基于承諾的代幣；在轉移交易時，交易發(fā)起者不直接引用歷史有效交易的代幣，而是通過向認證者提交認證請求的方式證明代幣的合法性，其中認證請求包含一個代幣（即承諾）。認證者收到此類請求后，檢查代幣是否包含在分類賬本的有效交易中，如果存在，認證者使用分布式閾值盲簽名技術［75-76］對代幣盲簽名。交易發(fā)起者在收到簽名后，通過ZKP技術向礦工證明代幣存在分類賬本中且自身已注冊，從而不暴露代幣的隱私信息。

圖4　具有隱私保護可審計的貨幣系統(tǒng)示意圖

Shao等［77］提出了一種基于標簽公鑰加密算法的隱私保護框架。該框架基于許可鏈，一方面為合法交易提供了不可鏈接性和匿名性，另一方面也為可疑交易提供了問責機制。交易發(fā)起者在發(fā)起交易前，需向屬性權威機構申請認證。屬性權威機構認證成功后，使用基于屬性的簽名算法［78］為交易發(fā)起者生成證書。在發(fā)起交易時，交易發(fā)起者采用基于標簽的公鑰加密算法［79］加密真實身份，并生成ZKP證明他的證書滿足訪問策略以及真實身份被正確加密。在交易追蹤時，追蹤節(jié)點集齊個解密分享后，就可以恢復真實的用戶身份。該方案采用基于標簽的公鑰加密算法，將追蹤不法用戶的權力分配給多個獨立的跟蹤成員，而不是依賴于單點管理，避免了權力的濫用，顯著改善了許可網絡中的用戶隱私保護和自主權，但是未能保護交易接收者身份隱私。

Barki等［80］提出了一種可追溯、可轉讓和可分割的數字貨幣系統(tǒng)，兼顧了合法用戶的隱私保護和非法用戶的身份追溯。該系統(tǒng)實現了中心化資產和去中心化資產的互相轉換。用戶可以將存在銀行的資產取出換做數字貨幣，以去中心化的方式匿名交易。在該數字貨幣系統(tǒng)中，銀行在僅知交易金額和不知對應的用戶接收地址的情況下，就可以采用部分盲簽名技術［81］對交易金額和用戶接收地址產生簽名，從而保證了交易的匿名性。用戶收到數字貨幣后，可以類似于比特幣那樣進行交易。為了實現交易的可審計性，該系統(tǒng)采用ElGamal加密算法加密用戶的身份公鑰，并利用ZKP的方式證明身份公鑰被正確加密；但是交易與交易之間存在鏈接性，關聯(lián)的交易特征容易成為攻擊者挖掘用戶身份的推手。

Yuen［82］提出了一種實現隱私交易、可認證且可審計的聯(lián)盟鏈（Private， Authenticated & Auditable Consortium blockchain， PAChain）。PAChain有交易發(fā)起者隱私、交易金額隱私和交易接收者隱私這3個獨立的保護模塊。在交易發(fā)起者隱私保護模塊中，發(fā)起者不直接引用未花費的交易輸出，而是采取匿名證書的形式證明擁有未花費的輸出。具體過程為：發(fā)送者采用離散對數知識簽名技術，向背書節(jié)點證明他擁有某未花費的交易輸出所對應的私鑰；背書節(jié)點驗證通過后，采用BBS群簽名算法［83］為該未花費交易輸出頒發(fā)證書；在之后的交易中，發(fā)起者采取ZKP的方式證明他擁有背書節(jié)點頒發(fā)的交易輸出證書。在交易金額隱私保護模塊中，發(fā)送者基于ElGamal加密算法使用審計者的公鑰加密交易輸入金額和輸出金額，并利用基于Boneh-Boyen signature的范圍證明算法［84］為承諾值中的金額提供區(qū)間證明。在交易接收者隱私保護模塊中，發(fā)起者根據接收者的長期公鑰生成一次性公鑰作為輸出地址，并采取ZKP技術證明接收者長期公鑰通過認證機構（Certification Authority， CA）認證。為了實現可審計，3個模塊中的關鍵信息，如發(fā)起者身份信息、交易金額和接收者身份信息，被審計者的公鑰加密。交易用戶可以調用3個模塊構造1個完整、隱私保護、可認證且可審計的交易，并且可以與Fabric融合；但是該方案過多地使用ZKP技術，導致交易所占存儲空間和驗證開銷較大，交易效率低。

Lin等［85］在Ethereum架構基礎上提出了一種面向加密貨幣的隱私保護的許可鏈架構（Privacy-preserving Permissioned blockChain， PPChain）。PPChain兼顧了用戶身份的匿名保護和可監(jiān)管性，以及數據的公開透明性和機密性。交易發(fā)起者生成一筆類似于以太坊的交易后，采用廣播加密算法［86］加密交易進行，并使用群簽名算法［87］對加密后的交易簽名。驗證節(jié)點使用群公鑰驗證簽名，若簽名正確，首先使用廣播加密中對應的私鑰解密密文，其次驗證交易金額是否超出世界狀態(tài)里的賬戶余額。若驗證正確，交易將被發(fā)送到記錄節(jié)點，由記錄節(jié)點提交到區(qū)塊鏈。該方案采用群簽名算法對交易簽名，既保證用戶身份的合法性，也支持追蹤不法用戶身份。該方案所采用的廣播加密算法實現了交易數據的隱私保護和接收者的匿名保護。但是驗證節(jié)點可以解密數據，窺探數據隱私，該架構對驗證節(jié)點可信度要求較高。

本節(jié)探討了基于身份隱私保護的監(jiān)管方案。在實現監(jiān)管方面，這些方案主要采用加密技術如ElGamal加密技術對用戶的身份標識公鑰加密，再配合ZKP技術保證加密的正確性，此外還可以利用群簽名的打開特性或者可反推的匿名算法揭露匿名身份。表4總結和對比了上述兼顧監(jiān)管的交易身份隱私保護方案的優(yōu)缺點。

表4　兼顧監(jiān)管的交易身份隱私保護方案的總結

5 未來研究工作

針對交易身份隱私保護、數據隱私保護和相應的監(jiān)管需求，目前已經有相應的解決方案，但是也存在一些不足，如安全性問題、計算開銷問題等。因此，未來可以從以下3個方向開展研究：

1）兼顧強安全性和高可用性的交易隱私保護技術研究。以數字貨幣為代表的應用場景對安全性和高可用性要求高。成熟的數字貨幣的資產安全性應得到保證，交易能及時處理。隱私保護技術的引入是為了保護數字貨幣系統(tǒng)的隱私性，但是不能為了隱私保護而降低實際需求。在隱私保護的實際過程中，一些隱私保護方案借助ZKP和環(huán)簽名等密碼學技術應對隱私威脅，但這些方案也引入一定的安全風險。例如Zerocash方案中所采用的簡潔的非交互式零知識證明（Zero-Knowledge Succinct Non-interactive ARgument of Knowledge， ZK-SNARK）技術依賴第三方生成秘密參數，因此第三方的可信性直接決定了整個系統(tǒng)的安全性。為此，未來可以考慮采用安全多方計算形式生成秘密參數［88］，以取代第三方。另外，現有隱私保護方案在性能上也存在一定不足，如采用ZKP技術需要大量的計算開銷和驗證開銷，這使它難以應用到一些對交易處理速度要求高的場景中［89］。為此，根據實際的應用場景，考慮對數據敏感性進行細粒度分類［90］，對于低敏感度數據，系統(tǒng)性能將作為首要參考因素；對于高敏感數據，強隱私保護性仍然是首要考慮因素，從而實現性能和隱私保護兩者的折中。

2）多方監(jiān)管技術研究。多方監(jiān)管技術對以金融鏈為代表的應用場景很有必要。以金融場景為例，我國的金融體系采用多方監(jiān)管的方式約束金融機構。多方監(jiān)管體制可以有效降低金融市場的成本，維持正常的金融秩序。區(qū)塊鏈技術應用到金融體系中也應保留多方監(jiān)管的特點。然而，目前的交易監(jiān)管方案大多僅支持單方監(jiān)管，單方監(jiān)管存在監(jiān)管權力濫用、隱私泄漏、單點故障等問題。要將區(qū)塊鏈技術落地，應考慮多方監(jiān)管。為此，可以考慮基于訪問控制策略、秘密分享［91］或安全多方計算［92］等機制向多個可信機構賦予監(jiān)管權力。

3）跨鏈操作中的隱私保護研究。隨著區(qū)塊鏈技術的不斷發(fā)展和創(chuàng)新，越來越多的數字貨幣涌現，區(qū)塊鏈技術在其他場景得到不斷深入應用，場景之間融合的需求也越來越多，如供應鏈之間的融合。然而，目前的區(qū)塊鏈系統(tǒng)大多是異構，鏈與鏈之間無法進行直接的數據流通［93］。在此背景下，打破區(qū)塊鏈間的數據孤島，實現不同區(qū)塊鏈之間的資產信息互通、原子性交易、服務互補等功能是必然的發(fā)展趨勢?？珂溂夹g在此發(fā)揮了巨大的作用，但是在跨鏈過程中易發(fā)生信息泄露、資產盜竊等，解決其中的隱私和安全問題，才有可能借助跨鏈技術將不同的區(qū)塊鏈連接成鏈聯(lián)網，實現應用場景的需求如資產轉移、信息共享等。當同一事務需要跨越多個區(qū)塊鏈系統(tǒng)執(zhí)行時，在保證數據高效性和一致性的前提下，降低隱私泄露的風險顯得尤為重要。所以，跨鏈操作中的隱私保護是未來的重要研究方向。為此，可以考慮將隱私智能合約［94］、可信硬件執(zhí)行環(huán)境［95］和身份認證［96］等手段結合，以解決跨鏈過程中存在的隱私泄露問題。

6 結語

區(qū)塊鏈技術有著廣闊的應用場景，在應用過程中所產生的交易隱私問題成為了研究者的重點研究方向。首先，本文將區(qū)塊鏈交易隱私分為身份隱私和數據隱私兩類，并給了相關的定義，并分析了隱私泄露的原因。針對身份隱私保護，本文從混幣機制和基于密碼學技術的身份隱私保護機制著手，總結了相應的解決方案。針對數據隱私保護方案，本文介紹了同態(tài)加密技術、可搜索加密技術、屬性基加密技術等相關解決方案。其次，針對身份隱私保護技術可能被不法分子利用的問題，還介紹了在身份隱私保護基礎上的監(jiān)管方案。最后，針對區(qū)塊鏈交易隱私保護方案存在的一些問題，本文展望了未來研究方向。

[1] NAKAMOTO S. Bitcoin： a peer-to-peer electronic cash system［EB/OL］. ［2022-07-21］.http：//bitcoin.org/bitcoin.pdf.

[2] 傅麗玉，陸歌皓，吳義明，等. 區(qū)塊鏈技術的研究及其發(fā)展綜述［J］. 計算機科學， 2022， 49（6A）：447-461， 666.（FU L Y， LU G H， WU Y M， et al. Review of research and development of blockchain technology［J］. Computer Science， 2022， 49（6A）：447-461， 666.）

[3] HAN X， YUAN Y， WANG F Y. A blockchain-based framework for central bank digital currency［C］// Proceedings of the 2019 International Conference on Service Operations and Logistics， and Informatics. Piscataway： IEEE， 2019：263-268.

[4] 李娟娟，袁勇，王飛躍. 基于區(qū)塊鏈的數字貨幣發(fā)展現狀與展望［J］. 自動化學報， 2021， 47（4）：715-729.（LI J J， YUAN Y， WANG F Y. Blockchain-based digital currency： the state of the art and future trends［J］. Acta Automatica Sinica， 2021， 47（4）： 715-729.）

[5] EL MANE A， CHIHAB Y， TATANE K， et al. Agriculture supply chain management based on blockchain architecture and smart contracts［J］. Applied Computational Intelligence and Soft Computing， 2022， 2022： No.8011525.

[6] 許蘊韜，朱俊武，孫彬文，等. 選舉供應鏈：基于區(qū)塊鏈的供應鏈自治框架［J］. 計算機應用， 2022， 42（6）：1770-1775.（XU Y T， ZHU J W， SUN B W， et al. Election-based supply chain： a supply chain autonomy framework based on blockchain［J］. Journal of Computer Applications， 2022， 42（6）： 1770-1775.）

[7] 吳芷菡，崔喆，劉霆，等. 基于區(qū)塊鏈的安全電子選舉方案［J］. 計算機應用， 2020， 40（7）：1989-1995.（WU Z H， CUI Z， LIU T， et al. Secure electronic voting scheme based on blockchain［J］. Journal of Computer Applications， 2020， 40（7）： 1989-1995.）

[8] 張伯鈞，李潔，胡凱，等. 基于區(qū)塊鏈的分布式加密投票系統(tǒng)［J］. 計算機科學， 2022， 49（11A）：679-684.（ZHANG B J， LI J， HU K， et al. Distributed encrypted voting system based on blockchain［J］. Computer Science， 2022， 49（11A）： 679-684.）

[9] 熊嘯，李雷孝，高靜，等. 區(qū)塊鏈在車聯(lián)網數據共享領域的研究進展［J］. 計算機科學與探索， 2022， 16（5）：1008-1024.（XIONG X， LI L X， GAO J， et al. Research progress of blockchain in internet of vehicles data sharing［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（5）： 1008-1024.）

[10] 陳葳葳，曹利，邵長虹. 基于區(qū)塊鏈技術的車聯(lián)網高效匿名認證方案［J］. 計算機應用， 2020， 40（10）：2992-2999.（CHEN W W， CAO L， SHAO C H. Blockchain based efficient anonymous authentication scheme for IOV［J］. Journal of Computer Applications， 2020， 40（10）： 2992-2999.）

[11] VARDHINI B， SHREYAS N D， SAHANA R， et al. A blockchain based electronic medical health records framework using smart contracts［C］// Proceedings of the 2021 International Conference on Computer Communication and Informatics. Piscataway： IEEE， 2021：1-4

[12] 林超，何德彪，黃欣沂. 基于區(qū)塊鏈的電子醫(yī)療記錄安全共享［J］. 計算機應用， 2022， 42（11）：3465-3472.（LIN C， HE D B， HUANG X Y. Blockchain?based electronic medical record secure sharing［J］. Journal of Computer Applications， 2022， 42（11）： 3465-3472.）

[13] JIANG C， RU C. Application of blockchain technology in supply chain finance［C］// Proceedings of the 5th International Conference on Mechanical， Control and Computer Engineering. Piscataway： IEEE， 2020：1342-1345.

[14] RON D， SHAMIR A. Quantitative analysis of the full Bitcoin transaction graph［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 6-24.

[15] 劉煒，彭宇飛，田釗，等. 基于區(qū)塊鏈的醫(yī)療信息隱私保護研究綜述［J］. 鄭州大學學報（理學版）， 2021， 53（2）：1-18.（LIU W， PENG Y F， TIAN Z， et al. A survey on medical information privacy protection based on blockchain［J］. Journal of Zhengzhou University （Natural Science Edition）， 2021， 53（2）： 1-18.）

[16] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護研究綜述［J］. 計算機研究與發(fā)展， 2017， 54（10）：2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey on privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）：2170-2186.）

[17] 王宗慧，張勝利，金石，等. 區(qū)塊鏈數據隱私保護研究［J］. 物聯(lián)網學報， 2018， 2（3）：71-81.（WANG Z H， ZHANG S L， JIN S， et al. Survey on privacy preserving techniques for blockchain［J］. Chinese Journal of Internet of Things， 2018， 2（3）：71-81.）

[18] 李旭東，牛玉坤，魏凌波，等. 比特幣隱私保護綜述［J］. 密碼學報， 2019， 6（2）：133-149.（LI X D， NIU Y K， WEI L B， et al. Overview on privacy protection in Bitcoin［J］. Journal of Cryptologic Research， 2019， 6（2）： 133-149.）

[19] 張奧，白曉穎. 區(qū)塊鏈隱私保護研究與實踐綜述［J］. 軟件學報， 2020， 31（5）：1406-1434.（ZHANG A， BAI X Y. Survey of research and practices on blockchain privacy protection［J］. Journal of Software， 2020， 31（5）： 1406-1434.）

[20] SAHAI S， SINGH N， DAYAMA P. Enabling privacy and traceability in supply chains using blockchain and zero knowledge proofs［C］// Proceedings of the 2020 IEEE International Conference on Blockchain. Piscataway： IEEE， 2020： 134-143.

[21] DI FRANCESCO MAESA D， MARINO A， RICCI L. Uncovering the Bitcoin blockchain： an analysis of the full users graph［C］// Proceedings of the 2016 IEEE International Conference on Data Science and Advanced Analytics. Piscataway： IEEE， 2016： 537-546

[22] REID F， HARRIGAN M. An analysis of anonymity in the Bitcoin system［C］// Proceedings of the 2011 IEEE International Conference on Privacy， Security， Risk and Trust/ Social Computing. Piscataway： IEEE， 2011： 1318-1326.

[23] MEIKLEJOHN S， POMAROLE M， JORDAN G， et al. A fistful of Bitcoins： characterizing payments among men with no names［C］// Proceedings of the 2013 Conference on Internet Measurement Conference. New York： ACM， 2013： 127-140.

[24] ANDROULAKI E， KARAME G O， ROESCHLIN M， et al. Evaluating user privacy in Bitcoin［C］// Proceedings of the 2013 International Conference on Financial Cryptography and Data Security， LNCS 7859. Berlin： Springer， 2013： 34-51.

[25] SHEN M， DUAN J， SHANG N， et al. Transaction deanonymization in large-scale Bitcoin systems via propagation pattern analysis［C］// Proceedings of the 2020 International Conference on Security and Privacy in Digital Economy， CCIS 1268. Singapore： Springer， 2020： 661-675.

[26] LONG T， XU J， FU L， et al. Analyzing and de-anonymizing Bitcoin networks： an IP matching method with clustering and heuristics［J］. China Communications， 2022， 19（6）： 263-278.

[27] 許重建，李險峰. 區(qū)塊鏈交易數據隱私保護方法［J］. 計算機科學， 2020， 47（3）： 281-286.（XU C J， LI X F. Data privacy protection method of block chain transaction［J］. Computer Science， 2020， 47（3）： 281-286.）

[28] BONNEAU J， NARAYANAN A， MILLER A， et al. Mixcoin： anonymity for Bitcoin with accountable mixes［C］// Proceedings of the 2014 International Conference on Financial Cryptography and Data Security， LNCS 8437. Berlin： Springer， 2014： 486-504.

[29] VALENTA L， ROWAN B. Blindcoin： blinded， accountable mixes for Bitcoin［C］// Proceedings of the 2015 International Conference on Financial Cryptography and Data Security， LNCS 8976. Berlin： Springer， 2015： 112-126.

[30] GREGORY M. CoinJoin： Bitcoin privacy for the real world［EB/OL］ （2013-08-22） ［2022-07-21］.http：//bitcointalk.org/index.php？topic=279249.0.

[31] DUFFIELD E， DIAZ D. Dash： a payments-focused cryptocurrency［EB/OL］ （2018-08-23） ［2022-07-21］.https：//github.com/dashpay/dash/wiki/Whitepaper.

[32] RUFFING T， MORENO-SANCHEZ P， KATE A. CoinShuffle： practical decentralized coin mixing for Bitcoin［C］// Proceedings of 2014 European Symposium on Research in Computer Security， LNCS 8713. Cham： Springer， 2014： 345-364.

[33] ZIEGELDORF J H， GROSSMANN F， HENZE M， et al. CoinParty： secure multi-party mixing of Bitcoins［C］// Proceedings of the 5th ACM Conference on Data and Application Security and Privacy. New York： ACM， 2015： 75-86.

[34] XIAO R， REN W， ZHU T， et al. A mixing scheme using a decentralized signature protocol for privacy protection in Bitcoin blockchain［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（4）： 1793-1803.

[35] LU N， CHANG Y， SHI W， et al. CoinLayering： an efficient coin mixing scheme for large scale Bitcoin transactions［J］. IEEE Transactions on Dependable and Secure Computing， 2022， 19（3）： 1974-1987.

[36] MIERS I， GARMAN C， GREEN M， et al. Zerocoin： anonymous distributed e-cash from Bitcoin［C］// Proceedings of the 2013 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2013： 397-411.

[37] BEN SASSON E， CHIESA A， GARMAN C， et al. Zerocash： decentralized anonymous payments from Bitcoin［C］// Proceedings of the 2014 International Symposium on Security and Privacy. Piscataway： IEEE， 2014： 459-474.

[38] SABERHAGEN N van. CryptoNote v 2.0［EB/OL］. （2013-10-17） ［2022-07-21］.https：//cryptonote.org/old/whitepaper.pdf.

[39] LIU Y， LIU X， TANG C， et al. Unlinkable coin mixing scheme for transaction privacy enhancement of Bitcoin［J］. IEEE Access， 2018， 6： 23261-23270.

[40] 王晨旭，程加成，桑新欣，等. 區(qū)塊鏈數據隱私保護：研究現狀與展望［J］. 計算機研究與發(fā)展， 2021， 58（10）：2099-2119.（WANG C X， CHENG J C， SANG X X， et al. Data privacy-preserving for blockchain： state of the art and trends［J］. Journal of Computer Research and Development， 2021， 58（10）：2099-2119.）

[41] CORRIGAN-GIBBS H， FORD B. Dissent： accountable anonymous group messaging［C］// Proceedings of the 17th ACM Conference on Computer and Communications Security. New York： ACM， 2010： 340-350.

[42] IBRAHIM M H， ALI I A， IBRAHIM I I， et al. A robust threshold elliptic curve digital signature providing a new verifiable secret sharing scheme［C］// Proceedings of the 46th IEEE International Midwest Symposium on Circuits and Systems — Volume 1. Piscataway： IEEE， 2003： 276-280.

[43] BLUM M， FELDMAN P， MICALI S. Non-interactive zero-knowledge and its applications［C］// Proceedings of the 20th Annual ACM Symposium on Theory of Computing. New York： ACM， 1988： 103-112.

[44] CAMENISCH J， LYSYANSKAYA A. Dynamic accumulators and application to efficient revocation of anonymous credentials［C］// Proceedings of the 2002 Annual International Cryptology Conference， LNCS 2442. Berlin： Springer， 2002： 61-76.

[45] SCHNORR C P. Efficient signature generation by smart cards［J］. Journal of Cryptology， 1991， 4（3）： 161-174.

[46] BEN-SASSON E， CHIESA A， GENKIN D， et al. SNARKs for C： verifying program executions succinctly and in zero knowledge［C］// Proceedings of the 2013 Annual International Cryptology Conference， LNCS 8043. Berlin： Springer， 2013： 90-108.

[47] RIVEST R L， SHAMIR A， TAUMAN Y. How to leak a secret： theory and applications of ring signatures［M］// GOLDREICH O， ROSENBERG A L， SELMAN A L. Theoretical Computer Science： Essays in Memory of Shimon Even， LNCS 3895. Berlin： Springer， 2006： 164-186.

[48] MAXWELL G. Confidential transactions［EB/OL］. ［2021-07-21］.https：//elementsproject.org/features/confidential-transactions.

[49] WANG Q， QIN B， HU J， et al. Preserving transaction privacy in Bitcoin［J］. Future Generation Computer Systems， 2020， 107： 793-804.

[50] CHEN Y， MA X， TANG C， et al. PGC： decentralized confidential payment system with auditability［C］// Proceedings of the 2020 European Symposium on Research in Computer Security， LNCS 12308. Cham： Springer， 2020： 591-610.

[51] LIU J， WU M， SUN R， et al. BMDS： a blockchain-based medical data sharing scheme with attribute-based searchable encryption［C］// Proceedings of the 2021 IEEE International Conference on Communications. Piscataway： IEEE， 2021： 1-6.

[52] GUAN Z， LU X， YANG W， et al. Achieving efficient and Privacy-preserving energy trading based on blockchain and ABE in smart grid［J］. Journal of Parallel and Distributed Computing， 2021， 147： 34-45.

[53] LI H， PEI L， LIAO D， et al. FADB： a fine-grained access control scheme for VANET data based on blockchain［J］. IEEE Access， 2020， 8： 85190-85203.

[54] RIVEST R L， ADLEMAN L M， DERTOUZOS M L. On data banks and privacy homomorphisms［M］// On Data Banks and Privacy Homomorphisms. Cambridge： Academic Press， 1978： 169-179.

[55] 楊亞濤，趙陽，張卷美，等. 同態(tài)密碼理論與應用進展［J］. 電子與信息學報， 2021， 43（2）：475-487.（YANG Y T， ZHAO Y， ZHANG J M， et al. Recent development of theory and application on homomorphic encryption［J］. Journal of Electronics and Information Technology， 2021， 43（2）： 475-487.）

[56] BACK A. Bitcoins with homomorphic value （validatable but encrypted）［EB/OL］. （2013-10-01） ［2022-07-21］.https：//bitcointalk.org/index.php？topic=305791.0.

[57] PEDERSEN T P. Non-interactive and information-theoretic secure verifiable secret sharing［C］// Proceedings of the 1991 Annual International Cryptology Conference， LNCS 576. Berlin： Springer， 1992： 129-140.

[58] MAXWELL G， POELSTRA A. Borromean ring signatures［EB/OL］. （2015-06-02） ［2021-07-21］.https：//raw.githubusercontent.com/Blockstream/borromean_paper/master/borromean_draft_0.01_34241bb.pdf

[59] PAILLIER P. Public-key cryptosystems based on composite degree residuosity classes［C］// Proceedings of the 1999 International Conference on the Theory and Applications of Cryptographic Techniques LNCS 1592. Berlin： Springer， 1999： 223-238.

[60] FUJISAKI E， OKAMOTO T. Statistical zero-knowledge protocols to prove modular polynomial relations［J］. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 1999， E82-A（1）： 81-92.

[61] 伍前紅，張鍵紅，王育民. 簡單證明一個承諾值在特定區(qū)間內［J］. 電子學報， 2004， 32（7）：1071-1073.（WU Q H， ZHANG J H， WANG Y M. Simple proof that a committed number is in a specific interval［J］. Acta Electronica Sinica， 2004， 32（7）： 1071-1073.）

[62] SONG D X， WAGNER D， PERRIG A. Practical techniques for searches on encrypted data［C］// Proceedings of the 2000 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2000：44-55.

[63] 李經緯，賈春福，劉哲理，等. 可搜索加密技術研究綜述［J］. 軟件學報， 2015， 26（1）： 109-128.（LI J W， JIA C F， LIU Z L， et al. Survey on the searchable encryption［J］. Journal of Software， 2015， 26（1）： 109-128.）

[64] 王生玉，汪金苗，董清風，等. 基于屬性加密技術研究綜述［J］. 信息網絡安全， 2019（9）：76-80.（WANG S Y， WANG J M， DONG Q F， et al. A survey of attribute-based encryption technology［J］. Netinfo Security， 2019（9）： 76-80.）

[65] 趙志遠，王建華，朱智強，等. 云存儲環(huán)境下屬性基加密綜述［J］. 計算機應用研究， 2018， 35（4）：961-968， 973.（ZHAO Z Y， WANG J H， ZHU Z Q， et al. Survey of attribute-based encryption in cloud storage environment［J］. Application Research of Computers， 2018， 35（4）： 961-968， 973.）

[66] WATERS B. Ciphertext-policy attribute-based encryption： an expressive， efficient， and provably secure realization［C］// Proceedings of the 2011 International Workshop on Public Key Cryptography， LNCS 6571. Berlin： Springer， 2011： 53-70.

[67] BEIMEL A. Secure schemes for secret sharing and key distribution［D］. Haifa： Technion-Israel Institute of Technology， 1996： 59-90.

[68] 王俊生，李麗麗，顏擁，等. 區(qū)塊鏈技術應用的安全與監(jiān)管問題［J］. 計算機科學， 2018， 45（6A）： 352-355， 382.（WANG J S， LI L L， YAN Y， et al. Security incidents and solutions of blockchain technology application［J］. Computer Science， 2018， 45（6A）： 352-355， 382.）

[69] LI Y， YANG G， SUSILO W， et al. Traceable Monero： anonymous cryptocurrency with enhanced accountability［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（2）： 679-691.

[70] SUN S F， AU M H， LIU J K， et al. RingCT 2.0： a compact accumulator-based （linkable ring signature） protocol for blockchain cryptocurrency Monero［C］// Proceedings of the 2017 European Symposium on Research in Computer Security， LNCS 10493. Cham： Springer， 2017： 456-474.

[71] LIN C， HE D， HUANG X， et al. DCAP： a secure and efficient decentralized conditional anonymous payment system based on blockchain［J］. IEEE Transactions on Information Forensics and Security， 2020， 15： 2440-2452.

[72] EUN H， LEE H， OH H. Conditional privacy preserving security protocol for NFC applications［J］. IEEE Transactions on Consumer Electronics， 2013， 59（1）： 153-160.

[73] CHASE M， LYSYANSKAYA A. On signatures of knowledge［C］// Proceedings of the 2006 Annual International Cryptology Conference， LNCS 4117. Berlin： Springer， 2006： 78-96.

[74] ANDROULAKI E， CAMENISCH J， DE CARO A， et al. Privacy-preserving auditable token payments in a permissioned blockchain system［C］// Proceedings of the 2nd ACM Conference on Advances in Financial Technologies. New York： ACM， 2020： 255-267.

[75] POINTCHEVAL D， SANDERS O. Short randomizable signatures［C］// Proceedings of the 2016 Cryptographers’ Track at the RSA Conference， LNCS 9610. Cham： Springer， 2016： 111-126.

[76] GENNARO R， JARECKI S， KRAWCZYK H， et al. Secure distributed key generation for discrete-log based cryptosystems［J］. Journal of Cryptology， 2007， 20（1）： 51-83.

[77] SHAO W， JIA C， XU Y， et al. AttriChain： decentralized traceable anonymous identities in privacy-preserving permissioned blockchain［J］. Computers and Security， 2020， 99： No.102069.

[78] EL KAAFARANI A， GHADAFI E， KHADER D. Decentralized traceable attribute-based signatures［C］// Proceedings of the 2014 Cryptographers’ Track at the RSA Conference， LNCS 8366. Cham： Springer， 2014： 327-348.

[79] GHADAFI E. Efficient distributed tag-based encryption and its application to group signatures with efficient distributed traceability［C］// Proceedings of the 2014 International Conference on Cryptology and Information Security in Latin America， LNCS 8895. Cham： Springer， 2015： 327-347.

[80] BARKI A， GOUGET A. Achieving privacy and accountability in traceable digital currency［EB/OL］. （2020-12-17） ［2022-07-21］.https：//eprint.iacr.org/2020/1565.pdf.

[81] BALDIMTSI F， LYSYANSKAYA A. Anonymous credentials light［C］// Proceedings of the 2013 ACM SIGSAC Conference on Computer and Communications Security. New York： ACM ， 2013：1087-1098.

[82] YUEN T H. PAChain： private， authenticated & auditable consortium blockchain and its implementation［J］. Future Generation Computer Systems， 2020， 112： 913-929.

[83] AU M H， SUSILO W， MU Y. Constant-size dynamic-TAA［C］// Proceedings of the 2006 International Conference on Security and Cryptography for Networks， LNCS 4116. Berlin： Springer， 2006： 111-125.

[84] CAMENISCH J， CHAABOUNI R， SHELAT A. Efficient protocols for set membership and range proofs［C］// Proceedings of the 2008 International Conference on the Theory and Application of Cryptology and Information Security， LNCS 5350. Berlin： Springer， 2008： 234-252.

[85] LIN C， HE D， HUANG X， et al. PPChain： a privacy-preserving permissioned blockchain architecture for cryptocurrency and other regulated applications［J］. IEEE Systems Journal， 2021， 15（3）： 4367-4378.

[86] ISLAM S H， KHAN M K， AL-KHOURI A M. Anonymous and provably secure certificateless multireceiver encryption without bilinear pairing［J］. Security and Communication Networks， 2015， 8（13）： 2214-2231.

[87] HO T H， YEN L H， TSENG C C. Simple-yet-efficient construction and revocation of group signatures［J］. International Journal of Foundations of Computer Science， 2015， 26（5）： 611-624.

[88] RIVINIUS M， REISERT P， RAUSCH D， et al. Publicly accountable robust multi-party computation［C］// Proceedings of the 2022 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2022： 2430-2449.

[89] 曹雪蓮，張建輝，劉波. 區(qū)塊鏈安全、隱私與性能問題研究綜述［J］. 計算機集成制造系統(tǒng)， 2021， 27（7） 2078-2094.（CAO X L， ZHANG J H， LIU B. Review on security， privacy， and performance issues of blockchain［J］. Computer Integrated Manufacturing Systems， 2021， 27（7）： 2078-2094.）

[90] SAHA S， MALLICK S， NEOGY S. Privacy-preserving healthcare data modeling based on sensitivity and utility［J］. SN Computer Science， 2022， 3（6）： No.482.

[91] MASHAHDI S， BAGHERPOUR B， ZAGHIAN A. A non-interactive （，）-publicly verifiable multi-secret sharing scheme［J］. Designs， Codes and Cryptography， 2022， 90（8）： 1761-1782.

[92] VEUGEN T. Secure multi-party computation and its applications［C］// Proceedings of the 2022 International Conference on Innovations for Community Services， CCIS 1585. Cham： Springer， 2022： 3-5.

[93] 孫浩，毛瀚宇，張巖峰，等. 區(qū)塊鏈跨鏈技術發(fā)展及應用［J］. 計算機科學， 2022， 49（5）： 287-295.（SUN H， MAO H Y， ZHANG Y F， et al. Development and application of blockchain cross-chain technology［J］. Computer Science， 2022， 49（5）： 287-295.）

[94] PEREZ A J， ZEADALLY S. Secure and privacy-preserving crowdsensing using smart contracts［J］. Computer Science Review， 2022， 43： No.100450.

[95] HOANG T T， DURAN C， SERRANO R， et al. Trusted execution environment hardware by isolated heterogeneous architecture for key scheduling［J］. IEEE Access， 2022， 10： 46014-46027.

[96] SHENG G， QIAN Q， ZHANG R， et al. A privacy-preserving identity authentication scheme based on the blockchain［J］. Security and Communication Networks， 2021， 2021： No.9992353.

Survey on privacy-preserving technology for blockchain transaction

XIE Qingqing1，2*， YANG Nianmin1，2， FENG Xia3

（1，，212013，；2（），212013，；3，，212013，）

Blockchain ledger is open and transparent. Some attackers can obtain sensitive information through analyzing the ledger data. It causes a great threat to users’ privacy preservation of transaction. In view of the importance of blockchain transaction privacy preservation， the causes of the transaction privacy leakage were analyzed at first， and the transaction privacy was divided into two types： the transaction participator’s identity privacy and transaction data privacy. Then， in the perspectives of these two types of transaction privacy， the existing privacy-preserving technologies for blockchain transaction were presented. Next， in view of the contradiction between the transaction identity privacy preservation and supervision， transaction identity privacy preservation schemes considering supervision were introduced. Finally， the future research directions of the privacy-preserving technologies for blockchain transaction were summarized and prospected.

blockchain; transaction privacy preservation; identity privacy; transaction data privacy; transaction supervision

1001-9081（2023）10-2996-12

10.11772/j.issn.1001-9081.2022101555

2022?10?18；

2023?01?09；

2023?01?10。

國家自然科學基金資助項目（62002139，62272203）；中國博士后科學基金資助項目（2019M651738）；江蘇省自然科學基金資助項目（BK20200886）。

謝晴晴（1990—），女，安徽宿州人，講師，博士，CCF會員，主要研究方向：區(qū)塊鏈監(jiān)管、應用密碼學； 楊念民（1998—），男，江西贛州人，碩士研究生，主要研究方向：區(qū)塊鏈監(jiān)管、數字貨幣； 馮霞（1983—），女，江蘇鎮(zhèn)江人，副教授，博士，主要研究方向：物聯(lián)網、認證協(xié)議、區(qū)塊鏈、應用密碼學。

TP309

A

This work is partially supported by National Natural Science Foundation of China （62002139， 62272203）， China Postdoctoral Science Foundation （2019M651738）， Natural Science Foundation of Jiangsu Province （BK20200886）.

XIE Qingqing， born in 1990， Ph. D.， lecturer. Her research interests include blockchain supervision， applied cryptography.

YANG Nianmin， born in 1998， M. S. candidate. His research interests include blockchain supervision， digital currency.

FENG Xia， born in 1983， Ph. D.， associate professor. Her research interests include internet of things， authentication protocol， blockchain， applied cryptography.