基于隱私保護的央行數(shù)字貨幣監(jiān)管審計架構*

陳逸濤，周志洪，陳恭亮

（上海交通大學，上海 200240）

0 引 言

自比特幣[1]誕生以來，基于區(qū)塊鏈技術的電子貨幣受到了強烈關注。區(qū)塊鏈為人們構建了一個理想的無中心的開放自治系統(tǒng)。通過一系列的底層密碼學的組合構建其有效的哈希鏈，從而形成了初步的信任鏈和監(jiān)管鏈，而合理的激勵機制和有效的共識機制，能不斷維持該信任鏈，人們可以在基于規(guī)則的前提下實現(xiàn)金融貨幣體系的自我管理。基于區(qū)塊鏈的電子貨幣系統(tǒng)是經(jīng)濟學家眼中理想的貨幣和金融系統(tǒng)。

但是，當前貨幣體系中鑄幣發(fā)行和交易支付中存在顯著的邊界，而該邊界的存在是國家對于貨幣管理的體現(xiàn)。為此，RSCoin[2]提出了雙層鏈架構，在無法短時間消除該邊界的前提下保留其邊界，通過雙層鏈機制上層為投放清算鏈實現(xiàn)其鑄幣投放及其央行對各個商業(yè)銀行和其他金融機構的清算管理，下層鏈構建其傳統(tǒng)的交易網(wǎng)絡，從而構筑其央行可管理的電子貨幣體系。但是，當前雙層鏈的監(jiān)管雖然可以做到有效的公開驗證，但是卻以隱私保護的缺失作為代價——通過公開所有交易使其參與者能夠驗證其完整性和正確性。這對于諸如交易咨詢機構等，依賴于保密決策的金融服務機構。同時，對于需要遵循類似GDRP[3]的相關數(shù)據(jù)隱私法律法規(guī)的組織也是不可容忍的。

央行數(shù)字貨幣作為法定數(shù)字貨幣，在流通和發(fā)行的過程中必然要做到在確保用戶隱私的前提下實行其高效和安全的監(jiān)管，做到對于違法交易的有效審計。而當前的對現(xiàn)有電子貨幣的監(jiān)管審計架構并不能對雙層鏈的央行數(shù)字貨幣形成有效監(jiān)管，故探索一種可行的基于隱私保護的對于央行數(shù)字貨幣的監(jiān)管和審計架構迫在眉睫。

本文對于央行電子貨幣的雙層鏈架構，探索性地提出了其安全有效的監(jiān)管和審計機制。利用承諾機制，本方案確保了交易內容的隱匿性；采用零知識證明，使其交易網(wǎng)絡的參與者可進行公開驗證來確保交易的正確性；對于需要審計的交易記錄，本方案使用基于兩方的門限Paillier[4]加密方案實現(xiàn)了其無需可信設置的審計功能。

1 預備知識

1.1 雙層鏈

雙層鏈是首先由RSCoin提出的央行電子貨幣方案，可以有效分離央行的發(fā)幣功能和商業(yè)銀行或者金融機構的交易功能，同時利用其公開賬本的性質實現(xiàn)其公開驗證的監(jiān)管和審計功能。本方案在下層鏈中不再使用其RScoin的兩階段共識機制，而是采用傳統(tǒng)區(qū)塊鏈的分布式賬本架構。本方案注重于雙層鏈的監(jiān)管和審計，所以其雙層鏈的模式有如下定義：下層鏈可以使用多中心或者無中心的分布式賬本模式，商業(yè)銀行的用戶賬戶對應于每一個用戶i；上層鏈每個商業(yè)銀行對應于央行有其相應的銀行賬戶，如圖1所示。

圖1 雙層鏈架構

步驟1～步驟3：用戶1發(fā)起交易請求，將金額v1分別轉入用戶2和用戶3對應的商業(yè)銀行賬戶，其金額分別為v2和v3。交易在其他驗證者處進行有效驗證，并且獲取其共識簽名，記錄于公開賬本中。

步驟4：在上層鏈央行獲取從下層鏈中獲取其記錄于公開賬本中的交易集，并進行相關的驗證。央行在初始階段根據(jù)其法幣的發(fā)行量，為其商業(yè)銀行確定其初始的銀行賬戶額度，作為其上層鏈的初始UTXO交易，并根據(jù)從下層鏈中獲取的交易集獲得商業(yè)銀行賬戶的資產變動情況。上層鏈同樣可以是一個多中心的區(qū)塊鏈架構，多個清算行從下層鏈中獲取交易集，之后經(jīng)由共識算法形成上層鏈的公共賬本，然后央行從其公開賬本中獲取各商業(yè)銀行的資產變動情況。

步驟5：需要審計時，審計機構從央行獲取需要審計的交易記錄和交易相關商業(yè)銀行的銀行賬戶信息。

1.2 密碼學假設

定義1（DDH假設）：群G是一個階為素數(shù)p的循環(huán)群，獨立隨機選取整數(shù)a,b,c∈Zp和生成元g∈G對于任意PPT敵手A，存在如下關系：

|Pr[A(g,ga,gb,gab)=1]-Pr[A(g,ga,gb,gc)=1]|≤ negl(λ)（1）

其中negl為可忽略函數(shù)，λ為安全參數(shù)。

定義2（DCR假設）：設p、q是兩個大素數(shù)N=pq，獨立隨機選取r∈ZN和y∈Z*N2。對于任意PPT敵手A，存在一個可忽略函數(shù)negl(λ),λ為安全參數(shù)，使其滿足關系：

1.3 基于兩方的門限Paillier加密系統(tǒng)

本方案采用的兩方的門限Paillier加密算法（TPS）在文獻[4]中有詳細說明。在本方案中，假設p0為交易發(fā)起者及其相關交易方，p1為審計機構，有以下4個多項式時間算法：

DKeyGen(1λ)：分布式生成RSA的合數(shù)N=pq，且不泄露其合數(shù)的分解因子p和q，其輸入是安全參數(shù)λ，輸出為參與方共同計算出來的RSA合數(shù)N。

Dsk(N,sk0,sk1)： 輸 入 是 DKeyGen(1λ)生 成 的RSA合數(shù)N，輸出為參與者的密鑰共享分片d0和d1。其中，輸入的sk0和sk1為p0和p1根據(jù)其DKeyGen生成的RSA合數(shù)N時產生的分解因子p和q的部分分量pi和qi，i∈{0,1}，各自生成sk0=N-p0-q0+1，sk1=-p1-q1， 其 輸 出 d0和 d1滿 足d0+d1=d≡1modN，d≡0mod φ(N)，從而確保參與者的私鑰生成是根據(jù)DKeyGen算法正確生成的。

Enc(N,m,r)：輸入消息m，隨機均勻選取隨機數(shù)r∈ZN以及Paillier的公鑰N，輸出為Paillier加密所產生的密文c。Paillier加密是IND-CPA安全的，其任意PPT敵手都不能通過密文來獲取相關的明文m的信息。

Dec(c,d0,d1)：輸入為Paillier的加密密文c以及p0和p1的密鑰共享分片d0和d1，輸出為明文m，p0計算其明文分量c0=csk0modN2，將其c0和對d0的承諾值發(fā)送給p1，同時p0發(fā)送其proof可以使其審計機構驗證其身份保證其sk0的正確性；之后p1自己計算cd1并驗證c=cd0·cd1成立，同樣p1也計算其明文分量c1=csk1modN2，對于d1的承諾值和sk1的zkproof，將其發(fā)送給p0驗證p1的身份，之后p0和p1都可以計算明文m=((c0·c1)modN2-1)/N。由于p0知道c的解密明文，可以進一步驗證p1私鑰和解密的正確性。

1.4 零知識證明

為了對抗其惡意敵手，且在不公開私有信息的前提下做到公開驗證，本方案中需要采用如下的零知識證明：

驗證其交易發(fā)起方使用Paillier加密的值c1和交易發(fā)起方的Pedersen承諾c2中的被承諾值相等，在其后的證明中由于這兩者直接證其不滿足soundness需要fujisaki承諾c3來作為證明橋梁：

驗證交易發(fā)起方的Pedersen承諾中被承諾值大于等于0：

驗證其交易的輸出值的總和與輸出值相等。

2 監(jiān)管設計

由于本方案是基于雙層鏈鎖建立的監(jiān)管審計架構，所以在監(jiān)管方面，對于下層鏈能使其在其保護交易內容的前提下實現(xiàn)對交易合法性的有效監(jiān)管，必要時在下層鏈可以進一步隱藏交易圖——隱藏交易發(fā)起者的身份，但其仍能保持交易監(jiān)管的有效性。對于上層鏈，央行為其主要的監(jiān)管方，央行需要驗證從下層鏈中獲取交易集的合法性，同時確保銀行賬戶的正確性——防止銀行賬戶出現(xiàn)負數(shù)，確保其金融市場的正常資金流動

2.1 監(jiān)管機制概況

方案中對應的下層鏈可以是一個多中心的區(qū)塊鏈交易網(wǎng)絡，承載著用戶的所有交易賬本。在本系統(tǒng)中定義就如同在比特幣中的交易定義，交易tx即交易發(fā)起方通過廣播該交易并使用共識機制使其UTXO的所有權發(fā)生變化，形成商業(yè)銀行之間的資金流動。該下層鏈的交易系統(tǒng)參與者包括交易tx的發(fā)起方和交易tx內容的接受方。對于該交易網(wǎng)絡中其他未參與方，對該交易通過零知識證明驗證、簽名以及哈希的驗證，對其交易的合法性、完整性進行相關驗證。

2.2 交易中的監(jiān)管構成

方案中對于下層鏈的商業(yè)銀行并未假設其交易行為永遠是誠實的。它假設這些商業(yè)銀行存在著企圖操縱賬戶偷取或者隱匿資產的可能性，同時這種假設也同樣適用于上層鏈的央行和其他清算機構?；谝陨峡紤]以及對于隱私的保護，本方案采用Pedersen承諾協(xié)議，隱藏同時綁定其交易值。Pedersen承諾具有統(tǒng)計意義上的隱藏性，即對于任意計算能力的敵手都不能僅從承諾值中猜測出被承諾值。同時，Pedersen承諾具有計算意義上的綁定性，即對于任意多項式敵手其不能在不更改承諾的條件下實現(xiàn)對被承諾值的更改。綁定性同時也意味著交易中資產不可被隨意增加或減少。

對于關于資產的交易有如下定律：（1）為確保被確認的交易的不可變性，在交易中流動資產不能被任意增加和減少，可知基于Pedersen承諾的綁定性可以得到有效保障；（2）交易的合法性，即要保證被確認交易中的各個資產的值始終大于等于零，交易發(fā)起方的賬戶有足夠的金額完成該筆交易的轉賬流程。這個在公開賬本中可以通過檢查交易內容和查看歷史交易的方式實現(xiàn)，但是對于方案中由于交易內容通過Pedersen承諾進行了隱匿處理，所以對于交易合法性的檢驗必須通過一系列零知識證明來完成。具體來說，對于監(jiān)管本方案使用proof L1∧ L2∧ L3。

2.2.1 Proof L1（πBalance）

式（7）用于檢驗對于一個交易的輸入總和與輸出總和是否完全相等，也確保了交易中的交易相關資產在總額上的不可變更性，是資產安全性的一個重要體現(xiàn)。

對于該proof通常采用sigma-proof[5]。proof生成過程如下。

公共輸入：所有輸出和輸入的Pedersen承諾值Cin和Cout，對于所有Pedersen承諾，從階數(shù)為大素數(shù)p的循環(huán)群G中獨立隨機選取其生成元g∈G和h∈G，對于任何人其loggh都是不可知的。

私有輸入：構成Pedersen承諾的被承諾值vin、vout和其所選的隨機數(shù)rin、rout。

步驟1：Prover隨機選取rvin,rvout,rrin,rrout,r0∈?p，計 算 αvin=grvinhrrin，αvout=grvouthrrout，α0=hr0， 將 αvin、αvout、α0發(fā)送給 Verifier。

步驟2：Verifier均勻隨機選取challenge e。

步 驟 3：Prover計 算 fvin=rvin+e·vin，fvout=rvout+e·vout，frin=rrin+e·rin，frout=rrout+e·rout，f0=r0+e·(rin-rout)， 并 將 fvin、fvout、frin、frout、f0發(fā) 送給Verify。

Verify 驗 證 gfvinhfrin=αvin·(Cin)e、gfvouthfrout=αvout·(Cout)e和hf0=α0(Cin/Cout)e這 3個等式是否成立。

此為sigma-proof交互式的證明過程，在公開賬本中需要使用非交互式證明，這里可以采用Fiat-Shamir變換[6]將交互式證明轉換為非交互的證明

Proof L2用于檢驗其交易中被承諾的交易資產數(shù)量始終為正，確保交易的安全性。對于輸出金額賬戶和輸入金額賬戶，確保不會因為出現(xiàn)負數(shù)而發(fā)生在一次交易中輸出賬戶出現(xiàn)資產增加而輸入賬戶出現(xiàn)資產減少的情況。直接采用Bulletproof[7]證明去交易的金額值大于等于零，這是因為Bulletproof所生產的proof的size相比傳統(tǒng)的范圍證明小，達到了O(log(n))，極大地減少了交易tx的size大小，且bulletproof相比與其他范圍證明如基于Borromean環(huán)簽名[8]的范圍證明其無需可信設置。這個特性使其更加適用于諸如保密交易[9]的公開驗證。

2.2.3 Proof L3

同L2相同，也是采用range Proof；與L2不同，L3需要證明其發(fā)起交易方交易發(fā)起的合法性，即下層鏈的商業(yè)銀行有資金來推動此次交易的生成，這是商業(yè)銀行向上層央行和清算機構的證明。由于央行在商業(yè)銀行加入下層鏈的交易網(wǎng)絡時根據(jù)實際的法幣發(fā)行和流通量給與商業(yè)銀行一定的儲備金，下層鏈交易發(fā)生時，交易發(fā)起者的商業(yè)銀行應始終保證其有足夠的資金發(fā)起，不去惡意創(chuàng)造資產。由于鏈上的數(shù)字貨幣有其國家作為保證可以以一定比例進行交換，所以下層商業(yè)銀行創(chuàng)造資產會造成通貨膨脹，影響國家經(jīng)濟。一個簡單的想法即由于上層鏈中對于每個商業(yè)銀行賬戶、央行和清算機構有其最初為其分配的儲備金的Pedersen承諾，由于Pedersen承諾的隱藏性，該承諾值對于下層鏈的所有商業(yè)銀行是公開的，且央行和清算機構會根據(jù)其從下層鏈獲取的交易集通過Pedersen承諾的同態(tài)性，在不公開資金的情況下，根據(jù)交易中的輸入和輸出定時變更各個商業(yè)銀行的儲備金。由于各個其承諾值是公開的，上層鏈從下層鏈獲取的交易集對于各個商業(yè)銀行也是可知的，所以央行只能根據(jù)獲取的交易集變更儲備金，從而杜絕央行惡意變更商業(yè)銀行資產的行為。

對于該證明，可以通過證明在上層鏈中當前儲備金的range proof來證明。但是，考慮到上層鏈的儲備金并不是實時變更，所以該證明中還需要加上下層鏈中與交易發(fā)起者相關的被認可的交易的儲備金的承諾值。在上層鏈從下層鏈收取交易的間隔，可以視作上層鏈對其各個商業(yè)銀行的賬戶進行鎖定時間，未進入上層鏈的交易，但是與需要證明交易的發(fā)起方相關的交易稱之為掛起的交易。對于本方案來說，由于上層鏈會定時收取下層鏈的交易，所以無需人為刻意去對其進行處理，但是每次上層鏈獲取交易時必須按照交易的先后順序放入上層鏈（在時間服務器同步的情況下，可以根據(jù)時間戳進行判斷），同時在交易發(fā)起方生成相關零知識證明時，需要將所有與交易發(fā)起方所在的商業(yè)銀行賬戶相關的掛起的交易都考慮到其零知識證明中。

3 審計設計

3.1 審計機制概況

定義審計：央行在交易監(jiān)管時針對某一可疑交易向審計部門提出審計請求，審計部門解密交易中被加密的交易資金的密文。在本方案中，交易發(fā)起方采用Paillier加密系統(tǒng)加密交易資金。由于Paillier加密保證其在沒有私鑰的情況下，任意多項式時間敵手都不能分辨密文。同時，與Pedersen承諾進行綁定，通過零知識證明保證其Pedersen承諾的被承諾值與被加密值相等。對于解密，通過分布式可驗證的密鑰分享策略，使其監(jiān)管方在整個審計流程中始終不能獲取完整的私鑰，而需要被審計的交易相關利益方不能使用其錯誤的解密密鑰進行部分解密操作。

3.2 交易中的審計構成

為了實現(xiàn)審計功能，方案采用Paillier加密和密鑰分享策略。在下層鏈的tx交易中，對交易的各方使用其各自公開的Paillier公鑰進行輸入和輸出金額的加密。同時，為了實現(xiàn)完成其審計功能，對于上層鏈在監(jiān)管方面只隱藏交易內容，我們在使用央行的公鑰，對其輸入和輸出交易方的身份ID進行加密。這里只需確保其身份ID在解密前外不任意人知曉和更改，這里可以采用IND-CCA2安全的加密策略即可。如果下層鏈不需要隱藏交易圖，也可以在交易中直接公開。

審計功能實現(xiàn)的關鍵在于用于審計的Paillier加密和用于監(jiān)管和隱藏的Pedersen承諾需要進行相關的綁定，即要保證其被承諾值和被加密值相等。Douglas在混淆證明論文[10]中，提出其Paillier加密和Pedersen進行綁定proof需其fujisaki承諾[11]作為中間橋梁，因為Paillier加密是基于RSA的二次剩余假設，所以對于公鑰N的分解因子是未知的，而傳統(tǒng)的Pedersen承諾是一個基于已知素數(shù)的模來進行運算的，直接證明其soundness無法滿足。以下是對其相關的零知識證明，方法與文獻[12]類似，即proof L4：

孝文化是中國傳統(tǒng)道德的核心，是大學生人格修養(yǎng)中必須恪守的倫理規(guī)范。孝道的核心價值在現(xiàn)代社會仍然發(fā)揮著不可估量的作用。它在維護家庭和社會穩(wěn)定方面的作用不容忽視?！缎⒔?jīng)》中提出“身體發(fā)膚，受之父母”，引導大學生在人格修養(yǎng)中，首先要愛惜自己的身體，尊重生命。其次，孝的內涵從“善事父母”的家庭責任和義務出發(fā)，開始由家庭倫理泛化到處理人與人之間關系的社會倫理道德規(guī)范，形成多重的文化內涵，甚至上升為國家意識形態(tài)，滲透于社會生活的方方面面，比如當今社會推崇的敬老、愛老、養(yǎng)老風氣仍然在大學生人格修養(yǎng)中得到繼承和發(fā)揚。

Paillier的公鑰為N，Pedersen承諾中的模為p在本方案中取安全素數(shù)q，滿足q|p-1。

步驟1：Prover隨機選取d∈Z2l+2k,l為其v的大小，k為安全參數(shù)，之后選取Prover計 算Z=g3dh3rzmod p，并將其X、Y、Z、Ce、Cp、CF發(fā)送給Verifier。

步驟2：Verify均勻隨機選取e，將其發(fā)送給Prover。

步 驟 3：Prover計 算 f=d+e·v，fx=rxere，fy=ry+e·rF，fz=rz+e·rp， 將 f、fx、fy、fz發(fā) 送 給Verifier驗證：

如果f在其范圍內且3個等式成立，則接受proof L4；否則，拒絕。

為確保審計的正確性，本方案采用文獻[4]的分布式RSA合數(shù)N生成算法DKeyGen，保證其生成的合數(shù)不偏向任何一方。同時，采用Dsk算法生成可以驗證的分布式私鑰，在其解密時遵循Dec算法進行相互認證，并通過零知識證明確保各自提交的解密密文使用的明文分量時使用的解密密鑰是正確的。文獻[4]提供的是基于兩方的門限分布式Paillier加密算法，對多方進行審計時也可以使用其PVSS[13]作為可驗證的密鑰共享方案。文獻[14]提供了使用PVSS的門限Paillier加密算法。

4 安全性分析

回顧交易的監(jiān)管和審計構成，其交易的構成如下：

其中Comp(v)是對v的Pedersen承諾，Enc(ID)為使用央行的公鑰對其輸入輸出交易方的身份ID的加密密文，ComF(v)是對v的fujisaki承諾，Encp(v)為對v的Paillier加密密文L1,L2,L3,L4在第2節(jié)和第3節(jié)的零知識證明，σtx為其交易發(fā)起方對于該交易的簽名。從交易結構中可以清楚了解，Pedersen承諾保證了交易內容的隱匿性和綁定性，通過L2范圍證明保證其輸入和輸出的合法性，通過L3保證整個交易的合法性，L1保證交易發(fā)起方發(fā)起交易的合法性，而L4保證了審計所需的加密密文與其交易中的Pedersen承諾是相關的。對于簽名，則進一步確保了整個交易環(huán)節(jié)中交易的完整性和不可篡改性。方案由于在交易中使用了央行的公鑰對其交易方的身份ID進行加密，故對于上層鏈其交易圖是不隱藏的，同時對于下層鏈使用環(huán)簽名進行交易圖的隱藏。由于上層鏈只要確保央行不對其進行公開，下層鏈的各個節(jié)點是無法知道其歷史交易的交易相關方的身份。方案中由于審計需要解密，故將此操作放在鏈下，同時審計雙方在事先使用PVSS或者基于兩方的可驗證密鑰共享策略和分布式解密，實現(xiàn)其公開可驗證的無需可信設置的審計方案，且在雙方未泄露各自私鑰的前提下，審計機構無法獨立獲取被審計的交易的具體信息。

5 結 語

本文提出了一種基于隱私保護前提下的央行數(shù)字貨幣監(jiān)管審計架構，確保了雙層鏈架構的央行數(shù)字貨幣的安全性、隱私保護性和可監(jiān)管審計性。在隱私保護和可監(jiān)管性的考量下，對于監(jiān)管僅需要對于上層鏈形成交易內容的隱藏，而在下層鏈不僅可以實現(xiàn)對交易內容的隱藏，也可以根據(jù)需求選擇性實現(xiàn)對交易圖的隱藏，從而保證其央行電子貨幣在交易鏈上的隱私受到保護。對于監(jiān)管，使用其Pedersen承諾保證交易內容的隱藏和不可更改性，同時采用零知識證明確保交易的正確性和交易發(fā)起方發(fā)起交易的合法性。對于審計，采用可驗證的密鑰共享算法和基于門限的Paillier加密算法，確保審計者和被審計者都能正確執(zhí)行審計流程，保證審計的正確性。審計私鑰的分片確保了審計機構的審計行為不會破壞其他交易的隱私保護的特性，同時審計者和被審計者通過零知識證明驗證了各自的審計私鑰也有助于確認雙方的身份。對于具有隱私保護特性的保密交易的Front-running問題，本文只是基于理想共識，在上層鏈交易集收取的基礎上進行了簡單處理，但是基于實際的共識機制的處理還需做進一步的深入研究。