區(qū)塊鏈與數(shù)字貨幣匿名技術(shù)的演化

（中共中央黨校，北京 100091）

2008 年，中本聰在《比特幣：一種點(diǎn)對(duì)點(diǎn)的電子現(xiàn)金系統(tǒng)》一文中首次提出了區(qū)塊鏈的相關(guān)概念。2009 年，比特幣系統(tǒng)正式上線，區(qū)塊鏈作為比特幣的核心技術(shù)開始進(jìn)入人們的視野。10 多年來(lái)，區(qū)塊鏈技術(shù)經(jīng)歷了由“數(shù)字貨幣層級(jí)的1.0 時(shí)代”、“數(shù)字貨幣與智能合約相結(jié)合的2.0 時(shí)代”到“超越貨幣、金融與市場(chǎng)應(yīng)用的3.0 時(shí)代”的快速發(fā)展，應(yīng)用范圍不斷擴(kuò)展至醫(yī)療、教育、公益、社交、版權(quán)等諸多領(lǐng)域，“區(qū)塊鏈+”模式已成為推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的重要力量。在上述領(lǐng)域中，區(qū)塊鏈在數(shù)字貨幣中的應(yīng)用最為成熟，區(qū)塊鏈與密碼學(xué)技術(shù)的有效融合為實(shí)現(xiàn)數(shù)字貨幣的可控匿名性提供了技術(shù)保障。

一、問(wèn)題的提出

數(shù)字貨幣是互聯(lián)網(wǎng)時(shí)代商品經(jīng)濟(jì)發(fā)展的產(chǎn)物。從本質(zhì)上講，數(shù)字貨幣可被視作是經(jīng)過(guò)加密處理，包含發(fā)行方、發(fā)行金額、流通要求、時(shí)間約束以及智能合約等關(guān)鍵信息的字符串[1]。數(shù)字貨幣主要包括基于E-Cash 系統(tǒng)的數(shù)字貨幣與基于區(qū)塊鏈技術(shù)的數(shù)字貨幣兩類[2]。在基于區(qū)塊鏈技術(shù)的數(shù)字貨幣中，根據(jù)發(fā)行主體的不同，可以將其分為法定數(shù)字貨幣與非法定數(shù)字貨幣；在非法定數(shù)字貨幣中，根據(jù)組織結(jié)構(gòu)的不同，可以進(jìn)一步分為中心化非法定數(shù)字貨幣與去中心化非法定數(shù)字貨幣（見(jiàn)表1）。

表1 基于區(qū)塊鏈技術(shù)的數(shù)字貨幣

可控匿名性是數(shù)字貨幣的重要特性，它具有雙重意蘊(yùn)。一方面，匿名性理應(yīng)賦予數(shù)字貨幣保護(hù)用戶隱私的正向功能；另一方面，匿名性不應(yīng)使數(shù)字貨幣淪為少數(shù)人進(jìn)行金融犯罪的工具。

實(shí)現(xiàn)數(shù)字貨幣的可控匿名性需要強(qiáng)有力的技術(shù)支撐，區(qū)塊鏈?zhǔn)瞧渲械年P(guān)鍵要素。區(qū)塊鏈?zhǔn)且环N具有去中心化特點(diǎn)的分布式賬本數(shù)據(jù)庫(kù)，它以P2P網(wǎng)絡(luò)作為通信載體，通過(guò)密碼學(xué)確定所有權(quán)與保障隱私，通過(guò)分布式系統(tǒng)共識(shí)框架保障內(nèi)部一致性，從而能夠?qū)崿F(xiàn)低成本高效率的價(jià)值傳遞[3]。根據(jù)記錄權(quán)利的歸屬，可以將區(qū)塊鏈分為公有鏈、聯(lián)盟鏈與私有鏈（見(jiàn)表2）。在公有鏈中，所有節(jié)點(diǎn)共同參與記錄維護(hù)；在聯(lián)盟鏈中，由預(yù)先指定的節(jié)點(diǎn)參與記錄維護(hù)；在私有鏈中，只由單一節(jié)點(diǎn)參與記錄維護(hù)。

已有研究主要圍繞數(shù)字貨幣的交易技術(shù)、安全技術(shù)與信用保障技術(shù)等方面展開，對(duì)數(shù)字貨幣匿名技術(shù)的系統(tǒng)研究相對(duì)較少。本文從區(qū)塊鏈技術(shù)治理的視角出發(fā)，梳理數(shù)字貨幣匿名技術(shù)的發(fā)展歷程，探討其中存在的基本問(wèn)題與可能的優(yōu)化路徑。

表2 公有鏈、聯(lián)盟鏈與私有鏈的對(duì)比

二、基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名技術(shù)

E-Cash 是一種以數(shù)據(jù)形式流通的貨幣，它最早由Chaum 提出，后來(lái)經(jīng)過(guò)Juels、Foteini 等人不斷發(fā)展完善。在基于E-Cash 系統(tǒng)的數(shù)字貨幣中，匿名性主要通過(guò)盲簽名、信任標(biāo)識(shí)與可擴(kuò)展簽名等技術(shù)實(shí)現(xiàn)（見(jiàn)表3）。

表3 基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名技術(shù)

在Chuam 的設(shè)計(jì)中，E-Cash 系統(tǒng)能夠通過(guò)盲簽名技術(shù)實(shí)現(xiàn)強(qiáng)匿名性。一方面，在貨幣發(fā)行時(shí)，簽名要經(jīng)過(guò)盲化處理，能夠確保銀行無(wú)法獲得用戶的相關(guān)信息；另一方面，在銀行從商家收取貨幣時(shí)，商家只能看到銀行簽名而非用戶簽名。在基于盲簽名技術(shù)的E-Cash 系統(tǒng)中，即使銀行與商家聯(lián)合起來(lái)也無(wú)法有效追蹤貨幣的使用情況，從而有效保護(hù)了用戶的隱私。

在E-Cash 的應(yīng)用過(guò)程中，人們發(fā)現(xiàn)Chuam 的方案存在運(yùn)行效率較低、金融監(jiān)管困難等問(wèn)題。為了改善E-Cash 系統(tǒng)，Juels 在Chaum 方案的基礎(chǔ)上，引入了基于“信任標(biāo)識(shí)”技術(shù)的第三方追蹤機(jī)制[4]。在Juels 的設(shè)計(jì)中，用戶可以向可信第三方申請(qǐng)“信任標(biāo)識(shí)”并儲(chǔ)存，在需要時(shí)能夠通過(guò)第三方追查貨幣流通過(guò)程中持有者的相關(guān)信息。Juels 的方案提升了E-Cash 系統(tǒng)的運(yùn)行效率，但其匿名性會(huì)受到第三方可信度的影響。

Foteini 等人提出了E-Cash 系統(tǒng)的另一種改進(jìn)方案：他們通過(guò)引入可擴(kuò)展簽名技術(shù)，構(gòu)建可傳遞的數(shù)字貨幣交易系統(tǒng)。在Foteini 的方案中，用戶能夠根據(jù)消息n 的簽名計(jì)算消息n'的簽名，以此為基礎(chǔ)實(shí)現(xiàn)了觀察后接收、花費(fèi)后觀察與花費(fèi)后接收完全匿名性[5]。Foteini 的方案解決了基于E-Cash 系統(tǒng)的數(shù)字貨幣不可傳遞的問(wèn)題，進(jìn)一步提升了基于E-Cash 系統(tǒng)的數(shù)字貨幣匿名性，但這一方案同樣存在著金融監(jiān)管困境。

總體來(lái)看，在盲簽名、信任標(biāo)識(shí)與可擴(kuò)展簽名等技術(shù)的支撐下，基于E-Cash 系統(tǒng)的數(shù)字貨幣具有較強(qiáng)的匿名性，但由于這類系統(tǒng)存在不可拆分、不可聚合等問(wèn)題，不利于進(jìn)行大量交易[6]。

三、基于公有鏈的去中心化非法定數(shù)字貨幣匿名技術(shù)

去中心化的非法定數(shù)字貨幣，是指以個(gè)人信用擔(dān)保發(fā)行的數(shù)字貨幣，主要包括比特幣、達(dá)世幣、門羅幣等，它們建立在公有鏈的基礎(chǔ)之上。在去中心化非法定數(shù)字貨幣中，匿名性主要通過(guò)假名、混幣、環(huán)簽名、零知識(shí)證明等技術(shù)實(shí)現(xiàn)（見(jiàn)表4）。

表4 基于公有鏈的去中心化數(shù)字貨幣匿名技術(shù)

比特幣（Bitcoin）是第一種去中心化的數(shù)字貨幣，也是最受用戶歡迎的數(shù)字貨幣之一。據(jù)不完全統(tǒng)計(jì)，截至2020 年3 月底，全世界共有5 290 多種數(shù)字貨幣，總市值達(dá)1 800 多億美元，其中比特幣市值超過(guò)1 148 億美元，占世界數(shù)字貨幣總市值60%以上。比特幣主要運(yùn)用假名技術(shù)實(shí)現(xiàn)匿名性。在比特幣交易過(guò)程中，運(yùn)行系統(tǒng)通過(guò)地址標(biāo)識(shí)買賣雙方，避免了直接使用賬戶進(jìn)行交易存儲(chǔ)與管理；用戶在不同交易中可以更換地址，從而阻斷交易行為與用戶身份的直接關(guān)聯(lián)。然而，隨著比特幣遭受攻擊日益頻繁，研究者發(fā)現(xiàn)：這種運(yùn)用其他符號(hào)替代用戶賬戶進(jìn)行交易的假名技術(shù)所能提供的匿名性比較有限。攻擊者可以運(yùn)用統(tǒng)計(jì)規(guī)律與背景知識(shí)發(fā)起有效攻擊：第一，攻擊者能夠根據(jù)交易記錄，對(duì)交易地址進(jìn)行關(guān)聯(lián)；第二，攻擊者能夠根據(jù)信息地址，進(jìn)行標(biāo)簽化標(biāo)注；第三，攻擊者能夠結(jié)合背景知識(shí)，繪制交易分析圖，并運(yùn)用拓?fù)浼夹g(shù)映射用戶真實(shí)身份。

達(dá)世幣（Dash）在比特幣基礎(chǔ)上進(jìn)行了技術(shù)改良，通過(guò)引入混幣技術(shù)Coinjoin，提升了交易的匿名性。達(dá)世幣網(wǎng)絡(luò)中新加入主節(jié)點(diǎn)，并將Coinjoin 作為協(xié)議內(nèi)容的一部分。在發(fā)起達(dá)世幣匿名交易請(qǐng)求時(shí)，單筆交易會(huì)被分解成數(shù)筆更小的交易發(fā)送至不同的主節(jié)點(diǎn)，并與其他交易進(jìn)行混合，以此增加攻擊者通過(guò)數(shù)額推測(cè)交易相關(guān)性的難度。需要說(shuō)明的是，Coinjoin 技術(shù)為達(dá)世幣提供的匿名性是有限的：一方面，提供服務(wù)的第三方能夠追蹤混幣交易的流向；另一方面，達(dá)世幣交易中也存在主節(jié)點(diǎn)被控制以及惡意用戶參與混幣交易的風(fēng)險(xiǎn)。

為了解決上述問(wèn)題，門羅幣（Monero）通過(guò)引入環(huán)簽名與隱蔽地址技術(shù)，提供了一種不依賴于中心節(jié)點(diǎn)的數(shù)字貨幣匿名方案。門羅幣的用戶持有兩對(duì)公私鑰對(duì)，用于生成一次性密鑰對(duì)；在貨幣交易時(shí)，用戶使用一次性公私鑰計(jì)算key image，并選擇一個(gè)公鑰集合進(jìn)行環(huán)簽名；當(dāng)環(huán)簽名系統(tǒng)成員數(shù)量為n時(shí)，攻擊者將單筆交易輸入地址與輸出地址關(guān)聯(lián)起來(lái)的概率不會(huì)超過(guò)1/n。同時(shí)，貨幣交易的發(fā)送者借助接受者的地址與一個(gè)隨機(jī)數(shù)生成隨機(jī)地址，隨機(jī)數(shù)只由發(fā)送者掌握，進(jìn)一步提升了門羅幣交易系統(tǒng)的匿名性。然而，門羅幣所使用的技術(shù)從本質(zhì)上看仍屬于混合方案，因此在交易過(guò)程中也會(huì)遇到與達(dá)世幣相似的問(wèn)題。

零鈔（Zerocash）引入的零知識(shí)證明技術(shù)，被視作是打破數(shù)字貨幣混合方案局限性的重要嘗試。在貨幣交易中，系統(tǒng)運(yùn)用承諾函數(shù)將交易發(fā)送者、交易接受者與交易金額等信息進(jìn)行封裝；在驗(yàn)證過(guò)程中，系統(tǒng)運(yùn)用零知識(shí)證明將需要驗(yàn)證的信息轉(zhuǎn)化為一個(gè)多項(xiàng)式驗(yàn)證問(wèn)題，身處其中的證明者與驗(yàn)證者只需要交換少量信息就能夠完成驗(yàn)證。相關(guān)研究表明，零鈔是目前匿名性最好的數(shù)字貨幣之一[7]。但是運(yùn)用零知識(shí)證明技術(shù)會(huì)產(chǎn)生大量的時(shí)間與計(jì)算開銷，這成為制約零鈔發(fā)展的效率瓶頸。

與E-Cash 系統(tǒng)相比，基于公有鏈的去中心化非法定數(shù)字貨幣匿名技術(shù)更加豐富，同時(shí)推動(dòng)了數(shù)字貨幣傳遞、拆分與聚合等功能的優(yōu)化。但兩者也存在著共同問(wèn)題：隨著匿名性能的提升，系統(tǒng)的運(yùn)行效率會(huì)受到明顯影響。

四、基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣匿名技術(shù)

中心化非法定數(shù)字貨幣，是指JP Morgan、IBM、Facebook 等以企業(yè)信用背書發(fā)行的數(shù)字貨幣[8]，主要包括摩根幣、天秤幣等，它們建立在聯(lián)盟鏈與私有鏈的基礎(chǔ)之上。在中心化非法定數(shù)字貨幣中，匿名性主要通過(guò)Quorum、CoCo 框架等技術(shù)實(shí)現(xiàn)（見(jiàn)表5）。需要指出的是，聯(lián)盟鏈與私有鏈沒(méi)有強(qiáng)烈的激勵(lì)社區(qū)成員的現(xiàn)實(shí)需要，因此并不都具有專屬的數(shù)字貨幣。

2019 年2 月，JP Morgan 在其開發(fā)的私有鏈項(xiàng)目Quarum上發(fā)行摩根幣（JPM Coin）。在Quorum 項(xiàng)目中，貨幣交易數(shù)據(jù)被分成public 和private 部分，根據(jù)約定協(xié)議進(jìn)行數(shù)據(jù)交互；系統(tǒng)允許用戶運(yùn)用PrivateFor語(yǔ)法指定交易可見(jiàn)方，從而提升了匿名性；監(jiān)管者則可以通過(guò)記錄在多個(gè)節(jié)點(diǎn)上的數(shù)據(jù)信息對(duì)交易進(jìn)行追溯，從而提升監(jiān)管效率。由于摩根幣只是JPMorgan為機(jī)構(gòu)客戶設(shè)計(jì)的一種即時(shí)價(jià)值流轉(zhuǎn)工具，一般的外部投資者無(wú)法使用，因此適用范圍比較有限。

表5 基于聯(lián)盟鏈與私有鏈的去中心化數(shù)字貨幣匿名技術(shù)

為了解決Quorum 通用性不強(qiáng)的問(wèn)題，IBM 提供了一種適用于多種聯(lián)盟鏈數(shù)字貨幣的CoCo 方案。這一方案引入了TEE（Trust Execution Environment）環(huán)境，通過(guò)借助Intel SGX 以及Windows 的VSM 虛擬安全模式等方式，創(chuàng)建可信的網(wǎng)絡(luò)環(huán)境。TEE 環(huán)境既可以保證代碼的正確執(zhí)行，又能保證系統(tǒng)運(yùn)行時(shí)內(nèi)部數(shù)據(jù)不被外界獲取，使聯(lián)盟鏈技術(shù)可以在完全受信任的節(jié)點(diǎn)上高效運(yùn)行。Coco 方案的不足主要是由于其兼容各類區(qū)塊鏈協(xié)議的發(fā)展目標(biāo)較為宏大，實(shí)現(xiàn)過(guò)程相對(duì)復(fù)雜，落地場(chǎng)景會(huì)受到一定限制。

2019 年6 月，F(xiàn)acebook 主導(dǎo)發(fā)行天秤幣（Libra）。由于發(fā)行時(shí)間較短與尚未進(jìn)入中國(guó)市場(chǎng)等原因，關(guān)于天秤幣匿名技術(shù)的研究相對(duì)較少。目前可以推斷的是，天秤幣的匿名性是通過(guò)建立在其自主研發(fā)的智能合約語(yǔ)言MOVE 基礎(chǔ)之上的復(fù)合密碼學(xué)技術(shù)實(shí)現(xiàn)的。

與去中心化非法定數(shù)字貨幣相比，基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣在保證匿名性的同時(shí)，提升了系統(tǒng)運(yùn)行效率。

五、法定數(shù)字貨幣匿名技術(shù)的應(yīng)用與展望

法定數(shù)字貨幣，是由各國(guó)中央銀行發(fā)行的、以國(guó)家信用為擔(dān)保的數(shù)字貨幣。根據(jù)用途不同，可以將其劃分為批發(fā)型法定數(shù)字貨幣與零售型法定數(shù)字貨幣[9]；批發(fā)型數(shù)字貨幣主要用于金融機(jī)構(gòu)之間的支付結(jié)算，而零售型數(shù)字貨幣則廣泛應(yīng)用于企業(yè)與個(gè)人的日常生活。在國(guó)際實(shí)踐中，多數(shù)國(guó)家央行以區(qū)塊鏈為基礎(chǔ)發(fā)行法定數(shù)字貨幣，其普遍具有的可追蹤性有助于提升金融監(jiān)管效率（見(jiàn)表6）。

我國(guó)央行早在2014 年就啟動(dòng)了法定數(shù)字貨幣的研究工作，并于2017 年開始進(jìn)行“DC/EP”項(xiàng)目研發(fā)?，F(xiàn)階段已完成頂層框架設(shè)計(jì)，正在深圳、蘇州、成都與雄安四個(gè)城市進(jìn)行數(shù)字貨幣運(yùn)營(yíng)的試點(diǎn)工作。

表6 世界各國(guó)法定數(shù)字貨幣特點(diǎn)比較

根據(jù)設(shè)想，DC/EP 將采用“一幣、兩庫(kù)、三中心”運(yùn)行模式，按照“前臺(tái)自愿、后臺(tái)實(shí)名”的方式實(shí)現(xiàn)可控匿名性。第一，在DC/EP 的交易過(guò)程中，貨幣接收者無(wú)法通過(guò)獲得的數(shù)字貨幣判斷對(duì)方的身份信息，從而實(shí)現(xiàn)交易雙方之間的匿名；第二，在自愿的前提下，用戶可以留下個(gè)人身份信息，并設(shè)置為貨幣接收者可見(jiàn)；第三，央行掌握DC/EP 的流通信息，在公共利益需要維護(hù)的情境中，經(jīng)授權(quán)的特定主體可以向央行申請(qǐng)調(diào)取相應(yīng)賬戶的交易記錄與戶主信息。

關(guān)于DC/EP 未來(lái)使用的匿名技術(shù)，我們認(rèn)為可以在借鑒已有數(shù)字貨幣匿名技術(shù)的基礎(chǔ)上，研發(fā)具有更廣闊應(yīng)用場(chǎng)景與更高運(yùn)行效率的復(fù)合匿名技術(shù)，同時(shí)努力構(gòu)建符合國(guó)情與行業(yè)發(fā)展規(guī)律的金融監(jiān)管體系，推動(dòng)實(shí)現(xiàn)數(shù)字貨幣匿名、效率與監(jiān)管三者之間動(dòng)態(tài)平衡。

六、結(jié)語(yǔ)

回顧數(shù)字貨幣的演化歷程，可以看出實(shí)現(xiàn)數(shù)字貨幣可控匿名性要著力解決好三個(gè)基本問(wèn)題：一是由于技術(shù)能力不足導(dǎo)致用戶隱私泄露的問(wèn)題；二是匿名技術(shù)與系統(tǒng)運(yùn)行效率難以兼顧的問(wèn)題；三是匿名性能與金融監(jiān)管如何有效平衡的問(wèn)題。在從基于E-Cash 系統(tǒng)的數(shù)字貨幣向基于公有鏈的去中心化非法定數(shù)字貨幣的演化中，第一個(gè)問(wèn)題得到了一定程度的解決；在從基于公有鏈的去中心化非法定數(shù)字貨幣向基于聯(lián)盟鏈與私有鏈的中心化非法定數(shù)字貨幣的演化中，第二個(gè)問(wèn)題得到了比較好的解決。法定數(shù)字貨幣是數(shù)字貨幣未來(lái)的發(fā)展趨勢(shì)，解決好第三個(gè)問(wèn)題是其取得成功的關(guān)鍵。充分實(shí)現(xiàn)數(shù)字貨幣可控匿名性是一個(gè)漫長(zhǎng)的過(guò)程，需要廣大學(xué)者進(jìn)行多方面、全方位的深入研究。