可信区块链-公有链白皮书1.0.docx
目录版权声明1免责声明1前言1一、 公有链起源与概念1二、 公有链的价值和特征(一)公有链的核心价值提供基于机器的公共信任服务.(二)公有链的四大特征共建、共有、共治、共享G(三)公有链的价值载体Token7三、 公有链的产业开展 8(一)全球公有链开展头部效应集中8(二)全球公有链学术研究活跃<10(三)公有链产业应用仍在探索中,“杀手级”应用尚未出现11(四)公有链与实体经济结合面临诸多挑战12四、 公有链的技术开展13(一)多样态共识模式不断出现.An15(二)并行分片方案稳步开展17(三)二层网络成为重点探索方向17(四)隐私性保护日趋全面19(五)可信计算方案崭露头角23(六)跨链互通需求日益凸显25(七)智能合约平安问题尤为严重26公有链的治理28公有链治理是参与者对决策达成一致的过程28(二)公有链治理的架构与特征29(三)公有链治理的模式31六、 公有链的监管34(一)公有链监管总体论述351.公有链监管的特点36三、权益作用.可作为权益凭证进行记账、治理投票等无实用功能可作为转账手续费、智能合约执行费用等资产标记三、公有链的产业开展表3:两种Token的比照公有链是一个全球化的信任平台,其应用产业即是在“平台”框架之上的垂直 行业应用。目前来看,公有链已经探索了包括支付服务、保险服务、隐私、社交、娱 乐、商业服务等多个领域。另一方面,在公有链内部也产生了与其自身相关的基础 设施产业,如矿机生产、矿池、交易、托管、钱包等服务。公有链应用基础设施、支付服务、保险服务、隐私、社交、娱乐、商业服务等多个领域公有链基础设施矿机生产、矿池、交易、托管、钱包等、 表/:公有链产业划分(-)全球公有链开展头部效应集中截至2019年4月,全球范围内的公有链工程共计超400个,其中实际主网 上线的公有链大约在100个左右。”根据对实际上线公有链的链上数据进行分析 发现,目前公有链开展头部效应明显,具体表达在以下四个方面:从链上活跃地址数看。地址是公有链触发交易、合约的起点,因此链上 活跃地址表达了公有链用户的参与量和参与活跃度。根据数据显示,比特币占据 最多的24小时活跃地址数(80万),以太坊占据第二(20万)。I1数据由区块链数据分析机构bvaluate统计。24小E寸活跃地址数900CC。3IJUCCU /UUCCU blXKOJ 5DOCCO 400CCO 5WCCU 200CCO LOOCCO图3:主流公链的24小时活跃地址数量数据来源:messari,时间:2019年5月14日二是从链上交易(Transaction)总数看,交易是使用公有链最为基础的指令, 链上交易量可以表达出公有链的使用量。数据显示,EOS、Tron、ETH位列前三。图4: 24小时链上交易数数据来源:messari,时间:2019年5月14日三是从链上交易量(折合美元)看。链上交易量(折合美元)是指一定时间 链上价值量的指标,比特币链上交易价值量(折合美元)占据首位,以太坊次之。24小时链上交易量60005000.3000.2000.1UUU 一 hi 图5: 24小时链上交易量(折合美元)数据来源:数据来源:messari,时间:2019 年 5 月 14 日四是从开源开发者社区关注度看。以GitHub上各开源区块链工程的Watch.Star数为基础,可以表达出公有链在开发者社区的影响力和认可度。比特币、以太坊、EOS居开发社区关注度的前三,其他收录的工程关注度水平非常接近。坊、EOS居开发社区关注度的前三,其他收录的工程关注度水平非常接近。Github美注度图6:全球公有链工程开发者受关注度排行TOP 10450004000035000300002500070000150001000050000数据来源:messari , 2019年5月(二)全球公有链学术研究活跃(二)全球公有链学术研究活跃虽然公有链产业具有非常显著的头部效应,但全球的公有链学术研究日趋活 跃。数据统计显示,全球范围内关于公有链的各类论文数量从2016年开始出现 大幅增加,2016年至2018年连续三年的增长率分别为123%、144%、84%。2019 年前4个月的论文数量已达588篇,预计全年论文数量将达2500至3000篇。论 文数量的逐年增长,反映出在政策、市场和技术等的多重利好推动下,学界对公有链研究兴趣的日益浓厚。图7: 2013年以来全球公有链学术论文年度发布量12数据来源通过 Google scholar 检索关键词"Bitcoin、Ethereum > Public blockchain” 得到。数据来源:Google Scholar数据统计2019年4月针对论文发布机构分析来看,2018年全年公有链相关学术论文发表主要集 中发布于康奈尔大学(Cornell University)的arxiv.org网站,以及ResearchGate的 网站;电气和电子工程师协会IEEE的ieee.org网站及总部位于瑞 士巴塞尔的MDPI网站mdpi 为发布量第3、4名的发布机构。Cornell University 371图8: 2018年公有链相关论文Top 10发布机构分布数据来源:Bvaluate数据统计2019年4月从论文的研究方向和内容上看,国外学界的研究多围绕两点进行:一是公有 链的底层技术架构和相关重大突破,二是政府政策。国内的学术研究旨趣那么聚焦在 公有链的场景应用上,从金融服务创新、电商、医疗、物联网、即时交易系统、著作权 管理,到传媒、农业、教育、电力、房地产、土木工程、智能电网等行业或领域, 均有涉猎。/17 /(三)公有链产业应用仍在探索中,“杀手级”应用尚 未出现?目前,业界对于公有链的认识相对较为统一,但对公有链产业的概念尚缺乏明 确的、公认的界定分类。本白皮书把围绕公有链技术及衍生出的产品、应用和服务 形成的具有一定规模、商业模式较为清晰可行的行业集合视为公有链产业的主要 构成。在此概念下,无论是公有链底层的硬件制造、软件研发等,还是基于公有链的 信用服务所触及的应用行业,如金融、能源、商业服务、物联网、游戏、文娱 等都属于公有链的产业据统计,目前全球400多个公有链工程的业务范围涵盖了 支付、基础设施、支付服务、保险服务、隐私、社交、娱乐、商业服务等共计65 个领域,其中71.7%的公有链工程具有支付功能属性,33.3%的公有链工程涉及 基础设施服务、支付服务、商业服务、隐私服务、娱乐、股权证明、物联网、社 交、游戏等较多的领域,应用方向持续探索,但仍旧缺乏“杀手级”应用。 一图9:全球公有链工程涉及领域排行TOP 10数据来源:Bvahiate数据统计,2019年4月公有链与实体经济结合面临诸多挑战相比于纯粹数字货币类的应用场景,以以太坊为代表的第二代区块链,将链 式账本作为一种通用计算能力的标尺,由此可实现更为丰富的应用场景。然而, 经过一段时期的探索,公有链真正走向实体经济仍存在相当的距离,其核心原因是 现有公有链的内在逻辑难以适应当前社会、法律和商业环境。具体原因如下:第一,身份适配问题,公有链本身缺乏身份认证系统,难以与现实主体进 行 勾连。现实世界的商业法律环境需要明确参与主体的身份,但由于区块链本身的 设计有着“公私钥对自由生成”和“只认私钥不认人”的特性,现有参与主体都是以公 钥哈希地址的形式标识,无法明确公钥地址背后持有者的身份主体。第二,商业适配问题,公有链智能合约隐私性较差,且难以处理模糊或开 放 性合约。在实际的社会活动中,商业协议通常是保密的。然而,由于区块链的透明性,现有智能合约代码及所执行的交易都会广播到整个网络,所有节点均会公 开可见。因此,在大量的商业场景中,智能合约不具有隐私上的可用性。如果没有 强有力的隐私保护机制,智能合约不适用像对关键供应商付款,敏感交易及等需 高度保密的协议合约。同时,智能合约依赖形式化的编程语言,适合创立刚性代码规那么管理的、客观可预测的义务,而不适合记录模糊或开放性的条款,或在签 订合约时没有准确边界或明确的权利义务。一、第三,数据适配问题,“预言机"(oracle mechanism) 13机制不完善。公有 链要与实体经济结合,必须要进行链下数据上链的环节。由于智能合约及公有链 “一经部署,难以更改”的特性,如果智能合约的触发条件来自于外部世界,如某地 的气温、商品货物的流转情况等等,那么一定会涉及到外部信息上链。通常情况下, 外部信息的来源是第三方数据源,但区块链只能保证来自于外部的数据无法篡改, 无法保证真实准确。此时,外部信息的真实性就依赖于第三方的主体信用。数据上链 问题导致智能合约重新需要依赖上链人的“信用尽管目前出现了多种去第三方 的预言机方案,但仍没有-个普遍适用的方案向第四,法律适配问题。现实经济活动是在像合同法、公司法等一系 列法律的保障下进行的,而目前的公有链技术架构和设计与法律难以适配。同时,公 有链承载的合约也缺乏法律的有效性的认定。例如,身份认证问题在法律上将导 致责任主体不明,如果利用公有链的合约出现了法律纠纷,无法确立责任主体,那么导 致无法提起诉讼,这极大的限制了公有链的商用。公有链的技术开展 以比特币为代表的可编程货币的出现让区块链技术走进群众视野,随后,以 以太坊为代表的智能合约平台的问世设置了区块链技术商用的起点。但与此同 时,现有的区块链技术尚无法支撑大规模商业应用的搭建,主流的区块链平台存在 瓶颈和问题,迫使更多的开发者持续探寻区块链技术边界及新型技术方案。根据对区块链行业开展历史及现状的综合分析得出,限制区块链规模化应用所谓“预言机”是链下数据上链的机制。区块链网络本身没有直接的途径来获取外部世界的信息,无法自动的验证触发智能合约的条件,所谓“预言机”就是一个将外部信息导入智能合约的机制。的技术掣肘主要在四大局部:可扩展性、互操作性、隐私性及平安性。可扩展性:突破现有区块链技术的性能瓶颈,提升区块链系统的吞吐量,以满足主流交易网络高并发的性能要求,主要是通过开展多样态共识、并行分 片方案、二层网络方案及可验证计算来解决和改善。 互操作性:实现不同区块链间的互操作,构建高效的连接机制,主要是通过 跨链机制打通“区块链孤岛”。隐私性:区块链技术的应用需要保障交易数据、合约数据用等多个方面的安 全和隐私保护,主要是通过假名、混币、环签名、Mimblewimble零知识 证明和可信计算解决。 平安性:保证区块链平安可靠运行,特别是在智能合约方面。、多样态共识模式不断出现并行分片方案稳步开展可信计算方案崭露头角跨链互通需求日益凸显智能合约平安问题严重可扩展性隐私性互操作性平安性图12:公有链的技术开展方向可扩展性隐私性互操作性平安性引发问题主要指的公有链 的TPS (每秒交 易)数难以满足 日益增长的需求公有链公开的特 性,难以保证商用 隐私的需求区块链间的 信息孤岛,无 法进行互联 互通突出表达在 智能合约安 全问题上解决方案1、改变共识机1、混币方案跨链互通:制2、二层网络方案3、并行分片方案4、可信计算2、机密交易3、环形签名方案4、 Mimblewimble方案5、零知识证明6、可信计算1、中继/侧链2、公证人机制3、哈希锁定表5:公有链的技术开展方向(一)多样态共识模式不断出现共识算法用于协调系统中节点的行为和保持数据一致性。在不可信环境中组 建的分布式系统,由于节点自身的不可靠性和节点间通讯的不稳定性,甚至节点 伪造信息进行恶意响应,节点之间容易存在数据状态不一致性的问题。通过共识 算法,区块链协调多个互不信任的节点的行为和状态,由此在不可信环境中组建一 个可靠的系统。'共识算法是基于节点行为假设、治理模型和节点网络规模假设的系统实现。 本质上,链上业务的特性和网络节点角色的定位决定了共识算法的选择。随着节点 参与角色的多样化和业务交互特点的细分,出现了不同的网络假设和治理模型, 如何成为可以真正实现的公有链工程,是共识的探索方向。这个方向催生了共识算 法在共识顺序、共识轮次、终局性和节点选择方式等方向的差异,形成多样态开展的 态势。区块链共识机制的演变也印证了这一点。在区块链开展初期,主流区块链网络多用基于PoW (proof of work)的共识 算法。由于PoW存在资源浪费问题,2017年后基于PoS (proof of stake)的共 识算法研究得到了迅猛的开展。单一共识算法均具有自身局限性,例如PoW共 识效率低,DPoS去中心化程度较低等,区块链研究者尝试将两种或者多种共识 算法融合起来,取长补短,来到达更好的共识特性。新一代的共识算法,比方 Algorand. DFINITY, VBFT等都属于混合共识算法。指标项内容举例表6:共识算法性能的四个指标容错性能节点故障类错误PoW (小于 100%) , BFT(33%)节点作伪类错误PoW(51%),PBFT(33%)终局性性能一个候选区块完成终局一致性所需要的时间工程终局(比特币六个区块确认)数学终局(VRF、BFT类)扩展性随着区块链网络节点数 目与共识算法性能的相 关关系扩展性好(PoW、PoS)扩展性差(PBFT)共识算法的网络模型性能受网络波动和通信性能 影响,共识算法的容错性 和正影响(PoW)无影响(PoS)负影响(BFT)可容忍的恶 意节点数量终局性网络复杂度(O为消息复杂度、N 为网络规模)实例PoW 二小于1/2算法不提供终局性O(N)BitcoinTendermint小于1/3通过BFT实现O(NA2)CosmosAlgorand小于1/3通过 ByzantineAgreement 实现O(N*log N)AlgorandEOS DPoS小于1 /3通过BFT实现0(1)EOSDFINITY小于1/3对假设干历史区块的加 权评估O(N*log N)DFINITYVBFT小于1/3通过BFT实现O(N*log N)OntologyPoW-DAG小于1/2算法不提供终局性O(N)PHANTOMConflux表7:主流共识算法比拟(二)并行分片方案稳步开展区块链采用共识算法解决分布式系统多个节点间状态一致性的问题。区块链 系统中每个节点全量处理所有交易,单纯增加节点并不能提升区块链的性能 (tps),反而节点之间达成共识的过程对性能是一个损耗。zy.直接增加节点并不能提升区块链的TPS,因为区块链上的交易没有负载分 发机制,需要所有节点全量处理所有交易,无法并行处理。区块链的分片就是试图 让链并行起来,将链分为多个分片链,然后通过一种负载分发机制,把交易分配 给不同的分片执行,每个分片链独立运行,有独立的共识机制,通过并行的方案 支撑比拟强的水平扩展和按需扩展。分片技术的实现将为区块链各项事务活动的 开展带来更高的协作效率与更加可信的生产方式。这种方案的难点在于跨分片的 交易确认以及分片链的平安性保因此,如何把分片的理论和区块链的平安理论,包括密码经济学设计、激励机 制设计,这些融合在一起来实现一个平安可扩展,而且高性能的区块链是一系列的 非常大的挑战。分片技术包含网络分片、交易分片和状态分片:网络分片:要求分片的消息只在分片内部网络中传播;交易分片:指不同交易将只在不同的分片中运行,每个分片运行独立的共识算 法;状态分片:要求分片只需要维护分片内部的状态数据而不需要保存其它分片的 数据。c随着业务对区块链扩展性的需求量逐渐增大,公有链工程方对于分片有不同 程度的尝试,不同的分片技术可以实现存储,通信,计算等不同层面的扩展。可 以看到,分片相关的理论和工程化成果稳步开展。(三)二层网络成为重点探索方向2.公有链监管政策的平衡37(二)领域监管381.货币监管382.证券监管393.内容监管404.税务监管41七、 结论141区块链二层网络(Layer2)技术旨在解决区块链扩容问题。区块链本身的容 量是受限的,仅靠提高吞吐量很难满足所有的应用需求。实际情况中,不是所有的交易都要在全球范围内达成共识,可以把局部交易以 及合约执行只在所需范围内进行共识,以实现扩容的目标。广义的二层网络,包含 了侧链,状态通道等各种将区块链的交易从链上迁移到链下(也可能是别的共识 范围更小的链)的技术方案。二层网络设计中,脱离的链上共识的交易与合约如何 与链上的共识挂接,保证交易和合约的合法性及平安性是需要解决的问题。乂 具体来讲,二层网络需要解决三类问题:证明问题:链上没有全量数据的情况下,链下的交易最终如何给链上提交证明。裁决和惩罚问题:裁决和执行如何进行以产生链下约束力。监督问题:链下状态的监督叽入).二层网络解决方案Xr名称简介 <j缺点举例状态通道参与方共同建立和维 护-个通方都可以将通道的最 新状态公布到链上进无需资金池托一 管16证明和监督简 单,吞吐量高建立通道本钱 高节点需要保持 在线状态闪电网络“以太坊社区将“反事实"(反事实状态通道(Counterfactual state channel)概念引入区块链,试图总结出 一种二层网络的通用设计原那么。法律本身的约束力也来自于这种反事实推理,如果合约一方违反契约,另 外一方那么可以通过法律来强制执行,交易双方最正确的策略是忠实执行合约,所以合约有了约束力。如果一 个交易虽然没有发生在链上,但如果任何一方都可以让它在链上发生,那么也同样产生了约束力,参与方可 以假设这个交易已经在链上发生,然后进行下一个交易。15资金池托管难题:主要在于如何防止账本托管方作弊。由于链下状态的变化频繁,链下证明提交到链上 有一个延迟。而用户要获取交易或者状态的证明需要账本托管方协助,要么托管方公布账本,要么提供专 门的查询接口。仲裁机制上需要设计托管方不合作情况下的机制。另外,用户同时用户需要定期监控托管 方提交到链上的证明是否作弊,以提交链上仲裁,并且有一定的时效限制。因为如果用户可以对很早以前 的交易提起仲裁,会导致后面太多的交易处于不稳定状态。行清算多方链下账本托管参与方将资金锁到一 个公共的合约中,链 下维护一个共用账本无需建立通道,本钱较低需要资金池托 管侧链账本链下账本是一个独立 的链,和主链以某种 形式绑定,实现资产 在主链和侧链之间流 转本钱低平安性依赖侧链本身的设大状态账本逻辑与侧链类似,放 弃记录交易,而只记 录每个账号的状态, 提交给主链的是状态证明表8:二层网路解决问题及方案隐私性保护日趋全面在区块链系统中,用户希望自己的身份、资产状况、交易历史等信息都被尽 可能少的人知道。一个完美的隐私性的支付系统中,每笔交易的信息都仅被参与 这笔交易的双方知道。作为一个所有交易都要被公开和全网验证的系统,公有链 在设计之初就应该考虑隐私性的需求。1.假名方案比特币采用的方案是使用可以任意选取的、和真实身份的无关的公钥地址来 作为持有资产和参与交易的主体,并通过地址对应的公钥和数字签名来验证对链 上资产的所有权。比特币实现了一个用户使用“假名”的支付系统,用户的真实身份被隐藏在公钥地址背后。类似的方式也被使用在其他很多公有链工程的设计 中,在公有链开展的早期也较好地满足了当时人们对于隐私性的需求。2 .混币(Coinjoin)方案混币方案让多个用户共同创立交易来变更其代币的所有权,通过混淆发送者 和接受者之间的对应关系来增强用户的匿名性。以下列图为例,如果没有采用混币, 那么很容易看到Alice付了 8个BTC给Carol, Bob付了 15个BTC给Ted,结合 其他交易信息进行交叉分析就很容易发现这些用户的真实身份;而进行混币以后 就只能看到Alice,Bob向Carol,Ted发送了比特币,但是无法精确判断发送者 和接受者的对应关系。通过不同的用户间屡次重复混币操作,最终就会把可能的发 送者和接受者集合都变得很大,从而保护其中每个人的匿喜匚 Without Coinjoin jj With Coinjoin j大led大Carol、图13:混币的基本原理3 .机密交易(Confidential Transaction)组件机密交易是由Adam Back和Greg Maxwell在2013年提出的增强比特币隐私 性的提案,可以实现对于交易金额和账户余额隐私性的保护,即其他人虽然可以看 到Alice发送了一些代币给Bob,但是无法知道具体发送了多少。机密交易的核心思想是用一种称为Pedersen Commitment的承诺方案代替以 (哈希地址,金额)的方式存储每一笔交易的输出,然后用同态加密的方式验证 每笔交易中发送的总金额和接收的总金额是平衡的。在矿工看来,只需要对着输 入输出的同态加密密文做一些线性运算就能验证一笔交易的金额是合法的了,整 个过程中无需把交易金额暴露给矿工。机密交易它提供了一种简单高效的隐藏交 易金额的方法,在以后的很多隐私保护方案中都被作为组件使用。4 .环签名(Ring Signature)方案混币方案最大的缺陷就在于当参与人数不够多的时候能提供的隐私性保护 非常有限。环形签名方案就是让其他用户在不知情的情况下“被动地”参与到混币中 来,到达隐私保护的目的。简单来说,环签名技术允许一个用户列表中的任何一个 用户都能单独生成一个合法的签名,且不同的用户生成的签名看上去是一样的。进行 交易时就只能验证一笔交易的所有发送者中的某一个许可了这笔交易,而无法精确 判断具体是哪个发送者签名的,因此也无法判断交易真实的发送者。/Q另外,为了保护交易接收方的隐私,还可采用了潜行地址的技术。潜行地址技 术允许发送方根据接收方公开的信息生成一个一次性的公钥地址,这个地址依然 由接收方通过私钥控制,但是其他人无法从这个一次性地址关联到接收方的身份。 通过环签名加上潜行地址的方式,对交易不可关联性方面的表现至少等同于多名用 户参与的混币交易。而且由于协议强制要求每笔交易必须选择多个输入进行环签名, 所以其实际上隐私性要高于只有少局部有需求的用户使用的比特币混币方案。5 . Mimblewimble 方案r AMimblewimble方案的所有交易都以机密交易的方式进行,并且强制采用了 区块级的混币和交易裁剪技术,因此它能够提供比单纯使用机密交易或者混币都 更好的平安性。按照Mimblewimble协议,矿工会把每个区块中所有的交易混合 成一笔交易,从而隐藏发送者和输出者之间的关联性。更进一步地,矿工们会从交 易历史中删去已经被花掉的交易输出,只保存尚未被使用的交易输出(UTXO) o因此,其他人就很难再对历史交易进行关联性分析了。最好的情况 下,一个新加入的节点相当于只能看到从coinbase到UTXO转账的一笔交易, 除此以外得不到任何信息UTXO中每笔输入的金额都是隐藏的。6 .零知识证明(ZeroKnowledge Proof)方案零知识证明技术允许证明者在不告诉验证者任何关于x的具体信息的情况 下,让验证者相信证明者是确实知道x的值的。原始版本的零知识证明技术是 基于交互式证明设计的,并不适合直接用到区块链上。适合区块链使用的零知识证明必须满足两个条件:非交互性,即证明者只生成一个证明,此后便可由不同 的验证者分别验证证明的正确性;易验证性,即验证一个证明所花费的计算资源 非常低。此外,为了节约珍贵的链上共识数据吞吐量,最好这个证明的长度也尽可 能简短。利用密码学技术在比特币上实现隐私保护功能吸引了很多密码学家进行研. 究。2012年Bitansky等首次提出了“零知识的简短非交互式证据” (zk-SNARK for zero-knowledge succinct non-interactive argument of knowledge) 的概念, 其中 简短和非交互两点即为在区块链上应用所必须的特点。“证据”是指这种方式在原理 上是存在伪证的可能性的,只不过因为找到一个伪证需要天文数字的计算量, 所以作为证据还是很有说服力的毕竟如果攻击者可以完成那么大的计算量 的话,任何加密算法都会被破解,也就无所谓伪证了零知识证明技术具有非常巨大的潜力。首先,零知识证明是一种通用的证明 技术,可以证明任何计算的正确性,这与只能证明转账交易合法性的机密交易技术 有着本质区别。因此,零知识证明技术可以解决更复杂的系统中的隐私保护问题。其 次,零知识证明技术的另一个优点是明确地区分了计算和验证,使得验证的本钱可 以比计算低很多。这使得在区块链上以较低本钱进行复杂运算成为了可能这对于 现有公有链是难以想象的,因为在这些公有链上验证一个状态的正确因为在这些公有 链上验证一个状态的正确性需要所有节点重复执行一遍整个计算过程,效率自然 非常低。最后,零知识证明技术还可以用于压缩交易历史,让节点在无需存储 所有历史交易的情况下依然保持几乎相同的平安性。这点对于一个高吞吐量的公 有链工程尤为重要。1/17 Meiklejohn, S., Pomarole, M., Jordan, G., Levchenko, K., McCoy, D.,Voelker, G.M. and Savage, S., 2013, October.方案,存在的问题每个地址上存储的比特币数量都是公开的;已经发生的所有交 易都是公开的,可以通过交易之间的关联性和使用模式等分析 识别出地址对应的用户的身份;用户在发起并广播交易的时候 也会暴露自己的IP地址,这也会在一定程度上泄露用户的身份 信息。17A fistful of bitcoins: characterizing payments among men with no names. In Proceedings of the 2013 conference表9:隐私保护各方案比照混币隐私性依赖于参与混币的用户数量,而实践中每项混币交易的 参与者往往不超过4个;通过对混币的发送和接收金额进行分 析可以一定程度上推测出关联性;事实上,研究人员能够将67% 的混币交易去匿名化。环签名因为环签名技术本质上包含发送者集合中每个人的一个签名,造成交易的体积较大(每笔交易大约10KB) oMimblewimble矿工知悉发送者和接受者的对应关系;对脚本和合约等支持较差、/零知识证明现有的零知识证明技术尚不够成熟,使用的本钱过于高昂;理 论结构复杂,大局部零知识证明方案都只能停留在理论设计和 实验代码阶段;存在平安隐患,复杂的零知识证明系统需要基 于很多密码学假设,其中任何一个不成立都会令整个系统失效。(五)可信计算方案崭露头角在区块链的应用场景下,可信计算的目标主要有两个:一是数据隐私保护, 即除了指定的计算任务外,用户的数据不应当被擅自挪作他用;二是可验证计算, 这是对于计算过程的真实性和完整性的保护,使得用户不需要重复执行运算即可 验证计算结果是否正确。目前用于实现可信计算的技术主要有基于硬件平安的可信 执行环境(Trusted Execution Enclave, TEE)和基于密码学的全同态加密技术(Fully Homomorphic Encryption, FHE) 等。1 .可信执行环境”可信执行环境的基本原理是给每个支持TEE功能的芯片分配一对公钥和 私钥,公钥与芯片序列号一起公开,私钥存储在TEE内部。需要进行平安计算 时,用户首先与TEE通信建立一个临时性的会话密钥,然后把输入数据用会话 密钥加密后发送给TEE在受保护的独立的区域内将输入数据解密后完成计算,on Internet measurement conference (pp. 127-140). ACM.最后用会话密钥把计算结果加密返回给用户。为了验证计算的正确性和完整性, 通常计算结果中还会包括关于计算任务的快照以及使用TEE私钥做出的签名。可信执行环境的逻辑在于整个计算过程中输入和计算结果只在用户端和 TEE内部以明文的方式出现。只要不暴露TEE内部信息,即使可以完全控制服 务器的操作系统也无法窥探或篡改计算结果。对芯片直接进行测量的难度极高, 大大提升攻击难度。二、TEE技术的主要优势在于计算的本钱较低也对于区块链来说,TEE技术 可以大幅度降低验证智能合约执行的本钱,彻底改变链上所有运算都要被所有全 节点分别执行一遍的现状,突破单点的硬件性能对于区块链吞吐量的限制。目前 TEE技术已有一些商用产品,例如英特尔(Intel) 2015年推出了采用SGX (Software Guard Extensions)技术的处理器,近两年也有一些区块链工程支持用 SGX验证智能合约等复杂计算的运行结果。7TEE的主要缺点有两个:首先,每个TEE芯片初始的密钥必然是由芯片 制造厂商产生和分配的,因而芯片厂商是一个必须信任的中心化节点;其次, TEE芯片虽然通过独立封装硬件的方式将其与服务器中的其他程序隔离开来, 但是仍然可以通过旁路攻击的方式间接地获得芯片内部运行状况的信息。例如 2018年3月份,美国俄亥俄州立大学的一个研究小组展示了一种名为“Sgx Spectre”的新型攻击技术,可以通过观察屡次重复执行中缓存区大小的细微变化 实现从SGX中提取数据的效果。2 .同态加密/全同态加密加密算法的同态性指的是对于密文信息进行一些运算后,得到的新的密文与 原密文所对应的明文有某种可以预测的对应关系。例如加密算法Enc满足对于任 意的x和y, Enc(x)+Enc(y)=Enc(x+y),就可以说Enc对于加法具有同态性。常 见的如RSA加密算法和椭圆曲线群都是关于加法同态的。全同态加密19对于18 TEE计算实际上是以明文的方式进行的,这种特点使得用户能以较低的本钱平安地使用远程芯片,特别 适合于云服务器厂商提供平安可靠的外包计算服务。19对任意运算都满足同态性的全同态加密算法基本上都是基于格(Lattice)密码学假设的。还有一种“有点同态(somewhat homomorphic) ”的加密算法,此类算法对加法和乘法都具有同态性,但是由于误差累 积的缘故仅允许在密文上进行很少几次乘法。实际上,Gentry于2009年提出世界上第一个全同态加密算加密算法的结构性要求那么更高一些:对于任意函数f,都可以通过在关于X的 密文上进行一系列操作得到一个新的对应于f(x)的密文,即 Eval(fEnc(x)=Ehc(x)。全同态加密对密文进行的运算的整个过程中不会用到解密密钥, 因而其作为加密算法的平安性可以保证不会泄露任何关于输入X或者计算结果f(x) 的信息。Q全同态加密算法可以很好地解决数据隐私保护的问题,在有可信的平安设置 (trusted setup)的前提下也可以实现可验证计算,是一种应用前景非常广阔的通 用技术。目前限制同态和全同态加密算法广泛应用的主要瓶颈在于其过低的执行效 率2。提高效率是现在全同态加密算法研究的核心方向,但是如果要获得大幅度 改进需要理论密码学上的重大突破。7、(六)跨链互通需求日益凸显跨链技术的核心在于让不同的区块链能跨越彼此的障碍,从而在数据和价值 的层面进行相互流通。跨链技术的本质是为了解决不同区块链之间的互通性。而 这种互通性正是目前区块链在场景落地中碰到了一个非常核心的难题,不管是公 有链还是联盟链,跨链技术都是实现价值互联网的关键,也是防止目前各个不同 的区块链分别开展,导致数据孤岛的唯一途径。在具体的实现层面,由于跨链技 术实现了多条区块链之间的逻辑关联,所以在很多应用场景中,跨链技术也会被 应用到拓展区块链事务处理能力方面。别公证人侧链/中继哈希锁定法正是通过控制有点同态的加密算法的误差改进而来的,而现有的全同态加密算法也都基于相同的框架。2。一般来说,同态加密运算是明文运算效率的千分之一左右,全同态加密运算是明文运算效率的百万分之表10:/跨链各方案比照跨链方向双向双向/单向双向资产交换支持支持支持资产转移支持支持不支持信任需要第三方不需要不需要2类型协议技术架构rf难度中等困难c案例RippleBTC relay、Poldadot /COSMOSLightning network(七)智能合约平安问题尤为严重智能合约是一种旨在以信息化方式传播、验证或执行的计算机协议。智能合 约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能 合约的出现使得区块链的扩展性和便捷性获得极大的提升,但图灵完备的合约也 带来了更多的平安风险。2016年6月17日,当时区块链业界最大的众筹工程 The DAO(被攻击前拥有1.5亿美元左右资产,约占当时发行的以太币总量的14%) 遭到攻击,并导致360万的以太币资产被别离出The DAO资产池(当时价值约为 5000万美元)。该次攻击事件直接导致了以太坊硬分叉为ETH和ETC。2017年 11月7日Parity多重签名合约漏洞导致93万个以太币(当时价值约150亿美元) 永久丧失。相关数据显示,2018年整个区块链行业因为平安问题导致损失金额 超过20亿美元。针对区块链行业发起的所有攻击中,交易所和智能合约是最受攻击者关注的攻击点。目前,智能合约平安问题的主要有以下四个方面:漏洞类型攻击方式攻击原理基于智能合约编程语言的漏 洞整型溢出以太坊的合约虚拟机(EVM)为整数指定固定大小的 数据类型。这意味着一个整型变量只能有一定范围的 数字表示。在智能合约开发中,如果没有检查用户输 入就直接执行计算,可能导致数字超出存储它们的数 据类型所允许的范围,该变量就很有可能被用来组织 攻击。基于区块链平 台特性的漏洞重入以太坊的智能合约能够接收和发送以太币。调用外部 合约或将以太币发送到合约地址的操作需要合约提 交外部调用。这些外部调用可能被攻击者劫持,迫使 合约执行进一步的代码(即通过回退函数),包括回调自身,因此代码执行“重新进入”合约。随机数由于大多数区块链平台本身不提供随机数生成接口, 智能合约只能自己实现随机数生成算法,如果智能合 约本身生成的随机数算法不当,可能导致随机数被提 太一前预测、或者可被篡改。基于业务逻辑的漏洞越权调用由于公有链的开放性,任何地址都可以与区块链上的 智能合约进行交互,如果智能合约的函数中未做权限 限制,那么任何地址都可以成功调用此函数,如果该 函数为敏感函数,智能合约可