基于可信硬件的金融级区块链和身份隐私保护技术.docxVIP

??

?

??

基于可信硬件的金融级区块链和身份隐私保护技术

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

一区块链和分布式数字身份

（一）区块链与智能合约

区块链是一个分布式的共享账本，具有去中心化、不可篡改、可追溯、多方维护、公开透明等特点。这些特点保证了区块链的“真实”与“透明”，为区块链创造信任奠定基础。而在区块链丰富的应用场景中，基本上基于区块链能够解决信息不对称问题，实现多个主体之间的协作信任。

智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。智能合约概念于1995年由NickSzabo首次提出。智能合约的目的是提供优于传统合约的安全方法，并减少与合约相关的其他交易成本。一个智能合约是一套以数字形式定义的承诺（promises），包括合约参与方可以在上面执行这些承诺的协议。

区块链上智能合约是一个在区块链系统上，可以被交易触发执行的合约。更简单地说，智能合约就是区块链上一个包含合约代码和存储空间的虚拟账户，结构如图1所示。

图1智能合约

智能合约的行为由合约代码控制，而智能合约的账户存储则保存了合约的状态。合约的状态是业务定义的具体数据，通常会涉及隐私，如何在保证区块链公开、透明的特性的同时对合约状态数据进行隐私保护是区块链需要解决的难题。

合约中存在账户，但是不同区块链的账户体系的实现方式不同，并且不支持跨区块链的账户身份统一，因此基于区块链技术进一步出现分布式数字身份系统。

（二）分布式数字身份与区块链

分布式数字身份系统构建于区块链基础之上，分布式数字身份和区块链的关系可以参见图2。

图2分布式数字身份与区块链

分布式数字身份具体规范已由国际化标准组织W3C定义，在满足标准定义的基础上一方面可结合密码学和零知识证明实现隐私保护，另一方面结合已融合可信硬件技术的区块链方案实现隐私保护。

在讨论分布式数字身份隐私保护之前，先介绍基于可信硬件技术实现的“区块链数据”隐私保护，然后在区块链数据隐私保护基础上描述上层分布式身份系统，实现“端到端”的隐私保护。

二区块链数据隐私保护

区块链从本质上来说是一个类BFT系统，需要不同节点对交易以及状态进行验证、重算来达成共识，所以这要求链上数据都是非加密且共享的。虽然数据透明度提高了，却带来了数据的隐私问题。区块链中部分数据提供方可能并不希望自己的数据全部公开，比如交易身份、金额、合约等比较敏感的数据。这不仅包括个人交易隐私，还包括金融或者供应链系统中的各种数据。因此，为了在更广阔的领域使用区块链技术，需要解决链上数据的隐私保护问题。针对这个目标，近年来有不少成果：在公有链中有达世币（Dash）、门罗币（Monero）、零钞（Zcash）等，它们都因为在一定程度上解决了数据隐私保护问题受到追捧，而Hawk能解决合约中部分数据的隐私保护问题。

具体到联盟链的应用场景，我们将区块链数据隐私定义归结到如下三个方面：原始交易隐私、智能合约运行时中间状态隐私、合约持久化的数据状态隐私。

实现端到端的数据隐私保护需要考虑上述三个方面的数据安全，在确保数据隐私的前提下不破坏区块链节点可独立验证的特性。

可信执行环境（TrustedExecutionEnvironment，TEE）是处理器中的安全可信区域，可以保证放入其中的代码和数据的安全性、机密性和完整性。TEE提供一个隔离的执行环境，代码和数据可以在这个可信区域内运行，运行过程中可以保证不被常规操作系统干扰的计算，这样就可以达到保证代码和数据的机密性和完整性。

目前，企业级的区块链平台技术上较大的两个挑战就是隐私和性能。但是往往这两个挑战很难同时解决。大多解决方案是以损失性能换取隐私，或者不考虑隐私而去追求性能。主要原因在于常见的解决隐私问题的加密技术，如同态加密（HomomorphicEncryption）和零知识证明（Zero-knowledgeProof）等复杂度高，通用性差，最重要的是带来严重的性能损失。在解决隐私方面，TEE起到了硬件中的黑箱作用，在TEE中执行的代码和数据操作系统层都无法偷窥，只有代码中预先定义的接口才能对其进行操作。因此，结合TEE可以把区块链隐私问题转化为权限控制问题。在应用中，用户可以通过软件层权限定义来设计各种模型的隐私保护需求；在效率方面，由于TEE的黑箱性质，在TEE中进行运算的是明文数据，而不是同态加密中的复杂密码学运算，计算过程中效率没有损失，因此与TEE结合可以在性能损失较小的前提下在很大程度上提升区块链的安全性和隐私性。目前，工业界十分关注TEE方案，几乎所有主流的芯片和软件联盟都有自己的TEE解决方案，包括IntelSGX、ARMTrustzone和