深入 | 加密货币支付通道网络 (PCN) 的隐私保护评估

今天的市场情绪高涨，总是给人一种革命成功的错觉。 但我们知道，还有很多问题没有解决，产品可用性很差。 我当然可以理解当前加密货币的交易需求，但如果我们要相信投机最终会让位于产品功能价值，我需要了解更多的用例并评估它的问题。

短短十几年时间，比特币就达到了黄金需要数千年才能达到的高度。 我们在加密世界的价值存储方面取得了可喜的成绩。 其次，加密货币支付系统值得关注。 中本聪创造比特币的时候，也是想把它作为一种支付方式，而不是一种保值手段。

与传统支付不同的是，加密货币支付系统除了基于加密货币资产的价值外，还需要解决支付中的隐私问题。 在现实世界中，在我们使用的传统电子支付系统（非现金支付）中，我们的消费习惯暴露在中心化公司面前，这让我们感到恐惧。 尽管世界各国政府都在颁布保护隐私的法律法规，但这只是治标不治本，并非长久之计。

加密货币支付系统中支付的隐私保护是对传统支付的一场革命。 什么是更可靠的保护隐私的方法？ 如何评价PCN（Payment Channel Networks）的隐私保护，下面的论文给出了详细的分析。

加密货币支付渠道网络的评估及其对隐私的影响

作者：Enes Erdin, Suat MERCan, Kemal Akkaya

网址：

概括

加密货币重新定义了货币在用户之间的存储和转移方式。 然而，无论发送多少，基于公共区块链的加密货币都面临着高交易延迟和费用。 这些缺点阻碍了大众对加密货币的广泛采用。 为了应对这些挑战，支付通道网络 (PCN) 概念被吹捧为最可行的小额支付解决方案。 这个想法是通过在本地保存账户状态来交换资金的所有权。 更少的状态通知被上传到链上，这减少了区块链上的负载。 具体来说，支付渠道网络可以通过收取与支付金额成比例的象征性费用，在几秒钟内提供交易的链下批准。 这种对支付渠道网络的吸引力激发了许多近期的研究，这些研究专注于如何设计支付渠道和分销渠道以确保安全高效的交易。 然而，随着支付渠道网络的出现和大量用户的使用，隐私问题变得越来越重要，这不仅会暴露个人习惯，还会暴露企业收入。 在本文中，我们首先提出了现有的基于加密货币的支付渠道网络的分类法。 在讨论了这些支付渠道网络中出现的针对用户/企业隐私的几次攻击之后，我们根据与我们的案例相关的一些隐私指标对它们进行了定性评估。 基于对这些方法优缺点的讨论，我们为未来基于加密货币支付渠道的网络隐私研究提供了可能的方向。

一、简介

有许多现有的货币支付系统，例如纸质支票、信用卡/借记卡、自动清算所 (ACH) 支付、银行转账或金融机构拥有和管理的数字现金。 然而，在瞬息万变的世界贸易中，资金流向仍在不断变化。 过去十年见证了比特币 [1] 的问世，这是一种新的范式转换创新，用户可以在不需要受信任的第三方的情况下控制自己的资金。 在这个模型中，用户通过达成共识来控制货币的转移和所有权来控制系统。 随着比特币的成功，许多新的加密货币被引入 [2]，[3]，它们提供基于共识账户管理概念的新功能。

在随后的几年里，加密货币取得了初步的成功，但由于日常使用中的实际问题而受到阻碍。 基本上，就可扩展性而言，它是一个非常有限的系统，由于高延迟、不成比例的高交易费用和低吞吐量，它不可能广泛用于简单的日常交易。

在众多解决方案中，支付渠道成为被广泛接受的解决方案。 这个想法是在各方之间建立链下链接，这样很多交易就不会每次都写入区块链。 支付通道概念后来演变为建立支付通道网络（PCN）。 在众多参与者和渠道中，参与者通过其他参与者作为中继进行支付，基本上形成了一个相互连接的网络。 这本质上是一个运行在加密货币之上的第 2 层 Web 应用程序，涵盖第 1 层服务。 PCN 的一个完美示例是闪电网络 (LN) [4]，它使用比特币并在很短的时间内到达许多用户。 基于以太坊的 Raiden [5] 是 PCN 成功的另一个例子。

PCNs的出现给研究带来了一些挑战。 尤其是链下支付的安全性非常重要，因为用户可能会赔钱或拒绝承担责任。 此外，本文还研究了具有大量用户的 PCN 中支付路由的效率。 这些努力解决了除 LN 之外引入许多新 PCN 的问题。 这些 PCN 依赖于各种加密货币并具有一些新功能。 随着这些新提出的 PCN 变得更加突出，将会有大量的用户和企业参与其中，这将引起他们对隐私的担忧，就像互联网上的用户隐私一样。 不同之处在于，在许多情况下，互联网隐私可以受到监管，但 PCN 并非如此，因为他们的理念是建立在去中心化之上的。 例如，用户自然希望对网络的其他部分保持匿名，而企业则希望他们的收入是私有的，不被竞争对手利用。

因此，在本文中，我们调查了这个新出现的问题，并对当前的 PCN 及其隐私影响进行了分析。 我们首先根据常见的网络架构和区块链类别对 PCN 进行分类。 然后，我们在 PCN 的上下文中定义用户和企业隐私，并讨论对参与者隐私的可能攻击。 具体而言，我们提出了特定于 PCN 的新隐私风险。 利用这些攻击场景，我们后续会根据具体指标对现有PCN的隐私能力进行全面的调研和评估。 这是一种新颖的定性评估，可以比较每个 PCN 提供的隐私功能。 最后，我们提出了未来可能的研究问题，这些问题可以在 PCN 隐私的背景下进一步研究。 我们的工作不仅率先提高了新兴领域对 PCN 隐私问题的认识，而且还将帮助从业者选择最适合他们需求的 PCN。

本文结构如下：第2节介绍了本文的研究背景。 接下来，第三部分根据常见的网络架构和区块链类别对 PCN 进行分类。 在第四节中，我们定义了用户和企业隐私，讨论了对 PCN 参与者隐私的可能攻击，并评估了他们在隐私方面提供的最先进的解决方案。 第五部分对PCNs隐私权的未来研究进行展望，第六部分对全文进行总结。

2. 背景

A. 区块链

区块链作为加密货币的底层技术，带来了一个新的分布式数据库，一个由参与者共同托管的公开、透明、永久的账本。 通过称为 Proof-X (PoX) 的各种密码验证方法，网络中的每个参与者都有能力监管区块链 [6]。 例如，比特币和以太坊共占加密货币世界总市值的 75%，它们利用工作量证明 (PoW) 机制，参与者必须找到一个小于双方商定的“区块哈希”数字。 块是用于存储交易信息的具有有限大小的元素。 每个块都包含前一个块的哈希值，从长远来看，它形成了一个称为区块链的块链。 “谁拥有什么”信息作为交易信息嵌入到区块链中。 因此，独立参与者社区将区块链转变为一种解放数据/资产管理技术，摆脱了受信任的中央第三方的束缚。

B. 加密货币

尽管区块链技术有很多应用，但加密货币是最常用的。 加密货币是一种加密安全且可验证的货币，可用于购买商品和服务。 在本文中比特币的交易信息有支付人签名吗，我们将交替使用加密货币和货币。

区块链技术无疑改变了数据传输、存储和表示的方式。 尽管如此，就分布式账本的最终状态达成共识也有不利之处。 第一个缺点是交易确认时间长。 例如，在比特币中，大约每 10 分钟生成一个块。 比特币作为一种启发式算法，需要用户等待 6 个区块才能完成一笔交易，这需要将近 60 分钟。 在以太坊中，两个区块之间的时间更短，但用户连续等待 30 个区块，这造成了 10-15 分钟的等待时间。 请注意，由于块大小是有限的，因此在传输请求的拥塞时间内，不仅吞吐量会受到限制，而且用户的总等待时间也会更长。 尽管如此，如果用户急于让他们的交易获得批准，它仍需要向矿工支付比竞争对手更多的钱。 这给我们带来了使用区块链的加密货币的第二个缺点。 矿工节点生成和批准区块，从用户那里收取费用，并将交易包含在区块中。 因此，当出现拥堵时，付款人要么必须提供更多费用，要么必须等待更多时间让矿工接收她/他的交易请求。

C. 智能合约

使用智能合约的能力是使区块链成为非常规资产管理技术的另一个特点。 智能合约是脚本或字节码，它们根据合约中定义的未来事件定义交易应如何发生。 智能合约可用于有条件/无条件的点对点 (P2P) 交易、投票、法律遗嘱等。 一如既往，决策的责任在于区块链。 因此，当智能合约也被利用时，区块链完成交易输出。

3. PCN 及其分类

A. 支付渠道网络

由于可扩展性问题，研究人员一直在寻找使加密货币可扩展的解决方案。 在提供的众多解决方案中，链下支付渠道的概念最受关注。 为了建立这样的渠道，双方同意将一些钱存入一个多重签名（2/2 多重签名）钱包并分配其股份的所有权。 多重签名钱包是由两方创建的智能合约。 以区块链为中介的智能合约包括参与者的地址、他们在钱包中的份额以及有关如何履行合约的信息。 这个想法很简单，付款方通过本地相互更新合同将他/她的部分资金的所有权移交给另一方。 在关闭通道时，每一方都向区块链提交一个“关闭交易”，使区块链关闭通道到链上提交的最终状态。 因此，每一方都会从多重签名钱包中收到自己的最终份额。

在多方之间创建的支付通道使得通过中间节点建立从源到目的地的多跳支付成为可能。 如图 1 所示，Alice Charlie (AC) 和 Charlie Bob (CB) 有信道。 当时间为 t 时，AC 和 CB 被初始化。 虽然 Alice 无法直接访问 Bob，但她仍然可以通过 Charlie 向 Bob 付款。 在时间 t+x1，Alice 开始向 Bob 转移 10 个单位。 这笔钱本来是要给鲍勃的，而不是给查理的。 爱丽丝在通道 AC 上给查理 10 个单位的份额，当查理在通道 CB 上兑现交易时，给鲍勃 10 个单位。 传输结束后，将更新 AC 和 CB 通道。 在时间 t+x2，Alice 向 Bob 进行了另一笔交易（20 个单位），通道中的份额再次更新。

多跳支付概念使得能够在用户之间建立称为 PCN 的支付通道网络，如图 1 所示。 2. 目前的 PCN 在它们依赖的拓扑结构和它们使用的第 1 层区块链技术方面各不相同。 我们接下来讨论这种分类。 然后我们更详细地解释每个 PCN 并在第 IV 节中对它们进行分类。

B.PCN架构

在本节中，我们对可用于 PCN 的网络架构类别进行分类。

1）集中式架构：在这种类型的网络中，有一个中心节点，用户通过它相互通信或根据从中心节点收到的规则进行通信，如图3（a）所示。 从治理的角度来看，如果一个组织或公司可以独立决定网络中的连接数、容量变化和流量，那么这样的架构就称为集中式架构。

2）分布式架构：在分布式网络中，没有中心节点。 与集中式网络不同，每个用户在网络中具有相同的连接性、连接权限和语音。 图 3(b) 显示了一个示例架构。

3）去中心化架构：该架构是前两种架构的组合，如图3（c）所示。 在这个架构中，没有单一的中心节点，而是独立的中心节点。 去掉子节点后，中心节点的连接看起来很像分布式架构。 然而，当视图以中心节点为中心时，就会看到集中式架构。

4）联邦架构：联邦架构听起来很像现实世界中的联邦，可以说是介于中心化和去中心化网络之间。 在联邦架构中，有许多中心节点，它们以 P2P 的方式相互连接。 其余节点（子节点）然后通过这些中心节点严格相互通信，这看起来非常像中心化架构的联邦。

C. 区块链网络类

在本节中，我们根据现有 PCN 使用的区块链类别对它们进行分类。 PCN主要用于三种区块链：

1) 公共区块链：在公共区块链中，不需要有约束力的合同或注册成为网络的一部分。 用户可以随时加入或离开网络。 因此，PCN 将对任何愿意使用它的人开放。

2) 许可区块链：许可（即私有）区块链与公共区块链相反，其中账本由公司/组织管理。 此外，网络中节点的角色由中央机构分配。 并非每个人都可以参与或访问许可区块链中的资源。 使用许可区块链的 PCN 将是“仅限会员”。

3）联盟链：与许可链相反，在联盟链中，区块链由多个组织管理。 从中心化的角度来看，这种方式可能看起来更自由，但区块链的治理模型将其推向了许可方。 使用联合区块链的 PCN 在成员资格方面类似于许可区块链，但在这种情况下，成员将得到联盟的批准。

4. PCN 中的隐私问题：测量和评估

随着近年来 PCN 的兴起，许多研究致力于使它们高效、稳健、可扩展和安全。 然而，随着其中一些 PCN 开始部署，它们会覆盖大量用户（即 LN 拥有超过 10,000 名用户）并将进一步增长。 这种增长带来了 PCN 特有的一些隐私问题。 我们认为有必要从用户和企业的角度识别和理解 PCN 中的隐私风险。 因此，在本节中，我们首先定义这些隐私指标并解释 PCN 中可能发生的隐私攻击。 然后，我们总结了现有的 PCN 并首次评估了它们的隐私能力。

A. PCN 中的隐私

在最简单的形式中，数据隐私或信息隐私可以定义为回答数据如何存储、访问和披露的过程。 在我们的案例中，PCN 用户数据由许多其他用户在 PCN 内传输，确保未授权用户的数据不会暴露。 为了解决这些问题，一些 PCN 致力于隐藏发送者 (Us) 或接收者 (Ur) 的身份（即匿名），而另一些则致力于加强发送者和接收者之间的匿名关系。

B. 攻击模型和假设

本文考虑两类攻击者。 第一类攻击者是诚实但好奇的（HBC），攻击者在运行协议时诚实行事，但在操作过程中仍然被动地收集信息。 第二类攻击者是恶意攻击者，控制网络中的多个节点背离协议。 这些攻击者类别及其在网络中的位置如图 4 所示：

基于这些假设，我们考虑以下可能的攻击来破坏 PCN 中的隐私：

对发件人/收件人匿名性的攻击：

发送方/接收方匿名性要求在支付过程中，发送方/接收方（Us/Ur）的身份不为他人所知。 这是为了保护发送者/接收者的隐私，以便没有人可以追踪他们的购物习惯。 在某些情况下，对手可能会成功猜出发送者/接收者的身份，如下所示：

对通道平衡隐私的攻击。

为了保护用户/企业的投资能力隐私，PCN 中的信道容量应该是私有的。 投资于渠道的金额告知用户他们的财务状况或他们的购物偏好。 此外，如果通道中的容量变化是已知的，跟踪它们会导致发送者/接收者的间接隐私泄露。 例如，攻击者可以发起虚假交易请求。 在收集来自中间节点的响应后，它可以了解通道的容量。

关系匿名。

在某些情况下，我们或我们的身份可能为人所知。 然而，如果攻击者能够将付款人与收款人联系起来，那么不仅可以了解发送方的消费习惯，还可以了解接收方的商业模式。 在这种情况下，可以通过隐藏发送方和接收方之间的关系来保护交易的隐私。 具体来说，关于谁付钱给谁的信息应该保密。

C. PCNs 的发展现状及其隐私评估

在本节中，我们简要描述了当前提出完整 PCN 或对现有 PCN 进行修改的研究，然后根据我们的威胁模型分析它们的隐私功能。 我们在表 1 中提供了对当前 PCN 分类和隐私功能的评估总结。

闪电网络（LN，Lightning Network）：LN[4]是第一个部署在比特币上的PCN。 它于 2017 年推出比特币的交易信息有支付人签名吗，截至 2020 年 6 月，它提供了超过 12,000 个节点和 36,000 个频道。 LN 中的节点利用“哈希时间锁定合约”(HTLC) 进行多跳传输。 支付通道中的定向容量没有公开，但通道中的总容量为发送方计算路径所知。 这提供了部分通道平衡隐私。 发送方使用中间节点的公钥通过“洋葱路由”对路径进行加密，使得中间节点只知道前后节点的地址。 没有中间节点可以通过查看网络数据包来猜测消息的来源或目的地。

雷电网络：在 LN 之后不久，ETHunm 基金会宣布了雷电网络[5]。 Raiden 相当于 LN，用于传输以太坊 ERC20 代币，并提供相同的隐私功能。 尽管以太坊是第二大加密货币出现，但这种流行并没有在雷电网络中得到很好的体现。 截至 2020 年 6 月，Raiden 拥有 25 个节点和 54 个频道。 Raiden 相对于 LN 的优势在于，由于令牌化，用户可以生成自己的令牌，从而创建更灵活的交易环境。

Spider Network：Spider network[7]是一种PCN，提出了传统网络（如TCP/IP）中基于分组交换的路由思想。 然而，众所周知，在数据包交换中，消息的来源和目的地应该嵌入到网络数据包中。 将支付分成多个小额支付消除了渠道枯竭问题。 在这个PCN中，有一些具有特殊功能的蜘蛛路由器，它们相互通信，知道网络中信道的容量。 发件人将付款发送到路由器。 当数据包到达路由器时，它将排队等待，直到候选路径上的资金足以恢复交易。 作者没有提及隐私，并计划在未来的工作中使用 OnOnRouting。 小额支付可能会遵循不同的路径，如果收件人是私人的，这将有助于保持流量的私密性。 此外，劫持路由器会让攻击者深入了解网络上的一切。

SilentWhispers：SilentWhispers [8] 使用地标路由，地标位于支付中心。 在他们的攻击模型中，要么攻击者不在支付路径上，要么里程碑就是 HBC。 在这里，landmarks 知道拓扑，但不知道所有的通道平衡。 当汇款人想要汇款给收款人时，她/他会与她/他的意图的地标进行交流。 然后地标开始与潜在节点通信，从“发送者到地标”到“地标到接收者”，形成支付路径。 路径中的每个节点都公开了所请求的到地标的传输量的通道平衡可用性。 地标通过多方计算确定交易的可行性。 在 SilentWhispers 中，发送者和接收者是保密的，但地标知道发送者-接收者对。 支付金额对于不参与交易的节点也是私有的。 此外，网络中的通道平衡是私有的。 虽然集中化是可能的，但这种方法是分散的，而且地标是可信的。

SpeedyMurmurs：SpeedyMurmurs [9] 是一种路由协议，尤其是对 LN 的改进。 在 Speedy Murmurs 中，有著名的地标，例如 Silent Whispers。 这种方法的区别在于候选路径上的节点匿名交换邻居信息。 因此，如果节点知道距离收款人更近的路径，它会向该方向转发付款，称为“捷径”。 在快捷路径中，中间节点不一定知道接收者，但知道接收者附近的邻居。 SpeedyMurmurs 通过为他们生成匿名地址来隐藏发件人和收件人的身份。 中间节点还通过生成匿名地址来隐藏其邻居的身份。 虽然这可能很复杂，但对 Web 应用程序的反匿名攻击是有效的。 虽然该算法是一种去中心化的方法，但如果角色分配不公平，它可能会变成一种中心化的方法。

PrivPay：PrivPay [10] 是 SilentWhispers 的面向硬件的版本。 Landmark 中的计算是在防篡改可信硬件中完成的。 因此，网络的安全和隐私直接关系到可信硬件的可靠性，而可信硬件的可靠性也可能导致中心化。 在 PrivPay 中，发送者隐私、接收者隐私和交易隐私是通过错误信息实现的。 随着攻击者不断尝试从其他节点查询数据，框架开始产生概率结果。

Bolt：Bolt [11] 是一个基于集线器的支付系统。 即发送方和接收方之间只有一个中间节点。 Bolt 假设一种基于零知识证明的加密货币。 它不满足多跳支付中的隐私，但如果中间节点是诚实的，它确实满足强关系匿名性。 另一方面，依赖单个节点使这种方法成为集中式方法。

许可比特币 PCN：在 PCN 中，如果网络拓扑不理想，比如星形拓扑，一些节点可能会了解用户和支付。 为此，作者在[12]中提出了一种新的许可 PCN 拓扑设计，以防止信道耗尽。 他们展示了一个真实世界的用例，其中商家联盟创建了一个完整的 P2P 拓扑，客户通过商家连接到这个 PCN，商家承担网络的财务负担来赚钱。 LN-like 机制满足了 PCN 中用户的隐私。 当发送者/接收者隐私和关系匿名性可以通过至少 3 步满足时，作者还研究了多步支付。

Anonymous Multi-Hop Locks (AMHL)：在 AMHL 方案 [13] 中，作者为 PCN 提供了一种新的 HTLC 机制。 在支付路径上，发送方同意向每个中介支付一定的服务费。 但是，如果两个中介恶意勾结，他们可以在路径上淘汰诚实用户，从而窃取他们的费用。 为了解决这个问题，他们引入了另一个通信阶段，其中发送方将一次性密钥分发给中间节点。 HTLC机制虽然为了用户的安全进行了改进，但是并没有保护发送者的隐私，每个中介都知道发送者的信息。 但是，匿名关系仍然可以得到保护。

5. PCN 的未来研究问题

PCNs 中的隐私问题是一个开放的研究课题，有很多问题需要进一步研究。 在本节中，我们总结了这些问题：

滥用 PCN 协议。 由于大多数 PCN 依赖于公共加密货币，因此它们的协议实现是公开的。 这种自由可能会被滥用，并且通过更改设计中的某些参数和算法，攻击者的行为可能会与预期不同。 这将带来隐私泄露和在线审查。 网络的拓扑重组将有助于解决这个问题。 如果发送方对中间节点产生怀疑，它可以寻找替代节点而不是使用该节点。

节点勾结。 当节点在 PCN 中串通时，可以提取更多的用户信息。 为了防止这种情况，应该丰富协议以发现合谋节点，或者通过在协议中添加冗余来混淆合谋节点。

政策制定。 加密货币和 PCN 的概念仍处于早期阶段。 因此，在这方面，政策法规不仅要保护参与者的安全，还要保护他们的隐私。 它还将为研究人员创建一个量化指标，以衡量他们的提案是否成功。

可扩展性对隐私的影响。 引入 PCN 的目的之一是使加密货币更具可扩展性。 例如，LN 提出在建立新连接时运行 Barabasi Albert 无标度网络模型 [15]。 因此，网络的最终状态可能会产生中心化，这将对网络中节点的隐私产生不利影响。

IoT 和 PCN 的集成。 使用物联网设备进行支付是不可避免的。 除了大多数物联网设备不够大，无法运行完整节点这一事实之外，还需要研究物联网生态系统中支付和设备身份的安全性和隐私性。 这些设备有望通过网关参与网络。 设备所有权的泄露将把用户的真实身份暴露在公众面前，对隐私构成极大的威胁。

PCN 中的隐私许可。 在许可的 PCN 中构建商户网络时，商户应至少披露其预期交易量，以构建可靠的网络。 然而，这会为商家创造商业秘密。 为了防止这种情况，可以探索基于零知识证明的多方通信。

六，结论

PCN 是一种有前途的解决方案，可以使基于加密货币的支付具有可扩展性。 这个想法是为了解决加密货币的两个主要缺点：确认时间长和交易费用高。 有许多关于支付渠道和 PCN 设计的研究，以确保安全和高效的转移。 然而，这些研究没有提到在广泛应用所提出的想法的情况下这些方法可能的隐私泄露。 在本文中，我们首先根据区块链的类别和网络的拓扑行为对 PCN 进行分类。 在明确定义 PCN 中可能存在的隐私泄露之后，我们从隐私的角度比较和对比了 PCN 的现有方法。