如今市场情绪高涨，总给人一种革命成功的错觉。但我们知道还有很多问题没有得到解决，产品可用性很差。当然可以理解当前加密货币的交易需求，但如果我们是相信，投机活动最终让位产品功能价值的话，我需要了解更多的用例，及评估其问题。

比特币短短十几年，取得了黄金用了千百年才能达到的高度，加密世界在价值存储方面我们取了可喜的成就。接下来加密货币的支付系统，值得关注的，当年中本聪创建比特币，也是想用来作为支付，而不是价值存储。

有别于传统支付，加密货币的支付系统，除了以加密货币资产价值为基础外，更需要解决的支付中的隐私问题。在现实世界，我们使用的传统电子支付系统过程中（非现金支付），我们的消费习惯行为是祼露在中心化的公司中，这是令我们恐惧的。虽然各国政府都在出台法律法规保护隐私，但这只是治标不治本的方法。

加密货币支付系统中对支付的隐私保护是对传统支付的革命，何为更可靠的保护隐私的方法？如何评估PCN(Payment Channel Networks)的隐私保护，如下论文给出了详细的分析。

An Evaluation of Cryptocurrency Payment Channel Networks and Their Privacy Implications

Author(s):Enes Erdin, Suat Mercan, Kemal Akkaya

URL: https://arxiv.org/abs/2102.02659


摘要


加密货币重新定义了货币如何在用户之间存储和转移。然而，基于公共区块链的加密货币面临着很高的交易等待时间和费用, 而与发送的金额无关。这些缺点阻碍了加密货币在大众中的广泛应用。为了应对这些挑战，支付通道网络(Payment Channel Network, PCN)概念被吹捧为用于小额支付的最可行的解决方案。这个想法是通过将账户的状态保存在本地来交换资金的所有权。更少的状态通知上链，这降低了区块链的负载。具体来说，支付通道网络可以通过收取与支付金额成比例的名义费用，在几秒钟内提供交易链下批准。这种对支付通道网络的吸引力激发了许多最近的研究，这些研究侧重于如何设计支付通道和分配通道，以确保交易的安全和高效。然而，随着支付通道网络的出现和大量用户的使用，隐私问题变得越来越重要，这不仅会暴露个人习惯，还会暴露企业收入。在本文中，我们首先提出了基于现有的加密货币的支付通道网络的一个分类。在讨论了这些支付通道网络中出现的几种针对用户/业务隐私的攻击之后，我们根据与我们的案例相关的一些隐私度量对它们进行了定性评估。基于对这些方法的优缺点的讨论，我们为基于加密货币支付通道网络隐私的未来研究提供了可能的方向。


一、 导言


有许多现有货币支付系统，如纸面支票、信用卡/借记卡、自动清算所（ACH）支付、银行转帐或由金融机构拥有和管理的数字现金。然而，在不断发展的世界贸易中，货币的流动仍在发生变化。过去十年见证了比特币的引入[1]，这是一种新的范式转换创新，用户可以控制自己的钱，而不需要可信的第三方。在这个模型中，用户通过达成共识来控制货币的转移和所有权，从而控制系统。继比特币的成功之后，基于基于共识的账户管理理念，推出了很多提供新功能的新加密货币[2]，[3]。

在随后的几年里，加密货币取得初步成功，但由于其日常使用的实际问题而受到阻碍。基本上，就可伸缩性而言，它是一个非常有限的系统，而且由于等待时间长、不相称的事务费用高和吞吐量低，它在简单的日常事务中的广泛使用是不可能的。

在众多解决方案中，支付通道作为一种被广泛接受的解决方案应运而生。这个想法是建立在各方之间的链外链接的基础上，这样很多交易就不会每次都写入区块链。支付通道理念后来演变为建立支付通道网络（PCN），在众多参与者和通道中，参与者通过使用其他参与者作为中继进行支付，基本上形成了一个互联网络。这本质上是一个运行在加密货币之上的第二层网络应用程序，它涵盖了第一层服务。PCNs的一个完美例子是Lightning Network（LN）[4]，它使用比特币，并在很短的时间内到达许多用户。基于以太坊的Raiden[5]是PCN成功的另一个例子。

PCNs的出现给研究带来了一些挑战。特别是，由于用户可能会赔钱或拒绝承担责任，所以链外支付的安全性非常重要。此外，本文还研究了在用户数较多的PCN中支付路由的效率问题。这些努力为除LN外引入许多新的PCN解决了问题。这些PCN依赖于各种加密货币，并具有一些新功能。随着这些新提出的PCN变得越来越突出，将会有大量的用户和企业参与，这将引起他们的隐私问题，就像互联网上的用户隐私一样。不同之处在于，在许多情况下，互联网隐私可以得到监管，但PCN的情况并非如此，因为他们的理念正是建立在去中心化分散化的基础上。例如，用户自然希望对网络的其他部分保持匿名，而企业则希望其收入具有私有性，不被竞争对手所利用。

因此，在本文中，我们研究了这个新兴的问题，并对当前的PCN及其隐私含义进行了分析。我们首先根据常见的网络架构和区块链类型对PCN进行分类。然后，我们在PCNs的上下文中定义用户和业务隐私，并讨论可能对参与者隐私的攻击。具体来说，我们提出了PCN特有的新的隐私风险。利用这些攻击场景，我们稍后将根据特定的度量标准对现有PCN的隐私能力进行全面的调查和评估。这是一个新颖的定性评估，能够比较每一个PCN提供的隐私功能方面。最后，我们提出了未来可能的研究问题，可以在PCN隐私的背景下进一步研究。我们的工作不仅是第一次提高了在新兴领域的PCN隐私问题的认识，而且将帮助从业人员选择最佳的PCN为他们的需要。

本文的结构如下：第二节介绍了本文的研究背景。接下来，第三节根据常见的网络架构和区块链类型对PCN进行分类。在第四节中，我们定义了用户和业务隐私，讨论了对PCNs参与者隐私的可能攻击，并对他们在隐私方面提供的最新解决方案进行了评估。第五部分对PCNs隐私权的未来研究进行了展望，第六部分对全文进行了总结。


二、背景


A、 区块链

区块链是加密货币的基础技术，它带来了一个新的分布式数据库，它是一个公共的、透明的、永久的、由参与者共同托管的分类账。通过各种加密验证方法，称为X证明（Proof-X，PoX），网络中的每个参与者都拥有区块链的调节能力[6]。例如，比特币和以太坊共同占加密货币世界总市值的75%，它们利用工作证明（PoW）机制，参与者必须找到一个小于共同商定数字的“块哈希值”。块是具有有限大小的元素，用于存储事务信息。每个块都保存前一块的散列，从长远来看，前一块形成一个块链，称为区块链。“谁拥有什么”信息作为交易信息嵌入区块链。因此，独立参与者群体将区块链转变为一种解放的数据/资产管理技术，摆脱了受信任的中心第三方。

B、 加密货币

尽管区块链技术有很多应用领域，但最常用的是加密货币。加密货币是一种加密安全且可验证的货币，可用于购买商品和服务。在本文中，我们将交替使用加密货币和货币。

区块链技术无疑改变了数据传输、存储和表示的方式。尽管如此，就分布式账本的最终状态达成共识还是有缺点的。第一个缺点是交易确认时间长。例如，在比特币中，大约每10分钟生成一个块。作为一种启发式的比特币，用户需要等待6个区块，等待一笔交易的最终完成，这几乎需要60分钟。在以太坊中，两个区块之间的时间更短，但用户要连续等待30个区块，这会产生10-15分钟的等待时间。注意，由于块的大小是有限的，在传输请求的拥塞时间期间，不仅吞吐量将受到限制，而且用户的总等待时间也将更长。尽管如此，如果用户急于获得交易批准，它需要向矿商支付比竞争对手更高的费用。这给我们带来了加密货币使用区块链的第二个缺点。矿工节点生成和批准块，从用户那里获得费用，将事务包含在块中。因此，当出现拥堵时，付款人要么必须提供更多的费用，要么必须等待更多时间，以便矿工选择她/他的交易请求。

C、 智能合约

使用智能合约的能力是使区块链成为非传统资产管理技术的另一个特点。智能合约是脚本或字节码，它们根据合约中定义的未来事件定义如何进行交易。智能合约可用于有条件/无条件对等（P2P）交易、投票、法律遗嘱等。一如既往，决策的责任在区块链上。因此，当智能合约也被利用时，区块链完成交易输出。


三、 PCNs及其分类


A、 支付通道网络

由于可扩展性问题，研究人员一直在寻找解决方案，使加密货币具有可扩展性。在众多提供的解决方案中，链下支付通道的理念最受关注。为了建立这样一个通道，双方同意将一些钱存入一个多签（2/2多签名）钱包，并分配其份额的所有权。multi-sig钱包是由双方签署创建的智能合约。由区块链调解的智能合约包括参与者的地址、他们在钱包中的份额，以及如何履行合约的信息。这个想法很简单，付款人一方通过在本地相互更新合约，将他/她的一些钱的所有权交给另一方。在关闭通道，各方向区块链提交“关闭交易”，以便区块链向链上提交的最终状态关闭通道。因此，每一方从multi-sig钱包接收自己的最终份额。

在多方之间创建的支付通道使得通过中间节点建立从源到目的地的多跳支付成为可能。如图1所示，Alice Charlie（A-C）和Charlie Bob（C-B）有通道。当时间为t时，A-C和C-B被初始化。虽然Alice没有到Bob的直接通道，但是她仍然可以通过Charlie支付Bob。在时间t+x1，Alice开始向Bob转移10个单位。这笔钱注定要留给Bob而不是Charlie。Alice在A-C频道给了Charlie 10个单位的份额，当Charlie在C-B频道兑现这笔交易时，给了Bob 10个单位。传输结束后，A-C和C-B通道将更新。当时间为t+x2时，Alice向Bob进行另一个事务（20个单位），通道中的份额再次更新。

多跳(multi-hop)支付概念使得能够在用户之间建立被称为PCN的支付信道网络，如图2所示。当前的PCN在它们所依赖的拓扑结构和它们使用的第一层区块链技术方面各不相同。我们接下来讨论这个分类。然后，我们将更详细地解释每一个PCN，并在第四节中对它们进行分类。

B、 PCN体系结构

在本节中，我们将对可用于PCNs的网络体系结构类型进行分类。

1） 集中式架构：在这种类型的网络中，有一个中心节点，用户通过该中心节点或根据从中心节点接收到的规则相互通信，如图3（a）所示。从治理的角度来看，如果一个组织或一个公司能够单独决定网络中的连接、容量变化和流量，那么这种体系结构被称为集中式体系结构。

2） 分布式体系结构：在分布式网络中，没有中心节点。与集中式网络不同，每个用户在网络中具有相同的连接性、连接权限和语音。示例架构如图3（b）所示。

3） 分散式架构：这种架构是前两种架构的组合，如图3（c）所示。在这种体系结构中，没有单一的中心节点，而是有独立的中心节点。移除子节点后，中心节点的连接看起来非常像一个分布式体系结构。但是，当视图集中在一个中心节点周围时，就会看到一个集中的体系结构。

4） 联邦体系结构：联邦体系结构听起来很像现实世界中的联邦，可以说是介于集中式和分散式网络之间。在联邦架构中，有许多中心节点，它们以P2P方式相互连接。然后剩下的节点（子节点）通过这些中心节点严格地相互通信，这看起来非常像集中式体系结构的联合体。

C、 区块链网络类型

在本节中，我们将根据它们采用的区块链类型对现有的PCN进行分类。PCN主要采用在三种区块链上：

1） 公共区块链：在公共区块链中，不需要有约束力的合同或注册成为网络的一部分。用户可以随时加入或离开网络。因此，PCN将向任何愿意使用它的人开放。

2） 许可区块链：许可（即私有）区块链位于公共区块链的对面，分类账由公司/组织管理。此外，网络中节点的角色由中心机构分配。不是每个人都能参与或接触到许可区块链中的资源。采用许可区块链的PCN将是“会员专用”。

3） 联盟区块链：与许可区块链相反，在联盟区块链中，区块链由多个组织管理。从集中化的角度来看，这种方法似乎更自由，但区块链的治理模式将其推到了许可的一边。利用联合区块链的PCN在成员资格方面与许可区块链类似，但在这种情况下，成员将得到联合体的批准。


四、 PCNs中的隐私问题：度量和评估


随着PCNs在最近几年的兴起，许多研究致力于使其高效、健壮、可扩展和安全。然而，随着这些PCNs中的一些开始部署，它们接触到了大量的用户（即LN有超过1万个用户），并将进一步增长。这种增长带来了PCN特有的一些隐私问题。我们认为有必要从用户和企业的角度来识别和理解PCNs中的隐私风险。因此，在本节中，我们首先定义这些隐私度量，并解释PCNs中可能存在的隐私攻击。然后，我们总结了现有的PCNs，首次评估了它们的隐私能力。

A、 PCNs中的隐私

在其最简单的形式中，数据隐私或信息隐私可以定义为回答如何存储、访问和披露数据的过程。在我们的例子中，PCN用户数据通过许多其他用户在PCN内传输，确保未经授权用户的数据不会被暴露。为了解决这些问题，一些PCN致力于隐藏发送者（Us）或接收者（Ur）的身份（即匿名性），而另一些PCN致力于加强发送者和接收者之间的匿名关系。

B、 攻击模型和假设

本文考虑了两种类型的攻击者。第一种攻击者是诚实但好奇（HBC），攻击者在运行协议时诚实行事，但在操作过程中仍然被动地收集信息。第二种攻击者是控制网络中多个节点偏离协议的恶意攻击者。这些攻击者类型及其在网络中的位置如图4所示：

        1 攻击者正在支付路径上。
        2 攻击者不在特定支付路径上，但可以部分观察网络中的变化。
        3 攻击者与其他节点串通，例如利用复杂的方法进行包定时分析。

基于这些假设，我们考虑以下可能的攻击，以损害PCNs中的隐私：

对发件人/收件人匿名性的攻击：

发送者/接收者匿名性要求在支付期间其他人不知道发送者/接收者（Us/Ur）的身份。这是为了保护发送者/接收者的隐私，这样就没有人可以追踪他们的购物习惯。在某些情况下，对手可能会成功猜测发送者/接收者的身份，如下所示：

            对于情况1，发送方可以有一个到网络的连接，并且下一个节点是攻击者，因此，攻击者确定Us是发送方。
            对于情况2，攻击者可以通过探测通道平衡的变化来猜测发送者/接收者。
            对于情况3，如果攻击者能够在合谋节点形成的部分网络内进行支付时间分析，则攻击者将学习发送者/接收者。

对通道余额隐私的攻击。

为了保持用户/企业的投资能力隐私，PCNs中的通道容量应保护稳私。一个通道的投资额会提示用户的财务状况或其购物偏好。此外，如果通道中的容量变化是已知的，跟踪它们会导致发送者/接收者的间接隐私泄露。例如，攻击者可以发起虚假的事务请求。在从中间节点收集响应之后，它可以了解通道的容量。

关系匿名。

在某些情况下，我们或我们的身份可能是已知的。然而，如果攻击者能够将付款人与收款人联系起来，那么不仅可以了解发送者的消费习惯，还可以了解接收者的商业模式。在这种情况下，可以通过隐藏发送者和接收者之间的关系来保护交易的隐私。具体来说，谁付钱给谁的信息应该保密。

C、 PCNs的发展现状及其隐私评价

在本节中，我们将简要描述当前的研究，这些研究要么提出完整的PCN，要么对现有的PCN提出修改，然后基于我们的威胁模型分析它们的隐私能力。我们在表一中提供了对当前PCN分类和隐私特征的评估总结。

Lightning Network（LN，闪电网络）：LN[4]是第一个部署在比特币上的PCN。它于2017年启动，到2020年6月，提供超过12,000个节点和36,000个通道。LN中的节点利用“哈希时间锁定契约”（HTLC）进行多跳传输。支付信道中的定向容量不公开，但是通道中的总容量对于发送方计算路径是已知的。这提供了部分通道平衡隐私。发送方通过使用中间节点的公钥通过“onion routing/洋葱路由”对路径进行加密，使得中间节点只知道前面和后面节点的地址。中间节点都无法通过查看网络数据包来猜测消息的来源或目的地。

Raiden Network：LN之后不久，Ethunm基金会宣布了Raiden Network[5 ]。Raiden相当于LN，用于传输以太坊ERC20令牌，并提供相同的隐私功能。尽管以太坊是第二大加密出现，但这种流行并没有很好地反映在Raiden网络中。截至2020年6月，Raiden拥有25个节点和54个通道。Raiden相对于LN的优势在于，由于令牌化，用户可以生成自己的令牌，从而创建更灵活的交易环境。

Spider Network: Spider网络[7]是一种PCN，它提出了应用传统网络（如TCP/IP）中基于分组交换的路由思想。然而，众所周知，在分组交换中，消息的来源和目的地应该嵌入到网络分组中。将支付分成多笔小额支付，消除了通道枯竭问题。在这个PCN中，有一些具有特殊功能的spider路由器，它们相互通信并知道网络中信道的容量。发送方将支付发送到路由器。当数据包到达路由器时，它将排队等待，直到候选路径上的资金满足恢复交易的要求。作者没有提到隐私，并计划利用OnOnRouting作为未来的工作。小额支付可能会遵循不同的路径，这将有助于保持业务量私有化，如果收件人是私有的。此外，劫持路由器会让攻击者了解网络中的一切。

SilentWhispers:SilentWhispers[8]使用landmarks路由，landmarks位于支付中心。在他们的攻击模型中，要么攻击者不在支付路径上，要么里程碑是HBC。在这里，landmarks知道拓扑结构，但并不知道所有的通道余额。当发送者想把钱寄给接收者时，她/他会与她/他的意图的landmarks进行沟通。然后landmarks开始与可能的节点通信，从“发送者到landmark”到“landmark到接收者”，形成一条支付路径。路径中的每个节点向landmarks公开所请求的传输量的信道余额可用性。landmarks通过多方计算确定交易的可行性。在SilentWhispers中，发送者和接收者是保密的，但是landmarks知道发送者-接收者对。对于不参与交易的节点，支付金额也是私有的。此外，网络中的信道平衡是私有的。虽然集中化是可能的，但这种方法是分散的，landmarks是可信的。

SpeedyMurmurs:SpeedyMurmurs[9]是一种路由协议，特别是对LN的改进。在SpeedyMurmurs，有著名的landmarks，如SilentWhispers。这种方法的区别在于候选路径上的节点匿名地交换邻居的信息。因此，如果一个节点知道一条更接近收件人的路径，它就会朝这个方向转发支付，称为“快捷路径”。在快捷路径中，中间节点不一定知道收件人，但知道收件人附近的邻居。SpeedyMurmurs通过为发件人和收件人生成匿名地址来隐藏他们的身份。中间节点还通过生成匿名地址来隐藏其邻居的身份。尽管这可能很复杂，但对网络应用反匿名攻击是有效的。虽然算法是一种分散的方法，但角色分配不公平，它可能会变成一种集中的方法。

PrivPay:PrivPay[10]是SilentWhispers的一个面向硬件的版本。landmark中的计算是在防篡改的可信硬件中完成的。因此，网络的安全性和隐私性直接关系到可信硬件的可靠性，而可信硬件的可靠性也可能带来集中化。在PrivPay中，不考虑发件人隐私，接收方隐私和业务量隐私是通过错误信息实现的。当攻击者不断尝试从其他节点查询数据时，框架开始产生概率结果。

Bolt:Bolt[11]是一个基于hub的支付系统。也就是说，发送方和接收方之间只有一个中间节点。Bolt 假设基于零知识证明的加密货币。它不满足多跳支付中的隐私性，但是如果中间节点是诚实的，它满足很强的关系匿名性。另一方面，依赖于单个节点使得这种方法成为集中式方法。

Permissioned Bitcoin PCN：在PCN中，如果网络拓扑不理想，例如星形拓扑，一些节点可能会了解用户和支付。为此，作者在[12]中提出了一种新的许可PCN拓扑设计，以防止通道耗尽。他们提出了一个真实的用例，在这个用例中，一个商人联盟创建了一个完整的P2P拓扑，客户通过商人连接到这个PCN，商人承担网络的财务负担来赚钱。类LN机制满足了PCN中用户的隐私性。作者还研究了在多跳支付中，当发送者/接收者的隐私和关系匿名性可以通过至少3跳来满足时。

Anonymous Multi-Hop Locks (AMHL)：在AMHL方案[13]中，作者为PCNs提供了一种新的HTLC机制。在支付路径上，发送者同意为他们的服务向每个中介支付一些服务费。然而，如果这两个中介恶意串通，他们可以消除路径中的诚实用户，从而窃取他们的费用。为了解决这个问题，他们引入了另一个通信阶段，在这个阶段中，发送方向中间节点分发一个一次性密钥。虽然HTLC机制是为了用户的安全而改进的，但是发送者的隐私并没有得到保护，每个中间人都习得发送者信息。然而，匿名关系仍然可以得到保护。


五、 PCNs的未来研究问题


PCNs中的隐私问题是一个尚待研究的课题，还有许多有待进一步研究的问题。在本节中，我们总结这些问题：

PCN协议的滥用。由于大多数PCN依赖于公共加密货币，其协议实现是公共的。这种自由可能被滥用，通过更改设计中的某些参数和算法，攻击者的行为可能与预期不同。这将带来隐私泄露和网络审查。网络的拓扑重组将有助于解决这个问题。如果发送方对中间节点产生怀疑，它可以寻找替代方案，而不是使用该节点。

节点共谋。当节点在PCN中合谋时，可以提取更多的用户信息。为了防止这种情况，应该丰富协议以发现共谋节点，或者通过在协议中添加冗余来混淆共谋节点。

政策制定。加密货币和PCN的概念仍处于生命的早期阶段。因此，在这一领域，政策和法规不仅要保护参与者的安全，还要保护他们的隐私。这也将为研究人员创造一个量化指标来衡量他们的提案是否成功。

可伸缩性对隐私的影响。引入PCNs的目的之一是使加密货币更具可扩展性。例如，LN建议在建立新连接的同时运行Barabasi Albert scale free网络模型[15]。因此，网络的最终状态可能会造成集中，这将对网络中节点的隐私产生不利影响。

物联网与PCNs的整合。使用物联网设备进行支付是不可避免的。除了大多数物联网设备不足以运行一个完整的节点之外，还需要研究物联网生态系统中支付和设备身份的安全性和隐私性。这些设备预计能够通过网关参与网络。设备所有权的披露会将用户的真实身份泄露给公众，这对隐私构成很大威胁。

许可PCNs中的隐私。在许可PCNs中建立商户网络时，商户应至少披露其预期交易量，以建立可靠的网络。然而，这将产生商人的商业秘密。为了防止这种情况，可以探索基于零知识证明的多方沟通。


六、 结论


PCN是一种很有希望的解决方案，可以使基于加密货币的支付具有可扩展性。这个想法旨在解决加密货币的两个主要缺点：确认时间长和交易费用高。有许多关于支付通道和PCNs的设计的研究，以确保转账的安全和高效。然而，这些研究并没有提及这些方法在广泛应用所提出的想法的情况下可能存在的隐私泄露。本文首先根据区块链的类型和网络的拓扑行为对PCNs进行了分类。在明确定义了PCNs中可能存在的隐私泄露之后，我们从隐私的角度对现有的PCNs方法进行了比较和对比。