加密货币支付渠道网络（PCNs）隐私保护评估

如今市场人气高涨，总给人一种革命成功的假象。但是我们知道还有很多问题没有解决，产品的可用性很差。当然，我们可以理解加密货币当前的交易需求，但是如果我们相信投机最终会让位于产品的功能价值，我需要了解更多的用例并评估它们的问题。

比特币已经达到了黄金的水平，仅仅10年就达到了几千年的水平。我们在加密世界的价值存储方面取得了可喜的成就。接下来，对于加密货币的支付系统，值得注意的是，中本在创建比特币时，也希望将其作为支付而不是价值存储。

与传统支付不同，加密货币支付系统除了以加密货币资产价值为基础外，更需要解决支付中的隐私问题。在现实世界中，当我们使用传统的电子支付系统（非现金支付）时，我们的消费习惯暴露在中心化的公司中，这让我们感到恐惧。尽管世界各国政府都在制定保护隐私的法律法规，但这只是暂时的解决办法。

加密货币支付系统中的支付隐私保护是对传统支付方式的一次革命。保护隐私更可靠的方法是什么？本文详细分析了如何评估PCN（payment channel networks）的隐私保护。

加密货币支付渠道网络及其隐私影响的评估

作者：Enes Erdin，Suat MERCan，Kemal Akkaya

网址：https://arxiv.org/abs/2102.02659

摘要

加密货币重新定义了货币在用户之间的存储和转移方式。然而，基于公共区块链的加密货币面临着较高的交易等待时间和成本，这与发送量无关。这些缺点阻碍了加密货币在公众中的广泛应用。为了应对这些挑战，支付渠道网络（PCN）被誉为小额支付最可行的解决方案。这个想法是通过保持账户的本地状态来交换资金的所有权。链上的状态通知较少，这降低了区块链的负载。具体来说，支付渠道网络可以通过收取与支付金额成比例的名义费用，在几秒钟内提供链外批准。这种对支付渠道网络的吸引力激发了许多最近的研究，这些研究中心化在如何设计支付渠道和分配渠道，以确保交易的安全性和效率。然而，随着支付渠道网络的出现和大量用户的使用，隐私问题变得越来越重要，这不仅会暴露个人习惯，还会暴露企业收入。本文首先提出了一种基于现有加密货币的支付渠道网络分类方法。在讨论了这些支付渠道网络中对用户/业务隐私的几次攻击之后，我们根据一些与我们案例相关的隐私措施对其进行了定性评估。在讨论这些方法优缺点的基础上，为今后基于加密货币支付渠道的网络隐私研究提供了可能的方向。

1、 导言

有许多现有的货币支付系统，如纸面支票、信用卡/借记卡、自动清算所（ACh）支付、银行转帐或由金融机构拥有和管理的数字现金。然而，在世界贸易的不断发展中，货币的流动仍在发生着变化。在过去的十年中，比特币被引入，这是一种新的范式转变创新，用户无需可信的第三方就可以控制自己的资金。在这个模中，用户通过达成共识来控制系统，控制货币的转移和所有权。随着比特币的成功，基于共识的账户管理理念，许多新的加密货币推出了新的功能[2]，[3]。

在随后的几年里，加密货币取得了初步的成功，但它在日常使用中受到了实际问题的阻碍。基本上，在可扩展性方面，它是一个非常有限的系统，由于等待时间长、事务成本高、吞吐量低，不可能在简单的日常事务中得到广泛的应用。

在众多解决方案中，支付渠道作为一种被广泛接受的解决方案应运而生。这种想法是基于各方之间的链外链接，使得很多交易不会每次都写入区块链。支付渠道的概念后来演变为支付渠道网络（PCN）的建立。在众多参与者和渠道中，参与者以其他参与者为接力者进行支付，基本形成互联网。这实际上是一个运行在cryptocurrency之上的第2层web应用程序，它涵盖了第1层服务。PCNs的一个完美例子是lightning network（LN）[4]，它使用比特币，并在短时间内到达许多用户。基于以太坊的Raiden是PCN的另一个成功例子。

PCNs的出现给研究带来了一些挑战。特别是由于用户可能会赔钱或拒绝承担责任，因此链外支付的安全性非常重要。此外，本文还研究了用户数较大的PCN中支付路由的效率问题。这些努力解决了在LN之外引入许多新PCN的问题。这些pcn依赖于各种加密货币，具有一些新的功能。随着这些新的pcn越来越突出，将会有大量的用户和企业参与进来，这将导致他们的隐私问题，就像互联网上的用户隐私一样。不同的是，在很多情况下，互联网隐私可以被监管，但PCN却不是这样，因为他们的概念是基于分权的。例如，用户自然希望对网络的其他部分保持匿名，而企业则希望自己的收入是私有的，不被竞争对手使用。

因此，本文对这一新兴问题进行了研究，并分析了当前PCN及其隐私含义。我们首先根据常见的网络架构和区块链类对PCN进行分类。然后，在PCNs环境下定义了用户隐私和业务隐私，并讨论了可能对参与者隐私的攻击。具体来说，我们提出了一个新的隐私风险的具体PCN。利用这些攻击场景，我们将根据具体指标对现有PCN的隐私能力进行全面的调查和评估。这是一种新颖的定性评估，可以比较每个PCN提供的隐私功能。**，提出了未来可能的研究问题，并在PCN隐私的背景下进行了进一步的研究。我们的工作不仅是第一次在新兴领域提高对PCN隐私问题的认识，而且将帮助从业人员根据自己的需要选择**的PCN。

本文的结构如下：第二部分介绍了本文的研究背景。接下来，第三节根据常见的网络架构和区块链类对PCN进行分类。在第4节中，我们定义了用户和业务隐私，讨论了可能对PCNs参与者隐私的攻击，并评估了他们**的隐私解决方案。第五部分对PCNs隐私权的未来研究进行了展望。第六部分对全文进行总结。

2、 背景

A、 区块链

区块链是加密货币的基础技术。它带来了一个新的分布式数据库，它是一个公共的、透明的、由参与者共同托管的**性账本。通过各种加密验证方法，即proof-x（POX），网络中的每个参与者都具有区块链的调整能力[6]。例如，比特币和以太坊加起来占全球加密货币总市值的75%。他们使用工作证明（POW）机制，参与者必须找到一个小于双方同意的数字的“块哈希值”。块是用于存储事务信息的有限大小的元素。每个块保留前一块的哈希值。从长远来看，前面的区块形成一个区块链，叫做区块链。”谁拥有作为交易信息嵌入区块链的“什么”信息。因此，独立参与者集团将区块链转变为一种解放的数据/资产管理技术，摆脱了受信任的中央第三方。

B、 加密货币

尽管区块链技术有很多应用，但最常用的是加密货币。加密货币是一种加密、安全和可验证的货币，可用于购买商品和服务。在本文中，我们将交替使用加密货币和货币。

区块链技术无疑改变了数据传输、存储和呈现的方式。然而，就分布式账本的最终状态达成共识也有缺点。第一个缺点是确认时间长。例如，在比特币中，大约每10分钟生成一个块。作为一种启发式比特币，用户需要等待6个街区，等待交易的最终完成，这几乎需要60分钟。在以太坊中，两个区块之间的时间更短，但用户必须连续等待30个区块，这导致等待时间为10-15分钟。注意，由于块大小是有限的，因此在传输请求的拥塞时间期间不仅吞吐量将受到限制，而且用户的总等待时间也将更长。不过，如果用户急于获得这笔交易的批准，它将不得不向该矿工支付比竞争对手更多的费用。这给我们带来了加密货币使用区块链的第二个缺点。miner节点生成并批准块，从用户那里获得费用，并将事务包含在块中。因此，当发生拥塞时，付款人必须提供更多费用或等待矿工选择其交易请求的更多时间。

C、 智能合约

使用智能合约的能力是区块链成为非传统资产管理技术的另一个特点。智能合约是一个脚本或字节码，它定义了如何根据合约中定义的未来事件进行交易。智能合约可用于有条件/无条件对等（P2P）交易、投票、法定遗嘱等。一如既往，决策的责任在于区块链。因此，当智能合约也被使用时，区块链完成交易输出。

3、 PCNs及其分类

A、 支付渠道网络

由于可扩展性问题，研究人员一直在寻找解决方案，使加密货币可扩展。在提供的解决方案中，线下支付渠道的概念最受关注。为了建立这样一个渠道，双方同意在一个多签名（2/2多签名）钱包里存一些钱，并分配他们的股份所有权。Multi-sig wallet是由双方签署的智能合约。区块链介导的智能合约包括参与者的地址、他们在钱包中的份额以及如何履行合约。想法很简单：付款人通过在当地续签合同的方式，将部分资金的所有权移交给另一方。在关闭通道中，各方向区块链提交“关闭交易”，使区块链提交给链的最终状态可以关闭通道。因此，各方从multi-sig钱包中获得自己的最终份额。

多方之间建立的支付通道使得通过中间节点建立从源到目的地的多跳支付成为可能。如图1所示，Alice Charlie（A-C）和Charlie Bob（C-B）有频道。当时间为t时，a-c和c-B被初始化。虽然艾丽丝无法直接联系到鲍勃，但她仍然可以通过查理支付鲍勃的费用。在时间t+x1，Alice开始向Bob转移10个单位。这笔钱注定要留给鲍勃，而不是查理。艾丽丝在a-c频道给了查理10个单位，当查理在c-B频道兑现时，她给了鲍勃10个单位。传输后，a-c和c-B通道将更新。当时间为t+X2时，Alice与Bob执行另一个事务（20个单位），并且信道中的份额再次更新。

多跳支付概念使得能够在用户之间建立称为PCN的支付信道网络，如图2所示。当前的PCN在所依赖的拓扑结构和使用的第一层区块链技术上有所不同。接下来我们来讨论这个分类。然后，我们将在第4节中详细解释每个PCN并对它们进行分类。

B、 PCN体系结构

在本节中，我们将对PCN可用的网络体系结构类进行分类。

1） 中心化式体系结构：在这种类的网络中，有一个中心节点，用户通过该节点或根据从中心节点接收到的规则进行通信，如图3（a）所示。从治理的角度来看，如果一个组织或一个公司能够独立地决定网络中的连接、容量变化和流量，那么这种体系结构就称为中心化式体系结构。

2） 分布式体系结构：在分布式网络中，没有中心节点。与中心化式网络不同，每个用户在网络中具有相同的连通性、连接权限和语音。示例架构如图3（b）所示。

3） 去中心化体系结构：这种体系结构是前两种体系结构的组合，如图3（c）所示。在这种体系结构中，没有单一的中心节点，而是一个独立的中心节点。移除子节点后，中心节点的连接看起来非常像一个分布式体系结构。但是，当视图中心化在一个中心节点周围时，您会看到一个中心化的体系结构。

4） 联邦体系结构：联邦体系结构听起来像现实世界中的联邦，可以说是在中心化式和去中心化网络之间。在联邦结构中，有许多中心节点通过P2P进行连接，其余的节点（子节点）通过这些中心节点进行严格的通信，很像一个中心化式结构的联邦。

C、 区块链网络类

在本节中，我们将根据它们使用的区块链类对现有的PCN进行分类。PCN主要用于三种区块链：

1） 公共区块链：在公共区块链中，不需要有约束力的合同或注册作为网络的一部分。用户可以随时加入或离开网络。因此，PCN将向任何愿意使用它的人开放。

2） 许可区块链：许可（即私有）区块链位于公共区块链的对面，分类账由公司/组织管理。此外，网络中节点的角色由中心组织分配。并非每个人都可以参与或访问许可区块链中的资源。拥有许可区块链的PCN将是“会员专用”。

3） 联盟区块链：与许可区块链不同，在联盟区块链中，区块链由多个组织管理。从中心化的角度来看，这种方法似乎更自由，但区块链的治理模式将其推到了许可的一边。使用联合区块链的PCN在成员资格方面与许可区块链类似，但在这种情况下，成员将得到联合体的批准。

4、 PCNs中的隐私问题：测量与评估

近年来，随着PCNs的兴起，使得PCNs高效、健壮、可扩展和安全成为研究的热点。然而，随着这些PCN中的一些开始部署，它们将覆盖大量用户（即LN有超过10000个用户），并将进一步增长。这种增长带来了一些PCN特有的隐私问题。我们认为有必要从用户和企业的角度来识别和理解PCNs中的隐私风险。因此，在本节中，我们首先定义这些隐私度量，并解释PCNs中可能存在的隐私攻击。然后，我们对现有的pcn进行了总结，并**对其隐私保护能力进行了评估。

A、 PCNs中的隐私

在最简单的形式中，数据隐私或信息隐私可以定义为回答如何存储、访问和披露数据的过程。在我们的示例中，PCN用户数据通过许多其他用户在PCN中传输，以确保未经授权的用户的数据不会被暴露。为了解决这些问题，一些pcn试图隐藏发送者（US）或接收者（UR）的身份，而另一些pcn则试图加强发送者和接收者之间的匿名关系。

B、 攻击模与假设

本文考虑两种类的攻击者。第一类攻击者是诚实但好奇的（HBC）。攻击者在运行协议时诚实行事，但在操作过程中仍然被动收集信息。第二类攻击者是恶意攻击者，他们控制网络中的多个节点偏离协议。这些类的攻击者及其在网络中的位置如图4所示

1攻击者位于支付路径上。

2攻击者不在特定的支付路径上，但可以部分观察网络中的变化。

3攻击者与其他节点串通，例如使用复杂的方法进行数据包定时分析。

基于这些假设，我们考虑以下可能的攻击来损害PCNs中的隐私：

对发件人/收件人匿名性的攻击：

发送方/接收方匿名性要求其他人在支付期间不知道发送方/接收方（US/ur）的身份。这是为了保护发送者/接收者的隐私，这样就没有人可以追踪他们的购物习惯。在某些情况下，对手可以成功地猜测发送者/接收者的身份，如下所示：

对于情况1，发送方可以连接到网络，下一个节点就是攻击者。因此，攻击者确定我们是发送者。

对于情况2，攻击者可以通过检测信道平衡的变化来猜测发送方/接收方。

对于第三种情况，如果攻击者能够分析合谋节点形成的部分网络中的支付时间，则攻击者将从发送方/接收方学习。

对通道平衡隐私的攻击。

为了维护用户/企业投资能力的隐私，PCNs中的信道容量应该得到保护。渠道的投资金额会提示用户的财务状况或购物偏好。此外，如果信道中的容量变化是已知的，跟踪它们将导致发送者/接收者的间接隐私泄露。例如，攻击者可以发起假事务请求。在从中间节点收集响应之后，它可以了解信道的容量。

这段关系是匿名的。

在某些情况下，我们或我们的身份可能是已知的。然而，如果攻击者能够将付款人与收款人联系起来，他不仅可以了解发送者的消费习惯，还可以了解接收者的商业模式。在这种情况下，可以通过隐藏发送者和接收者之间的关系来保护交易的隐私。具体来说，关于谁付钱给谁的信息应该保密。

C、 PCNs的发展现状及隐私评价

在本节中，我们将简要描述当前的研究，这些研究要么提出完整的PCN，要么提出对现有PCN的修改，然后基于我们的威胁模分析它们的隐私能力。我们在表1中提供了当前PCN分类和隐私特征的摘要。

闪电网络：ln[4]是第一个部署在比特币上的PCN。它于2017年推出，到2020年6月将提供超过12000个节点和36000个频道。LN中的节点使用hash时间锁契约（HTLC）进行多跳传输。支付信道中的定向容量未被公开，但是信道中的总容量对于发送方的计算路径是已知的。这提供了部分通道平衡隐私。发送方使用中间节点的公钥通过“洋葱路由/洋葱路由”对路径进行加密，使中间节点只知道前后节点的地址。任何中间节点都不能通过查看网络数据包来猜测消息的来源或目的地。

雷登网络：LN之后不久，Unurn基金会宣布了雷登网络[5 ]。Raiden相当于LN，用于传输以太坊ERC20代币，并提供相同的隐私功能。虽然以太坊是第二大加密，但这种流行并没有在Raiden网络中得到很好的体现。截至2020年6月，Raiden拥有25个节点和54个频道。与LN相比，Raiden的优势在于用户可以生成自己的代币，从而创造更灵活的交易环境。

Spider网络：Spider网络[7]是PCN的一种，它提出了传统网络（如TCP/IP）中基于分组交换的路由思想。然而，众所周知，在分组交换中，消息的源和目的地应该嵌入到网络分组中。支付分为若干小额支付，以消除渠道枯竭的问题。在这个PCN中，有一些具有特殊功能的spider路由器。它们相互通信并知道网络中信道的容量。发送方将支付发送到路由器。当数据包到达路由器时，它将排队等待，直到候选路径上的资金满足恢复事务的要求。作者没有提到隐私，并计划使用onrouting作为未来的工作。小额支付可能遵循不同的路径，这将有助于保持业务量私人如果收件人是私人的。此外，劫持路由器会让攻击者知道网络中的一切。

四连傻话[8] 使用地标路由，地标位于支付中心。在他们的攻击模中，要么攻击者不在支付路径上，要么里程碑是Hbc。在这里，landmarks知道拓扑结构，但不是所有的通道平衡。当发送者想把钱寄给接收者时，她/他将与她/他想要的地标进行通信。然后地标开始与可能的节点进行通信，从“发送者到地标”到“地标到接收者”，形成一条支付路径。路径中的每个节点向地标公开所请求的传输量的信道平衡可用性。地标通过多方计算确定交易的可行性。在无声的耳语中，发送者和接收者是保密的，但是landmarks知道发送者和接收者对。对于不参与交易的节点，支付金额也是私有的。另外，网络中的信道均衡是私有的。虽然中心化是可能的，但是这种方法是去中心化的，而且标志性的东西是可信的。

斯佩动脉炎性杂音[9] 它是一种路由协议，尤其是LN的改进。在Speedymur杂音中，有**的地标，比如无声的哨声。这种方法的不同之处在于候选路径上的节点匿名地交换邻居信息。因此，如果一个节点知道一条离接收者较近的路径，它就会向这个方向转发支付，这就是所谓的“快捷路径”。在快捷路径中，中间节点不一定知道接收者，但知道接收者附近的邻居。speedymurmurruss通过为发件人和收件人生成匿名地址来隐藏他们的身份。中间节点还生成匿名地址以隐藏其邻居的身份。尽管这可能很复杂，但它对网络应用程序的匿名攻击是有效的。虽然该算法是一种去中心化的方法，但是角色分配不公平，有可能成为一种中心化的方法。

PrivPay公司：PrivPay公司[10] 是一个面向硬件的无声耳语版本。landmark中的计算是在防篡改的可信硬件中进行的。因此，网络的安全性和隐私性直接关系到可信硬件的可靠性，而可信硬件的可靠性也可能带来中心化性。privpay不考虑发送方的隐私，通过错误消息实现接收方的隐私和流量隐私。当攻击者不断尝试从其他节点查询数据时，框架开始产生概率结果。

螺栓：螺栓[11] 它是一个基于hub的支付系统。换句话说，在发送方和接收方之间只有一个中间节点。博尔特假设加密货币基于零知识证明。它不满足多跳支付的隐私性，但如果中间节点是诚实的，则满足强关系匿名性。另一方面，依赖于单个节点使得该方法中心化。

允许比特币PCN：在PCN中，如果网络拓扑结构不理想，如星形拓扑，一些节点可能知道用户和支付情况。为此，作者在[12]中提出了一种新的许可PCN拓扑设计，以防止信道耗尽。他们提出了一个真实的用例。在这个用例中，商家联盟创建了一个完整的P2P拓扑。客户通过商家接入PCN，商家承担网络赚钱的经济负担。Ln-like机制满足了PCN中用户的隐私。作者还研究了在多跳支付中，发送者/接收者的隐私性和关系匿名性何时至少可以由三个跳来满足。

匿名多跳锁（amhl）：在amhl方案[13]中，作者为PCNs提供了一种新的HTLC机制。在支付路径上，发送者同意为他们的服务向每个中介支付一些服务费。但是，如果两个中介恶意串通，就可以消灭路径中的诚实用户，盗取他们的费用。为了解决这个问题，他们引入了另一个通信阶段，发送方将一次性密钥分发给中间节点。虽然HTLC机制对用户的安全性进行了改进，但是发送者的隐私并没有得到保护。每个中间人都知道发送者的信息。但是，匿名关系仍然可以得到保护。

5、 PCNs的未来研究

PCNs中的隐私问题是一个有待研究的课题，还有许多问题需要进一步研究。在本节中，我们总结这些问题：

PCN协议的滥用。由于大多数pcn依赖于公共加密货币，它们的协议实现是公共的。这种自由可能被滥用。通过改变设计中的一些参数和算法，攻击者的行为可能会与预期不同。这将导致隐私泄露和******。网络拓扑重组将有助于解决这一问题。如果发送方怀疑中间节点，它可以找到替代方案，而不是使用该节点。

节点共谋。当节点在PCN中合谋时，可以提取更多的用户信息。为了防止这种情况的发生，我们应该丰富协议以发现共谋节点，或者通过在协议中添加冗余来混淆共谋节点。

政策制定。加密货币和PCN的概念还处于早期阶段。因此，在这一领域，政策法规不仅要保护参与者的安全，更要保护参与者的隐私。它还将为研究人员创造一个量化指标，以衡量他们的提案是否成功。

可伸缩性对隐私的影响。引入PCNs的目的之一是使加密货币更具可扩展性。例如，LN建议在建立新连接的同时运行Barabasi-Albert无标度网络模[15]。因此，网络的最终状态可能导致中心化，这将对网络中节点的隐私产生不利影响。

物联网与PCNs的融合。使用物联网设备进行支付是必然的。除了大多数物联网设备不足以运行一个完整的节点之外，我们还需要研究物联网生态系统中支付和设备身份的安全性和隐私性。这些设备预计能够通过**参与网络。设备所有权的公开将向公众披露用户的真实身份，对隐私构成极大威胁。

在PCNs中允许隐私。在许可PCN中建立商户网络时，商户应至少披露其预期交易量，以建立可靠的网络。然而，这会给商人带来商业秘密。为了防止这种情况的发生，我们可以探索基于零知识证明的多方通信。

6、 结论

PCN是一种很有前途的基于加密货币的支付解决方案。该思想旨在解决加密货币的两个主要缺点：确认时间长和交易成本高。为了保证转账的安全性和效率，人们对支付渠道和PCNs的设计进行了大量的研究。然而，这些研究并没有提及这些方法在广泛应用的情况下可能存在的隐私泄露问题。首先，根据区块链类和网络拓扑行为对pcn进行分类。在定义了PCNs中可能存在的隐私泄漏之后，从隐私的角度对现有的PCNs方法进行了比较。