加密钱币支付通道网络(PCNs)的隐私珍爱评估

ETH质押者需要领会的10个真相

如果你打算在信标链上质押 ETH，你得先搞明白这个事情的全貌。很多文章写的都是当质押者是件多么简单、拉风、明智、体面的事，这里我想强调的是你在入坑之前需要接受的残酷真相。

现在市场情绪高涨，总给人一种革命乐成的错觉。但我们知道另有许多问题没有获得解决，产物可用性很差。固然可以明白当前加密钱币的买卖需求，但若是我们是信赖，投契流动最终让位产物功效价值的话，我需要领会更多的用例，及评估其问题。

比特币短短十几年，取得了黄金用了千百年才气到达的高度，加密天下在价值存储方面我们取了可喜的成就。接下来加密钱币的支付系统，值得关注的，当年中本聪确立比特币，也是想用来作为支付，而不是价值存储。

有别于传统支付，加密钱币的支付系统，除了以加密钱币资产价值为基础外，更需要解决的支付中的隐私问题。在现实天下，我们使用的传统电子支付系统历程中（非现金支付），我们的消费习惯行为是祼露在中央化的公司中，这是令我们恐惧的。虽然各国政府都在出台执法律例珍爱隐私，但这只是治标不治本的方式。

加密钱币支付系统中对支付的隐私珍爱是对传统支付的革命，作甚更可靠的珍爱隐私的方式？若何评估PCN(Payment Channel Networks)的隐私珍爱，如下论文给出了详细的剖析。

An Evaluation of Cryptocurrency Payment Channel Networks and Their Privacy Implications

Author(s):Enes Erdin, Suat Mercan, Kemal Akkaya

URL: https://arxiv.org/abs/2102.02659

摘要

加密钱币重新界说了钱币若何在用户之间存储和转移。然而，基于公共区块链的加密钱币面临着很高的买卖守候时间和用度, 而与发送的金额无关。这些瑕玷阻碍了加密钱币在民众中的普遍应用。为了应对这些挑战，支付通道网络(Payment Channel Network, PCN)观点被吹捧为用于小额支付的最可行的解决方案。这个想法是通过将账户的状态保留在内陆来交流资金的所有权。更少的状态通知上链，这降低了区块链的负载。具体来说，支付通道网络可以通过收取与支付金额成比例的名义用度，在几秒钟内提供买卖链下批准。这种对支付通道网络的吸引力激发了许多最近的研究，这些研究侧重于若何设计支付通道和分配通道，以确保买卖的平安和高效。然而，随着支付通道网络的泛起和大量用户的使用，隐私问题变得越来越重要，这不仅会露出小我私家习惯，还会露出企业收入。在本文中，我们首先提出了基于现有的加密钱币的支付通道网络的一个分类。在讨论了这些支付通道网络中泛起的几种针对用户/营业隐私的攻击之后，我们凭据与我们的案例相关的一些隐私器量对它们举行了定性评估。基于对这些方式的优瑕玷的讨论，我们为基于加密钱币支付通道网络隐私的未来研究提供了可能的偏向。

一、 导言

有许多现有钱币支付系统，如纸面支票、信用卡/借记卡、自动整理所（ACH）支付、银行转帐或由金融机构拥有和治理的数字现金。然而，在不停生长的天下贸易中，钱币的流动仍在发生转变。已往十年见证了比特币的引入[1]，这是一种新的范式转换创新，用户可以控制自己的钱，而不需要可信的第三方。在这个模子中，用户通过杀青共识来控制钱币的转移和所有权，从而控制系统。继比特币的乐成之后，基于基于共识的账户治理理念，推出了许多提供新功效的新加密钱币[2]，[3]。

在随后的几年里，加密钱币取得开端乐成，但由于其一样平常使用的实际问题而受到阻碍。基本上，就可伸缩性而言，它是一个异常有限的系统，而且由于守候时间长、不相称的事务用度高和吞吐量低，它在简朴的一样平常事务中的普遍使用是不可能的。

在众多解决方案中，支付通道作为一种被普遍接受的解决方案应运而生。这个想法是确立在各方之间的链外链接的基础上，这样许多买卖就不会每次都写入区块链。支付通道理念厥后演变为确立支付通道网络（PCN），在众多介入者和通道中，介入者通过使用其他介入者作为中继举行支付，基本上形成了一个互联网络。这本质上是一个运行在加密钱币之上的第二层网络应用程序，它涵盖了第一层服务。PCNs的一个完善例子是Lightning Network（LN）[4]，它使用比特币，并在很短的时间内到达许多用户。基于的Raiden[5]是PCN乐成的另一个例子。

PCNs的泛起给研究带来了一些挑战。特别是，由于用户可能会赔钱或拒绝肩负责任，以是链外支付的平安性异常重要。此外，本文还研究了在用户数较多的PCN中支付路由的效率问题。这些起劲为除LN外引入许多新的PCN解决了问题。这些PCN依赖于种种加密钱币，并具有一些新功效。随着这些新提出的PCN变得越来越突出，将会有大量的用户和企业介入，这将引起他们的隐私问题，就像互联网上的用户隐私一样。差别之处在于，在许多情形下，互联网隐私可以获得羁系，但PCN的情形并非如此，由于他们的理念正是确立在去中央化涣散化的基础上。例如，用户自然希望对网络的其他部门保持匿名，而企业则希望其收入具有私有性，不被竞争对手所行使。

因此，在本文中，我们研究了这个新兴的问题，并对当前的PCN及其隐私寄义举行了剖析。我们首先凭据常见的网络架构和区块链类型对PCN举行分类。然后，我们在PCNs的上下文中界说用户和营业隐私，并讨论可能对介入者隐私的攻击。具体来说，我们提出了PCN特有的新的隐私风险。行使这些攻击场景，我们稍后将凭据特定的器量尺度对现有PCN的隐私能力举行周全的调查和评估。这是一个新颖的定性评估，能够对照每一个PCN提供的隐私功效方面。最后，我们提出了未来可能的研究问题，可以在PCN隐私的靠山下进一步研究。我们的事情不仅是第一次提高了在新兴领域的PCN隐私问题的熟悉，而且将辅助从业人员选择最佳的PCN为他们的需要。

本文的结构如下：第二节先容了本文的研究靠山。接下来，第三节凭据常见的网络架构和区块链类型对PCN举行分类。在第四节中，我们界说了用户和营业隐私，讨论了对PCNs介入者隐私的可能攻击，并对他们在隐私方面提供的最新解决方案举行了评估。第五部门对PCNs隐私权的未来研究举行了展望，第六部门对全文举行了总结。

二、靠山

A、 区块链

区块链是加密钱币的基础手艺，它带来了一个新的分布式数据库，它是一个公共的、透明的、永远的、由介入者配合托管的分类账。通过种种加密验证方式，称为X证实（Proof-X，PoX），网络中的每个介入者都拥有区块链的调治能力[6]。例如，比特币和配合占加密钱币天下总市值的75%，它们行使事情证实（PoW）机制，介入者必须找到一个小于配合商定数字的“块哈希值”。块是具有有限巨细的元素，用于存储事务信息。每个块都保留前一块的散列，从长远来看，前一块形成一个块链，称为区块链。“谁拥有什么”信息作为买卖信息嵌入区块链。因此，自力介入者群体将区块链转变为一种解放的数据/资产治理手艺，摆脱了受信托的中央第三方。

B、 加密钱币

只管区块链手艺有许多应用领域，但最常用的是加密钱币。加密钱币是一种加密平安且可验证的钱币，可用于购置商品和服务。在本文中，我们将交替使用加密钱币和钱币。

区块链手艺无疑改变了数据传输、存储和示意的方式。只管如此，就分布式账本的最终状态杀青共识照样有瑕玷的。第一个瑕玷是买卖确认时间长。例如，在比特币中，约莫每10分钟天生一个块。作为一种启发式的比特币，用户需要守候6个区块，守候一笔买卖的最终完成，这险些需要60分钟。在中，两个区块之间的时间更短，但用户要延续守候30个区块，这会发生10-15分钟的守候时间。注重，由于块的巨细是有限的，在传输请求的拥塞时间时代，不仅吞吐量将受到限制，而且用户的总守候时间也将更长。只管如此，若是用户急于获得买卖批准，它需要向矿商支付比竞争对手更高的用度。这给我们带来了加密钱币使用区块链的第二个瑕玷。矿工节点天生和批准块，从用户那里获得用度，将事务包含在块中。因此，当泛起拥堵时，付款人要么必须提供更多的用度，要么必须守候更多时间，以便矿工选择她/他的买卖请求。

C、 智能合约

使用智能合约的能力是使区块链成为非传统资产治理手艺的另一个特点。智能合约是剧本或字节码，它们凭据合约中界说的未来事宜界说若何举行买卖。智能合约可用于有条件/无条件对等（P2P）买卖、投票、执法遗嘱等。一如既往，决议的责任在区块链上。因此，当智能合约也被行使时，区块链完成买卖输出。

三、 PCNs及其分类

A、 支付通道网络

由于可扩展性问题，研究人员一直在寻找解决方案，使加密钱币具有可扩展性。在众多提供的解决方案中，链下支付通道的理念最受关注。为了确立这样一个通道，双方同意将一些钱存入一个多签（2/2多署名）钱包，并分配其份额的所有权。multi-sig钱包是由双方签署确立的智能合约。由区块链调整的智能合约包罗介入者的地址、他们在钱包中的份额，以及若何推行合约的信息。这个想法很简朴，付款人一方通过在内陆相互更新合约，将他/她的一些钱的所有权交给另一方。在关闭通道，各偏向区块链提交“关闭买卖”，以便区块链向链上提交的最终状态关闭通道。因此，每一方从multi-sig钱包吸收自己的最终份额。

在多方之间确立的支付通道使得通过中心节点确立从源到目的地的多跳支付成为可能。如图1所示，Alice Charlie（A-C）和Charlie Bob（C-B）有通道。当时间为t时，A-C和C-B被初始化。虽然Alice没有到Bob的直接通道，然则她仍然可以通过Charlie支付Bob。在时间t+x1，Alice最先向Bob转移10个单元。这笔钱注定要留给Bob而不是Charlie。Alice在A-C频道给了Charlie 10个单元的份额，当Charlie在C-B频道兑现这笔买卖时，给了Bob 10个单元。传输竣事后，A-C和C-B通道将更新。当时间为t+x2时，Alice向Bob举行另一个事务（20个单元），通道中的份额再次更新。

多跳(multi-hop)支付观点使得能够在用户之间确立被称为PCN的支付信道网络，如图2所示。当前的PCN在它们所依赖的拓扑结构和它们使用的第一层区块链手艺方面各不相同。我们接下来讨论这个分类。然后，我们将更详细地注释每一个PCN，并在第四节中对它们举行分类。

B、 PCN体系结构

在本节中，我们将对可用于PCNs的网络体系结构类型举行分类。

1） 集中式架构：在这种类型的网络中，有一个中央节点，用户通过该中央节点或凭据从中央节点吸收到的规则相互通讯，如图3（a）所示。从治理的角度来看，若是一个组织或一个公司能够单独决议网络中的毗邻、容量转变和流量，那么这种体系结构被称为集中式体系结构。

2） 分布式体系结构：在分布式网络中，没有中央节点。与集中式网络差别，每个用户在网络中具有相同的毗邻性、毗邻权限和语音。示例架构如图3（b）所示。

3） 涣散式架构：这种架构是前两种架构的组合，如图3（c）所示。在这种体系结构中，没有单一的中央节点，而是有自力的中央节点。移除子节点后，中央节点的毗邻看起来异常像一个分布式体系结构。然则，当视图集中在一个中央节点周围时，就会看到一个集中的体系结构。

4） 联邦体系结构：联邦体系结构听起来很像现实天下中的联邦，可以说是介于集中式和涣散式网络之间。在联邦架构中，有许多中央节点，它们以P2P方式相互毗邻。然后剩下的节点（子节点）通过这些中央节点严格地相互通讯，这看起来异常像集中式体系结构的团结体。

C、 区块链网络类型

在本节中，我们将凭据它们接纳的区块链类型对现有的PCN举行分类。PCN主要接纳在三种区块链上：

1） 公共区块链：在公共区块链中，不需要有约束力的条约或注册成为网络的一部门。用户可以随时加入或脱离网络。因此，PCN将向任何愿意使用它的人开放。

2） 允许区块链：允许（即私有）区块链位于公共区块链的劈面，分类账由公司/组织治理。此外，网络中节点的角色由中央机构分配。不是每小我私家都能介入或接触到允许区块链中的资源。接纳允许区块链的PCN将是“会员专用”。

3） 同盟区块链：与允许区块链相反，在同盟区块链中，区块链由多个组织治理。从集中化的角度来看，这种方式似乎更自由，但区块链的治理模式将其推到了允许的一边。行使团结区块链的PCN在成员资格方面与允许区块链类似，但在这种情形下，成员将获得团结体的批准。

四、 PCNs中的隐私问题：器量和评估

随着PCNs在最近几年的兴起，许多研究致力于使其高效、结实、可扩展和平安。然而，随着这些PCNs中的一些最先部署，它们接触到了大量的用户（即LN有跨越1万个用户），并将进一步增进。这种增进带来了PCN特有的一些隐私问题。我们认为有必要从用户和企业的角度来识别和明白PCNs中的隐私风险。因此，在本节中，我们首先界说这些隐私器量，并注释PCNs中可能存在的隐私攻击。然后，我们总结了现有的PCNs，首次评估了它们的隐私能力。

A、 PCNs中的隐私

在其最简朴的形式中，数据隐私或信息隐私可以界说为回覆若何存储、接见和披露数据的历程。在我们的例子中，PCN用户数据通过许多其他用户在PCN内传输，确保未经授权用户的数据不会被露出。为领会决这些问题，一些PCN致力于隐藏发送者（Us）或吸收者（Ur）的身份（即匿名性），而另一些PCN致力于增强发送者和吸收者之间的匿名关系。

B、 攻击模子和假设

本文思量了两种类型的攻击者。第一种攻击者是老实但好奇（HBC），攻击者在运行协议时老实行事，但在操作历程中仍然被动地网络信息。第二种攻击者是控制网络中多个节点偏离协议的恶意攻击者。这些攻击者类型及其在网络中的位置如图4所示：

1 攻击者正在支付路径上。

2 攻击者不在特定支付路径上，但可以部门考察网络中的转变。

3 攻击者与其他节点勾通，例如行使庞大的方式举行包准时剖析。

基于这些假设，我们思量以下可能的攻击，以损害PCNs中的隐私：

对发件人/收件人匿名性的攻击：

发送者/吸收者匿名性要求在支付时代其他人不知道发送者/吸收者（Us/Ur）的身份。这是为了珍爱发送者/吸收者的隐私，这样就没有人可以追踪他们的购物习惯。在某些情形下，对手可能会乐成预测发送者/吸收者的身份，如下所示：

对于情形1，发送方可以有一个到网络的毗邻，而且下一个节点是攻击者，因此，攻击者确定Us是发送方。

对于情形2，攻击者可以通过探测通道平衡的转变来预测发送者/吸收者。

对于情形3，若是攻击者能够在同谋节点形成的部门网络内举行支付时间剖析，则攻击者将学习发送者/吸收者。

对通道余额隐私的攻击。

为了保持用户/企业的投资能力隐私，PCNs中的通道容量应珍爱稳私。一个通道的投资额会提醒用户的财政状况或其购物偏好。此外，若是通道中的容量转变是已知的，跟踪它们会导致发送者/吸收者的间接隐私泄露。例如，攻击者可以提议虚伪的事务请求。在从中心节点网络响应之后，它可以领会通道的容量。

关系匿名。

在某些情形下，我们或我们的身份可能是已知的。然而，若是攻击者能够将付款人与收款人联系起来，那么不仅可以领会发送者的消费习惯，还可以领会吸收者的商业模式。在这种情形下，可以通过隐藏发送者和吸收者之间的关系来珍爱买卖的隐私。具体来说，谁付钱给谁的信息应该保密。

C、 PCNs的生长现状及其隐私评价

在本节中，我们将简要形貌当前的研究，这些研究要么提出完整的PCN，要么对现有的PCN提出修改，然后基于我们的威胁模子剖析它们的隐私能力。我们在表一中提供了对当前PCN分类和隐私特征的评估总结。

Lightning Network（LN，闪电网络）：LN[4]是第一个部署在比特币上的PCN。它于2017年启动，到2020年6月，提供跨越12,000个节点和36,000个通道。LN中的节点行使“哈希时间锁定左券”（HTLC）举行多跳传输。支付信道中的定向容量不公然，然则通道中的总容量对于发送方盘算路径是已知的。这提供了部门通道平衡隐私。发送方通过使用中心节点的公钥通过“onion routing/洋葱路由”对路径举行加密，使得中心节点只知道前面和后面节点的地址。中心节点都无法通过查看网络数据包来预测新闻的泉源或目的地。

Raiden Network：LN之后不久，Ethunm基金会宣布了Raiden Network[5 ]。Raiden相当于LN，用于传输ERC20令牌，并提供相同的隐私功效。只管是第二大加密泛起，但这种盛行并没有很好地反映在Raiden网络中。停止2020年6月，Raiden拥有25个节点和54个通道。Raiden相对于LN的优势在于，由于令牌化，用户可以天生自己的令牌，从而确立更天真的买卖环境。

Spider Network: Spider网络[7]是一种PCN，它提出了应用传统网络（如TCP/IP）中基于分组交流的路由头脑。然而，众所周知，在分组交流中，新闻的泉源和目的地应该嵌入到网络分组中。将支付分成多笔小额支付，消除了通道枯竭问题。在这个PCN中，有一些具有特殊功效的spider路由器，它们相互通讯并知道网络中信道的容量。发送方将支付发送到路由器。当数据包到达路由器时，它将排队守候，直到候选路径上的资金知足恢复买卖的要求。作者没有提到隐私，并设计行使OnOnRouting作为未来的事情。小额支付可能会遵照差别的路径，这将有助于保持营业量私有化，若是收件人是私有的。此外，挟制路由器会让攻击者领会网络中的一切。

SilentWhispers:SilentWhispers[8]使用landmarks路由，landmarks位于支付中央。在他们的攻击模子中，要么攻击者不在支付路径上，要么里程碑是HBC。在这里，landmarks知道拓扑结构，但并不知道所有的通道余额。当发送者想把钱寄给吸收者时，她/他会与她/他的意图的landmarks举行相同。然后landmarks最先与可能的节点通讯，从“发送者到landmark”到“landmark到吸收者”，形成一条支付路径。路径中的每个节点向landmarks公然所请求的传输量的信道余额可用性。landmarks通过多方盘算确定买卖的可行性。在SilentWhispers中，发送者和吸收者是保密的，然则landmarks知道发送者-吸收者对。对于不介入买卖的节点，支付金额也是私有的。此外，网络中的信道平衡是私有的。虽然集中化是可能的，但这种方式是涣散的，landmarks是可信的。

SpeedyMurmurs:SpeedyMurmurs[9]是一种路由协议，特别是对LN的改善。在SpeedyMurmurs，有著名的landmarks，如SilentWhispers。这种方式的区别在于候选路径上的节点匿名地交流邻人的信息。因此，若是一个节点知道一条更靠近收件人的路径，它就会朝这个偏向转发支付，称为“快捷路径”。在快捷路径中，中心节点不一定知道收件人，但知道收件人四周的邻人。SpeedyMurmurs通过为发件人和收件人天生匿名地址来隐藏他们的身份。中心节点还通过天生匿名地址来隐藏其邻人的身份。只管这可能很庞大，但对网络应用反匿名攻击是有用的。虽然算法是一种涣散的方式，但角色分配不公平，它可能会酿成一种集中的方式。

PrivPay:PrivPay[10]是SilentWhispers的一个面向硬件的版本。landmark中的盘算是在防窜改的可信硬件中完成的。因此，网络的平安性和隐私性直接关系到可信硬件的可靠性，而可信硬件的可靠性也可能带来集中化。在PrivPay中，不思量发件人隐私，吸收方隐私和营业量隐私是通过错误信息实现的。当攻击者不停实验从其他节点查询数据时，框架最先发生概率效果。

Bolt:Bolt[11]是一个基于hub的支付系统。也就是说，发送方和吸收方之间只有一个中心节点。Bolt 假设基于零知识证实的加密钱币。它不知足多跳支付中的隐私性，然则若是中心节点是老实的，它知足很强的关系匿名性。另一方面，依赖于单个节点使得这种方式成为集中式方式。

Permissioned Bitcoin PCN：在PCN中，若是网络拓扑不理想，例如星形拓扑，一些节点可能会领会用户和支付。为此，作者在[12]中提出了一种新的允许PCN拓扑设计，以防止通道耗尽。他们提出了一个真实的用例，在这个用例中，一个商人同盟确立了一个完整的P2P拓扑，客户通过商人毗邻到这个PCN，商人肩负网络的财政肩负来赚钱。类LN机制知足了PCN中用户的隐私性。作者还研究了在多跳支付中，当发送者/吸收者的隐私和关系匿名性可以通过至少3跳来知足时。

Anonymous Multi-Hop Locks (AMHL)：在AMHL方案[13]中，作者为PCNs提供了一种新的HTLC机制。在支付路径上，发送者同意为他们的服务向每个中介支付一些服务费。然而，若是这两个中介恶意勾通，他们可以消除路径中的老实用户，从而窃取他们的用度。为领会决这个问题，他们引入了另一个通讯阶段，在这个阶段中，发送偏向中心节点分发一个一次性密钥。虽然HTLC机制是为了用户的平安而改善的，然则发送者的隐私并没有获得珍爱，每个中心人都习得发送者信息。然而，匿名关系仍然可以获得珍爱。

五、 PCNs的未来研究问题

PCNs中的隐私问题是一个尚待研究的课题，另有许多有待进一步研究的问题。在本节中，我们总结这些问题：

PCN协议的滥用。由于大多数PCN依赖于公共加密钱币，其协议实现是公共的。这种自由可能被滥用，通过更改设计中的某些参数和算法，攻击者的行为可能与预期差别。这将带来隐私泄露和网络审查。网络的拓扑重组将有助于解决这个问题。若是发送方对中心节点发生嫌疑，它可以寻找替换方案，而不是使用该节点。

节点同谋。当节点在PCN中同谋时，可以提取更多的用户信息。为了防止这种情形，应该厚实协议以发现同谋节点，或者通过在协议中添加冗余来混淆同谋节点。

政策制订。加密钱币和PCN的观点仍处于生命的早期阶段。因此，在这一领域，政策和律例不仅要珍爱介入者的平安，还要珍爱他们的隐私。这也将为研究人员缔造一个量化指标来权衡他们的提案是否乐成。

可伸缩性对隐私的影响。引入PCNs的目的之一是使加密钱币更具可扩展性。例如，LN建议在确立新毗邻的同时运行Barabasi Albert scale free网络模子[15]。因此，网络的最终状态可能会造成集中，这将对网络中节点的隐私发生晦气影响。

物联网与PCNs的整合。使用物联网装备举行支付是不可避免的。除了大多数物联网装备不足以运行一个完整的节点之外，还需要研究物联网生态系统中支付和装备身份的平安性和隐私性。这些装备预计能够通过网关介入网络。装备所有权的披露会将用户的真实身份泄露给民众，这对隐私组成很大威胁。

允许PCNs中的隐私。在允许PCNs中确立商户网络时，商户应至少披露其预期买卖量，以确立可靠的网络。然而，这将发生商人的商业秘密。为了防止这种情形，可以探索基于零知识证实的多方相同。

六、 结论

PCN是一种很有希望的解决方案，可以使基于加密钱币的支付具有可扩展性。这个想法旨在解决加密钱币的两个主要瑕玷：确认时间长和买卖用度高。有许多关于支付通道和PCNs的设计的研究，以确保转账的平安和高效。然而，这些研究并没有提及这些方式在普遍应用所提出的想法的情形下可能存在的隐私泄露。本文首先凭据区块链的类型和网络的拓扑行为对PCNs举行了分类。在明确界说了PCNs中可能存在的隐私泄露之后，我们从隐私的角度对现有的PCNs方式举行了对照和对比 PB模板库 http://www.PBku.cn。