2023年6月9日，第二屆區(qū)塊鏈服務網絡（BSN）全球技術創(chuàng)新發(fā)展峰會在湖北武漢成功舉行,。本次峰會以“鏈上荊楚,，積厚成勢”為主題，匯集了來自政府,、學術界,、產業(yè)界的眾多海內外嘉賓，圍繞區(qū)塊鏈基礎設施,、底層技術在金融,、貿易、文化,、社會治理等領域的創(chuàng)新應用展開了交流,，共同探討區(qū)塊鏈技術創(chuàng)新和產業(yè)發(fā)展的最新趨勢。

峰會上,，多位國內外權威專家?guī)砹硕鄨龈咚街黝}演講,，內容涵蓋對前沿領域的探索、對新業(yè)態(tài)發(fā)展?jié)摿Φ恼雇约皩Ψ植际郊夹g發(fā)展成果的總結等各個方面,，分享了他們的成果和經驗,，也為國內區(qū)塊鏈行業(yè)的發(fā)展提出了寶貴建議。接下來,，我們將為所有關注分布式技術和下一代分布式可信互聯網發(fā)展的讀者呈現這些精彩紛呈的主題演講,。本期為武漢大學國家網絡安全學院教授何德彪的分享，題為《區(qū)塊鏈密碼使用指南》,。

演講全文整理如下,，為便于閱讀，有所編輯修改：

大家下午好,。

密碼學在區(qū)塊鏈安全中扮演著至關重要的角色,，如果沒有密碼學的支持，區(qū)塊鏈的安全性將完全無法得到保障,。近年來,，密碼學在區(qū)塊鏈應用中受到了廣泛的關注，目前國內在區(qū)塊鏈中使用的密碼學算法基本上都是國外的一些算法,，雖然國內的算法具備一些基本功能,，但缺乏一些特殊功能,。

為了提升區(qū)塊鏈安全性，在密碼行業(yè)標準化技術委員會的委托下,，包括我們在內的一些單位共同努力，共同研發(fā)符合中國當前的密碼標準,，并符合中國區(qū)塊鏈產業(yè)生態(tài)的密碼算法,。

目前這個標準主要分為以下幾個部分：第一個是零知識證明，第二個是安全狀況計算,，第三個是環(huán)簽名,，第四個是證書管理協(xié)議。此外,，還包括群簽名,、同態(tài)加密、廣播加密,、盲簽名以及共識機制,、密鑰派生等一系列密碼算法。

這些標準由不同單位負責開發(fā),，具體負責單位如下：零知識證明由信工所負責,，多方安全計算由信通院負責，武漢大學負責環(huán)簽名和盲簽名,，陜西師范大學負責群簽名,，暨南大學負責同態(tài)加密，清華大學負責共識機制,，數字認證和中國網安分別負責證書管理和密鑰派生協(xié)議,。

在20年的時候，首次提出了制定自己的標準,，并成立了項目組,，當年主要是起草了一些草案，到12月份完成了初步評審工作,；21年在此基礎上,，推薦了各個協(xié)議，以符合區(qū)塊鏈平臺的需求,，對標準草案進行完善,；到22年，對標準進行全國征求意見,，邀請國內企業(yè)和專家參與評審,，并提出改進意見，去年12月份完成了標準,，目前正在進行審批工作,。

標準的主要架構,，從區(qū)塊鏈的角度，最下面一層是數據層,，主要包括默克爾樹,、區(qū)塊數據等，向上還包括網絡層,、共識層,、智能合約層、應用層和用戶層,，對應的密碼技術支撐環(huán)境,，最下面一層是密碼硬件層，包括密碼機,、PHI-E密碼機,、驗簽服務器、智能密碼鑰匙等,，主要用于保存密碼和加速密碼運算,；上面一層是基礎密碼算法層，包括對稱加密,、非對稱加密,、數字簽名、隨機數生成等,；再向上則是功能性密碼協(xié)議層,，比基礎密碼算法要復雜得多，主要是為了實現一些特殊功能而確定的密碼協(xié)議,。而密碼運營環(huán)境目前階段暫時基于 PKI體系,，未來會考慮增加標識密碼體系。

接下來向大家介紹一下具體的方案,。

一,、零知識證明。零知識證明是一種復雜的密碼運算,，它用于在不泄露信息的情況下證明某件事情的真實性,。在區(qū)塊鏈中，零知識證明有許多典型應用,，例如在轉賬過程中,，為了保護隱私，可以將轉賬金額進行加密,。然而,，使用傳統(tǒng)密碼算法（如SM4、SM2）加密后,，無法在密文狀態(tài)下進行轉賬操作,。這時候,，可以使用同態(tài)加密來實現在密文狀態(tài)下的操作，但是單純的同態(tài)加密還不足以保證安全,，因為可能出現偷偷篡改密文的情況,。

為了解決這個問題，零知識證明被引入,。零知識證明可以用于證明兩個關鍵條件：第一,，轉賬金額必須是正數且大于0；第二,，轉賬者必須證明自己有足夠的錢來支付。這樣,，零知識證明可以確保在進行加密轉賬時,，不會發(fā)生非法操作。

除此之外,，零知識證明還可以在數據隱私保護,、身份隱私證明、系統(tǒng)擴容以及有效監(jiān)管等多種區(qū)塊鏈場景中得到應用,。

對于零知識證明,，目前標準中推薦的協(xié)議包括：支持小明文空間的密態(tài)消息零知識區(qū)間范圍證明、支持大明文空間的賬戶模型區(qū)塊鏈零知識證明,，以及zkSNARK 和 Bulletproofs,，這是近期提出的密碼協(xié)議，也被廣泛應用于零知識證明領域,。

二,、多方安全計算。安全多方計算是一種多人參與運算的方式,，只有指定的人可以獲取結果,，其他人無法得知具體結果，且在計算過程中不會泄露數據隱私,。它在區(qū)塊鏈應用中有多個場景：首先,，可以用于鏈上安全計算全過程的記錄，區(qū)塊鏈本身就涉及多方參與運算,，可以利用安全多方計算來確保鏈上計算的安全性,；其次，無可信中心的安全智能合約,，在智能合約執(zhí)行過程中,，利用安全多方計算的流程，實現無可信中心的安全性,；第三,，基于安全多方計算的文獻簽名,，在區(qū)塊鏈中廣泛應用的密鑰管理系統(tǒng)（KMS），可以將密鑰分散存儲在多個地方,，實現基于安全多方計算的文獻簽名,，保護密鑰的安全性；此外,，拜占庭容錯也可以利用多方安全計算的門限簽名實現,。

目前標準中推薦的簽名包括：SM2的文件簽名、SPDZ協(xié)議,、混淆電路,、安全多方可信設置協(xié)議,這些協(xié)議在保障區(qū)塊鏈系統(tǒng)的安全性和隱私保護方面具有重要作用。

三,、環(huán)簽名,。環(huán)簽名是一種用于保護用戶隱私的簽名技術。傳統(tǒng)的簽名算法如SM2或者國際上的EDDSA簽名,，簽名后可以追溯到具體的簽名者,，從而泄露了用戶的身份信息。為了解決這個問題,，環(huán)簽名應運而生,。利用環(huán)簽名，別人只知道某個簽名者是一組簽名者中的一個,，但無法確定具體是誰,，這樣很好地保護了用戶的隱私,。

在區(qū)塊鏈中,，環(huán)簽名可以應用于以下場景：1.區(qū)塊鏈身份隱私：在區(qū)塊鏈中進行簽名后,，只能知道是其中一個用戶簽名，而無法確認具體是誰,；2.基于環(huán)簽名的POS：在POS共識算法中,，由于需要投票，如果投票過程不保護用戶隱私，將會泄露投票者的身份信息,，不利于POS的健康發(fā)展，而環(huán)簽名可以解決這一問題,；3.基于環(huán)簽名的PBFT協(xié)議和其他投票協(xié)議：這些共識機制也可以通過環(huán)簽名來保護投票者的隱私。

目前推薦的環(huán)簽名協(xié)議包括：可鏈接環(huán)簽名LSAG、基于SM2和SM9的環(huán)簽名,，這是中國基于國家標準算法的環(huán)簽名協(xié)議，由中國團隊提出,。

四,、群簽名。群簽名與環(huán)簽名的不同之處在于引入了一個管理者來解決監(jiān)管需求,。在群簽名中,，所有簽名者簽署完成后，其他人無法確定具體是誰進行了簽名,，但是群簽名的管理者可以使用自己的追蹤私鑰來追蹤簽名信息,，從而找出具體的簽名者，以滿足監(jiān)管需求,。

在聯盟鏈中,，有時需要引入監(jiān)管來解決可能發(fā)生的不當行為或違規(guī)行為，而群簽名就非常適用于這一場景,。它可以保護普通成員的隱私,，同時允許管理者在必要時追蹤簽名者的身份。

目前推薦的群簽名標準包括：B B群簽名,、可鏈接的群簽名,、基于事件的可鏈接群簽名，這些都是密碼學領域比較經典的群簽名協(xié)議,，可以在聯盟鏈中有效應用于隱私保護和監(jiān)管需求,。

五,、盲簽名。盲簽名是一種用于保護隱私的簽名技術,，它的基本思想是,，簽名者在進行簽名時并不知道具體簽署的內容，從而實現對用戶隱私的保護,。舉例來說,，在電子現金的發(fā)行過程中，使用盲簽名可以確保數字貨幣的隱私性,。在傳統(tǒng)簽名中,，銀行簽發(fā)的序列號暴露了持有人的身份信息。但盲簽名通過在簽名過程中引入隨機數,，即所謂的盲化過程,，使簽名者只知道自己簽了什么，而不知道實際的序列號,。用戶拿到這個盲簽名后,，再進行去盲化處理，得到真正的簽名結果,，此時銀行無法確定簽名者到底使用了哪個序列號,，從而保護了用戶的隱私。

目前推薦的盲簽名協(xié)議包括：SM2的盲簽名,、SM9的盲簽名,、ISO/IEC 18370國際標準的盲簽名，這些盲簽名技術可以廣泛應用于混幣技術和數字貨幣生成過程中,，保障用戶隱私的同時確保交易的安全性,。

六、同態(tài)加密,。同態(tài)加密是一種特殊的加密技術,，可以在加密的狀態(tài)下對加密數據進行加法或乘法運算，而無需解密,。在數據交易和金額保護方面,，同態(tài)加密非常有用，通過同態(tài)加密,，可以對交易金額進行加密,，并在加密狀態(tài)下進行加法和減法運算，從而確保數據的隱私性和安全性,。

目前推薦的同態(tài)加密標準包括：LHWW加法同態(tài)加密,、Paillier加法同態(tài)加密、ElGamal乘法同態(tài)加密、BGV全同態(tài)加密算法以及BFV全同態(tài)加密算法,。在實際應用中,，Paillier加密被廣泛用于保護數據隱私和進行安全計算。

七,、廣播加密,。廣播加密允許發(fā)送者將數據同時加密給一組特定的用戶，并通過公開信道傳輸加密后的數據,，只有加密時指定的授權用戶才能正確解密,，其他非授權用戶即使合謀也無法獲得明文數據，這樣可以確保數據在傳輸過程中的隱私和安全性,，防止數據泄露給未授權的人員,。因此廣播加密在聯盟鏈中得到廣泛應用，因為在有些情況下,，除了記賬節(jié)點,，我們不希望其他人能夠獲取相關數據，廣播加密能夠很好地滿足這一需求,。

八,、密鑰派生協(xié)議。密鑰派生協(xié)議主要應用于密鑰管理領域,，幫助確保密鑰的安全生成和管理,，對于加密貨幣等領域尤為重要。最常見的協(xié)議是比特幣中使用的BIP協(xié)議,，此外，還有一些國產的密鑰派生協(xié)議,，以及基于雙密鑰的匿名地址派生協(xié)議,，這些協(xié)議在密鑰派生過程中起到重要作用。

九,、證書管理協(xié)議,。證書管理協(xié)議是用于管理證書的協(xié)議。在現今的聯盟鏈中,，我們將傳統(tǒng)的證書管理方法應用于其中,。然而，鑒于區(qū)塊鏈的特性,，我們引入了一些新的標準來滿足需求,。這些新標準包括：1.分布式輕量級證書管理協(xié)議：這個協(xié)議旨在實現證書管理的分布式特性，并且具備輕量級的特點,，以適應聯盟鏈的環(huán)境,；2.分布式證書管理協(xié)議：該協(xié)議進一步加強證書管理的分布式屬性，確保證書的安全性和可靠性；3基于區(qū)塊鏈的去中心化身份認證與密鑰管理協(xié)議：這個協(xié)議利用區(qū)塊鏈的特點,，實現去中心化的身份認證和密鑰管理,，從而提高整個系統(tǒng)的安全性和可信度。這些新的證書管理協(xié)議適用于聯盟鏈的場景,，幫助保證證書的有效管理和使用,，并提供更加安全可靠的身份認證和密鑰管理機制。

十,、共識協(xié)議,。共識協(xié)議是區(qū)塊鏈的核心之一，它確保所有節(jié)點在網絡中就交易的有效性和順序達成一致意見,。在聯盟鏈中,，共識協(xié)議尤為重要。針對聯盟鏈,，我們推薦了以下5個共識協(xié)議,，它們在國際上被廣泛應用且在平臺上被使用較多：PBFT (Practical Byzantine Fault Tolerance)、Tendermint,、BFT-SMaRt,、Bchain、HotStuff PPT,，這些共識協(xié)議在聯盟鏈中發(fā)揮著關鍵作用,，確保了區(qū)塊鏈網絡的安全性,、性能和可靠性。它們是聯盟鏈中常用的共識算法選擇,。

總的來說,，我們現在在區(qū)塊鏈中應用了許多密碼協(xié)議,，并對它們做了一些總結,。我們也推薦了一些協(xié)議，這些推薦并不是強制性的，只是建議大家使用,。如果大家對這些協(xié)議有任何問題,，歡迎與我們交流,，我們也希望能夠盡快將我們國產的一些密碼算法真正應用到我們的區(qū)塊鏈行業(yè)中,，謝謝大家的支持與參與。

歡迎轉發(fā)評論,。