网安学术｜基于同态加密的跨链资产转移隐私保护技术研究

摘 要：随着区块链的快速发展与广泛应用，如何打通各区块链系统，实现数据资产价值互通，是近年来的研究热点。资产转移是跨链领域中的重要应用之一，因此针对跨链资产转移的身份与资产数据隐私保护需要，构建了一个基于同态加密的跨链资产转移隐私保护技术架构。综合运用同态加密、数字签名、零知识证明等相关技术，保障跨链资产的安全转移，为用户提供更为隐私安全的数字资产交易环境。此外，通过跨链网关与区块链的可溯源性，确保交易的可审计性，为整个系统增添了额外的安全层级，保障用户跨链资产转移的安全性与隐私性。

内容目录：

1　现状分析
2　背景知识
2.1　区块链
2.2　跨　链
2.3　资产隐私保护
2.4　同态加密
2.5　零知识证明
2.6　数字签名
3　技术方案
3.1　技术分析
3.2　方案步骤
4　结　语

在当前的数字化浪潮中，数据的安全性和可信度是信息社会中的首要关注点。区块链作为一种革命性的技术，已经引起了全球的广泛关注。区块链是一种分布式数据库，通过加密算法将数据分散存储在全网各个节点上，实现了数据的透明、不可篡改和去中心化 。这种独特的设计使得区块链具有极高的安全性和可靠性。

区块链的应用领域非常广泛，在金融交易、供应链管理、医疗服务、公共服务等领域都有其身影。例如，比特币就是最早并且最知名的区块链应用之一。

然而，随着区块链应用的增多，出现了一个新的问题，即“链孤岛”现象。由于各个区块链网络之间缺乏有效的通信机制，导致信息无法在不同的区块链之间流通，形成了各自为政的“链孤岛”。这种现象限制了区块链的发展，因为业务的不同，在许多应用场景中，需要在不同的区块链之间进行数据交换和协作。为了解决这个问题，跨链技术应运而生。跨链技术的目标是实现不同区块链之间的互操作性，打破“链孤岛”，在不同区块链系统之间实现互联互通 。通过跨链技术，不同的区块链可以互相传递信息，实现资产和数据的跨链转移，从而极大地扩展了区块链的应用范围。

在跨链技术的广泛应用中，跨链资产转移是一个典型而关键的场景，各种创新性技术不断涌现以解决这一挑战 。哈希时间锁就是其中之一，适用于需要时间敏感性质的交易 。另外，还有公证人技术，适用于需要第三方信任的跨链交易；分布式密钥控制技术，确保在没有单点故障的情况下完成跨链资产的管理；中继链 / 侧链技术，适用于需要大量交互和数据传输的跨链应用。

与跨链技术同等重要的是在区块链中强调的隐私保护问题。隐私保护在区块链中的实现往往涉及用户交易匿名性和数据机密性。近年来，关于区块链跨链应用中的数据隐私保护研究层出不穷 。其中，Chen 等人 提出的基于同态加密 、零知识证明等技术的可审计分布式匿名支付系统，为单链中的资产转移提供了全面的隐私保护。

然而，在跨链系统的相关研究中，很少提及如何有效地将隐私保护技术应用于资产跨链转移或数据共享。尽管单链环境下的隐私支付系统为资产转移提供了匿名性、机密性和可审计性，但在跨链环境中面临着更为复杂的挑战。跨链系统要求在不同链之间实现数据交换，而当前研究中对于这种异构链间的隐私保护机制的关注较为有限。如何在确保安全的前提下实现跨链资产和数据转移的隐私性，以及在跨链交互中保持可审计性，仍然是一个未被深入研究的领域。因此，本文针对跨链中的数据资产转移提出了一种基于同态加密的跨链资产转移隐私保护技术。本文的具体贡献如下文所述。

（1）提出基于同态加密的跨链资产转移隐私保护技术，克服不同区块链用户资产安全转移的困难，为实现安全高效的跨链资产转移提供创新性解决方案。

（2）综合运用同态加密、数字签名、零知识证明等技术，保障了跨链数据的安全共享，为用户提供了更为隐私安全的数字资产交易环境。

（3）通过跨链网关，确保了交易的可溯源性，为整个系统增添了额外的安全层级，保障了用户跨链资产转移的安全性与隐私性。

１ 现状分析

从全球层面来看，各种区块链数量正在快速增长，但由于区块链系统的“独立性”，区块链之间缺乏有效的通信手段，它们被分隔成不同的“链孤岛”，难以实现价值转移，这在一定程度上违背了区块链去中心化互联的初衷，阻碍了区块链行业的发展。随着区块链行业的蓬勃发展，各种公链、私链和联盟链不断出现，同时产生了一个问题，即如何在不同的区块链系统之间进行数据通信。为了使这些系统能够相互通信并最大化发挥其应用价值，可以通过研究跨链技术来解决区块链在可扩展性、兼容性等方面存在的问题。因此，在区块链技术的发展中，实现不同链之间的数据交互和共享变得至关重要。近年来，基于跨链技术的数据共享得到了广泛关注和探索。文献 [19] 利用中继链、跨链网关和数据链结合的跨链架构，提出了一种基于跨链的医疗数据安全共享方案，解决了医疗数据共享困难的问题。文献 [20] 针对供应链跨链信息共享问题，设计了侧链与联盟链双层跨链模型，并利用公证人机制实现了侧链与联盟链之间的共识。文献 [13] 通过采用侧链 / 中继链的方式，设计了技术架构和适配协议，实现了异构联盟链间智能合约交互，解决了异构联盟链间互操作的问题。文献 [21] 提出了一种基于中继链的跨链身份认证方案（Identity-Based Encryption，IBE），该方案通过中继链实现安全接入和跨链身份认证，并采用安全密钥协商策略对跨链交易的链之间的交易信息进行加密传输。该方案很好地解决了现有跨链模型中的安全性和数据孤岛问题。

２ 背景知识

2.1　区块链

2008 年 10 月 31 日，中本聪在其发表的开创性论文中首次提出了区块链这一概念。2009 年，他建立了第一个区块链开源项目，比特币就此诞生。作为比特币的底层技术，区块链就像是一种分布式数据库，通过去中心化的网络结构，将交易数据按时间顺序链接成不可篡改的区块，每个区块包含前一区块的哈希值，形成了一个链式结构。这使得数据的存储和传输具有高度透明性、不可篡改性和去中心化的特点。区块链技术广泛应用于金融、供应链、智能合约等领域，为建立信任、提高安全性和降低交易成本提供了解决方案。其核心理念是通过共识算法确保网络中各节点对账本的一致性，从而消除了传统中心化体系中单一点的风险。

2.2　跨　链

跨链的概念最初由 Tendermint 团队在 2014 年提出。2016 年 9 月，以太坊的创始人 Vitalik Buterin在一次重要的区块链和加密货币会议中发表了一篇名为 Chain Interoperability 的文章，提出了区块链互操作性的问题，并使跨链的概念正式进入研究者的视野。狭义上的跨链，是指两个相对独立的区块链账本之间实现资产交换的过程。这个过程中，资产的转移需要通过特定的跨链协议来确保数据的一致性和完整性。广义上的跨链，是指两个独立的区块链账本之间实现数据交换、资产互通以及功能集成的过程。区块链跨链技术的出现解决了区块链之间无法直接进行数据交换或价值转移的问题。它打通了区块链之间的壁垒，使得用户可以在不同区块链网络之间自由地转移资产和信息。跨链技术的出现极大地增强了区块链技术的实用性，是拓展区块链生态的一项关键技术。

跨链技术根据底层区块链平台可以分为同构链跨链和异构链跨链。同构链之间在区块链结构和共识算法等方面的相似性使得数据共享和资产转移较为简单和直接。异构链之间的共识算法和拓扑结构存在较大差异，往往需要通过第三方技术辅助克服这些差异，以进行跨链交互。

目 前 主 流 的 跨 链 机 制 有 公 证 人 机 制（notray scheme）、侧链 / 中继机制（side chain/relay）和哈希锁定（hash-locking）技术等。公证人机制和传统的中心化交易所模式类似，通过引入可信第三方进行跨链消息的验证和转发。侧链 / 中继机制中，侧链是与主链并行存在的辅助区块链，侧链和主链相互独立。哈希锁定技术是一种原子级的跨链资产交换机制。它基于哈希时间锁定合约（Hash Time Lock Contract，HTLC）。这种技术的核心是通过哈希锁来确保数据在区块链间的唯一性，同时结合时间锁，设定一个特定的时间点，只有在这个时间点过后，接收方才能验证并获取哈希锁定的资产。

2.3　资产隐私保护

资产隐私保护是跨链中的一个核心问题，它关系到用户的财产安全、个人隐私、商业秘密等方面的利益。如果用户的资产信息被泄露，可能会导致以下危害：

（1）资产被盗：恶意的攻击者可能会利用用户的资产信息，进行欺诈、盗窃、勒索等行为，从而损害用户的财产权益。

（2）资产被追踪：不友好的竞争者或监管者可能会利用用户的资产信息，进行分析、追踪、审计等行为，从而影响用户的商业活动或法律地位。

（3）资产被歧视：不公平的市场参与者或服务提供者可能会利用用户的资产信息，进行区别对待、歧视、排斥等行为，从而降低用户的市场机会或服务质量。

为了避免这些危害，用户需要在跨链中实现资产隐私保护，即在保证资产的可用性和可验证性的前提下，隐藏资产的具体内容和来源。这样，用户就可以在不同的区块链网络之间自由地转移和使用资产，而不用担心自己的隐私被侵犯。

2.4　同态加密

同态加密是一种密码学技术，其目标是在加密的状态下进行计算，即在不解密的情况下对密文执行某些操作，其形式化定义涉及系统初始化算 法 HE.Setup、 密 钥 生 成 算 法 HE.KegGen、 加 密算 法 HE.Enc、 解 密 算 法 HE.Dec、 同 态 计 算 算 法HE.Eval。

（1）HE.Setup：输入安全参数 λ，输出系统参数 HE.SP。

（2）HE.KeyGen：输入系统参数 HE.SP，输出用户公钥 HE.PK，私钥 HE.SK。

（3）HE.Enc：输 入 明 文 信 息 m 和用户公钥HE.PK，输出加密后的密文 c=HE.Enc(HE.PK,m)。

（4）HE.Dec：输入密文 c 和用户私钥 HE.SK，输出对应的明文 m=HE.Dec(HE.SK,c)。

（5）HE.Eval：对于任意的同态计算同态性满足以下性质：HE.Enc或HE.Enc(HE.PK,这表示在密文域内的某些代数运算对应于在明文域内的相应运算。

2.5　零知识证明

零知识证明是一种密码学上的概念，用于证明某个断言的真实性，而无须透露关于该断言的任何实际信息。零知识证明的形式化定义涉及系统初始化算法 NIZK.Setup，证明生成算法 NIZK.Prove，验证算法 NIZK.Verify，具体定义如下：

（1）NIZK.Setup：输入安全参数 λ，输出系统参数 NIZK.SP。

（2）NIZK.Prove：输入系统参数 NIZK.SP 和断言 C，生成证明 π=NIZK.Prove(NIZK.SP,C)。

（3）NIZK.Verify：输入系统参数，断言 C，以及证明 π，输出验证结果 accept.(reject)=NIZK.Verify(NIZK.SP,C,π)。其中，accept 表示验证通过，reject表示验证失败。

2.6　数字签名

数字签名是一种在数字通信中确保消息的完整性、真实性和不可抵赖性的技术。它使用了公钥密码学中的原理，其形式化定义涉及系统初始化算法SIG.Setup、密钥生成算法 SIG.KeyGen、签名生成算法SIG.Sign、签名验证算法 SIG.Verify，具体定义如下：

（1）SIG.Setup：输入安全参数 λ，输出系统参数 SIG.SP。

（2）SIG.KeyGen：输入系统参数 SIG.SP，输出用户公钥 SIG.PK，私钥 SIG.SK。

（3）SIG.Sign：输 入 明 文 信 息 m、系统参数SIG.SP 和用户私钥 SIG.SK，输出签名后的密文c=SIG.Sign(SIG.SP,SIG.SK,m)。

（4）SIG.Verify：输入明文信息 m、密文 c、系统参数 SIG.SP 和用户公钥 SIG.PK，输出 accept.(reject)=SIG.Verify(SIG.SP,SIG.PK,m,c)。其中，accept表示验证通过，reject 表示验证失败。

３ 技术方案

3.1　技术分析

基于同态加密的跨链资产转移隐私保护技术主要具备以下特点。

3.1.1　正确性

基于同态加密、数字签名和零知识证明协议，保证最终结果的正确性。

使用同态加密对用户资产进行加密，确保明文在加密和解密过程中不发生错误。用户可以根据自己的私钥成功解密密文，得到正确的原始资产信息。同态加密的同态性质确保了在密文状态下进行加法和乘法运算后，解密得到的结果与在明文状态下进行相应运算的结果一致。这为用户在加密状态下进行资产安全的计算提供了可靠的基础，从而保证了最终结果的正确性。

发起方使用私钥对交易进行数字签名，确保签名的生成是合法、正确的。这样接收方在验证签名时能够确保消息的真实性和完整性。接收方使用发起方的公钥验证签名，以确保签名确实是由私钥持有者生成的。这保证了消息在传递过程中没有被篡改，维护了信息的完整性。

零知识证明协议用于验证用户转账的合法性，确保在不泄露具体信息的情况下，接收方能够确认转账的有效性。证明的正确性是通过协议的数学性质和协议实施的正确性保证的。

3.1.2　隐私保护性

同态加密确保用户的资产在加密过程中得到保护，不会被第三方观察者获取具体的明文信息。即使在密文状态下，用户仍然可以通过私钥进行解密，并在解密后获得正确的计算结果。这一特性有效保护了用户的资产隐私。通过使用私钥对交易进行签名，发起方确保消息在传递过程中没有被篡改。与此同时，接收方可以使用发起方的公钥验证签名，确保签名的合法性。使用数字签名保护了用户在交易中的身份信息和消息的完整性，防止了伪造和篡改。零知识证明协议的性质确保在验证用户的合法性时，不泄露任何关于用户身份或交易详细信息的具体内容。验证者只能得知交易的合法性，而无法获取有关交易的更多信息。这种隐私保护机制有效防止了信息泄露，维护了用户在数字交易中的隐私权。同态加密、数字签名和零知识证明协议共同保障了用户的资产隐私、身份隐私和交易隐私。这 3种隐私保护特性的有效结合，能够使区块链交易数据达到有效的隐私安全。

3.1.3　原子性

本文所设计的跨链技术具备强大的原子性支持，能够顺利处理各种跨链交易，包括但不限于哈希时间锁和分布式密钥控制等协议。该技术注重灵活性和数据交易的原子性，数据执行结果要么完全成功，要么完全失败。在交易失败的情况下，借助事务回滚机制，迅速触发资产原路返回，杜绝双方数据资产出现结果不一致或数据丢失的情况。通过对交易状态的监测和自动处理机制，以及对锁定资产的有效管理，该技术在跨链交易中实现了有效的安全性和可靠性，为用户提供了可信赖的跨链交易技术保障。

3.1.4　可审计性

本文中所设计的技术架构支持数据审计，所有成功的交易都被安全地存储在区块链系统中，而失败的交易信息则被记录在跨链网关中。这种设计确保了交易的透明性和可追溯性，为审计和争议解决提供了有效的手段。

首先，成功交易的记录存储在区块链系统中，这使得任何人都可以在区块链上查看、验证和审计交易的历史。区块链的不可篡改性确保了交易记录的安全性和可信度。任何成功的交易都可以被追溯到其产生的具体区块，为各方提供了可靠的交易证据。

其次，失败交易的信息被存储在跨链网关中，这种分离的设计有助于有效管理交易历史，避免了区块链系统因存储失败交易而产生冗余。当发生争议时，相关方可以根据跨链网关中的信息进行详细的溯源。跨链网关中的信息不仅包括交易的详细信息，还可能包括执行步骤、错误原因等。

3.2　方案步骤

本文主要针对基于账户类型（account-based）的区块链系统，而不考虑基于 UTXO 类型的区块链系统。具体过程如图 1 所示。基于同态加密的资产转移隐私保护技术的具体步骤如下文所述。

图 1 跨链资产转移时序

3.2.1　系统初始化

参与跨链资产转移的每条区块链的跨链网关执行以下操作。

（1）跨链网关之间进行协商，将参与跨链资产转移的区块链系统添加到列表中，其中表示各区块链系统的标识符。

（2）跨链网关运行同态加密方案初始化算法零知识证明协议初始化算法 NIZK.数字签名方案初始化算法获得各组件方案或协议的系统参数 HE.SP，NIZK.SP，SIG.SP。这里建议所有参与跨链的区块链系统采用相同的同态加密方案、零知识证明协议、数字签名方案，如此一来，各区块链系统可以共用基础性参数，从而减少存储以及验证识别相关的开销。如果各区块链系统采用了不同的基础组件，那么区块链网关需要记录其他区块链系统的基础性参数，并与其标识符对应。

（3） 各 区 块 链 网 关 维 护 全 局 参 数 GP={List,HE.SP,NIZK.SP,SIG.SP}，该全局参数由各个区块链系统用户共同维护并查询使用。

3.2.2　用户密钥生成

各区块链系统用户生成各自的公私钥对。

（1） 用 户 运 行 同 态 加 密 的 密 钥 生 成 算 法HE.KeyGen(HE.SP,r)获得同态加密的公私钥对(HE.SK,HE.PK)， 运 行 数 字 签 名 的 密 钥 生 成 算 法SIG.KeyGen(SIG.SP,r)获得数字签名的公私钥对(SIG.SK,SIG.PK)。

（2）同态加密与数字签名的公钥共同决定用户账户，用户账户余额也将与这两个公钥信息进行关联绑定。

3.2.3　资产转移

在进行资产转移的过程中，符号 S 代表交易发起方，符号 R 代表交易接收方，他们的同态加密公私钥分别记为数字签名公私钥分别记为

（1） 每 个 用 户 一 开 始 有 相 关 余 额 或 资 产asset，这里不关心其资产来源，可能是“挖矿”所得，或者通过购买等交易方式获得。对资产进行加密操作用户资产（或账户）信息数据结构如图 2 所示。

图 2　用户资产数据结构

（2）交易发起方 S 在源链执行如下操作。

①查询跨链网关，获取接收方 R 的相关公钥信息。

②查询跨链网关，获得当前交易序列号 sn，该序列号主要是为了对跨链交易进行统一识别，同时也是为了便于查询交易合法性以及溯源等操作。

③对转账金额 trans 进行同态加密操作，HE.Enc(HE.PKS,trans)，其中密文主要是为了证明转账金额小于或等于交易发送方 S 的现有资产额度，密文是为了完成资产转移操作，同时也是为了保护交易信息而加密。

④ 生 成 零 知 识 证 明，π=NIZK.Proof(NIZK.SP,主要目的是提供一种方式来验证某个陈述的真实性，而无须透露原始声明的具体内容。可以证明一个密文对应的明文数据大于或等于密文对应的明文数据。这里并不指定用何种具体的零知识证明协议，但已经有很多研究成果可以实现这一目的，例如文献 [15] 和文献 [24] 等设计的零知识证明协议均可高效地完成在密文状态下的比较大小操作。

⑤对上述数据进行数字签名以认证其真实性，运行数字签名生成算法

⑥形成跨链资产转移数据结构，如图 3 所示。

图 3　跨链资产转移数据结构

将形成的数据结构（如图 3 所示）发送给接收方 R。

（3）交易接收方 R 在源链执行验证操作。

①验证跨链交易序列号 sn 是否合法，合法则继续执行跨链交易验证；否则，将交易信息发送给跨链网关存证。

②验证跨链交易签名 σ 是否合法，如果签名验签算法 输出 accept，则继续执行跨链操作；如果输出 reject，则将交易信息发送给跨链网关存证。

③验证跨链交易金额是否合法，如果零知识证明协议的验证算法输出 accept，则继续执行跨链操作；如果输出 reject，则将交易信息发送给跨链网关存证。

（4）如果步骤（3）中的跨链交易验证通过，则交易接收方R在目标链执行类似的资产转移操作。

（5）交易发起方 S 在目标链中执行类似于步骤（3）的交易验证操作。如果验证通过，则双方执行解锁操作，从而分别获得对方转移的资产。

3.2.4 　资产聚合

本文主要针对基于账户类型的区块链系统开展研究。因此，当用户收到另外一方或多方转移的资产后，可通过同态加密实现自身账户资产的快速聚合计算，具体为

3.2.5　资产打开

用户想要知道自己账户资产余额，可以运行同态解密操作，具体为

４ 结 语

本文设计了一种基于同态加密的跨链资产转移隐私保护技术架构。通过同态加密、签名、零知识证明等技术，有效保障了区块链用户资产在跨链转移过程中的隐私安全。同态加密确保了资产的加密过程不泄露具体信息，数字签名技术用于验证交易的真实性，而零知识证明则在验证过程中不暴露交易的详细内容，同时保障了资产的原子性。这一综合应用为跨链资产转移提供了全面的隐私保护，为不同区块链中用户数字资产交易提供了更安全、隐私的解决方案。

引用格式：肖银 , 廖思捷 , 衡辉武 , 等 . 基于同态加密的跨链资产转移隐私保护技术研究 [J]. 通信技术 ,2024,57(6):609-616.
作者简介 >>>
肖  银，男，学士，工程师，主要研究方向为区块链、数据安全、网络靶场；
廖思捷，女，硕士，高级工程师，主要研究方向为区块链、数据安全、网络靶场；
衡辉武，男，学士，工程师，主要研究方向为区块链、数据安全；
涂  勋，男，学士，工程师，主要研究方向为区块链、数据安全；
黄  娟，女，硕士，工程师，主要研究方向为区块链、数据安全；
唐  飞，男，博士，教授，主要研究方向为密码学、区块链、隐私计算。
选自《通信技术》2024年第6期（为便于排版，已省去原文参考文献）
重要声明：本文来自信息安全与通信保密杂志社，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。