吳 狄，劉 亞，柏語蔓

（上海理工大學 光電信息與計算機工程學院，上海 200093）

0 引 言

自2009 年中本聰提出比特幣[1]以來，互聯(lián)網(wǎng)出現(xiàn)了大量基于區(qū)塊鏈技術(shù)的電子現(xiàn)金系統(tǒng)——加密貨幣（Cryptocurrency），其使用區(qū)塊鏈作為一種分布式賬本技術(shù)（Distributed Ledger Technology，DLT），具有的去中心化、去信任化、公開透明、不可篡改及匿名等特性，受到全球各界人士的關(guān)注。

隨著加密貨幣市場的擴大，基于加密貨幣的互聯(lián)網(wǎng)現(xiàn)金支付業(yè)務(wù)需求急劇增多，但比特幣等加密貨幣價值波動幅度大、貨幣政策固定、性能效率低下等問題無法滿足交易需求，一些由私人部門發(fā)行的穩(wěn)定幣（Stablecoin）的加密貨幣出現(xiàn)，如Tether 與GUSD 等。穩(wěn)定幣指的是由私人部門發(fā)行的與法定貨幣掛鉤的加密貨幣。它的發(fā)行方聲稱穩(wěn)定幣發(fā)行量與抵押的法定貨幣相等，從而令價格與抵押的法定貨幣（美元、人民幣等）掛鉤，達到“穩(wěn)定”效果。利用穩(wěn)定幣，可實現(xiàn)類似使用法定貨幣的網(wǎng)絡(luò)支付功能。但穩(wěn)定幣的價值與信用由私人部門擔保，信任度較低且存在一定的安全風險，因此受到了不少質(zhì)疑。

受此影響，各國中央銀行及貨幣發(fā)行機構(gòu)為了保護貨幣主權(quán)，同時基于推進貨幣政策、推廣數(shù)字金融、保障金融穩(wěn)定性、改善金融包容性、提升國內(nèi)支付效率、提高跨境支付能力等因素[2]，對發(fā)行以國家信用作為擔保的數(shù)字化支付工具——中央銀行數(shù)字貨幣（Central Banked Digital Currency，CBDC）展開了研究。根據(jù)國際清算銀行的調(diào)查[3]，超過80%的國家正在研發(fā)中央銀行數(shù)字貨幣方案，其中絕大部分使用了區(qū)塊鏈技術(shù)，并且部分國家已正式啟用CBDC并投放到當?shù)厥袌觥?/p>

根據(jù)英格蘭銀行[4]、國際基金貨幣組織[5]及國際清算銀行[6]的研究，各國貨幣當局發(fā)行CBDC 的主要動機可歸納為：

（1）保障國家貨幣主權(quán)；

（2）推進金融數(shù)字化；

（3）提高貨幣政策有效性；

（4）增強支付系統(tǒng)；

（5）改善普惠金融。

可見CBDC 有較大的社會意義，因而有較為寬廣的研究前景。其中，我國對法定數(shù)字貨幣的研究起步較早。2014 年，中國人民銀行成立了法定數(shù)字貨幣研究小組，并在2017 年設(shè)立了數(shù)字貨幣研究所，2018 年，時任中國人民銀行行長的周小川在發(fā)布會上指出，我國法定數(shù)字貨幣研究項目名為DC/EP（Digital Currency/Electronic Payment），產(chǎn)品名為數(shù)字人民幣（e-CNY）。DC/EP 由中國人民銀行發(fā)行，遵循“一幣二庫三中心”架構(gòu)，具有雙層運營、M0 替代、可控匿名等特點。目前，DC/EP 已在深圳、雄安、蘇州以及成都等地開展實況試點測試。

為方便研究，國際清算銀行對CBDC 進行分類[7]，根據(jù)CBDC 的使用對象，即此系統(tǒng)可由公眾使用或只可由特定部門、組織、機構(gòu)及企業(yè)使用，將其分為零售型CBDC（Retail CBDC，R-CBDC）及批發(fā)型CBDC（Wholesale CBDC，W-CBDC），其中零售型CBDC 的使用者極其廣泛，所以又稱為通用型CBDC（General-purpose CBDC，GP-CBDC）。各國政府與學界根據(jù)政治、經(jīng)濟及社會需求與實際結(jié)合情況，確定其可使用性并展開如下研究。

在國內(nèi)研究工作方面，范一飛[8]討論了在中國發(fā)行法定數(shù)字貨幣的法理依據(jù)以及架構(gòu)。姚前提出了央行數(shù)字貨幣系統(tǒng)性框架[9]，探討了RSCoin 這一CBDC 原型系統(tǒng)的優(yōu)劣[10]，并對中國法定數(shù)字貨幣進行了構(gòu)想并提出中國國家數(shù)字貨幣DC/EP 的設(shè)計要求[11]。鄒傳偉[12]對零售型CBDC 及批發(fā)型CBDC 的選擇與設(shè)計進行了深入分析。狄剛[13]分析了數(shù)字金融技術(shù)體系中區(qū)塊鏈技術(shù)的現(xiàn)狀與挑戰(zhàn)，并對其進行展望。

在國外研究工作方面，CBDC 這一概念于2016 年由Broadbent 提出[14]。Danezis 等人[15]提出了第一個CBDC 原型系統(tǒng)RSCoin，隨即各界展開了CBDC 的研究，其結(jié)構(gòu)、模式及設(shè)計思想對各國的CBDC 研發(fā)有一定啟發(fā)。Wüst 等人[16]針對CBDC 的隱私保護問題提出了PRCash的CBDC 原型系統(tǒng)。Adrian 等人[17]從全球金融系統(tǒng)角度對穩(wěn)定幣、CBDC 與跨境網(wǎng)絡(luò)支付進行了研究及對比，并表達了對CBDC 發(fā)展的樂觀態(tài)度。Boar 等人[3]則發(fā)起了一項針對全球主流國家的貨幣當局與CBDC 相關(guān)情況的系列研究，對各貨幣當局進行了問卷調(diào)查，總結(jié)了這些國家CBDC 的發(fā)展現(xiàn)狀。在零售型CBDC 這一領(lǐng)域，Kiff 等人[18]對當前的零售型CBDC 進行了包含技術(shù)、金融、政策以及相關(guān)法律的調(diào)查。Auer 等人[19]則針對技術(shù)層面，分析了主流國家的零售型CBDC 采用的相關(guān)技術(shù)以及面臨的問題。而在批發(fā)型CBDC 這一領(lǐng)域，國際清算銀行支付與市場基礎(chǔ)設(shè)施委員會[20]對全球批發(fā)型CBDC 的發(fā)展現(xiàn)狀進行了總結(jié)，其中給出了批發(fā)型CBDC 所需技術(shù)特點。

當前，學界對CBDC 的綜述大多基于政策、經(jīng)濟與法律的角度進行論述，而對于CBDC 原型系統(tǒng)與解決方案所采用的技術(shù)的具體研究仍需填補。

1 中央銀行數(shù)字貨幣

1.1 概述

中央銀行數(shù)字貨幣這一概念由英格蘭銀行于2016 年提出[14]，隨后國際清算銀行對CBDC的概念進行了進一步的明確。

根據(jù)國際清算銀行提出的定義[6]，中央銀行數(shù)字貨幣具有三個特性：

（1）數(shù)字化；

（2）由貨幣當局發(fā)行并擔保其價值；

（3）支持用戶間點到點交易；

CBDC 所需的技術(shù)應(yīng)具有以下特點：

（1）中心化。CBDC 僅能由中央銀行或其授權(quán)的商業(yè)銀行及金融機構(gòu)發(fā)行，不可由非授權(quán)的個人或組織發(fā)行。

（2）高吞吐量。CBDC 需要有足夠的吞吐量以滿足社會交易需求。

（3）一定的隱私保護性。CBDC 要具有一定的隱私保護特性，保障使用者的隱私（如交易對象、交易金額等）不被竊取。

（4）可監(jiān)管。CBDC 要可監(jiān)管，符合現(xiàn)行法律法規(guī)，保障金融安全，防止洗錢等金融犯罪。

（5）點對點交易。CBDC 需支持點對點支付，滿足使用者交易需求。

1.2 分類

國際貨幣組織根據(jù)使用對象、結(jié)構(gòu)特點和采用的技術(shù)對CBDC 進行分類，具體如下：CBDC 可以根據(jù)使用對象不同分為批發(fā)型與零售型；根據(jù)交易范圍不同分為國內(nèi)型和全球型；根據(jù)結(jié)構(gòu)特點分為直接型、間接型和混合型；根據(jù)采用的技術(shù)模型分為基于賬戶模型和基于交易模型。本小節(jié)將簡單介紹每一類型CBDC 的特點。

1.2.1 批發(fā)型CBDC 與零售型CBDC

批發(fā)型CBDC 一般對使用者資質(zhì)有較為嚴格的要求，主要面向貨幣當局、銀行及其他金融機構(gòu)，不向普通民眾提供服務(wù)。此類型CBDC通常用于證券交割、財政結(jié)算及企業(yè)轉(zhuǎn)賬等，交易金額往往十分巨大，交易頻率相對較低。目前批發(fā)型CBDC 項目包括加拿大的Jasper 等。

零售型CBDC 可提供給政府、企業(yè)及普通民眾使用，中國的DC/EP 即為此類型的CBDC。零售型CBDC 單筆交易金額相對較低，交易頻率較高，可作為新型普遍支付手段，用于補充或替代傳統(tǒng)現(xiàn)金支付。

1.2.2 國內(nèi)型CBDC 與全球型CBDC

國內(nèi)型CBDC 原則上只允許境內(nèi)人員持有，并且只允許在發(fā)行國境內(nèi)交易。例如，中國的DC/EP、烏拉圭的Billete Digital 與柬埔寨的Bakong 等。

全球型CBDC 允許全球人員持有，支持跨境交易。例如，新加坡的Ubin、泰國的Inthanon 等。

1.2.3 直接型CBDC、間接型CBDC 與混合型CBDC

直接型結(jié)構(gòu)由中央銀行與用戶組成，屬于單級結(jié)構(gòu)。用戶資金存儲在中央銀行，資金由中央銀行確保，交易由中央銀行處理。

間接型結(jié)構(gòu)由中央銀行、中介機構(gòu)（一般為商業(yè)銀行）及用戶組成，屬于二級結(jié)構(gòu)。中介機構(gòu)向用戶提供支付服務(wù)，用戶與中介機構(gòu)通信，資金存儲在中介機構(gòu)，交易由中介機構(gòu)處理。中央銀行負責記錄中介機構(gòu)總賬，不保障用戶資金，不掌握用戶交易記錄。

混合型結(jié)構(gòu)與間接型結(jié)構(gòu)類似，也由中央銀行、中介機構(gòu)以及用戶組成。不同于間接機構(gòu)的是用戶與中介機構(gòu)通信，資金存儲在中央銀行，交易由中介機構(gòu)處理。中央銀行負責保障用戶資金，并且持有用戶交易記錄副本。

1.2.4 基于賬戶模型的CBDC 與基于交易模型的CBDC

基于賬戶模型的CBDC。賬戶模型（Accountbased）與銀行賬戶模式類似，每個地址被視為一個賬戶，存在保存地址對應(yīng)數(shù)據(jù)（如金額等）的全局狀態(tài)。每個交易僅依賴現(xiàn)有狀態(tài)，不依賴其他交易。目前，冰島的Rafkróna 與巴哈馬的Sand Dollar 等皆采用此模型。

基于交易模型的CBDC。交易模型（Transactionbased）又稱為代幣模型（Token-based），由中本聰于比特幣中提出，與現(xiàn)金模式較為相近。在此模型中，每個地址被視為一個交易，不存在如賬戶、錢包及余額等概念，取而代之的是存在未使用的交易輸出（Unspent Transaction Output，UTxO）列表。每個UTxO 與現(xiàn)金一樣，包含金額與使用條件。不同的是，現(xiàn)金可以重復(fù)使用，UTxO 在使用一次后即被移出UTxO 列表，無法再次使用。目前，新加坡的Ubin 與巴西的Digital Fiat Currency 等采用此模型。

2 CBDC 原型系統(tǒng)

為了解決比特幣等加密貨幣的低吞吐量、去中心化和無法動態(tài)調(diào)整貨幣政策等缺陷以滿足CBDC 需求，2016 年英國央行英格蘭銀行與英國倫敦大學學院合作提出了第一個CBDC 原型系統(tǒng)——RSCoin[15]。作為由貨幣當局提出的第一個CBDC技術(shù)原型，RSCoin具有一定的典范性，引起各界的廣泛關(guān)注。針對其存在的問題與可改進的方向，學術(shù)界提出了各種改進的CBDC 技術(shù)原型，如UFCBCoin[21]、AFCoin[22]、PRCash[16]等，為各國CBDC 研究與開發(fā)帶來啟發(fā)。

2.1 RSCoin

2016 年，Danezis 等人在英格蘭銀行的建議下提出了第一個CBDC 原型系統(tǒng)RSCoin，具有高吞吐量、低算力消耗與支持動態(tài)貨幣政策等特點，能較好地滿足貨幣當局對數(shù)字法定貨幣的設(shè)計需求。

（1）結(jié)構(gòu)特點

RSCoin 采用類似比特幣的基于交易模型（又稱為基于UTxO 模型）。它使用雙鏈結(jié)構(gòu)，分為由高級區(qū)塊（Higher-level Block）組成的高層鏈和由低層區(qū)塊（Lower-level Block）組成的低層鏈。高層鏈由中央銀行管理，負責貨幣供應(yīng)、貨幣政策調(diào)整與交易對賬；低層鏈作為交易總賬，通過多個由中央銀行授權(quán)的各個商業(yè)銀行所負責的被稱為“薄荷糖（Mintette）”的節(jié)點群組記錄進行具體交易，每個薄荷糖群組（Mintettes）只負責部分數(shù)據(jù)。

用戶在提交交易時，無論在驗證階段或提交階段，均需要用戶去與該階段對應(yīng)的含2f個節(jié)點的薄荷糖群組中至少f+1 個節(jié)點進行通信，通信次數(shù)較多，造成通信成本高的問題。

（2）共識機制

RSCoin 使用兩階段提交（Two-Phase Commit，2PC）共識作為低層鏈中分布式記賬共識機制。2PC 共識分為驗證階段和提交階段。在驗證階段，用戶需獲取所使用的資金對應(yīng)UTxO 所在Mintettes 中過半數(shù)Mintette 的簽名認證；在提交階段，用戶將交易及上一階段中取得的資金證明提交至轉(zhuǎn)賬地址所屬的Mintettes，若此Mintettes中過半數(shù)節(jié)點驗證通過并簽名，則完成共識并寫入低層區(qū)塊。

（3）交易流程

由于RSCoin 使用兩層結(jié)構(gòu)，屬于間接型模型，因此用戶在交易中不直接與中央銀行通信，而是與所屬的商業(yè)銀行構(gòu)建交易。

假設(shè)Alice 需要給Bob 轉(zhuǎn)賬，轉(zhuǎn)賬金額為v，則交易流程如下：

①Alice 構(gòu)建轉(zhuǎn)賬申請， 選取使用的UTxO，通過尋址服務(wù)查詢該UTxO 對應(yīng)的薄荷糖群組m與Bob 對應(yīng)的薄荷糖群組n。

②進入驗證階段。Alice 構(gòu)建一個交易Tx，包含對該UTxO 的資金證明并附上用戶自身簽名Sign（Alice），將其發(fā)送至群組m中所有mi。

③mi在收到Alice 的資金證明后，對其進行獨立核驗。首先，檢查資金是否屬于群組m管理，即此UTxO 是否在群組m的未使用交易輸出列表utxo中。其次檢查金額，最后檢查Alice用戶簽名。若核驗無誤，將UTxO 從utxo中移除，添加至用于防止“雙花”攻擊的已驗證的交易輸出列表pset中，最后在資金證明后附上mi自身簽名Sign（mi）發(fā)還給用戶。

④群組m中有2f個薄荷糖節(jié)點，若Alice取得其中f+1個薄荷糖節(jié)點的簽名，則完成驗證階段。

⑤進入提交階段。Alice 將資金證明及上一階段收集到的f+1個Sign（mi）組成的Tx'，分別發(fā)送至群組n中所有薄荷糖節(jié)點nj。

⑥nj在收到Alice 的交易與資金證明后，對其進行獨立核驗。首先檢查Bob 是否屬于群組c管理。其次檢驗Sign（nj）是否合法，如果合法，將此交易輸出加入已驗證交易列表txset中，將資金證明加上nj自身簽名Sign（nj）發(fā)回用戶。

⑦若群組n中過半數(shù)節(jié)點都完成驗證，則群組n將此次交易寫入低層區(qū)塊，交易結(jié)束。

（4）優(yōu)缺點

在優(yōu)點方面，首先RSCoin 吞吐量較高，據(jù)文獻[15]給出的測試數(shù)據(jù)可達2000TPS；其次它具有部分中心化的特點，中央銀行通過控制高層鏈管理貨幣發(fā)行；最后，它可以實現(xiàn)動態(tài)貨幣政策，中央銀行可通過高層鏈發(fā)行、銷毀貨幣及進行其他貨幣政策調(diào)整。

不足的是，RSCoin 論文[15]中未提及高層鏈的設(shè)計與對賬、貨幣政策調(diào)整等功能的實現(xiàn)，也未說明同一Mintettes 內(nèi)各Mintette 的數(shù)據(jù)同步機制。此外，現(xiàn)有RSCoin 系統(tǒng)存在著用戶通信成本高、未保護交易隱私數(shù)據(jù)等可改進空間。

總之，RSCoin 作為第一個CBDC 原型系統(tǒng)，具有一定的開創(chuàng)性及啟發(fā)性，有較好的借鑒價值，其設(shè)計思想及理念對其后各國CBDC 研究及設(shè)計產(chǎn)生了一定影響。

2.2 UFCBCoin

為解決RSCoin 中交易通信次數(shù)較多，造成用戶通信成本高的問題，Han 等人提出了基于RSCoin 進行改進的CBDC 原型系統(tǒng)UFCBCoin。

UFCBCoin 基于RSCoin 改進而來，其結(jié)構(gòu)與共識機制方面與RSCoin 大致相同。而在交易流程中，UFCBCoin 引入了“代表機制”，對通信流程與機制進行了修改，以減少用戶通信量。用戶在兩階段提交共識機制的驗證階段與提交階段均可隨機選取對應(yīng)薄荷糖群組中的一個節(jié)點為代表，由此節(jié)點代表用戶與群組內(nèi)其他節(jié)點進行通信，如獲取其他節(jié)點對資金證明的簽名等。最后將此階段的驗證結(jié)果一次性返回給用戶。通過代表機制，將部分用戶與薄荷糖節(jié)點的通信轉(zhuǎn)移為薄荷糖節(jié)點之間的通信。在惡意節(jié)點數(shù)量較多的情況下，UFCBCoin 與RSCoin 總體通信量較為接近。在一般情況下，UFCBCoin 中群組與用戶的通信量大幅度低于RSCoin 中群組與用戶的通信量，減少了用戶通信成本。

2.3 PRCash

RSCoin、UFCBCoin 等CBDC 原型系統(tǒng)側(cè)重探討中央銀行數(shù)字貨幣的模型、結(jié)構(gòu)、共識機制、通信機制及吞吐量，不涉及對交易隱私的保護，存在隱私泄露問題。而且有些國家監(jiān)管機構(gòu)對交易金額有一定限制，如美國要求公民若在一個周期內(nèi)接受現(xiàn)金超過10000 美元則需向美國國家稅務(wù)局申報，并且CBDC 一般認為與現(xiàn)金等價，應(yīng)被納入同等管理范疇。但已有的原型系統(tǒng)未實現(xiàn)監(jiān)管機制，未能完全滿足當局對CBDC的需求。

針對這些問題，Wüst 等人提出了旨在解決隱私保護與監(jiān)管控制問題的CBDC 原型系統(tǒng)PRCash。此系統(tǒng)提出了一個利用零知識證明進行基于承諾的交易監(jiān)管機制，通過使用類似Mimble-wimble 協(xié)議[23]的方式隱藏交易隱私（交易對象、交易金額）并使匿名交易具有不可鏈接性，以及采用可驗證的偽隨機標識符及范圍證明實現(xiàn)限制一個時間周期內(nèi)單個用戶匿名交易金額。

（1）結(jié)構(gòu)特點

假定PRCash 部署于標準的許可區(qū)塊鏈中，區(qū)塊由貨幣當局、監(jiān)管機構(gòu)與相關(guān)金融機構(gòu)共同維護。在系統(tǒng)中，定義了四類角色：

①發(fā)行者：由貨幣當局擔任，負責發(fā)行貨幣。

②監(jiān)管者：由監(jiān)管機構(gòu)擔任，負責監(jiān)管用戶交易，如控制一個時間周期內(nèi)匿名交易金額上限等。

③驗證者：由中央銀行授權(quán)的商業(yè)銀行或金融機構(gòu)擔任，負責驗證用戶交易。

④用戶：由持有貨幣的消費者、企業(yè)或政府機構(gòu)擔任，作為交易的發(fā)起方和接收方。

（2）共識機制

在共識機制方面，驗證者負責記錄交易總賬。驗證者采用實用拜占庭容錯（Practical Byzantine Fault Tolerant，PBFT）共識機制以保證賬本同步。

（3）交易流程

在交易流程方面，用戶可選擇發(fā)起兩種類型的交易：匿名及非匿名。在匿名交易中，用戶需提供證明，證明其在一個時間周期內(nèi)接收的匿名交易貨幣少于法定限額，若用戶可提供此證明，則可實現(xiàn)匿名交易；若用戶超過法定交易額度，無法與監(jiān)管者通信獲得此證明，則無法發(fā)起匿名交易。而在非匿名交易中，PRCash 提供了混幣服務(wù)，保障其隱私安全。在吞吐量方面，由于采用了零知識證明與同態(tài)加密等復(fù)雜算法，在有16 個驗證者的模擬環(huán)境下吞吐量約為480TPS，大幅度低于RSCoin 及UFCBCoin。

（4）優(yōu)缺點

優(yōu)點方面，PRCash 實現(xiàn)了一定程度的隱私保護與監(jiān)管機制，滿足貨幣當局對CBDC 的需求。缺點方面，目前PRCash 采用的零知識證明技術(shù)計算成本相對較高，導(dǎo)致吞吐量相對較低，仍需改善。

總體來看，PRCash 是一個與其他CBDC 原型系統(tǒng)“正交”，著重于隱私保護及監(jiān)管控制的原型系統(tǒng)，有較高的研究價值。

2.4 AFCoin

AFCoin 是由Tian 等人提出的意在實現(xiàn)一個基于賬戶模型的類RSCoin 的CBDC 原型系統(tǒng)。

（1）結(jié)構(gòu)特點

AFCoin 由數(shù)個智能合約構(gòu)建，可以在以太坊及如Quorum、Hyperledger Iroha 和Clique 等兼容以太坊結(jié)構(gòu)以及以太坊虛擬機分布式賬本技術(shù)解決方案上部署。AFCoin 包含三種角色：

①中央銀行：負責貨幣發(fā)行，向商業(yè)銀行提供貨幣。

②商業(yè)銀行：負責管理用戶在商業(yè)銀行賬戶中的數(shù)字貨幣。

③用戶：作為交易發(fā)起方及接收方。

（2）共識機制

在共識機制及吞吐量方面，由于AFCoin 可在兼容以太坊虛擬機的不同平臺上運作，而各平臺的架構(gòu)（公鏈、許可鏈或私有鏈）與共識機制（PoW、PoS、PoA 或PBFT 等）的不同導(dǎo)致可縮放性差異極大，因此，吞吐量則由使用的技術(shù)解決方案決定。

（3）交易流程

在交易流程方面，根據(jù)交易雙方地址歸屬狀況分為兩種交易：同行交易與跨行交易。

在Alice 地址與Bob 地址同屬CMB1 的同行交易情況里，Alice 向Bob 轉(zhuǎn)賬，CMB1 直接將Alice 賬戶余額減去相應(yīng)金額，將其加到Bob 賬戶中，完成交易。

而在Alice 地址與Bob 地址分屬CMB1 與CMB2 的跨行交易情況里，Alice 向Bob 轉(zhuǎn)賬，Alice 首先需要向CMB1 申請交易，CMB1 在校驗交易后，減去Alice 賬戶相應(yīng)金額，向CMB2轉(zhuǎn)賬。CMB2 在收到交易并確認后，增加Bob 的余額，完成交易。

（4）優(yōu)缺點

AFCoin 的主要優(yōu)點是適用于當前主流的“中央銀行—商業(yè)銀行”二元模型的混合型CBDC架構(gòu)，其本質(zhì)為基于Solidity 的智能合約，可快速部署于各類成熟的分布式賬本平臺。缺點則是基于賬戶模型較難保護交易隱私，而且未對吞吐量進行實際測試。

總體來說，AFCoin 作為第一個基于賬戶模型的CBDC 原型系統(tǒng)，因基于以太坊導(dǎo)致其適用性比較強，有一定參考意義。

3 技術(shù)解決方案

RSCoin、UFCBCoin、PRCash 及AFCoin 這些原型系統(tǒng)，為各國研究CBDC 帶來了參考與思路，并為CBDC 開發(fā)提供了結(jié)構(gòu)、交易流程及安全等各方面的經(jīng)驗與啟示。在實際CBDC 開發(fā)過程中，考慮到安全性、可維護性及技術(shù)成熟度等工程因素，各國通常選擇現(xiàn)有企業(yè)級分布式賬本技術(shù)平臺作為實現(xiàn)CBDC 的技術(shù)解決方案。如新加坡金融管理局的Project Ubin，由數(shù)字化新加坡元、國內(nèi)銀行實時結(jié)算系統(tǒng)（Real Time Gross System，RTGS）、基于分布式賬本技術(shù)的券款對付（Delivery versus Payment，DvP）、跨境結(jié)算支付系統(tǒng)、跨境支付和跨境券款對付系統(tǒng)六個階段組成。Project Ubin 自2014 年開始第一階段，目前完成第五階段，使用了Quorum 與Hyperledger Fabric 作為其技術(shù)解決方案。加拿大銀行的Project Jasper 是基于Corda 開發(fā)的批發(fā)型CBDC 項目，用于國內(nèi)銀行間支付結(jié)算。此外，加拿大銀行與新加坡金融管理局進行合作，提出了一個跨境支付系統(tǒng)項目Project Jasper-Ubin。柬埔寨國家銀行的Project Bakong 是柬埔寨政府提出的區(qū)塊鏈支付系統(tǒng)，作為一個零售型CBDC項目，意在取代部分現(xiàn)金交易并且減少美元在柬埔寨國內(nèi)的流通，此項目應(yīng)用Hyperledger Iroha作為技術(shù)解決方案。下面對表1 中的技術(shù)解決方案按其采用的模型進行分類，分別對其結(jié)構(gòu)特點、共識機制、吞吐量、智能合約支持及隱私保護狀況進行分析，并對比各個技術(shù)解決方案的優(yōu)缺點。

表1 CBDC 技術(shù)解決方案

3.1 Quorum

Quorum 是由摩根大通于2016 年提出的基于以太坊Geth 分支的開源企業(yè)級分布式賬本技術(shù)平臺[24]。

（1）結(jié)構(gòu)特點

Quorum 采用基于賬戶模型，由Quorum節(jié)點與隱私管理器（Private Manager）組成。Quorum節(jié)點除了擁有以太坊節(jié)點大部分功能外，還實現(xiàn)了權(quán)限控制、可插拔的共識機制、私有狀態(tài)存儲等功能。隱私管理器由交易管理器（Transaction Manager）與被稱為“飛地（Enclave）”的加密解密模塊件組成，負責實現(xiàn)私有交易、部署私有合同等功能。Quorum 節(jié)點只與預(yù)設(shè)的Quorum 節(jié)點列表中其他節(jié)點通過P2P 協(xié)議進行連接，并通過HTTPS 協(xié)議連接隱私管理器。

（2）共識機制

Quorum 支持Raft 共識、IBFT（Istanbul BFT）共識及PoA（Proof-of-Authority，權(quán)威證明）共識作為共識機制。使用者在部署Quorum 時，根據(jù)實際需求選擇其中一個作為共識機制。

（3）吞吐量

根據(jù)Arati Baliga 等人[25]針對Quorum 測試報告中的數(shù)據(jù)顯示，Quorum 吞吐量都可達到約1400TPS。

（4）智能合約支持

因其基于以太坊Geth，因此Quorum 完全兼容基于Solidity 及LLL 等語言所開發(fā)的適用于EVM 的智能合約。

（5）隱私保護

Quorum 中的交易可分為公開交易與私有交易。公開交易通過全節(jié)點廣播，與以太坊交易無太大分別。私有交易可選擇參與的Quorum 節(jié)點，并且通過與隱私管理器通信將交易保存至鏈下，鏈上只保存加密后的Hash，實現(xiàn)對交易隱私的保護。并且，Quorum 中使用了ZCash 團隊提出的zk-SNARKS 實現(xiàn)了零知識證明安全層（Zero-knowledge Security Layer，ZSL），在防止“雙花”的前提下，對私有交易的交易對象、金額等敏感信息進行保護。

目前，新加坡金融管理局的Ubin、南非儲備銀行的Khokha 等項目采用Quorum 作為技術(shù)解決方案。

3.2 Hyperledger Iroha

Hyperledger Iroha[26]是Linux 基金會管理的開源企業(yè)級分布式賬本技術(shù)平臺，由Soramitsu公司于2016 年貢獻給Hyperledger 項目。

（1）結(jié)構(gòu)特點

Hyperledger Iroha 采用了基于賬戶模型，無原生數(shù)字貨幣，網(wǎng)絡(luò)由多個對等節(jié)點組成。

（2）共識機制

Hyperledger Iroha 采用的是YAC（Yet Another Consensus）的共識機制。YAC 基于PBFT 進行改進，對系統(tǒng)中總量為3f個對等節(jié)點進行排序，采用前2f+1 個節(jié)點參與共識，若出現(xiàn)故障再采用剩余節(jié)點，在保障安全性與容錯性的前提下提升了可縮放性。

（3）吞吐量

Hyperledger Iroha 主要貢獻者Soramitsu 公司聲稱其吞吐量約為2000TPS[27]。

（4）智能合約支持

Hyperledger Iroha 使 用Burrow EVM 作 為 其虛擬機，保持了對Solidity 語言所編寫的智能合約的兼容。

（5）隱私保護

Hyperledger Iroha 提供了基于角色的權(quán)限控制系統(tǒng)，使得使用者可以非常方便地進行細粒度權(quán)限管理。而且Hyperledger Iroha 支持多重簽名交易與合約，便于設(shè)計業(yè)務(wù)的安全模型。

目前，柬埔寨國家銀行采用其作為本國零售型CBDC 項目Bakong 的技術(shù)解決方案。

3.3 Hyperledger Fabric

Hyperledger Fabric[28]由Linux 聯(lián) 盟 于2015年提出，是全世界使用最為廣泛的企業(yè)級區(qū)塊鏈平臺之一。

（1）結(jié)構(gòu)特點

Hyperledger Fabric 采用了基于賬戶模型，不存在原生加密貨幣。系統(tǒng)由一條或多條通道與分組服務(wù)節(jié)點組成。通道由統(tǒng)稱為Peer 的對等節(jié)點組成，通道內(nèi)數(shù)據(jù)構(gòu)成一條區(qū)塊鏈，每個節(jié)點可以從屬于多個不同通道，僅能查看所屬通道內(nèi)的數(shù)據(jù)。對等節(jié)點可根據(jù)其功能分為確認節(jié)點（Committing Peer）、背書節(jié)點（Endorsing Peer）、領(lǐng)導(dǎo)節(jié)點（Leader Peer）與錨節(jié)點（Anchor Peer）等角色。所有節(jié)點都屬于確認節(jié)點這一角色，負責接收新塊、驗證塊中交易以及將其加入賬本；而背書節(jié)點則是針對智能合約而產(chǎn)生的角色，每個擁有智能合約的節(jié)點都可成為此智能合約的背書節(jié)點；領(lǐng)導(dǎo)節(jié)點可由配置中靜態(tài)指定或動態(tài)選舉產(chǎn)生，負責從排序服務(wù)中獲取交易數(shù)據(jù)并分發(fā)至其他節(jié)點；錨節(jié)點由通道配置中指定，負責跨通道通信。排序服務(wù)由排序服務(wù)節(jié)點組成，負責對有效交易進行全局排序，其后生成新塊。

（2）共識機制

Hyperledger Fabric 支持使用單節(jié)點認證的Solo 協(xié)議、源于分布式共識的Kafka 協(xié)議或基于PBFT 的BFT-SMaRT 協(xié)議三種。使用者可根據(jù)實際狀況，在配置中指定系統(tǒng)使用的共識機制。

（3）吞吐量

Hyperledger Fabric在實驗狀況下高達3500TPS[28]。此外，有學者提出FastFabric[29]，聲稱可通過分離元數(shù)據(jù)、轉(zhuǎn)移背書節(jié)點與記賬節(jié)點至單獨硬件等措施，將吞吐量提至20000TPS。另外，隋源等人還提出了將Hyperledger Fabric 與鏈下數(shù)據(jù)庫進行結(jié)合的方案[30]，在吞吐量方面表現(xiàn)較好。

（4）智能合約支持

Hyperledger Fabric 可使用Go、Java 與JavaScript三種語言編寫被稱為鏈碼（Chaincode）的智能合約，并且根據(jù)Foschini 等人的測試報告顯示[31]，使用Go 語言開發(fā)的鏈碼性能最好。

（5）隱私保護

Hyperledger Fabric 所采用的通道技術(shù)可將數(shù)據(jù)分割為多條鏈，通過創(chuàng)建通道實現(xiàn)一定程度的數(shù)據(jù)隔離。并且，Hyperledger Fabric 還提供了私有數(shù)據(jù)集（Private Data Collection）方案，通過將私有交易與狀態(tài)寫入私有數(shù)據(jù)庫，僅在鏈與存儲全局狀態(tài)的數(shù)據(jù)庫中存儲私有數(shù)據(jù)的哈希值，實現(xiàn)在不需要建立通道的情況下保障交易隱私。

目前，新加坡金融管理局的Ubin、沙特阿拉伯貨幣局的Aber 與東加勒比中央銀行發(fā)行的DXCD 等項目采用Hyperledger Fabric 作為技術(shù)解決方案。

3.4 Stellar

Stellar[32]是由Ripple 聯(lián)合創(chuàng)始人Jed McCable等人于2014 年提出的開源區(qū)塊鏈系統(tǒng)。

（1）結(jié)構(gòu)特點

Stellar 采用賬戶模型，原生數(shù)字貨幣名為XLM。Stellar網(wǎng)絡(luò)由多個被稱為“恒星核心（Stellar Core）”的對等節(jié)點與連接恒星核心并向外界提供REST API 服務(wù)的網(wǎng)關(guān)“地平線（Horizon）”組成。

（2）共識機制

Stellar 采用恒星共識機制（Stellar Consensus Protocol，SCP），是聯(lián)邦拜占庭協(xié)議（Federated Byzantine Agreement，F(xiàn)BA）的一個參考實現(xiàn)。

（3）吞吐量

根據(jù)Stellar 創(chuàng)始人Jed McCable 在采訪中提供的數(shù)據(jù)顯示[33]，Stellar 在模擬環(huán)境下吞吐量最高可達4000TPS。

（4）智能合約支持

Stellar 只支持被稱為恒星智能合約（Stellar Smart Contract，SSC）的非圖靈完備智能合約。SSC 擁有支持多簽名、閾值以及時間三種特性，通過在提交交易時設(shè)定約束條件從而生成智能合約。此外，Oleg Andreev 等人提出一個名為Slingshot[34]的項目，將零知識虛擬機ZkVM[35]接入Stellar 中，將交易中的公鑰視為謂詞，使Stellar 支持ZkVM 智能合約以使用零知識證明。

（5）隱私保護

Stellar 原生不支持私有交易。為彌補這一缺陷，有開發(fā)者提出了Starlight[36]方案，構(gòu)建支付通道，從而實現(xiàn)私有交易。并且，前文中提到的Slingshot 項目不僅可以通過零知識證明對交易的對象與金額進行保護，還可以引入CoinJoin的變體方案對交易進行混幣處理，從而提升交易的隱私安全性。

目前，烏克蘭國家銀行采用Stellar 的私有版本作為本國CBDC 項目E-Hryvnia 的技術(shù)解決方案。

3.5 Corda

Corda 是R3 聯(lián)盟于2016 年提出的部分開源企業(yè)級分布式賬本技術(shù)平臺[37]。

（1）結(jié)構(gòu)特點

Corda 基于交易模型，分為Corda 節(jié)點及公證池（Notary Pool）兩大組件。Corda 節(jié)點負責存儲交易信息，公證池負責共識機制以決定賬本記錄內(nèi)容，由多個公證人（Notary）節(jié)點組成。

（2）共識機制

Corda 使用兩類機制：使用基于Raft 的Copycat 協(xié)議或基于PBFT 的BFT-SMaRT 協(xié)議的有效性共識以保證交易的有效性；由公證人服務(wù)對交易進行檢查避免“雙花攻擊”的唯一性共識。在Corda 中，必須同時通過這兩類共識機制才可提交交易。

（3）吞吐量

根據(jù)Corda 官方提供的信息，Corda 可在模擬環(huán)境下達到1674TPS[38]。

（4）智能合約支持

Corda 智能合約使用Java 虛擬機（Java Virtual Machine，JVM），支持使用Java 與Kotlin語言編寫。并且智能合約還支持法律散文（Legal Prose），即引入相關(guān)的法律條文作為依據(jù)，便于有關(guān)部門對交易與合約進行監(jiān)管。

（5）隱私保護

Corda 使用Tear-off 技術(shù)。將交易的輸入、輸出、命令與附件構(gòu)造為一棵默克爾樹（Merkle Tree），預(yù)言機服務(wù)能查看交易的命令，公證服務(wù)只能查看交易的輸入，實現(xiàn)了對交易的隱私保護。并且Corda 還提供了對諸如Intel SGX 等硬件安全模塊的支持，將在飛地中處理的歷史交易加解密運算放在可信計算硬件中執(zhí)行，保障歷史交易數(shù)據(jù)隱私。但Corda 的公證池服務(wù)依賴于R3 聯(lián)盟，可能存在一定風險。

目前，加拿大銀行的Jasper、加拿大銀行與新加坡金融管理局聯(lián)合開發(fā)的Jasper-Ubin、泰國銀行Inthanon 都采用Corda 作為技術(shù)解決方案。

4 展望與總結(jié)

通過對原型系統(tǒng)與技術(shù)解決方案的分析，能較好地了解到當前CBDC 的發(fā)展現(xiàn)狀。下文將對CBDC 未來發(fā)展方向進行展望，以及對本文的工作進行總結(jié)。

4.1 展望

（1）高交易吞吐量

當前，主流公鏈系統(tǒng)如比特幣交易吞吐量為7TPS，以太坊交易吞吐量為15TPS，EOS 交易吞吐量約為34TPS。相較于傳統(tǒng)公鏈，CBDC原型系統(tǒng)及技術(shù)解決方案的吞吐量取得了極大提升，其中Hyperledger Fabric 的交易吞吐量為3500TPS，RSCoin 的交易吞吐量為2000TPS。但世界主流電子支付系統(tǒng)如中國網(wǎng)聯(lián)的交易吞吐量約為92000TPS，峰值可達250000TPS，Visa交易吞吐量約為24000TPS?？梢奀BDC 技術(shù)解決方案與傳統(tǒng)電子支付系統(tǒng)的吞吐量仍有較大差距，有可能無法滿足現(xiàn)實交易需求。因此，可采取鏈上擴容與鏈下擴容，提高中央銀行數(shù)字貨幣技術(shù)解決方案的交易吞吐量。

鏈上（On-chain）擴容指的是對區(qū)塊鏈的結(jié)構(gòu)、共識以及交易流程進行修改與優(yōu)化，實現(xiàn)系統(tǒng)吞吐量的提高。鏈上擴容主要包含如下方面：

①共識機制改進

當前技術(shù)解決方案一般采用PBFT、Raft 等聯(lián)盟鏈常用共識機制?？稍谄胶庑阅芘c中心化程度的前提下，對現(xiàn)有共識機制進行優(yōu)化，加快交易驗證速度，從而提升系統(tǒng)吞吐量。

②分片技術(shù)

區(qū)塊鏈系統(tǒng)中一般將交易存放在一條區(qū)塊鏈中。分片技術(shù)是指將交易數(shù)據(jù)按照一定方式存放在數(shù)條相對獨立的鏈上，每條鏈稱為一個分片。不同分片中的交易獨立處理，可在一定程度上實現(xiàn)并行交易，提高系統(tǒng)吞吐量。

③有向無環(huán)圖結(jié)構(gòu)

傳統(tǒng)區(qū)塊鏈采用鏈式結(jié)構(gòu)，各個節(jié)點僅能串行處理交易。而采用有向無環(huán)圖（Directed Acyclic Graph，DAG）結(jié)構(gòu)后，各個節(jié)點可并行處理不同交易，大幅提升交易吞吐量。

④無狀態(tài)驗證技術(shù)

無狀態(tài)驗證技術(shù)是指將交易中包含的憑證數(shù)據(jù)轉(zhuǎn)移到區(qū)塊鏈外，減少單筆交易大小，增加區(qū)塊交易容量，達到提升交易吞吐量的效果。

⑤擴塊

通過擴大區(qū)塊大小，可增加每個區(qū)塊包含的交易數(shù)量，從而提升交易吞吐量。

鏈下（Off-chain）擴容指的是在不修改區(qū)塊鏈系統(tǒng)的前提下，將部分數(shù)據(jù)的處理過程從鏈上轉(zhuǎn)移到區(qū)塊鏈外進行，等待處理完成后將結(jié)果返回至鏈上，實現(xiàn)擴容。鏈下擴容主要包含如下方面：

①側(cè)鏈

側(cè)鏈是指在原有區(qū)塊鏈外，部署額外的區(qū)塊鏈系統(tǒng)。原有區(qū)塊鏈稱為主鏈，新部署區(qū)塊鏈稱為側(cè)鏈。在主鏈上建立與側(cè)鏈的錨定機制后，可將交易處理轉(zhuǎn)移到側(cè)鏈上，僅在主鏈上保存交易結(jié)果，并定期更新錨定結(jié)果，達到提升交易吞吐量的目的。

②狀態(tài)通道

閃電網(wǎng)絡(luò)等方案均屬于狀態(tài)通道技術(shù)。狀態(tài)通道技術(shù)具體指在鏈外建立專門的交易處理通道，交易通過此通道進行處理，僅在鏈上存儲通道的起始狀態(tài)與最終狀態(tài)，減少鏈上交易處理數(shù)量，實現(xiàn)吞吐量的提升。

③鏈下計算

鏈下計算是指將鏈上數(shù)據(jù)處理過程通過可信計算環(huán)境或者安全多方計算等技術(shù)轉(zhuǎn)移至鏈下，僅在鏈上保存處理結(jié)果，從而減少系統(tǒng)處理時間，提升系統(tǒng)吞吐量。

（2）強隱私保護

CBDC 作為主權(quán)數(shù)字法定貨幣，應(yīng)該對交易敏感信息（如交易對象、金額等）在符合監(jiān)管規(guī)定的情況下進行一定程度的保護，保障使用者的隱私安全?，F(xiàn)有技術(shù)解決方案均提供了一定程度的隱私保護，如Hyperledger Fabric 采用Channel 技術(shù)對交易信息進行隔離；Quorum 允許指定特定節(jié)點進行私有交易等。

①硬件層面

可在相關(guān)節(jié)點使用如Intel SGX、ARM TrustZone 等可信計算環(huán)境，防止隱私泄露。

②軟件層面

首先，可參照部分技術(shù)解決方案，引入零知識證明、同態(tài)加密等技術(shù)，對交易敏感信息進行保密；其次，采用一定程度的混幣技術(shù)，使得交易難以被追蹤；最后，可使用安全多方計算（Secure Multi-party Computation，SMC）技術(shù)，使相關(guān)節(jié)點在不掌握交易隱私的前提下完成對交易的處理。

4.2 總結(jié)

中央銀行數(shù)字貨幣是當前世界各國的數(shù)字金融研究熱點之一，具有保障貨幣主權(quán)、推進數(shù)字金融、便于金融服務(wù)等特點，擁有廣泛的應(yīng)用前景。目前，中央銀行數(shù)字貨幣的研究與應(yīng)用仍處于初步階段，絕大多數(shù)采用基于區(qū)塊鏈分布式賬本技術(shù)的技術(shù)解決方案。本文介紹了中央銀行數(shù)字貨幣定義及概念，對當前發(fā)表的原型系統(tǒng)及采用的技術(shù)解決方案進行了綜述，對其特點、模型、結(jié)構(gòu)、共識機制及交易流程進行了闡述與分析；再對中央銀行數(shù)字貨幣區(qū)塊鏈技術(shù)解決方案的高交易吞吐量與強隱私保護兩個發(fā)展方向進行了展望。