《国际央行数字货币研发态势与启示.docx》由会员分享,可在线阅读,更多相关《国际央行数字货币研发态势与启示.docx(24页珍藏版)》请在优知文库上搜索。
1、国际央行数字货币研发态势与启示近年来,全球主要经济体的货币当局不断加大对中央银行数字货币(CentralBankDigitalCurrencies,CBDO的研发力度并取得了诸多阶段性成果。其中尤为引入注目的是美元、欧元、日元等主流国际货币先后发布数字化计划和相关报告。他们的加入意味着全球央行数字货币格局将发生根本性变化,意义重大,影响深远。本文试图总结和分析数字美元、数字欧元、数字日元等央行数字货币项目的政策背景、主要动机和技术特征,从中得到有益政策启示。数字美元汉密尔顿计划“汉密尔顿计划”(ProjectHamilton)是美国波士顿联邦储备银行与麻省理工学院合作开展的CBDC创新研究项目
2、(DigitalCurrencyInitiative,DCI)o这项计划已持续开展数年,但细节并不为外人所知。2022年2月3日,美国波士顿联邦储备银行发布题为“为央行数字货币设计的高性能支付处理系统”(AHighPerformancePaymentProcessingSystemDesignedforCentralBankDigitalCurrencies)的技术报告,总结了汉密尔顿计划第一阶段进展。汉密尔顿计划第一阶段的第一个目标是探讨CBDC系统的性能,即从技术上研发一种高吞吐量、低延迟和富有弹性的CBDC交易处理系统。具体性能目标包括两个方面:一是在5秒内完成99%交易,包括完成交易验
3、证、交易执行以及向用户确认交易,处理速度与美国现有银行卡支付以及银行间即时支付系统的相应指标不相上下;二是根据美国目前现金和银行卡交易量以及预期增长率,该系统每秒至少处理10万笔交易,且能随着后期支付量的增长不断扩展。第二个目标是探讨CBDC系统的韧性。为维持公众对CBDC的信任,CBDC系统必须确保服务连续性且资金可用。系统韧性的研究重点在于,当多个数据中心发生故障时,如何保证系统访问不中断,数据不丢失。第三个目标是探讨CBDC的隐私保护。汉密尔顿计划认为,最安全的隐私保护方法就是从交易伊始就减少数据收集,因此在CBDC交易系统中设计了一种尽量减少交易数据留存的方案。美联储数字货币原型系统设
4、计1,币的形式:未花费的交易输出(UnspendTransactionOutput,UTXO)汉密尔顿系统有三类参与者:交易处理器(transactionprocessor)发行方(issuer)和用户(users)o交易处理器记录CBDC,并根据指令验证和执行相关交易。同比特币一样,汉密尔顿计划采用UTXo的货币表达式。CBDC仅能通过发行方的行为而进出系统,发行方铸币(mint)增加交易处理器中的资金,赎回(redeem)则减少交易处理器中的资金。用户执行资金转移(transfer)操作,以原子方式变更资金所有权,但存储在交易处理器中的资金总额不变,变化的是资金的权属。用户使用其数字钱包的
5、公钥/私钥来处理和签署交易。资金转移交易过程中,使用付款方的未花费资金就是交易输入(inputs),生成新的未花费资金就是交易输出(outputs)包括收款方和找零给付款方的未花费资金。一项有效交易必须保持平衡:交易输入值之和须与输出值之和相等。未花费资金定义为三元组UtXo:=(v,P,sn)c其中,V为金额,P为安全锁锁头(encumbrancepredicate,可以理解为持有者公钥),Sn为序列号(Serialnumber)o发行方的铸币操作会创建新的未花费资金,并将UTXO添加到交易处理器存储的UTXO集合,而赎回操作则从UTXO集合中删除已有的未花费资金,使其不可重复使用。发行方必
6、须为新铸UTXO选择唯一序列号。将其设置为均匀随机数或单调递增计数器值(发行方铸造第i个UTXO时,会将其序列号设置为D均可。2 .分离验证与UTXO压缩在汉密尔顿系统中,交易处理器验证交易的正确性,并通过删除输入和创建输出来执行交易。验证分为交易局部验证(transaction-localvalidation,无需访问共享状态)和存在性验证(existencevalidation,需要访问共享状态)。对于这种分离,汉密尔顿系统设计了专用组件一一哨兵(sentinels),专门用于接收用户交易并执行交易局部验证。局部验证内容包括:核实交易格式正确;确认每个输入都有适用于其花费输出的有效签名;确
7、认交易保持平衡(即输出之和等于输入之和)。如果交易符合标准,哨兵将向负责存在性验证的执行引擎转发交易,否则就仅向用户提示交易错误。存在性验证主要核验未花费资金是否存在。为了实现隐私保护,汉密尔顿系统将资金作为不透明的32字节哈希值存储在未花费资金哈希集合(UnspentFundsHashSet,UHS),h:=H(v,P,sn),而不是存储完整的UtXO:=(v,P,sn),其中H是一个哈希函数,汉密尔顿系统使用了SHA-256算法。通过不存储详细资金信息的UHS集合替换UTXO集合,不仅有助于隐私保护,而且减少了存储要求并提高系统的性能。为了进行存在性验证,系统需要预先将通过局部验证的交易转
8、换为应用于UTXO哈希集合的交易,该过程被称为压缩(compaction)。具体而言,由哨兵计算输入UTXO的哈希值,并将输入UTXO与输出安全锁和价值一起,导出输出UTXO的序列号,从而计算输出UTXO的哈希值,然后将这两个哈希列表发送给保存UHS的交易处理器,进行存在性检查和执行。3 .存在性验证与UHS互换假定某交易已通过交易局部验证并进行了压缩转换,交易处理器将按如下方式更新UHS集合:检查UHS集合是否存在所有交易的输入UTX0,如果有输入UTXO缺失,那么中止进一步处理,否则,处理继续进行,交易处理器从UHS集合中删除该交易的输入UTXO对应的UHS,并将新创建的与输出UTXO对应
9、的UHS添加到UHS集合中。一删一增,汉密尔顿计划将这一操作称为互换(swap)。4 .高性能架构为实现高吞吐量、低延迟以及高容错性的交易处理,汉密尔顿计划设计了两种架构。第一种是原子服务器(atomizer)架构,系统利用排序服务器为所有交易创建线性的历史记录。第二种是两阶段提交(two-PhaSecommit,2PC)架构,系统并行执行数笔无冲突交易(即那些不会支付或收到同笔资金的交易),而不创建统一排序的交易记录。在这两种架构中,UHS都可实现跨服务器分区,提高吞吐量并不断扩展。执行单笔交易通常涉及多个服务器,每种架构使用不同技术协调一笔交易在多个服务器中的一致应用。中心化的原子服务器架
10、构使用Raft协议对所有来自于哨兵验证过的更新排序,然后将这些更新应用于全系统。2PC架构则利用分布式共识节点来执行原子交易和可串行化所需的锁定,使用不同资金的交易不会冲突,可以并行执行;一旦某有效交易的资金被确认为未花费,交易就能连续进行,可同时批量处理多笔交易。汉密尔顿计划第一阶段的实验结果汉密尔顿计划在第一阶段开发了两套完整的计算源代码或代码库。一个是中心化原子服务器架构的代码库,每秒能够处理大约17万笔交易,其中99%的交易尾部延迟不到2秒,50%的交易尾部延迟为0.7秒。由于原子服务器无法跨多个服务器进行分片,因此尽管可以将原子服务器状态机中的功能简化为只对一小部分交易进行输入排序和
11、去重,但该架构的系统吞吐量仍有限。也就是说,对有效交易进行强排序的设计会限制吞吐量。另一个是2PC架构的代码库,每秒能够处理170万笔交易,其中99%的交易可在1秒之内完成,50%的交易尾部延迟不到05秒,远高于设定目标需要达到的每秒10万笔交易的基本要求。此外,2PC架构若添加更多共识节点,还可进一步提高吞吐量,且不会对延迟产生负面影响。以上代码已经开源,汉密尔顿计划称之为“开源央行数字货币项目(OpenCBDC)”,目的是促进人们在CBDC研究上进一步合作。特征分析1 .与电子现金(E-cash)的比较分析1982年,美国计算机科学家和密码学家大卫乔姆(DavidChaum)发表了一篇题为
12、用于不可追踪的支付系统的盲签名的论文。论文中提出了一种基于RSA算法(RSAalgorithm)的新密码协议盲签名(blindsignature)o利用盲签名构建一个具备匿名性、不可追踪性的电子现金系统,这是最早的数字货币理论,也是最早能够落地的试验系统,得到了学术界的高度认可。其中有两项关键技术:随机配序和盲化签名。随机配序产生的唯一序列号可以保证数字现金的唯一性;盲化签名能够确保银行对该匿名数字现金的信用背书。汉密尔顿计划采用了与E-cash相似的思路:一方面,通过全局唯一且每次交易都需要系统验证的序列号,保证货币(UTXO)的唯一性;另一方面,采用中央处理模式,并利用加密算法实现系统的安
13、全与抗攻击性。但汉密尔顿计划克服了E-cash的不足。在大卫乔姆建立的E-Cash模型中,每个使用过的E-Cash序列号都会被存储在银行数据库中。随着交易量的上升,该数据库就会变得越来越庞大,验证过程也会越来越困难。而汉密尔顿计划通过分离验证和压缩处理,尽可能减少交易处理器的存储计算压力,并利用分片技术和高性能架构,从而大幅提升交易性能。简言之,已花费的交易输出与未花费的交易输出,是两种相反相成的设计思路。后者优化了前者面临的数据无限膨胀的问题,这也是比特币超越E-Cash的精髓所在。显然,汉密尔顿计划对此心知肚明。2 .与比特币的比较分析与比特币相似,汉密尔顿计划对币的设计也采用了UTXO模
14、式。但二者的区别在于:比特币的区块链存储了所有UTXO信息;而汉密尔顿计划没有采用区块链模式,币不可简单追溯,且其交易处理器并未存储UTXo明细信息,仅存储UTXO的哈希值。尤其是,汉密尔顿计划的信任基础与比特币的分布式共识机制完全不同,其平台将由可信任的中心机构管理,共识算法仅用于协调系统中各分区服务器的一致性,更类似于第三方支付后台的分布式系统设计。在防止双重花费、无重放攻击等威胁方面,比特币采用的是工作量证明机制(ProofofWork,PoW),而汉密尔顿计划的设计则依靠哈希算法,且高度依赖发行方和交易系统的安全可信。具体来说,对于汉密尔顿交易处理器中的每次转移,其UTXO输出的序列号
15、都是经过哈希算法处理后所确定,只要从原始铸币交易开始的序列号是全局唯一的,后续递推得到的每个UTXO序列号也将均具有全局唯一性,不会与过去或未来UTXO集合中的任何其他项重合。序列号的全局唯一性不仅是一个技术细节,而且可达到两个效果。一是无双重花费。互换操作会将UTXO永久标记为已花费。由于序列号是唯一的,因此任何UTXO只能被花费一次,且在花费后不能被重建。二是防止重放攻击。因为每笔交易都对应着具有全局唯一性的一个或多个UTXO输入,其签名将覆盖整个交易,包括相关的所有输入和输出。因此,一个交易的签名对除此交易外的其他任何UTXo(包括未来创建的UTXo)都无效,而且,交易无法被复制,同一笔
16、交易也不能被多次执行。汉密尔顿计划设计的风险点在于:中心机构是否一定可信?发行方铸币的序列号是否全局唯一?交易处理器是否足够安全从而可保证存储的UHS集合不被篡改?简言之,虽然比特币和汉密尔顿计划都使用了UTXO的数据模型,但汉密尔顿计划维护的是一套中心化的哈希登记系统,而比特币维护的是一套分布式的区块链哈希登记系统。3 .其他比较分析汉密尔顿计划的技术报告引用了笔者在2018年国际电信联盟(ITU)法定数字货币焦点组第二次会议上的工作论文。该论文主要是对数字人民币原型系统的综述,核心思想为“一币、两库、三中心”的技术架构(中国法定数字货币原型构想,见中国金融2016年第17期),以及基于银行账户与数字货币钱包分层并用的双层业务架构(数字货币和银行账户,见清华金融评论2017年第7期)。汉密尔顿计划当前的整体架构可以表达为“一币,一钱包,一中心”。一币指的是数字美元,即中央银行签名发行的
免费区 