本白皮书是香港金管局的初步研究成果,提供 e-HKD 的潜在架构及设计方案,并非 e-HKD 的最终实施方案。溪塔科技进行了整理并提出了相关优化方向,在此基础上总结了诸多技术要点,分享给行业里的各技术团队学习研究,欢迎注册 CITAHub 开源社区进行深度交流。
整个系统由两层组成:第一层是有中央银行和各个商业银行组成的批发系统,用于央行发行和赎回 CBDC,这层是 DLT 的,验证节点由商业银行组成,央行只负责发行货币而不负责验证,可以最大程度的保证央行私钥的安全性,同时本层交易可使用 UTXO 模型或账户模型,UTXO 模型的方案更为简单;第二层是零售系统,由商业银行、全局验证器、普通用户组成,交易模型为结合了账户模型的 UTXO 模型,即普通用户以账户余额的形式持有 rCBDC,支付中的价值转移需要形成 UTXO交易,验证器记录所有的 coinbase 交易和所有的 UTXO,由商业银行负责构造 UTXO 交易并交给验证器验证,经验证器验证过的交易被认为是有效的,同时商业银行记录用户账户所对应的 UTXO,并以账户余额形式显示在用户端。
批发系统和零售系统间高度解耦,商业银行充当两个系统间的桥梁。
用户的隐私性类似于比特币的伪匿名性,发送交易时对应的是用户的公钥而非与用户身份相关的 ID, 只有用户所在的商业银行知道用户的身份信息。
系统架构由两层组成,第一层是批发系统,用于中央银行发行和赎回 CBDC; 第二层是零售系统,用于商业银行分发和流通 rCBDC 或 CBDC 支持的电子货币的零售系统。
批发系统是基于 DLT 的,用于发行和赎回 CBDC 以及银行间交易结算。批发系统中有一个综合账户,这个账户是由 DLT 验证节点共同控制的托管账户,当 CBDC 被转移到零售系统或用于在零售系统中发行电子货币时,它将锁住批发系统中的资金。当 CBDC 从零售系统赎回时,锁定资金被释放。批发系统由一些选定的商业银行联合运营,这些商业银行可以操作运行 DLT 共识的验证节点。中央银行操作一个节点用于 CBDC 的发行和赎回,但不参与 DLT 共识。通过这种方式,中央银行可以从结算银行间交易的任务中解脱出来,从而实现更好的解耦。
批发系统可以支持 UTXO 模型和账户模型,UTXO 模型的支持更为简单,因为在 UTXO 模型下中央银行对 CBDC 的发行有更明确的控制。基于账户模型的 DLT 平台中,需要在一定程度上信任验证节点,以防止 CBDC 被超发。
基于 UTXO 模型的系统和基于账户模型的系统之间的区别在于,当交易被处理时,DLT 系统的全局状态如何被表示和更新。在 CBDC 中,全局系统状态对应于所有参与者所持有的 CBDC 数量。
在 UTXO 模型中,系统状态由所有资产的所有权列表表示,而交易明确规定了相关资产的所有权。这样,发行新的资产的权利是各自资产发行方的特权(由公钥密码学保证),DLT 只能更新已经发行的资产单位的所有权,但没有能力发行新的资产。
在账户模型中,系统状态是由所有参与者的不同资产的账户余额列表来表示的,一个交易并不携带完整的信息,但可以确定最终状态或所涉及的参与者的账户余额,重复播放一项交易有可能导致错误的账户余额。在 DLT 上发行 CBDC 的情况下,所有当前的账户余额都由 DLT 维护,中央银行提交一个签名的发行交易供 DLT 处理,以更新新发行的 CBDC 的各个接收者的账户余额。大多数 DLT 平台使用独特的交易参考,并建立机制来防止交易重复。
零售系统中采用 UTXO 模型于账户模型相结合的设计模式,即:普通用户以账户余额的形式持有 rCBDC,支付中的实际价值转移需要形成 UTXO交易。这种设计结合了 UTXO 交易的可追溯性,以及账户模型符合人们对货币概念的直观性。
批发系统向零售系统分发 rCBDC如上图所示,分发过程如下:
(1) 由提出请求的商业银行(本例中为 X 银行)在批发系统中发起 CBDC 存款交易,将资金转移到 DLT 中的综合账户;
(2) 然后,X 银行将经过验证的 CBDC 存款交易(由 DLT 验证节点的法定人数签署)从批发系统导出到零售系统;
(3) 然后 X 银行形成一个 rCBDC coinbase 交易(以UTXO的形式),其中嵌入了批发系统中的存款交易,供零售系统的全局验证器来验证;
(4) 全局验证器检查批发系统中的存款交易之前是否被用于支持其他 rCBDC coinbase 交易,如果它没有被重复使用,验证器会在其 UTXO 数据库中把 rCBDC coinbase 交易注册为新创建的交易,并在 rCBDC coinbase 交易上签名以认可其有效性;
(5) 验证器将签名的 coinbase 交易传递给X银行;
(6) X 银行可以通过形成一个新的 UTXO 交易来消费 coinbase 交易的输出,将一定数量的 rCBDC 分配给普通用户。
零售系统间的 rCBDC 交易如下:
(1) 发送方向自己所在的商业银行提交转帐请求,内容包括收款人地址及其所在商业银行,发送金额等信息;
(2) 发送方所在商业银行选择发送方对应的 UTXO 构造交易,完成后交由发送方签名;
(3) 发送方签名后将交易发送给商业银行,由商业银行转交全局验证器验证;
(4) 全局验证器对交易中 UTXO 的合法性进行验证,通过后对交易签名并发送给商业银行;
(5) 发送方所在商业银行扣除用户账户中转账金额,并将交易发送给收款方的商业银行;
(6) 收款方所在商业银行验证交易,通过后增加收款方银行账户中的余额。
商业银行向批发系统赎回 CBDC 过程如下:
(1) 选择在零售系统中自己所拥有的 UTXO 构造赎回交易,发送给全局验证器签名;
(2) 全局验证器验证 UTXO 的合法性,如果合法对交易签名;
(3) 商业银行向 DLT 验证节点提交全局验证器签名后的赎回交易,验证通过后赎回相应的 CBDC.
如果批发系统使用 UTXO 模型,商业银行可以直接将经过 DLT 签名的 CBDC 发送给普通用户,因为 CBDC 有央行的签名,其他人无法伪造,所以无需全局验证器对 coinbase 交易进行验证。零售系统中的交易和赎回交易与批发系统使用账户模型时类似,不再赘述。
央行直接分发 CBDC 及其变种:只有面向客户和认证的任务被委托给商业银行,央行仍然保持零售余额和处理零售支付交易,央行的监管压力最小,但是央行在支付系统中占有很大的比重,运营负担很重,与央行的责任相背离。
混合模式:除了常见的面向客户的任务和用户认证外,商业银行也实时处理所有的零售支付交易。中央银行虽然不处理零售交易,但仍会记录所有的零售余额,商业银行可以保留整个零售账本的副本或部分副本,并实时或定期地将其副本与中央银行的记录同步,也可能与其他中介机构持有的副本同步。这种混合模式由中央银行充当支付系统的后盾。如果一个中介机构失败了,中央银行仍然拥有必要的信息,可以替代中介机构,保证支付系统的正常运行。缺点是,中央银行保护用户数据的责任会更大。
中介模式:中央银行不记录任何零售余额。它只保留商业银行的批发余额。零售交易和余额的详细记录由各中介机构保存。此模式下的基础设施和操作与快速零售支付系统大致相似。中央银行的运营负担是最低的,而且批发系统和零售系统之间的偶合度很低,可以实现更好的网络弹性。由于中央银行不需要记录零售余额或用户交易,其保护用户数据的责任也较低。这也符合人们的观察,即人们倾向于更信任传统金融机构来保护他们的数据。然而,缺点是需要额外的保障措施对商业银行进行监管,以确保他们传达给中央银行的批发 CBDC 持有量能准确反映其客户的零售 CBDC 持有量。
CBDC-backed e-money: 中央银行持有商业银行的 CBDC 作为后备资金,商业银行发行自己的电子货币,由于中央银行不是电子货币的发行者,中央银行将不必维持零售余额,其保障用户数据的责任也降低了。它的监督责任是确保商业银行不会在没有足够 CBDC 的情况下过度发行电子货币。然而,当商业银行破产时,中央银行可能缺乏信息来兑现对其所保管的后备资产的索赔。
权衡:在这些两级分销模式中可以看到不同的权衡,即中央银行的运营负担、批发系统和零售系统之间的解耦水平、中央银行保护用户数据的责任,以及对商业银行必要信任程度(或相应的中央银行的监管负担)。混合模式相比,中介模式和 CBDC-backed e-money 具有更高的解耦水平,因此网络弹性更好。在这两种模式中,中央银行的运营负担和保障用户数据的责任也较低。然而,作为一种权衡,这两种模式需要对中介机构有更高的信任度,或者对他们的活动有更强的保障或监督,这就转化为中央银行更高的监管负担。总之,中央银行必须操作一个复杂的技术基础设施或一个复杂的监督制度。
白皮书中隐私指的是交易中对个人身份信息的一般保护。用户的隐私性类似于比特币的伪匿名性,发送交易时对应的是用户的公钥而非与用户身份相关的 ID, 只有用户所在的商业银行知道用户的身份信息。可以通过在每次交易使用不同的公钥的方式来增强用户的匿名性,但是需要接收方交易前向商业银行注册新的公钥。
白皮书提出未来的七个优化放向:
注册 CITAHub 开源社区,发帖进行技术交流。或者微信公众号后台联系我们,与我们技术团队点对点探讨技术。
https://talk.citahub.com/
公众号后台“联系溪塔 - 联系我们”
往期回顾
01 一键迁移 零成本复用 Fabric 生态!国产云原生区块链 CITA-Cloud 发布 v2.0 版本 |
02 溪塔科技完成数千万元 A 轮融资,加速赋能数字经济 |
03 发挥创新优势,加快数字经济布局与发展 | 溪塔科技参与起草信通院《2020区块链创新与知识产权发展白皮书》正式发布 |
04 国内首份分布式数字身份技术白皮书亮相 溪塔科技王晓亮作为DIDA联盟代表发布 |
05