區(qū)塊鏈隱私保護(hù)平臺(tái)Sero超零協(xié)議介紹

互聯(lián)網(wǎng)?速發(fā)展讓信息的流轉(zhuǎn)速度變得非常?效，從而推動(dòng)了人類(lèi)社會(huì)的發(fā)展，但從另外一方面看，隱私問(wèn)題也正是因?yàn)榛ヂ?lián)網(wǎng)的?速發(fā)展而變得更加嚴(yán)重。區(qū)塊鏈作為下一代的價(jià)值互聯(lián)網(wǎng)，曾被認(rèn)為是保護(hù)隱私非常好的工具，但大家很快發(fā)現(xiàn)，當(dāng)前主要的區(qū)塊鏈網(wǎng)絡(luò)中，一旦數(shù)字錢(qián)包地址和它的擁有者的個(gè)人信息對(duì)應(yīng)起來(lái)，該錢(qián)包的擁有者所有賬戶信息、交易信息都將在整個(gè)網(wǎng)絡(luò)中一覽無(wú)遺并且無(wú)法消除，這會(huì)導(dǎo)致比互聯(lián)網(wǎng)的隱私泄露更加嚴(yán)重的問(wèn)題。為此區(qū)塊鏈行業(yè)的密碼學(xué)和頂尖的技術(shù)專(zhuān)家都在進(jìn)行不懈努力，業(yè)界有幾支團(tuán)隊(duì)研發(fā)了一些保護(hù)隱私的特殊虛擬貨幣，這類(lèi)虛擬貨幣被稱(chēng)之為“匿名幣”，行業(yè)中比較有名的數(shù)字貨幣包括大零幣 Zcash （ZEC），門(mén)羅幣 Monero （XMR），達(dá)世幣 （DASH）等，這些采取了一定隱私保護(hù)的數(shù)字貨幣基于其巨大的市場(chǎng)需求，均獲得了非常?的流通市值，排名在全球20大虛擬貨幣之列，說(shuō)明隱私保護(hù)對(duì)區(qū)塊鏈行業(yè)而?是一個(gè)非常強(qiáng)烈的需求。

智能合約是一種旨在以信息化方式傳播、驗(yàn)證或執(zhí)行合同的計(jì)算機(jī)協(xié)議。區(qū)塊鏈上圖靈完備的智能合約系統(tǒng)，可以滿?開(kāi)發(fā)者編寫(xiě)任意復(fù)雜的，存在于區(qū)塊鏈上并且能被區(qū)塊鏈傳遞的合約。開(kāi)發(fā)者可以用智能合約開(kāi)發(fā)語(yǔ)?實(shí)現(xiàn)比如定制貨幣、?融衍生品、身份系統(tǒng)和去中心化組織等功能，極大的擴(kuò)展了區(qū)塊鏈系統(tǒng)的適用范圍。智能合約是價(jià)值互聯(lián)網(wǎng)重要的的技術(shù)基礎(chǔ)之一，但是目前令人沮喪的情況是，全球目前運(yùn)行的區(qū)塊鏈系統(tǒng)均不支持對(duì)智能合約加密保護(hù)，現(xiàn)有的隱私保護(hù)機(jī)制使用場(chǎng)景受到這一技術(shù)限制的影響被極大的縮小了其適用范圍。區(qū)塊鏈技術(shù)起源于中本聰發(fā)明的比特幣，被視為區(qū)塊鏈1.0，讓人類(lèi)世界找到了數(shù)字虛擬貨幣這一巨大的財(cái)富；而當(dāng)以太坊面世后，智能合約的發(fā)明讓區(qū)塊鏈技術(shù)的落地變得更為可行，從此基于區(qū)塊鏈技術(shù)的去中心化分布式應(yīng)用（簡(jiǎn)稱(chēng)“DApp”）成為可行，這讓區(qū)塊鏈技術(shù)可以被運(yùn)用到更多的行業(yè)中，因此以太坊被視為區(qū)塊鏈2.0。同樣可以類(lèi)比，如果Zcash和門(mén)羅幣為代表的不支持智能合約的匿名區(qū)塊鏈系統(tǒng)是隱私保護(hù)方案1.0的話，為了讓方案可以落地到更多行業(yè)和應(yīng)用場(chǎng)景中去，支持智能合約的隱私保護(hù)方案2.0備受期待。

不可否認(rèn)的是，支持智能合約的匿名區(qū)塊鏈系統(tǒng)具有非常?的技術(shù)門(mén)檻，全球僅有屈指可數(shù)的團(tuán)隊(duì)正在為之努力，如今Super Zero（簡(jiǎn)稱(chēng)“Sero”，中文：超零幣）也正式向全球進(jìn)行產(chǎn)品發(fā)布，Sero的研發(fā)團(tuán)隊(duì)（簡(jiǎn)稱(chēng)“Sero團(tuán)隊(duì)”）也是目前全球唯一能就該問(wèn)題提出完整的解決方案，并已經(jīng)完成主要工程研發(fā)工作的團(tuán)隊(duì)。不僅如此，Sero團(tuán)隊(duì)并沒(méi)有將成功研發(fā)支持智能合約的隱私保護(hù)區(qū)塊鏈系統(tǒng)作為去中心化應(yīng)用的隱私保護(hù)方案的終點(diǎn)，為了讓受到隱私保護(hù)的去中心化應(yīng)用的廣泛落地成為可行，Sero團(tuán)隊(duì)不但考慮到了保護(hù)DApp使用者的賬戶隱私、相關(guān)令牌（Token）和私有數(shù)據(jù)傳遞過(guò)程的隱私，同時(shí)充分考慮到了在區(qū)塊鏈系統(tǒng)數(shù)據(jù)傳輸過(guò)程中，之前受各層傳輸層協(xié)議限制的隱私保護(hù)策略，甚?還包括了去中心化應(yīng)用和互聯(lián)網(wǎng)應(yīng)用相結(jié)合場(chǎng)景下的數(shù)據(jù)隱私保障。

為此，Sero團(tuán)隊(duì)設(shè)定了一個(gè)能為去中心化應(yīng)用提供完整隱私保護(hù)解決方案的三件套項(xiàng)目，包括Sero（支持智能合約的匿名區(qū)塊鏈系統(tǒng)）、異形協(xié)議（一個(gè)能解決去中心化網(wǎng)絡(luò)信息傳輸?shù)膮f(xié)議）以及卡斯特羅協(xié)議（保護(hù)去中心化網(wǎng)絡(luò)，以及為互聯(lián)網(wǎng)交互的各節(jié)點(diǎn)提供隱私保護(hù)的協(xié)議）等尖端創(chuàng)新科技組件。最近Sero已經(jīng)完成了核心的研發(fā)工作，包括隱私保護(hù)相關(guān)協(xié)議，和圖靈完備的鏈上運(yùn)行智能合約，本文主要就Sero的工作進(jìn)行說(shuō)明，并包含了該項(xiàng)目的一些基本情況以及披露后續(xù)的項(xiàng)目計(jì)劃。

Sero（Super Zero，超零系統(tǒng)）是全球?個(gè)通過(guò)非交互式零知識(shí)證明（NIZK），真正實(shí)現(xiàn)具有圖靈完備智能合約的隱私保護(hù)的區(qū)塊鏈系統(tǒng)，和現(xiàn)有的區(qū)塊鏈隱私保護(hù)技術(shù)相比，Sero不僅能實(shí)現(xiàn)對(duì)賬戶信息和交易信息的隱私保護(hù)，還能實(shí)現(xiàn)對(duì)圖靈完備的智能合約輸入輸出的隱私保護(hù)，另外，開(kāi)發(fā)者還能基于Sero-Chain上的智能合約發(fā)行的匿名數(shù)字資產(chǎn)（Token），并且與智能合約的通訊信息也同樣會(huì)得到隱私安全保護(hù)。

Sero重新設(shè)計(jì)了區(qū)塊鏈結(jié)構(gòu)和各類(lèi)底層協(xié)議，使得對(duì)隱私保護(hù)的圖靈完備智能合約成為現(xiàn)實(shí)，不僅使更廣泛的應(yīng)用場(chǎng)景獲得了隱私保護(hù)措施，并且因?yàn)槠洳捎玫南冗M(jìn)的NIZK加密學(xué)算法，也進(jìn)一步提升了對(duì)用戶隱私數(shù)據(jù)的攻擊難度。除此之外，在即將發(fā)布的V1.0版本中，改進(jìn)了目前NIZK加密算法的實(shí)用性問(wèn)題，大大降低了所需要消耗的內(nèi)存資源，提升了計(jì)算效率。除此之外，對(duì)比市面上的主流匿名區(qū)塊鏈系統(tǒng)，Sero對(duì)圖靈完備的智能合約的支持和對(duì)其相關(guān)的去中心化應(yīng)用的隱私保護(hù)措施，使其使用場(chǎng)景得到了極大的泛化。

更值得一提的是，Sero團(tuán)隊(duì)不僅考慮到了去中心化應(yīng)用本身所需要的隱私保護(hù)措施，而且還從應(yīng)用落地的?度，計(jì)劃從點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)傳輸安全以及賬戶物理的網(wǎng)絡(luò)地址的隱私性?度提供解決方案，可以使與中心化應(yīng)用交互時(shí)，或者與使用者客戶端交互式時(shí)也能獲得強(qiáng)大的隱私保護(hù)功能。

整個(gè)綜合解決方案會(huì)由三位一體的全套套件構(gòu)成，其中Sero是第一個(gè)公開(kāi)發(fā)布的項(xiàng)目，另兩個(gè)項(xiàng)目的定位分別如下：

異形協(xié)議 （Alien Protocol）：一種分布式的DNS系統(tǒng)，可以利用現(xiàn)有的P2P網(wǎng)絡(luò)交互信息，具備IP自動(dòng)切換和動(dòng)態(tài)尋址的功能，抗攻擊者阻斷，使整個(gè)數(shù)據(jù)傳輸網(wǎng)絡(luò)具備?分穩(wěn)定的安全性。

卡斯特羅協(xié)議（Castrol Protocol）：通過(guò)去中心化網(wǎng)絡(luò)的方式，實(shí)現(xiàn)對(duì)IP地址的匿名保護(hù)，可同時(shí)運(yùn)用于中心化和去中心化網(wǎng)絡(luò)的物理節(jié)點(diǎn)的隱私保護(hù)。

SERO的設(shè)計(jì)

1. 設(shè)計(jì)原則

正如前文所說(shuō)，現(xiàn)有市場(chǎng)存在的去中心化網(wǎng)絡(luò)的隱私保護(hù)技術(shù)，并沒(méi)有跟去中心化應(yīng)用相結(jié)合，尤其是沒(méi)有對(duì)智能合約的執(zhí)行進(jìn)行隱私保護(hù)。在智能合約中執(zhí)行的動(dòng)作序列，通過(guò)網(wǎng)絡(luò)傳播和/或記錄在區(qū)塊鏈上，是公開(kāi)可見(jiàn)的。在圖靈完備的區(qū)塊鏈網(wǎng)絡(luò)中，Sero的設(shè)計(jì)，在滿?系統(tǒng)能力需求的同時(shí)，還必須滿?幾個(gè)基本的原則。

不可追蹤性，區(qū)塊鏈網(wǎng)絡(luò)中的每一筆交易都具有輸入和輸出，如此一來(lái)，就構(gòu)建了一個(gè)交易的有向無(wú)環(huán)圖，在這個(gè)圖上可以跟蹤所有的交易流向，所有的交易序列都能被串聯(lián)起來(lái)，并以此溯源。Sero的設(shè)計(jì)中要將兩個(gè)交易之間的鏈接斷開(kāi)，使攻擊無(wú)法進(jìn)行。

不可關(guān)聯(lián)性，區(qū)塊鏈網(wǎng)絡(luò)中每個(gè)用戶都有自己的收款地址，一旦這個(gè)地址跟真實(shí)的用戶身份關(guān)聯(lián)，那么，在網(wǎng)絡(luò)中這個(gè)地址發(fā)生的所有交易，都能關(guān)聯(lián)到這個(gè)身份上，該地址一切的行為都暴露無(wú)疑。即使用戶可以創(chuàng)建新的假名公鑰以增加其匿名性，每個(gè)假名公鑰的所有交易和余額的值都是公開(kāi)可見(jiàn)的。Sero通過(guò)加密技術(shù)?段使收款地址無(wú)法被關(guān)聯(lián)。

抗統(tǒng)計(jì)分析，真實(shí)用戶的行為具有統(tǒng)計(jì)特點(diǎn)，如果區(qū)塊鏈網(wǎng)絡(luò)中的交易數(shù)據(jù)之間具有反應(yīng)這樣統(tǒng)計(jì)特點(diǎn)的關(guān)聯(lián)性，通過(guò)對(duì)區(qū)塊鏈數(shù)據(jù)的統(tǒng)計(jì)分析，就能夠一定幾率推測(cè)出這些地址發(fā)生的交易是屬于某個(gè)特定用戶的行為。即使是采用環(huán)簽名，在面臨有作惡的環(huán)成員或者節(jié)點(diǎn)的時(shí)候，抵抗統(tǒng)計(jì)分析的能力將會(huì)下降。Sero需要通過(guò)技術(shù)?段將地址以及地址之間的關(guān)系完全隱藏。

實(shí)用性原則，Sero在對(duì)交易數(shù)據(jù)進(jìn)行隱藏的同時(shí)，并不會(huì)一股腦的將所有的信息都納入范圍內(nèi)，這樣做是不經(jīng)濟(jì)并且運(yùn)行效率低下的。Sero會(huì)兼顧用戶已有的使用習(xí)慣和痛點(diǎn)，進(jìn)行階段性研發(fā)。

可選的審計(jì)方案，對(duì)于某些較為復(fù)雜的商業(yè)應(yīng)用領(lǐng)域，用戶可能需要有一個(gè)完全信用的第三方對(duì)他發(fā)生的所有交易進(jìn)行財(cái)務(wù)方面的審計(jì)，這時(shí)，他應(yīng)該可以做出選擇，決定是否給予第三方一個(gè)跟蹤他所有交易具體信息的能力。

2. 實(shí)現(xiàn)方案

在第一期的計(jì)劃中，Sero通過(guò)非交互零知識(shí)證明（NIZK），將交易體系的輸入和輸出以及交易細(xì)節(jié)完全隱藏起來(lái)，除了交易雙方，其他任何人對(duì)這些隱藏細(xì)節(jié)完全是不可見(jiàn)的。同時(shí)，因?yàn)榭紤]到線上運(yùn)行智能合約以及公開(kāi)合約發(fā)行資產(chǎn)總數(shù)具有普適性的適用性，Sero會(huì)保留鏈上運(yùn)行的智能合約，將智能合約所產(chǎn)生的資產(chǎn)與Sero本身的交易體系融合，以此來(lái)實(shí)現(xiàn)智能合約所產(chǎn)生資產(chǎn)的隱私性。

在第二期的計(jì)劃中，對(duì)于具有隱藏合約發(fā)行資產(chǎn)總數(shù)的需求，我們將在線上運(yùn)行智能合約內(nèi)部提供一種名為隱匿數(shù)據(jù)的隱藏結(jié)構(gòu)，同時(shí)只在鏈下對(duì)這種隱匿數(shù)據(jù)進(jìn)行計(jì)算。以此來(lái)實(shí)現(xiàn)隱藏合約發(fā)行資產(chǎn)總數(shù)的功能。

在第三期的計(jì)劃中，我們會(huì)采用更為先進(jìn)的共識(shí)機(jī)制，提升Sero網(wǎng)絡(luò)的吞吐量。同時(shí)，對(duì)于具有隱藏合約內(nèi)部計(jì)算規(guī)則的需求，我們會(huì)將合約的運(yùn)行分解為線下計(jì)算和線上驗(yàn)證兩個(gè)步驟，線下計(jì)算完全了解運(yùn)算規(guī)則和數(shù)據(jù)，并給出運(yùn)算后的加密結(jié)果，當(dāng)這個(gè)結(jié)果提交到線上時(shí)，線上節(jié)點(diǎn)只會(huì)對(duì)結(jié)果進(jìn)行有效性驗(yàn)證，以確定其中包含的數(shù)據(jù)是否符合運(yùn)算規(guī)則，但節(jié)點(diǎn)并不知道這些數(shù)據(jù)和運(yùn)算規(guī)則的詳細(xì)信息。

3. SERO協(xié)議

賬戶系統(tǒng)（Account System）

賬戶分為用戶賬戶和合約賬戶兩個(gè)類(lèi)別，其中，用戶賬戶是用戶選定一個(gè) 32 byte 的Seed，而合約賬戶根據(jù)用戶安裝智能合約的環(huán)境產(chǎn)生的一個(gè) 64 byte 的地址，兩者都是系統(tǒng)唯一、不可重復(fù)的。

用戶賬戶可以產(chǎn)生個(gè)64 byte的私鑰 ，和一個(gè)64 byte的公鑰 ，該公鑰就是用戶的付款地址。在安裝或者調(diào)用智能合約的時(shí)候，錢(qián)包會(huì)根據(jù)當(dāng)前的情況生成一個(gè)暫存地址PK，這個(gè)暫存地址無(wú)法用任何方式關(guān)聯(lián)到用戶的私鑰和公鑰，并且只會(huì)使用一次。

在智能合約安裝的時(shí)候，錢(qián)包會(huì)根據(jù)當(dāng)前情況，將暫存地址轉(zhuǎn)為一個(gè)64 byte的智能合約地址 （CADDR ） ，當(dāng)節(jié)點(diǎn)收到地址時(shí)，需要確保合約地址是沒(méi)有出現(xiàn)過(guò)的。

Seed是賬戶種?，用戶必須妥善保存。SK是私鑰，不可持久化存儲(chǔ)，其中（TK）是跟蹤私鑰，可以提供給可信的第三方用作賬戶的審計(jì)。PK是公鑰，提供給其他用戶的交易目標(biāo)地址。（PK）是暫存地址，提供給智能合約，臨時(shí)用來(lái)接收資產(chǎn)的目標(biāo)地址。

資產(chǎn)系統(tǒng)（Assets System）

不管是用戶賬戶還是智能合約賬戶，其下都具有管理無(wú)限種類(lèi)資產(chǎn)的屬性，除了交易費(fèi)用結(jié)算采用Sero幣以外，每一種資產(chǎn)都具有跟Sero本身等同的交易特征，除Sero幣之外，其余的資產(chǎn)可以由智能合約產(chǎn)生。每種資產(chǎn)在產(chǎn)生的同時(shí)，可以賦予一個(gè)最?32 byte?度的名稱(chēng)（Currency），用于助記，這些名稱(chēng)也是不允許重復(fù)使用的。在賬戶進(jìn)行余額查詢或者轉(zhuǎn)賬操作的時(shí)候，可以指定資產(chǎn)類(lèi)型。

見(jiàn)證系統(tǒng)（Witness System）

Sero協(xié)議采用非交互零知識(shí)證明（NIZK），在生成交易的時(shí)候，需要提供資產(chǎn)來(lái)源的見(jiàn)證信息，每個(gè)節(jié)點(diǎn)會(huì)根據(jù)這些見(jiàn)證信息進(jìn)行驗(yàn)證。因此，Sero會(huì)采用merkle tree維護(hù)一個(gè)記錄狀態(tài)變更的見(jiàn)證系統(tǒng)，系統(tǒng)在節(jié)點(diǎn)提供驗(yàn)證功能，在錢(qián)包端提供認(rèn)證所需的信息。

ROOT = MERKLE_ROOT_AUTH（POSITION， LEAF， PATH）

ROOT是當(dāng)前 merkle 樹(shù)的根，LEAF是第POSITION?葉?，PATH是LEAF到ROOT的證明路徑。

證明系統(tǒng)（Proof System）

Sero的證明系統(tǒng)包含一個(gè)基于有向無(wú)環(huán)圖的計(jì)算電路，用來(lái)描述Sero每筆交易的內(nèi)部約束，包括各種資產(chǎn)類(lèi)型的輸入輸出平衡、公私鑰驗(yàn)證、承諾的有效性、見(jiàn)證的有效性等環(huán)節(jié)。裝載好數(shù)據(jù)的電路可以通過(guò)非交互零知識(shí)證明（NIZK）生成一個(gè)Proof，通過(guò)提交這個(gè)Proof，可以在隱藏大量細(xì)節(jié)信息的情況下，讓節(jié)點(diǎn)對(duì)電路中裝載的各種參數(shù)和約束進(jìn)行驗(yàn)證。

執(zhí)行步驟（Process Step）

1. 計(jì)算（Compute），用戶采用賬戶、資產(chǎn)、見(jiàn)證系統(tǒng)提供的信息，并根據(jù)當(dāng)前所需的計(jì)算，提供輸入數(shù)據(jù)，然后在鏈下運(yùn)行計(jì)算規(guī)則得到結(jié)果，結(jié)果通過(guò)上述幾個(gè)系統(tǒng)將生成狀態(tài)變更的密文（E）和一個(gè)證明（P1，P2）。

OUTPUT = COMPUTE（METHOD， INPUT， ACCOUNT， ASSETS， WITNESS）

（E， （P1，P2）） = PROVE（OUTPUT ）

2. 提交（Commit），用戶將生成好的密文（E）和證明（P1，P2），加上隨機(jī)生成的寄存地址（ZRPK，VRPK），封裝為交易（Stx），提交給節(jié)點(diǎn)。

FROM = （Rf ， Rf PK）

STX = （E， P1，P2，F(xiàn)ROM）

Commit（STX）

3. 驗(yàn)證（Verify），節(jié)點(diǎn)在收到交易（Stx）之后，將其中P1在見(jiàn)證系統(tǒng)中進(jìn)行確認(rèn)，將P2交給證明系統(tǒng)，兩者確認(rèn)正確后會(huì)運(yùn)行智能合約得到輸出，最后將輸出關(guān)聯(lián)到暫存地址上。

witness_ret = CHECK_WITNESS（P1）

proof_ret = CHECK_PROOF（P2）

verif y_result = witness_ret & proof_ret

4. 確認(rèn)（Confirm），資產(chǎn)接受方在同步到得到驗(yàn)證的交易（Stx）之后，利用自己的私鑰將結(jié)果密文（E）解出生成明文（D），并將明文（D）和證明（P1）輸入到證明系統(tǒng)中進(jìn)行校驗(yàn)，成功則說(shuō)明交易是真實(shí)的。真實(shí)的交易如果被n個(gè)區(qū)塊進(jìn)行了確認(rèn)，那么交易接收方可以認(rèn)為這筆交易已經(jīng)確認(rèn)。

D = DEC（E， VSK）

commitment_ret = CHECK_COMMITMENT（D， P1，PK）

confirm_ret = commitment_ret & block_confirm 》 n

要說(shuō)明的是，Sero的執(zhí)行步驟是開(kāi)放式的，也就是說(shuō)這樣的步驟和參數(shù)的抽象描述，可以支持“實(shí)現(xiàn)方案”中所描述的一到三期的修改，在后續(xù)升級(jí)時(shí)對(duì)代碼結(jié)構(gòu)的調(diào)整最小。

通用隱私交易

在Sero內(nèi)部，普通交易中的數(shù)據(jù)都是加密的，非交易雙方不能得知來(lái)源、去向、資產(chǎn)種類(lèi)、?額等細(xì)節(jié)。系統(tǒng)在共識(shí)和交易處理時(shí)并不區(qū)分智能合約產(chǎn)生的資產(chǎn)和Sero本身的資產(chǎn)。

線上智能合約

Sero的通用智能合約可以進(jìn)行公開(kāi)計(jì)算，制定對(duì)各種資產(chǎn)的統(tǒng)計(jì)方案、處置規(guī)則、公示規(guī)則，但輸入輸出信息都必須通過(guò)暫存地址與用戶的真實(shí)身份隔離。Sero智能合約兼容以太坊智能合約指令，也就是說(shuō)以太坊大部分的智能合約可以不修改就在Sero上運(yùn)行。

線上匿名資產(chǎn)

智能合約通過(guò)調(diào)用線上匿名資產(chǎn)發(fā)行方法發(fā)行資產(chǎn)，所發(fā)行資產(chǎn)數(shù)量對(duì)所有用戶可見(jiàn)，并具有與Sero本身資產(chǎn)等同的交易屬性，可以通過(guò)隱私交易進(jìn)行處理。

線下匿名資產(chǎn)

智能合約通過(guò)調(diào)用線下匿名資產(chǎn)發(fā)行方法發(fā)行資產(chǎn)，所發(fā)行的資產(chǎn)數(shù)量對(duì)用戶不可見(jiàn)，這些資產(chǎn)具有Sero本身資產(chǎn)等同的交易屬性，可以通過(guò)隱私交易進(jìn)行處理。智能合約在此資產(chǎn)的輸入和輸出上，對(duì)于第三方不可見(jiàn)。匿名資產(chǎn)有多種類(lèi)型以供不同的場(chǎng)景使用。

線下智能合約

智能合約在線下運(yùn)行，計(jì)算規(guī)則只對(duì)部分用戶可見(jiàn)，所發(fā)行資產(chǎn)數(shù)量對(duì)用戶不可見(jiàn)，這些資產(chǎn)具有與Sero本身資產(chǎn)等同的交易屬性，可以通過(guò)隱私交易進(jìn)行處理。智能合約在此資產(chǎn)的輸入和輸出上，對(duì)于第三方不可見(jiàn)。

4. SERO面向的場(chǎng)景

隱私保護(hù)是每個(gè)人都存在的強(qiáng)烈需求，Sero有巨大的市場(chǎng)應(yīng)用前景，然而不僅如此，Sero支持開(kāi)發(fā)者發(fā)行自己的匿名數(shù)字代幣，意味Sero能夠兼容千萬(wàn)個(gè)不同的經(jīng)濟(jì)生態(tài)的流通，而Sero對(duì)智能合約的支持意味著巨大的業(yè)務(wù)擴(kuò)展性，使基于Sero發(fā)行的匿名數(shù)字代幣不僅僅只是一種支付工具，這項(xiàng)技術(shù)的落地場(chǎng)景將會(huì)輻射到許多行業(yè)。

醫(yī)療健康

在泛醫(yī)療健康行業(yè)，數(shù)字隱私體現(xiàn)于方方面面，從個(gè)人病歷到醫(yī)療記錄，面向多??的隱私保護(hù)和授權(quán)機(jī)制需要?分靈活和安全的隱私保護(hù)能力，涉及到醫(yī)院、患者、保險(xiǎn)公司、醫(yī)藥公司等，數(shù)據(jù)隱私的保護(hù)和限制授權(quán)使用顯得尤為重要。

在線競(jìng)拍

在諸多追求公平的在線競(jìng)拍業(yè)務(wù)中，出價(jià)的私密性是非常重要的，但在利益驅(qū)使下往往難以做到，尤其是類(lèi)似集合競(jìng)價(jià)這類(lèi)?頻報(bào)價(jià)、對(duì)其它對(duì)?的報(bào)價(jià)有限知情甚?毫不知情的規(guī)則下，報(bào)價(jià)數(shù)據(jù)隱私往往就代表了最終巨大的利益回報(bào)。而SERO可以為提供一個(gè)完全安全、獨(dú)?、公平的報(bào)價(jià)環(huán)境。

在線預(yù)測(cè)相關(guān)業(yè)

在線菠菜業(yè)的發(fā)展一直以來(lái)受到中心化信任的制約，哪怕解決這點(diǎn)，基于在線預(yù)測(cè)的游戲?qū)τ趯?duì)?的出價(jià)策略往往也是?度需要隱私保護(hù)的。在這個(gè)巨大現(xiàn)?流的行業(yè)中，非常需要一個(gè)能夠提供集多人出價(jià)、支付、結(jié)算，并能有統(tǒng)一匯率的公平貨幣流通體系，而SERO完全能支持到這些。

游戲

每個(gè)游戲都有自己的經(jīng)濟(jì)生態(tài)，游戲中的數(shù)字資產(chǎn)自成體系，而同一個(gè)公司發(fā)行的不同游戲都很難就數(shù)字資產(chǎn)進(jìn)行打通，但有時(shí)也會(huì)有這類(lèi)需求，以便將游戲生態(tài)進(jìn)一步擴(kuò)大。因此大型的在線游戲往往需要一個(gè)易于流通、交易和結(jié)算的貨幣體系，并能基于智能合約發(fā)行和流通，同時(shí)還要兼顧交易的隱私保護(hù)（游戲資產(chǎn)的交易對(duì)用戶而?往往并不希望被公開(kāi)），而目前Sero是唯一能做到多貨幣體系能基于同態(tài)智能合約發(fā)行流通，且兼顧交易隱私的技術(shù)方案。還有更多的涉及資產(chǎn)數(shù)字化，又涉及數(shù)字資產(chǎn)隱私敏感的行業(yè)，如保險(xiǎn)行業(yè)、數(shù)字貴?屬交易、期貨交易、數(shù)字資產(chǎn)交易（如征信和知識(shí)產(chǎn)權(quán)等）、信貸行業(yè)等，Sero對(duì)于這些行業(yè)在現(xiàn)有的市場(chǎng)中有著不可替代的方案優(yōu)勢(shì)，不僅支持?度的貨幣流通性對(duì)技術(shù)的需求，還支持獨(dú)?完善的加密貨幣生態(tài)建?。

5. 關(guān)于非交互式零知識(shí)證明（NIZK）的性能優(yōu)化

對(duì)于采用NIZK方案的區(qū)塊鏈系統(tǒng)，目前最大的瓶頸就是生成交易時(shí)產(chǎn)生證明（Proof）的時(shí)間?度。幸運(yùn)的是，交易通常是在錢(qián)包中生成。

1. 目前我們構(gòu)建系統(tǒng)時(shí)使用原生的zkSNARK庫(kù)來(lái)實(shí)現(xiàn)NIZK，采用其中的ALT_BN128曲線和Groth16預(yù)處理過(guò)程，這個(gè)過(guò)程大約比Zcash的PGHR13預(yù)處理方案減少1/3左右運(yùn)算時(shí)間。同時(shí)我們認(rèn)為merkle tree的深度可以適當(dāng)?shù)目s減，并盡可能加入并行處理方案，可以將平均一個(gè)交易生成時(shí)間再次大幅度降低。雖然 zkSNARK 需要一個(gè)信用安裝的過(guò)程，但Sero的實(shí)現(xiàn)方式中不會(huì)動(dòng)態(tài)的構(gòu)造計(jì)算電路。因此，在所有的場(chǎng)景下，zkSNARK協(xié)議是能滿?Sero的需求的。

2. 我們研究了Zcash最新的成果jubjub，并嘗試采用他們的BLS12-381曲線，以及采用Twisted Edwards曲線生成公鑰，pedersen hash進(jìn)行merkle tree的生成，這樣?少可以4倍以上提升交易生成速度。

3. Bulletproofs也具備?分有趣的特性和性能上的優(yōu)勢(shì)（如批量驗(yàn)證的性能優(yōu)勢(shì)），而且天生支持橢圓曲線（EC）公鑰和Pedersen commitments，也是我們的嘗試方向之一。

4. zkStark的“零知識(shí)證明機(jī)制”提供了更簡(jiǎn)單的密碼假設(shè)，避免了橢圓曲線、配對(duì)和指數(shù)知識(shí)假設(shè)的需要，而僅僅依靠散列和信息論。這也意味著，這塊在算法設(shè)計(jì)上，能抵抗量?計(jì)算攻擊。

Sero中大量使用了零知識(shí)證明來(lái)隱藏信息。雖然目前我們?cè)赥estNet版本仍然采用的是zkSNARK的C++實(shí)現(xiàn)庫(kù)libsnark來(lái)進(jìn)行這項(xiàng)工作。但在MainNet上線時(shí)，我們會(huì)綜合考察之前提到的幾種NIZK協(xié)議，并構(gòu)建效率最?安全性最好的庫(kù)來(lái)支持我們的系統(tǒng)。

6. 暫存地址

在Sero的鏈上計(jì)算部分，我們采用了暫存地址來(lái)臨時(shí)承接線上計(jì)算的輸出目標(biāo)，如果采用簽名的方式使用這個(gè)輸出，對(duì)于不可追溯性會(huì)有稍微的減弱。Sero對(duì)這種情況提供的方案是，用戶在使用這個(gè)輸出的時(shí)候，輸出的標(biāo)識(shí)跟其他普通交易一樣，會(huì)被隱藏在證明之中。如此一來(lái)每筆交易之間都是斷開(kāi)的，無(wú)法追溯，而且一旦輸出被使用，這個(gè)暫存地址就算是被銷(xiāo)毀了。

7. 未來(lái)計(jì)劃

鏈下計(jì)算和同態(tài)加密智能合約

事實(shí)上對(duì)智能合約的同態(tài)加密已經(jīng)進(jìn)入到實(shí)質(zhì)開(kāi)發(fā)階段，并計(jì)劃于2019.3發(fā)布到2.0版本的Sero平臺(tái)上。目前我們已經(jīng)找到了一種通過(guò)鏈上和鏈下計(jì)算，兼顧數(shù)據(jù)安全（可以面向計(jì)算者完全隔離敏感數(shù)據(jù)的機(jī)制）與性能的方法，并計(jì)劃于6個(gè)?內(nèi)完成這項(xiàng)工作。

錢(qián)包和其它生態(tài)應(yīng)用

Sero的去中心化錢(qián)包應(yīng)用目前同樣正在開(kāi)發(fā)當(dāng)中，并計(jì)劃于2019.3前正式發(fā)布，由于Sero支持開(kāi)發(fā)者自己發(fā)行Token的特性，Sero的錢(qián)包將會(huì)支持Sero自己的Token以及所有開(kāi)發(fā)者基于Sero發(fā)行的Token所對(duì)應(yīng)加密貨幣資產(chǎn)的管理。

最新共識(shí)機(jī)制

我們會(huì)在1年內(nèi)的某個(gè)版本發(fā)布新的共識(shí)機(jī)制SE-Random，結(jié)合了最新的PBFT理論和VRF算法設(shè)計(jì)的一種可以相對(duì)兼顧公平和效率的共識(shí)機(jī)制。

隱私三劍客

Sero有兩個(gè)兄弟，分別是異形協(xié)議 （Alien Protocol）和卡斯特羅協(xié)議（Castrol Protocol），前者提供一種分布式的DNS系統(tǒng)，通過(guò)自動(dòng)尋址的方式實(shí)現(xiàn)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和信息傳輸，后者則對(duì)節(jié)點(diǎn)的IP地址實(shí)現(xiàn)加密隱私保護(hù)，三位一體形成完整的去中心化應(yīng)用隱私保護(hù)方案。

安全多方計(jì)算

在許多情況下，數(shù)據(jù)證明需要結(jié)合現(xiàn)有的中心化的數(shù)據(jù)源，也可以成為鏈下數(shù)據(jù)源，當(dāng)前，解決上述問(wèn)題的策略是假設(shè)有可信任的服務(wù)提供者或是假設(shè)存在可信任的第三方。但是在目前多變和充滿惡意的環(huán)境中，這是極具?險(xiǎn)的，面對(duì)該問(wèn)題，通用的安全多方計(jì)算問(wèn)題是可解決的。

Sero未來(lái)也將考慮引入安全多方計(jì)算（SMC），從而在隱私保護(hù)的前提下實(shí)現(xiàn)對(duì)鏈外數(shù)據(jù)的廣泛支持。

多鏈體系

多鏈體系是Sero可擴(kuò)展性解決方案。Sero將采用類(lèi)似以太坊Plasma的機(jī)制進(jìn)行基于多鏈體系的橫向的性能擴(kuò)容。類(lèi)似Plasma的多鏈并行計(jì)算機(jī)制，可使Sero的每秒狀態(tài)更新達(dá)到極??平（可能會(huì)有數(shù)?億）。從而使Sero在性能上取代當(dāng)前中心化集群的能力，讓Sero具有處理全球的各類(lèi)隱私相關(guān)去中心化應(yīng)用的前景。

基礎(chǔ)框架

除了隱私保護(hù)的機(jī)制之外，鏈基礎(chǔ)架構(gòu)同樣需要具備?夠強(qiáng)大的可擴(kuò)展性，這對(duì)于構(gòu)建一個(gè)實(shí)用的應(yīng)用平臺(tái)顯得?分重要，Sero會(huì)引入以下技術(shù)來(lái)對(duì)鏈的底層架構(gòu)進(jìn)行增強(qiáng)：

? 優(yōu)化共識(shí) - 使用一種全新的共識(shí)機(jī)制SE-Random，它結(jié)合了最新的PBFT理論和VRF算法設(shè)計(jì)的一種可以相對(duì)兼顧公平和效率的共識(shí)機(jī)制。

? Plasma - 是一種實(shí)現(xiàn)區(qū)塊鏈擴(kuò)容計(jì)算的方式，在plasma中，眾多區(qū)塊鏈組合成樹(shù)形結(jié)構(gòu)，共同參與計(jì)算，從而實(shí)現(xiàn)區(qū)塊鏈的橫向擴(kuò)展。

? 更為強(qiáng)大的虛擬機(jī)——不僅滿?EVM的兼容性，而且有充分的擴(kuò)展性，并且要有底層指令的基礎(chǔ)來(lái)滿?性能的需求。

? 以下會(huì)重點(diǎn)闡述部分技術(shù)的具體實(shí)現(xiàn)。

1. 共識(shí)機(jī)制

Sero在研究各類(lèi)共識(shí)的基礎(chǔ)上，提出了自己的主鏈共識(shí)引擎SE-Random。SE-Random共識(shí)引擎的設(shè)計(jì)思路受到最新一代共識(shí)研究Algorand和Ourboros的啟發(fā)，只需要驗(yàn)證節(jié)點(diǎn)很少的計(jì)算開(kāi)銷(xiāo)，整個(gè)區(qū)塊鏈網(wǎng)絡(luò)產(chǎn)生分叉概率極小，并能實(shí)現(xiàn)近乎無(wú)限的擴(kuò)展性。

下面描述一下SE-Random共識(shí)的細(xì)節(jié)。

SE-Random使用拜占庭協(xié)議BA*（ByzanTIne Agreement）在一組交易中達(dá)成共識(shí)。為了擴(kuò)展性，SE-Random使用一種隨機(jī)算法篩選出一批用戶，允許用戶自己私下檢查是否被選中，并參與BA*協(xié)議中共識(shí)的達(dá)成。在此算法下，隨著用戶量的增多，整個(gè)BA*共識(shí)系統(tǒng)不會(huì)變慢。

VRF算法的使用

SE-Random共識(shí)引擎基于VRF（Verifiable Random FuncTIon）算法作為隨機(jī)驗(yàn)證節(jié)點(diǎn)選擇基礎(chǔ)。VRF是隨機(jī)生成函數(shù)，而且這個(gè)函數(shù)是可驗(yàn)證的。即同一把私鑰對(duì)同樣的信息進(jìn)行簽名，只有一個(gè)合法簽名可以通過(guò)驗(yàn)證，這個(gè)有別于普通的非對(duì)稱(chēng)加密算法。

VRF的具體操作流程是：

1. 證明者生成一對(duì)密鑰，PUB_KEY和PRI_KEY。PRI_KEY是私鑰，PUB_KEY是配對(duì)的公鑰。

2. 證明者輸出隨機(jī)結(jié)果 result = VRF_Hash（PRI_KEY， info）

3. 證明者輸出隨機(jī)證明 proof = VRF_Proof（PRI_KEY， info）

4. 證明者把隨機(jī)結(jié)果和隨機(jī)證明提交給驗(yàn)證者。驗(yàn)證者需驗(yàn)證result和proof是否匹配，若匹配，進(jìn)入下一步。

5. 證明者把PUB_KEY和info提交給驗(yàn)證者，驗(yàn)證者計(jì)算VRF_Verif y（PUB_KEY， info， proof ）結(jié)果是否為T(mén)RUE，是TRUE的話即驗(yàn)證通過(guò)。

6. 驗(yàn)證通過(guò)即可推導(dǎo)出info和result是否匹配，即證明驗(yàn)證者給出的材料是正確的。在整個(gè)過(guò)程中驗(yàn)證者沒(méi)有拿到證明者的私鑰PRI_KEY。

隨機(jī)種?（Seed）生成

在SE-Random的一些地方的隨機(jī)算法會(huì)用到種?（seed），比如SE-Random的加密抽簽中，需要隨機(jī)選擇并公開(kāi)的種?。這個(gè)seed既要讓參與節(jié)點(diǎn)知曉，又不能被對(duì)?控制。SERandom第r回合產(chǎn)生的seed是由上一回合r-1的seed通過(guò)VRF來(lái)確定。這個(gè)種?和相應(yīng)的VRF證明被包含在每個(gè)被提出的塊中，一旦SE-Random在r-1輪的塊上達(dá)成一致，當(dāng)r輪開(kāi)始之后，每個(gè)人都知道當(dāng)前輪的偽隨機(jī)的seedr 。初始的seed0的值是由初始參與者們一起用多個(gè)節(jié)點(diǎn)進(jìn)行計(jì)算，得到的一個(gè)絕對(duì)無(wú)法預(yù)測(cè)的隨機(jī)seed。這樣，seed不會(huì)被“破壞者”預(yù)測(cè)，也不會(huì)被操縱。

通過(guò)VRF算法進(jìn)行加密抽簽選出驗(yàn)證者的方法

SE-Random用加密抽簽方法來(lái)根據(jù)每個(gè)用戶的權(quán)重來(lái)選擇用戶的隨機(jī)?集。系統(tǒng)將固定單位數(shù)量的Sero幣設(shè)為一個(gè)篩選候選單位S，并規(guī)定每個(gè)節(jié)點(diǎn)有限定數(shù)量的Sero幣w作為篩選計(jì)算，所有候選單位的總權(quán)重是。并且如果節(jié)點(diǎn)i擁有j個(gè)篩選單位數(shù)量的Sero幣，則節(jié)點(diǎn)i可以以j個(gè)不同的子節(jié)點(diǎn)的身份參與抽簽篩選。抽簽算法的隨機(jī)性來(lái)源于前面提到的隨機(jī)種子。在BA*的每次循環(huán)中，SE-Random基于當(dāng)前seed構(gòu)建一個(gè)VRF，VRF的私鑰只能由節(jié)點(diǎn)自己知道。每個(gè)節(jié)點(diǎn)用自己的私鑰運(yùn)行系統(tǒng)公布的隨機(jī)算法進(jìn)行抽簽。系統(tǒng)按照節(jié)點(diǎn)持有的不超過(guò)限定閾值SERO幣的比例選擇驗(yàn)證節(jié)點(diǎn)。

SE-Random需要指定閾值，用以選擇驗(yàn)證節(jié)點(diǎn)的預(yù)期數(shù)量。這個(gè)預(yù)期數(shù)量滿足概率p = w/W。在W（總節(jié)點(diǎn)權(quán)重）選擇子驗(yàn)證節(jié)點(diǎn)的概率滿足二項(xiàng)分布：

當(dāng)前驗(yàn)證節(jié)點(diǎn)（包含子驗(yàn)證節(jié)點(diǎn)）的選擇數(shù)量的確定方式也是由抽簽算法確定的。抽簽算法將區(qū)間［0，1）劃分為連續(xù)區(qū)間的形式：

此加密抽簽的方法的特性為：

1、驗(yàn)證節(jié)點(diǎn)根據(jù)他們持有Sero幣的權(quán)重隨機(jī)選出N個(gè)驗(yàn)證子節(jié)點(diǎn)

2、不知道節(jié)點(diǎn)i私鑰的破壞者無(wú)法知道i是否被選中，以及選出多少個(gè)子驗(yàn)證節(jié)點(diǎn)。

在隨機(jī)選出的驗(yàn)證者節(jié)點(diǎn)中進(jìn)行BA*共識(shí)計(jì)算

驗(yàn)證節(jié)點(diǎn)（包括子驗(yàn)證節(jié)點(diǎn)）在秘密的情況下獲知自己被選中，但他們只有公布憑證才能證明自己的驗(yàn)證者資格。對(duì)于每一個(gè)選中的節(jié)點(diǎn)，使用自己的私鑰對(duì)seed進(jìn)行簽名，并輸入哈希函數(shù)后得到自己的憑證。哈希函數(shù)的性質(zhì)表明憑證是一個(gè)隨機(jī)的?度為256的字符串，不同節(jié)點(diǎn)的憑證不會(huì)相同，并且憑證字符串的分布是均勻的。用同樣的方式選出一批候選領(lǐng)導(dǎo)節(jié)點(diǎn)，把候選領(lǐng)導(dǎo)節(jié)點(diǎn)的憑證按照字典順序進(jìn)行排列，排序中最小的候選領(lǐng)導(dǎo)節(jié)點(diǎn)被選為領(lǐng)導(dǎo)節(jié)點(diǎn)，即領(lǐng)導(dǎo)節(jié)點(diǎn)是通過(guò)候選領(lǐng)導(dǎo)節(jié)點(diǎn)集合隨機(jī)的公共選舉產(chǎn)生。

驗(yàn)證節(jié)點(diǎn)和領(lǐng)導(dǎo)節(jié)點(diǎn)一起參與拜占庭協(xié)議BA*的運(yùn)算，在BA*的每一個(gè)階段和步驟?，節(jié)點(diǎn)都通過(guò)私人和非互動(dòng)的方式來(lái)獨(dú)?確定自己是否被選擇在當(dāng)前步驟的委員會(huì)中。BA*是一個(gè)兩個(gè)階段的投票機(jī)制。第一階段，驗(yàn)證節(jié)點(diǎn)對(duì)收到的候選區(qū)塊進(jìn)行分級(jí)共識(shí)，選取驗(yàn)證共識(shí)最多的候選區(qū)塊。第二階段，對(duì)第一階段篩選出的候選區(qū)塊進(jìn)行二元拜占庭判斷。BA*共識(shí)要保證參與共識(shí)的誠(chéng)實(shí)節(jié)點(diǎn)大于2/3，如果隨機(jī)選出的集合不能滿足該條件，那么需要進(jìn)行多次隨機(jī)選舉，只要有一次參與共識(shí)的誠(chéng)實(shí)節(jié)點(diǎn)大于2/3，就能達(dá)成共識(shí)。BA*共識(shí)的每個(gè)步驟的驗(yàn)證節(jié)點(diǎn)并行指定或抽簽篩選出來(lái)用來(lái)加快共識(shí)確認(rèn)速度。

BA*共識(shí)計(jì)算的步驟

BA*的每一步都要銷(xiāo)毀當(dāng)前步驟臨時(shí)密鑰，步驟簡(jiǎn)述如下：

1. 生成區(qū)塊（Step1）

2. 分級(jí)共識(shí)協(xié)議

這個(gè)協(xié)議將在任意一個(gè)塊上達(dá)成一致的問(wèn)題轉(zhuǎn)化為在的兩個(gè)值上達(dá)成一致，這兩個(gè)值是最后確定特定塊的散列或者空塊的散列的依據(jù)，總共分為3個(gè)步驟，我們會(huì)在后面的技術(shù)黃皮書(shū)中詳細(xì)說(shuō)明。大體來(lái)說(shuō)判斷消息中是否有超過(guò)2/3的 并且相同，如果有，則廣播此特定區(qū)塊，如果沒(méi)有，則廣播空塊，此消息用于后繼二元拜占庭判斷。

3. 二元拜占庭判斷

在這?驗(yàn)證節(jié)點(diǎn)統(tǒng)計(jì)判斷分級(jí)共識(shí)協(xié)議發(fā)出的值。二元拜占庭判斷是一個(gè)三步的循環(huán)，驗(yàn)證節(jié)點(diǎn)會(huì)不斷的對(duì)收到的歷史進(jìn)行檢查，看是否達(dá)到了有兩種結(jié)束條件，即區(qū)塊合法或者區(qū)塊不合法是否達(dá)到2/3的投票總數(shù)；如果區(qū)塊不合法，共識(shí)系統(tǒng)會(huì)判斷并生成一個(gè)空區(qū)塊。為了預(yù)防無(wú)限循環(huán)的情況發(fā)生，我們會(huì)設(shè)定一個(gè)最大總循環(huán)數(shù)m，如達(dá)到m后還沒(méi)判定出是否符合一個(gè)結(jié)束條件，共識(shí)系統(tǒng)會(huì)臨時(shí)生成暫定的共識(shí)，并在后續(xù)過(guò)程中（后面幾輪）形成最終共識(shí)，并確認(rèn)這些較早的交易。

SE-Random共識(shí)會(huì)適應(yīng)網(wǎng)絡(luò)弱同步情況下的共識(shí)判定。在網(wǎng)絡(luò)強(qiáng)情況下不會(huì)造成區(qū)塊分叉，在網(wǎng)絡(luò)弱同步情況下，會(huì)臨時(shí)做出暫定共識(shí)并在網(wǎng)絡(luò)強(qiáng)同步恢復(fù)后達(dá)到最終共識(shí)。SErandom可以防范?巫攻擊、自私挖礦攻擊、Nothing-at-Stake攻擊、遠(yuǎn)程攻擊等各類(lèi)攻擊方式。即使Sero鏈的用戶擴(kuò)散到億級(jí)以上的節(jié)點(diǎn)，SE-Random共識(shí)也可借助VRF機(jī)制快速達(dá)成全網(wǎng)一致的拜占庭共識(shí)。

2 擴(kuò)容機(jī)制

Plasma是一個(gè)激勵(lì)，和強(qiáng)制智能合約執(zhí)行的框架?？梢詳U(kuò)容達(dá)到每秒大量的狀態(tài)更新（能達(dá)到每秒10億級(jí)），在區(qū)塊鏈上能支持全球范圍內(nèi)的大量的去中心化金融應(yīng)用。這些智能合約通過(guò)網(wǎng)絡(luò)交易?續(xù)費(fèi)用于激勵(lì)持續(xù)的自動(dòng)化運(yùn)作，最終依賴(lài)于底層的區(qū)塊鏈來(lái)強(qiáng)制交易狀態(tài)的鎖定。

Plasma由兩個(gè)核心部分構(gòu)成：重組所有區(qū)塊鏈計(jì)算為一組MapReduce函數(shù)，和一個(gè)可選的方法，在現(xiàn)存的區(qū)塊鏈上，以不鼓勵(lì)區(qū)塊扣留的Nakamoto共識(shí)原則，來(lái)實(shí)現(xiàn)一個(gè)Pos的代幣押金機(jī)制。

這種構(gòu)建通過(guò)在主鏈上編寫(xiě)智能合約，使用欺詐證明，可以在主鏈上強(qiáng)制狀態(tài)的鎖定。Plasma將區(qū)塊鏈編組為一個(gè)樹(shù)形的分層結(jié)構(gòu)，將每一個(gè)區(qū)塊鏈視為一個(gè)獨(dú)?的分支，強(qiáng)制將整個(gè)區(qū)塊鏈的歷史，和可MapReduce的計(jì)算提交到Merkle證明。通過(guò)主鏈強(qiáng)制將某個(gè)鏈的帳本信息打包到子區(qū)塊鏈中，這個(gè)鏈將通過(guò)最低的信任達(dá)到擴(kuò)容的需求。

圍繞全局強(qiáng)制非全局?jǐn)?shù)據(jù)的數(shù)據(jù)可用性，區(qū)塊扣留攻擊是是一個(gè)非常復(fù)雜的問(wèn)題。Plasms通過(guò)對(duì)有問(wèn)題鏈的退出機(jī)制來(lái)緩解了這個(gè)問(wèn)題，同時(shí)也創(chuàng)建了一個(gè)激勵(lì)和持續(xù)的強(qiáng)制的執(zhí)行數(shù)據(jù)的正確性機(jī)制。

僅僅通過(guò)周期性的將正常狀態(tài)的Merkle證明廣播到主鏈，這將允許不可思議的擴(kuò)展性，降低交易成本和計(jì)算量。Plasma支持了大規(guī)模去中心化應(yīng)用的持續(xù)運(yùn)行。額外的，重要的可擴(kuò)展性是通過(guò)減少單次花費(fèi)的資金表達(dá)方式為一個(gè)位圖中的一個(gè)位來(lái)實(shí)現(xiàn)，這樣，一個(gè)交易和一個(gè)簽名代表一個(gè)與多方的交易聚合。Plasma將這與一個(gè)MapReduce框架結(jié)合，同時(shí)使用含押金的智能合約來(lái)構(gòu)建可擴(kuò)展的計(jì)算強(qiáng)制性。

這種構(gòu)建方式允許讓外部的參與方持有資金，并根據(jù)自己的行為計(jì)算合約，類(lèi)似于一個(gè)礦工，但是Plasma是運(yùn)行于一個(gè)已存在的區(qū)塊鏈上，由此大家不用在每次狀態(tài)更新時(shí)在主鏈上創(chuàng)建對(duì)應(yīng)的交易（即使包括添加新用戶的賬本），而只需要將合并后的狀態(tài)變化這樣的少量信息寫(xiě)到鏈上。

Sero將采用Plasma這樣的機(jī)制進(jìn)行基于多鏈體系的橫向的性能擴(kuò)容。這種多鏈并行計(jì)算機(jī)制，可使Sero的每秒狀態(tài)更新達(dá)到極高?平（可能會(huì)有數(shù)十億）。從而使Sero在性能上獲得很大提升，達(dá)到取代當(dāng)前中心化集群的承載能力。

3. 虛擬機(jī)

目前以太坊已經(jīng)擁有了大量開(kāi)發(fā)者，Solidity語(yǔ)言也已經(jīng)成了智能合約開(kāi)發(fā)最廣泛使用的語(yǔ)言。因此，我們需要在Sero系統(tǒng)中提供EVM的兼容性。

EVM虛擬機(jī)是在以太坊的基礎(chǔ)上發(fā)展出來(lái)的，以太坊是一個(gè)標(biāo)準(zhǔn)的區(qū)塊鏈結(jié)構(gòu)，其數(shù)據(jù)結(jié)構(gòu)是單一的，因此其虛擬機(jī)在交易調(diào)用層面設(shè)計(jì)為類(lèi)似數(shù)據(jù)庫(kù)的ACID（Atomicity，Consistency，IsolaTIon，Durability）特性。即在以太坊的協(xié)議中，一個(gè)智能合約的調(diào)用，可能會(huì)影響多個(gè)賬戶的狀態(tài)變化。這些狀態(tài)變化是有實(shí)時(shí)一致性的剛性事務(wù)，即這些狀態(tài)變化要么同時(shí)發(fā)生，要么都不發(fā)生。但是，Sero需要考慮到未來(lái)充分的擴(kuò)展性，并且要有底層指令的基礎(chǔ)來(lái)滿足性能的需求。我們將Sero鏈的虛擬機(jī)設(shè)計(jì)為滿足BASE（Bascically Available，Soft state，Eventual consistency）理念的最終一致性方案，我們將此虛擬機(jī)稱(chēng)為MEVM虛擬機(jī)。

在BASE理念中，基本可用是指系統(tǒng)在出現(xiàn)不可預(yù)期的故障時(shí)，允許損失部分可用性；軟狀態(tài)是指允許系統(tǒng)中的數(shù)據(jù)存在中間狀態(tài)，不過(guò)該中間狀態(tài)的存在不會(huì)影響系統(tǒng)的整體可用性；最終一致性是指所有的數(shù)據(jù)副本，在一段時(shí)間的同步之后，最終都能夠達(dá)到一致。和ACID概念的強(qiáng)一致性相比，BASE理念通過(guò)犧牲實(shí)時(shí)強(qiáng)一致性來(lái)獲得可用性，但最終會(huì)達(dá)到一致?tīng)顟B(tài)。區(qū)塊鏈中區(qū)塊結(jié)構(gòu)和各類(lèi)共識(shí)算法，其本質(zhì)都是符合BASE理念的，不過(guò)并不滿足ACID。因此MEVM虛擬機(jī)設(shè)計(jì)為復(fù)合BASE語(yǔ)義是適合的，并且在此層面上相比原來(lái)的EVM的ACID設(shè)計(jì)，

會(huì)克服運(yùn)行性能瓶頸的這個(gè)方面的制約。

另外，Solidity語(yǔ)言一直被人詬病的一點(diǎn)是缺乏標(biāo)準(zhǔn)庫(kù)的支持，比如比較兩個(gè)字符串這種基本的功能，Solidity中沒(méi)有標(biāo)準(zhǔn)庫(kù)函數(shù)給開(kāi)發(fā)者調(diào)用。類(lèi)似OpenZeppelin這樣的項(xiàng)目提供了一些標(biāo)準(zhǔn)庫(kù)，但是還遠(yuǎn)遠(yuǎn)不夠用。特別是Sero的區(qū)塊鏈應(yīng)用需要用到的高級(jí)的數(shù)學(xué)和密碼學(xué)算法庫(kù)，比如零知識(shí)證明協(xié)議、RSA公鑰加密算法，奇異值分解等。MSolidity可以參考這些實(shí)現(xiàn)并添加更多的庫(kù)，這些庫(kù)采用預(yù)編譯或者用Native方式實(shí)現(xiàn)，以減少運(yùn)行消耗。

在今后的發(fā)展中，Sero體系會(huì)考慮對(duì)基于Web Assembly（WASM）的虛擬機(jī)提供支持，從而進(jìn)一步提升性能，并提供對(duì)除了Solidity外用更多的語(yǔ)言，比如C，C++，Rust，或者Go語(yǔ)言編寫(xiě)的智能合約進(jìn)行支持。隨著Cardano項(xiàng)目組設(shè)計(jì)的IELE虛擬機(jī)的成熟，Sero體系也會(huì)考慮提供對(duì)這個(gè)虛擬機(jī)進(jìn)行支持。IELE是LLVM的一個(gè)變種，有希望成為高級(jí)語(yǔ)言的智能合約翻譯并執(zhí)行的統(tǒng)一、低級(jí)的平臺(tái)。通過(guò)IELE虛擬機(jī)，可以讓Sero體系支持更多種類(lèi)的高級(jí)語(yǔ)言。

4. 抗量子計(jì)算

目前區(qū)塊鏈系統(tǒng)上普遍使用的非對(duì)稱(chēng)加密簽名算法，比如基于大整數(shù)因子分解難題的RSA算法和基于橢圓曲線上離散對(duì)數(shù)計(jì)算難題的ECC算法，可以被量子Shor算法將NP問(wèn)題變成P問(wèn)題，從而容易被破解。Sero體系會(huì)根據(jù)項(xiàng)目進(jìn)度和量子計(jì)算機(jī)實(shí)用化的發(fā)展適時(shí)引入抗量子計(jì)算暴力破解的加密算法，比如基于格的密碼系統(tǒng)（Lattice-based cryptography），基于編碼的密碼系統(tǒng)（code based cryptosystems）和多元密碼（multivariate cryptography）等；其中基于格密碼可以設(shè)計(jì)加密、簽名、密鑰交換等各種密碼系統(tǒng)，是后量子密碼學(xué)算法的一個(gè)重要方向。同時(shí)，我們也會(huì)對(duì)基于超特異橢圓曲線上同源問(wèn)題（Isogen）、共軛搜索問(wèn)題（conjugacy search problem）和辮群（Braid Groups）相關(guān)問(wèn)題等設(shè)計(jì)的抗量子密碼系統(tǒng)的前沿研究方向進(jìn)行同步追蹤。

激勵(lì)的經(jīng)濟(jì)模型

傳統(tǒng)的點(diǎn)對(duì)點(diǎn)通訊網(wǎng)絡(luò)將焦點(diǎn)關(guān)注于信息傳輸，有點(diǎn)像互聯(lián)網(wǎng)1.0時(shí)代的應(yīng)用，一切都是公開(kāi)和共享的，而其并沒(méi)有達(dá)到區(qū)塊鏈技術(shù)所達(dá)到的震動(dòng)效應(yīng)，一方面是因?yàn)槿鄙儆行У墓沧R(shí)機(jī)制將分散的節(jié)點(diǎn)協(xié)同參與工作（僅限于點(diǎn)和點(diǎn)的共識(shí)），而更重要的是因?yàn)橐磺腥祟?lèi)的行為都是需要背后的經(jīng)濟(jì)邏輯驅(qū)動(dòng)的，在缺乏有效的經(jīng)濟(jì)規(guī)范趨勢(shì)下人類(lèi)的行為只能受到社會(huì)規(guī)范約束（即出于公益性質(zhì)的精神激勵(lì)的驅(qū)動(dòng)下的工作），這對(duì)于大部分需要共同完成的目標(biāo)而言對(duì)個(gè)體是缺乏約束力的。

比特幣網(wǎng)絡(luò)通過(guò)POW（工作量證明）共識(shí)機(jī)制，并以貢獻(xiàn)算力獲得記賬權(quán)從而獲得比特幣獎(jiǎng)勵(lì)的方式激勵(lì)節(jié)點(diǎn)參與共識(shí)，無(wú)疑是一項(xiàng)了不起的設(shè)計(jì)，我們認(rèn)為T(mén)oken經(jīng)濟(jì)模型是區(qū)塊鏈價(jià)值的核心也不為過(guò)。

然而問(wèn)題在于同一種token是否能解決所有共識(shí)協(xié)同行為的激勵(lì)問(wèn)題？我們認(rèn)為答案顯然是No?，F(xiàn)今我們發(fā)現(xiàn)市場(chǎng)上有各種流通的Token，背后的經(jīng)濟(jì)模型五花?門(mén)，但是缺乏統(tǒng)一的標(biāo)準(zhǔn)將其共識(shí)的成本與產(chǎn)生的共識(shí)價(jià)值關(guān)聯(lián)起來(lái)，因此整個(gè)加密貨幣的二級(jí)市場(chǎng)流通規(guī)則顯得相當(dāng)脆弱。

以太坊基于同一種底層共識(shí)機(jī)制，允許智能合約開(kāi)發(fā)者發(fā)行自己的Token，并且使用ETH作為GAS費(fèi)用支付共識(shí)成本，既統(tǒng)一了共識(shí)成本的計(jì)量單位，又允許在相同的共識(shí)成本下，能夠根據(jù)Token所用于的生態(tài)獲得不同的價(jià)值輸出，使用者?少能夠計(jì)算最佳的投入與回報(bào)的平衡點(diǎn)，如今許多人詬病在以太坊上發(fā)行ERC20的代幣太過(guò)容易導(dǎo)致?目混珠，卻很少有人意識(shí)到以太坊在這個(gè)設(shè)計(jì)初衷的重要意義。

我們?cè)谠O(shè)計(jì)整個(gè)Sero-CHAIN時(shí)也同樣延用了以太坊的這個(gè)功能，可以想像，通過(guò)鏈上完成基于共識(shí)的交易，?先我們需要降低GAS消耗，以降低鏈上交易性價(jià)比的硬門(mén)檻，為此我們?cè)O(shè)計(jì)了新的共識(shí)機(jī)制，這點(diǎn)在其他章節(jié)已經(jīng)闡述。

假設(shè)在共識(shí)成本即GAS消耗可以忽略不計(jì)的情形下，任何一種Token的價(jià)值取決于鏈上交易的其他成本，這些成本受到數(shù)字資產(chǎn)的集中化程度、市場(chǎng)供需關(guān)系等影響，這和現(xiàn)實(shí)世界的貨幣并無(wú)不同，加密貨幣同樣是用來(lái)衡量商品、服務(wù)或權(quán)益的價(jià)值的，因此我們認(rèn)為開(kāi)發(fā)者發(fā)行Token可以有自己的經(jīng)濟(jì)模型，這?僅就Sero幣的經(jīng)濟(jì)模型角度討論。

站在Sero生態(tài)的角度，所有的商品、服務(wù)的價(jià)值都有一個(gè)源頭，由于區(qū)塊鏈平臺(tái)本質(zhì)是一個(gè)公平的價(jià)值流通市場(chǎng)，因此所有的經(jīng)濟(jì)行為的成本底層在于交易成本，Sero幣就是交易成本的載體，站在這個(gè)角度，Sero幣將用于以下激勵(lì)用途：

? 記賬獎(jiǎng)勵(lì)；

? 算力貢獻(xiàn)獎(jiǎng)勵(lì)（對(duì)于使用了隱私機(jī)制的應(yīng)用，會(huì)需要更多的算力消耗）；

? 其它角?包括算法提供者（通過(guò)發(fā)布智能合約的形式）的運(yùn)行激勵(lì)；

? 在SE-Random共識(shí)中，Sero的Token持有會(huì)影響個(gè)別場(chǎng)景下（譬如初始種子節(jié)點(diǎn)隨機(jī)選擇）的權(quán)重；

? Sero生態(tài)的開(kāi)發(fā)者會(huì)因其開(kāi)發(fā)應(yīng)用的實(shí)際產(chǎn)生價(jià)值而獲得Sero的Token獎(jiǎng)勵(lì)，這種獎(jiǎng)勵(lì)往往用于實(shí)際補(bǔ)貼其共識(shí)記賬或算力支付開(kāi)銷(xiāo)的成本方式給出；

? 用戶也可以將Sero的Token用于其DApp或Sero相關(guān)的生態(tài)系統(tǒng)中的各種目的。