互鏈網(wǎng)白皮書

1、區(qū)塊鏈進(jìn)入世界金融界區(qū)塊鏈技術(shù)已經(jīng)獲得了廣泛關(guān)注，雖然區(qū)塊鏈基礎(chǔ)技術(shù)已經(jīng)發(fā)展多年，但讓區(qū)塊鏈引起世界關(guān)注是應(yīng)用區(qū)塊鏈技術(shù)的比特幣。雖然最初區(qū)塊鏈與比特幣和以太坊等加密貨幣有關(guān)，但后來(lái)是英格蘭銀行推動(dòng)數(shù)字法幣（CBDC，Central Bank issued Digital Currency,中央銀行發(fā)行的數(shù)字貨幣）的發(fā)展，最終 Facebook 的 Libra 和其他穩(wěn)定幣項(xiàng)目震撼了世界各國(guó)央行和商業(yè)銀行世界。Libra 白皮書發(fā)布后，包括美聯(lián)儲(chǔ)（Federal Reserve）和中國(guó)人民銀行（PBOC）在內(nèi)的許多央行都啟動(dòng)了 CBDC 項(xiàng)目。摩根大通（J.P.Morgan）、維薩（VISA）

2、、萬(wàn)事達(dá)（Mastercard）、DTCC、斯威夫特（SWIFT）等大型金融公司早在臉書（Facebook）的 Libra 之前就開(kāi)始了自己的穩(wěn)定幣項(xiàng)目。國(guó)際貨幣基金組織（IMF, International Monetary Fund）、世界銀行、國(guó)際清算銀行（BIS, Bank for International Settlement）等主要國(guó)際組織都開(kāi)展了自己的研究，并就相關(guān)課題發(fā)表了重要的研究論文。這些項(xiàng)目改變了金融世界。中國(guó)政府于 2019 年 10 月 24 日發(fā)布指令，鼓勵(lì)中國(guó)機(jī)構(gòu)開(kāi)展和研究區(qū)塊鏈項(xiàng)目，中國(guó)人民銀行也表示近期將發(fā)行數(shù)字人民幣。英國(guó)央行和其他央行也進(jìn)行了研究，研究結(jié)

3、果表明未來(lái)的金融基礎(chǔ)設(shè)施將基于區(qū)塊鏈技術(shù)進(jìn)行研發(fā)。例如，英格蘭銀行(Bank of England,英國(guó)央行)在 2016 年和 2017 年發(fā)布了實(shí)時(shí)全額結(jié)算（RTGS, Real-Time Gross Settlement）的藍(lán)圖，并與加拿大銀行和新加坡金融管理局（Monetary Authority of Singapore）一起發(fā)布了一個(gè)可以支持 7*24 服務(wù)的跨境支付系統(tǒng)?，F(xiàn)在幾乎所有金融系統(tǒng)包括 CSD（Central Security Depository 中央證券投管系統(tǒng)），支付系統(tǒng)，清算系統(tǒng)都可以使用區(qū)塊鏈解決。例如基于區(qū)塊鏈的支付系統(tǒng)在 2008 年就出現(xiàn)，基于區(qū)塊鏈的商

4、品交易清算在中國(guó) 2017 年也實(shí)驗(yàn)成功。加拿大央行以及歐洲央行（ECB, European Central Bank）、日本央行等其他央行對(duì)各種區(qū)塊鏈項(xiàng)目進(jìn)行了廣泛的實(shí)驗(yàn)，他們都使用金融市場(chǎng)基礎(chǔ)設(shè)施原則（PFMI, Principles of Financial Market Infrastructure 金融市場(chǎng)基礎(chǔ)設(shè)施原則）來(lái)評(píng)估這些項(xiàng)目。這些項(xiàng)目為下一代受監(jiān)管區(qū)塊鏈的發(fā)展帶來(lái)了重大的新曙光。與此同時(shí)，美國(guó)證券交易委員會(huì)（SEC）、美國(guó)商品期貨交易委員會(huì)（CFTC）等監(jiān)管機(jī)構(gòu)開(kāi)始了對(duì)加密貨幣的監(jiān)管，甚至中國(guó)也從上海開(kāi)始對(duì)區(qū)塊鏈項(xiàng)目進(jìn)行了重大的監(jiān)管審查，換言之，在政府鼓勵(lì)區(qū)塊鏈項(xiàng)目發(fā)展的同

5、時(shí)，也開(kāi)始對(duì)區(qū)塊鏈項(xiàng)目和相關(guān)企業(yè)實(shí)施監(jiān)管。隨著各國(guó)央行和商業(yè)銀行開(kāi)始自己的穩(wěn)定幣項(xiàng)目，許多問(wèn)題隨之提出：對(duì)于這些受監(jiān)管的區(qū)塊鏈項(xiàng)目，區(qū)塊鏈架構(gòu)和設(shè)計(jì)應(yīng)該是什么？這些新區(qū)塊鏈項(xiàng)目的一個(gè)關(guān)鍵特征是，它們將受到監(jiān)管，并支持各種合規(guī)檢查。這些區(qū)塊鏈項(xiàng)目的基礎(chǔ)設(shè)施是什么？這些區(qū)塊鏈項(xiàng)目及其基礎(chǔ)設(shè)施需要什么？區(qū)塊鏈?zhǔn)窍乱淮ヂ?lián)網(wǎng)區(qū)塊鏈?zhǔn)窍乱淮ヂ?lián)網(wǎng)這一思想在 2015 年前就有了。 例如以太坊就認(rèn)為他們的系統(tǒng)是網(wǎng)絡(luò)操作系統(tǒng)，后來(lái) IBM 也認(rèn)為超級(jí)賬本是網(wǎng)絡(luò)操作系統(tǒng)。2016-2017 年出現(xiàn)機(jī)構(gòu)區(qū)塊鏈互聯(lián)網(wǎng)模型（互鏈網(wǎng)），例如 Cosmos（宇宙）、Polkadot、 熊貓模型、金絲猴模型、衛(wèi)星模型(日

6、本 NEC 的 Satellite 系統(tǒng))，后來(lái)又出現(xiàn)許多區(qū)塊鏈模型，例如以太坊 2.0 都有類似概念。同時(shí)間許多跨鏈技術(shù)也出現(xiàn)，這些跨鏈技術(shù)(Inter-Chain technologies)，連接兩個(gè)或是多個(gè)區(qū)塊鏈系統(tǒng)，有的時(shí)候這些鏈有主副的關(guān)系（例如 Side Chain），有的是并行關(guān)系。但是這些模型幾乎都是建立在現(xiàn)在的互聯(lián)網(wǎng)上，事實(shí)上這些“區(qū)塊鏈互聯(lián)網(wǎng)”或是網(wǎng)絡(luò)操作系統(tǒng)還是應(yīng)用，不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施。例如比特幣系統(tǒng)、以太坊系統(tǒng)、超級(jí)賬本系統(tǒng)都是這樣。這些“區(qū)塊鏈操作系統(tǒng)”概念和傳統(tǒng)操作系統(tǒng)概念相反，傳統(tǒng)操作系統(tǒng)是計(jì)算機(jī)底層技術(shù)，而區(qū)塊鏈或是相關(guān)名詞例如區(qū)塊鏈互聯(lián)網(wǎng)、傳統(tǒng)區(qū)塊鏈操作系統(tǒng)，都

7、是運(yùn)行在互聯(lián)網(wǎng)和傳統(tǒng)操作系統(tǒng)上的應(yīng)用，而不是真實(shí)操作系統(tǒng)，也不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施?，F(xiàn)在區(qū)塊鏈技術(shù)軟件，運(yùn)行在互聯(lián)網(wǎng)和傳統(tǒng)操作系統(tǒng)上面，圖片來(lái)自以太坊架構(gòu)圖下圖顯示現(xiàn)在區(qū)塊鏈軟件完全運(yùn)行在 OSI 網(wǎng)絡(luò)標(biāo)準(zhǔn)上應(yīng)用層，是最高的一層，代表現(xiàn)在區(qū)塊鏈或是網(wǎng)絡(luò)操作系統(tǒng)，都是應(yīng)用而不是操作系統(tǒng)，也更不是網(wǎng)絡(luò)。傳統(tǒng)區(qū)塊鏈操作系統(tǒng)架構(gòu)圖，圖片來(lái)自惠普公司這樣的區(qū)塊鏈體系像在沙灘上蓋大樓，因?yàn)楝F(xiàn)在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施不夠安全。網(wǎng)絡(luò)攻擊事件一直在發(fā)生，信息流失或是數(shù)據(jù)被惡意篡改都是經(jīng)常發(fā)生的事件。隱私性也差，任何人只要有 IP 地址，就可以發(fā)電子郵件?，F(xiàn)在操作系統(tǒng)也不夠安全，許多重要應(yīng)用都硬化現(xiàn)有的操作系統(tǒng)來(lái)保護(hù)應(yīng)用。例如

8、許多國(guó)家的國(guó)防部都使用可信（硬化）操作系統(tǒng)。但是在商業(yè)界還是使用通用操作系統(tǒng)例如 Linux 系統(tǒng)。所以幾乎所有的區(qū)塊鏈應(yīng)用都運(yùn)行在不夠安全的操作系統(tǒng)和網(wǎng)絡(luò)上?？墒窃S多區(qū)塊鏈應(yīng)用都是和金融有關(guān)，為了安全許多銀行還使用專網(wǎng)，而且建立一個(gè)完全封閉計(jì)算環(huán)境來(lái)保護(hù)銀行系統(tǒng)，但是不是每個(gè)機(jī)構(gòu)都可以提供這樣的計(jì)算環(huán)境。以后會(huì)是鏈滿天下，這問(wèn)題會(huì)非常嚴(yán)重。我們團(tuán)隊(duì)做過(guò)多次實(shí)驗(yàn)，發(fā)現(xiàn)如果需要區(qū)塊鏈高速運(yùn)行，90%服務(wù)器和網(wǎng)絡(luò)都被區(qū)塊鏈占用。這代表區(qū)塊鏈應(yīng)用只能使用 10%計(jì)算力，例如金融交易，回復(fù)客戶的請(qǐng)求，進(jìn)行智能合約計(jì)算。這表示現(xiàn)在服務(wù)器和網(wǎng)絡(luò)不是為區(qū)塊鏈設(shè)計(jì)的，而區(qū)塊鏈最頻繁的作業(yè)就是加解密和共識(shí)機(jī)制。

9、互鏈網(wǎng)設(shè)計(jì)原則 1：解決互鏈網(wǎng)的第一個(gè)原則，就是用硬件處理加解密功能，而且因?yàn)槠渌麉^(qū)塊鏈的機(jī)制都需要使用加解密機(jī)制，所以這機(jī)制需要放在操作系統(tǒng)底層?，F(xiàn)在區(qū)塊鏈系統(tǒng)就是個(gè)“小飛象”（Dumbo）模型，可以飛，但是高體重。這樣模型以后必定有大風(fēng)險(xiǎn)會(huì)出問(wèn)題，就像高樓建立在沙灘上，風(fēng)來(lái)了，雨來(lái)了，必定倒塌。這情形如果不改進(jìn)“所以凡聽(tīng)見(jiàn)我這話就去行的，好比一個(gè)聰明人，把房子蓋在磐石上。雨淋，水沖，風(fēng)吹，撞著那房子，房子總不倒塌，因?yàn)楦⒃谂褪?。凡?tīng)見(jiàn)我這話不去行的，好比一個(gè)無(wú)知的人，把房子蓋在沙土上。雨淋，水沖，風(fēng)吹，撞著那房子，房子就倒塌了，并且倒塌得很嚴(yán)重?！卑踩捅Ｗo(hù)隱私是互鏈網(wǎng)第一原則在互鏈

10、網(wǎng)上，安全和隱私是第一優(yōu)先。在麻省理工學(xué)院在 2012 年已經(jīng)提出以安全和隱私保護(hù)第一優(yōu)先的計(jì)算平臺(tái)，來(lái)建立數(shù)字社會(huì)（digital society）， 并且提出飛鷹身份證原則 Windhover Principle。最近還有其他類似新思想出來(lái),例如 Sovrin Framework。 2019 年，美國(guó)科技預(yù)言家吉爾德(George Gilder)發(fā)布文章推薦三個(gè)新型區(qū)塊鏈設(shè)計(jì)特性：加密網(wǎng)絡(luò)（crypto networks），安全(security)機(jī)制，和數(shù)字身份證(identity)。例如在節(jié)點(diǎn)里面使用硬件來(lái)保護(hù)系統(tǒng)，而且錢包也使用硬件。這系統(tǒng)沒(méi)有挖礦機(jī)制，有高速共識(shí)機(jī)制，用戶擁有自己數(shù)

11、據(jù)的所有權(quán)力，沒(méi)有得到用戶的允許，沒(méi)有人或是單位可以看到這數(shù)據(jù)。許多國(guó)家包括歐盟對(duì)隱私保護(hù)非常重視，歐盟為這還特別立法 GDPR （General Data Protection Regulation 通用數(shù)據(jù)保護(hù)條例），這表示歐盟對(duì)這方向不會(huì)輕易改變，將來(lái)還會(huì)繼續(xù)加強(qiáng)力度。一個(gè)重要的隱私保護(hù)科技就是數(shù)字身份證。數(shù)字身份證需要新型保障機(jī)制，而且是客戶擁有自己數(shù)據(jù)的控制權(quán)，不是系統(tǒng)，例如大數(shù)據(jù)平臺(tái),也不是服務(wù)供應(yīng)商，例如谷歌擁有這控制權(quán)。系統(tǒng)和服務(wù)商只能提供服務(wù)，對(duì)這些隱私的數(shù)據(jù)沒(méi)有其它權(quán)利。我們可以身份證的管理方式分類為：中心化處理：這是現(xiàn)在大部分政府治理模型，由政府發(fā)證，老百姓使用政府發(fā)的證

12、來(lái)注冊(cè)、交易、上學(xué)、就醫(yī)、公證。聯(lián)邦制處理：這是中心化的延伸，由一群組織來(lái)管理身份證，避免中心單位作弊，例如拿身份證信息領(lǐng)取在銀行的資金。用戶管理： 身份證由個(gè)人擁有， 而不是由政府單位控制。Augmented Social Network 在 2000 年提出擁有身份證機(jī)制的下一代互聯(lián)網(wǎng)。他們建議在互聯(lián)網(wǎng)上建立一個(gè)永久的身份證系統(tǒng) Identity Common。但是這種方式一直有技術(shù)難點(diǎn)，例如一個(gè)用戶注冊(cè)的時(shí)候，使用的當(dāng)?shù)叵到y(tǒng)就可能可以作弊，使這機(jī)制難管控。用戶自主管控：發(fā)現(xiàn)用戶管理方式的問(wèn)題后，Patrick Deegan 在 Open Mustard Seed 項(xiàng)目就提出自我主權(quán)身份證

13、（Self-Sovereign Identity），也就是飛鷹身份證原則。在數(shù)據(jù)保護(hù)方面，可以有的選擇是：不存關(guān)鍵數(shù)據(jù)：系統(tǒng)不存關(guān)鍵信息，例如私鑰，這樣設(shè)計(jì)可能是最安全的，因?yàn)橄到y(tǒng)沒(méi)有數(shù)據(jù)需要保護(hù)，例如 Sorvin 項(xiàng)目就是采取這樣設(shè)計(jì)。但是系統(tǒng)操作性就比較差，因?yàn)橄到y(tǒng)如果需要處理信息，每次都需要要求數(shù)字身份證，但是在請(qǐng)求協(xié)議中，也可能遭到攻擊。存儲(chǔ)加密信息：在系統(tǒng)里面，關(guān)鍵信息都加密。這樣系統(tǒng)安全性也高，因?yàn)橄到y(tǒng)自己也不知道信息。每次客戶使用公鑰來(lái)讀、寫、傳送加密信息。為了要維持安全性，系統(tǒng)每隔一段時(shí)間需要換私鑰。系統(tǒng)存明文信息：這是傳統(tǒng)做法，部分操作系統(tǒng)例如內(nèi)核是可以相信的，只有內(nèi)核可以

14、出來(lái)保密信息，而且許多作業(yè)都由硬件處理，由硬件來(lái)保護(hù)。這是現(xiàn)在傳統(tǒng)可信操作系統(tǒng)的設(shè)計(jì)。互鏈網(wǎng)設(shè)計(jì)原則 2：為解決互鏈網(wǎng)安全問(wèn)題，在操作系統(tǒng)關(guān)鍵信息只有 2 個(gè)選擇：1）不存在操作系統(tǒng)里面，每次需要由安全協(xié)議取得；2）存在操作系統(tǒng)關(guān)鍵數(shù)據(jù)完全加密，由操作系統(tǒng)硬件和軟件處理保護(hù)，因?yàn)閿?shù)據(jù)加密，操作系統(tǒng)不知道信息內(nèi)容。在互鏈網(wǎng)設(shè)計(jì)上，能夠使用硬件的地方盡量使用硬件。一是硬件執(zhí)行速度快，二是硬件可以提供安全保護(hù)機(jī)制，三是硬件控制系統(tǒng)已經(jīng)固化，很難更改，即使系統(tǒng)已經(jīng)被攻擊而影響到部分功能，但是由于重要組成系統(tǒng)使用硬件執(zhí)行，系統(tǒng)仍然可以繼續(xù)執(zhí)行正確的指令，不會(huì)繼續(xù)破壞其他部分的系統(tǒng)。以處理器安全為核心的硬

15、件安全技術(shù)競(jìng)相發(fā)展, 應(yīng)用廣泛的主流技術(shù)包括虛擬化技術(shù)如 Intel VT (Virtualization Technology) 與 AMD SVM(AMD Secure Virtual Machine) 技術(shù)、基于可信平臺(tái)模塊(Trusted Platform Module, 簡(jiǎn)稱 TPM)的可信計(jì)算技術(shù)如 Intel TXT (Intel Trusted Execution Technology)、嵌入式平臺(tái) ARM TrustZone 安全擴(kuò)展等。其中虛擬化技術(shù)基于特權(quán)軟件 Hypervisor 對(duì)系統(tǒng)資源進(jìn)行分配與監(jiān)控, 提升了資源利用率, 但 Hypervisor 潛在的軟件漏洞可

16、能威脅到整個(gè)系統(tǒng)；基于 TPM 的可信架構(gòu)在程序加載時(shí)進(jìn)行完整性度量, 卻難以保障程序運(yùn)行時(shí)的可信執(zhí)行； TrustZone 為程序提供了兩種隔離的執(zhí)行環(huán)境, 但需要硬件廠商的簽名驗(yàn)證才能運(yùn)行在安全執(zhí)行環(huán)境。2013 年, Intel 推出 SGX (Software Guard Extensions)指令集擴(kuò)展, 提供強(qiáng)制性硬件安全保障機(jī)制, 不依賴于固件和軟件的安全狀態(tài), 并且提供用戶空間的可信執(zhí)行環(huán)境, 通過(guò)一組新的指令集擴(kuò)展與訪問(wèn)控制機(jī)制, 實(shí)現(xiàn)不同程序間的隔離運(yùn)行, 保障用戶關(guān)鍵代碼和數(shù)據(jù)的機(jī)密性與完整性不受惡意軟件的破壞。不同于其他安全技術(shù), SGX 的可信計(jì)算基 (Trusted

17、 Computing Base, 簡(jiǎn)稱 TCB)僅包括硬件, 避免了基于軟件的 TCB 自身存在軟件安全漏洞與威脅的缺陷, 提升了系統(tǒng)安全保障。此外, SGX 保障運(yùn)行時(shí)的可信執(zhí)行環(huán)境,惡意代碼無(wú)法訪問(wèn)與篡改其他程序運(yùn)行時(shí)的保護(hù)內(nèi)容, 進(jìn)一步增強(qiáng)了系統(tǒng)的安全性?；谥噶罴臄U(kuò)展與獨(dú)立的認(rèn)證方式, 使得應(yīng)用程序可以靈活調(diào)用這一安全功能并進(jìn)行驗(yàn)證。 Intel 在其最新的第六代 CPU 中加入了對(duì) SGX 的支持，因此不論是底層操作系統(tǒng)或是高層應(yīng)用系統(tǒng)都可以使用這硬件安全保障機(jī)制，來(lái)隔離不同用戶以及不同種類的數(shù)據(jù)。保護(hù)隱私和監(jiān)管機(jī)制需要并存正如互聯(lián)網(wǎng)不是法外之地，區(qū)塊鏈和互鏈網(wǎng)也不是法外之地。如果

18、區(qū)塊鏈只是一個(gè)應(yīng)用，犯罪證據(jù)還是可以在政府監(jiān)管之外。因?yàn)楝F(xiàn)在賬戶是存在應(yīng)用層，不是在底層處理，如果應(yīng)用層出事，這交易就沒(méi)有記錄。所有交易必須經(jīng)過(guò)操作系統(tǒng)底層才能保證交易的完整性和合規(guī)性。第一代（比特幣）和第 2 代區(qū)塊鏈（以太坊）的設(shè)計(jì)還是為了逃避監(jiān)管。加拿大央行在2017 年區(qū)塊鏈實(shí)驗(yàn)報(bào)告指出，央行需要獲得全部交易數(shù)據(jù)才能達(dá)到國(guó)家監(jiān)管的需要。因?yàn)檫@些系統(tǒng)不可靠，而且難監(jiān)管。以后的區(qū)塊鏈不但需要可以監(jiān)管，而且還要主動(dòng)支持監(jiān)管6。這兩思想不同：可以監(jiān)管代表系統(tǒng)設(shè)計(jì)完后，監(jiān)管機(jī)制可以后來(lái)加上。逃避監(jiān)管的鏈就是無(wú)法加上有效的監(jiān)管機(jī)制，這是現(xiàn)在監(jiān)管單位對(duì)數(shù)字代幣遇到的困難。這些網(wǎng)絡(luò)系統(tǒng)已經(jīng)大量部署，而

19、且在許多國(guó)家運(yùn)行，運(yùn)行時(shí)也不受任何國(guó)家管制。在這種情形下，只能用間接方式來(lái)監(jiān)管，例如監(jiān)管交易平臺(tái)（例如使用 KYC 和 AML 機(jī)制），或是控制銀行和交易所的管道；支持監(jiān)管的系統(tǒng)是在設(shè)計(jì)的時(shí)候，就將監(jiān)管機(jī)制放進(jìn)系統(tǒng)里面，保證相關(guān)交易都可以被監(jiān)管到。這里我們提出將監(jiān)管機(jī)制放進(jìn)操作系統(tǒng)包括底層內(nèi)核(kernel)，因?yàn)橹挥性诓僮飨到y(tǒng)，所有相關(guān)監(jiān)管的交易都可以被追蹤到，因?yàn)樗袌?zhí)行都必須通過(guò)操作系統(tǒng)。如果把監(jiān)管機(jī)制放在應(yīng)用層，例如“小飛象”模型這樣的設(shè)計(jì)，監(jiān)管機(jī)制可能不能到位。在這以前，所有監(jiān)管機(jī)制都是放在系統(tǒng)應(yīng)用層，例如在大數(shù)據(jù)平臺(tái)上?；ユ溇W(wǎng)設(shè)計(jì)原則 3：因?yàn)樾枰獙?duì)所有交易監(jiān)管，所有賬戶和交易信息

20、作業(yè)需要在操作系統(tǒng)內(nèi)執(zhí)行，而且部分作業(yè)由硬件處理，保護(hù)隱私，并且增加速度。因?yàn)閰^(qū)塊鏈?zhǔn)且粋€(gè)分布式數(shù)據(jù)系統(tǒng)，這樣操作系統(tǒng)就可能成為“操作數(shù)據(jù)庫(kù)系統(tǒng)”，不再只是操作系統(tǒng)。而傳統(tǒng)數(shù)據(jù)庫(kù)還是可以在操作系統(tǒng)上運(yùn)行。只有和賬戶和交易相關(guān)作業(yè)在內(nèi)核執(zhí)行。這是“可監(jiān)管操作系統(tǒng)”的設(shè)計(jì)原則。有了這樣的機(jī)制，所有交易可以監(jiān)管。例如有筆交易在同一操作系統(tǒng)完成，操作系統(tǒng)會(huì)發(fā)現(xiàn)這個(gè)作業(yè)需要接觸到賬戶信息，于是交易進(jìn)程（transaction processes）和監(jiān)管進(jìn)程 (regulation processes)就會(huì)被自動(dòng)啟動(dòng)，而這兩個(gè)進(jìn)程，都是在操作系統(tǒng)，許多交易還由硬件控制，這樣賬戶信息就可以被改變。在這里會(huì)有

21、 3 個(gè)數(shù)據(jù)結(jié)構(gòu)會(huì)更改信息：用戶賬戶數(shù)據(jù)：交易雙方賬戶信息可以增加，但是舊數(shù)據(jù)不能被更改；用戶交易數(shù)據(jù)；交易信息可以增加，但是舊數(shù)據(jù)不能被更改；監(jiān)管數(shù)據(jù)：監(jiān)管數(shù)據(jù)可以增加，但是舊數(shù)據(jù)不能被更改。這種結(jié)構(gòu)是為現(xiàn)代化金融交易平臺(tái)設(shè)計(jì)的?，F(xiàn)在的金融交易，賬戶信息和交易信息是分開(kāi)存儲(chǔ)和處理（以至于需要結(jié)算和清算兩個(gè)流程）。但是在傳統(tǒng)數(shù)字代幣上，這兩個(gè)數(shù)據(jù)結(jié)構(gòu)是被綁在一起的，交易結(jié)算和清算一步到位，但是這會(huì)造成擴(kuò)展性難，而且監(jiān)管困難，因?yàn)榻Y(jié)算的時(shí)候賬戶內(nèi)的資金就已經(jīng)轉(zhuǎn)移。在熊貓區(qū)塊鏈模型和英國(guó) USC (UtilitySettlement Coins)平臺(tái)設(shè)計(jì)上，賬戶信息和交易信息再次分開(kāi)。這樣交易需要

22、兩步才能到位，但是系統(tǒng)可以無(wú)限擴(kuò)展，而且監(jiān)管機(jī)制可以有多種機(jī)制來(lái)監(jiān)管。在交易前可以確認(rèn)資產(chǎn)的真實(shí)性以及合法性（例如不是洗錢），交易的時(shí)候可以保證沒(méi)有作弊，交易后在清算前可以回滾和再度確認(rèn)交易。傳統(tǒng)反洗錢的機(jī)制也可以在這樣的平臺(tái)上進(jìn)行。我們的做法就是以系統(tǒng)架構(gòu)來(lái)解決傳統(tǒng)區(qū)塊鏈難擴(kuò)展和監(jiān)管的問(wèn)題，這和傳統(tǒng)做法不同。賬戶信息可以用并行分片機(jī)制來(lái)擴(kuò)展，交易信息可以用增加交易媒介來(lái)擴(kuò)展，而因?yàn)榻灰仔枰獌刹讲诺轿?，監(jiān)管機(jī)制可以強(qiáng)大許多。操作系統(tǒng)如果發(fā)現(xiàn)在一筆交易上，一個(gè)用戶使用可監(jiān)管的賬戶，但是另外一個(gè)用戶不使用可監(jiān)管的賬戶，操作系統(tǒng)內(nèi)核就會(huì)停止這筆交易，并且上傳這次不合規(guī)交易的信息給監(jiān)管單位?；ユ溇W(wǎng)設(shè)計(jì)

23、原則 4：操作系統(tǒng)負(fù)責(zé)追蹤交易數(shù)據(jù)，保證交易合規(guī)，信息正確，交易信息會(huì)記錄在區(qū)塊鏈上。因?yàn)樾枰獙?duì)所有交易監(jiān)管，所有賬戶和交易信息作業(yè)都需要在操作系統(tǒng)內(nèi)執(zhí)行，而且部分作業(yè)是由硬件處理，可以保護(hù)隱私和增加速度。因?yàn)閰^(qū)塊鏈?zhǔn)且粋€(gè)分布式數(shù)據(jù)系統(tǒng)， 這樣傳統(tǒng)操作系統(tǒng)成為“ 操作數(shù)據(jù)庫(kù)系統(tǒng)”(Operating Database Systems ODBS)，不再只是操作系統(tǒng)(Operating Systems)。而傳統(tǒng)數(shù)據(jù)庫(kù)還是可以在操作系統(tǒng)上運(yùn)行。只有和賬戶和交易相關(guān)作業(yè)在“操作數(shù)據(jù)庫(kù)系統(tǒng)”內(nèi)運(yùn)行。這是“可監(jiān)管操作系統(tǒng)”的設(shè)計(jì)原則。如果這次交易，是和另外一個(gè)賬戶在另外一個(gè)服務(wù)器，這兩個(gè)服務(wù)器，將通過(guò)安全

24、協(xié)議，有內(nèi)核 A 和內(nèi)核 B，內(nèi)核 A 使用自己的身份證和內(nèi)核 B 的身份證，通過(guò)檢驗(yàn)，內(nèi)核 A 保證來(lái)自 A 的信息是屬于真實(shí)的； 同樣內(nèi)核 B 保證來(lái)自內(nèi)核 B 的信息是真實(shí)的。雙方也可以通過(guò)第三方認(rèn)證后，才開(kāi)始交易，而且交易也存在區(qū)塊鏈上，保證安全，以后如果出事，作弊方可以很容易被查出來(lái)?；ユ溇W(wǎng)設(shè)計(jì)原則 5：如果參與一筆交易來(lái)自不同服務(wù)器和操作系統(tǒng)，這兩個(gè)操作系統(tǒng)需要通過(guò)安全協(xié)議，建立交互管道，并且各自保證信息真實(shí)。如果出錯(cuò)，出錯(cuò)方需要承擔(dān)賠償。我們正在設(shè)計(jì)操作系統(tǒng)來(lái)支持區(qū)塊鏈，但是這系統(tǒng)設(shè)計(jì)就需要使用區(qū)塊鏈。如何進(jìn)行？這其實(shí)是計(jì)算機(jī)常用的原則。例如 C 語(yǔ)言的翻譯器就是用 C 語(yǔ)言寫的

25、，問(wèn)題是哪里拿到第一個(gè) C 翻譯器？因?yàn)榈谝粋€(gè)操作系統(tǒng)使用的區(qū)塊鏈可能是外來(lái)的。等到系統(tǒng)完成后，區(qū)塊鏈系統(tǒng)也建立了，這系統(tǒng)就可以給內(nèi)核使用，第一個(gè)外來(lái)區(qū)塊鏈系統(tǒng)就不需要了。新型操作系統(tǒng)支持區(qū)塊鏈作業(yè)這種“操作數(shù)據(jù)庫(kù)系統(tǒng)”和傳統(tǒng)操作系統(tǒng)設(shè)計(jì)大不相同，計(jì)算機(jī)體系會(huì)有變化，而且需要長(zhǎng)時(shí)間的開(kāi)發(fā)才能做出。在不久的將來(lái)，我們需要先走出第一步，就是更新現(xiàn)在的操作系統(tǒng)。等這步完成后，再做第二步。區(qū)塊鏈提供兩個(gè)重要服務(wù)：加解密和共識(shí)機(jī)制。現(xiàn)在我們已經(jīng)討論操作系統(tǒng)內(nèi)核放加解密加速器，還有加監(jiān)管數(shù)據(jù)庫(kù)，還缺共識(shí)機(jī)制。各式各樣的區(qū)塊鏈?zhǔn)褂貌煌沧R(shí)機(jī)制，但是基本上都需要通訊和加解密，再來(lái)就是高速緩存機(jī)制和容錯(cuò)機(jī)制。這

26、些都可以加入在最近內(nèi)核的外層。為什么這需要在最近內(nèi)核的外層，因?yàn)榇蟛糠謪^(qū)塊鏈應(yīng)用都需要共識(shí)，而共識(shí)需要加解密。而通訊和緩存機(jī)制都是傳統(tǒng)系統(tǒng)里面通用的組件，這里就不再討論。整個(gè)新操作系統(tǒng)框架就出來(lái)了。新型操作系統(tǒng)架構(gòu)新型操作系統(tǒng)架構(gòu)是根據(jù) Linux 版改進(jìn)的。如果需要重新建立一個(gè)操作系統(tǒng)，這恐怕需要 3 年的時(shí)間，所以我們認(rèn)為在現(xiàn)有操作系統(tǒng)上進(jìn)行改造是目前最優(yōu)方案。目前我們已研發(fā)出具有自主知識(shí)產(chǎn)權(quán)的區(qū)塊鏈操作系統(tǒng)一些關(guān)鍵技術(shù)，在 Linux 內(nèi)核的基礎(chǔ)上增加了一層共識(shí)層，該層主要由文件系統(tǒng)加解密，網(wǎng)絡(luò)傳輸加解密以及共識(shí)協(xié)議等服務(wù)組成，為上層應(yīng)用提供加解密和共識(shí)協(xié)議接口。表1：傳統(tǒng)系統(tǒng)與新型系統(tǒng)

27、對(duì)比表傳統(tǒng)系統(tǒng)新型系統(tǒng)計(jì)算力為優(yōu)先安全隱私為優(yōu)先進(jìn)程管理，I/O、文件系統(tǒng)為底層支持傳統(tǒng)底層加上區(qū)塊鏈功能例如共識(shí)、加解密、監(jiān)管機(jī)制兼容各樣傳統(tǒng)系統(tǒng)新系統(tǒng)不但自己兼容，也要兼容各樣傳統(tǒng)系統(tǒng)不考慮金融監(jiān)管機(jī)制監(jiān)管機(jī)制會(huì)是底層功能互鏈網(wǎng)網(wǎng)絡(luò)模型在應(yīng)用層，互鏈網(wǎng)也需要鏈接許多各式各樣的鏈，成為一個(gè)鏈網(wǎng)。單身鏈網(wǎng)需要什么原則？首先參與的鏈需要具備下面的特性：高性能（High-performance）：高吞吐量，低延遲安全和隱私性（Security and Privacy）可擴(kuò)展性（Scalability）容錯(cuò)性(Fault-tolerance)有參與鏈的通性，但是一個(gè)鏈網(wǎng)還需要下面的特性：多鏈?zhǔn)郊軜?gòu)（

28、Multi-chain structure）：異構(gòu)網(wǎng)絡(luò)是由多條不同類型的并行的鏈所構(gòu)成的；同質(zhì)網(wǎng)絡(luò)是由一群相同類型的并行的鏈所構(gòu)成的。最大的不同是一個(gè)多鏈?zhǔn)郊軜?gòu)，而不是一個(gè)單鏈?zhǔn)郊軜?gòu)?；ネㄐ裕↖nteroperability）：在異構(gòu)網(wǎng)絡(luò)上，每一對(duì)不同的鏈都需要有互通的協(xié)議。假設(shè)，我們有 100 種鏈參加鏈網(wǎng)，則需要 100 9924950 種互通協(xié)議?？梢?jiàn)這種互通性的協(xié)議需要大量的工作?？裳由煨裕‥xtensibility）：鏈網(wǎng)可以無(wú)限延伸擴(kuò)大。因?yàn)椋粋€(gè)鏈網(wǎng)可以像互聯(lián)網(wǎng)一樣，隨時(shí)的、無(wú)限制的到處延伸，可以有幾千、幾億、幾兆的網(wǎng)絡(luò)、網(wǎng)民參加?？筛男裕∕odifiability）：在互聯(lián)網(wǎng)

29、上面，任何的機(jī)構(gòu)和個(gè)人可以隨時(shí)的加入、離開(kāi)，但是整個(gè)互聯(lián)網(wǎng)的架構(gòu)并不改變。所以，鏈網(wǎng)也可以讓任何機(jī)構(gòu)或個(gè)人隨時(shí)加入或離開(kāi)，但是區(qū)塊鏈架構(gòu)不能改變，鏈網(wǎng)的架構(gòu)也不能改變?？蓮?fù)制性（Duplicability）：每個(gè)鏈可以很快的復(fù)制。如果鏈的復(fù)制很慢，鏈網(wǎng)需要很長(zhǎng)的時(shí)間才能搭建起來(lái)，高可復(fù)制性可以迅速的搭建鏈網(wǎng)?？晒芾硇?、非對(duì)稱結(jié)構(gòu)(Asymmetric structure) ：鏈網(wǎng)必須具有可管理性。正因?yàn)楣芾頇C(jī)制的存在，鏈網(wǎng)具有非對(duì)稱結(jié)構(gòu)。有些節(jié)點(diǎn)或鏈會(huì)比其他的節(jié)點(diǎn)或鏈更加重要，并擁有非對(duì)稱的信息，例如監(jiān)管機(jī)構(gòu)、域名服務(wù)商、控制節(jié)點(diǎn)等。層次性(Hierarchical structure) ：成

30、為一個(gè)大型網(wǎng)絡(luò)，鏈網(wǎng)必須具有層次性，高層次的鏈和節(jié)點(diǎn)具有不對(duì)稱的權(quán)利。一致性(Consistency)：每一條鏈都必須有自己的一致性，鏈與鏈之間也要有一致性的協(xié)議。高可靠性(Integrity)：鏈網(wǎng)既然是一個(gè)價(jià)值網(wǎng)絡(luò)，就必須具有高可靠性。完備性(Integrity)：每一條鏈與每一條鏈的共識(shí)機(jī)制及消息的來(lái)源與可靠性是不一樣的，因此不同的鏈的完備性是不一樣的。低完備性的鏈不可以輸送數(shù)據(jù)到高完備性的鏈，而高完備性的鏈可以輸送數(shù)據(jù)到低完備性的鏈，這是根據(jù) Biba 模型。如果高完備鏈?zhǔn)樟说屯陚滏湹臄?shù)據(jù)，高完備鏈的數(shù)據(jù)就會(huì)被污染（contaminate）。動(dòng)態(tài)的鏈網(wǎng)完備性我們可以在鏈網(wǎng)上使用傳統(tǒng)的完

31、備性所用的 Clark & Wilson 和 Biba 模型，但是我們需要考慮下面的因素：區(qū)塊鏈完備性數(shù)據(jù)庫(kù)完備性：因?yàn)閰^(qū)塊鏈有拜占庭將軍協(xié)議以及加密的機(jī)制，所以勝過(guò)于數(shù)據(jù)庫(kù)的事物一致性協(xié)議。所以區(qū)塊鏈的完備性勝過(guò)于數(shù)據(jù)庫(kù)的完備性。拜占庭鏈完備性 數(shù)據(jù)庫(kù)一致性鏈完備性：一條鏈如果使用了拜占庭將軍容錯(cuò)機(jī)制，其完備性就勝過(guò)于另一條使用了數(shù)據(jù)庫(kù)事物一致性的鏈的完備性。央行完備性 銀行完備性交易所完備性：這是由鏈的參與單位來(lái)決定鏈的完備性，參與單位的重要性決定了其完備性需求。例如，一個(gè)國(guó)家通常只有一個(gè)央行， 卻有多個(gè)商業(yè)銀行， 并可能有上千個(gè)交易所。而央行可以監(jiān)管商業(yè)銀行，商業(yè)銀行可以監(jiān)管交易所。完備

32、性和節(jié)點(diǎn)數(shù)目、歷史有關(guān)：參與投票的節(jié)點(diǎn)越多，完備性會(huì)更高。過(guò)去有強(qiáng)完備性歷史的鏈網(wǎng)，可能會(huì)持續(xù)保持其強(qiáng)完備性。動(dòng)態(tài)追蹤完備性、動(dòng)態(tài)鏈分類：每個(gè)鏈的完備性可以被動(dòng)態(tài)追蹤。兩條鏈互通時(shí)，可以查閱彼此的完備性。如果高完備性的鏈必須接受低完備性的數(shù)據(jù)，低完備性的數(shù)據(jù)必須經(jīng)過(guò)人工或自動(dòng)驗(yàn)證，才能夠被收入高完備鏈中，并且該數(shù)據(jù)可能會(huì)被歸類為不可靠。數(shù)據(jù)分類 (Data classification)：數(shù)據(jù)來(lái)源的完備性可以被分類，例如某個(gè)交易所的數(shù)據(jù)來(lái)源，可能比另一個(gè)交易所的數(shù)據(jù)來(lái)源完備性高，因?yàn)榍罢叩臍v史完備性好。異構(gòu)網(wǎng)絡(luò)的分析一般來(lái)說(shuō)，現(xiàn)在的鏈網(wǎng)只考慮到了互通性，而沒(méi)有考慮到完備性。所有鏈網(wǎng)需要維持三個(gè)

33、一致性：每條鏈（參與鏈或中間鏈)需要維持自己的一致性；中間鏈需要和每一條參與鏈維持它們之間的一致性；一條跨鏈交易需要由多條參與鏈以及中間鏈來(lái)維持。如今許多條鏈都因?yàn)楣沧R(shí)算法的復(fù)雜，需要很多時(shí)間和計(jì)算力，而無(wú)法提高效率。所以，如果要維持上面三條鏈一致性，那么這樣的鏈網(wǎng)的效率就更低了。有些模型就不在乎中間鏈的一致性，但是這樣的鏈網(wǎng)模型一致性就會(huì)出問(wèn)題。因?yàn)槊織l鏈與每條鏈之間，都必須用動(dòng)態(tài)來(lái)維持，而且第一個(gè)一致性必須與第二個(gè)一致性是有關(guān)聯(lián)的，所以在做第二個(gè)一致性的時(shí)候，必須考慮第一個(gè)一致性。例如，參與鏈 A 與中繼鏈做一致性，參與鏈 B 與中繼鏈也做一致性。中繼鏈要保持一致性，就造成參與鏈 A與參與

34、鏈 B 必須同時(shí)和中繼鏈維持一致性，這會(huì)使整個(gè)鏈網(wǎng)變得緩慢。而且參與鏈越多，復(fù)雜性越高，性能越差。一個(gè)嚴(yán)重的問(wèn)題是這種中間鏈（或中繼鏈）的架構(gòu)可能是中心化的。由于是中心化的組織，如果有許多參與鏈需要彼此進(jìn)行交易，中間鏈的計(jì)算及通訊量容易成為鏈網(wǎng)的瓶頸。熊貓鏈網(wǎng)熊貓鏈網(wǎng)使用雙鏈?zhǔn)郊軜?gòu)， 由 ABC（ Account Blockchain， 賬戶鏈）、TBC（ Trading Blockchain，交易鏈）組成。每一個(gè)參加的金融機(jī)構(gòu)，都至少有一條 ABC 和一條內(nèi)部 TBC。內(nèi)部 TBC 專門為金融機(jī)構(gòu)內(nèi)部轉(zhuǎn)賬時(shí)使用。這樣的結(jié)構(gòu)使得 TBC 只負(fù)責(zé)維持賬戶的余額，也因此，ABC 可以有負(fù)載均衡的架

35、構(gòu)。兩個(gè)交易的 ABC 之間，至少有一條外部 TBC，負(fù)責(zé)這兩條 ABC 之間的交易。一條外部 TBC可以處理多條 ABC，兩條 ABC 之間也可以有多條外部 TBC。任何金融機(jī)構(gòu)都可以隨時(shí)加入鏈網(wǎng)。只要自己先成立一條 ABC，加上內(nèi)部 TBC，再參與一到多條外部 TBC，就可以加入這個(gè)熊貓鏈網(wǎng)。如下圖所示，左邊是已有的部分，右邊是新增加的部分?；ユ溇W(wǎng)是全面改革互鏈網(wǎng)改革是全面改革的，從最高層的應(yīng)用，到底層操作系統(tǒng)和網(wǎng)絡(luò)，都以安全保護(hù)隱私為優(yōu)先。這不是單維度的改革，也不是“小飛象”模型?；ユ溇W(wǎng)設(shè)計(jì)原則 6：從最高層應(yīng)用層，到底層操作系統(tǒng)和網(wǎng)絡(luò)，都以安全保護(hù)隱私為重點(diǎn)。例如在應(yīng)用層，數(shù)據(jù)需要加密

36、，但是在操作系統(tǒng)，數(shù)據(jù)同樣也是加密的，在網(wǎng)絡(luò)傳輸?shù)臅r(shí)候，也是可以加密的。創(chuàng)新科技和傳統(tǒng)系統(tǒng)不同之處應(yīng)用層每個(gè)領(lǐng)域開(kāi)發(fā)自己區(qū)塊鏈應(yīng)用框架，提出世界領(lǐng)域標(biāo)準(zhǔn)模型每個(gè)領(lǐng)域除了參考模型，還有領(lǐng)域產(chǎn)業(yè)沙盒，矛與盾一起發(fā)展開(kāi)發(fā)基于區(qū)塊鏈的金融架構(gòu)和基礎(chǔ)設(shè)施，例如數(shù)字法幣系統(tǒng)，全盤改變現(xiàn)在金融系統(tǒng)體系現(xiàn)在大部分領(lǐng)域還沒(méi)有區(qū)塊鏈參考架構(gòu)現(xiàn)在大部分領(lǐng)域沒(méi)有產(chǎn)業(yè)沙盒可以支持區(qū)塊鏈應(yīng)用現(xiàn)在沒(méi)有基于區(qū)塊鏈的基礎(chǔ)設(shè)施現(xiàn)在金融系統(tǒng)體系可以全面被區(qū)塊鏈系統(tǒng)取代區(qū)塊鏈層建立新可以監(jiān)管的區(qū)塊鏈架構(gòu)建立高性能的區(qū)塊鏈系統(tǒng)建立基于客戶的身份證和安全機(jī)制現(xiàn)在區(qū)塊鏈沒(méi)有設(shè)計(jì)監(jiān)管機(jī)制現(xiàn)在區(qū)塊鏈系統(tǒng)性能低現(xiàn)在區(qū)塊鏈沒(méi)有基于數(shù)字身份證的安全

37、機(jī)制在新體系下，每一層都有新科技。下表比較傳統(tǒng)體系和創(chuàng)新體系的不同。表 2：創(chuàng)新體系和傳統(tǒng)體系的差異操作系統(tǒng)層新操作系統(tǒng)支持加解密、共識(shí)、監(jiān)管機(jī)制硬件處理保證安全現(xiàn)在操作系統(tǒng)不支持區(qū)塊鏈，也不支持監(jiān)管現(xiàn)在操作系統(tǒng)使用硬件，但沒(méi)有使用這些來(lái)支持區(qū)塊鏈和監(jiān)管網(wǎng)絡(luò)層建立新安全保護(hù)隱私的網(wǎng)絡(luò)和協(xié)議沒(méi)有得到允許，不能訪問(wèn)也不能獲得數(shù)據(jù)現(xiàn)在網(wǎng)絡(luò)是開(kāi)放型，只要有網(wǎng)絡(luò)地址，就可以送電子郵寄或是訪問(wèn)網(wǎng)站，沒(méi)有保護(hù)客戶隱私谷歌這樣的公司可以收集和銷售客戶隱私信息新網(wǎng)絡(luò)基礎(chǔ)設(shè)施今天的互聯(lián)網(wǎng)跟以前的互聯(lián)網(wǎng)有很大的不同?；ヂ?lián)網(wǎng)現(xiàn)在經(jīng)歷一個(gè)改變：過(guò)去端到端的設(shè)計(jì)原則大家尊重，認(rèn)為端到端到原則是好的原理。但是 12 年前斯

38、坦福大學(xué)開(kāi)始有不同想法 ， 并 且 發(fā) 展 成 了 新 網(wǎng) 絡(luò) 設(shè) 計(jì) 趨 勢(shì) ， SDN (Software-Defined Networking) 和 NFV(Network Function Virtualization)。SDN 跟 NFV 跟過(guò)去的互聯(lián)網(wǎng)協(xié)議不相同，最大的不同就是不再遵守端到端的設(shè)計(jì)原則, 并且認(rèn)為互聯(lián)網(wǎng)不應(yīng)該是個(gè)黑盒子。今天的網(wǎng)絡(luò)的協(xié)議性能低有三大問(wèn)題：今天的協(xié)議無(wú)法提供及時(shí)的控制。這很容易明白：所有的控制，因?yàn)橹挥卸说蕉说目刂?，只能在網(wǎng)絡(luò)邊緣控制，而不能在網(wǎng)絡(luò)里面做。所有的協(xié)議只做一部分的控制，而不能做全面的控制。因?yàn)槊恳粋€(gè)協(xié)議都只能做一部分，所以這些協(xié)議越來(lái)越復(fù)

39、雜。今天的網(wǎng)絡(luò)的技術(shù)有三個(gè)缺陷：缺乏“可控性”：今天網(wǎng)絡(luò)上的機(jī)制是沒(méi)有辦法直接或者改變錯(cuò)誤的行為，因?yàn)樗嵌说蕉说摹Ｈ狈Α坝^察性”：今天只有做端到端的觀察，所有的信息反饋都是從端到另外一端，以致于信息第不夠充分，而網(wǎng)絡(luò)內(nèi)的信息沒(méi)有辦法傳播出去；反饋的信息傳到另外一端是已經(jīng)延遲了，離實(shí)時(shí)的目標(biāo)相差非常遠(yuǎn)。缺乏“可結(jié)構(gòu)性”：因?yàn)檎麄€(gè)網(wǎng)絡(luò)是當(dāng)做個(gè)黑盒子，沒(méi)有辦法在彼此沖突的協(xié)議和機(jī)制里面，獲取足夠和及時(shí)的信息來(lái)做決定。網(wǎng)絡(luò)基礎(chǔ)協(xié)議 TCP 協(xié)議造成性能浪費(fèi)TCP 作為一種最常用的傳輸層協(xié)議，它的作用是在不可靠的傳輸信道上，提供可靠地?cái)?shù)據(jù)傳輸。在各層網(wǎng)絡(luò)協(xié)議中，只要有一層協(xié)議是可靠的，那么整個(gè)網(wǎng)絡(luò)傳輸

40、就是安全可靠的。但是這種可靠性在一定程度上犧牲了性能，造成系統(tǒng)啟動(dòng)慢，擁塞控制難。目前常用 Linux 系統(tǒng)的默認(rèn) TCP 擁塞控制協(xié)議為 Cubic，BBR 是谷歌在 2016 年提出的新的擁塞控制協(xié)議，目前在 Youtube 以及谷歌的內(nèi)部網(wǎng)絡(luò)中有大規(guī)模應(yīng)用，Cubic 以及 BBR 在一定程度上改善了 TCP 的擁塞控制的過(guò)程，但還是存在一定的不足。谷歌 BBR 協(xié)議改良 TCP互聯(lián)網(wǎng)的協(xié)議當(dāng)中，一個(gè)特重要協(xié)議是 TCP (Transmission Control Protocol)。TCP 有一個(gè)問(wèn)題：它的傳輸量因 RTT (round trip time，來(lái)回路徑時(shí)間) 的上升和變化

41、而下降。TCP 協(xié)議吞吐量與時(shí)延關(guān)系圖11此圖說(shuō)明 TCP 的傳輸量，隨著 RTT 的上升而成指數(shù)型下降。今天大多數(shù)人認(rèn)為這是自然物理現(xiàn)象，其實(shí)這是協(xié)議設(shè)計(jì)不佳造成的，不是物理現(xiàn)象。舉例說(shuō)明：如果買 2 個(gè)通訊的盒子，而每個(gè)盒子都能夠傳輸 10Gb/s。用電纜連接兩個(gè)盒子，應(yīng)該得到 10Gb/s。如果量出來(lái)不是 10Gb/s，我們就認(rèn)為這個(gè)通訊設(shè)備不好。不論電纜的延遲是 1 毫秒，10 毫秒，100毫秒或 1000 毫秒，盒子都應(yīng)該維持 10Gb/s，這就是通訊設(shè)備的規(guī)格，不應(yīng)該改變。但是一旦加上 TCP，就拿不到 10Gb/s。這表示正常傳輸量跟傳播的延遲應(yīng)該沒(méi)有關(guān)系；傳輸量下降，是因?yàn)?T

42、CP 設(shè)計(jì)不佳。TCP 有另外一個(gè)問(wèn)題，即計(jì)算傳輸量太慢。因?yàn)?TCP 是用端到端的迭代，發(fā)送端跟接受端需要來(lái)回輸送不同的數(shù)據(jù)，才能夠讓發(fā)送端算出最優(yōu)化的傳輸量。假如 TCP 需要 N 次迭代，每一次需要一個(gè) RTT（來(lái)回傳播的時(shí)間），迭代收斂 (convergence) 所需時(shí)間就是N*RTT。但如果把這計(jì)算的迭代放在網(wǎng)絡(luò)內(nèi)，例如，在瓶頸鏈路處或附近，可以容易地獲得關(guān)于瓶頸處擁塞的信息。在此處，計(jì)算通過(guò)當(dāng)?shù)赜?jì)算設(shè)備的迭代來(lái)完成。算出最佳速率將被傳送到 2 個(gè)端點(diǎn)（發(fā)送方和接收方）。因?yàn)榻裉斓?CPU 速度夠快，計(jì)算傳輸量的時(shí)間與發(fā)送到 2 端所需的時(shí)間相比，小到可以忽略不計(jì)。因此，最優(yōu)傳輸量

43、的僅延遲最多RTT（可以短至RTT），這明顯快 N * RTT（其中 N 是 TCP 計(jì)算其最優(yōu)傳輸量所需的迭代數(shù)）。谷歌發(fā)展了 TCP 的替代品 BBR，BBR 使用確定性等效原理(Certainty Equivalence)控制理論來(lái)改善 TCP。單單用這個(gè)原理，就得到比現(xiàn)在的 TCP 的速度好 28 倍。這打破長(zhǎng)久以來(lái)的網(wǎng)絡(luò)學(xué)術(shù)界的看法，就是 TCP 很難再進(jìn)步，而且 TCP 是不能被取代的。谷歌的貢獻(xiàn)就是打破了這個(gè)迷思。但是確定性等效原理在控制理論上是 50 年前的舊理論。按這原理：當(dāng)系統(tǒng)里面有很多不確定性的變化，就把它們?nèi)∫粋€(gè)平均值，如此就把不確定系統(tǒng)當(dāng)做是個(gè)確定的系統(tǒng)，把不確定的變

44、化改成平均值的變化。好處是因?yàn)橄到y(tǒng)變成有確定性了，所以容易設(shè)計(jì)控制；但壞處是當(dāng)真正系統(tǒng)跟平均值不一樣的時(shí)候，就可能造成很糟糕的控制效果，這就是 BBR 的問(wèn)題。下一個(gè)圖表達(dá) BBR 在嘈雜的路徑中表現(xiàn)是很差的，這是一個(gè)在美國(guó)國(guó)家的能源部的實(shí)驗(yàn)室所做的一個(gè)測(cè)試，這個(gè)測(cè)試?yán)锩婵梢钥?BBR 比 TCP 多大量的重傳：第一例子 TCP 重傳數(shù)是 10700，但是 BBR 的重傳數(shù)是 240340 (22 倍)。網(wǎng)絡(luò)需重構(gòu)及新的協(xié)議網(wǎng)上提出的鏈網(wǎng)的各樣協(xié)議有六層（Layer）：第 0 層是共識(shí)，包括比特幣元協(xié)議（BTC meta-protocal）、ETH 合約等；第 1 層是經(jīng)濟(jì)，包括獨(dú)立代幣（in

45、dependent token），外部代幣測(cè)鏈（ sidechain of external token） 等； 第 2 層為區(qū)塊鏈服務(wù)以及離鏈（off-chain）服務(wù)；第 3 層為互操作，包括交換（exchange）、跨鏈信息傳遞等；第 4層為瀏覽器，包括 Mist、OmniWallet 等；第五層為 Dapps，包括云計(jì)算、開(kāi)放集市等。這些協(xié)議寫的非常好，然而它們大部分都是由區(qū)塊鏈的技術(shù)來(lái)主導(dǎo)的，而不是從市場(chǎng)需求角度來(lái)考慮區(qū)塊鏈應(yīng)用。從底層來(lái)看：第 0 層就是共識(shí)，不夠底層，互聯(lián)網(wǎng)底層是 TCP/IP，所以很明顯的區(qū)塊鏈的協(xié)議沒(méi)有落地在網(wǎng)絡(luò)的底層。沒(méi)有相對(duì)應(yīng)互聯(lián)網(wǎng)底層的協(xié)議 TCP/IP

46、，所以現(xiàn)在的區(qū)塊鏈?zhǔn)峭耆褂没ヂ?lián)網(wǎng)的協(xié)議，以至于區(qū)塊鏈不能以高速進(jìn)行，也不夠安全。因?yàn)?，區(qū)塊鏈的其中一個(gè)要素就是加解密。我們需要一個(gè)新的協(xié)議，需要滿足一下幾個(gè)功能：高性能（High-performance）：高吞吐量，低延遲。安全和隱私性（Security and Privacy）?？蓴U(kuò)展性（Scalability）。容錯(cuò)性(Fault-tolerance)。MEF 協(xié)議在極大提升 TCP 協(xié)議吞吐量的基礎(chǔ)上，加入了區(qū)塊鏈技術(shù)中的非堆成加密算法，滿足數(shù)據(jù)安全性和隱私性的要求。MEF 協(xié)議特性BBR 協(xié)議依然是端到端的協(xié)議，依然要靠“猜”去猜測(cè)網(wǎng)絡(luò)上的流量，MEF 協(xié)議是一個(gè)網(wǎng)絡(luò)內(nèi)控制協(xié)議，具有

47、如下特性：性能卓越，超過(guò)當(dāng)前應(yīng)用最廣的 TCP 控制協(xié)議 Cubic，強(qiáng)過(guò)世界領(lǐng)先的谷歌 BBR 協(xié)議，Cubic 的特點(diǎn)是丟包了性能下降，BBR 的特點(diǎn)是不在乎丟包，丟包了也不降速，而我們的 MEF 的特點(diǎn)是不丟包。設(shè)計(jì)不凡，MEF 突破原有端到端思想，采用新型的網(wǎng)絡(luò)協(xié)議設(shè)計(jì)，能夠及時(shí)更新網(wǎng)絡(luò)狀況。兼容所有，MEF 不僅限于使用 MEF 的網(wǎng)絡(luò)，同時(shí)也兼容采用 Cubic、BBR 或是混合協(xié)議的網(wǎng)絡(luò)可以應(yīng)用于 4G、5G 乃至 6G 網(wǎng)絡(luò)。費(fèi)用銳減，采用新型的網(wǎng)絡(luò)協(xié)議，削弱了延遲對(duì)性能的影響，在 5G 場(chǎng)景下，采用 MEF 網(wǎng)絡(luò)協(xié)議，可以大大減少邊緣計(jì)算的需求，降低網(wǎng)絡(luò)部署中開(kāi)銷最大的服務(wù)器

48、費(fèi)用，因此 MEF 助力 5G 的發(fā)展與部署。更適用于區(qū)塊鏈，在 MEF 協(xié)議中加入了加解密算法，保護(hù)數(shù)據(jù)安全性，由于 MEF 協(xié)議運(yùn)行在底層，加解密速度更快。MEF 協(xié)議使用場(chǎng)景滿足邊緣計(jì)算的需求，應(yīng)用程序在邊緣側(cè)發(fā)起，產(chǎn)生更快的網(wǎng)絡(luò)服務(wù)響應(yīng)，滿足行業(yè)在實(shí)時(shí)業(yè)務(wù)、應(yīng)用智能、安全與隱私保護(hù)等方面的要求。對(duì)于視頻流服務(wù)有重大作用，可以更好的提供視頻服務(wù)。對(duì)于無(wú)人機(jī)的信息傳輸具有重大作用，無(wú)人機(jī)隨著距離的增長(zhǎng)，時(shí)延會(huì)大大增加，采用 MEF 協(xié)議，速度與時(shí)延無(wú)關(guān)，改善無(wú)人機(jī)的信息傳輸速度。美國(guó)證券公司大都在交易所旁邊，因?yàn)橐ＷC交易速度，采用 MEF 協(xié)議之后就不需要了，因?yàn)?MEF 協(xié)議傳輸速度與

49、時(shí)延關(guān)系不大。適用于遠(yuǎn)程醫(yī)療服務(wù)。MEF 原理如下圖所示：MEF 協(xié)議運(yùn)行在 MEF 路由器上，在 MEF 路由器上進(jìn)行統(tǒng)一的網(wǎng)絡(luò)資源的調(diào)度管理，TCP 是用端到端的迭代，發(fā)送端跟接受端需要來(lái)回輸送不同的數(shù)據(jù)，才能夠讓發(fā)送端算出最優(yōu)化的傳輸量。假如 TCP 需要 N 次迭代，每一次需要一個(gè) RTT（來(lái)回傳播的時(shí)間），迭代收斂 (convergence) 所需時(shí)間就是 N*RTT，在 MEF 協(xié)議中不需要進(jìn)行迭代，采用網(wǎng)絡(luò)內(nèi)控制，在最開(kāi)始就公平分配好各個(gè)連接的帶寬，不需要靠“猜”去猜測(cè)帶寬，由于采用網(wǎng)絡(luò)內(nèi)控制，可以極大的減少丟包甚至不丟包。MEF 安全性在 MEF 路由器上采用區(qū)塊鏈技術(shù)的非對(duì)稱

50、加密算法，在數(shù)據(jù)出口將數(shù)據(jù)進(jìn)行加密，在數(shù)據(jù)入口進(jìn)行數(shù)據(jù)解密，這樣即使有人截獲數(shù)據(jù)，也無(wú)法讀取數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)安全性。MEF 示例模擬一個(gè) 4G 網(wǎng)絡(luò)的環(huán)境，網(wǎng)絡(luò)延遲采用 200ms，相當(dāng)于北京到洛杉磯的傳輸延遲。在這種環(huán)境下，可以看到傳統(tǒng)網(wǎng)絡(luò)協(xié)議的性能缺陷。在 200ms 網(wǎng)絡(luò)延遲情況下，MEF 的性能是 BBR 的兩倍，是 Cubic 的 20 倍，MEF 技術(shù)完成自主可控，可以改變通信領(lǐng)域、網(wǎng)絡(luò)計(jì)算領(lǐng)域的生態(tài)發(fā)展，甚至影響更多行業(yè)的發(fā)展。TCP 協(xié)議隨著 RTT 和丟包率的增加，吞吐量呈指數(shù)下降隨著 RTT 和數(shù)據(jù)包丟失的增加，MEF 吞吐量改變有限互鏈網(wǎng)的益處2016 年英國(guó)首席科學(xué)家

51、認(rèn)為區(qū)塊鏈帶來(lái)社會(huì)、金融、監(jiān)管、法律的變革，從最高層到底層，百業(yè)都可用。這里，我們提出區(qū)塊鏈可以帶來(lái)科技的改革，包括網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用架構(gòu)，而且有的改革還會(huì)是結(jié)構(gòu)性的改變。本文提出的新概念可能需要多年才能完成，成吉思汗說(shuō)“你的心胸有多寬廣，你的戰(zhàn)馬就能馳騁多遠(yuǎn)。”中國(guó)如果希望在區(qū)塊鏈理論上站在最前沿，擁有創(chuàng)新制高點(diǎn)，我們的思路就需要和以前不同的路線。我們認(rèn)同并支持區(qū)塊鏈?zhǔn)侵袊?guó)科技的重要突破口，所以我們?cè)诖颂岢鲆粋€(gè)突破口的藍(lán)圖。什么叫突破口？開(kāi)發(fā)一個(gè)和現(xiàn)在的系統(tǒng)差不多的系統(tǒng)不會(huì)是突破口。這里我們提出的許多設(shè)計(jì)和傳統(tǒng)設(shè)計(jì)都不相同，而且這些設(shè)計(jì)是在實(shí)驗(yàn)室進(jìn)行了 5 年實(shí)驗(yàn)后提出的。當(dāng)我們實(shí)

52、驗(yàn)室系統(tǒng) 90%計(jì)算力都在做區(qū)塊鏈基礎(chǔ)操作的時(shí)候，我們就明白現(xiàn)在系統(tǒng)不能支持區(qū)塊鏈和互鏈網(wǎng)。也是因?yàn)檫@原因，我們堅(jiān)信以后計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施會(huì)改變，這也會(huì)是歷史性的機(jī)會(huì)。在這個(gè)白皮書中，我們很少提以后的愿景，例如我們沒(méi)有提產(chǎn)業(yè)會(huì)如何改變，系統(tǒng)會(huì)變成什么架構(gòu)。我們主要是提方向上的改變，思維的改變。我們現(xiàn)在對(duì)將來(lái)任何預(yù)測(cè)可能都會(huì)不正確，因?yàn)闆](méi)有人有預(yù)測(cè)未來(lái)的水晶球。但是只要方向正確，我們就可以踏出第一步，因?yàn)槲磥?lái)會(huì)自我調(diào)節(jié)。這里的藍(lán)圖以后還會(huì)繼續(xù)發(fā)展、演變、進(jìn)步。我們踏出了第一步，讓將來(lái)來(lái)評(píng)估這些構(gòu)想會(huì)不會(huì)成立?；ユ溇W(wǎng)和互聯(lián)網(wǎng)有巨大差異，使用互鏈網(wǎng)，區(qū)塊鏈開(kāi)發(fā)和使用更加便利?，F(xiàn)在區(qū)塊鏈系統(tǒng)花許多時(shí)

53、間開(kāi)發(fā)安全機(jī)制，而以后這些安全機(jī)制可以由基礎(chǔ)設(shè)施提供，監(jiān)管單位可以迅速建立一個(gè)監(jiān)管網(wǎng)，從事線上交易實(shí)時(shí)管控，預(yù)防金融風(fēng)險(xiǎn)。以后數(shù)字經(jīng)濟(jì)會(huì)是一年 365天，一天 24 小時(shí)交易，實(shí)時(shí)監(jiān)管。通訊信息也都加密，網(wǎng)關(guān)也可以建立加密機(jī)制，個(gè)人隱私信息可以在基礎(chǔ)設(shè)施上加密存儲(chǔ)。我們只是走了一個(gè)小步，歡迎大家在路上同行合作。致謝本文部分思想發(fā)布于 2020 年 1 月 5 號(hào)杭州國(guó)際博覽中心召開(kāi)的互鏈網(wǎng)高峰論壇上。這互鏈網(wǎng)項(xiàng)目開(kāi)始于國(guó)家大數(shù)據(jù)（貴州）綜合試驗(yàn)區(qū)區(qū)塊鏈互聯(lián)網(wǎng)實(shí)驗(yàn)室,早期研究結(jié)果發(fā)表在 2017 年貴陽(yáng)數(shù)博會(huì)。新網(wǎng)絡(luò)協(xié)議是 2019 年在北京天德科技有限公司開(kāi)發(fā)。無(wú)數(shù)科學(xué)家、研究人員、工程師、學(xué)生花了大量時(shí)間從事研究和開(kāi)發(fā)，他們都是這個(gè)項(xiàng)目的英雄。參考文獻(xiàn)1 蔡維德，“什么是互鏈網(wǎng)核心技術(shù)”，2020.1.14.蔡維德，“區(qū)塊鏈?zhǔn)侵袊?guó)領(lǐng)先全球網(wǎng)絡(luò)科技的機(jī)遇”，2019.12.23.蔡維德，姜曉芳， “區(qū)塊鏈 百年難遇到的科技強(qiáng)國(guó)機(jī)會(huì)”，2019.12.31. HYPERLINK /s?_biz=MzI3MjQ5NTI0NA%3D%3D&mid=2247487085&idx=1&sn=91d1c539