香港金管局：数字港元（e-HKD）技术白皮书（37页）.pdf

1、虽然金管局对不同的架构设计开放，但基于第4 章中的原则中三个指导原则，并参考了Aurum 项目的中期结果，提出了一种可能的设计。设计包括两层：(1)批发型CBDC发行和赎回系统(称为银行间层，或简称为批发系统)和(2)rCBDC/电子货币分配和流通系统(称为钱包层，或简称为零售系统)。前者应由中央银行主导并且仅对中介机构(商业银行和PSPs)开放，而后者只能由中介机构和生态系统提供给普通大众用户配备手机钱包应用访问。CBDC发行只需要在批发系统中进行。零售系统应该中央银行的参与最少，主要由中介机构负责运营。批发和零售系统应该充分解耦以最少的信息交换，最大限度地减少攻击面和CBDC发行过程曝光。

2、中介机构作为网关，促进批发和零售系统之间的通信和同步。本章将描述该架构的设计以及该设计如何避免中介机构偏离既定的协议和规则。CBDC发行、赎回、同业结算的批发系统交易基于DLT。批发系统仅用于中央银行和中介机构交易者之间的交易，中介机构之间以及将CBDC存款到综合账户(英格兰银行，2021年)，将CBDC转移到零售系统4。批发系统由中央银行和一些选定的中介机构共同经营，例如那些被允许的中介机构发行CBDC支持的电子货币。预先选定的中介机构可以操作DLT验证运行共识的节点。中央银行运营一个节点用于CBDC 发行和赎回，但不参与DLT共识。通过这种方式，中央银行可以从解决银行间交易的任务中解放出来

3、，从而更好地解耦。尽管 UTXO 实施将允许中央银行有更明确的控制 CBDC 的发行，平台技术架构与底层DLT的状态表示无关。批发系统中中介机构持有的CBDC可以是表示为账户余额或未花费的交易输出(UTXO)，具体取决于采用DLT平台。前者的例子包括Hyperledger Fabric 和Enterprise Ethereum，而Corda 是后者的一个例子。拟议的设计适用于两者实现。唯一的要求是所选DLT 平台处理的交易可以带签名出口到零售系统，以证明产品的真实性交易并证明相关CBDC 已由中央银行发行并锁定在批发系统中。恶意验证节点的存在，在基于UTXO 的平台和基于账户余额的平台中将对C

4、BDC 供应产生类似的影响。看来，在基于账户余额的DLT 平台，验证节点必须在一定程度上受信任保持正确的CBDC 余额。尽管如此，对DLT 所需的信任级别验证节点在基于UTXO 的平台和基于账户的平台中应该相似平衡，因为恶意DLT 验证节点的存在在这两种情况下具有相似的影响。基于UTXO 的平台中的恶意验证节点，虽然无法发行新的CBDC 单元，仍然可以双花同一发行单位的CBDC 以增加货币供应量。然而，通常更容易注意到同一个UTXO 的双重支出，如果分类帐可供检查，则错误调整的帐户余额，将达到与基于恶意调整平台中的CBDC 余额类似的效果(Chan，2021)。可以将CBDC 发行过程与批发系

5、统隔离以改进网络安全。如果允许人工操作，CBDC的赎回过程也可以与批发系统脱钩。该架构的一个关键考虑因素是CBDC 发行过程可以与其他活动充分隔离(即银行和用户之间的交易)，基于权限分离和网络的原则分割(Provos 等人， 2003 年;澳大利亚网络安全中心，2019 年)。由于央行节点在设计上不参与DLT共识，它可以与其他节点分开放置在批发系统中，例如，通过数据二极管(Okhravi & Sheldon, 2010)用于授权CBDC发行，这将增强网络弹性和中央银行私钥的安全性。数据二极管允许数据流量仅在一个方向上流动并且是唯一的方法获得EAL-7 保证(通用标准，2017 年)。然

6、而， CBDC的赎回将要求中央银行节点参与接收中介机构的请求，除非允许手动处理。在网络弹性、易于操作和过程自动化水平。基于UTXO的平台和基于帐户平衡的平台之间的区别在于在处理事务时如何表示和更新DLT系统的全局状态。在CBDC的情况下，全局系统状态对应于所有参与者的CBDC持有量的表示。在UTXO实现中，系统状态由所有资产单位的所有权列表表示，事务明确指定相关资产单位的结果状态(即所有权)。这样，发行资产新单位的权利是各自资产发行者。的特权(由公钥密码保证)，而DLT(即其