一、區(qū)塊鏈隱私保護(hù)的必要性

區(qū)塊鏈作為一種新興的技術(shù)，相對(duì)于中心化系統(tǒng)，區(qū)塊鏈的核心價(jià)值就在于去中心化。傳統(tǒng)的擁有獨(dú)立數(shù)據(jù)庫(kù)的企業(yè)，都會(huì)將數(shù)據(jù)集中起來(lái)，建立數(shù)據(jù)中心。這些數(shù)據(jù)中心的管理權(quán)限都掌握在一個(gè)公司手上，這樣的系統(tǒng)是由少數(shù)人控制的，在安全性方面有不可回避的問(wèn)題。而區(qū)塊鏈?zhǔn)且环N按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以順序相連的方式組合成的一種鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，以密碼學(xué)方式保證的不可篡改和不可偽造的分布式賬本。相對(duì)而言，在區(qū)塊鏈系統(tǒng)中，任何有能力建立節(jié)點(diǎn)的人都可以參與其中，成為這個(gè)分布式賬本的一個(gè)節(jié)點(diǎn)，這些節(jié)點(diǎn)都是平等和自治的，參與驗(yàn)證每一筆交易，并通過(guò)一定模式的共識(shí)來(lái)確定數(shù)據(jù)的一致性。通過(guò)區(qū)塊鏈系統(tǒng)，使用者可以在不需要中間節(jié)點(diǎn)的情況下安全的進(jìn)行交易和各類數(shù)據(jù)交互。

比如在以太坊網(wǎng)絡(luò)中，全球有上萬(wàn)個(gè)節(jié)點(diǎn)，其中包括了用戶為推行網(wǎng)絡(luò)間項(xiàng)目而運(yùn)行的節(jié)點(diǎn)，也包括了交易所管理運(yùn)行的節(jié)點(diǎn)，還包括了礦工們運(yùn)行的節(jié)點(diǎn)。這么多的節(jié)點(diǎn)，一方面保證了每筆交易的安全性，另一方面，確實(shí)給用戶帶來(lái)了很大的隱私方面的困擾。目前，任何人都能從這上萬(wàn)個(gè)節(jié)點(diǎn)中查詢到每一筆交易，包括交易參與方的地址和金額，這種情況下，用戶的隱私該如何來(lái)保障呢？

區(qū)塊鏈發(fā)展至今，在技術(shù)領(lǐng)域探索出幾種隱私保護(hù)的解決方案，比如混幣器方案，環(huán)形簽名方案和零知識(shí)證明方案。混幣器是一種中心化的解決方案，需要一個(gè)中心化的混幣平臺(tái)，交易參與方先把代幣發(fā)到混幣平臺(tái)進(jìn)行混合，以打亂參與方之間的聯(lián)系，但這種方案需要用戶充分信任中心化的混幣處理系統(tǒng)。環(huán)形簽名則是一種特殊的群簽名組成的協(xié)議，交易的簽名由私鑰和眾多公鑰產(chǎn)生，當(dāng)其它節(jié)點(diǎn)驗(yàn)證時(shí)，只能確定簽名是諸多公鑰中的一個(gè)，卻無(wú)法定位到哪個(gè)公鑰才是具體的發(fā)送方，即無(wú)法定位到一組環(huán)簽名所代表的資產(chǎn)的具體持有者是誰(shuí)。環(huán)形簽名存在的問(wèn)題是，用以匿名的簽名集合是固定的，用戶在交易中依舊需要與其他用戶的公鑰進(jìn)行混合，因此仍然有可能會(huì)遭遇惡意用戶從而暴露隱私。

而最被業(yè)內(nèi)看好的是零知識(shí)證明(Zero—Knowledge Proof)，是由S.Goldwasser、S.Micali及C.Rackoff在20世紀(jì)80年代初提出的。它指的是證明者能夠在不向驗(yàn)證者提供任何有用的信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。零知識(shí)證明實(shí)質(zhì)上是一種涉及兩方或更多方的協(xié)議，即兩方或更多方完成一項(xiàng)任務(wù)所需采取的一系列步驟。證明者向驗(yàn)證者證明并使其相信自己知道或擁有某一消息，但證明過(guò)程不能向驗(yàn)證者泄漏任何關(guān)于被證明消息的信息。大量事實(shí)證明，零知識(shí)證明在密碼學(xué)中非常有用。如果能夠?qū)⒘阒R(shí)證明用于驗(yàn)證，將可以有效解決許多問(wèn)題。

在區(qū)塊鏈隱私保護(hù)領(lǐng)域，零知識(shí)證明被認(rèn)為是最前沿的解決方案，同時(shí)也是最強(qiáng)大的，以太坊創(chuàng)始人V神就多次在公眾場(chǎng)合表達(dá)了對(duì)零知識(shí)證明的喜愛(ài)。在以往，如果為了證明某些事情，需要引入或借助另外的知識(shí)達(dá)到目的，但是在零知識(shí)證明中，用戶無(wú)需其它底層數(shù)據(jù)來(lái)完成這個(gè)證明過(guò)程，在區(qū)塊鏈的交易中，運(yùn)行零知識(shí)證明的手段，用戶不需要添加或向外接透露更多的信息即可完成整個(gè)交易流程。在交易中，交易過(guò)程可以被加密，但是除參與方外，其他用戶不需要對(duì)其解密，區(qū)塊鏈系統(tǒng)運(yùn)行了零知識(shí)證明技術(shù)之后，每個(gè)區(qū)塊中將只有加密后的哈希數(shù)據(jù)的存在，這些數(shù)據(jù)已經(jīng)能足夠支撐整個(gè)鏈上系統(tǒng)上的交易運(yùn)行。

但是，現(xiàn)在我們遇到的問(wèn)題是，如何將零知識(shí)證明作為通用的解決方案，在區(qū)塊鏈系統(tǒng)的廣泛范圍內(nèi)應(yīng)用起來(lái)。其中有一個(gè)比較突出的問(wèn)題是生成證明的效率比較低。比如，在Zcash中，用普通的筆記本電腦，發(fā)送一筆匿名幣交易，通常需要幾百秒時(shí)間。如果在發(fā)送的交易中，UTXO中含有更多的來(lái)源，那這筆交易的證明生成時(shí)間更是長(zhǎng)的讓人無(wú)法忍受。另一個(gè)問(wèn)題是，在當(dāng)前包含Zcash在內(nèi)的所有主流匿名幣系統(tǒng)中，還沒(méi)有類似以太坊那樣支持智能合約的區(qū)塊鏈平臺(tái)系統(tǒng)出現(xiàn)。

針對(duì)匿名幣系統(tǒng)的這些應(yīng)用層面的問(wèn)題，在區(qū)塊鏈領(lǐng)域，很多研發(fā)團(tuán)隊(duì)試圖進(jìn)行進(jìn)一步改進(jìn)。但是由于零知識(shí)證明這個(gè)層面，由于其學(xué)術(shù)和工程方面的復(fù)雜性，絕大多數(shù)團(tuán)隊(duì)都進(jìn)展緩慢，沒(méi)有發(fā)展出能實(shí)際上線運(yùn)行的系統(tǒng)。

SERO的項(xiàng)目成功解決了上述問(wèn)題。SERO是Super Zero的意思，是全球首創(chuàng)的，基于零知識(shí)證明技術(shù)實(shí)現(xiàn)隱私保護(hù)，并且能支持圖靈完備智能合約運(yùn)行的區(qū)塊鏈基礎(chǔ)平臺(tái)。在零知識(shí)證明系統(tǒng)方面，SERO團(tuán)隊(duì)基于zk-SNARKs構(gòu)建了Super-ZK零知識(shí)證明加密系統(tǒng)，在零知識(shí)證明普及應(yīng)用的最大瓶頸-證明生成速度上，目前Super-ZK系統(tǒng)比Zcash當(dāng)前的系統(tǒng)有20倍以上的提高，這極大的提高了用戶的使用體驗(yàn)，提高了零知識(shí)證明系統(tǒng)實(shí)用化的范圍。

二、SERO匿名系統(tǒng)的架構(gòu)設(shè)計(jì)

SERO匿名系統(tǒng)的架構(gòu)設(shè)計(jì)，在滿足系統(tǒng)能力需求的同時(shí)，遵循以下幾個(gè)基本的原則。

1、不可追蹤性。區(qū)塊鏈網(wǎng)絡(luò)的每一筆交易都具有輸入和輸出，如此一來(lái)，就構(gòu)建了一個(gè)交易的有向無(wú)環(huán)圖，在這個(gè)圖上可以追蹤所有的交易流向，所有的交易序列都能被串聯(lián)起來(lái)，并以此溯源。SERO的設(shè)計(jì)中要將兩個(gè)交易之間的鏈接斷開(kāi)，使攻擊無(wú)法進(jìn)行。

2、抗統(tǒng)計(jì)分析。真實(shí)用戶的行為具有統(tǒng)計(jì)特點(diǎn)，如果區(qū)塊鏈網(wǎng)絡(luò)中的交易數(shù)據(jù)之間具有反映這樣統(tǒng)計(jì)特點(diǎn)的關(guān)聯(lián)性，通過(guò)對(duì)區(qū)塊鏈數(shù)據(jù)的統(tǒng)計(jì)分析，就能夠以一定幾率推測(cè)出這些地址發(fā)生的交易時(shí)屬于某個(gè)特定用戶的行為。即使采用環(huán)形簽名，在面臨有作惡的環(huán)成員或者節(jié)點(diǎn)的時(shí)候，抵抗統(tǒng)計(jì)分析的能力會(huì)下降，SERO通過(guò)技術(shù)手段將地址以及地址之間的關(guān)系完全隱藏。

3、實(shí)用性原則。SERO在對(duì)交易的數(shù)據(jù)進(jìn)行隱藏的同時(shí)，并不會(huì)一股腦將所有的信息都納入范圍內(nèi)，這樣做是不經(jīng)濟(jì)并且運(yùn)行效率低下的。SERO會(huì)兼顧業(yè)務(wù)的場(chǎng)景需求和特點(diǎn)，提供分層次的多種解決方案。

4、可選的審計(jì)方案。對(duì)于某些較為復(fù)雜的商業(yè)應(yīng)用領(lǐng)域，用戶可能需要有一個(gè)完全信用的第三方對(duì)他發(fā)生的所有交易進(jìn)行財(cái)務(wù)方面的審計(jì)，SERO提供給用戶這類選擇的方案，讓用戶決定是否給予第三方一個(gè)跟蹤他所有交易信息的能力。

SERO協(xié)議的設(shè)計(jì)簡(jiǎn)要描述如下：

1、賬戶系統(tǒng)

賬戶系統(tǒng)

賬戶系統(tǒng)分為兩個(gè)種類：用戶賬戶和合約賬戶。用戶賬戶是用戶選定一個(gè)32byte的Seed，而合約賬戶根據(jù)用戶安裝智能合約的環(huán)境產(chǎn)生一個(gè)64byte的地址，兩者都是系統(tǒng)唯一，不可重復(fù)的。

用戶賬戶可以產(chǎn)生一個(gè)64byte的私鑰SK和一個(gè)64byte的公鑰PK，該公鑰是用戶的付款地址。在安裝或調(diào)用智能合約時(shí)，錢包會(huì)根據(jù)當(dāng)前情況生成一個(gè)暫存地址PKr，這個(gè)暫存地址無(wú)法用任何方式關(guān)聯(lián)到用戶的私鑰和公鑰，并且只會(huì)使用一次。

在智能合約安裝的時(shí)候，錢包會(huì)根據(jù)當(dāng)前情況，將暫存地址轉(zhuǎn)為64byte的智能合約地址（CADDR）。

智能合約地址（CADDR ）

2、資產(chǎn)系統(tǒng)

不管是用戶賬戶還是智能合約賬戶，其下都具有管理無(wú)限種類資產(chǎn)的屬性，除了交易費(fèi)用結(jié)算采用SERO幣以外，每一種資產(chǎn)都具有跟SERO幣本身等同的交易特征，除SERO幣以外，其余資產(chǎn)可以由智能合約產(chǎn)生。每一種資產(chǎn)在產(chǎn)生的同時(shí)，可以賦予一個(gè)最長(zhǎng)32Byte長(zhǎng)度的名稱（Currency），用于助記，這些名稱也是不允許重復(fù)使用的，在賬戶進(jìn)行余額查詢或轉(zhuǎn)賬操作時(shí)，可以指定資產(chǎn)類型。

3、輸出和輸入結(jié)構(gòu)

輸入結(jié)構(gòu)

輸入結(jié)構(gòu)

輸出結(jié)構(gòu)

Anchor是Merkle樹(shù)的根用于定位輸入數(shù)據(jù)；Nil是一個(gè)32位的hash串，用于作廢UTXO中OUT的數(shù)值；Til是用來(lái)追蹤交易用的32位的哈希串，只有UTXO中，包含有效的OUT時(shí)，才是合法的；AssetCM是輸入的資產(chǎn)承諾；OutCM是交易輸入的資產(chǎn)承諾。

4、見(jiàn)證系統(tǒng)

SERO協(xié)議采用非交互零知識(shí)證明（NIZK），在生成交易的時(shí)候，需要提供資產(chǎn)來(lái)源的見(jiàn)證信息，每個(gè)節(jié)點(diǎn)會(huì)根據(jù)這些見(jiàn)證信息進(jìn)行驗(yàn)證。因此，SERO會(huì)采用Merkle樹(shù)維護(hù)一個(gè)記錄狀態(tài)變更的見(jiàn)證系統(tǒng)，系統(tǒng)在節(jié)點(diǎn)提供驗(yàn)證功能，在錢包端提供認(rèn)證所需的信息。

ROOT = MERKLE_ROOT_AUTH(POSITION, LEAF, PATH)

ROOT是當(dāng)前Merkle樹(shù)的根，LEAF是第POSITION片葉子，PATH是LEAF到ROOT的證明路徑。

5、證明系統(tǒng)

證明系統(tǒng)

SERO的證明系統(tǒng)包含一個(gè)基于有向無(wú)環(huán)圖的計(jì)算電路，用來(lái)描述SERO每筆交易內(nèi)部約束，包括各種資產(chǎn)類型的輸入輸出平衡、公私鑰驗(yàn)證、承諾的有效性、見(jiàn)證的有效性等環(huán)節(jié)。裝載好的電路可以通過(guò)非交互零知識(shí)證明（NIZK）生成一個(gè)Proof，通過(guò)提交這個(gè)Proof，可以在隱藏大量細(xì)節(jié)信息的情況下，讓節(jié)點(diǎn)對(duì)電路中裝載的各種參數(shù)和約束進(jìn)行驗(yàn)證。

6、執(zhí)行步驟

A. 計(jì)算

用戶采用賬戶、見(jiàn)證系統(tǒng)提供的信息，并根據(jù)當(dāng)前所需的計(jì)算，提供輸入數(shù)據(jù)，然后在鏈下運(yùn)行計(jì)算規(guī)則得到結(jié)果RESULT。

RESULT = COMPUTE(METHOD, ACCOUNT, DATA, WITENESS)

B. 證明

用戶用計(jì)算得到的結(jié)果RESULT，加上隨機(jī)數(shù)r，封裝為交易STX，提交給節(jié)點(diǎn)。交易STX包含校驗(yàn)數(shù)據(jù)（Ci），結(jié)果編碼數(shù)據(jù)（Ei）和證明數(shù)據(jù)（Pi）。

STX = PROVE(RESULT, r)

STX = ((C0, C1,…Cn), (E0, E1,…En), (P0, P1,…Pn))

C. 校驗(yàn)

節(jié)點(diǎn)收到交易STX后，將Ci在見(jiàn)證系統(tǒng)和證明系統(tǒng)中進(jìn)行確認(rèn)，驗(yàn)證通過(guò)后，節(jié)點(diǎn)接受STX。

RETi = VERIFYi(Ci)

Check = RET0 & RET1 … & RETn

D. 確認(rèn)

資產(chǎn)接收方在同步得到驗(yàn)證的交易STX后，利用自己的私鑰將結(jié)果編碼數(shù)據(jù)Ei解碼成明文數(shù)據(jù)Di，并將明文數(shù)據(jù)Di和證明數(shù)據(jù)Pi輸入證明系統(tǒng)中進(jìn)行校驗(yàn)，成功則說(shuō)明交易是真實(shí)的。真實(shí)的交易如果被n個(gè)區(qū)塊進(jìn)行了確認(rèn)，那么交易的接收方可以認(rèn)為這筆交易已經(jīng)確認(rèn)。

Di = FETCHi(Ei, ACCOUNT)

RETi = CONFIRMi(Di, Pi)

Check = RET0 & RET1 … & RETn

需要說(shuō)明的是，SERO的執(zhí)行步驟是開(kāi)放式的，也就是說(shuō)這樣的步驟和參數(shù)的抽象描述，可以支持后續(xù)不斷升級(jí)，后續(xù)的功能加入對(duì)整體架構(gòu)的影響比較小。

三、Super-ZK，世界最快的零知識(shí)證明生成速度的實(shí)現(xiàn)方案

對(duì)于采用非交互式零知識(shí)證明（NIZK）方案的區(qū)塊鏈系統(tǒng)，目前最大的應(yīng)用瓶頸就是交易時(shí)生成證明（Proofs）的時(shí)間太長(zhǎng)，SERO系統(tǒng)的零知識(shí)證明模塊Super-ZK，針對(duì)這一瓶頸，做了以下突破性創(chuàng)新。

1、當(dāng)前我們采用zk-SNARKs框架生成NIZK，采用其中的ALT_BN128曲線和Groth16預(yù)處理過(guò)程，這個(gè)過(guò)程比Zcash的PGHR13預(yù)處理方案減少1/3的運(yùn)算時(shí)間。雖然zk-SNARKs框架需要信用安裝過(guò)程，但SERO的實(shí)現(xiàn)方式中不會(huì)動(dòng)態(tài)構(gòu)造計(jì)算電路，因此，在當(dāng)前所有場(chǎng)景下，zk-SNARKs框架能滿足SERO的需求。

2、我們創(chuàng)新性采用自己編寫的一種Twisted Edwards曲線以取代SHA256哈希生成公鑰，Pedersen hash進(jìn)行Merkle樹(shù)的生成，這樣可以提升4倍以上交易生成速度。

3、相比于Zcash雙路輸入和輸出的電路構(gòu)造結(jié)構(gòu)，SERO采用單路輸入和輸出結(jié)構(gòu)，每個(gè)描述之間采用資產(chǎn)通道進(jìn)行鏈接，這樣的電路構(gòu)造更加復(fù)雜，但是在多核CPU情況下，相比于Zcash有更高的執(zhí)行效率。

4、Super-ZK的部分代碼由匯編語(yǔ)言進(jìn)行編寫，相比于Zcash的C++實(shí)現(xiàn)，有更高的代碼執(zhí)行效率。

綜合以上優(yōu)化，在交易證明生成速度上，我們相比于Zcash有20倍以上的速度提高，極大的提高了NIZK系統(tǒng)的適用性。

四、SERO支持智能合約發(fā)行和操作匿名資產(chǎn)原理

1、區(qū)塊鏈賬本的UXTO和ACCOUNT模式

區(qū)塊鏈?zhǔn)欠植际劫~本，賬本的最小單位是記錄，每一筆賬記錄資產(chǎn)的流入和流出，根據(jù)資產(chǎn)流出記錄方式不同，有兩種不同的記賬實(shí)現(xiàn)，分別為UTXO模式和ACCOUNT模式，這兩種模式分別對(duì)應(yīng)比特幣和以太坊的模式。

UTXO的特點(diǎn)是：

UTXO模式每筆交易是相互獨(dú)立的，這意味著只要能處理好雙花的問(wèn)題，一個(gè)賬戶下的交易都可以進(jìn)行并行處理，能充分利用多核CPU的能力。
UTXO本質(zhì)上來(lái)說(shuō)是基于歷史的記錄形式，即是過(guò)程，也是結(jié)果，因此在一些需要生成見(jiàn)證證明的應(yīng)用場(chǎng)合下，具有非常大的優(yōu)勢(shì)，這也是為什么現(xiàn)在的匿名幣區(qū)塊鏈系統(tǒng)基本都是UTXO模式。

ACCOUNT模式的特點(diǎn)是：

ACCOUNT模式直接增減一個(gè)獨(dú)立賬戶的資產(chǎn)，只需要一個(gè)記錄就可以增減一個(gè)賬戶的任意數(shù)量的資產(chǎn)。因此，生成記錄大小比同樣情況下UTXO生成的記錄要小很多。
ACCOUNT模式本質(zhì)上是基于狀態(tài)的，輸入和輸出是過(guò)程，account是結(jié)果，因此它天然就很容易把圖靈機(jī)引入進(jìn)來(lái)，這也是為什么支持圖靈完備智能合約的區(qū)塊鏈系統(tǒng)多采用ACCOUNT模式的原因。

ACCOUNT模式

2、SERO獨(dú)特的混合模式

SERO將UTXO和ACCOUNT模式混合應(yīng)用，在隱私保護(hù)的計(jì)算層采用UTXO模式，同時(shí)可以映射邏輯上等價(jià)的ACCOUNT模式以支持圖靈完備的智能合約虛擬機(jī)的運(yùn)行。SERO通過(guò)交易、共識(shí)、以及Pedersen Commitment算法，將兩種模式無(wú)縫結(jié)合到一起，使智能合約能發(fā)揮出令人驚訝的能力。

3、支持智能合約匿名交易的結(jié)構(gòu)

A、交易

SERO的匿名交易Tx擁有一個(gè)匿名的輸入集合“Z ins”，一個(gè)匿名的輸出集合“Z outs”，一個(gè)普通的輸出集合“O outs”和一個(gè)名為“From”的暫存地址。“Z ins”是完全匿名的，讓第三方觀察者無(wú)法得知來(lái)源和內(nèi)容，“Z outs”是完全匿名的UTXO，只有接受者能查看和使用它的內(nèi)容，“O outs”攜帶的內(nèi)容是非隱藏的，它指向的接受者有兩種情況：一種是指向智能合約地址，一種是指向一個(gè)暫存地址。From代表交易的發(fā)送者，同樣也是一個(gè)暫存地址。因此整個(gè)Tx無(wú)法讓人確定真實(shí)的用戶是誰(shuí)，其中攜帶的資產(chǎn)信息也被最大程度隱藏起來(lái)。

B、“Z ins”輸入

在SERO交易的輸入集合“Z ins”中，每個(gè)輸入都是匿名的，包括來(lái)源“UTXO”的Id以及其攜帶的資產(chǎn)信息。每個(gè)輸入都通過(guò)零知識(shí)證明生成的Proofs，指向一個(gè)被隱藏在巨大UTXO序列中的特定某個(gè)UTXO，這個(gè)序列是SERO歷史的一部分，所有細(xì)節(jié)都被Proofs隱藏起來(lái)，驗(yàn)證者在不知細(xì)節(jié)的情況下，通過(guò)Proofs能確認(rèn)這個(gè)輸入是否合法。

C、“Z outs”輸出和“O outs”輸出

“Z out”指向暫存地址PKr，暫存地址只有接受者能解密出身份。由于每個(gè)暫存地址都不一樣，所以沒(méi)有第三方能識(shí)別“Z out”的指向。“Z out”還攜帶了資產(chǎn)的加密信息“Encrypt Info”，只有持有接受者私鑰的人才能解密這些信息。而OutCM是輸出承諾，只有交易雙方才能復(fù)現(xiàn)OutCM的計(jì)算過(guò)程。“OutCM”在證明“Z out”被“ins”引用這一過(guò)程中起到關(guān)鍵的作用。

“O out”指向的PKr有兩種形式，一種是由智能合約發(fā)起的，指向普通賬戶的暫存地址。另一種是由普通賬戶發(fā)起的，指向智能合約的地址。由于暫存地址的隨機(jī)性，第三方無(wú)法得知接受者的身份。

D、輸入和輸出的平衡——“Balance”

Tx將“ins”、“Z outs”、“O outs”打包到一起，我們使用Perdesen Commitment來(lái)防止惡意攻擊者篡改里面的數(shù)據(jù)并確保資產(chǎn)的安全，它的同態(tài)加密特性使驗(yàn)證者在不知道信息細(xì)節(jié)的情況下，可以確認(rèn)Balance一定是平衡的，即輸入等于輸出。

另外，為了防止惡意攻擊者對(duì)“O outs”的篡改，我們使用Perdesen Commitment的隨機(jī)特性，以“Balance”的隨機(jī)部分對(duì)“Tx Hash”進(jìn)行簽名。這樣，每個(gè)輸入和輸出都可以獨(dú)立進(jìn)行計(jì)算，并通過(guò)“B Sign”打包到一起。

E、交易發(fā)送者“From”

當(dāng)交易的輸出是指向智能合約時(shí)，某些情況下的智能合約會(huì)根據(jù)編寫的規(guī)則，把資源輸出到給定的賬戶。這時(shí)暫存地址“From”就是承接輸出資源的地方。“From”在交易生成的時(shí)候就被確定，并且只使用一次，除了交易發(fā)送者外，其他人無(wú)法定位發(fā)送者的身份。

F、匿名Token的發(fā)行

Token又被稱為“同質(zhì)化通證”，是SERO系統(tǒng)內(nèi)部的一種資產(chǎn)形式，相同種類的Token可以任意的分割和混合。SERO系統(tǒng)上的Token和以太坊Token不同。SERO幣作為SERO系統(tǒng)的第一個(gè)幣種，本質(zhì)上也是一種Token。對(duì)于Token資產(chǎn)，除了手續(xù)費(fèi)規(guī)定只能以SERO幣繳納外，在SERO系統(tǒng)內(nèi)部是同一對(duì)待的，具有相同的基于零知識(shí)證明的安全性。匿名Token可以使用SERO的智能合約任意發(fā)行，一旦匿名Token發(fā)行成功，智能合約可以將Token以普通交易的形式發(fā)送到某個(gè)賬戶的暫存地址PKr，這時(shí)這些被發(fā)送的Token將以UTXO的形式脫離智能合約賬戶，并且與SERO幣一樣，進(jìn)入用戶的個(gè)人賬戶中，從而被SERO的零知識(shí)證明隱私機(jī)制所保護(hù)。

G、SERO系統(tǒng)對(duì)非同質(zhì)資產(chǎn)（Ticket）的支持

Ticket又被稱為“非同質(zhì)化通證”，是SERO系統(tǒng)內(nèi)部的另一種內(nèi)涵更為廣泛的資產(chǎn)形式。Ticket和Token不同，是一種不可分割的，具有個(gè)體唯一性的通證形式。和Token一樣，SERO對(duì)Ticket同樣提供了匿名性的支持。當(dāng)匿名Ticket發(fā)行后，智能合約將表現(xiàn)為ID形式的Ticket的以普通交易的形式發(fā)送到某個(gè)賬戶的暫存地址PKr，這些Ticket將會(huì)以UTXO的形式脫離智能合約賬戶，以和SERO幣以及Token類似的機(jī)制，被SERO的零知識(shí)證明隱私機(jī)制所保護(hù)。

Ticket是一個(gè)256Byte的數(shù)字，可以指向在智能合約中保存的復(fù)雜的數(shù)據(jù)構(gòu)造，因此可以適合復(fù)雜業(yè)務(wù)場(chǎng)景的構(gòu)建。Ticket所指向的數(shù)據(jù)結(jié)構(gòu)的簡(jiǎn)明示例如上圖，Asset是資產(chǎn)的數(shù)據(jù)結(jié)構(gòu)，這個(gè)資產(chǎn)的數(shù)據(jù)結(jié)構(gòu)可以是SERO幣，Token或者是Ticket，因?yàn)門icket的對(duì)數(shù)據(jù)的指向性，所以這種結(jié)構(gòu)可以支持無(wú)限的嵌套，組成符合業(yè)務(wù)需求復(fù)雜的資產(chǎn)結(jié)構(gòu)。Data可以保存除資產(chǎn)外的其它數(shù)據(jù)結(jié)構(gòu)編碼而成的數(shù)據(jù)，這個(gè)數(shù)據(jù)代表的數(shù)據(jù)結(jié)構(gòu)也是可以嵌套的。Package保存的是用戶用一個(gè)密鑰編碼后的資產(chǎn)或數(shù)據(jù)。利用Ticket功能，開(kāi)發(fā)者完全可以把加密貓這類復(fù)雜的游戲應(yīng)用改造成匿名版本的實(shí)現(xiàn)。

H、SERO系統(tǒng)對(duì)加密的資產(chǎn)或數(shù)據(jù)包（Package）的支持

在以數(shù)據(jù)為中心的應(yīng)用中，這些數(shù)據(jù)包括時(shí)間戳、高價(jià)值的數(shù)據(jù)存儲(chǔ)、各類證明數(shù)據(jù)或密碼串、資產(chǎn)數(shù)據(jù)等等，比如類似醫(yī)療數(shù)據(jù)等高度隱私性的數(shù)據(jù)。這些應(yīng)用如果用區(qū)塊鏈來(lái)實(shí)現(xiàn)，并由智能合約來(lái)輸入和輸出，會(huì)遇到了明文數(shù)據(jù)的暴露問(wèn)題。SERO也提供了相應(yīng)的數(shù)據(jù)保護(hù)技術(shù)，讓這些明文數(shù)據(jù)的暴露由用戶自己來(lái)控制，這種技術(shù)叫Package。當(dāng)前版本的Package應(yīng)用了對(duì)稱性加密技術(shù)ChaCha20，加解密速度很快并且非常安全。用戶可以在客戶端打包Package，并得到相應(yīng)的密鑰，打包之后，這個(gè)Package可以進(jìn)行匿名轉(zhuǎn)移，或者輸入到智能合約中進(jìn)行相應(yīng)的邏輯操作，在此過(guò)程中，這個(gè)加密Package里的內(nèi)容都是不可被破解的。當(dāng)需要解密時(shí)，用戶可以根據(jù)自己的情況，私下把密鑰轉(zhuǎn)移給關(guān)聯(lián)方，讓關(guān)聯(lián)方使用密鑰解密出相關(guān)的資產(chǎn)和數(shù)據(jù)。

SERO幣、Token、Ticket、Pagkage這四種類型的資產(chǎn)共同組成了SERO系統(tǒng)匿名資產(chǎn)的生態(tài)，這幾種資產(chǎn)類型都在一套編碼體系內(nèi)完美的融合，結(jié)合SERO系統(tǒng)的圖靈完備的智能合約對(duì)這些資產(chǎn)的編程，開(kāi)發(fā)者可以開(kāi)創(chuàng)性得在鏈上實(shí)現(xiàn)在之前系統(tǒng)上無(wú)法實(shí)現(xiàn)的各種隱私保護(hù)相關(guān)的DApp，適用于各類隱私保護(hù)領(lǐng)域的業(yè)務(wù)需求的實(shí)施。

七、SERO適用的場(chǎng)景

隱私保護(hù)是現(xiàn)實(shí)世界中個(gè)人與組織都存在的強(qiáng)烈需求。SERO支持圖靈完備的智能合約和各類相關(guān)隱私組件，能支持不同經(jīng)濟(jì)生態(tài)的拓展。由SERO系統(tǒng)開(kāi)始，匿名資產(chǎn)的發(fā)行和掌控權(quán)將不再為少數(shù)對(duì)密碼學(xué)有深厚造詣的極客組織所獨(dú)享，普通開(kāi)發(fā)者，只要有相關(guān)業(yè)務(wù)需求，都可以在SERO鏈上發(fā)行自己的匿名資產(chǎn)，建立自己的隱私生態(tài)，這極大拓展了區(qū)塊鏈隱私保護(hù)相關(guān)技術(shù)的適用范圍。下面列舉幾個(gè)典型的使用場(chǎng)景：

A、供應(yīng)鏈體系

區(qū)塊鏈可以解決供應(yīng)鏈體系上下游交易憑證和溯源的難題，簡(jiǎn)化了供應(yīng)鏈中心企業(yè)管理的難度并給上下游企業(yè)的融資提供了相應(yīng)的解決方案。但是，價(jià)格、貨物等敏感數(shù)據(jù)，上鏈的話又面臨泄露商業(yè)機(jī)密的難題。而利用SERO系統(tǒng)，可以完全解決商業(yè)機(jī)密暴露的難題，同時(shí)，又讓參與各方享受到應(yīng)用區(qū)塊鏈系統(tǒng)所帶來(lái)效益提升。

B、醫(yī)療健康

在醫(yī)療健康相關(guān)行業(yè)，數(shù)據(jù)隱私體現(xiàn)于方方面面，從個(gè)人病例到醫(yī)療記錄，面向多角色的隱私保護(hù)和授權(quán)機(jī)制需要十分靈活和安全的隱私保護(hù)能力，涉及到醫(yī)院、患者、保險(xiǎn)公司、醫(yī)藥公司等，數(shù)據(jù)隱私的保護(hù)和限制授權(quán)使用顯得尤為重要。SERO系統(tǒng)，可以解決患者和醫(yī)院面臨隱私問(wèn)題，同時(shí)也為保險(xiǎn)公司和醫(yī)藥公司安全合規(guī)并且在患者許可的情況下使用相關(guān)數(shù)據(jù)打開(kāi)了通道。

C、在線競(jìng)拍

在諸多追求公平的在線競(jìng)拍業(yè)務(wù)中，出價(jià)的私密性是非常重要的，但在利益的驅(qū)使下往往難以做到，而SERO可以提供一個(gè)完全安全、獨(dú)立、公平的競(jìng)價(jià)環(huán)境。

D、在線預(yù)測(cè)相關(guān)行業(yè)

在線博彩業(yè)的發(fā)展一直以來(lái)都受到中心化機(jī)制的制約，在這個(gè)巨大的現(xiàn)金流行業(yè)中，非常需要一個(gè)能夠提供多人出價(jià)、支付、結(jié)算的去中心化智能合約體系，SERO系統(tǒng)能完全支持這類業(yè)務(wù)。

E、游戲

大型的游戲往往需要一個(gè)易于流通、交易和結(jié)算的貨幣體系，并能基于智能合約發(fā)行和流通，同時(shí)還要兼顧交易的隱私保護(hù)。而目前SERO是唯一能做到多貨幣體系能基于同一智能合約體系發(fā)行和流通，且兼顧交易隱私的技術(shù)方案。

還有更多的涉及資產(chǎn)數(shù)字化，又涉及數(shù)字資產(chǎn)隱私敏感的行業(yè)，如保險(xiǎn)行業(yè)、數(shù)字貴金屬交易、期貨交易、數(shù)字資產(chǎn)交易（如征信和知識(shí)產(chǎn)權(quán)等）、信貸行業(yè)等。在這些領(lǐng)域，SERO系統(tǒng)都大有用武之地。