撰文|Carrie & Ivy | Chain Hill Capital
注意:本文不是投资建议
1.行业现状
区块链技术作为数字化时代的信任解决方案,其去中心化的透明性和现实所需要的隐私性之间存在一定的矛盾。链上数据的公开可验证意味着交易等数据都是有迹可循并且不能被篡改,而当我们在真实世界和虚拟世界进行交互时,不可避免的会留下可以从交易等信息追踪到真实身份信息的痕迹。
存储在链上的所有数据都是公开可验证的,这对区块链及智能合约来说都是一个致命的问题。缺失了隐私保护,这在现实世界中是无法接受的,因为不仅个人希望保护自己的财产信息和其他私人信息隐私,任何企业或组织也希望保密其敏感和有价值的数据。另外,GDPR (欧盟通用数据保护条例) 和 CCPA (加州消费者隐私法案) 等隐私法规也表明监管对于个人数据的保护将越来越严格。因此,如果无法解决隐私问题,加密货币和区块链就无法实现大规模采用。
针对区块链的隐私问题,目前行业提出了以下不同的解决方案:
1.1 隐私加密货币
要实现加密货币的隐私,需要做到对发送者、接收者、交易金额和交易IP等信息的保密,使得这些信息仅对参与方(或参与方指定的第三方)可见。针对这个问题,衍生出了匿名币分支。这个分支的特点是仅仅作为货币,不支持智能合约功能。目前这个领域项目较为丰富和成熟,很多头部项目早在2014就已经推出了。截止2020年11月23日,匿名币板块当前总市值254亿人民币。
数据来源:非小号,截至时间2020年11月23日
比特币的隐私基础设施
实际上,比特币最初的设计也是为了实现匿名,但比特币使用非对称加密算法,隐私匿名性相对较弱,用户的交易仍可以被所有节点查看。并且随着算法的提升,根据UTXO可被追踪到交易的发起方和接受方。由此基于比特币的隐私基础设施在早期也提出了一些改进算法。
CoinJoin
该方案原理相对简单,即把不同用户的多个交易合并成一个交易来掩盖UTXO的所有权。其他人无法从这种混淆的交易中确定地址为一人所有,也无法确定货币的流向。并且用户可以多次进行Coinjoin操作,进一步隐藏交易的信息。
Coinjoin方案不需要改变比特币的协议,相对易实现。Coinjoin的缺点在于中间服务器可以掌握所有用户的输入输出地址,具有隐私暴露给了第三方的风险。同时如果中间服务器遭受攻击,用户的信息也会容易泄露。除此之外,在混币参与方中,至少有一方知道混币具体有谁参与,或者能够访问地址间映射。
目前主要有3个采用混合服务器tumbler的隐私钱包:Wasabi,Samourai和Joinmarket。使用coinjoin的用户需要在服务器上登记,由服务聚合器为多个用户请求参与进入混币步骤。主流的服务商例如BTCPay Server也采用了基于coinjoin的隐私技术P2EP,与仅发送方从钱包中发起转账的常规比特币转账不同,P2EP转账将发送方和接收方的输入打包在一起,接收方也会向自己发送额外的比特币。相比简单的coinjoin提高了隐私性能。
TumbleBit
TumbleBit是一种去中心化的混币服务。它使用一个去中心化的tumbler在参与者之间创建离线支付通道。用户将币发送给中间tumbler,通过这些通道获得等量的其他比特币。TumbleBit的保密程度比coinjoin更胜一筹,因为个人和tumbler的交互是相互独立的,不会受到其他作恶方的影响,并且匿名大小不受任何限制。但在tumbleBit上进行混币必须为混币垫付资金。
Coinshuffle
Coinshuffle是具有coinjoin思想的改进混币方案。引入了纠察机制,每次混币失败都可以找到恶意节点,用户可避开恶意节点进行下一轮操作。coinshuffle无需额外混合费用,并且能够纠察低手,但缺点在于不能自定义混合金额,效率较低。
总体上,所有的混合方案都可以兼容比特币系统,可以保护比特币的交易地址。但是,所有混合方案都存在开销问题,系统需要消耗更多的计算机资源和通信资源实现混合。
1.2 隐私智能合约
对于智能合约的隐私,则需要对输入和输出数据以及网络状态进行加密,使其对用户本人以外的所有方(包括执行智能合约的节点)隐蔽。通过隐私智能合约,敏感数据和应用程序可以安全地在开放的公链环境中运行,这是大多数实际用例所需要的。针对智能合约的隐私问题,一类是基于公链的基础设施,解决公链的隐私问题;另一类专注隐私计算,以发展垂直细分领域为目的的基础公链。
1.2.1 公链隐私方案
1.底层架构支持隐私智能合约(或隐私dapp)的基础公链。
这类项目有2017年推出的Horizen和Particl,以及2018年出现的超零币。这个细分领域的总体市值约9亿人民币。相比于单纯的匿名币,结合了隐私智能合约概念的项目受到的资金关注度反而要小几个量级。这一方面可能跟发展的成熟度不同,另一方面,可能说明这种项目定位没有受到市场的认可。
此外,还有像AOS和Origo这类的项目,其本身不是匿名币。Origo是一个分布式隐私应用平台,能同时支持隐私转账和隐私智能合约,其投资机构包括Polychain Capital、共识实验室、NGC等一系列知名机构,以及同样投资了超零币的了得资本。但是该项目并不受市场看好,相比IEO的价格已经跌了-89.86%,期间最高涨幅也只有不到100%。
AOS项目较可疑,从有限的披露信息来看,它是一条隐私公链,支持用户自主发行隐私资产,可采用零知识证明编程和便捷开发隐私DAPP。该项目虽然在非小号上显示的流通市值是1.1亿人民币,但是其上线交易所只有两家规模很小的平台,因此这个市值非常可疑,而且该项目披露的信息极少。
数据来源:非小号,coingecko 截至时间2020年11月23日,为了便于比较,这里的纵轴跟纯匿名币项目相同
2.现有公链的自我升级。
以太坊一直以来都在探索扩展性和隐私问题,当前团队非常看重的一个解决方案是基于零知识证明的ZK Rollup技术 ,其工程实现如ZK Sync看起来很有希望。在扩容方面,ZK Sync可以为以太坊带来数千笔交易 / 秒(TPS)的吞吐量、高度的抗审计性,以及超低延迟。在隐私方面,以太坊将建立一个专门为基于零知识证明的智能合约而设计的编程框架和虚拟机环境,这可以大大降低开发者开发隐私智能合约的技术门槛。
3.针对现有公链的隐私工具和协议。
这类项目没有独立的主网,专注于为其他公链服务。例如,波卡生态的隐私智能合约平台Phala Network,它未来将会成为 Polkadot 的平行链,通过跨链协议为任何区块链提供隐私计算、保密智能合约、defi和数据服务等应用。该协议现已支持隐私环境下的交易转账、一键发布隐私资产等功能。在波卡的支持下,可以成为具有可组合性和互操作性的机密智能合约网络。
围绕以太坊也有很多的隐私工具,如隐私协议项目Aztec采用ZK-ZK rollup方案,以在以太坊主网上实现每秒数百笔的隐私交易,同时可降低每笔隐私交易的成本。Aztec协议使用了一个 “零知识票据” 系统来追踪隐匿的资产。这些票据(包括票据的所有者)公开在以太坊网络上,但除非你是该票据的主人,否则无从知晓每条票据中的金额;以太坊二层隐私技术Zkopru,结合了Zk SNARK和Optimistic rollup技术,支持低成本的在二层网络内进行私人转移和原子交换;四大会计师事务所之一安永的区块链团队发布的“ Nightfall'',该方案利用零知识证明可以在以太坊区块链上启用匿名交易。
经过迭代之后,Nightfall可以广泛适用于游戏物品和收藏品;通过开源混合器Hopper,移动设备可以在以太坊区块链上进行私人交易,用户可以在不透露任何公共账户地址的情况下在私人账户存入或提取ETH,它还利用零知识证明来验证私人转账的接收者;Quorum使得基于Ethereum可以构建私人的合同和私人交易,二者分别允许指定网络中的哪些节点可以访问该合同并可以执行,其他节点看不到合同的代码或数据,也无法查询或执行,以及使交易仅对授权参与者可见。
1.2.2 隐私计算公链
1.底层架构支持隐私智能合约(或隐私dapp)的基础公链,但其原生代币不是匿名币。
代表性项目是以隐私加密技术作为核心出发地的项目,一般被称为隐私计算公链,如Enigma、 ARPA、PlatON,以及Oasis Labs 。一方面,作为独立的公链它们可以直接在主链上开发隐私兼容的智能合约;另一方面,它们又可以作为其他公链的二层网络(Layer-2)解决方案,为任何公链提供隐私计算能力。此外,这几个项目的愿景是跟大数据和AI行业相结合,前景十分广阔。
Oasis Labs和PlatON两个项目的代币还没有上二级市场,因此暂时无法做市值比较,但是这两个项目作为国外和国内的代表性优质项目在一级市场已经获得了众多的资本关注。Oasis Labs 目前为止通过私募总共募集 4,500 万美元,投资机构包括业界知名机构 Polychain、a16z、Binance Labs 等 36 家投资机构。PlatON先后两轮共计融资超过5000万美金,最新一轮融资由高山资本和Hash Global Capital领投,新加坡OUE集团、亚洲领先的保险资管机构及其他家族办公室共同参与。这两个项目都还在比较早期,主网还未正式上线,代币也未上线交易所,但其团队实力强大,且专注于项目的技术开发,一直以来广受社区好评,并受到很高的市场关注,相信二者未来都很有可能成为这一领域发展潜力最大的项目。
目前这个细分领域的总体市值是3.3亿元,主要原因在于隐私计算类型的项目发展较为早期,受市场关注的主要项目尚未进入二级市场。
数据来源:非小号,coingecko,截至时间2020年11月23日,为了便于比较,这里的纵轴跟纯匿名币项目相同
2. 市场痛点
区块链技术有广泛的应用场景,除了加密货币和支付转账之外,还可以为各行各业的商业场景赋能。但其当前无法被大规模采用的原因在于:扩展性不足、成本高、用户体验差以及缺乏隐私保护。
区块链扩容方案研究人员Alex Gluchowski指出了解决隐私问题的痛点。
由于以下几个因素,在公有区块链上实现隐私保护是极其困难的:
1.隐私保护必须作为一个完整协议特性被默认启用。引用 Vitalik Buterin 的话:「只有全局性的匿名集合才是真正可靠安全的。」
2.为了默认启用隐私保护,计算成本会明显地增大,但隐私交易要实用,其成本一定要十分低。
3.隐私模型必须支持可编程性,这是因为现实世界的用例需要的,不仅仅是转账:这些隐私模型还需要账户恢复,多重签名,支付限度,等等。
安全性与隐私性的困境
比特币和以太坊等区块链的设计选择了安全性和去中心化,一定程度上牺牲了可扩展性,使得区块链难以支持繁重、复杂的计算。同样,这样的设计也带来了安全性和隐私性的困境。链上数据公开可验证,一方面确保了每笔交易的安全性,另一方面却对用户的隐私保护带来了极大的困扰。实际上,全局性的匿名可以通过对数据进行加密实现,加密的数据可被许可的各方验证而不需要完全的公开透明。例如零知识证明和安全多方计算等隐私技术采用密码学的方法对数据加密,持有私钥的许可方才能正确验证。
可扩展性难题
牺牲的可扩展性带给用户最直观的感受就是交易等待确认时间长,交易手续费高。在以太坊上,由于状态拥挤导致的gas费激增,交易等待确认时间延长,对于隐私计算需要的繁琐计算步骤,高额手续费只会让用户望而却步。因此部分隐私计算项目选择了自己搭建原生公链或寻求高性能可扩展性的跨链进行搭建。
可组合性和互操作性
隐私除了匿名性,还需要有各种支持匿名的组块在链上相互协作,在多签、账户找回、智能合约等互操作上保持隐私性。除此之外,目前大多数的区块链技术体系局限在节点之间的性能和信任问题,而区块链进一步发展需要的不仅仅是性能的提升,还要能够在不同的链上组合与互操作。不同链上的智能合约能够相互调用和并行,实现充分的数据交换和协同计算,才能解决各类应用中更加复杂的问题。
3. 隐私解决方案
基于上述痛点,不同的项目选择了不同的技术解决方案。到目前为止,提出的隐私匿名保护技术多种,并在不断的演化和改进。
最开始针对数字通证隐私的协议CryptoNote被提出,其采用隐地址和环签名保护交易双方的地址匿名。2013年针对比特币的隐私性提出了“混币”技术,混币技术只是增加了追踪的难度,仍是可以被追踪到的。为了改进混币需要第三方参与和匿名性不足的缺陷,随后出现了以Zcash和门罗为代表的匿名币,他们采用零知识证明和环签等匿名技术保护原生币加密隐私。同期侧链和通道的二层解决方案也陆续被提出。
这些方案都是集中在交易层面上的匿名而无法扩展到图灵完备的智能合约上。因此,2018年开始相继有关于隐私计算的项目开始推出,隐私不止基于用户的交易隐私,更应该扩展到智能合约,以保护智能合约中的任何机密数据不被泄露,实现智能合约的交互。例如Arpa采用基于密码学的安全多方计算(MPC)以及Enigma和Oasis则采用基于硬件安全的可执行环境(TEE),以太坊采用的zk rollup解决扩容和隐私的问题。
下表为各隐私匿名技术的应用情况及优劣势对比:
主流隐私技术细节对比
上表的前3种方案解决更多的是基于交易的匿名性,难以做到良好的安全性和百分百的匿名性。在隐私计算上,基于密码学层面的技术有全同态加密(FHE),多方安全计算(MPC)、零知识证明三种;基于硬件设计的方案主要有可信执行环境(TEE)等技术。
多方安全计算MPC的安全性和可信度基于密码学,安全可验证,其落地性主要集中于小场景,对于特定算法和高安全要求的敏感数据做处理。但其计算灵活性受限,随着参与方人数的增加计算效率会进一步减慢,在实际应用中存在通讯负担的问题。目前的多方安全计算单个运算可以达到毫秒级,但在大数据场景下,一个数据应用或模型训练涉及到上万的数据样本,运算效率和通讯负担是阻碍MPC发展的瓶颈。而且对于需要执行复杂计算任务的应用场景,MPC目前还难以胜任,尚需要几年的时间优化。
全同态加密目前仍基于理论阶段,在可信度和灵活性,效率等各方面都相对较落后,实际运用时效率太低,构造方式和实现技术复杂,尚不能大规模商业应用。现有FHE方案主要通过同态解密技术来降低密文膨胀问题,这样确实从理论上看能够克服计算边界的问题,但从实现角度上看非常复杂。此外,安全性与适用性问题也必须加以考虑,目前大部分同态加密算法无法有效抵抗自适应选择密文的攻击,最高安全级别只能达到抵抗选择明文攻击。
可信执行环境TEE实际上已大规模应用,例如手机上的指纹解锁,生物识别等。TEE基于可信硬件设施,在安全性上依赖硬件的可信环境和中心化的硬件厂商,需要对硬件做出可信假设,可能面临侧信道攻击(side channel attack,SCA。一种能够从密码设备中获取秘密信息的密码攻击方法)。其优势在于灵活性较高,对通用计算较友好,速率较快。技术搭建相对成熟,相比于其他隐私计算方案,TEE的综合实力是最接近实用场景的。
零知识证明是可信度最高的,可以实现完全的匿名性,但部分协议也需要进行可信设置,依赖特殊随机数的生成。可实现灵活的数据计算交互和交叉验证,但实现难度仍然较高,目前能够生成证明的效率在7秒左右,需要大量的算力来提高计算速率。
下表为4种隐私加密技术的细节对比:
上表中不同的技术都有各自的优势和劣势。需要指出的是,隐私解决方案要从需求出发,不能简单的判断那种技术更具优势或类似,只能说哪种技术更合适在上面样的场景下解决问题。因此,这几种方案本身并不矛盾,在某些场景下,结合使用可以达到更好的效果。
4. 市场预测
4.1 匿名币的困境
早期阶段的隐私项目聚焦在隐私货币场景上,门罗币是这个领域当之无愧的龙头,它是隐私交易用户的首选。例如门罗和大零币这类隐私匿名币,他们可以实现比比特币跟难以追踪的功能,但他们的隐私用例是有限的。他们的用例大多是集中在非法交易之类的东西,而交易基础需要流动性和接受度,并且需要很多人来使用它。这点对于比特币有效,因为比特币更具有流动性。
确实,在黑客事件、非法交易、勒索等灰色地带的应用场景中,比特币的使用还是远远超越门罗币。因此,匿名币可能永远无法超越或者替代比特币,并且随着比特币自身隐私性的改善,匿名币有可能会失去更多的市场份额。因此,对于匿名币来说,只有头部项目尚有生存空间,比如实用性和知名度最高的门罗、技术更强大的Zcash和Dash。隐私货币的竞争格局已经基本成型。尾部的隐私币很难再突破局面,要么消亡,要么只能另寻出路。
比如,最近Beam推出了一项新的功能,用于抵押发行具有隐私交易属性的稳定币,探索defi的多元化战略是Beam必须走的求生之路,但机会可能依然渺茫。此外,监管风险也对匿名币的市场空间造成很大的制约。根据著名区块链分析机构Chainalysis消息,全球执法部门和政府机构对区块链调查技术的兴趣和需求在不断增长。
在2019年6月,FATF(金融行动特别工作组Financial Action Task Force)发布了加密货币监管法案,要求交易所在交易期间收集和传输客户信息。这些信息包括交易发起者的姓名、账号和地址信息,以及接收者的姓名及账号信息。这相当于直击匿名币的命门,一旦 G20在其成员国采取同样的FATF新规,大部分主流国家的交易所都可能将下架匿名币。近期,该公司与政府机构IRS签订了颇受业内争议的合同,帮助IRS机构追踪门罗币。Chainalysis的CEO认为,门罗币这类匿名币的未来有限。
在监管上,匿名隐私币遇到了最大的阻碍,隐私保护需要另寻出路。
4.2 以太坊的不断壮大
在公链基础设施上,以太坊的隐私采用零知识证明技术,不仅能够给现有的以太坊带来几十倍的性能提升,还能够为以太坊解决全局性隐私问题。目前以太坊上有多个作为隐私基础设施的项目,例如AZTEC协议采用零知识证明,在扩展性和匿名性上都非常高效,Aztec的落地可以给以太坊带来私密的去中心化交易所,能够在完全保密的情况下交易不同的Aztec资产;私密的加权投票,在社区自治等金融应用中,保障投票者的隐私;匿名身份共享方案,无需透露身份就能证明身份归属。这些应用的扩展对于以太坊上智能合约交互起着非常重要的作用,真正的匿名性可能成为现实。以太坊的扩展性问题和隐私性问题逐渐得到解决,借助其目前已形成的强大应用生态,其他的公链项目将难以匹敌。
4.3 垂直细分领域的发展
除了公链自身的不断发展和完善,在细分领域上,隐私计算也具有一席之地。2018年先后涌现出了一批专注隐私计算的项目:arpa、oasis labs、PlatON、phala network等。他们采用密码学或借助可信硬件为区块链提供隐私保护。这些项目的用例不再局限在链上数据的隐私保护上,他们的出现填补了数据在计算环节隐私问题的空白,为现实世界创造了更多可用用例的可能。目前隐私计算的商业价值在全球数据市场凸显,在数据市场上有诸多垂直细分领域,例如数据交易,AI,大数据,云计算等。
在目前的数据交易加密市场中,大多数项目都高喊着打破数据孤岛的口号,但这实际上是一个伪命题。数据能够交易的前提是数据具有所有权和使用权明晰的划分,用户的信息能够受自己的支配。如果数据来源以及使用没有明确的指向或者许可,数据可被随意转载和复刻,造成数据冗余或随意伪造。因此,在构建一个具有良好正向激励的数据市场时,首先需要构建一个值得信任的隐私保护机制,对数据采集规范化,权属清晰化,信息隐私化,交易透明化。如此,数据才能变成用户的资产而不是附属品,数据孤岛才能真正解决。
AI行业是现有商业应用中接触数据最多的行业之一,但目前整个AI市场遇到了一个大瓶颈:数据较为分散,为了提高整个模型的精度,则需要获得尽可能多的数据;但是由于数据隐私的问题,越来越难以拿到用户的数据。这个“矛盾”带来的问题已经在AI整个行业凸显出来。隐私计算则能够在很大程度上缓解现在AI市场的“矛盾”,因而也会存在着更大的新兴市场。
目前互联网行业的普遍商业模式为采用较低的成本收集成本,然后利用大数据分析整理对数据进行创造和变现。例如在社交媒体上点击了某一商品,某宝、某多多就会在首页中推动这一商品。无疑,用户的数据在使用产品之初就“被动”剥离了所有权,这些数据存储在第三方平台上持续为平台创造利润,而用户却要遭受信息泄露的风险。区块链隐私计算可以很好地切入其中,隐私计算可以先将用户的原数据进行加密后再进行大数据计算,同时给提供数据的用户进行经济激励,数据需求者可以对数据进行购买,构建一个能够正向流通兼具激励的数据市场。
但目前的隐私计算技术仍存在成本高、效率低的瓶颈。在大数据、AI等场景下,训练一个模型的样本量可能在10万左右,而且特征量可能还需更多计算资源,大量的运算致使效率低下,实际商业落地可能还需几年的时间才能完成。
4.4 隐私项目对比
5. 综述
隐私安全技术在区块链领域已经获得了极大的关注和发展,众多项目根据自身特点和技术能力选择了不同的方向和路径。从理论上看,HE、NIZK和MPC三者都可以实现很好的隐私保护,但是在效率和成本方面还有很大的优化空间。同时这些技术的开发难度也较高,比如说最初计划使用安全多方计算的Enigma,虽然其在白皮书中将 MPC 列为其核心技术手段,然而目前为止的实践中却大量采用了 TEE技术。而TEE虽然在效率方面暂时领先,但对安全性和隐私有所折衷。
总体来说,各项目的隐私安全技术开发都还处于持续研发和工程化实现的阶段,还需要不断的迭代和测试,距离真正的落地还有很长的路和很多的工作要做。结合前面提及的隐私问题痛点,我们需要关注各项目在以下几个方面的发展 :1)如何更好的将隐私技术和底层协议进行衔接,使隐私保护成为默认的完整协议特性;2)不断优化效率和成本,实现实用性;3)支持可编程性,对开发者更友好,促进更广泛的商业场景。
隐私赛道的竞争还在进行当中。虽然哪个技术方案和项目可以最终胜出还是未知数,但目前来看,PlatON、Oasis Labs和以太坊是希望最大的。
最终,隐私这条赛道的竞争还是要落在通用隐私性上。前面提到的三个发展方向和策略当中,最有前景的是具有核心加密技术的隐私计算公链以及现有头部公链的自我升级。原因分析如下:
具备核心加密技术,一方面指的是项目采用的是当前最前沿的加密技术,但更重要的是,核心团队要具备相关的技术实力。目前来看,PlatON和Oasis Labs满足这个条件。通过隐私计算,这些项目可以满足高强度计算的算力资源要求,以及解决数据分享问题,从而为AI和大数据行业赋能,使其成为深耕这两个领域的垂直公链。它们的策略不仅不需要直接跟现有公链进行竞争,还可以作为其他公链的二层解决方案,向其他公链输出隐私计算能力,这使得它们的竞争更加灵活和多样化。
隐私计算公链从核心加密计算技术入手去探索更多专用和通用的应用场景,而以太坊则是采用另外一种策略。一直以来,以太坊都采用渐进式的协议升级路线,一步步解决关键问题。在最初阶段,它以安全性为基础、以智能合约为核心竞争力积累了先发优势和生态优势,成为当之无愧的头部基础公链;在后续的迭代升级中,再慢慢解决可扩展性问题和隐私问题。当前,以太坊通过ZK Rollup找到了扩展性和隐私问题的突破,如果它接下来能够成功迭代升级,那么,对于绝大多数公链来说,赢家通吃的局面将无可避免。
相对于头部公链和隐私计算公链来说,其他隐私智能合约公链的核心团队的技术能力略显薄弱,项目规划更多停留在概念阶段;而在开发者和用户生态方面就更不具备竞争优势,由于基础公链网络效应极强,这些尾部项目很难吸引到成熟公链生态内和生态外的开发者,要脱颖而出极其困难。
至于其他的隐私工具和协议,它们更像是过渡性的解决方案,在某个阶段可能具备一定的实用性和价值,但长久来看会被取代。
综上所述,隐私是全行业的重要基础问题之一。最快取得技术突破并提供完善解决方案的项目,可以在整个基础设施的竞争中站稳立足之地。从当前的竞争格局来看,这个赛道上潜力最大的是具备核心隐私技术的项目和综合竞争力最强的项目。前者有望成为为计算密集型行业服务的去中心化云计算,而后者则可能成为去中心化的全球计算机,支持更广泛的商业场景。