区块链 是信息互联网向价值互联网转变的重要基石，是古代数字货币体系的可选技术之一。它以 密码学 技术为根底，经过散布式多节点“共识”机制，可以“完好、不可窜改”地记载价值转移（买卖）的全进程。区块链采用的详细技术包括密码学、 共识协议 、 博弈论 、数据存储、 P2P通讯 等，是多种已有技术的交融创新。本文从共识协议、平安与隐私维护机制、可扩展性与效率、零碎/协议的平安剖析与评价等四个方面，对区块链的研讨停顿停止了概要评述。

一、共识协议

共识协议用于在散布式零碎中完成可用性与分歧性，是区块链的关键技术，其中心目标包括共识协议的健壮性 （容错、容歹意节点的才能）、高效性（收敛速度，也即零碎达成分歧性或“稳态”的速度）及平安性（协议笼统实际模型的平安界）。代表性协议包括PBFT为代表的BFT类共识、PoW/PoS为代表的中本聪共识（Nakamoto Consensus）、新型混合共识等。

（一）BFT类共识

BFT（Byzantine Fault-Tolerant）算法于20世纪80年代开端被研讨，旨在处理所谓拜占庭将军成绩。BFT类算法中最著名的是PBFT，该算法是基于音讯传递的分歧性算法，在弱同步网络下，算法经过三个阶段可以达成分歧性，复杂度为O(n2)。在无法达成分歧时，这些阶段会反复停止，直到超时。PBFT的优点是收敛速度快、节省资源、具有实际上的平安界（实际上允许不超越1/3的歹意节点存在，即总节点数为3k+1，其中正常节点超越2k+1个时，算法可以正常任务）。

Andrew Miller在2016年提出的HoneyBadgerBFT对PBFT做了改良，其进程由原子播送（Atomic Broadcast）和异步公共子集协议（Asynchronous Common Subset）两局部组成，它运用N个二进制共识协议实例并依据其后果来决议一个公共子集。HoneyBadgerBFT可以在异步网络下停止共识，不依赖于任何关于网络环境的工夫假定 。

BFT类共识随着参与共识节点的添加，通讯开支会急剧上升，达成共识的速度则疾速下降，难以支撑上万节点规模的散布式零碎。此外，节点参与共识首先要取得投票权，因而要为节点的参加和加入进程设计额定的机制，添加了协议复杂度和完成难度。

（二）中本聪共识

比特币经过引入经济鼓励改造了共识投票的进程，将每次账本数据变化都布置一轮投票变为滚动的有限期投票：任何人都可以生成一个包括买卖的区块（添加账本数据）并播送，其别人假如赞同该区块归入账本，则将该区块的哈希作为本人结构的区块数据的一局部，以对该区块停止“确认”；对某个区块的“确认”也包括了对该区块前序一切区块的“确认”；以任务量大小决议投票权重，投票附加的任务量大的区块胜出。这类共识机制的平安依赖于特别设计的经济鼓励，比方任务量证明（PoW）或许权益证明（PoS）等。 

比特币的任务量证明是寻觅满足特定难度值的区块头哈希，比特币之后的虚拟货币项目为了防止呈现公用ASIC矿机，开端设计抗ASIC的PoW算法，其中一类的思绪是经过串联不同的哈希函数来添加ASIC芯片设计的难度，但并不具有抗ASIC的才能。

另一类思绪则是设计内存耗费型算法，比方Ethereum基于Dagger-Hashimoto的Ethash，Zcash基于狭义生日悖论成绩的Equihash，æternity基于二分图环路检测的Cuckoo Cycle等。这类算法在计算时需求占用少量内存，内存作为成熟产品优化空间小，设计公用ASIC芯片的本钱优势不大。

为了克制PoW资源耗费大，运转本钱高的成绩，PeerCoin最早提出并完成了权益证明（Proof of Stake，PoS）类的共识协议。PoS协议下，节点取得区块创立权的概率取决于该节点在零碎中所占有的权益比例的大小。

PoS普通需求用户时辰在线，这对使用带来了很大应战。为理解决这个成绩，衍生出了DPoS（Delegated Proof of Stake）共识，其中心思想是从先从全网节点中选出局部节点，保证这些节点的无效性，然后在该子节点集合内停止PoS共识。

PoS共识机制也惹起了学术界的极大兴味。康奈尔大学的Elaine Shi等在2017年提出了基于Sleepy Model的PoS共识，并对其停止了方式化描绘和平安性剖析，证明了该共识零碎在散布式环境下有良好的强健性。爱丁堡大学的Aggelos Kiayias等在2017年也设计了一种名为Ouroboros的PoS方案，该效果宣布在密码学顶级国际会议Crypto 2017上。

（三）混合共识

Elaine Shi等在2017年提出了将中本聪共识和BFT类共识停止无机结合的混合共识方案，该方案经过PoW机制来选取Committee（担任买卖的验证确认及区块创立），Committee经过PBFT来停止买卖及区块的共识确认。

而Silvio Micali等在2017年提出的基于可验证随机函数（VRF）的Algorand协议则从另一个角度动身， 经过“加密抽签”的办法随机决议区块创立者后，用带权重的拜占庭协议达成全网共识，可视为一种多级静态验证组BFT共识和PoS的混合方案。Algorand达成共识的状况会规约成3种，以大约率保证了只要独一的输入，相比Sleepy和Ouroboros共识模型，确定性更好，不容易分叉。

二、平安与隐私维护机制

平安机制是区块链中最为中心与关键的组成局部，而密码原语与密码方案是平安机制的支撑技术。在私有链中，平安机制次要包括：隐私维护、共识协议平安性、智能合约平安性、数字账户平安（钱包私钥维护）、离链买卖平安机制、密码算法的完成平安及晋级机制等。

（一）隐私维护

在私有链中，需求对买卖数据、地址、身份等敏感信息停止维护，同时又能让记账节点验证买卖的合法性；关于联盟链，在构建隐私维护方案的同时，需思索可监管性/受权追踪。可以经过采用高效的零知识证明、承诺、证据不可区分等密码学原语与方案来完成买卖身份及内容隐私维护；基于环签名、群签名等密码学方案的隐私维护机制、基于分级证书机制的隐私维护机制也是可选方案；也可经过采用高效的同态加密方案或平安多方计算方案来完成买卖内容的隐私维护；还可采用混币机制完成复杂的隐私维护。

1．混币技术

混币技术是指将多笔不相关的输出停止混合后输入，使得外界无法关联买卖的输出与输入，从而分辨不出数字货币的流向。这是最朴素的匿名技术。

CoinJoin是一种有关协议的匿名混币技术，运用者需求委托第三方，来结构一笔混合多笔输出的买卖。CoinJoin技术不是完全匿名的，即提供效劳的第三方可以晓得混币买卖的流向。TumbleBit协议是另一种混币技术。该协议是一种链下通道的混币协议，也需求第三方参与，但第三方无法晓得买卖细节，仅仅是提供效劳。TumbleBit分为Puzzle-Promise Protocol和RSA-Puzzle-Solver Protocol两个子协议，需求发送方、接纳方和第三方停止屡次交互。

2．环签名

Monero（门罗币）在保证买卖的隐私性方面使用了一次性环签名（One-time Ring Signature）技术，具有不可链接（Unlinkability）和不可追踪（Untraceability）两大特性。

门罗币里，用户有两对主公私钥对，用于生成一系列的一次性密钥对。这些一次性密钥在买卖时运用，且无法关联到主公私钥对。停止买卖时，发送者需求运用一次性公私钥来计算独一的key image，然后选择一个公钥集合来停止环签名。校验者可以验证签名的合法性，但无法晓得签名者的公钥。在网络里，节点需求维护一张表，来记载每次运用过的key image，否则会呈现双花成绩。环签名可以无效进步匿名性的同时，无需任何第三方协作参与。但相比椭圆曲线签名，环签名的签名长度分明增大，生成签名和验证签名的复杂度也大大添加，这会给网络带来多余的担负。

3．零知识证明

ZCash采用了名为zk-SNARK的零知识证明技术，来保证买卖的发送者、承受者和买卖金额的秘密性。在ZCash里，发送者经过向全网播送承诺（commitment）和废弃值（nullifier）来停止转账买卖。zk-SNARK用于向网络证明承诺和废弃值的合法性，同时又不揭露发送者的身份。

zk-SNARK具有两个特点：简约性（Succinct），即验证者只需求大批计算就可以完成验证；非交互性（Noninteractive），即证明者和验证者只需求交流大批的信息即可。zk-SNARK可以证明一切的多项式验证成绩。它提供了一个零碎化的办法，可以把任何验证顺序转化成一个名为 Quadratic Span Program (QSP)的多项式验证成绩。因而，恣意复杂的验证成绩都可以由zk-SNARK来证明。zk-SNARK的缺陷在于计算验证数据时，需求一定的计算量。此外，zk-SNARK还有一个初始参数设置阶段，来生成一个“相对秘密”的随机信息。运用这些初始化的随机信息可以诈骗验证者，因而需求保证该进程的相对秘密与平安。

（二）数字账户平安

钱包私钥直接关系到账户平安，需求对钱包私钥停止妥善维护。可采用无密钥的密码算法（规范算法的白盒化方案或设计新型的白盒密码算法）和代码混杂技术，完成敌手无法提取中心密码算法和密钥信息；或采用基于口令、身份、生物特征等认证因子的加密算法对密钥停止加密存储；基于TEE（可信执行环境）、辅佐硬件的技术方案也是保证数字账户平安的可选方案之一。

（三）密码算法的完成平安及晋级机制

需确保区块链中密码算法的完成平安，并构建密码算法更新/晋级时的平安机制。密码算法的完成平安包括软件完成的平安性及硬件完成的平安性，防止密码误用，无效抵抗旁路攻击。

三、可扩展性与效率

可扩展性旨在散布式账本协议的根底上，对全体停止功能效率的提升、扩容或功用性上的扩大，可选办法包括：延长区块的发生距离、添加区块大小、采用双层链构造、引入闪电网络、在不影响平安性的前提下修剪区块中的数据等。

（一）闪电网络

闪电网络是比特币的链下扩容方案，旨在扩展比特币的买卖规模和买卖速度。闪电网络的根底是买卖单方树立双向微领取通道。HTLC（Hashed Timelock Contract）定义了该双向微领取通道的根本任务方式。单方在转账时，转账人将一笔钱解冻，并提供一个哈希值。在一定的工夫内，若有人可以给出哈希原像，就可以运用这笔钱。在这个根底上，两两各自树立链下微领取通道，最终可以扩展成一个链下领取网络。一旦链下网络到达一定的规模，用户找到一个通道数较多的节点后，便可衔接到其他用户，从而完成链下买卖。由于不需求上链，闪电网络中的买卖是即时完成的，只要最终的清算才需求上链。

目前比特币和莱特币均已支持闪电网络。但是，在闪电网络方案中，链下网络的树立及路由协议还存在较大的缺乏之处，伊利诺伊大学香槟分校Andrew Miller等在2017年提出了一种新型的闪电网络协议，进一步优化提升了闪电网络在链下网络树立及路由方面的功能效率。

（二）采用双层链构造

Bitcoin-NG采用了双层链构造，其次要思想是：矿工处理哈希难题并由此创立的区块称为keyBlock，创立keyBlock的矿工在下一个keyBlock呈现之前每隔一小段工夫可以发布一个microBlock。零碎的平安性和强健性树立在keyBlock的PoW机制上，而零碎的买卖吞吐量则经过microBlock的频繁发布得以明显进步。

但是，在Bitcoin-NG中存在两个平安隐患：一是不能无效阻止无私挖矿，二是当某个矿工创立keyBlock之后，他可在短工夫内发布少量的microBlock，从而引发零碎少量分叉并最终对共识机制的收敛性形成很大影响，同时也大大减轻了零碎的通讯负荷。

（三）MimbleWimble

MimbleWimble技术删除买卖中一切已破费的输入，可以无效紧缩区块数据的大小。MimbleWimble运用单向聚合签名（OWAS）对金额停止隐藏，其隐藏公式为，其中C是Pedersen commitment，G和H是与椭圆曲线加密函数（ECDSA）生成的有关的固定值，v是金额，而r是一个机密的 random blinding key（随机盲密匙）。尔后，需求经过range proof 证明输入在正常的取值范围内。用户不需求遍历整个区块链，只需求验证整个区块链的输出之和和未破费的输入之和能否相等，顺次证明整条区块链是正确的。因而，用户可以删除一切已破费的输入，来无效紧缩区块数据的大小。除此之外，MimbleWimble还提供一定的隐私和扩展性，但该方案无法支持复杂的比特币脚本。

四、区块链/协议的平安剖析与评价

在区块链（协议）的平安性剖析与评价中，一方面，需求对已有的共识协议树立笼统实际模型，并基于该模型研讨共识协议的平安性；另一方面，需求研讨在不同攻击办法（或场景下）区块链的平安性，例如：辨别在高同步性、高异步性网络条件下，基于合理的困难成绩假定、攻击者的计算才能、攻击类型及办法等树立相应的统计剖析模型，给出共识协议能无效抵抗相应攻击的平安界；需剖析在鼓励机制生效下零碎的平安性；需对零碎中密码方案软硬件完成停止平安性剖析等。

（一）无私挖矿

传统观念以为比特币是有鼓励相容机制的，即没有人可经过损害个人利益去完成本人利益的最大化。但无私挖矿（selfish mining）的提出证明了这种观念是不完全正确的。在矿工是追求最大化利益的感性者的条件下，只需矿池能控制全网超越1/3的算力，就可以发起无私挖矿攻击，获取更大的收益，并对网络平安形成要挟。

无私挖矿的剖析是基于感性者条件的假定下，但理想中人往往不是完全感性的，且存在多方博弈，因而完成无私挖矿攻击还是存在一定的难度。

（二）分区攻击

在P2P网络里，只需控制一定数量的节点，就可以停止Eclipse Attack，从而发起51%攻击，控制整个网络。这是一种分区攻击。假定网络中只要3个节点在挖矿，其中两个辨别拥有 30%的全网算力，剩余一个有40%全网算力。假如攻击者可以控制拥有40%算力的节点，则他可以隔离其他两个节点，使得他们无法达成共识。最终的后果是，攻击者所生成的链会经共识成为最终的区块链。因而在分区攻击下，攻击者不需求拥有超越一半的算力，就可以发起51% 攻击。发起这种攻击的前提条件是，被隔离节点链接到的一切节点都受攻击者控制。在网络规模不大的时分，这比拟容易完成。

（三） 大数据 剖析

区块数据在全网都是地下的，因而可以很容易地对它们停止剖析。Kumar Amrit 等在2017年经过对Monero历史区块数据的剖析，失掉了如下后果：65%以上的input会发生级联影响，影响到22%的买卖被追踪到；来自同一买卖的output在下次买卖时通常集聚合在一同；匿名集中最近发作的output很能够就是真实被破费的 output。

因而，虽然Monero具有良好的匿名特性，但经过数据剖析，还是有超越半数的买卖被追踪并剖析出来。这阐明了零碎的参数选择和用户的运用习气也会招致隐私暴露。

（四）共识协议的笼统实际模型的平安性剖析

Aggelos Kiayias等在2017年构建了比特币的PoW协议的笼统实际模型，并自创密码学中可证明平安的思想证明了该笼统实际模型的平安性；Elaine Shi等在2017年提出了基于 Sleep Model的PoS共识模型，并对其停止了方式化描绘和平安性剖析，证明了该共识零碎在散布式环境下有良好的强健性。

---

6月15日，亿欧在上海举行「2018全球AI首领峰会——智能+新金融峰会」，关注人工智能AI技术、区块链散布式技术在金融业务范畴的创新与理论，推进智能金融不时演进。

开启片面赋能的「智能金融」时代，购票及嘉宾等概况请点击： 智能+新金融峰会