Microsoft Word - Usechain_技术白皮书_CN_ docx

Size: px

Start display at page:

Download "Microsoft Word - Usechain_技术白皮书_CN_ docx"

约微宗
5 years ago
Views:

1 USECHAIN 全球隐身镜像区块链生态

2 技术白皮书 I

3 摘要自 2009 年以来, 去中心化的区块链产业及技术蓬勃发展比特币和以太坊系统 [1] 分别给区块链世界带来了去中心化货币和智能合约这些崭新的概念区块链技术使得我们的社会具有自我管理的可能然而, 目前所有广泛使用的公链都是基于匿名系统, 数字加密货币日益成为洗钱走私非法集资等违法犯罪活动的工具同时由于执行效率低扩展性差等, 最大的应用仍然仅限于数字货币交易匿名区块链里面的主体都是地址, 而社会所有应用的主体都是自然人, 所以区块链的大范围应用落地必须要建立地址与自然人之间的关系镜像致力于研发一条隐身镜像的基础公链, 建立一个基于身份公链的生态系统, 促进各种区块链地址对应认证用户实体的区块链应用的落地, 实现社会信用基础设施与商业应用的紧密结合通过隐身镜像协议 MIP, 基于零知识证明实现身份信息和身份信息认证的分离, 使身份链在达到与匿名公链同等隐私安全水平的前提条件下, 实现链上地址和自然人身份镜像映射充分利用隐身镜像信息, 一方面可以显著优化现有区块链算法包括网络分片算法共识算法虚拟机等, 另一方面可以提供一些现有匿名区块链不具备的功能, 比如按人投票地址惩罚等, 提高区块链本身的处理性能, 使得区块链本身真正能够承载大规模的商业应用, 发挥其潜在的巨大商业价值本文将重点针对的技术架构关键技术原理及技术协议进行阐述 I

4 目录 1. 概述技术框架生态架构软件协议栈身份验证主地址与副地址副地址生成算法身份验证过程共识算法 RPOW RPOW 基于硬件的 RPOW RPOS DPOS 机制说明 DPOS 的设计 RPOS 高速挖矿许可的通证化分片与子链分片主链共识机制分片共识机制分片交易处理子链与跨链交易 P2P 网络分层 P2P 网络... 23

5 6.2 网络分片智能合约与虚拟机 IVM 合约应用层拓展合约提速 ( 代码层 ) Solidity 的缺陷与改进 Assembly 使用与隐患虚拟机轻节点协议通用功能投票系统恶意地址发现与惩罚机制总结附录椭圆曲线加密学 Secp256K 椭圆曲线迪菲 - 赫尔曼密钥交换 (Elliptic Curve Diffie Hellman key Exchange,ECDH) 环签名算法参考文献... 40

6 1. 概述隐身身份镜像区块链 ( 后面简称身份链 ) 项目致力于提供一个面向认证实体用户的公链, 在充分保护个人隐私条件下, 链上信息全部公开透明, 链上地址背后都有社会自然人对应在身份验证模块, 平衡第三方身份验证机构的专业性和网络组织的去中心化特性 ; 同时会采取主从地址环签名和身份数据加密技术保护用户的身份隐私, 只有在使用者授权的情况下, 才可以获取到该自然人的所有地址信息 1

7 图 1-1 架构模型在充分利用账户实名以及隐私保护的优势之上, 重构区块链的底层方案, 显著提高系统的性能本项目将结合具体的商业场景进行应用层面的开发, 同时实现商业数据资源共享, 构造完整的身份链生态圈在架构设计上, 可以简单划分为应用服务应用框架和底层公链体系基于 ID 信息的身份链主要有 3 个创新点 : 1) 在现有区块链技术基础之上, 首创性地提出隐身镜像协议 MIP(Mirror Identity Protocol), 建立链上地址和认证用户实体的多层次对应机制对于普通用户而言, 所有转账地址都是经过认证的, 具有较高的可信性, 但是没有任何其他个人信息泄露, 充分保护隐私 ; 对于整个区块链管理委员会节点, 在所有节点投票同意的情况下, 可以得到对应同一个认证用户实体的所有地址 ( 从而可以获得该实体的所有地址转账行为信息 ); 用户实体的认证过程由多个第三方机构在初始化时完成, 实体的社会 ID 信息与链上地址的对应需要链上决策委员会以及多个第三方机构一致同意才能完成 ( 为政府机关提供追查途径 ) 2) 以隐身镜像协议为基石, 同时提出了多层次的技术与设计创新一方面使用全新的共识机制和分片方案, 提高网络的扩展性和交易速度, 降低交易成本项目首期考虑的主要有基于软件算法的随机工作量证明 (RPOW) 和网络分片 / 身份分片 (Sharding), 最终会实现低成本高效率基于硬件的随机工作量证明 (RPOW) 共识算法另一方面引入身份链虚拟机 Identity Virtual Machine (IVM) IVM 是构建高性能智能合约的新型标准, 通过少量适配就可以被定义和沙箱化身份链将搭建中间通信层, 使得 IVM 可以在中间通信层基础上, 与区块链底层外部 API 子链进行交互甚至直接编程从而弥补以太坊虚拟机的不足, 构建执行效率高能与外部数据交互的智能合约, 扩展智能合约的应用场景 IVM 将内建智能合约漏洞检测算法, 对程序员编写的智能合约在编译阶段同时进行漏洞检测, 实现安全的智能合约系统 3) 实现了一套完善的链上社区治理系统, 来实现人们在主观问题上的共识过程首先, 实现了完整的投票系统, 用户通过投票来进行社区重大决策, 由于身份链上的地址是经过身份验证的, 可以达成一人一票的公平化管理在发现合约意外出错黑客盗币等作恶行为时, 社区可以通过投票来决定是否追查作恶者此外, 也规范了一系列惩罚措施, 在必要时配合政府执法机构, 追究作恶者的法律 2

责任, 以约束与处理作恶者的恶劣行径身份链的核心是身份, 基于中心化 + 去中心化结合的认证方式做身份认证, 有了身份以后, 身份 + 数据 -> 信用, 和蚂蚁信用等传统信用平台的区别主要是数据没有边界, 所有链上应用的数据从公链层面打通共享, 真正能够具备完整用户画像的大数据基础平台 ; 公有链的通行货币为单一 Token,Token 在不同应用中流通, 流通产生数据, 数据 +

8 责任, 以约束与处理作恶者的恶劣行径身份链的核心是身份, 基于中心化 + 去中心化结合的认证方式做身份认证, 有了身份以后, 身份 + 数据 -> 信用, 和蚂蚁信用等传统信用平台的区别主要是数据没有边界, 所有链上应用的数据从公链层面打通共享, 真正能够具备完整用户画像的大数据基础平台 ; 公有链的通行货币为单一 Token,Token 在不同应用中流通, 流通产生数据, 数据 + 身份产生信用 ; 公有链需要更优化的共识机制来支持消费级交易确认, 需要已操作的智能合约创建工具, 需要链下到链上的数据接口而基于身份链做更加彻底的 DApp, 我们称之为子链每个子链都有自己完整的身份链协议, 但是与公链紧密相连数据互通基于学位产生身份币是其中一个 DApp, 用户通过学位认证 + 公链 Token 来铸造身份币, 身份币数量有限具有收藏价值 ; 商家端支付商家端积分货币化去中心化无国界 P2P 等都可以成为基于身份链的子链应用同时引入在线容错机制 : 一旦出现大额资金被盗, 可以投票暂时冻结该账户, 然后可以向法律部门报案裁决根据司法部门的处理对该账户的信息进行披露, 对账号的自然人进行处理图 1-2 身份认证应用开发身份链是一个基于用户实体的新型公链, 可以提供完整的用户隐私保护与身份认证机制, 并且基于身份提供特有的低成本高效率共识算法, 以及扩展智能合约环境基于身份链, 不同的身份相关应用都能快速建立一个去中心化资源共享和自我发展的生态系统 3

9 2. 技术框架 2.1 生态架构在整个身份链的生态架构中, 可以分为两个大的部分 : 底层链和上层生态应用与其他区块链应用强调匿名性不同, 身份链的链上地址将会是经过验证的, 有唯一的实体与之对应 [2] 基于账户实名的特性, 身份链将会对社交媒体个人信用商业推广等领域产生重大影响图 2-1 身份验证系统架构在底层链的设计上, 针对目前区块链技术存在着挖矿资源浪费交易确认速度慢网络交易承载量小数据同步量大等等一系列的问题, 身份链将会从共识机制网络分片区块链虚拟机和轻客户端四个主要方面针对区块链技术做出基于实体身份特性的改进首先共识机制的选择上, 将会在 POW [3] 和 POS 的基础之上做出改进, 提出 RPOW(Randomized Proof of Work) 和 RPOS(Randomized Proof of Stake), 随机性地产生下一位区块打包者, 在避免算力竞争保证去中心化的基础上, 大大加快了区块产生速度 ; 同时使用硬件物理证明共识算法, 从根本上解决目前共识算法的问题 4

为了解决网络拥堵, 支持大规模交易量, 链网体系将会引入子链来处理不同应用子链是基于用户需求不同, 从主链派生出来的区块链, 可以根据具体应用场景的需要, 来定义自己的共识方式区块大小出块时间以及其他功能模块同时, 基于主链上的身份验证系统和 Token 代币系统, 子链的应用可以迅速落地实现图 2-2 子链应用基于身份链的高可信性, 引进 Sharding( 分片 ) 的技术

10 为了解决网络拥堵, 支持大规模交易量, 链网体系将会引入子链来处理不同应用子链是基于用户需求不同, 从主链派生出来的区块链, 可以根据具体应用场景的需要, 来定义自己的共识方式区块大小出块时间以及其他功能模块同时, 基于主链上的身份验证系统和 Token 代币系统, 子链的应用可以迅速落地实现图 2-2 子链应用基于身份链的高可信性, 引进 Sharding( 分片 ) 的技术 [4], 将整个身份链网络根据用户账户地址进行网络分片, 一个地址的交易必须由所属分片内所有节点进行确认, 而无需整个网络节点确认, 在抵御双花攻击的基础上, 加快交易确认速度, 提高网络交易承载量在新的共识算法和分片方案的基础上, 改进区块链虚拟机环境, 致力于提高虚拟机的运算性能降低或避免计算费用优化内存分配模型增加更多语言支持和合约漏洞检测支持子链跨链支持和外部 API 接口 5

11 图 2-3 子链主链和 Sharding 同时为了避免同步数据过大的问题, 将会研究轻节点客户端, 基于梅克尔证明的理论基础上, 降低轻节点客户端的数据同步量, 并且能够验证交易或数据的准确性身份链网络中不必每个节点都是全节点, 不参与共识的节点可以选择成为轻节点同时, 底层身份公链的设计是开放化的, 提供了丰富的功能组件以及强大的智能合约和虚拟机系统开发者基于的底层公链, 可以快速进行各类 DApp 的开发图 2-4 网络节点 6

12 身份链通过去中心应用子链和智能合约将子链公链链下因素引入, 形成符合现实世界商业逻辑的区块链智能合约, 支持多个行业多种渠道从技术架构支持提供移动端的服务, 包括 : 移动端钱包移动端 DApp 应用移动端智能合约服务在身份链的生态系统中, 第三方开发者 ( 或者第三方用户 ) 可以非常简单的建立自己的子链并与其它子链互通, 提供区块链的移动端服务, 共同推动身份链不同应用场景的落地 2.2 软件协议栈身份链设计目标是要达成交易承载量大, 满足千万级别用户同时使用 ; 提高区块出块速度以及交易确认效率 ; 降低合约部署费用 ; 优化虚拟机, 简化开发调试流程将会实现从底层链的交易单区块共识价值轻节点验证 P2P 网络 [5] 区块链虚拟机到上层的区块链应用, 整个身份链生态的构建在设计层次上, 可以分成网络层数据层共识层激励层和智能合约层每一个层次都可以为一定的应用服务, 满足不同应用的具体需求, 为个人或企业快速安全的实现各种应用场景和商业模式提供保障网络层 : 网络层为了增强网络承载量, 提高网络交易处理速度, 引入 KaZaA 协议 P2P 协议匹配 KaZaA 协议超级节点的结构, 同时设计了 INS(Identity Network Sharding ) 身份链网络分片策略和 ITS ( Identity Transaction Sharding ) 身份链交易分片策略 INS 和 ITS 策略主要包括地址分片 (Generating Shards) 片内委员会选举(Directory Service Committee) 片际冲突解决 ( Resolving Conflicts ) 交易数据分配 ( Transaction Assignment and Processing) 四个主要部分数据层 : 在区块的链式结构基础之上, 对于一个区块是否有效, 会从上一个区块是否存在且有效区块的时间戳是否有效区块的工作量证明是否有效内部交易是否有效等等方面来确认身份链在此基础上, 要在每个区块内增加有效地址数据, 利用梅克尔树 [6] 存储所有的交易都需要验证地址的有效性 7

13 传统的区块验证通过维持区块链全量数据进行新区块或者交易进行确认, 但是意味着本地需要有庞大的存储空间才可以正常运行区块链节点身份链会推出轻客户端, 进行梅克尔树数据结构的设计优化, 大大减小轻节点的所需数据量, 为移动端设备和物联网设备接入区块链提供可能性共识层 : 在共识机制的设计上, 首先设计了全新的共识机制 RPOW (Randomized Proof of Work, 随机工作量证明 ) 和 RPOS(Randomized Proof of Stake, 随机委任权益证明 ) RPOW 基于工作量证明算法和身份链特有的用户身份识别机制, 设计了随机分配算法, 每个块都会给予所有矿工不同的挖矿难度, 调节网络的虚拟算力分配该算法一方面可以大大提高传统 POW 算法的效率减少资源浪费, 同时也可以降低矿池的算力集中趋势, 实现更好的网络公平性与安全性 [7] RPOS 主要基于 DPOS(Delegated Proof of Stake, 委任权益证明 ) 共识算法, 优化每个周期内委员会 (committee) 的产生方式, 同时在区块生产者的选择上也放弃了 DPOS 的按序生产, 而是设计了 RAS (Random Appoint Strategy, 随机委任策略 ) 来处理委员会内部生产权的传递为了进一步提高身份链的安全性和运行效率, 提出了硬件物理证明 (Proof of Hardware) 共识算法利用计算硬件 (CPU 等 ) 自身的芯片级安全措施, 实现不可篡改但是可信的共识算法, 在所有节点之间实现随机选择出块节点激励层 : 身份链的公链 token 在设计上与个人的身份紧密结合, 随着身份链的技术不断推进, 后续的应用不断拓展,token 的价值会不断提升对于维持整个网络节点的矿工节点, 会奖励一定数量的 token, 以作为记账的回报相较于比特币周期性奖励减半和以太坊固定奖励的奖励方式, 身份链也会考虑平衡矿工的收益和网络的交易费水平, 设计独特的奖励方法身份链还支持每个节点每个子链发行自己的记名 token, 支持不同 token 之间的分布式交易, 实现自身价值的实现智能合约层 : 设计身份链的专用虚拟机 IVM(Identity Virtual Machine, 身份链虚拟机 ), 以提高运算性能降低合约开发成本优化内存分配模型开 8

发规范化等等作为设计指标同时改进智能合约的实现机制, 提供智能合约内在漏洞检测工具, 支持企业用户的智能合约应用层与在线容错 : 身份链可以支持各种基于身份的应用, 为将来身份应用产业构建底层基础在此基础上, 项目团队会开发一个特殊的应用, 在线容错机制一旦身份链出现冲突或者分叉等情况, 会自动冻结出现争议的账户与出现争议的 block, 其他节点继续进行交易由专门委员会对争议

14 发规范化等等作为设计指标同时改进智能合约的实现机制, 提供智能合约内在漏洞检测工具, 支持企业用户的智能合约应用层与在线容错 : 身份链可以支持各种基于身份的应用, 为将来身份应用产业构建底层基础在此基础上, 项目团队会开发一个特殊的应用, 在线容错机制一旦身份链出现冲突或者分叉等情况, 会自动冻结出现争议的账户与出现争议的 block, 其他节点继续进行交易由专门委员会对争议 block 和账户裁决, 并签名确认图 2-5 身份映射区块链协议 3. 身份验证 3.1 主地址与副地址主地址是用户的主账户, 在用户创建客户端生成钱包时创建, 每个用户有且仅有一个主地址, 和身份一一对应, 主地址采用椭圆曲线 Secp256k1 生成公私钥对, 再用公钥生成地址主地址与副地址都要通过验证才能发起交易副地址数量不限, 根据用户需求而生成, 副地址生成要使用到用户的主账户公钥和主地址分开保存 ; 副地址和主地址的依赖关系不可见 9

15 3.2 副地址生成算法副地址根据椭圆曲线 Elliptic-curve Diffie Hellman (ECDH) [8, 17] 算法生成假设用户公私钥对为 (A, a), 随机生成 Keypair(S, s), 使用委员会的公钥 (B 1, B 2,, B n ), 生成自己的公私钥对 : 公钥生成方式 : A - = Hash([s]B - + A)G + Hash([s]B 5 + A)G + + Hash([s]B 7 + A)G + S 私钥生成方式 : a - = Hash([s]B - + A) + Hash([s]B 5 + A) + + Hash([s]B 7 + A) + s 子账户即 :(A -, S), 对应私钥存储到 Keystore 3.3 身份验证过程在上层应用中, 首先需要的是身份链地址的实名验证身份链主要通过多个具有公信力的第三方机构实现每个实体主地址的验证与构建具体过程如下 : 1) 用户通过客户端向第三方机构申请 CA 证书, 第三方认证后返回给用户认证证书, 该过程只需要进行一次 2) 然后用户可以通过零知识证明方案, 向区块链证明已经获得了认证 ( 但是不需要暴露任何 CA 信息 ), 用户自己产生的地址会被区块链智能合约记录, 成为该用户唯一的主地址链上并没有主账户的身份信息, 所以身份信息实现保密 3) 用户利用自己的公私钥并随机选取区块链上的公钥, 使用环签名策略, 向委员会申请副地址认证 10

4) 当用户要发一笔交易时需进行交易有效性验证, 会通过 CA 合约验证地址, 判定交易是否合法, 合法则执行交易图 3-1 身份链认证过程与交易 5) 委员会在账户涉嫌违法交易等必要情况下扫描网络查找账户关联性, 委员会的公私钥对分别为 (B -, b - ),(B 5, b 5 ),,(B 7, b 7 ), 根据椭圆曲线迪菲 - 赫尔曼密钥交换算法得到 :

16 4) 当用户要发一笔交易时需进行交易有效性验证, 会通过 CA 合约验证地址, 判定交易是否合法, 合法则执行交易图 3-1 身份链认证过程与交易 5) 委员会在账户涉嫌违法交易等必要情况下扫描网络查找账户关联性, 委员会的公私钥对分别为 (B -, b - ),(B 5, b 5 ),,(B 7, b 7 ), 根据椭圆曲线迪菲 - 赫尔曼密钥交换算法得到 : 委员会计算 : B = [b]g; S = [s]g 9 [s]b = [s][b]g = [b]s A -- = Hash([b - ]S + A)G A -5 = Hash([b 5 ]S + A)G... A -7 = Hash([b 7 ]S + A)G A - = A -- + A A -7 + S 当 A - = A -, 即可查找到账户关联性 11

17 4. 共识算法在一个分布式网络中, 保证分布式一致性 ( 所有节点对同一份提案或者数据达成共识 ) 是最核心最重要的问题, 而共识算法就是用来保证分布式系统一致性的算法由于分布式网络中拥有众多节点, 网络中不可避免的通信延迟, 节点可能出现宕机故障失效等等复杂情况 ; 而对于区块链网络来说, 既要考虑这些因素, 还要做到可以抵御一定数量作恶节点的攻击, 同时要做到最大程度的去中心化所以共识算法是区块链系统最关键的一环, 值得去不断研究与优化同时也需要认识到, 在分布式网络中, 是无法找到一条完美的共识算法, 既能做到极高的交易承载量, 又能保证交易迅速确认, 同时还能保证去中心化在的整个网络中, 不会依赖于单一的一条主链来承载所有的应用通过网络分片侧链等技术, 划分出主链与子链以处理不同的应用范畴子链的设计, 会根据具体的应用场景需求, 来选择最为适合的共识算法 4.1 RPOW RPOW 在比特币系统中, 采用了工作量证明机制 [10] (Proof of Work), 整个系统中每个节点通过算力竞争机制, 让率先完成计算问题的节点进行记账工作到目前为止,POW 算法是唯一经过大量用户长时间使用考验的共识算法中本聪设计 POW 的原意是希望每个比特币节点都能够参与整个系统的决策机制然而随着 GPU 挖矿到 FPGA 再到 ASIC 挖矿, 集中算力的矿池已经完全背离最大限度的民主和去中心化, 很多矿工完全不了解比特币的生态, 却掌控着比特币的发展方向另外, 工作量证明耗费了大量的电力, 这些电力事实上完全浪费了, 没有产生任何社会产品 12

图 4-1 RPOW 共识算法为了保持 POW 的优良特性, 减少 POW 新出现的各种问题, 本项目提出 RPOW 算法在 RPOW 算法中, 每个矿工 i 在打包第 j 个块的时候都会获得一 0< d 个随机难度降低因子 i,j < 1, 所以每个矿工需要计算的哈希值需要满足 Hash data ( ) di, j 其中 T 是全链的基础难度值这样, 网络里每个节点的难度值都是不同的,

18 图 4-1 RPOW 共识算法为了保持 POW 的优良特性, 减少 POW 新出现的各种问题, 本项目提出 RPOW 算法在 RPOW 算法中, 每个矿工 i 在打包第 j 个块的时候都会获得一 0< d 个随机难度降低因子 i,j < 1, 所以每个矿工需要计算的哈希值需要满足 Hash data ( ) di, j 其中 T 是全链的基础难度值这样, 网络里每个节点的难度值都是不同的, 而且每个块都会随机变化为了实现 d 的随机性可识别性与不可修改性, d 可 i,j 以根据每个挖矿主地址当前区块链数据和事先存储信息计算出来具体矿工挖矿过程如下 : 1) 矿工 A 同步全量区块账本数据, 并导入挖矿账户信息, 挖矿账户地址为 T; 2) 在接收到最新的区块后, 检查区块的有效性 ; 3) 打包交易缓冲池内的交易数据, 同时检查打包交易的交易有效性 ; 4)A 计算自己当前的挖矿难度, 基础难度会根据上次出块时间和出块数进行调整, 同时矿工对前一个区块的区块数据和挖矿地址进行数据签名, 得到签名字符串 S; 5) 计算签名 S 与地址 T 的匹配程度, 根据匹配程度计算难度调整少数节点可能会获得极大的难度降低, 增大出块机率 ; 6) 调整区块数据 ( 随机数 nonce 时间戳交易等), 进行哈希运算, 直至区块满足难度要求 ; 7) 广播新区块, 其他节点在接收到区块会检验区块的有效性包括难度的有效性 T i,j 13

19 RPOW 算法可以减低矿池的算力集中程度, 降低电力资源浪费, 同时提升整个系统的出块速度至百倍以上基于硬件的 RPOW 本项目将采用基于软件算法的 RPOW 作为过渡共识算法身份链最终将实现基于硬件的 RPOW 共识算法, 利用专用硬件设备产生共识机制和身份认证机制完全不需要任何能量耗费的情况下, 保证整个区块链系统的安全性和系统的效率 4.2 RPOS DPOS 机制说明授权证明机制 (Delegated Proof of Stake), 类似于人民代表大会制度在 DPOS 的区块链中链上所有持币人均能通过投票进行委托人选举, 候选人中得票数前 21 位的节点当选为委托人 ( 目前 EOS 委托人数量恒定为 21 位,Bitshares 为 101 位, 理论上来说单数节点均可 ) 节点投票的权重与节点的持币量呈正相关选举出的委托人在其任职的周期内进行出块, 出块顺序由委托人自行商定 ( 一般为循环出块 ), 每个周期会对委托人重置, 普通节点能通过投票更换作恶或不称职的节点 DPOS 赋予了每个持币节点投票权, 减少了网络运行的成本 14

2 DPOS 的设计 DPOS 被运用在的子链上, 作为的区块链网络中重要的一员,DPOS 由持币节点和委托人节点共同维护区块链的运行持有 USE

20 图 4-2 委托人选举 DPOS 的设计 DPOS 被运用在的子链上, 作为的区块链网络中重要的一员,DPOS 由持币节点和委托人节点共同维护区块链的运行持有 USE 的节点具有投票权且每轮投票周期只能投票一次投票通过发送交易实现投票权重与节点持有的 USE 正相关在中投票有两种 ( 支持票和反对票 ), 维护一个数据结构对链上所有的投票信息进行存储统计, 并提供查询接口, 会定期清除已经失效的投票, 节省空间图 4-3 DPOS 交易流程处理相较于 POW,DPOS 的矿工关系更偏向于合作而不是竞争因此 DPOS 几乎不用对区块分叉做更多处理少数节点故障或作恶, 其他节点仍然会保证产生一条最长的链对于频繁故障或明显作恶的节点, 极大可能在下一轮委托人选举中出局, 普通节点通过投票选举出新的委托人 15

图 4-4 持币节点与委托人 DPOS 极大提高了交易处理速度, 只有委托人具有挖矿权的设计也使其不必像 POW 那样进行算力竞争造成资源的极大浪费但 DPOS 仍具有很大的提升空间, 在 DPOS 的区块链中, 委托人节点打包区块之后需经过超过 2/3 的委托人确认才能证明此区块极大概率不可逆在区块确认时我们可以引入 BFT 拜占庭容错算法来提高确认速度, 即 BFT-DPOS(

21 图 4-4 持币节点与委托人 DPOS 极大提高了交易处理速度, 只有委托人具有挖矿权的设计也使其不必像 POW 那样进行算力竞争造成资源的极大浪费但 DPOS 仍具有很大的提升空间, 在 DPOS 的区块链中, 委托人节点打包区块之后需经过超过 2/3 的委托人确认才能证明此区块极大概率不可逆在区块确认时我们可以引入 BFT 拜占庭容错算法来提高确认速度, 即 BFT-DPOS( 基于拜占庭容错的 DPOS 共识 ), 其思路为 : 如现有 51 位委托人节点, 使得每个节点连续出 5 个块, 块间隔为 1 秒 ( 增加出块的频率, 但保证委托人的轮换周期不会改变, 即同样的出块间隔由同一个委托人出更多的块 ), 委托人节点在出块之后立即将区块发送给其余 50 位委托人, 在收到超过 35 位委托人 ( 超过 2/3) 的确认之后, 该区块即不可逆进一步提高了交易速度, 同时为解决网络延迟为出块带来的影响出块前由 51 位委托人根据其相互之间的网络延时计算出最优出块顺序图 4-5 委托人出块 RPOS DPOS 在抵抗攻击上, 因为只有少量委托人代表, 可以想象一个攻击者对每名轮到生产区块的代表依次进行拒绝服务攻击由于事实上每名代表的标识是其公钥而非 IP 地址, 这种特定攻击的威胁可以被减轻, 但是无法被避免生产区块代表存在可预见性的顺序, 攻击者依然可以通过分析生产者的 IP 地址进行攻击 16

22 为了避免这种问题, 基于 DPOS 算法提出了 RPOS 算法, 在选择下一位生产者时, 采用随机挑选的原则而不是按顺序的原则下一位生产者身份通过 B 的私钥对前一个区块进行签名, 将签名附到当前区块后, 由签名值计算下一位生产者的 ID 采用这样的方案, 当 A 生产区块后, 下一个生产者 B 就可以计算得到下一位生产者的 ID, 由于是对 block01 进行签名, 所以生产者 B 无法控制下一位生产者 ID, 完全是由前一个区块的 Hash 值确定 RPOS 算法主要流程如下 : 1) 每个投票周期内, 通过身份认证的主账户可以投票选择意向委托人, 每一个人只能投出一票, 子地址无法进行投票 ; 2) 在投票周期后, 系统自动计票, 得票数前 N 位的候选人成为委托人, 负责下一轮委托人周期的出块 ; 3) 在委托人出块周期内, 委托人在进行区块打包时, 用私钥对前一个区块和委托人出块主账户地址进行签名假设委托人的公私钥对是 (sk, pk), 选择随机数 k [1, l 1], Q = [k]g, 计算方程 : r = H(A pk m) mod n s = k r sk mod n 其中,H 为哈希函数,m 为签名信息, 即前一个区块的哈希值加上当前委托人的地址信息,(r, s) 即为签名值 ; 4) 将得到的签名值 (r, s) 写入到当前区块 ; 5) 根据签名值 (r, s) 计算出一个区块的出块者, 计算方程为 : ID = H(r, s) mod n 其中,H 为哈希函数,mod 为求余运算,n 为委托人数量 ; 6)ID 符合的委托人进行出块 7) 未获得出块权的委托人不得出块, 即使产生区块, 也无法通过其他节点的验证 17

23 图 4-6 RPOS 基本工作流程如果生产者 A,B,C 都是攻击者, 并且相互串通,A 在打包区块时, 不断调整区块内容, 使得 B 签名的数据能够指定特定的生产者, 甚至可以指定攻击者 C, 使得生产区块的权力只在攻击者 A,B,C 间流转, 其他生产者无法获取生产权力为了解决这样的问题, 如果生产者获得生产权力的平均数量大大偏离理论值, 将会通过降低多次获得生产权的代表的概率和奖励, 甚至给予一定的惩罚机制或者踢出代表委员会来解决在身份链中, 由于每个交易每个矿工都是有身份对应的, 所以每个地址作恶的成本大大增加, 网络对恶意节点的跟踪辨别也更加容易在正常网络环境下,RPOS 选择的代表都是 100% 在线的, 任何信息在 2s 内是可以被所有代表所接收到这就是说一个交易平均 1.5 秒后, 会被写入区块链中, 同时被所有出块节点知晓这笔交易当然如果整个网络拥堵或者部分节点宕机, 整个区块链可能会出现分叉的情况为了保证交易的有效性, 需要等待一个数量的区块确认数如果是 POW 算法, 完全依赖于区块长度带来的算力壁垒, 保证交易不可逆等待周期将会比较漫长 18

24 而 RPOS+TaPos 整个系统中, 每笔交易都会包括最近区块的哈希值 ( 回溯 5 个区块以内 ) 这样可以防止分叉区块链上出现大量交易记录, 同时使得系统能感知到用户是否在分叉出来的区块链上在分叉产生后, 几秒内代表就可能发现分叉的产生并提醒每一个用户如果一个节点发现连续 2 次丢块, 这个节点就有 95% 的可能处在分叉中 ; 发现连续 3 次丢块, 那么就有 99% 可能性处在分叉中 4.3 高速挖矿许可的通证化目前, 挖矿成为一个暴利的行业 2017 年, 比特大陆的盈利为二十五亿美元但是矿工的暴利对整个生态系统是不利的一方面, 少数的高速挖矿者拥有了大量的比特币, 使得比特币的分布非常集中另一方面, 挖矿的成本又让资源浪费, 同时, 交易成本使得其实际应用变得难以落地我们引进高速挖矿许可通证 USMK USMK 的成本为 2 的 K 次方个 (USE+USK) 拥有 USMK 的实名账户, 可以把挖矿难度降低 K 个 0. 任何时候, 大家都可以购买 USM1, 但是购买 USMK,K 大于 1 的前提是 USM(K-1) 已经有 20 枚同样拥有低级 USMK1 的用户也可以升级到 USMK2,K2 大于 K1. 前提是 USM(K2-1) 已经有 20 枚, 并补齐差价 USMK 也可以在链内交易但是使用 USMK 的账户必须拥有 USMK 满 24 小时后才能使用随机选矿工通过前一个区块的哈希数除以 NUSMK+1 所的余数所对应的矿工可以以比正常难度少了 K 个 0 的难度获得区块上链如果余数为零, 那么就由公司代替公共账户挖矿得到的奖励回归公共账户 NUSMK 对应 USMK 的数目另外, 任何账户不能连续挖两个区块 19

25 5. 分片与子链目前区块链的特性是所有的节点同时传播交易, 并验证智能合约的执行结果, 保证每个节点的 statedb 一致智能合约的调用越来越频繁交易的数量增多时, 交易确认的时间也随之增长伴随不断增长的交易量, 网络出现明显的拥堵如果整个网络处理交易速度依赖于某些超级节点的速度, 这将使得网络算力被少数超级节点所控制在这种情况下, 采用在不同的网络中处理交易将大大增加交易处理和确认的速度 5.1 分片基于身份链本身每个节点都具有身份认证的特点, 设计了分片的机制来扩大交易处理的速度和拓展性的问题每个分片都有相应的节点处理交易, 分片之间可以并行处理交易智能合约的执行验证每个分片有不同的分片 ID, 都有固定选取的节点进行收集交易, 并将一段时间内的交易打包成一个区块, 同时做签名, 再统一交由上一层处理, 上一层共识节点将不同分片的区块打包进区块链与目前其他公有链不同, 身份链可以借助用户的认证机制和容错机制来提高网络的安全性, 考虑到分片的交易处理速度, 每个分片内的节点不能过多所以隐身镜像链可以将网络分成更多的分片, 极大提高网络的总体交易处理性能图 5-1 分片模型 20

26 分片为两层, 上层共识节点运行一条主链, 主共识节点接收来自分片共识节点收集的分片交易, 主链同时也处理共识节点的交易分片共识节点独立处理分片内的交易, 分片数量增多的同时可以处理更多的交易主链共识机制主链采用的是 RPOW 的共识算法, 随机产生节点打包区块, 以此避免矿池控制网络每隔一定时间选举出上层网络节点, 上层网络节点通过 RPOW 共识机制选出, 上层共识节点验证分片节点收集的交易, 并在签名后加入区块链中上层网络的特点是 : 1) 为了避免出现超级节点或矿池, 上层网络节点由 RPOW 共识随机选出 ; 2) 上层网络打包区块的节点每次产生都是随机的 ; 3) RPOW 本身就是随机的, 为了降低节点之间共同作恶的概率, 分片节点会定时更新分片共识机制分片节点内部有自己的共识机制, 分片内共识节点基于 RPOS 投票选举产生, 节点在投票前需要在主链的合约中注册, 同时缴纳一定的保证金当分片节点选出后, 本分片内的交易通过共识节点确认, 打包成区块并由当前打包的节点签名, 传递给上层网络节点, 上层网络节点在确认区块合法后更新区块链分片的特点 : 1) 当上层网络节点共识一定时间 T checkpoint 后, 会选出新的网络分片 ; 2) 每个分片内的节点只处理自己本分片内的交易, 分片间可以进行通信 ; 3) 分片的加入可以加快共识的过程, 更快地对交易达成共识分片交易处理主链可以支持用户主地址子地址的交易, 通过 RPOW 共识打包交易分片内的交易由单独的经过授权的节点收集交易, 并传到上层主链打包, 可以增加分片的数量来扩大交易处理速度用户在各个分片内的地址由用户主地址公钥委员会公钥分片 ID 等来生成, 可以唯一地确定用户在每个分片中的地址 21

27 用户在不同分片间交易时, 不需要管理自己在分片内的地址, 只需主地址即可参与跨分片的交易执行智能合约跨分片的交易处理是交易首先在一个分片内处理, 待这笔交易在主链上确认后, 其他分片的交易地址收到了主链的确认后, 才可以执行转出操作扩大分片数量可以增加的交易吞吐量, 节点通过分片机制连接组成分片分片底层通过 P2P 网络连接, 交易通过一定的规则在同一分片内传播这样可以避免跨分片的频繁确认交易的发起方, 在一定的时间后分配到不同的分片中, 可以避免恶意节点始终影响某一分片 5.3 子链与跨链交易跨链技术可以理解为连接各区块链的桥梁, 其主要应用是实现各区块链之间的原子交易资产转换区块链内部信息互通, 或解决 Oracle 的问题等跨链是一个复杂的过程, 既需要对链中节点要有单独的验证能力, 也需要去中心化的输入, 更需要对链外世界的信息进行获取和验证区块链的世界里每条链都是一个独立的账本, 它们之间没有关联本质上价值没有办法在账本间转移, 但是对于具体的某个用户在一条区块链上存储的价值, 能够变成另一条链上的价值, 这是跨链交易跨链是不同的持有人之间进行了一个兑换我们在设计主链与分片时, 也同时考虑了跨链交易子链采用的是 RPOS RPOW 等共识算法, 运行子链的是我们的合作伙伴, 子链可以单独运行目前跨链交易的可行性办法是利用智能合约, 通过锚定在主链的币与子链的币, 可以实现跨链的转账, 同时分片的加入可以加速跨链转账确认的速度图 5-2 跨链协议 22

6. P2P 网络目前公有链面临的主要问题就是可扩展性随着用户数的增加, 交易量越来越大, 但是网络总的交易速度却是固定的, 所以目前区块链网络中的交易智能合约的存储调用操作越来越频繁, 交易的确认速度却没有明显提升目前比特币的交易确认速度在 7 Tx/s, 以太坊的交易确认速度在 25 Tx/s 左右, 全网统一的共识机制限制了总体的交易速度, 导致单笔交易确认的速度过慢

28 6. P2P 网络目前公有链面临的主要问题就是可扩展性随着用户数的增加, 交易量越来越大, 但是网络总的交易速度却是固定的, 所以目前区块链网络中的交易智能合约的存储调用操作越来越频繁, 交易的确认速度却没有明显提升目前比特币的交易确认速度在 7 Tx/s, 以太坊的交易确认速度在 25 Tx/s 左右, 全网统一的共识机制限制了总体的交易速度, 导致单笔交易确认的速度过慢目前的解决方案有比特币通过扩大区块大小使之包含更多交易子链技术的应用, 但这些方法没有从根本上解决主链交易性能过低的问题 6.1 分层 P2P 网络基于 KaZaA 协议和上次网络分片需求, 建立对应的底层 P2P 网络结构, 如图 6-1 所示网络节点分为超级节点 SN 和普通节点 ON,SN 通常具有高带宽高处理能力大存储容量不受 NAT 限制和长时间在线的服务能力每个 ON 接入网络的时候都与一个父 SN 建立并维持一条半永久的 TCP 连接 ; 普通结点将其共享的链上数据哈希上传 SN 之间采用分布式 P2P 协议, 保持长期的 TCP 连通性鲁棒性和快速数据分发能力, 构成超结点覆盖网图 6-1 P2P 网络节点图 23

29 6.2 网络分片网络分片是一种管理节点的机制, 按照一定的分片规则将节点自动划分到不同的网络分片内, 每个分片网络内存在的节点是固定的, 所有的网络分片都能并行处理交易, 那么总的网络吞吐量将线性增加图 6-2 网络分片网络分片内的节点按照不同带宽动态增加或减少, 一定网络状态的节点可以自发地组成网络分片, 当一个网络分片中节点达到一定数量, 其他节点可以自发地转到其他网络分片 24

7. 智能合约与虚拟机 IVM 是一个去中心化的应用平台, 除了, 还支持多种不同类型的身份区块链应用, 并允许用户和公司创建自己的应用系统金融交易信用证明或者其他方面更为复杂的应用程序可以自动并且可靠地在上实现并运行, 这将会在学位认证系统共享保险小额贷款共享投资等领域带来众多创新与变革考虑到公链的用途, 项目会设计一个增强的 ERC20 接口, 该接口将包含身份信息的相关调用,

30 7. 智能合约与虚拟机 IVM 是一个去中心化的应用平台, 除了, 还支持多种不同类型的身份区块链应用, 并允许用户和公司创建自己的应用系统金融交易信用证明或者其他方面更为复杂的应用程序可以自动并且可靠地在上实现并运行, 这将会在学位认证系统共享保险小额贷款共享投资等领域带来众多创新与变革考虑到公链的用途, 项目会设计一个增强的 ERC20 接口, 该接口将包含身份信息的相关调用, 从而实现标准统一的身份 token 的设计与开发图 7-1 ERC20 接口改进 7.1 合约合约由去中心化的以太坊网络中的全节点共同部署与实施以保证合约的正确安全不可抵赖地执行合约内容由代码指定合约的逻辑, 并由 EVM 执行, 在执行合约时提出执行的人需要支付少量的 Gas 费用以激励以太坊网络正常工作应用层拓展提供了一套丰富的应用层协议和组件, 可支持多种不同需求的身份区块链应用应用开发者不必花费精力去关注底层的数据交互便能快速构建一个去中心化应用应用框架具有高度的可拓展性, 用户根据不同的 25

场景需求, 可不断进行拓展图 7-2 应用框架示意图 1) 通过去中心化的隐身镜像体系, 智能合约等方式实现了分布式信任 ; 2) 通过协议, 组件以及 API 向上层应用提供接口, 方便应用使用的功能 ; 3) 关注不同场景下 DApp, 提供身份认证服务, 同时从底层解决信任问题 7.1.2 合约提速 ( 代码层 ) 智能合约是以太坊上最常见也是最强大的功能, 除了外部账户的点对点基本转账, 其他任何转账或涉及逻辑的事务 ( 如多重签名, 延时提现, 机构托管等 ), 都会用上智能合约功能由此可见智能合约在以太坊上的出现频率极高, 而智能合约的代码内容则直接能决定该合约的执行效率, 进而影响以太坊的实际处理能力 7.

31 场景需求, 可不断进行拓展图 7-2 应用框架示意图 1) 通过去中心化的隐身镜像体系, 智能合约等方式实现了分布式信任 ; 2) 通过协议, 组件以及 API 向上层应用提供接口, 方便应用使用的功能 ; 3) 关注不同场景下 DApp, 提供身份认证服务, 同时从底层解决信任问题合约提速 ( 代码层 ) 智能合约是以太坊上最常见也是最强大的功能, 除了外部账户的点对点基本转账, 其他任何转账或涉及逻辑的事务 ( 如多重签名, 延时提现, 机构托管等 ), 都会用上智能合约功能由此可见智能合约在以太坊上的出现频率极高, 而智能合约的代码内容则直接能决定该合约的执行效率, 进而影响以太坊的实际处理能力 Solidity 的缺陷与改进以太坊中智能合约由 Bytecode 组成, 基于 Stack 进行底层操作的 Bytecode 不适用于编写复杂的合约, 为此以太坊引入了一种易学易用的高级语言 Solidity, 一种类似于 JS 的面向对象语言 Solidity 易上手, 支持继承, 库调用等, 使得用户可以使用 solidity 方便快速的构建合约 26

32 Solidity 目前发布的最新版本为 , 并不是正式发布的稳定版本, 以太坊智能合约存在的规范问题和拓展功能也尚未解决,Solidity 较于其他高级语言仍存在许多问题, 如 : 1)Solidity 无法直接取出 Calldata,Callcode 原始内容 ; 2) 动态长度类型 Bytes 与固定长度类型 Bytes32 Uint256 之间不能在 Solidity 中直接转换, 即使 Bytes 已经分配了 256bit 内存空间,Solidity 中只能逐个字节填充, 浪费巨量的 Gas 这些问题能用在 solidity 中使用 Assembly 改进或解决, 从而节省 gas, 提高代码执行效率 Assembly 使用与隐患既然 Solidity 作为高级语言, 实际工作是由其编译后的字节码所执行的, 那么和其他高级语言一样, 用户有权直接在 Solidity 中内嵌字节码来直接编写逻辑在 Solidity 中, 可以使用 Assembly 代码块内嵌字节码, 为了增加可读性, Assembly 里的大部分字节码可以以函数形式编写, 从而避免了直接编写字节码的困难对于上面提及的问题,Assembly 内嵌的汇编码可以有效解决 1) 由于可以直接使用操作码 ( 如 Calldataload,Calldatacopy 等 ),TX 中的原始数据可以直接访问 2) 对于已经分配好空间的动态长度数组 ( 如 Bytes,String), 可以通过定位其数据段直接赋值, 如 : 1. bytes32 b32 = 0x ; 2. bytes memory b = new bytes(32); 3. assembly { 4. mstore(add(b, 32), b32) 5. re := add(b, 32) 6. } 需要加上 32 是因为动态长度数组在 Memory 里第一个 Slot 是长度同理从访问动态数组读取其数据并存放到相应的固定长度类型或普通类型 : 1. assembly { 27

33 2. b32 := mload(add(b, 32)) 3. } 此外, 动态长度类型可以直接在 Solidity 中直接互转, 固定长度类型同理 ( 长度不一样可能会截断或补零 ) 通过利用 Assembly 可以绕过 Solidity 的一些限制, 从而不需要耗费大量 Gas 来逐个字节填充目标, 节省了 Gas 的同时又能提高合约代码的效率 Solidity 这种高级语言设计初衷不仅仅是为了方便开发者快速开发应用, 与其他高级语言和虚拟机一样, 安全才是最重要的考虑因素, 如果开发者随意使用字节码或机器码编写逻辑, 很有可能出现内存溢出索引越界数据混乱等后果严重且难以发现的问题, 为了能在安全与性能之间做出较好的权衡, 应该只在相对应的条件下使用广泛认可的 Assembly 代码块, 以防为了少许的性能而大大降低安全性 7.2 虚拟机目前在区块链领域, 使用的比较广泛的是以太坊虚拟机 (Ethereum Virtual Machine,EVM) EVM 已经被用于大多数现有的智能合约, 可以执行任意算法复杂度的代码区块链数据库由连接到区块链网络的众多节点共同维护与管理, 每个节点都会运行 EVM 来执行智能合约代码, 去中心化一致性保证了整个网络拥有非常高的容错性在 EVM 中以 Call() 函数为例, 首先调用了转帐函数 Transfer(), 转入账户 caller, 转出账户 addr; 创建一个 Contract 对象, 并初始化其成员变量 caller, self(addr), value 和 gas; 之后赋值 Contract 对象的 Code, CodeHash, CodeAddr 成员变量 ; 调用 run() 函数执行该合约的指令, 最后 Call() 函数返回整个实现过程可以很良好的适配目前的以太坊区块结构相关代码可见 : 1. func (evm *EVM) Call(caller ContractRef, addr common.address, input []byte, gas uint64, value *big.int) (ret []byte, leftgas *big.int, error){ 28

34 2. var snapshot = evm.statedb.snapshot() 4. contract.setcallcode(&addr, evm.statedb.getcodehash(addr), evm.statedb.getcode(addr)) 5. ret, err = run(evm, snapshot, contract, input) 6. return ret, contract.gas, err } EVM 在设计上追求简单性确定性安全性, 专为区块链系统设计但是它与目前主流的技术和设计范例都格格不入, 从设计和实现上都存在一些缺陷 EVM 目前的智能合约执行效率低, 如果你需要实现密码学运算, 一定不会使用 solidity 而会使用 go,c/c++ 或者其他更高效的语言同时在内存分配模型上, 智能合约中函数对分配内存的使用完全取决于程序员检查, 如果复用临时内存, 如果不做完备的检测, 合约可能会面临潜在的 bug 而且 EVM 中的智能合约难以调试和测试,EVM 唯一会报错的就是 gas 不足, 合约运行没有调试日志, 也无法调用外部代码同时也缺乏标准库, 目前对于大部分合约开发工作人员来说, 只能不断地从开源软件中复制粘贴代码智能合约的部署和运行, 在以太坊网络中会耗费大量的 gas, 不仅使得写出好的代码变得困难, 还令其变得十分昂贵 EVM 作为区块链网络中第一个成熟且使用广泛的虚拟机, 是这个领域的开拓者但是鉴于其目前存在的一些问题, 虚拟机将根据身份链的特有优势对这些问题优化及改善, 使得区块链虚拟机的功能变得更强大更易用更安全项目前期将会延用基于以太坊虚拟机 EVM 环境, 以太坊智能合约的编写和执行非常简单, 适用于一些初级应用的开发后期将会构建身份链虚拟机 Identity Virtual Machine (IVM) IVM 是构建高性能智能合约的新型标准, 通过少量适配就可以被定义和沙箱化身份链将搭建中间通信层, 使得 IVM 可以在中间通信层基础上与区块链底层交互这样弥补了以太坊虚拟机的不足, 可以构建执行效率高能与外部数据交互的智能合约, 扩展了智能合约的应用场景为了减少智能合约的漏洞, 项目还会重新设计 IVM 的编译器, 内置合约漏 29

35 洞检测功能, 提示每一个合约潜在的代码漏洞图 7-3 身份链虚拟机未来可能会采用 WASM 进行虚拟机的开发标准 WASM 是构建高性能 Web 应用程序的新兴 Web 标准, 通过少量适配就可以被明确定义和沙箱化 WASM 的好处在于业界广泛支持, 因此可以用熟悉的语言开发智能合约, 例如 Go 语言或 C 语言等 30

36 8. 轻节点协议在区块链网络中, 全量的区块数据将是庞大的, 而对于一般的用户来说, 只会关心与自己有关的交易信息或者其他数据信息所以对于轻客户端而言, 不需要同步所有的区块数据但是轻客户端同时需要保证数据的可靠性为了解决这个矛盾, 本项目将轻量级的梅克尔证明应用其中, 这样系统不必完全依赖全节点矿工, 同时全节点矿工同步时也能维持尽可能小的开销在比特币系统中, 一个轻客户端可以仅下载每个区块的区块头, 每个区块中仅包含上一区块头的哈希值时间戳挖矿难度随机数和区块交易的梅克尔树的根哈希值, 其大小仅为 80 字节比特币轻客户端拥有区块头信息, 就可以证明区块包含的交易, 但是无法证明目前任何的状态 ( 数字资产的余额等等 ) 为了证明节点的余额信息, 必须不断地在全节点的区块链上回溯获取信息在的一些应用场景中, 需要快速拿到地址的余额和身份状态证明为了解决这个问题, 参考以太坊的已有实现方案, 采用梅克尔 - 帕特里夏树 [12] (Merkle Patricia Tree,MPT) 的数据结构对区块链上的交易收据和状态分别进行存储所以每一个区块头, 并非只包含一颗梅克尔树的根数据, 而是包含了三颗梅克尔树的根数据轻量级节点将会保存区块的头部数据, 通过 P2P 网络向全网节点发出数据请求 (Bloom filter), 同时存储少量需要验证的交易内容, 这些交易内容是钱包内私钥对应的所有交易这样可以大幅度减少区块链数据存储同时在此基础之上, 会结合密码学原理, 优化数据存储结构, 进一步提升数据的高效性和安全性轻节点数据的查询及验证 : 1) 如果轻节点想获取一个账户的状态 : 随机值余额, 则可以递归地从 State Root 下载交易树, 直到查到结果 ; 31

37 2) 如果轻节点想验证一笔交易是否被确认过, 则可以向临近的 P2P 网络查询这笔交易所在的区块, 同时下载 State Root 的交易树, 根据计算出来的这笔交易 Hash, 与交易树对应的 Hash 共同得到一个梅克尔 - 帕特里夏树根, 与此区块头中的值对比, 如果相同就可以验证这笔交易被确认, 同时可以得到确认的区块数图 8-1 梅克尔 - 帕特里夏状态树 32

38 9. 通用功能 9.1 投票系统建立了一个投票系统, 它可以让整个社区投票达成共识来确定哪些节点被选为区块生产委员会, 哪个特性应该被实施以及什么样的顺序实施任何人都可以根据自己的需要发起投票发起投票的人需要确定投票内容和投票期限 ( 与区块数目相关联 ) 用户可以用它来解决所有的问题, 比如选择新的图标添加新的特征必须要通过股东们的投票决定允许, 也可以投票决定毁灭 ( 冻结 ) 特定的钱币, 特别是小偷或黑客们的钱币, 甚至可以通过明主投票来决定停止恶意攻击的节点, 更进一步说, 社区可以通过投票来决定是否需要发起投票来考虑个别用户或节点投票是根据所持有的 USI/ USN 的数量来进行计算的拥有较多身份币的用户在这个系统里有较大的投票能力, 例如中心化的交易所或者矿池拥有者为了防止这种情况, 投票能力会有上限的限制, 这对于匿名的区块链可能难以实现, 但是由于有实名身份的特性, 可以限定每个身份的投票数上限的投票系统是去中心化货币的重要组成部分之一这里没有领导者, 没有集权的实体, 所有的决定都取决于民主化投票另外, 除了能够解决全球问题, 投票系统还能够被资产股东用于资产交易功能它能帮助资产股东达成共识 9.2 恶意地址发现与惩罚机制是一条身份公链, 链上的所有地址都是经过了身份验证用户通过零知识证明方案, 向区块链证明已经通过第三方身份认证机构的认证链上并没有账户的身份信息, 在大部分情况下用户的身份是无法追踪的但是如果链上发生了一些作恶行为, 例如盗币行为矿工恶意分叉等, 会有专门的审查委员会发起处理作恶追踪提案, 在获得整个网络中超过半数以上的用户投票同意后, 对相关地址中资金进行冻结同时审查委员会解锁作恶地址的身份验证 33

39 证明, 向第三方身份验证机构提出协助申请, 查询作恶用户真实身份信息, 并向提请相关法律惩罚 34

40 总结作为最有前景的区块链生态系统, 将会结合公有链和私有链的优点, 解决现有区块链系统的固有缺陷, 构建身份应用的生态系统将持续通过基础平台的研发, 以及各产品的开发和商业化落地项目的发展和迭代, 逐步形成区块链身份经济, 提高行业效率, 促进社会的高速协同发展 35

41 附录 1. 椭圆曲线加密学椭圆曲线密码学是由美国学者 Neil Koblitz 与 Victor Miller 在 1985 年各自独立创建起来的 [2] RSA 与 ElGamal 加密体制中, 如果使用长度为 1024 比特的模数才可以达到基本的安全等级, 那么对于椭圆曲线 (ECC) 加密体制来说 [13, 14] 密码攻击方法, 只要使用长度为 160 比特的模数, 就可以达到这个安全等级设 G 表示一个有限域, 在其上定义一个椭圆曲线 E, 实际上这个曲线 E 表示为一个点的集合,E 外加无穷远点 O 一起构成的集合, 被视为由该方程决定的椭圆曲线则有 : E/G: {(x, y) y 5 + a - xy + a R y = x R + a 5 x 5 + a S x + a T, a -, a 5, a R, a S, a T, x, y G} {O} 在椭圆曲线 E 上定义加法运算,P(x -, y - ), Q(x 5, y 5 ) 是椭圆曲线 E 上的两个点, 则对于这两个点的加法运算有 P + Q,R 为 (x R, y R ) 这里 R 表示为过点 P 和 Q 的直线与曲线 E 的交点关于 X 轴对称的椭圆曲线上的点因为 P, Q, R 三点共线, 故设共线方程为 : y = kx + b 其中若 P Q(P, Q 两点不重合 ), 则直线斜率为 : k = (y - y 5 )/(x - x 5 ) 若 P = Q,(P, Q 两点重合 ), 则直线为椭圆曲线的切线, 直线斜率为 : 因为 : k = (3x 5 + 2a 5 x + a S a - y)/(2y + a - x + a R ) (kx + b) 5 + a - x(kx + b) + a R (kx + b) = x R + a 5 x 5 + a S x + a T 当三次项系数为 1 时 ; x - x 5 x R 等于常数项系数,x - x 5 + x - x R + x 5 x R 等于一次项系数, (x - + x 5 + x R ) 等于二次项系数所以 : 9 x R = k 5 + ka - + a 5 + x - + x 5 y R = y - k(x - x R ) 36

42 2. Secp256K1 Secp256k1 为基于 F^ 有限域上的椭圆曲线 [1], 由于其特殊构造的特殊性, 其优化后的实现比其他曲线性能上可以特高 30%, 有明显以下两个优点 : 1) 占用很少的带宽和存储资源, 密钥的长度很短 ; 2) 让所有的用户都可以使用同样的操作完成域运算比特币和以太坊使用的就是 secp256k1 标准所定义的一条特殊的椭圆曲线该标准由美国国家标准与技术研究院 (NIST) 设立 secp256k1 曲线由下述函数定义, 该函数产生一条椭圆曲线 : E: y 5 = x R + ax + b over F^ 其中 F^ 为素域,p 为素数,G 为基点 Secp256K1 中的参数设定如下 : p= FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F a = b = 压缩形式的基点 G 是 : G = 02 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798 而在未压缩的形式是 : G= 04 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A C47D08F FB10D4B8 3. 椭圆曲线迪菲 - 赫尔曼密钥交换 (Elliptic Curve Diffie Hellman key Exchange,ECDH) ECDH 是一种匿名的密钥合意协议 (Key-agreement protocol) 在这个协定下, 双方通过迪菲 - 赫尔曼密钥交换算法, 利用由椭圆曲线加密建立的公钥与私钥对, 在一个不安全的通道中, 建立起安全的共有加密资料这是迪菲 - 赫尔曼密钥交换的变种, 采用椭圆曲线加密来加强安全性 37

43 假设 Alice 和 Bob 各自产生公私钥对 (a, A), (b, B), 则 A = [a]g, B = [b]g, G 为同一椭圆曲线基点 Alice 和 Bob 分别计算 S = [a]b, S = [b]a, 则 : S = [a]b = [a]([b]g) = [b]([a]g) = [b]a Alice 和 Bob 可以轻易的计算出他们共享 secret S, 但是别人却无法算出 4. 环签名算法环签名由 Rivest,shamir 和 Tauman 三位密码学家在 2001 年首次提出环签名属于一种简化的群签名 [15, 16, 19] 签名者首先选定一个临时的公钥集合, 集合中包括签名者自身然后签名者利用自己的私钥和签名集合中其他人的公钥就可以独立的产生签名, 而无需他人的帮助签名者的身份与公钥在集合中的其他用户无法区分, 直到拥有者使用相同的密钥对生成第二个签名公钥集合中的其他成员并不知道自己被包含在其中环签名可分为四个部分 :GEN, SIG, VER, LNK: 1) GEN: 采集公共参数, 随机选取 n 1 个公钥, 和同用户公钥 P 构成公钥集合 {P e = 1,2,, n} 使用用户公私钥对 (P, x),x [1, l 1],l 为点 P 的阶, 生成公钥镜像 I 2) SIG: 针对所需签名消息 m 和公钥集合 : {P e = 1,2,, n} 计算出环签名 ringsig 3) VER: 基于消息 m, 公钥集合 S 和签名 ringsig, 验证签名合法性, 输出 True 或 False 4) LNK: 利用集合 J = {I e }, 来验证签名是否使用过 38

44 具体过程如下 : 1) GEN: 签名者用自己的私钥 x, 计算公钥 P = xg 和公钥镜像 I = xh^(p) H^ 为哈希函数, 输出椭圆曲线上一个随机的点同时在区块链上随机选择公钥组成集合 {P e = 1,2,, n},p i = P, s 为签名者公钥的位置 2)SIG: 签名者选择随机数 {q e = 0,1,, n, q e [1, l]} {w e = 0,1,, n, i s, w e [1, l]} 做如下变换 : q L e = 9 e G, i = s q e G + w e P e, i s R e = n q eh^(p e ), i = s q e H^(P e ) + w e I e, i s 下一步计算 : c = H(m, L -,, L 7, R -,, R 7 ) 最后签名者计算 : w e, 7 c e = p c q c e rst i s mod l, i s q r e = 9 e, i s q i c i x mod l, i s 最终签名为 : ringsig = (I, c -,, c 7, r -,, r 7 ) 3)VER: 验证者验证签名时, 基于消息 m 公共参数和 S = {P e = 1,2,, n}, ringsig, 计算 : 9 L e = q e G + c e P e R e = r e H^(P e ) + c e I e 然后验证以下等式是否成立 : 7 q c e = H(m, L -,, L 7, R -,, R 7 ) rst 如果成立, 则执行 LNK 否则, 验证者拒绝签名 4)LNK: 对于区块链上已经出现过的所有 I 构建集合 J, 若当前 I 在集合中出现, 则说明该公钥已被使用, 认为签名交易不合法 ; 若没有出现过, 则认为签名交易合法, 并将 I 加入集合 J 39

45 参考文献 [1] Wood G. Ethereum: A secure decentralised generalised transaction ledger[j]. Ethereum project yellow paper, 2014, 151: [2] Cooper D. Internet X. 509 public key infrastructure certificate and certificate revocation list (CRL) profile[j] [3] Vukolić M. The quest for scalable blockchain fabric: Proof-of-work vs. BFT replication[c]//international Workshop on Open Problems in Network Security. Springer, Cham, 2015: [4] Luu L, Narayanan V, Zheng C, et al. A secure sharding protocol for open blockchains[c]//proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2016: [5] Schlosser M, Condie T, Kamvar S. Simulating a file-sharing p2p network[c]//1st Workshop on Semantics in Grid and P2P Networks. Stanford InfoLab, [6] Li H, Lu R, Zhou L, et al. An efficient merkle-tree-based authentication scheme for smart grid[j]. IEEE Systems Journal, 2014, 8(2): [7] Vukolić M. The quest for scalable blockchain fabric: Proof-of-work vs. BFT replication[c]//international Workshop on Open Problems in Network Security. Springer, Cham, 2015: [8] Joux A. A one round protocol for tripartite Diffie Hellman[C]//International algorithmic number theory symposium. Springer, Berlin, Heidelberg, 2000: [9] Rackoff C, Simon D R. Non-interactive zero-knowledge proof of knowledge and chosen ciphertext attack[c]//annual International Cryptology Conference. Springer, Berlin, Heidelberg, 1991: [10] Gervais A, Karame G O, Wüst K, et al. On the security and performance of proof of work blockchains[c]//proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2016: [11] Goldwasser S, Micali S, Rivest R L. A digital signature scheme secure against 40

46 adaptive chosen-message attacks[j]. SIAM Journal on Computing, 1988, 17(2): [12] Modified Merkle Patricia Trie Specification. [13] Johnson D, Menezes A, Vanstone S. The elliptic curve digital signature algorithm (ECDSA)[J]. International journal of information security, 2001, 1(1): [14] Koblitz N. Elliptic curve cryptosystems[j]. Mathematics of computation, 1987, 48(177): [15] Zhang F, Kim K. ID-based blind signature and ring signature from pairings[c]//international Conference on the Theory and Application of Cryptology and Information Security. Springer, Berlin, Heidelberg, 2002: [16] Liu J K, Wei V K, Wong D S. A separable threshold ring signature scheme[c]//international Conference on Information Security and Cryptology. Springer, Berlin, Heidelberg, 2003: [17] Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 2.0, May 21, [18] Rahat Afreen, S.C. Mehrotra, A Review on Elliptic Curve Cryptography for Embedded Systems : International Journal of Computer Science & Information Technology (IJCSIT), Vol 3, No 3, June 2011 [19] How to leak a secret, Ron Rivest, Adi Shamir, and Yael Tauman, ASIACRYPT Volume 2248 of Lecture Notes in Computer Science, pages

Chapter #

Chapter # 第三章 TCP/IP 协议栈本章目标通过本章的学习, 您应该掌握以下内容 : 掌握 TCP/IP 分层模型掌握 IP 协议原理理解 OSI 和 TCP/IP 模型的区别和联系 TCP/IP 介绍主机主机 Internet TCP/IP 早期的协议族全球范围 TCP/IP 协议栈 7 6 5 4 3 应用层表示层会话层传输层网络层应用层主机到主机层 Internet 层 2 1 数据链路层