1703864990
1703864991
第二,比特币体系包含随机性这个概念。在后面两节里我们将会看到,比特币的共识算法很大程度上依赖于随机性。此外,它也不再纠结于规定共识的起点与终点。相反,共识是通过一段较长的时间而达成的,在实际系统中,达成共识大约需要一个小时左右。但即使在一个小时以后,节点们也无法确定哪一个交易块应该进入总账本。但随着时间的流逝,我们对某一个块的认识与最终总体共识相吻合的概率将越来越大,观点出现分歧的概率按指数级下降。比特币在以上方面的不同,让它能够逾越传统理论关于分布式共识不可达成这一鸿沟。
1703864992
1703864993
[1]Fischer-Lynch-Paterson不可能结果,是Michael J. Fischer、Nancy A. Lynch和Michael S. Paterson在论文Impossibility of distributed consensus with one faulty process中证明的一个结论,称得上是分布式理论中最为深刻的结论,大致表述如下:“在一个多进程异步系统中,只要有一个进程不可靠,那么就不存在一个协议,此协议能保证有限时间内使所有进程达成一致。”——译者注
1703864994
1703864995
1703864996
1703864997
1703864999
区块链技术驱动金融:数字货币与智能合约技术 2.3 使用区块链达成没有身份的共识
1703865000
1703865001
在这一节里,我们将探讨比特币共识算法的技术细节。回忆一下,我们在前面曾说过,比特币中的每个节点并没有一个稳定的、长期的身份,这一点也是与传统分布式共识算法的不同之处。身份缺失的原因是,在一个点对点网络中,没有一个中央权威机构来发放身份,并保证它们没有制造节点。用技术术语来说,乱造节点就是所谓的“女巫攻击”(sybil attack)现象。女巫就是恶意黑客制造的不同节点,这些节点看起来像是对应不同的身份的人,其实是由一个人在幕后控制。另一个原因是化名制(pseudonymity),也是比特币想达到的一个目标,所以即使可以替所有节点建立唯一真实身份,我们也不想那样做。虽然比特币还是不能保证真正的匿名,一个用户用不同身份做的不同交易还是有办法被最终追踪到,但比特币的特性毕竟没有强迫大家用真实身份来加入。这是比特币的重要特性,也是比特币系统的核心理念。
1703865002
1703865003
如果所有节点都有真实身份的话,那么设计上会更加容易。有了真实身份,我们就能够以这样的方式发出协议指令,比如“编号最小的节点开始做某些动作”,在没有真实身份前提下,系统能设计的指令就受到很多限制,但设计真实身份最主要的考虑是安全上的便利。如果节点的身份可以被识别,就不能随便地制造新的节点身份出来。那样的话,我们就可以假设有恶意节点的数量,然后部署安全措施来防范。基于以上原因,缺少真实身份给比特币的共识协议带来很多难点。
1703865004
1703865005
我们可以做一个较弱的理论假设来弥补这个先天的不足。假设我们可以在系统里随意选一个节点,一个比较好的比喻是——就如同在彩票站,或是在任何一个难以辨别每个人身份的系统中,我们给每一位顾客发出彩票或是一个识别牌,之后我们就可以开始抽奖,与奖号对应的人就会中奖。现在我们想象一下在比特币的世界里,我们假设也可以做到这一点。我们再假设,这个彩票的印制过程与发放办法是足够聪明的,如果一个黑客想制造出许多女巫节点来,最后所有这些节点也只能拿到一张彩票。也就是说,这个黑客无法通过制造假的节点来增强他的力量。如果你觉得我们做的假设太多了,请不要担心,我们在以后会消除这些假设,并在后文会详细说明,在比特币系统中,与这些假设相对应的性质是如何实现的。
1703865006
1703865007
隐性共识
1703865008
1703865009
对随意节点选择的假设可以让“隐性共识”(inplicit consensus)成为可能。我们的共识协议有多个回合,每个回合都对应着区块链里的一个块。在每一个回合里,一个随机节点会被选中,然后这个节点可以提议这个链的下一个区块。这时没有共识算法,也没有任何投票过程来决定哪个区块会被选中,随机被选中的节点会直接决定区块链的下一个区块,但万一这个节点是恶意的呢?针对这个问题,还是有应对办法的,解决方法就是隐性共识。其他节点可以通过隐性地接受或是拒绝前面这个被随机选择出来的节点。如果接受,它们会在这个块之后接龙下去;如果拒绝,它们忽略这个新的区块,而是选择前一曾经接受的区块,来继续接龙下去。大家还记得,每一块都记录着前一块的哈希值。这就是节点选择在哪一块来继续接龙的技术处理方式:比特币共识算法(简化版)。
1703865010
1703865011
这个算法的简化假设是,可以随意选择一个节点,这些节点都不会受到女巫攻击的影响。
1703865012
1703865013
1.新的交易被广播到所有节点上。
1703865014
1703865015
2.每个节点都将新的交易放进一个区块。
1703865016
1703865017
3.在每个回合,一个随机的节点可以广播它的区块。
1703865018
1703865019
4.其他节点可以选择接受这个区块,前提是如果区块里的交易都是正当的(有真的签名)。
1703865020
1703865021
5.节点们可以把以上区块的哈希值放进自己的区块里,以此来表示它们对那个新区块的认可。
1703865022
1703865023
我们现在一起来研究一下为什么这样一个共识算法是有效的。为此,我们假设有一个叫爱丽丝的黑客,她想要破坏这个共识过程。
1703865024
1703865025
窃取比特币
1703865026
1703865027
爱丽丝能够窃取属于另一个用户,不受她控制的地址里的比特币吗?答案是否定的。即使这一轮是由爱丽丝提议区块链上的下一个区块,她也不可能窃取别人的比特币。这么做的话,爱丽丝需要发起一笔有效的交易来花掉这个比特币。这就要求爱丽丝伪造比特币拥有者的签名,然而如果数字签名机制是安全的,她是无法办到的。只要背后的密码学基础是牢靠的,她就无法轻易窃取比特币。
1703865028
1703865029
拒绝服务攻击
1703865030
1703865031
让我们来考虑另一种攻击。假设爱丽丝不喜欢叫鲍勃的某个用户,爱丽丝可以决定她不把鲍勃发起的任何交易放进她所提议的区块里。换言之,她拒绝提供服务给鲍勃。尽管这是爱丽丝可以开展的有效的攻击,但幸好这不过是个小问题。如果鲍勃的交易没有被放进爱丽丝所提议的下一个区块,鲍勃只要等到下一个诚实节点发起区块的时候,他的交易记录就会被放进这个区块里。所以这其实也不算是一个有效的攻击。
1703865032
1703865033
双重支付攻击
1703865034
1703865035
爱丽丝也可能会发起一个双重支付攻击。要理解爱丽丝如何发起这种攻击,我们可以假设爱丽丝是鲍勃开的网店或网站的一名顾客。鲍勃提供一些比特币付费的在线服务,比如软件下载。双重支付攻击是这样的:爱丽丝在鲍勃的网站选中一件商品并加入购物车中,此时服务器要求付款。然后,爱丽丝在她的地址上向鲍勃的地址发起了一笔比特币交易,并向整个网络广播这笔交易。我们假设由某个诚实节点来制造下一个区块,并把这笔交易放进这个区块中。因此,现在就有了一个由诚实节点发起,包含代表爱丽丝向商家鲍勃支付这笔交易在内的区块了。
1703865036
1703865037
我们还记得一个交易就是一个数据结构,里面有爱丽丝的数字签名,一个付给鲍勃的公钥(地址)的指令和一个哈希值。这个哈希值代表了一个指针,指向先前的一笔交易的输出,即爱丽丝之前收到并于现在消费比特币。这个指针必须指向一个已被共识链上的某个之前的区块所认可的交易。
1703865038
1703865039
顺便说一下,有两种容易混淆的不同类型的哈希指针。一种是在区块内用来表示接在之前哪个区块后面的哈希指针;另一种是在交易里的一个或多个,用来指向之前交易里说明比特币来源的哈希指针。
[
上一页 ]
[ :1.70386499e+09 ]
[
下一页 ]