CN111951108A - 一种具有图灵完备智能合约区块链的链结构设计方法 - Google Patents

Abstract

本发明公开了一种具有图灵完备智能合约区块链的链结构设计方法，引入以下技术来对链的底层架构进行增强，所述链结构设计方法如下：共识机制、共识的分阶段演进、MAINNET1.X版本的POW共识部分、MAINNET1.X版本的POS共识部分、扩容机制、虚拟机及抗量子计算。本发明具有安全可靠、稳定性高、运算速度快等优点。

Description

一种具有图灵完备智能合约区块链的链结构设计方法

技术领域

本发明涉及区块链领域，尤其是一种具有图灵完备智能合约区块链的链结构设计方法。

背景技术

互联网飞速发展让信息的流转速度变得非常高效，从而推动了人类社会的发展，但从另外一方面看，隐私问题也正是因为互联网的高速发展而变得更加严重。区块链作为下一代的价值互联网，曾被认为是保护隐私非常好的工具，但大家很快发现，当前主要的区块链网络中，一旦数字钱包地址和它的拥有者的个人信息对应起来，该钱包的拥有者所有账户信息、交易信息都将在整个网络中一览无遗并且无法消除，这会导致比互联网的隐私泄露更加严重的问题。为此区块链行业的密码学和顶尖的技术专家都在进行不懈努力，业界有几支团队研发了一些保护隐私的特殊虚拟货币，这类虚拟货币被称之为“匿名币”，行业中比较有名的数字货币包括大零币 Zcash (ZEC)，门罗币 Monero (XMR)，达世币(DASH)等，这些采取了一定隐私保护的数字货币基于其巨大的市场需求，均获得了非常高的流通市值，排名在全球20大虚拟货币之列，说明隐私保护对区块链行业而言是一个非常强烈的需求。

智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。区块链上图灵完备的智能合约***，可以满足开发者编写任意复杂的，存在于区块链上并且能被区块链传递的合约。开发者可以用智能合约开发语言实现比如定制货币、金融衍生品、身份***和去中心化组织等功能，极大的扩展了区块链***的适用范围。智能合约是价值互联网重要的的技术基础之一，但是目前令人沮丧的情况是，全球目前运行的区块链***均不支持对智能合约加密保 护，现有的隐私保护机制使用场景受到这一技术限制的影响被极大的缩小了其适用范围。区块链技术起源于中本聪发明的比特币，被视为区块链1.0，让人类世界找到了数字虚拟货币这一巨大的财富；而当以太坊面世后，智能合约的发明让区块链技术的落地变得更为可行，从此基于区块链技术的去中心化分布式应用（简称“DApp”）成为可行，这让区块链技术可以被运用到更多的行业中，因此以太坊被视为区块链2.0。同样可以类比，如果Zcash和门罗币为代表的不支持智能合约的匿名区块链***是隐私保护方案1.0的话，为了让方案可以落地到更多行业和应用场景中去，支持智能合约的隐私保护方案2.0备受期待。不可否认的是，支持智能合约的匿名区块链***具有非常高的技术门槛，全球仅有屈指可数的团队正在为之努力。

在智能合约中，整个行为序列通过网络传播并记录在区块链上，所以是公开可见的，许多个人和组织认为金融交易（例如保险合同或股票交易）是高度机密的，比如多方之间基于某些条款的细节产生的交易，原本可能需要当事人的信息保护，现在却无法做到。所以，缺乏隐私是广泛采用去中心化智能合约的主要障碍，隐私保护技术的匮乏已经成为了去中心化应用普及落地的严重瓶颈，故而相关领域的技术发展进程也备受公众关注。

比特币网络是典型的区块链技术代表，目前市场上主流的加密货币，几乎都基于与之相同的技术特点，下面以比特币网络为例分析隐私泄漏的风险。

首先从比特币交易***的结构设计来看：交易数据的UXTO模型包含输入地址和输出地址信息，每一个输入地址都指向前一笔交易，所有输入资金都能够追溯到源头。交易数据存储在公开的全局账本中，任意参与用户都可以获得完整的全局账本。其在共识过程验证节点需要检索历史交易，所有的交易信息没有采用加密等手段保护数据。比特币交易参与方的地址都是由用户自行创建且与身份信息无关的，任何人都无法直接通过观察交易记录推测出交易中用户的身份信息。但全局账本公开的交易之间存在关联关系，潜在攻击者可以通过分析全局账本中的交易记录推测出比特币地址的交易规律，包括相关地址的交易频率、交易特征、地址之间的关联关系等。基于这些规律，攻击者有可能将比特币地址和特定用户在真实世界中的身份相关联。

其中一种方式主要通过分析地址相关的交易记录，获得该地址交易的规律特征，据此推测对应用户的身份信息。由于在某一特定类型的区块链交易中会存在它特有的交易特征，攻击者可以根据地址的交易特征，对其交易发生的真实场景进行还原，从而做出用户真实身份的推测。Androulaki E.等人设计了一个匹配区块链地址与学生身份的模拟实验，学生以比特币作为日常交易的支付手段，并使用比特币推荐的一次性地址方法加强隐私保护，分析人员通过基于行为的聚类技术，能够以42%的准确率将学生身份和区块链地址成功匹配。Monaco J. V.等人将比特币用户的交易行为进行量化，以交易时间间隔、资金流向等12个维度为依据分析用户的交易规律，经过6个月实验得到的大量数据表明，利用这种分析模型成功识别用户真实身份的精度高达62%，错误率低于10.1%。

从最新的技术发展来看，通过采用最新的密码学算法保证隐私功能，例如非交互式零知识证明机制（NIZK）是最有前景的一种改进。但引入加密机制需要对底层协议进行大幅改动，并需要消耗更多的计算资源，影响区块链应用的效率，因此引入的隐私保护机制需要充分考虑节点在计算和存储上的性能、效率和成本。

在去中心应用方面，以太坊的智能合约大大增加了区块链***的应用场景，而不再仅仅局限于其流通的数字货币价值。然而目前主流的区块链隐私保护技术均不支持智能合约，从而无法建立实用并且落地的去中心化应用。因为任何一个安全的隐私保护机制要支持智能合约，都涉及到对区块链底层***做出重大的修改工作，因此一直难以落实到实际***实现中。

发明内容

本发明目的在于提供一种安全可靠、运算快、稳定性高的具有图灵完备智能合约区块链的链结构设计方法。

为实现上述目的，采用了以下技术方案：本发明所述区块链的设计步骤如下：

S1，通过NIZK（非交互零知识证明），将交易体系的输入和输出以及交易细节完全隐藏起来，除了交易双方，其他任何人对这些隐藏细节完全是不可见的；因为考虑到线上运行智能合约以及公开合约发行资产总数具有普适性的适用性，会保留链上运行的智能合约，将智能合约所产生的资产与***本身的交易体系融合，以此来实现智能合约所产生资产的隐私性；

S2，对于具有隐藏合约发行资产总数的需求，将在线上运行智能合约内部提供一种名为隐匿数据的隐藏结构，同时只在链下对这种隐匿数据进行计算；以此来实现隐藏合约发行资产总数的功能；

S3，采用共识机制，提升网络的吞吐量；对于具有隐藏合约内部计算规则的需求，将合约的运行分解为线下计算和线上验证两个步骤，线下计算完全了解运算规则和数据，并给出运算后的加密结果，当这个结果提交到线上时，线上节点只会对结果进行有效性验证，以确定其中包含的数据是否符合运算规则，但节点并不知道这些数据和运算规则的详细信息。

进一步的，引入以下技术来对链的底层架构进行增强，所述链结构设计方法如下：共识机制、共识的分阶段演进、MAINNET1.X版本的POW共识部分、MAINNET1.X版本的POS共识部分、扩容机制 、虚拟机及抗量子计算。

进一步的，在研究各类共识的基础上，提出了自己的主链共识引擎SE-Random；

VRF算法的使用

SE-Random共识引擎基于VRF（Verifiable Random Function）算法作为随机验证节点选择基础；VRF是随机生成函数，而且这个函数是可验证的；即同一把私钥对同样的信息进行签名，只有一个合法签名可以通过验证；

VRF的具体操作流程是：

1）证明者生成一对密钥，PUB_KEY和PRI_KEY。PRI_KEY是私钥，PUB_KEY是配对的公钥

2）证明者输出随机结果result = VRF_Hash(PRI_KEY, info)

3）证明者输出随机证明proof = VRF_Proof(PRI_KEY, info)

4）证明者把随机结果和随机证明提交给验证者。验证者需验证result和proof是否匹配，若匹配，进入下一步；

5）证明者把PUB_KEY和info提交给验证者，验证者计算

VRF_Verify(PUB_KEY, info, proof)结果是否为TRUE，是TRUE的话即验证通过；

6）验证通过即可推导出info和 esult是否匹配，即证明验证者给出的材料是正确的；在整个过程中验证者没有拿到证明者的私钥PRI_KEY；

随机种子（Seed）生成

在SE-Random的一些地方的随机算法会用到种子（seed），比如SE-Random的加密抽签中，需要随机选择并公开的种子；这个seed既要让参与节点知晓，又不能被对手控制；SE-Random第r回合产生的seed是由上一回合r-1的seed通过VRF来确定；这个种子和相应的VRF证明被包含在每个被提出的块中，一旦SE-Random在r-1轮的块上达成一致，当r轮开始之后，每个人都知道当前轮的伪随机的seedr；初始的seed0的值是由初始参与者们一起用多个节点进行计算，得到的一个绝对无法预测的随机seed；这样，seed不会被“破坏者”预测，也不会***纵；

通过VRF算法进行加密抽签选出验证者的方法

SE-Random用加密抽签方法来根据每个用户的权重来选择用户的随机子集；***将固 定单位数量的数字货币设为一个筛选候选单位S，并规定每个节点有限定数量的数字货币w 作为筛选计算，所有候选单位的总权重是

；

并且如果节点i拥有j个筛选单位数量的数字货币，则节点i可以以j个不同的子节点的身份参与抽签筛选；抽签算法的随机性来源于前面提到的随机种子；在BA*的每次循环中，SE-Random基于当前seed构建一个VRF，VRF的私钥只能由节点自己知道；每个节点用自己的私钥运行***公布的随机算法进行抽签；***按照节点持有的不超过限定阈值数字货币的比例选择验证节点；

SE-Random需要指定阈值，用以选择验证节点的预期数量；这个预期数量满足概率p =w/W；在总节点权重W选择子验证节点的概率满足二项分布：

当前验证节点的选择数量的确定方式也是由抽签算法确定的；当前验证节点，包含子验证节点的抽签算法将区间[0,1)划分为连续区间的形式：

如果散列的比特长度为hashlen，如果

在间隔 j 中，则节点就有j个选定 的验证子节点；选择的验证节点数目可以使用进行VRF公开验证；

在随机选出的验证者节点中进行BA*共识计算

BA*共识计算的步骤

BA*的每一步都要销毁当前步骤临时密钥，步骤简述如下：

1）生 成 区 块 （Step1）

节点检查自己是不是领导节点

；

生成第一步的消息

广播

和 m ^r,1

其中

是节点i在(r,s) 广播的消息；

是第r轮里节点i生成的区块；

是指 用当前(r,s) 的临时密钥来签名信息；H是哈希计算；

是指I的签名SIG (r,s,Q ^r1) ，用 来证明i存在于(r,s) 的验证节点集合里；

2）分级共识协议

这个协议将在任意一个块上达成一致的问题转化为在的两个值上达成一致，这两个值 是最后确定特定块的散列或者空块的散列的依据，总共分为3个步骤，判断消息中是否有超 过2/3的

并且相同，如果有，则广播此特定区块，如果没有，则广播空块， 此消息用于后继二元拜占庭判断；

3）二元拜占庭判断

二元拜占庭判断是一个三步的循环，验证节点会不断的对收到的历史进行检查，看是否达到了有两种结束条件，即区块合法或者区块不合法是否达到2/3的投票总数；如果区块不合法，共识***会判断并生成一个空区块；为了预防无限循环的情况发生，设定一个最大总循环数m，如达到m后还没判定出是否符合一个结束条件，共识***会临时生成暂定的共识，并在后续过程中形成最终共识，并确认这些较早的交易；

SE-Random共识会适应网络弱同步情况下的共识判定；在网络强情况下不会造成区块分叉，在网络弱同步情况下，会临时做出暂定共识并在网络强同步恢复后达到最终共识；SE- random可以防范女巫攻击、自私挖矿攻击、Nothing-at-Stake攻击、远程攻击等各类攻击方式；即使区块链的用户扩散到亿级以上的节点，SE-Random共识也可借助VRF机制快速达成全网一致的拜占庭共识。

进一步的，共识的分阶段演进：

纯PoW共识阶段

区块链Beta版本初期启动采用PoW共识，以便于***的共识在矿工群体里进行初始扩散；PoW共识的核心设计思路是提出求一个复杂度计算值的运算过程；用户通过进行工作量证明以计算出一个哈希函数并提交给服务分快速进行验证，以确保数据交易的公平和安全；Beta链采用Ethash共识进行挖矿，Ethash的PoW是memory-hard，其PoW计算需要选择一个固定的依赖于nonce值和块头的资源的子集，子集的数据结构是有向无环图DAG；Ethash中每3万个块会生成一个DAG，客户端需要预生成DAG，以便于启动挖矿工作；

PoW+PoS共识阶段

第一个Mainnet版本采用PoW+PoS混合共识。

进一步的，所述的MAINNET1.X版本的POW共识部分：Mainnet上的PoW算法采用ProgPoW，采用ProgPoW的目的是缩小商用GPU与ASIC矿机之间的效率差距，以抵抗ASIC矿机的算力垄断，实现更加公平的挖矿。

进一步的，所述MAINNET1.X版本的POS共识部分：

PoS权益池节点

在选票被选中需要进行投票的时候，用户需要通过节点在线以参与投票，如果无法投票，则用户不能获得奖励，由于考虑到节点在线的成本，以及需要及时参与投票验证区块所需要的网络和硬件条件，用户可以选择由特殊的节点代为投票，这类节点称之为权益池节点；

StakingNode，可以由任意节点主动在网络上通过注册的方式被选取，注册StakingNode时，需要向网络抵押一定数量的数字货币；

成功注册为StakingNode后，节点可以向普通PoS参与者提供自己的节点地址，在普通PoS参与者参与PoS时，可以在提交购买选票时，输入一个为其代为投票的有效StakingNode地址，以便于通过StakingNode的方式参与PoS，以获得更大的投票成功率；

全网所有的StakingNode，将会分享区块奖励中，对于StakingNode这类节点由于其提供了稳定的投票通道并公正分配PoS奖励的服务价值，所有会获得一定比例的区块奖励。

与现有技术相比，本发明具有如下优点：

1、不仅能实现对账户信息和交易信息的隐私保护，还能实现对图灵完备的智能合约输入输出的隐私保护。

2、开发者还能基于智能合约发行的匿名数字资产（Token）， 并且与智能合约的通讯信息也同样会得到隐私安全保护。

3、重新设计了区块链结构和各类底层协议，使得对隐私保护的图灵完备智能合约成为现实，不仅使更广泛的应用场景获得了隐私保护措施，并且因为其采用的先进的NIZK（全球首个通过非交互式零知识证明）加密学算法，也进一步提升了对用户隐私数据的攻击难度。

4、改进了目前NIZK加密算法的实用性问题，大大降低了所需要消耗的内存资源，提升了计算效率。除此之外，对比市面上的主流匿名区块链***，对图灵完备的智能合约的支持和对其相关的去中心化应用的隐私保护措施，使其使用场景得到了极大的泛化。

具体实施方式

下面对本发明做进一步说明：

本发明所述区块链的设计步骤如下：

S1，通过NIZK（非交互零知识证明），将交易体系的输入和输出以及交易细节完全隐藏起来，除了交易双方，其他任何人对这些隐藏细节完全是不可见的；因为考虑到线上运行智能合约以及公开合约发行资产总数具有普适性的适用性，会保留链上运行的智能合约，将智能合约所产生的资产与***本身的交易体系融合，以此来实现智能合约所产生资产的隐私性；

S2，对于具有隐藏合约发行资产总数的需求，将在线上运行智能合约内部提供一种名为隐匿数据的隐藏结构，同时只在链下对这种隐匿数据进行计算；以此来实现隐藏合约发行资产总数的功能；

S3，采用共识机制，提升网络的吞吐量；对于具有隐藏合约内部计算规则的需求，将合约的运行分解为线下计算和线上验证两个步骤，线下计算完全了解运算规则和数据，并给出运算后的加密结果，当这个结果提交到线上时，线上节点只会对结果进行有效性验证，以确定其中包含的数据是否符合运算规则，但节点并不知道这些数据和运算规则的详细信息。

引入以下技术来对链的底层架构进行增强，所述链结构设计方法如下：共识机制、共识的分阶段演进、MAINNET1.X版本的POW共识部分、MAINNET1.X版本的POS共识部分、扩容机制 、虚拟机及抗量子计算。

在研究各类共识的基础上，提出了自己的主链共识引擎SE-Random；SE-Random 共识引擎的设计思路受到最新一代共识研究Algorand和Ourboros的启发，只需要验证节点很少的计算开销，整个区块链网络产生分叉概率极小，并能实现近乎无限的扩展性。

SE-Random使用拜占庭协议BA*（Byzantine Agreement）在一组交易中达成共识。为了扩展性，SE-Random使用一种随机算法筛选出一批用户，允许用户自己私下检查是否被选中，并参与BA*协议中共识的达成。在此算法下，随着用户量的增多，整个BA*共识***不会变慢。

VRF算法的使用

SE-Random共识引擎基于VRF（Verifiable Random Function）算法作为随机验证节点选择基础；VRF是随机生成函数，而且这个函数是可验证的；即同一把私钥对同样的信息进行签名，只有一个合法签名可以通过验证，这个有别于普通的非对称加密算法；

VRF的具体操作流程是：

1）证明者生成一对密钥，PUB_KEY和PRI_KEY。PRI_KEY是私钥，PUB_KEY是配对的公钥

2）证明者输出随机结果result= VRF_Hash(PRI_KEY, info)

3）证明者输出随机证明proof = VRF_Proof(PRI_KEY, info)

4）证明者把随机结果和随机证明提交给验证者。验证者需验证result和proof是否匹配，若匹配，进入下一步；

5）证明者把PUB_KEY和info提交给验证者，验证者计算

VRF_Verify(PUB_KEY, info, proof)结果是否为TRUE，是TRUE的话即验证通过；

6）验证通过即可推导出info和 esult是否匹配，即证明验证者给出的材料是正确的；在整个过程中验证者没有拿到证明者的私钥PRI_KEY；

随机种子（Seed）生成

在SE-Random的一些地方的随机算法会用到种子（seed），比如SE-Random的加密抽签中，需要随机选择并公开的种子；这个seed既要让参与节点知晓，又不能被对手控制；SE-Random第r回合产生的seed是由上一回合r-1的seed通过VRF来确定；这个种子和相应的VRF证明被包含在每个被提出的块中，一旦SE-Random在r-1轮的块上达成一致，当r轮开始之后，每个人都知道当前轮的伪随机的seedr；初始的seed0的值是由初始参与者们一起用多个节点进行计算，得到的一个绝对无法预测的随机seed；这样，seed不会被“破坏者”预测，也不会***纵；

通过VRF算法进行加密抽签选出验证者的方法

SE-Random用加密抽签方法来根据每个用户的权重来选择用户的随机子集；***将固 定单位数量的数字货币设为一个筛选候选单位S，并规定每个节点有限定数量的数字货币w 作为筛选计算，所有候选单位的总权重是

；

并且如果节点i拥有j个筛选单位数量的数字货币，则节点i可以以j个不同的子节点的身份参与抽签筛选；抽签算法的随机性来源于前面提到的随机种子；在BA*的每次循环中，SE-Random基于当前seed构建一个VRF，VRF的私钥只能由节点自己知道；每个节点用自己的私钥运行***公布的随机算法进行抽签；***按照节点持有的不超过限定阈值数字货币的比例选择验证节点；

SE-Random需要指定阈值，用以选择验证节点的预期数量；这个预期数量满足概率p =w/W；在总节点权重W选择子验证节点的概率满足二项分布：

当前验证节点的选择数量的确定方式也是由抽签算法确定的；当前验证节点，包含子验证节点的抽签算法将区间[0,1)划分为连续区间的形式：

如果散列的比特长度为hashlen，如果

在间隔 j 中，则节点就有j个选定的验 证子节点；选择的验证节点数目可以使用进行VRF公开验证；

此加密抽签的方法的特性为：1、验证节点根据他们持有数字货币的权重随机选出N个验证子节点；2、不知道节点i私钥的破坏者无法知道i是否被选中，以及选出多少个子验证节点。

在随机选出的验证者节点中进行BA*共识计算

验证节点（包括子验证节点）在秘密的情况下获知自己被选中，但他们只有公布凭证才能证明自己的验证者资格。对于每一个选中的节点，使用自己的私钥对seed进行签名，并输入哈希函数后得到自己的凭证。哈希函数的性质表明凭证是一个随机的长度为256的字符串，不同节点的凭证不会相同，并且凭证字符串的分布是均匀的。用同样的方式选出一批候选领导节点，把候选领导节点的凭证按照字典顺序进行排列，排序中最小的候选领导节点被选为领导节点，即领导节点是通过候选领导节点集合随机的公共选举产生。

验证节点和领导节点一起参与拜占庭协议BA*的运算，在BA*的每一个阶段和步骤里，节点都通过私人和非互动的方式来独立确定自己是否被选择在当前步骤的委员会中。BA*是一个两个阶段的投票机制。第一阶段，验证节点对收到的候选区块进行分级共识，选取验证共识最多的候选区块。第二阶段，对第一阶段筛选出的候选区块进行二元拜占庭判断。BA*共识要保证参与共识的诚实节点大于2/3，如果随机选出的集合不能满足该条件，那么需要进行多次随机选举，只要有一次参与共识的诚实节点大于2/3，就能达成共识。BA*共识的每个步骤的验证节点并行指定或抽签筛选出来用来加快共识确认速度。

BA*共识计算的步骤

BA*的每一步都要销毁当前步骤临时密钥，步骤简述如下：

1）生 成 区 块 （Step1）

节点检查自己是不是领导节点

；

生成第一步的消息

广播

和 m ^r,1

其中

是节点i在(r,s) 广播的消息；

是第r轮里节点i生成的区块；

是指 用当前(r,s) 的临时密钥来签名信息；H是哈希计算；

是指I的签名SIG (r,s,Q ^r1) ，用 来证明i存在于(r,s) 的验证节点集合里；

2）分级共识协议

这个协议将在任意一个块上达成一致的问题转化为在的两个值上达成一致，这两个值 是最后确定特定块的散列或者空块的散列的依据，总共分为3个步骤，判断消息中是否有超 过2/3的

并且相同，如果有，则广播此特定区块，如果没有，则广播空块， 此消息用于后继二元拜占庭判断；

3）二元拜占庭判断

二元拜占庭判断是一个三步的循环，验证节点会不断的对收到的历史进行检查，看是否达到了有两种结束条件，即区块合法或者区块不合法是否达到2/3的投票总数；如果区块不合法，共识***会判断并生成一个空区块；为了预防无限循环的情况发生，设定一个最大总循环数m，如达到m后还没判定出是否符合一个结束条件，共识***会临时生成暂定的共识，并在后续过程中形成最终共识，并确认这些较早的交易；

SE-Random共识会适应网络弱同步情况下的共识判定；在网络强情况下不会造成区块分叉，在网络弱同步情况下，会临时做出暂定共识并在网络强同步恢复后达到最终共识；SE- random可以防范女巫攻击、自私挖矿攻击、Nothing-at-Stake攻击、远程攻击等各类攻击方式；即使用户扩散到亿级以上的节点，SE-Random共识也可借助VRF机制快速达成全网一致的拜占庭共识。

共识的分阶段演进：

SE_Random的机制虽然在TPS方面有很大的优势，但是直接实施的话会带来代币集中化的问题，早期用户或获得过多的奖励，从而使大型节点的验证能力将很快超过普通PoS矿工，这样不利于扩散，因此采用分阶段的共识演进步骤。

纯PoW共识阶段

Beta版本初期启动采用PoW共识，以便于***的共识在矿工群体里进行初始扩散；PoW共识的核心设计思路是提出求一个复杂度计算值的运算过程；用户通过进行工作量证明以计算出一个哈希函数并提交给服务分快速进行验证，以确保数据交易的公平和安全；Beta链采用Ethash共识进行挖矿，Ethash的PoW是memory-hard，其PoW计算需要选择一个固定的依赖于nonce值和块头的资源的子集，子集的数据结构是有向无环图DAG；Ethash中每3万个块会生成一个DAG，客户端需要预生成DAG，以便于启动挖矿工作；

PoW+PoS共识阶段

第一个Mainnet版本采用PoW+PoS混合共识；随着发展，PoW矿工的算力有集中化的风险，Mainnet版本去除了license机制后，理论上存在了51%攻击的可能性，攻击者通过资金投入，获得超过全网51%的算力，进行双花攻击或者通过拒绝在区块中纳入交易记录以此进行拒绝服务攻击。因此，在Mainnet版本中，有必要同时引入PoW和PoS，让用户用持有的币权去投票，以预防大算力攻击，使大算力能切实为主链的账本安全进行服务，而不是单纯为了经济利益而恶意掌控***。如果攻击者想进行恶意双花攻击，则需要在掌控PoW算力的同时掌握大量的币权，从而极大的提高了攻击成本，降低双花攻击可能性；另外，权益持有者能决定哪些交易包含在区块中，这样可以抵御通过拒绝在区块中纳入交易记录以此进行拒绝服务攻击的恶意PoW矿工的敲诈。

Pow+Pos混合共识机制，通过激励持币用户作为PoS节点，相比于有硬件投入的PoW节点， 将会获得更多的在线节点，会更有效的位置区块拓扑网络的稳定性。在PoW+PoS机制下， PoW算力负责出块，而PoS通过权益投票机制决定区块的合法性。这样，每个区块的生成，是由矿工和持币者共同参与完成，两者互相制衡，避免了任何一方的垄断现象。另外，通过PoS 的投票机制，可以有效抑制区块网络硬分叉现象。

所述的MAINNET1.X版本的POW共识部分：Mainnet上的PoW算法采用ProgPoW，采用ProgPoW的目的是缩小商用GPU与ASIC矿机之间的效率差距，以抵抗ASIC矿机的算力垄断，实现更加公平的挖矿。ProgPoW算法由Ethash算法改进而来，因此BetaNet的PoW共识算法可以比较顺利的切换到ProgPoW，相对于Ethash其对ASIC的抗性主要表现在如下特点：

1、将keccal_f1600（字数为64）改为keccak_f800（字数为32）来减少其对总算力的影响。

2、增加混合状态

3、在主循环中添加随机数学序列

4、添加支持随机地址的低延时、小规模的缓存读取

5、将DRAM读取从128字节增加到256字节

PoS概述

在PoS共识主责负责对PoW的出块进行合法性验证。用户需要锁定自己的一部分数字货币竞拍选票，PoW矿工每生成1个区块时，需要从选票池随机选取3张选票，对区块进行一次有效验证的投票，投票完成后，用户竞拍选票所使用的数字货币会得到归还，并获得相应的区块PoS奖励。为了让PoS交易数处于合理的范围，并且使验证的有效性在网络区块进一步固化后被确认，PoS购买选票和区块奖励的数字货币，将会在用户参与PoS后大约定期自动结算并一次并归还到账户。在选票被选中对区块进行投票时，选票的持有人需要保持全节点在线并由账户自动完成有效投票，如当时无法保持在线投票，则会被作为弃票处理，并无法获得区块奖励。

PoS权益池节点（StakingNode）

在选票被选中需要进行投票的时候，用户需要通过节点在线以参与投票，如果无法投票，则用户不能获得奖励，由于考虑到节点在线的成本，以及需要及时参与投票验证区块所需要的网络和硬件条件，用户可以选择由特殊的节点代为投票，这类节点称之为权益池节点；

StakingNode，可以由任意节点主动在网络上通过注册的方式被选取，注册StakingNode时，需要向网络抵押一定数量的数字货币；

成功注册为StakingNode后，节点可以向普通PoS参与者提供自己的节点地址，在普通PoS参与者参与PoS时，可以在提交购买选票时，输入一个为其代为投票的有效StakingNode地址，以便于通过StakingNode的方式参与PoS，以获得更大的投票成功率；

全网所有的StakingNode，将会分享区块奖励中，对于StakingNode这类节点由于其提供了稳定的投票通道并公正分配PoS奖励的服务价值，所有会获得一定比例的区块奖励。

所述扩容机制：

Plasma是一个激励，和强制智能合约执行的框架。可以扩容达到每秒大量的状态更新，在区块链上能支持全球范围内的大量的去中心化金融应用。这些智能合约通过网络交易手续费用于激励持续的自动化运作，最终依赖于底层的区块链来强制交易状态的锁定。

Plasma由两个核心部分构成：重组所有区块链计算为一组MapReduce函数，和一个可选的方法，在现存的区块链上，以不鼓励区块扣留的Nakamoto共识原则，来实现一个Pos的代币押金机制。

这种构建通过在主链上编写智能合约，使用欺诈证明，可以在主链上强制状态的锁定。Plasma将区块链编组为一个树形的分层结构，将每一个区块链视为一个独立的分支，强制将整个区块链的历史，和可MapReduce的计算提交到Merkle证明。通过主链强制将某个链的帐本信息打包到子区块链中，这个链将通过最低的信任达到扩容的需求。

围绕全局强制非全局数据的数据可用性，区块扣留攻击是是一个非常复杂的问题。Plasms通过对有问题链的退出机制来缓解了这个问题，同时也创建了一个激励和持续的强制的执行数据的正确性机制。

仅仅通过周期性的将正常状态的Merkle证明广播到主链，这将允许不可思议的扩展性，降低交易成本和计算量。Plasma支持了大规模去中心化应用的持续运行。额外的，重要的可扩展性是通过减少单次花费的资金表达方式为一个位图中的一个位来实现，这样，一个交易和一个签名代表一个与多方的交易聚合。Plasma将这与一个MapReduce框架结合，同时使用含押金的智能合约来构建可扩展的计算强制性。这种构建方式允许让外部的参与方持有资金，并根据自己的行为计算合约，类似于一个矿工，但是Plasma是运行于一个已存在的区块链上，由此大家不用在每次状态更新时在主链上创建对应的交易（即使包括添加新用户的账本），而只需要将合并后的状态变化这样的少量信息写到链上。将采用Plasma这样的机制进行基于多链体系的横向的性能扩容。这种多链并行计算机制，可使每秒状态更新达到极高水平（可能会有数十亿）。从而在性能上获得很大提升，达到取代当前中心化集群的承载能力。

所述虚拟机：目前以太坊已经拥有了大量开发者，Solidity语言也已经成了智能合约开发最广泛使用的语言。因此，我们需要在***中提供EVM的兼容性。EVM虚拟机是在以太坊的基础上发展出来的，以太坊是一个标准的区块链结构，其数据结构是单一的，因此其虚拟机在交易调用层面设计为类似数据库的ACID（Atomicity， Consistency，Isolation，Durability）特性。即在以太坊的协议中，一个智能合约的调用，可能会影响多个账户的状态变化。这些状态变化是有实时一致性的刚性事务，即这些状态变化要么同时发生，要么都不发生。但是，需要考虑到未来充分的扩展性，并且要有底层指令的基础来满足性能的需求。我们将区块链的虚拟机设计为满足BASE（Bascically Available，Soft state，Eventual consistency）理念的最终一致性方案，我们将此虚拟机称为MEVM虚拟机。在BASE理念中，基本可用是指***在出现不可预期的故障时，允许损失部分可用性；软状态是指允许***中的数据存在中间状态，不过该中间状态的存在不会影响***的整体可用性；最终一致性是指所有的数据副本，在一段时间的同步之后，最终都能够达到一致。和ACID概念的强一致性相比，BASE理念通过牺牲实时强一致性来获得可用性，但最终会达到一致状态。区块链中区块结构和各类共识算法，其本质都是符合BASE理念的，不过并不满足ACID。因此MEVM虚拟机设计为复合BASE语义是适合的，并且在此层面上相比原来的EVM的ACID设计，会克服运行性能瓶颈的这个方面的制约。另外，Solidity语言一直被人诟病的一点是缺乏标准库的支持，比如比较两个字符串这种基本的功能，Solidity中没有标准库函数给开发者调用。类似OpenZeppelin这样的项目提供了一些标准库，但是还远远不够用。特别是区块链应用需要用到的高级的数学和密码学算法库，比如零知识证明协议、RSA公钥加密算法，奇异值分解等。MSolidity可以参考这些实现并添加更多的库，这些库采用预编译或者用Native方式实现，以减少运行消耗。在今后的发展中，体系会考虑对基于Web Assembly(WASM)的虚拟机提供支持，从而进一步提升性能，并提供对除了Solidity外用更多的语言，比如C，C++，Rust，或者Go 语言编写的智能合约进行支持。随着Cardano项目组设计的IELE虚拟机的成熟，体系也会考虑提供对这个虚拟机进行支持。IELE是LLVM的一个变种，有希望成为高级语言的智能合约翻译并执行的统一、低级的平台。通过IELE虚拟机，可以让体系支持更多种类的高级语言。

所述抗量子计算：目前区块链***上普遍使用的非对称加密签名算法，比如基于大整数因子分解难题的RSA算法和基于椭圆曲线上离散对数计算难题的ECC算法，可以被量子Shor算法将NP问题变成P问题，从而容易被破解。体系会根据项目进度和量子计算机实用化的发展适时引入 抗量子计算暴力破解的加密算法，比如基于格的密码***（Lattice-based cryptography）等；其中基于格密码可以设计加密、签名、密钥交换等各种密码***，是后量子密码学算法的一个重要方向。同时，我们也会对基于超特异椭圆曲线上同源问题（Isogen）、共轭搜索问题（conjugacy search problem）和辫群（Braid Groups）相关问题等设计的抗量子密码***的前沿研究方向进行同步追踪。

以上所述的实施例仅仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims (5)

1.根据权利要求1所述的具有图灵完备智能合约区块链的链结构设计方法，其特征在于，引入以下技术来对链的底层架构进行增强，所述链结构设计方法如下：共识机制、共识的分阶段演进、MAINNET1.X版本的POW共识部分、MAINNET1.X版本的POS共识部分、扩容机制、虚拟机及抗量子计算。

2.根据权利要求1所述的具有图灵完备智能合约区块链的链结构设计方法，其特征在于：在研究各类共识的基础上，提出了自己的主链共识引擎SE-Random；

VRF算法的使用

SE-Random共识引擎基于VRF（Verifiable Random Function）算法作为随机验证节点选择基础；VRF是随机生成函数，而且这个函数是可验证的；即同一把私钥对同样的信息进行签名，只有一个合法签名可以通过验证；

VRF的具体操作流程是：

1）证明者生成一对密钥，PUB_KEY和PRI_KEY；PRI_KEY是私钥，PUB_KEY是配对的公钥

2）证明者输出随机结果result = VRF_Hash(PRI_KEY, info)

3）证明者输出随机证明proof = VRF_Proof(PRI_KEY, info)

4）证明者把随机结果和随机证明提交给验证者；验证者需验证result和proof是否匹配，若匹配，进入下一步；

5）证明者把PUB_KEY和info提交给验证者，验证者计算

VRF_Verif y(PUB_KEY, info, proof )结果是否为TRUE，是TRUE的话即验证通过；

6）验证通过即可推导出info和esult是否匹配，即证明验证者给出的材料是正确的；在整个过程中验证者没有拿到证明者的私钥PRI_KEY；

随机种子（Seed）生成

在SE-Random的一些地方的随机算法会用到种子（seed），比如SE-Random的加密抽签中，需要随机选择并公开的种子；这个seed既要让参与节点知晓，又不能被对手控制；SE-Random第r回合产生的seed是由上一回合r-1的seed通过VRF来确定；这个种子和相应的VRF证明被包含在每个被提出的块中，一旦SE-Random在r-1轮的块上达成一致，当r轮开始之后，每个人都知道当前轮的伪随机的seedr；初始的seed0的值是由初始参与者们一起用多个节点进行计算，得到的一个绝对无法预测的随机seed；这样，seed不会被“破坏者”预测，也不会***纵；

通过VRF算法进行加密抽签选出验证者的方法

SE-Random用加密抽签方法来根据每个用户的权重来选择用户的随机子集；***将固定单位数量的数字货币设为一个筛选候选单位S，并规定每个节点有限定数量的数字货币w作为筛选计算，所有候选单位的总权重是

；

并且如果节点i拥有j个筛选单位数量的数字货币，则节点i可以以j个不同的子节点的身份参与抽签筛选；抽签算法的随机性来源于前面提到的随机种子；在BA*的每次循环中，SE-Random基于当前seed构建一个VRF，VRF的私钥只能由节点自己知道；每个节点用自己的私钥运行***公布的随机算法进行抽签；***按照节点持有的不超过限定阈值数字货币的比例选择验证节点；

SE-Random需要指定阈值，用以选择验证节点的预期数量；这个预期数量满足概率p =w/W；在总节点权重W选择子验证节点的概率满足二项分布：

当前验证节点的选择数量的确定方式也是由抽签算法确定的；当前验证节点，包含子验证节点的抽签算法将区间[0,1)划分为连续区间的形式：

如果散列的比特长度为hashlen，如果

在间隔j 中，则节点就有j个选定的验证子节点；选择的验证节点数目可以使用进行VRF公开验证；

在随机选出的验证者节点中进行BA*共识计算

BA*共识计算的步骤

BA*的每一步都要销毁当前步骤临时密钥，步骤简述如下：

1）生成区块（Step1）

节点检查自己是不是领导节点

；

生成第一步的消息

广播

和m ^r,1

其中

是节点i在(r,s) 广播的消息；

是第r轮里节点i生成的区块；

是指用当前(r,s) 的临时密钥来签名信息；H是哈希计算；

是指I的签名SIG (r,s,Q ^r1) ，用来证明i存在于(r,s) 的验证节点集合里；

2）分级共识协议

这个协议将在任意一个块上达成一致的问题转化为在的两个值上达成一致，这两个值是最后确定特定块的散列或者空块的散列的依据，总共分为3个步骤，判断消息中是否有超过2/3的

并且相同，如果有，则广播此特定区块，如果没有，则广播空块，此消息用于后继二元拜占庭判断；

3）二元拜占庭判断

二元拜占庭判断是一个三步的循环，验证节点会不断的对收到的历史进行检查，看是否达到了有两种结束条件，即区块合法或者区块不合法是否达到2/3的投票总数；如果区块不合法，共识***会判断并生成一个空区块；为了预防无限循环的情况发生，设定一个最大总循环数m，如达到m后还没判定出是否符合一个结束条件，共识***会临时生成暂定的共识，并在后续过程中形成最终共识，并确认这些较早的交易；

SE-Random共识会适应网络弱同步情况下的共识判定；在网络强情况下不会造成区块分叉，在网络弱同步情况下，会临时做出暂定共识并在网络强同步恢复后达到最终共识；SE- random可以防范女巫攻击、自私挖矿攻击、Nothing-at-Stake攻击、远程攻击各类攻击方式；即使区块链的用户扩散到亿级以上的节点，SE-Random共识也可借助VRF机制快速达成全网一致的拜占庭共识。

3.根据权利要求1所述的具有图灵完备智能合约区块链的链结构设计方法，其特征在于，共识的分阶段演进：

纯PoW共识阶段

区块链Beta版本初期启动采用PoW共识，以便于***的共识在矿工群体里进行初始扩散；PoW共识的核心设计思路是提出求一个复杂度计算值的运算过程；用户通过进行工作量证明以计算出一个哈希函数并提交给服务分快速进行验证，以确保数据交易的公平和安全；Beta链采用Ethash共识进行挖矿，Ethash的PoW是memory-hard，其PoW计算需要选择一个固定的依赖于nonce值和块头的资源的子集，子集的数据结构是有向无环图DAG；Ethash中每3万个块会生成一个DAG，客户端需要预生成DAG，以便于启动挖矿工作；

PoW+PoS共识阶段

第一个Mainnet版本采用PoW+PoS混合共识。

4.根据权利要求1所述的具有图灵完备智能合约区块链的链结构设计方法，其特征在于，其特征在于，所述的MAINNET1.X版本的POW共识部分：Mainnet上的PoW算法采用ProgPoW，采用ProgPoW的目的是缩小商用GPU与ASIC矿机之间的效率差距，以抵抗ASIC矿机的算力垄断，实现更加公平的挖矿。

5.根据权利要求1所述的具有图灵完备智能合约区块链的链结构设计方法，其特征在于，所述MAINNET1.X版本的POS共识部分：

PoS权益池节点

在选票被选中需要进行投票的时候，用户需要通过节点在线以参与投票，如果无法投票，则用户不能获得奖励，由于考虑到节点在线的成本，以及需要及时参与投票验证区块所需要的网络和硬件条件，用户可以选择由特殊的节点代为投票，这类节点称之为权益池节点；

StakingNode，可以由任意节点主动在网络上通过注册的方式被选取，注册StakingNode时，需要向网络抵押一定数量的数字货币；

成功注册为StakingNode后，节点可以向普通PoS参与者提供自己的节点地址，在普通PoS参与者参与PoS时，可以在提交购买选票时，输入一个为其代为投票的有效StakingNode地址，以便于通过StakingNode的方式参与PoS，以获得更大的投票成功率；

全网所有的StakingNode，将会分享区块奖励中，对于StakingNode这类节点由于其提供了稳定的投票通道并公正分配PoS奖励的服务价值，所有会获得一定比例的区块奖励。