区块链 - 区块链基础知识：交易哈希链

区块链 - 区块链基础知识：深入了解交易哈希链

本文的主题是执行有关交易哈希链、交易池的角色以及一个最长的区块链如何永远占据主导。

讨论的细节包括以下内容：

事务哈希链的实现细节
交易池的角色
为什么需要共识算法
PoW vs PoS
为什么最长的区块链永远占据主导

包含的技术：

区块链（Blockchain）
交易哈希链（Transaction Hash Chain）
椭圆曲线加密（Elliptic Curve
Cryptography）
工作量证明算法（PoW）
权益证明算法（PoS）

回顾“交易哈希链”

前面讨论过交易哈希链数据结构，用于跟踪数字资产的所有权。本文深入讨论哈希链的工作原理。
出于对区块链的敬意，本文从中本聪2008年发表的比特币的白皮书（bitcoin.org/bitcoin.pdf）开始。虽然比特币的实现细节已经变化了很多，但是白皮书还是一本很有用的参考。特别是原始的关于交易哈希链的设计概念的图表。

图表的目表是告知交易哈希链是如何构建的，以及数字签名如何验证所有权的转移。但是这个图表高度抽象，而且有点容易迷惑，为了澄清当前的交易哈希链如何运作，重制了这个图表。

图注：中本聪的原始交易哈希链

这个图表中有3个交易。Alice 的 Transaction₀，Bob 的 Transaction₁，Charlie 的 Transaction₂。第一个交易把 Alice 作为数字资产的原始拥有者，第二个交易把所有权转移给 Bob，第三个交易把所有权转移给 Charlie。每一个交易由这些实线外框的字段组成：

交易哈希
数字资产ID
可选数据
公钥
签名

虚线框的其他字段被使用了但是没有保存在交易中：

私钥
新的交易哈希

上图中是一个简化的交易哈希链，因为在所有权转移的过程中，它只跟踪了一个数字资产（DigitalAssetID₀），而加密货币的交易哈希链通常有多个数字资产的输入和输出。另外，不要把交易哈希链和区块链搞混了，区块链把验证过的交易聚合进区块中。最后，交易哈希链通常不保存在一个单链表数据结构中。相反，交易哈希链可以从保存在区块链中的交易数据中快速地创建（根据索引）。

正如前一篇文章说的：交易序列是被保存起来的，因为每一个新的拥有者的交易都包含一个哈希值，这个哈希值向后链接到前一个拥有者的交易上。如上图。前一个交易的交易哈希值保存在当前的交易中时，后向的链接就建立了。

比如：Bob的交易包含了一个交易哈希字段，这个字段含有 Alice 的 TransactionHash₀值，类似地，Charlie 的交易包含一个交易哈希字段，这个字段包含 Bob 的 TransactionHash₁值。

后向链接只是交易哈希链的数据完整性的几个组件之一。交易哈希链还强制验证所有权的转移过程。比如，Alice 是世界上最好的红酒供应商，她想维护一个跟踪她每瓶酒的状况的账本。某天，Alice去酒窖，决定把自己注册为她的区块链，即所有红酒的原始拥有者，有效地把她珍藏的每瓶红酒放进交易哈希链。

她拿一瓶1947年的白诗南红酒，用一个包含唯一ID的二维码作标记。然后她扫描二维码标签，存进她的区块链客户端软件中，这个客户端软件作为一个结点运行于网络中。软件把扫描的代码转换成一个数字资产ID（DigitalAssetID₀），然后添加一些可选的数据（OptionalData₀），与Alice的公钥（PublicKey₀）放在一起。就像在上图中看到的，这些字段在它们各在的矩形线框中，表示一个未签名的交易。每个交易都包含一个后向的交易哈希链，以及一个签名，但由于这是哈希链中的第一个交易，这些字段都是空的（阴影字段Transaction₀）。

顶上的每个交易都是一个唯一的交易哈希值，这个哈希值是通过软件用SHA-256哈希算法把所有交易字段（交易哈希值，数字资产ID，可选数据，公钥及签名）结合在一起计算出来的。而这个计算出的哈希值，就是用于下一个交易的DigitalAssetID₀的后向链接。

当Alice的经理，Bob，想要收购Alice的红酒时，Bob用他的客户端软件生成一个新的公钥-私钥对，用于交易。Bob也可以跳过这个步骤，而是把他的所有数字资产聚合在单个之前用过的公钥下，但是这将让他暴露于危险之中。所以，他需要生成一个新的公钥-私钥对，交给Alice一个他从来没用过的公钥。这样的话，如果他以前丢过配对的私钥，那么他只会丢失单个数字资产。

在响应Bob的请求的回复中，Alice启动她的客户端软件并浏览她的数字资产。她选择了关联到那瓶Bob想要的红酒的交易ID，然后用Bob的公钥初始化这个交易请求，这个公钥同时也是交易的目标地址。此客户端结点随即创建一个新的交易（Transaction₁），其中包含

前一个交易哈希（TransactionHash₀）的后向链接值
用于那瓶红酒的数字资产ID的值（DigitalAssetID₀），这个值与用于数字资产ID的ransaction₀相同。
交易相关的任意自定义字段的值（OptionalData₁）
Bob的公钥的值（PublicKey₁）

目前为止，这个客户端结点为Bob创建一个未签名的新交易Transaction₁，下一步是用Alice的私钥签名这个交易。这一步很重要，Alice现在拥有数字资产，所有只有她可以转移这个数字资产给Bob。

椭圆曲线加密算法（Elliptic Curve Cryptography）

在上图中，标签 1 和标签 2 表示交易在哪里签名和验证。相应地，在这个版本中，比特币区块链利用公钥加密算法（PKC）的一种实现，调用椭圆曲线加密算法（ECC）。ECC 提供了更强的加密结果，并且比流行的RSA/Diffie-Hellman更短的密钥值。区块链结点使用 ECC 生成非对称的密钥对，生成的过程引用了一个在二维图表中随机选择点位的公式。这个模式允许一个丢失的公钥可以从私钥重新生成（但是当然，不允许从一个公钥重新生成一个丢失的私钥）。

比特币之后的区块链模型在数字签名时也使用了 ECC，不像上一文中提到的简化的PKC RSA(Rivest-Shamir-Adelamn)算法，比特币现在使用椭圆曲线数字签名算法（ECDSA）做交易签名，（准确的说是带有 ECDSA 的SHA-256算法）。这个算法与其他签名技术稍有不同：在 ECDSA 中，你必须把签名者的私钥与要签名的消息一起传给函数，这个函数使用ECDSA签名生成算法创建一个签名（在上图中用1表示）。要在后面验证签名，你必须把签名者的公钥，消息体，以及签名传给函数，这个函数使用 ECDSA 验证算法生成一个 true 或 false 值，表示签名是否有效（在上图中用2表示）。

下图总结了使用 ECDSA 签名和验证的过程：

图注：上面的是ECDSA生成签名，下面的是验证算法。

在上一文章中，当用 PKC-RSA 算法创建了数字签名时，通过计算哈希值来验证这个签名。出于好奇心，那个签名验证策略用 ECDSA 是不行的。PKC-RSA 算法是一个确定性的数字签名算法，因为用一个给定的私钥给一个消息做签名每次会生成同样的签名。而 ECDSA 算法，是非确定性的：也就是说，每次你传一个消息和一个私钥给 ECDSA 签名函数，你都会获得不同的签名。具体可以参考 bit.ly/2MCTuwl。

继续这个例子，Alice 将要签名这笔把DigitalAsset₀的所有权转移给Bob的交易，客户端结点把Alice的私钥（PrivateKey₀）和消息（NewTransactionHash₁）传给 ECDSA 签名生成算法函数，并获取一个签名作为输出值（Signature₁）。这个客户端结点把签名值添加到新交易的签名字段中。最后，客户端结点计算交易的哈希值（TransactionHash₁），这个值是所有交易字段计算出的SHA-256哈希值，包括签名。此时，客户端结点成功地生成了签名的交易，这就可以发送到交易池中了。

一个签了名的交易，直到它被一个矿工结点验证之前都被认为是未验证的。当一个矿工结点尝试验证Bob的交易时，矿工使用交易哈希的后向链接到前一个交易的公钥上，即指向Alice的Transaction₀。一旦客户端结点访问了前一个交易，它会把那个交易的公钥（PublicKey₀）和新交易的哈希（NewTransactionHash₁），以及Bob的交易的签名（Signature₁）一起传给 ECDSA 验证算法，然后返回true或false，表示签名是否有效。

顺便说一下，Alice 的私钥（PrivateKey₀）以及新的交易哈希（NewTransactionHash₁）没有保存在这个交易中。私钥值不应该保存在区块链中，而且也不需要保存新的交易哈希，因为它可以在需要时重新计算。

当 Bob 接了 Charlie 的电话时，Bob正在用他的开瓶器，准备享受这瓶红酒，Charlie 是 Alice另一个餐厅的经理。Charlie 想要一瓶特别的酒来招待新员工，Bob 遗憾地同意把这瓶红酒转交给Charlie。Bob 向 Charlie 索取了公钥，然后用同样的流程把 DigitalAsset₀ 的所有权从Bob 转移给了 Charlie。

现在 DigitalAsset₀ 就有了3笔交易，分别是这3个人的，每次交易都被验证并合并进了区块链。在一定数量的额外区块被矿工挖出到包含这个交易的区块顶上之后，这个交易就被认为是确认了的（确认数视实现情况不同）。这样的话，某个数字资产的官方拥有者永远是那个有私钥的人，这个私钥用于这个数字资产的交易哈希链中最近一次确认的交易。

“共识”的需要

你已经看到了，交易哈希链是一种致力于强制数字资产所有权的数据结构。但是要明白，这些交易保存在一个分布式的，去中心化的，异步的，易受攻击的公网上，并且暴露给其他不需要诚实的区块链协议规则的结点（也叫做“bad actors”）。这样的结果是bad-actor结点可以验证那些实际上无效的交易，或者还会破坏区块链的完整性。

交易池（Transaction Pool）

用于防止这些交易完整性问题，所有的交易需要通过一个验证和确认的流程，每一笔交易由网络中的单个结点创建。比如，假设Alice在墨西哥而Bob在美国，当Alice她的数字资产的所有权转移给Bob时，墨西哥的结点就创建了交易Transaction₁，然后广播给网络上的其他结点。同时，其他结点也广播他们自己创建的交易到网络中。这些广播到全球网络上其他结点的过程依赖于网络延迟。不考虑这笔交易最初在全球网络中的哪个结点上，区块链协议把所有新交易放进未验证交易的交易池中。

PoW 与 PoS

在区块链中，为了获取奖励 PoW，矿工结点积极从交易池中选择交易，理所当然地，矿工结点在构建一个候选区块时会验证每个交易，因为一个区块如果包含有任何坏的交易，则会立即被其他结点拒绝，这也意味着这个结点的工作是无价值的了。

回想上一文中提到的，每个结点都在竞相找到一nonce（随机数），这个nonce（随机数）结点创建的用于候选的区块，这样才能赚取财务上的奖励，然后恢复做 PoW 时消耗的能源。之前比特币区块链的奖励是12.5 btc，价值10万刀。有时财务上的奖励是一笔交易费，有时是btc外加交易费。理解 PoW 的重点是结点必须花费能源和消耗设备及基础设施成本，以达到持续挖区块的矿的目的。要想有一个可持续的（负担得起的）结点，这些成本必须能被收益抵消。

这也难怪矿工找到一个 nonce（随机数）后，就立即广播这个区块给网络上的其他结点，寄期望于它被添加到区块链的末尾。比特币区块链会调整其 nonce 的难度，使得大概每10分钟发现一个新的 nonce，所以慢一秒就有可能有其他矿工找到 nonce 并广播出去成为候选区块。

由于输掉矿工竞争的实现机制，考虑下不能及时找到 nonce 的矿工结点，所有花费的能源都被浪费了。没有找到 nonce 的矿工没有选择，但是也不能停止处理当前区块并重新开始获取和验证交易池中的其他交易。原因是它们必须在得知其他矿工已经找到 nonce，且这个 nonce 是候选区块，这个区块已经有一个后向链接指向区块链中的上一个区块的哈希时迅速停止挖矿。当另一个矿工挖到一个验证过的指向前一个区块的区块时，输掉的矿工必须也放弃这个它之前选择的交易，再从交易池中选择一个新的交易，因为其他结点会拒绝任何包含了已经含有前一个区块的新区块。

结点必须能承受支撑挖矿设备的所有成本。因为比特币区块链还在成长中，这就导致了另一种竞争：挖矿设备算力的竞争。算力越强的矿工结点，就越有可能在10分钟内解决加密算法问题，并找到一个 nonce。

常见的对于 PoW 的批评是，它鼓励构建计算中心并使用增长的电力。一个有竞争力的edge会被分给 PoW 支持的区块链网络上算力最强的计算设备的拥有者。比如，几百万美元的数据中心现在用于挖比特币的矿。根据 digiconomist.net 的数据，比特币每年的区块链能源消耗是71.12 TWh（截止2018年6月），这相当于智利每年的能源消耗量。

另一个被广泛讨论的共识算法是 PoS（Proof-of-Stake）,这个算法奖励那些证明网络中的经济权益的结点。可以认证的是，PoS 的最大吸引力是更节能。而且，它不会给挖到区块的矿工给予加密货币奖励，虽然也给予交易费作为奖励。另外，PoS 也需要竞争去找到解决加密算法难题的 nonce。不像 PoW，基于加密货币单位的总价值和年龄，PoS网络随机地选择一个将自己注册为“铁匠”的结点（区别于比特比的“矿工”）。各种实现的细节都致力于强制保证选择铁匠的随机性和公平性。如果一个铁匠被选择了，那么30天内它就不能参与其他轮的打铁工作。更有效的是，包含最老的加密货币的高价值的铁匠结点，拥有其他铁匠结点的edge。
PoS 的支持者利用更节能的优点，鼓励更多的参与者以及更高层面的去中心化。讽刺地是，PoS 系统不鼓励使用区块链设计地用于交易的加密货币，因为花费会减少结点的总价值，并且会减少被选择成为铁匠工的机会。

有一件需要考虑的事情是：区块链专家Anders Antonopoulos 指出：“PoW 也是一种 PoS，但是 PoS 不是 PoW”。他解释说：PoW 提供的一种这两种共识算法的联合，矿工参与的 PoW 网络中，选择矿工不是基于加密货币单位的年龄值，而是矿工结点通过提供所需要的能源来参与，以有效地发挥经济投资。这样的话，PoW中的 “Stake” 模式，就是结点的电力成本，会引发成功挖到一个区块。源自：https://bit.ly/2MDfkA1

最长链（Longest Chain）

区块链网络在持续扩展，分支和并剪枝，区块链的整个视图叫做 “区块树”，每个矿工结点的挖矿会让区块树的最长链更长。你可以认为最长链就是最多区块的区块，但是实际上这个序列定义是从最初的产生最多工作量的区块来的。你可以认为这个工作量是每个区块的持之以挖矿难度（衡量发现一个作为候选区块的nonce的难度）。网络协议维护这个值，而比特币区块链调整为每2016个区块可以发现一个nonce，这样差不多每10分钟可以处理一个。这个难度值保存在每个区块中，使得工作量可以由试图识别最长链的结点来计算。

有时，不可避免地会有两个结点 A 和 B，会在几秒甚至几毫秒的差距通过挖矿证明 PoW。因为每个结点在广播区块到网络之前，会添加它的新区块到它能看见的最长链尾部，“区块树”中就会出现一个分支。取决于结处于网络中的位置以及连接的结点的宽度，树中的有些部分会先发现区块A 作为新的区块，并添加到链的尾部。网络中的其他部分会先发现区块B 作为新的区块，并添加到链的尾部。这就导致有些结点带着区块A，有些带着区块B 作为末尾结点。如下图：

当发生分支时，如上图的上面部分时，两个链都在区块树上，它们长度相等，而且都有效。此图表示的问题是：当矿工结点在挖矿前寻找最长链，因为矿工需要知道链的末尾区块的哈希值。

如果矿工成功挖到区块C，并且工作于区块A，它会把区块C 添加到区块A 的后面，作为末尾区块。一旦这么做了，这就会广播区块C 到网络中，然后其他结点会发现区块A 是最长链，而工作在区块B 上的结点会发现区块A 比区块B 更长，会停止挖矿，开始挖新的矿来延续区块C。这样一来，网络便会释放所有区块B 的交易，并把区块B 返回到交易池，这样他会被新一轮挖矿。

你可能想知道：如果矿工已经赚取了挖到区块B 所得到的比特币会发生什么？交易委员会和区块奖励其实不会颁发奖励。在比特币网络中，这些奖励不会在这个被挖到的区块处于100个区块之上时就颁发给矿工。