官方文档翻译《The Libra Blockchain》之执行交易（二）

译自：官方文档翻译《The Libra Blockchain》之执行交易，第三小节。本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 中国大陆许可协议进行许可。

执行交易

执行一次交易在 VM 内部按照六个步骤有序进行。执行交易与更新账本的两个动作是分开的。先尝试在一部分的序列上执行看交易是否能达成通过。由于执行过程是封闭的，因不会有外界插手所引致的副作用产生。随后如果达成协议，则将其输出写入账本历史记录。

执行一次交易需要下面六个步骤：

（1）检查签名。交易的签名必须与发送者的公钥和交易数据相匹配。这是交易本身的步骤，不需要从发送者账号上读取任何数据。
（2）运行初始化。初始化程序认证交易发送者的身份，确保发送者账上有足够的 Libra 币来支付这次交易的气化值最大数，另外还检查这次交易不是重复执行之前的交易。所有的这些检查用 Move 写成，也就是所谓的初始化过程，属于 LibraAccount 模块的方法（译注：或说过程 procedure）。执行初始化期间禁止气化值计费。具体来说，初始化工作有以下这些：

检查发送者公钥的 hash 是否和发送者账号的认证密钥相等。即使与该帐户关联的密钥没有对应，VM 也会错误地接受签名加密有效的交易。
判断是否 gas_price * max_gas_amount <= sender_account_balance，否则 VM 会最终执行失败，因为气化值不够支付。
确保交易的序列号与用户账户的序列号一致，否则可导致非法执行者再次执行交易（例如，Alice 转账给 Bob 10 个 Libra 币，但是 Bob 之后可以再次执行交易，那当然是不行的）

（3）验证交易脚本和模块。一旦交易初始化通过，VM 的 Move 字节码验证器就对交易脚本和模块进行格式检查。在 Move 代码被实际发布或者运行之前，字节码验证器检查相关必要的属性如类型安全、引用安全（看是否有空的引用等）和资源安全（例如不能复制资源和重用资源，或者任意消耗）

（4）发布模块。程序中每个模块会发布到发送者账户的交易中。禁止重复的模块名称——例如，如果交易尝试发布名称为 M 的模块到一个账户，但该账户已经有 M 的模块了，那会导致失败。

（5）运行交易脚本。VM 把交易参数绑定到交易脚本的正式参数中并执行之。如果执行脚本成功，脚本执行的写操作和触发的时间都提交到全局状态。如果脚本执行失败（例如没有足够的气化值导致了失败），那么不会提交任何内容到全局状态。

（6）运行收尾程序（epilogue）。最后 VM 运行交易的收尾程序，向用户收取所用的气化值，并增加发送方帐号序列号。就像初始化（prologue）一样，收尾程序也是 Move LibraAccount 模块下的一个过程，同时不会进行气化值的计费。如果跳过了步骤（2）、步骤（3）、步骤（4）或步骤（5）失败，收尾程序这一步骤依然会运行。收尾程序和初始化会一起工作，以确保在账本历史中的所有交易都是有计费的。如果没有执行步骤（2），那么交易不会记录到账本历史中。这类交易虽然执行了但不会被记录。虽然有些交易跳过了步骤（2），但是初始化程序会确保账户拥有足够的 Libra 币以支付交易最大气化值。即使交易过程消耗尽了气化值，收尾程序也能收取这个最大的气化值费用。

Move 编程语言

如上所述，一个交易，本质就是一段 Move 字节码程序，再加上一层认证的包装器在外面。Move 是根据 Libra 协议而诞生的新型编程语言。在该系统中 Move 扮演以下三个角色。

通过交易脚本实现灵活的交易；
模块 modules 相当于类，是用户自定义的数据类型和代码，智能合约就是通过 module 引入；
实现 Libra 协议的可配置以及扩展性。

Move 语言的一大作用就是允许我们自定义资源类型，由线性逻辑所启发的语义（Linear Logic，译注：线性逻辑表示，如果某个变量符合某种特定的“结构”，它就内含一种规则：必须且只能使用一次。该特性也是 Rust 语言特性）。资源类型与一般变量无异，可在编码中作为参数传来传去。不过，Move 类型系统有特殊的机制保证资源的安全。首先资源不能复制，只能移动；其次是只能由模块创建或销毁资源，这确保了 Move VM 能够静态地强制执行检查。Move 语言中的 Libra 货币就是一种资源类型。对比其他区块链如 Ether 和比特币，它们不是那样的概念而是对应特定的状态。

针对 Move 的设计，我们另文再述（参见文档《Move: A language with programmable resources》）。在本节的余下部分中，我们谈谈执行交易的过程中，Move 的关键概念：编写 Move 交易脚本，交易模块，以及用虚拟机来执行 Move 字节码。

编写 Move 应用程序。 不同场合下，Move 可表征为：源码本身，IR 中间层或字节码。目前我们还处于 Move 语言的设计阶段，目的就是为了怎么简单地编写安全可靠的程序。与此同时，开发者可以开发模块而且用 Move IR 编写交易脚本。Move IR 同时具备这样的特点，不但是人们可读的高级源代码，还能直接翻译到低级的 Move 字节码。无论是 Move 源代码还是 Move IR 中间层代码，最终都编译到 Move 字节码，字节码本身符合 Libra 协议。

字节码本身可验证的，之所以那样子设计，理由是：

上述提到的安全性，所有的 Move 的程序必须能够保证到。单纯编译器层面强制保证还不够。攻击者总是可以选择通过字节码直接编写恶意代码来绕过编译器（作为执行交易的一部分运行编译器会使执行变得更慢，更复杂，并且需要验证器信任完整编译器代码库的正确性）。因此，该协议通过字节码验证强制执行 Move 的所有安全保证，从而避免单一信任编译器：类型安全，引用安全和资源安全。
Move 的字节码是基于栈的，其所拥有的指令比高级源码少很多。此外，每条指令的意思都很简单，可以通过更少的原子步骤来表示。其好处就是减少了 Libra 协议规范占用空间，并且更容易发现实现错误。

交易脚本。 Libra 协议中的 main 方法就是交易脚本。交易脚本是一段任意的 Move 代码，编译为 Move 字节码程序。任意的代码可以说会比较灵活了，它可以调用账本状态里面多个不同的模块，使用条件语句，执行本地计算等。我们可以我们的需求要制定流程跟逻辑，例如批量转账等的任务，都可灵活实现。

我们希望多数交易脚本只会调用总功能的那个方法，例如 LibraAccount.pay_from_sender(recipient_address, amount)，该方法封装了点对点的转账逻辑，有 recipient_address 和交易数量两个参数，就像以太坊的转账那样。

模块。 模块的代码保存在账本状态中。结构体（struct）类型和过程（procedure）皆在模块中定义。一个结构化值可以是保存原始值的数据字段，例如整型等的结构化值。

每个结构必须标记为资源或不受限制（即非资源）。不受限制的结构体不受上述复制和销毁的限制。但是不受限制的结构不能包含资源结构（直接或可传递），也不能发布在账本的帐户中。

总的来说，模块、结构体、过程就像面向对象编程中的类、对象和方法。然而有显著不同的是，一个模块可以声明多个结构体类型（或零个）。模块里面声明的数据字段不能供外界访问（也就是没有 public 字段）。模块的过程都是静态的过程，没有实例方法。也没有 this 或 self 指针。Move 模块有点像 ML 风格的模块，但是没有高阶函数。

Move 的模块与以太坊的智能合约有点类似，但不是一回事。以太坊的智能合约不但包含了代码还包含账本里面的数据。在 Libra 模块包含代码值，资源包含数据值。按照面向对象术语讲，以太坊的智能合约像是一个在单独账户地址下的单例对象。模块是创建资源的模版，可以创建不同的资源，然后发布到不同的账号地址。

Move 虚拟机。 Move VM 实现了验证器和字节码编译器。字节码运行于基于栈的虚拟机，通过 a procedure-local operand stack and registers（不会译）。非结构化的流程控制被编码为 goto 和 label 语句。

开发者所编写的，无论是交易脚本还是Move IR 中的模块都会被编译为 Move 字节码。编译器将结构化的流程控制语句（例如 if 条件、循环）转换为非结构化语句，并讲复杂的表达式转换为一小段的字节码指令，那样就可以操控运算栈（an operand stack）。Move VM 验证完交易之后就接着真正开始执行交易。

Move VM 支持的类型或值不算多，它们是：布尔型 booleans，无符号的64位整数，256 位的地址，固定长度的字节数组，结构体（包括资源）和引用。结构体字段不能是引用类型，从而杜绝了账本状态中的引用存储。

Move VM没有堆（heap）。本地数据在堆栈上分配，并在分配过程返回时释放。所有持久花的数据必须存储在账本状态之中。