区块链dsge模型

Ⅰ 区块链 --- 共识算法

PoW算法是一种防止分布式服务资源被滥用、拒绝服务攻击的机制。它要求节点进行适量消耗时间和资源的复杂运算，并且其运算结果能被其他节点快速验算，以耗用时间、能源做担保，以确保服务与资源被真正的需求所使用。

PoW算法中最基本的技术原理是使用哈希算法。假设求哈希值Hash(r)，若原始数据为r（raw），则运算结果为R（Result）。

R = Hash(r)

哈希函数Hash()的特性是，对于任意输入值r，得出结果R，并且无法从R反推回r。当输入的原始数据r变动1比特时，其结果R值完全改变。在比特币的PoW算法中，引入算法难度d和随机值n，得到以下公式：

Rd = Hash(r+n)

该公式要求在填入随机值n的情况下，计算结果Rd的前d字节必须为0。由于哈希函数结果的未知性，每个矿工都要做大量运算之后，才能得出正确结果，而算出结果广播给全网之后，其他节点只需要进行一次哈希运算即可校验。PoW算法就是采用这种方式让计算消耗资源，而校验仅需一次。

 

PoS算法要求节点验证者必须质押一定的资金才有挖矿打包资格，并且区域链系统在选定打包节点时使用随机的方式，当节点质押的资金越多时，其被选定打包区块的概率越大。

POS模式下，每个币每天产生1币龄，比如你持有100个币，总共持有了30天，那么，此时你的币龄就为3000。这个时候，如果你验证了一个POS区块，你的币龄就会被清空为0，同时从区块中获得相对应的数字货币利息。

节点通过PoS算法出块的过程如下：普通的节点要成为出块节点，首先要进行资产的质押，当轮到自己出块时，打包区块，然后向全网广播，其他验证节点将会校验区块的合法性。

 

DPoS算法和PoS算法相似，也采用股份和权益质押。

但不同的是，DPoS算法采用委托质押的方式，类似于用全民选举代表的方式选出N个超级节点记账出块。

选民把自己的选票投给某个节点，如果某个节点当选记账节点，那么该记账节点往往在获取出块奖励后，可以采用任意方式来回报自己的选民。

这N个记账节点将轮流出块，并且节点之间相互监督，如果其作恶，那么会被扣除质押金。

通过信任少量的诚信节点，可以去除区块签名过程中不必要的步骤，提高了交易的速度。
 

拜占庭问题：

拜占庭是古代东罗马帝国的首都，为了防御在每块封地都驻扎一支由单个将军带领的军队，将军之间只能靠信差传递消息。在战争时，所有将军必须达成共识，决定是否共同开战。

但是，在军队内可能有叛徒，这些人将影响将军们达成共识。拜占庭将军问题是指在已知有将军是叛徒的情况下，剩余的将军如何达成一致决策的问题。

BFT：

BFT即拜占庭容错，拜占庭容错技术是一类分布式计算领域的容错技术。拜占庭假设是对现实世界的模型化，由于硬件错误、网络拥塞或中断以及遭到恶意攻击等原因，计算机和网络可能出现不可预料的行为。拜占庭容错技术被设计用来处理这些异常行为，并满足所要解决的问题的规范要求。

拜占庭容错系统 ：

发生故障的节点被称为 拜占庭节点 ，而正常的节点即为 非拜占庭节点 。

假设分布式系统拥有n台节点，并假设整个系统拜占庭节点不超过m台（n ≥ 3m + 1），拜占庭容错系统需要满足如下两个条件：

另外，拜占庭容错系统需要达成如下两个指标：

PBFT即实用拜占庭容错算法，解决了原始拜占庭容错算法效率不高的问题，算法的时间复杂度是O(n^2)，使得在实际系统应用中可以解决拜占庭容错问题
 

PBFT是一种状态机副本复制算法，所有的副本在一个视图（view）轮换的过程中操作，主节点通过视图编号以及节点数集合来确定，即：主节点 p = v mod |R|。v：视图编号，|R|节点个数，p：主节点编号。

PBFT算法的共识过程如下：客户端（Client）发起消息请求（request），并广播转发至每一个副本节点（Replica），由其中一个主节点（Leader）发起提案消息pre-prepare，并广播。其他节点获取原始消息，在校验完成后发送prepare消息。每个节点收到2f+1个prepare消息，即认为已经准备完毕，并发送commit消息。当节点收到2f+1个commit消息，客户端收到f+1个相同的reply消息时，说明客户端发起的请求已经达成全网共识。

具体流程如下 ：

客户端c向主节点p发送<REQUEST, o, t, c>请求。o: 请求的具体操作，t: 请求时客户端追加的时间戳，c：客户端标识。REQUEST: 包含消息内容m，以及消息摘要d(m)。客户端对请求进行签名。

主节点收到客户端的请求，需要进行以下交验：

a. 客户端请求消息签名是否正确。

非法请求丢弃。正确请求，分配一个编号n，编号n主要用于对客户端的请求进行排序。然后广播一条<<PRE-PREPARE, v, n, d>, m>消息给其他副本节点。v：视图编号，d客户端消息摘要，m消息内容。<PRE-PREPARE, v, n, d>进行主节点签名。n是要在某一个范围区间内的[h, H]，具体原因参见 垃圾回收 章节。

副本节点i收到主节点的PRE-PREPARE消息，需要进行以下交验：

a. 主节点PRE-PREPARE消息签名是否正确。

b. 当前副本节点是否已经收到了一条在同一v下并且编号也是n，但是签名不同的PRE-PREPARE信息。

c. d与m的摘要是否一致。

d. n是否在区间[h, H]内。

非法请求丢弃。正确请求，副本节点i向其他节点包括主节点发送一条<PREPARE, v, n, d, i>消息, v, n, d, m与上述PRE-PREPARE消息内容相同，i是当前副本节点编号。<PREPARE, v, n, d, i>进行副本节点i的签名。记录PRE-PREPARE和PREPARE消息到log中，用于View Change过程中恢复未完成的请求操作。

主节点和副本节点收到PREPARE消息，需要进行以下交验：

a. 副本节点PREPARE消息签名是否正确。

b. 当前副本节点是否已经收到了同一视图v下的n。

c. n是否在区间[h, H]内。

d. d是否和当前已收到PRE-PPREPARE中的d相同

非法请求丢弃。如果副本节点i收到了2f+1个验证通过的PREPARE消息，则向其他节点包括主节点发送一条<COMMIT, v, n, d, i>消息，v, n, d, i与上述PREPARE消息内容相同。<COMMIT, v, n, d, i>进行副本节点i的签名。记录COMMIT消息到日志中，用于View Change过程中恢复未完成的请求操作。记录其他副本节点发送的PREPARE消息到log中。

主节点和副本节点收到COMMIT消息，需要进行以下交验：

a. 副本节点COMMIT消息签名是否正确。

b. 当前副本节点是否已经收到了同一视图v下的n。

c. d与m的摘要是否一致。

d. n是否在区间[h, H]内。

非法请求丢弃。如果副本节点i收到了2f+1个验证通过的COMMIT消息，说明当前网络中的大部分节点已经达成共识，运行客户端的请求操作o，并返回<REPLY, v, t, c, i, r>给客户端，r：是请求操作结果，客户端如果收到f+1个相同的REPLY消息，说明客户端发起的请求已经达成全网共识，否则客户端需要判断是否重新发送请求给主节点。记录其他副本节点发送的COMMIT消息到log中。
 

如果主节点作恶，它可能会给不同的请求编上相同的序号，或者不去分配序号，或者让相邻的序号不连续。备份节点应当有职责来主动检查这些序号的合法性。

如果主节点掉线或者作恶不广播客户端的请求，客户端设置超时机制，超时的话，向所有副本节点广播请求消息。副本节点检测出主节点作恶或者下线，发起View Change协议。

View Change协议 ：

副本节点向其他节点广播<VIEW-CHANGE, v+1, n, C , P , i>消息。n是最新的stable checkpoint的编号， C 是 2f+1验证过的CheckPoint消息集合， P 是当前副本节点未完成的请求的PRE-PREPARE和PREPARE消息集合。

当主节点p = v + 1 mod |R|收到 2f 个有效的VIEW-CHANGE消息后，向其他节点广播<NEW-VIEW, v+1, V , O >消息。 V 是有效的VIEW-CHANGE消息集合。 O 是主节点重新发起的未经完成的PRE-PREPARE消息集合。PRE-PREPARE消息集合的选取规则：

副本节点收到主节点的NEW-VIEW消息，验证有效性，有效的话，进入v+1状态，并且开始 O 中的PRE-PREPARE消息处理流程。
 

在上述算法流程中，为了确保在View Change的过程中，能够恢复先前的请求，每一个副本节点都记录一些消息到本地的log中，当执行请求后副本节点需要把之前该请求的记录消息清除掉。

最简单的做法是在Reply消息后，再执行一次当前状态的共识同步，这样做的成本比较高，因此可以在执行完多条请求K（例如：100条）后执行一次状态同步。这个状态同步消息就是CheckPoint消息。

副本节点i发送<CheckPoint, n, d, i>给其他节点，n是当前节点所保留的最后一个视图请求编号，d是对当前状态的一个摘要，该CheckPoint消息记录到log中。如果副本节点i收到了2f+1个验证过的CheckPoint消息，则清除先前日志中的消息，并以n作为当前一个stable checkpoint。

这是理想情况，实际上当副本节点i向其他节点发出CheckPoint消息后，其他节点还没有完成K条请求，所以不会立即对i的请求作出响应，它还会按照自己的节奏，向前行进，但此时发出的CheckPoint并未形成stable。

为了防止i的处理请求过快，设置一个上文提到的 高低水位区间[h, H] 来解决这个问题。低水位h等于上一个stable checkpoint的编号，高水位H = h + L，其中L是我们指定的数值，等于checkpoint周期处理请求数K的整数倍，可以设置为L = 2K。当副本节点i处理请求超过高水位H时，此时就会停止脚步，等待stable checkpoint发生变化，再继续前进。
 

在区块链场景中，一般适合于对强一致性有要求的私有链和联盟链场景。例如，在IBM主导的区块链超级账本项目中，PBFT是一个可选的共识协议。在Hyperledger的Fabric项目中，共识模块被设计成可插拔的模块，支持像PBFT、Raft等共识算法。
 

 

Raft基于领导者驱动的共识模型，其中将选举一位杰出的领导者(Leader)，而该Leader将完全负责管理集群，Leader负责管理Raft集群的所有节点之间的复制日志。
 

下图中，将在启动过程中选择集群的Leader（S1），并为来自客户端的所有命令/请求提供服务。 Raft集群中的所有节点都维护一个分布式日志（复制日志）以存储和提交由客户端发出的命令（日志条目）。 Leader接受来自客户端的日志条目，并在Raft集群中的所有关注者（S2，S3，S4，S5）之间复制它们。

在Raft集群中，需要满足最少数量的节点才能提供预期的级别共识保证， 这也称为法定人数。 在Raft集群中执行操作所需的最少投票数为 (N / 2 +1) ，其中N是组中成员总数，即 投票至少超过一半 ，这也就是为什么集群节点通常为奇数的原因。 因此，在上面的示例中，我们至少需要3个节点才能具有共识保证。

如果法定仲裁节点由于任何原因不可用，也就是投票没有超过半数，则此次协商没有达成一致，并且无法提交新日志。

 

数据存储：Tidb/TiKV

日志：阿里巴巴的 DLedger

服务发现：Consul& etcd

集群调度：HashiCorp Nomad
 

只能容纳故障节点(CFT)，不容纳作恶节点

顺序投票，只能串行apply，因此高并发场景下性能差
 

Raft通过解决围绕Leader选举的三个主要子问题，管理分布式日志和算法的安全性功能来解决分布式共识问题。

当我们启动一个新的Raft集群或某个领导者不可用时，将通过集群中所有成员节点之间协商来选举一个新的领导者。 因此，在给定的实例中，Raft集群的节点可以处于以下任何状态: 追随者(Follower)，候选人(Candidate)或领导者(Leader)。

系统刚开始启动的时候，所有节点都是follower，在一段时间内如果它们没有收到Leader的心跳信号，follower就会转化为Candidate；

如果某个Candidate节点收到大多数节点的票，则这个Candidate就可以转化为Leader，其余的Candidate节点都会回到Follower状态；

一旦一个Leader发现系统中存在一个Leader节点比自己拥有更高的任期(Term)，它就会转换为Follower。

Raft使用基于心跳的RPC机制来检测何时开始新的选举。 在正常期间， Leader 会定期向所有可用的 Follower 发送心跳消息（实际中可能把日志和心跳一起发过去）。 因此，其他节点以 Follower 状态启动，只要它从当前 Leader 那里收到周期性的心跳，就一直保持在 Follower 状态。

当 Follower 达到其超时时间时，它将通过以下方式启动选举程序：

根据 Candidate 从集群中其他节点收到的响应，可以得出选举的三个结果。

共识算法的实现一般是基于复制状态机（Replicated state machines），何为 复制状态机 ：

简单来说： 相同的初识状态 + 相同的输入 = 相同的结束状态 。不同节点要以相同且确定性的函数来处理输入，而不要引入一下不确定的值，比如本地时间等。使用replicated log是一个很不错的注意，log具有持久化、保序的特点，是大多数分布式系统的基石。

有了Leader之后，客户端所有并发的请求可以在Leader这边形成一个有序的日志（状态）序列，以此来表示这些请求的先后处理顺序。Leader然后将自己的日志序列发送Follower，保持整个系统的全局一致性。注意并不是强一致性，而是 最终一致性 。

日志由有序编号（log index）的日志条目组成。每个日志条目包含它被创建时的任期号（term），和日志中包含的数据组成，日志包含的数据可以为任何类型，从简单类型到区块链的区块。每个日志条目可以用[ term, index, data]序列对表示，其中term表示任期， index表示索引号，data表示日志数据。

Leader 尝试在集群中的大多数节点上执行复制命令。 如果复制成功，则将命令提交给集群，并将响应发送回客户端。类似两阶段提交(2PC)，不过与2PC的区别在于，leader只需要超过一半节点同意（处于工作状态）即可。

leader 、 follower 都可能crash，那么 follower 维护的日志与 leader 相比可能出现以下情况

当出现了leader与follower不一致的情况，leader强制follower复制自己的log， Leader会从后往前试 ，每次AppendEntries失败后尝试前一个日志条目（递减nextIndex值）， 直到成功找到每个Follower的日志一致位置点（基于上述的两条保证），然后向后逐条覆盖Followers在该位置之后的条目 。所以丢失的或者多出来的条目可能会持续多个任期。
 

要求候选人的日志至少与其他节点一样最新。如果不是，则跟随者节点将不投票给候选者。

意味着每个提交的条目都必须存在于这些服务器中的至少一个中。如果候选人的日志至少与该多数日志中的其他日志一样最新，则它将保存所有已提交的条目，避免了日志回滚事件的发生。

即任一任期内最多一个leader被选出。这一点非常重要，在一个复制集中任何时刻只能有一个leader。系统中同时有多余一个leader，被称之为脑裂（brain split），这是非常严重的问题，会导致数据的覆盖丢失。在raft中，两点保证了这个属性：

因此， 某一任期内一定只有一个leader 。
 

当集群中节点的状态发生变化（集群配置发生变化）时，系统容易受到系统故障。 因此，为防止这种情况，Raft使用了一种称为两阶段的方法来更改集群成员身份。 因此，在这种方法中，集群在实现新的成员身份配置之前首先更改为中间状态（称为联合共识）。 联合共识使系统即使在配置之间进行转换时也可用于响应客户端请求，它的主要目的是提升分布式系统的可用性。

Ⅱ 全球金融危机后，中本聪提出了比特币概念，它发展历程是怎样的

2009年1月3日，比特币正式诞生，比特币是一种基于P2P网络的虚拟的加密数字货币，且不受任何央行与金融机构的控制。中本聪本人发布了开源的第一版比特币客户端，中本聪在芬兰赫尔辛基某小型服务器中挖出50枚比特币，比特币从此登上货币市场舞台，世界上第一个区块链数据开始发挥作用。

Ⅲ 区块链的模型架构是什么

区块链技术不是单一的创新技术，而是多种技术整合创新的结果，其本质是一个弱中心的、自信任的底层架构技术。与传统的互联网技术相比，它的技术原理与模型架构是一次重大革新。在这里，我们将就区块链的基本技术模型进行剖析。

模型图

区块链技术模型自下而上包括数据层、网络层、共识层、激励层、合约层和应用层。每一层分别具备一项核心功能，不同层级之间相互配合，共同构建一个去中心的价值传输体系

数据层是区块链最底层的释术架构，应用了公私钥相结合的非对称加密技术，利用散列函数确保信息不被篡改，还采用了链式结构、时间戳技术、梅克尔（Merkle)树等技术对数据区块进行处理，让新旧区块之间相互链接，相互验证，是区块链安全稳定运行的基础。

链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径，推进专业学位研究生产学研结合培养模式改革，构建应用型、复合型人才培养体系。

Ⅳ 区块链之加密原理总结(一)

    先放一张以太坊的架构图：

    在学习的过程中主要是采用单个模块了学习了解的，包括P2P,密码学，网络，协议等。直接开始总结：

                秘钥分配问题也就是秘钥的传输问题，如果对称秘钥，那么只能在线下进行秘钥的交换。如果在线上传输秘钥，那就有可能被拦截。所以采用非对称加密，两把钥匙，一把私钥自留，一把公钥公开。公钥可以在网上传输。不用线下交易。保证数据的安全性。

        如上图，A节点发送数据到B节点，此时采用公钥加密。A节点从自己的公钥中获取到B节点的公钥对明文数据加密，得到密文发送给B节点。而B节点采用自己的私钥解密。

        2、无法解决消息篡改。

    如上图，A节点采用B的公钥进行加密，然后将密文传输给B节点。B节点拿A节点的公钥将密文解密。

        1、由于A的公钥是公开的，一旦网上黑客拦截消息，密文形同虚设。说白了，这种加密方式，只要拦截消息，就都能解开。

        2、同样存在无法确定消息来源的问题，和消息篡改的问题。

        如上图，A节点在发送数据前，先用B的公钥加密，得到密文1，再用A的私钥对密文1加密得到密文2。而B节点得到密文后，先用A的公钥解密，得到密文1，之后用B的私钥解密得到明文。

        1、当网络上拦截到数据密文2时， 由于A的公钥是公开的，故可以用A的公钥对密文2解密，就得到了密文1。所以这样看起来是双重加密，其实最后一层的私钥签名是无效的。一般来讲，我们都希望签名是签在最原始的数据上。如果签名放在后面，由于公钥是公开的，签名就缺乏安全性。

        2、存在性能问题，非对称加密本身效率就很低下，还进行了两次加密过程。

        如上图，A节点先用A的私钥加密，之后用B的公钥加密。B节点收到消息后，先采用B的私钥解密，然后再利用A的公钥解密。

        1、当密文数据2被黑客拦截后，由于密文2只能采用B的私钥解密，而B的私钥只有B节点有，其他人无法机密。故安全性最高。

        2、当B节点解密得到密文1后， 只能采用A的公钥来解密。而只有经过A的私钥加密的数据才能用A的公钥解密成功，A的私钥只有A节点有，所以可以确定数据是由A节点传输过来的。

        经两次非对称加密，性能问题比较严重。

        基于以上篡改数据的问题，我们引入了消息认证。经过消息认证后的加密流程如下：

        当A节点发送消息前，先对明文数据做一次散列计算。得到一个摘要, 之后将照耀与原始数据同时发送给B节点。当B节点接收到消息后，对消息解密。解析出其中的散列摘要和原始数据，然后再对原始数据进行一次同样的散列计算得到摘要1, 比较摘要与摘要1。如果相同则未被篡改，如果不同则表示已经被篡改。

        在传输过程中，密文2只要被篡改，最后导致的hash与hash1就会产生不同。

        无法解决签名问题，也就是双方相互攻击。A对于自己发送的消息始终不承认。比如A对B发送了一条错误消息，导致B有损失。但A抵赖不是自己发送的。

        在(三)的过程中，没有办法解决交互双方相互攻击。什么意思呢？ 有可能是因为A发送的消息，对A节点不利，后来A就抵赖这消息不是它发送的。

        为了解决这个问题，故引入了签名。这里我们将(二)-4中的加密方式，与消息签名合并设计在一起。

       在上图中，我们利用A节点的私钥对其发送的摘要信息进行签名，然后将签名+原文，再利用B的公钥进行加密。而B得到密文后，先用B的私钥解密，然后 对摘要再用A的公钥解密，只有比较两次摘要的内容是否相同。这既避免了防篡改问题，有规避了双方攻击问题。因为A对信息进行了签名，故是无法抵赖的。

        为了解决非对称加密数据时的性能问题，故往往采用混合加密。这里就需要引入对称加密，如下图:

        在对数据加密时，我们采用了双方共享的对称秘钥来加密。而对称秘钥尽量不要在网络上传输，以免丢失。这里的共享对称秘钥是根据自己的私钥和对方的公钥计算出的，然后适用对称秘钥对数据加密。而对方接收到数据时，也计算出对称秘钥然后对密文解密。

        以上这种对称秘钥是不安全的，因为A的私钥和B的公钥一般短期内固定，所以共享对称秘钥也是固定不变的。为了增强安全性，最好的方式是每次交互都生成一个临时的共享对称秘钥。那么如何才能在每次交互过程中生成一个随机的对称秘钥，且不需要传输呢？

        那么如何生成随机的共享秘钥进行加密呢？

        对于发送方A节点，在每次发送时，都生成一个临时非对称秘钥对，然后根据B节点的公钥 和 临时的非对称私钥 可以计算出一个对称秘钥(KA算法-Key Agreement)。然后利用该对称秘钥对数据进行加密，针对共享秘钥这里的流程如下：

        对于B节点，当接收到传输过来的数据时，解析出其中A节点的随机公钥，之后利用A节点的随机公钥 与 B节点自身的私钥 计算出对称秘钥(KA算法)。之后利用对称秘钥机密数据。

        对于以上加密方式，其实仍然存在很多问题，比如如何避免重放攻击(在消息中加入 Nonce )，再比如彩虹表(参考 KDF机制解决 )之类的问题。由于时间及能力有限，故暂时忽略。

        那么究竟应该采用何种加密呢？

        主要还是基于要传输的数据的安全等级来考量。不重要的数据其实做好认证和签名就可以，但是很重要的数据就需要采用安全等级比较高的加密方案了。

        密码套件 是一个网络协议的概念。其中主要包括身份认证、加密、消息认证(MAC)、秘钥交换的算法组成。

        在整个网络的传输过程中，根据密码套件主要分如下几大类算法：

        秘钥交换算法：比如ECDHE、RSA。主要用于客户端和服务端握手时如何进行身份验证。

        消息认证算法：比如SHA1、SHA2、SHA3。主要用于消息摘要。

        批量加密算法：比如AES, 主要用于加密信息流。

        伪随机数算法：例如TLS 1.2的伪随机函数使用MAC算法的散列函数来创建一个 主密钥 ——连接双方共享的一个48字节的私钥。主密钥在创建会话密钥（例如创建MAC）时作为一个熵来源。

        在网络中，一次消息的传输一般需要在如下4个阶段分别进行加密，才能保证消息安全、可靠的传输。

        握手/网络协商阶段：

        在双方进行握手阶段，需要进行链接的协商。主要的加密算法包括RSA、DH、ECDH等

        身份认证阶段：

        身份认证阶段，需要确定发送的消息的来源来源。主要采用的加密方式包括RSA、DSA、ECDSA(ECC加密，DSA签名)等。

        消息加密阶段：

        消息加密指对发送的信息流进行加密。主要采用的加密方式包括DES、RC4、AES等。

        消息身份认证阶段/防篡改阶段：

        主要是保证消息在传输过程中确保没有被篡改过。主要的加密方式包括MD5、SHA1、SHA2、SHA3等。

         ECC ：Elliptic Curves Cryptography，椭圆曲线密码编码学。是一种根据椭圆上点倍积生成 公钥、私钥的算法。用于生成公私秘钥。

         ECDSA ：用于数字签名,是一种数字签名算法。一种有效的数字签名使接收者有理由相信消息是由已知的发送者创建的，从而发送者不能否认已经发送了消息(身份验证和不可否认)，并且消息在运输过程中没有改变。ECDSA签名算法是ECC与DSA的结合，整个签名过程与DSA类似，所不一样的是签名中采取的算法为ECC，最后签名出来的值也是分为r,s。 主要用于身份认证阶段 。

         ECDH ：也是基于ECC算法的霍夫曼树秘钥，通过ECDH，双方可以在不共享任何秘密的前提下协商出一个共享秘密，并且是这种共享秘钥是为当前的通信暂时性的随机生成的，通信一旦中断秘钥就消失。 主要用于握手磋商阶段。

         ECIES： 是一种集成加密方案,也可称为一种混合加密方案，它提供了对所选择的明文和选择的密码文本攻击的语义安全性。ECIES可以使用不同类型的函数：秘钥协商函数(KA)，秘钥推导函数(KDF)，对称加密方案(ENC)，哈希函数(HASH), H-MAC函数(MAC)。

         ECC 是椭圆加密算法，主要讲述了按照公私钥怎么在椭圆上产生，并且不可逆。 ECDSA 则主要是采用ECC算法怎么来做签名， ECDH 则是采用ECC算法怎么生成对称秘钥。以上三者都是对ECC加密算法的应用。而现实场景中，我们往往会采用混合加密(对称加密，非对称加密结合使用，签名技术等一起使用)。 ECIES 就是底层利用ECC算法提供的一套集成(混合)加密方案。其中包括了非对称加密，对称加密和签名的功能。

        ECC 是 Elliptic Curve Cryptography的简称。那么什么是椭圆加密曲线呢？Wolfram MathWorld 给出了很标准的定义： 一条椭圆曲线就是一组被  ​  定义的且满足  ​ ​ 的点集。  

这个先订条件是为了保证曲线不包含奇点。

所以，随着曲线参数a和b的不断变化，曲线也呈现出了不同的形状。比如:

        所有的非对称加密的基本原理基本都是基于一个公式 K = k*G。其中K代表公钥，k代表私钥，G代表某一个选取的基点。非对称加密的算法 就是要保证 该公式  不可进行逆运算( 也就是说G/K是无法计算的 )。

        ECC是如何计算出公私钥呢？这里我按照我自己的理解来描述。

         我理解，ECC的核心思想就是：选择曲线上的一个基点G，之后随机在ECC曲线上取一个点k(作为私钥)，然后根据k*G计算出我们的公钥K。并且保证公钥K也要在曲线上。

        那么k*G怎么计算呢？如何计算k*G才能保证最后的结果不可逆呢？这就是ECC算法要解决的。

        首先，我们先随便选择一条ECC曲线，a = -3, b = 7 得到如下曲线：

​        在这个曲线上，我随机选取两个点，这两个点的乘法怎么算呢？我们可以简化下问题，乘法是都可以用加法表示的，比如2*2 = 2+2，3*5 = 5+5+5。 那么我们只要能在曲线上计算出加法，理论上就能算乘法。所以，只要能在这个曲线上进行加法计算，理论上就可以来计算乘法，理论上也就可以计算k*G这种表达式的值。

        曲线上两点的加法又怎么算呢？这里ECC为了保证不可逆性，在曲线上自定义了加法体系。

        现实中，1+1=2，2+2=4，但在ECC算法里，我们理解的这种加法体系是不可能。故需要自定义一套适用于该曲线的加法体系。

         ECC定义，在图形中随机找一条直线，与ECC曲线相交于三个点(也有可能是两个点)，这三点分别是P、Q、R。

         那么P+Q+R = 0。其中0 不是坐标轴上的0点，而是ECC中的无穷远点。也就是说定义了无穷远点为0点。

        同样，我们就能得出 P+Q = -R。 由于R 与-R是关于X轴对称的，所以我们就能在曲线上找到其坐标。

        P+R+Q = 0, 故P+R = -Q , 如上图。

以上就描述了ECC曲线的世界里是如何进行加法运算的。

        从上图可看出，直线与曲线只有两个交点，也就是说 直线是曲线的切线。此时P,R 重合了。

        也就是P = R, 根据上述ECC的加法体系，P+R+Q = 0, 就可以得出 P+R+Q = 2P+Q = 2R+Q=0

        于是乎得到 2*P = -Q (是不是与我们非对称算法的公式 K = k*G 越来越近了)。

        于是我们得出一个结论，可以算乘法，不过只有在切点的时候才能算乘法，而且只能算2的乘法。

        假若 2 可以变成任意个数进行想乘，那么就能代表在ECC曲线里可以进行乘法运算，那么ECC算法就能满足非对称加密算法的要求了。

        那么我们是不是可以随机任何一个数的乘法都可以算呢？ 答案是肯定的。 也就是点倍积 计算方式。

        选一个随机数 k, 那么k * P等于多少呢？

        我们知道在计算机的世界里，所有的都是二进制的，ECC既然能算2的乘法，那么我们可以将随机数k描 述成二进制然后计算。假若k = 151 = 10010111

        由于2*P = -Q 所以 这样就计算出了k*P。 这就是点倍积算法 。所以在ECC的曲线体系下是可以来计算乘法，那么以为这非对称加密的方式是可行的。

        至于为什么这样计算 是不可逆的。这需要大量的推演，我也不了解。但是我觉得可以这样理解：

        我们的手表上，一般都有时间刻度。现在如果把1990年01月01日0点0分0秒作为起始点，如果告诉你至起始点为止时间流逝了 整1年，那么我们是可以计算出现在的时间的，也就是能在手表上将时分秒指针应该指向00：00：00。但是反过来，我说现在手表上的时分秒指针指向了00：00：00,你能告诉我至起始点算过了有几年了么？

        ECDSA签名算法和其他DSA、RSA基本相似，都是采用私钥签名，公钥验证。只不过算法体系采用的是ECC的算法。交互的双方要采用同一套参数体系。签名原理如下：

        在曲线上选取一个无穷远点为基点 G = (x,y)。随机在曲线上取一点k 作为私钥， K = k*G 计算出公钥。

         签名过程：

        生成随机数R, 计算出RG.

        根据随机数R,消息M的HASH值H,以及私钥k, 计算出签名S = (H+kx)/R.

        将消息M,RG,S发送给接收方。

         签名验证过程：

        接收到消息M, RG,S

        根据消息计算出HASH值H

        根据发送方的公钥K,计算 HG/S + xK/S, 将计算的结果与 RG比较。如果相等则验证成功。

         公式推论：

        HG/S + xK/S = HG/S + x(kG)/S = (H+xk)/GS = RG

        在介绍原理前，说明一下ECC是满足结合律和交换律的，也就是说A+B+C = A+C+B = (A+C)+B。

        这里举一个WIKI上的例子说明如何生成共享秘钥，也可以参考  Alice And Bob  的例子。

        Alice 与Bob 要进行通信，双方前提都是基于 同一参数体系的ECC生成的 公钥和私钥。所以有ECC有共同的基点G。

         生成秘钥阶段：

        Alice 采用公钥算法 KA = ka * G ，生成了公钥KA和私钥ka, 并公开公钥KA。

        Bob 采用公钥算法 KB = kb * G ，生成了公钥KB和私钥 kb, 并公开公钥KB。

         计算ECDH阶段：

        Alice 利用计算公式 Q = ka * KB  计算出一个秘钥Q。

        Bob 利用计算公式 Q' = kb * KA 计算出一个秘钥Q'。

         共享秘钥验证：

        Q = ka  KB = ka * kb * G = ka * G * kb = KA * kb = kb * KA = Q'

        故 双方分别计算出的共享秘钥不需要进行公开就可采用Q进行加密。我们将Q称为共享秘钥。

        在以太坊中，采用的ECIEC的加密套件中的其他内容：

        1、其中HASH算法采用的是最安全的SHA3算法 Keccak 。

        2、签名算法采用的是 ECDSA

        3、认证方式采用的是  H-MAC

        4、ECC的参数体系采用了secp256k1,  其他参数体系 参考这里

        H-MAC 全程叫做 Hash-based Message Authentication Code. 其模型如下：

在 以太坊 的 UDP通信时(RPC通信加密方式不同)，则采用了以上的实现方式，并扩展化了。

首先，以太坊的UDP通信的结构如下：

        其中，sig是 经过 私钥加密的签名信息。mac是可以理解为整个消息的摘要， ptype是消息的事件类型，data则是经过RLP编码后的传输数据。

        其UDP的整个的加密，认证，签名模型如下：

Ⅳ 区块链及其安全机制

块链技术至今主要用于虚拟货币，主要例子是比特币系统.块链是分布式数据库，由连续块构成，包含多个信息.(多节点备份相同的数据，维持连续的交易文件).块链没有管理者，完老腔全没有中心.如果中心进行交易，最大的担心是交易的安全性.今天的编辑介绍块链及其安全机制.

集中和分布交易的特点

块链是分布式数据库，具有中心化的特点.以下例子是金融系统中集中型和分桥腔布型的比较.对于红色、黄色和蓝色，根据传统的金融机制，必须通过银行进行交易.然而，在采用分布式区块敏含衫链模型后，没有必要通过银行进行自主交易.

(1)集中模型:

1)通过银行等金融机构进行交易

2)银行统一管理馀额和账号等信息

3)需要提前开户并获得身份证卡.

4)安全依赖于银行，需要通过各种法规和制度检查欺诈行为.

(2)分布模型:

1)在P2P网络上与用户交易

2)地址由参与者自己管理，馀额由全球共享的分布帐簿管理

3)您需要安装软件并连接到P2P网络

Ⅵ 区块链的六层模型是什么

区块链总共有六个层级结构，这六个层级结构自下而上是：数据层、网络层、共识层、激励层、合约层、应用层。
一、数据层
数据层是区块链六个层级结构里面的最底层。数据层我们可以理解成数据库，只不过对于区块链来讲，这个数据库是不可篡改的、分布式的数据库，也就是我们所谓的“分布式账本”。
在数据层上，也就是在这个“分布式账本”上，存放着区块链上的数据信息，封装着区块的块链式结构、非对称加密技术、哈希算法等技术手段，来保证数据在全网公开的情况下的安全性问题。具体的做法是：
在区块链网络上，节点采用共识算法来维持数据层（也就是这个分布式数据库）的数据的一致性，采用密码学中的非对称加密和哈希算法，来确保这个分布式数据库的不可篡改和可追溯。
这就构成了区块链技术中最底层的数据结构。但是，光有分布式数据库还不够，还需要让数据库里面的数据信息可以共享交流，下面我们介绍数据层的上一层——网络层。
二、网络层
区块链的网络系统，本质上是一个P2P（点对点）网络，点对点意味着不需要一个中间环节或者中心化服务器来操控这个系统，网络中的所有资源和服务都是分配在各个节点手中的，信息的传输也是两个节点之间直接往来就可以了。不过，需要注意的是，P2P
（点对点）并不是中本聪发明的，区块链只是融合了这一技术而已。
所以，区块链的网络层实际上就是一个特别强大的点对点网络系统。在这个系统上，每一个节点既可以生产信息，也可以接收信息，就好比发邮件，你既可以编写自己的邮件，也可以收到别人给你发送的邮件。
在区块链网络上，节点之间需要共同维护这条区块链系统，每当一个节点创造出新的区块后，他需要以广播的形式通知其他节点，其他节点收到信息后对该区块进行验证，然后在该区块的基础上去创建新的区块。这样一来，全网便可以共同维护更新区块链系统这个总账本了。
但是，全网要依据什么规则来维护更新区块链系统这个总账本呢，这就涉及到了所谓的“法律法规”（规则），也就是我们接下来要介绍的：共识层。
三、共识层
在区块链的世界里，共识，简单来讲就是全网要依据一个统一的、大家一致同意的规则来维护更新区块链系统这个总账本，类似于更新数据的规则。让高度分散的节点在去中心化的区块链网络中高效达成共识，是区块链的核心技术之一，也是区块链社区的治理机制。
目前主流的共识机制算法有：比特币的工作量证明（POW）、以太坊的权益证明
（POS）、EOS的委托权益证明（DPOS）等等。
我们现在介绍了数据层、网络层、共识层，这三层保证了区块链上有数据、有网络，有在网络上更新数据的规则，但是天下没有免费的午餐，如何让节点们能够积极踊跃地参与区块链系统维护呢，这里就涉及到了激励，也就是我们下面要介绍的：激励层。
四、激励层
激励层就是所谓的挖矿机制，挖矿机制其实可以理解成激励机制：你为区块链系统做了多少贡献，你就可以得到多少奖励。用这种激励机制，能够鼓励全网节点参与区块链上的数据记录与维护工作。
挖矿机制和共识机制其实是一个道理，共识机制我们可以理解为公司的总规章制度，而挖矿机制可以理解成，在这个总的规章制度之中，你做好了什么能够得到什么奖励，这种奖励规则。
就好比比特币的共识机制PoW，它的规定是多劳多得，谁能够第一个找到正确哈希值谁就可以得到一定数量的比特币奖励；
而以太坊的PoS则规定了谁持币年龄越久，谁能得到奖励的概率就越大。
需要注意的是，激励层一般只有公有链才具备，因为公有链必须依赖全网节点共同维护数据，所以必须有一套这样的激励机制，才能激励全网节点参与区块链系统的建设维护，进而保证区块链系统的安全性和可靠性。
区块链安全可靠了，还不够智能对不对，下面我们将要介绍的合约层，可以让区块链系统变得更加智能。
五.合约层
合约层主要包括各种脚本、代码、算法机制及智能合约，是区块链可编程的基础。我们说的“智能合约”便属于合约层这个层级上。
如果说比特币系统不够智能，那么以太坊提出的“智能合约”则能够满足许多应用场景。合约层的原理主要是将代码嵌入到区块链系统上，用这种方式来实现能够自定义的智能合约。这样一来，在区块链系统上，一旦触发了智能合约的条款，系统就能够自动执行命令。
六、应用层
最后就是应用层。应用层很简单，顾名思义，就是区块链的各种应用场景和案例，我们现在说的“区块链+”就是所谓的应用层。目前已经落地的区块链应用主要是搭建在
ETH、EOS等公链上的各类区块链应用，博彩、游戏类的应用比较多，真正实用的应用还没有出现。

Ⅶ 区块链技术中的共识模型是什么

重庆金窝窝分析区块链技术中的共识模型如下：

每个节点交换数据过程不被篡改；交换历史记录不可被篡改；

每个节点的数据会同步到最新数据，且承认经过共识的最新数据；

基于少数服从多数的原则，整体节点维护的数据本身客观反映了交换历史。

Ⅷ 区块链技术的架构模型包含了哪些

金窝窝分析区块链技术的架构模型如下几点：
1、数据层
数据层封装了底层数据区块以及相关的数据加密和时间戳等技术；
2、网络层
网络层则包括分布式组网机制、数据传播机制和数据验证机制等；
3、共识层
共识层主要封装网络节点的各类共识算法；
4、激励层
激励层将经济因素集成到区块链技术体系中来，主要包括经济激励的发行机制和分配机制等；
5、合约层
合约层主要封装各类脚本、算法和智能合约，是区块链可编程特性的基础；
6、应用层
应用层则封装了区块链的各种应用场景和案例。

Ⅸ Compound，区块链银行运作原理

Compound 是一个以太坊上的货币市场，一个任何用户、机构和 dApps 都可以使用的链上账本。它提供了存币和借币的功能，就像一个银行，用户可以存币获的利息收益，或进行抵押借币。在实现原理上，Compound 的帐本模型也与银行类似，并遵循了国际会计准则。

要了解 Compound 实现原理参看第一部分“Compound 分解“，如果完全不了解 Compound，请参看第二部分“Compound 白皮书整理”；其他资料参看第三部分“参考“；Compound 使用教程链接 小课堂 | 使用 imToken 体验去中心化「余额宝」 。

Compound 是一个使用智能合约实现的实时结算帐本。帐本能实时结算的前提是交易逐笔发生，有确定的执行顺序，交易发生时间真实可靠等。区块链满足这些特性，为帐本自动结算提供基础。

在 Compound 上，当一个交易发生时账本会对账目进行一次结算，此时结算利息会更新到账目余额中。等到下次交易事件发生时，会再次触发这样的结算处理并更新余额。

一个银行的简单模型就是通过借款产生营收，营收作为存款用户的利息。简化 Compound 的利率模型，不设定浮动的借款利率，不考虑盈利，只保证账目借贷平衡，有：

根据公式有：

结论：利率随着借款总额和存款总额的变动而变动。

如果没有任何交易事件发生，存款总额、借款总额就不会发生变化，利率在这个段时间里也会一直保持不变。随着交易事件的产生，存款/借款总额会发生变化，这会引起利率发生改变。

假定借款利率是 0.05，下面状态图中圆圈代表帐本和利率的状态，箭头代表事件：

图中 a 状态无借款，无营收，存款利率为 0。事件 1.借50 发生，根据公式，可得新的存款利率为 0.025。

事件 2、3 导致的帐本状态也可以根据公式计算。

结论：交易事件引起利率变化。

上节的状态变化并没有包含结算环节。随着时间的推移，会有营收（利息）产生。

对于存款：

对于贷款：

假设借款利率 5% 为日利率（明显是高利贷，但便于计算），叠加时间后进行结算的状态图如下：

黄色箭头代表上一状态的持续时间，当事件发生后，状态更新并进入下一个时间段。

可以看出，考虑营收和时间的关系后，利率的变化变得更加复杂，但计算过程仍然清晰。

状态 a 持续了 1 天，由于借款为 0，存款利率为 0，发生事件 1 进行结算后存款没有产生变化，事件 1 增加了借款总额。重新计算利率可以得到新的存款利率 0.025。

事件 2 触发，状态 b 持续了 2 天，在进行结算时，可以推算出新的存款和借款总额：

结算后，存款总额再增加事件 2 存入的 50，结果为 105 + 50 = 155 。根据存款总额 155 和借款总额 55 计算出新的存款利率为 0.01774。

事件 3 触发，状态 c 持续了 1 天：

由于还款为 20，此时借款总额是 57.75 - 20 = 37.75 。重新计算出存款利率为 0.012。

结论：交易事件发生时进行结算，结算结束后按事件调整余额并引起利率变化。

上述过程已经具有一定的复杂性，但由事件触发状态变化这个过程是很明确的。在实际生产中，存款和借款总额并不是由一个单一账户产生的，而是由无数的小账目汇聚而成的。比如 Alice 存入 50，Bob 存入了 30，存款总额是 80。这里就产生了更多问题，由于 Alice 和 Bob 的存款时间不同，它们的利率也不一样。借款也与之类似。因此每一笔帐都要单独进行结算，它们的利率根据总帐额度的变化而变化。

我们把状态 a 的存款总额 100 归为其他存款。在 2 天后，Alice 存入 50，结算后其他存款更新为 105。Alice 的存款增加了存款总额，使总额增长到 155，最终存款利率计算为 0.01774。

1 天后，Bob 也存入 50，此时 Alice 存款和其他存款以 0.01774 利率进行结算。结算结果如状态 c 所示。

通过上述分析，可以发现每次事件产生，需要对每一笔明细帐进行结算。这样随着存款/借款的用户增多，账目会越来越多，每次结算的计算量也会越来越大。不过细心观察可以发现，只要记录了历史利率，事件发生不需要对所有账户结算。我们直接根据各明细帐的初始的状态计算图中状态 c：

其中 100 是其他存款的初始额度，50 是 Alice存款的初始额度。0.025 是第一期利率，0.01774 是第二期利率。可以看出，只要有历史利率就可以通过迭代运算计算出每个明细账户的当前余额。所以在进行结算操作时只需要对事件操作的明细帐进行结算，其他账户可以暂时不用结算，直到它们被操作时再计算即可。

结论：每次结算只需要计算余额受影响的明细帐，并更新总帐。其他账目可以等到被操作时再进行计算。

以上模型可以完全移植到区块链中，当我们对智能合约发起一笔交易事件就会触发结算处理，并更新利率。这些过程完全自动化。

Compound 的本质是将一套传统的会计模型复制到区块链中，使会计账本能进行实时结算。得益于此，存款/借款所需要签署的法律文件和手续，都被隐式的囊括在智能合约中。人们无需再进行任何协商，只需要轻点几下就可以使用该项服务。同时，它被部署在去中化的网络上，成为没有地域性、自由开放的合约协议。只要遵循了合约的规则，任何人、任何机构都能无区别的使用这项低摩擦的金融服务。

不过，在区块链上或许并不需要使用传统会计模型处理账务，我们有更多可行方案和更简洁的数学模型实现像 Compound 一样的金融服务。毋庸置疑，这些“未来”的金融服务会快速发展，构筑一个新世纪。

遵循国际会计准则：

Compound Whitepaper

Compound Protocol Specification

小课堂 | 使用 imToken 体验去中心化「余额宝」