被人忽略的共识机制威胁模型

共识协议是区块链的核心技术。共识协议决定了下一个区块是如何生成的。换一种说法，共识协议决定了对整个系统所有交易的一种完全排序。而这种排序必须是系统所有诚实参与者之间的共识。

在现实生活中，如果我们对两个交易的前后顺序没法达成共识，那我们就没法对整个系统产生信任。如果一个不诚实的区块链节点（不论是否具有投票权）可以通过某种方式而对这种排序进行攻击，那将产生不可估量的灾难性结果，其中最典型的例子就是「双花攻击」，这种攻击模式已经在包括 Zencash、Ethereum Classic、Bitcoin Gold 等区块链上发生。

一个安全可靠的区块链共识协议应满足一下两个条件：

1. 安全性 (Safety): 诚实的节点对合法交易将达成统一的 (consistent) 意见

2. 活性 (Liveness): 一笔合法交易在合理时间长度内会被确认

比特币的共识协议是基于工作量的 PoW 系统。由于 PoW 系统存在很多挑战，目前社区内的共识是我们将逐步推广基于权益证明（Proof of Stake，简写「PoS」）的共识协议。PoS 共识协议最早在区块链 Peercoin 里被使用。

在目前所使用的 PoS 共识协议里，一个参与者必须满足特定的条件才能够生成下一个区块。在很多情况下，可能多个参与者满足这些条件。这些满足条件的参与者都会去生成下一个区块。因为区块生成者会获取多种利益，所以每个区块生成者都希望自己生成的区块是被大家接受的那个区块。如果区块链系统允许两个参与者同时生成下一个区块，那么将出现区块链分叉的情况。

为了避免区块链的分叉，不论是联盟链或是公链，一般都采用拜占庭协议来从这些候选区块中选出下一个大家都可以接受的区块。这就涉及到很多核心问题：

1. 一个参与者满足什么样的条件才可以生成下一个区块？

2. 一个参与者在公布他有权生成下一个区块之前，有多少人知道他的身份？

3. 拜占庭协议是如何进行的？

4. 等等。

在不同的威胁模型中，对上述各个问题的解决方案是不同的。我们上面已经提到，联盟链采用的是半信任的威胁模型，而公链采用的是拜占庭威胁模型。因为在半信任的威胁模型里安全可靠的应用场景不一定在拜占庭威胁模型里安全可靠，所以不是所有的联盟链的应用场景都可以有对应的公链应用场景。

一般来讲，开发者在开发应用场景的时候，必须考虑这些应用场景在什么威胁模型里是安全的。此外，我们还需特别考虑我们的应用场景可不可以在一个具体的联盟链或公链上运行？虽然前面讲了，联盟链的假定是半信任的威胁模型，这不意味着所有的联盟链都在半信任的威胁模型里安全可靠。同样的，我们讲了公链需要在拜占庭威胁模型里安全可靠，但并不意味市场上所有的公链都在拜占庭威胁模型里安全可靠。

读到这里，大家可能会问：目前市场上有多少公链能否做到在拜占庭威胁模型中完全安全？当然大家还会问：我们目前的公链是否有足够的技术支持，来保证其在拜占庭威胁模型中完全安全？我们在这篇文章以及以后的系列文章里尝试回答这些问题。

当你能猜出下一个块谁来出的时候，那就可怕了！

我们先用一个非常初级的例子来说明理想与现实之间的差距：在基于 PoS 的联盟链或公链里，如果在下一个区块生成之前，大家能够预测到下一个区块将由某一个特定的参与者 A 来生成，那么这个区块链系统将很容易被攻击。这种情况在 EOSIO - Blockchain software architecture 区块链上已经发生过数次，EOS 系统的黑名单机制以及超级节点顺序出块机制，让黑客可以在部分黑名单遗漏节点出块期间轻松完成交易。

比如，有些参与者或非参与者可能会贿赂 A 让其在下一个区块中不包括某些交易。此外，如果两个参与者 A 和 B 都满足下一个区块的生成条件，A 可能会对 B 的网络发起 DoS 攻击，从而让 B 无法公布其生成的区块。其结果很可能是 A 的区块被大家接受。所以在理想的区块链系统里，参与者都希望在下一个区块生成之前，其生成者身份是不可预知的。但是市场上的很多区块链系统都没发实现我们的这种理想。也许在联盟链所采用的半信任的威胁模型里，这种下一个区块生成者身份的可预测性是可以「接受」的。

但是在公链所采用的拜占庭模型里，这种可预测性是绝对不能接受的。在目前的一些公链里，有些系统（比如Algorand）采用了可验证的随机数生成器 (VRF) 来保证下一区块生成者身份的不可预测性。而另外一些公链 (比如Sperax) 使用了基于防篡改的硬件系统来保证下一区块生成者身份的不可预测性。所以大家在分析一个链是不是安全可靠的，首先大家应分析一下其系统的随机数来源于何处，是否安全。虽然大部分联盟链里没有使用足够的随机数，但是我们相信即使在半信任的威胁模型里，我们还是需要保证下一区块生成者身份的不可预测性。作为一个练习题，读者可以自行去分析市场上所有的区块链，看能不能满足这个基本条件。

另一个很重要的核心问题是目前大家使用的拜占庭协议是不是在基于 Internet 的网络环境里仍然是安全的？拜占庭协议是一个古老的话题。在两千多年前的罗马帝国的首都拜占庭（今天的伊斯坦布尔），罗马帝国的各军队之间都分隔很远，将军与将军之间只能靠信差传递消息。帝国军队的将军们必须全体一致决定是否攻击某一支敌军。但是将军中存在叛徒。叛徒可以采取任何手段不让忠诚的将军们达成一个一致的决定。

为了解决分布式计算里服务器之间的协调问题，图灵奖获得者 Lamport 和他的合作者在 1982 年左右，将拜占庭协议问题引入到计算机科学中。从此以后，一系列的分布式共识协议被设计并广泛应用（比如 Rampart 和 SecureRing）。这些协议主要被用于相对封闭的环境（比如数据中心），所以他们都有比较强的假设。特别是很多拜占庭协议都使用了以下两个假设：

1.拜占庭协议所使用的通讯网络是一个完全图（complete graph）。换一种说法，拜占庭协议的所有参与者之间存在安全的点多点的通讯渠道。这种假定对联盟链来说，都很难达到。对一个完全开放的公链，我们很怀疑这种假定仍然是成立的。

2.拜占庭协议所使用的通讯网络是一个同步网络。也就是说，存在一个全局变量△。每一个协议参与者在 t 时刻发出的消息, 一定会在 t+ △时刻之前到达接受节点。

这两个假设对于比较封闭的环境来说，比较容易达到。但是对于一个开放的网络，这种假设显然是不现实的。比如说在我们使用的 Internet 上，DoS 攻击是很容易展开的。所以即使基于 Internet 的联盟链也不使用如上的假设。一般来说，Internet 是一个异步网络，常用的异步网络是用如下的模型来刻画的：

• 存在一个 Global Stabilization Time (GST)，在 GST 之前，任何消息可能丢失（比如 DoS 攻击），或被重新排序。在 GST 之后，网络变为同步网络 GST 什么时候开始，没人知道。

所以说，我们区块链所需要的拜占庭协议必须在可以丢失很多信息的异步网络具有鲁棒性。目前市场上的区块链里使用最多的拜占庭协议很多是图灵奖获得者 BARBARA LISKOV 和她的学生设计的 PBFT (practical BFT) 及其变种（比如 Tendermint BFT）。

—-

编译者/作者：区块链高级工程师

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。