柏語蔓，于蓮芝

（上海理工大學(xué) 光電信息與計算機工程學(xué)院，上海 200093）

0 引 言

2008年，中本聰發(fā)表了《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》[1]，其采用的區(qū)塊鏈技術(shù)開始獲得大眾的關(guān)注。因區(qū)塊鏈技術(shù)具有去中心化、不可篡改以及可溯源等特性，受到了各界關(guān)注。隨后，出現(xiàn)了如以太坊[2]、Monero[3]與IOTA[4]等各類加密貨幣，帶來了諸如智能合約、環(huán)簽名以及有向無環(huán)圖結(jié)構(gòu)等功能性、安全性以及結(jié)構(gòu)性創(chuàng)新，區(qū)塊鏈技術(shù)發(fā)展進入了新階段。而在區(qū)塊鏈技術(shù)中，共識機制是其重要組成部分。區(qū)塊鏈網(wǎng)絡(luò)通過共識機制，即節(jié)點間運行共識協(xié)議，實現(xiàn)了在節(jié)點之間建立“信任”網(wǎng)絡(luò)，體現(xiàn)了區(qū)塊鏈去中心化等特性。同時，共識機制也決定了網(wǎng)絡(luò)的中心化程度、安全性和可擴展性。其中權(quán)益證明（PoS）機制作為能耗較低、性能較高的新型共識機制，意在取代傳統(tǒng)的工作量證明（PoW）機制，是目前區(qū)塊鏈領(lǐng)域的重要研究方向，學(xué)界與業(yè)界均對其開展深入研究。

在國內(nèi)研究方面，袁勇[5]等人深入探討了主流共識機制中的共識算法；劉懿中[6]等人將共識機制劃分為對經(jīng)典分布式共識機制和區(qū)塊鏈共識機制，并進行了詳細分析；劉漢卿[7]等人探討了區(qū)塊鏈系統(tǒng)中容易面臨的攻擊狀況；吳狄[8]等人則針對基于區(qū)塊鏈的法定數(shù)字貨幣以及原型系統(tǒng)進行了綜述。

在國外研究方面，Khan[9]等人對主流加密貨幣的共識機制進行了對比研究；Wang[10]等人分析了主流加密貨幣的共識機制與挖礦策略；Du[11]等人對工作量證明、權(quán)益證明、委托權(quán)益證明以及傳統(tǒng)分布式共識機制等共識算法進行了分析；Nguyen[12]等人對基于權(quán)益證明的部分共識機制進行了討論。

本文主要從以下幾點展開研究：第一，概述了區(qū)塊鏈的背景，簡要概述了共識機制的原理，對工作量證明與權(quán)益證明進行了對比分析；第二，按照系統(tǒng)結(jié)構(gòu)將Ouroboros[13]、Algorand[14]、Tendermint[15]、Casper[16]與 LaKSA[17]等 5 種基于權(quán)益證明的共識協(xié)議劃分為基于鏈結(jié)構(gòu)的共識機制與基于圖結(jié)構(gòu)的共識機制，并分析了各個協(xié)議的特點、流程、安全性以及性能；第三，闡述了權(quán)益證明機制面臨的無利害關(guān)系攻擊、研磨攻擊、長程攻擊、變節(jié)攻擊和51%攻擊等安全威脅以及其應(yīng)對措施；第四，總結(jié)權(quán)益證明的發(fā)展和展望權(quán)益領(lǐng)域的未來研究方向。

1 共識機制概述

共識機制的研究起源于1975年 Akkoyunlu[18]等人提出的“兩軍問題”，指出了在不可信的信道中通信無法保證一致性。隨后Lamport[19]等人提出了“拜占庭將軍問題”，主要研究在存在一定故障節(jié)點或者惡意攻擊時誠實節(jié)點如何實現(xiàn)共識的問題。在2008年發(fā)布的比特幣白皮書[1]中，中本聰將共識機制應(yīng)用到加密貨幣系統(tǒng)以及其使用的區(qū)塊鏈技術(shù)中，以完成交易的驗證和確認。

共識機制可分為經(jīng)典分布式機制和區(qū)塊鏈共識機制。經(jīng)典分布式機制有PBFT[20]、SBFT和Paxos[21]等。區(qū)塊鏈共識機制根據(jù)應(yīng)用場景的不同可以分為兩種：一種是授權(quán)共識機制，該網(wǎng)絡(luò)中的節(jié)點想要參與共識過程需要通過公鑰進行身份認證；另一種是非授權(quán)共識機制，該網(wǎng)絡(luò)中的節(jié)點可以隨意加入和退出網(wǎng)絡(luò)，在目前主流的共識機制中，工作量證明和權(quán)益證明都屬于非授權(quán)共識機制。

在區(qū)塊鏈系統(tǒng)中，共識機制的基本工作流程如下：選舉出塊者、生成區(qū)塊和節(jié)點驗證更新區(qū)塊。安全性、交易吞吐量、可拓展性、交易確認時間、去中心化程度和能源消耗等是衡量區(qū)塊鏈共識機制的標(biāo)準(zhǔn)。接下來將從以上幾個方面闡述目前主流的共識機制：工作量證明 (Proof-of-Work，PoW) 與權(quán)益證明 (Proof-of-Stake，PoS)。

1.1 工作量證明機制

工作量證明是1992年由Dwork等人共同提出[22]，用來防止垃圾郵件。隨著比特幣的誕生，基于工作量證明的共識機制正式進入了公眾的視野。在基于PoW機制中，節(jié)點是通過不斷的單向哈希（Hash）計算尋找一個隨機數(shù)（nonce）的過程來達成共識，最先算出nonce值的節(jié)點即被選為出塊者，這也就意味著算力越大的節(jié)點越有可能成為出塊者。由于哈希函數(shù)的特性，只能通過反復(fù)嘗試不同的nonce值來找到滿足輸出哈希值前n位為零的值，其中n的值關(guān)系到哈希計算難度的大小，通過PoW機制的難度調(diào)整機制，保證數(shù)字貨幣不論在何種算力之下，其出塊速度在一定速度范圍內(nèi)波動。

在PoW機制中，參與者互相競爭，第一個找到正確nonce的參與者就可以獲得記賬的權(quán)利。在這個搜尋隨機數(shù)的過程中，參與者擁有的算力越多，就越有可能獲得記賬權(quán)。參與者為了提高獲得記賬權(quán)的概率，會不斷提高算力，在這種計算模式下，導(dǎo)致了PoW共識機制在挖礦過程中需要消耗大量的能源。此時，算力較低的參與者因其獲得獎勵的概率相對較低，可通過加入礦池等措施，以期獲得一定的收入。礦池是由大量的參與者組成，由于其擁有巨大的計算資源，將會有更多的機會來獲得記賬權(quán)。

比特幣和以太坊目前使用工作量證明作為共識機制。在PoW機制中，各節(jié)點需投入大量計算資源用以挖礦，即通過進行Hash運算來爭奪記賬權(quán)。但挖礦計算無實際意義，將造成大量計算資源浪費，并且PoW機制性能較低，如比特幣每分鐘僅支持7筆交易，以太坊每分鐘僅支持15筆交易。同時，隨著礦池算力的增加，特別是針對挖礦算法而研發(fā)的ASIC礦機出現(xiàn)，導(dǎo)致基于PoW機制的加密貨幣受到了“中心化”的挑戰(zhàn)。此外，PoW機制主要面臨的安全隱患有日蝕攻擊、雙花攻擊和自私挖礦等。

1.2 權(quán)益證明機制

PoS機制解決了PoW機制拓展性差和能源消耗大的問題，該機制不依賴計算哈希問題，僅依據(jù)節(jié)點所持有的權(quán)益大?。垂?jié)點在區(qū)塊鏈網(wǎng)絡(luò)中投入或存儲的數(shù)字資產(chǎn)總額）決定新區(qū)塊的記賬歸屬。因此，在PoS機制中不需要堆積算力，僅需在區(qū)塊鏈網(wǎng)絡(luò)中投入權(quán)益即可參加記賬權(quán)的競爭，以此解決了PoW機制的能源消耗問題。

綜上所述，從PoW機制到PoS機制，共識機制向著更加節(jié)能、安全、高效的方向發(fā)展。表1是兩種共識機制在出塊者選擇、能源消耗、區(qū)塊生成時間、交易確認速度、設(shè)備要求、安全隱患和應(yīng)用這幾個方面的比較。

表1 共識機制的比較

2 基于權(quán)益證明的機制

自King提出點點幣（PPCoin）后，首次將PoS機制引入加密貨幣系統(tǒng)中[23]，PoS機制因其具有能耗較低與性能較高的特性，獲得廣泛關(guān)注。隨后，各界分別針對性能與安全性等方面提出了大量基于PoS機制的共識協(xié)議。而在基于PoS的共識機制中，可根據(jù)采用該機制的區(qū)塊鏈系統(tǒng)結(jié)構(gòu)，將其分為基于鏈結(jié)構(gòu)的共識機制和基于圖結(jié)構(gòu)的共識機制。以下從共識特點、共識流程、安全性分析以及性能等方面分別對基于鏈結(jié)構(gòu)的Ouroboros、Algorand、Tendermint和Casper協(xié)議與基于圖結(jié)構(gòu)的LaKSA協(xié)議進行介紹。

2.1 Ouroboros協(xié)議

Ouroboros是由Kiayias等人提出的基于權(quán)益證明的共識協(xié)議[13]，是第一個可證明安全性的基于PoS的共識機制。

（1）共識特點

Ouroboros協(xié)議將時間劃分為幾個時期，每個時期由多個輪組成，每輪產(chǎn)生的區(qū)塊數(shù)最多為1，若該輪的出塊者不在線或者未及時將創(chuàng)建的區(qū)塊廣播到網(wǎng)絡(luò)中，則本輪將不產(chǎn)生區(qū)塊。在Ouroboros協(xié)議中，每一個時期節(jié)點的權(quán)益值是由該時期開始時各節(jié)點的歷史權(quán)益值來計算，若權(quán)益值發(fā)生改變，不影響當(dāng)前時期出塊者的選擇，并且Ouroboros要求相連幾個時期，節(jié)點的權(quán)益值變化不能過大。在每個時期開始時，有一個創(chuàng)世區(qū)塊記錄了該時期出塊者候選人和第一輪的隨機種子，由該種子通過FTS（Followthe-Satoshi）算法選出第一輪的出塊者即為該輪的領(lǐng)導(dǎo)者，節(jié)點是否被選為領(lǐng)導(dǎo)者由其擁有的權(quán)益值決定，擁有的權(quán)益值越高，被選為領(lǐng)導(dǎo)者的可能性就越大。其中每一輪都通過安全多方協(xié)議產(chǎn)生隨機數(shù)，選取出該輪的出塊者。在Ouroboros協(xié)議中，選擇該輪領(lǐng)導(dǎo)者的同時，還要選出交易驗證者。在協(xié)議執(zhí)行過程中，領(lǐng)導(dǎo)者只是創(chuàng)建一個空區(qū)塊，交易是由驗證者確認并將交易添加到區(qū)塊中。建立區(qū)塊所獲得的獎勵將分給領(lǐng)導(dǎo)者和驗證者，以此來激勵更多的人參與到共識機制中。

（2）共識流程

①用FTS算法選取領(lǐng)導(dǎo)者和驗證者；

②領(lǐng)導(dǎo)者創(chuàng)建空區(qū)塊；

③驗證者確認交易并將交易添加到區(qū)塊中；

④領(lǐng)導(dǎo)者和驗證者劃分獎勵。

Ouroboros協(xié)議工作流程如圖1所示。

圖1 Ouroboros協(xié)議工作流程

（3）安全性分析

與其他基于PoS機制的協(xié)議相比，Ouroboros在提出時就已通過安全性證明，并且具有較強的激勵兼容性。但是，Ouroboros只能證明在敵手股份少于51%時整個網(wǎng)絡(luò)是安全的，該協(xié)議依舊無法承受51%攻擊。同時在Ouroboros協(xié)議中，由于領(lǐng)導(dǎo)者的身份是公開的，增加了敵手發(fā)動賄賂攻擊的可能性。針對這一問題，David等人提出了 Ouroboros Praos[24]，在建塊成功之前將領(lǐng)導(dǎo)者的身份隱藏，以此有效地降低了敵手發(fā)動賄賂攻擊的可能。

PoS機制通過檢查點機制來應(yīng)對新加入的節(jié)點易受到長程攻擊的情況，但由于檢查點機制是通過選取一個信任節(jié)點的方式來確認正確的區(qū)塊節(jié)點，有可能會導(dǎo)致中心化。Badertscher等人舍棄檢查點機制，提出了Ouroboros Genesis[25]，為新加入網(wǎng)絡(luò)的節(jié)點設(shè)計了自啟過程，新節(jié)點對比不同鏈，選出與其他鏈有共同前綴并且最長的鏈為正確的區(qū)塊鏈，以此來解決PoS機制易于受到長程攻擊的問題。

（4）性能

Ouroboros目前已經(jīng)被 Cardano、Sp8de等加密貨幣方案使用。相較于其他區(qū)塊鏈協(xié)議，Ouroboros的優(yōu)勢是交易確認時間短，約為2 min，交易吞吐量高，為250 tx/s，同時其也具備權(quán)益證明共識機制所具備的優(yōu)勢，Ouroboros的能量損耗小。

2.2 Algorand協(xié)議

Algorand是在2016年由SilvioMicali等人共同提出的區(qū)塊鏈協(xié)議[14]。Algorand的提出是為了建立耗能更低、拓展性更好、更加去中心化的分布式賬本。

（1）共識特點

Algorand的共識過程主要是隨機選擇出塊者和形成共識，其中Algorand中提出了一種新的共識協(xié)議 BA*（Byzantine Agreement）。BA*與Ouroboros相似，Algorand也是以委員會的形式運作。但是，Algorand選擇領(lǐng)導(dǎo)者和委員會成員的方式不是FTS算法，而是密碼學(xué)加密抽簽的方式。由于區(qū)塊生成者節(jié)點由加密抽簽后偽隨機算法決定，因此不會讓對手預(yù)先知道攻擊目標(biāo)。加密抽簽是一種可驗證隨機函數(shù)（VRF），用共識節(jié)點的私鑰和種子作為輸入，其中種子是隨機生成的并且每一輪都會重新創(chuàng)建，接著輸出哈希值和用于公共驗證的證明。每一個節(jié)點可以分得一個與其權(quán)益值成比例的哈希值范圍，如果節(jié)點哈希值在分配的共識節(jié)點范圍內(nèi)，則該節(jié)點會被選中，其選中概率與其權(quán)益值成正比。

（2）共識流程

①用密碼學(xué)加密抽簽算法選取領(lǐng)導(dǎo)者和驗證者；

②領(lǐng)導(dǎo)者創(chuàng)建區(qū)塊；

③驗證者運行BA*協(xié)議進行交易驗證。

Algorand協(xié)議工作流程如圖2所示。

圖2 Algorand協(xié)議工作流程

（3）安全性分析

在Algorand中，只要誠實節(jié)點控制的權(quán)益超過總權(quán)益的51%，就可以保障此協(xié)議安全。被選中參與投票的節(jié)點均秘密知道其身份，其身份在投票后被公布。因此，即使敵手攻擊這些節(jié)點，但節(jié)點發(fā)送的消息已經(jīng)無法撤銷，用于簽名的一次性臨時密鑰也會被立刻丟棄，使敵手無法以此生成合法信息。并且BA*協(xié)議每次循環(huán)過程都會選擇新的驗證者，大大降低了驗證者聯(lián)合攻擊網(wǎng)絡(luò)的風(fēng)險。

（4）性能

Algorand的交易吞吐量可以達到875 tx/s，相對于其他協(xié)議而言，每秒鐘的交易吞吐量較高，它的平均交易確認時間是20 s。Algorand可快速確認交易，并且出現(xiàn)分叉的概率很小，不會因為用戶的增多而影響交易的確認速度。正是因為這些優(yōu)點，目前Algorand已經(jīng)被多家加密貨幣公司所采用。

2.3 Tendermint協(xié)議

Tendermint是Kwon開發(fā)，由Buchman在博士論文中提出的分布式平臺[15]，其包含了共識協(xié)議、實現(xiàn)代碼、接口以及管理工具，旨在解決數(shù)字貨幣等分布式系統(tǒng)存在的共識問題。為方便討論，本文以Tendermint指代其共識協(xié)議。

（1）共識特點

Tendermint屬于拜占庭容錯算法，它針對傳統(tǒng)的實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）共識算法做了優(yōu)化，使用BFT投票協(xié)議確認區(qū)塊，并且需要兩輪投票才可達成共識，這兩個階段分別是預(yù)投票（prevote）和預(yù)提交（pre-commit）。在Tendermint協(xié)議中的節(jié)點被稱為驗證人。與其他協(xié)議類似，驗證者通過在系統(tǒng)中存款獲得投票權(quán)，這些驗證者輪流成為每一個區(qū)塊的提議者。提議者提議出一個區(qū)塊，同時由驗證者進行預(yù)投票簽名，接著由驗證者預(yù)提交，當(dāng)超過2/3的驗證者將區(qū)塊預(yù)提交到系統(tǒng)中，此塊才能上鏈，并在鏈上占據(jù)一定的“高度”。提交塊存在失敗的可能，如果失敗，協(xié)議會進行下一輪提交，會有新的提議者提出那個高度的區(qū)塊，并由驗證者去提交。

（2）共識流程

①用加密抽簽算法選出驗證者，并在其中選出提議者；

②提議者創(chuàng)建新區(qū)塊；

③驗證者對新區(qū)塊進行預(yù)投票簽名；

④驗證者對新區(qū)塊進行預(yù)提交；

⑤獎勵驗證者和提議者。

Tendermint協(xié)議工作流程如圖3所示。

圖3 Tendermint協(xié)議工作流程

（3）安全性分析

當(dāng)誠實節(jié)點持有權(quán)益大于或等于總權(quán)益的2/3時，可保障Tendermint協(xié)議安全。由于網(wǎng)絡(luò)的延時性，兩輪投票可能出現(xiàn)在一個高度的不同輪提交兩個區(qū)塊的情形，Tendermint引入了鎖機制，使驗證者只能在鎖定高度預(yù)提交區(qū)塊。Tendermint可以在多個機器上一致地復(fù)制同一應(yīng)用，每一個工作節(jié)點都會有相同的交易日志，這一優(yōu)點對提高分布式系統(tǒng)的容錯性能起到重要作用。正是其同步一致的特性，使Tendermint沒有分叉問題，所以可以排除與分叉相關(guān)的攻擊。雖然Tendermint已經(jīng)被證明可以抵御多種攻擊，但是此協(xié)議缺乏形式定義和理論背景，并且輪流擔(dān)任提議者會給網(wǎng)絡(luò)帶來安全隱患。

（4）性能

Tendermint在創(chuàng)建之初，其開發(fā)團隊就致力于實現(xiàn)快速的交易處理速度，其交易吞吐量最高為 800 tx/s，交易確認的平均時間是 1 s。

2.4 Casper協(xié)議

Casper是由Buterin和Criffith共同提出的用于以太坊網(wǎng)絡(luò)的共識算法[16]，該算法是PoW機制和PoS機制的結(jié)合，是以太坊拋棄高耗能PoW機制逐漸向PoS機制過渡的產(chǎn)物。

（1）共識特點

Casper依舊是由PoW算法選取出塊者，但是它加入了動態(tài)委員會機制，每間隔50個區(qū)塊選取驗證者檢查出塊是否合理。此時，Casper協(xié)議中的節(jié)點想要成為驗證者參與共識過程需要交保證金，被選為驗證者的概率與繳納的保證金數(shù)成正比。同時若是驗證人做出了危害協(xié)議的行為，其保證金就會被系統(tǒng)扣除，并且剝奪其參與共識的權(quán)利。這就為網(wǎng)絡(luò)中的節(jié)點提供了識別當(dāng)前情況下合法鏈的方法，只要獲取當(dāng)前鎖定保證金的驗證者列表，即可推斷出合法最長鏈，這在某種程度上有效解決了“長程攻擊”的問題。

Casper的投票過程滿足下注共識，該共識要求驗證者將繳納的保證金中的一大部分拿來下注候選區(qū)塊，當(dāng)驗證者和其他大部分驗證者選擇同一塊區(qū)塊時，即為下注成功，驗證者可以取回保證金和交易費用，可能還有新發(fā)的貨幣作為獎勵；若是驗證者和大部分驗證者的選擇結(jié)果沒有快速達成一致，驗證者就不能取回全部的保證金。在幾次投注之后，驗證者的投注就會收斂；若是驗證者在多輪投注中，投注目標(biāo)改變較大，驗證者就會受到懲戒，以此來保證驗證者下注收斂于一個結(jié)果。當(dāng)絕大多數(shù)驗證者下注這個區(qū)塊時，這一區(qū)塊會成為鏈中一部分，而不包含這個區(qū)塊的分叉會被排除，在一定程度上提高了整個鏈的安全性。

（2）共識流程

①節(jié)點通過PoW機制創(chuàng)建一個區(qū)塊；

②參與驗證的節(jié)點繳納保證金，選取驗證者；

③驗證區(qū)塊，驗證者下注候選區(qū)塊；

④若候選區(qū)塊成功上鏈，驗證者劃分獎勵。

Casper協(xié)議工作流程如圖4所示。

圖4 Casper協(xié)議工作流程

（3）安全性分析

如上文所述，Casper投票機制的驗證者都是公開可查的，同時該機制針對離線節(jié)點提出處罰機制，讓更多的節(jié)點保持在線，綜上得出，此協(xié)議可以在一定程度上避免“長程攻擊”。并且只要驗證有2/3的投票權(quán)由誠實節(jié)點控制，整個協(xié)議就是安全的。Casper在投票過程中的下注機制，可以保證更多的參與者遵守協(xié)議，解決“無利害攻擊”的問題。但是Casper運行在PoW機制上，該協(xié)議同樣無法逃避51%攻擊。

（4）性能

Casper運行在PoW機制上，雖然PoW機制保證Casper一定的安全性，但是Casper的性能是由PoW機制決定，所以該機制的交易確認速度會低于上述的其他機制。

2.5 LaKSA協(xié)議

LaKSA是由Reijsbergen等人提出的新型PoS協(xié)議[17]，用以解決傳統(tǒng)PoS機制中存在的激勵中心化、長程攻擊以及無利害攻擊等問題，并且避免了部分PoS協(xié)議中出現(xiàn)的委員會機制內(nèi)類BFT共識通信過于復(fù)雜的問題。

（1）共識特點

LaKSA采用基于概率統(tǒng)計的區(qū)塊提交規(guī)則。節(jié)點在選擇區(qū)塊時，分別計算各個區(qū)塊被撤回的概率，選擇提交區(qū)塊推翻概率低于閾值的區(qū)塊。在結(jié)構(gòu)方面，LaKSA改進了GHOST*協(xié)議，將系統(tǒng)從鏈型結(jié)構(gòu)拓展為圖結(jié)構(gòu)（樹式結(jié)構(gòu)），區(qū)塊可引用因爭奪記賬權(quán)失敗而出現(xiàn)分叉區(qū)塊，使得分叉中交易可被確認，有效提高交易吞吐量。

（2）共識流程

LaKSA共識機制分為投票者選舉與領(lǐng)導(dǎo)者選舉兩個階段。

①根據(jù)投票者權(quán)益比例與該輪偽隨機信標(biāo)對所有權(quán)益進行抽樣，得出該輪的投票者抽樣子集；

②節(jié)點分別檢查是否當(dāng)選為投票者，若是，則計算可投票數(shù)并進行投票；

③投票者節(jié)點分別廣播投票結(jié)果，結(jié)束投票者選舉階段；

④根據(jù)領(lǐng)導(dǎo)者權(quán)益比例與該輪偽隨機信標(biāo)對所有權(quán)益進行抽樣，得出該輪的領(lǐng)導(dǎo)者抽樣子集；

⑤節(jié)點分別檢查是否當(dāng)選為領(lǐng)導(dǎo)者，若是，則構(gòu)建區(qū)塊；

⑥領(lǐng)導(dǎo)者節(jié)點廣播區(qū)塊，結(jié)束領(lǐng)導(dǎo)者選舉階段，共識結(jié)束。

LaKSA協(xié)議工作流程如圖5所示。

圖5 LaKSA協(xié)議工作流程

（3）安全性分析

通過采用概率性區(qū)塊選擇規(guī)則，LaKSA實現(xiàn)了基于概率的安全性保障，且通過對可接受的區(qū)塊推翻概率的閾值進行修改可以較好地抵抗長程攻擊。此外，LaKSA協(xié)議中的投票者選舉階段與領(lǐng)導(dǎo)者選舉階段可能遭受拒絕服務(wù)攻擊，可通過采用如Dandelion等技術(shù)對節(jié)點進行保護，防御拒絕服務(wù)攻擊。

（4）性能

得益于其基于概率的提交規(guī)則與樹形結(jié)構(gòu)，LaKSA具有較高的吞吐量。Reijsbergen等人公布的測試結(jié)果表明，當(dāng)存在100個節(jié)點的模擬環(huán)境下，LaKSA吞吐量最高為1300 tx/s。

各協(xié)議的結(jié)構(gòu)、交易確認、敵手容量、交易確認時間、交易速度、安全隱患和應(yīng)用如表2所示。

表2 基于PoS機制的區(qū)塊鏈協(xié)議比較

3 權(quán)益證明機制的攻擊和應(yīng)對措施

權(quán)益證明受到的安全威脅主要有無利害關(guān)系攻擊、研磨攻擊、長程攻擊、變節(jié)攻擊和51%攻擊等攻擊，下面對以上5種主要攻擊方式進行闡述，并給出應(yīng)對措施。

3.1 無利害關(guān)系攻擊

無利害關(guān)系攻擊是PoS機制上較為常見的攻擊方式。正因為在PoS機制中，生成新區(qū)塊所需要付出的代價很小，并且驗證區(qū)塊還能獲得幣作為獎勵，所以部分驗證者為了讓自己的利益最大化，會在不同的分鏈上去驗證新的區(qū)塊，當(dāng)這些分鏈發(fā)布到網(wǎng)上，無論哪一條分鏈勝出，驗證者都會獲得獎勵。在此情況下，區(qū)塊鏈更容易產(chǎn)生分鏈，使得區(qū)塊鏈更容易受到雙花攻擊。

為了應(yīng)對無利害關(guān)系攻擊，PoS機制共識機制讓參與驗證的節(jié)點向系統(tǒng)繳納押金，以此獲得驗證權(quán)。當(dāng)系統(tǒng)檢測出驗證人出現(xiàn)雙簽的情況時，該驗證人在系統(tǒng)中的押金就會被扣除，并且押金數(shù)額會遠高于獲得懲罰數(shù)額，同時撤銷該節(jié)點驗證者的身份。

3.2 研磨攻擊

研磨攻擊主要發(fā)生在PoS機制選擇領(lǐng)導(dǎo)者的過程中。攻擊者通過攻擊領(lǐng)導(dǎo)者選舉函數(shù)，影響函數(shù)中種子的隨機性，使領(lǐng)導(dǎo)者的選擇向著有利于敵手控制的節(jié)點方向發(fā)展，使這些節(jié)點有更高的概率被選為領(lǐng)導(dǎo)者，以此讓區(qū)塊鏈更有可能受到攻擊。針對這一攻擊，Kiayias等人提出了委員會的概念，由委員會成員共同算出下一輪的種子，以此保障領(lǐng)導(dǎo)選舉函數(shù)的隨機性。

其中幣齡攻擊就是研磨攻擊的一種，幣齡這一概念是在PPCoin上提出來的，節(jié)點擁有越多的幣，并且擁有幣的時間越長，就越有可能被選為出塊者，所以攻擊者只需要不斷積累自己的幣齡，就越有可能在下一輪被選為出塊者，也就是說節(jié)點會隨著時間的增長被選為出塊者的概率就會越高，攻擊者會通過不斷積累時間的方式，來讓選中的概率提升。主要的解決方案是設(shè)置幣齡的最大上限或者幣齡不作為領(lǐng)導(dǎo)選舉函數(shù)的參數(shù)，目前權(quán)益證明在很多情況下已經(jīng)去除了幣齡這一概念，從而解決了幣齡攻擊這一問題。

3.3 長程攻擊

長程攻擊是PoS機制系統(tǒng)最大的威脅之一，攻擊者創(chuàng)建一條從創(chuàng)世鏈開始的長區(qū)塊鏈分叉，以此替換合法主鏈。區(qū)塊鏈系統(tǒng)中最易受到長程攻擊的是新加入節(jié)點和長期離線節(jié)點，這些節(jié)點具有弱主觀性，當(dāng)這類節(jié)點進入網(wǎng)絡(luò)時，它們會接收到區(qū)塊鏈上所有公開分叉，并且不能分辨出哪些分叉屬于主鏈。

相較于PoS機制，PoW機制不易受到長程攻擊，由于PoW機制受算力的影響很大，所以攻擊者想要創(chuàng)建一條非法的分支鏈來代替主鏈，首先需要獲得50%以上的算力來創(chuàng)建一條分鏈，同時想要分鏈的長度達到主鏈的長度，需要大量的算力來作為支撐，這對攻擊者而言是得不償失的。PoS機制中不依靠算力來創(chuàng)建新的區(qū)塊，所以攻擊者創(chuàng)建新鏈的代價相對較小，PoS機制也就更容易受到長程攻擊的威脅。

目前針對長程攻擊的應(yīng)對措施主要為移動檢查點、情境感知交易和經(jīng)濟懲罰。

移動檢查點是所有PoS機制協(xié)議中都會用到的保護措施。移動檢查點的意義在于網(wǎng)絡(luò)中區(qū)塊鏈只有末端的x個區(qū)塊可以被重組，可能被重組的區(qū)塊數(shù)目x取決于協(xié)議實施的不同。正因為移動檢查點規(guī)定了攻擊者的攻擊范圍，使攻擊者無法做到從創(chuàng)世區(qū)塊開始生成一條私鏈來代替主鏈。

情境感知交易是在每個交易中加入上一個區(qū)塊的哈希值，因此，每一筆交易都與特定的區(qū)塊和分支聯(lián)系起來。通過情境感知交易，保存在當(dāng)前分支中的一個交易將不會被復(fù)制到其他分支中，也就是說，攻擊者無法將主鏈上的交易復(fù)制到這條私鏈上，所以攻擊者只能被迫創(chuàng)造一條完全不一樣的歷史交易數(shù)據(jù)，這大大提高了攻擊的難度。

在經(jīng)濟懲罰中，若驗證者被檢測到存在不正當(dāng)?shù)男袨?，即為在相同的區(qū)塊高度中該驗證者驗證了不同的區(qū)塊，則該驗證者在網(wǎng)絡(luò)中存入的貨幣就會被扣除，并且有可能撤銷驗證者的身份。當(dāng)然經(jīng)濟懲罰也存在一定的局限性，若該驗證者只參加了私鏈的驗證，將無法查出其具備不當(dāng)行為，無法給予懲罰。

3.4 變節(jié)攻擊

變節(jié)攻擊是指攻擊者通過購買、行賄或破解的方式獲得舊驗證人私鑰，通過這些舊驗證人私鑰去簽署以往區(qū)塊，以此來達到攻擊者快速完成較長鏈的目的。

要解決變節(jié)攻擊的問題，可以使用密鑰演進加密技術(shù)（Key-Evolving Cryptography，KEC）的方式動態(tài)生成簽名私鑰，使攻擊者無法獲得有效私鑰。除此之外，密鑰演進加密技術(shù)和前文中提到的移動檢查點技術(shù)也可解決變節(jié)攻擊的問題。

3.5 51%攻擊

當(dāng)攻擊者擁有網(wǎng)絡(luò)中大多數(shù)的權(quán)益時，尤其是攻擊者的權(quán)益超過51%時，攻擊節(jié)點被選為當(dāng)前這一時段領(lǐng)導(dǎo)者可能性的概率會很高，并且該攻擊節(jié)點有被持續(xù)選為出塊者的可能，創(chuàng)造一條私鏈代替原來的主鏈就變得很容易。由于PoS機制沒有算力成本，攻擊成本也相對較低，導(dǎo)致PoS機制共識機制會存在讓富者控制區(qū)塊鏈的風(fēng)險。

目前并沒有合適的方法去應(yīng)對51%攻擊，但是對于擁有51%權(quán)益的節(jié)點而言，攻擊系統(tǒng)有可能導(dǎo)致整個系統(tǒng)陷入風(fēng)險中，因此影響到攻擊者自身的利益，所以于這樣的節(jié)點而言，攻擊區(qū)塊鏈反而得不償失。

4 權(quán)益證明機制的發(fā)展和展望

自權(quán)益證明機制被提出以來，因其具有較低能耗與較高性能的特點，并且與現(xiàn)實中企業(yè)決策架構(gòu)較為類似，一直受到學(xué)界與業(yè)界的廣泛關(guān)注，出現(xiàn)了大量改進方案，并持有一定的研究熱度。以下對權(quán)益證明機制的發(fā)展進行總結(jié)，并對權(quán)益證明機制的未來進行展望。

4.1 權(quán)益證明機制的發(fā)展

為了解決工作量證明機制帶來的資源浪費問題，同時滿足日益增長的交易吞吐量需求，權(quán)益證明這一機制被提出。自King等人提出權(quán)益證明機制后，學(xué)界與業(yè)界涌現(xiàn)出大量的解決方案，其中尤為出名的是Casper FFG、Ouroboros以及Algorand等協(xié)議，分別通過結(jié)合工作量證明、微型區(qū)塊以及委員會機制等方法在降低能耗的同時實現(xiàn)較高的交易吞吐量，一定程度上解決了傳統(tǒng)工作量證明中存在的問題，提高了區(qū)塊鏈系統(tǒng)性能。但是，權(quán)益證明機制存在受到無利害攻擊、長程攻擊及研磨攻擊等安全威脅，并且這一機制中的激勵模式仍存在鼓勵中心化的問題，可能出現(xiàn)誠實節(jié)點收益低于惡意節(jié)點收益的情況。總而言之，權(quán)益證明機制具有較低能耗與較高吞吐量等優(yōu)點，部分解決了工作量證明機制中存在的問題，具有較為廣闊的發(fā)展前景。

4.2 權(quán)益證明機制的展望

權(quán)益證明共識機制作為接替工作量證明機制的主要共識機制之一，在實際應(yīng)用過程中依舊存在一些不足，未來對于權(quán)益證明共識機制的研究主要有以下幾個方面。

（1）安全方面：目前PoS機制依舊面臨無利害攻擊、長程攻擊及研磨攻擊等威脅，如何在不違背區(qū)塊鏈去中心化初衷的前提下，提出更為安全的權(quán)益證明共識機制方案是未來研究者探索的主要方向之一。

（2）擴容方面：采用PoS機制雖然可減少PoW機制所需的大量計算資源，但由于PoS機制仍需通過投票等流程決定記賬權(quán)，投票流程對吞吐量造成一定的影響。并且，在爭奪記賬權(quán)的過程中，容易造成部分交易未被包含在勝選者所打包的區(qū)塊中而被丟失，從而影響交易性能，在效率上仍然有待提高。對此，可采取優(yōu)化投票流程、將區(qū)塊鏈擴展為樹結(jié)構(gòu)或圖結(jié)構(gòu)等方法進行擴容。

（3）激勵方面：解決獎勵收益過于集中化、領(lǐng)導(dǎo)者獲取絕大多數(shù)獎勵的現(xiàn)狀，重新劃分獎勵分配比例，制定合理的獎勵和懲戒機制，讓作惡收益少于激勵收益，促使更多的用戶以誠實的態(tài)度加入到共識機制的運行中。

5 結(jié) 語

權(quán)益證明機制是區(qū)塊鏈共識機制中重要的一員，具有效率較高與能源消耗較低等優(yōu)點，擁有廣泛的應(yīng)用前景。當(dāng)前，對權(quán)益證明機制的研究處于快速發(fā)展階段，學(xué)界與業(yè)界出現(xiàn)了大量改進方案與應(yīng)用實例。本文通過對比工作量證明機制，細致分析權(quán)益證明機制的特點、模型、結(jié)構(gòu)、交易流程與安全性。并從安全、擴容、激勵機制這三個方面，對權(quán)益證明機制未來發(fā)展提出了展望。