在上一篇文章里,我们详细解释了支付通道的运作,以及多种保证支付安全发生的方法。不过,这些功能,还不足以支撑一个可用的支付通道网络:即使我们很确定在每个通道内每个参与者都是诚实守信的,也没法保证通过多个通道来支付同样是安全的。这就是我们需要“HTLC”这种智能合约的原因。在本文中,我们会讲解HTLC工作的方式,并使用一个例子来展示多跳支付是如何在闪电网络中实现的。哈希时间锁合约
HTLC的结构并不复杂,但非常高效。它使我们可以创建具有明确“过期时间”的支付。你可能也猜得到,HTLC合约由两部分组成:哈希验证和过期验证。我们先从哈希值开始。要创建一笔带有HTLC的支付事务,你先要生成一个秘密数值R,然后计算出其哈希值。任何词语、任何数字都可以充当这个秘密值,因为,对哈希函数来说,它们都是一堆数据的组合,没有什么分别。H=Hash(R)这个哈希值H会放在事务输出的锁定脚本中。如此,只有知道H所对应的秘密值的人才能使用这个输出。而R就是所谓的“原像”。HTLC的第二部分是过期时间的验证。如果秘密值没有及时地公开,这笔支付就用不了了,发送者会收回所有的资金。我们来考虑一个发给某人的HLTC支付事务:#检查所提供的R是否为H的原像HASH160<H>EQUALIF#检查公开R的人是否为事务最初的接收者<PayeePublickey>CHECKSIGELSE#检查时间锁是否已终止<locktime>CHECKLOCKTIMEVERIFY#检查请求返回资金的是不是事务最初的发送者<PayerPublicKey>CHECKSIGENDIF在正确的R公开之后,我们进入IF流程,进一步验证提供R的是不是这笔支付事务一开始的支付对象。在花费这个输出时,接收方只需提供一个非常简单的解锁脚本:<sig><secretR>如果解锁脚本所提供的R是错的,我们跳转入ELSE流程,首先验证时间锁解锁了没有。如果时间锁已然解锁,发送者就可以收回所有的资金。收回资金这个操作的解锁脚本也差不多,唯一的区别在于,为了进入ELSE流程,需要提供一个错误的秘密值:<sig><wrongsecret>当然,这只是HTLC的一个非常基础的实现,代表着一个普通的时间锁支付。你可以在脚本中加入任意多的其它条件,比如说,在IF流程中移除公钥验证,这样只要知道秘密值R的人都可以使用这个输出;也可以在其中加入多签名限制,要求提供多个预设私钥的签名才能解锁。多说一句,在这个案例中,我们使用的操作码是CHECKLOCKTIMEVERIFY,这个操作码使用绝对数值来定义时间锁,意思就像:“这个输出在区块#546212之前是无法动用的”。而在闪电网络中,还用上了另一种时间锁,更“灵活”的一种:CHECKSEQUENCEVERIFY,它用到的是相对数值,意思近于:“这个输出,在使用它的事务上链之后的1000个区块内,是无法使用的”。闪电网络案例
现在,我们终于讲解完所有元素了,可以尝试理解闪电网络运作的全景了。我们假设现在闪电网络有5个参与者:Alice、Bob、Carol、Diana和Eric,他们各自有一个支付通道相连,而每个通道的每一边都有2btc的余额可用。现在,我们尝试让Alice通过通道链条给Eric支付。
-一系列相连的双向支付通道,组成了闪电网络,可以转介Alice对Eric的支付-假设Alice现在要给Eric支付1btc。但是,如我们所见,他们并无直接的通道相连,而开设通道需要时间和金钱。幸运的是,Alice连接着闪电网络,可以在一系列HTLC合约的帮助下完成间接支付。我们一步一步拆开来看。
-逐步分解闪电网络中的支付路由-Eric生成了一个秘密值R,并把其哈希值发给了AliceAlice使用这条哈希值创建了一个HTLC,而时间锁设置成未来10个区块,输出的数额是1.003btc。这额外的0.003btc是给支付通道链条中间方的手续费。那么,Alice现在用HTLC锁住了1.003btc,而HTCL的具体条件以大白话表述如下:“Alice会给Bob支付1.003btc,只要他能在10个区块内交出秘密值R,否则这些钱会返回给Alice”。他们之间的通道的余额也会因为这笔承诺事务而发生这般变化,现在Bob在通道内拥有2btc,Alice有0.997btc,还有1.003btc锁在HTLC里面到了Bob这里,他可以随意处置Alice的承诺事务。他在自己跟Carol的通道中创建了一个HTLC输出,数额是1.002,时间锁设定为9个区块,使用了跟Alice所提供的同样的哈希值。Bob知道Carol如果想获得这笔钱,就不得不找出秘密数值R来解锁这个HTLC,而一旦她这么做了,他就会知道这个R,因此也能解锁Alice的HTLC,拿到1.003btc。如果Carol没法找到这个秘密值R,Bob和Alice都能在时间锁解锁后拿回自己的钱。注意,Bob发送的资金数额比自己能够得到的数额小0.001btc,这就是他收取的手续费数额。Bob和Carol在通道内的余额变成:Carol拥有2btc,Bob拥有0.998btc,还有1.002btc锁在HTLC中Carol获得Bob发出的承诺事务之后,也如法炮制,在与Diana的通道中创建一个HTLC,使用的哈希值与Bob提供的无二,时间锁设置为8个区块,数额为1.001btc。如果Diana能在8个区块以内揭示这个秘密数值R,就能解锁这个HTLC,获得1.001btc,相应地,Carol也会知道这个秘密数值,解锁Bob给她的HTLC,获得1.002btc,赚得0.001btc。Carol和Diana通道内的余额变成:Diana拥有2btc、Carol拥有0.999btc,还有1.001btc锁在HTLC里面最终,当Diana将一个HTLC通过通道发送给Eric时,她把数值设为1btc,时间锁设为7个区块。Diana和Eric的通道内余额变成:Eric拥有2btc、Diana拥有1btc,还有1btc锁在HTLC里面现在,我们来到了这个连锁支付的终点。Eric拥有这个秘密值R,这个R的哈希值用在了所有的HTLC承诺事务中。Eric可以解锁Diana发给他的HTLC,获得1btc;而Eric取回资金之后,Diana也会知道这个R。Diana与Eric的通道内余额会变成:Eric拥有3btc,Diana拥有1btc。Diana收到这个秘密之后,也拿来解锁Carol发给她的HTLC,获得1.001btc的同时也向Carol公开了秘密值。他们通道内的余额变成了:Diana拥有3.001btc,Carol拥有0.999btc。Carol收到秘密值R之后,解锁了Bob发过来的1.001btc,因此Bob也知道了这个秘密值。他们通道内的余额变成了:Carol拥有3.002btc和Bob拥有0.998btc最后,Bob使用秘密值R获得了和Alice通道中的1.003btc。于是通道内的余额变成了:Bob拥有3.003btc,Alice拥有0.997。这样一个流程下来,Alice就给Eric支付了1btc,无需在彼此间另开一个直接相连的通道。整个支付链条中,也没有人需要信任另一个人,而且他们还因为中介服务赚到了0.001btc。即使支付在某个环节卡住了,也没有人会遭受损失,因为资金还锁在那里,时间过了就可以取回。清除故障
在我们这个例子中,整个流程都是很平滑、没有阻碍的,但在现实生活就像所谓的“墨菲定律”:如果某种坏事可能发生,那这种坏事就一定会发生。于是我们要考虑闪电网络的“保护”机制。从实践来看,支付链条越长,最终无法交付资金的概率就越大:某些参与者可能会关闭通道,或者某些节点会掉线。我们来考虑两种可能的出错情形。通道故障
先考虑一种情形:我们假设资金已经达到了目的地,但在秘密数值一路返回到支付起点的过程中,某个参与者拒绝合作或者无法配合。假设是Bob。
-因为一个通道关闭,资金无法交付-当Diana收到了秘密值时,就立即取回了资金,并把秘密值暴露给了Carol。Carol也想从Bob发出的HTLC里面拿回资金,但Bob没有响应,为了避免风险,她关闭了通道,将自己手上的最后一笔承诺事务广播到了比特币网络中,而且,因为她知道秘密值,所以能取回资金。此时,Bob还有三天时间可以从Alice处拿回自己的钱。否则,等时间锁一解锁,Alice就可以收回资金。可以看出,即使某个参与者因为某种原因离开了网络,TA自己是唯一一个可能损失资金的人,而其他人的资金都是安全的。重新路由
在第二种情形中,我们假设资金无法到达目的地,也是因为某个参与者出了错。假设是Carol。第一种也是最明显的解决方法是,等待HTLC的时间锁过期,然后各参议者各自拿回自己的资金。
-支付路径中的某个节点没有响应-但如果Alice就是着急支付,该怎么办呢?当然,Alice可以通过另一条路径发起新的支付,不需要死等资金返回,但要是Carol突然之间又回来了,跟Bob把链条续上了呢?那Alice不就发送了两倍资金了吗?
-Alice如果使用另一条路径-这是否意味着,但凡出现了支付失败的情形,都应该乖乖等时间锁超时,然后再发起新的一笔支付呢?好在,要避免这种等待,我们可以“取消”这一次的支付。Diana要发送等量的一笔资金给Alice,也使用跟原来一样的哈希值,也可以使用另一条路径。现在,如果Carol重新上线并参与中介,那么资金会走完一个环路,这就意味着那笔原来失败的支付被抵消了,Alice可以安全地使用另一个路径来支付了。
-Alice“取消”了旧的支付,新的支付现在可以安全地发送了-支付数额
你可以也注意到了,当Alice“取消”其第一笔支付时,现在的确是可以安全地发起新的一次支付了,但这并没有改变一个事实:她的第一笔支付的资金现在仍然是锁定的,而她可能没有足够的钱来发起第二次支付了。这就是为什么在使用闪电网络时,用HTLC来支付时资金额度应该更小。因为承诺事务不会上链,数额可以分割成多个很小的额度。这样,无论什么时候一个路径不通了,都只有一小部分资金会被冻结。传输协议
闪电网络的另一个非常重要的特点是:有关这个路径的所有信息都是完全匿名的。也就意味着对于任何一个参与者来说,TA都只知道跟自己有关的这部分,比如,对于Carol来说,这笔支付就像是Bob在给Diana转账,她不知道Bob会从Alice处收到资金,也不知道Diana会继续转账给Eric。闪电网络使用Sphinx多重加密协议。在使用闪电网络时,Alice会为网络的每一部分都做一层加密,从支付路径的末端开始。她使用Eric的公钥为Eric加密了消息。这条加密消息会被嵌套在给Diana的消息里,并用Diana的公钥对整个消息再做一次加密。再然后,这条给Diana的消息又会嵌套在给Carol的消息里,也用Carol的公钥对整个消息再做一次加密。如此不断重复,得出可以交给下一个人的消息。这样一来,Bob只能解密消息的最外一层,得到本意发给他的内容;然后把消息转给Carol;Carol也是如此。每经过一个人,都只会公开绝对必要的消息:支付的数额、佣金的数额、时间锁的内容,等等。为了让人不能从消息的长度中推测链条的长度,消息的长度都是一样的,总是像有20个人参与这个链条一样。每个人,包括最后一个,得到的都是同样大小的图像,都以为除了自己以外还有20个伙伴。闪电网络的好处和应用场景
当然,闪电网络的好处并不像很多人以为的那样,只有可扩展性一项。我们想想闪电网络到底带来了哪些可能。即时交易。使用闪电网络时,事务几乎是即时完成的。所以用比特币来买咖啡就变得可行了交易所套利。当前,从一个交易所转出资金并转入另一个交易所是很不方便的,需要等待3至6个区块来确认交易。如果交易所能使用闪电网络,那用户就能即时转入资金、参与套利。交易所也不再需要冷钱包来存储资金,极大地降低了盗窃风险。小额支付。比特币区块链的手续费对小额支付来说太高了。很难想象谁会愿意支付0.001btc就为了转账同等数量乃至更少的金额。有了闪电网络,你就可以即时转移任意大小的金额,举个例子,你可以按MB来支付网费。金融智能合约和交易。金融合约对时延是极度敏感的,而且通常需要许多计算。把大多数负担移到了区块链外,我们就有机会能创建非常复杂的事务以及合约,而无需把这些都记录到区块链上。跨链支付。如果使用不同共识规则的区块链使用同一种哈希函数,就有可能使用闪电网络来跨链支付。参与者无需信任任何人,也无需使用中介。隐私。在闪电网络中,事务比起在比特币区块链上要更加隐秘,因为支付链条的参与者并不知道交易的发起方和目的地。结论
我们已经讲完了闪电网络。在下一篇文章中,我会告诉你如何使用HTLC来执行一次跨链的原子互换,用btc交换ltc。链接Lightningnetworkindepth,part1:Paymentchannels“Masteringbitcoin”—AndreasM.AntonopoulosLightningnetworkwhitepaperSegregatedwitnessfordummies原地址:https://medium.com/softblocks/lightning-network-in-depth-part-2-htlc-and-payment-routing-db46aea445a8作者:MagomedAliev翻译:阿剑
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。