随着区块链相关研究与应用在最近十余年的快速发展，区块链已不限于一种电子现金系统^[1]，成为了去中心化应用（decentralized application，DApp）的基础设施^[2-3]与可编程社会的基础技术^[4]. 区块链凭借数据可信、可溯源的优势，在多种场景下承担了越来越核心的角色.

在近5年，随着依赖智能合约^[5]的DApp快速发展，以以太坊^[3]为代表的区块链2.0形成了丰富的生态. 在满足定制化需求的场景下，区块链成为了越来越多异质化服务的提供者^[6]. 定制化的区块链服务通常不关心来源于其他区块链或链下数据库的数据，且将外界数据直接写入区块链的原生途径是不存在的^[3]，因此区块链可被视为“数据孤岛”.

解决区块链“数据孤岛”问题的关键是在源链与目的数据之间构建可信的信息中继机制^[7]，区块链预言机是将区块链外部信息写入区块链的机制^[8]. 当这些信息来源于其他区块链时，这样的数据获取机制即为跨链^[9]，跨链问题是区块链预言机相关研究热点之一^[10-12]. 除此之外，解决资产报价等即时数据可用性问题也是区块链预言机相关研究热点之一^[13]，此类区块链预言机通常由链下分布式节点将价格数值等离散化信息提交到智能合约，由智能合约计算并广播最终结果数值.

为避免单点故障，区块链预言机在应用中通常是分布式的. 如何可信地聚合多点提交的数据，是当前区块链预言机研究面临的显著挑战之一^{[8, 10]}. 在此问题背景下，分布式区块链预言机描述了一种安全多方计算场景，需要保证数据的机密性、完整性与可用性，且正确的数据获取结果不能被少数参与方篡改. 此外，区块链预言机链上、链下两部分存在业务耦合，且当前在以太坊等公有链上执行计算与存储操作的成本较高^[14]，因此通过优化设计与实现节省链上部分运行成本也是需要予以讨论的问题，否则这将限制区块链预言机的应用.

区块链预言机是区块链2.0中炙手可热的技术，相关研究主要关注区块链预言机在多种应用场景下提供数据可用性服务. 本文认为，从分布式相关理论出发，对区块链预言机所做的讨论相对缺乏. 随着所承载业务越来越复杂，区块链预言机在研究与应用中将遵循越来越规范的范式，例如在资源可访问的要求下实现透明性、开放性、可拓展性等分布式系统的目标^[15].

目前，区块链预言机在多数应用案例中^[16-18]是开放的，即支持节点加入与退出. 在海外相关研究中，节点通常依赖抵押虚拟货币为身份担保^{[10, 19]}，且节点将因诚实行为被退还一些虚拟货币作为激励，本文将此类方案总结为基于虚拟货币抵押与激励的节点身份方案. 基于虚拟货币抵押与激励的节点身份方案在国内很可能受到合法性与合规性的挑战，因此为开放区块链预言机项目设计与实现不将虚拟货币作为经济门槛的节点身份方案将有助于国内相关项目的发展.

本文的主要工作包括4个方面：

1） 在现有区块链预言机研究的基础上，基于目的数据确定性与数据聚合方法之间的关系，作为对区块链预言机分类的方法，相比同类研究，此分类方法更贴近区块链预言机运行多点电子投票的业务实质；

2） 基于双线性群与分布式密钥生成经典算法，本文实现了去中心化、适合可拓展区块链预言机的密码学方案，节省了链上运行成本；

3）探索了将非同质化通证^[20]应用为区块链预言机节点身份标识的方案并验证了可行性，基于公开标准简洁地实现了节点生命周期管理；

4） 基于分布式哈希表（distributed Hash table，DHT），本文为大型分布式区块链预言机设计了命名系统，连通了链上与链下部分的节点身份标识，从分布式系统的角度讨论了区块链预言机承载的数据可用性业务.

1.   相关工作

本文的研究对象是区块链预言机，密码学方案基于门限签名与秘密分享，此节将介绍相关研究现状.

1.1   区块链预言机

区块链预言机是将外界信息可信地写入区块链的机制. 当外界信息来源于区块链时，此问题即为跨链问题，跨链的目标是实现区块链之间的互操作性^[15]. 互操作性是不同分布式系统依赖各自公开声明的服务标准实现共存与协同工作，因此，区块链之间实现互操作的机制需要彼此支持共识协议并能读写数据. 目前，跨链问题相关研究主要关注侧链/中继^[21-24]. 除了商业项目^[16-18]中和数字资产相关的场景，区块链预言机相关研究也关注了区块链预言机在跨链场景下解决数据验证问题^[10-12]；在存储、计算与网络受限的边缘计算场景下^[25]解决物联网设备和区块链之间的信息中继问题^[26-27]；在海量数据存储场景下解决数据获取与治理问题^[28]. 针对区块链预言机的可靠性分析，Lo等人^[29]分析了目前区块链预言机的成功案例，提出区块链预言机的链下部分更容易成为系统可靠性的故障点. Al-Breiki等人^[7]从链上智能合约开发、链上与链下部分之间数据传输的安全性与隐私性、链下数据治理与系统设计等角度讨论了区块链预言机项目在信任问题上遇到的挑战.

目前，相比区块链可伸缩性的相关研究^[30-32]，针对分布式区块链预言机可伸缩性的研究较少. Hess等人^[33]在区块链预言机应用了状态通道将共识机制做平行拓展. Sheng等人^[34]基于主、侧链对数据可用性服务分片，减轻了链上通信开销. 相关研究主要关注区块链预言机链上部分的可拓展性，以及减轻链上部分计算、存储与通信开销，未对优化链下部分设计与实现给予足够关注.

1.2   门限签名

门限签名允许不小于门限值个成员构造聚合签名代表全体成员，这些成员可以构造全局公钥验证聚合签名. Desmedt等人^[35]在1989年提出了门限签名概念，并在1991年提出了基于RSA的门限签名方案^[36]. 1998年，Wang等人^[37]提出了基于离散对数的门限签名方案. 2004年，Boneh等人^[38]提出了基于双线性群的门限签名方案，即BLS签名，BLS签名系统可拓展、带宽开销低、证书链更短，因此至今仍被广泛应用. 2022年，Jalil等人^[39]基于BLS签名实现了适用于公有云存储的安全审计系统，杨坤伟等人^[40]应用了BLS签名长度短的特性，提出了适用于低带宽群智网络环境的有序聚合签名方案.

1.3   秘密分享与分布式密钥生成

分布式密钥生成（distributed key generation，DKG）是指分布式系统各方协作，生成各自公私钥的过程；DKG一般以秘密分享（secret sharing，SS）作为密码学原语.

1979年，Shamir^[41]提出了基于多项式的秘密分享方案Shamir-SS. 1985年，Chor等人^[42]引入了秘密分片的可验证性，这样的秘密分享被称为可验证秘密分享（verifiable secret sharing，VSS）. 1987年，Feldman^[43]基于Shamir-SS，在私有信道上设计了一种可验证秘密分享方案Feldman-VSS，此方案允许秘密分片持有者对秘密分片的正确性做非交互零知识证明. 1991年，Pedersen^[44]基于Shamir-SS提出了一种可验证秘密分享方案Pedersen-VSS，相比Feldman-VSS，Pedersen-VSS方案保证了被分享的秘密是不可泄露的. 此外，秘密分享方案也可基于中国剩余定理构造. 1983年，Asmuth等人^[45]提出了一种具有代表性的、基于中国剩余定理的秘密分享方案.

在秘密分享研究基础上，1991年，Pedersen^[46]提出了一种分布式密钥生成方案Pedersen-DKG，此方案令每个参与方并行运行Feldman-VSS，实现了去中心化，不依赖于可信第三方. 目前，基于Feldman-VSS与Pedersen-VSS的DKG方案被广泛应用，相关研究关注在实际应用中如何减轻通信开销，在分布式计算实例之间实现高效传输. 2004年，Canny等人^[47]指出，在基于Shamir-SS的DKG方案包含大规模参与方时，各方的通信开销将非常大，因此提出了基于稀疏矩阵的DKG方案，使各方无需跟全体其他参与方通信. 2020年，Kokoris Kogias等人^[48]提出了计算安全的异步DKG方案. 2022年，Das等人^[49]在跨地域分布式云计算实例上应用了一种低通信开销的异步DKG方案.

2.   预备知识

本文归纳了区块链预言机目的数据确定性和数据聚合方法之间的关系，应用了BLS签名与Pedersen-DKG.

2.1   区块链预言机投票方法

区块链预言机智能合约根据区块链外界实际事件自动和被获取的数据执行相关逻辑. 除了在跨链场景下获取来自其他区块链的数据，区块链预言机还能获取的数据包括：来自物理过程的随机数或熵、资本市场数据、天气信息等^[50].

相关研究^{[8, 10]}提出，区块链预言机获取数据的过程通常是多点提交，可被看成电子投票^[51]过程，这也是区块链预言机的业务实质. 基于数据获取节点的投票内容是否被要求全体或多数一致，区块链预言机可以被分成强投票协议预言机与弱投票协议预言机.

定义1. 强投票协议预言机. 在这类投票协议下，各节点提交的结果被要求多数或全体一致，否则无法聚合最终结果. 例如，区块链预言机在跨链场景验证交易合法性，合法的结果有且仅有“是”或“非”，当其中一种结果足够多时，跨链预言机聚合并返回此结果. 这类区块链预言机适用于获取确定性数据，也方便应用聚合签名方案对各数据获取结果的数字签名做聚合.

定义2. 弱投票协议预言机. 在这类投票协议下，各节点提交的结果是彼此独立的，能否聚合最终结果跟各节点提交的结果是否达成了多数或全体一致无关. 例如，数字资产报价预言机从若干节点获取价格数值，这些数值并非被要求达成全体或多数一致，容忍存在数值偏差，且聚合过程是对各节点提交的结果求算术平均、加权平均或中位数等返回最终结果数值. 这类区块链预言机适用于获取非确定性的、动态变化的实时数据，一般需要在智能合约验证签名并计算最终结果.

图1是著名区块链预言机项目Chainlink实现的跨链互操作性协议^[16]示意图，这是强投票协议预言机，不同预言机节点基于数字签名对跨链传输消息的正确性与完整性做验证，调用合约函数将被验证的消息从源链传输到目的链. 在强投票协议中，节点验证的合法消息内容保持一致，聚合过程对消息字符串一致性做验证.

图  1  跨链互操作性预言机示意图^[16]

Figure  1.  Illustration of cross-chain interoperability oracle^[16]

下载: 全尺寸图片 幻灯片

图2^[13]是著名区块链预言机项目MakerDAO^[18]的体系结构，这是弱投票协议预言机，各预言机节点将交易对报价数据提交到智能合约做聚合，智能合约将聚合结果广播到下游；交易对报价数据可以是不一致的，聚合计算仅关注数值.

图  2  MakerDAO软件架构^{[13, 18]}

Figure  2.  Software architecture of MakerDAO^{[13, 18]}

下载: 全尺寸图片 幻灯片

除目的数据确定性这一特征外，弱投票协议预言机的规模通常更大，所支持数据源更多. 例如交易对报价预言机通常作为公共服务，计算并广播多种交易对价格，预言机节点运行面向各种交易对、基于各种指标（例如近期交易、流动性）的算法，计算价格并提交到智能合约. 相比而言，强投票协议预言机通常面向单一数据源，例如在跨链场景下，仅讨论“源链X，目的链Y ”的模式^[10-12]，原因之一是链下节点之间存在相互通信，过大的节点规模、过于复杂的业务将导致性能下降.

同类研究将区块链预言机根据节点数目分成集中式或分布式；根据设计模式分成发布—订阅/请求—响应等分类方法也可应用于其他数据可用性服务、分布式系统等. 本文的分类方法特异性更好，更接近业务实质.

2.2   BLS签名

BLS签名是基于双线性群的系统. 签名者选择双线性群$(p,{\mathcal{G}}_{1},{\mathcal{G}}_{2},{\mathcal{G}}_{T},e)$，其中${\mathcal{G}}_{2}$的阶是$p$，生成元是$g$，以及抗碰撞的散列函数$H:{(0, 1)}^{*}\to {\mathcal{G}}_{1}$. 签名者随机选择私钥$sk\in {\mathcal{Z}}_{p}$，并计算公钥$pk={g}^{sk}$.

BLS签名构造方法基于椭圆曲线群的加运算，签名者将消息$m$映射成${\mathcal{G}}_{1}$的一个元素$H\left(m\right)$，构造签名$\sigma ={H\left(m\right)}^{sk}$.

BLS签名验证方法基于双线性群的双线性，验证者验证式（1）是否成立：

2.3   Pedersen-DKG

Pedersen-DKG是一种去中心化的DKG方案，基于Shamir-SS与Feldman-VSS. 考虑参与方集合$\mathcal{P}=\{{P}_{1}, {P}_{2},… ,{P}_{n}\}$试图构造满足$(t,n)$门限性质的分布式密钥，一种基本的Pedersen-DKG方法包含初始化、广播、验证3个阶段.

在初始化阶段，$\mathcal{P}$商定一个$p$阶群$\mathcal{G}$，以及一个$q$阶元素$g\in \mathcal{G}$，其中$q\left|\right(p-1)$. 每一参与方${P}_{i}$输入一个秘密数${k}_{i}\in {\mathcal{Z}}_{q}$，并随机选择$t-1$个系数${a}_{i,j}\in {\mathcal{Z}}_{q}$，构造多项式：

在广播阶段，${P}_{i}$为其他每一参与方${P}{ {_{j}}}$构造秘密分片${s}_{i,j}={f}_{i}\left(j\right)\mathrm{m}\mathrm{o}\mathrm{d}\;q$并通过私有信道发送到${P}{ {_{j}}}$；为多项式系数构造承诺${c}_{i,j}={g}^{{a}_{i,j}}\mathrm{m}\mathrm{o}\mathrm{d}\;p$，其中${c}_{i, 0}={g}^{{k}_{i}}\mathrm{m}\mathrm{o}\mathrm{d}\;p$，并将全体承诺在全体参与方广播.

在验证阶段，${P}{ {_{j}}}$可根据公开的承诺验证秘密分片的合法性，即验证式（3）是否成立：

此后，${P}_{i}$可构造自己的分布式私钥：

全局公钥可被任意参与方构造：

根据文献[46]，Pedersen-DKG满足：1）计算安全. 基于离散对数问题难解假设. 2）抗共谋. 根据拉格朗日插值法，任意小于$t$个参与方都无法重建秘密数或私钥. 3）去中心化. 参与方是平等的，每一参与方的分布式私钥由其他参与方所输入的秘密数共同决定.

2.4   非同质化通证

Wang等人^[52]在2018年设想用染色代币在比特币系统上表示真实世界资产. 这些真实世界资产通常是大量存在的同类事物，不可再分、不可合并，彼此之间存在差别、不可互换. 非同质化通证（non-fungible token，NFT）是在以太坊上对染色代币的成功实现，至少支持在以太坊上表示2¹²⁸个同类资产. “非同质”的含义是：每个NFT都严格声明了所有者并被赋予了全局唯一ID，因此任意2个同类NFT都是不等同的.

NFT方案在第721号以太坊改进提案^[20]上通过. 跟NFT相对的概念是同质化通证. 以太币是最典型的同质化通证，考虑到合法性与合规性，本文将仅应用非同质化通证解决非商业问题，不对相关案例展开讨论.

如表1所示，将同质化通证跟非同质化通证作比较，非同质化通证不仅可表示真实世界资产，而且能作为海量真实世界个体的身份映射，且继承区块链去中心化、不可篡改的性质.

表  1  同质化通证与非同质化通证对比

Table  1.  Comparison of Fungible Token and Non-Fungible Token

特征	同质化通证	非同质化通证
可互换	是	否
可再分	是	否
可合并	是	否
唯一性	否	是

下载: 导出CSV 

| 显示表格

3.   基于BLS签名与Pedersen-DKG的投票方案

本节将基于BLS签名与Pedersen-DKG为区块链预言机节点设计电子投票方案，并基于智能合约注册与管理全局公钥. 本节内容将为区块链预言机设计安全、去中心化的密码学方案，并讨论链下部分的可拓展性，作为后续对开放性展开讨论的基础.

3.1   密钥生成阶段

在密钥生成阶段，考虑参与方集合$\mathcal{P}=\{{P}_{1}, {P}_{2},… , {P}_{n}\}$，$\mathcal{P}$选择双线性群$(p,{\mathcal{G}}_{1},{\mathcal{G}}_{2},{\mathcal{G}}_{T},e)$，其中${\mathcal{G}}_{1}$与${\mathcal{G}}_{2}$是椭圆曲线群，$\mathcal{P}$在${\mathcal{G}}_{2}$上运行Pedersen-DKG. 为更好地描述签名阶段，本节还将指出：1）全局私钥表示方法；2）任意分布式私钥对应的分布式公钥可被任意参与方构造.

当$i=0$时，式（4）可写成：

全局私钥${sk}_{0}$的构造方法是隐式的，即不能被任何参与方基于接收与广播的信息构造.

根据式（5），每一参与方掌握全局公钥${pk}_{0}$，为椭圆曲线上一点. 将式（5）外推，记：

值得注意的是，当$i > 0$时，${sk}_{i}$对应的分布式公钥并非${pk}_{i}$，而是：

在密钥生成阶段完成后，每一参与方都掌握了自己的分布式私钥${sk}_{i}$、全局公钥${pk}_{0}$以及全体分布式公钥${g}^{{sk}_{i}}$. 密钥生成方案运行了参与方之间的全量通信，因此通信复杂度是$O\left({n}^{2}\right)$.

3.2   签名阶段

在签名阶段，任意$t$个参与方${\mathcal{P}}_{t}=\left\{{P}_{1},{P}_{2},… ,{P}_{t}\right\}$都能对相同消息构造聚合签名，并被全局公钥验证. 在此过程中，聚合签名的参与方可通过分布式选举产生；不失一般性，设${P}_{1}$构造聚合签名，其他参与方验证聚合签名.

设${\forall {P}_{i}\in \mathcal{P}}_{t}$，将消息${m}_{i}$散列到${\mathcal{G}}_{1}$，构造签名份额：

${P}_{i}$将$H\left({m}_{i}\right)$与${\varSigma }_{i}$发送到${P}_{1}$. 根据式（8），${P}_{1}$掌握了任意参与方的分布式公钥，因此可根据式（1）验证${\varSigma }_{i}$. 此过程即区块链预言机电子投票的投票过程.

在收到$t$个签名份额后，${P}_{1}$构造一系列点$\left(1,\displaystyle{\varSigma }_{1}\right)， \left(2,{\displaystyle{\varSigma } }_{2}\right)，…，\left(t,{\displaystyle{\varSigma } }_{t}\right)$，并构造拉格朗日插值多项式：

当${\mathcal{P}}_{t}$对相同消息签名，即${m}_{0}={m}_{1}= {m}_{2}=$…$=m_t$时，$L\left(0\right)={H\left({m}_{0}\right)}^{{sk}_{0}}$，等价于${sk}_{0}$对${m}_{0}$的签名，即聚合签名. 此过程即区块链预言机电子投票的计票过程.

3.3   参与方加入阶段

在3.1节与3.2节的基础上，本节构造全局公钥关于逻辑时钟的递推关系实现参与方受控加入DKG，在智能合约注册与管理全局公钥. 本节所做工作是实现区块链预言机链下部分可拓展的密码学基础.

设参与方运行了同步化逻辑时钟^[15]，即在时刻$T$，参与方集合为${\mathcal{P}}^{\left(T\right)}=\{{P}_{1},{P}_{2},… ,{P}_{n\left(T\right)}\}$，待加入的参与方集合为${\mathrm{\Delta }\mathcal{P}}^{\left(T\right)}=\{{P}_{n\left(T\right)+1},{P}_{n\left(T\right)+2},… ,{P}_{n\left(T\right)+\mathrm{\Delta }n\left(T\right)}\}$，其中${\mathrm{\Delta }\mathcal{P}}^{\left(T\right)}$的规模和时刻$T$门限值满足：

不失一般性，考虑在时刻$T$，${P}_{1}$在计算并发送的秘密分片${s}_{1, 1}^{\left(T\right)}$,${s}_{1, 2}^{\left(T\right)}$,…,${s}_{1,n\left(T\right)}^{\left(T\right)}$的同时，也预计算并持久化存储一些其他的多项式离散值：${f}_{1}^{\left(T\right)}(n\left(T\right)+1)$,${f}_{1}^{\left(T\right)}(n\left(T\right)+2)$,…,${f}_{1}^{\left(T\right)}(n\left(T\right)+\mathrm{\Delta }n(T\left)\right)$，在此之后，${P}_{1}$即可销毁包含秘密数的随机多项式${f}_{1}^{\left(T\right)}\left(x\right)$.

在时刻$T+1$，${P}_{1}$构造与秘密数无关的差值多项式：

其中，$\left\{\mathrm{\Delta }{a}_{1,i}^{\left(T\right)}\in {\mathcal{Z}}_{q}|i\in \{1, 2, … , t\left(T+1\right)-1\}\right\}$是随机选择的. 此时，${P}_{1}$向属于${\mathcal{P}}^{\left(T\right)}$的参与方发送$\mathrm{\Delta }{f}_{1}^{\left(T\right)}\left(x\right)$对应的取值；向待加入的参与方发送${f}_{1}^{\left(T\right)}\left(x\right)+\mathrm{\Delta }{f}_{1}^{\left(T\right)}\left(x\right)$对应的取值，即秘密分片关于逻辑时钟的递推关系为：

在时刻$T$，${f}_{1}^{\left(T\right)}\left(x\right)$系数对应的承诺已被广播，因此在时刻$T+1$，${P}_{1}$仅需将$\mathrm{\Delta }{f}_{1}^{\left(T\right)}\left(x\right)$的系数对应的承诺广播，即承诺关于逻辑时钟的递推关系为：

此方案等价于在保持${\mathcal{P}}^{\left(T\right)}$输入的秘密数不变的情况下，在时刻$T$与$T+1$分别随机构造了多项式，即多项式关于逻辑时钟的递推关系为：

因此，全局公钥关于逻辑时钟的递推关系为：

在实施参与方加入方案时，全局公钥被公开在智能合约上，支持在时刻$T$即时更新，并在时刻$T+1$被其他参与方挑战. 具体地，在新参与方${P}{ _{j}}$加入时，${P}{ _{j}}$选择秘密数${k}_{j}^{\left(T\right)}$并将${g}^{{k}_{j}^{\left(T\right)}}$提交到智能合约，更新全局公钥预期值${pk}_{0,\mathrm{e}\mathrm{x}\mathrm{p}\mathrm{e}\mathrm{c}\mathrm{t}\mathrm{e}\mathrm{d}}^{(T+1)}$：

在${\mathrm{\Delta }\mathcal{P}}^{\left(T\right)}$加入并运行DKG后，全局公钥实际值${pk}_{0,\mathrm{a}\mathrm{c}\mathrm{t}\mathrm{u}\mathrm{a}\mathrm{l}}^{(T+1)}$预期和${pk}_{0,\mathrm{e}\mathrm{x}\mathrm{p}\mathrm{e}\mathrm{c}\mathrm{t}\mathrm{e}\mathrm{d}}^{(T+1)}$相等，并支持被任意属于${\mathcal{P}}^{(T+1)}$的参与方挑战，即式（18）被预期成立：

智能合约存储的信息是公开、不可篡改的，因此挑战过程是公开的. 式（18）中${pk}_{0,\mathrm{actual}}$在时刻$T+1$更新，${pk}_{0,\mathrm{e}\mathrm{x}\mathrm{p}\mathrm{e}\mathrm{c}\mathrm{t}\mathrm{e}\mathrm{d}}$在时刻$T$即时更新，因此式（18）是否成立可区分待加入参与方是否已实际运行DKG加入，掌握分布式私钥与其他参与方的分布式公钥，区分此状态是对区块链预言机节点做生命周期管理的根据之一.

4.   节点身份方案与拓扑

本节设计区块链预言机的主要业务流程，包含基于去中心化身份的节点加入与退出流程、基于DHT的数据获取与验证流程. 在节点加入与退出流程中，新节点无需抵押虚拟货币即可受控加入与退出区块链预言机；在数据获取与验证流程中，数据流与节点身份标识相关，智能合约单次验证满足门限性质的聚合签名，保证了数据获取业务可信. 本节内容将在密码学方案的基础上，讨论节点身份方案的开放性以及数据可用性业务的去中心化程度.

4.1   区块链预言机节点加入与退出流程

为使新节点受控加入区块链预言机，区块链预言机所有者校验新节点的链下身份，并基于NFT对新节点的加入操作授信. 新节点之所以被要求受控加入，是因为在基于公有链的开放项目中，用户能匿名创建多个链上身份，因此敌手能藉此批量创建链上身份并试图控制电子投票过程. 此方案替代了海外相关研究中要求新节点抵押保证金以加入公有链项目的一般方法^{[10, 13]}，适合在国内全面禁止虚拟货币交易的环境中得到应用.

设待加入的新节点为${P}_{0}$，链上身份是addr₀，链下身份是user，即user掌握了以太坊地址addr₀的私钥. 区块链预言机所有者有权控制节点加入与移除，链上身份是addrOfOracleOwner，链下身份是ownerOfOracle.

首先，user在链下跟ownerOfOracle交互，要求加入区块链预言机并公开以太坊地址addr₀；ownerOfOracle如果批准，则将addr₀对应的以太坊公钥散列到DHT的标识符空间${\mathcal{Z}}_{h}$，即公开${P}_{0}$所对应标识符${h}_{0}\in {\mathcal{Z}}_{h}$，此标识符是全局唯一的. 此步骤的本质是ownerOfOracle声明映射关系：$f$: ${h}_{0}\to$ addr₀. 值得说明的是，此方案将公钥散列成地址的做法源于以太坊公钥与地址的关系.

此后，ownerOfOracle将铸造（mint^[20]）一个NFT，此NFT的ID是${h}_{0}$；所有者（owner^[20]）是addr₀，此过程被定义为NFT生命阶段1. 此NFT是公开的，有且仅有以太坊地址addr₀能操作此NFT，因此新节点能通过操作此NFT证明自己的链上身份，此NFT也可被视为新节点的去中心化身份凭证.

在此之后，${P}_{0}$将对区块链预言机节点组$\mathcal{P}$广播，声明自己掌握了addr₀的以太坊私钥. $\forall {P}_{i}\in \mathcal{P}$，${P}_{i}$将向${P}_{0}$的链上身份发起挑战，${P}_{0}$将通过将ID为${h}_{0}$的NFT转移到addrOfOracleOwner证明自己的身份. 此步骤本质上是由新节点声明并证明映射关系$g$: addr₀ $\to {P}_{0}$. 此后，NFT进入生命阶段2，所有者是addrOfOracleOwner. 新节点的身份也被映射关系确定：$g\circ f:$ ${h}_{0}\to$ addr₀ $\to {P}_{0}$.

当$\mathcal{P}$运行DKG，使新节点加入后，属于$\mathcal{P}$的节点将可以调用合约函数，公开地更新或挑战$\mathcal{P}$的全局公钥. 智能合约也能通过验证式（18）是否成立确认全局公钥被正确更新. 当$\mathcal{P}$的全局公钥被更新并接收后，addrOfOracleOwner将批准（approve^[20]）addr₀转移或销毁NFT，此步骤可被视为：${P}_{0}$在加入$\mathcal{P}$后，对应的身份凭证被解锁，可自由退出；也可因不诚实行为受到挑战，被ownerOfOracle移除. 值得特别说明的是，被批准者（approved^[20]）也是NFT的重要字段，在本文方案中，批准和被批准者这2个字段不仅控制了NFT的操作权限，而且能够表示NFT处于生命周期的哪一阶段^[4]. 此后，NFT进入生命阶段3，所有者仍然是addrOfOracleOwner，被批准者是addr₀.

最后，考虑节点自由退出或被ownerOfOracle移除，此过程可基于NFT销毁操作实现，销毁本质是将NFT转移给零地址. 以太坊的零地址是创世地址，被叫做“黑洞地址”，无人掌握它的私钥，因此将通证转移给零地址是销毁通证的通常做法. 在区块链预言机链下部分，$\mathcal{P}$可在运行下一轮密钥生成算法时，将此节点排除在外；在链上部分，已退出节点对应的NFT将被销毁，注销身份. NFT生命阶段4表示NFT被销毁的状态，此时所有者与被批准者字段都是零地址.

综上，在节点加入与退出流程中，NFT的所有者与被批准者字段表示了所处生命周期的阶段，对应了节点加入与退出的状态. NFT的字段是公开的，且存储在以太坊上，继承了去中心化、公开与不可篡改的特性，良好地解决了数据公开与信任问题.

表2是NFT生命周期与节点状态的对应关系.

表  2  NFT生命周期对应的节点状态

Table  2.  Node Status Corresponding to NFT Life Cycle

阶段	（所有者, 被批准者）	节点状态
阶段1	（addr0, 0）	被合约所有者确认身份
阶段2	（addrOfOracleOwner, 0）	被链下节点确认身份
阶段3	（addrOfOracleOwner, addr0）	已加入
阶段4	（0, 0）	已退出/被驱逐

下载: 导出CSV 

| 显示表格

图3是节点加入与退出区块链预言机的时序模型，右手边的泳道表示NFT的生命周期，跟节点状态对应. 序号1~12表示加入流程；序号a~e是退出的一般流程.

图  3  节点身份系统时序图

Figure  3.  Sequence diagram of node identity system

下载: 全尺寸图片 幻灯片

综上，节点身份方案基于NFT实现，将节点的以太坊地址跟NFT的ID通过区块链的交易构建了映射关系，并实现了节点跟NFT生命周期的映射，使节点状态公开、可跟踪. 区块链预言机是开放的，节点加入过程是基于3.3节提出的节点加入方案，有可拓展的特性；节点退出是自由的，仅需销毁NFT即可.

4.2   基于DHT的区块链预言机拓扑

考虑在大规模节点实施DKG，无论是构造聚合签名还是节点加入与退出时重新运行DKG，越来越大的节点规模都意味着越来越高的通信复杂度. 本质上，这跟区块链预言机链下部分拓扑有关，直接在全体节点运行DKG要求任何节点跟其他每一个节点通信才能构造分布式私钥、聚合签名等.

为解决这一问题，本节使连通矩阵更稀疏，将大规模区块链预言机链下部分分成若干个节点组，任何节点在密钥生成阶段与签名阶段，仅需跟一部分节点通信即可完成. 从链下部分拓扑看，节点仍然是连通的，数据获取请求仍可在节点组之间转发与认领.

图4是基于DHT的区块链预言机模型. 区块链预言机被分成链上与链下2部分，链上部分被部署为智能合约，负责跟用户交互、调度与管理链下分布式区块链预言机节点、验证数据获取结果；链下部分被部署为一系列执行实际数据获取业务的分布式节点，分组执行数据获取业务并对结果投票与聚合.

图  4  基于DHT的区块链预言机模型

Figure  4.  Blockchain oracle model based on distributed Hash table

下载: 全尺寸图片 幻灯片

在图4表示的区块链预言机链下部分，相同形状的节点属于同一组，按照$P$（组ID, 节点ID）编号. 除4.1节提出的节点加入与退出业务外，区块链预言机还承载了数据获取业务. 数据获取由用户和智能合约交互发起并被广播到链下，链下部分拓扑是DHT，节点标识符跟NFT的ID一致，在多节点合作完成请求后，最终由某节点调用智能合约响应数据获取结果，并由用户回调函数完成数据获取业务.

在开始数据获取业务前，区块链预言机链下部分全体节点商定抗碰撞的散列函数${H}_{{\rm{c}}}$: {0, 1}^*$\to {\mathcal{Z}}_{h}$、请求转发的跳数阈值hop_max与分布式投票的完成时限timeout. 数据获取步骤如下：

1）业务发起. 用户调用区块链预言机合约的函数，发起数据获取请求；智能合约记录用户地址addr，并赋予此请求一个自增ID，记为qid，记录映射：qid$\to$addr.

2）请求广播. 智能合约确认用户的数据获取请求可用后触发合约事件，广播字符串格式的查询参数表，包括qid、函数名funcName以及参数表funcArgs、最近回调函数结束查询的用户地址addrOfLatestCallback等. 广播addrOfLatestCallback是为了增强区块链预言机链下部分的认领过程对用户的透明性，为请求认领步骤引入随机性.

3）请求认领. 区块链预言机链下部分全体节点都保持监听区块链，因此它们都将收到数据获取请求广播，它们对上述请求的关键信息计算摘要${h}{\rm{'}}= {H}_{{\rm{c}}}\left(qid\right|\left|\mathrm{a}\mathrm{d}\mathrm{d}\mathrm{r}\mathrm{O}\mathrm{f}\mathrm{L}\mathrm{a}\mathrm{t}\mathrm{e}\mathrm{s}\mathrm{t}\mathrm{C}\mathrm{a}\mathrm{l}\mathrm{l}\mathrm{b}\mathrm{a}\mathrm{c}\mathrm{k}\right)$. 在结构化点对点体系结构中，节点的标识符${h}_{i,j}$是全局确定的，因此${h}_{i,j}\ge {h}'$且${h}_{i,j}$最小的节点将认领请求. 当发起数据获取请求的用户足够多、业务足够高频时，发起请求的用户将难以预测当自己的请求被广播到链下时，最近回调函数的用户是谁，即addrOfLatestCallback对发起请求的用户而言是难以预测的，因此将addrOfLatestCallback作为盐（salt）输入散列函数，可以尽可能使具体执行数据获取业务的节点对用户透明.

4）请求转发. 当且仅当当前认领请求的节点${P}_{i,j}$无法执行数据获取业务时，请求将向后转发，否则当前节点将执行下一步骤. 在向后转发时，${P}_{i,j}$将在请求体添加字段，记录自增的转发跳数hop，并用${P}_{i,j}$的以太坊私钥${ek}_{i,j}$对hop构造数字签名${\sigma }_{i,j}={S}{i}{g}{n}({ek}_{i,j},{h}{o}{p})$. 当hop$\ge$hop_max时，请求失败. 最后一跳节点调用合约函数，告诉区块链预言机链上部分反馈qid对应的数据获取请求已失败，并提交转发过程的以太坊公钥链[${eK}_{i,j}$]与签名链[${\sigma }_{i,j}$]. 智能合约将根据签名验证确认转发链未被恶意篡改.

5）分布式查询. 设数据获取请求在第hop跳被${P}_{i,j}$最终认领，${P}_{i,j}$将在所属节点组${\mathcal{P}}_{i}=\{{P}_{i, 1},{P}_{i, 2},… ,{P}_{i,n}\}$发起关于分布式查询结果的投票，即${\mathcal{P}}_{i}$运行3.2节提出的签名阶段算法，由一个机选举的节点收集包含查询结果、签名份额的选票.

6）链下聚合. 签名聚合者${P}_{i,j}$即时统计投票结果，在timeout内，当且仅当某一查询结果${m}_{i, 0}$获得了至少$t$票，且投票者为这一结果构造了可验证的签名份额，${P}_{i,j}$将构造并公开胜选的查询结果${m}_{i, 0}$与对应的聚合签名${\varSigma }_{i, 0}$；否则请求失败. ${\mathcal{P}}_{i}$的任意节点都能对胜选结果发起挑战.

7）链上验证. 对已获取投票结果的分布式查询，智能合约也将根据节点组${\mathcal{P}}_{i}$的全局公钥验证投票结果. 当查询结果${m}_{i, 0}$对应的聚合签名${\displaystyle \varSigma }_{i, 0}$被成功构造、未被成功挑战且被智能合约验证时，这一结果将被用户获取.

8）业务结束. 用户可以在此之后回调合约函数，根据qid以及对应的addr获取的数据获取结果${m}_{i, 0}$.

考虑区块链预言机链下部分作为分布式系统提供数据可用性服务的过程，步骤3）已说明链下部分关于用户是透明的. 此外，链下部分节点是平等的，请求认领与聚合步骤引入了随机性，任意节点都能基于公开信息挑战数据获取结果，因此满足去中心化.

图5是数据获取业务流程，一个数据获取请求发起、广播、认领、转发、查询、聚合、验证与结束的例子.

图  5  区块链预言机数据获取业务

Figure  5.  Data availability business of blockchain oracle

下载: 全尺寸图片 幻灯片

4.3   区块链预言机节点调度

在4.1节构建基于NFT的节点身份方案，以及4.2节基于DHT的、和节点标识符相关的稀疏节点拓扑的基础上，本节内容将提供一个调度方案，确定节点和节点组之间的所属关系.

调度是分布式系统增强可用性、容灾能力，实现负载均衡的重要方法，是自动化管理与运维大型分布式系统的重要步骤. 分布式系统调度解决的基本问题是为调度对象最优分配资源，调度对象承载分布式系统具体业务，资源由物理机或虚拟机提供. 在本文设计的区块链预言机中，调度是将节点调度到最优的节点组，使分布式区块链预言机尽可能高效地为DApp提供数据获取服务. 本节设计的节点调度方案将遵循“链上兜底，链下调度”的设计思想.

链上调度将调度算法放在智能合约运行，在合约所有者批准新节点加入后，智能合约具备运行调度算法为新节点选择节点组的基础能力. 链下调度将调度算法放在链下服务运行，智能合约通过触发合约事件、被链下服务调用合约函数和链下服务交互，发起与结束调度流程，智能合约仅关注调度算法的输入与输出.

表3比较了链上兜底与链下调度方案.链上是区块链完成节点调度的原生解决方案，可继承区块链公开、可信等特点，依赖于区块链，比链下调度更稳定，但受限于Solidity等开发敏捷度、智能合约部署、运行复杂算法的效率与开销等，也将因为存储跟调度相关的、区块链预言机链下部分的资源信息带来额外的存储开销. 链下调度将调度逻辑放在链下执行，智能合约仅需在函数触发事件、广播参数表以及被调度器调用合约函数，接收函数参数表作为调度结果即可，计算与存储开销和调度算法复杂度无关，但如果链下服务发生宕机，则无法调度. 因此，在综合考虑链上与链下调度方案后，本节将兜底逻辑，例如round-robin等常用、简单的调度算法部署在智能合约，在一般情况下依赖链下服务调度节点，执行更复杂的调度逻辑，增强节点调度方案稳定性.

表  3  链上与链下调度比较

Table  3.  Comparison of On-chain and Off-chain Scheduling

特征	链上调度	链下调度
智能合约开销和 调度算法复杂度关系	有关	无关
节点资源信息存储位置	区块链	链下数据存储
复杂调度算法 开发与维护难度	困难	容易
容灾能力	公有链较稳定	链下服务 单点故障

下载: 导出CSV 

| 显示表格

图6是“链上兜底，链下调度”方案. 在收到区块链预言机新节点加入请求后，智能合约将向链下调度器广播调度请求，请求包含节点的标识符以及与具体业务相关的信息；在链下调度器运行合适的调度算法，为新节点分配最优节点组后，调度器通过调用合约函数将调度结果发送给智能合约. 考虑智能合约实现了兜底逻辑，以及即使是非最优的调度结果也不导致区块链预言机无法提供服务.

图  6  “链上兜底，链下调度”方案

Figure  6.  Blockchain oracle node scheduling scheme

下载: 全尺寸图片 幻灯片

5.   实现与评估

本节将讨论密码学方案的安全性，实现密钥生成与签名并评估算法效率，将全局公钥更新、节点去中心化身份生命阶段变更以及调度方案实现在智能合约并评估链上运行开销.

5.1   实验环境

实验环境为：1）物理机MacBook Pro，芯片Apple M1，内存16 GB，操作系统macOS Ventura 13.2.1.2）阿里云云服务器ECS，双核虚拟CPU，内存4 GB，操作系统Debian GNU/Linux 10 （buster），仅用于在AMD64架构为低版本Solidity开发的智能合约生成应用二进制接口（application binary interface，ABI）文件. 3）区块链预言机链下部分编程语言Go，版本go1.19.6 darwin/arm64；区块链预言机链上部分编程语言Solidity，版本v0.6.12+commit.27d51765；智能合约编译、部署与测试框架Truffle，版本v5.7.4；以太坊硬分叉Petersburg；区块链构建框架Ganache，版本v7.7.3；Node.js版本v19.6.0；Web3.js版本v1.8.2；Vue.js版本v2.7.14.

本文所使用的BLS签名与 Feldman-VSS基于开源实现^[53]，所使用双线性群是BN256^[54]. 本文使用的ERC721通证标准基于一种开源实现^[55]并根据Solidity版本做了兼容性调试，在智能合约实现BN256的群运算基于NPM包elliptic-curve-solidity实现，版本0.2.4，并为Solidity版本做了兼容性调试. 此外，为避免网络时延波动的影响，本节的实验将参与方部署为独立的Go协程（goroutine），通信方式为通道（channel）数据类型以及并发安全的共享内存方法.

5.2   安全性分析

3.1节提出的密钥生成方案安全性来源于Pedersen-DKG，具体为^[46]：1）参与方所输入的秘密数仅被用来构造承诺，根据离散对数问题${c}_{i, 0}={Q}^{{k}_{i}}$ 难解假设，每轮密钥分发满足计算安全性；2）秘密数在秘密分片分发完成后被销毁，未被持久化或传输，全局私钥未在任何位置被构建、存储或传输过，根据拉格朗日插值法，任意小于$t$个恶意参与方都不能共谋构建全局私钥，因此私钥满足隐私性.

考虑3.2节提出的签名方案安全性，根据拉格朗日插值法，任意小于$t$个参与方都不能构造合法的聚合签名，因此满足抗共谋性. 考虑恶意参与方试图破坏合法的签名过程，具体为：1）当敌手拒绝提供签名体时，聚合者仍可在接收不小于$t$个合法签名体时尝试构造聚合签名；2）当敌手提供错误签名体时，聚合者可根据敌手的分布式公钥验证签名体的合法性；3）当敌手作为聚合者拒绝提交聚合签名体时，其他参与方可发起选举重新选择聚合者；4）当敌手作为聚合者提交错误聚合签名体时，任意参与方可根据全局公钥验证聚合签名体合法性并发起挑战. 签名方案满足去中心化，能防御至多$n-t$个恶意参与方.

3.3节提出的参与方加入方案满足计算安全性与抗共谋性^[46]. 考虑恶意敌手窃取被持久化存储的秘密分片的情况. 根据式（11），在任意时刻，任意参与方持久化存储的秘密分片数目都小于门限值，因此敌手无法根据窃取的信息构造秘密数. 此外，当参与方预计算并持久化的秘密分片都分发完毕时，全体参与方将重新输入随机秘密数运行DKG. 因此只要无法在某一逻辑时刻控制不小于门限值个参与方，恶意敌手始终无法依赖各节点持久化存储以及过时的信息构造秘密数或私钥.

考虑第4节的节点身份方案，节点${P}_{0}$的身份标识${h}_{0}$、对应的NFT以及公钥、以太坊地址等信息都是被存储在智能合约并公开在区块链的，有且仅有NFT的所有者或被批准的地址才能发起交易，变更节点身份凭证. 此方案的安全性基于区块链交易合法性依赖的签名验证，因此是计算安全的. 此外，驱动NFT生命周期变更的交易历史全被公开在区块链，满足不可篡改性.

考虑在节点身份方案引入区块链预言机所有者的安全性. 区块链预言机所有者作为维护者（maintainer）保障项目正常运行是相关案例^[16-18]的通常做法. 不限于区块链预言机，开放项目的维护者可由社区选举产生，选举通常基于历史贡献，通过邮件组等方式进行. 为增强去中心化，节点身份方案将节点与所有者的历史操作公开在交易中，接受监督与挑战，节点实施公开交易、监督、挑战等行为的权限是平等的. 此外，节点身份方案支持节点自由退出，因此所有者应保持诚实行为，否则项目将受到伤害.

关于区块链预言机所有者选举后出现变更的情况，根据表2，当NFT处于生命阶段2、3时，仅需在区块链预言机所有者之间发起NFT转移即可更新所有者字段，因此上述所有者变更是可行的.

5.3   投票方案测试与评估

本节实现了第3节提出的密码学方案. 关于区块链预言机链下部分，本节将测试节点生成分布式私钥、构造全局公钥与聚合签名的时延，验证密码学方案的可行性；关于链上部分，本节将测试新节点加入的手续费开销，说明参与方加入方案的可行性以及可拓展性. 最后，本节将基于这些讨论来讨论门限值选择对系统效率与安全性的影响.

图7（a）是单个参与方${P}_{i}$计算秘密分片列表[${s}_{i,j}$]与承诺列表[${c}_{i,j}$]的时间开销；图7（b）为${P}_{i}$验证全体秘密分片[${s}_{j,i}$]与构造全局公钥${pk}_{0}$的时间开销. 这2个过程都可以在各参与方并行执行，因此测试方案给出了单个参与方的时间开销，在实际场景中，多个参与方共同完成秘密分片计算、分发和验证的时间与实际通信时延和调度策略等有关.

图  7  单个参与方运行密钥生成方案的时间开销

Figure  7.  Time cost of a single participant running key generation scheme

下载: 全尺寸图片 幻灯片

图8是单个参与方${P}_{i}$根据$t$个合法签名份额构造聚合签名${\displaystyle \varSigma}_{0}$的时间开销. 单个参与方${P}_{i}$构造签名份额与验证其他参与方签名份额的时间开销在5 ms内，因此不予展示.

图  8  单个参与方构造签名的时间开销

Figure  8.  Time cost of a single participant constructing signature scheme

下载: 全尺寸图片 幻灯片

基于对密钥生成方案与签名方案的时间开销与通信复杂度的讨论，本文认为：在工程实践中，合理控制节点规模$n$对控制时间与通信成本起决定性作用，相比而言，门限值$t$对算法运行的时间与通信成本影响比$n$小，可更多地结合实际业务灵活决定.

图9是参与方加入过程中，智能合约预更新全局公钥的手续费开销，单位是gas^[3]. 手续费开销本身无经济意义，它体现了链上算法的复杂程度，即计算与存储成本. 其中，新节点数目为0表示初始化智能合约存储的全局公钥，开销是114704 gas.

图  9  参与方加入过程的智能合约手续费

Figure  9.  Transaction fee corresponding to the process of participant joining

下载: 全尺寸图片 幻灯片

基于对参与方加入方案手续费开销的讨论，本文认为：当系统发生拓展时，仅有新节点支付手续费预更新全局公钥，其他节点从智能合约读全局公钥无需支付手续费，这解释了图9中手续费开销为什么关于新节点数目近似线性. 相比总是在新节点加入时重新运行DKG^[10]，此方案的优势在于：1）更公平，每一节点都需要支付近似相等的手续费加入系统；2）实现更容易，基于全局公钥关于逻辑时钟递推关系，无需在智能合约处理多点提交全局公钥.

基于对密码学方案在区块链预言机链上、链下部分的实现评估，以及5.2节的安全性分析，门限值对系统效率与安全性都有影响. 考虑节点规模不变，当门限值变大时，系统特征有4个变化：1）系统可拓展性增强，参与方加入方案支持更多新节点加入；2）敌手控制节点窃取私钥、伪造签名更困难；3）密码学方案效率受影响，特别是构造聚合签名的时延变长；4）敌手控制节点恶意提交非法签名体，攻击电子投票过程更容易.

5.4   节点身份方案测试与评估

本文实现了第4节提出的节点身份方案以及节点调度方案. 本节将测试节点生命周期的手续费开销，并展示数据获取业务的日志，证明节点身份方案的可行性；基于对链上与链下调度方案手续费开销以及可用性的讨论，说明“链上兜底，链下调度”的必要性.

表4是在区块链预言机链上部分实现NFT生命阶段1~4，驱动NFT生命阶段变更的手续费开销. 因为存在激励清零操作的手续费退还机制^[3-4]，销毁NFT的手续费开销显著地比其他操作低. 实现基于NFT的智能合约，证明公开、受控的节点身份方案是可行的.

表  4  NFT生命周期变更手续费

Table  4.  Transaction Fee in NFT Life Cycle

NFT生命阶段	阶段1	阶段2	阶段3	阶段4
手续费/gas	68150	50806	47078	21583

下载: 导出CSV 

| 显示表格

图10是区块链预言机链下部分执行一次数据获取请求截屏，电子投票发生在门限性质（4, 6）的节点组${\mathcal{P}}_{2}$，DHT标识符空间为${\mathbb{Z}}_{{2}^{128}}$. “verifier selected”表示请求已被认领，聚合签名构造者同时被选择；“aggregated signature”表示电子投票过程完成，聚合签名被成功构造，因此数据获取业务能被正确执行.

图  10  数据获取请求对应的日志截屏

Figure  10.  Log screenshot corresponding to data availability request

下载: 全尺寸图片 幻灯片

为测试链上与链下调度方案. 实验执行了13步操作：操作1分别创建了基于round-robin算法的链上兜底方法与链下调度方案的智能合约并初始化；操作2与13分别创建与销毁了一个节点组；操作3~7向此节点组新增了5个节点；操作8~12依次将这些节点删除.

图11是调度方案测试结果，纵轴是调用者的手续费开销之和. 图11证明了链下调度是比链上调度更经济的调度方案，这是因为链下调度仅执行调度任务广播与调度结果提交，手续费开销与调度逻辑复杂度无关.

图  11  链上、链下调度方案手续费

Figure  11.  Transaction fee of on-chain and off-chain scheduling

下载: 全尺寸图片 幻灯片

此外，考虑链上调度的优势在于容灾能力强，稳定性依赖于区块链正常运行，但处理复杂的调度逻辑将带来高昂成本，因此作为兜底是合适的.

综上，本节验证了第4节所提方案的可行性，具体为：1）基于NFT原生地实现节点身份管理是可行的；2）数据获取请求能在链下部分如预期完成；3）链上与链下调度混合的方案是可行的，且链下调度有经济性优势.

5.5   同类工作对比与评估

从近5年的相关研究看，区块链预言机所解决的问题主要是：1）跨链场景下交易合法性验证；2）资产交易场景下数据即时获取. 从趋势上看，区块链预言机相关研究与实践越来越致力于构建开放、去中心化的系统，开放性是新节点可以在满足某些条件的前提下加入区块链预言机；去中心化则描述了节点在功能、权限等方面彼此等同的程度. 事实上，开放性与去中心化特征对应了区块链预言机在应用时面临的主要挑战.

早期的区块链预言机项目^[56]通常提供单一的数据可用性服务，开放性较差，有且仅有被认证的节点能加入系统. 随着区块链承载越来越多样的服务，数据获取需求也越来越多样，目前活跃的区块链预言机项目^[16-18]通常以公开项目文档与开放API的方法支持项目外部用户自由注册与加入，但通常也要求用户抵押一些虚拟货币证明身份并保证做诚实的行为；相关研究^{[10, 19, 57]}也通常基于保证金对节点授权，并以奖励诚实行为的形式返还保证金. 从开放性的角度看，目前区块链预言机相关研究与应用支持节点自由加入与退出，且保持诚实的节点总能获得虚拟货币收益作为奖励. 此方案的优势在于契合区块链相关资本市场“信任源于抵押”的“游戏规则”，但在客观上仍然存在经济门槛，还依赖于智能合约自动执行抵押、激励等流程，缺乏对节点身份与行为的跟踪与相互监督，因此将此方案应用在国内将受到合法与合规性挑战.

区块链预言机本身难以实现完全去中心化^[8]，在实践中，一种对区块链预言机去中心化程度的描述为：区块链预言机节点读写等操作权限的等同程度. 区块链预言机去中心化程度越高，通常意味着开放性越好，敌手作恶的成本越高，安全性获得增强；但挑战在于模型更复杂，例如考虑匿名多点提交的公平性^[57]与经济性^[10]. 因此，也需要应用博弈论方法讨论激励方案^[19].

在与同类工作对比后，本文方案更适合被应用于大规模区块链预言机，且通过引入基于NFT的节点身份方案使节点无需抵押虚拟货币即可加入，且可跟踪、可监督. NFT能被用来表示节点身份，且节点身份控制方案继承了NFT去中心化、适合表示海量同类事物的特性，适合被应用于大规模区块链预言机，将节点身份去中心化、通证化.

当区块链预言机节点规模变大时，节点运行密钥生成、签名方案的时间开销将显著变高；且在此情况下，当节点加入与退出时，节点将与更多其他节点通信，节点因为资源有限，所以数据获取业务可用性将下降，因此基于DHT设计区块链预言机链下部分是增强系统可用性的有效手段.

无论是在数据获取业务中，智能合约仅需单次验证聚合签名，还是在节点调度业务中，智能合约可以无需实现复杂的调度逻辑，与链下调度器交互完成节点调度，智能合约的运行开销都与区块链预言机节点规模无关，因此此节的方案不仅更适合被应用于大规模区块链预言机，而且增强了链上部分关于链下部分的透明性，降低了业务耦合度以及开发和维护成本. 此外，用户仅跟智能合约直接交互，因此发生在链下的、实际数据获取业务关于用户是透明的，此设计更贴近分布式系统范型.

6.   总　　结

本文设计与实现了一种基于BLS签名、满足门限性质的区块链预言机，节省了智能合约在数据获取业务的开销；从分布式系统范型出发，设计了区块链预言机链下部分的网络拓扑，增强了可用性与伸缩性，探索了将分布式调度应用于区块链预言机的方案.

本文的创新性工作在于将NFT应用为节点DID，并基于节点身份标识构造了DHT，设计了区块链预言机链下部分，从分布式系统原理与范性的角度讨论了区块链预言机的设计与实现. 此外，节点身份在整个生命周期公开，不再要求新节点通过抵押数字资产授信，增强了方案通用性与新颖性.

本文针对强投票协议的工作可被推广到可信查询多种链下数据库，例如存储监控指标、日志、市场数据等的时间序列数据库通常是关于时间线性编排的数据存储，且几乎不更新历史数据，因此针对这些数据发起的查询是确定性的. 本文认为，基于强投票协议的区块链预言机很适合被应用于查询时间序列数据库，并支持多种算子以及算子组合.

此外，本文工作局限于强投票协议区块链预言机，未来工作可讨论弱投票协议的聚合逻辑如何实现在智能合约，并讨论如何实现低成本、高可用.

作者贡献声明：张展鹏提出了设计思路并完成源代码实现，撰写论文；李可欣调研了相关工作并共同撰写了论文；阚海斌提出指导意见.