其实在互联网刚萌芽的时候，网络就是p2p状态的，每一台机器都有一个固定的地址，互相之间可以访问。

但是随着互联网发展，一方面ipv4设计上的不周全导致地址不够用，普通人的电脑慢慢的就不能简单地直接被人访问了。 另一方面互联网业务本身也走向了客户端-服务器模式，并且客户端越来越轻，客户端软件逐渐被web技术取代，相对应的服务器越来越重要。

但在这个发展过程中，还是出现过一个惊艳的技术潮流，就是以BT下载为代表的P2P文件分享。 普通互联网用户不通过服务器，也可以直接建立网络结构，完成文件分享和下载的任务。 但是由于版权等问题，这个技术没有成为主流。

区块链技术从某种意义上，可以看做是P2P技术的一次重生。这一次，它实现了数字货币的功能，顺便解决了做种的人(现在叫矿工了)的激励问题。 同时，因为有了经济上的激励，它同时还要从根本上解决作弊的问题。

我们介绍一下区块链技术最底层的部分：P2P网络协议。

P2P网络协议有很多种，传统BT下载类应用常用分布式哈希表(DHT)算法，具体的就是Kademlia算法。

区块链应用中，比特币使用的是gossip protocol, 以太坊和Cardano(ADA)使用的是Kademlia DHT。

gossip protocol是一种非结构化的p2p网络，基本上是随机连上一些节点就可以了，网络拓扑会呈现更随机的形状， 比特币的参数是每个节点最多主动连8个节点，最多接受117个外来连接。

Kademlia DHT是一种结构化的p2p网络，这也是根据文件分享应用的需求来的。 完美的网络结构当然是最好按照物理距离来，每个节点连接和它物理距离最近的节点。 但是使用物理距离比较困难，Kademlia算法使用节点id之间的异或操作来当作节点之间的距离。 因为异或操作拥有的一些性质使得它适合来做这件事情：

• 交换律，路由表对称。
• 三角关系：d(x, y) + d(y, z) >= d(x, z)

Kademlia网络中查找节点内容的通讯复杂度是对数级别，路由表缓存效率更高，网络扩展性更好。 但是目前阶段的区块链应用基本上只需要广播，而不需要查找特定节点，其实用不上Kademlia的一些特性； 反而不小心的话，Kademlia网络的结构化特征给Eclipse Attack带来了便利，所以比特币的选择也有他的道理。

随机数对于区块链技术来说很关键。 本质上，分布式账本的核心问题就是随机选择出块人的问题，这个随机性要能被全网确认，并且不能被操控，也不能被预测， 否则恶意节点通过操控这个随机数就可以操控长链，从而实现双花攻击。

PoW的方案是让大家进行算力竞赛，设置一个计算哈希的难题，谁先算出来谁赢，算力高的赢的概率高，算力低的赢的概率低。投入的算力能够提现在哈希值上， 这样全网能够验证，并选择包含最多算力的那条链。恶意节点只能通过提升自己的算力来增加攻击成功的概率。

PoS的方案是选举，大家不用浪费电力去进行算力竞赛，而是文明一点，随机选举一个节点来出块，并且被选中的概率和它拥有的份额相关。 如果“随机”这一步没有问题的话，恶意节点只能通过增加自己的份额，增加自己被选中的概率，从而增加双花攻击的成功概率。 这里有一点比PoW的方案要好就是，要实现攻击，先得成为持币大户，如果攻击成功币价大跌，攻击者也会承受最大的损失。 而PoW方案中虽然算力要花钱，但是如果攻击者没有持币，那么他的利益和币价不一定是正相关的，不能排除仍然存在攻击的动力。

那么接下来的核心问题就是，这个不能被操控不能被预测的随机数从哪来。

传统地PoS方案尝试从链上现有的数据入手，比如使用上一个区块的哈希值，上一个区块的时间戳等等来作为随机数的来源，但这些会带来额外的安全风险。 因为区块本身的信息就是节点写进去的，然后又要根据里面的信息来选举后续的出块者，存在循环论证的嫌疑，安全性不会太好。 这也是传统地认为PoS方案不如PoW可靠的部分原因。

Cardano项目采用的Ouroboros协议是被密码学界证明安全的一个PoS协议，也是唯一一个被工业界采用的可证明安全性的PoS协议。 它采用密码学的手段来生成这个随机数。为了弄清楚这个过程，我们先从更基础的密码学工具开始：

1. 承诺(Commitment)和打开(Open)

   假设张三李四要玩剪刀石头布，用传统方式作弊者如果稍微出的晚一点，可以等看到对方的手势后再做选择。 为了防止这种情况，他们：

   • 先各自做出选择，然后把自己的选择做个哈希；
   • 交换这个哈希；
   • 等双方都收到对方的哈希后，再交换双方的选择；
   • 验证对方的选择和之前的哈希一致。

   这样双方都知道了对方的选择，也能确认对方的选择是提前就做好的。 这个哈希值就叫做承诺，因为它里面包含了保密信息，但又没有泄漏保密信息，而最终发送对应的保密信息，就叫做打开承诺。

   

   承诺和打开是一种模式，哈希只是实现手段之一。

2. 简单随机数协议（Coin-Tossing）

   现在我们可以设计一个多方生成随机数的协议：

   • 每个节点在本地产生一个随机数，并把它的承诺广播给其他人
   • 当它收到所有人广播的承诺后，再把打开也广播给其他人。
   • 最后大家把得到的随机数异或到一起，因为异或操作满足交换律和结合律，所以操作顺序不影响结果。

   最终大家都得到了一个一致的无法被操纵的随机数。 但这个简单协议的问题在于，恶意节点可以选择终止协议，也就是不发送自己的打开，会使得其他人无法进行下去。要解决这个问题，我们还需要另一个工具。

3. 可验证秘密共享（Verifiable Secret Sharing）

   秘密共享是说，一个人可以把一个需要保密的信息，拆分成n份，分别发送给n个人，只要恶意节点不超过一定数量，最终大家可以综合各自的信息片段把原始信息还原出来。 并且就算分发者如果作弊，大家也可以检查出来。具体的实现方式也有多种，这里就不深入了。

   有了这个工具，就算恶意节点不发送打开，我们也能根据拆分信息还原出他的随机数，如果他想在拆分信息上作弊，大家也能检查出来并把他踢掉。

结合这几个技术，我们就可以有一个完整的随机数生成协议了。最后，因为我们本来就是个区块链，所以协议过程中需要广播的信息，我们可以直接写到链上去， 这样可以简化实现，并且也不需要所有投票节点同时在线，并且如果有人作弊，作弊的记录将会永远保存在链上。

最后综合一下整个协议流程：

1. 在提交阶段，每个节点本地生成随机数和对应的承诺，同时把随机数拆成n份匹配其他的投票节点， 并且用相应投票节点的公钥对每一份信息进行加密，保证它只能被对应的节点解密， 然后把承诺和加密后的拆分信息一起广播给区块链。

2. 当大家收到大部分节点的承诺和拆分信息后，就进入打开阶段，每个节点把自己的打开发到链上。

3. 然后是恢复阶段，每个节点检查是否有节点发送了承诺但没有发送打开， 如果有，则解密自己对应的那份拆分信息并发布，然后根据大家发布的拆分信息恢复出该节点的随机数。

4. 现在大家就有了所有节点的随机数，把它们异或到一起，最终得到了一个一致的随机数，并用它来选择下一轮的出块人。

   

最后，这个随机数不光可以用来选择出块人，也可以给智能合约用，这是PoS另一个好处； 而PoW体系虽然出块人是随机的，但并没有产生一个具体的随机数，所以智能合约要用随机数，还是得从区块链本身的数据里面去获取了。

以后会继续介绍Ouroboros协议其他方面的细节。

区块链是对软件正确性要求极高的领域。过去软件bug和安全漏洞带来的损失，一般就是停机维护一下，被拖个库就算是很重大的后果了。而区块链软件的漏洞被利用，那将是灾难性的，因为上面跑的都是真金白银。随着区块链技术对传统经济领域渗透的加深，这种风险将会大大提升。

传统软件工程只重视产品的快速迭代快速上线，从来没有把软件的正确性摆在一个优先级很高的位置，究其根本还是传统领域软件出bug带来的成本不高。

行业里其实已经有一些关键领域是对软件的正确性要求极高的，比如航天系统，金融领域一些核心系统等。1962年软件bug造成火箭偏航，损失1850万美元；1978年CAD软件bug造成体育竞技场倒塌，损失上亿美元；1985年放射机软件bug导致病人受到大量辐射，1987年金融交易软件bug导致美国股灾，等等。

这些问题促使人们去思考如何保证软件正确性，而这些年来业界针对这种对软件正确性要求高的领域，也确实发展了一套技术手段来支持，形式验证、类型系统、纯函数式编程等。这些方法对程序员要求更高，开发时间更长，所以在大部分编程领域，这种方法显得不那么经济。大部分程序员其实并不了解这个领域的技术。而现在传统程序员开始进入区块链软件的开发，如果不能在思维、流程、工具各方面作出相应调整的话，是很危险的事情。

真正的形式验证成本巨大，只好用来解决一些最核心的问题。而另一种同时兼顾实用性的方案是函数式编程（函数式编程这个词语这些年有些定义模糊，这里特指静态类型纯函数式语言，基本上就是ML一族的语言），而Haskell是其中的佼佼者，也是Cardano项目使用的开发语言。

Haskell是一门 纯函数式 静态类型 惰性求值的语言，这里关键字有几个：

• 纯函数式是说，函数除了将输入转换为输出以外，不能有其他副作用（比如执行IO操作、修改全局变量、或者发射个导弹啥的），并且对于相同的输入永远返回相同的输出。这意味着没有变量的概念，数据结构也都是immutable的。显然这样的函数会有很多良好的性质：好测试, 线程安全, 代码可重用, 可读性强等等。另外这样的代码还有一个性质是可证明，因为你可以机械地把函数的调用替代成函数的实现，而不改变其语意，所以你可以形式地证明比如说两个函数等价。还有一些其他的好处，比如一些代码重构工具能够自动调整代码，编译器也可以更激进地对代码进行优化，因为他们能够确保对程序的语意没有影响。

  如果在*纯*的基础上，再加上total的约束，那就更好了，total是说函数对参数的所有取值都有定义，相对应的partial的函数可能对某些输入没有定义。 不过有点遗憾的是，函数是否total无法静态地检测出来，因为从程序语意的角度，未定义和死循环是一样的，所以检测total性和停机问题是一样的。 （但是如果我们愿意牺牲图灵完备性的话，是可以支持total检查的，这样的语言里可以没有死循环和partial函数， 智能合约语言就非常需要这样的设计，而Cardano的智能合约语言 Plutus 正是这么设计的）

• 静态类型系统，按照“柯里-霍华德同构”定理，类型对应于命题，而程序对应于证明。当我们把问题的模型编码成类型后，编译器通过类型检查可以保证程序的正确性。在实践中，类型是可以逐步细化的，越细化，能够通过编译的实现就越少，甚至可能细化到只剩下一个有意义的实现，这种情况下甚至可以通过工具自动生成实现代码。类型系统还带来其他一些便利的工具，比如hoogle，可以根据类型签名搜索现有库提供的函数实现。

关于Haskell语言其实可以说的还有很多，未来会继续写一些具体的编程模式，尤其是与区块链相关的，以及它在Cardano项目中的具体实践，敬请期待。

伦敦经济学院与非洲有着悠久的历史。1895年，布尔战争爆发前四年，学校刚成立，就开始了关于一个时代的辩论。一些新独立的非洲国家的第一批领导人曾在这里学习，学校里渐进主义和反帝国主义的立场被看到，并且参与了反种族隔离运动。

有了这样的历史，Charles Hoskinson选在这所大学来介绍Cardano接下来的计划再适合不过，那就是让这项技术服务于发展中国家，从非洲开始。 该讲座由Cardano基金会和伦敦经济学院区块链协会组织，在学校的Saw Swee Hock中心举行，听众数量是预计的两倍。

在星期二晚上开门之前，已经有数百人排起了长队，大部分是二三十岁的年轻人。

面对拥挤的人群，Charles阐述了Cardano今年将在非洲展开的愿景。

“你必须去到你想要帮助的国家和当地的人交谈。要改变世界的唯一方法就是你必须去到那里。实际操作的人不会是你，必须由当地人自己来做。“

IOHK使用一套在过去一年中已经在雅典和巴巴多斯试验过的课程，给这个地区的人传授技能。我们向年轻的程序员培训Haskell编程语言，这也是Cardano项目开发所使用的语言。培训结束后，他们可以选择加入Cardano项目，或者把他们的技术用于发展当地的经济。作为该计划的一个样板，我们和西印度群岛大学联合举办了Haskell课程，这是这个国家第一次教授Haskell语言。 甚至连Haskell创始人之一Philip Wadler教授也加入进来了，他同时也在帮助开发Cardano项目。

“下一阶段可能会在埃塞俄比亚进行，我们已经在进行商谈，”查尔斯说。“你必须在这个国家内部建立这么一群人，他们有动力去改善自己的国家并且真正理解如何运用科技。”

同样重要的是与当地政府合作，探索合作的机会。探索Cardano项目的潜在落地应用，例如与土地登记，身份或投票相关的应用。

Charles Hoskinson与Michael Parsons

Cardano基金会主席

在非洲落地区块链应用的关键在于试验项目的成功运行，这能展示区块链技术作为一种更便宜更高效解决方案的优越性。“试验项目可以展示为什么区块链方案更快更好。 可以展示这项技术是可行的，并且人们可以从中赚很多钱，然后大家会说'我也要来一套'， 竞争会推动更多人加入这波浪潮，其中甚至还会出现我们的区块链竞争对手，“Charles说。

他认为非洲会是一个很重要的区块链案例。区块链技术的巨大潜力可以帮助他们token化自然资源、劳动力和财产，从而解锁这些国家的财富。“token不光可以用来玩以太猫，也可以用来干些实实在在的事情，我们要来尝试一下。”

“如果你去计算一下这些国家被锁住的资产，有数万亿美元的规模。讽刺的是，这些地方其实有着巨大的潜在价值，只要能被开发出来，并且公平地分配给当地的人，贫困将会消失，这些地方会成为一些最富有的国家。”

Charles说，这不会很容易，但是区块链的应用是不可避免的。当地政客有可能需要经济上激励才会支持这项技术，可能要通过预挖矿的方式。还有其他需要跨越的障碍，例如非洲零散的网络覆盖，这会妨碍区块链系统的连接。为了解决这个问题，IOHK正在探索卫星覆盖的方案，估计成本在5千万至1亿美元之间。可信硬件也能提供第二种解决方案，可以通过蓝牙进行离线交易，并在恢复网络时注册到区块链中。

另一个障碍是要提供兑换当地货币的兑换点。为此，IOHK正在研究如何以可承受的成本安装ATM终端网络，并且能够离网(off grid)工作。最后，加密货币的长期目标是开发一种价值稳定的货币，它与美元等法币挂钩，为商业提供稳定性，并且抵御数字货币的价格波动。 Charles宣布，IOHK正在启动一项研究工作来探索价值稳定的货币。尽管“没有银弹”，但他承诺将在这个问题上进行一系列的实验。

“这就是Cardano为发展中国家所做的，”Charles说。“我们有义务去尝试和探索这种技术，并把它提供给尽量多的人。”

Charles Hoskinson在伦敦经济学院演讲

演讲过后进行了问答环节，问题很宽泛，从中国区块链的未来，到Cardano的交易费，以及建立受监管的加密货币业务。

观众有着不同的背景，从观看了大量项目视频的严肃的Cardano粉丝到好奇的加密货币爱好者。

蒂莫27岁，是伦敦摄政商学院萨尔茨堡的一名学生。一年多以来他都对加密货币很感兴趣，他说他看过Charles的Ted演讲，看过他的采访，然后买了Ada。“这个项目比其他项目更加实在，这一点从团队还有web展示以及Charles的许多访谈中可以看出。”

“自从互联网以来，区块链是最具革命性的技术，”他的朋友托马斯23岁，来自安特卫普，在去年一次和父亲三小时的聊天中第一次了解到加密货币。“这激发了我的兴趣，然后我遇到了Charles的视频，并发现他是一个很聪明的人。 我喜欢Cardano解决区块链当前问题所用的方法 - 它是学术性的，把大学里的人拉了进来，里面还有有一些客观的成果的。”

其他人想在那里了解更多关于加密货币的信息。Ana，24岁，是伦敦经济学院法学专业的一名研究生。她对编写智能合约方面的论文感兴趣，因为她认为区块链是法律中新兴的领域。“我想更多地了解区块链，”她说。“其中的法律方面非常有趣，有很多问题需要解决。例如，如果您没有法院或法官参与，自行执行的合同是否合法？”

未来会有更多有关IOHK和非洲战略的信息，并将由非洲业务总监John O'Connor提供。

扑克是世界上最流行的游戏之一，在赌场和互联网上都很受欢迎。尤其2000年后在线扑克迎来一阵风潮，产生了一个上百亿美元的市场。 然而目前的在线游戏形式要求用户无条件地信任在线赌场提供商，赌场可以随意进行暗箱操作，就算赌场不想，也难保他的员工不会想要赚点快钱。这些在现实世界中都有先例。

使用密码学安全的扑克协议可以让你安全地进行线上扑克，不需要信任任何第三方。事实上这方面的研究在现代密码学早期的时候就已经开始。 就在著名的RSA公钥加密模式提出几年后，Shamir, Rivest和Adleman就提出了第一代这种协议，并引发后续许多的相关研究。 然而由于下列原因，这方面的应用一直没有落地：

1. 安全：现有协议的安全性保证并不明确，很难搞清楚他们具体的安全等级和可靠性。
2. 效率：大部分现有协议都使用开销大的密码学技术，导致过高的计算和通讯开销，进而导致游戏延迟大，玩起来太卡。
3. 经济：尽管经典密码学技术能够保证游戏的公平性（也就是没有玩家可以作弊或者查看其他玩家的隐私数据）， 但是目前的扑克协议还是无法保证赢家一定得到经济奖励。

我们最近给金融密码学2018会议上提交了一篇论文，其中构建了叫Kaleidoscope的协议， 这是第一个能解决上面三个问题的密码学扑克协议。Kaleidoscope是第一个在扑克游戏通常需要的安全模型下被证明安全的协议，另外通过使用区块链技术，可以保证赢家得到奖励，并且作弊者收到经济上的惩罚。同时它还比以前那些不能证明安全性的方案更加高效。

设计Kaleidoscope的第一步，就是要形式化地定义扑克协议需要做到的安全保证。 因为这种形式定义目前还不存在，所以我们提供了“仿真”模型下首个针对扑克协议的安全性定义。 我们的安全性定义考虑到了扑克游戏的所有阶段。并且只要有一方是诚实的，这个安全模型就不会被打破。 在扑克游戏中，所有玩家联合起来针对一个玩家作弊的情况并不少见。

有了这个的形式化模型后，我们又进一步开发了一套能够实现这些安全保证的协议。 这套协议建立在最新的洗牌零知识证明上，并且做到了计算和通讯两方面最佳的效率。 事实上，我们随后的工作表明，Kaleidoscope在提供极高安全性保证的同时， 计算量比以前的协议少了三倍，通讯量少了八倍。

Kaleidoscope另一个重要特性是能够保证赢家收到奖励，同时作弊者得到惩罚并被踢出游戏。 大概流程是这样的：游戏开始前，玩家先要把用于下注的资金和一定量的押金打到一个智能合约里。 游戏结束后，智能合约会根据游戏结局分发下注资金并返还押金， 如果有玩家被发现作弊，他的押金会被分给正常游戏的人。 我们的协议把对智能合约通讯量和链上存储的需求降到了最低。

虽然Kaleidoscope协议成功地解决了以上扑克协议面临的三个问题，但它只能用来玩扑克游戏。 有些人错误地认为扑克协议一定可以用来玩各种牌类游戏，但其实这会导致一些严重的安全问题。 但是具体到我们这个协议，还是能够把它的安全性模型、协议和证明扩展到通用的牌类游戏。 在这个过程中，我们创建了Royale, 一种能够安全地玩各种牌类游戏的协议，并且和Kaleidoscope一样高效。 我们会在后续的视频和博客中继续描述Royale的特性。