原文链接：http://t.cn/RTgIUCD

一、协议背景

未来可能有很多不同的联盟链，采用不同的技术，支持不同的资产。目前资产在区块链内部的可靠流转已经不是问题，需要考虑的是，如何用一种简单的方法进一步促进各条链上资产的互相交换、发掘更多的商业机会？比如Alice在一个区块链A上拥有股权，Bob在区块链B上拥有债权，如何让Alice用区块链A上的股权换取Bob在区块链B上的债权？怎么用尽可能简单的方法，既不采用侧链锚定机制在链和链之间增加复杂的通信机制，却又保证这种交换是原子的、可信的，不会出现股权发生了转移但债权没有发生转移的情况？今天介绍一种可以简单实现跨链原子互换的方式。
这种方式本身并不新，比特币社区早就提出了这个方案，以太坊大神VitlikButerin在最近一篇文章里也提到过这种方式。笔者觉得此机制可以推广到中心化账本，因此在此推介一下。

二、协议阐述

本协议非常适合OTC市场的资产协商交易，如上所述，可以跨越两个完全无关的区块链实现各自数字资产的物物交换。但其用途其实并不止此——如果我们将传统支付机构的系统看作一个中心化账本，而支付机构又愿意根据本协议对其系统进行少许改造，则本协议还能支持链上数字资产协商交易的法币支付。推广本协议带来的好处是，此协议得到广泛部署后，如果一个新的联盟链被创建，则其他联盟链和传统支付机构无需对自身系统进行进一步的改造，彼此之间就能够自如地进行资产的原子互换。这种原子互换当然包括法币和数字资产的原子互换，也就是得以用法币买卖链上资产，因此意义重大。为方便起见，下文我们将联盟链和中心化账本都统称“账本”，并因此将这种协议称为“跨账本资产原子互换协议”，以有别于最初的“跨链资产原子互换协议”。
下图示意了两个不同的账本。其中一个账本是去中心化的股权区块链，另一个账本是中心化的法币账本。Alice和Bob是资产交易的双方，Alice和Bob在两个账本上都各自有自己的账户。现在Bob和Alice通过电话等途径谈妥了一笔交易，也知道了对手在两个账本上的账户。根据达成的交易意向，Bob准备把他在股权区块链上的100股股权转让到Alice名下，作为交换，Alice将通过某付宝向Bob支付1000元人民币。

交易示意图.JPG

为了完成股权和现金的交换，各方依次执行如下步骤：
1. 为了原子性地完成这笔买卖，Bob首先随机产生一个口令S，计算得出K:= Hash(S)，S现在只有Bob自己知道。
2. Bob在股权区块链上发布一笔转账交易，有条件地转让100股给Alice——和普通的转账交易不同，这笔交易附带一个哈希锁定条件：Alice只有在3000秒内向区块链出示一个满足Hash(S’)==K的口令S’才能将100股纳入自己账上（采用UTXO模型还是账户模型没有实质差别），若Alice超时未能领取股权，则Bob可以通过在区块链上发起一笔退货交易把100股拿回自己账上。哈希锁定条件中的K和超时时间都是公开的，Alice当然也看得到。
3. Alice现在在股权区块链上看到Bob发起了这样一笔交易，但她不知道解锁口令是什么，为此她必须向Bob通过某付宝付款以买到这个口令。于是Alice在某付宝上给Bob发送一个附带同样哈希锁定的口令红包，有效期1500秒，超时若Bob未领取则红包会自动返还。这个哈希锁定的口令红包虽然目前某付宝并没开发，但原则上很容易实现，其逻辑是：当Bob点击口令红包后会弹出一个对话框，要求Bob输入一个满足Hash(S’’)==K的口令S’’，如果输对了，红包中的钱会转入Bob在某付宝的账户，同时某付宝会给Alice发送一个回执，告知Alice红包已被领取，且在回执上同时显示Bob输入的口令。如果Bob输错了红包口令，则Bob无法打开红包。
4. Bob现在看到了口令红包，他及时点击红包，且输入了Bob自己知道的口令S。因为K==Hash(S)，所以Bob成功拿到了1000元人民币。根据程序逻辑，某付宝给Alice发送一个回执，告知Alice红包已被领取，且Bob输入的口令是S——于是Alice知道了S。
5. 因为Alice现在知道了口令S，她现在就可以在股权区块链上利用S来提取那100股悬而未决的股权。Alice及时进行了操作，就在股权区块链上拿到了100股股份。
6. 至此，Alice拿到了100股股份，而Bob拿到了1000元人民币。在此过程中，股权区块链和某付宝的系统完全不需要互相通信，但仍然确保了股份和人民币的原子互换。
以上是正常流程，在异常流程下互换的原子性仍然是成立的。比如在上面的第3步中Alice迟迟不通过某付宝发出红包，Bob既然看不到红包也就不会泄露S给Alice，Alice拿不到S也就无法在股权链上提取股权，交易的原子性得到保证。
Alice拖到第2999秒才通过某付宝发出红包是自找苦吃，此时Bob可以迅速点击红包，但马上股权区块链上的股权转账交易就超时到期，Alice即使看到了S再去股权区块链上取货也已经悔之晚矣，而这一切都是Alice自己造成的，理性的Alice不会选择这样做，而是会在某付宝红包超时时点到股权支付超时时点之间留下足够长的时间供自己操作。
上述哈希锁定机制在以太坊、Fabric等区块链上都很容易实现，至于某付宝，要实现上述哈希锁定的红包也并不需要太多编程，甚至于央行的大小额支付系统要进行某种改造以提供这种机制也并不困难，唯一的问题就是他们什么时候愿意实现。
另外一方面，由于两种转账都是指定对手方的转账，程序可以被设计成可以由第三方提供解锁口令帮助解锁，但资产仍然按原先指定的对手方流转的方式。这种设计使得用户在自身客户端失效或暂时无法访问账本之际可以安全地委托他人代为操作，因此解锁口令在账本系统中公开不仅不会带来安全问题，还会有额外的好处。
最后必须说明：上述协议中的“时间”可以采用“秒”等单位，也可以采用区块链高度、块数等其他计量单位，很可能后者比物理时间更稳妥。

三、协议比喻

本协议的思想其实并不复杂。考虑一下这样的场景：假设有一种特殊的保险箱，保险箱上有两把锁，第一个锁用来确保只有指定用户才能打开，比如需要刷身份证，第二把锁是一把密码锁，输对密码后密码锁就无法再拨动，因此后人可以看到密码是什么。而且这第二把锁有一个有趣的特性，允许其他人在不知道密码的情况下完全克隆出一模一样的另一把锁，包括密码设定也一样。
2个互不相信的人想要完成一桩交易，比如玉器换金条，他们通过2个保险箱达成交易。B在1号保险箱中放入给A的玉器，设定保险箱只有A才能打开，并且设定保险箱密码为他选定的值，这个值A并不知道。A在2号保险箱中放入给B的金条，设定保险箱只有B才能打开，并且在不了解保险箱密码锁的情况下克隆了1号保险箱的密码锁。
B因为知道保险箱的密码，所以B可以打开2号保险箱，取走金条。2号保险箱的密码锁打开后就留下了密码。
A现在知道了密码锁的密码，他就可以去1号保险箱取走玉器。
如果B拒绝打开2号保险箱，A虽然无法拿到玉器，但B自己也拿不到金条。