月亮链 月亮链
Ctrl+D收藏月亮链
首页 > PEPE > 正文

BFT:技术指南 | 软硬协同的共识算法设计——以FastBFT为例_LAVE币

作者:

时间:1900/1/1 0:00:00

导读

我们知道,相比公有链,联盟链中使用的拜占庭容错(BFT)算法能够有效地提升区块链的交易处理能力。但是,传统的BFT算法,例如PBFT算法,为了容忍f个拜占庭错误节点,需要保证系统中的节点总数至少是3f+1。与之相比,RAFT等能容忍f个停机错误(CFT)的共识算法仅需要2f+1个节点就能正常运作。那么我们不禁会去想,能不能通过某种方法使得一个拜占庭系统也只需要总共2f+1个节点就能够抵御拜占庭攻击呢?

幸运的是,这样的方法是存在的。我们可以借助可信硬件,消除拜占庭节点的二义性,从而仅需要2f+1个节点,就能有效地防止拜占庭攻击。

本文以FastBFT为例,介绍FastBFT是如何借助可信硬件,取得比传统BFT算法更好的性能的。

可信硬件

FastBFT算法使用的可信硬件是IntelSGX(SoftwareGuardExtensions),Intel第六代CPU之后的一组扩展指令集。目前,很多个人电脑和服务器都可以支持SGX相关的功能。在SGX的编程模型中,一个程序分为可信代码(enclave)和不可信代码。SGX保证了在enclave中运行的代码和数据不能被其他程序访问和篡改。并且,通过enclave写入到磁盘的数据会被加密,只有该enclave能够读取。不可信代码只能调用enclave提供的有限的可信函数接口来改变enclave的内部状态,获取enclave的内部信息。

因此,FastBFT的代码也分为了两部分,如下图所示:

动态 | IBM区块链高级技术人员当选Hyperledger技术指导委员会主席:随着IBM在Hyperledger技术指导委员会(TSC)的席位增加引发争议,该委员会又选定另一名IBM官员担任其主席。据报道,IBM区块链和Web开放技术的高级技术人员Arnaud Le Hors将接替英特尔首席工程师Dan Middelton担任主席。(coindesk)[2019/9/12]

其中,FastBFT不可信代码负责处理共识消息的收发,以及共识状态的转换。而FastBFTenclave代码则负责处理密钥生成,加解密,安全信道的建立以及共识状态变量的维护。

节点类型

与PBFT算法类似,FastBFT算法也有主节点和从节点之分。不同之处在于,FastBFT算法将从节点进一步划分为f个活跃(active)节点和f个被动(passive)节点。在常规流程中,FastBFT算法只需要f+1个活跃节点参与共识的消息收发。被动节点仅需要处理来自主节点的Reply消息,更新自身的状态。只有在发生错误时,这f个被动节点才需要参与到共识流程中来。

可信变量与函数接口

在FastBFT中,每个节点的enclave都有自己的公私钥对,并记录了其他节点的公钥。除此以外,每个节点还需要维护并持久化以下变量:计数器值c,view值v,活跃节点列表及会话密钥{Si,ki}。其中c和v是共识相关的状态变量,v值只有在viewchange的时候才会增加,当系统平稳运行时,c会不断增加。

FastBFTenclave对外提供了以下几个可信函数接口:be_primary,update_view,preprocessing,request_counter,verify_counter,update_counter和reset_counter。

声音 | 分析师:有技术指标显示比特币或将涨至6万美元:加密货币分析师Moon Overlord 6月16日发推称,比特币刚刚突破至非线性回归曲线中值线上方。在我看来,这样强劲的突破和收于此之上将引发牛市的全面爆发。比特币上一次打破这一纪录时,其价格从2500美元左右升至2万美元。如果这次走势类似,比特币将达到6万美元左右。[2019/6/17]

▲?be_primary、update_view函数

be_primary是某个节点成为主节点之后,需要调用的enclave方法。它的作用是重置c,更新活跃节点列表,重新生成与活跃节点的会话密钥。

update_view是从节点收到主节点当选的消息后,更新自身enclave状态的方法。该方法接受的参数包括主节点的c、v以及加密后的会话密钥。在证实主节点当选的消息是真实可信之后,从节点调用enclave的update_view方法,重置enclave的c和v,获取与主节点通信的会话密钥。

这两个函数都是FastBFTviewchange流程中需要调用的方法,本文限于篇幅限制不予讨论。

▲?preprocessing、request_counter与verify_counter函数

preprocessing是FastBFT算法为了实现高效的消息聚合,实现节点enclave之间密钥分享(secretsharing),主节点需要调用的方法。enclave首先通过哈希函数,将c,v与一个随机生成的原始密钥S进行绑定,这个commitment记作h。然后,通过基于XOR的密钥分享方案,将原始密钥随机拆分成f+1个子密钥Si,S可以通过将这f+1个子密钥进行异或操作还原出来。最后返回给主节点h,c和v,以及经过加密的,只能被对应从节点的enclave解密的。并且,为了避免每次消息聚合之前都进行密钥分享,调用这个方法后会批量生成从c+1一直到c+m这m组消息。之后的m条共识消息都不再需要调用该方法。

声音 | 分析师:关键技术指标显示BTC首次出现2015年以来的强劲长期势头:据CCN消息,技术分析师Eric Thies表示,一个关键的技术指标可能预示着比特币出现了自2015年以来的首次强劲长期势头。上一次月MACD达到交叉信号时,比特币价格在三年内从400美元最终上涨至2万美元。[2019/6/13]

request_counter是主节点要发起提案消息前,需要调用的方法。该方法接受一个传入参数x。enclave首先把c+1,然后对进行签名,返回该签名。通过这个签名,可以起到绑定与x的效果。

verify_counter是活跃节点收到来自主节点的PREPARE消息和COMMIT消息后,需要调用的方法。该方法传入的参数包括主节点enclave签名后的,以及主节点enclave的preprocessing方法生成的。从节点的enclave需要确保签名中的c,v与解密获取的c,v一致,并且c比本地的c大1。验证通过后,enclave本地的c+1,返回Si,h。通过这个方法,活跃节点的c与主节点的c进行了同步。返回的Si使得之后主节点能够恢复出原始密钥S,h则能够让活跃节点确认原始密钥S的真实性。

以上这三个函数是FastBFT常规流程中需要调用的函数,对于读者理解FastBFT算法尤其重要。

▲?update_counter与reset_counter函数

update_counter是被动节点收到来自主节点的Reply消息后调用的方法。它作用是更新被动节点enclave的c值。

reset_counter是节点宕机重启后,在重新加入共识网络前,需要调用的方法。它的作用是接收f+1个来自不同节点enclave的一致的c,v,状态消息,同步本地enclave的c和v。

分析 | Coindesk:BTC8个月来首次出现技术指标看涨信号:据coindesk分析,BTC突破了看跌通道、周线MACD出现0轴金叉,表明BTC可能在未来几周有可能冲击7月高点8500美元。在接下来的24小时内,投资者需要密切关注4小时图中的三角旗形态,如未能突破至7500美元或将使多头获利了结,导致BTC转而跌至7000美元。[2018/9/4]

FastBFT算法的常规流程

FastBFT算法的常规流程分为:Preprocessing,Request,Prepare,Commit及Reply这五个阶段。整个流程如下图所示:

在Proprocessing阶段,主节点通过调用enclave的preprocessing方法,获取密钥分享消息。然后将这些密钥分享消息发送给各个活跃节点。

当主节点收到来自客户端的请求REQUEST后,就会进入Request阶段。这时,主节点需要调用enclave的request_counter方法获取enclave对REQUEST,c+1,以及v的签名。然后,将REQUEST及enclave签名一起作为PREPARE消息的内容,发送给活跃节点。

当活跃节点收到来自主节点的PREPARE消息后,就进入了Commit阶段。此时,活跃节点会将主节点enclave的签名以及从Proprocessing阶段获取的对应的密钥分享消息通过verify_counter方法通知enclave。enclave验证通过后,告知活跃节点子密钥Si和h。然后,活跃节点将Si发送回主节点。主节点收齐f+1个来自活跃节点的子密钥Si之后,就可以重建出原始密钥S。之后,主节点就可以执行REQUEST请求,再次调用enclave的request_counter方法,获取enclave对REQUEST执行的结果res,c+1,以及v的签名。然后,将一起作为COMMIT消息的内容,发送给活跃节点。

行情 | 救赎说币:ONT目前不能买,要等技术指标出现才能买入:据救赎分析,本体就行情走势趋势来说,是不容乐观的。我们看技术指标macd从箭头处跌下0轴之后,大部分时间都在0轴之下,代表的是持续的空军优势。持续的空军优势,是不存在买入的理由的,是不管基本面如何利好都不能入场的。但是我们都知道,本体的基本面是很强的,所以我们就等一个买入点就好了。我们再看234处的下跌幅度不是很大,但是跌之后没有多大涨幅就接着跌,所以这个可以分析出ONT的买盘真的不强烈。所以要想买入这个币种,要等一个大跌就可以买了。[2018/7/16]

当活跃节点收到来自主节点的COMMIT消息后,就进入了Reply阶段。此时,活跃节点通过对比的哈希值与之前enclave返回的哈希值h,判断主节点是否成功地恢复出了原始密钥。然后,活跃节点也执行REQUEST请求,判断执行结果是否与主节点执行结果一致。之后,再调用verify_counter方法,获取c+1对应的子密钥Si’以及原始密钥的绑定h’,并将Si’发送回主节点。主节点收齐f+1个来自活跃节点的子密钥Si’之后,就可以重建出原始密钥S’。然后将REQUEST,res,S,S’连同密钥分享信息及之前两个来自enclave的签名都作为REPLY消息的内容,发送给客户端及被动节点。被动节点收到REPLY消息后,首先验证消息的真实性。验证通过后,调用两次enclave的update_counter方法更新enclave内部的c和v值。

FastBFT快在哪里

从上述的流程,我们可以总结出,FastBFT算法的“快”主要体现在以下几个方面:通过可信硬件,减少系统的节点总数;通过轻量级的密钥分享方案实现高效的消息聚合;通过划分活跃节点与被动节点来减少与被动节点的通信。

首先,我们看到,在FastBFT算法中,一共只需要2f+1个节点。更少的节点数量意味着更快的响应时间。在常规流程中,主节点只需要发送f+1条消息,接收f+1条消息就可以进入到下一个阶段。而在PBFT等算法中,节点需要广播3f+1条消息,接收至少2f+1条消息才能进入到下一个阶段。

其次,在PBFT等经典算法中,从节点在收到主节点的PrePrepare等消息后需要向所有节点广播Prepare消息,消息总量为O(n^2)。而FastBFT的常规流程中,所有从节点仅需要发送子密钥给主节点,消息总量为O(n)。这极大地减轻了网络的压力。

并且,在HotStuff等共识算法中,消息聚合是通过基于椭圆曲线的聚合签名来完成的。而基于椭圆曲线的聚合签名速度较慢,影响共识的效率。而FastBFT则使用了基于XOR的密钥分享方案,仅需要进行f次异或操作就完成了消息聚合,极大地提升了共识的效率。值得注意的是,FastBFT能使用如此简单的方法完成消息聚合的原因还是因为可信硬件的支持。由于密钥拆分在enclave内部进行,拜占庭节点无法获知原始密钥和子密钥,也无法进行篡改。这样才能保证消息聚合的安全性。

最后,将节点划分为活跃节点与被动节点之后,被动节点仅需要接收Reply消息更新自身的共识状态,而不需要发送任何消息。这进一步地降低了网络带宽的消耗,降低了系统的运行成本。

总结

FastBFT作为一种基于软硬协同设计的共识算法,很好地向大家展示了如何使用可信硬件突破传统共识算法理论的限制。我们可以看到,基于可信硬件,FastBFT极大地降低系统的部署成本,显著地提升共识的效率。

大家如果对于本文或者区块链算法感兴趣,欢迎加入交流群,添加小助手桔子微信:18458407117。

进阶加餐

▲?FastBFT的正确性

由于完整的FastBFT算法还涉及异常流程viewchange,已经超出本文的介绍范围,在此仅对FastBFT的安全性做一个简单的论证加餐,以便读者了解大貌。

首先,我们可以发现,每对仅能绑定一条信息。这是因为,每次主节点调用enclave的request_counter方法后,enclave中记录的c就会加1。并且,一旦viewchange,enclave会将v加1。这样就保证了同一对不会被重用。于是就有效地防止了拜占庭节点向不同节点发送不同的提案消息,消除了拜占庭节点的二义性。

其次,在常规流程中,c每次都会增加1,并且enclave的verify_counter方法也会判断c是否比之前的c大1。这对共识消息的顺序做了进一步的限制。

再次,我们可以看到,在FastBFT中,一个提案达成共识需要经过类似PBFT的两轮广播。与PBFT的区别在于FastBFT的Quorum是f+1而PBFT是2f+1。由于共识消息都有enclave的参与,拜占庭节点无法随意构造虚假的信息,FastBFT的viewchange流程可以保证即使只有f+1个viewchange消息,也能够恢复出达成共识的提案请求,确保该请求一定会被执行。

于是,所有正确节点都将以相同顺序执行同样的提案请求。

▲?FastBFT的其他优化

除了前面提到的优化外,FastBFT还引入了广播树来缓解主节点的通信压力。如下图所示:

当1号节点作为主节点要广播PREPARE等消息时,只需把消息发送给2,3号节点。2,3号节点会将消息进一步转发给4,5,6,7号节点。通过这种方法,主节点的发送消息的数量就从O(n)降低到了O(1)。

当然,此时密钥分享、消息聚合等步骤也会有所变化,本文就不在此赘述了,感兴趣的同学可以参考原论文了解相关实现。

作者简介

汪晓可,来自趣链科技基础平台部,区块链软硬件协同设计研究小组

参考文献

?PracticalByzantineFaultTolerance

?InSearchofanUnderstandableConsensusAlgorithm

?Onthe(Limited)PowerofNon-Equivocation

?ScalableByzantineConsensusviaHardware-assistedSecretSharing

?IntelSGXExplained.

?HotStuff:BFTConsensuswithLinearityandResponsiveness

标签:BFTLAVEcLAENCbft币最新消息LAVE币classzzSCIENCE币

PEPE热门资讯
Venus:币安智能链上的“空气换大饼”是如何实现的?_bitvenus提不出币

币安智能链上的“空气换大饼”是如何实现的?陀螺财经刚刚101月14日下午,神鱼在圈内发出警告并建议有在币安bsc的venus借贷和放贷的赶紧撤退,该池子发行币抵押借走大量大饼.

1900/1/1 0:00:00
ETH:链上数据回顾以太坊的2020_ETH2

2020对于全世界来说都是充满挑战的一年。与此同时,它对于以太坊来说也是积极向上的一年——整个生态在各个方面保持欣欣向荣之态,整体市值在大幅提高.

1900/1/1 0:00:00
数字货币:中央银行的未来:央行数字货币将与现金共存_CBD Coin

原标题:中央银行的未来近几十年来,金融市场和世界发生了根本性的变化。国际清算银行成立于1930年,当时许多国家仍坚持金本位制,最初目的是在央行遇到变化时提供支持.

1900/1/1 0:00:00
区块链:专家:区块链发展应以密码应用创新为根基_数字资产

当前,国家已将区块链纳入新型信息基础设施建设,区块链技术应用和产业融合正处于快速发展阶段。清华大学计算机科学与技术系霍炜博士对记者表示,我国在区块链核心技术方面与发达国家还有一定差距,基于自主密.

1900/1/1 0:00:00
比特币:比特币 vs 黄金:稳定性和采用率是比较的关键要素_MICROSHIB

比特币和黄金之间的比较与比特币本身一样成为了主流热衷的话题。然而,尽管这两种资产目前有所脱钩,但两者中感兴趣和活跃的投资者群体几乎相同,并且存在重叠.

1900/1/1 0:00:00
以太坊:以太坊L2 Optimism宣布软启动 预计2月底上线公开测试网_BRI

以太坊正处于其历史上前所未有的时刻——从未有过如此多的使用、如此多的兴奋和如此多的价值被创造。去年,以太坊累计交易费用超过了比特币,今天,以太坊每日交易费用收入依然排名靠前.

1900/1/1 0:00:00