Honey Badger BFT共识协议详解

原创已于 2023-06-26 00:05:57 修改 · 2.2k 阅读

12 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#共识算法

于 2023-06-25 23:36:53 首次发布

HoneyBadgerBFT是一种异步共识协议，克服了异步网络中确定性共识的难题。它利用阈值加密、可靠广播协议、二进制共识和ACS来确保安全性与效率。协议通过RBC保证消息一致性，BA算法达成二进制比特共识，最后通过ACS形成一致的结果。这一创新设计解决了传统共识协议在网络条件变化时性能下降的问题。

阅读建议

Honey Badger BFT应用了很多前人的研究，进行了巧妙的构造和优化，初次学习往往难以理解。在阅读时可以先大致了解各个构造块的基本作用，再了解总体的共识过程。之后回过头来深入研究各个构造块的原理，特别是BA算法，是整个协议的核心内容。

背景知识

FLP定理指出，在异步网络中，不可能存在一个确定性的共识协议。在FLP定理的指导下，共识协议设计往往需要作出妥协——要么弱化网络条件的限制，要么引入随机性。我们常见的PBFT、Raft等，就是在半同步网络下实现了一致性，但这类共识在网络条件变化时，其吞吐量会显著降低。而以往的异步共识协议同样效率低下，完全无法满足实际需求。本文介绍的Honey Badger BFT则是第一个具备可行性的异步共识协议。

基本构造块

阈值加密（threshold encryption）

传统的非对称加密算法包含一对密钥（公钥 $p k$ 和私钥 $s k$ ），其中 $p k$ 用于消息加密， $s k$ 用于解密。
而门限加密则将私钥 $s k$ 分为 $n$ 份（ $ski,i∈(1,...,n)sk_i,i \in(1, ..., n)$ ），对于 $p k$ 加密的密文 $C$ ，每个子密钥 $sk_i$ 都可以生成一个解密块 $σi\sigma_i$ ，至少 $t$ 个解密块合成后才能最终解密得到原始消息 $m$ 。阈值签名算法类似，只是把加密改成了签名。
阈值加密算法

可靠广播协议（RBC，Reliable broadcast）

由于在分布式系统中，并不存在这样的广播信道，使得节点只需要发送一次消息，就能使网络中的所有节点都接收到，消息任然需要系统成员之间通过点对点的通信来传播。
而 RBC协议则是用来保证消息传播的一致性，各节点遵循RBC协议进行通信，最终能达到广播消息的效果，即网络中的所有节点都能以相同的顺序接收到相同的消息。
Honey Badger论文中使用了基于纠删码的可靠广播协议（Reliable broadcast with erasure codes）。
如图所示，消息发送方 $P_i$ 发送消息 $v$ 的步骤如下：

$P_i$ 用纠删码将消息 $v$ 分为 $N$ 块，每块以 $s_j$ 表示；
$P_i$ 以 $s_j$ 为叶子节点构造Merkle树， $h$ 为Merkle根， $b_j$ 为 $s_j$ 的验证路径；
$P_i$ 将 $s_j$ 和对应的Merkle树验证信息分别发送给其他所有节点，表示为 $VAL(h,bj,sj)\texttt{VAL}(h,b_j,s_j)$ ；
收到 $VAL\texttt{VAL}$ 消息后，将其广播 $ECHO(h,bj,sj)\texttt{ECHO}(h,b_j,s_j)$ ；
收到 $ECHO(h,bj,sj)\texttt{ECHO}(h,b_j,s_j)$ 消息，验证Merkle树对应的路径是否正确，若不正确则忽略；
收到 $N - f$ 个不同的 $ECHO\texttt{ECHO}$ 消息后，从中选择%N-2f%个，重新计算Merkle根 $h^{'}$ ，判断是否满足 $h^{'} = h$ ，若等式成立则广播 $READY(h)\texttt{READY}(h)$ ；
收到 $f + 1$ 个 $READY(h)\texttt{READY}(h)$ 消息后，如果没有发送过 $READY(h)\texttt{READY}(h)$ ，那么广播 $READY(h)\texttt{READY}(h)$ ；
收到 $2 f + 1$ 个 $READY(h)\texttt{READY}(h)$ 消息后，待接收到 $N - 2 f$ 个 $ECHO(h,bj,sj)\texttt{ECHO}(h,b_j,s_j)$ 消息后，即可解码出消息 $v$ 。

说明：

RBC协议的核心在于通过 $Echo\texttt{Echo}$ 传递消息，通过 $Reday\texttt{Reday}$ 表明消息已经发送完毕。
在基于纠删码的RBC协议中， $s_j$ 的 $N$ 个消息中有 $2 f$ 个是冗余消息，用于防止恶意和失效节点。该协议通过调动全网节点发送消息分块 $s_j$ 来代替单个leader直接向全网广播消息，避免了leader的带宽瓶颈。
论文中的算法表述容易造成误导，比如图中红框部分，实际含义是：在节点 $P_i$ 构造出 $VAL(h,bj,sj)\texttt{VAL}(h,b_j,s_j)$ 后，将其作为RBC协议的输入，“upon receiving”是指RBC协议收到 $VAL\texttt{VAL}$ 后，相当于 $P_i$ 调用了RBC协议，而不是说将 $VAL\texttt{VAL}$ 发送给了其他人，后续的算法也要注意这种表述。
- 该协议的复杂度为 $O(N∣v∣+λN2log⁡N)O\left(N|v|+\lambda N^{2} \log N\right)$ ，当消息本身足够大时（ $\gg{\lambda N^{2} \log N}$ ），复杂度可以表示为 $O (N ∣ v ∣)$ ，等价于发送方向所有节点一对一直接发送消息的复杂度，因此说是渐进最优的。

二进制共识（BA，Binary Agreement）和公共硬币（Common Coin）

BA算法使全网节点对一个二进制比特的值达成共识，即全网共同生成0或1。BA算法满足以下属性：

一致性（Agreement）：如果任何正确的节点输出比特 $b$ ，那么每个正确的节点都会输出 $b$ 。
中止性（Termination）：如果所有正确的节点都接收到了输入，则每个正确的节点都能产生输出。
有效性（Validity）：如果有任何正确的节点输出了 $b$ ，则至少有一个正确的节点接收 $b$ 作为输入。

BA算法流程如下：

接收输入 $b_{input}$ 后，设置 $est0:=binput\texttt{est}_0:=b_{input}$ ，并在后续每轮中进行如下操作（以第 $r$ 轮为例）：
- 广播 $BVALr(b)\texttt{BVAL}_r(b)$
- 设置 $bin_valuesr(b):={}\texttt{bin{\_}values}_r(b):=\{\}$
- 从 $f + 1$ 个节点接收到 $BVALr(b)\texttt{BVAL}_r(b)$ 后，如果还没有发送过 $BVALr(b)\texttt{BVAL}_r(b)$ ，那么广播 $BVALr(b)\texttt{BVAL}_r(b)$
- 从 $2 f + 1$ 个节点接收到 $BVALr(b)\texttt{BVAL}_r(b)$ 后，设置 $bin_valuesr(b)=bin_valuesr∪{b}\texttt{bin{\_}values}_r(b)=\texttt{bin{\_}values}_r\cup\{b\}$
- 当 $bin_valuesr(b)≠∅\texttt{bin{\_}values}_r(b)\neq \emptyset$ 时
  - 广播 $AUXr(w)\texttt{AUX}_r(w)$ ，其中 $w∈bin_valuesrw \in \texttt{bin{\_}values}_r$
  - 等至少接收到 $N - f$ 个 $AUXr\texttt{AUX}_r$ 消息后，此时这些消息中包含的 $b$ 值的集合 $vals\texttt{vals}$ 为 $bin_valuesr\texttt{bin{\_}values}_r$ 的子集（因为在本步骤运行的时候，可能还会收到其他的 $BVALr\texttt{BVAL}_r$ 加入 $bin_valuesr\texttt{bin{\_}values}_r$ ）
  - $\leftarrow \texttt{Coin}_{r} \cdot \texttt{GetCoin}()$
  - 如果 $vals={b}\texttt{vals}=\{b\}$ ，则
    - $estr+1:=b\texttt{est}_{r+1}:=b$
    - 如果 $(b=s%2)(b=s\%2)$ 则输出 $b$
  - 否则 $estr+1:=s%2\texttt{est}_{r+1}:=s\%2$
继续循环，直到在某一轮输出值 $b$ ，且对于 $r^{'} > r$ ，有 $Coinr′=b\texttt{Coin}_{r'}=b$ 。

论文中使用了基于阈值签名的公共硬币方案实现BA算法（即上述的 $GetCoin()\texttt{GetCoin}()$ ）。
算法中 $sid\texttt{sid}$ 是一个唯一的随机数，可以看做是 $coin\texttt{coin}$ 的名字
可信设置环节：由一个可信的分发方运行 $pk,{ski}←ThresholdSetuppk,\{sk_i\} \leftarrow \texttt{ThresholdSetup}$ 来生成公共公钥和私钥碎片 ${sk_i\}$ ， $sk_i$ 对应发放给 $P_i$
当调用 $GetCoincoin\texttt{GetCoincoin}$ 时，广播 $ThresholdSignpk(ski,sid)\texttt{ThresholdSign}_{pk}(sk_i,\texttt{sid})$
在接收到至少 $f + 1$ 个签名碎片后，将其合成为完整签名： $sig←ThresholdCombinepk(ski,sid)\texttt{sig} \leftarrow \texttt{ThresholdCombine}_{pk}(sk_i,\texttt{sid})$ ，并用公钥验证 $ThresholdVerifypk(sid)\texttt{ThresholdVerify}_{pk}(\texttt{sid})$ ，若合法，则生成签名

说明：
各方首先生成一个同样的一个二进制数 $b$
之后通过一个公共的硬币来判断是否要取这个 $b$ 作为最终的输出，如果不满足判断条件，那就进入下一轮，重复上述步骤

异步公共子集（ACS，Asynchronous Common Subset）

简而言之，网络中的各节点通过各自的输入，最终能经过ACS达成共识，生成一个一致的结果。ACS满足以下属性：

Validity（有效性）：如果一个正确的节点输出了集合 $v\textbf{v}$ ，那么 $∣v∣>N−f|\textbf{v}|>N-f$ ，且 $v\textbf{v}$ 至少包含 $N - 2 f$ 个正确节点的输入
Agreement（一致性）：如果一个正确的节点输出了集合 $v\textbf{v}$ ，那么每个节点都会输出集合 $v\textbf{v}$ 。
Totality（全局性）：如果 $N - f$ 个正确节点收到了输入，那么所有正确节点都会产生输出。

而ACS又是基于上述的RBC协议和BA算法来实现的。各个节点通过RBC协议广播自己对BA算法的输入，即所有节点并发地运行BA算法，最终形成一个长度为 $N$ 的二进制值列表，由这个二进制列表来决定最终提交哪些交易。
ACS流程如下：

以 ${RBCi}N\{\texttt{RBC}_i\}_N$ 来表示RBC协议的 $N$ 个实例， $P_i$ 对应为 ${RBCi}\{\texttt{RBC}_i\}$ 的发送方。 ${BAi}N\{\texttt{BA}_i\}_N$ 代表BA算法的 $N$ 个实例。
接收到输入 $v_i$ 后，将其输入到 $RBCi\texttt{RBC}_i$ 广播
在收到从 $RBCj\texttt{RBC}_j$ 发送的 $v_j$ 后，如果给 $BAi\texttt{BA}_i$ 输入，那么对 $BAi\texttt{BA}_i$ 输入1
如果已经接收到了至少 $N - f$ 个 $BA\texttt{BA}$ 实例传递的值 1 ，那么后续所有还未输入的 $BA\texttt{BA}$ 实例都输入为0
一旦所有的 $BA\texttt{BA}$ 实例都完成，令 $\subset{[1,...,N]}$ 表示为每个生成 1 的BA 实例的索引。等待每个 $RBCj\texttt{RBC}_j$ 的输出 $v_j$ ，其中 $\in C$ 。最终输出 $Uj∈CvjU_{j \in C^{v_j}}$ 。

在这里插入图片描述
论文对ACS的具体执行给出了图例解释：
从节点0的角度，他会收到来自节点 $1∼3(N=4,f=1)1\sim3(N=4,f=1)$ 的RBC广播，图中给出了三种不同的情况

正常情况下，节点0收到了节点1的广播 $RBC1\texttt{RBC}_1$ ，则对 $BA1\texttt{BA}_1$ 输入1（1等价于yes）
节点0接收到 $RBC2\texttt{RBC}_2$ 时已经收到了 $N - f$ 个 $BA\texttt{BA}$ 输出1，因此他对 $BA2\texttt{BA}_2$ 输入0，但由于其他节点已经收到了 $RBC2\texttt{RBC}_2$ 并为 $BA2\texttt{BA}_2$ 输入1，因此最终 $BA2\texttt{BA}_2$ 仍然输出1
$RBC3\texttt{RBC}_3$ 还未完成， $BA3\texttt{BA}_3$ 就已经被输入0，且由于其他节点也没有为 $BA3\texttt{BA}_3$ 投票，因此最终 $BA3\texttt{BA}_3$ 输出0

Illustrated examples of ACS executions.

说明

各方用RBC广播将自己的值 $v_i$ ，也会从RBC中接收其他节点的值 $v_j$ ，同时运行 $N$ 个 $B A$ 算法，如果接收到了 $v_j$ ，那对应的 $BAj\texttt{BA}_j$ 输入1
如果在 $N - f$ 个 $BA\texttt{BA}$ 算法中都已经输入了1，那后续其他的 $BA\texttt{BA}$ 算法都输出0
$N$ 个 $B A$ 算法完成后，节点选择那些输出为1的BA算法所对应的 $v_k$ 消息，由于 $B A$ 算法的一致性，网络中所有节点都会作出相同的选择，即最终所有节点都选择了相同的消息 $v_k$

共识流程

在了解了上述的构建块后，下面以节点 $P_i$ 的角度，阐述Honey Badger BFT的共识流程。其中 $B$ 是系统设定参数， $r$ 表示在第 $r$ 轮。

节点 $P_i$ 从自己的交易池的前 $B$ 个交易中随机选择 $⌊B/N⌋\lfloor B / N\rfloor$ 个作为提案（ $proposed\texttt{proposed}$ ）
将提案加密 $x:=TPKE.Enc(PK,proposed)x:=\texttt{TPKE.Enc(PK,proposed)}$
将 $x$ 作为 $ACS[r]\texttt{ACS}[r]$ 的输入
从 $ACS[r]\texttt{ACS}[r]$ 中接收 ${vj}j∈S\{v_j\}_{j \in S}$ ，其中 $\subset [1,...,N]$ ，
对于所有 $\in S$ ：
- 令 $ej:=TPKE.DecShare(SKi,vj)e_j:=\texttt{TPKE.DecShare}(SK_i,v_j)$
- 广播 $DEC(r,j,i,ej)\texttt{DEC}(r,j,i,e_j)$
- 从 $DEC(r,j,i,e(j,k))\texttt{DEC}(r,j,i,e_(j,k))$ 接收至少 $f + 1$ 个消息
- 解码 $yj:=TPKE.Dec(PKi,{k,ej,k})y_j:=\texttt{TPKE.Dec}(PK_i,\{k,e_{j,k}\})$
令 $blockr:=sorted(Uj∈Cvj)\texttt{block}_r:=\texttt{sorted}(U_{j \in C^{v_j}})$ ， $sorted\texttt{sorted}$ 即对收集的交易排序，组成为区块 $blockr\texttt{block}_r$
设置 $buf:=buf-blockr\texttt{buf}:=\texttt{buf-block}_r$

说明：
第一步中，随机选择交易是为了各个节点选择的交易尽可能不同（同一笔交易可能被发给了不同节点拿来构造区块）
将提案加密是为了防止审查攻击，以防止一些恶意节点在ACS中故意不给包含特定交易的节点投票
最终通过ACS生成一个共识列表（即在ACS中，BA输出为1的节点），各节点对成功共识的提案进行解密，生成解密碎片（share），收集到足够的碎片即可解密出交易内容
将交易构造成一个区块后即可上链，同时各节点将已经成功共识的交易从自己的交易池中删去。