摘 要：隨著區(qū)塊鏈的廣泛部署，無人協(xié)同等延遲敏感型的應(yīng)用對區(qū)塊鏈系統(tǒng)的低時延需求日益提高。在協(xié)同場景下，區(qū)塊鏈節(jié)點通?？绲赜虿渴穑?jié)點異構(gòu)性較強。在基于領(lǐng)導(dǎo)節(jié)點的拜占庭容錯（Ｂｙｚａｎｔｉｎｅ Ｆｏｕｌｔ Ｔｏｌｅｒａｎｔ，ＢＦＴ） 共識協(xié)議中，不穩(wěn)定的或能力較差的領(lǐng)導(dǎo)節(jié)點將導(dǎo)致不必要的高延遲，并降低區(qū)塊鏈的可用性，特別是在資源有限的移動或傳感器網(wǎng)絡(luò)下。針對上述問題，提出了ε-ＬＥ，一種帶有網(wǎng)絡(luò)感知的領(lǐng)導(dǎo)選舉方法，基于節(jié)點到領(lǐng)導(dǎo)節(jié)點的通信延遲測量結(jié)果，采用ε-ｇｒｅｅｄｙ 策略對領(lǐng)導(dǎo)節(jié)點進行選擇，使得當前性能較優(yōu)或網(wǎng)絡(luò)中關(guān)鍵位置的節(jié)點具有更高概率成為領(lǐng)導(dǎo)節(jié)點，從而優(yōu)化共識延遲。相較于ＡＷＡＲＥ 等方法，ε-ＬＥ 實現(xiàn)Ｏ （Ｎ） 的通信復(fù)雜度，更加適用于具備線性通信復(fù)雜度的共識協(xié)議。實驗結(jié)果表明，ε-ＬＥ 能夠選擇可優(yōu)化集群共識延遲的節(jié)點作為領(lǐng)導(dǎo)節(jié)點，在線性拓撲網(wǎng)絡(luò)中實現(xiàn)了約２１％ 的吞吐量提升。

關(guān)鍵詞：領(lǐng)導(dǎo)選舉；共識；拜占庭容錯；延遲感知

中圖分類號：ＴＰ３１９ 文獻標志碼：Ａ 開放科學（資源服務(wù)）標識碼（ＯＳＩＤ）：

文章編號：１００３－３１０６（２０２４）０４－０８２６－０９

０ 引言

拜占庭容錯（Ｂｙｚａｎｔｉｎｅ Ｆａｕｌｔ Ｔｏｌｅｒａｎｔ，ＢＦＴ）共識協(xié)議通?；跔顟B(tài)機復(fù)制（Ｓｔａｔｅ Ｍａｃｈｉｎｅ Ｒｅｐｌｉｃａ-ｔｉｏｎ，ＳＭＲ）范式用于構(gòu)建可靠分布式系統(tǒng)。近年來隨著區(qū)塊鏈等大規(guī)模分布式系統(tǒng)的部署，ＢＦＴ ＳＭＲ協(xié)議也重新得到了廣泛的研究。

在一個跨地域的分布式系統(tǒng)中，不同節(jié)點的狀態(tài)是非對稱的，即節(jié)點的計算能力、任務(wù)負載和節(jié)點間通信延遲存在顯著的差異。然而，傳統(tǒng)的ＢＦＴＳＭＲ 協(xié)議［１－２］通常是消息密集型的，并且由于認證集合交集性質(zhì)被用于保證安全性，涉及大量的密碼學計算，使得共識協(xié)議的執(zhí)行占據(jù)了分布式系統(tǒng)延遲中的關(guān)鍵部分。在一些由許多移動或傳感器節(jié)點組成的系統(tǒng)中，各節(jié)點的計算能力和帶寬容量有限，但這類系統(tǒng)通常用于支撐大規(guī)模延遲關(guān)鍵型應(yīng)用，即應(yīng)用對系統(tǒng)低延遲的需求較高，如無人協(xié)同［３］等。因此，這類系統(tǒng)的共識協(xié)議面臨著低延遲和可擴展性的挑戰(zhàn)。

在基于領(lǐng)導(dǎo)節(jié)點的共識協(xié)議中，如ＨｏｔＳｔｕｆｆ［２］，存在一個節(jié)點具備與其他節(jié)點不對稱的身份，稱為領(lǐng)導(dǎo)節(jié)點，該節(jié)點負責將外部客戶端的請求打包生成提案并廣播。當領(lǐng)導(dǎo)節(jié)點收集到一定數(shù)量對該提案的投票后，生成對該提案的投票認證集合（Ｑｕｏｒｕｍ Ｃｅｒｔｉｆｉｃａｔｅ，ＱＣ），再次進行廣播并推進共識進入下一個階段。因此，基于領(lǐng)導(dǎo)節(jié)點的共識協(xié)議性能表現(xiàn)依賴于認證集合的構(gòu)建速度；一個脆弱的領(lǐng)導(dǎo)節(jié)點在資源受限的場景下會成為協(xié)議性能的瓶頸。

現(xiàn)有的領(lǐng)導(dǎo)選舉方式通常分為靜態(tài)或動態(tài)２ 種。在工程實踐中得到廣泛應(yīng)用的是靜態(tài)輪詢的方法，這種方法保證了領(lǐng)導(dǎo)選舉結(jié)果的公平性，但無法自適應(yīng)動態(tài)的系統(tǒng)狀態(tài)。部分動態(tài)選舉方法［４－５］更加關(guān)注安全性。近期一些相關(guān)的研究成果如ＡＲＣＨＥＲ［６］、ＡＷＡＲＥ［７］通過監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)消息延遲選擇領(lǐng)導(dǎo)節(jié)點。其中，ＡＲＣＨＥＲ 測量客戶端到系統(tǒng)節(jié)點的延遲，而ＡＷＡＲＥ 更關(guān)注系統(tǒng)節(jié)點到節(jié)點間的通信延遲。然而，ＡＷＡＲＥ 是基于ＰＢＦＴ 的兩階段共識范式構(gòu)建的，可擴展性較差。盡管Ｎｉｓｃｈｗｉｔｚ 等［８］嘗試將ＡＷＡＲＥ 應(yīng)用于ＨｏｔＳｔｕｆｆ，但實際并不適配ＨｏｔＳｔｕｆｆ 的通信模式。

本文提出了一種基于ε-ｇｒｅｅｄｙ 策略的領(lǐng)導(dǎo)選舉方法ε-ＬＥ。ε-ＬＥ 的框架包括２ 個階段：監(jiān)控階段和選舉階段。監(jiān)控階段完成對集群節(jié)點的狀態(tài)監(jiān)測與評估，并借助共識協(xié)議本身的一致性性質(zhì)使得評估結(jié)果保持全局一致；選舉階段基于評估結(jié)果，基于ε-ｇｒｅｅｄｙ 的思想［９］對領(lǐng)導(dǎo)節(jié)點進行選擇，即以較高的概率（１－ε）選擇監(jiān)控結(jié)果較好的節(jié)點，同時以ε的概率從監(jiān)控結(jié)果較差的節(jié)點中選擇領(lǐng)導(dǎo)節(jié)點，從而保持對相對較差節(jié)點的觀測。在具體運行的共識實例中，節(jié)點通過多輪消息傳遞達成一致；執(zhí)行ε-ＬＥ 協(xié)議完成對相應(yīng)領(lǐng)導(dǎo)節(jié)點的監(jiān)控，并更新統(tǒng)計信息狀態(tài)。在觸發(fā)領(lǐng)導(dǎo)節(jié)點更換時，εＬＥ 允許節(jié)點僅通過本地計算即可一致地決定下一輪的領(lǐng)導(dǎo)節(jié)點。只要共識的活性不被破壞，通過重復(fù)上述階段，系統(tǒng)能夠在不引入額外通信輪次開銷的前提下，持續(xù)地對節(jié)點延遲狀態(tài)進行監(jiān)測與評估，從而實現(xiàn)帶有網(wǎng)絡(luò)感知能力的領(lǐng)導(dǎo)節(jié)點選舉方法。此外，ε-ＬＥ 還盡可能保證領(lǐng)導(dǎo)選舉結(jié)果的不易預(yù)測性，以進一步提高系統(tǒng)的魯棒性。綜上，本文的主要貢獻有：

① 提出了ε-ＬＥ，一種基于ε-ｇｒｅｅｄｙ 策略的延遲感知領(lǐng)導(dǎo)選舉方法，在基于領(lǐng)導(dǎo)節(jié)點的共識協(xié)議中，通過對節(jié)點和系統(tǒng)網(wǎng)絡(luò)狀態(tài)的感知，選擇較優(yōu)節(jié)點成為領(lǐng)導(dǎo)節(jié)點，從而提高共識系統(tǒng)的性能表現(xiàn)。同時，通過對ε-ＬＥ 分析與改進，提高其不易預(yù)測性，進一步提高系統(tǒng)的魯棒性。

② 在ＨｏｔＳｔｕｆｆ 協(xié)議上對ε-ＬＥ 進行了實現(xiàn)，并在資源受限的環(huán)境和多跳網(wǎng)絡(luò)下對ε-ＬＥ 進行了實驗測試。與原始選舉方法進行比較，實驗結(jié)果證明了ε-ＬＥ 的有效性。

１ 相關(guān)工作

作為分布式系統(tǒng)的核心，共識問題［１０－１２］有超過４０ 年的研究歷史，旨在保證分布節(jié)點之間的一致性。在基于狀態(tài)機的分布式系統(tǒng)中，通常借助ＳＭＲ協(xié)議解決ＳＭＲ 問題，即節(jié)點直接對執(zhí)行的命令序列（可能是無限長的）順序達成一致。在系統(tǒng)集群規(guī)模確定的情況下，ＢＦＴ 共識協(xié)議通常分為兩階段［１３］：第一個階段是廣播階段，一個或多個［１，１４］節(jié)點廣播提案；第二個是確定階段，節(jié)點通過多輪投票對提案進行最終確認與提交。

隨著區(qū)塊鏈技術(shù)的發(fā)展，近年來涌現(xiàn)了許多針對ＢＦＴ 共識協(xié)議的優(yōu)化成果?，F(xiàn)有的工作聚焦于減少確定階段所需的通信復(fù)雜度，比如ＨｏｔＳｔｕｆｆ［２］實現(xiàn)了線性的通信復(fù)雜度。在如ＨｏｔＳｔｕｆｆ 這種基于領(lǐng)導(dǎo)節(jié)點的協(xié)議中，通常會先選擇一個節(jié)點作為領(lǐng)導(dǎo)節(jié)點，并且僅在發(fā)生系統(tǒng)超時或拜占庭行為時才替換領(lǐng)導(dǎo)節(jié)點。由于領(lǐng)導(dǎo)節(jié)點負責提案的廣播，其帶寬開銷和計算資源負載將顯著高于其他節(jié)點，因此很容易成為共識吞吐量的瓶頸。而ＨｏｔＳｔｕｆｆ 中這一問題尤為突出，因為ＨｏｔＳｔｕｆｆ 中節(jié)點的通信模式呈現(xiàn)星型拓撲，由領(lǐng)導(dǎo)節(jié)點收集和轉(zhuǎn)發(fā)投票集合。因此，領(lǐng)導(dǎo)節(jié)點的選擇將顯著影響共識協(xié)議的性能；在節(jié)點資源受限的跨地理分布的系統(tǒng)中，上述問題更加顯著。

Ｂｙｚｃｏｉｎ［１５］和Ｋａｕｒｉ［１６］等方法通過將集群通信拓撲改為樹狀拓撲來緩解領(lǐng)導(dǎo)節(jié)點的瓶頸。盡管Ｋａｕｒｉ 借助流水線優(yōu)化來減輕對吞吐量的負面影響，但這種方法將增加每個共識輪次的共識延遲，因為樹狀拓撲會產(chǎn)生額外的通信輪次，從而增加完成單個廣播的延遲。這種方法難以滿足延遲關(guān)鍵型應(yīng)用中低延遲和實時性的需求。

選擇更好的領(lǐng)導(dǎo)節(jié)點是另一種比較自然的想法。領(lǐng)導(dǎo)選舉是分布式計算領(lǐng)域的經(jīng)典問題之一［１７］，也有許多對共識過程中的領(lǐng)導(dǎo)選舉進行優(yōu)化的研究成果［６，１８－２３］。Ｄｒｉｐｐｌｅ 和Ｄｒｏｏｐｙ 通過協(xié)調(diào)狀態(tài)分區(qū)與動態(tài)配置領(lǐng)導(dǎo)節(jié)點可選集合［２１］來有效地降低跨地域分布式系統(tǒng)的延遲。另一種方法ＡＲＣＨＥＲ［６］使用客戶端測量的端到端響應(yīng)時間來選擇ＢＦＴ 系統(tǒng)的領(lǐng)導(dǎo)節(jié)點，但是，為了防止錯誤節(jié)點拖延常規(guī)共識消息，對探測的請求及時處理，從而降低測量準確度，需要額外的輔助機制對測量過程進行監(jiān)控。ＡＷＡＲＥ［７］根據(jù)節(jié)點到節(jié)點的延遲選擇領(lǐng)導(dǎo)節(jié)點并使用預(yù)測模型以最大限度地減少系統(tǒng)的共識延遲。Ｎｉｓｃｈｗｉｔｚ 等［８］將ＡＷＡＲＥ 應(yīng)用于ＨｏｔＳｔｕｆｆ時提出了進一步的優(yōu)化，通過閾值機制，防止領(lǐng)導(dǎo)節(jié)點更換過于頻繁，引入學習因子對測量的節(jié)點到節(jié)點延遲進行加權(quán)累加，而不是簡單地覆蓋。

然而，這些方法并不適合某些特定配置。首先，基于ＷＨＥＡＴ［２４］的ＡＷＡＲＥ 適用于具有全廣播通信模式的共識協(xié)議，可以在共識消息交換過程中實現(xiàn)點對點延遲的單方面測量。雖然ＡＷＡＲＥ 設(shè)計了主動監(jiān)測的方法，但在帶寬、計算資源等資源有限的場景下，主動監(jiān)測消息的發(fā)送和接收會帶來額外開銷。其次，在選舉階段，ＡＷＡＲＥ 根據(jù)清洗后的延遲矩陣模擬每個節(jié)點作為領(lǐng)導(dǎo)節(jié)點的共識延遲，并定期檢查是否有更好的節(jié)點來替換現(xiàn)有領(lǐng)導(dǎo)節(jié)點；即使引入固定閾值，這種方法依然缺少靈活性；導(dǎo)致這一問題的原因是ＰＢＦＴ 和ＷＨＥＡＴ 等協(xié)議包含復(fù)雜的視圖更改協(xié)議。當視圖改變發(fā)生時，系統(tǒng)執(zhí)行視圖改變協(xié)議，這將嚴重影響系統(tǒng)的性能。考慮到現(xiàn)有方法不匹配資源受限環(huán)境和延遲關(guān)鍵型應(yīng)用的需求，ε-ＬＥ 利用如ＨｏｔＳｔｕｆｆ 這類具備線性視圖變化特點的共識協(xié)議，及時觸發(fā)視圖變更，實現(xiàn)了靈活、自適應(yīng)的選舉機制。

２ 協(xié)議介紹

２． １ 系統(tǒng)模型

ε-ＬＥ 協(xié)議面向基于領(lǐng)導(dǎo)節(jié)點的ＢＦＴ ＳＭＲ 共識協(xié)議。盡管ε-ＬＥ 并不限定于某一具體的共識協(xié)議，為了簡化描述，后續(xù)描述將假設(shè)基于ＨｏｔＳｔｕｆｆ 協(xié)議。

ε-ＬＥ 系統(tǒng)由ｎ ＝ ３ｆ ＋ １ 個節(jié)點組成，標記為｛ｐ１ ，ｐ２ ，…，ｐｎ ｝，其中ｆ 為系統(tǒng)中允許出現(xiàn)錯誤節(jié)點的最大數(shù)量，即假設(shè)Ｆ 為錯誤節(jié)點的集合，ｆ≥ Ｆ 。因此整個系統(tǒng)由至少ｎ－ｆ 個正確節(jié)點與至多ｆ 個錯誤節(jié)點組成，其中錯誤節(jié)點的行為可能是任意的，但其計算能力是有限的，即不能打破密碼學假設(shè)。錯誤節(jié)點的攻擊行為包括發(fā)送錯誤的信息或者不發(fā)送消息、盡可能地通過消息誤導(dǎo)其他節(jié)點或延遲消息發(fā)送等，在最差情況下，所有的錯誤節(jié)點會被攻擊者組織協(xié)調(diào)以統(tǒng)一攻擊系統(tǒng)。

系統(tǒng)的網(wǎng)絡(luò)模型假設(shè)任意２ 個節(jié)點間存在可靠的點對點網(wǎng)絡(luò)連接，即節(jié)點發(fā)出的消息最終能被指定接受方收到。網(wǎng)絡(luò)消息是可驗證的，當節(jié)點發(fā)送消息時會使用私鑰進行簽名。假設(shè)錯誤節(jié)點無法偽造正確節(jié)點的簽名，從而保證正確節(jié)點的消息無法被錯誤節(jié)點偽造。ε-ＬＥ 采用半同步網(wǎng)絡(luò)模型［２］，即存在一個已知上界Δ 和一個未知的全局穩(wěn)定時間（Ｇｌｏｂａｌ Ｓｔａｂｉｌｉｚａｔｉｏｎ Ｔｉｍｅ，ＧＳＴ），在ＧＳＴ 后，任意２ 個節(jié)點之間的消息傳遞將在Δ 時間內(nèi)完成。

在對系統(tǒng)模型進行定義后，下一節(jié)將基于該模型對協(xié)議設(shè)計思路及性質(zhì)進行介紹。

２． ２ 問題分析與概述

在基于領(lǐng)導(dǎo)節(jié)點的共識協(xié)議中，領(lǐng)導(dǎo)選舉的過程是在每個共識實例開始時執(zhí)行的。每個節(jié)點執(zhí)行選舉協(xié)議并決定一個特定的節(jié)點作為當前視圖的領(lǐng)導(dǎo)。

在介紹ε-ＬＥ 之前，本節(jié)首先就領(lǐng)導(dǎo)節(jié)點對共識進度的影響及其原因進行分析。以事件驅(qū)動型Ｈｏｔ-Ｓｔｕｆｆ 為例，該協(xié)議ＱＣ 生成過程如圖１ 所示，其系統(tǒng)由４ 個節(jié)點組成，記為ｐ１ 、ｐ２ 、ｐ３ 、ｐ４ ；其中ｐ１ 、ｐ２ 、ｐ３之間的網(wǎng)絡(luò)延遲相等，并且顯著低于它們與ｐ４ 之間的延遲。第ｋ － １ ～ ｋ ＋ ２ 輪的領(lǐng)導(dǎo)節(jié)點分別是ｐ１ 、ｐ２ 、ｐ３ 、ｐ４ 。

每個領(lǐng)導(dǎo)節(jié)點只要收集到足夠的選票（紅色箭頭）并形成上一輪的ＱＣ，就會廣播自己的提案。因此，這些協(xié)議的性能取決于ＱＣ 形成的速度。ＱＣ 的大小根據(jù)共識配置而變化。在本例中，３ 個投票消息可以形成一個ＱＣ。由于節(jié)點之間的消息傳輸延遲不同，不同節(jié)點作為領(lǐng)導(dǎo)節(jié)點時生成ＱＣ 的延遲也不同。由于ＱＣ 的大小通常小于節(jié)點總數(shù)，因此即使是由誠實節(jié)點發(fā)送的一些投票也可能會被忽略（虛線箭頭）。顯然，若選擇ｐ４ 作為領(lǐng)導(dǎo)節(jié)點，不僅會增加該輪ＱＣ 的生成時間，還會延遲下一輪的開始時間。

ε-ＬＥ 使用消息延遲作為評估副本的指標。延遲不僅直接反映了消息傳遞系統(tǒng)中不同副本之間的網(wǎng)絡(luò)狀態(tài)，還是進程計算資源和工作負載的高級抽象。具有網(wǎng)絡(luò)感知能力的ε-ＬＥ 方法滿足以下性質(zhì)［６］：

① 一致性：任意正確節(jié)點將會在同一輪中輸出相同領(lǐng)導(dǎo)節(jié)點；

② 容錯性：有限的錯誤節(jié)點無法完全控制選舉過程；

③ 有效性：領(lǐng)導(dǎo)節(jié)點的選舉結(jié)果能夠有效優(yōu)化平均共識延遲；

④ 適應(yīng)性：選舉方法能夠適應(yīng)動態(tài)的網(wǎng)絡(luò)環(huán)境和工作負載，當節(jié)點狀態(tài)發(fā)生變化時，可以自適應(yīng)調(diào)整選舉結(jié)果。

首先給出領(lǐng)導(dǎo)選舉方法的整體流程，如算法１所示。

其中，第１ ～ ２ 行是監(jiān)控階段，通過對共識消息的分析，更新節(jié)點狀態(tài)與權(quán)重；第３ ～ １０ 行是采用εｇｒｅｅｄｙ 策略，基于評估權(quán)重對指定輪次的領(lǐng)導(dǎo)節(jié)點進行選擇。本方法結(jié)合具有線性視圖更換的共識協(xié)議特性，將領(lǐng)導(dǎo)節(jié)點的性能與狀態(tài)抽象為ＱＣ 構(gòu)建延遲，表示由該節(jié)點為領(lǐng)導(dǎo)節(jié)點時，該輪共識所消耗的時間。

２． ３ 監(jiān)控階段

在具有線性通信復(fù)雜度的共識協(xié)議中，普通節(jié)點在一般共識流程內(nèi)只會與領(lǐng)導(dǎo)節(jié)點發(fā)生消息交換。當共識消息交換發(fā)生時，節(jié)點將對領(lǐng)導(dǎo)節(jié)點的狀態(tài)進行監(jiān)控，即執(zhí)行監(jiān)控階段。為簡化描述，記第ｋ 輪領(lǐng)導(dǎo)節(jié)點為ｌｅａｄｅｒ（ｋ）。在監(jiān)控階段，節(jié)點通過單向測量獲得自身與被測節(jié)點之間的通信延遲信息。接下來本文將對單向測量的過程進行介紹。節(jié)點ｐｉ 在向ｌｅａｄｅｒ（ｋ）發(fā)送投票的同時，記錄其時間戳Ｔ１ ，記首次收到領(lǐng)導(dǎo)節(jié)點的回復(fù)時刻為Ｔ２ ，可以使用Ｔ２ －Ｔ１ 作為鏈路延遲。如果超時，延遲將被設(shè)置為超時參數(shù)ＭＡＸｌａｔｅｎｃｙ 以表示超時。然后節(jié)點ｐｉ 提交相應(yīng)輪次對ｌｅａｄｅｒ（ｋ）的測量延遲ｌａｔｅｎｃｙｐｉ，ｌｅａｄｅｒ（ｋ），ｋ。

被測量的領(lǐng)導(dǎo)節(jié)點可能會表現(xiàn)拜占庭行為影響測量結(jié)果，比如提前回復(fù)測量請求使得自身測量延遲低于真實延遲，從而在選舉階段獲得優(yōu)勢。為了避免被測節(jié)點的惡意行為對監(jiān)控階段造成影響，ε-ＬＥ 引入挑戰(zhàn)機制，即測量節(jié)點ｐｉ 在發(fā)送投票時會附帶一個“挑戰(zhàn)”；被測節(jié)點ｌｅａｄｅｒ（ｋ）需要解決挑戰(zhàn)并將“答案”附帶在回復(fù)消息中。挑戰(zhàn)及答案的實現(xiàn)形式可以通過隨機數(shù)和簽名的方式實現(xiàn)。由于領(lǐng)導(dǎo)節(jié)點一旦收集到２ｆ＋１ 個投票信息就會廣播回復(fù)消息，新的提案中可能會不包含對部分正確節(jié)點的回復(fù)。注意到領(lǐng)導(dǎo)節(jié)點可以確定哪些節(jié)點的挑戰(zhàn)沒有被回復(fù)，因此它可以單獨將回復(fù)發(fā)送給對應(yīng)節(jié)點。在這種情況下，即使是拜占庭領(lǐng)導(dǎo)節(jié)點也無法占據(jù)更主導(dǎo)的地位，因為對它來說最有利的行為是解決挑戰(zhàn)并立即回復(fù)，否則相應(yīng)測量節(jié)點測得的延遲將增加并影響其后續(xù)評估結(jié)果。ＡＷＡＲＥ 中主動監(jiān)測的方法在線性通信開銷的共識中，每輪引入額外的通信開銷復(fù)雜度為Ｏ（Ｎ２ ）；ε-ＬＥ 在單輪的共識中引入額外的通信開銷復(fù)雜度為Ｏ（Ｎ）；通過共識消息的捎帶，實際上每輪只會增加由領(lǐng)導(dǎo)節(jié)點發(fā)送的至多ｆ 條點對點回復(fù)消息。

在單向測量發(fā)生的過程中，假設(shè)發(fā)起測量的節(jié)點是正確節(jié)點，否則測量是沒有意義的；因為在εＬＥ 中，單向測量的目的是使節(jié)點能夠獲得自身與領(lǐng)導(dǎo)節(jié)點的通信延遲，并通過共識與其他節(jié)點一致地共享；惡意節(jié)點可以簡單地省略該階段，并通過提交任意偽造的測量值來發(fā)起攻擊，而不需要在單向的測量階段進行攻擊。為緩解惡意節(jié)點提交偽造測量值對領(lǐng)導(dǎo)選舉過程的影響，ε-ＬＥ 將對各節(jié)點通過共識提交的測量結(jié)果進行進一步的處理。

每個節(jié)點均會在本地維護延遲測量矩陣ＭＮ×Ｎ ，延遲評估向量ｌ 與平均延遲ｌａｔｅｎｃｙａｖｇ。其中，Ｍ 用于記錄已提交的測量延遲并輔助計算得到ｌ。Ｍｉ，ｊ表示測量節(jié)點ｉ 測得的與被測節(jié)點ｊ 之間的通信延遲，被初始化為：

ｌｉ 表示節(jié)點ｉ 的延遲評估信息，ｌａｔｅｎｃｙａｖｇ 表示歷史領(lǐng)導(dǎo)節(jié)點被測得的平均延遲，ｌ 與ｌａｔｅｎｃｙａｖｇ 均初始化為０。當ｆ＋１ 個針對ｌｅａｄｅｒ（ｋ）在第ｋ 輪的點對點延遲測量結(jié)果被提交時，假設(shè)集合Ｐ 為提交該ｆ＋１ 個測量結(jié)果的測量節(jié)點構(gòu)成的集合， Ｐ ＝ ｆ＋１，批量更新Ｍｐｉ，ｌｅａｄｅｒ（ｋ）為ｌａｔｅｎｃｙｐｉ，ｌｅａｄｅｒ（ｋ），ｋ，其中ｐｉ∈Ｐ。

提交單向測量結(jié)果的節(jié)點可能會表現(xiàn)拜占庭行為，從而影響后續(xù)選舉結(jié)果，比如提交低延遲測量結(jié)果，使得某一錯誤節(jié)點的延遲評估結(jié)果過低。為了緩解測量節(jié)點的惡意行為對選舉階段造成的影響。ε-ＬＥ 會對Ｍ 進行對稱化清洗，并通過２ｆ＋１ 分位采樣來評估每個節(jié)點，最終生成延遲評估結(jié)果向量ｌ。具體過程為，當Ｍｊ，ｉ 為＋∞ 時，不對Ｍｉ，ｊ 進行覆蓋，因為這表示節(jié)點ｊ 尚未提交對節(jié)點ｉ 的測量結(jié)果；此時若Ｍｉ，ｊ 不為＋∞ ，則更新Ｍｊ，ｉ 為Ｍｉ，ｊ。當Ｍｊ，ｉ 與Ｍｉ，ｊ 均不為＋∞ 時，采用下述公式進行更新：

Ｍｐｉ，ｐｋ ＝ ｍａｘ（Ｍｐｉ，ｌｅａｄｅｒ（ｋ），Ｍｌｅａｄｅｒ（ｋ），ｐｉ）。（２）

隨后，ε-ＬＥ 對延遲評估向量ｌ 進行更新。以更新第ｋ 輪領(lǐng)導(dǎo)節(jié)點ｌｅａｄｅｒ（ｋ）的延遲評估信息為例，為進一步緩解拜占庭節(jié)點惡意匯報的影響，ε-ＬＥ 將Ｍ 中ｌｅａｄｅｒ（ｋ）對應(yīng)的列向量元素升序排列，選擇第２ｆ＋ １ 個元素，記作ｌａｔｅｎｃｙｌｅａｄｅｒ（ｋ），根據(jù)下述公式對ｌｅａｄｅｒ（ｋ）的延遲評估信息進行更新：

ｌｌｅａｄｅｒ（ｋ） ＝ α·ｌｌｅａｄｅｒ（ｋ） ＋ （１ － α）·ｌａｔｅｎｃｙｌｅａｄｅｒ（ｋ）， （３）

式中：α∈（０，１）為一個系統(tǒng)參數(shù)，用于對節(jié)點的歷史延遲評估信息進行加權(quán)。之所以選擇加權(quán)而不是平均延遲的原因是，希望在減小網(wǎng)絡(luò)波動帶來的誤差的同時，減弱相隔過遠的輪次延遲信息的影響，且能夠使網(wǎng)絡(luò)條件變好的穩(wěn)定節(jié)點，在更短的輪次內(nèi)消除歷史延遲的影響，從而被選為領(lǐng)導(dǎo)節(jié)點。

ＧｅｔＷｅｉｇｈｔ 過程將延遲評估向量ｌ 映射為各個節(jié)點的最終權(quán)重。節(jié)點的最終權(quán)重與其延遲評估結(jié)果負相關(guān)，即延遲越小的節(jié)點，權(quán)重越高。ＧｅｔＷｅｉｇｈｔ 權(quán)重獲取算法如算法２ 所示。

算法２ 是一種最樸素的權(quán)重計算方法，該方法返回元素為二元元組（ｎｏｄｅｉｄ，ｗｅｉｇｈｔｎｏｄｅｉｄ ）的有序列表；其中，元組的第一項為節(jié)點標識，第二項為節(jié)點權(quán)重，且數(shù)組中的元素按照ｗｅｉｇｈｔｎｏｄｅｉｄ 降序排列。ｗｅｉｇｈｔｎｏｄｅｉｄ 與ｌｎｏｄｅｉｄ 負相關(guān)。該方法將最大延遲信息與節(jié)點延遲表現(xiàn)之差作為權(quán)重。因為各個節(jié)點維護相同的ｌ，若ｌａｔｅｎｃｙａｖｇ ＝ ０，則說明不存在一個已被提交的塊，或僅有創(chuàng)世區(qū)塊被提交；否則當一個非創(chuàng)世區(qū)塊的區(qū)塊被確認時，其延遲信息也會被確認，從而被節(jié)點讀取，修改ｌａｔｅｎｃｙａｖｇ；此時ｗｅｉｇｈｔｉ 均為１，所有節(jié)點的權(quán)重相同。

此外，ｌｉ ＝ ０ 意味著該節(jié)點還沒有被選為領(lǐng)導(dǎo)節(jié)點，或該節(jié)點提出的提案區(qū)塊還沒有被確認提交，此時將其延遲設(shè)為平均延遲，即權(quán)重為（ＭＡＸｌａｔｅｎｃｙ －ｌａｔｅｎｃｙａｖｇ），這樣做的原因有２ 個：一方面，若直接設(shè)該節(jié)點的延遲為０，則將導(dǎo)致系統(tǒng)在前ｎ 輪的領(lǐng)導(dǎo)選舉會幾乎遍歷全部節(jié)點，因為未被遍歷到的節(jié)點，其權(quán)重是最大的，從而使得系統(tǒng)在運行初期的表現(xiàn)會極差，尤其是當ｎ 較大，且系統(tǒng)中網(wǎng)絡(luò)較差節(jié)點的數(shù)量較多時；另一方面，若設(shè)該節(jié)點的延遲為最大，則訪問到潛在更優(yōu)節(jié)點的概率會過低，將使得系統(tǒng)收斂到較優(yōu)節(jié)點的耗時可能會極大地增加。因此設(shè)置初始延遲為中間值，兼顧了系統(tǒng)的運行效率與收斂到較優(yōu)節(jié)點的速度。

２． ４ 選舉階段

在獲得了有序的節(jié)點權(quán)重數(shù)組ｗｅｉｇｈｔ 后，可以基于ｗｅｉｇｈｔ 進行領(lǐng)導(dǎo)選舉。本文的領(lǐng)導(dǎo)選舉方法基于ε-ｇｒｅｅｄｙ 的思想。首先，各節(jié)點以輪次信息為隨機種子生成隨機數(shù)，以ε 的概率返回１，否則返回０。

ｃｏｉｎ ← ｒａｎｄ（ｒｏｕｎｄ，ε）。（４）

以ｒｏｕｎｄ 為隨機種子，使得各節(jié)點在同一輪次能獲得相同的硬幣結(jié)果，進而保證后續(xù)領(lǐng)導(dǎo)選舉的一致性。ｒａｎｄ 隨機過程以ε 的概率返回１，否則返回０。根據(jù)硬幣結(jié)果，獲得候選人列表：

當硬幣結(jié)果為０ 時，即１－ε 的概率，選擇前ｆ＋１ 個節(jié)點作為候選節(jié)點，而非具有最優(yōu)表現(xiàn)的節(jié)點，原因是為了防止系統(tǒng)中心化，選舉結(jié)果收斂到唯一的節(jié)點。當硬幣結(jié)果為１ 時，即ε 的概率，選擇后ｎ－ｆ－１ 個節(jié)點作為候選人。前ｆ＋１ 個節(jié)點稱為強節(jié)點，剩余的ｎ－ｆ－１ 個節(jié)點稱為弱節(jié)點。

最后，ＣｈｏｏｓｅＬｅａｄｅｒ 是一個加權(quán)采樣過程，即是在候選節(jié)點列表ｃａｎｄｉｄａｔｅｓ 中，根據(jù)輪次ｒｏｕｎｄ 選擇一個節(jié)點作為領(lǐng)導(dǎo)節(jié)點。在經(jīng)過上一輪的篩選后，ｃａｎｄｉｄａｔｅｓ 要么是優(yōu)勢節(jié)點的集合，要么是弱勢節(jié)點的集合?？梢酝ㄟ^最近提交歷史與輪次信息來提高選舉結(jié)果的不易預(yù)測性，但由于選舉階段是不依賴額外網(wǎng)絡(luò)通信的，因此計算過程必須是確定性的，從而保證分布式計算選舉結(jié)果的一致性。

３ 協(xié)議分析

３． １ 安全性與活性

ε-ＬＥ 的安全性和活性由共識協(xié)議所保證，只要底層共識協(xié)議的安全性與活性，則選舉的安全性和活性都不會受到影響。

在安全性方面，由于節(jié)點測量的延遲數(shù)據(jù)通過共識達成一致，使得在同一輪次下，各節(jié)點對當前集群其他節(jié)點延遲評估結(jié)果是一致的；評估階段采用對稱化清洗與２ｆ＋１ 分位采樣使得拜占庭節(jié)點無法確定性地控制選舉結(jié)果，保證了ε-ＬＥ 的容錯性；而選舉階段是一個基于輪次的確定性過程，因此ε-ＬＥ選舉結(jié)果能夠保證一致性。

在活性方面，由于選舉階段不引入額外的消息交換，只要共識協(xié)議的活性不被破壞，每一輪領(lǐng)導(dǎo)選舉就可以根據(jù)輪次與維護的延遲信息向量選出唯一且一致的領(lǐng)導(dǎo)節(jié)點，因此系統(tǒng)活性同樣不會受到影響。

結(jié)合選舉方法，拜占庭節(jié)點可能選擇的攻擊方式是提前預(yù)測領(lǐng)導(dǎo)節(jié)點并發(fā)起攻擊。因為ε-ＬＥ 的選舉結(jié)果有１－ε 的概率為前ｆ＋１ 個節(jié)點，因此攻擊者可能會對具有潛在更高權(quán)重的節(jié)點發(fā)起攻擊。然而，ε-ＬＥ 的選舉結(jié)果會依據(jù)最近提交的區(qū)塊，在上一個區(qū)塊被提交前無法確定性預(yù)測，因此攻擊者只有在２ 個區(qū)塊生成的間隔進行確定性攻擊，這樣能夠恰好選擇到下一輪領(lǐng)導(dǎo)節(jié)點的概率將小于１－ε／ｆ＋１ ，且隨著系統(tǒng)規(guī)模的擴大，這個概率會逐漸變小。

３． ２ 網(wǎng)絡(luò)感知與不易預(yù)測性

ε-ＬＥ 能夠?qū)ο到y(tǒng)的網(wǎng)絡(luò)狀態(tài)進行感知。網(wǎng)絡(luò)感知的具體含義是系統(tǒng)能夠識別網(wǎng)絡(luò)條件更優(yōu)的節(jié)點，并使其具有更高概率成為領(lǐng)導(dǎo)節(jié)點，從而提升共識效率；若節(jié)點網(wǎng)絡(luò)情況發(fā)生了變化，如網(wǎng)絡(luò)情況好的節(jié)點系統(tǒng)也能夠在有限的時間內(nèi)發(fā)現(xiàn)并做出相應(yīng)的改變。ε-ＬＥ 用生成ＱＣ 所需時間作為一個節(jié)點網(wǎng)絡(luò)情況的量化指標，原因在于ＱＣ 的生成代表一輪共識的結(jié)束與新一輪共識的開始，是影響共識效率的關(guān)鍵因素。生成ＱＣ 耗時更短的節(jié)點，意味著與該節(jié)點最近的ｎ－ｆ 個節(jié)點完成投票所需時間更短，即在共識層面上該節(jié)點在網(wǎng)絡(luò)中占據(jù)關(guān)鍵位置。

感知節(jié)點網(wǎng)絡(luò)變化的能力可以用系統(tǒng)中弱節(jié)點的被選中概率來衡量，原因在于對一個節(jié)點進行網(wǎng)絡(luò)感知，需要獲得其生成ＱＣ 的耗時，而節(jié)點只有被選為領(lǐng)導(dǎo)節(jié)點才有資格生成當輪的ＱＣ。不妨假設(shè)在一般情況下，各節(jié)點權(quán)重的相對大小不會發(fā)生改變。此時前ｆ＋１ 個節(jié)點中，每個節(jié)點被選中的概率為１－ε／ｆ＋１ ，后ｎ－ｆ－１ 個節(jié)點中，每個節(jié)點被選中的概率為ε／ｎ－ｆ－１ ＝ ε２ｆ。此時考慮單個較弱節(jié)點被選中的期望輪次Ｅ ＝ ２ｆ／ε ，其中ε∈（０，１），一般取０． １ 等較小的數(shù)值，代表系統(tǒng)以較低的概率探索（ｅｘｐｌｏｉｔ）較弱節(jié)點。同時可以得到，第ｋ 輪時該弱節(jié)點一直沒有被選為領(lǐng)導(dǎo)節(jié)點的概率為：

式中：Ｘｉ 為節(jié)點ｉ 從未被選為領(lǐng)導(dǎo)節(jié)點的事件，ｋ 為當前提交的輪次，ｆ 為拜占庭節(jié)點數(shù)上限。根據(jù)ε與系統(tǒng)規(guī)模的不同，概率也會相應(yīng)地變化。

圖２ 對比了不同系統(tǒng)規(guī)模下，隨著輪次增加，節(jié)點未被選為領(lǐng)導(dǎo)節(jié)點的概率趨勢。從圖中可以看到，隨著輪次的增加，節(jié)點未被選中的概率逐漸趨于０。當ｆ ＝３２ 時，系統(tǒng)規(guī)模ｎ 至少為９７，在第３ ０００ 輪時，某一弱節(jié)點仍未被選為領(lǐng)導(dǎo)節(jié)點的概率為Ｐ（Ｘｉ ｒｏｕｎｄ ＝ ３ ０００）＝ （１－（０． １／ ６４） ） ３ ０００ ≈０． ９１％ 。不同于ＰｏＷ［２５］等基于證明的共識方法，ＢＦＴ 共識協(xié)議的執(zhí)行效率遠高于基于證明的共識方法，在實際應(yīng)用中的輪次增長將會更快。因此，在節(jié)點的網(wǎng)絡(luò)情況將在有限的時間內(nèi)被系統(tǒng)感知。

綜上，ε-ＬＥ 在不破壞底層共識協(xié)議安全性與活性的基礎(chǔ)上，通過網(wǎng)絡(luò)感知機制實現(xiàn)了共識領(lǐng)導(dǎo)節(jié)點選舉的一致性、有效性與適應(yīng)性，基于采樣機制與ε-ｇｒｅｅｄｙ 策略使得有限的錯誤節(jié)點無法完全控制選舉過程，保證了容錯性。

４ 實驗驗證

ε-ＬＥ 適用于基于領(lǐng)導(dǎo)節(jié)點的ＢＦＴ ＳＭＲ 協(xié)議，本文在ＨｏｔＳｔｕｆｆ 協(xié)議的基礎(chǔ)上對ε-ＬＥ 進行了實現(xiàn)。本節(jié)首先展示當節(jié)點延遲發(fā)生變化時協(xié)議選舉結(jié)果的變化，來展示其對動態(tài)網(wǎng)絡(luò)的適應(yīng)性；然后，在資源受限的環(huán)境中部署共識系統(tǒng)，將它們組織成線性拓撲，并比較３ 種選舉方法對共識系統(tǒng)吞吐量的影響；最后，在ＬＡＮ 環(huán)境下對系統(tǒng)進行性能測試，驗證ε-ＬＥ 協(xié)議在一般條件下對共識系統(tǒng)性能的影響。

在第一個實驗中，共識系統(tǒng)部署在由交換機連接的４ 臺服務(wù)器上；服務(wù)器配置為１６ ＧＢ 內(nèi)存和Ｒｙｚｅｎ３７００Ｘ ＣＰＵ；每臺服務(wù)器運行１ 個共識節(jié)點，記作ｐ１ 、ｐ２ 、ｐ３ 、ｐ４ 。在初始配置中，節(jié)點之間的延遲幾乎相同（大約２０ ｍｓ）。運行３４０ 輪后，對ｐ３ 端口帶寬進行限制，這增加了ｐ３ 與其他節(jié)點之間的消息交換延遲（約８０ ｍｓ）。每輪的領(lǐng)導(dǎo)節(jié)點選擇結(jié)果如圖３ 所示。當節(jié)點啟動并初始化時，ｐ４ 略有延遲，由于３ 個正常節(jié)點即可推進共識進程，因此在前５０ 輪中ｐ４ 沒有成為領(lǐng)導(dǎo)節(jié)點。當系統(tǒng)正常運行時，在３４０ 輪之前，選舉結(jié)果是均勻分布的。經(jīng)過３４０ 輪后，可以看出，當ｐ３ 的延遲增加時，ｐ３ 在前幾輪中仍然多次成為領(lǐng)導(dǎo)節(jié)點，因為εＬＥ 需要等待系統(tǒng)提交關(guān)于先前選舉的監(jiān)控延遲，當延遲評估信息更新后，ｐ３ 被選為領(lǐng)導(dǎo)節(jié)點的概率下降?？梢园l(fā)現(xiàn)，ｐ３ 在延遲增加后的輪次中會偶爾成為領(lǐng)導(dǎo)節(jié)點，這是因為ε-ＬＥ 采用的ε-ｇｒｅｅｄｙ 策略將嘗試對弱節(jié)點進行采樣，以便在網(wǎng)絡(luò)狀態(tài)改善時重新選舉。實驗統(tǒng)計了每個節(jié)點被選擇的次數(shù)，結(jié)果如圖４ 所示。

在第２ 個實驗中，共識系統(tǒng)以線性拓撲部署在４ 個具有２ ＧＢ 內(nèi)存和２ 核Ｒｙｚｅｎ ３７００Ｘ ＣＰＵ 的服務(wù)器上，用于驗證ε-ＬＥ 在資源受限環(huán)境下的有效性。該實驗使用虛擬路由器來模擬真實環(huán)境中基于基站轉(zhuǎn)發(fā)的通信模式，并對不同工作負載下的３ 種領(lǐng)導(dǎo)選舉方法進行了對比測試。

在線性拓撲中的節(jié)點從左到右依次標記為ｐ１ 、ｐ２ 、ｐ３ 、ｐ４ 。相鄰節(jié)點之間的延遲約為２０ ｍｓ。由于消息轉(zhuǎn)發(fā)，ｐ１ 和ｐ３ 之間的延遲增加到大約４０ ～５０ ｍｓ。一條消息從ｐ１ 傳遞到ｐ４ 大約需要８０ ｍｓ。由于系統(tǒng)由４ 個節(jié)點組成，領(lǐng)導(dǎo)節(jié)點需要收集至少３ 個投票消息才能形成ＱＣ。如果ｐ１ 是領(lǐng)導(dǎo)節(jié)點，它生成的ＱＣ 通常會包括ｐ２ 、ｐ３ 和它自己發(fā)送的選票。因此，ｐ１ 的延遲預(yù)期為４０ ｍｓ，即ｐ１ 和ｐ３ 之間的消息延遲。當ｐ２ 成為領(lǐng)導(dǎo)節(jié)點時，它只需要直接收集鄰居的選票即可。因此ｐ２ 的預(yù)期延遲為２０ ｍｓ，明顯小于ｐ１ 。由于對稱性，ｐ３ 和ｐ４ 的延遲分別與ｐ２和ｐ１ 相同。

通過上面的分析，可以發(fā)現(xiàn)ｐ２ 和ｐ３ 就是該系統(tǒng)中相對的強節(jié)點。選擇ｐ１ 或ｐ４ 作為領(lǐng)導(dǎo)節(jié)點是最糟糕的選擇。采用領(lǐng)導(dǎo)節(jié)點固定為ｐ１ 時的吞吐量作為基準，在輪詢方法中，系統(tǒng)將依次選擇４ 個節(jié)點作為領(lǐng)導(dǎo)節(jié)點，結(jié)果如圖５ 所示。與最壞情況相比，輪詢方法的吞吐量提高了２１％ 。ε-ＬＥ 相比于輪詢方法的吞吐量進一步提升了２３． ４％ 。

ε-ＬＥ 在ＬＡＮ 環(huán)境下對共識系統(tǒng)性能的影響如圖６ 所示。結(jié)果表明，在ＬＡＮ 等良好通信環(huán)境的情況下，ε-ＬＥ 帶來的額外開銷對性能的影響幾乎可以忽略不計。

５ 結(jié)束語

本文提出了一種基于ε-ｇｒｅｅｄｙ 策略的延遲感知領(lǐng)導(dǎo)選舉機制，通過對集群網(wǎng)絡(luò)狀態(tài)進行感知，當網(wǎng)絡(luò)波動時，ε-ＬＥ 會基于歷史延遲因子α 和ε 的配置，動態(tài)改變受影響節(jié)點的權(quán)重，在保證選舉結(jié)果一致性的前提下，使得能夠最小化集群共識延遲的節(jié)點有更高的概率成為領(lǐng)導(dǎo)節(jié)點，從而優(yōu)化共識性能。

最后，本文在ＨｏｔＳｔｕｆｆ 協(xié)議的基礎(chǔ)上對ε-ＬＥ 協(xié)議進行了實現(xiàn)與實驗，實驗結(jié)果表明ε-ＬＥ 有效地通過優(yōu)化領(lǐng)導(dǎo)節(jié)點選擇實現(xiàn)了對共識吞吐量的提高。為進一步提高協(xié)議在實際生產(chǎn)環(huán)境中的實用性，將對不同網(wǎng)絡(luò)狀態(tài)下α 和ε 等系統(tǒng)參數(shù)的自適應(yīng)調(diào)整開展持續(xù)研究。

參考文獻

［１］ ＣＡＳＴＲＯ Ｍ，ＬＩＳＫＯＶ Ｂ． Ｐｒａｃｔｉｃａｌ Ｂｙｚａｎｔｉｎｅ Ｆａｕｌｔ Ｔｏｌｅｒａｎｃｅ［Ｃ］∥ ＯＳＤＩ’９９：Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ Ｔｈｉｒｄ Ｓｙｍｐｏｓｉｕｍ ｏｎＯｐｅｒａｔｉｎｇ Ｓｙｓｔｅｍｓ Ｄｅｓｉｇｎ ａｎｄ Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ． Ｎｅｗ Ｏｒｌｅａｎｓ：ＵＳＥＮＩＸ Ａｓｓｏｃｉａｔｉｏｎ，１９９９：１７３－１８６．

［２］ ＹＩＮ Ｍ Ｆ，ＭＡＬＫＨＩ Ｄ，ＲＥＩＴＥＲ Ｍ Ｋ，ｅｔ ａｌ． ＨｏｔＳｔｕｆｆ：ＢＦＴＣｏｎｓｅｎｓｕｓ ｗｉｔｈ Ｌｉｎｅａｒｉｔｙ ａｎｄ Ｒｅｓｐｏｎｓｉｖｅｎｅｓｓ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ２０１９ ＡＣＭ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｐｒｉｎｃｉｐｌｅｓ ｏｆＤｉｓｔｒｉｂｕｔｅｄ Ｃｏｍｐｕｔｉｎｇ． Ｔｏｒｏｎｔｏ：ＡＣＭ，２０１９：３４７－３５６．

［３］ 翁越男，魏小平，劉洋，等． 一種基于區(qū)塊鏈的無人機集群協(xié)作監(jiān)測框架設(shè)計［Ｊ］． 無線電工程，２０２２，５２（７）：１２５０－１２５９．

［４］ ＣＡＣＨＩＮ Ｃ，ＫＵＲＳＡＷＥ Ｋ，ＳＨＯＵＰ Ｖ． Ｒａｎｄｏｍ Ｏｒａｃｌｅｓ ｉｎＣｏｎｓｔａｎｔｉｎｏｐｌｅ：Ｐｒａｃｔｉｃａｌ Ａｓｙｎｃｈｒｏｎｏｕｓ Ｂｙｚａｎｔｉｎｅ Ａｇｒｅｅｍｅｎｔ Ｕｓｉｎｇ Ｃｒｙｐｔｏｇｒａｐｈｙ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １９ｔｈＡＣＭ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｐｒｉｎｃｉｐｌｅｓ ｏｆ Ｄｉｓｔｒｉｂｕｔｅｄ Ｃｏｍｐｕｔｉｎｇ．Ｐｏｒｔｌａｎｄ：ＡＣＭ，２０００：１２３－１３２．

［５］ ＣＨＥＮ Ｊ，ＭＩＣＡＬＩ Ｓ． Ａｌｇｏｒａｎｄ［ＥＢ ／ ＯＬ］． （２０１６－０７－０５）［２０２３－１１－２２］． ｈｔｔｐｓ：∥ａｒｘｉｖ． ｏｒｇ ／ ａｂｓ ／ １６０７． ０１３４１．

［６］ ＥＩＳＣＨＥＲ Ｍ，ＤＩＳＴＬＥＲ Ｔ． Ｌａｔｅｎｃｙａｗａｒｅ Ｌｅａｄｅｒ Ｓｅｌｅｃｔｉｏｎｆｏｒ Ｇｅｏｒｅｐｌｉｃａｔｅｄ Ｂｙｚａｎｔｉｎｅ Ｆａｕｌｔｔｏｌｅｒａｎｔ Ｓｙｓｔｅｍｓ［Ｃ］∥２０１８ ４８ｔｈ Ａｎｎｕａｌ ＩＥＥＥ ／ ＩＦＩＰ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＤｅｐｅｎｄａｂｌｅ Ｓｙｓｔｅｍｓ ａｎｄ Ｎｅｔｗｏｒｋｓ Ｗｏｒｋｓｈｏｐｓ （ＤＳＮＷ）．Ｌｕｘｅｍｂｏｕｒｇ：ＩＥＥＥ，２０１８：１４０－１４５．

［７］ ＢＥＲＧＥＲ Ｃ，ＲＥＩＳＥＲ Ｈ Ｐ，ＳＯＵＳＡ Ｊ，ｅｔ ａｌ． ＡＷＡＲＥ：Ａｄａｐｔｉｖｅ Ｗｉｄｅａｒｅａ Ｒｅｐｌｉｃａｔｉｏｎ ｆｏｒ Ｆａｓｔ ａｎｄ Ｒｅｓｉｌｉｅｎｔ Ｂｙｚａｎｔｉｎｅ Ｃｏｎｓｅｎｓｕｓ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｄｅｐｅｎｄａｂｌｅａｎｄ Ｓｅｃｕｒｅ Ｃｏｍｐｕｔｉｎｇ，２０２０，１９（３）：１６０５－１６２０．

［８］ ＮＩＳＣＨＷＩＴＺ Ｍ，ＥＳＣＨＥ Ｍ，ＴＳＣＨＯＲＳＣＨ Ｆ． Ｒａｉｓｉｎｇ ｔｈｅＡＷＡＲＥｎｅｓｓ ｏｆ ＢＦＴ Ｐｒｏｔｏｃｏｌｓ ｆｏｒ Ｓｏａｒｉｎｇ Ｎｅｔｗｏｒｋ Ｄｅｌａｙｓ［Ｃ］∥ ２０２２ ＩＥＥＥ ４７ｔｈ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｌｏｃａｌ ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｓ （ＬＣＮ）． Ｅｄｍｏｎｔｏｎ：ＩＥＥＥ，２０２２：３８７－３９０．

［９］ ＳＵＴＴＯＮ Ｒ Ｓ，ＢＡＲＴＯ Ａ Ｇ． Ｒｅｉｎｆｏｒｃｅｍｅｎｔ Ｌｅａｒｎｉｎｇ：ＡｎＩｎｔｒｏｄｕｃｔｉｏｎ［Ｍ］． Ｃａｍｂｒｉｄｇｅ：ＭＩＴ Ｐｒｅｓｓ，１９９８．

［１０］ ＬＡＭＰＯＲＴ Ｌ． Ｔｉｍｅ，Ｃｌｏｃｋｓ，ａｎｄ ｔｈｅ Ｏｒｄｅｒｉｎｇ ｏｆ Ｅｖｅｎｔｓ ｉｎａ Ｄｉｓｔｒｉｂｕｔｅｄ Ｓｙｓｔｅｍ ［Ｊ］． Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ ｏｆ ｔｈｅ ＡＣＭ，１９７８，２１（７）：５５８－５６５．。

［１１］ ＰＥＡＳＥ Ｍ，ＳＨＯＳＴＡＫ Ｒ，ＬＡＭＰＯＲＴ Ｌ． Ｒｅａｃｈｉｎｇ Ａｇｒｅｅｍｅｎｔ ｉｎ ｔｈｅ Ｐｒｅｓｅｎｃｅ ｏｆ Ｆａｕｌｔｓ［Ｊ］． Ｊｏｕｒｎａｌ ｏｆ ｔｈｅ ＡＣＭ（ＪＡＣＭ），１９８０，２７（２）：２２８－２３４．

［１２］ ＳＣＨＮＥＩＤＥＲ Ｆ Ｂ． Ｉｍｐｌｅｍｅｎｔｉｎｇ Ｆａｕｌｔｔｏｌｅｒａｎｔ ＳｅｒｖｉｃｅｓＵｓｉｎｇ ｔｈｅ Ｓｔａｔｅ Ｍａｃｈｉｎｅ Ａｐｐｒｏａｃｈ：Ａ Ｔｕｔｏｒｉａｌ［Ｊ］． ＡＣＭＣｏｍｐｕｔｉｎｇ Ｓｕｒｖｅｙｓ （ＣＳＵＲ），１９９０，２２（４）：２９９－３１９．

［１３］ ＹＡＮＧ Ｌ，ＰＡＲＫ Ｓ Ｊ，ＡＬＩＺＡＤＥＨ Ｍ，ｅｔ ａｌ． ＤｉｓｐｅｒｓｅｄＬｅｄｇｅｒ：Ｈｉｇｈｔｈｒｏｕｇｈｐｕｔ Ｂｙｚａｎｔｉｎｅ Ｃｏｎｓｅｎｓｕｓ ｏｎ ＶａｒｉａｂｌｅＢａｎｄｗｉｄｔｈ Ｎｅｔｗｏｒｋｓ［Ｃ］∥１９ｔｈ ＵＳＥＮＩＸ Ｓｙｍｐｏｓｉｕｍ ｏｎＮｅｔｗｏｒｋｅｄ Ｓｙｓｔｅｍｓ Ｄｅｓｉｇｎ ａｎｄ Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ （ＮＳＤＩ２２）． Ｒｅｎｔｏｎ：ＵＳＥＮＩＸ Ａｓｓｏｃｉａｔｉｏｎ，２０２２：４９３－５１２．

［１４］ ＭＩＬＬＥＲ Ａ，ＸＩＡ Ｙ，ＣＲＯＭＡＮ Ｋ，ｅｔ ａｌ． Ｔｈｅ Ｈｏｎｅｙ Ｂａｄｇｅｒｏｆ ＢＦＴ Ｐｒｏｔｏｃｏｌｓ ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ２０１６ ＡＣＭＳＩＧＳＡＣ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｃｏｍｐｕｔｅｒ ａｎｄ ＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｅｃｕｒｉｔｙ． Ｖｉｅｎｎａ：ＡＣＭ，２０１６：３１－４２．

［１５］ ＫＯＧＩＡＳ Ｅ Ｋ，ＪＯＶＡＮＯＶＩＣ Ｐ，ＧＡＩＬＬＹ Ｎ，ｅｔ ａｌ．Ｅｎｈａｎｃｉｎｇ Ｂｉｔｃｏｉｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｅｒｆｏｒｍａｎｃｅ ｗｉｔｈ ＳｔｒｏｎｇＣｏｎｓｉｓｔｅｎｃｙ ｖｉａ Ｃｏｌｌｅｃｔｉｖｅ Ｓｉｇｎｉｎｇ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆｔｈｅ ２５ｔｈ ＵＳＥＮＩＸ Ｓｅｃｕｒｉｔｙ Ｓｙｍｐｏｓｉｕｍ． Ａｕｓｔｉｎ：ＵＳＥＮＩＸＡｓｓｏｃｉａｔｉｏｎ，２０１６：２７９－２９６．

［１６］ ＮＥＩＨＥＩＳＥＲ Ｒ，ＭＡＴＯＳ Ｍ，ＲＯＤＲＩＧＵＥＳ Ｌ． Ｋａｕｒｉ：Ｓｃａｌａｂｌｅ ＢＦＴ Ｃｏｎｓｅｎｓｕｓ ｗｉｔｈ Ｐｉｐｅｌｉｎｅｄ Ｔｒｅｅｂａｓｅｄ Ｄｉｓｓｅｍｉｎａｔｉｏｎ ａｎｄ Ａｇｇｒｅｇａｔｉｏｎ ［Ｃ ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅＡＣＭ ＳＩＧＯＰＳ ２８ｔｈ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｏｐｅｒａｔｉｎｇ ＳｙｓｔｅｍｓＰｒｉｎｃｉｐｌｅｓ． ［Ｓ． ｌ． ］：ＡＣＭ，２０２１：３５－４８．

［１７］ ＦＡＶＩＥＲ Ａ，ＧＵＩＴＴＯＮＮＥＡＵ Ｎ，ＡＲＡＮＴＥＳ Ｌ，ｅｔ ａｌ． Ｔｏｐｏｌｏｇｙ Ａｗａｒｅ Ｌｅａｄｅｒ Ｅｌｅｃｔｉｏｎ Ａｌｇｏｒｉｔｈｍ ｆｏｒ Ｄｙｎａｍｉｃ Ｎｅｔｗｏｒｋｓ［Ｃ］∥ ２０２０ ＩＥＥＥ ２５ｔｈ Ｐａｃｉｆｉｃ Ｒｉｍ ＩｎｔｅｒｎａｔｉｏｎａｌＳｙｍｐｏｓｉｕｍ ｏｎ Ｄｅｐｅｎｄａｂｌｅ Ｃｏｍｐｕｔｉｎｇ （ＰＲＤＣ）． Ｐｅｒｔｈ：ＩＥＥＥ，２０２０：１－１０．

［１８］ ＢＥＳＳＡＮＩ Ａ，ＳＯＵＳＡ Ｊ，ＡＬＣＨＩＥＲＩ Ｅ Ｅ Ｐ． Ｓｔａｔｅ ＭａｃｈｉｎｅＲｅｐｌｉｃａｔｉｏｎ ｆｏｒ ｔｈｅ Ｍａｓｓｅｓ ｗｉｔｈ ＢＦＴＳＭＡＲＴ［Ｃ］∥２０１４４４ｔｈ Ａｎｎｕａｌ ＩＥＥＥ ／ ＩＦＩＰ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｄｅｐｅｎｄａｂｌｅ Ｓｙｓｔｅｍｓ ａｎｄ Ｎｅｔｗｏｒｋｓ． Ａｔｌａｎｔａ：ＩＥＥＥ，２０１４：３５５－３６２．

［１９］ ＶＥＲＯＮＥＳＥ Ｇ Ｓ，ＣＯＲＲＥＩＡ Ｍ，ＢＥＳＳＡＮＩ Ａ Ｎ，ｅｔ ａｌ．ＥＢＡＷＡ：Ｅｆｆｉｃｉｅｎｔ Ｂｙｚａｎｔｉｎｅ Ａｇｒｅｅｍｅｎｔ ｆｏｒ ＷｉｄｅａｒｅａＮｅｔｗｏｒｋｓ［Ｃ］∥２０１０ ＩＥＥＥ １２ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｓｙｍｐｏｓｉｕｍｏｎ Ｈｉｇｈ Ａｓｓｕｒａｎｃｅ Ｓｙｓｔｅｍｓ Ｅｎｇｉｎｅｅｒｉｎｇ． Ｓａｎ Ｊｏｓｅ：ＩＥＥＥ，２０１０：１０－１９．

［２０］ ＡＭＩＲ Ｙ，ＤＡＮＩＬＯＶ Ｃ，ＤＯＬＥＶ Ｄ，ｅｔ ａｌ． Ｓｔｅｗａｒｄ：ＳｃａｌｉｎｇＢｙｚａｎｔｉｎｅ Ｆａｕｌｔｔｏｌｅｒａｎｔ Ｒｅｐｌｉｃａｔｉｏｎ ｔｏ Ｗｉｄｅ ＡｒｅａＮｅｔｗｏｒｋｓ ［Ｊ ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｄｅｐｅｎｄａｂｌｅ ａｎｄＳｅｃｕｒｅ Ｃｏｍｐｕｔｉｎｇ，２００８，７（１）：８０－９３．

［２１］ ＬＩＵ Ｓ Ｙ，ＶＵＫＯＬＩＣ′ Ｍ． Ｌｅａｄｅｒ Ｓｅｔ Ｓｅｌｅｃｔｉｏｎ ｆｏｒ Ｌｏｗｌａｔｅｎｃｙ Ｇｅｏｒｅｐｌｉｃａｔｅｄ Ｓｔａｔｅ Ｍａｃｈｉｎｅ［Ｊ］． ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｐａｒａｌｌｅｌ ａｎｄ Ｄｉｓｔｒｉｂｕｔｅｄ Ｓｙｓｔｅｍｓ，２０１６，２８（７）：１９３３－１９４６．

［２２］ ＤＵ Ｊ Ｑ，ＳＣＩＡＳＣＩＡ Ｄ，ＥＬＮＩＫＥＴＹ Ｓ，ｅｔ ａｌ． ＣｌｏｃｋＲＳＭ：Ｌｏｗｌａｔｅｎｃｙ Ｉｎｔｅｒｄａｔａｃｅｎｔｅｒ Ｓｔａｔｅ Ｍａｃｈｉｎｅ ＲｅｐｌｉｃａｔｉｏｎＵｓｉｎｇ Ｌｏｏｓｅｌｙ Ｓｙｎｃｈｒｏｎｉｚｅｄ Ｐｈｙｓｉｃａｌ Ｃｌｏｃｋｓ［Ｃ］∥２０１４４４ｔｈ Ａｎｎｕａｌ ＩＥＥＥ ／ ＩＦＩＰ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｄｅｐｅｎｄａｂｌｅ Ｓｙｓｔｅｍｓ ａｎｄ Ｎｅｔｗｏｒｋｓ． Ａｔｌａｎｔａ：ＩＥＥＥ，２０１４：３４３－３５４．

［２３］ ＮＡＶＡＲＯＪ Ｇ Ｉ，ＪＵＬＩＥ Ｅ Ｇ，ＲＯＢＩＮＳＯＮ Ｙ Ｈ． ＡｄａｐｔｉｖｅＰｒａｃｔｉｃａｌ Ｂｙｚａｎｔｉｎｅ Ｆａｕｌｔ Ｔｏｌｅｒａｎｃｅ Ｃｏｎｓｅｎｓｕｓ Ａｌｇｏｒｉｔｈｍｉｎ Ｐｅｒｍｉｓｓｉｏｎ Ｂｌｏｃｋｃｈａｉｎ Ｎｅｔｗｏｒｋ ［Ｊ ］． ＩｎｔｅｒｎａｔｉｏｎａｌＪｏｕｒｎａｌ ｏｆ Ｗｅｂ ａｎｄ Ｇｒｉｄ Ｓｅｒｖｉｃｅｓ，２０２２，１８（１）：６２－８２．

［２４］ ＳＯＵＳＡ Ｊ，ＢＥＳＳＡＮＩ Ａ． Ｓｅｐａｒａｔｉｎｇ ｔｈｅ ＷＨＥＡＴ ｆｒｏｍ ｔｈｅＣｈａｆｆ：Ａｎ Ｅｍｐｉｒｉｃａｌ Ｄｅｓｉｇｎ ｆｏｒ Ｇｅｏｒｅｐｌｉｃａｔｅｄ Ｓｔａｔｅ Ｍａｃｈｉｎｅｓ［Ｃ］∥ ２０１５ ＩＥＥＥ ３４ｔｈ Ｓｙｍｐｏｓｉｕｍ ｏｎ ＲｅｌｉａｂｌｅＤｉｓｔｒｉｂｕｔｅｄ Ｓｙｓｔｅｍｓ （ＳＲＤＳ ）． Ｍｏｎｔｒｅａｌ：ＩＥＥＥ，２０１５：１４６－１５５．

［２５］ ＮＡＫＡＭＯＴＯ Ｓ． Ｂｉｔｃｏｉｎ：Ａ ＰｅｅｒｔｏＰｅｅｒ Ｅｌｅｃｔｒｏｎｉｃ ＣａｓｈＳｙｓｔｅｍ［ＥＢ ／ ＯＬ］． ［２０２３ －１１ －２２］． ｈｔｔｐｓ：∥ｂｉｔｃｏｉｎ． ｏｒｇ ／ｂｉｔｃｏｉｎ． ｐｄｆ．

作者簡介

許津銘 男，（１９９９—），博士研究生。主要研究方向：分布式系統(tǒng)、區(qū)塊鏈。

蔡 亮 男，（１９７６—），博士，研究員。主要研究方向：區(qū)塊鏈、數(shù)據(jù)要素關(guān)鍵技術(shù)、元宇宙和信息安全。

孫 路 女，（１９８７—），碩士，工程師。主要研究方向：數(shù)據(jù)要素、區(qū)塊鏈技術(shù)應(yīng)用。

尹可挺 男，（１９８２—），博士，副研究員。主要研究方向：區(qū)塊鏈、數(shù)據(jù)要素。