本文提出了一种改进的拜占庭容错算法，使其能够适用于区块链系统。我们假设在此网络中，消息可能会丢失、损坏、延迟、重复发送，并且接受的顺序与发送的顺序不一致。此外，节点的行为可以是任意的：可以随时加入、退出网络，可以丢弃消息、伪造消息、停止工作等，还可能发生各种人为或非人为的故障。我们的算法对由 ? 个共识节点组成的共识系统，提供 ? = ? (??1) / 3 ? 的容错能力，这种容错能力同时包含安全性和可用性，并适用于任何网络环境。
* g: h8 s: `8 x6 z  b概述1 I- N  B% }1 v/ ?, N, D* S
区块链是一种去中心化的分布式账本系统，它可以用于登记和发行数字化资产、产权凭证、积分等，并以点对点的方式进行转账、支付和交易。区块链技术最早是由中本聪在一个密码学的邮件列表中提出的 [1]，也就是比特币。此后，基于区块链技术的各种应用纷纷出现，比如基于区块链的电子现金系统、基于区块链的股权交易系统、基于区块链的智能合约系统等。区块链系统与传统的中心化账本系统相比，具有完全公开、不可篡改、防止多重支付等优点，并且不依赖于任何的可信第三方。
7 M( h7 ~/ c! j1 S! R; ]4 K  B, T+ m) i然而，和任何分布式系统一样，区块链系统会面临网络延迟、传输错误、软件错误、安全漏洞、黑客入侵等问题。此外，去中心化的特点决定了此系统的任何一个参与者都不能被信任，可能会出现恶意节点，以及因各方利益不一致导致的数据分歧等问题。6 q" G& l8 F  I& D2 o/ d8 H: e
为了防范这些潜在的错误，区块链系统需要一个高效的共识机制来确保每一个节点都有一个唯一公认的全局账本。传统的针对某些特定问题的容错方法，并不能完全解决分布式系统以及区块链系统的容错问题，人们需要一种能够容忍任何种类错误的容错方案。0 _  l  o% m6 R% s" W
比特币采用工作量证明机制 [1]，非常巧妙地解决了这个问题。但是代价也很明显，那就是巨额的电力成本和资源浪费。此外，新的区块链必须寻找到一种与之不同的散列算法，用于避免来自比特币的算力攻击，如莱特币采用了与比特币的 SHA256 不同的 SCRYPT 算法。 拜占庭容错技术是一种解决分布式系统容错问题的通用方案 [5]。本文在 Castro 和 Liskov 于 1999 年提出的 Practical Byzantine Fault Tolerance(PBFT)[3] 的基础上，提出了一种改进的拜占庭容错算法，使其能够适用于区块链系统。! C7 G' a# N; {. x" d
系统模型' |+ U( x* P4 z6 X4 k" `% E; u
区块链是一个分布式账本系统，参与者通过点对点网络连接，所有消息都通过广播的形式来发送。系统中存在两种角色：普通节点和共识节点。普通节点使用系统来进行转账、交易等操作，并接受账本中的数据；共识节点负责向全网提供记账服务，并维护全局账本。 我们假设在此网络中，消息可能会丢失、损坏、延迟、重复发送，并且接受的顺序与发送的顺序不一致。此外，节点的行为可以是任意的：可以随时加入、退出网络，可以丢弃消息、伪造消息、停止工作等，还可能发生各种人为或非人为的故障。 我们采用密码学技术来保证消息传递的完整性和真实性，消息的发送者要对消息的散列值进行签名。我们定义 ??? 是节点 ? 对消息 ? 的电子签名，D(?)是消息 ? 的散列值。如果没有特殊说明，本文所规定的签名都是对消息散列值的签名。( n0 C5 y& e* S* C# b4 O1 p
算法$ z2 t/ [* }/ \# I& O
我们的算法同时提供了安全性和可用性，只要参与共识的错误节点不超过 ? (??1) / 3 ?，就能保证整个系统正常运作，其中 ? = |?|表示参与共识的节点总数，? 是共识节点的集合。令 ? = ? (??1) / 3 ?，则 ? 就表示系统所容许的错误节点的最大数量。由于实际上全局账本仅由共识节点来维护，因此系统中的普通节点不参与共识算法，但可以看到完整的共识过程。 参与共识的节点，需要维护一个状态表，用于记录当前的共识状态。一次共识从开始到结束所使用的数据集合，称为视图。如果在当前视图内无法达成共识，则需要更换视图。我们为每一个视图分配一个编号 ?，编号从 0 开始，并逐渐递增，直到达成共识为止。 我们为每一个参与共识的节点分配一个编号，从 0 开始，最后一个节点的编号为 ? ? 1。每一轮共识都需要有一个节点来充当议长，其它节点则为议员。议长的编号 ? 由如下的算法来决定：假设当前共识的区块高度为?，则 ? = (? ? ?) ??? ?，其中 ? 的取值范围为 0 ≤ ?
5 f$ O4 [) z+ n; t! T3 ]一般流程* J" P- O6 q! k% z
假设系统要求每次产生区块的时间间隔为 ?，则在一切正常的情况下，算法按照以下流程执行：
% ^& ], Q# v5 X+ ~1 B( L* K任意节点向全网广播交易数据，并附上发送者的签名；所有共识节点均独立监听全网的交易数据，并记录在内存；议长在经过时间 ? 后，发送 ???,?,?,?,???,???；议员 ? 在收到提案后，发送 ???,?,?,?,???；任意节点在收到至少 ? ? ? 个 ??? 后，共识达成并发布完整的区块；任意节点在收到完整区块后，将包含的交易从内存中删除，并开始下一轮共识；
/ j6 y& [6 V! _; z5 O, f
, R$ |( P1 E, e6 r: \# F; O. w该算法要求参与共识的节点中，至少有 ? ? ? 个节点具有相同的初始状态：即对于所有的节点 ?，具有相同的区块高度 ? 和视图编号 ?。而这个要求很容易达成：通过区块同步来达到?的一致性，通过视图更换来达到 ? 的一致性。区块同步不在本文讨论范畴，不再赘述。视图更换的规则见下文。) O6 w# f* L5 V  v
节点在监听全网交易以及在收到提案后，需要对交易进行合法性验证。如果发现非法交易，则不能将其写入内存池；如果非法交易包含在提案中，则放弃本次共识并立即开始视图更换。
  {% H) a# s, N- w交易的验证流程如下：
: K( C2 l. C, `  V# e. @交易的数据格式是否符合系统规则，如果不符合则判定为非法；交易在区块链中是否已经存在，如果存在则判定为非法；交易的所有合约脚本是否都正确执行，如果没有则判定为非法；交易中有没有多重支付行为，如果有则判定为非法；如果以上判定都不符合，则为合法交易；
/ o% J- I* A2 q& p- P6 [3 Y6 o+ F$ c# }7 a  z
视图更换+ w) a1 k$ ?: w# T& r
当节点 ? 在经过 2?+1 ? ? 的时间间隔后仍未达成共识，或接收到包含非法交易的提案后，开始进入视图更换流程：
" @8 s  A/ T3 c) K0 n令 ? = 1，?? = ? + ?；节点 ? 发出视图更换请求 ???,?,?,?,???；任意节点收到至少 ? ? ? 个来自不同 ? 的相同 ?? 后，视图更换达成，令 ? = ?? 并开始共识；如果在经过 2?+1 ? ? 的时间间隔后，视图更换仍未达成，则 ? 递增并回到第 2 步；9 ]4 ?. y% M; s# [' h; U" ?) t

  n$ V9 ?, a( f3 N  w2 R随着 ? 的增加，超时的等待时间也会呈指数级增加，可以避免频繁的视图更换操作，并使各节点尽快对 ? 达成一致。# ?* _" n: v+ S. Y
而在视图更换达成之前，原来的视图 ? 依然有效，由此避免了因偶然性的网络延迟超时而导致不必要的视图更换。9 M! V% J- C# c( R, i) ]1 B; i
9 h0 v9 D% v/ c# V
/ W- ?0 b+ @& s6 G2 o8 h+ W
容错能力
+ W6 s& {8 \: M! O- u我们的算法对由 ? 个共识节点组成的共识系统，提供 ? = ? (??1) / 3 ? 的容错能力，这种容错能力同时包含安全性和可用性，并适用于任何网络环境。由于节点的请求数据包含发送者的签名，恶意的共识节点无法伪造请求，它只能试图将系统的状态回退到过去，从而使系统发生“分叉”。5 r1 V$ j/ p/ x4 L# s- a9 s( c
我们假设系统所在的网络环境，恰好将所有共识节点分割成 3 个部分，即：? = ?1 ∪ ?2 ∪ ?，且 ?1 ∩ ?2 = ?，?1 ∩ ? = ?，?2 ∩ ? = ?。假设 ?1 和 ?2 都由诚实的共识节点组成，且已形成网络孤岛，各自只能与自己所在集合内的节点通讯；? 全部都是恶意共识节点且已经合谋，可以统一行动；此外，? 的网络条件允许它们和任意节点进行通讯，包括 ?1 和 ?2。 如果 ? 想要使系统发生“分叉”，只需与 ?1 达成共识并发布区块，并在不通知 ?2 的情况下与之达成第二次共识，“撤销”与 ?1 的共识。
0 Y7 _! K& g7 i( m$ `9 _若想满足这个条件，需满足：|?1| + |?| ≥ ? ? ?，且|?2| + |?| ≥ ? ? ?。在最坏的情况下，|?| = ?，即恶意节点的数量达到系统所能容忍的最大值，则上述关系变为： |?1| ≥ ? ? 2?，且|?2| ≥ ? ? 2?。两式相加：|?1| + |?2| ≥ 2? ? 4?，化简后：? ≤ 3?。已知 ? = ? (??1) / 3 ? ，与上式矛盾，故可证明系统在容错范围内无法被分叉。