区块链安全：拜占庭弹性网络层及八卦协议的证明与分析

595将军们的流言：拜占庭式的弹性流言协议摘要桑德罗·科雷蒂IOG瑞士苏黎世sandro.coretti@iohk.io克里斯托弗·摩尔圣达菲研究所美国圣达菲moore@santafe.edu爱丁堡大学英国爱丁堡Aggelos.ed.ac.uk亚历山大·罗素康涅狄格大学美国Storrsacr@uconn.edu获得跨协议层的可证明安全性，仅给出裸-点对点通信网络最成功的应用之一是区块链协议，用中本聪自己的话说，区块链协议依赖于“信息易于传播且难以扼杀的本质”。在过去的十年中，人们投入了大量的精力来分析这些协议的安全性，并且总是以最长链Nakamoto式共识而闻名的安全性论点使用了这一原则的理想化。不幸的是，区块链协议所使用的点对点闲聊式网络的现实实现依赖于许多自组织攻击缓解策略，这些策略在区块链正式安全论证中假设的理想化通信层与现实世界之间留下了明显的差距，在现实世界中，已经展示了各种各样的攻击。在这项工作中，我们通过为区块链协议提供拜占庭弹性网络层来弥合这一差距。我们首次在区块链安全模型的背景下量化了网络层攻击的问题，并开发了一种可以阻止资源受限对手的设计。重要的是，我们专注于权益证明设置，因为它容易受到拒绝服务（DoS）攻击，这些攻击源于众所周知的缺陷（与工作量证明设置相比），即所谓的无风险。我们提出了一个拜占庭弹性的八卦协议，我们分析了它在通用合成框架。为了证明安全性，我们展示了随机图的扩展性质的新结果重要的是，我们的八卦协议可以基于任何给定的双边功能，确定网络层中两个“相邻”对等体之间的期望交互，并演示如何使用应用层信息使网络层对攻击具有弹性。尽管看起来是循环的，我们演示了如何证明中本风格的最长链协议的安全性，给出了我们的八卦网络功能，因此，我们建设性地演示了如何能够骨点对点网络，大多数诚实的股份，和一个可验证的随机函数。CCS概念• 安全和隐私→密码学;分布式系统安全。关键词权益证明，区块链，八卦，拜占庭弹性，扩展图，通用可组合性ACM参考格式：Sandro Coretti ， Aggelos Kiayias ， Cristopher Moore ， and AlexanderRussell.2022.将军们的流言蜚语：拜占庭式的弹性八卦协议。在2022年ACM SIGSAC计算机和通信安全会议（CCS '22）的会议记录中，2022年11月7日至11日，美国加利福尼亚州洛杉矶。ACM，纽约州纽约市，美国，14页。https://doi.org/10.1145/3548606.35606381介绍1.1Gossip协议和拜占庭攻击八卦协议。流言协议[12，16]提供了一种有效的机制来将信息分发给大量的参与方。这种算法的关键特征是它们的对等操作，其负载平衡信息传播的努力，使得各个节点在为整个网络的消息传递做出贡献时仅投入少量的努力。作为多方密码学的通信基础设施，八卦协议最近在区块链协议的背景下得到了广泛的应用，特别是随着比特币区块链的引入[22]。除此之外，区块链参与者使用流言协议来传播新发现的区块。用Nakamoto的话说，区块链协议依赖于“信息容易传播，难以扼杀”，强调了1CCS©2022版权归所有者/作者所有。ACM ISBN978-1-4503-9450-5/22/11。https://doi.org/10.1145/3548606.35606381请 注 意 ， 流 言 协 议 的 安 全 保 证 比 拜 占 庭 弹性 广 播 （ Byzantine- resilientBroadcast）（也称为拜占庭将军问题）弱，因为它们不保证各方之间流言消息的任何协议或一致排序。本作品采用知识共享署名国际4.0许可协议进行许可。CCSSandro Coretti、Aggelos Kiayias、Cristopher Moore和AlexanderRussell596−−−−八卦协议的 将八卦协议部署为区块链协议的通信层，为它们的设计增加了一个至关重要的新维度：它们的“安全性”。至少，区块链底层的流言协议必须处理这样一个事实，即资源（例如，网络带宽、计算时间和空间）是有限的，耗尽它们将导致拒绝服务（DoS）攻击。因此，上述考虑保持每个对等体的复杂度小（在总参与者的数量上是次线性的，优选地是恒定的）不仅与效率有关，而且对于安全性也是出于这个原因，目前在实践中使用的流言协议包括一系列（通常是ad-hoc）措施，以保护信息传播免受DoS攻击。特别是在区块链协议的设置中，这种DoS缓解的最显著特征是对手是资源有限的事实（例如，在比特币协议的上下文中具有有限的散列能力，或者在权益证明协议的上下文中具有有限的权益），并且对等体可以利用这一点来管理网络范围的消息传播。技术包括拒绝先前看到的工作量证明消息和跳过不会导致本地状态更新的内容下载（例如，当区块报头指示基于客户端的本地状态不能采用区块内容时，跳过区块内容的下载应该强调的是，这些措施远非完美，正如已经描述的一些攻击所证明的那样，包括Eclipse攻击[15]和路由攻击[2]。此外，权益证明设置带来了额外的困难，因为可能会重复使用密钥来发出许多冲突的消息[23]，并且整个利益相关者集应该在手边进行权益证明验证，这与工作量证明形成鲜明对比，它只需要当前的难度级别。然而，安全问题远远超出了每个对等点的 最关键的是，用于八卦的覆盖层的设计、设置和维护必须能够抵抗拜占庭攻击者--他们会主动和恶意地使参与者偏离规定的协议--这些攻击者会命令网络中的大量对等体。尽管存在上述所有缺点，但在实践中，区块链协议的部署网络层的信息传播保证通常被认为足以使更高级别的协议保持其安全性和正确性。在理论方面，区块链共识协议--无论是中本聪风格的（例如，[11，22]）或受拜占庭容错计算（例如，[6]），基于工作量证明（PoW）或权益证明（PoS）-所有这些都依赖于来实现生机和安全。然而，尽管所有这些协议的共识层都受到了相当大的关注，其中一些协议实现了可证明的安全性，可以抵御拜占庭攻击者，而忽略了这些抽象必须在现实世界中实现的事实。更广泛地说，令人惊讶的是，很少有已发表的工作考虑将拜占庭弹性扩展到区块链或八卦协议的通信层的问题。上述情况突出说明了所采取的方法在理论和实践上的严重缺陷，也表明了两者之间的巨大差距。鉴于流言是任何无许可分布式账本协议的协议栈的关键部分，缺乏对其属性的彻底，正式的安全处理是理解这些协议安全性的关键缺陷这是目前的主要动机本文1.2我们的结果这项工作采取了一种系统和原则性的方法来解决上述问题，并在PoS区块链支持的背景下为拜占庭弹性八卦提供了一种新颖的设计。结果在通用可组合性框架中呈现[4]。区块链的拜占庭弹性网络层这项工作的第一个主要贡献是在PoS区块链共识的参与者之间全球“同步链”的协议。2该协议被设计为在标准的、具有（有界延迟）消息传递的类似互联网的网络上工作。至关重要的是，网络层的安全性基于与共识层相同的假设，即系统中的这一点乍看起来似乎是循环的，因为网络层的正常运行取决于对股权分配的一致性打破这种“循环”的方法并使用在时期i1结束时的标桩分布SDi1作为时期i+1中的共识的基础（在时期期间有界标桩漂移的对于网络层可以采取相同的方法，即，SDi1支持epochi+ 1中网络层具体地说，在新协议中，各方使用可验证随机函数（VRF）来基于SDi1创建一个加权随机图覆盖，其中每一方的度在参与者的数量上是恒定使用VRF允许各方拒绝来自不应该在其邻居集中的参与者的连接请求3由于网络协议中的节点度是恒定的，因此（自适应）攻击者很容易通过破坏构成所述权益的各方的所有邻居来隔离权益的（有界）部分。为此，图中的边具有到期时间，在该时间点处对替换进行采样。除了帮助各方从日食中恢复，这也允许覆盖层逐渐适应不断变化的股权分布。网络层的设计和安全性通常是事后才考虑的最好的具体来说，所有以前的正式安全分析的PoS原型（例如，[6，10，11]）使用（过度）理想化的消息传递抽象，基本上承诺诚实的消息在合理的延迟窗口2这项工作主要集中在同步链上;类似的方法可以用来同步其他协议消息，如投票，交易等。3非中本聪区块链有时没有构建到共识协议中的纪元概念，例如，因为他们最终确定区块并使用最终确定区块的权益分配作为同意下一个区块的基础然而，为了使它们具备这里所介绍的网络设计，可以很容易地将这样的概念添加到它们中。此外，请注意，似乎任何合理的网络设计PoS协议的层需要假设有界的桩漂移。CCS将军们597≥（−）（/）（）现在，在上面的覆盖层上简单地执行普通的块闲聊然而，这种方法似乎不适合（至少）Nakamoto区块链：例如，要求各方保留所有接收到的区块是一种不切实际和不安全的设计，因为其中许多区块在PoS设置中可能是敌对的（攻击者原则上可以生成尽可能多的因此，对于块流言，一方应该删除块，除非它们扩展了当前的本地链。然而，在分叉事件期间，参与方可能需要先前删除的块，因为这些块的流言已经“结束”。类似的问题适用于如果一方错过块，例如，因为日食通常，特定方需要哪些块来与系统同步高度依赖于该方因此，无状态解决方案，即，邻居不共享状态的解决方案似乎不适合，在实践中产生DOS弹性和可扩展的区块链协议。一种更合适的方法是让每对邻居运行双边链同步（链同步）协议，这允许它们相互通知它们的本地首选链。当一方在这些链同步实例中的一个中发现更好的链时，或者当它产生更好的链时，它将新链通知给它的所有当前链同步实例。这项工作将这种双边链同步抽象为功能F双边。这种协议的实际执行超出了本工作的范围，与本工作无关。4.重要的是要注意，链同步是有状态的，并且其实例在现实世界中需要时间来建立（建立连接、块的初始因此，双边链同步旨在在两方之间运行延长的（尽管有限制的）时间量。这些事实由Fbilateral捕获，因为存在初始同步延迟δinit，其可能比一旦建立链同步实例就发生的延迟δsync大得多。最后，请注意，特别是在区块链上下文中（但也是一般情况下），必须防止攻击者中断任何特定消息的传播;否则，攻击者可以，例如，防止诚实的链更新通过网络传播。不幸的是，使用有效的流言协议，其中节点具有恒定的度，（自适应）攻击者可以简单地破坏块领导者的所有邻居，从而停止传播。因此，不可避免地要考虑一种模型，在这种模型中，攻击者的破坏请求仅在一定时间后生效。理想的全局链同步功能。上述协议的安全保证由功能Fsync捕获，这是这项工作的第二个主要贡献。类似于先前工作中假设的网络功能，Fsync在一定时间范围内提供全局链然而，有几个重要的区别，源于F同步是实现的，而不是假设的。以下是两个最关键的问题：Fsync允许攻击者“蚀”方，并将他们排除在所提供的保证之外，只要分数4存在链同步的安全和实用的实现，例如，[9]和[8，第3.7节]。不超过一定的界限。请注意，对手被允许是“移动的哪些政党黯然失色，即，每一方都可能在协议执行期间的某个时刻被遮蔽请注意，在F同步中有一个日食延迟。这确保了攻击者无法阻止特定链的传播。由于使用了链同步，Fsync的保证比先前工作中假设的网络功能提供的保证略弱：不是特定的链C“传播”通过网络内的网络，F sync也可以提供不同的链C“，这些链C”并不差（即，等长或更长）。安全证明。 为了证明新的网络协议安全地实现了理想的功能Fsync，本文在扩展图上得到了一个新的结果：考虑协议中各方所形成的带权随机图。然后，即使从图中删除所有损坏的节点，留下一些诚实的份额α，仍然存在一个诚实各方的子图，骨干，对应于总份额的至少一个α β-分数，对于某个β，并且这个骨干是扩展图（具有压倒性的概率）。 最重要的是，即使攻击者在完全了解整个图的情况下选择删除哪些节点，结果也是成立的。膨胀器的特性保证了主干中的直径很小，因此及时的链完全Byzantine弹性PoS。作为最后的贡献，这项工作演示了如何在权益证明协议的上下文具体地，[11]用于说明结果。首先，请注意，原始分析是不够的：尽管[11]的网络模型允许拜占庭对手控制少数股权，但Fsync允许为了规避这个问题，提出了一个改进的分析，表明自适应遮挡不会干扰[11]的可分叉字符串分析，这可以被恢复以证明该协议即使针对利用Fsync的对抗接口的增强功能的对手也仍然是安全的。这引起了对[11]在对抗性环境中的新分析，在这种环境中，除了政党腐败之外，还允许某种程度的信息压制。1.3相关工作在分布式系统中使用流言或流行病算法是在[13]中提出的，并且在网络系统[18]中以及从理论角度[17]中进行了详细的探索有界度网络中拜占庭容错的研究始于[14]，并在[25]中进一步完善，其中表明，如果对手分别以O nlogn或O n为界，则存在便于广播的有界度图。就总通信 量而言，已知 拜占庭广播的通 信复杂度为n（n2），并且假设··CCSSandro Coretti、Aggelos Kiayias、Cristopher Moore和AlexanderRussell598ZS一•（）下一页功能性F网参数：δnet：最大延迟。变量：该功能跟踪以下变量，数组M[mid]：消息记录（IP，IP′，t，m），索引初始化为以下值：arrayIPs[P]：=：拥有的IP集消息ID（MID）。IP地址：在（getIP）从P：输出（getIP，P）到S并询问S唯一的IP地址。将IP添加到IP[P]并将output（ getIP，IP）添加到P。恶意IP注册：在来自S的（regIP，IP）上：如果IP是唯一的，将其添加到IP[S]。一个唯一的mid并存储M[mid]：=（IP，IP′，T，m）。输出消息发送：在（send，IP，IP′，m）从P且IP∈IP[P]时：拾取（send， mid，IP，IP′，m）到S。恶意消息发送：在（send，IP，IP′，m）时从S发送，其中存储M[mid]：=（IP，IP′，∞，m）。输出（发送，中间）到S。Fetching：在（Fetch，IP）从P且IP∈IP[P]时：IP∈IPs[S]或P（其中IP∈IPs[P]已损坏）：选择一个唯一的中间，(1)将（Fetch，P，IP）输出到S，并向S询问MIDs的集合MT−t≥δnet。(3)˜(2)设M′是对应于记录（·，IP，t，·）的MID的集合，其中设M：=M[M <$M′]，设M[M <$M′]：= M。(4)和在每个元组中删除戳。产出（F ch，M′）到P，其中M′是集合M与时间的在损坏模型中的某种类型的延迟对于将通信复杂性障碍打破为次线性是必要的[1]。在区块链的点对点网络的背景下，点对点网络组织中的“结构化”方法可以用于进一步降低通信复杂性，但以牺牲自适应安全性为代价[24]。从多方计算的角度来看，我们的协议表现出我们还注意到，消息抑制作为一种增强的对抗能力也在“遗漏腐败”的背景下在一般安全MPC设置中进行了研究[26]。最后，与我们的工作同时和独立地，[20，21]研究了一组参与者之间的无状态洪水的相关问题，部分原因也是区块链设置。他们的泛洪协议让对等节点连接到一个大小有限的、随机选择的邻居，用于每次消息传输。这可以看作是为每条消息创建一个单独的随机图。然而，如上所述，无状态泛洪在实践中不适合区块链协议。此外，他们的协议不使用任何机制来约束对手的资源（例如，作为VRF），并且因此不存在可以防止诚实方被对手的消息淹没的2前言和记法加州大学保安。协议在通用可组合性（UC）框架中被描述和证明是安全的[4]。在UC中，特定协议的安全性是通过将协议的真实世界执行与理想世界执行进行比较来捕获的，其中该协议被理想的功能所取代。粗略地说，协议π安全地实现了功能F，如果对于每个攻击π的真实世界攻击者，存在一个攻击F的理想世界模拟器，使得真实和理想实验变得对所有环境都无法区分. 5协议（在现实世界中）本身可以调用所谓的混合功能。这些混合功能可以用于建模假设（例如，Fnet）或它们本身由协议实现。UC框架保证了当混合协议被实现它们的协议所取代时，协议的安全性得到了维护。圆形结构。 所有的功能/协议都在循环中进行（未明确表示），并且被假设可以访问当前时间，表示为T。通常，轮结构是这样的，各方首先使用获取类型命令来检索信息，然后使用发送/设置类型命令来分发信息。攻击者和腐败延迟。 该攻击者是多项式有界的，可以通过腐蚀参与者，从而学习他们的内部状态，使他们任意偏离协议。攻击者是自适应的，即，它可以在协议的执行期间并基于观察到的所有信息来选择谁要在运行中然而，存在一个Corcorr的损坏延迟，即，由攻击者发出的破坏请求仅在延迟了一个或多个corr轮5.环境既充当黑客，又控制攻击者/模拟器以及各方的输入。图1：网络/互联网功能Fnet。底层网络。这项工作考虑了P方与所谓的中继，由他们的IP地址IP识别。通常的做法是将实际节点（持有关键材料）作为抵御入侵攻击的第一道防线。6继电器之间的通信由功能Fnet建模（参见图1），它捕获了一个简单的、类似Internet的网络。各方可以为其中继获得（唯一）IP地址。F网保证任意两个中继之间的有界延迟消息传输。攻击者看到所有发送的消息，并可能代表被破坏方拥有的任何中继IP发送消息;但是，不允许干扰诚实中继之间的消息传输（除了引起有限的延迟）。主索引。 主索引MI由以下组成：- 网络目录ND，其由元组P、IP、v组成，其中P是参与方ID，IP是IP地址，并且v是VRF公钥（见下文）;• 由元组（P，α）组成的权益分布SD，其中α∈（0， 1]表示P• 种子值R。如果（a）ND和SD中出现相同的政党，并且每个政党最多出现一次，（b）值IP和v在ND中只出现一次，以及（c）SD中的值α总和为1，则主索引有效所有出现在这项工作中的主索引都默认为有效。[6]然而，请注意，为了这项工作的目的，攻击者破坏了各方，此时它获得了对他们（所有）中继的控制权CCS将军们599（）下一页·（）（）（）（）∈ {}（）（）功能Fvrf变量：该功能跟踪以下变量，初始化为以下值：(1)一个数组Keys[P]：=P：由P拥有的密钥的集合;（3）（y，S），其中y是值域，S是证明集π;VRF(2)一个数组T[v，x]：=x，其中v是一个键，x是一个域值：pair一个集合E：= x：包含三元组（v，x，y）来跟踪所有评价。Keys：Upon（ getKey） fromP：Output（ getKey，P） toS andaskS forRegister Keys：Upon（ regKey，v） fromS：如果v是唯一的，则将其添加到唯一的密钥v.将v添加到Keys[P]并将output（ getKey，v）输出到P。键[S]。求值：根据来自P的（EvA l，v，x），其中v∈Keys[P]：输出（Ev al，P，v，x）到S，并且在从S获得（Ev al，π）时：(1)如果π不是唯一的，则退出该过程。设S：=T;否则，设（y，S）：=T[v，x]。（三）(2)如果T[v，x]未定义，则从范围中均匀随机选取y(4)输出（EvA l，y，π）到P。设置T[v，x]：=（（1）、（2）、（3）、（v，x，y）到E.恶意评估：在来自S的（EvA l，v，x）时：• 情形1：存在未损坏的P，其中v∈Keys[P]：如果（y，S）：=T[v，x]被定义，返回（EvA l，y）到S;否则，做没什么• 情况2：存在一个损坏的P，其中v∈Keys[P]或v∈Keys[S]：如果T[v，x]未定义，则随机均匀选取y• 其他：什么都不做（y，S）：=T[v，x]. 返回（EvA l，y）到S。从范围，令S：=0，并设置T[v，x]：=（y，S）;否则，令验证：在（如果y，v，x，y，π）从任何ITI：发送（Ver，如果 y，v，x，y，π）到S，并且在从S接收到（Ver，如果 y，π）时：• 如果v∈Keys[·]且T[v，x]=（y，S）被定义：(1)如果π∈S，则设f：=1。(2)否则，如果π=1并且π是唯一的，即，如果对所有（v′，x′）<$（v，x）且f=1。(3)否则，设置f：=0。• 否则，设置f：=0。输出（如果y，f，则为Ver）到P。对抗性泄漏：在（LeA k）从S：返回（LeA k，E）到S。其中T[v′，x′]=（·，S），πgS-集T[v，x′]：=（y，S<${π}）请注意，上面定义的MI格式限制每一方只能有一个IP地址。这种选择是为了简单起见;主索引的定义以及所有协议和功能可以很容易地进行调整，以允许每一方有多个IP地址，从而模拟实际上各方通常有多个中继的事实。可验证的随机函数。 可验证随机函数（Verifiable RandomFunction，VRF）是一种密码学原语，允许P方创建由秘密评估密钥和公共验证密钥组成的密钥对，使得：（a）使用秘密密钥，P可以在任何输入x处评估VRF，获得随机输出y和证明π;（b）给定P的公钥，任何人都能够使用π验证y确实是对应于x的输出。重要的是，即使是恶意的P也不能在任何特定的输入x上偏置VRF的输出（对于任何固定的公钥）。上述保证是由一个理想化的函数抽象Fvrf（cf.图2）。由Fvrf提供的主要命令是（i）getKey，对于（逆向选择的）理想化公钥v，由getKey，v应答，（ii）eval，v，x，由ev al，y，π应答，以及(iii)VerIF y，v，x，y，π，由VerIF y，π回答，其中π0， 1指示π是否是公钥v下的输入/输出对x，y的有效证明。3抗拜占庭网络3.1概述这项工作的主要贡献之一是定义和实现同步功能Fsync，可供权益证明（PoS）共识层的参与者用于全局同步其区块链。Fsync的一个最重要的特性是，它在与建立在它之上的共识协议相同的假设下是可实现的。粗略地说，支持协议实现的思想F同步如下：每个共识参与者P采样ΘP基于可验证随机函数（VRF）的输出，以基于k的方式对d个邻居进行计算;d是小常数，ΘP是取决于P本身的赌注量的乘数。VRF的使用保证了各方可以验证他们是否确实应该被其他参与者选为邻居。一旦邻居被采样，链通过参与与其所有邻居的双边链同步的每一方而全局同步。由于所得到的通信覆盖基本上是随机图的事实，使用扩展器理论，可以表明即使去除了所有对抗节点，仍然存在具有小直径的大连接骨干。这实现了及时同步（TS），这对于许多通信系统的安全性至关重要共识协议。当然，在邻居数量不变的情况下，不可避免的是，一些政党最终只与腐败的政党联系在一起，这意味着他们被掩盖了。因此，F同步将不得不授予对手黯然失色的权力，只能保证TS非黯然失色方。将实现F同步功能（参见第3.4节）从功能性F双边（参见第3.2节），它模拟双边链同步，以及从网络功能F网（参见。第2节）和（标准）功能Fvrf（参见第2节）。图2：VRF功能Fvrf。3.2双边链同步功能F双边（参见 图3）模拟了A和B双方之间的双边链同步。在F双边中，每一方都有一个本地链，并且该功能允许他们在对方的链发展时学习一方CCSSandro Coretti、Aggelos Kiayias、Cristopher Moore和AlexanderRussell600≥≥−（）下一页（）∈（·）3.3同步功能功能F同步，其实现是这项工作的主要重点，允许各方将其链与其余的partic- ipants同步。它由初始延迟初始化、同步延迟初始化、日蚀延迟初始化和日蚀延迟初始化参数化。一个“回看”参数μ_sync，以及一个关于黯然失色的诚实赌注数量的请注意，各方必须同意他们开始使用F同步的回合数。为了方便起见，在本节中，Fsync的初始化在round_init中开始，并且各方实际上在round_0中开始使用FsyncIP和密钥管理由于Fsync是从Fnet和Fvrf实现的，因此Fsync也提供了IP和密钥注册的接口。这些没有被抽象掉的原因是IP和VRF密钥必须被（更高级别的）共识协议知道（例如，以生成创世块）。10主索引和设置。 如前所述，在同步协议中，各方将基于其权益对邻居进行采样。然而，权益分配是一个来自共识层的对象，共识层本身依赖于同步函数。性。这种明显的循环被打破如下：同步 预计图3：双边链同步功能F双边。并且只有当C严格优于C′;7优先时，才是官能度的参数。双方都被告知其交易对手的本地链的变化然而，最初，即，直到双方都使用了setC至少一次（从而指示它们准备好开始链同步），延迟可能高达δinit;这模拟了实际上链同步可能在刚刚建立连接的两方之间花费大量时间的事实这项工作留下的确切机制，实现F双边开放，并简单地假设F双边作为一个混合。一般来说，实现F双边的方法是沿着以下路线：在建立连接时，双方首先在每一方都应输入其对总索引的看法（参见第2节）在开始时经由命令集UPp，并且Fsync仅在以下情况下提供保证：（a）所有诚实方（i）就主索引达成一致，以及（ii）源自相同起源块的输入链，以及（b）所有诚实方在它们输入的主索引MI=ND，SD，R中表示;如果一方的IP地址之一IP和密钥之一V出现在ND中，则该方在MI中表示，即，P，IP，vND.当满足上述所有条件时，Fsync具有有效设置。如果设置无效，Fsync将关闭。请注意，这是共识协议的责任（即，扩散上下文中的环境）以确保设置是有效的。这通常是通过起源块（假设对所有各方都可用）最初和后来基于协议的逐时共识属性来实现的。关于这种关系的更多详细信息见第5节。我在唱歌。 由于在用于实现F同步的实际可行的和可扩展的协议中，每一方仅连接到所有参与者的一小部分，因此不可避免的是，对手可能通过（自适应地）破坏所有参与者来使某些诚实方黯然失色。他们的本地链分歧;89随后，他们通知每一个另一个是关于他们当地连锁店的变化他们的邻居。因此，F同步 提供了eclI task命令在实践中，使用高度优化的F双边实现，以进一步提高同步时间。关于这种实现的示例，请参见[9]和[8，第3.7节]。[7]通常，如果C比C ′长，则C严格优于C′8为了提供具体的描述：为了找出公共前缀，甲方发送长度为1，2，4，8，.的后缀的块散列。. . 直到B发现这些哈希值中的一个对应于其链上的区块。此后，通过二分查找来定位发散的确切点。在最坏的情况下，这需要O δnetlogk，其中k是公共前缀参数。请注意，这与各方链的长度此外，平均而言，在最长链协议中，攻击者可以通过该方法将任何诚实方排除在TS保证之外（见下文）。攻击者在使用ecl i task命令时有两个限制第一个是eclipse命令只有在经过一段时间的拖延，第二个限制是基于以下无t方的概念：定义3.1. 一个无t的政党是一个诚实的政党，在t-1，t-2，.，t -1，t-2，.，t-1，t-2，.。. . ，t − µ。由于发散概率的指数衰减（作为尺寸的函数的发散），最新对等体之间的同步时间要短得多（通常是一个小常数）。在BFT风格的区块链中，如Algorand [6]，一个本地链通常是另一个的前缀，这简化了这一步骤。10.注意，网络层中的密钥不一定是VRF密钥：任何类型的“公钥”都可能被用作ID。 Fsync足够通用，可以支持任何此类用例，因为这些键仅用于确定“有效设置”（见下文）。功能F双侧参数：δinit：初始延迟;δsync：同步延迟;prefer（·，·）：严格偏序。参与方和会话ID：涉及A和B两方。下面，当P∈ {A，B}时，P′指对方。当事人使用sid=（A，IP，B，IP′，t，j）作为会话ID（对于某些t和j）。变量：该功能跟踪以下变量，轮次t：(1) C[P，t]：=P的局部链;(2) Ptr[P]：=−∞：P到C[P′，·]的时间指针;(3) tstart[P]（从C和Ptr导出）：使得C [P，t] ≥ 0的最小t。Fetch chain：Upon（F etch） fromP：(1)将（Fetch，P）输出到S，并向S请求时间指针PtrT。<对于双方P∈ {A，B}和所有d：=δsync。(3) 设Ptr[P]：=max{Ptr，Ptr[P]，T-d}。(4) 输出（Fetch，C[P′，Ptr[P]]）到(2)如果T−max{tstart[P]，tstart[P′]}δinit，则设置d：= ∞;否则，设置

下载后可阅读完整内容，剩余1页未读，立即下载