想搞懂区块链就不能忽视的经典：PBFT

· 主导者透过信使发送附有自己签名的“ 就位 ”讯息给其他验证者。

第二阶段：预备(Prepare)

· 各验证者收到“ 就位 ”讯息后需决定是否接受主导者的提议，若赞成提议则发送附有自己签名的” 预备 ”讯息给所有将军；若不赞成则不发送任何讯息。
· 发出“ 预备 ”讯息的验证者开始“ 预备 ”阶段。
· 各将军若收到3则以上“ 预备 ”讯息，则该将军进入“ 已预备 ”(Prepared)状态，这些“ 预备 ”讯息的集合统称为“ 已预备证明 ”(Prepared Certificate)

第三阶段：执行(Commit)

· “ 已预备 ”的将军若决定执行，则发送附有签名的“ 执行 ”讯息给所有将军；若决定不执行则不发送任何讯息。
· 发出“ 执行 ”讯息的将军开始“ 执行 ”阶段。
· 各将军若收到3则以上“执行”讯息，则执行讯息内容，这也代表该提议取得了共识。
· 执行讯息后的将军进入“ 已执行 ”状态并将执行结果回报(Reply)给拜占庭君主。
· 回报后的将军结束这回合，静待下一个提议的到来。

可能有些读者比较熟悉下面这个精简版的流程图：

替换不适任的主导者：视域变换(View-change)

以上的共识形成的过程非常依赖忠诚的主导者，万一主导者是叛徒呢？为了避免不提案的主导者瘫痪所有行动，将军们需要一个轮替机制，也就是视域变换：

· 每个将军从收到“预备”讯息后开始计时，转为“已执行”状态后结束计时。
· 如果在计时后T时间内未执行讯息，则该将军可以发送“ 变换 ”(View-change)讯息，讯息内容包含新的代数(目前代数+1)以及其他重要讯息。
· 如果主导者未提案，则每个诚实的验证者最终都会因为超时而发出变换讯息。

· 新主导者若收到3则以上“ 变换 ”讯息，则新主导者可以发送“ 新域 ”(New-view)讯息，讯息内容包含新代数、所有具有“ 已预备证明 ”且尚未被执行的“ 就位 ”讯息，以及其他重要讯息。
· 各验证者收到“ 新域 ”讯息后，逐一针对尚未执行的“ 就位 ”讯息进行投票流程。
· 接下来由新主导者负责接收拜占庭君主的命令。

如何保证安全性与活跃性？

安全性

保证安全性即是保证每个将军的对同样的行动序号都有一致的行动。例如，假设序号3的内容是“进攻”，安全性保证：不会有任何将军的序号3内容为“撤退”。

安全性与安全门槛f有关，若将军总数为3f+1，则最多能够容许f个叛徒，因此所有预备/执行都必须取得2f+1个将军同意。如此若要使同一个序号产生两个分歧的行动，则至少需要有1个好将军同时同意两个分歧的内容，这与好将军的假设矛盾。

三阶段流程也与安全性有关。为什么不是两阶段而是三阶段？设想一个只有两阶段投票的情境：假设将军2于收集到“ 已预备证明 ”后便直接执行序号6的行动“进攻”，但将军3、将军4由于信使延误的关系而发起视域变换，因此将军2也被迫跟着进行变换，由于将军3、将军4并未收到序号6的行动，也因此序号6的内容不会被重新执行，新主导者会将序号6指派给下一个行动“撤退”，结果将军2将会执行同为序号6“进攻”与“撤退”，违反了安全性。因此第三阶段— “执行阶段”(Commit Phase)是必要的，唯有在将军2确保将军3、将军4都收集了序号6的“已预备证明”并回传“ 执行 ”讯息的情况下才能执行序号6的内容。如此就算发生视域变换，也能保证序号6不再被重复指派不同内容，安全性因此获得保证。

活跃性

保证活跃性即是保证行动不会因为停顿的主导者而中断，而这仰赖于视域变换的运作。为了避开FLP原理的限制，PBFT使用弱同步假设(Weak Synchrony)，即假设网路延迟的增长速度慢于每次超时增加的缓冲时间。如果在视域变换的过程中超时，则各将军再发起一次变换，并延长等待时间至2T/3T/4T…以此类推，直到等待时间可以容忍信使的延迟。在最坏的情况下，就算碰到连续f个叛徒，也能保证其活跃性。

PBFT的特性

PBFT是一个许可制的、基于领袖的、基于通讯的、安全性重于活跃性的共识协定。这些特点跟我们知道的区块链截然不同：

· 许可制的(Permissioned)：PBFT并非完全开放的，这是由于PBFT需要让节点能够验证彼此的讯息以及精准掌握节点的数量，区块链则是属于对任何人都开放的非许可制(Permissionless) 。基于PBFT的权益证明(Proof-of-stake)模型则让参与者可以依据自己的资产进行注册，兼顾对所有人开放的特性又能善用注册掌握验证所需的资讯与节点总数。

· 基于领袖的(Leader-based)：也就是先决定领袖(Leader)，再由领袖送出提议，这样做最直接的好处就是不需要浪费自己的运算资源去争取当领袖的机会，然而缺点就是只有在视域变换时才轮替领袖，成为领袖的机会并不公平，缺乏加入网路的诱因；区块链则是在多个提案中选择工作证明难度最高的区块作为共识，虽然这样会造成运算资源的浪费，但是成为出块者的机率大致是公平的，其与算力成正比。近来的研究显示：可以透过公平的乱数决定领袖，这样既能保证成为领袖的机会公平，也能节省运算资源。然而怎么保证乱数产生器是公平的？这是下一个大问题。

· 基于通讯的(Communication-based)：PBFT的安全性奠基于3阶段投票，虽然不必如工作证明般消耗大量计算资源，但数量庞大的通讯也造成可扩展性的瓶颈—就算是号称最实用的PBFT ，也无法扩展到1000个以上个节点。不仅如此，PBFT使用讯息验证码(MAC)，每投一轮票就需要每一个节点验证一次讯息，大量的签名/验证也是另一个潜在的瓶颈。另一个潜在的问题是，基于通讯的模型是主观的 (Subjective)，对于远程攻击(Long-range Attack)没有抵抗能力，新参与者无从分辨哪一个才是由诚实节点维护的状态。相对地，区块链是基于计算的(Computation-based)，它的安全性奠基于可验证的计算证明，虽然在效率上不如基于通讯的作法，然而这样模型却是客观的 (Objective)，欲加入的新节点只需要根据中本共识(Nakamoto Consensus)选择困难度最高的链加入即可。

· 安全性重于活跃性的(Safety over Liveness)：PBFT不论在何种网路假设下(同步/非同步)都能确保安全性，几乎不可能出现分岔，因此具有即时敲定(Instant Finality)的特性；相对地，区块链则是活跃性重于安全性，其安全性有赖于同步的网路，而具有复数个共识(及分岔)的情况也相当常见，需要经过一定数量的区块「确认」才能保证其不再分岔的机率足够大。

PBFT上可以发行密码货币吗？

综合PBFT上述的特性：许可制、缺乏参与诱因、缺乏远程攻击的抗性、过高的通讯成本，我们无法在PBFT上建立一个完全去中心化而实用的密码货币。然而，PBFT可以作为权益证明的共识模型，而权益证明可以是非许可制的，并且能提供经济激励— 例如Ethereum Casper 就是一个结合基于计算与基于通讯模型的混合式模型，它由工作证明决定领袖，再由存入押金的验证者(Validator)进行单轮投票以敲定共识。尽管目前有许多难题，但非常值得期待。

结语

尽管在区块链蓬勃发展的今日，PBFT这个经典仍然蕴含许多值得研究人员反覆推敲的巧思，其后续也衍生出非常多新协定，例如Tendermint / HotStuff / Harmony FBFT 等等。看懂PBFT之后再回头看其他貌似高深的协定，读者肯定会觉得豁然开朗。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。