CN109685505B - 基于关联环签名的拜占庭容错共识优化方法 - Google Patents

Abstract

本发明公开了一种基于关联环签名的拜占庭容错共识优化方法，其包括接收Pre‑Prepare消息并对其进行关联环签名；接收PREPARE消息，并确定发送PREPARE消息的节点为PREPARE消息内公钥环中的成员后，对PREPARE消息进行关联性验证；统计PREPARE消息通过关联性验证的票数加权和M₁，若M₁大于2F+1，则生成并对COMMIT消息进行关联环签名；接收COMMIT消息，并在确定发送COMMIT消息的节点为主域节点时，对COMMIT消息进行关联性验证；统计COMMIT消息通过关联性验证的票数加权和M₂，若M₂大于2f_p+1时，则将COMMIT消息写入其数据库中。

Description

基于关联环签名的拜占庭容错共识优化方法

技术领域

本方案涉及区块链技术，具体涉及一种基于关联环签名的拜占庭容错共识优化方法。

背景技术

共识算法是区块链技术的核心要素，也是近年来分布式***研究的热点。目前，最广为人知的共识算法当属比特币中使用的工作量证明(PoW)。PoW首次提出时用来解决垃圾邮件问题，后来被中本聪用于比特币当中。PoW从经济学角度实现共识，矿工通过解决数学难题生成区块来记账，生成的区块经过全网广播验证来写入区块链，区块之间通过hash值连接。之后的矿工在最新区块上继续挖矿工作，挖矿产生的比特币奖励让大多数矿工表现良好，而要破环PoW***，则需要控制全网50％以上的算力，这保证了共识***的安全性。

PoW的缺点在于挖矿需要消耗大量的电力，比特币网络的电力消耗甚至已经超过了159个国家的消耗量。而当前挖一个区块的时间大约在十分钟，需要六个区块的确认才能保证交易生效，交易的确认时间过长使得该共识算法的应用场景受限。同时，全网算力的集中也将导致安全风险，面临分叉时可能将引起算力竞赛。

在联盟链中，使用最广泛的共识算法是实用拜占庭容错算法(PracticalByzantine Fault Tolerance，PBFT)，该算法通过三阶段协议来进行共识过程，当主节点出问题时引发视图切换协议，在新视图中通过重新执行那些账本不一致事务来保证一致性。PBFT算法解决了原始拜占庭容错算法效率不高的问题，将算法复杂度由指数级降低到多项式级，使得拜占庭容错算法在实际***应用中变得可行。但由于PBFT算法的三阶段协议需要进行大量通信，这极大限制了PBFT算法的共识性能，导致了PBFT算法无法应用于大规模共识环境。

发明内容

针对现有技术中的上述不足，本发明提供的基于关联环签名的拜占庭容错共识优化方法解决了大规模共识环境下PBFT算法存在的共识性能差的问题，同时保证参与共识用户的投票匿名性。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于关联环签名的拜占庭容错共识优化方法，其包括：

S1、主域节点和子域节点接收来自于共识域中的主节点广播的Pre-Prepare消息；

S2、当Pre-Prepare消息中的序号和视图通过验证后，生成PREPARE消息并进行关联环签名，广播至主域中所有主域节点；

S3、主域节点接收PREPARE消息，根据环签名验证确定发送PREPARE消息的节点为PREPARE消息内公钥环中的成员后，对PREPARE消息进行关联性验证；

S4、统计PREPARE消息通过关联性验证的票数加权和M₁，若票数加权和M₁大于2F+1，则生成COMMIT消息并进行关联环签名，广播至所有节点；

S5、主域节点和子域节点接收COMMIT消息，根据环签名验证确定发送COMMIT消息的节点为主域节点时，对COMMIT消息进行关联性验证；

S6、统计COMMIT消息通过关联性验证的票数加权和M₂，若票数加权和M₂大于2f_p+1时，则将COMMIT消息写入其数据库中；

其中，F为全网能容忍的恶意节点票数和，f_p为主域能容忍的恶意节点票数和。

进一步地，所述Pre-Prepare消息为：

<<PRE-PREPARE,v,n,d>S_p,m>

其中，n为序号；m为消息；d为消息m的摘要；S_p为主节点对消息的签名；v为视图编号。

进一步地，对PREPARE消息/COMMIT消息进行关联环签名的方法包括：

A1、构建加密hash函数和映射到椭圆曲线的hash函数：

H₁:{0,1}^*→Z_q，H₂:{0,1}^*→G

其中，H₁为加密hash函数；H2为映射到椭圆曲线的hash函数；Z_q为一个0～q的循环群；G为椭圆曲线上的G点；

A2、根据映射到椭圆曲线的hash函数及节点的私钥、公钥环，计算节点的公钥镜像：

y'＝x_iH₂(R_T)

其中，y'为公钥镜像；

A3、在Z_q中选取一个随机数α，计算第i+1个环签名中间参数c_i+1：

c_i+1＝H₁(R_T,y',m,αG,αy')

A4、在Z_q中选取一个随机数s_j，j＝i+1,…,n,1,…,i-1，顺次选取j的值计算环签名中间参数c_j+1：

c_j+1＝H₁(R_T,y',m,s_jG+c_jpk_j,s_jH₂(R_T)+c_jy')

A5、重复步骤S4，直至j＝i-1时，采用环签名中间参数c_i计算验证参数：

s_i＝α-x_ic_imodq

其中，s_i为验证参数；q为Z_q中最大的整数；mod为取模；

A6、采用验证参数s_i及执行步骤S4时选取的所有随机数s_j生成环签名：

σ_RT(m)＝(c₁,s₁,...,s_n,y')

其中，σ_RT(m)为T组中节点对Pre-Prepare消息/PREPARE消息的环签名。

进一步地，所述PREPARE消息为：

<<PREPARE,v,n,d,T>,σ_RT(m),R_T>

所述COMMIT消息：

<<COMMIT,v,n,d>,σ_RD(m),R_D>

其中，R_D为主域D组成员的公钥组成的公钥环，σ_RD(m)为主域D组中主域节点对PREPARE消息的环签名。

进一步地，当共识域中的主节点出错时还包括视图切换：

G1、当节点在设定时间内没有收到来自于主节点广播的Pre-Prepare消息时，节点向主域中的主域节点广播view-change消息：

其中，v+1为新视图编号；h为水位线；P为通过prepared阶段后的消息；Q为通过commited阶段后的消息；Y为环签名中间参数的集合；U为环签名验证参数的集合；R_T＝(pk₁,pk₂,...,pk_n)为T组成员的公钥组成的公钥环；pk_i＝x_iG为R_T中第i个公钥；x_i为与第i个公钥对应的私钥；

G2、主域节点接收到view-change消息后，根据环签名验证确定发送view-change消息的节点为view-change消息内公钥环中的成员后，对view-change消息进行关联性验证；

G3、统计view-change消息通过关联性验证的票数加权和M₃，若票数加权和M₃大于2f_p+1时，则该节点具有一个view-change证书；

G4、采用原主节点编号加一对应的主域节点作为新的主节点，并采用具有view-change证书的主域节点向新的主节点发送new-primary消息；

G5、新的主节点接收到至少2f_p+1个new-primary消息后，确定自己为新的主节点，并向全网发起new-view事务请求，f_p为主域能接受的恶意节点票数和上限；

G6、新的主节点从具有view-change证书的主域节点中选取一个view-change证书，将view-change证书中位于水位线后的消息发送给共识域中的所有节点，并执行步骤S1至步骤S6。

进一步地，对PREPARE消息/COMMIT消息/view-change消息进行环签名验证的方法包括：

E1、对于i＝1,2,…,n时，顺次选取i的值计算椭圆化参数z_i'和镜像处理参数z_i”：

z_i'＝s_iG+e_ipk_i，z_i”＝s_iH₂(R_T)+e_iy'

其中，当i＝1时，e₁＝c₁，e为验证中间参数；

E2、根据椭圆化参数z_i'和镜像处理参数z_i”，计算验证中间参数：

e_i+1＝H₁(R_T,y',m,z_i',z_i”)

其中，i≠n，e_i+1为第i+1个验证中间参数；

E3、重复步骤E1和E2，直至得到椭圆化参数z_n'和镜像处理参数z_n”；

E4、根据椭圆化参数z_n'和镜像处理参数z_n”，判断

若不相同，则PREPARE消息/COMMIT消息/view-change消息环签名验证失败，否则环签名验证成功。

进一步地，对PREPARE消息/COMMIT消息/view-change消息进行关联性验证进一步为：

PREPARE消息/COMMIT消息/view-change消息环签名验证后，判断此次收到的PREPARE消息/COMMIT消息/view-change消息中的消息m及公钥镜像y'是否与过往收到的相同；

若相同，则PREPARE消息/COMMIT消息/view-change消息关联性验证失败，否则通过环签名关联性验证。

进一步地，所述投票加权和的计算公式为：

其中，q_a＝1为A组权重；q_b＝2为B组权重；q_c＝3为C组权重；q_d＝4为D组权重；当A～D组中的节点通过关联性验证时，与其对应的时效参数a_i、b_i、c_i或d_i为有效，未通过验证或未参与验证时为无效，时效参数a_i、b_i、c_i和d_i有效时取值为1，无效时取值为0。

本方案的有益效果为：在共识过程中，本方案通过引入环签名技术来提供共识投票过程的用户匿名性，投票时用户通过选择同组内的若干个成员来进行环签名，统计票数的节点收到过环签名的消息，只能够确认该消息是由环内的成员所签，但无法知道签名者的具体身份，从而保证了参与共识用户的隐私性。

本方案的优化算法不同于大部分PBFT优化算法采用选举等方法降低共识的规模，本方案相当于从协议内部根据安全等级来降低了共识规模，但不剥夺节点的共识投票权力。

本方案在构建的共识环境中通过主域/子域的节点进行环签名及关联性验证，减少了共识过程中的信息交互次数，降低了共识带宽的损耗，同时还能保证高效共识，与PBFT算法相比有更快的收敛速度，可用于大规模的共识环境。

附图说明

图1为基于关联环签名的拜占庭容错共识优化方法一个实施例的流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

本方案在进行共识优化之前需要构建共识环境及主节点的选取，其中构建共识环境的具体实现过程为：

根据社区的贡献程度，我们将全网节点分为四组A＝{a₁,a₂,…,a_n}，B＝{b₁,b₂,…,b_n}，C＝{c₁,c₂,…,c_n}，D＝{d₁,d₂,…,d_n}。每组成员在共识过程中投票所占的权重不同，本方案中规定A组成员投票的权重q_a＝1，B组权重为q_b＝2，C组权重为q_c＝3，D组权重为q_d＝4。

D组的成员拥有最高的投票权重，认为他们是安全性最高，并且最不容易作恶的节点。通过这样的划分，共识网络的安全性更多的依赖投票权重高的那些组。

由于节点具备不同的投票权值，拜占庭判定准则要发生一些变化，在传统的PBFT算法中，节点的投票权重相同，我们可以认为均为1。假设全网的节点总数为N，共识网络中最多允许的恶意节点数量为f，拜占庭判定准则要求N＝3f+1。在本方案的新共识环境下，定义全网投票加权和为M，允许的最多恶意节点票数加权和为F，则：

M＝3F+1

其中，a_i、b_i、c_i和d_i分别为A～D组中的成员的时效参数，当A～D组中的节点通过关联性验证时，与其对应的时效参数a_i、b_i、c_i或d_i为有效，未通过验证或未参与验证时为无效，时效参数a_i、b_i、c_i和d_i有效时取值为1，无效时取值为0。

对于构建的新共识环境，可以这样理解，在逻辑上一个D组的节点d_i内部由四个A组的节点组成，这可能是一个小的节点集群，D组在内部进行了一次共识后由d_i来代替他们发言，因此这不会影响PBFT算法的异步安全性，D组节点的说话分量相当于四个A组节点，但却可以认为D组的可信任度却比四个A组节点还要高。

假设存在一个控制节点，其能够联合共识域内的若干成员联合作恶，在传统PBFT算法情况下，控制节点想要破坏这个共识***，需要控制f+1个节点。而在本方案的新共识算法中，虽然只需要控制少于f+1个节点，但投票权值高的节点却很难被控制去作恶。

这里假设控制节点去控制每个节点都需要耗费一定成本，控制不同组的节点所耗费的成本是不一样的，D组的安全性高于A组，想要控制D组将更加困难。若控制一个A组的节点需要消耗V_a，B、C、D组分别是V_b，V_c，V_d。如果满足V_d≥4V_a，说明增加D组成员提高了整个***的安全性，对于B组和C组也是类似。

在很多场合中，节点之间是不对等的情况，有一些安全性高的节点，也有一些安全性低的节点，如果使用传统的PBFT算法，在共识过程认为这些节点是对等的，攻击者大可以选择去攻击那些安全性较低的节点进而破坏整个网络。因此，这样的共识网络是由漏洞的，容易被攻击者所利用。而在本方案的新共识环境下，安全级别不同的节点对于共识结果的贡献程度也不同，想要控制安全级别高的节点对于攻击者来说是很困难的。这样的节点权值划分消除了***的漏洞，增加了共识网络的安全性。

本方案中提到的节点包括主域节点和子域节点，其中权重最高的D组为主域，其余几组为子域，主域中的节点为主域节点，子域中的节点为子域节点，定义主域的节点个数为N_p，主域内所能容纳的恶意节点上限为f_p，N_p＝3f_p+1。共识服务从选取主节点开始，选定主节点之后确定了共识的视图v，之后就开始进行事务的共识。

主节点的选取规则是从主域内进行随机抽取，而不同于PBFT算法是从全网随机抽取，这样做的好处在于降低了主节点更换的频率。主节点的切换将引起视图切换，为了保证一致性需要进行大量的额外通信，因此主节点的切换会降低共识效率。由于主域内的节点安全级别是最高的，主节点出错的概率较低，因为主节点出错导致的视图切换将会更少发生。这降低了共识开销的同时提高了共识***效率。

参考图1，图1示出了基于关联环签名的拜占庭容错共识优化方法一个实施例的流程图，该拜占庭容错共识优化方法S包括步骤S1至步骤S6。

在步骤S1中，主域节点和子域节点接收来自于共识域中的主节点广播的Pre-Prepare消息(预准备阶段消息)：

<<PRE-PREPARE,v,n,d>S_p,m>

其中，n为序号；m为消息；d为消息m的摘要；S_p为主节点对消息的签名；v为视图编号。

在步骤S2中，当Pre-Prepare消息中的序号和视图通过验证后，生成PREPARE消息并进行关联环签名，广播至主域中所有主域节点；其中，PREPARE消息(准备阶段消息)为：

<<PREPARE,v,n,d,T>,σ_RT(m),R_T>。

对Pre-Prepare消息中的序号和视图进行验证具体为：判断序号n是否满足水位线的规则，视图v是否等于当前的视图，若两者同时满足，则为通过验证。

在步骤S3中，主域节点接收PREPARE消息，根据环签名验证确定发送PREPARE消息的节点为PREPARE消息内公钥环中的成员后，对PREPARE消息进行关联性验证。

对于主域节点接收PREPARE消息，若发送PREPARE消息的节点不是该消息内公钥环中的组成成员时，则在统计票数加权和M₁过程中，发送该PREPARE消息的节点的时效参数为零。

在步骤S4中，统计PREPARE消息通过关联性验证的票数加权和M₁，若票数加权和M₁大于2F+1，F为全网能容忍的恶意节点票数和，则生成COMMIT消息并进行关联环签名，广播至所有节点；其中，COMMIT消息(提交阶段消息)为：

<<COMMIT,v,n,d>,σ_RD(m),R_D>

其中，R_D为主域D组成员的公钥组成的公钥环，σ_RD(m)为主域D组中主域节点对PREPARE消息的环签名。

在本发明的一个实施例中，对PREPARE消息/COMMIT消息进行关联环签名的方法包括：

A1、构建加密hash函数和映射到椭圆曲线的hash函数：

H₁:{0,1}^*→Z_q，H₂:{0,1}^*→G

其中，H₁为加密hash函数；H₂为映射到椭圆曲线的hash函数；Z_q为一个0～q的循环群；G为椭圆曲线上的G点；

A2、根据映射到椭圆曲线的hash函数及节点的私钥、公钥环，计算节点的公钥镜像：

y'＝x_iH₂(R_T)

其中，y'为公钥镜像；

A3、在Z_q中选取一个随机数α，计算第i+1个环签名中间参数c_i+1：

c_i+1＝H₁(R_T,y',m,αG,αy')

A4、在Z_q中选取一个随机数s_j，j＝i+1,…,n,1,…,i-1，顺次选取j的值计算环签名中间参数c_j+1：

c_j+1＝H₁(R_T,y',m,s_jG+c_jpk_j,s_jH₂(R_T)+c_jy')

A5、重复步骤S4，直至j＝i-1时，采用环签名中间参数c_i计算验证参数：

s_i＝α-x_ic_imodq

其中，s_i为验证参数；q为Z_q中最大的整数；mod为取模；

A6、采用验证参数s_i及执行步骤S4时选取的所有随机数s_j生成环签名：

σ_RT(m)＝(c₁,s₁,...,s_n,y')

其中，σ_RT(m)为T组中节点对Pre-Prepare消息/PREPARE消息的环签名。

在步骤S5中，主域节点和子域节点接收COMMIT消息，并在确定发送COMMIT消息的节点为主域节点时，对COMMIT消息进行关联性验证。

实施时，本方案优选对PREPARE消息/COMMIT消息/view-change消息(视图切换消息)进行环签名验证的方法包括：

E1、对于i＝1,2,…,n时，顺次选取i的值计算椭圆化参数z_i'和镜像处理参数z_i”：

z_i'＝s_iG+e_ipk_i，z_i”＝s_iH₂(R_T)+e_iy'

其中，当i＝1时，e₁＝c₁，e为验证中间参数；

E2、根据椭圆化参数z_i'和镜像处理参数z_i”，计算验证中间参数：

e_i+1＝H₁(R_T,y',m,z_i',z_i”)

其中，i≠n，e_i+1为第i+1个验证中间参数；

E3、重复步骤E1和E2，直至得到椭圆化参数z_n'和镜像处理参数z_n”；

E4、根据椭圆化参数z_n'和镜像处理参数z_n”，判断

若不相同，则PREPARE消息/COMMIT消息/view-change消息环签名验证失败，否则环签名验证成功，验证成功表明发送相应消息的节点属于公钥环中的成员或是主域节点。

其中，对PREPARE消息/COMMIT消息/view-change消息进行关联性验证进一步为：

PREPARE消息/COMMIT消息/view-change消息环签名验证后，判断此次收到的PREPARE消息/COMMIT消息/view-change消息中的消息m及公钥镜像y'是否与过往收到的相同；

若相同，则PREPARE消息/COMMIT消息/view-change消息关联性验证失败，否则通过环签名关联性验证。

关联性验证过程中判断的消息指PREPARE消息与PREPARE消息，COMMIT消息与COMMIT消息，view-change消息与view-change消息，即相同消息之间。

在步骤S6中，统计COMMIT消息通过关联性验证的票数加权和M₂，若票数加权和M₂大于2f_p+1时，则将COMMIT消息写入其数据库中，f_p为主域能容忍的恶意节点票数和。

在统计票数加权和M₁时，A～D组中的节点均有在参与，则有：

在统计票数加权和M₂时，仅D组中的主域节点参与，则有：

在本发明的一个实施例中，当共识域中的主节点出错时还包括视图切换：

在步骤G1中，当节点在设定时间内没有收到来自于主节点广播的Pre-Prepare消息时，节点向主域中的主域节点广播view-change消息(视图切换消息)：

其中，v+1为新视图编号；h为水位线；P为通过prepared阶段后的消息；Q为通过commited阶段后的消息；Y为环签名中间参数的集合；U为环签名验证参数的集合；R_T＝(pk₁,pk₂,...,pk_n)为T组成员的公钥组成的公钥环；pk_i＝x_iG为R_T中第i个公钥；x_i为与第i个公钥对应的私钥；

步骤G1中的节点包括主域节点和子域节点。

在步骤G2中，主域节点接收到view-change消息后，根据环签名验证确定发送view-change消息的节点为view-change消息内公钥环中的成员后，对view-change消息进行关联性验证；

在步骤G3中，统计view-change消息通过关联性验证的票数加权和M₃，若票数加权和M₃大于2f_p+1时，则该节点具有一个view-change证书；

在统计票数加权和M₁时，A～D组中的节点均有在参与。

在步骤G4中，采用原主节点编号加一对应的主域节点作为新的主节点，并采用具有view-change证书的主域节点向新的主节点发送new-primary消息(新视图消息)；

在步骤G5中，新的主节点接收到至少2f_p+1个new-primary消息后，确定自己为新的主节点，并向全网发起new-view事务请求。

新的主节点的确认过程解决了由于主节点故障导致的不一致问题，由于主节点的故障，可能导致部分节点达到了commited状态，并将数据写入了本地数据库，而另外的一部分节点由于主节点问题没有达到commited状态，而导致数据库出现不一致，而本方案采用发送new-view事务请求可以解决这个问题，保证了最终数据库都达到一致。

在步骤G6中，新的主节点从具有view-change证书的主域节点中选取一个view-change证书，将view-change证书中位于水位线后的消息发送给共识域中的所有节点，并执行步骤S1至步骤S6。

***为了对数据库不一致性进行修补，需要重复执行那些在个节点存在的不一致性事务。因此，减少视图切换的频率会很大程度降低***的负担，提高共识的性能，本方案减少了已经达到prepared状态消息的节点个数，将范围限制在主域中。这在新主节点获取prepared证书的过程中减少了大量通信，提高了视图切换的效率。

优化算法分析

由于要在分布式拜占庭环境下达成一致性，***不可避免的需要进行大量的交互过程。PBFT算法在三阶段协议中均使用了全网广播，这导致了算法的复杂度高。在实际中应用时，PBFT算法随着共识规模的增大，性能越来越差，目前的PBFT算法并不适用于大规模共识环境。一次PBFT算法的共识过程，需要进行2N²次通信，算法的复杂度为O(N²)，N为全网共识节点总数。

本方案的优化方法根据节点的安全程度对节点投票权重进行划分，同时根据投票权重进行了分域处理。在共识协议中对PBFT算法进行优化，减少了共识过程的通信次数。本方案在一次共识过程中，只需要进行2NM_p次通信，而主域大小M_p的值可以根据实际应用场景来选择。当M_p＜＜N时，我们可以认为M_p为常数，因此本方案的复杂度降低为O(N)，M_p为全网投票加权和。

本方案的优化方法的实施部署环境

本方案的优化方法可以部署在联盟链的区块链环境下。联盟链是指有若干个机构共同参与管理的区块链，每个机构都运行着一个或多个节点，其中的数据只允许***内不同的机构进行读写和发送交易，并且共同来记录交易数据。对于更加复杂的应用场景，要求共识节点之间地位不平等，在共识过程中的投票权重也不同。在这样的共识环境之下，我们的发明技术能够充分发挥作用。

综上所述，本方案具有优化性、隐私性和高效性：

(1)优化性：本发明对PBFT算法的应用领域进行了扩展，同时还优化了PBFT算法流程，减少了共识过程中的信息交互次数，降低了共识带宽的损耗。

(2)隐私性：本发明在投票共识的过程中使用环签名对投票消息进行加密处理，实现匿名共识，保证了参与共识用户的隐私性。

(3)高效性：本发明提出的优化算法，能保证高效共识，与PBFT算法相比有更快的收敛速度，可用于大规模的共识环境。

Claims (5)

1.基于关联环签名的拜占庭容错共识优化方法，其特征在于，包括：

S1、主域节点和子域节点接收来自于共识域中的主节点广播的Pre-Prepare消息；

S2、当Pre-Prepare消息中的序号和视图通过验证后，生成PREPARE消息并进行关联环签名，广播至主域中所有主域节点；

S3、主域节点接收PREPARE消息，根据环签名验证确定发送PREPARE消息的节点为PREPARE消息内公钥环中的成员后，对PREPARE消息进行关联性验证；

S4、统计PREPARE消息通过关联性验证的票数加权和M₁，若票数加权和M₁大于2F+1，则生成COMMIT消息并进行关联环签名，广播至所有节点；

S5、主域节点和子域节点接收COMMIT消息，根据环签名验证确定发送COMMIT消息的节点为主域节点时，对COMMIT消息进行关联性验证；

S6、统计COMMIT消息通过关联性验证的票数加权和M₂，若票数加权和M₂大于2f_p+1时，则将COMMIT消息写入其数据库中；

其中，F为全网能容忍的恶意节点票数和；f_p为主域能容忍的恶意节点票数和；

构建共识环境的具体实现过程为：根据社区的贡献程度，将全网节点分为四组A＝{a₁,a₂,…,a_n}，B＝{b₁,b₂,…,b_n}，C＝{c₁,c₂,…,c_n}，D＝{d₁,d₂,…,d_n}，A组成员投票的权重q_a＝1，B组权重为q_b＝2，C组权重为q_c＝3，D组权重为q_d＝4，其中权重最高的D组为主域，其余几组为子域，主域中的节点为主域节点，子域中的节点为子域节点；时效参数a_i、b_i、c_i和d_i有效时取值为1，无效时取值为0；

对PREPARE消息/COMMIT消息进行关联环签名的方法包括：

A1、构建加密hash函数和映射到椭圆曲线的hash函数：

H₁:{0,1}^*→Z_q，H₂:{0,1}^*→G

其中，H₁为加密hash函数；H₂为映射到椭圆曲线的hash函数；Z_q为一个0～q的循环群；G为椭圆曲线上的G点；

A2、根据映射到椭圆曲线的hash函数及节点的私钥、公钥环，计算节点的公钥镜像：

y'＝x_iH₂(R_T)

其中，y'为公钥镜像；x_i为与第i个公钥对应的私钥；R_T为T组成员的公钥组成的公钥环；

A3、在Z_q中选取一个随机数α，计算第i+1个环签名中间参数c_i+1：

c_i+1＝H₁(R_T,y',m,αG,αy')

其中,m为消息；

A4、在Z_q中选取一个随机数s_j，j＝i+1,…,n,1,…,i-1，顺次选取j的值计算环签名中间参数c_j+1：

c_j+1＝H₁(R_T,y',m,s_jG+c_jpk_j,s_jH₂(R_T)+c_jy')

A5、重复步骤A4，直至j＝i-1时，采用环签名中间参数c_i计算验证参数：

s_i＝α-x_ic_imod q

其中，s_i为验证参数；q为Z_q中最大的整数；mod为取模；

A6、采用验证参数s_i及执行步骤A4时选取的所有随机数s_j生成环签名：

σ_RT(m)＝(c₁,s₁,...,s_n,y')

其中，σ_RT(m)为T组中节点对Pre-Prepare消息/PREPARE消息的环签名；

对PREPARE消息/COMMIT消息/view-change消息进行环签名验证的方法包括：

E1、对于i＝1,2,…,n时，顺次选取i的值计算椭圆化参数z_i'和镜像处理参数z_i”：

z_i'＝s_iG+e_ipk_i，z_i”＝s_iH₂(R_T)+e_iy'

其中，当i＝1时，e₁＝c₁，e为验证中间参数；

E2、根据椭圆化参数z_i'和镜像处理参数z_i”，计算验证中间参数：

e_i+1＝H₁(R_T,y',m,z_i',z_i”)

其中，i≠n，e_i+1为第i+1个验证中间参数；

E3、重复步骤E1和E2，直至得到椭圆化参数z_n'和镜像处理参数z_n”；

E4、根据椭圆化参数z_n'和镜像处理参数z_n”，判断

若不相同，则PREPARE消息/COMMIT消息/view-change消息环签名验证失败，否则环签名验证成功；

对PREPARE消息/COMMIT消息/view-change消息进行关联性验证进一步为：

PREPARE消息/COMMIT消息/view-change消息环签名验证后，判断此次收到的PREPARE消息/COMMIT消息/view-change消息中的消息m及公钥镜像y'是否与过往收到的相同；

若相同，则PREPARE消息/COMMIT消息/view-change消息关联性验证失败，否则通过环签名关联性验证。

2.根据权利要求1所述的基于关联环签名的拜占庭容错共识优化方法，其特征在于，所述Pre-Prepare消息为：

<<PRE-PREPARE,v,n,d>,S_p,m>

其中，n为序号；m为消息；d为消息m的摘要；S_p为主节点对消息的签名；v为视图编号。

3.根据权利要求1所述的基于关联环签名的拜占庭容错共识优化方法，其特征在于，所述PREPARE消息为：

<<PREPARE,v,n,d,T>,σ_RT(m),R_T>

所述COMMIT消息：

<<COMMIT,v,n,d>,σ_RD(m),R_D>

其中，R_D为主域D组成员的公钥组成的公钥环，σ_RD(m)为主域D组中主域节点对PREPARE消息的环签名。

4.根据权利要求1所述的基于关联环签名的拜占庭容错共识优化方法，其特征在于，当共识域中的主节点出错时还包括视图切换：

G1、当节点在设定时间内没有收到来自于主节点广播的Pre-Prepare消息时，节点向主域中的主域节点广播view-change消息：

其中，v+1为新视图编号；h为水位线；P为通过prepared阶段后的消息；Q为通过commited阶段后的消息；Y为环签名中间参数的集合；U为环签名验证参数的集合；R_T＝(pk₁,pk₂,...,pk_n)为T组成员的公钥组成的公钥环；pk_i＝x_iG为R_T中第i个公钥；x_i为与第i个公钥对应的私钥；

G2、主域节点接收到view-change消息后，根据环签名验证确定发送view-change消息的节点为view-change消息内公钥环中的成员后，对view-change消息进行关联性验证；

G3、统计view-change消息通过关联性验证的票数加权和M₃，若票数加权和M₃大于2f_p+1时，则该节点具有一个view-change证书；

G4、采用原主节点编号加一对应的主域节点作为新的主节点，并采用具有view-change证书的主域节点向新的主节点发送new-primary消息；

G5、新的主节点接收到至少2f_p+1个new-primary消息后，确定自己为新的主节点，并向全网发起new-view事务请求，f_p为主域能接受的恶意节点票数和上限；

G6、新的主节点从具有view-change证书的主域节点中选取一个view-change证书，将view-change证书中位于水位线后的消息发送给共识域中的所有节点，并执行步骤S1至步骤S6。

5.根据权利要求1所述的基于关联环签名的拜占庭容错共识优化方法，其特征在于，A组～D组成员投票加权和的计算公式为：

其中，q_a＝1为A组权重；q_b＝2为B组权重；q_c＝3为C组权重；q_d＝4为D组权重；当A～D组中的节点通过关联性验证时，与其对应的时效参数a_i、b_i、c_i或d_i为有效，未通过验证或未参与验证时为无效，时效参数a_i、b_i、c_i和d_i有效时取值为1，无效时取值为0。

Images