MuSig多重簽名的實用拜占庭容錯共識算法

摘 要：為降低實用拜占庭容錯共識算法（practical Byzantine fault tolerance，PBFT）的通信復雜度和提高事務的吞吐量，提出一種MuSig多重簽名的實用拜占庭容錯共識算法（practical Byzantine fault tolerance consensus algorithm of MuSig multi-signature，MPBFT）。MPBFT共識算法改變了PBFT的準備和提交階段的信息傳輸方式，由主節點采用MuSig多重簽名算法將接收的備份節點的消息聚合為一個消息，再廣播給備份節點驗證聚合簽名的有效性。通過性能分析和實驗驗證，MPBFT共識算法將PBFT的通信復雜度由O（n²）降為O（n），具有較好的時間性能和安全性，且在事務延遲、吞吐量和通信開銷等方面優于其他三種對比算法。

關鍵詞： MPBFT； PBFT； 共識算法； MuSig； 區塊鏈

中圖分類號： TP301 文獻標志碼： A 文章編號： 1001-3695（2025）02-004-0352-05

doi： 10.19734/j.issn.1001-3695.2024.06.0227

Practical Byzantine fault tolerance consensus algorithm of MuSig multi-signature

Li Jing^1，2，3， Jia Yuanyuan^{1，2，3}， Zhang Lei^{1，2，3’}

（1.School of Information amp; Electronic Technology， Jiamusi University， Jiamusi Heilongjiang 154007， China; 2. Heilongjiang Province Key Laboratory of Autonomous Intelligence amp; Information Processing， Jiamusi Heilongjiang 154007， China; 3. Jiamusi Satellite Navigation Technology amp; Equipment Engineering Technology Key Laboratory， Jiamusi Heilongjiang 154007， China）

Abstract：To reduce the communication complexity of the PBFT consensus algorithm and improve transaction throughput， this paper proposed MPBFT. The MPBFT consensus algorithm modified the information transmission method during the prepare and commit phases of the PBFT. The primary node used the MuSig multi-signature algorithm to aggregate the messages received from backup nodes into a single message and then broadcasted it to the backup nodes to verify the validity of the aggregated signature. Through performance analysis and experimental verification， the MPBFT consensus algorithm reduces the communication complexity of PBFT from O（n²） to O（n）， demonstrating superior time performance and security. It outperforms the other three comparative algorithms in transaction latency， throughput， and communication overhead.

Key words：MPBFT; PBFT; consensus algorithm; MuSig; blockchain

0 引言

區塊鏈是一種按照時間順序將數據區塊以鏈條的方式組合成特定的數據結構^［1］，其應用不僅僅局限于比特幣等電子貨幣系統^［2］，還廣泛應用于隱私保護^［3］、物聯網^［4］、醫療健康^［5］和供應鏈^［6］等眾多領域^［7］。區塊鏈（可實現數據一致性的分布式賬本）作為一種去中心化的分布式系統，其中的所有節點共同保障系統的正常運行。為解決網絡延時、去中心化導致的數據分歧等問題，需要共識機制使系統中的節點達成共識，保證數據的一致性^［7］。共識機制^［8］是使所有誠實的節點保存在一致的區塊鏈賬本中以解決數據的一致性和記賬權問題，因此共識機制是區塊鏈的核心所在^［9］。

隨著對分布式賬本一致性問題的不斷探索，很多共識算法被提出。工作量證明PoW（proof of work）^［10］、股權證明PoS（proof of stake）^［11］等證明類共識算法由于吞吐量較低，難以滿足中小型交易的需求。傳統分布式一致性算法如Paxos^［12］和Raft^［13］，它們不能直接作為區塊鏈的共識機制使用，這是由于假設系統中的每個節點是互相信任和誠實的，但現實中節點之間存在欺騙和作惡的可能^［7］。適用于聯盟鏈場景的PBFT^［14］可以在拜占庭節點數不超過全網節點數量1/3的情況下保證系統的安全性和數據的一致性，但也存在缺陷。例如隨著網絡中的節點數量的增加，PBFT對網絡的依賴越來越大，在一輪共識后的網絡通信復雜度達到O（n²），需要較大的通信開銷，不具備良好的可擴展性。針對該問題，SG-PBFT^［15］在提交階段改進信息傳輸方式，將備份節點的提交信息發送給主節點進行處理，由主節點響應給其他節點，但是該方案難以抵抗密鑰攻擊。Li等人^［16］為改進PBFT無法動態連接節點和多節點共識效率低等問題，提出一種節點分層結構，由各層選擇主節點進行組內共識，然后各組主節點在組外達成共識的改進算法，但是增加了通信開銷。T-PBFT^［17］為增加節點間的信任，提出一種節點信任值計算方法，但是其通信復雜度為O（n²），降低了網絡吞吐量。

為降低PBFT共識算法的通信復雜度，本文提出一種MuSig多重簽名的實用拜占庭容錯共識算法（MPBFT）。MPBFT改進PBFT的準備階段和提交階段信息傳輸方式，在準備階段和提交階段與MuSig多重簽名結合，由主節點對收到的消息聚合為一個消息，減少傳輸信息的條數。實驗結果表明，MPBFT相比于PBFT有更好的吞吐量、更低的共識時延，并降低了網絡的通信復雜度。

1 預備知識

1.1 PBFT基本概念

PBFT共識算法是一個能夠容忍拜占庭錯誤的分布式共識算法。所謂的拜占庭錯誤是指允許作惡節點出現實施惡意行為。PBFT共識算法可以容忍最大的拜占庭節點個數為f，與網絡中總節點個數N的關系如式（1）所示，即滿足3f+1≤N，PBFT可以正常完成共識。如果網絡中的拜占庭節點個數超過全網節點的1/3，則PBFT算法不能正常完成共識。

f=? （N－1）/3」（1）

1.2 PBFT共識過程

PBFT是一種狀態機復制算法，通過三階段協議達成共識，PBFT的共識過程如圖1所示。PBFT分為請求、預準備、準備、提交和響應五個階段，主節點、節點1、2和3是參與共識的節點，其中節點3是拜占庭節點，節點1和2是備份節點。PBFT算法的具體共識過程如下：

a）請求階段。客戶端發送請求消息給主節點。

b）預準備階段。主節點收到客戶端的請求消息后進行驗證，驗證成功后，主節點分配一個序列號給客戶端的請求，然后廣播一條預準備消息給所有的備份節點。

c）準備階段。備份節點收到主節點的預準備消息后對該消息進行核驗，校驗通過后接受該消息并進入準備階段。備份節點廣播一條準備消息給所有節點，并將這條消息寫入日志。當節點收到與客戶端的請求、對應的預準備消息和2f條對應的來自不同備份節點的準備消息時，進入提交階段，其中f表示拜占庭節點個數。

d）提交階段。備份節點廣播一條提交消息，并將其寫入日志。當節點收到2f+1條來自不同節點與客戶端請求消息對應的提交消息時，客戶端的請求已提交，此時備份節點執行請求操作，并將執行結果響應給客戶端。

1.3 MuSig多重簽名

MuSig^［18］多重簽名是Blockstream團隊在2018年提出的Schnorr簽名^［19］方案，即多個簽名者對同一消息進行聯合簽名，且最終的簽名長度要短。MuSig多重簽名算法的核心思想是將多個簽名者的公鑰聚合為一個公鑰，聚合公鑰的生成不只是多個簽名者公鑰的相加，而是分別乘以某個因子。簽名者使用聚合公鑰對消息進行簽名，然后將多個簽名合并成一個聚合簽名，從而減少了交易的大小和驗證的復雜性。MuSig方案使得外部觀察者無法確定哪些參與者參與了簽名，保證了簽名的安全性和隱私性。MuSig多重簽名的實現過程如下所示：a）參與者生成自己的公私鑰對（x，X=g^x），x是參與者的私鑰，X是參與者的公鑰，g是G的生成元，G是素數階p的循環群，并將公鑰發送給其他參與者；b）參與者通過一個多方協議生成聚合公鑰；c）參與者根據聚合公鑰X對消息生成簽名s_i，并將簽名發送給其他參與者；d）參與者通過一個多方協議計算聚合簽名s；e）參與者驗證聚合簽名的有效性，且只占用一個簽名的空間。

1.4 隱私威脅

在MPBFT的實現過程中，存在著諸多的隱私威脅，例如密鑰消除攻擊（key cancellation attack）、密鑰選擇攻擊和節點的信任度等問題。如果攻擊者通過某種方式破壞密鑰生成，或者在已知一些明文-密文對的情況下，通過分析這些對之間的關系來推斷出加密算法所使用的密鑰，使得接收方最終獲得的密鑰不正確或被刪除，從而導致加密系統無法正常解密或解密后的數據不正確。由于MPBFT依賴主節點，如果主節點是拜占庭節點，它將發布錯誤的消息導致整個系統癱瘓。備份節點間由于互不信任可能廣播視圖編號、錯誤的簽名等錯誤的節點信息，使得MPBFT共識過程無法正常運行。

2 MPBFT共識算法

2.1 基本思想

為降低PBFT共識算法的通信開銷和提高算法的吞吐量，本文提出一種改進的實用性拜占庭容錯協議—MPBFT。MPBFT的共識過程如圖2所示。MPBFT在準備階段和提交階段改變信息的傳輸方式，通過將備份節點的消息轉發給主節點，由主節點對收到的消息進行統一處理，將收到多個節點發送的同一個消息采用MuSig多重簽名算法聚合為一個消息發送給其他節點。該方案改變了原有算法多對多的傳輸方式，而是將節點收到的消息轉發給主節點進行統一的處理，降低了通信開銷并提高了網絡吞吐量。

2.2 請求和預準備階段

a）請求階段?？蛻舳税l送請求消息〈REQUEST，o，t，c〉_σc給主節點，其中o為請求的操作，t為時間戳，σ_c表示客戶端c對請求消息的簽名。然后進入預準備階段。

b）預準備階段。主節點收到客戶端的請求，驗證成功后，主節點分配一個序列號n給請求m，然后廣播一條預準備消息〈〈PREPREPARE，v，n，d〉_σp，m〉給所有的備份節點，其中v為視圖的編號，m為請求消息，d為請求消息m的摘要，σ_p為對預準備消息的簽名。備份節點i驗證預準備消息通過后進入準備階段。如果系統中的節點發現主節點是拜占庭節點，根據主節點更換原則：

p=v mod N（2）

替換下一個主節點，其中v是視圖編號，N是網絡中參與共識的節點個數。封裝視圖轉換消息以及節點編號和消息的簽名〈VIEW－CHANGE，v，i〉_σi發送給下一輪的主節點，σ_i為備份節點i對視圖轉換消息的簽名。預準備階段是為了確保所有的備份節點都收到相同的請求，在進入后續的準備和提交時有一致的初始狀態。預準備消息的到達代表著主節點已經開始了共識過程的第一步。

2.3 準備階段

備份節點i收到主節點的預準備消息后對該消息進行核驗，校驗通過后接受該消息進入準備階段。備份節點i生成自己的公私鑰對（x_i，X_i=g^x_i），x_i為備份節點i的私鑰，X_i為備份節點i的公鑰。其中g是G的生成元，G是一個素數階p的循環群。然后備份節點i廣播一條準備消息〈PREPARE，v，n，d，i〉_σi給主節點。當主節點收到一條準備消息時，校驗成功后寫入日志中；當主節點收到與請求m、已發送對應的預準備消息以及收到2f條對應的來自不同備份節點i的準備消息時，此時主節點采用MuSig算法對收到的2f條準備消息聚合為一個簽名。主節點處理準備消息并聚合為一個簽名的過程如下所示。

a）主節點提取收到消息中的公鑰、私鑰、隨機數r_i和公鑰X_i的nonce值R_i，其中r_i←Ζ_q，R_i=G^r_i。主節點收集參與共識的備份節點i的公鑰L={X₁，X₂，…，X_n}，i∈{1，2，…，n}，主節點根據式（3）計算備份節點的聚合公鑰X。

X=∏ⁿ_i=1X^a_ii（3）

其中：a_i=H_agg（L，X_i），H_agg是哈希函數。

b）備份節點i計算t_i=H_com（R_i），將計算的t_i發送給主節點，其中H_com是哈希函數。

c）當主節點收齊備份節點i的t_i和R_i時，主節點驗證H_com（R_i）=t_i是否成立，若成立則主節點按照式（4）（5）計算備份節點聚合后的R和挑戰值c，其中H_sig是哈希函數。

R=∏ⁿ_i=1R_i（4）

c=H_sig（X，R，m）（5）

d）備份節點i按照式（6）計算s_i，將s_i發送給主節點；當主節點收到所有備份節點的s_i時，按照式（7）計算s，最終聚合后的簽名信息為σ=（R，s）。

s_i=（r_i+ca_ix）mod p（6）

s=∑ni=1s_i mod p（7）

主節點將聚合的簽名σ=（R，s）和準備消息廣播給備份節點進行驗證，驗證成功后進入提交階段。準備階段中主節點對收到備份節點消息的聚合簽名過程的偽代碼如算法1所示。

算法1 主節點處理聚合簽名過程算法

輸入：received_message。

輸出：σ。

if （self.node_id == self.primary_node_id） then

提取received_message中的x_i、X_i、R_i和r_i

收集備份節點i的公私鑰列表X_i_list、x_i_list及r_i_list、R_i_list

根據備份節點i計算的a_i，收集備份節點i的a_i_list

if （len（x_i_list）==（2×f） and len（X_i_list）==（2×f） and len（r_i_list）==（2×f） and len（R_i_list）==（2×f）） then

按照式（4）（7）計算R和s，廣播準備消息prepare_message給其他備份節點

end if

end if

return σ

備份節點i在收到主節點發來的準備消息時，提取準備消息中的R和s，驗證聚合簽名的有效性。備份節點i驗證聚合簽名有效性的偽代碼如算法2所示。驗證聚合簽名成功后進入提交階段。

2.4 提交階段

備份節點i廣播一條提交消息〈COMMIT，v，n，d，i〉_σi，當主節點收到一條提交消息時，將其寫入日志。當請求消息m已準備好，且主節點收到2f+1條來自不同備份節點i的與m對應的提交消息時，執行MuSig多重簽名算法同算法1，主節點將收到的簽名聚合為一個簽名σ，廣播給備份節點i驗證g^s和R∏ⁿ_i=1X^a_i^c_i是否相等。備份節點驗證聚合簽名的過程如算法2所示。驗證成功后，此時主節點將執行結果響應給客戶端。

算法2 備份節點驗證聚合簽名算法

輸入：commit_message。

輸出：true/1。

提取commit_message中的R，s

根據式（3）（5）計算聚合后的公鑰X、c

計算g^s、R∏ⁿ_i=1X^a_i^c_i

if g^s==R∏ⁿ_i=1 X^a_i^c_i then

return true

else

return 1

end if

PBFT共識算法是將準備消息和提交消息由備份節點廣播給其他備份節點，而MPBFT在準備和提交階段，備份節點將消息發送給主節點，由主節點對收到的消息進行處理，由主節點進行聚合簽名，再廣播給其他節點。MPBFT減少了很多冗余的網絡信息，大大降低了通信復雜度。

3 性能分析

3.1 通信復雜度和時間性能

a）通信復雜度。設網絡中的節點個數為N，不計請求消息和響應消息，分析MPBFT和PBFT、G-PBFT^［20］、SG-PBFT^［15］的通信復雜度，如表1所示。MPBFT在預準備階段是由主節點將請求消息廣播給其他備份節點，因此預準備階段的通信量為N－1，在準備階段和提交階段備份節點將消息發送給主節點進行處理，由主節點對收到的消息進行聚合簽名生成一個簽名，準備階段節點的通信量為2（N－1），提交階段節點通信量為N－1，因此MPBFT在預準備階段、準備階段和提交階段的通信總量為N－1+2（N－1）+N－1=5（N－1），通信復雜度為O（n）。PBFT在準備和提交階段的消息傳輸方式是將節點的消息廣播給其他節點，在準備和提交階段的通信的消息量分別都為N（N－1），因此PBFT在這三階段中的通信的消息總量為N－1+2N（N－1）=2N²－N－1，通信復雜度為O（n²）。G-PBFT^［20］是通過計算節點的信任值減少消息交換的次數，并沒有改變信息的傳輸方式，因此在準備和提交階段的通信復雜度分別都為O（n²）。SG-PBFT^［15］在提交階段改變信息傳輸方式，將備份節點的提交消息發送給主節點進行處理，所以該算法在準備和提交階段分別為O（n²）和O（n）。從表1可以看出，MPBFT的通信復雜度性能優于其他三種方案。

b）時間性能。文獻［21］采用的簽名方案是BLS簽名。BLS簽名是一種基于橢圓曲線的聚合簽名，它主要依賴于雙線性映射函數，需要用到曲線配對函數e（P，Q），P和Q分別是曲線上的兩個點，但BLS簽名的配對是很困難的，假設對于1 000個節點的簽名聚合，需要計算1 000次配對，因此驗證一個節點的簽名，可能比驗證1 000個單獨的橢圓曲線數字簽名需要更長的時間。如果選用高效的配對函數提高驗證簽名的效率，可能會增加密鑰信息暴露的風險，兩者在一定程度上互不兼容。而本文采用的MuSig多重簽名可以批量驗證簽名，比BLS簽名方案的驗證效率更高，花費更少的時間，提高MPBFT共識算法的性能。

3.2 安全性分析

a）抗密鑰取消攻擊。MuSig算法的出現使密鑰取消攻擊成為不可能，證明過程如下。證明過程所用的符號含義如表2所示。

表2 符號解釋

Tab.2 Interpretation of symbols

符號含義符號含義R_a、R_bAlice和Bob公鑰的隨機值a_a、a_fAlice和Bob的隨機化因子k_sBob經隨機化因子處理的私鑰s_bBob方計算的簽名R_f、X_fBob構造虛假的隨機值和公鑰k_a、k_bAlice和Bob的私鑰

假設有兩個參與方Alice和Bob， Bob按照式（8）（9）構造虛假的隨機值和公鑰。

R_f=R_b－R_a（8）

X_f=X_b－X_a（9）

這將使Alice和Bob按照式（3）～（5）計算聚合公鑰X、聚合后的R和挑戰值c，然后Bob按照式（6）計算單方簽名。假設Bob不需要自己的私鑰，而是利用已知的信息推導它，為了使這個簽名有效，它必須驗證R+cX是有效的。推導過程為

（r_b+k_sc）G=R+cX=R_b+c（a_aX_a+a_fX_f）=

R_b+c（a_aX_a+a_fX_b－X_aa_f）=（r_b+c（a_ak_a+a_fk_b－k_aa_f））G，

k_sc=c（a_ak_a+a_fk_b－k_aa_f），k_s=a_ak_a+a_fk_b－k_aa_f（10）

Bob為了推導自己的私鑰，必須知道Alice的私鑰以及虛假的私鑰，因此他的密鑰取消攻擊被擊敗。

b）抗選擇密鑰攻擊。攻擊者可能試圖通過在簽名或加密過程中選擇惡意構造的密鑰來破壞系統的安全性。然而在MuSig多重簽名方案中，參與者的密鑰進行了隨機化的處理，攻擊者無法直接觀察到其他參與者的密鑰。此外，參與者的簽名s_i=（r_i+ck_i）都是基于參與者的公鑰和隨機化因子的混合，其中r_i是隨機數，挑戰值c是基于式（5）生成，k_i是參與者的隨機化因子與參與者私鑰的乘積。因此，MuSig方案的密鑰生成機制和隨機化處理為選擇密鑰攻擊提供了有效的防護，即使攻擊者能夠觀察其他簽名者的簽名，也無法直接利用這些信息來選擇有效的密鑰進行攻擊。

c）抗MOV攻擊。MOV攻擊是按照攻擊者命名的攻擊，是一種針對橢圓曲線加密體系的攻擊。它利用配對函數危害系統的安全。文獻［21］采用的BLS簽名方案主要用配對函數進行簽名，因此很容易受到MOV攻擊，降低簽名方案的安全性。而MuSig多重簽名通過隨機數器和聚合公鑰等一系列操作對同一消息進行聚合簽名，不是基于橢圓曲線數字簽名，因此可以抵抗MOV攻擊，其相較于BLS聚合簽名有更好的安全性。

d）節點可信度。當主節點是拜占庭節點，主節點可能會向所有共識節點廣播不一致的預準備消息，或者不響應客戶端的請求。如果發生這種異常情況，備份節點會監視主節點的行為，若主節點在規定的時間內沒有做出指定的操作和回應，則會引發視圖轉換機制更換新的主節點。所以該方案限制了主節點作惡和不響應的可能。如果備份節點是拜占庭節點且數量超過f，系統是無法完成共識的。

4 實驗驗證

為了驗證MPBFT的效率，實驗環境為Windows 10操作系統，使用Python 3.7進行實驗仿真，處理器為i5-12500H，2.5 GHz。對比實驗方案選擇PBFT、G-PBFT^［20］及SG-PBFT^［15］。為了驗證MPBFT的優越性，首先驗證MPBFT中主節點采用MuSig多重簽名算法的時間性能；其次，從事務的吞吐量、事務延遲和通信開銷三方面對比四種方案的性能。

4.1 聚合簽名的時間消耗

以MPBFT的準備階段為例，以網絡中參加共識的節點個數為橫坐標，實驗設置10個客戶端向主節點發出請求消息，取10次聚合簽名所消耗時間的均值作為縱坐標，測試主節點聚合備份節點信息所消耗的時間，如圖3所示。隨著網絡中節點數量的增加，聚合簽名所需的時間增加，但當網絡中節點個數為550時，聚合簽名所需時間僅45 ms，因此采用聚合簽名算法所消耗的時間并不會影響整個網絡的時間性能。

4.2 事務延遲

事務延遲是指客戶端向主節點發出請求，然后經歷預準備、準備和請求階段響應給客戶端所需的時間。分別測試四種方案在小規模和大規模網絡的事務延遲性能。小規模網絡中事務延遲隨節點變化情況如圖4所示。取10次的平均值作為實驗數據。從圖4可以看出，在小規模的網絡中，MPBFT和SG-PBFT^［15］的事務延遲相接近，但遠遠低于PBFT和G-PBFT^［20］。

如圖5所示，MPBFT的事務延遲性能遠遠優于PBFT、G-PBFT^［20］，較SG-PBFT^［15］的優勢有所體現。當節點數量為150時，MPBFT的事務延遲約為248 ms，當節點數量為550時，它的事務延遲約為1 300 ms，明顯優于其他三種方案。這是由于MPBFT采用了MuSig多重簽名算法，在準備和提交階段由主節點將多個備份節點的消息聚合為一個簽名再廣播給其他節點，這減少了信息交換的通信量，降低了網絡中處理事務的時間。所以從圖4和5可以看出，MPBFT的事務延遲性能在大規模網絡中的優勢更加明顯。

4.3 吞吐量

吞吐量是指在一個特定時間內系統處理的數據量或事務數量，通常表示每秒傳輸的數據量（TPS）。實驗設置10個客戶端發送請求，測試客戶端每秒傳輸的數據量隨節點數量變化情況，如圖6、7所示。取10個客戶端吞吐量的均值作為縱坐標，在圖6中，MPBFT在吞吐量方面優于PBFT和G-PBFT^［20］。MPBFT和SG-PBFT^［15］的吞吐量均有增長的趨勢，且SG-PBFT^［15］的吞吐量性能優于MPBFT。由于SG-PBFT^［15］在小規模網絡中的事務延遲較低，且單位時間內交易的數量更多，所以吞吐量性能優勢更明顯。

在大規模網絡中，隨著節點數量的增加，SG-PBFT^［15］的吞吐量性能完全低于本文方案，如圖7所示。MPBFT隨著節點數量的增加，吞吐量的變化趨勢不太明顯，而SG-PBFT^［15］和G-PBFT^［20］的吞吐量變化趨勢愈加明顯，這是由于這兩種方案的通信復雜度都達到了O（n²），導致吞吐量的性能越來越差，而PBFT的吞吐量一直低于500 TPS。在節點數量為550時，MPBFT的吞吐量仍然能保持大約1 600 TPS，這是由于MPBFT的時間延遲低于其他三種方案，所以MPBFT在一個時間單位內可以處理更多的事務，且吞吐量的性能指標優于其他三種方案，更適用于節點數量較多的大規模網絡中。

4.4 通信開銷

通信開銷是指網絡中節點執行產生的流量，這里指客戶端發出請求到得到響應，網絡中所交換信息的個數。如圖8所示，隨著節點數量的增多，通信開銷也逐步增加，MPBFT的優勢越明顯。當節點數量為550時，MPBFT完成一個共識過程的所交換的消息量約1 896次，而PBFT、SG-PBFT和G-PBFT完成一個共識過程所交換的消息量分別約為406 448、59 051、109 728次，三種對比方案的通信量遠遠高于本文MPBFT，這主要是由于MPBFT在準備階段和提交節點采用了聚合簽名算法，極大地降低了通信開銷。

5 結束語

本文提出一種MuSig多重簽名的實用拜占庭容錯共識算法（MPBFT），MPBFT算法改進傳統PBFT共識算法的準備和提交階段的信息傳輸方式，主節點采用MuSig多重簽名算法聚合備份節點發送的消息，將聚合后的消息統一由主節點發送給備份節點進行驗證，降低信息交換的通信量，使通信復雜度由O（n²）降到O（n）。通過性能分析和實驗驗證，在多節點的情況下，MPBFT在通信開銷、吞吐量和事務延遲等方面優于其他方案，具有較好的安全性，且聚合簽名方案的時間消耗不會影響整體網絡的時間性能，適用于大規模的聯盟鏈中。未來工作中，將增加主節點選取方案和信任激勵機制，防止主節點選取方式隨機難以保證節點的信任度，并鼓勵節點積極加入聯盟區塊鏈中。

參考文獻：

［1］王利朋， 關志， 李青山， 等. 區塊鏈數據安全服務綜述［J］. 軟件學報， 2023， 34（1）： 1-32. （Wang Lipeng， Guan Zhi， Li Qing-shan， et al. Survey on blockchain-based security services ［J］. Journal of Software， 2023， 34（1）： 1-32.）

［2］Xu Jiexu， Bai Wen， Hu Miao， et al. Bitcoin miners： exploring a co-vert community in the Bitcoin ecosystem ［J］. Peer-to-Peer Networking and Applications， 2020， 14（2）： 644-654.

［3］Liu Xingchen， Huang Haiping， Xiao Fu， et al. A blockchain-based trust management with conditional privacy-preserving announcement scheme for VANETs ［J］. IEEE Internet of Things Journal， 2019， 7（5）： 4101-4112.

［4］Zaman S， Alhazmi K， Aseeri M A， et al. Security threats and artificial intelligence based countermeasures for Internet of Things networks： a comprehensive survey ［J］. IEEE Access， 2021， 9（1）： 94668-94690.

［5］陳嘉莉， 馬自強， 蘭亞杰， 等. 基于區塊鏈技術的醫療信息共享研究綜述［J］. 計算機應用研究， 2024， 41（9）：1-14.（Chen Jiali， Ma Ziqiang，Lan Yajie， et al. Overview of medical information sharing based on blockchain technology ［J］. Application Research of Computers， 2024， 41（9）：1-14.）

［6］Aslam H， Khan A Q， Rashid K， et al. Achieving supply chain resilience： the role of supply chain ambidexterity and supply chain agility ［J］. Journal of Manufacturing Technology Management， 2020， 31（6）： 1185-1204.

［7］王纘， 田有亮， 岳朝躍. 基于門限密碼方案的共識機制［J］. 計算機研究與發展， 2019， 56（12）： 2671-2683.（Wang Zuan， Tian Youliang， Yue Zhaoyue. Consensus mechanism based on threshold cryptography scheme ［J］. Journal of Computer Research and Development， 2019， 56（12）： 2671-2683.）

［8］鄧小鴻， 王智強， 李娟， 等. 主流區塊鏈共識算法對比研究［J］. 計算機應用研究， 2022， 39（1）： 1-8. （Deng Xiaohong， Wang Zhiqiang， Li Juan， et al. Comparative research on mainstream blockchain consensus algorithms ［J］. Application Research of Compu-ters， 2022， 39（1）： 1-8.）

［9］王群， 李馥娟， 倪雪莉， 等. 區塊鏈共識算法及應用研究［J］. 計算機科學與探索， 2022， 16（6）： 1214-1242.（Wang Qun， Li Fujuan， Ni Xueli， et al. Survey on blockchain consensus algorithms and application ［J］. Journal of Frontiers of Computer Science and Technology， 2022， 16（6）： 1214-1242.）

［10］夏清， 竇文生， 郭凱文， 等. 區塊鏈共識協議綜述［J］. 軟件學報， 2020， 32（2）： 277-299.（Xia Qing， Dou Wensheng，Guo Kaiwen， et al. Survey on blockchain consensus protocol ［J］. Journal of Software， 2020， 32（2）： 277-299.）

［11］Fahim S， Rahman S K， Mahmood S. Blockchain： a comparative study of consensus algorithms PoW， PoS， PoA， PoV ［J］. International Journal of Computer Mathematics， 2023， 3（1）： 46-57.

［12］Kurnia F I， Venkataramani A. Oblivious Paxos： privacy-preserving consensus over secret-shares［C］// Proc of ACM Symposium on Cloud Computing. New York： ACM Press， 2023： 65-80.

［13］Huang Dongya， Ma Xiaoli， Zhang Shengli. Performance analysis of the Raft consensus algorithm for private blockchains ［J］. IEEE Trans on Systems， Man， and Cybernetics： Systems， 2019， 50（1）： 172-181.

［14］Castro M， Liskov B. Practical byzantine fault tolerance and proactive recovery ［J］. ACM Trans on Computer Systems （TOCS）， 2002， 20（4）： 398-461.

［15］Xu Guangquan， Bai Hongpeng， Xing Jun， et al. SG-PBFT： a secure and highly efficient distributed blockchain PBFT consensus algorithm for intelligent Internet of vehicles ［J］. Journal of Parallel and Distributed Computing， 2022， 164（1）： 1-11.

［16］Li Yuxi， Qiao Liang， Lyu Zhihan. An optimized Byzantine fault tole-rance algorithm for consortium blockchain ［J］. Peer-to-Peer Networking and Applications， 2021， 14（5）： 2826-2839.

［17］Gao Sheng， Yu Tianyu， Zhu Jianming， et al. T-PBFT： an EigenTrust-based practical Byzantine fault tolerance consensus algorithm ［J］. China Communications， 2019， 16（12）： 111-123.

［18］Maxwell G， Poelstra A， Seurin Y， et al. Simple Schnorr multi-signatures with applications to bitcoin ［J］. Designs， Codes and Cryptography， 2019， 87（9）： 2139-2164.

［19］Fleischhacker N， Jager T， Schr?der D. On tight security proofs for Schnorr signatures ［J］. Journal of Cryptology，2019，32（2）：566-599.

［20］Wang Yong， Zhong Meiling， Cheng Tong. Research on PBFT consensus algorithm for grouping based on feature trust ［J］. Scientific Reports， 2022， 12（1）： 12515.

［21］陳佳偉， 冼祥斌， 楊振國， 等. 結合BLS聚合簽名改進實用拜占庭容錯共識算法［J］. 計算機應用研究， 2021， 38（7）： 1952-1955，1962. （Chen Jiawei， Xian Xiangbin， Yang Zhenguo， et al. Improved practical Byzantine fault tolerant consensus algorithm combined with BLS aggregating signature ［J］. Application Research of Computers， 2021， 38（7）： 1952-1955，1962.）