El protocolo de consenso Stellar
Resumo
Os pagamentos internacionais são lentos e caros, em parte devido ao roteamento de pagamentos multi-hop através de plataformas heterogêneas. sistemas bancários. Stellar é uma nova rede global de pagamentos que pode transferir dinheiro digital diretamente para qualquer lugar do mundo em segundos. A principal inovação é uma transação segura mecanismo através de intermediários não confiáveis, usando um novo Protocolo de acordo bizantino denominado SCP. Com o SCP, cada instituição especifica outras instituições com as quais permanecer de acordo; através da interconectividade global do sistema financeiro, toda a rede concorda então com a energia atômica transações abrangendo instituições arbitrárias, sem risco de solvência ou de taxa de câmbio de emissores intermediários de ativos ou formadores de mercado. Apresentamos o modelo, protocolo e verificação formal; descrever a rede de pagamento Stellar; e finalmente avaliar Stellar empiricamente através de benchmarks e nossa experiência com vários anos de uso em produção. Conceitos de CCS • Segurança e privacidade →Distribuído segurança de sistemas; • Organização de sistemas informáticos → Arquiteturas ponto a ponto; • Sistemas de informação → Transferência eletrônica de fundos. Palavras-chave blockchain, BFT, quóruns, pagamentos Formato de referência ACM: Marta Lokhava, Giuliano Losa, David Mazières, Graydon Hoare, Nicolas Barry, Eli Gafni, Jonathan Jove, Rafał Malinowsky, Jed McCaleb. 2019. Pagamentos globais rápidos e seguros com Stellar. No SOSP '19: Simpósio sobre Princípios de Sistemas Operacionais, 27 a 30 de outubro, 2019, Huntsville, ON, Canadá. ACM, Nova York, NY, EUA, 17 páginas. https://doi.org/10.1145/3341301.3359636
Resumen
Los pagos internacionales son lentos y costosos, en parte debido al enrutamiento de pagos de múltiples saltos a través de canales heterogéneos. sistemas bancarios. Stellar es una nueva red de pagos global que puede transferir dinero digital directamente a cualquier parte del mundo mundo en segundos. La innovación clave es una transacción segura mecanismo a través de intermediarios no confiables, utilizando un nuevo Protocolo de acuerdo bizantino llamado SCP. Con SCP, cada institución especifica otras instituciones con las cuales permanecer de acuerdo; a través de la interconexión global de la sistema financiero, toda la red se pone de acuerdo en términos atómicos. transacciones que abarcan instituciones arbitrarias, sin solvencia ni riesgo de tipo de cambio por parte de emisores de activos intermediarios o creadores de mercado. Presentamos el modelo, protocolo y verificación formal; describir la red de pago Stellar; y finalmente evaluar Stellar empíricamente a través de puntos de referencia y nuestra experiencia con varios años de uso en producción. Conceptos de CCS • Seguridad y privacidad →Distribuida seguridad de sistemas; • Organización de sistemas informáticos → Arquitecturas de igual a igual; • Sistemas de información → Transferencia electrónica de fondos. Palabras clave blockchain, BFT, quórumes, pagos Formato de referencia ACM: Marta Lokhava, Giuliano Losa, David Mazières, Graydon Hoare, Nicolas Barry, Eli Gafni, Jonathan Jove, Rafał Malinowsky, Jed McCaleb. 2019. Pagos globales rápidos y seguros con Stellar. En SOSP '19: Simposio sobre principios de sistemas operativos, 27 al 30 de octubre, 2019, Huntsville, ON, Canadá. ACM, Nueva York, NY, EE.UU., 17 páginas. https://doi.org/10.1145/3341301.3359636
Introdução
Os pagamentos internacionais são notoriamente lentos e caros [32]. Considere a impraticabilidade de enviar US$ 0,50 dos EUA para * Galois, Inc. †UCLA Permissão para fazer cópias digitais ou impressas de todo ou parte deste trabalho para o uso pessoal ou em sala de aula é concedido gratuitamente, desde que as cópias não sejam feitos ou distribuídos com fins lucrativos ou vantagens comerciais e que as cópias contenham este aviso e a citação completa na primeira página. Direitos autorais para componentes deste trabalho de propriedade de terceiros que não a ACM devem ser honrados. Abstraindo com crédito é permitido. Para copiar de outra forma, ou republicar, para postar em servidores ou para redistribuir para listas, requer permissão prévia específica e/ou taxa. Solicitação permissões de [email protected]. SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá © 2019 Associação de Máquinas de Computação. ACM ISBN 978-1-4503-6873-5/19/10...$15,00 https://doi.org/10.1145/3341301.3359636 México, dois países vizinhos. Os usuários finais pagam quase US$ 9 para a média dessa transferência [32], e um acordo bilateral intermediada pelos bancos centrais dos países só poderia reduzir o banco subjacente custa US$ 0,67 por item [2]. Além das taxas, a latência dos pagamentos internacionais é geralmente contada em dias, impossibilitando a obtenção rápida de dinheiro no exterior em emergências. Em países onde o sistema bancário não funciona ou não serve todos os cidadãos, ou onde as taxas são intoleráveis, as pessoas recorrem ao envio de pagamentos por autocarro [38], por barco [19], e ocasionalmente agora por Bitcoin [55], todos os quais incorrer em risco, latência ou inconveniência. Embora sempre haja custos de conformidade, as evidências sugerem que uma quantia significativa é perdida devido à falta de concorrência [21], que é exacerbado pela tecnologia ineficiente. Onde as pessoas pode inovar, os preços e as latências caem. Por exemplo, as remessas de contas bancárias no segundo trimestre de 2019 custaram em média 6,99%, enquanto o valor do dinheiro móvel foi de apenas 4,88% [13]. Uma rede de pagamentos aberta e global que atrai inovação e a concorrência de entidades não bancárias poderá reduzir custos e latências em todas as camadas, incluindo conformidade [83]. Este artigo apresenta Stellar, um sistema de pagamento baseado em blockchain rede especificamente projetada para facilitar a inovação e concorrência nos pagamentos internacionais. Stellar é o primeiro sistema para atender a todos os três objetivos a seguir (sob um “hipótese da Internet” nova, mas empiricamente válida: 1. Associação aberta – Qualquer pessoa pode emitir títulos garantidos por moeda tokens digitais que podem ser trocados entre os usuários. 2. Finalidade imposta pelo emissor – O emissor de um token pode evitar transações em token sejam revertidas ou desfeitas. 3. Atomicidade entre emissores – Os usuários podem trocar atomicamente e negociar tokens de vários emissores. Alcançar os dois primeiros é fácil. Qualquer empresa pode oferecer unilateralmente um produto como Paypal, Venmo, WeChat Pay, ou Alipay e garantir a finalização dos pagamentos no moedas virtuais que eles criaram. Infelizmente, fazer transações atomicamente entre essas moedas é impossível. Na verdade, apesar do Paypal ter adquirido a controladora da Venmo em 2013, ainda é impossível para os usuários finais enviarem Venmo dólares para usuários do Paypal [78]. Só recentemente os comerciantes podem até mesmo aceitar ambos com uma única integração. Os objectivos 2 e 3 podem ser alcançados num sistema fechado. Em particular, vários países dispõem de sistemas de pagamento internos eficientes redes, normalmente supervisionadas por uma autoridade reguladora de confiança universal. No entanto, a adesão é limitada a um período fechado conjunto de bancos licenciados e as redes são limitadas ao alcance da autoridade reguladora de um país.SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. As metas 1 e 3 foram alcançadas em blockchains minadas, mais notavelmente na forma de ERC20 tokens em Ethereum [3]. A ideia principal desses blockchains é criar uma nova criptomoeda com a qual recompensar as pessoas por fazerem acordos transações difíceis de reverter. Infelizmente, isso significa que os emissores token não controlam a finalidade da transação. Se software erros fazem com que o histórico de transações seja reorganizado [26, 73], ou quando os despojos de fraudar as pessoas excedem o custo de reorganizando o histórico [74, 97], os emissores podem ser responsáveis por tokens eles já foram resgatados por dinheiro do mundo real. O Stellar blockchain possui duas propriedades distintas. Primeiro, ele oferece suporte nativo a mercados eficientes entre tokens de diferentes emissores. Especificamente, qualquer pessoa pode emitir um token, o blockchain fornece uma carteira de pedidos integrada para negociação entre qualquer par de tokens, e os usuários podem emitir pagamentos de caminho que negociam atomicamente em vários pares de moedas enquanto garantindo um preço limite de ponta a ponta. Em segundo lugar, Stellar introduz um novo acordo bizantino protocolo, SCP (Stellar Protocolo de Consenso), através do qual token emissores designam servidores validator específicos para aplicar finalidade da transação. Contanto que ninguém comprometa os validators de um emissor (e as assinaturas digitais subjacentes e hashes criptográficos permanecem seguros), o emissor sabe exatamente quais transações ocorreram e evita o risco de perdas decorrentes da reorganização histórica de blockchain. A ideia principal do SCP é que a maioria dos emitentes de activos beneficiam mercados líquidos e querem facilitar as transações atômicas com outros ativos. Portanto, os administradores validator configuram seus servidores para concordar com outros validators sobre o exato histórico de todas as transações em todos os ativos. Um validator v1 pode ser configurado para concordar com v2, ou v2 pode ser configurado para concordar com v1, ou ambos podem ser configurados para concordar entre si; em todos os casos, nenhum dos dois se comprometerá com um histórico de transações até sabe que o outro não pode comprometer-se com uma história diferente. Por transitividade, se v1 não pode discordar de v2 e v2 não pode discordar de v3 (ou vice-versa), v1 não pode discordar de v3. v3, se v3 representa ou não ativos, v1 já ouviu falar de. Sob a hipótese de que essas relações de acordo conectar transitivamente toda a rede, o SCP garante acordo global, tornando-o um acordo bizantino global protocolo com adesão aberta. Chamamos esta nova suposição de conectividade de hipótese da Internet, e notamos que ela detém tanto da “Internet” (que todos entendem significa a maior rede IP conectada transitivamente) e pagamentos internacionais legados (que são executados passo a passo não atômico, mas alavancar um mundo transitivamente conectado e global rede de instituições financeiras). Stellar está em uso em produção desde setembro de 2015. Para manter o comprimento blockchain gerenciável, o sistema executa SCP em intervalos de 5 segundos – rápido para os padrões blockchain, mas muito mais lento do que as aplicações típicas do acordo bizantino. Embora o uso principal tenha sido pagamentos, Stellar também comprovadamente atraente para tokens fungíveis não monetários que se beneficiam provenientes de mercados secundários imediatos (ver Secção 7.1). A próxima seção discute trabalhos relacionados. A seção 3 apresenta SCP. A Seção 4 descreve nossa verificação formal do SCP. A seção 5 descreve a camada de pagamento de Stellar. A seção 6 relaciona um pouco de nossa experiência de implantação e lições aprendidas. A seção 7 avalia o sistema. A seção 8 conclui.
Introducción
Los pagos internacionales son notoriamente lentos y costosos [32]. Considere la impracticabilidad de enviar 0,50 dólares desde EE.UU. a *Galois, Inc. †UCLA Permiso para realizar copias digitales o impresas de todo o parte de este trabajo para El uso personal o en el aula se concede sin cargo, siempre que no se realicen copias. realizados o distribuidos con fines de lucro o ventaja comercial y que las copias lleven este aviso y la cita completa en la primera página. Derechos de autor de los componentes de este trabajo propiedad de terceros distintos de ACM deben ser respetados. Abstraer con Se permite el crédito. Para copiar de otra manera, o republicar, para publicar en servidores o para redistribuir a listas, requiere permiso previo específico y/o una tarifa. Solicitar permisos de [email protected]. SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá © 2019 Asociación de Maquinaria de Computación. ACM ISBN 978-1-4503-6873-5/19/10...$15,00 https://doi.org/10.1145/3341301.3359636 México, dos países vecinos. Los usuarios finales pagan casi 9 dólares para el promedio de dicha transferencia [32], y un acuerdo bilateral mediada por los bancos centrales de los países sólo podría reducir el costo bancario subyacente a $0,67 por artículo [2]. Además de las tarifas, la latencia de los pagos internacionales generalmente se cuenta en días, lo que hace imposible sacar dinero del extranjero rápidamente en emergencias. En países donde el sistema bancario no funciona o no sirve a todos los ciudadanos, o cuando las tarifas son intolerables, la gente recurre a enviar pagos en autobús [38], por barco [19], y ocasionalmente ahora por Bitcoin [55], todos los cuales incurrir en riesgos, latencia o inconvenientes. Si bien siempre habrá costos de cumplimiento, la evidencia sugiere que se pierde una cantidad significativa por falta de competencia [21], lo cual se ve exacerbado por la tecnología ineficiente. donde la gente puede innovar, los precios y las latencias bajan. Por ejemplo, las remesas desde cuentas bancarias en el segundo trimestre de 2019 costaron un promedio de 6,99%, mientras que la cifra del dinero móvil fue sólo del 4,88% [13]. Una red de pagos abierta y global que atrae la innovación y la competencia de entidades no bancarias podría reducir costos y latencias en todas las capas, incluido el cumplimiento [83]. Este documento presenta Stellar, un pago basado en blockchain red diseñada específicamente para facilitar la innovación y Competencia en pagos internacionales. Stellar es el primero sistema para cumplir los tres objetivos siguientes (bajo un “hipótesis de Internet novedosa pero empíricamente válida”): 1. Membresía abierta: cualquiera puede emitir bonos respaldados por moneda. tokens digitales que se pueden intercambiar entre usuarios. 2. Finalidad impuesta por el emisor: el emisor de un token puede evitar transacciones en el token se reviertan o deshagan. 3. Atomicidad entre emisores: los usuarios pueden intercambiar atómicamente y negociar tokens de múltiples emisores. Lograr los dos primeros es fácil. Cualquier empresa puede ofrecer unilateralmente un producto como Paypal, Venmo, WeChat. Pay, o Alipay y garantizar la firmeza de los pagos en el monedas virtuales que han creado. Desafortunadamente, realizar transacciones atómicas entre estas monedas es imposible. De hecho, a pesar de que Paypal adquirió la empresa matriz de Venmo En 2013, todavía es imposible que los usuarios finales envíen Venmo. dólares a los usuarios de Paypal [78]. Sólo recientemente los comerciantes pueden incluso aceptar ambos con una sola integración. Los objetivos 2 y 3 se pueden lograr en un sistema cerrado. En particular, varios países cuentan con sistemas de pago internos eficientes. redes, normalmente supervisadas por una autoridad reguladora de confianza universal. Sin embargo, la membresía está limitada a un recinto cerrado. conjunto de bancos autorizados y las redes se limitan a la alcance de la autoridad reguladora de un país.SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. Los objetivos 1 y 3 se han logrado en blockchain minados, más notablemente en forma de ERC20 tokens en Ethereum [3]. La idea clave de estos blockchains es crear una nueva criptomoneda con la que recompensar a las personas por establecerse transacciones difíciles de revertir. Desafortunadamente, esto significa que los emisores token no controlan la finalidad de la transacción. Si el software los errores hacen que el historial de transacciones se reorganice [26, 73], o cuando el botín de defraudar a la gente excede el costo de historial de reorganización [74, 97], los emisores pueden ser responsables de tokens ya han canjeado por dinero del mundo real. El Stellar blockchain tiene dos propiedades distintivas. En primer lugar, admite de forma nativa mercados eficientes entre tokens de diferentes emisores. Específicamente, cualquiera puede emitir un token, el blockchain proporciona un libro de pedidos integrado para el comercio entre cualquier par de token y los usuarios pueden emitir pagos de ruta que comercian atómicamente en varios pares de divisas mientras garantizando un precio límite de extremo a extremo. En segundo lugar, Stellar introduce un nuevo acuerdo bizantino. protocolo, SCP (Stellar Protocolo de Consenso), a través del cual Los emisores token designan servidores validator específicos para hacer cumplir finalidad de la transacción. Siempre y cuando nadie comprometa los validators de un emisor (y las firmas digitales subyacentes y Los hashes criptográficos permanecen seguros), el emisor sabe exactamente qué transacciones se han producido y evita el riesgo. de pérdidas por blockchain reorganización histórica. La idea clave de SCP es que la mayoría de los emisores de activos se benefician de mercados líquidos y quieren facilitar las transacciones atómicas con otros activos. Por lo tanto, los administradores validator configuran sus servidores para acordar con otros validators exactamente historial de todas las transacciones sobre todos los activos. Un validator v1 puede ser configurado para estar de acuerdo con v2, o v2 puede configurarse para estar de acuerdo con v1, o ambos pueden configurarse para que coincidan entre sí; En todos los casos, ninguno se comprometerá con un historial de transacciones hasta sabe que el otro no puede comprometerse con una historia diferente. Por transitividad, si v1 no puede estar en desacuerdo con v2 y v2 no puede estar en desacuerdo con v3 (o viceversa), v1 no puede estar en desacuerdo con v3, ya sea que v3 represente o no activos, v1 incluso ha escuchado de. Bajo la hipótesis de que estas relaciones de acuerdo conectar transitivamente toda la red, SCP garantiza acuerdo global, lo que lo convierte en un acuerdo bizantino global protocolo con membresía abierta. A este nuevo supuesto de conectividad lo llamamos hipótesis de Internet y observamos que posee tanto de “Internet” (que todo el mundo entiende como significa la red IP más grande conectada transitivamente) y pagos internacionales heredados (que son salto a salto no atómico, pero aprovecha un sistema global transitivamente conectado. red de instituciones financieras). Stellar ha estado en uso de producción desde septiembre de 2015. Para mantener manejable la longitud blockchain, el sistema ejecuta SCP a intervalos de 5 segundos: rápido según los estándares blockchain, pero mucho más lento que las aplicaciones típicas del acuerdo bizantino. Aunque el uso principal ha sido pagos, Stellar también ha probado atractivo para tokens fungibles no monetarios que se benefician de los mercados secundarios inmediatos (ver Sección 7.1). La siguiente sección analiza el trabajo relacionado. La sección 3 presenta SCP. La Sección 4 describe nuestra verificación formal de SCP. La sección 5 describe la capa de pago de Stellar. La sección 6 se relaciona parte de nuestra experiencia de implementación y lecciones aprendidas. La sección 7 evalúa el sistema. La sección 8 concluye.
Stellar protocolo de consenso
O protocolo de consenso Stellar (SCP) é um protocolo baseado em quórum Protocolo de acordo bizantino com adesão aberta. Os quóruns emergem das decisões combinadas de configuração local de nós individuais. No entanto, os nós só reconhecem quóruns aos quais eles próprios pertencem, e somente depois aprender as configurações locais de todos os outros membros do quórum. Um benefício desta abordagem é que o SCP inerentemente tolera visões heterogêneas de quais nós existem. Portanto, nós podem ingressar e sair unilateralmente sem necessidade de um Protocolo de “visualização de mudança” para coordenar a adesão. 3.1 Acordo Federado Bizantino O problema tradicional do acordo bizantino consiste em um sistema fechado de N nós, alguns dos quais são defeituosos e podem comportar-se arbitrariamente. Os nós recebem valores de entrada e trocam mensagens para decidir sobre um valor de saída entre as entradas. Um protocolo de acordo bizantino é seguro quando dois nós bem comportados não produzem decisões diferentes e o único decisão foi uma entrada válida (para alguma definição de acordo válidoSOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. previamente). Um protocolo está ativo quando garante que cada nó honesto eventualmente produz uma decisão. Normalmente, os protocolos assumem N = 3f + 1 para algum número inteiro f > 0, então garanta segurança e alguma forma de vivacidade para que desde que no máximo f nós estejam com defeito. Em algum momento destes protocolos, os nós votam nos valores propostos e uma proposta receber 2f + 1 votos, chamado de quórum de votos, torna-se a decisão. Com N = 3f + 1 nós, quaisquer dois quóruns de tamanho 2f + 1 sobreposição em pelo menos f + 1 nós; mesmo que f destes nós sobrepostos estão com defeito, os dois quóruns compartilham pelo menos um nó não defeituoso, evitando decisões contraditórias. No entanto, esta abordagem só funciona se todos os nós concordarem o que constitui um quórum, o que é impossível no SCP onde dois nós podem nem saber da existência um do outro. Com SCP, cada nó v declara unilateralmente conjuntos de nós, chamado de fatias de quorum, de modo que (a) v acredita que se todos membros de uma fatia concordam sobre o estado do sistema, então eles estão certos, e (b) v acredita que pelo menos uma de suas fatias estará disponível para fornecer informações oportunas sobre o estado do sistema. Chamamos o sistema resultante, consistindo de nós e suas fatias, um Acordo Bizantino Federado (FBA) sistema. Como veremos a seguir, surge um sistema de quórum das fatias dos nós. Informalmente, as fatias de um nó FBA expressam com quem o nó requer acordo. Por exemplo, um nó pode exigir acordo com 4 organizações específicas, cada uma executando 3 nós; para acomodar o tempo de inatividade, ele pode definir suas fatias como todas definidas consistindo em 2 nós de cada organização. Se isso “requer acordo com” relação relaciona transitivamente quaisquer dois nós, obtemos um acordo global. Caso contrário, podemos obter divergência, mas apenas entre organizações, nenhuma das quais exige acordo com o outro. Dada a topologia de hoje sistema financeiro, levantamos a hipótese de que a convergência generalizada continuará a produzir um único livro-razão histórico que as pessoas chamam “a rede Stellar”, assim como falamos da Internet. Os quóruns surgem das fatias da seguinte maneira. Cada nó especifica seu quórum é dividido em cada mensagem que envia. Seja S o conjunto de nós dos quais um conjunto de mensagens se originou. Um nó considera que o conjunto de mensagens atingiu o quorum limite quando cada membro de S tem uma fatia incluída em S. Por construção, tal conjunto S, se unânime, satisfaz o requisitos de acordo de cada um dos seus membros. Um colega defeituoso pode anunciar fatias criadas para mudar o que nós bem comportados consideram quóruns. Para fins de análise de protocolo, definimos um quórum no FBA como um valor não vazio conjunto S de nós abrangendo pelo menos uma fatia de quorum de cada membro não defeituoso. Esta abstração é sólida, como qualquer conjunto de mensagens que pretendem representar um quórum unânime realmente faz (mesmo que contenha mensagens de nós defeituosos), e é preciso quando S contém apenas nós bem comportados. Em nesta seção, também assumimos que as fatias dos nós não mudam. No entanto, nossos resultados são transferidos para o caso da fatia variável porque um sistema no qual as fatias mudam não é menos seguro do que um sistema de fatia fixa em que as fatias de um nó consistem em todos os fatias que ele usa no caso de fatias variáveis (ver Teorema 13 em [68]). Conforme explicado na Seção 4, a vivacidade depende de nós bem comportados eventualmente removendo nós não confiáveis de suas fatias. Como nós diferentes têm requisitos de acordo diferentes, a FBA impede uma definição global de segurança. Nós dizemos nós não defeituosos v1 e v2 estão interligados quando cada O quorum de v1 cruza todo quorum de v2 em pelo menos um nó não defeituoso. Um protocolo FBA pode garantir acordo apenas entre nós interligados; já que SCP faz isso, é culpa a tolerância à segurança é ótima. A hipótese da Internet, subjacente ao design de Stellar, afirma que as pessoas dos nós se importam sobre estarão interligados. Dizemos que um conjunto de nós I está intacto se I for um quorum uniformemente não defeituoso, tal que todos os dois membros de I estejam interligados, mesmo que todos os nós fora de I estejam defeituosos. Intuitivamente, então, eu deveria permanecer imune às ações de pessoas não intactas nós. SCP garante atividade sem bloqueio [93] e segurança para conjuntos intactos, embora os próprios nós não precisem saber (e pode não ser capaz de saber) quais conjuntos estão intactos. Além disso, a união de dois conjuntos intactos que se cruzam é um conjunto intacto. Portanto, conjuntos intactos definem uma partição do nós bem comportados, onde cada partição é segura e ativa (sob algumas condições), mas partições diferentes podem gerar decisões divergentes. 3.1.1 Considerações de segurança versus vivacidade no FBA Com exceções limitadas [64], a maioria dos protocolos de acordos bizantinos fechados estão sintonizados no ponto de equilíbrio em que segurança e vivacidade têm a mesma tolerância a falhas. Na FBA, isso significa configurações nas quais, independentemente de falhas, todos conjuntos entrelaçados também estão intactos. Dado que a FBA determina quóruns de forma descentralizada, é improvável que as escolhas individuais das fatias conduzam a este equilíbrio. Além disso, em pelo menos em Stellar, o equilíbrio não é desejável: as consequências de uma falha de segurança (ou seja, dinheiro digital gasto duas vezes) são muito piores do que aqueles de uma falha de vivacidade (ou seja, atrasos em pagamentos que, de qualquer forma, demoraram dias antes de Stellar). Pessoas portanto, deve e seleciona grandes fatias de quorum, de modo que é mais provável que seus nós permaneçam entrelaçados do que intactos. Inclinando ainda mais a balança, é mais fácil recuperar-se de falhas típicas de vivacidade em um sistema FBA do que em um sistema fechado tradicional. Em sistemas fechados, todas as mensagens devem ser interpretada em relação ao mesmo conjunto de quóruns. Portanto, adicionar e remover nós para se recuperar de falhas requer chegar a um consenso sobre um evento de reconfiguração, o que é difícil quando o consenso já não existe. Em contrapartida, com a FBA, qualquer nó pode ajustar unilateralmente suas fatias de quorum a qualquer momento. tempo. Em resposta a uma interrupção em um local sistemicamente importante organização, os administradores de nós podem ajustar suas fatias para contornar o problema, um pouco como coordenar respostas às catástrofes do BGP [63] (embora sem as restrições de roteamento em links de rede física).
Pagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá 3.1.2 O teorema da cascata SCP segue o modelo do modelo redondo básico [42]; nós progridem através de uma série de cédulas numeradas, cada tentando três tarefas: (1) identificar um valor “seguro” não contrariado por qualquer decisão em uma votação anterior (muitas vezes denominado preparar a votação), (2) concordar com o valor seguro e (3) detectar que o acordo foi bem sucedido. No entanto, a FBA está aberta a adesão atrapalha diversas técnicas comuns, tornando impossível “portar” protocolos fechados tradicionais para a FBA modelo simplesmente alterando a definição de quórum. Uma técnica empregada por muitos protocolos é a rotação através de nós líderes em modo round-robin após tempos limites. Em um sistema fechado, a seleção do líder round-robin garante que eventualmente um líder único e honesto acaba coordenando um acordo sobre um único valor. Infelizmente, round-robin não pode funcionar em um sistema FBA com associação desconhecida. Outra técnica comum que falha com o FBA é assumir que um quorum específico pode convencer todos os nós. Por exemplo, se todos reconhecerem quaisquer nós 2f + 1 como um quorum, então Assinaturas 2f + 1 são suficientes para provar o estado do protocolo para todos os nós. Da mesma forma, se um nó receber um quorum de mensagens idênticas por meio de transmissão confiável [24], o nó pode assumir que todos os nós não defeituosos também verão um quorum. Na FBA, por outro lado, um quorum não significa nada para nós fora do quorum. Finalmente, os sistemas não federados muitas vezes empregam raciocínio sobre segurança: se f + 1 nós estiverem com defeito, todos os nós de segurança garantias são perdidas. Portanto, se o nó v ouvir f + 1 nós, todos declarar algum fato F, v pode assumir que pelo menos um está contando ao verdade (e, portanto, que F é verdadeiro) sem perda de segurança. Tal o raciocínio falha na FBA porque a segurança é uma propriedade dos pares de nós, então um nó que perdeu segurança para alguns pares pode sempre perdem a segurança para mais nós ao presumir fatos ruins. A FBA pode, no entanto, raciocinar ao contrário sobre a vivacidade. Defina um conjunto de bloqueio v como um conjunto de nós que intercepta todos fatia de v. Se um conjunto de bloqueio v B for unanimemente defeituoso, B pode negar ao nó v um quorum e custar-lhe vida. Portanto, se B declara unanimemente o fato F, então v sabe que ou F é verdadeiro ou v não está intacto. No entanto, v ainda precisa ver uma visão completa quorum para saber que nós entrelaçados não contradirão F, o que leva a uma rodada final de comunicação em SCP e outros protocolos FBA [47] que não são necessários em análogos protocolos de adesão fechada. O resultado é que temos três níveis possíveis de confiança em fatos potenciais: indeterminado, seguro para assumir entre nós intactos (que iremos termos aceitos), e seguro para assumir entre interligados nós (que chamaremos de fatos confirmados). O nó v pode determinar com eficiência se um conjunto B está bloqueando, verificando se B intercepta todas as suas fatias. Curiosamente, se os nós sempre anunciam as declarações que eles aceita e um quórum completo aceita uma declaração, ele desencadeia um processo em cascata pelo qual as declarações se propagam por toda parte conjuntos intactos. Chamamos o fato chave subjacente a esta propagação o teorema da cascata, que afirma o seguinte: Se I é um conjunto intacto, Q é um quorum de qualquer membro de I, e S é qualquer superconjunto de Q, então S ⊇I ou existe um membro v ∈I tal que v < S e I ∩S é v-bloqueio. Intuitivamente, se isso não for o caso, o complemento de S conteria um quorum que cruza I, mas não Q, violando a interseção de quorum. Observe que se começarmos com S = Q e expandirmos repetidamente S para incluir todos os nós que ele bloqueia, obtemos um efeito cascata até que, eventualmente, S abrange tudo de I. 3.2 Descrição do protocolo SCP é um protocolo de consenso parcialmente síncrono [42] que consiste em uma série de tentativas para chegar a um consenso chamadas cédulas. As cédulas empregam tempos limite de duração crescente. Um protocolo de sincronização de votos garante que os nós permaneçam ligados mesma cédula por períodos crescentes de tempo até que as cédulas são efetivamente síncronos. A rescisão não é garantida até que as votações sejam síncronas, mas duas votações síncronas em que membros defeituosos de fatias de nós bem comportados não interferir são suficientes para que o SCP seja encerrado. Um protocolo de votação especifica as ações tomadas durante cada votação. Uma votação começa com uma fase de preparação, na qual os nós tentar determinar um valor a propor que não contradiga qualquer decisão anterior. Então, em uma fase de commit, os nós tentam para tomar uma decisão sobre o valor preparado. A votação emprega um subprotocolo de acordo denominado votação federada, i.n quais nós votam em declarações abstratas que pode eventualmente ser confirmado ou travar. Algumas declarações podem ser consideradas contraditórias e a segurança A garantia do voto federado é que não haja dois membros de um conjunto entrelaçado confirma afirmações contraditórias. A confirmação de uma declaração não é garantida, exceto por uma declaração intacta conjunto cujos membros votam todos da mesma maneira. No entanto, se um membro de um conjunto intacto confirma uma declaração, federado a votação garante que todos os membros do conjunto intacto eventualmente confirmem essa afirmação. Portanto, tomar medidas irreversíveis em resposta a declarações de confirmação preserva a vivacidade para nós intactos. Os nós propõem inicialmente valores obtidos a partir de uma nomeação protocolo que aumenta as chances de todos os membros de um grupo intacto conjunto que propõe o mesmo valor, e que eventualmente converge (embora sem nenhuma maneira de determinar que a convergência está completa). A nomeação combina votação federada com seleção de líderes. Como o round-robin é impossível na FBA, a nomeação usa um esquema probabilístico de seleção de líderes. O teorema da cascata desempenha um papel crucial tanto na votação sincronização e em evitar estados bloqueados dos quais a rescisão não é mais possível. 3.2.1 Votação Os nós SCP procedem através de uma série de cédulas numeradas, empregando votação federada para chegar a acordo sobre as declarações sobre as quais os valores são ou não decididos em quais votações. Se assincronia ou comportamento defeituoso impede a tomada de uma decisão na votação n, os nós expiram e tentam novamente na votação n + 1.
SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. A votação federada de recall pode não terminar. Portanto, alguns declarações sobre cédulas podem ficar presas permanentemente estado indeterminado onde os nós nunca podem determinar se eles ainda estão em andamento ou travados. Porque os nós não podem descartar a possibilidade de declarações indeterminadas mais tarde se provarem verdadeiras, eles nunca devem tentar a votação federada em novas declarações contradizendo os indeterminados. Em cada votação n, os nós usam votação federada em dois tipos de declaração: • prepare ⟨n,x⟩– afirma que nenhum valor diferente de x foi ou será decidido em qualquer votação ≤n. • commit ⟨n,x⟩– afirma que x foi decidido na votação n. É importante ressaltar que prepare ⟨n,x⟩contradicts commit ⟨n′,x ′⟩quando n ≥n′ e x , x ′. Um nó inicia a votação n tentando uma votação federada em um instrução prepare ⟨n,x⟩. Se alguma declaração de preparação anterior foi confirmado com sucesso através da votação federada, o o nó escolhe x do resultado confirmado da votação mais alta. Caso contrário, o nó define x como a saída do protocolo de nomeação descrito na próxima subseção. Se e somente se um nó confirmar com sucesso a preparação ⟨n,x⟩ na votação n, ele tenta a votação federada no commit ⟨n,x⟩. Se tiver sucesso, significa que o SCP decidiu, então o nó gera o valor da instrução de commit confirmada. Considere um conjunto entrelaçado S. Como no máximo um valor podem ser confirmados preparados pelos membros de S em uma determinada votação, dois valores diferentes não podem ser confirmados cometidos por membros de S em uma determinada votação. Além disso, se cometer ⟨n,x⟩ for confirmado, então prepare ⟨n,x⟩foi confirmado também; desde prepare ⟨n,x⟩ contradiz qualquer commit anterior por um valor diferente, pelas garantias do acordo de votação federada entendemos que nenhum valor diferente pode ser decidido em um momento anterior votação pelos membros de S. Por indução nos números das cédulas, nós portanto, certifique-se de que o SCP é seguro. Para vivacidade, considere um conjunto intacto I e um tempo suficiente votação síncrona f Se nós defeituosos aparecerem nas fatias de nós bem comportados não interferem em n, então por votação n + 1 todos os membros de I confirmaram o mesmo conjunto P de instruções de preparação. Se P = ∅ e a votação n fosse longa o suficiente, o protocolo de nomeação terá convergido para algum valor x. Caso contrário, seja x o valor do plano com a votação mais alta em P. De qualquer forma, tentarei uniformemente votando em preparar ⟨n + 1,x⟩na próxima votação. Portanto, se n + 1 também é síncrono, segue-se inevitavelmente uma decisão para x. 3.2.2 Nomeação A nomeação implica votação federada nas declarações: • nomear x – afirma que x é um candidato válido à decisão. Os nós podem votar para nomear vários valores – diferentes as declarações de nomeação não são contraditórias. Contudo, uma vez um nó confirma qualquer declaração de nomeação, ele para de votar para indicar novos valores. A votação federada ainda permite que um nó confirmar novas declarações de nomeação nas quais não votou, o que votar ou aceitar um do quórum aceitar um do quórum a é válido aceitar um de conjunto de bloqueio descomprometido votei em um aceitou um confirmou um votei ¬a Figura 1. Etapas da votação federada permite que membros de um conjunto intacto confirmem as opiniões uns dos outros valores indicados enquanto ainda retém novos votos. O resultado (evolutivo) da nomeação é uma combinação determinística de todos os valores em declarações de nomeação confirmadas. Se x representa um conjunto de transações, os nós podem assumir a união de conjuntos, o maior conjunto ou aquele com o maior hash, então desde que todos os nós façam o mesmo. Como os nós retêm novos votos depois de confirmar uma declaração de nomeação, o conjunto de declarações confirmadas podem conter apenas um número finito de valores. O facto de declarações confirmadas se espalharem de forma fiável através de conjuntos intactos significa que nós intactos eventualmente convergem para o mesmo conjunto de valores indicados e, portanto, resultado da nomeação, embora em um ponto desconhecido arbitrariamente no final do protocolo. Os nós empregam seleção de líderes federados para reduzir o número de valores diferentes em instruções nomeadas. Somente um líder que ainda não tenha votado a favor de uma declaração de nomeação pode introduzir um novo x. Outros nós esperam para ouvir líderes e apenas copiar os votos indicados (válidos) de seus líderes. Para acomodar o fracasso, o conjunto de líderes continua a crescer à medida que ocorrem tempos limite, embora na prática apenas alguns nós introduzam novos valores de x. 3.2.3 Votação federada A votação federada emprega um protocolo de três fases mostrado em Figura 1. Os nós tentam concordar com declarações abstratas primeiro votando, depois aceitando e, finalmente, confirmando as declarações. Um nó v pode votar em qualquer afirmação válida a que não contradiga seu outrovotos pendentes e declarações aceitas. Fá-lo através da transmissão de uma mensagem de voto assinada. v então aceita a se a for consistente com outras declarações aceitas e (caso 1)v for membro de um quórum no qual cada nó vota em a ou aceita a, ou (caso 2) mesmo se v não votou em a, um conjunto de bloqueio v aceita a. No caso 2, v pode já emitiram votos contradizendo a, que agora foi anulado. v pode esquecer os votos anulados e fingir que nunca os lançou porque se estiver intacto, ele sabe votos anulados não podem completar o quórum no caso 1. v transmite que aceita a e depois confirma a quando estiver em um quórum que aceita por unanimidade a. A Figura 2 mostra o efeito dos conjuntos de bloqueio v e o teorema da cascata durante votação federada. Dois nós entrelaçados não podem confirmar declarações contraditórias, pois os dois quóruns necessários teriam que compartilhar umPagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá 3 4 2 1 5 7
Stellar protocolo de consenso
El protocolo de consenso (SCP) Stellar es un protocolo basado en quórum Protocolo de acuerdo bizantino con membresía abierta. Los quórums surgen de las decisiones de configuración local combinadas de nodos individuales. Sin embargo, los nodos sólo reconocen quórums a los que pertenecen ellos mismos, y sólo después aprender las configuraciones locales de todos los demás miembros del quórum. Un beneficio de este enfoque es que SCP es inherentemente Tolera visiones heterogéneas de los nodos que existen. Por lo tanto, Los nodos pueden unirse y salir unilateralmente sin necesidad de un Protocolo de “ver cambio” para coordinar la membresía. 3.1 Acuerdo bizantino federado El problema tradicional del acuerdo bizantino consiste en una sistema cerrado de N nodos, algunos de los cuales están defectuosos y pueden comportarse arbitrariamente. Los nodos reciben valores de entrada e intercambian mensajes para decidir sobre un valor de salida entre las entradas. Un protocolo de acuerdo bizantino es seguro cuando no hay dos nodos con buen comportamiento que produzcan decisiones diferentes y el único decisión fue un insumo válido (para alguna definición de acuerdo válidoSOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. previamente). Un protocolo está activo cuando garantiza que cada nodo honesto eventualmente genera una decisión. Normalmente, los protocolos suponen N = 3f + 1 para algún número entero f > 0, entonces garantizamos seguridad y alguna forma de vida para que siempre y cuando como máximo f nodos estén defectuosos. En algún momento de estos protocolos, los nodos votan sobre los valores propuestos y una propuesta recibir 2f + 1 votos, llamado quórum de votos, se convierte en la decisión. Con N = 3f + 1 nodos, dos quórumes cualesquiera de el tamaño 2f + 1 se superpone en al menos f + 1 nodos; incluso si f de estos Los nodos superpuestos son defectuosos, los dos quórums comparten al menos un nodo no defectuoso, evitando decisiones contradictorias. Sin embargo, este enfoque sólo funciona si todos los nodos están de acuerdo lo que constituye un quórum, lo cual es imposible en SCP donde Es posible que dos nodos ni siquiera sepan de la existencia del otro. Con SCP, cada nodo v declara unilateralmente conjuntos de nodos, llamado sus sectores de quórum, de modo que (a) v cree que si todos los miembros de un segmento están de acuerdo sobre el estado del sistema, entonces tienen razón, y (b) v cree que al menos una de sus porciones estará disponible para brindar información oportuna sobre la estado del sistema. Llamamos al sistema resultante, que consiste de nodos y sus cortes, un Acuerdo Bizantino Federado (Logística de Amazon). Como veremos a continuación, surge un sistema de quórum de los cortes de los nodos. De manera informal, las porciones de un nodo Logística de Amazon expresan con quién El nodo requiere acuerdo. Por ejemplo, un nodo puede requerir un acuerdo con 4 organizaciones específicas, cada una de las cuales ejecuta 3 nodos; a acomodar el tiempo de inactividad, puede configurar sus sectores para que sean todos los conjuntos compuesto por 2 nodos de cada organización. Si esto “requiere La relación “acuerdo con” relaciona transitivamente dos nodos cualesquiera, conseguimos un acuerdo global. De lo contrario, podemos obtener divergencia, pero sólo entre organizaciones ninguna de las cuales requiere acuerdo con el otro. Dada la topología actual sistema financiero, planteamos la hipótesis de que la convergencia generalizada seguirá produciendo una historia de contabilidad única que la gente llama “la red Stellar”, del mismo modo que hablamos de Internet. Los quórums surgen de las porciones de la siguiente manera. Cada nodo especifica su quórum se divide en cada mensaje que envía. Sea S el conjunto de nodos desde los cuales se originó un conjunto de mensajes. un El nodo considera que el conjunto de mensajes ha alcanzado el quórum. umbral cuando cada miembro de S tiene un segmento incluido en S. Por construcción, tal conjunto S, si es unánime, satisface la requisitos de acuerdo de cada uno de sus miembros. Un par defectuoso puede anunciar porciones diseñadas para cambiar lo que Los nodos con buen comportamiento consideran quórumes. Por el bien del análisis del protocolo, definimos un quórum en Logística de Amazon como no vacío. conjunto S de nodos que abarcan al menos una porción de quórum de cada miembro no defectuoso. Esta abstracción es sólida, como cualquier conjunto. de mensajes que pretenden representar un quórum unánime realmente lo hace (incluso si contiene mensajes de nodos defectuosos), y es preciso cuando S contiene sólo nodos que se comportan bien. en En esta sección, también asumimos que los sectores de los nodos no cambian. Sin embargo, nuestros resultados se transfieren al caso del segmento cambiante. porque un sistema en el que cambian las porciones no es menos seguro que un sistema de corte fijo en el que los cortes de un nodo constan de todos los sectores que alguna vez utiliza en el caso de sectores cambiantes (ver Teorema 13 en [68]). Como se explica en la Sección 4, la vivacidad depende de Los nodos con buen comportamiento eventualmente eliminan los nodos no confiables. de sus rebanadas. Debido a que diferentes nodos tienen diferentes requisitos de acuerdo, Logística de Amazon excluye una definición global de seguridad. decimos Los nodos no defectuosos v1 y v2 se entrelazan cuando cada El quórum de v1 interseca cada quórum de v2 en al menos un nodo no defectuoso. Un protocolo de Logística de Amazon puede garantizar un acuerdo sólo entre nodos entrelazados; ya que SCP lo hace, es culpa suya La tolerancia a la seguridad es óptima. La hipótesis de Internet, subyacente al diseño de Stellar, afirma que los nodos que a la gente le importan sobre estarán entrelazados. Decimos que un conjunto de nodos I está intacto si I es un quórum uniformemente no defectuoso tal que cada dos miembros de I están entrelazados incluso si todos los nodos fuera de I son defectuosos. Intuitivamente, Entonces, debería permanecer inmune a las acciones de los no intactos. nodos. SCP garantiza tanto la vida sin bloqueo [93] como seguridad para conjuntos intactos, aunque los nodos en sí no necesitan saber (y tal vez no poder saber) qué conjuntos están intactos. Además, la unión de dos conjuntos intactos que se cruzan es un conjunto intacto. Por lo tanto, los conjuntos intactos definen una partición del Nodos de buen comportamiento, donde cada partición es segura y activa. (bajo algunas condiciones), pero pueden generarse diferentes particiones decisiones divergentes. 3.1.1 Consideraciones de seguridad versus vida en Logística de Amazon Con excepciones limitadas [64], la mayoría de los protocolos de acuerdos bizantinos cerrados están ajustados al punto de equilibrio en el que la seguridad y la vivacidad tienen la misma tolerancia a fallos. En Logística de Amazon, eso significa configuraciones en las que, independientemente de las fallas, todos Los conjuntos entrelazados también están intactos. Dado que Logística de Amazon determina quórums de forma descentralizada, es poco probable que las elecciones de sectores individuales conduzcan a este equilibrio. Además, en al menos en Stellar, el equilibrio no es deseable: las consecuencias de una falla de seguridad (es decir, dinero digital doblemente gastado) son mucho peores que los de una falla en la vida (es decir, retrasos en pagos que de todos modos tomaban días antes del Stellar). gente por lo tanto, debe seleccionar y selecciona porciones de quórum grandes tales que es más probable que sus nodos permanezcan entrelazados que intactos. Inclinando aún más la balanza, es más fácil recuperarse de fallas de vida típicas en un sistema Logística de Amazon que en uno cerrado tradicional. En sistemas cerrados, todos los mensajes deben ser interpretado con respecto al mismo conjunto de quórumes. Por lo tanto, Agregar y eliminar nodos para recuperarse de una falla requiere llegar a un consenso sobre un evento de reconfiguración, lo cual es difícil una vez que el consenso ya no existe. Por el contrario, con Logística de Amazon, cualquier nodo puede ajustar unilateralmente sus porciones de quórum en cualquier tiempo. En respuesta a una interrupción en un sistema de importancia sistémica organización, los administradores de nodos pueden ajustar sus sectores para solucionar el problema, un poco como coordinar respuestas a catástrofes de BGP [63] (aunque sin las limitaciones de enrutamiento a través de enlaces de red física).
Pagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá 3.1.2 El teorema de la cascada SCP sigue la plantilla del modelo redondo básico [42]; Los nodos avanzan a través de una serie de papeletas numeradas, cada una intentar tres tareas: (1) identificar un valor “seguro” que no esté en contradicción con ninguna decisión en una votación anterior (a menudo denominada preparar la papeleta), (2) acordar el valor seguro, y (3) detectar que el acuerdo fue exitoso. Sin embargo, Logística de Amazon está abierta La membresía obstaculiza varias técnicas comunes, lo que hace que sea imposible "portar" los protocolos cerrados tradicionales a la Logística de Amazon modelo simplemente cambiando la definición de quórum. Una técnica empleada por muchos protocolos es la rotación a través de los nodos líderes en forma de turnos después de los tiempos de espera. En un sistema cerrado, la selección del líder por turnos garantiza que eventualmente un líder único y honesto termine coordinando un acuerdo sobre un único valor. Desafortunadamente, todos contra todos no puede funcionar en un sistema Logística de Amazon con membresía desconocida. Otra técnica común que falla con Logística de Amazon es asumir que un quórum particular puede convencer a todos los nodos. Por ejemplo, Si todos reconocen cualquier nodo 2f + 1 como quórum, entonces 2f + 1 firmas son suficientes para demostrar el estado del protocolo en todos los nodos. De manera similar, si un nodo recibe un quórum de mensajes idénticos A través de la transmisión confiable [24], el nodo puede asumir que todos los nodos que no son defectuosos también verán un quórum. En cambio, en Logística de Amazon, una El quórum no significa nada para los nodos fuera del quórum. Por último, los sistemas no federados suelen emplear sistemas "al revés". razonamiento sobre seguridad: si los nodos f + 1 están defectuosos, toda la seguridad Se pierden las garantías. Por lo tanto, si el nodo v escucha f + 1 nodos, todos declarar algún hecho F, v puede suponer que al menos uno le está diciendo al verdad (y por tanto que F es verdadera) sin pérdida de seguridad. tal El razonamiento falla en Logística de Amazon porque la seguridad es una propiedad de pares. de nodos, por lo que un nodo que ha perdido seguridad para algunos pares puede Siempre se pierde seguridad frente a más nodos al asumir hechos incorrectos. Sin embargo, Logística de Amazon puede razonar al revés sobre la vitalidad. Defina un conjunto de bloqueo v como un conjunto de nodos que intersecta cada porción de v. Si un conjunto de bloqueo de v B es unánimemente defectuoso, B puede negarle al nodo v un quórum y costarle vida. Por lo tanto, si B declara unánimemente el hecho F, entonces v sabe que F es true o v no está intacto. Sin embargo, todavía necesita ver una versión completa. quórum para saber que los nodos entrelazados no contradicen a F, lo que conduce a una ronda final de comunicación en SCP y otros protocolos de Logística de Amazon [47] que no se requieren en casos análogos protocolos de membresía cerrada. El resultado es que tenemos tres posibles niveles de confianza en hechos potenciales: indeterminado, seguro de asumir entre nodos intactos (que veremos término hechos aceptados), y es seguro asumir entre entrelazados nodos (que llamaremos hechos confirmados). El nodo v puede determinar de manera eficiente si un conjunto B está bloqueando v verificando si B cruza todos sus sectores. Curiosamente, si los nodos siempre anuncian las declaraciones que aceptar y un quórum completo acepta una declaración, se desencadena un proceso en cascada mediante el cual las declaraciones se propagan a lo largo conjuntos intactos. Al hecho clave que subyace a esta propagación lo llamamos el teorema de la cascada, que establece lo siguiente: Si I es un conjunto intacto, Q es un quórum de cualquier miembro de I, y S es cualquier superconjunto de Q, entonces S ⊇I o hay un miembro v ∈I tal que v < S y I ∩S es v-bloqueo. Intuitivamente, ¿fue esto no es el caso, el complemento de S contendría un quórum que cruza I pero no Q, violando la intersección de quórum. Tenga en cuenta que si comenzamos con S = Q y expandimos repetidamente S hasta incluir todos los nodos que bloquea, obtenemos un efecto en cascada hasta que, eventualmente, S abarca todo I. 3.2 Descripción del protocolo SCP es un protocolo de consenso parcialmente sincrónico [42] que consta de una serie de intentos para llegar a un consenso llamado papeletas. Las papeletas emplean tiempos de espera de duración cada vez mayor. un El protocolo de sincronización de boletas garantiza que los nodos permanezcan encendidos. la misma papeleta por períodos de tiempo crecientes hasta que las papeletas son efectivamente sincrónicos. La rescisión no está garantizada hasta que las votaciones sean sincrónicas, pero dos votaciones sincrónicas en el que los miembros defectuosos de los sectores de nodos con buen comportamiento no no interferir son suficientes para que SCP termine. Un protocolo de votación especifica las acciones tomadas durante cada boleta. Una votación comienza con una fase de preparación, en la que los nodos tratar de determinar un valor a proponer que no contradiga cualquier decisión previa. Luego, en una fase de confirmación, los nodos intentan para tomar una decisión sobre el valor preparado. La votación emplea un subprotocolo de acuerdo llamado votación federada, in qué nodos votan sobre declaraciones abstractas eso eventualmente puede confirmarse o quedarse estancado. Algunas declaraciones pueden considerarse contradictorias y la seguridad La garantía del voto federado es que no pueden haber dos miembros de un conjunto entrelazado confirma afirmaciones contradictorias. La confirmación de una declaración no está garantizada excepto si está intacta. conjunto cuyos miembros votan todos de la misma manera. Sin embargo, si un miembro de un conjunto intacto confirma una declaración, federada la votación garantiza que todos los miembros del conjunto intacto eventualmente confirmen esa afirmación. Por lo tanto, tomar medidas irreversibles en respuesta a declaraciones confirmatorias preserva la vivacidad de nodos intactos. Los nodos inicialmente proponen valores obtenidos de una nominación. protocolo que aumenta las posibilidades de todos los miembros de una comunidad intacta. conjunto que propone el mismo valor, y que eventualmente converge (aunque no hay forma de determinar que la convergencia sea completa). La nominación combina la votación federada con la selección de líderes. Debido a que el sistema de todos contra todos es imposible en Logística de Amazon, la nominación utiliza un esquema probabilístico de selección de líderes. El teorema de la cascada juega un papel crucial tanto en la votación sincronización y en evitar estados bloqueados desde los cuales la terminación ya no es posible. 3.2.1 votación Los nodos SCP proceden a través de una serie de votaciones numeradas, empleando votación federada para acordar declaraciones sobre qué Los valores se deciden o no en qué papeletas. Si hay asincronía o un comportamiento incorrecto impide llegar a una decisión en la votación n, Los nodos se agotan y vuelven a intentarlo en la boleta n + 1.
SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. Recordemos que el voto federado podría no terminar. Por lo tanto, algunos Las declaraciones sobre las papeletas pueden quedar atascadas permanentemente. Estado indeterminado donde los nodos nunca pueden determinar si todavía están en progreso o atascados. Porque los nodos no pueden descartar la posibilidad de que declaraciones indeterminadas luego resulten verdaderas, nunca deben intentar una votación federada sobre nuevas declaraciones contradictorios con los indeterminados. En cada votación n, los nodos utilizan votación federada en dos tipos de declaración: • preparar ⟨n,x⟩– indica que ningún valor distinto de x se decidió o se decidirá alguna vez en cualquier votación ≤n. • comprometer ⟨n,x⟩– indica que x se decide en la votación n. Es importante destacar que preparar ⟨n,x⟩contradice el compromiso ⟨n′,x ′⟩cuando n ≥n′ y x , x ′. Un nodo inicia la votación n intentando la votación federada en un declaración preparar ⟨n,x⟩. Si alguna declaración previa preparar fue confirmado con éxito mediante votación federada, el El nodo elige x del grupo confirmado de la boleta superior. De lo contrario, el nodo establece x como la salida del protocolo de nominación descrito en la siguiente subsección. Si y sólo si un nodo confirma con éxito preparar ⟨n,x⟩ en la votación n, intenta la votación federada sobre el compromiso ⟨n,x⟩. si que tiene éxito, significa que SCP ha decidido, por lo que el nodo genera el valor de la declaración de confirmación confirmada. Considere un conjunto S entrelazado. Dado que como máximo un valor pueden ser confirmados preparados por miembros de S en una votación determinada, no se pueden confirmar dos valores diferentes comprometidos por miembros de S en una votación determinada. Además, si se compromete ⟨n,x⟩ se confirma, luego prepare ⟨n,x⟩se confirmó también; desde preparar ⟨n,x⟩ contradice cualquier compromiso anterior por un valor diferente, por el acuerdo que garantiza el voto federado conseguimos que no se puede decidir ningún valor diferente en una fecha anterior votación de los miembros de S. Por inducción sobre los números de la boleta, Por lo tanto, consiga que SCP sea seguro. Para darle vida, considere un conjunto I intacto y un tiempo suficientemente largo. votación sincrónica Si aparecen nodos defectuosos en los cortes de nodos con buen comportamiento no interfieren en n, luego por votación n + 1 todos los miembros de I han confirmado el mismo conjunto P de declaraciones de preparación. Si P = ∅ y la votación n fue lo suficientemente larga, la El protocolo de nominación habrá convergido en algún valor x. De lo contrario, sea x el valor del equipo con la votación más alta en P. De cualquier manera, intentaré uniformemente votar sobre preparar ⟨n + 1,x⟩ en la próxima votación. Por lo tanto, si n + 1 también es sincrónico, por lo que inevitablemente se sigue una decisión para x. 3.2.2 Nominación La nominación implica votación federada de las declaraciones: • nominar x – indica que x es un candidato de decisión válido. Los nodos pueden votar para nominar múltiples valores, diferentes Las declaraciones nominadas no son contradictorias. Sin embargo, una vez un nodo confirma cualquier declaración nominada, deja de votar para proponer nuevos valores. La votación federada todavía permite que un nodo confirmar nuevas declaraciones nominadas por las que no votó, que votar o aceptar un del quórum aceptar un del quórum una es válida aceptar un de conjunto de bloqueo no comprometido votó un aceptó un confirmó un votó ¬a Figura 1. Etapas del voto federado permite a los miembros de un conjunto intacto confirmar entre sí los valores nominados y al mismo tiempo retener nuevos votos. El resultado (evolutivo) de la nominación es una combinación determinista de todos los valores en las declaraciones de nominación confirmadas. si x representa un conjunto de transacciones, los nodos pueden tomar la unión de conjuntos, el conjunto más grande o el que tiene el hash más alto, por lo que siempre y cuando todos los nodos hagan lo mismo. Porque los nodos retienen nuevos votos después de confirmar una declaración nominada, el conjunto de Las declaraciones confirmadas sólo pueden contener un número finito de valores. El hecho de que las declaraciones confirmadas se difundieran de forma fiable conjuntos intactos significa que los nodos intactos eventualmente convergen en el mismo conjunto de valores nominados y, por tanto, resultado de la nominación, aunque en un punto desconocido arbitrariamente tarde en el protocolo. Los nodos emplean la selección de líderes federados para reducir la número de valores diferentes en declaraciones nominadas. Sólo un líder que aún no haya votado a favor de una declaración propuesta puede introducir una nueva x. Otros nodos esperan recibir noticias líderes y simplemente copiar los votos de nominación (válidos) de sus líderes. Para adaptarse al fracaso, el conjunto de líderes sigue creciendo a medida que avanza. Se producen tiempos de espera, aunque en la práctica sólo unos pocos nodos introducen nuevos valores de x. 3.2.3 Voto federado La votación federada emplea un protocolo de tres fases que se muestra en Figura 1. Los nodos intentan ponerse de acuerdo sobre declaraciones abstractas primero votar, luego aceptar y finalmente confirmar las declaraciones. Un nodo v puede votar por cualquier declaración válida a que no contradice su otrovotos pendientes y declaraciones aceptadas. Lo hace mediante la difusión de un mensaje de voto firmado. v luego acepta a si a es consistente con otras declaraciones aceptadas y (caso 1)v es miembro de un quórum en el que cada nodo vota por a o acepta a, o (caso 2) incluso si v no votó por a, un conjunto de bloqueo v acepta a. En el caso 2, v mayo han emitido previamente votos que contradicen a, que ahora han sido anulado. A v se le permite olvidarse de los votos anulados. y pretender que nunca los lanzó porque siv está intacto, lo sabe los votos anulados no pueden completar el quórum mediante el caso 1. v transmite que acepta a y luego confirma a cuando está en un quórum que acepte por unanimidad a. La figura 2 muestra la efecto de los conjuntos de bloqueo v y el teorema de la cascada durante votación federada. Dos nodos entrelazados no pueden confirmar declaraciones contradictorias, ya que los dos quórums requeridos tendrían que compartir unPagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá 3 4 2 1 5 7
Votar X
Vote Y (a) 3 4 2 1 5 7 6 Votar X Votar X Votar X Votar S Votar X Votar S Votar S (b) 3 4 2 1 5 7 6 Aceitar X Votar X Aceitar X Votar S Aceitar X Votar S Votar S (c) 3 4 2 1 5 7 6 Aceitar X Aceitar X Aceitar X Votar S Aceitar X Aceitar X Votar S (d) 3 4 2 1 5 7 6 Aceitar X Votar X Aceitar X Aceitar X Aceitar X Aceitar X Aceitar X (e) Figura 2. Efeito cascata na votação federada. Cada nó possui uma fatia de quorum indicada por setas para os membros da fatia. (a) As declarações contraditórias X e Y são introduzidas. (b) Os nós votam em declarações válidas. (c) O nó 1 aceita X após seu quorum {1, 2, 3, 4} vota por unanimidade em X. (d) Todos os nós 1, 2, 3 e 4 aceitam X; o conjunto {1} tem bloqueio 5, então o nó 5 aceita X, anulando seu voto anterior em Y. (e) O conjunto {5} é bloqueador de 6 e 7, então 6 e 7 aceitam X. nó não defeituoso que não poderia aceitar declarações contraditórias. A confirmação de uma declaração não é garantida: em caso de votação por partes, ambas as declarações poderão ser permanentemente preso à espera de quórum na fase de votação. No entanto, se um nó em um conjunto intacto I confirma uma afirmação, a cascata teorema e aceitar o caso 2 garantem que tudo I acabará confirme essa afirmação. 3.2.4 Sincronização de votação Se os nós não conseguirem confirmar uma instrução de commit para o votação atual, eles desistem após um tempo limite. O tempo limite fica mais tempo a cada votação para se ajustar a limites arbitrários no atraso da rede. No entanto, os tempos limite por si só não são suficientes para sincronizar cédulas de nós que não iniciaram ao mesmo tempo ou ficou dessincronizado por outros motivos. Para conseguir a sincronização, os nós iniciam o temporizador apenas quando fazem parte de um quorum que está todo na votação atual (ou posterior) n. Isto retarda os nós que começaram cedo e garante que não membro de um conjunto intacto fica muito à frente do grupo. Além disso, se um nó v perceber um bloqueio v definido posteriormente votação, ele pula imediatamente para a votação mais baixa, de modo que este não é mais o caso, independentemente de quaisquer temporizadores. A cascata o teorema garante então que todos os retardatários o alcancem. O resultado é que as cédulas são aproximadamente sincronizadas ao longo de um período intacto definido assim que o sistema se tornar síncrono. 3.2.5 Seleção de líder federado A seleção de líderes permite que cada nó escolha líderes de tal maneira que os nós geralmente escolhem apenas um ou um pequeno número de líderes. Para acomodar o fracasso do líder, a seleção do líder prossegue através das rodadas. Se os líderes da rodada atual parecem não estar cumprindo com suas responsabilidades, então, após um certos nós de período de tempo limite avançam para a próxima rodada para expandir o conjunto de líderes que eles seguem. Cada rodada emprega duas funções criptográficas exclusivas hash, H0 e H1, que geram números inteiros no intervalo [0,hmax). Por exemplo, Stellar usa Hi(m) = SHA256(i∥b∥r ∥m), onde b é a instância geral do SCP (número do bloco ou razão), r é o número da rodada de seleção do líder e hmax = 2256. Dentro uma rodada, definimos a prioridade do nó v como: prioridade(v) = H1(v) Um espantalho seria para cada nó escolher como líder o nodev com a prioridade mais alta (v). Essa abordagem funciona funciona bem com fatias de quorum quase idênticas, mas não funciona corretamente capturar a importância dos nós em configurações desequilibradas. Por exemplo, se a Europa e a China contribuírem cada uma com 3 nós para cada quórum, mas a China executa 1.000 nós e a Europa 4, então a China terá o nó de maior prioridade 99,6% da época. Introduzimos, portanto, uma noção de peso da fatia, onde peso(u,v) ∈[0, 1] é a fração das fatias de quorum do nó u contendo o nó v. Quando o nó u está selecionando um novo líder, ele considera apenas vizinhos, definidos da seguinte forma: vizinhos(você) = { v | H0(v) < hmax · peso(u,v) } Um nodeu então começa com um conjunto vazio de líderes, e em cada round adiciona a ele o nó v em vizinhos (u) com o maior prioridade (v). Se o conjunto de vizinhos estiver vazio em qualquer rodada, u adiciona o nóv com menor valor de H0(v)/peso(u,v).
Vota X
Vota Y (un) 3 4 2 1 5 7 6 votar x votar x votar x votar Y votar x votar Y votar Y (b) 3 4 2 1 5 7 6 Aceptar x votar x Aceptar x votar Y Aceptar x votar Y votar Y (c) 3 4 2 1 5 7 6 Aceptar x Aceptar x Aceptar x votar Y Aceptar x Aceptar x votar Y (d) 3 4 2 1 5 7 6 Aceptar x votar x Aceptar x Aceptar x Aceptar x Aceptar x Aceptar x (e) Figura 2. Efecto cascada en el voto federado. Cada nodo tiene un segmento de quórum indicado por flechas para los miembros del segmento. (a) Se introducen declaraciones contradictorias X e Y. (b) Los nodos votan por declaraciones válidas. (c) El nodo 1 acepta X después de su quórum {1, 2, 3, 4} vota unánimemente por X. (d) Los nodos 1, 2, 3 y 4 aceptan X; el conjunto {1} es de bloqueo 5, por lo que el nodo 5 acepta X, anulando su voto anterior por Y. (e) El conjunto {5} bloquea 6 y 7, por lo que 6 y 7 aceptan X. nodo no defectuoso que no podía aceptar declaraciones contradictorias. No se garantiza la confirmación de una declaración: en En caso de votación dividida, ambas declaraciones podrán ser permanentemente estancado esperando por un quórum en la fase de votación. Sin embargo, si un nodo en un conjunto intacto I confirma una declaración, la cascada teorema y acepte el caso 2, asegúrese de que todos los I eventualmente confirmar esa afirmación. 3.2.4 Sincronización de boletas Si los nodos no pueden confirmar una declaración de confirmación para el votación actual, se dan por vencidos después de un tiempo muerto. El tiempo de espera llega más tiempo con cada votación para ajustarse a límites arbitrarios en el retraso de la red. Sin embargo, los tiempos de espera por sí solos no son suficientes para sincronizar las votaciones de los nodos que no comenzaron al mismo tiempo o se desincronizó por otras razones. Para lograr la sincronización, los nodos inician el temporizador sólo una vez que son parte de un quórum que se obtiene en la votación actual (o en una posterior) n. esto ralentiza los nodos que se iniciaron temprano y garantiza que no miembro de un conjunto intacto se mantiene demasiado por delante del grupo. Además, si un nodo v alguna vez nota un bloqueo v establecido en un momento posterior votación, salta inmediatamente a la votación más baja, de modo que esta ya no es el caso, independientemente de los temporizadores. la cascada El teorema entonces asegura que todos los rezagados se pongan al día. El resultado es que las papeletas están aproximadamente sincronizadas en todo un país intacto. se establece una vez que el sistema se vuelve sincrónico. 3.2.5 Selección de líder federado La selección de líderes permite a cada nodo elegir líderes de tal manera forma en que los nodos generalmente solo eligen uno o un pequeño número de líderes. Para adaptarse al fracaso del líder, selección del líder procede a través de rondas. Si los líderes de la ronda actual parecen no estar cumpliendo con sus responsabilidades, luego de un ciertos nodos del período de tiempo de espera pasan a la siguiente ronda para ampliar el conjunto de líderes que siguen. Cada ronda emplea dos funciones criptográficas hash únicas, H0 y H1, que generan números enteros en el rango [0,hmax). Por ejemplo, Stellar usa Hi(m) = SHA256(i∥b∥r ∥m), donde b es la instancia SCP general (bloque o número de libro mayor), r es el número de ronda de selección de líder, y hmax = 2256. Dentro una ronda, definimos la prioridad del nodo v como: prioridad(v) = H1(v) Un muñeco de paja sería para que cada nodo eligiera como líder. el nodev con la mayor prioridad (v). Este enfoque funciona bien con porciones de quórum casi idénticas, pero no funciona correctamente Captar la importancia de los nodos en configuraciones desequilibradas. Por ejemplo, si Europa y China aportan cada una 3 nodos para cada quórum, pero China tiene 1000 nodos y Europa 4, entonces China tendrá el nodo de mayor prioridad (99,6%). de la época. Por lo tanto, introducimos una noción de peso de corte, donde peso(u,v) ∈[0, 1] es la fracción de los sectores de quórum del nodo u que contiene el nodo v. Cuando el nodo u selecciona un nuevo líder, sólo considera vecinos, definidos de la siguiente manera: vecinos(u) = { v | H0(v) < hmáx · peso(u,v) } Luego, un nodo comienza con un conjunto vacío de líderes, y en cada round le agrega el nodo v en vecinos(u) con el mayor prioridad (v). Si el conjunto de vecinos está vacío en cualquier ronda, u agrega el nodov con el valor más bajo de H0(v)/peso(u,v).
Verificação formal do SCP
Para eliminar erros de projeto, verificamos formalmente a segurança do SCP e propriedades de vivacidade (ver [65]). Especificamente, verificamos que os nós entrelaçados nunca discordam e que, nas condições discutidas abaixo, cada membro de um conjunto intacto eventualmente decide. Curiosamente, a verificação revelou que o as condições sob as quais o SCP garante a vivacidade são sutis, e mais forte do que se pensava inicialmente [68]: conforme discutido abaixo, nós maliciosos que manipulam o tempo sem de outra forma desviar-se do protocolo pode precisar ser despejado manualmente de fatias de quórum.
SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. Para garantir que as propriedades provaram ser válidas em todos os Configurações e execuções FBA, consideramos um arbitrário número de nós com configurações locais arbitrárias. Isto inclui cenários com conjuntos intactos disjuntos, bem como execuções potencialmente infinitamente longas. A desvantagem é que nós enfrentar o desafiador problema de verificar um parametrizado sistema de estados infinitos. Para manter a verificação tratável, modelamos SCP em lógica de primeira ordem (FOL) usando Ivy [69] e a metodologia de [82]. O processo de verificação consiste em fornecer manualmente conjecturas indutivas que são então automaticamente verificadas por Hera. O modelo FOL do SCP abstrai alguns aspectos do Sistemas FBA que são difíceis de manusear em FOL (por exemplo, o teorema da cascata é tomado como um axioma), então verificamos o solidez da abstração usando Isabelle/HOL [75]. Após expressar o problema de verificação em FOL, verificamos a segurança fornecendo um invariante indutivo. O indutivo invariante consiste em uma dúzia de conjecturas de uma linha para cerca de 150 linhas de especificação de protocolo. Em seguida, especificamos as propriedades de vivacidade de SCP na Lógica Temporal Linear de Ivy e usamos o vivacidade para redução de segurança de [80, 81] para reduzir a vivacidade problema de verificação ao problema de encontrar um indutivo invariante. Embora a segurança do SCP seja relativamente simples de provar, o argumento da vivacidade do SCP é muito mais complexo e consiste em cerca de 150 invariantes de linha única. Provar a vivacidade exigiu uma formalização precisa do premissas sob as quais a SCP garante a rescisão. Inicialmente pensamos que um conjunto intacto eu sempre encerraria se todos os membros removeram nós defeituosos de suas fatias [68]. No entanto, isto revelou-se insuficiente: um homem bem comportado (mas não intacto) nó em um quorum de um membro de posso, sob o influência de nós defeituosos, evite a terminação completando um quórum pouco antes do final da votação, causando assim membros de I escolham valores diferentes de x na próxima votação. Devemos, portanto, assumir adicionalmente que, informalmente, cada nó em um quorum de um membro de I eventualmente torna-se oportuno ou não envia mensagens por um período suficiente. Na prática, isso significa que os membros do I podem precisam ajustar suas fatias até que a condição seja mantida. Isto a questão não é inerente aos sistemas FBA: Losa et al. [47] presente um protocolo cuja vivacidade depende do estritamente mais fraco suposições de apenas eventual sincronia e eventual eleição de líder, sem a necessidade de remover nós defeituosos das fatias.
Verificación formal de SCP
Para eliminar errores de diseño, verificamos formalmente la seguridad de SCP. y propiedades de vida (ver [65]). En concreto, verificamos que los nodos entrelazados nunca están en desacuerdo y que, bajo las condiciones que se analizan más adelante, cada miembro de un conjunto intacto finalmente decide. Curiosamente, la verificación reveló que el Las condiciones bajo las cuales el SCP garantiza la vida son sutiles, y más fuerte de lo que se pensaba inicialmente [68]: como se analiza a continuación, nodos maliciosos que manipulan el tiempo sin otra cosa Es posible que sea necesario desalojar manualmente a aquellos que se desvían del protocolo. de porciones de quórum.
SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. Para garantizar que las propiedades demostradas se mantengan en todos los aspectos posibles. Configuraciones y ejecuciones de Logística de Amazon, consideramos una opción arbitraria. número de nodos con configuraciones locales arbitrarias. esto incluye escenarios con conjuntos intactos desunidos, así como ejecuciones potencialmente infinitamente largas. El inconveniente es que nosotros enfrentar el desafiante problema de verificar un parámetro parametrizado sistema de estados infinitos. Para mantener la verificación manejable, modelamos SCP en lógica de primer orden (FOL) usando Ivy [69] y la metodología de [82]. El proceso de verificación consiste en proporcionar manualmente conjeturas inductivas que luego son verificadas automáticamente por Hiedra. El modelo FOL de SCP resume algunos aspectos de Sistemas FBA que son difíciles de manejar en FOL (por ejemplo, el teorema de la cascada se toma como axioma), por lo que verificamos la solidez de la abstracción usando Isabelle/HOL [75]. Después de expresar el problema de verificación en FOL, verificamos la seguridad proporcionando un invariante inductivo. el inductivo invariante consta de una docena de conjeturas de una sola línea durante aproximadamente 150 líneas de especificación de protocolo. Luego especificamos las propiedades de vida de SCP en la Lógica Temporal Lineal de Ivy y usamos el vida a la reducción de seguridad de [80, 81] para reducir la vida problema de verificación al problema de encontrar un inductivo invariante. Si bien la seguridad de SCP es relativamente sencilla de demostrar, el argumento de la vida de SCP es mucho más complejo y consta de alrededor de 150 invariantes de una sola línea. Demostrar vivacidad requería una formalización precisa de la supuestos bajo los cuales SCP garantiza la terminación. Inicialmente pensamos que un conjunto intacto siempre lo terminaría si todos Los miembros eliminaron nodos defectuosos de sus sectores [68]. Sin embargo, esto resultó ser insuficiente: un hombre bien educado (pero no intacto) nodo en un quórum de un miembro de Puedo, bajo el influencia de nodos defectuosos, evite la terminación completando un quórum justo antes del final de la votación, provocando así Los miembros de I elegirán diferentes valores de x en la próxima votación. Por lo tanto, debemos suponer además que, informalmente, cada nodo en un quórum de un miembro de I eventualmente se vuelve oportuno o no envía ningún mensaje durante un período de tiempo suficiente. En la práctica, esto significa que los miembros de I may necesitan ajustar sus rebanadas hasta que la condición se mantenga. esto El problema no es inherente a los sistemas Logística de Amazon: Losa et al. [47] presente un protocolo cuya vida depende de los estrictamente más débiles suposiciones de una eventual sincronía y una eventual elección de líder, sin la necesidad de eliminar los nodos defectuosos de los cortes.
Rede de pagamento
Esta seção descreve a rede de pagamento de Stellar, implementada como uma máquina de estado replicada [88] sobre SCP. 5.1 Modelo de razão O razão de Stellar é projetado em torno de uma abstração de conta (em contraste com a saída de transações não gastas mais centrada em moedas ou modelo UTXO de Bitcoin). O conteúdo do razão consiste em um conjunto de entradas contábeis de quatro tipos distintos: contas, linhas confiáveis, ofertas e dados da conta. As contas são os principais que possuem e emitem ativos. Cada conta é nomeada por uma chave pública. Por padrão, a chave privada correspondente pode assinar transações para a conta. No entanto, as contas podem ser reconfiguradas para adicionar outros assinantes e desautorizar a chave que dá nome à conta, com um Opção “multisig” para exigir vários assinantes. Cada conta também contém: um número de sequência (incluído em transações para evitar replay), algumas bandeiras e um equilíbrio em um modo “nativo” criptomoeda pré-minerada chamada XLM, destinada a mitigar alguns ataques de negação de serviço e facilitar a criação de mercado como uma moeda neutra. Trustlines rastreiam a propriedade dos ativos emitidos, que são nomeado por um par que consiste na conta emissora e uma conta curta código do ativo (por exemplo, “USD” ou “EUR”). Cada linha confiável especifica uma conta, um ativo, o saldo da conta nesse ativo, um limite acima do qual a balança não pode subir e algumas bandeiras. Uma conta deve consentir explicitamente em manter um ativo por criando uma linha confiável, evitando que spammers sobrecarreguem contas com ativos indesejados. As regulamentações Conheça seu Cliente (KYC) exigem que muitas instituições financeiras saibam de quem são os depósitos que possuem, por exemplo, verificando um documento de identidade com foto. Para cumprir, os emitentes podem definir um sinalizador auth_reqired opcional em suas contas, restringindo a propriedade dos ativos que emitem a contas autorizadas. Para conceder tal autorização, o emissor estabelece um sinalizar nas linhas de confiança dos clientes. As ofertas correspondem à disposição de uma conta em negociar a uma certa quantia de um determinado ativo por outro em um determinado preço na carteira de pedidos; eles são automaticamente combinados e preenchido quando os preços de compra/venda se cruzam. Por fim, os dados da conta consistem em triplos de conta, chave e valor, permitindo aos titulares de contas para publicar pequenos valores de metadados. Para evitar spam contábil, há um saldo mínimo de XLM, chamada de reserva. A reserva de uma conta aumenta com cada entrada do razão associada e diminui quando a entrada do razão desaparece (por exemplo, quando um pedido é atendido ou cancelado, ou quando um a linha confiável é excluída). Atualmente a reserva cresce 0,5 XLM (∼$0,03) por entrada no razão. Independentemente da reserva, é possível recuperar o valor total de uma conta excluindo isso com uma operação AccountMerge. Um cabeçalho de razão, mostrado na Figura 3, armazena atributos globais: um número de razão, parâmetros como o saldo de reserva por entrada do razão, um hash do cabeçalho do razão anterior (na verdade vários hashes formando uma skiplist), a saída SCP incluindo um hash de novas transações aplicadas neste razão, um hash de os resultados dessas transações (por exemplo, sucesso ou fracasso para cada) e um instantâneo hash de todas as entradas do razão. Como o instantâneo hash inclui todo o conteúdo do razão, validators não precisam reter histórico para validar transações. No entanto, para escalar para centenas de milhões de contas, não podemos rehash todas as tabelas de lançamento contábil em cada fechamento do livro razão. Além disso, não é prático transferir um livro razãoPagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá razão # = 4 H (hdr anterior) Saída SCP H∗(resultados) H∗(instantâneo) ... cabeçalho razão # = 5 H (hdr anterior) Saída SCP H∗(resultados) H∗(instantâneo) ... cabeçalho . . . Figura 3. Conteúdo do razão. H é SHA-256, enquanto H ∗representa aplicação hierárquica ou recursiva de H. Saída SCP também depende do cabeçalho anterior hash. Criar conta Criar e financiar nova entrada no razão da conta Mesclagem de contas Excluir entrada do razão da conta Definir opções Alterar sinalizadores e assinantes da conta Pagamento Pague uma quantidade específica de ativo ao destino. conta. CaminhoPagamento Semelhante ao Pagamento, mas pague em ativos diferentes (até limitar); especifique até 5 ativos intermediários Gerenciar oferta Criar/excluir/alterar entrada do razão de ofertas, -Oferta passiva com variante passiva para permitir spread zero Gerenciar dados Criar/excluir/alterar conta. entrada de dados Mudança de confiança Criar/excluir/alterar linha confiável Permitir confiança Definir ou limpar sinalizador autorizado na linha confiável Sequência de Bump Aumente a sequência. número na conta Figura 4. Principais operações contábeis desse tamanho toda vez que um nó foi desconectado a rede por muito tempo. O instantâneo hash é, portanto, projetado para otimizar hashing e reconciliação de estado. Especificamente, o instantâneo estratifica as entradas do razão por tempo da última modificação em um conjunto de contêineres de tamanho exponencial chamados baldes. A coleção de baldes é chamada de balde lista e tem alguma semelhança com árvores de mesclagem estruturadas em log (Árvores LSM) [77]. A lista de baldes não é lida durante o processamento da transação (ver Seção 5.4). Portanto, certo design aspectos das árvores LSM podem ser relaxados. Em particular, aleatório o acesso por chave não é necessário e os buckets só são lidos sequencialmente como parte da fusão de níveis. Hashing do balde list é feita hash cada intervalo à medida que ele é mesclado e calculando um novo hash cumulativo do intervalo hashes (um pequeno, índice fixo de referência hashes) em cada fechamento do razão. Reconciliar a lista de baldes após a desconexão requer download apenas baldes que diferem. 5.2 Modelo de transação Uma transação consiste em uma conta de origem, critérios de validade, um memorando e uma lista de uma ou mais operações. A Figura 4 lista as operações disponíveis. Cada operação possui uma conta de origem, que o padrão é o da transação geral. Uma transação deve ser assinado por chaves correspondentes a cada conta de origem em uma operação. Contas Multisig podem exigir assinatura superior peso para algumas operações (como SetOptions) e menor para outros (como AllowTrust). As transações são atômicas – se alguma operação falhar, nenhuma delas eles executam. Isso simplifica negócios multidirecionais. Suponha que um o emissor cria um ativo para representar escrituras de terra, e o usuário A quer trocar um pequeno terreno mais US$ 10.000 por um maior parcela de terreno de propriedade de B. Os dois usuários podem assinar uma única transação contendo três operações: dois terrenos pagamentos e pagamento de um dólar. O principal critério de validade de uma transação é o seu número de sequência, que deve ser um valor maior que o número da transação. entrada no razão da conta de origem. Executando uma transação válida (com sucesso ou não) incrementa o número de sequência, evitando a repetição. Os números de sequência iniciais contêm o razão número nos bits altos para evitar a repetição mesmo após a exclusão e recriar uma conta. O outro critério de validade é um limite opcional sobre quando uma transação pode ser executada. Voltando à terra e ao dólar swap acima, se A assinar a transação antes de B, A não poderá quer que B permaneça na transação por um ano antes de enviar isso, e assim poderia colocar um limite de tempo invalidando a transação depois de alguns dias. Contas Multisig também podem ser configuradas para dar peso de assinatura à revelação de uma pré-imagem hash, que, combinado com limites de tempo, permite a negociação atômica de crosschain [1]. A conta de origem de uma transação paga uma taxa trivial em XLM, 10−5 XLM, a menos que haja congestionamento. Sob congestionamento, o o custo das operações é definido por leilão holandês. Validadores são não compensado por taxas porque validators são análogos para Bitcoin nós completos, não mineradores. Em vez de destruir o XLM, as taxas são recicladas e distribuídas proporcionalmente pelo voto dos detentores de XLM existentes, que em retrospecto podem ou podem não valeu a pena a complexidade. 5.3 Valores de consenso Para cada razão, Stellar usa SCP para chegar a um acordo sobre uma estrutura de dados com três campos: um conjunto de transações hash (incluindo um hash do cabeçalho do razão anterior), um horário de fechamento, umd atualizações. Quando vários valores são confirmados como nomeados, Stellar leva o conjunto de transações com mais operações (quebrando empates por taxas totais, então conjunto de transações hash), a união de todos atualizações e o maior tempo de fechamento. Um tempo próximo é apenas válido se for entre o horário de fechamento do último razão e o presente, então os nós não nomeiam tempos inválidos. As atualizações ajustam parâmetros globais como saldo de reserva, taxa mínima de operação e versão do protocolo. Quando combinados durante a nomeação, taxas mais altas e números de versão de protocolo substituem os mais baixos. As atualizações afetam a governança por meio de um espaço de disputa de votação federada [34], nem igualitário nem centralizado. Cada validator é configurado como governamental ou não governamental (o padrão), de acordo com se o seu operador deseja participar na governação. Os validators governantes consideram três tipos de atualização: desejado, válido e inválido (qualquer coisa que validator não
SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. validator núcleo horizonte FS BD BD enviar cliente cliente outros validators Figura 5. Arquitetura Stellar validator saiba como implementar). As atualizações desejadas são configuradas para acionado em um momento específico, destinado a ser coordenado entre operadores. Os nós governantes sempre votam para nomear os atualizações, aceite, mas não vote para nomear atualizações válidas (ou seja, concordar com um quórum de bloqueio) e nunca votar ou aceitar atualizações inválidas. Eco de validators não governamentais qualquer voto que eles vejam para uma atualização válida, essencialmente delegando a decisão sobre quais upgrades são desejados para aqueles que optam para um papel de governança. 5.4 Implementação A Figura 5 mostra a arquitetura validator de Stellar. Um demônio chamado stellar-core (∼92k linhas de C++, sem contar bibliotecas de terceiros) implementa o protocolo SCP e a máquina de estado replicada. A produção de valores para SCP requer a redução de um grande número de entradas contábeis para pequenos valores criptográficos. hashes. Por outro lado, a validação e execução de transações requer a consulta do estado da conta e da correspondência de pedidos em o melhor preço. Para servir ambas as funções de forma eficiente, stellar-core mantém duas representações do razão: uma representação externa contendo a lista de baldes, armazenada como arquivos binários que pode ser atualizado de forma eficiente e rehashed incrementalmente, e uma representação interna em um banco de dados SQL (PostgreSQL para nós de produção). Stellar-core cria um arquivo de histórico somente gravação contendo cada conjunto de transações que foi confirmado e instantâneos de baldes. O arquivo permite que novos nós sejam inicializados ao ingressar na rede. Ele também fornece um registro do razão história - é preciso haver algum lugar onde se possa procurar um transação de dois anos atrás. Como o histórico é apenas anexado e acessado com pouca frequência, pode ser mantido em lugares baratos como Amazon Glacier ou qualquer serviço que permita armazenar e recuperar arquivos simples. Os hosts validadores normalmente não hospedam seus próprios arquivos, de modo a evitar qualquer impacto na validação desempenho do histórico de veiculação. Para manter o núcleo estelar simples, ele não se destina a ser usado diretamente pelas aplicações e expõe apenas uma interface muito estreita para o envio de novas transações. Para apoiar clientes, a maioria dos validators executam um daemon chamado horizonte (∼18k linhas de Go) que fornece uma interface HTTP para enviar e aprendizagem de transações. Horizon tem acesso somente leitura a banco de dados SQL do stellar-core, minimizando o risco de horizonte núcleo estelar desestabilizador. Recursos como localização de caminhos de pagamento são implementados inteiramente no horizonte e podem ser atualizados unilateralmente sem coordenação com outros validators. Vários daemons opcionais de camada superior são clientes do horizonte, completando o ecossistema. Um servidor bridge facilita integração de Stellar com sistemas existentes, por exemplo, publicação de notificações de todos os pagamentos recebidos por uma conta específica. Um servidor de conformidade fornece ganchos para instituições financeiras trocar e aprovar informações do remetente e do beneficiário sobre pagamentos, para cumprimento das listas de sanções. Finalmente, um servidor de federação implementa uma nomenclatura legível por humanos sistema de contas. 6 Experiência de implantação Stellar cresceu durante vários anos até se tornar um estado com um moderado número de operadores de nó completo razoavelmente confiáveis. No entanto, as configurações dos nós eram tais que a vivacidade (embora não segurança) dependia de nós, a Stellar Fundação de Desenvolvimento (FDS); se o SDF desaparecesse repentinamente, outros operadores de nó precisaria intervir e nos remover manualmente das fatias de quórum para a rede continuar. Embora nós e muitos outros desejemos reduzir a importância sistémica do FDS, este objectivo recebeu prioridade crescente após pesquisadores [58] quantificaram e divulgaram a centralização da rede sem diferenciar os riscos à segurança e vivacidade. Vários operadores reagiram com ajustes activos de configuração, aumentando principalmente o tamanho dos seus fatias de quórum num esforço para diluir a importância do SDF; ironicamente, isso apenas aumentou o risco de vida. Dois problemas agravaram a situação. Primeiro, um popular ferramenta de monitoramento Stellar de terceiros [5] foi sistematicamente superestimando o tempo de atividade de validator por não verificar realmente aquele núcleo estelar estava funcionando; isso leva as pessoas a incluir nós não confiáveis em suas fatias de quorum. Em segundo lugar, um bug no núcleo estelar significa uma vez que um validator mudou para o próximo livro-razão, não ajudou adequadamente os nós restantes a completar o anteriorlivro contábil em caso de perda de mensagens. Como resultado, o rede experimentou 67 minutos de inatividade e exigiu coordenação manual por administradores validator para reiniciar. Pior ainda, ao tentar reiniciar a rede, resultaram reconfigurações apressadas simultâneas em vários nós. em uma configuração incorreta coletiva que permitiu que alguns nós divergem, exigindo um desligamento manual desses nós e reapresentação das operações aceitas durante a divergência. Felizmente, esta divergência foi detectada e corrigida rapidamente e não continha transações conflitantes, mas o risco de a rede não aproveitar a interseção de quorum - divisão enquanto continua a aceitar conflitos potencialmente conflitantes transações, simplesmente devido a configuração incorreta - foi feita muito concreto por este incidente. A revisão dessas experiências levou a duas conclusões principais e ações corretivas correspondentes.Pagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Crítico, 100% 51% 51% Alto, 67% 51% Médio, 67% 51% Baixo, 67% 51% 51% ... ... ... 51% ... 51% Figura 6. Hierarquia de qualidade do validador. Nós da mais alta qualidade exigem o limite mais alto de 100%, enquanto as qualidades mais baixas são configuradas para o limite de 67%. Nós dentro de um único organização exige uma maioria simples de 51%. 6.1 Complexidade e fragilidade da configuração Stellar expressa fatias de quorum como conjuntos de quorum aninhados que consistem em n entradas e um limite k onde qualquer conjunto de k entradas constitui uma fatia do quórum. Cada uma das n entradas é então uma chave pública validator ou, recursivamente, outro conjunto de quorum. Embora flexíveis e compactos, percebemos o quórum aninhado conjuntos simultaneamente proporcionavam aos operadores de nós muita flexibilidade e pouca orientação: era fácil escrever de forma insegura (ou configurações até mesmo absurdas). Os critérios para agrupamento nós em conjuntos, para organizar subconjuntos em uma hierarquia, e Os critérios para a escolha dos limiares eram insuficientemente claros e contribuíram para falhas operacionais. Não estava claro se deveria tratar um “nível” na hierarquia de conjunto aninhado como um nível de confiança; ou uma organização, ou ambos; muitas configurações no campo misturou esses conceitos, além de especificar perigosos ou limites sem sentido. Portanto, adicionamos um mecanismo de configuração mais simples que separa dois aspectos dos conjuntos de quorum aninhados: agrupamento nós juntos por organização e rotulando cada organização com uma classificação de confiança simples (baixa, média, alta ou crítico). As organizações de nível superior ou superior são obrigadas a publicar arquivos históricos. O novo sistema sintetiza conjuntos de quorum aninhados nos quais cada organização é representada como um Limite de 51% definido e as organizações são agrupadas em conjuntos com limites de 67% ou 100% (dependendo da qualidade do grupo). Cada grupo é uma única entrada no próximo grupo (de qualidade superior), conforme ilustrado na Figura 6. Este modelo simplificado reduz o probabilidade de configuração incorreta, tanto em termos de estrutura dos conjuntos aninhados sintetizados e os limites escolhidos para cada conjunto. 6.2 Detecção proativa de configuração incorreta Em segundo lugar, percebemos que detectar a má configuração colectiva, esperando para observar os seus efeitos negativos, é demasiado tarde. Especialmente no que diz respeito a configurações incorretas que podem divergir – uma modo de falha mais sério do que a parada – a rede precisa ser capaz de detectar erros de configuração imediatamente para que os operadores possam revertê-los antes que qualquer divergência realmente aconteça. Para atender a essa necessidade, construímos um mecanismo no software validator que reúne continuamente o estado de configuração coletiva de todos os pares no fechamento transitivo do nó e detecta o potencial de divergência - ou seja, disjunção. quóruns – dentro dessa configuração coletiva. 6.2.1 Verificando a interseção do quórum Embora coletar fatias de quórum seja fácil, encontrar quóruns disjuntos entre eles é co-NP-difícil [62]. Contudo, adotamos um conjunto de heurísticas algorítmicas e regras de eliminação de casos proposto por Lachowski [62] que verifica instâncias típicas do problema várias ordens de magnitude mais rápido do que custo do pior caso. Na prática, a actual rede os fechamentos transitivos da fatia de quorum são da ordem de 20 a 30 nós e, com as otimizações de Lachowski, normalmente verifica em questão de segundos em uma única CPU. Caso surja a necessidade para melhorar o desempenho, podemos paralelizar a pesquisa. 6.2.2 Verificando configurações arriscadas Detectar que a rede admite quóruns disjuntos é um passo na direção certa, mas sinaliza o perigo desconfortavelmente tarde para uma questão tão crítica. Idealmente, queremos que os operadores dos nós recebam avisos quando a configuração coletiva da rede está apenas se aproximando de um estado de risco. Portanto, estendemos o verificador de interseção de quorum para detectar uma condição que chamamos de criticidade: quando a corrente configuração coletiva está a uma configuração incorreta de um estado que admite quóruns disjuntos. Para detectar criticidade, o verificador substitui repetidamente a configuração de cada organização por uma configuração incorreta simulada do pior caso e, em seguida, executa novamente o verificador de interseção de quorum interno no resultado. Se alguma configuração incorreta crítica existir a um passo de distância do estado atual, o software emite um aviso e relata que a organização representa um risco de configuração incorreta. Estas mudanças dão à comunidade de operadores duas camadas aviso e orientação para isolar contra as piores formas de má configuração coletiva.
Red de pago
Esta sección describe la red de pago de Stellar, implementada como una máquina de estado replicada [88] encima de SCP. 5.1 modelo de libro mayor El libro mayor de Stellar está diseñado en torno a una abstracción de cuenta (en contraste con la producción de transacciones no gastadas más centradas en monedas o UTXO modelo de Bitcoin). El contenido del libro mayor consta de un conjunto de asientos contables de cuatro tipos distintos: cuentas, líneas de confianza, ofertas y datos de la cuenta. Las cuentas son los principales que poseen y emiten activos. cada uno La cuenta recibe el nombre de una clave pública. De forma predeterminada, la clave privada correspondiente puede firmar transacciones para la cuenta. Sin embargo, las cuentas se pueden reconfigurar para agregar otros firmantes y desautorizar la clave que nombra la cuenta, con un Opción “multisig” para requerir múltiples firmantes. cada cuenta también contiene: un número de secuencia (incluido en las transacciones para evitar la repetición), algunas banderas y un equilibrio en un “nativo” criptomoneda preminada llamada XLM, destinada a mitigar algunos ataques de denegación de servicio y facilitar la creación de mercado como moneda neutral. Las líneas fiduciarias rastrean la propiedad de los activos emitidos, que son nombrado por un par que consta de la cuenta emisora y una cuenta corta código de activo (por ejemplo, “USD” o “EUR”). Cada línea de confianza especifica una cuenta, un activo, el saldo de la cuenta en ese activo, un límite por encima del cual el saldo no puede aumentar, y algunas banderas. Una cuenta debe dar su consentimiento explícito a mantener un activo mediante creando una línea de confianza, evitando que los spammers ensillaran cuentas con activos no deseados. Las regulaciones de Know-your-customer (KYC) requieren que muchas instituciones financieras sepan de quién son los depósitos que tienen, por ejemplo, comprobando una identificación con fotografía. Para cumplir, los emisores pueden establecer una marca auth_reqired opcional en sus cuentas, restringiendo la propiedad de los activos que emiten a cuentas autorizadas. Para otorgar dicha autorización, el emisor fija un límite autorizado marcar las líneas de confianza de los clientes. Las ofertas corresponden a la voluntad de una cuenta de negociar a una cierta cantidad de un activo particular por otro en un momento dado precio en el libro de pedidos; se emparejan automáticamente y se llena cuando los precios de compra/venta se cruzan. Finalmente, los datos de la cuenta constan de triples de cuenta, clave y valor, lo que permite a los titulares de cuentas para publicar pequeños valores de metadatos. Para evitar el spam en el libro mayor, existe un saldo XLM mínimo, llamada reserva. La reserva de una cuenta aumenta con cada asiento contable asociado y disminuye cuando el asiento contable desaparece (por ejemplo, cuando se completa o cancela una orden, o cuando una se elimina la línea de confianza). Actualmente la reserva crece 0,5 XLM (~$0,03) por asiento del libro mayor. Independientemente de la reserva, es Es posible recuperar el valor total de una cuenta eliminando con una operación AccountMerge. Un encabezado de libro mayor, que se muestra en la Figura 3, almacena atributos globales: un número de libro mayor, parámetros como el saldo de reserva por asiento contable, un hash del encabezado del libro mayor anterior (en realidad varios hashes que forman una lista de omisión), la salida de SCP incluye un hash de nuevas transacciones aplicadas en este libro mayor, un hash de los resultados de esas transacciones (por ejemplo, éxito o fracaso para cada uno) y una instantánea hash de todos los asientos del libro mayor. Debido a que la instantánea hash incluye todo el contenido del libro mayor, validators no necesitan conservar el historial para validar las transacciones. Sin embargo, para escalar a cientos de millones de anticipados cuentas, no podemos rehash todas las tablas de asientos contables en cada cierre del libro mayor. Además, no es práctico transferir un libro mayorPagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá libro mayor # = 4 H(hdr anterior) salida SCP H∗(resultados) H∗(instantánea) ... encabezado libro mayor # = 5 H(hdr anterior) salida SCP H∗(resultados) H∗(instantánea) ... encabezado . . . Figura 3. Contenido del libro mayor. H es SHA-256, mientras que H ∗ representa la aplicación jerárquica o recursiva de H. Salida SCP También depende del encabezado anterior hash. Crear cuenta Crear y financiar un nuevo asiento de cuenta en el libro mayor Fusión de cuentas Eliminar asiento del libro mayor de cuenta Establecer opciones Cambiar indicadores y firmantes de cuentas Pago Pagar una cantidad específica de activo al destino. cuenta RutaPago Como Pago, pero paga en un activo diferente (hasta limitar); especificar hasta 5 activos intermediarios AdministrarOferta Crear/eliminar/cambiar asiento de libro mayor de ofertas, -Oferta Pasiva con variante pasiva para permitir un spread cero Administrar datos Crear/eliminar/cambiar cuenta. entrada de datos en el libro mayor CambiarConfianza Crear/eliminar/cambiar línea de confianza Permitir confianza Establecer o borrar la bandera autorizada en la línea de confianza Secuencia de golpes Aumentar sec. numero en cuenta Figura 4. Operaciones del libro mayor principal de ese tamaño cada vez que un nodo se ha desconectado de la red durante demasiado tiempo. Por lo tanto, la instantánea hash es diseñado para optimizar tanto la hashing como la conciliación estatal. Específicamente, la instantánea estratifica los asientos del libro mayor por tiempo. de la última modificación en un conjunto de contenedores de tamaño exponencial llamados cubos. La colección de cubos se llama cubo. lista, y tiene cierta similitud con los árboles de fusión estructurados logarítmicamente (árboles LSM) [77]. La lista de deseos no se lee durante el procesamiento de transacciones (consulte la Sección 5.4). Por lo tanto, cierto diseño Se pueden relajar algunos aspectos de los árboles LSM. En particular, al azar No se requiere acceso mediante clave y los depósitos solo se leen. secuencialmente como parte de la fusión de niveles. Haciendo el cubo La lista se realiza hashing cada depósito a medida que se fusiona y calculando un nuevo hash acumulativo del depósito hashes (un pequeño, índice fijo de referencia hashes) en cada cierre del libro mayor. Conciliar la lista de deseos después de la desconexión requiere descarga sólo cubos que difieren. 5.2 Modelo de transacción Una transacción consta de una cuenta fuente, criterios de validez, una memorándum y una lista de una o más operaciones. La Figura 4 enumera las operaciones disponibles. Cada operación tiene una cuenta fuente, que por defecto es el de la transacción global. Una transacción debe estar firmado por claves correspondientes a cada cuenta de origen en una operación. Las cuentas multifirma pueden requerir una firma más alta peso para algunas operaciones (como SetOptions) y menor para otros (como AllowTrust). Las transacciones son atómicas: si alguna operación falla, ninguna de ellas ellos ejecutan. Esto simplifica los acuerdos multidireccionales. Supongamos que un El emisor crea un activo para representar títulos de propiedad y el usuario A. quiere cambiar una pequeña parcela de tierra más $10,000 por una parcela de tierra más grande propiedad de B. Los dos usuarios pueden firmar una única transacción que contiene tres operaciones: dos terrenos Pagos y pago de un dólar. El principal criterio de validez de una transacción es su número de secuencia, que debe ser uno mayor que el de la transacción. asiento contable de la cuenta fuente. Ejecutar una transacción válida (con éxito o no) incrementa el número de secuencia, evitando la repetición. Los números de secuencia iniciales contienen el libro mayor. número en los bits altos para evitar la reproducción incluso después de eliminar y volver a crear una cuenta. El otro criterio de validez es un límite opcional sobre cuándo se puede ejecutar una transacción. Volviendo a la tierra y al dólar intercambio anterior, si A firma la transacción antes que B, A no puede quiere que B se quede sentado en la transacción durante un año antes de presentarla ello, y por lo tanto podría imponer un límite de tiempo que invalida la transacción después de unos días. También se pueden configurar cuentas multifirma para dar peso de firma a la revelación de una preimagen hash, que, combinado con límites de tiempo, permite el comercio atómico entre cadenas [1]. La cuenta fuente de una transacción paga una tarifa trivial en XLM, 10-5 XLM a menos que haya congestión. En condiciones de congestión, el El coste de las operaciones se fija en una subasta holandesa. Los validadores son no compensado por tarifas porque los validators son análogos a Bitcoin nodos completos, no mineros. En lugar de destruir XLM, las tarifas se reciclan y distribuyen proporcionalmente mediante el voto de titulares de XLM existentes, que en retrospectiva podrían o podrían No habría valido la pena la complejidad. 5.3 Valores de consenso Para cada libro mayor, Stellar utiliza SCP para acordar una estructura de datos con tres campos: un conjunto de transacciones hash (incluido un hash del encabezado del libro mayor anterior), una hora de cierre, unaactualizaciones. Cuando se confirma la nominación de varios valores, Stellar toma el conjunto de transacciones con más operaciones (rompiendo lazos por tarifas totales, luego conjunto de transacciones hash), la unión de todos actualizaciones y el tiempo de cierre más alto. Un tiempo cercano es sólo válido si es entre la hora de cierre del último libro mayor y la presente, por lo que los nodos no nominan tiempos no válidos. Las actualizaciones ajustan parámetros globales como el saldo de reserva, la tarifa mínima de operación y la versión del protocolo. cuando combinados durante la nominación, las tarifas más altas y los números de versión del protocolo reemplazan a los más bajos. Las actualizaciones afectan la gobernanza a través de un espacio de disputa de votación federada [34], ninguno de los dos igualitario ni centralizado. Cada validator está configurado como ya sea gobernante o no gubernamental (el valor predeterminado), según a si su operador quiere participar en la gobernanza. Los validator que gobiernan consideran tres tipos de actualización: deseado, válido e inválido (cualquier cosa que el validator no
SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. validator núcleo horizonte FS DB DB enviar cliente cliente otros validators Figura 5. Arquitectura Stellar validator saber implementar). Las actualizaciones deseadas se configuran para desencadenar en un momento específico, destinado a ser coordinado entre operadores. Los nodos gobernantes siempre votan para nominar a los candidatos deseados. actualizaciones, acepte pero no vote para nominar actualizaciones válidas (es decir, aceptar un quórum de bloqueo) y nunca votar por o aceptar actualizaciones no válidas. Eco no gubernamental de validators cualquier voto que vean para una actualización válida, esencialmente delegando la decisión sobre qué actualizaciones se desean para aquellos que optan para un rol de gobernanza. 5.4 Implementación La Figura 5 muestra la arquitectura validator de Stellar. un demonio llamado stellar-core (~92k líneas de C++, sin contar bibliotecas de terceros) implementa el protocolo SCP y la máquina de estado replicada. Producir valores para SCP requiere reducir un gran número de entradas del libro mayor a pequeños valores criptográficos. hashes. Por el contrario, la validación y ejecución de transacciones requiere buscar el estado de la cuenta y la correspondencia de pedidos en el mejor precio. Para cumplir ambas funciones de manera eficiente, stellar-core mantiene dos representaciones del libro mayor: una representación externa que contiene la lista de deseos, almacenada como archivos binarios que se puede actualizar de manera eficiente y modificar incrementalmentehash, y una representación interna en una base de datos SQL (PostgreSQL para nodos de producción). Stellar-core crea un archivo histórico de solo escritura que contiene cada conjunto de transacciones que se confirmó y instantáneas de cubos. El archivo permite que los nuevos nodos se inicien solos al unirse a la red. También proporciona un registro del libro mayor. historia: es necesario que haya algún lugar donde se pueda buscar una transacción de hace dos años. Dado que el historial es solo para agregar y se accede con poca frecuencia, se puede guardar en lugares baratos como Amazon Glacier o cualquier servicio que permita almacenar y recuperar archivos planos. Los hosts validadores normalmente no alojan sus propios archivos para evitar cualquier impacto en la validación desempeño de la historia del servicio. Para mantener simple el núcleo estelar, no está diseñado para ser utilizado directamente por las aplicaciones y expone sólo una interfaz muy estrecha para el envío de nuevas transacciones. para apoyar clientes, la mayoría de los validator ejecutan un demonio llamado horizonte (∼18k líneas de Go) que proporciona una interfaz HTTP para enviar y aprendizaje de transacciones. horizonte tiene acceso de sólo lectura a base de datos SQL de stellar-core, minimizando el riesgo de horizonte núcleo estelar desestabilizador. Funciones como la búsqueda de rutas de pago se implementan completamente en el horizonte y se pueden actualizar unilateralmente sin coordinarse con otros validators. Varios demonios opcionales de capa superior son clientes del horizonte, completando el ecosistema. Un servidor puente facilita integración de Stellar con sistemas existentes, por ejemplo, publicación de notificaciones de todos los pagos recibidos por una cuenta específica. un El servidor de cumplimiento proporciona ganchos para que las instituciones financieras intercambiar y aprobar información del remitente y del beneficiario sobre pagos, para el cumplimiento de listas de sanciones. Finalmente, un servidor de federación implementa un nombre legible por humanos sistema de cuentas. 6 Experiencia de implementación Stellar creció durante varios años hasta convertirse en un estado con una moderada número de operadores de nodo completo razonablemente confiables. Sin embargo, Las configuraciones de los nodos eran tales que la vida (aunque no seguridad) dependía de nosotros, la Fundación para el Desarrollo Stellar (FDS); Si SDF hubiera desaparecido repentinamente, otros operadores de nodos Habría sido necesario intervenir y eliminarnos manualmente. de porciones de quórum para que la red continúe. Si bien nosotros y muchos otros queremos reducir la importancia sistémica del SDF, este objetivo recibió una prioridad cada vez mayor después de Los investigadores [58] cuantificaron y dieron a conocer la centralización de la red sin diferenciar los riesgos para la seguridad y vivacidad. Varios operadores reaccionaron con ajustes activos de configuración, principalmente aumentando el tamaño de su divisiones de quórum en un esfuerzo por diluir la importancia del SDF; Irónicamente, esto sólo aumentó el riesgo para la vida. Dos problemas agravaron la situación. Primero, un popular herramienta de monitoreo de terceros Stellar [5] fue sistemáticamente sobreestimar el tiempo de actividad de validator al no verificarlo ese núcleo estelar estaba funcionando; esto lleva a la gente a incluir nodos poco confiables en sus sectores de quórum. En segundo lugar, un error en núcleo estelar significaba que una vez que un validator se movía al siguiente libro mayor, no ayudó adecuadamente a los nodos restantes a completar el proceso anteriorlibro mayor en caso de pérdida de mensajes. Como resultado, el La red experimentó 67 minutos de inactividad y requirió coordinación manual por parte de validator administradores para reiniciar. Peor aún, al intentar reiniciar la red, se produjeron reconfiguraciones apresuradas simultáneas en varios nodos. en una mala configuración colectiva que permitió que algunos nodos divergen, lo que requiere un apagado manual de esos nodos y nueva presentación de las transacciones aceptadas durante la divergencia. Afortunadamente, esta divergencia fue detectada y corregida. rápidamente y no contenía transacciones conflictivas, pero el riesgo de que la red no pueda disfrutar de la intersección del quórum: dividiéndose mientras se continúa aceptando situaciones potencialmente conflictivas. transacciones, simplemente debido a una mala configuración, se realizó muy concreto por este incidente. La revisión de estas experiencias llevó a dos conclusiones principales. y las acciones correctivas correspondientes.Pagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Crítico, 100% 51% 51% Alto, 67% 51% Medio, 67% 51% Bajo, 67% 51% 51% ... ... ... 51% ... 51% Figura 6. Jerarquía de calidad del validador. Nodos de la más alta calidad requieren el umbral más alto del 100%, mientras que las calidades más bajas están configuradas con un umbral del 67%. Nodos dentro de un solo organización requiere una mayoría simple del 51%. 6.1 Complejidad y fragilidad de la configuración. Stellar expresa sectores de quórum como conjuntos de quórum anidados que constan de n entradas y un umbral k donde cualquier conjunto de k entradas constituye una porción de quórum. Cada una de las n entradas entonces es una clave pública validator o, de forma recursiva, otro conjunto de quórum. Aunque flexibles y compactos, implementamos el quórum anidado conjuntos simultáneamente brindaban a los operadores de nodos demasiada flexibilidad y muy poca orientación: era fácil escribir datos inseguros (o incluso configuraciones sin sentido). Los criterios para agrupar nodos en conjuntos, para organizar subconjuntos en una jerarquía, y para elegir los umbrales no fueron suficientemente claros y contribuyeron a fallos operativos. No estaba claro si tratar un "nivel" en la jerarquía de conjuntos anidados como un nivel de confianza, o una organización, o ambos; muchas configuraciones en el campo mezcló estos conceptos, además de especificar peligros o umbrales sin sentido. Por lo tanto, agregamos un mecanismo de configuración más simple. que separa dos aspectos de los conjuntos de quórum anidados: agrupación nodos juntos por organización y etiquetando cada organización con una clasificación de confianza simple (baja, media, alta o crítico). Las organizaciones en niveles superiores y superiores deben publicar archivos de historia. El nuevo sistema sintetiza conjuntos de quórum anidados en los que cada organización está representada como un Se establece un umbral del 51 % y las organizaciones se agrupan en conjuntos con umbrales del 67% o 100% (dependiendo de la calidad del grupo). Cada grupo es una entrada única en el siguiente grupo (de mayor calidad), como se ilustra en la Figura 6. Este modelo simplificado reduce la probabilidad de una mala configuración, tanto en términos de la estructura de los conjuntos anidados sintetizados y los umbrales elegidos para cada conjunto. 6.2 Detección proactiva de errores de configuración En segundo lugar, nos dimos cuenta de que detectar la mala configuración colectiva esperando a observar sus efectos negativos es demasiado tarde. Especialmente con respecto a configuraciones erróneas que pueden divergir: un modo de falla más grave que detenerse: la red necesita para poder detectar errores de configuración inmediatamente para que los operadores puedan revertirlos antes de que ocurra cualquier divergencia. Para abordar esta necesidad, construimos un mecanismo en el software validator que recopila continuamente el estado de configuración colectiva de todos los pares en el cierre transitivo del nodo y detecta el potencial de divergencia, es decir, disjuntos. quórums, dentro de esa configuración colectiva. 6.2.1 Comprobando la intersección del quórum Si bien reunir porciones de quórum es fácil, encontrar quórums disjuntos entre ellas es co-NP-difícil [62]. Sin embargo, adoptamos un conjunto de heurísticas algorítmicas y reglas de eliminación de casos propuesto por Lachowski [62] que verifica casos típicos del problema varios órdenes de magnitud más rápido que el costo en el peor de los casos. En la práctica, la red actual Los cierres transitivos de sectores de quórum son del orden de 20 a 30. nodos y, con las optimizaciones de Lachowski, normalmente verifica en cuestión de segundos en una sola CPU. Si surge la necesidad Para mejorar el rendimiento, podemos paralelizar la búsqueda. 6.2.2 Comprobando configuraciones riesgosas Detectar que la red admite quórums disjuntos es un paso en la dirección correcta, pero advierte el peligro incómodamente tarde para un tema tan crítico. Idealmente, queremos que los operadores de nodos reciban advertencias cuando la configuración colectiva de la red simplemente se está acercando a un estado de riesgo. Por lo tanto, ampliamos el verificador de intersección de quórum para detectar una condición que llamamos criticidad: cuando la corriente La configuración colectiva está a una mala configuración de un estado que admite quórumes disjuntos. Para detectar la criticidad, el verificador reemplaza repetidamente la configuración de cada organización con una configuración incorrecta simulada en el peor de los casos, luego Vuelve a ejecutar el verificador de intersección del quórum interno en el resultado. Si existe algún error de configuración crítico, a un paso de distancia desde el estado actual, el software emite una advertencia y informa que la organización presenta un riesgo de configuración incorrecta. Estos cambios dan a la comunidad de operadores dos capas de aviso y orientación para aislarse contra las peores formas de una mala configuración colectiva.
Avaliação
Para entender a adequação de Stellar como pagamento global e rede comercial, avaliamos o estado da rede pública e realizou experimentos controlados em um laboratório experimental privado rede. Nós nos concentramos nas seguintes questões: • Qual é a aparência da topologia da rede de produção? Quantas mensagens são transmitidas em média e como o SCP experimenta tempos limite? • O consenso e as latências de atualização do razão permanecem independentes do número de contas?SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. • Como as latências são afetadas pelo aumento de (a) transações por segundo (e, consequentemente, transações por razão) e (b) o número de nós validator? • Qual é o custo de execução de um nó em termos de CPU, memória e largura de banda da rede? As redes de pagamento têm taxas de transação baixas em comparação para outros tipos de sistema distribuído. Os principais blockchains, Bitcoin e Ethereum, confirme até 15 transações/segundo, menos de Stellar. Além disso, esses sistemas levam minutos para uma hora para confirmar uma transação com segurança, porque a prova de trabalho exige a espera pela mineração de vários blocos. O A rede SWIFT não blockchain teve uma média de apenas 420 transações por segundo em seu dia de pico [14]. Escolhemos, portanto, para comparar nossas medições com a meta de 5 segundos intervalo de contabilidade, um alvo mais agressivo. Nossos resultados mostram que as latências estão confortavelmente abaixo deste limite, mesmo com várias otimizações não implementadas ainda em andamento. 7.1 Âncoras Os ativos mais negociados por volume incluem moeda (por exemplo, 3 USD âncoras, 2 CNY), uma âncora Bitcoin, um título garantido por imóveis token [92] e uma moeda no aplicativo [8]. Âncoras diferentes têm políticas diferentes. Por exemplo, uma âncora em USD, Stronghold, define auth_reqired e exige um processo conheça seu cliente (KYC) para cada conta que possui seu ativos. Outro, AnchorUSD, vamos receber e negociar seus dólares americanos (tornando literalmente possível enviar US$ 0,50 para o México em 5 segundos com uma taxa de US$ 0,000001). No entanto, AnchorUSD exige KYC e taxas para comprar ou resgatar seus dólares americanos com transferências bancárias convencionais. Nas Filipinas, onde regulamentações bancárias são mais flexíveis para pagamentos recebidos, coins.ph suporta saques de PHP em qualquer caixa eletrônico [36]. Além da segurança token mencionada acima e da moeda no aplicativo, há uma variedade de tokens não monetários que variam de títulos comerciais [22] e créditos de carbono [85, 96] para mais ativos esotéricos, como um token que incentiva a colaboração reintegração de posse do carro [35]. 7.2 Rede pública No momento em que este livro foi escrito, havia 126 nós completos ativos, 66 dos quais participar do consenso assinando mensagens de voto. Figura 7 (gerado por [5]) visualiza a rede, com uma linha entre dois nós se um aparecer nas fatias de quorum do outro e um linha azul mais escura para mostrar dependência bidirecional. No center é um cluster de 17 “validators” de fato de primeiro nível administrado por SDF, SatoshiPay, LOBSTR, COINQVEST e Keybase. Há quatro meses, antes dos acontecimentos da Secção 6, houve havia 15 nós sistemicamente importantes: 3 de aparentemente organizações de nível um e vários singletons aleatórios. O o gráfico também parecia muito menos regular. Portanto, o novo mecanismo de configuração e/ou melhores decisões do operador parecem contribuir para uma topologia de rede mais saudável. Sem grandes recursos financeiros (e correspondentes Figura 7. Mapa de fatia de quórum obrigações), teria sido difícil recrutar 5 níveis um organizações desde o início, no entanto. Isso sugere quórum fatias desempenham um papel útil na inicialização da rede: qualquer um pode junte-se com o objetivo de se tornar um player importante porque não há guardiões para o acordo entre pares. Existem atualmente mais de 3,3 milhões de contas no livro razão. Acabou um período recente de 24 horas, Stellar teve uma média de 4,5 transações e 15,7 operações por segundo. Revendo livros contábeis recentes, a maioria as transações parecem ter uma única operação, enquanto a cada poucas livros, vemos transações contendo muitas operações que parecem vir de formadores de mercado que gerenciam ofertas. O os tempos médios para alcançar consenso e atualizar o livro foram 1061ms e 46ms, respectivamente. Os percentis 99 foram 2252 ms e 142 ms (o primeiro refletindo um tempo limite de 1 segundo na seleção do líder de nomeação). Observe que o desempenho do SCP é principalmente independente de transações por segundo, uma vez que SCP concorda com um hash de muitas transações arbitrárias. É mais provável que gargalos surjam da propagação de candidatos transações durante a nomeação, execução e validação transações e mesclagem de buckets. Ainda não precisamos para paralelizar o processamento de transações do Stellar-Core em vários núcleos de CPU ou unidades de disco. Também avaliamos o número de mensagens SCP transmitidas na rede de produção. No caso normal com um único líder eleito para indicar um valor, esperamos sete mensagens a serem transmitidas: duas mensagens para votar e aceitar um nomedeclaração nate, duas mensagens para aceitar e confirmar uma declaração de preparação, duas mensagens para aceitar e confirmar uma declaração de commit e, finalmente, uma mensagem externalizada (enviado depois de enviar um novo livro-razão para o disco para ajudar os retardatários alcançar). A implementação combina confirmar commit e externalizar mensagens como uma otimização, uma vez que é seguro externalizar um valor após ele ser confirmado. Em seguida, analisamos as métricas coletadas em uma produção Stellar validator. Acabou ao longo de 68 horas, foram emitidas 1,3 mensagens/segundo, em média de 6 a 7 mensagens por livro-razão. Notamos que o total
Pagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Percentil Número de tempos limite Nomeação Votação 75% 0 0 99% 1 0 Máx. 4 1 Figura 8. Tempos limite por razão superior a 68 horas contagem de mensagens transmitidas por validators é maior, pois em além das mensagens de votação federada, os nós também transmitem quaisquer transações sobre as quais tomem conhecimento. A Figura 8 mostra os tempos limite experimentados por uma produção validator durante um período de 68 horas. Os tempos limite de nomeação são uma medida da (in)eficácia da função eleitoral do líder, enquanto o tempo limite da votação depende muito da rede e possíveis atrasos nas mensagens. Os tempos limite são consistentes com o número de mensagens emitidas: seis mensagens no melhor cenário, e pelo menos sete mensagens se uma rodada de nomeação adicional for necessária. 7.3 Experimentos controlados Realizamos experimentos controlados em recipientes embalados em Instâncias c5d.9xlarge do Amazon EC2 com 72 GiB de RAM, 900 GB de SSD NVMe e 36 vCPUs. Cada instância estava em na mesma região EC2 e tinha largura de banda fixa de 10 Gbps. Usamos SQLite como loja. (Stellar também suporta PostgreSQL, mas isso tem tarefas assíncronas que injetam ruído nas medições.) Stellar fornece uma consulta de tempo de execução integrada, generateload, que permite gerar carga sintética em um alvo específico transação/segunda taxa. Embora Stellar suporte vários recursos de negociação, como carteira de pedidos e caminho entre ativos pagamentos, nos concentramos em pagamentos simples. A confirmação de transações consiste em várias etapas, por isso registrou as medições para cada um dos seguintes: • Nomeação: tempo desde a nomeação até a primeira preparação • Votação: tempo desde a primeira preparação até a confirmação de um votação confirmada • Atualização do razão: hora de aplicar o valor de consenso • Contagem de transações: transações confirmadas por razão Cada um de nossos experimentos foi definido por três parâmetros: o número de lançamentos de conta no razão, a quantidade de carga (na forma de pagamentos XLM) enviada por segundo, e o número de validators. Configuramos cada validator saber sobre todos os outros validator (o pior cenário para SCP), com fatias de quórum definidas para qualquer maioria simples de nós (de modo a maximizar o número de quóruns diferentes). Linha de base Nosso experimento de linha de base mediu Stellar com 100.000 contas, quatro validators e a geração de carga taxa de 100 transações/segundo. Observamos em média 507 transações por razão, com desvio padrão de 49 (9,7%). Observe que nenhuma transação foi descartada; o leve 105 106 107 0 500 1.000 1.500 2.000 Contas Latência [ms] Atualização do razão Votação Nomeação Figura 9. Latência à medida que o número de contas aumenta a variação é devida a limitações de programação do gerador de carga. Observamos que o número de transações por razão foi consistente com nossa taxa de geração de carga, dado o razão fechando a cada 5 segundos. Nomeação, votação e registro atualização mostrou latências médias de 82,53 ms, 95,96 ms e 174,08ms, respectivamente. Observamos que a latência de nomeação O percentil 99 está consistentemente abaixo de 61 ms, com ocasionais picos de aproximadamente 1 segundo, correspondendo à primeira etapa na função de tempo limite de seleção do líder. Dado o desempenho da linha de base, analisamos os efeitos de variar cada um dos parâmetros de configuração do teste. Contas Os dados da Figura 9 sugerem que Stellar escala bem como o número de contas aumenta. Geração de teste contas tornou-se um processo demorado, pois a criação de buckets e a fusão nos impediu de simplesmente preencher o banco de dados com contas diretamente via SQL. Por isso, conduzimos nosso experimentos para até 50 milhões de contas. Enquanto houver impacto mínimo no consenso e nas latências de atualização do razão, notamos que o aumento de contas cria uma sobrecarga de mesclando baldes, que ficam maiores. Taxa de transação A taxa de transação afeta a quantidade de multicast de tráfego entre validators, o número de transações incluídas em cada razão e o tamanho do nível superior baldes. Para entender os efeitos do aumento das transações load, realizamos um experimento com 100.000 contas e 4 validators. A Figura 10 mostra o crescimento lento na latência de consenso, enquanto a maior parte do tempo foi gasta atualizando o razão. Não é de surpreender que, à medida que o conjunto de transações aumenta de tamanho, leva mais tempo para confirmá-lo no banco de dados. Notamos também que a latência de atualização do razão depende fortemente da implementação, e é afetado pela escolha do banco de dados. Nós validadores Para ver como aumentar o número de níveis validatorsafeta o desempenho, realizamos experimentos com 100.000 contas, 100 transações/segundo e um número variável de validators de 4 a 43. Todos os validators apareceram em todas as fatias de quorum de validators; fatias de quórum menores seriam têm um impacto menor no desempenho.SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá Lokhava et al. 100 150 200 250 300 350 0 500 1.000 1.500 2.000 Carregar [transações/segundo] Latência [ms] Atualização do razão Votação Nomeação Figura 10. Latência à medida que a carga da transação aumenta 10 20 30 40 0 500 1.000 1.500 2.000 Validadores Latência [ms] Atualização do razão Votação Nomeação Figura 11. Latência conforme o número de nós aumenta Alterando o número de nós de validação na rede afeta o número de mensagens SCP trocadas, bem como o número de valores potenciais durante a nomeação. Figura 11 mostra o tempo de nomeação crescendo a uma taxa relativamente pequena. Embora os dados sugiram que a votação é o gargalo, acredito que muitos problemas de escala podem ser resolvidos melhorando Rede de sobreposição de Stellar para otimizar o tráfego de rede. Como esperado, a latência de atualização do razão permaneceu independente de o número de nós. Taxa de fechamento Por último, queríamos medir o desempenho ponta a ponta de Stellar medindo a frequência com que os livros contábeis são confirmados e se Stellar atinge sua meta de 5 segundos sem descartando qualquer transação. Observamos o razão médio próximo tempos de 5,03 s, 5,10 s e 5,15 s à medida que aumentamos a conta entradas, taxa de transação e número de nós, respectivamente. Os resultados sugerem que Stellar pode fechar livros contábeis de forma consistente sob alta carga. 7.4 Executando um validator Uma das características importantes de Stellar é o baixo custo de executando um validator, como as âncoras devem ser executadas (ou contratadas) validators para impor finalidade. O SDF executa três validators de produção, todos em instâncias c5.large da AWS, que possuem dois núcleos, 4 GiB de RAM e CPU Intel(R) Xeon(R) Platinum 8124M @ Processadores de 3,00 GHz. Inspecionando o uso de recursos em um dessas máquinas, observamos o processo Stellar usando cerca de 7% da CPU e 300 MiB de memória. Em termos de tráfego de rede, com 28 conexões a pares e tamanho de quorum de 34, as taxas de entrada e saída eram de 2,78 Mbit/s e 2,56 Mbit/s, respectivamente. Hardware necessário para executar tal processo é barato. No nosso caso, o custo é de US$ 0,054/hora ou cerca de US$ 40/mês. 7,5 Trabalho futuro Esses experimentos sugerem que Stellar pode facilmente escalar de 1 a 2 pedidos de magnitude além do uso atual da rede. Porque o as demandas de desempenho têm sido tão modestas até o momento, Stellar deixa espaço para muitas otimizações diretas usando técnicas bem conhecidas. Por exemplo, transações e SCP mensagens são transmitidas por validators usando uma inundação ingênua protocolo, mas idealmente deveria usar protocolo mais eficiente e estruturado multicast ponto a ponto [30]. Além disso, bancos de dados pesados o tempo de atualização do razão pode ser melhorado por meio de técnicas padrão de lote e pré-busca.
Evaluación
Comprender la idoneidad de Stellar como pago global y red comercial, evaluamos el estado de la red pública y realizó experimentos controlados en un laboratorio experimental privado. red. Nos centramos en las siguientes preguntas: • ¿Cómo es la topología de la red de producción? ¿Cuántos mensajes se transmiten en promedio y ¿Cómo experimenta SCP los tiempos de espera? • ¿Las latencias de actualización del consenso y del libro mayor siguen siendo independientes del número de cuentas?SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. • ¿Cómo se ven afectadas las latencias por el aumento de (a) las transacciones por segundo (y, en consecuencia, las transacciones por segundo)? libro mayor), y (b) el número de validator nodos? • ¿Cuál es el costo de ejecutar un nodo en términos de CPU? memoria y ancho de banda de la red? Las redes de pago tienen tasas de transacción bajas en comparación a otros tipos de sistemas distribuidos. Los principales blockchains, Bitcoin y Ethereum, confirman hasta 15 transacciones/segundo, menos de Stellar. Además, estos sistemas tardan unos minutos en Una hora para confirmar una transacción de forma segura, porque la prueba de trabajo requiere esperar a que se extraigan varios bloques. el La red SWIFT no blockchain promedió solo 420 transacciones por segundo en su día pico [14]. Por lo tanto elegimos para comparar nuestras mediciones con el objetivo de 5 segundos intervalo del libro mayor, un objetivo más agresivo. Nuestros resultados muestran que las latencias están cómodamente por debajo de este límite incluso con Varias optimizaciones no implementadas aún están en proceso. 7.1 Anclas Los principales activos negociados por volumen incluyen divisas (por ejemplo, 3 USD anclas, 2 CNY), un ancla Bitcoin, un valor respaldado por bienes raíces token [92] y una moneda en la aplicación [8]. Diferentes anclas tienen diferentes políticas. Por ejemplo, un ancla en USD, Stronghold, establece auth_reqired y requiere un proceso de conocimiento de su cliente (KYC) para cada cuenta que tenga su activos. Otro, AnchorUSD, cualquiera puede recibir e intercambiar sus USD (haciendo literalmente posible enviar $0.50 a México en 5 segundos con una tarifa de $0.000001). Sin embargo, AnchorUSD requiere KYC y tarifas para comprar o canjear sus USD con transferencias bancarias convencionales. En Filipinas, donde Las regulaciones bancarias son más laxas para los pagos entrantes, monedas.ph admite el retiro de PHP en cualquier cajero automático [36]. Además de la seguridad token mencionada anteriormente y la moneda de la aplicación, existe una variedad de tokens no monetarios que van desde bonos comerciales [22] y créditos de carbono [85, 96] a más activos esotéricos como un token que incentiva la colaboración recuperación del automóvil [35]. 7.2 Red pública Al momento de escribir este artículo, hay 126 nodos completos activos, 66 de los cuales participar en el consenso firmando mensajes de voto. Figura 7 (generado por [5]) visualiza la red, con una línea entre dos nodos si uno aparece en los sectores de quórum del otro y un Línea azul más oscura para mostrar dependencia bidireccional. en el El centro es un grupo de 17 “validators de nivel uno” de facto dirigidos por SDF, SatoshiPay, LOBSTR, COINQVEST y Keybase. Hace cuatro meses, antes de los acontecimientos de la Sección 6, había Había 15 nodos sistémicamente importantes: 3 de aparentemente organizaciones de primer nivel y varios singletons aleatorios. el El gráfico también parecía mucho menos regular. Por lo tanto, el nuevo mecanismo de configuración y/o mejores decisiones del operador parecen contribuir a una topología de red más saludable. sin Grandes recursos financieros (y el correspondiente accionista). Figura 7. Mapa de porción de quórum obligaciones), hubiera sido difícil reclutar 5 niveles uno organizaciones desde el principio. Esto sugiere quórum Los sectores desempeñan un papel útil en el arranque de la red: cualquiera puede unirse con el objetivo de convertirme en un jugador importante porque no existen barreras para el acuerdo por parejas. Actualmente hay más de 3,3 millones de cuentas en el libro mayor. Más En un período reciente de 24 horas, Stellar promedió 4,5 transacciones y 15,7 operaciones por segundo. Revisando los libros de contabilidad recientes, la mayoría Las transacciones parecen tener una sola operación, mientras que cada pocos En los libros mayores vemos transacciones que contienen muchas operaciones que parecen provenir de creadores de mercado que gestionan ofertas. el Los tiempos medios para lograr el consenso y actualizar el libro mayor fueron 1061 ms y 46 ms, respectivamente. Los percentiles 99 fueron 2252 ms y 142 ms (el primero refleja un tiempo de espera de 1 segundo en la selección del líder de nominación). Tenga en cuenta que el rendimiento de SCP es en su mayoría independiente de las transacciones por segundo, ya que SCP acuerda un hash de muchas transacciones arbitrarias. Es más probable que surjan cuellos de botella al propagar el candidato. transacciones durante la nominación, ejecución y validación transacciones y fusión de depósitos. todavía no hemos necesitado para paralelizar el procesamiento de transacciones de stellar-core en múltiples núcleos de CPU o unidades de disco. También evaluamos la cantidad de mensajes SCP transmitidos. en la red de producción. En el caso normal con un solo líder elegido para nominar un valor, esperamos siete lógicas mensajes a difundir: dos mensajes para votar y aceptar una nomiDeclaración de nacimiento, dos mensajes para aceptar y confirmar. una declaración de preparación, dos mensajes para aceptar y confirmar una declaración de confirmación y, finalmente, un mensaje de externalización (enviado después de enviar un nuevo libro mayor al disco para ayudar a los rezagados ponerse al día). La implementación combina confirmar el compromiso. y externalizar mensajes como una optimización, ya que es Es seguro externalizar un valor una vez comprometido. Luego analizamos las métricas recopiladas en una producción Stellar validator. Más En el transcurso de 68 horas se emitieron 1,3 mensajes/segundo, con un promedio de 6 a 7 mensajes por libro mayor. Observamos que el total
Pagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá percentil Número de tiempos de espera Nominación votación 75% 0 0 99% 1 0 máx. 4 1 Figura 8. Tiempos de espera por libro mayor de 68 horas El recuento de mensajes transmitidos por validators es mayor, ya que en Además de los mensajes de votación federados, los nodos también transmiten cualquier transacción que conozcan. La Figura 8 muestra los tiempos de espera experimentados por una producción. validator durante un período de 68 horas. Los tiempos de espera para las nominaciones son una medida de la (in)eficacia de la función de elección del líder, mientras que los tiempos de espera de las votaciones dependen en gran medida de la red y posibles retrasos en los mensajes. Los tiempos de espera son consistentes. con el número de mensajes emitidos: seis mensajes en el en el mejor de los casos, y al menos siete mensajes si se necesita una ronda de nominaciones adicional. 7.3 Experimentos controlados Realizamos experimentos controlados en contenedores empaquetados en Instancias Amazon EC2 c5d.9xlarge con 72 GiB de RAM, 900 GB de SSD NVMe y 36 vCPU. Cada instancia estaba en la misma región EC2 y tenía un ancho de banda fijo de 10 Gbps. Usamos SQLite como tienda. (Stellar también es compatible con PostgreSQL, pero eso tiene tareas asincrónicas que inyectan ruido en las mediciones). Stellar proporciona una consulta de tiempo de ejecución integrada, generateload, que permite generar carga sintética en un objetivo específico transacción/segunda tasa. Aunque Stellar admite varios Funciones comerciales, como libro de órdenes y ruta entre activos. pagos, nos centramos en pagos simples. La confirmación de transacciones consta de varios pasos, por lo que registró las medidas para cada uno de los siguientes: • Nominación: tiempo desde la nominación hasta la primera preparación. • Votación: tiempo desde la primera preparación hasta la confirmación de una boleta comprometida • Actualización del libro mayor: es hora de aplicar el valor de consenso • Recuento de transacciones: transacciones confirmadas por libro mayor Cada uno de nuestros experimentos estuvo definido por tres parámetros: el número de asientos de cuenta en el libro mayor, la cantidad de carga (en forma de pagos XLM) enviada por segundo, y el número de validators. Configuramos cada validator saber sobre todos los demás validator (el peor de los casos para SCP), con porciones de quórum establecidas en cualquier mayoría simple de nodos (para maximizar el número de quórums diferentes). Línea de base Nuestro experimento de referencia midió Stellar con 100.000 cuentas, cuatro validator y la generación de carga tasa de 100 transacciones/segundo. Observamos 507 transacciones por libro mayor en promedio, con una desviación estándar de 49 (9,7%). Tenga en cuenta que no se descartaron transacciones; el ligero 105 106 107 0 500 1.000 1.500 2.000 Cuentas Latencia [ms] Actualización del libro mayor votación Nominación Figura 9. Latencia a medida que aumenta el número de cuentas La variación se debe a limitaciones de programación del generador de carga. Observamos que el número de transacciones por libro mayor fue consistente con nuestra tasa de generación de carga, dado el libro mayor cerrando cada 5 segundos. Nominación, votación y libro mayor La actualización mostró latencias medias de 82,53 ms, 95,96 ms y 174,08 ms, respectivamente. Observamos que la latencia de nominación El percentil 99 está constantemente por debajo de 61 ms, con ocasionales picos de aproximadamente 1 segundo, correspondientes al primer paso en la función de tiempo de espera de la selección de líder. Dado el desempeño de referencia, analizamos los efectos de variar cada uno de los parámetros de configuración de la prueba. Cuentas Los datos de la Figura 9 sugieren que Stellar escala así como el número de cuentas aumenta. Generación de prueba Las cuentas se convirtieron en un proceso largo, ya que la creación de depósitos y la fusión nos impidió simplemente poblar la base de datos con cuentas directamente a través de SQL. Por lo tanto, llevamos a cabo nuestra experimentos para hasta 50.000.000 de cuentas. mientras hay impacto mínimo en las latencias de actualización del consenso y del libro mayor, observamos que el aumento de cuentas crea un gasto general de fusionando cubos, que se hacen más grandes. Tasa de transacción La tasa de transacción afecta la cantidad de multidifusión de tráfico entre validators, el número de transacciones incluidas en cada libro mayor y el tamaño del nivel superior cubos. Comprender los efectos del aumento de las transacciones. carga, realizamos un experimento con 100.000 cuentas y 4 validators. La Figura 10 muestra un lento crecimiento en la latencia del consenso, mientras que la mayor parte del tiempo se dedicó a actualizar el libro mayor. No es sorprendente que a medida que el conjunto de transacciones aumenta de tamaño, lleva más tiempo enviarlo a la base de datos. También notamos que La latencia de actualización del libro mayor depende en gran medida de la implementación. y se ve afectado por la elección de la base de datos. Nodos validadores Para ver cómo aumenta el número de tíone validatorsimpacta el rendimiento, realizamos experimentos con 100.000 cuentas, 100 transacciones por segundo y un número variable de validators de 4 a 43. Aparecieron todos los validators en todos los sectores de quórum de validators; porciones de quórum más pequeñas tienen un menor impacto en el rendimiento.SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá Lokhava et al. 100 150 200 250 300 350 0 500 1.000 1.500 2.000 Carga [transacciones/segundo] Latencia [ms] Actualización del libro mayor votación Nominación Figura 10. Latencia a medida que aumenta la carga de transacciones 10 20 30 40 0 500 1.000 1.500 2.000 Validadores Latencia [ms] Actualización del libro mayor votación Nominación Figura 11. Latencia a medida que aumenta el número de nodos Cambiar el número de nodos de validación en la red afecta la cantidad de mensajes SCP intercambiados, así como el número de valores potenciales durante la nominación. Figura 11 muestra que el tiempo de nominación crece a un ritmo relativamente pequeño. Si bien los datos sugieren que las votaciones son el cuello de botella, Creemos que muchos problemas de escala se pueden abordar mejorando Red superpuesta de Stellar para optimizar el tráfico de red. como Como era de esperar, la latencia de actualización del libro mayor se mantuvo independiente de el número de nodos. Tasa de cierre Por último, queríamos medir el rendimiento de extremo a extremo de Stellar midiendo la frecuencia con la que se confirman los libros de contabilidad y si Stellar cumple su objetivo de 5 segundos sin abandonar cualquier transacción. Observamos un cierre promedio del libro mayor tiempos de 5,03 s, 5,10 s y 5,15 s a medida que aumentamos la cuenta entradas, tasa de transacción y número de nodos, respectivamente. Los resultados sugieren que Stellar puede cerrar libros contables de forma consistente bajo carga alta. 7.4 Ejecutando un validator Una de las características importantes de Stellar es el bajo costo de ejecutando un validator, ya que los anclajes deben ejecutarse (o contraerse) validators para hacer cumplir la finalidad. SDF ejecuta 3 validator de producción, todos en instancias c5.large de AWS, que tienen dos núcleos, 4 GiB de RAM y CPU Intel(R) Xeon(R) Platinum 8124M @ Procesadores de 3,00 GHz. Inspeccionar el uso de recursos en uno de estas máquinas, observamos el proceso Stellar usando alrededor del 7% de la CPU y 300 MiB de memoria. En términos de tráfico de red, con 28 conexiones a pares y un tamaño de quórum de 34, las velocidades entrantes y salientes fueron de 2,78 Mbit/s y 2,56 Mbit/s, respectivamente. Hardware necesario para ejecutar tal El proceso es económico. En nuestro caso, el coste es de 0,054$/hora. o alrededor de $40/mes. 7.5 Trabajo futuro Estos experimentos sugieren que Stellar puede escalar fácilmente entre 1 y 2 pedidos de magnitud más allá del uso actual de la red. porque el Las demandas de rendimiento han sido tan modestas hasta la fecha, Stellar deja espacio para muchas optimizaciones sencillas utilizando técnicas bien conocidas. Por ejemplo, transacciones y SCP los mensajes son transmitidos por validators usando una inundación ingenua protocolo, pero idealmente debería utilizar métodos más eficientes y estructurados. multidifusión punto a punto [30]. Además, con muchas bases de datos El tiempo de actualización del libro mayor se puede mejorar mediante técnicas estándar de procesamiento por lotes y captación previa.
Conclusão
Os pagamentos internacionais são caros e demoram dias. Fundo a custódia passa por múltiplas instituições financeiras, incluindo bancos correspondentes e serviços de transferência de dinheiro. Como cada salto deve ser totalmente confiável, é difícil para novos novos participantes ganhem participação de mercado e concorram. Stellar mostra como enviar dinheiro para todo o mundo de forma barata em segundos. O A principal inovação é um novo protocolo de acordo bizantino de adesão aberta, SCP, que aproveita a estrutura peer-to-peer da rede financeira para alcançar um consenso global sob um nova hipótese da Internet. SCP permite que Stellar confirme atomicamente transações irreversíveis entre participantes arbitrários que não conhecem ou confiam um no outro. Isso, por sua vez, garante aos novos participantes o acesso aos mesmos mercados estabelecidos jogadores, torna seguro obter a melhor troca disponível taxas mesmo de formadores de mercado não confiáveis, e dramaticamente reduz a latência de pagamento. Agradecimentos Stellar não estaria onde está hoje sem o início liderança de Joyce Kim ou as tremendas contribuições de Scott Fleckenstein e Bartek Nowotarski na construção e mantendo o horizonte, o Stellar SDK e outras peças importantes do ecossistema Stellar. Agradecemos também a Kolten Bergeron, Henry Corrigan-Gibbs, Candace Kelly, Kapil K. Jain, Boris Reznikov, Jeremy Rubin, Christian Leme, Eric Saunders, Torsten Stüber, Tomer Weller, os revisores anônimos e nossa pastora Justine Sherry por seus comentários úteis sobre rascunhos anteriores. Isenção de responsabilidade A contribuição do Professor Mazières para esta publicação foi como consultor remunerado e não fez parte de seu trabalho. Deveres ou responsabilidades da Universidade de Stanford.
Pagamentos globais rápidos e seguros com Stellar SOSP '19, 27 a 30 de outubro de 2019, Huntsville, ON, Canadá
Conclusión
Los pagos internacionales son caros y tardan días. Fondo la custodia pasa a través de múltiples instituciones financieras, incluidos bancos corresponsales y servicios de transferencia de dinero. Debido a que se debe confiar plenamente en cada salto, es difícil para los nuevos nuevos participantes ganen cuota de mercado y compitan. Stellar muestra cómo enviar dinero a todo el mundo de forma económica en segundos. el La innovación clave es un nuevo protocolo de acuerdo bizantino de membresía abierta, SCP, que aprovecha la estructura de igual a igual. de la red financiera para lograr un consenso global bajo un Nueva hipótesis de Internet. SCP permite que Stellar se comprometa atómicamente transacciones irreversibles entre participantes arbitrarios que no se conocen ni confían el uno en el otro. Esto, a su vez, garantiza a los nuevos participantes el acceso a los mismos mercados establecidos. jugadores, hace que sea seguro obtener el mejor intercambio disponible tasas incluso de creadores de mercado que no son de confianza, y dramáticamente Reduce la latencia de pago. Agradecimientos Stellar no estaría donde está hoy sin el temprano liderazgo de Joyce Kim o las tremendas contribuciones de Scott Fleckenstein y Bartek Nowotarski en la construcción y manteniendo horizonte, el SDK Stellar y otras piezas clave del ecosistema Stellar. También agradecemos a Kolten Bergeron, Henry Corrigan-Gibbs, Candace Kelly, Kapil K. Jain, Boris Reznikov, Jeremy Rubin, Christian Rudder, Eric Saunders, Torsten Stüber, Tomer Weller, los revisores anónimos y nuestra pastora Justine Sherry por sus útiles comentarios sobre borradores anteriores. Descargo de responsabilidad La contribución del profesor Mazières a esta publicación fue como consultor remunerado y no formó parte de su Deberes o responsabilidades de la Universidad de Stanford.
Pagos globales rápidos y seguros con Stellar SOSP ’19, 27 al 30 de octubre de 2019, Huntsville, ON, Canadá