Проблема двух генералов - Two Generals Problem

Позиции армий. Армии A1 и A2 должны общаться, но их посланники могут быть захвачены армией B.

В вычислениях Проблема двух генералов это мысленный эксперимент предназначен для иллюстрации подводных камней и проблем проектирования при попытке координировать действия посредством обмена данными по ненадежной ссылке. В эксперименте два генерала могут общаться друг с другом, только посылая посыльного через вражескую территорию. Эксперимент спрашивает, как они могут договориться о времени для начала атаки, зная, что любой посланник, который они отправят, может быть захвачен.

Это связано с более общим Византийские генералы Проблема и часто появляется на вводных курсах по компьютерная сеть (особенно в отношении Протокол управления передачей, где это показывает, что TCP не может гарантировать согласованность состояний между конечными точками и почему это так), хотя это применимо к любому типу двусторонней связи, где возможны сбои связи. Ключевая концепция в эпистемическая логика, эта проблема подчеркивает важность всем известный факт. Некоторые авторы также называют это Парадокс двух генералов, то Проблема двух армий, или Проблема согласованной атаки.[1][2] Проблема двух генералов была первой проблемой компьютерной связи, которая оказалась неразрешимой. Важным следствием этого доказательства является то, что обобщения, подобные проблеме византийских генералов, также неразрешимы перед лицом произвольных сбоев связи, что обеспечивает основу для реалистичных ожиданий для любых протоколов распределенной согласованности.

Определение

Два армии, каждый во главе с другим Общее, готовятся атаковать укрепленный город. Армии располагаются лагерем возле города, каждая в своей долине. Третья долина разделяет два холма, и единственный способ общения двух генералов - это послать посланники через долину. К сожалению, долина занята защитниками города, и есть шанс, что любой посланник, посланный через долину, будет захвачен.

Хотя два генерала договорились о нападении, они не договорились о времени для атаки. Чтобы добиться успеха, необходимо, чтобы армии двух генералов атаковали город одновременно, иначе армия одинокого атакующего погибнет при попытке. Таким образом, они должны общаться друг с другом, чтобы выбрать время для атаки и согласиться атаковать в это время, и каждый генерал должен знать, что другой генерал знает, что они согласились с планом атаки. Потому что подтверждение получения сообщения могут быть потеряны так же легко, как и исходное сообщение, требуется потенциально бесконечная серия сообщений, чтобы консенсус.

Мысленный эксперимент включает рассмотрение того, как они могут прийти к консенсусу. В простейшей форме один генерал, как известно, является лидером, выбирает время атаки и должен сообщить это время другому генералу. Проблема в том, чтобы придумать алгоритмы, которые могут использовать генералы, включая отправку сообщений и обработку полученных сообщений, которые позволят им сделать правильный вывод:

Да, мы оба атакуем в оговоренное время.

Если допустить, что генералам довольно просто прийти к соглашению о времени атаки (то есть одно успешное сообщение с успешным подтверждением), тонкость проблемы двух генералов заключается в невозможности разработки алгоритмов для использования генералами. безопасно согласиться с приведенным выше утверждением.

Иллюстрация проблемы

Первый генерал может начать с сообщения «Атака в 09:00 4 августа». Однако после отправки первый генерал понятия не имеет, прошел ли посланник. Эта неопределенность может привести к тому, что первый генерал не решится атаковать из-за риска оказаться единственным нападающим.

Конечно, второй генерал может отправить подтверждение первому: «Я получил ваше сообщение и атакую ​​в 09:00 4 августа». Однако посыльный, несущий подтверждение, может оказаться в плену, а второй генерал может колебаться, зная, что первый может сдерживаться без подтверждения.

Дальнейшие подтверждения могут показаться решением - пусть первый генерал отправит второе подтверждение: «Я получил ваше подтверждение запланированной атаки в 09:00 4 августа». Однако этот новый посланник от первого генерала тоже может быть схвачен. Таким образом, быстро становится очевидным, что независимо от того, сколько раундов подтверждения сделано, нет способа гарантировать второе требование, чтобы каждый генерал был уверен, что другой согласился с планом атаки. Оба генерала всегда будут гадать, прошел ли их последний посланник.

Доказательство

Для детерминированных протоколов с фиксированным количеством сообщений

Поскольку этот протокол детерминированный Предположим, что существует последовательность из фиксированного числа сообщений, одно или несколько успешно доставлены, а одно или несколько нет. Предполагается, что должен быть общая уверенность для обоих генералов атаковать.

Рассмотрим последнее такое сообщение, которое было успешно доставлено. Если это последнее сообщение не было доставлено успешно, то хотя бы один генерал (предположительно получатель) решил бы не атаковать. Однако с точки зрения отправителя этого последнего сообщения последовательность отправленных и доставленных сообщений в точности такая же, как если бы это сообщение было доставлено.

Поскольку протокол детерминирован, обычная отправка последнего сообщения все равно решит атаковать. Теперь мы создали ситуацию, когда предлагаемый протокол приводит к тому, что один генерал атакует, а другой не атакует, что противоречит предположению о том, что протокол был решением проблемы.

Для недетерминированных протоколов и протоколов переменной длины

Недетерминированный протокол с потенциально переменным количеством сообщений можно сравнить с конечным дерево, где каждый узел в дереве представляет собой изученный пример до указанной точки. Протокол, который завершается перед отправкой любых сообщений, представлен деревом, содержащим только корневой узел. Ребра от узла к каждому дочернему элементу помечаются сообщениями, отправленными для достижения дочернего состояния. Конечные узлы представляют собой точки, в которых протокол завершается.

Предположим, что существует недетерминированный протокол п который решает проблему двух генералов. Затем, используя аргумент, аналогичный приведенному выше для детерминированных протоколов фиксированной длины, П' должен также решить проблему двух генералов, где дерево, представляющее П' получается из этого для п удалив все листовые узлы и ведущие к ним ребра.

С п конечно, тогда следует, что протокол, который завершается перед отправкой каких-либо сообщений, решит проблему. Но очевидно, что это не так. Следовательно, недетерминированный протокол, решающий проблему, не может существовать.

Инженерные подходы

Прагматический подход к решению проблемы двух генералов заключается в использовании схем, которые принимают неуверенность из коммуникации канал и не пытаться устранить его, а скорее смягчить его до приемлемой степени. Например, первый генерал мог послать 100 гонцов, ожидая, что вероятность того, что все будут схвачены, мала. При таком подходе первый генерал будет атаковать несмотря ни на что, а второй генерал будет атаковать, если будет получено какое-либо сообщение. В качестве альтернативы первый генерал мог бы послать поток сообщений, а второй генерал мог бы послать подтверждение каждому, при этом каждый генерал чувствовал бы себя более комфортно с каждым полученным сообщением. Однако, как видно из доказательства, нельзя быть уверенным в том, что атака будет скоординирована. Не существует алгоритма, который они могли бы использовать (например, атаковать, если получено более четырех сообщений), который гарантированно предотвратил бы одно нападение без другого. Кроме того, первый генерал может отправлять пометку на каждое сообщение, говоря, что это сообщение 1, 2, 3 ... из n. Этот метод позволит второму генералу узнать, насколько надежен канал, и отправить соответствующее количество сообщений обратно, чтобы гарантировать высокую вероятность получения хотя бы одного сообщения. Если канал можно сделать надежным, то одного сообщения будет достаточно, а дополнительные сообщения не помогут. Последний может потеряться с такой же вероятностью, как и первый.

Предполагая, что генералы должны жертвовать жизнями каждый раз, когда посланник отправляется и перехватывается, можно разработать алгоритм, минимизирующий количество посланников, необходимых для достижения максимальной степени уверенности в том, что атака скоординирована. Чтобы спасти их от принесения в жертву сотен жизней и достижения очень высокой степени уверенности в координации, генералы могли бы согласиться использовать отсутствие посланников как указание на то, что генерал, начавший транзакцию, получил по крайней мере одно подтверждение и пообещал атаковать. Предположим, посланнику требуется 1 минута, чтобы пересечь опасную зону, а 200 минут молчания после получения подтверждений позволят нам достичь чрезвычайно высокой уверенности, не жертвуя жизнями посланника. В этом случае мессенджеры используются только в том случае, если партия не получила время атаки. По истечении 200 минут каждый генерал может рассуждать: «Я не получал дополнительных сообщений в течение 200 минут; либо 200 посыльных не смогли пересечь опасную зону, либо это означает, что другой генерал подтвердил и совершил атаку и уверен Я тоже буду".

История

Проблема двух генералов и доказательство ее невозможности были впервые опубликованы Э. А. Аккоюнлу, К. Эканадхамом и Р. В. Хубером в 1975 г. в статье «Некоторые ограничения и компромиссы при проектировании сетевых коммуникаций».[3] где это описано, начиная со страницы 73, в контексте общения между двумя группами гангстеров.

Эта проблема получила название Парадокс двух генералов к Джим Грей[4] в 1978 г. в "Заметках об операционных системах баз данных"[5] начиная со страницы 465. Эта ссылка широко используется в качестве источника для определения проблемы и доказательства невозможности, хотя и то, и другое было опубликовано ранее, как упоминалось выше.

Рекомендации

  1. ^ Gmytrasiewicz, Piotr J .; Эдмунд Х. Дерфи (1992). «Теоретико-решающее рекурсивное моделирование и проблема согласованной атаки». Материалы Первой Международной конференции по системам планирования искусственного интеллекта. Сан-Франциско: Издательство Морган Кауфманн: 88–95. Дои:10.1016 / B978-0-08-049944-4.50016-1. ISBN  9780080499444. Получено 27 декабря 2013.
  2. ^ Скоординированная атака и ревнивые амазонки Алессандро Панконези. Проверено 17 мая 2011.
  3. ^ Аккоюнлу, Э. А .; Ekanadham, K .; Хубер, Р. В. (1975). Некоторые ограничения и компромиссы при проектировании сетевых коммуникаций (PDF). Portal.acm.org. С. 67–74. Дои:10.1145/800213.806523. S2CID  788091. Получено 2010-03-19.
  4. ^ "Домашняя страница резюме Джима Грея". Research.microsoft.com. 2004-05-03. Получено 2010-03-19.
  5. ^ «Примечания об операционных системах базы данных». Portal.acm.org. Получено 2010-03-19.