Algorand 系列二： Algorand 共识算法(2017)的设计原理-2

最新推荐文章于 2021-08-05 16:31:52 发布

原创最新推荐文章于 2021-08-05 16:31:52 发布 · 489 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#algorand

Algorand 专栏收录该内容

4 篇文章

订阅专栏

本文详细介绍了Algorand共识算法的两个实例——Algorand1'和Algorand2'，包括它们在委员会诚实用户数量要求和达成共识步骤数上的区别。Algorand1'要求至少2/3的委员会成员诚实，而Algorand2'则确保诚实成员数大于固定阈值，并且在大多数情况下能更快达成共识。文章通过具体的步骤描述了这两个协议的工作流程，指出虽然Algorand算法在理论上严谨，但因其复杂性可能不适合工业应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

YOUChain Research

YOUChain 研究团队，成员毕业于国内外顶级名校，有长期的工业界经验。我们持续跟踪的区块链学界和业界的前沿发展，致力于深入区块链本质，推动学术和技术发展。团队诚邀加密、算法、区块链、工程人才加入！

本文来自 yipast@YOUChainResarch

上一篇文章中我们讨论了Algorand共识算法的设计原理，它每一轮的共识流程可简短的描述如下：

随机选择一个leader来提议一个新区块；
随机选择节点组成委员会，对leader提议的新区块达成Byzantine共识；委员会成员对达成共识的区块进行数字签名。

Algorand的论文中详细描写了两个协议实例， $Algorand1′Algorand_1'$ 、 $Algorand2′Algorand_2'$ 。这两个实例在两方面拥有极大的区别：

对委员会中诚实用户数量的要求不同。
- $Algorand1′Algorand_1'$ ：委员会中至少 2/3 成员是诚实的。
- $Algorand2′Algorand_2'$ ：委员会中诚实成员数总是 $⩾tH\geqslant t_H$ (一个固定的阈值)，而至少 2/3 成员诚实的概率极大。
达成Byzantine共识所需要的步骤数不同。
- $Algorand1′Algorand_1'$ ：达成共识所需要的步骤很大概率下是固定的。
- $Algorand2′Algorand_2'$ ：达成共识所需要的步骤数可以是任意的，一般比 $Algorand1′Algorand_1^\prime$ 花费的时间短。

通过这两个基本的实例，可以演化出其他的变体。下面我们先说明这两个算法的详细内容，再进行分析。

一、 $Algorand1′Algorand'_1$ 协议

为了保证安全，节点 $i$ 使用它的长期公私钥对来生成它的凭证 $σir,s\sigma_i^{r,s}$ ，但使用临时公私钥对 $pk_i^{r,s},sk_i^{r,s})$ 来签名消息。

为了简单起见，使用 $esigi(x)≜sigpkir,s(x)esig_i(x) \triangleq sig_{pk_i^{r,s}}(x)$ 来表示节点 $i$ 在第 $r$ 轮的 $s$ 步用私钥对 $x$ 签名，即 $ESIGi(x)≜SIGpkir,s(x)≜(i,m,esigi(m))ESIG_i(x) \triangleq SIG_{pk_i^{r,s}}(x) \triangleq (i,m,esig_i(m))$ 。

Step 1: Block Proposal

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，可以用来计算出 $Q^{r-1}$ ，就开始了它第 $r$ 轮的Step 1。

节点 $i$ 使用 $Q^{r-1}$ 来检测是否 $\in SV^{r,1}$
若 $\notin SV^{r,1}$ ， $i$ 在Step 1不做任何处理
若 $\in SV^{r,1}$ ，即 $i$ 是potential leader，则它做如下处理：
- 收集广播给它的第 $r$ 轮的支付，并且从中得出最大化的交易集合 $PAY_i^r$
- 然后 $i$ 计算出它的候选区块 $B_i^r = (r,PAY_i^r,SIG_i(Q^{r-1}),H(B^{r-1}))$
- 最后计算出消息 $mir,1=(Bir,esigi(H(Bir)),σir,1)m_i^{r,1} = (B_i^r,esig_i(H(B_i^r)), \sigma_i^{r,1})$
- 销毁临时私钥 $sk_i^{r,1}$ ，广播消息 $m_i^{r,1}$

有选择的广播：为了缩短 Step 1的全局执行时间， $(r, 1)$ 消息是有选择的广播。即对每个节点 $j$ ，

节点收到第一条 $(r, 1)$ 消息并验证成功后，正常广播；
随后收到的、并验证成功的 $(r, 1)$ 消息，当且仅当它包含的凭证哈希比之前收到的 $(r, 1)$ 消息的凭证哈希都要小时才会被广播出去。
若节点收到了两条来自同一个节点 $i$ 、但不同形式的 $m_i^{r,1}$ 消息时，节点丢弃掉第二条消息。

为了减少通信量、缩短共识所需的时间，每个potential leader $i$ 将它的凭证 $σir,1\sigma_i^{r,1}$ 和 $m_i^{r,1}$ 分开广播，因为凭证消息包比较小，能快速的在整个网络上传播，有助于让拥有较大凭证哈希值的 $m_i^{r,1}$ 停止被广播。

Step 2: 分级共识协议GC的第一步

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step 2。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,2}$
若 $\notin SV^{r,2}$ ， $i$ 在Step 2不做任何处理
若 $\in SV^{r,2}$ ，节点等待时间 $t2≜λ+Λt_2 \triangleq \lambda + \Lambda$ ，在等待期间， $i$ 执行以下动作。
1. 节点从收到的所有 $(r, 1)$ 消息中为所有的凭证 $σjr,1\sigma_j^{r,1}$ 计算哈希值，找到领导者 $\ H(\sigma_l^{r,1}) \leqslant H(\sigma_j^{r,1})$
2. 若节点已经从 $l$ 收到了有效的消息 $mlr,1=(Blr,esigl(H(Blr)),σlr,1)m_l^{r,1} = (B_l^r, esig_l(H(B_l^r)), \sigma_l^{r,1})$ ， $i$ 设置 $vi′≜H(Blr)v_i^\prime \triangleq H(B_l^r)$ ，否则设置 $vi′≜⊥v_i^\prime \triangleq \perp$
3. i计算出消息 $mir,2≜(ESIGi(vi′),σir,2)m_i^{r,2} \triangleq (ESIG_i(v_i^\prime), \sigma_i^{r,2})$ ；销毁临时私钥 $sk_i^{r,2}$ ，广播 $m_i^{r,2}$

Step 3: GC的第二步

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step 3。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,3}$
若 $\notin SV^{r,3}$ ， $i$ 在Step 3不做任何处理
若 $\in SV^{r,3}$ ，节点等待时间 $t3≜t2+2λ=3λ+Λt_3 \triangleq t_2 + 2\lambda = 3\lambda + \Lambda$ ，在等待期间， $i$ 执行以下动作。
1. 若存在一个 $v′≠⊥v^\prime \neq \perp$ ，节点收到了至少 $23\frac{2}{3}$ 个有效而不同的消息 $mjr,2≜(ESIGj(v′),σjr,2)m_j^{r,2} \triangleq (ESIG_j(v^\prime), \sigma_j^{r,2})$ ， $i$ 计算出消息 $mir,3≜(ESIGi(v′),σir,3)m_i^{r,3} \triangleq (ESIG_i(v^\prime), \sigma_i^{r,3})$ ；否则 $mir,3≜(ESIGi(⊥),σir,3)m_i^{r,3} \triangleq (ESIG_i(\perp), \sigma_i^{r,3})$
2. 销毁临时私钥 $sk_i^{r,3}$ ，广播 $m_i^{r,3}$

Step 4：GC的输出及 $BBA^*$ 的第一步

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step 4。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,4}$
若 $\notin SV^{r,4}$ ， $i$ 在Step 4不做任何处理
若 $\in SV^{r,4}$ ，节点等待时间 $t4≜t3+2λ=5λ+Λt_4 \triangleq t_3 + 2\lambda = 5\lambda + \Lambda$ ，在等待期间， $i$ 执行以下动作。
1. 按照如下规则来计算GC的输出 $v_i, g_i$ 。
  
  (a) 假设存在一个 $\neq \perp$ ，节点 $i$ 收到了至少 $23\frac{2}{3}$ 个有效而不同的消息 $mjr,3≜(ESIGj(v′),σjr,3)m_j^{r,3} \triangleq (ESIG_j(v'), \sigma_j^{r,3})$ ，则节点设置 $vi≜v′v_i \triangleq v'$ 和 $gi≜2g_i \triangleq 2$ 。
  
  (b) 否则，假设存在一个 $\neq \perp$ ，节点 $i$ 收到了至少 $13\frac{1}{3}$ 个有效的消息 $mjr,3≜(ESIGj(⊥),σjr,3)m_j^{r,3} \triangleq (ESIG_j(\perp), \sigma_j^{r,3})$ ，则节点设置 $vi≜v′v_i \triangleq v'$ 和 $gi≜1g_i \triangleq 1$ 。
  
  © 否则，节点设置 $vi≜H(Bϵr)v_i \triangleq H(B_{\epsilon}^r)$ 和 $gi≜0g_i \triangleq 0$ 。
2. 节点计算 $BBA^*$ 的输入： $bi≜{0,gi=21,其它b_i \triangleq \begin{cases} 0, &g_i=2 \\ 1, &\text{其它}\end{cases}$
3. 计算消息 $mir,4≜(ESIGi(bi),ESIGi(vi),σir,4)m_i^{r,4} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,4})$ ，销毁临时私钥 $sk_i^{r,4}$ ，广播 $m_i^{r,4}$ 。

Step s, $\leq s \leq m+2, s-2 \equiv\ 0\ mod\ 3$ ： $BBA^*$ 的 Coin-Fixed-To-0

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step $s$ 。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,s}$
若 $\notin SV^{r,s}$ ， $i$ 在Step $s$ 不做任何处理
若 $\in SV^{r,s}$ ，节点 $i$ 执行以下动作。
- 节点等待时间 $ts≜ts+2λ=(2s−3)λ+Λt_s \triangleq t_s + 2\lambda = (2s-3)\lambda + \Lambda$
- 以0结束：在等待时，若存在一个值 $\neq \perp$ 和步骤 $s′s^\prime$ ，使得：
  
  （a） $\leqslant s^\prime \leqslant s, s^\prime-2 \equiv 0 \ mod \ 3$ ，即 $s′s^\prime$ 是Coin-Fixed-To-0步骤，
  
  （b） $i$ 收到至少 $tH=2n3+1t_H = \frac{2n}{3} + 1$ 个有效消息 $mjr,s′−1=(ESIGj(0),ESIGj(v),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(0), ESIG_j(v), \sigma_j^{r,s^\prime-1})$ ，同时，
  
  （c） $i$ 收到了一个有效消息 $mjr,1=(Bjr,esigj(H(Bjr)),σjr,1)m_j^{r,1} = (B_j^r, esig_j(H(B_j^r)), \sigma_j^{r,1})$ ， $v = H(B_j^r)$
  
  则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $B^r = B_j^r$ ，将子步骤（b）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合设置为它自己的 $CERT^r$
- 以1结束：在等待时，若存在一个步骤 $s′s^\prime$ ，使得：
  
  （a’） $\leqslant s^\prime \leqslant s, s^\prime-2 \equiv 1 \ mod \ 3$ ，即 $s′s^\prime$ 是Coin-Fixed-To-1步骤
  
  （b’） $i$ 收到至少 $t_H$ 个有效消息 $mjr,s′−1=(ESIGj(1),ESIGj(vj),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(1), ESIG_j(v_j), \sigma_j^{r,s^\prime-1})$ ，
  
  则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $Br=BϵrB^r = B_\epsilon^r$ ，将子步骤（b’）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合设置为它自己的 $CERT^r$ 。
- 否则，在等待的最后，节点 $i$ 进行如下处理。
  
  收到的所有有效 $m_j^{r,s-1}$ 中， $v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$ 。按如下规则设置 $b_i$ 。
  - 在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(0),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=0$
  - 否则，在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(1),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(1),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=1$
  - 否则， $b_i=0$
  节点计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。

Step s, $\leq s \leq m+2, s-2 \equiv\ 1\ mod\ 3$ ： $BBA^*$ 的 Coin-Fixed-To-1

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step $s$ 。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,s}$
若 $\notin SV^{r,s}$ ， $i$ 在Step $s$ 不做任何处理
若 $\in SV^{r,s}$ ，节点 $i$ 执行以下动作。
- 节点等待时间 $ts≜(2s−3)λ+Λt_s \triangleq (2s-3)\lambda + \Lambda$
- 以0结束：同 Coin-Fixed-To_0。
- 以1结束：同 Coin-Fixed-To_0。
- 否则，在等待的最后，节点 $i$ 进行如下处理。
  
  收到的所有有效 $m_j^{r,s-1}$ 中， $v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$ 。按如下规则设置 $b_i$ 。
  - 在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(0),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=0$
  - 否则，在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(1),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(1),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=1$
  - 否则， $b_i=1$
  节点计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。

Step s, $\leq s \leq m+2, s-2 \equiv\ 2\ mod\ 3$ ： $BBA^*$ 的 Coin-Genuinely-Flipped

节点 $\in PK^{r-k}$ 只要拥有 $B^{r-1}$ ，就开始了它第 $r$ 轮的Step $s$ 。

节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,s}$
若 $\notin SV^{r,s}$ ， $i$ 在Step $s$ 不做任何处理
若 $\in SV^{r,s}$ ，节点 $i$ 执行以下动作。
- 节点等待时间 $ts≜(2s−3)λ+Λt_s \triangleq (2s-3)\lambda + \Lambda$
- 以0结束：同 Coin-Fixed-To_0。
- 以1结束：同 Coin-Fixed-To_0。
- 否则，在等待的最后，节点 $i$ 进行如下处理。
  
  收到的所有有效 $m_j^{r,s-1}$ 中， $v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$ 。按如下规则设置 $b_i$ 。
  - 在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(0),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=0$
  - 否则，在收到的 $m_j^{r,s-1}$ 中，有超过2/3的 $mjr,s−1=(ESIGj(1),ESIGj(vj),σjr,s−1)m_j^{r,s-1}=(ESIG_j(1),ESIG_j(v_j),\sigma_j^{r,s-1})$ ，则令 $b_i=1$
  - 否则，设置 $bi≜lsb(minj∈SVir,s−1H(σJr,s−1))b_i \triangleq lsb(min_{j \in SV_i^{r,s-1}} H(\sigma_J^{r,s-1}))$ ， $SV_i^{r,s-1}$ 为从收到的有效消息 $m_j^{r,s-1}$ 中获得的 $(r, s - 1)$ -验证者。
  节点计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。

步骤 $m + 3$ ： $BBA^*$ 的最后一步

节点 $\in PK^{r-k}$ 只要知道了 $B^{r-1}$ ，就开启了它的第r轮第 $m + 3$ 步

节点从 $B^{r-1}$ 中计算出 $Q^{r-1}$ ，并且检测是否 $\in SV^{r,m+3}$
若 $\notin SV^{r,m+3}$ ， $i$ 在Step $m + 3$ 不做任何处理
若 $\in SV^{r,m+3}$ ，节点 $i$ 执行以下动作。
- 等待时间 $tm+3≜tm+2+2λ=(2m+3)λ+Λt_{m+3} \triangleq t_{m+2} + 2\lambda = (2m+3)\lambda + \Lambda$ 。
- 以0结束：同 Coin-Fixed-To_0 步骤
- 以1结束：同 Coin-Fixed-To_0 步骤
- 否则，在等待结束时，节点 $i$ 执行以下动作。
  
  设置 $outi≜1,Br≜Bϵrout_i \triangleq 1, B^r \triangleq B_\epsilon^r$
  
  节点计算消息 $mir,m+3=(ESIGi(outi),ESIGi(H(Br)),σir,m+3)m_i^{r,m+3}=(ESIG_i(out_i),ESIG_i(H(B^r)),\sigma_i^{r,m+3})$
  销毁临时私钥 $sk_i^{r,m+3}$ ，广播 $m_i^{r,m+3}$ 来验证 $B^r$

非验证者在第 $r$ 轮的区块重构

节点 $i$ 只要知道了 $B^{r-1}$ ，就开启了它的第 $r$ 轮，并且按以下方法等待区块信息。

在等待期间，若存在 $s^\prime$ 使得：

（a） $\leqslant s^\prime \leqslant m+3,\ s^\prime-2 \equiv 0 \ mod \ 3$

（b） $i$ 收到至少 $t_H$ 个有效消息 $mjr,s′−1=(ESIGj(0),ESIGj(v),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(0), ESIG_j(v), \sigma_j^{r,s^\prime-1})$

（c） $i$ 收到一个有效消息 $v=H(Bjr)m_j^{r,1} = (B_j^r, esig_j(H(B_j^r)), \sigma_j^{r,1}),\ v = H(B_j^r)$

$i$ 停止它的 $r$ 轮执行，令 $B^r=B_j^r$ ，将子步骤（b）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合设置为它自己的 $CERT^r$
在等待期间，若存在 $s′s^\prime$ 使得：

（a’） $\leqslant s^\prime \leqslant m+3, s^\prime-2 \equiv 1 \ mod \ 3$

（b’） $i$ 收到至少 $t_H$ 个有效消息 $mjr,s′−1=(ESIGj(1),ESIGj(vj),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(1), ESIG_j(v_j), \sigma_j^{r,s^\prime-1})$

$i$ 停止它的 $r$ 轮执行，令 $Br=BϵrB^r=B_\epsilon^r$ ，将子步骤（b’）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合设置为它自己的 $CERT^r$
在等待期间，若 $i$ 收到至少 $t_H$ 个有效消息 $mjr,m+3=(ESIGj(1),ESIGj(H(Bϵr)),σjr,m+3)m_j^{r,m+3} = (ESIG_j(1), ESIG_j(H(B_\epsilon^r)), \sigma_j^{r,m+3})$ ，则 $i$ 停止它的 $r$ 轮执行，令 $Br=BϵrB^r=B_\epsilon^r$ ，将1和 $H(Bϵr)H(B_\epsilon^r)$ 的消息 $m_j^{r,m+3}$ 的集合设置为它自己的 $CERT^r$ 。

以上就是整个共识算法的内容，但是文字描述并不直观，下面的这张图可以帮助大家更好的理解这个算法。

[外链图片转存失败(img-WYIDN8vM-1563245886580)(./arts/Algorand1.png)]

二、 $Algorand2′Algorand'_2$ 协议

$Algorand2′Algorand'_2$ 的流程与 $Algorand1′Algorand'_1$ 的流程大体上是一致的，细节上有差异。

以下是 $Algorand2′Algorand'_2$ 的具体流程。

Step 1: Block Proposal

节点 $\in PK^{r-k}$ 只要拥有 $CERT^{r-1}$ ，可以用来计算出 $H(B^{r-1})、Q^{r-1}$ ，就开始了它第 $r$ 轮的Step 1。

$CERT^r$ ：由数字签名 $H(B^r)$ 的集合组成，包含了 $SV^r$ 中的大部分成员，且含有能证明每个成员属于 $SV^r$ 的证据。其作用是将区块 $B^r$ 转化成证明区块 $Br‾\overline{B^r}$ ，同时完成区块的验证。

节点 $i$ 使用 $Q^{r-1}$ 来检测是否 $\in SV^{r,1}$
若 $\notin SV^{r,1}$ ， $i$ 在Step 1不做任何处理
若 $\in SV^{r,1}$ ，即 $i$ 是potential leader，则它做如下处理：
- 假若 $i$ 拥有 $B^0,…,B^{r-1}$ ，收集广播给它的第 $r$ 轮的支付，并且从中得出最大化的交易集合 $PAY_i^r$
- 假若 $i$ 不拥有 $B^0,…,B^{r-1}$ ，则设置 $PAYir=ϕPAY_i^r = \phi$
- 然后 $i$ 计算出它的候选区块 $B_i^r = (r,PAY_i^r,SIG_i(Q^{r-1}),H(B^{r-1}))$
- 最后计算出消息 $mir,1=(Bir,esigi(H(Bir)),σir,1)m_i^{r,1} = (B_i^r,esig_i(H(B_i^r)), \sigma_i^{r,1})$
- 销毁临时私钥 $sk_i^{r,1}$ ，分别广播消息 $m_i^{r,1}$ 和 $(SIGi(Qr−1),σir,1)(SIG_i(Q^{r-1}), \sigma_i^{r,1})$

有选择的广播：为了缩短 Step 1的全局执行时间， $(r, 1)$ 消息是有选择的广播。即对每个节点 $j$ ，

节点收到第一条 $(r, 1)$ 消息并验证成功后，正常广播；
随后收到的、并验证成功的 $(r, 1)$ 消息，当且仅当它包含的凭证哈希比之前收到的 $(r, 1)$ 消息的凭证哈希都要小时才会被广播出去。
若节点收到了两条来自同一个节点 $i$ 、但不同形式的 $m_i^{r,1}$ 消息时，节点丢弃掉第二条消息。

Step 2: 分级共识协议GC的第一步

节点 $\in PK^{r-k}$ 只要拥有 $CERT^{r-1}$ ，就开始了它第 $r$ 轮的Step 2。

节点 $i$ 等待时间 $t2≜λ+Λt_2 \triangleq \lambda + \Lambda$ ，在等待期间， $i$ 执行以下动作。
1. 等待 $2λ2\lambda$ 时间后，节点从收到的所有 $(r, 1)$ 消息中为所有的凭证 $σjr,1\sigma_j^{r,1}$ 计算哈希值，找到领导者 $\ H(\sigma_l^{r,1}) \leqslant H(\sigma_j^{r,1})$
2. 若节点有一个与 $CERT^{r-1}$ 中包含的哈希值 $H(B^{r-1})$ 相匹配的区块 $B^{r-1} $，并从 $l$ 收到了有效的消息 $mlr,1=(Blr,esigl(H(Blr)),σlr,1)m_l^{r,1} = (B_l^r, esig_l(H(B_l^r)), \sigma_l^{r,1})$ ，则 $i$ 停止等待，并设置 $vi′≜(H(Blr),l)v_i^\prime \triangleq (H(B_l^r), l)$
3. 否则等待时间 $t_2$ 结束， $i$ 设置 $vi′≜⊥v_i^\prime \triangleq \perp$
4. $vi′v_i^\prime$ 被设置后， $i$ 从 $CERT^{r-1}$ 中计算 $Q^{r-1}$ ，检测是否 $\in SV^{r,2}$
5. 若 $\in SV^{r,2}$ ， $i$ 计算消息 $mir,2≜(ESIGi(vi′),σir,2)m_i^{r,2} \triangleq (ESIG_i(v_i^\prime), \sigma_i^{r,2})$ ，销毁临时私钥 $sk_i^{r,2}$ ，广播 $m_i^{r,2}$ 。否则， $i$ 停止，不广播任何消息。

Step 3: GC的第二步

节点 $\in PK^{r-k}$ 只要拥有 $CERT^{r-1}$ ，就开始了它第 $r$ 轮的Step 3。

节点 $i$ 等待时间 $t3≜t2+2λ=3λ+Λt_3 \triangleq t_2 + 2\lambda = 3\lambda + \Lambda$ ，在等待期间， $i$ 执行以下动作。
1. 假设存在一个 $v$ ，节点 $i$ 收到了至少 $t_H$ 个有效而不同的消息 $mjr,2≜(ESIGj(v),σjr,2)m_j^{r,2} \triangleq (ESIG_j(v), \sigma_j^{r,2})$ ，则节点停止等待，并设置 $v^{'} = v$
2. 否则等待时间 $t_3$ 结束， $i$ 设置 $vi′≜⊥v_i^\prime \triangleq \perp$
3. $v_i^\prime $ 被设置后， $i$ 从 $CERT^{r-1}$ 中计算 $Q^{r-1}$ ，检测是否 $\in SV^{r,3}$ 若 $\in SV^{r,3}$ ， $i$ 计算消息 $mir,2≜(ESIGi(vi′),σir,2)m_i^{r,2} \triangleq (ESIG_i(v_i^\prime), \sigma_i^{r,2})$ ，销毁临时私钥 $sk_i^{r,2}$ ，广播 $m_i^{r,2}$ 。否则， $i$ 停止，不广播任何消息。

Step 4：GC的输出及 $BBA^*$ 的第一步

节点 $\in PK^{r-k}$ 只要结束了Step 3，就开始了它的Step 4。

节点 $i$ 等待时间 $2\lambda $ ，在等待期间， $i$ 执行以下动作。
1. 按照如下规则来计算 $v_i, g_i$ 和GC的输出。
  1. 假设存在一个 $\neq \perp$ ，节点 $i$ 收到了至少 $t_H$ 个有效而不同的消息 $mjr,3≜(ESIGj(v′),σjr,3)m_j^{r,3} \triangleq (ESIG_j(v'), \sigma_j^{r,3})$ ，则节点停止等待，并设置 $vi≜v′v_i \triangleq v'$ 和 $gi≜2g_i \triangleq 2$ 。
  2. 假若节点 $i$ 收到了至少 $t_H$ 个有效的消息 $mjr,3≜(ESIGj(⊥),σjr,3)m_j^{r,3} \triangleq (ESIG_j(\perp), \sigma_j^{r,3})$ ，则节点停止等待，并设置 $vi≜⊥v_i \triangleq \perp$ 和 $gi≜0g_i \triangleq 0$ 。
  3. 否则，当时间 $2λ2\lambda$ 已过，若节点 $i$ 收到了至少 $⌈tH2⌉\lceil \frac{t_H}{2} \rceil$ 个有效的消息 $mjr,3≜(ESIGj(v′),σjr,3)m_j^{r,3} \triangleq (ESIG_j(v'), \sigma_j^{r,3})$ ，则节点设置 $vi≜v′v_i \triangleq v'$ 和 $gi≜1g_i \triangleq 1$ 。
  4. 否则，当时间 $2λ2\lambda$ 已过，设置 $vi≜⊥v_i \triangleq \bot$ 和 $gi≜0g_i \triangleq 0$ 。
2. 当 $v_i, g_i$ 都被设置了，节点计算 $BBA^*$ 的输入： $bi≜{0,gi=21,otherwiseb_i \triangleq \begin{cases} 0, &g_i=2 \\ 1, &\text{otherwise}\end{cases}$
3. 若 $\in SV^{r,4}$ ，计算消息 $mir,4≜(ESIGi(bi),ESIGi(vi),σir,4)m_i^{r,4} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,4})$ ，销毁临时私钥 $sk_i^{r,4}$ ，广播 $m_i^{r,4}$ 。否则， $i$ 停止，不广播任何消息。

Step s, $\leq s \leq m+2, s-2 \equiv\ 0\ mod\ 3$ ： $BBA^*$ 的 Coin-Fixed-To-0

节点 $\in PK^{r-k}$ 只要结束了Step $s - 1$ ，就开始了它的Step $s$ 。

节点 $i$ 等待时间 $2\lambda $ ，在等待期间， $i$ 执行以下动作。
- 以0结束：在等待时，若存在一个值 $\neq \perp$ 和步骤 $s′s^\prime$ ，使得：
  
  （a） $\leqslant s^\prime \leqslant s, s^\prime-2 \equiv 0 \ mod \ 3$ ，即 $s′s^\prime$ 是Coin-Fixed-To-0步骤，
  
  （b） $i$ 收到至少 $t_H$ 个有效消息 $mjr,s′−1=(ESIGj(0),ESIGj(v),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(0), ESIG_j(v), \sigma_j^{r,s^\prime-1})$ ，同时，
  
  （c） $i$ 收到了一个有效消息 $(SIGj(Qr−1),σjr,1)(SIG_j(Q^{r-1}), \sigma_j^{r,1})$ ，
  
  则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），将 $H(B^r)$ 设为 $v$ 的第一部分，将子步骤（b）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合以及 $(SIGj(Qr−1),σjr,1)(SIG_j(Q^{r-1}), \sigma_j^{r,1})$ 设置为它自己的 $CERT^r$ 。
- 以1结束：在等待时，若存在一个步骤 $s′s^\prime$ ，使得：
  
  （a’） $\leqslant s^\prime \leqslant s, s^\prime-2 \equiv 1 \ mod \ 3$ ，即 $s′s^\prime$ 是Coin-Fixed-To-1步骤
  
  （b’） $i$ 收到至少 $t_H$ 个有效消息 $mjr,s′−1=(ESIGj(1),ESIGj(vj),σjr,s′−1)m_j^{r,s^\prime-1} = (ESIG_j(1), ESIG_j(v_j), \sigma_j^{r,s^\prime-1})$ ，
  
  则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $Br=BϵrB^r = B_\epsilon^r$ ，将子步骤（b’）中消息 $mjr,s′−1m_j^{r,s^\prime-1}$ 的集合设置为它自己的 $CERT^r$ 。
- 若节点收到至少 $t_H$ 个有效的 $mjr,s−1=(ESIGj(1),ESIGj(vj),σjr,s−1)m_j^{r,s-1} = (ESIG_j(1), ESIG_j(v_j), \sigma_j^{r,s-1})$ ，则停止等待，并设置 $bi≜1b_i \triangleq 1$ 。
- 若节点收到至少 $t_H$ 个有效的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1} = (ESIG_j(0), ESIG_j(v_j), \sigma_j^{r,s-1})$ ，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $bi≜0b_i \triangleq 0$ 。
- 否则，当时间 $2λ2\lambda$ 已过，设置 $bi≜0b_i \triangleq 0$ 。
- 当 $b_i$ 被设置，节点从 $CERT^{r-1}$ 中算出 $Q^{r-1}$ ，并验证是否 $\in SV^{r,s}$ 。
- 若 $\in SV^{r,s}$ ，计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。否则， $i$ 停止，不广播任何消息。

Step s, $\leq s \leq m+2, s-2 \equiv\ 1\ mod\ 3$ ： $BBA^*$ 的 Coin-Fixed-To-1

节点 $\in PK^{r-k}$ 只要结束了Step $s - 1$ ，就开始了它的Step $s$ 。

节点 $i$ 等待时间 $2\lambda $ ，在等待期间， $i$ 执行以下动作。
- 以0结束：同 Coin-Fixed-To_0。
- 以1结束：同 Coin-Fixed-To_0。
- 若节点收到至少 $t_H$ 个有效的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1} = (ESIG_j(0), ESIG_j(v_j), \sigma_j^{r,s-1})$ ，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $bi≜0b_i \triangleq 0$ 。
- 否则，当时间 $2λ2\lambda$ 已过，设置 $bi≜1b_i \triangleq 1$ 。
- 当 $b_i$ 被设置，节点从 $CERT^{r-1}$ 中算出 $Q^{r-1}$ ，并验证是否 $\in SV^{r,s}$ 。
- 若 $\in SV^{r,s}$ ，计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。否则， $i$ 停止，不广播任何消息。

Step s, $\leq s \leq m+2, s-2 \equiv\ 2\ mod\ 3$ ： $BBA^*$ 的 Coin-Genuinely-Flipped

节点 $\in PK^{r-k}$ 只要结束了Step $s - 1$ ，就开始了它的Step $s$ 。

节点 $i$ 等待时间 $2\lambda $ ，在等待期间， $i$ 执行以下动作。
- 以0结束：同 Coin-Fixed-To_0。
- 以1结束：同 Coin-Fixed-To_0。
- 若节点收到至少 $t_H$ 个有效的 $mjr,s−1=(ESIGj(0),ESIGj(vj),σjr,s−1)m_j^{r,s-1} = (ESIG_j(0), ESIG_j(v_j), \sigma_j^{r,s-1})$ ，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $bi≜0b_i \triangleq 0$ 。
- 若节点收到至少 $t_H$ 个有效的 $mjr,s−1=(ESIGj(1),ESIGj(vj),σjr,s−1)m_j^{r,s-1} = (ESIG_j(1), ESIG_j(v_j), \sigma_j^{r,s-1})$ ，则停止等待，并设置 $bi≜1b_i \triangleq 1$ 。
- 否则，当时间 $2λ2\lambda$ 已过，设置 $bi≜lsb(minj∈SVir,s−1H(σJr,s−1))b_i \triangleq lsb(min_{j \in SV_i^{r,s-1}} H(\sigma_J^{r,s-1}))$ ， $SV_i^{r,s-1}$ 为从收到的有效消息 $m_j^{r,s-1}$ 中获得的 $(r, s - 1)$ -验证者。
- 当 $b_i$ 被设置，节点从 $CERT^{r-1}$ 中算出 $Q^{r-1}$ ，并验证是否 $\in SV^{r,s}$ 。
- 若 $\in SV^{r,s}$ ，计算消息 $mir,s≜(ESIGi(bi),ESIGi(vi),σir,s)m_i^{r,s} \triangleq (ESIG_i(b_i),ESIG_i(v_i), \sigma_i^{r,s})$ ，销毁临时私钥 $sk_i^{r,s}$ ，广播 $m_i^{r,s}$ 。否则， $i$ 停止，不广播任何消息。

非验证者在第 $r$ 轮的区块重构

节点 $i$ 只要知道了 $CERT^{r-1}$ ，就开启了它的第 $r$ 轮。

节点 $i$ 遵从协议每一步骤的指示，参与所有消息的广播，但是若某一步骤中，节点不是验证者，则不初始化任何广播。
节点在某些Step，一旦进入了以0结束或以1结束，就用对应的 $CERT^r$ 结束当前的 $r$ 轮。
自此之后，节点在等待接收子区块 $B^r$ 之时开始它的第 $r + 1$ 轮。

三、总结

以上是笔者根据论文内容进行的梳理，尽管 $Algorand1′Algorand'_1$ 和 $Algorand2′Algorand'_2$ 两者在内容表述上有所差异，但原理和总体流程相差无几。本文不对两者的优劣对比作任何评价，毕竟二者所适用的情况有所不同。

看完整篇论文之后，笔者很佩服Algorand共识算法逻辑的严谨以及证明的详尽。然而，笔者觉得，算法过于复杂，不适用于工业应用，尤其是对时间、通信复杂度要求颇高的区块链。

从上文可以看出，该共识算法达成共识最少需要五轮通信，而PBFT是两轮（prepare、commit）。在通信复杂度上，该算法至少是PBFT的两倍以上。YOUChain的测试结果表明，不管共识算法如何优化，通信环境越差，达成共识所需要的时间越长，最终的tps越低。

Algorand于18年4月份更新的共识算法大大简化了共识流程，可以说是基本上看不到之前协议的影子（后面我们会有文章对它进行详细的分析）。但这也充分说明了Algorand团队也意识到该算法在实际应用上的缺陷。不过不能否认，Algorand 2017年的论文是不可多得的佳作，里面的诸多概念和思考方式能给人极大地启发，值得深度研究。