Algorand 系列二： Algorand 共识算法(2017)的设计原理-2

YOUChain Research

YOUChain 研究团队，成员毕业于国内外顶级名校，有长期的工业界经验。我们持续跟踪的区块链学界和业界的前沿发展，致力于深入区块链本质，推动学术和技术发展。团队诚邀加密、算法、区块链、工程人才加入！

本文来自 yipast@YOUChainResarch

上一篇文章中我们讨论了Algorand共识算法的设计原理，它每一轮的共识流程可简短的描述如下：

1. 随机选择一个leader来提议一个新区块；

2. 随机选择节点组成委员会，对leader提议的新区块达成Byzantine共识；委员会成员对达成共识的区块进行数字签名。

Algorand的论文中详细描写了两个协议实例，$Algoran{d}_1^{\prime }$、$Algoran{d}_2^{\prime }$ 。这两个实例在两方面拥有极大的区别：

• 对委员会中诚实用户数量的要求不同。

  • $Algoran{d}_1^{\prime }$ ：委员会中至少 2/3 成员是诚实的。

  • $Algoran{d}_2^{\prime }$ ：委员会中诚实成员数总是 $⩾t_H$(一个固定的阈值)，而至少 2/3 成员诚实的概率极大。

• 达成Byzantine共识所需要的步骤数不同。

  • $Algoran{d}_1^{\prime }$ ：达成共识所需要的步骤很大概率下是固定的。

  • $Algoran{d}_2^{\prime }$ ：达成共识所需要的步骤数可以是任意的，一般比 $Algoran{d}_1^{\prime }$ 花费的时间短。

通过这两个基本的实例，可以演化出其他的变体。下面我们先说明这两个算法的详细内容，再进行分析。

一、$Algoran{d}_1^{\prime }$ 协议

为了保证安全，节点 $i$ 使用它的长期公私钥对来生成它的凭证 ${\sigma }_i^{r,s}$，但使用临时公私钥对 $(p{k}_i^{r,s},s{k}_i^{r,s})$ 来签名消息。

为了简单起见，使用 $esi{g}_i(x)\triangleq si{g}_{p{k}_i^{r,s}}(x)$ 来表示节点 $i$ 在第 $r$ 轮的 $s$ 步用私钥对 $x$ 签名，即 $ESI{G}_i(x)\triangleq SI{G}_{p{k}_i^{r,s}}(x)\triangleq (i,m,esi{g}_i(m))$ 。

Step 1: Block Proposal

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，可以用来计算出 $Q^{r-1}$，就开始了它第 $r$ 轮的Step 1。

• 节点 $i$ 使用 $Q^{r-1}$ 来检测是否 $i\in S{V}^{r,1}$

• 若 $i\notin S{V}^{r,1}$，$i$ 在Step 1不做任何处理

• 若 $i\in S{V}^{r,1}$，即 $i$ 是potential leader，则它做如下处理：

  • 收集广播给它的第 $r$ 轮的支付，并且从中得出最大化的交易集合 $PA{Y}_i^r$

  • 然后 $i$ 计算出它的候选区块 $B_i^r=(r,PA{Y}_i^r,SI{G}_i(Q^{r-1}),H(B^{r-1}))$

  • 最后计算出消息 $m_i^{r,1}=(B_i^r,esi{g}_i(H(B_i^r)),{\sigma }_i^{r,1})$

  • 销毁临时私钥 $s{k}_i^{r,1}$，广播消息 $m_i^{r,1}$

有选择的广播：为了缩短 Step 1的全局执行时间， $(r,1)$ 消息是有选择的广播。即对每个节点 $j$，

• 节点收到第一条$(r,1)$ 消息并验证成功后，正常广播；

• 随后收到的、并验证成功的 $(r,1)$ 消息，当且仅当它包含的凭证哈希比之前收到的 $(r,1)$ 消息的凭证哈希都要小时才会被广播出去。

• 若节点收到了两条来自同一个节点 $i$、但不同形式的 $m_i^{r,1}$ 消息时，节点丢弃掉第二条消息。

为了减少通信量、缩短共识所需的时间，每个potential leader $i$ 将它的凭证 ${\sigma }_i^{r,1}$ 和 $m_i^{r,1}$ 分开广播，因为凭证消息包比较小，能快速的在整个网络上传播，有助于让拥有较大凭证哈希值的 $m_i^{r,1}$ 停止被广播。

Step 2: 分级共识协议GC的第一步

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step 2。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,2}$

• 若 $i\notin S{V}^{r,2}$，$i$ 在Step 2不做任何处理

• 若 $i\in S{V}^{r,2}$，节点等待时间 $t_2\triangleq \lambda +\Lambda$ ，在等待期间，$i$ 执行以下动作。

  1. 节点从收到的所有 $(r,1)$ 消息中为所有的凭证 ${\sigma }_j^{r,1}$ 计算哈希值，找到领导者 $l:H({\sigma }_l^{r,1})⩽H({\sigma }_j^{r,1})$

  2. 若节点已经从 $l$ 收到了有效的消息 $m_l^{r,1}=(B_l^r,esi{g}_l(H(B_l^r)),{\sigma }_l^{r,1})$， $i$ 设置 $v_i^{\prime }\triangleq H(B_l^r)$，否则设置 $v_i^{\prime }\triangleq \perp$

  3. i计算出消息 $m_i^{r,2}\triangleq (ESI{G}_i(v_i^{\prime }),{\sigma }_i^{r,2})$；销毁临时私钥 $s{k}_i^{r,2}$，广播 $m_i^{r,2}$

Step 3: GC的第二步

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step 3。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,3}$

• 若 $i\notin S{V}^{r,3}$，$i$ 在Step 3不做任何处理

• 若 $i\in S{V}^{r,3}$，节点等待时间 $t_3\triangleq t_2+2\lambda =3\lambda +\Lambda$ ，在等待期间，$i$ 执行以下动作。

  1. 若存在一个 $v^{\prime }̸=\perp$，节点收到了至少 $\frac{2}{3}$ 个有效而不同的消息 $m_j^{r,2}\triangleq (ESI{G}_j(v^{\prime }),{\sigma }_j^{r,2})$，$i$ 计算出消息 $m_i^{r,3}\triangleq (ESI{G}_i(v^{\prime }),{\sigma }_i^{r,3})$；否则 $m_i^{r,3}\triangleq (ESI{G}_i(\perp ),{\sigma }_i^{r,3})$

  2. 销毁临时私钥 $s{k}_i^{r,3}$，广播 $m_i^{r,3}$

Step 4：GC的输出及 $BB{A}^{\ast }$ 的第一步

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step 4。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,4}$

• 若 $i\notin S{V}^{r,4}$，$i$ 在Step 4不做任何处理

• 若 $i\in S{V}^{r,4}$，节点等待时间 $t_4\triangleq t_3+2\lambda =5\lambda +\Lambda$ ，在等待期间，$i$ 执行以下动作。

  1. 按照如下规则来计算GC的输出 $v_i,g_i$。

     (a) 假设存在一个 $v^{\prime }̸=\perp$，节点 $i$ 收到了至少 $\frac{2}{3}$ 个有效而不同的消息 $m_j^{r,3}\triangleq (ESI{G}_j(v^{\prime }),{\sigma }_j^{r,3})$，则节点设置 $v_i\triangleq v^{\prime }$ 和 $g_i\triangleq 2$。

     (b) 否则，假设存在一个 $v^{\prime }̸=\perp$，节点 $i$ 收到了至少 $\frac{1}{3}$ 个有效的消息 $m_j^{r,3}\triangleq (ESI{G}_j(\perp ),{\sigma }_j^{r,3})$，则节点设置 $v_i\triangleq v^{\prime }$ 和 $g_i\triangleq 1$。

     © 否则，节点设置 $v_i\triangleq H(B_{ϵ}^r)$ 和 $g_i\triangleq 0$。

  2. 节点计算$BB{A}^{\ast }$的输入：$b_i\triangleq \{\begin{array}{ll}0,& g_i=2\\ 1,& \text{其它}\end{array}$

  3. 计算消息 $m_i^{r,4}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,4})$，销毁临时私钥 $s{k}_i^{r,4}$，广播 $m_i^{r,4}$。

Step s, $5\le s\le m+2,s-2\equiv 0mod3$：$BB{A}^{\ast }$ 的 Coin-Fixed-To-0

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step $s$。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,s}$

• 若 $i\notin S{V}^{r,s}$，$i$ 在Step $s$ 不做任何处理

• 若 $i\in S{V}^{r,s}$，节点 $i$ 执行以下动作。

  • 节点等待时间 $t_s\triangleq t_s+2\lambda =(2s-3)\lambda +\Lambda$

  • 以0结束：在等待时，若存在一个值 $v̸=\perp$ 和步骤 $s^{\prime }$，使得：

    （a）$5⩽s^{\prime }⩽s,s^{\prime }-2\equiv 0mod3$，即 $s^{\prime }$ 是Coin-Fixed-To-0步骤，

    （b）$i$ 收到至少 $t_H=\frac{2n}{3}+1$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(0),ESI{G}_j(v),{\sigma }_j^{r,s^{\prime }-1})$，同时，

    （c）$i$ 收到了一个有效消息 $m_j^{r,1}=(B_j^r,esi{g}_j(H(B_j^r)),{\sigma }_j^{r,1})$，$v=H(B_j^r)$

    则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $B^r=B_j^r$，将子步骤（b）中消息 $m_j^{r,s^{\prime }-1}$ 的集合设置为它自己的 $CER{T}^r$

  • 以1结束：在等待时，若存在一个步骤 $s^{\prime }$，使得：

    （a’）$6⩽s^{\prime }⩽s,s^{\prime }-2\equiv 1mod3$，即 $s^{\prime }$ 是Coin-Fixed-To-1步骤

    （b’）$i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s^{\prime }-1})$，

    则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $B^r=B_{ϵ}^r$，将子步骤（b’）中消息 $m_j^{r,s^{\prime }-1}$ 的集合设置为它自己的 $CER{T}^r$。

  • 否则，在等待的最后，节点 $i$ 进行如下处理。

    收到的所有有效 $m_j^{r,s-1}$ 中，$v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$。按如下规则设置 $b_i$。

    • 在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=0$

    • 否则，在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=1$

    • 否则，$b_i=0$

    节点计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。

Step s, $6\le s\le m+2,s-2\equiv 1mod3$：$BB{A}^{\ast }$ 的 Coin-Fixed-To-1

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step $s$。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,s}$

• 若 $i\notin S{V}^{r,s}$，$i$ 在Step $s$ 不做任何处理

• 若 $i\in S{V}^{r,s}$，节点 $i$ 执行以下动作。

  • 节点等待时间 $t_s\triangleq (2s-3)\lambda +\Lambda$

  • 以0结束：同 Coin-Fixed-To_0。

  • 以1结束：同 Coin-Fixed-To_0。

  • 否则，在等待的最后，节点 $i$ 进行如下处理。

    收到的所有有效 $m_j^{r,s-1}$ 中，$v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$。按如下规则设置 $b_i$。

    • 在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=0$

    • 否则，在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=1$

    • 否则，$b_i=1$

    节点计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。

Step s, $7\le s\le m+2,s-2\equiv 2mod3$：$BB{A}^{\ast }$ 的 Coin-Genuinely-Flipped

节点 $i\in P{K}^{r-k}$ 只要拥有 $B^{r-1}$，就开始了它第 $r$ 轮的Step $s$。

• 节点 $i$ 从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,s}$

• 若 $i\notin S{V}^{r,s}$，$i$ 在Step $s$ 不做任何处理

• 若 $i\in S{V}^{r,s}$，节点 $i$ 执行以下动作。

  • 节点等待时间 $t_s\triangleq (2s-3)\lambda +\Lambda$

  • 以0结束：同 Coin-Fixed-To_0。

  • 以1结束：同 Coin-Fixed-To_0。

  • 否则，在等待的最后，节点 $i$ 进行如下处理。

    收到的所有有效 $m_j^{r,s-1}$ 中，$v_j$ 拥有大部分投票，则节点设置 $v_i=v_j$。按如下规则设置 $b_i$。

    • 在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=0$

    • 否则，在收到的$m_j^{r,s-1}$中，有超过2/3的$m_j^{r,s-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则令$b_i=1$

    • 否则，设置 $b_i\triangleq lsb(mi{n}_{j\in S{V}_i^{r,s-1}}H({\sigma }_J^{r,s-1}))$，$S{V}_i^{r,s-1}$ 为从收到的有效消息 $m_j^{r,s-1}$ 中获得的 $(r,s-1)$-验证者。

    节点计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。

步骤 $m+3$：$BB{A}^{\ast }$的最后一步

节点 $i\in P{K}^{r-k}$ 只要知道了 $B^{r-1}$，就开启了它的第r轮第 $m+3$ 步

• 节点从 $B^{r-1}$ 中计算出 $Q^{r-1}$，并且检测是否 $i\in S{V}^{r,m+3}$

• 若 $i\notin S{V}^{r,m+3}$，$i$ 在Step $m+3$ 不做任何处理

• 若 $i\in S{V}^{r,m+3}$，节点 $i$ 执行以下动作。

  • 等待时间 $t_{m+3}\triangleq t_{m+2}+2\lambda =(2m+3)\lambda +\Lambda$。

  • 以0结束：同 Coin-Fixed-To_0 步骤

  • 以1结束：同 Coin-Fixed-To_0 步骤

  • 否则，在等待结束时，节点 $i$ 执行以下动作。

    设置 $ou{t}_i\triangleq 1,B^r\triangleq B_{ϵ}^r$

    节点计算消息 $m_i^{r,m+3}=(ESI{G}_i(ou{t}_i),ESI{G}_i(H(B^r)),{\sigma }_i^{r,m+3})$
    销毁临时私钥 $s{k}_i^{r,m+3}$，广播 $m_i^{r,m+3}$ 来验证 $B^r$

非验证者在第 $r$ 轮的区块重构

节点 $i$ 只要知道了 $B^{r-1}$，就开启了它的第 $r$ 轮，并且按以下方法等待区块信息。

• 在等待期间，若存在 $v,s^{\prime }$ 使得：

  （a）$5⩽s^{\prime }⩽m+3,s^{\prime }-2\equiv 0mod3$

  （b）$i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(0),ESI{G}_j(v),{\sigma }_j^{r,s^{\prime }-1})$

  （c）$i$ 收到一个有效消息 $m_j^{r,1}=(B_j^r,esi{g}_j(H(B_j^r)),{\sigma }_j^{r,1}),v=H(B_j^r)$

  $i$ 停止它的 $r$ 轮执行，令 $B^r=B_j^r$，将子步骤（b）中消息 $m_j^{r,s^{\prime }-1}$ 的集合设置为它自己的 $CER{T}^r$

• 在等待期间，若存在 $s^{\prime }$ 使得：

  （a’）$6⩽s^{\prime }⩽m+3,s^{\prime }-2\equiv 1mod3$

  （b’）$i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s^{\prime }-1})$

  $i$ 停止它的 $r$ 轮执行，令 $B^r=B_{ϵ}^r$，将子步骤（b’）中消息 $m_j^{r,s^{\prime }-1}$ 的集合设置为它自己的 $CER{T}^r$

• 在等待期间，若 $i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,m+3}=(ESI{G}_j(1),ESI{G}_j(H(B_{ϵ}^r)),{\sigma }_j^{r,m+3})$，则 $i$ 停止它的 $r$ 轮执行，令 $B^r=B_{ϵ}^r$，将1和 $H(B_{ϵ}^r)$ 的消息 $m_j^{r,m+3}$ 的集合设置为它自己的 $CER{T}^r$。

以上就是整个共识算法的内容，但是文字描述并不直观，下面的这张图可以帮助大家更好的理解这个算法。

[外链图片转存失败(img-WYIDN8vM-1563245886580)(./arts/Algorand1.png)]

二、$Algoran{d}_2^{\prime }$ 协议

$Algoran{d}_2^{\prime }$ 的流程与 $Algoran{d}_1^{\prime }$ 的流程大体上是一致的，细节上有差异。

以下是 $Algoran{d}_2^{\prime }$ 的具体流程。

Step 1: Block Proposal

节点 $i\in P{K}^{r-k}$ 只要拥有 $CER{T}^{r-1}$，可以用来计算出 $H(B^{r-1})、Q^{r-1}$，就开始了它第 $r$ 轮的Step 1。

$CER{T}^r$：由数字签名$H(B^r)$的集合组成，包含了$S{V}^r$中的大部分成员，且含有能证明每个成员属于$S{V}^r$的证据。其作用是将区块$B^r$转化成证明区块$\overline{B^r}$，同时完成区块的验证。

• 节点 $i$ 使用 $Q^{r-1}$ 来检测是否 $i\in S{V}^{r,1}$

• 若 $i\notin S{V}^{r,1}$，$i$ 在Step 1不做任何处理

• 若 $i\in S{V}^{r,1}$，即 $i$ 是potential leader，则它做如下处理：

  • 假若 $i$ 拥有 $B^0,\dots ,B^{r-1}$，收集广播给它的第 $r$ 轮的支付，并且从中得出最大化的交易集合 $PA{Y}_i^r$

  • 假若 $i$ 不拥有 $B^0,\dots ,B^{r-1}$，则设置 $PA{Y}_i^r=\varphi$

  • 然后 $i$ 计算出它的候选区块 $B_i^r=(r,PA{Y}_i^r,SI{G}_i(Q^{r-1}),H(B^{r-1}))$

  • 最后计算出消息 $m_i^{r,1}=(B_i^r,esi{g}_i(H(B_i^r)),{\sigma }_i^{r,1})$

  • 销毁临时私钥 $s{k}_i^{r,1}$，分别广播消息 $m_i^{r,1}$ 和 $(SI{G}_i(Q^{r-1}),{\sigma }_i^{r,1})$

有选择的广播：为了缩短 Step 1的全局执行时间， $(r,1)$ 消息是有选择的广播。即对每个节点 $j$，

• 节点收到第一条$(r,1)$ 消息并验证成功后，正常广播；

• 随后收到的、并验证成功的 $(r,1)$ 消息，当且仅当它包含的凭证哈希比之前收到的 $(r,1)$ 消息的凭证哈希都要小时才会被广播出去。

• 若节点收到了两条来自同一个节点 $i$、但不同形式的 $m_i^{r,1}$ 消息时，节点丢弃掉第二条消息。

为了减少通信量、缩短共识所需的时间，每个potential leader $i$ 将它的凭证 ${\sigma }_i^{r,1}$ 和 $m_i^{r,1}$ 分开广播，因为凭证消息包比较小，能快速的在整个网络上传播，有助于让拥有较大凭证哈希值的 $m_i^{r,1}$ 停止被广播。

Step 2: 分级共识协议GC的第一步

节点 $i\in P{K}^{r-k}$ 只要拥有 $CER{T}^{r-1}$，就开始了它第 $r$ 轮的Step 2。

• 节点 $i$ 等待时间 $t_2\triangleq \lambda +\Lambda$ ，在等待期间，$i$ 执行以下动作。

  1. 等待 $2\lambda$ 时间后，节点从收到的所有 $(r,1)$ 消息中为所有的凭证 ${\sigma }_j^{r,1}$ 计算哈希值，找到领导者 $l:H({\sigma }_l^{r,1})⩽H({\sigma }_j^{r,1})$

  2. 若节点有一个与 $CER{T}^{r-1}$ 中包含的哈希值 $H(B^{r-1})$ 相匹配的区块 $B^{r-1} $，并从 $l$ 收到了有效的消息 $m_l^{r,1}=(B_l^r,esi{g}_l(H(B_l^r)),{\sigma }_l^{r,1})$，则 $i$ 停止等待，并设置 $v_i^{\prime }\triangleq (H(B_l^r),l)$

  3. 否则等待时间 $t_2$ 结束，$i$ 设置 $v_i^{\prime }\triangleq \perp$

  4. $v_i^{\prime }$ 被设置后，$i$ 从 $CER{T}^{r-1}$ 中计算 $Q^{r-1}$，检测是否 $i\in S{V}^{r,2}$

  5. 若 $i\in S{V}^{r,2}$，$i$ 计算消息 $m_i^{r,2}\triangleq (ESI{G}_i(v_i^{\prime }),{\sigma }_i^{r,2})$，销毁临时私钥 $s{k}_i^{r,2}$，广播 $m_i^{r,2}$。否则，$i$ 停止，不广播任何消息。

Step 3: GC的第二步

节点 $i\in P{K}^{r-k}$ 只要拥有 $CER{T}^{r-1}$，就开始了它第 $r$ 轮的Step 3。

• 节点 $i$ 等待时间 $t_3\triangleq t_2+2\lambda =3\lambda +\Lambda$ ，在等待期间，$i$ 执行以下动作。

  1. 假设存在一个 $v$，节点 $i$ 收到了至少 $t_H$ 个有效而不同的消息 $m_j^{r,2}\triangleq (ESI{G}_j(v),{\sigma }_j^{r,2})$，则节点停止等待，并设置 $v^{\prime }=v$

  2. 否则等待时间 $t_3$ 结束，$i$ 设置 $v_i^{\prime }\triangleq \perp$

  3. $v_i^\prime $ 被设置后，$i$ 从 $CER{T}^{r-1}$ 中计算 $Q^{r-1}$，检测是否 $i\in S{V}^{r,3}$ 若 $i\in S{V}^{r,3}$，$i$ 计算消息 $m_i^{r,2}\triangleq (ESI{G}_i(v_i^{\prime }),{\sigma }_i^{r,2})$，销毁临时私钥 $s{k}_i^{r,2}$，广播 $m_i^{r,2}$。否则，$i$ 停止，不广播任何消息。

Step 4：GC的输出及 $BB{A}^{\ast }$ 的第一步

节点 $i\in P{K}^{r-k}$ 只要结束了Step 3，就开始了它的Step 4。

• 节点 $i$ 等待时间 $2\lambda $ ，在等待期间，$i$ 执行以下动作。

  1. 按照如下规则来计算 $v_i,g_i$ 和GC的输出。

     1. 假设存在一个 $v^{\prime }̸=\perp$，节点 $i$ 收到了至少 $t_H$ 个有效而不同的消息 $m_j^{r,3}\triangleq (ESI{G}_j(v^{\prime }),{\sigma }_j^{r,3})$，则节点停止等待，并设置 $v_i\triangleq v^{\prime }$ 和 $g_i\triangleq 2$。

     2. 假若节点 $i$ 收到了至少 $t_H$ 个有效的消息 $m_j^{r,3}\triangleq (ESI{G}_j(\perp ),{\sigma }_j^{r,3})$，则节点停止等待，并设置 $v_i\triangleq \perp$ 和 $g_i\triangleq 0$。

     3. 否则，当时间 $2\lambda$ 已过，若节点 $i$ 收到了至少 $\lceil \frac{t_H}{2}\rceil$ 个有效的消息 $m_j^{r,3}\triangleq (ESI{G}_j(v^{\prime }),{\sigma }_j^{r,3})$，则节点设置 $v_i\triangleq v^{\prime }$ 和 $g_i\triangleq 1$。

     4. 否则，当时间 $2\lambda$ 已过，设置 $v_i\triangleq \perp$ 和 $g_i\triangleq 0$。

  2. 当 $v_i,g_i$ 都被设置了，节点计算$BB{A}^{\ast }$的输入：$b_i\triangleq \{\begin{array}{ll}0,& g_i=2\\ 1,& \text{otherwise}\end{array}$

  3. 若 $i\in S{V}^{r,4}$，计算消息 $m_i^{r,4}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,4})$，销毁临时私钥 $s{k}_i^{r,4}$，广播 $m_i^{r,4}$。否则，$i$ 停止，不广播任何消息。

Step s, $5\le s\le m+2,s-2\equiv 0mod3$：$BB{A}^{\ast }$ 的 Coin-Fixed-To-0

节点 $i\in P{K}^{r-k}$ 只要结束了Step $s-1$，就开始了它的Step $s$。

• 节点 $i$ 等待时间 $2\lambda $ ，在等待期间，$i$ 执行以下动作。

  • 以0结束：在等待时，若存在一个值 $v̸=\perp$ 和步骤 $s^{\prime }$，使得：

    （a）$5⩽s^{\prime }⩽s,s^{\prime }-2\equiv 0mod3$，即 $s^{\prime }$ 是Coin-Fixed-To-0步骤，

    （b）$i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(0),ESI{G}_j(v),{\sigma }_j^{r,s^{\prime }-1})$，同时，

    （c）$i$ 收到了一个有效消息 $(SI{G}_j(Q^{r-1}),{\sigma }_j^{r,1})$，

    则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），将 $H(B^r)$ 设为 $v$ 的第一部分，将子步骤（b）中消息 $m_j^{r,s^{\prime }-1}$ 的集合以及 $(SI{G}_j(Q^{r-1}),{\sigma }_j^{r,1})$ 设置为它自己的 $CER{T}^r$。

  • 以1结束：在等待时，若存在一个步骤 $s^{\prime }$，使得：

    （a’）$6⩽s^{\prime }⩽s,s^{\prime }-2\equiv 1mod3$，即 $s^{\prime }$ 是Coin-Fixed-To-1步骤

    （b’）$i$ 收到至少 $t_H$ 个有效消息 $m_j^{r,s^{\prime }-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s^{\prime }-1})$，

    则 $i$ 停止等待，并结束步骤s（实际上是结束了第 $r$ 轮），设置 $B^r=B_{ϵ}^r$，将子步骤（b’）中消息 $m_j^{r,s^{\prime }-1}$ 的集合设置为它自己的 $CER{T}^r$。

  • 若节点收到至少 $t_H$ 个有效的 $m_j^{r,s-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则停止等待，并设置 $b_i\triangleq 1$。

  • 若节点收到至少 $t_H$ 个有效的 $m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $b_i\triangleq 0$。

  • 否则，当时间 $2\lambda$ 已过，设置 $b_i\triangleq 0$。

  • 当 $b_i$ 被设置，节点从 $CER{T}^{r-1}$ 中算出 $Q^{r-1}$，并验证是否 $i\in S{V}^{r,s}$。

  • 若 $i\in S{V}^{r,s}$，计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。否则，$i$ 停止，不广播任何消息。

Step s, $6\le s\le m+2,s-2\equiv 1mod3$：$BB{A}^{\ast }$ 的 Coin-Fixed-To-1

节点 $i\in P{K}^{r-k}$ 只要结束了Step $s-1$，就开始了它的Step $s$。

• 节点 $i$ 等待时间 $2\lambda $ ，在等待期间，$i$ 执行以下动作。

  • 以0结束：同 Coin-Fixed-To_0。

  • 以1结束：同 Coin-Fixed-To_0。

  • 若节点收到至少 $t_H$ 个有效的 $m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $b_i\triangleq 0$。

  • 否则，当时间 $2\lambda$ 已过，设置 $b_i\triangleq 1$。

  • 当 $b_i$ 被设置，节点从 $CER{T}^{r-1}$ 中算出 $Q^{r-1}$，并验证是否 $i\in S{V}^{r,s}$。

  • 若 $i\in S{V}^{r,s}$，计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。否则，$i$ 停止，不广播任何消息。

Step s, $7\le s\le m+2,s-2\equiv 2mod3$：$BB{A}^{\ast }$ 的 Coin-Genuinely-Flipped

节点 $i\in P{K}^{r-k}$ 只要结束了Step $s-1$，就开始了它的Step $s$。

• 节点 $i$ 等待时间 $2\lambda $ ，在等待期间，$i$ 执行以下动作。

  • 以0结束：同 Coin-Fixed-To_0。

  • 以1结束：同 Coin-Fixed-To_0。

  • 若节点收到至少 $t_H$ 个有效的 $m_j^{r,s-1}=(ESI{G}_j(0),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，（节点并没有对同一个 $v$ 达成共识），则停止等待，并设置 $b_i\triangleq 0$。

  • 若节点收到至少 $t_H$ 个有效的 $m_j^{r,s-1}=(ESI{G}_j(1),ESI{G}_j(v_j),{\sigma }_j^{r,s-1})$，则停止等待，并设置 $b_i\triangleq 1$。

  • 否则，当时间 $2\lambda$ 已过，设置 $b_i\triangleq lsb(mi{n}_{j\in S{V}_i^{r,s-1}}H({\sigma }_J^{r,s-1}))$，$S{V}_i^{r,s-1}$ 为从收到的有效消息 $m_j^{r,s-1}$ 中获得的 $(r,s-1)$-验证者。

  • 当 $b_i$ 被设置，节点从 $CER{T}^{r-1}$ 中算出 $Q^{r-1}$，并验证是否 $i\in S{V}^{r,s}$。

  • 若 $i\in S{V}^{r,s}$，计算消息 $m_i^{r,s}\triangleq (ESI{G}_i(b_i),ESI{G}_i(v_i),{\sigma }_i^{r,s})$，销毁临时私钥 $s{k}_i^{r,s}$，广播 $m_i^{r,s}$。否则，$i$ 停止，不广播任何消息。

非验证者在第 $r$ 轮的区块重构

节点 $i$ 只要知道了 $CER{T}^{r-1}$，就开启了它的第 $r$ 轮。

• 节点 $i$ 遵从协议每一步骤的指示，参与所有消息的广播，但是若某一步骤中，节点不是验证者，则不初始化任何广播。

• 节点在某些Step，一旦进入了 以0结束 或 以1结束，就用对应的 $CER{T}^r$ 结束当前的 $r$ 轮。

• 自此之后，节点在等待接收子区块 $B^r$ 之时开始它的第 $r+1$ 轮。

三、总结

以上是笔者根据论文内容进行的梳理，尽管 $Algoran{d}_1^{\prime }$ 和 $Algoran{d}_2^{\prime }$ 两者在内容表述上有所差异，但原理和总体流程相差无几。本文不对两者的优劣对比作任何评价，毕竟二者所适用的情况有所不同。

看完整篇论文之后，笔者很佩服Algorand共识算法逻辑的严谨以及证明的详尽。然而，笔者觉得，算法过于复杂，不适用于工业应用，尤其是对时间、通信复杂度要求颇高的区块链。

从上文可以看出，该共识算法达成共识最少需要五轮通信，而PBFT是两轮（prepare、commit）。在通信复杂度上，该算法至少是PBFT的两倍以上。YOUChain的测试结果表明，不管共识算法如何优化，通信环境越差，达成共识所需要的时间越长，最终的tps越低。

Algorand于18年4月份更新的共识算法大大简化了共识流程，可以说是基本上看不到之前协议的影子（后面我们会有文章对它进行详细的分析）。但这也充分说明了Algorand团队也意识到该算法在实际应用上的缺陷。不过不能否认，Algorand 2017年的论文是不可多得的佳作，里面的诸多概念和思考方式能给人极大地启发，值得深度研究。

交流群

受限于笔者的学识和能力，文章内容难免有纰漏之处。技术探讨，请添加加微信 kvdoth 备注「YOUChain 技术交流」，进群交流。

公众号

欢迎添加「有令」公众号，了解项目最新进展和技术分享。