顏世露，相里朋，崔 巍*

(1. 華南理工大學(xué)自動化科學(xué)與工程學(xué)院 廣州 510640；2. 工業(yè)和信息化部電子第五研究所 廣州 511300)

區(qū)塊鏈技術(shù)最早可追溯到2008 年發(fā)布的關(guān)于比特幣的白皮書[1]。經(jīng)過多年發(fā)展，以區(qū)塊鏈為底層技術(shù)的應(yīng)用已覆蓋數(shù)字加密貨幣、金融、經(jīng)濟(jì)、科技和政治等領(lǐng)域。2019 年10 月24 日，習(xí)近平總書記在中央政治局第十八次集體學(xué)習(xí)時就明確強(qiáng)調(diào)了需要加快發(fā)展區(qū)塊鏈，國內(nèi)區(qū)塊鏈技術(shù)也由此進(jìn)入國家頂層設(shè)計之中，區(qū)塊鏈產(chǎn)業(yè)相繼布局。根據(jù)“區(qū)塊鏈之家”2021 年10 月31 日最新監(jiān)測數(shù)據(jù)，國內(nèi)公開區(qū)塊鏈項目2 040 項，區(qū)塊鏈相關(guān)企業(yè)注冊數(shù)量達(dá)到91 976 家，僅2020 年新增企業(yè)數(shù)量就達(dá)26 100 家，創(chuàng)歷史新高。同時，全球區(qū)塊鏈投融資規(guī)模逐年上漲，2020 年全球企業(yè)區(qū)塊鏈支出規(guī)模達(dá)到43 億美金，占IT 行業(yè)總規(guī)模的0.95%，呈現(xiàn)出巨大的發(fā)展?jié)摿2-3]。

另一方面，誕生于20 世紀(jì)初的量子科技正逐漸成為新一輪科技革命和產(chǎn)業(yè)變革的前沿領(lǐng)域。2018 年12 月，美國國會高票通過《國家量子倡議法案》，并正式頒布了《國家量子計劃法》。當(dāng)前，IBM、谷歌、微軟、Rigetti 等美國科技企業(yè)在量子計算機(jī)物理系統(tǒng)、體系結(jié)構(gòu)、應(yīng)用軟件以及智能算法等研究和應(yīng)用上處于領(lǐng)先水平。2019 年9 月20 日，谷歌公司研究人員架設(shè)出名為“懸鈴木”的量子計算機(jī)，號稱能在3 min 20 s 內(nèi)解決傳統(tǒng)超級計算機(jī)可能耗時1 萬年才能處理的問題，實現(xiàn)所謂的“量子霸權(quán)”[4]。2020 年10 月16 日，中央政治局就量子科技研究和應(yīng)用前景舉行了集體學(xué)習(xí)，習(xí)近平總書記強(qiáng)調(diào)，要充分認(rèn)識推動量子科技發(fā)展的重要性和緊迫性，加強(qiáng)量子科技發(fā)展戰(zhàn)略謀劃和系統(tǒng)布局。2021 年10 月25 日，中國科學(xué)技術(shù)大學(xué)研究團(tuán)隊的兩篇實現(xiàn)“量子計算優(yōu)越性”的論文同時在國際期刊《物理評論快報》上發(fā)表：中國超導(dǎo)量子計算機(jī)首次實現(xiàn)量子計算優(yōu)越性[5]；光量子計算機(jī)九章2.0 相比九章1.0 實現(xiàn)了更大規(guī)模的量子計算優(yōu)越性[6]。此外，中國的科技企業(yè)，如阿里巴巴、騰訊、華為、百度、京東、字節(jié)跳動、國盾量子、本源量子等也紛紛布局量子智能計算產(chǎn)業(yè)，并取得諸多自主創(chuàng)新成果。

可見，量子科技正在迅猛發(fā)展，強(qiáng)大的量子計算能力給基于密碼學(xué)的區(qū)塊鏈系統(tǒng)安全帶來了潛在的威脅。根據(jù)文獻(xiàn)[7] 的估計，到2027 年，量子計算機(jī)或許能在10 min 內(nèi)(比特幣系統(tǒng)生成一個新區(qū)塊的時間)打破基于橢圓曲線密碼的數(shù)字簽名方案，對比特幣系統(tǒng)造成毀滅性的破壞。同時，量子科技如量子密鑰分發(fā)、量子秘密共享、量子身份認(rèn)證、量子數(shù)字簽名以及量子隨機(jī)數(shù)等基于量子力學(xué)的應(yīng)用可為區(qū)塊鏈提供無條件安全保障?？梢姡孔涌萍荚诮o區(qū)塊鏈技術(shù)帶來巨大挑戰(zhàn)的同時也帶來了極大的革新機(jī)遇。

為此，本文針對量子科技給區(qū)塊鏈帶來的挑戰(zhàn)和機(jī)遇研究現(xiàn)狀進(jìn)行了總結(jié)，并指出“區(qū)塊鏈+量子計算”交叉融合研究已經(jīng)成為不可阻擋的發(fā)展潮流，具有重要的現(xiàn)實意義。

1 區(qū)塊鏈系統(tǒng)技術(shù)體系

區(qū)塊鏈?zhǔn)欠植际酱鎯?、點(diǎn)對點(diǎn)傳輸、共識機(jī)制、加密算法、智能合約等多種計算機(jī)技術(shù)的新型應(yīng)用模式，是多種技術(shù)有機(jī)結(jié)合的技術(shù)集成體系[8]。一般而言，區(qū)塊鏈系統(tǒng)可分為數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和應(yīng)用層。數(shù)據(jù)層封裝了底層數(shù)據(jù)區(qū)塊以及對應(yīng)的數(shù)據(jù)加密技術(shù)；網(wǎng)絡(luò)層包括分布式組網(wǎng)機(jī)制、數(shù)據(jù)傳播機(jī)制和數(shù)據(jù)驗證機(jī)制等；共識層主要封裝各類共識算法；激勵層將經(jīng)濟(jì)因素集成到區(qū)塊鏈技術(shù)體系中，包括經(jīng)濟(jì)激勵的發(fā)行和分配機(jī)制等；合約層主要封裝不同用途的各類算法和智能合約，以實現(xiàn)區(qū)塊鏈可編程特性和可擴(kuò)展性[9-11]。

從應(yīng)用視角來看，區(qū)塊鏈可被理解為通過共識協(xié)議保證節(jié)點(diǎn)間賬本數(shù)據(jù)一致，通過密碼學(xué)保證交易數(shù)據(jù)不可篡改與發(fā)送安全的點(diǎn)對點(diǎn)(集體維護(hù)、去中心化)的分布式數(shù)據(jù)庫。所有網(wǎng)絡(luò)節(jié)點(diǎn)是平等的關(guān)系，都可以訪問、監(jiān)督和使用該數(shù)據(jù)庫。用戶節(jié)點(diǎn)之間產(chǎn)生數(shù)據(jù)信息，將數(shù)據(jù)信息進(jìn)行全網(wǎng)廣播，接收節(jié)點(diǎn)將數(shù)據(jù)信息打包至新區(qū)塊中，網(wǎng)絡(luò)節(jié)點(diǎn)執(zhí)行共識算法，并將驗證結(jié)果進(jìn)行全網(wǎng)廣播，通過全網(wǎng)絡(luò)節(jié)點(diǎn)的共識驗證后，將該數(shù)據(jù)區(qū)塊加入?yún)^(qū)塊鏈中。因為區(qū)塊鏈系統(tǒng)節(jié)點(diǎn)較多、分布較廣，且不同節(jié)點(diǎn)之間的通信存在延遲，需要共識機(jī)制(分布式共識算法)決定新區(qū)塊的記賬權(quán)以保證節(jié)點(diǎn)數(shù)據(jù)的一致性。共識機(jī)制設(shè)計極大地影響區(qū)塊鏈系統(tǒng)的性能，包括交易能力、可擴(kuò)展性和分區(qū)容錯能力。在分布式系統(tǒng)學(xué)科上，分布式節(jié)點(diǎn)如何在不可信的網(wǎng)絡(luò)環(huán)境中達(dá)成一致性和可用性一直是需要解決的難題。針對此問題，根據(jù)實際應(yīng)用場景，目前已經(jīng)產(chǎn)生許多代表性成果：如以工作量證明機(jī)制(proof of work, PoW)為代表的證明類共識協(xié)議[1]、以實用拜占庭容錯協(xié)議(practical Byzantine fault tolerance, PBFT)為代表的拜占庭類共識協(xié)議[12]和以Raft 為代表的傳統(tǒng)分布式一致性算法[13]。

加密算法是區(qū)塊鏈系統(tǒng)安全性保障的基礎(chǔ)，其中使用到的密碼技術(shù)主要包括哈希算法、公鑰密碼技術(shù)、數(shù)字簽名、零知識證明等。哈希算法能保護(hù)賬本數(shù)據(jù)免受未授權(quán)的修改，具有檢測區(qū)塊是否被篡改的能力，是實現(xiàn)區(qū)塊數(shù)據(jù)完整性保護(hù)的主要工具。不同于傳統(tǒng)的對稱密碼算法，公鑰密碼采用了兩個相互關(guān)聯(lián)的秘鑰，分別是需要公開的公鑰和需要保密的私鑰。公鑰密碼體系的提出，有效地應(yīng)用數(shù)字證書解決了秘鑰分發(fā)的問題，并進(jìn)一步提出了有效的數(shù)字簽名以確保區(qū)塊鏈數(shù)字資產(chǎn)確權(quán)的安全性。

2 量子計算對區(qū)塊鏈系統(tǒng)的攻擊范式

量子計算機(jī)具有遠(yuǎn)超于經(jīng)典計算機(jī)的強(qiáng)大計算能力，因而對區(qū)塊鏈系統(tǒng)產(chǎn)生巨大威脅，嚴(yán)重危及區(qū)塊鏈產(chǎn)業(yè)的發(fā)展。文獻(xiàn)[7, 14-15]將量子計算攻擊區(qū)塊鏈系統(tǒng)的方式總結(jié)為兩種：一是Grover 算法對哈希算法的攻擊；二是Shor 算法對公鑰密碼的攻擊。

2.1 Grover 算法對哈希算法的攻擊

哈希算法是一種能將任意長度的輸入值映射為較短的固定長度的二進(jìn)制值的算法，其具有以下特性：1) 確定性：給定一個輸入值，其輸出值是唯一且確定的；2) 單向性：給定一個輸入值，很容易計算出其哈希值，但是給定哈希值，根據(jù)同樣的算法難以計算得到原輸入值；3) 抗碰撞性：要找到相同輸出的兩個不同輸入值，在計算上幾乎是不可能的；4) 雪崩效應(yīng)：當(dāng)輸入值發(fā)生極其微小的改變時，也會導(dǎo)致輸出的完全不可區(qū)分性的改變。因為這些特性，哈希算法常常被用于檢驗數(shù)據(jù)的完整性、快速查找和對數(shù)據(jù)進(jìn)行加密，其在區(qū)塊鏈中也有著廣泛的應(yīng)用。如比特幣中的Merkle 樹(如圖1)中的所有節(jié)點(diǎn)信息都是應(yīng)用SHA-256 哈希運(yùn)算得到；以太坊賬戶地址是應(yīng)用Kec-cak-256 哈希運(yùn)算一個公鑰得到；而比特幣地址，則是通過對一個公鑰進(jìn)行SHA-256 和RIPEMD160 哈希運(yùn)算得到；區(qū)塊鏈中使用的數(shù)字簽名是對經(jīng)過哈希運(yùn)算后的消息進(jìn)行簽名的。

圖1 Merkle 樹結(jié)構(gòu)圖

對于非結(jié)構(gòu)化數(shù)據(jù)庫，經(jīng)典的暴力搜索算法復(fù)雜度隨著輸入變量的增長而呈線性增長，而量子科技中的Grover 算法利用量子疊加的性質(zhì)以及迭代過程，實現(xiàn)了對無序數(shù)據(jù)庫搜尋問題的二次加速[16]。理論上，應(yīng)用了哈希算法的區(qū)塊鏈技術(shù)都面臨著Grover 算法的威脅，相對于經(jīng)典計算機(jī)，其安全性降低到原來的開平方級別[7]。下面以比特幣系統(tǒng)中的工作量證明機(jī)制為例，說明Grover 算法對區(qū)塊鏈共識機(jī)制的影響。PoW 機(jī)制是一個具有開創(chuàng)性的共識算法，其將經(jīng)濟(jì)激勵與共識過程相融合，通過獎勵保持節(jié)點(diǎn)持續(xù)挖礦，以及通過極高的攻擊難度和成本保持節(jié)點(diǎn)誠實守信，從而增強(qiáng)了網(wǎng)絡(luò)的可靠性與安全性?；诠Ｋ惴ǖ腜oW 機(jī)制主要利用了哈希算法的特性，使網(wǎng)絡(luò)中各個節(jié)點(diǎn)利用自身的計算資源尋找特定前綴的哈希值以競爭區(qū)塊的記賬權(quán)。首先礦工節(jié)點(diǎn)生成區(qū)塊獎勵coinbase 交易，并將其和從交易池中選取的普通交易組成如圖1 所示的Merkle 樹；接著把Merkle 樹根節(jié)點(diǎn)(ROOT)的哈希值、時間戳、目標(biāo)值、隨機(jī)數(shù)、上一個區(qū)塊頭哈希值和版本號等信息組成80 個字節(jié)的區(qū)塊頭；最后將這個區(qū)塊頭作為工作量證明的輸入，對整個區(qū)塊頭進(jìn)行兩次SHA-256 哈希運(yùn)算。運(yùn)算結(jié)果與當(dāng)前比特幣網(wǎng)絡(luò)中的目標(biāo)值進(jìn)行比較，如果小于目標(biāo)值，并在廣播后得到全網(wǎng)多數(shù)礦工的認(rèn)可，則挖礦成功，否則修改隨機(jī)數(shù)繼續(xù)運(yùn)算。由于哈希算法的單向性和雪崩效應(yīng)等特性，尋找符合條件的區(qū)塊成為暴力窮舉問題。Grover 算法通過加速對逆哈希問題的暴力窮舉(加速窮舉隨機(jī)數(shù))，能更快找到符合條件的區(qū)塊，進(jìn)而通過以下兩種方式攻擊比特幣系統(tǒng)：一是通過加速哈希碰撞來偽造區(qū)塊，以篡改覆蓋原來區(qū)塊中的所有交易信息(如圖2a)；二是造成51%的算力攻擊(如圖2b)。通過快速挖礦來獲得比特幣獎勵，同時主導(dǎo)新區(qū)塊的生成。甚至在非常短的時間內(nèi)重建一條新的分支鏈，當(dāng)分支鏈的長度超過主鏈時，分支鏈就可以取代主鏈，從而導(dǎo)致原來的主鏈記錄完全被覆蓋。具體而言，攻擊者可以阻止新交易的確認(rèn)，和撤銷在網(wǎng)絡(luò)被控制時完成的交易，從而實現(xiàn)雙重花費(fèi)。無論哪種攻擊，都是從本質(zhì)上破壞了比特幣系統(tǒng)的公信力，使得比特幣失去本身的價值。

圖2 Grover 算法對比特幣系統(tǒng)的兩種攻擊方式

2.2 Shor 算法對公鑰密碼的攻擊

公鑰密碼是基于數(shù)學(xué)難題而非基于傳統(tǒng)的替換和置換算法，因而具有更高的安全性。區(qū)塊鏈系統(tǒng)中存在著大量公鑰密碼的應(yīng)用，如數(shù)字簽名、資產(chǎn)確權(quán)、身份認(rèn)證等，其數(shù)學(xué)原理主要包括：離散對數(shù)難題(discrete logarithm problem, DLP)、大整數(shù)分解難題(integer factorization problem, IFP)和橢圓曲線離散對數(shù)難題(elliptic curve discrete logarithm problem, ECDLP)等。對于IFP 和ECDLP，傳統(tǒng)算法中最有效的方法是由文獻(xiàn)[17] 提出的通用數(shù)域篩選算法(general number field sieve, GNFS)，但該方法的時間復(fù)雜度仍然是亞指數(shù)的。當(dāng)非對稱密碼中基于IFP 的RSA 密碼需要分解的整數(shù)n非常大時，經(jīng)典認(rèn)知中RSA 密碼是安全的。但在理論上，量子科技中的Shor 算法依據(jù)數(shù)論中的相關(guān)定理，可將大數(shù)因子分解轉(zhuǎn)化為求函數(shù)周期問題，能夠指數(shù)級提高大整數(shù)的質(zhì)因子分解速度，從而對公鑰密碼造成毀滅性的攻擊。物理學(xué)家們一直致力于量子計算機(jī)的仿真實現(xiàn)[18-25]。最新研究表明：使用13 436 個物理量子比特和一個存儲時間為2 h 的多模存儲器制成的處理器，可能在177 天內(nèi)完成對2 048 位RSA 整數(shù)的分解[25]。另外，基于量子退火原理的RSA 破譯是一種新的量子計算攻擊公鑰密碼的算法，與Shor 算法原理上有本質(zhì)不同，其將破譯RSA 問題轉(zhuǎn)換為組合優(yōu)化問題，利用量子退火算法獨(dú)特的量子隧穿效應(yīng)跳出局部最優(yōu)解逼近全局最優(yōu)解，和經(jīng)典攻擊算法相比依然具有指數(shù)級加速的潛力[26-29]。一旦通用量子計算機(jī)可以被造出來，通過暴露在區(qū)塊鏈中的公鑰，黑客可以運(yùn)行Shor算法求解ECDLP，從而計算出私鑰，實現(xiàn)對數(shù)字資產(chǎn)的轉(zhuǎn)移。

3 量子科技賦能區(qū)塊鏈

面對強(qiáng)大的量子計算對區(qū)塊鏈造成的威脅，目前急需更加安全的理論以保證區(qū)塊鏈產(chǎn)業(yè)的發(fā)展，而量子科技具備的經(jīng)典不可比擬的量子特性可以為區(qū)塊鏈提供安全保障。當(dāng)前區(qū)塊鏈系統(tǒng)被量子計算攻破的原因主要還是對哈希算法和公鑰密碼體系的攻擊，在比特幣系統(tǒng)中體現(xiàn)為對PoW 共識機(jī)制和數(shù)字簽名技術(shù)的攻擊。因而，量子技術(shù)賦能區(qū)塊鏈系統(tǒng)的主要思路為：構(gòu)建一個基于非哈希計算的共識機(jī)制和基于非公鑰密碼的安全保障體系。目前一般有兩種實現(xiàn)方式：1) 后量子區(qū)塊鏈，將后量子簽名算法代替經(jīng)典簽名算法。但此方案是基于目前某些不能被量子計算機(jī)有效解決的計算復(fù)雜性困難問題，并不能提供無條件安全證明。2) 量子區(qū)塊鏈，即以量子物理特性為基礎(chǔ)，在P2P 網(wǎng)絡(luò)中應(yīng)用量子通信技術(shù)，在區(qū)塊鏈系統(tǒng)中應(yīng)用量子拜占庭共識算法、量子數(shù)字簽名、量子隨機(jī)數(shù)等，使得區(qū)塊鏈系統(tǒng)更加安全，以對抗目前已知的量子計算攻擊。下面主要針對第二種方式展開闡述。

3.1 量子通信

量子通信是利用微觀粒子的量子態(tài)以及量子糾纏效應(yīng)進(jìn)行信息傳遞的一種新型通信方式，近年來逐漸從理論走向?qū)嶒灪蛯嵱没l(fā)展。量子通信過程中如果出現(xiàn)任何攻擊攔截行為，都會導(dǎo)致信息傳遞載體——量子態(tài)發(fā)生變化，通信雙方能輕易發(fā)現(xiàn)攻擊行為，從而終止通信。這樣一來，任何攻擊方式都無法得到量子態(tài)上所傳遞的原有信息，信息泄露等問題不會發(fā)生。“一次一密”(one-time pad, OTP)加密技術(shù)已被證明能夠保障通信過程中信息的絕對安全。

當(dāng)前的量子通信技術(shù)主要分為量子密鑰分發(fā)(quantum key distribution, QKD)和量子隱形傳態(tài)(quantum teleportation, QT)兩類。自1995 年中科院物理所實現(xiàn)國內(nèi)首次QKD 開始，到2004 年京-津現(xiàn)網(wǎng)實驗，逐步展開了試點(diǎn)應(yīng)用。自2017 年始，“滬杭干線”“寧蘇干線”“武合干線”等項目開始建設(shè)，迄今已取得不錯的成績。行業(yè)內(nèi)部分企業(yè)已經(jīng)具備量子通信設(shè)備的研發(fā)生產(chǎn)能力，如國盾量子、問天量子等，這些企業(yè)也推動了量子通信行業(yè)的持續(xù)發(fā)展。QT 技術(shù)也逐漸從實驗室走向應(yīng)用。2005 年中科大首次實現(xiàn)國內(nèi)13 km 的QT 傳輸，2020 年6 月，《自然》雜志在線發(fā)表了題為“基于糾纏的千公里級安全量子加密”的研究論文[30]，意味著我國邁開了構(gòu)建全球化量子密鑰分發(fā)網(wǎng)絡(luò)甚至量子互聯(lián)網(wǎng)的重要一步。

量子通信技術(shù)的發(fā)展雖然歷時較短，但其發(fā)展態(tài)勢迅猛，表現(xiàn)出巨大的潛力。在區(qū)塊鏈系統(tǒng)中應(yīng)用量子通信，有望達(dá)到無條件安全、高效抗干擾等效果。量子智能算法、量子拜占庭共識算法、量子隨機(jī)數(shù)等量子互聯(lián)網(wǎng)上層應(yīng)用都直接依賴于量子通信，其安全性由量子力學(xué)基本原理給予保障。

3.2 量子拜占庭共識算法

影響共識機(jī)制安全性的最重要問題就是解決各節(jié)點(diǎn)如何在不可信的網(wǎng)絡(luò)環(huán)境中達(dá)成一致的難題。該難題的解決方法和文獻(xiàn)[31] 提出的拜占庭將軍問題異曲同工：在已知有將軍是叛徒的情況下，其余忠誠的將軍如何達(dá)成一致協(xié)議。目前區(qū)塊鏈中應(yīng)用的共識算法，如PoW、PBFT 等，都是結(jié)合實際的應(yīng)用場景，從一定程度上給出了拜占庭將軍問題的可行解。

實際上，理論早已證明：在沒有共享任何初始信息的前提條件下，如果有超過1/3 的將軍是叛軍，則拜占庭將軍問題無解。但可檢測的拜占庭協(xié)議將拜占庭將軍問題轉(zhuǎn)化為秘密數(shù)字列表的生成和安全分發(fā)問題，便可能從根本上解決問題。經(jīng)典的分發(fā)方案的安全性依賴于哈希算法和公鑰密碼，對于具有超越經(jīng)典的量子計算而言，公鑰密碼體系理論上可以在極短的時間內(nèi)被破解，就意味著沒有安全的秘密列表可用。量子通信技術(shù)結(jié)合量子計算可以無條件安全分發(fā)秘密數(shù)字列表，實現(xiàn)可檢測的拜占庭共識協(xié)議[32-40]。另一方面，可從GHZ 態(tài)的量子糾纏的角度實現(xiàn)N個節(jié)點(diǎn)對數(shù)據(jù)的共識：

1) 制備N個量子比特的GHZ 態(tài)；

2) 對于N個節(jié)點(diǎn)的區(qū)塊鏈系統(tǒng)，將GHZ 態(tài)的每個比特分發(fā)給系統(tǒng)中的每個節(jié)點(diǎn)；

3) 每個節(jié)點(diǎn)測量自己的量子比特；

4) 測量結(jié)果為 |0〉則共識0，否則共識1；

這樣，對于存在3 個網(wǎng)絡(luò)節(jié)點(diǎn)的區(qū)塊鏈系統(tǒng)，即使存在一個以上的惡意節(jié)點(diǎn)，也能通過量子拜占庭共識協(xié)議保證區(qū)塊鏈中所有誠實節(jié)點(diǎn)達(dá)成一致的行為。量子科技提高了分布式系統(tǒng)中可承受惡意節(jié)點(diǎn)的閾值，進(jìn)而提高區(qū)塊鏈系統(tǒng)的安全性。

3.3 量子數(shù)字簽名

數(shù)字簽名由于可以提供消息認(rèn)證、確保消息的完整性及實用性而得到了迅速推廣。但經(jīng)典數(shù)字簽名的安全性是基于數(shù)學(xué)難題的計算復(fù)雜性的，沒有嚴(yán)格的安全保障，因此密碼學(xué)家們開始研究不同于經(jīng)典的數(shù)字簽名。自文獻(xiàn)[41] 利用量子態(tài)的糾纏性提出了第一個量子簽名協(xié)議后，許多量子數(shù)字簽名方案被相繼提出，包括基于GHZ 三重態(tài)的相干性和量子密鑰分發(fā)協(xié)議的仲裁量子簽名方案[42]、基于量子一次一密和GHZ 三重態(tài)的相干性的量子簽名方案[43]、基于量子隱形傳態(tài)的群簽名方案[44-45]、量子代理簽名[46]及量子盲簽名[47]等。

量子數(shù)字簽名的應(yīng)用主要分為密鑰分發(fā)階段和簽名驗證階段。各節(jié)點(diǎn)間密鑰分發(fā)階段的安全性由量子密鑰傳輸保障，簽名驗證階段需要結(jié)合量子特性和具體協(xié)議完成設(shè)計?；诹孔恿W(xué)基本原理的量子數(shù)字簽名能達(dá)到無條件安全的信息交互的效果。各種面向不同應(yīng)用場景的量子數(shù)字簽名能從原理上抵抗算力攻擊，增強(qiáng)區(qū)塊鏈系統(tǒng)的資產(chǎn)認(rèn)證和確權(quán)的安全性。

3.4 量子隨機(jī)數(shù)

隨機(jī)數(shù)在計算機(jī)系統(tǒng)、信息安全等領(lǐng)域有著重要應(yīng)用。目前常用的隨機(jī)數(shù)主要是依靠計算機(jī)產(chǎn)生的偽隨機(jī)數(shù)，或者是從某些經(jīng)典物理噪聲(如電噪聲等)中提取出來的隨機(jī)數(shù)，其在考慮到所有變量的情況下可被模擬，存在著極大威脅。區(qū)塊鏈系統(tǒng)中隨機(jī)數(shù)的使用隨處可見，如商用分布式設(shè)計區(qū)塊鏈操作系統(tǒng)(enterprise operation system, EOS)中的博彩游戲身份驗證，共識算法如PBFT 等的主節(jié)點(diǎn)隨機(jī)選舉，這些過程的隨機(jī)性要能得到全網(wǎng)的確認(rèn)，是不能被操控和不能被預(yù)測的，否則惡意攻擊者通過操控這個隨機(jī)數(shù)就可以操控長鏈、轉(zhuǎn)移代幣，對區(qū)塊鏈的公信力和安全性造成破壞。

量子不可測量原理能夠?qū)崿F(xiàn)具有不可預(yù)測性、不可重復(fù)性和無偏性等特征的無條件安全的量子隨機(jī)數(shù)。經(jīng)多年研究，量子隨機(jī)數(shù)發(fā)生器的實現(xiàn)和應(yīng)用也得到了充分發(fā)展[48-50]。量子隨機(jī)數(shù)發(fā)生器可被分為實用化的量子隨機(jī)數(shù)發(fā)生器、自檢測量子隨機(jī)數(shù)發(fā)生器及半自檢測量子隨機(jī)數(shù)發(fā)生器[51]。不同的量子隨機(jī)器存在著不同的各有優(yōu)勢的應(yīng)用場景。中國科學(xué)技術(shù)大學(xué)聯(lián)合浙江大學(xué)通過研制硅基光子集成芯片和優(yōu)化實時后處理，實現(xiàn)了迄今最快的速率達(dá)18.8 Gbps 的實時量子隨機(jī)數(shù)發(fā)生器[52]，為開發(fā)商用量子隨機(jī)數(shù)發(fā)生器奠定了技術(shù)基礎(chǔ)?？梢灶A(yù)見，量子隨機(jī)數(shù)發(fā)生器最有可能在近期應(yīng)用于區(qū)塊鏈系統(tǒng)，增強(qiáng)系統(tǒng)的安全性和穩(wěn)定性。

3.5 量子區(qū)塊鏈

目前已有不少學(xué)者嘗試探索研究獨(dú)立完整的量子區(qū)塊鏈系統(tǒng)。文獻(xiàn)[53] 以經(jīng)典區(qū)塊鏈結(jié)構(gòu)為基礎(chǔ)，引入了公鑰量子貨幣與泛化通用組合(generalized universal composability, GUC)框架，并將經(jīng)典智能合約與量子閃電[54]相結(jié)合，提出了經(jīng)典-量子混合支付區(qū)塊鏈系統(tǒng)。文獻(xiàn)[55] 提出一種新型量子區(qū)塊鏈，其將區(qū)塊信息編碼成一連串彼此纏繞的光子，這些區(qū)塊通過時間上的糾纏按時間順序連接起來，運(yùn)用量子密鑰分發(fā)技術(shù)代替非對稱加密傳輸，以量子簽名進(jìn)行身份驗證，保證任意節(jié)點(diǎn)之間數(shù)據(jù)傳輸?shù)恼鎸嵓胺来鄹?。文獻(xiàn)[56] 基于量子糾纏和權(quán)益證明機(jī)制設(shè)計了一個新的量子區(qū)塊鏈方案，能抵抗雙花攻擊、中間人攻擊和狀態(tài)估計攻擊，縮短達(dá)成交易的時間和減少能源的消耗。但這些方案中涉及的量子技術(shù)大多處于理論研究階段，實現(xiàn)難度大，可行性小。

為此，文獻(xiàn)[57] 提出量子安全區(qū)塊鏈解決方案(quantum?secured blockchain, QB)，在量子網(wǎng)絡(luò)層使用QKD 方式進(jìn)行對稱密鑰分發(fā)，共識機(jī)制采用經(jīng)典的基于原始狀態(tài)機(jī)復(fù)制的拜占庭容錯算法。該量子區(qū)塊鏈系統(tǒng)已經(jīng)通過光纖網(wǎng)絡(luò)進(jìn)行測試，但系統(tǒng)內(nèi)通信復(fù)雜度較高，不具備可擴(kuò)展性。文獻(xiàn)[58]以QB 區(qū)塊鏈框架為基礎(chǔ)，提出一種新的量子安全區(qū)塊鏈方案LC(logicontract)，其中采用基于QKD的無條件安全Toeplitz 群簽名作為系統(tǒng)的數(shù)字簽名方案，增加了系統(tǒng)的安全性，但相對于其他哈希函數(shù)，Toeplitz 的運(yùn)算速度較慢且需要占用較大存儲空間。另外，LC 區(qū)塊鏈只提到采用一種具備抗碰撞性的哈希函數(shù)以用于計算哈希指針，所以該方案仍然面臨被量子計算攻擊的風(fēng)險，且采用簡化后的YAC(yet another consensus)共識機(jī)制，其容錯能力低于主流的拜占庭容錯共識機(jī)制，也存在著較大的局限性。

4 結(jié) 束 語

區(qū)塊鏈?zhǔn)切乱淮畔⒓夹g(shù)的重要組成部分，已經(jīng)在防偽溯源、供應(yīng)鏈管理、司法存證、政務(wù)數(shù)據(jù)共享及民生服務(wù)等領(lǐng)域得到廣泛應(yīng)用。但區(qū)塊鏈的基礎(chǔ)理論和技術(shù)研究仍處于初級階段，許多涉及底層技術(shù)原理的重要科學(xué)問題亟待跟進(jìn)。尤其是在即將到來的量子時代，區(qū)塊鏈系統(tǒng)中的數(shù)字簽名和共識機(jī)制[59]等重要基礎(chǔ)技術(shù)面臨著量子科技所帶來的挑戰(zhàn)和機(jī)遇。目前量子科技的發(fā)展還處于NISQ(noisy intermediate-scale quantum)階段[60]，很多工作仍然處于實驗室階段，量子硬件在向50～100 量子比特發(fā)展中還面臨著如何保持高相干性、擴(kuò)展校準(zhǔn)技術(shù)、提高量子比特連接性、提升門保真度等諸多問題。此外，量子科技的產(chǎn)業(yè)化不僅包括量子計算的硬件，還涉及如適應(yīng)量子計算機(jī)架構(gòu)的基礎(chǔ)軟件、應(yīng)用軟件、NISQ 設(shè)備適用的經(jīng)典-量子算法和相關(guān)服務(wù)[61-62]等內(nèi)容。

本文梳理了區(qū)塊鏈的技術(shù)體系，分析了量子科技對區(qū)塊鏈的攻擊和防御，指出“區(qū)塊鏈+量子計算”交叉融合研究已經(jīng)成為不可阻擋的發(fā)展潮流，具有重要現(xiàn)實意義。在未來的量子時代中，區(qū)塊鏈將面臨前所未有的機(jī)遇與挑戰(zhàn)：量子計算對區(qū)塊鏈的攻擊主要集中于量子算法對密碼體系的攻擊，如哈希算法和公鑰密碼算法；量子科技賦能區(qū)塊鏈能夠為未來繁榮的區(qū)塊鏈產(chǎn)業(yè)提供更安全的保障體系，主要體現(xiàn)在為量子共識機(jī)制、量子數(shù)字簽名、量子隨機(jī)數(shù)等提供潛在的無條件系統(tǒng)安全保障。隨著量子通信等技術(shù)的逐漸推廣，未來的量子區(qū)塊鏈必將成為高新技術(shù)產(chǎn)業(yè)的研究熱點(diǎn)，從而得到更加長遠(yuǎn)的發(fā)展。