量子区块链共识协议、应用与展望

 

翁晨洵¹ 李明阳¹ 尹华磊² 陈增兵¹

（1.南京大学物理学院，南京2100932；

2.中国人民大学物理学系，北京100872）

 

作者简介

 

翁晨洵：南京大学物理学院博士研究生在读，主要研究方向为量子信息理论、量子密码学和相对论密码学。

李明阳：南京大学物理学院硕士研究生在读，主要研究方向为量子信息理论、量子密码学和相对论密码学。

尹华磊：中国人民大学物理学系副教授，主要研究方向为量子通信与信息安全、量子区块链与隐私保护、量子算法与人工智能等。

陈增兵：南京大学物理学院教授，“国家杰出青年科学基金”获得者（2011年）、863主题专家组专家（2011—2016年），主要研究方向为量子理论的基本问题、量子信息和量子人工智能等。

 

摘要：区块链技术通过去中心化和分布式数据库确保数据的安全性、完整性和可追溯性，其核心包括分布式账本、加密技术和共识机制。拜占庭共识协议作为核心组件，在保障去中心化网络的安全和一致性方面至关重要。然而，经典共识协议的安全性受到快速发展的量子计算威胁，并且无法突破1/3容错极限。因此，研究量子拜占庭共识协议变得必要。基于此，讨论了量子计算时代经典拜占庭共识协议面临的挑战，并介绍了检测量子拜占庭共识协议的发展历程和实用困境；重点介绍了基于量子数字签名的新型量子拜占庭共识协议，其突破了1/3容错极限，提供了信息理论安全性且易于实现；最后，讨论了区块链不可能三角对共识协议的约束，并展望了量子区块链共识协议的发展及其在未来量子网络中去中心化通信和计算的前景。

关键词：量子拜占庭容错共识；QDS；量子多方关联；1/3容错极限；量子区块链

 

引言

 

区块链技术是一种去中心化的分布式数据库技术，通过多个节点间的协作，确保数据的安全性、完整性和可追溯性，其核心概念包括分布式账本、加密技术和共识机制。区块链的作用不仅限于数据传输和存储，还包括智能合约的执行、数字资产的管理以及身份验证等，应用场景涵盖金融、供应链管理、物联网、医疗保健等领域。在保障去中心化网络的安全性和决策一致性方面，拜占庭共识协议（Byzantine Agreement），又名拜占庭容错算法（Byzantine Fault Tolerance Algorithm），或拜占庭将军问题（Byzantine Generals Problem）作为区块链的最重要基石之一，其能够使分布式网络实现独立节点对网络消息的共识，可以保证即使在没有可信中心的网络中，甚至存在恶意的节点作恶，例如发布冲突的消息，网络中的每个地位均等的节点仍能就消息达成共识。

 

然而，随着信息时代的快速发展，区块链的共识协议面临着新兴量子计算的威胁。因此，研究和应用量子安全的加密技术，例如基于量子密码学的加密算法，对于保障区块链系统在量子计算时代的安全性和可靠性至关重要。本文着重讨论了在量子计算快速发展的今天，经典拜占庭共识协议遇到的两个主要问题：经典密码学方法的计算安全性和1/3容错极限；并介绍了为解决此问题而提出的检测量子拜占庭协议及其发展和缺陷。此外，本文着重介绍了新提出的基于量子数字签名（Quantum Digital Signatures，QDS）的量子拜占庭共识协议。不同于检测量子拜占庭共识协议，该量子拜占庭共识协议可以扩展到任意人数，且能够打破去中心化系统的1/3容错极限。由于QDS技术的快速发展，其在实现时不需要制备多粒子纠缠态或高维量子比特，仅需制备弱相干态。最后，本文展望了量子区块链共识协议未来的发展方向及其未来在量子网络中完成去中心化通信和计算任务的前景。

 

1 拜占庭共识协议简介

 

1.1 拜占庭将军问题

 

拜占庭将军问题是一个经典的分布式系统问题，由图灵奖得主Lamport[1]于1982年提出。此问题模拟了拜占庭帝国多个将军围攻敌方城堡的场景，将军们需要协商达成一致的行动策略，例如进攻或撤退。然而，一些将军可能是叛徒，故意发送错误信息误导忠诚的将军，导致他们无法达成一致。因此，忠诚的将军需要找到一种方法来识别可信信息，做出正确的决策。

 

该问题的核心在于，即使存在叛徒，忠诚的将军仍然能够达成一致的行动决策。因此，需要设计一种算法或协议来确保忠诚的将军能够有效沟通，并保持一致性和正确性。Lamport提出将拜占庭将军问题转换为“主将军-副官”模型，即随机选择一位将军为主将军，其余为副官。主将军发布命令，副官们需要对主将军的命令达成一致的输出。判断共识协议是否成功取决于系统是否满足两条拜占庭交互一致性条件：所有忠诚的副官遵守相同的命令（IC1）；若主将军是忠诚的，那么每个忠诚的副官都会服从主将军的命令（IC2）。

 

1982年，Lamport^[1]提出了一个去中心化的口头消息型拜占庭共识协议，如图1所示。该协议分为两步，第一步为主将军向各个副官分发命令消息，第二步为各个副官交流各自得到的消息。主将军发布命令后，副官们根据主将军的消息互相交流，需要进行f轮递归交流（其中f为系统中恶意玩家的数量）。当主将军忠诚时，忠诚的副官能够独立推断出正确的命令；当主将军不忠诚时，忠诚的副官们能获得一致的消息列表，从而做出一致的决策。该协议的容错能力为n≥3f+1，无法实现三方共识，且通信复杂度随着参与者人数的增加而指数增长。

 

图1 去中心化的口头消息型协议示意图

 

20 世纪90年代，实用拜占庭容错算法（Practical Byzantine Fault Tolerance， PBFT）的出现标志着经典拜占庭共识协议走向实用化。PBFT由Miguel Castro等^[2]于1999年提出，在实际应用中更加高效，特别是在异步网络环境中表现出色。其通信复杂度为多项式，但容错能力仍然为n≥3f+1。在随后的经典同步或异步拜占庭共识协议发展中，无论使用何种密码学工具，只要是完全去中心化的共识系统，其容错能力仍无法突破1/3^[3-8]。

 

1.2 拜占庭容错共识的两大挑战

 

目前，经典拜占庭共识协议面临着两个问题的制约。首先，经典去中心化的协议会受到1/3容错极限的严格限制，即一个完全去中心化的系统至少需要3f+1个节点才能够容忍其中的f个恶意节点。Lamport在首次提出拜占庭将军问题时就意识到1/3容错极限似乎难以突破，但并未给出严格的数学证明[^1,9]。1986年，美国麻省理工学院Fischer等^[10]利用图论方法，严格证明了完全去中心化的系统将受到1/3容错极限的限制。2018年，俄罗斯Kiktenko等^[11]通过试验验证了即使使用量子信道，当节点通过相互独立的信道连接时，1/3容错极限依然无法突破。

 

其次，经典拜占庭共识协议中使用的传统密码学方法正面临着量子计算和量子算法的严重威胁。部分共识协议采用的经典数字签名技术或加密技术，其安全性依赖于计算复杂度难题，例如大数分解问题。然而，随着近年来量子计算机和量子算法的快速发展^[12-16]，这些基于计算复杂度的密码学技术将不再安全，例如量子Shor算法等，这将严重威胁共识协议的安全性。

 

2 量子拜占庭共识协议的提出与发展

 

2.1 量子拜占庭共识协议的提出和发展

 

2001年，瑞士苏黎世联邦理工学院Fitzi和Maurer以及瑞士日内瓦大学Gisin^[17]提出了检测量子拜占庭共识协议的概念。量子拜占庭共识协议的出现为分布式系统的安全性和容错表现提供了新的可能和方向。该方案理论上提出利用三方参与者共享Aharonov纠缠量子态，通过构建三方关联，移除两两通信信道的独立性，从而实现了经典资源无法实现的三方共识（三将军问题）。2008年，德国马克斯·普朗克量子光学研究所^[18]使用特殊的四光子偏振纠缠量子态对检测量子拜占庭共识方案进行了实验验证，证明了利用量子纠缠实现三方共识的可行性，展示了针对拜占庭共识问题的量子优势。

 

2008年，Neigovzen等^[19]提出了一种基于连续变量系统的方案，用于解决拜占庭容错协议中的“可检测广播”问题。该方案利用多方纠缠高斯态、高斯操作和零差测量，研究三方共识的情况，将多方纠缠高斯态应用于拜占庭共识协议。2015年，Ramij等^[20]基于两比特之间的Hardy关联，提出了一种针对三方拜占庭将军问题的设备无关量子方案。Hardy理论在量子力学中与Bell不等式的违背类似，证明了量子力学与局域实在论之间的根本差异，可以作为判定系统非定域性或存在纠缠的依据。该方案不依赖于GHz态或其他多方纠缠态，不需要测量Bell不等式的违背，只需验证两比特的Hardy关联即可确保协议的安全性。由于涉及的量子系统可以由潜在的恶意方提供，因此协议具有设备无关的安全性。

 

考虑到纠缠制备和操控的技术难点，众多学者也在构建不需纠缠资源的检测量子拜占庭共识协议，并取得一定进展。2015年，Bourennane等^[21]提出了一种基于高维单量子比特（Qudit）的方案，以达成检测量子拜占庭共识协议。该方案不依赖于多方之间的纠缠态，仅需要制备一个单Qudit，各节点对这个量子态进行幺正变换操作，从而获得关联数据列表，进一步利用该列表可以让各节点达成消息共识。如图2所示，该方案于2016年在三方通信的实验场景下，利用三维单量子比特（Qutrit）成功完成协议操作，展示了其可行性^[22]。虽然该协议免除了纠缠实验的要求，但其涉及到高维度量子比特的制备、测量、传输和保存，仍然是推广到实用协议需要克服的难点。2020年，为了让量子拜占庭共识协议进一步迈向实用化，Sun等^[23]借助成熟的量子通信技术如量子密钥分发（Quantum Key Distribution，QKD），提出了一种不需要制备和操控纠缠态的DBA协议。然而，该协议额外引入一个可信性假设，即所有节点都是“半诚实”的，即假设他们可能是恶意的，但会按照协议执行操作。这一假设削弱了共识协议的去中心内核。除了打破1/3容错极限的尝试外，一些研究也致力于提高协议效率，例如优化步骤，使通信轮数保持恒定，而不依赖于恶意节点的个数。2005年，Ben-Or等[24]提出了一种基于量子弱全局投币（Quantum Weak Global Coin）的快速量子拜占庭协议方案。该方案利用量子叠加和纠缠特性，将经典随机协议中的随机性推迟到可能的攻击者选择行动之后，从而避免攻击者提前获取信息并进行破坏。该方案在同步环境下可以容忍最多t<n/3个故障节点，在异步环境下可以容忍最多t<n/4个故障节点。与需要多轮通信的经典协议相比，该方案显著提高了效率，展现了量子方法在解决拜占庭将军问题上的优势。

 

图2 使用高维量子比特进行三方检测拜占庭共识协议的示意图^[22]

 

2.2 检测量子拜占庭共识协议面临的发展困境

 

尽管检测量子拜占庭共识协议的出现和发展展现了量子资源在去中心化共识方面的优势，但这种框架下的量子拜占庭共识协议不可避免地面临以下困境。首先，目前检测量子拜占庭共识协议大多基于三方共识，缺乏一个普适的方法推广到任意人数参与的系统，针对更多人参与的严格安全性证明尚未给出。其次，绝大多数检测量子拜占庭共识协议依赖于构建复杂的量子态，例如多粒子纠缠态或高维单量子比特。在更多人参与的系统中，制备和保持对应人数的多粒子纠缠态和高维量子比特是实验的难点和痛点，在实用性方面显得尤为严峻。最后，检测量子拜占庭共识协议没有严格遵守Lamport提出的两个原始拜占庭交互一致性条件，会引入一些额外的假设，例如部分测量结果不可信，需要抛弃这轮协议重新进行下一轮^[17]，或者假设节点是半诚实的等^[23]。

 

3 基于QDS的量子拜占庭共识协议

 

3.1 如何打破1/3容错极限

 

1/3容错极限对于任何基于两两间通信的去中心化系统都是无法突破的，如果系统中的节点通过彼此相互独立的信道连接，那么即使使用量子信道也无法突破1/3容错极限。这一点已被严格数学证明。但是，当量子纠缠被引入到拜占庭共识协议时，就有可能突破这个界限，这是因为量子纠缠能够向去中心化系统提供多方关联性，从而移除两两连接信道的独立性，使每一个信道都不是完全独立的，这体现了量子资源在共识问题上相较于经典资源的优越性。

 

尽管检测量子拜占庭共识协议是根据多粒子纠缠设计的，但仍无法扩展到超过3个参与者，并且不可避免地引入额外假设，削弱了原始拜占庭判断条件。再加上多粒子纠缠量子态在实验上很难制备和保持，检测量子拜占庭共识协议很难在实验上实现更多玩家参与的共识系统。此外，这些协议没有充分利用相关性来保护不可伪造性和不可否认性，导致了一定的失败概率。因此，值得思考的是，量子纠缠在去中心化共识系统中是否必要，是否可以找到一种更弱的多方相关性，使其在拜占庭共识协议中发挥作用。

 

3.2 基于QDS的量子拜占庭共识协议

 

QDS是一种利用量子力学原理保护数据安全的数字签名技术。与传统的数字签名使用基于复杂数学问题的加密算法不同，QDS通过构造量子指纹态和量子单向函数，利用量子力学的特性，例如量子态的不可克隆性和量子测量原理，来实现信息理论安全的数字签名。

 

传统的数字签名算法会受到量子计算机攻击的威胁，例如基于大数分解的RSA算法可以被量子Shor算法加速攻破^[12]。QDS最早由Gottesman和Chuang[25]于2001年提出（又称GC01 QDS），可以抵御这种攻击。QDS保护的两个重要特性是不可抵赖性（Non-Repudiation）和不可伪造性（Unforgeability）。不可抵赖性是指签名者无法否认其已经创建的签名；不可伪造性是指除了合法的签名者之外，任何其他人都无法生成有效的签名，或者篡改已有的签名而不被检测到。

 

随着二十多年的快速发展，QDS技术克服了复杂的实验需求和一些不合理的理论假设。例如，通过量子测量将量子签名转化为经典信息后，QDS不再需要量子存储技术^[26-29]。进一步地，在2016年，尹华磊等[30]和Amiri等^[31]分别独立提出了不需要安全量子信道假设的实用QDS协议。这些协议主要分为正交编码型和非正交编码型。正交编码型协议在短距离拥有更好的签名率优势，利用对称化操作构建非对称关系，发展出了BB84类型^[32]、连续变量类型^[33-35]、测量设备无关类型^[36-38]和双场类型^[39]等。而非正交编码型利用SARG04编码的自然非对称性，在量子信道的数量和远距离的签名率上具有优势。而后，陆玉硕等[40]引入了后匹配方法，提高了非正交编码协议的签名率，翁晨洵等^[41]在此基础上提出了实用的非正交编码多方QDS。2023年，尹华磊等^[42-43]首次提出了实用的针对多比特信息的一次一哈希（One Time Universal Hashing，OTUH）-QDS协议。该协议通过量子秘密共享构建非对称多方关系，实现了对任意长度信息的量子签名，相比于之前的单比特QDS协议将签名效率提升了约108倍。

 

QDS通常涉及签名方、接收方和验证方三方参与者。需要注意的是，与经典数字签名不同，QDS天然具有去中心化、三方地位相同、没有任何强制的可信假设等特性，而经典数字签名需要可信第三方来分发公私钥。QDS流程包含分发阶段和消息阶段。在分发阶段，签名方分别与接收方和验证方建立关联的量子密钥；在消息阶段，三方参与者进行交流，以确认数字签名是否有效。消息阶段的步骤简述如下：首先，签名方使用其量子密钥对消息进行签名，并将消息和签名发送给接收方；其次，接收方将收到的消息和签名转发给验证方；最后，接收方和验证方分别验证消息和签名的有效性。仅当接收方和验证方都接受消息及其签名时，QDS协议才算成功执行。

 

随着QDS技术的快速发展和成熟，QDS成为实现实用化量子拜占庭共识协议的重要工具。本文设计了一种与检测量子共识协议不同的全新量子拜占庭共识框架^[44]。如图3所示，该框架分为两个关键阶段：广播阶段和推断阶段。

 

图3 基于QDS的量子拜占庭共识协议中基础单元—多播轮的示意图^[44]

 

首先协议进行广播阶段，该阶段的基本组成单元是多播轮。最开始，主将军S作为QDS的发起方，选择一个备份节点Ri作为接收方，其他备份节点将依次作为签名的验证方参与到三方QDS中。如果多播轮中的每一次签名都是成功的，那么接收方和验证方都会将他们收到的每一次消息记录在各自手中的广播列表中。签名过程会一直持续进行，直到该多播轮中的每个备份节点都担任过一次转发方。接着，上一轮的主节点将不会参加接下来的多播轮，而上一轮的备份节点将担任该轮的主节点，根据自己上一轮的广播列表，将其收到的上一轮信息用相同的方法多播给其他节点。这样的递归过程一共有f层，其中f为协议中恶意节点的数目。其中备份节点会在层与层之间进行一致性检测，保证两层多播轮中来自同一个主节点的消息是一致的。

 

在广播阶段结束后，所有的备份节点进行推断阶段。在推断阶段，备份节点会将广播阶段收到的最底层的信息列表输入到majority函数（majority函数会输出列表中出现次数最多的元素），从而推断出上一轮的有效信息列表。这个过程层层递归推断，最后在初始层（也就是主将军S作为主节点的一层），备份节点可以各自独立推断出原始主节点S在第一轮多播中发送的信息，并将其输入majority函数，将输出结果作为最终的来自主节点的消息，从而达成共识。

 

为了展示本实验的高适应性，分别使用了单比特BB84 GC01-QDS[32]、OTUH-QDS^[42]和无完美密钥的OTUH-QDS[43]实现三方共识。此外，本文利用OTUH-QDS实现了五方共识，还利用四强度诱骗态BB84密钥生成过程来实现三种QDS协议^[45]。如图4所示，实验共有5个独立的参与者，主将军S和副官Ri（i=1, 2, 3, 4）。参与者之间关联的量子密钥在实验室内利用光纤系统预先分发，即QDS的关联密钥分发阶段是在实验室内提前完成的。他们将自己手中的量子密钥保密地带到图4（a）中南京大学鼓楼校区的5处不同地点，然后使用这些量子密钥完成每三人之间的QDS，执行QDS消息阶段的经典操作，从而确认QDS是否有效。为了简化原理验证实验，采用了上述预先生成量子密钥的方法，这是因为现实生活中多节点量子网络尚未成熟。随着多节点量子网络的成熟，该量子拜占庭框架可以无缝集成到实际的量子网络中，而无需实验室中的量子密钥准备，从而实现网络中去中心化的通信和计算任务。

 

图4 基于QDS的量子拜占庭共识协议的实验实施示意图^[44]

 

事实上，QDS是解决拜占庭将军问题的一个有用量子密码学工具，因其在每三方参与者之间都建立了不对称的多方关系。此外，QDS天生去中心化，3个参与者地位相等，没有完全可信赖的第三方，而信息理论安全的经典数字签名方案则需要额外的假设，例如存在一个不遵守拜占庭协议的去中心化条件的可信赖第三方或者安全的广播信道等^[46]。相比于检测量子拜占庭共识协议，QDS的不可伪造性和不可否认性有效地限制了系统内恶意玩家的恶意活动，能够防止恶意玩家不加区分地向忠诚的玩家传播互相冲突的消息。因此，QDS的不对称关系使通道不再彼此独立，可以在不使用量子纠缠的情况下突破1/3容错界限，提高信息理论安全性，并借助递归结构和一致性检验能够扩展到更多人参与的系统。此外，得益于QDS这一量子密码学技术的成熟和实用化，如表1所示，基于QDS的量子拜占庭共识协议不再需要制备和维持复杂的多粒子纠缠量子态，仅需制备弱相干态完成QDS。借助针对多比特消息的OTUH-QDS技术，该协议还能实现针对多比特消息的共识。

 

表1 基于QDS的量子拜占庭共识协议与检测量子拜占庭共识协议对比

 

3.3 区块链不可能三角

 

区块链不可能三角指的是去中心化、安全性、可扩展性这3个属性在区块链这类分布式系统中无法同时实现^[47]。拜占庭共识协议的设计面临的挑战包括如何在保持去中心化的同时，确保安全性并提高其可扩展性。这3个属性在理论上被认为是相互制约的，因此，在设计和实施区块链系统时，通常只能优化其中两个属性，而牺牲第3个属性。例如，增加去中心化可能会降低网络的可扩展性，因为更多的节点需要处理和验证。同样，提高可扩展性可能需要在去中心化或安全性方面做出权衡。目前，还没有一个经典或量子拜占庭共识协议能够突破区块链不可能三角。例如，比特币采用的工作量证明（Proof of Work，PoW）机制和以太坊引入的基于权益证明（Proof of Stake，PoS）机制，都放宽了部分安全性和去中心化需求，以换取用户参与人数的增加和可扩展性的增强。基于QDS的量子拜占庭共识协议在安全性（信息理论安全和近1/2容错能力）和去中心化方面已经做到极致，但其通信复杂度会随着系统中玩家的增加而指数增长。若想构建一个大量用户参与的去中心化量子共识网络，其可扩展性（通信复杂度）是一个艰巨的挑战。

 

4 量子区块链共识协议展望

 

随着未来量子计算机的快速发展，研究实用化的量子区块链共识协议显得尤为重要。目前，量子拜占庭共识协议在安全性方面展现了量子优势，相比经典协议，不仅提供信息理论安全，还能突破经典资源无法打破的1/3容错极限。然而，去中心化的量子区块链在实用化发展过程中仍面临许多研究难题。

 

首先，由于区块链不可能三角的制约，拜占庭共识协议难以在去中心化、安全性、可扩展性上同时达到最佳表现。尽管区块链不可能三角并非严格的数学证明，而是经验规律，量子资源能否突破这一限制，在3个方面均达到最佳表现仍需探索。或者，为了扩大未来量子区块链的用户数量，可以适当放宽去中心化和安全性的要求，寻找一种低通信复杂度的量子拜占庭共识协议。

 

其次，目前的量子拜占庭共识协议在协议层面实现去中心化，但在实验实现方面仍存在许多可信假设，损害了去中心化这一核心。例如，部分协议需要可信的纠缠源以及发送和测量设备的可信性假设等。近期，经旭等^[48]首次在光量子芯片上实现了集成化的无额外假设的源无关量子拜占庭共识协议，即使使用第三方攻击者提供的纠缠源，协议仍能安全地达成共识。进一步地，设备无关的量子拜占庭共识协议的发展值得期待，这将完全移除对实验设备的可信性假设，迈向真正的实用的去中心化系统。

 

最后，目前绝大多数的量子拜占庭共识协议都是同步协议。同步和异步主要区别在于对时间和消息传递的假设不同。同步假设有固定的消息延迟，而异步则允许任意长的延迟。同步算法在理论研究中较为常见，而异步算法由于其更高的现实适用性，在实际应用中更为普遍。因此，研究性能优异的异步量子拜占庭共识协议是量子区块链走向生活化和实用化的必经之路。

 

可以预见，量子拜占庭共识协议将成为未来量子区块链技术的基石，并在金融服务、元宇宙技术、供应链管理、物联网、智能合约、国家安全、医疗健康和能源管理等领域具有广泛应用前景^[49]。该协议能够在未来大规模部署的量子网络中提供快速、安全、去中心化的跨境支付、设备身份验证、智能电网管理等服务，确保去中心化数据传输、存储和计算，从而提升这些领域的技术水平和运营效率。

 

5 结束语

 

区块链是一种保证数据一致存储、难以篡改和防止抵赖的去中心化分布式账本技术，能够在不可信的竞争环境中建立信任，是未来数字经济发展和新型信任体系构建的关键技术之一。拜占庭共识协议是区块链技术的核心组件之一，解决了拜占庭将军问题，即在去中心化系统中允许多少恶意节点仍能保证系统共识的可靠性。然而，随着量子计算机的发展，量子算法对经典加密算法构成威胁，且经典共识协议无法突破1/3容错极限。量子拜占庭共识协议利用量子资源，如量子纠缠态和QDS，提高信息理论安全性，突破了1/3容错极限，在共识问题上展现出独特的量子优势。随着量子拜占庭共识协议向实用化迈进，未来将进一步降低部署难度，提供优异的安全性、容错能力和可拓展性，推动量子区块链技术在未来全功能量子网络中的数字人民币、元宇宙、分布式存储和计算、匿名交易、物流运输和智慧医疗等领域的应用。

 

量子区块链共识协议、应用与展望

 

翁晨洵¹ 李明阳¹ 尹华磊² 陈增兵¹

（1.南京大学物理学院，南京2100932；

2.中国人民大学物理学系，北京100872）

 

作者简介

 

翁晨洵：南京大学物理学院博士研究生在读，主要研究方向为量子信息理论、量子密码学和相对论密码学。

李明阳：南京大学物理学院硕士研究生在读，主要研究方向为量子信息理论、量子密码学和相对论密码学。

尹华磊：中国人民大学物理学系副教授，主要研究方向为量子通信与信息安全、量子区块链与隐私保护、量子算法与人工智能等。

陈增兵：南京大学物理学院教授，“国家杰出青年科学基金”获得者（2011年）、863主题专家组专家（2011—2016年），主要研究方向为量子理论的基本问题、量子信息和量子人工智能等。

 

摘要：区块链技术通过去中心化和分布式数据库确保数据的安全性、完整性和可追溯性，其核心包括分布式账本、加密技术和共识机制。拜占庭共识协议作为核心组件，在保障去中心化网络的安全和一致性方面至关重要。然而，经典共识协议的安全性受到快速发展的量子计算威胁，并且无法突破1/3容错极限。因此，研究量子拜占庭共识协议变得必要。基于此，讨论了量子计算时代经典拜占庭共识协议面临的挑战，并介绍了检测量子拜占庭共识协议的发展历程和实用困境；重点介绍了基于量子数字签名的新型量子拜占庭共识协议，其突破了1/3容错极限，提供了信息理论安全性且易于实现；最后，讨论了区块链不可能三角对共识协议的约束，并展望了量子区块链共识协议的发展及其在未来量子网络中去中心化通信和计算的前景。

关键词：量子拜占庭容错共识；QDS；量子多方关联；1/3容错极限；量子区块链

 

引言

 

区块链技术是一种去中心化的分布式数据库技术，通过多个节点间的协作，确保数据的安全性、完整性和可追溯性，其核心概念包括分布式账本、加密技术和共识机制。区块链的作用不仅限于数据传输和存储，还包括智能合约的执行、数字资产的管理以及身份验证等，应用场景涵盖金融、供应链管理、物联网、医疗保健等领域。在保障去中心化网络的安全性和决策一致性方面，拜占庭共识协议（Byzantine Agreement），又名拜占庭容错算法（Byzantine Fault Tolerance Algorithm），或拜占庭将军问题（Byzantine Generals Problem）作为区块链的最重要基石之一，其能够使分布式网络实现独立节点对网络消息的共识，可以保证即使在没有可信中心的网络中，甚至存在恶意的节点作恶，例如发布冲突的消息，网络中的每个地位均等的节点仍能就消息达成共识。

 

然而，随着信息时代的快速发展，区块链的共识协议面临着新兴量子计算的威胁。因此，研究和应用量子安全的加密技术，例如基于量子密码学的加密算法，对于保障区块链系统在量子计算时代的安全性和可靠性至关重要。本文着重讨论了在量子计算快速发展的今天，经典拜占庭共识协议遇到的两个主要问题：经典密码学方法的计算安全性和1/3容错极限；并介绍了为解决此问题而提出的检测量子拜占庭协议及其发展和缺陷。此外，本文着重介绍了新提出的基于量子数字签名（Quantum Digital Signatures，QDS）的量子拜占庭共识协议。不同于检测量子拜占庭共识协议，该量子拜占庭共识协议可以扩展到任意人数，且能够打破去中心化系统的1/3容错极限。由于QDS技术的快速发展，其在实现时不需要制备多粒子纠缠态或高维量子比特，仅需制备弱相干态。最后，本文展望了量子区块链共识协议未来的发展方向及其未来在量子网络中完成去中心化通信和计算任务的前景。

 

1 拜占庭共识协议简介

 

1.1 拜占庭将军问题

 

拜占庭将军问题是一个经典的分布式系统问题，由图灵奖得主Lamport[1]于1982年提出。此问题模拟了拜占庭帝国多个将军围攻敌方城堡的场景，将军们需要协商达成一致的行动策略，例如进攻或撤退。然而，一些将军可能是叛徒，故意发送错误信息误导忠诚的将军，导致他们无法达成一致。因此，忠诚的将军需要找到一种方法来识别可信信息，做出正确的决策。

 

该问题的核心在于，即使存在叛徒，忠诚的将军仍然能够达成一致的行动决策。因此，需要设计一种算法或协议来确保忠诚的将军能够有效沟通，并保持一致性和正确性。Lamport提出将拜占庭将军问题转换为“主将军-副官”模型，即随机选择一位将军为主将军，其余为副官。主将军发布命令，副官们需要对主将军的命令达成一致的输出。判断共识协议是否成功取决于系统是否满足两条拜占庭交互一致性条件：所有忠诚的副官遵守相同的命令（IC1）；若主将军是忠诚的，那么每个忠诚的副官都会服从主将军的命令（IC2）。

 

1982年，Lamport^[1]提出了一个去中心化的口头消息型拜占庭共识协议，如图1所示。该协议分为两步，第一步为主将军向各个副官分发命令消息，第二步为各个副官交流各自得到的消息。主将军发布命令后，副官们根据主将军的消息互相交流，需要进行f轮递归交流（其中f为系统中恶意玩家的数量）。当主将军忠诚时，忠诚的副官能够独立推断出正确的命令；当主将军不忠诚时，忠诚的副官们能获得一致的消息列表，从而做出一致的决策。该协议的容错能力为n≥3f+1，无法实现三方共识，且通信复杂度随着参与者人数的增加而指数增长。

 

图1 去中心化的口头消息型协议示意图

 

20 世纪90年代，实用拜占庭容错算法（Practical Byzantine Fault Tolerance， PBFT）的出现标志着经典拜占庭共识协议走向实用化。PBFT由Miguel Castro等^[2]于1999年提出，在实际应用中更加高效，特别是在异步网络环境中表现出色。其通信复杂度为多项式，但容错能力仍然为n≥3f+1。在随后的经典同步或异步拜占庭共识协议发展中，无论使用何种密码学工具，只要是完全去中心化的共识系统，其容错能力仍无法突破1/3^[3-8]。

 

1.2 拜占庭容错共识的两大挑战

 

目前，经典拜占庭共识协议面临着两个问题的制约。首先，经典去中心化的协议会受到1/3容错极限的严格限制，即一个完全去中心化的系统至少需要3f+1个节点才能够容忍其中的f个恶意节点。Lamport在首次提出拜占庭将军问题时就意识到1/3容错极限似乎难以突破，但并未给出严格的数学证明[^1,9]。1986年，美国麻省理工学院Fischer等^[10]利用图论方法，严格证明了完全去中心化的系统将受到1/3容错极限的限制。2018年，俄罗斯Kiktenko等^[11]通过试验验证了即使使用量子信道，当节点通过相互独立的信道连接时，1/3容错极限依然无法突破。

 

其次，经典拜占庭共识协议中使用的传统密码学方法正面临着量子计算和量子算法的严重威胁。部分共识协议采用的经典数字签名技术或加密技术，其安全性依赖于计算复杂度难题，例如大数分解问题。然而，随着近年来量子计算机和量子算法的快速发展^[12-16]，这些基于计算复杂度的密码学技术将不再安全，例如量子Shor算法等，这将严重威胁共识协议的安全性。

 

2 量子拜占庭共识协议的提出与发展

 

2.1 量子拜占庭共识协议的提出和发展

 

2001年，瑞士苏黎世联邦理工学院Fitzi和Maurer以及瑞士日内瓦大学Gisin^[17]提出了检测量子拜占庭共识协议的概念。量子拜占庭共识协议的出现为分布式系统的安全性和容错表现提供了新的可能和方向。该方案理论上提出利用三方参与者共享Aharonov纠缠量子态，通过构建三方关联，移除两两通信信道的独立性，从而实现了经典资源无法实现的三方共识（三将军问题）。2008年，德国马克斯·普朗克量子光学研究所^[18]使用特殊的四光子偏振纠缠量子态对检测量子拜占庭共识方案进行了实验验证，证明了利用量子纠缠实现三方共识的可行性，展示了针对拜占庭共识问题的量子优势。

 

2008年，Neigovzen等^[19]提出了一种基于连续变量系统的方案，用于解决拜占庭容错协议中的“可检测广播”问题。该方案利用多方纠缠高斯态、高斯操作和零差测量，研究三方共识的情况，将多方纠缠高斯态应用于拜占庭共识协议。2015年，Ramij等^[20]基于两比特之间的Hardy关联，提出了一种针对三方拜占庭将军问题的设备无关量子方案。Hardy理论在量子力学中与Bell不等式的违背类似，证明了量子力学与局域实在论之间的根本差异，可以作为判定系统非定域性或存在纠缠的依据。该方案不依赖于GHz态或其他多方纠缠态，不需要测量Bell不等式的违背，只需验证两比特的Hardy关联即可确保协议的安全性。由于涉及的量子系统可以由潜在的恶意方提供，因此协议具有设备无关的安全性。

 

考虑到纠缠制备和操控的技术难点，众多学者也在构建不需纠缠资源的检测量子拜占庭共识协议，并取得一定进展。2015年，Bourennane等^[21]提出了一种基于高维单量子比特（Qudit）的方案，以达成检测量子拜占庭共识协议。该方案不依赖于多方之间的纠缠态，仅需要制备一个单Qudit，各节点对这个量子态进行幺正变换操作，从而获得关联数据列表，进一步利用该列表可以让各节点达成消息共识。如图2所示，该方案于2016年在三方通信的实验场景下，利用三维单量子比特（Qutrit）成功完成协议操作，展示了其可行性^[22]。虽然该协议免除了纠缠实验的要求，但其涉及到高维度量子比特的制备、测量、传输和保存，仍然是推广到实用协议需要克服的难点。2020年，为了让量子拜占庭共识协议进一步迈向实用化，Sun等^[23]借助成熟的量子通信技术如量子密钥分发（Quantum Key Distribution，QKD），提出了一种不需要制备和操控纠缠态的DBA协议。然而，该协议额外引入一个可信性假设，即所有节点都是“半诚实”的，即假设他们可能是恶意的，但会按照协议执行操作。这一假设削弱了共识协议的去中心内核。除了打破1/3容错极限的尝试外，一些研究也致力于提高协议效率，例如优化步骤，使通信轮数保持恒定，而不依赖于恶意节点的个数。2005年，Ben-Or等[24]提出了一种基于量子弱全局投币（Quantum Weak Global Coin）的快速量子拜占庭协议方案。该方案利用量子叠加和纠缠特性，将经典随机协议中的随机性推迟到可能的攻击者选择行动之后，从而避免攻击者提前获取信息并进行破坏。该方案在同步环境下可以容忍最多t<n/3个故障节点，在异步环境下可以容忍最多t<n/4个故障节点。与需要多轮通信的经典协议相比，该方案显著提高了效率，展现了量子方法在解决拜占庭将军问题上的优势。

 

图2 使用高维量子比特进行三方检测拜占庭共识协议的示意图^[22]

 

2.2 检测量子拜占庭共识协议面临的发展困境

 

尽管检测量子拜占庭共识协议的出现和发展展现了量子资源在去中心化共识方面的优势，但这种框架下的量子拜占庭共识协议不可避免地面临以下困境。首先，目前检测量子拜占庭共识协议大多基于三方共识，缺乏一个普适的方法推广到任意人数参与的系统，针对更多人参与的严格安全性证明尚未给出。其次，绝大多数检测量子拜占庭共识协议依赖于构建复杂的量子态，例如多粒子纠缠态或高维单量子比特。在更多人参与的系统中，制备和保持对应人数的多粒子纠缠态和高维量子比特是实验的难点和痛点，在实用性方面显得尤为严峻。最后，检测量子拜占庭共识协议没有严格遵守Lamport提出的两个原始拜占庭交互一致性条件，会引入一些额外的假设，例如部分测量结果不可信，需要抛弃这轮协议重新进行下一轮^[17]，或者假设节点是半诚实的等^[23]。

 

3 基于QDS的量子拜占庭共识协议

 

3.1 如何打破1/3容错极限

 

1/3容错极限对于任何基于两两间通信的去中心化系统都是无法突破的，如果系统中的节点通过彼此相互独立的信道连接，那么即使使用量子信道也无法突破1/3容错极限。这一点已被严格数学证明。但是，当量子纠缠被引入到拜占庭共识协议时，就有可能突破这个界限，这是因为量子纠缠能够向去中心化系统提供多方关联性，从而移除两两连接信道的独立性，使每一个信道都不是完全独立的，这体现了量子资源在共识问题上相较于经典资源的优越性。

 

尽管检测量子拜占庭共识协议是根据多粒子纠缠设计的，但仍无法扩展到超过3个参与者，并且不可避免地引入额外假设，削弱了原始拜占庭判断条件。再加上多粒子纠缠量子态在实验上很难制备和保持，检测量子拜占庭共识协议很难在实验上实现更多玩家参与的共识系统。此外，这些协议没有充分利用相关性来保护不可伪造性和不可否认性，导致了一定的失败概率。因此，值得思考的是，量子纠缠在去中心化共识系统中是否必要，是否可以找到一种更弱的多方相关性，使其在拜占庭共识协议中发挥作用。

 

3.2 基于QDS的量子拜占庭共识协议

 

QDS是一种利用量子力学原理保护数据安全的数字签名技术。与传统的数字签名使用基于复杂数学问题的加密算法不同，QDS通过构造量子指纹态和量子单向函数，利用量子力学的特性，例如量子态的不可克隆性和量子测量原理，来实现信息理论安全的数字签名。

 

传统的数字签名算法会受到量子计算机攻击的威胁，例如基于大数分解的RSA算法可以被量子Shor算法加速攻破^[12]。QDS最早由Gottesman和Chuang[25]于2001年提出（又称GC01 QDS），可以抵御这种攻击。QDS保护的两个重要特性是不可抵赖性（Non-Repudiation）和不可伪造性（Unforgeability）。不可抵赖性是指签名者无法否认其已经创建的签名；不可伪造性是指除了合法的签名者之外，任何其他人都无法生成有效的签名，或者篡改已有的签名而不被检测到。

 

随着二十多年的快速发展，QDS技术克服了复杂的实验需求和一些不合理的理论假设。例如，通过量子测量将量子签名转化为经典信息后，QDS不再需要量子存储技术^[26-29]。进一步地，在2016年，尹华磊等[30]和Amiri等^[31]分别独立提出了不需要安全量子信道假设的实用QDS协议。这些协议主要分为正交编码型和非正交编码型。正交编码型协议在短距离拥有更好的签名率优势，利用对称化操作构建非对称关系，发展出了BB84类型^[32]、连续变量类型^[33-35]、测量设备无关类型^[36-38]和双场类型^[39]等。而非正交编码型利用SARG04编码的自然非对称性，在量子信道的数量和远距离的签名率上具有优势。而后，陆玉硕等[40]引入了后匹配方法，提高了非正交编码协议的签名率，翁晨洵等^[41]在此基础上提出了实用的非正交编码多方QDS。2023年，尹华磊等^[42-43]首次提出了实用的针对多比特信息的一次一哈希（One Time Universal Hashing，OTUH）-QDS协议。该协议通过量子秘密共享构建非对称多方关系，实现了对任意长度信息的量子签名，相比于之前的单比特QDS协议将签名效率提升了约108倍。

 

QDS通常涉及签名方、接收方和验证方三方参与者。需要注意的是，与经典数字签名不同，QDS天然具有去中心化、三方地位相同、没有任何强制的可信假设等特性，而经典数字签名需要可信第三方来分发公私钥。QDS流程包含分发阶段和消息阶段。在分发阶段，签名方分别与接收方和验证方建立关联的量子密钥；在消息阶段，三方参与者进行交流，以确认数字签名是否有效。消息阶段的步骤简述如下：首先，签名方使用其量子密钥对消息进行签名，并将消息和签名发送给接收方；其次，接收方将收到的消息和签名转发给验证方；最后，接收方和验证方分别验证消息和签名的有效性。仅当接收方和验证方都接受消息及其签名时，QDS协议才算成功执行。

 

随着QDS技术的快速发展和成熟，QDS成为实现实用化量子拜占庭共识协议的重要工具。本文设计了一种与检测量子共识协议不同的全新量子拜占庭共识框架^[44]。如图3所示，该框架分为两个关键阶段：广播阶段和推断阶段。

 

图3 基于QDS的量子拜占庭共识协议中基础单元—多播轮的示意图^[44]

 

首先协议进行广播阶段，该阶段的基本组成单元是多播轮。最开始，主将军S作为QDS的发起方，选择一个备份节点Ri作为接收方，其他备份节点将依次作为签名的验证方参与到三方QDS中。如果多播轮中的每一次签名都是成功的，那么接收方和验证方都会将他们收到的每一次消息记录在各自手中的广播列表中。签名过程会一直持续进行，直到该多播轮中的每个备份节点都担任过一次转发方。接着，上一轮的主节点将不会参加接下来的多播轮，而上一轮的备份节点将担任该轮的主节点，根据自己上一轮的广播列表，将其收到的上一轮信息用相同的方法多播给其他节点。这样的递归过程一共有f层，其中f为协议中恶意节点的数目。其中备份节点会在层与层之间进行一致性检测，保证两层多播轮中来自同一个主节点的消息是一致的。

 

在广播阶段结束后，所有的备份节点进行推断阶段。在推断阶段，备份节点会将广播阶段收到的最底层的信息列表输入到majority函数（majority函数会输出列表中出现次数最多的元素），从而推断出上一轮的有效信息列表。这个过程层层递归推断，最后在初始层（也就是主将军S作为主节点的一层），备份节点可以各自独立推断出原始主节点S在第一轮多播中发送的信息，并将其输入majority函数，将输出结果作为最终的来自主节点的消息，从而达成共识。

 

为了展示本实验的高适应性，分别使用了单比特BB84 GC01-QDS[32]、OTUH-QDS^[42]和无完美密钥的OTUH-QDS[43]实现三方共识。此外，本文利用OTUH-QDS实现了五方共识，还利用四强度诱骗态BB84密钥生成过程来实现三种QDS协议^[45]。如图4所示，实验共有5个独立的参与者，主将军S和副官Ri（i=1, 2, 3, 4）。参与者之间关联的量子密钥在实验室内利用光纤系统预先分发，即QDS的关联密钥分发阶段是在实验室内提前完成的。他们将自己手中的量子密钥保密地带到图4（a）中南京大学鼓楼校区的5处不同地点，然后使用这些量子密钥完成每三人之间的QDS，执行QDS消息阶段的经典操作，从而确认QDS是否有效。为了简化原理验证实验，采用了上述预先生成量子密钥的方法，这是因为现实生活中多节点量子网络尚未成熟。随着多节点量子网络的成熟，该量子拜占庭框架可以无缝集成到实际的量子网络中，而无需实验室中的量子密钥准备，从而实现网络中去中心化的通信和计算任务。

 

图4 基于QDS的量子拜占庭共识协议的实验实施示意图^[44]

 

事实上，QDS是解决拜占庭将军问题的一个有用量子密码学工具，因其在每三方参与者之间都建立了不对称的多方关系。此外，QDS天生去中心化，3个参与者地位相等，没有完全可信赖的第三方，而信息理论安全的经典数字签名方案则需要额外的假设，例如存在一个不遵守拜占庭协议的去中心化条件的可信赖第三方或者安全的广播信道等^[46]。相比于检测量子拜占庭共识协议，QDS的不可伪造性和不可否认性有效地限制了系统内恶意玩家的恶意活动，能够防止恶意玩家不加区分地向忠诚的玩家传播互相冲突的消息。因此，QDS的不对称关系使通道不再彼此独立，可以在不使用量子纠缠的情况下突破1/3容错界限，提高信息理论安全性，并借助递归结构和一致性检验能够扩展到更多人参与的系统。此外，得益于QDS这一量子密码学技术的成熟和实用化，如表1所示，基于QDS的量子拜占庭共识协议不再需要制备和维持复杂的多粒子纠缠量子态，仅需制备弱相干态完成QDS。借助针对多比特消息的OTUH-QDS技术，该协议还能实现针对多比特消息的共识。

 

表1 基于QDS的量子拜占庭共识协议与检测量子拜占庭共识协议对比

 

3.3 区块链不可能三角

 

区块链不可能三角指的是去中心化、安全性、可扩展性这3个属性在区块链这类分布式系统中无法同时实现^[47]。拜占庭共识协议的设计面临的挑战包括如何在保持去中心化的同时，确保安全性并提高其可扩展性。这3个属性在理论上被认为是相互制约的，因此，在设计和实施区块链系统时，通常只能优化其中两个属性，而牺牲第3个属性。例如，增加去中心化可能会降低网络的可扩展性，因为更多的节点需要处理和验证。同样，提高可扩展性可能需要在去中心化或安全性方面做出权衡。目前，还没有一个经典或量子拜占庭共识协议能够突破区块链不可能三角。例如，比特币采用的工作量证明（Proof of Work，PoW）机制和以太坊引入的基于权益证明（Proof of Stake，PoS）机制，都放宽了部分安全性和去中心化需求，以换取用户参与人数的增加和可扩展性的增强。基于QDS的量子拜占庭共识协议在安全性（信息理论安全和近1/2容错能力）和去中心化方面已经做到极致，但其通信复杂度会随着系统中玩家的增加而指数增长。若想构建一个大量用户参与的去中心化量子共识网络，其可扩展性（通信复杂度）是一个艰巨的挑战。

 

4 量子区块链共识协议展望

 

随着未来量子计算机的快速发展，研究实用化的量子区块链共识协议显得尤为重要。目前，量子拜占庭共识协议在安全性方面展现了量子优势，相比经典协议，不仅提供信息理论安全，还能突破经典资源无法打破的1/3容错极限。然而，去中心化的量子区块链在实用化发展过程中仍面临许多研究难题。

 

首先，由于区块链不可能三角的制约，拜占庭共识协议难以在去中心化、安全性、可扩展性上同时达到最佳表现。尽管区块链不可能三角并非严格的数学证明，而是经验规律，量子资源能否突破这一限制，在3个方面均达到最佳表现仍需探索。或者，为了扩大未来量子区块链的用户数量，可以适当放宽去中心化和安全性的要求，寻找一种低通信复杂度的量子拜占庭共识协议。

 

其次，目前的量子拜占庭共识协议在协议层面实现去中心化，但在实验实现方面仍存在许多可信假设，损害了去中心化这一核心。例如，部分协议需要可信的纠缠源以及发送和测量设备的可信性假设等。近期，经旭等^[48]首次在光量子芯片上实现了集成化的无额外假设的源无关量子拜占庭共识协议，即使使用第三方攻击者提供的纠缠源，协议仍能安全地达成共识。进一步地，设备无关的量子拜占庭共识协议的发展值得期待，这将完全移除对实验设备的可信性假设，迈向真正的实用的去中心化系统。

 

最后，目前绝大多数的量子拜占庭共识协议都是同步协议。同步和异步主要区别在于对时间和消息传递的假设不同。同步假设有固定的消息延迟，而异步则允许任意长的延迟。同步算法在理论研究中较为常见，而异步算法由于其更高的现实适用性，在实际应用中更为普遍。因此，研究性能优异的异步量子拜占庭共识协议是量子区块链走向生活化和实用化的必经之路。

 

可以预见，量子拜占庭共识协议将成为未来量子区块链技术的基石，并在金融服务、元宇宙技术、供应链管理、物联网、智能合约、国家安全、医疗健康和能源管理等领域具有广泛应用前景^[49]。该协议能够在未来大规模部署的量子网络中提供快速、安全、去中心化的跨境支付、设备身份验证、智能电网管理等服务，确保去中心化数据传输、存储和计算，从而提升这些领域的技术水平和运营效率。

 

5 结束语

 

区块链是一种保证数据一致存储、难以篡改和防止抵赖的去中心化分布式账本技术，能够在不可信的竞争环境中建立信任，是未来数字经济发展和新型信任体系构建的关键技术之一。拜占庭共识协议是区块链技术的核心组件之一，解决了拜占庭将军问题，即在去中心化系统中允许多少恶意节点仍能保证系统共识的可靠性。然而，随着量子计算机的发展，量子算法对经典加密算法构成威胁，且经典共识协议无法突破1/3容错极限。量子拜占庭共识协议利用量子资源，如量子纠缠态和QDS，提高信息理论安全性，突破了1/3容错极限，在共识问题上展现出独特的量子优势。随着量子拜占庭共识协议向实用化迈进，未来将进一步降低部署难度，提供优异的安全性、容错能力和可拓展性，推动量子区块链技术在未来全功能量子网络中的数字人民币、元宇宙、分布式存储和计算、匿名交易、物流运输和智慧医疗等领域的应用。