陳冰兒，王幫海，勞南新

（廣東工業(yè)大學(xué) 計算機(jī)學(xué)院，廣東 廣州 510006）

區(qū)塊鏈技術(shù)是一種去中心化的新型分布式數(shù)據(jù)存儲技術(shù)[1]，基于共識機(jī)制可以使得大量互不認(rèn)識的節(jié)點(diǎn)達(dá)成共識[2]。其具有去中心化、透明、不可篡改、共識信任、跨平臺等特性[3]，在電子貨幣、供應(yīng)鏈物流、知識產(chǎn)權(quán)保護(hù)等領(lǐng)域已有廣泛的應(yīng)用[4]。據(jù)預(yù)測，到2025年，全球10%的GDP可能存儲在區(qū)塊鏈或區(qū)塊鏈相關(guān)的技術(shù)上[5]。

然而隨著量子計算技術(shù)的發(fā)展[6]，區(qū)塊鏈技術(shù)面臨著量子計算機(jī)產(chǎn)生的兩大威脅[7]：其一，量子Grover搜索算法[8]可以使得哈希算法被成功碰撞攻擊的概率增加[9]，由于哈希算法被用于區(qū)塊鏈的挖礦流程以及前后區(qū)塊的關(guān)聯(lián)中，在量子計算時代，會導(dǎo)致現(xiàn)行區(qū)塊鏈出現(xiàn)算力不平衡與偽造區(qū)塊的問題；其二，區(qū)塊鏈技術(shù)在身份驗證中使用了橢圓曲線數(shù)字簽名(Elliptic Curve Digital Signature Algorithm，ECDSA)和RSA數(shù)字簽名等算法，這些基于數(shù)學(xué)計算單向困難性的數(shù)字簽名算法在面臨量子Shor算法[10]及其變種算法的指數(shù)級加速優(yōu)勢下[11]，也呈現(xiàn)出脆弱性[12]，導(dǎo)致區(qū)塊鏈技術(shù)面臨著身份偽造的風(fēng)險[13]。盡管目前已有一系列抗量子攻擊區(qū)塊鏈被提出，但這些抗量子攻擊區(qū)塊鏈要么缺乏堅實(shí)的理論安全性證明[14-17]，要么只是抽象理論的數(shù)學(xué)概念原型，距離實(shí)用化還有相當(dāng)長的距離。

本文提出的基于委托權(quán)益證明(Delegated Proof of Stake，DPoS)擴(kuò)展的量子加密區(qū)塊鏈，是對Kiktenko等[18-19]所提的量子安全區(qū)塊鏈進(jìn)行的改進(jìn)，其基于委托權(quán)益證明技術(shù)，使得所需建設(shè)的量子密鑰分發(fā)(Quantum Key Distribution，QKD)信道數(shù)量從O(n2)降低到O(n)，并且使得在共識機(jī)制中，拜占庭容錯協(xié)議所需進(jìn)行的通信輪數(shù)上限由n/3+1降低為k/3+1。盡管可容納的錯誤節(jié)點(diǎn)數(shù)量上限進(jìn)行了一定程度的犧牲，但在保證超級節(jié)點(diǎn)質(zhì)量的條件下，本文所提的基于DPoS擴(kuò)展的量子加密區(qū)塊鏈在建設(shè)成本、運(yùn)行效率和經(jīng)濟(jì)價值上都具有相當(dāng)高的實(shí)用性。

1 相關(guān)工作

對于區(qū)塊鏈技術(shù)在量子計算時代所暴露出的脆弱性，先后有學(xué)者提出了不同思路的抗量子攻擊區(qū)塊鏈。

1.1 基于后量子密碼學(xué)的抗量子攻擊區(qū)塊鏈

后量子密碼學(xué)為密碼學(xué)一個新興的分支，它基于一套能夠抵抗量子攻擊的算法，主要包括基于編碼的加密、基于哈希的加密和基于格的密碼等。其中格密碼是被研究最多的后量子密碼算法，格密碼與區(qū)塊鏈的結(jié)合也是非常具有應(yīng)用前景的研究方向，已有研究者[20-22]對格密碼與區(qū)塊鏈技術(shù)的結(jié)合做了相當(dāng)深入的研究。在比特幣社區(qū)也已經(jīng)達(dá)成一種共識，即：使用一個或多個后量子密碼來替代橢圓曲線密碼(Elliptic Curve Cryptography，ECC)作為交易的數(shù)字簽名。

1.2 基于時間糾纏的量子區(qū)塊鏈

Del Rajan等[23]于2018年提出了時間糾纏量子區(qū)塊鏈的概念。把經(jīng)典區(qū)塊中的記錄數(shù)據(jù)簡化為只有2位的字符串，然后將每個區(qū)塊用臨時貝爾態(tài)進(jìn)行編碼。再通過融合過程使得臨時貝爾態(tài)不斷迭代映射到一個增長的臨時GHZ(Greenberger-Horne-Zeilinger)態(tài)。這種前后量子態(tài)的關(guān)聯(lián)模擬了區(qū)塊鏈中前后區(qū)塊的關(guān)聯(lián)。

1.3 基于QKD的量子安全區(qū)塊鏈

E.O. Kiktenko等[18]在2017年提出了使用QKD進(jìn)行簽名驗證的量子安全區(qū)塊鏈。其主要包含了兩層網(wǎng)絡(luò)：第一層是任意兩個節(jié)點(diǎn)間都可進(jìn)行保密通信的QKD網(wǎng)絡(luò)[19]，主要用于在任意兩個節(jié)點(diǎn)間共享密鑰；第二層為經(jīng)典網(wǎng)絡(luò)，用于在第一層QKD網(wǎng)絡(luò)形成的密鑰打上簽名標(biāo)簽后，作為交易信息傳輸。如圖1所示，任意兩個節(jié)點(diǎn)都必須同時建立QKD和經(jīng)典通信連接。

圖1 量子安全區(qū)塊鏈網(wǎng)絡(luò)Fig.1 Quantum-secured blockchain network

不同于一般區(qū)塊鏈采用的工作量證明(Proof of Work，PoW)或權(quán)益證明(Proof of Stake，PoS)的單個節(jié)點(diǎn)出塊的共識機(jī)制，Kiktenko等[24]建議以分散的方式創(chuàng)建區(qū)塊，并采用了拜占庭容錯重復(fù)算法，該算法能在不可信節(jié)點(diǎn)少于 n/3的情況下，在成對可信通訊的網(wǎng)絡(luò)中達(dá)成拜占庭共識。用這種算法實(shí)現(xiàn)區(qū)塊鏈中的廣播協(xié)議，在某個時間點(diǎn)(例如，每10 min)，網(wǎng)絡(luò)將協(xié)議應(yīng)用于每一次未確認(rèn)的交易，就該交易的正確版本達(dá)成共識(從而消除了重復(fù)支出)，并確定該交易是否可接受。然后，每個節(jié)點(diǎn)將所有可接受的事務(wù)組成一個塊，并根據(jù)它們的時間戳進(jìn)行排序，再將該塊添加到數(shù)據(jù)庫中。這樣，所有可靠的節(jié)點(diǎn)都將形成同一個區(qū)塊，從而消除了不同礦工同時創(chuàng)建多個不同版本的可能性。這樣的區(qū)塊鏈設(shè)置對某些節(jié)點(diǎn)或信道在實(shí)施過程中無法正常運(yùn)行具有顯著的容錯性。雖然廣播協(xié)議的數(shù)據(jù)量相對較大，但數(shù)據(jù)不必通過量子信道傳輸，只需要通過量子信道來生成私鑰。

數(shù)據(jù)庫在存儲時也可能受到惡意偽造的攻擊，但攻擊者需要同時入侵至少1 /3的節(jié)點(diǎn)才能改變共識，因此造成嚴(yán)重破壞的可能性極小。此外，偽造過去的某一條交易記錄后，要對該塊中的其他交易記錄的變體執(zhí)行Grover搜索，才能保持其哈希值不變，以使偽造的版本顯得合法，但Grover算法相對于經(jīng)典搜索算法僅提高了平方加速，因此Kiktenko等表示可將塊哈希長度增加到其安全非量子值的平方來防止這種情況。

Kiktenko等已經(jīng)在莫斯科進(jìn)行了4個節(jié)點(diǎn)，6條邊的網(wǎng)絡(luò)的量子安全區(qū)塊鏈的實(shí)驗，完成了一系列的交易過程，并證明了其具有排除少量節(jié)點(diǎn)作惡或出錯的拜占庭容錯能力，其實(shí)現(xiàn)細(xì)節(jié)和參數(shù)可參閱文獻(xiàn)[18]。

2 基于DPoS擴(kuò)展的量子加密區(qū)塊鏈

在上述一系列抗量子攻擊區(qū)塊鏈中，基于后量子密碼的抗量子攻擊區(qū)塊鏈的安全性，依賴于目前沒有量子算法能對這些后量子密碼造成威脅，但后量子密碼能抵抗量子攻擊只是當(dāng)前一種暫時的假設(shè)，并非是一個已被證明的事實(shí)。而且這些后量子密碼往往設(shè)計過于復(fù)雜，實(shí)現(xiàn)比較麻煩，計算也相當(dāng)繁瑣。而基于即時糾纏的量子區(qū)塊鏈只是抽象概念上的模型，其信息編碼能力和實(shí)用價值相對比較有限。

2.1 協(xié)議框架

針對以上分析的問題，本文提出用委托權(quán)益證明DPoS對Kiktenko等提出的量子安全區(qū)塊鏈進(jìn)行擴(kuò)展和改進(jìn)，協(xié)議框架如下：

步驟1：每隔一段時間或一定數(shù)量的區(qū)塊，全網(wǎng)節(jié)點(diǎn)根據(jù)所持有區(qū)塊鏈權(quán)益的比例進(jìn)行投票，選舉出k 個超級節(jié)點(diǎn)，要求k ＜n，其中n為全網(wǎng)總節(jié)點(diǎn)數(shù)。

步驟2：每個節(jié)點(diǎn)只需與超級節(jié)點(diǎn)建立安全的QKD通信連接，普通節(jié)點(diǎn)與普通節(jié)點(diǎn)之間只需建立普通信道，無需建立QKD信道。

步驟3：意圖發(fā)布交易的節(jié)點(diǎn)通過QKD信道同每個超級節(jié)點(diǎn)生成安全密鑰。

步驟4：意圖發(fā)布交易的節(jié)點(diǎn)使用第3步中生成的安全密鑰，采用信息理論安全的驗證算法對交易信息打上所有驗證標(biāo)簽，如Kiktenko等原文及實(shí)驗中所采用的Toeplitz哈希算法。

步驟5：意圖發(fā)布交易的節(jié)點(diǎn)將打上驗證標(biāo)簽的交易信息發(fā)送出去，同比特幣類似，交易信息中包含發(fā)送方、接收方、時間戳、轉(zhuǎn)賬數(shù)目、顯示發(fā)送方賬戶具有足夠余額的證明等信息。

步驟6：每個超級節(jié)點(diǎn)收到交易信息后，對交易信息進(jìn)行驗證，將不合法的交易拋棄。

步驟7：每個超級節(jié)點(diǎn)將當(dāng)前時間窗口內(nèi)的合法交易按時間戳進(jìn)行排序，生成區(qū)塊。

步驟8：所有超級節(jié)點(diǎn)之間使用拜占庭容錯算法[24]達(dá)成共識，只要出錯節(jié)點(diǎn)或惡意節(jié)點(diǎn)不超過k/3，就能達(dá)成共識，完成最終區(qū)塊的出塊過程。

步驟9：超級節(jié)點(diǎn)將最終區(qū)塊廣播出去。

步驟10：普通節(jié)點(diǎn)收到最終區(qū)塊后，將其加入到上一個區(qū)塊之后，接著進(jìn)入下一輪出塊流程。

如圖2所示，每個節(jié)點(diǎn)只需與超級節(jié)點(diǎn)建立QKD通信，普通節(jié)點(diǎn)與普通節(jié)點(diǎn)間只需建立經(jīng)典通信。

圖2 基于DPoS擴(kuò)展的量子加密區(qū)塊鏈網(wǎng)絡(luò)Fig.2 Quantum-encrypted blockchain network based on DPoS extension

2.2 安全性與可行性分析

(1) QKD已被證明理論上具有無條件安全性，不存在被數(shù)學(xué)算法攻破的可能，當(dāng)然也具有抗量子算法攻擊的特性。

(2) 由于所有超級節(jié)點(diǎn)共同出塊，杜絕了單個節(jié)點(diǎn)出塊可能偽造交易，篡改區(qū)塊以及交易發(fā)起方抵賴交易的可能。

(3) 采用DPoS，無挖礦過程，也就不存在因量子Grover搜索算法可能導(dǎo)致算力不平衡所產(chǎn)生的51%攻擊風(fēng)險。

(4) 具有一定拜占庭容錯能力，當(dāng)不誠實(shí)超級節(jié)點(diǎn)數(shù)不超過k /3時，都能在超級節(jié)點(diǎn)中達(dá)成拜占庭共識，完成最終區(qū)塊的出塊過程。

(5) 采用DPoS，不需要所有節(jié)點(diǎn)都建立點(diǎn)對點(diǎn)的QKD通信，每個節(jié)點(diǎn)只需與選舉出的超級節(jié)點(diǎn)建立QKD通信即可。這可以將需要建立的QKD信道從平方項數(shù)量級降低到了線性數(shù)量級，大大降低了量子加密區(qū)塊鏈建立QKD信道的成本，提升了其擴(kuò)展性，使其具有更普及化的實(shí)用價值。

(6) 由于所有超級節(jié)點(diǎn)共同出塊，因此攻擊者必須同時攻擊至少 k/3個超級節(jié)點(diǎn)才能影響共識。同時由于超級節(jié)點(diǎn)在每一輪選舉可能不同，攻擊者攻擊成功的難度也會隨之增加。

(8) 采用拜占庭容錯算法，所有超級節(jié)點(diǎn)都將時間窗口內(nèi)的交易按時間戳排序生產(chǎn)區(qū)塊，因此所有誠實(shí)可靠的超級節(jié)點(diǎn)都會形成一致的區(qū)塊，這就杜絕了競爭出塊可能導(dǎo)致的分叉問題。

3 理論推導(dǎo)與分析

在Kiktenko所提的原始量子安全區(qū)塊鏈中，任意兩個節(jié)點(diǎn)間都需要建立QKD信道，假設(shè)整個網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量為n，顯然該QKD網(wǎng)絡(luò)建立信道的空間復(fù)雜度為O(n2)。

而在本文提出的基于DPoS擴(kuò)展的量子加密區(qū)塊鏈中，所選取的超級節(jié)點(diǎn)數(shù)量k是一個規(guī)定的小于總體網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量n 的常數(shù)，普通節(jié)點(diǎn)數(shù)量為n?k，普通節(jié)點(diǎn)需要與每個超級節(jié)點(diǎn)建立QKD通信，其QKD信道數(shù)量為k(n?k)；而超級節(jié)點(diǎn)與超級節(jié)點(diǎn)之間需要兩兩建立QKD通信，其QKD信道數(shù)量為k(k ?1)/2。因此本文架構(gòu)所需建設(shè)的QKD信道數(shù)量總和為k(n?k)+k(k ?1)/2，由于k為一個規(guī)定的小于n的常數(shù)，因此本文基于DPoS擴(kuò)展的量子加密區(qū)塊鏈需建立的QKD信道數(shù)量的空間復(fù)雜度為O(k(n?k)+k(k ?1)/2)=O(k(n?k))=O(k(n))=O(n)。

此外，本文同Kiktenko所提的量子安全區(qū)塊鏈一樣，采用拜占庭容錯算法來保證全體網(wǎng)絡(luò)對所生成的區(qū)塊內(nèi)容達(dá)成共識。該拜占庭容錯算法主要包含兩輪步驟：第一輪步驟，所有節(jié)點(diǎn)向其他節(jié)點(diǎn)廣播自己的交易信息；第二輪步驟，所有子程序中的每個節(jié)點(diǎn)將其在上一輪接收到的交易信息廣播至其他節(jié)點(diǎn)。在文獻(xiàn)[24]中，Lamport Shostak與Pease證明了在不超過m+1輪通信后(m ＜n/3)，全體網(wǎng)絡(luò)會共同認(rèn)可一個交互一致性的向量，即達(dá)成共識。在原始的量子安全區(qū)塊鏈中，所有節(jié)點(diǎn)都需參與共識機(jī)制的通信，需要的通信輪數(shù)的上限為n/3+1，即達(dá)成共識的時間復(fù)雜度為O(n/3+1)=O(n)。而在本文改進(jìn)的基于DPoS擴(kuò)展的量子加密區(qū)塊鏈中，只需要k個超級節(jié)點(diǎn)進(jìn)行拜占庭容錯算法，需要的通信輪數(shù)上限為k/3+1，由于k是一個已規(guī)定的小于n的常數(shù)，因此達(dá)成共識的時間復(fù)雜度為O(k/3+1)=O(k/3)=O(k)=O(1)。

Kiktenko的原始量子安全區(qū)塊鏈與本文改進(jìn)的基于DPoS擴(kuò)展的量子加密區(qū)塊鏈的具體性能對比如 表1所示。

表1 兩種方案的性能對比Table 1 Comparison between two schemes

由表1可看出，本文方案在QKD信道數(shù)量的空間復(fù)雜度與廣播共識協(xié)議通信輪數(shù)的時間復(fù)雜度方面，較Kiktenko的原始量子安全區(qū)塊鏈具有顯著優(yōu)勢。但在可容納的錯誤節(jié)點(diǎn)數(shù)量上限方面存在劣勢，在提升了方案效率性能的同時，不可避免地產(chǎn)生了安全性能的些許降低。在實(shí)際應(yīng)用場景中可根據(jù)具體情況對超級節(jié)點(diǎn)的數(shù)量進(jìn)行調(diào)節(jié)，以實(shí)現(xiàn)對效率性能與安全性能的權(quán)衡與調(diào)節(jié)。

4 結(jié)論

本文針對Kiktenko等提出的基于QKD的量子安全區(qū)塊鏈，因其任意兩個節(jié)點(diǎn)間都需建立QKD通信，從而導(dǎo)致擴(kuò)展成本高、難以推廣普及的問題，提出了基于DPoS擴(kuò)展的量子加密區(qū)塊鏈。通過選舉小于全網(wǎng)總節(jié)點(diǎn)個數(shù)的超級節(jié)點(diǎn)，每個節(jié)點(diǎn)只需與超級節(jié)點(diǎn)建立安全的QKD通信連接，普通節(jié)點(diǎn)與普通節(jié)點(diǎn)之間只需建立普通信道，無需建立QKD信道。從而使需要建立的QKD信道數(shù)量由O(n2)降低到了O(n)，所需進(jìn)行的通信輪數(shù)上限由n/3+1降低為k/3+1，使得量子加密區(qū)塊鏈的建設(shè)成本顯著降低，也提升了其運(yùn)行效率與拓展能力，更進(jìn)一步地推動了區(qū)塊鏈同量子領(lǐng)域的結(jié)合發(fā)展。

從安全性和可行性分析上來看，本文提出的基于DPoS擴(kuò)展的量子加密區(qū)塊鏈能有效地通過區(qū)塊鏈和量子計算技術(shù)加以實(shí)現(xiàn)并得到優(yōu)于原方法的數(shù)據(jù)結(jié)果，但區(qū)塊鏈與量子計算技術(shù)的融合發(fā)展當(dāng)前仍處于相對初步的階段，本文的改進(jìn)方法目前也處于初步的研究階段。雖然目前有關(guān)區(qū)塊鏈領(lǐng)域、行業(yè)管理等工作也在有序推進(jìn)，區(qū)塊鏈技術(shù)在金融領(lǐng)域的落地場景和實(shí)踐案例比較豐富[25]，但在量子等其他領(lǐng)域的適用場景，通常比較大型且商業(yè)化，成本較高，實(shí)踐案例也較少。目前來說，開展這個實(shí)驗研究的條件有限，相關(guān)的實(shí)驗應(yīng)用探索有待深入研究。