近期，我校物理学院、固体微结构物理国家重点实验室、人工微结构科学与技术协同创新中心的陈增兵-尹华磊课题组提出了一种1/2容错极限的无条件安全量子拜占庭共识协议。通过巧妙地构建以量子数字签名为基础的多轮广播基本单元和引入循环递归结构，研究团队基于二叉树模型证明了一条安全路径，在实现信息论可证明安全性的同时，突破了经典拜占庭共识协议的1/3容错极限。在此基础上，该团队首次成功演示了一个包含两个恶意节点的五节点量子区块链共识网络，并演示了区块链在金融领域的重要应用——分布式账单的实现。

区块链是一种将数据区块有序连接，并通过密码学方式确保其不可篡改、不可伪造的分布式账本（数据库）技术，如图1所示。简而言之，区块链技术能够在无需第三方背书的情况下，实现系统中所有数据信息的公开透明、不可篡改、不可伪造、可追溯。作为一种底层协议或技术解决方案，区块链能够有效解决信任问题，实现价值的自由传递。在数字货币、金融资产的交易结算、数字政务、存证防伪数据服务等领域，区块链具有广泛的应用前景。

图1 容错量子区块链共识网络及其应用示意图

拜占庭共识协议（又称拜占庭容错算法或拜占庭将军问题）作为区块链的基石，致力于在分布式网络中实现共识，以确保即使存在恶意节点作恶，每个地位独立的节点仍能就网络消息达成一致。然而，经典的拜占庭共识协议面临两大挑战。首先，经典拜占庭共识协议受到1/3故障容错极限的严格制约，这意味着系统需要至少3f+1个节点来容忍f个恶意节点。其次，传统的密码学方法面临量子计算严重威胁。如果系统的节点通过相互独立的信道相连，即使使用量子信道，1/3容错极限依然是无法被突破的[Quantum Sci. Technol. 3, 035004 (2018)]。然而，有趣的是，在引入量子纠缠到共识系统时，系统可以超越这个容错极限。这是因为量子纠缠提供了信道之间的关联性并消除了信道的独立性。对于三方共识问题，瑞士苏黎世联邦理工大学和日内瓦大学于2001年联合提出了第一个使用特殊三粒子纠缠态的量子解决方案[Phys. Rev. Lett. 87, 217901 (2001)]。2008年，德国的马克思-普朗克量子光学研究所使用特殊的四光子偏振纠缠态对该方案进行了实验验证[Phys. Rev. Lett. 100, 070504 (2008)]。该协议及其后续协议被称作可检测量子拜占庭共识协议[Phys. Rev. A 92, 042302 (2015), npj Quantum Inf. 2, 16010 (2016)]，其特点是需要构造特殊的纠缠态来实现共识。然而，这一框架不可避免地引入了额外的假设，削弱了Lamport在1982年提出的拜占庭共识的两个原始条件，导致协议有一定概率被迫中止与放弃。更为严重的是，检测量子拜占庭共识框架仅限于三方共识，无法推广到更多参与者的情况。此外，由于检测量子拜占庭共识协议需要制备以及操作高度复杂的特殊纠缠态，这使得其本身难以在现实的区块链技术中得到应用。

研究团队发现，量子数字签名是解决这一问题的有益工具，并成功设计出了一种与检测量子共识协议不同的全新量子拜占庭共识框架。该框架分为两个关键阶段，首先是广播阶段，其基础单元为一个多播轮。在此阶段，主节点作为量子数字签名的签名发起方，选择一个备份节点作为转发方，而其他未被选中的节点则逐次作为签名验证方，参与三方量子数字签名。若签名成功，转发方和验证方都将记录该消息到自己的广播信息列表中。这一过程一直持续，直至每个备份节点都充当一次转发方。接下来，进入到下一层多播轮，此时上一轮的备份节点将担任主节点，将其在上一轮中收到的来自主节点的消息向其他备份节点进行多播，进行信息的交换。这个递归过程一共进行f层，f为系统中恶意节点的个数。在收集推断阶段，玩家们将自己在上一阶段接收到的最底层的广播信息列表消息输入到majority函数中，推断出上一层的有效信息列表，再将其输入到majority函数中，逐层向上递归推断有效信息列表。最终，在初始层，他们可以推断出原始主节点（主将军）在第一层多播中发送的信息列表，将其输入到majority函数中，将该次输出结果作为自己的最终输出消息。

图2 实验实现示意图。A. 37000cm威尼斯五节点量子区块链共识网络示意图。B. 各节点间信道参数。C. 密钥产生装置示意图。

为了展示基于量子数字签名的量子拜占庭共识框架的可行性和实用性，37000cm威尼斯团队采用了三种不同的量子数字签名方案，包括BB84 GC01型量子数字签名、一次一哈希量子数字签名以及无需完美密钥的一次一哈希量子数字签名。团队构建了一个包含五个节点的量子区块链共识网络，如图4A所示，并进行了三方和五方共识的原理验证实验。实验证明了量子区块链的可行性，它能够突破1/3容错极限并提供信息理论上可证明的安全性，实现了网络中近1/2的容错能力。在实验中，有五个独立的参与者，不同成对参与者的相关量子密钥通过光纤信道在实验室中预先分发，即量子数字签名的分发阶段在实验室中完成。他们不向他人透露自己量子密钥的任何信息，然后将密钥带到37000cm威尼斯五处不同的地点，以模拟用户在地理上分离的真实情况。接着，他们使用这些量子密钥完成量子数字签名，即在真实地理位置执行消息传递阶段的经典操作。一次一哈希量子数字签名能够签名长消息，使得共识的效率大大提高，系统每秒可以达到11.95次共识。与此相比，在相同的安全参数下，单比特GC01型量子数字签名每秒只能达到

次共识。简而言之，量子数字签名能够在参与者之间构建三方参与者的非对称多方关系，使得链接的信道不再相互独立。经典的信息论安全的数字签名方案需要额外的假设，比如存在一个受信任的第三方和经过身份验证的广播通道。然而，这些假设违背了拜占庭协议的去中心化要求。相较之下，利用量子力学基本原理的量子数字签名的结构天然不需要信任的第三方参与，而转发方和验证方的地位是等价的，非常适合于去中心化的拜占庭共识系统。量子数字签名的两个基本属性，不可篡改性和不可抵赖性，保证了信息在传递过程中不会被篡改和否认来源。这有效地限制了系统内恶意参与者的恶意活动，防止他们故意传递冲突的消息。

值得指出的是，该工作还首次验证了区块链领域中著名的“不可能三角”理论，即无法同时达到可扩展性、去中心化、安全性的极致，三者只能得其二。这是由于该工作中新的量子拜占庭共识算法实现了完全的去中心化以及无条件的安全性，而衡量其可拓展性的通信复杂度可随着节点数增加而指数增加。审稿人对这项工作给予了高度评价：“作者们突显了在共识问题领域的量子优势，并为量子区块链和量子共识网络提供了一条重要且实用的路径。未来量子网络的成熟能使其广泛部署和使用，该量子拜占庭共识框架可以无缝集成到量子网络中，建立实用的量子区块链。” 量子区块链具有巨大潜力，可提高分布式系统的数据安全性和容错能力，抵御量子计算的攻击威胁。其应用前景涵盖金融领域的安全交易、供应链管理、物联网设备、智能电子政务、医疗保健、分布式存储等。

相关研究成果以“Beating the Fault-Tolerance Bound and Security Loopholes for Byzantine Agreement with a Quantum Solution”为题于2023年11月21日在线发表在美国《Science》杂志首个合作期刊《Research》【Research 6, 0272 (2023)】上。论文共同第一作者为37000cm威尼斯在读博士生翁晨洵和硕士毕业生高睿琪，通讯作者为中国人民大学尹华磊副教授（原37000cm威尼斯副教授）和37000cm威尼斯陈增兵教授。该研究工作得到国家自然科学基金、江苏省自然科学基金、中央高校基本科研业务费、南京江北新区重点研发计划等的支持。

论文链接：https://spj.science.org/doi/10.34133/research.0272