CN113271204A - 一种基于量子密钥分发的拜占庭容错共识方法 - Google Patents

Abstract

本发明针对经典区块链共识机制面临量子计算机攻击问题，提出了一种基于量子密钥分发的拜占庭容错共识方法。首先，对于公钥数字签名存在的安全问题，提出一种基于量子密钥分发和多线性哈希函数族的MH‑USS无条件安全签名方案，该签名具有不可伪造性、不可抵赖性以及可传递性，并能在现有设备上实现，有较高实用价值。其次，针对经典拜占庭容错共识机制PBFT共识效率相对较低的问题，提出一种QS‑BFT(Quantum Secured‑Byzantine Fault Tolerance)共识方法。通过增设“快速‑标准”双共识模式以及允许节点对空区块投票的方式，减少系统通信次数并避免视图转换过程，使方案不仅具备安全性与活性，还能够有效减少消息复杂度，提高共识效率。

Description

一种基于量子密钥分发的拜占庭容错共识方法

技术领域

本发明涉及区块链技术领域，具体涉及一种基于量子密钥分发的拜占庭容错共识方法。

背景技术

区块链发展至今，已成为当今科技领域热门话题，被认为是人类历史上的第四次工业革命。区块链融合密码学、共识机制、分布式数据存储、点对点通信等新型技术体系，构建具备去中心化和不可篡改等特性的分布式系统，改变传统依托中心化模式的分布式体系。

区块链是一种基于密码学原理的分布式账本技术，数字签名保护区块链数据的完整性和不可伪造性等，哈希指针使区块按顺序首尾相连。当前主流区块链系统，例如比特币、以太坊等，均使用经典密码学算法和共识机制维护系统的稳定性、安全性和可用性。这些系统采用依赖于数学困难问题的经典密码算法，并且假设敌手节点能力有限，不能破解数字签名和哈希函数。但是上述假设会在量子计算攻击环境下失效，使区块链系统面临严重安全威胁。例如，在使用传统公钥签名算法的区块链系统中，存在被攻击方利用Shor算法破解其公钥系统的风险；在比特币系统中，存在被攻击方利用Grover算法实现51％攻击的风险。

抗量子区块链是未来区块链的研究热点和发展方向。为应对量子计算对区块链平台的安全威胁，主要针对数字签名与共识机制两方面进行研究。量子通信研究领域已在区块链技术中引入量子密码技术方案，通常有两种研究方向，一是后量子区块链，将后量子签名算法代替经典签名算法。但此方案是基于目前某些不能被量子计算机有效解决的计算复杂性困难问题，并不能提供无条件安全证明。二是量子区块链，即以量子的物理特性为基础，构造新型高效量子单向函数、量子签名算法以及基于量子分布式计算的新型区块链等，具备无条件安全性，不仅可以对抗目前已知的量子计算攻击威胁，而且还可以对抗未来可能使后量子加密方案受到威胁的情况。

对于基于后量子算法的区块链，Gao提出了一种基于后量子区块链(PQB)的安全加密货币方案，可以抵抗量子计算攻击。通过设计了一个基于格的签名方案，将其与区块链相结合，构造了PQB并提出了加密货币方案。经分析与证明可知，该签名方案与其他方案相比，签名和密钥的长度都更短，能够有效降低计算复杂度，使其加密货币的方案更加安全和高效。Stewart提出了一个“提交-延迟-公开”三段式协议，以确保从比特币可以将当前采用的ECDSA签名方案安全过渡到抗量子签名方案。Li利用Bonsai trees技术和格基随机化算法，从根密钥生成公钥和私钥，从而提出一种新的基于格的签名方案，用于保护区块链网络安全。

对于量子安全区块链，Coladangelo以经典区块链结构为基础，引入了公钥量子货币与GUC(Generalized Universal Composability)框架，并将经典智能合约与量子闪电相结合，提出了经典-量子混合支付区块链系统。Lutomirski提出了可用于加密货币区块链平台中的量子货币协议。Rajan在区块链的数据结构中引入了时间纠缠，提出将经典区块中的数据转化为两比特的字符串以及将区块链编码为一个GHZ态的光子，设计了基于时间纠缠的量子区块链。但上述方案中涉及的量子技术大多仍处于理论研究阶段，实现难度极大，可行性低。为应对量子计算对区块链平台的安全威胁，量子通信研究领域已在区块链技术中引入量子密码技术方案。量子密钥分发(Quantum Key Distribution,QKD)技术是目前发展最为成熟的量子密码技术，已进入规模化商用阶段。QKD技术结合量子真随机性和量子不可克隆原理，基于物理安全设计出“一次一密”加密系统，成功实现点对点安全通信，是一种具备无条件安全特性的通信方案。量子安全区块链解决方案QB(Quantum-securedBlockchain)，提出建立量子-经典两层区块链网络模型，即在量子网络层使用QKD方式进行对称密钥分发，其余通信均在经典网络层进行，与其他量子区块链方案相比，QB区块链可行性更高，但是QB区块链采用了基于原始状态机复制的共识机制，使得系统内通信复杂度很高，如果系统中存在较多作恶节点，会导致节点间通信次数呈指数级增长，共识效率很低，不具备可扩展性。量子安全区块链方案LC(Logicontract)，以QB区块链框架为基础，数字签名采用基于QKD的无条件安全Toeplitz群签名方案，但Toeplitz函数与其他主流Universal哈希函数相比，运算速度较慢且需要占用较大存储空间。针对用于计算哈希指针的哈希函数，LC区块链只提到采用一种具备抗碰撞性的哈希函数即可，仍使该方案面临被量子计算攻击的风险。LC区块链采用简化后的YAC(Yet Another Consensus)共识机制，该共识机制要求区块链网络中拜占庭节点比例小于1/4，即容错率低于主流拜占庭容错共识机制的1/3，且该共识机制的网络通信复杂度较高。

因此，如何将区块链技术与抗量子攻击技术相结合，令区块链平台具备抗量子计算攻击的安全性，并根据区块链应用场景设计和优化共识机制，提高共识效率，是目前亟待解决的问题。

发明内容

针对上述存在的问题，本发明旨在提供一种量子安全拜占庭容错共识机制，其可以抵抗量子计算攻击，在区块链架构的基础层，采用量子-经典两层对等网络。在核心层，提出基于QKD的无条件安全签名MH-USS(Multilinear Hash-Unconditionally SecureSignature)方案，并引入可以抗量子计算攻击的参数哈希函数，在保证区块链哈希指针和数字签名安全的前提下，优化实用拜占庭容错共识机制(PBFT)，设计了量子安全拜占庭容错QS-BFT(Quantum Secured-Byzantine Fault Tolerance)共识机制，通过动态选择共识模式，消除传统视图转换过程，可以有效减少通信次数，提高共识效率，降低通信资源开销。

为了实现上述目的，本发明所采用的技术方案如下：

一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述共识方法采用量子安全拜占庭容错共识机制进行共识，该量子安全拜占庭容错共识机制基于区块链架构，采用量子-经典两层对等网络的共识网络模型，该共识网络内共有N个节点，分为主节点和从节点，且N＝3f+1，f是拜占庭节点个数，所述共识方法包括以下步骤：

步骤1：准备阶段

客户端将要发送的原始请求消息先进行MH-USS签名，再将已进行MH-USS签名的请求消息发送至主节点，主节点对收到的消息进行验证，为验证过的有效请求消息生成新区块，并将其写入预准备消息中，广播该预准备消息；

从节点接收到预准备消息并验证该消息是否有效，若有效则从节点向主节点发送对新区块的投票消息，若无效从节点向主节点发送对空区块的投票消息；

步骤2：模式选择阶段

主节点在发出请求后开启一个计时器T，在计时器T到期前，若主节点接收到共识网络中所有节点对同一区块的投票时，则进入快速模式，否则进入标准模式；在快速模式下直接由主节点广播快速决议消息，完成从节点向新区块或者空区块投票，在标准模式下依次经过承诺阶段和决议阶段完成从节点向新区块或者空区块投票；

步骤3：反馈阶段

主节点发送反馈消息，从节点、客户端接收反馈消息后，则说明达成共识，所有节点进行下一轮；否则未达成共识，共识结束。

进一步地，所述量子-经典两层对等网络中的量子网络用于进行量子密钥分发，经典网络用于传输消息和签名等信息。

进一步地，所述共识网络采用轮转机制运行，每一轮都是以客户端将请求消息发送至主节点为开始，以客户端接收主节点反馈消息为结束，并且每一轮都采用轮转机制进行主节点的选举和更替，使得每一轮有一个主节点，其余节点为从节点，每一轮的主节点编号L为：L＝r mod N，且r为当前轮编号。

进一步地，所述主节点发送消息的格式为<phase,r,Cert(σ)>σ_L，其中phase表示当前阶段，r表示当前轮数，Cert(σ)表示主节点的消息凭证，σ_L表示主节点L对该消息进行MH-USS签名。

进一步地，步骤2中所述从节点发送消息的格式为<phase,r,x>σ_i，其中，当x＝h(p)时，该消息表示从节点为新区块p投票，当x＝⊥时，该消息表示从节点为空区块投票；h(p)表示使用参数哈希函数计算的新区块p的哈希值。

进一步地，进行所述MH-USS签名包括1个签名者和K个验签者，签名者和验签者均使用量子网络进行密钥分发，且签名流程包括以下步骤：

步骤11：签名者在经典网络层生成K²个密钥

步骤12：签名者通过QKD方式利用量子网络将生成的密钥r_i＝(r_(i-1)K+1,...,r_iK)发送给验签者P_i，其中i为验签者的编号；

步骤13：每个验签者P_i将密钥r_j∈r_i再分别发送给其他验签者P_j，P_j将全部验签者发来的密钥记为r_i→j；

步骤14：签名者在经典网络层通过多线性哈希函数对消息进行签名，签名计算公式为：

其中，t表示计算后的签名值结果，h(m)为多线性哈希函数，其计算公式为：

步骤15：在经典网络层验签者P_j通过密钥r_i→j计算h_i→j(m)，若满足t_i→j＝h_i→j(m)，则

否则，

步骤16：验签者P_j计算

若满足

则表示签名有效，接受该签名，否则拒绝该签名；其中，δ＝1/2+d，d表示全部节点中拜占庭节点所占比例。

进一步地，所述快速模式的消息处理步骤包括：

步骤1：如果主节点接收到的是对新区块的投票消息，主节点将收到的新区块投票合并为对新区块投票的快速预决凭证，如果主节点接收到的是对空区块的投票消息，主节点将收到的空区块投票合并为对空区块投票的快速预决消息，并由主节点直接广播该快速预决议消息；

步骤2：若从节点接收到所述快速预决议消息并验证有效后，将该区块写入本地，将更新后的本地状态写入投票消息中，从节点向主节点发送对新区块的投票；若验证无效，则从节点向主节点发送对空区块的投票；

步骤3：从节点锁定当前已投票的区块，并解锁之前已锁定的区块，进入对当前投票区块的锁定状态。

进一步地，所述标准模式下的消息处理步骤包括：

1)承诺阶段

主节点将收到的全部投票合并为预承诺凭证，如果主节点接收到至少2f+1条对新区块的投票，则广播对新区块投票的预承诺消息；否则，主节点广播对空区块投票的预承诺消息；

如果从节点接收到该预承诺消息且验证有效，则从节点向主节点发送对新区块的承诺投票；若验证无效，从节点向主节点发送对空区块的承诺投票；

2)决议阶段

主节点再将收到的全部承诺投票消息整合为预决议凭证，如果主节点收到至少2f+1条对新区块的承诺投票且验证有效，则广播对新区块投票的预决议消息；否则，主节点广播对空区块投票的预决议消息；

若从节点接收到新区块的预决议消息且验证有效后，则将新区块写入本地区块链，将更新后的本地状态记入投票消息中，再向主节点发送对新区块的投票；若验证无效则从节点向主节点发送对空区块的投票。

优选地，所述主节点和从节点所接到的各类消息均需要进行有效性验证，且有效性验证条件包括：

1)是否在规定时间T内收到消息M；

2)验证签名σ的有效性；

3)验证轮编号r是否等于当前轮编号；

4)验证消息凭证Cert的有效性；

5)计算哈希值h(p)是否正确。

本发明的有益效果是：

第一，本发明提出的共识机制通过MH-USS签名方案和参数哈希函数，在不限制敌手计算能力的条件下，可保证区块链系统中哈希指针和数字签名的安全，由于其密码方案采用了MH-USS签名方案与参数哈希函数，具备抗量子计算攻击能力，赋能区块链安全运行。

第二，本发明提出了QS-BFT共识机制，优化共识策略，加入快速模式，将共识过程分为快速模式和标准模式，引入speculation技术，将主节点作为消息和投票的收集者，令每个从节点将投票消息发送给主节点。当主节点收到所有节点对同一区块的投票时，进入快速模式，否则进入标准模式。进入快速模式后，直接由主节点广播快速决议消息，有效减少通信次数，与PBFT不同，从节点可避免进入通信复杂度较高的广播交互阶段。

第三，本发明的QS-BFT共识机制消除了PBFT视图转换过程。当节点没收到有效消息时，QS-BFT共识机制中的节点可对空区块投票，无需启动复杂度较高的视图转换。若在决议阶段，节点对空区块投票达成一致，直接进入新一轮即可，保证了系统内各阶段间的连续性，减少从节点需要接收和验证的消息数量，通信效率更高；

综上所述，本发明的QS-BFT共识机制与同类共识机制相比，通过动态选择共识模式，可以减小消息复杂度，提升可扩展性。对本方案进行仿真实现与性能测试，结果表明，与改进后基于MH-USS签名方案的PBFT，本方案吞吐量更高、时延更低。

附图说明

图1为本发明中的QS-BFT的网络结构图；

图2为本发明的QS-BFT共识机制分别在快速模式和标准模式下的消息分发流程示意图；

图3为本发明的QS-BFT共识机制消息处理流程图；

图4为吞吐量测试时PBFT与QS-BFT的吞吐量测试结果对比图；

图5为时延测试时PBFT与QS-BFT的时延测试结果对比图；

图6为容错性测试时PBFT与QS-BFT的容错性测试结果对比图；

具体实施方式

为了使本领域的普通技术人员能更好的理解本发明的技术方案，下面结合附图和实施例对本发明的技术方案做进一步的描述。

本发明提供了一种基于量子密钥分发的拜占庭容错共识方法，其采用基于量子安全拜占庭容错共识机制，该机制为一种拜占庭容错机制，基于区块链架构，本申请中的共识网络模型采用量子-经典两层对等网络，所述量子网络用于进行量子密钥分发，经典网络用于传输消息和签名等信息；

所述共识网络内的节点分为主节点和从节点，且以轮转机制运行，每一轮有一个主节点，其余节点为从节点；主节点用于消息的验证、投票、执行和记录。

参考附图2-3可知，一种基于量子密钥分发的拜占庭容错共识方法，其共识过程包括以下步骤：

步骤1：客户端将已进行MH-USS签名的请求消息发送至主节点，主节点将收到的全部有效请求整合为新区块，写入预准备消息中，并将该预准备消息广播；

步骤2：从节点接收到预准备消息来验证该消息是否有效，若验证通过，则从节点向主节点发送对新区块的投票；若验证不通过，则为空区块投票；

步骤3：主节点在发出请求后设置一个计时器T。在计时器T到期前，若主节点接收到3f+1条新区块有效投票或3f+1条空区块有效投票则进入快速模式转入步骤4，否则进入标准模式转入步骤5；

步骤4：在快速模式下，直接进入决议阶段将主节点收到的区块投票合并为预决议消息并由主节点广播快速决议消息；

步骤5：在标准模式下，主节点先将收到的全部投票合并为预承诺消息并广播预承诺消息，从节点接收到预承诺消息后再向主节点进行投票，然后主节点再将收到的全部投票合并为预决议消息再由主节点广播最后的决议消息；

步骤6：若主节点收到至少f+1条有效决议投票后，将收到的全部投票合并为反馈消息，并广播该反馈消息；

步骤7：如果从节点和客户端接收到该反馈消息后，则说明达成共识，所有节点回复客户端的请求；否则未达成共识，共识结束。

下面对各个具体步骤分别进行进一步阐述：

1、MH-USS签名方案

本发明采用基于QKD和多线性哈希函数族的MH-USS签名方案。该方案通过量子网络进行量子密钥分发，在经典网络传输消息和签名等信息，并采用简化后的USS(Unconditionally Secure Signature)签名方案作为主要框架，结合多重线性哈希函数族，建立了一套适用于QS-BFT共识机制的MH-USS签名方案。该方案中的签名具备不可伪造性、不可抵赖性、可转移性以及无条件安全性。所述MH-USS签名流程包括以下步骤：

(1)密钥分发

假设签名方案中，有1个签名者和K个验签者。签名者和验签者均使用量子网络，通过QKD方式进行密钥分发。其分发过程为：

首先，签名者生成K²个密钥

用于构建多线性哈希函数h(x)；

其次，签名者进行密钥分发：将r_i＝(r_(i-1)K+1,...,r_iK)发送给验签者P_i；

最后，每个验签者P_i将密钥r_j∈r_i分别发送给其他验签者P_j，P_j将全部验签者发来的密钥记为r_i→j。

(2)签名生成

首先，签名者按照公式(1)计算签名：

其中的h(m)为多线性哈希函数(Multilinear hash family)，其是一种Universal哈希函数族，具有计算速度快、占用存储空间少等优点。多线性哈希函数的定义如下：

定义2设H＝{h:X→Y}，假设输入字符串x、随机数r和大素数M。将x以n维向量形式表示为x＝[x₁,x₂,...,x_n]，其中x_i表示x的第i位，且x_i∈{0,1,...,M-1}。将密钥r以n+1维向量形式表示为r＝[r₁,r₂,...,r_n+1]，其中r_i表示r的第i位，r_i∈{0,1,...,M-1}。定义多线性哈希函数族：

当输入值x的长度小于n时，剩余位置补0占位。上述的h(m)就采用公式(1)中的多线性哈希函数。

(3)签名验证

首先，验签者P_j通过密钥r_i→j∈R_i→j计算h_i→j(m)，若满足t_i→j＝h_i→j(m)，则

否则，

其次，验签者P_j计算

若满足

则表示签名有效，接受该签名，否则拒绝该签名。式中，δ＝1/2+d，d表示全部节点中拜占庭节点所占比例，在本发明中d＝1/3。

进一步地，本发明采用参数哈希函数(Parametric Hash Function)构建哈希指针，该函数专门为区块链设计，可以抵抗量子计算攻击，具备抗碰撞性，且雪崩效应明显，当输入改变1比特信息，输出结果即产生50％的变化。该函数基于希尔伯特第十问题，即未知数个数大于整数多项式方程个数且方程组含有3次以上的多项式时，求解该整数多项式方程的整数根。

定义1参数哈希函数定义为：

(1)参数：n维系数σ＝(σ₁,σ₂,...,σ_n)，素数p，系数a_i＝σ₁a₁+σ₂a₂+…+σ_na_n，以及由m(m＞n)个系数a_i构成的矩阵A＝(a₁,a₂,...,a_m)。

(2)构建参数哈希函数：

f(x)＝[a₁f₁(x)+a₂f₂(x)+…+a_mf_m(x)]mod p (3)，

其中，f_i的定义形式不限，例如f_i可以取：

f_i(x)＝[a₁x₁x₂x₃+a₂x₂x₃x₄+…+a_mx_mx₁x₂]mod p (4)。

2、QS-BFT共识机制

PBFT(Practical Byzantine Fault Tolerance)是最经典的共识机制之一，能够保证系统各节点按相同的顺序执行相同的命令，有效避免区块链分叉问题，是强一致型拜占庭容错共识机制的基础，但PBFT在视图转换过程中通信复杂度大大增加，因此Zyzzyva、SBFT、Hot-stuff、Tendermint等共识机制均在PBFT基础上，分别从用户角色、签名方案等角度优化共识方案，但均不具备抵抗量子计算攻击能力。故而本发明提出了QS-BFT QuantumSecured-Byzantine Fault Tolerance)共识机制，且QS-BFT的网络结构如附图1所示。

从附图1中可以看出，QS-BFT共识网络分为量子网络层和经典网络层，节点之间均采用点对点技术传输数据。在量子网络层，节点间传输MH-USS签名方案所需的密钥，其余信息均在经典网络层中传送。网络共有N＝3f+1个节点，在N个节点中，最多有f个节点是拜占庭节点(f＞0)，其余节点均为诚实节点，每个节点的索引号i∈{0,1,…,N-1}。本发明中采用的共识机制是一种拜占庭容错机制，网络模型为同步网络，可以实现状态机复制。

QS-BFT共识网络内的节点角色分为主节点和从节点，该网络以轮转机制运行，以客户端将请求消息发送至主节点为开始，以客户端接收主节点反馈消息为结束，称为一轮。每一轮有一个主节点，其余节点皆为从节点。主节点不仅负责在本轮网络中的各个阶段进行接收、整合与传达消息，还切换为从节点角色，即负责消息的验证、投票、执行和记录。每一轮都会采用轮转机制进行主节点的选举和更替，每一轮的主节点编号L为：L＝r mod N，r表示当前轮编号。

其次，QS-BFT共识网络各节点发送的消息格式为：在各节点均配置计时器，设置节点接收消息的最大窗口时间为T，即节点发出消息M后计时开始，直到T结束。且主节点和从节点发送消息时均需要进行签名。

主节点发送消息的格式为：<phase,r,Cert(σ)>σ_L，其中，phase表示当前阶段，r表示当前轮数，Cert(σ)表示主节点的消息凭证，是将全部有效投票中的签名整合为一个签名集合；σ_L表示主节点L对该消息进行MH-USS签名。

从节点发送消息的格式为：<phase,r,x>σ_i，其中，当x＝h(p)时，该消息表示从节点为新区块p投票，h(p)表示使用参数哈希函数计算新区块p的哈希值；当x＝⊥时，该消息表示从节点为空区块投票。

再次，从节点和主节点收到消息M后，都要对消息M进行有效性验证：

1)是否在规定时间T内收到消息M。

2)通过上述的签名验证方法来验证签名σ的有效性。

3)验证轮编号r是否等于当前轮编号。

4)验证消息凭证Cert中的每一个签名的有效性。

5)计算哈希值h(p)是否正确。

如果消息M通过验证且格式符合规定，则节点判定该消息有效，接受该消息。

3、QS-BFT共识机制处理流程

QS-BFT共识机制分为准备阶段、模式选择和反馈阶段三个过程，且其处理流程如附图3所示，结合附图分别对其进行说明。

(1)准备阶段

在此阶段，客户端将已进行MH-USS签名的请求消息发送至主节点，主节点将收到的全部有效请求整合为新区块，写入预准备消息中，再将已进行MH-USS签名的预准备消息广播。如果从节点收到预准备消息且验证该消息有效，则向主节点发送对新区块的投票；否则对空区块投票。

(2)模式选择

主节点在发出请求后启动一个计时器T。在计时器T到期前，若主节点接收3f+1条新区块有效投票或3f+1条空区块有效投票，则进入快速模式；否则，进入标准模式。QS-BFT共识机制分别在快速模式和标准模式下的消息分发流程如附图2所示。

①快速模式

a.快速决议阶段：

主节点将收到的区块投票整合为快速预决议凭证后，广播该区块的快速预决议消息。如果从节点接收到新区块的快速预决议消息且验证有效后，则将该区块写入本地，将更新后的本地状态记入投票消息中，再向主节点发送对新区块的投票；否则，从节点只向主节点发送对空区块的投票。最后，从节点锁定当前已投票的区块，并解锁之前已锁定的区块，进入对当前投票区块的锁定状态。

②标准模式

a.承诺阶段

主节点将收到的全部投票整合为预承诺凭证，如果主节点接收到至少2f+1条对新区块的投票，则广播新区块的预承诺消息；否则，主节点广播空区块的预承诺消息。如果从节点接收新区块的预承诺消息且验证有效，则向主节点发送对新区块的投票；否则，向主节点发送对空区块的投票。最后，从节点锁定当前已投票的区块，并解锁之前已锁定的区块，进入对当前投票区块的锁定状态。

b.决议阶段

主节点将收到的全部投票整合为预决议凭证，如果主节点收到至少2f+1条对新区块的承诺投票且验证有效，则广播新区块的预决议消息；否则，主节点广播空区块的预决议消息。如果从节点接收新区块的决议消息且验证有效后，则将新区块写入本地区块链，将更新后的本地状态记入投票消息中，再向主节点发送对新区块的投票；否则，只向主节点发送对空区块的投票。

(3)反馈阶段

主节点收到至少f+1条决议投票并判断消息有效后，将收到的全部投票整合为反馈凭证并广播反馈消息。从节点和客户端接收反馈消息后，所有节点进入下一轮。

4、QS-BFT共识机制分析

(1)安全性证明

第一，QS-BFT共识机制采用了抗量子计算攻击的密码算法，即参数哈希函数和MH-USS签名方案，且该签名方案具备不可伪造性、不可抵赖性、可转移性以及无条件安全性。即使敌手具有无限计算资源，仍可保证区块链中数字签名和哈希指针的安全性。

第二，假设在第r轮中，诚实节点i接收到主节点发来的快速预决议消息或预承诺消息后，节点i会对新区块p加锁，直至下一轮收到上述消息后再解锁，在此期间节点i不再接收主节点发来的其他新区块q，新区块q不能被节点i写入本地。进入新一轮r’后，节点i接收到主节点发来的预准备消息，才会进入准备阶段。因此，一个诚实节点在一轮中只能对一个新区块进行投票。

假设一个诚实节点i在第r轮将新区块p写入本地日志，则在承诺阶段至少有2f+1个节点向主节点提交了关于新区块p的承诺消息，使得主节点可以生成承诺凭证发给节点i。假设另一个区块q，同在第r轮被节点i写入日志，则至少有2f+1个节点向主节点提交了关于新区块q的承诺投票。由于每条消息均由MH-USS签名方案签署，保证了消息的完整性、不可篡改、不可伪造，使拜占庭节点无法成功伪造其他节点签名后的消息，每个节点最多发送一条有效承诺投票。由于系统内节点总数目为N＝3f+1，可以推出，至少有f+1个节点在同一轮中分别对两个不同的区块进行了投票操作，与“一个诚实节点在一轮中只能对一个新区块进行投票”矛盾，本假设不成立。因此，如果p和q是两个不同的新区块，那么它们不能在第r轮中被同时写入区块链。

由以上可以推出，在同一轮中，一个诚实节点只能针对一个区块进行操作，且不同区块不能在第r轮中被同时写入区块链。因此在同一轮中的任意两个诚实节点只能将同一个区块写入本地区块链，保证了共识机制的安全性。

(2)活性证明

同步网络避免出现诚实节点已发出消息但接收方未收到的故障情况。由于系统中至少存在2f+1个诚实节点，所以主节点一定会至少收到2f+1条投票消息。对于主节点来说，当接收到的同类型有效投票数量大于2f+1时，主节点生成有效投票凭证发给从节点。当节点没有收集到足量投票或投票凭证，或当主节点超时无响应时，系统不必进入复杂的视图转换过程，而是通过从节点提交对空区块的投票以及主节点生成空区块投票凭证的方式，表明当前节点没有就新区块达成一致，所以共识流程不会停滞在此阶段，节点均正常进入下一阶段继续完成投票、收集等任务，直至本轮结束，再通过正常的轮转方式更换新节点，进入新一轮共识流程即可。而且本共识机制是确定性共识，在新区块的生成、提交等环节中满足强一致性，避免区块链出现不能达成一致或分叉问题，保证了区块链的活性。

(3)消息复杂度分析

依次计算QS-BFT、QSYAC和PBFT完成单次共识需要的消息复杂度，每种共识机制只计算一次共识过程中的前3个核心阶段，通过对比各共识机制的消息复杂度，分析通信效率。

首先计算QS-BFT的消息复杂度。假设N个节点参与QS-BFT共识，在每个阶段，主节点广播发送N-1条消息，从节点向主节点发送1条消息。当系统处于快速模式时，即节点均正常工作时。在准备阶段，主节点广播预准备消息，从节点向主节点发送投票，该阶段复杂度为(N-1)+(N-1)＝2(N-1)，通信次数为(N-1)+(N-1)＝2(N-1)。在快速决议阶段，主节点广播含有准备凭证的快速决议消息，从节点向主节点发送相应投票，该阶段复杂度为N(N-1)+N-1＝N2-1，通信次数为(N-1)+(N-1)＝2(N-1)。故快速模式下的通信复杂度为2(N-1)+N2-1＝N2+2N-3≈N2，通信次数2(N-1)+2(N-1)＝4(N-1)。当系统处于标准模式时，与快速模式计算复杂度的方法相同，可得出该模式的通信复杂度约为2N2，通信次数约为6(N-1)。QSYAC和PBFT的核心流程通信复杂度的计算方法与QS-BFT相同，在忽略常量和低次幂后的复杂度计算结果如表1所示。

由表1可知，QS-BFT和PBFT的拜占庭节点占比大于QSYAC，容错率更高。在节点均正常工作时，QS-BFT的消息复杂度小于其他两种共识机制。在有节点发生故障时，QS-BFT消息复杂度与QSYAC相等，但少于PBFT。QS-BFT采用了多线性哈希函数族，计算速度快于QSYAC采用的Toeplitz哈希函数族，使之签名和验签的速度更快。由上可知，QS-BFT共识机制与QSYAC、PBFT相比，消息复杂度更小，通信次数呈线性，签名速度更快，通信效率更高，可扩展性更佳。

表1共识机制核心流程消息复杂度

实施例：

为了验证本发明所提出的量子安全拜占庭容错共识机制，利用Go编程语言分别对QS-BFT与PBFT共识机制进行仿真实现。为了保证测试的公平性，尽量对QS-BFT与PBFT采用相似代码结构，只对单次交易进行共识来进行性能测试。并且分别从吞吐量、延迟和容错性、交易提交时间对吞吐量的影响四个方面对本发明的QS-BFT和经典PBFT共识机制进行对比测试。

1、实验配置

首先，通过Go编程语言分别对QS-BFT与基于MH-USS签名方案的PBFT共识机制(以下简称为PBFT)进行仿真实现。然后进行性能测试，其结果不仅与共识机制相关，还与测试过程中的代码数据结构、生成新区块的方式、共识网络状态等相关。为了保证测试的公平性，尽量对QS-BFT与PBFT采用相似代码结构，只对单次交易进行共识。分别从吞吐量、时延和容错性三个方面对本文提出的区块链共识机制QS-BFT与PBFT进行对比测试。由于本地硬件条件有限，共识网络中的节点数量取为最大值13。通过测试结果对比可知，与PBFT相比，QS-BFT在吞吐量、时延方面均有明显提升，容错性均满足系统模型N＝3f+1的要求。

2、性能测试结果

(1)吞吐量测试：吞吐量能够反映出共识机制的对事务的并发处理能力。在区块链系统中，交易通常表示需要写入区块中的事务性操作。吞吐量通常用区块链系统在单位时间内处理的交易总量(Transaction Per Second，TPS)表示，单位为tps。

首先测试QS-BFT共识机制与PBFT共识机制的网络规模对吞吐量的影响。分别在网络规模最小为4节点，最大为10节点时，进行QS-BFT和PBFT的吞吐量测试，记录二者对1000笔交易的处理时间，并重复进行10次的独立对比实验，计算平均吞吐量测试结果后，得到QS-BFT与PBFT的吞吐量对比图，如附图4所示。

从附图4可以看出，在节点数量相同情况下，QS-BFT吞吐量均高于PBFT；QS-BFT与PBFT的吞吐量均随着节点数量增多而下降，但QS-BFT的下降趋势相对平缓。这是因为PBFT在准备阶段与承诺阶段时，需要所有副本广播其投票消息，副本之间产生大量通信开销，而QS-BFT通过主节点统一收集主节点投票的方式，消除了从节点之间的广播通信；并且由上述的消息复杂度与通信次数计算结果可知，QS-BFT的消息复杂度和通信次数均小于PBFT，若节点数量增加，则QS-BFT的资源消耗增加幅度小于PBFT，使吞吐量下降幅度更小。

(2)时延测试：时延表示交易从客户端提交到交易被写入区块的时间差。

测试QS-BFT与PBFT共识机制的网络规模与时延的关系，分别在网络规模最小为4节点，最大为10节点时，进行时延测试。重复进行10次的独立对比实验，记录平均时延结果，测试结果如附图5所示。由图5可知，在节点数量相同时，QS-BFT与PBFT相比时延更小；随着共识节点数量增多，QS-BFT与PBFT的平均时延均有所增加。因为QS-BFT取消从节点广播，并且在快速模式下取消承诺阶段，有效缓解了主节点与从节点的端口通信压力，QS-BFT的消息复杂度更小，消耗资源更少，故与PBFT相比，QS-BFT的时延更小，并且消息在低时延情况下，主节点与从节点收、发投票的速度更快，使网络节点达成共识的速度更快。但随着节点数量逐渐增加，节点在密钥生成与分发、签名与验签、投票等各项环节的时间消耗均有所增加，导致了QS-BFT与PBFT的总体时延上升。

(3)容错性测试：QS-BFT共识机制的系统模型为N＝3f+1，通过测试系统内无恶意节点与最大f个恶意节点时系统的吞吐量的影响，检测QS-BFT与PBFT的共识机制的容错性，其中，恶意节点在系统内表现为宕机无响应或发送错误消息。当恶意节点数量大于f时，系统无法达成共识。测试结果如附图6所示。

由附图6可知，当网络节点数量固定，恶意节点数量取最大时，吞吐量随着恶意节点数量的增加而减少。对于QS-BFT，当网络中共有4个节点时，恶意节点数f最大值取1，此时吞吐量最高。若恶意节点数量大于f，系统则无法达成共识。恶意节点数量多，则用户等待时间更长，吞吐量也随之减小。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述共识方法采用量子安全拜占庭容错共识机制进行共识，该量子安全拜占庭容错共识机制基于区块链架构，采用量子-经典两层对等网络的共识网络模型，该共识网络内共有N个节点，分为主节点和从节点，且N＝3f+1，f是拜占庭节点个数，所述共识方法包括以下步骤：

步骤1：准备阶段

客户端将要发送的原始请求消息先进行MH-USS签名，再将已进行MH-USS签名的请求消息发送至主节点，主节点对收到的消息进行验证，为验证过的有效请求消息生成新区块，并将其写入预准备消息中，广播该预准备消息；

从节点接收到预准备消息并验证该消息是否有效，若有效则从节点向主节点发送对新区块的投票消息，若无效从节点向主节点发送对空区块的投票消息；

步骤2：模式选择阶段

主节点在发出请求后开启一个计时器T，在计时器T到期前，若主节点接收到共识网络中所有节点对同一区块的投票时，则进入快速模式，否则进入标准模式；在快速模式下直接由主节点广播快速决议消息，完成从节点向新区块或者空区块投票，在标准模式下依次经过承诺阶段和决议阶段完成从节点向新区块或者空区块投票；

步骤3：反馈阶段

主节点发送反馈消息，从节点、客户端接收反馈消息后，则说明达成共识，所有节点进行下一轮；否则未达成共识，共识结束。

2.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述量子-经典两层对等网络中的量子网络用于进行量子密钥分发，经典网络用于传输消息和签名等信息。

3.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述共识网络采用轮转机制运行，每一轮都是以客户端将请求消息发送至主节点为开始，以客户端接收主节点反馈消息为结束，并且每一轮都采用轮转机制进行主节点的选举和更替，使得每一轮有一个主节点，其余节点为从节点，每一轮的主节点编号L为：L＝rmodN，且r为当前轮编号。

4.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述主节点发送消息的格式为<phase,r,Cert(σ)>σ_L，其中phase表示当前阶段，r表示当前轮数，Cert(σ)表示主节点的消息凭证，σ_L表示主节点L对该消息进行MH-USS签名。

5.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，步骤2中所述从节点发送消息的格式为<phase,r,x>σ_i，其中，当x＝h(p)时，该消息表示从节点为新区块p投票，当x＝⊥时，该消息表示从节点为空区块投票；h(p)表示使用参数哈希函数计算的新区块p的哈希值。

6.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，进行所述MH-USS签名包括1个签名者和K个验签者，签名者和验签者均使用量子网络进行密钥分发，且签名流程包括以下步骤：

步骤11：签名者在经典网络层生成K²个密钥

步骤12：签名者通过QKD方式利用量子网络将生成的密钥r_i＝(r_(i-1)K+1,...,r_iK)发送给验签者P_i，其中i为验签者的编号；

步骤13：每个验签者P_i将密钥r_j∈r_i再分别发送给其他验签者P_j，P_j将全部验签者发来的密钥记为r_i→j；

步骤14：签名者在经典网络层通过多线性哈希函数对消息进行签名，签名计算公式为：

其中，t表示计算后的签名值结果，h(m)为多线性哈希函数，其计算公式为：

步骤15：在经典网络层验签者P_j通过密钥r_i→j计算h_i→j(m)，若满足t_i→j＝h_i→j(m)，则

否则，

步骤16：验签者P_j计算

若满足

则表示签名有效，接受该签名，否则拒绝该签名；其中，δ＝1/2+d，d表示全部节点中拜占庭节点所占比例。

7.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述快速模式的消息处理步骤包括：

步骤1：如果主节点接收到的是对新区块的投票消息，主节点将收到的新区块投票合并为对新区块投票的快速预决凭证，如果主节点接收到的是对空区块的投票消息，主节点将收到的空区块投票合并为对空区块投票的快速预决消息，并由主节点直接广播该快速预决议消息；

步骤2：若从节点接收到所述快速预决议消息并验证有效后，将该区块写入本地，将更新后的本地状态写入投票消息中，从节点向主节点发送对新区块的投票；若验证无效，则从节点向主节点发送对空区块的投票；

步骤3：从节点锁定当前已投票的区块，并解锁之前已锁定的区块，进入对当前投票区块的锁定状态。

8.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述标准模式下的消息处理步骤包括：

1)承诺阶段

主节点将收到的全部投票合并为预承诺凭证，如果主节点接收到至少2f+1条对新区块的投票，则广播对新区块投票的预承诺消息；否则，主节点广播对空区块投票的预承诺消息；

如果从节点接收到该预承诺消息且验证有效，则从节点向主节点发送对新区块的承诺投票；若验证无效，从节点向主节点发送对空区块的承诺投票；

2)决议阶段

主节点再将收到的全部承诺投票消息整合为预决议凭证，如果主节点收到至少2f+1条对新区块的承诺投票且验证有效，则广播对新区块投票的预决议消息；否则，主节点广播对空区块投票的预决议消息；

若从节点接收到新区块的预决议消息且验证有效后，则将新区块写入本地区块链，将更新后的本地状态记入投票消息中，再向主节点发送对新区块的投票；若验证无效则从节点向主节点发送对空区块的投票。

9.根据权利要求1所述的一种基于量子密钥分发的拜占庭容错共识方法，其特征在于，所述主节点和从节点所接到的各类消息均需要进行有效性验证，且有效性验证条件包括：

1)是否在规定时间T内收到消息M；

2)验证签名σ的有效性；

3)验证轮编号r是否等于当前轮编号；

4)验证消息凭证Cert的有效性；

5)计算哈希值h(p)是否正确。

Images