国内外后量子区块链研究现状如何？

基于传统密码技术的区块链向基于后量子密码技术的区块链的迁移已经被提上议事日程。

1.国外后量子区块链研究现状

下面我们将按照时间线，简要介绍目前能够公开查询到的具有 代表性的后量子区块链系统或平台10。

（1）IOTA。早在 2014 年，德国柏林的一个团队就发布了 IOTA， 并为此专门成立一个非盈利的组织 IOTA Foundation 来运维 IOTA， 目前已经演进到 2.0 版。由于 IOTA 使用了 Winternitz 一次性签名算法（WOTS），该签名算法是基于密码学哈 希函数构造的，具有抵抗量子攻击的特点，因此 IOTA 也成为最早 的后量子区块链系统。IOTA 是一种分布式账本技术（DLT），使个 人能够控制自己的私人数据，运行防篡改程序，并无需中介机构即可参与资产所有权和交易。与集中式系统不同，DLT 需要独立节点 之间达成共识才能就账本的状态达成一致。这就带来了保护网络免 受恶意行为者侵害的挑战。IOTA 基于有向无环图 DAG 设计，这是 一种新交易验证先前交易的结构，与大多数 DLT 使用的典型区块 链不同：在基于区块链的系统中，交易被分组为块并链接在一起， 从而产生了天然的瓶颈；然而，IOTA 通过利用所谓的纠缠（Tangle） 机制绕过了这一限制，从而实现了更具可扩展性和高效的网络，它 消除了集中验证的需要，并为交易和数据交换提供了分散且安全的 环境。

（2）QRL。发布于 2016 年 QRL 宣称是第一个工业级的后量子 区块链系统。QRL 是抗量子账本（Quantum Resistant Ledger）一词 的缩写，它是一个开源项目，由 Peter Waterland、Kaushal Kumar Singh 和 James Gordon 共同领导，到目 前为止，已有来自 80 多个不同开源库的近 60 位代码贡献者的超 过 12000 次的迭代。QRL 得到了 Open Quantum Safe (OQS) 项目 的支持，使用了 IETF 推荐的后量子签名算法 XMSS，这也是一个基于密码学哈希函数的且具有前向安全性的后 量子签名方案，它也获得了 NIST 的认可。QRL 使用了由链接的 XMSS 树组成可伸延状态非对称超树的方法，这个方法的优点是使 用已核实的签名方法，并且容许生成可以签名交易的账本地址，避 免了庞大 XMSS 结构的预先计算延迟。在使用了基于哈希的抗量子 签名算法 XMSS 以外，QRL 还兼容多种后量子签名方案（Sphincs、Falcon 等）以及扩展账户地址，通过地址格式的更新，并支持不同 的哈希函数（SHA256、SHAKE128, SHAKE256 等）。在共识方面， QRL 使用了低功率 POS 算法，该算法使用了迭代哈希链和可证实 的基于哈希的伪随机数函数，摆脱了对传统签名依赖性，更好的保 障了区块链的安全性。

（3）Algorand。发布于 2016 年的 Algorand 是由美国图灵奖得 主 Silvio Micali 团队设计的，其核心技术特征是使用了可验证随机 函数 VRF 来实现所谓的密码抽签（Cryptographic Sortition）功能，并 以此从一群大范围的验证者中选取一部分验证者运行他们自己设 计了一类 BFT 算法，从而达到提高共识效率的效果。尽管 Algorand 系统目前的硬件钱包还使用了不抗量子的签名算法 ED25519，但是 Algorand 的框架设计中对所使用的签名算法并不指定具体的实例 化，这就是说，它自然而然具有抗量子特性，只要实例化时采用了 抗量子的签名算法即可。Algorand 在其官网上宣称：在 NIST-PQC 后量子签名算法候选标准确定之前，拟选定 Falcon 作为自己的签 名算法，以提供量子安全性11。

（4）Mochimo。发布于 2018 年的 Mochimo 是由 Matt Zweil 领 导的 Mochimo 基金会所开发。Mochimo 是 一个致力于提供抗量子安全性、可扩展性和高吞吐量的加密货币 系统，它采用基于哈希的 Winternitz 一次性签名方案的改进版本 （WOTS+）以确保交易签名的抗量子安全。Mochimo 还支持自定义地址标签功能，允许用户使用只有 12 字节的简短标签来标记尺寸 庞大的抗量子账户地址。在可扩展性方面，Mochimo 使用了一种专 有算法 ChainCrunch 大幅提高了交易吞吐量，并支持压缩账本技术 以实现区块链节点的快速建立。该项目的源代码已在 github 上开 源，并在 MPL 2.0 派生 的开源许可证下获得授权。

（5）Bitcoin PQ。2018 年，Bitcoin 的抗量子版本发布，它是由 Noah Anhao，Domef Fd，Serhiy Khvashchuk，Oleksandr Kravchenko 和 Oleg Lavronov 共同研发实现 的。Bitcoin PQ 从比特币的第 555000 个区块开始进行硬分叉，是 比特币主链的一个抗量子实验性分支，在保持比特币的所有基本 功能不变的情况下，Bitcoin PQ 提供了更强的抗量子特性和隐私保 护特性。Bitcoin PQ 采用了基于密码学哈希函数的且具有前向安全 性的后量子签名算法 XMSS，以支持量子安全新特性。在运行初 期，Bitcoin PQ 同时支持经典签名方案 ECDSA 和抗量子签名方案 XMSS。但在主链运行一年后，Bitcoin PQ 已弃用 ECDSA 签名方案， 仅支持抗量子签名方案 XMSS。在传统比特币中，出于隐私和安全 的考虑，建议每进行一次交易就使用一个新地址。与比特币不同， Bitcoin PQ 推荐有限次的重用单一地址。在共识方面，采用了抗量 子工作量证明算法 Equihash96x3。此外，Bitcoin PQ 采用了基于后 量子安全的零知识证明来实现匿名交易，从而保护用户的隐私。

（6）QANplatform。从其官网 看，这个项目最早是 2019 年就启动的，开发团队来自 10 多个国家的 30 多位成员构成，总部注册在爱沙尼亚。QANplatform 从其架构上 看是一个混合链：一方面，它可以被用作类似 Corda 或 Hyperledger 的私有链；另一方面，它也可以被用作类似于 Solana、Cardano 和 Polkadot 这样的公有链。从其白皮书看，QANplatform 的抗量子特 征很丰富：首先，它在其交易签名中使用了后量子签名算法 Glyph （这是一个基于 RLWE 问题的抗量子签名算法），并且还提供了一个 称之为 QAN XLINK 的面向客户端的交叉签名协议，这个协议能够 支持兼容以太坊的钱包（如 MetaMask 和 Trust Wallet）与抗量子 签名密钥对的无缝集成12；其次，它借鉴使用了 Algorand 的共识机 制，并在机制实现（如 VRF）中使用了基于格上 SIS 问题的累加器 技术，在其合约地址的生成中也嵌套使用了基于 SIS 的哈希函数和 标准的 SHA 哈希函数；最后，为了进一步增强其智能合约的表达 能力，QANplatform 的虚拟机居然提供了支持格基全同态加密算法 （GSW 类型）和基于身份的加密（IBE）的操作码（opcodes）。

（7）TideCoin。发布于 2020 年的 TideCoin 是一种抗量子安全 的加密货币系统。Tidecoin 采用基于格的后 量子签名算法 Falcon，该算法具有签名尺寸小、运行高效、可扩展 性强等特点，适用于需要快速处理大量交易的应用环境。在共识方面，Tidecoin 使用对 CPU 友好的 PoW 算法 yespower，让使用普通 计算机的个人也能参与挖矿。此外，Tidecoin 支持包括电脑端、移 动端等多种类型的钱包，确保用户体验友好。Tidecoin 也支持根据 网络需求动态调整区块大小。这一点对于处理大量交易与优化网络 拥堵具有重要作用。目前，Tidecoin 在 github 上开源了项目的源代 码，鼓励社区参与其开发和治理，以 促进项目的更新迭代。

（8）PQFabric。这是加拿大滑铁卢大学的量子信息领军人物 Michele Mosca 团队于 2020 年提出的一个基于 Hyperledger Fabric 的后量子区块链架构，其后量子特征的集中体现是它集成了一个 开源的后量子密码库 LibOQS 0.4.0（而不仅仅是某个单一的后量 子密码算法），因而提供了完备的密码敏捷性（crypto-agility）。由 于 LibOQS 是用 C 语言写的，而 Hyperledger Fabric 是用 Go 语言 写的，因此 PQFabric 的核心是对 LibOQS 写了一个接口（称之为 CGO wrapper）。为了支持交易的后量子迁移，PQFabric 使用了证 书系统 X.509 的一个经典-后量子混合版本，在其中首次明确提出 了所谓的对偶组合签名思想：将待签名的消息 m 拆分为对偶的两 部分 (m1,m2)，先用后量子签名算法 Σ1 对原始消息生成签名 σ1， 再用经典签名算法 Σ2 对组合的消息 m1 ∥ σ1 ∥ m2 生成签名 σ2，最 后令 Σ = (σ1,σ2) 为最终输出的签名。这样做的好处是提供了对 不支持后量子密码算法的节点的后向兼容（签名生成时只需令 m1 和 σ1 为空串即可）。PQFabric 在其官宣论文[51] 中还提供了详细的使用不同的后量子签名算法（如 Falcon-512/1024、Dilithum-2/3/4、 qTesla-p-1）后的出块延迟时间和系统的吞吐量的测试结果。

（9）Cellframe。这是由俄罗斯圣彼得堡国立信息技术机械与光 学大学的 Dmitry Gerasimov 和第聂伯彼得罗夫斯克国立大学 Mira Brezhinskaya 两人于四年前共同建立的一个面向服务的后量子区块 链开源项目13，现有近 20 位 主要贡献者。Cellframe 的抗量子特性主要体现在两个方面：首先， 它选择了 NTRU、Frodo、SIDH 等诸多后量子加密算法；其次，它 宣称选择后量子密码算法 Crystal-Dilithium 作为平台默认的签名算 法，同时也宣称使用另一个零知识后量子签名算法 Picnic。与已有 区块链不同的是，Cellframe 宣称的设计目标居然不是成为一个区 块链（协议），而是成为一个通用的构建区块链生态的基础架构层 （infrastructure layer），并计划重建 OSI 模型第 3 层至第 7 层的一 切，以使得所有现存的区块链都能够迁移到 Cellframe 上并获得前 所未有的性能和安全水平。为此，Cellframe 宣称完全基于 C 语言开 发，不使用任何第三方代码，甚至强调不能依赖于任何操作系统内 核，从而能够高效地和主机或者智能冰箱一起运行（be efficient in working with both mainframes and smart refrigerators）。Cellframe 还 引入了所谓的零级协议的概念（Zero level protocol）作为其共识机 制，根据该协议，在零级链上只需要验证 1% 的创始区块，每个创 始区块也仅包含 1 个数据项（通常是元数据和根公钥的集合），创始区块后的每个数据项都必须由一个根密钥进行签署。

（10）Qoin。根据我们的调研，现在有两个区块链系统都叫 Qoin。 第一个 Qoin是 2020 年 1 月在澳大利亚推出 的以密码货币为主体的平台，具有桥接到以太坊区块链的能力，其 生态系统已经拥有超过 60,000 个注册用户，其中包括超过 30,000 家注册企业，并且从 2020 年 1 月到 2023 年 12 月，Qoin 用户在 554,000 笔交易中交易了超过 25 亿澳元的 Qoin。但是，从其官网 看，这个 Qion 平台跟后量子区块链没有关系。 第二个 Qoin 是 2024 年 1 月才发布的，其白皮书 1.0 版中表 明：Qion 在提供了一个去中 心化的抗量子 AI 超级计算网络（Decentralized Quantum-resistant AI Supercomputing Network, DQASN）。Qion 可以使用多种 NIST-PQC 征集的后量子密码算法，并在区块链钱包和区块链验证节点上使用 了多重签名的机制。例如，它使用 Falcon 和 Dilithium 生成密钥对， 分别用私钥对交易进行签名，然后验证时使用对应的公钥验证签名 的合法性。此外，Qoin 也在其共识机制中使用抗量子安全的可验证 随机函数生成可验证的工作量证明。DQASN 也使用了一个称之为 量子纠缠的协议（Quantum Entanglement Protocol, QEP）——但其 本质上是个经典协议，而非量子的——在每一轮的区块生成时进行 收集，并且计算他们的权重，分析区块的重要性，这样就能使区块 链达到快速收敛，提升整条链上的吞吐量。

2.国内后量子区块链研发现状

（1）ABCCoin。早在 2016 年，丁津泰团队就提出过一种在比特 币架构上更换签名算法，以期达到抗量子的效果的抗量子区块链。 在 2018 年，抗量子区块链 ABCCoin 正式发布，但目前该区块链并 未向社会发行数字货币。整个算法的基础是建立在比特币 0.8.6 版 本上的，将比特币的椭圆曲线签名算法替换为了基于多项式的彩虹 签名算法 Rainbow。此外，ABCCoin 更新了 PoW 公式算法：不再 使用基于哈希函数的 SHA-256 作为挖矿算法，而是使用了求解多 元多项式的新式挖矿程序 ABCardO，这种这种解多项式的挖矿方 式将会在不同的难度等级时，使数学家们了解到不同的多项式时间 内能解决多大算力数学题等有意义的数学问题。

（2）Hcash。2017 年，由上海交通大学和香港理工大学团队联合 发布了 Hcash。Hcash 使用了 BLISS 和 MSS/LMS 两 个抗量子签名方案。BLISS 是一种基于格的抗量子签名方案，对比现 有的抗量子签名算法，其拥有最小的公钥和签名尺寸，而 MSS/LMS 则是一种基于哈希的高效抗量子签名方案。另外，Hcash 与传统的 ECDSA 签名兼容。在隐私保护方面，Hcash 改进和优化了 zk-snarks， 采用了基于格的抗量子环机密交易（RingCT）来保护用户隐私。在架 构方面，Hcash 采用并生的双链构架，此架构由原有的 Hshare 链升 级后的 HyperCash（HC）主链以及由 Hcash 孵化出的 HyperExchange （HX）主链组成。两条主链互相协作，共同组成 Hcash 双链双币生态系统。在共识机制方面，Hcash 采用 PoW+PoS 混合共识机制， 所有基于 PoW 共识所生成的区块均须经过 PoS 共识的验证，才能 成为合法区块。即 PoW 共识负责生成区块，PoS 共识负责投票决 定区块的有效性，矿工与权益持有者共同参与区块生成，能够减轻 算力过于集中的问题。

（3）树图链。树图链（Conflux）是我国唯一合规、公共和无需 许可的区块链，由首位华人图灵奖获得者、著名计算机科学家姚期 智担任首席科学家，并获得国家认可，于 2021 年 1 月 12 日获得上 海市科学技术委员会筹集的 500 万美元的融资。Conflux 链采用了 与常规区块链单链结构完全不同的结构，采用了高效的树状图链， 并借鉴了一种名为“GHOST”的规则确定主链，根据主链和引用链 接确定区块顺序和交易顺序。Conflux 链还能够完全兼容以太坊的 智能合约，同时在共识上引入了一条独立运行的 PoS 链，不仅提升 了链上信息数据处理速度，还大大提升了安全性能。虽然采取了这 种 PoW+PoS 的机制，Conflux 链仍然坚持去中心化的性质，并予 以安全性的增强。目前为止，Conflux 链没有公开宣布使用任何特 定的抗量子密码算法，但是他们在 Github 中的代码库却显示已经 做好了 Dilithium 抗量子签名算法的适应性改造，相信在不久的将 来会通过版本更新将 Dilithium 算法集成到链中。总体来说，目前 国内的研究还处于初步探索阶段。

（4）长安链。2022 年，由北京微芯区块链与边缘计算研究院牵头，清华大学、腾讯公司等多家校企联合参与的长安链宣布集成了 Dilithium 抗量子签名算法，能够在量子安全下保证交易的真实性与 可信度。作为国内首个可控区块链软硬件技术体系，长安链携手央 行数研所，共同推进数字人民币企业级应用；联合国家公共信用信 息中心与北京市大数据中心协同探索“区块链 + 信用”的创新应 用。同时，长安链为了保证其上层应用的加密过程也能抵抗量子攻 击，提出了基于 NTRU 格的抗量子多方安全计算方案，此算法输 出向量短、拥有高效的运算能力。相比于传统多方门限解密依赖大 整数分解、离散对数求解等困难问题，在量子计算机的攻击下已无 法保证其安全性，这种方案提供了一种抗量子多方门限解密能力， 采用了基于格构造的密码算法，在量子计算机的攻击下仍然是安全 的。

（5）天翼链。天翼链是由中国电信自主研发，具备高可用底层 存储、支持跨集群组网及隐私增强的区块链即服务（BaaS）平台。天 翼链已广泛应用于物联网、政务、数据要素流通领域，提供了功能 强大的分布式可信计算能力。2022 年，天翼链提供 Dilithium+SM2 混合签名作为可选签名组件，构建了量子安全的链上交易签名及身 份验证类服务；2023 年，在数据融通中，基于 LPN、RLWE 格设计 的安全多方计算算法簇保障了数据要素流通中的底层密码原语的 量子安全性；2023 年，在通信传输方面，天翼链支持通过 PQC 及 QKD 两种量子安全密钥协商方式进行部署，从而为各类复杂场景 提供安全可靠的传输信道。目前，天翼链与中国电信后量子隐私计算系统-密流量子盾正推进实现抗量子组件融合，以构建具备长效 安全性的数据要素流通可信计算基础框架。

（6）趣链。趣链科技是由中国工程院陈纯院士担任首席科学家 的区块链领域首家独角兽企业，在数字政务方面拥有电子档案管 理、数字身份服务、公检法司联盟链等能力，使其和住建部、科技 部等部委，北京市人民政府、杭州市人民政府等人民政府达成合作。 从 v2.16 版本趣链区块链平台已经支持了抗量子账户以及账户交易 的签名和验签部分的抗量子密码算法，由于 Dilithium 抗量子签名 算法具有较高的安全性和较短的密钥和签名大小，而被趣链最终选 择，同时趣链还提供了密码算法在线升级和切换功能，方便用户选 择经典密码和抗量子密码。

（7）蚂蚁链。蚂蚁链是蚂蚁集团代表性的科技品牌，其在数据 要素、金融、数字政府等应用场景拥有巨大的用户群，为了抵抗量 子计算机的攻击，也紧跟技术潮流，在交易签名中集成了 Dilithium 抗量子签名算法，同时因为其在多种场景的广泛应用，为了保证所 传输的数据不受到量子计算机的攻击，在 TLS 通信模块集成了抗 量子机制，保障了数据在传输中的安全。 （8）ROTA。2024 年，布比科技联合北京理工大学、中国科学 院信息工程研究所与北京航空航天大学，在原布比链的基础上，集 成了由中国科学院信息工程研究所王鲲鹏团队提出的后量子签名 算法 Dilithium R，推出了布比后量子区块链 ROTA。Dilithium R 是在 NIST-PQC 优胜算法 Dilithium 的基础上，引入了基于基座旋转 （Rotation）操作的改进，相比原算法性能有近 20% 的提升。ROTA 同时支持 ED25519 签名和 Dilithum R 签名，支持传统账户和后量 子账号之间的交易，也支持传统账户、交易、智能合约的后量子迁 移。