量子加密貨幣研究進(jìn)展概述

賈恒越，武霞，朱建明

（中央財(cái)經(jīng)大學(xué)信息學(xué)院，北京 100081）

量子加密貨幣研究進(jìn)展概述

賈恒越，武霞，朱建明

（中央財(cái)經(jīng)大學(xué)信息學(xué)院，北京 100081）

簡(jiǎn)述了量子加密貨幣的發(fā)展歷史，從方案基本模型、安全性要求、關(guān)鍵技術(shù)、研究進(jìn)展等方面分別對(duì)不同類(lèi)型量子加密貨幣（包括量子鈔票、量子硬幣、量子支票、量子比特幣）進(jìn)行了介紹，最后指出未來(lái)有待進(jìn)一步完善和探究的問(wèn)題。

量子加密貨幣；量子貨幣；量子密碼；量子不可克隆定理

1 引言

貨幣在經(jīng)濟(jì)和金融中有著十分重要的地位，在金融與互聯(lián)網(wǎng)相融合的背景下，為了提供更可靠的安全保障，將密碼算法與數(shù)字貨幣相結(jié)合的數(shù)字加密貨幣也受到了越來(lái)越多的關(guān)注。量子密碼學(xué)是利用量子力學(xué)原理實(shí)現(xiàn)密碼學(xué)任務(wù)的一門(mén)科學(xué)，在量子密碼學(xué)中，除了眾所周知的量子密鑰分發(fā)之外，還包括許多其他的應(yīng)用[1]，如量子貨幣（quantum money）、有限量子存儲(chǔ)模型、授權(quán)量子計(jì)算。

傳統(tǒng)的數(shù)字貨幣已經(jīng)被廣泛深入地研究過(guò)，其重點(diǎn)就是如何提升交易的安全性。但是數(shù)字貨幣有個(gè)天然的缺陷，就是傳統(tǒng)數(shù)字比特可以很輕易地復(fù)制。量子貨幣方面，人們希望用理論上無(wú)法復(fù)制未知量子態(tài)的特點(diǎn)徹底杜絕偽造量子貨幣的可能性。量子力學(xué)的測(cè)不準(zhǔn)原理和不可克隆原理使量子貨幣成為量子信息理論最早關(guān)注的領(lǐng)域之一，其從理論上就保證了無(wú)法創(chuàng)造出偽造的數(shù)字貨幣。除了不可偽造性，一個(gè)有效的交易機(jī)制還需要考慮交易是否易被驗(yàn)證、交易匿名性、可轉(zhuǎn)賬性和健壯性等。

20世紀(jì)60年代末，哥倫比亞大學(xué)的年輕學(xué)者Wiesner[2]首先想到把量子力學(xué)特性應(yīng)用到防偽和版權(quán)保護(hù)需求中，首先提出了量子貨幣的概念，但其成果直到1983年才得到認(rèn)可和發(fā)表，如今這篇論文也被視為量子密碼學(xué)的起源。1983年，Bennett等[3]設(shè)計(jì)了一種只能使用一次的量子貨幣方案，他們稱(chēng)之為量子態(tài)地鐵票（quantum state subway tokens）。在此后20年的時(shí)間里，量子貨幣的相關(guān)研究被擱置和忽視。直到2003年，Tokunaga等[4]在Wiesner方案的基礎(chǔ)上繼續(xù)研究，才有新的關(guān)于量子貨幣的成果公開(kāi)發(fā)表，他們嘗試設(shè)計(jì)了具有不可追蹤性的量子現(xiàn)金。此外，Mosca和Stebila[5～7]于2006年提出量子硬幣（quantum coin）概念并對(duì)其進(jìn)行了討論，與之前方案中每張量子鈔票都具有唯一性不同，其特點(diǎn)是所有給定面額的量子硬幣都是完全一模一樣的。

近年來(lái)，隨著量子信息技術(shù)的不斷突破和比特幣的熱烈討論，Wiesner的量子貨幣思想逐漸成為熱點(diǎn)問(wèn)題得到人們的關(guān)注，其方案安全性得到了深入的研究[8～10]，Pastawski等[11]還考慮噪聲環(huán)境影響對(duì)其方案進(jìn)行了拓展。不僅如此，Georgiou等[12]還給出了新的量子加密貨幣構(gòu)造方式，其他貨幣形式如量子支票（quantum cheque）、量子比特幣（quantum Bitcoin）[13]等也陸續(xù)成為新的量子加密貨幣研究對(duì)象。

目前，根據(jù)量子貨幣驗(yàn)證真?zhèn)蔚姆绞娇梢詫⑵浞譃樗借€量子貨幣系統(tǒng)和公鑰量子貨幣系統(tǒng)兩類(lèi)。在私鑰系統(tǒng)中，量子貨幣只有銀行可以對(duì)其真?zhèn)芜M(jìn)行驗(yàn)證，而公鑰系統(tǒng)中允許任何人進(jìn)行驗(yàn)證。現(xiàn)有的大部分量子貨幣方案都是私鑰系統(tǒng)，第一個(gè)公鑰量子貨幣方案是2009年由Aaronson[14]提出的，Aaronson等[15,16]認(rèn)為一個(gè)量子公鑰方案應(yīng)該有以下性質(zhì)：

1) 存在有效的算法產(chǎn)生量子貨幣態(tài)；

2) 無(wú)需與貨幣發(fā)行銀行通信，任何人都可以驗(yàn)證量子貨幣有效性；

3) 任何人（除貨幣發(fā)行銀行外）都不能復(fù)制貨幣。

從量子加密貨幣的安全性角度看，現(xiàn)有方案也可以分為無(wú)條件安全的和計(jì)算安全的。在無(wú)條件安全量子貨幣方案中，攻擊者即使有無(wú)限的計(jì)算時(shí)間也無(wú)法破壞系統(tǒng)，如Wiesner的方案[2]就是無(wú)條件安全的，而Aaronson[14]、Christiano[17]、Farhi等[18]提出的方案都是在計(jì)算困難假設(shè)前提下設(shè)計(jì)的。

近年來(lái)，量子加密貨幣的研究取得了一定的成果，本文分別對(duì)量子鈔票、量子硬幣、量子支票及量子比特幣的基本思想、模型或特點(diǎn)進(jìn)行介紹，并對(duì)它們的研究進(jìn)展進(jìn)行梳理和概括。

2 基礎(chǔ)知識(shí)

1) 海森堡測(cè)不準(zhǔn)原理（the Heisenberg uncertainty principle）

測(cè)不準(zhǔn)原理又名“不確定關(guān)系”，是量子力學(xué)的一個(gè)基本原理，由德國(guó)物理學(xué)家海森堡于1927年提出。在微觀(guān)世界中，粒子具有波粒二象性。由于粒子具有波動(dòng)性，所以其坐標(biāo)和動(dòng)量不能同時(shí)取確定的值，而是要滿(mǎn)足一個(gè)不確定關(guān)系。

2) 量子不可克隆定理（the no-cloning theorem）

量子不可克隆定理最早是由Wootters和Zurek于1982年提出的，它的內(nèi)容是：一個(gè)未知量子態(tài)不能被完全克隆。該定理指出，任何物理手段都不可能精確地復(fù)制未知量子態(tài)，否則將會(huì)違背量子態(tài)疊加原理。它也可以看作是測(cè)不準(zhǔn)原理的一個(gè)推論。

3) 量子比特（Qubit, quantum bit）

量子比特是最簡(jiǎn)單也是最常用的量子系統(tǒng)，可用一個(gè)二維Hilbert空間來(lái)描述它的狀態(tài)。該空間的2個(gè)相互正交歸一的基矢可記為

則二維Hilbert空間上的任意態(tài)矢的表達(dá)式為?=c10+c21，表示量子系統(tǒng)處于0和1的概率分別為c2和c2，其中，c、c是復(fù)數(shù)，

1212且滿(mǎn)足c2+c2=1。0態(tài)和1態(tài)可以像0和1

12一樣形成一個(gè)經(jīng)典比特。但是與經(jīng)典比特不同，除了0和1這2個(gè)狀態(tài)外，在量子比特中還存在它們的疊加態(tài)c10+c21。因此，理論上說(shuō)，一個(gè)量子比特中可以編碼無(wú)窮多的信息。

考慮復(fù)合系統(tǒng)，假設(shè)粒子A處于Hilbert空間HA 上的φA態(tài)，粒子B處于Hilbert空間HB上的φB態(tài)，則A、B兩粒子組成的系統(tǒng)，其相應(yīng)的Hilbert空間為HAB=HA?HB。當(dāng)兩粒子之間沒(méi)有相互作用，復(fù)合系統(tǒng)處于φA?φB 態(tài)，這種狀態(tài)稱(chēng)為直積態(tài)（product state）。對(duì)2個(gè)量子比特構(gòu)成的向量空間，其一組完備正交基為{00,01,10,11}。此外，兩量子比特組成的復(fù)合系統(tǒng)還有另外一組完備正交基，即下式中的{φ+,φ?,ψ+,ψ?}。

可見(jiàn)上式系統(tǒng)中不再是2個(gè)子系統(tǒng)的直積態(tài)，這種狀態(tài)稱(chēng)為糾纏態(tài)（entangled state）。上述4個(gè)糾纏態(tài)構(gòu)成的基稱(chēng)為Bell基，4個(gè)基態(tài)通常被稱(chēng)為Bell態(tài)。

3 量子鈔票

一般地，一個(gè)量子鈔票（quantum bill）方案主要包括2個(gè)過(guò)程：一是銀行產(chǎn)生有效貨幣的過(guò)程；二是驗(yàn)證一個(gè)量子鈔票是否有效的過(guò)程。

Wiesner的量子鈔票方案是第一個(gè)基于量子原理提出的量子貨幣方案[2]，協(xié)議只需要單量子比特寄存器和單粒子測(cè)量即可實(shí)現(xiàn)。Wiesner方案是按照以下方式執(zhí)行的。

1) 貨幣發(fā)行。首先用n個(gè)量子比特來(lái)制備量子鈔票，銀行從{0,1,+,?}這4種量子態(tài)中隨機(jī)選擇，產(chǎn)生n量子比特態(tài)$s=k1?k2?…?kn 。然后，銀行給其分配一個(gè)唯一的序列號(hào)s。一個(gè)量子鈔票是由n個(gè)量子比特及其序列號(hào)組成的，即(s,$s )。銀行將量子鈔票發(fā)送給客戶(hù)，并把量子鈔票的制備信息及對(duì)應(yīng)序列號(hào)一起安全地存儲(chǔ)在數(shù)據(jù)庫(kù)中。

2) 貨幣驗(yàn)證。收款人將量子態(tài)及其序列號(hào)發(fā)送給銀行驗(yàn)證。銀行查找序列號(hào)、檢索相應(yīng)的量子狀態(tài)的描述，然后驗(yàn)證給定的狀態(tài)與附加的序列號(hào)是否一致。若一致，則驗(yàn)證通過(guò)，否則公布量子鈔票無(wú)效。

因?yàn)榱孔逾n票中量子態(tài)的制備信息是保密的，由量子不可克隆定理可知，除銀行之外的任何人都不能進(jìn)行偽造。但是它也存在不足，即每次交易時(shí)收款人必須與銀行通信才能驗(yàn)證貨幣的有效性。由貨幣驗(yàn)證方式可知，Wiesner的量子鈔票方案屬于私鑰的量子貨幣系統(tǒng)，且銀行還能根據(jù)每張鈔票的唯一序列號(hào)對(duì)其保持追蹤。2003年，Tokunaga等[4]嘗試對(duì)Wiesner量子鈔票方案的可追蹤性進(jìn)行改進(jìn)。他們通過(guò)允許鈔票擁有者在銀行驗(yàn)證之前可以修改鈔票來(lái)實(shí)現(xiàn)不可追蹤，設(shè)計(jì)方案中特殊的修改仍可以保持鈔票有效性，但銀行則無(wú)法對(duì)其進(jìn)行區(qū)分。雖然Tokunaga等的方案具有不可追蹤的特點(diǎn)，但其卻帶來(lái)一個(gè)很明顯的問(wèn)題，即一旦發(fā)現(xiàn)偽造貨幣后，銀行則需要立即作廢之前所有已發(fā)行的鈔票。

Wiesner的量子鈔票方案已經(jīng)提出40多年，由于其量子鈔票附加信息只有銀行知道，所以當(dāng)協(xié)議使用恰當(dāng)?shù)那闆r下，是可以達(dá)到信息論安全的。但是，如果使用不當(dāng)，則會(huì)導(dǎo)致鈔票有可能被偽造。Lutomirski[9]發(fā)現(xiàn)若銀行在確認(rèn)鈔票無(wú)效后將鈔票再還給用戶(hù)，則偽造者就可以成功地偽造出有效的量子鈔票。由此可見(jiàn)，即使銀行返還無(wú)效量子鈔票，整個(gè)方案的安全性也會(huì)受到影響。

由上述分析可知，僅僅是可以訪(fǎng)問(wèn)驗(yàn)證者，驗(yàn)證者返還量子態(tài)及其有效性答復(fù)，攻擊者無(wú)需了解具體驗(yàn)證線(xiàn)路，就可以借此交互來(lái)偽造量子鈔票。然而，公鑰量子鈔票方案要求驗(yàn)證算法公開(kāi)，偽造者也可以使用驗(yàn)證算法，因此設(shè)計(jì)的難點(diǎn)就源于此。

關(guān)于公鑰量子鈔票的研究是從1982年開(kāi)始的，Bennett等[3]提出公鑰量子鈔票思想，并基于不經(jīng)意傳輸協(xié)議和大整數(shù)分解困難問(wèn)題首次嘗試設(shè)計(jì)公鑰量子貨幣，該方案只允許一張錢(qián)花一次，因此他們也稱(chēng)其為量子地鐵票。隨著量子密碼和量子計(jì)算的不斷發(fā)展，十多年后不經(jīng)意傳輸協(xié)議攻擊和Shor算法[19]的提出對(duì)其安全性也造成了影響。

在標(biāo)準(zhǔn)不可克隆原理下，很難證明公鑰量子貨幣安全，因?yàn)樗鼪](méi)有考慮偽造者可以反復(fù)檢測(cè)給定量子態(tài)是否為有效貨幣。為了構(gòu)造可用的公鑰量子鈔票方案，Aaronson提出了“復(fù)雜度理論不可克隆定理”。定理說(shuō)明一個(gè)計(jì)算資源有限的偽造者即使可以訪(fǎng)問(wèn)貨幣驗(yàn)證器，也不能復(fù)制任意量子鈔票態(tài)。在此基礎(chǔ)上，Aaronson[14]提出了第一個(gè)具體公鑰量子鈔票方案，然而這一方案很快被Lutomirski等[16]證明是不安全的。在文獻(xiàn)[16]中，作者提出了無(wú)碰撞（collision-free）量子貨幣的想法，即每個(gè)無(wú)碰撞的量子鈔票都有一個(gè)序列號(hào)，任何人甚至貨幣發(fā)行銀行，都不能產(chǎn)生具有相同序列號(hào)的2張鈔票。這個(gè)功能可以防止銀行發(fā)行比它聲稱(chēng)的錢(qián)更多。銀行公布所有已生產(chǎn)的量子鈔票序列號(hào)的列表，從而可以確定銀行為每張鈔票只生成一個(gè)序列號(hào)。

不僅如此，研究人員還嘗試?yán)貌煌臄?shù)學(xué)理論來(lái)設(shè)計(jì)新的量子貨幣方案。2012年，F(xiàn)arhi等[18]基于Knot理論提出了無(wú)碰撞且安全防偽的公鑰量子貨幣方案[18,20]，且Lutomirski[20]證明了該系統(tǒng)的抗偽造性。Aaronson等[17]則基于經(jīng)典隱藏子空間困難問(wèn)題設(shè)計(jì)了新的量子貨幣系統(tǒng)，Pena等[21]對(duì)其進(jìn)行了代數(shù)分析，指出無(wú)噪聲情況下的方案是不安全的。

另外，量子貨幣驗(yàn)證過(guò)程采用的交互方式也逐漸受到人們的關(guān)注。Gavinsky[22]對(duì)是否存在僅用經(jīng)典通信實(shí)現(xiàn)驗(yàn)證協(xié)議的量子鈔票方案進(jìn)行了研究，利用新的量子密碼思想——量子重構(gòu)博弈（quantum retrieval games）提出了第一個(gè)僅用經(jīng)典方式驗(yàn)證的私鑰量子貨幣方案，且該協(xié)議可以達(dá)到信息論安全。在Wiesner方案的驗(yàn)證算法中，用戶(hù)和銀行之間需要3次交互，于是Molina等[10]設(shè)計(jì)了一個(gè)新的僅用經(jīng)典驗(yàn)證的量子貨幣方案，在其方案中驗(yàn)證貨幣有效性?xún)H需要2次交互即可。2015年，Georgiou等[12]對(duì)Gavinsky方案進(jìn)行了改進(jìn)，提出一個(gè)信息論安全的私鑰量子貨幣方案，與Gavinsky方案需要3輪交互相比，該方案貨幣驗(yàn)證時(shí)僅需一輪的經(jīng)典通信即可。此外，Georgiou等還利用一次寄存器（one-time memories）作為基本工具，設(shè)計(jì)了一個(gè)新的公鑰量子貨幣方案，此方案在隨機(jī)預(yù)言模型下可達(dá)到計(jì)算安全。

4 量子硬幣

量子硬幣是量子加密貨幣的一種，由Mosca和Stebila首次提出[5,6]。它是指所有等面額的貨幣都用完全相同的量子態(tài)表示，使用量子硬幣一詞也是與現(xiàn)實(shí)世界的普通硬幣類(lèi)似，即同一面額的不同硬幣沒(méi)有明顯的差異。

量子硬幣流通使用的基本場(chǎng)景如下。一個(gè)銀行生產(chǎn)許多量子硬幣并保存它們，用戶(hù)通過(guò)保密量子信道從銀行提取并保存量子硬幣。當(dāng)用戶(hù)想使用量子硬幣時(shí)，先利用量子信道把硬幣傳給交易對(duì)方。對(duì)方使用量子線(xiàn)路對(duì)硬幣進(jìn)行驗(yàn)證，這個(gè)過(guò)程還需要與銀行進(jìn)行經(jīng)典通信和量子通信。最終，量子硬幣存儲(chǔ)在交易對(duì)方處直到銀行回收，或作為零錢(qián)再找給其他的用戶(hù)。

一個(gè)量子硬幣方案由n量子比特態(tài)和一個(gè)量子驗(yàn)證線(xiàn)路組成，其中量子驗(yàn)證線(xiàn)路由n量子比特輸入寄存器加上可選的附加量子寄存器、一個(gè)經(jīng)典比特輸出和n量子比特量子輸出寄存器組成。Mosca和Stebila認(rèn)為理想的貨幣模型應(yīng)具有以下安全特性。

1) 匿名性：任何人不能通過(guò)追蹤貨幣來(lái)確定使用者或使用地點(diǎn)。

2) 不可偽造性：即使偽造者擁有一些貨幣和驗(yàn)證線(xiàn)路，想以不可忽略的概率偽造出能夠通過(guò)驗(yàn)證的貨幣是非常困難的。

3) 本地驗(yàn)證性：在無(wú)需與銀行通信的情況下，能以很高的精確率來(lái)驗(yàn)證貨幣是否有效。

4) 可流通性：有效貨幣在通過(guò)驗(yàn)證后不會(huì)改變，進(jìn)而可以多次流通使用。

Mosca和Stebila的量子硬幣方案的優(yōu)點(diǎn)是具有匿名性。在理想模型下，所有面額相同的量子硬幣都應(yīng)是完全相同的，沒(méi)有人可以進(jìn)行區(qū)分，那么硬幣也就無(wú)法被追蹤。同時(shí)，因?yàn)榱孔泳€(xiàn)路對(duì)所有需要驗(yàn)證的收款人都是固定的，這也為收款人提供了匿名性。他們還指出，若驗(yàn)證中需要通信進(jìn)行交互，則可以利用匿名的經(jīng)典或量子通信來(lái)保障收款人的匿名性。

為了滿(mǎn)足理想的量子硬幣安全要求，量子硬幣的有效性驗(yàn)證是其體制設(shè)計(jì)時(shí)需要重點(diǎn)考慮的問(wèn)題。在量子硬幣的使用中，不能簡(jiǎn)單地在不受保護(hù)的形式下公開(kāi)提供一個(gè)量子驗(yàn)證線(xiàn)路。量子線(xiàn)路有可能會(huì)被分解，從而找到有效方法來(lái)偽造硬幣。因此，文獻(xiàn)[6]中分別基于黑盒假設(shè)[23]和盲量子計(jì)算[24,25]提出了2種實(shí)現(xiàn)驗(yàn)證線(xiàn)路的方法。

黑盒假設(shè)，即假設(shè)驗(yàn)證線(xiàn)路是一個(gè)黑盒，安全性取決于復(fù)雜度理論假設(shè)。Mosca和Stebila首先在黑盒預(yù)言模型下實(shí)現(xiàn)量子硬幣的驗(yàn)證線(xiàn)路，設(shè)計(jì)了一個(gè)不可偽造的量子硬幣方案，此方案允許硬幣流通任意次數(shù)。驗(yàn)證線(xiàn)路黑盒的使用意味著硬幣可以本地驗(yàn)證而不需要與銀行任何經(jīng)典或量子的通信。對(duì)黑盒計(jì)算的經(jīng)典技術(shù)是物理地防止篡改硬件，但是對(duì)量子計(jì)算中的對(duì)應(yīng)情況還并不是很清楚。Mosca和Stebila將復(fù)雜度不可克隆原理應(yīng)用到量子硬幣中，對(duì)其安全性進(jìn)行分析，如果一個(gè)偽造者可以訪(fǎng)問(wèn)量子硬幣系統(tǒng)的驗(yàn)證黑盒，但不能了解其內(nèi)部，則無(wú)法在任何合理時(shí)間內(nèi)獲得比他起始時(shí)更多的硬幣。

盲量子計(jì)算是指一方讓另一方代表他執(zhí)行計(jì)算，但計(jì)算結(jié)束后計(jì)算執(zhí)行者不能獲得關(guān)于輸入態(tài)、輸出態(tài)或所執(zhí)行操作的相關(guān)信息，其安全性屬于信息論安全。基于盲量子計(jì)算的量子硬幣方案，驗(yàn)證者需要通過(guò)一種混淆驗(yàn)證與銀行進(jìn)行交互。通過(guò)交互，驗(yàn)證者僅能知道量子硬幣的有效性。然而，基于盲量子計(jì)算的量子硬幣需要與銀行進(jìn)行通信，對(duì)在線(xiàn)量子通信具有較強(qiáng)的依賴(lài)性。

上述量子硬幣協(xié)議都是私鑰量子貨幣系統(tǒng)，目前還沒(méi)有公鑰量子硬幣相關(guān)研究成果。此外，在量子硬幣協(xié)議設(shè)計(jì)中如何減少盲量子計(jì)算的通信和計(jì)算量是值得進(jìn)一步研究的問(wèn)題。另外，如果銀行正確地發(fā)行量子硬幣，其本質(zhì)上應(yīng)是匿名的，但是目前還沒(méi)有一個(gè)機(jī)制能讓用戶(hù)的系統(tǒng)驗(yàn)證硬幣確實(shí)是銀行正確發(fā)行的，因此這也是一個(gè)有待解決的問(wèn)題。

5 量子支票

量子支票的思想是由Moulick等[13]于2016年提出的，他們定義了量子支票應(yīng)滿(mǎn)足的基本性質(zhì)，并對(duì)量子支票的實(shí)現(xiàn)方案進(jìn)行了研究。假設(shè)Bank是可信中心銀行，Alice是銀行客戶(hù)。Bank可有若干個(gè)支行，它們與Bank通過(guò)安全的經(jīng)典信道相互連接。在交易發(fā)生時(shí)，Alice通過(guò)簽署支票給交易方Abby付款，Abby拿到支票后再與Bank（或其分行）驗(yàn)證支票有效性從而進(jìn)行兌現(xiàn)。Moulick等認(rèn)為理想量子支票方案應(yīng)滿(mǎn)足以下要求。

1) 可驗(yàn)證性：可信銀行（或其任何分行）必須能夠驗(yàn)證支票的真實(shí)性。

2) 不可否認(rèn)性：支票擁有人在簽發(fā)支票后不能否認(rèn)他簽發(fā)過(guò)的支票。

3) 不可偽造性：任何攻擊者不能以支票擁有人名義偽造支票。

4) 不可重用性：任何人不可以多次使用同一支票去提取現(xiàn)金。

在上述條件下，Moulick和Panigrahi基于量子單向函數(shù)[26]、Fredkin門(mén)（可借助附加粒子非破壞性地比較2個(gè)量子態(tài)）及數(shù)字簽名等密碼工具提出了第一個(gè)量子支票方案，該方案包括3個(gè)部分。

1) 生成算法：輸入安全參數(shù)后，生成“支票本”及支票擁有者密鑰。

2) 簽發(fā)算法：支票擁有人輸入密鑰和需要簽發(fā)的額度，產(chǎn)生有序組χ=(id ,$,ρ$)稱(chēng)為支票，其中，id和$是用于描述發(fā)行者身份和簽署金額的經(jīng)典信息，ρ$表示量子支票態(tài)。

3) 驗(yàn)證算法：輸入密鑰、待驗(yàn)證的支票χ，判斷其是否有效。

協(xié)議假設(shè)Alice和Bank是誠(chéng)實(shí)的，量子態(tài)可以被存儲(chǔ)在量子寄存器中或一直在量子網(wǎng)絡(luò)中處于傳輸狀態(tài)。Moulick等對(duì)協(xié)議的安全性進(jìn)行了簡(jiǎn)要的分析，依照協(xié)議步驟，一個(gè)可信銀行的任何合法客戶(hù)都可以簽發(fā)支票，且在量子力學(xué)原理保障下支票不會(huì)被偽造和篡改，支票的有效性由可信銀行（或下屬分行）進(jìn)行驗(yàn)證。該協(xié)議的安全性除依賴(lài)量子信息的基本定律外，還與協(xié)議選用的數(shù)字簽名協(xié)議、量子單向函數(shù)等密碼工具的安全性緊密相關(guān)。

6 量子比特幣

比特幣[27]自2008年提出以來(lái)受到了極大的關(guān)注，與傳統(tǒng)的實(shí)體貨幣發(fā)行規(guī)則不同，比特幣是完全依照事先規(guī)定好的規(guī)則產(chǎn)生新的貨幣，這種貨幣能夠有效地避免以往實(shí)體貨幣的物理版權(quán)偽造，同時(shí)基于密碼技術(shù)也可以有效地防止數(shù)字化信息偽造。這種加密貨幣基于密碼學(xué)方法和區(qū)塊鏈技術(shù)，使貨幣的發(fā)行和交易實(shí)現(xiàn)了去中心化。

2016年4月，瑞典林學(xué)平大學(xué)的Jogenfors[28]把量子力學(xué)基本原理與比特幣設(shè)計(jì)思想結(jié)合提出了第一個(gè)去中心化的分布式量子貨幣系統(tǒng)——量子比特幣方案。該系統(tǒng)是基于公鑰密碼技術(shù)的，其方案由3個(gè)算法組成。

1) 密鑰生成算法：輸入安全參數(shù)n，隨機(jī)生成一個(gè)公私鑰對(duì)。

2) 貨幣發(fā)行算法：輸入安全參數(shù)n和私鑰，產(chǎn)生一個(gè)量子比特幣。

3) 貨幣驗(yàn)證算法：輸入待驗(yàn)證的量子比特幣和公鑰，驗(yàn)證其是否有效。

量子比特幣協(xié)議以經(jīng)典的分布式賬簿方案和經(jīng)典的數(shù)字簽名方案作為基本工具，方案設(shè)計(jì)采用隱藏子空間的mini方案模型。基于mini方案模型不僅為完整協(xié)議設(shè)計(jì)提供方法思路，同時(shí)對(duì)簡(jiǎn)化協(xié)議安全性證明也有十分重要的作用，這一研究方式在文獻(xiàn)[12,16～18]中也被使用過(guò)。

Jogenfors先設(shè)計(jì)出僅能產(chǎn)生或驗(yàn)證一個(gè)量子比特幣的mini方案，在mini方案的基礎(chǔ)上再利用區(qū)塊鏈技術(shù)擴(kuò)展得到完整的量子比特幣方案。交易雙方可以通過(guò)適當(dāng)?shù)男诺溃詡鬏斄孔颖忍貛艖B(tài)方式，進(jìn)行量子比特幣轉(zhuǎn)賬，并把信息記錄在公開(kāi)的區(qū)塊鏈中。交易結(jié)算立即生效，無(wú)需等待礦工們的確認(rèn)，而且量子比特幣就像普通的硬幣和紙幣一樣能夠被多次重復(fù)使用，直至衰減耗盡。

文獻(xiàn)[28]還給出了正式的抗偽造性安全證明，量子比特幣對(duì)用量子計(jì)算機(jī)做任何偽造貨幣的行為有天然的免疫力。因而協(xié)議理論上是無(wú)條件安全的，相應(yīng)的安全性證明是基于標(biāo)準(zhǔn)的攻擊者復(fù)雜性假設(shè)的。

與經(jīng)典比特幣協(xié)議相比，量子比特幣還具有以下優(yōu)勢(shì)。

1) 量子比特幣交易是即時(shí)的。經(jīng)典比特幣交易必須由他人驗(yàn)證，而驗(yàn)證時(shí)間往往比較長(zhǎng)，因此比特幣交易比較慢，而量子比特幣交易僅需要接收者讀取區(qū)塊鏈的一個(gè)最近的副本即可。

2) 量子比特幣交易是可本地完成的。經(jīng)典比特幣交易需要與互聯(lián)網(wǎng)進(jìn)行雙向通信，而量子比特幣的交易則可以在很遙遠(yuǎn)的地方甚至在太空?qǐng)?zhí)行，不需要網(wǎng)絡(luò)訪(fǎng)問(wèn)。只讀區(qū)塊鏈訪(fǎng)問(wèn)方式使用戶(hù)可以只存儲(chǔ)本地離線(xiàn)區(qū)塊鏈副本即可。假定要接收量子比特幣已經(jīng)在本地區(qū)塊鏈副本中驗(yàn)證過(guò)，那么用戶(hù)只需要讀取本地離線(xiàn)的區(qū)塊鏈副本即可完成交易。

3) 量子比特幣具有更好的可擴(kuò)展性。Nakamoto最初提出比特幣時(shí)估計(jì)的全局限制為每秒7次交易。相比之下，量子比特幣的本地交易操作意味著對(duì)交易的速率沒(méi)有上限。盡管其挖礦速率受量子碎片和量子比特幣區(qū)塊鏈的容量限制，但僅在挖礦過(guò)程中存在性能限制顯然比在交易速率上存在瓶頸要好的多。

4) 量子比特幣交易具有匿名性。本地交易操作僅有交易的雙方才知道沒(méi)有記錄，因而具有匿名性。本質(zhì)上，除了普通紙幣和硬幣是由法定銀行發(fā)行的以外，量子比特幣的交易與普通紙幣、硬幣的交易是類(lèi)似的。而對(duì)于經(jīng)典的比特幣，所有交易都記錄在區(qū)塊鏈中，允許任何人復(fù)制數(shù)據(jù)，從而可以追蹤交易過(guò)程，進(jìn)而可以消除比特幣用戶(hù)的匿名性。

5) 量子比特幣的交易是免費(fèi)的。經(jīng)典比特幣交易通常需要支付少量費(fèi)用給礦工，以防止垃圾交易，并為礦工提供額外的激勵(lì)，在比特幣的通貨膨脹控制方案下預(yù)計(jì)這些費(fèi)用可以維持挖礦到2140年。然而，量子比特幣交易是本地交易，無(wú)需付費(fèi)，即便受同樣通貨膨脹控制達(dá)到流通貨幣限額，用戶(hù)仍可以繼續(xù)進(jìn)行交易。

6) 量子比特幣的區(qū)塊鏈更小，并以更可預(yù)測(cè)的速度增長(zhǎng)。本質(zhì)上，添加到區(qū)塊鏈的數(shù)據(jù)永遠(yuǎn)不能刪除，截至2016年3月，比特幣區(qū)塊鏈的大小已超過(guò)60 GB。這種大尺寸使它難以在較小的設(shè)備上執(zhí)行完整的比特幣實(shí)現(xiàn)。量子比特幣也有一個(gè)不斷增長(zhǎng)的區(qū)塊鏈，但它只記錄新發(fā)行的貨幣，即在開(kāi)采新貨幣時(shí)增長(zhǎng)，故能極大地減少占用空間并增加效率。

7) 量子比特幣是一種理想的分布式公開(kāi)可認(rèn)證的支付系統(tǒng)，是量子力學(xué)的一個(gè)具體應(yīng)用。在量子比特幣的設(shè)計(jì)中，貨幣不需要有一個(gè)中央權(quán)威機(jī)構(gòu)發(fā)放，而且只要在實(shí)驗(yàn)環(huán)境中能夠制備、存儲(chǔ)、測(cè)量和重構(gòu)低噪聲的量子態(tài)，量子比特幣就可以馬上投入使用。不可克隆定理從理論上提供了防復(fù)制的保證，而且基于區(qū)塊鏈技術(shù)使研究人員能夠以分布和民主的方式創(chuàng)造貨幣。量子比特幣是一個(gè)具有安全性、與本地交易結(jié)合的分布式支付系統(tǒng)，像2008年誕生的比特幣一樣，該方案的提出給加密貨幣的發(fā)展帶來(lái)新方法和新思路。

7 結(jié)束語(yǔ)

近年來(lái)，量子加密貨幣的研究受到越來(lái)越多的關(guān)注，本文對(duì)現(xiàn)有量子加密貨幣相關(guān)文獻(xiàn)進(jìn)行了較全面的梳理，對(duì)多種類(lèi)型的量子加密貨幣方案的研究進(jìn)展和現(xiàn)狀進(jìn)行了綜述。總體來(lái)說(shuō)，當(dāng)前對(duì)量子加密貨幣方案其性能研究主要是從以下幾個(gè)方面進(jìn)行擴(kuò)展的。由私鑰加密貨幣設(shè)計(jì)轉(zhuǎn)向公鑰加密貨幣方案設(shè)計(jì)；驗(yàn)證過(guò)程由量子通信轉(zhuǎn)化為經(jīng)典通信；逐步降低驗(yàn)證過(guò)程所需交互次數(shù)。從安全性角度，其研究主要包括基于量子力學(xué)基本原理構(gòu)建信息論安全的方案、基于不同的數(shù)學(xué)難題構(gòu)建計(jì)算安全方案、基于數(shù)字簽名等密碼學(xué)基本協(xié)議安全性的方案。此外，量子比特幣的提出也將之前量子加密貨幣的權(quán)威中心式模型拓展到去中心化分布式模型下。

雖然量子加密貨幣在安全性上有天然的優(yōu)勢(shì)，但方案設(shè)計(jì)使用不當(dāng)也會(huì)帶來(lái)安全問(wèn)題，其很多研究還處于剛剛起步階段，因此存在很多有待完善或解決的問(wèn)題，如量子硬幣的構(gòu)造需要一個(gè)黑盒驗(yàn)證線(xiàn)路，盡管關(guān)于經(jīng)典線(xiàn)路的黑盒有一些研究成果，但對(duì)量子線(xiàn)路的情況目前還沒(méi)有相關(guān)研究成果；減少基于盲量子計(jì)算驗(yàn)證的量子硬幣的通信和計(jì)算量也是值得進(jìn)一步研究的問(wèn)題；量子加密貨幣方案的安全性證明還有待完善和深入；嘗試用不同的數(shù)學(xué)理論來(lái)設(shè)計(jì)安全可靠的公鑰量子加密貨幣方案等。

[1] BROADBENT A, SCHAFFNER C. Quantum cryptography beyond quantum key distribution[J]. Designs, Codes and Cryptography, 2016, 78(1): 351-382.

[2] WIESNER S. Conjugate coding[J]. ACM Sigact News,1983, 15(1): 78-88.

[3] BENNETT C H, BRASSARD G, BREIDBART S, et al. Quantum cryptography, or unforgeable subway tokens[C]//Advances in Cryptology(CRYPTO '82). 1982:267-275.

[4] TOKUNAGA Y, OKAMOTO T, IMOTO N. Anonymous quantum cash[C]//2003.

[5] MOSCA M, STEBILA D. A framework for quantum money[J]. Poster at Quantum Information(QIP). 2007.

[6] MOSCA M, STEBILA D. Quantum coins[J]. Error-Correcting Codes, Finite Geometries and Cryptography, 2010, (523): 35-47.

[7] MOSCA M, STEBILA D. Uncloneable quantum money[EB/OL]. http://www.iqst.ca/events/cqisc06/papers/Mon-1130-Stebila.pdf.

[8] NAGAJ D, SATTATH O, BRODUTCH A, et al. An adaptive attack on Wiesner's quantum money[J]. Procedia Environmental Sciences, 2014, 19(6):446-455.

[9] LUTOMIRSKI A. An online attack against Wiesner's quantum money[EB/OL]. https://arxiv.org/pdf/1010.0256v1.pdf.

[10] MOLINA A, VIDICK T, WATROUS J. Optimal counterfeiting attacks and generalizations for Wiesner’s quantum money[M]. Berlin:Springer, 2012.

[11] PASTAWSKI F, YAO N Y, JIANG L, et al. Unforgeable noisetolerant quantum tokens[C]//The National Academy of Sciences. 2012: 16079-16082.

[12] GEORGIOU M, KERENIDIS I. New constructions for quantum money[C]//The 10th Conference on the Theory of Quantum Computation, Communication and Cryptography (TQC 2015). 2015: 92-110.

[13] MOULICK S R, PANIGRAHI P K. Quantum cheques[J]. Quantum Information Processing, 2016,15(6): 1-12.

[14] AARONSON S. Quantum copy-protection and quantum money[C]// IEEE Conference on Computational Complexity(CCC 2009). 2009:229-242.

[15] AARONSON S, FARHI E, GOSSET D, et al. Quantum money[J]. Communications of the ACM, 2012, 55(8): 84-92.

[16] LUTOMIRSKI A, AARONSON S, FARHI E, et al. Breaking and making quantum money: toward a new quantum cryptographic protocol[C]// Innovations in Computer Science (ICS 2010). 2010: 20-31.

[17] AARONSON S, CHRISTIANO P. Quantum money from hidden subspaces[C]//The Annual ACM Symposium on Theory of Computting. 2012:41-60.

[18] FARHI E, GOSSET D, HASSIDIM A, et al. Quantum money fromknots[C]//Innovations in Theoretical Computer Science Conference. 2012:276-289.

[19] SHOR P W. Algorithms for quantum computation: discrete logarithms and factoring[C]//The Symposium on Foundations of Computer Science, IEEE Computer Society. 1994:124-134.

[20] LUTOMIRSKI A. Component mixers and a hardness result for counterfeiting quantum money[EB/OL]. https://arxiv.org/pdf/1107. 0321.pdf.

[21] PENA M C, FAUGèRE J, PERRET L. Algebraic cryptanalysis of a quantum money scheme the noise-free case[M]. Berlin: Springer, 2015.

[22] GAVINSKY D. Quantum money with classical verification[C]//The 11th International Conference on Quantum Communication. AIP Publishing. 2011:135-140.

[23] BARAK B, GOLDREICH O, IMPAGLIAZZO R, et al. On the(im) possibility of obfuscating programs[C]//Advances in Cryptology —CRYPTO 2001. 2001:1-18.

[24] CHILDS A M. Secure assisted quantum computation[J]. Quantum Information & Computation, 2005, 5(6): 456-466.

[25] BROADBENT A, FITZSIMONS J, KASHEFI E. Universal blind quantum computation[C]//The Annual Symposium on Foundations of Computer Science. 2008: 517-526.

[26] BUHRMAN H, CLEVE R, WATROUS J, et al. Quantum fingerprinting[J]. Physical Review Letters, 2001, 87(16): 175-196.

[27] NAKAMOTO S. Bitcoin: a peer-to-peer electronic cash system[EB/OL]. http://wenku.baidu.com/link?url=siZMroqiQwU4R4KOo80ujYJtu Mv4Iq-6uaD7ycOwigHaPz9nkKhSbM0U_1ijZ0n6Syo1gZ5b009t8 Ix3waazzbDCo4ttyQ2sMAkGauL19wi.

[28] JOGENFORS J. Quantum Bitcoin: an anonymous and distributed currency secured by the no-cloning theorem of quantum mechan-ics[EB/OL].https://www.researchgate.net/publication/299749136_Quantum_Bitcoin_An_Anonymous_and_Distributed_Currency_Secured_by_the_No-Cloning_Theorem_of_Quantum_Mechanics.

賈恒越（1983-），女，內(nèi)蒙古海拉爾人，中央財(cái)經(jīng)大學(xué)講師，主要研究方向?yàn)榱孔有畔ⅰ⒘孔用艽a協(xié)議設(shè)計(jì)。

武霞（1987-），女，山東臨沂人，中央財(cái)經(jīng)大學(xué)講師，主要研究方向?yàn)榱孔有畔ⅰ?/p>

朱建明（1965-），男，山西太原人，中央財(cái)經(jīng)大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩⒔?jīng)濟(jì)信息分析。

Survey of quantum crypto currency

JIA Heng-yue, WU Xia, ZHU Jian-ming

(School of Information, Central University of Finance and Economics, Beijing 100081, China)

The development history of quantum crypto currency was explained briefly, and different kinds of quantum crypto currency (including quantum bank note, quantum coin, quantum check, and quantum Bitcoin) respectively from the aspects of basic scheme models, security requirements, key technologies and research progress were introduced. Finally, the issue problems which are needed to be further improved and explored in the future were pointed out.

quantum crypto currency, quantum money, quantum cryptography, quantum no-cloning theorem

TP309

A

10.11959/j.issn.2096-109x.2017.00112

2016-08-12；

2016-11-29。通信作者：賈恒越，jiahengyue@163.com

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61309029, No.U1509214, No.61272398）；中央財(cái)經(jīng)大學(xué)青年教師發(fā)展基金項(xiàng)目（No.QJJ1633）

Foundation Items: The National Natural Science Foundation of China (No.61309029, No.U1509214, No.61272398),The Young Teachers Development Fund of Central University of Finance and Economics (No.QJJ1633)