拜占庭共识协议（又称拜占庭容错算法或拜占庭将军问题）作为区块链的基石，致力于在分布式网络中实现共识，以确保即使存在恶意节点作恶，每个地位独立的节点仍能就网络消息达成一致。然而，经典的拜占庭共识协议面临两大挑战。首先，经典拜占庭共识协议受到1/3故障容错极限的严格制约，这意味着系统需要至少3f+1个节点来容忍f个恶意节点。其次，传统的密码学方法面临量子计算严重威胁。如果系统的节点通过相互独立的信道相连，即使使用量子信道，1/3容错极限依然是无法被突破的[Quantum Sci. Technol. 3, 035004 (2018)]。然而，有趣的是，在引入量子纠缠到共识系统时，系统可以超越这个容错极限。这是因为量子纠缠提供了信道之间的关联性并消除了信道的独立性。对于三方共识问题，瑞士苏黎世联邦理工大学和日内瓦大学于2001年联合提出了第一个使用特殊三粒子纠缠态的量子解决方案[Phys. Rev. Lett. 87, 217901 (2001)]。2008年，德国的马克思-普朗克量子光学研究所使用特殊的四光子偏振纠缠态对该方案进行了实验验证[Phys. Rev. Lett. 100, 070504 (2008)]。该协议及其后续协议被称作可检测量子拜占庭共识协议[Phys. Rev. A 92, 042302 (2015), npj Quantum Inf. 2, 16010 (2016)]，其特点是需要构造特殊的纠缠态来实现共识。然而，这一框架不可避免地引入了额外的假设，削弱了Lamport在1982年提出的拜占庭共识的两个原始条件，导致协议有一定概率被迫中止与放弃。更为严重的是，检测量子拜占庭共识框架仅限于三方共识，无法推广到更多参与者的情况。此外，由于检测量子拜占庭共识协议需要制备以及操作高度复杂的特殊纠缠态，这使得其本身难以在现实的区块链技术中得到应用。

图2 实验实现示意图。A. 南京大学五节点量子区块链共识网络示意图。B. 各节点间信道参数。C. 密钥产生装置示意图。

为了展示基于量子数字签名的量子拜占庭共识框架的可行性和实用性，南京大学团队采用了三种不同的量子数字签名方案，包括BB84 GC01型量子数字签名、一次一哈希量子数字签名以及无需完美密钥的一次一哈希量子数字签名。团队构建了一个包含五个节点的量子区块链共识网络，如图4A所示，并进行了三方和五方共识的原理验证实验。实验证明了量子区块链的可行性，它能够突破1/3容错极限并提供信息理论上可证明的安全性，实现了网络中近1/2的容错能力。在实验中，有五个独立的参与者，不同成对参与者的相关量子密钥通过光纤信道在实验室中预先分发，即量子数字签名的分发阶段在实验室中完成。他们不向他人透露自己量子密钥的任何信息，然后将密钥带到南京大学五处不同的地点，以模拟用户在地理上分离的真实情况。接着，他们使用这些量子密钥完成量子数字签名，即在真实地理位置执行消息传递阶段的经典操作。一次一哈希量子数字签名能够签名长消息，使得共识的效率大大提高，系统每秒可以达到11.95次共识。与此相比，在相同的安全参数下，单比特GC01型量子数字签名每秒只能达到4.5×10^-8次共识。简而言之，量子数字签名能够在参与者之间构建三方参与者的非对称多方关系，使得链接的信道不再相互独立。经典的信息论安全的数字签名方案需要额外的假设，比如存在一个受信任的第三方和经过身份验证的广播通道。然而，这些假设违背了拜占庭协议的去中心化要求。相较之下，利用量子力学基本原理的量子数字签名的结构天然不需要信任的第三方参与，而转发方和验证方的地位是等价的，非常适合于去中心化的拜占庭共识系统。量子数字签名的两个基本属性，不可篡改性和不可抵赖性，保证了信息在传递过程中不会被篡改和否认来源。这有效地限制了系统内恶意参与者的恶意活动，防止他们故意传递冲突的消息。

值得指出的是，该工作还首次验证了区块链领域中著名的“不可能三角”理论，即无法同时达到可扩展性、去中心化、安全性的极致，三者只能得其二。这是由于该工作中新的量子拜占庭共识算法实现了完全的去中心化以及无条件的安全性，而衡量其可拓展性的通信复杂度可随着节点数增加而指数增加。审稿人对这项工作给予了高度评价：“作者们突显了在共识问题领域的量子优势，并为量子区块链和量子共识网络提供了一条重要且实用的路径。未来量子网络的成熟能使其广泛部署和使用，该量子拜占庭共识框架可以无缝集成到量子网络中，建立实用的量子区块链。” 量子区块链具有巨大潜力，可提高分布式系统的数据安全性和容错能力，抵御量子计算的攻击威胁。其应用前景涵盖金融领域的安全交易、供应链管理、物联网设备、智能电子政务、医疗保健、分布式存储等。