區塊鏈環境下用戶身份匿名的量子委托計算協議

王育齊，陳 庚，錢偉中

(1. 閩南師范大學計算機學院 福建 漳州 363000；2. 數據科學與智能應用福建省高等學校重點實驗室 福建 漳州 363000；3. 電子科技大學信息與軟件工程學院 成都 610054)

隨著大數據應用的發展，以云端計算為代表的委托計算成為了一個研究熱點。委托計算中有兩個

關鍵的安全性問題：數據隱私安全與身份隱私安全性[1-2]。

數據安全是通信范圍內的一個核心問題，范圍從情報信息與算法到私人通訊和元數據。在經典計算機領域中，可以使用同態加密等方式來保證委托計算中數據的安全性[3-4]。與之相對應的是密碼學場景中身份隱私的安全。以移動互聯網為例，定位數據，包括物理定位數據與IP 定位數據等，都是富有特點與價值的信息。尤其是在對敏感數據的委托計算中，僅僅猜測委托方的身份就能夠對用戶的隱私產生威脅，如關鍵科研實驗中的實驗數據或遠程醫療中患者的健康參數。已經有一些成熟的經典方法來保護身份安全性，但是仍存在因為所有權和控制權相互分離導致難以進行審計、難以在數據拓展與通信效率之間找到平衡等問題。除此之外，另一個重要問題是，大部分經典的身份保護方法必須依賴一個可信的第三方[5-6]，這在現實大數據場景中是一個極其苛刻的假設。

區塊鏈技術與量子技術的發展，為大數據環境下的數據與身份隱私安全提供了新的解決思路。量子同態加密[7-9](quantum homomorphic encryption,QHE)能在保證完成計算的基礎上，保護數據的安全性；去中心化的區塊鏈機制與配套協議能夠擺脫第三方進行安全的匿名交易，其不可篡改性也保證了仲裁機制發揮作用。基于區塊鏈的支付機制已經較為成熟，能夠完成支付方與收款方都保持匿名的支付[10-12]。對使用量子技術在區塊鏈中的應用協議，已有較多探索。2019 年，文獻[13]提出使用量子簽名來增強傳統區塊鏈的安全性進而實現安全支付，但未能充分應用區塊鏈的特殊性質與功能。文獻[14]于2020 年提出量子隱形傳態可以實現區塊鏈節點之間的通信，并以此設計出量子區塊鏈模型，但是對區塊鏈的其他功能并未有充分討論。文獻[15]在文獻[13]的工作上展開，于2021 年提出了一個基于區塊鏈的量子電子支付協議，購物信息與支付信息能夠依靠量子技術進行安全傳輸，協議在效率上有著良好表現。但是，文獻[13]的協議依賴半可信的第三方。量子技術與區塊鏈技術的優缺點有互補之處[16]，二者的結合能很好解決缺乏可信第三方問題。

本文提出一個基于區塊鏈與量子受控隱形傳態的委托計算協議，能夠實現委托計算中的匿名支付，兼顧身份安全與數據安全。進一步，改進協議實現了在保持匿名的情況下，通過多方驗算對委托計算結果進行正確性驗證。協議存在一個第三方協助審批以保證委托的公平與可追溯，但其可以是不可信的。除此之外，協議討論的是一種面向現實場景中用戶與委托方需求的委托計算框架，具有很高的可移植性，并不依賴于某一種特定的量子協議，可以根據具體需求替換協議模塊。

本文介紹了協議使用到的相關量子技術與經典技術，并進行了數學描述，提出對協議環境的一些基本假設；正式提出了委托計算協議，并分為5 個步驟說明協議的詳細運行過程；提出一個可驗證委托計算結果正確性的改進協議；討論了委托計算協議的優勢、安全性并進行了效率分析；探討了協議在未來進一步拓展的可能性。

1 預備知識

本章將介紹委托協議中使用到的量子技術與經典技術，并且對這些技術進行密碼學的描述。另外，將說明對協議使用場景的一些基本假設與技術要求。

1.1 量子同態加密

同態加密是現代密碼學中的一項關鍵技術，能夠使得Bob 在無需解密Alice 數據的情況下，完成對Alice 數據的特定計算。隨著量子技術的發展，研究者也提出了使用于量子計算領域中的同態加密，即為量子同態加密(quantum homomorphic encryption, QHE)。與經典的同態方案相比，QHE方案具有完美的安全性[17]。

根據文獻[18-19]提出的QHE 定義與框架，QHE 方案可分為兩類，即為對稱密鑰方案與公鑰方案，不同之處在于加解密過程中使用的密鑰是否相同。QHE 協議包含以下4 種算法，這里以一n位長密文為輸入的公鑰QHE 為例進行展示。

1) 密鑰生成算法 KeyGen(1n)→(pk,sk)，該算法可以生成兩個密鑰，公鑰pk與私鑰sk。

2) 加密算法 EncryptΔ，用于計算量子態密文ρ=EncryptΔ(pk,σ)，該算法能夠使用公鑰加密量子明文 σ。

3) 解 密 算 法 DecryptΔ， 即 σ=DecryptΔ(sk,ρ)，該算法使用私鑰解密量子密文ρ。

4) 同 態 算 法 EvaluateΔ，即 ^ρ=EvaluateΔ(T,ρ)，使得特定算法能夠在不解密量子態密文 ρ的前提下等價于直接作用在量子態明文 σ上 ，即T(σ)=DecryptΔ(sk,^ρ)。特定算法與一組允許的量子門FΔ相關，特定算法只能從該組量子門中進行選擇，即T∈FΔ。

實現QHE 的方式有很多，從利用特定酉算子的性質[20]，到使用量子通用電路、量子隱形傳態等[21-24]。本文協議中使用的安全的QHE 協議需要滿足以下要求：1) 是一個公鑰方案；2) 協議過程中不需要Alice 與Bob 就同態算法進行實時交互；3) 同態加密后的輸出與同態過程的輸出均是一個完全混合態，方案是計算安全的。

1.2 量子隱形傳態

作為量子糾纏的一種具體應用，量子隱形傳態(quantum teleportation, QT)可以實現在不傳輸真實粒子的情況下重建任意未知量子態[25]。QT 過程中的粒子信息與信道信息被隱藏在粒子的糾纏關系中，量子力學基本原理保證了這些信息的安全性。這一特性能讓Alice 和Bob 不依賴公鑰基礎設施而完成未知量子態的傳輸，這使得真正意義上的匿名傳輸信息成為可能。量子受控隱形傳態(controlled quantum teleportation, CQT)指傳輸雙方在第三方的批準與幫助下，完成QT 的過程。

受控量子隱形傳態需要使用一組三量子糾纏態，量子系統狀態為：

對3 個粒子中的任一個，如果測量結果為 |0〉，則可以推知另外兩個粒子測量結果相同；為 |1〉則可以推知另外兩個粒子測量結果不同。但是，通過測量單一粒子均無法決定另外兩個粒子的準確測量結果。只有至少測量兩個粒子，才可以確定量子系統的狀態。這種特性實現了一個量子門限函數，可以用于設計第三方受控量子協議。CQT 與QT 可以傳輸d維量子態，本節中以二值量子態為例來展示CQT 的完整過程。

為了表示方便，將發送者Bob 持有的需要發送的粒子記作 |M〉=a|0〉+b|1〉，目的是實現Bob 在Charlie 幫助下將 |M〉傳送給Alice。三方按照以下步驟操作。

1) 將要糾纏的三量子分發至Alice、Bob 與Charlie 三方，并分別記作| ξ〉A， |ξ〉B和 |ξ〉C。

2) Bob 對粒子M與 |ξ〉B進行一次Bell 態測量，并將測量結果發送至Alice 與Charlie。

3) 如果Charlie 允許Bob 完成對Alice 的傳輸，則對持有的單粒子 |ξ〉C進行測量，并將測量結果發送給Alice。

4) Alice 根據Bob 與Charlie 的測量結果，對持有的單粒子 |ξ〉A作 用適當的酉算子U，還原未知的量子態 |M〉。 其中，酉算子U的選擇展示在表1 中，酉算子的推導過程參照文獻[25]。

表1 Bob 與Charlie 測量結果與Alice 作用酉算子的關系

表1 中酉算子結構與Bell 測量結果表示為：上述過程中粒子與信息的傳輸展示在圖1 中。在實際的量子電路中，酉算子體現為量子門，每個有效的量子門由一個單一酉矩陣定義。與之相對的，量子隱形傳態則沒有Charlie 的第三方審批過程。2021 年，文獻[26]完成了高維度QT 協議的物理實驗，驗證了QT 應用于現實場景的可行性。

圖1 量子受控隱形傳態中粒子與信息的傳輸過程

1.3 區塊鏈技術

區塊鏈于2008 年提出，本質上是一種被稱為分布式賬本的數據庫機制，是互聯網與密碼學領域中具有廣闊應用前景的一項重要技術[27-28]。區塊鏈以其去中心化的管理方式與基于網絡節點共識機制的運營方式而享有盛譽。區塊鏈建立在公鑰密碼系統的基礎上，其中公鑰及其拓展協議作為身份標識，持有的私鑰簽名為實體權鑒。本質上，區塊鏈是一個分布式共識存儲系統，節點之間通過共識協議就存儲的內容達成一致，且每個節點都具有判斷新加入的內容是否符合共識的能力。這樣的共識機制可以保證分布式網絡中的每個節點存儲的賬本是一致的，只有符合大多數節點共識的內容才被認定是正確的信息，因此區塊鏈能很好地防止內部或外部的攻擊者篡改共識內容。

區塊鏈的一個重要應用是智能合約。現代的智能合約是區塊鏈上的一種能夠自動執行的協議[29-31]，在滿足一定條件時不需要第三方的啟動與操作就可以完成一定任務。智能合約內容及其執行過程對區塊鏈上的所有節點均是透明可見的，每個節點能夠觀察、記錄、驗證合約狀態。共識機制讓區塊鏈能夠解決密碼學場景中的一些關鍵問題，已有許多研究者為此做出了探索。2016 年，文獻[32]在區塊鏈上實現了鏈上和鏈下的匿名交易，使用了一不受信任的第三方發行匿名代金券，供用戶安全兌換比特幣。兩年后，文獻[33]將區塊鏈的匿名支付協議引入車聯網中，利用區塊鏈在注冊與數據維護中的特性，在保護敏感用戶信息的同時實現數據共享。該方案是區塊鏈應用于現實場景的一個成功案例。2020 年，文獻[34]進一步豐富了區塊鏈上的匿名支付協議并進行了詳盡的安全性分析。

1.4 環簽名與地址混淆

環簽名是一種面向組的簽名，用于隱藏來自組內用戶的信息的具體來源[35-37]。本質上，環簽名是一個匿名簽名系統，能夠實現在多個公鑰中隱藏用戶擁有私鑰對應的公鑰，進而達到擺脫用戶地址與信息之間的一對一關系。作為環簽名的一個實際應用，門羅幣網絡具有類似區塊鏈的網絡結構[38-39]。不同之處在于，發件人要進行一筆轉賬時，該筆資產不會定向的立即打進收款方地址，而是轉入一個環狀網絡上臨時設置的安全地址，利用環狀路徑對發件人的物理地址進行混淆。相對于設置可信第三方的代理支付機制，依靠地址混淆來保護身份隱私更加安全，因為現實場景中不可信的第三方經常與攻擊者進行聯合攻擊來竊取用戶的信息。

在環簽名機制中，用戶數量越多，環形網絡越復雜，地址混淆的程度越高，用戶身份也就越安全。但同時，隨之帶來的延誤也越嚴重。混淆過程在提高安全性的同時，也降低了通信過程中的效率。

本文定義的身份安全需要滿足以下條件：

1) 任一攻擊者無法根據信道上的信息確認當前信息的準確來源，即發送者的準確身份；

2) 任一攻擊者無法分辨信道上的兩個信息是否來自同一個發送者。

2 用戶身份匿名的量子委托計算協議

本章將正式提出量子委托計算協議，并提出了協議的一個改進版本。圖2 為協議的完整運行步驟。

圖2 用戶身份匿名的量子委托計算協議

首先說明協議的5 個參與者。Alice 為委托計算協議的委托方，一個網絡中存在多個Alice，這些委托方組成一個環形網絡。為了簡便性，將多個可能參與協議的Alice 記作Alices。Bob 為接受委托的一方，現實場景中可能出現多個可承接委托的運營商，與Alices 類似，將多個Bob 記作Bobs。Charlie 是參與協議的不可信第三方，可以試圖窺探信道上信息的內容與來源，但是不能夠篡改信道上的信息。Trent1 與Trent2 分別是Alice 與Bob 的代理銀行。協議的每個參與者都在區塊鏈中注冊有賬號，分別記作Account_A，Account_B，Account_C，Account_T1 和Account_T2。其 中，Account_A，Account_B，Account_T1 有在區塊鏈寫入信息的權限；Account_C，Account_T2 有在區塊鏈中進行查詢檢索的權限。

當Alice 通過協議發布委托時，在Charlie 的審批下，完成對Bob 的支付，并獲取委托計算的結果。

2.1 初始化階段

協議假設Alices 網絡中用戶的數量在一安全區間內浮動，Alice 的數量影響身份混淆的效果，因此直接影響其身份的安全性。全網絡內的用戶均事先約定好一套量子同態加密算法。本協議是一個面向離散量子位的協議，因此可以選取一位量子位來展示協議運行過程。

1) Alices 事先決定需要哪個Bobs 來承接自己的委托，并將自己的數據進行同態加密。Alice 執行密鑰生成算法 KeyGen(1) 得 到一位公鑰pk與私鑰sk， 并 使 用pk加 密 明 文 量 子 態 數 據 |σ〉，得 到|ρ〉=EncryptΔ(pk,|σ〉)。將委托算法與委托對象等必要信息記作經典信息Θ。

2) Alices 生成三量子糾纏態，記作：

3) Alices 生成一個個人信息無關的經典數字假名 S igA。數字假名可以使用一個含參數的無碰撞哈希函數生成。Alices 每次交易都需要使用不同的數字假名以確保協議的安全性。

初始化結束后，Alices 保有糾纏粒子中的|ξ〉A， 將量子態信息 { |ρ〉,|ξ〉BC}與 經典信息{ SigA,Θ}一起作為委托內容打包為 Λ^。在現實環境中，存在著保真度降低、信道噪聲、測量誤差等客觀因素，因此在該信息包中還含有糾錯碼等輔助信息，便于接收方判斷信息包的完整程度并進行糾錯操作。

2.2 發布階段

1) Alices 將預支付信息MA寫入區塊鏈。預支付信息包含許諾支付的酬勞與對象。

2) Alices 將含有委托內容并使用 S igA簽名的信息包通過環形網絡進行身份混淆后，上傳至Charlie。

3) Charlie 檢查委托信息包 Λ^的完整性，并保存其中的糾纏粒子 |ξ〉C。 之后，中間人Charlie 將 Λ^內除該糾纏粒子以外的其他內容發送至對應的Bobs。

根據安全的QHE 算法，此時委托的數據對Charlie 是盲的，由于環形網絡的身份混淆，委托包的具體身份也是盲的。在無碰撞哈希函數的保證下，Charlie 也無法從假名中判斷多個委托是否來自同一個發送方。

2.3 同態加密計算階段

2) Bobs 向區塊鏈寫入委托完成信息MB，包含完成委托的時間點與完成聲明。

該階段中，Bobs 與Alices 在通信上隔離，這要求選用的QHE 算法不需要雙方實時通信。另外，該過程是協議中對效率影響最高的一部分，因此需要選用高效的QHE 算法。

2.4 反饋與支付階段

2) 區塊鏈上的智能合約比對MB與MA在時序和身份上是否符合交易情況，相符則通過區塊鏈通知Alices 進行轉賬。由于區塊鏈賬戶的匿名性，該通知過程對除區塊鏈內的其他用戶是匿名的。

3) 根據通知，Alices 需要對委托計算進行支付以獲取委托計算結果，該過程由Alices 委托代理銀行Trent1 進行。Trent1 將支付信息MT1寫入區塊鏈。智能合約自動比較MT1與MA在支付金額和對象上是否相同，相同則完成Tren1 對Trent2 的轉賬。與上一步相似，該過程是匿名完成的。

4) Trent2 通知Bobs 收到轉賬。Trent1 再次核驗MA的目的在于，檢測Alices的轉賬金額是否符合發布階段中Alices 預支付時設定的金額。

2.5 審批階段

1) 區塊鏈內智能合約比較MT1與MA，若二者相符，根據區塊鏈的不可篡改性，就說明轉賬完成。Charlie 以此作為審批標準，若審批通過，則對持有的粒子 |ξ〉C進行測量，并將該測量結果與Bobs 進行Bell 測量的結果向Alices 網絡進行廣播。

至此，協議執行結束。上述過程中粒子與信息的傳輸過程展示在圖3 中。

圖3 委托計算協議中粒子與信息的傳輸過程

2.6 協議改進

委托計算的正確性檢測是一個尚未解決的問題。已有一些研究嘗試對這個問題提出解決方案[40-41]，但存在著算力消耗巨大的問題，短期內無法在現實中實現。與以往跟蹤量子計算過程來確保計算的準確性的思路不同，可以將量子計算看作一個黑盒，對量子計算正確性的驗證實際上就是對該黑盒輸出結果的驗證。這為可檢驗的量子計算提供了新思路。在現實場景中，這種多次計算檢驗結果可以分攤到多個委托上，即發送多個同樣計算內容的委托，并對這些委托計算結果進行比對；當大部分計算方都得到同一結果時，則該結果更可能是正確結果，即區塊鏈中的多數表決機制。反應在數據項上，多個計算結果中的眾數(眾數是統計學名詞，是一組數據中出現次數最多的數值)，就被用戶接受為是正確結果。

該過程類似于區塊鏈中的工作量證明規則，因此改進協議借鑒了相關規則設計出可驗證委托結果是否正確的多方委托計算協議。協議認定接受到委托的多個Bob 中，第一個完成正確結果的節點可以獲取報酬。對于一個Bobs 節點而言，可以作為礦工節點長期在線接受來自網絡的委托。與挖礦機制類似，成功處理委托并不意味著一定能取得報酬，還需要經過區塊鏈機制判斷是否符合獲取報酬的條件。這種搶占式的競爭機制能夠促進Bobs 提升自身算力與計算的準確率，且增加的委托數能夠進一步提升Alices 身份的安全性。

對當前協議進行修改，即可達成上述目的。記Bobs 中 的 多 個Bob 為 Bob1,···,Bobi,···,Bobn。圖4 展示了改進后協議的完整運行過程。

圖4 改進的用戶身份匿名的量子委托計算協議

改進協議的完整運行過程如下：

1) Alices 以不同的數字假名SigA1,SigA2,···,SigAt發出內容相同但是委托方不同的t份委托。需要注意的是，t由Alices 指定，且在協議執行的過程中t并不公開。同時，Alices 向Trent1 申請進行一次帶驗算的委托計算并說明支付金額，之后Alices 將每一條預支付信息寫入區塊鏈。

2) Charlie 將委托分發給對應的Bobs。

3) Bobs 對委托計算完成同態計算，執行量子隱形傳態中的Bell 測量部分，將測量結果發送給Charlie，并把自己完成該委托的時間戳等信息寫入區塊鏈。Charlie 根據不同的數字假名對Alices 網絡進行廣播，Alices 接收測量結果并將自己持有的糾纏粒子轉換為Bobs 的計算結果。

4) 在接收數量足夠的驗算結果后，根據多數表決機制，Alices 選取驗算結果中的眾數作為正確的計算結果，并選定第一個給出正確計算結果的Bobi為委托完成者，并作為支付對象告知Trent1。Trent1 向區塊鏈內寫入支付信息。

5) 區塊鏈內的智能合約比對Trent1 的支付信息與 B obi的委托完成信息，若相符則完成對Trent2的轉賬，Trent2 通知 B obi已經收到報酬。至此，協議執行完畢。

3 分析與討論

本節將對協議進行先進性、安全性與效率分析。協議實現了用戶匿名參與委托計算協議，為將量子委托計算應用于現實場景提供了框架性思路。安全性上，由于協議不依賴于特定的算法，協議的安全性受到具體采用的子協議的影響，因此分析針對理想狀態。在實際環境中可能會出現信道噪聲與誤差的情況，為此可以加入經典和量子糾錯碼提高協議的魯棒性，并使用無退相干狀態等技術提高糾纏量子的保真度。

3.1 協議先進性分析

協議使用經典密碼學與區塊鏈技術，解決量子領域現階段尚不能解決的問題，即計算結果正確性的低成本、高效率可驗證問題與面向未來應用場景的量子委托計算可支付問題；同時，使用量子同態加密與量子隱形傳態等量子技術解決經典計算領域中用戶身份隱私與數據安全依賴第三方的經典問題。協議使用到的經典技術已經得到了諸多實踐，如經典的虛擬貨幣系統，具有良好的現實基礎；使用到的量子技術也已在實驗室環境進行了初步實踐，并取得了積極效果[26]。因此，協議具有較高的可行性。

相較于以往的量子委托計算協議，本協議面向大數據環境中的用戶隱私與身份問題，在保證委托計算數據安全的基礎上，兼顧了用戶身份安全，即攻擊者無法確定委托的來源，避免委托計算協議中用戶身份隱私的泄露。對用戶身份的隱藏，也進一步加強了用戶在大數據環境中的數據安全。

協議不依賴于特定算法，局部算法并不會影響協議的執行。本文提供了一個開放性的協議框架，可以進行進一步的推廣與移植，這為大數據環境下的用戶身份隱私保護提供了解決方案。在現實場景中，可以根據算力需求與限制、同態計算類型、用戶數量等條件靈活選取優勢算法。

3.2 協議安全性分析

本節將從數據盲性與身份盲性、身份的不可偽造性、委托的不可否認性等方面對協議的安全性進行分析。

1) 盲性。本協議的盲性包含身份的盲性與數據的盲性。在大數據背景下，不懷好意的各方會好奇用戶的物理身份，只需要知道多個數據來源于同一個Alice 就有可能造成用戶在物理層面上的身份泄露。本文提出的協議能在這種背景下，保護用戶Alice 的身份。

Alices 使用信息脫敏且無碰撞的假名上傳委托，結合環形路徑實現身份混淆，就能使第三方Charlie 與Bobs 無法對委托的來源進行溯源。即使Alices 網絡中存在不可信節點與其他攻擊者進行聯合攻擊，也無法確認接收到的委托是否來自一個可追溯的節點。當Alices 網絡中存在大量不可信節點時，才會對單個用戶的身份造成威脅。這與區塊鏈中51%攻擊類似，即攻擊者擁有區塊鏈中過半的算力就可以篡改共識，這樣的攻擊在現實場景中幾乎無法實現。在這一階段，使用經典方法就能很好的保護Alice 身份。

在Bobs 進行同態計算后，需要將計算結果回傳給Alices，這是另一個容易泄露身份信息的環節。為此，協議使用了受控量子隱形傳態(controlled quantum teleportation, CQT)保護此過程。通過CQT，協議實現了在不知道目標具體身份的情況下，完成一個未知量子態的傳遞。同時，交易過程中對Alices 的支付過程進行審批是必要的，而CQT 也實現了審批過程中的盲化。在審批過程中，Charlie 將測量結果對Alices 網絡進行廣播，對此感興趣的Alice 可以在無人察覺的情況下獲取推導酉算子的信息。好奇的竊聽者可以很容易推斷出應當使用的酉算子，但根據未知量子態不可克隆定理和量子糾纏的原理，竊聽者不可能獲得對應的糾纏粒子，從而無法進行還原未知量子態的操作。與其他量子密碼協議不同，CQT 沒有隱藏加密方式，而是隱藏了量子密文本身來應對攻擊。

除去同態計算本身的數據保護，協議使用的隱形傳態也提高了對數據保護的效果。在Alices 發出多個內容相同的委托時，多個相同的數據確實可能被發送到網絡中，根據協議要求這些數據必須使用不同的假名，在無法區分量子態的情況下，攻擊者也不可能確認這些擁有不同署名的量子態是否相同。因此，協議在用戶數據和用戶身份上具有盲屬性。

2) 不可偽造性。考慮一個來自網絡內部的節點企圖通過偽造身份獲取同態計算數據的情況。假設一個攻擊者加入到Alices 網絡內并截獲了Alices 委托的簽名，在協議其余部分聲稱自己是Alices 企圖獲取任何有用數據。在發布階段，攻擊者可以直接截獲Alice 的委托請求，但是因為同態加密無法獲得內部數據，攻擊并沒有意義。在收取委托結果的階段，攻擊者因為沒有辦法獲取始終由Alice 持有的糾纏量子，也無法進行任何有意義的攻擊，只能夠降低Alice 委托的效率。

在支付階段，一個不誠實的Bobs 可以試圖通過偽造轉賬證明來騙取代理銀行的轉賬。在區塊鏈的保護下，這種攻擊需要偽造Bobs 賬戶并欺騙區塊鏈的共識機制，以現有技術水平是不可能達到的。因此，協議具有不可偽造性。

3) 不可否認性。 Alices 在協議中可以嘗試不支付酬勞或者少支付酬勞而獲得委托計算結果。在協議的初始化階段，Alices 就必須在區塊鏈中寫入與委托相關的信息，可以看作是Alices 在一次完整協議過程中進行注冊。在此之后，所有交易都以此時寫入區塊鏈的MA為準。在原始協議中，Charlie與代理銀行Trent1 需要就交易細節在區塊鏈中進行兩次比對，只有當許諾支付酬勞MA，Bobs 完成任務后的索要的酬勞MB， 實際支付酬勞MT1，三者一致時才能完成支付，Alices 才可通過Charlie 的審批獲取委托計算的結果。因為使用了區塊鏈，上述信息均不可否認。

在改進協議中，審批Alices 的權限被轉移到Alices 的代理銀行Trent1 上。如果Alices 未按照協議向計算正確的一方支付酬勞，那么Trent1 可以拒絕Alices 進行下一次委托計算。因此，本協議具有不可否認性。

3.3 協議效率分析

首先分析協議在理想環境下的運行效率。該部分的效率損耗由兩方面組成，一個是信道網絡的效率，一個是量子同態加密與審批過程的效率。之后，將進一步分析現實場景中各種因素對協議效率的影響。

1) 信道網絡效率。信道網絡的效率可分為兩部分，Alices 在環形網絡上進行身份混淆時的效率與信道上傳輸委托的效率。Alices 網絡內較為復雜的傳播路徑是為了隱藏身份信息的必要操作，傳播路徑越復雜，混淆效果越好，但是需要找到一個效率與安全的平衡點。為此可以設計一個量子門限算法，在經過特定數量的混淆后就對委托進行上傳。

在信道傳播上，因為引入了隱形傳態，大大降低了信道壓力并提升了傳播速度。隱形傳態是瞬間完成的，在信道上傳遞的是糾纏量子與經典信息。這樣的設置能夠提升網絡的平均委托交易數量，提升了網絡后續的可拓展性。因此，信道網絡上唯一延遲來自Charlie 轉發委托的時間。

進一步，在該網絡中也可以考慮在委托上傳階段也使用量子隱形傳態，從而擺脫第三方Charlie，進一步減少量子數據在信道上的流動。這樣的結果是，所有節點只需要傳遞糾纏量子和少量經典信息即可。因此，該協議在應用于更加復雜的場景上具有潛力。之外，本協議也可以看作是對文獻[14]基于量子隱形傳態的量子區塊鏈協議的進一步探索。

2) 同態算法與審批效率。量子同態加密的效率取決與所選用的QHE 算法。為提升效率并滿足同態過程無需交互的條件，協議很可能不適用于量子全同態加密算法。如何在保持匿名的情況下，完成同態過程中可能出現的Alices 與Bobs 的通信，是協議尚未解決的問題。

審批過程中的主要效率損耗來自Alices 的支付過程，若用戶拖延過長時間才進行支付，Alices 和Charlie 都需要較長時間存儲糾纏量子態。為此，可以設計一個鼓勵Alices 快速支付的機制，如將支付權限交由區塊鏈內智能合約自動快速執行，或設置量子存儲時間費用等。

3) 現實環境中的協議效率。現實場景中，量子通信不可避免的存在保真度降低、信道噪聲、測量誤差等問題，造成協議失敗等后果。本文提出協議的效率在現實環境中必然會有所降低，但并不會影響協議的正常進行。

一方面，協議在Alice 發出的信息包中附加上了對應的校驗碼與糾錯碼，協議中其他方接收到對應信息包后可以根據校驗碼先行判斷信息包的完整程度并根據糾錯碼對信息進行修正。

另一方面，協議結合了經典區塊鏈技術，協議本身是容錯的，對量子錯誤具有較高的魯棒性。在一對一QHE 協議中，量子通信錯誤往往意味著本輪協議無法獲得正確的結果。但是在本協議的一對多委托模式中，若在Bobs 中有足夠多的節點接收委托，在一輪協議中用戶可以以高概率獲取多個計算結果并經過比對獲取正確的計算結果。現實場景中，這些措施會在一定程度上降低協議效率，但是能使協議獲得對真實有損有噪信道、非完美操作和測量誤差的良好抗性。

4 結 束 語

本文針對大數據環境下對身份安全的需求，進行了面向現實場景需求的應用研究，提出了一種量子委托計算的協議。協議兼顧了數據的隱私性與身份的隱私性，且不需要可信的第三方。

協議在委托發出階段使用了環形路徑對委托發出者的身份進行隱藏，確保任一方無法得知發送方的具體物理身份。之后，協議使用受控量子隱形傳態實現了委托計算結果的反饋，保持用戶身份匿名的同時也提高了信道的效率。這個過程中，第三方可以對傳輸過程進行盲審批。協議依靠區塊鏈技術實現匿名支付并保證委托報酬的一致性，維護協議的公平性與健壯性。

協議并不限定于某一種量子協議，因此具有很高的可遷移性。結合已較為成熟的經典區塊鏈技術與在實驗室環境下現已實現的量子技術，協議具有較高的實用性。協議框架不僅可以拓展到大數據環境中用戶隱私數據的保護，還可以拓展到大數據場景下需要用戶匿名參與的其他應用，具有良好的應用前景。