4484                                                      软件学报  2025  年第  36  卷第  10  期


                 structure  to  perform  efficient  authentication.  Security  analyses  show  that  EQAS  is  resistant  to  quantum  algorithm  attacks.  Comparative
                 experiments  with  other  authenticated  storage  schemes  demonstrate  the  superior  efficiency  and  performance  of  EQAS  in  handling
                 blockchain authentication storage tasks.
                 Key words:  blockchain; quantum-resistant; authentication storage; stateless hash signature
                    在数字化时代, 区块链技术以其独特的去中心化特性和不可篡改性, 已经在金融服务、供应链管理、智能合
                 约等多个领域展现出其革命性的潜力             [1,2] . 作为区块链架构中的重要组成部分, 认证存储技术在确保数据完整性和
                 一致性方面发挥着关键作用. 在传统区块链中, 认证存储依赖于一系列加密算法, 这些算法负责验证每笔交易的有
                 效性, 保障账本状态的不可篡改性, 并为网络中的每个参与者提供透明的数据访问                         [3,4] .
                    尽管区块链认证存储技术在确保数据安全和信任方面取得了显著成就, 但量子计算机的迅速发展给现有的区
                 块链认证存储技术带来了威胁          [5–7] . 当前主流的认证存储技术, 如基于      RSA  或椭圆曲线密码体制的签名算法, 依赖
                 于大数分解和离散对数等困难问题. 然而, 随着量子计算技术的进步, Shor 算法等量子算法                        [8,9] 能够有效分解大整
                 数, 进而破解基于这些数学困难问题的加密机制. 具体来说, 现有的基于签名的认证存储技术在量子攻击下会变得
                 脆弱, 这意味着攻击者可以伪造认证信息, 插入恶意数据, 系统将无法检测到数据的篡改, 最终导致区块链系统的
                 数据完整性和一致性丧失. 此外, 基于哈希的认证存储技术同样面临威胁, 例如, 量子计算能够通过                           Grover 算法  [10,11]
                 加速哈希碰撞的搜索, 使得哈希函数不再具备足够的抗碰撞能力, 这导致区块链中的数据认证不再可靠                                 [12] . 因此,
                 为了保持区块链系统的长期安全性和可靠性, 必须对现有的认证存储技术进行改进, 以确保能够抵御量子计算时
                 代的安全威胁.
                    现已有一些区块链认证存储工作, 例如简化支付验证                   (SPV)  [13,14] 允许比特币轻节点通过下载区块头和使用
                 Merkle 树证明来验证交易, 而无需下载整个区块链. SPV            轻节点依赖全节点提供区块头和交易证明, 以节省存储
                 和带宽, 适用于资源有限的设备; 以太坊中的             Merkle patricia trie (MPT) 结构, 每个叶子节点存储一个值, 内部节点
                 则存储其子节点内容的加密哈希值, 根节点哈希用作区块链状态的承诺, 以确保数据完整性和可验证性; Li 等人                               [3,4]
                 提出高效的区块链认证存储系统            (LVMT), 采用多层设计来支持无限的键值对, 并存储版本号而非哈希值, 避免了
                 昂贵的椭圆曲线乘法操作, 显著减少了 I/O 放大效应. Zhang             等人  [15] 提出了一种用于区块链系统的新型基于列的
                 学习存储, 来降低区块链存储大小并提高系统吞吐量. 然而, 上述工作都是基于如离散对数、双线性                             Diffie-Hellman
                 假设等困难问题构造的, 这些问题随着量子计算机的发展都是可以被破解的, 这导致认证存储机制面临着安全风
                 险  [16,17] .
                    密码学界提出了多种抗量子方案, 包括基于格理论、代码理论和多变量方程的密码系统. 这些方案虽在理论
                 上具有良好的抗量子能力, 但普遍存在一些问题. 例如, 基于格的加密方案虽然被广泛认为是抗量子密码的强有力
                 候选者, 但其计算复杂度较高, 密钥和签名的尺寸相对较大, 在区块链等需要高效存储和快速验证的场景中并不理
                 想. 基于代码和多变量方程的密码方案同样面临类似的挑战, 它们的实现通常需要较高的计算和存储开销, 导致在
                 实际应用中效率较低. 与这些复杂的方案相比, 基于哈希的签名方案因其结构简单、效率高、实现容易而逐渐成
                 为抗量子密码的重点研究方向, 这使其特别适合区块链中需要快速验证大量交易和状态数据的场景. 此外, 哈希签
                 名方案的无状态设计能够很好地适应区块链系统, 减少全节点的存储负担和计算复杂度, 特别是在轻节点与全节
                 点频繁交互的认证存储场景中, 可以显著提高系统的可扩展性和性能. 如今, 基于哈希的签名方案是两个                                RFCs 中
                 正式定义的第     1  个抗量子签名方案     [18–20] , 而本文采用的是  NIST  后量子加密标准化项目第       2  轮中的  9  个签名提案
                 之一的   SPHINCS+的优化方案    [21] . 鉴于此, 本文提出了抗量子的高效认证存储方案           EQAS, 主要贡献如下.
                    (1) 结合基于无状态哈希签名与区块链认证存储, 首次提出抗量子的区块链认证存储机制, 在实现高效的认证
                 存储的同时, 还可以抵御量子计算时代的安全威胁.
                    (2) 将随机森林算法动态化, 设计出         DFORC, 以优化其在区块链场景中的应用. EQAS           将数据存储和数据认证
                 解耦, 通过动态随机森林链来高效地生成承诺证明, 使用超树作为认证树来执行高效认证.
                    (3) 对  EQAS  的安全性和效率进行了理论分析和实验, 在安全性方面证明了                 EQAS  可以有效抵御量子攻击, 在
                 效率方面   EQAS  表现出较高的性能.