一种基于六粒子隐形传态的量子仲裁签名方法及系统

摘要

本发明属于量子仲裁签名技术领域，公开了一种基于六粒子隐形传态的量子仲裁签名方法及系统，Charlie制备n对六粒子簇态，Charlie与Alice和Bob分别共享密钥Kac和Kbc，Alice或Bob向Charlie发起通信请求；根据消息M，Alice制备三份|ψ>AB并选择一随机数r1使用一次一密的密码本加密三份量子态，然后使用Kac加密|ψ>′1；验证签名。本发明通过使用使用2个三粒子GHZ态构成的六粒子纠缠系统，利用其本身稳定的纠缠属性实现较为长久的粒子保存，可以较好的抵御量子信道中存在的噪音干扰；通过共享的密钥对，抵御内部攻击与外部攻击策略；通过三方各自共享的密钥对，搭建三方互相身份认证框架。

说明书

技术领域

本发明属于量子仲裁签名技术领域，尤其涉及一种基于六粒子隐形传态的量子仲裁签名方法及系统。

背景技术

目前，最接近的现有技术：现代信息社会中，基于复杂数学计算的经典密码体系为各种应用场景提供了安全保障。随着量子技术的快速发展，量子计算机的出现将会使现有的加密体系变得不堪一击。量子密码学基于量子力学的不确定性原理、量子测不准原理等物理特性，构建了无条件安全的密码体系。1984年，Bennett和Brassard提出了第一个量子密钥分发协议，随后出现了量子秘密共享(quantum secretsharing,QSS)、量子隐形传态(quantum teleportation,QT)、量子安全直接通信(quantum secure directcommunication,QSDC)等应用协议。

数字签名可以保护消息的完整性和不可伪造性。为了解决经典数字签名协议的安全问题，Gottesman和Chuang提出了基于弱量子单向函数的量子数字签名协议。根据是否涉及仲裁员，QS方案有两个分支：真量子签名(TQS)和仲裁量子签名(AQS)。2002年，曾贵华等人提出了第一个具有Green-Horne-Zeilinger(GHZ)态的AQS协议。Lee等人提出了两个依赖于仲裁者可用性的消息恢复量子签名方案。2008年，Curty和Lutkenhaus研究了该方案，他们声称该方案描述不清楚，安全分析不正确。为了回应Curty等人的争议，曾贵华等人对方案做了更详细的证明。为了降低协议的复杂性，提高协议的效率，Li等人提出了一种基于Bell态而非GHZ态的AQS方案。在2010，Zou和Qiu等人认为现有的AQS方案易受来自接收方的拒绝攻击，并且他们提出了一种带有公共板的AQS方案和不使用纠缠态的另一安全方案。2011年，Gao等人和Choi等人证明了现有的AQS方案存在伪造和拒绝攻击。同年，杨宇光等人引入了一个带有不可信仲裁器的仲裁量子签名。为了解决AQS协议中的这些安全问题，Zhang等人对其AQS方案中的加密算法进行了改进，以抵抗伪造攻击。2015年，Li等人使用链式CNOT操作加密，而不是量子一次性pad，以确保协议的安全性。为了在2016年将qubit效率提高到100％，杨宇光等人提出了具有簇状态的AQS方案。2017年，为了抵制造假和否认攻击，Zhang等人提出了一种基于密钥控制链式CNOT(KCCC)操作加密的AQS方案。2017年，杨宇光等人还提出了一种理论上可扩展的类星团态量子数字签名方案。2018年，Shi等人提出了一种基于盲量子计算的带哈密顿算法的仲裁量子签名方案，由于采用了盲量子计算，在验证签名时不需要恢复原始信息，提高了AQS的简单性和可操作性。2018年，Feng等人为了提高编码效率和性能，提出了一种基于压缩真空态而非相干态的AQS方案。2019年，Feng等人提出了一种基于量子游动的隐形传态AQS方案，不需要预先准备纠缠粒子，使得AQS协议更加灵活实用。

综上所述，现有技术存在的问题是：

(1)协议的粒子使用效率较低，导致协议的实用价值不足。

(2)协议的抗信道干扰能力较弱。容易导致量子资源在协议使用过程中退化，甚至塌缩。

(3)现有的量子仲裁签名协议安全系数不高，大多不能抵御截获重发攻击等攻击策略。

(4)现有的技术方案都没有考虑随机数问题。

解决上述技术问题的难度：

(1)如何使用现有技术架构，实现高效实用的量子仲裁签名协议。

(2)如何抵御量子信道中存在的噪音干扰。

(3)如何尽量减少测量操作的复杂性，只使用贝尔基测量与投影测量来完成整个签名协议。

(4)如何解决粒子的制备和保存问题。

(5)如何提高协议的安全系数。

(6)如何在协议过程中不增加量子通信成本的情况下引入随机数，以期提高协议安全系数。

解决上述技术问题的意义：本发明结合六粒子簇态特点，利用量子隐形传态技术提出了一种基于六粒子态的仲裁签名协议。Alice作为量子签名人，Bob是量子签名的验证人，Charlie作为仲裁方，在签名归属有争议的情况下完成仲裁。首先将详细介绍六粒子隐形传态的具体方法及步骤。然后给出详细的量子仲裁签名步骤，通过协议分析和粒子效率计算，验证了本协议具有绝对安全性和较高效率值。

发明内容

针对现有技术存在的问题，本发明提供了一种基于六粒子隐形传态的量子仲裁签名方法。

本发明是这样实现的，一种基于六粒子隐形传态的量子仲裁签名方法，包括以下步骤：

步骤一，初始化阶段：Charlie制备n对六粒子簇态，Charlie与Alice和Bob分别共享密钥K_ac和K_bc，Alice或Bob向Charlie发起通信请求。

步骤二，签名阶段：根据消息M，Alice制备三份|ψ>_AB并选择一随机数r₁使用一次一密的密码本(OTP)加密三份量子态，然后使用K_ac加密|ψ>′₁。

步骤三，验证签名：Bob使用K_bc加密|S>_a和|ψ>′₁并将加密结果发送给Charlie，Charlie解密后使用K_ac加密|ψ>′₁。Charlie对自己的粒子S₃₅执行2粒子投影测量，并将加密结果发送给Bob。Bob接收完成后进行解密，并根据r₂对M_a进行解密得到R_a，使用r₁进行解密得到|ψ>_AB，接受(|S>_a,r₁)作为|ψ>_AB的签名。

进一步，步骤一中，所述初始化阶段具体包括：

(1)Charlie制备n对六粒子簇态如下：

每对粒子按下标组成序列为：

Charlie抽取其中的1,6粒子组成新序列S₁₆：{P₁(1)P₁(6),P₂(1)P₂(6),...,P_N(1)P_N(6)}。剩余的3,5粒子和2,4粒子按相同的规则组成序列S₃₅和S₂₄。

(2)Charlie与Alice和Bob分别共享密钥K_ac和K_bc：

K_ac＝{K¹_ac,K²_ac,...,K²ⁿ_ac},K_bc＝{K¹_bc,K²_bc,...,K²ⁿ_bc}；

所述密钥的长度与待签名的消息长度相关。

(3)Alice或Bob向Charlie发起通信请求。

进一步，步骤二中，所述签名阶段具体包括：

(1)根据消息M，Alice制备三份|ψ>_AB：

|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB。

其中，第一份量子态用于产生量子签名，第二份经过quantum teleportation进行传输验证，第三份发给Bob用于验证比对和安全性检测。

(2)Alice选择一随机数r₁，使用一次一密的密码本(OTP)加密三份量子态：

(3)Alice使用K_ac加密|ψ>'₁：并使用如下方式将|ψ>′₂传输给Bob：

Alice对(A，1)和(B，6)粒子执行BSMs测量，其结果记为R_a；

Alice选择随机数r₂加密R_a得到：

Alice得到序列|S>：|S>＝{|S>_a,|ψ>'₁,M_a,|ψ>'₃}并将其发送给Bob。

进一步，步骤三中，所述验证签名具体包括：

(1)Bob使用K_bc加密|S>_a和|ψ>′₁，得到：并将其发送给Charlie

(2)Charlie解密后，使用K_ac加密|ψ>′₁得到：Charlie比对|S>_t和|S>_a的值，得到参数λ：

(3)Charlie对自己的粒子S₃₅执行2粒子投影测量，测量结果记为R_c。Charlie解密|S>_t得到|ψ>′₁，并且使用K_bc加密得到：他将其发回给Bob。

(4)Bob接收完成后对其进行解密，如果λ＝0，他将拒绝签名，反之如果λ＝1，他将通知Alice通过公共信道公布r₂，此时他只能确认Alice制备的|S>_a是正确的，对签名信息的判断仍然需要进一步验证。

(5)Bob根据r₂对M_a进行解密得到R_a。接着Bob根据R_a和R_c，对自己手中的S₂₄序列执行对应的U操作，就能恢复出|ψ>_2(out)。如果|ψ>_2(out)≠|ψ>₃，Bob拒绝签名，如果|ψ>_2(out)＝|ψ>₃，Bob通知Alice公布随机数r₁。

(6)Bob使用r₁对|ψ>_2(out)或者|ψ>′₃进行解密，得到|ψ>_AB。并且接受(|S>_a,r₁)作为|ψ>_AB的签名。

进一步，所述基于六粒子隐形传态的量子仲裁签名方法中，六粒子隐形传态使用2个GHZ态作为量子通道，完成量子信息的隐形传输，具体包括：

使用6个量子比特作为量子信道，量子签名方对量子比特对执行BSMs，仲裁方对量子比特也执行BSMs操作；

量子签名方、量子签名验证方和仲裁方共享两个3粒子GHZ态组成的六粒子簇态；量子签名方拥有量子比特1和6，量子签名验证方拥有量子比特2和4，仲裁方分别拥有量子比特3和5；六个量子位集群状态如下：

量子签名保持二粒子态为：|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB；

六粒子隐形传态为：

量子签名方对自己的(A,1)和(B,6)粒子对执行贝尔基测量，以1/4的概率得到16种测量结果；测量完成后，粒子对(2,3,4,5)塌缩到16种不同结果|ψ>₂₃₄₅；量子签名方通过经典信道将测量结果告知量子签名验证方和仲裁方；

接着仲裁方对手中的(3,5)粒子执行X基下的二粒子投影测量操作，并将测量结果发给量子签名验证方；根据量子签名方和仲裁方提供的测量结果，量子签名验证方对手中的(2,4)粒子执行对应的U操作，还原出二粒子|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB。

本发明的另一目的在于提供一种实施所述基于六粒子隐形传态的量子仲裁签名方法的基于六粒子隐形传态的量子仲裁签名系统。

本发明的另一目的在于提供一种实现所述基于六粒子隐形传态的量子仲裁签名方法的信息数据处理终端。

本发明的另一目的在于提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如所述的基于六粒子隐形传态的量子仲裁签名方法。

综上所述，本发明的优点及积极效果为：量子通信网络可以实现各种安全高效的应用，基于量子隐形传态技术的绝对安全特性，以及2个三粒子GHZ态组成的六粒子簇态的稳定多用性质，本发明提供了一种基于六粒子隐形传态的高效实用的量子仲裁签名方法。协议在签名的过程中完成了信道的认证，安全性分析表明本协议能抵御内部攻击和外部攻击等不同攻击策略，且用户间共享的密钥能多次使用。效率分析表明本协议具有较好的粒子使用效率，有助于节约量子资源并高效的完成仲裁签名。

综上，本发明具有以下优点：(1)本发明在现有技术条件下能够实现较好效率的量子仲裁签名协议。

(2)通过使用2个GHZ态构成的纠缠系统，本方案可以较好的抵御量子信道中存在的噪音干扰。

(3)基于量子隐形传态思想，加密的签名消息可以瞬间传送到验证签名人处。

(4)使用2个三粒子GHZ态构成的六粒子纠缠系统，利用其本身稳定的纠缠属性可以实现较为长久的粒子保存。

(5)通过共享的密钥对，可以抵御内部攻击与外部攻击策略。

(6)通过三方各自共享的密钥对，可以搭建三方互相身份认证框架。

与现有技术的对比表格如下：

方案1方案2本方案纠缠源BELL态连续压缩态六粒子cluster态验证方式经典信道经典信道量子隐形传态是否使用密钥对否是是能否完成身份认证否否是

方案1(Shi,R.H.,Ding,W.T.,Shi,J.J.:Arbitrated Quantum Signature withHamiltonianAlgorithm BasedonBlindQuantumComputation.IntJTheorPhys,57(7):1961-1973(2018))

方案2(Feng,Y.,Shi,R.,Guo,Y.:Arbitrated quantum signature scheme withcontinuous-variable squeezedvacuumstates.Chin.Phys.B 27(2),020302(2018))。

附图说明

图1是本发明实施例提供的基于六粒子隐形传态的量子仲裁签名方法。

图2是本发明实施例提供的三方秘密共享流程图。

图3是本发明实施例提供的签名消息被抵赖的概率图。

图4是本发明实施例提供的外部攻击者获得信息量与被检测概率关系图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

现有技术中，协议的粒子使用效率较低，导致协议的实用价值不足。协议的抗信道干扰能力较弱。容易导致量子资源在协议使用过程中退化，甚至塌缩。现有的量子仲裁签名协议安全系数不高，大多不能抵御截获重发攻击等攻击策略。现有的技术方案都没有考虑随机数问题。

针对现有技术存在的问题，本发明提供了一种基于六粒子隐形传态的量子仲裁签名方法及系统，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的基于六粒子隐形传态的量子仲裁签名方法包括以下步骤：

S101：初始化阶段：Charlie制备n对六粒子簇态，Charlie与Alice和Bob分别共享密钥K_ac和K_bc，Alice或Bob向Charlie发起通信请求。

S102：签名阶段：根据消息M，Alice制备三份ψ_AB并选择一随机数r₁使用一次一密的密码本(OTP)加密三份量子态，然后使用K_ac加密ψ>₁。

S103：验证签名：Bob使用K_bc加密|S>_a和|ψ>′₁并将加密结果发送给Charlie，Charlie解密后使用K_ac加密|ψ>′₁。Charlie对自己的粒子S₃₅执行2粒子投影测量，并将加密结果发送给Bob。Bob接收完成后进行解密，并根据r₂对M_a进行解密得到R_a，使用r₁进行解密得到|ψ>_AB，接受(|S>_a,r₁)作为|ψ>_AB的签名。

下面结合实施例对本发明作进一步描述。

实施例1

1、方案理论知识

1.1本发明使用2个GHZ态作为量子通道，完成量子信息的隐形传输：

首先，建立一个基于两个三量子比特GHZ态和六量子比特纠缠态的量子隐形传态协议。在本发明，区别在于现有技术，本发明使用6个量子比特作为量子信道，Alice对其量子比特对执行BSMs，Charlie对其量子比特也执行BSMs操作。假设Alice、Bob和Charlie共享两个3粒子GHZ态组成的六粒子簇态。爱丽丝拥有量子比特1和6，鲍勃拥有量子比特2和4，查理分别拥有量子比特3和5。六个量子位集群状态描述如下：Alice保持二粒子态为：|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB。此时的系统态为：

Alice对她的(A,1)和(B,6)粒子对执行贝尔基测量，她会以1/4的概率得到16种测量结果。测量完成后，粒子对(2,3,4,5)会塌缩到16种不同结果|ψ>₂₃₄₅。Alice通过经典信道将测量结果告知Bob和Charlie,接着Charlie对手中的(3,5)粒子执行X基下的二粒子投影测量操作，并将测量结果发给Bob。根据Alice和Charlie提供的测量结果，Bob对手中的(2,4)粒子执行对应的U操作，就可以还原出二粒子|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB。具体的还原规则如下表1和表2所示。

表1 Alice的测量结果与(2,3,4,5)塌缩情况对应表

表2 Charlie的测量结果与Bob的U操作对应表

1.2量子逻辑操作：

四种常见的量子逻辑操作(泡利操作符)表示为：

σ₀₀＝I＝|0><0|+|1><1|

σ₀₁＝σ_x＝|0><1|+|1><0|

σ₁₀＝iσ_y＝|0><1|-|1><0|

σ₁₁＝σ_z＝|0><0|-|1><1|

以Bell态|φ⁺>_AB为例，经过泡利操作符作用后，量子态变化情况如表3所示。

表3 Puali操作与Bell态粒子的测量结果

2、具体实施方案

如图2所示，本发明实施例提供的基于六粒子隐形传态的量子仲裁签名方法具体包括：

(一)初始化阶段

(1)Charlie制备n对六粒子簇态如下：

每对粒子按下标组成序列为：

Charlie抽取其中的1,6粒子组成新序列S₁₆：{P₁(1)P₁(6),P₂(1)P₂(6),...,P_N(1)P_N(6)}。剩余的3,5粒子和2,4粒子按相同的规则组成序列S₃₅和S₂₄。

(2)Charlie与Alice和Bob分别共享密钥K_ac和K_bc：

K_ac＝{K¹_ac,K²_ac,...,K²ⁿ_ac},K_bc＝{K¹_bc,K²_bc,...,K²ⁿ_bc}

密钥的长度与待签名的消息长度相关，

(3)Alice或Bob向Charlie发起通信请求。

(二)签名阶段

(1)根据消息M，Alice制备三份|ψ>_AB：|ψ>_AB＝(α|00>+β|10>+γ|01>+η|11>)_AB。其中，第一份量子态用于产生量子签名，第二份经过quantumteleportation进行传输验证，第三份发给Bob用于验证比对和安全性检测。

(2)Alice选择一随机数r₁，使用一次一密的密码本(OTP)加密三份量子态：

(3)Alice使用K_ac加密|ψ>′1：并使用如下方式将|ψ>′₂传输给Bob：

Alice对(A，1)和(B，6)粒子执行BSMs测量，其结果记为R_a；

Alice选择随机数r₂加密R_a得到：

Alice得到序列|S>：|S>＝{|S>_a,|ψ>'₁,M_a,|ψ>'₃}并将其发送给Bob。

(三)验证签名

(1)Bob使用K_bc加密|S>_a和|ψ>′₁，得到：并将其发送给Charlie

(2)Charlie解密后，使用K_ac加密|ψ>′₁得到：Charlie比对|S>_t和|S>_a的值，得到参数λ：

(3)Charlie对自己的粒子S₃₅执行2粒子投影测量，测量结果记为R_c。Charlie解密|S>_t得到|ψ>′₁，并且使用K_bc加密得到：他将其发回给Bob。

(4)Bob接收完成后对其进行解密，如果λ＝0，他将拒绝签名，反之如果λ＝1，他将通知Alice通过公共信道公布r₂，此时他只能确认Alice制备的|S>_a是正确的，对签名信息的判断仍然需要进一步验证。

(5)Bob根据r₂对M_a进行解密得到R_a。接着Bob根据R_a和R_c，对自己手中的S₂₄序列执行对应的U操作，就能恢复出|ψ>′_2(out)。如果|ψ>′_2(out)≠|ψ>′₃，Bob拒绝签名，如果|ψ>′_2(out)＝|ψ>′₃，Bob通知Alice公布随机数r₁。

(6)Bob使用r₁对|ψ>′_2(out)或者|ψ|′₃进行解密，得到|ψ>_AB。并且接受(|S>_a,r₁)作为|ψ>_AB的签名。

实施例2：协议分析

1)、签名人的不可否认性：

假设签名人Alice否认自己做出的签名，此时仲裁人Charlie一定能发现她的不诚实行为：Alice的签名态|S>_a中包含了她的密钥只有Alice和Charlie才能使用K_ac进行加解密等其他操作。因而Alice无法否认自己的签名。

2)、确认者的不可抵赖性：

Bob如果接收了Alice发来的签名，协议正常完成的情况下，他是无法抵赖自己的接收行为。在确认阶段，Bob需要使用密钥K_bc对消息(|S>_a,|ψ>′₁)进行加密操作：此后Bob将其发送给Charlie,Charlie使用密钥K_bc对其进行解密恢复。因此仲裁人Charlie一定能判断消息态|ψ>_B中是否存在密钥K_bc。当Bob收到Charlie发回的消息后，如果想要获得随机数r₂和参考λ＝1，毫无疑问，此时Bob必须使用了密钥K_bc对消息进行了解密。因此Bob无法抵赖接收到签名的行为。签名消息被抵赖的概率图如图3所示。

3)、消息的不可伪造性：

整个协议过程里，由于协议参与人Alice，Bob和Charlie都没有公布任何与密钥相关的信息，且攻击者无法获取协议参与人的量子密钥，因此本协议中使用的密钥均可以重复使用。且密钥K_ac和K_bc是Charlie分别与Alice、Bob共享的安全密钥。Bob无法伪造签名信息，因为K_ac只有Alice和Charlie拥有，仲裁者Charlie一定会判断出|S>_t≠|S>_a，此时λ＝0。如果外部攻击者想要伪造签名，那他必须同时获得密钥K_ac和K_bc，但是Alice的测量结果M_a是被随机数r₂加密的，且Eve无法获得Bob的粒子对S₂₄，因此Eve如果有伪造行为，量子纠缠系统的状态就会发生变化，则仲裁者Charlie一定会得到λ＝0，因为|ψ>′_2(out)≠|ψ>′₃。外部攻击者获得信息量与被检测概率关系图如图4所示。

图3代表待签名粒子数目与被否认签名的粒子概率关系，从中可以看出，在待签名粒子总数为50、100、150这三种情况下，本方案都能取得较好的签名效果。

图4代表外部攻击者伪造签名时被检测出来的概率与此时他获取的互信息量之间的关系图，该图表明外部攻击者获得最大互信息量时，他一定会被检测出来(p＝100％)，当被检测概率最低时，他获取的互信息量为0。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现，所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。