CN106452791B - 一种无信任中心的量子数字签名方法 - Google Patents

一种无信任中心的量子数字签名方法 Download PDF

Info

Publication number
CN106452791B
CN106452791B CN201610997230.9A CN201610997230A CN106452791B CN 106452791 B CN106452791 B CN 106452791B CN 201610997230 A CN201610997230 A CN 201610997230A CN 106452791 B CN106452791 B CN 106452791B
Authority
CN
China
Prior art keywords
signature
receiver
quantum
verifier
original text
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610997230.9A
Other languages
English (en)
Other versions
CN106452791A (zh
Inventor
富尧
钟一民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Divine Land Zhejiang Quantum Network Science And Technology Ltd
Original Assignee
Divine Land Zhejiang Quantum Network Science And Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Divine Land Zhejiang Quantum Network Science And Technology Ltd filed Critical Divine Land Zhejiang Quantum Network Science And Technology Ltd
Priority to CN201610997230.9A priority Critical patent/CN106452791B/zh
Publication of CN106452791A publication Critical patent/CN106452791A/zh
Application granted granted Critical
Publication of CN106452791B publication Critical patent/CN106452791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明公开了一种无信任中心的量子数字签名方法,分配阶段包括:步骤a,发送方对原文进行运算获得缩减后原文;步骤b,发送方生成签名并分别向接收方和验证方发送,所述签名的数量根据缩减后原文的比特数计算得到;步骤c,接收方和验证方相互交换部分拥有的签名;验证阶段包括:步骤d,发送方将原文以及步骤b生成的签名发送至接收方;步骤e,接收方对原文进行运算获得缩减后原文,针对缩减后原文的每个比特,将步骤d接收到的签名与步骤c完成交换后所拥有的签名进行对比验证;步骤f,验证通过后,接收方将原文以及步骤d接收到的签名发送至验证方进行验证。本发明通过缩减原文长度极大降低了量子密钥的消耗以及量子通信设备的压力。

Description

一种无信任中心的量子数字签名方法
技术领域
本发明涉及量子通信技术领域,尤其涉及一种无信任中心的量子数字签名方法。
背景技术
数字签名技术一般用于证明数字信息发送者的身份和数字信息本身的真实可靠,如金融业务、软件更新、法律合同中的数字信息。更重要的是,数字签名保证了消息的可传送性,即消息被接收后再次转发,被转发者仍然认为其是有效的。当前主流的数字签名技术使用公钥加密算法。
经典数字签名算法基于数学算法的计算复杂性,由于计算复杂性并无严格理论证明其安全性,加上目前计算机的计算能力日渐增长,经典数字签名算法越来越难以保证实际数字签名的安全需要。无条件安全数字签名并不依赖于数学算法的计算复杂性,而是基于信息论的安全,是有严格理论证明其安全性的。
量子通信基于量子物理的基本原理,与无条件安全数字签名的理念相结合后,Gottesman和Chuang提出了第一个量子数字签名方法(Quantum digital signatures,arXiv:quant-ph/0105032v2,2001)。虽然其影响力较大,但由于方法实现时的难题暂时无法实用,因此后续有一些改进的量子数字签名方法。由于目前已经有一些量子通信设备问世,个别量子数字签名方法已经可以较方便地实现,但离实用化还有距离。
量子数字签名方法一般包括两个阶段:分配阶段和消息阶段(签名发送及验证)。在分配阶段,数字签名发送方先给接收方发送数字签名验证信息;在消息阶段,数字签名发送方发送实际的信息及其签名给接收方,接收方验证数字签名通过后转发之,被转发者也验证数字签名。
现有经典数字签名基于计算复杂性。由于计算复杂性并无严格理论证明其安全性,加上目前计算机的计算能力日渐增长,经典数字签名算法越来越难以保证实际数字签名的安全需要。特别地,目前量子计算机的发展已经极大威胁到目前经典数字签名普遍使用的公钥密码体制。
一些量子数字签名方法由于硬件实现的难题无法方便地实用化。比如,要求具有量子存储,或要求有专用量子通信设备,导致这些方法的高度不可操作性。一些量子数字签名方法需要有一个可信权威(Trusted Authority)来完成数字签名的整个过程,大大影响了算法的可适用范围。
Wallden P,Dunjko V,Kent A,et al.Quantum digital signatures withquantum key distribution components,[J].Physical Review A,2014,91中公开了单比特签名方法,通信三方为Alice,Bob和Charlie,其中Alice为数据签名发送方,Bob和Charlie为数据签名的接收方和验证方。三方之间拥有两两之间的量子密钥对,每对量子密钥中的双方密钥值是相等的。签名分为两个阶段:
1.1单比特签名的分配阶段
(1)对于每个将要发送的消息比特k=0,1,Alice生成两个不同的密钥,也称为签名。共计4个签名,每个签名的长度为L,签名的第i个比特称为k的第i个签名元素。
(2)对于每个将要发送的消息比特k=0,1,Alice发送一个密钥给Bob,另一个密钥给Charlie。这样Bob和Charlie分别收到2个密钥。发送方式是用量子密钥对签名进行加密,对方用同样的量子密钥对签名进行解密。量子密钥可以是量子密钥分发生成的密钥对,或者量子真随机数的预分配密钥对。
(3)对于每个将要发送的消息比特k=0,1,对每个签名元素,Bob随机选择将此签名元素保留在本地或者发送给Charlie,发送时还附带该签名元素的位置信息。发送方式是用量子密钥对签名元素进行加密,对方用同样的量子密钥对签名元素进行解密。量子密钥可以是量子密钥分发生成的密钥对,或者量子真随机数的预分配密钥对。Charlie也对Bob执行同样对等的操作。这样Bob和Charlie分别收到来自对方的2个密钥子串。
(4)对于每个将要发送的消息比特k=0,1,如果Bob或者Charlie收到的密钥子串中的签名元素个数少于L(1/2-r)或者多于L(1/2+r),本协议终止,需要重新执行签名分配。r是一个阈值参数,0<r<1/2,用于防止发生Bob和Charlie互相交换的密钥过短或过长的情况。
1.2单比特签名的验证阶段(签名发送及验证)
(1)为发送单签名的消息比特m,Alice发送消息串(m,PKBm,PKCm)给Bob。PKBm和PKCm是Alice对于消息m分别发送给Bob和Charlie的签名。
(2)Bob检查消息串(m,PKBm,PKCm)是否与他所拥有的签名以及Charlie发送给他的签名一致。如果全部一致则说明验证成功。
(3)Bob将消息串(m,PKBm,PKCm)转发给Charlie,Charlie在满足以下条件的情况下认为该比特消息是可信的:
(i)PKBm的对应比特与Bob在签名分配阶段发送给Charlie的签名元素全部保持一致;
(ii)PKCm与Charlie在签名分配阶段获取的签名之间的差异比特数小于sL,其中s是签名验证的阈值,满足1/2>s>0。
上述量子数字签名方法中签名单比特的信息需要多个比特的量子密钥,无法方便地实用化。因为数字签名的数据量远远不止单比特,量子密钥分发设备的资源目前还不足以支撑这样大的业务量。
发明内容
本发明提供一种量子数字签名方法,克服了单比特签名需要大量密钥的问题,通过缩减原文长度极大降低了量子密钥的消耗以及量子通信设备的压力。
一种无信任中心的量子数字签名方法,包括签名的分配阶段和验证阶段,所述分配阶段包括:
步骤a,发送方对原文进行运算获得缩减后原文;
步骤b,发送方生成签名并分别向接收方和验证方发送,所述签名的数量根据缩减后原文的比特数计算得到;
步骤c,接收方和验证方相互交换部分拥有的签名;
所述验证阶段包括:
步骤d,发送方将原文以及步骤b生成的签名发送至接收方;
步骤e,接收方对原文进行运算获得缩减后原文,针对缩减后原文的每个比特,将步骤d接收到的签名与步骤c完成交换后所拥有的签名进行对比验证;
步骤f,验证通过后,接收方将原文以及步骤d接收到的签名发送至验证方进行验证。
在一般的应用场景中,数字签名的原文为消息或文件,少则几个比特,多则达到K、M或者G个比特的级别。由于本发明的量子数字签名方法是以比特为单位的,原文的比特数越多,数字签名所需密钥量越多,因此在步骤a中,发送方对原文通过特定算法的运算缩减原文的长度。
经典的Hash算法基于计算复杂性,无法达到信息论安全,因此作为优选,步骤a中,利用通用Hash算法对原文进行运算获得缩减后原文。
作为优选,步骤a中,发送方对原文进行运算时采用摘要函数。
缩减的算法旨在抽取原文特征信息,优选为摘要函数,如通用Hash算法或者经典Hash算法等。如果原文过长,则对原文进行分段后,再分别进行缩减运算。
在根据实际原文长度选择了合适参数的情况下,通用Hash算法的碰撞概率能达到任意低的水平,且碰撞概率的上限是可计算的。而当安全性要求不太高时,也可以采用经典Hash算法如SHA3等。经过运算原文长度得到了极大的缩减,为后续数字签名做好准备。
这里采用Hash函数对原文进行处理,其结果也可以称为原文的数字摘要。数字摘要的特性有:对输入的长度无要求,较长的原文也能缩短为固定长度的较短的消息;从原文计算得到数字摘要,计算不太复杂;防碰撞性能好,即不同的原文得到相同的摘要的可能性非常低,也就是说,一定条件下可以认为数字摘要是原文的标识物,并与原文一一对应。根据数字签名的以上特点,可以对原文的数字摘要进行签名而不失其安全性,并将数据长度大大缩短,从而使得数字签名的长度大大缩短。
如果使用的是通用Hash函数,需要传输Hash函数本身的数据,而Hash函数的长度取决于原文的长度。因此在原文数据量很大的情况下,为防止Hash函数的数据量太大,作为优选,将原文分段,每一段都使用同一个通用Hash函数进行运算,以得到所述的缩减后原文。这样通用Hash函数本身的数据量将比原先所需的数据量大大减小。
步骤b中,采用量子随机数发生器生成的真随机数作为所述签名。当然也可以预先生成,而后读取调用。
步骤b中,生成签名时,缩减后原文的每个比特对应四个签名,每个比特的0、1值均对应两个不同的签名,并分别发送给接收方和验证方,签名的总长度根据每个比特所需的数据量乘以缩减后原文的比特数得到。针对每个比特,与0值相应的签名为互不相同的两个,分别分配给接收方和验证方;同理与1值相应的签名为互不相同的两个,分别分配给接收方和验证方。
步骤b中根据缩减后原文的比特数来确定签名的数量,例如缩减后原文有n比特,则签名的数量为4n。针对比特值为0的签名数量为2n,n个分配给接收方,n个分配给验证方。同理针对比特值为1的签名数量为2n,n个分配给接收方,n个分配给验证方。
对每一个比特的安全性,主要是抗抵赖性能和抗伪造性能,在Wallden P,DunjkoV,Kent A,et al.Quantum digital signatures with quantum key distributioncomponents,[J].Physical Review A,2014,91中已经作了数学阐述,公布了风险上限与各参数的关系。可以根据风险上限的计算公式,结合当前所需实现的安全标准,选择合适的重要参数,如每比特签名长度L等。
步骤b中,发送方向接收方和验证方发送签名时,采用量子密钥加密签名后以密文方式发送;发送方与接收方之间,以及发送方与验证方之间的量子密钥对为预分配的量子密钥对或量子密钥分发生成的量子密钥对,其中预分配的量子密钥对由量子真随机数发生器生成,且经由存储设备拷贝至发送方与接收方或拷贝至发送方与验证方;量子密钥分发生成的量子密钥对由量子密钥分发设备生成,依据量子密钥分发协议将量子密钥对分发至发送方与接收方或分发至发送方与验证方。
发送方与接收方之间,以及发送方与验证方之间的量子密钥对可通过量子通信网络的量子密钥分发设备生成。例如采用现有的QKD方式,利用量子通信网络可以进行无条件安全的量子密钥分发。如加密传输数据量较大,则采用经典对称加密算法代替一次一密加密算法,以缩减量子密钥使用量。
现有技术中,直接使用量子密钥分发对一个签名进行一次一密的加密传输需要消耗与签名同等长度的量子密钥对,在待签名原文数据量较大的情况下,代价较为昂贵。现有技术对每一个比特所需的数据量为4L,对n个比特所需的数据量为4nL,当n比较大时,所需一次一密的量子密钥量将对量子密钥分发的性能产生极大压力和挑战。
本发明将两两之间的量子密钥对作为密钥,采用对称加密算法,在双方之间传送大量量子真随机数作为分配的签名。一方面,利用量子真随机数发生器产生大量的真随机数作为签名,量子真随机数拥有量子物理所保证的最好的真随机性,无法被预测;另一方面,签名分配发送方的量子密钥仅仅用于作为对称加密算法的密钥,将真随机数安全地发送给对方,用较短共享量子密钥实现了大量量子密钥的共享。即:对于n个比特的信息来说,原先所需的4nL长度的用于加密传输量子数字签名的量子密钥,现在只需对称加密算法的加密密钥的长度即可。例如,对称加密算法可以为AES,其密钥长度可以为128、192、256等,比4nL将有所缩短,甚至大大缩短。
步骤c中,接收方和验证方针对每个签名,相互交换部分签名元素,每个签名包含多个比特,每个比特为一个签名元素,相互交换时接收方和验证方随机选择每个签名元素保留在本地或者发送给对方;
相互交换时接收方和验证方采用量子密钥加密交换的比特后以密文方式发送;接收方与验证方之间的量子密钥对为预分配的量子密钥对或量子密钥分发生成的量子密钥对,其中预分配的量子密钥对由量子真随机数发生器生成,且经由存储设备拷贝至接收方与验证方;其中量子密钥分发生成的量子密钥对由量子密钥分发设备生成,依据量子密钥分发协议将量子密钥对分发至接收方与验证方。
如加密传输数据量较大,则采用经典对称加密算法代替一次一密加密算法,以缩减量子密钥使用量。
步骤c中,针对每个签名,接收方和验证方相互交换的部分的比特数为A,且满足L(1/2-r)≤A≤L(1/2+r);L为签名长度,r为阈值参数且0<r<1/2;如比特数不满足此要求,则重复执行步骤c,直到满足此要求;或直到因执行步骤c次数太多导致签名分配失败,流程退出。
即需要保证有适宜数量的签名元素交换,否则需要重新执行签名分配,用于防止发生互相交换的签名过短或过长的情况。
步骤c中,与步骤b同理,接收方和验证方相互交换部分签名元素时采用密文方式,即利用量子密钥加解密。
作为优选,步骤d中,发送方将用于生成缩减后原文的算法发送至接收方;步骤e中,接收方采用与发送方相同算法对原文进行运算获得缩减后原文;步骤f中,接收方将来自发送方的用于生成缩减后原文的算法发送至验证方,验证方采用该算法对原文进行运算获得缩减后原文。
步骤b生成的签名包括发送给接收方和发送给验证方的两部分,在步骤d中发送方将这两部分签名均发送至接收方。
步骤e中,接收方将步骤d接收到的签名按照缩减后原文的比特数进行划分,划分后逐一与所拥有的签名的对应部分进行对比验证;步骤f中,验证方将接收到的签名按照缩减后原文的比特数进行划分,划分后逐一与所拥有的签名的对应部分进行对比验证。
步骤e中,接收方进行签名验证时的通过条件;以及步骤f中,验证方进行签名验证时的通过条件均可以采用现有方式进行判定。
例如:步骤b生成的签名包括发送至接收方的第一签名以及发送给验证方的第二签名,而在步骤d中,发送方将第一签名以及第二签名均发送至接收方;
步骤c中,接收方和验证方相互交换部分签名元素,接收方的第一签名经部分交换后得到第三签名,接收方从验证方获得的所有签名元素的记为第四签名;
验证方的第二签名经部分交换后得到第五签名,验证方从接收方获得的所有签名元素记为第六签名。
步骤e中,接收方进行签名验证时的通过条件为:
在步骤d中接收的第一签名与拥有的第三签名一致,在步骤d中接收的第二签名与拥有的第四签名一致。
验证通过后接收方将在步骤d中接收的第一签名与第二签名发送至验证方,步骤f中,验证方进行签名验证时的通过条件为:
在步骤f中接收的第一签名与拥有的第六签名中相对应的签名元素一致;且
在步骤f中接收的第二签名与拥有的第五签名之间的差异比特数小于sL,其中s是签名验证的阈值,满足1/2>s>0。
由于第四签名和第六签名中并没有包含所有的签名元素,因此在做对比验证时,仅比较存在的签名元素即可。
步骤e中,如果接收方数字签名验证未通过,则数字签名流程退出,不需要再执行步骤f。
本发明克服了经典数字签名基于计算复杂性的弱点,基于量子通信和无条件安全数字签名的安全性理论,其安全性在理论上得到证明。
本发明签名方法简单实用,可以用来替代经典的数字签名方法乃至一些无条件安全数字签名方法。也克服了一些量子数字签名方法需要有一个可信权威来完成数字签名的缺点,并不需要一个可信权威即可完成本发明的数字签名方法。
本发明签名方法不需要使用量子存储,也不需要使用专用量子通信设备,仅需要使用通用量子通信设备。克服了一些量子数字签名方法签名单比特的信息需要好多个比特的量子密钥的问题,主要通过Hash函数等算法缩减原文长度、量子密钥使用对称加密算法加密传输真随机数两种方式,极大降低了量子数字签名对量子通信设备的压力。
附图说明
图1为本发明量子数字签名方法的流程图。
具体实施方式
参与本发明量子数字签名方法的通信三方为Alice,Bob和Charlie,其中Alice为发送方,Bob和Charlie为接收方和验证方。
参见图1,本实施例无信任中心的量子数字签名方法包括:
Alice原文缩减
Alice采用Hash函数H,将较长的原文缩减为较短的Hash值,假设有n个比特。设原文为Mo,缩减后的原文为M,其中M=H(Mo)。
Alice密钥准备
Alice根据缩减后的原文长度和所需要实现的安全性要求,选择单比特的签名所需要的密钥长度L。根据L计算得到所需签名的数量。然后从量子随机数发生器获得该数量的真随机数。
n比特签名的分配
与单比特签名的分配阶段类似地,执行完毕n比特的签名分配。
(1)对于n个比特,设第j个比特的消息比特为kj。对于每个将要发送的消息比特kj=0,1,Alice生成两个不同的密钥,也称为签名。共计4n个签名,每个签名的长度为L,签名的第i个比特称为kj的第i个签名元素。
(2)对于n个比特,对于每个将要发送的消息比特kj=0,1,Alice发送一个签名给Bob,另一个签名给Charlie。这样Bob和Charlie分别收到2n个密钥。发送方式是用量子密钥对签名进行加密,对方用同样的量子密钥对签名进行解密。量子密钥可以是量子密钥分发生成的密钥对,或者量子真随机数的预分配密钥对。
(3)对于n个比特,对于每个将要发送的消息比特kj=0,1,对每个签名元素,Bob随机选择将此签名元素保留在本地或者发送给Charlie,发送时还附带该签名元素的位置信息。发送方式是用量子密钥对签名元素进行加密,对方用同样的量子密钥对签名元素进行解密。量子密钥可以是量子密钥分发生成的密钥对,或者量子真随机数的预分配密钥对。Charlie也对Bob执行同样对等的操作。这样Bob和Charlie分别收到来自对方的2n个密钥子串。
(4)对于n个比特,对于每个将要发送的消息比特kj=0,1,如果Bob或者Charlie收到的密钥子串中的签名元素个数少于L(1/2-r)或者多于L(1/2+r),本协议终止,需要重新执行签名分配。r是一个阈值参数,0<r<1/2,用于防止发生Bob和Charlie互相交换的密钥过短或过长的情况。
若本次签名分配失败,签名分配失败次数加1。容许的最大签名分配失败次数为Nmax。假设小于等于Nmax,则签名的分配阶段尚未失败,重新执行签名分配。假设大于Nmax,则签名的分配阶段失败,整个流程结束。
n比特签名的验证
与单比特签名的消息阶段(签名发送及验证)类似地,执行完毕n比特的签名发送及验证。
(1)Alice发送数字签名消息串(Mo,H,PKBM,PKCM)和给Bob。Bob根据Hash算法,将数字签名消息串转化为(MB,PKBM,PKCM),其中MB=H(Mo)。PKBM,PKCM分别为在分配阶段发送至Bob和Charlie的签名。
(2)Bob对(MB,PKBM,PKCM)进行处理。PKBM和PKCM的长度均为nL,可以平均分为n段,每段长度为L,第j段分别标记为PKBMj和PKCMj。MB的第j个元素标记为MBj。PKBMj和PKCMj是Alice对于消息MBj分别发送给Bob和Charlie的签名。因此,消息串(MB,PKBM,PKCM)可以划分为n个消息子串(MBj,PKBMj,PKCMj)。
(3)Bob逐个检查消息串(MBj,PKBMj,PKCMj)是否与他所拥有的签名以及Charlie发送给他的签名一致。如果全部一致则说明验证成功。
如验证失败,则整个数字签名过程失败,整个流程结束。如验证成功,则可往下执行。
(4)Bob将数字签名消息串(Mo,H,PKBM,PKCM)转发给Charlie。Charlie根据Hash算法,将数字签名消息串转化为(MC,PKBM,PKCM),其中MC=H(Mo)。
(5)Charlie对(MC,PKBM,PKCM)进行处理。Charlie逐个检查消息串的第j个比特,在满足以下条件的情况下认为该比特消息是可信的:
(i)PKBMj的对应比特与Bob在签名分配阶段发送给Charlie的签名元素全部保持一致;
(ii)PKCMj与Charlie在签名分配阶段获取的签名之间的差异比特数小于sL,其中s是签名验证的阈值,满足1/2>s>0。
检查完毕n个比特后,Charlie认为该n比特消息是可信的。
如验证失败,则整个数字签名过程失败,整个流程结束。如验证成功,则整个数字签名过程成功,整个流程结束。
抗Alice抵赖的原理
Alice抵赖成功是指,Alice通过生成特定的数字签名,使得Bob接受数字签名,而Charlie拒绝数字签名。
Alice抵赖成功的条件是:
(i)PKBm的对应比特与Bob在签名分配阶段发送给Charlie的签名元素全部保持一致;
(ii)PKCm与Charlie在签名分配阶段获取的签名之间的差异比特数至少达到sL,其中s是签名验证的阈值,满足1/2>s>0。
Alice抵赖成功的概率满足:
p(rep)<=(1/2)sL=Prmax (1)
其中Prmax为Alice抵赖成功概率最大值。
可见Alice抵赖成功的概率随着签名长度L的变大而指数下降。
抗Bob伪造的原理
Bob伪造成功是指,Bob接收Alice的数字签名并验证通过后,修改原文的比特值和数字签名,使Charlie也能验证通过。即,对于Charlie没有共享给Bob的K个密钥,其中K>=L(1/2-r),Bob猜错的个数需要在sL个以下。每个比特猜对的概率是1/2,因此Bob伪造成功的概率满足:
p(forge)<=exp{-4[1/4-s/(1-2r)]2L(1-2r)}=Pfmax (2)
其中Pfmax为Bob伪造成功概率最大值。
可见Bob伪造成功的概率随着签名长度L的变大而指数下降。
以下结合具体参数说明签名安全性和数据量
L,r,s。可选择L=200,r=0.1,s=0.18
Prmax=1.46×10-11<10-10
Pfmax=4.12×10-15<10-10
抵赖上限和伪造上限均可保证小于10-10,即小于100亿分之一。
本实施例的Hash函数采用LFSR-Toeplitz方案来实现(可参见崔珂,罗春丽,张鸿飞,等.基于FPGA的量子密钥分发系统中身份认证的设计,全国核电子学与核探测技术学术年会.2012.),即Hash函数体现为Toeplitz矩阵。
m为信息原文长度,n为Hash结果的长度,则Hash函数需要的数据量为m+n-1。如果原文长度为1T比特,那么Hash函数需要的数据量也将达到1T比特以上。
由于Hash函数是需要传输的,传输1T比特显然太大,因此对1T比特的原文数据进行切割,每次处理m=108比特大小的数据块,共有104个数据块。发生碰撞的可能性小于m/2n-1,假设对m=108比特的数据块来说,认为10-20是一个安全的阈值,即令108/2n-1<10-20,可以得到n>=95。1T比特的104个数据块均使用该Hash函数,其碰撞概率提升104倍,即10-16。假设认为10-16是一个可以接受的碰撞概率,那么可以取m=108,n=95。
考虑原文长度1T比特,这里取m=108,n=95,L=200为例子,即每个数据块大小为108,每个数据块最终形成的Hash信息长度为95比特,每个比特所需签名的长度根据前文的例子确定为200。A需要准备的签名数据量为:
(1)签名数据
每段数据块的签名数据需要4nL=4×95×200=76000比特,共有104个数据块,共计7.6×108比特。
(2)Hash函数
Hash函数需要的数据量为m+n-1=108+94。
因此根据计算,原文长度1T比特,在m=108,n=95,L=200的情况下所需要的数据量约为8.6×108比特,是原文长度的0.086%。而如果不做任何优化,每个比特需要4×200个签名比特,因此总共需要8×1014个比特。可见在这种情况下,本发明的数字签名所需数据量约为原始方案的106分之一。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (12)

1.一种无信任中心的量子数字签名方法,包括签名的分配阶段和验证阶段,其特征在于,所述分配阶段包括:
步骤a,发送方将原文分段,每一段都使用同一个Toeplitz矩阵进行运算,获得缩减后原文;
步骤b,发送方生成签名并分别向接收方和验证方发送,所述签名的数量根据缩减后原文的比特数计算得到;
步骤c,接收方和验证方相互交换部分拥有的签名;
所述验证阶段包括:
步骤d,发送方将原文以及步骤b生成的签名发送至接收方;
步骤e,接收方对原文进行运算获得缩减后原文,针对缩减后原文的每个比特,将步骤d接收到的签名与步骤c完成交换后所拥有的签名进行对比验证;
步骤f,验证通过后,接收方将原文以及步骤d接收到的签名发送至验证方进行验证。
2.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤a中,发送方对原文进行运算时采用摘要函数。
3.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤b中,采用量子随机数发生器生成的真随机数作为所述签名。
4.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤b中,生成签名时,缩减后原文的每个比特对应四个签名,每个比特的0、1值均对应两个不同的签名,并分别发送给接收方和验证方,签名的总长度根据每个比特所需的数据量乘以缩减后原文的比特数得到。
5.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤b中,发送方向接收方和验证方发送签名时,采用量子密钥加密签名后以密文方式发送;发送方与接收方之间,以及发送方与验证方之间的量子密钥对为预分配的量子密钥对或量子密钥分发生成的量子密钥对,其中预分配的量子密钥对由量子真随机数发生器生成,且经由存储设备拷贝至发送方与接收方或拷贝至发送方与验证方;量子密钥分发生成的量子密钥对由量子密钥分发设备生成,依据量子密钥分发协议将量子密钥对分发至发送方与接收方或分发至发送方与验证方。
6.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤c中,接收方和验证方针对每个签名,相互交换部分签名元素,每个签名包含多个比特,每个比特为一个签名元素,相互交换时接收方和验证方随机选择每个签名元素保留在本地或者发送给对方;
相互交换时接收方和验证方采用量子密钥加密交换的比特后以密文方式发送;接收方与验证方之间的量子密钥对为预分配的量子密钥对或量子密钥分发生成的量子密钥对,其中预分配的量子密钥对由量子真随机数发生器生成,且经由存储设备拷贝至接收方与验证方;其中量子密钥分发生成的量子密钥对由量子密钥分发设备生成,依据量子密钥分发协议将量子密钥对分发至接收方与验证方。
7.如权利要求6所述无信任中心的量子数字签名方法,其特征在于,步骤c中,针对每个签名,接收方和验证方相互交换的部分的比特数为A,且满足L(1/2-r)≤A≤L(1/2+r);L为签名长度,r为阈值参数且0<r<1/2;如比特数不满足此要求,则重复执行步骤c,直到满足此要求;或直到因执行步骤c次数太多导致签名分配失败,流程退出。
8.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤d中,发送方将用于生成缩减后原文的算法发送至接收方,步骤e中,接收方采用与发送方相同算法对原文进行运算获得缩减后原文;步骤f中,接收方将来自发送方的用于生成缩减后原文的算法发送至验证方,验证方采用该算法对原文进行运算获得缩减后原文。
9.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤e中,接收方将步骤d接收到的签名按照缩减后原文的比特数进行划分,划分后逐一与所拥有的签名的对应部分进行对比验证;步骤f中,验证方将接收到的签名按照缩减后原文的比特数进行划分,划分后逐一与所拥有的签名的对应部分进行对比验证。
10.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤b生成的签名包括发送至接收方的第一签名以及发送给验证方的第二签名,而在步骤d中,发送方将第一签名以及第二签名均发送至接收方;
步骤c中,接收方和验证方相互交换部分签名元素,接收方的第一签名经部分交换后得到第三签名,接收方从验证方获得的所有签名元素记为第四签名;
验证方的第二签名经部分交换后得到第五签名,验证方从接收方获得的所有签名元素记为第六签名。
11.如权利要求10所述无信任中心的量子数字签名方法,其特征在于,步骤e中,接收方进行签名验证时的通过条件为:
在步骤d中接收的第一签名与拥有的第三签名一致,在步骤d中接收的第二签名与拥有的第四签名一致;
验证通过后接收方将在步骤d中接收的第一签名与第二签名发送至验证方,步骤f中,验证方进行签名验证时的通过条件为:
在步骤f中接收的第一签名与拥有的第六签名一致;且
在步骤f中接收的第二签名与拥有的第五签名之间的差异比特数小于sL,其中s是签名验证的阈值,满足1/2>s>0。
12.如权利要求1所述无信任中心的量子数字签名方法,其特征在于,步骤e中,如果接收方数字签名验证未通过,则数字签名流程退出,不需要再执行步骤f。
CN201610997230.9A 2016-11-11 2016-11-11 一种无信任中心的量子数字签名方法 Active CN106452791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610997230.9A CN106452791B (zh) 2016-11-11 2016-11-11 一种无信任中心的量子数字签名方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610997230.9A CN106452791B (zh) 2016-11-11 2016-11-11 一种无信任中心的量子数字签名方法

Publications (2)

Publication Number Publication Date
CN106452791A CN106452791A (zh) 2017-02-22
CN106452791B true CN106452791B (zh) 2020-01-31

Family

ID=58207661

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610997230.9A Active CN106452791B (zh) 2016-11-11 2016-11-11 一种无信任中心的量子数字签名方法

Country Status (1)

Country Link
CN (1) CN106452791B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL424144A1 (pl) * 2017-12-30 2019-07-01 Compsecur Spółka Z Ograniczoną Odpowiedzialnością Kwantowy splątaniowy podpis cyfrowy
CN108777614B (zh) * 2018-07-05 2023-08-18 清华大学 一种加解密装置和基于通用散列函数的加解密方法
CN110086614B (zh) * 2019-05-05 2023-03-21 南京邮电大学 一种使用标记单光子源的量子数字签名方法
CN110493010B (zh) 2019-09-24 2022-03-15 南京邮电大学 基于量子数字签名的邮件系统的邮件收发方法
CN113132094B (zh) * 2019-12-31 2022-08-26 科大国盾量子技术股份有限公司 去中心化数字认证方法及系统
CN113297633B (zh) * 2021-07-26 2021-11-02 南京大学 一种量子数字签名方法
CN114124388B (zh) * 2022-01-27 2022-05-10 济南量子技术研究院 一种基于量子密钥的Gossip协议同步方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4740926B2 (ja) * 2007-11-27 2011-08-03 フェリカネットワークス株式会社 サービス提供システム、サービス提供サーバ、及び情報端末装置
CN101753612B (zh) * 2008-12-16 2012-09-12 深圳市科陆电子科技股份有限公司 一种用无功补偿装置对电网进行远程监测的系统及方法
CN101694724A (zh) * 2009-10-21 2010-04-14 重庆大学 在数码相机jpeg图像中嵌入gps信息并确保图像安全的方法
CN102118249B (zh) * 2010-12-22 2014-04-30 厦门柏事特信息科技有限公司 一种基于数字摘要和数字签名的拍照取证方法
WO2015048783A1 (en) * 2013-09-30 2015-04-02 Nordholt, Jane, E. Quantum-secured communications overlay for optical fiber communications networks

Also Published As

Publication number Publication date
CN106452791A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106452791B (zh) 一种无信任中心的量子数字签名方法
CN109559122A (zh) 区块链数据传输方法及区块链数据传输系统
CN100576789C (zh) 用于数据处理系统的有效加密和认证
CN111342976B (zh) 一种可验证的理想格上门限代理重加密方法及系统
CN106452790B (zh) 一种无信任中心的多方量子数字签名方法
CN109104271B (zh) 一种数字签名的方法、装置和系统
KR102028092B1 (ko) 신뢰 양자 서명 장치 및 방법
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
CN111769938B (zh) 一种区块链传感器的密钥管理系统、数据验证系统
KR102011043B1 (ko) 양자 키 분배 기반 디지털 서명 방법 및 이를 수행하는 시스템
CN110336673B (zh) 一种基于隐私保护的区块链设计方法
CN110011995A (zh) 多播通信中的加密和解密方法及装置
Koko et al. Comparison of Various Encryption Algorithms and Techniques for improving secured data Communication
US20100005307A1 (en) Secure approach to send data from one system to another
Kumar et al. A survey on current key issues and status in cryptography
CN113779645A (zh) 一种量子数字签名和量子数字签密方法
CN104967518A (zh) 一种提高信息传输安全性的方法
CN114065249A (zh) 一种认证加密方法
CN110932863B (zh) 一种基于编码的广义签密方法
WO2018047120A1 (en) A system and method for data block modification detection and authentication codes
CN111683061A (zh) 基于区块链的物联网设备访问控制方法及装置
CN111800784A (zh) 基于云计算的区块链云服务系统
CN111131311A (zh) 基于区块链的数据传输方法及区块链节点
CN107317667B (zh) 一种身份证件丢失的预警方法及预警装置
Sharma et al. Cryptography Algorithms and approaches used for data security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant