CN107395367B - 一种基于量子密钥的群签名系统 - Google Patents

Abstract

一种基于量子密钥的群签名系统，包括量子密钥生成器、签名密钥、量子群密钥生成器、群密钥、量子群签名模块、群签名、量子群签名验证模块；量子密钥生成器，是一种由激光光源产生的量子序列装置，用于形成新加入的群成员与群管理者的共享密钥；量子群密钥，根据量子群密钥成生器产生的量子态序列，由管理者颁发给群成员签名时加密使用，根据每次业务往来的不同而产生不同的序列；所述量子群签名模块，用于群成员对消息和签名进行量子加密。本发明带来有显著益处是，通过量子密钥的分配和测量来进行身份的确定，在提高安全性的同时，效率也更高，增加和删除群成员快捷，更适合复杂的群签名环境，具有不可关联性和抗联合攻击性，能够实现多个群成员的联合签名。

Description

一种基于量子密钥的群签名系统

技术领域

本发明涉及密码学，群签名和量子加密领域，具体说是一种基于量子密钥的群签名系统。

背景技术

随着计算机和通信技术的快速发展，通过网络通信和交换信息的人数在不断的增加，信息的传输安全和身份的有效识别变得尤为重要。为及时解决这一类问题，数字签名便应运而生，推动了通信技术和电子政务等的快速发展。

所谓数字签名，是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。只要加密的方法良好，则签名在传输的过程中很难被破译和篡改。数字签名体系可分为两部分：一是发送方的签名部分，发送方用自己的私钥对消息进行签名，二是接收方对签名的认证部分，接收方用发送方的公钥对签名进行认证。群签名，即群数字签名，在一个群签名方案中，一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。与其他数字签名一样，群签名是可以公开验证的，而且可以只用单个群公钥来验证。群签名的应用则主要是在公用资源的管理方面，如军事情报的签发，领导人的选举，电子商务重要新闻的发布，金融合同的签署等事务中，群签名都可以发挥重要作用。

就目前的群签名系统来说，都存在一些缺陷：

一、现有的群签名方案的效率比较低。现有的群签名和群公钥的长度依赖于群的大小，如果要保证群签名的安全性，往往需要一定长度的群签名和群公钥，随着群的增大，群签名和群公钥的位数也明显增长，这会导致签名过程及打开操作的运算量明显增大，导致群签名的效率降低。

二、现有的群签名方案，难以适应群成员的动态变化。现有的群签名方案是依赖整个群的大小和参数的，因此增加新成员需要重新设置整个系统，或者更改所有成员的签名密钥或群公钥，同样，群成员的退出或废除群成员，也需要更改所有的成员的签名密钥以及改变群的公钥。

三、现有的群签名方案基于经典的算法，安全性受到挑战。对于目前提供的经典的群加密或群签名算法，主要是基于现有计算机的运算能力有限、或者现有的计算机在有限时间内难以破解来进行的，增加群签名安全性的方法往往就是增加密钥的长度，来增加破解的难度，因为经典计算机随着计算规模的增大，计算量会呈现指数型增长，但是这种单纯的增加密钥长度的方式在量子算法面前显的不堪一击，如公钥加密算法RSA，数据加密标准DES等都受到了巨大的挑战。

四、现有的技术很难适应复杂群签名环境的需要。比如现有的群签名方案很难抵抗联合攻击或合谋攻击。对群签名的联合攻击或合谋攻击通常是群中的几个合法群成员联合起来进行的，他们能够利用其合法的身份信息伪造群签名，而且在现有的群签名方案中，这种伪造很难被群管理者发现。

五、现有技术难以实现多个群成员的联合签名。如果要实现两个以个或多个群成员的签名，现有技术往往需要增加两个或多个群成员的密钥，一方面导致群签名算法复杂，打开操作耗时，另一方面也容易造成群成员密钥的泄露，导致群签名安全威胁等问题。

随着量子计算机和量子计算的不断发展和运用，当前的群签名方案面临很大的安全威胁，但是同时，量子计算和量子加密也给群签名提供了一种改进的思路，有可能产生一种更加安全的群签名方案，然而目前的市场上很少有基于量子密钥的群签名系统。

发明内容

为了克服现有的群签名方案中的缺陷，本发明提供了一种基于量子密钥的群签名系统，通过量子密钥来建立签名者与认证者之间的通信，来判断有无窃听者和信息的安全传输。

本发明采取的技术方案为：

该系统包括：量子密钥生成器、签名密钥、量子群密钥生成器、群密钥、量子群签名模块、群签名、量子群签名验证模块；

所述量子密钥生成器，是一种由激光光源产生的量子序列装置，用于形成群管理者CA与新加入的群成员Alice的共享密钥K_CA；

所述签名密钥，是由群管理者CA根据量子安全直接通信所创建的一种量子序列密钥，对外不公开，为群管理者CA与群成员Alice的共享密钥K_CA，用于验证群成员Alice的有效身份，并用于加密消息M和签名S_A；

所述量子群密钥成生器，是一种由激光光源产生的量子序列装置，用于形成群成员Alice与群成员Bob之间的业务共享密钥K_AB，协助Alice与Bob双方完成每次业务对消息M的签名S_A和加密、及验证；

所述群密钥，根据量子群密钥成生器产生的量子态序列K_AB，由管理者颁发给群成员Alice与群成员Bob，优选地，根据每次业务往来的不同而产生不同的序列，业务编码为B_N；

所述量子群签名模块，用于群成员Alice对消息M和签名S_A进行加密，进一步地，与群密钥K_AB结合，完成群成员Alice与群成员Bob之间的不同业务编码B_N，业务消息M，签名S_A和加密、及验证；

所述群签名，是群成员Alice由量子群签名模块之后对消息M签名后的量子加密，形成量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，群成员Alice将加密的群签名结果都编码为经典比特E_AB{B_N，M，S_A}，并发送到群公告栏，完成经典比特的签名消息传输，同时保护发布者Alice的身份；

所述量子群签名验证模块，用于验证者群成员Bob验证消息和签名的有效性，从群签名公告栏获取加密后的群签名经典比特串E_AB{B_N，M，S_A}，并选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}，之后选择合适的量子测量基对其测量和判断有效性。

所述量子密钥生成器，准群成员Alice申请加入群之后，群管理者CA通过此激光源来产生一定长度的量子序列，用于形成群管理者CA与新加入的群成员Alice的共享密钥K_CA，可以用于确认群成员Alice的身份，并用于签名和验证；优选地，量子密钥生成器只有群管理者CA有权利用；优选地，新的群成员Alice申请加入群时，由群管理者CA审核，审核通过后群管理者CA才使用量子密钥生成器为其生成一个共享密钥K_CA；优选地，量子密钥生成器由激光源、分束器、编码模块、光子探测器组成，用于生成量子序列及其编码；

所述签名密钥，为群管理者CA与群成员Alice的共享量子序列密钥K_CA，并用于解密群管理者的签名任务消息，以便加密消息M和签名S_A；进一步地，和群密钥(104)配套使用，完成对消息M签名后的量子加密，以及验证签名的有效性；

所述量子群密钥成生器，用于群成员Alice与群成员Bob每次业务发送消息和签名使用；优选地，量子群密钥成生器只有群管理者CA有权利用；优选地，群成员Alice与群成员Bob每次业务发送消息和签名时，由群管理者CA审核，审核通过后才使用量子群密钥成生器(103)为其生成一个群成员Alice与群成员Bob的共享密钥K_AB；

所述群密钥，为每次业务时使用，为量子群密钥成生器产生的量子态序列K_AB，用于群成员Alice与群成员Bob每次业务发送消息和签名使用；优选地，群密钥(104)根据每次业务的不同生成不同的共享密钥K_AB；优选地，利用激光源来产生量子序列，将此量子序列颁发给授权的群成员；

所述量子群签名模块，需要群成员Alice签名前，群成员Alice向群管理者CA发出申请；进一步地，群管理者CA审核群成员Alice的身份和签名请求，并审核群成员Bob的合法身份，如果均合法，则将签名请求通知群成员Bob；进一步地，群成员Bob对本次业务编码为B_N，并选择合适的测量基测量量子序列|ψ〉，并将加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送群管理者CA；进一步地，群管理者CA用K_CB解密，并选择合适的测量基测量量子序列|ψ〉，如果误差小于预定范围，则批准本次群签名申请；进一步地，使用量子群密钥成生器为群成员Alice与群成员Bob每次业务产生不同的群密钥K_AB，并将加密后量子比特串E_CA{|B_N〉，|ψ〉}发送给群成员Alice；进一步地，群成员Alice收到群管理者CA发送过来的加密后量子比特串E_CA{|B_N〉，|ψ〉}，使用密钥K_CA解密，用S_A签名后，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，将加密后的群签名通过约定好的转换函数转换为经典比特串E_AB{B_N，M，S_A}，并公布于群签名公告栏；

所述群签名，为每次业务时使用，用于群成员Alice对每次的业务编号B_N，消息M，以及对自己的签名S_A进行加密，形成量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，转换为经典态E_AB{B_N，M，S_A}，所有的群签名都在群公告栏中；

所述量子群签名验证模块，用于验证者群成员Bob从群签名公告栏上获取群签名经典比特串E_AB{B_N，M，S_A}，可以选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，验证者群成员Bob通过签名密钥K_AB对量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}进行解密，并进行测量和比较；进一步地，如果比较结果误差小于一定的阈值，就可以认可群成员Alice的签名S_A为消息M的有效签名，认同本次业务，否则予以拒绝。

一种基于量子密钥的群签名方法，包括：加入，签名，验证三个主要步骤；

加入步骤：分为三个子步骤，首先，即为新的群成员Alice申请加入本群，由群管理者CA进行审核；其次，群管理者CA对新的群成员Alice审核通过后，为其分配一个由经典比特组成的ID_A，同时通过量子密钥生成器来产生群管理者CA与新加入的群成员Alice的共享密钥K_CA；进一步地，群管理者CA可以使用群证书；再次，群管理者CA与新的群成员Alice约定量子密钥转换函数；

进一步地，没有群成员的加入步骤即为创建群的步骤：群管理者CA根据量子密钥生成器来创建自己的签名密钥和群密钥，签名密钥为管理员所拥有，群密钥对授权的群成员公开，群管理者CA签名密钥和群密钥创建完成，标志着群的创建已完成；

签名步骤：分为六个子步骤，首先，需要群成员Alice签名前，群成员Alice向群管理者CA发出申请；其次，群管理者CA审核群成员Alice的身份和签名请求，并审核群成员Bob的合法身份，如果均合法，则将签名请求通知群成员Bob；再次，群成员Bob对本次业务编码为B_N，并选择合适的测量基测量量子序列|ψ〉，并将加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送群管理者CA；之后，群管理者CA用K_CB解密，并选择合适的测量基测量量子序列|ψ〉，如果误差小于预定范围，则批准本次群签名申请；之后，使用量子群密钥成生器为群成员Alice与群成员Bob每次业务产生不同的群密钥K_AB，并将加密后量子比特串E_CA{|B_N〉，|ψ〉}发送给群成员Alice；之后，群成员Alice收到群管理者CA发送过来的加密后量子比特串E_CA{|B_N〉，|ψ〉}，使用密钥K_CA解密，用S_A签名后，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；最后，将加密后的群签名通过约定好的转换函数转换为经典比特串E_AB{B_N，M，S_A}，并公布于群签名公告栏；

验证步骤：分为三个子步骤，首先，验证者群成员Bob从群签名公告栏上获取群签名经典比特串E_AB{B_N，M，S_A}，可以选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；其次，验证者群成员Bob通过签名密钥K_AB对量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}进行解密，并进行测量和比较；最后，如果比较结果误差小于一定的阈值，就可以认可群成员Alice的签名S_A为消息M的有效签名，认同本次业务，否则予以拒绝。

本发明一种基于量子密钥的群签名系统，其优点在于：

一，本发明所述方案在安全性更高的同时，效率也更高。本发明所述群签名方案采用基于激光源的量子密钥，长度与群大小无关，在签名和验证的过程中，都要进行量子加密、解密、量子测量和匹配，因此安全性更高，每次业务往来使用的群密钥均不相同，理论上保证了群签名过程中的绝对安全性，由于量子计算的高效性，在签名和验证的过程中，计算效率也更高，既适合很大的群，也适合很小的群。

二，本发明所述群签名过程简单，增加和删除群成员快捷。本发明所述群签名方案中群公钥并不依赖于群成员的数量和具体身份，因此增加和删除群成员快捷，不影响签名和密钥的使用，减少的问题的产生，签名和密钥计算量不大，签名者和验证者只需进行少量的计算便可得出签名和验证，更适合群成员动态变化的场合。

三，本发明所述的群签名方案是通过量子密钥的分配和测量来进行身份的确定，安全性有别于经典的群签名方案。本发明所述群签名方案的安全性保证是基于量子测量和匹配，量子群密钥的使用采用一次一密的加密算法，不可破解，确保了签名为有效群成员所签署，签名密钥和群密钥的配套使用保证了签名是有效的。

四，本发明所述的群签名方案更适合复杂的群签名环境。该方法将量子密钥引入到业务编号B_N，消息M、群签名S_A密钥和群密钥K_AB中，采用的是一次一密加密算法得到加密的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}，具有不可关联性和抗联合攻击性。本发明签名方案在不打开群签名的情况下，即使是群管理者也无法知晓消息M的内容，做到了不可关联性，理论上杜绝了任意两个群成员对群签名的联合攻击。

五，本发明所述的群签名方案能够实现多个群成员的联合签名。本发明所述的群签名方案具有很好地匿名性，保护了签名者的签名密钥，群管理者和业务双方可以验证该签名是否来自于有效群成员，并不知晓签名者的具体密钥。对于本发明系统而言，如果两个以上群成员需要对某项业务消息M进行多方签名，只需要申请、审核、轮流签名、验证、再签名，便可以完成，可以完成类似于双方合同、三方合同等的联合签名。

附图说明

图1为本发明的群签名系统结构图。

图2为本发明的量子密钥产生器的结构示意图。

图3为本发明的方法流程图。

具体实施方式

如图1所示，一种基于量子密钥的群签名方法与系统，包括：量子密钥生成器101、签名密钥102、量子群密钥生成器103、群密钥104、量子群签名模块105、群签名106、量子群签名验证模块107。

所述量子密钥生成器101，是一种由激光光源产生的量子序列装置，优选地，由激光源、分束器、编码模块、光子探测器组成，用于生成量子序列及其编码；进一步地，群管理者CA将量子序列通过分束器将光子分为两份，并通过分束器将光子发送给群管理者CA和群成员Alice，用于形成群管理者CA与新加入的群成员Alice的共享密钥K_CA；同样的，群成员Bob加入群的时候，也形成群管理者CA与新加入的群成员Bob的共享密钥K_CB；

所述签名密钥102，为群管理者CA与群成员Alice的量子序列共享密钥K_CA，用于解密群管理者的签名任务消息，以便加密消息M和签名S_A；进一步地，和群密钥104配套使用，完成对消息M签名后的加密，形成加密的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；记载了由量子密钥生成器103所产生的量子态编码和量子序列，量子态编码唯一的标识了群成员的身份，也是成员是否为有效群成员的证明。

进一步地，群管理者CA与群成员Alice分别制备N对Bell量子态序列

量子态|ψ>_C1C2属于群管理者CA，分别为第1和第2量子比特串；量子态|ψ>_A1A2属于群成员Alice，分别为第1和第2量子比特串；

进一步地，群管理者CA与群成员Alice制备的量子态序列满足条件

|a|²+|b|²＝1

进一步地，不同的群测量方法可以有所不同，但是本群所有成员遵循共同的测量方法，并且群成员可知。根据不同的测量方法，比如激光的不同相位角，可以定义两组不同的测量基，并有如下关系

群管理者CA选取一部分的量子序列，根据不同的测量方法，比如激光的不同相位角测量此量子序列，测量完毕后，群管理者CA将选取测量的基发送给Alice，Alice将群管理者CA发来的测量基与自己手中的测量基进行对比，选取相同的部分，由Alice确定相同部分的长度，长度与量子序列群证书编码相同长度，确定后告知群管理者CA哪些测量基应该留下，群管理者CA用留下的测量基测量剩余的量子序列，并将测量后的量子序列经过量子信道发送给Alice，进一步的，Alice将收到的量子序列和自己手中经过密钥比特串测量过的量子序列进行比较，在误差小于一定阈值的情况下，将密钥比特串确定为Alice和CA的共享密钥K_CA。

进一步地，群管理者CA可以使用所述签名密钥102生成群成员Alice身份标志，优选地，群管理者CA可以使用群证书，记载群成员Alice的身份识别号ID_A和共享密钥K_CA，通过群证书识别群成员身份的有效性；共享密钥K_CA和群证书有群管理者CA与群成员Alice知道；

所述量子群密钥成生器103，是一种由激光光源产生的量子序列装置，用于形成群成员Alice与群成员Bob之间的业务共享密钥K_AB，协助Alice与Bob双方完成每次业务对消息M的签名S_A和加密、及验证；优选地，由激光源、分束器、编码模块、光子探测器组成，用于生成量子序列及其编码；进一步地，群管理者CA将量子序列通过分束器将光子分为两份，并通过分束器将光子发送给群成员Alice和群成员Bob，用于形成群成员Alice与群成员Bob之间的共享密钥K_AB；

进一步地，所述量子群密钥成生器103，用于群成员Alice与群成员Bob每次业务发送消息和签名使用；优选地，量子群密钥成生器103只有群管理者CA有权利用；优选地，群成员Alice与群成员Bob每次业务发送消息和签名时，由群管理者CA审核，审核通过后才使用量子群密钥成生器103为其生成一个共享密钥K_AB；

所述群密钥104，根据量子群密钥成生器103产生的量子态序列K_AB，由管理者颁发给群成员Alice与群成员Bob，根据每次业务往来的不同而产生不同的序列；优选地，利用激光源来产生量子序列，将此量子序列颁发给授权群成员；

进一步地，在某次业务中，如果需要群成员Alice对群成员Bob进行签名，群成员Alice必须先向群管理者CA发出业务签名请求，由群管理者CA审核业务双方的合法性、业务的合法性，并通知群成员Bob，从而在群成员Alice与群成员Bob之间建立起业务签名联系；

进一步地，群管理者CA与群成员Bob分别制备N对Bell量子态序列

量子态|ψ>_C1C2属于群管理者CA，分别为第1和第2量子比特串，量子态|ψ>_B1B2属于群成员Bob，分别为第1和第2量子比特串；

进一步地，群管理者CA与群成员Bob制备的量子态序列满足条件

|a|²+|b|²＝1

进一步地，不同的群测量方法可以有所不同，但是本群所有成员遵循共同的测量方法，并且授权的群成员可知。根据不同的测量方法，比如激光的不同相位角，可以定义两组不同的测量基，并有如下关系

进一步地，在某次业务审核中，群管理者CA通知群成员Bob，群成员Bob选取一部分的量子序列，根据不同的测量方法，比如激光的不同相位角测量此量子序列，测量完毕后，群成员Bob将选取测量的基，和加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送给群管理者CA审核；进一步的，群管理者CA将收到的量子序列和自己手中经过密钥比特串测量过的量子序列进行比较，在误差小于一定阈值的情况下，确认群成员Bob的合法性，从而提高系统防伪造攻击的能力，以及防合谋攻击的能力。

所述量子群签名模块105，用于群成员Alice对消息M和签名S_A进行申请，进一步地，用S_A签名后，使用群密钥K_AB进行量子加密，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}完成群成员Alice与群成员Bob之间的不同业务消息M的签名S_A和加密、及验证；

进一步地，群管理者CA收到群成员的Bob的审核信息后，进行解密，并对结果进行Bell测量，群管理者CA解密后将群成员Bob发来的测量基与自己手中的测量基进行对比，选取相同的部分，由群管理者CA确定相同部分的长度，长度与量子序列群证书编码相同长度，确定后告知群成员Bob哪些测量基应该留下，群成员Bob用留下的测量基测量剩余的量子序列，并将测量后的量子序列经过量子信道发送给群管理者CA；进一步地，将生成的共享群密钥K_AB转换成量子比特发送给群成员Alice；

进一步地，群成员Alice将消息M中的n位比特串，M＝{m(1)，m(2)，...m(i)，...m(n)}(i＝1,2,...n)，转化量子态

转换后的量子态M和群成员Alice签名S_A，使用量子态共享群密钥K_AB进行加密，优选地，加密算法为E²(一次一密加密算法)，具体公式为

将加密后得到的量子态|S’_A〉

|S’_A〉＝E_AB{|M〉，|S_A〉，|K_AB〉}

进一步地，群成员Alice将加密的E_AB{M，S_A，K_AB}都编码为经典比特，并发送到群公告栏，完成经典比特的签名消息传输，同时保护发布者Alice的身份，因为群公告栏不能被群管理者CA，或群成员Alice与群成员Bob，或其他群成员完全控制，也减少了合谋攻击的可能。

所述量子群签名验证模块107，用于验证者群成员Bob验证消息和签名的有效性，群成员Bob从群签名公告栏获取消息M和加密后的签名，并利用约定的量子测量规则恢复为量子态，得到加密后得到的量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；

进一步地，群成员Bob可以获取群公钥K_AB，利用其解密群签名量子态序列E_AB{|B_N〉，|M〉，|S_A〉}，可以获得|B_N〉，|M〉，|S_A〉；

进一步地，群成员Bob可以选择不同的测量基测量签名|B_N〉的信息，使用自已的签名密钥K_CB进行相应的Pauli操作恢复出消息M，并不断测量和判断|B_N〉的有效性；优选地，将测量结果发至群管理者CA，群管理者CA确认群成员Bob有效性后，也公布测量结果；

进一步地，如果发现测量结果是有效的，就可以认可群成员Alice的签名S_A为消息M的有效签名，群成员Alice和群成员Bob认同本次业务。

如图2所示，为本发明实例提供的一种基于量子密钥的群签名系统的量子密钥生成器103的模块示意图，包括激光源、分束器、编码模块、光子探测器。

该模块在激光源后有四个检偏元件及线性光探测器，能够测量出不同的激光偏振态，并将检测结果通过四个电平输出形成偏振态矩阵。因为根据BB84协议，QKD需要四个偏振态，通常是H/V和Q/R两个互相成45°。发送方(群成员或群管理者)随机制备任意一个偏振态脉冲(可以是H、V、Q和R)，发送给接收者。同样，接收者也有两个偏振测量基H/V和Q/R，50/50的分束器可以激光脉冲通过时随机选择测量基，并且测量基前面各有一个电动偏振控制器，控制器能够受到计算机控制以便完成所需的偏振反馈补偿。

激光源，优选地，使用光纤耦合偏振纠缠光子源，含准直模块和辅助低功率激光模块，单一计数率>50kHz，符合计数率>5kHz，纠缠质量>88％，工作波长810nm，泵浦激光功率>100mW，相位匹配TyPe I and TyPe II，以及配套的集成符合逻辑单元的三通道计数器，控制和读出电路模块。

分束器，优选地，使用偏振相关分束器，将不同偏振态的入射光分成不同的方向。这些光学元件可以分为拼板分束器和立方分束器；进一步地，分束立方还可以预安装在笼式立方里，用来兼容笼式系统。

编码模块，优选地，使用诱骗态编码模块，从而满足群签名诱骗态方案的要求，便于实现相干光源的偏振态编码的长距离QKD。优选地，每个测量基之前有一个电动偏振控制器。优选地，使用高速电动偏振控制器，可以实时地控制任意输入偏振态到想要得到的偏振态，不需要复位，大于100Hz的响应速度，可以确保偏振控制器能够很好地控制偏振态补偿外部温度、应力的影响；+12v的直流电压提供给偏振控制器内部的光纤挤压装置，该装置会对光纤产生超过25n的应力，足可以使偏振态在360度的范围内变化。高速电动偏振控制模块内部的3个光纤挤压装置分别和相邻的光纤挤压装置有45度角的偏差，第4个光纤挤压装置用来做实时补偿控制，从而避免因为达到控制极限造成的需要重新复位的情况。

光子探测器，优选地，为单光子探测器，所探测的光的光电流强度比光电检测器本身在室温下的热噪声水平(10^-14W)还要低，量子效率≥90％，时间抖动≤45ps(20ps onrequest)，暗计数≤10cps(0.01cps on request)，光谱范围0.6÷2.3μm，无后脉冲，光纤耦合，连续模式，探测通道数1-8，光纤类型SMF-28e，原始输出电压≤150mV，输出信号类型：TTL/ECL/LVDS，驱动接口：USB/LabVIEW。

如图3所示，为本发明的群签名方法流程图。

一种基于量子密钥的群签名方法，包括：加入，签名，验证三个主要步骤；

加入步骤：分为三个子步骤，

加入子步骤一：首先，即为新的群成员Alice申请加入本群，由群管理者CA进行审核；

加入子步骤二：其次，群管理者CA对新的群成员Alice审核通过后，为其分配一个由经典比特组成的ID_A，以识别其身份，同时通过量子密钥生成器来产生群管理者CA与新加入的群成员Alice的共享密钥K_CA，ID_A和K_CA的生成标志群成员的加入成功；进一步地，群管理者CA可以使用群证书，记载群成员Alice的身份识别号ID_A和共享密钥K_CA，通过群证书识别群成员身份的有效性；

加入子步骤三：再次，群管理者CA与新的群成员Alice约定量子密钥转换函数，实现量子比特与经典比特的转换；优选地，不同的群成员可以和群管理者CA约定不同的量子密钥转换函数，以及每次业务使用的转换函数；

进一步地，没有群成员的加入步骤，即为创建群的步骤：群管理者CA为自己的群创建一个由经典比特组成的群识别号ID_G，以及对自己创建一个由经典比特组成的群身份号ID_C；进一步地，根据量子密钥生成器来创建自己的量子序列签名密钥，签名密钥为群管理者所拥有，群管理者CA群识别号，群身份号和签名密钥创建完成，标志着群的创建已完成；进一步地，群管理者CA可以使用群证书，记载群管理者CA身份识别号和密钥，通过群证书识别群管理者CA身份的有效性；

签名步骤：分为六个子步骤，

签名子步骤一：首先，群成员Alice与群成员Bob在一项业务发送消息M时，需要群成员Alice签名，签名前群成员Alice向群管理者CA发出申请；

签名子步骤二：其次，群管理者CA审核群成员Alice的身份和签名请求，如果群成员Alice身份合法，并且群签名请求合法，进一步地，则审核群成员Bob的合法身份，如果群成员Bob身份合法，则将签名请求通知群成员Bob；

签名子步骤三：再次，群成员Bob对本次业务编码为B_N，并选择合适的测量基测量量子序列|ψ〉，并将加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送群管理者CA；

签名子步骤四：之后，群管理者CA用K_CB解密，得到业务编号|B_N〉和|ψ〉，并选择合适的测量基测量量子序列|ψ〉，如果误差小于预定范围，则批准本次群签名申请，则否则不予批准；批准之后，使用量子群密钥成生器为群成员Alice与群成员Bob每次业务产生不同的群密钥K_AB，并公布于授权群成员，同时将加密后量子比特串E_CA{|B_N〉，|ψ〉}发送给群成员Alice；

签名子步骤五：之后，群成员Alice收到群管理者CA发送过来的加密后量子比特串E_CA{|B_N〉，|ψ〉}，使用密钥K_CA解密，得到业务编号|B_N〉和|ψ〉，并选择合适的测量基测量量子序列|ψ〉，符合要求后，使用签名S_A对消息M签名，并将消息M，业务编号B_N，签名S_A，利用群密钥K_AB进行加密，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；

签名子步骤之六：最后，将加密后的群签名通过约定好的转换函数转换为经典比特串E_AB{B_N，M，S_A}，并公布于群签名公告栏，同时保证身份的匿名性；

验证步骤：分为三个子步骤，

验证子步骤一，首先，验证者群成员Bob从群签名公告栏上获取群签名经典比特串E_AB{B_N，M，S_A}，可以选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；

验证子步骤二，其次，验证者群成员Bob通过签名密钥K_AB对量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}进行解密，并且将恢复后的量子比特串|B_N〉与之前的业务编号进行测量和比较；

验证子步骤三，最后，如果量子比特串|B_N〉比较结果误差小于一定的阈值，则认为签名是有效的，就可以认可群成员Alice的签名S_A为消息M的有效签名，认同本次业务，否则予以拒绝。

Claims (8)

1.一种基于量子密钥的群签名系统，其特征在于该系统包括：量子密钥生成器(101)、签名密钥(102)、量子群密钥生成器(103)、群密钥(104)、量子群签名模块(105)、群签名(106)、量子群签名验证模块(107)；

所述量子密钥生成器(101)，是一种由激光光源产生的量子序列装置，用于形成群管理者CA与新加入的群成员Alice的共享密钥K_CA；

所述签名密钥(102)，是由群管理者CA根据量子安全直接通信所创建的一种量子序列密钥，对外不公开，为群管理者CA与群成员Alice的共享密钥K_CA，用于验证群成员Alice的有效身份，并用于加密消息M和签名S_A；

所述量子群密钥成生器(103)，是一种由激光光源产生的量子序列装置，用于形成群成员Alice与群成员Bob之间的业务共享密钥K_AB，协助Alice与Bob双方完成每次业务对消息M的签名S_A和加密、及验证；

所述群密钥(104)，根据量子群密钥成生器(103)产生的量子态序列K_AB，由管理者颁发给群成员Alice与群成员Bob，根据每次业务往来的不同而产生不同的序列，业务编码为B_N；

所述量子群签名模块(105)，用于群成员Alice对消息M和签名S_A进行加密，进一步地，与群密钥K_AB结合，完成群成员Alice与群成员Bob之间的不同业务编码B_N，业务消息M，签名S_A和加密、及验证；

所述群签名(106)，是群成员Alice由量子群签名模块(105)之后对消息M签名后的量子加密，形成量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}；群成员Alice将加密的群签名结果都编码为经典比特E_AB{B_N，M，S_A}，并发送到群公告栏，完成经典比特的签名消息传输，同时保护发布者Alice的身份；

所述量子群签名验证模块(107)，用于验证者群成员Bob验证消息和签名的有效性，从群签名公告栏获取加密后的群签名经典比特串E_AB{B_N，M，S_A}，并选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}，之后选择合适的量子测量基对其测量和判断有效性；

群签名方法包括：加入，签名，验证三个主要步骤；

加入步骤：分为三个子步骤，首先，即为新的群成员Alice申请加入本群，由群管理者CA进行审核；其次，群管理者CA对新的群成员Alice审核通过后，为其分配一个由经典比特组成的ID_A，同时通过量子密钥生成器(101)来产生群管理者CA与新加入的群成员Alice的共享密钥K_CA；群管理者CA可以使用群证书；再次，群管理者CA与新的群成员Alice约定量子密钥转换函数；

没有群成员的加入步骤即为创建群的步骤：群管理者CA根据量子密钥生成器(101)来创建自己的签名密钥(102)和群密钥(104)，签名密钥(102)为管理员所拥有，群密钥(104)对授权的群成员公开，群管理者CA签名密钥(102)和群密钥(104)创建完成，标志着群的创建已完成；

签名步骤：分为六个子步骤，首先，需要群成员Alice签名前，群成员Alice向群管理者CA发出申请；其次，群管理者CA审核群成员Alice的身份和签名请求，并审核群成员Bob的合法身份，如果均合法，则将签名请求通知群成员Bob；再次，群成员Bob对本次业务编码为B_N，并选择合适的测量基测量量子序列|ψ〉，并将加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送群管理者CA；之后，群管理者CA用K_CB解密，并选择合适的测量基测量量子序列|ψ〉，如果误差小于预定范围，则批准本次群签名申请；之后，使用量子群密钥成生器(103)为群成员Alice与群成员Bob每次业务产生不同的群密钥K_AB，并将加密后量子比特串E_CA{|B_N〉，|ψ〉}发送给群成员Alice；之后，群成员Alice收到群管理者CA发送过来的加密后量子比特串E_CA{|B_N〉，|ψ〉}，使用密钥K_CA解密，用S_A签名后，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；最后，将加密后的群签名通过约定好的转换函数转换为经典比特串E_AB{B_N，M，S_A}，并公布于群签名公告栏；

验证步骤：分为三个子步骤，首先，验证者群成员Bob从群签名公告栏上获取群签名经典比特串E_AB{B_N，M，S_A}，可以选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；其次，验证者群成员Bob通过签名密钥K_AB对量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}进行解密，并进行测量和比较；最后，如果比较结果误差小于一定的阈值，就可以认可群成员Alice的签名S_A为消息M的有效签名，认同本次业务，否则予以拒绝。

2.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述量子密钥生成器(101)，准群成员Alice申请加入群之后，群管理者CA通过此激光源来产生一定长度的量子序列，用于形成群管理者CA与新加入的群成员Alice的共享密钥K_CA，可以用于确认群成员Alice的身份，并用于签名和验证；量子密钥生成器(101)只有群管理者CA有权利用；新的群成员Alice申请加入群时，由群管理者CA审核，审核通过后群管理者CA才使用量子密钥生成器(101)为其生成一个共享密钥K_CA；量子密钥生成器(101)由激光源、分束器、编码模块、光子探测器组成，用于生成量子序列及其编码。

3.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述签名密钥(102)，为群管理者CA与群成员Alice的共享量子序列密钥K_CA，并用于解密群管理者的签名任务消息，以便加密消息M和签名S_A；进一步地，和群密钥(104)配套使用，完成对消息M签名后的量子加密，以及验证签名的有效性。

4.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述量子群密钥成生器(103)，用于群成员Alice与群成员Bob每次业务发送消息和签名使用；量子群密钥成生器(103)只有群管理者CA有权利用；群成员Alice与群成员Bob每次业务发送消息和签名时，由群管理者CA审核，审核通过后才使用量子群密钥成生器(103)为其生成一个群成员Alice与群成员Bob的共享密钥K_AB。

5.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述群密钥(104)，为每次业务时使用，为量子群密钥成生器(103)产生的量子态序列K_AB，用于群成员Alice与群成员Bob每次业务发送消息和签名使用；群密钥(104)根据每次业务的不同生成不同的共享密钥K_AB；利用激光源来产生量子序列，将此量子序列颁发给授权的群成员。

6.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述量子群签名模块(105)，需要群成员Alice签名前，群成员Alice向群管理者CA发出申请；群管理者CA审核群成员Alice的身份和签名请求，并审核群成员Bob的合法身份，如果均合法，则将签名请求通知群成员Bob；群成员Bob对本次业务编码为B_N，并选择合适的测量基测量量子序列|ψ〉，并将加密后的量子比特串E_CB{|B_N〉，|ψ〉}发送群管理者CA；群管理者CA用K_CB解密，并选择合适的测量基测量量子序列|ψ〉，如果误差小于预定范围，则批准本次群签名申请；使用量子群密钥成生器为群成员Alice与群成员Bob每次业务产生不同的群密钥K_AB，并将加密后量子比特串E_CA{|B_N〉，|ψ〉}发送给群成员Alice；群成员Alice收到群管理者CA发送过来的加密后量子比特串E_CA{|B_N〉，|ψ〉}，使用密钥K_CA解密，用S_A签名后，得到加密后的量子比特串E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，将加密后的群签名通过约定好的转换函数转换为经典比特串E_AB{B_N，M，S_A}，并公布于群签名公告栏。

7.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述群签名(106)，为每次业务时使用，用于群成员Alice对每次的业务编号B_N，消息M，以及对自己的签名S_A进行加密，形成量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}；进一步地，转换为经典态E_AB{B_N，M，S_A}，所有的群签名都在群公告栏中。

8.根据权利要求1所述一种基于量子密钥的群签名系统，其特征在于：所述量子群签名验证模块(107)，用于验证者群成员Bob从群签名公告栏上获取群签名经典比特串E_AB{B_N，M，S_A}，可以选择约定的量子转换函数恢复量子态序列E_AB{|B_N〉，|M〉，|S_A〉}；验证者群成员Bob通过签名密钥K_AB对量子加密的群签名结果E_AB{|B_N〉，|M〉，|S_A〉}进行解密，并进行测量和比较；如果比较结果误差小于一定的阈值，就可以认可群成员Alice的签名S_A为消息M的有效签名，认同本次业务，否则予以拒绝。

Images