CN109039604B

CN109039604B - 一种被动式诱骗态量子数字签名方法

Info

Publication number: CN109039604B
Application number: CN201810894240.9A
Authority: CN
Inventors: 张春辉; 丁华健; 王琴; 张春梅
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2018-08-07
Filing date: 2018-08-07
Publication date: 2021-03-02
Anticipated expiration: 2038-08-07
Also published as: CN109039604A

Abstract

本发明提出一种被动式诱骗态量子数字签名方法，应用于量子数字签名系统中。在量子数字签名的密钥分发阶段，本发明利用参量下转换过程产生信号光和休闲光，信号光发送给接收端，休闲光用于本地探测。发送端的本地探测包含一个分束器(BS)和两个探测器(D1、D2)，休闲光经过分束器后触发两个探测器，产生四种不同的响应事件，记录并利用这四种不同的响应事件来构建新型被动式诱骗态方法，使得在满足给定安全性的条件下能够用于签名的密钥大大增加。我们使用单模标准商用光纤实现了超过200km的被动式诱骗态量子数字签名，最终的签名率高于之前的一些QDS系统。本发明方案首次将被动式诱骗态技术应用在量子数字签名系统中。

Description

一种被动式诱骗态量子数字签名方法

技术领域

本发明涉及量子通信中的量子数字签名技术领域，尤其是一种被动式诱骗态的量子数字签名方法。

背景技术

数字签名是最重要的密码协议之一，已经应用于多种场合，如软件分发，金融交易，电子合同等。经典的数字签名基于计算安全性，例如经典数字签名中运用的RSA算法就是依靠大整数分解的难度。然而，经典的数字签名易受到来自于算法上的突破和量子计算机的威胁。相比之下，基于量子力学理论，量子数字签名(QDS，Quantum DigitalSignature)旨在为合法用户(Alice，Bob和Charlie)提供信息论层面的安全性。第一个QDS协议由Gottesman和Chuang在2001年提出，它需要非破坏性的态比较，长时间的量子存储和安全的量子信道。此后，为了使QDS更加实用，主动式诱骗态方法被广泛使用，该方法利用声光调制器或电光调制器将光源调制成若干不同强度。然而，这种主动调节光强的方法可能会将信号态/诱骗态的信息泄漏给窃听者Eve。为了减少信息泄漏的可能性，可以使用基于参量下转换(PDC，Parametric-Down Conversion)光源的被动式诱骗态方法。但是以往的被动式诱骗态方法只有两种探测事件：触发事件(T)和非触发事件(N)。此外，作为本地检测的休闲光子不会受到调制损耗和信道损耗的影响，导致暗计数率的提高和最大计数率的限制。

发明内容

本发明目的在于针对上述现有技术的不足，提出了一种被动式诱骗态的量子数字签名方法，该方法应用于QDS传输系统中，经PDC过程产生标记单光子源，信号光发送给接收端，休闲光用于本地探测。发送端的本地探测包含一个分束器(BS，beam splitter)和两个探测器(D1、D2)，休闲光经过分束器后触发两个探测器，产生四种不同的响应事件，记录并利用这四种不同的响应事件对接收端接收的信号进行估计和处理，形成密钥进行签名。由于使用了新型被动式诱骗态方法，本发明可以在100公里处每7秒签名1bit以上消息，此外本发明可以实现200公里以上的签名距离，这说明被动式诱骗态QDS在实际应用中的可行性。

本发明解决其技术问题所采取的技术方案是：一种基于量子光源的被动式诱骗态量子数字签名实现方法，该方法主要包括分发阶段和信息阶段。分发阶段分别由Bob-Alice和Charlie-Alice使用密钥生成协议(KGP，Key Generation Protocol)产生比特串，其中Bob和Charlie分别向Alice发送量子态，Alice对接收到的量子态进行测量。消息阶段包括发送和签名经典信息，其中Alice是发送方，Bob和Charlie是接收方。

发明内容：为实现上述技术效果，本发明提出一种被动式诱骗态量子数字签名方法，该方法应用于QDS传输系统中，QDS传输系统中包括用户端Alice、Bob、Charlie；该方法包括分发阶段和信息阶段；

在分发阶段，用户端Bob、Charlie作为发送端，Alice作为接收端，分发阶段包括步骤：

(1)发送端Bob/Charlie使用PDC过程产生N个脉冲对，将每个脉冲对拆开，形成两束分别包含N个脉冲的光束，其中，一束为休闲光，另一束为信号光；

(2)将休闲光分为两束，这两束休闲光分别被设置于本地的两个探测器D₁、D₂收集；根据探测器的触发结果生成4个响应事件，分别记为X₁～X₄：

X₁：D₁、D₂都不响应；

X₂：D₁响应，D₂不响应；

X₃：D₂响应，D₁不响应；

X₄：D₁，D₂都响应；

定义

为事件X_i条件下的信号光，i＝1，2，3，4；当事件X_i发生时，信号光

被投影到光子数空间，光子数空间的密度矩阵

为：

其中，

表示光子数空间的密度矩阵，

表示事件X_i发生时信号态的光子数分布；

其中，d₁、d₂分别表示休闲光投射到真空态上时D₁、D₂响应的概率，e为常数，μ₀表示经过PDC过程后的平均光子数，η₁和η₂分别表示休闲光到D₁、D₂的总效率，η_s表示信号光的耦合效率；P_n[ ]表示泊松分布：

(3)Bob/Charlie将信号光随机制备成BB84态序列，用于对所要发送的单比特消息M进行签名，然后将BB84态序列发送给Alice；Alice随机选取X基或Z基对接收到的光子进行测量；

(4)Bob/Charlie和Alice通过公共信道进行对基，同时Bob/Charlie公布每一脉冲对应的本地探测事件X_i，并保留基矢匹配的比特信息作为原始密钥；记Alice与Bob对基后，Alice保留的原始密钥为

Bob保留的原始密钥为

记Alice与Charlie对基后，Alice保留的原始密钥为

Charlie保留的原始密钥为

(5)Bob/Charlie和Alice从所持有的原始密钥中随机选取部分比特用于估计信道传输时的误码率，定义Bob与Alice之间，Bob选取部分比特后剩余的L位为

而Alice选取部分比特后剩余的L位为

定义Charlie与Alice之间，Charlie选取部分比特后剩余的L位为

而Alice选取部分比特后剩余的L位为

(6)Bob/Charlie在剩余的L位比特中随机选取一半保留，将另一半比特及比特位置信息通过Bob和Charlie之间的安全经典信道发送给另一发送端Charlie/Bob；记Bob保留的比特信息为

Bob发送给Charlie的比特信息为

记Charlie保留的比特信息为

Charlie发送给Bob的比特信息为

Bob的对称密钥为

Charlie的对称密钥为

在信息阶段，用户端Bob、Charlie作为接收端，Alice作为发送端，信息阶段包括步骤：

(7)Alice将签名消息(M，Sig_M)发送给接收方Bob/Charlie，Sig_M表示对消息M的签名，

(8)Bob利用

检查接收到的签名消息(M，Sig_M)，并将

分别与

中相应位置的比特进行匹配，记录不匹配数目；如果两部分匹配结果的不匹配数均小于s_αL/2，Bob接受这一消息并进行步骤(9)，否则拒绝这一消息并终止协议流程；其中，

是用Serfling不等式计算所得的误码率上界，P_e为存在窃听者Eve的情况下在KGP过程中引入误差的最小速率P_e；

(9)Bob继续将(M，Sig_M)发送给接收方Charlie；

(10)Charlie利用

检查接收到的签名信息(M，Sig_M)，并将

分别与

中相应位置的比特进行匹配，记录不匹配数目；如果两部分匹配结果的不匹配数均小于s_vL/2，Charlie则接受这个签名，否则拒绝这个签名；其中，

s_v＞s_α；

(11)给定所述QDS传输协议的限制条件，分别为：

P(Robust)≤2∈_PE

P(Forge)≤a+∈_F+6∈_PE

ε≥P(Robust)＝P(Repudiation)＝P(Forge)

其中，P(Robust)表示鲁棒性概率，∈_PE是用Serfling不等式估计Alice-Bob和Alice-Charlie之间错误率的失败概率；P(Repudiation)表示抵赖概率，用于衡量Alice的签名被Bob接受但被Charlie拒绝的概率；P(Forge)表示伪造概率，用于衡量伪造Alice的签名可同时被Bob和Charlie接受的概率；a和∈_F与Bob发现签名的错误率小于s_v的概率相关，a为预设的常数概率，∈_F定义为：

进一步的，在存在窃听者Eve的情况下，KGP过程的最小熵

为：

其中，

和H₂均为二元香农熵函数，满足：H(x)＝-xlog₂(x)-(1-x)log₂(1-x)；ε是用于参数估计的失败概率，Z表示Z基，E表示窃听者Eve，

表示单光子响应率的下界，

表示单光子误码率的上界。

进一步的，所述当存在窃听者Eve时，Eve在KGP过程中引入误差的最小速率P_e为：

本发明的有益效果为：相比常规的QDS系统，本发明方案在密钥分发阶段采用被动式诱骗态方法，不需要调制光源强度，不仅消除了使用强度调制可能产生的强度调制误差，而且避免了由于调制信号光强度而产生的潜在的信息泄露，并能得到四种不同的响应事件，记录并利用这四种不同的响应事件来进行紧致的估计和精确的计算，使得在满足给定安全性的条件下能够用于签名的密钥大大增加。仿真结果表明其在各方面都具有良好的表现。

附图说明

图1是本发明方案发射端Alice产生被动式标记单光子源的原理图。

图2是本发明方案使用PDC光源的被动式诱骗态QDS系统实验装置图。

图3是本发明方案与其他方案签名率的对比图。

具体实施方式

在本发明方案中采用诱骗态方法和新型低损耗不等臂MZ(AMZI，asymmetricMach-Zehnde interferometer)干涉仪。

下面将详细介绍被动式诱骗态QDS实现过程：

分发阶段

X₁：D₁、D₂都不响应；

X₂：D₁响应，D₂不响应；

X₃：D₂响应，D₁不响应；

X₄：D₁，D₂都响应；

Bob保留的原始密钥为

记Alice与Charlie对基后，Alice保留的原始密钥为

Charlie保留的原始密钥为

而Alice选取部分比特后剩余的L位为

定义Charlie与Alice之间，Charlie选取部分比特后剩余的L位为

而Alice选取部分比特后剩余的L位为

Bob发送给Charlie的比特信息为

记Charlie保留的比特信息为

Charlie发送给Bob的比特信息为

Bob的对称密钥为

Charlie的对称密钥为

信息阶段

(8)Bob利用

检查接收到的签名消息(M，Sig_M)，并将

分别与

(9)Bob继续将(M，Sig_M)发送给接收方Charlie；

(10)Charlie利用

检查接收到的签名信息(M，Sig_M)，并将

分别与

s_v＞s_α。

定义

为事件X_i条件下的信号光，当事件X_i发生时，信号光被投影到光子数空间，光子数空间的密度矩阵为

其中

表示事件X_i发生时信号态的光子数分布，以下将逐步推导

假设Bob(Charlie)端的本地探测器是理想的，即探测效率为100％，那么在此假设下，如果入射光投影为一个非真空态，那么D_j一定会响应；但如果入射光投影到真空态上，D_j依然会响应的概率为d_j(探测器的暗计数)，那么不响应的概率为1-d_j。因此，假如入射光投影到态|s₁s₂>上，那么将以

概率得到事件X_i，

具体如表I所示。

表I

记

为休闲光里的任意m光子态经BS投影到|s₁s₂>态上的条件概率，

可以描述为：

其中t表示BS的透射效率，

表示二项式分布第k项的概率，η₁₀和η₂₀分别表示休闲光两路的总效率，其中包括探测器效率，η_s表示信号光的耦合效率。

定义

为m光子态下事件X_i发生的概率，那么可以得到：

如表II所示为m光子投影到事件X_i的条件概率

表II

在休闲光进行探测后，可以得到任意信号态

中有n光子的概率：

其中μ₀表示经过PDC过程后的平均光子数。

利用信号态

可以得到相应信号态下简化的光子数分布：

其中，P_n[ ]表示泊松分布：

η₁＝tη₁₀，η₂＝(1-t)η₂₀，η₁和η₂分别表示BS到两探测器的总效率。

利用以上公式并考虑统计起伏，可以得到单光子响应率的下界

和单光子误码率的上界

其中

其中，

表示测量值χ的下界，

表示测量值χ的上界；e₀和s₀分别表示Alice端真空脉冲的量子比特误码和条件计数，e₀＝0.5；

和

分别表示总体计数和信号态

的量子比特误码，根据

和

可以得到量子比特误码率(QBER)

此处采用文献[Z.Zhang，Q.Zhao，M.Razavi，and X.Ma，Improved key-rate bounds for practicaldecoy-state quantum-key-distribution systems，Phys.Rev.A 95，012333(2017)]提出的统计起伏分析方法，测量值的上下界由以下公式给出

其中

可通过求解以下方程组得到

为失败概率，此处选用

通过公式(5-6)可以计算出在存在窃听者Eve的情况下KGP过程的最小熵为

H(x)表示二元香农熵函数，即H(x)＝-xlog₂(x)-(1-x)log₂(1-x)。公式(11)成立的概率是1-ε，ε是用于参数估计的失败概率。利用公式(11)，可以评估Eve在KGP过程中引入误差的最小速率P_e，即

针对被动式诱骗态QDS的安全性分析，本发明方案综合考虑了鲁棒性概率、伪造概率和抵赖概率。鲁棒性概率是衡量系统正常运行时协议的失败概率，它满足

P(Robust)≤2∈_PE (13)

其中∈_PE是用Serfling不等式估计Alice-Bob和Alice-Charlie之间错误率的失败概率。抵赖概率是衡量Alice的签名被Bob接受但被Charlie拒绝的概率，它满足

其中

是用Serfling不等式计算所得的误码率上界。伪造概率是衡量伪造Alice的签名可同时被Bob和Charlie接受的概率，它满足

P(Forge)≤a+∈_F+6∈_PE (15)

其中6∈_PE是估计信道参数的失败概率，a和∈_F与Bob发现签名的错误率小于s_v的概率相关，a为预设的常数概率，∈_F定义如下：

综上，协议的安全性需满足

ε≥P(Robust)＝P(Repudiation)＝P(Forge). (17)

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明作进一步的详细说明。

1、实验装置示意图

图2是本发明方案的实验装置示意图。在Bob(Charlie)端，76MHz重复频率的皮秒锁模钛宝石激光器的波长固定在898nm，脉冲持续时间为2ps，经二次谐波产生(SHG，secondharmonic generation)过程倍频到449nm，然后泵浦PPLN晶体，产生中心波长分别在633nm和1545nm的非简并光子对，产生的光子对经DM被分离。中心波长为633nm的休闲光进一步被BS分成两路，然后分别耦合到光纤内发送至探测效率为65％的SAPD。而中心波长为1545nm的信号光首先被耦合到光纤内，再经带宽为3nm的可调带通滤波器，然后被发送到AMZI，AMZI中的相位调节器(PM，phase modulator)将光子的相位随机调节成BB84协议的4个态{0，π/2，π，3π/2}，最后经单模光纤的量子信道发送至接收端Alice。Alice利用本地AMZI中的PM随机选择Z基({0，π})或X基({π/2，3π/2})，然后利用超导纳米线单光子探测器(SNSPD，super-conducting nanowire single-photon detectors)进行探测，SNSPDs的工作温度为2.15K，探测效率为80％，暗计数率为16Hz。

AMZI内部全部由保偏光纤连接，并用一个光纤偏振分束器代替光纤分束器，这样就可以避免常规AMZI中的大部分系统损耗，从而控制AMZI整体损耗在3dB范围内。每个AMZI中的PM产生BB84协议的4个态{0，π/2，π，3π/2}，由控制板(CB，control board)驱动。为了稳定该系统，在每个AMZI前插入一个偏振控制器(PC，polarization controller)用来调节入射光子的偏振，在SNSPDs前各插入一个PC保证响应率达到最大。此外，在每一用户端，我们用时间数字转换器(TDC，time-to-digital converter)来收集来自探测器的信号，时间窗设置为3ns。上述所有的TDC和CB与钛宝石激光器时钟同步。

2、实验结果

本发明实验系统中，系统固有损耗主要由滤波器、AMZIs和PCs产生，总计5.8dB。为使被动式QDS系统能够长时间稳定运行，采用扫描和传输模式，例如：对每一个消息m，在96分钟的标准操作时间内，有效的传输时间为80分钟，剩下16分钟作为扫描和补偿时间。实验中，维持泵浦光功率为3mW，即平均光子数为μ₀＝0.54，耦合到光纤内再通过第一个AMZI后，发出的信号光的平均光子数为μ＝μ₀η_s＝0.135。

在前面建立的安全模型下，计算系统签名率或分发签名态序列用于签名半比特信息所用的时间，需强调的是半比特是用于签名二进制0或二进制1，若需签名一个完整的单比特两者都需要。根据文献[R.Amiri，P.Wallden，A.Kent，and E.Andersson，Securequantum signatures using insecure quantum channels，Phys.Rev.A 93，032325(2016)]，实验中设置参数∈_PE＝10^-5，a＝10^-5，∈＝10^-10，ε＝10^-4，其他参数如表III所示，其中η₁和η₂分别表示BS到探测器的总效率，η_s表示信号光的耦合效率，d_j(j＝1，2)表示探测器D_j的暗计数，η_Alice表示接收端SNSPDs的效率，e_d表示系统失调误差。分别在Bob-Alice之间或Charlie-Alice之间运行被动式诱骗态KGP系统，设置量子信道的损耗为25.8dB和45.8dB，除去系统固有损耗为5.8dB，则分别对应于100km和200km长的单模光纤。每次实验中，Bob(Charlie)端发送的脉冲数为N_t＝3.648×10¹¹。本发明系统的PDC过程产生的通信波长为1545nm，为简单起见，在仿真中采用1550nm处的损耗系数，即0.2dB/km。实验所用参数如表III所示：

表III

表IV展示了系统运行96分钟后的实验结果：不同距离处任意态

的计数和QBER，根据这些实验结果，本发明系统的签名速率可以达到100km处0.29半比特每秒，200km处1.15×10^-4半比特每秒。

表IV.Z基下不同事件的计数和QBER

考虑统计起伏，图3展示了本发明实验所得签名率与理论预测的签名率，点线表示根据实验参数理论预测的签名率R_t，两个五角星点表示不同距离处的实际签名率R_e。从中可以看出，实验数据R_e与理论预测R_t吻合良好。图中其他点分别为：三角形点表示方案1：Donaldson团队2016年工作[R.J.Donaldson，R.J.Collins，K.Kleczkowska，R.Amiri，P.Wallden，V.Dunjko，J.Jeffers，E.Andersson，and G.S.Buller，Experimentaldemonstration of kilometer-range quantum digital signatures，Phys.Rev.A 93，012329(2016)]；圆形点表示方案2：Collins团队2016年的工作[R.J.Collins，R.Amiri，M.Fujiwara，T.Honjo，K.Shimizu，K.Tamaki，M.Takeoka，E.Andersson，G.S.Buller，andM.Sasaki，Experimental transmission of quantum digital signatures over 90km ofinstalled optical fiber using a differential phase shift quantum keydistribution system，Opt.Lett.41，4883(2016)]；菱形点表示方案3：Collins团队2017年的工作[R.J.Collins，R.Amiri，M.Fujiwara，T.Honjo，K.Shimizu，K.Tamaki，M.Takeoka，M.Sasaki，E.Andersson，and G.S.Buller，Experimental demonstration of quantumdigital signatures over 43dB channel loss using differential phase shiftquantum key distribution，Sci.Rep.7，3235(2017)]；实方形点表示方案4：潘建伟团队2017年的工作[H.L.Yin，Y.Fu，H.Liu，Q.J.Tang，J.Wang，L.X.You，W.J.Zhang，S.J.Chen，Z.Wang，Q.Zhang，T.Y.Chen，Z.B.Chen，and J.W.Pan，Experimental quantum digitalsignature over 102km，Phys.Rev.A 95，032334(2017)]。

此外还将本发明与上述其他方案的重要实验参数和签名半比特信息所用的时间进行了比较结果列于表V。

表V

表V表示相同安全性下不同方案签名半比特的比较结果。其中，Donaldson2016(方案1)采用短波系统，500m处签名半比特的时间约为20s，最大传输距离为2km。Collins2016(方案2)采用1GHz重复频率的差分相位(DPS，differential phase shift)系统实现了90km光纤的传输，每秒能签名两比特，因而签名半比特的时间仅为0.25s。在此基础上，他们改进实验系统传输距离能够达到134km，此时签名半比特时间为5.67s。从图2可以看出，在同样信道损耗情况下，Collins2016(方案3)和Collins2017(方案4)的签名率都比本发明方案高，这主要是因为他们采用的高速的协议和系统。最近Pan2017采用SARG04协议实现了一个超过102km的QDS，但在他们的实验中签名半比特需要花费33420秒。与这些工作相比，本发明在100km处签名半比特的时间是3.45s，在200km处签名半比特的时间是8695.65s，综合性能优良。

综上，本发明实验验证了一种被动式QDS协议，利用诱骗态的方法，能够在100km处每7秒签名1比特信息，最大传输距离能够达到200km，这主要归因于被动式诱骗态方法和低损耗的实验系统，例如：发射端系统损耗低，真空脉冲率低。从而避免了基于弱相干光光源方案中存在的一些缺点。此外本发明方案还可以扩展到最近提出的测量设备无关的量子数字签名。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。