CN109787770B - 一种基于量子块加密的公钥仲裁量子签名协议 - Google Patents

Abstract

本发明公开了一种基于量子块加密的公钥仲裁量子签名协议，属于量子保密通信技术领域，包括通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享；签名者制备两份量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁；接收者在仲裁提供的约束条件下，进行量子签名的验证。本发明提供的协议不仅能保障安全性，而且具有更好的实际应用价值。

Description

一种基于量子块加密的公钥仲裁量子签名协议

技术领域

本发明涉及量子保密通信技术领域技术领域，特别涉及一种基于量子块加密的公钥仲裁量子签名协议。

背景技术

随着通信技术、计算机技术的快速发展，电子信息已经成为人们日常工作生活的一部分，信息化扩展了人们认识世界的途径，也为人们改造世界提供了无限的可能。然而，前所未有的安全威胁也伴随着信息化的深入愈演愈烈，探讨和研究保障信息安全的理论和技术显得尤为迫切。

数字量子签名是实现身份认证和保护数据完整性的核心技术，是实施信息系统访问控制和安全电子商务的关键理论基础。但是随着计算能力的飞速提高，尤其是近年量子计算技术的发展，人们发现目前广泛应用的、基于计算复杂性的数字量子签名在量子计算环境中，将不再安全。如何在量子计算的条件下，设计依然安全的数字量子签名方案，是保障数据安全的迫切需要，是完善信息安全理论的关键一环。

量子数字量子签名被认为是克服量子计算威胁的最直接手段。这是因为与经典数字量子签名相比，量子数字量子签名的安全性基于量子不可克隆、海森堡测不准等量子力学基本原理，而不依赖于计算复杂性，从而使得量子数字量子签名能够达到信息论安全的目标。

Zeng和Keitel在2002年提出了仲裁量子签名的思想，并设计了第一个仲裁量子签名方案(arbitrated quantum signature，简称为AQS)——ZK方案。在ZK方案中，他们以Greenberger-Horne-Zeilinger(GHZ)态来作为基本载体，并将量子一次一密(QOTP)直接用于量子签名的生成过程，同时验证了该方案既可以签署经典消息又可以签署量子消息的普适特性。在该方案中，发送者(签名者)准备量子消息的多个备份用于量子签名，以保证在量子签名消息中至少有一份消息以明文的形式存在。因此，接收者(验证者)不仅能知道量子签名消息的内容而且可以在仲裁的帮助下验证量子签名的有效性。Zeng等人的工作避免了两方直接量子签名的限制，将量子签名的研究直接带入了仲裁量子签名阶段。自此，仲裁量子签名(AQS)成为了量子签名方案设计的基本思想，其本身和相应内容的拓展都成了重要的研究方向。早在2009年，Li等人提出了一个基于Bell态的AQS方案，该方案用Bell态来代替ZK方案中的载体GHZ态，降低了ZK方案的实现条件。在2011年，Zou等人利用非纠缠态设计了一个新的AQS方案，将ZK方案做了进一步简化。以上两个方案都保留有ZK方案的优点，同时分别利用了较少的物理资源简化了仲裁量子签名的实现过程。

仲裁量子数字量子签名是量子数字量子签名研究的焦点，也是目前已知的唯一既可以签署量子消息，又可以签署经典消息的手段。基于仲裁的可信性，我们能够在缺少量子公钥、量子单向函数的条件下，直接完成量子数字量子签名的生成和验证。在此基础上，分析仲裁量子数字量子签名的安全性，设计不同功能的量子签名方案，是完善量子数字量子签名理论的重要研究内容。

随着量子密码理论的发展，仲裁量子签名的思想被广泛用于量子代理量子签名、量子群量子签名、量子多方量子签名等协议的设计和分析中。不同于基本的AQS协议，这些拓展协议在保证量子签名不可否认、不可伪造的基础上，增加了一些具体的安全性需求。例如，量子群量子签名要求签名者的身份既无法被接收者获知，又能够在出现纠纷时可以被仲裁追踪和确认。

正如著名量子密码学家Lo所说的那样，攻击量子密码系统和设计量子密码系统同等重要。随着仲裁量子签名协议的不断涌现，仲裁量子签名的安全性分析也得到广泛关注。2011年北京邮电大学的高飞教授等人提出“基于量子加密算法的安全性分析思想”。他们指出：如果利用量子一次一密算法(Quantum One Time Pad，即QOTP)来直接生成量子签名，那么接收者可以在不被仲裁发现的情况下伪造出合法量子签名。

发明内容

本发明的目的在于提供一种基于量子块加密的公钥仲裁量子签名协议，以提高量子数字量子签名的安全性。

为实现以上目的，本发明采用一种基于量子块加密的公钥仲裁量子签名协议，包括：

通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享；

签名者制备两份量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁；

接收者在仲裁提供的约束条件下，进行量子签名的验证。

优选地，所述通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享，包括：

通过所述量子密钥分发，发送者和接收者共享非对称的混合密钥的比特信息K_AB，发送者和仲裁共享非对称的混合密钥的全部比特信息K_AT，接收者和仲裁之间共享对称的混合密钥K_BT。

优选地，所述签名者制备两份待签署的量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁，包括：

所述签名者制备两份待签署的量子消息|P>；

所述签名者利用随机数r对两份量子消息|P>进行加密处理，分别得到两个加密后的量子消息|P′>；

所述签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>并发送至所述仲裁；

所述签名者将另一加密后的量子消息|P′>发送至所述接收者。

优选地，所述接收者在所述仲裁提供的约束条件下，进行量子签名的验证，包括：

所述接收者利用所述K_AB对所述加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至所述仲裁，以使所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指所述接收者共享非对称的混合密钥的部分比特信息所在的位置；

所述接收者根据所述仲裁的判断结果，进行所述量子签名|R_A>的验证。

优选地，所述接收者根据所述仲裁的判断结果，进行所述量子签名R_A>的验证，包括：

在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息相同时，所述接收者接收所述量子签名|R_A>，并通知所述签名者公布所述随机数r；

所述接收者利用所述随机数r从所述量子消息|P′>中，恢复出所述量子消息|P>；

所述接收者将量子消息(|P>,|R_A>,r)作为所述签名者的量子签名进行存储；

在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息不相同时，则量子签名协议终止。

优选地，在所述签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>之后，还包括：

所述签名者利用所述K_AT，通过量子块加密算法对量子签名|R_A>进行加密处理，生成量子签名|S>；

相应地，所述签名者所述量子签名|S>发送至所述仲裁。

优选地，所述接收者在所述仲裁提供的约束条件下，进行量子签名的验证，包括：

所述仲裁对所述量子签名|S>进行解密，获得相应的量子签名|R_A>并发送至所述接收者；

所述接收者利用所述K_AB对所述加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至所述仲裁，以使所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指所述接收者共享非对称的混合密钥的部分比特信息所在的位置；

所述接收者根据所述仲裁的判断结果，进行所述量子签名|R_A>的验证。

优选地，在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息相同时，还包括：

所述仲裁通过置换操作将所述量子签名|R_A>中的比特位置i进行打乱，以及将量子消息|P′>中的比特位置i进行打乱，得到打乱后的量子签名S|R_A>和打乱后的量子消息S|P′>并发送至所述接收者。

优选地，还包括：

所述接收者接收所述打乱后的量子签名S|R_A>和打乱后的量子消息S|P′>，并通知所述签名者公布所述随机数r；

所述接收者利用所述随机数r从量子消息|P_T>中，恢复得到量子消息|P_A>；

所述接收者将量子消息(|P_A>,|S_A>,r)作为签名者的量子签名进行存储。

优选地，所述签名者将另一加密后的量子消息|P′>发送至所述接收者，包括：

所述签名者在所述另一加密后的量子消息|P′>中随机插入处于诱骗态的量子比特，并发送至所述接收方。

与现有技术相比，本发明存在以下技术效果：本发明公开的公钥仲裁量子签名协议包括三个参与方：签名者Alice、接收者Bob以及仲裁Trent(可信第三方)。整个协议包括三个阶段：初始阶段、签名阶段以及验证阶段。在初始阶段，参与者之间进行不经意间的密钥共享；在签名阶段，通过共享非对称秘钥，签名者仅需要制备两份同样的量子消息、生成一份量子签名，将一份量子消息发送至接收者、将量子签名发送至仲裁，而现有协议中，Alice需要制备三份同样的量子消息、生成两份量子签名和，相较而言本协议消耗的资源更少，更实用；在验证阶段，接收者Bob在仲裁Trent的帮助下完成对量子签名的验证。该协议不仅能保障安全性，而且具有更好的实际应用价值。总之，我们的协议不仅保留了现有协议的所有优点，而且更安全，更实用。

附图说明

下面结合附图，对本发明的具体实施方式进行详细描述：

图1是一种基于量子块加密的公钥仲裁量子签名协议的通信流程图；

图2是量子块加密算法电路图；

图3是接收者对量子消息签名对伪造所对应的成功概率图；

图4是图2中基于量子块加密的公钥AQS工作流程图。

其中：图3中其中m表示诱骗粒子的长度，n表示密钥长度；图4中A、B、T分别代表签名者Alice、接收者Bob和仲裁Trent。

具体实施方式

为了更进一步说明本发明的特征，请参阅以下有关本发明的详细说明与附图。所附图仅供参考与说明之用，并非用来对本发明的保护范围加以限制。

在介绍具体方案之前，本发明先对一些必要的表示方式在此进行说明。首先，对于本发明提出的仲栽量子签名方案，引入Alice，Bob，Trent三个参与者，分别表示签名者，接收者(验证者)和仲裁(可信第三方)。

如图1、图4所示，本实施例公开了一种基于量子块加密的公钥仲裁量子签名协议，包括如下步骤S1至S3：

S1、通过量子密钥分发，签名者、接收者以及仲裁之间共享非对称的量子密钥共享；

需要说明的是，可由实际安全的量子密钥分发(QKD)方案来实现三个参与者之间不经意间的密钥共享。

S2、签名者制备两份量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁；

S3、接收者在仲裁提供的约束条件下，进行量子签名的验证。

需要说明的是，本协议通过共享非对称密钥，仅需要制备两份同样的量子消息、生成一份量子签名。与现有协议中Alice需要制备三份同样的量子消息、生成两份量子签名相比，本发明协议消耗的资源更少，更实用。

需要说明的是，Alice和Bob以及Trent之间事先共享非对称的混合密钥，非对称的混合密钥包括经典密钥

和量子秘钥

即Alice以及Trent知道混合密钥的全部比特信息，而Bob只知道密钥的部分比特信息。Bob与Trent共享对称的混合密钥，对称的混合密钥包括量子密钥

和经典密钥

在上述步骤S1：所述通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享中，可定义密钥共享包括：

发送者和接收者共享非对称的混合密钥的比特信息K_AB，发送者和仲裁共享非对称的混合密钥的全部比特信息K_AT，接收者和仲裁之间共享对称的混合密钥K_BT。

较为优选地，为保障协议安全性，本实施例中将Bob知道的密钥大约控制在总密钥的1/4，同时Alice以及Trent并不知道Bob知道哪些位置的比特信息。为方便起见，本方案可假设Bob仅知道总密钥中的1比特密钥信息

优选地，上述步骤S2：签名者制备两份待签署的量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁，包括如下步骤S21至S24：

S21、签名者制备两份待签署的量子消息|P>；

需要说明的是，每份待签署的量子消息统一设为：

其中：|α_i|²+|β_i|²＝1。

S22、签名者利用随机数r对两份量子消息|P>进行加密处理，分别得到两个加密后的量子消息|P′>；

S23、签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>并发送至所述仲裁；

需要说明的是，如图2所示，利用K_AB，通过量子块加密算法将其中的一份量子消息|P′>直接生成签名|R_A>：

这里采取的加密方式|E_K>为量子块加密算法，具体地：

在加密过程，|C>表示密文，|P>表示明文，E_K表示加密，包括基本的Hadamard门和CNOT门，Hadamard可以描述为：H＝|+><0|+|-><1|；CNOT门可以定义为：

其中：|a>为控制比特，|b>为目标比特。

S24、签名者将另一加密后的量子消息|P′>发送至所述接收者。

优选地，上述步骤S3：所接收者在所述仲裁提供的约束条件下，进行量子签名的验证，包括如下步骤S31至S32：

S31、接收者利用K_AB对所述加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至仲裁，以使仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指接收者共享非对称的混合密钥的部分比特信息所在的位置；

需要说明的是，Bob在收到Alice发来的加密后的量子消息|P′>后，利用共享的非对称密钥K_AB，对量子消息|P′>进行加密为：

Bob将发送给Trent，同时在Trent确定收到消息后，Alice通过公共信道公布。

S32、接收者根据仲裁的判断结果，进行量子签名|R_A>的验证。

上述步骤S32具体包括如下步骤S321至S324：

S321、在仲裁判断量子签名|R_A>和量子签名

相同时即

签名|R_A>，并通知签名者公布随机数r；

需要说明的是，Alice和Trent事先并不知道Bob知道哪个位置上的比特信息即Alice和Trent不知道i的值，在仲裁判断

即说明接收者接收量子签名|R_A>是正确的。

S322、接收者利用随机数r从量子消息|P_T>中，恢复出量子消息|P_A>；

S323、接收者将量子消息(|P_A>,|S_A>,r)作为签名者的量子签名进行存储；

S324、在仲裁判断量子签名|R_A>和量子签名|R_B>中位于i位置的比特信息不相同时，即说明接收者接收量子签名|R_A>是错误的，则量子签名协议终止。

优选地，在上述公开的步骤S2的详细步骤的基础上，在步骤S23：签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>之后，还包括步骤S`23：

S`23、签名者利用K_AT，通过量子块加密算法对量子签名|R_A>进行加密处理，生成量子签名|S>，

相应地，签名者所述量子签名|S>发送至所述仲裁。

需要说明的是，本实施例通过利用共享的非对称的混合密钥K_AT，对量子签名|R_A>进行再次加密处理，由于密钥K_AT仅由Alice和Trent事先知道，而Bob不知道，因此通过利用K_AT对量子签名|R_A>进行再次加密，可保证Bob不知道量子签名|R_A>，确保量子签名|R_A>的准确性。

优选地，在上述步骤S3：接收者在所述仲裁提供的约束条件下，进行量子签名的验证，还包括步骤S`31至S`33：

S`31、仲裁对量子签名|S>进行解密，获得相应的量子签名|R_A>并发送至接收者；

S`32、接收者利用K_AB对加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至仲裁，以使仲裁判断量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指接收者共享非对称的混合密钥的部分比特信息所在的位置；

S`33、接收者根据仲裁的判断结果，进行量子签名|R_A>的验证。

需要说明的是，本实施例中通过仲裁对量子签名|S>进行解密，获得相应的量子签名|R_A>并发送至接收者，而接收者不知道量子签名|S>，即可保证量子签名验证的准确性。

优选地，在上述步骤S321：在仲裁判断量子签名|R_A>和量子签名

中位于i位置的比特信息相同时即

还包括：

所述仲裁通过置换操作将量子签名|R_A>中的比特位置i进行打乱，以及将量子消息|P′>中的比特位置i进行打乱，得到打乱后的量子签名S|R_A>和打乱后的量子消息S|P′>并发送至接收者。

相应地，接收者接收打乱后的量子签名S|R_A>和打乱后的量子消息S|P′>，并通知所述签名者公布所述随机数r；

|P_T>＝S|P′>，|S_A>＝SR_A>，

然后返还给Bob，同时在公共信道公布参数V_T。

接收者利用所述随机数r从量子消息|P_T>中，恢复得到量子消息|P_A>，即s.t.|P_A>＝S|P>；

接收者将量子消息(|P_A>,|S_A>,r)作为签名者的量子签名进行存储。

优选地，上述步骤S24：签名者将另一加密后的量子消息|P′>发送至所述接收者，包括：签名者在所述另一加密后的量子消息|P′>中随机插入处于诱骗态的量子比特，并发送至接收方。

需要说明的是，当签名方将加密消息发送给接收者的时候，需要制备足够的诱骗态随机的处于{|0>,|1>,|+>,|->}四个态中的一个，将其随机的插入消息粒子序列中。在接收方收到消息粒子序列后，签名方公开每个诱骗态的位置以及测量基，接收方根据签名方的测量基对这些诱骗态粒子进行测量，然后公布相应的的测量结果。根据这些记录，签名方就可以估计诱骗态粒子的错误率。如果错误率超出阈值，签名方就会通知接收者放弃这次传输，重新进行。如果错误率是可以接受的，签名方就会宣布消息粒子M的传输是安全的，则继续这个协议。

需要说明的是，本协议不仅可以有效的抵御外部攻击，还能更好的抵御参与者攻击，如伪造攻击和否认攻击。接收者Bob想要成功地伪造量子签名的概率如图3。在传量子信息过程中，必要的检测窃听可以很好的抵御外部攻击。

本发明协议以非纠缠态(单粒子)来作为基本载体，并将量子块加密算法直接用于签名的生成过程，考虑到从量子加密算法的角度分析签名的安全性，可以避免复杂协议流程带来的干扰，具有良好的理论实用性。而且，参与方通过共享非对称密钥，构造了一种基于公钥密码体制的仲裁量子签名协议模型，从而实现多方验证。接收者(验证者)在仲裁的帮助下验证签名的有效性，同时可以有效的抵抗外部攻击以及参与者攻击，本协议不仅保留了现有协议的所有优点，而且更安全，更实用。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于量子块加密的公钥仲裁量子签名协议，其特征在于，包括：

通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享；

签名者制备两份量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁；

接收者在仲裁提供的约束条件下，进行量子签名的验证，包括：

所述接收者利用K_AB对加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至所述仲裁，以使所述仲裁判断量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指所述接收者共享非对称的混合密钥的部分比特信息所在的位置，K_AB为非对称的混合密钥的比特信息，为签名者利用所述K_AB，|R_A>为通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理所生成的量子签名；

所述接收者根据所述仲裁的判断结果，进行所述量子签名|R_A>的验证。

2.如权利要求1所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，所述通过量子密钥分发，进行签名者、接收者以及仲裁之间的量子密钥共享，包括：

通过所述量子密钥分发，发送者和接收者共享非对称的混合密钥的比特信息K_AB，发送者和仲裁共享非对称的混合密钥的全部比特信息K_AT，接收者和仲裁之间共享对称的混合密钥K_BT。

3.如权利要求2所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，所述签名者制备两份待签署的量子消息和一份量子签名，并将一份量子消息发送至接收者、将量子签名发送至仲裁，包括：

所述签名者制备两份待签署的量子消息|P>；

所述签名者利用随机数r对两份量子消息|P>进行加密处理，分别得到两个加密后的量子消息|P′>；

所述签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>并发送至所述仲裁；

所述签名者将另一加密后的量子消息|P′>发送至所述接收者。

4.如权利要求3所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，所述接收者根据所述仲裁的判断结果，进行所述量子签名|R_A>的验证，包括：

在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息相同时，所述接收者接收所述量子签名|R_A>，并通知所述签名者公布所述随机数r；

所述接收者利用所述随机数r从所述量子消息|P′>中，恢复出所述量子消息|P>；

所述接收者将量子消息(|P>,|R_A>,r)作为所述签名者的量子签名进行存储；

在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息不相同时，则量子签名协议终止。

5.如权利要求1所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，在所述签名者利用所述K_AB，通过量子块加密算法对任一加密后的量子消息|P′>进行加密处理，生成量子签名|R_A>之后，还包括：

所述签名者利用所述K_AT，通过量子块加密算法对量子签名|R_A>进行加密处理，生成量子签名|S>；

相应地，所述签名者所述量子签名|S>发送至所述仲裁。

6.如权利要求5所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，所述接收者在所述仲裁提供的约束条件下，进行量子签名的验证，包括：

所述仲裁对所述量子签名|S>进行解密，获得相应的量子签名|R_A>并发送至所述接收者；

所述接收者利用所述K_AB对所述加密后的量子消息|P′>进行加密处理，生成量子签名

并发送至所述仲裁，以使所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息是否相同，其中：i指所述接收者共享非对称的混合密钥的部分比特信息所在的位置；

所述接收者根据所述仲裁的判断结果，进行所述量子签名|R_A>的验证。

7.如权利要求4所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，在所述仲裁判断所述量子签名|R_A>和量子签名

中位于i位置的比特信息相同时，还包括：

所述仲裁通过置换操作将所述量子签名|R_A>中的比特位置i进行打乱，以及将量子消息|P′>中的比特位置i进行打乱，得到打乱后的量子签名S|R_A>和打乱后的量子消息|P_T>并发送至所述接收者。

8.如权利要求7所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，还包括：

所述接收者接收所述打乱后的量子签名S|R_A>和打乱后的量子消息S|P′>，并通知所述签名者公布所述随机数r；

所述接收者利用所述随机数r从量子消息|P_T>中，恢复得到量子消息|P_A>；

所述接收者将量子消息(|P_A>,|S_A>,r)作为签名者的量子签名进行存储。

9.如权利要求3所述的基于量子块加密的公钥仲裁量子签名协议，其特征在于，所述签名者将另一加密后的量子消息|P′>发送至所述接收者，包括：

所述签名者在所述另一加密后的量子消息|P′>中随机插入处于诱骗态的量子比特，并发送至所述接收方。

Images