CN110086614A - 一种使用标记单光子源的量子数字签名方法 - Google Patents

Abstract

一种使用标记单光子源（HSPS）的量子数字签名（QDS）方法，分为HSPS的制备阶段、使用HSPS的QDS方案的密钥分发阶段、签名的消息阶段。首先通过自发参量下转换得到HSPS，经过标记作用之后，有效地消除了大部分真空脉冲。然后在此基础上进行密钥分发协议（KGP），使得签名协议中的参与者都获得签名的密钥串。最后是对签名信息的传送、验证和接收（拒绝）过程，在满足QDS协议的不可抵赖性、不可伪造性、可转移性的安全前提下，通过比较双方密钥串之间的不匹配率，判定此次签名是否有效。相对于现有的使用弱相干光源（WCS）的QDS方案，此方案较大限度地减小了真空态比例，大幅提高了安全传输距离，高效可行，简单易操作，为量子密码学的实用化提供了一定的参考价值。

Description

一种使用标记单光子源的量子数字签名方法

技术领域

本发明属于量子信息领域，主要涉及对量子数字签名(QDS)信息的密钥分发和签名信息的验证，在软件分发、电子合同、金融交易等场景中有着巨大的使用价值。

背景技术

进入高速发展的信息时代之后，数字签名是一种常见的用来替代传统物理签名的技术手段，使得签名协议的过程中不再局限于狭隘的同一时间和同一地点，解决了很多应用场景的不便性。经典的数字签名安全性源于非对称密钥加密技术，主要是基于数学计算复杂度。量子计算机的出现将会给传统的安全密码体系带来严重的冲击，依赖计算复杂度来保证通信质量的传统方案将不再安全。

量子通信是近二十几年发展起来的一种新型通讯方式，QDS的无条件安全性由量子力学的基本原理来保证。自2001年第一个QDS方案被Gottesman和Chuang等人提出以后，便引起了研究学者的广泛兴趣。很多改进的QDS方案不断被提出，逐步解决了之前签名方案中亟待解决的技术难题。比如2006年Andersson等人通过多端口干涉替代原始方案中的Swap Test，巧妙解决了如何有效比较输入量子态的问题；2014年Robert J等人通过实验演示了在不需要量子存储器的前提下，用明确态区分测量实现数字签名；2015年Wallden等人提出可以有效地利用量子密钥分发(QKD)来进行QDS的研究，使得QDS在近些年无论是理论上还是实验上都取得了显著进展。

QKD作为量子保密通信发展最为成熟的领域，也是量子密码体系的核心，依然存在很多问题制约着它的发展。QDS因为需要通过密钥分配协议来获得签名密钥串，相似的问题也同样存在于后者，要想将QDS进一步实用化还面临着巨大的挑战。

发明内容

本发明要解决的是现常用的基于BB84协议使用弱相干光源(WCS)的QDS在远传输距离上的限制问题。由于WCS中存在着较大比例的真空态成分，使得在协议远距离传输的情况下，暗计数带来的影响使得系统不能再正常成码，严重制约着QDS的实用化。

一种使用标记单光子源的量子数字签名方法，该方法包括以下步骤：

步骤1，标记单光子源(HSPS)的制备；

步骤2，签名协议的参与者之间进行密钥分发协议(KGP)；该KGP是基于BB84协议在使用HSPS的基础上进行的部分量子密钥分发(QKD)过程，不包括密钥纠错和保密放大等步骤；

步骤3，签名的发送与验证；协议的参与者将签名信息发送出去，接收方对接收到的签名信息进行检验，主要是将自己手中的密钥串与签名信息进行不匹配率的认证，如果大于预先给定的阈值，则放弃本次操作；否则认为签名信息通过认证，并把它转发出去。

进一步地，所述步骤1中，所述单光子源通过参量下转换过程来获得，发送方将一个高频率的泵浦光子发射到非线性晶体，会产生两个低频率的光子，闲频光和信号光，当对闲频光那一路使用探测器进行检测，探测器有响应的时候，相应的也能判断出另一路会有光子射出；在这基础上，通过借助闲频光对另一路信号光的标记作用，能较大限度的减少真空态的比例。

进一步地，步骤1中，对于参量下转换过程中为泊松分布的光子对，经过本地探测器标记后，其光子数分布为：

其中参数d_A表示发送端探测器的暗计数率，参数η_A表示发送端探测器的探测效率。

进一步地，所述步骤2中，量子密钥分发(QKD)过程，具体包括如下步骤；

步骤2-1，制备：发送方以p_Z或1-p_Z的概率随机选择Z基或X基通过量子信道发送给接收方，对应Z基或X基的强度λ是从{μ₁,μ₂,μ₃}随机选取的，相应概率事件分别记为和

步骤2-2，测量：接收方这边也随机选择Z基或X基来进行测量，并把每次测量的结果记录下来；

步骤2-3，对基：进行KGP的双方通过认证的公开信道宣布彼此选取的基和强度；两者将有用的测量结果保留下来，并将那些没有采用相同基矢的数据丢弃；如果双方密钥串长度不够，一直重复这三个过程，直到能满足协议后面的需要。

进一步地，所述步骤2-2中，在接收端一般采用两个单光子探测器进行测量，所以理论上会出现四种结果对于前面两种情况直接把观察的结果记录下来，表示两个探测器都没有响应，最后一种表示两个探测器都有响应，就随机将测量结果记录为0或1。

本发明相对于现有技术，具有以下优点：

(1)真空态比例大大降低。暗计数容易引起误码率，在远距离处对系统能否成码起关键作用。在WCS中光子数分布满足HSPS的光子数分布可以表示为 当t＝0，HSPS中真空态的比例远远小于弱相干光源，能更加准确的对系统参数进行估计。

(2)使用降维搜索算法优化之后，使用WCS的QDS方案在签名率上提升2倍以上，且安全传输距离增加了16km。

(3)在同时优化参数的情况下，使用HSPS的QDS方案比使用WCS的QDS方案在安全传输距离上有了大幅提升，由原来的137km增至165km。

附图说明

图1为本发明所述的量子数字签名方法的流程图。

图2为本发明的量子数字签名协议中的标记单光子源原理示意图。

图3为本发明的量子数字签名协议中的分发阶段原理示意图。

图4为本发明的量子数字签名协议中的消息阶段原理示意图。

具体实施方式

下面结合说明书附图对本发明的技术方案做进一步的详细说明。

一种使用标记单光子源的量子数字签名方法，该方法包括以下步骤：

步骤1，标记单光子源(HSPS)的制备。

所述步骤1中，所述单光子源通过参量下转换过程来获得，发送方将一个高频率的泵浦光子发射到非线性晶体，会产生两个低频率的光子，闲频光和信号光，当对闲频光那一路使用探测器进行检测，探测器有响应的时候，相应的也能判断出另一路会有光子射出。

如图2所示：发送者Alice将一个高频率的泵浦光子发射到非线性晶体(NL)，会产生两个低频率的光子，闲频光(I)和信号光(S)。根据能量守恒和动量守恒定律，这种情况下产生的两光子对肯定在某些物理量上存在关联。在选择对其中一路进行测量的时候，能够凭借两者之间的关联性做出预测。当对闲频光那一路使用探测器进行检测，探测器有响应(Trigger)的时候，相应的也能判断出另一路会有光子射出。在这基础上，通过借助闲频光对另一路信号光的标记作用，能较大限度的减少真空态的比例。

步骤1中，对于参量下转换过程中为泊松分布的光子对，经过本地探测器标记后，其光子数分布为：

其中参数d_A表示发送端探测器的暗计数率，参数η_A表示发送端探测器的探测效率。

步骤2，签名协议的参与者之间进行密钥分发协议(KGP)；该KGP是基于BB84协议在使用HSPS的基础上进行的部分量子密钥分发(QKD)过程，不包括密钥纠错和保密放大等步骤。

所述步骤2中，量子密钥分发(QKD)过程，具体包括如下步骤：

步骤2-1，制备：发送方以p_Z或1-p_Z的概率随机选择Z基或X基通过量子信道发送给接收方，对应Z基或X基的强度λ是从{μ₁,μ₂,μ₃}随机选取的，相应概率事件分别记为和

步骤2-2，测量：接收方这边也随机选择Z基或X基来进行测量，并把每次测量的结果记录下来。所述步骤2-2中，在接收端一般采用两个单光子探测器进行测量，所以理论上会出现四种结果对于前面两种情况直接把观察的结果记录下来，表示两个探测器都没有响应，最后一种表示两个探测器都有响应，就随机将测量结果记录为0或1。

步骤2-3，对基：进行KGP的双方通过认证的公开信道宣布彼此选取的基和强度；两者将有用的测量结果保留下来，并将那些没有采用相同基矢的数据丢弃；如果双方密钥串长度不够，一直重复这三个过程，直到能满足协议后面的需要。

具体的，为了保证协议的安全性，且简化协议的安全证明，所述步骤2，如图3所示，这里Alice作为量子态的接收方，Bob和Charlie作为制备方和发送方，且只使用Z基下的密钥串来签名。分发阶段包括了经典通信和量子通信，主要是生成签名密钥为签名协议的顺利进行做好准备。

对于后期发送的签名信息m＝0/1，Bob(Charlie)随机制备强度为λ∈{μ₁,μ₂,μ₃}的Z基或X基，对应的概率分别为 p_Z或1-p_Z；Alice也是以同样的概率随机选择Z基或X基进行测量，并将得到的结果记录下来。双方通过认证的经典信道公布自己选择的强度和基矢，舍弃掉对基不成功的数据。

这一过程之后双方都会获得一组密钥，Alice手中会有四份密钥串，上标表示Alice是和谁进行KGP，下标指的是Alice将来可能发送的消息0或1。同样的，Bob拥有密钥串，另一方Charlie拥有

Bob进一步将手中的密钥串分为和其中表示双方都选用X基得到的结果，可以用来估计协议的相位误码率，同理表示双方都选择Z基对基之后的结果。长度为k，用来估计密钥串之间的误码率；和长度为L/2。Charlie进行同样的操作，手中的密钥串记为和

为了保证协议的不可抵赖性，Bob和Charlie会通过两者之间的QKD链路交换手中一半的密钥。并把相对应的位置发送给对方，我们把交换后双方拥有的密钥串记为和

步骤3，签名的发送与验证；协议的参与者将签名信息发送出去，接收方对接收到签名信息进行检验，主要是将自己手中的密钥串与签名信息进行不匹配率的认证，如果大于预先给定的阈值，则放弃本次操作；否则认为签名信息通过认证，并把它转发出去。

所述步骤3，如图3所示，主要是签名信息的发送、验证和接受。具体步骤如下：

(1)为了签名1比特消息，Alice会将签名信息(m,Sig_m)发送给Bob，其中 表示Alice和Bob之间相关的密钥串，表示Alice和Charlie之间相关的密钥串。

(2)Bob在接收到Alice发送过来的消息之后，他将自己手中拥有的密钥与sig_m进行对比，如果两者之间的不匹配率m_ab不超过预先给定的阈值T_a(0<T_a<0.5)，Bob就会将签名消息转发给Charlie，否则不匹配率大于阈值，则拒收。

(3)Charlie在收到Bob转发过来的消息后，同样也是将手中的密钥与Sig_m进行对比，为了防止不诚实的操作成功，这里给定的阈值为T_v，并且要求T_a<T_v<0.5。如果双方的密钥不匹配率m_ac超过T_v，则表示此次签名无效。

以上所述仅为本发明的较佳实施方式，本发明的保护范围并不以上述实施方式为限，但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化，皆应纳入权利要求书中记载的保护范围内。

Claims (5)

1.一种使用标记单光子源的量子数字签名方法，其特征在于：该方法包括以下步骤：

步骤1，标记单光子源(HSPS)的制备；

步骤2，签名协议的参与者之间进行密钥分发协议(KGP)；该KGP是基于BB84协议在使用HSPS的基础上进行的部分量子密钥分发(QKD)过程，不包括密钥纠错和保密放大等步骤；

步骤3，签名的发送与验证；协议的参与者将签名信息发送出去，接收方对接收到的签名信息进行检验，主要是将自己手中的密钥串与签名信息进行不匹配率的认证，如果大于预先给定的阈值，则放弃本次操作；否则认为签名信息通过认证，并把它转发出去。

2.根据权利要求1所述的一种使用标记单光子源的量子数字签名方法，其特征在于：所述步骤1中，所述单光子源通过参量下转换过程来获得，发送方将一个高频率的泵浦光子发射到非线性晶体，会产生两个低频率的光子，闲频光和信号光，当对闲频光那一路使用探测器进行检测，探测器有响应的时候，相应的也能判断出另一路会有光子射出；在这基础上，通过借助闲频光对另一路信号光的标记作用，能较大限度的减少真空态的比例。

3.根据权利要求1所述的一种使用标记单光子源的量子数字签名方法，其特征在于：步骤1中，对于参量下转换过程中为泊松分布的光子对，经过本地探测器标记后，其光子数分布为：

其中参数d_A表示发送端探测器的暗计数率，参数η_A表示发送端探测器的探测效率。

4.根据权利要求1所述的一种使用标记单光子源的量子数字签名方法，其特征在于：所述步骤2中，量子密钥分发(QKD)过程，具体包括如下步骤：

步骤2-1，制备：发送方以p_Z或1-p_Z的概率随机选择Z基或X基通过量子信道发送给接收方，对应Z基或X基的强度λ是从{μ₁,μ₂,μ₃}随机选取的，相应概率事件分别记为和

步骤2-2，测量：接收方这边也随机选择Z基或X基来进行测量，并把每次测量的结果记录下来；

步骤2-3，对基：进行KGP的双方通过认证的公开信道宣布彼此选取的基和强度；两者将有用的测量结果保留下来，并将那些没有采用相同基矢的数据丢弃；如果双方密钥串长度不够，一直重复这三个过程，直到能满足协议后面的需要。

5.根据权利要求4所述的一种使用标记单光子源的量子数字签名方法，其特征在于：所述步骤2-2中，在接收端一般采用两个单光子探测器进行测量，所以理论上会出现四种结果对于前面两种情况直接把观察的结果记录下来，表示两个探测器都没有响应，最后一种表示两个探测器都有响应，就随机将测量结果记录为0或1。