CN111162913A - 基于玻色采样随机幺正操作的仲裁量子签名方法 - Google Patents

Abstract

本发明公开了一种基于玻色采样随机幺正操作的仲裁量子签名方法，包括初始化阶段、签名阶段和验证阶段；初始化阶段用于制备密钥和建立通信系统；签名阶段用于选择合适的签名算法设计传输信息的签名；验证阶段用于验证签名者的有效性和原始信息的完整性和真实性。本发明在仲裁量子签名中设计传输信息的签名中采用基于玻色采样的幺正操作加密，采用基于图上的量子游走隐形传输转移m模量子态，用于隐形传输的必需纠缠态无需提前制备，公共信道和随机元组的雇用使得安全性更高，采用玻色采样模型和量子游走的隐形传输模型均已被证明可通过线性光学网络实现；因此本发明方法安全性高，节约资源且实验上易实现。

Description

基于玻色采样随机幺正操作的仲裁量子签名方法

技术领域

本发明属于量子通信领域，具体涉及一种基于玻色采样随机幺正操作的仲裁量子签名方法。

背景技术

随着信息技术的发展，电子认证已经成为了人们日常生产和生活中最重要的环节之一。

在充满矛盾和利益冲突的现实社会里，各种身份的假冒欺诈行为、消息的伪造与篡改等现象大量存在。为了减少或规避这些情况的发生，需要建立可靠的认证系统。构建认证系统的目的主要包含两点：第一：验证用户的身份，防止假冒和抵赖；第二：验证消息来源的真实性和消息的完整性，避免消息被否认、伪造以及篡改等。

签名是认证领域中一个重要的概念，其可以同时完成身份认证和消息认证。当前，经典数字签名已经被广泛研究且被应用在电子交易、电子商务和电子医疗等安全领域。但是，由于经典签名方案的安全性主要取决于构造密码算法所依赖的难解的数学问题，例如大整数分解和离散对数，而这些数学问题已被证实很容易被量子算法破解，如Shor的量子算法。于是，面对未来强大的量子计算机，这些经典签名方案将不再安全。此外，数字签名不能实现对量子信息的签名。加之相比于经典系统，量子系统对信息的存储能力是随着比特数目增加呈指数增长的。因此，为了确保量子通信系统中以签名的方式安全通信，需要量子签名，它的安全性是由量子力学原理如量子不可克隆定理和海森堡不确定原理所保证，与攻击者本身的计算能力无关。在未来强大的量子计算机面前，量子签名仍可确保通信双方安全地通信。与经典签名类似，量子签名也可区分为真实量子签名和仲裁量子签名，有学者指出无条件安全的两方量子签名(即真实量子签名)是不可能的，且仲裁量子签名更加实用。

目前，仲裁量子签名协议已经在离散和连续场景中得到了广泛的研究。然而，已存在的大多数仲裁量子签名协议易遭受来自不同方面的抵赖和伪造攻击，其关键原因在于所使用的量子一次一密密码算法：其一，量子一次一密以一个量子比特对应一个量子比特的方式加密信息；其二，量子一次一密中所使用的泡利加密操作包含互易特性。这两个特点使得有敌意的参与者可以很容易定位量子比特的位置并进行修改，进而实施可能的抵赖和伪造攻击。

发明内容

本发明的目的在于提供一种安全性高、效率高且近期设备可实现的基于玻色采样随机幺正操作的仲裁量子签名方法。

本发明提供的这种基于玻色采样随机幺正操作的仲裁量子签名方法，包括如下步骤：

初始化阶段：

S1.仲裁者和签名者制备第一密钥K_a，同时仲裁者和验证者制备第二密钥K_b；

S2.密钥制备完成后，建立通信系统；

签名阶段：

S3.签名者随机选择一系列包括n个光子的m模量子态|ψ>(也称为n单光子Fock态)；

S4.签名者随机选择一个随机元组r＝(r₁,r₂,…,r_m)，并使用随机元组r将步骤S3中的m模量子态|ψ>的三个必要的副本转换为三个秘密的量子序列|ψ′>；r为(1,2,…,m)可能排列中的一种；

S5.签名者使用第一密钥转换步骤S4得到的量子序列|ψ′>的第一个副本为|S_a>；

S6.签名者编码|ψ′>的第二个副本在自己的硬币态上，通过量子游走隐形传输的方式传输|ψ′>的第二个副本给验证者，签名者对自己手里的粒子实施的测量基为|M_a>。

S7.签名者制备量子态|S>＝(|ψ′>,|S_a>,|M_a>)并传输给验证者；其中|ψ′>为第三个副本；

验证阶段：

S8.验证者采用第二密钥K_b加密接收到的|S_a>和|ψ′>的第三个副本从而得到|Y_b>，并传输给仲裁者；

S9.仲裁者采用第二密钥K_b解密接收到的|Y_b>，并采用第一密钥加密接收到的|ψ′>的第三个副本并得到|S_t＞，并根据|S_t>和|S_a>的关系得到验证参数τ；

S10.仲裁者采用第一密钥解密|S_a>得到|ψ′>，然后采用第二密钥加密|ψ′>、|S_a＞和τ从而得到|Y_tb>，并发送给验证者；

S11.验证者采用第二密钥解密接收到的|Y_tb>得到|ψ′>、|S_a>和τ，并根据τ的值进行判断；

S12.根据步骤S11的判断结果，验证者再次验证|ψ′>的连续性；

S13.根据步骤S12的验证结果，签名者在公共信道公布随机元组r；

S14.验证者采用步骤S13公布的随机元组r解密|ψ′>得到原始|ψ>，并确认最终的签名者的签名。

步骤S5所述的签名者使用第一密钥转换步骤S4得到的量子序列|ψ′>的第一个副本为|S_a>，具体为签名者采用第一密钥K_a转换|ψ′>的第一个副本为

其中E′为基于玻色采样模型的密码算法，由Haar随机幺正矩阵U表示；

为n个光子随机到达m个模的不同配置的叠加，并表示为

其中c代表一种可能的配置，n′_ij ^c为配置c中第j个模中的光子数目，γ_c为输出配置c的跃迁幅度；在完全不可区分光子满足的条件下测量得到配置c的概率为Pr_c＝|γ_c|²，其中

Per(U_c)为矩阵U_c的积合式，U_c为U的n×n的子矩阵。

步骤S9所述的根据|S_t>和|S_a>的关系得到验证参数τ，具体为验证参数τ的定义为

其中|S_t>源于|ψ′>，|S_a>源于|Y_b>；|Y_b>为步骤S8得到的采用第二密钥K_b加密|S_a>和|ψ′>的第三个副本所得到。

|S_t>和|S_a>的比较，具体为采用两个未知量子态的比较技术进行比较。

所述的采用两个未知量子态的比较技术进行比较，具体为对于两个未知的m模量子态序列|S_t>和|S_a>，其中|S_t>中的

表示为

|S_a>中的

表示为

其中每一个

或

均为单模量子态，j∈{1,2,…,m}；对于

和

的比较，采用两个未知单模量子态的比较技术来完成，比较过程采用如下算式进行描述：

式中H为Hadamard门并用于执行变换

a∈{0,1}；SWAP为交换门并用于执行变换

CSWAP为控制交换门；追踪线路的执行，测量之前的量子态为：

使用测量算符

执行投影测量在量子态|Φ>，得到第一个量子比特的结果为1的概率为

若

则其概率为1；若

则其概率为

和

的连续性验证可以通过独立执行m次

和

的比较；等效的，

和

的关系可以直接被比较得到，令n′＝(2m)！，σ₀,σ₁,...,σ_n′-1构成作用在2m项上的置换操作，Q为n′维辅助系统，初始态为|0>；首先应用一个n′维的量子傅里叶变换F在系统Q，并表示为

然后根据系统所处的状态|j>执行置换σ_j在

上，得到系统态为

然后应用傅里叶逆变换

在系统Q上，接着用投影算符

测量系统态；若

置换算符不起作用，测量结果是0的概率为1；否则输出0的概率为Pr(0)并表示如下：

为了通过上述的连续性测试，上述的概率应小于

其中l为m模量子态被攻击者伪造的数目，l≤M；ε＝max{ε₁,ε₂,...,ε_M}和

通过选择合适的l和m这个概率可以达到足够小。

步骤S11所述的验证者采用第二密钥解密接收到的|Y_tb>得到|ψ′>、|S_a>和τ，并根据τ的值进行判断，具体为若τ＝0，则验证者认定签名者的签名|S_a>为无效的；若τ＝1，则验证者需要继续验证|ψ′>的连续性。

步骤S12所述的验证者再次验证|ψ′>的连续性，具体为验证者根据|M_a>中指示的粒子的测量结果，执行相应的局域幺正操作在自己的粒子上来重建|ψ′>的第二个副本|ψ′_out>；然后验证者判断|ψ′_out>和来自仲裁者的|ψ′>的连续性：若|ψ′_out>≠|ψ′>，则签名者的签名被拒绝，放弃本次通信；若|ψ′_out>＝|ψ′>，则验证者要求签名者在公共信道公布随机元组r。

本发明提供的这种基于玻色采样随机幺正操作的仲裁量子签名方法，首次采用基于玻色采样的幺正操作加密代替量子一次一密加密应用在仲裁量子签名中设计传输信息的签名；其加密方式是采用指数短的密钥加密信息，即采用集合的方式加密信息；其加密变换算符不包含互易特性；这两个特性规避了量子一次一密在仲裁量子签名协议中引起的不同方面的抵赖和伪造攻击行为，其相应的仲裁量子签名协议更加的安全。此外，采用基于图上的量子游走隐形传输代替一般的量子隐形传输方式转移m模量子态，用于隐形传输的必需纠缠态无需提前制备，它们可以通过两步量子游走制备而成，节约了专门制备纠缠资源的开销，相应的协议的效率更高；同时，公共信道和随机元组r的雇用抑制了签名者对信息的可能抵赖攻击和验证者对签名的接收和完整性可能的否认攻击，在整个通信过程中，一旦仲裁者发现签名(可能)被伪造，则通过公共信道公布消息通知通信双方签名者和验证者终止通信。最后，采用的玻色采样模型和量子游走的隐形传输模型均已被证明可通过线性光学网络实现。因此，本发明方法具有安全性高、节约资源(效率高)和实验上易实现的特点。

附图说明

图1为本发明方法的方法流程示意图。

图2为本发明方法中的基于玻色采样的密码算法示意图。

图3为本发明方法中的两个单模量子态比较的线路原理示意图。

图4为本发明方法中的两个多模量子态比较的线路原理示意图。

具体实施方式

如图1所示为本发明方法的方法流程示意图：本发明提供的这种基于玻色采样随机幺正操作的仲裁量子签名方法，包括如下步骤：

初始化阶段：旨在制备所应用密码算法使用的密钥和建立通信系统；

S1.仲裁者和签名者制备第一密钥K_a，同时仲裁者和验证者制备第二密钥K_b；

仲裁者Trent和签名者Alice制备第一密钥K_a，同时仲裁者Trent和验证者Bob制备第二密钥K_b，分别表示为：

其中

为K_a中第i个密钥

为K_b中的第i个密钥，L为密钥长度且与要加密信息的长度和所使用的密码算法有关；这一步可通过量子密钥分发系统来实现，量子密钥分发系统确保密钥制备和分发的无条件安全性；

S2.密钥制备完成后，建立通信系统；

当签名者Alice和验证者Bob想要通信的时候，签名者Alice或者验证者Bob向仲裁者Trent发起通信申请；

签名阶段：旨在通过选择合适的签名算法设计要传输信息的签名，此阶段意在确保信息的真实性和完整性以及签名者的不可抵赖；

S3.签名者随机选择一系列包括n个光子的m模量子态|ψ>(也称为n单光子Fock态)，表示如下：

|ψ>＝{|ψ₁>,|ψ₂>,...,|ψ_i>,...,|ψ_M>}

|ψ>用于承载要签名的信息，其中|ψ_i>(i＝1,2,...,M)为一个m模量子态，表示为|ψ_i>＝|n_i1,n_i2,...,n_im>，其中n_ij∈{0,1}为第j个模中的光子数目，

为m个模中的光子总数，|ψ_i>为随机选取于基于m个模和n个光子的玻色采样模型中的

种可能配置中的一种；

S4.签名者随机选择一个随机元组r＝(r₁,r₂,...,r_m)，并使用随机元组r(r为(1,2,...,m)可能排列中的一种)将步骤S3得到的m模量子态|ψ>的三个必要的副本转换为三个秘密的量子序列|ψ′>，并表示如下：

|ψ′>＝E_r(|ψ>)＝{|ψ′₁>,|ψ′₂>,...,|ψ′_i>,...,|ψ′_M>}

式中|ψ′_i>＝|n′_i1,n′_i2,...,n′_im>为|ψ′>中第i个秘密的m模量子态，E为链式受控非操作加密算法；

S5.签名者使用第一密钥转换步骤S4得到的量子序列|ψ′>的第一个副本为|S_a>；具体为签名者Alice采用第一密钥K_a转换|ψ′>的第一个副本为

其中E′为基于玻色采样模型的密码算法，由Haar随机幺正矩阵U表示；

为n个光子随机到达m个模的不同配置的叠加，并表示为

其中c代表一种可能的配置，n′_ij ^c为配置c中第j个模中的光子数目，γ_c为输出配置c的跃迁幅度；在完全不可区分光子满足的条件下测量得到配置c的概率为Pr_c＝|γ_c|²，其中

Per(U_c)为矩阵U_c的积合式，U_c为U的n×n的子矩阵；

基于玻色采样模型的密码算法，如图2所示，Alice和Bob为信息的发送者和接收者，Eve为可能的攻击者，若输入信息为|ψ_j>，通过由m×m的Haar随机幺正矩阵U表征的多光子干涉仪的线性光学网络中，即对输入信息执行加密；然后再通过m×m的Haar随机的逆幺正矩阵的多光子干涉仪的线性光学网络中，即执行相应的解密操作，由于矩阵U的可逆性，可解密出原始输入信息|ψ_j>；

S6.签名者编码|ψ′>的第二个副本在自己的硬币态上，以期通过量子游走隐形传输的方式发送|ψ′>的第二个副本给验证者，签名者对自己的粒子实施的测量基为|M_a>。

在具体实施时，为了隐形传输m模量子态，签名者Alice需要2m个粒子，表示为{A₁,A₂,...,A_2m-1,A_2m}；根据下标的奇偶性分为两类，分别表示为{A₁,A₃,...,A_2m-1}和{A₂,A₄,...,A_2m}；签名者的硬币态(硬币1)被编码在奇数粒子A_2i-1上，签名者的位置态被编码在偶数粒子A_2i上，其中i＝{1,2,...,m}；验证者Bob需要m个粒子，表示为{B₁,B₂,...,B_m}；验证者的硬币态(硬币2)被编码在粒子B_i上；签名者的硬币1态的初始态为|ψ′>的第二个副本，这个副本被期望通过量子游走隐形传输的方式传输给验证者Bob；在|ψ′>的第二个副本中，每一个|ψ′_i>＝|n′_i1,n′_i2,...,n′_im>可以被看作是m个未知的完全不可区分的光子的直积，每一个未知的光子可以表示为α|0>+β|1>，故应用m个并行的由两个硬币驱使的基于包含两个顶点的完全图上的量子游走的隐形传输，m模量子态|ψ′_i>可以在一次通信中被成功的传输；一个由两个硬币驱使的基于包含两个顶点的完全图上的量子游走可以传输任意的未知的光子α|0>+β|1>，需要三个粒子A_2i、A_2i-1和B_i；取i＝1，假设A₁、A₂和B初始态分别为α|0>+β|1>、|0>和|0>，则此量子游走系统的初始态为：

量子游走的第一步W₁可以表示为

其中

为条件变换算符，l表示完全图上的边，k表示完全图上的顶点，|l>为控制量子比特，|k>为受控量子比特，C₁为作用在硬币1空间的硬币算符，它可以是任意的单量子比特操作，I₂为作用在硬币2空间的单位矩阵。选择C₁＝I，经过一步量子游走W₁，可得到系统态变换为：

量子游走的第二步W₂表示为：

其中

I₁为作用在硬币1空间的单位矩阵，C₂为作用在硬币2空间的硬币算符；选择C₂＝H，经过第二步量子游走W₂，可得到系统态演化为：

这两步展示了用于量子隐形传输必需的纠缠资源可以通过量子游走来制备；

然后，签名者使用测量基{|0>,|1>}来测量粒子A₂，相应的测量结果为{0,1}。然后签名者使用测量基{|+>,|->}测量粒子A₁，相应的测量结果为{1,0}；整合签名者的测量基在一个集合|M_a>中，可表示为：

此测量基用于帮助验证者通过量子游走隐形传输的方式恢复|ψ′>的第二个副本；

S7.签名者制备量子态|S>＝(|ψ′>,|S_a>,|M_a>)并传输给验证者；其中|ψ′>为第三个副本；

验证阶段：旨在通过选择合适的验证算法验证签名者完成的签名和原始信息|ψ>的完整性和真实性。由于验证者不知道签名者的密钥K_a，此阶段需要仲裁者的辅助来完成整个验证过程；

S8.验证者采用第二密钥K_b加密接收到的|S_a>和|ψ′>的第三个副本，得到|Y_b>，并将|Y_b>传输给仲裁者；|Y_b>＝E′_Kb(|S_a>,|ψ′>)；

S9.仲裁者采用第二密钥K_b解密接收到的|Y_b>，并采用第一密钥加密接收到的|ψ′>的第三个副本并得到|S_t>，并根据|S_t>和|S_a>的关系得到验证参数τ；

在具体实施时，仲裁者Trent使用第二密钥K_b解密|Y_b>获得|S_a>和|ψ′>的第三个副本，然后仲裁者Trent使用第一密钥K_a加密|ψ′>的第三个副本得到|S_t>，它应该等于|S_a>，即|S_t>＝|S_a>；为了比较|S_t>和|S_a>，结合参数|S_a>，K_a和|ψ′>，仲裁者Trent定义一个验证参数τ，其可表示如下：

其中|S_t>源于|ψ′>，|S_a>源于|Y_b>；|Y_b>为步骤S8得到的采用第二密钥K_b加密|S_a>和|ψ′>的第三个副本所得到；

此外，|S_t>和|S_a>的比较，具体为采用两个未知量子态的比较技术进行比较：对于两个未知的m模量子态序列|S_t>和|S_a>，其中|S_t>中的

表示为

|S_a>中的

表示为

其中每一个

或

均为单模量子态，j∈{1,2,...,m}；对于

和

的比较，采用两个未知单模量子态的比较技术来完成，如图3所示，比较过程采用如下算式进行描述：

式中H为Hadamard门并用于执行变换

a∈{0,1}；SWAP为交换门并用于执行变换

CSWAP为控制交换门；追踪线路的执行，测量之前的量子态为：

执行投影测量算符

测量量子态|Φ>，通过计算

得到第一个量子比特输出结果为1的概率为

若

则其概率为1；若

则其概率为

和

的连续性验证可以通过独立执行m次

和

的比较；等效的，

和

的关系可以直接被比较得到，如图4所示，令n′＝(2m)！，σ₀,σ₁,...,σ_n′-1构成作用在2m项上的置换操作，Q为n′维辅助系统，初始态为|0>；首先应用一个n′维的量子傅里叶变换F在系统Q，并表示为

然后根据系统所处的状态|j>执行置换σ_j在

上，得到系统态为

然后应用傅里叶逆变换

在系统Q上，接着用投影算符

在系统态；若

置换算符不起作用，测量结果是0的概率为1；否则输出0的概率为Pr(0)并表示如下：

为了通过上述的连续性测试，上述的概率应小于

其中l为m模量子态被攻击者伪造的数目，l≤M；ε＝max{ε₁,ε₂,...,ε_M}和

通过选择合适的l和m这个概率可以足够小；

S10.仲裁者采用第一密钥解密|S_a>得到|ψ′>，然后采用第二密钥加密|ψ′>、|S_a>和τ从而得到|Y_tb>，并发送给验证者；

S11.验证者采用第二密钥解密接收到的|Y_tb>得到|ψ′>、|S_a>和τ，并根据τ的值进行判断；具体为若τ＝0，则验证者Bob认定签名者Alice的签名|S_a>为无效的；若τ＝1，则验证者Bob需要继续验证|ψ′>的连续性；

S12.根据步骤S11的判断结果，验证者再次验证|ψ′>的连续性；具体为验证者Bob根据|M_a>中指示的粒子的测量结果，执行相应的局域幺正操作在自己的粒子上来重建|ψ′>的第二个副本|ψ′_out>；然后验证者Bob判断|ψ′_out>和来自仲裁者Trent的|ψ′>的连续性：若|ψ′_out>≠|ψ′>，则签名者Alice的签名被拒绝，放弃本次通信；若|ψ′_out>＝|ψ′>，则验证者Bob要求签名者Alice在公共信道公布随机元组r；

在具体实施时，例如，如果粒子A₂的测量结果为0，粒子A₁和粒子B之间的态变换为α|00>+β|11>，接着如果粒子A₁的测量结果为1，则粒子B的状态塌陷为α|0>+β|1>；签名者的粒子A₂和粒子A₁的测量结果和验证者的局域幺正恢复操作如表1所示；

表1Alice的粒子A₂和A₁的经典测量结果和Bob的局域幺正恢复操作之间的关系

粒子A<sub>2</sub>和粒子A<sub>1</sub>的测量结果	恢复操作
		0,0	Z
0,1	I
		1,0	ZX
1,1	X

验证者Bob的测量基用集合|M_b>表示如下：

其中每一个测量基

取自于{I,Z,X,ZX}中的一种；验证者Bob判断|ψ′_out>和来自于仲裁者Trent的|ψ′>的连续性，即|ψ′_out>和|ψ′>是否相等。如果|ψ′_out>≠|ψ′>，则签名者Alice的签名被拒绝，这次通信被放弃；否则验证者Bob要求签名者Alic在公共信道上广播随机元组r；这意味着|ψ′>中所有的m模量子态被证实是连续的；

S13.根据步骤S12的验证结果，签名者同意验证者的请求在公共信道公布随机元组r；

S14.验证者采用步骤S13公布的随机元组r解密|ψ′>得到原始|ψ>，并确认最终的签名者的签名。

Claims (7)

1.一种基于玻色采样随机幺正操作的仲裁量子签名方法，包括如下步骤：

初始化阶段：

S1.仲裁者和签名者制备第一密钥K_a，同时仲裁者和验证者制备第二密钥K_b；

S2.密钥制备完成后，建立通信系统；

签名阶段：

S3.签名者随机选择一系列包括n个光子的m模量子态|ψ>(也称为n单光子Fock态)；

S4.签名者随机选择一个随机元组r＝(r₁,r₂,...,r_m)，并使用随机元组r将步骤S3得到的m模量子态|ψ>的三个必要的副本转换为三个秘密的量子序列|ψ′>；r为(1,2,...,m)可能排列中的一种；

S5.签名者使用第一密钥转换步骤S4得到的量子序列|ψ′>的第一个副本为|S_a>；

S6.签名者编码|ψ′>的第二个副本在自己的硬币态上，以期通过量子游走隐形传输的方式发送|ψ′>的第二个副本给验证者，签名者在自己粒子上实施的测量基为|M_a>。

S7.签名者制备量子态|S>＝(|ψ′>,|S_a>,|M_a>)并传输给验证者；其中|ψ′>为第三个副本；

验证阶段：

S8.验证者采用第二密钥K_b加密接收到的|S_a>和|ψ′>的第三个副本从而得到|Y_b>，并传输给仲裁者；

S9.仲裁者采用第二密钥K_b解密接收到的|Y_b>，并采用第一密钥加密接收到的|ψ′>的第三个副本并得到|S_t>，并根据|S_t〉和|S_a〉的关系得到验证参数τ；

S10.仲裁者采用第一密钥解密|S_a>得到|ψ′>，然后采用第二密钥加密|ψ′>、|S_a>和τ从而得到|Y_tb>，并发送给验证者；

S11.验证者采用第二密钥解密接收到的|Y_tb>得到|ψ′>、|S_a>和τ，并根据τ的值进行判断；

S12.根据步骤S11的判断结果，验证者再次验证|ψ′>的连续性；

S13.根据步骤S12的验证结果，签名者在公共信道公布随机元组r；

S14.验证者采用步骤S13公布的随机元组r解密|ψ′>得到原始|ψ>，并确认最终的签名者的签名。

2.根据权利要求1所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于步骤S5所述的签名者使用第一密钥转换步骤S4得到的量子序列|ψ′〉的第一个副本为|S_a>，具体为签名者采用第一密钥K_a转换|ψ′>的第一个副本为

其中E′为基于玻色采样模型的密码算法，由Haar随机幺正矩阵U表示；

为n个光子随机到达m个模的不同配置的叠加，并表示为

其中c代表一种可能的配置，

为配置c中第j个模中的光子数目，γ_c为输出配置c的跃迁幅度；在完全不可区分光子满足的条件下测量得到配置c的概率为Pr_c＝|γ_c|²，其中

Per(U_c)为矩阵U_c的积合式，U_c为U的n×n的子矩阵。

3.根据权利要求2所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于步骤S9所述的根据|S_t〉和|S_a〉的关系得到验证参数τ，具体为验证参数τ的定义为

其中|S_t〉源于|ψ′〉，|S_a〉源于|Y_b〉；|Y_b〉为步骤S8得到的采用第二密钥K_b加密|S_a>和|ψ′>的第三个副本所得到。

4.根据权利要求3所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于|S_t>和|S_a>的比较，具体为采用两个未知量子态的比较技术进行比较。

5.根据权利要求4所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于所述的采用两个未知量子态的比较技术进行比较，具体为对于两个未知的m模量子态序列|S_t>和|S_a>，其中|S_t>中的

表示为

|S_a>中的

表示为

其中每一个

或

均为单模量子态，j∈{1,2,...,m}；对于

和

的比较，采用两个未知单模量子态的比较技术来完成，比较过程采用如下算式进行描述：

式中H为Hadamard门并用于执行变换

SWAP为交换门并用于执行变换

CSWAP为控制交换门；追踪线路的执行，测量之前的量子态为：

执行投影测量算符

测量量子态|Φ>，计算

得到第一个量子比特输出结果为1的概率为

若

则其概率为1；若

则其概率为

和

的连续性验证可以通过独立执行m次

和

的比较；等效的，

和

的关系可以直接被比较得到，令n′＝(2m)！，σ₀,σ₁,...,σ_n′-1构成作用在2m项上的置换操作，Q为n′维辅助系统，初始态为|0>；首先应用一个n′维的量子傅里叶变换F在系统Q，并表示为

然后根据系统所处的状态|j>执行置换算符σ_j在

上，得到系统态为

然后应用傅里叶逆变换

在系统Q上，接着用投影算符

在系统态；若

置换算符不起作用，测量结果是0的概率为1；否则输出0的概率为Pr(0)并表示如下：

为了通过上述的连续性测试，上述的概率应小于

其中l为m模量子态被攻击者伪造的数目，l≤M；ε＝max{ε₁,ε₂,...,ε_M}和

通过选择合适的l和m即可。

6.根据权利要求5所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于步骤S11所述的验证者采用第二密钥解密接收到的|Y_tb>得到|ψ′>、|S_a>和τ，并根据τ的值进行判断，具体为若τ＝0，则验证者认定签名者的签名|S_a>为无效的；若τ＝1，则验证者需要继续验证|ψ′>的连续性。

7.根据权利要求6所述的基于玻色采样随机幺正操作的仲裁量子签名方法，其特征在于步骤S12所述的验证者再次验证|ψ′>的连续性，具体为验证者根据|M_a>中指示的粒子的测量结果，执行相应的局域幺正操作在自己的粒子上来重建|ψ′>的第二个副本|ψ_o′_ut>；然后验证者判断|ψ_o′_ut>和来自仲裁者的|ψ′>的连续性：若|ψ_o′_ut>≠|ψ′>，则签名者的签名被拒绝，放弃本次通信；若|ψ_o′_ut>＝|ψ′>，则验证者要求签名者在公共信道公布随机元组r。

Images