CN111865599B - 一种单诱骗态量子数字签名方法 - Google Patents

Abstract

本发明提供一种单诱骗态量子数字签名方法，在密钥分发阶段，本方案只需要将光源强度调制为两种强度，即信号态和诱骗态，即可进行高效的参数估计和量子数字签名。该方法避免了传统多强度诱骗态量子数字签名方案中制备真空态的要求，降低了实验实现的难度，同时减少了随机数的消耗。本发明使用低损耗不等臂Mach‑Zehnder干涉仪和实时偏振补偿方法，实现了高效的密钥传输和签名。本发明系统实现简单，运行稳定，与以往的工作相比，在满足量子数字签名协议的不可抵赖性、不可伪造性、可转移性的安全前提下，成功地实现了更高的签名率和更远的传输距离。

Description

一种单诱骗态量子数字签名方法

技术领域

本发明涉及量子通信中的量子数字签名技术领域，尤其涉及一种单诱骗态量子数字签名方法。

背景技术

数字签名在很多情景下都扮演着重要的角色，比如软件分发、电子商务和金融交易，这些都需要保证信息的真实性和完整性。目前广泛使用的数字签名方案一般采用公钥加密，由于单向数学函数的复杂性和有限的计算资源，公钥加密被认为是安全的。然而，随着算法的重大突破和量子计算机的快速发展，这一观点是站不住脚的。为了摆脱这种困境，根据量子力学的基本原理，最早由Gottesman和Chuang提出的量子数字签名(QuantumDigital Signature,QDS)能够保证信息安全。但由于原始协议需要长期的量子存储，在实验上具有挑战性。随后的QDS的实验尝试，在不受非破坏性量子态比较和量子存储限制的情况下，仍然使用了安全的量子通道假设。最新的QDS方案成功地将技术复杂度降低到量子密钥分发(QKD)的水平，即不再需要安全量子信道的假设。在防止信道窃听方面，通常使用诱骗态方法抵抗光子数分攻击。然而，诱骗态QDS方案在实验操作的简化和签名率的提高两方面仍需要改善。

发明内容

针对现有技术的不足，本发明的目的是提供了一种单诱骗态量子数字签名方法，使用低损耗不等臂Mach-Zehnder干涉仪，针对干涉仪的特殊结构采用实时偏振补偿方法，实现有效的单诱骗态BB84的相位编码方案。基于以上优点，可以在103公里的光纤中获得了0.985比特/秒的签名率，此外可以实现迄今为止最长280公里以上的签名距离，这表现单诱骗态QDS在实际应用中的优越性。

本发明提供一种单诱骗态量子数字签名方法，所述方法包括三个参与者：一个签名者Alice和两个接受签名对象Bob和Charlie，所述方法包括两个阶段：分发阶段和消息阶段，具体方法如下：

在分发阶段，密钥生成协议由Bob-Alice和Charlie-Alice分别执行生成密钥串；对于需要签名的信息m∈{0,1}，Bob或Charlie通过随机地选择一个比特b∈{0,1}，基

强度λ∈{μ,ν}来制备N_t个量子态，并将它们发送给Alice；Alice随机地选择基

来测量，对基筛选后，Bob或Charlie和Alice可以得到Z基下长度为l的密钥，记为

和/>

(/>

和/>

)。其中，/>

由Bob或Charlie持有，/>

和/>

由Alice持有，然后，Bob或Charlie随机选取Z基密钥的一小部分，如k长度，用来估计错误率E_BA(E_CA)，Z基剩下长度为L的密钥，记为/>

和/>

(/>

和/>

)，用来签名信息m，最后Bob或Charlie随机地选择密钥/>

中的一半，将该部分密钥及相应位置通过Bob和Charlie之间的保密经典通道发送给Charlie或Bob，将Bob和Charlie交换后的密钥分别表示为/>

和

其中，/>

表示Bob(Charlie)用来交换的一半密钥，

表示Bob(Charlie)保留的一半密钥；

在消息阶段，Alice发送(m,Sig_m)给Bob，其中

Bob通过把Sig_m中对应密钥分别与/>

和/>

比较，得到Sig_m与/>

之间密钥不匹配数目并记录下来，如果对于

的每一半密钥，不匹配数目都小于s_aL/2，使Bob接受该信息并把信息(m,Sig_m)发给Charlie，否则Bob拒绝接收并宣布协议中止，当Charlie收到Bob发送的信息，则用与Bob同样的方式检测接收到的密钥与/>

之间的不匹配率，但是用一个不同的阈值s_v，如果对于/>

的每一半密钥，不匹配数目都小于s_vL/2，则Charlie接受该信息，s_a和s_v分别表示不同的验证阈值，并且满足/>

进一步改进在于：只需要将光源强度调制为两种强度，即信号态和诱骗态，即进行高效的参数估计和量子数字签名。

进一步改进在于：所述单诱骗态方案中参数估计过程为在单诱骗态QDS方案中，考虑到有限长效应，探测到的单光子数目下界

表示为/>

其中，τ_n是Bob或Charlie制备n-光子态的概率，n＝0,1分别代表真空态和单光子，/>

和/>

分别是接收端探测到的Z基下强度为ν的光子数下界和强度为μ的光子数上界，/>

是探测到的真空态数目的上界，由上式看出，为了得到单光子数目的下界，必须知道表达式中真空态数目上界；通过取一个基的误码总数来估计真空态数目上界，Z基下的误码总数m_Z满足

其中，p_λ|n表示制备n-光子态时选择强度为λ的条件概率，υ_Z,n表示Z基下n-光子事件的比特误码数目，为了将这个Z基下的误码总数m_Z与真空态数目联系起来，由真空态事件引起的误码的期望值(<υ_Z,0>)应该是相对应的全部事件的一半，即

这是由于真空事件所引起的错误的或者正确的探测结果的概率是相等的。对υ_Z,0考虑有限长效应得到<υ_Z,0>≤υ_Z,0+δ(s_Z,0,ε₁)≤m_Z+δ(n_Z,ε₁)，其中，由有限长效应，Z基下的真空态探测的比特误码数的上界/>

满足/>

此关系式的失败概率为1-2ε₁，且/>

n_Z表示Z基下探测到的总光子数目，第二个不等号成立是因为m_Z≥υ_Z,0和n_Z≥s_Z,0，由以上公式可以得到s_Z,0的上界/>

其中m_Z和n_Z是实验可观测值。

进一步改进在于：所述给定保证所述QDS传输协议安全性的条件，分别为：P_HA≤2∈_PE、

和P_F≤a+∈_F+10∈_PE，其中，P_HA表示鲁棒性概率，∈_PE是用Serfling不等式估计Alice-Bob和Alice-Charlie之间错误率的失败概率；P_R表示抵赖概率，用于衡量Alice的签名被Bob接受但被Charlie拒绝的概率；P_F表示伪造概率，用于衡量伪造Alice的签名可同时被Bob和Charlie接受的概率；a和∈_F与Bob发现签名的错误率小于s_v的概率相关，a为预设的常数概率，∈_F定义为：/>

其中，/>

和/>

分别表示比特串/>

的单光子计数的下界和单光子相位误码的上界，能由有限长单诱骗态方法估计出来，H为二元香农熵函数，表示为H(x)＝-xlog₂(x)-(1-x)log₂(1-x)，ε是用平滑最小熵估计Eve信息的失败概率，系统中定义签一个比特信息的签名率为

N表示当前距离经优化后签名半比特信息所需的脉冲数，系统的安全性系数定义为P_total≥max(P_HA，P_R，P_F)。

进一步改进在于：所述当Eve猜测Bob的密钥时引入的最小误码率p_E表示为

观测到的/>

和/>

之间的误码率的上界/>

用Serfling不等式估计：/>

其中∈_PE是该等式的失败概率，/>

和/>

之间的误码率上界/>

也能估计出来，定义观测到的总的误码率上界/>

本发明的有益效果是：使用低损耗不等臂Mach-Zehnder干涉仪，采用实时偏振补偿方法，实现有效的单诱骗态BB84的相位编码方案。相比常规的QDS系统，该系统实验操作简单实用，不需要制备真空态，并且消耗的随机数目减少；此外，在满足给定安全性的条件下能够用于签名的密钥增加。仿真结果表明其在各方面都具有良好的表现。

附图说明

图1是本发明的单诱骗态QDS系统实验装置图。

图2是本发明与其他方案签名率的对比图。

具体实施方式

为了加深对本发明的理解，下面将结合实施例对本发明作进一步的详述，本实施例仅用于解释本发明，并不构成对本发明保护范围的限定。如图1-2所示，本实施例提供了一种单诱骗态量子数字签名方法，所述方法包括三个参与者：一个签名者Alice和两个接受签名对象Bob和Charlie，所述方法包括两个阶段：分发阶段和消息阶段，具体方法如下：

在分发阶段，密钥生成协议由Bob-Alice和Charlie-Alice分别执行生成密钥串；对于需要签名的信息m∈{0,1}，Bob或Charlie通过随机地选择一个比特b∈{0,1}，基

强度λ∈{μ,ν}来制备N_t个量子态，并将它们发送给Alice；Alice随机地选择基

来测量，对基筛选后，Bob或Charlie和Alice可以得到Z基下长度为l的密钥，记为

和/>

(/>

和/>

)。其中，/>

由Bob或Charlie持有，/>

和/>

由Alice持有，然后，Bob或Charlie随机选取Z基密钥的一小部分，如k长度，用来估计错误率E_BA(E_CA)，Z基剩下长度为L的密钥，记为/>

和/>

(/>

和/>

)，用来签名信息m，最后Bob或Charlie随机地选择密钥/>

中的一半，将该部分密钥及相应位置通过Bob和Charlie之间的保密经典通道发送给Charlie或Bob，将Bob和Charlie交换后的密钥分别表示为/>

和

其中，/>

表示Bob(Charlie)用来交换的一半密钥，

表示Bob(Charlie)保留的一半密钥；

在消息阶段，Alice发送(m,Sig_m)给Bob，其中

Bob通过把Sig_m中对应密钥分别与/>

和/>

比较，得到Sig_m与/>

之间密钥不匹配数目并记录下来，如果对于

的每一半密钥，不匹配数目都小于s_aL/2，使Bob接受该信息并把信息(m,Sig_m)发给Charlie，否则Bob拒绝接收并宣布协议中止，当Charlie收到Bob发送的信息，则用与Bob同样的方式检测接收到的密钥与/>

之间的不匹配率，但是用一个不同的阈值s_v，如果对于/>

的每一半密钥，不匹配数目都小于s_vL/2，则Charlie接受该信息，s_a和s_v分别表示不同的验证阈值，并且满足/>

只需要将光源强度调制为两种强度，即信号态和诱骗态，即进行高效的参数估计和量子数字签名。

所述单诱骗态方案中参数估计过程为在单诱骗态QDS方案中，考虑到有限长效应，探测到的单光子数目下界

表示为/>

其中，τ_n是Bob或Charlie制备n-光子态的概率，n＝0,1分别代表真空态和单光子，/>

和/>

分别是接收端探测到的Z基下强度为ν的光子数下界和强度为μ的光子数上界，/>

是探测到的真空态数目的上界，由上式看出，为了得到单光子数目的下界，必须知道表达式中真空态数目上界；通过取一个基的误码总数来估计真空态数目上界，Z基下的误码总数m_Z满足

其中，p_λ|n表示制备n-光子态时选择强度为λ的条件概率，υ_Z,n表示Z基下n-光子事件的比特误码数目，为了将这个Z基下的误码总数m_Z与真空态数目联系起来，由真空态事件引起的误码的期望值(<υ_Z,0>)应该是相对应的全部事件的一半，即

这是因为由真空事件所引起的错误或者正确的探测结果概率相等。对υ_Z,0考虑有限长效应得到<υ_Z,0>≤υ_Z,0+δ(s_Z,0,ε₁)≤m_Z+δ(n_Z,ε₁)，其中，由有限长效应，Z基下的真空态探测的比特误码数的上界/>

满足/>

此关系式的失败概率为1-2ε₁，且/>

n_Z表示Z基下探测到的总光子数目，第二个不等号成立是因为m_Z≥υ_Z,0和n_Z≥s_Z,0，由以上公式可以得到s_Z,0的上界/>

其中m_Z和n_Z是实验可观测值。

所述给定保证所述QDS传输协议安全性的条件，分别为：P_HA≤2∈_PE、

和P_F≤a+∈_F+10∈_PE，其中，P_HA表示鲁棒性概率，∈_PE是用Serfling不等式估计Alice-Bob和Alice-Charlie之间错误率的失败概率；P_R表示抵赖概率，用于衡量Alice的签名被Bob接受但被Charlie拒绝的概率；P_F表示伪造概率，用于衡量伪造Alice的签名可同时被Bob和Charlie接受的概率；a和∈_F与Bob发现签名的错误率小于s_v的概率相关，a为预设的常数概率，∈_F定义为：/>

其中，/>

和/>

分别表示比特串/>

的单光子计数的下界和单光子相位误码的上界，能由有限长单诱骗态方法估计出来，H为二元香农熵函数，表示为H(x)＝-xlog₂(x)-(1-x)log₂(1-x)，ε是用平滑最小熵估计Eve信息的失败概率，系统中定义签一个比特信息的签名率为

N表示当前距离经优化后签名半比特信息所需的脉冲数，系统的安全性系数定义为P_total≥max(P_HA，P_R，P_F)。

所述当Eve猜测Bob的密钥时引入的最小误码率p_E表示为

观测到的/>

和/>

之间的误码率的上界/>

用Serfling不等式估计：/>

其中∈_PE是该等式的失败概率，/>

和/>

之间的误码率上界/>

也能估计出来，定义观测到的总的误码率上界/>

采用单诱骗态方法和低损耗不等臂MZ(AMZI，asymmetric Mach-Zehndeinterferometer)干涉仪。

单诱骗态QDS实现过程分为分发阶段和消息阶段。在分发阶段，签名协议的参与者之间进行密钥分发协议，不包括密钥纠错和保密放大等步骤；在消息阶段包括签名的发送与验证，协议的参与者将签名信息发送出去，接收方对接收到的签名信息进行检验，主要是将自己手中的密钥串与签名信息进行不匹配率的认证，如果大于预先给定的阈值，则放弃本次操作；否则认为签名信息通过认证，并把它转发出去。在发明内容部分对单诱骗态量子签名方案的协议流程、参数估计和安全性分析作了详细说明。这里为使本发明的目的、技术方案和优点更加清楚明白，主要在以下部分，结合具体实施例，并参照附图，对本发明作进一步的详细说明。

图1是本发明方案的实验装置示意图。在Bob或Charlie端，中心波长为1550.12nm的激光二极管(LD)，工作频率为50MHz，发射脉宽100ps的相位随机光脉冲。强度调制器(IM)用于制备不同的光强以实施诱骗态技术，然后被发送到AMZI，AMZI中的相位调节器(PM，phase modulator)将光子的相位随机调节成BB84协议的4个态{0,π/2,π,3π/2}。AMZI由一个分束器BS、一个相位调制器(PM)和一个偏振分数器(PBS)组成，AMZI内部由保偏光纤连接。该方法避免了普通Mach-Zehnder干涉仪存在的大部分器件损耗，从而使一对AMZIs器件的损耗降低3dB。然后编码脉冲经衰减器(Att)衰减到单光子量级并传送给Alice。

在测量端，本发明使用了电控偏振控制器(EPC)通过监测和进一步抑制侧峰计数来调节入射光子的偏振，该方法保证QDS能够连续以高计数率状态运行。Alice采用另一个相匹配的AMZI来解码相位信息，并用两个商用超导纳米线单光子探测器(SNSPDs:TCOPRS-CCR-SW-85,SCONTEL公司)探测，SNSPDs的工作温度为2.3K，探测效率为65％，暗计数率为20Hz。然后用时间数字转换器(TDC，time-to-digital converter)来收集来自探测器的信号，时间窗设置为2ns，整个测量端的损耗接近1.53dB。另外，由于环境变化和光纤的影响，本发明采用扫描和传输的方式来补偿相位漂移和校准光子到达时间。考虑到额外的时间开销，该系统的运行效率为86％。

在前面建立的安全模型下，计算系统签名率或分发签名态序列用于签名1bit信息所用的时间。实验中设置参数∈_PE＝10^-5，a＝10^-5，ε＝10^-10，其他参数如表I所示，其中α_f表示光纤传输损耗，e_mis表示系统光学失调误差，η_Alice表示测量端的插入损耗，η_d表示单光子探测器效率，p_d表示单光子探测器的暗计数率，N_t表示每次实验中Bob(Charlie)端发送的脉冲数。

表I.实验所用参数

考虑统计起伏，图2展示了本发明实验所得签名率与理论预测的签名率。图2中点线表示系统安全水平为P_total＝10^-5时的理论签名率，而三个五角星点表示在不同距离下对应的实验签名率。实验结果与理论值吻合较好。为了进行公平的比较，用实线表示模拟的安全水平为P_total＝10^-10的理论签名情况。

此外还将本发明与上述其他方案的重要实验参数和签名一个比特信息所用的时间进行了比较结果列于表II。

表II

表II表示相同安全性下不同方案签名一个比特的比较结果。其中，Collins2016(方案1)采用1GHz重复频率的差分相位(DPS，differential phase shift)系统实现了90km光纤的传输，签名一个比特的时间仅大约为1s。在此基础上，改进实验系统传输距离能够达到134.2km，此时签名一个比特时间为27.13s。从图2可以看出，在同样信道损耗情况下，只有Collins2016(方案1)的签名率比本实施例方案高，但是该方案使用的DPS协议，其安全性并未得到严格证明。与这些工作相比，本实施例在103km处签名一个比特的时间是1.02s，在204km处签名一个比特的时间是96.5s，在280km处签名一个比特的时间是21407.4s，综合性能优良。

Claims (5)

1.一种单诱骗态量子数字签名方法，其特征在于：所述方法包括三个参与者：一个签名者Alice和两个接受签名对象Bob和Charlie，所述方法包括两个阶段：分发阶段和消息阶段，具体方法如下：

在分发阶段，密钥生成协议由Bob-Alice和Charlie-Alice分别执行生成原始密钥串；对于需要签名的信息m∈{0,1}，Bob或Charlie通过随机地选择一个比特b∈{0,1}，基

强度λ∈{μ,ν}来制备N_t个量子态，并将它们发送给Alice；Alice随机地选择基

来测量；Bob/Charlie和Alice通过公共信道进行对基，同时Bob/Charlie公布每一脉冲对应的强度，并保留基矢匹配的比特信息作为原始密钥；对基筛选后，Bob或Charlie和Alice可以得到Z基下长度为L+k的密钥，记Alice与Bob对基后，Alice保留的原始密钥为

Bob保留的原始密钥为/>

记Alice和Charlie对基过后，Alice保留的原始密钥为/>

Charlie保留的原始密钥为/>

然后，Bob/Charlie和Alice从所持有的密钥串中随机选取k比特用于估计错误率E_BA/E_CA，并且定义Bob和Alice之间，他们手中剩余的L比特密钥分别为

和/>

定义Charlie和Alice之间，他们手中剩余的L比特密钥分别为/>

和/>

最后，Bob和Charlie分别在剩余的L比特密钥中随机选取一半保留，将另一半及相应位置通过Bob和Charlie之间的安全信道发送给对方，记Bob保留的比特信息为/>

发送给Charlie比特信息/>

记Charlie保留的比特信息为/>

发送给Bob的比特信息为，Bob的对称密钥为

Charlie的对称密钥为/>

在消息阶段，Alice发送签名消息(m,Sig_m)给Bob，其中

Bob利用/>

检查接收到的签名消息(m,Sig_m)，把/>

和/>

分别与/>

和/>

中相应位置的比特进行比对，并记录不匹配的数目，如果两部分的不匹配数均小于s_aL/2，Bob接受这一消息并将其转发给Charlie，否则Bob拒绝接受这一消息并宣布协议中止；当Charlie收到Bob发送的信息，利用/>

检查Bob转发的签名消息(m,Sig_m)，把/>

和/>

分别与/>

和/>

中相应位置的比特进行比对，并记录不匹配的数目，如果两部分的不匹配数均小于s_vL/2，则Charlie接受该信息，s_a和s_v分别表示不同的验证阈值，并且满足/>

2.如权利要求1所述的一种单诱骗态量子数字签名方法，其特征在于：Bob/Charlie只需要将光源强度调制为两种强度，即信号态和诱骗态，即进行高效的参数估计和量子数字签名。

3.如权利要求2所述的一种单诱骗态量子数字签名方法，其特征在于：考虑到有限长效应，所述单诱骗态QDS方案中单光子响应计数的下界

表示为

其中，τ_n是Bob或Charlie制备n-光子态的概率，n＝0,1分别代表零光子和单光子，/>

是Bob/Charlie在Z基下发送ν强度和μ强度时Alice用Z基测量的探测计数的下界，/>

是Bob/Charlie在Z基矢下发送μ强度的量子态时Alice使用Z基矢测量的探测计数的上界，/>

是Bob/Charlie在Z基下发送零光子时Alice使用Z基测量的探测计数的上界，由上式看出，为了得到Z基单光子计数的下界，必须知道表达式中真空态数目上界，可以通过取一个基的误码总数来估计零光子计数的上界，Z基下的误码总数m_Z满足/>

其中，p_λ|n表示制备n-光子态时选择强度为λ的条件概率，υ_Z,n表示Z基下n-光子事件的比特误码数目，针对零光子，其产生的误码的期望值<υ_Z,0>应该是对应全部事件的一半，即<υ_Z,0>＝s_Z,0/2，考虑有限长效应得到<υ_Z,0>≤υ_Z,0+δ(s_Z,0,ε₁)≤m_Z+δ(n_Z,ε₁)，其中Z基下的真空态探测的比特误码数的上界/>

满足

此关系式的失败概率为1-2ε₁，且/>

n_Z表示Z基下探测到的总光子数目，第二个不等号成立是因为m_Z≥υ_Z,0和n_Z≥s_Z,0，由以上公式可以得到s_Z,0的上界/>

其中m_Z和n_Z是在实验中测得的。

4.如权利要求3所述的一种单诱骗态量子数字签名方法，其特征在于：保证所述QDS传输协议安全性的条件，分别为：P_HA≤2∈_PE、

和P_F≤a+∈_F+10∈_PE，其中P_HA表示鲁棒性概率，∈_PE是用Serfling不等式估计Alice-Bob和Alice-Charlie之间错误率的失败概率；P_k表示抵赖概率，用于衡量Alice的签名被Bob接受但被Charlie拒绝的概率；P_F表示伪造概率，用于衡量伪造Alice的签名可同时被Bob和Charlie接受的概率；a和∈_F与Bob发现签名的错误率小于s_v的概率相关，a为预设的常数概率，∈_F定义为：

其中/>

和/>

分别表示比特串/>

的单光子计数的下界和单光子相位误码的上界，可以根据有限长单诱骗态方法估计出来，H(x)＝-xlog₂(x)-(1-x)log₂(1-x)为二元香农熵函数，ε是用平滑最小熵估计Eve信息的失败概率，系统中定义签一个比特信息的签名率为/>

N表示当前距离经优化后签名半比特信息所需的脉冲数，系统的安全性系数定义为P_total≥max(P_HA,P_R,P_F)。

5.如权利要求4所述的一种单诱骗态量子数字签名方法，其特征在于：当Eve猜测Bob的密钥时引入误码的最小概率p_E满足

观测到的/>

和/>

之间的误码率的上界/>

用Serfling不等式估计：/>

其中∈_PE是该等式的失败概率，/>

和/>

之间的误码率上界/>

也能估计出来，定义观测到的总的误码率上界/>

Images