CN112468292B - 一种量子数字签名方法及系统 - Google Patents

Abstract

本发明提出一种高效率的量子数字签名方法及系统，本发明中，消息签名模块制备两个长度相等的不同量子态序列分别发送给消息认证模块和消息验证模块，然后采用数据后匹配的方法将消息认证模块和消息验证模块接收到的量子态序列关联起来，移除了需要消息认证模块和消息验证模块同时对消息签名模块发送的单个脉冲响应的条件。采用本发明所述的方案，消息认证模块和消息验证模块接收到的量子态经过后匹配后全部可用于成码，降低密钥损耗；另外，消息签名模块可以分开选择发送给其余两模块的脉冲参数和发送的量子态序列长度，可实施在信道不对称的场景。

Description

一种量子数字签名方法及系统

技术领域

本发明涉及量子通信领域，尤其涉及一种高效率的量子数字签名方法及系统。

背景技术

数字签名是保障信息安全的重要手段，可以确保信息完整性、不可篡改性和不可抵赖性。经典密码学中的数字签名协议通常基于以计算复杂度难题为安全基础的各种密码学协议，如公钥加密算法RSA、高级加密标准AES等。由于量子计算具有内在的并行特征，随着数学算法的重大突破和量子计算机的飞速发展，传统的各种密码学协议的安全性受到巨大挑战，因此，经典数字签名协议也不再安全。随着量子计算的快速发展，量子数字签名将会是未来进行数字签名任务的首要选择。

量子数字签名运用量子通信技术实现数字签名任务。现有的量子数字签名技术中，实现签名任务都需要以认证的量子信道为前提，而在认证的量子信道中，量子态不能被篡改。由于实际使用时攻击者的存在是不可避免的，所以这是一个不切实际的安全性要求。

为克服这一缺陷，专利2015104045608提出了一种量子数字签名方法及系统，具体公开了以下方案：S1、对于预签名消息m，m＝0和1，消息签名模块制备具有复制性的两个量子态序列，在量子态序列中包括多个量子比特编码态；S2、消息签名模块将两个量子态序列分别发送给消息认证模块和消息验证模块；S3、消息认证模块和消息验证模块选择基矢对量子态序列中的量子比特编码态进行测量；S4、消息认证模块和消息验证模块根据量子比特编码态的测量比特与消息签名模块公布的在制备量子比特编码态时的组合信息计算量子态序列中量子比特编码态的确定性；S5、在量子态序列选择部分测量比特作为测试比特，基于量子态序列中量子比特编码态的确定性，消息认证模块和消息验证模块分别根据测试比特与消息签名模块公布的相应位置的比特信息计算测试比特的关联性；S6、在测试比特的关联性满足要求的情况下，消息签名模块、消息认证模块和消息验证模块保存量子态序列中剩余量子比特编码态的测量比特串并定义为基本比特串、认证比特串、验证比特串；S7、对于签名消息m，m＝0或1，消息认证模块根据对应的认证比特串与消息签名模块的基本比特串进行比较对签名消息m进行认证；在认证通过之后，消息验证模块根据对应的验证比特串与消息签名模块的基本比特串进行比较对签名消息m进行验证。

上述方案通过在不需要认证的量子信道中传输非正交量子态编码的光脉冲进行密钥的分发，克服了现有量子数字签名方案的全部技术挑战，并在实验上实现了102km距离的量子数字签名。

但是，该方案使用的签名比特是消息认证模块和消息验证模块在密钥分发阶段同时响应的部分。随着通信距离增加，信道衰减增加，消息认证模块和消息验证模块同时响应的概率以信道损耗的平方的速度快速下降，因此，消息签名模块消息签名模块需要制备的量子态数量也以信道损耗的平方的速度快速上升。基于上述原因，专利 2015104045608提出的量子数字签名方案的签名效率较低。

此外，专利2015104045608提出的量子数字签名方案中，消息签名模块发送脉冲时需要同时发送同一量子态的两份拷贝给消息认证模块和消息验证模块，即使是在信道不对称的情况下，消息签名模块依然要发送出相同数量的脉冲数给消息认证模块和消息验证模块，然后将消息认证模块和消息验证模块同时接受到的部分作为密钥，此要求会在信道不对称的情况下造成大量资源浪费，降低整体效率，给大规模网络化应用带来诸多不便。

发明内容

发明目的：为了解决现有量子数字签名协议效率不高且会在信道不对称的情况下造成大量资源浪费的缺点，本发明提出了一种高效率的量子数字签名方法及系统，通过非正交量子态发送、接收以及数据的后匹配，实现了高效率无条件安全量子数字签名，并可适用于消息签名模块-消息认证模块与消息签名模块-消息验证模块之间信道对称或非对称的场景。

技术方案：为实现上述技术目的，本发明采用了如下技术方案：

一种高效率的量子数字签名方法，所述方法中，消息签名模块、消息认证模块和消息验证模块之间进行至少一次签名密钥协商，消息签名模块用协商出的密钥签名消息并发送给消息认证模块和消息验证模块，消息认证模块、消息验证模块依次用密钥认证签名，验证通过后，信任该消息；所述密钥协商包括以下步骤：

(1)消息签名模块基于预先选定的量子态集合随机选取量子态制备出不同的两个量子态序列，并分别发送给消息认证模块和消息验证模块；

(2)消息认证模块和消息验证模块分别测量接收到的量子态序列，丢弃测量结果中无响应的比特并公开有响应比特的位置；消息签名模块保留两个量子态序列中有响应的部分，记为第一响应序列和第二响应序列；

(3)消息签名模块选取一个响应序列为基准，调整另一个响应序列中量子态的位置，使两个响应序列相对应位置处的量子态一致，然后将调整方案发送给所述另一个响应序列对应的接收方；接收方则根据调整方案调整测量结果中量子态的位置；

(4)消息签名模块、消息认证模块和消息验证模块按照预先约定的编码方式对保留下来的量子态序列进行编码，得到经典比特序列；

(5)对于各自所持有的经典比特序列，消息签名模块、消息认证模块和消息验证模块随机公开部分比特进行安全性测试，若安全性测试结果不满足预设要求，则丢弃测试比特；重复步骤(5)，直至安全性测试结果满足预设要求，此时，消息签名模块、消息认证模块和消息验证模块丢弃测试比特，保留剩余比特作为最终的安全密钥。

本发明的技术原理为：

本发明中，消息签名模块无需发送给消息认证模块和消息验证模块相同的量子态序列，而是将两个长度相等的不同量子态序列分别发送给消息认证模块和消息验证模块。考虑一个基于量子存储的等价方案。假设消息签名模块发送的每个量子态序列长度为N，则消息认证模块和消息验证模块分别以概率η成功接收到ηN个量子态，并将接收到的量子态用量子存储保存。然后根据消息签名模块的指示交换量子存储中量子态序列的先后次序，将消息认证模块和消息验证模块保存的量子态序列匹配到一起，再进行测量。显然，有量子存储的情况下，消息认证模块和消息验证模块经过后匹配获得的量子态序列可以看作是消息签名模块发送了同一个量子态序列的两份拷贝。

由于消息认证模块、消息验证模块选择何时对量子态进行测量，或者改变对序列中每一个量子态测量的先后顺序，都不会改变其最终获得的经典数据，因此，对于消息认证模块和消息验证模块来说，将量子态存到量子存储中，交换先后顺序再进行测量；或者，对接收到的每一个量子态依次测量，将测量结果储存到经典比特中再交换先后顺序，这两种行为是等价的。因此，基于量子存储的方案与本发明使用的基于经典存储中数据后匹配的方案在安全性上是等价的。

本发明基于量子存储的思想，移除了接受方消息认证模块和消息验证模块产生签名密钥中的同时响应条件，使得发送密钥的损耗大大降低。并且，本发明在实际应用中，使用经典存储和使用量子存储是完全等价的。

另外，在分发阶段，消息签名模块对消息认证模块和消息验证模块的量子态序列发送可以分开进行，在信道不对称的情况下，消息签名模块可以分开选择发送给消息认证模块和消息验证模块的脉冲参数和发送的脉冲数量，从而减少了通信资源浪费。

以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，在执行步骤(4)之前，所述消息签名模块针对基准响应序列中的每一个量子态，指定一个包含该量子态的非正交量子态集合并告知给相应的接收方；接收方根据消息签名模块所指定的非正交量子态集合，判断自己在测量相应量子态时所使用的测量基是否正确，并将正确使用测量基的部分比特作为响应比特。

可选的，所述量子态集合为四态集合或六态集合；四态集合为：{|H>，|V>，|+>，|->}；六态集合为：{|H>，|V>，|+>，|->，|R>，|L>}；量子态的编码方法包括：偏振编码、时间-相位编码、轨道角动量编码。

可选的，所述消息签名模块、消息认证模块和消息验证模块预先约定的编码方式为非正交量子态编码。

可选的，所述消息签名模块制备量子态序列的方法为：

消息签名模块使用相位随机化的弱相干态光源，采用诱骗态方法从包含诱骗态光强和信号态光强的光强集合中选取光强，然后等概率且随机地从量子态集合中选取一个量子态，用所选取的光强发送所选取的量子态；重复上述过程N次，即制备出一个长度为 N的量子态序列。

可选的，在步骤(5)中，消息签名模块公开每一个量子态制备时的光强信息；消息认证模块和消息验证模块分别公开所有来自诱骗态光强的测量结果，并根据公开的数据估计信号态光强测量结果的单光子对成分比特错误率e_b；三个模块分别从己方对应信号态光强的经典比特中选取位置相同的一部分作为测试比特并公开，然后消息认证模块和消息验证模块分别计算并公开测试比特中确定性结果的错误率和探测到确定性结果的概率，若确定性结果的错误率和探测到确定性结果的概率均满足预设条件，则认为满足安全性测试要求；此时，消息签名模块、消息认证模块和消息验证模块丢弃测试比特，保留剩余比特作为最终的安全密钥；三个模块根据公开的数据计算出认证错误率阈值T_a和验证错误率阈值T_v，计算出的认证错误率阈值T_a和验证错误率阈值T_v用于签名阶段的安全性评价。

可选的，消息认证模块和消息验证模块计算并公开测试比特中确定性结果的错误率

和探测到确定性结果的概率

若

与相应的理想值之间的偏差超过阈值，则判定可能存在攻击，该次密钥协商过程不安全。

可选的，在参数估计之后，消息签名模块、消息认证模块和消息验证模块还基于参数

和

确定认证错误率阈值T_a和验证错误率阈值T_v。

可选的，还包括以下步骤：

在签名阶段，消息签名模块将签名消息和自己的密钥一并发送给消息验证模块，消息验证模块将自己的密钥与消息签名模块的密钥进行比对，计算出自己的密钥中确定性结果的错误率

若不满足

则消息认证模块拒绝签名消息，本次签名失败；

若满足

则消息认证模块将签名消息和消息签名模块的密钥转发给消息验证模块，消息验证模块将自己的密钥与消息签名模块的密钥进行比对，计算出自己的密钥中确定性结果的错误率

若满足

则消息验证模块接受签名消息，签名成功，若不满足

则消息验证模块拒绝签名消息，签名失败。

本发明还提出一种高效率的量子数字签名系统，包括消息签名模块、消息验证模块、消息认证模块，所述消息签名模块与其余两个模块之间采用对称信道或非对称信道进行通信，且所述三个模块之间通过所述量子数字签名方法进行数字签名。

有益效果：相对于专利2015104045608提出的量子数字签名方案，本发明具有如下技术效果：

(1)专利2015104045608提出的量子数字签名方案在产生签名密钥时，有接收方消息认证模块和消息验证模块必须同时响应的条件。消息签名模块准备同一个量子态序列的两个副本，将两个副本分别发送给消息认证模块和消息验证模块。对于消息签名模块准备的量子态序列中的每一个量子态，只有当消息认证模块和消息验证模块同时接受到该量子态对应的副本时，这个量子态才将会被用来作为签名密钥，否则会被丢弃。设每一个量子态被消息认证模块(消息验证模块)接受到的概率为η(其中η是信道损耗)，则消息认证模块和消息验证模块同时接受到的概率是η²。当消息签名模块发送给消息认证模块和消息验证模块一个长度为N的量子态序列时，只有η²N个量子态可用来构成签名密钥，其余部分均被丢弃。在距离较长时，η趋近于0，原方案的签名码率随着η²速度快速下降。

而本发明采用数据后匹配的方法将消息认证模块和消息验证模块接收到的量子态序列关联起来，移除了需要消息认证模块和消息验证模块同时对消息签名模块发送的单个脉冲响应的条件。当消息签名模块发送给消息认证模块和消息验证模块一个长度为N 的量子态序列时，消息认证模块和消息验证模块分别接受到ηN个量子态，经过后匹配后全部可用于成码。因此，本发明能够实现发送密钥的损耗由η²改善到η(其中η是信道损耗)。本发明的签名码率随着η线性下降，这一改进在长距离大衰减的情况下可以显著提升该协议的效率。具体地，数值模拟结果显示，在总距离为100km时，同样设备条件下，为安全地签名一个比特，本发明需要发送的量子态序列长度为N＝7.3×10⁸，而专利2015104045608中需要发送N＝9.68×10¹⁰，本发明的效率较对比方案高了超过两个数量级，签名速度显著提升。

(2)由于本发明移除了需要消息认证模块和消息验证模块同时对消息签名模块发送的单个量子态的两份拷贝响应的条件，所以在分发阶段，消息签名模块对消息认证模块和消息验证模块的量子态序列发送可以分开进行。此外，在信道不对称的情况下，消息签名模块可以分开选择发送给消息认证模块和消息验证模块的脉冲参数和发送的脉冲数量。因此，本发明在信道非对称的应用情形和大规模网络化应用场景中可以显著节约资源、提高效率。

附图说明

图1为实施例1中涉及的数字签名系统的结构图；

图2为实施例1中所述数字签名方案与对比方案的技术效果对比图，图中给出了两种方案在相同的参数下，成码率随传输距离增长而变化的情况；

图3为后匹配方法的原理示意图。

具体实施方式

本发明针对专利2015104045608提出的量子数字签名方案签名效率较低的技术问题，提出了一种改进方案，具体为一种高效率的量子数字签名方法及系统。

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

实施例1：

图1示例性地给出了一种用于实现实施例1所述方法的量子数字签名系统，包括通过不安全的量子信道连接的消息签名模块、消息认证模块和消息验证模块。

如图1所示，该实施例考虑消息签名模块-消息认证模块和消息签名模块-消息验证模块信道对称的情况，且消息认证模块和消息验证模块设备相同。消息签名模块使用连续激光器产生相位随机化的弱相干态脉冲，用相位调制器、强度调制器、偏振调制器和信号衰减器分别进行相位随机化、诱骗态调制、偏振编码。强度调制器可以把脉冲调制成{μ，v，ω}的光强，本实施例中，ω＝0，偏振调制器可以把脉冲调制为量子态 |H>，|V>，|+>，|->，需要注意的是，可以使用的编码方式有很多，包括但不限于偏振编码、时间-相位编码、轨道角动量编码等。在本发明中，任何可以实现的编码方式都应纳入本发明的保护范围，例如，除了实施例所用的四态量子态集合，还可以使用六态量子态集合{|H>，|V>，|+>，|->，|R>，|L>}或其他量子态集合。

消息认证模块由偏振调制器、偏振分束器和两个探测器组成，消息验证模块由偏振调制器、偏振分束器和两个探测器组成。在选取光强时，该实施例使用一个信号态光强μ加上两个诱骗态光强v和ω(事实上可以选取的光强组合很多，如一个信号态光强加上三个诱骗态光强，只要能通过诱骗态方法进行参数估计即可)。在该实施例中，先对光强分组，再在组内数据后匹配，这是为了让信号态光强数据有更高利用率。实际使用中，还有多种替代方案，例如不对光强分组，直接在原始数据中先对光强进行数据后匹配，再进行量子态的数据后匹配；亦或者不对光强进行数据后匹配，只进行量子态的数据后匹配，而后选取{μ，μ}的成分进行签名等方案，这些方案均应纳入本发明的保护范围。

另外，图1中消息签名模块采用两路制备装置的技术方案仅为示例性设计，实际使用中也可以通过一路制备装置分别发送量子态，或者是其它多种装置组合，只要能实现消息签名模块-消息验证模块和消息签名模块-消息认证模块之间的密钥分发即可。

消息签名模块将会从量子比特编码态集合{|H>，|V>，|+>，|->}中随机选择量子态发送，在完成对消息认证模块和消息验证模块的发送后，随机指定其属于一个包括该量子态的非正交量子态集合{|H>，|+>}，{|+>，|V>}，{|V>，|->}或{|->，|H>}，消息认证模块和消息验证模块分别选取X基矢或Z基矢对接收到的量子态进行测量，从而进行基于偏振编码的量子数字签名。

在本实施例中，采用非正交量子态编码，规则如下：对于非正交量子态集合 {|H>，|+>}，{|+>，|V>，{|V>，|->和{|->，|H>}，规定每个集合中第一个量子态代表比特0，第二个量子态代表比特1。消息签名模块指定一个非正交量子态集合，当测量者测量到与指定集合中的量子态正交的结果时，测量者获得一个确定性结果，否则测量者获得一个非确定性结果。例如，如果消息签名模块指定非正交量子态集合{|H>，|+>}，当测量者测量到|V>(|->)时，可以确定发送的是|+>(|H>)，对应编码比特1(0)。当测量者测量到|H>或|+>时，这是一个非确定性结果(用⊥表示)。基于上述规则，消息签名模块每从量子比特编码态集合{|H>，|V>，|+>，|->}中随机选择一个量子态发送，就会随机指定其属于一个包括该量子态的非正交量子态集合{|H>，|+>}，{|+>，|V>}，{|V>，|->}或 {|->，|H>}。

假设使用的签名系统的参数表1所示：

表1

暗计数率p<sub>d</sub>	信道错误率e<sub>d</sub>	信道损耗系数α	探测器效率η<sub>det</sub>	总安全性ε
					10<sup>-7</sup>	0.5％	0.16	93％	10<sup>-5</sup>

其中总安全性是签名参与方希望达到的安全性，即是攻击者的攻击成功的概率ε＝10^-5。

注意，该实施例仅讨论对于一个比特消息m签名的过程。要想签名更长的消息(如一个32比特字符串)，可以有若干方案，例如重复密钥分发32次，对签名消息的每个比特各自签名。

通过图1所示的系统实现本发明所述量子数字签名方法的具体流程如下：

分发阶段：消息签名模块以相等概率随机制备|H>，|V>，|+>，|->量子态的相位随机化的相干态脉冲，本实施例中以p_μ＝67％，p_v＝30％，p₀＝3％的概率将脉冲光强调制为μ＝0.071，v＝0.023，ω＝0，其中p_μ，p_v和p₀分别是发送强度为μ，ν，ω的概率，中μ是信号态光强，ν和ω是诱骗态光强。需要注意的是，对于预签名消息的每一位m，在真正签名前，对于消息认证模块和消息验证模块，m有可能取值0和1。消息签名模块制备两份不同的长度为N的量子态序列通过不安全的量子信道发送给消息认证模块，并制备两份不同的长度为N的量子态序列通过不安全的量子信道发送给消息验证模块。

在实施例1中，设定总距离L＝100km(消息签名模块到消息认证模块的距离加上消息签名模块到消息验证模块的距离)，则N＝7.3×10⁸。消息认证模块和消息验证模块等概率且随机地选取X或Z基矢对接收到的量子态进行测量并记录测量结果，同时公开消息签名模块发送的量子态序列中有响应的部分，消息签名模块丢弃消息认证模块和消息验证模块没有响应的部分。

对应预签名消息m，消息签名模块发送给消息认证模块和消息验证模块的量子态序列分别记为S_AB，m和S_AC，m，其中

消息认证模块和消息验证模块的测量结果分别记为S_B，m和S_C，m，

其中

消息签名模块公布每一个量子态序列制备时的光强信息α(α∈{μ，ν，ω})。消息签名模块、消息认证模块和消息验证模块把各自的数据依照光强分为μ组，ν组和ω组。我们用上标α(α∈{μ，ν，ω})代指光强组，则S_AB，m被分为

(2)后匹配：如图3所示，对于每一个光强α对应的数据组，消息签名模块在组内进行数据后匹配。

具体的，消息签名模块交换量子态序列

中量子态的先后顺序，使得

和

相同，同时把交换的步骤通知给消息验证模块，消息验证模块按照相同的步骤交换

中量子态的先后顺序，例如：如果量子态序列

是{|H>，|V>，|+>，|->，|V>}，量子态序列

是 {|+>，|H>，|V>，|V>，|->}，则消息签名模块需要把

的顺序交换为

同时，消息验证模块也需要把

顺序交换为

最终等价于对于同一个光强的数据组的中的每一个相同位置，消息签名模块发送了相同的量子态给消息认证模块和消息验证模块。

需要注意的是，与消息签名模块直接发送相同量子态给消息认证模块和消息验证模块而不进行后匹配相比，本发明采取先发送不同的量子态再进行后匹配的方法，移除了需要消息认证模块和消息验证模块同时对消息签名模块发送的单个脉冲响应的条件，使得发送密钥的损耗由η²改善到η，其中η是信道损耗，这一改进在长距离大衰减的情况下可以显著提升该协议的效率。

(3)对于每一个光强α对应的量子态序列

中的每一个量子态，消息签名模块随机指定其属于一个包含该量子态的非正交量子态集合。该实施例中，对应量子态 |H>，|V>，|+>，|->，一共能找到四个非正交量子态集合：{|H>，|+>}，{|+>，|V>，{|V>，|->和 {|->，|H>。例如，对

消息签名模块随机指定

属于非正交量子态集合为 {|H>，|+>}或{|->，|H>}。消息认证模块、消息验证模块和消息签名模块根据量子态序列中每一个量子态对应的非正交量子态集合及其编码规则，将他们拥有的量子态序列

转换成经典比特序列作为密钥，分别记为

其中

(4)估计阶段(estimation)：三方公开所有v组和ω组的数据，这些数据将会在诱骗态方法中被使用来估计μ组中单光子对成分比特错误率e_b。e_b将会用来计算攻击者窃听获得的信息量的大小，从而给出攻击者伪造签名的成功率。μ组中t的比例也将会被公开估计错误率

和

剩下(1-t)的比例将会用作签名密钥。该实施例中，t＝32％。

具体的，μ组中单光子对成分且是消息认证模块的确定性结果探测计数个数期望值下限

满足：

其中，

表示消息验证模块接收到的来自α光强的确定性结果个数的下限。n _Bα表示消息认证模块来自α光强的确定性结果个数的下限，上标c表示确定性结果，*表示期望值，下划线(上划线)表示考虑观测值到期望值的统计涨落后的下(上)限， n_Bμ、n_Bν、n_B0分别代表消息认证模块接收来自μ、v、0光强的探测计数个数。消息验证模块获得的μ光强产生的单光子对成分的确定性结果探测计数中的错误个数上限

满足：

所以，单光子对成分的比特错误率上限满足：

单光子对成分的比特错误率计算出本次签名中攻击者窃听获取的信息：

其中e_b是单光子对成分的比特错误率，e_p是相位错误率，

根据熵不确定性关系，攻击者伪造消息的错误率下限满足：

其中

是攻击者伪造签名消息的密钥的单光子对成分错误率期望值，H(x)是香农熵，H_max(x)和H_min(x)分别是最大熵和最小熵。使用Chernoff bound可以计算出攻击者伪造签名消息的成功率：

其中

T_v是验证错误率阈值，M^cu和

分别是签名密钥中确定性结果的长度和单光子对成分的长度。

消息验证模块随机在来自μ光强的密钥中指定M^t＝t*n_μ比特作为测试密钥，其中n_μ是来自μ光强探测到的比特数量(即μ组的长度)。消息认证模块，消息验证模块，消息签名模块的测试密钥分别记为

剩余的长度为M^u(M^u＝(1-t)n_μ) 比特作为签名密钥，记为

消息签名模块，消息认证模块和消息验证模块公开测试密钥的数据，消息认证模块和消息验证模块计算并公开测试密钥中确定性结果的错误率

和探测到确定性结果的概率

如果

和

与理想值偏差过大，则终止本次签名协议的执行。该实施例中，

和

的理想值为

消息签名模块，消息认证模块和消息验证模块三方协商确定认证错误率阈值T_a和验证错误率阈值T_v。具体的，验证错误率阈值T_v可以给定伪造成功率后，反解出T_v：

认证错误率阈值T_a可以根据

和随机选样理论得到：

其中

需要注意的是，通过估计参数来确定认证错误率阈值T_a和验证错误率阈值T_v的途径有多种，这里仅举一例。其它方法只要能够满足签名需要的安全性，均可以使用。在实施例一中，

e_b11＝1.23％，协商确定T_a＝1.08％，T_v＝3.42％。

(5)签名阶段(messaging)：消息签名模块将签名消息m和密钥

发送给消息认证模块，消息认证模块比较

和

中确定性结果的错误率

如果满足

则消息认证模块接受签名消息，否则消息认证模块拒绝接受签名消息。如果消息认证模块接受了签名消息，则他转发

给消息验证模块。消息验证模块比较

和

中确定性结果的错误率

如果满足

则消息验证模块接受签名消息m。当消息认证模块和消息验证模块均接受签名消息m时，消息签名模块签名成功，否则签名失败。

为了证实本实施例的技术效果，我们用对比方案(专利2015104045608提出的量子数字签名方案)与本实施例提出的技术方案进行比对。定义成码率

通过表1给定相同的实验设备参数，我们用计算机进行数值模拟得到成码率，图2中给出了两种方案在相同的参数下，成码率随传输距离增长而变化的情况。从图2中可明显看出，随着传输距离增长，本发明提出的技术方案在成码率上具有明显优势。

实施例2：

该实施例考虑消息签名模块-消息认证模块和消息签名模块-消息验证模块信道不对称的情况。此时该签名方案的其余步骤与实施例1相同，不同的是：在距离不对称的情况下，以不对称的概率选取不对称的光强制备量子态。例如：消息签名模块-消息认证模块的距离是L_B，和消息签名模块-消息验证模块的距离是L_C；消息签名模块以

的概率选取光强{μ_B，v_B，ω_B}发送N_B个脉冲给消息认证模块，以

的概率选取光强{μ_C，v_C，ω_C}发送N_C个脉冲给消息验证模块。在上述过程中，消息签名模块选取的光强的概率和选取的光强均为非对称的，具体参数可通过多种现有技术设置，例如：参与签名的三方通过信道和设备参数，给定期望达到的安全性后，以消息签名模块需要发送的脉冲数N最小为目标，使用搜索算法找出最优参数。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种量子数字签名方法，所述方法中，包括消息签名模块、消息认证模块和消息验证模块之间进行至少一次签名密钥协商，消息签名模块用协商出的密钥签名消息并发送给消息认证模块和消息验证模块，消息认证模块、消息验证模块依次用密钥认证签名，验证通过后，信任该消息；其特征在于，所述密钥协商包括以下步骤：

(1)消息签名模块基于预先选定的量子态集合随机选取量子态制备出不同的两个量子态序列，并分别发送给消息认证模块和消息验证模块；消息签名模块每发送一个量子态，则指定一个包含该量子态的非正交量子态集合；

(2)消息认证模块和消息验证模块分别测量接收到的量子态序列，当测量到与指定的非正交量子态集合的量子态正交的结果时，获得一个确定性结果，否则获得一个非确定性结果；以确定性结果作为响应比特，消息认证模块和消息验证模块分别丢弃测量结果中无响应的比特并公开有响应比特的位置；消息签名模块保留两个量子态序列中有响应的部分，记为第一响应序列和第二响应序列；

(3)消息签名模块选取一个响应序列为基准，调整另一个响应序列中量子态的位置，使两个响应序列相对应位置处的量子态一致，然后将调整方案发送给所述另一个响应序列对应的接收方；接收方则根据调整方案调整测量结果中量子态的位置；

(4)消息签名模块、消息认证模块和消息验证模块按照预先约定的编码方式对保留下来的量子态序列进行编码，得到经典比特序列；

(5)对于各自所持有的经典比特序列，消息签名模块、消息认证模块和消息验证模块随机公开部分比特进行安全性测试，若安全性测试结果不满足预设要求，则丢弃测试比特；重复步骤(5)，直至安全性测试结果满足预设要求，此时，消息签名模块、消息认证模块和消息验证模块丢弃测试比特，保留剩余比特作为最终的安全密钥。

2.根据权利要求1所述的量子数字签名方法，其特征在于，所述量子态集合为四态集合或六态集合；四态集合为：{|H>，|V>，|+>，|->}；六态集合为：{|H>，|V>，|+>，|->，|R>，|L>}；量子态的编码方法包括：偏振编码、时间-相位编码、轨道角动量编码。

3.根据权利要求1所述的量子数字签名方法，其特征在于，所述消息签名模块制备量子态序列的方法为：

消息签名模块使用相位随机化的弱相干态光源，采用诱骗态方法从包含诱骗态光强和信号态光强的光强集合中选取光强，然后等概率且随机地从量子态集合中选取一个量子态，用所选取的光强发送所选取的量子态；重复N次，即制备出一个长度为N的量子态序列。

4.根据权利要求3所述的量子数字签名方法，其特征在于，在步骤(5)中，消息签名模块公开每一个量子态制备时的光强信息；消息认证模块和消息验证模块分别公开所有来自诱骗态光强的测量结果，并根据公开的数据估计信号态光强测量结果的单光子对成分比特错误率e_b；消息签名模块、消息认证模块和消息验证模块分别从己方对应信号态光强的经典比特中选取位置相同的一部分作为测试比特并公开，然后消息认证模块和消息验证模块分别计算并公开测试比特中确定性结果的错误率和探测到确定性结果的概率，若确定性结果的错误率和探测到确定性结果的概率均满足预设条件，则认为满足安全性测试要求；此时，消息签名模块、消息认证模块和消息验证模块丢弃测试比特，保留剩余比特作为最终的安全密钥；三个模块根据公开的数据计算出认证错误率阈值T_a和验证错误率阈值T_v，计算出的认证错误率阈值T_a和验证错误率阈值T_v用于签名阶段的安全性评价。

5.根据权利要求4所述的量子数字签名方法，其特征在于，所述步骤(5)中，判断安全性测试结果是否满足预设要求的方法为：

消息认证模块和消息验证模块计算并公开测试比特中确定性结果的错误率

和探测到确定性结果的概率

若

与相应的理想值之间的偏差超过阈值，则判定可能存在攻击，该次密钥协商过程不安全。

6.根据权利要求5所述的量子数字签名方法，其特征在于，在参数估计之后，消息签名模块、消息认证模块和消息验证模块还基于参数

和

确定认证错误率阈值T_a和验证错误率阈值T_v。

7.根据权利要求6所述的量子数字签名方法，其特征在于，还包括以下步骤：

在签名阶段，消息签名模块将签名消息和自己的密钥一并发送给消息验证模块，消息验证模块将自己的密钥与消息签名模块的密钥进行比对，计算出自己的密钥中确定性结果的错误率

若不满足

则消息认证模块拒绝签名消息，本次签名失败；

若满足

则消息认证模块将签名消息和消息签名模块的密钥转发给消息验证模块，消息验证模块将自己的密钥与消息签名模块的密钥进行比对，计算出自己的密钥中确定性结果的错误率

若满足

则消息验证模块接受签名消息，签名成功，若不满足

则消息验证模块拒绝签名消息，签名失败。

8.一种量子数字签名系统，其特征在于，包括消息签名模块、消息验证模块、消息认证模块，所述消息签名模块与其余两个模块之间采用对称信道或非对称信道进行通信，且消息签名模块、消息认证模块和消息验证模块之间通过权利要求1至7任意一项所述的方法进行数字签名。

Images