CN113300849B

CN113300849B - 一种可抵抗集体噪声的容错量子数字签名方法

Info

Publication number: CN113300849B
Application number: CN202110480094.7A
Authority: CN
Inventors: 张明慧; 岳林阳; 吴佳遥; 谢佳辉; 贺晨
Original assignee: Northwest University
Current assignee: Northwest University
Priority date: 2021-04-30
Filing date: 2021-04-30
Publication date: 2022-11-01
Anticipated expiration: 2041-04-30
Also published as: CN113300849A

Abstract

本发明公开了一种可抵抗集体噪声的容错量子数字签名方法，具体包括如下步骤：步骤1、发送方Alice生成量子签名发送给接收方Bob和接收方Charlie；包括：步骤11、Alice生成两个相同的副本序列；步骤12、发送方Alice将量子签名分别发送给接收方Bob和Charlie；步骤13、接收方Bob和Charlie各自将收到的量子签名随机选择一半发送给对方；步骤14、对于现在手中所有的签名元素，接收方Bob和Charlie进行测量；步骤2、发送方Alice发送信息私钥对(k,PK_k)给接收方Bob，当Bob满足接收条件时转发给接收方Charlie。本发明的方法引入无消相干子空间，利用具有相同噪声因子的物理量子态组成逻辑量子态，使得量子信息在传输的过程中不受集体噪声的影响，提高了通信过程的保真度。

Description

一种可抵抗集体噪声的容错量子数字签名方法

技术领域

本发明涉及量子保密通信领域，具体涉及一种可抵抗集体噪声的容错量子数字签名方法。

背景技术

量子数字签名可以保证信息的完整性和可转移性。文献1“Wallden P,Dunjko V,Kent A,et al.Quantum digital signatures with quantum-key-distributioncomponents[J].Physical Review A,2015,91”提出了一种基于密钥分发组件的量子签名方法，提高了BB84型签名的实用性。但现有的量子数字签名是基于理想的无损和无噪声量子信道的，在实际通信的整个传输过程中，由于存在热起伏、振动、光纤设备不理想等因素，粒子的极性很容易受到影响，即量子态在信息传输过程中会受到量子信道的集体噪声的干扰。为了解决这一问题，设计容错量子数字签名协议非常必要，现有的量子数字签名方法大多很难在现有的设备中实现，因此实用性较差。且并未考虑到量子信道中的集体噪声，因此在量子通信时通信保真度不高，无法保证通信过程的安全性。

发明内容

本发明可以使用已有的量子密钥分发组件，并考虑到实际应用中的信道噪声问题，设计了一种可抵抗集体噪声的容错量子数字签名方法，用以解决现有量子数字签名实用性较差和通信保真度不高等问题。

为了实现上述任务，本发明采用以下技术方案：

一种可抵抗集体噪声的容错量子数字签名方法，具体包括如下步骤：

步骤1、发送方Alice生成量子签名发送给接收方Bob和接收方Charlie；包括如下子步骤：

步骤11、对于1比特信息k＝0，1，发送方Alice生成两个相同的副本序列，副本序列的每个元素从逻辑量子态序列S中随机选择，这两个副本序列即为量子签名，该量子签名对应的经典描述PK_k称为信息k的私钥；

步骤12、发送方Alice将量子签名分别发送给接收方Bob和Charlie；

步骤13、接收方Bob和Charlie各自将收到的量子签名随机选择一半发送给对方；

步骤14、对于现在手中所有的签名元素，接收方Bob和Charlie都采取量子态消除法进行测量，并记录被排除的量子态；

步骤2、发送方Alice发送信息私钥对(k,PK_k)给接收方Bob，当Bob满足接收条件时转发给接收方Charlie，包括如下步骤：

步骤21、发送方Alice发送1比特的(k,PK_k)给接收方Bob；

步骤22、接收方Bob检查(k,PK_k)是否与被他排除的量子态序列匹配，如果匹配，则接收方Bob接受发送方Alice发送的信息，执行步骤23，否则返回步骤1；

步骤23、接收方Bob将(k,PK_k)转发给接收方Charlie；

步骤24、接收方Charlie检查(k,PK_k)是否与被他排除的量子态序列匹配，如果匹配，则接收方Charlie接受发送方Alice发送的信息，否则返回步骤1。

进一步的，所述步骤11中，当想要抵抗的噪声为集体相移噪声时，序列S中每个逻辑量子态均为集合{|0_dp>,|1_dp>,|+_dp>,|-_dp>}中随机选取的任一元素；

当想要抵抗的噪声为集体旋转噪声时，序列S中每个逻辑量子态均为集合{|0_r>,|1_r>,|+_r>,|-_r>}中随机选取的任一元素。

进一步的，所述步骤11中，所述量子签名

其中，

是一个约化密度矩阵，

L是一个合适的签名长度整数；P_ki是对

的经典描述，是符号信息；设置如下对应：

是信息k的私钥。

进一步的，所述步骤14中，所述接收方Bob和Charlie都采取量子态消除法进行测量，是指随机选择{|0_dp>,|1_dp>}基或{|+_dp>,|-_dp>}基来测量自己的每个量子态。

进一步的，所述步骤22具体是：

首先检查被他排除的签名元素序列中从Alice收到的签名元素，如果这部分与对应的私钥元素

之间的不匹配的数目小于s_aL/2，则检查被他排除的签名元素序列中从接收方Charlie收到的签名元素，如果这部分与对应的私钥元素

之间不匹配的数目也小于s_aL/2，接收方Bob接受发送方Alice发送的信息k；s_a是认证阈值；

进一步的，所述步骤24具体是：

之间的不匹配的数目小于s_vL/2，则检查被他排除的签名元素序列中从接收方Bob收到的签名元素，如果这部分与对应的私钥元素

之间不匹配的数目也小于s_vL/2，接收方Charlie接受发送方Alice发送的信息k；s_v是验证阈值。

进一步的，所述步骤2中，0<s_a<s_v<1/2。

本发明与现有技术相比具有以下技术效果：

1、本发明的可抵抗集体噪声的容错量子数字签名方法采用的是BB84协议的框架，因此其通信过程中所需要的实验设备易实现，只需使用已有的量子密钥分发组件，因此实用性较好。

2、本发明的可抵抗集体噪声的容错量子数字签名方法，引入无消相干子空间，利用具有相同噪声因子的物理量子态组成逻辑量子态，使得量子信息在传输的过程中不受集体噪声的影响，提高了通信过程的保真度。

附图说明

图1和图2为本发明的可抵抗集体噪声的容错量子数字签名方法的否认性概率示意图。其中，图1是固定s_v、改变s_a得到的曲线，图2是固定s_a、改变s_v得到的曲线。

图3为本发明的可抵抗集体噪声的容错量子数字签名方法的伪造性概率示意图。

图4为本发明的可抵抗集体噪声的容错量子数字签名方法的鲁棒性概率示意图。

具体实施方式

以下是发明人提供的具体实施例，以对本发明的技术方案作进一步解释说明。

本发明给出的一种可抵抗集体噪声的容错量子数字签名方法，用以发送方Alice与接收方Bob、Charlie传递信息m和量子数字签名QSig_k。

利用现有技术水平，构造无消相干子空间是克服量子集体噪声的最佳方法。无消相干子空间由几个经历相同噪声变换的物理量子比特组成，能有效补偿集体噪声的影响。在本发明提供的方法中，发送方Alice与接收方Bob、Charlie传递信息m和量子数字签名QSig_k，且协议可以直接在现有的量子密钥分发组件下实现。

具体地，本发明的可抵抗集体噪声的容错量子数字签名方法，包括如下步骤：

步骤1、发送方Alice生成量子签名发送给接收方Bob和接收方Charlie，包括：

量子签名

其中，

是一个约化密度矩阵，

L是一个合适的签名长度整数(例如L取2×10⁴)；

是对

的经典描述，是符号信息；我们设置如下对应：

例如，|0_dp>的经典描述是0，则有0→|0_dp>，所以

是信息k的私钥。

在本步骤中，根据想要抵抗的噪声类型的不同，采用不同类型的逻辑量子态序列S作为载体传输信息。

可选地，当想要抵抗的噪声为集体相移噪声时，序列S中每个逻辑量子态均为集合{|0_dp>,|1_dp>,|+_dp>,|-_dp>}中随机选取的任一元素。其中，|0_dp>＝|01>，|1_dp>＝|10>。由于这2种逻辑量子态中每一种逻辑量子态都是由两个物理量子比特构成的，因此这两种逻辑量子态不受集体相移噪声干扰。另外两种逻辑量子态的叠加态，

也不受这种噪声影响，因此{|0_dp>,|1_dp>,|+_dp>,|-_dp>}这四个量子态构成了无消相干子空间，能有效补偿集体相移噪声的影响。

可选地，当想要抵抗的噪声为集体旋转噪声时，序列S中每个逻辑量子态均为集合{|0_r>,|1_r>,|+_r>,|-_r>}中随机选取的任一元素。此处由物理量子态构成的两种逻辑量子态

不受集体旋转噪声干扰，所以这两个逻辑量子态的叠加态

同样可以抵抗集体旋转噪声。因此，{|0_r>,|1_r>,|+_r>,|-_r>}这四个逻辑量子态构成的无消相干子空间显然能抵抗集体旋转噪声。

步骤13、接收方Bob和Charlie各自将收到的量子签名随机选择一半发送给对方；此时，接收方Bob和Charlie此时拥有的签名元素由两部分组成，一部分是从Alice处直接收到的，一部分是对方转发过来的；

步骤14、对于现在手中所有的签名元素，接收方Bob和Charlie都采取量子态消除法进行测量，具体是随机选择{|0_dp>,|1_dp>}基或{|+_dp>,|-_dp>}基来测量自己所拥有的每个量子态，并记录被排除的量子态。

量子态消除法的原理为：假设接收方Bob接收的是|0_dp>并且选择{|0_dp>,|1_dp>}基，则能够测量获得|0_dp>；但是，如果Bob选择{|+_dp>,|-_dp>}基，则可以获得等概率的|+_dp>或|-_dp>；也就是说，如果Bob得到的测量结果为|0_dp>，这意味着发送方Alice不可能发送|1_dp>，因此可以排除|1_dp>，所以Bob会记录排除的|1_dp>。

步骤21、发送方Alice发送1比特的(k,PK_k)给接收方Bob；

步骤22、接收方Bob检查(k,PK_k)是否与被他排除的签名元素序列(即被排除的量子态序列)匹配，如果匹配，则接收方Bob接受发送方Alice发送的信息，执行步骤23，否则返回步骤1。具体是：

步骤23、接收方Bob将(k,PK_k)转发给接收方Charlie；

步骤24、接收方Charlie检查(k,PK_k)是否与被他排除的签名元素序列(即被排除的量子态序列)匹配，如果匹配，则接收方Charlie接受发送方Alice发送的信息，否则返回步骤1。具体是：

之间不匹配的数目也小于s_vL/2，接收方Charlie接受发送方Alice发送的信息k。s_v是验证阈值，并满足0<s_a<s_v<1/2。

二、效果分析

为了验证本发明的有效性，在本实施例中对本发明提供的量子数字签名方法的安全性进行分析。

1、不可否认性

为了否认发送的签名，发送方Alice尝试发送一个声明，希望Bob接受，Charlie拒绝。接收方Bob和Charlie把在分发阶段被排除的量子态转换成经典信息储存起来。假设Alice能够在信息传递阶段控制签名和私钥之间不匹配的次数。因此，有一个结果序列r＝(b₁,…,b_L,c₁,…,c_L)，其中b＝(b₁,…,b_L)是Alice最初发送给Bob的子集，并且c＝(c₁,…,c_L)是Alice最初发送给Charlie的子集。Bob的签名元素在子集b中的失配率为p_b,Charlie在子集c中的失配率为p_c。Alice想要否认成功的最佳策略是发送p_b＝p_c＝(s_v+s_a)/2的声明。所以可给定否认可能性的边界：

图1和图2是仿真了否认可能性随签名长度变化的指数曲线。图1是固定s_v，改变s_a得到的曲线，而图2是固定s_a，改变s_v得到的曲线。由此可得，当签名长度达到一定值，且两个阈值s_a和s_v的差值越大，则否认可能性可以达到非常低。因此本发明的方法具有良好的不可否认性。

2、不可伪造性

不可伪造性表示任何接收方都有很高的概率拒绝发送方Alice直接发送的消息。为了成功伪造，接收方Bob需要正确猜测发送方Alice发送给Charlie的签名元素。然而，Bob并不总是成功的。做最坏的假设，假设Bob知道Charlie持有哪些态。如果Charlie保留了L/2的元素，Bob可以用他所知道的L/2元素的副本进行最佳猜测。计算得到Bob猜测所花费的最小成本为1/8。因此，可以给出伪造概率的边界：

图3是仿真了伪造可能性随签名长度变化的指数曲线。由此可得，当签名长度达到一定值，且阈值s_v适当小，则伪造可能性可以达到非常低。因此本发明的方法具有良好的不可伪造性。

3、鲁棒性

假设所有参与方都使诚实的来测试协议的健壮性，也就是讨论接收方Bob在这种情况下终止协议的概率。当接收方Bob从发送方Alice接收到的量子签名和他的私钥之间的不匹配率超过s_a，或者从Charlie收到的量子签名和他的私钥不匹配率超过s_a,Bob将终止协议。假设Alice与Bob之间的信道错误率为

Alice与Charlie的信道错误率为

设置

Bob终止协议的概率是

P(robustness)≤exp(-(s_a-p_t)²L) (1.3)

图4是仿真了协议Bob终止协议可能性随签名长度变化的指数曲线。由此可得，当签名长度达到一定值，且阈值s_a比p_t越大，则本发明的方法可以有不错的鲁棒性能。