CN114244500B - 一种量子密钥协商方法、系统、量子数字签名方法、系统 - Google Patents

Abstract

本发明提出一种量子密钥协商方法、系统、量子数字签名方法、系统。该密钥协商方法中引入不可信中继作为第三方，对发送端和接收端所发送的相干态和参考光分别进行干涉测量，并确定发送方和接收方的相位片差值P_R；基于P_R构建计算模型，根据不可信中继的测量结果和计算模型的计算结果，确定接收方对持有的比特串的翻转处理方式；最后发送方和接收方基于所持有的比特进行参数估计、纠错和隐私放大，得到双方的密钥。该密钥协商方法的安全性与测量设备无关，在不可信第三方存在的情况下也可以保证生成密钥的安全性。而在签名方法中，以该密钥协商方法得到的密钥生成Toeplitz矩阵，能够对最长2⁶⁴比特的消息生成数字签名，具有非常高的效率和实用性。

Description

一种量子密钥协商方法、系统、量子数字签名方法、系统

技术领域

本发明涉及量子通信领域，具体涉及一种量子密钥协商方法、系统、量子数字签名方法、系统。

背景技术

量子密钥协商(Quantum Key Agreement，QKA)是量子密码及量子信息技术中的一个重要分支，它不同于传统的量子密钥分发(QKD)，在量子密钥协商(QKA)中，协议的参与者需要基于相互之间的信息交互公平地建立一组随机密钥，即每一个参与者都应该为最终建立的密钥贡献自己的一部分影响。换句话说，QKA协议中建立的最终密钥不能够被协议参与者的任何一个非平凡子集所决定。因此，QKA不但需要保证密钥的安全性，还需要保证密钥的公平性，在这种情况下，生成密钥需要在可信的环境下产生。 1976年，Diffie和Hellman首次提出了一个安全且公平的两方KA协议。自从Diffie和 Hellman的开创性工作提出以后，人们开始关注如何将两方的密钥协商协议拓展为多方密钥协商协议。

例如，专利CN 105007158 B提出一种量子数字签名方法及系统，并具体提出了一种对单比特的预签名消息进行签名的方法，这样的数字签名方案效率低下，在对长消息进行数字签名的情形下缺乏实用性。

发明内容

发明目的：本发明旨在克服现有技术中数字签名效率低和缺乏实用性的缺陷，提出一种量子密钥协商方法、系统、量子数字签名方法、系统。

技术方案：为实现上述目的，本发明提出以下技术方案：

一种量子密钥协商方法，实施在通过不可信中继进行密钥协商的发送方和接收方之间，包括以下步骤：

(1)发送方制备相干态：首先生成随机比特K_a，再随机选取光强U_a和控制离散相位的随机数P_a制备出相干态

n为正整数；

(2)接收方采用与步骤(1)相同的方法制备出相干态

其中，U_b表示接收方选择的光强，K_b表示接收方生成的随机比特，P_b表示接收方选择的控制离散相位的随机数；

(3)发送方和接收方将制备的相干态发送给不可信中继，不可信中继采用第一、第二探测器对接收到的相干态进行干涉测量，并公布测量结果；发送方和接收方则公开选取的光强和控制离散相位的随机数；

(4)在发送相干态的同时，发送方和接收方还发送参考光给不可信中继，不可信中继对两路参考光进行干涉测量，并估算出发送方和接收方的随机数差值P_R，然后公开 P_R；

(5)重复步骤(1)至(4)M次；

(6)将仅有一个探测器响应的情况记为有效测量，发送方、接收方和不可信中继保留有效测量结果对应的比特；接收方先将保留的比特中对应第一/第二探测器响应的部分进行翻转，然后再计算P＝(P_a-P_b+P_R)mod 2 n；若第一探测器响应且P的值落入区间

内，则接收方翻转持有的所有比特；若第二探测器响应且P落入区间

则接收方翻转持有的所有比特；其余情况，接收方不做任何操作；

(7)发送方和接收方基于所持有的比特进行参数估计、纠错和隐私放大，得到双方的密钥。

具体的，所述量子密钥协商方法中，

其中，0表示真空态，u表示量子光强度，v₁至v_n表示诱骗光强度，v₁+v₂+…+v_n＜u。

采用本方案提出的量子密钥协商方法，其生成密钥的安全性由量子纠缠提纯来保证，与测量设备无关，因此可以在不可信第三方存在的环境下也可以保证生成密钥的安全性，便于在包含不可信中继的网络上进行大规模部署。

本发明还提出一种量子密钥协商系统，用于实现所述量子密钥协商方法，包括发送方、接收方和不可信中继；其中，不可信中继包括第一信号稳定模块、第二信号稳定模块、干涉模块、第一探测器、第二探测器、主激光模块和分束模块；第一信号稳定模块、第二信号稳定模块分别用于接收来自发送方和接收方的相干态，对接收到的相干态进行噪声过滤和偏振状态调整，使得两路相干态的偏振状态一致；干涉模块用于对第一信号稳定模块、第二信号稳定模块接收到的两路信号态进行干涉，并将干涉光送入第一探测器和第二探测器进行干涉测量；主激光模块用于生成种子光，分束模块用于将种子光一分为二后分别送入发送方和接收方。

针对所述量子密钥协商系统，以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，所述量子密钥协商系统中，接收方和发送方结构相同，均包括：从激光模块、强度调制模块、相位调制模块和衰减模块；其中，从激光模用于生成信号光和参考光；强度调制模块用于根据选择的光强调制信号光的强度；相位调制模块用于根据生成的随机比特和选择的相位片编号对进行强度调制后的信号光进行相位调制；衰减模块用于将相位调制后的信号光衰减至单光子量级，得到信号态。

可选的，所述量子密钥协商系统还包括信号放大模块、第三循环模块、滤波模块和信号稳定模块；其中，信号放大模块接收来自不可信中继的种子光，并通过第三循环模块将种子光送入滤波模块进行滤波，滤波后的种子光再通过第三循环模块送入信号稳定模块，信号稳定模块将种子光进行偏振监控与调节后注入从激光模块以实现注入锁定。

可选的，所述量子密钥协商系统还包括：第一循环模块、第二循环模块和功率稳定模块；第一循环模块分别连接从激光模块、信号稳定模块和功率稳定模块，第一循环模块将信号稳定模块输出的种子光注入从激光模块，完成注入锁定，再将从激光模块生成的信号光传输至功率稳定模块以监控信号光的功率；第二循环模块设置在滤波模块和相位调制模块之间，用于防止信道中的信号反向注入相位调制模块。

在上述密钥协商方法的基础上，本发明还提出一种量子数字签名方法，所述签名方法实施在发送方A、接收方B和验证方C之间，包括以下步骤：

(1)发送方A和接收方B基于权利要求1至2任意一项所述方法协商得到密钥S₁；发送方A和验证方C基于权利要求1至2任意一项所述方法协商得到密钥S₂；

(2)发送方A从本地获取一个n位随机数，利用该n位随机数生成一个GF(2)域中的n阶不可约多项式；

(3)发送方A将S₁和S₂异或后得到S_A，从S_A中选择长度为n的第一密钥；再基于步骤(2)得到的n阶不可约多项式和第一密钥，生成一个n×m的基于线性反馈移位寄存器的Toeplitz矩阵作为哈希函数，其中，m是待发送的消息的长度；

(4)发送方A用哈希函数将消息T映射为n位的第一摘要；再从S_A剩下的部分中选取长度为2n的第二密钥，用第二密钥对由第一摘要与不可约多项式除最高项以外的每一项系数组成的字符串进行异或加密操作，得到2n位的数字签名；

(5)发送方A将消息和数字签名发送给接收方B；

(6)接收方B将收到的来自发送方A的消息和数字签名连同自己的密钥S₁一并发送给验证方C；验证方C在接收到接收方B的消息后，将密钥S₂发给接收方B；

(7)接收方B和验证方C执行以下步骤：首先将S₁和S₂异或后得到S_A，并采用与发送方A相同的方式从提取第一密钥和第二密钥；然后用第二密钥解密签名，得到第三摘要和字符串；再用得到的字符串的每一位对应不可约多项式中除最高项以外每一项的系数，生成一个最高项系数为1的不可约多项式；最后用生成的不可约多项式与第一密钥一起生成Toeplitz矩阵以对消息进行映射，得到第二摘要，并比对第二摘要和第三摘要是否一致，一致则接收签名，否则不接受签名。

具体的，所述步骤(2)中生成不可约多项式的方法为：

1)对n位随机数进行判断：若n位随机数的最后一位为0，则令随机数的最后一位为1；或若n位随机数的最后一位为0，则重新生成n位随机数直至生成的n位随机数最后一位为1；

2)依次用n位随机数的每一位对应多项式中除最高项以外每一项的系数，生成一个 GF(2)域中的n阶多项式，最高项的系数为1；

3)利用FMC算法验证步骤2)得到的n阶多项式是否为不可约多项式，若验证结果为否，则A直接生成n位的另一组随机数，然后返回步骤1)重新生成多项式并验证；若验证结果为“是”，则停止验证，得到不可约多项式。

本发明还提出一种量子数字签名系统，用于实现所述的方法，包括发送方A、接收方B、验证方C和不可信中继；

不可信中继包括第一信号稳定模块、第二信号稳定模块、干涉模块、第一探测器、第二探测器、主激光模块和分束模块；第一信号稳定模块、第二信号稳定模块分别用于接收来自发送方和接收方的相干态，对接收到的相干态进行噪声过滤和偏振状态调整，使得两路相干态的偏振状态一致；干涉模块用于对第一信号稳定模块、第二信号稳定模块接收到的两路信号态进行干涉，并将干涉光送入第一探测器和第二探测器进行干涉测量；主激光模块用于生成种子光，分束模块用于将种子光一分为二后分别送入发送方和接收方；

发送方A、接收方B、验证方C结构相同，均包括从激光模块、强度调制模块、相位调制模块和衰减模块；其中，从激光模用于生成信号光和参考光；强度调制模块用于根据选择的光强调制信号光的强度；相位调制模块用于根据生成的随机比特和选择的相位片编号对进行强度调制后的信号光进行相位调制；衰减模块用于将相位调制后的信号光衰减至单光子量级，得到信号态。

针对所述量子数字签名系统，以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，在所述量子数字签名系统中，所述发送方A、接收方B、验证方C还包括信号放大模块、第三循环模块、滤波模块和信号稳定模块；其中，信号放大模块接收来自不可信中继的种子光，并通过第三循环模块将种子光送入滤波模块进行滤波，滤波后的种子光再通过第三循环模块送入信号稳定模块，信号稳定模块将种子光进行偏振监控与调节后注入从激光模块以实现注入锁定。

可选的，在所述量子数字签名系统中，所述发送方A、接收方B、验证方C还包括第一循环模块、第二循环模块和功率稳定模块；

第一循环模块分别连接从激光模块、信号稳定模块和功率稳定模块，第一循环模块将信号稳定模块输出的种子光注入从激光模块，完成注入锁定，再将从激光模块生成的信号光传输至功率稳定模块以监控信号光的功率；

第二循环模块设置在滤波模块和相位调制模块之间，用于防止信道中的信号反向注入相位调制模块。

有益效果：与现有技术相比，本发明具有以下优势：

1.本发明具有单光子干涉的特性，成码率与信道传输效率的平方根相关，能够打破无中继条件下成码率-传输距离限制，具有很长的传输距离，便于实现远距离量子数字签名协议，实用性很强。

2.本发明的安全性与测量设备无关，在不可信第三方存在的情况下也可以保证生成密钥的安全性，便于在包含不可信中继的网络上进行大规模部署。

3.本发明利用长度固定的密钥生成基于线性反馈移位寄存器的Toeplitz矩阵，对最长2⁶⁴比特的消息生成数字签名，具有非常高的效率和实用性。

附图说明

图1为实施例涉及的不可信中继的结构示意图；

图2为实施例涉及的发送方/接收方/消息验证方的结构示意图；

图3为实施例涉及的量子数字签名系统的结构图；

图4实施例涉及的相位片分片编码示意图；

图5为实施例涉及的量子数字签名系统在光纤模型下签名效率随信道长度的变化情况示意图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

实施例1：

本实施例示例性地给出一种量子密钥协商系统，发送方A、接收方B和不可信中继R1。

不可信中继的内部结构如图1所示，包括第一信号稳定模块1-1，第二信号稳定模块1-2，干涉模块1-3，第一探测器1-4，第二探测器1-5，主激光模块1-6和分束模块 1-7。

图1中，第一信号稳定模块1-1和第二信号稳定模块1-2作用相同，都是用来增加量子信号的干涉稳定度的。本实施例中，我们选择密集波分复用(下称DWDM)、电控偏振控制器(下称EPC)、偏振分束器和超导纳米线单光子探测器(下称SNSPD)组成此模块。其中，DWDM、EPC与偏振分束器之间相互串联，偏振分束器的一个输出端口连接SNSPD，另一个输出端口连接后续模块。DWDM用于过滤光学噪声，EPC、偏振分束器以及SNSPD用于监控并调节发送至不可信中继的信号的偏振状态，使得经过第一信号稳定模块1-1的来自发送方A的信号光脉冲与经过第二信号稳定模块1-2的来自接收方B的信号光脉冲不可区分。

干涉模块1-3，用于使第一信号稳定模块1-1和第二信号稳定模块1-2输出的信号光脉冲发生干涉。本实施例中，我们选择保偏偏振分束器作为此模块。

第一探测器1-4和第二探测器1-5用于对干涉模块1-3的干涉结果进行探测。本实施例中，我们选择SNSPD作为此模块。

主激光模块1-6，用于产生连续激光作为种子光。本实施例中，选择连续激光器作为此模块。

分束模块1-7，用于将主激光模块1-6产生的激光分束，分束后的激光作为种子光分送到发送方A和接收方B处。本实施例中，我们选择保偏分束器作为分束模块1-7。

发送方A和接收方B的内部结构相同，如图2所示，包括从激光模块2-1，第一循环模块2-2，功率稳定模块2-3，强度调制模块2-4，相位调制模块2-5，第二循环模块 2-6，衰减模块2-7，信号稳定模块2-8，信号放大模块2-9，第三循环模块2-10和滤波模块2-11。

从激光模块2-1用于产生激光信号光。本实施例中，我们选择连续激光器作为此模块。

第一循环模块2-2，用于改变信号光脉冲在信道当中的传播方向。本实施例中，我们选择环形器作为此模块。

功率稳定模块2-3用于监控来自从激光模块2-1的信号光功率。本实施例中，我们选择保偏分束器和功率计作为此模块。在系统工作时，信号光脉冲从一个输入端口进入保偏分束器，分束器的一个输出端口和后续模块连接，另一个输出端口和功率计连接。

强度调制模块2-4，用于对从激光模块2-1产生的信号光进行强度调制。本实施例中，选择两个Sagnac环结构串联组成此模块。Sagnac环结构斩波一次会出现杂散光信号，为了消除杂散光的影响，进一步增加消光比以及双向修整光信号的波形，这里采用了两级Sagnac环结构串联实现强度调制的效果。

相位调制模块2-5，用于对经过强度调制的信号进行相位调制。本实施例中，我们选择两台串联的相位调制器作为此模块。

第二循环模块2-6，用于防止信道中的信号产生反向注入。本实施例中，我们选择环形器作为此模块。

衰减模块2-7，用于将信号光脉冲的强度衰减至单光子量级。本实施例中，我们选择电控可调光衰减器(下称VOA)作为此模块。

信号稳定模块2-8，用于对来自R1的种子光进行偏振的监控与调节，从而保证注入锁定技术的效果。本实施例中，我们选择DWDM、EPC、偏振分束器和光功率计作为此模块。其中DWDM、EPC和偏振分束器之间满足串联关系，偏振分束器的一个输出端口与光功率计连接，另一个输出端口与其他模块连接。

信号放大模块2-9，用于对来自R1的种子光进行放大，消除种子光长距离传输后产生的衰减。本实施例中，我们选择掺铒光纤放大器(下称EDFA)作为此模块。

第三循环模块2-10，其作用与第一循环模块2-2一致。

滤波模块2-11，用于对来自R1的种子光进行滤波。本实施例中，我们选择光纤布拉格光栅作为此模块。

实施例2：

本实施例在实施例1所述量子密钥协商系统基础上，提出一种量子密钥协商方法，具体包括以下步骤：

(1)注入锁定：在不可信中继R1处的连续激光器作为主激光模块1-6，产生连续激光作为种子光。种子光经过保偏分束器被分为两束，两束种子光分别经过长距离的光纤信道到达A和B处。种子光到达A和B处之后首先经过EDFA放大，经过环形器由 FBG滤波，接着进入DWDM进行滤波，之后经过EPC和偏振分束器，偏振分束器透射输出端口连接环形器，反射输出端口连接光功率计，根据光功率计的探测结果调节 EPC，使得种子光与从激光模块2-1的激光器相匹配。完成滤波和信号稳定的种子光注入从激光模块2-1的激光器，完成注入锁定，稳定了激光器的相位。

(2)相干态制备：A首先产生随机的比特K_a(K_a的值为随机的0或者1)。接着A 随机地从{0，1，...，2n-1}中选取一个数P_a。最后A从集合

中随机选择一个光强U_a，其中0表示真空态，即没有光强，v是诱骗光强度，u是量子光强度，u和v之间满足v 小于u。A端完成注入的激光器发射激光，经过保偏分束器，保偏分束器的透射输出端与光功率计相连接，功率计用来监控激光器的功率稳定性。保偏分束器的反射输出端与两个Sagnac环结构连接。激光经过两个Sagnac环结构完成强度U_a的调制，接着经过两个相位调制器后被加载相位π(K_a+P_a/8)，最终生成相干态

B端进行完全相同的操作，产生随机比特K_b，随机选择P_b，选择光强U_b，经过强度U_b的调制后加载相位π(K_b+P_b/8)，最终生成相干态

完成后A和B都将完成调制的相干态发送至不可信的中继R1。

(3)相位漂移估计：在发送相干态的过程中，A和B需要进行相位漂移估计。A 和B产生并发送相位参考光(相位参考光的强度大于经过强度和相位调制的相干态，相位参考光不额外调制相位)。相位参考光发送至不可信中继R1处发生干涉，R1根据干涉结果估算出A和B的相位参考光之间的相位差，并进一步根据两者的相位差宣布随机数的差值P_R。

(4)A和B发送的相干态到达不可信中继R1处，分别经过DWDM滤波，EPC、偏振分束器与SNSPD结合进行偏振校准。两个相干态同时到达保偏分束器处发生干涉，之后不可信中继R1会记录干涉结果，即记录发生响应的探测器。接着不可信中继R1 会公布其测量结果，A和B也公布选择的随机数以及相干态的强度(U_a、P_a、U_b、P_b)。

(5)重复步骤(2)至(4)次数达到10¹²到10¹³数量级，然后继续执行下面的步骤。

(6)当中继R1公布了一次成功的探测(R1处的两个SNSPD有且仅有一个响应)， A和B则保留相应的比特K_a和K_b。若R1处的第二探测器1-5 处的SNSPD出现响应，那么B需要对K_b进行比特翻转操作。接着，A和B对自己手中的信号进行分类，计算 P＝(P_a-P_b+P_R)mod 16，如果P位于4到12之间，那么B翻转自己手中的比特，在其他情况下不做任何操作。根据双方手中剩下的原始数据，双方进行参数估计，纠错和隐私放大，A和B均获得最终的密钥S₁。

(7)A与C之间按照步骤(6)的方法进行密钥协商，最终在A与C间共享一串安全的密钥S₂。

本实施例中，还可使用实施例1中的系统采用发与不发(sending or notsending，SNS) 方法或免相位后选择方法(No-phase-post-selection，NPP)来协商密钥。

实施例3：

本实施例基于实施例2所述的密钥协商方法，进一步提出量子数字签名方法，该方法包括以下步骤：

1)A将自己手中的S₁和S₂异或得到

2)A从S_A中选择长度为n的第一密钥，用于生成基于线性反馈移位寄存器的哈希函数；

3)A从本地获取一个n位随机数，利用该n位随机数生成一个GF(2)域中的n阶不可约多项式。

首先，依次用n位随机数的每一位对应多项式中除最高项以外每一项的系数，生成一个GF(2)域中的n阶多项式，最高项的系数为1。例如，随机数为(a_n-1，a_n-2，…，a₁，a₀)，则生成的多项式为p₁(x)＝xⁿ+a_n-1x^n-1+…+a₁x+a₀。优选地，只有当a₀＝1时，生成的多项式才有可能是不可约多项式，因此，为减少后期验证不可约多项式时的计算量，可以先对n位随机数进行判断：若n位随机数的最后一位为0，则令随机数的最后一位为 1，再生成一个GF(2)域中的n阶不可约多项式；或若n位随机数的最后一位为0，则重新生成n位随机数直至生成的n位随机数最后一位为1，再生成一个GF(2)域中的n阶不可约多项式。这样能减少后期验证不可约多项式时的计算量，最后使得a₀＝1，生成的不可约多项式为p₁(x)＝xⁿ+a_n-1x^n-1+…+a₁x+1；

然后，利用FMC算法(Fast modular composition)验证此多项式是否为不可约多项式，若验证结果为“否”，则A直接生成n位的另一组随机数，然后返回步骤3)重新生成多项式并验证；若验证结果为“是”，则停止验证，得到不可约多项式。

4)A将步骤3)得到的n阶不可约多项式和从S_A中选择的第一密钥作为输入随机数，得到一个n×m的基于线性反馈移位寄存器的Toeplitz矩阵作为哈希函数，其中，m为需要签名的消息的长度。设第一密钥为

T表示转置，不可约多项式p₁(x)的系数向量为

则有如下递推规则：

因此，Toeplitz矩阵的形式如下：

5)A先用所述哈希函数将需要签名的消息映射为n位的第一摘要，再从密钥串S_A剩下的密钥中取长度为2n位的第二密钥对由第一摘要与不可约多项式除最高项以外的每一项系数组成的字符串进行异或加密操作，最终生成2n位的数字签名。

具体来说，对于一个m比特的消息mes＝(b₁，b₂，b₃，...，b_m)^T，Toeplitz矩阵的映射结果为：

也就是说，Toeplitz矩阵可以将一个m比特的消息，映射为一个n比特的第一摘要。

接下来，我们取长度为2n位的第二密钥Y_A＝(c₁，c₂，…，c_2n)^T，对由第一摘要和不可约多项式除最高项以外的每一项系数组成的字符串(d₁，d₂，…，d_n，a₀，a₁，…，a_n-1)进行异或加密操作，得到2n位的数字签名。

6)A将消息和数字签名一起发送给B，B接收到之后将数字签名、消息和自己的密钥串S₁发送给C，C在接收到B发送的数据后将密钥串S₂发送给B；

7)此时，B和C均持有密钥串S₁和S₂，将两个密钥串S₁和S₂进行异或操作，即可得到与A相同的密钥串S_A，B和C均在各自的密钥串S_A中提取出第二密钥进行解密，得到第三摘要和字符串，用得到的字符串的每一位对应不可约多项式中除最高项以外每一项的系数，生成一个最高项系数为1的不可约多项式。然后B和C均在各自的密钥串S_A中提取出第一密钥，与生成的不可约多项式一起采用相同的方法生成同样的哈希函数，再对接收到的需要签名的消息进行映射得到第二摘要，即将需要签名的消息代入哈希函数得到第二摘要；接收端和验证端均将得到的第二摘要和第三摘要进行对比，如果第二摘要和第三摘要相同则接受这一次签名；反之，不接受这次签名。

实施例4：

本实施例则提出一种用于实现量子数字签名的系统，其结构如图3所示，包括发送方A、接收方B、消息验证方C、不可信中继R1、R2。

其中，发送方A、接收方B和消息验证方C结构相同，均如图2所示。不可信中继R1、R2结构相同，均如图1所示。

在签名前，发送方A、接收方B通过不可信中继R1完成密钥协商，得到S₁；发送方A、消息验证方C通过不可信中继R2完成密钥协商，得到S₂。

图5则示出了本实施例所述量子数字签名系统在光纤模型下进行量子数字签名的表现，即给出量子数字签名的签名率(每个光脉冲能够签名的消息个数)随着距离的变化情况。在这次模拟中，我们选择生成基于线性移位寄存器的Toeplitz矩阵的密钥串长度为128比特，并且对诱骗态光强进行了优化。根据图片可以看出在距离1000千米时签名效率仍然有良好的表现，反映了本发明所提供的系统的实用性。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1.一种量子密钥协商方法，其特征在于，所述方法实施在通过不可信中继进行密钥协商的发送方和接收方之间，包括以下步骤：

(1)发送方制备相干态：首先生成随机比特K_a，然后随机生成随机数P_a，P_a＝0，1，2，...， 2n-1，再随机选取光强U_a和控制离散相位的随机数P_a制备出相干态

n为正整数；

(2)接收方采用与步骤(1)相同的方法制备出相干态

其中，U_b表示接收方选择的光强，K_b表示接收方生成的随机比特，P_b表示接收方选择的控制离散相位的随机数；

(3)发送方和接收方将制备的相干态发送给不可信中继，不可信中继采用第一、第二探测器对接收到的相干态进行干涉测量，并公布测量结果；发送方和接收方则公开选取的光强和控制离散相位的随机数；

(4)在发送相干态的同时，发送方和接收方还发送参考光给不可信中继，不可信中继对两路参考光进行干涉测量，并估算出发送方和接收方的随机数差值P_R，然后公开P_R；

(5)重复步骤(1)至(4)M次；

(6)将仅有一个探测器响应的情况记为有效测量，发送方、接收方和不可信中继保留有效测量结果对应的比特；接收方先将保留的比特中对应第一/第二探测器响应的部分进行翻转，然后再计算P＝(P_a-P_b+P_R)mod 2n；若第一探测器响应且P的值落入区间

内，则接收方翻转持有的所有比特；若第二探测器响应且P落入区间

则接收方翻转持有的所有比特；其余情况，接收方不做任何操作；

(7)发送方和接收方基于所持有的比特进行参数估计、纠错和隐私放大，得到双方的密钥。

2.根据权利要求1所述的量子密钥协商方法，其特征在于，

其中，0表示真空态，u表示量子光强度，v₁至v_n表示诱骗光强度，v₁+v₂+…+v_n＜u。

3.一种量子密钥协商系统，用于实现权利要求1所述的方法，其特征在于，包括发送方、接收方和不可信中继；其中，

不可信中继包括第一信号稳定模块、第二信号稳定模块、干涉模块、第一探测器、第二探测器、主激光模块和分束模块；

第一信号稳定模块、第二信号稳定模块分别用于接收来自发送方和接收方的相干态，对接收到的相干态进行噪声过滤和偏振状态调整，使得两路相干态的偏振状态和频率一致；

干涉模块用于对第一信号稳定模块、第二信号稳定模块接收到的两路信号态进行干涉，并将干涉光送入第一探测器和第二探测器进行干涉测量；

主激光模块用于生成种子光，分束模块用于将种子光一分为二后分别送入发送方和接收方。

4.根据权利要求3所述的量子密钥协商系统，其特征在于，所述接收方和发送方结构相同，均包括：从激光模块、强度调制模块、相位调制模块和衰减模块；其中，从激光模块用于生成信号光和参考光；强度调制模块用于根据选择的光强调制信号光的强度；相位调制模块用于根据生成的随机比特和选择的相位片编号对进行强度调制后的信号光进行相位调制；衰减模块用于将相位调制后的信号光衰减至单光子量级，得到信号态。

5.根据权利要求4所述的量子密钥协商系统，其特征在于，所述系统还包括信号放大模块、第三循环模块、滤波模块和信号稳定模块；其中，信号放大模块接收来自不可信中继的种子光，并通过第三循环模块将种子光送入滤波模块进行滤波，滤波后的种子光再通过第三循环模块送入信号稳定模块，信号稳定模块将种子光进行偏振监控与调节后注入从激光模块以实现注入锁定。

6.根据权利要求5所述的量子密钥协商系统，其特征在于，所述系统还包括：第一循环模块、第二循环模块和功率稳定模块；

第一循环模块分别连接从激光模块、信号稳定模块和功率稳定模块，第一循环模块将信号稳定模块输出的种子光注入从激光模块，完成注入锁定，再将从激光模块生成的信号光传输至功率稳定模块以监控信号光的功率；

第二循环模块设置在滤波模块和相位调制模块之间，用于防止信道中的信号反向注入相位调制模块。

7.一种量子数字签名方法，其特征在于，所述签名方法实施在发送方A、接收方B和验证方C之间，包括以下步骤：

(1)发送方A和接收方B基于权利要求1至2任意一项所述方法协商得到密钥S₁；发送方A和验证方C基于权利要求1至2任意一项所述方法协商得到密钥S₂；

(2)发送方A从本地获取一个n位随机数，利用该n位随机数生成一个GF(2)域中的n阶不可约多项式，n为正整数；

(3)发送方A将S₁和S₂异或后得到S_A，从S_A中选择长度为n的第一密钥；再基于步骤(2)得到的n阶不可约多项式和第一密钥，生成一个n×m的基于线性反馈移位寄存器的Toeplitz矩阵作为哈希函数，其中，m是待发送的消息的长度；

(4)发送方A用哈希函数将消息T映射为n位的第一摘要；再从S_A剩下的部分中选取长度为2n的第二密钥，用第二密钥对由第一摘要与不可约多项式除最高项以外的每一项系数组成的字符串进行异或加密操作，得到2n位的数字签名；

(5)发送方A将消息和数字签名发送给接收方B；

(6)接收方B将收到的来自发送方A的消息和数字签名连同自己的密钥S₁一并发送给验证方C；验证方C在接收到接收方B的消息后，将密钥S₂发给接收方B；

(7)接收方B和验证方C执行以下步骤：首先将S₁和S₂异或后得到S_A，并采用与发送方A相同的方式提取第一密钥和第二密钥；然后用第二密钥解密签名，得到第三摘要和字符串；再用得到的字符串的每一位对应不可约多项式中除最高项以外每一项的系数，生成一个最高项系数为1的不可约多项式；最后用生成的不可约多项式与第一密钥一起生成Toeplitz矩阵以对消息进行映射，得到第二摘要，并比对第二摘要和第三摘要是否一致，一致则接收签名，否则不接受签名。

8.根据权利要求7所述的量子数字签名方法，其特征在于，所述步骤(2)中生成不可约多项式的方法为：

1)对n位随机数进行判断：若n位随机数的最后一位为0，则令随机数的最后一位为1；或若n位随机数的最后一位为0，则重新生成n位随机数直至生成的n位随机数最后一位为1；

2)依次用n位随机数的每一位对应多项式中除最高项以外每一项的系数，生成一个GF(2)域中的n阶多项式，最高项的系数为1；

3)利用FMC算法验证步骤2)得到的n阶多项式是否为不可约多项式，若验证结果为否，则A直接生成n位的另一组随机数，然后返回步骤1)重新生成多项式并验证；若验证结果为“是”，则停止验证，得到不可约多项式。

9.一种量子数字签名系统，用于实现权利要求7至8任意一项所述的方法，其特征在于，包括发送方A、接收方B、验证方C和不可信中继；

不可信中继包括第一信号稳定模块、第二信号稳定模块、干涉模块、第一探测器、第二探测器、主激光模块和分束模块；第一信号稳定模块、第二信号稳定模块分别用于接收来自发送方和接收方的相干态，对接收到的相干态进行噪声过滤和偏振状态调整，使得两路相干态的偏振状态一致；干涉模块用于对第一信号稳定模块、第二信号稳定模块接收到的两路信号态进行干涉，并将干涉光送入第一探测器和第二探测器进行干涉测量；主激光模块用于生成种子光，分束模块用于将种子光一分为二后分别送入发送方和接收方；

发送方A、接收方B、验证方C结构相同，均包括从激光模块、强度调制模块、相位调制模块和衰减模块；其中，从激光模用于生成信号光和参考光；强度调制模块用于根据选择的光强调制信号光的强度；相位调制模块用于根据生成的随机比特和选择的相位片编号对进行强度调制后的信号光进行相位调制；衰减模块用于将相位调制后的信号光衰减至单光子量级，得到信号态。

10.根据权利要求9所述的量子数字签名系统，其特征在于，所述发送方A、接收方B、验证方C还包括信号放大模块、第三循环模块、滤波模块和信号稳定模块；其中，信号放大模块接收来自不可信中继的种子光，并通过第三循环模块将种子光送入滤波模块进行滤波，滤波后的种子光再通过第三循环模块送入信号稳定模块，信号稳定模块将种子光进行偏振监控与调节后注入从激光模块以实现注入锁定。

11.根据权利要求10所述的量子数字签名系统，其特征在于，所述发送方A、接收方B、验证方C还包括第一循环模块、第二循环模块和功率稳定模块；

第一循环模块分别连接从激光模块、信号稳定模块和功率稳定模块，第一循环模块将信号稳定模块输出的种子光注入从激光模块，完成注入锁定，再将从激光模块生成的信号光传输至功率稳定模块以监控信号光的功率；

第二循环模块设置在滤波模块和相位调制模块之间，用于防止信道中的信号反向注入相位调制模块。

Images