CN116232597B - 基于不可信源的即插即用测量设备无关量子数字签名方法 - Google Patents

Abstract

本发明公开了基于不可信源的即插即用测量设备无关量子数字签名方法，属于量子保密通信技术领域,包括：通信方和不可信中继的简单设置；所述通信方包括：签名方A、接收方B和接收方C；所述不可信中继的简单设置包括：所述签名方A产生签名声明，并将所述签名声明传送至所述接收方B或C，所述接收方B和所述接收方C进行核实签名声明的真实性。本方案设计的测量设备无关的量子数字签名方法不需要通信过程的每一方的光源都是可信的，只需在中继处设立一个不可信光源即可。测量设备无关量子数字签名中的模式匹配可以通过即插即用的结构自动实现。同时，因为通信双方可以共用一个复杂的光源，所以量子光纤网络中的光学元件得到了简化。

Description

基于不可信源的即插即用测量设备无关量子数字签名方法

技术领域

本发明涉及量子保密通信技术领域，具体涉及基于不可信源的即插即用测量设备无关量子数字签名方法。

背景技术

测量设备无关的量子数字签名在安全性方面能够抵御边信道探测攻击，从而保证了信息的真实性和有效性。

然而，目前当测量设备无关量子数字签名协议应用于实际中的系统中时往往较为复杂，主要包括以下原因，其一，高可见度的干涉需要多个额外的主动控制单元来进行模式匹配；其二，测量设备无关量子数字签名中一个关键的假设是位于通信每一方的光源是可信的。

发明内容

为了解决现有技术的问题，本发明提供了基于不可信源的即插即用测量设备无关量子数字签名方法，包括:通信方和不可信中继的简单设置；

所述通信方包括：签名方A、接收方B和接收方C；

所述不可信中继的简单设置包括：所述签名方A产生签名声明，并将所述签名声明传送至所述接收方B或所述接收方C，所述接收方B和所述接收方C进行核实签名声明的真实性；

其中，接收方对签名方发送的签名核实时，采用基于不可信源的密钥生成协议对应的密钥进行核实。

进一步地，所述签名声明核实过程包括以下步骤：

步骤1、分发阶段；

对于签名方A和接收方B之间的每个信息m的传输，所述签名方A和接收方B分别采用基于不可信源的密钥生成协议的对应的密钥和/>进行信息的签名和验证；

对于签名方A和接收方C之间的每个信息m的传输，所述签名方A和接收方C分别采用基于不可信源的密钥生成协议的对应的密钥和/>进行信息的签名和验证；

对于每个信息m，所述接收方B或所述接收方C通过随机选择各自密钥中的一半或/>并将密钥/>或/>发送给所述接收方C或所述接收方B，实现密钥的对称化；

步骤2、信息发送阶段；

所述签名方A给所述接收方B发送签名信息(m,Sig_m)；

所述接收方B利用密钥对所述签名信息(m,Sig_m)进行验证，根据验证结果确定是否接收所述签名信息(m,Sig_m)；

所述接收方B将所述签名(m,Sig_m)发送给所述接收方C；

所述接收方C利用密钥对所述签名信息(m,Sig_m)进行验证，根据验证结果确定是否接收所述签名信息(m,Sig_m)。

进一步地，所述密钥和/>的长度均为L。

进一步地，所述接收方B利用密钥对所述签名信息(m,Sig_m)进行验证，包括：

所述接收方B检测所述签名信息(m,Sig_m)和自己的密钥中不匹配的比特个数，当两部分不匹配的数量都小于s_a(L/2)时，所述接收方B接收所述签名信息(m,Sig_m)，其中s_a<1/2是最低门限，否则所述接收方B拒绝接收所述签名信息(m,Sig_m)；

其中，所述接收方B单独检验直接由所述签名方A和所述接收方C发送的部分。

进一步地，所述接收方C利用密钥对所述签名信息(m,Sig_m)进行验证，包括：

所述接收方C检测所述签名信息(m,Sig_m)和自己的密钥中不匹配的比特个数，当两部分不匹配的数量都小于s_a(L/2)时，所述接收方C接收所述签名信息(m,Sig_m)，其中s_a<1/2是最低门限，否则所述接收方C拒绝接收所述签名信息(m,Sig_m)。

进一步地，接收方对签名方发送的信息，使用密钥生成协议产生长度为L的密钥，所述密钥生成协议包括以下步骤：

步骤A、量子态准备阶段；

不可信中继将激光脉冲通过不对称干涉仪，产生两束时间戳脉冲，随后将这两束脉冲通过光纤分别发送到所述签名方A和所述接收方B端；

步骤B、探测和编码阶段；

所述签名方A和所述接收方B在收到来自不可信中继的光脉冲后，依次对所述光脉冲进行衰减、随机化处理，并对应的密钥编码到处理后的所述光脉冲上；

步骤C、测量阶段；

在不可信中继对收到的量子态执行贝尔态测量；

在测量后，不可信中继公开测量结果，成功探测的结果指的是在所选择的时间段内两个检测器同时被触发；

步骤D、筛选阶；

所述签名方A和所述接收方B通过一个经过认证的信道在每次探测成功后公布他们所使用的基以及强度；

为了简化讨论，定义两个集合：和/>表示的是这样的信号的集合：所述签名方A和所述接收方B同时选择了Z基，强度分别为γ_a和γ_b，同时不可信中继公布的成功的结果为sd；

同理，表示的是所述签名方A和所述接收方B同时选择了X基，强度分别为γ_a和γ_b，同时中继公布的成功的结果为sd的集合；

所述签名方A和所述接收方B选择不同基的光信号将会被丢弃，上述步骤重复多次，直到获得足够数量的成功的次数；

步骤E、参数估计阶段；

所述签名方A和所述接收方B随机从集合选出n_k个比特分别作为他们的密钥k_A,Z和k_B,Z；

剩余的R_k个比特k′_A,Z和k′_B,Z用来估计量子误比特率 在估计完之后便将这些剩余的比特丢弃；

所述接收方B的密钥k_B,Z分为两部分和/>其中/>为保留在本地的部分，/>为发送给所述接收方C的部分，通过密钥生成协议产生的密钥k_A,Z和k_B,Z正是上面所描述的密钥/>和/>

进一步地，所诉探测和编码阶段；

所述签名方A和所述接收方B使用分束器和强度检测器组成的监视单元来监测所收到的脉冲；

输入的脉冲通过分束器被分为两束：其中一束被传送到编码器端，称为编码脉冲；另一束被发送到强度检测器用以评估光子数分布，称为采样脉冲；

编码脉冲衰减到平均光子数为量子水平；

编码过程具体为：对X基，利用相位调制器将相对相位0或者π编码到脉冲上，对Z基来说，利用强度调制器将时隙编码到脉冲上，为简化分析，假设所述签名方A和所述接收方B使用的光源强度相同，即γ_a＝γ_b＝γ∈{μ,ν,ω}，编码脉冲最终通过法拉第镜反射回不可信中继进行贝尔态测量。

本发明的有益效果：

本方案设计的测量设备无关的量子数字签签名，一方面，这种方案不需要通信过程的每一方的光源都是可信的，只需在中继处设立一个不可信光源即可。

另一方面，测量设备无关量子数字签名中的模式匹配可以通过即插即用的结构自动实现。同时，因为通信双方可以共用一个复杂的光源，所以量子光纤网络中的光学元件得到了简化。

此外，数据仿真表明基于不可信源的即插即用测量设备无关量子数字签名方案在低损耗区域的性能接近原始方案，但实验装置更加简单。

附图说明

图1是本发明提供的签名率和传输距离关系的示意图；

图2本发明提供的优化强度信号示意图；

图3本发明提供的优化信号强度和固定信号强度下的量子签名率示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本发明提供了基于不可信源的即插即用测量设备无关量子数字签名方法，包括:通信方和不可信中继的简单设置；

所述通信方包括：签名方A、接收方B和接收方C；

所述不可信中继的简单设置包括：所述签名方A产生签名声明，并将所述签名声明传送至所述接收方B或所述接收方C，所述接收方B和所述接收方C进行核实签名声明的真实性。

具体实现步骤如下：

步骤1、分发阶段；

对每个即将收到的信息m＝0或1，所述签名方A和所述接收方B使用基于不可信源的即插即用测量设备无关量子密钥生成协议产生长度为L的密钥。所述签名方A和所述接收方B使用的密钥分别为和/>同样的，所述签名方A和所述接收方C之间也通过基于不可信源的即插即用测量设备无关量子密钥生成协议产生长度为L的密钥，所述签名方A所持有的密钥为/>所述接收方C所持有的密钥为/>所述签名方A对信息m进行签名，得到签名信息/>

对于每个信息m，所述接收方B和所述接收方C通过随机选择各自密钥和/>中的一半，并将这些选中的密钥通过认证的经典信道发送给对方，实现密钥的对称化。在密钥对称化后，所述接收方B和所述接收方C的密钥可以分别表示为/>和/>这些被选择发送给对方的密钥将不会再被用于检测签名的真实性。密钥/>和/>都包含了/>和/>的一半，因此所述签名方A无法区分所述接收方B和所述接收方C的密钥，这保证了签名安全性方面的不可抵赖性。此外，所述接收方C和所述接收方B仅仅能确定密钥/>和/>中的一半，因此也确保了签名的不可伪造性。

步骤2、信息发送阶段；

所述签名方A给所述接收方B发送签名(m,Sig_m)。

所述接收方B检测签名(m,Sig_m)和自己的密钥中不匹配的比特个数。确切来说，所述接收方B单独检验直接由所述签名方A和所述接收方C发送的部分。当两部分不匹配的数量都小于s_a(L/2)时，其中s_a<1/2是最低门限，所述接收方B会接受这个签名信息。

所述接收方B将(m,Sig_m)发送给所述接收方C。

所述接收C和所述接收B使用同样的方法检测签名(m,Sig_m)和中不匹配的比特个数，最终使用不同的门限值s_v来决定是否接受发来的信息。

实施例二

本发明提供一种接收方对签名方发送的信息使用密钥生成协议产生长度为L的密钥，该密钥生成协议的步骤如下：

步骤A、量子态准备阶段；

不可信中继将激光脉冲通过不对称干涉仪，产生两束时间戳脉冲，随后将这两束脉冲通过光纤分别发送到所述签名方A和所述接收方B端；

步骤B、探测和编码阶段；

所述签名方A和所述接收方B在收到来自中继的光脉冲后，所述签名方A和所述接收方B使用分束器和强度检测器组成的监视单元来监测所收到的脉冲；

输入的脉冲通过分束器被分为两束：其中一束被传送到编码器端，称为编码脉冲；另一束被发送到强度检测器用以评估光子数分布，称为采样脉冲；

首先所述签名方A和所述接收方B将编码脉冲衰减到平均光子数为量子水平，进而通过随机化单元将编码脉冲相位进行随机化，随后，通过编码单元将密钥信息编码在脉冲上；

编码过程具体为：对X基，利用相位调制器将相对相位0或者π编码到脉冲上，对Z基来说，利用强度调制器将时隙编码到脉冲上，为简化分析，假设所述签名方A和所述接收方B使用的光源强度相同，即γ_a＝γ_b＝γ∈{μ,ν,ω}，编码脉冲最终通过法拉第镜反射回不可信中继进行贝尔态测量；

步骤C、测量阶段；

在不可信中继对收到的量子态执行贝尔态测量；

在测量后，中继公开测量结果，成功探测的结果指的是在所选择的时间段内两个检测器同时被触发；

步骤D、筛选阶；

所述签名方A和所述接收方B通过一个经过认证的信道在每次探测成功后公布他们所使用的基以及强度；

为了简化讨论，我们定义两个集合：和/>表示的是这样的信号的集合：所述签名方A和所述接收方B同时选择了Z基，强度分别为γ_a和γ_b，同时中继公布的成功的结果为sd.类似的，/>表示的是所述签名方A和所述接收方B同时选择了X基，强度分别为γ_a和γ_b，同时中继公布的成功的结果为sd的集合；所述签名方A和所述接收方B选择不同基的光信号将会被丢弃，上述步骤重复多次，直到获得足够数量的成功的次数；因为，不匹配的基不能用于生成密钥，因此丢掉。

步骤E、参数估计阶段；

所述签名方A和所述接收方B随机从集合选出n_k个比特分别作为他们的密钥k_A,Z和k_B,Z；

剩余的R_k个比特k′_A,Z和k′_B,Z用来估计量子误比特率 在估计完之后便将这些剩余的比特丢弃；

所述接收方B的密钥k_B,Z分为两部分和/>其中/>为保留在本地的部分，/>为发送给所述接收方C的部分，通过密钥生成协议产生的密钥k_A,Z和k_B,Z也正是上面所描述的密钥/>和/>

实施例三

本发明提供基于不可信源的即插即用测量设备无关量子数字签名方法中涉及的协议原理对应的实验模型：

1、监测单元模型；

来自不可信中继的每个输入脉冲都经过BS分为编码脉冲和采样脉冲。编码脉冲携带秘密信息，并且被发送到中继进行测量，采样脉冲发送到ID装置来进行采样，得到光子数分布。编码脉冲的光子数分布可以通过对应的采样脉冲使用随机采样定理来估计。定义m_a(n_a)为A输入端口(输出端口)脉冲的平均光子数。输入的脉冲根据平均光子数的不同分为两种类型：

Untagged pulses:m_a∈[(1-δ_a)M_a,(1+δ_a)M_a]

Tagged pulses:m_a<(1+δ_a)M_a or m_a>(1-δ_a)M_a

式中δ_a为一个很小的正实数，M_a是一个大的正整数。针对B的脉冲定义同样的参数m_b，n_b，δ_b，M_b·参数δ_a，M_a，δ_b，M_b由A和B共同决定。考虑2k个脉冲从不可信中继发送给A，在这些已经发送的脉冲中，V_a个脉冲是未标记的。A随机的将每个脉冲分配为采样脉冲或者编码脉冲。最终在未标记的脉冲中有个采样脉冲和/>个编码脉冲，A可以从/>中估计/>

2、诱骗态分析过程；

在基于不可信源的即插即用测量设备无关量子密钥生成协议中，如果光源是可信的，则有：

式中是条件概率，表示的是A和B各自发出n_a n_b个光子并且他们选择的信号态强度为μ(诱骗态强度为v)的条件下C公布成功事件的概率。/>分别为其对应的QBER。然而，当光源由Eve掌控时，上述等式就不再成立，因为Eve知道了输入和输出的光子数，在这种情况下有：

式中是条件概率，表示的是在以脉冲强度μ(v)时，平均光子数为m_a，m_b的光脉冲进入A和B端的实验装置，以光子数n_a和n_b离开条件下，C公布成功事件的概率。对于基于不可信源的即插即用测量设备无关量子密钥生成协议，通过设置不同强度来进行测量就可以得到：

式中P_in(m_a)是输入信号中包含m_a个光子的概率，表示的是强度为γ_a时，输入信号包含了m_a个的光子的条件下输出信号包含n_a个光子的概率。对B端也使用同样的定义方式，只需将a换成b即可。通过引入变量/>和/>上面两个表达式可以简化为：

当γ_a＝γ_b＝μ时的增益为：

为了获得更加精确的签名率，我们需要估计下界和上界e₁₁。/>下界的估计取决于/>的估计。基于双强度诱骗态方法，/>的估计可通过下式获得：

上界可估计为：

本专利只关注未标记的脉冲，它们的增益和量子比特错误率/>不能通过实验直接观测到，但是能够通过总体的增益/>和总体量子比特错误率/>来估计，具体如下：

式中Δ_a(Δ_b)为非对称情况下未标记的脉冲中采样脉冲的平均概率。ε_a(ε_b)为统计波动引起的错误率。

3、量子信道模型。如果相干态的相位是完全随机的，那么量子信道便可以建模为一个光子数信道模型。总体的增益和QBER可以表示如下：

式中I₀(λ)是校正后的第一类贝塞尔函数，e_d是不匹配的错误率，e₀＝1/2，并且有：

Q_E＝2p_d(1-p_d)²e^-γ/2[I₀(2λ)-(1-p_d)e^-γ/2]

κ＝(1-p_d)e^-γ/4

γ＝η_aa+η_bb

4、仿真结果分析：

在双强度诱骗态的设置如下：真空态ω＝0，弱诱骗态ν＝0.01，信号态μ＝0.6。其他仿真参数设置如下：

损耗系数α	0.21dB/km
		暗记数率pd	3*10-6
探测效率ηd	20％
		相位错误率ed	0.1％
C光脉冲中的平均光子数Mc	109

基于可信源的测量设备无关量子数字签名方案在的仿真结果如图1中实线所示，实现了212km的传输距离。然而。由于所发送的信号数量是有限的，因此会受到有限长密钥所引起的统计波动的影响。有限数量的信号的仿真结果见图1中虚线，结果表明统计波动对签名率以及传距离的影响非常严重。

然而，对于初始测量设备无关量子数字签名而言，由于高可见度的干涉需要多个额外的主动控制单元来进行模式匹配，此外其中一个关键的假设是位于通信每一方的光源应该是可信，导致签名系统的实现较为复杂。本方案所提出的基于不可信源的即插即用测量设备无关量子数字签名方法完全去掉了位于用户本地的可信光源，并且采用了即插即用的结构来进行光子的模式匹配，这极大的降低了实验实施的复杂性。

本方案的实验结果如图1中的靠近纵坐标的实线所示，基于单不可信光源仍然可以实现最大60km的传输距离。在传输距离小于50km时，可信光源和不可信光源签名率的曲线几乎重合，也就是说，在低损耗的情况下，基于不可信源的即插即用测量设备无关量子数字签名方案和原始方案的表现基本一致，当传输距离延长后这种结果也会发生变化。这是由于长距离引起的信道损耗会使得A和B所收到的光子数远小于M_c，输入光子数的减少会引起Δ的增加，而Δ会因一部影响未标记脉冲增益的估计。与此相反的是，短距离情况下的增益是远大于Δ的，因此Δ的改变对增益估计的影响是很小的。

为了进一步改善方案，我们针对每个给定的距离优化信号态强度μ的数值。仿真结果如图2所示。基于优化的强度，绘制出了优化强度下的传输距离和签名率的曲线，为了进一步对比，也绘制出了固定强度μ＝0.6下的对比关系，如图2所示。

偏差错误在实际的系统中是不可避免的，并且这种错误会使得量子密码协议的表现更差。

图3绘制出了优化信号强度和固定信号强度下的量子签名率示意图，从中可以得出相较于固定的信号态强度，采用优化的信号态强度，可进一步提升传输距离。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述方法包括：签名方A产生签名声明，并将所述签名声明传送至接收方B或接收方C，所述接收方B和所述接收方C进行核实签名声明的真实性；

接收方对签名方发送的签名核实时，采用基于不可信源的密钥生成协议对应的密钥进行核实；

其中，接收方对签名方发送的信息，使用密钥生成协议产生长度为L的密钥，所述密钥生成协议包括以下步骤：

步骤A、量子态准备阶段；

不可信中继将激光脉冲通过不对称干涉仪，产生两束时间戳脉冲，随后将这两束脉冲通过光纤分别发送到所述签名方A和所述接收方B端；

步骤B、探测和编码阶段；

所述签名方A和所述接收方B在收到来自不可信中继的光脉冲后，依次对所述光脉冲进行衰减、随机化处理，并对应的密钥编码到处理后的所述光脉冲上；

步骤C、测量阶段；

在不可信中继对收到的量子态执行贝尔态测量；

在测量后，不可信中继公开测量结果，成功探测的结果指的是在所选择的时间段内两个检测器同时被触发；

步骤D、筛选阶段；

所述签名方A和所述接收方B通过一个经过认证的信道在每次探测成功后公布他们所使用的基以及强度；

定义两个集合：和/>表示的是这样的信号的集合：所述签名方A和所述接收方B同时选择了Z基，强度分别为γ_a和γ_b，同时不可信中继公布的成功的结果为sd；

同理，表示的是所述签名方A和所述接收方B同时选择了X基，强度分别为γ_a和γ_b，同时不可信中继公布的成功的结果为sd的集合；

所述签名方A和所述接收方B选择不同基的光信号将会被丢弃，上述步骤重复多次，直到获得足够数量的成功的次数；

步骤E、参数估计阶段；

所述签名方A和所述接收方B随机从集合选出n_k个比特分别作为他们的密钥k_A,Z和k_B,Z；

剩余的R_k个比特k'_A,Z和k'_B,Z用来估计量子误比特率 在估计完之后便将这些剩余的比特丢弃；

所述接收方B的密钥k_B,Z分为两部分和/>其中/>为保留在本地的部分，/>为发送给所述接收方C的部分。

2.根据权利要求1所述的基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述签名声明核实过程包括以下步骤：

步骤1、分发阶段；

对于签名方A和接收方B之间的每个信息m的传输，所述签名方A和接收方B分别采用基于不可信源的密钥生成协议的对应的密钥和/>进行信息的签名和验证；其中，通过密钥生成协议产生的密钥k_A,Z和k_B,Z正是所述密钥/>和/>

对于签名方A和接收方C之间的每个信息m的传输，所述签名方A和接收方C分别采用基于不可信源的密钥生成协议的对应的密钥和/>进行信息的签名和验证；

对于每个信息m，所述接收方B或所述接收方C通过随机选择各自密钥中的一半或并将密钥/>或/>发送给所述接收方C或所述接收方B，实现密钥的对称化；

步骤2、信息发送阶段；

所述签名方A给所述接收方B发送签名信息(m,Sig_m)；

所述接收方B利用密钥对所述签名信息(m,Sig_m)进行验证，根据验证结果确定是否接收所述签名信息(m,Sig_m)；

所述接收方B将所述签名(m,Sig_m)发送给所述接收方C；

所述接收方C利用密钥对所述签名信息(m,Sig_m)进行验证，根据验证结果确定是否接收所述签名信息(m,Sig_m)。

3.根据权利要求2所述的基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述密钥和/>的长度均为L。

4.根据权利要求3所述的基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述接收方B利用密钥对所述签名信息(m,Sig_m)进行验证，包括：

所述接收方B检测所述签名信息(m,Sig_m)和自己的密钥中不匹配的比特个数，当两部分不匹配的数量都小于s_a(L/2)时，所述接收方B接收所述签名信息(m,Sig_m)，其中s_a<1/2是最低门限，否则所述接收方B拒绝接收所述签名信息(m,Sig_m)；

其中，所述接收方B单独检验直接由所述签名方A和所述接收方C发送的部分。

5.根据权利要求4所述的基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述接收方C利用密钥对所述签名信息(m,Sig_m)进行验证，包括：

所述接收方C检测所述签名信息(m,Sig_m)和自己的密钥中不匹配的比特个数，当两部分不匹配的数量都小于s_a(L/2)时，所述接收方C接收所述签名信息(m,Sig_m)，其中s_a<1/2是最低门限，否则所述接收方C拒绝接收所述签名信息(m,Sig_m)。

6.根据权利要求5所述的基于不可信源的即插即用测量设备无关量子数字签名方法，其特征在于，所述探测和编码阶段；

所述签名方A和所述接收方B使用分束器和强度检测器组成的监视单元来监测所收到的脉冲；

输入的脉冲通过分束器被分为两束：其中一束被传送到编码器端，称为编码脉冲；另一束被发送到强度检测器用以评估光子数分布，称为采样脉冲；

编码脉冲衰减到平均光子数为量子水平；

编码过程具体为：对X基，利用相位调制器将相对相位0或者π编码到脉冲上，对Z基来说，利用强度调制器将时隙编码到脉冲上，假设所述签名方A和所述接收方B使用的光源强度相同，即γ_a＝γ_b＝γ∈{μ,ν,ω}，编码脉冲最终通过法拉第镜反射回不可信中继进行贝尔态测量。