一种四强度诱骗态量子数字签名方法

1.本发明属于量子信息领域，主要涉及量子密码领域，具体是一种四强度诱骗态量子数字签名(qds)方法，本方案可以提高协议签名效率和协议传输距离。


背景技术：

2.数字签名是一种替代物理签名的常用技术，可以用来保证真实性和消息的完整性。它在金融交易、软件分发和电子邮件等方面起着重要的作用。rivest-shamic-adleman(rsa)算法常用于经典数字签名方案，rsa算法的安全性取决于大整数分解的难度。不幸的是，基于计算难度的经典数字签名面对算法的突破和量子计算机的出现可能会变得不安全。考虑到数字签名的不安全性，量子数字签名(qds)应运而生，可以用来对抗具有无限计算能力的窃听者(eve)。
3.自2001年第一个qds协议提出以来，科研人员已经消除了许多实际应用的障碍，例如量子存储，安全的量子通道等。在防止信道窃听方面，通常使用诱骗态方法抵抗光子数分攻击。同时，科研人员提出可以使用量子密钥分发协议作为qds中的密钥生成协议(kgp，key generation protocol)，降低了qds的实验实现难度。此外，测量设备关的量子数字签名(mdi-qds，measurement-device-independent qds)协议能够免疫任何针对测量设备的侧信道攻击；被动式qds协议可以避免在强度调制过程中可能引入的侧信道漏洞。接着，基于双场协议的量子数字签名(tf-qds，twin-field qds)打破以往的密钥率和距离之间的线性界。
4.传统的三强度诱骗态qds方案虽然可以很好地抵御窃听攻击，系统具有很高的安全性，但是在签名率和传输距离方面仍需要改善，所以提出了一种改进方案—四强度诱骗态qds方案。


技术实现要素：

5.本发明目的在于针对上述现有技术的缺点，提出了一种四强度诱骗态量子数字签名方法，与以往三强度诱骗态方案对比，本方案在制备量子态时，会产生四种强度的光强，分别代表信号态、两个诱骗态和真空态。并且信号态只制备在z基下，诱骗态只制备在x基下，使用信号态成码，诱骗态估算。在四强度诱骗态方案中，可以有更多的优化参数，使得选择强度方面也有更多维度，估计信道参数更加紧致，因此进一步提高了签名率与签名距离。
6.本发明的一种四强度诱骗态量子数字签名方法，所述方法中包括三个参与者：一个签名者alice和两个接受签名对象bob和charlie，包括如下步骤：
7.步骤1，对于可能的签名的消息m＝0或者1，alice-bob和alice-charlie执行密钥生成协议kgp分别产生密钥串，具体过程为：
8.对于可能的签名的消息m＝0或者1，bob或charlie发送四种强度的光脉冲，分别以概率和制备信号态μ1、诱骗态μ2、μ3和真空态μ4，其中μ1只制备在z基下，μ2、μ3只制备在x基下，μ4为真空态不选基，并将他们发送给alice，alice随机地选
择基x或z来测量，对基筛选后，alice和bob得到z基下长度为l的密钥，分别记为和alice和charlie得到z基下长度为l的密钥，分别记为和其中，和由alice持有，和分别由bob和charlie持有；
9.步骤2，alice和bob双方随机选取z基密钥的一部分用于估计错误率e
ba
，z基剩下长度为l的密钥，记为和用于签名信息m；并且，alice和charlie双方随机选取z基密钥的一部分,用于估计错误率e
ca
，z基剩下长度为l的密钥，记为或和用于签名信息m；当误码率e
ba
或e
ca
低于给定的误码率阈值时，协议继续进行，否则协议停止，
10.步骤3，bob和charlie通过私密信道进行密钥对称操作(key exchange)，即各随机选取一半的密钥保留，另一半与对方交换。交换之后，bob和charlie手中的密钥串都由两部分组成，分别为其中表示bob用于交换的一半密钥，表示charlie用于交换的一半密钥，分别表示bob和charlie保留的一半密钥。
11.步骤4，alice将签名(m,sigm)发送给接收方bob，其中bob将与签名sigm中的对应部分进行比对，记录不匹配的个数。如果不匹配率小于ta，那么就接受此签名，否则拒绝。
12.步骤5，bob将签名(m,sigm)转发给charlie，charlie同样将与签名sigm中的对应部分进行比对，记录不匹配的个数。如果不匹配率小于tv，那么就接受此签名，否则拒绝，tv与ta之间满足条件
13.进一步的，本发明的一种四强度诱骗态量子数字签名方法，步骤2中，双方随机选取z基密钥的一部分用于估计错误率e
ba
和e
ca
，选取的部分占总长度的比例为k，且k＝1/21。
14.本发明的一种四强度诱骗态量子数字签名的安全性评估方法，所述四强度诱骗态量子数字签名本发明的签名方法，包括如下步骤：
15.步骤1，估算x基的单光子计数考虑到有限长效应，探测到的x基下单光子数目下界可表示为：
[0016][0017]
其中τ
x,n
是bob或charlie制备n-光子态的概率，由于本方法中x基下只有诱骗态，考虑到真空态影响较小，所以令λ∈{μ2,μ3,μ4}，n＝0,1分别代表真空态和单光子，和分别代表接收端a lice探测到的x基下强度为μ3的光子数下界和强度为μ2、μ4的光子数上界，是探测到的真空态数目的下界，表述式如下；
[0018][0019]
步骤2，通过数据块换求出z基下单光子计数
[0020][0021]
其中，和分别表示接收端z基和x基下的单光子脉冲数下界和上界，
[0022]
步骤3，估算z基下单光子相位误码率的上界
[0023][0024]
其中γ表示修正项，表示x基下误码的上界，其形式为：
[0025][0026]
步骤4，eve猜测接收端密钥时引入的最小误码率pe表示为：
[0027][0028]
观测到的和之间误码率上界用serfling不等式估计：其中ε
pe
是该等式的失败概率,同理也能估算出上界总的误码上界为当时，表示系统可以安全地实施签名；否则认为协议将不再安全。
[0029]
进一步的，本发明的一种四强度诱骗态量子数字签名的安全性评估方法，步骤2中，对于和通过hoeffding不等式考虑统计起伏：
[0030]
xu:＝x δ(x,ε
sf
),
[0031]
x
l
:＝x-δ(x,ε
sf
)，
[0032]
式中的，x表示n
z,1
和n
x,1
[0033]
ε
sf
代表估算统计起伏的失败概率，
[0034][0035][0036][0037]
本发明的有益效果是：在四强度诱骗态方案中，可以有更多的优化参数，并且通过偏选基的方法，与传统的非偏选相比，在优化概率和强度条件下，使得在选择强度方面更自由，信道参数估计更紧致，因此进一步提高了签名率，在满足给定安全性的条件下能够使签
名的传输距离增加，仿真结果表明其在签名率和签名距离上都具有良好的表现。
附图说明
[0038]
图1是本发明的量子数字签名协议中的分发阶段原理示意图。
[0039]
图2是本发明所述的四强度量子数字签名方案的实施示意图。
[0040]
图3是本发明与三强度诱骗态方案的安全性参数对比图。
[0041]
图4是本发明与三强度诱骗态方案的签名率对比图。
具体实施方式
[0042]
下面结合附图对本发明进行进一步说明。如图1-2所示，本实例提供了一种四强度诱骗态量子数字签名方法，所述方法包括三个参与者：一个签名者alice和两个接受签名对象bob和charlie，所述方法包括两个阶段：分发阶段和消息阶段，具体步骤如下：
[0043]
步骤1，如图1所示，在分发阶段，密钥生成协议由alice-bob和alice-charlie分别执行kgp生成密钥串；对于需要签名的信息m∈{0,1}，bob或charlie随机选择一个比特b∈(0,1)，强度λ∈{μ1,μ2,μ3,μ4}来制备四种强度的量子态，其中μ1只制备在z基下，μ2、μ3只制备在x基下，μ4为真空态不选基，并将他们发送给alice；alice随机地选择基x或z来测量，对基筛选后，alice和bob得到z基下长度为l的密钥，记为和，alice和charlie得到z基下长度为l的密钥记为和其中，和由alice持有，和分别由bob和charlie持有；
[0044]
步骤2，对误码率进行判断
[0045]
alice和bob双方随机选取z基密钥的一小部分，选取的部分占总长度的比例为k，用于估计错误率e
ba
，z基剩下长度为l的密钥，记为和用于签名信息m；并且，alice和charlie双方随机选取z基密钥的一小部分,选取的部分占总长度的比例为k，用于估计错误率e
ca
，z基剩下长度为l的密钥，记为或和用于签名信息m；当误码率e
ba
或e
ca
低于给定的误码率阈值时，协议继续进行，否则协议停止，
[0046]
步骤3，bob随机地选择密钥串中的一半，将该部分密钥及相应位置通过bob和charlie之间的保密经典通道发送给charlie，用于与charlie的密钥串中的部分秘钥进行交换。或者，charlie随机地选择密钥串中的一半，将该部分密钥及相应位置通过bob和charlie之间的保密经典通道发送给bob，用于与bob的密钥串中的部分秘钥进行交换。
[0047]
将bob和charlie交换之后的密钥分别表示为和其中和分别表示bob和charlie用于交换的一半密钥，和分别表示bob和charlie各自保留的一半密钥。
[0048]
步骤4，在消息阶段，alice发送(m,sigm)给bob，其中bob通过把
sigm中的对应密钥分别与和比较，得到sigm与之间密钥不匹配数目并记录下来，如果对于的每一半密钥，不匹配率小于ta，使bob接受该信息并把信息(m,sigm)发给charlie，否则bob拒绝接收并宣布协议中止，当charlie收到bob发送的信息，则用与bob同样的方式检测接收到的密钥与之间的不匹配率，但是用一个不同的阈值tv，如果对于的每一半密钥，不匹配率小于tv，则charlie接受该信息，ta和tv分别表示不同的验证阈值，其中tv和ta，满足
[0049]
本技术的四强度诱骗态量子数字签名的安全性评估方法，包括如下过程：
[0050]
本技术的四强度诱骗态量子数字签名用z基成码，采用偏选基的方法，协议中的各强度的增益q
λ
和误码增益e
λ
如下：
[0051]qλ
＝1-(1-2pd)e-λη
，
[0052]eλ
＝pd ed(1-e-λη
)，
[0053]
其中表示系统总体效率率，10-αl/10
表示信道传输效率，α表示量子信道的损耗系数，单位为(db/km)；l1表示通信系统的传输距离，ed为系统本底误码，pd表示探测端的暗计数率。
[0054]
在对z基单光子计数估计过程中，需要进行数据块转换，即通过x基的单光子计数来对z基单光子计数进行估算，考虑到有限长效应，探测到的x基下单光子数目下界可表示为：
[0055][0056]
其中τ
x,n
是bob/charlie制备n-光子态的概率，值得注意的是，在本发明中因为x基下只有诱骗态，考虑到真空态影响较小，所以令λ∈{μ2,μ3,μ4}，n＝0,1分别代表真空态和单光子，和分别代表接收端a lice探测到的x基下强度为μ3的光子数下界和强度为μ2、μ4的光子数上界，是探测到的真空态数目的下界，由上式可知，为了得到单光子数目的下界，必须知道表达式中真空态数目的下界:
[0057][0058]
定义eve造成的最小误码为pe，其满足：
[0059][0060]
其中，h为二元香农熵函数，/l表示z基下单光子计数率的下界；从公式可以看出，为了求出pe，需要估计三个参数：和上面已经求出通过数据块换算
来求出z基下单光子计数：
[0061][0062]
其中和分别表示发送端z基和x基下的单光子脉冲数下界和上界。
[0063]
对于和通过hoeffding不等式考虑统计起伏：
[0064][0065]
ε
sf
代表估算统计起伏的失败概率；
[0066][0067][0068][0069]
对于z基下单光子误码率的上界在这里通过x基下的比特误码来计算：
[0070][0071]
其中表示x基下误码的上界，其形式为：
[0072][0073]
所述给定保证所述qds传输协议安全性的条件，分别为：p
rob
≤2ε
pe
，p
for
≤a εf 28ε
pe
，其中p
rob
表示鲁棒性概率，代表系统在没有受到第三方攻击的情况下正常终止的概率。ε
pe
是用serfling不等式估计alice-bob和alice-charlie之间错误率的失败概率；p
rep
表示抵赖概率，是衡量alice的签名被bob接受但被charlie拒绝的概率，为了得到最优签名率，设置其中，表示总的误码率上界
[0074]
p
for
表示伪造概率，用来表示伪造alice的签名同时被bob和charlie接收的概率；28ε
pe
表示协议中估计信道参数的失败概率，a为预先设定的值，与εf一起限制了一个签名的错误率小于tv的概率，εf定义为：其中和分别表示z基下单光子计数下界和单光子相位误码率的上界，h为二元香农熵函数，表示为：h(x)＝-xlog
2 x-(1-x)log2(1-x)，ε是用平滑最小熵估计eve信息的失败概率，签名系统中定义签一个比特信息的签名率为n表示当前距离优化后签名半比特信息所需要的脉冲数，
系统的安全性系数定义为p
total
≥max{p
rob
,p
rep
,p
for
}。
[0075]
所述当eve猜测接收端的密钥时引入的最小误码率pe表示为：
[0076][0077]
观测到的和之间的误码率上界用serfling不等式估计：
[0078]
其中ε
pe
是该等式的失败概率，同理，和之间的误码率上界也能估计出来，定义观测到的总的误码率上界当时，表示系统可以安全地实施签名；否则认为协议将不再安全。
[0079]
图2是本发明方案的实施实验装置示意图，在bob或charlie端发送相位随机光脉冲，强度调制器(im)用于制备不同的光强以实施诱骗态技术，然后被发送到一对不等臂mach-zehnder干涉仪(amzi)，amzi由一个分束器bs、一个相位调制器(pm)和一个偏振分束器(pbs)组成，bs的作用将光平均分成两路，pbs的作用是按偏振将光分成一路|h》和一路|v》，amzi内部由保偏光纤连接，这一对amzi中的相位调制器(pm，phase modulator)将相位差被编码在间隔一定时间的前后脉冲上，光子的相位被随机调制成bb84协议的4个态{0，π/2，π,3π/2}。在测量侧，机械光开关(mos)起到路由选择功能，bob或charlie发送的光脉冲，经amzi编码后可由探测器d1，d2进行探测。
[0080]
四强度诱骗态qds实现过程分为分发阶段和消息阶段。在分发阶段，签名协议的参与者之间进行密钥分发协议，不包括密钥纠错和保密放大等步骤；在消息阶段包括签名的发送与验证，协议的参与者将签名信息发送出去，接收方对接收到的签名信息进行检验，主要是将自己手中的密钥串与签名信息进行不匹配率的认证，如果大于预先给定的阈值，则放弃本次操作；否则认为签名信息通过认证，并把它转发出去。在发明内容部分对四强度诱骗态量子签名方案的协议流程、参数估计和安全性分析作了详细说明。这里为使本发明的目的、技术方案和优点更加清楚明白，参照附图，对本发明作进一步的详细说明。
[0081]
在前面建立的安全模型下，设置系统的仿真参数ε
pe
＝10-5
,a＝10-5
,ε＝10-10
，其他参数如表1所示。
[0082]
表1.仿真所用参数
[0083][0084]
在本发明中，优化了关于强度以及对应的发送概率，来使签名率达到最优值，我们将给出四强度诱骗态量子数字签名率，并且与基于弱相干光源的三强度诱骗态量子数字签名进行了进一步的对比。ηb是bob端探测器探测效率，pd表示bob探测端的暗计数率；同样地charlie端的探测器效率ηc和探测器暗计数率也分别设为0.1和6
×
10-7
。
[0085]
当系统参数相同时，并且为了公平起见，三强度诱骗态量子数字签名与本方法对
强度以及发送光强的概率都进行了优化。结果如图3-4所示，图3给出了保证协议安全性的关键因素走势图，实心三角点和空心三角点表示三强度数字签名系统参数pe和的取值变化情况，实心圆点和空心圆点表示四强度数字签名系统参数pe和的取值变化情况，从原理上知道，若要保证协议的安全性，就要使得随着传输距离增加，损耗变大，会逐渐增加，一旦两者取得交点，协议将不再安全。从图3中可以看出本方案的交点比三强度数字签名更远，所以安全传输距离也更远，从图4的签名率结果中也可以看出无论是在签名效率上还是安全签名距离上，本方案都要要优于三强度诱骗态量子数字签名方法。
[0086]
综上，本发明提出了一种四强度诱骗态量子数字签名方法，并且介绍了协议实施方案以及与三强度诱骗态量子数字签名的区别。此外，将本方案与基于弱相干光源的三强度诱骗态量子数字签名进行了比较。在本四强度量子数字签名方案中，信号态只制备在z基下并用来成码，在选择强度方面也有更多维度，因此进一步提高了签名率与传输距离。
[0087]
以上所述的具体实施例，对本发明的目的、技术方案和有益结果进行了进一步详细说明，应理解的是，目前的专利说明书仅以基于弱相干光源进行了介绍，比如本发明的具体实施例使用的方法同样适用于基于其它光源系统，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。