基于量子游走隐形传输的仲裁量子签名方法与流程

本发明属于量子通信领域，具体涉及一种基于量子游走隐形传输的仲裁量子签名方法。

背景技术：

随着信息技术的发展，电子认证已经成为了人们日常生产和生活中最重要的环节之一。

在充满矛盾和利益冲突的现实社会里，各种身份的欺诈行为、消息的伪造与篡改等现象大量存在，为了减少或避免这些情况的发生，需要建立可靠的认证系统。构建认证系统的目的主要包含两点：第一：验证用户的身份，防止假冒；第二：确保消息源的真实性和消息的完整性，避免消息被攻击者伪造、篡改等。签名是认证领域中一个重要的概念，可以同时完成身份认证和消息认证。当前，经典签名(也称数字签名)协议已经被广泛研究且被应用在电子商务和电子医疗等领域。但是，由于经典签名协议的安全性主要依赖于一些难解的数学问题，例如大整数分解和离散对数，这些数学问题在量子算法的作用下很容易被破解。于是，这些经典签名协议在未来量子计算机环境下将不再安全。此外，数字签名不能实现对一个由量子比特序列构成的量子信息或文件验证其可靠性和完整性。因此需要量子签名，量子不可克隆定理和海森堡不确定原理保证了它的安全性并且其与攻击者本身的计算能力无关。面对未来强大的量子计算机，量子签名可以提供理论上的无条件安全性。与数字签名类似，依据仲裁的参与情况，量子签名可以分为真实量子签名和仲裁量子签名，仲裁量子签名是基于对称密码算法设计的量子签名算法。

目前，仲裁量子签名协议已经在离散和连续场景中得到了广泛的研究。根据发送者(签名者)传输需要被签名的信息到接收者(验证者)的方式，基于量子隐形传输的仲裁量子签名已经被开始使用。但是，该种签名方式在设计时，需要提前制备纠缠态，使用不便，而且在使用时需要进行d²个元素的单个联合测量，其效率相对较低，实现上相对较难。此外，这类签名同样面临来自接收者在已知信息环境下的存在性攻击。

技术实现要素：

本发明的目的在于提供一种使用方便、效率较高且安全性较高的基于量子游走隐形传输的仲裁量子签名方法。

本发明提供的这种基于量子游走隐形传输的仲裁量子签名方法，包括如下步骤：

s1.签名者a和仲裁者c制备第一密钥ka，同时验证者b和仲裁者c制备第二密钥kb；

s2.通信发起时，签名者a生成随机数r，并用生成的随机数r将签名者a自身的量子序列|ψ>的三个副本转换为三个秘密的量子序列|ψ'>；所述的序列|ψ>为签名者a生成的包含n个d维量子态构成的量子序列；

s3.签名者a利用第一密钥ka加密|ψ'>的第一个副本，得到第一签名量子态|sa>；

s4.签名者a将|ψ'>的第二个副本中的每一个d维量子态编码在自身的粒子a2，假设a的另一个粒子a1的初始态为|0>，b的粒子的初始态也为|0>；a的两个粒子和b的一个粒子组成初始系统态；然后应用两步量子游走w1和w2，从而得到两个演化态和

s5.签名者a使用测量基|ma>对自身的粒子进行测量，从而得到签名者自身的粒子与验证者粒子之间的量子变化态；

s6.签名者a构造量子态|s>＝(|ψ'>,|sa>,|ma>)，并将该量子态与|ψ'>的第三个副本一同发送给验证者b；

s7.验证者b使用第二密钥kb对接收的第一签名量子态|sa>和|ψ'>的第三个副本进行加密得到第一加密量子状态|yb>，并将第一加密量子状态|yb>发送给仲裁者c；

s8.仲裁者c使用第二密钥kb解密接收的第一加密量子状态|yb>，从而得到第一签名量子态|sa>和|ψ'>的第三个副本；然后，仲裁者使用第一密钥ka加密|ψ'>的第三个副本得到第二签名量子态|st>；然后根据第一签名量子态|sa>，|ψ'>的第三个副本和第一密钥ka，仲裁者c构造验证参数λ；

s9.仲裁者c从签名量子态|st>或|sa>中恢复得到|ψ'>的第三个副本，再通过第二密钥kb加密|ψ'>的第三个副本、第一签名量子态|sa>和验证参数λ，得到第二加密量子状态|ycb>，并将第二加密量子状态发送给验证者b；

s10.验证者b使用第二密钥kb解密接收的第二加密量子状态|ycb>，得到|ψ'>的第三个副本、第一签名量子态|sa>和验证参数λ，并根据验证参数λ的值进行判断；

s11.根据步骤s10对验证参数λ的判断结果，若λ的值是被期望的数值，则基于测量基|ma>，验证者b对自身的粒子执行对应的局域幺正操作恢复量子态|ψout'>，并将恢复的量子态|ψout'>与接收的|ψ'>的第三个副本进行比较；

s12.根据步骤s11的比较结果，若比较结果是期望的结果，验证者b要求签名者a公布随机数r；

s13.验证者b根据公开的随机数r解密|ψ'>的第三个副本得到原始的量子序列|ψ>，并确认(|sa>,r)为签名者a对量子信息序列|ψ>的完整的量子签名，完成签名过程。

步骤s1所述的制备第一密钥和制备第二密钥，具体为通过量子密钥分发系统制备第一密钥和第二密钥。

步骤s4所述的w1和w2，具体为采用如下算式计算w1和w2：

式中iv为作用在量子游走系统的顶点空间上的单位矩阵；c1为作用在量子游走系统的第一个硬币空间上的任意的d维量子态操作；i2为作用在量子游走系统的第二个硬币空间上的单位矩阵；i1为作用在量子游走系统的第一个硬币空间上的单位矩阵；f2为作用在量子游走系统的第二个硬币空间上的傅里叶变换；i为单位矩阵；l为控制比特；j为受控比特；mod为求余运算。

步骤s5所述的签名者a使用测量基|ma>对自身的粒子进行测量，从而得到签名者自身的粒子与验证者粒子之间的量子变化态，具体为采用如下步骤进行测量和得到量子变化态：

a.签名者a使用测量基|l>测量a2；

b.记录步骤a的经典测量结果为l，并将a1和b之间的量子态作如下表示：

其中l取值为0,1,...,d-1中的一个；

c.签名者a使用测量基|l'>测量a1，其中

d.此时，将a1和b之间的量子态作如下表示：

e.签名者a对a1上得到的测量结果进行检测：

记录签名者a对a1上得到的经典测量结果为则验证者b的态变换为如下表示：

其中，所述的签名者a的测量基描述在集合|ma>中，且|ma>的表示如下：

其中为|ma>的第i个测量基，且包含上述的两个测量基|l>和|l'>。

步骤s8所述的验证参数λ，具体为采用如下算式计算：

式中|sa>为第一签名量子态，|st>为第二签名量子态，为密钥为ka的加密算法，|ψ'>为加密|ψ>之后的量子序列。

步骤s10所述的对验证参数λ进行判断，具体为采用如下规则进行判断：

若验证参数λ＝0，则验证者b认定签名已经被伪造，并直接拒绝此次通信；

若验证参数λ＝1，则验证者b认定此次通信的第一签名量子态|sa>是正确的，并进行后续的验证。

步骤s11所述的局域幺正操作，具体为局域幺正操作的表达式为

步骤s11所述的将恢复的量子态|ψout'>与接收的|ψ'>的第三个副本进行比较，具体为采用如下规则进行比较：

若|ψout'>≠|ψ'>，则验证者b拒绝签名者a的签名或签名的信息并放弃此次通信；

若|ψout'>＝|ψ'>，则验证者b要求签名者a公开随机数r。

本发明提供的这种基于量子游走隐形传输的仲裁量子签名方法，采用基于量子游走的隐形传态传输d维量子态，其用于隐形传输的纠缠源不需要提前制备，节约了专门制备纠缠态的开销；而且相比于需要d²个元素的一个联合测量，d个元素的两个投影测量被应用，效率更高；同时，随机参数r的引入阻止了验证者b在接受签名的信息之前获取传输信息的内容并抵赖签名者a的签名；此外从实用的角度，应用公共板来公布随机参数r，在完成验证后验证者b可以获取签名的信息的内容；最后由于量子游走已经被证明可以通过不同的物理系统和线性光学设备来实现，且这些设备与标准的光学技术是兼容的，因此，本发明方法具有节约资源、测量效率高、实验室易实现和签名安全性高的特点。

附图说明

图1为本发明方法的方法流程图。

图2为本发明方法中的基于量子游走的量子隐形传输的示意图。

具体实施方式

如图1所述为本发明方法的方法流程图：本发明提供的这种基于量子游走隐形传输的仲裁量子签名方法，包括如下步骤：

初始阶段，用于制备密钥和设置系统，具体包括如下步骤：

s1.签名者a和仲裁者c制备第一密钥ka，同时验证者b和仲裁者c制备第二密钥kb；

其中，ka和kb的表示如下：

式中为ka中的第i个密钥，为kb中的第i个密钥，i＝1,2,...,n；同时，密钥制备时，通过量子密钥分发系统制备第一密钥和第二密钥，可以确保密钥的无条件安全性；

签名阶段，用于构造传输消息的签名，具体包括如下步骤：

s2.通信发起时，签名者a生成随机数r，并用生成的随机数r将签名者a自身的量子序列|ψ>的三个副本转换为三个秘密的量子序列|ψ'>；所述的序列|ψ>为签名者a生成的包含n个d维量子态构成的量子序列；

具体的，签名者a具有一个包含n个d维量子态构成的量子序列|ψ>，表示如下：

|ψ>＝{|ψ1>,|ψ2>,...,|ψi>,...,|ψn>}

式中|ψi>为单个d维的量子态，表示如下：

其中为一个复数且满足完备性，即然后，利用这个表达式，签名者a的量子信息序列|ψ>可以重写如下：

然后，签名者a生成一个随机数r∈{0,1,...,d-1}²ⁿ，并用r转换|ψ>的三个副本为三个秘密的量子序列|ψ'>，并表示如下：

|ψ'>＝er(|ψ>)＝{|ψ1'>,|ψ2'>,...,|ψi'>,...,|ψd'>}

其中er为密钥为r的量子一次一密加密算法；

s3.签名者a利用第一密钥ka加密|ψ'>的第一个副本，得到第一签名量子态|sa>，表示如下：其中，为密钥为ka的加密算法；

如图2所示为本发明方法采用的基于量子游走的量子隐形传输的示意图，具体应用包含如下步骤：

s4.签名者a将|ψ'>的第二个副本中的每一个d维量子态编码在自身的粒子a2，假设a的另一个粒子a1的初始态为|0>，b的粒子的初始态也为|0>。a的两个粒子和b的一个粒子组成初始系统态。然后应用两步量子游走w1和w2，从而得到两个演化态和

具体的，签名者a拥有两个粒子a1和a2，验证者b拥有一个粒子b；签名者a将|ψ'>的第二个副本中的每一个d维量子态|ψi'>编码在粒子a1；将|ψi'>表示为粒子a2和b的初始态均为|0>；系统的整个初始态表示如下：同时，在本申请中，规定粒子的书写顺序分别为a2，a1，b；然后执行两步量子游走w1和w2，分别表示如下：

式中iv为作用在量子游走系统的顶点空间上的单位矩阵；c1为作用在量子游走系统的第一个硬币空间上的任意的d维量子态操作；i2为作用在量子游走系统的第二个硬币空间上的单位矩阵；i1为作用在量子游走系统的第一个硬币空间上的单位矩阵；f2为作用在量子游走系统的第二个硬币空间上的傅里叶变换；i为单位矩阵；l为控制比特；j为受控比特；mod为求余运算；

然后得到的两个演化态表示如下：

s5.签名者a使用测量基|ma>对自身的粒子进行测量，从而得到签名者自身的粒子与验证者粒子之间的量子变化态；具体为采用如下步骤进行测量和得到量子变化态：

a.签名者a使用测量基|l>测量a2；

b.记录步骤a的测量结果为l，即l＝(k+j)modd，则a1和b之间的量子态为如下表示：

其中l取值为0,1,...,d-1中的一个；

c.签名者a使用测量基|l'>测量a1，其中

d.此时，a1和b之间的量子态为如下表示：

e.签名者a对a1上得到的测量结果进行检测：

若签名者a对a1上得到的经典测量结果为，则验证者b的态变换为如下表示：

其中，所述的签名者a的测量基描述在集合|ma>中，且|ma>的表示如下：

其中为|ma>的第i个测量基，且包含上述的两个测量基|l>和|l'>；

s6.签名者a构造量子态|s>＝(|ψ'>,|sa>,|ma>)，并将该量子态与|ψ'>的第三个副本一同发送给验证者b；

验证阶段，用于验证a的签名的有效性和消息源的真实性以及消息的完整性；这个过程需要值得信任的第三方c辅助b共同完成验证；

s7.验证者b使用第二密钥kb对接收的第一签名量子态|sa>和|ψ'>的第三个副本进行加密得到第一加密量子状态|yb>，并将第一加密量子状态|yb>发送给仲裁者c；

第一加密量子状态|yb>的表示为

s8.仲裁者c使用第二密钥kb解密接收的第一加密量子状态|yb>，从而得到第一签名量子态|sa>和|ψ'>的第三个副本；同时，仲裁者使用第一密钥ka加密|ψ'>的第三个副本得到第二签名量子态|st>；然后根据第一签名量子态|sa>，|ψ'>的第三个副本和第一密钥ka，仲裁者c构造验证参数λ；验证参数λ采用如下算式计算：

式中|sa>为第一签名量子态，|st>为第二签名量子态，为密钥为ka的加密算法，|ψ'>为加密|ψ>之后的量子序列；

s9.仲裁者c从签名量子态|st>或|sa>中恢复得到|ψ'>的第三个副本，再通过第二密钥kb加密|ψ'>的第三个副本、第一签名量子态|sa>和验证参数λ，得到第二加密量子状态|ycb>，并将第二加密量子状态发送给验证者b；

s10.验证者b使用第二密钥kb解密接收的第二加密量子状态|ycb>，得到|ψ'>的第三个副本、第一签名量子态|sa>和验证参数λ，并对验证参数λ进行判断；

采用如下规则进行判断：

若验证参数λ＝0，则验证者b认定签名已经被伪造，并直接拒绝此次通信；

若验证参数λ＝1，则验证者b认定此次通信的第一签名量子态|sa>是正确的，并进行后续的验证；

s11.根据步骤s10对验证参数λ的判断结果，如果λ的值是被期望的，则基于测量基|ma>，验证者b在自身的粒子上执行对应的局域幺正操作恢复量子态|ψout'>，并将恢复的量子态|ψout'>与接收的|ψ'>的第三个副本进行比较；局域幺正操作的表达式为

b的测量基表示如下：

其中为|mb>中的第i个测量基，其取值为依赖于l和的

采用如下规则进行比较：

若|ψout'>≠|ψ'>，则验证者b拒绝签名者a的签名或签名的信息并放弃此次通信；

若|ψout'>＝|ψ'>，则验证者b要求签名者a公开随机数r；

s12.根据步骤s11的比较结果，如果比较结果是期望的结果，验证者b要求签名者a公布随机数r；这个行为意味着量子序列中的所有的n个d维量子态都被成功的传输给了b；

s13.验证者b根据公开的随机数r解密|ψ'>的第三个副本得到量子序列|ψ>，并确认(|sa>,r)为签名者a对量子信息序列|ψ>的完整的量子签名，完成签名过程。