一种基于量子行走的无纠缠的量子盲签名方法及系统与流程

本发明属于量子信息处理技术领域，尤其涉及一种基于量子行走的无纠缠的量子盲签名方法及系统。

背景技术：

目前，最接近的现有技术：

数字签名广泛应用于电子政务，电子医疗和电子支付系统。它确保了信息的完整性和真实性。然而，随着量子计算机的发展，经典签名方案在量子环境中变得不安全。原因在于经典签名方案的安全性主要取决于经典的数学难题，例如大整数的因子分解和离散对数问题，在面对量子计算时，它们可能会很快的被破解，如shor算法和grover算法。经典的数字签名不再被认为是安全的，因此，科研学者提出了量子数字签名，将量子力学理论加入到原来的数字签名中，对经典的数字签名进行了扩展。由于量子态的一系列特性，越来越多的科研学者开始研究量子签名方案。

第一个量子签名方案是由gottesman和chuang在2001年提出的，他们使用单向函数来完成签名方案。在2002年，barnum等人发现了这种量子签名方案的脆弱性，于是指出了这种量子签名方案的不可行之处。不久zeng和keitel提出了一种基于ghz态的量子仲裁签名方案，通过设置仲裁员，他们成功地满足了barnum提出的理论需求。此后，越来越多的量子签名方案被提出。

盲签名是数字签名的一种特殊类型，其中消息的真实内容是盲化的，直到盲签名协议完成。它已在许多加密协议中实现，并应用于诸多信息安全领域，如电子支付系统和电子投票协议。2009年，wen等人，提出了一种基于epr纠缠对和一次一密的弱盲签名方案。2010年，wang等人，基于量子力学的基本特性，引入了一种新的平等盲签名方案。2013年，shi等人，提出了一种基于三维两粒子纠缠态系统的量子批量代理盲签名方案。此外，还有许多其它基于多粒子纠缠态的盲签名协议。

综上所述，现有技术存在的问题是：

(1)以往的量子盲签名方案在粒子态准备阶段存在制备技术障碍问题，很多现有的协议多利用ghz态或多粒子纠缠态的纠缠特性来实现量子盲签名方案，然而纠缠态的制备需要消耗较多资源，且在现有技术下不易制备，这种技术障碍使得此类量子盲签名方案的实用性大大降低。

(2)以往的量子盲签名方案多利用ghz态或多粒子纠缠态的纠缠特性来完成粒子隐形传态，某些此类方案在面对纠缠攻击时无法抵抗纠缠攻击，造成粒子被窃听，信息泄露的后果。

(3)以往的某些量子盲签名方案缺乏密钥自我更新，一次一密的密钥更新技术(otp)多依赖于每次协议执行前的qkd密钥分发，此过程造成资源浪费。

解决上述技术问题的难度：

目前，ghz态或多粒子纠缠态的制备和存储都是很大的挑战，较单粒子态的制备需高昂的设备和更多的资源面对纠缠攻击，多通过系统整体设计来抵抗纠缠攻击，通过理论分析证明系统对纠缠攻击的抵御能力

多数协议过度依赖于qkd密钥分发来确保方案安全性，可以通过更新原密钥的方式同样的实现一次一密(otp)的效果以确保方案安全性。

解决上述技术问题的意义：

单粒子态的制备和存储较ghz态或多粒子纠缠态的制备和存储都更为容易和稳定，因而采用单粒子的量子盲签名方案的实用性提升。而通过量子行走系统，我们实现了量子行走过程中单粒子态自发的纠缠，且将纠缠的特性用于粒子的隐形传态，替代了基于ghz态或多粒子纠缠态的隐形传态，在完成远距离通讯的同时又保证了通讯的安全性。本发明将通过窃听检测的剩余k/2比特诱骗粒子的测量结果用于通讯双方的密钥更新，通讯双方可在通过窃听检测后利用剩余的诱骗粒子测量结果结合事先约定好的更新规则完成密钥更新，从而减少了每次执行协议前对qkd分发密钥的依赖。针对基于量子行走系统的单粒子隐形传态，本发明制定了编码规则和签名协议，提供了一种更为实用的基于量子行走的无纠缠的量子盲签名方法及系统。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种基于量子行走的无纠缠的量子盲签名方法及系统。

本发明是这样实现的，一种基于量子行走的无纠缠的量子盲签名方法，所述基于量子行走的无纠缠的量子盲签名方法包括：

在消息的编码阶段，利用四种单粒子态结合消息的盲化编码规则，进行编码以及盲化信息。

在编码粒子的隐形传态过程中，使用量子行走实现编码粒子的隐形传态，在隐形传态种粒子自发的产生纠缠，用于抵抗签名者的否认攻击和验证者的拒绝攻击，还用于防止攻击者伪造签名。

进一步，消息的盲化编码规则包括：在消息盲化编码阶段，消息拥有者生成一串n比特的随机二进制字符串l，然后使用l根据字符串l，m和|bc>的相应位值(表1.)生成n比特原始信息m的两粒子比特串{|b1c1>，|b2c2>，|b3c3>...|bncn>}。

表1.字符串l，m和|bc>的相应位值.

表1的含义是两粒子比特|bici>的测量基由l确定，而它们的特征向量由m确定。这意味着当l比特为0时，|bici>的测量基为x基；当l比特为1时，|bici>的测量基x基，且|bi>xor|ci>等于mi。这里，|+>＝1/2(|0>+|1>)，|->＝1/2(|0>-|1>)。然后消息制备者按序抽取|b>粒子生成b＝|b1b2b3...bn>，按序抽取|c>粒子生成c＝|c1c2c3...cn>。例如，如果l是0110，m是1011，两粒子比特串|bc>可以生成为{|01>，|-->，|+->，|10>}，因而b＝|0-+1>，c＝|1--0>，只有制备者确切地知道她制备的两粒子比特|bici>，b串或c串不能独自地推断出m的信息。此时，消息的盲化编码完成。

进一步，量子行走方法包括：量子行走运行于位置空间和硬币空间组成的量子空间，表示为

其中hp表示位置跨度{n，n∈z}，hc表示量子行走的硬币方向{|0>，|1>}，量子行走的每个步骤的总量子系统的演化描述为等式

其中s称为移位运算符，表示为s＝∑n|n+1><n|，且c是硬币操作符，当硬币操作符为|0>态时，使硬币从状态|n>移动到状态|n+1>，当硬币操作符为|1>态时，使得硬币向后移动到状态|n-1>。

进一步，使用量子行走实现编码粒子的隐形传态包括：

选择以两个硬币为基础的量子行走系统，通过选择合适的初始态和匹配的测量基，在两方之间成功地传送任何未知量子比特，并且不需要制备初始的纠缠粒子。

若发送者想给验证者隐形传态未知量子比特其中|α|²+|β|²＝1。在隐形传态中，准备两个粒子，a1和ap，a1是发送者想要隐形传态的未知量子比特，被记为coin1，ap的粒子态是位置空间的态。同样，验证者准备粒子b，被记为coin2。ap和b的初始态都为|0>。经过两步量子行走，完成隐形传态。

第一步量子行走为：

其中，

式(中，c1表示coin1-a1的操作符，选择i操作作为操作符。

第二步量子行走为：

其中，

在式中，h表示对coin2-b粒子执行hadamard操作当b粒子的初始态为|0>态时，这个操作符被i操作替换当b粒子的初始态为|+>态时。

发送者用x基测量a1粒子，测量结果记为λ1(|+>和|->分别记为1和-1)。接着发送者用q基测量ap粒子，其中，|q>＝{|-2′>，|-1>，|0>，|1>，|2′>}，测量结果记为λ2(|-2′>，|0>，|2′>分别记为-1，0，1)。发送者再将测量结果λ1和λ2告知验证者，验证者根据λ1和λ2对b粒子做出相应的pauli恢复操作，完成关于a1粒子的隐形传态。

进一步，所述基于量子行走的无纠缠的量子盲签名方法进一步包括：

第一步，初始化阶段：发送者，签名者和验证者准备一些粒子用于量子行走系统。

第二步，盲化阶段：发送者生成n比特的随机二进制字符串l，然后发送者根据盲化编码规则使用l生成n比特原始信息m的两粒子比特串{|b1c1>，|b2c2>，|b3c3>...|bncn>}。当发送者生成了两粒子比特串|bc>之后，发送者按序抽取|b>粒子生成b＝|b1b2b3...bn>，按序抽取|c>粒子生成c＝|c1c2c3...cn>。此时，消息的盲化加密完成。

第三步，签名阶段：发送者将m的加密子信息c通过量子行走隐形传态给签名者，并请求签名者的盲签名，签名者对收到的量子比特串执行pauli操作以完成盲签名。

进一步，第三步进一步包括：

(1)发送者随机地将k位诱骗粒子添加到c中用于窃听检测和密钥更新。发送者可以将她的加入诱骗粒子的盲信息ck隐形传态给签名者，且不依赖于制备纠缠粒子，其中ck＝{c1，c2，c3...cn+k}。发送者准备初始态为|0>的粒子api用于量子隐形传态，发送者将ci作为量子行走系统中需要被隐形传态的粒子，其中ci＝α|0>+β|1>，|α|²+|β|²＝1。签名者已在粒子准备阶段准备量子比特串cp，将粒子cpi作为量子行走系统中的接收粒子，cpi处于|0>态。整个量子行走系统的初始状态为：

经过第一步量子行走w1之后，整个系统状态变为

|φ>⁽¹⁾＝(α|100>+β|-110>)p12。

经过第二步量子行走w2之后，整个系统状态变为

|φ>⁽²⁾＝(α|200>+α|001>+β|010>+β|-211>)p12。

(2)发送者用x基测量ci，测量结果|+>和|->分别被记为1和-1。发送者继续用q基|q>＝{|-2′>，|-1>，|0>，|1>，|2′>}测量api，其中，测量结果|-2′>、|0>、|2′>分别被记为-1、0、1。最终，x基和q基的测量结果序列分别表示为λ1序列和λ2序列。

(3)发送者用密钥kac加密λ1和λ2生成sac＝ekac(λ1，λ2)。然后，将sac告知签名者。

(4)签名者用密钥kac解密sac获得λ1和λ2，通过λ1和λ2，签名者对粒子串cp做pauli恢复操作来获得目标态。签名者完成来自于发送者的未知粒子的隐形传态，cp粒子串的态转化为了ck粒子串的态。

(5)在确定签名者完成了粒子隐形传态后，发送者开始宣布诱骗粒子的位置和测量基，签名者选择合适的测量基来测量每个诱骗粒子，然后将k/2比特的诱骗粒子的测量结果及其位置告知发送者，发送者可以评估粒子隐形传态过程中的错误率。如果错误率超过指定的阈值ε，则终止该通信，然后从头开始重复该方案，直到错误率可接受为止。否则，继续执行签名方案。

(6)剩下的k/2比特测量结果，签名者和发送者更新密钥kac。

(7)在丢弃诱骗粒子后，签名者对ci盲签名。签名者生成n比特的随机二进制串g＝{g1，g2，g3...gn}，然后根据gi操作未知粒子ci来完成签名，若gi为0，对ci执行pauli操作i＝|0><0|+|1><1|，否则执行pauli操作σx＝|0><1|+|1><0|。记录完成pauli操作后未知的量子串为mc。σx在两个测量基中翻转状态，即，

进一步，第三步完成后还需进行安全性验证。

本发明的另一目的在于提供一种实施所述基于量子行走的无纠缠的量子盲签名方法的基于量子行走的无纠缠的量子盲签名系统。

本发明的另一目的在于提供一种实施所述基于量子行走的无纠缠的量子盲签名方法的基于量子行走的无纠缠的量子盲签名终端。

本发明的另一目的在于提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行所述的基于量子行走的无纠缠的量子盲签名方法。

综上所述，本发明的优点及积极效果为：

本发明是一种基于量子行走的无纠缠的量子盲签名方案，在初始粒子准备阶段只采用单粒子。

与以前的量子盲签名方案不同，本发明的方案的具体优点可归纳如下。

第一，本发明的方案在准备初始状态粒子时不需要制备纠缠态粒子，而是在量子行走的过程中使单粒子间自动地产生纠缠，困难的纠缠粒子制备可能表明基于纠缠粒子的量子盲签名方案的应用在某些情况下方案是不值得的，毕竟实用性是量子信息理论的重要追求。

第二，本发明提出了一种巧妙的加密盲化手段，消息拥有者alice的信息因而被巧妙地盲化加密，没有人可以根据单一子集推断出来原始消息，且本发明证明了这种加密盲化方式的健壮性。

第三，本发明的主要信息被编码为量子态，签名方案的通信过程是通过量子行走隐形传态完成的，现在有很多成功的量子行走实验实现，无论是量子计算还是量子模拟，都需要量子行走用于量子通信。此外，该方案包含密钥更新，达到了一次一密(otp)的效果，这使得下一次执行方案不再需要重新分配密钥。最后的安全性分析表明，本发明的方案满足不可伪造，不可否认，盲化的特性，并且它还能抵抗纠缠攻击，在电子商务或电子支付系统中使用该方案是非常适合的。

附图说明

图1是本发明实施例提供的基于量子行走的无纠缠的量子盲签名方法流程图。

图2是本发明实施例提供的当n＝100,500和1000时，正确猜测的粒子数k与成功推断整个消息的概率p的关系图。

图3本发明实施例提供的当n＝50,100和200时，拒绝签名的数量k与拒绝概率pd之间的关系图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

以往的量子盲签名方案在粒子态准备阶段存在制备技术障碍问题，很多现有的协议多利用ghz态或多粒子纠缠态的纠缠特性来实现量子盲签名方案，然而纠缠态的制备需要消耗较多资源，且在现有技术下不易制备，这种技术障碍使得此类量子盲签名方案的实用性大大降低。

本发明基于量子行走技术，提出了一种基于量子的无纠缠的量子盲签名方法及系统。具体地，早在1993年，aharonov等人就提出了量子行走技术，此后，ambainis等人提出了线性的量子行走系统。受量子行走系统特性启发，本发明将量子行走系统的特性用于未知粒子的隐形传态——粒子间自发产生纠缠，从而免除了在粒子准备阶段制备纠缠态粒子以完成粒子隐形传态，进而，本发明将基于量子行走的隐形传态结合编码规则、盲签名步骤，完成了一种基于量子的无纠缠的量子盲签名方法及系统。

针对现有技术存在的问题，本发明提供了一种基于量子行走的无纠缠的量子盲签名方法及系统，下面结合技术方案对本发明作详细的描述。

本发明实施例提供的基于量子行走的无纠缠的量子盲签名方法中，在消息的编码阶段，本发明利用四种单粒子态结合表1.规则，巧妙的编码以及盲化了信息。此外，在编码粒子的隐形传态过程中，本发明使用量子行走来实现编码粒子的隐形传态，在隐形传态种粒子自发的产生纠缠，且保证了原始信息的完整性和安全性。该方案不仅可以抵抗签名者的否认攻击和验证者的拒绝攻击，还可以防止攻击者伪造签名。具体包括：

(1)消息的盲化编码规则如下：

在消息盲化编码阶段，消息拥有者生成一串n比特的随机二进制字符串l，然后使用l根据表1.来生成n比特原始信息m的两粒子比特串{|b1c1>，|b2c2>，|b3c3>...|bncn>}。

表1.字符串l，m和|bc>的相应位值.

表2的含义是两粒子比特|bici>的测量基由l确定，而它们的特征向量由m确定。这意味着当l比特为0时，|bici>的测量基为x基；当l比特为1时，|bici>的测量基x基，且|bi>xor|ci>等于mi。这里，|+>＝1/2(|0>+|1>)，|->＝1/2(|0>-|1>)。然后消息制备者按序抽取|b>粒子生成b＝|b1b2b3...bn>，按序抽取|c>粒子生成c＝|c1c2c3...cn>。例如，如果l是0110，m是1011，两粒子比特串|bc>可以生成为{|01>，|-->，|+->，|10>}，因而b＝|0-+1>，c＝|1--0>，只有制备者确切地知道她制备的两粒子比特|bici>，b串或c串不能独自地推断出m的信息。此时，消息的盲化完成。

(2)量子行走技术包括：

量子行走是经典随机行走的量子模拟，它可以作为量子密钥生成器，根据其固有的不可预测的混沌非线性动态行为。

量子行走发生在一个复合的希尔伯特空间中，由两个主要的量子空间组成，分别是位置空间和硬币空间，表示为

其中hp表示位置跨度{n，n∈x}，hc表示量子行走的硬币方向{|0>，|1>}，量子行走的每个步骤的总量子系统的演化可以描述为等式

其中s称为移位运算符，表示为s＝∑n|n+1><n|，且c是硬币操作符，当硬币操作符为|0>态时，它使硬币从状态|n>移动到状态|n+1>，当硬币操作符为|1>态时，它使得硬币向后移动到状态|n-1>。

(3)通过两步量子行走系统实现的粒子隐形传态包括：

在量子行走系统中，移位算子可以带来位置空间和硬币空间之间的纠缠，因此，本发明可以将这种纠缠资源作用于粒子的隐形传态。具体的讲，本发明选择以两个硬币为基础的量子行走系统，通过选择合适的初始态和匹配的测量基，本发明可以在两方之间成功地传送任何未知量子比特，并且不需要制备初始的纠缠粒子。

假设alice想给bob隐形传态未知量子比特其中|α|²+|β|²＝1。为了完成隐形传态，需要准备两个粒子，a1和ap，a1是alice想要隐形传态的未知量子比特，它也被记为coin1，ap的粒子态是位置空间的态。同样的，bob准备粒子b，它也被记为coin2。ap和b的初始态都为|0>。经过两步量子行走，能够完成隐形传态。

第一步量子行走可描述为：

其中，

在公式(3)和(4)中，c1表示coin1-a1的操作符，本发明的协议选择i操作作为操作符。第二步量子行走可表述为：

其中，

在公式(5)中，h表示对coin2-b粒子执行hadamard操作当b粒子的初始态为|0>态时，这个操作符也能被i操作替换当b粒子的初始态为|+>态时。

此时，alice用x基测量a1粒子，测量结果记为λ1(|+>和|->分别记为1和-1)。此后，alice用q基测量ap粒子，其中，|q>＝{|-2′>，|-1>，|0>，|1>，|2′>}，测量结果记为λ2(|-2′>，|0>，|2′>分别记为-1，0，1)。然后，alice将测量结果λ1和λ2告知bob，bob根据λ1和λ2对b粒子做出相应的pauli恢复操作，完成关于a1粒子的隐形传态。

本发明详细的推导下两步量子行走方案包括：

通过分析计算，可以发现，经过w1，ap粒子和a1粒子间产生了纠缠关系，它们的复合态从变为了(a|10>+b|-11>)p1，这就是量子行走可以用于粒子的隐形传态而不需要在初始阶段制备纠缠粒子的原因。

现在，a1和b也处于纠缠态了，当alice测量粒子a1时，根据量子力学理论，粒子ap和b将坍缩到相应的状态。

然后alice用q基测量ap粒子，粒子b也会坍缩到相应的状态。

最后，alice将测量结果告知bob。根据这些测量结果，bob在粒子b上执行相应的pauli操作以恢复未知的量子态。测量结果与pauli操作之间的关系如表2.所示。

表2.测量结果与pauli操作间的关系

以上表明，硬币状态固有的不可预测的混沌非线性动态行为使得量子行走在理论上具有产生无限随机密钥空间以抵抗暴力攻击的能力，进而可以研究量子行走在量子签名中的应用。因此，本发明提出了一种基于量子行走的无纠缠的量子盲签名方案。

下面结合附图及具体实施例对本发明作进一步描述。

实施例

如图1所示，本发明实施例提供的基于量子行走的无纠缠的量子盲签名方法包括三个参与者，发送者alice，签名者charlie和验证者bob。协议涉及四个阶段：初始化阶段，致盲阶段，签署阶段和验证阶段。在协议开始之前，alice和bob事先共享密钥kab，alice和charlie事先共享密钥kac，bob和charlie事先共享密钥kbc。这些密钥由qkd协议分发。具体包括：

第一步，初始化阶段：

在初始化阶段，alice，charlie和bob准备一些粒子用于量子行走系统。alice为量子行走系统中的隐形传态准备一串粒子序列ap，其中ap＝|010203...0n>。charlie准备一串初始态为|0>态的粒子序列cp，用于量子行走系统中与alice的隐形传态，其中cp＝|010203...0n>。bob准备一串初始态为|0>态的粒子序列bp，用于量子行走系统中与alice的隐形传态，其中bp＝|010203...0n>。bob准备另外一串初始态为|0>态的粒子序列bc，用于量子行走系统中charlie盲签名的隐形传态，其中bc＝|010203...0n>。

第二步，盲化阶段：

在盲化阶段，alice生成n比特的随机二进制字符串l，然后alice根据表1.的规则使用l来生成n比特原始信息m的两粒子比特串{|b1c1>，|b2c2>，|b3c3>...|bncn>}。当alice生成了两粒子比特串|bc>之后，alice按序抽取|b>粒子生成b＝|b1b2b3...bn>，按序抽取|c>粒子生成c＝|c1c2c3...cn>。此时，消息的盲化加密完成。

第三步，签名阶段：

在签名阶段，alice将m的加密子信息c通过量子行走隐形传态给charlie，并请求charlie的盲签名，charlie对收到的量子比特串执行pauli操作以完成盲签名。

(1)alice随机地将k位诱骗粒子添加到c中用于窃听检测和密钥更新。通过使用之前介绍的量子行走方法，alice可以将她的加入诱骗粒子的盲信息ck隐形传态给charlie，且不依赖于制备纠缠粒子，其中ck＝{c1，c2，c3…cn+k}。本发明以ci粒子的隐形传态为例。此前，alice已经准备了初始态为|0>的粒子api用于量子隐形传态，alice将ci作为量子行走系统中需要被隐形传态的粒子，其中ci＝α|0>+β|1>，|α|²+|β|²＝1。charlie已在粒子准备阶段准备了量子比特串cp，他将粒子cpi作为量子行走系统中的接收粒子，cpi处于|0>态。现在，整个量子行走系统的初始状态可以写为：

经过第一步量子行走w1之后，整个系统状态变为

|φ>⁽¹⁾＝(α|100>+β|-110>)p12(13)。

经过第二步量子行走w2之后，整个系统状态变为

|φ>⁽²⁾＝(α|200>+α|001>+β|010>+β|-211>)p12(14)。

(2)alice用x基测量ci，测量结果|+>和|->分别被记为1和-1。alice继续用q基|q>＝{|-2′>，|-1>，|0>，|1>，|2′>}测量api，其中，测量结果|-2′>、|0>、|2′>分别被记为-1、0、1。最终，x基和q基的测量结果序列分别表示为λ1序列和λ2序列。

(3)alice用密钥kac加密λ1和λ2生成sac＝ekac(λ1，λ2)。然后，她将sac告知charlie。

(4)charlie用密钥kac解密sac获得λ1和λ2，通过λ1和λ2，charlie结合表2.对粒子串cp做pauli恢复操作来获得目标态。此后，charlie完成了来自于alice的未知粒子的隐形传态，cp粒子串的态转化为了ck粒子串的态。

(5)在确定charlie完成了粒子隐形传态后，alice开始宣布诱骗粒子的位置和测量基，charlie选择合适的测量基来测量每个诱骗粒子，然后将k/2比特的诱骗粒子的测量结果及其位置告知alice，alice可以评估粒子隐形传态过程中的错误率。如果错误率超过指定的阈值ε，则它们终止该通信，然后从头开始重复该方案，直到错误率可接受为止。否则，他们继续执行签名方案。

(6)剩下的k/2比特测量结果，charlie和alice按照事先约定的密钥更新规则，用它更新密钥kac以便将来使用。

(7)在丢弃诱骗粒子后，charlie对ci盲签名。charlie生成n比特的随机二进制串g＝{g1，g2，g3...gn}，然后他根据gi操作未知粒子ci来完成签名，即，如果gi为0，他对ci执行pauli操作i＝|0><0|+|1><1|，否则他执行pauli操作σx＝|0><1|+|1><0|。记录完成pauli操作后未知的量子串为mc。σx可以在两个测量基中翻转状态，即，

σx|0>＝|1>，σx|1>＝|0>(15)。

σx|+>＝|->，σx|->＝|+>(16)。

下面结合验证阶段对本发明作进一步描述。

在验证阶段，alice通过量子行走系统将编码加密的量子比特串b隐形传态给bob以支持验证阶段，然后charlie将他的签名通过量子行走系统隐形传态给bob，并将字符串g也传送给bob以支持验证阶段。bob根据l测量他手中的量子串，并根据alice的消息摘要完成签名验证。

(1)与签名阶段的步骤(1-6)类似，通过使用量子行走系统，alice可以将b隐形传态给bob并且完成密钥kab的更新以便将来使用。本次，alice分别γ1和γ2表示测量基x和q的测量结果序列。alice将γ1和γ2用kab加密生成sab＝ekab(γ1,γ2)，她将sab传送给bob。

(2)bob用kab解密sab，完成来自于alice的未知粒子的隐形传态，量子串bp的态转变为量子串b的态，将转变后的量子串bp记为mb。

(3)在bob宣布他通过量子行走系统从alice接收到所有未知的量子态后，charlie将他的签名mc通过量子行走系统隐形传态给bob，并完成密钥kbc的更新，像签名阶段的步骤(1-6)那样。本次，charlie分别η1和η2表示测量基x和q的测量结果序列。charlie将η1和η2以及随机二进制串g用kbc加密生成sbc＝ekbc(η1,η2,g)，他将sbc传送给bob。

(4)bob用kbc解密sbc获得g，完成来自于charlie的未知粒子的隐形传态，粒子串bc的态变为粒子串mc的态。将转后后的粒子串bc记为mc’。

(5)当bob与alice、charlie的隐形传态结束，bob手中有量子串mb和mc'。alice传输决定两个量子串测量基的字符串l给bob并用密钥kab加密，s1＝ekab(l)，bob解密s1并根据字符串l选择每个量子比特的测量基z或x，即，在l的位值为0的情况下采用z基测量，在l的位值是1情况下采用x基测量。mb和mc'的测量结果分别表示为rb和rc’。

(6)bob计算rbxorrc’xorg的结果，并将结果记录为m'。

(7)alice使用适当的散列函数h来导出m的散列值。然后，alice用密钥kab加密h(m)以生成shm＝ekab(h(m))，并将shm发送给bob。

(8)bob用密钥kab解密shm以得到h(m)。bob计算h(m')的结果并验证h(m')是否等于h(m)，如果h(m')＝h(m)，bob宣布签名有效并接受charlie的盲签名，否则他拒绝charlie的签名。

下面结合安全性分析对本发明作进一步描述。

本发明的方法具有安全性，即安全的量子盲签名协议不仅防止合法参与者的伪造或拒绝，还能防止外部窃听攻击。具体包括：

1)盲性：在本发明中，alice隐形传态给charlie的量子串c是盲化的。首先，charlie只对未知量子串c执行pauli操作来完成签名，他无法测量量子串c，因为只有alice知道量子串c的测量基。其次，alice的消息m被编码为量子串c和b，对charlie而言，它们是未知量子串并且用加密的量子行走系统隐形传态，而隐形传态所需的测量结果由alice生成并用密钥加密。此外，即使charlie获得了测量基并测得了未知量子串c的测量结果，他不能通过c来猜测b从而推断出m的信息，因为只有alice确切的知道她准备的那对粒子。本发明假设charlie有50％的概率猜对另一个粒子b，可以根据统计数据定量评估成功推断整个消息m的概率。

其中k表示被正确猜测的粒子总数，n表示m的整个信息长度。概率pi符合二项分布和二项式系数。

对于n＝100,n＝500,n＝1000，pi关于k的图2.表明对于不同的n，pi存在它的最大值，并且随着n的增大而减小。因此，可以得出结论，签名方案可以有效地使信息盲化。

2)攻击者的不可窃听性：本发明的协议可以抵御窃听攻击，即使攻击者eve使用纠缠攻击，也是徒劳的。

首先，本发明在传输粒子中添加了诱骗粒子用于避免此类攻击，提高协议的安全性。在签名阶段的步骤(1-5)中本发明详细描述了这个过程。假设eve拦截从alice传输的任何粒子序列，然后将另一个粒子序列重新发送给接收方。由于eve对诱骗粒子的位置和状态一无所知，接收方会获得不相关的测量结果，并且粒子传输过程中的错误率增加，这将导致该对话终止。因此，eve的窃听攻击对本发明的计划无效。

其次，eve也无法通过纠缠攻击来获取信息，因为信息在量子信道中传输时，信息被编码为粒子序列并用离散时间量子行走加密。假设eve在传输过程中拦截了粒子c，并用新的粒子e与c缠绕在一起形成一个更大的希尔伯特空间，其中c＝{|0>、|1>、|+>、|->}}。

其中e是eve的单一操作矩阵，表示为

由e运算符决定的四个{e00，e01，e10，e11}纯状态满足归一化条件

因为ee^*＝1，a，b，a’，b’满足以下关系

|a|²+|b|²＝1，|a′|²+|b′|²＝1，ab^*＝(a′)^*b′(25)。

本发明可以获得结果

|a|²＝|a′|²，|b|²＝|b′|²(26)。

如果eve的攻击粒子处于纠缠态，这种窃听者的干扰将不可避免地引入错误，本发明可以以pe的概率检测到窃听者的存在。

pe＝|b|²＝1-|a|²＝|b′|²＝1-|a′|²(27)。

如果eve不想引入误差，则总粒子必须与eve的辅助粒子以直积态相关。然而，在直积态下，辅助粒子e与c粒子之间没有任何相关性，因此eve没有得到任何有用信息，这证明了纠缠攻击是徒劳的。

3)签署者的不可抵赖性：假设签名者charlie想要否认他已签署信息，由于验证阶段的步骤(3，4)，bob需要charlie的测量结果η1和η2以完成量子行走的隐形传态，测量结果η1和η2用密钥kbc加密，密钥kbc由qkd协议首次分发并且在窃听检测过程中被更新。因此，其他成员很难获得kbc密钥，kbc起到身份认证作用，因此charlie不能否认他的签名。

此外，根据统计数据，可以对charlie的否认可能性进行定量评估。假设charlie同意或否认他的签名有1/2的可能性，他的否认的可能性可以计算为pd。

其中k表示bob收到的charlie拒绝的签名的数量，n表示所有收到的签名的长度。概率pd满足二项分布和二项式系数。

本发明在图3中发现了pd和k之间的关系，分别在n＝50，n＝100，n＝200时，该图表明pd对于不同的n存在着最大值且随着n的增大而减小。

4)验证者的不可拒绝性：在本发明的协议中，bob无法否认他通过量子行走系统获得了chalie的签名和alice的量子比特串b。如果bob拒绝接收签名，他无法获得任何好处。因为在验证阶段的步骤(6)中bob需要charlie的签名mc和随机字符串g来验证签名的完整性，且g用密钥kbc加密，该信息只能由bob解密。密钥kbc在窃听检测过程中将更新以实现一次一密(otp)的效果。另一方面，如果bob已经收到一些签名但是不承认签名的正确性，也就是说，bob在验证阶段声明h(m')≠h(m)，即使h(m')＝h(m)。然而，这种否认对bob没有任何好处。一旦他声称h(m')≠h(m)，在chalie看来，他会认为签名已被窃听者拦截。因此，chalie将使签名无效并终止通信，bob获得的签名将毫无用处。同样，bob不能否认他通过隐形传态从alice手中获得了量子比特串b。bob为了完成签名验证，alice通过量子行走系统将量子比特串b隐形传态给bob，测量结果γ1和γ2用密钥kab加密，kab只能由bob解密。如果bob否认他通过隐形传态从alice手中获得了量子比特串b，他将无法完成签名验证。

5)不可伪造性：假设不诚实的成员alice，bob或者攻击者eve试图伪造charlie的盲签名。对于alice来说，她的目的是让charlie完成盲签名，即使她从验证阶段的第(3,4)步获得了charlie的二进制字符串g，她也无法修改charlie的量子签名mc。因为与mc相关联的量子比特串b在bob手中，它在charlie完成签名之前已被发送给了bob。如果alice修改了签名mc，然后重新将mc发送给bob，这将无法通过最终验证，因为h(m')≠h(m)。她需要重新向bob发送另一串量子比特串b'，这显然是不被协议许可的。

对于bob来说，人们可能会担心他的权限太大，他知道g和两个量子比特串的测量结果。实际上，bob不能通过g修改签名消息mc来完成验证，因为与mc相关联的量子串b的测量结果是确定的，而g是唯一的时间流序列。如果bob修改mc，最终验证结果可能无法完成，因为h(m')≠h(m)。

对于攻击者eve，如果他想伪造签名，则需要拦截整个签名过程中隐形传态的所有粒子。但本发明已在此前的攻击的不可窃听性中证明，即使采用纠缠攻击，eve也不能窃取粒子或获取有用的信息。因此，他无法拦截任何人的粒子完成签名伪造。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。