基于量子纠缠的盲签名方案-梁建武.pdf

《基于量子纠缠的盲签名方案-梁建武.pdf》由会员分享，可在线阅读，更多相关《基于量子纠缠的盲签名方案-梁建武.pdf（5页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第37卷第2期2016年2月通信学报Joumal on Communications、b137 No2February 2016doi：1011959jissn1000-436x2016028基于量子纠缠的盲签名方案梁建武，王晓慧，郭迎，程资(中南大学信息科学与工程学院，湖南长沙410083)摘要：基于量子纠缠交换的原理，提出了一种基于量子纠缠的盲签名方案。制备后的EPR纠缠粒子通过EPR纠缠交换，变化为全新的纠缠态。对新量子态的测量可以作为签名者和测量者的签名、测量依据，实现了量子通信、盲签及验证。不同于基于数学求解困难性的经典盲签名，本方案保证了消息对签名者的匿名性和方案的无条件安全性。关

2、键词：量子信息；量子签名；盲签名；量子纠缠中图分类号：TN9181 文献标识码：ABlind signature scheme based on entangled quantumLIANG Jianwu，WANG Xiao-hui，GUO Ying，CHENG Zi(Institute ofInformation Science and Engineering，Central South University,Changsha 410083，Chma)Abstract：Based on the principle of quantum entanglement swapping，a blin

3、d signature scheme based on quantum en-tanglement was proposed。Through being entangled and exchanged，particles prepared before could transform into entan-gled stateThe measurements of new entangled particles complete signature and verification and realize the quantumcommunication，blind signature and

4、 verificationDifferent from the classical blind signatures which based on the mathe-matics difficulty,the scheme could guarantee not only the anonymity but also the unconditionally securityKey words：quantum information，quantum signature，blind signature，entangled quantum1引言1983年，Chaum第一次提出了盲签名的概念。盲签名

5、指签名者并不知道所签文件或消息的具体内容，而文件或消息的拥有者可以得到签名者的签名12】。由于消息对签名者来说是未知的，盲签名技术在电子选举、电子现金等要求保护用户匿名性的场合得到广泛应用【3J。在量子计算机出现以后，基于数学复杂性的盲签名将会被轻易攻破。而基于量子物理特性的量子签名方案具有无条件安全性，随着量子信息安全技术在实验上不断取得成功，对量子签名方案的研究引起了人们的浓厚兴趣。2001年，Gottesman和Chu锄g【4】提出了基于量子单向函数的签名方案。同年，曾贵华等5】提出了GHZ三粒子态相干特性的仲裁量子签名方案。上述2个方案签名和验证的过程都需要借助可信任的第三方才可以实现

6、。随后，温晓军等6】利用EPR粒子的纠缠特性和隐形传态的特点提出2个不需要仲裁的量子签名协议，以及基于纠缠交换的量子有序多重签名方案【7J。2009年，温晓军等8】提出了一个基于量子密码术的弱盲签名。2010年，温晓军等9】一种基于秘密共享的量子强盲签名协议。2011年，陈永志等【1 o】在此基础上提出了一个基于可控形态的代理弱盲签名方案。本文考虑到盲签名的广泛用途，基于量子纠缠交换原理设计了一个签名方案，可以用于保护用户匿名性的系统。2基本原理纠缠光子对的研究取得了一定的成果，并可以收稿日期：20150203)修回日期：201508-25基金项目：国家自然科学基金资助项目(No1137915

7、3)Foundation Item：The National Natural Science Foundation ofChina(NoI 1379153)20160281万方数据第2期 梁建武等：基于量子纠缠的盲签名方案 39仕兴擞甲兴巩。巳刘Bell削4 q-念田氏【lJ“m-!(i(4)给出。I多+)=击2(I oo)+i 11) (1)阿)=击(旧)叫1) (2)I矿)=万1(+|10) (3)I矿)=万1(一110) (4)对I(o-)的第一个量子比特进行4种局域操作，百T叫徂到嘉1由昕诛的羊磊表1 逻辑操作及状态变化假设AB为一对EPR纠缠光子对，CD为另一对EPR纠缠光子对，分别

8、表示如下1I)=去(101)柚一110)柚) (5)V二1I纯)=去(1 01)。一110)。) (6)V二对AB纠缠光子对的第一个量子比特进行上述4种局域操作中的某一种逻辑操作后可能得到I纯)、I)、I嚷)、l纯)中某一态，之后新得到的态再与CD纠缠光子对交换测量，那么交换过程的表达式如下1I)I)=(I织。)I)一二I哎)I)一I败)I站)+I咴)1) (7)1I嚷)1)=(I瓯)I)一二I苡。)1)+I嚷)I喀)+l嚷)I) (8)11)固I q,g)=(I嚷)I炼)一1败)I)一I苡。)I璐)+l嚷)I) (9)1f纯)I缟)=(I败)I)一I哎)I)一I织。)l纯)+I嚷)1) (1

9、0)假设Alice、Bob和Charlie是参与通信的三方，Alice、Bob和Charlie各自拥有处于纠缠态l矿)的光子对，其中，Alice拥有光子A、B，Bob拥有光子C、D，而Charlie拥有光子E、F。Alice在采取某种逻辑操作后，将纠缠光子中的一个粒子保留，剩下的一个光子发送给Bob。Bob和Charlie也重复同样的动作，保留一个粒子，将剩下的一个粒子发送给Charlie和Alice。最后使Alice手中持有光子A、F，Bob持有光子B、C，而Charlie持有光子D、E。具体交换过程如图l所示，交换结果如图2所示。图1纠缠光子交换示意Alice Bob Charlie图2纠

10、缠光子交换结果交换之后，Alice用Bell基测量自己手上的光子A、F。根据量子纠缠交换原理，Alice的测量将产生响应的普分解和塌缩，光子B、E将瞬间塌缩成为某一个Bell态。过程表示为BP日e幄FBP眈ffB。 (11)接着Bob和Charlie也分别用Bell基测量自己手上的光子。过程表示为B8，BE圆BeffcD j BeBef7DE (12)将Bob和Charlie得到的测量结果，合并Alice的测量结果，可以推导出Alice经过逻辑操作后的量子态。由于Alice、Bob、Charlie间的测量不公开，单方面的测量无法得知Alice最先做的逻辑操作究竟是哪一个，基于上述的原理，将在下

11、节方案中对原始消息进行盲签名。3量子盲签名方案在本方案中，设消息m的所有者为Alice，Bob为签名验证人，而Charlie则在不知道消息的具体内容下进行盲签名。万方数据通信学报 第36卷31初始化阶段1)消息变换：Alice将她的消息转换为二进制序列，记为m=m(1)，历(2)，肌(3)，m(f)，m)。2)密钥分配：Alice与Bob共享密钥聪，Bob与Charlie共享密钥k，这些密钥的分配可以通过BB84协议实现。3)量子纠缠态的制备：Alice、Bob和Charlie各自制备对处于I矿)态的纠缠光子对，记为认1)盈，烈2)盈，烈3)k，烈f)盈，烈胛)矗)烈1)cD，认2)孟，烈3)

12、c。，烈i)c。，烈行)；。09(1)；r，烈2)品，烈3)；，认i)E，烈刀)；)32签名阶段1)对烈f)盈局域操作：Alice根据要发送的消息m(f)按表2对烈瓴。实施操作。表2 编码及状态变化例如，消息m=01101l，则经过对应的局域操作后，Alice的纠缠态变为|咖一)，痧+)，I矿)。2)粒子的分发：Alice、Bob和Charlie按照图2所示交换粒子，交换后Alice持有粒子A、F，Bob持有粒子B、C， Charlie持有粒子D、E。3)Alice用Bell基测量手上的光子对，测量结果记为R(f)。，然后用瓦加密尺(f)a得到(尺(f)a)，将乓(R(f)a)发送给Charl

13、ie。同时Alice用一个与Bob商量好的杂凑函数日，得到T(i)=H(所(f)，用心加密r(f)得到(r(f)发送给Bob。4)获得盲签名：Charlie用Bell基测量手上的光子对，测量结果记为R(f)，然后将从Alice处收到的k似(f)1)联合尺(f)。用民。加密得到S=氏(尺(f)c，取(尺(f)a)。5)发送盲签名：Charlie将S发送给Bob。33验签阶段1)Bob收到S后，用K解密得到尺(f)。、Ex(R(f)。)，再用 解密得到R(f)。Kb2)Bob用Bell基测量手上的光子对，测量结果记为R(f)。3)Bob根据表3可以推断出Alice经过局域操作后的BP，再根据表2的

14、编码规则译出m，(f)。Bob用H进行，得到T，(f)=n(m，(f)。比较丁与丁，如果T7=T，则确认S有效。表3 R。、R”噩及BellAB的对应关系氏 R。 RI BeHm R： R。 BeHmI矿) I妒一) l矿) l矿) I痧一) l矿) I中+) I矿)l矿) I妒) I矿) l西一) I咖一) l矿) l矿) I中一)l妒一) I矿) I中+) I中+) l咖一) 1矿) l中一) l矿)19一) I矿) 19+) I矿) I毋一) I矿) 1妒) 中+)l中+) l中+) I妒一) l矿) I妒+) I中一) 1中+) I妒一)l西+) l西+) I西一) l中一) I伊+)

15、 痧一) I矿) I中一)J口+) l中+) l痧+) l西+) I矿) I咖一) I中一) I矿)1中+) l西+) I矿) I矿) I矿) l中一) I矿) I痧+)I中一) l中一) I矿) l矿) I矿) I西+) I西+) I矿)I中一) I痧一) l中) l中一) l矿) l中+) I矿) l痧一)l痧一) l痧一) l中+) l中+) l矿) I中+) l西一) l矿)l西一) I中一) I矿) I矿) l矿) I口+) l矿) I由+)l妒+) I矿) l妒一) l妒一) I痧+) I妒一) l中+) l矿)I矿) I矿) I中一) I咖一) l痧+) l矿) I矿) l中一)

16、l矿) I缈+) I西+) l中+) I痧+) I矿) I痧一) l矿)l矿) I妒+) l矿) I妒+) I毋+) l矿) I矿) l中+)l痧+) l矿) I毋一) l妒一) I矿) l矿) I矿) l矿)I中+) I矿) I妒一) 1中一) l矿) I妒一) I中+) l西)l西+) l矿) I矿) I毋+) l矿) I妒一) I中) I咖+)l中+) l矿) I中+) 1矿) I矿) I矿) I矿) I矿)l痧一) l矿) I中一) J妒一) l矿) I矿) l矿) I矿)I口一) I矿) l矿) I中一) I矿) l矿) I中+) l西一)l痧一) l矿) l矿) l中+) I矿)

17、l矿) I痧一) l毋+)l西一) I矿) I中+) l矿) l矿) I矿) I矿) I矿)l矿) I多+) l中) l矿) I痧+) I中一) I矿) I矿)I妒+) I痧+) l矿) I中一) I痧+) l痧一) l口+) l中)l矿) I毋+) I矿) l西+) I痧+) l西一) I痧一) I西+)I矿) ) l中+) I矿) 1痧+) I毋一) I矿) l矿)l矿) l西一) l中) I矿) I口一) l西一) I矿) I矿)l矿) I咖一) I矿) I西一) J痧一) I西+) l咖+) I西一)l矿) I咖一) I矿) I西+) I痧一) I中+) l咖一) I西+)l矿) l西

18、一) l中+) l矿) I痧一) I咖+) J矿) 19+)4方案分析41正确性分析为了说明方案的正确性，给出下列实例。假如万方数据第2期 梁建武等：基于量子纠缠的盲签名方案 4l。f0，1，那么按照表2，Alice按照日函数得到H(m)，之后Alice对自己的纠缠光子对作对应的局域操作后，将变成|多一)，)。交换光子后，假设测量后的Ra=I矿)， R=I矿)，)，Rc=I咖+)，)。即曰P(1)=19+)，BellB。(1)=1缈一)，Bell。(1)=I疹+)。由式(12)可知，在BellB。和BellD。已知的情况下，可以推出BellB，=l多+)，即B、E光子瞬间塌缩为l西+)。同理，

19、由式(11)可知，在Be玩，和BellAr已知的情况下，可以推出曰e盯。=l多一)，也可根据表3可得BellA。=I多一)。据表2的编码规则Bob可以翻译出信息为m7=0，1，)；对比H(m)和H(m)，必有H(m7)=H(m)，这就说明了方案的正确性。42安全性分析对签名的攻击包括经典攻击策略和量子攻击策略。1)经典安全性Charlie对信息的签名是盲的。只有在足、R、R都公布的情况下，才能推测出BPf7。的状态。Charlie不可能根据自己手上的足推测出Alice的态，进而推测出Alice发送的消息内容。虽然Charlie不知道Alice发送的消息内容，但是他对D、E光子的测量操作完成了盲

20、签名的过程。如果Charlie为了谋取自己的某种利益伪造消息及签名，但这样是困难的。首先，签名S中包含了。(R(f)。)，K柚是Alice与Bob共享密钥，Charlie无法知悉R(f)。的具体内容。其次，伪造签名也是困难的，仍旧以41节分析中的实例作为分析对象。在经过一系列操作测量后，得到测量结果为R=J缈+)，)，Rb=l缈一)，)，Ro=I西+)，)。假设此时Charlie为了谋取自己的某种利益伪造测量结果，R7=|妒+)，。Bob在接收s后，根据R、Ro推出BellB。=I矿)，BellAB=I矿)根据表2的编码规则，Bob可以翻译出信息为m=O，0，)。比较e(m，(f)和H(朋(f

21、)，有H(m，(f)日咖(f)，Bob拒绝签名。如果Bob为了谋取自己的某种利益伪造消息及签名，这样是困难的。由于Bob知道日函数及表2的编码规则，人们可能担心Bob的权限过大，进而肆无忌惮地伪造消息及签名为自己谋利。其实，在经过量子局域操作、通信三方在交换粒子、Alice与Charlie分别测量自己的粒子对后，Bob的粒子对状态已经确定。Bob一旦与Alice发生冲突，只要Charlie介入，查看自己的测量记录，Bob就无法继续自己的阴谋。杂凑函数H使信g m间接提供给Bob和Charlie，增加了保密性。Charlie的签名对象是根据H函数压缩后的信息，Charlie根本不知道Alice的

22、真实消息内容。由于签名S中包含了密钥K。和。，而Alice与Bob共享密钥K。，Bob与Charlie共享密钥珞c。因此，Alice不能否认自己的请求签名，Charlie不能抵赖签名的事实，而Bob同样不能否认自己收到签名。对手Eve同样无法进行截获重发攻击。假设Eve截获了Alice发给Charlie的信息，但在本方案中Eve由于没有密钥K。，无法获取消息内容。同样，假设Eve截获了Charlie发给Bob的信息，但在本方案中Eve由于没有密钥K，无法伪造签名。而且，签名的发送、接收以及纠缠光子对的测量都是Alice、Bob和Charlie根据协议同步进行的。2)量子安全性本方案采用的是BB

23、84进行密钥分配协议。由QKD协议的无条件安全性保证，若对手Eve采用中间人攻击，冒充Alice、Bob或者Charlie篡改消息或签名是不可能的。若对手Eve进行截获重发攻击，由量子不可克隆性保证了量子信息是不可被复制的。Eve对Alice光子的检测克隆势必破坏粒子对的纠缠特性，对签名信息产生扰动。Charlie将拒绝签名，同时，Bob也将注意到窃听者的存在。一般情况下，可以用以下途径在实现签名前，检测量子信道是否由攻击者存在。在本方案中，以Alice和Bob的量子通信信道为例。Alice制备完EPR纠缠粒子对，将光子A留在自己手上，将光子B发送给遥远的Bob。Alice和Bob各自采用随机

24、的测量基测量各自手中的光子。然后Alice和B0b各自公布采用的测量基，并选取测量基相同的位公布测量结果。考虑量子信道为理想无噪声信道，如果没有对手Eve的存在，那么在本方案中，测量结果应该正好相反。在现实情况中，信道总不可能是理想无噪声的，可以设置闽值门限判别是否有对手Eve的存在。假设Alice依次发送了，z个光子给Bob，各自采用随机的测量基测量各自手中的光子，公布测量基相同位上的测量结果。假设A、B光子测量万方数据通信学报 第36卷结果中有不是正好相反的光子对，统计没有相关性的光子对数为m。当cf c：一m 1大于可以容忍的常数 刀，时，则认为这条量子信道上存在对手干扰，Alice和B

25、ob将放弃本次通信。同理，Alice和Charlie、Bob和Charlie都可以在开始签名前运用这个方法来检测信道的安全性。5结束语本文提出了基于纠缠光子对交换的量子盲签名协议。该方案不同于温晓军提出的弱盲签及强盲签，在消息拥有者调制信息阶段就盲化信息，而是签名者直接对信息盲签。温晓军提出的量子盲签名基于EPR纠缠对、GI-IZ三光子的随机测量实现信息的盲化。前者基于EPR纠缠对的盲签名在验证阶段，由于取密钥奇数位参与验证，有50的信息是不确定的，浪费了带宽；后者基于GI-IZ三光子的盲签名在制备、存储和测量等技术上较本法案更难于实现，验签阶段签名更容易判断。早在1998年，潘建伟等就用实验

26、验证了量子纠缠交换。因此，在当前技术下，实现本文介绍的量子签名方案是完全可行的。此外，本方案还非常便于在原来的基础上扩展，信息的签名者可以根据实际需要增加，实现多重有序签名。参与签名方只要制备好EPR纠缠对，参与粒子的纠缠交换，测量自己手上的新纠缠态即可完成自己的签名。参考文献：【1】CHUAM DBlind signature for untraceable paymentCAdvances inCryptology-Cypto82Berlin。c1983：1992032】杨义先，孙伟，钮心忻现代密码新理论【l咽北京：科学出版杜，2002：134135YANG Y X，SUN W：NIU X

27、 XThe new theory ofmodem cryptogra-phy7VqBcijing：Science Press，2002：134-145【3】温晓军，陈水志量子签名及应用【M】北京：航空工业出版社，2012：121WEN X J，CHEN Y ZQuantum signature and application【M】Beijing：Aviation Industry Press，2012：121【4】4 GOTTESMAN D，CHUANG IQuantum digital signaturesEBOLhttp：arxivorgabsquant-ph01050325】 曾贵华，马

28、文平。王新梅。等基于量子密码的签名方案【J】电子学报2001，29(8)：10981 100ZENG G H，MA W E WANG X M，et a1Signature scheme based onquantum cryptography田Acta Electronica Sinaca,2001。29(8)：109811006】WEN X J，LIU Y ZHANG P YInformation signature protocols usingEinsteinPodolsky-Rosen palrstJJournal of Dalian University ofTechnology,2

29、007，47(3)：424-4287】温晓军，刘云一种可实现的量子有序多重数字签名方案明电子学报，2007，35(6)：10791083WEN X JLU Y A realizable quantum sequential muti-signatureschemeJActa Electronica Sinica,2007，35(6)：107910838】WEN X J，NIU X M，JI L P，ot a1A weak blind signature schemebased on quantum cryptographyJOptics Communications，2009。282：666-

30、66999 温晓军，田原，牛夏牧一种基于秘密共享的量子强盲签名协议【J电子学报，2010，38(3)：720-724WEN X J，TIAN Y，NIU Z MA strong blind quantum signature protocol based on secret satingJActa Electronica Sinica,2010，2010，38(3)：720724【10】陈永志，刘云，温晓军一个量子代理弱盲签名方案【J】量子电子学报，2011，28(3)：341349CHEN Y Z，LIU Y，WEN X JA quantum proxy weak blind signatureschemeJChinese Journal of Quantum Electronics，201 1，28(3)：341349作者简介：梁建武(1964)，男，湖南长沙人，中南大学副教授，主要研究方向为量子通信和无线通信。王晓慧(1990-)，女，上海人，中南大学硕士生，主要研究方向为量子安全保密通信和无线通信。郭迎(1975)，男，山东临沂人，中南大学教授，主要研究方向为量子安全保密通信和无线通信。程资(1990)，女，河北晋州人，中南大学硕士生，主要研究方向为量子安全保密通信和无线通信。万方数据