張 瓊，譚曉青

暨南大學(xué) 信息科學(xué)技術(shù)學(xué)院 數(shù)學(xué)系，廣州 510632

基于量子信息拆分的多人驗(yàn)證簽名方案

張 瓊，譚曉青

暨南大學(xué) 信息科學(xué)技術(shù)學(xué)院 數(shù)學(xué)系，廣州 510632

1 引言

數(shù)字簽名作為密碼學(xué)的重要分支是實(shí)現(xiàn)網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)完整性保護(hù)和非否認(rèn)性服務(wù)的基礎(chǔ)，也是開展電子商務(wù)和簽訂電子合同的重要工具。經(jīng)典密碼學(xué)的數(shù)字簽名方案由于是基于計(jì)算上安全的，它們的安全性受到像量子計(jì)算機(jī)等高運(yùn)算能力計(jì)算機(jī)的嚴(yán)重威脅，屆時(shí)幾乎所有的方案將會被輕易地攻破。自2001年Gottesman和Chuang[1]利用量子單向函數(shù)和量子交換實(shí)驗(yàn)提出第一個(gè)對數(shù)字消息的量子簽名方案以來，之后研究者把簽名的消息從經(jīng)典消息擴(kuò)展到任意的已知和未知的量子消息，并基于量子特性設(shè)計(jì)了很多新穎的量子簽名方案[2-22]，主要可以分為仲裁量子簽名[2-8]、量子多重簽名[9-11]、量子盲簽名[12-14]、量子代理簽名[15-16]和量子群簽名[17-18]等不同應(yīng)用背景的簽名方案，還有一些復(fù)雜類型的簽名方案，如量子群盲簽名[19]、量子代理弱盲簽名[20]、量子廣播多重盲簽名[21]、量子代理多重簽名[22]等。量子簽名已成為人們研究量子密碼學(xué)進(jìn)程中的研究熱點(diǎn)。

在諸多類型的簽名方案中，目前所見到的大部分方案都是以單用戶簽名及單用戶驗(yàn)證居多，關(guān)于多用戶簽名或多用戶驗(yàn)證的簽名方案研究得相對較少，尤其是多用戶驗(yàn)證。然而在現(xiàn)實(shí)生活當(dāng)中，一份重要的簽名文件可能需要多個(gè)驗(yàn)證者合作驗(yàn)證簽名。

本文提出一種多人驗(yàn)證的量子簽名方案。它以三粒子糾纏W態(tài)[23]為量子通道，各方的共享密鑰采用著名的BB84[24]協(xié)議分發(fā)，加密均采用一次一密算法和量子單向函數(shù)，以確保信息的安全發(fā)送。利用量子信息拆分（quantum information splitting）的思想（即秘密信息的擁有者通過量子方法將信息分成若干部分，發(fā)送給每個(gè)參與者，以至于只有所有的參與者一起才能夠重新恢復(fù)出秘密消息）達(dá)到多人驗(yàn)證的目的。簽名算法確保了經(jīng)典安全性，為了檢測是否存在竊聽者，在粒子的分發(fā)過程中還隨機(jī)插入了誘騙光子[24-25]確保傳輸?shù)陌踩艿钟徽\實(shí)的攻擊者的截獲重發(fā)攻擊與糾纏附加粒子攻擊。最后，通過比較分析，提出的多人驗(yàn)證簽名方案比一些已提出的量子簽名方案在效率和安全性上都有所提高。

2 基于W態(tài)的量子信息拆分

假設(shè)粒子A，B，C處于3量子比特W態(tài)：其中粒子A屬于發(fā)送者Alice，粒子B，C分別屬于接收者Bob1和Bob2，這里假設(shè)Bob1和Bob2至少有一個(gè)是誠實(shí)的。設(shè)Alice要共享的未知量子態(tài)為=+。

Alice對粒子M與粒子A作Bell測量，結(jié)果將等可能地塌縮為下面的式子之一：

Alice通過經(jīng)典信道告訴Bob1和Bob2與上述測量結(jié)果所對應(yīng)的2比特的經(jīng)典信息，對應(yīng)規(guī)則如下：

顯然，Bob1和Bob2不能通過對各自的粒子作局域操作恢復(fù)粒子M的量子態(tài)，為了重新恢復(fù)粒子M的量子態(tài)，Bob1和Bob2只能根據(jù)上述經(jīng)典信息對他們手上的粒子B、C做聯(lián)合幺正變換，即如果Bob2同意讓Bob1恢復(fù)原始量子態(tài)的話，則他們作以下聯(lián)合變換：

反之，如果Bob1同意讓Bob2恢復(fù)原始量子態(tài)的話，則他們作以下聯(lián)合變換：

3 簽名算法

簽名的過程包括三個(gè)階段：初始化階段、簽名階段和驗(yàn)證階段。參與者包括簽名人Alice和驗(yàn)證人Bob1，Bob2（這兩個(gè)驗(yàn)證人至少有一個(gè)是誠實(shí)的）。方案實(shí)施的直觀過程如圖1所示。

圖1 多人驗(yàn)證簽名的直觀模型

3.1 初始化階段

（1）假設(shè)Alice要簽名的消息是m={m(1)，m(2)，…，m(n)}，i=1，2，…，n，將m分成m1和m2兩部分，其中：m=m1⊕m2，“⊕”為異或運(yùn)算。例如：對于n=6，分別有：m={011001}，m1={110010}，m2={101011}。

（2）根據(jù)m1和m2，Alice制備兩份相應(yīng)的量子態(tài)：

（3）Alice與Bob1通過無條件安全的BB84[24]協(xié)議共享2n-bit密鑰KAB1，同樣地，Alice與Bob2共享2n-bit密鑰KAB2。

（4）Alice制備兩組處于相同三粒子糾纏W態(tài)的序列，假設(shè)為：

得到如下粒子序列：

其中i=1，2。

3.2 簽名階段

（3）Alice將(S1，h(m1))和(S2，h(m2))分別發(fā)送給Bob1和Bob2，這里h是指hash函數(shù)，h(m1)和h(m2)均為k位。

3.3 驗(yàn)證階段

（1）Bob1收到(S1，h(m1))之后，首先用密鑰KAB1解密S1得 βM1A1，根據(jù) βM1A1和第2章中的量子信息拆分原理，Bob1在Bob2的幫助下對他們的粒子PB1(i)與PC1(i)作聯(lián)合幺正變換。然后Bob1對自己的粒子PB1(i)作相應(yīng)

（2）同樣地，Bob2收到(S2，h(m2))之后，首先用密鑰KAB2解密S2得 βM2A2。根據(jù) βM2A2和第2章中的量子信息拆分原理，Bob2在Bob1的幫助下對他們的粒子PC2(i)與PB2(i)作聯(lián)合幺正變換，然后Bob2對自己的粒子(i)作相應(yīng)的幺正變換，可以重新恢復(fù)。最后Bob2用基測量粒子序列得，比較h()及h(m2)，若相等，則繼續(xù)下面的驗(yàn)證，否則的話，終止驗(yàn)證。

4 安全性分析

4.1不可偽造性

假設(shè)敵手Eve想要冒充Alice對某消息m進(jìn)行簽名，他截取了Alice發(fā)送給Bob1和Bob2的粒子，自己制備新的2n個(gè)三粒子W態(tài)，將每個(gè)W態(tài)中的兩個(gè)粒子分別發(fā)送給Bob1和Bob2，這種攻擊雖然沒有破壞三重態(tài)粒子對的糾纏性，但Eve也肯定不能取得成功。因?yàn)樗麤]有Alice與Bob1和Bob2的共享密鑰KAB1和KAB2，且從本方案公布的參數(shù)(S1，S2，h(m1)，h(m2))中，Eve無法獲取密鑰KAB1和KAB2，尤其是當(dāng)通信者采用一次一密方式和量子單向函數(shù)加密時(shí)，系統(tǒng)將是無條件安全的，因此Eve無法對測量結(jié)果進(jìn)行加密，這樣就很容易被Bob1和Bob2識破。即使是發(fā)生了最壞的情況，比如說密鑰KAB1和KAB2泄漏給了Eve，他仍然不能冒充Alice進(jìn)行簽名，因?yàn)锳lice發(fā)送給Bob1和Bob2的粒子序列和中加入了誘騙粒子，而非正交態(tài)粒子是不可區(qū)分的，誘騙態(tài)的位置只有Alice知道，在Bob1和Bob2收到粒子序列之后，Alice才會公布這些插入的非正交態(tài)粒子的位置和測量基。所以，Eve不能偽造消息m及簽名(S1，S2)。

假設(shè)簽名驗(yàn)證者Bob1是不誠實(shí)的，他想要偽造Alice的消息和簽名，在此之前，已經(jīng)假設(shè)Bob1和Bob2中至少有一個(gè)人是誠實(shí)的，因此Bob2一定是誠實(shí)的。在簽名算法的驗(yàn)證階段，Bob1需要解密S1得到 βM1A1，并根據(jù) βM1A1對自己手上的粒子序列作相應(yīng)的幺正變化后再用基測量這個(gè)粒子序列，得到m1'，似乎Bob1已經(jīng)可以任意地篡改消息m1'和簽名S1了，但是他不知道Bob2通過測量得到的，而最有可能Bob1能夠得到的攻擊方式是糾纏附加粒子攻擊（即通過某種方法將自己的量子比特和Bob2的量子比特相糾纏，從而相干地測量處理這些量子比特來非法獲取信息），但本文采取的誘騙態(tài)技術(shù)能夠很好地防止這種攻擊方式。假設(shè)Bob1通過局域酉操作作用在Hilbert空間HBob1?HBob2上，Bob1的攻擊對誘騙態(tài)的影響如下：

4.2 不可否認(rèn)性

Alice不能否認(rèn)她對消息m的簽名。因?yàn)锳lice需要發(fā)送簽名(S1，S2)給Bob1和Bob2，其中用到的加密密鑰KAB1和KAB2只有Alice與Bob1和Bob2知道，且沒有Alice對自己粒子的Bell基測量結(jié)果，Bob1和Bob2不可能進(jìn)行對簽名的驗(yàn)證。

簽名驗(yàn)證人Bob1和Bob2均不能否認(rèn)收到Alice的簽名。一方面，因?yàn)樵隍?yàn)證簽名(S1，S2)時(shí)，需要先用解密密鑰KAB1和KAB2對(S1，S2)解密，這說明Bob1和Bob2是簽名算法的參與者。另一方面，在簽名算法的驗(yàn)證階段，最后要驗(yàn)證h()h(m1)及h()h(m2)，有一種可能是不誠實(shí)的Bob1明明收到了來自Alice的簽名，卻否認(rèn)這一事實(shí)，即Bob1宣布h()≠h(m1)，那么簽名(S1，S2)不被接受。但作為誠實(shí)方的Bob2不會接受這一結(jié)果，因?yàn)槭撬麉f(xié)助Bob1完成對簽名S1的驗(yàn)證。同樣地，如果Bob2是不誠實(shí)的，他也不能否認(rèn)接收了簽名。

5 效率分析

這里，對N比特消息簽名時(shí)所需要的傳輸量子比特?cái)?shù)為指標(biāo)來比較幾種量子簽名協(xié)議的效率。文獻(xiàn)[5]定義簽名效率為η=Bs/(Qt+Bt)，其中Bs表示簽名消息比特?cái)?shù)，Qt表示協(xié)議中傳輸?shù)牧孔颖忍財(cái)?shù)，Bt表示協(xié)議中傳輸?shù)慕?jīng)典比特?cái)?shù)。

此外，文獻(xiàn)[2，6-7]所提出的簽名方案，是在一個(gè)仲裁者的監(jiān)督下完成對未知量子態(tài)的簽名和驗(yàn)證，但這三個(gè)方案均不能同時(shí)滿足安全性要求的不可偽造性和不可否認(rèn)性。本文提出的方案是在兩個(gè)驗(yàn)證者相互監(jiān)督的情況下完成對簽名的驗(yàn)證，并且方案能夠同時(shí)保證不可偽造性和不可否認(rèn)性。本文與Gottesman和Chuang提出的量子簽名協(xié)議[1]雖然都是多人驗(yàn)證簽名方案，Gottesman和Chuang的方案在每簽名1-bit的消息時(shí)要產(chǎn)生多個(gè)公鑰的副本并在簽名后被丟棄。而本文的方案，簽名N-bit的消息，只需要制備2N個(gè)三粒子W態(tài)，共享4N比特的密鑰。相比之下，本文的方案效率明顯比Gottesman和Chuang的要高很多，復(fù)雜度也較低。

綜上分析，得到效率比較表如表1所示。

表1 各量子簽名的效率 （%）

相比之下，本文的方案較之前所提出的一些量子簽名方案，協(xié)議的效率和安全性都有所提高。

6 結(jié)束語

[1]Gottesman D，Chuang I.Quantum digital signatures[EB/OL]. [2014-01-04].http：//arxiv.org/abs/quant-ph/0105032.

[2]Zeng G H，Christoph K.Arbitrated quantum-signature scheme[J].Physical Review A，2002，65（4）：1-6.

[3]Lee H，Hong C，Kim H，et al.Arbitrated quantum signature scheme with message recovery[J].Physics Letters A，2004，321（5）：295-300.

[4]Lu X，F(xiàn)eng D G.Quantum digital signature based on quantum one-way functions[EB/OL].[2014-01-04].http：//arxiv. org/abs/quant-ph/0403046.

[5]王劍，張權(quán)，唐朝京.針對經(jīng)典消息的高效量子簽名協(xié)議[J].通信學(xué)報(bào)，2007，28（1）：64-68.

[6]Li Q，Chan W H，Long D Y.Arbitrated quantum signature scheme using Bell states[J].Physical Review A，2009，79（5）：1-4.

[7]Zou X F，Qiu D W.Security analysis and improvements of arbitrated quantum signature schemes[J].Physical Review A，2010，82（4）：1-10.

[8]李偉，范明鈺，王光衛(wèi).基于糾纏交換的仲裁量子簽名方案[J].物理學(xué)報(bào)，2011，60（8）：1-7.

[9]Wen X J，Liu Y，Sun Y.Quantum multi-signature protocol based on teleportation[J].Zeitschrift fur Naturforschung A，2007，62（3/4）：147-151.

[10]溫曉軍，劉云.一種可實(shí)現(xiàn)的量子有序多重?cái)?shù)字簽名方案[J].電子學(xué)報(bào)，2007，35（6）：1079-1083.

[11]楊亞濤，薛霆，李子臣.廣播多重量子數(shù)字簽名方案的設(shè)計(jì)與分析[J].中國科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2011，41（10）：924-927.

[12]Wen X J，Niu X M，Ji L P，et al.A weak blind signature scheme based on quantum cryptography[J].Optics Communications，2009，282（4）：666-669.

[13]溫曉軍，田原，牛夏牧.一種基于秘密共享的量子強(qiáng)盲簽名協(xié)議[J].電子學(xué)報(bào)，2010，38（3）：720-724.

[14]Wang M M，Chen X B，Yang Y X.A blind quantum signature protocol using the GHZ states[J].Science China Physics，Mechanics and Astronomy，2013，56（9）：1636-1641.

[15]常祖領(lǐng)，周景賢，張劼，等.基于EPR態(tài)的量子代理簽名方案[J].計(jì)算機(jī)應(yīng)用研究，2010，27（2）：675-677.

[16]Zhou J X，Zhou Y J，Niu X X，et al.Quantum proxy signature scheme with public verifiability[J].Science China Physics，Mechanics and Astronomy，2011，54（10）：1828-1832.

[17]溫曉軍，蔡學(xué)軍.一種基于量子糾纏態(tài)的群簽名協(xié)議[J].計(jì)算機(jī)應(yīng)用研究，2011，28（9）：3524-3526.

[18]Zhang K J，Song T T，Zuo H J，et al.A secure quantum group signature scheme based on Bell states[J].Physica Scripta，2013，87（4）：1-5.

[19]Xu R，Huang L S，Yang W，et al.Quantum group blind signature scheme without entanglement[J].Optics Communications，2011，284（14）：3654-3658.

[20]陳永志，劉云，溫曉軍.一個(gè)量子代理弱盲簽名方案[J].量子電子學(xué)報(bào)，2011，28（3）：341-349.

[21]Tian Y，Chen H，Ji S，et al.A broadcasting multiple blind signature scheme based on quantum teleportation[EB/OL]. [2014-01-04].http：//link.springer.com/article/10.1007/s11082-013-9785-y.

[22]Cao H J，Wang H S，Li P F.Quantum proxy multi-signature scheme using genuinely entangled six qubits state[J]. International Journal of Theoretical Physics，2013，52（4）：1188-1193.

[23]Zheng S B.Splitting quantum information via W states[J]. Physical Review A，2006，74（5）：1-4.

[24]Bennett C H，Brassard G.Quantum cryptography public key distribution and coin tossing[C]//Proc of IEEE International Conference on Computers，Systems and Signal Processing.India：Banglore Press，1984：175-179.

[25]Tan X Q，Jiang L X.Improved three-party quantum secret sharing based on Bell states[J].International Journal of Theoretical Physics，2013，52（10）：3577-3585.

ZHANG Qiong,TAN Xiaoqing

Department of Mathematics,College of Information Science and Technology,Jinan University,Guangzhou 510632,China

A multi-verifiers signature scheme using W state is proposed.Based on quantum information splitting,the protocol splits the information into two parts and encrypts them by on-time pads and quantum one-way function.Two verifiers verify the signature.The scheme not only satisfies the security requirements of unforgeability and non-repudiation,but also resists the attack strategies of intercept resend attack and entanglement measure attack.The efficiency and the security are both improved compared with other quantum signature schemes.

quantum information splitting;W state;quantum signature;multi-verifiers;decoy states

提出了一種利用W態(tài)實(shí)現(xiàn)的對經(jīng)典信息的多人驗(yàn)證簽名方案。協(xié)議基于量子信息拆分原理，將簽名信息拆分成兩部分，由一次一密算法和量子單向函數(shù)加密簽名信息，兩個(gè)驗(yàn)證人驗(yàn)證簽名。方案滿足經(jīng)典安全性要求的不可偽造性和不可否認(rèn)性，同時(shí)也能夠抵御量子攻擊策略當(dāng)中的截獲重發(fā)攻擊和糾纏附加粒子攻擊，相較其他量子簽名方案，效率和安全性都有所提高。

量子信息拆分；W態(tài)；量子簽名；多驗(yàn)證人；誘騙態(tài)

A

TP309

10.3778/j.issn.1002-8331.1403-0183

ZHANG Qiong,TAN Xiaoqing.Multi-verifiers signature scheme based on quantum information splitting.Computer Engineering and Applications,2014,50（24）：65-69.

國家自然科學(xué)青年基金項(xiàng)目（No.61003258）。

張瓊（1990—），女，碩士研究生，研究領(lǐng)域：密碼編碼學(xué)；譚曉青（1976—），通訊作者，女，博士，副教授，研究領(lǐng)域：密碼編碼學(xué)。E-mail：ttanxq@jnu.edu.cn

2014-03-14

2014-04-29

1002-8331（2014）24-0065-05

CNKI網(wǎng)絡(luò)優(yōu)先出版：2014-07-11，http∶//www.cnki.net/kcms/doi/10.3778/j.issn.1002-8331.1403-0183.html