基于EPR態的量子代理簽名方案

摘 要:提出了一種量子代理簽名方案，利用量子力學中Einstein-Podolsky-Rosen(EPR)的糾纏特性并結合經典編碼方法來實現對量子比特串的簽名和驗證。在本方案中，原始簽名人可以將自己的簽名權委托給代理簽名人，而量子密鑰分配和一次一密保證了新方案的無條件安全性。研究表明新方案滿足不可偽造性、不可否認性和可追蹤性。

關鍵詞:量子簽名; 代理簽名; 量子密碼; EPR態

中圖分類號:TP309

文獻標志碼:A

文章編號:1001-3695(2010)02-0675-03

doi:10.3969/j.issn.1001-3695.2010.02.075

Quantum proxy signature scheme based on EPR state

CHANG Zu-ling1， ZHOU Jing-xian1， ZHANG Jie2， WEN Qiao-yan2

(1.Dept. of Mathematics， Zhengzhou University， Zhengzhou 450001， China; 2.State Key Laboratory of Networking Switching Technology， Beijing University of Posts Telecommunications， Beijing 100876， China)

Abstract:This paper presented a quantum proxy signature scheme which allowed users to obtain the signature and verify of a quantum bit sequence by using the entanglement characteristic of the EPR state and the way of classical encode. In this new scheme， the original signer could delegate his or her signing rights to proxy signer. Guaranteed the unconditionally security of this scheme by quantum key distribution and one time pad. Results show that this new scheme satisfy non-counterfeit， non-disavowal and traceability.

Key words:quantum signature; proxy signature; quantum cryptography; EPR state

0 引言

Bennett等人[1]于1984年提出了量子密碼的概念，并給出了第一個量子密碼協議——BB84協議。自此之后，量子密碼學成為信息安全領域一個熱門的研究課題，它利用量子力學的原理證明安全地分發秘密，包括量子密鑰分發(QKD)[2，3]、量子安全直接通信(QSDC)[4]、量子秘密共享(QSS)等。

Ekert[5]于1991年提出基于EPR的量子密鑰分配協議(E91)，充分利用了量子系統的糾纏特性，通過糾纏量子系統的非定域性來傳遞量子信息，取代了BB84協議中用來傳遞量子位的量子信道，因而可以更加靈活地實現密鑰分配。由于EPR糾纏對萬備簡單、存儲方便、通信高效等優良特性，近年來對它的研究和應用逐漸深入和廣泛。溫曉軍等人[6]利用EPR粒子的糾纏特性及隱形傳態的特點提出兩種可脫離對第三方依賴的信息簽名協議;閆麗華等人[7]提出了利用兩個EPR態作為量子信道隱形傳遞任意三原子W態的方案。另外，在文獻[8~11]中對糾纏態均有深入的研究。

像經典保密通信一樣，量子保密通信也涉及到了簽名的問題。通信和量子計算機的研究取得了迅速的進展，特別是量子計算機的出現使得對量子比特簽名成為重要的課題。 2001年， Gottesman等人[12]首先提出了基于量子力學的數字簽名協議，具有絕對安全性。隨后， Lu等人[13]和Shoo等人[14]依據量子單向函數分別完成了對一般量子態和已知量子態的簽名和驗證;2001年，Zeng等人[15]提出了一個仲裁量子簽名方案。其中簽名和驗證過程都需要借助一個可信第三方才可以完成。最近，楊宇光等人[16]提出了一種門限代理簽名方案，由于代理簽名組與原始簽名者享用同一個密鑰，這將導致最終生成的簽名是可否認的。

為克服之前相關方案的不足，本文提出了一個新的量子代理簽名方案。該方案使用EPR糾纏離子對作為信息載體，利用了一次一密保證無條件安全性，并且代理簽名只能由代理簽名人生成，具有不可否認性。另外，本方案不需要可信中心存在。

1 預備知識

{|0〉，|1〉}是一組標準正交基，稱其為Z基，簡記為BZ定義:

|+〉=(1/2)(|0〉+|1〉)

|-〉=(1/2)(|0〉-|1〉)

(1)

易知:{|+〉，|-〉}也是一組正交基，稱為X基，簡記為BX。根據式(1)有

|0〉=(1/2)(|+〉+|-〉)

|1〉=(1/2)(|+〉-|-〉)(2)

定義2-量子比特的四個Bell 態如下:

|+〉=(1/2)(|00〉+|11〉)

|-〉=(1/2)(|00〉-|11〉)

|Ψ+〉=(1/2)(|01〉+|10〉)

|Ψ-〉=(1/2)(|01〉-|10〉)(3)

假設EPR對的糾纏態如下:

|Ψ〉=(1/2)(|0A0B〉)+|1A1B〉)=

(1/2)(|+A+B〉+|-A-B〉)

由于EPR對的糾纏特征，當粒子A處于狀態|0〉時，粒子B必定也處于狀態|0〉;而當粒子A處于狀態|1〉時，粒子B也必定處于狀態|1〉，其概率均為50%。在對粒子A和B的測量過程中，若測得粒子A的結果是|0〉(或|1〉)態，即使沒有測量粒子B也可以斷定其狀態必定為|0〉(或|1〉)，而不管兩個粒子相距多遠。但是一旦這個量子系統被測量，兩粒子間的糾纏性將不復存在。

2 量子代理簽名方案

方案的參與方有三方，即原始簽名人Alice、代理簽名人Bob和簽名驗證人Charlie。方案主要由以下四個階段組成:初始化階段、代理生成階段、代理簽名生成階段和驗證階段。

在初始化階段，參與方之間各自相互生成共享密鑰，并由Bob生成EPR糾纏對備用。對每一次簽名，由原始簽名人Alice生成代理委托證書w，并根據代理委托證書w對收到的粒子進行測量，將測量結果加密后發送給驗證人Charlie。在簽名階段，代理簽名人Bob根據消息m，對自己的粒子進行測量，同樣將測量結果加密后發送給Charlie。最后，驗證人Charlie 解密收到的結果，根據相應的驗證式驗證簽名是否有效。本文方案的詳細描述的直觀過程如圖1所示。

2.1 初始化階段

1)密鑰分配 生成2n bit長的密鑰kAB、kAC、kBC。其中kAB、kAC和kBC分別是Alice和Bob、Alice和Charlie及Bob和Charlie之間的密鑰。為確保密鑰的無條件安全性，kAB、kAC和kBC可以通過量子密碼的方法獲得。本方案運用BB84協議來獲取kAB、kAC和kBC，原因是BB84協議簡單而且容易實現。

2)EPR糾纏對的生成 Bob 制備n個EPR糾纏對|Ψ〉={|Ψ1〉，|Ψ2〉，…，|Ψn〉}。每個EPR對中的兩個粒子是糾纏的，在未測量之前兩粒子的狀態不能確定。EPR態有四種可能的量子態。本方案中選取如下的態:

|Ψi〉=(1/2)(|0〉ai|0〉bi+|1〉ai|1〉bi) i=1，2，…，n(4)

其中:ai和bi對應于第i個糾纏對的兩個粒子。

2.2 代理生成階段

1)對于每個EPR糾纏對，Bob發送粒子ai給Alice，自己保留對應的粒子bi。

2)收到ai(i=1，2，…，n)后，Alice首先生成一個包含簽名有效期、原始簽名人和代理簽名人身份信息的委托證書w，并將w轉換為n經典比特的序列{w(1)，w(2)，…，w(n)}。其中w(i)∈{0，1}。然后根據w對ai(i=1，2，…，n)進行測量。測量的方式如下:

若w(i)=0，用基BZ={|0〉，|1〉}對ai進行測量;

若w(i)=1，用基BX={|+〉，|-〉}對ai進行測量。

其中，兩組測量基BZ和BX是非正交的。本方案中，兩組基滿足:〈BZ|BZ〉=1/2。

Alice記錄測量結果作為w′={w′(1)，w′(2)，…，w′(n)}。其中w′(i)∈{|0〉，|1〉，|+〉，|-〉}，這四種量子態{|0〉，|1〉，|+〉，|-〉}可以對應的被編碼成兩位經典比特，例如:

|0〉|→00，|1〉→11，|+〉→10，|-〉→01(5)

最終，得到委托證書w的盲化形式w″={w″(1)，w″(2)，…，w″(n)}(2n bit)

3)Alice用密鑰kAC加密w″得到秘密委托證書W。其中W被定義如下:

W=EkAC{w″(1)，w″(2)，…，w″(n)}(6)

4)Alice發送秘密委托證書W給驗證人Charlie。

2.3 簽名生成階段

假設Alice需要Bob代表自己對消息m進行簽名m={m(1)，m(2)，…，m(n)}。其中:

m(i)∈{0，1};i=1，2，…，n (7)

1)Bob首先根據消息m去測量他的粒子bi(i=1，2，…，n)。若m(i)=0，他用基BZ={|0〉，|1〉}來測量;若m(i)=1，他用基BX={|+〉，|-}測量。Bob記錄測量的結果為

m′={m′(1)，m′(2)，…，m′(n)}

(m′(i)∈{|0〉，|1〉，|+〉，|-〉})

(8)

2)Bob根據式(5)將m′編碼成m″。類似w″，m″也為2n bit序列。

3)Bob用密鑰kBC對m″進行加密得到消息的代理簽名M。其中M被定義如下:

M=EkBC{m″(1)，m″(2)，…，m″(n)}(9)

由于m″和kBC都是2n bit長，可以采用一次一密作為加密算法來保證無條件安全性。

4)Bob發送最終的代理簽名M給驗證人Charlie。

2.4 驗證階段

1)Charlie收到來自Alice的秘密委托證書W，然后用他的密鑰kAC對其解密得到盲化的證書{m″(1)，w″(2)，…，w″(n)}。

2)Charlie根據式(5)去轉換w″來得到原來的委托證書w。

3)Charlie通過委托證書w來核對此次簽名的各項有效信息，如有效時間、參與者的身份等。如有任何一項不符，則簽名停止，宣布此次簽名無效;否則，繼續下面步驟。

4)Charlie收到來自Bob的代理簽名M，然后用他的密鑰kBC對其解密得到m″。

5)Charlie接收M作為消息m有效地代理簽名，當且僅當參數m、w、m″和w″滿足下列關系:

(a)若w(i)=m(i)，則有w″(i)=m″(i);

(b)若w(i)≠m(i)，則有w″(i)=m″(i) 或w″(i)≠m″(i)，否則，他拒絕M。

3 方案分析

3.1 方案的正確性

為了說明方案的正確性，本文給出如下實例:假設Charlie收到Alice發送的秘密證書W，解密的結果w″={w″(1)，w″(2)，w″(3)，w″(4)}={00，10，11，01}。那么由式(5)，可以得到Alice的測量結果w′={|0〉，|+〉，|1〉，|-〉}，進而可以知道Alice的測量基為{BZ，BX，BZ，BX};最終由Alice的測量規則可得到:w={0，1，0，1}。直觀還原過程如表1所示。

表1 盲化證書w″到初始證書w的還原過程

n1

2

3

4

w″00

10

11

01

Alice’s measure result

|0〉|+〉|1〉|-〉

Alice’s measure baseBZBXBZBX

w0101

假定消息m={1，1，0，0}，根據Bob的測量規則及EPR離子對的糾纏性，因為w(2)=m(2)，w(3)=m(3)，可得到m″={R，10，11，R}。其中R為隨機的2 bit序列。

3.2 安全性分析

3.2.1 抗偽造性

假設敵手Eve截取了Bob發送給Alice的粒子，這時他有兩種選擇:

a)自己制備新的n個EPR粒子對，將每個對中的一個粒子發送給Alice。Eve冒充Bob對消息m進行簽名。這種攻擊雖然沒有破壞EPR粒子對的糾纏性，但Eve也肯定不能取得成功，因為他沒有Bob與Charlie的共享密鑰kBC，無法對測量結果進行加密，這樣就很容易被Charlie識破。

b)不制備新的粒子，直接冒充Alice進行接收，并生成對自己有利的委托證書w～，同時根據證書對收到的粒子進行測量。他將面臨同樣的難題:不知道Alice與Charlie的共享密鑰kAC。若Charlie對收到的結果順利解密，并沒有發現異常。那么結果肯定不能通過驗證，因為加解密鑰不對稱必將破壞EPR粒子的糾纏性。

同樣，Charlie也不能偽造證書w或簽名M。

假設簽名驗證者Charlie是不誠實的，并且試圖偽造Alice的委托證書w或Bob的代理簽名M。Charlie知道密鑰kAB和kAC，所以可以達到目的。但當發生糾紛時，Alice和Bob可以各自公布他們對自己粒子的測量結果，對Charlie的偽造行為進行揭露。因為委托證書w和消息m，與他們的測量結果各自惟一對應。另外，在測量時用到的測量基BX和BZ是非正交的，所以本方案可以抵御特洛伊木馬攻擊[17]。

3.2.2 不可否認性

Alice不能否認他對簽名權進行了委托:a)Alice將發送W=EkAC{w″(1)，w″(2)，…，w″(n)}給Charlie，其中用到的密鑰kAC只有Alice和Charlie知道;b)在收到W后Charlie可以對其解密，進而直接恢復出委托證書w，其中包含有Alice的身份信息。所以Alice不可能否認他對簽名權的委托。

同樣，Bob也不可能否認他對消息m的簽名。因為Bob需要發送最終簽名M給Charlie，其中用到的密鑰kBC只有Bob和Alice知道;另外，也可以查看委托證書w，因為Bob的身份信息也被包含在內。

4 結束語

本文基于EPR糾纏態，提出了一個量子代理簽名方案。在新方案中，原始簽名人Alice通過生成委托證書w，并根據w去測量收到的粒子，來實現簽名權的委托。驗證人Charlie能夠恢復出委托證書w，同時根據EPR粒子的糾纏特性驗證Bob的簽名M。

為了防止攻擊者竄改委托證書w或簽名M，本方案使用BB84協議以及一次一密算法來保證方案的無條件安全性。同時，要求使用委托證書來防止不誠實的Alice否認對簽名權的委托，或不誠實的Bob對簽名的否認。本方案具有無條件安全性及較高的通信效率，并且在當前的技術及實驗條件下完全能夠實現。

參考文獻:

[1]BENNETT C H， BRASSARD G. Quantum cryptography public-key distribution and coin tossing[C]//Proc ofIEEE International Confe-rence on Computers， Systems and Signal Processing. India: Bangalore Press，1984:175-179.

[2]BENNETT C H. Quantum cryptography using any two nonorthogonal states[J]. Phys Rev Lett，1992，68(21):3121-3124.

[3]DENG F G，LONG G L. Controlled order rearrangement encryption for quantum key distribution[J]. Phys Rev A，2003，68(4)2315- 1-4.

[4]LUCAMARINI M， MANCINI S. Secure deterministic communication without entanglement[J]. Phys Rev Lett，2005，94(14):140501-1-4.

[5]EKERT A K. Quantum cryptography based on Bell’s theorem[J]. Phys Rev Lett，1991，67(6):661-664.

[6]溫曉軍，劉云，張鵬云.基于EPR粒子對的信息簽名協議[J].大連理工大學學報，2007，47(3):424-428.

[7]閆麗華，高云峰，趙建剛.利用兩個糾纏對隱形傳遞任意三原子W態[J].原子與分子物理學報，2008，25(6):1387-1403.

[8]SUDHEESH C， LAKSHMIBALA S， BALAKRISHNAN V. Dynamics of quantum observables in entangled states[J]. Physics Letters A，2009，373(32):2819-2874.

[9]WANG Shu-mei， MA Hong-yang. Quantum secure communication network on EPR states[C]//Proc of International Conference on Network and Parallel Computing.2008:545-548.

[10]WEN Jia-yan， QIU Dao-wen.Adiabatic quantum evolution for preparation of quantum entanglement states[C]//Proc of the 27thChinese on Control Conference.2008:177-181.

[11]SHI Guo-fang， XI Xiao-qiang， TIAN Xiu-lao， et al. Bidirectional quantum secure commication based on a shared private Bell state[J]. Optics Communications，2009，282(12):2460-2463.

[12]GOTTESMAN D， CHUANG I. Quantum digital signatures[R/OL].(2001). http://arxiv.org/abs/quant-ph/0105032.

[13]LU Xin， FENG Deng-guo. Quantum digital signature based on quantum one-way functions[R/OL].(2003). http://arxiv.org/abs/quant-ph/0403046.

[14]邵博聞，歐海文. 基于量子單向函數的量子門限簽名方案[J].微計算機信息，2007(18):60-62.

[15]曾貴華，馬文平，王新梅，等.基于量子密碼的簽名方案[J].電子學報，2001，29(8):1-3.

[16]楊宇光，溫巧燕.具有門限共享驗證的門限代理量子簽名方案[J].中國科學G輯:物理學 力學 天文學，2008，38(7):834-843.

[17]ZENG G H. Security of quantum cryptography algorithm against Trojan horse attacking[J]. Journal of Software，2004，15(8):1259-1264.

[18]SHOR P W， PRESKILL J. Simple proof of security of the BB84 quantum key distribution protocol[J]. Physical Review Letters，2000，85(2): 441-444.