一种新的量子电子合同签署方法

技术领域

本发明属于信息安全技术领域，主要涉及电子合同签署中的安全性保护技术。

背景技术

电子合同签署是合同双方通过网络交换彼此对已达成共识的合同的承诺，电子合 同签署因其特殊性在电子商务中具有重要的应用，从而引起了国内外众多专家学者的广泛 关注^[1]。传统的合同签署，双方同时到场签署同一合同副本，双方对合同的承诺同时产生。 然而，网络环境中的合同签署必然是异步的，因此电子合同签署必须解决公平性问题，即确 保协议结束后，参与双方都获得了对方合同的承诺，或者都没得到对方有用的信息。

目前，人们提出了许多各具特色的电子合同签署技术和方案，有力地促进了电子 商务的迅速发展。这些方案中对合同文件的签名技术的安全性一般基于大数分解或离散对 数等数学难题，但是随着计算机运算速度的不断提高和各种先进算法的提出，尤其是量子 计算机的可能出现，使得目前已有电子合同签署技术的安全性面临着严峻的挑战。因此，基 于量子密码新技术的电子合同签署引起了人们的关注，我国台湾学者Y.H.Chou等最先提出 了量子电子合同签署的概念^[2]，并且基于量子不经意传输的密码思想设计了第一个两方量 子电子合同签署方案。2008年，捷克学者J.Bouda等利用量子防干扰设备给出了一种简单的 两方电子合同签署方案^[3]，但方案在公平性方面存在诚实的参与方无法确定另一方是否也 承诺了合同的问题。最近，葡萄牙学者N.Paunkovic等利用非正交量子态提出了一种乐观公 平电子合同签署方案，与以前的量子电子合同签署方案相比，该方案的安全性同样由量子 物理学基本原理来保证，而且在效率和实验实现上也有一定的优势^[4]。然而，目前的量子电 子合同签署技术需要假定参与双方事先交换对合同文本及相关信息的签名(此时并未对合 同承诺)，其安全性与采用的数字签名技术密切相关。因此，若采用经典数字签名技术，则其 安全性基于数学难题，缺点如前所述，而目前的量子数字签名技术在安全性和实现上还存 在一定的困难和问题^[5]。

[1]陈晓峰,王继林,王育民,无强迫的最优合同签署方案.《电子学报》,2004,32 (3)：404-407

[2]Y.H.Chou,I.M.Tsai,C.M.Ko,etal.Quantumoblivioustransferandfair digitaltransactions.2006IEEEPacificRimInternationalSymposiumon DependableComputing,2006,Riverside,CA,pp.121-128

[3]J.Bouda,P.Mateus,N.Paunkovic,etal.Onthepowerofquantumtamper- proofdevices.InternationalJournalofQuantumInformation,2008,6(2):281-302

[4]N.Paunkovic,J.Bouda,P.Mateus.Fairandoptimisticquantumcontract signing.PhysicalReviewA,2011,84(6):062332

[5]T.Y.Wang,X.Q.Cai,Y.L.Ren,etal.Securityofquantumdigitalsignatures forclassicalmessages.ScientificReports,2015,5(3):9231。

发明内容

本发明的目的给出一种更加安全且易于实现的量子电子合同签署方法，解决目前 量子电子合同签署技术存在的问题和不足之处，为电子合同签署在电子商务中的进一步应 用提供较实用的技术支持。

针对上述目的，本发明采取如下技术方案：一种新的量子电子合同签署方法，其特 征在于：

步骤一、初始化阶段

令A,B分别表示合同签署双方，TTP表示可信第三方；

①TTP制备量子态集和每个量子态和随机处于|0>，|1>，|+ >和|->四种之一，这里并以00，01，10，11分别表示|0〉，|1〉，|+〉，|-〉，并 为所有量子态和所有量子态的经典描述信息指派唯一识别码PIN；

②TTP将量子态集识别码PIN和对的经典描述信息安全发送给A，将量子态集识别码PIN和对的经典描述信息安全发送给B，同时保存信息(C^A,C^B)和识别码PIN；

步骤二、承诺阶段

承诺阶段约定如果参与方同意承诺合同有效，则接下来用同意基Accept-basis测量所 有量子态；否则用拒绝基Reject-basis测量；并且约定Accept-basis指的是：若h_i＝0，用Z ＝{|0〉,|1〉}基测量，若h_i＝1，用X＝{|+〉,|-〉}基测量；Reject-basis指的是：若h_i＝0，用X ＝{|+〉,|-〉}基测量，若h_i＝1，用Z＝{|0〉,|1〉}基测量；

假定A和B对合同C、识别码PIN、时限t和其它约定信息m达成一致，此时并未对合同C承 诺；A和B分别计算h(C,PIN,t,m)＝h₁||h₂||…||h_N，其中，h():()^*→()^N是方案事先约定采用 的无碰撞安全Hash函数，它将任意长度的消息转换为长度为N的比特串；最后A和B根据Hash 值h(C,PIN,t,m)选择相应的测量基分别测量他们的量子态集和并交换彼 此测量结果，不失一般性，假定A首先开始执行承诺协议：

①A选择Accept-basis测量量子态即若h₁＝0，A用Z基测量若h₁＝1，A用X基 测量并分别记测量结果|0>，|1〉，|+〉，|-〉为最后A将测量结果 发送给B；

②若B在t时刻内未收到A发送的测量结果或发现的第一个比特与h₁不相同，则B 立即联系TTP执行仲裁协议；否则，B进一步验证A是否选择了正确的基测量若A选择的 基与量子态一致但则B也立即联系TTP执行仲裁协议；若A选择的基与量子态 不一致或则B用Accept-basis测量并分别记测量结果|0〉，|1〉，|+〉，|- >为最后B将测量结果发送给A；

③若A在t时刻内未收到B发送的测量结果或发现的第一个比特与h₁不相同，则B 立即联系TTP执行仲裁协议；否则，A进一步验证B是否选择了正确的基测量若B选择的 基与量子态一致但则A也立即联系TTP执行仲裁协议；若B选择的基与量子态 不一致或则A用Accept-basis测量并分别记测量结果|0>，|1>，|+>，|-> 为最后A将测量结果发送给B；

重复①-③，直至A最后收到B对的测量结果并判断无误，若无异议，A和B都收 到了彼此对合同C的有效承诺，协议到此结束；否则，若出现一方未在t时刻内收到另一方的 响应或对收到的信息存疑，或事后出现争议，则立即执行仲裁协议；

步骤三、仲裁阶段

TTP根据公开已知的概率分布确定数值不失一般性，假定A联系TTP对 合同承诺进行仲裁，A首先根据自己的偏好确定使合同有效或拒绝合同，如果A想使得合同 有效，A用Accept-basis测量剩下的量子态即若h_i＝0，A选择Z基测量若h_i＝1，A选择X基测量；反之，如果A想拒绝合同，A用Reject-basis测量剩下的量子态 即若h_i＝0，A选择X基测量若h_i＝1，A选择Z基测量A和B分别将各 自的测量结果、合同C、识别码PIN、时限t和其它约定信息m提交给TTP，TTP首先分别验证他 们的测量结果和他们的诉求是否一致，并检查提交的信息是否与其存储的信息(C^A,C^B)相 悖，若发现任何一方欺骗，则只考虑诚实一方的测量结果；具体地：假定表示量子态集 中与Accept-basis一致的个数，假定表示量子态集中与Reject-basis 一致的个数，类似地，表示量子态集中与Accept-basis一致的个数，表示量 子态集中与Reject-basis一致的个数；如果A提交Accept-basis测量结果的个数不 小于同时B提交的Reject-basis测量结果的个数不大于或者B提交Accept- basis测量结果的个数不小于并且A提交的Reject-basis测量结果的个数不大于则TTP判定合同有效；若TTP发现一方，比如B方提供了不正确的结果，同时A方提交了 Accept-basis测量结果的个数不小于则认为合同有效；其它情况均认定合同无效。

本发明有益效果是：

本专利给出了一种新的量子电子合同签署方法，与传统技术方案相比，本专利给出方 案的安全性不再基于大数分解或离散对数等数学难题，提高了方案的安全性。其次，与文献 [4]中的方案相比，新方法不再需要双方事先交换彼此对合同等信息的数字签名，从而使得 本专利技术不再依赖于目前的量子数字签名技术。

具体实施方式

实施例1

假定TTP在初始化阶段发送给A和B的量子态分别为：则同时，令对合同C₁、识别码PIN₁、时限t₁和其它约定信息m₁的哈希值为h(C₁,PIN₁,t₁,m₁)＝h₁||h₂＝0||1。

①A选择Accept-basis测量量子态即用Z基测量，并将测量结果发送给B。

②B在t时刻内收到后，发现的第一个比特和h₁相同，B进一步验证发现 则B用Accept-basis测量即也用Z基测量，并将测量结果发送给 A。

③A在t时刻内收到后，发现的第一个比特和h₁相同，A进一步验证发现 则A接着用Accept-basis测量即用X基测量，此时由于X基和量子态 不匹配，A将分别以0.5的概率测得结果为10或11，不妨设测得结果为10，并将测量 结果发送给B。

④B在t时刻内收到后，发现的第一个比特和h₂相同，B进一步验证发现A 用的测量基和量子态不一致，则B用Accept-basis测量即也用X基测量， 并将测量结果发送给A。

⑤A在t时刻内收到后，发现的第一个比特和h₂相同，A进一步验证发现 则A存储合同C₁、识别码PIN₁、时限t₁、约定信息m₁、协议 到此结束。

在此实例中，A和B均忠实参与合同承诺，最后A得到了B对合同有效的承诺同时B也得到了A对合同的承诺

实施例2

假定TTP在初始化阶段发送给A和B的量子态分别为：则同时，令对合同C₁、识别码PIN₁、时限t₁和其它约定信息m₁的哈希值为h(C₁,PIN₁,t₁,m₁)＝h₁||h₂＝0||1。

①A选择Accept-basis测量量子态即用Z基测量，并将测量结果发送给B。

②假定B未在t时刻内收到则B立即联系TTP进行仲裁。

③TTP根据概率分布确定数值若B想使得合同无效，则B用Reject- basis测量所有量子态即用X基测量(由于测量基与量子态不匹 配，将分别以0.5的概率得到10或11)，用Z基测量并将测量结果或(11,00)提交给TTP。若A也想使得合同无效，则A也用Reject-basis测量所有量子态 即用X基测量(由于测量基与量子态不匹配，将分别以0.5的概 率得到10或11)，用Z基测量并将测量结果或(11,01)提交给 TTP，显然，此时TTP判定合同无效；若A想使得合同有效，则A用Accept-basis测量所有量子 态即用Z基测量用X基测量(由于测量基与量子态不 匹配，将分别以0.5的概率得到10或11)，并将测量结果或(00,11)提交给 TTP。此时虽然A提交Accept-basis测量结果的个数1不小于但 B提交的Reject-basis测量结果的个数1大于因此TTP判定合同无效。

在此实例中，由于未在约定时刻内收到对方的相应，启动了仲裁协议，最后A和B或 者都获得了对方合同的承诺，或者都没得到对方有用的信息。

在上述两实例中，为了简单，我们仅取哈希值的输出长度为2，这样无法保证方案的安 全性。然而，在实际实现时，无碰撞哈希函数的输出长度一般数百位或上千位，可以使得不 诚实方欺骗成功的概率以指数的速度无限接近于0，能够充分保证方案的安全性。