張興蘭，趙怡靜

（北京工業(yè)大學(xué)信息學(xué)部，北京 100124）

0 引言

目前世界上主要國家都在大力開發(fā)研究量子通信領(lǐng)域，其中量子安全通信的研究作為量子密碼研究的一個(gè)熱點(diǎn)，已逐步從理論設(shè)計(jì)進(jìn)入研究應(yīng)用階段。為了推進(jìn)量子安全通信的具體實(shí)現(xiàn)，目前對于量子安全通信的具體研究已經(jīng)細(xì)化到通信的各個(gè)階段，以追求更高的安全性和可實(shí)現(xiàn)性。其中量子身份認(rèn)證是量子通信的重要步驟和前提，量子通信雖然可看作一種安全的通信方式，但是在量子信息交互中還是難以避免各種攻擊，為了得到更加高效安全的量子通信環(huán)境，本文以量子身份認(rèn)證為研究背景，對經(jīng)典信道中已證明安全性的身份認(rèn)證協(xié)議進(jìn)行總結(jié)和剖析，參考其協(xié)議分配過程，結(jié)合對稱密碼體制、一次一密方法，提出一個(gè)新的量子安全身份認(rèn)證協(xié)議。

首先現(xiàn)有的量子身份認(rèn)證（Quantum Identity Authentication，QIA）協(xié)議都是基于量子密鑰分發(fā)（Quantum Key Distribution，QKD）設(shè)計(jì)的。量子密鑰分發(fā)的研究源于Bennett 等［1］的開創(chuàng)性工作。不同于經(jīng)典密碼學(xué)，量子密碼學(xué)的安全性保障并不來自于數(shù)學(xué)算法的計(jì)算復(fù)雜度，而是建立在量子物理學(xué)的基本定律之上。這些物理定律可以認(rèn)為是永久有效的，也為QKD 提供了獨(dú)特的長期安全性保障。在這種保障的基礎(chǔ)上，現(xiàn)有的量子身份認(rèn)證和量子通信通常選擇制備正交單光子態(tài)或者量子糾纏對進(jìn)行合法身份信息的認(rèn)證。以文獻(xiàn)［2］中的方案為例，基于糾纏態(tài)是利用量子不可克隆性及量子測不準(zhǔn)原理對輸入者個(gè)人信息進(jìn)行某種方式的處理并與系統(tǒng)中預(yù)先存儲(chǔ)的個(gè)人信息進(jìn)行比較。基于單光子則是通過制備許多單個(gè)的處于不同態(tài)的單光子粒子利用測不準(zhǔn)原理對信息進(jìn)行比對測量；相比前者最大優(yōu)勢在于易于實(shí)現(xiàn)、高效，但又不損失安全性。

因此文中協(xié)議的提出是基于單光子的一種更加高效的共享密鑰編碼方式，即由一位編碼確定測量機(jī)的編碼方式，該編碼方式由Hong等［3］在2017年首次提出。在該基礎(chǔ)上，本協(xié)議將進(jìn)一步提高編碼安全性，對具體交互流程和用戶行為給出解釋并進(jìn)行安全性分析。除此之外，本協(xié)議將不僅從理論上實(shí)現(xiàn)兩方通信中的雙向同步身份認(rèn)證，還將涉及多節(jié)點(diǎn)的量子通信網(wǎng)絡(luò)中從兩方協(xié)議擴(kuò)展到三方甚至是多方協(xié)議中的基本原則的提出，提高整個(gè)身份認(rèn)證協(xié)議的實(shí)用價(jià)值，為更加高效全面的量子身份認(rèn)證協(xié)議及通信協(xié)議提供有效思路。

1 理論知識(shí)

1.1 量子一次一密

在量子一次一密出現(xiàn)以前，經(jīng)典密碼學(xué)中在1917 年就出現(xiàn)了實(shí)現(xiàn)一次一密的一次性密碼本（One Time Password，OTP）。后在1949年又從理論上證明了一次性密碼本具有無條件安全性。但經(jīng)典物理中始終不能實(shí)現(xiàn)完全生成隨機(jī)的密鑰，以及不能實(shí)現(xiàn)在公共信道上完全安全地分發(fā)密鑰。而在量子物理中隨著BB84的問世，量子通信已經(jīng)有了安全性保障，安全分發(fā)密鑰的問題得以解決；量子物理產(chǎn)生真正的隨機(jī)數(shù)也使得另一個(gè)在經(jīng)典物理中不能完全實(shí)現(xiàn)的問題迎刃而解。

以潘江游等［4］提出的量子一次一密協(xié)議為代表，該類協(xié)議在量子密鑰分發(fā)為保障的前提下，利用包含隨機(jī)數(shù)的量子單向函數(shù)進(jìn)行加密，同時(shí)與理論上安全的密鑰交換如BB84等相結(jié)合，就出現(xiàn)了技術(shù)先進(jìn)且長期安全可實(shí)現(xiàn)的方案。

1.2 Kerberos身份認(rèn)證協(xié)議

Kerberos 協(xié)議中主要是有3個(gè)角色的存在：訪問服務(wù)的用戶、提供服務(wù)的服務(wù)器（Server）和密鑰分發(fā)中心（Key Distribution Center，KDC）。其中KDC 包含認(rèn)證服務(wù)器（Authentication Server，AS）和票據(jù)授權(quán)服務(wù)器（Ticket Granting Server，TGS）：AS 的作用就是驗(yàn)證用戶身份，驗(yàn)證通過則返還驗(yàn)證通過票據(jù)給用戶；TGS 的作用是通過AS 發(fā)送給用戶的驗(yàn)證通過票據(jù)換取訪問Server端的票據(jù)［5］。

Kerberos 有域內(nèi)身份認(rèn)證和跨域身份認(rèn)證兩種，其中域內(nèi)身份認(rèn)證的主要流程［6］如圖1，詳細(xì)流程描述如下：

1）用戶先向KDC 的AS 發(fā)送身份驗(yàn)證密文，內(nèi)容包括加密的時(shí)間戳、用戶ID網(wǎng)絡(luò)地址、加密類型等內(nèi)容。

2）當(dāng)AS 接收到用戶的請求之后會(huì)解密并根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)驗(yàn)證信息。驗(yàn)證成功后返回給用戶成功票據(jù)（TGT）。

3）2用戶將TGT和時(shí)間戳發(fā)送給KDC中的TGS換取能夠訪問Server的票據(jù)。

4）TGS 收到TGT 和時(shí)間戳之后，首先會(huì)檢查自身可否提供被請求服務(wù)。如果可以，則用解密TGT 驗(yàn)證原始地址是否和TGT 中保存的地址相同。驗(yàn)證成功之后將可訪問Server 的票據(jù)（Server Ticket，ST）發(fā)送給用戶。

5）用戶收到ST后將其一起發(fā)送給Server。

6）Server 通過自己的密碼解密ST，驗(yàn)證正確返回驗(yàn)證成功信息。

圖1 Kerberos協(xié)議身份認(rèn)證過程Fig.1 Identity authentication process of Kerberos protocol

2 身份認(rèn)證

本章主要以通信雙方為Alice 和Bob，可信第三方為Charlie為例，介紹兩方實(shí)現(xiàn)雙向身份認(rèn)證的過程，整個(gè)過程分為準(zhǔn)備階段和認(rèn)證階段。

準(zhǔn)備階段介紹了兩方進(jìn)行身份認(rèn)證通信的前提，包括驗(yàn)證前共享信息和粒子的具體編碼方式，與密碼本序列與量子態(tài)運(yùn)算的匹配規(guī)則。

認(rèn)證階段根據(jù)準(zhǔn)備階段的鋪墊，詳細(xì)介紹身份認(rèn)證雙方各自發(fā)起的行為和涉及到的數(shù)據(jù)，并根據(jù)順序給出具體流程。值得注意的是在認(rèn)證階段中，Alice 和Bob 對彼此的認(rèn)證是同步的。

2.1 準(zhǔn)備階段

根據(jù)經(jīng)典的身份認(rèn)證協(xié)議可知引入可信第三方是可以依賴的一種模式［7］，因此在準(zhǔn)備階段，以Alice要發(fā)起和Bob的信息交互為例，雙方首先要進(jìn)行身份認(rèn)證。Alice 和Bob 共享字符串K和密碼串。

首先Alice需要向可信第三方Charlie發(fā)出一個(gè)請求，該請求中應(yīng)該至少包含Alice 的身份信息和請求建立通信對象信息，由Charlie 檢查Alice 是否為自己登記的合法用戶，若驗(yàn)證Alice 為合法用戶則通過請求并即刻發(fā)送給Alice 量子票據(jù)。票據(jù)上除了時(shí)間戳以外還有通信雙方的加密身份信息，也可以理解為通信用戶的合格信息。

上述Alice 到Charlie 的單向身份認(rèn)證過程可以由現(xiàn)有的量子單向函數(shù)一次一密技術(shù)實(shí)現(xiàn)［8］。由Alice 提供合格票據(jù)換取Bob 方提供身份認(rèn)證服務(wù)的過程，與1.2節(jié)中Kerberos 協(xié)議類同，都是一種換取相應(yīng)服務(wù)前的初步身份認(rèn)證過程，從協(xié)議層面上可以防止非法攻擊者冒充合法用戶干擾整個(gè)通信系統(tǒng)。

當(dāng)Alice 將量子票據(jù)發(fā)送給Bob 后，Bob 將解密量子票據(jù)請求是否合法并選擇同意或拒絕身份認(rèn)證。需要注意的是，當(dāng)雙方用戶合法開始進(jìn)行身份認(rèn)證前，Charlie 將共享字符串并隨機(jī)生成一份密碼串分享至雙方。

2.1.1 共享密碼串

編碼方式：同樣以Alice 和Bob 為例，進(jìn)行身份認(rèn)證。雙方共同握有長度足夠長的密碼串，密碼串中的密碼由0、1 隨機(jī)組成，現(xiàn)規(guī)定密碼串中的0 對應(yīng)Z操作，1 對應(yīng)X操作。具體操作運(yùn)算過程將在協(xié)議認(rèn)證階段舉例說明。

2.1.2 共享字符串

以Alice 和Bob 需要互相認(rèn)證身份為例，第三方隨機(jī)生成字符串K（K1，K2，…，Kn，Ki∈（00，01，10，11）），通過共享字符串K，并將加密后的信息發(fā)送給Alice 和Bob。請求身份認(rèn)證的用戶通過自己的私鑰解密數(shù)據(jù)，由此兩方共同擁有決定測量基的信息組。具體過程如下。

Alice和Bob提前從公共的可信第三方處共享密鑰字符串K（K1，K2，…，Kn），字符串對應(yīng)的單光子量子態(tài)編碼原則如下：

00、01 分享一組測量基，10、11 分享一組測量基。功效字符串為0 則選擇垂直正交基｛|0＞，|1＞｝，否則選擇垂直正交基｛|+＞，|-＞｝，在兩位編碼中由首位信息即可確定測量基。

單光子串Qi對應(yīng)Ki如表1。

表1 共享字符串編碼表Tab.1 Shared string code table

2.2 認(rèn)證階段

在認(rèn)證階段將分別對Alice 和Bob 對彼此的認(rèn)證進(jìn)行描述，考慮到通信過程中存在的誤差，將存在一定的誤碼率，因此存在一個(gè)較低的誤碼率閾值ξ。

2.2.1 Bob認(rèn)證Alice

步驟1 Alice 根據(jù)共享的字符串K制備單光子態(tài)即向量信息Qi，Qi∈（|0＞，|1＞，|+＞，|-＞）。

步驟2 Alice 依次對應(yīng)密碼串對制備的粒子做X或Z操作［8］。當(dāng)密碼串相應(yīng)位為0時(shí)，按照制備先后順序?qū)αＷ舆M(jìn)行Z操作。

當(dāng)密碼串相應(yīng)位為1 時(shí)，按照制備先后順序粒子進(jìn)行X操作。具體操作結(jié)果對應(yīng)表2。

表2 X、Z加密單光子對照表Tab.2 X，Z encrypted single photon comparison table

步驟3 Bob 將接收到的比特信息Qai根據(jù)一次一密密碼本進(jìn)行反向Z或者X操作，當(dāng)密碼本相應(yīng)位為0時(shí)進(jìn)行逆Z操作，當(dāng)密碼本相應(yīng)位為1時(shí)進(jìn)行逆X操作，最終得出Qii。

步驟4 Bob 根據(jù)共享字符串K的功效位選擇合適的測量基F，F(xiàn)∈（｛|0＞，|1＞｝；｛|+＞，|-＞｝），當(dāng)功效位為0 時(shí)選擇測量基｛|0＞，|1＞｝；當(dāng)功效位為1 時(shí)選擇｛|+＞，|-＞｝對Qii進(jìn)行測量，得到結(jié)果。

步驟5 Bob 通過Qii′，根據(jù)以下原則復(fù)原消息字符串K′：若K′=K則進(jìn)行下一步；否則標(biāo)記誤碼，以身份認(rèn)證信息的總信息位為參考，計(jì)算當(dāng)前誤碼率：當(dāng)誤碼率大于ξ，終止通信；若誤碼率仍小于ξ進(jìn)行下一步。其中字符串的復(fù)原原則如下：

2.2.2 Alice認(rèn)證Bob

步驟6 用基本的量子物理得到隨機(jī)數(shù)序列Ri，Bob 根據(jù)Ri對應(yīng)一次一密密碼本內(nèi)單個(gè)數(shù)位，從而選取不同的算子對光子Ui進(jìn)行變換。得到一系列與具有不同表象的光子信息Qbi，Bob將Qbi通過信道傳回給Alice。

步驟7 Bob依次傳輸信息Qbi，緊接著通過公開信道公布隨機(jī)數(shù)Ri-1（1＜i≤n+1）。

步驟8 Alice 接收信息并根據(jù)字符串K選擇合適的測量基對編碼后的單光子進(jìn)行測量。

步驟9 在接收全部信息并測量完成后，Alice 通過對比字符串K的編碼信息Qi，得出選用的幺正運(yùn)算算子組Ui′。算子推演的全部情況參照表3。

表3 量子比特變換與算符對照表Tab.3 Qubit transformation and operator comparison table

步驟10 Alice比較和Bob公開隨機(jī)數(shù)R位的算子Ui：若=Ui繼續(xù)通信。否則標(biāo)記誤碼，以Alice 身份認(rèn)證信息的總信息位為參考，計(jì)算當(dāng)前誤碼率：當(dāng)誤碼率大于ξ，終止通信；若誤碼率仍小于ξ，繼續(xù)通信。

2.3 小結(jié)

由此Alice 與Bob 之間的雙方都得到認(rèn)證，并且能有效降低模擬身份攻擊的成功概率，在第3 章將進(jìn)行具體分析。Alice與Bob量子通信流程如圖2。

圖2 雙向身份認(rèn)證流程Fig.2 Flowchart of two-way identity authentication

3 協(xié)議的安全性分析

在該身份認(rèn)證協(xié)議中，通過第2 章對具體協(xié)議流程的描述，可以發(fā)現(xiàn)Alice 和Bob 的認(rèn)證是雙向且同步進(jìn)行的，可以有效防止身份抵賴行為的發(fā)生，同時(shí)對于竊聽者的檢測根據(jù)實(shí)時(shí)的誤碼率，可以第一時(shí)間檢測出竊聽者。因此在本章中討論竊聽者Eve 為了盜取身份認(rèn)證信息可能采取的攻擊方式有截獲重發(fā)攻擊和替換攻擊［9］。

設(shè)定在認(rèn)證過程中光子數(shù)量為T，單個(gè)光子通過一次檢測的概率為Ps，Eve 竊聽成功通過檢測的概率為Pwin，Eve 竊聽失敗未通過檢測的概率為Plose。

3.1 截獲-重發(fā)攻擊

假設(shè)攻擊者Eve采用截獲重發(fā)攻擊，Eve選取測量基能得到的結(jié)果有且僅有4種：|0＞，|1＞，|+＞，|-＞。而根據(jù)上述流程接收方應(yīng)正確接收到的粒子狀態(tài)有|0＞，|1＞，-|1＞，|+＞，|-＞，-|-＞共6 種，其中|1＞，-|1＞與|-＞，-|-＞分別在正確測量基下會(huì)得到相同的結(jié)果。存在Eve 在截獲過程中選取正確與錯(cuò)誤測量的概率Pser，Psew。

1）在第一輪通信中，假設(shè)Eve攔截發(fā)送者Alice 的單個(gè)光子的過程中，選擇｛|0＞，|1＞｝測量基的概率等于選擇｛|+＞，|-＞｝測量基的概率即：

Pser=Psew=1/2

當(dāng)Eve 選擇了正確測量基時(shí)，在測量結(jié)果正確的情況下通過Bob竊聽檢測的概率為：

Ps=1/2

當(dāng)Eve 選擇了錯(cuò)誤的測量基時(shí)，在測量錯(cuò)誤的前提下，通過Bob竊聽檢測的概率是：

Ps=1/4

在第一輪通信中，竊聽者Eve竊聽成功的概率為：

Pwin1=(3/4)T

2）在第二輪通信中，Eve攔截發(fā)送者Bob的單個(gè)光子過程中，選擇正確測量基的概率等于選擇錯(cuò)誤測量基的概率，即：

Pser=Psew=1/2

當(dāng)Eve 選擇了正確測量基時(shí)，不被Alice 檢測到竊聽的概率為：

Ps=1/2

當(dāng)Eve 選擇了錯(cuò)誤的測量基時(shí)，不被Alice 檢測到竊聽的概率為：

Ps=1/4

在第二輪通信中，竊聽者Eve竊聽成功的概率為：

Pwin2=(3/4)T

因此在截獲-重發(fā)攻擊中，竊聽者Eve 未被檢測到的概率為：

Pwin=(3/4)2T

Alice和Bob雙向通信過程中攻擊者被檢測到的概率為：

Plose=1-Pwin=1-(3/4)2T

當(dāng)T足夠大時(shí)，Plose≈1。

3.2 替換攻擊

替換攻擊是指Eve 在攔截了量子比特后進(jìn)行測量得到結(jié)果，并自己隨機(jī)制備一個(gè)量子比特放回信道，傳輸給合法的接收方。

由于Eve 會(huì)在4 個(gè)量子態(tài)中隨機(jī)制備一個(gè)發(fā)送給Bob，在第一輪通信中單光子通過接收方Bob 檢測的概率為隨機(jī)比特通過兩種測量基的概率：

Ps=1/2

因此在第一輪通信中，Eve通過Bob竊聽檢測的概率為：

Pwin1=(1/2)T

在第二輪檢測中，即Alice 為接收方，單個(gè)光子通過Alice檢驗(yàn)的概率為：

Ps=1/2

因此第二輪通信中，Eve通過Alice竊聽檢測的概率為：

Pwin2=(1/2)T

即雙方身份認(rèn)證身份模擬攻擊過程中攻擊者Eve 攻擊成功未被檢測到的概率為：

Pwin=(1/2)2T

Alice和Bob雙向通信過程中Eve被檢測到的概率為：

Plose=1-Pwin=1-(1/2)2T

當(dāng)T足夠大時(shí)Plose≈1。

4 協(xié)議補(bǔ)充擴(kuò)展

4.1 兩方到三方

基于上述兩方通信在推及三方相互通信時(shí)［10］，遵從以下原則：

1）任意兩方?jīng)]有同時(shí)與同一第三方建立可信通道的前提下，身份認(rèn)證遵從2.1～2.2節(jié)的所有步驟。

2）任意兩方在與同一第三方相互認(rèn)證身份的前提下，可由該第三方充當(dāng)量子基站，此時(shí)有：

①共同第三方分享自己的身份認(rèn)證結(jié)果給需要通信兩方，兩方通過該量子基站進(jìn)行中轉(zhuǎn)通信。

②若兩方請求建立新的通信，則由量子基站生成新的字符串K和密碼本序列，并通過現(xiàn)有可信信道分別傳輸給需要認(rèn)證身份的雙方，后根據(jù)2.2節(jié)中步驟1～10進(jìn)行身份認(rèn)證。

下以需要進(jìn)行身份認(rèn)證的為Alice、Bob 和Charles 為例，補(bǔ)充三方身份認(rèn)證的具體步驟如下：

步驟1 Alice 和Charles 檢驗(yàn)是否有已認(rèn)證過身份的同一第三方Bob。

步驟2 驗(yàn)證結(jié)果為沒有，則通過2.1～2.2節(jié)所有過程進(jìn)行身份認(rèn)證。

步驟3 驗(yàn)證結(jié)果為有，則由Bob此時(shí)為量子基站發(fā)送自己的認(rèn)證結(jié)果R∈（|0＞，|1＞）給Alice 和Charles，|0＞代表認(rèn)證成功，|1＞代表認(rèn)證失敗。

步驟4 在Alice和Charles都接收到為|0＞的信息時(shí)，返回B∈（|+＞，|-＞）給Bob。|+＞代表中繼通信，此時(shí)Alice 和Charles停止身份認(rèn)證程序，通過中繼Bob 通信；|-＞代表建立新的信道。繼續(xù)步驟5。

步驟5 Bob 在收到|-＞后生成新的字符串K和密碼本分別傳輸給Alice和Charles

步驟6 Alice 和Charles 根據(jù)字符串K，進(jìn)行2.2 節(jié)中步驟1～10的身份認(rèn)證過程。

4.2 三方到多方

根據(jù)以上原則和步驟可由三方推及到多方。在推及多方身份認(rèn)證的過程中需補(bǔ)充如下原則：

如發(fā)起身份認(rèn)證的兩方存在多個(gè)已認(rèn)證身份的同一對象，選擇最后建立通信的對象。

該種方法可減少多節(jié)點(diǎn)同時(shí)通信時(shí)外來可信第三方的參與，在通信內(nèi)部具有更好的私密性、安全性和可追溯性。在多方協(xié)議中任何兩方互相認(rèn)證之后，在第三方發(fā)起一個(gè)認(rèn)證并認(rèn)證成功后可以共享自己的認(rèn)證結(jié)果以節(jié)省需多次認(rèn)證耗費(fèi)的時(shí)間，對于多節(jié)點(diǎn)的量子網(wǎng)絡(luò)通信的效率和安全性都有了必要的保障，同時(shí)從另一層面上對每一個(gè)用戶節(jié)點(diǎn)之間的交互都同時(shí)提供了可供選擇的不同認(rèn)證渠道。

5 結(jié)語

本文主要介紹了一種基于單光子的雙方同步身份認(rèn)證協(xié)議，同時(shí)為擴(kuò)展到多方認(rèn)證過程中提供了新的思路。協(xié)議對通信效率的提高具體體現(xiàn)在以下三個(gè)方面：1）比起傳統(tǒng)的量子通信協(xié)議大都采用的BB84協(xié)議內(nèi)編碼方式，協(xié)議中借鑒采納了2017 年Hong 等首次提出的更新的編碼方式，共享密鑰編碼只有一位功效位；2）創(chuàng)新地采用更多層編碼模式，在實(shí)現(xiàn)用戶雙向認(rèn)證時(shí)無需分配新的認(rèn)證信息，只需跟隨編碼進(jìn)行粒子變換；3）在擴(kuò)展到多節(jié)點(diǎn)的量子網(wǎng)絡(luò)身份認(rèn)證方面同時(shí)提供了不同的身份可供選擇以在必要情況下提高多節(jié)點(diǎn)同時(shí)通信時(shí)互相認(rèn)證的效率；同時(shí)，通過密碼本的應(yīng)用和量子票據(jù)的分發(fā)，從整個(gè)協(xié)議的第一階段就提升了認(rèn)證過程中的安全性，防止了用戶身份抵賴行為并有效抵抗竊聽攻擊。