唐杰 石磊 魏家華 于惠存 薛陽 武天雄

(空軍工程大學信息與導航學院, 西安 710077)

1 引 言

隨著量子信息技術的發(fā)展, 量子密碼也因其無條件安全性引起越來越多的關注. 不同于經(jīng)典密碼, 量子密碼的安全性并非基于解決數(shù)學難題的復雜性, 而是基于量子物理學的基本原理, 從理論上講具有無條件安全性. 量子密碼技術包含很多分支, 如量子密鑰分發(fā), 量子安全直接通信, 量子秘密共享.

在開放式、動態(tài)化的網(wǎng)絡中, 為了滿足網(wǎng)絡中的認證, 臨時會話等需求, 實現(xiàn)保密通信, 在一個公開、不安全的信道中建立會話密鑰, 兩個端節(jié)點之間需要建立一個共享的密鑰來實現(xiàn)基本的安全需求. 基于此, 量子密鑰協(xié)商 (quantum key agreement, QKA)則引起了研究者們廣泛的關注.不同于量子密鑰分配, 量子密鑰協(xié)商是一種雙方或多方共同合作建立共享密鑰的技術. 在協(xié)議中, 每個參與者均不能事先單獨決定共享密鑰, 且他們對于最終生成的密鑰貢獻相同. 在量子保密通信中,需要建立臨時通話, 滿足網(wǎng)絡中的認證等, 而量子密鑰協(xié)商恰恰適應這個要求, 使我們可以安全地在分散型、無管理和動態(tài)網(wǎng)絡結構中建立共享密鑰.因此, 量子密鑰協(xié)商具有重要的研究意義.

自2004年Zhou等[1]利用量子隱形傳態(tài)和最大糾纏態(tài)提出第一個QKA協(xié)議起, 人們陸續(xù)提出了很多QKA協(xié)議[2?8]. 然而, 這些QKA協(xié)議僅僅只涉及兩方, 并不適用于多個參與者. 自Shi和Zhong[9]基于EPR對和糾纏交換將兩方QKA協(xié)議拓展到多方量子密鑰協(xié)商 (multi-party quantum key agreement, MQKA)協(xié)議時, 研究者們也將關注點放在了MQKA協(xié)議中. 隨后 Liu等[10]指出Shi和Zhong提出的MQKA協(xié)議是不安全的, 證明了不誠實的參與者能夠獨自決定共享密鑰, 同時他們提出了一種僅使用單光子進行編碼的MQKA協(xié)議來抵抗參與者內(nèi)部攻擊. 然而, Liu等的協(xié)議效率不是很高. Sun等[11]添加了兩個幺正操作改進了Liu的協(xié)議, 將量子比特效率提高到了1/[N(k+1)]. 同年, Yin 等[12]基于兩粒子糾纏態(tài)提出了三方QKA協(xié)議. 2014年, Xu等[13]基于GHZ(Greenberger-Horne-Zeilinger)提出一個 MQKA協(xié)議, 協(xié)議中的每個參與者僅僅只需執(zhí)行單粒子測量. 后來, Sun等[14,15]利用六粒子簇態(tài)提出兩個MQKA 協(xié)議. 2018 年, Cai等[16]基于五粒子 brown態(tài)和單粒子測量提出一個MQKA協(xié)議. 相比于其他協(xié)議, 此協(xié)議的效率更高, 并且也有著更好的操作靈活性. 2019 年, Lin 等[17]發(fā)現(xiàn) Cai等的協(xié)議不滿足協(xié)議的公平性, 并提出了一個改進的協(xié)議. 同年, Liu等[18]利用四粒子簇態(tài)作為量子源, 并對粒子執(zhí)行X基操作, 提出了一個新的MQKA協(xié)議.效率分析也說明此協(xié)議擁有著較高的效率. 2020年,Zhou等[19]以量子方Charlie, 經(jīng)典方Alice和Bob為參與方提出三方半量子密鑰協(xié)商協(xié)議(semi-QKA). 此協(xié)議能夠減少量子設備的使用, 降低損耗. 隨著對量子密鑰協(xié)商協(xié)議的研究逐漸深入, 為了追求更好的安全性、公平性和高效率, 人們提出了許多MQKA協(xié)議[20?29].

“d維”這個概念在量子密碼的其他協(xié)議中出現(xiàn)過多次, 但在量子密鑰協(xié)商中并未有人做過太多研究. 本文基于d維k粒子GHZ態(tài)提出了一個多方量子密鑰協(xié)商協(xié)議. GHZ態(tài)最早由Greenberger-Horne-Zeilinger三人聯(lián)合提出. 1999年,Bouwmeester等[30]通過實驗對其進行了觀察與分析, 發(fā)現(xiàn)其顯著的作用. 在后來的研究中, GHZ 態(tài)被廣泛應用于多方量子密鑰分發(fā)[31,32]、多方量子秘密共享[33]和多方量子安全直接通信[34]等方向. 本文所提的d維多粒子GHZ態(tài)是二維GHZ態(tài)的衍生, 能夠攜帶更多的信息, 具有更高的信道容量.除此之外, 在我們提出的多方協(xié)議中, 多個參與者是完全對等且公平的, 并利用時移操作將密鑰編碼到量子序列中, 最后通過d維Z基測量得到密鑰.安全性分析表明本方案能夠有效地抵抗內(nèi)部參與者和外部竊聽者的攻擊.

2 基于d維GHZ態(tài)的MQKA協(xié)議

2.1 理論基礎

對于d維量子系統(tǒng)來說,k粒子GHZ態(tài)可表示為

兩組正交基分別表示為

其中QFT是指作用在d維Hilbert空間的離散量子傅里葉變換, 它的作用是把一個單態(tài)轉(zhuǎn)換到一個疊加態(tài). QFT的定義為

接下來, 引入時移操作:

其中t⊕r表示t+r模d. 經(jīng)過驗算, 不難發(fā)現(xiàn),

2.2 提出的MQKA協(xié)議

本節(jié)介紹提出的基于d維k粒子GHZ態(tài)的MQKA 協(xié)議. 假設P0,P1,P2,···,Pk?1是 協(xié) 議的k個參與者, 他們想通過量子信道建立共享密鑰K,每個參與者Pi隨機產(chǎn)生各自的密鑰信息為d=2l+1;n=0,1,···,k?1 ;j=0,1,···,d?1 .協(xié)議的具體步驟如下.

第1步每個參與者Pi準備好m個形式如(1)式的d維k粒子GHZ態(tài), 并將每一個GHZ態(tài)分成k個粒子序列:S0,S1,···,Sk?1, 其中第i個序列Si(i=0,1,···,k?1) 由GHZ態(tài)的第i個粒子組成. 接下來,Pi從(2)式的X基和Z基隨機挑選誘騙態(tài)分別插入到每個序列Si(i=0,1,···,k?1)中得到新的序列(i=0,1,···,k?1) , 并將序列(j=0,1,···,k?1)發(fā)送給其他參與者Pj.

第 2 步在確認Pj接收到序列后,Pi將誘騙態(tài)的位置、采用的測量基及測量結果告知Pj, 雙方進行第一次安全檢查.Pj用相應的測量基測量誘騙態(tài)粒子, 并根據(jù)測量結果對信道進行安全性檢查, 若測量結果的錯誤率超過約定的閾值, 則認為協(xié)議中存在竊聽者, 終止本次協(xié)議并重新開始; 若沒有超過約定的閾值, 則Pj從序列挑選出誘騙粒子并舍棄, 將其恢復成Sj.

第3步每個參與者Pj隨機挑選一組序列并對序列Sj的第t個粒子進行如(4)式所示的時移操作得到新的粒子序列隨機挑選誘騙態(tài)插入到序列中得到新的序列, 并將其返還給Pi.

第4步在確認Pi收到序列后, 雙方進行第二次安全性檢查, 檢查過程與第2步類似. 若測量結果的錯誤率超過約定的閾值, 則認為協(xié)議中存在竊聽者, 終止本次協(xié)議并重新開始; 若沒有超過約定的閾值,Pi舍棄其中的誘騙態(tài)恢復序列. 接下來,Pi用Z基測量序列中的每個粒子并得到Pj隨機挑選的序列rj的值.

第5步Pj將其密鑰加密為其中加密規(guī)則為隨后,Pj通過認證信道將其發(fā)送給Pi.

第6步Pi通過序列rj的值和Pj發(fā)送過來的, 計算得到每個參與者Pj的密鑰Kj, 并計算出最終共享密鑰K=K0⊕K1⊕···⊕Kk?1.

2.3 MQKA協(xié)議的一個例子

在本節(jié)中, 將給出上述協(xié)議的一個特例. 為了方便講解, 在例子中并不考慮兩次安全檢查. 首先,令k=3 ,l=3 ,d=2l+1=7 . 其次, 假設 3 個參與者P0,P1,P2的密鑰分別為K0=(1,3,2,2,3,1,2) ,K1=(3,1,2,1,1,3,2),K2=(2,3,2,2,1,3,1) , 以P0為例.

第1步P0準備好m個7維三粒子GHZ態(tài)并將其分成 3 個粒子序列:S0,S1,S2. 隨后,P0將S0留在手中, 將S1發(fā)送給P1, 將S2發(fā)送給P2.

第 2步P1,P2分別隨機挑選一組序列r1=(1,3,5,3,4,2,3),r2=(3,6,2,3,1,4,5) , 并 分別對其持有的粒子序列S1,S2的第t個粒子執(zhí)行時移操作隨后, 將操作后的粒子序列發(fā)給P0.

第3 步此時,P0擁有的3 粒子GHZ 態(tài)變?yōu)?/p>

P0用Z基測量中的每個粒子并得到序列r1和r2的值.

第4步P1,P2分別將其密鑰K1,K2加密為通過認證信道將其發(fā)送給P0.

第 5 步P0通過序列r1,r2的值和Pj發(fā)送過來的計算得到P1,P2的密鑰K1,K2, 并計算出最終共享密鑰K=K0⊕K1⊕K2= (6, 0,6, 5, 5, 0, 5).

3 安全性分析

QKA協(xié)議主要涉及兩類攻擊: 參與者攻擊和外部攻擊. 其中外部攻擊又可以分為木馬攻擊、截取重發(fā)攻擊. 為了證明這些協(xié)議的安全性, 將根據(jù)這兩種攻擊來討論.

3.1 參與者攻擊

假設參與者P0為不誠實者, 想要獲取其他參與者的密鑰. 首先,P0需要得到序列rj. 然而,rj為Pj隨機選擇的序列, 故P0只能夠通過在協(xié)議的第3步進行截取重發(fā)攻擊獲得粒子序列. 此時, 參與者攻擊可看成外部攻擊, 并且其攻擊將會在協(xié)議的第二次安全檢查中被發(fā)現(xiàn), 造成協(xié)議的失敗. 而在第5步中, 其傳輸是通過認證的量子信道, 故P0不能獲得任何關于rj的信息. 此協(xié)議可以抵抗內(nèi)部參與者攻擊.

3.2 外部攻擊

假設Eve是外部攻擊者, 她需要竊聽rj和的信息來獲得共享密鑰. 可能的主要攻擊方法有特洛伊木馬攻擊、攔截重發(fā)攻擊和糾纏測量攻擊.

特洛伊木馬攻擊. 由于這個改進的協(xié)議是一個單向的QKA協(xié)議, 所有的粒子序列只在信道中傳輸一次, 特洛伊木馬攻擊者沒有機會從粒子序列中提取出間諜光子. 也就是說, 改進的協(xié)議可以不需要使用任何特定的檢測設備, 從而能夠抵抗兩種類型的攻擊特洛伊木馬攻擊[35,36].

糾纏測量攻擊. 在兩個協(xié)議中, 假設Eve想要利用自己事先準備的輔助光子對QKA協(xié)議進行糾纏測量攻擊, 則她需要對截獲的量子態(tài)執(zhí)行幺正操作UE使之與輔助光子產(chǎn)生糾纏. 以免疫集體退相位噪聲的QKA協(xié)議為例, 結果如下.

其中|a|2+|b|2=1 ,|c|2+d2=1 . Eve 為了避免引入錯誤, 必須滿足

(10)式必須滿足三個條件:a=d=1 ,b=c=0 ,則 (7)式變?yōu)?/p>

從本節(jié)的分析可以得出, 我們的協(xié)議不但能夠抵抗內(nèi)部參與者的攻擊, 還能夠抵抗外部竊聽者的攻擊. 而當內(nèi)部攻擊與外部攻擊同時發(fā)生時, 協(xié)議能夠通過進程及時知曉, 并及時止損, 不造成任何信息的泄露.

4 效率分析

正如Cabello在文獻[37]中所述, QKA協(xié)議的量子比特效率可以定義為其中,c是最終密鑰的長度,q是所用量子比特的數(shù)目,b是用于生成最終密鑰所用經(jīng)典比特的數(shù)目. 在本方案中, 準備了m個d維k粒子GHZ態(tài), 在每次量子序列的傳輸過程中插入d個誘騙粒子. 因此本方案的量子比特效率同時, 我們的協(xié)議與其他多方QKA協(xié)議的比較如表1所列. 相比于其他協(xié)議, 我們的協(xié)議也有著較高的量子比特效率.

表 1 本文協(xié)議和其他協(xié)議比較Table 1. Comparison between our protocols and the other protocols.

5 結 論

本文基于d維k粒子GHZ態(tài)提出了一個多方量子密鑰協(xié)商方案. 通過時移操作將密鑰編碼到序列中, 并以d維Z基測量得到序列中的密鑰, 最后對所有參與者的密鑰進行異或操作建立共享密鑰.安全性分析表明我們的方案能夠有效地抵抗內(nèi)部參與者和外部竊聽者的攻擊. 然而, 我們的協(xié)議提出的前提是基于理想環(huán)境下的量子信道. 在實際應用中, 粒子在有噪量子信道傳輸過程中, 通常會受到噪聲的影響. 因此, 在將來如何使本協(xié)議適應更加復雜的環(huán)境是我們研究的重點.