許盛偉，康 婕*

（1.北京電子科技學(xué)院，北京 100070；2.西安電子科技大學(xué)通信工程學(xué)院，西安 710071）

0 引言

經(jīng)典密碼學(xué)是基于數(shù)學(xué)復(fù)雜性而構(gòu)建的，量子計(jì)算機(jī)的提出，使得計(jì)算能力大大增強(qiáng)，這對(duì)經(jīng)典密碼學(xué)構(gòu)成了很大威脅?；诹孔恿W(xué)基本原理構(gòu)建的量子密碼學(xué)，在理論上具有無(wú)條件安全性，因此受到了很大的關(guān)注和研究。量子密鑰協(xié)商（Quantum Key Agreement，QKA）是量子密碼中一個(gè)重要分支，相較于量子密鑰分發(fā)（Quantum Key Distribution，QKD），QKA 中每個(gè)參與者對(duì)最終共享密鑰的貢獻(xiàn)都一樣，這使它對(duì)內(nèi)部參與者攻擊具有免疫能力，因此QKA 協(xié)議具有重要的研究意義。

2004 年，Zhou 等［1］基于量子隱形傳態(tài)，提出了第一個(gè)兩方QKA 協(xié)議；2013 年，Shi 等［2］基于Bell 態(tài)和Bell 測(cè)量，利用糾纏交換技術(shù)提出了第一個(gè)多方量子密鑰協(xié)商（Multiparty Quantum Key Agreement，MQKA）協(xié)議。這兩個(gè)協(xié)議提出之后，更多的QKA 和MQKA 協(xié)議［3-10］相繼被提出。這些協(xié)議大多都基于理想環(huán)境，但在實(shí)際應(yīng)用中，不可避免地會(huì)受到噪聲的影響，因此噪聲信道下的QKA 協(xié)議的設(shè)計(jì)具有重要的研究意義。2014 年，Huang 等［11］基于在集體噪聲信道上共享EPR（Einstein-Podolsky-Rosen paradox）對(duì)的方法，提出的QKA協(xié)議可以不受集體噪聲的影響。此后，一些可抗噪聲的協(xié)議［12-17］被提出，其中，文獻(xiàn)［12-15］都只涉及兩方參與者；2018 年，Liang 等［16］基于邏輯W 態(tài)提出了一個(gè)可抗噪聲的MQKA 協(xié)議，但是該協(xié)議效率較低；同年，Cai 等［17］利用多粒子糾纏態(tài)的特性，首次提出了兩個(gè)可抵抗集體噪聲的MQKA協(xié)議，但是該協(xié)議所需的量子資源多粒子糾纏態(tài)在實(shí)驗(yàn)上難以制備。

為了提出可抗噪聲的高效MQKA 協(xié)議，本文以邏輯單粒子作為量子資源。為了抵抗集體退相位噪聲和集體旋轉(zhuǎn)噪聲，本文分別提出了兩組酉算符，將算符Uab（ab是算符的編碼）作用在邏輯單粒子上，當(dāng)a=0 時(shí)，不改變測(cè)量基；當(dāng)a=1 時(shí)，則會(huì)改變測(cè)量基。利用此性質(zhì)，提出了兩個(gè)分別適用于集體退相位噪聲和集體旋轉(zhuǎn)噪聲的MQKA 協(xié)議。

1 預(yù)備知識(shí)

首先，對(duì)量子密碼協(xié)議用到的基礎(chǔ)知識(shí)進(jìn)行簡(jiǎn)單介紹；其次，介紹集體噪聲以及可抗擊噪聲的邏輯量子比特；最后，針對(duì)可抗集體噪聲的邏輯量子比特，定義了邏輯酉變換，并且介紹了該邏輯酉變換具有的特殊性質(zhì)。

1.1 基礎(chǔ)知識(shí)

1.2 集體噪聲

1.3 邏輯酉變換

表1 酉算符作用在邏輯單粒子上的狀態(tài)轉(zhuǎn)化關(guān)系Tab.1 State transformation relationship of unitary operatoracting on logical single particle

表1 酉算符作用在邏輯單粒子上的狀態(tài)轉(zhuǎn)化關(guān)系Tab.1 State transformation relationship of unitary operatoracting on logical single particle

2 協(xié)議描述

協(xié)議中，邏輯量子態(tài)|0dp＞、|+dp＞和酉操作U00、U10都對(duì)應(yīng)于0，邏輯量子態(tài)|1dp＞、|-dp＞和酉操作U01、U11都對(duì)應(yīng)于1。假設(shè)協(xié)議有N位參與者Pi(i=1，2，…，N)，協(xié)商過(guò)程如下。

2.1 初始化

步驟3 每位參與者Pi從{0dp，1dp，+dp，-dp}中隨機(jī)選出足夠多的誘騙邏輯量子比特，并把它們隨機(jī)插入到邏輯單粒子序列Si→i+1中，得到一個(gè)新的混合序列，然后發(fā)送給他的下一位參與者Pi+1。

2.2 誘騙檢測(cè)

步驟4 所有接收方Pi+1收到混合序列后，通過(guò)經(jīng)典認(rèn)證信道告知Pi，然后Pi公布誘騙粒子的位置與相應(yīng)的制備基（{|0dp＞，|1dp＞}或{|+dp＞，|-dp＞}）。Pi+1則用正確的測(cè)量基去測(cè)量相應(yīng)的誘騙粒子，并將結(jié)果告知Pi。Pi將測(cè)量結(jié)果和誘騙粒子的初始狀態(tài)進(jìn)行對(duì)比，算出錯(cuò)誤率，根據(jù)錯(cuò)誤率的值判斷是否有竊聽(tīng)者存在。如果錯(cuò)誤率低于預(yù)先設(shè)定的閾值，則認(rèn)為沒(méi)有竊聽(tīng)者存在，Pi+1刪除所有的誘騙態(tài)粒子，恢復(fù)邏輯單粒子序列Si→i+1，并繼續(xù)進(jìn)行下一步；否則，認(rèn)為存在竊聽(tīng)者，停止此次協(xié)議并重新開(kāi)始。

2.3 加密和迭代加密

步驟8 重復(fù)上述加密階段，直到所有的參與者Pi制備的初始態(tài)經(jīng)過(guò)N-1 次傳輸?shù)竭_(dá)Pi-1手中，也就是Pi-1得到混合序列之后，并成功通過(guò)誘騙態(tài)檢測(cè)，然后刪除邏輯誘騙粒 子，從而恢 復(fù)單粒 子序列。

2.4 獲得共享密鑰

步驟9 每位參與者Pi恢復(fù)出序列Si+1→i之后，公布這一事實(shí)，在所有參與者Pi都已確認(rèn)收到編碼后的序列之后，所有參與者Pi公 布Bi的 值。參與者Pi根 據(jù)Bi′(i′=1，2，…，n且i′≠i)的值，選擇合適的測(cè)量基對(duì)Si+1→i中的每個(gè)邏輯粒子進(jìn)行測(cè)量，測(cè)量結(jié)果記為。

步驟10 根據(jù)Bi′和Vi的值，每位參與者Pi可以計(jì)算其他N-1 個(gè)參與者密鑰的異或和，進(jìn)一步，可以得到最終的共享密鑰K=Ki⊕Ki+1⊕Ki+2⊕…⊕Ki-1。

3 協(xié)議的正確性

下面以三個(gè)參與者協(xié)商為例，證明協(xié)議的正確性。

假設(shè)A、B、C 三位用戶想要協(xié)商一個(gè)共享密鑰。第一步，A 生成隨機(jī)比特序列K1=01011 和B1=10011，B 隨機(jī)生成K2=10010 和B2=00111，C 隨機(jī)生成K3=10101 和B3=11010。按照步驟2，A 根據(jù)K1和B1，制備的初始態(tài)序列S1→2為|+dp＞|1dp＞|0dp＞|-dp＞|-dp＞。步驟5 中，B 對(duì)序列S1→2執(zhí)行編 碼操作U01?U00?U10?U11?U10，得到新的粒子序列S1→3為|-dp＞|1dp＞|+dp＞|0dp＞|1dp＞。步驟9 中，用戶C 收到他的后一位參與者A 發(fā)來(lái)的經(jīng)過(guò)編碼的邏輯單粒子序列S1→3。

在A、B、C 公布Bi后，用戶C 先根據(jù)B1和B2的值，選擇的測(cè)量基為{|+dp＞，|-dp＞}，{|0dp＞，|1dp＞}，{|+dp＞，|-dp＞}，{|0dp＞，|1dp＞}，{|0dp＞，|1dp＞}，從而得到的測(cè)量結(jié)果V3為11001。最后，C 根據(jù)V3和自己的私鑰K3，得到共享密鑰K=K3⊕V3，即01100。用戶B 和C 制備的初始態(tài)最終傳送到A 和B 手中，由A 和B 來(lái)獲取最終共享密鑰，此協(xié)商過(guò)程見(jiàn)表2，其 中M1表示測(cè)量基{|0dp＞，|1dp＞ }，M2表示測(cè)量基{|+dp＞，|-dp＞}。

表2 三用戶協(xié)議的協(xié)商過(guò)程Tab.2 Negotiation process of three-user protocol

4 安全性分析

4.1 截取重發(fā)攻擊

假設(shè)Eve 是一個(gè)外部竊聽(tīng)者，為了執(zhí)行截取重發(fā)攻擊，他事先從{|0dp＞，|1dp＞，|+dp＞，|-dp＞}中，隨機(jī)選擇一些邏輯單粒子作為自己偽造的粒子序列，記為S′。在協(xié)議協(xié)商的過(guò)程中，Eve 攔截下Pi傳輸Pi+1的邏輯單粒子序列Si→i+1，然后將自己事先偽造好的粒子序列S′發(fā)送給Pi+1。但是，Eve不僅不知道誘騙粒子的位置和初始態(tài)，也不知道序列中每個(gè)邏輯粒子對(duì)應(yīng)的測(cè)量基，所以Eve 偽造的粒子序列S′不可避免地將會(huì)干擾誘騙粒子的狀態(tài)，在竊聽(tīng)檢測(cè)過(guò)程中，Eve 會(huì)被發(fā)現(xiàn)。因此，該協(xié)議在截取重發(fā)攻擊下是安全的。

4.2 糾纏測(cè)量攻擊

糾纏測(cè)量攻擊是一種常見(jiàn)的攻擊策略，攻擊原理是攻擊者Eve 將自己事先準(zhǔn)備好的一個(gè)輔助粒子序列與攔截的粒子序列相結(jié)合形成新的量子系統(tǒng)，然后執(zhí)行酉操作UE使得輔助粒子序列和要傳輸?shù)牧Ｗ有蛄挟a(chǎn)生糾纏關(guān)系，最后再將傳輸粒子重新發(fā)送給接收者，Eve 通過(guò)測(cè)量輔助粒子來(lái)獲取有用信息。

假設(shè)Eve 事先制備了一些相同的邏輯輔助粒子|E＞，在本協(xié)議中，經(jīng)過(guò)傳輸?shù)闹挥羞壿媶瘟孔有蛄?，所以Eve 想要執(zhí)行糾纏測(cè)量攻擊，只能將輔助粒子和邏輯單量子序列相結(jié)合，再執(zhí)行酉操作，該操作可以表示為：

其中：|E00＞，|E01＞，|E10＞，|E11＞，|E′00＞，＞為純態(tài)，為了保證UE為酉操作，則有：||a||2+||b||2+||c||2+||d||2=1，||a′||2+||b′||2+||c′||2+||d′||2=1。UE對(duì)|0dp＞|E＞的操作中，||b||2表示出現(xiàn)的結(jié)果不可變邏輯單粒子的狀態(tài)|0dp＞，即結(jié)果為|01 ＞；得到結(jié)果為|00 ＞、|10 ＞、|11 ＞的概率分別是||a||2、||c||2、||d||2，這些都改變了原狀態(tài)|0dp＞。類似地，UE對(duì)|1dp＞|E＞的操作中，||c′||2表示出現(xiàn)的結(jié)果不可變?cè)瓲顟B(tài)|1dp＞，即得到結(jié)果|10 ＞；得到結(jié)果為|00 ＞、|01 ＞、|11 ＞的概率分別是||a′||2、||b′||2、||d′||2，這些都改變了原狀態(tài)。

如果Eve想要順利通過(guò)誘騙檢測(cè)階段，就必須滿足：

所以，如果Eve 在誘騙階段不想被發(fā)現(xiàn)，那么，他將獲取不到有關(guān)共享密鑰的任何信息。否則，Eve 的其他任何操作都將在竊聽(tīng)檢測(cè)階段被監(jiān)測(cè)到，合法參與者將放棄此次協(xié)商協(xié)議重新開(kāi)始，從而避免了Eve 的糾纏測(cè)量攻擊。因此，該協(xié)議可以抵抗糾纏測(cè)量攻擊。

4.3 參與者攻擊

相較于其他攻擊方式，參與者的內(nèi)部攻擊更具威脅性。參與者攻擊是指多個(gè)不誠(chéng)實(shí)的參與者事先自己協(xié)商一個(gè)密鑰，在正式的協(xié)議協(xié)商過(guò)程中，他們相互合作，讓這個(gè)密鑰成為最終的共享密鑰，然而誠(chéng)實(shí)參與者對(duì)共享密鑰沒(méi)有任何貢獻(xiàn)，這樣就失去了密鑰協(xié)商協(xié)議本應(yīng)具有的公平性。

假設(shè)參與者Pi是誠(chéng)實(shí)的，其他參與者Pi+1，Pi+2，…，Pi-1都不誠(chéng)實(shí)，他們想要竊取Pi的私鑰，使最終協(xié)商的密鑰是他們事先約定好的，而沒(méi)有Pi的參與。下面進(jìn)行分析的時(shí)候，為了簡(jiǎn)便不考慮誘騙檢測(cè)過(guò)程。

當(dāng)傳送的粒子序列是Pi制備的序列Si→i+1時(shí)，其他參與者不會(huì)從中獲取任何Pi的私密信息，因?yàn)镾i→i+1是Pi隨機(jī)制備的，其中沒(méi)有Pi的私鑰編碼信息。這一過(guò)程Pi沒(méi)有編碼。

當(dāng)傳送的粒子序列是Pi+1制備的序列Si+1→i+2時(shí)，Pi會(huì)根據(jù)自己的私鑰Ki和隨機(jī)序列Bi對(duì)序列Si+1→i進(jìn)行編碼，但是接下來(lái)發(fā)給Pi+1就已經(jīng)結(jié)束了迭代加密過(guò)程，也就是說(shuō)，與此同時(shí)Pi也收到了自己制備的粒子序列Si→i+1經(jīng)過(guò)一圈編碼之后的結(jié)果，其他參與者來(lái)不及協(xié)商。這一過(guò)程Pi的編碼是最后一個(gè)。

當(dāng)傳送的粒子序列是除了Pi和Pi+1之外的其他參與者Pm(m=1，2，…，N，m≠i，m≠i+1）制備的序列時(shí)，真正和Pi有交流的只有Pi+1和Pi-1。這一過(guò)程中，Pi的編碼處于中間位置。Pi-1制備了序列Si-1→i之后，將Si-1→i發(fā)送給Pi的同時(shí)將序列Si-1→i的狀態(tài)告知Pi+1，在Pi對(duì)Si-1→i進(jìn)行編碼之后得到Si-1→i+1，并將Si-1→i+1發(fā)送給Pi+1。此時(shí)，Pi+1可以直接對(duì)序列Si-1→i+1進(jìn)行測(cè)量，和Si-1→i的狀態(tài)對(duì)比之后，就可以得到參與者Pi的編碼；但是，他不知道Bi的值，也就不知道每個(gè)邏輯單粒子所對(duì)應(yīng)的正確的測(cè)量基，所以他只能隨機(jī)地選擇測(cè)量基Zdp或者Xdp進(jìn)行測(cè)量，這將會(huì)引入錯(cuò)誤，引入錯(cuò)誤的概率是12*12=14。因此，Pi將會(huì)有(1-(34)n)的概率檢測(cè)到不誠(chéng)實(shí)用戶的存在。也就是說(shuō)，在這一過(guò)程中，其他不誠(chéng)實(shí)的參與者不能在完全不被檢測(cè)到的情況下獲得誠(chéng)實(shí)參與者Pi的私鑰。

上面的分析已經(jīng)包含了協(xié)議協(xié)商的所有過(guò)程，所以該協(xié)議可以抵抗內(nèi)部參與者攻擊。

5 效率分析

本協(xié)議中，N位參與者最終協(xié)商了一個(gè)n比特長(zhǎng)的共享密鑰，每位參與者需要制備n個(gè)邏輯單粒子（n個(gè)邏輯量子比特，也就是2n個(gè)物理量子比特）和足夠多的誘騙態(tài)粒子（假設(shè)每次制備n個(gè)邏輯誘騙態(tài)，即2n個(gè)物理量子比特，共制備N次）；除此之外，每位參與者還需要制備n比特長(zhǎng)的經(jīng)典隨機(jī)序列，并公布n比特的經(jīng)典信息。所以，該協(xié)議中每位參與者需要使用2(n+Nn)個(gè)物理量子比特信息和2n比特的經(jīng)典信息。因此，協(xié)議的量子比特效率為：。表3 中，將本文所提出的MQKA 協(xié)議和已有的協(xié)議進(jìn)行比較，可以看出，在可抗噪聲的MQKA 協(xié)議中，和文獻(xiàn)［16-17］相比，本協(xié)議有較高的量子比特效率；而且相較于文獻(xiàn)［16-17］用到的邏輯W 態(tài)和多粒子糾纏態(tài)，本協(xié)議的邏輯單粒子制備更容易。

表3 多種可抗噪聲協(xié)議的效率比較Tab.3 Efficiency comparison of several anti-noise protocols

6 結(jié)語(yǔ)

本文針對(duì)集體退相位噪聲和集體旋轉(zhuǎn)噪聲，分別設(shè)計(jì)了兩組酉算符，使得每組酉算符作用在相應(yīng)的邏輯單粒子上時(shí)，狀態(tài)的改變會(huì)有改變測(cè)量基或者不改變測(cè)量基兩種情況，這就使最終測(cè)量時(shí)需要確定正確的測(cè)量基，利用這一性質(zhì)提出了一種多方量子密鑰協(xié)商協(xié)議。

類比于Pauli 算子對(duì)單粒子的作用，針對(duì)邏輯單粒子，定義了相應(yīng)的邏輯酉變換，將邏輯單粒子作為量子資源，相較于文獻(xiàn)［16］的邏輯W 態(tài)和文獻(xiàn)［17］的多粒子糾纏態(tài)，減少了對(duì)量子資源的消耗。測(cè)量基是否發(fā)生改變和所選取的邏輯門有關(guān)，這一性質(zhì)可有效抵抗內(nèi)部參與者攻擊：假設(shè)不誠(chéng)實(shí)的參與者相互合作竊取了誠(chéng)實(shí)參與者編碼前后的粒子，他們不知道誠(chéng)實(shí)參與者私鑰加密后測(cè)量基是否變換，因此無(wú)法選擇正確的測(cè)量基，就不能竊取誠(chéng)實(shí)參與者的私鑰信息。

最后通過(guò)安全性分析證明本協(xié)議可以有效抵抗包括參與者攻擊在內(nèi)的幾種常見(jiàn)的攻擊；通過(guò)效率分析，證明了本協(xié)議在使用了邏輯單粒子這一容易制備的量子資源的基礎(chǔ)上，具有較高的量子比特效率。和普通的量子密鑰協(xié)商協(xié)議相比，可抗噪聲的量子密鑰協(xié)商協(xié)議效率還是較低，還需要進(jìn)一步研究。