何業(yè)鋒，狄 曼，龐一博，岳玉茹，李國慶，劉繼祥

(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121)

量子密碼的安全基于海森堡不確定原理[1]和量子不可克隆定理[2]。近年來，隨著量子密碼應(yīng)用的發(fā)展，量子密碼學(xué)引起越來越多的關(guān)注，研究成果層出不窮，包括量子密鑰分發(fā)(quantum key distribution, QKD)[3-4]、量子密鑰協(xié)商(quantum key agreement, QKA)[5]、量子秘密共享(quantum secret sharing, QSS)[6]、量子安全直接通信(quantum secure direct communication, QSDC)[7]、量 子 私 有 比 較(quantum private comparison, QPC)[8]以及量子遠(yuǎn)程態(tài) 準(zhǔn) 備(quantum remote state preparation, QRSP)[9]等。量子密鑰協(xié)商(QKA)是量子密碼學(xué)的一個重要研究方向。它允許所有參與者共同協(xié)商一個會話密鑰，并且每個參與者對生成會話密鑰的貢獻(xiàn)是相同的，即會話密鑰不能由任意一方完全決定。它顯然不同于QKD，因?yàn)镼KD 是由一個參與者決定會話密鑰并將其分發(fā)給其他各方。因此，QKA 在生成會話密鑰方面比QKD 更加公平。

QKA 經(jīng)過了多年的研究發(fā)展，取得了大量研究成果。2004 年，文獻(xiàn)[5]提出了第一個QKA 協(xié)議，其中通信方共同確定會話密鑰。2010 年，文獻(xiàn)[10]提出了一種基于BB84[3]的QKA 協(xié)議，利用延遲測量技術(shù)和雙CNOT 操作，實(shí)現(xiàn)了會話密鑰的公平建立。2013 年，文獻(xiàn)[11]提出了利用EPR 對和糾纏交換技術(shù)將參與者由兩方擴(kuò)展為多方的QKA 協(xié)議。2017 年，文獻(xiàn)[12]提出了兩種不受集體噪聲影響的QKA 協(xié)議，這兩種協(xié)議主要利用邏輯量子態(tài)、多粒子糾纏態(tài)的測量相關(guān)特性和延遲測量技術(shù)，使得協(xié)議的性能得到提升。2020 年，文獻(xiàn)[13]提出了一種三方半量子密鑰協(xié)商協(xié)議，降低了對參與者能力和設(shè)備的要求。2020 年，文獻(xiàn)[14]提出了基于最大三粒子糾纏態(tài)的受控量子密鑰協(xié)商協(xié)議，與之前的兩方和三方QKA 協(xié)議相比較，最大的變化是引入了一個監(jiān)督者來控制協(xié)議過程，以提高協(xié)議的可控性。2021 年，文獻(xiàn)[15]提出了基于類GHz 態(tài)的半誠實(shí)三方互認(rèn)證量子密鑰協(xié)商協(xié)議，利用身份認(rèn)證部分驗(yàn)證用戶身份的真實(shí)性，確保密鑰協(xié)商雙方身份的正確性與可靠性，并且能防止外部攻擊者冒充合法用戶傳遞虛假信息竊取會話密鑰。這與其他QKA 協(xié)議相比，更符合實(shí)際應(yīng)用需求。因此，設(shè)計具有互認(rèn)證功能的QKA協(xié)議有重要意義。

然而已有的互認(rèn)證量子密鑰協(xié)商協(xié)議需要在可信或者半可信第三方的幫助下才能實(shí)現(xiàn)參與者之間的密鑰協(xié)商，因此步驟繁瑣且通信量較大。利用Bell 態(tài)，本文提出了一個無需第三方參與的兩方互認(rèn)證QKA 協(xié)議。在該協(xié)議中，兩個參與方通過對身份信息粒子的制備和測量，來實(shí)現(xiàn)雙方身份的互認(rèn)證；并且利用Bell 態(tài)的糾纏交換關(guān)系和編碼實(shí)現(xiàn)密鑰協(xié)商。新的QKA 協(xié)議被證明是安全的且有較高的量子比特效率。

1 理論知識

4 個Bell 態(tài)構(gòu)成了四維Hilbert 空間的一組正交基，即：

任意兩個Bell 態(tài)糾纏交換后仍然處于一對Bell態(tài)，如：

表1 Bell 態(tài)的糾纏交換[11]

2 兩方互認(rèn)證量子密鑰協(xié)商協(xié)議

當(dāng)Alice 和Bob 想要協(xié)商一個會話密鑰時，他們需要先相互認(rèn)證對方的身份，當(dāng)身份認(rèn)證通過后，Alice 和Bob 再進(jìn)行密鑰協(xié)商。協(xié)議的身份認(rèn)證及密鑰協(xié)商的具體步驟如下。

圖1 量子態(tài)的制備與傳輸

如果Alice 和Bob 計算的錯誤率都低于門限值[16]，則認(rèn)為信道是安全的，Alice 和Bob 可以繼續(xù)進(jìn)行下一步；如果Alice 和Bob 哪一方計算的錯誤率高于門限值，則停止該步驟并重新開始。

5) 當(dāng)兩方的信道都通過了安全檢測后，就對雙方進(jìn)行身份認(rèn)證。

當(dāng)認(rèn)證Alice 身份時，由Alice 公布rA中所有粒子的位置和測量基，而Bob 則對rA中所有粒子進(jìn)行測量。然后Bob 根據(jù)rA的測量結(jié)果和步驟1)，得到相應(yīng)二進(jìn)制序列， 通過比較與RA是否相等，來判斷Alice 的身份是否正確。通過對中的rB粒子執(zhí)行類似操作，來判斷Bob 的身份是否正確。

如果Alice 和Bob 雙方都通過了身份認(rèn)證，則可以繼續(xù)進(jìn)行協(xié)議的下一步，否則終止協(xié)議并重新開始。信道安全性檢測與身份認(rèn)證如圖2 所示。先測量誘騙態(tài)粒子，完成信道安全性檢測后，再測量身份信息粒子，完成身份認(rèn)證。

圖2 信道安全性檢測與身份認(rèn)證

圖3 Bell 態(tài)的測量與密鑰協(xié)商

3 分析與討論

一個好的QKA 協(xié)議應(yīng)該既可以抵抗外部攻擊，也可以抵抗內(nèi)部攻擊。

3.1 外部攻擊

Alice 和Bob 在步驟1)、2)制備序列rA，rB，SA和SB；在步驟3)傳輸序列和；在步驟4)測量序列和中的誘騙態(tài)粒子進(jìn)行信道安全性檢測；在步驟5)對序列和S中 的粒子和進(jìn)行測量完成身份認(rèn)證；在步驟6)～8)完成會話密鑰協(xié)商。通過對協(xié)議的分析知，雙方只在步驟3)進(jìn)行了信息的傳輸，其他步驟只進(jìn)行了量子態(tài)的制備和測量。

針對會話密鑰的攻擊：假設(shè)Eve 想竊取會話密鑰，他只能在雙方通信時，即在步驟3)對序列和執(zhí)行特洛伊木馬攻擊、測量?重發(fā)攻擊、截獲?重發(fā)攻擊或糾纏?測量攻擊。由于序列和在本協(xié)議中僅被傳輸了一次，因此Eve 無法成功實(shí)現(xiàn)兩種特洛伊木馬攻擊[17-19]。若Eve 進(jìn)行測量?重發(fā)攻擊、截獲?重發(fā)攻擊或糾纏?測量攻擊，然而Eve 的操作會影響序列和中誘騙態(tài)粒子的狀態(tài)[12]，從而Alice 和Bob 在步驟4)的信道安全性檢測中就能發(fā)現(xiàn)Eve 的攻擊。

3.2 參與者攻擊

當(dāng)Alice 和Bob 通過了身份認(rèn)證后，他們的身份就是合法的。在后續(xù)密鑰中，雙方交換序列和， 并分別測量序列對(SA1,SB1)和 (SA2,SB2)。由式(2)和表1 給出的糾纏交換關(guān)系可知，Alice和Bob 的測量結(jié)果是在4 種Bell 態(tài)中等概率出現(xiàn)的。即雙方的測量結(jié)果是隨機(jī)的，Alice 和Bob 都不能決定他們的測量結(jié)果。因此，雙方都不能成功執(zhí)行參與者攻擊。

3.3 性能分析

QKA 協(xié)議的量子比特效率公式[20]定義為η=c/(q+b)， 其中，c表示協(xié)商出的會話密鑰的比特數(shù)量，q表 示協(xié)議中用到的量子比特總數(shù)，b表示用于解碼的經(jīng)典信息。

因?yàn)楸疚腝KA 協(xié)議中用到的Bell 態(tài)數(shù)量為4n， 誘騙態(tài)量子比特數(shù)量為 2p，身份認(rèn)證粒子的比特數(shù)量為 2n， 經(jīng)典解碼信息為b=4n+4n=8n，得到的會話密鑰比特數(shù)量為c=4n。所以本文QKA 的量子比特效率為 η=4n/(4n×2+2p+2n+8n)。又因?yàn)樯矸菡J(rèn)證粒子是隨機(jī)插入的，可起部分誘騙態(tài)粒子的作用，所以可令p=n。 當(dāng)p=n時，效率為η=4n/20n=20%。它與已有互認(rèn)證的QKA 協(xié)議的比較可以參見表2。根據(jù)表2 知本文的QKA 協(xié)議在量子比特效率方面也較高。

表2 本文互認(rèn)證的QKA 協(xié)議與已有互認(rèn)證的QKA 協(xié)議的比較

4 結(jié)束語

本文利用Bell 態(tài)提出了一個兩方的互認(rèn)證量子密鑰協(xié)商協(xié)議，它無需第三方的參與就能實(shí)現(xiàn)參與者的身份互認(rèn)證和密鑰協(xié)商，協(xié)議的步驟簡單且只需一次交互的量子通信。 安全性分析證明了這個QKA 協(xié)議可以有效抵抗外部攻擊和內(nèi)部攻擊。與已有的互認(rèn)證QKA 協(xié)議相比較，本文提出的新的互認(rèn)證QKA 協(xié)議不但有較高的量子比特效率，而且僅用到了單粒子測量和Bell 態(tài)測量，在現(xiàn)有技術(shù)的基礎(chǔ)上更易實(shí)現(xiàn)。