基于Bell態的量子隱私查詢與雙向身份認證方案

鄭 濤 張仕斌

(成都信息工程大學 四川 成都 610225)

0 引 言

在過去的三十多年里，隨著計算機技術的快速發展，人們需要各種更加安全和高效的通信與密碼協議。1984年Bennett和Brassard提出了第一個量子密碼協議，即BB84協議[1]，之后出現了大量的量子密碼協議與量子通信協議，其中包括量子密鑰分發協議(QKD)[2-4]，量子直接安全通信協議(QSDC)[5-7]，量子秘密共享協議(QSS)[8-9]，量子隱私查詢協議(QPQ)[10-15]，量子身份認證協議(QIA)[16-17]等。

量子隱私查詢技術需要同時保證用戶查詢內容的隱私性，以及數據庫內容的絕對安全性。對稱隱私信息檢索(Symmetrically private information retrieval，SPIR)[10]是一種有效的QPQ查詢方案，SPIR方案需要滿足如下條件：(1) 用戶可以獲得他已經購買的數據信息，但是數據庫提供商不能得知用戶購買了哪一條數據。(2) 用戶只能獲得自己購買了的數據信息，不能在數據庫中得到額外的信息。2008年，Giovannetti等[11]提出了第一個基于SPIR思想的QPQ協議，即“GLM協議”，該協議需要用到兩個量子態，一個用于數據信息查詢，另外一個用于檢測數據庫廠商是否有不誠實行為。2011年，Olejnik等[12]提出了“O協議”，該只需要一個量子態就能同時完成GLM協議中兩個量子態才能完成的功能。但是以上兩個協議均需要用到較為復雜的Oracle操作，2011年Jakobi等[13]提出了一個不需要使用Oracle操作的QPQ協議，簡稱為“J協議”。受到“J協議”的啟發，2012年高飛等[14]提出了一種靈活的QPQ協議，該協議通過改變量子態的角度系數，提高協議的安全性或者增強查詢效率。2015年，又有學者提出了一種基于QKD的QPQ協議[15]，該協議使得隱私查詢失敗的概率為0。量子身份認證技術主要分為三類：(1) 點對點的量子身份認證方案，2014年Yuan等[16]提出了一種基于單粒子的無糾纏的身份認證協議。(2) 身份認證與量子密鑰傳輸相結合的協議，2017年Ma等[17]提出了一種測量設備無關的量子密鑰分發協議(MDI-QKD)，在完成QKD過程中，同時實現了雙向的量子身份認證。(3) 網絡中的身份認證協議，2014年，張沛等[18]提出了基于量子隱形傳態的無線通信網絡身份認證方案。

本文提出了一種基于Bell態的多功能量子密碼協議，基于非對稱QKD思想，實現了安全有效的QPQ查詢方案。為了提高量子資源利用效率，完成非對稱QKD過程后，本協議又可以完成一個雙向的量子身份認證。

1 準備知識

1.1 量子比特

量子信息使用量子比特的概念，量子比特的狀態|ψ〉的狀態可能是|0〉和|1〉之間的所有狀態：

|ψ〉=α|0〉+β|1〉

式中：θ、φ為實數，對應Bloch球上的一個點。

1.2 量子糾纏與EPR粒子對

量子糾纏描述的是所有微觀糾纏粒子具有的一種物理特性，處于糾纏態的粒子，不管粒子之間的距離多么遠，只要其中一個粒子被測量，另外一個粒子就會自動塌縮到相應的狀態。

EPR粒子對的表現形式如下：

2 協議描述

本節中，步驟(1)-步驟(5)為基于Bell態的非對稱QKD過程，步驟(6)-步驟(7)為量子隱私查詢過程，步驟(8)-步驟(9)為雙向身份認證過程。基于Bell態的非對稱QKD過程如下：

(1) Alice制備了2N個粒子，這些粒子隨機的處于{|00〉，|11〉，|φ+〉，|φ-〉}。Alice將這2N個粒子按下標排列，兩兩一組形成N對粒子對，記為序列S，且S={p1,p2,…,pn}，Alice保存粒子信息后將序列S全部發送給Bob。

(2) Bob對接收的序列S進行竊聽檢測：Bob隨機的從序列S中選取粒子，并隨機地用Z基或Bell基對這些粒子進行測量。接著Bob公布這些粒子的位置信息，并要求Alice公布她在這些位置制備粒子的狀態信息。(如果Bob選擇的測量基與Alice的制備基不同，Bob將不能得到正確的測量結果，反之，他可以得到與Alice相同的粒子狀態信息，得到錯誤結果的測量概率為p=1/2，如果錯誤率高于設置的閥值則協議取消。這樣Bob可以抵御Alice的假信號攻擊，外部攻擊者執行截取/重發攻擊)。

(3) 竊聽檢測完成后，Bob隨機生成一串二進制字符串keyBob∈{0,1}N，如果keyi=0，Bob用Z基測量序列S中的第i位粒子對，如果keyi=1，Bob用Bell基測量序列S中的第i位粒子對。Bob保留字符串key作為他的生密鑰。

(4) 對于每一對粒子對，Bob公布數字“0”或“1”。其中“0”代表他的測量結果在{|00〉，|φ+〉}基中，“1”代表他的測量結果在{|11〉，|φ-〉}基中。注意：如果Bob的測量結果中出現了{|ψ+〉，|ψ-〉}態，說明有外部竊聽者或者Alice有違法行為，此時協議取消。

(5) 對每一個粒子對，Alice根據她制備的粒子信息，以及Bob公布的信息，可以推測Bob手中的部分生密鑰信息。例如：第i位Alice制備的粒子處于|00〉，Bob公布的數字信息為“0”，此時Alice不能推出任何密鑰信息，如果Bob此時公布的數字為“1”，則Alice能推測出Bob選擇了錯誤的測量基，則此時的key=1。這種基于SARNG QKD的思想，為Alice和Bob之間建立一個非對稱的QKD關系，根據以上的分析，此時Bob知道所有生密鑰的值，而Alice只能推測出1/4的生密鑰值。表1顯示了Alice的制備態與Bob的測量基之間的關系。

表1 Alice的制備態與Bob測量基之間的關系

(6) 假定Alice是查詢用戶，Bob是數據庫供應商。通過上面的步驟，Alice與Bob之間建立了一個非對稱的QKD關系。和其他的QPQ協議一致，此時Alice和Bob對共享的生密鑰串執行后處理操作，得到最終的密鑰共享串key。最終的密鑰串必須滿足Alice手中的密鑰值只有一位。如果Alice手中密鑰值不足一位，此時QPQ協議過程取消。

(7) Bob使用一次一密方式(OTP)加密整個數據庫，此時如果Alice手中的密鑰串為第j位的key，她要查詢第i位的數據庫內容，則Alice公布一個轉換值s=j-i。數據庫廠商Bob根據s的值對手中的key執行異或操作，并用產生的新key加密數據庫。此時Alice就能根據手中的密鑰值和s查詢到數據庫對應的內容。

(8) Bob驗證Alice的身份：Alice和Bob完成步驟(5)后，雙方建立了一個非對稱的QKD關系。此時Bob要求Alice公布她手中KeyAlice的值以及對應的位置，Bob查詢他手中對應Alice公布位置的KeyBob值，如果KeyBobtoAlice=KeyAlice，則Bob通過對Alice的身份認證。協議進入步驟(9)，否則協議取消。

(9) Alice驗證Bob的身份：通過了對Alice的身份認證后，Bob把手中的粒子全部發回給Alice。Alice隨機抽取一些粒子進行Z基或Bell基測量，接著Alice公布這些粒子的位置信息，并要求Bob公布她在這些位置制備粒子的狀態信息(類似于步驟(2)，如果Alice選擇的測量基與Bob的制備基不同，則Alice將不能得到正確的測量結果，反之，她可以得到與Bob相同的粒子狀態信息，得到錯誤結果的測量概率為p=1/2，如果錯誤率高于設置的閥值則協議取消。這樣Alice可以抵御Bob的假信號攻擊，外部攻擊者執行截取/重發攻擊)。完成竊聽檢測后，Alice要求Bob公布發回的粒子序列中所有處于Z基的粒子位置，Alice對這些位置的粒子進行Z基測量和對應的密鑰值KeyBob(Z)，她按照步驟(4)中的編碼方式(“0”：|00〉且“1”：|11〉)得到。如果=KeyBob(Z)成立，則Alice通過對Bob的身份認證。注意：此步驟中，Alice也可以要求Bob公布所有處于Bell基的粒子位置，但是Bell基測量相對Z基測量難度更大，為了減小協議的復雜度，此處選擇Z基較為合理。

3 安全性與效率分析

3.1 外部攻擊

對比基于B92的QPQ協議，本協議可以抵御外部攻擊。假設Eve想獲得Alice查詢的秘密信息，由于數據庫廠商Bob使用一次一密(OTP)方式加密數據庫，OTP是已經被嚴格證明為絕對安全的加密方式，因此Eve只有獲得Bob手中的生密鑰值key才能得到相應數據。為了獲取key，Eve需要知道Bob在步驟(3)中對每一對粒子對選擇的測量基。Bob在步驟(4)中公布了一些與key值相關的信息，但是Eve需要得知Alice制備序列S的初始態才能推測出一些有用的key值。為此Eve可以對Alice發送的粒子執行截斷/重發攻擊，然而這種攻擊行為也非常容易被發現：假設Alice在步驟(1)中制備的粒子態為|〉，Eve截獲該粒子并隨機使用Z基或Bell基進行測量，Eve能正確測量的概率為1/2，正確測量時，Eve將不會引起錯誤，根據步驟(2)中Bob將對Alice發來的粒子進行的竊聽檢測方式，Eve將會有1/4的概率被發現。當竊聽粒子數目足夠多時，Eve將會非常容易被通信雙方發現。

3.2 量子隱私查詢過程的安全性分析

3.2.1數據庫安全

假設Alice是非法用戶，她想從數據庫中獲得沒有付費的內容信息，她可以使用“JM攻擊”，“附加粒子糾纏測量攻擊”來獲取數據庫內容。

1) JM攻擊：為了完成JM攻擊，Alice必須滿足兩個條件：

(1) 她持有所有的粒子。

(2) 她必須知道與最終生密鑰串key有關聯的所有粒子的位置。

在步驟(1)中，Alice制備粒子序列S時，她持有所有的粒子，但是不知道這些粒子與最終生密鑰串key的關聯，在步驟(5)中，Bob公布了與最終生密鑰關聯的粒子信息，但是此時粒子并不在Alice手中。如果Alice使用附加粒子糾纏攻擊來輔助完成JM攻擊，例如：在步驟(1)中Alice制備的態為：

(1)

Alice持有粒子1，發送粒子2、3給Bob，根據式(1)，Bob會以相同的概率得到|φ+〉或者|φ-〉。然而步驟(2)中，Bob隨機選擇了粒子位置并隨機選擇測量基對序列S進行測量，因此Alice無法得知Bob選擇了哪種基進行測量，她只能隨機公布一個制備態，只有當Alice公布的制備態與Bob測量得到的粒子態相同,Bob才會通過對Alice的竊聽檢測，簡單推導可知Alice通過檢測的概率為1/4。當竊聽粒子數目足夠多，Alice必然會被發現。因此本協議可以抵御JM攻擊。

2) 附加粒子糾纏測量攻擊：Alice制備了附加粒子|e〉，并對序列S執行U操作：

U?|0e〉=a|0e00〉+b|1e01〉
U?|1e〉=b′|0e10〉+a′|1e11〉

(2)

根據式(2)，|φ+〉經過U操作后有：

|φ〉Eve=U?|φ+〉=

3.2.2用戶安全性分析

目前所有的QPQ協議都不能保證無條件確保用戶的安全性，只能做到當數據庫廠商Bob想非法獲取用戶查詢的數據內容時，他的行為都必然會被用戶Alice察覺。為了獲取Alice的查詢位置，Bob必須獲取Alice制備的粒子序列S的初始狀態信息。根據本協議的描述，在完成QPQ過程中，Bob將不會把粒子序列S發回給Alice，因此他不會有機會對Alice執行假信號攻擊，也無法獲取Alice制備粒子序列S的初始態。因此本協議能更好的加強用戶的安全性。

3.3 雙向身份認證過程的安全性分析

根據本協議對雙向身份認證過程的描述，Bob對Alice的身份認證過程中，如果Alice公布的粒子位置或者密鑰值不真實，KeyBobtoAlice=KeyAlice等式將不成立，因此Alice無法通過Bob的身份認證。考慮Alice對Bob的身份認證過程，由于Bob發回了全部的粒子信息，因此隱藏著附加粒子糾纏攻擊、假信號攻擊等安全隱患。但是Alice在步驟(9)中采用了非對稱QKD過程中步驟(2)的竊聽檢測方式，因此這些安全隱患的分析過程和量子隱私查詢過程的安全性分析內容一致，故不再重復描述。

3.4 效率分析

在本協議中，Alice制備的所有粒子，除了用于竊聽檢測的粒子外，其他粒子都用在了量子隱私數據查詢與量子雙向身份認證過程中。在QPQ過程中，基于SARNG QKD過程，Alice和Bob將會有25%的效率值建立一個對稱的QKD關聯，在雙向身份認證過程中，由于Alice只采用了Z基粒子對Bob進行身份認證，故而身份認證過程中的粒子利用效率為50%，然而為了減少認證協議的復雜度，犧牲部分粒子的利用效率是值得的。

4 結 語

本文基于Bell態粒子，提出了一個多功能的量子密碼協議。通信雙方建立了非對稱QKD關聯后，使用本協議可以更加安全有效地完成量子隱私查詢和雙向的量子身份認證功能。本協議無需使用波長濾波器和PNS設備，且身份認證過程的復雜度較低。由于使用了Bell態粒子，比起基于單光子的QPQ協議，本協議在集體噪聲通道下也有更好的容噪性能。