基于d維GHZ態(tài)的多方量子密鑰協(xié)商*

唐杰 石磊 魏家華 于惠存 薛陽 武天雄

(空軍工程大學(xué)信息與導(dǎo)航學(xué)院, 西安 710077)

1 引 言

隨著量子信息技術(shù)的發(fā)展, 量子密碼也因其無條件安全性引起越來越多的關(guān)注. 不同于經(jīng)典密碼, 量子密碼的安全性并非基于解決數(shù)學(xué)難題的復(fù)雜性, 而是基于量子物理學(xué)的基本原理, 從理論上講具有無條件安全性. 量子密碼技術(shù)包含很多分支, 如量子密鑰分發(fā), 量子安全直接通信, 量子秘密共享.

在開放式、動(dòng)態(tài)化的網(wǎng)絡(luò)中, 為了滿足網(wǎng)絡(luò)中的認(rèn)證, 臨時(shí)會(huì)話等需求, 實(shí)現(xiàn)保密通信, 在一個(gè)公開、不安全的信道中建立會(huì)話密鑰, 兩個(gè)端節(jié)點(diǎn)之間需要建立一個(gè)共享的密鑰來實(shí)現(xiàn)基本的安全需求. 基于此, 量子密鑰協(xié)商 (quantum key agreement, QKA)則引起了研究者們廣泛的關(guān)注.不同于量子密鑰分配, 量子密鑰協(xié)商是一種雙方或多方共同合作建立共享密鑰的技術(shù). 在協(xié)議中, 每個(gè)參與者均不能事先單獨(dú)決定共享密鑰, 且他們對(duì)于最終生成的密鑰貢獻(xiàn)相同. 在量子保密通信中,需要建立臨時(shí)通話, 滿足網(wǎng)絡(luò)中的認(rèn)證等, 而量子密鑰協(xié)商恰恰適應(yīng)這個(gè)要求, 使我們可以安全地在分散型、無管理和動(dòng)態(tài)網(wǎng)絡(luò)結(jié)構(gòu)中建立共享密鑰.因此, 量子密鑰協(xié)商具有重要的研究意義.

自2004年Zhou等[1]利用量子隱形傳態(tài)和最大糾纏態(tài)提出第一個(gè)QKA協(xié)議起, 人們陸續(xù)提出了很多QKA協(xié)議[2?8]. 然而, 這些QKA協(xié)議僅僅只涉及兩方, 并不適用于多個(gè)參與者. 自Shi和Zhong[9]基于EPR對(duì)和糾纏交換將兩方QKA協(xié)議拓展到多方量子密鑰協(xié)商 (multi-party quantum key agreement, MQKA)協(xié)議時(shí), 研究者們也將關(guān)注點(diǎn)放在了MQKA協(xié)議中. 隨后 Liu等[10]指出Shi和Zhong提出的MQKA協(xié)議是不安全的, 證明了不誠實(shí)的參與者能夠獨(dú)自決定共享密鑰, 同時(shí)他們提出了一種僅使用單光子進(jìn)行編碼的MQKA協(xié)議來抵抗參與者內(nèi)部攻擊. 然而, Liu等的協(xié)議效率不是很高. Sun等[11]添加了兩個(gè)幺正操作改進(jìn)了Liu的協(xié)議, 將量子比特效率提高到了1/[N(k+1)]. 同年, Yin 等[12]基于兩粒子糾纏態(tài)提出了三方QKA協(xié)議. 2014年, Xu等[13]基于GHZ(Greenberger-Horne-Zeilinger)提出一個(gè) MQKA協(xié)議, 協(xié)議中的每個(gè)參與者僅僅只需執(zhí)行單粒子測量. 后來, Sun等[14,15]利用六粒子簇態(tài)提出兩個(gè)MQKA 協(xié)議. 2018 年, Cai等[16]基于五粒子 brown態(tài)和單粒子測量提出一個(gè)MQKA協(xié)議. 相比于其他協(xié)議, 此協(xié)議的效率更高, 并且也有著更好的操作靈活性. 2019 年, Lin 等[17]發(fā)現(xiàn) Cai等的協(xié)議不滿足協(xié)議的公平性, 并提出了一個(gè)改進(jìn)的協(xié)議. 同年, Liu等[18]利用四粒子簇態(tài)作為量子源, 并對(duì)粒子執(zhí)行X基操作, 提出了一個(gè)新的MQKA協(xié)議.效率分析也說明此協(xié)議擁有著較高的效率. 2020年,Zhou等[19]以量子方Charlie, 經(jīng)典方Alice和Bob為參與方提出三方半量子密鑰協(xié)商協(xié)議(semi-QKA). 此協(xié)議能夠減少量子設(shè)備的使用, 降低損耗. 隨著對(duì)量子密鑰協(xié)商協(xié)議的研究逐漸深入, 為了追求更好的安全性、公平性和高效率, 人們提出了許多MQKA協(xié)議[20?29].

“d維”這個(gè)概念在量子密碼的其他協(xié)議中出現(xiàn)過多次, 但在量子密鑰協(xié)商中并未有人做過太多研究. 本文基于d維k粒子GHZ態(tài)提出了一個(gè)多方量子密鑰協(xié)商協(xié)議. GHZ態(tài)最早由Greenberger-Horne-Zeilinger三人聯(lián)合提出. 1999年,Bouwmeester等[30]通過實(shí)驗(yàn)對(duì)其進(jìn)行了觀察與分析, 發(fā)現(xiàn)其顯著的作用. 在后來的研究中, GHZ 態(tài)被廣泛應(yīng)用于多方量子密鑰分發(fā)[31,32]、多方量子秘密共享[33]和多方量子安全直接通信[34]等方向. 本文所提的d維多粒子GHZ態(tài)是二維GHZ態(tài)的衍生, 能夠攜帶更多的信息, 具有更高的信道容量.除此之外, 在我們提出的多方協(xié)議中, 多個(gè)參與者是完全對(duì)等且公平的, 并利用時(shí)移操作將密鑰編碼到量子序列中, 最后通過d維Z基測量得到密鑰.安全性分析表明本方案能夠有效地抵抗內(nèi)部參與者和外部竊聽者的攻擊.

2 基于d維GHZ態(tài)的MQKA協(xié)議

2.1 理論基礎(chǔ)

對(duì)于d維量子系統(tǒng)來說,k粒子GHZ態(tài)可表示為

兩組正交基分別表示為

其中QFT是指作用在d維Hilbert空間的離散量子傅里葉變換, 它的作用是把一個(gè)單態(tài)轉(zhuǎn)換到一個(gè)疊加態(tài). QFT的定義為

接下來, 引入時(shí)移操作:

其中t⊕r表示t+r模d. 經(jīng)過驗(yàn)算, 不難發(fā)現(xiàn),

2.2 提出的MQKA協(xié)議

本節(jié)介紹提出的基于d維k粒子GHZ態(tài)的MQKA 協(xié)議. 假設(shè)P0,P1,P2,···,Pk?1是 協(xié) 議的k個(gè)參與者, 他們想通過量子信道建立共享密鑰K,每個(gè)參與者Pi隨機(jī)產(chǎn)生各自的密鑰信息為d=2l+1;n=0,1,···,k?1 ;j=0,1,···,d?1 .協(xié)議的具體步驟如下.

第1步每個(gè)參與者Pi準(zhǔn)備好m個(gè)形式如(1)式的d維k粒子GHZ態(tài), 并將每一個(gè)GHZ態(tài)分成k個(gè)粒子序列:S0,S1,···,Sk?1, 其中第i個(gè)序列Si(i=0,1,···,k?1) 由GHZ態(tài)的第i個(gè)粒子組成. 接下來,Pi從(2)式的X基和Z基隨機(jī)挑選誘騙態(tài)分別插入到每個(gè)序列Si(i=0,1,···,k?1)中得到新的序列(i=0,1,···,k?1) , 并將序列(j=0,1,···,k?1)發(fā)送給其他參與者Pj.

第 2 步在確認(rèn)Pj接收到序列后,Pi將誘騙態(tài)的位置、采用的測量基及測量結(jié)果告知Pj, 雙方進(jìn)行第一次安全檢查.Pj用相應(yīng)的測量基測量誘騙態(tài)粒子, 并根據(jù)測量結(jié)果對(duì)信道進(jìn)行安全性檢查, 若測量結(jié)果的錯(cuò)誤率超過約定的閾值, 則認(rèn)為協(xié)議中存在竊聽者, 終止本次協(xié)議并重新開始; 若沒有超過約定的閾值, 則Pj從序列挑選出誘騙粒子并舍棄, 將其恢復(fù)成Sj.

第3步每個(gè)參與者Pj隨機(jī)挑選一組序列并對(duì)序列Sj的第t個(gè)粒子進(jìn)行如(4)式所示的時(shí)移操作得到新的粒子序列隨機(jī)挑選誘騙態(tài)插入到序列中得到新的序列, 并將其返還給Pi.

第4步在確認(rèn)Pi收到序列后, 雙方進(jìn)行第二次安全性檢查, 檢查過程與第2步類似. 若測量結(jié)果的錯(cuò)誤率超過約定的閾值, 則認(rèn)為協(xié)議中存在竊聽者, 終止本次協(xié)議并重新開始; 若沒有超過約定的閾值,Pi舍棄其中的誘騙態(tài)恢復(fù)序列. 接下來,Pi用Z基測量序列中的每個(gè)粒子并得到Pj隨機(jī)挑選的序列rj的值.

第5步Pj將其密鑰加密為其中加密規(guī)則為隨后,Pj通過認(rèn)證信道將其發(fā)送給Pi.

第6步Pi通過序列rj的值和Pj發(fā)送過來的, 計(jì)算得到每個(gè)參與者Pj的密鑰Kj, 并計(jì)算出最終共享密鑰K=K0⊕K1⊕···⊕Kk?1.

2.3 MQKA協(xié)議的一個(gè)例子

在本節(jié)中, 將給出上述協(xié)議的一個(gè)特例. 為了方便講解, 在例子中并不考慮兩次安全檢查. 首先,令k=3 ,l=3 ,d=2l+1=7 . 其次, 假設(shè) 3 個(gè)參與者P0,P1,P2的密鑰分別為K0=(1,3,2,2,3,1,2) ,K1=(3,1,2,1,1,3,2),K2=(2,3,2,2,1,3,1) , 以P0為例.

第1步P0準(zhǔn)備好m個(gè)7維三粒子GHZ態(tài)并將其分成 3 個(gè)粒子序列:S0,S1,S2. 隨后,P0將S0留在手中, 將S1發(fā)送給P1, 將S2發(fā)送給P2.

第 2步P1,P2分別隨機(jī)挑選一組序列r1=(1,3,5,3,4,2,3),r2=(3,6,2,3,1,4,5) , 并 分別對(duì)其持有的粒子序列S1,S2的第t個(gè)粒子執(zhí)行時(shí)移操作隨后, 將操作后的粒子序列發(fā)給P0.

第3 步此時(shí),P0擁有的3 粒子GHZ 態(tài)變?yōu)?/p>

P0用Z基測量中的每個(gè)粒子并得到序列r1和r2的值.

第4步P1,P2分別將其密鑰K1,K2加密為通過認(rèn)證信道將其發(fā)送給P0.

第 5 步P0通過序列r1,r2的值和Pj發(fā)送過來的計(jì)算得到P1,P2的密鑰K1,K2, 并計(jì)算出最終共享密鑰K=K0⊕K1⊕K2= (6, 0,6, 5, 5, 0, 5).

3 安全性分析

QKA協(xié)議主要涉及兩類攻擊: 參與者攻擊和外部攻擊. 其中外部攻擊又可以分為木馬攻擊、截取重發(fā)攻擊. 為了證明這些協(xié)議的安全性, 將根據(jù)這兩種攻擊來討論.

3.1 參與者攻擊

假設(shè)參與者P0為不誠實(shí)者, 想要獲取其他參與者的密鑰. 首先,P0需要得到序列rj. 然而,rj為Pj隨機(jī)選擇的序列, 故P0只能夠通過在協(xié)議的第3步進(jìn)行截取重發(fā)攻擊獲得粒子序列. 此時(shí), 參與者攻擊可看成外部攻擊, 并且其攻擊將會(huì)在協(xié)議的第二次安全檢查中被發(fā)現(xiàn), 造成協(xié)議的失敗. 而在第5步中, 其傳輸是通過認(rèn)證的量子信道, 故P0不能獲得任何關(guān)于rj的信息. 此協(xié)議可以抵抗內(nèi)部參與者攻擊.

3.2 外部攻擊

假設(shè)Eve是外部攻擊者, 她需要竊聽rj和的信息來獲得共享密鑰. 可能的主要攻擊方法有特洛伊木馬攻擊、攔截重發(fā)攻擊和糾纏測量攻擊.

特洛伊木馬攻擊. 由于這個(gè)改進(jìn)的協(xié)議是一個(gè)單向的QKA協(xié)議, 所有的粒子序列只在信道中傳輸一次, 特洛伊木馬攻擊者沒有機(jī)會(huì)從粒子序列中提取出間諜光子. 也就是說, 改進(jìn)的協(xié)議可以不需要使用任何特定的檢測設(shè)備, 從而能夠抵抗兩種類型的攻擊特洛伊木馬攻擊[35,36].

糾纏測量攻擊. 在兩個(gè)協(xié)議中, 假設(shè)Eve想要利用自己事先準(zhǔn)備的輔助光子對(duì)QKA協(xié)議進(jìn)行糾纏測量攻擊, 則她需要對(duì)截獲的量子態(tài)執(zhí)行幺正操作UE使之與輔助光子產(chǎn)生糾纏. 以免疫集體退相位噪聲的QKA協(xié)議為例, 結(jié)果如下.

其中|a|2+|b|2=1 ,|c|2+d2=1 . Eve 為了避免引入錯(cuò)誤, 必須滿足

(10)式必須滿足三個(gè)條件:a=d=1 ,b=c=0 ,則 (7)式變?yōu)?/p>

從本節(jié)的分析可以得出, 我們的協(xié)議不但能夠抵抗內(nèi)部參與者的攻擊, 還能夠抵抗外部竊聽者的攻擊. 而當(dāng)內(nèi)部攻擊與外部攻擊同時(shí)發(fā)生時(shí), 協(xié)議能夠通過進(jìn)程及時(shí)知曉, 并及時(shí)止損, 不造成任何信息的泄露.

4 效率分析

正如Cabello在文獻(xiàn)[37]中所述, QKA協(xié)議的量子比特效率可以定義為其中,c是最終密鑰的長度,q是所用量子比特的數(shù)目,b是用于生成最終密鑰所用經(jīng)典比特的數(shù)目. 在本方案中, 準(zhǔn)備了m個(gè)d維k粒子GHZ態(tài), 在每次量子序列的傳輸過程中插入d個(gè)誘騙粒子. 因此本方案的量子比特效率同時(shí), 我們的協(xié)議與其他多方QKA協(xié)議的比較如表1所列. 相比于其他協(xié)議, 我們的協(xié)議也有著較高的量子比特效率.

表 1 本文協(xié)議和其他協(xié)議比較Table 1. Comparison between our protocols and the other protocols.

5 結(jié) 論

本文基于d維k粒子GHZ態(tài)提出了一個(gè)多方量子密鑰協(xié)商方案. 通過時(shí)移操作將密鑰編碼到序列中, 并以d維Z基測量得到序列中的密鑰, 最后對(duì)所有參與者的密鑰進(jìn)行異或操作建立共享密鑰.安全性分析表明我們的方案能夠有效地抵抗內(nèi)部參與者和外部竊聽者的攻擊. 然而, 我們的協(xié)議提出的前提是基于理想環(huán)境下的量子信道. 在實(shí)際應(yīng)用中, 粒子在有噪量子信道傳輸過程中, 通常會(huì)受到噪聲的影響. 因此, 在將來如何使本協(xié)議適應(yīng)更加復(fù)雜的環(huán)境是我們研究的重點(diǎn).