鄭 濤 張仕斌

(成都信息工程大學(xué) 四川 成都 610225)

0 引 言

在過去的三十多年里，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，人們需要各種更加安全和高效的通信與密碼協(xié)議。1984年Bennett和Brassard提出了第一個量子密碼協(xié)議，即BB84協(xié)議[1]，之后出現(xiàn)了大量的量子密碼協(xié)議與量子通信協(xié)議，其中包括量子密鑰分發(fā)協(xié)議(QKD)[2-4]，量子直接安全通信協(xié)議(QSDC)[5-7]，量子秘密共享協(xié)議(QSS)[8-9]，量子隱私查詢協(xié)議(QPQ)[10-15]，量子身份認(rèn)證協(xié)議(QIA)[16-17]等。

量子隱私查詢技術(shù)需要同時保證用戶查詢內(nèi)容的隱私性，以及數(shù)據(jù)庫內(nèi)容的絕對安全性。對稱隱私信息檢索(Symmetrically private information retrieval，SPIR)[10]是一種有效的QPQ查詢方案，SPIR方案需要滿足如下條件：(1) 用戶可以獲得他已經(jīng)購買的數(shù)據(jù)信息，但是數(shù)據(jù)庫提供商不能得知用戶購買了哪一條數(shù)據(jù)。(2) 用戶只能獲得自己購買了的數(shù)據(jù)信息，不能在數(shù)據(jù)庫中得到額外的信息。2008年，Giovannetti等[11]提出了第一個基于SPIR思想的QPQ協(xié)議，即“GLM協(xié)議”，該協(xié)議需要用到兩個量子態(tài)，一個用于數(shù)據(jù)信息查詢，另外一個用于檢測數(shù)據(jù)庫廠商是否有不誠實(shí)行為。2011年，Olejnik等[12]提出了“O協(xié)議”，該只需要一個量子態(tài)就能同時完成GLM協(xié)議中兩個量子態(tài)才能完成的功能。但是以上兩個協(xié)議均需要用到較為復(fù)雜的Oracle操作，2011年Jakobi等[13]提出了一個不需要使用Oracle操作的QPQ協(xié)議，簡稱為“J協(xié)議”。受到“J協(xié)議”的啟發(fā)，2012年高飛等[14]提出了一種靈活的QPQ協(xié)議，該協(xié)議通過改變量子態(tài)的角度系數(shù)，提高協(xié)議的安全性或者增強(qiáng)查詢效率。2015年，又有學(xué)者提出了一種基于QKD的QPQ協(xié)議[15]，該協(xié)議使得隱私查詢失敗的概率為0。量子身份認(rèn)證技術(shù)主要分為三類：(1) 點(diǎn)對點(diǎn)的量子身份認(rèn)證方案，2014年Yuan等[16]提出了一種基于單粒子的無糾纏的身份認(rèn)證協(xié)議。(2) 身份認(rèn)證與量子密鑰傳輸相結(jié)合的協(xié)議，2017年Ma等[17]提出了一種測量設(shè)備無關(guān)的量子密鑰分發(fā)協(xié)議(MDI-QKD)，在完成QKD過程中，同時實(shí)現(xiàn)了雙向的量子身份認(rèn)證。(3) 網(wǎng)絡(luò)中的身份認(rèn)證協(xié)議，2014年，張沛等[18]提出了基于量子隱形傳態(tài)的無線通信網(wǎng)絡(luò)身份認(rèn)證方案。

本文提出了一種基于Bell態(tài)的多功能量子密碼協(xié)議，基于非對稱QKD思想，實(shí)現(xiàn)了安全有效的QPQ查詢方案。為了提高量子資源利用效率，完成非對稱QKD過程后，本協(xié)議又可以完成一個雙向的量子身份認(rèn)證。

1 準(zhǔn)備知識

1.1 量子比特

量子信息使用量子比特的概念，量子比特的狀態(tài)|ψ〉的狀態(tài)可能是|0〉和|1〉之間的所有狀態(tài)：

|ψ〉=α|0〉+β|1〉

式中：θ、φ為實(shí)數(shù)，對應(yīng)Bloch球上的一個點(diǎn)。

1.2 量子糾纏與EPR粒子對

量子糾纏描述的是所有微觀糾纏粒子具有的一種物理特性，處于糾纏態(tài)的粒子，不管粒子之間的距離多么遠(yuǎn)，只要其中一個粒子被測量，另外一個粒子就會自動塌縮到相應(yīng)的狀態(tài)。

EPR粒子對的表現(xiàn)形式如下：

2 協(xié)議描述

本節(jié)中，步驟(1)-步驟(5)為基于Bell態(tài)的非對稱QKD過程，步驟(6)-步驟(7)為量子隱私查詢過程，步驟(8)-步驟(9)為雙向身份認(rèn)證過程。基于Bell態(tài)的非對稱QKD過程如下：

(1) Alice制備了2N個粒子，這些粒子隨機(jī)的處于{|00〉，|11〉，|φ+〉，|φ-〉}。Alice將這2N個粒子按下標(biāo)排列，兩兩一組形成N對粒子對，記為序列S，且S={p1,p2,…,pn}，Alice保存粒子信息后將序列S全部發(fā)送給Bob。

(2) Bob對接收的序列S進(jìn)行竊聽檢測：Bob隨機(jī)的從序列S中選取粒子，并隨機(jī)地用Z基或Bell基對這些粒子進(jìn)行測量。接著Bob公布這些粒子的位置信息，并要求Alice公布她在這些位置制備粒子的狀態(tài)信息。(如果Bob選擇的測量基與Alice的制備基不同，Bob將不能得到正確的測量結(jié)果，反之，他可以得到與Alice相同的粒子狀態(tài)信息，得到錯誤結(jié)果的測量概率為p=1/2，如果錯誤率高于設(shè)置的閥值則協(xié)議取消。這樣Bob可以抵御Alice的假信號攻擊，外部攻擊者執(zhí)行截取/重發(fā)攻擊)。

(3) 竊聽檢測完成后，Bob隨機(jī)生成一串二進(jìn)制字符串keyBob∈{0,1}N，如果keyi=0，Bob用Z基測量序列S中的第i位粒子對，如果keyi=1，Bob用Bell基測量序列S中的第i位粒子對。Bob保留字符串key作為他的生密鑰。

(4) 對于每一對粒子對，Bob公布數(shù)字“0”或“1”。其中“0”代表他的測量結(jié)果在{|00〉，|φ+〉}基中，“1”代表他的測量結(jié)果在{|11〉，|φ-〉}基中。注意：如果Bob的測量結(jié)果中出現(xiàn)了{(lán)|ψ+〉，|ψ-〉}態(tài)，說明有外部竊聽者或者Alice有違法行為，此時協(xié)議取消。

(5) 對每一個粒子對，Alice根據(jù)她制備的粒子信息，以及Bob公布的信息，可以推測Bob手中的部分生密鑰信息。例如：第i位Alice制備的粒子處于|00〉，Bob公布的數(shù)字信息為“0”，此時Alice不能推出任何密鑰信息，如果Bob此時公布的數(shù)字為“1”，則Alice能推測出Bob選擇了錯誤的測量基，則此時的key=1。這種基于SARNG QKD的思想，為Alice和Bob之間建立一個非對稱的QKD關(guān)系，根據(jù)以上的分析，此時Bob知道所有生密鑰的值，而Alice只能推測出1/4的生密鑰值。表1顯示了Alice的制備態(tài)與Bob的測量基之間的關(guān)系。

表1 Alice的制備態(tài)與Bob測量基之間的關(guān)系

(6) 假定Alice是查詢用戶，Bob是數(shù)據(jù)庫供應(yīng)商。通過上面的步驟，Alice與Bob之間建立了一個非對稱的QKD關(guān)系。和其他的QPQ協(xié)議一致，此時Alice和Bob對共享的生密鑰串執(zhí)行后處理操作，得到最終的密鑰共享串key。最終的密鑰串必須滿足Alice手中的密鑰值只有一位。如果Alice手中密鑰值不足一位，此時QPQ協(xié)議過程取消。

(7) Bob使用一次一密方式(OTP)加密整個數(shù)據(jù)庫，此時如果Alice手中的密鑰串為第j位的key，她要查詢第i位的數(shù)據(jù)庫內(nèi)容，則Alice公布一個轉(zhuǎn)換值s=j-i。數(shù)據(jù)庫廠商Bob根據(jù)s的值對手中的key執(zhí)行異或操作，并用產(chǎn)生的新key加密數(shù)據(jù)庫。此時Alice就能根據(jù)手中的密鑰值和s查詢到數(shù)據(jù)庫對應(yīng)的內(nèi)容。

(8) Bob驗(yàn)證Alice的身份：Alice和Bob完成步驟(5)后，雙方建立了一個非對稱的QKD關(guān)系。此時Bob要求Alice公布她手中KeyAlice的值以及對應(yīng)的位置，Bob查詢他手中對應(yīng)Alice公布位置的KeyBob值，如果KeyBobtoAlice=KeyAlice，則Bob通過對Alice的身份認(rèn)證。協(xié)議進(jìn)入步驟(9)，否則協(xié)議取消。

(9) Alice驗(yàn)證Bob的身份：通過了對Alice的身份認(rèn)證后，Bob把手中的粒子全部發(fā)回給Alice。Alice隨機(jī)抽取一些粒子進(jìn)行Z基或Bell基測量，接著Alice公布這些粒子的位置信息，并要求Bob公布她在這些位置制備粒子的狀態(tài)信息(類似于步驟(2)，如果Alice選擇的測量基與Bob的制備基不同，則Alice將不能得到正確的測量結(jié)果，反之，她可以得到與Bob相同的粒子狀態(tài)信息，得到錯誤結(jié)果的測量概率為p=1/2，如果錯誤率高于設(shè)置的閥值則協(xié)議取消。這樣Alice可以抵御Bob的假信號攻擊，外部攻擊者執(zhí)行截取/重發(fā)攻擊)。完成竊聽檢測后，Alice要求Bob公布發(fā)回的粒子序列中所有處于Z基的粒子位置，Alice對這些位置的粒子進(jìn)行Z基測量和對應(yīng)的密鑰值KeyBob(Z)，她按照步驟(4)中的編碼方式(“0”：|00〉且“1”：|11〉)得到。如果=KeyBob(Z)成立，則Alice通過對Bob的身份認(rèn)證。注意：此步驟中，Alice也可以要求Bob公布所有處于Bell基的粒子位置，但是Bell基測量相對Z基測量難度更大，為了減小協(xié)議的復(fù)雜度，此處選擇Z基較為合理。

3 安全性與效率分析

3.1 外部攻擊

對比基于B92的QPQ協(xié)議，本協(xié)議可以抵御外部攻擊。假設(shè)Eve想獲得Alice查詢的秘密信息，由于數(shù)據(jù)庫廠商Bob使用一次一密(OTP)方式加密數(shù)據(jù)庫，OTP是已經(jīng)被嚴(yán)格證明為絕對安全的加密方式，因此Eve只有獲得Bob手中的生密鑰值key才能得到相應(yīng)數(shù)據(jù)。為了獲取key，Eve需要知道Bob在步驟(3)中對每一對粒子對選擇的測量基。Bob在步驟(4)中公布了一些與key值相關(guān)的信息，但是Eve需要得知Alice制備序列S的初始態(tài)才能推測出一些有用的key值。為此Eve可以對Alice發(fā)送的粒子執(zhí)行截?cái)?重發(fā)攻擊，然而這種攻擊行為也非常容易被發(fā)現(xiàn)：假設(shè)Alice在步驟(1)中制備的粒子態(tài)為|〉，Eve截獲該粒子并隨機(jī)使用Z基或Bell基進(jìn)行測量，Eve能正確測量的概率為1/2，正確測量時，Eve將不會引起錯誤，根據(jù)步驟(2)中Bob將對Alice發(fā)來的粒子進(jìn)行的竊聽檢測方式，Eve將會有1/4的概率被發(fā)現(xiàn)。當(dāng)竊聽粒子數(shù)目足夠多時，Eve將會非常容易被通信雙方發(fā)現(xiàn)。

3.2 量子隱私查詢過程的安全性分析

3.2.1數(shù)據(jù)庫安全

假設(shè)Alice是非法用戶，她想從數(shù)據(jù)庫中獲得沒有付費(fèi)的內(nèi)容信息，她可以使用“JM攻擊”，“附加粒子糾纏測量攻擊”來獲取數(shù)據(jù)庫內(nèi)容。

1) JM攻擊：為了完成JM攻擊，Alice必須滿足兩個條件：

(1) 她持有所有的粒子。

(2) 她必須知道與最終生密鑰串key有關(guān)聯(lián)的所有粒子的位置。

在步驟(1)中，Alice制備粒子序列S時，她持有所有的粒子，但是不知道這些粒子與最終生密鑰串key的關(guān)聯(lián)，在步驟(5)中，Bob公布了與最終生密鑰關(guān)聯(lián)的粒子信息，但是此時粒子并不在Alice手中。如果Alice使用附加粒子糾纏攻擊來輔助完成JM攻擊，例如：在步驟(1)中Alice制備的態(tài)為：

(1)

Alice持有粒子1，發(fā)送粒子2、3給Bob，根據(jù)式(1)，Bob會以相同的概率得到|φ+〉或者|φ-〉。然而步驟(2)中，Bob隨機(jī)選擇了粒子位置并隨機(jī)選擇測量基對序列S進(jìn)行測量，因此Alice無法得知Bob選擇了哪種基進(jìn)行測量，她只能隨機(jī)公布一個制備態(tài)，只有當(dāng)Alice公布的制備態(tài)與Bob測量得到的粒子態(tài)相同,Bob才會通過對Alice的竊聽檢測，簡單推導(dǎo)可知Alice通過檢測的概率為1/4。當(dāng)竊聽粒子數(shù)目足夠多，Alice必然會被發(fā)現(xiàn)。因此本協(xié)議可以抵御JM攻擊。

2) 附加粒子糾纏測量攻擊：Alice制備了附加粒子|e〉，并對序列S執(zhí)行U操作：

U?|0e〉=a|0e00〉+b|1e01〉
U?|1e〉=b′|0e10〉+a′|1e11〉

(2)

根據(jù)式(2)，|φ+〉經(jīng)過U操作后有：

|φ〉Eve=U?|φ+〉=

3.2.2用戶安全性分析

目前所有的QPQ協(xié)議都不能保證無條件確保用戶的安全性，只能做到當(dāng)數(shù)據(jù)庫廠商Bob想非法獲取用戶查詢的數(shù)據(jù)內(nèi)容時，他的行為都必然會被用戶Alice察覺。為了獲取Alice的查詢位置，Bob必須獲取Alice制備的粒子序列S的初始狀態(tài)信息。根據(jù)本協(xié)議的描述，在完成QPQ過程中，Bob將不會把粒子序列S發(fā)回給Alice，因此他不會有機(jī)會對Alice執(zhí)行假信號攻擊，也無法獲取Alice制備粒子序列S的初始態(tài)。因此本協(xié)議能更好的加強(qiáng)用戶的安全性。

3.3 雙向身份認(rèn)證過程的安全性分析

根據(jù)本協(xié)議對雙向身份認(rèn)證過程的描述，Bob對Alice的身份認(rèn)證過程中，如果Alice公布的粒子位置或者密鑰值不真實(shí)，KeyBobtoAlice=KeyAlice等式將不成立，因此Alice無法通過Bob的身份認(rèn)證?？紤]Alice對Bob的身份認(rèn)證過程，由于Bob發(fā)回了全部的粒子信息，因此隱藏著附加粒子糾纏攻擊、假信號攻擊等安全隱患。但是Alice在步驟(9)中采用了非對稱QKD過程中步驟(2)的竊聽檢測方式，因此這些安全隱患的分析過程和量子隱私查詢過程的安全性分析內(nèi)容一致，故不再重復(fù)描述。

3.4 效率分析

在本協(xié)議中，Alice制備的所有粒子，除了用于竊聽檢測的粒子外，其他粒子都用在了量子隱私數(shù)據(jù)查詢與量子雙向身份認(rèn)證過程中。在QPQ過程中，基于SARNG QKD過程，Alice和Bob將會有25%的效率值建立一個對稱的QKD關(guān)聯(lián)，在雙向身份認(rèn)證過程中，由于Alice只采用了Z基粒子對Bob進(jìn)行身份認(rèn)證，故而身份認(rèn)證過程中的粒子利用效率為50%，然而為了減少認(rèn)證協(xié)議的復(fù)雜度，犧牲部分粒子的利用效率是值得的。

4 結(jié) 語

本文基于Bell態(tài)粒子，提出了一個多功能的量子密碼協(xié)議。通信雙方建立了非對稱QKD關(guān)聯(lián)后，使用本協(xié)議可以更加安全有效地完成量子隱私查詢和雙向的量子身份認(rèn)證功能。本協(xié)議無需使用波長濾波器和PNS設(shè)備，且身份認(rèn)證過程的復(fù)雜度較低。由于使用了Bell態(tài)粒子，比起基于單光子的QPQ協(xié)議，本協(xié)議在集體噪聲通道下也有更好的容噪性能。