裴曉芳 江雷鳴 瞿治國(guó)

摘? 要： 介紹連續(xù)變量GHZ態(tài)的糾纏特性，并提出利用量子隱形傳態(tài)實(shí)現(xiàn)多方通信的方案。通過(guò)設(shè)定的保真度參數(shù)有效地驗(yàn)證用戶身份，同時(shí)實(shí)現(xiàn)身份密鑰的更新。詳細(xì)的安全性分析表明，在受到攔截?重發(fā)攻擊與分光鏡攻擊時(shí)，只需保證量子信道傳輸效率大于0.5且盡可能地增大連續(xù)變量GHZ態(tài)的壓縮參數(shù)，就可以保障通信的安全性以及維持較高的信息傳輸速率。

關(guān)鍵詞： 量子身份認(rèn)證; 連續(xù)變量GHZ態(tài); 量子隱形傳態(tài); 保真度參數(shù)計(jì)算; 攔截?重發(fā)攻擊; 分光鏡攻擊; 安全性分析

中圖分類號(hào)： TN918.1?34? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2020）21?0012?05

Three?party quantum identity authentication based on continuous?variable GHZ state

PEI Xiaofang1， 2， JIANG Leiming3， QU Zhiguo4

（1. Binjiang College of Nanjing University of Information Science and Technology， Binjiang 214105， China;

2. Jiangsu Collaborative Innovation Center of Atmospheric Environment and Equipment Technology， Nanjing University of Information

Science and Technology， Nanjing 210044， China;

3. School of Electronic and Information Engineering， Nanjing University of Information Science and Technology， Nanjing 210044， China;

4. School of Computer and Software， Nanjing University of Information Science and Technology， Nanjing 210044， China）

Abstract： The entanglement property of continuous?variable GHZ state is introduced， and the scheme for realizing multi?party communication by quantum teleportation is proposed in this paper. Users identity is effectively verified and the identity key is updated by the given fidelity parameter. The detailed security analysis proves that， when the quantum channel transmission efficiency is greater than 0.5 and the compression factor of the continuous?variable GHZ state are increased as much as possible， the security of communication can be guaranteed and the higher quantum information transmission rate can be kept under intercepted?replay attack and spectroscopic attack.

Keywords： quantum identity authentication; continuous?variable GHZ state; quantum teleportation; fidelity parameter calculation; intercepted?replay attack; spectroscopic attack; security analysis

0? 引? 言

信息安全是通信科學(xué)領(lǐng)域的一個(gè)重要課題，隨著互聯(lián)網(wǎng)的快速發(fā)展，信息安全變得越來(lái)越重要。相比于經(jīng)典安全通信，量子安全通信[1]具有無(wú)可比擬的優(yōu)勢(shì)，例如：不可克隆定理、測(cè)不準(zhǔn)原理、非局域性等特點(diǎn)[2]，令它具有極高的安全性。自第一個(gè)量子密鑰分發(fā)（QKD）BB84協(xié)議[3]被提出后，量子通信便開(kāi)始快速發(fā)展。

近年來(lái)，量子通信的理論研究和應(yīng)用得到了多方面的發(fā)展，包括量子計(jì)算[4]、量子網(wǎng)絡(luò)編碼[5]、量子拍賣[6]、量子機(jī)器學(xué)習(xí)[7]等。而在網(wǎng)絡(luò)通信中，身份認(rèn)證是通信方之間經(jīng)常遇到的問(wèn)題，量子網(wǎng)絡(luò)也不例外。目前，量子身份認(rèn)證已經(jīng)能夠應(yīng)用于部分場(chǎng)景，比如車載網(wǎng)絡(luò)[8]、在線談判和電子投票[9]等，但大多數(shù)都是基于離散變量。

如今，連續(xù)變量量子保密通信技術(shù)[10]相較于離散變量，具有量子態(tài)易于制備、檢測(cè)效率高、通信容量大和通信速率快等諸多優(yōu)勢(shì)。其中，連續(xù)變量量子身份認(rèn)證也有了物理上的實(shí)現(xiàn)[11]，而連續(xù)變量GHZ態(tài)的出現(xiàn)使得通信過(guò)程不僅僅局限于兩個(gè)通信方[12]。

本文將充分利用連續(xù)變量GHZ態(tài)的糾纏特性和量子隱形傳態(tài)原理，通過(guò)設(shè)定的保真度參數(shù)，同時(shí)驗(yàn)證多個(gè)用戶身份，并實(shí)現(xiàn)身份密鑰的更新。結(jié)果表明，該協(xié)議在受到攔截?重發(fā)攻擊與分光鏡攻擊時(shí)，量子信道傳輸效率大于0.5，連續(xù)變量GHZ態(tài)的壓縮參數(shù)與通信的安全性以及信息傳輸速率呈正相關(guān)。

1? 準(zhǔn)備工作

1.1? 量子光學(xué)基礎(chǔ)

在量子光學(xué)中，利用創(chuàng)造算符[a?]和湮滅算符[a]，可以產(chǎn)生振幅[x]和相位[p]兩個(gè)光束上的正則分量：

[x=12a?+a] （1）

[p=i2a?-a] （2）

式中：[a?]和[a]滿足玻色子互易關(guān)系[a，a=a?，a?=0]和[a，a?=1]，因此[x，p=i2]，正則分量[x]和[p]滿足海森堡測(cè)不準(zhǔn)原理：[Δx?Δp≥14]。

一條壓縮光束可以被定義為：

[α，r=x+ip=erx0+ie-rp0] （3）

式中[r]是壓縮因子。當(dāng)[r<0]時(shí)，這條光束的振幅分量被壓縮;當(dāng)[r>0]時(shí)，這條光束的相位分量被壓縮。[x0]和[p0]各自表示真空態(tài)的振幅和相位，并且滿足關(guān)系：[ x0，p0～N0，14]。

1.2? 連續(xù)變量GHZ態(tài)的制備

連續(xù)變量GHZ態(tài)在本協(xié)議中非常重要，它的制備過(guò)程如圖1所示。

首先，令兩個(gè)壓縮真空態(tài)[ain1]和[ain2]通過(guò)一個(gè)透射系數(shù)為0.5的分束器[BS1]，產(chǎn)生[aout1]和[a*in3];再令[a*in3]和另一個(gè)壓縮真空態(tài)[ain3]通過(guò)一個(gè)透射系數(shù)為1的分束器[BS2]，產(chǎn)生[aout2]和[aout3]。此時(shí)， [aout1]，[aout2]和[aout3]便是一組連續(xù)變量的GHZ糾纏態(tài)，其表達(dá)式為：

[xout1=13er1xin10+23e-r2xin20] （4）

[pout1=13e-r1pin1（0）+23er2pin20] （5）

[xout2=13er1xin10-16e-r2xin20+12e-r3xin30] （6）

[pout2=13e-r1pin10-16er2pin20+12er3pin30] （7）

[xout3=13er1xin10-16e-r2xin20-12e-r3xin30] （8）

[pout3=13e-r1pin10-16er2pin20-12er3pin30] （9）

當(dāng)它們壓縮系數(shù)相同，即[r1=r2=r3=r]時(shí)，可以計(jì)算[aout1]，[aout2]和[aout3]之間振幅與相位的相關(guān)性：

[Δxout1-xout22=12-34e-2r] （10）

[Δxout1-xout32=12+34e-2r] （11）

[Δpout1+pout2+pout32=34e-2r] （12）

當(dāng)壓縮參數(shù)[r]無(wú)限接近于正無(wú)窮，即[r→+∞]時(shí)，輸出的光學(xué)模式[aout1]，[aout2]和[aout3]之間的相關(guān)性也會(huì)越來(lái)越強(qiáng)：

[limr→+∞xout1-xout2=limr→+∞xout1-xout3=0] （13）

[limr→+∞pout1+pout2+pout3=0] （14）

顯然，任意兩個(gè)連續(xù)變量GHZ態(tài)的振幅分量呈現(xiàn)正相關(guān)，而它們的相位分量也具有糾纏特性。

1.3? 連續(xù)變量量子隱形傳態(tài)的原理

如圖2所示，Alice制備一個(gè)相干態(tài)[aA=xA+ipA]以待傳輸。同時(shí)，Alice和Bob分別擁有兩個(gè)糾纏的光學(xué)模式[aout1]和[aout2]。待一切準(zhǔn)備就緒后，Alice令相干態(tài)[aA]和[aout1]通過(guò)一個(gè)50/50的分束器進(jìn)行貝爾態(tài)測(cè)量，得到[xo]和[po]：

[xo=12xA-xout1] （15）

[po=12pA+pout1] （16）

在Alice通過(guò)經(jīng)典信道公布測(cè)量結(jié)果后，Bob對(duì)[aout2]采用相關(guān)幺正操作[Dβ=2xo+ipo]，得到[aB]：

[xB=xout2+2xo=xA-xout1-xout2] （17）

[pB=pout2+2po=pA+pout1+pout2] （18）

根據(jù)式（13）和式（14），如果壓縮參數(shù)[r→+∞]，可以得到[xB=xA]，[pB=pA-pout3]。這就意味著Alice和Bob在振幅分量上得到了一組高度相關(guān)的序列。因此，在本文的協(xié)議中，只在振幅分量上調(diào)制有效信息，而在相位分量上調(diào)制無(wú)關(guān)的隨機(jī)信息[n]。

2? 三方量子身份認(rèn)證協(xié)議的內(nèi)容

當(dāng)Bob或Charlie嘗試與Alice通信時(shí)，即協(xié)議開(kāi)始之前，他們需要事先共享一個(gè)二進(jìn)制序列[K1]作為初始的身份密鑰。

如圖3所示，假設(shè)量子信道是無(wú)損的，具體內(nèi)容如下：

1） Alice制備連續(xù)變量GHZ糾纏態(tài)[aout1]，[aout2]和[aout3]。Alice自己保留[aout1]，之后將[aout2]和[aout3]通過(guò)量子信道分別傳遞給Bob和Charlie。

2） 確認(rèn)Bob和Charlie分別收到[aout2]和[aout3]后，Alice先把[K1]轉(zhuǎn)化為十進(jìn)制序列[k1]，再選擇兩個(gè)十進(jìn)制數(shù)字[k2]和[v]，它們滿足正態(tài)分布[N0，σ2]。Alice制備一個(gè)真空態(tài)[0]經(jīng)過(guò)位移操作[Dα1=k1+k2+in]得到相干態(tài)光學(xué)模式[a1]，用于更新身份密鑰。同時(shí)，Alice再制備一個(gè)真空態(tài)[0]，經(jīng)過(guò)位移操作[Dα′1=（k1+v）+in]得到相干態(tài)光學(xué)模式[a′1]，作為誘餌態(tài)用于身份認(rèn)證。

3） Alice隨機(jī)選擇[a1]或者[a′1]，與[aout1]在每個(gè)時(shí)隙上做貝爾態(tài)測(cè)量，得到[xo=12x1-xout1]和[po=12p1+pout1]，或者[xo=12x′1-xout1]和[po=12p′1+pout1]。然后，Alice通過(guò)經(jīng)典信道向Bob和Charlie公布[xo]和[po]。

4） 根據(jù)接收到的[xo]和[po]，Bob和Charlie分別對(duì)[aout2]和[aout3]進(jìn)行相同的幺正操作[Do=2xo+ipo]。以Bob為例，它選擇振幅分量進(jìn)行測(cè)量得到序列[δ]。Alice再公布使用[a′1]的所有時(shí)隙[t]，Bob根據(jù)這些時(shí)隙提取相應(yīng)的測(cè)量結(jié)果序列[δ′1]，而剩下的測(cè)量結(jié)果定義為[δ1]。

5） Bob將[K1]轉(zhuǎn)化為十進(jìn)制序列[k′1]，再計(jì)算[v=δ′1-?k′1]，[?]是[k′1]的系數(shù)，在無(wú)損信道中[?=1]。在Bob公布[v]之后，Alice計(jì)算一個(gè)保真度參數(shù)[F=v-φv2min]。在無(wú)損信道中[φ=1]，計(jì)算[F=]0時(shí)，意味著[k1=k′1]，即驗(yàn)證了用戶身份是合法的，Bob再更新身份密鑰序列[δ1-k′1]，即[k2]的值，以備下次通信使用。若[F>]0，則說(shuō)明存在竊聽(tīng)者Eve或用戶不合法，放棄本次通信。同理，Charlie也進(jìn)行了步驟4）和步驟5）以認(rèn)證合法通信方身份。

3? 安全性分析

在量子密碼學(xué)中，安全性至關(guān)重要。為了進(jìn)行主動(dòng)攻擊，竊聽(tīng)者Eve需要通過(guò)身份認(rèn)證，其中最有效的方法是獲取更新的身份密鑰，并在下一次通信中實(shí)現(xiàn)主動(dòng)攻擊。本文將分析在Eve常用的攔截?重發(fā)攻擊與分光鏡攻擊下，該協(xié)議的安全性。

3.1? 攔截?重發(fā)攻擊

Eve攔截Alice發(fā)送的所有量子信號(hào)，并通過(guò)平衡零差檢測(cè)技術(shù)隨機(jī)測(cè)量振幅或相位，結(jié)合經(jīng)典信道發(fā)送的信息，可以恢復(fù)更新后的身份密鑰，最后根據(jù)測(cè)量結(jié)果制備量子態(tài)發(fā)送給Bob和Charlie。

由于測(cè)不準(zhǔn)原理的限制，Eve的測(cè)量不可避免地會(huì)引入噪聲，此時(shí)合法用戶就可以通過(guò)計(jì)算保真度參數(shù)[F]檢測(cè)到。但在實(shí)際通信中，Alice和Bob之間的量子信道也一直是有損耗、有噪聲的，[r]也不可能是無(wú)限的。因此需要具體分析噪聲情況下，如何通過(guò)計(jì)算保真度參數(shù)保證攔截?重發(fā)攻擊下的安全性。

以Bob為例，假定量子信道傳輸效率為[η]，冗余噪聲為[aN]，其方差為[VN]。此時(shí)，Bob接收到的量子態(tài)為：

[a′out2=ηaout2+1-ηaN] （19）

在Alice公布[xo]和[po]后，Bob對(duì)接收到的[a′out2]進(jìn)行幺正操作[Dηo=2ηxo+ipo]得到[aB]。當(dāng)Alice選擇相干態(tài)光學(xué)模式[a′1]時(shí)：

[aB=a′out2+2η（xo+ipo） =ηaout2+1-ηaN+ηa′1-ηaout1 =ηa′1+1-ηaN-32ηe-rain2+12ηe-rain3] （20）

因?yàn)橛行畔⒅徽{(diào)制在振幅分量上，在步驟5）中，Bob通過(guò)測(cè)量[x]計(jì)算[v]，假設(shè)系數(shù)[?=η]：

[v（x）=δ′1（x）-ηk′1=ηk1+v+1-ηxN-32ηe-rxin20+12ηe-rxin30-ηk′1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（21）]

當(dāng)Bob身份合法時(shí)，[k′1=k1]，Alice得到：

[v（x）-φv=1-ηxN-32ηe-rxin20+ 12ηe-rxin30+η-φv]? （22）

[Ftrue=v（x）-φv2true=1-ηVN-14ηe-2r+η-φ2σ2] （23）

假如Eve攔截所有信號(hào)，即接收方身份不合法，他將獲得錯(cuò)誤的身份密鑰，即[k′1≠k1]。Alice假設(shè)[k′1～N0，σ2]，可以得到：

[Ffalse=v（x）-φv2false =1-ηVN-14ηe-2r+η-φ2σ2+2ησ2] （24）

因此：

[Ffalse-Ftrue=2ησ2>0] （25）

這意味著，即使在正常噪聲情況下，[Ffalse>Ftrue]也總是存在，Alice可以有效地通過(guò)計(jì)算保真度參數(shù)驗(yàn)證接收方的身份。

3.2? 分光鏡攻擊

Eve也有可能使用分光鏡截取部分信號(hào)進(jìn)行測(cè)量，如圖4所示。

假設(shè)Eve所用的分光鏡透射系數(shù)為[λ0≤λ≤1]，則Alice發(fā)出的兩條光束[aA1]和[aA2]經(jīng)過(guò)分光鏡后變?yōu)椋?/p>

[a′A1=λaA1+1-λaN1] （26）

[a′A2=λaA2+1-λaN2] （27）

Eve獲得[aE1]和[aE2]：

[aE1=λaN1-1-λaA1] （28）

[aE2=λaN2-1-λaA2] （29）

以[aE1]為例進(jìn)行分析，依然假設(shè)量子信道傳輸效率為[η]，則無(wú)竊聽(tīng)時(shí)，Bob收到的信號(hào)為：

[a′A1=ηaA1+1-ηaN1] （30）

Eve需要對(duì)[aE1]進(jìn)行相應(yīng)的增益放大處理[13]以避免被發(fā)現(xiàn)，并和[a′A1]一起發(fā)送給Bob，則Bob收到的有效信號(hào)為：

[a=gaE1+a′A1] （31）

式中[g]為增益系數(shù)。為了讓Bob收到的信號(hào)為[ηaA1]，根據(jù)式（26），式（28）和式（31），需要滿足：

[ηaA1=-g1-λaA1+λaA1] （32）

Eve得到[g=λ-η1-λ]，則Bob收到的噪聲信號(hào)為：

[aN=1-ηλ1-λaN1] （33）

若[λ≠η]，則[aN≠1-ηaN1]，Bob的信噪比將發(fā)生變化，從而使通信方在竊聽(tīng)檢測(cè)中發(fā)現(xiàn)Eve。只有當(dāng)[λ=η]，即Eve采用透射系數(shù)與信道傳輸效率相同的分光鏡進(jìn)行攔截時(shí)，[g=0]，不需要增益補(bǔ)償。此時(shí)Eve和Bob收到的信號(hào)分別為：

[aE1=ηaN1-1-ηaA1] （34）

[a′A1=ηaA1+1-ηaN1] （35）

再根據(jù)式（6）分別得到Eve和Bob的振幅分量為：

[xE1=ηxN1-1-η13erxin10-16e-rxin20+12e-rxin30] （36）

[x′A1=η13erxin10-16e-rxin20+12e-rxin30+1-ηxN1] （37）

式中[xN1～N0，VN1]，當(dāng)測(cè)量[a′A1]的振幅時(shí)，有效信號(hào)為[η3erxin10]，其余為噪聲，計(jì)算Bob端的信噪比為：

[M′A1N′A1=ηe2r2ηe-2r+121-ηVN1] （38）

則Alice和Bob間的信息量為：

[IA，B=12log21+M′A1N′A1] （39）

同理，Eve端的信噪比為：

[ME1NE1=1-ηe2r21-ηe-2r+12ηVN1] （40）

Alice和Eve間的信息量為：

[IA，E=12log21+ME1NE1] （41）

因此，根據(jù)香濃信息論可得量子信道傳輸速率為：

[ΔI=IA，B-I（A，E）=12log2ηe2r+2e-2r+121-ηVN12ηe-2r+121-ηVN1?21-ηe-2r+12η1-ηe2r+2e-2r+12ηVN1] （42）

當(dāng)[VN1=14]時(shí)，由式（42）得到量子信息傳輸速率如圖5所示。當(dāng)信道傳輸效率[η<0.5]時(shí)，信息傳輸速率[ΔI<0]，即Eve獲取的信息量大于Bob獲取的信息量，此時(shí)信道不安全;當(dāng)[η>0.5]時(shí)，[ΔI>0]，通信是較為安全的。此外，影響安全程度的另一個(gè)重要因素是連續(xù)變量GHZ態(tài)的糾纏特性，隨著壓縮參數(shù)[r]的增大，信息傳輸速率隨之增高，安全性也逐漸增強(qiáng)。

4? 結(jié)? 語(yǔ)

本文提出的量子身份認(rèn)證協(xié)議充分利用了連續(xù)變量GHZ態(tài)的糾纏特性和量子隱形傳態(tài)原理，通過(guò)計(jì)算保真度參數(shù)有效地驗(yàn)證通信方是否合法。不僅使發(fā)送方能夠同時(shí)與兩個(gè)通信方進(jìn)行身份認(rèn)證，而且驗(yàn)證了該協(xié)議在受到攔截?重發(fā)攻擊與分光鏡攻擊時(shí)的安全性。結(jié)果表明，當(dāng)量子信道傳輸效率大于0.5時(shí)，連續(xù)變量GHZ態(tài)的壓縮參數(shù)越大，通信的安全性越強(qiáng)，信息傳輸速率越高。

注：本文通訊作者為江雷鳴。

參考文獻(xiàn)

[1] 孫仕海，梁林梅.量子保密通信技術(shù)前沿述評(píng)[J].國(guó)防科技，2014，35（6）：7?13.

[2] MICHAEL A N， ISAAC L C. Quantum computation and quantum information [M]. Beijing： Tsinghua University Press， 2003.

[3] BENNETT C H， BRASSARD G. Quantum cryptography： public key distribution and coin tossing [J]. Theoretical computer science， 2014， 560（1）： 7?11.

[4] LIU Wenjie， CHEN Zhenyu， LIU Jinsuo， et al. Full?blind delegating private quantum computation [J]. CMC?computers materials & continua， 2018， 56（2）： 211?223.

[5] XU Gang， CHEN Xiubo， LI Jing， et al. Network coding for quantum cooperative multicast [J]. Quantum information processing， 2015， 14（11）： 4297?4322.

[6] LIU Wenjie， WANG Haibin， YUAN Gonglin， et al. Multiparty quantum sealed?bid auction using single photons as message carrier [J]. Quantum information processing， 2016， 15（2）： 869?879.

[7] LIU Wenjie， GAO Peipei， YU Wenbin， et al. Quantum relief algorithm [J]. Quantum information processing， 2018， 17（10）： 280.

[8] CHEN Zhiya， ZHOU Kunlin， LIAO Qin. Quantum identity authentication scheme of vehicular ad?hoc networks [J]. International journal of theoretical physics， 2018， 58（6）： 40?57.

[9] SHI Weimin， ZHOU Yihua， YANG Yuguang. Quantum deniable authentication protocol [J]. Quantum information processing， 2014， 13（7）： 1501?1510.

[10] 陸鳶.連續(xù)變量量子保密通信技術(shù)研究[D].上海：上海交通大學(xué)，2011.

[11] NIKOLOPOULOS G M， DIAMANTI E. Continuous?variable quantum authentication of physical unclonable keys [EB/OL]. [2017?04?10]. https：//www.nature.com/articles/srep46047/.

[12] YU Zhenbo， GONG Lihua， ZHU Qibiao， et al. Efficient three?party quantum dialogue protocol based on the continuous variable GHZ states [J]. International journal of theoretical physics， 2016， 55（7）： 3147?3155.

[13] ZHANG Yichen， LI Zhengyu， WEEDBROOK C， et al. Noiseless linear amplifiers in entanglement?based continuous?variable quantum key distribution [J]. Entropy， 2015， 17（7）： 4547?4562.

作者簡(jiǎn)介：裴曉芳（1978-），女，江蘇鹽城人，碩士，副教授，主要研究方向?yàn)樾盘?hào)處理與應(yīng)用。

江雷鳴（1995—），男，安徽人，碩士生，主要研究方向?yàn)榱孔影踩ㄐ拧?/p>

瞿治國(guó)（1977—），男，湖北人，博士，教授，主要研究方向?yàn)榱孔影踩ㄐ拧?/p>