代金鞘 張仕斌 昌 燕 李雪楊 鄭 濤

(成都信息工程大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 成都 610225)

0 引 言

密碼學(xué)在信息化社會(huì)中扮演著越來(lái)越重要的角色。但隨著量子計(jì)算機(jī)[1]和量子算法[2-3]的發(fā)展，傳統(tǒng)的加密方式都將面臨潛在的威脅。研究者將注意力轉(zhuǎn)向了由量子力學(xué)發(fā)展來(lái)的量子密碼學(xué)，量子密碼學(xué)的安全性是通過(guò)量子力學(xué)原理保證的，這使得量子密碼在信息論的角度下是十分安全的。自Bennett等[4]設(shè)計(jì)出第一個(gè)單光子偏振協(xié)議(BB84協(xié)議)以來(lái)，研究者在量子密碼技術(shù)上取得了許多意義重大的研究成果，包括量子密鑰分發(fā)(QKD)[5-6]、量子數(shù)字簽名(QDS)[7-9]、量子隱私查詢(QPQ)[10-11]、量子安全直接通信(QSDC)[12-14]等。但是，這些量子密碼的研究大多都要求所有參與協(xié)議的通信方都能夠具有量子能力，即參與者可以進(jìn)行任意的量子操作并且可以任意制備量子態(tài)。這對(duì)于實(shí)際量子資源的需求是十分巨大的，在實(shí)際情況下，這些協(xié)議很難完整實(shí)現(xiàn)。因此，為了節(jié)約量子資源的成本，研究者提出了半量子的概念。

在半量子的理論中，不需要所有的參與者都具備完整進(jìn)行任意量子操作的能力，只需要有一方具備即可，其余的通信方只要求進(jìn)行部分量子操作。這樣一來(lái)，在通信過(guò)程中對(duì)于量子資源的需求和成本就會(huì)大大降低，實(shí)現(xiàn)起來(lái)容易許多。這個(gè)概念是由Boyer等[15]在2007年第一次提出的，他們還結(jié)合了QKD協(xié)議提出了半量子密鑰分發(fā)協(xié)議(SQKD)。SQKD協(xié)議中，通信方Alice具有完整的量子能力，而B(niǎo)ob只能進(jìn)行部分的量子操作，成功地將量子通信中需要使用的量子資源減少。此后，許多研究者都將半量子和現(xiàn)有的量子密碼體系結(jié)合，提出了許多基于半量子的量子密碼協(xié)議，包括半量子秘密共享[16-17]、半量子密鑰分發(fā)[18]、半量子直接通信[19-20]和半量子對(duì)話[21]等。

以上基于半量子的通信協(xié)議雖然在量子資源的使用上進(jìn)行了很大的優(yōu)化，但是在實(shí)際使用時(shí)仍然存在一定的風(fēng)險(xiǎn)。假設(shè)在通信過(guò)程中，通信方Alice想要和通信方Bob進(jìn)行信息交換，在之前的半量子通信協(xié)議中[19-21]，Alice需要先將自己的秘密信息發(fā)送給Bob，Bob在確認(rèn)收到秘密信息后才會(huì)將自己的秘密信息發(fā)送給Alice。假如Bob在接收到Alice的秘密信息之后，拒絕發(fā)送給Alice秘密信息，這樣Alice的秘密就被Bob騙取了。

為了防止這種情況的發(fā)生，設(shè)計(jì)一種基于半量子的量子秘密信息互換協(xié)議。首先由第三方TP制備Bell態(tài)粒子，將Bell態(tài)的兩個(gè)粒子分別發(fā)送給Alice和Bob，雙方通過(guò)對(duì)手中的粒子隨機(jī)進(jìn)行反射或者測(cè)量操作將自己的秘密信息加載在測(cè)量粒子中并將粒子返回給TP，TP再對(duì)Alice和Bob返回的粒子進(jìn)行測(cè)量，并公布對(duì)應(yīng)的測(cè)量結(jié)果。這時(shí)，Alice和Bob便可以根據(jù)TP公布的結(jié)果推測(cè)出對(duì)方的秘密信息。雖然本協(xié)議引入了第三方，但是并不要求第三方是完全可信的，可以是一個(gè)半可信的第三方參與通信過(guò)程。第三方如果存在不誠(chéng)實(shí)行為，可以通過(guò)Alice和Bob的聯(lián)合分析發(fā)現(xiàn)。同時(shí)，由于第三方的存在，Bob的欺騙意圖也無(wú)法實(shí)現(xiàn)。

1 基本原理

基本的單光子測(cè)量基包括：Z基{|0>、|1>}和X基{|+>、|->}。

四種Bell態(tài)粒子在Z基的表示如下：

(1)

在式(1)中，如果用Z基測(cè)量|φ+>態(tài)中的第一個(gè)粒子，會(huì)有1/2的概率測(cè)得粒子為|0>態(tài)，1/2的概率測(cè)得粒子為|1>態(tài)。而第二個(gè)粒子態(tài)的測(cè)量結(jié)果會(huì)與第一個(gè)粒子態(tài)相同。如果使用Z基測(cè)量|ψ+>態(tài)，測(cè)得|0>態(tài)和|1>態(tài)的概率不變，但是兩個(gè)粒子的測(cè)量結(jié)果會(huì)完全相反。

在半量子通信中，通信雙方有一方具有完整的量子能力，可以進(jìn)行任意的量子操作；另一方只能進(jìn)行部分的量子操作，稱作“經(jīng)典方”。在半量子通信過(guò)程中，“經(jīng)典方”可以進(jìn)行如下的操作：

(1) 直接將接收到的粒子反射給發(fā)送方，記作REFLECT操作；

(2) 對(duì)接收到的粒子用Z基進(jìn)行測(cè)量，記作MEASURE操作；

(3) 根據(jù)MEASURE操作的測(cè)量結(jié)果制備與測(cè)量結(jié)果相同或者相反的單光子；

(4) 對(duì)接收到所有的粒子進(jìn)行重新排序，并返回給發(fā)送方。

Bell態(tài)使得通信的雙方在各自持有其中一個(gè)粒子時(shí)，通過(guò)測(cè)量操作獲取對(duì)方的測(cè)量信息；而半量子通信則可以使得通信過(guò)程中對(duì)量子資源的需求盡可能地減少。因此，基于Bell態(tài)粒子與半量子通信的特性，設(shè)計(jì)一個(gè)基于半量子的量子秘密信息互換協(xié)議。

2 協(xié)議步驟

假設(shè)Alice的秘密信息記作Ma=(Ma(1),Ma(2),…,Ma(n))，Bob的秘密信息記作Mb=(Mb(1),Mb(2),…,Mb(n))。Alice和Bob想要在第三方TP的協(xié)助下進(jìn)行秘密信息互換，其中TP是具有完備量子能力的，而Alice和Bob則擁有部分量子能力，協(xié)議具體步驟如下：

步驟1TP制備2n對(duì)|φ+>12態(tài)粒子，將所有的1粒子組成序列S1并將其發(fā)送給Alice；將所有的2粒子組成序列S2并將其發(fā)送給Bob。

步驟2Alice收到S1之后隨機(jī)選擇一半的粒子用于竊聽(tīng)檢測(cè)。Alice對(duì)用于竊聽(tīng)檢測(cè)的粒子隨機(jī)選擇MEASURE操作或REFLECT操作；對(duì)于其他粒子則全部選擇MEASURE操作并記錄測(cè)量結(jié)果。如果Alice想要傳輸?shù)男畔⒈忍貫?，則制備與測(cè)量結(jié)果相同的粒子態(tài)；如果想傳輸?shù)男畔⒈忍貫?，則制備與測(cè)量結(jié)果相反的粒子態(tài)。最后，Alice將所有的粒子打亂順序，組成新的序列S′1并發(fā)送給TP。

步驟3Bob收到S2之后的操作和Alice基本相同。先選擇一半的粒子作為竊聽(tīng)檢測(cè)粒子，并隨機(jī)選擇MEASURE操作或REFLECT操作；而對(duì)剩下的粒子進(jìn)行MEASURE操作并記錄測(cè)量結(jié)果。如果Bob想要傳輸?shù)男畔⒈忍貫?，則制備與測(cè)量結(jié)果相同的粒子態(tài)；如果想傳輸?shù)男畔⒈忍貫?，則制備與測(cè)量結(jié)果相反的粒子態(tài)。最后，Bob將所有的粒子打亂順序，組成新的序列S′2并發(fā)送給TP。

步驟4TP收到S′1和S′2之后通知Alice和Bob開(kāi)始進(jìn)行竊聽(tīng)檢測(cè)。Alice和Bob會(huì)公布粒子的正確順序以及自己對(duì)竊聽(tīng)檢測(cè)粒子進(jìn)行的操作。針對(duì)S′1和S′2中相同位置的粒子，TP會(huì)根據(jù)Alice和Bob選擇的操作選擇不同的測(cè)量基進(jìn)行測(cè)量。詳細(xì)的測(cè)量基選擇如表1所示。

表1 竊聽(tīng)檢測(cè)時(shí)TP測(cè)量基的選擇

假如Alice選擇REFLECT操作，而B(niǎo)ob也選擇的是REFLECT操作，那么TP則會(huì)使用Bell基去測(cè)量對(duì)應(yīng)位置的1粒子和2粒子。如果沒(méi)有竊聽(tīng)行為，那么測(cè)量結(jié)果應(yīng)為|φ+>，如果測(cè)量結(jié)果出現(xiàn)其他的Bell態(tài)粒子，那么說(shuō)明存在竊聽(tīng)者。最后，TP統(tǒng)計(jì)所有的測(cè)量結(jié)果，如果測(cè)量結(jié)果錯(cuò)誤率高于閾值，則放棄本次通信，否則，進(jìn)行步驟5。

步驟5TP用Z基測(cè)量S′1和S′2中剩余的粒子，并將測(cè)量結(jié)果公布給Alice和Bob。Alice根據(jù)TP公布的S′2的測(cè)量結(jié)果，結(jié)合自己手中在步驟3中記錄的測(cè)量結(jié)果可以推測(cè)出Bob的秘密信息M′b；同理，Bob也可以根據(jù)S′1和步驟4中記錄的測(cè)量結(jié)果推測(cè)出Alice的秘密信息，記作M′a。

步驟6Alice用自己的秘密消息Ma和推測(cè)出來(lái)的Bob的秘密消息M′b進(jìn)行“異或”操作，并公布“異或”的結(jié)果；Bob也對(duì)自己手中的Mb和M′a進(jìn)行“異或”操作，并公布“異或”結(jié)果。如果兩者公布的“異或”結(jié)果相同，則證明第三方TP是誠(chéng)實(shí)的，Alice和Bob都成功得到了對(duì)方的秘密信息。

3 協(xié)議分析

3.1 秘密信息正確性分析

根據(jù)協(xié)議步驟可以得知，Alice和Bob首先是根據(jù)步驟2對(duì)TP發(fā)過(guò)來(lái)的量子態(tài)進(jìn)行MEASURE操作并記錄測(cè)量結(jié)果，然后根據(jù)步驟5中TP公布的測(cè)量結(jié)果進(jìn)行推測(cè)，從而得出對(duì)方的秘密信息。這個(gè)推測(cè)的依據(jù)是根據(jù)Bell態(tài)粒子在進(jìn)行Z基測(cè)量時(shí)，其中一方測(cè)量后，另一方的粒子也會(huì)相應(yīng)塌縮成對(duì)應(yīng)的單光子態(tài)，從而在步驟2中可以根據(jù)自己手中的測(cè)量結(jié)果推測(cè)出對(duì)方的測(cè)量結(jié)果。接下來(lái)，TP公布帶有秘密信息的粒子測(cè)量結(jié)果時(shí)，Alice和Bob則可以通過(guò)這兩個(gè)信息結(jié)合推測(cè)出對(duì)方的秘密信息。并且在最后會(huì)公布自己的消息與推測(cè)出的對(duì)方消息的“異或”值，如果兩者的“異或”值相同，則認(rèn)為雙方成功獲得對(duì)方的秘密信息。具體的推測(cè)過(guò)程如表2所示。

表2 Alice和Bob推測(cè)秘密信息的過(guò)程

可以看出，Alice手中的1粒子與Bob手中的2粒子都是初始態(tài)為|φ+>態(tài)，在對(duì)除開(kāi)竊聽(tīng)檢測(cè)粒子之外的n個(gè)粒子進(jìn)行MEASURE操作時(shí)，根據(jù)Bell態(tài)的特性，Alice測(cè)得的測(cè)量結(jié)果與Bob是相同的，都為(0>|0>|0>|1>)。然后Alice和Bob根據(jù)自己的秘密信息制備新的粒子態(tài)發(fā)送給TP進(jìn)行測(cè)量，其中:Alice制備的新的粒子序列為(|1>|0>|0>|0>)1′;而B(niǎo)ob的粒子序列則為(|0>|0>|1>|0>)2′。TP在經(jīng)過(guò)竊聽(tīng)檢測(cè)之后會(huì)對(duì)這些粒子序列用Z基進(jìn)行測(cè)量，并公布測(cè)量的結(jié)果。Alice則可以根據(jù)TP公布的測(cè)量結(jié)果(|0>|0>|1>|0>)2′結(jié)合自己最開(kāi)始保存的測(cè)量結(jié)果(0>|0>|0>|1>)推測(cè)出Bob想要發(fā)送的秘密信息為0011；同理，Bob也可以推測(cè)出Alice的秘密信息1001。最后，Alice用自己的秘密消息Ma和推測(cè)出來(lái)的Bob的秘密消息M′b進(jìn)行“異或”操作得到并公布結(jié)果0001；同理，Bob也得到“異或”結(jié)果0001，并公布它。Alice和Bob公布的信息結(jié)果相同，證明雙方都成功獲得了對(duì)方的秘密信息。

3.2 截獲/重發(fā)攻擊

3.3 中間人攻擊和特洛伊木馬攻擊

由于該協(xié)議是一個(gè)雙向的通信協(xié)議，因此Eve可能會(huì)使用特洛伊木馬攻擊來(lái)獲取Alice和Bob的秘密信息。為了防止這種攻擊方式，可以在Bob接受粒子前安裝一個(gè)光子數(shù)分離器(PNS)和波長(zhǎng)濾波器[22-24]，這樣就可以有效防止Eve的特洛伊木馬攻擊。

3.4 第三方攻擊

假設(shè)第三方TP不是一個(gè)誠(chéng)實(shí)可靠的第三方，他想破壞Alice和Bob信息互換的過(guò)程，使得Alice和Bob都不能正確地獲得對(duì)方的信息。TP在最開(kāi)始制備Bell態(tài)粒子時(shí)不按照協(xié)議的要求制備|φ+>12態(tài)的粒子，而是制備其他的Bell態(tài)粒子，如：|φ->12、|ψ+>12或者|ψ->12。

根據(jù)協(xié)議步驟和Bell態(tài)的性質(zhì)，如果TP最初制備的是|φ->12態(tài)的粒子，則對(duì)最后Alice和Bob的秘密信息互換沒(méi)有任何影響，Alice和Bob還是可以正確獲得對(duì)方的秘密信息；如果TP制備的粒子態(tài)為|ψ+>12或者|ψ->12，那么Alice和Bob在步驟2和步驟3中記錄的測(cè)量結(jié)果會(huì)是完全相反的結(jié)果，在最后Alice和Bob推測(cè)出的對(duì)方的秘密信息M′a和M′b則會(huì)與原始Ma和Mb不相同。因此，當(dāng)Alice公布他得到的Ma和M′b的“異或”結(jié)果，Bob公布他得到的Mb和M′a的“異或”結(jié)果時(shí)，這兩個(gè)結(jié)果也會(huì)不同，因此Alice和Bob便可以發(fā)現(xiàn)TP可能進(jìn)行了造假行為。

如果TP在公布測(cè)量結(jié)果時(shí)作假，也會(huì)導(dǎo)致Alice和Bob推測(cè)出錯(cuò)誤的秘密信息M′a和M′b。同樣地，這種造假行為也會(huì)在Alice和Bob比較公布的“異或”結(jié)果時(shí)被發(fā)現(xiàn)。

3.5 參與者攻擊

假設(shè)在通信過(guò)程中Bob想要欺騙Alice，即Bob不會(huì)根據(jù)自己的秘密信息Mb制備對(duì)應(yīng)的量子態(tài)，而是隨機(jī)制備一串處于|0>態(tài)或|1>態(tài)的粒子態(tài)與竊聽(tīng)檢測(cè)粒子構(gòu)成假的S′2返回給TP，TP在竊聽(tīng)檢測(cè)發(fā)現(xiàn)不了這種欺騙攻擊。但是在TP向Alice公布出Bob的測(cè)量結(jié)果時(shí)，Alice推測(cè)出的M′b與Mb不相同，因此Alice的“異或”結(jié)果和Bob的“異或”結(jié)果也會(huì)不相同，這時(shí)Alice就發(fā)現(xiàn)有人在通信過(guò)程中進(jìn)行了欺騙攻擊。

如果TP是誠(chéng)實(shí)可靠的第三方，在TP的視角中，他只知道Alice和Bob的異或結(jié)果不同，并不知道是誰(shuí)在進(jìn)行欺騙攻擊。為了保證自己的信用不受損害，TP會(huì)進(jìn)行公正仲裁，他會(huì)要求Alice和Bob將Ma和Mb通過(guò)加密信道發(fā)送給自己，并對(duì)Ma和Mb進(jìn)行“異或”計(jì)算得到一個(gè)結(jié)果。如果Alice或Bob其中一方公布的結(jié)果與TP計(jì)算得到的結(jié)果不同，那么這一方就是不誠(chéng)實(shí)的通信者。因此，不論是Alice還是Bob，都無(wú)法在協(xié)議過(guò)程中進(jìn)行欺騙。

4 結(jié) 語(yǔ)

本文基于半量子的理論研究，提出一種基于半量子的量子秘密互換協(xié)議。該協(xié)議可以使得通信雙方在半可信第三方的幫助下完成秘密信息互換，防止了通信某一方欺騙另一方秘密信息的情況。此外，由于在通信過(guò)程中只有第三方具有完整的量子能力，其余通信方只能進(jìn)行部分量子操作，使得協(xié)議對(duì)量子資源的需求大大降低。最后，通過(guò)協(xié)議分析證明其能夠抵抗截獲/重發(fā)攻擊、中間人攻擊和特洛伊木馬攻擊，并且在面對(duì)不誠(chéng)實(shí)的第三方時(shí)，也可以通過(guò)通信雙方的合作發(fā)現(xiàn)其欺騙行為。