多方量子密鑰管理協(xié)議設(shè)計(jì)與安全性分析*

宋 曦，王玉亭，王瑜曈，肖 博，陳康杰

（1.國(guó)網(wǎng)甘肅省電力公司信息通信公司，甘肅 蘭州 730050；2.國(guó)網(wǎng)信通億力科技有限責(zé)任公司，福建 廈門 350003）

0 引 言

進(jìn)入信息時(shí)代，基于群組通信的新業(yè)務(wù)如遠(yuǎn)程教育、協(xié)同辦公以及網(wǎng)絡(luò)游戲等大量出現(xiàn)。為防止通信被惡意非授權(quán)用戶訪問，合法用戶組需要建立并共享一個(gè)相同的組密鑰，以便他們?cè)诟`聽者存在的情況下仍能進(jìn)行安全的群組通信。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，人們的計(jì)算能力逐漸提高，一旦量子計(jì)算機(jī)替代了傳統(tǒng)計(jì)算設(shè)備，現(xiàn)有的加密技術(shù)將不再安全。因此，必須探索更加安全的加密技術(shù)來抵御強(qiáng)大的量子算法，于是量子密鑰管理技術(shù)應(yīng)運(yùn)而生。所謂量子密鑰管理，是指在發(fā)送方和接收方不共享任何信息的基礎(chǔ)上，利用量子態(tài)的物理特性完成雙方共享比特串的過程[1]。

基于量子態(tài)的不同物理特性，實(shí)現(xiàn)單一功能的量子保密通信協(xié)議很多，如量子密鑰分發(fā)（Quantum Key Distribution，QKD）、量子隱形傳態(tài)、量子安全直接通信與量子秘密共享協(xié)議（Quantum Secret Sharing，QSS）等。1984年，第一個(gè)量子密碼協(xié)議——BB84協(xié)議由 C.H.Bennett和 G.Brassard提出[2]。BB84協(xié)議主要使用的是單粒子載體，是一種無(wú)條件安全的QKD協(xié)議。此后，Hillery等人在1999年首次提出QSS概念，并給出第一個(gè)QSS協(xié)議，簡(jiǎn)稱HBB99協(xié)議[3]。QKD協(xié)議和QSS協(xié)議都僅能實(shí)現(xiàn)單一功能的保密通信，如何在協(xié)議中同時(shí)實(shí)現(xiàn)量子密鑰生成、密鑰分發(fā)和密鑰備份是一個(gè)值得深入研究的問題。

從另一種場(chǎng)景考慮，異地的用戶們需要一串真正的隨機(jī)密鑰進(jìn)行保密通信，但是他們不希望密鑰被壟斷他們通信手段的運(yùn)營(yíng)商得到，這就需要可靠的監(jiān)督方（如政府部門、司法部門、數(shù)據(jù)中心和其他第三方等）來幫助實(shí)現(xiàn)密鑰分發(fā)。當(dāng)用戶們建立通信后，不希望提供密鑰的部門獨(dú)自得到該密鑰，但又希望在意外發(fā)生時(shí)他們可以通過尋求上述部門的幫助來恢復(fù)密鑰。目前，已提出的量子密鑰分發(fā)和量子秘密共享等協(xié)議都無(wú)法實(shí)現(xiàn)這種情景的要求。

當(dāng)前，已經(jīng)研究出許多量子密鑰分配方案，根據(jù)信號(hào)源不同大致分為基于單量子的量子密鑰分配、基于量子糾纏對(duì)的量子密鑰分配和基于單量子與量子糾纏對(duì)的量子密鑰分配[4]。其中，基于量子糾纏狀態(tài)的協(xié)議由于良好的安全性和高效性而受到廣泛關(guān)注。本文利用d級(jí)Bell態(tài)和貓態(tài)的糾纏交換，提出了一種新型的量子密鑰管理協(xié)議，僅通過執(zhí)行一次協(xié)議就能同時(shí)實(shí)現(xiàn)密鑰生成、密鑰分發(fā)和密鑰備份功能。為了實(shí)現(xiàn)多用戶的安全通信，本文進(jìn)一步研究了多個(gè)管理者和多個(gè)用戶之間的量子密鑰管理協(xié)議，這是首次在量子密鑰管理領(lǐng)域提出多任務(wù)思想。由于信道中傳輸?shù)氖墙?jīng)典密鑰，本文分別對(duì)密鑰分發(fā)和密鑰備份過程中易受到的竊聽攻擊進(jìn)行分類研究，詳細(xì)論證了協(xié)議的安全性。

1 相關(guān)理論

1.1 Bell糾纏態(tài)

Bell態(tài)是最簡(jiǎn)單的兩體量子糾纏態(tài)，測(cè)量前A和B處于不確定狀態(tài)，若對(duì)其中之一進(jìn)行測(cè)量，則另一個(gè)的狀態(tài)隨之確定，即塌縮到確定態(tài)。d級(jí)兩粒子Bell態(tài)：

1.2 d維希爾伯特空間的糾纏交換

量子糾纏交換是為了通過某些物理過程，讓沒有直接相互作用的量子系統(tǒng)之間形成量子關(guān)聯(lián)[6]。本協(xié)議中，密鑰的管理者需要對(duì)貓態(tài)的第一個(gè)粒子和Bell態(tài)的第二個(gè)粒子進(jìn)行糾纏交換，即：

2 量子密鑰管理協(xié)議設(shè)計(jì)

2.1 兩個(gè)管理者和兩個(gè)用戶

量子密鑰管理協(xié)議的步驟如下，接收方的計(jì)算過程信息如表1所示，協(xié)議過程如圖1所示。

表1 所有接收方的計(jì)算信息表

圖1 量子密鑰管理協(xié)議過程

第P1步：管理者M(jìn)1首先制備d級(jí)三粒子貓態(tài)，然后與兩個(gè)用戶R1和R2共享。三粒子貓態(tài)表示為：

M1和 M2分別擁有d級(jí)Bell態(tài) |ψ(u1,u2)〉B1,B1′和|ψ(v1,v2)〉B2,B2′。然后，M1公布初始值 m1、m2、m3，M1發(fā)送他的Bell態(tài)的第一個(gè)粒子B1給M2，貓態(tài)的第二個(gè)粒子2給R1，貓態(tài)的第三個(gè)粒子3給R2，自己保留貓態(tài)的第一個(gè)粒子，如圖1（Ⅰ）所示。

在粒子分發(fā)過程中，M1插入一些誘騙態(tài)粒子，誘騙態(tài)粒子在 {|0〉,…,|d-1〉,|ω0〉,…,|ωd-1〉}這些態(tài)中隨機(jī)選取，其中{|0〉,…,|d-1〉}是d級(jí)直線基，{|ωj〉,j=0,…,d-1}（即）是d級(jí)傅里葉基[7]。確認(rèn)所有的接收方收到這些粒子后，M1公布誘騙粒子的位置和測(cè)量基。然后，M2、R1和R2在給定的基下測(cè)量這些粒子并公布測(cè)量結(jié)果。隨后，M1通過誘騙粒子的初始態(tài)去驗(yàn)證其他接收方公布的測(cè)量結(jié)果是否正確，以分析傳輸?shù)陌踩?。如果錯(cuò)誤率高于信道噪聲的閾值，M1將取消該協(xié)議并重新開始；否則，繼續(xù)下一步。

第P2步：M1確認(rèn)粒子傳輸?shù)陌踩院?，?duì)自己擁有Bell態(tài)的第二個(gè)粒子B1′和貓態(tài)|ψ(m1,m2,m3)〉1,2,3的第一個(gè)粒子1執(zhí)行Bell基聯(lián)合測(cè)量，如圖1(Ⅱ)所示。由式（3），有：

這里，|ψ(m1+k1,u2+l1)〉1,B1′是 M1的測(cè)量結(jié)果，由M1得到l1的值。測(cè)量后系統(tǒng)塌縮為態(tài)|ψ(u1-k1,m2-l1,m3-l1)〉B1,2,3。

第P3步：M2對(duì)M1發(fā)送的粒子B1和粒子B2′執(zhí)行Bell基聯(lián)合測(cè)量，如圖1（Ⅲ）所示。由式（3），有：

其中，|ψ(u1-k1+k2,v2+l2)〉B1,B2′是 M2的測(cè)量結(jié)果，M2得到l2的值。

第P4步：現(xiàn)在獲得的態(tài)為|ψ(v1-k2,m2-l1-l2,m3-l1-l2)〉B2,2,3，由式（2），有：

然后，在直線基 {|0〉,…,|d-1〉}下，M2測(cè)量粒子B2，R1測(cè)量粒子2，R2測(cè)量粒子3，當(dāng)M2公布| j〉的測(cè)量結(jié)果時(shí)，R1和R2分別使用m2-l1-l2和m3-l1-l2的值計(jì)算密鑰。

至此，R1和R2都得到密鑰l1+l2。按照糾纏交換的規(guī)則，l1、l2、k1和k2都是隨機(jī)的，且公布的j、m1、m2、m3的值與 l1和 l2無(wú)關(guān)，所以密鑰 l1+l2是隨機(jī)密鑰。同時(shí)，M1和M2僅分別持有部分密鑰l1和l2，即密鑰在管理者手里得到了備份。特別地，兩個(gè)管理者可以通過量子安全計(jì)算合作恢復(fù)出密鑰

2.2 多個(gè)管理者和多個(gè)用戶

多個(gè)管理者和多個(gè)用戶的量子密鑰管理協(xié)議可以在N（N≥2）個(gè)用戶中分發(fā)隨機(jī)密鑰l1+…+lL，同時(shí)也可以在L（L≥2）個(gè)管理者之間備份部分密鑰。協(xié)議步驟如下。

第T1步：M1制備α+δ組d級(jí)（N+1）粒子貓態(tài)并公布，第p組的（N+1）粒子貓態(tài)是：

接著，M1發(fā)送貓態(tài)的第二個(gè)粒子2給R1，貓態(tài)的第三個(gè)粒子3給R2，以此類推，貓態(tài)的最后一個(gè)粒子N+1給RN。同時(shí)，M1,…,ML分別制備d級(jí)Bell態(tài) (|ψ(u1,u1′)〉B1,B1′)p,…,(|ψ(uL,uL′)〉BL,BL′)p。隨后，M1發(fā)送他的Bell態(tài)的第一個(gè)粒子B1給M2，M2發(fā)送他的Bell態(tài)的第一個(gè)粒子B2給M3，以此類推，ML-1發(fā)送他的Bell態(tài)的第一個(gè)粒子BL-1給ML。

在發(fā)送粒子時(shí)，和兩個(gè)管理者兩個(gè)用戶的情況類似，Mi(i=1,…,L-1)需要在 {|0〉,…,|d-1〉,|ω0〉,…,|ωd-1〉}中隨機(jī)選取一些作為誘騙態(tài)粒子插入。接著，Mi通過比較誘騙粒子的初始態(tài)和其他接收方公布的測(cè)量結(jié)果，并計(jì)算錯(cuò)誤率來判定是否繼續(xù)下一步操作。

第T2步：M1對(duì)自己擁有Bell態(tài)的第二個(gè)粒子B1′和貓態(tài)的第一個(gè)粒子1執(zhí)行Bell基測(cè)量，即：

這里，(|ψ(m1+k1,u1′+l1)〉1,B1′)p是M1的測(cè)量結(jié)果，它的值為l1。同樣，第i個(gè)管理者M(jìn)i對(duì)他自己擁有Bell態(tài) (|ψ(ui,ui′)〉Bi,Bi′)p中的粒子 Bi′和貓態(tài) (|ψ(ui-1-ki-1,m2-l1-…-li-1,…,mN+1-l1-…-li-1)〉Bi-1,2,…,N+1)p中的第一個(gè)粒子Bi-1執(zhí)行Bell基測(cè)量。

獲得測(cè)量結(jié)果 (|ψ(ui-1-ki-1+ki,ui′+li)〉Bi-1,Bi′)p并得到 li的值。

第T3步：獲得態(tài)(|ψ(uL-kL,m2-l1-…-lL,…,mN+1-l1-…-lN)〉BL,2,N+1)p，且：

ML使用直線基 {|0〉,…,|d-1〉}測(cè)量粒子 BL，R1測(cè)量第二個(gè)粒子,…,RN測(cè)量第N+1個(gè)粒子。當(dāng)ML公布j的值時(shí)，每一個(gè)Rk(k=1,…,N)分別通過使用(mk+1-l1-…-lL)p計(jì)算密鑰。

至此，所有用戶R1,…,RN都得到第p組的密鑰(l1+…+lL)p，同時(shí)每一個(gè)管理者M(jìn)i保留部分密鑰li，如有必要可以合作恢復(fù)密鑰。

第T4步：用戶R1,…,RN隨機(jī)選擇δ組密鑰來驗(yàn)證管理者是否作假，讓管理者M(jìn)1,…,ML公布各自的部分密鑰lip。如果全部管理者的密鑰總和等于用戶共享的相應(yīng)密鑰，他們放棄這δ組密鑰，并接受剩余的α組；否則，他們放棄所有的密鑰。

3 安全性分析

3.1 密鑰分發(fā)的安全性

3.1.1 情形1：截獲—重發(fā)攻擊

如果竊聽者想使用截獲—重發(fā)攻擊本協(xié)議，他們必須在第T1步攔截粒子。于是，考慮從M1到M2、R1,…,RN或從Mi到Mi+1(i≥2)的傳輸過程。如果竊聽者Eve試圖攔截由M1或Mi發(fā)送的粒子，并用虛假粒子取代它們，Eve將引入額外的錯(cuò)誤率，將使他在安全檢查過程中被檢測(cè)到的概率不小于1-[(d+1)/2d]n。這是因?yàn)镋ve不知道誘騙態(tài)粒子的準(zhǔn)確位置和初始態(tài)，而且粒子的傳輸不攜帶接收方之間的密鑰信息，因此這種攻擊可以通過安全性分析被檢測(cè)到。

3.1.2 情形2：關(guān)聯(lián)—引出攻擊

如果竊聽者想使用關(guān)聯(lián)—引出攻擊[8]本協(xié)議，他們必須在第T1步攔截粒子和附加輔助粒子。于是，考慮從M1到M2、R1,…,RN或從Mi到Mi+1(i≥2)的傳輸過程。如果竊聽者Eve試圖攔截由M1或Mi發(fā)送的誘騙態(tài)粒子并附加輔助粒子，他將引入額外的錯(cuò)誤，使他在安全檢查過程中被檢測(cè)到。

（1）若誘騙態(tài)粒子是直線基 {|0〉,…,|d-1〉}中的一個(gè)。假設(shè)Eve對(duì)附加輔助粒子使用單位酉操作：

（2）若誘騙態(tài)粒子是傅里葉基{|ωj〉, j=0,…,d-1}中的一個(gè)。假設(shè)誘騙態(tài)粒子和附加粒子經(jīng)過操作后可以整理為：

分別針對(duì)mod(-k1+l1+k2-l2,d)=0和≠0的情況對(duì)式（15）進(jìn)一步化簡(jiǎn)，得到：

進(jìn)一步討論可以推出Eve引入錯(cuò)誤的概率為：

3.2 密鑰備份的安全性

3.2.1 情形1：假設(shè)M1是不誠(chéng)實(shí)的接收方

管理者M(jìn)1的攻擊策略包括兩個(gè)方面：一方面，作為內(nèi)部攻擊者M(jìn)1可以在第T1步產(chǎn)生一個(gè)虛假的糾纏態(tài)，然后通過測(cè)量粒子試圖竊取密鑰l2的值；作為外部攻擊者他試圖竊取密鑰l3,…,lL另一方面，M1在沒有其他管理者的幫助下在第T3步可能恢復(fù)密鑰。下面證明本協(xié)議可以防止上述攻擊。

一方面，假設(shè)M1生成如下虛假態(tài)來竊取密鑰：

粒子B1的態(tài)是由一些標(biāo)準(zhǔn)正交基{|k〉}表示。M1發(fā)送虛假態(tài)的第一個(gè)粒子B1給M2。

M2對(duì)粒子B1和B2′執(zhí)行Bell基測(cè)量，即：

測(cè)量結(jié)束后，粒子B1′和B2上的態(tài)變?yōu)?。由于M1沒有粒子B2，無(wú)法得到k+l2的值，也就不知道l2的值。如果他企圖獲得其他li(3≤i≤L)，他將作為外部竊聽者被發(fā)現(xiàn)。

另一方面，第T2步后，第N+1個(gè)粒子的貓態(tài)將塌縮為式（11）中的態(tài) |ψ(uL-kL,m2-l1-…-lL,…,mN+1-l1-…-lL)〉BL,2,…,N+1，包括密鑰 l1+…+lL的值。然而，由于M1沒有機(jī)會(huì)收集R1+…+RL持有的貓態(tài)的第二個(gè)粒子到第N+1個(gè)粒子并測(cè)量它們，因此M1不能在沒有其他管理者的幫助下在第T3步竊取l1+…+lL的值。

3.2.2 情形2：假設(shè)Mi（i≠1）是不誠(chéng)實(shí)的接收方

與M1一樣，如果Mi試圖攻擊協(xié)議，他將作為外部竊聽者被檢測(cè)到，同時(shí)Mi也不能獨(dú)立獲得l1+…+li-1+li+1+…+lL的值?？傊绻麤]有合作，每個(gè)Mi分別只能擁有l(wèi)i(i=1,…,L)，他們中任何人都不能計(jì)算出密鑰。

3.2.3 情形3：假設(shè)M1和ML合作

M1負(fù)責(zé)制備初始貓態(tài)，ML公布粒子BL的測(cè)量結(jié)果（即j的值），可見M1和ML比其他人有更多的權(quán)利。于是，將討論M1和ML的合作中唯一可能的攻擊如下。

在第T1步中，M1用直線基測(cè)量自己制備貓態(tài)的第一個(gè)粒子，假設(shè)結(jié)果是| j〉，剩余的態(tài)將分別塌縮到 | j+m2〉,| j+m3〉,…,| j+mN+1〉。之后，他也用直線基測(cè)量粒子 B1′。

在第T3步，用戶正常測(cè)量相應(yīng)的粒子，結(jié)果是| j+m2〉,| j+m3〉,…,| j+mN+1〉。ML公布一個(gè)虛假 j+l′的值。用戶 Rk(k=1,…,N)通過 (j+l′)+mk-( j+mk)=l′計(jì)算密鑰。也就是說，這兩個(gè)管理者不僅獲得了密鑰，而且控制了密鑰的值。

幸運(yùn)的是，得到密鑰的用戶將進(jìn)一步檢查管理者是否在第T4步作弊。他們要求所有的管理人員公布他們的Bell基測(cè)量值（每個(gè)li,i=1,…,L）。M1和ML通過檢查的唯一方法是與所有其他管理者合作，這意味著協(xié)議對(duì)合謀攻擊也是安全的。

4 結(jié) 語(yǔ)

本文利用量子糾纏態(tài)的特殊屬性——糾纏交換，設(shè)計(jì)了一種針對(duì)多個(gè)管理者和多個(gè)用戶的新型量子密鑰管理協(xié)議。與其他單一功能的量子密碼協(xié)議不同，該協(xié)議可以實(shí)現(xiàn)完整的量子密鑰管理過程，即僅通過執(zhí)行一次協(xié)議就可以同時(shí)完成密鑰生成、密鑰分發(fā)和密鑰備份功能。此外，通過詳細(xì)分析證明了提出的量子密鑰管理協(xié)議在密鑰分發(fā)和密鑰備份過程中具有的無(wú)條件安全性。