何業(yè)鋒

西安郵電大學 通信與信息工程學院，西安 710121

1 引言

自從第一個量子密鑰分發(fā)（Quantum Key Distribution，QKD）協(xié)議（即BB84協(xié)議[1]）提出后，量子密碼得到了快速發(fā)展[1-4]，各種量子密碼協(xié)議[3-6]被提出來。量子密鑰協(xié)商[7-8]（Quantum Key Agreement，QKA）是其中非常重要的一種，它能實現(xiàn)通信雙方或多方利用公開量子信道建立一個共享密鑰，并且所有參與方對密鑰的影響是相同的。任何參與方或子團體不能單獨決定共享密鑰，即協(xié)議要能抵抗參與者攻擊。與“一次一密”結合可以實現(xiàn)無條件安全的保密通信。因此，這類協(xié)議的設計有重要的理論和實際意義。

周等人[7]利用量子隱形傳態(tài)技術提出了第一個QKA協(xié)議。然而它不能抵抗參與者攻擊[9]。隨后，Hsueh等人[8]提出了一個不能抵抗CNOT攻擊[10]的QKA協(xié)議?；贐B84協(xié)議[1]和延遲測量技術，Chong等人[11]提出了一個安全且具有較高量子比特效率的兩方QKA協(xié)議?；贐ell態(tài)、四粒子糾纏態(tài)和五粒子糾纏態(tài)等，一些新的兩方或多方QKA協(xié)議也相繼被提出了[12-24]。隨后，Shi和Chong[13]將兩方QKA協(xié)議的概念推廣到了多方QKA（MQKA）協(xié)議，并且提出了一個MQKA協(xié)議。許多MQKA協(xié)議和它們的安全性分析也被相繼給出了[17-20]。目前許多QKA協(xié)議是工作在理想環(huán)境下的。然而在實際量子通信中，噪聲是不可避免的，攻擊者能利用噪聲隱藏其攻擊。因此設計QKA協(xié)議必須考慮噪聲的影響。根據(jù)文獻[25]知，人們可以將信道噪聲建模為集體噪聲。而無消相干子空間（Decoherence-Free Subspace，DFS）[25]是消除集體噪聲影響的一個有效方法，因為無消相干態(tài)（DF態(tài)，又稱邏輯量子態(tài)）幾乎不受集體噪聲的影響。2014年，Huang等人[15]利用邏輯量子態(tài)給出了一個兩方QKA協(xié)議在噪聲信道上的實現(xiàn)。隨后，Huang等人[26]又利用邏輯量子態(tài)設計了免疫集體噪聲的兩方QKA協(xié)議。由于用邏輯量子態(tài)設計QKA協(xié)議明顯降低了協(xié)議的量子比特效率。因此，這幾個免疫集體噪聲的QKA協(xié)議都有較低的量子比特效率。He等人[27]利用五粒子邏輯量子態(tài)提出了兩個免疫集體噪聲的QKA協(xié)議，協(xié)議有較高的量子比特效率。然而，這兩個協(xié)議的量子態(tài)準備過程和協(xié)議執(zhí)行過程都比較復雜。因此，設計簡單且具有高量子比特效率的免疫集體噪聲的QKA協(xié)議是非常有意義的。

在本文中，基于邏輯Bell態(tài)設計了兩個分別免疫集體退相位噪聲和集體旋轉(zhuǎn)噪聲的兩方QKA協(xié)議。協(xié)議雙方利用幺正變換和延遲測量技術能公平地建立一個共享密鑰。通過在Bob實驗室里安裝波長量子濾波器（wavelength quantum filter）和光子數(shù)分離器（Photon Number Splitter，PNS）來抵抗特洛伊木馬攻擊[28-30]。并且誘騙邏輯量子比特的使用確保了協(xié)議面對其他攻擊時的安全性。效率分析和比較表明新協(xié)議不但具有較高的量子比特效率，而且其量子態(tài)準備過程和協(xié)議執(zhí)行過程都比較簡單。

2 預備知識

2.1 量子糾纏態(tài)和幺正變換

眾所周知，{0,1}形成了Z基，{+,-}形成了X基，其中Bell態(tài)為它們形成了四維Hilbert空間的一組完全正交基，即Bell基。四個常用的幺正變換為

2.2 集體噪聲與邏輯量子態(tài)

在一個集體退相位噪聲信道上，兩個極化光子0和1受噪聲的影響可以表述為[25]：eiφ1，其中φ是隨時間變化的集體退相位噪聲參數(shù)。兩個邏輯量子比特以及它們的疊加態(tài)都不受集體退相位噪聲的影響[25]。而集體旋轉(zhuǎn)噪聲對兩個極化光子的影響可以表述為：，其中θ是隨時間變化的集體旋轉(zhuǎn)噪聲參數(shù)。兩個邏輯量子比特以及它們的疊加都不受集體旋轉(zhuǎn)噪聲的影響。

3 免疫集體噪聲的兩方量子密鑰協(xié)商協(xié)議

通信雙方Alice和Bob如果想建立一個共享密鑰，則先隨機選擇各自的保密密鑰

3.1 免疫集體退相位噪聲的量子密鑰協(xié)商協(xié)議

協(xié)議步驟如下：

然后，將這n個邏輯Bell態(tài)分成兩個序列SA和SB。序列SA包含了所有粒子A，序列SB包含所有邏輯量子比特BL（即所有物理量子比特B1和B2）。Alice將m個誘騙邏輯量子比特隨機插入序列SB得到隨機序列，其中誘騙邏輯量子比特隨機取自于集合Alice保留序列 SA，并將序列 S′B發(fā)送給Bob。

（2）Bob在他的實驗室里安裝波長量子濾波器和光子數(shù)分離器。Bob收到的所有光子脈沖應當首先通過他的濾波器過濾掉可能出現(xiàn)的不可見光子。當確認Bob收到序列后，Alice公布誘騙邏輯量子比特的位置。Bob隨機選出一部分誘騙邏輯量子比特的光子脈沖，利用光子數(shù)分離器判斷是否存在多光子信號。如果多光子信號的比率高得不合理，則認為存在攻擊者的延遲光子。雙方終止協(xié)議，從協(xié)議的第（1）步重新開始。否則，Alice公布誘騙邏輯量子比特的測量基Bob用正確的測量基去測量相應的誘騙邏輯量子比特。Alice公布誘騙邏輯量子比特的初始態(tài)。根據(jù)測量結果和Alice公布的初始態(tài)，Bob計算錯誤率。若錯誤率比規(guī)定的限門值低，則通信雙方執(zhí)行協(xié)議的下一個步驟。否則停止此協(xié)議并重新開始。

（3）Alice和Bob協(xié)商四個幺正變換Ui1i2：U00=I?I，U01=Z?I，U10=X?X ，U11=X?iY 。Bob根據(jù)密鑰KB，對序列SB中的第i個邏輯量子比特執(zhí)行幺正變換Ui1i2，其中i1i2=K(i=1,2,…,n)。當執(zhí)行上述四個幺正變換后，邏輯Bell態(tài)AB將變?yōu)橄旅嫠膫€GHZ態(tài)之一：

序列SB變?yōu)?。隨后，Bob用置換運算∏n將變?yōu)殡S機序列。然后，他從集合中隨機選出m個誘騙邏輯量子比特，并隨機插入序列。最后將這個新序列發(fā)送給Alice。

（4）當Alice收到后，雙方執(zhí)行與第一次完全相同的竊聽檢測。同樣根據(jù)錯誤率與限門值的關系，來確定繼續(xù)下一步驟還是重新開始協(xié)議。

（5）Alice公布她的密鑰KA。根據(jù)密鑰KA和KB，Bob計算雙方的共享密鑰：

（6）Bob公開宣布置換運算∏n。Alice將其逆置換作用于序列恢復序列。隨后，Alice對序列SA和中符號相同的三個粒子依次執(zhí)行GHZ態(tài)測量。根據(jù)測量結果和等式（2），Alice計算出KB。因此，她能得到共享密鑰：K=KA⊕KB。

柳紅跑出一壟地遠，突然剎住了腳步，她感覺不對啊，好像有哪兒不對勁兒；爛眼阿根沒有動靜啊，而且他那個眼神……那個眼神，好像是……柳紅折身跑回去，仔細一瞧，不好！爛眼阿根像是……不，應該是……死了。

3.2 免疫集體旋轉(zhuǎn)噪聲的量子密鑰協(xié)商協(xié)議

協(xié)議步驟如下：

（1）Alice準備n 個邏輯Bell態(tài)并且所有粒子A形成了序列SA，所有邏輯量子比特BL形成了序列SB。Alice從集合機選取m個誘騙邏輯量子比特，將其隨機插入SB得到序列。Alice保留序列SA，并將發(fā)送給Bob。

（2）Bob在他的實驗室里安裝波長量子濾波器和光子數(shù)分離器，來防止兩種特洛伊木馬攻擊。當確認Bob收到序列后，雙方執(zhí)行竊聽第一次竊聽檢測。此竊聽檢測與第一個協(xié)議的竊聽檢測完全類似。根據(jù)錯誤率與限門值的關系，來確定繼續(xù)下一步驟還是重新開始協(xié)議。

（3）雙方首先協(xié)商四個幺正變換Ui1i2：U00=I?I，U01=Z?Z,U10=Z?X，U11=iY?I。令i1i2=，Bob對序列SB中的第i個邏輯量子比特執(zhí)行幺正變換Ui1i2(i=1,2,…,n)。執(zhí)行上述變換后，邏輯Bell態(tài)將變化如下：

序列SB變?yōu)樾滦蛄?。Bob同樣利用置換運算∏n將序列變?yōu)橐粋€隨機化的序列。類似于協(xié)議第一步，他將m個隨機的誘騙邏輯量子比特隨機插入序列。最后將新序列發(fā)送給Alice。

（4）當Alice收到序列后，雙方執(zhí)行與第一次完全相同的竊聽檢測。

（5）Alice公布密鑰KA。同樣，Bob計算共享密鑰：K=KA⊕KB。

（6）Bob公開宣布置換運算∏n。Alice將逆置換作用于序列恢復序列，并組合序列SA和得到n個邏輯Bell態(tài)。根據(jù)等式（4）知，它們分別屬于四個邏輯Bell態(tài)之一。Alice對這n個邏輯Bell態(tài)分別執(zhí)行操作S1=S?S?S和H1=H?H?H，其中H是Hadamard門，S是π/2相位門。H能將量子比特和轉(zhuǎn)化為量子比特，而相位門S能將量子比特的相位改變π/2。當執(zhí)行上述兩個變換后，四個邏輯Bell態(tài)分別變成四個GHZ態(tài)：

Alice對它們執(zhí)行三粒子的GHZ態(tài)測量。根據(jù)測量結果和等式（4）與（5），Alice能計算出 KB和共享密鑰：K=KA⊕KB。

4 安全性分析

在本章中，通過安全性分析，證明了這兩個QKA協(xié)議能抵抗已有攻擊。

4.1 參與者攻擊

本文的兩個QKA協(xié)議都用到了延遲測量技術[31]。通過分析知，僅當Alice公開密鑰KA后，Bob才告知其置換運算∏n，即Alice才獲知序列。故Alice無法通過KB的信息來改變KA的值。同樣Bob在獲知KA前，就已經(jīng)將包含KB信息的量子比特發(fā)送給了Alice，故他也無法改變KB的值。所以，Alice和Bob都不能獨自決定這個共享密鑰，即他們都無法成功執(zhí)行參與者攻擊。

4.2 外部攻擊

對于QKA協(xié)議來說，目前主要的外部攻擊方法有：測量-重發(fā)攻擊、截獲-重發(fā)攻擊、糾纏-測量攻擊和特洛伊木馬攻擊。為了便于說明，下面假設Eve是一個想竊取共享密鑰的外部攻擊者。

截獲-重發(fā)攻擊和測量-重發(fā)攻擊：在所有傳輸?shù)牧Ｗ有蛄兄卸茧S機插入了誘騙邏輯量子比特，并且這些誘騙邏輯量子比特隨機取自于兩個非正交基因此，在竊聽檢測前，Eve不知道誘騙邏輯量子比特的位置和相應的量子態(tài)。如果Eve執(zhí)行截獲-重發(fā)攻擊，她偽造的序列是隨機的，將無法通過竊聽檢測。同樣Eve的測量-重發(fā)攻擊將會影響誘騙邏輯量子比特的狀態(tài)。如果假設檢測一種攻擊的誘騙粒子數(shù)量為m，則通信雙方能以1-(1/2)m的概率檢測到截獲-重發(fā)攻擊，而以1-(3/4)m的概率[32]檢測到測量-重發(fā)攻擊。

糾纏-測量攻擊：Eve可以用輔助粒子去糾纏傳輸?shù)倪壿嬃孔颖忍貋韴?zhí)行糾纏-測量攻擊。將這種糾纏變換記為U，用來表示極化態(tài)。顯然，這些糾纏操作U也會被執(zhí)行到誘騙邏輯量子比特上。以集體退相位噪聲信道為例，這些誘騙邏輯量子比特變化如下：

其中如果Eve想在兩次竊聽檢測中不引入錯誤，Eve的幺正變換U必須滿足條件因此，Eve不能區(qū)分輔助光子，即Eve不能通過觀察輔助光子獲取密鑰KB的有用信息。否則，攻擊將改變誘騙邏輯量子比特的狀態(tài)，因此無法通過竊聽檢測。因此，Eve的糾纏-測量攻擊失敗了。

特洛伊木馬攻擊：在本文的兩個QKA協(xié)議中，每個光子在量子信道中被傳輸兩次，因此Eve可能想執(zhí)行不可見光子竊聽（IPE）木馬攻擊[28]和延遲光子木馬攻擊[29-30]。然而，Bob在他的實驗室里安裝了波長量子濾波器和光子數(shù)分離器，其中波長量子濾波器能過濾掉不可見光子，而光子數(shù)分離器能檢測出延遲光子。因此，Eve無法成功執(zhí)行兩種特洛伊木馬攻擊。

5 效率分析

目前QKA協(xié)議的量子比特效率[33]定義為：η=c/(q+b)，其中c指建立共享密鑰的比特數(shù)量，q指所用量子比特數(shù)量，b指用來解碼的經(jīng)典比特數(shù)量。由于兩個QKA協(xié)議都用了n個邏輯Bell態(tài)，并且每個傳輸?shù)牧孔有蛄兄胁迦肓薽個誘騙邏輯量子比特，因此協(xié)議中用到的物理量子比特的數(shù)量共計q=3n+4m比特。兩個協(xié)議中解碼所需的經(jīng)典比特數(shù)量b=n+2n，通信雙方建立共享密鑰的比特數(shù)量為c=2n比特。所以這兩個QKA協(xié)議的量子比特效率均為：η=2n/(6n+4m)。由于文獻[14，21-22]中一般取m=n的情況對QKA協(xié)議的效率進行比較。當m=n時，有η=1/5=20%。文中的兩個QKA協(xié)議與現(xiàn)有免疫集體噪聲的QKA協(xié)議的比較如表1所示。通過數(shù)據(jù)比較知兩個協(xié)議與文獻[27]中的兩個QKA協(xié)議的量子比特效率相同，都是比較高的。然而，QKA協(xié)議的邏輯量子態(tài)的準備過程和協(xié)議的執(zhí)行過程都比HM密鑰協(xié)商協(xié)議[27]簡單得多。

表1 本文QKA協(xié)議和現(xiàn)有免疫集體噪聲的QKA協(xié)議比較

6 結束語

在本文中，基于邏輯Bell態(tài)提出了兩個分別免疫集體退相位噪聲和集體旋轉(zhuǎn)噪聲的兩方QKA協(xié)議。通過對誘騙邏輯量子比特和竊聽檢測過程的分析，證明了這兩個協(xié)議是安全的。與已有的幾個免疫集體噪聲的QKA協(xié)議一樣，都能抵抗參與者攻擊和相關外部攻擊，因此，新的免疫集體噪聲的QKA協(xié)議與已有的免疫集體噪聲的QKA協(xié)議在安全性上是相當?shù)?。通過對新協(xié)議的效率分析知，協(xié)議量子比特效率較高，雖然它們與HM密鑰協(xié)商協(xié)議有相同的量子比特效率，但協(xié)議實現(xiàn)更簡單。

：

[1]Bennett C H，Brassard G.Quantum cryptography：publickey distribution and coin tossing[C]//Proceedings of IEEE International Conference on Computers，Systems and Signal Processing.Bangalore：IEEE Press，1984：175-179.

[2]Xu G B，Zhang K J.A novel quantum group signature scheme without using entangled states[J].Quantum Information Processing，2015，14（7）：2577-2587.

[3]Wang L L，Ma W P.Controlled quantum secure communication protocol with single photons in both polarization and spatial-mode degrees of freedom[J].Modern Physics Letters B，2016，30（5）：1650051.

[4]Liu F，Su Q，Wen Q Y.Eavesdropping on multiparty quantum secret sharing scheme based on the phase shift operations[J].International Journal of Theoretical Physics，2014，53（5）：1730-1737.

[5]ElAllati A，ElBaz M，Hassouni Y.Quantum key distribution via tripartite coherentstates[J].Quantum Information Processing，2011，10（5）：589-602.

[6]Yin X R，Ma W P，Liu W Y，et al.Efficient bidirectional quantum secure communication with two-photon entanglement[J].Quantum Information Processing，2013，12（9）：3903-3102.

[7]Zhou N，Zeng G，Xiong J.Quantum key agreement protocol[J].Electronics Letter，2004，40（18）：1149-1150.

[8]Hsueh C C，Chen C Y.Quantum key agreement protocol with maximally entangled states[C]//Proceedings of the 14th Information Security Conference（ISC 2004）.Taipei：National Taiwan University of Science and Technology，2004：236-242.

[9]Tsai C W，Hwang T.On quantum key agreement protocol：CS-I-E[R].Taiwan，China：National Cheng Kung University，2009.

[10]Tsai C W，Chong S K，Hwang T.Comment on quantum key agreement protocol with maximally entangled states[C]//Proceedings of the 20th Cryptology and Information Security Conference（CISC 2010）.Hsinchu：National Chiao Tung University，2010：210-213.

[11]Chong S K，Hwang T.Quantum key agreement protocol based on BB84[J].Optics Communications，2010，283（6）：1192-1195.

[12]Chong S K，Tsai C W，Hwang T.Improvement on quantum key agreement protocol with maximally entangled states[J].International Journal of Theoretical Physics，2011，50（6）：1793-1802.

[13]Shi R H，Zhong H.Multi-party quantum key agreement with Bell states and Bell measurements[J].Quantum Information Processing，2013，12（2）：921-932.

[14]Shukla C，Alam N，Pathak A.Protocols of quantum key agreement solely using Bell states and Bell measurement[J].Quantum Information Processing，2014，13（11）：2391-2405.

[15]Huang W，Wen Q Y，Liu B，et al.Quantum key agreement with EPR pairs and single particle measurements[J].Quantum Information Processing，2014，13（3）：649-663.

[16]申冬蘇，馬文平，尹遜汝，等.兩方量子密鑰協(xié)商協(xié)議的改進[J].西安電子科技大學學報，2015，42（1）：86-90.

[17]Yin X R，Ma W P，Liu W Y.Three-party quantum key agreementwithtwo-photon entanglement[J].International Journal of Theoretical Physics，2013，52（11）：3915-3921.

[18]Xu G B，Wen Q Y，Gao F，et al.Novel multiparty quantum key agreement protocol with GHZ states[J].Quantum Information Processing，2014，13（12）：2587-2594.

[19]Huang W，Wen Q Y，Liu B，et al.Cryptanalysis of a multi-party quantum key agreement protocol with single particles[J].Quantum Information Processing，2014，13（7）：1651-1657.

[20]Zhu Z C，Hu A Q，F(xiàn)u A M.Improving the security of protocols of quantum key agreement solely using Bell states and Bell measurement[J].Quantum Information Processing，2015，14（11）：4245-4254.

[21]Shen D S，Ma W P，Wang L L.Two-party quantum key agreement with four-qubit cluster states[J].Quantum Information Processing，2014，13（10）：2313-2324.

[22]He Y F，Ma W P.Quantum key agreement protocols with four-qubit cluster states[J].Quantum Information Processing，2015，14（9）：3483-3498.

[23]Sun Z W，Yu J P，Wang P.Efficient multi-party quantum key agreement by cluster states[J].Quantum Information Processing，2016，15（1）：373-384.

[24]He Y F，Ma W P.Two-party quantum key agreement based on four-particle GHZ states[J].International Journal of Quantum Information，2016，14（1）：1650007.

[25]Walton Z D，Abouraddy A F，Sergienko A V，et al.Decoherence-free subspaces in quantum key distribution[J].Physical Review Letters，2003，91（8）：087901.

[26]Huang W，Su Q，Wu X，et al.Quantum key agreement against collective decoherence[J].International Journal of Theoretical Physics，2014，53（9）：2891-2901.

[27]He Y F，Ma W P.Two quantum key agreement protocols immune to collective noise[J].International Journal of Theoretical Physics，2017，56（2）：328-338.

[28]Cai Q Y.Eavesdropping on the two-way quantum communication protocols with invisible photons[J].Physics Letters A，2006，351（1/2）：23-25.

[29]Deng F G，Li X H，Zhou H Y，et al.Improving the security of multiparty quantum secret sharing against Trojan horse attack[J].Physical Review A，2005，72（4）：044302.

[30]Li X H，Deng F G，Zhou H Y.Improving the security of secure direct communication based on the secret transmitting order of particles[J].Physical Review A，2006，74（5）：054302.

[31]Deng F G，Long G L，Wang Y，et al.Increasing the efficiencies of random-choicebased quantum communication protocols with delayed measurement[J].Chinese Physics Letters，2004，21（11）：2097.

[32]Lin J，Hwang T.New circular quantum secret sharing for remote agents[J].Quantum Information Processing，2013，12（1）：685-697.

[33]Cabello A.Quantum key distribution in the Holevo limit[J].Physical Review Letters，2000，85（26）：5635-5638.