鐘紀(jì)鋒

(集美大學(xué) 航海學(xué)院，福建 廈門，361021)

當(dāng)今社會人們信息交互量越來越大，信息傳輸安全和可靠性問題也同時擺在了人們的面前，建立安全可靠的通信網(wǎng)絡(luò)越來越迫切。人們開展安全通信研究的主要目的就是讓發(fā)送信息的一方將秘密信息安全、高效地傳送給信息接收方。發(fā)送信息的一方利用密鑰對需要傳送的信息進(jìn)行加密，信息接收方對接收的秘密信息進(jìn)行解密，是目前安全通信領(lǐng)域常用的一種方式。用于解決目前經(jīng)典通信系統(tǒng)的安全性問題的密鑰體系一般都是基于數(shù)學(xué)問題的求解困難性導(dǎo)致計算機(jī)需要非常長的時間才能破譯密鑰這一原理，然而隨著量子信息理論的快速發(fā)展，對基于經(jīng)典密鑰體系的通信安全在理論上面臨非常大的挑戰(zhàn)。量子密鑰體系的安全性是基于量子物理的不可克隆定理、非正交狀態(tài)不可區(qū)分定理，以及量子糾纏等相關(guān)特性，而不是數(shù)學(xué)問題的求解困難性，在理論上即使計算能力再強(qiáng)的竊聽者也不能破譯量子密鑰，這樣就可以保證量子密鑰的安全。BENNETT和BRASSARD[1]在1984年提出了著名的“BB84”量子密鑰分發(fā)協(xié)議之后，近年來越來越多的科研人員開始研究量子密鑰分發(fā)協(xié)議理論，并且取得了很多研究成果，很多量子密鑰分發(fā)方案相繼提出來[2-11]，比如文獻(xiàn)[12-16]中提出的密鑰分發(fā)方案均較為高效。為了合法用戶之間密鑰的安全分發(fā)，偽裝者竊聽不能破譯信息，一些基于驗證的量子密鑰分發(fā)方案也被提出。

為了驗證通信雙方的身份，本文將提出一種基于身份驗證的量子密鑰分發(fā)方案，該方案利用了量子糾纏交換的特殊物理性質(zhì)，需要進(jìn)行通信的二者在驗證雙方的合法性同時，可以檢測量子信道的安全性，無需傳送量子比特、交換經(jīng)典信息或執(zhí)行酉操作，通信雙方即可利用糾纏交換的性質(zhì)進(jìn)行貝爾測量即可生成安全的密鑰，且每兩對糾纏粒子就可以生成密鑰的2個量子比特位。本文將對所提出的量子密鑰分發(fā)方案的安全性進(jìn)行詳細(xì)分析并計算密鑰生成效率。

1 EPR對間的糾纏交換

糾纏交換是可以將原本沒有直接相互作用的兩個量子系統(tǒng)產(chǎn)生糾纏的物理特性。由于糾纏交換有著特殊的性質(zhì)，因此其在量子通信中起著特別重要的作用。EPR對是處于最大糾纏態(tài)的雙量子系統(tǒng)，它處于下列四種狀態(tài)中的一種：

(1)

(2)

(3)

(4)

上面的|0〉和|1〉分別是一個光子的水平偏振態(tài)和垂直偏振態(tài)，每種狀態(tài)亦稱為貝爾態(tài)，{|φ+〉,|φ-〉,|ψ+〉,|ψ-〉}構(gòu)成雙量子位系統(tǒng)的一個完備正交基，用這組完備正交基來測量雙量子比特系統(tǒng)的量子狀態(tài)則稱為貝爾測量。

假定需要進(jìn)行通信的二者Alice和Bob共享兩個貝爾態(tài)|φ+〉12和|φ+〉34，且Alice擁有粒子1和3，Bob擁有粒子2和4。|φ+〉12和|φ+〉34的張量積態(tài)可表示為

(5)

也就是說，如果Alice對粒子1和3進(jìn)行貝爾測量，則Alice將以等概率得到|φ+〉，|φ-〉，|ψ+〉或|ψ-〉，若Bob對粒子2和4進(jìn)行貝爾測量將獲得和Alice相同的結(jié)果，使得原本不糾纏的粒子對(1，3)、(2，4)分別糾纏，這種現(xiàn)象稱為糾纏交換。由于貝爾態(tài)有四種，總的糾纏交換公式共有16個，本文將用到公式(5)提出量子密鑰分發(fā)方案。

2 量子密鑰分發(fā)方案

假設(shè)通信的二者Alice和Bob秘密共享一個初始密鑰K，及一個單向hash函數(shù)h:{0,1}*→{0,1}2S，其中*表示任意長度，S為常數(shù)。Alice和Bob分別計算出hash值h(K‖r)，其中r表示Alice和Bob已經(jīng)同步過的隨機(jī)數(shù)。然后，Alice和Bob將hash值分成等長的兩部分：HKA和HKB，并將它們保密。

3 身份驗證

1)Alice和Bob各自制備N個EPR粒子對，使每對粒子的初始狀態(tài)為|φ+〉。Alice和Bob將所有EPR對分別組成粒子對序列[P1(1,2),P2(1,2),…,Pi(1,2),…,PN(1,2)]和[P1(3,4),P2(3,4),…,Pi(3,4),…,PN(3,4)]，其中Pi(1,2)和Pi(3,4)分別表示有序粒子對中Alice和Bob制備的第i個EPR對，1和2粒子由Alice制備，3和4粒子由Bob制備。Alice將所有的1粒子和2粒子分別組成有序粒子序列P1和P2，Bob將所有的3粒子和4粒子分別組成粒子序列P3和P4。

2)Alice自己保留粒子序列P1，同時把粒子序列P2傳送給Bob，Bob向Alice確認(rèn)收到粒子序列P2。Bob將粒子序列P3傳送給Alice，同時保留粒子序列P4，Alice向Bob確認(rèn)收到粒子序列P3。

3)Alice和Bob分別從制備的EPR對序列中隨機(jī)選出S個EPR對，作為檢測樣本EPR對，并分別向?qū)Ψ焦_這些EPR對的位置。對于原本由Alice制備的樣本EPR對，Alice和Bob約定由HKA決定測量基，即若HKA=0，Alice和Bob選擇Z基{|0〉,|1〉}進(jìn)行測量，否則Alice和Bob選擇X基{|+〉,|-〉}進(jìn)行測量，測量完成后，Bob將測量結(jié)果告知Alice，Alice比較二者的測量結(jié)果，進(jìn)而計算量子比特誤碼率。在理想情況下，由公式(5)可知，Alice和Bob的測量結(jié)果應(yīng)該一致。如果錯誤率低于某個閾值，Alice則可認(rèn)為Bob為合法用戶，且量子信道安全。對于原本由Bob制備的樣本EPR對，Alice和Bob約定由HKB決定測量基。用類似的方法，Bob來檢測Alice是否是合法用戶且量子信道是否安全。如果Alice和Bob可以確定對方為合法用戶且量子信道安全，則繼續(xù)執(zhí)行下一步，否則放棄本次通信。

4)Alice和Bob確定對方為合法用戶及量子信道安全之后，Alice擁有粒子序列P1和P3，Bob擁有粒子序列P2和P4。Alice和Bob拋棄P1，P2，P3和P4中的樣本粒子從而得到新的對應(yīng)的粒子序列P′1，P′2，P′3和P′4，記P′i(j)為序列P′i中第j個粒子。Alice對序列P′1和P′3中每個粒子對(P′1(j),P′3(j))進(jìn)行貝爾測量，Bob對序列P′2和P′3中相應(yīng)粒子對(P′2(j),P′4(j))進(jìn)行貝爾測量，并分別保密各自的結(jié)果。根據(jù)公式(5)可知，Alice和Bob分別能隨機(jī)得到四種不同的測量結(jié)果，且Alice和Bob測量結(jié)果相同，于是，Alice和Bob可以根據(jù)如下規(guī)則生成密鑰。

|φ+〉→00,|ψ+〉→01,|ψ-〉→10,|φ-〉→11。

(6)

在生成初始的量子密鑰之后，Alice和Bob對所生成的量子密鑰進(jìn)行信息調(diào)和和保密增強(qiáng)從而得到安全可靠的私鑰。

從以上量子密鑰分發(fā)的方案可以知道，在傳輸序列安全送至合法用戶的情況下，Alice和Bob無需再傳送任何量子比特，也不需要交換經(jīng)典信息及執(zhí)行酉操作，根據(jù)糾纏交換的性質(zhì)，利用貝爾測量即可生成密鑰；且根據(jù)密碼生成規(guī)則可知，每2個EPR對可以生成密鑰的2個量子比特位。

4 安全性分析

由于在密鑰生成過程中，不再需要傳輸任何量子比特，量子協(xié)議的安全性是基于量子信道的安全性和用戶的合法性為前提。換句話表述，如果量子信道是安全的而且用戶是合法的，那么生成的密鑰就是安全的。在下面分析中，敵對者假設(shè)為Eve。另外，由于Eve只能訪問P2序列和P3序列，故不失一般性，分析Eve攻擊P2序列的情況，對于Eve竊聽P4的情況也是相類似的。

偽裝者Eve可能偽裝Bob接收Alice傳送的粒子序列P2，同時偽裝Alice制備偽裝序列傳送給Bob來和Alice與Bob進(jìn)行通信而不讓Alice或Bob知曉。Alice將粒子序列P2傳出后在Bob未收到該序列前并不會公開檢測樣本粒子的為位置，并且偽裝者Eve并不知道Alice和Bob共享的初始密鑰K，甚至不知道Alice和Bob所使用的hash函數(shù)具體是什么，偽裝者也就無法獲得驗證碼HKA，不知如何測量傳輸序列P2也就無法制備偽裝序列。否則，偽裝者必然引起較高的錯誤率，從而被發(fā)現(xiàn)。

Eve也許純粹破壞傳輸序列的狀態(tài)來干擾Alice和Bob的通信卻不發(fā)現(xiàn)。類似地，僅對Eve試圖破壞P2粒子傳輸?shù)那樾?。Eve試圖尋找一個酉算子作用于序列P2粒子來破壞其狀態(tài)，再將P2傳送給Bob，使得Bob僅通過Z基測量檢測粒子不能發(fā)現(xiàn)此種攻擊。眾所周知，任何單粒子酉算子U都可以表示成I，σx，σy，σz的線性組合，即

U=aI+bσx+cσy+dσz

(7)

從而對某個EPR對而言， Eve破壞攻擊后其狀態(tài)為

Υ=a|φ+〉+b|ψ+〉+ic|ψ-〉+d|φ-〉

(8)

由于Eve不知道驗證碼HKA，也就不知道Bob對序列P2中的檢測樣本粒子進(jìn)行何種測量。當(dāng)HKA=0時，Eve要使破壞活動不被發(fā)現(xiàn)，根據(jù)公式(8)，必須使得b=0，c=0；當(dāng)HKA=1時，根據(jù)公式(8)，Eve必須使得c=0，d=0。結(jié)果兩種情況可知，如果要使其破壞活動不被發(fā)覺，Eve僅能進(jìn)行I操作；否則Eve將被發(fā)現(xiàn)。

(9)

(10)

其中|a00|2+|a01|2=1，|a10|2+|a11|2=1，|e00〉、|e01〉、|e10〉和|e11〉為輔助探針e可能的量子態(tài)。Eve糾纏攻擊后，相對應(yīng)的1粒子、2粒子和探針e組成的系統(tǒng)總狀態(tài)(|Ξ〉)為：

當(dāng)HKA=0時，Eve要使糾纏攻擊不被發(fā)現(xiàn)，根據(jù)公式(11)，必須使得

(12)

當(dāng)HKA=1時，Eve要使糾纏攻擊不被發(fā)現(xiàn)，根據(jù)公式(11)，必須使得

(13)

結(jié)合公式(12)和(13)可知，如Eve的糾纏攻擊在兩種情況下均不產(chǎn)生錯誤，則有a00|e00〉E=a11|e11〉E。不妨設(shè)設(shè)a00|e00〉E=a11|e11〉E=a|e′〉E。從而有：

(14)

因此，Alice和Bob能有效防止Eve的此種攻擊。

從上述密鑰分發(fā)方案可知，在傳輸序列安全送至合法用戶的情況下，Alice和Bob無需再傳送任何量子比特，只需要進(jìn)過貝爾測量即可獲得密鑰，沒有量子比特和經(jīng)典信息的傳輸，此時是完全安全的。

綜上所述，所提量子密鑰分發(fā)方案能有效防止各種已知攻擊，是安全的。

5 效率分析與比較

2000年，CABELLO[17]提出了量子密鑰分發(fā)協(xié)議的效率計算公式，用來評估量子資源的有效利用率ε。

(15)

其中bs為產(chǎn)生的經(jīng)典密鑰總比特數(shù)，qt為所消耗的量子比數(shù)、bt為發(fā)送方和接收方互相交換的總經(jīng)典比特數(shù)。由于用于檢測量子信道安全所耗費(fèi)的量子比特和交換的經(jīng)典信息一般可認(rèn)為為固定值，一般不予考慮。從所提方案可知，除了在用戶相互驗證階段需要交換少量的經(jīng)典信息和耗費(fèi)少量的量子資源外，在量子密鑰生成階段完全不需要傳送任何量子比特和交換任何經(jīng)典信息，且每兩個量子糾纏粒子對可以生成2比特量子密鑰，即bs=2，qt=4，bt=0，因此在不考慮少量用于量子檢測而消耗的量子比特和交換的經(jīng)典信息的情況下，所提出量子密鑰分發(fā)方案效率為50%。

將文中的結(jié)果與文獻(xiàn)[18]和[19]中基于糾纏交換的量子密鑰分發(fā)協(xié)議效率進(jìn)行對比。在文獻(xiàn)[18]中，所提量子密鑰分發(fā)協(xié)議有bs=2，qt=2，bt=4，故它的效率為33.3%。本文所提方案效率是它的1.5倍。文中所提量子密鑰分發(fā)協(xié)議的效率與文獻(xiàn)[19]所提量子密碼分發(fā)協(xié)議相比，雖然具有相同效率，但是文中所提量子密鑰分發(fā)方案中包含了驗證通信雙方身份的過程，這樣可以有效地防止偽裝攻擊，而文獻(xiàn)[19]所提量子密鑰分發(fā)協(xié)議，并不能防止偽裝攻擊。綜上所述，本文所提量子密鑰分發(fā)協(xié)議既具有較高的效率又具有較好的安全性。

6 結(jié)束語

本文基于一種新的身份驗證方法和量子糾纏交換性質(zhì)，提出了一種量子密鑰在合法授權(quán)用戶之間分發(fā)的新方案?；趆ash函數(shù)提出了一種身份驗證方案，通過詳細(xì)分析可知，本文提出的方案能完成合法用戶的相互驗證，同時，可以檢測量子信道的安全。本文所提出的方案中，通信雙方均需要各自準(zhǔn)備一種糾纏貝爾態(tài)資源，通信雙方分別傳送糾纏貝爾態(tài)的一半粒子給對方，通過糾纏交換和貝爾測量將原來本沒有相互作用的雙量子系統(tǒng)關(guān)聯(lián)起來，并利用這種特殊的關(guān)聯(lián)特性使每兩對糾纏粒子生成2比特的密鑰。另外，無需交換任何經(jīng)典信息且不要執(zhí)行酉操作，只需進(jìn)行貝爾測量即可生成密鑰。根據(jù)Cabello提出的效率計算公式可算得所提方案的效率約為50%。