裴曉芳 江雷鳴 瞿治國

摘? 要： 介紹連續(xù)變量GHZ態(tài)的糾纏特性，并提出利用量子隱形傳態(tài)實現(xiàn)多方通信的方案。通過設(shè)定的保真度參數(shù)有效地驗證用戶身份，同時實現(xiàn)身份密鑰的更新。詳細(xì)的安全性分析表明，在受到攔截?重發(fā)攻擊與分光鏡攻擊時，只需保證量子信道傳輸效率大于0.5且盡可能地增大連續(xù)變量GHZ態(tài)的壓縮參數(shù)，就可以保障通信的安全性以及維持較高的信息傳輸速率。

關(guān)鍵詞： 量子身份認(rèn)證; 連續(xù)變量GHZ態(tài); 量子隱形傳態(tài); 保真度參數(shù)計算; 攔截?重發(fā)攻擊; 分光鏡攻擊; 安全性分析

中圖分類號： TN918.1?34? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼： A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）21?0012?05

Three?party quantum identity authentication based on continuous?variable GHZ state

PEI Xiaofang1， 2， JIANG Leiming3， QU Zhiguo4

（1. Binjiang College of Nanjing University of Information Science and Technology， Binjiang 214105， China;

2. Jiangsu Collaborative Innovation Center of Atmospheric Environment and Equipment Technology， Nanjing University of Information

Science and Technology， Nanjing 210044， China;

3. School of Electronic and Information Engineering， Nanjing University of Information Science and Technology， Nanjing 210044， China;

4. School of Computer and Software， Nanjing University of Information Science and Technology， Nanjing 210044， China）

Abstract： The entanglement property of continuous?variable GHZ state is introduced， and the scheme for realizing multi?party communication by quantum teleportation is proposed in this paper. Users identity is effectively verified and the identity key is updated by the given fidelity parameter. The detailed security analysis proves that， when the quantum channel transmission efficiency is greater than 0.5 and the compression factor of the continuous?variable GHZ state are increased as much as possible， the security of communication can be guaranteed and the higher quantum information transmission rate can be kept under intercepted?replay attack and spectroscopic attack.

Keywords： quantum identity authentication; continuous?variable GHZ state; quantum teleportation; fidelity parameter calculation; intercepted?replay attack; spectroscopic attack; security analysis

0? 引? 言

信息安全是通信科學(xué)領(lǐng)域的一個重要課題，隨著互聯(lián)網(wǎng)的快速發(fā)展，信息安全變得越來越重要。相比于經(jīng)典安全通信，量子安全通信[1]具有無可比擬的優(yōu)勢，例如：不可克隆定理、測不準(zhǔn)原理、非局域性等特點[2]，令它具有極高的安全性。自第一個量子密鑰分發(fā)（QKD）BB84協(xié)議[3]被提出后，量子通信便開始快速發(fā)展。

近年來，量子通信的理論研究和應(yīng)用得到了多方面的發(fā)展，包括量子計算[4]、量子網(wǎng)絡(luò)編碼[5]、量子拍賣[6]、量子機器學(xué)習(xí)[7]等。而在網(wǎng)絡(luò)通信中，身份認(rèn)證是通信方之間經(jīng)常遇到的問題，量子網(wǎng)絡(luò)也不例外。目前，量子身份認(rèn)證已經(jīng)能夠應(yīng)用于部分場景，比如車載網(wǎng)絡(luò)[8]、在線談判和電子投票[9]等，但大多數(shù)都是基于離散變量。

如今，連續(xù)變量量子保密通信技術(shù)[10]相較于離散變量，具有量子態(tài)易于制備、檢測效率高、通信容量大和通信速率快等諸多優(yōu)勢。其中，連續(xù)變量量子身份認(rèn)證也有了物理上的實現(xiàn)[11]，而連續(xù)變量GHZ態(tài)的出現(xiàn)使得通信過程不僅僅局限于兩個通信方[12]。

本文將充分利用連續(xù)變量GHZ態(tài)的糾纏特性和量子隱形傳態(tài)原理，通過設(shè)定的保真度參數(shù)，同時驗證多個用戶身份，并實現(xiàn)身份密鑰的更新。結(jié)果表明，該協(xié)議在受到攔截?重發(fā)攻擊與分光鏡攻擊時，量子信道傳輸效率大于0.5，連續(xù)變量GHZ態(tài)的壓縮參數(shù)與通信的安全性以及信息傳輸速率呈正相關(guān)。

1? 準(zhǔn)備工作

1.1? 量子光學(xué)基礎(chǔ)

在量子光學(xué)中，利用創(chuàng)造算符[a?]和湮滅算符[a]，可以產(chǎn)生振幅[x]和相位[p]兩個光束上的正則分量：

[x=12a?+a] （1）

[p=i2a?-a] （2）

式中：[a?]和[a]滿足玻色子互易關(guān)系[a，a=a?，a?=0]和[a，a?=1]，因此[x，p=i2]，正則分量[x]和[p]滿足海森堡測不準(zhǔn)原理：[Δx?Δp≥14]。

一條壓縮光束可以被定義為：

[α，r=x+ip=erx0+ie-rp0] （3）

式中[r]是壓縮因子。當(dāng)[r<0]時，這條光束的振幅分量被壓縮;當(dāng)[r>0]時，這條光束的相位分量被壓縮。[x0]和[p0]各自表示真空態(tài)的振幅和相位，并且滿足關(guān)系：[ x0，p0～N0，14]。

1.2? 連續(xù)變量GHZ態(tài)的制備

連續(xù)變量GHZ態(tài)在本協(xié)議中非常重要，它的制備過程如圖1所示。

首先，令兩個壓縮真空態(tài)[ain1]和[ain2]通過一個透射系數(shù)為0.5的分束器[BS1]，產(chǎn)生[aout1]和[a*in3];再令[a*in3]和另一個壓縮真空態(tài)[ain3]通過一個透射系數(shù)為1的分束器[BS2]，產(chǎn)生[aout2]和[aout3]。此時， [aout1]，[aout2]和[aout3]便是一組連續(xù)變量的GHZ糾纏態(tài)，其表達(dá)式為：

[xout1=13er1xin10+23e-r2xin20] （4）

[pout1=13e-r1pin1（0）+23er2pin20] （5）

[xout2=13er1xin10-16e-r2xin20+12e-r3xin30] （6）

[pout2=13e-r1pin10-16er2pin20+12er3pin30] （7）

[xout3=13er1xin10-16e-r2xin20-12e-r3xin30] （8）

[pout3=13e-r1pin10-16er2pin20-12er3pin30] （9）

當(dāng)它們壓縮系數(shù)相同，即[r1=r2=r3=r]時，可以計算[aout1]，[aout2]和[aout3]之間振幅與相位的相關(guān)性：

[Δxout1-xout22=12-34e-2r] （10）

[Δxout1-xout32=12+34e-2r] （11）

[Δpout1+pout2+pout32=34e-2r] （12）

當(dāng)壓縮參數(shù)[r]無限接近于正無窮，即[r→+∞]時，輸出的光學(xué)模式[aout1]，[aout2]和[aout3]之間的相關(guān)性也會越來越強：

[limr→+∞xout1-xout2=limr→+∞xout1-xout3=0] （13）

[limr→+∞pout1+pout2+pout3=0] （14）

顯然，任意兩個連續(xù)變量GHZ態(tài)的振幅分量呈現(xiàn)正相關(guān)，而它們的相位分量也具有糾纏特性。

1.3? 連續(xù)變量量子隱形傳態(tài)的原理

如圖2所示，Alice制備一個相干態(tài)[aA=xA+ipA]以待傳輸。同時，Alice和Bob分別擁有兩個糾纏的光學(xué)模式[aout1]和[aout2]。待一切準(zhǔn)備就緒后，Alice令相干態(tài)[aA]和[aout1]通過一個50/50的分束器進(jìn)行貝爾態(tài)測量，得到[xo]和[po]：

[xo=12xA-xout1] （15）

[po=12pA+pout1] （16）

在Alice通過經(jīng)典信道公布測量結(jié)果后，Bob對[aout2]采用相關(guān)幺正操作[Dβ=2xo+ipo]，得到[aB]：

[xB=xout2+2xo=xA-xout1-xout2] （17）

[pB=pout2+2po=pA+pout1+pout2] （18）

根據(jù)式（13）和式（14），如果壓縮參數(shù)[r→+∞]，可以得到[xB=xA]，[pB=pA-pout3]。這就意味著Alice和Bob在振幅分量上得到了一組高度相關(guān)的序列。因此，在本文的協(xié)議中，只在振幅分量上調(diào)制有效信息，而在相位分量上調(diào)制無關(guān)的隨機信息[n]。

2? 三方量子身份認(rèn)證協(xié)議的內(nèi)容

當(dāng)Bob或Charlie嘗試與Alice通信時，即協(xié)議開始之前，他們需要事先共享一個二進(jìn)制序列[K1]作為初始的身份密鑰。

如圖3所示，假設(shè)量子信道是無損的，具體內(nèi)容如下：

1） Alice制備連續(xù)變量GHZ糾纏態(tài)[aout1]，[aout2]和[aout3]。Alice自己保留[aout1]，之后將[aout2]和[aout3]通過量子信道分別傳遞給Bob和Charlie。

2） 確認(rèn)Bob和Charlie分別收到[aout2]和[aout3]后，Alice先把[K1]轉(zhuǎn)化為十進(jìn)制序列[k1]，再選擇兩個十進(jìn)制數(shù)字[k2]和[v]，它們滿足正態(tài)分布[N0，σ2]。Alice制備一個真空態(tài)[0]經(jīng)過位移操作[Dα1=k1+k2+in]得到相干態(tài)光學(xué)模式[a1]，用于更新身份密鑰。同時，Alice再制備一個真空態(tài)[0]，經(jīng)過位移操作[Dα′1=（k1+v）+in]得到相干態(tài)光學(xué)模式[a′1]，作為誘餌態(tài)用于身份認(rèn)證。

3） Alice隨機選擇[a1]或者[a′1]，與[aout1]在每個時隙上做貝爾態(tài)測量，得到[xo=12x1-xout1]和[po=12p1+pout1]，或者[xo=12x′1-xout1]和[po=12p′1+pout1]。然后，Alice通過經(jīng)典信道向Bob和Charlie公布[xo]和[po]。

4） 根據(jù)接收到的[xo]和[po]，Bob和Charlie分別對[aout2]和[aout3]進(jìn)行相同的幺正操作[Do=2xo+ipo]。以Bob為例，它選擇振幅分量進(jìn)行測量得到序列[δ]。Alice再公布使用[a′1]的所有時隙[t]，Bob根據(jù)這些時隙提取相應(yīng)的測量結(jié)果序列[δ′1]，而剩下的測量結(jié)果定義為[δ1]。

5） Bob將[K1]轉(zhuǎn)化為十進(jìn)制序列[k′1]，再計算[v=δ′1-?k′1]，[?]是[k′1]的系數(shù)，在無損信道中[?=1]。在Bob公布[v]之后，Alice計算一個保真度參數(shù)[F=v-φv2min]。在無損信道中[φ=1]，計算[F=]0時，意味著[k1=k′1]，即驗證了用戶身份是合法的，Bob再更新身份密鑰序列[δ1-k′1]，即[k2]的值，以備下次通信使用。若[F>]0，則說明存在竊聽者Eve或用戶不合法，放棄本次通信。同理，Charlie也進(jìn)行了步驟4）和步驟5）以認(rèn)證合法通信方身份。

3? 安全性分析

在量子密碼學(xué)中，安全性至關(guān)重要。為了進(jìn)行主動攻擊，竊聽者Eve需要通過身份認(rèn)證，其中最有效的方法是獲取更新的身份密鑰，并在下一次通信中實現(xiàn)主動攻擊。本文將分析在Eve常用的攔截?重發(fā)攻擊與分光鏡攻擊下，該協(xié)議的安全性。

3.1? 攔截?重發(fā)攻擊

Eve攔截Alice發(fā)送的所有量子信號，并通過平衡零差檢測技術(shù)隨機測量振幅或相位，結(jié)合經(jīng)典信道發(fā)送的信息，可以恢復(fù)更新后的身份密鑰，最后根據(jù)測量結(jié)果制備量子態(tài)發(fā)送給Bob和Charlie。

由于測不準(zhǔn)原理的限制，Eve的測量不可避免地會引入噪聲，此時合法用戶就可以通過計算保真度參數(shù)[F]檢測到。但在實際通信中，Alice和Bob之間的量子信道也一直是有損耗、有噪聲的，[r]也不可能是無限的。因此需要具體分析噪聲情況下，如何通過計算保真度參數(shù)保證攔截?重發(fā)攻擊下的安全性。

以Bob為例，假定量子信道傳輸效率為[η]，冗余噪聲為[aN]，其方差為[VN]。此時，Bob接收到的量子態(tài)為：

[a′out2=ηaout2+1-ηaN] （19）

在Alice公布[xo]和[po]后，Bob對接收到的[a′out2]進(jìn)行幺正操作[Dηo=2ηxo+ipo]得到[aB]。當(dāng)Alice選擇相干態(tài)光學(xué)模式[a′1]時：

[aB=a′out2+2η（xo+ipo） =ηaout2+1-ηaN+ηa′1-ηaout1 =ηa′1+1-ηaN-32ηe-rain2+12ηe-rain3] （20）

因為有效信息只調(diào)制在振幅分量上，在步驟5）中，Bob通過測量[x]計算[v]，假設(shè)系數(shù)[?=η]：

[v（x）=δ′1（x）-ηk′1=ηk1+v+1-ηxN-32ηe-rxin20+12ηe-rxin30-ηk′1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（21）]

當(dāng)Bob身份合法時，[k′1=k1]，Alice得到：

[v（x）-φv=1-ηxN-32ηe-rxin20+ 12ηe-rxin30+η-φv]? （22）

[Ftrue=v（x）-φv2true=1-ηVN-14ηe-2r+η-φ2σ2] （23）

假如Eve攔截所有信號，即接收方身份不合法，他將獲得錯誤的身份密鑰，即[k′1≠k1]。Alice假設(shè)[k′1～N0，σ2]，可以得到：

[Ffalse=v（x）-φv2false =1-ηVN-14ηe-2r+η-φ2σ2+2ησ2] （24）

因此：

[Ffalse-Ftrue=2ησ2>0] （25）

這意味著，即使在正常噪聲情況下，[Ffalse>Ftrue]也總是存在，Alice可以有效地通過計算保真度參數(shù)驗證接收方的身份。

3.2? 分光鏡攻擊

Eve也有可能使用分光鏡截取部分信號進(jìn)行測量，如圖4所示。

假設(shè)Eve所用的分光鏡透射系數(shù)為[λ0≤λ≤1]，則Alice發(fā)出的兩條光束[aA1]和[aA2]經(jīng)過分光鏡后變?yōu)椋?/p>

[a′A1=λaA1+1-λaN1] （26）

[a′A2=λaA2+1-λaN2] （27）

Eve獲得[aE1]和[aE2]：

[aE1=λaN1-1-λaA1] （28）

[aE2=λaN2-1-λaA2] （29）

以[aE1]為例進(jìn)行分析，依然假設(shè)量子信道傳輸效率為[η]，則無竊聽時，Bob收到的信號為：

[a′A1=ηaA1+1-ηaN1] （30）

Eve需要對[aE1]進(jìn)行相應(yīng)的增益放大處理[13]以避免被發(fā)現(xiàn)，并和[a′A1]一起發(fā)送給Bob，則Bob收到的有效信號為：

[a=gaE1+a′A1] （31）

式中[g]為增益系數(shù)。為了讓Bob收到的信號為[ηaA1]，根據(jù)式（26），式（28）和式（31），需要滿足：

[ηaA1=-g1-λaA1+λaA1] （32）

Eve得到[g=λ-η1-λ]，則Bob收到的噪聲信號為：

[aN=1-ηλ1-λaN1] （33）

若[λ≠η]，則[aN≠1-ηaN1]，Bob的信噪比將發(fā)生變化，從而使通信方在竊聽檢測中發(fā)現(xiàn)Eve。只有當(dāng)[λ=η]，即Eve采用透射系數(shù)與信道傳輸效率相同的分光鏡進(jìn)行攔截時，[g=0]，不需要增益補償。此時Eve和Bob收到的信號分別為：

[aE1=ηaN1-1-ηaA1] （34）

[a′A1=ηaA1+1-ηaN1] （35）

再根據(jù)式（6）分別得到Eve和Bob的振幅分量為：

[xE1=ηxN1-1-η13erxin10-16e-rxin20+12e-rxin30] （36）

[x′A1=η13erxin10-16e-rxin20+12e-rxin30+1-ηxN1] （37）

式中[xN1～N0，VN1]，當(dāng)測量[a′A1]的振幅時，有效信號為[η3erxin10]，其余為噪聲，計算Bob端的信噪比為：

[M′A1N′A1=ηe2r2ηe-2r+121-ηVN1] （38）

則Alice和Bob間的信息量為：

[IA，B=12log21+M′A1N′A1] （39）

同理，Eve端的信噪比為：

[ME1NE1=1-ηe2r21-ηe-2r+12ηVN1] （40）

Alice和Eve間的信息量為：

[IA，E=12log21+ME1NE1] （41）

因此，根據(jù)香濃信息論可得量子信道傳輸速率為：

[ΔI=IA，B-I（A，E）=12log2ηe2r+2e-2r+121-ηVN12ηe-2r+121-ηVN1?21-ηe-2r+12η1-ηe2r+2e-2r+12ηVN1] （42）

當(dāng)[VN1=14]時，由式（42）得到量子信息傳輸速率如圖5所示。當(dāng)信道傳輸效率[η<0.5]時，信息傳輸速率[ΔI<0]，即Eve獲取的信息量大于Bob獲取的信息量，此時信道不安全;當(dāng)[η>0.5]時，[ΔI>0]，通信是較為安全的。此外，影響安全程度的另一個重要因素是連續(xù)變量GHZ態(tài)的糾纏特性，隨著壓縮參數(shù)[r]的增大，信息傳輸速率隨之增高，安全性也逐漸增強。

4? 結(jié)? 語

本文提出的量子身份認(rèn)證協(xié)議充分利用了連續(xù)變量GHZ態(tài)的糾纏特性和量子隱形傳態(tài)原理，通過計算保真度參數(shù)有效地驗證通信方是否合法。不僅使發(fā)送方能夠同時與兩個通信方進(jìn)行身份認(rèn)證，而且驗證了該協(xié)議在受到攔截?重發(fā)攻擊與分光鏡攻擊時的安全性。結(jié)果表明，當(dāng)量子信道傳輸效率大于0.5時，連續(xù)變量GHZ態(tài)的壓縮參數(shù)越大，通信的安全性越強，信息傳輸速率越高。

注：本文通訊作者為江雷鳴。

參考文獻(xiàn)

[1] 孫仕海，梁林梅.量子保密通信技術(shù)前沿述評[J].國防科技，2014，35（6）：7?13.

[2] MICHAEL A N， ISAAC L C. Quantum computation and quantum information [M]. Beijing： Tsinghua University Press， 2003.

[3] BENNETT C H， BRASSARD G. Quantum cryptography： public key distribution and coin tossing [J]. Theoretical computer science， 2014， 560（1）： 7?11.

[4] LIU Wenjie， CHEN Zhenyu， LIU Jinsuo， et al. Full?blind delegating private quantum computation [J]. CMC?computers materials & continua， 2018， 56（2）： 211?223.

[5] XU Gang， CHEN Xiubo， LI Jing， et al. Network coding for quantum cooperative multicast [J]. Quantum information processing， 2015， 14（11）： 4297?4322.

[6] LIU Wenjie， WANG Haibin， YUAN Gonglin， et al. Multiparty quantum sealed?bid auction using single photons as message carrier [J]. Quantum information processing， 2016， 15（2）： 869?879.

[7] LIU Wenjie， GAO Peipei， YU Wenbin， et al. Quantum relief algorithm [J]. Quantum information processing， 2018， 17（10）： 280.

[8] CHEN Zhiya， ZHOU Kunlin， LIAO Qin. Quantum identity authentication scheme of vehicular ad?hoc networks [J]. International journal of theoretical physics， 2018， 58（6）： 40?57.

[9] SHI Weimin， ZHOU Yihua， YANG Yuguang. Quantum deniable authentication protocol [J]. Quantum information processing， 2014， 13（7）： 1501?1510.

[10] 陸鳶.連續(xù)變量量子保密通信技術(shù)研究[D].上海：上海交通大學(xué)，2011.

[11] NIKOLOPOULOS G M， DIAMANTI E. Continuous?variable quantum authentication of physical unclonable keys [EB/OL]. [2017?04?10]. https：//www.nature.com/articles/srep46047/.

[12] YU Zhenbo， GONG Lihua， ZHU Qibiao， et al. Efficient three?party quantum dialogue protocol based on the continuous variable GHZ states [J]. International journal of theoretical physics， 2016， 55（7）： 3147?3155.

[13] ZHANG Yichen， LI Zhengyu， WEEDBROOK C， et al. Noiseless linear amplifiers in entanglement?based continuous?variable quantum key distribution [J]. Entropy， 2015， 17（7）： 4547?4562.

作者簡介：裴曉芳（1978-），女，江蘇鹽城人，碩士，副教授，主要研究方向為信號處理與應(yīng)用。

江雷鳴（1995—），男，安徽人，碩士生，主要研究方向為量子安全通信。

瞿治國（1977—），男，湖北人，博士，教授，主要研究方向為量子安全通信。