代金鞘 張仕斌 昌 燕 李雪楊 鄭 濤

(成都信息工程大學網(wǎng)絡空間安全學院 四川 成都 610225)

0 引 言

密碼學在信息化社會中扮演著越來越重要的角色。但隨著量子計算機[1]和量子算法[2-3]的發(fā)展，傳統(tǒng)的加密方式都將面臨潛在的威脅。研究者將注意力轉向了由量子力學發(fā)展來的量子密碼學，量子密碼學的安全性是通過量子力學原理保證的，這使得量子密碼在信息論的角度下是十分安全的。自Bennett等[4]設計出第一個單光子偏振協(xié)議(BB84協(xié)議)以來，研究者在量子密碼技術上取得了許多意義重大的研究成果，包括量子密鑰分發(fā)(QKD)[5-6]、量子數(shù)字簽名(QDS)[7-9]、量子隱私查詢(QPQ)[10-11]、量子安全直接通信(QSDC)[12-14]等。但是，這些量子密碼的研究大多都要求所有參與協(xié)議的通信方都能夠具有量子能力，即參與者可以進行任意的量子操作并且可以任意制備量子態(tài)。這對于實際量子資源的需求是十分巨大的，在實際情況下，這些協(xié)議很難完整實現(xiàn)。因此，為了節(jié)約量子資源的成本，研究者提出了半量子的概念。

在半量子的理論中，不需要所有的參與者都具備完整進行任意量子操作的能力，只需要有一方具備即可，其余的通信方只要求進行部分量子操作。這樣一來，在通信過程中對于量子資源的需求和成本就會大大降低，實現(xiàn)起來容易許多。這個概念是由Boyer等[15]在2007年第一次提出的，他們還結合了QKD協(xié)議提出了半量子密鑰分發(fā)協(xié)議(SQKD)。SQKD協(xié)議中，通信方Alice具有完整的量子能力，而Bob只能進行部分的量子操作，成功地將量子通信中需要使用的量子資源減少。此后，許多研究者都將半量子和現(xiàn)有的量子密碼體系結合，提出了許多基于半量子的量子密碼協(xié)議，包括半量子秘密共享[16-17]、半量子密鑰分發(fā)[18]、半量子直接通信[19-20]和半量子對話[21]等。

以上基于半量子的通信協(xié)議雖然在量子資源的使用上進行了很大的優(yōu)化，但是在實際使用時仍然存在一定的風險。假設在通信過程中，通信方Alice想要和通信方Bob進行信息交換，在之前的半量子通信協(xié)議中[19-21]，Alice需要先將自己的秘密信息發(fā)送給Bob，Bob在確認收到秘密信息后才會將自己的秘密信息發(fā)送給Alice。假如Bob在接收到Alice的秘密信息之后，拒絕發(fā)送給Alice秘密信息，這樣Alice的秘密就被Bob騙取了。

為了防止這種情況的發(fā)生，設計一種基于半量子的量子秘密信息互換協(xié)議。首先由第三方TP制備Bell態(tài)粒子，將Bell態(tài)的兩個粒子分別發(fā)送給Alice和Bob，雙方通過對手中的粒子隨機進行反射或者測量操作將自己的秘密信息加載在測量粒子中并將粒子返回給TP，TP再對Alice和Bob返回的粒子進行測量，并公布對應的測量結果。這時，Alice和Bob便可以根據(jù)TP公布的結果推測出對方的秘密信息。雖然本協(xié)議引入了第三方，但是并不要求第三方是完全可信的，可以是一個半可信的第三方參與通信過程。第三方如果存在不誠實行為，可以通過Alice和Bob的聯(lián)合分析發(fā)現(xiàn)。同時，由于第三方的存在，Bob的欺騙意圖也無法實現(xiàn)。

1 基本原理

基本的單光子測量基包括：Z基{|0>、|1>}和X基{|+>、|->}。

四種Bell態(tài)粒子在Z基的表示如下：

(1)

在式(1)中，如果用Z基測量|φ+>態(tài)中的第一個粒子，會有1/2的概率測得粒子為|0>態(tài)，1/2的概率測得粒子為|1>態(tài)。而第二個粒子態(tài)的測量結果會與第一個粒子態(tài)相同。如果使用Z基測量|ψ+>態(tài)，測得|0>態(tài)和|1>態(tài)的概率不變，但是兩個粒子的測量結果會完全相反。

在半量子通信中，通信雙方有一方具有完整的量子能力，可以進行任意的量子操作；另一方只能進行部分的量子操作，稱作“經(jīng)典方”。在半量子通信過程中，“經(jīng)典方”可以進行如下的操作：

(1) 直接將接收到的粒子反射給發(fā)送方，記作REFLECT操作；

(2) 對接收到的粒子用Z基進行測量，記作MEASURE操作；

(3) 根據(jù)MEASURE操作的測量結果制備與測量結果相同或者相反的單光子；

(4) 對接收到所有的粒子進行重新排序，并返回給發(fā)送方。

Bell態(tài)使得通信的雙方在各自持有其中一個粒子時，通過測量操作獲取對方的測量信息；而半量子通信則可以使得通信過程中對量子資源的需求盡可能地減少。因此，基于Bell態(tài)粒子與半量子通信的特性，設計一個基于半量子的量子秘密信息互換協(xié)議。

2 協(xié)議步驟

假設Alice的秘密信息記作Ma=(Ma(1),Ma(2),…,Ma(n))，Bob的秘密信息記作Mb=(Mb(1),Mb(2),…,Mb(n))。Alice和Bob想要在第三方TP的協(xié)助下進行秘密信息互換，其中TP是具有完備量子能力的，而Alice和Bob則擁有部分量子能力，協(xié)議具體步驟如下：

步驟1TP制備2n對|φ+>12態(tài)粒子，將所有的1粒子組成序列S1并將其發(fā)送給Alice；將所有的2粒子組成序列S2并將其發(fā)送給Bob。

步驟2Alice收到S1之后隨機選擇一半的粒子用于竊聽檢測。Alice對用于竊聽檢測的粒子隨機選擇MEASURE操作或REFLECT操作；對于其他粒子則全部選擇MEASURE操作并記錄測量結果。如果Alice想要傳輸?shù)男畔⒈忍貫?，則制備與測量結果相同的粒子態(tài)；如果想傳輸?shù)男畔⒈忍貫?，則制備與測量結果相反的粒子態(tài)。最后，Alice將所有的粒子打亂順序，組成新的序列S′1并發(fā)送給TP。

步驟3Bob收到S2之后的操作和Alice基本相同。先選擇一半的粒子作為竊聽檢測粒子，并隨機選擇MEASURE操作或REFLECT操作；而對剩下的粒子進行MEASURE操作并記錄測量結果。如果Bob想要傳輸?shù)男畔⒈忍貫?，則制備與測量結果相同的粒子態(tài)；如果想傳輸?shù)男畔⒈忍貫?，則制備與測量結果相反的粒子態(tài)。最后，Bob將所有的粒子打亂順序，組成新的序列S′2并發(fā)送給TP。

步驟4TP收到S′1和S′2之后通知Alice和Bob開始進行竊聽檢測。Alice和Bob會公布粒子的正確順序以及自己對竊聽檢測粒子進行的操作。針對S′1和S′2中相同位置的粒子，TP會根據(jù)Alice和Bob選擇的操作選擇不同的測量基進行測量。詳細的測量基選擇如表1所示。

表1 竊聽檢測時TP測量基的選擇

假如Alice選擇REFLECT操作，而Bob也選擇的是REFLECT操作，那么TP則會使用Bell基去測量對應位置的1粒子和2粒子。如果沒有竊聽行為，那么測量結果應為|φ+>，如果測量結果出現(xiàn)其他的Bell態(tài)粒子，那么說明存在竊聽者。最后，TP統(tǒng)計所有的測量結果，如果測量結果錯誤率高于閾值，則放棄本次通信，否則，進行步驟5。

步驟5TP用Z基測量S′1和S′2中剩余的粒子，并將測量結果公布給Alice和Bob。Alice根據(jù)TP公布的S′2的測量結果，結合自己手中在步驟3中記錄的測量結果可以推測出Bob的秘密信息M′b；同理，Bob也可以根據(jù)S′1和步驟4中記錄的測量結果推測出Alice的秘密信息，記作M′a。

步驟6Alice用自己的秘密消息Ma和推測出來的Bob的秘密消息M′b進行“異或”操作，并公布“異或”的結果；Bob也對自己手中的Mb和M′a進行“異或”操作，并公布“異或”結果。如果兩者公布的“異或”結果相同，則證明第三方TP是誠實的，Alice和Bob都成功得到了對方的秘密信息。

3 協(xié)議分析

3.1 秘密信息正確性分析

根據(jù)協(xié)議步驟可以得知，Alice和Bob首先是根據(jù)步驟2對TP發(fā)過來的量子態(tài)進行MEASURE操作并記錄測量結果，然后根據(jù)步驟5中TP公布的測量結果進行推測，從而得出對方的秘密信息。這個推測的依據(jù)是根據(jù)Bell態(tài)粒子在進行Z基測量時，其中一方測量后，另一方的粒子也會相應塌縮成對應的單光子態(tài)，從而在步驟2中可以根據(jù)自己手中的測量結果推測出對方的測量結果。接下來，TP公布帶有秘密信息的粒子測量結果時，Alice和Bob則可以通過這兩個信息結合推測出對方的秘密信息。并且在最后會公布自己的消息與推測出的對方消息的“異或”值，如果兩者的“異或”值相同，則認為雙方成功獲得對方的秘密信息。具體的推測過程如表2所示。

表2 Alice和Bob推測秘密信息的過程

可以看出，Alice手中的1粒子與Bob手中的2粒子都是初始態(tài)為|φ+>態(tài)，在對除開竊聽檢測粒子之外的n個粒子進行MEASURE操作時，根據(jù)Bell態(tài)的特性，Alice測得的測量結果與Bob是相同的，都為(0>|0>|0>|1>)。然后Alice和Bob根據(jù)自己的秘密信息制備新的粒子態(tài)發(fā)送給TP進行測量，其中:Alice制備的新的粒子序列為(|1>|0>|0>|0>)1′;而Bob的粒子序列則為(|0>|0>|1>|0>)2′。TP在經(jīng)過竊聽檢測之后會對這些粒子序列用Z基進行測量，并公布測量的結果。Alice則可以根據(jù)TP公布的測量結果(|0>|0>|1>|0>)2′結合自己最開始保存的測量結果(0>|0>|0>|1>)推測出Bob想要發(fā)送的秘密信息為0011；同理，Bob也可以推測出Alice的秘密信息1001。最后，Alice用自己的秘密消息Ma和推測出來的Bob的秘密消息M′b進行“異或”操作得到并公布結果0001；同理，Bob也得到“異或”結果0001，并公布它。Alice和Bob公布的信息結果相同，證明雙方都成功獲得了對方的秘密信息。

3.2 截獲/重發(fā)攻擊

3.3 中間人攻擊和特洛伊木馬攻擊

由于該協(xié)議是一個雙向的通信協(xié)議，因此Eve可能會使用特洛伊木馬攻擊來獲取Alice和Bob的秘密信息。為了防止這種攻擊方式，可以在Bob接受粒子前安裝一個光子數(shù)分離器(PNS)和波長濾波器[22-24]，這樣就可以有效防止Eve的特洛伊木馬攻擊。

3.4 第三方攻擊

假設第三方TP不是一個誠實可靠的第三方，他想破壞Alice和Bob信息互換的過程，使得Alice和Bob都不能正確地獲得對方的信息。TP在最開始制備Bell態(tài)粒子時不按照協(xié)議的要求制備|φ+>12態(tài)的粒子，而是制備其他的Bell態(tài)粒子，如：|φ->12、|ψ+>12或者|ψ->12。

根據(jù)協(xié)議步驟和Bell態(tài)的性質，如果TP最初制備的是|φ->12態(tài)的粒子，則對最后Alice和Bob的秘密信息互換沒有任何影響，Alice和Bob還是可以正確獲得對方的秘密信息；如果TP制備的粒子態(tài)為|ψ+>12或者|ψ->12，那么Alice和Bob在步驟2和步驟3中記錄的測量結果會是完全相反的結果，在最后Alice和Bob推測出的對方的秘密信息M′a和M′b則會與原始Ma和Mb不相同。因此，當Alice公布他得到的Ma和M′b的“異或”結果，Bob公布他得到的Mb和M′a的“異或”結果時，這兩個結果也會不同，因此Alice和Bob便可以發(fā)現(xiàn)TP可能進行了造假行為。

如果TP在公布測量結果時作假，也會導致Alice和Bob推測出錯誤的秘密信息M′a和M′b。同樣地，這種造假行為也會在Alice和Bob比較公布的“異或”結果時被發(fā)現(xiàn)。

3.5 參與者攻擊

假設在通信過程中Bob想要欺騙Alice，即Bob不會根據(jù)自己的秘密信息Mb制備對應的量子態(tài)，而是隨機制備一串處于|0>態(tài)或|1>態(tài)的粒子態(tài)與竊聽檢測粒子構成假的S′2返回給TP，TP在竊聽檢測發(fā)現(xiàn)不了這種欺騙攻擊。但是在TP向Alice公布出Bob的測量結果時，Alice推測出的M′b與Mb不相同，因此Alice的“異或”結果和Bob的“異或”結果也會不相同，這時Alice就發(fā)現(xiàn)有人在通信過程中進行了欺騙攻擊。

如果TP是誠實可靠的第三方，在TP的視角中，他只知道Alice和Bob的異或結果不同，并不知道是誰在進行欺騙攻擊。為了保證自己的信用不受損害，TP會進行公正仲裁，他會要求Alice和Bob將Ma和Mb通過加密信道發(fā)送給自己，并對Ma和Mb進行“異或”計算得到一個結果。如果Alice或Bob其中一方公布的結果與TP計算得到的結果不同，那么這一方就是不誠實的通信者。因此，不論是Alice還是Bob，都無法在協(xié)議過程中進行欺騙。

4 結 語

本文基于半量子的理論研究，提出一種基于半量子的量子秘密互換協(xié)議。該協(xié)議可以使得通信雙方在半可信第三方的幫助下完成秘密信息互換，防止了通信某一方欺騙另一方秘密信息的情況。此外，由于在通信過程中只有第三方具有完整的量子能力，其余通信方只能進行部分量子操作，使得協(xié)議對量子資源的需求大大降低。最后，通過協(xié)議分析證明其能夠抵抗截獲/重發(fā)攻擊、中間人攻擊和特洛伊木馬攻擊，并且在面對不誠實的第三方時，也可以通過通信雙方的合作發(fā)現(xiàn)其欺騙行為。