基于單光子的量子雙向同步身份認證協(xié)議

張興蘭，趙怡靜

（北京工業(yè)大學(xué)信息學(xué)部，北京 100124）

0 引言

目前世界上主要國家都在大力開發(fā)研究量子通信領(lǐng)域，其中量子安全通信的研究作為量子密碼研究的一個熱點，已逐步從理論設(shè)計進入研究應(yīng)用階段。為了推進量子安全通信的具體實現(xiàn)，目前對于量子安全通信的具體研究已經(jīng)細化到通信的各個階段，以追求更高的安全性和可實現(xiàn)性。其中量子身份認證是量子通信的重要步驟和前提，量子通信雖然可看作一種安全的通信方式，但是在量子信息交互中還是難以避免各種攻擊，為了得到更加高效安全的量子通信環(huán)境，本文以量子身份認證為研究背景，對經(jīng)典信道中已證明安全性的身份認證協(xié)議進行總結(jié)和剖析，參考其協(xié)議分配過程，結(jié)合對稱密碼體制、一次一密方法，提出一個新的量子安全身份認證協(xié)議。

首先現(xiàn)有的量子身份認證（Quantum Identity Authentication，QIA）協(xié)議都是基于量子密鑰分發(fā)（Quantum Key Distribution，QKD）設(shè)計的。量子密鑰分發(fā)的研究源于Bennett 等［1］的開創(chuàng)性工作。不同于經(jīng)典密碼學(xué)，量子密碼學(xué)的安全性保障并不來自于數(shù)學(xué)算法的計算復(fù)雜度，而是建立在量子物理學(xué)的基本定律之上。這些物理定律可以認為是永久有效的，也為QKD 提供了獨特的長期安全性保障。在這種保障的基礎(chǔ)上，現(xiàn)有的量子身份認證和量子通信通常選擇制備正交單光子態(tài)或者量子糾纏對進行合法身份信息的認證。以文獻［2］中的方案為例，基于糾纏態(tài)是利用量子不可克隆性及量子測不準原理對輸入者個人信息進行某種方式的處理并與系統(tǒng)中預(yù)先存儲的個人信息進行比較?；趩喂庾觿t是通過制備許多單個的處于不同態(tài)的單光子粒子利用測不準原理對信息進行比對測量；相比前者最大優(yōu)勢在于易于實現(xiàn)、高效，但又不損失安全性。

因此文中協(xié)議的提出是基于單光子的一種更加高效的共享密鑰編碼方式，即由一位編碼確定測量機的編碼方式，該編碼方式由Hong等［3］在2017年首次提出。在該基礎(chǔ)上，本協(xié)議將進一步提高編碼安全性，對具體交互流程和用戶行為給出解釋并進行安全性分析。除此之外，本協(xié)議將不僅從理論上實現(xiàn)兩方通信中的雙向同步身份認證，還將涉及多節(jié)點的量子通信網(wǎng)絡(luò)中從兩方協(xié)議擴展到三方甚至是多方協(xié)議中的基本原則的提出，提高整個身份認證協(xié)議的實用價值，為更加高效全面的量子身份認證協(xié)議及通信協(xié)議提供有效思路。

1 理論知識

1.1 量子一次一密

在量子一次一密出現(xiàn)以前，經(jīng)典密碼學(xué)中在1917 年就出現(xiàn)了實現(xiàn)一次一密的一次性密碼本（One Time Password，OTP）。后在1949年又從理論上證明了一次性密碼本具有無條件安全性。但經(jīng)典物理中始終不能實現(xiàn)完全生成隨機的密鑰，以及不能實現(xiàn)在公共信道上完全安全地分發(fā)密鑰。而在量子物理中隨著BB84的問世，量子通信已經(jīng)有了安全性保障，安全分發(fā)密鑰的問題得以解決；量子物理產(chǎn)生真正的隨機數(shù)也使得另一個在經(jīng)典物理中不能完全實現(xiàn)的問題迎刃而解。

以潘江游等［4］提出的量子一次一密協(xié)議為代表，該類協(xié)議在量子密鑰分發(fā)為保障的前提下，利用包含隨機數(shù)的量子單向函數(shù)進行加密，同時與理論上安全的密鑰交換如BB84等相結(jié)合，就出現(xiàn)了技術(shù)先進且長期安全可實現(xiàn)的方案。

1.2 Kerberos身份認證協(xié)議

Kerberos 協(xié)議中主要是有3個角色的存在：訪問服務(wù)的用戶、提供服務(wù)的服務(wù)器（Server）和密鑰分發(fā)中心（Key Distribution Center，KDC）。其中KDC 包含認證服務(wù)器（Authentication Server，AS）和票據(jù)授權(quán)服務(wù)器（Ticket Granting Server，TGS）：AS 的作用就是驗證用戶身份，驗證通過則返還驗證通過票據(jù)給用戶；TGS 的作用是通過AS 發(fā)送給用戶的驗證通過票據(jù)換取訪問Server端的票據(jù)［5］。

Kerberos 有域內(nèi)身份認證和跨域身份認證兩種，其中域內(nèi)身份認證的主要流程［6］如圖1，詳細流程描述如下：

1）用戶先向KDC 的AS 發(fā)送身份驗證密文，內(nèi)容包括加密的時間戳、用戶ID網(wǎng)絡(luò)地址、加密類型等內(nèi)容。

2）當(dāng)AS 接收到用戶的請求之后會解密并根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)驗證信息。驗證成功后返回給用戶成功票據(jù)（TGT）。

3）2用戶將TGT和時間戳發(fā)送給KDC中的TGS換取能夠訪問Server的票據(jù)。

4）TGS 收到TGT 和時間戳之后，首先會檢查自身可否提供被請求服務(wù)。如果可以，則用解密TGT 驗證原始地址是否和TGT 中保存的地址相同。驗證成功之后將可訪問Server 的票據(jù)（Server Ticket，ST）發(fā)送給用戶。

5）用戶收到ST后將其一起發(fā)送給Server。

6）Server 通過自己的密碼解密ST，驗證正確返回驗證成功信息。

圖1 Kerberos協(xié)議身份認證過程Fig.1 Identity authentication process of Kerberos protocol

2 身份認證

本章主要以通信雙方為Alice 和Bob，可信第三方為Charlie為例，介紹兩方實現(xiàn)雙向身份認證的過程，整個過程分為準備階段和認證階段。

準備階段介紹了兩方進行身份認證通信的前提，包括驗證前共享信息和粒子的具體編碼方式，與密碼本序列與量子態(tài)運算的匹配規(guī)則。

認證階段根據(jù)準備階段的鋪墊，詳細介紹身份認證雙方各自發(fā)起的行為和涉及到的數(shù)據(jù)，并根據(jù)順序給出具體流程。值得注意的是在認證階段中，Alice 和Bob 對彼此的認證是同步的。

2.1 準備階段

根據(jù)經(jīng)典的身份認證協(xié)議可知引入可信第三方是可以依賴的一種模式［7］，因此在準備階段，以Alice要發(fā)起和Bob的信息交互為例，雙方首先要進行身份認證。Alice 和Bob 共享字符串K和密碼串。

首先Alice需要向可信第三方Charlie發(fā)出一個請求，該請求中應(yīng)該至少包含Alice 的身份信息和請求建立通信對象信息，由Charlie 檢查Alice 是否為自己登記的合法用戶，若驗證Alice 為合法用戶則通過請求并即刻發(fā)送給Alice 量子票據(jù)。票據(jù)上除了時間戳以外還有通信雙方的加密身份信息，也可以理解為通信用戶的合格信息。

上述Alice 到Charlie 的單向身份認證過程可以由現(xiàn)有的量子單向函數(shù)一次一密技術(shù)實現(xiàn)［8］。由Alice 提供合格票據(jù)換取Bob 方提供身份認證服務(wù)的過程，與1.2節(jié)中Kerberos 協(xié)議類同，都是一種換取相應(yīng)服務(wù)前的初步身份認證過程，從協(xié)議層面上可以防止非法攻擊者冒充合法用戶干擾整個通信系統(tǒng)。

當(dāng)Alice 將量子票據(jù)發(fā)送給Bob 后，Bob 將解密量子票據(jù)請求是否合法并選擇同意或拒絕身份認證。需要注意的是，當(dāng)雙方用戶合法開始進行身份認證前，Charlie 將共享字符串并隨機生成一份密碼串分享至雙方。

2.1.1 共享密碼串

編碼方式：同樣以Alice 和Bob 為例，進行身份認證。雙方共同握有長度足夠長的密碼串，密碼串中的密碼由0、1 隨機組成，現(xiàn)規(guī)定密碼串中的0 對應(yīng)Z操作，1 對應(yīng)X操作。具體操作運算過程將在協(xié)議認證階段舉例說明。

2.1.2 共享字符串

以Alice 和Bob 需要互相認證身份為例，第三方隨機生成字符串K（K1，K2，…，Kn，Ki∈（00，01，10，11）），通過共享字符串K，并將加密后的信息發(fā)送給Alice 和Bob。請求身份認證的用戶通過自己的私鑰解密數(shù)據(jù)，由此兩方共同擁有決定測量基的信息組。具體過程如下。

Alice和Bob提前從公共的可信第三方處共享密鑰字符串K（K1，K2，…，Kn），字符串對應(yīng)的單光子量子態(tài)編碼原則如下：

00、01 分享一組測量基，10、11 分享一組測量基。功效字符串為0 則選擇垂直正交基｛|0＞，|1＞｝，否則選擇垂直正交基｛|+＞，|-＞｝，在兩位編碼中由首位信息即可確定測量基。

單光子串Qi對應(yīng)Ki如表1。

表1 共享字符串編碼表Tab.1 Shared string code table

2.2 認證階段

在認證階段將分別對Alice 和Bob 對彼此的認證進行描述，考慮到通信過程中存在的誤差，將存在一定的誤碼率，因此存在一個較低的誤碼率閾值ξ。

2.2.1 Bob認證Alice

步驟1 Alice 根據(jù)共享的字符串K制備單光子態(tài)即向量信息Qi，Qi∈（|0＞，|1＞，|+＞，|-＞）。

步驟2 Alice 依次對應(yīng)密碼串對制備的粒子做X或Z操作［8］。當(dāng)密碼串相應(yīng)位為0時，按照制備先后順序?qū)αＷ舆M行Z操作。

當(dāng)密碼串相應(yīng)位為1 時，按照制備先后順序粒子進行X操作。具體操作結(jié)果對應(yīng)表2。

表2 X、Z加密單光子對照表Tab.2 X，Z encrypted single photon comparison table

步驟3 Bob 將接收到的比特信息Qai根據(jù)一次一密密碼本進行反向Z或者X操作，當(dāng)密碼本相應(yīng)位為0時進行逆Z操作，當(dāng)密碼本相應(yīng)位為1時進行逆X操作，最終得出Qii。

步驟4 Bob 根據(jù)共享字符串K的功效位選擇合適的測量基F，F(xiàn)∈（｛|0＞，|1＞｝；｛|+＞，|-＞｝），當(dāng)功效位為0 時選擇測量基｛|0＞，|1＞｝；當(dāng)功效位為1 時選擇｛|+＞，|-＞｝對Qii進行測量，得到結(jié)果。

步驟5 Bob 通過Qii′，根據(jù)以下原則復(fù)原消息字符串K′：若K′=K則進行下一步；否則標記誤碼，以身份認證信息的總信息位為參考，計算當(dāng)前誤碼率：當(dāng)誤碼率大于ξ，終止通信；若誤碼率仍小于ξ進行下一步。其中字符串的復(fù)原原則如下：

2.2.2 Alice認證Bob

步驟6 用基本的量子物理得到隨機數(shù)序列Ri，Bob 根據(jù)Ri對應(yīng)一次一密密碼本內(nèi)單個數(shù)位，從而選取不同的算子對光子Ui進行變換。得到一系列與具有不同表象的光子信息Qbi，Bob將Qbi通過信道傳回給Alice。

步驟7 Bob依次傳輸信息Qbi，緊接著通過公開信道公布隨機數(shù)Ri-1（1＜i≤n+1）。

步驟8 Alice 接收信息并根據(jù)字符串K選擇合適的測量基對編碼后的單光子進行測量。

步驟9 在接收全部信息并測量完成后，Alice 通過對比字符串K的編碼信息Qi，得出選用的幺正運算算子組Ui′。算子推演的全部情況參照表3。

表3 量子比特變換與算符對照表Tab.3 Qubit transformation and operator comparison table

步驟10 Alice比較和Bob公開隨機數(shù)R位的算子Ui：若=Ui繼續(xù)通信。否則標記誤碼，以Alice 身份認證信息的總信息位為參考，計算當(dāng)前誤碼率：當(dāng)誤碼率大于ξ，終止通信；若誤碼率仍小于ξ，繼續(xù)通信。

2.3 小結(jié)

由此Alice 與Bob 之間的雙方都得到認證，并且能有效降低模擬身份攻擊的成功概率，在第3 章將進行具體分析。Alice與Bob量子通信流程如圖2。

圖2 雙向身份認證流程Fig.2 Flowchart of two-way identity authentication

3 協(xié)議的安全性分析

在該身份認證協(xié)議中，通過第2 章對具體協(xié)議流程的描述，可以發(fā)現(xiàn)Alice 和Bob 的認證是雙向且同步進行的，可以有效防止身份抵賴行為的發(fā)生，同時對于竊聽者的檢測根據(jù)實時的誤碼率，可以第一時間檢測出竊聽者。因此在本章中討論竊聽者Eve 為了盜取身份認證信息可能采取的攻擊方式有截獲重發(fā)攻擊和替換攻擊［9］。

設(shè)定在認證過程中光子數(shù)量為T，單個光子通過一次檢測的概率為Ps，Eve 竊聽成功通過檢測的概率為Pwin，Eve 竊聽失敗未通過檢測的概率為Plose。

3.1 截獲-重發(fā)攻擊

假設(shè)攻擊者Eve采用截獲重發(fā)攻擊，Eve選取測量基能得到的結(jié)果有且僅有4種：|0＞，|1＞，|+＞，|-＞。而根據(jù)上述流程接收方應(yīng)正確接收到的粒子狀態(tài)有|0＞，|1＞，-|1＞，|+＞，|-＞，-|-＞共6 種，其中|1＞，-|1＞與|-＞，-|-＞分別在正確測量基下會得到相同的結(jié)果。存在Eve 在截獲過程中選取正確與錯誤測量的概率Pser，Psew。

1）在第一輪通信中，假設(shè)Eve攔截發(fā)送者Alice 的單個光子的過程中，選擇｛|0＞，|1＞｝測量基的概率等于選擇｛|+＞，|-＞｝測量基的概率即：

Pser=Psew=1/2

當(dāng)Eve 選擇了正確測量基時，在測量結(jié)果正確的情況下通過Bob竊聽檢測的概率為：

Ps=1/2

當(dāng)Eve 選擇了錯誤的測量基時，在測量錯誤的前提下，通過Bob竊聽檢測的概率是：

Ps=1/4

在第一輪通信中，竊聽者Eve竊聽成功的概率為：

Pwin1=(3/4)T

2）在第二輪通信中，Eve攔截發(fā)送者Bob的單個光子過程中，選擇正確測量基的概率等于選擇錯誤測量基的概率，即：

Pser=Psew=1/2

當(dāng)Eve 選擇了正確測量基時，不被Alice 檢測到竊聽的概率為：

Ps=1/2

當(dāng)Eve 選擇了錯誤的測量基時，不被Alice 檢測到竊聽的概率為：

Ps=1/4

在第二輪通信中，竊聽者Eve竊聽成功的概率為：

Pwin2=(3/4)T

因此在截獲-重發(fā)攻擊中，竊聽者Eve 未被檢測到的概率為：

Pwin=(3/4)2T

Alice和Bob雙向通信過程中攻擊者被檢測到的概率為：

Plose=1-Pwin=1-(3/4)2T

當(dāng)T足夠大時，Plose≈1。

3.2 替換攻擊

替換攻擊是指Eve 在攔截了量子比特后進行測量得到結(jié)果，并自己隨機制備一個量子比特放回信道，傳輸給合法的接收方。

由于Eve 會在4 個量子態(tài)中隨機制備一個發(fā)送給Bob，在第一輪通信中單光子通過接收方Bob 檢測的概率為隨機比特通過兩種測量基的概率：

Ps=1/2

因此在第一輪通信中，Eve通過Bob竊聽檢測的概率為：

Pwin1=(1/2)T

在第二輪檢測中，即Alice 為接收方，單個光子通過Alice檢驗的概率為：

Ps=1/2

因此第二輪通信中，Eve通過Alice竊聽檢測的概率為：

Pwin2=(1/2)T

即雙方身份認證身份模擬攻擊過程中攻擊者Eve 攻擊成功未被檢測到的概率為：

Pwin=(1/2)2T

Alice和Bob雙向通信過程中Eve被檢測到的概率為：

Plose=1-Pwin=1-(1/2)2T

當(dāng)T足夠大時Plose≈1。

4 協(xié)議補充擴展

4.1 兩方到三方

基于上述兩方通信在推及三方相互通信時［10］，遵從以下原則：

1）任意兩方?jīng)]有同時與同一第三方建立可信通道的前提下，身份認證遵從2.1～2.2節(jié)的所有步驟。

2）任意兩方在與同一第三方相互認證身份的前提下，可由該第三方充當(dāng)量子基站，此時有：

①共同第三方分享自己的身份認證結(jié)果給需要通信兩方，兩方通過該量子基站進行中轉(zhuǎn)通信。

②若兩方請求建立新的通信，則由量子基站生成新的字符串K和密碼本序列，并通過現(xiàn)有可信信道分別傳輸給需要認證身份的雙方，后根據(jù)2.2節(jié)中步驟1～10進行身份認證。

下以需要進行身份認證的為Alice、Bob 和Charles 為例，補充三方身份認證的具體步驟如下：

步驟1 Alice 和Charles 檢驗是否有已認證過身份的同一第三方Bob。

步驟2 驗證結(jié)果為沒有，則通過2.1～2.2節(jié)所有過程進行身份認證。

步驟3 驗證結(jié)果為有，則由Bob此時為量子基站發(fā)送自己的認證結(jié)果R∈（|0＞，|1＞）給Alice 和Charles，|0＞代表認證成功，|1＞代表認證失敗。

步驟4 在Alice和Charles都接收到為|0＞的信息時，返回B∈（|+＞，|-＞）給Bob。|+＞代表中繼通信，此時Alice 和Charles停止身份認證程序，通過中繼Bob 通信；|-＞代表建立新的信道。繼續(xù)步驟5。

步驟5 Bob 在收到|-＞后生成新的字符串K和密碼本分別傳輸給Alice和Charles

步驟6 Alice 和Charles 根據(jù)字符串K，進行2.2 節(jié)中步驟1～10的身份認證過程。

4.2 三方到多方

根據(jù)以上原則和步驟可由三方推及到多方。在推及多方身份認證的過程中需補充如下原則：

如發(fā)起身份認證的兩方存在多個已認證身份的同一對象，選擇最后建立通信的對象。

該種方法可減少多節(jié)點同時通信時外來可信第三方的參與，在通信內(nèi)部具有更好的私密性、安全性和可追溯性。在多方協(xié)議中任何兩方互相認證之后，在第三方發(fā)起一個認證并認證成功后可以共享自己的認證結(jié)果以節(jié)省需多次認證耗費的時間，對于多節(jié)點的量子網(wǎng)絡(luò)通信的效率和安全性都有了必要的保障，同時從另一層面上對每一個用戶節(jié)點之間的交互都同時提供了可供選擇的不同認證渠道。

5 結(jié)語

本文主要介紹了一種基于單光子的雙方同步身份認證協(xié)議，同時為擴展到多方認證過程中提供了新的思路。協(xié)議對通信效率的提高具體體現(xiàn)在以下三個方面：1）比起傳統(tǒng)的量子通信協(xié)議大都采用的BB84協(xié)議內(nèi)編碼方式，協(xié)議中借鑒采納了2017 年Hong 等首次提出的更新的編碼方式，共享密鑰編碼只有一位功效位；2）創(chuàng)新地采用更多層編碼模式，在實現(xiàn)用戶雙向認證時無需分配新的認證信息，只需跟隨編碼進行粒子變換；3）在擴展到多節(jié)點的量子網(wǎng)絡(luò)身份認證方面同時提供了不同的身份可供選擇以在必要情況下提高多節(jié)點同時通信時互相認證的效率；同時，通過密碼本的應(yīng)用和量子票據(jù)的分發(fā)，從整個協(xié)議的第一階段就提升了認證過程中的安全性，防止了用戶身份抵賴行為并有效抵抗竊聽攻擊。