基于邏輯單粒子的多方量子密鑰協(xié)商協(xié)議

許盛偉，康 婕*

（1.北京電子科技學(xué)院，北京 100070；2.西安電子科技大學(xué)通信工程學(xué)院，西安 710071）

0 引言

經(jīng)典密碼學(xué)是基于數(shù)學(xué)復(fù)雜性而構(gòu)建的，量子計算機的提出，使得計算能力大大增強，這對經(jīng)典密碼學(xué)構(gòu)成了很大威脅?；诹孔恿W(xué)基本原理構(gòu)建的量子密碼學(xué)，在理論上具有無條件安全性，因此受到了很大的關(guān)注和研究。量子密鑰協(xié)商（Quantum Key Agreement，QKA）是量子密碼中一個重要分支，相較于量子密鑰分發(fā)（Quantum Key Distribution，QKD），QKA 中每個參與者對最終共享密鑰的貢獻都一樣，這使它對內(nèi)部參與者攻擊具有免疫能力，因此QKA 協(xié)議具有重要的研究意義。

2004 年，Zhou 等［1］基于量子隱形傳態(tài)，提出了第一個兩方QKA 協(xié)議；2013 年，Shi 等［2］基于Bell 態(tài)和Bell 測量，利用糾纏交換技術(shù)提出了第一個多方量子密鑰協(xié)商（Multiparty Quantum Key Agreement，MQKA）協(xié)議。這兩個協(xié)議提出之后，更多的QKA 和MQKA 協(xié)議［3-10］相繼被提出。這些協(xié)議大多都基于理想環(huán)境，但在實際應(yīng)用中，不可避免地會受到噪聲的影響，因此噪聲信道下的QKA 協(xié)議的設(shè)計具有重要的研究意義。2014 年，Huang 等［11］基于在集體噪聲信道上共享EPR（Einstein-Podolsky-Rosen paradox）對的方法，提出的QKA協(xié)議可以不受集體噪聲的影響。此后，一些可抗噪聲的協(xié)議［12-17］被提出，其中，文獻［12-15］都只涉及兩方參與者；2018 年，Liang 等［16］基于邏輯W 態(tài)提出了一個可抗噪聲的MQKA 協(xié)議，但是該協(xié)議效率較低；同年，Cai 等［17］利用多粒子糾纏態(tài)的特性，首次提出了兩個可抵抗集體噪聲的MQKA協(xié)議，但是該協(xié)議所需的量子資源多粒子糾纏態(tài)在實驗上難以制備。

為了提出可抗噪聲的高效MQKA 協(xié)議，本文以邏輯單粒子作為量子資源。為了抵抗集體退相位噪聲和集體旋轉(zhuǎn)噪聲，本文分別提出了兩組酉算符，將算符Uab（ab是算符的編碼）作用在邏輯單粒子上，當a=0 時，不改變測量基；當a=1 時，則會改變測量基。利用此性質(zhì)，提出了兩個分別適用于集體退相位噪聲和集體旋轉(zhuǎn)噪聲的MQKA 協(xié)議。

1 預(yù)備知識

首先，對量子密碼協(xié)議用到的基礎(chǔ)知識進行簡單介紹；其次，介紹集體噪聲以及可抗擊噪聲的邏輯量子比特；最后，針對可抗集體噪聲的邏輯量子比特，定義了邏輯酉變換，并且介紹了該邏輯酉變換具有的特殊性質(zhì)。

1.1 基礎(chǔ)知識

1.2 集體噪聲

1.3 邏輯酉變換

表1 酉算符作用在邏輯單粒子上的狀態(tài)轉(zhuǎn)化關(guān)系Tab.1 State transformation relationship of unitary operatoracting on logical single particle

表1 酉算符作用在邏輯單粒子上的狀態(tài)轉(zhuǎn)化關(guān)系Tab.1 State transformation relationship of unitary operatoracting on logical single particle

2 協(xié)議描述

協(xié)議中，邏輯量子態(tài)|0dp＞、|+dp＞和酉操作U00、U10都對應(yīng)于0，邏輯量子態(tài)|1dp＞、|-dp＞和酉操作U01、U11都對應(yīng)于1。假設(shè)協(xié)議有N位參與者Pi(i=1，2，…，N)，協(xié)商過程如下。

2.1 初始化

步驟3 每位參與者Pi從{0dp，1dp，+dp，-dp}中隨機選出足夠多的誘騙邏輯量子比特，并把它們隨機插入到邏輯單粒子序列Si→i+1中，得到一個新的混合序列，然后發(fā)送給他的下一位參與者Pi+1。

2.2 誘騙檢測

步驟4 所有接收方Pi+1收到混合序列后，通過經(jīng)典認證信道告知Pi，然后Pi公布誘騙粒子的位置與相應(yīng)的制備基（{|0dp＞，|1dp＞}或{|+dp＞，|-dp＞}）。Pi+1則用正確的測量基去測量相應(yīng)的誘騙粒子，并將結(jié)果告知Pi。Pi將測量結(jié)果和誘騙粒子的初始狀態(tài)進行對比，算出錯誤率，根據(jù)錯誤率的值判斷是否有竊聽者存在。如果錯誤率低于預(yù)先設(shè)定的閾值，則認為沒有竊聽者存在，Pi+1刪除所有的誘騙態(tài)粒子，恢復(fù)邏輯單粒子序列Si→i+1，并繼續(xù)進行下一步；否則，認為存在竊聽者，停止此次協(xié)議并重新開始。

2.3 加密和迭代加密

步驟8 重復(fù)上述加密階段，直到所有的參與者Pi制備的初始態(tài)經(jīng)過N-1 次傳輸?shù)竭_Pi-1手中，也就是Pi-1得到混合序列之后，并成功通過誘騙態(tài)檢測，然后刪除邏輯誘騙粒 子，從而恢 復(fù)單粒 子序列。

2.4 獲得共享密鑰

步驟9 每位參與者Pi恢復(fù)出序列Si+1→i之后，公布這一事實，在所有參與者Pi都已確認收到編碼后的序列之后，所有參與者Pi公 布Bi的 值。參與者Pi根 據(jù)Bi′(i′=1，2，…，n且i′≠i)的值，選擇合適的測量基對Si+1→i中的每個邏輯粒子進行測量，測量結(jié)果記為。

步驟10 根據(jù)Bi′和Vi的值，每位參與者Pi可以計算其他N-1 個參與者密鑰的異或和，進一步，可以得到最終的共享密鑰K=Ki⊕Ki+1⊕Ki+2⊕…⊕Ki-1。

3 協(xié)議的正確性

下面以三個參與者協(xié)商為例，證明協(xié)議的正確性。

假設(shè)A、B、C 三位用戶想要協(xié)商一個共享密鑰。第一步，A 生成隨機比特序列K1=01011 和B1=10011，B 隨機生成K2=10010 和B2=00111，C 隨機生成K3=10101 和B3=11010。按照步驟2，A 根據(jù)K1和B1，制備的初始態(tài)序列S1→2為|+dp＞|1dp＞|0dp＞|-dp＞|-dp＞。步驟5 中，B 對序列S1→2執(zhí)行編 碼操作U01?U00?U10?U11?U10，得到新的粒子序列S1→3為|-dp＞|1dp＞|+dp＞|0dp＞|1dp＞。步驟9 中，用戶C 收到他的后一位參與者A 發(fā)來的經(jīng)過編碼的邏輯單粒子序列S1→3。

在A、B、C 公布Bi后，用戶C 先根據(jù)B1和B2的值，選擇的測量基為{|+dp＞，|-dp＞}，{|0dp＞，|1dp＞}，{|+dp＞，|-dp＞}，{|0dp＞，|1dp＞}，{|0dp＞，|1dp＞}，從而得到的測量結(jié)果V3為11001。最后，C 根據(jù)V3和自己的私鑰K3，得到共享密鑰K=K3⊕V3，即01100。用戶B 和C 制備的初始態(tài)最終傳送到A 和B 手中，由A 和B 來獲取最終共享密鑰，此協(xié)商過程見表2，其 中M1表示測量基{|0dp＞，|1dp＞ }，M2表示測量基{|+dp＞，|-dp＞}。

表2 三用戶協(xié)議的協(xié)商過程Tab.2 Negotiation process of three-user protocol

4 安全性分析

4.1 截取重發(fā)攻擊

假設(shè)Eve 是一個外部竊聽者，為了執(zhí)行截取重發(fā)攻擊，他事先從{|0dp＞，|1dp＞，|+dp＞，|-dp＞}中，隨機選擇一些邏輯單粒子作為自己偽造的粒子序列，記為S′。在協(xié)議協(xié)商的過程中，Eve 攔截下Pi傳輸Pi+1的邏輯單粒子序列Si→i+1，然后將自己事先偽造好的粒子序列S′發(fā)送給Pi+1。但是，Eve不僅不知道誘騙粒子的位置和初始態(tài)，也不知道序列中每個邏輯粒子對應(yīng)的測量基，所以Eve 偽造的粒子序列S′不可避免地將會干擾誘騙粒子的狀態(tài)，在竊聽檢測過程中，Eve 會被發(fā)現(xiàn)。因此，該協(xié)議在截取重發(fā)攻擊下是安全的。

4.2 糾纏測量攻擊

糾纏測量攻擊是一種常見的攻擊策略，攻擊原理是攻擊者Eve 將自己事先準備好的一個輔助粒子序列與攔截的粒子序列相結(jié)合形成新的量子系統(tǒng)，然后執(zhí)行酉操作UE使得輔助粒子序列和要傳輸?shù)牧Ｗ有蛄挟a(chǎn)生糾纏關(guān)系，最后再將傳輸粒子重新發(fā)送給接收者，Eve 通過測量輔助粒子來獲取有用信息。

假設(shè)Eve 事先制備了一些相同的邏輯輔助粒子|E＞，在本協(xié)議中，經(jīng)過傳輸?shù)闹挥羞壿媶瘟孔有蛄?，所以Eve 想要執(zhí)行糾纏測量攻擊，只能將輔助粒子和邏輯單量子序列相結(jié)合，再執(zhí)行酉操作，該操作可以表示為：

其中：|E00＞，|E01＞，|E10＞，|E11＞，|E′00＞，＞為純態(tài)，為了保證UE為酉操作，則有：||a||2+||b||2+||c||2+||d||2=1，||a′||2+||b′||2+||c′||2+||d′||2=1。UE對|0dp＞|E＞的操作中，||b||2表示出現(xiàn)的結(jié)果不可變邏輯單粒子的狀態(tài)|0dp＞，即結(jié)果為|01 ＞；得到結(jié)果為|00 ＞、|10 ＞、|11 ＞的概率分別是||a||2、||c||2、||d||2，這些都改變了原狀態(tài)|0dp＞。類似地，UE對|1dp＞|E＞的操作中，||c′||2表示出現(xiàn)的結(jié)果不可變原狀態(tài)|1dp＞，即得到結(jié)果|10 ＞；得到結(jié)果為|00 ＞、|01 ＞、|11 ＞的概率分別是||a′||2、||b′||2、||d′||2，這些都改變了原狀態(tài)。

如果Eve想要順利通過誘騙檢測階段，就必須滿足：

所以，如果Eve 在誘騙階段不想被發(fā)現(xiàn)，那么，他將獲取不到有關(guān)共享密鑰的任何信息。否則，Eve 的其他任何操作都將在竊聽檢測階段被監(jiān)測到，合法參與者將放棄此次協(xié)商協(xié)議重新開始，從而避免了Eve 的糾纏測量攻擊。因此，該協(xié)議可以抵抗糾纏測量攻擊。

4.3 參與者攻擊

相較于其他攻擊方式，參與者的內(nèi)部攻擊更具威脅性。參與者攻擊是指多個不誠實的參與者事先自己協(xié)商一個密鑰，在正式的協(xié)議協(xié)商過程中，他們相互合作，讓這個密鑰成為最終的共享密鑰，然而誠實參與者對共享密鑰沒有任何貢獻，這樣就失去了密鑰協(xié)商協(xié)議本應(yīng)具有的公平性。

假設(shè)參與者Pi是誠實的，其他參與者Pi+1，Pi+2，…，Pi-1都不誠實，他們想要竊取Pi的私鑰，使最終協(xié)商的密鑰是他們事先約定好的，而沒有Pi的參與。下面進行分析的時候，為了簡便不考慮誘騙檢測過程。

當傳送的粒子序列是Pi制備的序列Si→i+1時，其他參與者不會從中獲取任何Pi的私密信息，因為Si→i+1是Pi隨機制備的，其中沒有Pi的私鑰編碼信息。這一過程Pi沒有編碼。

當傳送的粒子序列是Pi+1制備的序列Si+1→i+2時，Pi會根據(jù)自己的私鑰Ki和隨機序列Bi對序列Si+1→i進行編碼，但是接下來發(fā)給Pi+1就已經(jīng)結(jié)束了迭代加密過程，也就是說，與此同時Pi也收到了自己制備的粒子序列Si→i+1經(jīng)過一圈編碼之后的結(jié)果，其他參與者來不及協(xié)商。這一過程Pi的編碼是最后一個。

當傳送的粒子序列是除了Pi和Pi+1之外的其他參與者Pm(m=1，2，…，N，m≠i，m≠i+1）制備的序列時，真正和Pi有交流的只有Pi+1和Pi-1。這一過程中，Pi的編碼處于中間位置。Pi-1制備了序列Si-1→i之后，將Si-1→i發(fā)送給Pi的同時將序列Si-1→i的狀態(tài)告知Pi+1，在Pi對Si-1→i進行編碼之后得到Si-1→i+1，并將Si-1→i+1發(fā)送給Pi+1。此時，Pi+1可以直接對序列Si-1→i+1進行測量，和Si-1→i的狀態(tài)對比之后，就可以得到參與者Pi的編碼；但是，他不知道Bi的值，也就不知道每個邏輯單粒子所對應(yīng)的正確的測量基，所以他只能隨機地選擇測量基Zdp或者Xdp進行測量，這將會引入錯誤，引入錯誤的概率是12*12=14。因此，Pi將會有(1-(34)n)的概率檢測到不誠實用戶的存在。也就是說，在這一過程中，其他不誠實的參與者不能在完全不被檢測到的情況下獲得誠實參與者Pi的私鑰。

上面的分析已經(jīng)包含了協(xié)議協(xié)商的所有過程，所以該協(xié)議可以抵抗內(nèi)部參與者攻擊。

5 效率分析

本協(xié)議中，N位參與者最終協(xié)商了一個n比特長的共享密鑰，每位參與者需要制備n個邏輯單粒子（n個邏輯量子比特，也就是2n個物理量子比特）和足夠多的誘騙態(tài)粒子（假設(shè)每次制備n個邏輯誘騙態(tài)，即2n個物理量子比特，共制備N次）；除此之外，每位參與者還需要制備n比特長的經(jīng)典隨機序列，并公布n比特的經(jīng)典信息。所以，該協(xié)議中每位參與者需要使用2(n+Nn)個物理量子比特信息和2n比特的經(jīng)典信息。因此，協(xié)議的量子比特效率為：。表3 中，將本文所提出的MQKA 協(xié)議和已有的協(xié)議進行比較，可以看出，在可抗噪聲的MQKA 協(xié)議中，和文獻［16-17］相比，本協(xié)議有較高的量子比特效率；而且相較于文獻［16-17］用到的邏輯W 態(tài)和多粒子糾纏態(tài)，本協(xié)議的邏輯單粒子制備更容易。

表3 多種可抗噪聲協(xié)議的效率比較Tab.3 Efficiency comparison of several anti-noise protocols

6 結(jié)語

本文針對集體退相位噪聲和集體旋轉(zhuǎn)噪聲，分別設(shè)計了兩組酉算符，使得每組酉算符作用在相應(yīng)的邏輯單粒子上時，狀態(tài)的改變會有改變測量基或者不改變測量基兩種情況，這就使最終測量時需要確定正確的測量基，利用這一性質(zhì)提出了一種多方量子密鑰協(xié)商協(xié)議。

類比于Pauli 算子對單粒子的作用，針對邏輯單粒子，定義了相應(yīng)的邏輯酉變換，將邏輯單粒子作為量子資源，相較于文獻［16］的邏輯W 態(tài)和文獻［17］的多粒子糾纏態(tài)，減少了對量子資源的消耗。測量基是否發(fā)生改變和所選取的邏輯門有關(guān)，這一性質(zhì)可有效抵抗內(nèi)部參與者攻擊：假設(shè)不誠實的參與者相互合作竊取了誠實參與者編碼前后的粒子，他們不知道誠實參與者私鑰加密后測量基是否變換，因此無法選擇正確的測量基，就不能竊取誠實參與者的私鑰信息。

最后通過安全性分析證明本協(xié)議可以有效抵抗包括參與者攻擊在內(nèi)的幾種常見的攻擊；通過效率分析，證明了本協(xié)議在使用了邏輯單粒子這一容易制備的量子資源的基礎(chǔ)上，具有較高的量子比特效率。和普通的量子密鑰協(xié)商協(xié)議相比，可抗噪聲的量子密鑰協(xié)商協(xié)議效率還是較低，還需要進一步研究。