使用非正交量子態的秘密驗證協議

張德喜，李曉宇

(1. 許昌學院 信息工程學院，河南 許昌461000； 2. 鄭州大學 信息工程學院，河南 鄭州 450001)

量子密碼學是量子力學在密碼學中的應用，是當今信息安全中最活躍、最引人注意的研究領域.與建立在計算復雜性基礎上的經典密碼學不同，量子密碼協議安全性是基于量子力學的定律，因此可以實現無條件的安全性.歷史上第一個量子密鑰分配協議是1984年Bennett等提出的文獻[1]，簡稱BB84協議.自那以后，多種量子密碼協議陸續被提出來，例如量子密鑰分配[2-5]，量子秘密共享[6-9]，量子比特承諾[10]等.量子密碼協議的實驗工作也獲得了長足的進展，在光纖中實現了量子密鑰分配，其傳輸距離超過了400 km[11].最近，中國的墨子號量子衛星成功實現了超過1 200 km的衛星—地面站之間的糾纏態分發[12]，它很快將會用來實現衛星—地面站之間量子密鑰分配.

還有一個很有趣的問題：秘密驗證.用戶Alice和用戶Bob事先分別擁有了同一個秘密消息.然而雙方并不知道對方擁有該秘密消息，甚至可能不知道對方的存在.現實中，有些場景下Alice和Bob有可能需要確認對方擁有該秘密消息，以決定下一步的交流與合作.例如，該秘密消息可能是一個密鑰，雙方可以使用它進行加密通信；該秘密消息也可能是一個身份標志，雙方可以通過驗證它來確認對方的身份；該秘密消息也可能是一份秘密文件，雙方可以依據文件的指導進行下一步的合作等等.驗證過程必須是可靠的，如果有一方不擁有該秘密消息，或者只擁有秘密消息的一部分，驗證都不能通過.另一方面，驗證過程也必須是安全的.由于一般情況下Alice和Bob之間不存在可靠的安全信道，雙方只能通過不安全的公開信道交換某些信息來實現秘密驗證.任意的第三方可以監聽驗證的全過程，但是卻不能獲取有關該秘密消息的任何信息.這就是秘密驗證問題.經典密碼學中，有多種方法可以實現秘密驗證，但是它們都是建立在計算復雜性基礎上，無法實現無條件的安全，而且也難以絕對避免攻擊者多少獲取有關秘密消息的一些信息.

量子秘密驗證協議可以解決這個問題.本文提出一個量子秘密驗證協議，它是建立在非正交量子態的不可區分性的基礎上，因而可以具有無條件的安全性.

1 基本思想

在量子信息科學中，一個具有兩個本征態{|0>, |1>}的量子系統叫做一個量子位.它的狀態空間為一個二維的希爾伯特空間，其中任意一個狀態可以記作

|φ>=α|>+β|1>.

(1)

其中，α,β為任意的實數.{|0>, |1>}構成了一個正交完備測量基，人們可以以它為基測量一個量子位.{|+>, |->}是另一個正交完備測量基，其中，

(2)

眾所周知，非正交的量子態是無法區分的，換句話說，如果已知一個量子位處于集合{|0>，|1>，|+>，|->}中某一個態，那么，沒有辦法唯一確定它的狀態究竟是哪一個.

按照密碼學研究的習慣，假定通信的雙方為Alice和Bob，可能的第三方攻擊者為Eve.起初，Alice和Bob都擁有一個秘密的n位二進制字符串P，雙方都是從別的途徑得到P，因此他們彼此并不知道對方也擁有該秘密消息P.如果在Alice和Bob需要確定對方確實擁有P，他們可以借助上述非正交量子態的不可區分性來驗證它.首先，約定以下編碼規則.

編碼規則：

|0>→0,|1>→0,|+>→0,|->→1.

(3)

然后，Alice和Bob對于P中每一個位pi，Alice按照以下規則生成一個量子位qi：如果pi的值是0，則qi隨機處于狀態|0>或者|1>；如果pi的值是1，則qi隨機處于狀態|+>或者|->.同時，根據編碼規則，Alice記錄下一個二進制位ai.如表1所示.

表1 Alice的記錄

然后，Alice將該量子位發送給Bob.當Bob收到之后，他根據pi的值確定測量基：如果pi的值是0，測量基為{|0>, |1>}；如果pi的值是1，測量基為{|+>, |->}.然后，Bob測量qi，記錄自己的測量結果并且根據編碼規則記為一個二進制位bi.結果如表2所示.

表2 Bob的記錄

容易看到，最后，Bob記錄bi與Alice的記錄ai完全一致，如下表3所示.

表3 記錄關聯

進一步，對于P中的所有位重復以上操作.最后，Alice和Bob分別得到一個n位的二進制字符串a和b，他們可以在經典信道上公開自己的結果.顯然，如果沒有信道傳輸錯誤或者攻擊者破壞，雙方的字符串應該完全一致.因此，Alice和Bob可以確認雙方擁有共同的秘密消息P.第三章里將證明任何不擁有P的第三方都不可能通過驗證，而且上述驗證過程不會泄漏任何有關P的信息.因此，可以利用上述結果來設計一個密鑰驗證協議.

2 使用非正交態的量子秘密驗證協議

假定Alice和Bob預先共享了某個消息，它可以用一個n位的二進制字符串P來代表.

P=p1p2…pi…pn,pi∈{0,1}.

(4)

Alice和Bob雙方之間有一條量子信道和一條經典信道相連.前者可以用來交換量子位，后者用來交換經典信息.量子信道和經典信道都是不安全的，任何人都可以監聽.

如果Alice和Bob需要驗證對方是否擁有P，他們執行下列步驟：

1.Alice 根據P生成n個量子位，其中每一個量子位的狀態如下：如果pi=0，量子位狀態隨機處于|0>或者|+>；如果pi=1，量子位狀態隨機處于|1>或者|->.同時，Alice根據編碼規則和自己的選擇記為一個二進制字符.最后，Alice得到一個n量子位序列Q,其中，

Q=q1a2…qi…qn.

和一個n位的二進制字符串a,其中,

a=a1a2…ai…an.

2.Alice將Q發送給Bob.

3.收到Q之后，Bob按照下列規則測量Q中的每一個量子位qi：如果pi=0，則Bob以{|0>, |1>}為基測量qi；如果pi=1，則Bob以{|+>, |->}為基測量qi.同時，Bob根據編碼規則和自己的測量結果記為一個二進制字符.最后Bob也得到一個n位的二進制字符串b，其中

b=b1b2…bi…bn.

4.Alice和Bob公開各自的字符串a和b并對比這兩個字符串.如果a=b，驗證通過，Alice和Bob確認雙方擁有共同的秘密消息；否則驗證失敗，Alice和Bob不擁有共同的秘密消息.

3 協議的安全性

本文提出的量子秘密驗證協議是安全的，任何不擁有完整秘密消息的人都不可能通過驗證，驗證過程中也沒有任何有關秘密消息的信息泄漏.證明如下.

首先，參與驗證的雙方都必須擁有秘密消息P.在協議步驟3，為測量qi，Bob必須根據P來選擇對應的測量基，如果Bob不擁有P，他就無法100%保證選中正確的測量基，從而無法得到正確的測量結果和二進制字符串.那么Bob有沒有辦法通過其他更復雜的方法獲得qi的狀態呢？那是不可能的.因為qi的可能狀態集合為{|0>, |1>, |+>, |->}.顯然這四個狀態之間不是彼此正交的.根據量子力學，非正交的量子態是無法100%的彼此區分的，也就是說，無論采用什么方法，Bob都無法100%地確定qi究竟是處于哪一個狀態，而且也無法確定qi的狀態屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此Bob恰好猜中正確的測量基，從而得到正確的測量結果和正確的二進制字符bi的概率最多為

(5)

所以，Bob恰好得到正確的字符串b的概率不超過,

(6)

如果n=100，則，

(7)

顯然，這是一個小得難以想象的概率，因此事實上Bob是根本不可能通過驗證的.

反過來，如果Alice在不擁有秘密消息P的情況下試圖欺騙Bob從而通過驗證，她必須生成一個n量子位序列Q，然后發送給Bob.但是，在協議步驟1，由于Alice手中沒有P，她就無法根據每一個位pi的值來生成正確的量子位qi以保證Bob一定能夠根據pi的規定選中正確的測量基.Alice生成的量子位qi只能隨機地處于{|0>, |1>, |+>, |->}之一.那么，Bob根據pi的值選擇的測量基恰好是正確的概率也只有1/2.同樣地推理可知，Alice和Bob得到相同的字符串的亦為公式(6)和(7).

顯然，Alice也不可能通過驗證.

其次，如果一個攻擊者Eve監聽了整個驗證過程，試圖竊取秘密消息P，她注定不會成功.Eve可以截獲Alice發送給Bob的量子位序列Q，試圖從中獲取有關P的信息.對于Q中的每一個量子位qi，它可能處于{|0>, |1>, |+>, |->}中的某一個狀態.這四個狀態彼此是不正交的，根據量子力學，Eve沒有任何辦法唯一確定qi的狀態，也沒有辦法確定qi的狀態屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此，Eve據此推斷出pi的值的概率不超過1/2，實際上這和隨機猜測pi值并無區別.那么，Eve得到秘密消息P的概率最大是公式(6)和公式(7).

所以，Eve不可能獲得秘密消息P.

綜上所述，本文的秘密驗證協議是安全的.而且它是建立在量子力學的定律基礎上的，所以具有無條件的安全性.

4 結語

本文的量子秘密驗證協議不需要使用糾纏態，也不需要任何復雜的量子操作，雙方只需要通過一個公開的量子信道交換單個量子位和對單量子位進行測量.使用今天的量子通信和量子測量技術可以輕而易舉地實現這些操作.所以，本協議是技術上可行的，可以在實驗室中順利完成，也可以很容易在實踐中得到應用.另一方面，由于相關的技術都很成熟，抗干擾性很好，所以本協議有著很好的魯棒性.

本文提出了一個利用非正交量子態的不可區分性基礎上的量子秘密驗證協議.共享秘密消息的雙方可以通過傳輸和測量量子系統來驗證消息的一致性和完整性.量子物理的定律保證了該協議的無條件安全性.該協議在實踐中容易實現，魯棒性較好.

參考文獻：

[1] Bennet C H, Brassard G. Quantum cryptography: Public-key distribution and tossing[C].In: Proceedings of IEEE International conference on Computers, Systems and Signal Processing, Bangalore, India, IEEE Press, 1984: 175.

[2] Ekert A K. Quantum cryptography based on Bell's theorem[J]. Physical Review Letters, 1991, 67: 661-663.

[3] Qi B, Zhao Y, Ma X F, et al. Quantum key distribution with dual detectors[J]. Physical Review A, 2007, 75(5): 052 304．

[4] Aguilar E A, Ramanathan R, Kofler K, et al. Completely Device Independent Quantum Key Distribution[J]. Physical Review A, 2016, 94(2): 022 305.

[5] Hatakeyama Y, Mizutani A, Kato G, et al. Differential-phase-shift quantum key distribution protocol with small number of random delays[J]. Physical Review A, 2017, 95(4): 042 301.

[6] Hillery M, Buzek V, Berthiaume A. Quantum secret sharing[J]. Physical Review A, 1999, 71(4): 044 301.

[7] Tavakoli A, Herbauts I, Zukowski M, et al. Secret Sharing with a Single d-level Quantum System[J]. Physical Review A, 2015, 93(3): 030 302.

[8] Lu H, Zhang Z, Chen L K, et al. Secret Sharing of a Quantum State[J]. Physical Review Letters, 2016, 117: 030 501.

[9] Lunghi T, Kaniewski J, Bussieres F, et al. Practical relativistic bit commitment[J]. Physical Review Letters, 2015, 115: 030 502.

[10] Verbanis E, Martin A, Houlmann R, et al. 24-Hour Relativistic Bit Commitment[J]. Physical Review Letters, 2016, 117: 140 506.

[11] Yin H L, Chen T Y, Yu Z W, et al. Measurement-Device-Independent Quantum Key Distribution Over a 404 km Optical Fiber[J]. Physical Review Letters, 2016, 117:190 501.

[12] Yin J, Cao Y, Li Y H, et al. Satellite-based entanglement distribution over 1200 kilometers[J]. Science, 2017, 356: 1 140.