基于Bell 態的兩方互認證量子密鑰協商協議

何業鋒，狄 曼，龐一博，岳玉茹，李國慶，劉繼祥

(西安郵電大學網絡空間安全學院 西安 710121)

量子密碼的安全基于海森堡不確定原理[1]和量子不可克隆定理[2]。近年來，隨著量子密碼應用的發展，量子密碼學引起越來越多的關注，研究成果層出不窮，包括量子密鑰分發(quantum key distribution, QKD)[3-4]、量子密鑰協商(quantum key agreement, QKA)[5]、量子秘密共享(quantum secret sharing, QSS)[6]、量子安全直接通信(quantum secure direct communication, QSDC)[7]、量 子 私 有 比 較(quantum private comparison, QPC)[8]以及量子遠程態 準 備(quantum remote state preparation, QRSP)[9]等。量子密鑰協商(QKA)是量子密碼學的一個重要研究方向。它允許所有參與者共同協商一個會話密鑰，并且每個參與者對生成會話密鑰的貢獻是相同的，即會話密鑰不能由任意一方完全決定。它顯然不同于QKD，因為QKD 是由一個參與者決定會話密鑰并將其分發給其他各方。因此，QKA 在生成會話密鑰方面比QKD 更加公平。

QKA 經過了多年的研究發展，取得了大量研究成果。2004 年，文獻[5]提出了第一個QKA 協議，其中通信方共同確定會話密鑰。2010 年，文獻[10]提出了一種基于BB84[3]的QKA 協議，利用延遲測量技術和雙CNOT 操作，實現了會話密鑰的公平建立。2013 年，文獻[11]提出了利用EPR 對和糾纏交換技術將參與者由兩方擴展為多方的QKA 協議。2017 年，文獻[12]提出了兩種不受集體噪聲影響的QKA 協議，這兩種協議主要利用邏輯量子態、多粒子糾纏態的測量相關特性和延遲測量技術，使得協議的性能得到提升。2020 年，文獻[13]提出了一種三方半量子密鑰協商協議，降低了對參與者能力和設備的要求。2020 年，文獻[14]提出了基于最大三粒子糾纏態的受控量子密鑰協商協議，與之前的兩方和三方QKA 協議相比較，最大的變化是引入了一個監督者來控制協議過程，以提高協議的可控性。2021 年，文獻[15]提出了基于類GHz 態的半誠實三方互認證量子密鑰協商協議，利用身份認證部分驗證用戶身份的真實性，確保密鑰協商雙方身份的正確性與可靠性，并且能防止外部攻擊者冒充合法用戶傳遞虛假信息竊取會話密鑰。這與其他QKA 協議相比，更符合實際應用需求。因此，設計具有互認證功能的QKA協議有重要意義。

然而已有的互認證量子密鑰協商協議需要在可信或者半可信第三方的幫助下才能實現參與者之間的密鑰協商，因此步驟繁瑣且通信量較大。利用Bell 態，本文提出了一個無需第三方參與的兩方互認證QKA 協議。在該協議中，兩個參與方通過對身份信息粒子的制備和測量，來實現雙方身份的互認證；并且利用Bell 態的糾纏交換關系和編碼實現密鑰協商。新的QKA 協議被證明是安全的且有較高的量子比特效率。

1 理論知識

4 個Bell 態構成了四維Hilbert 空間的一組正交基，即：

任意兩個Bell 態糾纏交換后仍然處于一對Bell態，如：

表1 Bell 態的糾纏交換[11]

2 兩方互認證量子密鑰協商協議

當Alice 和Bob 想要協商一個會話密鑰時，他們需要先相互認證對方的身份，當身份認證通過后，Alice 和Bob 再進行密鑰協商。協議的身份認證及密鑰協商的具體步驟如下。

圖1 量子態的制備與傳輸

如果Alice 和Bob 計算的錯誤率都低于門限值[16]，則認為信道是安全的，Alice 和Bob 可以繼續進行下一步；如果Alice 和Bob 哪一方計算的錯誤率高于門限值，則停止該步驟并重新開始。

5) 當兩方的信道都通過了安全檢測后，就對雙方進行身份認證。

當認證Alice 身份時，由Alice 公布rA中所有粒子的位置和測量基，而Bob 則對rA中所有粒子進行測量。然后Bob 根據rA的測量結果和步驟1)，得到相應二進制序列， 通過比較與RA是否相等，來判斷Alice 的身份是否正確。通過對中的rB粒子執行類似操作，來判斷Bob 的身份是否正確。

如果Alice 和Bob 雙方都通過了身份認證，則可以繼續進行協議的下一步，否則終止協議并重新開始。信道安全性檢測與身份認證如圖2 所示。先測量誘騙態粒子，完成信道安全性檢測后，再測量身份信息粒子，完成身份認證。

圖2 信道安全性檢測與身份認證

圖3 Bell 態的測量與密鑰協商

3 分析與討論

一個好的QKA 協議應該既可以抵抗外部攻擊，也可以抵抗內部攻擊。

3.1 外部攻擊

Alice 和Bob 在步驟1)、2)制備序列rA，rB，SA和SB；在步驟3)傳輸序列和；在步驟4)測量序列和中的誘騙態粒子進行信道安全性檢測；在步驟5)對序列和S中 的粒子和進行測量完成身份認證；在步驟6)～8)完成會話密鑰協商。通過對協議的分析知，雙方只在步驟3)進行了信息的傳輸，其他步驟只進行了量子態的制備和測量。

針對會話密鑰的攻擊：假設Eve 想竊取會話密鑰，他只能在雙方通信時，即在步驟3)對序列和執行特洛伊木馬攻擊、測量?重發攻擊、截獲?重發攻擊或糾纏?測量攻擊。由于序列和在本協議中僅被傳輸了一次，因此Eve 無法成功實現兩種特洛伊木馬攻擊[17-19]。若Eve 進行測量?重發攻擊、截獲?重發攻擊或糾纏?測量攻擊，然而Eve 的操作會影響序列和中誘騙態粒子的狀態[12]，從而Alice 和Bob 在步驟4)的信道安全性檢測中就能發現Eve 的攻擊。

3.2 參與者攻擊

當Alice 和Bob 通過了身份認證后，他們的身份就是合法的。在后續密鑰中，雙方交換序列和， 并分別測量序列對(SA1,SB1)和 (SA2,SB2)。由式(2)和表1 給出的糾纏交換關系可知，Alice和Bob 的測量結果是在4 種Bell 態中等概率出現的。即雙方的測量結果是隨機的，Alice 和Bob 都不能決定他們的測量結果。因此，雙方都不能成功執行參與者攻擊。

3.3 性能分析

QKA 協議的量子比特效率公式[20]定義為η=c/(q+b)， 其中，c表示協商出的會話密鑰的比特數量，q表 示協議中用到的量子比特總數，b表示用于解碼的經典信息。

因為本文QKA 協議中用到的Bell 態數量為4n， 誘騙態量子比特數量為 2p，身份認證粒子的比特數量為 2n， 經典解碼信息為b=4n+4n=8n，得到的會話密鑰比特數量為c=4n。所以本文QKA 的量子比特效率為 η=4n/(4n×2+2p+2n+8n)。又因為身份認證粒子是隨機插入的，可起部分誘騙態粒子的作用，所以可令p=n。 當p=n時，效率為η=4n/20n=20%。它與已有互認證的QKA 協議的比較可以參見表2。根據表2 知本文的QKA 協議在量子比特效率方面也較高。

表2 本文互認證的QKA 協議與已有互認證的QKA 協議的比較

4 結束語

本文利用Bell 態提出了一個兩方的互認證量子密鑰協商協議，它無需第三方的參與就能實現參與者的身份互認證和密鑰協商，協議的步驟簡單且只需一次交互的量子通信。 安全性分析證明了這個QKA 協議可以有效抵抗外部攻擊和內部攻擊。與已有的互認證QKA 協議相比較，本文提出的新的互認證QKA 協議不但有較高的量子比特效率，而且僅用到了單粒子測量和Bell 態測量，在現有技術的基礎上更易實現。