帶身份認證的量子安全直接通信方案*

周賢韜 江英華

(西藏民族大學信息工程學院,咸陽 712000)

針對傳統量子安全直接通信方案中需提前假設通信雙方合法性的問題,提出一種帶身份認證的基于GHZ態(一種涉及至少三個子系統或粒子糾纏的量子態)的量子安全直接通信方案.該方案將GHZ 態粒子分成三部分,并分三次發送,每一次都加入竊聽檢測粒子檢測信道是否安全,并在第二次發送的時候加入身份認證,用以驗證接收方的身份,在第三次發送完粒子之后,接收方將所有檢測粒子抽取出來,之后對GHZ 態粒子做聯合測量,并通過原先給定的編碼規則恢復原始信息.本方案設計簡單、高效,無需復雜的幺正變換即可實現通信.安全性分析證明,該方案能抵御常見的內部攻擊和外部攻擊,并且有較高的傳輸效率、量子比特利用率和編碼容量,最大的優勢在于發送方發送信息的時候不需要假設接收方的合法性,有較高的實際應用價值.

1 引言

1969 年,哥倫比亞大學的Wiesner[1]在《Conjugate Conding》上提出了兩個全新的觀點,分別是復用信道和量子鈔票,首次開啟了量子信息的大門.1984 年,Bennett 和Brassard[2]提出首個正式的量子通信協議,這便是著名的BB84 協議.而量子安全直接通信(QSDC)的概念直到2002 年才由Long和Liu[3]正式提出.Almut 等[4]第一次使用單光子實現了量子安全的直接通信,但這兩個協議并不滿足直接通信的條件,它們需要經典信息的輔助.同年Bostr?m 和Felbinger[5]利用密集編碼的技術提出了第一個QSDC 協議,即Ping Pong 協議,但該協議存在安全性的問題[6,7].2003 年,鄧富國等[8]基于塊傳輸和密集編碼的理論,提出 Bell 態兩步QSDC 方案,此后研究者們在此基礎上又提出了一系列新的協議[8?29].例如,2005 年Gao[9]首次提出受控量子安全直接通信協議——CQSDC,后續Dong 等[10]提出類GHZ 態(一種涉及至少三個子系統或者粒子糾纏的量子態)的QSDC 協議.2006 年,王劍等[11]提出一種基于單光子序列順序重排的QSDC 協議,但傳輸效率并未提高,仍是1.2007 年,Yan 等[12]利用受控非門(controlled-not gate)、本地測量以及量子隱形傳輸提出一種QSDC協議.2008 年,Lin 等[13]提出了利用χ 型糾纏態的QSDC 方案.同年,Dong 等[14]基于W 態提出了相應的QSDC 協議,之后Hassanpour 和Houshmand[15]研究了此方案在噪聲環境中的情況.2016 年曹正文等[16]首次將兩類例子結合起來進行安全直接通信,將Bell 態粒子和單光子結合從而提升了通信效率.2022 年,趙寧等[25]提出一種基于單光子的高效QSDC 方案,利用多次發送單光子實現直接通信,一是不涉及糾纏態,二是沒有復雜的幺正運算.同年,龔黎華等[26]提出基于高維單粒子態的雙向半QSDC 協議.

早期的量子通信因為要考慮通信的安全而無法直接傳輸信息,因而學者們提出的一系列協議都是在為傳輸信息做準備,如量子密鑰分發是為了保證信道的安全或通信雙方的合法性,在完成這一點后才能通信.但自從QSDC 的概念在2002 年提出以來,人們逐漸將研究重心轉向通信本身,思考如何利用量子態直接進行通信,并提出了基于Bell 態粒子、GHZ 態粒子以及單光子的QSDC 方案等.可是這些方案都必須有一個前提: 那就是通信雙方都合法,只有確保這個前提才能進行通信,否則通信將不成立,但實際情況難以確保通信雙方合法,一旦通信雙方被冒充通信將不安全,要解決這一問題就要引入身份認證功能.身份認證的目的是在通信開始前在通信雙方之間共享一串身份密鑰用以確認通信雙方的合法身份,理論研究證明,在QSDC中引入身份認證功能能確保通信雙方的合法性.身份認證分為單向身份認證和雙向身份認證,單向身份認證可以檢驗通信一方的合法性,而雙向身份認證可以檢驗通信雙方的合法性,QSDC 由于是單向傳輸,因此適合單向身份認證,來檢驗接收方的合法性.自從人們將量子身份認證(quantum identity authentication,QIA)應用于量子安全直接通信(QSDC)并取得成功之后,不斷有人提出帶身份認證的QSDC 協議.因此在介紹GHZ 態QSDC 方案的基礎上,加入身份認證的功能.分析證明,加入身份認證功能之后原始方案的效率不變,但可以省去復雜的幺正運算,在不需要第三方(third party,TP)制備量子態的同時能夠保證方案的安全性,并且不需要事先約定接收方的合法性,可以解決冒充接收方的問題.

2 理論研究

2.1 測量基

在量子通信過程中進行竊聽檢測和身份認證均要用到兩種測量基,分別是Z基(|0〉,|1〉)以及X基(|+〉,|–〉).其中(|0〉,|1〉)是一組標準正交基,(|+〉,|–〉)是一組標準正交基,而X基和Z基是非正交基,并且X基與Z基通過H門可進行如下轉換:

操作過程及結果為

由(4)式可知,如果量子態狀態是|0〉(或|1〉),則用Z基就一定能測出其狀態是|0〉(或|1〉);如果采用X基測量,那么結果會有50%的概率塌縮為|+〉,50%的概率塌縮為|?〉.同理,如果量子態狀態是|+〉(或|?〉),采用X基就一定能測出它的狀態是|+〉(或|?〉);如果采用Z基測量,則結果會有50%的概率塌縮為|0〉,50%的概率塌縮為|1〉.

2.2 單光子和GHZ 態

4 種單光子分別為|0〉,|1〉,|+〉,|?〉,表示單光子的四種偏振態,即水平偏振、垂直偏振、45°偏振和135°偏振.8 種GHZ 態粒子在Z基下分別表示為

將上述8 種GHZ 態粒子進行編碼,見表1.

表1 GHZ 態粒子對應的編碼Table 1.Corresponding codes of GHZ state particles.

2.3 量子身份認證

傳統的QIA 協議被當作一類獨立的量子通信協議來單獨研究,其功能簡而言之就是證明通信雙方是原始、合法的,沒有被冒充.基于QIA 的思想,將其加入到QSDC 中作為一種輔助手段,事先在通信雙方之間共享一串身份密鑰,然后將GHZ態粒子分成3 個部分S1,S2和S3,分別發送給Bob,在Alice 發送S2給Bob 的這一步加入身份認證,之后經過一系列的檢測,可以判斷接收方是否被冒充.加入身份認證在于增加信道的安全性,同時能保證原先的通信效率,簡化復雜的幺正運算,且不需要第三方TP 制備量子態,最大的優勢在于不需要假設接收方的合法性,只需確保發送方的合法性.相比傳統的QSDC 要假設通信雙方的合法性,本方案無疑具有明顯的優勢.

3 方案描述

假設Alice 是合法的發送方,Bob 是否為合法的接收方尚不清楚,Alice 在之前已經將其身份密鑰IDA 共享給Bob,協議描述如下.

Ⅰ) 設Alice 要發送的信息是M,身份密鑰是IDA,首先將M每3 位分成一段,假設共分為n段,根據表1 的編碼規則,制備相應的GHZ 態粒子.

Ⅱ) Alice 將每個GHZ 態粒子的第一個粒子按順序提取出來組成序列S1.根據表1 的編碼規則隨機制備用于竊聽檢測的誘惑粒子,誘惑粒子的狀態為|0〉,|1〉,|+〉,|?〉4 種單光子之一.接著在S1序列中的隨機位置隨機插入4 種誘惑粒子形成新的序列|0〉,|+〉,并記錄插入誘惑粒子的位置,然后Alice 將|0〉,|+〉發送給Bob.

Ⅲ) Bob 收到|0〉,|+〉序列后通知Alice,Alice通過不可纂改的經典信道公布誘惑粒子的位置和應使用的測量基,Bob 選取對應的測量基在相應位置進行測量.測量完成后將結果發送給Alice,Alice 將Bob 的測量結果與正確結果相比較: 如果竊聽檢測的結果小于閾值,則認為沒有竊聽,可以繼續通信;否則結束通信.

Ⅳ) Alice 將每個GHZ 態粒子的第二個粒子提取出來形成序列S2.Alice 根據序列IDA的值進行如下操作.

1)若k1=0,則在S2中尋找第一個|0〉,并記錄位置L1;若k1=1,則在S2中尋找第一個|+〉,并記錄位置L1.

2)若k2=0,則在S2中位置L1之后尋找第一個|0〉,并記錄位置L2;若k1=1,則在S2中位置L1之后尋找第一個|+〉,并記錄位置L2.

……

n)若kn=0,則在S2中位置Ln–1之后尋找第一個|0〉,并記錄位置Ln;若kn=1,則在S2中位置Ln–1之后尋找第一個|+〉,并記錄位置Ln.

這樣遍歷完IDA 之后形成一個位置序列L=L1L2···Li···Ln,Alice 將位置序列L發送給Bob,但不告知Bob 所采用的測量基以及測量結果.

Ⅴ) Alice 在S2序列中的隨機位置插入制備好的誘騙粒子,并記錄誘惑粒子的位置,形成新的序列|0〉,|+〉,最后將序列|0〉,|+〉發送給Bob.

Ⅵ) Bob 收到|0〉,|+〉序列后,按照第Ⅲ)步的方法先進行竊聽檢測,如果竊聽檢測通過后,將誘騙粒子抽取出來恢復成S2序列.接下來進行身份認證環節,Bob 根據之前Alice 公布的位置序列L進行如下測量:

1)當Ki=0 時,選擇Z基對序列S2中第Li個單光子進行測量;

2)當Ki=1 時,選擇X基對序列S2中第Li個單光子進行測量.

對測量得到的結果進行編碼,|0〉編碼為0,|+〉編碼為1,得到n位二進制字符串K,Alice 將K與事先共享密鑰IDA 進行對比.若K=IDA,則身份認證成功,Alice 確認Bob 的身份,通信繼續.若K≠ IDA 或測量結果中出現|0〉與|+〉以外的其他量子態,則認證失敗,放棄通信.

Ⅶ) Alice 將GHZ 態粒子的第三個粒子組合形成序列S3,并將誘惑粒子插入S3生成新的序列|0〉,|+〉,發送給Bob.然后按照第Ⅲ)步的方法進行竊聽檢測,檢測結果低于閾值可以繼續下一步,否則放棄通信.

Ⅷ) 在|0〉,|+〉中除去誘騙粒子和用于身份認證的粒子,剩下的位置存放的就是秘密信息.根據量子塌縮性原理,之前對S2測量之后,S1和S3會塌縮成和S2一樣的序列,將S1,S2,S3的序列組合起來,就得到完整的GHZ 態粒子,最后根據表1解碼獲得秘密信息.

4 討論與分析

4.1 正確性

假設身份密鑰為IDA=1001,發送方在發送之前測量出S2的值是|1〉|+〉|1〉+〉|–〉|0〉|0〉|1〉|+〉|1〉,當竊聽檢測通過之后,省略不需要的粒子,身份認證的過程見表2.

表2 身份認證過程Table 2.Identity authentication process.

由表2 可知,位置序列L=2679,合法的Bob選擇的測量基應該為X基,Z基,Z基和X基,檢測的結果為|+〉|0〉|0〉|+〉.如果Bob 是合法的通信接收方,且知道身份信息IDA 的值,則Bob 能正確地選擇測量基,得到正確的測量結果,從而完成身份認證;如果Bob 的身份不合法,那么它不知道身份信息IDA 的值,就需要去猜測.由于我們假設的身份信息為4 位,則非法Bob 猜中身份信息IDA的概率為50%×50%×50%×50%=6.25%,也就是說第三方若想冒充接收方Bob,則它成功的概率為6.25%.推廣可得,若身份信息IDA 為n位,則第三方冒充成功的概率為(50%)n.當n足夠大時,這個概率就接近0,因此在實際操作時,可以將n的位數設置得更多來保證接收方的合法性.

4.2 安全性

4.2.1 截獲/測量重發攻擊

截獲/測量重發攻擊是指在Alice 將量子序列發送給Bob 的過程中,攻擊者Eve 截獲Alice 發送的序列.如果用自己預先準備好的序列替代原序列發送給Bob 的話,就是接獲重發攻擊;如果用Z基或X基對截獲的序列進行測量,然后將測量結果發送給Bob 的話就是測量重發攻擊.而對于該協議,一共發送了三個序列,每一個序列都加入了誘惑粒子,對于每一串序列外部竊聽者Eve 都不知道誘惑粒子在什么位置,也不知道該用什么測量基去測量.Eve 對每個量子態選擇正確測量基進行測量的概率只有50%,因此Eve 對截獲單光子序列測量結果正確的概率為(50%)n,n為Eve 截獲單光子的個數.一旦Eve 選錯測量位置和測量基,再將測量后的結果發送給Bob,那么在竊聽檢測階段,就一定會被Alice 發現.而且即便Eve 對Alice 發送的序列進行測量,它也得不到任何有用的消息,因為我們的消息需要對S1,S2,S3進行整合測量,才能恢復初始消息,若Eve 對其中單獨的序列進行測量而不做整合,則它得到的只是一串毫無意義的數字.

4.2.2 木馬攻擊和拒絕服務攻擊

木馬攻擊一般分為隱形光子木馬攻擊和延遲光子木馬攻擊.這兩種攻擊只存在于雙向通信當中,而本方案只有Alice 向Bob 單向傳輸信息,故不存在木馬攻擊.拒絕服務攻擊指竊聽者Eve 對捕獲到的量子進行一些隨機操作,從而破壞發送方欲傳輸的信息,而自己也不獲取相關的信息的過程.由于竊聽者并不知道誘騙粒子的位置,所以當攻擊者Eve 對誘惑粒子進行隨機操作時,那么就會被竊聽檢測出來,因此拒絕服務攻擊對本方案也是無效的.

4.2.3 輔助粒子攻擊

輔助粒子攻擊是Eve 借助輔助粒子對截獲的量子態進行糾纏.該攻擊涉及Eve 對一個更大的復合系統進行幺正操作,幺正操作會引起一定的錯誤率.對該攻擊的安全性分析包括Eve 攻擊被檢測到的概率,即幺正操作引起的錯誤率和Eve 可以訪問到的最大信息量IE.通信中涉及單光子和Bell 態粒子兩種量子態,對該安全性分析也分為對截獲兩種量子態的分析.

1) Eve 利用輔助粒子|e〉對單光子識別,假設沒有改變單光子狀態,

幺正操作引起的錯誤率,即Eve 竊聽被檢測到的概率

因此,使用輔助粒子對截獲的量子態進行攻擊,一定會對粒子狀態的改變產生干擾,在后續合法通信方的竊聽檢測中一定會被發現.

3)對Eve 獲取最大信息量IE的分析.每一個光子的約化密度矩陣為

可以看出Eve 測量光子得|0〉或|1〉的概率都是50%,量子態|0〉被Eve 攻擊,

用矩陣表示為

解密度算子ρ′的特征值λ:

ρ′的兩個特征值λ1=0,λ2=1,則Eve 的Von-Neumann 熵為

由(26)式可得,Eve 對截獲粒子采用U操作來竊聽,獲得信息仍為0.根據信息論可知Eve 在量子系統中可獲取最大信息量受于Holevo 限:

由此可知合法雙方互信息為3,而Eve 得到的信息IE=0,所以第三方Eve 無法竊取到任何有用信息.

4.2.4 身份冒充攻擊

由于通信前已假定發送方Alice 是合法的,因此Alice 不存在被冒充的情況,這里討論接收方Bob 被冒充的情況.通信開始后,當Bob 被第三方冒充,那么冒充者不知道身份信息IDA 的值,因而需要去猜測,由上文分析可知,如果身份密鑰的位數為n,則冒充者猜對身份密鑰的概率為(50%)n,當n≥ 7,也就是密鑰位數≥7 位的時候,冒充者猜對的概率不足1%,即被發現的概率大于99%,這時可以認為協議安全.一旦冒充者猜錯了IDA的值,就會錯誤地選擇測量基,從而得出錯誤的測量結果K,因為K≠ IDA,冒充者的身份就會被發現,通信隨即終止.

4.2.5 信息泄露問題

信息泄露指外部竊聽者Eve 不需要去截獲發送方發送的粒子,而僅僅只通過竊聽發送方和接收方在經典信道中公布的信息就可以得到全部或部分的秘密信息,這種攻擊主要存在于雙向量子通信中協議.對于該方案,Alice 公布了序列中插入的誘惑粒子的位置和應選用的測量基,攻擊者并不能根據誘惑粒子的位置和應選用的測量基獲得和推測出任何有關秘密信息的消息.接著Bob 告知了Alice 測量結果,測量結果為與閾值相關的信息,攻擊者并不能依此獲得和推測到任何有關秘密消息的信息.對于序列,Alice 除了公布誘惑粒子的信息外,還公布了表示身份信息的單光子態的位置和應選用的測量基.同樣,因為只有誘惑粒子和表示身份信息的單光子的位置和應選用的測量基,竊聽者Eve 仍然得不到任何有關秘密消息的信息.所以該方案理論上不會有任何的信息泄露.

4.3 效率及編碼容量

在信息論中量子密碼方案的傳輸效率定義為

式中,bs,qt和bt分別表示通信時交換的有用信息比特數、量子比特數和經典比特數.在一般情況下,身份認證和竊聽檢測用到的相關量子比特忽略不計.因此該方案中,qt為3n,bs為3n,bt為0,則該方案傳輸效率為

量子比特利用率定義為

其中,qu表示用來傳遞消息的量子比特的個數,本方案中所有量子比特均攜帶了信息.因此在該方案中,qu為n個GHZ 態的量子比特數3n,qt為n個GHZ 態的量子比特數3n,故

對于劉丹[27]提出的基于Bell 態的QSDC,其通信效率為ξ=2n/(2n)=1,其量子比特利用率為η=n/(2n)=0.5,由此可看出基于GHZ 態的QSDC相較于基于Bell 態的QSDC 通信效率不變,但量子比特利用率提高了1 倍.編碼容量方面,由表1可知,一個GHZ 態上可以編碼3 bits 經典信息,因此該方法的編碼容量為一個態: 3 bits.我們將一些經典的QSDC 協議的量子傳輸效率、量子比特利用率和編碼容量用(30)式—(32)式計算出來與本文提出的方案進行分析對比,所得結果見表3.

表3 相似協議效率對比Table 3.Efficiency comparison of similar protocols.

5 結論

經典的基于GHZ 態粒子QSDC 方案通常采用三粒子GHZ 態粒子作為傳輸粒子,但是其隱患在于通信過程簡單,安全性難以得到保證,因此在傳統的基于GHZ 態粒子QSDC 方案的基礎上,加入了單向身份認證.在此方案中,一次秘密信息的發送要分三步,如此一來,即便中間有竊聽者竊聽到了發送的量子態,那它得到的也只是不完整的信息,并不能知曉真實信息.另外每一次發送量子態之前都做一次竊聽檢測,也杜絕了外部竊聽的干擾,安全性大有保證.而接收方也必須獲得完整的三串序列才能對消息解碼,因此從理論上可以解決信息的泄露問題,與傳統的方案相比,效率沒有下降,安全性得到了提高,并且有效地解決了通信接收方合法性的問題.