鄭 濤，張仕斌，李雪楊，邵婷婷

(成都信息工程大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，四川 成都 610225)

0 引 言

1984年，Bennett和Brassard利用單光子的偏振態(tài)共同研發(fā)了世界上第一個(gè)量子密鑰分發(fā)協(xié)議(quantum key distribution，QKD)，即BB84協(xié)議。隨后新的QKD協(xié)議及其相關(guān)的實(shí)驗(yàn)研究也不斷出現(xiàn)[1,2]。為了滿足不同的實(shí)際應(yīng)用場(chǎng)景需求，人們提出了量子身份認(rèn)證(quantum identity authentication，QIA)[3,4]、量子秘密共享(quantum secret sharing，QSS)[5-7]、量子安全直接通信(quantum secure direct communication，QSDC)[8-10]等一系列應(yīng)用性量子密碼協(xié)議[11-13]。隱私比較屬于經(jīng)典信息安全領(lǐng)域的“百萬(wàn)富翁”問(wèn)題，即兩個(gè)富翁想知道到底誰(shuí)更有錢，但是都不愿意透露自己的財(cái)富。在現(xiàn)實(shí)生活中，有如下應(yīng)用場(chǎng)景：假設(shè)兩個(gè)誠(chéng)實(shí)用戶Alice和Bob分別擁有一條秘密信息。Alice和Bob都想同時(shí)獲得對(duì)方的秘密信息，但雙方都擔(dān)憂對(duì)方在獲得自己信息后，拒絕提供他的信息給自己，并且都不希望自己的秘密信息泄露給第三方。為了在量子通信網(wǎng)絡(luò)中避免這種風(fēng)險(xiǎn)發(fā)生，學(xué)者們提出了一些基于量子理論的隱私比較協(xié)議，但是大都需要通信的某一方先公開(kāi)部分秘密信息，才能完成隱私比較，而且協(xié)議過(guò)程中粒子的利用效率不高。

為了增強(qiáng)量子隱私比較過(guò)程的平等性，提高粒子傳輸效率，本文提出了一種基于稠密編碼的量子隱私比較協(xié)議。通過(guò)安全性分析，證明了本協(xié)議在外部攻擊、內(nèi)部攻擊等多種攻擊策略下都是安全可靠且高效的。并且在隱私比較過(guò)程中，一比特的量子數(shù)目可以傳輸兩比特的用戶信息量。

1 基本原理

1.1 Bell態(tài)

單粒子量子態(tài)可以寫(xiě)成 |φ〉=α|0〉+β|1〉， 其中α和β分別為粒子坍縮成 |0〉態(tài)和 |1〉 態(tài)的概率值。且滿足： |α|2+|β|2=1。 兩粒子量子糾纏系統(tǒng)由A粒子序列與B粒子序列組成，可以由以下4個(gè)Bell態(tài)描述

(1)

1.2 Pauli算符

在Hilbert空間中，存在線性算符(Pauli算符)，用來(lái)改變量子矢量的狀態(tài)。Pauli算符以Pauli矩陣為基礎(chǔ)進(jìn)行構(gòu)造，4個(gè)基本的Pauli算符與Pauli矩陣定義如下

(2)

單粒子量子態(tài) |φ〉=α|0〉+β|1〉 經(jīng)過(guò)4種Pauli算符后變?yōu)?/p>

σ00|φ〉→|φ〉σ01|φ〉→β|0〉+α|1〉σ10|φ〉→eiπ/2(-β|0〉+α|1〉)σ11|φ〉→α|0〉-β|1〉

(3)

4種Bell態(tài)粒子經(jīng)過(guò)Pauli算符操作后，也有類似的狀態(tài)改變，以Bell態(tài) |φ+〉A(chǔ)B為例，容易驗(yàn)證以下關(guān)系成立

σ00|φ+〉A(chǔ)B=|φ+〉A(chǔ)Bσ01|φ+〉A(chǔ)B=|ψ+〉A(chǔ)Bσ10|φ+〉A(chǔ)B=|φ-〉A(chǔ)Bσ11|φ+〉A(chǔ)B=|ψ-〉A(chǔ)B

(4)

1.3 Bell糾纏

將N對(duì)Bell態(tài) |φ+〉A(chǔ)B粒子解糾纏，形成 |A〉i和 |B〉i兩個(gè)單粒子序列 (i=0,1…N)。 假設(shè)Alice對(duì) |A〉i單粒子序列執(zhí)行Pauli操作，Bob對(duì) |B〉i單粒子序列執(zhí)行Pauli操作；操作完成后Alice或Bob將 |A〉i和 |B〉i粒子序列按照它們的初始序列順序再次糾纏，具體的操作步驟可以簡(jiǎn)要描述為：

Alice或Bob對(duì) |A〉i和 |B〉i這兩個(gè)單粒子序列，按照它們?cè)贐ell態(tài) |φ+〉A(chǔ)B粒子的初始順序，對(duì)其進(jìn)行Bell態(tài)聯(lián)合測(cè)量，使得 |A〉i和 |B〉i再次糾纏形成新的Bell態(tài)粒子。對(duì)解糾纏后的兩個(gè)單粒子執(zhí)行Pauli操作后，形成的Bell態(tài)粒子與Pauli操作之間的關(guān)系見(jiàn)表1。

表1 Puali操作與Bell態(tài)粒子的測(cè)量結(jié)果

2 協(xié)議描述

假設(shè)Alice擁有的秘密信息為X=(x0,x1…xn)， Bob擁有的秘密信息為Y=(y0,y1…yn)。 且有xi,yi∈(0,1)。 雙方秘密共享的信息編碼規(guī)則如下

σ00→00,σ01→01,σ10→10,σ11→11

(5)

為了減少協(xié)議的復(fù)雜度，降低Bell態(tài)粒子在制備和糾纏，以及解糾纏等量子操作過(guò)程中的錯(cuò)誤率，本文引入不可信第三方(untrusted third party，UTP)進(jìn)行Bell態(tài)粒子的制備分發(fā)等操作。協(xié)議具體步驟如下：

(1)UTP制備N對(duì)Bell態(tài)粒子序列 |φ+〉A(chǔ)B， 然后UTP抽取粒子序列中所有下標(biāo)為A的粒子組成單粒子序列P1， 抽取所有下標(biāo)為B的粒子組成單粒子序列P2； 為了防止外部竊聽(tīng)，UTP在序列P1和P2中插入足量的誘騙粒子，并將P1通過(guò)量子信道發(fā)送給Alice，將P2發(fā)送給Bob。

(2)Alice和Bob按順序接收完粒子序列后，分別通知UTP公布他們各自接收粒子序列中誘騙粒子的位置，以及誘騙粒子使用的測(cè)量基。Alice和Bob對(duì)各自的粒子序列進(jìn)行竊聽(tīng)檢測(cè)：雙方根據(jù)UTP公布的位置信息，抽取出誘騙粒子，使用UTP公布的測(cè)量基進(jìn)行測(cè)量并將結(jié)果公布。如果得到的測(cè)量結(jié)果錯(cuò)誤率高于設(shè)定的閥值，說(shuō)明粒子分發(fā)過(guò)程中有外部竊聽(tīng)，協(xié)議取消。否則，協(xié)議進(jìn)行到下一步。

(5)UTP按照接收順序，對(duì)完成竊聽(tīng)檢測(cè)后的兩個(gè)單粒子序列執(zhí)行Bell聯(lián)合測(cè)量，使其再次糾纏。并將得到的Bell態(tài)粒子序列結(jié)果公布。注意：得到的粒子狀態(tài)應(yīng)該為4種 Bell態(tài)粒子的集合 (|φ±〉A(chǔ)B和 |ψ±〉A(chǔ)B)， 如果出現(xiàn)了其它的粒子狀態(tài)，說(shuō)明發(fā)生了外部竊聽(tīng)或協(xié)議參與者有不誠(chéng)實(shí)行為，協(xié)議取消。否則，協(xié)議進(jìn)行到下一步。

(6)Alice和Bob根據(jù)UTP公布的粒子態(tài)信息，結(jié)合自己對(duì)單粒子序列執(zhí)行的Pauli操作，由表1和編碼規(guī)則(5)，雙方可以同時(shí)推出對(duì)方完成的Pauli算符集，進(jìn)而獲得對(duì)方的秘密信息。Alice將自己的秘密信息X與推出的Bob秘密信息Y′進(jìn)行異或，得到x=X⊕Y′， Bob同樣操作得到y(tǒng)=Y⊕X′， 雙方計(jì)算x=y是否成立，如果不成立，說(shuō)明UTP公布了錯(cuò)誤的貝爾態(tài)粒子狀態(tài)或者參與方有不誠(chéng)實(shí)行為，協(xié)議取消。反之，雙方獲取對(duì)方的秘密信息。

3 協(xié)議分析

3.1 協(xié)議的效率分析與正確性分析

圖1 協(xié)議簡(jiǎn)化流程

3.2 協(xié)議的安全性分析

通過(guò)分析協(xié)議步驟可以得知，協(xié)議面臨來(lái)自通信參與方和UTP的內(nèi)部攻擊威脅，竊聽(tīng)者的外部攻擊威脅。

3.2.1 對(duì)UTP的安全性分析

在本協(xié)議中，UTP需要完成的事情有：①制備并分發(fā)貝爾態(tài)粒子；②對(duì)Alice和Bob發(fā)回的粒子進(jìn)行Bell聯(lián)合測(cè)量，并公布正確測(cè)量結(jié)果。因此UTP可以通過(guò)公布虛假的測(cè)量結(jié)果(即假信號(hào)攻擊)來(lái)試圖獲取Alice和Bob的秘密信息。但在本協(xié)議中，UTP將不會(huì)獲得任何有用信息。首先，由于編碼規(guī)則是由Alice和Bob秘密共享的，并且通信雙方不會(huì)公布任何與秘密信息直接相關(guān)的內(nèi)容，因此UTP不會(huì)獲得任何直接的秘密信息。其次，如果UTP公布的是虛假的測(cè)量結(jié)果，Alice和Bob根據(jù)UTP公布的錯(cuò)誤測(cè)量結(jié)果，通過(guò)表1和編碼規(guī)則推出對(duì)方執(zhí)行的泡利操作是錯(cuò)誤的，但是此時(shí)UTP依然不會(huì)獲得任何有用的秘密信息。如果通信雙方在獲取了對(duì)方的秘密信息后，將自己的秘密信息與推測(cè)出的對(duì)方秘密信息進(jìn)行按位異或，并通過(guò)量子信道發(fā)送給對(duì)方，經(jīng)過(guò)簡(jiǎn)單判斷就可以發(fā)現(xiàn)UTP是否公布了錯(cuò)誤的貝爾態(tài)粒子狀態(tài)。例如：因此，UTP執(zhí)行假信號(hào)攻擊無(wú)法獲得任何與用戶秘密信息相關(guān)的內(nèi)容。

3.2.2 對(duì)用戶的安全性分析

假設(shè)Bob試圖欺騙Alice，他在對(duì)粒子序列不按照秘密信息Y執(zhí)行泡利操作。設(shè)Alice的秘密信息為11，Bob的秘密信息為10，他卻對(duì)粒子執(zhí)行σ00操作試圖獲取Alice的秘密信息。Alice對(duì)自己的粒子執(zhí)行了正確的σ11操作后，雙方將粒子發(fā)回給UTP。UTP完成Bell測(cè)量后公布粒子狀態(tài) |φ-〉A(chǔ)B(Bob如果執(zhí)行了正確的σ10操作，UTP公布的粒子狀態(tài)本應(yīng)為 |ψ+〉A(chǔ)B)， 此時(shí)Bob根據(jù)UTP公布的 |φ-〉A(chǔ)B和自己的秘密信息，根據(jù)表1推出Alice的秘密信息為“11”，但是Alice推出Bob的秘密信息為“00”。當(dāng)雙方在協(xié)議第(6)步驗(yàn)證時(shí)，x=y將不會(huì)成立，Alice發(fā)現(xiàn)Bob的不誠(chéng)實(shí)行為，并且協(xié)議立即取消。因此Bob不能獲得Alice全部的秘密信息。

3.2.3 截獲/重發(fā)攻擊

假設(shè)外部竊聽(tīng)者想通過(guò)截獲/重發(fā)的攻擊手段獲取通信雙方的秘密信息。分析協(xié)議可知，在UTP分發(fā)粒子過(guò)程，以及Alice與Bob發(fā)回粒子給UTP的過(guò)程中，步驟(2)和步驟(4)都會(huì)抽取誘騙粒子進(jìn)行竊聽(tīng)檢測(cè)，因此外部竊聽(tīng)者都會(huì)被檢測(cè)出來(lái)。因此截獲/重發(fā)攻擊手段對(duì)本協(xié)議將不會(huì)有作用。

3.2.4 附加粒子糾纏攻擊

假設(shè)Eve截獲UTP發(fā)送給Alice的粒子序列P1， 附加了糾纏操作Ue后，附加粒子序列E與P1組合態(tài)形成的希爾伯特空間存在如下變換

|a|2+|b|2=1 |a′|2+|b′|2=1ab*=(a′)*b′

根據(jù)上面的式子可以推出： |a|2=|a′|2， |b|2=|b′|2， 于是Eve通過(guò)附加粒子糾纏攻擊，被檢測(cè)出來(lái)的概率為p=|b|2=1-|a|2=|b′|2=1-|a′|2。 如果Eve想避免引入錯(cuò)誤，則附加粒子與UTP制備的粒子構(gòu)成的系統(tǒng)必定總是處于直積態(tài)；此時(shí)表明輔助粒子與UTP制備的Bell態(tài)之間沒(méi)有任何關(guān)聯(lián)。即Eve不能獲得任何有用的信息。

4 結(jié)束語(yǔ)

本文提出一種基于貝爾態(tài)的量子隱私比較協(xié)議，可以實(shí)現(xiàn)通信雙方平等的交換秘密信息。本協(xié)議可以防止一方欺騙另一方，從而獲得其秘密信息，通信的雙方通過(guò)第三方公布的消息同時(shí)獲得對(duì)方的秘密信息。本協(xié)議通過(guò)引入不可信第三方，減小了協(xié)議的量子操作復(fù)雜度。同時(shí)可以抵御外部攻擊，截獲重發(fā)攻擊，附加粒子糾纏攻擊，以及用戶的攻擊，確保信息的安全可靠，平等高效的互換。