技术领域
[0001] 本
发明属于量子通信领域,具体涉及一种量子密钥协商(Quantum key agreement)协议,特别是一种基于GHZ态的量子密钥协商协议。
背景技术
[0002] 量子密码是通信和网络安全的新技术,它的安全性是由量子
力学基本原理保证的。与传统密码大多是计算安全的不同,量子密码能实现无条件安全,由此吸引了大量关注。量子密钥协商(QKA)协议是量子密码的一个新的重要分支,它允许参与者通过公开的
量子信道协商一个经典的共享秘密密钥,并且各个参与者的贡献是相同的,任何一个参与者或参与者构成的子集都不能独立的确定该共享密钥。利用量子密钥协商(QKA)协议建立的共享秘密密钥和一次一密的加密
算法,通信双方能够实现无条件安全的保密通信。
[0003] 现有的大多数量子密钥协商协议是基于单粒子或Bell态的,基于多粒子纠缠态的密钥协商协议屈指可数,而且它们或者不能抵抗特罗伊木
马等外部攻击,是不安全的,或者
量子比特率太低。
[0004] D.S.Shen,W.P.Ma and L.L.Wang在论文“Two-party quantum key agreement with four-qubit cluster states”(Quantum Inf.Process.2014:2313-2324)中利用四粒子的团簇态提出了一个双方QKA协议,此协议具有较高量子比特效率。协议的具体步骤是:第一,通信双方A和B各自生成一些四粒子的团簇态。通信方A(通信方B)将由团簇态中的第三个(第一个)粒子构成的序列插入诱骗
光子后发给通信方B(通信方A),并保留且它粒子序列。第二,通信双方收到相应的粒子序列后,一起执行窃听监测。第三,通信双方就各自收到的粒子序列执行自己的幺正变换。然后插入诱骗光子后将其互发给对方。第四,通信双方收到相应的粒子序列后,一起执行窃听监测。第五,通信方A(通信方 B)对由团簇态中的第一个(第三个)粒子构成的序列执行各自的幺正变换。然后双方对各自的团簇态执行团簇基的测量,双方会得到相同的测量结果。根据编码和测量结果的对应即可得到共享的秘密密钥。
该协议存在不足之处是:由于该协议是一个Ping-Pong 协议,即同一个粒子在量子信道中被传输了一个来回,因此该协议无法抵抗不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。
[0005] W.Huang,Q.Su,X.Wu,Y.B.Li and Y.Sun在论文“Quantum key agreement against collective decoherence”(Int.J.Theor.Phys.2014:2891-2901)中利用四粒子的DF态提出了一个能免疫联合噪声的双方QKA协议。协议的具体步骤是:第一,通信方A生成两个随机比特串,一个作为共享密钥的个人贡献串,一个作为选择测量基的控制串。第二,通信方A根据个人贡献串和选择测量基的控制串准备一个四粒子的DF态的序列,并插入诱骗光子后发给通信方B。第三,当通信方B收到四粒子的DF态的序列后,双方共同执行窃听监测。若通过检测,通信方B公布他的共享密钥的个人贡献串。第四,通信方A根据自己和通信方B的个人贡献串,可以计算双方的共享秘密密钥。第五,通信方 A公开他的选择测量基的控制串。利用此控制串,通信方B可以测量所有DF态,根据测量结果可以得到通信方A的共享密钥的个人贡献串。因此,通信方B也能计算出双方的共享秘密密钥。该协议存在不足之处是:该协议的量子比特效率太低,它的量子比特效率仅为10%。
发明内容
[0006] 针对上述
现有技术中存在的
缺陷或不足,本发明的目的在于,提供一种基于GHZ 态的量子密钥协商协议。
[0007] 为了实现上述任务,本发明采用如下技术方案予以解决:
[0008] 一种基于GHZ态的量子密钥协商协议,包括如下步骤:
[0009] 步骤1:Alice和Bob随机生成各自的2n比特的经典密钥KA和KB;
[0010] 步骤2:Alice准备n个GHZ态|η>123,并将这n个GHZ态|η>123的所有粒子分成三个有序的序列S1,S2和S3,其中,序列Si(i=1,2,3)由每个GHZ态|η>123的第i个粒子组成;Alice从集合{|0>,|1>,|+>,|->}中随机选出m个的诱骗光子,并将m个诱骗光子随机插入序列S3得到新的序列S′3;Alice将序列S′3发送给Bob;n和m均为大于1的正整数;
[0011] 步骤3:Bob收到序列S′3后,通过经典认证信道告知Alice;Alice通过经典认证信道公布诱骗光子在序列S3的
位置与相应的测量基{|0>,|1>}或{|+>,|->};Bob用正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信道告诉Alice;Alice比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低于预先规定的限
门值,则执行步骤4;否则,返回步骤2;
[0012] 步骤4:Alice对序列S1和S2中的序号相同的两个粒子执行Bell测量;Bob去掉序列 S′3中的诱骗光子得到序列S3,并对序列S3中的粒子执行X基测量;根据GHZ态的测量相关性,Alice和Bob分别根据自己的测量结果得到对方的测量结果;其中X基为
[0013] 步骤5:Alice根据经典密钥KA对序列S2中的第i(i=1,2,…,n)个粒子执行幺正变换 得到新的序列 幺正变换 的下标i1和i2依次等于 的两比特值;随后,Alice对序列S1执行一个置换运算Πn,得到一个随机化的序列 然后, Alice从集合{|0>,|1>,|+>,|->}中随机选出2m个诱骗光子,并将其中m个诱骗光子随机插入序列得到新序列 将余下的m个诱骗光子随机插入序列 得到新序列 将序列 和
发送给Bob;
[0014] 步骤6:当Bob收到这两个序列 和 后,通过经典认证信道告知Alice;Alice 通过经典认证信道公布诱骗光子在序列 和序列 中的位置与相应的测量基{|0>,|1>} 或{|+>,|->};Bob用正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信道告诉Alice;Alice比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低于预先规定的限门值,则执行步骤7;否则,返回步骤2;
[0015] 步骤7:Bob通过经典认证信道公布密钥KB;Alice根据密钥KA和密钥KB计算双方的共享密钥;
[0016] 步骤8:Alice公布步骤5采用的置换运算Πn;Bob根据置换运算,对序列 执行逆置换运算得到原始序列S1;接着,Bob依次对序列S1和 中相同序号的每两个粒子执行Bell测量,并根据测量结果和相应的初始Bell态计算KA,并生成共享密钥。
[0017] 进一步的,所述步骤1中,
[0018] 进一步的,所述步骤2中,
[0019] 进一步的,所述步骤4中,所述的GHZ态的测量相关性是指下式:
[0020]
[0021] 进一步的,所述步骤5中,所述幺正变换为U00,U01,U10和U11,U00=I=|0><0|+|1><1|, U01=X=|0><1|+|1><0|,U10=Z=|0><0|-|1><1|和U11=iY=|0><1|-|1><0|;{|0>,|1>}形成Z 基,{|+>,|->}形成X基,其中,
[0022] 进一步的,所述步骤3和步骤6中,所述限门值均取0.1~0.2。
[0023] 进一步的,所述步骤7中,
[0024] 进一步的,所述步骤8中,
[0025] 本发明的有益效果:
[0026] 本发明的基于GHZ态的量子密钥协商协议能够确保通信双方公平地建立他们的之间的共享的经典秘密密钥。利用该经典密钥和一次一密的加密算法,通信双方能够实现无条件安全的保密通信,不仅能抵抗已有的参与者攻击和外部攻击,且能抵抗特洛伊木马攻击。此外,在无噪声量子信道和量子噪声信道上都是安全的。并且,本发明的协议的量子比特效率要高于现有安全的基于多粒子纠缠态的量子密钥协商协议。
具体实施方式
[0027] 1、预备知识
[0028] 首先,引入四个幺正变换U00,U01,U10和U11,即U00=I=|0><0|+|1><1|, U01=X=|0><1|+|1><0|,U10=Z=|0><0|-|1><1|和U11=iY=|0><1|-|1><0|。并且,{|0>,|1>} 形成Z基,{|+>,|->}形成X基,其中,
[0029] 四个Bell态定义如下:
[0030]
[0031]
[0032] 它们形成了四维Hilbert空间的一组完全
正交基。当一个幺正变换执行在一个Bell态的第二个粒子上时,这个Bell态将转
化成另外一个
Bell态。四个Bell态和四个幺正变换之间的关系如下表所示:
[0033] 表1
[0034]
[0035] GHZ态是三粒子的最大纠缠态,它们形成八维Hilbert空间的一组完全正交基。本发明中使用如下的一个GHZ态作为量子信源,即
[0036]
[0037] 根据表达式可知,若对GHZ态|η>123的粒子1和2执行Bell测量,对粒子3执行X基测+ -量,则系统以1/2的概率塌缩到态|φ>12|+>3和|φ>12|->。
[0038] 2、本发明的基于GHZ态的量子密钥协商协议
[0039] 本发明的基于GHZ态的量子密钥协商协议,具体包括如下步骤:
[0040] 步骤1:Alice和Bob随机生成各自的2n比特的经典密钥,记为
[0041]
[0042] 其中
[0043] 步骤2:Alice准备n个GHZ态|η>123,并将这n个GHZ态|η>123的所有粒子分成三个有序的序列S1,S2和S3,其中,序列Si(i=1,2,3)由每个GHZ态|η>123的第i个粒子组成;Alice从集合{|0>,|1>,|+>,|->}中随机选出m个的诱骗光子,并将m个诱骗光子随机插入序列S3得到新的序列S′3;Alice将序列S′3发送给Bob,自己保留序列S1和S2;n和m均为大于1的正整数;例如,n=64。
[0044] 本发明中使用如下的一个GHZ态作为量子信源,即
[0045]
[0046] 步骤3:Bob收到序列S′3后,通过经典认证信道告知Alice;Alice通过经典认证信道公布诱骗光子在序列S′3中的位置与相应的测量基{|0>,|1>}或{|+>,|->};Bob用正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信道告诉Alice;Alice比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低于规定的限门值,则执行步骤4;否则,返回步骤2;
[0047] 步骤4:Alice对序列S1和S2中的序号相同的两个粒子执行Bell测量;Bob去掉序列 S′3中的诱骗光子得到序列S3,并对序列S3中的粒子执行X基测量;根据GHZ态的测量相关性,Alice和Bob分别根据自己的测量结果得到对方的测量结果;
[0048] 所述的GHZ态的测量相关性是指下式:
[0049]
[0050] 根据表达式可知,若对GHZ态|η>123的粒子1和2执行Bell测量,对粒子3执行X 基测量,则系统以1/2的概率塌缩到态|φ+>12|+>3和|φ->12|->。其中X基为{|+>,|->},[0051] 步骤5:Alice根据经典密钥KA对序列S2中的第i(i=1,2,…,n)个粒子执行幺正变换 得到新的序列 幺正变换 的下标i1和i2依次等于 的两比特值;随后,Alice对序列S1执行一个置换运算Πn(置换运算是指位置重排列),得到一个随机化的序列 然后,Alice从集合{|0>,|1>,|+>,|->}中随机选出2m个诱骗光子,并将其中m个诱骗光子随机插入序列 得到新序列 将余下的m个诱骗光子随机插入序列 得到新序列 将序列 和 发送给Bob;
[0052] 本发明中,四个幺正变换为U00,U01,U10和U11,U00=I=|0><0|+|1><1|, U01=X=|0><1|+|1><0|,U10=Z=|0><0|-|1><1|和U11=iY=|0><1|-|1><0|;并且,{|0>,|1>} 形成Z基,{|+>,|->}形成X基,其中,
[0053] 步骤6:当Bob收到这两个序列 和 后,通过经典认证信道告知Alice;Alice 通过经典认证信道公布诱骗光子在序列 和序列 中的位置与相应的测量基{|0>,|1>} 或{|+>,|->};Bob用正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信道告诉Alice;Alice比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低于预先规定的限门值,则执行步骤7;否则,返回步骤2;
[0054] 步骤3和步骤6中,限门值均取0.1~0.2。
[0055] 步骤7:Bob通过经典认证信道公布密钥KB;Alice根据密钥KA和密钥KB计算双方的共享密钥:
[0056]
[0057] 步骤8:Alice公布步骤5采用的置换运算Πn;Bob根据置换运算,对序列 执行逆置换运算得到原始序列S1;接着,Bob依次对序列S1和 中相同序号的每两个粒子执行Bell测量,并根据测量结果和相应的初始Bell态计算KA,然后生成共享密钥:
[0058]
[0059] 3、安全性分析
[0060] 一个安全的QKA协议不仅能抵抗外部攻击,也要能抵抗参与者攻击。
[0061] (1)参与者攻击
[0062] 下面,我们将说明一个不诚实的参与者不可能独自得到这个共享密钥。既然,Alice 在将编码后的消息量子比特发给Bob之后,才得到Bob公开的密钥KB,因此,Alice无法根据自己的希望来调整她的秘密密钥KA。如果Alice想在第七步
修改序列 和 的坐标,她的修改将导致粒子的纠缠交换以致于Bob的测量结果不再受Alice的控制。结果, Alice和Bob将生成不同的共享密钥。也就是说,Alice自己不能独自控制这个共享密钥。另一方面,延迟测量技术确保了Bob在他选布密钥KB之前无法获知序列 的实际顺序。因此Bob也不能根据Alice的密钥KA来改变他的密钥KB。所以,Alice和Bob都无法成功执行参与者攻击。
[0063] (2)外部攻击
[0064] 假设Eve是一个想窃取共享密钥的窃听者,她攻击的可能方法有:特洛伊木马攻击、测量-重发攻击、截获-重发攻击和纠缠-测量攻击。
[0065] 特洛伊木马攻击:在本协议中,由于量子信道中的每个光子仅被传输一次,因此Eve 不能成功的执行不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。
[0066] 测量-重发攻击:Eve可以分别对序列S′3以及 和 中的粒子执行测量-重发攻击。然而,Eve的测量将会影响序列S′3以及 和 中的诱骗粒子的状态。在第二步和第五步的窃听检测中,Alice和Bob能以1-(3/4)m(m表示用来检测这个攻击的诱骗粒子的数量)的概率发现Eve的攻击。
[0067] 截获-重发攻击:若Eve执行截获-重发攻击,她首先截获序列S′3以及 和 然后发送她的伪造序列给Bob。当协议结束后,她再对这三个序列中的粒子执行相应的测量。然而,Eve伪造的序列既不能通过第一次安全监测,也不能通过第二次安全监测。当m个诱骗粒子被用于监测这个窃听攻击时,两次安全监测的窃听检测率均为 1-(1/2m)。因此,Eve的截获-重发攻击也失败了。
[0068] 纠缠-测量攻击:Eve也可以用自己预先准备的辅助粒子去纠缠这个传输粒子(序列 S′3以及 和 中的粒子),然后将传输粒子再发给Bob。当协议结束后,她再测量相应的辅助粒子,从而提取关于密钥KA的有用信息。然而,Eve在窃听检测前并不知道诱骗光子的位置,她的纠缠操作U肯定也会被执行到诱骗光子上。并且,诱骗态变成了如下的两粒子纠缠态:
[0069] U(|0>|E>)=a|0>|e00>+b|1>|e01>,
[0070] U(|1>|E>)=c|0>|e10>+d|1>|e11>,
[0071]
[0072]
[0073] 其中|e00>,|e01>,|e10>和|e11>是由幺正变换U唯一确定的纯态,并且|a|2+|b|2=1, |c|2+|d|2=1。显然,CNOT变换是幺正变换U的特殊情况。如果Eve想在第二步或第五步通过窃听检测,Eve的幺正变换U必须满足条件b=c=0和a|e00>=d|e11>。当等式 a|e00>=d|e11>成立时,Eve不能区分辅助光子a|e00>和d|e11>,从而Eve不能通过观察辅助光子获取密钥KA的有用信息。然而,如果a|e00>≠d|e11>,Eve的攻击将干扰了诱骗态 |+>和|->。因此,Eve的攻击将被Alice和Bob发现。每个诱骗光子的窃听检测率为:
[0074]
[0075] (3)量子噪声信道
[0076] 在量子噪声信道中,由噪声引入的量子比特错误率(QBER)τ的取值范围近似在 2%-8.9%,它依赖于信道的情况如距离等因素。如果Eve的攻击引入的量子比特错误率小于τ,那么她就能用噪声隐藏她的攻击行为。根据上述的安全性分析,这个协议中每个诱骗光子的窃听检测率至少为25%,它远大于τ。因此,选择合适的窃听
检测限门值能确保这个协议在量子噪声信道上也是安全的。
[0077] 根据上述分析,这个协议在无噪声量子信道和量子噪声信道上都是安全的。
[0078] 4、效率分析
[0079] 对于一个QKA协议来说,Cabello量子比特效率被定义为: 其中c表示协商的经典比特的数量,q表示协议中用到的量子比特的数量。因此,我们协议的量子比特效率为:其中n表示协议中GHZ态的数量,m表示传输的每个量子序列中诱骗光子的数量。令m=n,我们有
