屈桂菊,王明明,刘俊丽

(西安工程大学 计算机科学学院,陕西 西安 710048)

0 引 言

量子保密通信作为网络安全的一个重要组成部分,近年来,引起了广泛的关注[1-2],相对于经典保密通信,其最大的优势是可以发现通信过程中的潜在窃听者。量子安全直接通信(quantum secure direct communication,QSDC)[3-4]是量子保密通信的一个重要分支。不同于量子密钥分发(quantum key distribution,QKD)[5-6],QSDC可以直接传送秘密消息,而不需要提前创建一个共享密钥来加密消息。2002年,BOSTR ÖM等提出了一个应用纠缠的量子安全直接通信协议[7],即乒乓协议。自此之后,运用不同量子资源的各种QSDC协议陆续被提出[8-10]，并且有很多学者演示了相关实验[11-13]。这些都说明了QSDC在量子保密通信中具有重要意义。在量子保密通信中，另一个重要的应用是量子认证[14-15]。文献[16-17]指出,窃听者随时可能扮演合法通信双方中的一个与另一方进行通信,极易造成信息泄露。利用量子身份认证[16-18]可以解决冒名顶替的问题。

然而,多数的QSDC协议[8-19]只能工作于理想状态,即要求量子信道无噪声。但是,由于噪声在信道的不可避免,在实际应用中，这些协议进行通信时,或多或少都会受到噪声影响。信道噪声不仅改变量子态携带信息的保真度,降低方案的成功率,而且给了窃听者一个机会去伪装其干扰,这直接影响了量子通信的安全性。在抵抗联合噪音的方法中,退消相干态[20-21]因其在联合噪音下保持不变以及适用于远距离传输的特性而被广泛应用。

目前，在众多的QSDC协议[8-10,19]中,没有协议既可以解决噪声问题,又可以实现双向身份认证。基于此,本文以退消相干态为信息传输的载体,提出具有身份认证功能的两步QSDC方案。根据联合噪声的特性,构造无消相干子空间(DFS),从而达到抵抗联合噪声的作用。所提出的协议不仅可以解决文献[7]的两步QSDC方案中联合噪声的问题,还可以解决现存抵抗联合噪声协议[22]中的身份认证问题。

1 理论基础

量子信息在量子信道的传输过程中,会受到媒介的热和机械波动的影响,这种影响可以用信道噪声表示。如果量子比特在一个时窗的移动短于噪声源的变化,可以认为量子比特受同一噪声的影响,也就是联合噪声[23]。在量子密码通信中,通常考虑的信道噪声是去极化噪声和联合旋转噪声。

1.1 抵抗联合去极化噪声的逻辑Bell态

联合去极化噪声的效果可表示为[24]

|0〉⟹|0〉,|1〉⟹eiθ|1〉

(1)

式中:|0〉、|1〉分别为量子比特(量子位);θ为噪声随时间波动的参数。

为抵抗联合退极化噪声,2个反平行奇偶量子比特可以形成一个逻辑量子比特,则逻辑量子比特可以构建为|0d〉L、|1d〉L、|+d〉L、|-d〉L,其中

(2)

式中:|0d〉L、|1d〉L、|+d〉L、|-d〉L分别为所构建的可抵抗联合去极化噪声的逻辑量子比特的表示形式。

逻辑Bell态在联合去极化噪声下则可以表示为

(3)

(4)

(5)

(6)

在联合退极化噪声下,4个逻辑酉操作可以被定义为

ΩI=I1⊗I2,Ωz=Uz1⊗I2,Ωx=Ux1⊗Ux2,

Ωy=Uy1⊗Ux2

(7)

式中:I=|0〉〈0|+|1〉〈1|、Ux=|1〉〈0|+|0〉〈1|、Uy=|0〉〈1|-|1〉〈0|、Uz=|0〉〈0|-|1〉〈1| 为4个原始酉操作;ΩI、Ωz、Ωx、Ωy为原始酉操作构建的4个可抵抗联合噪声的逻辑酉操作。

表 1 联合去极化噪声下4个逻辑Bell态在酉操作下的变换

1.2 抵抗联合旋转噪声的逻辑Bell态

当粒子通过联合旋转噪声时的效果为[24]

|0〉⟹cosθ|0〉+sinθ|1〉
|1〉⟹-sinθ|0〉+cosθ|1〉

(8)

式中:θ是随时间变化的噪声参数并依靠于噪声。

则抵抗联合旋转噪声的逻辑量子比特可表示为

(9)

(10)

(11)

(12)

式中:{|0r〉L、|1r〉L、|+r〉L、|-r〉L}为所构建的可抵抗联合旋转噪声的逻辑量子比特。则免受联合旋转噪声影响的逻辑Bell态可表示为

(13)

(14)

(15)

(16)

与1.1节相似,在联合旋转噪声下的4个逻辑酉操作表示为ΘI、Θz、Θx、Θy。4个逻辑Bell态在酉操作下的变换如表2所示(表2原理与表1类似)。

表 2 联合旋转噪声下4个逻辑Bell态在酉操作下的变换

2 协议设计

基于以上理论,本文提出2个认证的,可分别抵抗联合去极化噪声的和联合旋转噪声QSDC方案。

2.1 抵抗联合去极化噪声的QSDC方案

假设通信双方为Alice和Bob。通信过程在两步之内将长度为2N的秘密消息由Alice发送给Bob,消息为:M={M1,M2,…,M(2k-1),M2k,…,M(2N-1),M2N},其中k=1,2,3,…,N。但是在发送秘密消息之前,Alice并不知道接收消息的一方是不是真正的Bob,而Bob收到消息之后也不能确定发送方是不是真正的Alice,所以就需要进行一个双向的身份验证。

详细过程描述如下:

1) 在正式开始通信前,双方共享彼此的身份字符串IDA和IDB,这2个二进制字符串用于双向身份认证。

4) 验证Bob身份。通过第3步的安全检测后,Bob再告诉Alice自己的身份序列IDB对应的量子态的位置和测量基。Alice根据Bob公布的信息选择合适的测量基进行测量。之后,Alice就可以恢复IDB并与提前共享的身份字符串进行对比。如果结果一致则验证通过,证明与Alice通信的是真正的Bob,且传输用的量子信道是安全的,继续下一步。否则, 协议终止。

7) 验证Alice身份。通过安全检测后,Alice告诉Bob自己的IDA对应量子态的位置和测量基。Bob根据Alice公布的信息选择合适的测量基进行测量,恢复出身份字符串IDA,Bob将其和提前共享的身份字符串进行比对,如果结果一致则验证通过,证明信道是安全的且Alice的身份是真实的,双方进行下一步,否则协议终止。

2.2 抵抗联合旋转噪声的QSDC方案

提出的2个协议是安全的,没有信息泄露。并且通信过程中加入了双向的身份认证,有效地抵抗了中间人攻击。

3 安全分析

基于文献[7]的准则,1个无条件安全的QSDC协议应该满足以下4个要求:

1) 除窃听外,在一个QSDC协议中合法的用户在量子传输之后可以直接读出秘密消息。

2) 窃听者Eve不论做任何操作都不能获得关于秘密消息的有用信息。

3) 在将自己的秘密消息编码在量子态之前,合法的用户(接收者和发送者)就可以检测出是否有窃听存在。

4) 量子态以块传输方式进行。

依据上述准则的4个要求[7],对提出的2个两步QSDC方案的安全分析如下：

1) 文中的2个抵抗联合噪声的且可以进行有效身份认证的两步QSDC方案中,由Bob制备初始态。初始态序列发送给Alice之后,Alice将要发送的秘密消息通过酉操作编码在序列上,再发送给Bob。除了安全检测过程中的公共讨论外,在信息传输中没有再用到任何额外的资源。Bob在收到有消息编码的序列时,只需要进行Bell测量就可以直接读出Alice发送给他的秘密消息。这就满足了4个要求中的第一个。

2) 窃听者Eve为获得秘密消息,可以有多种操作。其中包括各种积极攻击,例如：

①假冒攻击。在整个通信过程中,Eve可能会假冒合法通信中的一方与另一方进行通信,但文中的两步QSDC方案完全可以避免这种困扰。假设在2个两步QSDC方案中第2)步中Eve截获序列SA假扮Bob与Alice进行通信;在Bob第一次公布之前,Eve没有办法可以得知诱骗态的位置和测量基,也不知道IDB的位置。则在第一次安全检测过后,Alice可以根据公布的信息恢复IDB,再与提前共享的IDB进行比对。若比对失败则说明有人假冒Bob与Alice通信。重要的是Bob发送给Alice的消息中只是加入了诱骗态,并没有编码秘密消息,这就避免了信息泄露问题。

Eve同样可能假扮Alice与Bob进行通信。假设Eve逃过了第一次安全检测,Bob收到Alice编码的消息序列之后,要进行第二次安全检测和身份验证。由2.1节可知Alice是将自己的身份字符串对应的量子态插入序列SA中。与上述相同,Eve不能通过身份验证。文中的安全检测机制在窃听检测之后又可以实现双向的身份认证,给信息安全提供了双重保障。

②拦截-重发攻击和测量-重发攻击。在安全检测阶段,双方都会从集合中选择诱骗态并将它们随机插入到要进行传输的序列中,如果不知道诱骗态的位置,那么Eve会以极大的概率被检测出来。在被检测出来之后,合法的用户会互相通知,从而中止通信，所以Eve的操作是徒劳的。通过诱骗量子比特的特性,即使Eve执行拦截-重发攻击和测量-重发攻击,她也无法从中获取有用信息。

③干扰攻击。如果Eve想要通过执行干扰攻击阻止通信双方传输有用信息,则她将会在传输的逻辑量子比特上随机地执行酉操作。因为她无法得到诱骗量子比特的位置和初始态,所以她的随机操作一定会改变量子比特的状态，她的干扰攻击同样不能躲过窃听检测阶段。

以上述几种攻击为例,为了恢复Alice的秘密消息,Eve就必须同时知道秘密消息的位置和测量基。所以在传输的序列上加入了诱骗量子比特,用于在公共讨论中进行窃听检测,在合法的通信双方没有宣布公共消息之前,Eve不可能知道序列中的诱骗量子比特的位置和测量基。假如Eve窃取了传输中的序列,则基于诱骗量子比特的测量结果也会被检测出来。这样,Eve就不能在不被发现的情况下获取任何关于序列的有用消息。而文中的2个协议是基于逻辑Bell态的,它由逻辑量子比特组成,具有高度纠缠性,一旦Eve截获序列对其进行测量,则一定会对测量结果产生影响。综上所述,无论窃听者Eve做什么操作,都不可能获取任何关于秘密消息的有用信息。这满足了4个要求的第2点。

3) 由2.1节可知,文中提出的2个两步QSDC方案是在两步内将秘密消息传送成功的。其中第一次传输的SA序列,只是用于安全检测,Bob并没有将自己的秘密消息编码在SB序列上。在SA序列传输成功后开始进行第一次安全检测。若没有检测出窃听,才进行下一步,也就是传输Alice编码后的SA序列。在第2个要求的第2点中指出,只要诱骗量子比特的数量足够大,则Eve被检测出来的概率趋近于1。所以在Alice将自己的秘密消息编码在SA序列之前,就可以检测窃听是否存在,这满足了要求4)中的第3点。

4) 本文的2个抵抗联合噪声的两步QSDC协议是基于逻辑Bell态的。秘密消息的传输以逻辑Bell态序列为载体。利用块传输技术将秘密消息编码在序列上,以一块接一块的方式进行传输。

4 效率分析和对比

4.1 效率分析

在提出的方案中,每个逻辑量子比特携带2个经典比特消息,其中消息M长度为2N,而制备了N个逻辑Bell态;此外,用到2m个诱骗量子比特,用于身份验证的身份字符串总长度为2n;没有额外的经典比特用于信息传输。量子比特利用率计算公式为

(17)

式中:bs为合法接收者接收到的秘密消息比特数;qt为传输的量子比特数;qs为所需的经典比特数。

4.2 对比分析

现存的两步QSDC协议[4, 19, 22]与本文方案的比较如表3所示，可知:

1) 在初始量子资源的选择上,文献[4]选择了Bell态,文献[19]选择了超纠缠Bell态,而文献[22]和本文方案都选择了逻辑Bell态。

2) 在读取消息阶段,这几种方案都运用了Bell基测量(具体读取消息的方法可参考1.1节及2.1节)。

3) 相比于文献[4,19],文献[22]和本文方案都通过构建DFS子空间来抵抗联合噪声。

4) 文献[4,19,22]都不能进行身份认证,极易遭受中间人攻击，而本文在通信过程中运用身份字符串,达到了双向身份认证的效果。

5) 文献[4,19,22]的理论传输效率都是25%,而本方案的理论传输效率提高到了40%。

表 3 4种两步QSDC协议对比

5 结 语

提出了2个可以抵抗2种类型联合噪声的通信协议,运用双向身份认证,可以抵抗假冒攻击。安全检测过程中使用诱骗态技术,确保了文中2个协议的安全性。相比于其他两步协议,本方案可以免于联合噪声的干扰，且有身份认证过程，确保了信息传送的安全性。