具有双向认证功能的量子秘密共享方案

具有双向认证功能的量子秘密共享方案∗孙莹杜建忠秦素娟温巧燕(北京邮电大学理学院，北京100876)摘要：利用两粒子纠缠态作为经典信息的载体，结合Hash函数和量子本地操作提出了一种可以实现双向认证功能的量子秘密共享方案，并且分析了它的安全性。这种方案的安全性基于秘密共享双方的身份密钥和传输过程中粒子排列次序的保密。若不考虑认证和窃听检测所消耗的粒子，平均一个Bell态共享2比特经典信息。关键词：量子秘密共享；身份密钥；量子双向认证；两粒子量子纠缠PACC:0365,4230Quantumsecretsharingwithbidirectionalauthentication∗SunYingDuJian-ZhongQinSu-JuanWenQiao-Yan(SchoolofScience,BeijingUniversityofPostsandTelecommunications,Beijing100876,China)Abstract:Aquantumsecretsharingschemerealizingtwo-wayauthenticationwasproposedanddiscussed.Theschemeisimplementedusingtwo-particlequantumentanglementwithhashfunctionandquantumlocaloperations.Theidentitykeysandthesecretorderoftransmittingparticlesensurethesecurityofthescheme.OneBellstatecansharetwobitsclassicalmessageonaverageifignoringtheparticleswhichareusedforauthenticationandeavesdroppingchecking.Keywords:quantumsecretsharing;identitykey;quantumbidirectionalauthentication;two-particlequantumentanglementPACC:0365,42301引言假设Alice想将一个秘密计划交给远方的Bob和Charlie来共同完成，她对Bob或Charlie不是完全信任，但她知道如果他们两人合作来完成这个任务的话，诚实的一方将会阻止不诚实的一方破坏该任务。于是Alice将秘密计划分割成两部分，分别发给Bob和Charlie，期望以此保证Bob和Charlie任何一人单独都不可能获得计划的内容，只有两人合作才能恢复出计划内容。在各种与上述类似的场合中，秘密共享协议发挥了重要的作用。经典秘密共享方案最早由Shamir[1]和Blakley[2]于1979年分别独立提出。1999年Hillery，Buzek和Berthiaume[3]提出了第一个量子秘密共享协议（HBB协议）。在协议中，每个参与∗国家高技术研究发展计划(863计划)(批准号:2006AA01Z419),国家自然科学基金项目(批准号:90604023,60373059),高等学校博士学科点专项科研基金项目(批准号:20040013007)和现代通信国家重点实验室基金项目(批准号:9140C1101010601)资助的课题.∗ProjectsupportedbytheNationalHighTechnologyResearchandDevelopmentProgramofChina(GrantNo.006AA01Z419),theNationalNaturalScienceFoundationofChina(GrantNo.90604023,60373059),theSpecializedResearchFundfortheDoctoralProgramofHigherEducationofChina(GrantNo.2004001300)andtheFoundationofNationalLaboratoryforModernCommunications(GrantNo.9140C1101010601).态的一个粒子，分别独立地随机选择X基和Y基之一进行测量，这与1992年由Bennett等提出的量子密钥分发协议[4]类似。自从HBB协议被提出以后，基于量子特性的秘密共享的研究引起了人们的极大关注[5-29]。与经典秘密共享不同的是，量子秘密共享不仅可以在通信者之间共享经典消息，也可以实现量子消息的共享。我们的研究工作偏向于前者，最早的量子秘密共享协议HBB协议就属于这一类，还有诸如基于两粒子纠缠态的秘密共享[5]，不需要纠缠的秘密共享[11]，多方与多方之间的秘密共享[15]和利用单光子实现的秘密共享[18,21]等众多方案都是用量子的方法来实现经典消息的共享。在现实情况中，存在这样一种情况，即会有非法的第三方冒充Alice发布假指令，企图指挥Bob和Charlie完成非法的任务。但是在上面所提到的各类方案中，都事先就假设了Alice是合法的且Bob和Charlie至少有一个是可信的，即不考虑身份认证，而仅仅讨论消息的分割。最近，Zhu等人提出了一种利用粒子序列的重排列来保证通信安全的量子直接通信方案[30]，这种将Einstein-Podolsky-Rosen（EPR）对的粒子对应关系打乱的思想最早在文献[31-33]中得到应用，文献[19]将该思想推广到量子秘密共享。在本文中，我们参考这种思想，提出了一种将认证结合进秘密共享的量子方案，它基于Hash函数和量子本地操作完成认证功能，利用两粒子最大纠缠态在Pauli门作用下的变换将经典消息编码进量子态中，协议的安全性则由保密的EPR对的粒子对应关系来保证。文章内容安排如下：第2节先介绍了本文的秘密共享方案所需的准备工作和原理知识，然后重点描述了该秘密共享方案的详细步骤；第3节分析了该秘密共享方案的安全性；第4节总结了该方案的特点和优点。2具有双向认证能力的量子秘密共享方案2.1准备工作和原理知识本文方案在认证过程中所需的准备工作与文献[34]提出的量子直接通信协议的认证部分类似。Bob和Charlie分别与合法的命令发布者Alice共享自己的身份ID和一个秘密Hash函数，身份ID和Hash函数对于任意第三方保密。Hash函数的形式如下：{}{}{}*:0,10,10,1lh×→N（1）其中*表示任意长度，l表示计数器的长度，N表示输出长度。Hash函数(),BobBobBobhIDC和分别用来计算Bob、Charlie与Alice共享的认证密钥，(,CharlieCharlieCharliehIDC)()BobCharlieC是Bob（Charlie）的Hash函数的调用计数。本文方案利用了Pauli矩阵的特殊性质将经典信息编码在Bell态上，以达到安全传输和共享的目的。为了在实现Alice与Bob、Charlie之间的相互认证与秘密共享的同时不泄露认证密钥的信息，我们设计的方案要求Bob和Charlie在协议未进行到最后一步时不能泄露自己制备的单粒子的初态。四个Pauli矩阵分别为=0UI=|00|+|11|，=1Uxσ=|01|+|10|，=2Uyiσ=|01|-|10|，=3Uzσ=|00|-|11|。四个Bell态分别表示如下：|BCφ+〉=12()|00|11BCBC〉+〉，（2）|BCφ−〉=12()|00|11BCB〉−〉C，（3）|BCψ+〉=12()|01|10BCBC〉+〉，（4）|BCψ−〉=12()|01|10BCB〉−〉C，（5）它们在Pauli矩阵的作用下相互转化的关系如表1所示。表1Bell态在Pauli矩阵作用下的相互转化|BCφ+〉|BCφ−〉|BCψ+〉|BCψ−〉|BCφ+〉0312U(00)U(11)U(01)U(10)|BCφ−〉3U(11)0U(00)2U(10)1U(01)|BCψ+〉1U(01)2U(10)0U(00)3U(11)|BCψ−〉2130U(10)U(01)U(11)U(00)Hadamard矩阵=H12(|00|−|11|+|01|+|10|)可以实现Z基与X基之间的转换，并且=2HI，所以在一个量子态上作用两次H等于什么也没有做。在本文里，Hadamard矩阵在身份认证和窃听检测的过程中起着关键作用。同时，我们约定和分别对应以下经典信息编码：,,,（参见表1）。0U1U000U↔101U↔210U↔311U↔为了窃取秘密分发者对单光子信号的操作，有一种常用的木马攻击——多粒子欺骗信号攻击。这种攻击可以通过光子分数器（PhotonNumberSplitter，PNS）来检测，但是由于光子分数器在目前的技术下并不可行，所以可以采用光子分束器（PhotonBeamSplitter，PBS）来实现对粒子欺骗信号的检测[35]。为了能具有更良好的安全特性，可以使用3个或多个PBS[36]，具体实现如图1所示。单光子探测器PBSPBSPBS图1利用PBS实现多粒子欺骗信号的检测秘密分发人Alice通过图1的装置将用于检测的样本中的每一个信号分裂后，用单光子探测器测量。若分裂前的初始信号只包含一个光子，则只有一个探测器会探测到光子；若是多光子信号，则会有较大概率导致探测到光子的探测器数目多于1。这就是利用PBS实现多光子欺骗信号检测的原理。个随机处于{|0,|1}之一单光子，形成的两个序列分别记为BS和。Bob根据自己的认证密钥CS(),BBBhIDc对BS中每一个光子进行如下操作：若(),BBBhIDc的第i个值是0，则Bob对序列BS中的第i个光子做一次I操作；若(),BBBhIDc的第i个值是1，则Bob对序列BS中的第i个光子做一次H操作。同时，Charlie也根据自己的认证密钥对中每一个光子进行如上的操作。完成上述操作后，Bob和Charlie将(),CCChIDcCSBS和发给Alice。CS2.Alice收到BS和后，根据自己拥有的认证密钥CS(),BBBhIDc和(),CCChIDc对BS和中的光子分别进行与步骤1相同的操作。为了抵御多粒子欺骗信号攻击，接下来，Alice从CSBS和中选出足够多的光子作为样本粒子（假设两个序列中的样本数目均为N-n），让它们依次通过图1所示的设备（PBS：50/50），光子探测器的测量基从Z基和X基中随机选取。若检测到多光子的概率高于事先确定的门限值，Alice宣布该次通信作废，通知Bob和Charlie从步骤1重新开始；否则，Alice开始对Bob和Charlie进行认证：她公布样本粒子的位置和所有测量结果，由Bob和Charlie对比自己制备时的初态宣布哪些位置的测量结果不相符，若错误率高于事先确定的门限，则Alice宣布取消该次通信，认为Bob或（和）Charlie非法，或者Bob或（和）Charlie与Alice之间的量子信道存在恶意扰乱。此时，由Alice决定是否进行新一轮的秘密共享；否则，继续进行下一步。CS3.Alice从两个序列中分别取出第i个光子(i=1,2,……,n)，对它们进行Bell基测量，并记录测量结果。此时，分别来自两个序列的光子经过测量后变成一个纠缠态，记第i个纠缠态为，其中原本属于Bob的粒子称为粒子B，另一个粒子称为粒子C。|iΨ4.全部测量完毕以后，Alice从自己拥有的这n个纠缠态中随机选出一个足够大的子集，用于窃听检测，记这个集合为。剩余的纠缠态的作为Alice要共享的秘密的载体，记为ACAM。Alice将自己要共享的秘密编码为幺正操作：、、、，依次作用在集合000U↔101U↔210U↔311U↔AM中每一