CN105490804A - 基于三粒子ghz态的两方量子密钥协商协议 - Google Patents

Abstract

本发明公开了一种基于三粒子GHZ态的两方量子密钥协商协议：步骤1：Alice和Bob协商量子态的编码；步骤2：Alice准备n+q个GHZ态并将所有粒子分成序列：Alice将一个序列S_C发送给Bob；步骤3：Bob选出q个样本粒子并测量；Alice选择测量基测量相应粒子；Bob计算错误率；如果错误率低则执行步骤4，否则执行步骤2；步骤4：Alice对序列中序号相同的两个粒子执行Bell测量；Bob对序列中的粒子执行X基测量；根据测量结果和量子态的编码，Alice和Bob分别得到相同的共享密钥。本发明能抵抗已有的参与者攻击和外部攻击、特洛伊木马攻击。并且在无噪声量子信道和量子噪声信道上都是安全的。并且该协议能达到比较高的量子比特效率。

Description

基于三粒子GHZ态的两方量子密钥协商协议

技术领域

本发明属于量子通信领域，具体涉及一种量子密钥协商(Quantumkeyagreement)协议，特别是一种基于三粒子GHZ态的两方量子密钥协商协议。

背景技术

量子密码是通信和网络安全的新技术，它的安全性是由量子力学基本原理保证的。与传统密码大多是计算安全的不同，量子密码能实现无条件安全，由此吸引了大量关注。量子密钥协商(QKA)协议是量子密码的一个新的重要分支，它允许参与者通过公开的量子信道协商一个经典的共享秘密密钥，并且各个参与者的贡献是相同的，任何一个参与者或参与者构成的子集都不能独立的确定该共享密钥。利用量子密钥协商(QKA)协议建立的共享秘密密钥和一次一密的加密算法，通信双方能够实现无条件安全的保密通信。

现有大多数量子密钥协商协议是基于单粒子或Bell态，基于多粒子纠缠态的量子密钥协议屈指可数，而且它们或者不能抵抗特罗伊木马等外部攻击，是不安全的，或者量子比特率太低。

D.S.Shen，W.P.MaandL.L.Wang在论文“Two-partyquantumkeyagreementwithfour-qubitclusterstates”(QuantumInf.Process.2014:2313-2324)中利用四粒子的团簇态提出了一个双方QKA协议，此协议具有较高量子比特效率。协议的具体步骤是：第一，通信双方A和B各自生成一些四粒子的团簇态。通信方A(通信方B)将由团簇态中的第三个(第一个)粒子构成的序列***诱骗光子后发给通信方B(通信方A)，并保留且它粒子序列。第二，通信双方收到相应的粒子序列后，一起执行窃听监测。第三，通信双方就各自收到的粒子序列执行自己的幺正变换。然后***诱骗光子后将其互发给对方。第四，通信双方收到相应的粒子序列后，一起执行窃听监测。第五，通信方A(通信方B)对由团簇态中的第一个(第三个)粒子构成的序列执行各自的幺正变换。然后双方对各自的团簇态执行团簇基的测量，双方会得到相同的测量结果。根据编码和测量结果的对应即可得到共享的秘密密钥。该协议存在不足之处是：由于该协议是一个Ping-Pong协议，即同一个粒子在量子信道中被传输了一个来回，因此该协议无法抵抗不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。

W.Huang，Q.Su，X.Wu，Y.B.LiandY.Sun在论文“Quantumkeyagreementagainstcollectivedecoherence”(Int.J.Theor.Phys.2014:2891-2901)中利用四粒子的DF态提出了一个能免疫联合噪声的双方QKA协议。协议的具体步骤是：第一，通信方A生成两个随机比特串，一个作为共享密钥的个人贡献串，一个作为选择测量基的控制串。第二，通信方A根据个人贡献串和选择测量基的控制串准备一个四粒子的DF态的序列，并***诱骗光子后发给通信方B。第三，当通信方B收到四粒子的DF态的序列后，双方共同执行窃听监测。若通过检测，通信方B公布他的共享密钥的个人贡献串。第四，通信方A根据自己和通信方B的个人贡献串，可以计算双方的共享秘密密钥。第五，通信方A公开他的选择测量基的控制串。利用此控制串，通信方B可以测量所有DF态，根据测量结果可以得到通信方A的共享密钥的个人贡献串。因此，通信方B也能计算出双方的共享秘密密钥。该协议存在不足之处是：该协议的量子比特效率太低，它的量子比特效率仅为10％。

发明内容

针对上述现有技术中存在的缺陷或不足，本发明的目的在于，提供一种基于三粒子GHZ态的两方量子密钥协商协议。

为了实现上述任务，本发明采用如下技术方案予以解决：

一种基于三粒子GHZ态的两方量子密钥协商协议，具体包括如下步骤：

步骤1：Alice和Bob协商量子态的编码；|φ⁺>_AB→0，|φ^->_AB→1，|+>_C→0，|->_C→1；

步骤2：Alice准备n+q个GHZ态|η>_ABC，并将所有粒子分成三个有序的序列：

S_A＝{A₁,A₂,…,A_n+q}，S_B＝{B₁,B₂,…,B_n+q}和S_C＝{C₁,C₂,…,C_n+q}，

其中序列S_A,S_B,S_C分别由每个GHZ态|η>_ABC的粒子A,B,C组成；Alice自己保留序列S_A和S_B，将序列S_C发送给Bob；n，q均为大于1的正整数；

步骤3：当Bob收到序列S_C，随机从序列S_C中选出q个样本粒子，对这q个样本粒子随机选用Z基或X基进行测量；然后，Bob将这q个样本粒子在序列S_C中的位置和相应的测量基告诉Alice；Alice根据Bob的测量基选择自己的测量基，并用自己的测量基测量序列S_A和S_B中的相应粒子，然后将测量结果通过经典认证信道告知Bob；Bob比较两人的测量结果，并根据GHZ态的测量相关性计算错误率；如果错误率低于预先规定的限门值，则执行步骤4，否则，执行步骤2；

步骤4：Alice将序列S_A和S_B中的样本粒子去掉，分别得到序列S'_A和S'_B；Bob将序列S_C中的样本粒子去掉，得到序列S'_C；

S'_A＝{A′₁,A'₂,…,A'_n}，S'_B＝{B′₁,B'₂,…,B'_n}和S'_C＝{C′₁,C'₂,…,C'_n}；

Alice对序列S'_A和S'_B中序号相同的两个粒子执行Bell测量；Bob对序列S'_C中的粒子执行X基测量；根据测量结果和步骤1中Alice和Bob协商的量子态的编码，Alice和Bob分别得到相同的n比特的共享密钥。

进一步的，所述步骤1中，所述Alice和Bob协商量子态的编码为：|φ⁺>_AB→0，|φ^->_AB→1，|+>_C→0，|->_C→1。

进一步的，所述步骤2中，

进一步的，所述步骤3中，所述Alice根据Bob的测量基选择自己的测量基具体是指：如果Bob的测量基为Z基，则Alice选用基({|00>,|01>,|10>,|11>})作为自己的测量基；如果Bob的测量基为X基，则Alice选用Bell基({|φ⁺>,|φ^->,|ψ⁺>,|ψ^->})作为自己的测量基。

进一步的，所述步骤3中，所述GHZ态的测量相关性是指：

根据上式可知，若对GHZ态|η>_ABC的粒子A和B执行基测量，对粒子C执行Z基测量，则***以1/2的概率塌缩到态|00>_AB|0>_C和|11>_AB|1>_C；若对GHZ态|η>_ABC的粒子A和B执行Bell测量，对粒子C执行X基测量，则***以1/2的概率塌缩到态|φ⁺>_AB|+>_C和|φ^->_AB|->_C。

进一步的，所述步骤3中，所述限门值取0.1～0.2。

本发明的有益效果：

本发明的基于三粒子GHZ态的两方量子密钥协商协议不仅能抵抗已有的参与者攻击和外部攻击，而且也能抵抗特洛伊木马攻击。并且在无噪声量子信道和量子噪声信道上都是安全的。并且，该协议也能达到比较高的量子比特效率。本发明能够确保通信双方公平地建立他们的之间的共享的经典秘密密钥。利用该经典秘密密钥和一次一密的加密算法，通信双方可以实现无条件安全的保密通信。

具体实施方式

1、预备知识

众所周知，{|0>,|1>}形成了Z基，{|+>,|->}形成了X基，其中 四个Bell态定义如下：

它们形成了四维Hilbert空间的一组完全正交基。GHZ态是三粒子的最大纠缠态，它们形成了八维Hilbert空间的一组完全正交基。在本发明的协议中我们使用如下的一个GHZ态作为量子信源，即

根据表达式可知，若对GHZ态|η>_ABC的粒子A和B执行Bell测量，对粒子C执行X基测量，则***以1/2的概率塌缩到态|φ⁺>_AB|+>_C和|φ^->_AB|->_C。

2、本发明的量子密钥协商协议

本发明的基于三粒子GHZ态的两方量子密钥协商协议，具体包括如下步骤：

步骤1：Alice和Bob协商如下量子态的编码：|φ⁺>_AB→0，|φ^->_AB→1，|+>_C→0，|->_C→1；

步骤2：Alice准备n+q个GHZ态|η>_ABC，并将所有粒子分成三个有序的序列：

S_A＝{A₁,A₂,…,A_n+q}，S_B＝{B₁,B₂,…,B_n+q}和S_C＝{C₁,C₂,…,C_n+q}，

其中序列S_A,S_B,S_C分别由每个GHZ态|η>_ABC的粒子A,B,C组成；Alice自己保留序列S_A和S_B，将序列S_C发送给Bob；n，q均为大于1的正整数；例如，n＝64。

步骤3：当Bob收到序列S_C，随机从序列S_C中选出q个样本粒子，对这q个样本粒子随机选用Z基或X基进行测量；然后，Bob将这q个样本粒子在序列S_C中的位置和相应的测量基告诉Alice；Alice根据Bob的测量基选择自己的测量基，并用自己的测量基测量序列S_A和S_B中的相应粒子，然后将测量结果通过经典认证信道告知Bob；Bob比较两人的测量结果，并根据GHZ态的测量相关性计算错误率；如果错误率低于预先规定的限门值，则执行步骤4，否则，执行步骤2；

所述限门值取0.1～0.2。

上述Alice根据Bob的测量基选择自己的测量基具体是指：如果Bob的测量基为Z基，则Alice选用基({|00>,|01>,|10>,|11>})作为自己的测量基；如果Bob的测量基为X基，则Alice选用Bell基({|φ⁺>,|φ^->,|ψ⁺>,|ψ^->})作为自己的测量基。

上述GHZ态的测量相关性是指：

根据上式可知，若对GHZ态|η>_ABC的粒子A和B执行基测量，对粒子C执行Z基测量，则***以1/2的概率塌缩到态|00>_AB|0>_C和|11>_AB|1>_C；若对GHZ态|η>_ABC的粒子A和B执行Bell测量，对粒子C执行X基测量，则***以1/2的概率塌缩到态|φ⁺>_AB|+>_C和|φ^->_AB|->_C。

步骤4：Alice将序列S_A和S_B中的样本粒子去掉，分别得到序列S'_A和S'_B；Bob将序列S_C中的样本粒子去掉，得到序列S'_C；

S'_A＝{A′₁,A'₂,…,A'_n}，S'_B＝{B′₁,B'₂,…,B'_n}和S'_C＝{C′₁,C'₂,…,C'_n}；

Alice对序列S'_A和S'_B中序号相同的两个粒子执行Bell测量；Bob对序列S'_C中的粒子执行X基测量；根据测量结果和步骤1中Alice和Bob协商的量子态的编码，Alice和Bob分别得到相同的n比特的共享密钥。

根据所表达的测量相关性可知，Alice和Bob得到的共享密钥是相同的。

4安全性和效率分析

一个安全的QKA协议不仅能抵抗外部攻击，而且也能抵抗参与者攻击。

4.1参与者攻击

下面，我们将说明一个不诚实的参与者不可能独自得到这个共享密钥。不失一般性，假设Alice是一个不诚实的参与者，她想让共享密钥中的l比特是0，她需要用Bell基测量序列S'_A和S'_B中相应的l对粒子。然而，根据量子纠缠态的特性，测量结果随机的是|φ⁺>_AB和|φ^->_AB，即Alice以50％的概率得到0或1。因此，l比特中的每位随机的是0或1。所以Alice无法独立决定共享密钥中任意一个比特。所以，该协议能抵抗参与者攻击。

4.2外部攻击

假设Eve是一个想窃取共享密钥的窃听者，她攻击的可能方法有：特洛伊木马攻击、测量-重发攻击、截获-重发攻击和纠缠-测量攻击。

特洛伊木马攻击：在本协议中，由于量子信道中的每个光子仅被传输一次，因此Eve不能成功的执行不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。

测量-重发攻击：Eve可以对序列S_C中的粒子执行测量-重发攻击。然而，Eve的测量将会影响序列S_A，S_B和S_C中样本粒子的状态，使得相应的三个粒子之间不再满足纠缠相关性。在第二步的窃听检测中，Alice和Bob能以1-(3/4)^m(m表示用来检测这个攻击的样本GHZ态的数量)的概率发现Eve的攻击。

截获-重发攻击：若Eve执行截获-重发攻击，她首先截获序列S_C，然后发送她的伪造序列给Bob。当协议结束后，她再对序列S_C中的粒子执行相应的测量。然而，Eve伪造的序列中的粒子与Alice保留的序列S_A和S_B中相应的粒子并不满足纠缠相关性，因此不能通过第二步的安全监测。当m个样本GHZ态被用于监测这个窃听攻击时，相应的窃听检测率为1-(1/2)^m。因此，Eve的截获-重发攻击也失败了。

纠缠-测量攻击：Eve也可以用自己预先准备的辅助粒子去纠缠这个传输粒子(序列S_C中的粒子)，然后将传输粒子再发给Bob。当协议结束后，她再测量相应的辅助粒子，从而提取关于共享密钥的有用信息。设Eve的纠缠操作为U，且有U(|0>|E>)＝a|0>|e₀₀>+b|1>|e₀₁>和U(|1>|E>)＝c|0>|e₁₀>+d|1>|e₁₁>成立，其中|e₀₀>，|e₀₁>，|e₁₀>和|e₁₁>是由幺正变换U唯一确定的纯态，并且|a|²+|b|²＝1，|c|²+|d|²＝1。显然，CNOT变换是幺正变换U的特殊情况。GHZ态经过Eve的纠缠操作后，***变为：

如果Eve想在第二步通过窃听检测，Eve的幺正变换U必须满足条件b＝c＝0和a|e₀₀>＝d|e₁₁>。当等式a|e₀₀>＝d|e₁₁>成立时，Eve不能区分辅助光子a|e₀₀>和d|e₁₁>，从而Eve不能通过观察辅助光子获取共享密钥的有用信息。然而，如果a|e₀₀>≠d|e₁₁>，Eve的攻击将干扰了样本态|η>_ABC。因此，Eve的攻击将被Alice和Bob发现。每个诱骗光子的窃听检测率为：

4.3量子噪声信道

在量子噪声信道中，由噪声引入的量子比特错误率(QBER)τ的取值范围近似在2％-8.9％，它依赖于信道的情况如距离等因素。如果Eve的攻击引入的量子比特错误率小于τ，那么她就能用噪声隐藏她的攻击行为。根据上述的安全性分析，这个协议中每个诱骗光子的窃听检测率至少为25％，它远大于τ。因此，选择合适的窃听检测限门值能确保这个协议在量子噪声信道上也是安全的。

根据上述分析，这个协议在无噪声量子信道和量子噪声信道上都是安全的。

5效率分析

对于一个QKA协议来说，Cabello量子比特效率被定义为：其中c表示协商的经典比特的数量，q表示协议中用到的量子比特的数量。因此，我们协议的量子比特效率为：其中n表示协议中GHZ态的数量，m表示用作样本的GHZ态的数量。令m＝n，我们有

Claims (6)

1.一种基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，具体包括如下步骤：

步骤1：Alice和Bob协商量子态的编码；|φ⁺>_AB→0，|φ^->_AB→1，|+>_C→0，|->_C→1；

步骤2：Alice准备n+q个GHZ态|η>_ABC，并将所有粒子分成三个有序的序列：

S_A＝{A₁,A₂,…，A_n+q}，S_B＝{B₁,B₂,…，B_n+q}和S_C＝{C₁,C₂,…,C_n+q}，

其中序列S_A,S_B,S_C分别由每个GHZ态|η>_ABC的粒子A,B,C组成；Alice自己保留序列S_A和S_B，将序列S_C发送给Bob；n，q均为大于1的正整数；

步骤3：当Bob收到序列S_C，随机从序列S_C中选出q个样本粒子，对这q个样本粒子随机选用Z基或X基进行测量；然后，Bob将这q个样本粒子在序列S_C中的位置和相应的测量基告诉Alice；Alice根据Bob的测量基选择自己的测量基，并用自己的测量基测量序列S_A和S_B中的相应粒子，然后将测量结果通过经典认证信道告知Bob；Bob比较两人的测量结果，并根据GHZ态的测量相关性计算错误率；如果错误率低于预先规定的限门值，则执行步骤4，否则，执行步骤2；

步骤4：Alice将序列S_A和S_B中的样本粒子去掉，分别得到序列S′_A和S′_B；Bob将序列S_C中的样本粒子去掉，得到序列S′_C；

S′_A＝{A₁′,A′₂,…，A′_n}，S′_B＝{B₁′,B′₂,…，B′_n}和S′_C＝{C₁′,C′₂,…，C′_n}；

Alice对序列S′_A和S′_B中序号相同的两个粒子执行Bell测量；Bob对序列S′_C中的粒子执行X基测量；根据测量结果和步骤1中Alice和Bob协商的量子态的编码，Alice和Bob分别得到相同的n比特的共享密钥。

2.如权利要求1所述的基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤1中，所述Alice和Bob协商量子态的编码为：|φ⁺>_AB→0，|φ^->_AB→1，|+>_C→0，|->_C→1。

3.如权利要求1所述的基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤2中， $|\mathrm{\η}{>}_{ABC}=\frac{1}{\sqrt{2}}{\left(\right|000>+|111>)}_{ABC}.$

4.如权利要求1所述的基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤3中，所述Alice根据Bob的测量基选择自己的测量基具体是指：如果Bob的测量基为Z基，则Alice选用基({|00>,|01>,|10>,|11>})作为自己的测量基；如果Bob的测量基为X基，则Alice选用Bell基({|φ⁺>,|φ^->,|ψ⁺>,|ψ^->})作为自己的测量基。

5.如权利要求1所述的基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤3中，所述GHZ态的测量相关性是指：

$|\mathrm{\η}{>}_{ABC}=\frac{1}{\sqrt{2}}{\left(\right|000>+|111>)}_{ABC}=\frac{1}{\sqrt{2}}\left(\right|{\mathrm{\φ}}^{+}{>}_{AB}|+{>}_C+|{\mathrm{\φ}}^{-}{>}_{AB}|-{>}_C);$

根据上式可知，若对GHZ态|η>_ABC的粒子A和B执行基测量，对粒子C执行Z基测量，则***以1/2的概率塌缩到态|00>_AB|0>_C和|11>_AB|1>_C；若对GHZ态|η>_ABC的粒子A和B执行Bell测量，对粒子C执行X基测量，则***以1/2的概率塌缩到态|φ⁺>_AB|+>_C和|φ^->_AB|->_C。

6.如权利要求1所述的基于三粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤3中，所述限门值取0.1～0.2。