CN105846999A - 基于单向传输回路的多方量子密钥协商方法 - Google Patents

Abstract

本发明提出了一种基于单向传输回路的多方量子密钥协商方法，属于信息安全技术领域。步骤如下，首先参与通信的所有用户通过制备EPR对来生成两单粒子序列，并按约定规则将各自私钥编码进其中一个序列，对另一序列在随机混入诱骗粒子后按顺序同时发送至下一用户；信道检查通过后所有接收方剔除诱骗粒子，把自己的密钥按约定规则编码进接收序列，随后也随机加入诱骗粒子并按顺序同时发送至下一用户，若能通过信道检查，该步骤可一直进行到最后一轮循环，即粒子接收方在编码自己私钥后混入诱骗粒子并发送至第一轮循环中的初始发送方；再利用Bell测量，每一用户均可获得其余所有用户密钥值的模2和，最后结合自己密钥即可建立最终协商密钥。

Description

基于单向传输回路的多方量子密钥协商方法

技术领域

本发明属于信息安全技术领域，涉及量子安全通信协议，具体的说是一种多方量子密钥协商方案，用以满足开放性网络中认证和安全会话的需求。

背景技术

在1994年Shor提出两个数学困难问题的量子算法即离散对数和因式分解后，很多传统密码协议的安全性就面临着严峻挑战，尤其随着量子计算理论的发展，很多经典的密码系统变得越来越不牢靠。当前以通信和网络为基础的安全问题倍受各国重视，密码技术作为信息安全的核心支撑其作用尤为重要。最近几十年兴起的基于量子力学基本原理的量子密码学已经成为世界性的研究热点。与基于计算复杂性的经典保密通信协议不同，这种以量子效应来实现的安全通信方案取决于信息载体的物理属性，具有理论上无条件安全的特点。该领域发展比较成熟的技术就是量子密钥分发(QKD)，已经进入实验阶段。随着QKD的发展，已经有了量子秘密共享，量子安全直接通信，量子签名，隐形传态等多个分支内容，设计的通信协议也由点对点的两方通信发展到多方间的通信。

密钥协商是一种不同于密钥分发的建立共享密钥的手段，是基本的密码原语之一。密钥协商允许会话双方或多方根据各自贡献的信息来建立最终共享密钥，并且除了全体参与者外最终密钥不能事先由任何一方多多方单独确定。Diffe和Hellman在1976年首先提出这一概念，同时他们的这篇论文开创了公钥密码的新领域。在复杂网络环境下，密钥协商相比密钥分发能更方便的建立随机密钥进行临时会话，而且不需要密钥管理和可信第三方。经典密码学中人们已经提出了多种多样的密钥协商方案，但这种基于数学困难问题的传统密码协在当前后量子密码协议的研究中已经不能满足安全需要。与量子力学的结合是一个比较热门的方向，目标是提供无条件安全的密钥协商方案，以实现信息的安全交换。

利用量子效应来实现的密钥协商一方面能够满足量子密钥分发中的密钥安全性，另一方面还能体现公平性这一基本属性。这是因为在密钥协商方案中的参与者可以不需要信任其他参与方，会话各方间在建立共享密钥时要避免其中一方或多方在协商过程中具有比其他方更大的最终密钥贡献优势。这一特性使得密钥协商能够在一个公开、不安全的信道中建立会话密钥，能满足网络中的认证和临时会话需求，在开放性网络中具有广泛的应用。这种分布式密钥管理方式尤其适用于分散型，无管理中心，以及动态网络结构中。因此以网络为背景研究多用户参与的量子密钥协商协议具有重要的研究价值和应用前景。

近几年量子密钥协商引起很多学者的研究，提出过多种方案。在2004年至2010年人们提出过多个两方间的通信方案，比如利用EPR对使两个用户在量子信道上获得共享密钥且密钥值由随机测量结果唯一决定，以及利用最大纠缠态来设计的通信方案等。这些成果均没有涉及三方或三方以上的用户间通信，而且有些方案被后来的学者指出并不安全。Chong和Hwang在2010年利用BB84协议提出了一个真正意义上的量子密钥协商协议(OpticCommun.2010,283:1192-1195)，但是这个协议也属于两个用户间的通信。涉及三方及多方间的通信方案开始于Shi等人的研究(Quantum Inf.Process,2013,12(2):921-932)，他们利用纠缠变换设计了两方和多方的密钥协商协议。同年，Liu等人基于单光子提出了多方量子密钥协商方案(Quantum Inf.Process.2013,12:1797-1805)，除此外还有其他多个此类协议。这些方案在技术上主要存在协议效率比较低以及量子资源的制备和利用效率问题。此后，人们对多方的量子密钥协商方案主要从效率和量子效应上来考虑设计。

发明内容

本发明的目的是针对当前多方量子密钥协商方法中存在的问题，从量子态易于制备和操作易于实现等几个方面入手设计新的量子比特传输线路，以提高通信效率。

本发明的技术方案如下：

基于单向传输回路的多方量子密钥协商方法，其特征在于:包括如下步骤：

1)第一轮循环：参与通信的N个用户各自制备n个EPR对|ψ⁺>，并依次取出每个对中的粒子形成两个单粒子序列；每一方在对其中一个粒子序列随机混入诱骗粒子后发送其至下一用户；对另一序列则根据约定的编码规则1把自己随机生成的密钥编码进该序列并保留在自己手中；

2)信道安全检查：收到混合粒子序列的用户与发送方进行信道安全检查，若通过则执行下一步，否则放弃通信；

3)第二轮循环：收到混合粒子序列的用户在剔除诱骗粒子后根据编码规则2把自己的密钥编码进该序列，随后再随机混入诱骗粒子并将此混合序列发送至下一用户；

4)信道安全检查，与步骤2)相同，若通过执行下一步，否则放弃通信；

5)第三轮循环：上一轮循环中接收到混合粒子序列的用户在剔除诱骗粒子后根据编码规则2把自己的密钥编码进该序列，随后随机混入诱骗粒子并把此序列发送至下一用户；类似前面所述步骤，若信道安全检查均通过，则一直执行到第N轮循环；

6)第N轮循环：第N-1轮循环中接收到混合粒子序列的用户在剔除诱骗粒子后按照编码规则2把自己的密钥编码进该粒子序列，并在随机插入诱骗粒子后发送至下一用户即第一轮循环中粒子序列的初始发送方；

7)通过信道安全检查后，第一轮循环中的粒子发送方在剔除诱骗粒子后，与原先一直保留的单粒子序列组成一个EPR对序列；在执行Bell测量后根据测量结果可获得其他N-1个用户密钥的模2加,此结果再与自己的密钥执行模2加运算即在所有用户间建立了最终共享密钥；

其中参与通信的N个用户表示为u₁,u₂,…,u_N，每一方随机生成一个经典比特串i＝1,2,…,N作为各自的密钥，这里n表示最终共享密钥长度，j＝1,2,…,n；四个EPR对记为

$|{\mathrm{\ψ}}^{+}>=\left(\right|01>+|10>)/\sqrt{2}$

$|{\mathrm{\ψ}}^{-}>=\left(\right|01>-|10>)/\sqrt{2}$

生成密钥后各方约定编码规则如下

规则1若密钥值为0，则对量子比特执行幺正操作I；否则执行幺正操作σ_x

规则2若密钥值为0，则对量子比特执行幺正操作I；否则执行幺正操作iσ_y

这里I＝|0><0|+|1><1|，σ_x＝|0><1|+|1><0|及iσ_y＝|0><1|-|1><0|。

本发明在每一轮循环中，用户间粒子序列传送方向为

用户u_i→用户u_i+1→…→用户u_N→用户u_N-1→…→用户u₁→…→用户u_i。

本发明涉及信道安全检查的步骤描述如下，在确认接收方收到粒子序列后，发送方公布诱骗粒子的位置和相应的测量基；接收方根据发送方公布的信息进行测量，并随机公布一半诱骗粒子的测量结果，然后发送方公布剩余一半诱骗粒子的初态；双方通过比较测量结果来确定量子比特传输是否安全。

本发明在步骤7)中初始粒子序列发送者u_i(i＝1,2,…,N)获得的其他N-1个用户密钥值的模2加为

K₁⊕…⊕K_i-1⊕K_i+1⊕…⊕K_N，

再与自己的密钥K_i进行模2加运算，于是建立最终共享密钥K₁⊕K₂⊕…⊕K_N。

与目前多方量子密钥协商方法相比，本发明具有下述优点：

1.本发明中的量子资源制备在当前实验技术下易于实现；

2.本发明中设计的量子比特传输建立在单向传输回路上，相比(三方)双向量子比特传输中的往返过程，提高了效率；

3.每一方通过异或操作计算其他各方秘密比特和而不是提取密钥值来建立最终共享密钥。

附图说明

图1本发明设计的协议中用户间的粒子序列发送方向示意图。

图2本发明设计的多方量子密钥协商方法示意图。

图3单轮循环量子信道单向传输示意图(以三方为例)。

具体实施方式

结合附图下面来说明本发明的具体实施过程。首先四个EPR对为 这里|0>和|1>表示Pauli算子σ_z的本征态；和为Pauli算子的σ_x的本征态。对一个EPR对中的两个粒子分别施加不同的幺正操作后可转换为另一EPR对，若初态为|ψ⁺>则转换规则见下表

表1 EPR对的转换规则

其中操作I＝|0><0|+|1><1|，σ_x＝|0><1|+|1><0|及iσ_y＝|0><1|-|1><0|。在用户u_i(i＝1,2,...,N)生成随机密钥j＝1,2,...,n，n为协商密钥的长度)后，按照如下编码规则把自己的密钥信息编码进粒子序列中

规则1若密钥值为0，执行幺正操作I；否则执行操作σ_x

规则2若密钥值为0，执行幺正操作I；否则执行操作iσ_y

协议步骤如下

1)第一轮循环：用户u_i(i＝1,2,...,N)制备n个EPR对|ψ⁺>_ab，并依次取出每个对中的粒子形成两个单粒子序列S_ia和S_ib；并根据规则1把密钥K_i编码进序列S_ia；该用户随后在态集{|0>,|1>,|+>,|->}中选取足够多的诱骗粒子随机混入粒子序列S_ib，然后按照附图1的顺序把该混合粒子序列发送给用户u_i+1；

2)信道安全检查：在确认用户u_i+1收到混合粒子序列后，用户u_i公布诱骗粒子的位置和相应的测量基；接收方根据发送方u_i公布的信息进行测量，并随机公布一半诱骗粒子的测量结果，然后发送方公布剩余一半诱骗粒子的初态；双方通过比较测量结果来确定量子比特传输是否安全。若出错率超过阈值，则安全检查通过并执行下一步，否则放弃通信；

3)第二轮循环：用户u_i+1在剔除诱骗粒子后根据编码规则2把自己的密钥K_i+1编码进该序列，该操作表示为U_i+1:S_ib→S′_ib，随后再随机混入诱骗粒子并将此混合序列发送至下一用户u_i+2；

4)信道安全检查，与步骤2)相同，若通过检查则执行下一步，否则放弃通信；

5)第三轮循环：用户u_i+2在剔除诱骗粒子后根据编码规则2把自己的密钥编码进序列S′_ib，该操作记为随后随机混入诱骗粒子并把此序列发送至下一用户；类似前面所述步骤，若信道安全检查均通过，则一直执行到第N轮循环；

6)第N轮循环：用户u_i+(n-1)在剔除诱骗粒子后按照编码规则2把自己的密钥编码进该粒子序列，相应的操作表示如下

$U_{i+(n-1)}\&CircleTimes;U_{i+(n-2)}\&CircleTimes;...\&CircleTimes;U_{i+1}:S_{ib}\&RightArrow;S_{ib}^{(n-1)}$

然后该用户随机插入诱骗粒子到序列并发送至第一轮循环中的初始发送方u_i；

7)通过信道安全检查后，初始发送方u_i在剔除诱骗粒子后，与原先一直保留的单粒子序列组成一个EPR对序列；在执行Bell测量后根据测量结果并结合表1可获得其他N-1个用户密钥的模2加

K₁⊕…⊕K_i-1⊕K_i+1⊕…⊕K_N

此结果再与自己的密钥K_i执行模2加运算，即在所有用户间建立了最终共享密钥

K＝K₁⊕K₂⊕…⊕K_N

举例来说明此过程。方便起见，忽略信道检查。不妨设用户1，用户2，用户3，用户4的私钥分别为K₁＝0，K₂＝1，K₃＝1，K₄＝1。第一轮循环中四个用户分别制备一个EPR对|ψ⁺>_ab，并各自根据规则1在第一个粒子上编码自己密钥，然后按照图1的顺序，即用户1→用户2，用户2→用户3，用户3→用户4，用户4→用户1发送第二个粒子到下一个用户。下面以用户1获取其他三方密钥值的模2和为例进行描述。因为用户1密钥值为0，他根据规则1在粒子a上执行操作I，然后发送粒子b到用户2；用户2的密钥值为1根据规则2，在粒子b上执行操作iσ_y，并发送给用户3；用户3根据规则2，在收到的粒子b上执行操作iσ_y，并发送给用户4；用户4根据规则2执行操作iσ_y在粒子b上，然后发给初始方用户1.此时粒子b上的三个用户的幺正操作为初始用户1对粒子a和粒子b执行Bell测量，结果必为用户1虽然不知道其他三方各自的确切操作，但根据表1可知为iσ_y，于是用户1得到K₄⊕K₃⊕K₂＝1，因此最终建立的共享密钥为

K＝K₁⊕K₂⊕K₃⊕K₄＝0+1＝1

同样，用户2、用户3及用户4在用户1获取密钥值和的同时也各自均可获得其他三方的密钥和，从而四个用户间成功的进行了密钥协商。

Claims (4)

1.基于单向传输回路的多方量子密钥协商方法，其特征在于:包括如下步骤：

1)第一轮循环：参与通信的N个用户各自制备n个EPR对|ψ⁺>，并依次取出每个对中的粒子形成两个单粒子序列；每一方在对其中一个粒子序列随机混入诱骗粒子后发送其至下一用户；对另一序列则根据约定的编码规则1把自己随机生成的密钥编码进该序列并保留在自己手中；

2)信道安全检查：收到混合粒子序列的用户与发送方进行信道安全检查，若通过则执行下一步，否则放弃通信；

3)第二轮循环：收到混合粒子序列的用户在剔除诱骗粒子后根据编码规则2把自己的密钥编码进该序列，随后再随机混入诱骗粒子并将此混合序列发送至下一用户；

4)信道安全检查，与步骤2)相同，若通过执行下一步，否则放弃通信；

5)第三轮循环：上一轮循环中接收到混合粒子序列的用户在剔除诱骗粒子后根据编码规则2把自己的密钥编码进该序列，随后随机混入诱骗粒子并把此序列发送至下一用户；类似前面所述步骤，若信道安全检查均通过，则一直执行到第N轮循环；

6)第N轮循环：第N-1轮循环中接收到混合粒子序列的用户在剔除诱骗粒子后按照编码规则2把自己的密钥编码进该粒子序列，并在随机插入诱骗粒子后发送至下一用户即第一轮循环中粒子序列的初始发送方；

7)通过信道安全检查后，第一轮循环中的粒子发送方在剔除诱骗粒子后，与原先一直保留的单粒子序列组成一个EPR对序列；在执行Bell测量后根据测量结果可获得其他N-1个用户密钥的模2加,此结果再与自己的密钥执行模2加运算即在所有用户间建立了最终共享密钥；

其中参与通信的N个用户表示为u₁,u₂,…,u_N，每一方随机生成一个经典比特串i＝1,2,…,N作为各自的密钥，这里n表示最终共享密钥长度，j＝1,2,…,n；四个EPR对记为

生成密钥后各方约定编码规则如下

规则1若密钥值为0，则对量子比特执行幺正操作I；否则执行幺正操作σ_x

规则2若密钥值为0，则对量子比特执行幺正操作I；否则执行幺正操作iσ_y

这里I＝|0><0|+|1><1|，σ_x＝|0><1|+|1><0|及iσ_y＝|0><1|-|1><0|。

2.根据权利要求1所述的基于单向传输回路的多方量子密钥协商方法，其特征在于:在每一轮循环中，用户间粒子序列传送方向为

用户u_i→用户u_i+1→…→用户u_N→用户u_N-1→…→用户u₁→…→用户u_i。

3.根据权利要求1所述的基于单向传输回路的多方量子密钥协商方法，其特征在于:涉及信道安全检查的步骤描述如下，在确认接收方收到粒子序列后，发送方公布诱骗粒子的位置和相应的测量基；接收方根据发送方公布的信息进行测量，并随机公布一半诱骗粒子的测量结果，然后发送方公布剩余一半诱骗粒子的初态；双方通过比较测量结果来确定量子比特传输是否安全。

4.根据权利要求1所述的基于单向传输回路的多方量子密钥协商方法，其特征在于:在步骤7)中初始粒子序列发送者u_i(i＝1,2,…,N)获得的其他N-1个用户密钥值的模2加为

再与自己的密钥K_i进行模2加运算，于是建立最终共享密钥