CN111082937B - 一种基于单光子的双向身份认证方法 - Google Patents

Abstract

本发明公开了一种基于单光子的双向身份认证方法，其步骤包括：认证双方共享一个密钥，第三方制备初始单光子序列并发送给一个认证方，认证方根据共享密钥对单光子序列实施相应的单粒子操作，再对单光子序列实施随机置换，置换后通过量子信道发送给另一方，另一方执行逆置换操作，得到置换前的单光子序列，再根据密钥实施相应的单粒子操作，恢复初始的单光子序列返回给第三方，第三方测量返回单光子序列并比较是否与初始光子序列一致，若一致，则认证成功，否则，认证失败。本发明采用单光子作为量子资源，并有效解决复杂网络通信协议中用户身份认证问题的有效性、可实现性和安全性问题，从而使得认证更加便捷有效。

Description

一种基于单光子的双向身份认证方法

技术领域

本发明属于量子通信技术领域，尤其涉及一种基于单光子的双向身份认证方法。

背景技术

随着互联网的不断发展，人们在日常生活中开始越来越多地使用在线交易。然而病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁，给在线交易的安全性带来了极大的挑战。身份认证是实现信息安全的基本技术，系统通过审查用户的身份来确认用户是否对某种资源的访问和使用权限，同样也可以进行用户与用户之间的身份认证。目前已有的认证方法包括基于经典密码的身份认证和基于生物特征的身份认证。基于经典密码的身份认证虽然准确，但是经典密码认证是以计算复杂性及计算能力的有限性来保证其安全的，例如基于求解大数分解、离散对数等NP难题的计算复杂性假设，浪费计算资源，并且不能保证无条件安全。基于生物特征的身份认证主要是依靠概率来进行认证的，存在一定的风险。除此之外，基于生物特征的身份认证通常需要专用设备，设备费用昂贵。然而随着量子信息处理技术的不断发展，生物认证和经典密码认证技术都受到了巨大的安全挑战。

量子通信是量子信息领域中最重要的应用之一，量子身份认证(QIA)是量子密钥分发(QKD) 系统获取可靠密钥的前提，为通信双方的身份合法性提供重要依据。QIA利用量子不可克隆和测不准原理对输入者个人信息进行量子信息处理并与系统中预先存储的个人信息进行比较，从而对个人身份进行肯定或者否定的判断。1999年，Dusek等人首先提出利用经典信息认证算法对量子密钥系统经典信息进行认证的方案，从而达到抗干扰信道的效果。2000年，曾贵华利用量子的物理特性，提出了可信赖中心的QIA，在此基础上进一步研究了无可信赖中心的量子身份认证方案，此方案采用认证密钥加密认证量子信息，以实现对认证方的动态认证，并且改进了认证的顺序，代替了经典公钥认证方案。然而现有QIA还存在诸多局限性，很难在安全、效率、可实现性等方面满足应用所需。一方面，现有多数QIA协议需要多粒子纠缠态以及相应的复杂操作和测量，因而难以实现。另一方面，很多QIA存在安全缺陷，后来发现这些QIA难以抵抗一些特殊的量子攻击，例如纠缠测量攻击，因而很难做到无条件安全。此外，目前的大多数QIA方法并没有考虑粒子在信道传输过程中的损耗问题。粒子在传输过程的损耗，让这些方法难以在真实环境中实现。

发明内容

本发明为克服上述现有技术的不足之处，提供一种基于单光子的双向身份认证方法，以及采用单光子作为量子资源，并有效解决复杂网络通信协议中用户身份认证问题的有效性、可实现性和安全性问题，从而使得认证更加快捷有效。

本发明为达到上述发明目的，采用如下技术方案：

本发明一种基于单光子的双向身份认证方法的特点是应用于由用户A和用户B、以及协助所述用户A和用户B实施双向认证的第三方C所组成的网络环境中，并按如下步骤进行：

步骤1：所述第三方C定义一个整数n作为系统参数，再设置一个哈希函数Hash，并公开所述系统参数n和所述哈希函数Hash；

所述用户A与所述用户B通过量子密钥分配QKD协议共享一个长度为n×lgn比特的密钥K；

步骤2：所述用户A或所述用户B向所述第三方C发送一个认证请求；

步骤3：所述第三方C使用不同的基随机制备极化单光子序列S_C，极化单光子序列S_C包含lgn个光子；并将其分为n组，每组有lgn个光子；

步骤4：所述第三方C随机生成检测光子M₁，M₁包含q个检测光子；并插入到极化单光子序列S_C中，从而形成新的极化光子序列S_C*并发送给所述用户A；

步骤5：所述第三方C确认所述用户A收到新的极化光子序列S_C*后，协助所述用户A利用检测光子M₁检测量子信道是否安全；若安全，则由新的极化光子序列S_C*恢复得到极化单光子序列S_C，并执行步骤6；否则，认证过程结束；

步骤6：所述用户A根据所述哈希函数Hash，计算密钥K的哈希值K^*＝Hash(K)，且 K^*＝{k^*(1),k^*(2),k^*(3),...,k^*(i),...,k^*(n)}，其中，k^*(i)表示所述密钥K的哈希值K^*中第i 个比特的值；i＝1,2,…,n；从而所述用户A根据哈希值K^*对极化光子序列S_C实施操作；

步骤7：所述用户A随机生成一个置换P，并利用所述密钥K对置换P进行加密，形成密文E_K(P)后，通过经典信道发送给所述用户B；

所述用户A对所述极化光子序列S_C实施H操作后得到光子序列S_A；

所述用户A根据置换P对所述光子序列S_A进行置换，得到置换后的光子序列S_A’；

所述用户A随机生成检测光子M₂，M₂包含q个检测光子；并插入所述置换后的光子序列 S_A’中，从而形成新的光子序列S_A*后，通过量子信道发送给所述用户B；

步骤8：所述用户A确认所述用户B收到所述新的光子序列S_A*和所述密文E_K(P)后，协助所述用户B利用检测光子M₂检测量子信道是否安全；若安全，则执行步骤9；否则，认证过程结束；

步骤9：所述用户B由新的光子序列S_A*恢复得到所述置换后的光子序列S_A’；再利用密钥K对所述密文E_K(P)进行解密，得到所述置换P；从而根据所述置换P对置换后的光子序列S_A’进行相应的逆操作，得到所述光子序列S_A；

步骤10：所述用户B按照步骤6对光子序列S_A实施相同的操作；

步骤11：所述用户B对所述光子序列S_A实施H或I操作后得到光子序列S_B；

所述用户B随机生成检测光子M₃，M₃包含q个检测光子；并插入所述光子序列S_B中，得到新的光子序列S_B*后发送给所述第三方C；

步骤12：所述用户B确认所述第三方C收到新的光子序列S_B*后，协助所述第三方C利用检测光子M₃检测量子信道是否安全，若信道安全，则执行步骤13，否则，认证过程结束；

步骤13：所述第三方C去掉q个检测光子M₃后，得到所述光子序列S_B，再根据制备极化单光子序列S_C时所用的基，对所述光子序列S_B中的每一个光子实施单粒子测量，从而得到测量结果；

将所述测量结果与极化单光子序列Sc比较，若比较结果为两者一致，则表示所述用户A 与所述用户B认证成功，否则，表示认证失败。

由第三方C公开所述比较结果。

本发明所述的双向身份认证方法的特点也在于，所述步骤6中的实施操作是按如下过程进行：

步骤6.1：初始化i＝1；

步骤6.2：如果k^*(i)＝1，则对极化光子序列S_C中的第i组执行H操作，否则，执行I操作；

步骤6.3：将i+1的值赋给i，并判断i＞n是否成立，若成立，则执行步骤7，否则将返回步骤6.2。

与现有技术相比，本发明的有益效果在于：

1、本发明方法基于量子力学基本原理和经典一次一密技术，因而具有无条件安全。除此之外，在本发明执行过程中，采用了量子密钥分配和随机置换，保证了本发明的无条件安全性。与传统方法相比，安全性更高。

2、本发明方法采用单光子作为量子资源，仅仅需要单光子操作和测量，因而实现简单，操作容易。与其他多粒子纠缠态方法相比，更容易实现。

3、本发明方法通过量子通道传输光子序列，共分为n组，每组具有lgn个光子，实施相同的操作，用来编码一位经典信息，从而能够容忍光子在信道传输中的损耗，保证了本发明具有良好的容错性和鲁棒性。

4、本发明方法引入第三方生成、发送并测量光子序列，协助完成两个用户的双向认证，提高了效率，但第三方得不到任何有关认证用户的秘密信息。与其他方法相比，并不需要完全可信的第三方，因而在现实环境中更容易实现。

附图说明

图1是本发明具有双向身份认证的光子序列认证方法流程图。

图2是本发明第三方C与通信双方关系图。

具体实施方式

以下结合附图对本发明的应用原理作详细的描述。

本实施例中，如图1所示，一种基于单光子的双向身份认证方法是基于量子不可克隆和测不准定理进行窃听检测和身份认证：首先认证双方通过量子密钥分配QKD协议获得共享密钥，半诚实的第三方C生成并分发极化单光子序列给认证方A，认证方A对极化单光子序列进行相应的操作后发送给认证方B，认证方B实施相应操作后再将极化单光子序列返回，C 测量后完成双向认证；本协议首先分发密钥，然后检测信道安全，再进行身份认证。

该基于单光子的双向身份认证方法，是基于单光子的共轭编码、基于量子密钥分配QKD 协议和光子序列的随机置换，理论上实现了无条件安全，提高了量子的使用效率和通信效率，同时也让协议更加简洁；协议在进行身份认证时还具有零知识性的特点，即使用户被冒充，冒充者也不能在通信中获得任何有价值的信息，从而进一步确保了用户的信息安全。

具体的说，该方法是应用于这样一个场景，由一个第三方C和两个通信方A、B组成。用户A和B共享一个由n×lgn位组成的密钥K，用户A和B之间在进行通信之前，需要进行身份认证来保证通信安全。关系如图2所示。假设用户A要对用户B进行身份认证，如图1 所示，则他们进行以下步骤进行：

步骤1：第三方C选择一个整数n作为系统参数，另外选择一个安全的哈希函数：Hash(K)：{0,1}^*→{0,1}ⁿ，并公开系统参数n和哈希函数Hash。另外，用户A与用户B通过量子密钥分配(QKD)协议共享一个长度为n×lgn比特的密钥K；

步骤2：用户A或用户B向第三方C发送一个认证请求；

步骤3：所述第三方C使用不同的基随机制备极化单光子序列S_C，极化单光子序列S_C包含lgn个光子；并将其分为n组，每组有lgn个光子；其光子状态为|0>，|1>，|+>，|->。其中在制备单个光子时，首先随机选择生成基：{|0>，|1>}或{|+>，|->}。若选择{|0>，|1>}基，则随机制备量子态为|0>或|1>的极化单光子；若选择{|+>，|->}基，则随机制备量子态为|+>或|->的极化单光子；

步骤4：第三方C随机生成检测光子M₁，M₁包含q个检测光子；并插入极化单光子序列S_C中，从而形成新的极化光子序列S_C*，并记录下检测光子的位置和状态。第三方C把新的极化光子序列S_C*通过量子信道发送给用户A；

步骤5：第三方C确认用户A收到新的极化光子序列S_C*后，协助用户A利用检测光子M₁检测量子信道是否安全；若安全，则由新的极化光子序列S_C*恢复得到极化单光子序列S_C，并执行步骤6；否则，认证过程结束；

根据遵循规则如下：

①用户A按照第三方C公布的位置抽取光子序列中的检测光子，测出检测光子的状态。如果测量值低于阈值，则通知C量子信道安全；否则信道不安全，放弃本次通信；

②若信道安全，则A根据检测光子的位置剔除检测光子，剩下的n×lgn个光子为信号光子。

步骤6：用户A根据哈希函数Hash，计算密钥K的哈希值K^*＝Hash(K)，且 K^*＝{k^*(1),k^*(2),k^*(3),...,k^*(i),...,k^*(n)}，其中，k^*(i)表示密钥K的哈希值K^*中第i个比特的值；i＝1,2,…,n；从而用户A根据哈希值K^*对极化光子序列S_C实施操作：

步骤6.1：初始化i＝1；

步骤6.2：如果k^*(i)＝1，则对第i组光子序列执行H操作，否则，执行I操作。得到新的光子序列，记为S_A；

遵循规则如下：

①当k^*(i)＝1时，A执行在第i组光子的H操作，如表1所示。

表1 H操作

H|0>＝|+>	H|1>＝|->
		H|+>＝|0>	H|->＝|1>

②当k^*(i)＝0时，A执行在第i个光子的I操作,如表2所示。

表2 I操作

步骤6.3：将i+1的值赋给i，并判断i＞n是否成立，若成立，则执行步骤7，否则将返回步骤6.2；

步骤7：用户A随机生成一个置换P，其中P(i)∈{1,2,...,n}。用户A利用密钥K对置换P 进行加密，形成密文E_K(P)，通过经典信道发送给用户B。

其中，k*(i)为用户A和用户B共享的n×lgn位密钥K的一组，每组lgn位。

用户A对极化光子序列S_C实施H操作后得到光子序列S_A；

用户A根据置换P对光子序列S_A进行置换，得到置换后的光子序列S_A’；

用户A随机生成检测光子M₂，M₂包含q个检测光子；并插入置换后的光子序列S_A’中，从而形成新的光子序列S_A*后，通过量子信道发送给用户B；

步骤8：用户A确认用户B收到新的光子序列S_A*和密文E_K(P)后，协助用户B利用检测光子M₂检测量子信道是否安全；若量子信道安全，，则执行步骤9；否则，认证过程结束；

根据遵循规则如下：

①用户B按照用户A公布的位置抽取光子序列中的检测光子，测出检测光子的状态。如果测量值低于阈值，则通知A量子信道安全；否则信道不安全，放弃本次通信；

②若信道安全，则用户B根据检测光子的位置剔除检测光子，剩下的n×lgn个光子为信号光子。

步骤9：用户B由新的光子序列S_A*恢复得到置换后的光子序列S_A’；再利用密钥K对密文E_K(P)进行解密，得到置换P；

从而根据置换P对置换后的光子序列S_A’进行相应的逆操作，得到光子序列S_A；

步骤10：用户B按照步骤6对光子序列S_A实施相同的操作；

步骤11：用户B对光子序列S_A实施H操作后得到光子序列S_B；

用户B随机生成检测光子M₃，M₃包含q个检测光子；并插入光子序列S_B中，得到新的光子序列S_B*后发送给第三方C；

步骤12：用户B确认第三方C收到新的光子序列S_B*后，协助第三方C利用检测光子M₃检测量子信道是否安全，若信道安全，则执行步骤13，否则，认证过程结束；

根据遵循规则如下：

①用户C按照用户B公布的位置抽取光子序列中的检测光子，测出检测光子的状态。如果测量值低于阈值，则通知第三方B量子信道安全；否则信道不安全，放弃本次通信；

②若信道安全，则第三方C根据检测光子的位置剔除检测光子，剩下的n×lgn个光子为信号光子。

步骤13：所述第三方C去掉q个检测光子M₃后，得到所述光子序列S_B，再根据制备极化单光子序列S_C时所用的基，对所述光子序列S_B中的每一个光子实施单粒子测量，从而得到测量结果；

将测量结果与极化单光子序列Sc比较，若比较结果为两者一致，则表示用户A与用户B 认证成功，否则，表示认证失败。

由第三方C公开比较结果。

本实施例中，对该方法的可行性分析如下：

该方法采用单光子作为量子资源，仅仅需要单光子操作和测量，因而实现简单，操作容易。与其他多粒子纠缠态方法相比，更容易实现。第三方C制备的单光子序列为n组，每组nlogn 个极化光子，当光子在传输过程中有损耗时，能容错；不需要完全可信的第三方，而只需半诚实的第三方，即第三方诚实执行协议，但在每一步协议的执行过程中，他可能试图窃听用户的隐私信息。因此这样的第三方更符合现实环境。

本实施例中，对该方法的安全性分析如下：

量子通道的安全性：检测光子保证了量子通道的安全性。在步骤5、步骤8、步骤12中，在发送的光子序列中均包含q个检测粒子。如果信道不安全，窃听者会对传输过程中的粒子进行恶意操作。此时，发送方并没有公布检测粒子的位置和状态，所以窃听者并不知道检测粒子的位置和状态，那么他不能选择正确的基对检测粒子进行测量。根据量子测不准原理，被测量之后的粒子的状态势必发生变化。接收方根据发送方公布的检测粒子的位置，把检测粒子提取出来，对粒子进行相应的单粒子测量。若存在窃听者则测量结果必定与发送方公布的状态不同。于是窃听者就会被发现，通信双方放弃此次通信。在整个通信过程中，这样的窃听检测会实施三次。也即每次量子序列的传输都经过了安全性检测，确保了量子通信的信道安全。

经典消息的安全性：经典(置换)消息加密后发送，其中采用一次一密的加密方法。一次一密的加密方法是被公认的无条件安全方法。

如果用户A是合法的且第三方C是诚实的，但通信的一方B是冒充的。当用户A把E_K(P) 和H(k)发送给冒充者B时，冒充者B并不知道密钥K，无法恢复原来的光子序列，所以就无法认证成功。此时发现用户B是冒充的，进而终止通信。在协议中，冒充者只能猜中K，而他猜中一位二进制序列K的值的概率为50％。例如，当二进制序列K的位数为8位的时候，冒充者猜对K的概率为P₁，猜错K的概率为P₂。

P₁＝(50％)⁸＝0.39％ (4)

P₂＝1-P₁＝99.61％ (5)

由此可见，当K的长度超过8位数的时候，冒充者猜中K的概率就约等于0，冒充者向C 认证自己身份的时候就会被识破。

当通信双方是合法的，第三方C是冒充的，用户A随机生成一个置换P，利用密钥K对置换P进行加密，形成密文E_K(P)，由于第三方不知道密钥K，所以无法对密文进行解密，无法恢复原来的光子序列。

本协议结构简单，操作容易。本协议具有零知识的双向身份认证，由于冒充者不知道K，则他并不能通过操作得到任何有用的信息。由于协议使用量子作为载体，那么它就抵御截获/ 重放攻击，中间人攻击。如果有人对信息进行扰乱，通信双方能够发现扰乱的存在，从而终止协议。

Claims (2)

1.一种基于单光子的双向身份认证方法，其特征是应用于由用户A和用户B、以及协助所述用户A和用户B实施双向认证的第三方C所组成的网络环境中，并按如下步骤进行：

步骤1：所述第三方C定义一个整数n作为系统参数，再设置一个哈希函数Hash，并公开所述系统参数n和所述哈希函数Hash；

所述用户A与所述用户B通过量子密钥分配QKD协议共享一个长度为n×lgn比特的密钥K；

步骤2：所述用户A或所述用户B向所述第三方C发送一个认证请求；

步骤3：所述第三方C使用不同的基随机制备极化单光子序列S_C，极化单光子序列S_C包含n×lgn个光子；并将其分为n组，每组有lgn个光子；

步骤4：所述第三方C随机生成检测光子M₁，M₁包含q个检测光子；并插入到极化单光子序列S_C中，从而形成新的极化光子序列S_C*并发送给所述用户A；

步骤5：所述第三方C确认所述用户A收到新的极化光子序列S_C*后，协助所述用户A利用检测光子M₁检测量子信道是否安全；若安全，则由新的极化光子序列S_C*恢复得到极化单光子序列S_C，并执行步骤6；否则，认证过程结束；

步骤6：所述用户A根据所述哈希函数Hash，计算密钥K的哈希值K^*＝Hash(K)，且K^*＝{k^*(1),k^*(2),k^*(3),...,k^*(i),...,k^*(n)}，其中，k^*(i)表示所述密钥K的哈希值K^*中第i个比特的值；i＝1,2,…,n；从而所述用户A根据哈希值K^*对极化光子序列S_C实施操作；

步骤7：所述用户A随机生成一个置换P，并利用所述密钥K对置换P进行加密，形成密文E_K(P)后，通过经典信道发送给所述用户B；

所述用户A对所述极化光子序列S_C实施H操作后得到光子序列S_A；

所述用户A根据置换P对所述光子序列S_A进行置换，得到置换后的光子序列S_A’；

所述用户A随机生成检测光子M₂，M₂包含q个检测光子；并插入所述置换后的光子序列S_A’中，从而形成新的光子序列S_A*后，通过量子信道发送给所述用户B；

步骤8：所述用户A确认所述用户B收到所述新的光子序列S_A*和所述密文E_K(P)后，协助所述用户B利用检测光子M₂检测量子信道是否安全；若安全，则执行步骤9；否则，认证过程结束；

步骤9：所述用户B由新的光子序列S_A*恢复得到所述置换后的光子序列S_A’；再利用密钥K对所述密文E_K(P)进行解密，得到所述置换P；从而根据所述置换P对置换后的光子序列S_A’进行相应的逆操作，得到所述光子序列S_A；

步骤10：所述用户B按照步骤6对光子序列S_A实施相同的操作；

步骤11：所述用户B对所述光子序列S_A实施H或I操作后得到光子序列S_B；

所述用户B随机生成检测光子M₃，M₃包含q个检测光子；并插入所述光子序列S_B中，得到新的光子序列S_B*后发送给所述第三方C；

步骤12：所述用户B确认所述第三方C收到新的光子序列S_B*后，协助所述第三方C利用检测光子M₃检测量子信道是否安全，若信道安全，则执行步骤13，否则，认证过程结束；

步骤13：所述第三方C去掉检测光子M₃后，得到所述光子序列S_B，再根据制备极化单光子序列S_C时所用的基，对所述光子序列S_B中的每一个光子实施单粒子测量，从而得到测量结果；

将所述测量结果与极化单光子序列Sc比较，若比较结果为两者一致，则表示所述用户A与所述用户B认证成功，否则，表示认证失败；

由第三方C公开所述比较结果。

2.根据权利要求1所述的双向身份认证方法，其特征是，所述步骤6中的实施操作是按如下过程进行：

步骤6.1：初始化i＝1；

步骤6.2：如果k^*(i)＝1，则对极化光子序列S_C中的第i组执行H操作，否则，执行I操作；

步骤6.3：将i+1的值赋给i，并判断i＞n是否成立，若成立，则执行步骤7，否则将返回步骤6.2。

Images