WO2021000328A1 - 可抗共谋的量子密钥协商方法、计算机终端及存储装置 - Google Patents

Abstract

本发明提供了一种可抗共谋的量子密钥协商方法、计算机终端及存储装置，包括第三方交互端TP和N个协商交互端P_i，由TP制备N个消息序列{S₀，...，S_N-1}，每个消息序列S_i包含m个有序的量子比特，TP将每个S_i对应发送给相应的P_i；N个协商交互端均将自己的秘密信息K_i根据编码规则编码到消息序列S_i中，同时P_i随机产生m个量子诱骗态，并将其随机插入到编码后的消息序列中，得到新的序列S_i ⁱ⁺¹ ，P_i发送 S_i ⁱ⁺¹ 给P_i+1；然后进行窃听检测，直到完成第N轮循环，再由TP发送S_i中每个量子比特所在的量子基信息给P_i-1，P_i-1在相应的基下对消息序列S_i进行测量，并计算出最终的协商密钥。本方法可以防止内部共谋者在密钥窃取阶段获取其他合法协商交互端的密钥异或信息，进而在密钥翻转阶段对最终的共享密钥进行控制。

Description

可抗共谋的量子密钥协商方法、计算机终端及存储装置 技术领域

本发明属于信息安全技术领域，尤其涉及一种可抗共谋的量子密钥协商方法。

背景技术

量子密钥协商(Quantum Key Agreement，QKA)是利用量子力学理论来实现密钥协商任务。量子密钥协商作为量子密码的新兴研究领域，解决了网络中群组织活动的密钥分享问题。

在不同的安全定义下，QKA可以分为两类。一种是弱安全定义下的QKA协议，两方或多方通过公开信道协商一个密钥。在该弱安全定义下，QKA协议就是我们所熟知的量子秘钥分发(Quantum Key Distribution，QKD)协议。在强安全定义下，QKA不仅要求所有的用户通过公开信道参与密钥生成过程，而且必须以公平、对等的方式(解决公平性需求)来产生共享密钥。在QKD中，由于一方能够完全地控制最终的密钥，因此它不是一个公平、对等的密钥协商协议。无法抵抗外部攻击者，以及不诚实参与者的内部攻击。

因此，现有技术还有待发展。

技术问题

本发明所要解决的技术问题在于提供一种可抗共谋的量子密钥协商方法，旨在解决现有的量子秘钥分发协议无法抵抗外部攻击者，以及不诚实参与者的内部攻击的问题。

技术解决方案

为解决上述技术问题，本发明是这样实现的：

一种可抗共谋的量子密钥协商方法，包括第三方交互端和N个协商交互端P _i，0≤i≤N-1，每个协商交互端的秘密信息分别为K ₀,K ₁,...,k _N-1∈{0,1} ^m，m为量子比特个数，P _i在密钥协商过程中，下标为modN运算，协商方法包括如下：

步骤S1、第三方交互端制备N个量子序列{S ₀,...,S _N-1}，称为消息序列，每个消息序列S _i包含m个有序的量子比特，第三方交互端将每个S _i对应发送给相应的P _i；

步骤S2、第一轮循环：P _i将自己的秘密信息K _i根据编码规则编码到消息序列S _i中，同时P _i随机产生m个量子诱骗态，并将其随机插入到编码后的消息序列中，得到新的序列

P _i发送

给P _i+1；

步骤S3、窃听检测：P _i+1与P _i根据

及所述诱骗态的初始量子态信息进行信道安全检测，若判断为安全则执行步骤S4，否则返回步骤S1；

步骤S4、第二轮循环：P _i+1将收到的

去除诱骗态，得到经P _i编码后的消息序列，P _i+1根据所述编码规则将自己的秘密信息K _i+1编码到经P _i编码后的消息序列中，并随机制备m个量子诱骗态，然后将其插入到经P _i+1编码后的消息序列中，得到新的消息序列

P _i+1发送

给P _i+2；

步骤S5、窃听检测：P _i+2与P _i+1根据

及P _i+1制备的所述诱骗态的初始量子态信息进行信道安全检测，若判断为安全则执行同步骤S4的下一个循环，直到完成第N轮循环，否则返回步骤S1；

步骤S6、第三方交互端发送每个消息序列S _i中每个量子比特所在的量子基信息给P _i-1，每一个协商交互端P _i-1根据所述量子基信息对消息序列S _i进行测量，得到消息序列

据此，P _i-1计算出最终的协商密钥为

P _i遍历所有的0≤i≤N-1，均计算出所述最终的协商密钥。

进一步地，在所述步骤S1和所述步骤S2之间还包括：对P _i与第三方交互端之间的信道进行安全检测。

进一步地，所述对P _i与第三方交互端之间的信道进行安全检测的方法包括：

第三方交互端制备N个诱骗态序列，{C ₀,...,C _N-1}，每个诱骗态序列C _i分别包含m个有序的量子比特，第三方交互端将诱骗态序列C _i随机地插入到消息序列S _i中，得到新的序列S _i'，并将S _i'发送给P _i，然后向P _i公开S _i'序列中C _i的位置以及其所在的量子基，P _i对S _i'序列中的C _i量子态在相应的量子基下进行测量，然后向第三方交互端随机公开一半的测量结果，第三方交互端向P _i公开另一半C _i的初始量子态信息，P _i与第三方交互端根据测量结果及初始量子态信息对信道进行安全检测。

进一步地，诱骗态序列C _i中，每个量子比特随机的从{|+y>,|-y>,|+>,|->}选取；其中|+y>,|-y>,|+>,|->表示不同的量子态，

进一步地，在所述步骤S2中，所述编码规则为：

当K _i的第j∈{1,...,m}位比特为0，则对消息序列S _i的第j位量子态 执行酉操作I＝|0><0|+|1><1|；当K _i的第j∈{1,...,m}位比特为1，那么对消息序列Si的第j位量子态执行酉操作U＝|0><1|-|1><0|。

进一步地，所述步骤S3包括：P _i向P _i+1公开每个

序列中诱骗态的位置及其所在的量子基，P _i+1对

序列中的诱骗态在相应的量子基下进行测量，并随机公开一半的测量结果给P _i，然后P _i公开另一半诱骗态的初始量子态信息给P _i+1，P _i与P _i+1根据测量结果及初始量子态信息对信道进行安全检测。

进一步地，消息序列S _i中，每个量子比特从{|0>,|1>,|+>,|->}中选取，其中|0>,|1>,|+>,|->表示不同的量子态，|0>,|1>相互正交，

一种计算机终端，用于N个协商交互端进行多方量子密钥协商，所述计算机终端包括：处理器、与处理器通信连接的存储器，所述存储器存储有计算机程序，所述处理器调用所述计算机程序时实现如上所述的可抗共谋的量子密钥协商方法。

一种存储装置，用于N个协商交互端进行多方量子密钥协商，所述存储装置存储有计算机程序，所述计算机程序被执行时实现如上所述的可抗共谋的量子密钥协商方法。

有益效果

本发明与现有技术相比，有益效果在于：本发明的多方量子密钥协商方法中，初始量子态由第三方交互端(ThirdParty，TP)制备。TP的作用就是制备初始量子态，发送量子态给用户，在协议最后公布初始量子态的信息，可以防止内部共谋者在密钥窃取阶段获取其他 合法协商交互端的密钥异或信息，进而在密钥翻转阶段对最终的共享密钥进行控制。

本发明的实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明中多用户在密钥协商过程中，假定经典信道与量子信道均已被认证，并且没有噪音和信息的丢失。N位参与方分别通过N个协商交互端P _i(0≤i≤N-1)，进行密钥协商。半诚实的第三方(ThirdPart _y，TP)通过第三方交互端，忠实的按照协议的流程帮助N位参与者完成协议过程。所谓半诚实的第三方是指允许第三方TP通过计算结果推算参与者的秘密信息，但是不允许第三方TP与任何密钥协商参与者共谋。假设每个协商交互端的秘密信息分别为K ₀,K ₁,...,k _N-1∈{0,1} ^m，m为量子比特个数，并且N位参与者共同协商获得最终的密钥：

参与者P _i在密钥协商过程中，下标为modN运算，即N位参与方在密钥协商过程中是按照顺序P _i→P _i+1→…→P _N-1→P _N-2→…→P _i-1→P _i依次进行协商。

协商方法包括如下：

步骤S1、第三方交互端制备N个量子序列{S ₀,...,S _N-1}，称为消息序列，每个消息序列S _i包含m个有序的量子比特，第三方交互端将每个S _i对应发送给相应的P _i。

具体的，消息序列S _i中，每个量子比特可以从{|0>,|1>,|+>,|->}中 选取，其中|0>,|1>,|+>,|->表示不同的量子态，|0>,|1>相互正交，

初始量子态即消息序列，由TP制备，并将每个消息序列S _i对应发送给相应的P _i。由于内部攻击者的攻击分为两个过程：密钥窃取阶段和密钥翻转阶段。在密钥窃取阶段，内部共谋者可以获取其他合法用户的密钥异或信息。然后他们可以在密钥翻转阶段对最终的共享密钥进行控制，使得最终的共享秘钥不在由全体参与者共同公平的生成。之所以共谋者可以获得合法用户密钥的异或信息，在于共谋者生成初始量子态，即上述消息序列，并且共谋者共享该初始量子态的所有信息。有了初始态的信息，处于两个特殊位置的用户就可以顺利测量获得中间合法用户的密钥异或信息。为了阻止该共谋的发生，初始量子态由拥有更高量子制备能力的TP制备。TP的作用就是制备初始量子态，发送量子态给用户，在协议最后公布初始量子态的信息。通过TP制备初始量子态可以防止内部共谋者在密钥窃取阶段获取其他合法协商交互端的密钥异或信息，进而在密钥翻转阶段对最终的共享密钥进行控制。

可选的，可以对P _i与第三方交互端TP之间的信道进行安全检测，以进一步提高密钥协商的安全性。本发明提供的一种P _i与第三方交互端TP之间的信道安全检测实施例如下：可以由TP制备N个量子序列{C ₀,...,C _N-1}，称之为诱骗态序列，每个诱骗态序列C _i分别包含m个有序的量子比特，具体的，每个量子比特可以随机的从{|+y>,|-y>,|+>,|->}中选取；其中|+y>,|-y>,|+>,|->表示不同的量子 态，

TP将诱骗态序列C _i随机地插入到消息序列S _i中，得到新的序列S _i'，并将S _i'发送给P _i。对于所有的i＝0,1,...,N-1，当P _i接收到S _i'，可以向TP发送收到S _i'的回执。当TP收到所有N个用户的回执信息后，TP向P _i公开在每个S _i'序列中C _i的位置以及其所在的量子基信息。通过TP的公开信息，P _i对S _i'序列中的C _i量子态在相应的量子基下进行测量，并记录测量结果。然后P _i随机的公开一半的测量结果给TP；相应地，TP公开另一半C _i的初始量子态信息给P _i。P _i与TP对信道进行安全检测，计算出错误率。如果错误率超过预先设定的阈值，P _i与TP确认信道有窃听，并终止此次通信，返回第最开始，重新执行；当所有的N个量子信道全部安全，则协议进入下一步。

步骤S2、第一轮循环：P _i将自己的秘密信息K _i根据编码规则编码到消息序列S _i中，同时P _i随机产生m个量子诱骗态，并将其随机插入到编码后的消息序列中，得到新的序列

P _i发送

给P _i+1。

具体的，对于所有的i＝0,1,...,N-1，P _i收到TP发送的消息序列S _i后，将自己的秘密信息K _i编码到消息序列S _i。可以通过酉操作编码规则进行编码。例如，当K _i的第j∈{1,...,m}位比特为0，那么对消息序列S _i的第j位量子态执行酉操作I＝|0><0|+|1><1|；当K _i的第j∈{1,...,m}位比特为1，那么对消息序列S _i的第j位量子态执行酉操作U＝|0><1|-|1><0|。然后，按照步骤S1，P _i随机产生m个量子诱骗态，随机的将其插入到编码后的消息序列，产生的新的序列标注为

P _i发送

给P _i+1。

步骤S3、窃听检测：P _i+1与P _i根据

及所述诱骗态的初始量子态 信息进行信道安全检测，若判断为安全则执行步骤S4，否则返回步骤S1。

本发明提供了两个交互端之间的信道安全检测方法如下：P _i向P _i+1公开每个

序列中诱骗态的位置及其所在的量子基信息，P _i+1对

序列中的诱骗态在相应的量子基下进行测量，并随机公开一半的测量结果给P _i，然后P _i公开另一半诱骗态的初始量子态信息给P _i+1，P _i与P _i+1对信道进行安全检测。

上述检测更为具体的步骤是：对于所有的i＝0,1,...,N-1，当确定P _i+1接收到

后，P _i和P _i+1开始检测量子信道中的窃听，P _i公开在每个

序列中诱骗态的位置以及其所在的量子基信息。通过P _i的公开信息，P _i+1对

序列中的诱骗态在相应的量子基下进行测量，并记录测量结果。然后随机的公开一半的测量结果给P _i；相应地，P _i公开另一半诱骗态的初始量子态信息给P _i+1。P _i与P _i+1对信道进行安全检测，即比较测量结果与诱骗态的初始量子态信息，计算出错误率。如果错误率超过预先设定的阈值，P _i与P _i+1确认信道有窃听，并终止此次通信，并返回步骤S1，协议重新执行；当所有的N个量子信道全部安全，则执行下一步。

步骤S4、第二轮循环：P _i+1将收到的

去除诱骗态，得到经P _i编码后的消息序列，P _i+1根据所述编码规则将自己的秘密信息K _i+1编码到经P _i编码后的消息序列中，并随机制备m个量子诱骗态，然后将其插入到经P _i+1编码后的消息序列中，得到新的消息序列

P _i+1发送

给P _i+2。

步骤S5、窃听检测：P _i+2与P _i+1根据

及P _i+1制备的所述诱骗态的初始量子态信息进行信道安全检测，若判断为安全则执行同步骤S4的下一个循环，直到完成第N轮循环，否则返回步骤S1；

步骤S4同步骤S2，步骤S5同步骤S3，分别对应着不同轮次量子密钥协商循环和不同轮次窃听检测，本发明不再赘述。

步骤S6、第三方交互端发送每个消息序列S _i中每个量子比特所在的量子基信息给P _i-1，每一个协商交互端P _i-1在相应的基下对消息序列S _i进行测量，得到一串m比特的消息序列

据此，P _i-1计算出最终的协商密钥为

P _i遍历所有的0≤i≤N-1，均计算出所述最终的协商密钥。

在执行完最后一轮信息编码和窃听检测后，P _i-1接收到P _i-2发送来的消息序列

窃听检测后获得安全的编码后的消息序列S _i，P _i-1可以发送消息给TP，确认循环结束。此时TP发送每个消息序列S _i中每个量子比特所在的量子基信息给对应的P _i-1，每一个协商交互端P _i-1在相应的基下对消息序列S _i进行测量，得到一串m比特的消息序列

然后，P _i-1计算出最终的协商密钥为

此时所有的N个用户都可以采用同样的方法计算出相同的协商密钥K。

本发明的技术方案对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机终端(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所 述方法的全部或部分步骤。而前述的存储装置包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

协议的安全性

对于本协议的安全性分析，主要分析两种方式的攻击。一种是外部攻击：外部攻击者试图获取用户的秘密信息和最终的协商密钥；一种是内部攻击：参与者试图控制最终的密钥生成。TP是一个特殊的内部攻击者，他拥有比其他用户更强的攻击能力。攻击分析过程如下：

(1)外部攻击

本协议中，为了检测外部攻击，任意两个用户信道之间，使用m个量子诱骗态来检测攻击。诱骗态技术是量子密码主要的检测窃听技术之一，该方法最早在BB84协议中被提出，并且该方法的安全性证明已经被证明。任何对量子信道的窃听行为，都将被检测到。利用该窃听检测技术，现在已有的各种攻击手段，如拦截重放攻击、测量重放攻击、纠缠测量攻击等，将全部无效。

(2)内部攻击

内部参与者比外部攻击者拥有更多的资源，可以通过在协议过程中说谎来获得经济利益。因此，所有的QKA协议必须可以抵抗内部攻击者的攻击。内部攻击者的攻击可以分为两个过程：密钥窃取阶段和密钥翻转阶段。在密钥窃取阶段，内部共谋者可以获取其他合法用户的密钥异或信息。然后他们可以在密钥翻转阶段对最终的共享密钥进 行控制，使得最终的共享秘钥不在由全体参与者共同公平的生成。之所以共谋者可以获得合法用户密钥的异或信息，在于共谋者生成初始量子态，并且共谋者共享该初始量子态的所有信息。有了初始态的信息，处于两个特殊位置的用户就可以顺利测量获得中间合法用户的密钥异或信息。为了阻止该共谋的发生，初始量子态由拥有更高量子制备能力的TP制备。TP的作用就是制备初始量子态，发送量子态给用户，在协议最后公布初始量子态的信息。协议中，假设TP为半诚实用户，即TP按要求诚实执行协议，不与任何用户共谋，但是他可以通过协议过程获得某些有利的信息。

考虑最坏情况下，仅有一个诚实用户P _t,t∈{0,...,N-1}，其他N-1个用户共谋。在此情况下，如果共谋攻击成功，N-1个用户需要在协议结束之前获得P _t的密钥K _t，具体描述为，TP发送量子序列S _t+1给用户P _t+1，然后其他N-2个用户依次进行窃听检测操作而不进行任何信息编码操作。当P _t-1接收到用户P _t-2发送来的量子序列S _t+1，他将

编码到序列S _t+1，并安全发送给P _t。通过协议过程，可以计算，P _t获得的共享密钥为K'。其中K'为N-1个共谋用户控制的密钥。

然而，在协议过程中P _t的密钥K _t不会泄露给任何人。主要原因在于TP制备初始量子态，并且他不会与任何参与者共谋，共谋者想要获得P _t的密钥K _t，唯一的方法就是通过测量量子信道。然而利用诱骗量子态检测技术，任何的测量窃听行为都会被合法用户检测到。因此该攻击不可行，协议可安全抵抗内部攻击者。

(3)TP攻击：TP试图获取参与者的共享密钥

由于在该半诚实模型下，TP不会与任何参与者共谋。因此，TP可看做一个能力更强的外部攻击者。前面已经对外部攻击作出分析，我们知道，任何外部攻击者的攻击行为都将被检测到。因此TP的攻击也将被极大的概率被发现。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1. 一种可抗共谋的量子密钥协商方法，其特征在于，包括第三方交互端和N个协商交互端P _i，0≤i≤N-1，每个协商交互端的秘密信息分别为K ₀,K ₁,...,k _N-1∈{0,1} ^m，m为量子比特个数，P _i在密钥协商过程中，下标为modN运算，协商方法包括如下：步骤S1、第三方交互端制备N个量子序列{S ₀,...,S _N-1}，称为消息序列，每个消息序列S _i包含m个有序的量子比特，第三方交互端将每个S _i对应发送给相应的P _i；

   步骤S2、第一轮循环：P _i将自己的秘密信息K _i根据编码规则编码到消息序列S _i中，同时P _i随机产生m个量子诱骗态，并将其随机插入到编码后的消息序列中，得到新的序列

   

   P _i发送

   

   给P _i+1；

   步骤S3、窃听检测：P _i+1与P _i根据

   

   及所述诱骗态的初始量子态信息进行信道安全检测，若判断为安全则执行步骤S4，否则返回步骤S1；

   步骤S4、第二轮循环：P _i+1将收到的

   

   去除诱骗态，得到经P _i编码后的消息序列，P _i+1根据所述编码规则将自己的秘密信息K _i+1编码到经P _i编码后的消息序列中，并随机制备m个量子诱骗态，然后将其插入到经P _i+1编码后的消息序列中，得到新的消息序列

   

   P _i+1发送

   

   给P _i+2；

   步骤S5、窃听检测：P _i+2与P _i+1根据

   

   及P _i+1制备的所述诱骗态的初始量子态信息进行信道安全检测，若判断为安全则执行同步骤S4的下一个循环，直到完成第N轮循环，否则返回步骤S1；

   步骤S6、第三方交互端发送每个消息序列S _i中每个量子比特所在的量子基信息给P _i-1，每一个协商交互端P _i-1根据所述量子基信息对消息序列S _i进行测量，得到消息序列

   

   据此，P _i-1计算出最终的协商密钥为

   

   P _i遍历所 有的0≤i≤N-1，均计算出所述最终的协商密钥。
2. 如权利要求1所述的可抗共谋的量子密钥协商方法，其特征在于，在所述步骤S1和所述步骤S2之间还包括：对P _i与第三方交互端之间的信道进行安全检测。
3. 如权利要求2所述的可抗共谋的量子密钥协商方法，其特征在于，所述对P _i与第三方交互端之间的信道进行安全检测的方法包括：

   第三方交互端制备N个诱骗态序列，{C ₀,...,C _N-1}，每个诱骗态序列C _i分别包含m个有序的量子比特，第三方交互端将诱骗态序列C _i随机地插入到消息序列S _i中，得到新的序列S _i'，并将S _i'发送给P _i，然后向P _i公开S _i'序列中C _i的位置以及其所在的量子基，P _i对S _i'序列中的C _i量子态在相应的量子基下进行测量，然后向第三方交互端随机公开一半的测量结果，第三方交互端向P _i公开另一半C _i的初始量子态信息，P _i与第三方交互端根据测量结果及初始量子态信息对信道进行安全检测。
4. 如权利要求3所述的可抗共谋的量子密钥协商方法，其特征在于，诱骗态序列C _i中，每个量子比特随机的从{|+y>,|-y>,|+>,|->}选取；其中|+y>,|-y>,|+>,|->表示不同的量子态，

   

   
5. 如权利要求1所述的可抗共谋的量子密钥协商方法，其特征在于，在所述步骤S2中，所述编码规则为：

   当K _i的第j∈{1,...,m}位比特为0，则对消息序列S _i的第j位量子态执行酉操作I＝|0><0|+|1><1|；当K _i的第j∈{1,...,m}位比特为1，那么对消息序列S _i的第j位量子态执行酉操作U＝|0><1|-|1><0|。
6. 如权利要求1所述的可抗共谋的量子密钥协商方法，其特征 在于，所述步骤S3包括：P _i向P _i+1公开每个

   

   序列中诱骗态的位置及其所在的量子基，P _i+1对

   

   序列中的诱骗态在相应的量子基下进行测量，并随机公开一半的测量结果给P _i，然后P _i公开另一半诱骗态的初始量子态信息给P _i+1，P _i与P _i+1根据测量结果及初始量子态信息对信道进行安全检测。
7. 如权利要求1-6任一所述的可抗共谋的量子密钥协商方法，其特征在于，消息序列S _i中，每个量子比特从{|0>,|1>,|+>,|->}中选取，其中|0>,|1>,|+>,|->表示不同的量子态，|0>,|1>相互正交，

   
8. 一种计算机终端，其特征在于，用于N个协商交互端进行多方量子密钥协商，所述计算机终端包括：处理器、与处理器通信连接的存储器，所述存储器存储有计算机程序，所述处理器调用所述计算机程序时实现如权利要求1-7任一项所述的可抗共谋的量子密钥协商方法。
9. 一种存储装置，其特征在于，用于N个协商交互端进行多方量子密钥协商，所述存储装置存储有计算机程序，所述计算机程序被执行时实现如权利要求1-7任一项所述的可抗共谋的量子密钥协商方法。