WO2021000329A1 - 一种多方量子秘钥协商方法、计算机终端及存储装置 - Google Patents

Abstract

一种多方量子密钥协商方法、计算机终端及存储装置，包括N个协商交互端，分别记为P i，每个P i各自制备一个信息编码态 |Φi+1 i>，以及窃听检测态；然后将所述信息编码态随机插入到所述窃听检测态中，得到新的量子态序列 Gi i，每个P i各自将得到的 Gi i发送给P i+1；P i+1与P i进行信道安全检测，完成第一轮循环，若判断信道安全则进行下一轮循环直到完成N轮循环，最后，所有协商交互端随机公布各自随机选择的数值，基于酉操作的性质，计算得到N个交互端的秘密协商密钥。上述方案在单量子系统即可实现，利用超密编码技术提高了密钥生成效率，基于量子力学理论可以提供比经典秘钥协商更高的安全性，而且可以有效的保护参与方的公平性，防止恶意用户控制密钥的生成。

Description

一种多方量子秘钥协商方法、计算机终端及存储装置 技术领域

本发明属于量子密码学技术领域，尤其涉及一种多方量子密钥协商方法。

背景技术

密钥协商(key agreement,KA)是现代密码学的一个最基础、最核心的论题，它是建立密码系统机制的关键。一直以来密钥协商都是密码学的研究热点。它的目的是使得两方或多方能够安全地协商一个共享的会话密钥，该密钥将被用于密码系统的保密通信或安全计算。因此，密码系统的安全强度在很大程度上依赖于密钥协商的安全性。

经典的密钥协商方案需要一个专门的服务器来存储参与者的口令,结果攻击者就可通过服务器来获取参与者保存的口令。

因此，经典密钥协商存在很大的安全隐患。

技术问题

本发明所要解决的技术问题在于提供一种多方量子密钥协商方法，旨在解决经典密钥协商存在很大的安全隐患的问题。

技术解决方案

为解决上述技术问题，本发明是这样实现的，一种多方量子密钥协商方法，包括N个协商交互端，分别记为P _i，0≤i≤N-1，每个协商交互端的秘密信息分别为x ₀,x ₁,...,x _N-1∈{0,1,...,d-1}，d为奇素数，P _i在密钥协商过程中，下标为modN运算，协商方法包括如下：

一种多方量子密钥协商方法，其特征在于，包括N个协商交互端，分别记为P _i，0≤i≤N-1，每个协商交互端的秘密信息分别为x ₀,x ₁,...,x _N-1∈{0,1,...,d-1}，d为奇素数，P _i在密钥协商过程中，下标为modN运算，协商方法包括如下：

步骤S1、第一轮循环：每个P _i各自制备一个用于编码秘密信息的量子态|φ _i ⁱ>，称为信息编码态，以及用于检测信道安全的量子态序列，称为窃听检测态；将 所述信息编码态随机插入到所述窃听检测态中，得到新的量子态序列

每个协商交互端P _i各自将得到的

发送给下一个协商交互端P _i+1；

步骤S2、信道安全检测：下一个协商交互端P _i+1与上一个协商交互端P _i进行信道安全检测，若判断为安全则执行步骤S3，否则返回步骤S1；

步骤S3、第二轮循环：P _i+1将收到的

去除窃听检测态，得到信息编码态|φ _i ⁱ>，P _i+1随机取一个数值，并结合秘密信息x _i+1对|φ _i ⁱ>进行酉操作，得到新的信息编码态

并随机插入到窃听检测态中，得到新的量子态序列

P _i+1将

发送给下一个协商交互端P _i+2；

步骤S4、信道安全检测：下一个协商交互端P _i+2与上一个协商交互端P _i+1进行信道安全检查，若通过则执行同步骤S3的下一轮循环，直到完成第N轮循环，否则返回步骤S1；

步骤S5、所有协商交互端随机公布各自随机选择的数值，基于酉操作的性质，计算得到所述N个秘密协商密钥。

进一步地，所述步骤S1中，

其中，a _i,b _i∈{0,1,...,d-1}，表示集合M中第b _i组基的第a _i个向量，M表示d组基向量的集合，基的维度为d，M中的量子态分别为

ω＝e ^2πi/d，u＝0，1，...，d-1，表示每个基中向量的编码，v＝0,1,...,d-1表示每组基的编码。

进一步地，所述步骤S1中，所述窃听检测态为包含q个量子态的有序序列：

q>1。

进一步地，所述步骤S2包括：

步骤S21、P _i向P _i+1发送所述窃听检测态中各量子态在

中的位置信息以及相应的基信息d _g值，其中g∈{1,2,...,q}；

步骤S22、P _i+1根据所述位置信息以及所述d _g值对窃听检测态进行测量，并随机将其中一半的测量结果发送给P _i，P _i向P _i+1公开所述窃听检测态的另一半的 初始制备态信息；P _i与P _i+1通过比较测量结果与所述窃听检测态的初始制备态信息，来确定信道是否安全。

进一步地，所述测量结果与所述窃听检测态进行对比，若错误率小于预先设定的阈值，则判断为安全，否则判断为不安全。

进一步地，所述步骤S3中，所述P _i+1随机取一个数值，并结合秘密信息x _i+1对|φ _i ⁱ>进行酉操作，包括：

P _i+1随机取一个数值

对|φ _i ⁱ>施行酉操作

得到新的量子态为

其中x _i+1∈{0,1,...,d-1}是P _i+1输入的秘密信息，

进一步地，所述步骤S5包括：

步骤S51、N个协商交互端按照随机的顺序公布其随机选择的数值

对于所有的P _i，计算

J为计算结果；

步骤S52、基于计算结果J，P _i在基

下对接收到的信息编码态进行测量，测量结果为

将

编码为经典信息m，其中m∈{0,1,...,d-1}；

步骤S53、基于酉操作

的性质，计算得到

由此得到N个协商交互端的秘密协商密钥为：

一种计算机终端，用于N个协商交互端进行多方量子密钥协商，所述计算机终端包括：处理器、与处理器通信连接的存储器，所述存储器存储有计算机程序，所述处理器调用所述计算机程序时实现如上所述的多方量子密钥协商方法。

一种存储装置，用于N个协商交互端进行多方量子密钥协商，所述存储装置存储有计算机程序，所述计算机程序被执行时实现如上所述的多方量子密钥 协商方法。

有益效果

本发明与现有技术相比，有益效果在于：本发明的多方量子密钥协商方法具有以下优势：(1)本协议在单量子系统即可实现，它在可扩展性方面有巨大的优势，并且利用超密编码技术提高了密钥生成效率；(2)量子密钥协商基于量子力学理论可以提供比经典秘钥协商更高的安全性；(3)该密钥协商方案可以有效的保护用户的公平性，防止恶意用户控制密钥的生成。

本发明的实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明中多方在密钥协商过程中，假定经典信道与量子信道均已被认证，并且没有噪音和信息的丢失。N位参与方分别通过N个协商交互端P _i(0≤i≤N-1)，，进行密钥协商。假设每个协商交互端的秘密信息分别为x ₀,x ₁,...,x _N-1∈{0,1,...,d-1}，d为奇素数，参与者P _i在密钥协商过程中，下标为modN运算，即N位参与方在密钥协商过程中是按照顺序P _i→P _i+1→…→P _N-1→P _N-2→…→P _i-1→P _i依次进行协商。

本发明的多方量子密钥协商方法包括如下步骤S1-S5：

步骤S1、第一轮循环：每个P _i各自制备一个用于编码秘密信息的量子态|φ _i ⁱ>，称为信息编码态，以及用于检测信道安全的量子态序列，称为窃听检测态；将所述信息编码态随机插入到所述窃听检测态中，得到新的量子态序列

每个协商交互端P _i各自将得到的

发送给下一个协商交互端P _i+1。

具体的，对所有的i＝0,1,...,N-1，P _i随机的准备一个量子态

标记它为|φ _i ⁱ>，a _i,b _i∈{0,1,...,d-1}，表示集合M中第b _i组基的第a _i个向量，协议过程中P _i不泄露a _i和b _i的值给任何人。其中，M表示d组基向量的集合，基的 维度为d，M中的量子态分别为

ω＝e ^2πi/d，u＝0,1,...,d-1，表示每个基中向量的编码，v＝0,1,...,d-1表示每组基的编码。例如

表示第v组基的第u个向量。|φ _i ⁱ>在整个协议过程中用于编码参与者的秘密信息，称之为信息编码态。为了检测信道的安全性，需要额外的量子态，称之为窃听检测态。窃听检测态由P _i随机生成，其中包含q个有序的量子态，如

q>1，q的取值依赖于系统的安全性级别，q越大，安全级别越高。然后P _i将信息编码态随机的插入到有序的窃听检测态序列中，形成新的量子态序列

最后P _i将

发送给P _i+1。

步骤S2、信道安全检测：下一个协商交互端P _i+1与上一个协商交互端P _i进行信道安全检测，若判断为安全则执行步骤S3，否则返回步骤S1。

信道安全检测的一个具体实施例，包括如下步骤S21、步骤S22。

步骤S21、P _i向P _i+1发送所述窃听检测态中各量子态在

中的位置信息以及相应的基信息d _g值，其中g∈{1,2,...,q}。

步骤S22、P _i+1在根据所述位置信息以及所述d _g值对窃听检测态进行测量，并随机将其中一半的测量结果发送给P _i，P _i向P _i+1公开所述窃听检测态的另一半的初始制备态信息；P _i与P _i+1各自通过比较测量结果与所述窃听检测态的初始制备态信息，来确定信道是否安全。

具体的，当确定所有的P _i+1接收到

后，P _i向P _i+1告知q个检测态在

中的位置信息以及相应的q个d _g值，其中g∈{1,2,...,q}。P _i+1根据P _i的信息d _g，在相应的基下对窃听检测态进行测量，并记录测量结果。P _i+1随机将一半的测量结果告诉P _i，然后P _i公开另一半的初始制备态的信息。P _i与P _i+1通过测量结果以及初始时制备的窃听检测态的信息，分别对信道进行安全检测，计算出错误率。可事先设定一个错误率阈值，如果错误率超过该阈值，P _i与P _i+1确认信道有窃听，不安全，并终止此次通信，返回步骤S1，重新开始此协议。否则，判断为安全。

步骤S3、第二轮循环：P _i+1将收到的

去除窃听检测态，得到信息编码态|φ _i ⁱ>，P _i+1随机取一个数值，并结合秘密信息x _i+1对|φ _i ⁱ>进行酉操作，得到新的信息编码态

并随机插入到窃听检测态中，得到新的量子态序列

P _i+1将

发送给下一个协商交互端P _i+2。

具体的，在判断信道安全后，P _i+1将收到的

去除窃听检测态，得到信息编码态|φ _i ⁱ>。P _i+1随机的取一个数值

并对信息编码态|φ _i ⁱ>施行酉操作

形成新的量子态(编码态)为

其中x _i+1∈{0,1,...,d-1}是P _i+1的输入的秘密信息，

然后P _i+1随机的制备含q个量子态的窃听检测态，将编码后的信息编码态随机的插入到有序的窃听检测态序列中，形成新的量子态序列

最后P _i+1将

发送给P _i+2。P _i+1对随机制备的q个窃听检测态保密，不泄露给任何参与方。

步骤S4、信道安全检测：下一个协商交互端P _i+2与上一个协商交互端P _i+1进行信道安全检查，若通过则执行同步骤3的下一轮循环，直到完成第N轮循环，否则返回步骤S1。

具体是，当所有的P _i+2收到

后，P _i+1公开随机制备的q个检测态在

中的位置信息以及相应的的q个d _g的值。P _i+2根据P _i+1的信息d _g，在相应的基下对窃听检测态进行测量，并记录测量结果。P _i+2随机将一半的测量结果告诉P _i+1，然后P _i+1公开另一半的初始制备态的信息。P _i+1与P _i+2通过测量结果以及初始时制备的窃听检测态的信息，对信道进行安全检测，计算出错误率。如果错误率超过预先设定的阈值，P _i+1与P _i+2确认信道有窃听，并终止此次通信，返回到步骤S1，重新开始此协议。否则，P _i+2去除窃听检测态后，就得到了信息编码态

步骤S5、所有协商交互端按照随机的顺序公布各自随机选择的数值，基于酉操作的性质，计算得到所述N个的秘密协商密钥。

本发明提供了如下的计算N个秘密协商密钥的方法，包括步骤S51-S53。

步骤S51、P _i随机的选择P _n，n∈{0,1,...,N-1}，所有参与者公布其随机选择的数值

即N个协商交互端不需要按照前述的循环计算顺序进行公布，可以采用随机的顺序进行公布，P _i计算

J为计算结果。

步骤S52、根据计算结果J，P _i在基

下对接收到的信息编码态进行测量，测量结果为

然后将

编码为经典信息m，其中m∈{0,1,...,d-1}。

步骤S53、基于酉操作

的性质，计算得到

由此得到N个协商交互端的秘密协商密钥为：

本发明的技术方案对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机终端(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储装置包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

协议的正确性分析

如果所有参与者诚实执行协议，P _i,i∈{0,1,...,N-1}可正确的计算出最终的协商密钥。在上面的协议中，P _i准备的信息编码态为

P ₀,P ₁,...,P _N-1，每位参与者拥有的秘密信息分别为x ₀,x ₁,...,x _N-1∈{0,1,...,d-1}。N个参与者分别对信息编码态

实施酉操作之后，信息编码态变为

由以上可得到：

a _i+x ₀+...+x _N-1＝m mod d  (2)

也就是说，如果P _i在基

下测量，最终的消息编码态为

将测量结果编码为a _i+x ₀+...+x _N-1＝m mod d，最终P _i可以轻松的计算出最终的协商密钥为K＝x ₀+...+x _N-1＝(m-a)mod d。

协议的安全性分析

主要分析两种方式的攻击，一种是外部攻击：外部攻击者试图获取用户的最终协商密钥；一种是内部攻击：参与者试图控制最终的密钥生成。协商密钥参与者是一个特殊的内部攻击者，他拥有比外部攻击者更强的攻击能力。攻击分析过程如下：

(1)外部攻击

本协议中，为了检测外部攻击，任意两个用户信道之间，使用q个窃听检测态来检测攻击，该技术称为诱骗态技术。诱骗态技术是量子密码主要的检测窃听技术之一，该方法最早在BB84协议中被提出，并且该方法的安全性证明已经被证明。任何对量子信道的窃听行为，都将被检测到。利用该窃听检测技术，现在已有的各种攻击手段，如拦截重放攻击、测量重放攻击、纠缠测量攻击等，将全部无效。例如，假设攻击利用拦截重放技术攻击该协议。假设外部攻击者Eve试图获取参与者的秘密信息，她需要获取用于加密秘密信息的初始量子态信息和最终加密后的量子信息，从而来推断出加密过程所实施的酉操作。显然，该攻击方式注定失败。首先，Eve无法获取初始量子态的信息，该信息在整个 协议过程中一直保密。Eve可能试图拦截初始的数据态，而发送一些自己制备的量子态发送给接收方。然而这种方式在窃听检测阶段十分容易就被检测到。Eve制备的量子态与信道中传输的量子态完全一致的概率为1/d，那么检测过程中，Eve被检测到的概率为1-(1/d) ^q。当q足够大时，该概率趋向于1。因此，该协议可以有效的抵抗外部攻击者攻击。

(2)内部攻击：任意N-1个恶意的参与者共谋。

内部参与者比外部攻击者拥有更多的资源，可以通过在协议过程中说谎来获得经济利益。因此，所有的QKA协议必须可以抵抗内部攻击者的攻击。内部攻击者攻击可以分为两个过程：密钥窃取阶段和密钥翻转阶段。在密钥窃取阶段，内部共谋者可以获取其他合法用户的密钥异或信息。然后他们可以在密钥翻转阶段对最终的共享密钥进行控制，使得最终的共享秘钥不再由全体参与者共同公平的生成。之所以共谋者可以获得合法用户密钥的异或信息，在于共谋者生成初始量子态，并且共谋者共享该初始量子态的所有信息。有了初始态的信息，处于两个特殊位置的用户就可以顺利测量获得中间合法用户的密钥异或信息。

考虑最坏情况下，仅有一个诚实用户P _t,t∈{0,...,N-1}，其余N-1个用户共谋。在此情况下，如果共谋攻击成功，N-1个用户需要在协议结束之前获得P _t的密钥K _t，具体描述为，共谋者发送消息编码序列给用户P _t，P _t将自己的秘密信息和随机选取的y∈{0,1,...,d-1}编码到消息编码序列，然后将编码后的消息编码序列通过窃听检测技术发送给下一个用户，然后其他N-2个用户依次进行窃听检测操作而不进行任何信息编码操作。由于P _t没有公开自己的随机选取信息y，因此N-1个用户无法选择正确的测量基对信息编码态进行测量，正确选取测量基的概率为1/d，因此也无法得到任何关于P _t的秘密信息。也就说，P _t利用y对消息编码态进行了加密操作，密钥窃取攻击不再可行，协议可安全抵抗内部攻击者。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

协议效率分析

在本发明的协议中，假设d可以表示为N比特二进制数，为了生成LN长度的密钥，每个用户生成L个单量子态(信息编码态)，以及L个窃听检测态。由于信息编码态传输N次，所以每轮协议总共需要LN个窃听检测态。因为N个用户，需要N轮协议，所以总共需要N(L+LN)个量子态。为了解码最终的协商密钥，用户需要公布LN(N-1)经典比特。因此协议比特率可以计算得到，

而现有的量子密钥协商最高比特率为

因此，本发明的比特率得到了较大提升。

Claims (9)

1. 一种多方量子密钥协商方法，其特征在于，包括N个协商交互端，分别记为P _i，0≤i≤N-1，每个协商交互端的秘密信息分别为x ₀,x ₁,...,x _N-1∈{0,1,...,d-1}，d为奇素数，P _i在密钥协商过程中，下标为modN运算，协商方法包括如下：

   步骤S1、第一轮循环：每个P _i各自制备一个用于编码秘密信息的量子态

   

   称为信息编码态，以及用于检测信道安全的量子态序列，称为窃听检测态；将所述信息编码态随机插入到所述窃听检测态中，得到新的量子态序列

   

   每个协商交互端P _i各自将得到的

   

   发送给下一个协商交互端P _i+1；

   步骤S2、信道安全检测：下一个协商交互端P _i+1与上一个协商交互端P _i进行信道安全检测，若判断为安全则执行步骤S3，否则返回步骤S1；

   步骤S3、第二轮循环：P _i+1将收到的

   

   去除窃听检测态，得到信息编码态

   

   P _i+1随机取一个数值，并结合秘密信息x _i+1对

   

   进行酉操作，得到新的信息编码态

   

   并随机插入到窃听检测态中，得到新的量子态序列

   

   P _i+1将

   

   发送给下一个协商交互端P _i+2；

   步骤S4、信道安全检测：下一个协商交互端P _i+2与上一个协商交互端P _i+1进行信道安全检查，若通过则执行同步骤S3的下一轮循环，直到完成第N轮循环，否则返回步骤S1；

   步骤S5、所有协商交互端随机公布各自随机选择的数值，基于酉操作的性质，计算得到所述N个秘密协商密钥。
2. 如权利要求1所述的多方量子密钥协商方法，其特征在于，所述步骤S1中，

   

   其中，a _i,b _i∈{0,1,...,d-1}，表示集合M中第b _i组基的第a _i个向量，M表示d组基向量的集合，基的维度为d，M中的量子态分别为

   

   ω＝e ^2πi/d，u＝0,1,...,d-1，表示每个基中向量的编码，v＝0,1,...,d-1表示每组基的编码。
3. 如权利要求2所述的多方量子密钥协商方法，其特征在于，所述步骤S1中，所述窃听检测态为包含q个量子态的有序序列：

   

   q>1。
4. 如权利要求3所述的多方量子密钥协商方法，其特征在于，所述步骤S2包括：

   步骤S21、P _i向P _i+1发送所述窃听检测态中各量子态在

   

   中的位置信息以及相应的基信息d _g值，其中g∈{1,2,...,q}；

   步骤S22、P _i+1根据所述位置信息以及所述d _g值对窃听检测态进行测量，并随机将其中一半的测量结果发送给P _i，P _i向P _i+1公开所述窃听检测态的另一半的初始制备态信息；P _i与P _i+1通过比较测量结果与所述窃听检测态的初始制备态信息，来确定信道是否安全。
5. 如权利要求4所述的多方量子密钥协商方法，其特征在于，将所述测量结果与所述窃听检测态进行对比，若错误率小于预先设定的阈值，则判断为安全，否则判断为不安全。
6. 如权利要求4所述的多方量子密钥协商方法，其特征在于，所 述步骤S3中，所述P _i+1随机取一个数值，并结合秘密信息x _i+1对

   

   进行酉操作，包括：

   P _i+1随机取一个数值

   

   对

   

   施行酉操作

   

   得到新的量子态为

   

   其中x _i+1∈{0,1,...,d-1}是P _i+1输入的秘密信息，

   
7. 如权利要求6所述的多方量子密钥协商方法，其特征在于，所述步骤S5包括：

   步骤S51、N个协商交互端按照随机的顺序公布其随机选择的数值

   

   对于所有的P _i，计算

   

   J为计算结果；

   步骤S52、基于计算结果J，P _i在基

   

   下对接收到的信息编码态进行测量，测量结果为

   

   将

   

   编码为经典信息m，其中m∈{0,1,...,d-1}；

   步骤S53、基于酉操作

   

   的性质，计算得到

   

   由此得到N个协商交互端的秘密协商密钥为：

   
8. 一种计算机终端，其特征在于，用于N个协商交互端进行多方量子密钥协商，所述计算机终端包括：处理器、与处理器通信连接的存储器，所述存储器存储有计算机程序，所述处理器调用所述计算机程序时实现如权利要求1-7任一项所述的多方量子密钥协商方法。
9. 一种存储装置，其特征在于，用于N个协商交互端进行多方量子密钥协商，所述存储装置存储有计算机程序，所述计算机程序被执行时实现如权利要求1-7任一项所述的多方量子密钥协商方法。