一种新的高效信息传输协议

胡光平 张金全 张仕斌 江英华

（1.成都信息工程大学网络空间安全学院，四川 成都 610225；2.西藏民族大学信息工程学院，陕西 咸阳 712082）

0 引言

当前网络信息的安全性依赖于传统数学复杂性的加密体系，即对称密码加密和非对称密码加密体系。虽然这2种加密体系能够解决一定的信息安全性问题，但是这2种加密体系却面临各自的难题。对称密码加密体系面临如何安全有效地进行密钥分发的问题，因为密钥的传输需要安全性，如果信息不是很长的话，传输密钥与传输信息在难度上并没很大差别；非对称密码加密体系面临难题是，随着当今计算机算力的快速提升和分布式计算的快速发展，特别是量子计算机的发展，依靠数学计算复杂度的加密体系在技术和理论层面上面临被破解的风险。随着算力增强与进步，密码算法的安全性必须满足更高的实际应用要求。这时研究者们必须另辟蹊径，找到更加安全可靠的加密方式——量子密码学。

基于以上的原因，该文根据量子力学中三粒子最大纠缠态（GHZ态）的物理纠缠特性设计了一种高效量子身份认证协议。该协议提高了秘密信息的传输效率，达到2 bits/q，因此协议具有高效信息传输的功能。

1 基础知识

量子通信协议指的是使用量子加密体系的通信协议。从Bennett和Brassard联合发布了BB84协议起，量子通信协议在其基础上得到了快速发展。BB84协议作为量子通信领域的开端，被无数后来者大量研究，并且多次被证明是安全可靠的，因此成为量子通信领域的重要参考。从此以后，很多学者以此为参考提出了多种协议，如B92协议、EPR协议等应用于不同场景的量子通信协议。但是无论是BB84协议、B92协议，还是EPR协议等，都是单向传输通信协议，即都是由信息的发送方向信息的接收方发送信息。如果要实现秘密信息的双向传输，就需要发送方与接收方互换身份重新再执行一遍协议。这样的通信协议在秘密信息的传递效率上并不是很高。

基于以上原因，该文根据量子力学中三粒子最大纠缠态（GHZ态）的物理纠缠特性设计了一种高效量子身份认证协议，结合Pauli矩阵将秘密信息加载在GHZ态粒子上，在半可信第三方TP（Trust Part）的协助下完成高效的量子身份认证。该协议引入第三方，使通信双方在互不接触的情况下完成身份认证，提高了秘密信息的传输效率。通过对协议进行可行性分析，表明了协议能够正确执行设定。通过对安全性进行分析，表明了协议能够抵御截获重发攻击、纠缠攻击、第三方攻击和参与者攻击。而效率分析表明该协议比经典的量子通信协议的量子信息传输效率更高，达到2 bits/q，因此该协议具有高效信息传输的功能。

该协议将三粒子GHZ态和单光子作为基础量子粒子，其中GHZ态是三粒子的最大纠缠态，有8种表达形式，如公式（1）所示。

Pauli矩阵描述磁场和自旋之间相互作用的一项有4种表达形式，如公式（2）所示。

单光子的偏振态有2种表示方式，如公式（3）所示。

2 协议描述

第三步，Alice先根据TP公布的内容丢弃中的诱惑粒子，然后将自己的身份信息（该信息是一个二进制序列）通过相应的Pauli矩阵逐位进行操作（具体操作见表1），形成新的量子序列'，=σS（=00，01，10，11），然后按手中粒子序列的顺序逐位公布自己所使用的Pauli操作。

表1 值与矩阵的对应关系

第四步，同理Bob也将自己的身份信息通过Pauli矩阵加载到上得到'。

第五步，Alice、Bob分别将诱惑粒子随机插入S'、S'中形成新的粒子序列并发送给TP，TP在对所有粒子接收完毕后告知各用户。Alice、Bob公布诱惑粒子的位置及制备所用基，进行第二次窃听检测。TP根据公布的位置和基分别将2个序列中的诱惑粒子提取出来进行测量，然后与用户进行错误率的比对。如果低于阈值则无窃听，协议进行下一步；否则协议终止。（因TP是半可信第三方，由Alice、Bob进行误差对比，判断是否有窃听；如果TP可信，则Alice、Bob可直接公布诱惑粒子位置及状态，由TP来进行窃听检测并判断其是否进行后续操作。）

第六步，TP根据上一步各用户公布的信息丢弃'、'中的诱惑粒子，再将'、'和中相同位置的3个粒子按顺序提取出来做联合测量，在测量完所有粒子之后，公布测量结果序列（序列由、、、、、和组合而成）。

第七步，Alice和Bob根据TP公布的联合测量结果以及自己使用的Pauli矩阵推出对方的Pauli矩阵，最后得出对方的k值，进而完成身份认证。

3 协议分析

3.1 可行性分析

3.2 对TP安全性的分析

第三方TP的安全性分析如下。协议中第三方TP为半可信第三方，因此要确保协议设计中第三方TP无法从获得信息中掌握到交换信息双方任何一方的秘密信息。在TP涉及的上述第1个步骤中，TP负责制备初始态GHZ态粒子。因为GHZ态粒子是在发送给Alice、Bob后由各用户通过Pauli矩阵操作后才携带秘密信息的，所以在GHZ的初始态并不含有任何秘密信息，因此在涉及的第1个步骤中，TP无法获得任何秘密信息。

而在TP涉及的第2个步骤中，在新的GHZ态纠缠粒子对中，第一个粒子包括合法用户Alice的2bit私密身份信息，第二个粒子包括合法用户Bob的2bit私密身份信息。若半可信第三方TP试图窃取秘密信息，对该新的量子对，半可信第三方TP有2种策略。

策略一：TP对收到的'、'分别单独进行量子态的测量。单独测量其中一个粒子，由量子对物理特性可知，他无法获得任何有效信息。

策略二：TP对量子对进行联合测量，由GHZ纠缠状态可知，联合测量结果加上合法用户手中其中一个秘密信息才能解出完整秘密信息，例如协议中在知道TP测量结果与Alice相关信息的前提下，作为合法用户的Bob可以获得完整信息，因为他们可以根据GHZ纠缠状态推测出正确情况。TP在不知道Alice和Bob的Pauli操作的前提下对两者秘密信息无从得知，TP仍然无法获得任何有效信息。

3.3 中间人攻击/截获重发攻击

中间人攻击/截获重发攻击即假设在协议执行过程中，存在一个外部窃听者Eve，他打算使用单光子检测法对量子序列进行测量，进而得到合法用户的身份信息。

由于这2个过程都发生在量子信道传输过程中，TP和合法用户在发送量子态序列时都随机加入了诱惑粒子，因此当Eve选择了错误的测量基对窃听检测粒子进行测量或者选错了测量位置测量之后，诱惑粒子会因为测量而塌缩，导致错误率结果高于阈值，进而可以发现窃听行为的存在。因此这种中间人攻击或者截获重发攻击的策略在该协议中是不会奏效的。

在该协议中，窃听者Eve在协议执行过程中有2次机会从量子信道中截获包括身份信息的量子序列，一次是在协议最开始，半可信第三方TP发送初始量子序列给合法用户时；另一次是合法用户将携带秘密信息的新的量子序列返还给半可信第三方TP时。

3.4 纠缠攻击

假设在协议执行过程中存在一个外部窃听者Eve，他打算使用纠缠粒子对量子序列进行纠缠，进而得到合法用户的身份信息。假设Eve对其中一名合法用户进行纠缠攻击，即Eve先截获量子序列，并对这些包括身份认证信息的量子序列进行幺正操作E。

当误码率没有提高时，量子序列中粒子只能是与Eve的纠缠粒子的直积态。由量子的物理特性（即量子不可克隆）可知，直积态的粒子与量子序列中的粒子不存在没关联性，会导致窃听者无法准确测量到包括信息的量子序列，进而无法获得k值，由此证明纠缠攻击是不会奏效的。

3.5 量子序列中编码效率分析

根据信息论中的信息携带效率相关内容，将量子序列中粒子携带的效率设为，该效率的定义如公式（5）所示。

式中：b为有效信息的比特数；q为量子比特数；b为经典比特数。

在协议执行的过程中，窃听检测粒子相对携带信息的粒子而言是非常少的，且由于窃听检测都是随机加入数量不确定的单光子，因此可以在效率计算时忽略不计。该协议中传输效率如公式（6）所示。

传统的身份认证协议中，由于没有Pauli矩阵与纠缠粒子的结合，因此粒子的使用效率无法突破1。在该协议中因用到了量子密集编码的知识，使粒子使用效率可以突破1。在协议第四步中，Bob与Alice每发送一个量子态对应4种Pauli操作，因此可以携带2 bit的经典信息，则该方案中量子序列携带的经典信息由计算公式（6）可知，一个单粒子携带2 Bit经典信息。与传统量子通信协议相比，该协议在粒子传输过程中携带的有效信息更多。

4 结语

该文介绍了经典密码算法面临的挑战，引出了一些量子通信协议，并分析了这些协议面临传输效率可以进一步提升的空间。在考虑效率问题的基础上，设计了一种基于三粒子GHZ态的高效量子身份认证协议。

该协议利用三粒子GHZ态之间的纠缠特性，通过Pauli操作加载秘密身份信息到GHZ态上的量子序列中，通过半可信第三方的联合测量，完成2名合法用户的身份认证。协议可行性分析表明，该协议能够实现身份认证的功能。协议安全性分析表明，该协议能够抵御中间人攻击、纠缠攻击及参与者攻击。对第三方的安全分析表明，该协议只需要第三方是半可信就可以保证协议的安全性。可以看出该协议并没有过分依赖第三方，通信双方的信息身份认证的安全性更高。

粒子的使用效率分析表明，该协议由于运用到Pauli操作，使每量子态可以表示2 bit经典信息，成功突破了量子态利用率为1的限制，因此与其他通信协议相比，其是一种新的高效身份认证协议。该协议比普通的量子身份认证协议在粒子携带的量子信息传输方面更具有高效性。