适用于量子Email的基于两光子纠缠态的量子认证加密协议

摘要

本发明提出一个适用于量子Email的基于两光子纠缠态的量子认证加密协议。两个通信者Alice和Bob事先共享两个用于决定两光子纠缠态制备的私钥。发送者Alice以一步量子传输的方式将编码了她的经典比特的两光子纠缠态序列发送给接收者Bob。在接收到编码的量子态序列后，Bob利用两光子联合测量解码出Alice的经典比特并在单向哈希函数的帮助下认证Alice的秘密的完整性。本发明的协议只使用一步量子传输，并且既不需要一次公开讨论也不需要一个可信的第三方。因此，本发明的协议可适用于量子E-mail等只要求接收者处于线下的情形。本发明的协议在单向哈希函数的帮助下使消息认证精确到1比特水平。而且，本发明的协议的信息论效率高达100％。

说明书

技术领域

本发明涉及量子安全通信领域。本发明设计一种适用于量子Email的基于两光子纠缠态的量子认证加密协议，将量子通信协议应用于只要求接收者处于线下的情形。

背景技术

量子密码是量子信息处理的一个最重要的应用之一，可被划分为量子密钥分配(Quantum Key Distribution，QKD)[1-5]、量子秘密共享(Quantum SecretSharing，QSS)[6-10]、量子安全直接通信(Quantum Secure DirectCommunication，QSDC)[11-19]等。众所周知，认证是一种确保所传送信息的完整性的有效方式，可被吸收进经典密码和量子密码。根据认证的使用，量子密码协议可被划分为两类，即不带认证功能的和带认证功能的。例如，文献[1-19]的量子密码协议总是假设存在认证经典信道以致于它们不具有认证功能。与它们不同的是，文献[20-29]的量子密码协议没有假设存在认证经典信道，需要首先完成认证过程。文献[20-28]的所有协议需要在经典信道进行公开讨论，这要求接收者必须在线。更复杂的是，文献[20-22]的每个协议需要一个称为认证者的可信第三方。幸运的是，在2011年，Tsai等[29]利用旋转操作提出一个既不需要一次公开讨论又不需要可信第三方的单向量子认证安全通信协议。在这个协议中，发送者以一步量子传送的方式将她的消息发送给接收者。这个协议不需要接收者在线。然而，当一个窃听者Eve发起攻击修改一个消息量子比特时，她能够以1/2的概率逃避检测。受Tsai等的协议[29]的启发，Hwang等[30]首次提出一个称为量子认证加密的全新的概念，它实质上是适用于线下接收者的一步认证量子安全直接通信。量子认证加密的巨大亮点在于以下几个方面[30]：

(1)它只需要一步量子传送；

(2)它提供消息保密和身份认证；

(3)它使消息认证精确到1比特水平，即对被传送的消息的1比特修改将引发一个100％的检测概率；

(4)它不需要一个可信第三方；

(5)它不需要一个经典信道。

这些亮点使得通过量子信道进行的适用于线下接收者的许多应用成为可能，比如量子E-mail[30]。

基于以上分析，本发明提出一个适用于量子Email的基于两光子纠缠态的量子认证加密协议。与文献[30]的协议类似，两个通信者Alice和Bob事先共享两个用于决定两光子纠缠态制备的私钥。发送者Alice以一步量子传输的方式将编码了她的经典比特的两光子纠缠态序列发送给接收者Bob。在接收到编码的量子态序列后，Bob利用两光子联合测量解码出Alice的经典比特并在单向哈希函数的帮助下认证Alice的秘密的完整性。本发明的协议只使用一步量子传输，并且既不需要一次公开讨论也不需要一个可信的第三方。因此，本发明的协议可适用于量子E-mail等只要求接收者处于线下的情形。本发明的协议在单向哈希函数的帮助下使消息认证精确到1比特水平。而且，本发明的协议的信息论效率高达100％。

参考文献

[1]Bennett C H，Brassard G.Quantum cryptography：public-key distribution andcoin tossing.In：Proceedings of the IEEE International Conference onComputers，Systems and Signal Processing.Bangalore：IEEE Press，1984，175-179.

[2]Ekert A K.Quantum cryptography based on Bell′s theorem.Phys Rev Lett，1991，67(6)：661-663.

[3]Bennett C H，Brassard G，Mermin N D.Quantum cryptography without Belltheorem.Phys Rev Lett，1992，68：557-559.

[4]Cabello A.Quantum key distribution in the Holevo limit.Phys Rev Lett，2000，85：5635.

[5]Deng F G，Long G L.Controlled order rearrangement encryption for quantumkey distribution.Phys Rev A，2003，68：042315.

[6]Hillery M，Buzek V，Berthiaume A.Quantum secret sharing.Phys Rev A，1999，59：1829-1834.

[7]Karlsson A，Koashi M，Imoto N.Quantum entanglement for secret sharing andsecret splitting.Phys Rev A，1999，59：162-168.

[8]Xiao L，Long G L，Deng F G，Pan J W.Efficient multiparty quantum-secret-sharing schemes.Phys Rev A，2004，69：052307.

[9]Hao L，Li J L，Long G L.Eavesdropping in a quantum secret sharing protocolbased on Grover algorithm and its solution.Sci China Ser G-Phys Mech Astron，2010，53(3)：491-495.

[10]Hao L，Wang C，Long G L.Quantum secret sharing protocol with four stateGrover algorithm and its proof-of-principle experimental demonstration.OptCommun，2011，284：3639-3642.

[11]Long G L，Liu X S.Theoretically effiicient high-capacity quantum-key-distribution scheme.Phys Rev A，2002，65：032302.

[12]Bostrom K，Felbinger T.Deterministic secure direct communication usingentanglement.Phys Rev Lett，2002，89：187902.

[13]Deng F G，Long G L，Liu X S.Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A，2003，68：042317.

[14]Deng F G，Long G L.Secure direct communication with a quantum one-timepad.Phys Rev A，2004，69：052319.

[15]Wang C，Deng F G，Li Y S，Liu X S，Long G L.Quantum secure directcommunication with high-dimension quantum superdense coding.Phys Rev A，2005，71：044305.

[16]Wang C，Deng F G，Long G L.Multi-step quantum secure directcommunication using multi-particle Green-Horne-Zeilinger state.Opt Commun，2005，253(1-3)：15-20.

[17]Chen X B，Wen Q Y，Guo F Z，Sun Y，Xu G，Zhu F C.Controlled quantumsecure direct communication with W state.Int J Quant Inform，2008，6(4)：899-906.

[18]Gu B，Huang Y G，Fang X，Zhang C Y.A two-step quantum secure directcommunication protocol with hyperentanglement.Chin Phys B，2011，20(10)：100309.

[19]Liu D，Chen J L，Jiang W.High-capacity quantum secure directcommunication with single photons in both polarization and spatial-modedegrees of freedom.Int J Theor Phys，2012，51：2923-2929.

[20]Lee H，Lim J，Yang H.Quantum direct communication with authentication.Phys Rev A，2006，73：042305.

[21]Zhang Z J，Liu J，Wang D，Shi S H.Comment on“Quantum directcommunication with authentication”.Phys Rev A，2007，75：026301.

[22]Yen C A，Horng S J，Goan H S，Kao T W，Chou Y H.Quantum directcommunication with mutual authentication.Quantum Inf Comput，2009，9：376-394.

[23]Liu W J，Chen H W，Li Z Q，Liu Z H.Effi cient quantum secure directcommunication with authentication.Chin Phys Lett，2008，25：2354-2357.

[24]Wang M J，Pan W.Quantum secure direct communication based onauthentication.Chin Phys Lett，2008，25：3860-3863.

[25]Yang J，Wang C A，Zhang R.Quantum secure direct communication withauthentication expansion using single photons.Commun Theor Phys，2010，54：829-834.

[26]Yang Y G，Jia X，Xia J，Shi L，Zhang H.Comment on“Quantum secure directcommunication with authentication expansion using single photons”.Int JTheor Phys，2012，51：3681-3687.

[27]Liu D，Pei C X，Quan D X，Zhao N.A new quantum secure directcommunication scheme with authentication.Chin Phys Lett，2010，27：050306.

[28]Gao F，Qin S J，Guo F Z，Wen Q Y.Cryptanalysis of quantum secure directcommunication and authentication scheme via Bell states.Chin Phys Lett，2011，28：020303.

[29]Tsai C W，Wei T S，Hwang T.One-way quantum authenticated securecommunication using rotation operation.Commun Theor Phys，2011，56：1023-1026.

[30]Hwang T，Luo Y P，Yang C W，Lin T H.Quantum authencryption：one-stepauthenticated quantum secure direct communications for off-line communicants.Quantum InfProcess，2014，13：925-933.

[31]Yin X R，Ma W P，Liu W Y，Shen D S.Efficient bidirectional quantum securecommunication with two-photon entanglement.Quantum Inf Process，2013，12：3093-3102.

[32]Shannon C E.Communication theory of secrecy system.Bell System Tech J，1949，28：656-715.

发明内容

本发明的目的是设计一种适用于量子Email的基于两光子纠缠态的量子认证加密协议，将量子通信协议应用于只要求接收者处于线下的情形。

一种适用于量子Email的基于两光子纠缠态的量子认证加密协议，共包括以下五个过程：

S1)制备。Alice和Bob事先共享两个用于决定两光子纠缠态制备的私钥K_B和K_S。这里，K_B的长度为N比特，K_S的长度为2N比特。Alice根据K_B和K_S产生一个由N个两光子纠缠态{(A₁，B₁)，(A₂，B₂)，…，(A_t，B_t)，…，(A_N，B_N)}组成的量子态序列L。也就是：如果

$>(A_t,B_t)=\left(\begin{array}{ccc}|{\phi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=00;\\ |{\phi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=01;\\ |{\psi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=10;\\ |{\psi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=11.\end{array}\right);$>

反之，

$>(A_t,B_t)=\left(\begin{array}{ccc}|{\Phi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=00;\\ |{\Phi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=01;\\ |{\Psi }^{+}>& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=10;\\ |{\Psi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=11.\end{array}\right).$>

这里，是K_B的第t比特，是K_S的第2t-1和第2t比特，其中t∈{1，2，…，N}。

S2)Alice的编码。Alice的2N个经典比特

{(i₁，j₁)(i₂，j₂)…(i_t，j_t)…(i_N，j_N)}表示为M＝m_A||h(m_A)，其中m_A是她的秘密，h(m_A)是m_A的哈希值。这里，“||”代表“联结”操作且i_t，j_t∈{0，1}，其中t∈{1，2，…，N}。为了编码她的M中的两比特(i_t，j_t)，Alice对第t个两光子纠缠态(A_t，B_t)中的B_t施加酉操作其中t∈{1，2，…，N}。这样，L被转变为L′，其中$>L^{\prime }=\{(A_1,U_{i_1{j}_1}{B}_1),(A_2,U_{i_2{j}_2}{B}_2),...,(A_t,U_{i_t{j}_t}{B}_t),...,(A_N,U_{i_N{j}_N}{B}_N)\}.$>

S3)Alice的传送。Alice通过一个量子信道将L′发送给Bob。

S4)Bob的解码。根据Bob从MB₁＝{|φ^±>，|ψ^±>}和MB₂＝{|Φ^±>，|Ψ^±>}选择正确的测量基测量L′中的第t个两光子纠缠态由于Bob从和可以知道Alice制备(A_t，B_t)的初态，他能容易地从他的测量结果中推导出(i_t，j_t)。Bob手中解码出的经典比特被表示为M′＝m′_A||h′(m_A)。

S5)Bob的认证。为了探测一个窃听者Eve的存在性，Bob计算m′_A的哈希值从而得到h(m′_A)。然后，他将h(m′_A)与h′(m_A)进行对比。如果它们是一样的，Bob接受m′_A为从Alice发送过来的没经过任何修改的真正的m_A；否则，他们放弃通信并从头开始。

本发明提出一种适用于量子Email的基于两光子纠缠态的量子认证加密协议。两个通信者Alice和Bob事先共享两个用于决定两光子纠缠态制备的私钥。发送者Alice以一步量子传输的方式将编码了她的经典比特的两光子纠缠态序列发送给接收者Bob。在接收到编码的量子态序列后，Bob利用两光子联合测量解码出Alice的经典比特并在单向哈希函数的帮助下认证Alice的秘密的完整性。本发明的协议只使用一步量子传输，并且既不需要一次公开讨论也不需要一个可信的第三方。因此，本发明的协议可适用于量子E-mail等只要求接收者处于线下的情形。本发明的协议在单向哈希函数的帮助下使消息认证精确到1比特水平。而且，本发明的协议的信息论效率高达100％。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、两光子纠缠态之间的转换关系

众所周知，四个Bell态可被描述为

$>|{\phi }^{+}>=\frac{1}{\sqrt{2}}\left(\right|00>+|11>)=\frac{1}{\sqrt{2}}\left(\right|+>|+>+|->|->),---\left(1\right)$>

$>|{\phi }^{-}>=\frac{1}{\sqrt{2}}\left(\right|00>-|11>)=\frac{1}{\sqrt{2}}\left(\right|+>|->+|->|+>),---\left(2\right)$>

$>|{\psi }^{+}>=\frac{1}{\sqrt{2}}\left(\right|01>+|10>)=\frac{1}{\sqrt{2}}\left(\right|+>|+>-|-|->|->),---\left(3\right)$>

$>|{\psi }^{-}>=\frac{1}{\sqrt{2}}\left(\right|01>+|10>)=\frac{1}{\sqrt{2}}\left(\right|+>|->-|->|+>),---\left(4\right)$>

其中显然，MB₁＝{|φ^±>，|ψ^±>}是上述四个Bell态的一组测量基。另一方面，四个酉操作可被描述为

I＝|0><0|+|1><1|，σ_x＝|0><1|+|1><0|，iσ_y＝|0><1|-|1><0|，σ_z＝|0><0|-|1><1|。

                                                             (5)

在四个酉操作中的一个被施加在第二个光子后，这四个Bell态在彼此间能被自由地进行转换，正如表1所归纳的那样。

表1任意两个Bell态之间的转换关系(列所在的量子态代表初态，行所在的量子态代表变换结果)

定义另四个两光子纠缠态为[31]

$>|{\Phi }^{\pm }>=\frac{1}{\sqrt{2}}\left(\right|+>|0>\pm i|->|1>),---\left(6\right)$>

$>|{\Psi }^{\pm }>=\frac{1}{\sqrt{2}}\left(\right|+>|1>\pm i|->\left|0\right).---\left(7\right)$>

显然，MB₂＝{|Φ^±>，|Ψ^±>}是上述四个两光子纠缠态的一组测量基。可以直接得到，MB₁和MB₂是非正交的。同样地，在四个酉操作中的一个被施加在第二个光子后，这四个两光子纠缠态在彼此间能被自由地进行转换，正如表2所归纳的那样[31]。

表2式(6，7)定义的任意两个两光子纠缠态之间的转换关系(列所在的量子态代表初态，行所在的量子态代表变换结果)

2、量子认证加密协议

假设Alice拥有表示为M＝m_A||h(m_A)的2N个经典比特{(i₁，j₁)(i₂，j₂)…(i_t，j_t)…(i_N，j_N)}，其中m_A是她的秘密，h(m_A)是m_A的哈希值。这里，“||”代表“联结”操作且i_t，j_t∈{0，1}，其中t∈{1，2，…，N}。而且，他们事先商定每个酉操作以如下方式代表一个经典两比特：

I→U₀₀，σ_x→U₀₁，iσ_y→U₁₀，σ_z→U₁₁，           (8)

其中每个下标为一个经典两比特。本发明提出的利用两光子纠缠态作为量子资源的量子认证加密协议由以下五个过程组成。与文献[30]的协议类似，在这个协议中，Alice和Bob被假设事先共享两个用于决定两光子纠缠态制备的私钥K_B和K_S。这里，K_B的长度为N比特，K_S的长度为2N比特。

S1)制备。Alice根据K_B和K_S产生一个由N个两光子纠缠态{(A₁，B₁)，(A₂，B₂)，…，(A_t，B_t)，…，(A_N，B_N)}组成的量子态序列L。也就是：如果$>K_B^t=0,$>

$>(A_t,B_t)=\left(\begin{array}{ccc}|{\phi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=00;\\ |{\phi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=01;\\ |{\psi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=10;\\ |{\psi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=11.\end{array}\right);---\left(9\right)$>

反之，

$>(A_t,B_t)=\left(\begin{array}{ccc}|{\Phi }^{+}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=00;\\ |{\Phi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=01;\\ |{\Psi }^{+}>& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=10;\\ |{\Psi }^{-}>,& \mathrm{if}& K_S^{2t-\mathrm{1,2}t}=11.\end{array}\right).---\left(10\right)$>

这里，是K_B的第t比特，是K_S的第2t-1和第2t比特，其中t∈{1，2，…，N}。

S2)Alice的编码。为了编码她的M中的两比特(i_t，j_t)，Alice对第t个两光子纠缠态(A_t，B_t)中的B_t施加酉操作其中t∈{1，2，…，N}。这样，L被转变为L′，其中

$>L^{\prime }=\{(A_1,U_{i_1{j}_1}{B}_1),(A_2,U_{i_2{j}_2}{B}_2),...,(A_t,U_{i_t{j}_t}{B}_t),...,(A_N,U_{i_N{j}_N}{B}_N)\}.$>

S3)Alice的传送。Alice通过一个量子信道将L′发送给Bob。

S4)Bob的解码。根据Bob从MB₁和MB₂选择正确的测量基测量L′中的第t个两光子纠缠态由于Bob从和可以知道Alice制备(A_t，B_t)的初态，根据表1和表2，他能容易地从他的测量结果中推导出(i_t，j_t)。Bob手中解码出的经典比特被表示为M′＝m′_A||h′(m_A)。

S5)Bob的认证。为了探测一个窃听者Eve的存在性，Bob计算m′_A的哈希值从而得到h(m′_A)。然后，他将h(m′_A)与h′(m_A)进行对比。如果它们是一样的，Bob接受m′_A为从Alice发送过来的没经过任何修改的真正的m_A；否则，他们放弃通信并从头开始。

在本发明的协议中，Alice在无需一次公开讨论或一个可信第三方的情况下通过一步量子传送的方式将编码了她的经典比特的两光子纠缠态序列发送给Bob。在接收到Alice发送过来的被编码过的序列后，Bob能够认证她的秘密的完整性。这就没必要要求Bob在线。换句话说，本发明的协议能适用于接收者处于线下的情形。可以得出结论，本发明的协议能被视为适用于一个线下接收者的无需可信第三方的一步认证量子安全直接通信协议。

有必要强调的是，如果不存在窃听行为，K_B和K_S可被重复使用。然而，在以下两种情形下，新的K_B和K_S应当事先被Alice和Bob共享：(1)Alice想再次发送相同的秘密；(2)一个窃听行为已经被检测到。[30]

3、安全性分析

(1)抗信息泄露的安全性

Eve希望通过截获和测量Alice发送过来的L′提取关于M的一些有用信息。然而，她因缺乏K_B和K_S不清楚Alice制备的L的初态，所以她得不到任何有用的信息。不失一般性，以她的测量结果是|φ⁺>为例。如果她猜测相应的初始态为|φ⁺>(|ψ⁺>、|ψ^->、|φ^->)，两经典比特将会是00(01、10、11)。也就是说，根据Shannon的信息论[32]，对于Eve来说，这个测量结果对应比特信息。因此，没有任何信息已经被泄露出去。

(2)抗扮演攻击的安全性

在这种攻击中，Eve扮演Alice将她的假的M发送给Bob。不失一般性，假设她尝试发送给Bob的两比特为00、和不清楚和Eve不得不先制备一个假的随机处于八个态{|φ^±>，|ψ^±>，|Φ^±>，|Ψ^±>}之一的两光子纠缠态|ε>，然后将它发送给Bob。如果她产生|ε>处于|φ⁺>，她能成功地将00发送给Bob；如果她产生|ε>处于三个态{|φ^->，|ψ^±>}之一，她将被Bob以一个100％的概率检测到；如果她产生|ε>处于四个态{|Φ^±>，|Ψ^±>}之一，她将以一定的概率被检测到。总之，如果N足够大，Eve的这种攻击能被确切地检测到。

(3)抗比特修改攻击的安全性

在这种攻击中，Eve截获从Alice发送过来的L′并对L′中的任一个两光子纠缠态随机施加三个酉操作{σ_x，iσ_y，σ_z}中的一个。然后，她将修改过的L′发送给Bob。幸运的是，由于h(m′_A)不再与h′(m_A)相等，Eve的这种攻击将被Bob以一个100％的概率检测到。其原因在于单向哈希函数的性质，即输入端的1比特错误能引发输出端巨大的变化[30]。

实施例：

1、量子认证加密协议应用举例

以第一个两光子纠缠态(A₁，B₁)作为一个具体的例子来进一步解释所提出的协议。假设和(i₁，j₁)＝01。相应地，(A₁，B₁)被Alice制备处于|ψ⁺>。这样，在Alice的酉操作σ_x后，(A₁，B₁)的状态被改变为|φ⁺>。然后，在从Alice接收到它后，根据Bob选择MB₁测量它。这样，根据表1，他能读出(i₁，j₁)＝01，因为他从和知道Alice制备的(A₁，B₁)的初态为|ψ⁺>。在解码出M′后，Bob通过对比h(m′_A)和h′(m_A)能认证m′_A的完整性。

2、讨论

(1)信息论效率

Cabello定义的信息论效率[4]为η＝b_s/(q_t+b_t)，其中b_s、q_t和b_t分别是期望收到的秘密比特数、所使用的量子比特数以及两个参与者之间交换的经典比特数。在本发明的协议中，(A_t，B_t)被用来从Alice向Bob传送(i_t，j_t)而无需任何通过经典信道进行的宣布。这样，b_s＝2、q_t＝2和b_t＝0。因此，本发明的协议的信息论效率为$>\eta =\frac{2}{2+0}\times 100\%=100\%.$>

(2)与之前的量子认证加密协议的对比

这里对本发明的协议与文献[30]的第一个量子认证加密协议进行详细的对比。对比结果被总结在表3中。从表3可以得出结论，本发明的协议在信道容量上胜过文献[30]的协议，但以量子资源和量子测量为代价。

表3本发明的协议与文献[30]的协议之间的对比结果

3、总结

本发明提出一个适用于量子Email的基于两光子纠缠态的量子认证加密协议。本发明的协议的执行过程为：两个通信者Alice和Bob事先共享两个用于决定两光子纠缠态制备的私钥。发送者Alice以一步量子传输的方式将编码了她的经典比特的两光子纠缠态序列发送给接收者Bob。在接收到编码的量子态序列后，Bob利用两光子联合测量解码出Alice的经典比特并在单向哈希函数的帮助下认证Alice的秘密的完整性。本发明的协议的亮点在于：

(1)它只使用一步量子传输，并且既不需要一次公开讨论也不需要一个可信的第三方。因此，它可适用于量子E-mail等只要求接收者处于线下的情形；

(2)它在单向哈希函数的帮助下使消息认证精确到1比特水平；

(3)它的信息论效率高达100％。