1、第 39 卷第 2 期福建师范大学学报(自然科学版)Vol.39,No.2(2023 年 3 月)Journal of Fujian Normal University(Natural Science Edition)Mar.2023DOI:10.12046/j.issn.1000-5277.2023.02.005文章编号:1000-5277(2023)02-0041-08抗共谋攻击的多方量子密钥协商协议洪林建,王丽丽,张晓东(福建师范大学计算机与网络空间安全学院,福建 福州350117)摘要:Wang 等基于四量子比特对称 W 态提出/了多方量子密钥协商协议(MQKA2018W 协议),通过
2、分析和证明 MQKA2018W 协议的安全性,发现该协议无法抵抗参与者的共谋攻击,即 2 个不诚实的参与者可以通过共谋的方式窃取到其他诚实参与者的密钥信息 针对 MQKA2018W 协议中存在的这个安全性问题,可增加一个半可信的第三方服务器改进 MQKA2018W 协议,并提出一个能抵抗参与者共谋攻击的安全的多方量子密钥协商协议 综合分析表明,改进协议具有正确性、公平性和隐私性,且能安全抵抗内部攻击和外部攻击关键词:四量子比特对称 W 态;量子密钥协商;外部攻击;参与者攻击;共谋攻击中图分类号:TN918;O413文献标志码:A收稿日期:2022-06-24基金项目:国家自然科学基金资助项目(
3、62171131)通信作者:王丽丽(1986),女,讲师,博士,研究方向为量子密码 1054108065 Multiparty Quantum Key Agreement ProtocolAgainst Collusion AttacksHONG Linjian,WANG Lili,ZHANG Xiaodong(College of Computer and Cyber Security,Fujian Normal University,Fuzhou 350117,China)Abstract:Wang et al proposed the multiparty quantum key agr
4、eement protocol(MQ-KA2018W protocol)based on the four-qubit symmetric W state By analyzing and proving the secur-ity of MQKA2018W protocol,it has been found that the protocol cannot resist the collusion attack ofparticipants,that is,two dishonest participants can obtain the key information of other
5、honest partic-ipants through collusion To solve this security problem in the MQKA2018W protocol,a semi-trustedthird-party server can be added to improve the MQKA2018W protocol,and a secure multipartyquantum key agreement protocol that can resist collusion attacks of participants is proposed Compre-h
6、ensive analysis shows that the improved protocol has correctness,fairness and privacy and can safe-ly resist internal and external attacksKey words:four-qubit symmetric W state;quantum key agreement;external attack;partici-pant attack;collusion attack在信息化时代,保证各类信息的安全性至关重要 经典密码的安全性依赖于密钥算法的复杂度,随着量子计算机
7、思想的提出,经典密码体系面临一定的安全威胁,于是量子密码学应运而生 量子密码学是一门由经典密码学和量子力学交叉结合产生的学科,其安全性依赖于量子力学的基本原理,可实现理论上的不可破译和不可窃听 近年来,量子密码学发展迅速,已延伸出一系列的分支领域,如量子密钥分发 12、量子签名 34、量子安全直接通信 56 和量子密钥协商(quantum key agreement,QKA)等QKA 协议中,2 个或多个参与方基于量子力学原理共同协商得到一个经典的共享密钥,以实现参与方在后续通信中的安全会话 此外,QKA 协议应满足 4 个要求:(1)正确性,即每个参与者都能通过协商,得到正确的密钥;(2)公
8、平性,即每个参与者对最终密钥的贡献程度相同,即任何参与者都福 建 师 范 大 学 学 报(自 然 科 学 版)2023 年不能单独确定最终密钥;(3)隐私性,即所有参与者的子密钥必须保持机密性,只有参与者自己知道自己的子密钥;(4)安全性,即任何外部窃听者都不能在未被检测到的情况下得到任何协议中的密钥信息Zhou 等7 利用公共信道上的量子隐形传态技术提出了第一个 QKA 协议 同年,Hsueh 和 Chen8 基于最大量子纠缠态提出了一种新的两方量子密钥协商协议 但是,Tsai 等9 指出上述协议存在一定的安全问题:Zhou 等的协议无法抵抗参与者攻击,Hsueh 和 Chen 提出的协议在
9、 CNOT 攻击上存在缺陷,并且攻击者可以在不被发现的情况下获取共享密钥 从第一个 QKA 协议提出至今,已经有许多QKA 协议被提出 Chong 和 Hwang 等10 基于 BB84 协议提出了一个新的量子密钥协商协议,协议中的通信双方利用幺正操作和延迟测量技术共享最终密钥,并且实现了很高的量子比特效率 然而,这些协议都只考虑了两方的情况,没有涉及多方参与的情况 直至 Shi 等11 提出了首个多方量子密钥协商协议,该协议主要基于 Bell 态和 Bell 测量,并利用纠缠交换协商出共享密钥 但是,Liu 等12 指出Shi 等的协议存在安全问题:1 个不诚实的用户可以在不被其他用户发现的
10、情况下单独决定共享密钥,从而控制整个协议 对此,Liu 等基于单粒子态和单粒子测量提出了一个新的多方量子密钥协商协议,安全性分析表明该协议可以抵抗参与者的共谋攻击,但协议效率不理想 随后,Sun 等13 对 Liu 等的协议进行改进,通过引入 2 个额外的幺正操作,提高了协议的粒子效率,但改进协议不满足所描述的安全性,存在隐私性和公平性问题14 Zhu 等15 提出了基于两光子的三方量子密钥协商协议 同年,Sun16 等提出基于六粒子纠缠态的多方密钥协商协议 Cai 等17 利用五粒子 Brown 态提出了一个高效的多方密钥协商协议,每个参与者在自己的 Brown 态执行依次单比特幺正操作 同
11、年,Wang 等18 利用块传输技术和密集编码提出了一个基于四量子比特对称 W 态的多方密钥协商协议,即 MQ-KA2018W 协议,其论文中的安全性分析指出该协议可以抵御参与者攻击本文通过对 MQKA2018W 协议的安全性进行进一步分析和证明,发现该协议无法抵抗参与者的共谋攻击,即 2 个不诚实的参与者通过共谋攻击可以窃取到另 1 个诚实参与者的子密钥信息,且不会被检测到,不会引起协议的中断 针对该问题,本文通过增加一个半可信的第三方服务器,提出了一个改进的多方量子密钥协商协议,半可信第三方服务器 T 通过在参与者之间发送的量子态中增加验证量子态,来确保参与者无法共谋获取其他诚实参与者的私
12、钥信息,该协议可以解决 MQKA2018W协议中存在的安全性问题 此外,本文还对改进协议做了全面的综合分析 分析表明,该协议满足QKA 协议的正确性、公平性和隐私性要求,同时该协议是安全的,不仅可以抵抗参与者共谋攻击,还能抵抗其他攻击,比如截获重发攻击和纠缠测量攻击1预备知识和 MQKA2018W 协议的简要描述1.1预备知识四粒子对称 W 态的表示:|a1234=120001+0010+0100+1000()1234,下标 1、2、3、4 分别表示四粒子对称W 态的第 1 个、第 2 个、第 3 个、第 4 个粒子假设初始态为|a1234=120001+0010+0100+1000()123
13、4,对它的第3 个粒子和第4个粒子执行完酉操作 U0=00,U1=03,U2=10,U3=13后,可以得到以下量子态:|a1234=120001+0010+0100+1000()1234,|b1234=120000 00110101 1001()1234,|c1234=120011+0000+0110+1010()1234,24第 2 期洪林建,等:抗共谋攻击的多方量子密钥协商协议|d1234=120010 00010111 1011()1234,其中,酉操作 0、1、2、3可分别施加在第 3 个粒子和第 4 个粒子上 4 个 Pauli 门表示如下:0=I=|0 0|+|1 1|,1=X=|
14、0 1|+|1 0|,2=Z=|0 0|1 1|,3=iY=|0 1|1 0|,另外,定义|a1234、|b1234、|c1234和|d1234分别对应经典比特的 00、01、10 和 111.2MQKA2018W 协议的简要描述多方量子密钥协商中,m 个参与者 P1,P2,和 Pm想要共同协商出 1 个共享密钥 K 每个参与者 Pi(i 1,2,m)有 1 个比特串 Ki(i 1,2,m)作为子密钥 Ki的表示如下:K1=(K11,K21,Ks1,Kn1),Ki=(K1i,K2i,Ksi,Kni),Km=(K1m,K2m,Ksm,Knm),其中,Ksi 0,1 最终的共享密钥可以表示为:K=
15、K1 K2 KmMQKA2018W 协议的步骤描述如下:(1)每个参与者 Pi(i 1,2,m)准备一个序列|an21234,并将该序列分成 4 个子序列S1i,S2i,S3i和 S4i(i 1,2,m)Sli=(sl,1i,sl,2i,sl,ji,sl,n2i),其中,l=1,2,3,4;1 j n2;i=1,2,m,sl,ji表示Sli的第j个粒子 然后每个参与者从|0,|1,|+,|4 个 粒 子 里 随 机 选 择n2个 粒 子 作 为 诱 骗 粒 子其 中|+=120+1(),|=120 1()(2)每个参与者Pi将这些诱骗粒子随机插入到序列S3i和S4i中,得到新序列S3i和S4i
16、 统一表示为Stit=3,4;i=1,2,m()Pi接着对 Sti进行置乱操作 n2()Pi,得到 1 个新序列 Sti(t=3,4;i=1,2,m),并将该序列发送给 Pi+1(3)Pi+1收到序列 Sti后,向 Pi发送一个确认 Pi收到确认之后公布置乱操作 n2()Pi以及诱骗粒子的位置和对应的测量基 随后,Pi+1使用测量基对诱骗粒子进行测量,并随机公布一半测量结果,同时,Pi公布一半诱骗粒子的初始态 最后,Pi和 Pi+1比较公布测量结果和初始态是否一致 如果一致,则序列 S3i和 S4i是安全的,协议继续进行,否则协议中断(4)当所有的序列Stit=3,4;i=1,2,m()都是安全的,Pi+1对S3i的第j位s3,ji执行酉操作 k2j1i+1,对 S4i的第 j 位 s4,ji执行酉操作 3k2ji+1 k2j1i+1和 k2ji+1是从 Pi+1的子密钥 Ki+1中选择的,其中 j=1,2,n2 执行完操作之后,Pi+1可以得到新序列S3i,i+1和S4i,i+1 与第(2)步类似,Pi+1将诱骗粒子随机插入到 S3i,i+1和 S4i,i+1中,并执行置乱操作 随后