裴晓芳 江雷鸣 瞿治国

摘  要： 介绍连续变量GHZ态的纠缠特性，并提出利用量子隐形传态实现多方通信的方案。通过设定的保真度参数有效地验证用户身份，同时实现身份密钥的更新。详细的安全性分析表明，在受到拦截?重发攻击与分光镜攻击时，只需保证量子信道传输效率大于0.5且尽可能地增大连续变量GHZ态的压缩参数，就可以保障通信的安全性以及维持较高的信息传输速率。

关键词： 量子身份认证; 连续变量GHZ态; 量子隐形传态; 保真度参数计算; 拦截?重发攻击; 分光镜攻击; 安全性分析

中图分类号： TN918.1?34                        文献标识码： A                         文章编号： 1004?373X（2020）21?0012?05

Three?party quantum identity authentication based on continuous?variable GHZ state

PEI Xiaofang1， 2， JIANG Leiming3， QU Zhiguo4

（1. Binjiang College of Nanjing University of Information Science and Technology， Binjiang 214105， China;

2. Jiangsu Collaborative Innovation Center of Atmospheric Environment and Equipment Technology， Nanjing University of Information

Science and Technology， Nanjing 210044， China;

3. School of Electronic and Information Engineering， Nanjing University of Information Science and Technology， Nanjing 210044， China;

4. School of Computer and Software， Nanjing University of Information Science and Technology， Nanjing 210044， China）

Abstract： The entanglement property of continuous?variable GHZ state is introduced， and the scheme for realizing multi?party communication by quantum teleportation is proposed in this paper. Users identity is effectively verified and the identity key is updated by the given fidelity parameter. The detailed security analysis proves that， when the quantum channel transmission efficiency is greater than 0.5 and the compression factor of the continuous?variable GHZ state are increased as much as possible， the security of communication can be guaranteed and the higher quantum information transmission rate can be kept under intercepted?replay attack and spectroscopic attack.

Keywords： quantum identity authentication; continuous?variable GHZ state; quantum teleportation; fidelity parameter calculation; intercepted?replay attack; spectroscopic attack; security analysis

0  引  言

信息安全是通信科学领域的一个重要课题，随着互联网的快速发展，信息安全变得越来越重要。相比于经典安全通信，量子安全通信[1]具有无可比拟的优势，例如：不可克隆定理、测不准原理、非局域性等特点[2]，令它具有极高的安全性。自第一个量子密钥分发（QKD）BB84协议[3]被提出后，量子通信便开始快速发展。

近年来，量子通信的理论研究和应用得到了多方面的发展，包括量子计算[4]、量子网络编码[5]、量子拍卖[6]、量子机器学习[7]等。而在网络通信中，身份认证是通信方之间经常遇到的问题，量子网络也不例外。目前，量子身份认证已经能够应用于部分场景，比如车载网络[8]、在线谈判和电子投票[9]等，但大多数都是基于离散变量。

如今，连续变量量子保密通信技术[10]相较于离散变量，具有量子态易于制备、检测效率高、通信容量大和通信速率快等诸多优势。其中，连续变量量子身份认证也有了物理上的实现[11]，而连续变量GHZ态的出现使得通信过程不仅仅局限于两个通信方[12]。

本文将充分利用连续变量GHZ态的纠缠特性和量子隐形传态原理，通过设定的保真度参数，同时验证多个用户身份，并实现身份密钥的更新。结果表明，该协议在受到拦截?重发攻击与分光镜攻击时，量子信道传输效率大于0.5，连续变量GHZ态的压缩参数与通信的安全性以及信息传输速率呈正相关。

1  准备工作

1.1  量子光学基础

在量子光学中，利用创造算符[a?]和湮灭算符[a]，可以产生振幅[x]和相位[p]两个光束上的正则分量：

[x=12a?+a] （1）

[p=i2a?-a] （2）

式中：[a?]和[a]满足玻色子互易关系[a，a=a?，a?=0]和[a，a?=1]，因此[x，p=i2]，正则分量[x]和[p]满足海森堡测不准原理：[Δx?Δp≥14]。

一条压缩光束可以被定义为：

[α，r=x+ip=erx0+ie-rp0] （3）

式中[r]是压缩因子。当[r<0]时，这条光束的振幅分量被压缩;当[r>0]时，这条光束的相位分量被压缩。[x0]和[p0]各自表示真空态的振幅和相位，并且满足关系：[ x0，p0～N0，14]。

1.2  连续变量GHZ态的制备

连续变量GHZ态在本协议中非常重要，它的制备过程如图1所示。

首先，令两个压缩真空态[ain1]和[ain2]通过一个透射系数为0.5的分束器[BS1]，产生[aout1]和[a*in3];再令[a*in3]和另一个压缩真空态[ain3]通过一个透射系数为1的分束器[BS2]，产生[aout2]和[aout3]。此时， [aout1]，[aout2]和[aout3]便是一组连续变量的GHZ纠缠态，其表达式为：

[xout1=13er1xin10+23e-r2xin20] （4）

[pout1=13e-r1pin1（0）+23er2pin20] （5）

[xout2=13er1xin10-16e-r2xin20+12e-r3xin30] （6）

[pout2=13e-r1pin10-16er2pin20+12er3pin30] （7）

[xout3=13er1xin10-16e-r2xin20-12e-r3xin30] （8）

[pout3=13e-r1pin10-16er2pin20-12er3pin30] （9）

当它们压缩系数相同，即[r1=r2=r3=r]时，可以计算[aout1]，[aout2]和[aout3]之间振幅与相位的相关性：

[Δxout1-xout22=12-34e-2r] （10）

[Δxout1-xout32=12+34e-2r] （11）

[Δpout1+pout2+pout32=34e-2r] （12）

当压缩参数[r]无限接近于正无穷，即[r→+∞]时，输出的光学模式[aout1]，[aout2]和[aout3]之间的相关性也会越来越强：

[limr→+∞xout1-xout2=limr→+∞xout1-xout3=0] （13）

[limr→+∞pout1+pout2+pout3=0] （14）

显然，任意两个连续变量GHZ态的振幅分量呈现正相关，而它们的相位分量也具有纠缠特性。

1.3  连续变量量子隐形传态的原理

如图2所示，Alice制备一个相干态[aA=xA+ipA]以待传输。同时，Alice和Bob分别拥有两个纠缠的光学模式[aout1]和[aout2]。待一切准备就绪后，Alice令相干态[aA]和[aout1]通过一个50/50的分束器进行贝尔态测量，得到[xo]和[po]：

[xo=12xA-xout1] （15）

[po=12pA+pout1] （16）

在Alice通过经典信道公布测量结果后，Bob对[aout2]采用相关幺正操作[Dβ=2xo+ipo]，得到[aB]：

[xB=xout2+2xo=xA-xout1-xout2] （17）

[pB=pout2+2po=pA+pout1+pout2] （18）

根据式（13）和式（14），如果压缩参数[r→+∞]，可以得到[xB=xA]，[pB=pA-pout3]。这就意味着Alice和Bob在振幅分量上得到了一组高度相关的序列。因此，在本文的协议中，只在振幅分量上调制有效信息，而在相位分量上调制无关的随机信息[n]。

2  三方量子身份认证协议的内容

当Bob或Charlie尝试与Alice通信时，即协议开始之前，他们需要事先共享一个二进制序列[K1]作为初始的身份密钥。

如图3所示，假设量子信道是无损的，具体内容如下：

1） Alice制备连续变量GHZ纠缠态[aout1]，[aout2]和[aout3]。Alice自己保留[aout1]，之后将[aout2]和[aout3]通過量子信道分别传递给Bob和Charlie。

2） 确认Bob和Charlie分别收到[aout2]和[aout3]后，Alice先把[K1]转化为十进制序列[k1]，再选择两个十进制数字[k2]和[v]，它们满足正态分布[N0，σ2]。Alice制备一个真空态[0]经过位移操作[Dα1=k1+k2+in]得到相干态光学模式[a1]，用于更新身份密钥。同时，Alice再制备一个真空态[0]，经过位移操作[Dα′1=（k1+v）+in]得到相干态光学模式[a′1]，作为诱饵态用于身份认证。

3） Alice随机选择[a1]或者[a′1]，与[aout1]在每个时隙上做贝尔态测量，得到[xo=12x1-xout1]和[po=12p1+pout1]，或者[xo=12x′1-xout1]和[po=12p′1+pout1]。然后，Alice通过经典信道向Bob和Charlie公布[xo]和[po]。

4） 根據接收到的[xo]和[po]，Bob和Charlie分别对[aout2]和[aout3]进行相同的幺正操作[Do=2xo+ipo]。以Bob为例，它选择振幅分量进行测量得到序列[δ]。Alice再公布使用[a′1]的所有时隙[t]，Bob根据这些时隙提取相应的测量结果序列[δ′1]，而剩下的测量结果定义为[δ1]。

5） Bob将[K1]转化为十进制序列[k′1]，再计算[v=δ′1-?k′1]，[?]是[k′1]的系数，在无损信道中[?=1]。在Bob公布[v]之后，Alice计算一个保真度参数[F=v-φv2min]。在无损信道中[φ=1]，计算[F=]0时，意味着[k1=k′1]，即验证了用户身份是合法的，Bob再更新身份密钥序列[δ1-k′1]，即[k2]的值，以备下次通信使用。若[F>]0，则说明存在窃听者Eve或用户不合法，放弃本次通信。同理，Charlie也进行了步骤4）和步骤5）以认证合法通信方身份。

3  安全性分析

在量子密码学中，安全性至关重要。为了进行主动攻击，窃听者Eve需要通过身份认证，其中最有效的方法是获取更新的身份密钥，并在下一次通信中实现主动攻击。本文将分析在Eve常用的拦截?重发攻击与分光镜攻击下，该协议的安全性。

3.1  拦截?重发攻击

Eve拦截Alice发送的所有量子信号，并通过平衡零差检测技术随机测量振幅或相位，结合经典信道发送的信息，可以恢复更新后的身份密钥，最后根据测量结果制备量子态发送给Bob和Charlie。

由于测不准原理的限制，Eve的测量不可避免地会引入噪声，此时合法用户就可以通过计算保真度参数[F]检测到。但在实际通信中，Alice和Bob之间的量子信道也一直是有损耗、有噪声的，[r]也不可能是无限的。因此需要具体分析噪声情况下，如何通过计算保真度参数保证拦截?重发攻击下的安全性。

以Bob为例，假定量子信道传输效率为[η]，冗余噪声为[aN]，其方差为[VN]。此时，Bob接收到的量子态为：

[a′out2=ηaout2+1-ηaN] （19）

在Alice公布[xo]和[po]后，Bob对接收到的[a′out2]进行幺正操作[Dηo=2ηxo+ipo]得到[aB]。当Alice选择相干态光学模式[a′1]时：

[aB=a′out2+2η（xo+ipo） =ηaout2+1-ηaN+ηa′1-ηaout1 =ηa′1+1-ηaN-32ηe-rain2+12ηe-rain3] （20）

因为有效信息只调制在振幅分量上，在步骤5）中，Bob通过测量[x]计算[v]，假设系数[?=η]：

[v（x）=δ′1（x）-ηk′1=ηk1+v+1-ηxN-32ηe-rxin20+12ηe-rxin30-ηk′1                                     （21）]

当Bob身份合法时，[k′1=k1]，Alice得到：

[v（x）-φv=1-ηxN-32ηe-rxin20+ 12ηe-rxin30+η-φv]  （22）

[Ftrue=v（x）-φv2true=1-ηVN-14ηe-2r+η-φ2σ2] （23）

假如Eve拦截所有信号，即接收方身份不合法，他将获得错误的身份密钥，即[k′1≠k1]。Alice假设[k′1～N0，σ2]，可以得到：

[Ffalse=v（x）-φv2false =1-ηVN-14ηe-2r+η-φ2σ2+2ησ2] （24）

因此：

[Ffalse-Ftrue=2ησ2>0] （25）

这意味着，即使在正常噪声情况下，[Ffalse>Ftrue]也总是存在，Alice可以有效地通过计算保真度参数验证接收方的身份。

3.2  分光镜攻击

Eve也有可能使用分光镜截取部分信号进行测量，如图4所示。

假设Eve所用的分光镜透射系数为[λ0≤λ≤1]，则Alice发出的两条光束[aA1]和[aA2]经过分光镜后变为：

[a′A1=λaA1+1-λaN1] （26）

[a′A2=λaA2+1-λaN2] （27）

Eve获得[aE1]和[aE2]：

[aE1=λaN1-1-λaA1] （28）

[aE2=λaN2-1-λaA2] （29）

以[aE1]为例进行分析，依然假设量子信道传输效率为[η]，则无窃听时，Bob收到的信号为：

[a′A1=ηaA1+1-ηaN1] （30）

Eve需要对[aE1]进行相应的增益放大处理[13]以避免被发现，并和[a′A1]一起发送给Bob，则Bob收到的有效信号为：

[a=gaE1+a′A1] （31）

式中[g]为增益系数。为了让Bob收到的信号为[ηaA1]，根据式（26），式（28）和式（31），需要满足：

[ηaA1=-g1-λaA1+λaA1] （32）

Eve得到[g=λ-η1-λ]，则Bob收到的噪声信号为：

[aN=1-ηλ1-λaN1] （33）

若[λ≠η]，则[aN≠1-ηaN1]，Bob的信噪比將发生变化，从而使通信方在窃听检测中发现Eve。只有当[λ=η]，即Eve采用透射系数与信道传输效率相同的分光镜进行拦截时，[g=0]，不需要增益补偿。此时Eve和Bob收到的信号分别为：

[aE1=ηaN1-1-ηaA1] （34）

[a′A1=ηaA1+1-ηaN1] （35）

再根据式（6）分别得到Eve和Bob的振幅分量为：

[xE1=ηxN1-1-η13erxin10-16e-rxin20+12e-rxin30] （36）

[x′A1=η13erxin10-16e-rxin20+12e-rxin30+1-ηxN1] （37）

式中[xN1～N0，VN1]，当测量[a′A1]的振幅时，有效信号为[η3erxin10]，其余为噪声，计算Bob端的信噪比为：

[M′A1N′A1=ηe2r2ηe-2r+121-ηVN1] （38）

则Alice和Bob间的信息量为：

[IA，B=12log21+M′A1N′A1] （39）

同理，Eve端的信噪比为：

[ME1NE1=1-ηe2r21-ηe-2r+12ηVN1] （40）

Alice和Eve间的信息量为：

[IA，E=12log21+ME1NE1] （41）

因此，根据香浓信息论可得量子信道传输速率为：

[ΔI=IA，B-I（A，E）=12log2ηe2r+2e-2r+121-ηVN12ηe-2r+121-ηVN1?21-ηe-2r+12η1-ηe2r+2e-2r+12ηVN1] （42）

当[VN1=14]时，由式（42）得到量子信息传输速率如图5所示。当信道传输效率[η<0.5]时，信息传输速率[ΔI<0]，即Eve获取的信息量大于Bob获取的信息量，此时信道不安全;当[η>0.5]时，[ΔI>0]，通信是较为安全的。此外，影响安全程度的另一个重要因素是连续变量GHZ态的纠缠特性，随着压缩参数[r]的增大，信息传输速率随之增高，安全性也逐渐增强。

4  结  语

本文提出的量子身份认证协议充分利用了连续变量GHZ态的纠缠特性和量子隐形传态原理，通过计算保真度参数有效地验证通信方是否合法。不仅使发送方能够同时与两个通信方进行身份认证，而且验证了该协议在受到拦截?重发攻击与分光镜攻击时的安全性。结果表明，当量子信道传输效率大于0.5时，连续变量GHZ态的压缩参数越大，通信的安全性越强，信息传输速率越高。

注：本文通讯作者为江雷鸣。

参考文献

[1] 孙仕海，梁林梅.量子保密通信技术前沿述评[J].国防科技，2014，35（6）：7?13.

[2] MICHAEL A N， ISAAC L C. Quantum computation and quantum information [M]. Beijing： Tsinghua University Press， 2003.

[3] BENNETT C H， BRASSARD G. Quantum cryptography： public key distribution and coin tossing [J]. Theoretical computer science， 2014， 560（1）： 7?11.

[4] LIU Wenjie， CHEN Zhenyu， LIU Jinsuo， et al. Full?blind delegating private quantum computation [J]. CMC?computers materials & continua， 2018， 56（2）： 211?223.

[5] XU Gang， CHEN Xiubo， LI Jing， et al. Network coding for quantum cooperative multicast [J]. Quantum information processing， 2015， 14（11）： 4297?4322.

[6] LIU Wenjie， WANG Haibin， YUAN Gonglin， et al. Multiparty quantum sealed?bid auction using single photons as message carrier [J]. Quantum information processing， 2016， 15（2）： 869?879.

[7] LIU Wenjie， GAO Peipei， YU Wenbin， et al. Quantum relief algorithm [J]. Quantum information processing， 2018， 17（10）： 280.

[8] CHEN Zhiya， ZHOU Kunlin， LIAO Qin. Quantum identity authentication scheme of vehicular ad?hoc networks [J]. International journal of theoretical physics， 2018， 58（6）： 40?57.

[9] SHI Weimin， ZHOU Yihua， YANG Yuguang. Quantum deniable authentication protocol [J]. Quantum information processing， 2014， 13（7）： 1501?1510.

[10] 陆鸢.连续变量量子保密通信技术研究[D].上海：上海交通大学，2011.

[11] NIKOLOPOULOS G M， DIAMANTI E. Continuous?variable quantum authentication of physical unclonable keys [EB/OL]. [2017?04?10]. https：//www.nature.com/articles/srep46047/.

[12] YU Zhenbo， GONG Lihua， ZHU Qibiao， et al. Efficient three?party quantum dialogue protocol based on the continuous variable GHZ states [J]. International journal of theoretical physics， 2016， 55（7）： 3147?3155.

[13] ZHANG Yichen， LI Zhengyu， WEEDBROOK C， et al. Noiseless linear amplifiers in entanglement?based continuous?variable quantum key distribution [J]. Entropy， 2015， 17（7）： 4547?4562.

作者简介：裴晓芳（1978-），女，江苏盐城人，硕士，副教授，主要研究方向为信号处理与应用。

江雷鸣（1995—），男，安徽人，硕士生，主要研究方向为量子安全通信。

瞿治国（1977—），男，湖北人，博士，教授，主要研究方向为量子安全通信。