太赫兹科学与电子信息学报  2020, Vol. 18 Issue (6): 1098-1102     DOI: 10.11805/TKYDA2019222
一种无证书的跨域量子密钥协商协议    [PDF全文]
马骁, 施运梅, 宋莹, 孟坤     
北京信息科技大学 计算机学院,北京 100101
摘要: 针对传统跨域密钥协商协议安全性不足问题,提出一种新的跨域量子密钥协商协议。在无证书密钥协商体系下,采用量子密钥协商与经典密码算法结合的方案,提高了协议适应现有通信网络架构的能力。密钥协商过程使用三粒子量子隐形传态,利用量子态不可克隆定理保障协商过程中密钥的安全性。与其他方案相比,本协议具有较高的量子比特效率,并且可以抵抗中间人攻击、重放攻击等多种内部和外部攻击手段。
关键词: 量子密钥协商    量子隐形传态    共享密钥    无证书    
A certificateless cross-domain quantum key agreement protocol
MA Xiao, SHI Yunmei, SONG Ying, MENG Kun     
School of Computer, Beijing Information Science and Technology University, Beijing 100101, China
Abstract: Aiming at the problem of insufficient security of traditional cross-domain key agreement protocol, a new cross-domain quantum key agreement protocol is proposed. In the certificateless key negotiation system, the combination of quantum key negotiation and classical cryptographic algorithm is adopted to improve the ability of the protocol to adapt to the existing communication network architecture. The key negotiation process uses three-particle quantum teleportation, and the quantum state non-cloning theorem can guarantee the security of the key during the negotiation process. Compared with other schemes, the proposed protocol has higher quantum bit efficiency and can resist various internal and external attacks such as man-in-the-middle attacks and replay attacks.
Keywords: quantum key agreement    quantum teleportation    shared key    certificateless    

量子密码学的安全性由量子力学的基本原理确定,如海森堡测不准定理、量子的不可克隆性等,这些原理使量子密码在理论上拥有无条件安全性。随着量子技术的快速发展,人们提出许多有借鉴意义的量子密码协议,其中,量子密钥协商协议允许参与者通过量子信道协商一个经典的共享密钥,而且在协商过程中非授权用户很难成功窃听并不被发现。相对于传统的密码体系,它拥有更高的安全性。但量子信道在实际环境下会受到种种限制,因此有一种做法是把量子密钥协商协议与经典密码算法结合,构成混合密码系统。

2004年,ZHOU[1]等提出第一个量子密钥协商协议,该协议以量子隐形传态技术为基础,但该协议不能抵抗参与者攻击,存在着一定的缺陷。2005年,杨宇光[2]等提出一种多用户量子身份认证和密钥分配方案,该方案实现了网络中用户之间的身份认证和密钥分配。随后,国内外研究者提出了更多种类的量子密钥协商协议,如多方量子密钥协商协议[3-5]、基于BB84协议[6]的两方量子密钥协商协议、集体噪声信道下容错的量子密钥分配协议[7]等。现有的量子密钥协商协议多是在单一网络环境下设计,通信双方使用相同的通信服务工具进行信息交互,在这种情况下,量子密钥协商协议可以有效地保证用户信息的安全。但在实际网络通信中,通信双方可能使用不同的通信服务工具,这种情况称为跨域密钥协商,由于不同域内的验证或协商方式可能存在差异,通信双方无法直接使用各自的密钥协商协议协商出共享密钥。所以跨域协商过程中依然存在着信息遭到监听、泄露的风险。目前主流的跨域通信协议有基于口令的跨域密钥协商协议[8]、Kerberos跨域认证协议[9]等。基于口令的密钥协商协议已被证明存在安全隐患,该协议无法抵抗字典攻击。Kim等[10]指出了协议的问题并提供了改进版本,不过改进版本也被指出存在中间人攻击的隐患[11]。而Kerberos协议存在系统开销较大,对口令复杂程度要求高,时间同步困难等问题。

为更好地解决上述协议存在的问题,引入量子密钥。量子密钥可有效对抗字典攻击、重放攻击、中间人攻击等多种攻击方式。量子密钥的真随机特性在域服务器不完全可信时,依然可以保证密钥的安全。因此,本文基于无证书密钥协商体系,提出一种跨域量子密钥协商协议。协议采用三粒子量子隐形传态协商会话密钥,通过无证书的密钥协商体系进行身份认证并保障会话密钥安全传递给用户。无证书密钥协商体系[12-15]选取用户的身份作为公钥,私钥由可信私钥生成中心生成,不涉及证书管理问题,可以很好地配合量子密钥的协商过程。

1 预备知识

本文协议采用三粒子A、B、C的任意自旋态$\chi $作为信源,即:

${\rm{| }}\chi \rangle = a{\rm{|000}}{\rangle _{{\rm{ABC}}}}{\rm{ + }}b{\rm{|001}}{\rangle _{{\rm{ABC}}}} + c{\rm{|010}}{\rangle _{{\rm{ABC}}}} + d{\rm{|011}}{\rangle _{{\rm{ABC}}}} + e{\rm{|100}}{\rangle _{{\rm{ABC}}}} + f{\rm{|010}}{\rangle _{{\rm{ABC}}}} + g{\rm{|110}}{\rangle _{{\rm{ABC}}}} + h{\rm{|111}}{\rangle _{{\rm{ABC}}}}{\rm{ }}$ (1)

其中,系数满足:

$|a{|^2} + |b{|^2} + |c{|^2} + |d{|^2} + |e{|^2} + |f{|^2} + |g{|^2} + |h{|^2} = 1$ (2)

把作为量子信道的六粒子(1, 2, 3, 4, 5, 6)制备在三纠缠态的直积上:

$\begin{gathered} {\rm{ }}\chi {\rangle _{{\rm{123456}}}}{\rm{ = | }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{12}}}} \otimes {\rm{| }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{34}}}} \otimes {\rm{| }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{56}}}} = \\ {\rm{ }}\;\frac{{\rm{1}}}{{{\rm{2}}\sqrt {\rm{2}} }}{({\rm{|010101}}\rangle _{123456}} + {\rm{|010110}}{\rangle _{123456}} + {\rm{|011001}}{\rangle _{123456}} + {\rm{|011010}}{\rangle _{123456}} + {\rm{|100101}}{\rangle _{123456}} + \\ \quad \quad \quad \;\;{\rm{|100110}}{\rangle _{123456}}{\rm{ + |101001}}{\rangle _{123456}} + {\rm{|101010}}{\rangle _{123456}}){\rm{ }} \\ \end{gathered} $ (3)

粒子1, 3, 5发送给通信发起方,粒子2, 4, 6发送给通信响应方。此时,粒子A, B, C, 1, 2, 3, 4, 5, 6总体系的量子态为$\chi {\rangle _{{\rm{ABC}}}} \otimes {\rm{|}}\chi {\rangle _{{\rm{123456}}}}$,通信发起方在Bell基下对粒子{A, 1}, {B, 3}, {C, 5}进行测量,可以得到64种可能结果。相应地,通信响应方手中的粒子2, 4, 6将变换到对应的量子态上。

2 跨域量子密钥协商协议 2.1 使用的符号

表 1列出了相关符号的具体含义。

表 1 符号含义 Table 1 Symbols meaning
2.2 通信流程

图 1所示,协议包含2个终端用户Alice (发起方)和Bob(响应方)、位于不同信任域的量子认证机构QCA1和QCA2、负责分发量子密钥的量子密钥管理中心QKMC,协议的通信流程如图 2所示。

Fig.1 Relationship among protocol participants 图 1 协议参与者关系图
Fig.2 Protocol workflow 图 2 协议工作流程图

基本假设:只有QCA1, QCA2和QKMC结点可以使用量子信道,其他各个用户之间依然使用经典信道,所有用户共享一个n位二进制秘值L(L=k1, k2, k3…, kmk=0或1),只有拥有L的用户被视为合法用户。

协议步骤的具体描述如下:

1) Alice→QCA1{PriKeyAlice(IDBob, RA)}

Alice向Bob发送随机数RA以及用户Bob的ID,使用Alice的私钥对信息签名,向QCA1表明Alice要与Bob通信。

2) QCA1→Alice{R1, PriKeyQCA1(Hash(IDQCA1, R1)), IDQCA1, P}

QCA1收到Alice的请求,使用Alice的公钥检查消息是否被篡改,随后选择一个随机数R1和跨域通信标识符P,计算R1和QCA1的ID的哈希验证码,并使用自己的私钥签名,然后发送给QCA1

3) QCA1→QCA2{IDAlice, IDBob, H}

QCA1找到Bob对应的其他信任域服务器QCA2,将Alice和Bob的ID、量子密钥分发请求标识H发送给QCA2

4) QCA2→Bob{R2, PriKeyQCA2(Hash(IDQCA2, R2)), IDQCA2, P}

QCA2收到QCA1的请求,QCA2计算QCA2的ID和随机数R2的哈希验证码并签名,与QCA2的ID、随机数R2和跨域通信标识符P用私钥签名后一并发给Bob。

5) Bob→QCA2{PriKeyBob(IDBob, RB)}

Bob向QCA2发送随机数RB以及Bob的ID,使用Bob的私钥对信息签名,向QCA2证明身份。

6) QKMC→QCA1{exchange(), qk};QKMC→QCA2{exchange(), qk}

QCA2收到Bob的身份信息,检查确定无误后,QCA1和QCA2与用户身份认证完成。QCA2通知QKMC制备足够多的量子源。QKMC制备数量为q1的量子源用于密钥分发,数量为q2的量子源用于窃听检测。q1q2的量子态为$\chi {\rangle _{{\rm{ABC}}}} \otimes {\rm{|}}\chi {\rangle _{{\rm{123456}}}}$

QKMC将q1中(A, 1), (B, 3), (C, 5)粒子编成序列n1,2, 4, 6粒子编成序列n2。QKMC将q2的所有粒子随机分别加入n1n2中,并记录加入位置和粒子状态。

QKMC将序列n2发送给QCA1,序列n1发送给QCA2。确认发送成功后,QKMC公布q2在各序列中的位置和状态,随后QCA1和QCA2对粒子序列进行Bell测量,测量序列中q2的状态,若测量误差低于预期,说明信道安全;否则,放弃本次通信。

在确认信道安全后,QCA1和QCA2将序列中剩余粒子视为量子密钥qk。QCA2通过经典信道将测量结果发送给QCA1

7) QCA1→Alice{PriKeyQCA1(PubKeyAlice(qk, RA)), T};QCA2→Bob{PriKeyQCA2(PubKeyBob(qk, RB)), T}

QCA1和QCA2同时向Alice和Bob发放qkqk使用Alice和Bob各自的公钥加密并签名,用户解密后即可得到qk;然后,Alice和Bob根据秘密值L的第S位,开始对qk进行下面的操作,直到S+2位停止(S为通信双方通信次数乘以3,S的初始值为1):

a) ks=1,将qk分成两部分,后半部分与前半部分对调位置;若ks=0,不做任何动作。

b) ks+1=1,将qk分成两部分,前半部分与后半部分进行异或运算,然后将后半部分与异或运算的部分连接在一起作为结果;若ks+1=0,对qk进行非运算。

c) ks+2=1,不做任何动作;若ks+2=1,将qk分成两部分,后半部分与前半部分对调位置。

Alice和Bob使用处理后的qk’作为会话密钥进行接下来的通信。

3 安全分析

假设Eve是一个想窃取共享密钥的攻击者,攻击的可能方法有外部攻击和内部攻击。

3.1 外部攻击 3.1.1 重放攻击

在协议通信流程中,攻击者可以重放经典信道下的消息1和5:

消息1:Alice→QCA1{PriKeyAlice(IDBob, RA)}

消息5:Bob→QCA2{PriKeyBob(IDBob, RB)}

QCA在收到重放消息后无法判断信息是否新鲜,重放是有效的。QCA收到重放消息,验证消息有效后会重新发送消息2和消息4给攻击者。

消息2:QCA1→Alice{R1, PriKeyQCA1(Hash(IDQCA1, R1)), IDQCA1, P}

消息4:QCA2→Bob{R2, PriKeyQCA2(Hash(IDQCA2, R2)), IDQCA2, P}

消息2和消息4仅用于表达QCA的身份信息,并且使用了QCA的私钥和哈希函数对QCA的身份进行保护,攻击者得到这些信息对破解会话密钥毫无意义,也无法对消息进行篡改或伪造。同时消息1和消息5均使用用户的私钥进行签名,攻击者也无法从这些消息中获得有利信息。

攻击者还可以对量子密钥分发中序列n1n2进行测量-重发攻击,不过攻击者的测量会影响序列q2中的粒子状态,攻击者有一定几率使误码率低于阈值,从而得出分发的量子密钥,但是缺少秘密值L,攻击者依然无法破解通信双方的通信流程。

总之,攻击者在无法解决非对称加密体系和量子的物理特性情况下,无法从重放攻击中获得会话密钥,故本系统有能力抵抗重放攻击。

3.1.2 密钥猜测攻击

攻击者试图使用已知会话密钥推导未知会话密钥。根据量子密钥的真随机性等物理特性,任意的量子密钥均无联系,攻击者无法根据规律得出未知密钥。而且根据协商流程,攻击者需要拥有或计算出秘密值L才能掌握对qk的动作,然而L同样是一组随机数,每一位之间没有依赖关系,根据通信双方的通信次数,使用的位置也不同,所以攻击者无法推导出任何有助于破解未知会话密钥的信息,也无法干预通信双方以后的会话过程。

3.2 内部攻击

中间人/冒充攻击:攻击者冒充用户Alice和Bob。因为协议需要用户和QCA的私钥对身份ID等信息进行签名,攻击者无法在未知私钥的情况下完成双向认证的过程。即使攻击者使用截获的消息进行重发,获得服务器的重发消息也无法获得破解量子密钥所需的信息。使用时间戳和用户公钥加密的量子密钥信息也有效防止攻击者根据历史信息重构会话。因此本系统对中间人攻击有很高的抵抗性。

若攻击者伪装成QCA,用户使用私钥签名的消息1可以被攻击者伪装的QCA接收到。由于任何人均可得到用户的公钥,攻击者可以解密消息1的内容,但接下来消息2必须使用QCA的私钥进行签名,攻击者伪装的QCA在没有获得私钥的情况下无法伪造签名信息,也就不可能完成与用户的双向认证,更得不到通信双方的会话密钥,所以攻击者的伪装一定会被识破。

4 效率分析

本协议的特点在于使用三粒子隐形传态分发会话密钥,同时使用经典信道进行身份认证,最终把密钥传递给通信双方。沿用Cabello[16]的量子比特效率公式η=c/q来判断协议的效率,其中c表示双方协商的经典比特数,q表示所使用的量子比特数。本协议中,用于传递的量子比特数量为3n,插入量子序列的诱骗态比特数量为3n,共计用到的量子比特数量为3n+3n=6n,最终获得共享密钥的长度为2n,量子比特效率为33.33%。将本协议与几种典型量子密钥协议进行比对,见表 2。从表 2可知,本协议有较高的量子比特效率。

表 2 协议对比 Table 2 Protocols comparison
5 结论

本文提出了一种无证书的跨域量子密钥协商协议,使用量子信道与经典信道配合的方式协商密钥,解决了传统跨域密钥协商协议的部分安全隐患。安全分析表明,该协议可以抵挡来自内部和外部的攻击,并且拥有较高的量子比特效率。下一步将深入开展本协议对信道噪声抗干扰性的研究。

参考文献
[1]
ZHOU N, ZENG G, XIONG J. Quantum key agreement protocol[J]. Electronics Letters, 2004, 40(18): 1149-1150.
[2]
杨宇光, 温巧燕, 朱甫臣. 一种网络多用户量子认证和密钥分配理论方案[J]. 物理学报, 2005, 54(9): 3995-3999. (YANG Yuguang, WEN Qiaoyan, ZHU Fuchen. A theoretical scheme for multi-user quantum authentication and key distribution in a network[J]. Acta Physica Sinica, 2005, 54(9): 3995-3999.)
[3]
周南润, 宋汉冲, 龚黎华, 等. 基于GHz态的三方量子确定性密钥分配协议[J]. 物理学报, 2012, 61(21): 225-231. (ZHOU Nanrun, SONG Hanchong, GONG Lihua, et al. Tripartite quantum deterministic key distribution based on GHz states[J]. Acta Physica Sinica, 2012, 61(21): 225-231.)
[4]
胡钰安, 叶志清. 基于四粒子GHz态的可控量子双向隐形传态及安全性[J]. 光子学报, 2014, 43(8): 182-186. (HU Yu'an, YE Zhiqing. Controlled two-way quantum teleportation via GHz quadripartite entangled state and security[J]. Acta Photonica Sinica, 2014, 43(8): 182-186.)
[5]
HE Y F, MA W P. Quantum key agreement protocols with four-qubit cluster states[J]. Quantum Information Processing, 2015, 14(9): 3483-3498.
[6]
CHONG S K, HWANG T. Quantum key agreement protocol based on BB84[J]. Optics Communications, 2010, 283(6): 1192-1195.
[7]
高昊, 陈晓光, 钱松荣. 集体噪声信道下容错的量子密钥分配协议[J]. 太赫兹科学与电子信息学报, 2017, 15(6): 921-927. (GAO Hao, CHEN Xiaoguang, QIAN Songrong. Fault-tolerant quantum key distribution protocols under collective noise channel[J]. Journal of Terahertz Science and Electronic Information Technology, 2017, 15(6): 921-927.)
[8]
BYUN J W, JEONG I R, LEE D, et al.Password-authenticated key exchange between clients with different passwords[C]//International Conference on Information and Communication Security.Singapore: [s.n.], 2002: 134-146.
[9]
GANESAN R.Yaksha: augmenting Kerberos with public key cryptography[C]//Network and Distributed System Security Symposium.San Diego, CA: [s.n.], 1995: 132-143.
[10]
KIM J, KIM S, JIN K, et al.Cryptanalysis and improvement of password authenticated key exchange scheme between clients with different passwords[C]//International Conference on Computational Science and Its Applications.Assisi, Italy: [s.n.], 2004: 895-902.
[11]
YOON E J, YOO K Y.A secure password-authenticated key exchange between clients with different passwords[C]//International Conference on Advanced Web and Network Technologies, and Applications.Harbin, China: Springer-Verlag, 2006: 659-663.
[12]
杨小东, 安发英, 杨平, 等. 基于无证书签名的云端跨域身份认证方案[J]. 计算机工程, 2017(11): 134-139, 151. (YANG Xiaodong, AN Faying, YANG Ping, et al. Cross-domain identity authentication scheme in cloud based on certificateless signature[J]. Computer Engineering, 2017(11): 134-139, 151.)
[13]
GHOREISHI S M, RAZAK S A, ISNIN I F, et al.New secure identity-based and certificateless authenticated key agreement protocols without pairings[C]//International Symposium on Biometrics and Security Technologies.Kuala Lumpur, Malaysia: IEEE, 2015: 188-192.
[14]
李晓伟, 杨邓奇, 陈本辉, 等. 基于生物特征和口令的双因子认证与密钥协商协议[J]. 通信学报, 2017, 38(7): 89-95. (LI Xiaowei, YANG Dengqi, CHEN Benhui, et al. Two-factor authenticated key agreement protocol based on biometric feature and password[J]. Journal on Communications, 2017, 38(7): 89-95.)
[15]
张全领, 陆阳. 无证书两方认证密钥协商协议攻击及改进[J]. 信息技术, 2017, 38(7): 1-4. (ZHANG Quanling, LU Yang. Attack and improvement of a certificateless two-party authenticated key agreement protocol[J]. Journal on Communi-cations, 2017, 38(7): 1-4.)
[16]
CABELLO A. Quantum key distribution in the Holevo limit[J]. Physical Review Letters, 2000, 85(26): 5635-5638.
[17]
SHUKLA C, ALAM N, PATHAK A. Protocols of quantum key agreement solely using Bell states and Bell measurement[J]. Quantum Information Processing, 2014, 13(11): 2391-2405.
[18]
CHONG S K, TSAI C W, HWANG T. Improvement on "Quantum Key Agreement Protocol with Maximally Entangled States"[J]. International Journal of Theoretical Physics, 2011, 50(6): 1793-1802.
[19]
HUANG W, WEN Q Y, LIU B, et al. Quantum key agreement with EPR pairs and single-particle measurements[J]. Quantum Information Processing, 2014, 13(3): 649-663.
[20]
HE Y F, MA W P. Quantum key agreement protocols with four-qubit cluster states[J]. Quantum Information Processing, 2015, 14(9): 3483-3498.