量子密码学的安全性由量子力学的基本原理确定，如海森堡测不准定理、量子的不可克隆性等，这些原理使量子密码在理论上拥有无条件安全性。随着量子技术的快速发展，人们提出许多有借鉴意义的量子密码协议，其中，量子密钥协商协议允许参与者通过量子信道协商一个经典的共享密钥，而且在协商过程中非授权用户很难成功窃听并不被发现。相对于传统的密码体系，它拥有更高的安全性。但量子信道在实际环境下会受到种种限制，因此有一种做法是把量子密钥协商协议与经典密码算法结合，构成混合密码系统。

2004年，ZHOU^[1]等提出第一个量子密钥协商协议，该协议以量子隐形传态技术为基础，但该协议不能抵抗参与者攻击，存在着一定的缺陷。2005年，杨宇光^[2]等提出一种多用户量子身份认证和密钥分配方案，该方案实现了网络中用户之间的身份认证和密钥分配。随后，国内外研究者提出了更多种类的量子密钥协商协议，如多方量子密钥协商协议^[3-5]、基于BB84协议^[6]的两方量子密钥协商协议、集体噪声信道下容错的量子密钥分配协议^[7]等。现有的量子密钥协商协议多是在单一网络环境下设计，通信双方使用相同的通信服务工具进行信息交互，在这种情况下，量子密钥协商协议可以有效地保证用户信息的安全。但在实际网络通信中，通信双方可能使用不同的通信服务工具，这种情况称为跨域密钥协商，由于不同域内的验证或协商方式可能存在差异，通信双方无法直接使用各自的密钥协商协议协商出共享密钥。所以跨域协商过程中依然存在着信息遭到监听、泄露的风险。目前主流的跨域通信协议有基于口令的跨域密钥协商协议^[8]、Kerberos跨域认证协议^[9]等。基于口令的密钥协商协议已被证明存在安全隐患，该协议无法抵抗字典攻击。Kim等^[10]指出了协议的问题并提供了改进版本，不过改进版本也被指出存在中间人攻击的隐患^[11]。而Kerberos协议存在系统开销较大，对口令复杂程度要求高，时间同步困难等问题。

为更好地解决上述协议存在的问题，引入量子密钥。量子密钥可有效对抗字典攻击、重放攻击、中间人攻击等多种攻击方式。量子密钥的真随机特性在域服务器不完全可信时，依然可以保证密钥的安全。因此，本文基于无证书密钥协商体系，提出一种跨域量子密钥协商协议。协议采用三粒子量子隐形传态协商会话密钥，通过无证书的密钥协商体系进行身份认证并保障会话密钥安全传递给用户。无证书密钥协商体系^[12-15]选取用户的身份作为公钥，私钥由可信私钥生成中心生成，不涉及证书管理问题，可以很好地配合量子密钥的协商过程。

1 预备知识

本文协议采用三粒子A、B、C的任意自旋态$\chi $作为信源，即：

${\rm{| }}\chi \rangle = a{\rm{|000}}{\rangle _{{\rm{ABC}}}}{\rm{ + }}b{\rm{|001}}{\rangle _{{\rm{ABC}}}} + c{\rm{|010}}{\rangle _{{\rm{ABC}}}} + d{\rm{|011}}{\rangle _{{\rm{ABC}}}} + e{\rm{|100}}{\rangle _{{\rm{ABC}}}} + f{\rm{|010}}{\rangle _{{\rm{ABC}}}} + g{\rm{|110}}{\rangle _{{\rm{ABC}}}} + h{\rm{|111}}{\rangle _{{\rm{ABC}}}}{\rm{ }}$

(1)

其中，系数满足：

$|a{|^2} + |b{|^2} + |c{|^2} + |d{|^2} + |e{|^2} + |f{|^2} + |g{|^2} + |h{|^2} = 1$

(2)

把作为量子信道的六粒子(1, 2, 3, 4, 5, 6)制备在三纠缠态的直积上：

$\begin{gathered} {\rm{ }}\chi {\rangle _{{\rm{123456}}}}{\rm{ = | }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{12}}}} \otimes {\rm{| }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{34}}}} \otimes {\rm{| }}{\varphi ^{\rm{ + }}}{\rangle _{{\rm{56}}}} = \\ {\rm{ }}\;\frac{{\rm{1}}}{{{\rm{2}}\sqrt {\rm{2}} }}{({\rm{|010101}}\rangle _{123456}} + {\rm{|010110}}{\rangle _{123456}} + {\rm{|011001}}{\rangle _{123456}} + {\rm{|011010}}{\rangle _{123456}} + {\rm{|100101}}{\rangle _{123456}} + \\ \quad \quad \quad \;\;{\rm{|100110}}{\rangle _{123456}}{\rm{ + |101001}}{\rangle _{123456}} + {\rm{|101010}}{\rangle _{123456}}){\rm{ }} \\ \end{gathered} $

(3)

粒子1, 3, 5发送给通信发起方，粒子2, 4, 6发送给通信响应方。此时，粒子A, B, C, 1, 2, 3, 4, 5, 6总体系的量子态为$\chi {\rangle _{{\rm{ABC}}}} \otimes {\rm{|}}\chi {\rangle _{{\rm{123456}}}}$，通信发起方在Bell基下对粒子{A, 1}, {B, 3}, {C, 5}进行测量，可以得到64种可能结果。相应地，通信响应方手中的粒子2, 4, 6将变换到对应的量子态上。

2 跨域量子密钥协商协议 2.1 使用的符号

表 1列出了相关符号的具体含义。

2.2 通信流程

如图 1所示，协议包含2个终端用户Alice (发起方)和Bob(响应方)、位于不同信任域的量子认证机构QCA₁和QCA₂、负责分发量子密钥的量子密钥管理中心QKMC，协议的通信流程如图 2所示。

基本假设：只有QCA₁, QCA₂和QKMC结点可以使用量子信道，其他各个用户之间依然使用经典信道，所有用户共享一个n位二进制秘值L(L=k₁, k₂, k₃…, k_m，k=0或1），只有拥有L的用户被视为合法用户。

协议步骤的具体描述如下：

1) Alice→QCA₁{PriKey_Alice(ID_Bob, R_A)}

Alice向Bob发送随机数R_A以及用户Bob的ID，使用Alice的私钥对信息签名，向QCA₁表明Alice要与Bob通信。

2) QCA₁→Alice{R₁, PriKey_QCA1(Hash(ID_QCA1, R₁)), ID_QCA1, P}

QCA₁收到Alice的请求，使用Alice的公钥检查消息是否被篡改，随后选择一个随机数R₁和跨域通信标识符P，计算R₁和QCA₁的ID的哈希验证码，并使用自己的私钥签名，然后发送给QCA₁。

3) QCA₁→QCA₂{ID_Alice, ID_Bob, H}

QCA₁找到Bob对应的其他信任域服务器QCA₂，将Alice和Bob的ID、量子密钥分发请求标识H发送给QCA₂。

4) QCA₂→Bob{R₂, PriKey_QCA2(Hash(ID_QCA2, R₂)), ID_QCA2, P}

QCA₂收到QCA₁的请求，QCA₂计算QCA₂的ID和随机数R₂的哈希验证码并签名，与QCA₂的ID、随机数R₂和跨域通信标识符P用私钥签名后一并发给Bob。

5) Bob→QCA₂{PriKey_Bob(ID_Bob, R_B)}

Bob向QCA₂发送随机数R_B以及Bob的ID，使用Bob的私钥对信息签名，向QCA₂证明身份。

6) QKMC→QCA₁{exchange(), qk}；QKMC→QCA₂{exchange(), qk}

QCA₂收到Bob的身份信息，检查确定无误后，QCA₁和QCA₂与用户身份认证完成。QCA₂通知QKMC制备足够多的量子源。QKMC制备数量为q₁的量子源用于密钥分发，数量为q₂的量子源用于窃听检测。q₁与q₂的量子态为$\chi {\rangle _{{\rm{ABC}}}} \otimes {\rm{|}}\chi {\rangle _{{\rm{123456}}}}$。

QKMC将q₁中(A, 1), (B, 3), (C, 5)粒子编成序列n₁，2, 4, 6粒子编成序列n₂。QKMC将q₂的所有粒子随机分别加入n₁和n₂中，并记录加入位置和粒子状态。

QKMC将序列n₂发送给QCA₁，序列n₁发送给QCA₂。确认发送成功后，QKMC公布q₂在各序列中的位置和状态，随后QCA₁和QCA₂对粒子序列进行Bell测量，测量序列中q₂的状态，若测量误差低于预期，说明信道安全；否则，放弃本次通信。

在确认信道安全后，QCA₁和QCA₂将序列中剩余粒子视为量子密钥qk。QCA₂通过经典信道将测量结果发送给QCA₁。

7) QCA₁→Alice{PriKey_QCA1(PubKey_Alice(qk, R_A)), T}；QCA₂→Bob{PriKey_QCA2(PubKey_Bob(qk, R_B)), T}

QCA₁和QCA₂同时向Alice和Bob发放qk，qk使用Alice和Bob各自的公钥加密并签名，用户解密后即可得到qk；然后，Alice和Bob根据秘密值L的第S位，开始对qk进行下面的操作，直到S+2位停止(S为通信双方通信次数乘以3，S的初始值为1)：

a) k_s=1，将qk分成两部分，后半部分与前半部分对调位置；若k_s=0，不做任何动作。

b) k_s+1=1，将qk分成两部分，前半部分与后半部分进行异或运算，然后将后半部分与异或运算的部分连接在一起作为结果；若k_s+1=0，对qk进行非运算。

c) k_s+2=1，不做任何动作；若k_s+2=1，将qk分成两部分，后半部分与前半部分对调位置。

Alice和Bob使用处理后的qk’作为会话密钥进行接下来的通信。

3 安全分析

假设Eve是一个想窃取共享密钥的攻击者，攻击的可能方法有外部攻击和内部攻击。

3.1 外部攻击 3.1.1 重放攻击

在协议通信流程中，攻击者可以重放经典信道下的消息1和5：

消息1：Alice→QCA₁{PriKey_Alice(ID_Bob, R_A)}

消息5：Bob→QCA₂{PriKey_Bob(ID_Bob, R_B)}

QCA在收到重放消息后无法判断信息是否新鲜，重放是有效的。QCA收到重放消息，验证消息有效后会重新发送消息2和消息4给攻击者。

消息2：QCA₁→Alice{R₁, PriKey_QCA1(Hash(ID_QCA1, R₁)), ID_QCA1, P}

消息4：QCA₂→Bob{R₂, PriKey_QCA2(Hash(ID_QCA2, R₂)), ID_QCA2, P}

消息2和消息4仅用于表达QCA的身份信息，并且使用了QCA的私钥和哈希函数对QCA的身份进行保护，攻击者得到这些信息对破解会话密钥毫无意义，也无法对消息进行篡改或伪造。同时消息1和消息5均使用用户的私钥进行签名，攻击者也无法从这些消息中获得有利信息。

攻击者还可以对量子密钥分发中序列n₁和n₂进行测量-重发攻击，不过攻击者的测量会影响序列q₂中的粒子状态，攻击者有一定几率使误码率低于阈值，从而得出分发的量子密钥，但是缺少秘密值L，攻击者依然无法破解通信双方的通信流程。

总之，攻击者在无法解决非对称加密体系和量子的物理特性情况下，无法从重放攻击中获得会话密钥，故本系统有能力抵抗重放攻击。

3.1.2 密钥猜测攻击

攻击者试图使用已知会话密钥推导未知会话密钥。根据量子密钥的真随机性等物理特性，任意的量子密钥均无联系，攻击者无法根据规律得出未知密钥。而且根据协商流程，攻击者需要拥有或计算出秘密值L才能掌握对qk的动作，然而L同样是一组随机数，每一位之间没有依赖关系，根据通信双方的通信次数，使用的位置也不同，所以攻击者无法推导出任何有助于破解未知会话密钥的信息，也无法干预通信双方以后的会话过程。

3.2 内部攻击

中间人/冒充攻击：攻击者冒充用户Alice和Bob。因为协议需要用户和QCA的私钥对身份ID等信息进行签名，攻击者无法在未知私钥的情况下完成双向认证的过程。即使攻击者使用截获的消息进行重发，获得服务器的重发消息也无法获得破解量子密钥所需的信息。使用时间戳和用户公钥加密的量子密钥信息也有效防止攻击者根据历史信息重构会话。因此本系统对中间人攻击有很高的抵抗性。

若攻击者伪装成QCA，用户使用私钥签名的消息1可以被攻击者伪装的QCA接收到。由于任何人均可得到用户的公钥，攻击者可以解密消息1的内容，但接下来消息2必须使用QCA的私钥进行签名，攻击者伪装的QCA在没有获得私钥的情况下无法伪造签名信息，也就不可能完成与用户的双向认证，更得不到通信双方的会话密钥，所以攻击者的伪装一定会被识破。

4 效率分析

本协议的特点在于使用三粒子隐形传态分发会话密钥，同时使用经典信道进行身份认证，最终把密钥传递给通信双方。沿用Cabello^[16]的量子比特效率公式η=c/q来判断协议的效率，其中c表示双方协商的经典比特数，q表示所使用的量子比特数。本协议中，用于传递的量子比特数量为3n，插入量子序列的诱骗态比特数量为3n，共计用到的量子比特数量为3n+3n=6n，最终获得共享密钥的长度为2n，量子比特效率为33.33%。将本协议与几种典型量子密钥协议进行比对，见表 2。从表 2可知，本协议有较高的量子比特效率。

5 结论

本文提出了一种无证书的跨域量子密钥协商协议，使用量子信道与经典信道配合的方式协商密钥，解决了传统跨域密钥协商协议的部分安全隐患。安全分析表明，该协议可以抵挡来自内部和外部的攻击，并且拥有较高的量子比特效率。下一步将深入开展本协议对信道噪声抗干扰性的研究。