本发明属于量子密码学技术领域,尤其涉及一种多方量子密钥协商方法。
背景技术:
密钥协商(keyagreement,ka)是现代密码学的一个最基础、最核心的论题,它是建立密码系统机制的关键。一直以来密钥协商都是密码学的研究热点。它的目的是使得两方或多方能够安全地协商一个共享的会话密钥,该密钥将被用于密码系统的保密通信或安全计算。因此,密码系统的安全强度在很大程度上依赖于密钥协商的安全性。
经典的密钥协商方案需要一个专门的服务器来存储参与者的口令,结果攻击者就可通过服务器来获取参与者保存的口令。
因此,经典密钥协商存在很大的安全隐患。
技术实现要素:
本发明所要解决的技术问题在于提供一种多方量子密钥协商方法,旨在解决经典密钥协商存在很大的安全隐患的问题。
为解决上述技术问题,本发明是这样实现的,一种多方量子密钥协商方法,包括n个协商交互端,分别记为pi,0≤i≤n-1,每个协商交互端的秘密信息分别为x0,x1,...,xn-1∈{0,1,...,d-1},d为奇素数,pi在密钥协商过程中,下标为modn运算,协商方法包括如下:
一种多方量子密钥协商方法,其特征在于,包括n个协商交互端,分别记为pi,0≤i≤n-1,每个协商交互端的秘密信息分别为x0,x1,...,xn-1∈{0,1,...,d-1},d为奇素数,pi在密钥协商过程中,下标为modn运算,协商方法包括如下:
步骤s1、第一轮循环:每个pi各自制备一个用于编码秘密信息的量子态
步骤s2、信道安全检测:下一个协商交互端pi+1与上一个协商交互端pi进行信道安全检测,若判断为安全则执行步骤s3,否则返回步骤s1;
步骤s3、第二轮循环:pi+1将收到的
步骤s4、信道安全检测:下一个协商交互端pi+2与上一个协商交互端pi+1进行信道安全检查,若通过则执行同步骤s3的下一轮循环,直到完成第n轮循环,否则返回步骤s1;
步骤s5、所有协商交互端随机公布各自随机选择的数值,基于酉操作的性质,计算得到所述n个秘密协商密钥。
进一步地,所述步骤s1中,
进一步地,所述步骤s1中,所述窃听检测态为包含q个量子态的有序序列:
进一步地,所述步骤s2包括:
步骤s21、pi向pi+1发送所述窃听检测态中各量子态在
步骤s22、pi+1根据所述位置信息以及所述dg值对窃听检测态进行测量,并随机将其中一半的测量结果发送给pi,pi向pi+1公开所述窃听检测态的另一半的初始制备态信息;pi与pi+1通过比较测量结果与所述窃听检测态的初始制备态信息,来确定信道是否安全。
进一步地,所述测量结果与所述窃听检测态进行对比,若错误率小于预先设定的阈值,则判断为安全,否则判断为不安全。
进一步地,所述步骤s3中,所述pi+1随机取一个数值,并结合秘密信息xi+1对
pi+1随机取一个数值
进一步地,所述步骤s5包括:
步骤s51、n个协商交互端按照随机的顺序公布其随机选择的数值
步骤s52、基于计算结果j,pi在基
步骤s53、基于酉操作
一种计算机终端,用于n个协商交互端进行多方量子密钥协商,所述计算机终端包括:处理器、与处理器通信连接的存储器,所述存储器存储有计算机程序,所述处理器调用所述计算机程序时实现如上所述的多方量子密钥协商方法。
一种存储装置,用于n个协商交互端进行多方量子密钥协商,所述存储装置存储有计算机程序,所述计算机程序被执行时实现如上所述的多方量子密钥协商方法。
本发明与现有技术相比,有益效果在于:本发明的多方量子密钥协商方法具有以下优势:(1)本协议在单量子系统即可实现,它在可扩展性方面有巨大的优势,并且利用超密编码技术提高了密钥生成效率;(2)量子密钥协商基于量子力学理论可以提供比经典秘钥协商更高的安全性;(3)该密钥协商方案可以有效的保护用户的公平性,防止恶意用户控制密钥的生成。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明中多方在密钥协商过程中,假定经典信道与量子信道均已被认证,并且没有噪音和信息的丢失。n位参与方分别通过n个协商交互端pi(0≤i≤n-1),,进行密钥协商。假设每个协商交互端的秘密信息分别为x0,x1,...,xn-1∈{0,1,...,d-1},d为奇素数,参与者pi在密钥协商过程中,下标为modn运算,即n位参与方在密钥协商过程中是按照顺序pi→pi+1→…→pn-1→pn-2→…→pi-1→pi依次进行协商。
本发明的多方量子密钥协商方法包括如下步骤s1-s5:
步骤s1、第一轮循环:每个pi各自制备一个用于编码秘密信息的量子态
具体的,对所有的i=0,1,...,n-1,pi随机的准备一个量子态
步骤s2、信道安全检测:下一个协商交互端pi+1与上一个协商交互端pi进行信道安全检测,若判断为安全则执行步骤s3,否则返回步骤s1。
信道安全检测的一个具体实施例,包括如下步骤s21、步骤s22。
步骤s21、pi向pi+1发送所述窃听检测态中各量子态在
步骤s22、pi+1在根据所述位置信息以及所述dg值对窃听检测态进行测量,并随机将其中一半的测量结果发送给pi,pi向pi+1公开所述窃听检测态的另一半的初始制备态信息;pi与pi+1各自通过比较测量结果与所述窃听检测态的初始制备态信息,来确定信道是否安全。
具体的,当确定所有的pi+1接收到
步骤s3、第二轮循环:pi+1将收到的
具体的,在判断信道安全后,pi+1将收到的
步骤s4、信道安全检测:下一个协商交互端pi+2与上一个协商交互端pi+1进行信道安全检查,若通过则执行同步骤3的下一轮循环,直到完成第n轮循环,否则返回步骤s1。
具体是,当所有的pi+2收到
步骤s5、所有协商交互端按照随机的顺序公布各自随机选择的数值,基于酉操作的性质,计算得到所述n个的秘密协商密钥。
本发明提供了如下的计算n个秘密协商密钥的方法,包括步骤s51-s53。
步骤s51、pi随机的选择pn,n∈{0,1,...,n-1},所有参与者公布其随机选择的数值
步骤s52、根据计算结果j,pi在基
步骤s53、基于酉操作
本发明的技术方案对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机终端(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储装置包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
协议的正确性分析
如果所有参与者诚实执行协议,pi,i∈{0,1,...,n-1}可正确的计算出最终的协商密钥。在上面的协议中,pi准备的信息编码态为
由以上可得到:
ai+x0+...+xn-1=mmodd(2)
也就是说,如果pi在基
协议的安全性分析
主要分析两种方式的攻击,一种是外部攻击:外部攻击者试图获取用户的最终协商密钥;一种是内部攻击:参与者试图控制最终的密钥生成。协商密钥参与者是一个特殊的内部攻击者,他拥有比外部攻击者更强的攻击能力。攻击分析过程如下:
(1)外部攻击
本协议中,为了检测外部攻击,任意两个用户信道之间,使用q个窃听检测态来检测攻击,该技术称为诱骗态技术。诱骗态技术是量子密码主要的检测窃听技术之一,该方法最早在bb84协议中被提出,并且该方法的安全性证明已经被证明。任何对量子信道的窃听行为,都将被检测到。利用该窃听检测技术,现在已有的各种攻击手段,如拦截重放攻击、测量重放攻击、纠缠测量攻击等,将全部无效。例如,假设攻击利用拦截重放技术攻击该协议。假设外部攻击者eve试图获取参与者的秘密信息,她需要获取用于加密秘密信息的初始量子态信息和最终加密后的量子信息,从而来推断出加密过程所实施的酉操作。显然,该攻击方式注定失败。首先,eve无法获取初始量子态的信息,该信息在整个协议过程中一直保密。eve可能试图拦截初始的数据态,而发送一些自己制备的量子态发送给接收方。然而这种方式在窃听检测阶段十分容易就被检测到。eve制备的量子态与信道中传输的量子态完全一致的概率为1/d,那么检测过程中,eve被检测到的概率为1-(1/d)q。当q足够大时,该概率趋向于1。因此,该协议可以有效的抵抗外部攻击者攻击。
(2)内部攻击:任意n-1个恶意的参与者共谋。
内部参与者比外部攻击者拥有更多的资源,可以通过在协议过程中说谎来获得经济利益。因此,所有的qka协议必须可以抵抗内部攻击者的攻击。内部攻击者攻击可以分为两个过程:密钥窃取阶段和密钥翻转阶段。在密钥窃取阶段,内部共谋者可以获取其他合法用户的密钥异或信息。然后他们可以在密钥翻转阶段对最终的共享密钥进行控制,使得最终的共享秘钥不再由全体参与者共同公平的生成。之所以共谋者可以获得合法用户密钥的异或信息,在于共谋者生成初始量子态,并且共谋者共享该初始量子态的所有信息。有了初始态的信息,处于两个特殊位置的用户就可以顺利测量获得中间合法用户的密钥异或信息。
考虑最坏情况下,仅有一个诚实用户pt,t∈{0,...,n-1},其余n-1个用户共谋。在此情况下,如果共谋攻击成功,n-1个用户需要在协议结束之前获得pt的密钥kt,具体描述为,共谋者发送消息编码序列给用户pt,pt将自己的秘密信息和随机选取的y∈{0,1,...,d-1}编码到消息编码序列,然后将编码后的消息编码序列通过窃听检测技术发送给下一个用户,然后其他n-2个用户依次进行窃听检测操作而不进行任何信息编码操作。由于pt没有公开自己的随机选取信息y,因此n-1个用户无法选择正确的测量基对信息编码态进行测量,正确选取测量基的概率为1/d,因此也无法得到任何关于pt的秘密信息。也就说,pt利用y对消息编码态进行了加密操作,密钥窃取攻击不再可行,协议可安全抵抗内部攻击者。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
协议效率分析
在本发明的协议中,假设d可以表示为n比特二进制数,为了生成ln长度的密钥,每个用户生成l个单量子态(信息编码态),以及l个窃听检测态。由于信息编码态传输n次,所以每轮协议总共需要ln个窃听检测态。因为n个用户,需要n轮协议,所以总共需要n(l+ln)个量子态。为了解码最终的协商密钥,用户需要公布ln(n-1)经典比特。因此协议比特率可以计算得到,