一种适用于多方量子通信的隐私放大方法与流程

本发明涉及量子通信技术领域，具体涉及量子密钥隐私放大技术领域，尤其涉及一种适用于多方量子通信的隐私放大方法。

背景技术：

量子密钥(Quantum Key Distribution，QKD)采用光子的不同量子态作为密钥的载体，由量子力学的基本原理保证了该过程的不可窃听、不可破译性，从而提供了一种更为安全的密钥体系。

为提高发送端和接收端(常以Alice和Bob表示)共享密钥的安全性往往采取一系列QKD后处理过程，包括基矢比对，身份认证，纠错和隐私放大。由QKD理论分析，根据获得的密钥信息可以给出某一次特定QKD过程的安全成码量。因此，“压缩”发送端和接收端拥有的密钥量将减少窃听者(Eve)可能获取到的信息至可以忽略的水平，这个过程即为隐私放大过程。

申请公布号为CN 105553648A的中国专利申请《量子密钥分发、隐私放大及数据传输方法、装置及系统》介绍了关于量子密钥分发、隐私放大的实现过程。其“所述隐私放大策略包括基于哈希算法的隐私放大策略、或者基于移位算法的隐私放大策略。”

申请公布号为CN104426655A的中国专利申请公开了《一种利用快速傅立叶变换来完成隐私放大过程》，具体方法如下：

首先将纠错后的密钥通过末尾补零的方式扩充长度，将扩充后的密钥进行快速傅立叶变换，将产生的随机数同样通过末尾补零的方式扩充长度，并对其进行快速傅立叶变换，将两次快速傅立叶变换的结果进行对应位相乘，对乘出的结果做逆快速傅立叶变换，从得到的结果中取出最终密钥。

上述现有技术中，均只涉及两方的隐私放大，应用领域较为狭窄。由此需要攻克的技术难点还在于，现有技术存在不小的安全隐患。现有技术在对信道验证时，只要窃听者(Eve)截获了数据和用于信道验证的矩阵，便可以算出共享密钥Key，这样Eve就可以篡改数据并且通过信道验证。尤其是，若进行多方量子通信，只要其中一方被窃听即可能造成秘密泄露，存在更多安全隐患。

技术实现要素：

本发明的目的在于为避免上述现有技术所存在的不足，提出一种可适用于多方量子通信，且能够保障安全性的一种适用于多方量子通信的隐私放大方法。

本发明一种适用于多方量子通信的隐私放大方法，应用于一个发送端和N个接收端，N为大于1的自然数，其特征在于，包括如下步骤：

S1：发送端获取一随机数串；

S2：发送端以及各接收端选取相同的第一共享密钥，生成相同的第一矩阵；

S3：所述的发送端以及各接收端选取相同的第二共享密钥；发送端对随机数串采用步骤S2的第一矩阵做运算，得到第一运算结果，再使用第二共享密钥对第一运算结果加密得到第二运算结果；

S4：发送端将随机数串与第二运算结果通过经典信道分别发送给各个接收端；

S5：各接收端分别对接收到的第二运算结果采用第二共享密钥进行解密，分别得到第一中间值；各接收端分别对接收到的随机数串采用步骤S2的第一矩阵执行所述的步骤S3的相同运算，分别得到第二中间值；

S6：在各接收端中比较第一中间值与第二中间值是否相等，标记比较结果，并发送给发送端；

S7：发送端接收各接收端的步骤S6的标记结果，并进行判断：各接收端的标记结果均为“相等”则验证通过，继续执行；否则，验证失败，停止执行；

S8：发送端与各接收端分别根据随机数串生成第二矩阵，将所述的第二矩阵与待隐私放大的密钥运算，得到最终密钥。

作为优选，所述的运算包括如下步骤：所述的发送端以及各接收端将随机数串与第二共享密钥以相同方式组合成组合密钥；将第一矩阵与组合密钥相乘得到第一运算结果。本发明通过随机数串与第二共享密钥组合成组合密钥的方式增强了安全性能，使窃听者即便通过经典信道截获了随机数串和第二运算结果，也无法根据第二运算结果逆推出组合密钥，更无法推算出第二共享密钥，极大地提高了安全性能。

作为优选，所述的随机数串的长度为(n+m-1)，n为待隐私放大的密钥长度，m为隐私放大后的密钥长度。

作为优选，所述的步骤S2中，所述的发送端和各接收端选取相同的长度为k或2k的第一共享密钥，通过LFSR和第一共享密钥计算出第一矩阵；所述的第一矩阵的大小为(k×(L+k))；其中，L＝n+m-1所述的发送端和各接收端设定验证失效的概率ε，k通过ε＝L×2^-k+1计算得到。

作为优选，所述步骤S3中，所述的第二共享密钥的长度为k。

作为优选，所述步骤S5以及S8中，所述运算为乘法运算。

作为优选，所述步骤S4中，发送端将随机数串和第二运算结果再加密后发给各接收端。

作为优选，所述的发送端和接收端内预存有共享密钥，所述的再加密步骤采用所述的共享密钥进行加密处理。共享密钥不会被反复使用，再加密步骤提高了安全性能，使随机数串和第二运算结果不易被窃取。

作为优选，所述的第一矩阵和/或第二矩阵为Toeplitz矩阵。

本发明提供了一种适用于多方量子通信的隐私放大方法，相比于现有技术的优点在于：

现有技术只适用于两方隐私放大；本发明能提出了适用于多方的隐私放大，拓宽了应用领域。与此同时，因多方的隐私放大带来的安全隐患会更多，本发明针对隐私放大的作出了改进。现有技术中，在对信道验证时，只要窃听者(Eve) 截获数据和第一矩阵，便可以算出共享密钥Key，这样Eve就可以篡改数据并且通过信道验证。本发明使用第一矩阵与随机数串和第二共享密钥相乘得到第一运算结果，再使用共享密钥对第一运算结果加密得到第二运算结果，不仅增加了算法的复杂程度，提高了安全性能，更重要的是，即使窃听者通过经典信道截获了第一矩阵和随机数串以及第二运算结果，也无法推算出第二共享密钥Key，使得本发明的安全性更高。

具体实施方式

以下对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

本发明所述的隐私放大流程，应用于一个发送端和N个接收端，N为大于1的自然数，包括如下步骤：

S1：发送端获取一随机数串；

S2：发送端以及各接收端选取相同的第一共享密钥，生成相同的第一矩阵；

S3：所述的发送端以及各接收端选取相同的第二共享密钥；发送端对随机数串采用步骤S2的第一矩阵做运算，得到第一运算结果，再使用第二共享密钥对第一运算结果加密得到第二运算结果；

S4：发送端将随机数串与第二运算结果通过经典信道分别发送给各个接收端；

S5：各接收端分别对接收到的第二运算结果采用第二共享密钥进行解密，分别得到第一中间值；各接收端分别对接收到的随机数串采用步骤S2的第一矩阵执行所述的步骤S3的运算，分别得到第二中间值；所述的解密步骤具体为反向执行步骤S3的加密步骤。

S6：在各接收端中比较第一中间值与第二中间值是否相等，标记比较结果，并发送给发送端；

S7：发送端接收各接收端的步骤S6的标记结果，并进行判断：各接收端的标记结果均为“相等”则验证通过，继续执行；否则，验证失败，停止执行；

S8：发送端与各接收端分别根据随机数串生成第二矩阵，将所述的第二矩阵与待隐私放大的密钥运算，得到最终密钥。

当各终端首次进行多发隐私放大时，各终端的密钥池(密钥的存储设备)预存有共享密钥，发送端以及各接收端所选取的第一共享密钥、第二共享密钥均来自各终端的密钥池预存的共享密钥。各个终端经量子密钥分发形成量子密钥，将其进行基矢对比、纠错以及隐私放大处理，形成各个终端的共享密钥，将共享密钥补充至密钥池。此后隐私放大过程中所需的共享密钥直接从密钥池中获取。

所述的运算包括如下步骤：所述的发送端以及各接收端将随机数串与第二共享密钥以相同方式组合成组合密钥；将第一矩阵与组合密钥相乘得到第一运算结果，再使用第二共享密钥对第一运算结果加密得到第二运算结果。本发明通过随机数串与第二共享密钥组合成组合密钥的方式增强了安全性能，使窃听者即便截获了第一矩阵和随机数串以及第二运算结果，也无法根据第二运算结果逆推出组合密钥，更无法推算出第二共享密钥，极大地提高了安全性能。

所述的随机数串的长度为(n+m-1)，n为待隐私放大的密钥长度，m为隐私放大后的密钥长度。

所述的步骤S2中，所述的发送端和各接收端选取相同的长度为k或2k的第一共享密钥，通过LFSR和第一共享密钥计算出第一矩阵；所述的第一矩阵的大小为(k×(L+k))。其中，L＝n+m-1，所述的发送端和各接收端设定验证失效的概率ε，k通过ε＝L×2^-k+1计算得到。LFSR为线性反馈移位寄存器，依据现有技术中LFSR的运算原理，选择长度为k或2k的所述的第一共享密钥可以计算得到行数为k的矩阵。

所述步骤S3中，所述的第二共享密钥的长度为k。

公式ε＝L×2^(-k+1)为现有技术中基于LFSR的Toeplitz矩阵结构的失效的概率的计算公式。所述步骤S5以及S8中，所述运算为乘法运算。

所述步骤S4中，发送端将随机数串和第二运算结果再加密后发给各接收端。所述的发送端和接收端内预存有共享密钥，所述的再加密步骤采用所述的共享密钥进行加密处理。

发送端将随机数串和第二运算结果加密所用的密钥为预存的共享密钥。

隐私放大属于量子密钥QKD后处理过程，发送端以及各接收端进行多方隐私放大之前，在发送端以及各接收端内预存有共享密钥。

发送端将随机数串和第二运算结果再加密所用的共享密钥为预存的共享密钥。

隐私放大之后，使用后的共享密钥被丢弃，被隐私放大后的最终密钥补充至预存的共享密钥中，待后续使用。

利用共享密钥使用后被丢弃的特性，更提高了安全性能。

所述的第一矩阵和/或第二矩阵为Toeplitz矩阵。

本发明中，待隐私放大的密钥的长度为n，经过隐私放大后密钥的长度为m。m可通过成码率R，经公式m＝R*n计算得出。发送端可根据现有技术中的方法直接获取长度为(n+m-1)比特随机数串RnA。发送端随机产生(n+m-1)比特的的随机数串，通过信道验证发送给接收端。发送端和各接收端利用所述的随机数串RnA用以产生一个大小为(n×m)的Toeplitz矩阵，用以对待隐私放大的密钥相乘。

另外，本发明中所提及的信道验证是指验证经典信道中的信息是否安全。

实施例一

本发明一种适用于多方量子通信的隐私放大方法，本实施例采用的是多方量子通信，假设发送端为Alice，接收端为U1、U2...UN，N为大于1的自然数。假设原始数据成功经过基矢比对与纠错，发送端Alice的密钥为AK，接收端U1、U2...UN的密钥分别U1K、U2K…UNK，假设用于隐私放大的Toeplitz矩阵为T；如果是量子密钥分发系统，那么满足：AK＝U1K＝U2K＝…＝UNK，通过推算可得T*AK＝T*U1K＝T*U2K＝…＝T*UNK成立；如果是量子秘密共享，那么满足：AK＝U1K⊕U2K⊕…⊕UNK,通过推算可得T*AK＝(T*U1K)⊕(T*U2K)⊕…⊕(T*UNK)成立；根据上述论证，该方案的隐私放大适用于多方量子密钥分发与多方量子秘密共享。现具体说明隐私放大过程，具体包括如下步骤：

S1：发送端获取一串长度为L比特的随机数串RnA，其中L＝(m+n-1),n表示密钥长度，m表示隐私放大后的密钥长度；

S2：发送端以及各接收端生成相同的大小为(k×(L+k))阶的第一矩阵，记为Ttag；

S3：所述的发送端以及各接收端生成相同的长度为k的共享密钥，记为key；发送端对随机数串RnA采用第一矩阵Ttag做运算得到TagA，再使用key对TagA加密得到TagA’；

S4：发送端将随机数串RnA与TagA’通过经典信道分别发送给各个接收端；各接收端接收随机数串RnA并分别将接收到的数据表示为RnA1、RnA2、……RnAN，接收TagA’并分别将接收到的数据表示为TagA1’、TagA2’、……TagAN’。

S5：在各接收端中分别对各自的TagA1’、TagA2’、……TagAN’采用key反向执行步骤S3中的加密步骤进行解密，分别得到TagA1、TagA2、……TagAN；各接收端分别对RnA1、RnA2、……RnAN采用第一矩阵Ttag执行与步骤S3的相同运算，分别得到Tag1、Tag2、……TagN；

S6：各接收端分别比较各自的TagA1、TagA2、……TagAN与Tag1、Tag2、……TagN是否相等：

例如，在接收端U1，如果Tag1与TagA1相等，则向发送端Alice发送0,否则发送1；

在接收端U2，如果Tag2与TagA2相等，则向发送端Alice发送0，否则发送1；以此类推。

S7：发送端接收到上述信息后进行判断：如果接收到的信息不全为0，表示验证失败，极有可能数据被篡改，停止通信；如果收到的信息全为0，表示验证通过，此时Rn1＝Rn2＝…＝RnN，下面统一用Rn表示，继续向下执行。

S8：发送端与各接收端分别用随机数串RnA生成一个大小为(m×n)的矩阵，将该矩阵与待隐私放大的密钥相乘，得到长度为m的最终密钥。

以上仅就本发明的最佳实施例作了说明，但不能理解为是对权利要求的限制。本发明不仅限于以上实施例，凡在本发明独立权利要求的保护范围内所作的各种变化均在本发明的保护范围内。