（光学专业论文）安全量子密钥分配的实用化研究.pdf

摘要 摘要 从古代的荒蛮时代到如今人们生活的信息时代，对于安全的信息传输的需 求无处不在。大至军事外交小至个人隐私，它都起到至关重要的作用。经典密 码长久以来能够良好地完成这个目标，但一种重要的问题是，经典密码学的安 全性是基于计算复杂度的，比如离散对数或者大数分解等困难问题。经典密码 学面临很大的挑战。特别是现今计算机技术的飞速发展以及量子计算机概念的 提出，使得人们开始寻找更加安全的信息传输方式。 作为量子力学和密码学的交叉产物，量子密码学则可以很好地解决上述的 问题。量子密码，或者称为量子密钥分配，可以实现分离的两个用户a 1 i c e 和 b o b 之间通过在量子信道中传输量子态来实现安全密钥的扩展。相比于经典密 码，量子密码的最大优势就是它的绝对安全性。量子密码的安全性是基于量子 力学的基本原理：不可克隆定律和不确定性原理。只要量子力学的基本原理是 正确的，量子密码的安全性就能得以保证。自从b e n n e t t 和b r a s s a r d 在1 9 8 4 年提出了第一个量子密钥分配协议以来，这个全新的领域得到了长足的发展， 并在实际商用通讯系统中的到了应用。 在实际应用中，量子密钥分配系统必须为了迎合用户需求和适应现场条件 进行改进。本篇博士论文正是以研究量子密钥分配技术的实用化为主要内容， 我们可以将其分为以下三个部分： 1 我们建立了一个结合主动检测光强的实际量子密钥分配系统。实际通讯网 络中的量子密钥分配系统的光源多采用商用激光器作为弱相干态光源。虽 然工艺成熟且使用便捷，但输出光强仍然会有波动，甚至有被窃听者操控 的危险。在这套改进系统中，我们添加了一个主动检测光强的模块，利用 随机切换光开关来进行光强抽样测量。不仅保证了对于光源属性的实时测 量，也能察觉出窃听者的攻击活动。最终的实验结果显示，当总的光强波 动被限制在一定范围内时，安全密钥生成率的减小是很有限的，对最远的 安全传输距离同样影响不大。 2 我们研究了实用的光子数解析探测器对于量子密钥分配系统的影响。我们 利用光子数解析探测器和参量下转换光源搭建了标记单光子源，可以通过 探测器的不同结果输出，将编码脉冲调整到不同的亚泊松分布上去。以此 为系统的光源，我们分析了b b 8 4 和s a r 6 0 4 协议的被动诱骗态方案的性能。 同时，我们考虑了两种基于不同原理的光子数解析探测器，超导量子相变 探测器和时分复用探测器。结果显示，光子数解析探测器对于系统的安全 摘要 传输距离以及安全密钥生成率都有一定的提升。有趣的是，这种提升与光 子数解析探测器的量子效率以及暗计数关系不大，这也暗示了现今不完美 的光子数解析探测器在量子密钥分配系统中的实用性。 3 我们在实际商用通讯光纤网上搭建并试运行成功了七用户多层级量子密码 城域网。量子密码技术的网络架构和应用模式研究是其实用化进程中的关 键环节。此量子密码网络以“法拉第一迈克尔逊”干涉环结构为基础通讯模 块，能够保证长时稳定的安全密钥分配。为了提高网络通讯效率，我们把 网络分成了两个层级：一层是保证高网络容量和低信息阻塞率的全时全通 主干网；另一层则是为了网络的灵活性和扩展性，利用光开关和可信中继 的子网。在这个安全网络中分发的密钥，可以用于实现用户之间实时的视 频、声音、实时短消息以及保密文件等各种数据的保密传输。整个网络应 用包含有完整的量子密钥分配过程和配套的应用程序软件，是一个真正的 面向用户具有无条件安全性的实际保密网络。这项工作代表着量子密码实 际应用卖出了关键的一步。 关键词：量子密码；量子密钥分配；量子通讯网络；光子数解析探测器 a b s t r a c t f ma n c l e n tt i r u e st o i n f o r m a t i o n a g e st h a tw el i v e n o w s e c u r e c o n u n u n l c a t l o n sa r er e q u i r i n ge v e r y w h e r e n o t j u s tf o rm i l i t a r ya n dd i p l o m a c yo f c o u n t r i e sb u ta i s o f o r p e r s o n a lp r i v a c y ,i ta c t s m o r ea n dm o r e i m p o r t a n t c o n v e n t i o n a l c r y p t o g r a p h ys e r v e sw e l lt oa c h i e v et h i s g o a lf o ra1 0 n gt i m e n e v e r t h e i e s s ，t h es e c u r i t yo fc o n v e n t i o n a lc r y p t o g r a p h yi sb a s e do n t h ea s s u m p t i o n o fc o m p u 协t i o n a lc o m p l e x i t y , s u c h a sf i n d i n gt h ed i s c r e t el o go rf a c t o r i n g a sa r e s u i t ， l tm e e t s8 n u g ec h a l l e n g ea st h e c o m p u t e rt e c h n o l o g yd e v e l o p sr a p i d i ya n dt h e 呲e p tmq u a n t u mc o m p u t e ri sp r e s e n t e d t h a t i sw h yp e o p l es t a r ts e e k i n gab e 锨 m e t h o dt ok e e ps e c r e t s a st h e i n t e r d i s c i p l i n eo fq u a n t u mm e c h a n i c sa n dc 聊t o g r a p h y q u a n t 啪 c 聊t o g r a p h yc a ns o l v et h ep r o b l e mw e l l q u a n t u mc 卯t o g r a p h y p r e c i s e l yn a m e d q u a n t u mk e yd i s t r i b u t i o n ，c a ns u p p l yt w od i s t a n tu s e r s ，a l i c ea n d b e b ，e x p a n d i n g t h es h a n n gs e c t i l ek e yb y t r a n s m i t t i n gq u a n t u ms t a t e st h r o u 曲aq u a n t u mc h a n n e l u o m p a r c dt ot h ec o n v e n t i o n a lo n e ，t h ea d v a n t a g eo fq u a n t u m c 巧p t o 聊h yi si t s 曲s o i u t e c u 峨b e c a u s ei ti sb a s e do nt h e q u a n t u mp r i n c i p l e s ：t h en o c i o n e t i l e o r 锄锄dt h eu n c e r t a i n t yp r i n c i p l e a s l o n ga sq u a n t u mm e c h a n i c si sc o r r e c t t h e s e c r e e yo fq u a n t u mc r y p t o g r a p h yc a nb eg u a r a n t e e d s i n c et h ef i r s tq u a i 咖mk e v d i s t r i b u t i o np r o t o c o li sp r e s e n t e db yb e n n e t t a n db r a s s a r di n19 8 4 ，t h ew h o l e f i e l di s d l o o m m gl nr e s e a r c ha n di m p l e m e n t a t i o ni n p r a c t i c a lc o m m e r c i a lc o m m u n i c a t i o n s y s t e m s u o n s l d e 瑚g1 t sa p p l i c a t i o ni np r a c t i c e ，s y s t e mo fq u a n t u m k e yd i s t r i b u t i o nh a s t or e f i n e d , i no r d e rt oa d a p t t om a s s i v eu s e rs e r v i c e sa n d t o u g hf i e l de n v i r 0 姗e n t s 1 h i sd l s r t a t i o n e x a c t l yf o c u s e so na p p l i c a t i o n so fq u a n t u mk e yd i s t r i b u t i o n t e c h n o l o g ya n di sa r r a n g e da sf o l l o w s ： l w eb u i l ta p r a c t i c a lq u a n t u mk e yd i s t r i b u t i o ns y s t e mw i t ha c t i v em o n i t o r i n g u d m m e r c l a ll a s e rg e n e r a t o r sa r eu s e di nt h er e a l c o m m u n i c a t i o n ，a saw e a k c o n e r e n ts t a t cs o u r c c i ti st r u et h a tt h e ya r e c o n v e n i e n ta n dr e f i n e d ，b u tt h e r ea r e t l u c t u a t l o n s o ft h eo u t p u ti n t e n s i t y w h a ti sw o r s e ，t h el a s e rc a nb em a n i p u l a t e d b ye a v e s d 研供r st of o i lt h eq u a n t u m c r y p t o g r a p h yp r o c e s s i nt h i si m p r o v e d s y s t e m ，am o d u l eo fa c t i v em o n i t o r i n gi sa d dt o r a n d o m l yi n s p e e tt h ep u l s e i n t e n s i t y , w h i c hw i l lg i v eu sar e a l - t i m ek n o w l e d g ea n da na l e f ti fs o m e o n e t r y i a b s t m c t 2 t oc r a c kt h es y s t e m t h ef i n a lr e s u l ts h o w st h a t ，t h ed e c r e a s eo fk e yg e n e r a t i o n r a t ei sn o ts i g n i f i c a n tw h e nt h ew h o l ef l u c t u a t i o no ft h ei n t e n s i t yi sl i m i t e d s o d o e st h em a x i m a ls e c u r ed i s t a n c e w ed i dr e s e a r c ha b o u tt h ei n f l u e n c eo fap h o t o n - n u m b e r - r e s o l v i n gd e t e c t o rt o t h eq u a n t u mk e yd i s t r i b u t i o ns y s t e m c o m b i n gt h ep h o t o n - n u m b e r - r e s o l v i n g d e t e c t o ra n dap a r a m e t e rd o w nc o n v e r s i o ns o u r c e ，w ec a nb u i l dah e r a l d e d s i n g l ep h o t o ns o u r c e ，w h i c hc a nu s et og e n e r a t ed i f f e r e n ts u b p o s s i o n i a n d i s t r i b u t i o ns t a t e sa sw ec h o o s ed i f f e r e n to u t p u to ft h ed e t e c t o r w i t hs u c ha v i r t u a ls o u r c e ，w ea n a l y z et h ep e r f o r m a n c eo fb b 8 4a n ds a r g 0 4p r o t o c o l s m e a n w h i l e ，t w ot y p e so fp h o t o n n u m b e r - r e s o l v i n gd e t e c t o r sa r et a k e ni n t o c o n s i d e r a t i o n o n ei sas u p e r c o n d u c t i n gt r a n s i t i o n - e d g es e n s o ra n dt h eo t h e ri sa t i m em u l t i p l e x i n gd e t e c t o r t h es i m u l a t i o nr e s u l ti n d i c a t e st h a tb o t ho ft h e mc a n b o o s tt h ek e yg e n e r a t i o nr a t ea n dt h es e c u r ed i s t a n c ea tt h es a m et i m e q u a n t u m e f f i c i e n c ya n dd a r kc o u n to ft h ed e t e c t o r sa f f e c tt h er e s u l tab i t ，w h i c hi n f e r st h a t a ni m p e r f e c tp h o t o n - n u m b e r - r e s o l v i n gd e t e c t o rc a na l s oh e l pal o t w ed e m o n s t r a t e dt h ef i r s th i e r a r c h i c a lm e t r o p o l i t a nq u a n t u mc r y p t o g r a p h y n e t w o r kw i t hs e v e nn o d e so nt h ei n n e r - c i t yc o m m e r c i a lt e l e e o mf i b e r s ，r e a l i z e d b yf a r a d a y - m i c h e l s o ni n t e r f e r o m e t e rs e t - u p s f o rah i g hr u n n i n ge f f i c i e n c y , t h e w h o l en e t w o r ki sd i v i d e di n t ot w op a r t s ：o n ei saf u l l m e s hb a c k b o n en e ta n da s u b n e tb a s e do nt h et e c h n i q u eo ft h eo p t i c a ls w i t c ha n dt h et r u s t e dr e l yw h i c h c a nw e l lg u a r a n t e et h ef e a s i b i l i t ya n de x p a n d a b i l i t yo ft h eq u a n t u mn e t w o r k m e a n w h i l e ，w eu t i l i z et h es e c u r ek e yd i s t r i b u t e db yt h eq u a n t u mn e t w o r ki na p r a c t i c a lv i d e oc o n f e r e n c ef o ra l lt h en o d e si n c l u d i n gt h et r a n s m i t t a n c eo f i n s t a n t v i d e o ，s o u n d ，t e x tm e s s a g e s a n dc o n f i d e n t i a lf i l e s t h ew h o l e i m p l e m e n t a t i o nw i t hh i e r a r c h i c a lq u a n t u mk e yd i s t r i b u t i o nn e t w o r kl i n k sa n d w e l l - d e v e l o p e da p p l i c a t i o ns o f t w a r ec l e a r l ys h o w sab i gs t e pt o w a r d t h e p r a c t i c a lu s e r - o r i e n t e dq u a n t u mn e t w o r k k e y w o r d s ：q u a n t u mc r y p t o g r a p h y ；q u a n t u mk e yd i s t r i b u t i o n ；q u a n t u m c r y p t o g r a p h yn e t w o r k ；p h o t o n - n u m b e r - r c s o l v i n gd e t e c t o r i v 中国科学技术大学学位论文原创性和授权使用声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究工作 所取得的成果。除已特别加以标注和致谢的地方外，论文中不包含任 何他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究 所做的贡献均己在论文中作了明确的说明。 本人授权中国科学技术大学拥有学位论文的部分使用权，即：学 校有权按有关规定向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅，可以将学位论文编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 保密的学位论文在解密后也遵守此规定。 作者签名： 年月 日 第一章导论 第一章导论 “ia mf a i r l yf a m i l i a rw i t ha l lf o r m so fs e c r e tw r i t i n g s ，a n da mm y s e l ft h ea u t h o r o fat r i f l i n gm o n o g r a p hu p o nt h es u b j e c t ，i nw h i c hia n a l y z eo n eh u n d r e da n ds i x t y s e p a r a t ec i p h e r s ，b u tic o n f e s st h a tt h i si se n t i r e l yn e wt om e t h eo b j e c to ft h o s e w h oi n v e n t e dt h es y s t e mh a sa p p a r e n t l yb e e nt oc o n c e a lt h a tt h e s ec h a r a c t e r sc o n v e y am e s s a g e ，a n dt og i v et h ei d e at h a tt h e y 钲et h em e r e r a n d o ms k e t c h e so fc h i l d r e n ” s h e r l o c kh o l m e s t h ea d v e n t u r eo ft h ed a n c i n gm e n ) ) 这段话摘自著名的跳舞小人中福尔摩斯和华生医生受困于神秘的跳舞 小人图案的故事 1 。除去大侦探的自吹自擂，实际上他已经在寥寥数语中介绍 了密码。什么是密码? 即秘密文字；它的目的是什么? 在字符中隐藏消息，还 让旁人觉得那只不过是孩童无意义的涂鸦。 侦探小说只是一个例子，实际上密码的应用早已经遍布于人们生活的各个 层面，上至国家安全，下至个人信息。特别对于现今，随着计算科学和通讯技 术的飞速发展，人类社会已经步入信息化时代，那么安全保密的信息获取和传 输就成了最基本的要求。正是这种在历史长河中源源不断的需求，孕育了研究 信息安全的密码术和密码学。 1 1 密码术和密码学 信息安全有三大目标，即机密性，完整性和可用性。这些安全特性可以通过 密码术来实现。所以，“密码学就是在信息传输过程中使信息安全和免于被攻击 的科学和艺术 2 。随着密码学的不断发展，其内容涵盖面也随之扩大，现在 瓣一$ 导论 已经涉及了三个主要的部分。密码编码学郎通常意义上的密码，利用密码加密 来保护信息：与之平行发展的则是密码分析学，研究着如何破译密码窃取信息。 随着编解码方法的完善，密码学中密钥的重要性也越来越大从而衍生出第三部 分崭钥分配学。这三部分批同构成l 范有密码学体系 3 。 在密码学的定义中有几个重要的基本概念。表示有效信息的可理解的符呼 ( 串) 称为l 蝈文，经过变换后得到的乱语符号( 串) 怖为密空。将明文变换 成密文的过程称为加密，而从密文中恢复出明文的过程称为解密；与之相对应 的变换算法分剐称作加密算法和解密算法。在变换中所需的控制参数则定义为 密钥，加密密钥和解密密钥则分别对应着加密过程和解密过程中使用的参数。 在整个过程中，明文和密文通过算法联系在起，密钥在中间起到衔接的作用 2 ， 4 】。 12 密码学简史 早在几千年以前，人们就开始通过特殊手法交换秘密消息。据六韬记 载，在公元前1 0 4 6 年中国的周朝，姜予牙就提出了两种密码体系的雏形“阴符” 和“阴书”。前肴是用八种1 ；同长度的符分别代表战争中八种小同的军事含义 和指令即置换加密( s u b s t l t ul i o nc i p h e r s ) ：后者则是把文件一分为三， 分兰人f 递只有全部收到并重新排列才能获取完整信息，即移位加密 ( t r a n s p o s i t i o nc i p h e r s ) 。在古典密码时代这两种方式被广泛应用。古希 腊的新巴选人在公元前5 0 0 年时使用的“s c y t a l e ”，就是利用羊皮卷轴绕在术 棍上实现移位密码 5 ，如图12 所示。著名的“c a e s a rc i p h e r s ”则是恺撒人 帝使用字母表移位的方法来加密军事命令 6 】。如图1 3 所示。图i 1 中所捉到 的“跳舞小人”。则是标准的置换加密，每个小人的姿态和举旗与否都有自己的 含义。 f i g | 2 古代斯巴选人惶用的“s c y t a l c 。 辩码复原阻是己知帕艇早使竹暂口 之一篡 第$ 导论 在这三千年的过程中人们发明了数目众多形式各异的密码术。而且一 方面要发送尽可能更快更多的加密信息，另一方面为了能够快速进行破译工作， 加密和解密的工作不再限于手工操作。第二次世界大战时德军、日军大规模 使用了图14 中“e n i g m a 机”系列来进行保密通讯。英国的科学家和技术人员 则针锋相对地研制出了“b o m b e ”炸弹机( 图15 示) 和第一批电子计算机作为 解码机。于是，整个欧洲的顶尖智慧群体，陆续被卷入到那场旷日持久的密码 战中最终盟军依靠破解此系列的加密机掌握了大量重要军情，赢得了胜利 7 卜 9 。这从一个侧而反映了密码学在现代战争中的重要地位。 近几个【i 纪以来- 密码学飞速发展着。科学家不仅制造出更优良的加密机器， 而且还发明了不再需要交换密钥的方法成为了密码学历史上的座里程碑。使 用了这种方式后，发送方不用再冒着风险将密钥交给对方，就可以在公开信道卫 发送那些只有真正的接收人才能理解的密文。1 9 7 8 年r i t 的r o nr i v e s t 。a d l s h a m i r 和l e o n a r da d l e m a n 公布了r s a 公钥算法 1 0 ，这种方法由于其成本低易 操作且有窿好的安全性，现广泛应用于民间安全通信和计算机网络通讯中。 数学密码的巨大成功并不能使科学家满足，他们开始试图从其他学科领域 和角度来研究密码学。这种思想促成了包括量子密码的物理学密码体系和利用 生物特性如肌a 结构的生物密码体系等多件系密码学版图的形成和发展。在这 篇论文中，着重介绍伴随着人们安全意识的深入和服务需求的增长，我们如何 将基于密码应用于实际生活而进行的实用化研究。 j 曩霸 13 经典密码学 经典密码学这个概念是相对于新兴的量子密码而占的。在图16 的密码模 第一章导论 型中，假设发送方a 1 i c e 和接收方b o b 已经事先协商，分别掌握着加密密钥k ( e ) 和解密密钥k ( d ) 。a 1 i c e 对想传送的明文信息m 使用加密密钥和加密算法将其 转化成密文c ，通过公开信道传送给b o b 。由于此公开信道被窃听者e v e 所掌控， 她可以获知所有的密文信息。即使如此，经典密码学仍可以保证接收方b o b 可 以利用自己的解密密钥和解密算法还原正确的明文信息m ，而窃听者e v e 无法 从杂乱的密文c 中获取任何信息。 通常情况下，为了系统的易用性，加密算法和解密算法是公开的，那么密 钥的保护对于整个过程的安全至关重要。前文的例子也表明了，无论是置换密 码还是移位密码，在传递信息之前，发信人和收信人必须对安全的密钥达成共 识。经典密码学认为，在e v e 只拥有经典计算机的计算能力这个前提下，我们 可以认为在缺少密钥的情况下，e v e 破译信息的时间是与数据长度成指数关系。 这就保证了，密码系统可以在相当长的时间内保持很高的安全性，足以提供可 信赖的保密通讯。 1 3 1 对称密码体系 根据通信双方所拥有的加密密钥和解密密钥相同与否，经典密码系统可以 分为“对称密码体系”和“非对称密码体系”两种。在对称密码体系中，双方 使用完全相同的密钥来进行加解码。由于其密钥不能公开，只能为通信双方所 知，因此它也被称为“私钥体系 。 1 3 1 1 一次一密( v e r n a m 码) 一次一密( o n e t i m ep a d ) 是在1 9 2 6 年由g i l b e r tv e r n a m 提出的，加密和 解密过程都是进行逐位异或的私钥密码体系 1 1 。此方案的具体流程如下： 4 第一章导论 a l i c e 把要传递给b o b 的信息转化成二进制字符串m 。，并随机产生一段相同长度 的二进制数串k 作为密钥来进行加密。她只需要简单地把两者做比特异或，即可 得到一段密文 j = ( 镌。七) b o b 收到了这段二进制串的密文后，同样将其与密钥串k 进行比特异或，因为 j o 七= ( 码e k ) e 七= m 则b o b 可以获得完全正确的明文信息。由于加密使用的密钥长度和明文相同， 所以随机产生的密钥使得密文s 同样完全随机，不携带一点信息。s h a n n o n 在1 9 4 9 年给出了其安全性证明 1 2 3 ，使得它在经典密码体系中是唯一绝对安全的。这 是一种非常重要的私钥加密方法，由于每串密钥只能用于加密一次，才被称为 “一次一密 。 1 3 1 2 其他私钥密码 一次一密的原理要求密钥长度和明文相当，这对于密钥生成和分发的速度 提出了严峻的考验。特别是针对信息量巨大的数据流加密时，使用全随机密钥 进行一次一密操作是不现实的。因此，人们退而求其次，发明了许多基于少量 密钥的密码协议 2 3 。 d e s ：全称是t h ed a t ae n c r y p t i o ns t a n d a r d ，由美国国家标准局在1 9 7 5 年提出。其原理是使用少量密钥，采用分组加密的方法将明文的数据打 乱和映射。它一直被批评者诟病密钥过短( 5 6 个比特) ，因此后来，多 采用三重d e s ( 重复d e s 密码3 次) 。 a e s ：全称是t h ea d v a n c e de n c r y p t i o ns t a n d a r d ，由美国国家标准局 于2 0 0 1 年公布，用来取代d e s 成为新的标准。这种分组加密的方法， 要求分组大小为1 2 8 比特，保证了它在预防密码分析攻击方面的良好性 能。 r c 4 和a 5 1 ：这两种都是常用的流密码协议。其加密方法和“一次一密” 相同，均是将明文和密钥进行比特异或操作。唯一的区别是，它们使用 的密钥是伪随机的，是利用少量安全密钥种子进行循环操作而生成的。 1 3 2 非对称密码体系 在非对称密码体系中，加密密钥和解密密钥是不同的，分别被收发双方独 自拥有，其主要思想就是利用了单向暗门函数的概念。一个单向暗门函数 ( t r a p d o o ro n e - w a yf u n c t i o n ) f ( x ) 具有以下三个特性： 1 ) 给定变量x ，y = f ( x ) 是很容易计算的； 第一章导论 2 ) 给定变量y ，x = f - 1 ( y ) 的计算是非常困难的： 3 ) 给定变量y 和一个暗门，x = f - 1 ( y ) 是很容易计算的。 也就是说，a 1 i c e 使用一个只有b o b 知道暗门的单向暗门函数f ( x ) ，把自己 的私钥k 代入进行运算得到一个公钥a = f ( k ) 。密文s 和公钥a 会同时送入公开信道 里传送给b o b 。e v e 是可以完全掌握s 和a ，但是由于她不知道函数f ( x ) 的暗门， 试图计算的k = f 1 ( a ) 必然是一个很困难的过程，在对私钥k 未知的情况下，也就 无法获取明文信息。然而对于掌握了暗门的b o b ，这个逆运算k = f - 1 ( a ) 是很容易 的。于是，b o b 可以利用计算得到的私钥k 对密文s 进行解密，从而获取明文。在 这种体系中，由于有公钥需要传递，非对称密码体系也被称为“公钥体系”。如 今常用的公钥协议有以下几种： r s a 密码系统 1 0 ：其名称来自于三个发明人姓名的缩写，此算法是基 于大数分解的困难度。 r a b i n 密码系统 1 3 ：是由m r a b i n 设计的，是r s a 系统的一种改进，同 样利用的是大数分解的困难度，只是它基于二次同余。 e c c 密码系统 1 4 ：全称是椭圆曲线密码系统( e 1 1 i p t i cc u r v e c r y p t o g r a p h y ) 。基于椭圆曲率理论的这种方法，对于初始密钥要求很 小，前景很广阔。 1 3 3 经典密码学的特点 经典密码学中的两个不同的类别，相互补充，各有所长。公钥体系可以很 好地保护个人秘密，然而这种利用数学函数加密的方法速度要比私钥体系慢很 多，当前行业的情况是大量的数据采用对称的流密码加密，而公钥加密则广泛 应用于数字签名、密钥交换等方面。 然而，除去具有完备理论安全性证明的“一次一密”方案，经典密码学的 前提假设了窃听者e v e 的计算能力是有限的，它们只是具有计算安全性。伴随 着量子力学的发展，量子计算机概念和量子算法的提出，使得e v e 破译经典密 码所需的资源从指数时间降为多项式时间。一旦超过了这个最短破译时间，保 密通讯就变得不再安全。虽然人们在努力提高经典密码的破译难度，但原则上 只具有计算安全性是可以被破译的。 从物理学的角度看，现有的经典密码体系都隶属于经典物理的范畴，用于 编码的信息载体多为经典电磁波和光波。这种经典信号即使被窃听者截取或复 制，也不会被发觉。密钥或密钥种子在分配时，一旦进入到公开信道中，就无 法杜绝泄露的可能性 1 5 。 为了面对来自于原理和技术层面的双重挑战，量子密码学应运而生。 6 第一章导论 1 4 量子密码学 量子密码学是结合了量子力学和密码分析的一项新技术，能够确保密钥分 配和传输的安全性。物理学的基本定律保证了它能够抵御强大的破译技术和计 算工具的攻击，包括在量子计算机上使用高效量子算法的攻击。量子密码学体 系包含了量子密钥分配、量子存储和中继、量子身份认证、入侵检测、量子编 码、量子密码共享、量子安全协议、量子密码分析、量子信息论、以及量子密 码和经典密码的结合等研究方向。其中量子密钥分配是量子密码体系的核心， 随着研究的深入，逐渐将量子中继、入侵检测等内容也纳入了量子密钥分配的 研究内容。因此也有研究者将量子密钥分配直接代指狭义的量子密码。 ； 图中窃听者e v e 能够完全掌握量子信道和经典信道。 。：。，。，。一，。一 图1 7 是量子密钥分配协议流程的示意图。a l i c e 将已经编码信息的一个量 子比特通过量子信道传送给b o b 。b o b 对收到的量子比特进行局域测量，得到的 测量结果存储为经典比特信息。由于信道的噪声和衰减，以及e v e 的干扰，会导 致b o b 获得的经典比特中存在着误码。于是双方通过已经建立的安全经典信道 或者是通过认证的经典信道，对经典比特中的比特错误进行纠错。然后，对这 个零误码的经典比特串进行保密放大，使得e v e 可获取的信息量被压缩为零。最 终a l i c e 和b o b 双方可以得到无误码且对于窃听者完全未知的安全密钥【1 6 】。 1 4 1 第一个量子密码协议- b b 8 4 协议 1 9 7 6 年美国哥伦比亚大学的s j w i e s n e r 提出，可以利用量子力学的原 理设计一种无法伪造的“量子钞票”。但是该想法在很长时间内没有得到重视， 直到1 9 8 3 年才得以将论文发表在s i g a c tn e w s 上 1 7 。在这篇文章中除了给出 薷一章导论 量子钞票的概念之外，还提出了更重要的菸轭编码和概率信息传递的思想，正 是后者成为了量子密码学的原始萌芽。幸运的是c hb e n n e t t 与gb r a s s a r d 继承并发展了这个思想，并在1 9 8 4 完成了第一个量子密码的原理性实验。这就 是第一个也是目前得到严格安全性证明的、使用最广的量子密钥分配协议 一b b 8 4 协议 1 8 。从此量子密码技术的研究引起了人们广泛的兴趣，并在理论 和实验方面都得到了蓬勃的发展。 b b 8 4 协议是一个原理上直观而且容易实现的方案，详细的分析和安全性说 明将在第二章中进行这里只是简要的介绍一下。 蚕h , 11、tl l i g h t 嚣黜：凛醚h ，i 、 。划绊n i ” 口 a i c o 3b l t s e q u e n 0 1 100 1 1001110 b o b 。t d b c “o nb a s i s0 口口0 口口口0 口日口口口口 b o b s o n t100 10011000 100 r o s i n e db i t a u n 1 1o0 100 1 0 f i g l8b b 9 4 协议示意圈摘寡【l 卅 整个b b 8 4 包含了两个部分，量子传输阶段和经典通讯阶段。在量子传输阶 段如图18 所示发送方a l i c e 把光子随机制备到四个非正交的偏振态之一- 井通过量子信道发送给b o b 。b o b 对达到的光子随机选择使用水平垂直基或对角 基进行测量，测量结果同样记录为一串二进制比特数。在经典通讯阶段t 双方 在经典信道中只公布随机选择的基矢。只有两人使用了相同一组基才把测量 结果保留下来。同时，他们也会随机选择一小部分正确的测量结果进行公开， 来估算整个比特传的误码。如果误码过高，超过一定的阚值则认为这次协议 是失败的，所有的结果都将抛弃。如果误码正常，那么利用这个误码作为参数， 双方可以进行相应的纠错和保密放大，剔除错误比特，压缩e v e 可获取的信息 量，最后提纯得到最终安全密钥。 b b 8 4 是一个制各一测量的量子密钥分配协议。在这种协议里b o b 对于到 达的光子可以直接进行测量。而不需要量子存储或量子计算机，保证了b b 8 4 系 统在现有商用器件的实际条件下的适用性。 。豪 h 8 【 第一章导论 1 4 2 量子密钥分配的实用化进程 作为在实际生活中使用量子密码系统的用户，对于系统需要考虑的不只是 其理论安全性，系统的通讯能力比如码率，极限传输距离以及便利性和性价比等 也是需要认真考虑。图1 9 中分析了在量子密码系统的实用化进程中，需要着 重研究的内容。 在安全性理论方面，虽然现有的b b 8 4 和e p r 协议拥有理论安全性证明，但对 于实际的量子密码系统，考虑到器件的不完美等因素，实际系统的安全性证明 仍需要进行补足。在2 0 0 4 年，g o t t e s m a n - l o - l u t k e n h a u s - p r e s k i l l 的理论工作 给出了使用非完美器件的量子密钥系统的g l l p 安全性证明 2 0 ，系统使用不完 美光源的安全性也在被研究。但关于探测器和调制部分的建模仍然很粗糙，需 要补足。 在协议方案层面，b b 8 4 的确提供了一种原理直接的量子密钥分配协议方案， 然而许多性能更优异的方案同时也不断地被提出来。虽然安全性上或多或少存 在着问题，但它们的某一些特点在实际推广和应用时有很好的表现。比如，由 许多工程师提出的差分相位量子密钥分配协议，其在高速方向的潜力和对编解 码干涉环结构的简化，使得这种方案在商品化的高速量子密码产品中的应用前 景很广泛。 在系统元件方面，可以直接影响到量子密钥分配码率的是光源的分布和单 光子探测器的性能，所以寻找分布中单光子脉冲比率更高的光源，以及在通讯 波段高速高量子效率低暗计数的新型探测器，对于优化实际量子密码的表现至 关重要。 在系统应用层面，量子密码网络的研究势在必行。如同经典的电话网络发 9 第一章导论 展的轨迹一样，最初的线路就是哪两个用户需要通信。就在之间建立一条线路 这在网络的发展初期的确是最直观的方法，但是随着用户数量的增加，网络的 扩展性和流通性严重受影响同样的问题也会发生在量子网络中，根据量子力 学的性质，光信号在途中不能做测量再制备，也不能直接放大，所以，设计和 搭建出能与现有经典光网络相适应的高效量子密码网络也是研究的一个重点。 追随着不同的兴趣和发展方向，活跃在中国、北美、欧洲以及日本的众多 量子密码研究小组正在逐步将量子密码和量子密钥分配向实际应用的目标努力 推进着。 1 4 3 安全性挑战 对于量子密钥分配系统，所有的安全性证明都不是绝对的。在证明的时候或 多或少地都自定义了一些假设，并以此为基础来进行证明。但是对于实际量子 密钥分发系统，由于不完美器件的使用，这些缺陷就可以成为对实际系统攻击 的出发点。 光子数分离攻击( p h o t o nn u m b e rs p l i t t i n ga t t a c k ) 2 1 3 - 2 3 因为缺少实际可用的标准单光子源，通常系统中使用弱相干光或参量下转换 光源来进行代替。但是他们的光子数态分布，前者是泊松分布，后者是热分 布，均存在着多光子脉冲的概率。对于这部分脉冲，窃听者e v e 可以采用 p n s 攻击来获取信息量。 e v e 进行这种攻击有三个前提条件：首先，她能建立任意长度的衰减为零的 透明信道，来补偿自己的操作带来的光强衰减；其次，她能够进行量子非破 坏性测量，即她能够分辨出脉冲信号中的光子数而不会影