（光学专业论文）量子保密通信数据采集技术与信息安全分析.pdf

摘要 量予密码术是经典通信和量子物理相结合的一门新兴交叉科学。量子密钥 分配( q k d ) 协议利用单光子固有的量子随机性实现具有无条件安全性的密钥分配 是目前量子信息领域中特别具有现实意义的研究方向。 本文在理论上对量子密码通信的信息安全问题做了较全面的分析，同时在实 验上对量子密码通信的实验部分具体关键技术单元做了较详细的分析和介绍。本 文共分五章：第一章简要介绍量子保密通信；第二、三、四章介绍了作者在硕士 期间做的部分工作；第五章为结束语。具体内容安排如下： 第一章：简要介绍了保密通信的类型和原理以及现面临的问题。 第二章：量子保密通信信息窃听方法的提出，并依据偏振光学和信息论基础 理论推导出了q k d 系统中在b r e i d b a r t 基窃听下的最佳窃听效率。 第三章：基于在量子信道损耗的实际q k d 系统中，提出并设计了量子窃听实 验系统。研究表明，在实际q k d 系统中得出了b r e i d b a r t 基分束攻击相结合的 方法是比截取重发策略和分束攻击更为有效的窃听方案。 篼四章：设计了量子保密通信的实际通信系统，对系统的每个关键单元技术 做了较详细的介绍，通过大量的实验，证明了系统的合理性，并取得了一些有价 值的实验数据。 第五章：结束语。 关键词：量子密码术；量子信道损耗；量子密钥分配；信息安全 a b s t r a c t q u a n t u mc o m m u n i c a t i o ni sar i s i n gi n t e r d i s c i p l i n a r yf i e l dw h i c hc o m b i n e sc l a s s i c a l c o m m u n i c a t i o na n dq u a n t u mm e c h a n i c s q u a n t u mk e yd i s t r i b u t i o n p r o t o c o lm a k e s u s eo fs i n g l ep h o t o no fq u a n t a r a n d o m i c i t yt oa c h i e v eu n c o n d i t i o n e ds e c u r i t yk e y d i s t r i b u t i o n ，e s p e c i a l l yw h i c h i st h er e a l i s ms i g n i f i c a n c eo fr e s e a r c hw a yi nq u a n t u m i n f o r m a t i o na tp r e s e n t i nt h i s t h e s i s ，w eg e n e r a ld i s c u s st h a tt h ep r o b l e mo fi n f o r m a t i o ns e c u r i t yi s a n a l y z e db yt h e o r e t i c a lm e t h o di nq k d m e a n w h i l e w ei n t r o d u c ea tl a r g et h ek e yt o c e l l t e c h n o l o g yi n t h e e x p e r i m e n t a lq k d t h et h e s i s i s c o m p o s e do f5c h a p t e r s ， a m o n g w h i c ha r e ，c h a p t e r1i sas u r v e y , c h a p t e r2 , 3 ，4a r et h ei n t r o d u c t i o n so fo u r o w nw o r k ，a n dc h a p t e r5i sac o n c l u s i o n t h et h e s i si ss t r u c t u r e dp a r t i c u l a r l ya s f o l l o w s ： c h a p t e r l ：f i r s t l y , t h ek i n d sa n ds c h e m a t i co f t h ec r y p t o g r a p h i cc o m m u n i c a t i o na r e i n t r o d u c e d s e c o n d l y , i t i sf a c e dw i t hp r o b l e m si nq u a n t u mc o m m u n c a t i o na tp r e s e n t c h a p t e r 2 ：i t h a s p u t f o r w a r daw a yo fi n f o r m a t i o n e a v e s d r o p p i n g i n q k d a c c o r d i n g t op o l a r i z a t i o no p t i c sa n di n f o r m a t i o nt h e o r y , w i mt h eb r e i d b e r tg r o u po f e a v e s d r o p p i n g ，w e i n d u c et ot h ep r i m ee a v e s d r o p p i n g e f f i c i e n c yi nq k d c h a p t e r 3 ：b a s e do nq u a n t u mc h a n n e ll o s s yi np r a c t i c a lq k d ，w ep r o p o s ea n d d e v i s et o q u a n t u me a v e s d r o p p i n gs y s t e m t h e r e s e a r c hs h o w st h a tb r e i d b a r t e a v e s d r o p p i n g b e a m s p l i t t e r i st h em o r ee f f e c t i v eo n eb r e i d b a r t e a v e s d r o p p i n g b r e i d b a r t r b bs t r a t e g y ) c h a p t e r 4 ：d e s i g n i n gp r a c t i c a lq k ds y s t e m ，m e a n w h i l ew e i n t r o d u c ea tl a r g et h e k e y t oc e l lt e c h n o l o g yi nt h ee x p e r i m e n t a lq k d ，t h r o u g ha d e a lo f e x p e r i m e n t s ，w h i c h p r o v e d t oar e a s o n a b l es y s t e ma n d a c q u i r e d t os o m ev a l u a b l ee x p e r i m e n t a ld a t a c h a p t e r5 ：s u m m a r i z i n g t h ec o n t e n t so ft h et h e s i s k e yw o r d s ：q u a n t u mc r y p t o g r a p h y ；q u a n t u m c h a n n e l l o s s y ；q u a n t u mk e y d i s t r i b u t i o n ：i n f o r m a t i o ns e c u r i t y v 日| j茜 量子密码术是量子物理学和密码学相结合的一门新兴交叉科学，它成功地 解决了传统密码学中单靠数学无法解决的问题并引起国际上高度的重视，是主要 应用于量子信息领域的一个重要课题。随着单光子探测等技术的不断发展，量子 密码通信技术在全光网络和卫星通信等领域的应用潜力会不断挖掘并成为现实， 当量子计算机成为现实时经典密码体制将无安全可言，量子密码术将成为保护数 据安全的最佳选择之一。本文的工作分为三大部分： 一、基于理想q k d 系统安全性分析。在该部分我们借鉴了偏振光学和信息 论基本理论，在基于理想单光子源的基础上从理论上推导并获得o k d 系统在 b r e i d b a r t 基窃听下的最佳窃听效率，系统分析了b b 8 4 协议以及六态协议中的 各种b r e i d b a r t 基窃听策略，计算出e v e 可能获得的最大信息量。研究表明，b b 策略时可获得最大交互信息量，同时在各种窃听方案下对a l i c e 和b o b 提出了相 应的反攻击策略，从而为合法通信者间的安全通信和对e v e 的检测提供了判定的 依据和标准。 二、基于实际q k d 系统安全性分析。在该部分，我们是基于实际o k d 系统中， 系统分析了考虑量子信道损耗和用激光弱脉冲实现的准单光子源的实际q k d 系 统b b 8 4 协议和六态协议下b r e i d b a r t 基分束攻击相结合的方法，研究了e v e 可 能获得的信息量和a i i c e b o b 所能容忍的误码率上限，同时研究还表明，在实际 q k d 系统中得出了b r e i d b a r t 基分束攻击相结合的方法是比截取重发策略和分 束攻击更为有效的窃听方案。 三、量子保密通信系统的实验研究。在该部分我们自行研制了实际的量子保 密通信系统，并对系统的每个单元技术做了详细的介绍，又通过用m a t l a b 编程 实现了量子编码和解码的全过程，验证了量子密码通信系统的安全性。 总之，这些研究工作对于推动量子保密通信技术在量子通信领域中的广泛应 用和从而为合法通信者问的安全通信和对e v e 的检测提供了判定的依据和标准 有着非常重要的意义。 v i 致谢 在即将完成我的硕士研究生学业之际，我要衷心地感谢每一位关心和帮助过 我的老师、同学、朋友和亲人! 没有4 1 i 1 4 1 7 的关心和帮助，我是不可能如此j l r 胛l 地 完成学业。 忠心感谢我的导师唐志列教授、廖常俊教授以及梁瑞生教授，感谢他们三年 来，无论在学习还是生活上，三位导师都给予了我无私的关怀，他们宽厚的为人、 渊博的知识、严谨的治学态度、敏锐的洞悉力及忘我的敬业精神使我感受至深， 并将使我终生受益。任何语言都无法表达我对这三位导师的深切感激之情。在此， 谨向唐老师、廖老师以及梁老师表示最崇高的敬意和最诚挚的感谢! 其次，我还要感谢刘颂豪院士在我攻读硕士期间在科研工作上给予我的指导 和帮助。同时还要感谢中国科学院物理研究所信息安全国家重点实验室杨理博士 后对本人在该课题的指导和帮助。 感谢我的合作伙伴魏正军同学和刘景锋同学，在本课题研究中进行了良好的 配合。在此，一并表示衷心的感谢。 感谢所有关心和帮助过我的老师、同学和朋友们，他们给予我精神上的鼓励 及物质上的帮助，使我感受到集体的温暖和相互协作的愉快。 特别感谢抚养我成长的父母和处处给我鼓励和支持的哥哥。我的进步离不开 他们给我的无私的爱。 谁言寸草心，报得三春晖! 最后，再次感谢所有关心、爱护我的老师、同学、 朋友和亲人! 本文受到国家0 7 3 计划资助项目( 2 0 0 1 c b 3 0 9 3 0 0 ) ，广州重大科技攻关项 目( 1 9 9 9 2 0 3 5 - 0 1 ) 经费资助。 第一章量子保密通信概论 第一章量子保密通信概论 1 1 量子保密通信的发展 量子密码术是密码术与量子力学结合的产物，它利用了单光子固有的量子 随机性实现具有无条件安全性的保密通信技术。它的思想首先是由美国科学家 w i e s n e r 于1 9 6 9 年提出，可利用单量子态制造不可伪造的“电子钞票”。但这 个设想的实现需要长时间保存单量子态，不太现实。b e n n e t t 和b r a s s a r d 在研 究中发现，单量子态虽然不好保存但可用于传输信息。1 9 8 4 年，b e n n e t t 和 b r a s s a r d 提出了第一个量予密码术方案，称为b b 8 4 协议”“1 ，由此迎来了量子密 码术的新时期。1 9 9 1 年牛津大学e k e r t 提出e 9 1 协议“1 ，1 9 9 2 年，b e n n e t t 又提 出一种比b b 8 4 更简单，但效率减半的方案，即b 9 2 协议”1 。自此，量子密码通 信三大主流方案已基本形成。 量子密码术并不用于传输密文，而是用于建立、传输密码本。根据量子力 学的不确定性原理以及量子不可克隆定理，任何窃听者的存在都会被发现，从而 保证密码本的绝对安全，也就保证了加密信息的绝对安全。最初的量子密码通信 利用的都是光子的偏振特性，目前主流的实验方案则用光子的相位特性进行编 码。目前，在量子密码术实验研究上进展最快的国家为英国、瑞士和美国。英国 国防研究部于1 9 9 3 年首先在光纤中实现了基于b b 8 4 协议的相位编码量子密钥分 发，光纤传输长度为1 0 公里。1 。这项研究后来转到英国通讯实验室进行，到1 9 9 5 年，经多方改进，在3 0 公里长的光纤传输中成功实现了量子密钥分发。与偏振 编码相比，相位编码的好处是对光的偏振态要求不那么苛刻。在长距离的光纤传 输中，光的偏振性会退化，造成误码率的增加。然而，瑞士日内瓦大学1 9 9 5 年 基于b b 8 4 协议的偏振编码方案，在日内瓦湖底铺设的2 3 公里长民用光通信光缆 中进行了实地表演，误码率为3 4 。1 。1 9 9 7 年，他们利用法拉第镜消除了光纤 中的双折射等影响因素，使得系统的稳定性和使用的方便性大大提高，被称为 “即插即用”的量子密码方案。美国洛斯阿拉莫斯国家实验室采用类似英国的实 验装置，通过先进的电子手段，以b 9 2 方案成功地在长达4 8 公里的地下光缆中 传送量子密钥，同时他们在自由空问里也获得了成功。1 9 9 9 年，瑞典和日本 第一章量子保密通信概论 合作，在光纤中成功地进行了4 0 公里的量子密码通信实验。现在，量子保密通信 的距离己延伸到1 5 0 k m i ”1 。 在中罔，量子密码通信的研究起步较晚，中科院物理所于1 9 9 5 年以b b 8 4 方案在国内首次做了演示性实验“，华东师范大学用b 9 2 方案做了实验，但也是 在距离较短的自由空问里进行的“。2 0 0 0 年，中科院物理所与研究生院合作， 在8 5 0 n m 的单模光纤中完成了1 1 公里的量子密码通信演示性实验“，近期，山 西大学量子光学与光量子器件国家重点实验室在国内外第一次完成了用明亮的 e p r 关联光束完成了以电磁场为信息载体的连续变量量子密集编码和量子保密 通信的实验研究。“。总的来说，比起国外目前的水平，我国还有较大差距。 1 2 保密通信基本理论 信息技术的飞速发展，给人们的信息交流带来了极大的方便，但同时也引发 了人们对通信安全的忧虑，“黑客”入侵的故事已经是屡见不鲜。能够彻底防范 第三者窃听的技术，已经成为军事、外交、商业贸易、网络通信等领域迫切的需 要。 保密通信的目的“”就是让通信双方互相交流信息而不让非法第三者窃取或 破坏信息的内容。通常说的对信息加密就是对信息明文m 进行数据的变换g 名， 得出密文c ： q ( m ) ；c ( 1 2 1 ) 密文发给合法的接受者，通过逆变换进行解密，恢复原明文m g ：( c ) ；m ( 1 2 2 ) 明文和密文之间的变换借密码算法在参数k 作用下完成，这样的参数可称为 密钥，保密通信的关键就在于密钥k 的生成。一个最简单的加密例子为，对明文 c i p h e r 每个字按字母表顺序往后循环错3 位，形成密文c r y p t o t e x t ，此时k = 3 。 解密就只需按字母表向前循环3 个字母即恢复原文。这种加密、解密使用同样的 或可互推的密钥称为对称密码，其缺点是必须经常更换密钥，否则容易被破译，而 2 第一章量子保密通信概论 图卜1经典密码通信基本原理图 这意味着通信双方之间必须经常传送密钥，这更增加了被窃听的危险。图卜1 给 出传统密码通信的基本原理“。在密码学中，发送者、接受者及窃听者各有惯用 名，分别取为a 1 i c e 、b o b 和e v e 。 1 2 1 传统的密码体制 保密通信的历史久远，它的起源可以追溯到几千年前的埃及、巴比伦、古罗 马和希腊，它的目的就是让通信双方互相交流信息而不让第三者窃取或破坏信息 的内容。密码学的起源可能要追溯到人类刚刚出现，并且尝试去学习如何通信的 时候。他们不得不去寻找方法确保他们通信机密的安全。但是最先有意识的使用 一些技术的方法来加密信息的可能是公元六年前的古希腊人。他们使用的是一根 叫s c y t a l e 的棍子。送信人先绕棍子卷一张纸条，然后把要写的信息打纵写在上 面，接着打开纸送给收信人。如果不知道棍子的宽度( 这里作为密匙) 是不可能 解密里面的内容的。后来，罗马的军队用凯撒密码( - - 个字母表轮换) 进行通信。 随着密码学的发展，人们提出了许多复杂的密码方法，其中具有代表性的有以下 三种“。 ( 1 ) 、一次一密密码体制 仙农( s h a n n o n ) 是信息理论的创始人，1 9 4 9 年他发表了保密通信系统 的通信理论一文，提出了密码通信系统模型。仙农理论提出并证明了：当密钥 的随机性十分理想，不产生重复，并且密钥量至少不少于所要传送的信息量时， 在理论上是不可破译的，属于“完全保密体制”。使用与原有信息一样长的随机 数序列作为密码本，并且一个密码本只使用一次，成为v e r n a m 或一次性便笺式 密码本，目前只有这种加密方法从数学上被证明是不可破译的a 军事上和外交上 常使用这种方式加密。它的缺点是，要求通信双方经常生成、传送并保存很多的 第一章量子保密通信概论 数据作为密码本，使用很不方便，而且令人担忧的是，密码本通过经典方式传送 仍有l j j 能被截获、复制或篡改。 ( 2 ) 、对称密码体制 对称密钥加密也叫分组密码，它使用单个密钥。这种密钥既用于加密，也用 于解密。对称密钥加密是加密大量数据的一种行之有效的方法。 对称密钥加密有许多种算法，但所有这些算法都有一个共同的目的就是用还 原的方式将明文( 未加密的数据) 转换为暗文。暗文使用加密密钥编码，对于没 有解密密钥的任何人来说它都是没有意义的。由于对称密钥加密在加密和解密时 使用相同的密钥，所以这种加密过程的安全性取决于是否能保证机密密钥的安 全。 最有影响的对称密码体制是1 9 7 7 年美国国家标准局颁布的d e s 算法。对称 密码体制的优点是：安全性高，加解密速度快。缺点是： 随着网络规模的扩大，密钥的管理成为一个难点； 无法解决消息确认问题； 缺乏自动检测密钥泄露的能力。 ( 3 ) 、公钥密码体制 虽然一次一密的加密方案能够绝对保证安全，但是由于它的弊端，1 9 7 6 年 美国密码学家d i f f i e 和h e l l m a n 提出了公开密钥加密体制。它的特点是加密规 则公开，在商业贸易的电子往来中被普遍使用。但是在数学上没有能够证明公钥 密码是不可破译的，它主要是依赖破译难度大、时间长来保证其安全性。它的基 本思想是把过去采用同一种密钥进行加密和解密的传统做法改为使用两个完全 独立、不同的密钥，因而可以分开使用密钥加以实现。即将加密和解密变换分开 进行，这样就无须再对加密密钥进行保护，却同时也能够达到保密的目的，因为 此时的加密密钥已经不再作为解密变换之用。故公开密钥体系所要解决的课题便 是：必须设计出一种新的算法，它能迅速而方便地产生一对随机的、互逆的密钥 e 和d ，其中e 用于加密变换，d 用于解密变换，并且无论是用d 还是e ，在计算 上的操作都应当一卜分方便，同时，在实践上几乎无法从e 算出d 。这种公开密钥 第一章量子保密通信概论 体制极大地简化了直不能解决的密钥分配问题，但是从理论上讲，这种加密方 法并不是绝对安全，特别是计算机技术的飞速发展，对这种加密方式的破泽越来 越变得可能。 1 2 2 量子保密通信 量子密码通信是目前科学界公认唯- - “n b 实现绝对安全的通信方式“。量子密 码通信系统能够保证：合法的通信双方可觉察潜在的窃听者并采取相应的措旌， 使窃听者无法破解量予密码，无论破译者有多么强大的计算能力。同时，量子密 码通信不是用来传送密文或明文，而是用来建立和传送密码本，这个密码本是绝 对安全的。它依赖于两点： ( 1 ) 、基本量子力学效应 测不准原理 在量子力学中，到任意两个可观察的物理量可用厄密算符五和豆表示。若它 们不对易或者说不能有共同的本征态时，必满足测不准关系式： ( ( j ) 2 ) ( ( 豆) 2 ) z 了1i ( 【j ，豆】) 1 2 表示两个物理量j 和豆不能同时具有完全确定的 叶 值，对一组物理量的精确测量必然同时导致另一组物理量的完全不确定，即量子 力学基本原理h e i s e n b e r g 测不准原理。 量子不可克隆定理 1 9 8 2 年，w o o t t e r s 和z u r e k 在( ( n a t u r e ) ) 杂志上发表的一篇短文中提出这 样一个问题：是否存在一种物理过程，实现对未知量子态的精确复制，使得每个 复制态与初始量子态完全相同? 该文证明，量子力学的线性特性禁止这样的复 制，这就是量子不可克隆原理的最初表述。“。 ( 2 ) 、量子密钥分配协议 到目前为止，实现量子密码通信的方案主要有如下几种： 基于两种共轭基的四态方案，其代表为b b 8 4 协议。 b b 8 4 协议叫的原理是利用单光子量子信道中的测不准原理。在量子力学中， 对任意两个可观察的物理量可用厄密算符j 和豆表示。若它们不对易或者说不能 第一章量子保密通信概论 有芡同的本征态时，必满足测不准关系式：( ( 幽) 2 ) ( ( 豆) 2 ) z 三l ( 晒，b i ) 1 2 表示 两个物理量j 和豆不能同时具有完全确定的值，对一组物理量的精确测量必然同 时导致另一组物理量的完全不确定，即量。子力学基本原理l l e i s e n b e r g 测不 准原理。其具体通信过程可参考文献 2 2 3 的介绍，1 3 8 8 4 协议为b 9 2 协议的建 立奠定了坚实的基础。 基于两个非正交量予态性质的b e n n e t t 方案，其代表为b 9 2 协议。 b 9 2 协议”1 的原理是利用非正交量子态不可区分原理，即对两个非正交量子 态不可能同时精确测量，这是由测不准原理决定的。现在b 9 2 协议已成为实际量 子密码通信的主要实现方式，我们就以它为例解释量子密码术的中心思想。首先， 选择光子的任何两套共轭的测量基( 这里我们取偏振方向为0 0 和9 0 0 ，4 5 0 和1 3 5 0 的两套线偏振态，并定义0 0 和1 3 5 0 代表量子比特0 ，4 5 0 和9 0 0 代表量子比特 1 ) ，合法通信者a l i c e 随机发射偏振态( 这里取0 0 和4 5 0 ) ，b o b 随机使用偏 振态( 这里耿9 0 0 和1 3 5 0 ) 进行同步测量。 下面是与表卜1 对应给出建立密码本的具体步骤： 1 ) a l i c e 以0 。或4 5 。光子线偏振态随机向b o b 发射选定的光子脉冲； 2 ) b o b 随机选取9 0 。或1 3 5 。方向的检偏基检测，当b o b 的检测方向与a i i c e 所选 方向垂直，探测器完全接收不到光子；当成4 5 。时，则有5 0 的概率接受到光子。 一旦b o b 测到光予，b o b 就可推测出a l i c e 发出的光子的偏振态； 3 ) 然后，b o b 通过公共信道告诉a l i c e 所接收到光子的情况，但不公布测量基， 并且双方放弃没有测量到的数据( 空格表示未接收到光子) ：此时如无窃听或干 扰，a 1 i c e 和b o b 双方则共同拥有一套相同的随机数序列。 4 ) b o b 再把接收到的光子转化为量子比特串； 5 ) b o b 随便公布某些比特，供a l i c e 确定有无错误( 其实就是验证b o b 的身份) ； 6 ) 经a l i c e 确认无误断定无人窃听后，剩下的比特串就可留下建立为密码本。 这种方法比b b 8 4 协议简单，但代价是传输速率减少一半，因只有2 5 的光子被 接受到。 6 第一章量子保密通信概论 表卜1 b 9 2 协议的量子密码通信基本原理表 a | f f | b i | ll|i|ll c 4 d 110001 e 10 f 1001 基于量子纠缠的e p r 关联光子对e k e r t 方案，其代表为e 9 1 协议。 e 9 1 协议“3 的原理是利用e p r 效应，即制备一对e p r 关联光子对，通信双方 具有确定、不变的关联，如测得其中一个光子的极化态向上，同时遥远的另一个 光子的极化态一定朝下，且不随时间和空间的变化而改变。因此，两个具有确定 关联的光场用来建立通信双方间共享密钥的信息载体，任何窃听都会破坏这种关 联而被发现。如图卜2 所示，其通信过程是：首先，由e p r 源产生的光予对分别朝 z 方向发送到合法的用户a l i c e 和b o b ，a l i c e 任意选择检偏基( 线偏振基或圆 偏振基) 测量接受到的其中一个光子i ，测量的结果由e p r 关联决定，同时b o b 也 随机用检偏基测量接受到的e p r 关联对的另一个光子2 ，并记录测量结果，然后 b o b 通过公共信道公开其使用的测量基( 但不公布测量结果) ，a l i c e 告诉b o b 那些检偏基选对了，然后双方保留正确的结果并将它转化为量子比特串，再通过 商定建立为密码本。它与b b 8 4 不同的是检验双方保留的数据是用b e l l 不等式检 验，如果违反不等式，表明量子信道是安全的没有被窃听；如果满足不等式时， 表明信道有问题即存在窃听者。总之，其安全性源于b e l l 原理，根据量子力学原 理该协议是安全的。 日二二：二苫二二二二：e p h o t o m e p rs o u r c e p h o t o n 2 图卜2 基于量子纠缠的量子密码通信基本原理图 第章量子保密通信概论 1 3 量子密码的产生 考虑到环境噪声和窃听者的作用，为防止窃听者获得尽可能多信息从而实现 高效的量子密码传输通信，因此在实际通信系统巾，所有量子密钥分发协议都要 完成以下四个过程”“。 ( 1 ) 量子传输 不同量子密码协议有不同的量子传输方式，但它们有一个共同点：都是利用 量子力学原理( 如海森堡测不准原理) 。在实际的通信系统中，在量子信道中 h l i c e 随机选取单光子脉冲的光子极化态和基矢，将其发送给b o b ，b o b 再随机 选择基矢进行测量，测到的比特串记为密码本。但由于噪声和e v e 的存在而使接 受信息受到影响，特别是e v e 可能使用各种方法对b o b 进行干扰和监听，如量子 拷贝，截取转发等，根据测不准原理，外界的干扰必将导致量子信道中光子极化 态的改变并影响b o b 的测量结果，由此可以对窃听者的行为进行检测和判定。这 也是量子密码区别于其它密码体制的重要特点。 ( 2 ) 数据筛选 在量子密码传输中由于噪声的原因，特别是窃听者e v e 的作用，将使量子信 道中的光子极化态发生改变。同时，在实际的通信系统中，接受者b o b 的接受仪 器不可能有1 0 0 的正确测量结果，所有在传送过程中没有收到或测量失误等各 种因素的影响而不合要求的量子比特串，由a l i c e 和b o b 通过量子信道比较测量 基并计算出误码率，若超过一定误码率“”，应考虑窃听者的存在，双方可以放弃 所有数据并重新开始，如果没有则双方将筛选后的数据作为密码本保存下来。 ( 3 ) 数据纠错 在数据筛选后，通信双方仍不能保证各自保存的全部数据没被窃听，所以必 须对原数据进行纠错。目前比较好的方法是采用奇偶校验，具体做法是：a l i c e 和b o b 将数据分为n 个数据区，然后逐区比较各数据区的奇偶校验子，例如计算 一个数据区的1 的个数并进行比较，如果不相同，则将该数据区再细分，然后再 继续上面的过程。若相同，双方约定放弃该数据区的最后一个比特。上述操作过 程重复多次，目的是为了尽可能减少e v e 所获得密钥信息。量子信息论的研究表 明。这样做使e v e 所获得的信息量按指数减少，虽然数据纠错减少了密钥的信息 8 第一章量子保密通信概论 量，但保证了密钥的安全性。 ( 4 ) 保密加强 保密加强是为了进一步提高所获得密钥本的安全性和保密性而采取的一种 必要措施。其具体的思想：对于窃听者e v e 知道的部分比特串信息的比特串( 量 子比特串或经典比特串) ，利用一个数据压缩函数在一定的编码规则下，压缩了 该比特串的长度，从而使e v e 知道的信息量最小或不知道，最终提高所获得密码 ( 或信息) 的安全性和实现量子密码通信的安全。 1 4 量子密码通信面临的问题和未来的发展前景 目前，在量子密钥分发的实用化实验研究中，量子比特的传输距离可达 1 5 0 k m 左右，但传输速度只有几百b i t s ，虽然可以在小规模网络中应用，但量 子信息安全系统商业化还有一系列工作要做。目前，阻碍量子密码术走向实用的 技术问题主要有以下几个问题： ( 1 ) 首先，由于光纤的低损耗、稳定性好以及能实现长距离传输的优点，所以 考虑在光纤中建立量子信道，信息载体采用单光子，问题是制造出高效的单光予 源比较困难，这是因为在实际中获得理想的单光子很困难。单光予源是将脉冲激 光大幅度衰减且其光子统计服从泊松分布，当脉冲激光衰减到平均每个脉冲0 1 个光子时，每个脉冲含2 个以上光子的概率才降为0 5 ，当平均光子数继续减 少时单光子速率也相应降低，这就导致了现在量子密码传输系统的带宽窄和传输 速率慢。加之光纤的吸收，单光子无法实现远距离传输。最近，段路明等提出一 个量子中继器的新设想有望解决这个局限性。“。目前，虽然国内外对单光予源的 研究有一些进展，但都只是处于实验阶段而离实用化还有一段距离。”“。 ( 2 ) 其次，关键是我们还需工作在所需波长段的高效单光子探测器。目前，常 用的探测单光子仪器有：光电倍增管( p m t ) 和雪崩光电二极管( a p d ) 。但这两种器 件共同缺点是：都需通过高压来获得放大，此外，光电倍增管在红外波段的量子效 率太低以及其玻璃外壳使器件过大而易碎和a p d 需要液氮来降低噪声，这需要庞 大的设备来维护且成本很高，同时为挫败潜在窃听者的企图，就必须采用高效的 光子探测器以减少系统自身错误。目前对单光子探测器的研究有一定进展，但都 第一章量子保密通信概论 不能从根本上改变其量子效率、温度和工作电压等问题“。 ( 3 ) 我们还要防止窃听者假扮合法通信者来非法获取通信信息。因此，量子 密码术要走向实用，必须结合一些经典技术，如：保密加强，纠错及认证技术等。 这在一定程度上也减弱了量子密码术在技术上的优势。这些问题都有待于整个量 子信息技术的发展，例如，量予存储器的技术。1 。“等。 ( 4 ) 量子密码系统即使没有窃听者窃听的情况下，由于系统自身的不稳定性 也会造成一定的长期误码率，使通信的质量受到影响。还有在实际量子通信系统 传输过程中，由于调制、采集数据过程中速度太慢和光探测器暗计数误码、信道 噪声所产生的误码，从而导致实际的通信速度太慢和造成一定的误码率。同时目 前在理论上还无法区分非法侵入和信道噪声所引起的误差，这须通过必要的校验 来使通信双方获得一致的密钥。所以说，只有进一步提高系统性能才能使量子密 码技术走向实用化发展。 ( 5 ) 阻碍量子密码术走向实用，既有技术问题也有经济问题，因为量子通信 技术必须与传统的通信技术来竞争以获得市场，而这些传统方法在长距离一l 以及 成本费用上更低，从而使量子密码通信技术处于不利地位。这也是目前量子密码 术难以立即转化为实用技术的原因之一一。但是从总的发展趋势看，经典保密通信 的成本是逐年提高，而量子密码通信正随量子密码技术的发展其成本在降低。虽 然现在量子密码技术的理论和实验条件还不成熟，但从理论设想到现在已实现几 十公里已接近实用的量子密码通信系统只用短短几年的时间，发展如此之迅速， 这足以证明量子密码通信技术的强大生命力，它的前途是不可限量的。期望在不 久的将来，随着单光子探测等技术的不断发展，量子密码通信技术在全光网络和 卫星通信等领域的应用潜力会不断挖掘并成为现实，国外已开展了这一方面的研 究睁1 。人们预测，当量子计算机成为现实时经典密码体制将无安全可言，量子 密码术将成为保护数据安全的最佳选择之一。 1 0 第二章基于理想q k d 系统安全性分析 第二章基于理想o k d 系统安全性分析 2 1 引言 量子密钥分配( q k d ) 协议利用单光子固有的量子随机性实现具有无条件安全 性的密钥分配，是目前量子信息领域中特别具有现实意义的研究方向“。t 9 8 4 年b e n n e t t 和b r a s s a r d 首先提出的b b 8 4 协议。1 是q k d 的典型协议，同时关于q k d 协议的安全性又是量子保密通信中一个重要的课题，其中一个必须解决的就是 e v e 不透明窃听的策略问题，文献 4 依据两种窃听方式各自的a 1 i c e e v e 平均 交互信息量i ”的大4 , n 断，正则基窃听优于b r e i d b a r t 基窃听；文献 1 1 进一 步考虑了纠错过程对a l i c e e v e 间平均交互信息量的影响，得到q k d 标准纠错手 续中b r e i d b a r t 基窃听更为有效的结论。本文主要对b b 8 4 卧议和扩展b b 8 4 协议 ( 义称六态协议“”1 ) 的b r e i d b a r t 基窃听做了全面的分析，得出了各种b r e i d b a r t 基窃听的方案及具体的物理操作过程和各种窃听策略的效率，同时比较了 a 1 i c e e v e 策略在b o b 处引起的错误率，计算出经标准纠错手续公开纠错后各策 略所能达到的有效平均交互信息量和各种窃听方式下对a l i c e e v e 问的平均交 互信息量的影响，结论得出了在g r e i d b a r t 基窃听下的安全性问题，同时也进一 步验证了文献 4 1 1 的结论，同时还提出了各种窃听方案下a l i c e 和b o b 相应 的反窃听策略。 2 2 信息论基础 量子保密通信系统对密码本的要求：由一次一密的原理”“，密码本的信息 熵必须大于等于明文的信息熵，所以，密码本的信息熵越大越好。熵的计算公式 为： h ”一荟p 刚0 9 2 p ) ( 2 2 1 ) 式中p ( x 。) 为随机码中0 和1 的概率。当0 和1 等概率出现时，随机码的熵达到最 大，有最大的不确定性。 第二章基于理想q k d 系统安全性分析 2 3b b 8 4 协议中的b r e i d b a r t 基窃听原理分析 在b b 8 4 队议中采用的两两共轭基是一组圆偏振基和一组线偏振基。为了计 算的方便，在这里我们采用两两共轭的两组线偏振基，合法通信者a 1 i c e 和b o b 分别随机选择光子的任何两套共轭测量基的偏振态( 这里我们取偏振方向为o 。和 9 0 0 ，4 5 0 和1 3 5 0 的两组线偏振态，并定义o o 和4 5 0 代表量子比特0 ，9 0 0 和4 5 0 代表量子比特1 ) ，a l i c e 发射随机序列和b o b 同步用随即序列测量。下面我 们来考虑一下b b 8 4 协议中的b r e i d b a r t 基窃听方案问题，本文e v e 采用 b r e i d b a r t 基为沿0 方向和0 + 兰方向的一组线偏振基来窃听，如图( 2 一1 ) 所示。 z 即： 得到 e 。0 ：、。c ；o 。s 。0 )才：( 意。) l 。) 2 ( ：) 2 4 7 e 。0 + b ? e ? 詈) 2 拭) = a o ”0 砖? l 詈) = ( ：) = 4 ；e 。0 + 占；e ? 荨) 一批卜0 球? a , o = c o s 0 钟：一s i n 0 4 ：= 击蛳。+ c o s 。) 口z 0 = 击2 ( c o s 0 - s i n 0 ) 掣= s i n 0 1 2 ( 2 3 2 ) ( 2 3 3 ) ( 2 3 4 ) ( 2 3 5 ) ( 2 3 6 ) ( 2 3 7 ) ( 2 3 8 ) ( 2 3 + 9 ) ( 2 3 1 0 ) ( 2 3 儿) 第二章基于理想q k d 系统安全性分析 可得 b ? ：c o s 0 爿：；击2 ( - s i n 0 + c o s 0 ) b 。0 = - c o s 0 - s i n 0 ) 陋h 瑶r ( 1 + s i 阱= 卅= 0 “n 2 0 ) 旧| 2 = | 磁1 2 = c 。纷 蝌= 憎卜i n 2 0 3 n _ _ _ 4 兀 l 兰 么二 0 0 图2 1 b b 8 4 协议中b r e i d b a r t 基窃听示意图 o ( 2 3 1 2 ) ( 2 3 1 3 ) ( 2 3 1 4 ) ( 2 3 1 5 ) ( 2 3 1 6 ) ( 2 3 1 7 ) ( 2 3 1 8 ) 为求b r e i d b a r t 基窃听的最佳窃听角度，我们定义一个幽毅 f ( o ) = 意i p l 2 一l 群1 2 i ，并求出函数极值点对应的最佳窃听角度。，这等价于 求函数 f ( 。) ：2 1s i n 2 0 1 + 2 1 c o s 2 0 l ：2 s i n 2 0 + 2 c o s 2 0 ( o co c 三) ( 2 - 3 1 9 ) 的极值点，由等i 。i = o t 9 2 0 。一1 ，因此得f ( 。) 的极值点为 第二章基于理想q k d 系统安全性分析 。= 詈( 2 3 2 0 ) 也即o 。= 里8 为b r e i d b a r t 基窃听的最佳窃听角度。 此时 陋1 2 = 陪| 2 = ：( 1 + 疆1 ) c z 一z t ， 陋1 2 = 陋i 2 = 三( 1 一花1 ) c z 。z z ， 由于睇0 4 ) ，l e ：“) 为b r e i d b a r t 窃听基，两组基上信号的最佳窃听效率都为 t 1 虬：h m l 2 ：协1 2 ：0 8 5 3 6 ( 2 3 2 3 ) 2 4 扩展b b 8 4 协议中的b r e i d b a r t 基窃听原理分析 互共轭的线偏振基。下面考虑三组共轭基为1 日) ，i t ) ，1 l ) ，i r ) 和l 詈) ，l 孚) 的扩 展b b 8 4 协议( 也称六态协议) 的b r e i d b a r t 窃听问题。如果e v e 截获光子后令其 通过一个装置，使1 h ) 分量的相位较l 矿) 分量的相位超前詈，则依据上节的讨论， 旧，i r ) 和i 詈) ，l 莩) 在变换后同时成为长轴在詈方向和荨方向的椭圆偏振光， 而1 日) ，i 矿) 在变换后仍为原方向的线偏振光。因此，我们试取e v e 用于窃听的 b r e i d b a r t 基为沿。方向和罢+ e 方向的一组线偏振基，表为 0 ：( 盏；)。e ? = ( 蒜。) 仫， 此时有 罢) = 击( 8 i = 爿? e 。+ 口? e 1 c 。a z ， 1 4 第二章基于理想o k d 系统安全性分析 其中 可得 而 夸圳叫e ：e 撕卜 巧2 荆刮“球1 爿；= 击( f s i 0 + e o ) 硝= 去舢e o ) 蝌制2 = = = 扣万1 s t n 2 。) ( 2 4 3 ) ( 2 4 4 ) ( 2 4 5 ) ( 2 4 6 ) ( 2 4 7 ) ( 2 4 8 ) ( 2 4 9 ) ( 2 4 1 0 ) ( 2 4 1 1 ) ( 2 4 1 2 ) ( 2 4 1 3 ) ( 2 4 1 4 ) = = 阱。蝌= 0 一万1 s i n 2 叭亿a 砌 卿 卿 吣 删 。 已 霉 二 鲫 一 一 一 污杂音寺 0 移 柑 卿 宝 妇 啡 矧 拯* 第二章基于理蠢! ：iq k d 系统安全l , l $ ) - 4 酽，从平均交互信息量来看p 窃听更为有效。 下面我们主要考虑的是在不同b r e i d b a r t 基窃听策略下在b o b 处引起的错误率及 计算出a l i c e e v e 间的有效平均交互信息量，并进行了详细的比较分析。 ( 1 ) 、p 基窃听p 基重发 e v e 选基准确时不会在b o b 处引起附加的错误率，而e v e 选基错误时有三的概 率引起b o b 的错误，故e v e 将引起b o b 处的错误率为一1 。a l i c e 和b o b 公开纠错 1 7 第二章基于理想q k d 系统安全性分析 之后8 v e 手中正确比特仍为三2 ，这部分对有效信息量的贡献为三。e v e 选基错误 的比特的正确率仍为5 0 ，但对交互信息量没有贡献