（光学工程专业论文）差分量子密钥分配系统安全性分析与实验研究.pdf

华南师范大学硕士学位论文 摘要 量子密钥分发( q k d ) 协议因其可以实现无条件安全、快捷的密钥分配， 近年来已引起人们的广泛关注，是目前量子信息领域中特别具有现实意义 的研究方向。 目前的量子密钥分发( q k d ) 系统在理论和实验方面都有了很大进展， 取得了丰硕的成果，但q k d 系统通信距离和安全码生成速率并不高，还 不能与现有的电信网络集成，远远不能满足实际应用的需要，尤其是商业 化的需求。这是因为由于b b 8 4 协议以及以后的许多协议都依赖于测量基 的匹配来获得密码比特，协议效率不高。2 0 0 2 年提出的差分相位编码q k d 方案( d p s q k d ) ，不存在基匹配问题，协议效率高，可以提高码生成效 率，在满足实用性需求方面显示出很大的优势，成为近年来研究的热点之 一6 本论文主要对差分相位编码q k d 系统及其安全性做了较为全面系统 的研究，并对系统做了改进以提高系统的稳定性。主要内容有： 1 采用理论与实验相结合的方法，系统地研究差分相位编码q k d 系统( d i f f e r e n t i a lp h a s es h i f tq k d ，d p s q k d ) 安全性。着重分析了 各种典型攻击方式下，d p s q k d 方案的安全性问题。对差分相位编 码q k d 系统与标准b b 8 4o k d 系统的性能进行了比较。 2 首次将法拉第镜的光学特性运用在差分相位编码o k d 实验系 统上，设计并搭建采用弱激光脉冲光源和门控技术的d p s o k d 实验 系统，提高了q k d 系统的稳定性，具有重要的实用价值。并对系统 的稳定性和安全性进行了分析。 3 在充分研究差分相位编码q k d 系统结构和性能的基础上，从实 验方案和实验技术两方面探讨了改进差分相位编码q k d 系统性能 的方法。 关键词：量子保密通信，差分相位编码，窃听，法拉第镜，上转换单 光子探测器。 华南师范大学硕上学位论文 a b s t r a c t q u a n t u mk e yd i s t r i b u t i o nh a sa t t r a c t e dal o to fa t t e n t i o ni nr e c e n ty e a r s b e c a u s eo ft h ep r o m i s ei th o l d sf o rf a s t e ra n du n c o n d i t i o n a n ys e c u r ef u t u r e c o m m u n i c a t i o n sb e t w e e nt w ol e g a lp a t i e s i ti st h em o s tm a t u r er e s e a r c hf i e l d i nt h eq u a n t u mi n f o r m a t i o nw i t hg r e a tp r a c t i c a ls i g n i f i c a n c e d e s p i t et h es i g n i f i c a n tp r o g r e s si nt h e o r ya n de x p e r i m e n t s ，e x i m i o u s a c h i e v e m e n t sm a d ei nt h ep e r f o r m a n c eo fq u a n t u mc r y p t o g r a p h ys y s t e m ，t h e c o m m u n i c a t i o nd i s t a n c eh a sb e e ni i m i t e da n dc o m m u n i c a t i o nb i tr a t er e m a i n s l o w , p r e v e n t i n g t h e i n t e g r a t i o n o fq k d s y s t e m i n t o p r e s e n t t e l e c o m m u n i c a t i o nn e t w o r k s t h u s ，c u r r e n tq k ds y s t e mc a nn o ta f f o r d p r a c t i c a la p p l i c a t i o n ，e s p e c i a l l yc o m m e r c i a li m p l e m e n t s y s t e m sb a s e d o n b b 8 4p r o t o c o la n ds o m eo t h e rs i m i l a rp r o t o c o l sg e n e r a t ek e yb i t sa c c o r d i n g t ob a s e sm e a s u r e m e n tr e s u l t s ，w h i c hl e a dt ol o wc o m m u n i c a t i o nb i t r a t e d i f f e r e n t i a lp h a s es h i f tq u a n t u mk e yd i s t r i b u t i o n ( d e s q k d ) p r e s e n t e d i n2 0 0 2h a sb e e nah o tr e s e a r c hf i e l dw i t hi t sg r e a ta d v a n t a g e s ，s u c ha sh i g h e r p r o t o c o le f f i e n c ya n dc o m m u n i c a t i o nb i tr a t e d i f f e r e n t i a lp h a s es h i f tq u a n t u mk e yd i s t r i b u t i o na n di t s s e c u r i t ya r e r e s e a r c h e ds y s t e m a t i c a l l yi nt h i sp a p e r i m p r o v e m e n to fd p s q k di ns y s t e m s t a b i l i t yi s m a d ea sw e l l m a i nc o n t e n t sa r ea sf o l l o w s ： 1 s e c u r i t yo fd p s 0 k ds y s t e mi ss t u d i e ds y s t e m a t i c a l l yi nt h e o r ya n d e x p e r i m e n tw a y s s y s t e mp e r f o r m a n c eu n d e rs e v e r a lt y p i c a la t t a c k si s d i s c u s s e d 2 an o v e ls y s t e ms e t u pb a s e do nd p sp r o t o c o li sp r e s e n t e d t a k i n g a d v a n t a g eo ff a r a d a ym i r r o r , t h es e t u pc a ng r e a t l yi m p r o v es y s t e ms t a b i l i t y u n d e rg a t ec o n t r o lm o d e t h es e c u r i t ya n ds t a b i l i t yi sg e n e r a l l yd i s c u s s e d 3 t a k eap r o s p e c ti n t oi m p r o v e m e n tm e t h o d sa n dt e c h n i q u e sf o ra d p s - q k ds y s t e m k e yw o r d s ：q u a n t u mk e yd i s t r i b u t i o n ，d i f f e r e n t i a lp h a s es h i f tp r o t o c o l ， e a v e s d r o p p i n g ，f a r a d a ym i r r o r , u p c o n v e r s i o ns i n g l ep h o t o nd e t e c t o r 华南师范大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确的方式标明。 本人完全意识到本声明的法律结果由本人承担。 论文作者签名：翻扣馆 日期：拥年厂月- 日 学位论文使用授权声明 本人完全了解华南师范大学有关收集、保留和使用学位论文的规 定，即：研究生在校攻读学位期间论文工作的知识产权单位属华南师 范大学。学校有权保留并向国家主管部门或其指定机构送交论文的电 子版和纸质版，允许学位论文被检索、查阅和借阅。学校可以公布学 位论文的全部或部分内容，可以允许采用影印、缩印、数字化或其他 复制手段保存、汇编学位论文。( 保密的论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密范围，在一一年后解密适用 本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授权 书。 论文作者签名：名硎卅“ 日期：酗声莎月，日 翮签名链 嗍：渺严y 日 ， 华南师范大学硕士学位论文第一章量了保密通信概论 第一章量子保密通信概论 密码通信的起源可以追溯到几千年前的埃及、巴比伦、古罗马和古 希腊。在古希腊和古巴比伦的神话传说中都有许多传奇式的密码故事。 虽然密码学的出现可以追溯到遥远的古代，但直到1 9 4 9 年s h a n n o n 的保 密系统的通信理论一文的问世才标志着密码学作为一门科学诞生了。 此后，密码学开始蓬勃发展起来。 密码通信随着社会的需求而产生，并随着社会的进步而发展。随着 计算机与通信技术的飞速发展，尤其网络的广泛应用使得信息交换日益 频繁、范围日益广泛，人类社会正在步入信息化时代。可是，现实中存 在着各种各样的信息安全威胁，如伪造、欺骗、窃听、篡改、抵赖、拒 绝服务等，它们直接威胁到信息系统的保密性、完整性、可用性、可控 性和不可否认性。信息安全与通信保密在商业秘密方面，尤其是军事情 报和国家机密等方面显得尤为突出和重要。 密码通信的基本过程是：合法的信息发送者( a l i c e ) 用加密密钥k e y 将 要发送的信息( 称为，明文m ) 通过加密算法转换成密码文件( 称为密文c ) 。 密文c 在公开信道上传输，合法的信息接受者- ( b o b ) 收到密文，应用解密 密钥磁，按照一定的解密算法将密文反转为明文，见图1 1 。 密码通讯的目的是a l i c e 和b o b 在不安全的信道上通讯而不被第 三方e v e 窃听( 图1 1 ) 。在一个加密系统中有一些要素是必需的：明文， 密文，密钥，加密算法，解密算法。如图所示，a l i c e 和b o b 通过安全 信道拥有一个保密的密钥k e y ，a l i c e 用密钥把明文p 加密，通过公共 通道送给b o b ，b o b 解密后得到明文p 。 密码通信的安全依赖于密钥加密算法和密钥传送的安全。密钥以及 密钥的有效管理在保密通信中起着重要作用。为了获得具有高安全强度 且容易实现的信息安全系统，许多科学家试图从不同的学科和角度研究 信息安全的机制、实现手段以及获得大量安全密钥的方法。 密钥在传送过程中被截获或被篡改的问题通常可以通过两个方法来 解决：一种是数学方法一一公开密钥加密术；另一种是物理方法一一量子 加密术。从理论上来说，传统的数学计算加密方法都是可以破译的。现 在使用的各种经典密码术中，唯有一次性v e r n a m 密码已在数学上被证明 华南师范大学硕 学位论文 第一章量子保密通信概论 为不可破译的f 1 1 。虽然公钥密码术目前得到了广泛的应用，但它的安全性 一直没有得到证明。以量子物理为基础的量子密码术( q u a n t u m c r y p t o g r a p h y ，q c ) 是量子力学和信息理论的交叉学科，它依靠物理原理 安全地生成密钥，并以产生的密码来加密和解密明文，从而实现不可破 译和窃取的保密通信，为无条件安全的保密通信提供了新途径。 图1 1 经典保密通信框图 f i g1 1 e l e m e n t si ns e c u r ec o m m u n i c a t i o ns y s t e m 1 1 传统密码体制与经典密钥分配 1 1 1 传统密码体制 一。：! 1 1 1 ； ! !- ： 解密嬲文j 图1 2 经典保密通信原理图 f i 9 1 2s c h e m a t i cr e p r e s e n t a t i o no fc l a s s i c a ls e c u r ec o m m u n i c a i t o n 信息发送方a l i c e 对信息明文m 作加密变换e k 得到密文c ；c 通过信道传送到接收方b o b ，b o b 对c 作解密变换d “恢复出明文 m 。如果使用对称密码算法，则k = k ；如果使用公开密钥算法，则k 与 k 不同。 密码体制分为对称密钥密码体制和非对称密钥密码体制两大类： ( 1 ) 对称密钥密码体制 对称密码要求加密解密双方拥有相同的密钥，即k = k 。从加密模式 2 华南师范大学硕 学位论文第一章量子保密通信概论 上来看，对称密钥密码体制可分为序列密码和分组密码两大类。对称密码 体制的优点是：安全性能好，加解密速度快。但密钥必须由双方秘密保存， 增加了密码管理的难度，算法的不可破译性无法从理论上得到证明。对称 密钥密码体制由于其简单方便的特性在最近2 0 年得以普及，一个得到广 泛应用的例子是d e s 加密体系，它是1 9 7 7 年美国国家标准局颁布的。 目前国际上作为数据加密标准的对称密码算法是a e s 。 由a t & t 公司的研究人员g i l b e r tv e r n a m 在1 9 2 6 年提出的“o r e t i m e p a d ”1 2 也是一种对称密码体系。绝大部分密码系统只能提供计算上的安全 性，也就是说攻击者利用已有的最好的方法破译该系统所需要的努力超出 了自身的能力、如时间、空间和资金等资源；或者破译该系统的难度等价 于解决某个已知的数学难题。而对于无条件安全系统，即使攻击者拥有无 限的计算资源，也不能破译。“o n e t i m ep a d ”即是一种无条件安全系统。 s h a n n o n 于1 9 4 9 年从信息论的角度证明了v e r n a m 的安全性：只要密钥串 长度不短于明文长度的随机序列，且只使用一次，该密码系统就是绝对安 全的。这种体制要求通信双方必须共享庞大的密钥本群，这使得密钥的分 配及其管理变得极其困难。这也是v e r n a m 在它发明之后的很长一段时间 内得不到广泛应用的原因。 ( 2 ) 非对称密钥密码体制 非对称密钥密码体制是加密解密双方拥有不相同的密钥，在不知道陷 门信息的情况下，加密密钥和解密密钥是不能相互算出的；非对称密钥的 代表是r s a l3 1 。非对称密钥密码体制的缺点是：算法一般比较复杂，加解 密速度慢，而且并不是绝对安全的。事实上，用该体制的安全性是基于求 解某一数学难题。例如著名的r s a 公开密钥体制，它的安全性是基于把 一个大数分解成为两个素数之积这样独特数学难题之上的。随着计算机技 术的进步，这种大数因子分解所需要的时间迅速减少【4 1 。r s a 安全加密是 有条件的，原则上不排除有更快的破译方法的出现。随着科学技术的快速 发展，+ 这些系统面l 临严峻的挑战。 1 1 2 经典密钥分配 一个密码系统的两个主要组成部分是算法和密钥，为了提高密码系统 的可信度，算法部分通常是公开的，密码系统的安全性主要依赖于密钥是 否安全，可以说密码系统的安全性寓于密钥中。然而经典密码学中很难获 3 华南师范大学硕：t 学位论文第一章量了保密通信概论 得具有信息安全特征的密钥，即便有了安全密钥，密钥管理过程中的密钥 存储、密钥验证等方面存在的问题也是不可忽视。 一般来说，在经典密码学中有两种获取密钥的方式。第一种是通过安 全信道获取安全密码，第二种是通过陷门获取安全密钥。在第一种方式中， 安全密钥的获取要求信道的绝对安全，但如何获取原始安全的信道这一问 题并没有得到解决，该问题导致了著名的c a t c h 2 2 问题【引。在第二种方式 中仍然存在c a t c h 2 2 问题，因为经典密码学中的陷门都是建立在计算复杂 性假设的基础上的，而这些假设的可靠性并未得到有效的证明。典型的经 典密钥分配方案【6 1 有：基于可信赖中心的密钥分配协议、基于基于有限域 上离散对数问题的d i f f i e h e l l m a 密钥分配协议。 1 2 量子保密通信 正如前面所述，以数学计算为基础的经典加密术已不能满足日益提高 的加密安全性要求，各个学科领域的科学家不断探索新的非数学密码系 统，如基于生物技术的密码系统和基于物理机制的密码系统。所谓的物理 密码是指以承载信息的载体( 即各种物理信号，如电信号、光信号、量子 信号等) 和相应的物理系统的内禀物理属性对信息进行密码处理，从而实 现信息保护的方法、手段和理论。在这种密码系统中，信息载体和物理系 统之间有相互作用，互相影响。目前已经提出的物理密码有量子密码、混 沌密码、光学密码等三种形式，其中，发展最快、技术最成熟、应用前景 最明朗的是量子密码。 1 2 1 量子密码术 一、量子密码术的起源 以量子机制为基础的量子加密术以全新的方式解决密钥分配的问题， 是目前科学界公认唯- - f l 保证绝对安全通信的方案。1 9 6 9 年哥伦比亚大学 的s w i e s n e r 首先提出“电子钞票”1 7 概念，利用量子比特的不可克隆性 实现信息保护，开创了量子密码的先河。但由于当时通过光子技术实现的 量子比特的存储时间极短，按当时的技术要想实现“电子钞票”不大可能， w i e s n e r 的观点当时并未被人们接受。后来i b m 公司的研究员c h b e n n e t t 和g b r a s s a r d 意识到量子比特的传输比量子比特的保存更为重要时，1 9 8 4 年他们基于此提出了著名的量子密码术方案，称为b b 8 4 协议【8 ，9 1 。此后， 4 华南师范大学硕士学位论文第一章量子倪密通信概论 量子密码引起了国际学术界的高度重视，各种实施协议不断提出，取得了 大量的研究成果，量子密码的技术研究与系统开发方面也出现了可喜的势 头。 二、量子密码术的理论基础 量子密码之所以能够被广泛关注，并被科学界公认为一种绝对安全的 通信方式，是因为它具备两个基本特征： ( 1 ) 无条件安全性。指系统攻击者即使具有无限的计算资源也无法 破译该系统。 ( 2 ) 对窃听者的可检测性。指合法通信双方可以通过同步探测信道 上的干扰，并根据探测结果判断出是否有窃听者存在。 量子密码通信是量子信息学的重要应用之一，其安全性依赖于量子力 学和量子信息学的基本原理：h e i s e n b e r g 狈0 不准定理【”1 ，量子态不可克隆 定理【i 。可以认为不可克隆定理是保证量子密码无条件安全的内禀条件， 而测不准定理是外部保障，二者共同保障系统的信息不可被复制、信息泄 露可被探测。 1 2 2 量子密钥分发协议 和经典密码体制一样，量子密码系统安全性关键在于量子密钥分发与 管理的安全。量子密钥分发( q u a n t u mk e yd i s t r i b u t i o n ，q k d ) 是理论上、 技术上目前最为成熟的。而我们通常所说的量子密码通信一般指的就是指 q k d ，它并不用于传输密文，而是用于建立、传输密码本。 自1 9 8 4 年b e n n e t t 和b r a s s a r d 提出b b 8 4 协议以后，q k d 引起了人们的普 遍关注，在其实现方案、安全性分析和实施技术等方面都展开了广泛研究。 1 9 9 1 年牛津大学e k e r t a k 提出e 9 1 协议1 1 2 l ，1 9 9 2 年，b e n n e t t 又提出一种 比b b 8 4 更简单，但效率减半的方案，即b 9 2 协议【”l 。自此，量子密码通信 三大主流方案已基本形成。 ( 1 ) b b 8 4 协议 b b 8 4 协议是提出的第一个q k d 协议，是使用最多的量子保密通信方 案之一，它利用的是单光子信道中的不确定性。b b 8 4 协议采用四个非正交 态作为量子信息态，且这四个态分属于两组共轭基，每组基内的两个态是 相互正交的。利用单光子作为通信载体时，他们就可以利用两个互相正交 5 华南师范大学硕上学位论文第一章量子保密通信概论 的偏振方向来表示数据的“1 ”和“0 ”。记h 为单光子偏振态所张成的二 维h i l b e r t 空间，在b b 8 4 中我们需要用这个空间中的两组不同的正交 基：水平偏振基和4 5 度偏振基，分别记做 f ，一， ， 。对应这两 组基b o b 有两种测量仪器 x ，+ ) ；对4 5 。偏振光子，用得到的测量结 果是确定的；对水平偏振光，+ 的测量结果是确定的。现在我们假定a l i c e 与b o b 约定用这两种偏振基中的四种偏振态来实现量子密钥分配。 b b 8 4 协议的通信过程可以分为两个阶段，分别在经典信道和量子信道 上进行，参见表1 1 。 表1 - 1b b 8 4 协议过程 t a b l e1 1p r o c e s so fb b 8 4p r o t o c o l l t 、 。+ ft + ， t 、， 2 + + + 3 t 、 t 、 、 tt 4 、 5101o10 01 7i10 0 第一阶段：在量子通道上通信。 ( 1 ) a l i c e 随机选择0 。、4 5 。、9 0 。和1 3 5 。四个值对光子的偏 振方向进行调制，并将得到的一个光子序列发送给b o b 。 ( 2 ) b o b 随机选用其中一组基来测量收到的光子串。 第二阶段：在经典通道上通信。 ( 3 ) 在公开的经典通道上，b o b 告诉a l i c e 他所使用的测量基序列， 但不公开其测量结果。 ( 4 ) a l i c e 对比自己选择基的序列后，通知b o b 哪些测量基与调制时 使用的基是一致的。但是不公布自己发送粒子的偏振态。 ( 5 ) 当选用的基与a l i c e 的相同，测量得到的比特留作共同密钥之 用。双方丢弃基不相同的测量数据，保留基相同时的测量数据。 ( 6 ) 他们各自的随机序列中选取一部分数据( 见表1 - 1 第六行) 在公 共信道中公布并进行比较，如果有窃听者存在，两方公布的数据相同的概 率会降低，据此可以判断通信是否被窃听。 6 华南师范大学硕士学位论文第一章量子保密通信概论 ( 7 ) 如果没有发现窃听，保留剩下的序列，经过处理后可以用作密钥 比特。 一般对于噪声信道来说，要保证协议的有效性，防止窃听者获取信息， q k d 一般在完成了量子传输后，还要经过数据筛选、数据纠错、保密加强 等过程( 详见2 2 3 节) 。 ( 2 ) e p r 协议 e p r 纠缠粒子对用于量子保密通信是由牛津大学的a r t u re k e r t1 9 9 1 首 先提出的。e p r 方案是基于量子纠缠的e p r 关联光子对的代表性方案。e p r 方案与前述b b 8 4 协议、b 9 2 协议有很大的不同，这个方案主要特点就在于 利用了e p r 效应的非局域性，协议的安全性由b e l l 不等式1 “i 保障。 e p r 协议的原理是利用e p r 效应，即制备一对e p r 关联光子对，通信 双方具有确定、不变的关联，且不随时间和空间的变化而改变。因此，用 两个具有确定关联的光子来建立通信双方间共享密钥的信息载体，任何窃 听都会因破坏这种关联而被发现。其通信过程( 参见图1 3 ) 如下： ( 1 ) 由e p r 源产生的光子对分别朝+ z 和z 方向发送到合法的用户 a l i c e 和b o b ，a l i c e 任意选择检偏基( 线偏振基或圆偏振基) 测量接收到的一 个光子，测量结果由e p r 关联决定。 ( 2 ) , , b o b 也随机选择检偏基测量接收到的e p r 关联对的另一个光子， 并记录测量结果。 ( 3 ) a l i c e 和b o b 通过公共信道公开其所使用的测量基，并将使用相 同测量基时所获得的测量结果保存下来，用于建立为密码本。 o o 图1 3 e p r 协议不意图 f i g1 3s c h e m a t i cr e p r e s e n t a t i o no fe p rp r o t o c o l 量子密码传输后，a l i c e 和b o b 利用测得的结果，计算数据的关联性， 按b e l l 不等式来判断是否存在窃听。e p r 协议具有极好的安全性，目前为 止还没有对其安全性不利的证明。 ( 3 ) b 9 2 协议 b b 8 4 协议是个四态协议，有两组共扼基，且每组基内的两个态是正 交的，而两组基之间的量子态是不正交的。1 9 9 2 年，b e n n e t t 简化了b b 8 4 7 华南师范大学硕： 学位论文第一章量子保密通信概论 协议，独立提出了仅利用两个非正交态的q k d 协议，称为b 9 2 协议。以下 仍然以光子的偏振态编码来简单说明b 9 2 协议： 设a l i c e 发送光子的两个非正交偏振态 0 。，4 5 。) ，b o b 则用 9 0 。，1 3 5 。两 种状态的检偏器检测光子的状态。当双方的量子态正交时，没有测量结果； 当双方的量子态非正交时，b o b 有5 0 的几率探测到光子。 ( 1 ) a l i c e 向b o b 发送一串单光子序列，并随机地对这些光子进行0 。和 4 5 。偏振调制。 ( 2 ) b o b 随机地从 9 0 0 ，1 3 5 0 1 中选取一个测量基对接收到的光子进行 探测，并记录下自己所使用的测量基和测量结果。b o b 通过自己的探测结 果就可以推知a l i c e 发出的光子的偏振态，推断出需要保留的比特位。 ( 3 ) b o b 告诉a l i c e 哪些是需要保留的；在没有窃听和外界干扰的情况下， b o b 的推断结果应该与a l i c e 所发送的光子偏振态完全一致，则双方获得一 致的比特序列。 ( 4 ) 将保留的偏振态译成对应的二进制码。 ( 5 ) a l i c e 和b o b 从保留的探测结果中，随机选取一定数量光子的偏振态 进行对照，并计算误码率。当误码率小于设定的安全限度时，密码本被接 受。反之合法通信双方有理由怀疑量子信道的安全性，密码本将被丢弃。 1 2 3 量子保密通信的发展和现状 量子密码因其无条件安全性的强大优势引起了研究人员的强烈兴趣。 自b b 8 4 协议提出以来，量子密码学进入了一个飞速发展的阶段，实验和理 论研究取得了很大进展，新的量子密码术方案以及实验系统被相继提出或 证实。q k d 系统一步步向实用化迈进，美国的m a g i q 公司和瑞士的 i d q u a n t q u e 公司已经开始有部分产品进入市场【1 5 1 ，2 0 0 5 年基于量子加密技 术的网络安全芯片已经面世【1 们。可以说q k d 已经成为量子信息科学最成熟 的研究领域。 在方案设计方面，以b b 8 4 协议、b 9 2 协议和e p r 协议为基础，提出了 许多改进的方案，如b r u s s 等人于1 9 9 8 年提出的六态方案1 17 1 、t c r a l p h y 等人提出连续变量的量子密钥分配方案【1 8 1 9 】等。为了提高码生成效率， 2 0 0 2 年k i n o u e 等三人提出了差分相位编码的q k d 方案( d p s o k d ) l z o l 。 此后，围绕差分相位调制方案，又有许多改进方案提出。 量子密钥分发在实际应用方面的进展飞速，成果令人欢欣鼓舞。世界 8 华南师范大学硕二t 学位论文 第一章量子保密通信概论 各国，特别是欧美、日本以及国内都已投入大量的人力、物力进行这项技 术的相关研究。实现通信距离更长、性能更稳定、安全性更好、操作界面 更友好的自动化q k d 系统是当前努力的方向。q k d 系统的研究不仅仅局限 于实验室的光纤中，以室外光缆或自由空间为平台的q k d 系统研究也发展 迅速。美国洛斯阿拉莫斯国家实验室以b 9 2 方案成功地在长达4 8 公里的地 下光缆中传送量子密钥，误码率约为1 2 1 2 1 1 ，并在2 0 5 m 的自由空间成功 地完成量子密钥分发实验。此后，日内瓦大学于2 0 0 2 年报道了通讯距离为 6 7 k m 的量子保密通信实验 2 2 1 。同年，德国小组实现了自由空间量子密钥 分发距离达2 3k m 的新纪录f 2 3 】，使得卫星之间有可能实现量子密钥分发。 而日本三菱电机公- = 1 ( m i t s u b i s h ie l e c t r i c ) 和东芝剑桥实验室( t o s h i b a c a m b r i d g er e s e a r c hl a b o r a t o r y ) 也相继报道了距离为8 7 公里【2 4 1 和1 0 0 公里 1 2 5 l 的光纤量子保密通信实验。2 0 0 4 年，英国的g o b b y 等人报导了1 2 2 公里 光纤量子保密通信实验【2 “。目前有报道的量子密钥分发距离已经达到 1 5 0 k i n 2 7 1 。 。 我国量子保密通信研究起步于上世纪九十年代。1 9 9 5 年，中国科学院 物理所【2 8 1 报道了利用b b 8 4 协议的演示性实验。华东师范大学【2 9 1 使用b 9 2 方案进行了自由空间中的量子保密通信实验。此后，在国家9 7 3 计划量子 信息学项目的支持下，以中国科技大学为首的多家研究机构对量保密通信 领域进行了深入的研究。2 0 0 0 年，中科院物理所与研究生院合作，在8 5 0 纳米的单模光纤中完成了1 1 公里的量子密码通信演示性实验【3 们。2 0 0 2 年， 山西大学量子光学与光量子器件国家重点实验室在国内外第一次完成了 用明亮的e p r 关联光束完成了以电磁场为信息载体的连续变量量子密集编 码和量子保密通信的实验研究f 3 1 1 。中国科技大学提出了f a r a d a y m i c h e l s o n 系统【3 2 l ，完成了1 2 5 公里的量子保密通信。 2 0 0 2 年k i n o u e 等三人提出的差分相位编码的q k d 方案( d p s o k d ) 大大提高了q k d 系统的码生成效率，并提高了安全传送的距离。d p s q k d 已经成为量子保密通信领域研究的热点之一，以其为基础的q k d 方案层出 不穷，实验方面也有很大的进展。2 0 0 3 年，k i n o u e 等三人又提出了一个 简化的差分相位调制系统【3 3 l ，发送方选择发送弱相干光脉冲串，接收方接 收装置不变，同样可以达到提高协议效率的目的。美国科学家w t b u t t l e r 等人对上述方案进行了一些改进，得到两种效率更高、安全性也有改进的 新方案【3 4 l ( b l t 方案) 。2 0 0 3 年，华东师范大学实验室提出了基于d p s - q k d 9 华南师范大学硕上学位论文第一章量子保密通信概论 的即插即用系统，并开发了高效、稳定的级联、并联d p s q k d 系统【3 5 。7 1 。 h t a k e s u e ，e d i a m a n t i ，t h o n j o 等人采用d p s 方案，利用光子数呈泊松分 布的光源进行了1 0 5 k m 的实验，并预言当消除噪声光子和使用时间抖动性 能良好的上变频单光予探测器时，该实验系统可望达多j 3 0 0 k m 的安全通信 距离。 差分相位编码q k d 系统适合在光纤中实现，比传统的方案更高效，能 实现更长距离的通信，安全性也得到了增强，是一种有着很好实用前景的 长距离量子光通信系统。 1 3 本论文的主要工作 随着科学与技术的进步，量子密码受到了人们的高度重视，取得了迅 速的发展。自b b 8 4 方案提出以来，以量子密钥分发( q k d ) 为核心的量 子保密通信引起了科学界以及世界各国政府、军方的关注，围绕q k d 的 理论和实用系统建设，展开了大量的研究，成果斐然。 虽然q k d 的最长通信距离现已达到1 5 0 k m ，但目前的q k d 系统的码 生成速率并不高，远远不能满足实际使用的需要，尤其是不能满足商业使 用的需求。这是因为由于b b 8 4 协议以及以后的许多协议都依赖于测量基 的匹配来获得密码比特，协议效率不高。2 0 0 2 年提出的差分相位编码q k d 方案( d p s q k d ) ，不存在基匹配问题，协议效率高，提高了码生成效率， 在满足实用性需求方面显示出很大的优势，成为近年来研究的热点之一。 本论文的主要工作： 1 采用理论研究与实验相结合的方法，系统地研究差分相位编码 q k d 系统的安全性。着重探讨了各种典型攻击方式下，d p s q k d 方案的安全性问题。对差分相位编码q k d 系统与标准b b 8 4q k d 系统的性能进行了比较。 2 本论文利用法拉第镜的光学特性设计了实验方案，搭建采用弱激 光脉冲光源和门控技术的差分相位编码q k d 实验系统，提高了 q k d 系统的稳定性。并对系统的稳定性和安全性进行了分析。 3 在充分研究差分相位编码q k d 系统的结构和性能的基础上，本 文从实验方案改进和实验技术改进两方面探讨了改进差分相位 编码q k d 实验系统性能的方法。 1 0 华南师范大学硕士学位论文 第一章量子保密通信概论 1 4 小结 本章简单介绍了经典密码学的发展、分类方法以及它的基本思想。指 出现有密码系统在安全性方面总是存在某些隐患，无法实现无条件安全 性。量子密码术以量子机制做保证，以全新的方式解决密钥分配的问题。 详细介绍了量子密钥分发的基本原理、物理机制和各种协议，并对其当前 国内外理论和实验研究现状进行了总结。 1 1 华南师范大学硕： 学位论文第二章量子密钥分发的安仝性 第二章量子密钥分发的安全性 安全性是保密通信追逐的重要目标之一，q k d 系统正是因其卓越的安 全性能得到了人们的青睐，因此对于实际q k d 系统的安全性分析也成为研 究的热点问题之一。因此，本章结合经典安全理论，概述了量子保密通信 的安全性理论，总结几种针对o k d 系统的典型攻击方案，以及q k d 系统的 误码率阈值等问题。 2 1q k d 安全性理论 s h a n n o n 从信息论角度研究了密码系统的安全性问题，提出了描述密 码系统安全性的方法。对于一个任意的密码系统，在窃听者截获的密文可 以任意多、用于破译的计算资源可以任意丰富的条件下，都不可能从密文 中获取任何信息，这种密码系统被称为具有无条件安全的密码系统。一个 无条件安全的密码系统应该满足： i ( m ，c ) = 0( 其中m 代表明文，c 代表密文) ( 2 1 ) 即通过密文获取明文的信息量为零。 2 2 1q k d 的无条件安全性 对于一个经典保密通信系统，合法通信方a 1 i c e 、b o b 和窃听者e v e 在通信过程中获得一定的信息量，分别用随机变量a 、卢、，表示， p ( a ，卢，) 表示联合概率分布。对于给定的尸 ，卢，y ) ，当且仅当 i ( a ，卢) 芑， ，y ) 或者l ( a ，卢) 苫，( 卢，) 时，a l i c e 和b o b 才能建立安全的密 钥序列，即通信才具有无条件安全性。 量子密码系统和经典密码系统的安全性理论的区别在于s h a n n o n 信息 论中假设窃听者以获取密文来推断明文或密钥，而在量子密码系统的安全 性分析中假设窃听者实施任意量子操作，因为攻击者首先要正确区分密 文。这种区别是由量子不可克隆定理造成的，因为在量子系统中，未知量 子态不可被克隆，窃听者不可能精确地获得密文。这就从理论上保证了量 子密钥分配系统的无条件安全性。 自b b 8 4 协议提出以来，研究人员从不同方面提出了许多量子密钥分 配协议，协议的安全性也受到了高度重视。人们采用不同的方法分析了所 提出量子密钥分配协议的安全性，特别是针对b b 8 4 协议、b 9 2 协议和e p r 华南师范大学硕士学位论文第二章量于密钥分发的安拿性 协议的安全性作了深入而全面的安全性分析。2 0 0 1 年d m a y e r s 从数学上 证明了量子密钥分发的无条件安全性【3 8 1 ，因篇幅所限，这里不详细引述该 证明方法。 需要说明的是，量子密钥分发的无条件安全性是针对理想量子密钥分 发方案的。实际上，理想量子密钥分发系统首先假设a 1 i c e 和b o b 间拥有 一条可靠经典信道，使得双方可以察觉到e v e 攻击。理想量子密钥分发的 无条件安全性正是建立在这样一个假设基础之上的。即假设了e v e 不可以 同时截获量子信道和经典信道。因此，可以说实际上量子密钥分发的无条 件安全性也是有条件的。 2 2 2 实际q k d 系统的安全性 虽然量子密钥分发系统在理论上具有无条件安全性，但是，实际应用 中系统还需要考虑由于系统自身的技术缺陷所带来的安全性问题。技术上 的关键问题影响着系统的实际安全性： 量子信号质量。例如采用单光子技术的量子密钥分发系统。理想情况 下要求光源每次发出单光子，然而目前技术水平下还很难做到，众多的实 际系统都是用弱脉冲光源来代替单光子光源的。这就为窃听者提供了窃听 的机会。 单光子探测技术。对于一个实际系统，能否探测到单光子是个关键性 问题。目前性能优越的a p d 探测器的灵敏度还不够高。 对于自由空间q k d 系统，由于其信道是开放的，还需要解决能量泄漏 和干扰问题。 2 2 3 量子密码的产生 理论上，q k d 系统具有完美的安全性。但实际上，信道都是有噪声的， 叻之由于窃听者的存在，为了使窃听者获得尽可能少信息，从而实现安全、 高效的量子密码传输通信，在实际通信系统中，所有量子密钥分发协议都 要辅助以一定的经典信道上的算法来完成。总的来说，量子密码的产生需 要完成以下四个过程( 见下图) ： 华南师范大学硕士学位论文第二章量子密钥分发的安全性 觥玛 爱垒码 图2 1 量子密码产生过程 f i g2 1p r o c e s so fq u a n t u mk e yg e n e r a t i o n ( 1 ) 量子传输 按照量子密码协议的不同，有不同的的量子传输方式，总的来说可以 分别归入以b b 8 4 协议和e p r 协议为代表的单光子比特协议和纠缠光予对 协议两大类。单光子比特协议依据“测不准原理”来保障通信的安全性， 纠缠光子对协议的安全性则是由“非局域相关性”来保障的。具体过程， 详见1 2 节。完成量子传输后，得到的密码序列称为原始码。原始码如。产 生的速率为传输频率与探测器计数率的乘积。 ( 2 ) 数据筛选 在筛选步骤中，a 1 i c e 和b o b 在公共信道上比对发送方的制备基和接 受方的测量基以及探测发生的时问信息。但他们并不公布测量结果。按照 q k d 协议，当双方选用相同基时双方，可以获得完全一致的密码本。删除 基不匹配的那些密码比特的过程，称为数据筛选。筛选后留下的密码比特 称为筛选码，可由下式计算( 5 为筛选系数) ： 民捌一蛾。 ( 2 - 2 ) 如果q k d 系统没有误码，那么窃听者的窃听行为必然因引入误码而被 发现。然而，实际量子密码传输过程中，环境的因素、各个器件的缺陷等 有可能引入误码。同时，在实际的通信系统中，接受者b o b 的接收仪器不 可能有1 0 0 的正确测量结果。这种情况引入的误码并无法与因窃听引入的 误码区分开来。因此，仅仅因为有误码就判断有窃听者存在，以此来保障 1 4 华南师范大学硕士学位论文 第二章量子密钥分发的安全性 系统的安全性的做法是不可取的。当a 1 i c e 和b o b 核对部分筛选码，确定 系统误码率q b e r 的大小。当q b e r 高于设定的允许值，表示该次通信是不 安全的，需放弃本次通信。如果q b e r 小于允许值，本次通信视为有效通 信，需继续进行数据纠错过程，以获取高度保密的数据。 ( 3 ) 数据纠错 在数据筛选后，通信双方并不能保证各自保存的数据没有被e v e 窃听， 即使是有效通信一般误码率也都较大，常达到1 0 或更大，不能直接作为 密码本使用，必须对原数据进行纠错。数据纠错要完成两个目标，即纠正 密码本中的误码并估计误码率。纠错过程中，a 1 i c e 要向b o b 公布一些附 加信息用以纠错。例如，a 1 i c e 和b o b 可以将数据分为n 个数据区，然后 逐区计算并比较各数据区的奇偶校验予，例如计算一个数据区的“1 ”的 个数并进行比较，如果不相同，重新最优化数据块大小，一般是将该数据 区再细分，然