（理论物理专业论文）诱饵态量子密钥分配的研究.pdf

诱饵态量子密钥分配的研究 摘要 从单量子层面上来说，量子密钥分配很可能是量子力学理论的 第一个实际应用。理论上，量子密钥分配可以保证通信过程中密钥 的绝对安全性，因此使得传统密码术自惭形秽。然而，由于现实存 在的缺陷，因此目前所有的量子密钥分配实验，从根本上来说，其 实是不安全的。为了减小理论和实际上存在的巨大的差异，近来有 人提出了用诱饵态来显著提升量子密钥分配性能的想法。进一步研 究诱饵态量子密钥分配正是本文所要做的主要工作。 全文分为六章。第一章主要介绍量子密钥分配的发展历史以及 最新进展。第二章介绍了量子密钥分配的基本原理和三个最具代表 性的方案。其中对量子不可克隆定理以及对非正交态的测量必定扰 动态这一理论给出较为新颖的证明。第三章先是给出了用弱相干态 实现的量子密钥分配的数学模型，接着介绍了窃听者的“光子束分 攻击”策略，最后给出了对付光子束分攻击的两种重要方法( 诱饵态 方法和非正交态编码方法) 的基本思想和具体操作过程。第四章我们 首先分析了诱饵态b b 8 4 协议的安全性，接着我们提出了一个计算非 正交编码量子密钥分配的密钥产生率定理，并把这个定理推广到普 遍情况。在此基础上我们提出了一个具体非正交编码的诱饵态量子 密钥分配协议来分析其安全性。第五章我们进一步研究了现实的弱 相干态量子密钥分配实验，并在此基础上提出了确保诱饵态量子密 钥分配实验有效的一个必要条件，进而提出了一个信号诱饵双用的 量子密钥分配方案。最后在第六章我们对本文的工作进行了总结和 展望。 关键词：量子密钥分配；诱饵态；量子比特误码率；计数率； 密钥产生率 i l 硕士学位论文 a b s t r a c t q u a n t u mk e yd i s t r i b u t i o n ( q k d ) c o u l dw e l lb et h e 丘r s ta p p l i c a t i o no f q u a n t u mm e c h a i c sa tt h es i n g l e q u a n t u ml e v e l i nt h e o 吼q k dh o l d st h e k e yt ou n c o n d i t i o n a ls e c u r i t yi nc o m m u n i c a t i o n s ，w h i c hm a k et h et r a d i t i o n a l c r y p t o g r a p h yf e l ls m a l li np r a c “c e ，a l lr e c e n t1 0 n g - d i s t a n c ei m p l e m e n t a t i o n s o fq k da r ef u n d a m e n t a l l yi n s e c u r e ，d u et or e a l l i f ei m p e r f e c t i o n s 1 1 0b r i d g e t h j sb i gg a pb e t w e e nt h e o r ya n dp r a c t i c e ，t h ei d e a lo fd e c o ys t a t e sh a sr e c e n t l y b e e np r o p o s e df o rs u b s t a n t i 以l yi m p r o v i n gt h ep e r f o r m a n c eo fq k d af u r t h e r s t u d yo fd e c o y s t a t em e t h o di st h em a i nw o r ko ft h i sp a p e r t h ep a p e ri sc o m p o s e do fs i xc h a p t e r t h ef l r s td l a p t e ri sm a i n l y 出m e d t oi n t r o d u c et h eh i s t o r yo fd e v e l o p m e n ta n dl a t e s tp r o g r e s si nt h ef i e l do f q k d 。t h es e c o n dc h a p t e ri n t r o ( 1 u c e st h eb a s i ct h e o r i e so fq k d a 血dt h et h r e e m o s tt y p i c “q k dp r o t o c o l s i nc h a p t e rt h r e e ，w e 丘r s t l ym 。d e lt h er e a l l i f e q k ds e t u pw h i c hu s e st h ew e a kc o h e r e i l ts t a t ea st h e8 0 u r c ew et h e ni n t r o d u c et h ep t o n _ n u m b e r s p l i t “n g ( p n s ) a t t a c k ，a n dg i v et h eb a s i ci d e a l sa n d o p e r a t i o n so ft w oi m p o r t a n tm e 七h o d s ，t h ed e c o ys t a t e sa n dt h en o n o r t h o g 伊 n a l 衄c o d i n gm e t h o d ，w h j c ha r eu s e dt oc o m b a tt h ep n sa t t a c k i nc h a p t e r t h r e e ，陀丘r s t l y 眦1 a l y z et h es e c u r i t yi s s u eo fd e c o y _ s t a t eb b 8 4p r o t o c o l ，t h e n p r e s e n tat h e o r e mf o rc a l c u l a t et h es e c u r ek e yg e n e r a t i o nr a t eo fan o n o r t h o 争 o n a le n c o d i n gs c h e m e ，w h i c ha r ee x t e n d e dt ot h eg e n e r 出s i t u a t i o n b a s e d o nt h i st h e o r e m ，w ep r e s e n tas p e c i 矗cn o n o r t h o g o n 以d e c o y s t a t eq k d p r o t o c o lf o l l a w e db ya8 e c u r i t ya n a l y 8 i s i nc h a p t e rf i v e ，w ef u r t h e ro u rs t u d yo f t h ep r a c t i c a lw e a kc o h e r e n ts a t eq k de x p e r i h l e n t s ，a n do b t a i nan e c e s s a r y c o n d i t i o no fp r a c t i c a ld e c o y 一8 t a t eq k dp r o t o c 0 1 s w et h e np r o p o s eas i g n a l d e c o yd u a l p u r p o s eq k dp r o t o c 0 1 f i n a l l y li nc h a p t e rs i x ，硼g i v eac o n c i s e c o n c l u s i o no ft h i 8p a p e ra n d m a k ea ne x p e c t a t i o no ft h ef u t u r ei nt h i s 丘e l d k e yw o r d s ：q u a n t u mk e yd i s t r i b u t i o n ；d e c o ys t a t e ；q u a n t u mb i te r r o r r a t e ；c o u n t i n gr a t e ；s e c u r el ( e yg e n e r a t i o nr a 土e 诱饵态量子密钥分配的研究 第一章绪论 当今世界，小至人与人之间，大到国家与国家之间的信息交往， 越来越依赖于电信与互联网进行传输。然而，一些高明的窃听者可 以神不知鬼不觉的获取这些信息。1 9 1 7 年，英国破译了德国外长齐 默尔曼的电报，促成了美国对德宣战。1 9 4 2 年，美国从破译日本海 军密报中，获悉日军对中途岛地区的作战意图和兵力部署，从而能 以劣势兵力击破日本海军的主力，扭转了太平洋地区的战局。在保 卫英伦三岛和其他许多著名的历史事件中，密码破译的成功都起到 了极其重要的作用，这些事例也从反面说明了信息安全在信息交流 中，尤其是在商业、军事、国防领域占有至关重要的地位。 密码术正是为了防止信息的泄露而逐步发展起来的。根据其使 用的原理的不同，主要刻分为两类：传统密码术和量子密码术。其 基本思想是将要传送的信息采用某种方式进行变形，只有合法用户 才能从中恢复出原来的信息，而对非法用户来说这些变形了的信息 是无法理解的。密码学中，习惯上称信息发送者，接收者及窃听者 分别为a 1 i c e ，b o b 和e v e 。随着计算机技术的发展，目前实现这一 目标需要通信 硕士学位论文 典的客体，经典信息可以任意复制，原则上不会留下任何印迹，因 而密钥在分发和保存过程中合法用户无法判断是否已被窃听； 二是公钥密码体制，也称为非对称密钥密码体制。在该体制中， 加密密钥和解密密钥不相同且很难互推。它可以为事先没有共享密 钥的双方提供安全的通信。这种体制的原理最初由s t a n f o r d 大学的 m i 垤e l dd i 毋e 和m a r t i nh e l l m a n 两人在1 9 7 6 年提出。两年后，也就是 1 9 7 8 年r o n a l dr i v e s t ， a d is h m i r 和l e o n a r da d l e m a i l 三人就把它发展 为著名的r s a 公钥密码体制( 现在经典计算机上使用) ，它的安全性 是基于把一个大数分解成为两个素数之积这种独特的数学操作的困 难之上，也就是利用大数n 因子分解所需的计算次数与n 的指数次 方成正比，不断地增大n ，即不断地以指数方式增加所需的计算次 数，直至n 大到几乎不可能对它进行因子分解。简单地说，就是不 发放私钥而利用两个大素数的乘积难以分解来加密。这两个不同的 钥匙：一个是公开的，另一个是秘密的。从公钥很难推断出私人密 钥。持有公钥的任何人都可以加密消息，但却无法解密，只有持有 私人密钥的人才能够解密。这就像发电子邮件一样，用公钥进行加 密就相当于将邮件发到别人的邮箱，任何人都可以做到。而用私钥 解密则相当于从邮箱中取出邮件，只要拥有私人密钥就可以很容易 地做到，但如果没有私钥要想解开加密后的消息却会非常困难。然 而大数因子化的快速算法的存在以及计算机运行速度的不断提高， 特别是1 9 9 4 年p e t e rs h o r 提出的用量子计算机实现大数因子化的多项 式快速算法f 1 的预言无疑敲响了公钥密码体制的警钟。 理论上唯一能确保不可破译的传统密码体制是v e r n a m 密码( 这 是一种对称加密体制，它要求密钥与明文一样长，而且每个密钥只 能使用一次，故也称为一次一密) 。这种体制需要双方共享与要传送 的明文文件同样大小的庞大密钥，这给常规的密钥分发和储存提出 了不现实的要求，因而实际上不易广泛使用。作为这种理想密钥体 制的近似，若能有这么一种方式；密钥能够在公开信道中直接发 送，且不担心被第三者窃听；即使密钥被窃听了，也可以通过检验 窃听者留在密钥中的蛛丝马迹，知道该密钥已经不安全，保证实际 通信中不用已经失密的密钥。至少就可以解决这样几个关键问题： 1 ) 解决了密钥分配和贮存，不必要繁琐的会晤或信使往来，实现密钥 的实时分发，杜绝了信使途中泄密的可能性，而且事实上不需要密 钥的长时间贮存；2 ) 窃听的可检测性保证了密钥的可靠性，也就保 诱饵态量子密钥分配的研究 3 证了通信本身的安全性；3 ) 如果密钥分发速度足够高，实现v e r n m 体制不是不可能的。幸运的是，量子力学一手要致传统密码体制于 死地，另一手却又创造了一把新的利器一量子密码体制。量子密码 体制可以看成是传统v e m a m 体制的量子力学版本。尽管目前它还没 有达到真正实用的程度，但其发展神速，有望成为量子信息最先成 功应用予社会的一个方面。 1 2 量子密码术概述 2 0 世纪量子力学的诞生和信息科学的迅猛发展，以及信息安全 的迫切需求，促使了两者的结合，其产物一量子密码术一为解决信 息安全这个历史难题带来了希望的曙光。 量子密码术【2 】，能够使初始时刻可以互相认证的通信双方就再 也不必担心有人会神不知鬼不觉地窃取信息。他们可以在公开信道 上而进行绝对安全的通信。由于信息安全的核心部分是建立安全的 密钥。因此，本文讨论的量子密码术实际上应该叫量子密钥分配。 量子密码术成功地解决了传统密码学中单靠数学无法解决的问 题并引起国际上高度重视。它的思想最早来源于美国哥伦比亚太学 的s t e p h e nw i e s n e r 在1 9 6 9 年提出的量子钞票 3 】。但是由于这个思想 太令人难以置信了，所以直到1 9 8 3 年才得以刊出。1 0 8 4 年与s t e p h e n w i e s n ”很熟悉的b e n n e t t c h 和b r ”s u d g 首先提出第一个量子密码分 配协议b b 8 4 协议f 4 1 ，并于1 9 8 9 年在i b m 公司t h o m a s j w a l s o n 研究 中心由他们自己实现了第一次量子密钥传输演示实验 5 】。1 9 9 1 年牛 津大学e k e r t a k 提出e 9 1 协议【6 。1 9 9 2 年b e n e t t c h 指出只用两 个非正交态即可实现量子密码通信并提出b 9 2 协议 7 】。自此量子密 码通信三大主流方案已基本形成。2 0 世纪9 0 年代以来世界各国的 科学家对量子密码通信的研究热情迅猛发展并在这一领域取得很大 成功：瑞士u n i v e r s i 毋0 fg e n e v a 在原有光纤系统中已建立2 2 8 k m 量子 保密通信线路并投入了实用【8 ；英国b t 实验室已实现在常规光缆 线路上量子密码通信传输距离达5 5 m 【9 ；美国l o sa 1 a m o s 实验室已 成功实现4 8 k m 量子密钥系统运行两年【1 0 ，2 0 0 0 年他们在自由空间中 使用q k d 系统成功实现传输距离为1 6 公里 1 1 。可以说量子通信 已进入大规模实验研究阶段。2 0 0 4 年量子保密通信的距离已延伸到 诱饵态量子密钥分配的研究 第二章量子密钥分配 1 9 世纪经典电动力学的产生、发展和形成深刻地影响了2 0 世纪 的历史进程。电动力学的应用使整个2 0 世纪打上了电子时代的烙 印。当时光流转到2 0 世纪，人类迎来了科学发展史上又一个春天。 相对论、量子力学和信息科学的诞生，把人类带入了一个超乎想象 的世界：时空变化的星际旅行，微观粒子的不确定性，虚拟的现实。 在这三大发现当中，量子力学潜在的应用领域是最值得物理学家和 工程专家期待的。量子力学最显著却也是最奇异的特征就是它的单 粒子的量子态叠加性和多粒子的纠缠特性。而这两点正是量子密码 术植根的基础。本章我们将给出量子密码术的基本物理原理和最具 代表性的量子密钥分配协议。 2 1 量子比特与量子态叠加原理 在量子力学中，微观体系的状态是用波函数( y - 称态函数) i 皿) 来 完全描写的，力学量是用线性厄米算符描述的。这就使得波函数必 然具有线性叠加性。波函数的线性叠加性，即量子态叠加原理，是 量子力学基本原理，其一般表述如下： 当l 皿，) ，i 皿。) ，l 皿。) ， ) ，是粒子的可能态时，则它 们的线性叠加态， 1 皿) = c l 皿1 ) + c 2 i 皿2 ) 十c 3 l 皿3 ) + + i 皿n ) + ，+ ， ( 2 1 ) 也是粒子的可能态。式中，叠加系数c i , c 2 ，c 3 ，c n ，一般为复数。必 须指出：波函数本身不代表实际物理量的波动，因此波函数的线性 叠加性不同于经典波的叠加原理，它不是实际物理量的叠加。波函 数与粒子在空间的概率分布有关，波函数的线性叠加性使得微观粒 子的空间概率分布具有相干叠加性，这正是微观粒子最引人入胜的 地方。量子信息正是利用了这一点，但就是这一点就足以令物理学 家和信息工程专家投入无比的热情。 在经典的信息理论中，信息的最小单位是比特( b i t ) ，正好对应 一个二进制数据位。它只有两种选择，即“0 ”或“i ”。量子信息 的基本单元是量子比特( q u b i t ) ，它由一个两态量子系统构成，用i o ) 和1 1 ) 表示。所不同的是，一个量子比特不仅可以取值为l o ) 或1 1 ) ， 8 硕士学位论文 更通常情况下，它往往处于二者的叠加态上，在数学上可以表示为 i 皿) = c 1 i o ) - i - c 2 1 1 ) ，( 2 2 ) 其中c 。0 ，c 。0 。( 2 2 ) 式所表示的量子比特是不确定的，它以 一定的概率分布于两种状态上；在测量之前，谁也无法准确预言将 要得到的结果是i o ) 还是1 1 ) ，但是一旦进行测量，其结果要么是i o ) 要么是1 1 ) ，态再也不是处于叠加形式，我们把这种现象称为态的塌 缩。1 皿) 态塌缩到1 0 ) 的概率为俐皿) j z = 川。，塌缩到1 1 ) 的概率为 川皿) 1 2 = i c 2 1 2 。如果 皿) 是归一的，则有 c 1 1 2 + t c 2 1 2 ；1 。此后所以用 到的量子态，如果不特殊说明，都假设为归一化的。 2 2 量子态不可克隆定理 从上一节我们实际已经看到：测量会破坏原来的未知量子态。 这实际上就是量子态不可克隆定理的理论依据。虽然现在看来从态 叠加原理推导量子态不可克隆定理是那样自然而然的一件事情，但 是事实上从已知理论推出一个未知但有重要意义的看似简单的理论 却是一件非常不容易的事情。所以直到1 9 8 2 年，才由w o t t e r s 和z u r e k 在自然杂志提出现在所谓的量子不可克隆定理 2 6 j ：即一个未 知的量子态不可能被完全精确复制。 这个定理的证明是简单的，我们可以用反证法来证明它。 假设这个定理不成立，量子克隆机存在且能够克隆任一未知量 子态。把量子克隆机和微观粒子的整体当成一个大系统，由于量子 克隆机并不知道微观粒子的初态，故整个系统的演化可以用一个与 态无关的幺正算符u 来描述。幺正算符u 具有性质： u u f = u f u = i ，( 2 3 ) u t 是u 的伴随，i 是单位算符。 量子克隆机对两个正交矢量i o ) 和1 1 ) 进行复制的过程可表示为： u l o i o = t 西o ) 1 0 ) 1 0 ) ， ( 2 4 ) 和 u i 吼) 1 ) = f 壬1 ) i l ) l i ，( 25 ) 诱饵态量子密钥分配的研究 - 9 其中胁) 是量子复制机的初始状态，它与待复制的输入矢量无关， ) 和f 中，) 是复制后量子复制机的状态，这两个态不能完全相同，否 则就没法根据量子复制机的末态来区分所复制初态到底是 o ) 还是 1 1 ) 。 现在我们再来看看未知量子态的克隆。 u i 西；) | 雪) = l 西，) j 皿) i 皿) 其中i ) 由公式( 2 2 ) 给出，限) 和i 西，) 分别为量子复制机的初态和末 态。但是根据量子力学的线性性质，再利用公式( 2 2 ) ，( 24 ) 和( 2 5 ) ， 可得： u i , b i ) i 田) = c 1 i m o ) l o ) 1 0 ) + c 2 i 由1 ) 1 1 ) 1 1 )( 2 7 ) 我们看到，叠加态封经过“复制”后，整个系统演化成为了一个纠 缠态 2 7 】，在c 。0 、c 2 0 的条件下，无法写成直积态。另外，内积 ( 2 6 ) 和( 27 ) 式，利用( 2 3 ) 式( u 的幺正性) ，可以得出c 。、c ：至少有 一个为0 这些都与前面的假设矛盾，因此可以得出结论：未知量子 态是无法被复制的。 未知量子态不可克隆定理是量子信息学的重要理论基础之一， 也是量子密码术的重要前提。它确保了量子密码的安全性，使得窃 听者不可能采取“克隆”的方式来获得密码信息。 2 3 窃取量子信息蕴含干扰 在宏观世界里，信息可以被“毫发无损”地复制。而且随着技术 的飞速发展，这种复制变得越来越容易。因此，在理论上窃听者能 够不留痕迹地“工作”。然而，面对量子信息，窃听者的“隐身术” 遇到了克星。在量子力学理论里，对两个非正交量子态l 皿，) 、l m 。) 的测量将导致对该系统的扰动。它的证明类似于量子态不可克隆定 理： 设对两个非正交态的测量不会导致对该系统的扰动，探测器的 初态记为陬) ，探测器对两个非正交态进行探测后的态记为i 西 ) 和 1 0 硕士学位论文 i 圣 ) 。不改变输入量子态的测量过程同样可以表示为一个么正演化： u l 币t ) i 1 ) = l 垂 ) 田1 ) ( 2 8 ) u 壬i ) i 皿2 ) = i 西 ) l 皿2 ) ( 29 ) 上面两式作内积运算。由于么正变换下的内积不变，我们得到 ( 皿2 l m l ) = ( 垂引圣 ) ( 皿2 l 皿1 ) ( 2 i o ) 由上式可见( 吲壬 ) = 1 ，这就表示对两个非正交量子态m ) 、l 皿。) 的 测量要么得到信息但必将导致对该系统的扰动，要么不扰动两个非 正交量子态但是却得不到任何信息。 2 4b b 8 4 协议 量子态不可克隆和窃取量子信息蕴含干扰这两个理论使得人们 能够利用量子态进行绝对安全的密钥分配。1 9 8 3 年b e n n e t t 和b r a s s a r d 在同w i e s n e r 的讨论中受到启发，认识到单量子虽不好保存但可用于 传输信息。1 9 8 4 年，他们提出第一个量子密码术方案，用单光子偏 振态编码的四态方案，现在称之为b b 8 4 协议，从此开创了量子密码 术。 b b 8 4 协议的密钥分配过程中，通信双方a l i c e 和b o b 利用单光子 的偏振态来编码信息。光子的偏振态属于二维h i l b e r t 空间，我们可 以用垂直偏振的两个基矢态，i 一) 、it ) ，和对角偏振的两个基矢 态，i ) 、i ) ，来解释说明b b 8 4 协议。这两套基互为共厄基，即 在一套基中测量另一套基的基矢态，所得到的几率都是相等的。例 如i ( tf ) i 。= | ( 一j ) i z = 1 2 。我们先把每套基的两个基矢态编码为 0 和1 。这里我们把i 一) 、 t ) 分别编码为0 和l ；同样i ) 、1 ) 也分别编码为0 和i 。当没有e v e 时，只要a l i c e 和b o b 的基矢相同， 他们就会得到相同的结果；而存在e v e 窃取信息是时，光子的信息 就会受到扰动，因此a l i c e 和b o b 的基矢相同时有可能得到不一致的 结果。这实际上就是b b 8 4 协议的理论基础。假设e v e 使用错误的基 矢测量光子的偏振态就会得到完全随机的结果，同时还造成了对信 号态的最大的扰动，使得a l i c e 和b o b 的编码结果出现几率为5 9 错 误。因为a l i c e 和b o b 选择相同基矢的概率为5 0 ，故b b 8 4 协议的筛 选效率为5 0 。b b 8 4 协议的主要操作步骤如下： 诱饵态量子密钥分配的研究 1 l l2 _ _ _ 。 34 567891 01 l1 21 31 4 = = = = = a 上 jj +i+一一x 一 = 1 + _ 一一 _ - _一_ -_ + 十 + + + b =二二=二二= =二= _； j 、 爿、 一+ _ _ _一 + 一 + + + = 一 二= _ 量_ 0 l0looo c+ = 一 d+ = = e 图2 1 ：b b 8 4 协议步骤简图 ( a ) a l i c e 随机地选择l 一) ，it ) ，l ) 或i ) 四种中任一种偏振 态的光子并发送给b o b ； ( b ) b o b 随机地独立选择垂直偏振或对角偏振基接收； ( c ) b o b 实际所测到的偏振方向( 只有b o b 自己知道，其中一些态 未被检测到，以空格表示) ； ( d ) b o b 公布他检测到态时所采用的测量基( 如，通过打电话告诉 a l i c e ) ，但不公布测量到哪个偏振态，a l i c e 告诉b o b 哪些测量基是正 确的并保留下来，其余的丢弃掉； ( e ) a l i c e 和b o b 仅保留相同基时的态，并按约定的编码方法转化 为二进制序列。 2 5b 9 2 协议 在上述的b b 8 4 协议中，a l i c e 使用了四个偏振态。1 9 9 2 年，b e n n e t t 认识到量子密码术的安全性其实是建立在窃听者无法区分非正交态 和不能既窃取量子信息而又不扰动量子态这两点上。于是提出只用 两个非正交偏振态来实现密钥分配，即b 9 2 协议，这是一种更简单 但效率减半的协议。现在我们只在b b 8 4 协议的两组基中各取一个基 矢，比如取 一) ，l ) 这两种偏振态的光子并发送给b o b 。其基本 步骤如下( 图2 2 ) ： 硕士学位论文 1 l = = 膏 - _ l - 、 图2 2 ：b 9 2 协议步骤简图 ( a ) a l i c e 随机发送i 一) 或l ) 光子偏振态； ( b ) b o b 随机选取 t ) 或1 ) 偏振方向进行检测。当b o b 的检测方 向与a l i c 所选方向垂直，即同一组基，探测器完全接收不到光子； 当取不同基矢，则有5 0 的概率接受到光子。一旦b o b 测到光子， b o b 就可推测出a l i c e 发出的光子的偏振态； ( c ) b o b 实际所测到的偏振方向( 只有b o b 自己知道，其中一些态 未被检测到，以空格表示) ； ( d ) b o b 通过公共信道告诉a l i c e 所接收到光子的情况，但不公布 测量基，并双方放弃没有测量到的数据( 空格表示未接收到光子) ； 此时如无窃听或干扰，a l i c e 和b o b 双方则共同拥有一套相同的随机 序列数； ( e ) a l i c e 和b o b 保留b o b 测得的态，并按约定的编码方法转化为 二进制序列。 尽管非正交态无法完全区分，但是精明的e v e 却可以利用准确区 分非正交态 2 8 3 1 】的方法在不扰动态的情况下部分地区分它们，因 此b 9 2 方法的安全性不如b b 8 4 高。 2 6e 9 1 协议 基于量子纠缠的e p r 关联光子对e k e r t 于1 9 9 1 年提出，故也叫 诱饵态量子密钥分配的研究 1 3 e 9 1 协议其原理是利用e p r 效应 3 2 3 6 】，即制备一对e p r 关联光 子对，通信双方具有确定、不变的关联，如测得其中一个光子的极 化态向上，同时遥远的另一个光子的极化态一定朝下，且不随时间 和空间的变化而改变。因此，两个具有确定关联的光场用来建立通 信双方间共享密钥的信息载体，任何窃听都会破坏这种关联而被发 现。如图2 3 所示，其通信过程是： ( a ) 由e p r 源产生的光子对分别朝士z 方向发送到合法的用户 a l i c e 和b o b ，a l i c e 任意选前面所述的一组基( 1 一) 、lt ) 或者l ) 、 l ) ) 测量接受到的其中一个光子1 ； ( b ) 测量的结果由e p r 关联决定，同时b o b 也随机使用这两种基 测量接受到的e p r 关联对的另一个光子2 ，并记录测量结果； ( c ) b o b 通过公共信道公开其使用的测量基( 但不公布测量结果) ， a l i c e 告诉b o b 那些检偏基选对了； ( d ) 并按约定的编码方法转化为二进制序列。 显然，它与b b 8 4 不同的是检验双方保留的数据时是用b e l l 不等 式检验，如果违反不等式，表明量子信道是安全的没有被窃听；如 果满足不等式时，表明信道有问题即存在窃听者。总之，其安全性 源于b e l l 原理，根据量子力学原理该协议是安全的。 诱饵态量子密钥分配的研究 1 5 第三章抵御光子束分攻击的策略 第二章我们所述的三种方案其实都没有考虑现实可用的设备、 资源对具体量子密钥分配协议的影响。本章我们将首先考虑目前最 常用也最有效的量子密钥分配实验实现：弱相干态实现 2 0 - 2 2 ，3 7 ； 其次介绍由此而来的一种致命的攻击：光子束分攻击。最后我们给 出目前抵抗这种攻击的两种重要的方法：诱饵态方法、非正交编码 方法。 3 1 量子密钥分配的弱相干态实现 为了考虑一个用弱相干态实现的具体量子密钥分配实验，我们 首先要对实验装置进行建模。实际的量子密钥分配实验通常把性能 好又便宜的光纤通信设备作为进行实验的首选。下面我们分别构造 光源、信道以及探测器的数学模型，然后利用所建立的模型来得到 弱相干态的收益与错误率的计算公式 3 8 ，3 9 j 。 3 。1 1 光源、信道以及探测器 进行量子密钥分配实验的光源是衰减得非常弱的激光，我们一般 把它称作弱相干态激光脉冲。光源因此用弱相干态l 面加) 来表示。 由于激光二极管初始时的自发辐射使得相角完全随机化，因此弱相 干态激光脉冲为去相相干态，其密度矩阵儿表示为： 儿= 罢 - e 珀) ( 办e 胡j = p 。川圳， ( 3 1 ) j n 其中p 为脉冲的平均光子数，r ( “) p n ( “) ：_ i _ t n e - #( 3 2 ) 表示找到光子数为n 的脉冲的概率，简称n 光子脉冲概率，如：p o ( 卢) 为空脉冲概率，p 1 ( p ) 为单光子脉冲概率，p 2 ( p ) 为两光子脉冲概率， 等等。l n ) ( 圳表示n 光子密度矩阵，其中l o ) ( o l 称为真空态密度矩阵。 对于光纤信道，其量子信道的损失用信道传输率t 一日来衡量。 硕士学位论文 “口与光纤衰减系数a 以及在光纤的长度f 的关系为 在通信领域，衰减系数a 用d b k m 做单位，长度单位为k m 。 探测器在b o b 的实验室，由两部分组成：光学部分和探测器部 分。光学部分的信号损失用内部传输率t b 曲表示。探测器部分有一 定的探测效率，用如表示。这样，我们用1 鼬表示b o b 方面的传输 效率，则有； t b o b = t b o b 叩d( 3 , 4 ) 于是a l i c e 和b o b 之间的总传输率q ，包括信道传输率t a 且和b o b 方面的传输效率，就可以表示为： = t a b r i b o b ( 3 5 ) 目前的探测器为阈探测器，它只能区分真空态和非真空态，通俗 地说，它只能区分有无光信号。当它探测到信号时，它不能辨别究 竟有多少个光子。 对于一个n 光子脉冲，或说是一个n 光子态，由于光子间的相互 作用可以忽略，因此我们假设其中的每个光子的行为互相独立。这 样，对于阈探测器来说，n 光子态的传输率为： 3 1 2 弱相干态的增益与错误率 ( 3 6 ) 在得出弱相干态的增益与错误率之前，我们先定义n 光子态的 记数率k 和n 光子态的错误率。是在a l i c e 发送了一个n 光子 态脉冲的条件下，b o b 的探测器探测到信号事件的概率。值得注意 的是，在正常情况下，除了信号会产生探测事件，环境因素也会导 致探测事件。我们把环境因素导致的探测事件用环境记数率翰来表 示。用表示环境记数率，意味着空脉冲信号引起探测事件。这实 际上是由探测器的暗记数和诸如时钟脉冲的杂散光等背景环境引起 的。因此，中的“o ”只是表示没有信号脉冲，它用来表示背景 环境的贡献，碥并非空无一物的真正真空记数率。 诱饵态量子密钥分配的研究 1 7 n 光子态的记数率碥主要有两个来源：背景和7 2 光子信号脉冲。 一般假设背景和n 光子信号脉冲的探测事件互相独立。于是我们得 到k 满足如下关系式： k = + 一y o 咖兰y o + r h , 这里我们认为( 量级为1 0 “) 和q ( 量级为1 0 q ) 为小量， 者的乘积。 ( 3 7 ) 因此忽略两 7 2 光子态的增益定义为a l i c e 发送了一个n 光子态脉冲的概率 与n 光子态的记数率y n 的乘积： = k r ( p ) = k 等 ( 3 固 n 光子态的错误率有两个来源。一是来自于环境记数，一是 信号光子的错误记数。因此有： e n ：e o y o 百+ 一e d r l “， ( 3 9 ) j n 其中e d 为一个信号光子击到错误的探测器上的概率，它是用来描述 光学系统的定向性和稳定性。实验上e d 可以看成一个常数。我们假 定背景记数是随机的，对于两态系统来说，e o = 1 2 。这样，弱相干 态的增益为： q “= ：q 。= y o + 1 一e - ”( 3 1 0 ) 弱相干态的错误率满足玩： q “= o 。e 。= r o e o + e d ( 1 一e 一”) n o 3 2 光子束分攻击 我们前面已经讲过e v e 可以用“光子束分攻击”( p n s ) 获取a l i c e 和b o b 之间的量子信息，而a l i c e 和b o b 却还蒙在鼓里。在这一节我 们将进一步分析这种策略。 使用理想的单光子源，无损的信道以及完美的探测器的量子密 钥分配已经被证明是绝对安全的 4 0 4 2 1 。但实验上使用的设备不可 1 8 硕士学位论文 能是完美无缺的，对于弱激光脉冲，不可避免的就含有多光子脉冲。 由于同一束多光子脉冲当中的各光子的量子态是相同的，另外他们 之间没有相互作用，因此，e v e 可以盗去其中的部分光子，从而拥 有与a l i c e 和b o b 完全相同的信息。这就是所谓的光子束分攻击的本 质。 光子束分攻击对长程量子密钥分配造成了致命的威胁。由公式 ( 3 3 ) 可知，信道传输率t b 随传输距离l 的增大而指数衰减，因此， 经过一定距离后，所剩余的非空脉冲数量就会少于a l i c e 所发出的多 光子脉冲数量。这时的信息也就完全不安全了。因为e v e 理论上可 以通过测量脉冲中的光子数把a l i c e 刚刚发出的信号分为真空、单光 子和多光子三个部分。真空对于a l i c e 和b o b 是无用的，因为a l i c e 没 有发给b o b 任何东西，所以e v e 不必理会；单光子由于其绝对安全 性，所以e v e 干脆就把它截掉，不让它产生密钥；至于多光子，正好 是e v e 所要的，于是她就用光子束分攻击策略，把多光子束一分为 二，一份自己留着，另一份通过无损信道交给b o b ，于是她就拥有 和b o b 完全一致的信息。显然，光子束分攻击既不违背量子态不可 克隆定理，也不违背非正交态不可完全区分。因此，光子束分攻击 极大地限制了a l i c e 和b o b 进行非条件安全量子密钥分配的传输距离 和密钥产生率。 3 。3 诱饵态方法 2 0 0 3 年，考虑到未来可能利用地面一卫星的自由空间来传输量子 密码以建立量子中继器 4 3 】，w o n y o u n gh w a n g 提出利用一种称为“诱 饵态”的方法f 2 3 1 来限制e v e 的光子束分攻击。这种方法随后被进一 步研究 3 8 ，3 9 ，4 4 5 0 】。 诱饵态和信号态在物理本质上没有任何区别，它们都是由光源 发出的弱相干态，只是强度不同而已，即具有不同的平均光子数肛。 诱饵态方法的核心思想是e v e 不能区分随机化的诱饵态和信号态。 因此e v e 进行光子束分攻击时对诱饵态和信号态一视同仁。可是由 于诱饵态和信号态的强度不一样，根据( 3 2 ) 式我们知道，n 光子脉 冲概率，r ( 肛) ，与值有关。因此e v e 进行光子束分攻击时对诱饵态 和信号态造成的影响是不一样的，这样a l i c e 和b o b 就可以想法“逮 诱饵态量子密钥分配的研究 1 9 住”自以为厉害的e v e 。 根据刚才的分析，再结合前面有关n 光子态的记数率k 和错误 率e 。论述，我们可以把“诱饵态”的思想的本质概括为：e v e 无法区 分来自于诱饵态和信号态的n 光子态的记数率k 以及错误率e 。， 因此诱饵态的佗光子态的记数率y ( d e c o y ) 等于信号态的n 光子态的 记数率y n ( s i g n a l ) ；诱饵态的n 光子态的错误率e n ( d e c o y ) 等于信号态 的n 光子态的错误率e 。( s i g n a l ) 。用数学表达为： k ( s i g n a l ) = 碥( d e c o y ) = k ， e n ( s i g n a l ) = e n ( d e c o y ) = e 。 ( 3 1 2 ) 由于弱相干态的的平均光子数一般很小( 以o 1 为典型) ，根据 ( 3 2 ) 式，可知脉冲中光子数n 5 的概率的数量级为1 0 9 ，远小于背 景记数率( 典型量级为1 0 “) ，因此就可以忽略了。这就是为什么 只需少数的诱饵态就足够探测限制窃听者的缘故。为了叙述简单， 接下来我们介绍无限多个诱饵态方法的具体操作： ( 1 ) a l i c e 随机发送信号态和各种诱饵态； ( 2 ) a l i c e 和b o b 对信号态和各种诱饵态一视同仁地进行正常的量 子密钥分配操作； ( 3 ) 量子密钥分配操作完毕之后，a l i c e 告诉b o b 信号态和各种诱 饵态的分布情况； ( 4 ) a l i c e 和b o b 测出信号态和各种诱饵态的增益与错误率； ( 5 ) a l i c e 和b o b 计算出单光子的记数率和错误率，如果这些结果 不正常，更准确地说是单光子的记数率太低或错误率太高，就肯定 有e v e 了。 显然，如果e v e 完全截掉了单光子，那么单光子记数率就只剩背 景记数率了。 3 4 非正交编码方法 除了诱饵态方法是对抗光子束分攻击的一种重要的方法， 2 0 0 4 年，v a l e r i os c a r a n i ，a n t o n i oa c i n ，g r e g o i r er i b o r d y ，a n dn i c o l a sg i s i n 提出了一种限制光子束分攻击的新方法，由于他们并没有给这种方 硕士学位论文 法命名，按照惯例人们就称之为s a l z g 0 4 协议。在我们的文章 4 8 ，4 9 当中，我们把这种方法概括为非正交编码方法。 s a r g 0 4 协议，也就是非正交编码方法的基本思想是：要确定区 分非正交态是要一定条件的，因而是几率性的，在一定条件下非正 交态是可以区分的，此外就是不可区分的。因此只要设计的方案能 排除掉可以区分的条件那就可以保证方法的绝对安全性。 现在我们以最典跫的s a r g 0 4 协议为例进一步阐述这种思想的具 体实旄。s a r g 0 4 协议与b b 8 4 协议在量子期间是完全一致的，即以 同样的两组共厄基中的4 个基矢态进行量子密钥分配。他们所不同 的方面在于经典的编码方式上。b b 8 4 协议把同一套基下的两个正 交基矢分别编码为0 和l ；而s a r g 0 4 协议采用非正交态编码，下面 我们用自旋1 2 语言具体表述。选择一：、一。的本征态 4 - z ) 和l z ) 作量子密钥分配的基矢态，并把| 4 - ；) 编码为0 ， 4 - z ) 编码为1 。 在s a r g 0 4 那篇文章中已经证明，通过4 态非正交编码，窃听者无法 既确定区分两光子态又不扰动a l i c e 和b o b 将要得到的个态。也就是 说，两光子脉冲也可以产生密钥。这时a l i c e 不是告诉b o b 她所选择 的测量基，而是告诉b o b 她所发送的态在一组随意给定的态中。例 如，a l i c e 发送了l + 。) ，她可以告诉b o b 她发送的态在“十z ) ，l + z ) 或 卜。) ， + z ) 中。然后b o b 利用非歧义区分非正交态的方法【2 8 3 1 j 把 正确的态选出来。现在看看我们具体怎样把 l + z ) ，l 十= ) ) 中的f + 。) 找 出来。在没有e v e 时，b o b 只能测量到三种结果：一：基下得到i + z ) 态；a 。基下得到l 十z ) 态或卜z ) 态。由于b o b 不知道a l i c e 发送的 到底是 i + z ) ，1 + z ) ) 中的哪一种态，所以他就只有靠排除法：无论是 i + z ) 还是i + z ) ，都