（光学专业论文）全光纤远程量子保密通信实验系统.pdf

东南大学碳l 学位论文 摘要 量子密钥分发是利用量子力学的基本原理来产生和发布密钥，以解决经典密码学在 密钥分发方面存在的无法克服的缺陷，从而保证密钥在发布过程r 1 i 的绝对安全进而实 现通信双方所交换信息的绝密。量子密钥分发的坪论、实验研究是“前 常热门的量子 信息研究领域中的+ 个重要部分。本文报道了我们研究小组致力于量子密钥分发技术的 理论研究以及在光纤系统上实现的具体t 作。 在理论研究方面，我们提出了个基于m a c h z e h n d e r 干涉仪和s a g n a c 环路的 新型全光纤量子密钥分发实验力案，并详细讨论了光纤量子信道r l l 的偏振控制。我们的 方案结合了以往多种光纤量子信道的优势，能够自动补偿光纤l l - 的双折射效应以及在传 送过程。l ，与偏振有关的损耗，保证了系统的抗干扰能力。 在实验方面，我们初步实现了基于：述方案的长距离量子密钥分发。扯t 作波长 1 3 l o n m ，传输频率5 0 0 k h z ，通讯距离2 5 k m 的实验条件下，获得厂9 9 4 以上的 单光子干涉对比度，系统保持了长期的稳定性，说明该系统可以实现高速率、长效稳定、 低误码率的量子保密通信实验。实验系统l l l 的大部分模块为实验小组自制，包括相位训 制器的驱动、单光子探测器以及数据采集处理系统等。 关键词：量子密钥分发，b b 8 4 幼、议，m a c h z e h n d e r 干涉仪，s a g n a c 环路，甲光子 探测器，偏振控制，相位调制器 东南大学硕士学位论文 a b s t r a c t q 啪t u mk e yd i s t r i b u t i o n ( q k d ) a i i o w st w ou s e r 5 ，a l i c ea n db o b ，t oc o m m u n i c a t ei n a b s o l u t es e c u r i 睁i nt h ep r e s e n c eo fa ne a v e s d r o p p e r ，e v eu n l l k ec o n v e n t i o n a lcr ) p t o g r a p h y ， t h es e c u “t yo fq k di sb a s e do 九t h ef u n d a m e n t a li a w s o fq u a n t u mm e c h a n i c s ，r a t h e r 廿1 a n u n p m v e dc o m p u t a t i o n a la s s u m p t i o n s j t i sp r o b a b l yo n eo ft h em o s tr a p j dg r o w i n ga n dm o s t e x c i t j n g f i e l d so fp h y s i c sw i t h i nt h el a s t y e a r s h e r eir e p o r tt h er e c e n tr e s u i t so fo u r 协e o 儆i c a lw o r ka b o u tq l a n d1 h ed “1 e da p p l i c 撕o nu s i n go p t l c a l “b e r t h e o r e t i c a l l y ，w ep m p o s eaj n n o v a t i v ee x p e “m e n ts c h e m eo fo p t i c a l 开b e rq k d b a s e do n m a c 卜z e h n d e ri n t e r f e r o m e t e ra n ds a g n a cl o o p a l s o ，w ed i s c u s st h o r o u g h i yt h ep o i a r i z a t l o n c o n t r o li nt h eq u a n t u mc h a n n e l - t h es c h e m ec o m b i n e st h ea d v a n t a g e so fp r e v j o u sq k d s y s t e m s a n di tc a na i s oc o m p e n s a t ea u t o m a t i c a l l yt h eb i r e f r i n g e n c ee f 先c to ft h en b e r sa 九d s u p p r e s sp o i a r i z a t i o nd e p e n d e n tl o s s e so c c u r i n gd u r i n gt r a n s m i s s i o nt h u st h ea 九t - d i s t u r b e d a b i l i 峥o f 1 es y s t e mi sg u a r a n t e e d e x p e r i m e n t a l ly ，w eh a v er e a l l z e da1 0 n gd i s t a n c eq k ds y s t e mb a s e do nt h es c h e m ea b o v e i tw o r k sa tt h e w a v e l e n g t ho f1 3 1 0 n ma n d l h et r a n s m i s s i o nf r e q u e n c yo f5 0 0 k h z e x p e r i m e n t ajr e s u l t ss h o waf r i n g ev i s i b t yo f9 9 5 o v e ra2 5 一k mo p t i c a 】胁e r 】i n ka n dt h e s y s t c i n m a i n t a i n saj o ”乎t e r ms t a b i l i t y t h eo v e r a l lp e r f b r m a n c e ss h o wt h ep o s s i b i l i t yo f b u l i d i n gap r a c t i c a lq k ds y s t e mw i t hh i 曲e f n c i e n c y ，l o n 争t e n l ls t a b i l i t ya 九d i o wq u a n t u m b i te r m rr a t e m o s ta p p a r a t u so ft h ee x p e r i m e n t a ls y s t e ma r em a d eb yo u r s e i v e s ，i n c l u d i n gt h e d r i v e ro fp h a s em o d u l a t o r ，s i n g i ep h o t o nd e t e c t o ra n dd a t ac o e c t i n ga n dp r 。c e s s i n gs y s t e m ， e t c k e yw o r d s ：q u a n t u mk e yd j s t r b u “o n ， b b 8 4 p r o t o c o l ， m a ch - z e h n d e ri n t e r f e r o m e t c f s a 印a cl o o p s m 9 1 ep h o t o nd e t e c t o r ，p o l 撕z a i l o nc o m r o i ，p h a s em o d u l a t o r 尔南大学邱! l + 学位| 立 第一章绪论 保密通信的历史十分久远，它的起源可以追溯到儿千年前的埃及、巴比伦、占罗马和希腊，正 如d a v i d k a h n 的著作破译荇书中所说“人类使川密码的历史儿乎与使h j 文字的时问样长”， 在古希腊神话和巴比伦于胡的旧约圣书中部有许多传奇的密码故事。历史上，密码术在国家 管理、军事情报中一自扮演着极其重要的角色。1 9 1 7 年，荧囤人破译了z i m m e r m a n 密码，r 解到德 国一直企图怂恿墨西哥加入德国的战争集团条件是允许墨两哥分得美国的领十从此茏国才决心 加入第一次世界大战。第次世界人战中，英国当时新研制的人犁计算机c o lo s s u s 成功地破泽了德 军的恩格机码，对于战争的最后胜利起到了重要作用。密码术虽然不是源于战孕，但是它的发展成 果首先用于战争，正是战争对手的存在和潜在的生存威胁，推动了密码学f 自发展。密码z f 日基本概 念和发展历史可以在众多文献中在阅到”“。 1 1 密码学的基本概念 密码学( c r y p t o g r a p h ) 词柬源于吉希腊谮k r u p t o s ( h i d d e n ) + g r a p h e i n ( l ow r 】t e ) ，准确的现 代术语是“密码编制。”简称“编膏0 ：”，其基本技术是替换置换和移佗与之相对旧专门研究 在没有密钥附隋况r 如何破解密码的仁闷称之为“密码分析。7 ：”，其内容包括数7 ：、统计7 和诒言 学等。 一个传统的密码体制s 定义为s = ( m ，c k ，e ，d ) ，其中m ( m e s s a g es p a c e ) 代表明文空 间c ( c i p h e rs p a c e ) 代表密文空问k ( k e ys p a c e ) 代表密钥空间e ( e n c r y pl l o nf u n c t i o n ) 山加 密映射族e f f k ：m - c k k ) ，d ( d e c r y p t i o n “n c t i o n ) 为解密映射族d = ( 既：c m k k ) ，有时f 是g 的逆运算。 每一种加密方法都包括算法f 和密钥k 两个元素，这两个元素描述了每种加密的精确细节其 中密钥是保证密码不被破译的主要因素。1 9 世纪k e r c h o f f s 写r 了现代密码的原理，其中 个 原理中提到加密体系的安全性j 1 不依赖于加密的方法本身而是依赖于所使川m 密销。以毕表密 码为例来说明： 明码表 abcdefghi jklm n op qr stuvw x yz 密码表1 d efg hijk l m n0p0r s t uvwx y z a b c 密码表2 phystcd e a r tmnof u v b gjk l0wx z 明文 i tis k e y 密文l l wl vn h b 密文2 atn g t l x 将信息中每个明码字母用密码字母柬代替就是种算法，密码表可以是字母表m 任意 种重排，密钥 则明确了某种加密过程中所用的密码字母表。密码表1 是凯撒密码，把它f n 每个字母按照字母表顺 序向前循环错三位，其密钥是3 。解密则只需要按照字母表向后循环3 个字母即恢复原文。密码衷2 是这样形成的选一个关键词或词组即峦钥：p h y s i c sd e p a 儿m e n to fs o u t h e a s tu n iv e r s i t y ，将 其中的空格和重复字母去掉( p h y s i c d e a r t m n o f u v ) ，然后将其作为密码表的前半部分密码字母，至于 后半部分，将明码字母衷中在关键词 组中出现过f n 字母去掉，再按顺序接 在其后。这个密码表易被记住，可防 被截获。这种加密、解密方法使m 同 样的或可互推的密钥称为对称密码， 其缺点是必须经常更换密钥，否j j ! | j 窬 易被破泽，而这意味荇通信双山之间 必须经常传送密钥，增加了被窃听的 图l _ l 密码通信的盐本匣理 第一章绪论 危险。由此可见，密钥k 的生成与传输是密码通信的关键。密钥是密码通信的核心，它的形式可以是 一组数字、符号、图形或代表它们的任意形式f 自电信号，密钥的产生或变化规律必须严格保密。密钥 信道是把密钥从发送端传送给接收端的通道。岜必须非常安全可靠，共至万无t 失。图卜l 给出密 码通信的基本原理。在密码学中，通常分别称发送者、接受者及窃听者为a l i c e 、b o b 和e v e 。 1 2 经典密码学的发展及一般机制 1 2 1 经典密码学的发展史 密码学包括密码编制。和密码分析。这两个相互独立义相与：依存的分支。从其发展米香，百r 分 为占典密码以字符为基本加密中元的密码，以及现代密码以信息块为基本加密甲元f 门密码， 他们都属于经典密码学。古典密码常_ 【 j 的有单表密码( 明码本与密码本- 埘戍，如凯撒密码) 和多 表密码( 明码本与多个密码本依次对应，如维热纳尔密码) ，其思路部足改变字母表中字母的顺序。 单表密码在占代就已经得到了长足的发展，多表密码编制在第一次世界人战删问达到了顶点也达剑 终点，其标志足无线电报发明以后，加密手段实现了机械化产生的恩格玛密码机。份德国报告称： 恩格玛机能产生2 2 0 亿种不同的密钥组台，假如个人日夜不停地丁作，每分钟测试种密钥的爵， 需要约4 2 万年才能将所有的密钥可能组合试完。希特勒完全相信了这种密码机f f j 寰全性。然而， 英国获知了恩格玛机的原理，启片j 了数理逻辑天才、现代计算机设计思想的创始人，年仅2 6 岁的 a l a nt u r i n g 。1 9 3 9 年8 月，在t l l r i n g 领导下完成了部针对恩格玛机的密码破译机每秒钟可处 理2 0 0 0 个字符人们给它起了个绰号叫“炸弹( b o m b ) ”。半年后，它儿乎可以破译截获德国的所有 情报。后来又研制出一种每秒钟可处理5 0 0 0 个字符的“巨人( c o l o s s u s ) ”犁密码破译机1 9 4 3 年 投入使用。同盟国的胜利生要在于掌握了德国、口本f 门绝人多数军事秘密，存战场上起了决定性的 作川。2 0t 廿纪5 0 6 0 年代计算机开始发展，计算机一进制造算中有种“模2 j 口”运算，电脑秤 序员称“异或”运算，如果再配台一进制位交换运算，就很容易实现信息加密。进入7 0 年代随着 集成电路的发明和在计算机领域的广泛应刚，密码学迎来了新纪元，丌刨了现代密码。只有代表 意义的是：1 9 7 5 年3 月，i b m 公司公丌发表了d e s 数据加密柏；准；1 9 7 7 年，荚囤国家标准局( a n s j ) 宜布d e s 作为国家标准于非囤家保密机关，丌创了公丌全部密码算法n 勺先例：1 9 7 6 年，d i f f 】o 和h e 儿m a n 提出不仅密码算法本身_ j 咀公丌，而且j j 口密州的密钥也可以公丌，只要解密密钥保密戟 可以了，这就是加密密钥和解密密钥不同n 勺非时称密码体系，义称公钥密码体系：1 9 7 8 年r jv e s t 、 s h a m i r 和a d l e m a n 三人台作提出了第个实_ l j 的公钥密码算法，即者名旧r s a 密码算法。“剑现在， d e s 和r s a 两个密码算法仍然是现代密码学的经典。 1 2 2 经典密码体系的要求 到了1 8 8 3 年，法国人奥吉斯特发表了军事密码学书。在此书中他提出了进立密码通信系 统的两项基本原则，即： 第一，任何种密码必须能州于实际的人容景、快速通信 密码通信体制，因而必须h j 高度可靠的密钥柬保证所埘的体制 第二，只有破译才是验让- 一种密码体制可靠性的唯途径 展的有力手段。 必须假定破泽扦已经掌握了般的 冈而碱泽术电就成了剂激密码。# 发 在这两项原则卜他提出了八项挂本耍求这也是第次系统地埘密码通信提出| 定性要求。 它们是： 1 可靠的密码体制，应该既在理论上，同时也在实际上是不可破降的： 2 加密体制的计竹露不应该给通信青带柬更人f n 损失： 3 密钥应该便于记忆而且容易变更： 4 密文应能用于电报传输并可扩大到数据和电话信息； 5 密码通信没备即附什应能由人携带或操作； 6 所采用的加密体制应简单明了，既不需要掌握冗长f 舰! 【! | j ，义不至于使人神经过分紧张。 2 尔南大学坝l 学位论义 这些要求到今天仍然是适用的。但是在实际应用中，第条往往足做不刮f f j ，所以在战争中使 用的军事密码一般仅仅要求能拖延敌方的破译时间，而并不要求无法破译。战争的残酷性以及无 数血的教训迫使密码学家努力寻找更加可靠的加密体制。 在当时加密体系缺少数学的背景f ，当然也不可能测节或评价这些体系抗攻卉f 日能力。在1 9 4 8 年和1 9 4 9 年，信息理论的创始人吞农( c l a u d es h a n n o n ) 发表了两篇论文通信f f j 数+ 7 原理和秘 密体系的通信原理，他把科学背景加入了密码1 ，提出了密码通信系统模犁，0 j 入了熵和保密度两 个极为重要的概念，把各种备样的加密体制概括成了 对加密和解密变换器。从而把挚个系统概括 为一条传输密钥的秘密信道，以及受密钥控制的加、解密变换和传输这两种变换f 口普通信道。这样 就可以用数学模掣法和现代信息论对任何个密码通信系统进行定靖的分析了。 1 2 3 经典密码体制的分析 随着密码学的发展，人们提出许多复杂的密码方法，其中具有代表性的有以f 三种： 1 、一次一密加密体制 第次世界大战晚删，荚国电话电报公司的g i lb e nsv e r n a m 和荚固陆军通信兵部队n ( jt o s 印h 0 m a u b o r g n e 少校尚次引进了随机密钥的概念密钥是个随机字母序列它作为维热纳尔密码的 一部分，可以提供个空前岛的安全保障。1 9 4 9 年贝尔实验室的c 1 8 u d ee s h a n n o n 在其著名的论 文保密系统的通信理论文中指出如果密码本的长度比要编码的信息短，那么无论编码过f ，! 如何复杂，关于该消息的某种信息就能够由个能力足够强的敌手从这密码中推断出柬。同年代 的香农提出”证明了：当密钥的随机性十分理想不产生重复，儿且密钥莆至少不少于所要千车送的 信息量时，它在理论上是不可破译的，属于“完全保密体制”。使“ 与啄有信息样长的随机数序 列作为密码本，奠且个密码本只使州次，这种密码本被称为v e r n a m 或次性使蔓式密码本( 0 n e t i m ep a d ) 。目的只有这种加密方法在数z 上被证明是不可破l 子 门，军事、外变中常使川这神方式j 口 密，如莫斯科一华盛顿热线。它的缺点是：( 1 ) 使h j 很不方便投资人。人带随机密钥f n 产生要求通 信双方经常生成、传送并保存很多的数据作为密码本：( 2 ) 密码本f n 发送令人担忧。通过经典由式传 送仍有可能截获、复制或篡改密码本。 2 、数据加密标准( d e s ) 加密体制 d e s 是第个得到广泛应用的密码体制，它的基本特点是加密和解密采_ i = | 同个密钥，是种 对称密码体制，聚_ 【 j 分组加密算法。 d e s 密码算法以8 个8 何的字节块( 6 4 忙) 为基本加密中元，使心8 个7 忙旧字节块( 5 6 何) 密钥 进行加密和解密，算法繁琐。片先把5 6 忙密钥变换斤形成1 6 个4 8 何的子密钥，而6 4 住f n 明文信 息块被视为6 4 个进制位的集合通过初始变换重新排列协置后形成丘、右两个3 2 悔的千块l 。和 r 。，右子块r 0 变换为4 8 位的块后与相对应的4 8 倪的于密钥模2 加运算后再变换为3 2 俺的块，然 后再与k 模2 加运算形成新的右子块r t ，而r o 不作变换作为l 。如此连续使h 不同的子密钥远算 1 6 次，把i 。和r 6 丘右颠倒斤连接经过逆仞始变换形成密文。解密运算相同只是f 密钥使川的 顺序不同而已，是一种热犁旧分组密码算池。当年把d e s 密码算法作为国家柏、准是经过慎重考虑的， 冈为d b s 密码算法存在两个明显的弱点：其足当使川同密钥埘相同f 一信息块加密斤，将得士1 相 同的密文，有可能为破译留卜“后门”；其一是5 6 能密钥只有2 5 6 种可能性，是舌太少了? 叭f ne 和h e l 】m a n 指出可对密钥进行穷举搜索如设计种专心机，使它能以每秒1 0 “个密钥组台的速 度测试全部2 5 6 个密钥的可能组合，也就只需要2 0 小时。为此，当年a n s i 成立了专门研究小组， 1 9 7 8 年公柿的结论是：在l o 1 5 年内d f 婚密码算法的安全性不成问题。然而2 0 多年后的今大，计 算技术发生了巨人的飞跃，1 9 9 8 年7 月美国电于新产品开发基金会( e f f ) 花了不刮2 5 万美元研制了 一台计算机“d e e pc r a c k ”，以每秒测试88 1 0 个密钥的可能组合的速度连续测试了5 6 个小时 破译了d e s 密码，以这个测试速度测试全部2 5 6 个密钥的可能组合，也只需要2 2 75 小时：1 9 9 9 年 1 月，e f f 宦布，e f f 与全球计算机爱好着联盟合作把“d e e pc r a c k ”与由冈特网连接f n 近l o 万 台计算机连接组成一个并行计算机网络，仅州了2 2 小时1 5 分钟就破译了d e s 密码。当密码被解开 时，每秒钟测试的密钥可能组合数已达2 4 5 l0 ”个，这是当年d i f f ie 和h e l l m a n 设想f 冉号川机 弭一吊绪论 速度的l 4 。所以在今天，出于安全性考虑，d e s 密码算法已失去了其实_ l j 价值，采川1 2 8 忙密钥的 i d e a 或r c 4 等密码算法，以及1 6 8 何峦钥的三重d e s 密码算法，安全性要比d e s 密码算法岛得多。 近年来美国倡导新的高级数据加密标准力案a e s ( a d v a n c e de n c r y p t io ns t a n d a r d ) 计划，吸引了 一大批候选方案，取代d b s 密码算法已成必然。 3 、公钥( r s a ) 加密体制 虽然一次一密的加密方案能够绝对保证安全，但冈为峦钥信道通常是极为昂贵腑为了减少密 钥开销，美国密码学家d i f f i e 和h el l m a n 于1 9 7 6 年发表了 篇叫密码学新动向的文章，文章提出 了公开密钥加密的概念和体制，引起了研究者很大的轰动。它的特点是加密规则公丌，在商业贸易 的电子通讯中被普遍使用。数学上没能证明公钥密码是不可破译的，它的保密性依赖于破泽难度人， 时间非常长。通过这种方式来保它的安全性基本思想是把过去采j h 同种密钥进行加密和解密 的传统做法改为使用两个完全独立、不同的冈而可以分丌使h j 的密钥加以实现。我们知道，在常 规的密码体制中，之所以必须埘密钥信息如此小心地加以保护完全是由于加密和解密变换f f j 不可 分性所决定的，冈为任何人只要获得密钥信息就可以顺利地进行解密了。冈此，如果能将加密和 解密变换分开进行，那么就无须再对加密密钥进行保护上口同时也能达刮保密的目的，冈为此时的 加密密钥已经不再作为解密变换之_ l j 。他们的高明想法的核心就是甲向函数的机关，对于邪个函数 来说，一个方向上的操作是容易的但是如果不知道秘密的机关，即使所有人部知道函数本身，从 反方向计算还是不现实的。这里，公钥扮演的角色和函数相同，仅被有限的部分人知道的机关就 是私钥。所以，公开密钥体系所要解决的课题便是：必须设计出种新的算法，它能遄速而方便的 产生一对随机、互逆的密钥e 和d 其中e 州于加密变换，d t l j 于解密变换，i ：且无论足川d 还是e 在 计算上的操作都应十分方便与此同时在实践上廊儿乎无法从d 算出e 。1 9 7 8 年，r iv e s t 、s h a m i r 和 a 吐l e m a n 终于找到了这样的午向函数，所以也被称为r s a 。r s a 算法建立在对牾数分解的数# 难题上 我们知道计算两个大的素数( 如1 0 0 位) 的乘积是很容易的但从它们的乘积反推出这两个素数是比较 困难的。其密钥建立过程如下： 1 ) 用户a l i c e 随机选取具有大致相同人小f 内两个素数p 、q ，两个素数是保密f n 计算出它们柏 乘积n 并把n 公开i 2 ) aj i c e 使用p 和q ，箅出n 的欧拉函数中( n ) = ( p 1 ) ( q 1 ) 欧拉函数表示比n 小h 与n 互素的 整数的个数： 3 ) a l i c e 选个比( p ( n ) 小j ：与巾( n ) 互素的蚺数e e 是公丌的作山公钥，h 于d u 密信息： 4 ) a l j c e 计算e 模中( n ) 的乘法逆元素d ，即e d = im o d 出( n ) ，d 足侃帝n 勺，川f 解密作为私 钥。 最后对a l i c e 而高就形成了她的公丌密钥( n ，e ) ，私人密钥( n ，d ) ，假如川p b o b 有个u 月 文m 想告诉a 1 ic e ，它先把明文m 转换成小于n 的整数m 然后h a 1 1 c e n 勺公丌密钥( n ，e ) 进行j j 口峦， 用幂指数求模运算完成明文向密文f n 转变，密文c = m 。m o dn ：a l 】c e 收到密文后川白己的私人密钥 ( n ，d ) 进行类似处理，c om o dn = m ”m o dn = m ，就可以恢复原文，得到b o b 想要告诉她的消息。 举个简单例f ，我们选择p = 3 ，q = ，蚍n = 3 3 ，巾( n ) 一2 0 。e 的个适台的值是e = 3 ，田为3 与2 0 没有公共因子。d 可以通过求解式3 d = l ( m o d2 0 ) 得出，即d 一7 。r 面给出明码“s u z a n n e ” 的加密和解密过程，将明码数字化，冈为质数选择的很小，代表每个u 月码f n 数字必须小于二3 3 ，冈此 每个明码块只能包含一个字符，结果形成7个争字母表代换密码如表l l 所示。 这种公开密钥体制，极大得简化了_ 自不能解决的密钥分配问题。每个_ l j 户均能产生对互逆 的e 和d ，他只须对解密密钥d 保密，而把加密密钥e 记载到类似于电磊号码本的公丌手册中。这样任 何一个用户都可以自由地加密他的信息，并把密文发送给其他接收n 勺川j 。，保i i e 了没有f 何 个 ，、能得到其他h j p 的信息。 但是至少从理论上，这种加密疗法j 1 不足绝埘安全的。r s a 公钥密码算法帕簸全性是基于人 数的因子分解在数学上是。个凼难问题，至今仍没有有效算法。虽然公丌了j 口密密钥n 和e ，但要 想求得e 的逆元素d ( 解密密钥) ，必须对n 进行冈子分解，只要n 足够人，就是非常幽难的。1 9 7 8 年当公布r s a 密码算法时，发明卉曾夸口，分解个1 3 0 佗的两个裹数的乘积，不管使_ l j 的计算 4 东南大学硕上学位论文 机能力多大也需要儿百万年的时间。然而，随着计算技术的不断发展，人们拥有f j 计算能力以儿 何级数的形式在增长，公丌密钥体制的安全性受到了越来越人的成胁。今犬的公丌密钥体制的研究 处于一种螺旋式的发展模式：不断地有新的更可靠的算法被提出同时不断地有些曾经被认为1 卜 分可靠的算法被证明是可以破译的。比如，1 9 7 7 年，r iv e s t 、s h i r 和a d l e m a n 找剑了 个1 2 9 位数的两个素数的乘积，称为r s a - 1 2 9 ，设计了。套密钥向世界挑战，要把个1 2 9 位数分解成两 个6 4 位左右的素数的乘积，当时需要4 1 0 年才能完成。然而1 9 9 4 年3 月，由l e n s t r a 领导f 内 一组数学家及世界各地6 0 0 多个爱好扦使_ l j 了1 6 0 0 台机器，通过冈特网协调箨自计算机的t 作，向 这个1 2 9 何数发动了进攻。花费了8 个月的时问，他们就分解出了这个数的两个素数冈子其中 个长6 4 位，另个长6 5 忙。1 9 9 9 年，阿姆斯特月f 内国家数1 z 与计算机科研究所( c w l ) 卜属帕 个国际密码研究小组宣机，他们在破评r s a 公钥密码系统使川的1 5 5 位r s a 密钥n 0 竞赛中荣获冠军， 他们使用了一台克雷9 0 0 1 6 超级计算机、3 0 0 台个人计算机以及专门设计f n 软俐。看来，1 5 s 传的 r s a 密钥，虽然仍在保护着银行、股票交易所和在线零售商每大价值儿十亿荧元f n 业务往柬虽然 也不是普通人可以破译的，但1 5 5 位的密钥长度也还是不富余的，仍有被破泽的可能。 表卜l“s u z a n n e ”在r s a 体制中的加密和解密 明文密文解密 字母序号 m ， m m o d ：3 3c m o d3 3字母 s1 96 8 5 92 8 13 4 9 2 9 2 8 5 1 2 1 9s u 2 【9 2 6 l2 11 8 0 1 0 8 8 5 4 l2 lu z2 617 5 7 62 01 2 8 0 0 0 0 0 0 02 6z a0 1l l io l a n1 d2 7 4 4 5 7 8 1 2 51 4n n1 42 7 4 457 8 12 51 4n e0 51 2 j2 68 0 3 1 8 l o l7 6 0 n e 1 3 量子密钥体制的出现 近年来，计算技术的发展十分迅速，其中量子计算机的研究虽然刚刚起步，但是理论分析表明 最子计算机j 于求解某些数学难题( 如上倒中的人数的冈子分解) 的速叟比经贝计算机的速度快若t 最级。计算技术的b 速发展已经对公丌密钥加密体制构成了极人威骄。田此无论是经舆密码体 制还是现代公钥密码体制都无法保证不可能被破译。那么剑底有没有这样种密码休制能够 满足在理论上以及在实际麻_ l j 当中不可能被破泽呢? 看似与密码术毫不相t 【n 最子物理就孕育了这 样的一种全新的密码技术，它就是量子密码术”】。 慑子密码术在发现公钥密码术之前就开始悄悄得发展了。1 9 7 0 年左右，s t e p h e nw i e s n e r 写了 一篇名为“c o n j u g a t ec o d i n g ”的论文”】，* 先考虑把带子力学和密码术结台在起提出川共轭 编码制造不可伪造的电子钞票。他的疗案需要长时闸帕保存甲最子忐不够现实，杂志引冈而拒绝 刊登这篇文章，最终在】9 8 3 年的会 义录e 发表。1 9 7 9 年荚囡i b m 研究所的b e n n “t 和b r a s s ”d 了解到w e i s n e r 的观点后受到了启发，想出了如何把w e is n e rl 佝观点和公钥密码术结台起来f n 方 法，即利片j 单鼍子传输信息。1 9 8 4 年，他们提出了个比较成熟的带子密码乃案”1 人们把两位科 学家名字的第个字母和年代联在一起，把这个琏子密码术方案称为b b 8 4 跚议，它利_ i j 学光子偏振 态编码，是最早的量子密码术方案。b b 8 4 协议的提出，标志着量子密码术进入了个新晌发展时期。 1 9 9 1 年，与b e n n e t t 在同一研究小组工作的牛津人学的ake k e r t 受到d a v idd e u t c h 的启发提出 了利用双最子纠缠态实现最子密码术的协议，这种协议是建立在e i n s l e i n p o d o ls k y r o s e n ( e p r ) 佯璎n 勺基础上的现在称之为e p r 协议”。1 9 9 2 年，b e n n e t t 义提出了。种力案，现在称之为b 9 2 5 第一覃鲔埝 方案“，相对于b b 8 4 协议而苦这种方案更加简甲，但是效率只有b b 8 4 的半。目前的节子密码 通讯协议都可归为这三大类型。馈子密码通信其实不涉及密码通信本身，而是在通信双方之问同时 传输、建立绝对安全的密钥随机比特序列，最终解决密钥发柑这个难题实现通信系统的完全 保密。它建立1 。个最于信道通信双方在这个信道上共同产生( 不是传输)个密钥所咀节千密码 术更准确地说应为帚子密钥分发。为了检信道的安全，合法通信双方可以检密钥数据f 门统计特 性，当有窃听者存在时，根据海森堡不确定性原理，这个统计特性会发生明显的变化。利川这个景 于信道，可以产生大最的绝对安全的密钥，完全可l l 满足苛刻的次密的密码体系的要求。 j 、商大学坝f 学位沦立 第二章量子保密通信的基本原理和研究进展 在经典物理理论中，测量某一物体的所有物理性质时，不会对这些性质产生丁扰，所以对于基 于经典物理的经典信道而言t 当存在窃听者时，她的存在有可能不会被发现这也是经媳密码通信 的安全问题所在。 量子物理学家将密码术与麓于力学相结合，提出了铸子密码理论。景子密码r 产h j 甲骨f 志作为 信息载体，通过蹙子信道传送在合法的用，、之间建立共亨的密钥( 经姐随机数) 。带子密码学的安 全性是由繁子力学基本原理：测不准原理及其引理未知学岢子态不町克隆定理保址的。由于其 实现的难度很人，目前只有少数国家实现了带子密码系统，国内的研究与国际上也存在很人的筹距。 在f 面的介纠中沿用密码学的惯例，将信息发送与a l ic e 简称为a ，信息接受方b 。b 简称为b ，窃 听者e v e 简称为e 。 2 1 单量子不可克隆定理 如果一个具有确定偏振态的光子从一个被激发的原子附近经过，定的几牢n 这个原干会受 激辐射，产生第二个光子，这个光于与原先的光子保持相同的偏振，激光就是这么产生的。但能否 找到一个过f ! 来放大单光子态，比如说产生几个副本，每个都与原始态完全相同呢? 答突是否定 的。 引理：单量子态不可克降 一个完荚的放大装置对个到来f n 单晕子态ls ，应该有如卜作州： ( 2 】1 这里i ar ， 是装置处于作好放人准箭时f 仃状态， a 。 表示装置帕终态，它们可以与被放人的莆f 忐没 有关系。s s 表示放人以后产生f 由两个只有与被放人景子忐相同f 内莆f 志。以中光f 偏振忐为例说 明，对于其它带子态可以同样证明。 对于处于水平偏振的甲光子有： 岛) | h ) 斗l 爿。) ”) 同样，对雄“偏振的申光子有： i 如) 1 0 ) _ l 。淞0 ) ( 2 2 ) ( 2 3 ) 根据最于力学，这种作用可以用。个线性箅符( 即幺正算杓) 表示。冈此，对于水平偏振和垂“ 偏振的线性组台a 1 0 ) + 卢lh ) 的单光子态( 口2 + 卢2 = 1 ) ，这个放人装置的作川结果应该是： 矗) 胁) + 卢i ) ) 斗a i 爿。) 1 0 0 ) + 卢1 4 。，) i 付h ) ( 2 4 ) 如果仪器的状态i a 。 和l a 。， 不样，从仪器出柬的两个光子处于偏振的混合志：如果它们相同 这两个光子就处于个纯态： a | 0 0 ) + 卢l ) 而对于一个理想放大装置，如果一个线偏振光子被口1 0 ) + p i h ) 放大，最后的态戍该是 7 ( 2 5 j 第一章罱子保晰通信的基本原理和研究进展 ( 口1 0 ) + 卢i q ) 2 = a 2 0 0 ) + 2 口剧o ) + 卢2 i o o ) ( 2 6 ) 这个结果显然是。个纯态，并且与式( 2 4 ) 和( 25 ) 描述的根据景于力学基本特性推出的结果不同。 因此可以得出个结论：并不可能存在种殴需，能够对任意给定偏振忐的甲光f 进行放人， 虽然对特定的方向，即垂瓿和水平方向上可以做到。我们叮以放心的说：单光子不可克降。 图2 1 是光子受激辐射放人过f 11 ，处于反转能级状态的 粒子在一个入射光子的激励f 受激辐射出- t 个新的光子。毕 量子不可克隆定理告诉我们除了几个特定n 勺偏振方向以外 ：8 瓣 出射光子的偏振态并不与八射此子完全- 致。 反转的粒子能缎 出射光子 图2 一l 光子受激放大过样 2 2 三种主要的量子密钥分发协议简介 2 2 1b b 8 4 协议 1 、通信过程” 根据其节子特性，光f 的偏振态属于一维希尔伯特空问可h jf 面三食且为共轭f n 矢景基中f 任何套来描述： ( i ) ( o ，1 ) ，( 1 ，o ) ：( i i ) l 压( 1 ，1 ) ，l 压( 1 ，一1 ) ：( 1 i j ) l 压( 1 ，】) ，l 压( i 1 ) 。 前两食基f h 肚矢帛代表线偏振儿n 勺偏振力川，眄食基且成q 5 n 珀，鹅二食基代捉圜蝙振比的右旋忠 和左旋态。两食基且为共轭指f 一是，食堆的任挂矢在另 食基i 门任何挂矢卜的投影部相等。冈 此，对于某套基的基矢节f 态，以另 食基对其进行测节会消除它测节自u 具有的全部信息而使 结果完全随机。例如， 个水平放置f 由捡偏棱镜透射光偏振力向为水平，反射光偏振力向为垂“， 用它去测量个线偏振力向为4 j 。的光子，就完全无法知道该光于会在哪个出口出现，冈为两个方 向出现的几率都为5 0 。如果光子初态偏振方向为水平或年卣，在偏振器两个出口各放置个探测 器，就可完全判断光子n 0 偏振疗向测景结果是确定f 由。利川光子的上述带r 特性，通信双力可_ l j 争光子的偏振态，在公丌通道上建立密钥而窃听者f 却无从知晓，外且en 0 任何窃听活动都会被a b 发现，具体方法如r ： 首先，a 、b 选择光子的任何两食共轨基，为了便于说明，我们选两组线偏振基，以基矢帕与向 代表二进制的0 ，l 比特。如选择( o 。9 0 。) ( 4 j 。，i 3 5 。) 这两套基，定义o 。和4 5 。的偏振 方向为0 ，9 0 。和1 3 5 。的偏振方向为1 。a 通过沿正向或斜向放置的偏振棱镜向b 发送偏振方向怔 取为0 。、4 5 。、9 0 。或1 3 5 。的单光子序列bh j 检偏器同步测节每个光于的偏振乃向，每次随机选择 正向或斜向检偏基。在半的情况卜b 选择f 内基会与a 旧致，这时b 能确切知道光子的原偏振方 向。双方偏振基不同时，根据节子力学，bf 日测节结果是完全随机、不确定的。随_ l 亓b 官们他所使 用的偏振基序列( 当然不公m 测节结果) ，a ，占诉b 哪些基选对了，双方保留基相同时与偏振忐埘府 的随机比特数序列作为密码本。 表2 一l 对应给出建立密码本的具体步骤。 1 ) a 向b 发送串偏振方向随机选定的中光子： 2 ) b 随机选择正向或斜向检偏基，测最光f 的偏振方向： 3 ) b 所测得的偏振方向( 空格表示末接收到光子) ： 4 ) b 公布所用的测骨基后，a 告诉他哪些基选对了； 5 ) a 、b 保留基致时对应的比特，放弃其他数据： 6 ) b 随便公布某些比特供a 确认有无错误： 7 ) 经a 确认无误，可认定无人窃听之后，剩f 的比特序列留作密码本。 第4 、6 步完全可在公丌信道上进行，不会影响保密性，冈为密钥是由a 、b 双力所选f n 随机序 列共同决定f 向。密钥足在传送过羁! 中形成帕，a 自己事先都不知道密钥本公是怎样的。所以没育通 常密钥传递过程中丢失、泄密的危险。即使冈吸收损牦等原冈造成光子丢失也无关紧要，几足损失 8 东南大学颁 ：学位睑史 了一些比特。实际上所产生的密码本属v e r n a m 掣但a 、b 可随时产生，不必存放人节数据，也 不必靠用信使传送的笨力法。 表2lb b 8 4 带子密钥分发协议 1f + f f 2+ 上 + 3ff f 4 5o( 】lolol 【 6ol 1 7010 0l 上面介绍的过秤中川了两个线偏振志 作为共轭基。除光子的偏振性以外也可 用光的相传作编码。学个光子n 0 相他态 更适合在光纤中长距离传播，可以通过t 涉测量的方式实现相位编码的量子密钥分 发。 如图2 2 所示，a 、b 备占有一个m a c h z e h n d e r ( m z ) 丁涉仪的一臂并分别控 制两臂中的相位调制器m “和m n 。a 从光分 束器输入一串光脉冲，b 在合束器的两个 输出端口放置单光子探测器d 。、d 。分束 器、合柬器均是5 0 ：5 0 的。由于光千的 干涉效应信号光子脉冲出现在探测器j 的几率为( 设初始相位为0 ) ： p = c o s 2 出现在探测器i i 的几牢为 耻s m2 l 学i 图2 2 相位编码的岢子密钥分发原理 d 1 d 1 1 分别对应相应的o ，1 比特的探测器： 中、，中。为分别由a ，b 随机控制n j 相位调制器 ( 2 7 ( 2 8 ) 信号光子脉冲出现在哪个探测器取决于两条光路的相位筹。若以一钆= n ( n 为焙数) 则信号光千 脉冲将出现在探测器i ( 或探测器it ) ；若“一钆= 2 + n ”( n 为龌数) ，咒子走的路干争是不确定f h 到达两个探测器的儿牢均等。a 随机选择“为( o ，市或( 2 ， 3 “2 ) 两组基中的任相付值b 也独立地随机选择扎为( 】或2j i ：进行洲帛。舰定“为0 或2 时a 记o ，为n 喊3 2 时记l ：兜 子到达i 时b 记0 ，到达儿时记l 。在半f n 情况rb 选f 门基会与a 的致，这时r 能确切知道a 选取的相位。双方基选f 由不同时b 的测节结果是完全随机、不确定f n 表22 展示了洲景