（物理电子学专业论文）qkd系统中密钥协商算法和探测技术的研究.pdf

独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：送主墨塑 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 参 | 本人签名：只期： 导师签名：二毛乏盟 日期：2 业立_ = l u k t ，一 北京邮电人学研究生学位论文 q k d 系统中密钥协商算法和探测技术的研究 摘要 密码学有着悠久的历史，在近代逐渐发展成为- - 1 3 应用科学。密 码学在现今社会中有着非常广泛的应用，从关系国计民生的军事、国 防等领域到个人应用领域，例如电子邮件、银行账号等。现在的密码 体系可以分为非对称密钥和对称密钥两大体系。非对称密钥的安全性 是建立在计算的复杂性之上的，随着电子计算机技术的发展，特别是 量子计算机概念的提出，使其安全性受到了严峻的挑战。对称密钥的 最大问题是如何在通信双方进行安全的密钥分发。 量子密码学是量子力学和密码学相结合的一门学科，量子密码的 安全性由量子力学的基本原理测不准原理和单量子态不可克隆 定理保证。使用量子密钥分发所得的安全密钥，结合“一次一密”加 密算法就可以实现理论上绝对安全的保密通信。 现在的量子密钥分发遇到的瓶颈就是密钥生成率比较低。量子密 钥分发系统中，原始密钥后期处理过程中所采用的纠错算法对密钥生 成率有很大的影响。当前比较常用的纠错算法有二分奇偶纠错算法、 c a s c a d e _ 幺q 错算法和奇偶汉明纠错算法等三种纠错算法，它们各有 优缺点，本文的主要工作之一就是对这三种纠错算法的性能做了一定 的理论分析，并在工程上实现了奇偶汉明纠错算法。探测技术也 是量子密钥分发系统的关键技术之一，对量子密钥生成率也有很大的 影响。对探测技术的研究大都集中在探测器本身性能的研究方面，本 文将b i n gq i 等人提出的双探测器理论应用于b b m 9 2 协议，对其性能做 了一定的理论分析，并通过m a t l a b 进行了数值仿真，从仿真结果可以 看出，采用双探测器能够提高系统的密钥生成率和延长安全通信距 离。最后本文就量子密钥分发网络做了简单的介绍，并且在对目前的 三种量子密钥分发网络结构的特点以及功能缺陷进行分析的基础上， 提出了一种新型的量子密钥分发网络模型。 关键词：量子密钥分发纠错算法双探测器量子密钥分发网络 。 北京邮电人学研究生学位论文 二二二二- = = = = _ 一 、 北京邮电人学研究生学位论文 a n a l y s i s0 fk e yc o n c i l i a t i o na l g r i t h m a n dd e t e c t i n gt e c h n o l o g y i nq r a ) s y s t e m a bs t r a c t c r y p t o g r a p h yh a sal o n gh i s t o r y , w h i c hh a sb e c o m ea na p p l i e d s c i e n c ei nr e c e n ty e a r s c r y p t o g r a p h yi su s e di nm a n yf i e l d si nm o d e m s o c i e t y , s u c ha sm i l i t a r ya f f a i r s ，n a t i o n a ls e c u r i t y , e m a i la n db a n ka c c o u n t m o d e mc r y p t o g r a p h yc a nb ed i v i d e di n t ot w oc a t e g o r i e s ，s y m m e t r i ca n d a s y m m e t r i cs y s t e m t h es e c u r i t yo fa s y m m e t r i cs y s t e mi sb a s e do nt h e c o m p u t a t i o n a lc o m p l e x i t y a st h er a p i dp r o g r e s si nc o m p u t e rs c i e n c e ， e s p e c i a l l yt h ea r i s i n go ft h ec o n c e p to fq u a n t u mc o m p u t e r , t h es e c u r i t yo f a s y m m e t r i ci sc h a l l e n g e ds e v e r e l y t h em a j o rp r o b l e mi ns y m m e t r i c c r y p t o g r a p h i cs y s t e mi sh o wt od i s t r i b u t ek e y sb e t w e e nt h el e g i t i m a t e u s e r s q u a n t u mc r y p t o g r a p h yi sac o m b i n a t i o no fq u a n t u mm e c h a n i c sa n d c r y p t o l o g y t h es e c u r i t yo fq u a n t u mc r y p t o s y s t e m si sg u a r a n t e e db yt h e f u n d a m e n t a ll a w so f q u a n t u mm e c h a n i c s ：t h eu n c e r t a i n t yp r i n c i p l ea n dt h e n o n c l o n i n gt h e o r e m u s i n gt h e s es e c u r ek e y sg e n e r a t e db yq u a n t u mk e y d i s t r i b u t i o na n do n et i m eo n ep a da l g o r i t h mw ec a na c h i e v ea b s o l u t e l y s e c u r ec o m m u n i c a t i o n s t h ed i l e m m ao fq u a n t u mk e yd i s t r i b u t i o ni sl o wg e n e r a t i o nr a t eo f s e c u r ek e y s i nq u a n t u mk e yd i s t r i b u t i o ns y s t e m s ，e r r o rr e c o n c i l i a t i o n a l g o r i t h mu s e di np o s t - p r o c e s s i n gp r o c e d u r e sh a sg r e a ti n f l u e n c eo nt h e k e yg e n e r a t i o nr a t e t h em o s tp o p u l a re r r o rc o n c i l i a t i o na l g o r i t h m si s b i n a r ya l g r i t h m ，c a s c a d ea l g r i t h ma n dh a m m i n ga l g r i t h m t h e s et h r e e a l g r i t h m sh a v et h es t r e n g t h sa n dw e a k n e s s e s t h i sp a p e rd i s c u s s e st h e p e r f o r m a n c eo ft h e s et h r e ea l g r i t h m sa n di m p l e m e n t st h eh a m m i n ge r r o r c o n c i l i a t i o na l g r i t h mi np r o j e c t 北京邮电人学研究生学位论义 d e t e c t i n gt e c h n o l o g yi so n eo ft h em o s ti m p o r t a n tt e c h n o l o g i e si n q u a n t u mk e yd i s t r i b u t i o ns y s t e m ，a n dh a sg r e a t i n f l u e n c eo n k e y g e n e r a t i o nr a t e t h er e s e a r c h e so nd e t e c t i n ga r em a i n l yf o c u so nt h e e f f i c i e n c yo fd e t e c t o r , t h i sp a p e ri n t r o d u c e st h ed u a ld e t e c t o rt h e o r yr a i s e d b yb i n gq ia n da p p l i e si tt ob b m 9 2p r o t o c o lf o rt h ef i r s tt i m e w ea n a l y s e t h ep e r f o r m a n c eo ft h i sa p p l i c a t i o nb ys i m u l a t i o nr e s u l tw h i c hs h o w st h e a p p l i c a t i o no fd u a ld e t e c t o r si nb b m 9 2p r o t o c o lc a nr a i s et h ek e y g e n e r a t i o nr a t ea n ds e c u r ec o m m u n i c a t i o nd i s t a n c e a tl a s t ，t h ea u t h o r i n t r o d u c e st h ec h a r a c t e r i s t i c so fq u a n t u mk e yd i s t r i b u t i o nn e t w o r ka n d p r o p o s e san e we f f i c i e n ta n dp r a c t i c a lq u a n t u mk e yd i s t r i b u t i o nn e t w o r k m o d e l k e y w o r d s ：q u a n t u mk e yd i s t r i b u t i o n e r r o rr e c o n c i l i a t i o na l g o r i t h m d u a ld e t e c t o r q u a n t u mk e yd i s t r i b u t i o nn e t w o r k ，i 户 北京邮i 【1 人学研究生学位论文 目录 第一章绪论1 1 1 密码学发展简史1 1 2 密码体系。2 1 3 量子密钥分发原理3 1 3 1 量子密钥分发安全性的物理学保证4 1 3 2 量子密钥分发协议5 1 3 2 2 b 9 2 协议7 1 3 2 3e k 9l 协议8 第二章密钥协商算法分析1 0 2 1 二分奇偶纠错算法1 1 2 1 1 算法描述1 l 2 1 2 算法性能分析1 1 2 2c a s c a d e 纠错算法1 2 2 2 1 算法描述1 2 2 2 2 算法性能分析13 2 3 奇偶汉明纠错算法一1 4 2 3 1 算法描述14 2 3 2 算法性能分析l5 2 4 三种纠错算法比较1 9 第三章基于奇偶汉明纠错算法的密钥处理系统2 1 3 1 系统总体设计21 3 2 通信过程设计2 3 3 3 系统模块详细设计2 7 3 3 1 通信模块。2 7 3 3 2 数据筛选模块2 7 3 3 3 纠错模块2 8 3 3 4 数据重排模块2 9 3 4 系统测试结果3 0 第四章基于b b m 9 2 协议的双探测器性能分析3 4 4 1 单光子探测3 4 4 1 1 光电探测原理。3 4 4 1 2 雪崩光电二极管3 4 4 2 基于b b m 9 2 协议的双探测器性能分析。3 5 4 2 1b b m 9 2 协议3 5 4 2 1 1 理想纠缠光源3 5 4 2 1 2 参量下转换纠缠源3 6 4 2 2 双探测器理论3 7 4 2 3 仿真结果3 8 北京邮l 乜人学研究生学位论文 第五章量子密钥分发网络3 9 5 1 q k d 网络发展现状3 9 5 2 q k d 网络分类3 9 5 2 1 基于光学节点的q k d 网络3 9 5 2 2 基于信任节点的q k d 网络4 2 5 2 3 基于量子节点q k d 网络4 4 5 3 新型q k d 网络模型4 5 第六章总结4 7 参考文献4 8 致谢5 2 硕士在读期间完成的论文。5 3 一 北京邮电入学研究生学位论文 第一章绪论 1 1 密码学发展简史 密码学是一门研究信息安全的应用科学，历史非常悠久，可以追溯到古埃及 时期。公元前2 0 世纪，古埃及人就采用非常复杂的图形构成的文字墓志铭来 保护法老的陵墓。公元前5 世纪，古希腊斯巴达人最早开始使用换位密码术，用 一条带子缠绕在一根木棍上，沿木棍纵轴方向写好明文，解下来的带子上就只有 杂乱无章的密文字母，解密者只需找到相同直径的木棍，再把带子缠上去，沿木 棍纵轴方向即可读出有意义的明文。公元前2 世纪，希腊出现了一种棋盘密码， 它是利用波利比奥斯方阵( p o l y b i u ss q u a r e ) 进行加密的密码方式。到了公元前1 世 纪，凯撒大帝发明了“凯撒密码 【l 】，它是将消息的所有字母向前推移3 位，解密 时只需把密文字母前移3 位即可。“凯撒密码”属于典型的单表置换体制。到了 公元十世纪左右，可以破解这种密码的频度分析澍2 】诞生了，攻击破译者通过对 密文中各字母出现频率进行分析，并结合自然语言的字母频率特征，就可以将该 密码体制破译。曾在公元1 6 世纪晚期，英国的菲利普斯( p h i l i p s ) 禾l j 用频度分析法成 功破解苏格兰女王玛丽策划暗杀英国女王伊丽莎白的密码信，从而将玛丽送上了 断头台。同一时期，法国密码学家维吉尼亚提出了著名的维热纳尔方阵密码表和 维热纳尔密码【3 】，该密码可以使频度分析法失效。但是，公元18 6 3 年普鲁士少校 卡西斯基( k a s i s k i ) 首次从关键词的长度着手将维热纳尔密码破解。英国的巴贝 奇( c h a r l e sb a b b a g e ) 通过仔细分析编码字母的结构也将其破解。 到了近代，随着工业革命的兴起，密码技术也进入了机器和电子时代。加密 的手段更加优秀和复杂，解密的效率也越来越高。两次世界大战的爆发也为密码 学的发展提供了巨大的推动力。1 9 1 7 年，第一次世界大战进行到关键时刻，英国 截获了一份由德国最新外交密码加密的电报【4 1 。电报的内容是德国向墨西哥提供 经济援助，以换取墨西哥对美国的开战，这份电报在英国情报机构截获后不久后 就被解密，并转交给了美国。这份电报使美国放弃中立，对德国宣战，从而改变 了战争进程。第二次世界大战中，德国著名的“恩格玛( e n i g m a ) ”密码机和被称 为“紫密 的日本“九七式 密码机密码均被盟军破译。“恩格玛( e n i g m a ) 密 码机密码的破译使德国的许多重大军事行动对盟军来说都不成为秘密，而借助对 “紫密密码机密码的破译，美军炸死了偷袭珍珠港的元凶日本舰队总司令山本 五十六，间接的改变了历史进程。 1 9 4 8 1 9 4 9 年，信息论创始人香农发表了题为“通信中的数学理论”1 5 j 和“保 密系统的通信理论 【6 】两篇著名论文。这两篇论文将信息论引入密码学，从而把 北京邮电人学研究生学位论文 已有数千年历史的密码学推向了科学的轨道，奠定了密码学的理论基础。1 9 6 7 年， d a v i dk a h n 在他的著作破译者【7 j 中对密码学的历史作了完整的记述。这部著 作让成千上万原来不知道密码学的人了解了以前主要应用于军事和政府机关的 密码学。从此，密码学成为了- - f l 公开的学科。1 9 7 5 年1 月1 5r ，美国国家标准 局( 现称国家标准枝术研究所) 颁布了数据加密标准d e s ( d a t ae n c r y p t i o n s t a n d a r d ) 悄j ，并将其运用到计算机系统和网络中进行加密。这是密码学史上一个 具有里程碑意义的事件。1 9 7 6 年，美国斯坦福大学的迪菲和赫尔曼两人提出了公 开密钥密码的新思想，把密钥分为加密的公钥和解密的私钥，这是密码学史上的 场革命。1 9 7 7 年，美国的里维斯特、沙米尔和阿德勒曼提出第一个较完善的公 钥密码体制r s a 体制一j ，这个算法建立在大数因子分解基础上，是迄今为止 最成熟、最成功的公钥密码体系。随着科学技术的不断发展，密码学融入了大量 的数论、几何、代数等丰富知识。密码学也已经不仅局限于电子学、数学和语言 学，它已经发展成- f - 结合了物理、量子力学、通信理论等多种学科的交叉科学。 总之，随着社会的发展和科学的进步，人们将越来越重视信息的安全性，而 密码学在信息安全方面扮演着重要的角色，所以，密码学在未来的发展中必将蓬 勃发展，广泛的应用到社会的各个方面。 1 2 密码体系 一个简单的密码系统模型可以用图1 1 来描述，当a l i c e 要想给b o b 发送一 段明文的时候，首先，a l i c e 需要用加密算法和加密密钥将所有传送的明文进行加 密形成密文，然后再通过通信信道将密文发送给b o b ，当b o b 接收到密文之后通 过解密算法和解密密钥对密文进行解密恢复出明文。当然，系统中也可能存在窃 听者e v e ，假设e v e 可以通过某种特殊手段从通信信道上获得密文，e v e 也可能 知道加密算法和解密算法，但是由于他不知道加密密钥和解密密钥，所以他不可 能得到明文。因此，密码系统的安全性依赖于密钥的安全性。 气嗣严解鼹，禽 i 窃听 i 盱 加密密钥 e v e 盱 解密密钥 图1 - 1 密码系统模型 根据加密密钥和解密密钥是否相同可以将密码系统分为两大体系，对称密钥 体系和非对称密钥体系。加密密钥和解密密钥相同的系统，称为对称密钥系统； 2 ， 北京邮电人学研究生学位论文 加密密钥和解密密钥不同的系统，称为非对称密钥系统。 非对称密钥体系基于单向函数y = f ( x ) 。单向函数的特点是对于给定x ，计 算出f ( x ) 非常容易；但是，对于给定的y 要求其逆运算f 。1 ( x ) 却十分困难。如 果给出了一些辅助信息，计算f 叫( x ) 也是容易的，这些辅助信息称为陷门信息。 这里可以将x 看作明文，将厂( 石) 看作加密密钥，将函数值y 看成是密文，将给出 的辅助信息看成是解密密钥。例如，r s a 9 】加密算法就是具有代表性的非对称密 钥算法，它是基于大素数因子的的分解问题。非对称密钥体系因为其简单性在最 近2 0 年得以普及，现代电子商务信息有9 5 都是依赖于r s a 算法。但是，到目前 为止人们尚没有发现一个在不知道陷门信息的情况下无法计算其逆的单向函数。 现在密码系统中使用的单向函数都只能保证实用的安全性，也就是说其逆的计算 十分复杂，计算起来将会导致计算量非常庞大，计算时间非常漫长。但是随着现 代计算机的计算能力的迅速增长和算法的改进，这种问题的破解也将越来越容 易，其安全性不能得到保障。 到目前为止，唯一被证明绝对安全的加密算法是“一次一密”加密算法 1 0 - 1 2 j 。 该算法是1 9 1 7 年由a t & t 公司的工程师v c = n l 锄设计的。该系统的加密和解密过程 非常简单，加密时将明文和密钥进行异或得到密文，解密时将密文与密钥再进行 异或就可以恢复出明文来。但是该系统对密钥有比较严格的要求，首先密钥的长 度必须跟明文的长度一样；其次密钥必须是真随机数；第三，密钥不能重复使用。 然而在实际应用中，由于通信双方需要共享同j 密钥，但在获取共享密钥之前所 进行的通信的安全不能得到保证，所以这一加密体系未能得以广泛应用。 随着科学技术的蓬勃发展，尤其是量子物理学的发展，使得基于计算复杂度 的密码体系的安全性受到了前所未有的巨大威胁。1 9 9 4 年，a t & t sb e l l 实验室的 s h o r t l 3 】【1 4 】提出了一种快速解决大数因子分解问题的量子算法。利用量子计算机系 统所特有的并行处理能力，人们将有可能在很短的时间内找至i j r s a 中的解密密钥。 1 9 9 6 年，g o r v e r 提出的量子搜索算法又为破解对称密钥系统找到了一条捷径。这 将意味着，如果将来真正的量子计算机能够研制成功的话，目前世界上广泛使用 的大部分密码算法都将被轻易攻破! 然而，即便面对量子计算机的潜在威胁，“一 次一密”算法仍然是无条件安全的。但是，如何实现安全的密钥的分发也是一个 非常棘手的问题。 1 3 量子密钥分发原理 1 9 7 6 年，美国哥伦比亚大学的w i e s n e r 撰写了一篇名为共轭编码的论文。 他认为可以利用量子力学的原理设计出一种无法伪造的“量子钞票”。但是由于 这个想法在当时显得太过于离奇，很长时间内没有一家科学杂志愿意发表他的研 究成果，直到1 9 8 3 年，他才有机会将论文发表在一本杂志_ t z t l 5 】。幸运的是，i b m 3 北京邮电人学研究生学位论文 公司的b e n n e t t 和加拿大蒙特利尔大学的b r a s s a r d 两人对此进行了深入研究，在 1 9 8 4 年提出了量子密钥分配的新概念，以及第一个也是目前得到严格安全性证明 的、使用最广的量子密钥分配协议b b 8 4 协议【1 6 l 。从此量子密码技术无论在理 论还是实验方面都得到了蓬勃的发展。 1 3 1 量子密钥分发安全性的物理学保证 量子密码的安全性是由几个量子力学的基本规律保证的。 ( 1 ) 海森堡不确定性原理 海森堡不确定性原理是微观粒子的波粒二象性的反映【1 刀，认为两个非对易的 物理量是不可能同时被精确测量的。在经典物理中，粒子的坐标和动量是可以同 时取确定值的，但在量子力学里是不可以的，当其中一个量完全确定时，另一个 量就完全不确定。另外还有时间和能量的不确定性等。不确定关系是粒子波动性 的必然结果，是微观粒子的固有性质，与测量仪器精度无关。 为了方便，首先引入对易的概念。数学上定义两个表征物理量的量子算符五 和雪的对易关系为：量，台1 ：二雪一韵，如果f i j ，秀 o 则称这两个物理量是不对易 的，反之则称为对易的，即匀和雪两个算符的位置可以替换。 海森堡不确定性关系表示如下： 幽必撤五，台 ) i ( 1 - 1 ) 公式( 1 1 ) 说明匀和雪不确定性的乘积，至少是其对易度均值的一半。这一关 系指出：两个不对易的物理量无法一起取得确定值。如果a ，雪不对易，则对任 意一个物理量进行精确测量都意味着这个物理量的不确定度为零，这必然导致另 外一个物理量的不确定度趋向于无穷大： 拍 s o 笤：吕詈筮：( 1 - 2 ) 因此，两个非对易的物理量是无法同时进行精确测量的【1 8 】。 ( 2 ) 测量塌缩原理 测量塌缩原理是指对量子态进行测量会不可避免的使该量子态塌缩到某一 个本征态上，即对量子态进行测量会导致“波包塌缩”【1 7 1 。因此除非被测量的量 子态正好是某个本征态，否则测量前后的量子态是不同的，这意味着对量子态进 行测量都会留下痕迹。 ( 3 ) 量子态不可克隆定理【1 9 1 量子态不可克隆定理是指对一个未知的量子态进行精确复制必将改变其量 子状态。可以使用反证法对这个原理进行证明。 假设存在量子复制机并且能够复制任一未知量子态。则可使用该复制机对量 4 北京邮电人学研究生学位论文 子态i 妒) 进行复制，复制过程司表不为： 1 4 ) i 伊) 专l 以) i 伊) l 伊) ( 1 - 3 ) 这罩1 4 ) 是复制机的初始状态，1 4 ) 表示复制机的复制之后的状态。 假设单光子的水平偏振态i 付) 和单光子的垂直偏振态1 0 ) 可以被该复制机完 全精确复制，即： 1 4 ) l 付) _ 1 4 。) l 付) i h ) ( 1 4 ) 1 4 ) 1 0 ) 一i k ) 俐0 ) ( 1 5 ) 现在对水平偏振和垂直偏振的线性组合口) + 纠h ) ( 口2 + 2 = 1 ) 的单光子 态进行复制，由于： 1 4 ) ( 口l $ ) + l h ) ) = 1 4 ) 口i $ ) + 1 4 ) i 付) ( 1 - 6 ) 所以，根据式( 1 - 4 ) 和式( 1 - 5 ) n 有： 1 4 ) ( 口协) + i h ) ) _ 1 4 ，) a ) ) + i k ) l 付) i ”) ( 1 - 7 ) 但是根据式( 1 - 3 ) ，令j 力= 口协) + 纠$ ) 有： 1 4 ) ( 口) + l h ) ) 一1 4 ) ( 口i $ ) + i ”) ) ( 口i $ ) + l h ) ) ( 1 - 8 ) 而： ( 口1 0 ) + i 付) ) ( 口i ? ) + i 付) ) = 口2 1 0 ) l $ ) + 2 筇1 0 ) i 付) + 2 i $ ) i $ ) ( 1 - 9 ) 显然，式( 1 9 ) 所描述的状态绝不可能是式( 1 7 ) 所描述的状态。因此可以得 出一个结论：不可能存在一种设备，它能够对任意给定偏振态的单光子进行复制， 即量子杰不可克隆。 1 3 2 量子密钥分发协议 l - 3 2 1b b 8 4 协议 1 9 8 4 年，b e n n e t t 和b r a s s a r d 提出第一个量子密钥分发协议b b 8 4 协议l l 引， 是迄今为止最成熟、应用最广的量子密钥分配协议，其安全性已在理论上得到严 格的证明。在b b 8 4 协议中采用单光子作为信息的载体，使用单光子的偏振态对信 息进行编码。光子的偏振态可用下面三套互为共轭的矢量基中任何一套来描述： ( i ) ( 0 ，1 ) 、( 1 ，o ) ；( i i ) 1 2 ( 1 ，1 ) 、1 , f i ( 1 ，- 1 ) 和( i i i ) 1 2 ( 1 ，i ) 、1 2 ( i ，1 ) 。 前两套基的基矢量代表线偏振光的偏振方向，两套基互成4 5 0 ，第三套基代表圆偏 振光的右旋态和左旋态。两套基互为共轭是指，一套基的任一基矢在另一套基的 任一基矢上的投影都相等。因此，对于某一套基的基矢，以另一套基对其进行测 5 北京邮乜大学研究生学位论文 量时，会消除它测量前具有的全部信息而使结果完全随机。例如，一个水平放置 的检偏棱镜，透射光偏振方向为水平，反射光偏振方向为垂直，如果用它去测量 一个线偏振方向为4 5 0 的光子，就完全无法知道该光子会在哪个出口出现，因为在 两个出口出现的概率都为5 0 。如果光子的初态偏振方向为水平或垂直，在偏振 器的两个出口各放置一个探测器，就可以完全判断光子的偏振方向，测量结果是 确定性的。利用光子的上述量子特性，通信双方就可以用单光子的偏振态，在公 开通道上建立密钥而窃听者e v e 却无从知晓，而且e v e 的任何窃听行为都会被a l i c e 和b o b 发现。 b b 8 4 协议描述了如何运用光子的这个性质来建立密钥，具体描述如下： 这里a l i c e 和b o b 选择两组线偏振基，以基矢的方向代表二进制的0 ，l 比特。 如选择( o 。，9 0 。) ，( 4 5 。，1 3 5 。) 这两套基，定义0 。，4 5 。的偏振方向为0 ，9 0 。和 1 3 5 。的偏振方向为1 。a l i c e 通过沿正向或斜向放置的偏振棱镜向b o b 发送偏振方 向任取为0 。、4 5 。、9 0 。或1 3 5 。的单光子序列。b o b 用检偏器同步测量每个光子的 偏振方向，每次随机选择正向或斜向检偏基。在一半的情况下a l i c e 的基会与b o b 的一致，这时a l i c e 能确切知道光子的原偏振方向。双方偏振基不同时，根据量 子力学，b o b 的测量结果是完全随机、不确定的。随后b o b 宣布他所使用的偏振 基序列( 当然不公布测量结果) ，a l i c e 告诉b o b 哪些基选对了，双方保留基相同 时与偏振态对应的随机比特数序列作为密码本。 表( 1 1 ) 描述了b b 8 4 协议生成密钥的七个步骤，表中一表示偏振方向为0 。的 光子，表示偏振方向为4 5 。的光子，f 表示偏振方向为9 0 。的光子，表示偏振 方向为1 3 5 。的光子，o 代表b o b 所使用的测量基于a l i c e 一致。 表1 1b b 8 4 密钥分发协议 1 f f f - - - 9 气 7 f 气7声 2+ 3f 气 f 弋， 气 ff ， 4 51ol0l0 6 ol 7 l1o0 ( 1 ) a l i c e 向b o b 发送一串偏振方向随机选定的单光子序列； ( 2 ) b o b 随机选择正向或斜向检偏基进行检测，测量光子的偏振方向； ( 3 ) b o b 所测得的偏振方向( 为空表示未接收到光子) ； 6 一 ， 北京邮 乜人学t i ) f g f , 生学位论文 ( 4 ) b o b 公布所用的测量基后，a l i c e 告诉他哪些基选对了； ( 5 ) a l i c e 、b o b 保留基一致时对应的比特，放弃其他数据； ( 6 ) b o b 随便公布某些比特，供a l i c e 确认有无错误； ( 7 ) 经a l i c e 确认无误、可认定无人窃听之后，剩下的比特序列留作密码本。 从协议中可以看到，b b 8 4 协议的安全性由测不准原理和量子态不可克隆原理 来保证。对于窃听者e v e ，由于单光子不可分解，所以她不能使用分流的手段来 获取信息。又因为量子态不可以被克隆，使她无法复制携带密钥的单光子来获取 信息。所以她只能靠截获光子来窃取信息，但是因为她预先并不知道b o b 会选哪 一个偏振基测量，所以也就无从知道b o b 的结果。假定e v e 拥有超凡的能力，能够 在瞬间截获a l i c e 发给b o b 的光子并进行测量，再按所测结果向b o b 重发光子，而 不被b o b 所察觉。在a l i c e 和b o b 都选择了同一组基的情况下，e v e 有5 0 的概率选 择正确的基，这时她的存在不会被发现。而她也会有5 0 的概率选择错误的基， 这样她重发给b o b 的单光子态就有5 0 的概率与a l i c e 发送的单光子态不一样。又 因为b o b 在测量的时候，会有5 0 的概率与a l i c e 所选的基不一致，这样在a l i c e 和 b o b 在公丌经典信道中比较测量结果时，一旦发现有2 5 的数据不一致，便可以 断定有窃听者e v e 的存在。例如：若a l i c e 、b o b l 匕对1 0 0 个比特的测量数据，e v e 只有( 3 4 ) 1 0 0 的概率不被发现，即约为3 2 l o _ 3 。 实际上，即使没有窃听者e v e 的攻击，由于系统的噪声和环境因素等的影响 也会存在一定的误码。因此a l i c e 和b o b 需要协调他们的数据，但这可以在公开 的信道上进行。首先，他们从抽查比较中估算一下总误码率，并为了保险起见假 定这些误码完全是由e v e 所引起。从而确定一个标准q ，若估算的误码率高于q ， 那么可以断定窃听者已经能够获得足够的信息，传送应当被终止，所得到的所有 数据也应该全部被丢弃。如果估算的错误率低于q ，则可以采用数据协商算法来 进行密钥协商，从而生成可用的密码本。 1 3 2 2b 9 2 协议 b 9 2 协议【2 0 j 是b e n n e t t 在1 9 9 2 年提出的一个新的量子密钥分发协议。在b b 8 4 协议中，总共用了四个非j 下交的量子态，而b 9 2 协议则不同，b 9 2 只使用两个非 正交量子态来实现量子密钥分发。仍以偏振态为例，a l i c e 以0 。、4 5 。两个偏振方 向的光子代表0 、1 比特，向b o b 随机发送光子脉冲。b o b 随机选取9 0 。或1 3 5 。两 个检偏方向。可见，如果b o b 的检偏方向垂直于a l i c e 所选方向( 5 0 几率) ， 则探测器接收不到任何光子。如果成4 5 。，则有5 0 几率接收到光子，而一旦测 到光子，b o b 就会知道光子的偏振方向，因为只有一种可能性。这样，b o b 如果 以9 0 。( 1 3 5 。) 方向测到光子，他就知道a l i c e 发的光子态是4 5 。( o 。) ，对应着1 7 北京邮电人学研究生学位论文 ( 0 ) 比特。b o b 只需告诉a l i c e 他什么时候测到光子，双方就可建立密钥本。这 种方法比b b 8 4 协议简单，发射光子源及探测器少一半，但代价是传输效率也少 一半，因为a l i c e 发出的光子只有2 5 能被b o b 接收到。 b 9 2 协议的密钥分配过程具体如表1 2 所示： 表1 - 2b 9 2 密钥分发协议 l， 声 声 + 声 ，7 2 f 气气 f 气 f 气 f 气气气气 f 气 3 7 + 7 4 00 o 5 1 o 0l 0 o 0 1 6o 0 7l0l0o1 ( 1 ) a l i c e 向b o b 发送一串偏振方向为在0 0 ( 表示为一) 或4 5 0 ( ) 中随机选定的 单光子序列。 ( 2 ) b o b 独立的、完全随机的选择9 0 0 直线基( f ) 或者1 3 5 0 斜线基( ) 来测量光 子的偏振方向。 ( 3 ) b o b 时告诉a l i c ef l 己何时测量到了光子，并根据自己所选择的基反推出a l i c e 所发送的信息( 空格表示没接收到光子) 。 ( 4 ) a l i c e 、b o b 保留那些b o b 测量到光子的数据比特，放弃其它数据。 ( 5 ) a l i c e 、b o b 对所获得的数据进行编码。 ( 6 ) b o b 随机公布部分数据，供a l i c e 确认有无错误和窃听。 ( 7 ) 经a l i c e 确认无误、可以认定无窃听后剩下的比特序列留作密码本。 与b b 8 4 协议相比，b 9 2 协议只用到了两个非正交态，而且没有对基的操作， 实现起来相对简单但是传输效率只有b b 8 4 的一半。b b 8 4 协议和b 9 2 协议是目 前世界上所完成的量子密码系统所采用的主流协议。 1 3 2 3e k 9 1 协议 1 9 9 1 年，英国的e k e r t 基于量子力学的纠缠特性提出利用一对量子相关粒子 实现安全公钥分发的e 9 1 协议【2 l 】。对于取名于e p r 佯谬的一对总自旋为零、有 量子关联特性的e p r 粒子，即使两个粒子相距遥远，它们的量子态也是相互关联 的。例如，一旦测出其中一个粒子的自旋为1 2 ( 或1 2 ) ，即使不对另一个粒子进 行测量也可以肯定的知道它的自旋为1 2 ( 或1 2 ) 。这种e p r 粒子的非局域性质似 乎显示了量子力学的不完备性：于是就有人提出了“隐变量”理论。b e l l 在1 9 6 4 年 s - 、 北京邮电人学研究生学位论文 提出了验证隐变量是否存在的“不等式”判据【2 引，即从经典确定论出发，与测量各 个自旋分量的统计分布有关的一个关联函数，必须大于等于某个常数。然而目前 为止，所有实验研究都违背b e l l 不等式，支持量子力学的现有假设。 非线性光学晶体参量下转换过程中产生的光子对可以用作e k 9 1 协议中的相 关粒子源，光子对中的一个光子由a l i c e 接收和测量，另一个孪生光子则由b o b 接收和测量。与b b 8 4 协议类似，a l i c e 和b o b 双方都随机选择共轭基进行测量， 基相同的测试结果保留作为密码本。但和上面不同的是，e p r 协议属于舍弃数据 协议，基不相同的数据也保留，用于对b e l l 不等式判据的检验。如果违反了不等 式，得到量子的预期值，表明量子信道是通的。如果满足不等式，则说明信道出 了问题，即可以断定存在窃听者。 到目前，量子密码学已经经过了二十多年的研究，科研人员根据以上三个基 本协议还提出几种变种协议，包括相干态协谢2 3 】【2 4 】和压缩态协议t 2 5 1 ，它们是利用 非经典光场的某些量子特性实现密钥分配，将信息编码在振幅、相位这样的物理 量中，由于这些物理量具有无限多个本征态，因此又被称为连续变量协议。 9 北京邮电人学研究生学位论文 第二章密钥协商算法分析 量子密钥分发的过程一般包括四个步骤：量子信息传输，提取原始密钥，密 钥协商，以及私密放大。整体流程图如图2 1 所示： 图2 - i 量子密钥分发整体流程 由于实际的量子信道不可避免的存在噪声，仪器本身也存在一定噪声，而且 有可能存在窃听者e v e ，因此导致生成的原始密钥存在一定误码率。所以，在对 基完成后，要随机选择一部分密钥，将其在经典信道上公开以评估误码率。这一 步骤有两个作用：第一，为下一步进行私密放大提供参数支持。第二，可以通过 对误码率的初步分析来判断是否有e v e 进行窃听，如果评估误码率大于1 1 5 ， 则认为有e v e 窃听，通信终