量子密钥分发的后处理简介.doc

量子密钥分发的后处理过程摘 要在当今的信息社会中,通信技术发挥着越来越重要的作用,同时人们对通信安全性也提出了越来越高的要求。经典密码学是保障信息安全的有效工具,然而随着计算机和量子计算的发展,基于数学计算复杂性假设的经典密码体制日益受到严峻的挑战。量子密码学建立在量子力学原理基础上,被证明能够提供信息论意义上的绝对安全性。量子密钥分发(QKD)作为量子密码学的一种重要应用,在量子测不准原理和不可克隆性定理保障下,使合法通信双方 Alice 和 Bob 能够在存在窃听者 Eve 的情况下建立无条件安全的共享密钥。QKD 包括量子信道传输、数据筛选、密钥协商和保密增强等步骤,其中密钥协商和保密增强合称为后处理。后处理算法对 QKD 的密钥速率和安全距离起着至关重要的作用。本文主要介绍量子密钥分发后处理过程的基本含义，步骤和主要的算法。（量子信道传输的过程请参见汇报PPT。）I.简介在量子密钥分发实验中,通过量子信道通信后双方获得的密钥元素并不能直接作为密钥来使用,由于信道不完善性以及窃听者 Eve 的影响,使得双方拥有的密钥元素串之间存在误差,并且有部分信息为窃听者 Eve 所了解,我们需要引入后处理算法来获得最终完全一致且绝对安全的密钥串。后处理算法包括三个步骤,即数据筛选、密钥协商和保密增强，其中主要的步骤是密钥协商和保密增强。(1)筛选数据(Distill Data)发端Alice 和收端Bob 先交换部分测量基（例如前10%）放弃基不同的数据后公开进行比对，测量得到误码率，若误码率低于我们的要求（例如25%），确定没有窃听存在，即本次通信有效，若超过这个要求值则发端Alice和收端Bob放弃所有的数据并重传光量子序列。若通信有效，则通过对剩下的数据比较测量基后会放弃那些在传送过程中测量基矢不一致或者是没有收到的数据，或者是由于各种因素的影响而不合要求的测量结果，这一过程称为筛选数据。通过这一过程也可以检测出是否有窃听的存在，并确定双方的误码率，以便下一步进行数据协调。(2)数据协调(Error Reconciliation)经过筛选之后所得到的筛选数据(sifted key)并不能保证发端Alice和收端Bob的数据完全一致，因此要对双方的筛选数据进行纠错。即通过一定的算法，利用公开信道对筛后数据进行纠错，这一过程称之为数据协调。对数据协调的要求有：将误码率降低至适宜于使用；尽量减少窃听者获取的信息；尽量保留最多的有效数据；速度要够快并尽量节省计算以及通信资源。这样虽然使密钥长度有所缩短，但保证了密钥的安全性。(3) 密性放大(Privacy Amplification)密性放大最早是应量子保密通信的需要而提出来的，但是现在已经成为经典保密通信的重要课题之一。密性放大又称作密性强化，它是一种通过公开信道提高数据保密性的技术。经过上述的数据协调，双方密钥序列基本上达成一致，密性放大技术是被用来减少潜在第三者的对数据协调后得到的密钥序列的窃听信息。发端Alice和收端Bob随机公开一个哈希函数h，它能映射字符串x成为一个新的串h(x)，这样就可以是窃听者所得到的h(x)的信息大大减少。经过上述三个步骤，Alice和Bob可以共享比较理想的密钥，通过对BB84协议通信过程的讲述，我们可以总结出量子密钥分发的重要特点，即需要两个信道，量子信道和经典信道，除了要在量子信道上传递量子信息之外，还要通过经典信道传递大量的辅助信息。II信息协调即使是有效的通信，筛选数据测量得到的误码率(QBER)一般都较大这样的数据是不能直接用来做密钥的，还要进行数据协调纠错及密性放大，使双方的误码率达到一定的数量级才能用于可靠的保密通信系统中。数据协调通过公开信道进行纠错，既然公开就一定存在窃听的可能性。我们这里讨论的是信息泄露的可能性，即窃听者Eve能够收到Alice与Bob公开的内容。假设Alice利用量子态向Bob传送经典数据的过程是有噪声的二元对称信道，这一过程可得到筛选数据长度为n，量子误码率(QBER)为q，Alice与Bob的互信息 I ( A, B ) = n 1 H ( q)式中H ( q)是以q为参量的二元熵。假设数据协调后全部错误被改正，若长度仍为n，则有 I ( A, B ) = n亦即互信息I ( A, B)增加了nH ( q)。互信息的增加是通过公开通信而获得的，公开披漏的信息也可以为窃听者所获得。假设在数据协调过程中不舍弃已披露的信息，窃听者获得的信息为I ( E , A) n H ( q)因此通常数据协调的过程都会舍弃已公开披露的数据。同时，上述的公开信道是指可以被窃听但不能篡改的经典通信信道，经研究后提出以下几种比较实用的方法。2.1二分法数据协调经过数据筛选步骤的误码率检验后，发送方Alice与接收方Bob留下的筛选数据长度为n，误码率为q。二分法纠错数据协调(binary correcting protocol)的步骤如下：(1) Alice和Bob共享一个随机序列，并按照此序列将它们的数据重新排序，目的是使错误可以均匀地随机分布； (2) Alice和Bob分别将它们的数据串分组，分组长度为k，选取k的标准是使每组的错误尽可能的小（一般要求每组含有的错误个数尽可能小于1）； (3) Alice和Bob各自计算每组数据的奇偶性并且通过公开信道进行校验比较。如果对应的数据组奇偶性不同，则表示该组数据有错误位，且错误的个数是奇数。然后将存在错误的数组一分为二，同时进行奇偶检验计算及公开比较。如此反复直到确定没有错误或进行到最后一个数位，这个最后数位就是错误数位。为了不让E（Eve，窃听者）获得信息，我们每公开披露一次奇偶性，就将该数组的最后一位舍弃，同时舍弃被发现的数组的错误位； (4) 经过上述步骤(3)的纠错后，各组的奇偶性虽然相同但是仍然可能存在偶数个错误。继续进行纠错，重新排列分组使每组有奇数个错误，这就需要新一轮的数组长度应比上一轮的数组长度要长，例如是上一轮的两倍。然后重复步骤(1)、(2)、(3)进行下一轮的纠错。进行数轮纠错后，如果留下的错误概率已经接近我们的要求，例如接近1%，则可以进入下一步骤；(5) 这一步的目的是确保不存在错误（或者说错误很低）。从步骤(4)得到的数据里随机得取出一个子集，计算所取的子集的奇偶性，并公开进行比较。如果Alice和Bob的数据完全相同（也就是说没有错误），即奇偶性相同。当然当他们的奇偶性相同时仍有存在偶数个错误，这个概率是0.5，由于偶数个错误是校验不出来的，因此错误无法校验的概率是0.5。若两端子集的奇偶性不同，也就是存在奇数个错误，则继续进行步骤(3)的纠错。若奇偶性相同，则重复步骤(5)，直至连续许多次都不出现错误为止。2.2级联纠错“二分法纠错”对含有偶数个错误的数组不能发现错误，只能依靠重新分组。级联纠错(protocol cascade)显著改善了这方面的性能，假设筛选数据长度为n，测量得到的误码率为q。其步骤如下： (1)Alice和Bob端将全部数据按照同一随机序列重新排列，目的是使错误均匀地随机分布。这时首先记下每个数据的编号，例如，Al 表示 Alice 端的序号为 l 的数据，Bl 代表 Bob 端的序号为 l 的数据， l 1, 2,., n。然后双方分别将数据按照同一数据长度k1进行分组，共分为n/k1组，k1的大小取决于误码率 q，目的是使每组含有的错误个数不大于1，如可取1/2qk11)中的分组纠错中，采用随机函数:fi:1.n1.n/ki将数据分成长度为ki的n/ki 个组。在分组Kij内数据的序号为l|fi(l)=j。Alice与Bob分别计算各分组的奇偶性并公开比较，若发现奇偶性不一致则进行二分法纠错。在Kij中发现序号为 l 的错误，经二分法纠错后必定可以在含有数据序号l数组 1Kvu（1 u i）中发现奇数个错误（也就是这一组原来有偶数个错误）。对这些含奇数个错误的分组重新使用二分法纠错。不能再发现错误时重复步骤(4)进行新一轮纠错。若本轮完全没有发现错误，则进入下一步骤(5)。(5)这一步的目的同上节的步骤(5)一样，是确认没有错误，即从纠错结束后的数据中随机地选取一个子集，计算子集的奇偶性并比较。若Alice和Bob端的奇偶性相同，则表明存在偶数个错误的概率是0.5。III密性放大如图所示,经过协商以后,Alice 和 Bob 拥有相同的比特串,我们用X表示。Eve 拥有的比特串为Z=ZM,M为协商中过程中公开的信息量。Z中包含X的部分信息,我们需要通过保密增强步骤来去除 Eve 从量子信道和经典认证信道上获取的信息量,最终提取出绝对安全的密钥。保密增强的主要思想就是以牺牲一些比特的代价,将 Eve 对协商后比特串的确定部分尽可能均匀地分散到不确定部分中,使得 Eve 对保密增强后剩下的比特串完全不确定。遵循这样的思想,保密增强就可以归结为设计合适的压缩函数,压缩函数的每个输出比特都取决于大部分甚至全部的输入比特。在实际的保密增强算法实现中,压缩函数一般是利用经典密码学中的哈希函数 来进行设计的,具体过程是先设计一类性能较好的哈希函数簇 ,由 Alice和 Bob 共享,然后每次保密增强时从簇里面随机选择一个哈希函数,并且 Alice将选取的哈希函数的描述告诉给 Bob,随后双方一起将该哈希函数作用到自己的比特串上面,得到最终密钥串。为了达到较好的保密增强效果,选取的哈希函数簇需要满足一些特别的要求,接下来我们就来对其进行讨论。首先,为了减少 Eve 钻空子的可能性,选取的哈希函数对于任意不同的输入取值1x 和2x ,其输出值应该尽可能不同。因为如果相同的话,则 Eve 有可能利用自己的错误信息获得正确的最终密钥,显然协议就失去了效力。由于我们是从哈希函数簇H 中随机选取哈希函数来使用的,因此需要保证在这个簇里面,对于不同输入值具有相同输出值的函数尽可能少,才能保证保密增强算法多次使用的平均性能。其次,由于 Alice 需要发送所选哈希函数的描述给 Bob,这就要求描述哈希簇里面的某个特定哈希函数所需使用的比特数尽量少。虽然所选哈希函数没有保密的必要,但是在实际运用中,描述过长会增加通信开销,同时影响处理速度。一般来说,我们应该将描述的长度控制在输入比特长度的一定比例范围内。再次,我们需要使用输入和输出长度较大的哈希函数簇。这是因为,在 QKD实验中,保密增强所需要去除的比特数是通过比较一定量的样本统计信道参数后估计出来的。估计所用的测试样本应该是随机且均匀地分布在 QKD 一轮实验得到的分块中,否则若 Eve 是时变的,估计结果就会有误。为了提高估计准确度,需要使用较多的测试样本,这样最终可用密钥量就相应减少了。因此,最理想的策略是使用更大的分块,增加测试样本数的同时减小样本在整个分块中的比例。这样一来,我们就需要设计输入和输出长度尽可能大的哈希函数簇。最后,哈希函数应该具有较高的计算效率,这很大程度上决定了其应用前景。在实时 QKD 系统中,对后处理算法的时间效率是有很高要求的,因此,不论是密钥协商过程,还是保密增强过程,都不能占用太多的运算时间。保密增强的主要时间消耗在于哈希函数的计算