量子密钥分发的后处理简介

精品文档 1欢迎下载1欢迎下载 量子密钥分发的后处理过程量子密钥分发的后处理过程 摘摘 要要 在当今的信息社会中 通信技术发挥着越来越重要的作用 同时人们对通信 安全性也提出了越来越高的要求 经典密码学是保障信息安全的有效工具 然而 随着计算机和量子计算的发展 基于数学计算复杂性假设的经典密码体制日益受 到严峻的挑战 量子密码学建立在量子力学原理基础上 被证明能够提供信息论 意义上的绝对安全性 量子密钥分发 QKD 作为量子密码学的一种重要应用 在量子测不准原理和 不可克隆性定理保障下 使合法通信双方 Alice 和 Bob 能够在存在窃听者 Eve 的情况下建立无条件安全的共享密钥 QKD 包括量子信道传输 数据筛选 密 钥协商和保密增强等步骤 其中密钥协商和保密增强合称为后处理 后处理算法 对 QKD 的密钥速率和安全距离起着至关重要的作用 本文主要介绍量子密钥分发后处理过程的基本含义 步骤和主要的算法 量子信道传输的过程请参见汇报 PPT 精品文档 2欢迎下载2欢迎下载 I I 简介简介 在量子密钥分发实验中 通过量子信道通信后双方获得的密钥元素并不能直 接作为密钥来使用 由于信道不完善性以及窃听者 Eve 的影响 使得双方拥有的 密钥元素串之间存在误差 并且有部分信息为窃听者 Eve 所了解 我们需要引入 后处理算法来获得最终完全一致且绝对安全的密钥串 后处理算法包括三个步骤 即数据筛选 密钥协商和保密增强 其中主要的 步骤是密钥协商和保密增强 1 筛选数据 Distill Data 发端 Alice 和收端 Bob 先交换部分测量基 例如前 10 放弃基不同的数 据后公开进行比对 测量得到误码率 若误码率低于我们的要求 例如 25 确定没有窃听存在 即本次通信有效 若超过这个要求值则发端 Alice 和收端 Bob 放弃所有的数据并重传光量子序列 若通信有效 则通过对剩下的数据比 较测量基后会放弃那些在传送过程中测量基矢不一致或者是没有收到的数据 或者是由于各种因素的影响而不合要求的测量结果 这一过程称为筛选数据 通过这一过程也可以检测出是否有窃听的存在 并确定双方的误码率 以便下 一步进行数据协调 2 数据协调 Error Reconciliation 经过筛选之后所得到的筛选数据 sifted key 并不能保证发端 Alice 和收 端 Bob 的数据完全一致 因此要对双方的筛选数据进行纠错 即通过一定的算 法 利用公开信道对筛后数据进行纠错 这一过程称之为数据协调 对数据协 调的要求有 将误码率降低至适宜于使用 尽量减少窃听者获取的信息 尽量 保留最多的有效数据 速度要够快并尽量节省计算以及通信资源 这样虽然使 密钥长度有所缩短 但保证了密钥的安全性 3 密性放大 Privacy Amplification 密性放大最早是应量子保密通信的需要而提出来的 但是现在已经成为经 典保密通信的重要课题之一 密性放大又称作密性强化 它是一种通过公开信 精品文档 3欢迎下载3欢迎下载 道提高数据保密性的技术 经过上述的数据协调 双方密钥序列基本上达成一 致 密性放大技术是被用来减少潜在第三者的对数据协调后得到的密钥序列的 窃听信息 发端 Alice 和收端 Bob 随机公开一个哈希函数 h 它能映射字符串 x 成为一个新的串 h x 这样就可以是窃听者所得到的 h x 的信息大大减少 经过上述三个步骤 Alice 和 Bob 可以共享比较理想的密钥 通过对 BB84 协议通信过程的讲述 我们可以总结出量子密钥分发的重要特点 即需要两个 信道 量子信道和经典信道 除了要在量子信道上传递量子信息之外 还要通 过经典信道传递大量的辅助信息 IIII 信息协调信息协调 即使是有效的通信 筛选数据测量得到的误码率 QBER 一般都较大这样的 数据是不能直接用来做密钥的 还要进行数据协调纠错及密性放大 使双方的 误码率达到一定的数量级才能用于可靠的保密通信系统中 数据协调通过公开信道进行纠错 既然公开就一定存在窃听的可能性 我 们这里讨论的是信息泄露的可能性 即窃听者 Eve 能够收到 Alice 与 Bob 公开 的内容 假设 Alice 利用量子态向 Bob 传送经典数据的过程是有噪声的二元对 称信道 这一过程可得到筛选数据长度为 n 量子误码率 QBER 为 q Alice 与 Bob 的互信息 I A B n 1 H q 式中 H q 是以 q 为参量的二元熵 假设数据协调后全部错误被改正 若长度 仍为 n 则有 I A B n 亦即互信息 I A B 增加了 nH q 互信息的增加是通过公开通信而获得 的 公开披漏的信息也可以为窃听者所获得 假设在数据协调过程中不舍弃已 披露的信息 窃听者获得的信息为 I E A n H q 精品文档 4欢迎下载4欢迎下载 因此通常数据协调的过程都会舍弃已公开披露的数据 同时 上述的公开信道是指可以被窃听但不能篡改的经典通信信道 经研究后 提出以下几种比较实用的方法 2 12 1 二分法数据协调二分法数据协调 经过数据筛选步骤的误码率检验后 发送方 Alice 与接收方 Bob 留下的筛 选数据长度为 n 误码率为 q 二分法纠错数据协调 binary correcting protocol 的步骤如下 1 Alice 和 Bob 共享一个随机序列 并按照此序列将它们的数据重新排 序 目的是使错误可以均匀地随机分布 2 Alice 和 Bob 分别将它们的数据串分组 分组长度为 k 选取 k 的标准 是使每组的错误尽可能的小 一般要求每组含有的错误个数尽可能小于 1 3 Alice 和 Bob 各自计算每组数据的奇偶性并且通过公开信道进行校验 比较 如果对应的数据组奇偶性不同 则表示该组数据有错误位 且错误的个 数是奇数 然后将存在错误的数组一分为二 同时进行奇偶检验计算及公开比 较 如此反复直到确定没有错误或进行到最后一个数位 这个最后数位就是错 误数位 为了不让 E Eve 窃听者 获得信息 我们每公开披露一次奇偶性 就将该数组的最后一位舍弃 同时舍弃被发现的数组的错误位 4 经过上述步骤 3 的纠错后 各组的奇偶性虽然相同但是仍然可能存在 偶数个错误 继续进行纠错 重新排列分组使每组有奇数个错误 这就需要新 一轮的数组长度应比上一轮的数组长度要长 例如是上一轮的两倍 然后重复 步骤 1 2 3 进行下一轮的纠错 进行数轮纠错后 如果留下的错误概率 已经接近我们的要求 例如接近 1 则可以进入下一步骤 5 这一步的目的是确保不存在错误 或者说错误很低 从步骤 4 得到 的数据里随机得取出一个子集 计算所取的子集的奇偶性 并公开进行比较 如果 Alice 和 Bob 的数据完全相同 也就是说没有错误 即奇偶性相同 当然 当他们的奇偶性相同时仍有存在偶数个错误 这个概率是 0 5 由于偶数个错 精品文档 5欢迎下载5欢迎下载 误是校验不出来的 因此错误无法校验的概率是 0 5 若两端子集的奇偶性不 同 也就是存在奇数个错误 则继续进行步骤 3 的纠错 若奇偶性相同 则重 复步骤 5 直至连续许多次都不出现错误为止 2 22 2 级联纠错级联纠错 二分法纠错 对含有偶数个错误的数组不能发现错误 只能依靠重新分 组 级联纠错 protocol cascade 显著改善了这方面的性能 假设筛选数据长 度为 n 测量得到的误码率为 q 其步骤如下 1 Alice 和 Bob 端将全部数据按照同一随机序列重新排列 目的是使错误 均匀地随机分布 这时首先记下每个数据的编号 例如 Al 表示 Alice 端的 序号为 l 的数据 Bl 代表 Bob 端的序号为 l 的数据 l 1 2 n 然后双方分别将数据按照同一数据长度 k1进行分组 共分为 n k1组 k1的大小 取决于误码率 q 目的是使每组含有的错误个数不大于 1 如可取 1 2q k11 中的分组纠错中 采用随机函 数 fi 1 n 1 n ki 将数据分成长度为 ki的 n ki 个组 在分组 Kij内数 据的序号为 l fi l j Alice 与 Bob 分别计算各分组的奇偶性并公开比较 若发现奇偶性不一致则进行二分法纠错 在 Kij中发现序号为 l 的错误 经二 分法纠错后必定可以在含有数据序号 l 数组 1Kvu 1 u i 中发现奇数个 错误 也就是这一组原来有偶数个错误 对这些含奇数个错误的分组重新使用 二分法纠错 不能再发现错误时重复步骤 4 进行新一轮纠错 若本轮完全没有 发现错误 则进入下一步骤 5 5 这一步的目的同上节的步骤 5 一样 是确认没有错误 即从纠错结束 后的数据中随机地选取一个子集 计算子集的奇偶性并比较 若 Alice 和 Bob 端的奇偶性相同 则表明存在偶数个错误的概率是 0 5 IIIIII 密性放大密性放大 如图所示 经过协商以后 Alice 和 Bob 拥有相同的比特串 我们用 X 表示 Eve 拥有的比特串为 Z ZM M 为协商中过程中公开的信息量 Z 中包含 X 的部 分信息 我们需要通过保密增强步骤来去除 Eve 从量子信道和经典认证信道上 精品文档 7欢迎下载7欢迎下载 获取的信息量 最终提取出绝对安全的密钥 保密增强的主要思想就是以牺牲一 些比特的代价 将 Eve 对协商后比特串的确定部分尽可能均匀地分散到不确定 部分中 使得 Eve 对保密增强后剩下的比特串完全不确定 遵循这样的思想 保 密增强就可以归结为设计合适的压缩函数 压缩函数的每个输出比特都取决于大 部分甚至全部的输入比特 在实际的保密增强算法实现中 压缩函数一般是利用经典密码学中的哈希函 数 来进行设计的 具体过程是先设计一类性能较好的哈希函数簇 由 Alice 和 Bob 共享 然后每次保密增强时从簇里面随机选择一个哈希函数 并且 Alice 将 选取的哈希函数的描述告诉给 Bob 随后双方一起将该哈希函数作用到自己的比 特串上面 得到最终密钥串 为了达到较好的保密增强效果 选取的哈希函数簇 需要满足一些特别的要求 接下来我们就来对其进行讨论 首先 为了减少 Eve 钻空子的可能性 选取的哈希函数对于任意不同的输入 取值 1x 和 2x 其输出值应该尽可能不同 因为如果相同的话 则 Eve 有可能 利用自己的错误信息获得正确的最终密钥 显然协议就失去了效力 由于我们是 从哈希函数簇 H 中随机选取哈希函数来使用的 因此需要保证在这个簇里面 对 于不同输入值具有相同输出值的函数尽可能少 才能保证保密增强算法多次使用 的平均性能 其次 由于 Alice 需要发送所选哈希函数的描述给 Bob 这就要求描述哈希 簇里面的某个特定哈希函数所需使用的比特数尽量少 虽然所选哈希函数没有 保密的必要 但是在实际运用中 描述过长会增加通信开销 同时影响处理速度 一般来说 我们应该将描述的长度控制在输入比特长度的一定比例范围内 再次 我们需要使用输入和输出长度较大的哈希函数簇 这是因为 在 QKD 实验中 保密增强所需要去除的比特数是通过比较一定量的样本统计信道参数后 估计出来的 估计所用的测试样本应该是随机且均匀地分布在 QKD 一轮实验得 到的分块中 否则若 Eve 是时变的 估计结果就会有误 为了提高估计准确度 需要使用较多的测试样本 这样最终可用密钥量就相应减少了 因此 最理想的 策略是使用更大的分块 增加测试样本数的同时减小样本在整个分块中的比例 这样一来 我们就需要设计输入和输出长度尽可能大的哈希函数簇 精品文档 8欢迎下载8欢迎下载 最后 哈希函数应该具有较高的计算效率 这很大程度上决定了其应用前景 在实时 QKD 系统中 对后处理算法的时间效率是有很高要求的 因此 不论是密 钥协商过程 还是保密增强过程 都不能占用太多的运算时间 保密增强的主要 时间消耗在于哈希函数的计算 所以我们要选取能够高效计算的哈希函数簇 总结总结 本文对量子密钥分发后处理过程进行了简单的介绍 对后处理中的两个主 要步骤信息协调和保密增强进行了较为深入的介