1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

  量子保密通信 量子保密通信 量子保密通信 目录 绪言 绪言 绪言2 第一章 保密通信3 第一章 保密通信 1.1 引言3 1.2 经典保密通信3 1.3 量子保密通信4 1.4 量子密钥分配原理5 第二章 量子密钥分配协议7 第二章 量子密钥分配协议 2.1 引言7 2.2 BB84 量子密钥分配协议7 2.3 B92 量子密钥分配协议10 2.4 EPR量子密钥分配协议11 2.5 4+2 量子密钥分配协议13 第三章 量子通信传输流程14 第三章 量子通信传输流程 3.1 引言14 3.2 量子传输14 3.3 筛选数据(Distill data)15 3.4 数据纠错(Error Correction)15 3.5 保密增强(Privacy Amplification)16 3.6 身份认证(Identify Authentication)16 第四章 量子密钥分配系统17 第四章 量子密钥分配系统 4.1 引言17 4.2 双MZ干涉仪系统17 4.3 即插即用系统18 4.4 基于VPN网络的量子通信系统19 跋21 跋 参考文献21 参考文献 量子保密通信 绪言 绪言 绪言 量子密码术是量子物理学和密码学相结合的一门新兴交叉科学,它成功地解决 了传统密码学中单靠数学无法解决的问题并引起国际上高度的重视,是主要应用于量 子信息领域的一个重要课题。随着单光子探测等技术的不断发展,量子密码通信技术 在全光网络和卫星通信等领域的应用潜力会不断挖掘并成为现实,当量子计算机成为 现实时经典密码体制将无安全可言,量子密码术将成为保护数据安全的最佳选择之一。 本文的工作分为三大部分: 一、论文首先对各种不同的量子密钥分配方案进行了描述。详细探讨了BB84的原 理及实现流程。在此基础上还分别介绍了B92和EPR这两种经典协议的原理和大概的工 作流程。并描述了基于BB84协议和B92协议的4+2协议,证实了4+2协议相对BB84协议和 B92协议具有更强的稳健性。 二、对量子传输的整个流程,如量子传输,筛选数据,数据纠错,保密增强,身 份认证,做整体的描述。并对目前的两种主要量子密钥系统的工作原理和实现机制做 了简单介绍。最后还提及到基于VPN网络的量子密钥分配系统,该系统对于实现量子通 信网络是大有帮助的。 三、即插即用量子分发系统方案。在该部分,我们在本实验室现有的条件下,提 出了实际的量子保密通信系统,比对系统的主要技术单元,系统的工作流程和硬件接 口做了介绍,最好还简单提及到系统的安全性问题。 作者:米景隆 华南师范大学信息光电子科技学院 Http:// Page 2 of 22 量子保密通信 第一章 保密通信 第一章 保密通信 1.1 引言 传统的加密系统,不管是对密钥技术还是公钥技术,其密文的安全性完全依赖于密钥的 秘密性。密钥必须是由足够长的随机二进制串组成,一旦密钥建立起来,通过密钥编码而成 的密文就可以在公开信道上进行传送。然而为了建立密钥,发送方与接收方必须选择一条安 全可靠的通信信道,但由于截收者的存在,从技术上来说,真正的安全很难保证,而且密钥 的分发总是会在合法使用者无从察觉的情况下被消极监听。 近年来,由于量子力学和密码学的结合,诞生了量子密码学,它可完成仅仅由传统数学 无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系 统,它从根本上解决量子特性不可忽视,测量动作是量子力学的一个组成部分。在这些规律 中,对量子密码学起关键作用的是Heisenberg测不准原理,即测量量子系统时通常会对该系 统产生干扰,并产生出关于该系统测量前状态的不完整信息,因此任何对于量子信道进行监 测的努力都会以某种检测的方式干扰在此信道中传输的信息。 1.2 经典保密通信 一般而言,加密体系有两大类别,公钥加密体系与私钥加密体系。经典保密通信原 理如下图1一1所示: 密码通信是依靠密钥、加密算法、密码传送、解密、解密算法的保密来保证其安全性. 它的基本目的使把机密信息变成只有自己或自己授权的人才能认得的乱码。具体操作时都要 Http:// Page 3 of 22 量子保密通信 使用密码讲明文变为密文,称为加密,密码称为密钥。完成加密的规则称为加密算法。讲密 文传送到收信方称为密码传送。把密文变为明文称为解密,完成解密的规则称为解密算法。 如果使用对称密码算法,则K=K’ , 如果使用公开密码算法,则K 与K’ 不同。整个通信 系统得安全性寓于密钥之中。 公钥加密体系基于单向函数(one way function)。即给定x,很容易计算出F (x),但其 逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。 举例而言,RSA (Rivest, Shamir, Adleman ) 即是具有代表性的公开密钥算法,其保密性 建立在分解有大素数因子的合数的基础上。公钥体系由于其简单方便的特性在最近20年得以 普及,现代电子商务保密信息量的95%依赖于RSA算法。但其存在以下主要缺陷。首先,人们 尚无法从理论上证明算法的不可破性,尽管对于己知的算法,计算所需的时间随输入的比特 数呈指数增加,我们只要增加密钥的长度即可提高加密体系的安全性,但没人能够肯定是否 存在更为先进的快速算法。其次,随着量子计算机技术的迅速发展,以往经典计算机难以求 解的问题,量子计算机可以迎刃而解。例如应用肖氏(Shors )量子分解因式算法可以在多 项式时间内轻易破解加密算法。 另一种广泛使用的加密体系则基于公开算法和相对前者较短的私钥。例如DES (Data Encryption Standard, 1977)使用的便是56位密钥和相同的加密和解密算法。这种体系的安 全性,同样取决于计算能力以及窃听者所需的计算时间。事实上,1917年由Vernam提出的“一 次一密乱码本”(one time pad) 是唯一被证明的完善保密系统。这种密码需要一个与所传 消息一样长度的密码本,并且这一密码本只能使用一次。然而在实际应用中,由于合法的通 信双方(记做Alice和Bob)在获取共享密钥之前所进行的通信的安全不能得到保证,这一加密 体系未能得以广泛应用。 现代密码学认为,任何加密体系的加密解密算法都是可以公开的,其安全性在于密钥的 保密性。实际上,由于存在被动窃听的可能性,如果通信双方完全通过在经典信道上传输经 典信息,则在双方之间建立保密的密钥是不可能的。然而,量子物理学的介入彻底改变了这 一状况。 1.3 量子保密通信 量子密码学的理论基础是量子力学,而以往密码学的理论基础是数学。与传统密码学不 同,量子密码学利用物理学原理保护信息。首先想到将量子物理用于密码技术的是美国科学 家威斯纳。威斯纳在“ 海森堡测不准原理”和“ 单量子不可复制定理”的基础上,逐渐建 立了量子密码的概念。“海森堡测不准原理”是量子力学的基本原理,指在同一时刻以相同 Http:// Page 4 of 22 量子保密通信 精度测定量子的位置与动量是不可能的,只能精确测定两者之一。“ 单量子不可复制定理” 是“ 海森堡测不准原理”的推论,它指在不知道量子状态的情况下复制单个量子是不可能 的,因为要复制单个量子就只能先作测量,测量这一量子系统会对该系统产生干扰并且会产 生出关于该系统测量前状态的不完整信息。因此,窃听一量子通信信道就会产生不可避免的 干扰,合法的通信双方则可由此而察觉到有人在窃听。量子密码术利用这一原理,使从未见 过面且事先没有共享秘密信息的通信双方建立通信密钥, 然后再采用shannon 已证明的是 完善保密的一次一密钥密码通信,即可确保双方的秘密不泄漏。 关于“ 量子密码”的设想可表述为:由电磁能产生的量子( 如光子)可以充当为密码 解码的一次性使用的“钥匙”。每个量子代表 比特含量的信息,量子的极化方式( 波的 运动方向)代表数字化信息的数码。量子一般能以四种方式极化,水平的和垂直的,而且互 为一组;两条对角线的,也是互为一组。代表量子信息得0和1就有这些彼此正交得偏振态来 表示。这样,每发送出一串量子,就代表一组数字化信息。而每次只送出一个量子,就可以 有效地排除黑客窃取更多的解密“ 量子密码”的可能性。因为量子码是组成单光子得所以 子波相干叠加以后形成的,从其中分出的一部分就知道量子码是不可能。而起对单光子的任 何操作,都会使原来的量子状态发生变化。例如,有一个窃密黑客开始向“ 量子密码”进 行窃听,窃密黑客必须先用接收设施从发射出的一连串量子中吸去一个量子。这时,发射密 码的一方就会发现发射出的量子流出现了空格。于是,窃密黑客为了填补这个空格,不得不 再发射一个量子。但是,由于量子密码是利用量子的极化方式编排密码的,根据量子力学原 理,同时检测出量子的四种极化方式是完全不可能的,窃密黑客不得不根据自己的猜测随便 填补一个量子,这个量子由于极化方式的不同很快就会被发现。 1.4 量子密钥分配原理 量子密钥分配原理来源于光子偏振的原理:光子在传播时,不断地振动。光子振动的方 向是任意的,既可能沿水平方向振动,也可能沿垂直方向,更多的是沿某一倾斜的方向振动。 如果一大批光子以沿同样的方向振动则称为偏振光。如果相反,沿各种不同的方向振动的光 称为非偏振光。通常生活中的光如日光、照明灯光等都是非偏振光。偏振滤光器(偏振片) 只允许沿特定方向的偏振的光子通过,并吸收其余的光子。这是因为经过偏振滤光器时,每 个光子都有突然改变偏振方向,并使偏振方向与偏振滤光器的倾斜方向一致的可能性。设光 子的偏振方向与偏振滤光器的倾斜方向的夹角为α。当α 很小时,光子改变偏振方向并通 过偏振滤光器的概率大,否则就小。特别是当α=900,,其概率为0,α=450时,其概率为0.5; α=0,其概率为1。可以在任意基上测量极化强度:直角的两个方向。一个基的例子就是直 Http:// Page 5 of 22 量子保密通信 线:水平线和直线;另一个就是对角线:左对角线和右对角线。如果一个光子脉冲在一个给 定的基上被极化,而且又在同一个基上测量,就能够得到极化强度。如果在一个错误的基上 测量极化强度的话,将得到随机结果。因此,可以使用这个特性来产生密钥。量子密钥分配 原理就是基于这一原理的。 首先想到将量子力学用于密码术的是美国的威斯纳 ,他在1970 年提出用共轭编码制造 不可伪造的“电子钞票”,但他的方案需要能长时间保存单量子态,不大现实,因而他的大胆 设想未被接受,论文遗憾地被拒绝刊登, 直到1983 年才得以在会议录上发表。后来,在同威 斯纳的讨论中,Bennett 和Brassard 受.到启发,认识到单量子虽不好保存但可用于传输信 息. 1984 年,他们提出第一个量子密码术方案,用单光子偏振态编码,现在称之为BB84协议 , 迎来了量子密码术新时期. 1992 年,Bennett 又提出一种与BB84 协议类似而更简单、但效 率减半的方案,后称之为B92 协议 .基于另一种量子现象即Einstein - Podolsky -Rosen ( EPR) 佯谬,Ekert 于1991 年提出用双量子纠缠态实现量子密码术,称为EPR 协议 .后来 也出现了不少其他协议,但都可归纳为以上三种类型. 这里所说的量子密码通信其实不在于 密码通信本身,量子密码术不是用于传输密文,而是用于建立、传输密码本,这个密码本是绝 对安全的,并且,根据海森伯不确定性原理,任何窃听者的存在都会被发现. 现在人们正努力使量子密码技术走向实用。目前,在量子密码术实验研究上进展最快的 国家为英国、瑞士和美国。其实在1989年科学家们成功研制出世界上第一个量子密钥分配的 原型样机时,它的工作距离仅为32 厘米。1995 年英国电信在长达30 公里的光纤上实现了 量子密钥的传送,差错率仅为1.2%~4 %,在同一年瑞士日内瓦大学在日内瓦湖底铺设的 23 公里长民用光通信光缆中进行了实地表演,误码率为3.4%。1999 年瑞典和日本合作, 在光纤中成功地进行了40 公里的量子密码通信实验。而美国洛斯阿拉莫斯国家实验室采用 类似英国的实验装置,通过先进的电子手段,以B92 方案成功地在长达48 公里的地下光缆 中传送量子密钥,同时他们在自由空间里也获得了成功。2001 年,美国Los Alamos 国家实 验室的科学家们,称已经建立了新的极安全的卫星数据传输系统,即采用不同量子状态下的 光粒子转播信息的量子密码术卫星系统,除使用专门的检测器之外,不会被任何解码术解码。 一种极安全的卫星传输系统将成为现实。现在,量子保密通信的距离已延伸到150公里。 而我国,在2000年,中科院物理所与研究生院合作,在850 纳米的单模光纤中完成了1.1 公里的量子密码通信演示性实验。显然,在量子密码方面,我国与国外的水平相比还有一定 差距。量子密码除了可用于保密通信外,还可在作出公共决定时,对使用到的个人资料进行 保密。比如说,公司或政府组织之间、或个人和组织之间要作出一个共同决定,但他们又不 愿意泄漏自己的保密信息,这时量子密码可以帮助他们实现这一目标。量子密码术的另一用 途是信息认证,就是证明某一信息来自某人或某处而未被改动。随着量子密码技术的深入研 究,我们相信它的用途将越来越广。 Http:// Page 6 of 22 量子保密通信 第二章 量子密钥分配协议 第二章 量子密钥分配协议 2.1 引言 量子密码学最著名的应用是量子密钥分配(QKD),QKD的目的是让通信双方,Alice和Bob, 利用不可靠的信道完成密钥的协商生成。从密码学的角度看,QKD的安全性依赖于密钥的生 成与管理机制,该机制能够保证Alice和Bob可以发现窃听者Eve的存在,从而确保获得的密 钥是绝对安全的。量子密码学是实验进展最快的量子信息处理领域之一。第一个量子密钥分 配实验由Bennett等人于1992年完成。目前QKD实验的着重点有两个方面:光纤中QKD和自由空 间的QKD。科学家们已经成功地将光子在商用电信光纤上传输了大约50公里,在自由空间传 输了超过1公里。光纤中的QKD已经基本具备了实用化的条件,对于自由空间的QKD,为了实 现地面与低轨道卫星的密钥分配,必须在地表实验中实现2公里以上QKD,目前的实验结果也 己经非常接近。总之,QKD的实验研究己经取得了重大进展,为QKD的实用化奠定了坚实的基 础。本章研究的QKD方案主要有四类: 1、基于两组共扼正交基的四状态方案,其代表为BB84协议。 2、基于两个非正交态的二状态方案,其代表为B92协议。 3、基于EPR纠缠对的方案,其代表为E91协议。 4、基于BB84协议与B92协议的4+2协议 2.2 BB84 量子密钥分配协议 当光子传导时会在某个方向上发生振荡,上,下,左,右,多数则是按某个角度振荡。正常 的太阳光是非极化的,在每一个方向都有光子振荡。当大量的光子在同一方向振荡时,它们是 极化的(polarized) ,极化滤波器只允许在某一方向极化的光子通过,而其余的光子则不能 通过,例如,水平滤波器只允许水平方向极化的光子通过。 Http:// Page 7 of 22 量子保密通信 如图2-1所示,用H 表示二维Hilbert 空间,其中的每个元素代表单个光子的极化状态。 BB84 协议中需要H 的两个不同的正交基:对角线极化基,它包含态矢量 〉 (表示左对角极 化状态) 与 〉 (表示右对角极化状态) ;直线极化基,它包含态矢量↑〉(表示垂直极化状 态) →〉 与 (表示水平极化状态) 。对角线 编码,则Eve 可用 对角线极化测量算符如 〉〈 或 〉〈 ,完全准确地拦截消息并重传给Bob ;如果仅用A2 编码,则Eve 可用直线极化测量算符如 →〉〈→ 或 ↑〉〈↑ ,完全准确地拦截消息并重传给 Bob。上述窃听策略称为不透明窃听,因此这一协议的编码要用到A1 和A2 。为了保证检测出 窃听者,协议要求Alice 与Bob 的通信分成两个阶段进行。第一阶段通过从Alice 到Bob 的 单向量子信道进行通信,第二阶段通过双向公共信道进行通信, 通信模型如图2-2 所示。 2.2.1 第一阶段:经由量子信道的通信 Alice 以相同的概率从A1 和A2 中随机产生二进制位。因为A1 和A2 的测量算符不可对 易,由Heisenberg 测不准关系,无论Bob 或Eve ,他能收到Alice 传来的消息的准确率不超 过75% 。这是因为从Alice 传来的每一位,只能选择对A1 或A2 的测量算符,由不可对易性, 不存在同时测量A1 和A2 的测量算符。Bob 或Eve 对Alice 秘密选择的量子编码表一无所知, Http:// Page 8 of 22 量子保密通信 因此有50% 的可能性猜对,选择了正确的测量算符,正确接收到Alice 的传输位的概率为1 ; 也有50% 的可能性猜错,选择了错误的测量算符,测得的是随机结果,正确接收到Alice 的传 输位的概率是1/ 2 。这样最终收得消息正确率为 P = (1/ 2)*1 + (1/ 2)*(1/ 2) = 3/4 (2-2-1) 对发自Alice 的每一位,都假设Eve 会采取以下两种行动:以概率p 进行不透明窃听,0 ≤ p ≤1 ,或者以概率1 - p 不窃听。如果p = 1 ,Eve 在窃听传输的每一位, p = 0 ,Eve 没 有窃听。因为Bob 与Eve 对测量算符的选择是相互独立且随机的,并独立于Alice 对量子编 码表的选择, Eve 的窃听会明显增加Bob 接收到的二进制数的错误率,考虑在有Eve 窃听的 情况下,最终收到消息的错误率为: (1/ 4)*(1 - p) + (3/ 8)*p = (1/ 4) + ( p/ 8) (2-2-2) 这样,当Eve 窃听每一位时,即p = 1 ,Bob 的错误率从1/ 4 上升到3/ 8 ,增加了50% 。 2.2.2 第二阶段:经由公共信道的通信 这一阶段,Alice 与Bob 分两步在公共信道上通过分析错误率来判断Eve 的存在。 产生原始密钥。这一步是除去非Eve 的窃听所产生的错误二进制位。Bob 通过公共信道告诉Alice 他对接收到的每一位所采用的测量算符。Alice 接着告诉Bob 哪些 测量算符是正确的。Alice 和Bob 删除那些与设置的不正确算符相对应的位,从而分别产生 Alice 的原始密钥与Bob 的原始密钥。如果没有干扰或窃听,Alice 与Bob 的原始密钥应该 是完全一致的。但在有Eve 存在的情况下,二者不一致的概率为:0*(1 - p) + (1/4)*p = p/4 。 通过对原始密钥不一致检测发现窃听存在。在无噪声干扰的情况下, Alice 和Bob 经协商,从原始密钥中抽取m 位(m 位小于原始密钥长度),通过公共信道对它 们进行比较,随后将它们从各自的原始密钥中丢弃。如果此时m 位存在差异,则认为Eve 一 定存在;如果这m 位相同,则Eve 存在的概率为(1 - P /4)m (Eve 存在时,λ=1;Eve 不存在时,λ=0)。如果该概率足够小,则认为Eve 不存在,本次通信是安全的,Alice 和 Bob 将原始密钥剩下的那些位作为原始密钥。否则,这次通信过程作废。 2.2.3 第三阶段: 抽取共同密钥 当把BB84 协议应用到有噪声干扰的环境中时,在传送中的误码有两个来源:环境的噪声 和Eve的窃听,这两种误码是不可区别的,但是一般来说,环境的噪声会有一个上限,如果 误码率超过这个上限,就有理由相信这是由于Eve的窃听而引起的。 Alice和Bob现在的目标是去掉原始密钥中所有不同的位,得到二人相同的密钥,称为共 同密钥。他们首先选择一个强无碰撞的Hash函数,例如MD,分别计算各自原始密钥的Hash Http:// Page 9 of 22 量子保密通信 值。公开比较这两个值是否相等,如果不相等,则等分原始密钥,分别计算两部分的Hash 值,并比较是否相同,如果不相同,继续等分,计算Hash值,如此重复下去,直到分成的块 的长度小于等于Imin.(Imin是双方约定的分块长度的最小值)。如果块的长度小于等于Imin 且它们的Hash值不同,就从原始密钥中删除这个块。原始密钥经过这样处理后,就得到了共 同密钥,Alice 和Bob 能以很高的概率认为他们的共同密钥是相同的。 可以看到,事实上是用二分法查找并去掉不同的位。定位不同位的准确程度与Imin有关, 如果设定Imin是1,那就能准确地找哪一位不同,但是这样需要的运算量较大,要降低运算 量,就要提高Imin的值,在原始密钥长度一定的情况下,Imin的值越大,运算量就越低,但 定位的准确程度相应地就降低了。在实际运用中,需要选择一个恰当的Imin的值,协调准确 度与运算量的关系。如果原始密钥比较长,而最终密钥不需要很长的情况下,可以把Imin 的值定得大一些,对于原始密钥不太长,而最终密钥又不能很短的情况下,则需要把Imin 的值定得小一些。 2.2.4 第四阶段:保密放大 由于在公共信道上对密钥的调整可能使Eve 得到一些密钥的信息,因此要对调整后的密 钥进行一些处理。Alice和BOB根据误码率的估计E和共同密钥的长度n计算出被Eve知道的位 数的数学期望k,并选择一个安全参数s(s0),s的值可以随便调整。然后从共同密钥中选 长度为n - k - s 个随机子集,不泄漏它们的值,所有这些值的最后一位组成最终的密钥。可 s 以证明Eve 从此密钥中得到的信息平均不大于2 / ln2 位。 2.3 B92 量子密钥分配协议 在分析BB84协议的安全性时Bennett 等发现,由于量子不可克隆定理的限制,如果一种 测量不会破坏两个非正交状态中的任意一个,那么通过该测量也不可能获得任何能够区分这 两个状态的信息。因此,Bennett指出任意两个非正交的状态都可以用来实现密钥分配。 u 〉 u 〉 设 0 和 1 是两个非正交的量子状态,满足 0 〈 u u 〉 1 (2-3-1) 0 1 u 〉 u 〉 其中 0 和 1 都是归一化的,即 〈u u 〉=〈u u 〉 1 (2-3-2) 0 0 1 1 P 1=−u 〉〈u P 1=−u 〉〈u u 〉 u 〉 算子 0 1 1 和 1 0 0 分别将量子态投影到 1 和 0 正交的态 空间上,即 Http:// Page 10 of 22 量子保密通信 P u 〉 0 ,P u 〉 u =〉−u 〉〈u u 〉 (2-3-3) 0 1 0 0 0 1 0 0 P u 0〉 0 ,P u 〉 u =〉−u 〉〈u u 〉 (2-3-4) 1 1 1 1 0 0 1 因为 2 ,其中i.j=0,1,“⊗ ”表示异或,所以根据非 〈u P u 〉 (1=− 〈u u1 〉 )δ i i j i ⊗i ij 0的测量结果可以确定量子的初始状态。 利用上述特性,Alice和Bob可以按照以下步骤实现B92量子密钥分配。 a Φ〉 u =〉 a 1、Alice选定一个二位的随机二进制串a,当 i 0时,取 i 0 , i =1时,取 Φ〉 u =〉 Φ〉 i 1 ,并按固定的时间间隔将 i 种发送给Bob。 b P b P i 0 i 1 2、Bob也选定一个n位的随机二进制串b,当 =0时,测量 ,当 =1时,测 量 。 3、Bob通过公开的经典信道通知Alice他在哪些时间片检测到量子态。当 然,Bob P P 并不透露他测量的究竟是 0 还是 1 o 4、Alice保留Bob检测到量子态的那些时间片所对应的信息比特,从而获得a的一个子 串a。 5、Bob对于检测到量子态的时间片,根据(2-3-5)式译码获得信息串b,显然b是b 的 一个子串,在没有误差的前提下,y=a. P →0 ⎧ 0 ⎨ (2-3-5) ⎩P →1 1 6、Alice 随机公布一些信息比特让Bob验证错误概率是否大于特定的门限。 7、若错误概率大于门限,则表明信道不安全,Alice 和Bob 可以另选时间进行密 钥 协商;若错误概率小于门限,则可以确定没有人窃听,Alice 和Bob 可以将 剩余的未公开 的信息比特用作密钥。 8、Alice 和Bob 利用经典纠错码对密钥进行纠错,最后施行安全增强生成最终密 钥。 2.4 EPR 量子密钥分配协议 Ekert 于1991年提出的基于EPR的量子密钥分配协议(E91)充分利用了量子系统的纠缠 特性,通过纠缠量子系统的非定域性来传递量子信息,取代了BB84 协议中用来传递量子位 的量子信道,因而可以更加灵活地实现密钥分配。此外,与BB84 不同的是,E91协议借助于 Bell 不等式来验证是否存在窃听者,而在BB84 和B92 中,都是通过随机校验来实现窃听验 证。 虽然量子密钥分配协议的安全性与Bell不等式之间的确切关系尚不清楚,但是利用Bell Http:// Page 11 of 22 量子保密通信 不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的窃听 策略,采用多么精密的,她的窃听行为必然影响纠缠态,进而使Bell不等式成立。 E91协议采用3个非正交的Bell态 ⎧ 1 Π Π ω 〉 =〉 〉− 〉 〉 ⎪ 0 2 ( 0 1 2 2 2 1 0 2 ) ⎪ ⎪ 1 Π 2Π 2Π Π ω〉 =〉 〉− 〉 〉 ) ⎨ 1 ( 1 2 1 2 ⎪ 2 6 3 3 6 ⎪ 1 Π 5Π 5Π Π ω 〉 ( =〉 〉− 〉 〉 ) ⎪ 2 1 2 1 2 ⎩ 2 3 6 6 3 (2-4-1) 其中任意角度均表示光子的偏振方向。量子位的信息编码规则为: ⎧ Π Π ⎪⎪ o〉 6 =〉 3 =〉 0 ⎨ ⎪Π 2Π 5Π 〉 =〉 =〉 1 ⎪⎩ 2 3 6 (2-4-2) 相应的测量算子为: ⎧ ⎪M 0 0=〉〈0 ⎪ ⎪ Π Π ⎨M 1 =〉〈 ⎪ 6 6 ⎪ Π Π M 2 =〉〈 ⎪ ⎩ 3 3 (2-4-3) 根据上述设置,E91密钥分配的操作按如下步骤实施 { ω 〉, ω〉, ω 〉} ω 〉 1、Alice等概地从 0 1 2 中随机选取一个纠缠态 j ,保留第一个量子 ω 〉 位,并把第二个量子位发送给Bob. Alice没有必要记住 j 究竟处于什么态, 只要保证 三种纠缠态被等概地选取。该过程可以在密钥分配前任何方便的时 候进行,而且还可以有 Bob或者可靠的第三方执行。 {M ,M ,M } 2、Alice和Bob各自独立地测量自己的量子位,测量算子等概地从 0 1 2 中 随 机选取。 3、Alice直接记录测量结果对应的编码信息比特,Bob则记录编码信息比特的反 码。 4、Alice和Bob在公开的经典信道公布自己所选取的测量算子。当然,Alice和Bob 都 不透露自己的测量结果。 5、Alice和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的 信息比特记为排异位(rejected bits),与BB84和B92不同,排异位不再被丢弃,而是被公布 以用来验证Bell不等式是否成立,并以此判断检是否存在窃听者。 Http:// Page 12 of 22 量子保密通信 P(≠ i, j ) (M ,M ) (M ,M ) 6、令 表示Alice和Bob选取的测量算子分别为 i j 或 j i 而相应 的排异位不相同的概率,同时P( i, j ) 1−P(≠ i, j ) 则表示相应的排异位 相同的概率。 进一步Δ(i, j) P(=≠ i, j) −P( i, j) ,此时Bell不等式简化为 β 1=+Δ(1,2)−Δ(0,1)−Δ(0,2) ≥0 (2-4-4) 然而根据量子力学,对于上述纠缠纯态,应有 β =-0.5。Alice和Bob可以利用公布 的排异位分别计算β ,若Bell不等式成立,即β ≥0 ,则表明纠缠态已经被破坏,原始密钥 是不可靠的;若Bell不等式不成立,即β0,则可以确信原始密钥是可靠的。 ?、Alice和Bob利用经典纠错码对密钥进行纠错,最后施行保密增强生成最终密钥。 2.5 4+2 量子密钥分配协议 4+2协议结合了BB84与B92协议。在BB84协议中,Alice分别选择两个不同编码基中的两 个正交态(共4态)进行编码。在协议B92中,Alice在一个编码基内选择两个非正交态(共2态) { 0 〉,1 〉 , 0 〉,1 〉} { } a a b b 进行编码。而在4+2协议中,BB84协议中的四个量子态被分为两组 。 且 与 B92 类 似 , 在 每 组 中 的 两 个 量 子 态 并 不 互 相 垂 直 , 他 们 叠 加 后 为 〈0 1 〉=〈 0 1 〉 cosη a a b b 。Alice分别选择两个不同编码基中的两个非正交态进行编码。 由于在4+2协议中每一编码基中的两个量子态不正交。即,在一半情况下,Alice选择a基中 { 0 〉,1 〉} 的非正交态(记作 a a ,与强光脉冲的相移分别为0和Π)对逻辑比特0,1编码;在另一 { 0 〉,1 〉} 半情况下,选择b基中的非正交态(记作 b b ,与强光脉冲的相移分别为Π/2和3Π/2) 对逻辑比特O,l编码。 在接收端,Bob的检测装置在干涉仪的一臂上加装-Π/2移相器。如果Bob选择测量a基 0 〉 1 〉 的弱光脉冲,他并不启动移相器。这时,探测器区别 a 与 a 。若他选择b基,则将弱光 0 〉 1 〉 脉冲移相Π/2,这时,探测器将区分 b 与 b 只有当Alice的编码基与Bob的解码基一致 时,双方得到的确定结果才完全相关。相对BB84与B92协议,对于窃听者Eve而言,她面临的 麻烦更大。即使她测量到确信的结果,也不能保证这一结果与Alice发送的信号完全相关。 换言之,这一协议对于合法的通信双方是更安全的。 Http:// Page 13 of 22 量子保密通信 第三章 量子通信传输流程 第三章 量子通信传输流程 3.1 引言 在各种量子密码通讯方案中,量子通道的传输各不相同,所用的原理也不尽相同。为了 得到安全的密钥,用双向的经典通道通讯进行后处理是十分重要的步骤,在 BB84 的介绍中 已经列举了经典通道通讯的步骤(总的流程如图 3-1所示),在这其中提取 共同密钥和保 密放大的算法是最为重要的。算法的好坏影响着整个系统的性能,关于这方便的探讨也很多, 本章主要介绍这一部分的内容。 3.2 量子传输 不同量子密码协议有不同的量子传输方式,但它们有一个共同点:都是利用量子力学原 理(如海森堡测不准原理)。在实际的通信系统中,在量子信道中Alice随机选取单光子脉冲 的光子极化态和基矢,将其发送给Bob, Bob再随机选择基矢进行测量,测到的比特串记为密 码本。但由于噪声和Eve的存在而使接受信息受到影响,特别是Eve可能使用各种方法对Bob 进行干扰和监听,如量子拷贝,截取转发等,根据测不准原理,外界的干扰必将导致量子信 道中光子极化态的改变并影响Bob的测量结果,由此可以对窃听者的行为进行检测和判定。 这也是量子密码区别于其它密码体制的重要特点。 Http:// Page 14 of 22 量子保密通信 3.3 筛选数据(Distill data) 在量子传输中由于噪声,特别是Eve 的存在,将使光子态序列中光子的偏振态发生变化。 另外,实际系统中,Bob 的检测仪也不可能百分之百正确地记录测量结果,所以,A1ice 和 Bob 比较测量基后会放弃所有那些在传送过程中没有收到或测量失误,或由于各种因素的影 响而不合要求的测量基,然后,他们可以公开随机的选择一些数据进行比较,再丢弃,计算 出错误率,若错误率超过一定的阈值,应考虑窃听者的存在。A1ice和Bob放弃所有的数据并 重新传光子序列,若是可以接收的结果,则A1ice和Bob将剩下的数据保存下来,所获得数据 称为筛选数据。假设量子传输中A1ice传给Bob的量子比特(Qubit)为m bit,筛选掉m-n bit, 则得到的原数据为n bit。在这个过程中可以检测出明显的Eve的存在。 3.4 数据纠错(Error Correction) 所得到的n bit的筛选数据并不能保证A1ice和Bob各自保存完全的一致性,通信双方仍 不能保证各自保存的全部数据没被窃听。因此要对原数据进行纠错。人们提出了几种方法, 经研究后提出以下方法: 1、A1ice和Bob约定好随机的变换他们bit 串的位置来打乱错误的位置; 2、 2、将bit 串分成大小为K 的区,K的选取应使每一个区的错误尽可能的小;, 3、对于每一个区,A1ice和Bob计算并公开宣布了奇偶校验结果; 4、若相同,A1ice和Bob约定放弃该区的最后一个比持; 5、若不同,用log(K)反复查找来定位和纠正区中的错误; 6、由于奇偶校验只能发现奇数个同时出现的错误,所以仍会有小部分错误存在,为了 解决这种情况,反复以上步骤,不断地增加区的大小。 K =(1/p)+(1/4p) 在以上过程中,初始化区的大小 0 ,其中p是估计筛选数据所产生的错 K 误率,而 I+1 1为经过I+1次反复后区的大小,定义KI+1 =2KI ;但是区的大小绝对不会超过 整个数据位的1/4。由于A1ice和Bob是公开进行的数据区的划分和奇偶校验子的比较的,这 为Eve提供了获得更多信息的可能性,所以每次都要丢弃数据区的最后一位。这是为了保证 密钥的安全,所以采用丢失信息位的方法。信息论的研究表明,这样做使Eve 所获得的信息 按指数减少,数据纠错虽然减少了密钥的信息量,但保证了密钥的安全性。假设在此过程中 丢失了er bit数据,则获得的纠正数据为n-er bit;若比特串不一致,则奇偶校验不一致概 率为1/2,经反复1次后,所得比特串的错误率为 -1 2 。 Http:// Page 15 of 22 量子保密通信 3.5 保密增强(Privacy Amplification) 保密加强是为了进一步提高所得密钥的安全性,它是一种非量子方法,其具体实现为假 设Alice 发给Bob 一个随机变量W , 如一个随机的n bit 串,在随机变量V 中,窃听者Eve 获 得一个正确的随机变量V, 设对应的比特为tn 即H(W∣V)≥n-t。分布PVW , 是Alice 和Bob n r 不知道的,同时也不知道PW 。Alice 和Bob 公开选取压缩函数G: {0,1} →{0,1} (r为压 缩后密钥得长度),以使Eve 从W 中获取的信息和它的关于函数G 的信息给出他对新密钥 K=G(K) 尽可能少的信息,对任意的sn-t ,Alice 和Bob 可得到长度为r=n-s-t bit的密钥 n n -s-t -KS K=G(K),G 为映射G: {0,1} →{0,1} ,Eve 所获得的信息按S 指数减少 V=f(e ) 。 3.6 身份认证(Identify Authentication) 经过以上的过程,获得了一个对窃听者Eve完全安全的密钥,但他假定朋Alice和Bob都 是合法的,并没有对A1ice和Bob的身份认证。可能会出现A1ice或M是假冒的情况,因此我们 在原BM4协议中加人身份认证这一过程:我们可以从量子密钥中获取认证密钥而实现。将以 上过程所得到的密钥称为原密钥(Raw Key)rK,将其分成三个部分:rK=Ka+Kb+K,其中Ka, Kb用于身份确认。具体过程如下:A1ice秘密地从rK中选取Ka,并发送给Bob,同时Bob秘密 地从rK中选取Kb并发送给A1ice,然后A1ice和Bob分别以Kb,Ka利用单向哈希函数获得各自 的秘密密钥Ka ,Kb 。最后A1ice和Bob利用双钥认证体制实现身份确认。 Http:// Page 16 of 22 量子保密通信 第四章 量子密钥分配系统 第四章 量子密钥分配系统 4.1 引言 密码通信系统不仅要保障信息交换的安全性,还应一该保证通信的速率与稳定性。对于 长距离量子密钥分发实验,尤其是在光纤系统中,工作条件和外部环境的变化会导致光路的 几何特性发生微小变化,并引起光脉冲的相位和偏振模式色散随之改变,因而会极大地降低 系统的稳定性。本章主要研究双MZ干涉仪系统,日内瓦大学研究组提出的基于法拉第反射镜 的“即插即用”系统和基于VPN网络的量子通信系统。 4.2 双 MZ 干涉仪系统 图4—1描述了量子密码传送系统得相位调制编码的基本原理。如图4-1所示,Alice 有 一不等臂的MZ 干涉仪,该干涉仪的两臂会产生补贴的相位延迟,而Bob 也同样的有一不等 Http:// Page 17 of 22 量子保密通信 臂的干涉仪。 图4-2描述了单光子如何从Alice 端的脉冲产生并传送到Bob 的两个探测器的全过程。 很明显,经干涉仪短臂的脉冲会比经干涉仪长臂的脉冲快出现。如图5中左边部分所示,单 光子脉冲由QKD 源产生,这些脉冲经Alice 端的MZ 干涉仪后,经长臂的部分(定义为IA) 滞后于经短臂的部分(定义为SA)。这两部分在Alice 端的50/50耦合器被合并,再以两个 独立的脉冲形式在光纤中传送。当这些脉冲到达Bob 时,再一次经过MZ干涉仪。同样的,经 过长臂部分会滞后于经短臂的部分。 如图4-3所示,在Bob 端的50/50耦合器将经过Bob 端的MZ干涉仪后的两束光脉冲合并。 弱MZ 干涉仪设置恰当,经长臂的光脉冲的前方部分将与经短臂的光脉冲的后方部分对准, 产生振幅的叠加。 该系统采用了BB84 的相位编码和解码方案。Alice 利用两个相互垂直的基进行二进制 编码。用相位0,Π/ 2 对应二进制数“0”,用相位 Π 和 3Π/ 2 对应二进制数“1”。 Π Π Π 因此,Alice 可利用4 个相位(0 , /2 , , 3 /2 )的其中之一对4 种相应的密钥对 (00 , 01 , 10 , 11) 进行编码。当相位差等于0 或 Π 时,表明Alice 和Bob 使用了相同的基,得到同样 的结果。在这种情况下,Alice 可以判断他所使用的基失与Bob 所检测到的一致,于是Bob 可 以把该值保留。通过这逻辑过程,Bob 可以推断Alice 传送了那些值。 4.3 即插即用系统 Http:// Page 18 of 22 量子保密通信 为了克服长距离光纤中的偏振色散和相位抖动,日内瓦大学首先提出了使用Faraday旋 转反射镜的“即插即用”方案。试验原理图如图4-4所示,在通信过程中,Bob 端的半导体 激光器LD不断发出用作量子信息载体的光子脉冲。这些光脉冲经过不等臂的MZ干涉后,被分 成“快”、“慢”两路(从量子力学的角度来说,实际上是每个光子有“长”、“短”两条 路经可供选择),分别称作 PL和PS 。同时由于Bob 端的偏振分束器PBS的作用,PL 和 PS 偏振态是正交的。两路光脉冲经过一段长距离的通信光纤后,先后到底Alice 的相位调 制器PM2。Alice对“快”脉冲PS不作任何处理,而当“慢”脉冲PL经过PM2 时,Alice 就根 据自己的随机信号对其进行相位调制。于是密码信息就加载到相位信息中了。随后,PL 和 PS 被Faraday 反射镜FM反射回Bob ,此时由于光路综合衰减作用。携带信息返回的光脉冲 已经处于单光子水平。从而能够保证密码信息不被窃听,在回到Bob 时,由于FM 的作用, PL 和PS 完全交换了偏振态,通过PBS 后,PL 走向MZ 的短臂,而PS 则通过bob的相位调制 器PM1 接受相位调制。最好PL 和PS 同时到达光纤耦合器,并发生干涉。通过APD1 和APD2 读 出干涉信息后,双方都可以根据B92协议来完成编码的筛选工作。 每个通信周期都是从Bob 端的光脉冲信号开始的。光信号离开Bob 的偏振分束器PBS 后 被分为“快”。“慢”两路。到达Alice 一端后,再经Faraday旋转镜反射回到Bob 。由于 Faraday反射镜使光子的偏振态旋转未其正交的状态。相应地,光脉冲再返回时互换了快慢 两路光子所经历的偏振色散,在到达雪崩二极管探测器APD1 和APD2 时,很好的补偿并消除 了光纤偏振色散和相位抖动的影响,从而获得稳定的干涉信号。最后又计算机并行数据采集 系统LPT1 将APD1 ,APD2 上的光子信号和PM1 上的随机信号送入Bob 的计算机,LPT2 则将 PM2 上的随机信号送入Alice 的计算机。该方案能够对偏振色散和相位抖动进行自动补偿, 通信传输的稳定性基本上与长距离光纤所处的环境无关,因此被称为“即插即用”量子保密 通信方案。 该系统采用了B92的相位编码协议和解码方案。发送方Alice 通过电子噪声伪随机信号 发生器RG 产生随机的二进制编码来驱动相位调制器PM1 对“快”脉冲PS 进行0,1/2的相位 他调制,并定义“0”相位对应二进制数“0”,“Π/2”相位对应二进制数“1”;接收方 Bob则随机的对“慢”脉冲PL 进行0、 Π/2 的相位调制,并根据自己所加的调制相位和单 光子探测器的输出结果筛选和判断Alice的密钥序列。 4.4 基于 VPN 网络的量子通信系统 量子通信网络是量子密钥分配系统的一种实际应用。要实现这一网络,需要引入新的量 子密钥分配技术和新的系统方案。目前,大多数的研究都是集中在量子保密系统的物理层上, 入单光子的相位调制,传送和探测。但要构建一个量子密钥分配网络,则要有新的通信协议 和系统结构,保证在此网络上通信是一种安全性和可靠性极高的通信。 Http:// Page 19 of 22 量子保密通信 现在的安全性模型是以VPN(Virtual Private Network ) 网络为基础的,如图4-5所 示。传统的VPN网络利用公钥密码和对称性密码来进行保密,身份鉴定和保证完整性。公钥 密码主要是完成接受端的密钥交换,保证密钥的一致性和进行身份鉴定。对称性密码主要是 保证通信的保密性和完整性。当公共网络与VPN 网络连接时,VPN 网络仍可以保持其系统的 保密性,身份鉴定和完整性的特点。 若要建立量子密钥分配网络,传统的VPN 密钥协议将会被量子保密协议扩展或被他替 代。而VPN 网的其余部分将不变,如传统的网络终端,路由和防火墙等。 Http:// Page 20 of 22 量子保密通信 跋 跋 量子密码术是量子物理学和密码学相结合的一门新兴科学,它成功地解决了传统密码学 中单靠数学无法解决的问题并引起国际上高度重视,是主要应用于量子信息领域的一个重要 课题。近年来,许多国内外研究机构对量子密码通信的研究非常活跃,这种新的密码通信不 同于经典的密码通信,有着绝对安全的优点。 总之,随着单光子探测等技术的不断发展,量子密码通信技术在全光网络和卫星通信等 领域的应用潜力会不断挖掘并成为现实,当量子计算机成为现实时经典密码体制将无安全可 言,量子密码术将成为保护数据安全的最佳选择之一。因此,对量子保密通信技术以及为合 法通信者间的安全通信的进一步研究将是一项非常有意义的工作。 参考文献 参考文献 1、Nicolas Gisin, Gre´ goire Ribordy, Wolfgang Tittel, and Hugo Zbinden,Quantum cryptography[J], REVIEWS OF MODERN PHYSICS, VOLUME 74, JANUARY 2002 2、DAVID S. PEARSON, CHIP ELLIOTT, ON THE OPTIMAL MEAN PHOTON NUMBER FOR QUANTUM CRYPTOGRAPHY[J], Quantum Information and Computation, Vol. 0, No. 0 (2003) 000–000 3、 Chip Elliott,Dr. David Pearson,Dr. Gregory Troxel,Quantum Cryptography in Practice[J], PREPRINT – May 1, 2003 4、Daniel Collins, Nicolas Gisin and Hugues de Riedmatten,Quantum Relays for Long Distance Quantum Cryptography[R],14 November 2003 5、Norbert Lu¨tkenhaus,Security against individual attacks for realistic quantum key distribution[J],PHYSICAL REVIEW A, VOLUME 61, 052304 6 、 Antonio Ac´n, ı Nicolas Gisin, and Valerio Scarani , Coherent-pulse implementations of quantum cryptography protocols resistant to photon-number-splitting attacks[J],PHYSICAL REVIEW A 69, 012309 ~2004! Http:// Page 21 of 22 量子保密通信 7、Valerio Scarani,Antonio Ac´n,Gre´goire Ribordy,and Nicolas Giı sin,Quantum Cryptography Protocols Robust against Photon Number Splitting Attacks forWeak Laser Pulse Implementations[J],PhysRevLett.92.057901 8、B. Huttner, A. Muller, J. D. Gautier, H. Zbinden, and N. Gisin,Unambiguous quantum measurement of nonorthogonal states[J],PHYSICAL REVIEW A,VOLUME 54, NUMBER 5,NOVEMBER 1996 9、陈志新,唐志列,廖常俊,刘景锋,魏正军,刘颂豪,量子保密术和保密通信[J], 量子电子学报,2003(8) 10、曾贵华,王新梅,量子保密通信及其发展[J],通信保密,1999(3) 11、池颧,章献民,朱华飞,陈抗生,量子密码原理、应用和研究进展[J],光电子·激 光,2001(01) 12、胡耀祖,肖旸,肖正安, BB84量子密钥分配方案的改进[J],武汉理工大学学报, 2004(10) 13、杨宇光,对量子密钥分发协议的一点看法[J],通信计算,2002(4) 14、柴小文 ,马维华,量子密码学安全协议的研究[J],微机发展,2002(05) 15、杨瑀,刘义翔,量子通讯的基木协议[J],哈尔滨商业大学学报,2003(04) 16、李 枫,曹秀英,量子密码技术[J],通信技术,2001(08) 17、熊红凯,施惠昌,戴善荣,量子密码技术及应用模型[J],通信保密,2000(01) 18、刘传才,量子密码学的研究进展[J],小型微型计算机系统,2003(07) 19、钟穗,何明德,基于BB84的量子密钥分配协议的研究[J],计算机应用研究,2003 20、王育民,量子密码原理及应用前景[J],通信保密,1998(01) 21、周春源,吴 光,陈修亮,李和祥,曾和平,50km光纤中量子保密通信[J],中国科 学,2003(12) 22、邵 进,吴令安,用单光子偏振态的量子密码通信实验[J],量子光学学报,1995(01) 23、谭庆贵,胡 渝,量子通信及其应用前景[J],光通信技术,2004(09) 24、周金运,彭考东,旅鹏飞,林清华,廖常俊,刘领豪,量子保密通信用单光子探测 系统的设计初探[J],光电工程,2004(07) 25、屈 平,量子密码技术开辟通信安全新时代[J],世界电信,2004(08) 26、张仕斌,何大可,量子密钥分配的研究[J],计算机工程与应用,2003(33) 27、陈志新,量子保密通信数据采集技术与信息安全分析[D],2004(06) Http:// Page 22 of 22

  请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。用户名:验证码:匿名?发表评论

下一篇:京沪保密量子通讯研发的股票
上一篇:万博体育app客户端下载