盧利鋒，吳海洋，黃 興，劉 云

(1.全球能源互聯(lián)網(wǎng)研究院有限公司，北京 102209； 2. 國(guó)網(wǎng)江蘇省電力有限公司，南京 210029；3. 國(guó)網(wǎng)遼寧省電力有限公司，沈陽(yáng) 110006； 4. 安徽問(wèn)天量子科技股份有限公司，安徽 蕪湖 241000；5.電力智能傳感技術(shù)及應(yīng)用實(shí)驗(yàn)室，北京 102209)

0 引 言

量子密鑰分配技術(shù)[1]是量子信息最為成熟的技術(shù)，而安全性是量子密鑰分配技術(shù)的核心問(wèn)題。物理和密碼學(xué)家們?cè)缙陉P(guān)注的重點(diǎn)是量子密鑰分配的協(xié)議安全性，目前大部分量子密鑰分配協(xié)議在普適相干攻擊下的安全性已經(jīng)得到了完整證明[2-3]。但量子密鑰分配系統(tǒng)在實(shí)際應(yīng)用中存在著諸多問(wèn)題，如實(shí)際應(yīng)用的是弱相干態(tài)光源而非單光子源、量子態(tài)編解碼器存在衰減與損耗和紅外單光子在探測(cè)器門(mén)控模式下完成工作等[4-9]。近年，國(guó)內(nèi)外學(xué)者已注意到這些實(shí)際器件的非理想特性會(huì)影響和弱化密鑰的安全性。

在以往的BB84量子密鑰分配協(xié)議中，基矢的選擇被用來(lái)作為對(duì)基的信號(hào)，而隨機(jī)編碼的經(jīng)典比特和測(cè)量結(jié)果被用來(lái)作為最終的安全密鑰。但基于測(cè)量結(jié)果的量子密鑰系統(tǒng)容易受到探測(cè)效率不一致性的攻擊。清華大學(xué)的Ma提出了基于基矢編碼的量子密鑰分配協(xié)議[10]。相比原始的BB84協(xié)議，基于基矢編碼的量子密鑰分配協(xié)議不涉及硬件變換，只需對(duì)數(shù)據(jù)的后處理進(jìn)行調(diào)整。該協(xié)議不僅能關(guān)閉量子密鑰分配協(xié)議的檢測(cè)效率漏洞，且還能使系統(tǒng)對(duì)不完美單光子源攻擊的抵抗能力更強(qiáng)。

1 協(xié)議原理與實(shí)現(xiàn)流程

相比于BB84協(xié)議，基矢編碼協(xié)議在隨機(jī)數(shù)的應(yīng)用上沒(méi)有變化，但協(xié)議效率有所降低，對(duì)于密鑰的選取由測(cè)量結(jié)果變?yōu)榱嘶感畔?。在具體的協(xié)議過(guò)程中，基矢編碼協(xié)議仍舊采用X和Z基兩種基矢，基矢的編碼情況為：Alice，Z→1，X→0；Bob，Z→0，X→1。

協(xié)議的具體執(zhí)行過(guò)程如下：

(1) Alice選取一個(gè)單光子源，該光源有0、45、90和135 °4個(gè)等概率制備角偏振光。從所選取的光源中隨機(jī)產(chǎn)生一個(gè)量子比特串。

(2) 通過(guò)量子傳輸信道，Alice根據(jù)生成的二進(jìn)制數(shù)列制備單光子態(tài)發(fā)送給Bob。

(3) Bob從預(yù)選的測(cè)量基集合中選取測(cè)量基，并測(cè)量所接到的量子比特串。

(4) Alice和Bob利用經(jīng)典輔助信道來(lái)傳遞測(cè)量結(jié)果，并將結(jié)果進(jìn)行比較。

(5) 根據(jù)測(cè)量結(jié)果傳輸?shù)腻e(cuò)誤率分析是否有竊聽(tīng)者Eve的存在。

(6) Alice和Bob保留測(cè)量結(jié)果和基矢選擇都不同的項(xiàng)，把基矢選擇作為原始密鑰保留。

(7) 對(duì)結(jié)果進(jìn)行糾錯(cuò)處理。

(8) 對(duì)糾錯(cuò)后的結(jié)果進(jìn)行保密加強(qiáng)處理，并獲取安全密鑰。

基矢編碼協(xié)議的實(shí)現(xiàn)流程如表1所示，實(shí)驗(yàn)裝置如圖1所示。

表1 基矢編碼協(xié)議實(shí)現(xiàn)流程

圖1 基矢編碼協(xié)議實(shí)驗(yàn)裝置圖

發(fā)送方利用激光器和強(qiáng)度調(diào)制器隨機(jī)制備一種量子態(tài)：0、45、90和135 °角偏振光。經(jīng)過(guò)信道傳輸后，量子態(tài)到達(dá)接收方進(jìn)行測(cè)量，接收方利用分束器和偏振分束器隨機(jī)選擇水平基矢Z或?qū)腔竂，隨后量子態(tài)進(jìn)入單光子探測(cè)器進(jìn)行測(cè)量并得到測(cè)量結(jié)果。雙方隨后公布測(cè)量結(jié)果，且保留基矢信息作為密鑰。

2 協(xié)議抗攻擊干擾性分析

為了系統(tǒng)地分析基矢編碼協(xié)議的性能，本文將從協(xié)議流程、隨機(jī)數(shù)使用和協(xié)議效率3個(gè)方面進(jìn)行分析。

協(xié)議流程方面，BB84和B92協(xié)議都是選擇測(cè)量結(jié)果作為初始密鑰，而基矢編碼協(xié)議將基矢的選擇作為初始密鑰。BB84和基矢編碼協(xié)議的發(fā)送方Alice都使用了兩組4個(gè)正交量子態(tài)，而B(niǎo)92協(xié)議只使用了兩個(gè)非正交量子態(tài)。

隨機(jī)數(shù)使用方面，當(dāng)編碼nbit的量子態(tài)時(shí)，BB84協(xié)議在發(fā)送方需要使用2n個(gè)隨機(jī)數(shù)分別選用基矢和量子態(tài)，在接收方需要使用n個(gè)隨機(jī)數(shù)選擇測(cè)量基矢，因此總共需要3n個(gè)隨機(jī)數(shù)。基矢編碼協(xié)議在隨機(jī)數(shù)的使用方面與BB84協(xié)議相同，也需要3n個(gè)隨機(jī)數(shù)。而B(niǎo)92協(xié)議在發(fā)送方需要使用n個(gè)隨機(jī)數(shù)選擇編碼量子態(tài)，在接收方需要使用n個(gè)隨機(jī)數(shù)選擇測(cè)量基矢，即共需要2n個(gè)隨機(jī)數(shù)。

協(xié)議效率方面，在理想狀態(tài)下(沒(méi)有信道衰減和完美單光子源)，BB84協(xié)議對(duì)基需要丟棄一半基矢不一致的情況，因此協(xié)議的效率為50%；基矢編碼協(xié)議需要對(duì)比測(cè)量結(jié)果，測(cè)量結(jié)果一致和不一致的概率分別為75%和25%，由于基矢編碼協(xié)議需要保留基矢不一致的情況，因此協(xié)議的效率為25%；B92協(xié)議與基矢編碼協(xié)議類(lèi)似，需要對(duì)比測(cè)量結(jié)果，因此其協(xié)議的效率也為25%。具體對(duì)比情況如表2所示。

表2 BB84、B92和基矢編碼協(xié)議的對(duì)比分析

為了分析協(xié)議的安全性及抗干擾性，本文利用截取重發(fā)攻擊和分束攻擊兩個(gè)實(shí)際攻擊模型考查協(xié)議的安全性。這兩種攻擊模型是目前對(duì)量子密鑰分配(Quantum Key Distribution，QKD)系統(tǒng)威脅最大的攻擊模型，因此可以度量不同的協(xié)議在這兩種攻擊模型下的安全性。若攻擊模型引入的誤碼率較低，則表征協(xié)議的安全性較好。下面我們對(duì)不同協(xié)議在截取重發(fā)攻擊和分束攻擊下引入的誤碼率給出定量的分析。

在截取重發(fā)攻擊中，Alice隨機(jī)發(fā)送一個(gè)量子態(tài)，不妨假設(shè)為|→>。當(dāng)Eve用X基測(cè)量時(shí)隨機(jī)得到|↘>或|↗>中的一個(gè)，假定為|↗>，則Eve重新制備一個(gè)相同的量子態(tài)發(fā)送給Bob。當(dāng)Bob也選用X基測(cè)量時(shí)，密鑰被保留，且沒(méi)有引入誤碼。當(dāng)Bob選擇Z基矢作為測(cè)量基矢時(shí)，會(huì)隨機(jī)產(chǎn)生|→>和|↑>兩種量子態(tài)，當(dāng)為|↑>時(shí)，密鑰被保留且引入誤碼；當(dāng)為|→>時(shí)，被舍棄。此時(shí)，誤碼率為33.33%。Eve進(jìn)行攻擊時(shí)，在BB84協(xié)議中引入的誤碼率為25%，在基矢編碼協(xié)議中引入的誤碼率為33.33%，高于BB84協(xié)議。在通信過(guò)程中，基矢編碼協(xié)議更容易發(fā)現(xiàn)竊聽(tīng)者Eve的存在，作廢此次通信。所以基矢編碼協(xié)議更能抵抗截取重發(fā)攻擊。

在分束攻擊中，竊聽(tīng)者Eve偽裝成信道衰減，截?cái)鄦喂庾又辉试S多光子通過(guò)，且多光子脈沖中的單光子量子態(tài)是完全相同的。竊聽(tīng)者Eve從每個(gè)多光子態(tài)分流并儲(chǔ)存一個(gè)光子，發(fā)送一個(gè)量子態(tài)給Bob，在Alice和Bob完成對(duì)基過(guò)程后，再對(duì)保留的光子進(jìn)行測(cè)量。這樣Eve將得到與接收方完全一致的原始密鑰信息，并且不引入誤碼。

在基矢編碼協(xié)議中，當(dāng)Alice制備的量子態(tài)與Bob的測(cè)量結(jié)果相匹配時(shí)，丟棄；不匹配時(shí)，保留。由于不能獲得基矢信息即初始密鑰信息，Eve隨機(jī)選擇基矢來(lái)測(cè)量自己保留的信息，之后與Alice和Bob公布的測(cè)量結(jié)果進(jìn)行比較，進(jìn)而確定自己的基矢選擇是否正確。

兩光子狀態(tài)下的光子數(shù)分束攻擊(Photon Number Splitting Attack, PNS)：基矢編碼協(xié)議中，Eve能從Alice和 Bob雙方經(jīng)典通信中獲得測(cè)量結(jié)果的全部信息，但不能直接得到基矢的信息。Eve可隨機(jī)選擇基矢后進(jìn)行測(cè)量獲取結(jié)果與Bob相比較，判斷基矢的選擇是否正確從而來(lái)確定密鑰。當(dāng)Eve選擇與Bob不同的基矢時(shí)，Eve的測(cè)量結(jié)果與Bob確定不同；當(dāng)Eve選擇與Bob一樣的基矢時(shí)，他有50%的可能得到與Bob相同的測(cè)量結(jié)果，而還有50%的可能是得到和Bob不同的測(cè)量結(jié)果。因此，Eve的測(cè)量結(jié)果與Bob不同的概率為0.75，相同的概率為0.25。當(dāng)Eve測(cè)量結(jié)果與Bob不同時(shí)，以概率1得到正確基矢，此時(shí)誤碼率為0。當(dāng) Eve測(cè)量結(jié)果與Bob相同時(shí)，以概率0.5得到正確基矢，即誤碼率為50%，因此Eve的誤碼率為12.5%。

3光子及以上狀態(tài)下的PNS：利用態(tài)區(qū)分攻擊，基矢編碼協(xié)議是不安全的。

在分束攻擊中，BB84協(xié)議完全無(wú)法抵抗，Eve可以獲得全部的信息，且不引入誤碼；兩光子狀態(tài)下基矢編碼協(xié)議中，Eve攻擊時(shí)引入了12.5%的誤碼率，在3光子及以上的狀態(tài)下是不安全的。所以基矢編碼協(xié)議在分束攻擊下的安全性也優(yōu)于BB84協(xié)議。

3 結(jié)束語(yǔ)

本文主要對(duì)BB84、B92和基矢編碼3種協(xié)議進(jìn)行了對(duì)比，并且研究了兩種簡(jiǎn)單的攻擊模型，對(duì)BB84和基矢編碼協(xié)議進(jìn)行了攻擊比較。在理想信道條件下，BB84協(xié)議的協(xié)議效率高于B92和基矢編碼協(xié)議。在截取重發(fā)攻擊和分束攻擊模型下，BB84協(xié)議的安全性低，其在截取重發(fā)攻擊中誤碼率低于基矢編碼協(xié)議，無(wú)法抵抗分束攻擊。而基矢編碼協(xié)議能更好地發(fā)現(xiàn)截取重發(fā)攻擊和抵抗分束攻擊。在長(zhǎng)距離量子保密通信系統(tǒng)中，當(dāng)線路衰減較大時(shí)，技術(shù)上截取重發(fā)攻擊更容易實(shí)現(xiàn)，采用基矢編碼協(xié)議將可以提高系統(tǒng)的安全性。