2022年2022年量子保密通信 .pdf

《2022年2022年量子保密通信 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年量子保密通信 .pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、量子保密通信量子保密通信目录 绪言.2 绪言.3 第一章 保密通信1.1 引言.3 1.2 经典保密通信.3 1.3 量子保密通信.4 1.4 量子密钥分配原理.5.7 第二章 量子密钥分配协议2.1 引言.7 2.2 BB84 量子密钥分配协议.7 2.3 B92量子密钥分配协议.10 2.4 EPR量子密钥分配协议.11 2.5 4+2量子密钥分配协议.13.14 第三章 量子通信传输流程3.1 引言.14 3.2 量子传输.14 3.3 筛选数据(Distill data).15 3.4 数据纠错(Error Correction).15 3.5 保密增强(Privacy Amplifi

2、cation).16 3.6 身份认证(Identify Authentication).16.17 第四章 量子密钥分配系统4.1 引言.17 4.2 双MZ 干涉仪系统.17 4.3 即插即用系统.18 4.4 基于VPN 网络的量子通信系统.19.21 跋.21参考文献Http:/www.c-Page 1 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 22 页 -量子保密通信绪言量子密码术是量子物理学和密码学相结合的一门新兴交叉科学，它成功地解决了传统密码学中单靠数学无法解决的问题并引起国际上高度的重视，是主要应用于量子信息领域的一个重要课题。随着单光子探测等

3、技术的不断发展，量子密码通信技术在全光网络和卫星通信等领域的应用潜力会不断挖掘并成为现实，当量子计算机成为现实时经典密码体制将无安全可言，量子密码术将成为保护数据安全的最佳选择之一。本文的工作分为三大部分:一、论文首先对各种不同的量子密钥分配方案进行了描述。详细探讨了BB84 的原理及实现流程。在此基础上还分别介绍了B92和EPR 这两种经典协议的原理和大概的工作流程。并描述了基于 BB84 协议和 B92协议的 4+2协议，证实了 4+2协议相对 BB84 协议和B92协议具有更强的稳健性。二、对量子传输的整个流程，如量子传输，筛选数据，数据纠错，保密增强，身份认证，做整体的描述。并对目前的

4、两种主要量子密钥系统的工作原理和实现机制做了简单介绍。最后还提及到基于VPN 网络的量子密钥分配系统，该系统对于实现量子通信网络是大有帮助的。三、即插即用量子分发系统方案。在该部分，我们在本实验室现有的条件下，提出了实际的量子保密通信系统，比对系统的主要技术单元，系统的工作流程和硬件接口做了介绍，最好还简单提及到系统的安全性问题。作者：米景隆 华南师范大学信息光电子科技学院 Http:/www.c-Page 2 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 22 页 -量子保密通信第一章保密通信1.1 引言 传统的加密系统，不管是对密钥技术还是公钥技术，其密文的安全

5、性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成，一旦密钥建立起来，通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥，发送方与接收方必须选择一条安全可靠的通信信道，但由于截收者的存在，从技术上来说，真正的安全很难保证，而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。近年来，由于量子力学和密码学的结合，诞生了量子密码学，它可完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统，它从根本上解决量子特性不可忽视，测量动作是量子力学的一个组成部分。在这些规律中，对量子密码学起关键作用的是Heisenberg 测不

6、准原理，即测量量子系统时通常会对该系统产生干扰，并产生出关于该系统测量前状态的不完整信息，因此任何对于量子信道进行监测的努力都会以某种检测的方式干扰在此信道中传输的信息。1.2 经典保密通信 一般而言，加密体系有两大类别，公钥加密体系与私钥加密体系。经典保密通信原理如下图 1一1所示:密码通信是依靠密钥、加密算法、密码传送、解密、解密算法的保密来保证其安全性.它的基本目的使把机密信息变成只有自己或自己授权的人才能认得的乱码。具体操作时都要Http:/www.c-Page 3 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 22 页 -量子保密通信使用密码讲明文变为密文

7、，称为加密，密码称为密钥。完成加密的规则称为加密算法。讲密文传送到收信方称为密码传送。把密文变为明文称为解密，完成解密的规则称为解密算法。如果使用对称密码算法，则KK,如果使用公开密码算法，则K 与K 不同。整个通信系统得安全性寓于密钥之中。公钥加密体系基于单向函数(one way function)。即给定 x，很容易计算出 F(x)，但其逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。举例而言，RSA(Rivest,Shamir,Adleman)即是具有代表性的公开密钥算法，其保密性建立在分解有大素数因子的合数的基础上。公钥体系由于其简单方便的特性在最近20

8、年得以普及，现代电子商务保密信息量的95%依赖于 RSA 算法。但其存在以下主要缺陷。首先，人们尚无法从理论上证明算法的不可破性，尽管对于己知的算法，计算所需的时间随输入的比特数呈指数增加，我们只要增加密钥的长度即可提高加密体系的安全性，但没人能够肯定是否存在更为先进的快速算法。其次，随着量子计算机技术的迅速发展，以往经典计算机难以求解的问题，量子计算机可以迎刃而解。例如应用肖氏(Shors)量子分解因式算法可以在多项式时间内轻易破解加密算法。另一种广泛使用的加密体系则基于公开算法和相对前者较短的私钥。例如DES(Data Encryption Standard,1977)使用的便是 56位密

9、钥和相同的加密和解密算法。这种体系的安全性，同样取决于计算能力以及窃听者所需的计算时间。事实上，1917年由Vernam 提出的“一次一密乱码本”(one time pad)是唯一被证明的完善保密系统。这种密码需要一个与所传消息一样长度的密码本，并且这一密码本只能使用一次。然而在实际应用中，由于合法的通信双方(记做Alice 和Bob)在获取共享密钥之前所进行的通信的安全不能得到保证，这一加密体系未能得以广泛应用。现代密码学认为，任何加密体系的加密解密算法都是可以公开的，其安全性在于密钥的保密性。实际上，由于存在被动窃听的可能性，如果通信双方完全通过在经典信道上传输经典信息，则在双方之间建立保

10、密的密钥是不可能的。然而，量子物理学的介入彻底改变了这一状况。1.3 量子保密通信 量子密码学的理论基础是量子力学，而以往密码学的理论基础是数学。与传统密码学不同，量子密码学利用物理学原理保护信息。首先想到将量子物理用于密码技术的是美国科学家威斯纳。威斯纳在“海森堡测不准原理”和“单量子不可复制定理”的基础上，逐渐建立了量子密码的概念。“海森堡测不准原理”是量子力学的基本原理，指在同一时刻以相同Http:/www.c-Page 4 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 22 页 -量子保密通信精度测定量子的位置与动量是不可能的，只能精确测定两者之一。“单量子

11、不可复制定理”是“海森堡测不准原理”的推论，它指在不知道量子状态的情况下复制单个量子是不可能的，因为要复制单个量子就只能先作测量，测量这一量子系统会对该系统产生干扰并且会产生出关于该系统测量前状态的不完整信息。因此，窃听一量子通信信道就会产生不可避免的干扰，合法的通信双方则可由此而察觉到有人在窃听。量子密码术利用这一原理，使从未见过面且事先没有共享秘密信息的通信双方建立通信密钥，然后再采用 shannon 已证明的是完善保密的一次一密钥密码通信，即可确保双方的秘密不泄漏。关于“量子密码”的设想可表述为：由电磁能产生的量子（如光子）可以充当为密码解码的一次性使用的“钥匙”。每个量子代表 比特含量

12、的信息，量子的极化方式（波的运动方向）代表数字化信息的数码。量子一般能以四种方式极化，水平的和垂直的，而且互为一组；两条对角线的，也是互为一组。代表量子信息得 0和1就有这些彼此正交得偏振态来表示。这样，每发送出一串量子，就代表一组数字化信息。而每次只送出一个量子，就可以有效地排除黑客窃取更多的解密“量子密码”的可能性。因为量子码是组成单光子得所以子波相干叠加以后形成的，从其中分出的一部分就知道量子码是不可能。而起对单光子的任何操作，都会使原来的量子状态发生变化。例如，有一个窃密黑客开始向“量子密码”进行窃听，窃密黑客必须先用接收设施从发射出的一连串量子中吸去一个量子。这时，发射密码的一方就会

13、发现发射出的量子流出现了空格。于是，窃密黑客为了填补这个空格，不得不再发射一个量子。但是，由于量子密码是利用量子的极化方式编排密码的，根据量子力学原理，同时检测出量子的四种极化方式是完全不可能的，窃密黑客不得不根据自己的猜测随便填补一个量子，这个量子由于极化方式的不同很快就会被发现。1.4 量子密钥分配原理 量子密钥分配原理来源于光子偏振的原理：光子在传播时，不断地振动。光子振动的方向是任意的，既可能沿水平方向振动，也可能沿垂直方向，更多的是沿某一倾斜的方向振动。如果一大批光子以沿同样的方向振动则称为偏振光。如果相反，沿各种不同的方向振动的光称为非偏振光。通常生活中的光如日光、照明灯光等都是非

14、偏振光。偏振滤光器（偏振片）只允许沿特定方向的偏振的光子通过，并吸收其余的光子。这是因为经过偏振滤光器时，每个光子都有突然改变偏振方向，并使偏振方向与偏振滤光器的倾斜方向一致的可能性。设光子的偏振方向与偏振滤光器的倾斜方向的夹角为。当 很小时，光子改变偏振方向并通过偏振滤光器的概率大，否则就小。特别是当=900,，其概率为 0，=450时，其概率为 0.5；=0，其概率为 1。可以在任意基上测量极化强度：直角的两个方向。一个基的例子就是直Http:/www.c-Page 5 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 22 页 -量子保密通信线：水平线和直线；另一

15、个就是对角线：左对角线和右对角线。如果一个光子脉冲在一个给定的基上被极化，而且又在同一个基上测量，就能够得到极化强度。如果在一个错误的基上测量极化强度的话，将得到随机结果。因此，可以使用这个特性来产生密钥。量子密钥分配原理就是基于这一原理的。首先想到将量子力学用于密码术的是美国的威斯纳,他在1970 年提出用共轭编码制造不可伪造的“电子钞票”,但他的方案需要能长时间保存单量子态,不大现实,因而他的大胆设想未被接受,论文遗憾地被拒绝刊登,直到1983 年才得以在会议录上发表。后来，在同威斯纳的讨论中，Bennett 和Brassard 受.到启发,认识到单量子虽不好保存但可用于传输信息.1984

16、 年,他们提出第一个量子密码术方案,用单光子偏振态编码,现在称之为 BB84 协议,迎来了量子密码术新时期.1992 年,Bennett 又提出一种与 BB84 协议类似而更简单、但效率减半的方案,后称之为 B92 协议.基于另一种量子现象即 Einstein-Podolsky-Rosen(EPR)佯谬,Ekert 于1991 年提出用双量子纠缠态实现量子密码术,称为EPR 协议.后来也出现了不少其他协议,但都可归纳为以上三种类型.这里所说的量子密码通信其实不在于密码通信本身,量子密码术不是用于传输密文,而是用于建立、传输密码本,这个密码本是绝对安全的,并且,根据海森伯不确定性原理,任何窃听者

17、的存在都会被发现.现在人们正努力使量子密码技术走向实用。目前，在量子密码术实验研究上进展最快的国家为英国、瑞士和美国。其实在1989年科学家们成功研制出世界上第一个量子密钥分配的原型样机时，它的工作距离仅为32 厘米。1995 年英国电信在长达 30 公里的光纤上实现了量子密钥的传送，差错率仅为1.2 4，在同一年瑞士日内瓦大学在日内瓦湖底铺设的23 公里长民用光通信光缆中进行了实地表演，误码率为3.4。1999 年瑞典和日本合作，在光纤中成功地进行了 40 公里的量子密码通信实验。而美国洛斯阿拉莫斯国家实验室采用类似英国的实验装置，通过先进的电子手段，以B92 方案成功地在长达 48 公里的

18、地下光缆中传送量子密钥，同时他们在自由空间里也获得了成功。2001 年，美国 Los Alamos 国家实验室的科学家们，称已经建立了新的极安全的卫星数据传输系统，即采用不同量子状态下的光粒子转播信息的量子密码术卫星系统，除使用专门的检测器之外，不会被任何解码术解码。一种极安全的卫星传输系统将成为现实。现在，量子保密通信的距离已延伸到150公里。而我国，在2000年，中科院物理所与研究生院合作，在850 纳米的单模光纤中完成了 1.1 公里的量子密码通信演示性实验。显然，在量子密码方面，我国与国外的水平相比还有一定差距。量子密码除了可用于保密通信外，还可在作出公共决定时，对使用到的个人资料进行

19、保密。比如说，公司或政府组织之间、或个人和组织之间要作出一个共同决定，但他们又不愿意泄漏自己的保密信息，这时量子密码可以帮助他们实现这一目标。量子密码术的另一用途是信息认证，就是证明某一信息来自某人或某处而未被改动。随着量子密码技术的深入研究，我们相信它的用途将越来越广。Http:/www.c-Page 6 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 22 页 -量子保密通信第二章 量子密钥分配协议2.1 引言 量子密码学最著名的应用是量子密钥分配(QKD)，QKD 的目的是让通信双方，Alice 和Bob，利用不可靠的信道完成密钥的协商生成。从密码学的角度看，Q

20、KD 的安全性依赖于密钥的生成与管理机制，该机制能够保证Alice 和Bob可以发现窃听者 Eve的存在，从而确保获得的密钥是绝对安全的。量子密码学是实验进展最快的量子信息处理领域之一。第一个量子密钥分配实验由 Bennett 等人于 1992年完成。目前QKD 实验的着重点有两个方面:光纤中QKD 和自由空间的QKD。科学家们已经成功地将光子在商用电信光纤上传输了大约50公里，在自由空间传输了超过 1公里。光纤中的 QKD 已经基本具备了实用化的条件，对于自由空间的QKD，为了实现地面与低轨道卫星的密钥分配，必须在地表实验中实现 2公里以上 QKD，目前的实验结果也己经非常接近。总之，QKD

21、 的实验研究己经取得了重大进展，为QKD 的实用化奠定了坚实的基础。本章研究的 QKD 方案主要有四类:1、基于两组共扼正交基的四状态方案，其代表为BB84 协议。2、基于两个非正交态的二状态方案，其代表为B92协议。3、基于 EPR 纠缠对的方案，其代表为E91协议。4、基于BB84 协议与 B92协议的 42协议 2.2 BB84 量子密钥分配协议 当光子传导时会在某个方向上发生振荡,上,下,左,右,多数则是按某个角度振荡。正常的太阳光是非极化的,在每一个方向都有光子振荡。当大量的光子在同一方向振荡时,它们是极化的(polarized),极化滤波器只允许在某一方向极化的光子通过,而其余的光

22、子则不能通过,例如,水平滤波器只允许水平方向极化的光子通过。Http:/www.c-Page 7 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 22 页 -量子保密通信如图21所示，用H 表示二维 Hilbert 空间,其中的每个元素代表单个光子的极化状态。BB84 协议中需要 H 的两个不同的正交基:对角线极化基,它包含态矢量|?(表示左对角极化状态)与|(表示右对角极化状态);直线极化基,它包含态矢量|(表示垂直极化状态)|与(表示水平极化状态)。对角线极化量子编码表 A1 设为|?:1，:0直线极化量子编码表 A2 设为|:0，|:1如果仅用 A1 编码,则E

23、ve 可用对角线极化测量算符如|或|?|?|,完全准确地拦截消息并重传给Bob;如果仅用 A2 编码,则Eve 可用直线极化测量算符如或|?|?,完全准确地拦截消息并重传给Bob。上述窃听策略称为不透明窃听,因此这一协议的编码要用到A1 和A2。为了保证检测出窃听者,协议要求 Alice 与Bob 的通信分成两个阶段进行。第一阶段通过从Alice 到Bob 的单向量子信道进行通信,第二阶段通过双向公共信道进行通信,通信模型如图 2-2 所示。2.2.1 第一阶段:经由量子信道的通信 Alice 以相同的概率从 A1 和A2 中随机产生二进制位。因为A1 和A2 的测量算符不可对易,由Heise

24、nberg 测不准关系,无论Bob 或Eve,他能收到 Alice 传来的消息的准确率不超过75%。这是因为从 Alice 传来的每一位,只能选择对 A1 或A2 的测量算符,由不可对易性,不存在同时测量 A1 和A2 的测量算符。Bob 或Eve 对Alice 秘密选择的量子编码表一无所知,Http:/www.c-Page 8 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 22 页 -量子保密通信因此有 50%的可能性猜对,选择了正确的测量算符,正确接收到 Alice 的传输位的概率为 1;也有50%的可能性猜错,选择了错误的测量算符,测得的是随机结果,正确接收到

25、 Alice 的传输位的概率是 1/2。这样最终收得消息正确率为 P=(1/2)*1+(1/2)*(1/2)=3/4 (2-2-1)对发自 Alice 的每一位,都假设 Eve 会采取以下两种行动:以概率p 进行不透明窃听,0 p 1,或者以概率 1-p 不窃听。如果 p=1,Eve 在窃听传输的每一位,p=0,Eve 没有窃听。因为 Bob 与Eve 对测量算符的选择是相互独立且随机的,并独立于 Alice 对量子编码表的选择,Eve 的窃听会明显增加 Bob 接收到的二进制数的错误率,考虑在有 Eve 窃听的情况下,最终收到消息的错误率为:(1/4)*(1-p)+(3/8)*p=(1/4)

26、+(p/8)(2-2-2)这样,当Eve 窃听每一位时,即p=1,Bob 的错误率从 1/4 上升到3/8,增加了50%。2.2.2 第二阶段:经由公共信道的通信 这一阶段,Alice 与Bob 分两步在公共信道上通过分析错误率来判断Eve 的存在。2.2.2.1 产生原始密钥。这一步是除去非 Eve 的窃听所产生的错误二进制位。Bob 通过公共信道告诉 Alice 他对接收到的每一位所采用的测量算符。Alice 接着告诉 Bob 哪些测量算符是正确的。Alice 和Bob 删除那些与设置的不正确算符相对应的位,从而分别产生Alice 的原始密钥与 Bob 的原始密钥。如果没有干扰或窃听,Al

27、ice 与Bob 的原始密钥应该是完全一致的。但在有 Eve 存在的情况下,二者不一致的概率为：0*(1-p)+(1/4)*p=p/4。2.2.2.2 通过对原始密钥不一致检测发现窃听存在。在无噪声干扰的情况下,Alice 和Bob 经协商，从原始密钥中抽取 m 位(m 位小于原始密钥长度)，通过公共信道对它们进行比较,随后将它们从各自的原始密钥中丢弃。如果此时m 位存在差异，则认为 Eve 一定存在；如果这 m 位相同，则 Eve 存在的概率为 （Eve 存在时，1；Eve 不存在时，0）。如果该概率足够小，则认为 Eve 不存在，本次通信是安全的，Alice 和Bob 将原始密钥剩下的那些

28、位作为原始密钥。否则，这次通信过程作废。m(1 P/4)2.2.3 第三阶段:抽取共同密钥 当把BB84 协议应用到有噪声干扰的环境中时,在传送中的误码有两个来源：环境的噪声和Eve的窃听，这两种误码是不可区别的，但是一般来说，环境的噪声会有一个上限，如果误码率超过这个上限，就有理由相信这是由于Eve的窃听而引起的。Alice 和Bob现在的目标是去掉原始密钥中所有不同的位，得到二人相同的密钥，称为共同密钥。他们首先选择一个强无碰撞的Hash 函数，例如 MD，分别计算各自原始密钥的HashHttp:/www.c-Page 9 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 9

29、页，共 22 页 -量子保密通信值。公开比较这两个值是否相等，如果不相等，则等分原始密钥，分别计算两部分的Hash值，并比较是否相同，如果不相同，继续等分，计算Hash 值，如此重复下去，直到分成的块的长度小于等于 Imin.（Imin 是双方约定的分块长度的最小值）。如果块的长度小于等于 Imin且它们的 Hash 值不同，就从原始密钥中删除这个块。原始密钥经过这样处理后，就得到了共同密钥，Alice 和Bob 能以很高的概率认为他们的共同密钥是相同的。可以看到，事实上是用二分法查找并去掉不同的位。定位不同位的准确程度与 Imin 有关，如果设定 Imin 是1，那就能准确地找哪一位不同，但

30、是这样需要的运算量较大，要降低运算量，就要提高 Imin 的值，在原始密钥长度一定的情况下，Imin 的值越大，运算量就越低，但定位的准确程度相应地就降低了。在实际运用中，需要选择一个恰当的 Imin 的值，协调准确度与运算量的关系。如果原始密钥比较长，而最终密钥不需要很长的情况下，可以把Imin的值定得大一些，对于原始密钥不太长，而最终密钥又不能很短的情况下，则需要把Imin的值定得小一些。2.2.4 第四阶段:保密放大 由于在公共信道上对密钥的调整可能使Eve 得到一些密钥的信息,因此要对调整后的密钥进行一些处理。Alice 和BOB 根据误码率的估计 E和共同密钥的长度 n计算出被 Ev

31、e知道的位数的数学期望 k，并选择一个安全参数 s（s0），s的值可以随便调整。然后从共同密钥中选长度为 n-k-s 个随机子集,不泄漏它们的值,所有这些值的最后一位组成最终的密钥。可以证明 Eve 从此密钥中得到的信息平均不大于位。s2/ln22.3 B92 量子密钥分配协议 在分析 BB84 协议的安全性时 Bennett 等发现，由于量子不可克隆定理的限制，如果一种测量不会破坏两个非正交状态中的任意一个，那么通过该测量也不可能获得任何能够区分这两个状态的信息。因此，Bennett 指出任意两个非正交的状态都可以用来实现密钥分配。设 和 是两个非正交的量子状态，满足 0|u?1|u?010

32、|1uu?（2-3-1）其中 和都是归一化的，即 0|u?1|u?0011|uuuu?=?=11|Puu=-?1001|Puu=-?（2-3-2）算子和分别将量子态投影到 和 正交的态空间上，即 0111|u?0|u?Http:/www.c-Page 10 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 22 页 -量子保密通信01|0P u?=，（2-3-3）000100|P uuuuu?=?-?1|00P u?=，（2-3-4）111001|P uuuuu?=?-?因为21|(1|)iijiiiuPuuuj?=-?，其中 i.j=0,1,“?”表示异或，所以根据

33、非0的测量结果可以确定量子的初始状态。利用上述特性，Alice 和Bob可以按照以下步骤实现 B92量子密钥分配。1、Alice 选定一个二位的随机二进制串a，当=0时，取ia0|iu?=?,=1时，取，并按固定的时间间隔将ia1|iu?=?|i?种发送给 Bob。2、Bob也选定一个 n位的随机二进制串 b，当=0时，测量，当=1时，测 量。ib0Pib1P3、Bob通过公开的经典信道通知 Alice 他在哪些时间片检测到量子态。当 然，Bob并不透露他测量的究竟是还是o 0P1P4、Alice 保留Bob检测到量子态的那些时间片所对应的信息比特，从而获得 a的一个子串a。5、Bob对于检测

34、到量子态的时间片，根据(235)式译码获得信息串 b，显然b 是b的 一个子串，在没有误差的前提下，ya.(2-3-5)0101PP?6、Alice 随机公布一些信息比特让Bob验证错误概率是否大于特定的门限。7、若错误概率大于门限，则表明信道不安全，Alice 和Bob 可以另选时间进行密 钥协商;若错误概率小于门限，则可以确定没有人窃听，Alice 和Bob 可以将 剩余的未公开的信息比特用作密钥。8、Alice 和Bob 利用经典纠错码对密钥进行纠错，最后施行安全增强生成最终密 钥。2.4 EPR 量子密钥分配协议 Ekert 于1991年提出的基于 EPR 的量子密钥分配协议(E91)

35、充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84 协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。此外，与BB84 不同的是，E91协议借助于Bell 不等式来验证是否存在窃听者，而在BB84 和B92 中，都是通过随机校验来实现窃听验证。虽然量子密钥分配协议的安全性与Bell 不等式之间的确切关系尚不清楚，但是利用 BellHttp:/www.c-Page 11 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 22 页 -量子保密通信不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的

36、窃听策略，采用多么精密的窃听设备，她的窃听行为必然影响纠缠态，进而使Bell 不等式成立。E91协议采用 3个非正交的 Bell 态 0121112121211|(|0|0)222122|(|63362155|(|36632?=?-?=?-?=?-?222)（2-4-1）其中任意角度均表示光子的偏振方向。量子位的信息编码规则为：|06325|236o?=?=?=?=?=?=?1（2-4-2）相应的测量算子为：012|0 0|66|33MMM?=?=?=?（2-4-3）根据上述设置，E91密钥分配的操作按如下步骤实施 1、Alice 等概地从012|,|,|?中随机选取一个纠缠态|j?，保留第一

37、个量子 位，并把第二个量子位发送给Bob.Alice没有必要记住|j?究竟处于什么态，只要保证三种纠缠态被等概地选取。该过程可以在密钥分配前任何方便的时 候进行，而且还可以有Bob或者可靠的第三方执行。2、Alice 和Bob各自独立地测量自己的量子位，测量算子等概地从012,MMM中 随机选取。3、Alice 直接记录测量结果对应的编码信息比特，Bob则记录编码信息比特的反 码。4、Alice 和Bob在公开的经典信道公布自己所选取的测量算子。当然，Alice 和Bob 都不透露自己的测量结果。5、Alice 和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的信

38、息比特记为排异位(rejected bits)，与BB84 和B92不同，排异位不再被丢弃，而是被公布以用来验证 Bell 不等式是否成立，并以此判断检是否存在窃听者。Http:/www.c-Page 12 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 22 页 -量子保密通信6、令表示Alice 和Bob选取的测量算子分别为(|,)Pi j(,ij)MM或(,)jiMM而相应 的排异位不相同的概率，同时则表示相应的排异位 相同的概率。进一步，此时 Bell 不等式简化为(|,)1(|,)Pi jPi j=-(,)(|,)(|,)i jPi jPi j=-=1(1

39、,2)|(0,1)(0,2)|0=+-（2-4-4）然而根据量子力学，对于上述纠缠纯态，应有0.5。Alice 和Bob可以利用公布的排异位分别计算，若Bell 不等式成立，即0，则表明纠缠态已经被破坏，原始密钥是不可靠的;若Bell 不等式不成立，即0，则可以确信原始密钥是可靠的。?、Alice 和Bob利用经典纠错码对密钥进行纠错，最后施行保密增强生成最终密钥。2.5 4+2 量子密钥分配协议 4+2协议结合了 BB84 与B92协议。在 BB84 协议中，Alice 分别选择两个不同编码基中的两个正交态(共4态)进行编码。在协议 B92中，Alice 在一个编码基内选择两个非正交态(共2

40、态)进行编码。而在 4+2协议中，BB84 协议中的四个量子态被分为两组|0,|1,|0,|1aabb?。且 与 B92 类 似，在 每 组 中 的 两 个 量 子 态 并 不 互 相 垂 直，他 们 叠 加 后 为|0|1|0|1|cosaabb?=?=。Alice 分别选择两个不同编码基中的两个非正交态进行编码。由于在 4+2协议中每一编码基中的两个量子态不正交。即，在一半情况下，Alice 选择a基中的非正交态(记作|0,|1aa?，与强光脉冲的相移分别为 0和)对逻辑比特 0,1 编码;在另一半情况下，选择b基中的非正交态(记作|0,|1bb?，与强光脉冲的相移分别为/2 和3/2)对

41、逻辑比特 O，l 编码。在接收端，Bob的检测装置在干涉仪的一臂上加装/2 移相器。如果 Bob选择测量 a基的弱光脉冲，他并不启动移相器。这时，探测器区别与。若他选择 b基，则将弱光脉冲移相/2，这时，探测器将区分与只有当Alice 的编码基与 Bob的解码基一致时，双方得到的确定结果才完全相关。相对BB84 与B92协议，对于窃听者 Eve而言，她面临的麻烦更大。即使她测量到确信的结果，也不能保证这一结果与Alice 发送的信号完全相关。换言之，这一协议对于合法的通信双方是更安全的。|0a?|1a?|0b?|1b?Http:/www.c-Page 13 of 22 名师资料总结-精品资料欢

42、迎下载-名师精心整理-第 13 页，共 22 页 -量子保密通信第三章量子通信传输流程3.1 引言 在各种量子密码通讯方案中，量子通道的传输各不相同，所用的原理也不尽相同。为了得到安全的密钥，用双向的经典通道通讯进行后处理是十分重要的步骤，在 BB84 的介绍中已经列举了经典通道通讯的步骤（总的流程如图 3-1 所示），在这其中提取 共同密钥和保密放大的算法是最为重要的。算法的好坏影响着整个系统的性能，关于这方便的探讨也很多，本章主要介绍这一部分的内容。3.2 量子传输 不同量子密码协议有不同的量子传输方式，但它们有一个共同点:都是利用量子力学原理(如海森堡测不准原理)。在实际的通信系统中，在

43、量子信道中Alice 随机选取单光子脉冲的光子极化态和基矢，将其发送给Bob,Bob再随机选择基矢进行测量，测到的比特串记为密码本。但由于噪声和 Eve的存在而使接受信息受到影响，特别是Eve可能使用各种方法对 Bob进行干扰和监听，如量子拷贝，截取转发等，根据测不准原理，外界的干扰必将导致量子信道中光子极化态的改变并影响Bob的测量结果，由此可以对窃听者的行为进行检测和判定。这也是量子密码区别于其它密码体制的重要特点。Http:/www.c-Page 14 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 22 页 -量子保密通信3.3 筛选数据(Distill d

44、ata)在量子传输中由于噪声，特别是Eve 的存在，将使光子态序列中光子的偏振态发生变化。另外，实际系统中，Bob 的检测仪也不可能百分之百正确地记录测量结果，所以，A1ice 和Bob 比较测量基后会放弃所有那些在传送过程中没有收到或测量失误，或由于各种因素的影响而不合要求的测量基，然后，他们可以公开随机的选择一些数据进行比较，再丢弃，计算出错误率，若错误率超过一定的阈值，应考虑窃听者的存在。A1ice和Bob放弃所有的数据并重新传光子序列，若是可以接收的结果，则A1ice和Bob将剩下的数据保存下来，所获得数据称为筛选数据。假设量子传输中A1ice传给Bob的量子比特(Qubit)为m b

45、it，筛选掉 m-n bit，则得到的原数据为 n bit。在这个过程中可以检测出明显的Eve的存在。3.4 数据纠错(Error Correction)所得到的 n bit 的筛选数据并不能保证 A1ice和Bob各自保存完全的一致性，通信双方仍不能保证各自保存的全部数据没被窃听。因此要对原数据进行纠错。人们提出了几种方法，经研究后提出以下方法：1、A1ice和Bob约定好随机的变换他们 bit 串的位置来打乱错误的位置；2、2、将bit 串分成大小为 K 的区，K的选取应使每一个区的错误尽可能的小；，3、对于每一个区，A1ice和Bob计算并公开宣布了奇偶校验结果；4、若相同，A1ice和

46、Bob约定放弃该区的最后一个比持；5、若不同，用 log(K)反复查找来定位和纠正区中的错误；6、由于奇偶校验只能发现奇数个同时出现的错误，所以仍会有小部分错误存在，为了解决这种情况，反复以上步骤，不断地增加区的大小。在以上过程中，初始化区的大小，其中p是估计筛选数据所产生的错误率，而1为经过 I+1次反复后区的大小，定义；但是区的大小绝对不会超过整个数据位的 14。由于A1ice和Bob是公开进行的数据区的划分和奇偶校验子的比较的，这为Eve提供了获得更多信息的可能性，所以每次都要丢弃数据区的最后一位。这是为了保证密钥的安全，所以采用丢失信息位的方法。信息论的研究表明，这样做使 Eve 所获

47、得的信息按指数减少，数据纠错虽然减少了密钥的信息量，但保证了密钥的安全性。假设在此过程中丢失了 er bit 数据，则获得的纠正数据为n-er bit；若比特串不一致，则奇偶校验不一致概率为12，经反复 1次后，所得比特串的错误率为20K=(1/p)+(1/4p)I+1KI+1IK=2K-1。Http:/www.c-Page 15 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 22 页 -量子保密通信3.5 保密增强(Privacy Amplification)保密加强是为了进一步提高所得密钥的安全性，它是一种非量子方法，其具体实现为假设Alice 发给Bob 一

48、个随机变量 W,如一个随机的 n bit 串，在随机变量 V 中，窃听者 Eve 获得一个正确的随机变量 V,设对应的比特为 tn 即H(W V)n-t。分布PVW,是Alice 和Bob 不知道的，同时也不知道 PW。Alice 和Bob 公开选取压缩函数 G:(r 为压缩后密钥得长度)，以使 Eve 从W 中获取的信息和它的关于函数G 的信息给出他对新密钥K=G(K)尽可能少的信息，对任意的sn-t,Alice 和Bob 可得到长度为 r=n-s-t bit的密钥K=G(K),G 为映射 G:,Eve 所获得的信息按 S 指数减少。nr0,10,1nn0,10,1 st-KSV=f(e)3

49、.6 身份认证(Identify Authentication)经过以上的过程，获得了一个对窃听者Eve完全安全的密钥，但他假定朋Alice 和Bob都是合法的，并没有对 A1ice和Bob的身份认证。可能会出现 A1ice或M 是假冒的情况，因此我们在原BM4 协议中加人身份认证这一过程：我们可以从量子密钥中获取认证密钥而实现。将以上过程所得到的密钥称为原密钥(Raw Key)rK，将其分成三个部分：rKKa+Kb+K，其中Ka，Kb用于身份确认。具体过程如下：A1ice秘密地从 rK中选取Ka，并发送给 Bob，同时Bob秘密地从rK中选取 Kb并发送给 A1ice，然后 A1ice和Bo

50、b分别以Kb，Ka利用单向哈希函数获得各自的秘密密钥，。最后A1ice和Bob利用双钥认证体制实现身份确认。KaKbHttp:/www.c-Page 16 of 22 名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 22 页 -量子保密通信第四章量子密钥分配系统4.1 引言 密码通信系统不仅要保障信息交换的安全性，还应一该保证通信的速率与稳定性。对于长距离量子密钥分发实验，尤其是在光纤系统中，工作条件和外部环境的变化会导致光路的几何特性发生微小变化，并引起光脉冲的相位和偏振模式色散随之改变，因而会极大地降低系统的稳定性。本章主要研究双 MZ 干涉仪系统，日内瓦大学研究组提出的基