張昌宏，李 鵬

(1.海軍工程大學(xué) 信息安全系,湖北 武漢 430033；2.中國(guó)人民解放軍92886部隊(duì),山東 膠州 263000)

基于不同光源下的誘騙態(tài)雙向QKD協(xié)議研究*

張昌宏1，李 鵬2

(1.海軍工程大學(xué) 信息安全系,湖北 武漢 430033；2.中國(guó)人民解放軍92886部隊(duì),山東 膠州 263000)

在量子密鑰分配系統(tǒng)的光源特征研究中，通過實(shí)驗(yàn)分析了標(biāo)記單光子源(HSPS)對(duì)基于誘騙態(tài)雙向QKD協(xié)議系統(tǒng)安全性的影響。首先，基于誘騙態(tài)方法和雙向QKD協(xié)議，給出使用HSPS的誘騙態(tài)雙向QKD協(xié)議中單光子、雙光子的計(jì)數(shù)率下限和誤碼率上限的計(jì)算公式；其次，計(jì)算出相應(yīng)的安全密鑰率公式；最后通過數(shù)值模擬，比較了不同光源下的誘騙態(tài)雙向QKD協(xié)議的安全密鑰率和安全傳輸距離，模擬結(jié)果表明HSPS光源相比WCP光源在安全密鑰率和傳輸距離方面具有明顯優(yōu)勢(shì)。

雙向QKD;光源;誘騙態(tài)

0 引 言

密碼的安全性由密碼算法設(shè)計(jì)的科學(xué)性和密鑰的保密性共同決定，如何使密碼通信雙方安全地獲取密鑰一直是信息安全領(lǐng)域關(guān)注熱點(diǎn)。量子通信協(xié)議的建立，擺脫了傳統(tǒng)密鑰分配協(xié)議中加密協(xié)議部分在量子通信過程中不可使用的困境，在此基礎(chǔ)上發(fā)展出的量子密鑰分配協(xié)議在未來的保密通信中將發(fā)揮出越來越明顯的技術(shù)優(yōu)勢(shì)。量子密鑰分配(QKD,Quantum Key Distribution)，是指以量子物理基本原理為核心，在量子通信系統(tǒng)的雙方之間建立起無條件安全密鑰的過程，其密鑰分配方案通過將密鑰信息編碼在量子態(tài)中以確保密鑰的安全性。1984年，Bennett和Brassard提出了著名的BB84協(xié)議[1]，標(biāo)志著量子密鑰分配理論的逐漸成型，但在實(shí)用領(lǐng)域由于裝置水平的限制等因素，量子通信的安全性仍然很難達(dá)到合理期望，因此，如何在通信雙方之間的有效距離內(nèi)形成較為安全的密鑰成了研究的重點(diǎn)。近年來，諸如SARG04協(xié)議[2]、LM05協(xié)議[3]等一些基于參量下轉(zhuǎn)換光子對(duì)的誘騙態(tài)(decoy state)方法的量子密鑰方案相繼被提出，相比于傳統(tǒng)的BB84協(xié)議有了更為廣闊的發(fā)展前景。

1 誘騙態(tài)量子密鑰分配

1.1 光子數(shù)分束攻擊

理想的量子通信的安全性已經(jīng)被量子的物理特性所保證，但大多數(shù)協(xié)議的設(shè)計(jì)建立在單光子源的基礎(chǔ)上。由于目前單光子源技術(shù)的不成熟，在實(shí)際QKD實(shí)驗(yàn)中，使用的多為強(qiáng)衰減的弱激光脈沖，而不是理想的單光子源，因此不可避免地會(huì)出現(xiàn)多光子的情況。特別是，單光子脈沖在傳輸信道中會(huì)受到各種衰減，經(jīng)過一段距離后，多光子脈沖占據(jù)了剩余脈沖的主要地位，此時(shí)，竊聽者Eve就可以通過光子數(shù)分束攻擊(PNS)，在通信雙方Alice和Bob不知情的情況下利用多光子攜帶的相同信息特性，來獲取Alice和Bob通信雙方之間的密鑰信息。而攻擊者可以通過將單光子脈沖全部攔截后丟掉，不讓其產(chǎn)生絕對(duì)安全的密鑰。因此，考慮到光子數(shù)分束攻擊的存在，傳統(tǒng)的量子通信協(xié)議在非理想條件下的傳輸距離和安全密鑰率都受到較大限制。

1.2 誘騙態(tài)方案

2003年，Hwang[4]提出了誘騙態(tài)方法，以更好地估計(jì)脈沖中的單光子比率，這使得QKD系統(tǒng)的安全密鑰率和最大安全距離都有顯著提升，并被證明是抵抗光子數(shù)分束攻擊(PNS)的最佳方案[5]。誘騙態(tài)方法的基本原理是，發(fā)送方Alice分別制備信號(hào)態(tài)和誘騙態(tài)兩種光子脈沖，這些冗余的誘騙態(tài)光脈沖與信號(hào)態(tài)光脈沖的唯一區(qū)別就是平均光強(qiáng)不同，根據(jù)不同強(qiáng)度下兩種態(tài)的相位和偏振都是隨機(jī)的特性，竊聽者Eve在不知情的情況下，不能分辨出截獲的信息是信號(hào)態(tài)光子還是誘騙態(tài)光子，只能對(duì)其完全接收。但接收方Bob通過對(duì)信號(hào)態(tài)和誘騙態(tài)分別進(jìn)行計(jì)數(shù)，可以估計(jì)出信號(hào)態(tài)的單光子計(jì)數(shù)率下限和單光子誤碼率上限，最終可以得到誘騙態(tài)QKD協(xié)議的密鑰生成率和安全通信距離。

這一方案的設(shè)計(jì)思想得到了學(xué)界的廣泛認(rèn)同，并出現(xiàn)了很多后續(xù)的改進(jìn)方案。但總的來說，各個(gè)誘騙態(tài)協(xié)議具有的共同點(diǎn)，都是要設(shè)法在通信過程中利用不同光強(qiáng)下光源的不同特征，產(chǎn)生兩種或兩種以上的不同的光子數(shù)分布，借此對(duì)信道屬性進(jìn)行估計(jì)，通過觀察光子數(shù)來測(cè)量是否有光子被竊取，最終得以判斷是否存在竊聽攻擊。

1.3 LM05協(xié)議

LM05協(xié)議是一種典型的量子密鑰分配方案，其具體工作流程如下：Bob在兩種垂直偏振態(tài)、兩種對(duì)角偏振態(tài)這四種偏振態(tài)中，選擇一種光子態(tài)和兩個(gè)基態(tài)(垂直偏振態(tài))發(fā)送給Alice。與BB84協(xié)議類似，Alice利用控制模塊以c的概率對(duì)其進(jìn)行光子測(cè)量，這將保證這一部分光子至少會(huì)具有和BB84協(xié)議一樣的安全性。而對(duì)于剩下的另一部分光子，Alice將以1-c的概率，通過對(duì)其進(jìn)行翻轉(zhuǎn)(編碼為1)或不進(jìn)行翻轉(zhuǎn)(編碼為0)進(jìn)行編碼，然后，Alice將處理后的光子發(fā)回給Bob，Bob通過其中相同的量子比特來準(zhǔn)確地解碼Alice的信息?？梢钥吹剑@種方法不需要經(jīng)典信道，而是直接在量子信道之中進(jìn)行通信，較以往的量子密鑰分配協(xié)議，有了明顯的突破。

需要指出的是，LM05協(xié)議并不能在信道被竊聽或者有噪聲時(shí)進(jìn)行直接溝通。如果在其中使用糾錯(cuò)協(xié)議，竊聽者Eve就會(huì)從中獲取大量的信息，我們并不能確定這些信息是否會(huì)泄露密鑰的相關(guān)信息；同樣，如果在其中使用保密增強(qiáng)協(xié)議，Bob就不可能完全獲得Alice的所有信息。目前而言，是否能夠安全可靠地在有噪聲或存在損失的信道中進(jìn)行直接通信一直是眾多協(xié)議中存在的瓶頸難題，但盡管如此，LM05協(xié)議仍是通過量子信道進(jìn)行直接通信的卓有成效的方案。因此，本實(shí)驗(yàn)所使用的雙向QKD協(xié)議即采用LM05協(xié)議。

2 基于不同光源下的誘騙態(tài)雙向QKD協(xié)議分析

2.1 誘騙態(tài)雙向QKD協(xié)議設(shè)計(jì)

一般誘騙態(tài)量子密鑰分配的關(guān)鍵問題，是利用光脈沖檢測(cè)得出安全的單光子計(jì)數(shù)率的下限和單光子誤碼率的上限，但由于雙向QKD協(xié)議的設(shè)計(jì)，光子也會(huì)在雙向信道的兩次測(cè)量中出現(xiàn)損失。LM05協(xié)議中，采取了密鑰提純的方法并引入雙光子計(jì)數(shù)率這一參數(shù)，有效減少了由于雙向量子信道帶來的部分損失，因此，本實(shí)驗(yàn)的設(shè)計(jì)采用LM05協(xié)議中的方法進(jìn)行。

雖然，從理論上講，無限誘騙態(tài)的方法更便于計(jì)算而且能更精確地研究不同光源下對(duì)其不同的干擾，然而，對(duì)于一個(gè)實(shí)用裝置，其有限性是一個(gè)不可能改變的現(xiàn)實(shí)，因此，本文采用雙誘騙態(tài)的方法，考慮分別用光強(qiáng)度為v1，v2下的兩個(gè)誘騙態(tài)和光強(qiáng)度為μ下的一個(gè)信號(hào)態(tài)進(jìn)行實(shí)驗(yàn)，其中v1+v2<μ且v1+v2<1。這些條件并不意味著對(duì)μ值的約束，僅僅是為了確保其最大密鑰率，并可以在實(shí)驗(yàn)中觀察Qv1，Qv2兩個(gè)誘騙態(tài)增益和Qu信號(hào)態(tài)增益。

由于理想的單光子源是理想QKD協(xié)議安全性的基礎(chǔ)，但其制備過程在實(shí)際使用中非常困難，因此在應(yīng)用環(huán)境下，當(dāng)前實(shí)驗(yàn)使用弱相干光源(WCP)和標(biāo)記單光子源(HSPS)近似代替理想單光子源。

2.2 基于WCP光源下的誘騙態(tài)雙向QKD分析

2.2.1 單光子和雙光子單獨(dú)計(jì)數(shù)

實(shí)驗(yàn)采納SARG04協(xié)議中的方法對(duì)雙光子探測(cè)概率進(jìn)行計(jì)算，但由于單光子計(jì)數(shù)率下限Y1本身不能直接在實(shí)驗(yàn)中測(cè)量，而只能估計(jì)其下限，因此，首先需要對(duì)單光子的探測(cè)概率進(jìn)行公式推導(dǎo)。記單光子計(jì)數(shù)率下限的形式為：

記在光強(qiáng)度v1，v2下的兩個(gè)誘騙態(tài)的增益分別為Qv1，Qv2，誤碼率分別為e1，e2，可以建立關(guān)于增益和誤碼率的方程：

(1)

(2)

假設(shè)在光源發(fā)射的脈沖中，不含有大于2的光子數(shù)的光脈沖，則式(2)可化簡(jiǎn)為：

(3)

(4)

對(duì)于雙光子脈沖計(jì)數(shù)率的計(jì)算，由于實(shí)驗(yàn)圍繞光脈沖中單光子和雙光子計(jì)數(shù)率展開，因此，可以對(duì)式(2)右邊的第二項(xiàng)進(jìn)行改寫，令其為：

(5)

由此可得：

(6)

式(6)中，Y0的取值參考文獻(xiàn)[6]的計(jì)算值：

(7)

這里，存在以下不等式：

(8)

(9)

(10)

(11)

2.2.2 單光子和雙光子整體計(jì)數(shù)

以上分析僅考慮單光子雙光子計(jì)數(shù)率的準(zhǔn)確性，但現(xiàn)實(shí)中由于探測(cè)裝置只能探測(cè)到光脈沖的有無，卻無法得知其確切的光子數(shù)。同時(shí)，由于信道干擾，無法完全根據(jù)Y1和Y2的函數(shù)關(guān)系確定接收到的究竟是單光子還是雙光子，因此本節(jié)的計(jì)算，將把Y1和Y2當(dāng)作一個(gè)整體來觀察其在LM05協(xié)議中密鑰生成率下界的變化，并期望得到一個(gè)下界為Y1+Y2的函數(shù)。由于：

(12)

(13)

(14)

(15)

同樣，以考慮Y1+Y2整體增益這種方式，可得Y1+Y2下界的有效增益為：

(16)

考慮到實(shí)際傳輸時(shí)存在于信道中的誤碼率，假設(shè)所有誤碼差均來自單光子和雙光子檢測(cè)(以及暗計(jì)數(shù))，可以得出：

EuQu=e0Y0e-u+εQ12(u)

(17)

式中，ε是有效誤差的有效臨界增益。最后，可以得到誤碼率的上限為：

(18)

2.3 基于HSPS光源的誘騙態(tài)雙向QKD分析

2.2節(jié)在基于WPC相干光源的情況下對(duì)雙向QKD協(xié)議進(jìn)行了分析討論，本節(jié)將在基于HSPS光源的情況下對(duì)雙向QKD協(xié)議進(jìn)行分析對(duì)比。由于二者的區(qū)別僅僅在于光子數(shù)分布不同，因此，僅需計(jì)算出在光子數(shù)分布不同的情況下，HSPS標(biāo)記單光子引起的新的計(jì)數(shù)率和誤碼率的不同即可。

HSPS光源一般由單模自發(fā)參量轉(zhuǎn)換觸發(fā)機(jī)制產(chǎn)生，其產(chǎn)生的光子數(shù)分布如下式所示：

(19)

接收方Bob接受檢測(cè)到的第i個(gè)光子態(tài)的增益，可以用指數(shù)函數(shù)表示為：

(20)

同時(shí)，可以計(jì)算出第i個(gè)光子態(tài)的量子比特誤碼率(QBER)為：

(21)

經(jīng)過整理，可以得到HSPS光源的總誤碼率為：

(22)

同2.2節(jié)的方法一樣，通過建立增益與誤碼率關(guān)系的方程，可以求得光子計(jì)數(shù)率的下限。首先，可計(jì)算增益為：

(23)

(24)

通過整理上式，可以得到基于HSPS光源下單光子、雙光子計(jì)數(shù)率下限為：

(25)

(26)

在此列出增益與誤碼率的相關(guān)方程：

(27)

(29)

2.4 安全密鑰率

在安全密鑰率的計(jì)算上，文獻(xiàn)[7]只涉及到單光子計(jì)數(shù)的安全密鑰率，但在雙光子態(tài)保密放大不超過單光子態(tài)的情況下，該框架可以被擴(kuò)展到包括雙光子計(jì)數(shù)率的情況。因此，可以用2.3節(jié)中得到的公式，通過GLLP公式[7]來推導(dǎo)它們的安全密鑰率：

(30)

綜合上述單獨(dú)計(jì)數(shù)和整體計(jì)數(shù)的方法，得出其各自的安全密鑰率為：

(31)

(32)

需要說明的是，本實(shí)驗(yàn)出于保密性能放大的要求，需從單光子和雙光子貢獻(xiàn)相結(jié)合的角度確定有效的誤碼率，因此，實(shí)驗(yàn)舍棄這兩個(gè)比特?cái)?shù)中較大的數(shù)值，以確保Eve竊取的信息量沒有被低估。量子比特的取舍參考文獻(xiàn)[8]中的公式：

(33)

3 實(shí)驗(yàn)結(jié)果

根據(jù)HSPS的誘騙態(tài)雙向QKD協(xié)議中單光子、雙光子計(jì)數(shù)率的下限和在誤碼率上限的計(jì)算公式和相應(yīng)的安全密鑰率公式，通過Matlab軟件進(jìn)行數(shù)值模擬，可以得到使用不同光源的誘騙態(tài)雙向QKD協(xié)議的安全密鑰率和安全傳輸距離。為了數(shù)值計(jì)算的方便，實(shí)驗(yàn)中統(tǒng)一采用弱+真空的誘騙態(tài)協(xié)議，令其中的一個(gè)光源強(qiáng)度無限趨近于0。在不考慮各種光強(qiáng)統(tǒng)計(jì)漲落的情況下，由于光纖在不同入射波長(zhǎng)信號(hào)光作用下表現(xiàn)出不同的特性，光纖和探測(cè)器的具體數(shù)據(jù)選用如下的實(shí)驗(yàn)參數(shù)。

表1 光纖、探測(cè)器實(shí)驗(yàn)參數(shù)取值

首先，對(duì)上節(jié)兩種不同計(jì)數(shù)方法得出的R1+2和R12安全密鑰率作比較。圖1中，1線標(biāo)注處為80 km，2線R1+2代表使用單雙光子單獨(dú)計(jì)數(shù)時(shí)，WCP光源的安全密鑰率隨傳輸距離變化的曲線，3線R12代表使用單雙光子統(tǒng)一計(jì)數(shù)時(shí)，WCP光源的安全密鑰率隨傳輸距離變化的曲線。顯然，R1+2無論是距離還是安全性都高于R12。

圖1 單雙光子單獨(dú)計(jì)數(shù)與統(tǒng)一計(jì)數(shù)的密鑰安全率曲線

接下來，將WCP相干光源在雙向QKD(LM05協(xié)議)下安全密鑰率R1+2隨距離變化曲線，與傳統(tǒng)WCP相干光源在普通QKD(BB84協(xié)議)下的曲線進(jìn)行比較。圖2中，1線標(biāo)注處為80 km，在使用單雙光子單獨(dú)計(jì)數(shù)時(shí)，2線R1+2代表WCP光源在雙向QKD下的安全密鑰率隨傳輸距離變化的曲線，3線代表WCP光源在普通誘騙態(tài)QKD下的安全密鑰率隨傳輸距離變化的曲線。

圖2 WCP光源在雙向QKD和普通QKD下的安全密鑰率曲線

由圖2可知，在傳統(tǒng)BB84協(xié)議有效的安全密鑰率范圍內(nèi)，雙向QKD協(xié)議并沒有優(yōu)勢(shì)，在一定的傳輸距離內(nèi)，LM05協(xié)議使用的密鑰率較BB84協(xié)議存在較低的安全性。但同時(shí)能夠看到，雖然安全密鑰率較低，但雙向QKD協(xié)議延長(zhǎng)了有效的通信距離。因此可以認(rèn)為，在長(zhǎng)距離(大于90 km)通信時(shí)，雙向QKD協(xié)議較之傳統(tǒng)的單向誘騙態(tài)協(xié)議具有優(yōu)勢(shì)。

最后，在基于雙向QKD協(xié)議的條件之下，實(shí)驗(yàn)比較WCP和HSPS兩種光源產(chǎn)生的密鑰率的變化。圖3中，1線標(biāo)注處為80 km，在使用單雙光子單獨(dú)計(jì)數(shù)的條件下，2線為WCP光源的安全密鑰率隨傳輸距離變化的曲線，3線為HSPS光源的安全密鑰率隨傳輸距離變化的曲線。

圖3 WCP光源和HSPS光源的安全密鑰率曲線

由圖3可知，HSPS相比WCP，對(duì)此協(xié)議具有更好的適應(yīng)性和安全性。通過將圖2、圖3對(duì)比可以發(fā)現(xiàn)，使用HSPS光源可以極大地?cái)U(kuò)展雙向QKD協(xié)議的傳輸距離。因此，相比傳統(tǒng)QKD協(xié)議，雙向誘騙態(tài)QKD協(xié)議在傳輸距離方面有著明顯的優(yōu)勢(shì)，在保證一定安全性的基礎(chǔ)之上，未來研究的重心可以放在如何增大傳輸距離方面。模擬結(jié)果證明：HSPS光源相比WCP光源在雙向誘騙態(tài)協(xié)議中，在安全密鑰率和傳輸距離方面具有明顯優(yōu)勢(shì)。

[1] Bennett C H, Brassard G. Quantum Cryptography: Public Key Distribution and Coin Tossing [J]. Theoretical Computer Science, 2014,560(1):7-19.

[2] Scarani, Acin A, Ribordy G. Quantum Cryptography Protocols Robust against Photon Number Splitting Attacks for Weak Laser Pulse Implementations [J]. Physical review letters，2004，20(6):119-124.

[3] Kwong H,Chau H F, Ardehali M. Efficient Quantum Key Distribution Scheme and a Proof of Its Unconditional Security [J]. Journal of Cryptology , 2005,18:133-140.

[4] Hwang W Y. Quantum Key Distribution with High Loss： Toward Global Secure Communication [J]. Physical Review Letters,2003,91(5):97-99.

[5] 唐少杰.量子通信中單光子源特性的研究[D].北京:北京郵電大學(xué),2011. TANG Shao-jie.The Charatieristic Study of Single Photon Source in Quantum Communication[D].Beijing:BUPT,2001.

[6] Shaari J S, Bahari I,Ali S. Decoy States and Two Way Quantum Key Distribution Schemes Optics Communications[J]. Optics Communications,2011,284(2): 697-702.

[7] Gottesman, Lutkenhaus H K. Security of Quantum Key Distribution with Imperfect Devices[J]. Information Theory, 2004(06):27-33.

[8] Kwong H. Practical Decoy State for Quantum Key Distribution[J]. Virtual Journal of Quantum Information ,2005(07):46-55.

Decoy State Two-Way QKD Protocol under Different Light Sources

ZHANG Chang-hong1，LI Peng2

(1.Department of Information Security,Navy University of Engineering, Wuhan Hubei 430033, China;2.PLA Unit,92886; Jiaozhou Shandong 263000, China )

In the research on light source characteristics of QKD (Quantum Key Distribution) system, the effects of HSPS on the system sucurity based on the two-way QKD protocols of decoy state are analyzed. Firstly, the formula for lower and upper limits of the counting rate is given in the single-photon and two-photon case under the basis of decoy state method and two-way QKD protocols. Then, the formula of appropriate security key rate is calculated. Finally, through numerical modeling, the secure key rate and transmission distance are compared in different sources of decoy state two-way QKD protocol. Simulation result shows that HSPS enjoys obvious advantages over WCP in both secure key rate and transmission distance.

two-way QKD; light source; decoy state

date:2014-10-22；Revised date：2015-02-28

TP393

A

1002-0802(2015)04-0463-06

張昌宏(1964—)，男，碩士，副教授，主要研究方向?yàn)樾畔踩?/p>

李 鵬(1986—)，男，碩士，助理工程師，主要研究方向?yàn)樾畔踩?/p>

10.3969/j.issn.1002-0802.2015.04.016

2014-10-22；

2015-02-28