胡倩倩 馮 寶 李 冬

1(南瑞集團有限公司(國網(wǎng)電力科學研究院有限公司) 江蘇 南京 210000) 2(南京南瑞國盾量子技術有限公司 江蘇 南京 210000) 3(國網(wǎng)山東省電力公司信息通信分公司 山東 濟南 250000)

0 引 言

隨著科技的發(fā)展和經(jīng)濟的進步,社會對電力資源的需求不斷增加,也對電力系統(tǒng)提出了更高的要求。為了使電力系統(tǒng)朝著更加穩(wěn)定、高效、節(jié)能、安全的方向發(fā)展,智能電網(wǎng)受到了廣泛的關注。作為一種數(shù)字化、自動化的電網(wǎng)系統(tǒng),智能電網(wǎng)具有信息量大、信息接入方式多樣、通信網(wǎng)絡復雜等特點,這些特點給信息安全帶來了更大的挑戰(zhàn)。2015年12月23日,烏克蘭國家電網(wǎng)發(fā)生大規(guī)模的停電事故,原因是變電站的控制系統(tǒng)遭到黑客入侵[1-2]。該事件充分體現(xiàn)了變電站乃至整個智能電網(wǎng)中測控信息保密傳輸?shù)闹匾浴?/p>

信息的保密傳輸離不開加密,目前主流的加密方案是以RSA算法為代表的非對稱加密方案[3]。此類加密方案的安全性依賴于經(jīng)典計算機求解特定問題(如因子分解問題)的困難性。Shor在1994年提出的因子分解算法[4],在時間復雜度方面相比于目前最佳的經(jīng)典算法有著指數(shù)級加速,這意味著當前的公鑰密碼體制無法抵抗量子計算機的攻擊。2019年,Google公布了53量子比特超導量子處理器Sycamore,在特定問題的求解上超越了當時性能最強的超級計算機[5]。這表明量子計算機逐漸走向?qū)嵱没碾A段,其對于公鑰密碼體制造成的威脅與日俱增。

根據(jù)經(jīng)典信息論,采用“一次一密”的對稱加密方案,可以實現(xiàn)絕對的通信安全性[3,6],即使量子計算機也無法對其產(chǎn)生威脅。該方案要求通信雙方在通信前進行密鑰分發(fā),經(jīng)典密鑰分發(fā)難以保證密鑰的安全性,而量子密鑰分發(fā)(Quantum Key Distribution, QKD)則具有無條件的安全性,這種安全性依賴于量子力學的基本原理[7-8]。著名的QKD協(xié)議有BB84協(xié)議、B92協(xié)議等[9-10]。這些協(xié)議都含有隨機選取測量基的步驟,因此在協(xié)議過程中必然涉及隨機數(shù)生成的環(huán)節(jié)。

隨機數(shù)的生成必須滿足不可預測性,而經(jīng)典力學無法保證這一特性。在經(jīng)典計算中,隨機數(shù)是由特定的生成算法和隨機種子來產(chǎn)生的,一旦算法流程和隨機種子被確定,其生成的數(shù)值也可被確定[11]。因此,經(jīng)典的隨機數(shù)從理論上是可以預測的,這會在一些應用中產(chǎn)生安全隱患。例如在BB84協(xié)議中,竊聽者如果獲得了發(fā)送者產(chǎn)生的隨機數(shù),將能夠在不被發(fā)現(xiàn)的情況下獲取完整的密鑰信息。量子力學具有內(nèi)在的隨機性,利用量子隨機性來產(chǎn)生隨機數(shù)的設備稱為量子隨機數(shù)發(fā)生器(Quantum Random Number Generator, QRNG),相比于經(jīng)典的隨機數(shù)發(fā)生器,其具有物理上的不可預測性[12]。目前的QRNG實現(xiàn)方案主要依賴于光學系統(tǒng),如基于光子計數(shù)、基于光子到達時間、基于光子到達位置等[13-15]。

1 基礎知識

1.1 BB84協(xié)議

1.1.1 協(xié)議流程與安全性分析

Bennett和Brassard于1984年提出了一種量子密鑰分發(fā)協(xié)議,后被稱為BB84協(xié)議[9]。協(xié)議中使用了兩種不同的基{|0>,|1>}和{|+>,|->},其中|+>和|->定義如下。

(1)

BB84協(xié)議具體流程如下[7, 9]:

1) Alice隨機生成2個長度為(4+δ)n的比特串,分別記為a和b。如果b中某一位的比特是0,則將a中相應位置的比特制備為|0>或|1>;如果b中某一位的比特是1,則將a中相應位置的比特制備為|+>或|->,如圖1所示。

圖1 經(jīng)典比特與量子態(tài)的對應關系

2) Alice將制備的量子比特串發(fā)送給Bob。

3) Bob收到長度為(4+δ)n的量子比特串,隨機生成一個長度為(4+δ)n的比特串b′,如果b′中某一位的比特是0,則用{|0>,|1>}基測量相應位置的量子比特;如果b′中某一位的比特是1,則用{|+>,|->}基測量相應位置的量子比特。最后得到長度為(4+δ)n的比特串a(chǎn)′。

4) Alice和Bob分別公布并對比比特串b和b′的值,如果其中相同比特的數(shù)量不少于2n則協(xié)議繼續(xù),否則協(xié)議終止。

5) Alice和Bob根據(jù)相同比特的位置保留a和a′中前2n個相應的比特,記為c。

6) Alice選擇c中的n個比特作為校驗比特并告訴Bob。 雙方公布并比較校驗比特的值,如果不同比特的數(shù)量多于可接受的值,則認為有竊聽者存在,協(xié)議終止。

7) Alice和Bob利用剩下的n個比特作為最終密鑰。

下面簡要說明BB84協(xié)議的安全性。假設竊聽者為Eve,由于未知量子態(tài)無法被克隆,因此Eve只能對Alice發(fā)送的量子比特進行測量而無法備份。由于Alice發(fā)送的每個量子比特有4種可能的狀態(tài),且Alice并未公布她在步驟1)中隨機生成的比特串b,如果Eve對某些量子比特使用了錯誤的基進行測量,將有一半概率獲得錯誤的結果,并導致量子比特的狀態(tài)發(fā)生改變。這可能導致步驟6)中Alice和Bob的校驗比特產(chǎn)生差異,從而使他們發(fā)現(xiàn)竊聽者的存在。

1.1.2 協(xié)議中的隨機數(shù)安全問題

BB84協(xié)議的安全性有一個重要的前提,即步驟1)中Alice隨機生成的比特串a(chǎn)和b對于Alice以外的人是絕對保密的。如果這一前提無法滿足,則整個協(xié)議的安全性將不復存在。以下分兩種情況進行分析:

情況1:假設Eve獲取了比特串a(chǎn)的值,根據(jù)步驟4)中Alice和Bob公開的b和b′值,便可知道應該保留a中的哪些比特,從而確定比特串c的值。之后再丟棄步驟6)中Alice選擇的校驗比特,便可得到最終密鑰。

情況2:假設Eve獲取了比特串b的值,則可以截取Alice在步驟2)中發(fā)送的量子比特串并用b所對應的基進行測量。這樣Eve測量所用的基與Alice制備所用的基完全相同,因此Eve便在不改變量子比特狀態(tài)的情況下獲得了比特串a(chǎn)的值。之后的分析與情況1相同。

在以上兩種情況中,不僅Eve能夠獲得最終的密鑰,Alice發(fā)送的量子比特狀態(tài)也不會發(fā)生改變,這意味著通信雙方無法發(fā)現(xiàn)竊聽者Eve的存在。

1.2 F-M系統(tǒng)

量子密鑰分發(fā)的實現(xiàn)離不開硬件系統(tǒng)的支持,Mo等[16]在2005年提出并實現(xiàn)了一種基于Faraday-Michelson干涉儀的量子密鑰分發(fā)系統(tǒng),簡稱為F-M系統(tǒng)。該系統(tǒng)能夠自動地補償環(huán)境擾動所引起的偏振變化,有效消除長距離傳輸中偏振態(tài)對量子密鑰分發(fā)系統(tǒng)穩(wěn)定性的影響。

F-M系統(tǒng)的結構如圖2所示。由激光二極管(laser diode, LD)發(fā)射的激光脈沖被耦合器C1分為兩束脈沖。沿短臂傳輸?shù)拿}沖被Faraday旋轉(zhuǎn)鏡FM1反射并返回到C1,而沿長臂的脈沖由相位調(diào)制器PMa調(diào)制,并由Faraday旋轉(zhuǎn)鏡FM2反射,經(jīng)過一定時延后回到耦合器C1。兩束脈沖在量子信道中耦合并發(fā)送給Bob。脈沖到達耦合器C2后再次被分為兩組。沿短臂傳輸?shù)拿}沖被Faraday旋轉(zhuǎn)鏡FM3反射并返回到C2,沿長臂傳輸?shù)拿}沖由相位調(diào)制器PMb進行調(diào)制,并由Faraday旋轉(zhuǎn)鏡FM4反射,經(jīng)過一定時延后回到耦合器C2。由于DL1與DL2時延相等,僅經(jīng)過一次調(diào)制的兩束脈沖將同時到達耦合器C2并發(fā)生干涉,之后被單光子雪崩二極管(Single-photon avalanche diode, SPAD)探測到。通過控制PMa和PMb,Alice和Bob可以完成基于單光子的量子密鑰分發(fā)協(xié)議,如BB84協(xié)議。

圖2 F-M系統(tǒng)結構

1.3 基于光子到達時間的QRNG

1.3.1 光子到達時間的隨機性

在一段時間間隔(t,t+T)內(nèi),連續(xù)激光的光子數(shù)量n服從參數(shù)為λT的泊松分布[14],如式所示:

(2)

根據(jù)泊松分布的性質(zhì),對于在時間間隔(t,t+T)內(nèi)到達的一個光子,其在每個時刻到達的概率是相等的。如圖3所示,以一個周期為T的脈沖信號作為參考信號,將每個時間區(qū)間內(nèi)光子到達的相對時間記為tr,則tr服從(0,T)上的均勻分布。將該時間間隔T劃分成N個區(qū)間{τ1,τ2,…,τN},則根據(jù)tr所在的區(qū)間可以得到{1,2,…,N}中的一個隨機數(shù)。

圖3 光子到達時間的隨機性

1.3.2 基于光子到達時間的QRNG

Nie等[14]在2014年提出了一種基于光子到達時間的QRNG實現(xiàn)方案,其結構如圖4所示。激光二極管LD發(fā)射的連續(xù)激光經(jīng)過光衰減器(Attenuator,ATT),其強度降到每段時間間隔T內(nèi)到達的平均光子數(shù)小于1的水平 。單光子雪崩二極管(Single-photon avalanche diode,SPAD)能夠探測光子的到達并產(chǎn)生脈沖信號,該脈沖信號作為數(shù)字時間轉(zhuǎn)換器(Time-to-digital converter,TDC)的停止信號,一個周期為T的外部周期脈沖信號作為TDC的開始信號。TDC的輸出作為現(xiàn)場可編程門陣列(Field programmable gate array,FPGA)的輸入,最后輸出原始的隨機比特串。原始的隨機比特串與均勻分布存在微小的偏差,通過在計算機上進行一定的后處理,可以得到理想的均勻分布比特串。

圖4 基于光子到達時間的QRNG結構

上述基于光子到達時間的QRNG能夠顯著消除實驗數(shù)據(jù)中的偏差,生成幾乎為均勻分布的原始隨機比特串。相比于其他基于光學的QRNG實現(xiàn)方案,該方案具有隨機數(shù)生成速率高、設備簡單的優(yōu)點,因此具有較高的實用性。除非特別說明,后文中提到的QRNG均為基于光子到達時間的QRNG。

2 基于QRNG的量子密鑰分發(fā)系統(tǒng)

2.1 系統(tǒng)結構

2.1.1 光開關設計

本文系統(tǒng)的光路控制是通過機械式光開關來實現(xiàn),可選擇與切換光的傳播路徑。機械式光開關具有插入損耗低、隔離度大、使用壽命長以及體積小等特點,可實現(xiàn)任意兩條量子鏈路之間的動態(tài)切換,如圖5所示,當光開關與上方線路連接時,端口P1與端口P2連通,當光開關處于與下路線路連接時,端口P1與端口P3連通。

圖5 光開關結構

2.1.2 隨機數(shù)生成模塊設計

基于光子到達時間的QRNG的關鍵任務是將“光子到達時間”這一具有隨機性的物理量轉(zhuǎn)換為隨機數(shù),完成該任務的模塊稱為隨機數(shù)生成模塊(random number generation module, RNGM),其結構如圖6所示。

圖6 隨機數(shù)生成模塊結構

該模塊的輸入為經(jīng)過衰減后的激光,SPAD探測到光子時產(chǎn)生脈沖信號,該脈沖信號作為TDC的停止信號。RNGM內(nèi)置一個信號源Ref,能夠產(chǎn)生一定周期的參考信號,該信號同時作為TDC的開始信號。TDC的輸出作為FPGA的輸入。FPGA能夠產(chǎn)生接近均勻分布的原始隨機比特。對于原始隨機比特,使用Toplitz矩陣來提取最終的隨機比特[17-18],該過程同樣在FPGA中完成。因此,整個RNGM的輸出即為最終的理想隨機比特串。

2.1.3 整體結構設計

在F-M系統(tǒng)的基礎上,使用光開關進行光路控制,并使用隨機數(shù)生成模塊生成隨機比特串,最終的整體結構如圖7所示。

圖7 基于QRNG的QKD系統(tǒng)整體結構

相比于F-M系統(tǒng),該系統(tǒng)對Alice區(qū)域進行了重新設計。首先是在激光二極管LD的輸出處添加光開關S1,當其與端口P1連通時,激光脈沖將傳向光衰減器ATT;當其與端口P2連通時,激光脈沖將傳向耦合器C1。其次是在ATT的輸出處添加光開關S2,當其與端口P3連通時,激光脈沖將經(jīng)過量子信道發(fā)送給Bob;當其與端口P4連通時,激光脈沖將進入隨機數(shù)生成模塊RNGM。

2.2 分析與討論

上述量子密鑰分發(fā)系統(tǒng)可以用于基于單光子的量子密鑰分發(fā)協(xié)議。以BB84協(xié)議為例,其工作可以分為兩個階段。

第一個階段為隨機數(shù)生成階段。該階段中光開關S1與端口P1連通,S2與P4連通。LD發(fā)射的激光脈沖經(jīng)過ATT后進入RNGM中,最后RNGM輸出長度為n的隨機比特串a(chǎn)。重復這一步驟,可以得到長度為n的隨機比特串b。第二個階段為密鑰分發(fā)階段。該階段中光開關S1與端口P2連通,S2與P3連通。此時系統(tǒng)的工作方式與傳統(tǒng)的F-M系統(tǒng)相同,Alice和Bob通過控制相位調(diào)制器PMa和PMb,可以完成BB84協(xié)議的后續(xù)步驟。

上述量子密鑰分發(fā)系統(tǒng)能夠?qū)崿F(xiàn)F-M系統(tǒng)的所有功能,也具有F-M系統(tǒng)的全部優(yōu)點,因此可以用于長距離的光量子通信,并且具有強大的抗干擾能力。與F-M系統(tǒng)不同的是,本文提出的系統(tǒng)還集成了QRNG功能。在目前主流的方案中,上述兩個階段的任務一般由兩個獨立的硬件系統(tǒng)來完成。隨機數(shù)生成階段由獨立的RNG完成,密鑰分發(fā)階段則一般由F-M系統(tǒng)完成。下面根據(jù)RNG類型的不同,將本文的系統(tǒng)與兩種組合方案進行對比。

(1) 獨立的經(jīng)典RNG與F-M系統(tǒng)的組合方案。經(jīng)典RNG采用確定性算法生成隨機數(shù),存在被預測的可能性;而QRNG利用的是物理上的隨機性,因此具有不可預測性。使用本文的系統(tǒng)可以避免隨機數(shù)泄露,提高安全性。

(2) 獨立的QRNG與F-M系統(tǒng)的組合方案。基于光子到達時間的QRNG與F-M系統(tǒng)存在重復的物理器件。本文的系統(tǒng)復用了一個激光二極管和一個光衰減器,并采用模塊化的方法,將QRNG中的其余器件封裝為RNGM接入F-M系統(tǒng)中。其優(yōu)點是在不降低隨機數(shù)安全性的同時降低了硬件成本。

3 結 語

智能電網(wǎng)的穩(wěn)定運作離不開測控信息的安全傳輸,而安全傳輸?shù)那疤崾怯凶銐蚩煽康募用芊绞?。量子密鑰分發(fā)使得理論上絕對安全的“一次一密”方案成為可能,因此對測控信息的加密起到了關鍵作用。為了保證量子密鑰分發(fā)協(xié)議的正常執(zhí)行,需要對各個環(huán)節(jié)中存在的安全漏洞進行修補。本文分析討論了隨機數(shù)生成環(huán)節(jié)中存在的安全隱患,之后結合基于光子到達時間的QRNG實現(xiàn)方案,對F-M系統(tǒng)進行了改進。只要利用光開關對線路進行一定的改造,并接入RNGM,便可實現(xiàn)F-M系統(tǒng)的升級。改進之后的量子密鑰分發(fā)系統(tǒng)不僅具有F-M系統(tǒng)的優(yōu)點,還能有效地避免隨機數(shù)泄露所導致的安全問題,為智能電網(wǎng)的安全運作提供了進一步保障。