一種基于有限密鑰和誘騙態(tài)的雙場量子密鑰分發(fā)協(xié)議

康 鵬 郭 翔 趙膠膠

1(貴州電網(wǎng)有限責(zé)任公司電力調(diào)度控制中心 貴州 貴陽 550000)

2(南京信息工程大學(xué)計(jì)算機(jī)與軟件學(xué)院 江蘇 南京 210044)

0 引 言

隨著我國電力系統(tǒng)的不斷完善,電力系統(tǒng)的調(diào)度工作也在被持續(xù)不斷地更新和健全。它對于整個(gè)電力系統(tǒng)來說,是一項(xiàng)紀(jì)律嚴(yán)格、技術(shù)復(fù)雜的管理工作。面對電力系統(tǒng)不斷變化的要求和挑戰(zhàn),電力系統(tǒng)調(diào)度工作是否到位,直接影響著電力系統(tǒng)能否安全運(yùn)行。

量子密鑰分發(fā)(Quantum Key Distribution,QKD)[1]被認(rèn)為是量子信息科學(xué)最成熟的應(yīng)用,其安全性由量子物理原理保證,可為支持電力調(diào)度提供安全保障,但是量子通道中光脈沖的傳輸損耗極大限制了合法用戶之間的通信距離[2]。

為了突破信道傳輸?shù)木窒扌?提出了量子中繼器方案[3-4],但是用當(dāng)前的量子通信技術(shù)來實(shí)現(xiàn)量子中繼器是不切實(shí)際的。2012年,Lo等[5]提出了與測量設(shè)備無關(guān)的量子密鑰分發(fā)(Measurement-device-independent Quantum Key Distribution,MDI-QKD)協(xié)議,該協(xié)議不僅去除了所有探測器側(cè)通道,而且使傳統(tǒng)激光器的安全距離增加了一倍。盡管如此,MDI-QKD也無法突破長距離量子通信的限制。

2018年,Lucamarini等[26提出了雙場量子密鑰分發(fā)TF-QKD,該協(xié)議被認(rèn)為可以克服在沒有可信中繼的情況下速率-距離的限制?；诓皇苄湃喂?jié)點(diǎn)的分光器的單光子干擾,TF-QKD的秘密密鑰率相對于傳統(tǒng)的MDI-QKD相位編碼方案進(jìn)行了二次改進(jìn)[7]。隨后,許多學(xué)者根據(jù)秘密密鑰率與信道傳輸?shù)钠椒礁杀壤膬?yōu)勢,提出了TF-QKD協(xié)議的多種變體,同時(shí)也提供了更嚴(yán)格的安全證明[9-11]。之后,通過對這些變體協(xié)議進(jìn)行相關(guān)的實(shí)驗(yàn),證明了使用當(dāng)前技術(shù)進(jìn)行TF-QKD的可行性[12]。盡管如此,理論與實(shí)際之間仍然存在不可避免的差距。在這些實(shí)驗(yàn)局限性中,有限密鑰效應(yīng)[13]是估計(jì)最終秘密密鑰率不能忽略的特征。目前,提出了幾種有限密鑰分析來研究TF-QKD[14]的實(shí)用性。另外,另一個(gè)實(shí)驗(yàn)局限性是光子源的不穩(wěn)定性。在原始TF-QKD協(xié)議中采用的是穩(wěn)定光源,而在實(shí)際系統(tǒng)中始終發(fā)出的光子脈沖,其強(qiáng)度無法漸近地用恒定值代替[15]。

在本文中,我們提出了一種基于有限密鑰和誘騙態(tài)的TF-QKD協(xié)議。利用不同的統(tǒng)計(jì)波動分析模型[16-18]執(zhí)行兩個(gè)誘騙狀態(tài)TF-QKD協(xié)議的參數(shù)估計(jì)步驟。在通用可組合框架[19]的基礎(chǔ)上,得到統(tǒng)計(jì)波動限制的嚴(yán)格的秘密密鑰率。在沒有強(qiáng)度波動的情況下,我們通過對變體統(tǒng)計(jì)波動分析工具估算的最終秘密密鑰率進(jìn)行了簡要比較。在分析強(qiáng)度波動對協(xié)議性能影響時(shí),我們利用Azuma不等式[20-21]分析了嚴(yán)格的有限密鑰,證明了在強(qiáng)度波動的情況下,針對一般攻擊的可組合安全性。通過數(shù)值模擬,我們研究了具有統(tǒng)計(jì)波動和強(qiáng)度波動的不同總信號脈沖的秘密密鑰率。仿真結(jié)果表明,強(qiáng)度波動對實(shí)際誘騙態(tài)TF-QKD協(xié)議的性能影響不可忽略。

1 基于有限密鑰和誘騙態(tài)的TF-QKD協(xié)議

雖然Grasselli等[22]提出的實(shí)用誘騙態(tài)TF-QKD方案,只需設(shè)置兩個(gè)誘騙強(qiáng)度就足以擊敗通道的點(diǎn)對點(diǎn)私有容量,并且該協(xié)議可有效對抗光脈沖的強(qiáng)度波動,但其安全性是基于無限密鑰和穩(wěn)定光子源的假設(shè)。由于受通信時(shí)間、存儲能力等因素的限制,所以量子通信中通信雙方傳輸?shù)拿}沖數(shù)是有限的。為了解決該問題,我們提出了一個(gè)基于有限密鑰和誘騙態(tài)的TF-QKD協(xié)議,具體步驟如下。

步驟2密鑰分配。根據(jù)基的選擇,Alice和Bob通過量子通道分別將其光脈沖發(fā)送給不受信任的第三方Charlie。

步驟4步驟重復(fù)。將步驟1、步驟2和步驟3重復(fù)N次,使雙方都獲得了足夠多的成功檢測事件。在這種情況下,可以進(jìn)行下面的密鑰篩選步驟。

(1)

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

(1) 當(dāng)Alice和Bob分別發(fā)出n和m個(gè)光子態(tài)時(shí),我們利用文獻(xiàn)[22]中提出的誘騙態(tài)法,對Y0,0、Y2,0、Y0,2和Y1,1的上界進(jìn)行推導(dǎo)。

(11)

其中：

(12)

將文獻(xiàn)[16]中提出的誘騙態(tài)法應(yīng)用于式(11),則Y1,1的上界為：

(13)

Y2,0和Y0,2的上界為：

(14)

其中：

(15)

為了得到Y(jié)0,0的上界,我們需要知道Y2,2的下界和Yn,0和Y0,m的上界。

Yn,0和Y0,m的上界為：

(16)

所以Y2,2的下界是：

(17)

從而我們可以得到Y(jié)0,0的上界：

(18)

根據(jù)文獻(xiàn)[11]中提出的估計(jì)方法,TF-QKD協(xié)議的X基上比特誤碼率的上界為：

(19)

其中：

(20)

(21)

式中：ε″是失敗的概率。

(22)

步驟7密鑰糾錯(cuò)。為了獲得相同的密鑰位串,Alice和Bob實(shí)施了信息協(xié)調(diào)方案,他們通過lEC位執(zhí)行糾錯(cuò)步驟。此后,Alice使用字符串ZA的log2(1/εcor)位執(zhí)行隨機(jī)通用哈希函數(shù),并將哈希發(fā)送給Bob。如果Bob的字符串ZB的哈希值與ZA的哈希值不同,則中止該協(xié)議。

步驟8隱私擴(kuò)大。為了確保信息泄漏得到控制,他們利用一個(gè)隨機(jī)通用哈希函數(shù)來提取一個(gè)長度為l的私有密鑰字符串。

2 協(xié)議安全性分析

(23)

如果滿足以下條件,則最終密鑰滿足安全性：

(24)

在本文中,我們通過使用文獻(xiàn)[17]和文獻(xiàn)[22]中提供的誘騙態(tài)法求出秘密密鑰字符串長度l來獲得秘密密鑰率R。根據(jù)通用組合框架定義[19],我們提供了秘密密鑰長度的詳細(xì)估計(jì),過程如下所示。

E′首先總結(jié)了Eve學(xué)習(xí)到的有關(guān)Alice原始密鑰字符串ZA的全部信息,通過利用隨機(jī)通用哈希函數(shù),可以從ZA中提取長度為l的εsec密鑰：

(25)

(26)

(27)

(28)

(29)

為了保證協(xié)議的保密性,錯(cuò)誤項(xiàng)都被固定為一個(gè)常數(shù)：

(30)

因此εsec=13ε1。

如果最終密鑰的長度l滿足以下要求,則有限密鑰體制中的實(shí)用TF-QKD協(xié)議為εsec：

(31)

3 協(xié)議性能分析

除了有限密鑰效應(yīng)外,TF-QKD的另一種實(shí)現(xiàn)是光子源的強(qiáng)度波動。因?yàn)槲覀冊赥F-QKD系統(tǒng)上應(yīng)用了具有兩種誘騙態(tài)的方法,因此應(yīng)同時(shí)考慮信號脈沖和誘騙脈沖的強(qiáng)度波動,在沒有強(qiáng)度波動的情況下,我們假設(shè)檢測事件是獨(dú)立的。但是,當(dāng)光子源不穩(wěn)定時(shí),如果竊聽者Eve采取相干攻擊,則光脈沖的強(qiáng)度可能與其他脈沖相關(guān)。在這種情況下,不滿足檢測事件的獨(dú)立條件。為了估計(jì)光子源強(qiáng)度波動與產(chǎn)生的秘密密鑰率之間的關(guān)系,我們利用Azuma不等式[20-21]對相關(guān)樣本進(jìn)行有限密鑰分析。

在實(shí)用TF-QKD協(xié)議中,信號脈沖和誘騙脈沖采用三種不同的強(qiáng)度。本文假設(shè)信號脈沖和誘騙脈沖的強(qiáng)度波動幅度對Alice和Bob相等且對稱。

(32)

式中：μi是誘騙脈沖的強(qiáng)度,i∈{0,1}和δμ表示強(qiáng)度的波動幅度。

(33)

式中：δ∈(0,1)。

(34)

(35)

(36)

4 數(shù)值模擬

為了驗(yàn)證我們的協(xié)議在不穩(wěn)定光子源強(qiáng)度波動下的性能,本節(jié)主要從以下四個(gè)方面進(jìn)行了模擬實(shí)驗(yàn)：第一,不同的信號脈沖總數(shù);第二,秘密密鑰率的估計(jì)方法;第三,不同的強(qiáng)度波動;第四,不同數(shù)量的總信號脈沖。我們的協(xié)議在實(shí)際應(yīng)用場景中,相位失調(diào)不會因?yàn)檎T騙脈沖的相位隨機(jī)化而影響相位誤碼率。在這種情況下,光脈沖通過量子通道后的偏振和相位失調(diào)被固定為2%,這與原來實(shí)用TF-QKD協(xié)議[22]相同。

在圖1中,我們使用乘法Chernoff界模擬了具有有限密鑰大小的TF-QKD的秘密密鑰率,演示了該協(xié)議在不同信號下的性能。圖1顯示了檢測器的暗計(jì)數(shù)率Pd分別為10-8、10-7和10-6時(shí),秘密密鑰率與損耗之間的關(guān)系,實(shí)線、虛線和點(diǎn)狀虛線對應(yīng)的信號脈沖總數(shù)分別為N=10x(x=12,13,14)。如圖1所示,當(dāng)暗計(jì)數(shù)率較小時(shí),有限密鑰效應(yīng)較為顯著。

圖1 檢測器的暗計(jì)數(shù)率Pd分別為10-8、10-7和10-6時(shí),秘密密鑰率隨損耗的變化

為了找出TF-QKD協(xié)議最嚴(yán)格的分析界限,我們比較了Hoeffding不等式、乘法Chernoff界[17]和改進(jìn)型的Chernoff界[18]的性能。在圖2中,線的粗細(xì)用來區(qū)分利用Hoeffding不等式,乘法Chernoff界和改進(jìn)型的Chernoff界進(jìn)行的參數(shù)估計(jì)。為了進(jìn)行比較,我們考慮了兩個(gè)不同總數(shù)的信號脈沖,N=1013(虛線)和N=1014(實(shí)線)。如圖2所示,利用改進(jìn)型的Chernoff界是三種不同估計(jì)秘密密鑰率方法中最嚴(yán)格的,但是在信號脈沖總數(shù)較大時(shí),其優(yōu)點(diǎn)不是很明顯。

圖2 分別利用Hoeffding不等式、乘法Chernoff界和改進(jìn)型的Chernoff界估計(jì)的秘密密鑰率與損耗的關(guān)系

在光子源不穩(wěn)定的情況下,我們評估具有不同強(qiáng)度波動幅度的秘密密鑰率。模擬結(jié)果表明,強(qiáng)度波動的影響在現(xiàn)實(shí)生活中是不可忽略的。我們將暗計(jì)數(shù)率固定為Pd=10-8,信號脈沖的總數(shù)固定為N=1015,因此,通過采用不同的方法可獲得如圖3所示的從左到右的曲線強(qiáng)度波動幅度(分別為δμ=0,0.1,0.2,0.3)?？梢钥闯?當(dāng)強(qiáng)度波動幅度為δμ=0,0.1,0.2時(shí),該協(xié)議可以超越PLOB界線,但如果δμ過大,協(xié)議則無法超越PLOB的界線。

圖3 對于不穩(wěn)定信號源,在不同強(qiáng)度波動幅度下,針對總體損耗的秘密密鑰率

為了評估強(qiáng)度波動對信號脈沖總數(shù)的影響,我們在給定δμ的情況下,估算了具有不同數(shù)量的總信號脈沖的秘密密鑰率。在圖4中,從左到右的曲線是針對不同數(shù)量的總信號脈沖獲得的(N=10x,x分別為13,14,15,16)。結(jié)果表明,當(dāng)總信號脈沖的數(shù)量較小時(shí),δμ的影響非常顯著。

圖4 對于強(qiáng)度波動幅度δμ固定為0.1的信號脈沖的不同數(shù)據(jù)大小,秘密密鑰針對總損耗的比率

5 結(jié) 語

本文分析了具有有限密鑰和強(qiáng)度波動的實(shí)用TF-QKD協(xié)議的性能?；谙到y(tǒng)的對稱假設(shè),我們利用通用可組合框架推導(dǎo)出了密鑰長度公式。利用統(tǒng)計(jì)波動的估計(jì)值,求出X基中成功檢測事件的期望值以及在篩選步驟中獲得的觀察值。通過比較不同的安全邊界,我們發(fā)現(xiàn)改進(jìn)型的Chernoff界是Hoeffding不等式和乘法Chernoff界中最嚴(yán)格的一個(gè)。此外,我們還利用Azuma不等式對協(xié)議進(jìn)行安全性分析,驗(yàn)證了在不穩(wěn)定光子源強(qiáng)度波動下協(xié)議的可組合安全性。數(shù)值模擬結(jié)果顯示,尤其是在數(shù)據(jù)相對較小的情況下,光子源的穩(wěn)定性對于實(shí)際TF-QKD協(xié)議的性能至關(guān)重要。通過利用本文提出的協(xié)議可以為支持電力調(diào)度專用加密算法的電力專用量子加密一體機(jī)提供安全保障,從而給電力系統(tǒng)信息傳輸筑起了牢不可破的“金鐘罩”,使電網(wǎng)再也不用擔(dān)心外來攻擊。

當(dāng)然,本協(xié)議仍有一些不足可以改進(jìn)。例如,本協(xié)議沒有考慮量子信道中的噪聲,但在實(shí)際環(huán)境中這是不可避免的,并且QKD安全成碼的距離還遠(yuǎn)遠(yuǎn)達(dá)不到生活所需。接下來我們會針對這兩個(gè)方面的問題對協(xié)議進(jìn)行改善。