量子信息學導論 課件 第4章 量子密碼術

第4章量子密碼術4.1密碼學與經典加密

4.2量子密碼的概念和理論

4.3量子密鑰分配協議4.4量子密鑰分配協議仿真4.5量子密碼安全性分析4.6量子安全直接通信

量子加密是一種利用量子力學原理對信息進行加密的信息安全技術，與已有的信息安全技術相比，它從物理機制上嚴格保證了加密過程的安全性。它是信息安全領域中的一項新的理論與技術。量子加密可以表現為兩種不同的形式。一種是量子密鑰分配過程：這是因為香農在信息論中已證明一次一密的絕對安全性，所以加密技術的安全性將完全依賴于密鑰分配的安全性。另一種則是從加密算法的本身出發(fā)實現量子加密。

因為量子密鑰分配具有可證明的安全性以及在分配過程中提供對外界干擾的檢測機制，從1984年首次提出開始，吸引了人們大量的關注。為了更好地理解量子密碼技術，本章從經典加密開始，闡述量子密鑰分配協議，并給出量子密鑰分配協議的安全性證明，以及在現有計算機上仿真實現每種協議的過程和結果分析。

4.1密碼學與經典加密

4.1.1密碼學的歷史自人類文明開始，通信的保密性就顯得很重要。大約公元400年前，古希臘國王Spartans就采用了名為SCYTALE的設備來加密，它是用在軍事指揮官間進行通信的一根逐漸變小的短棒，上面包裹著的是含有消息的螺旋上升的細長的羊皮紙。短棒上縱長地寫著單詞，每個單詞都繞長條旋轉。在未繞時，消息上的字母顯得雜亂無章，羊皮紙就在這種狀態(tài)下傳送出去。接收者解開羊皮紙并把它繞在同樣形狀的細棒上，原來的消息就會顯示出來，如圖4.1所示。

圖4.4第一臺加密設備——SCYTALE

另據稱JulisCaesar在他的通信中用了一種簡單的字母替位方法。Caesar消息的每個字母都被它后面的三位字母所代替，即字母A被D代替，B被E代替等。

這兩個簡單的例子包含了密碼學中至今仍使用于加密的兩個基本思想：“換位”和“替換”。在換位(如SCYTALE)中，明文的字母(技術上要傳輸的消息)要經過特別的改變以重新排列。在替代(如Caesar的密碼)中，明文的字母被其他的字母、數字或任意的符號所代替。通常這兩種技術可以結合起來使用。

總的來說，復雜的加密技術主要限于軍事領域。例如，第二次世界大戰(zhàn)期間德國的NIGMA和美國的M209。由于戰(zhàn)爭需要不得不研制電子工具來對付這些加密儀器，這就導致了第一臺數字計算機COLOSSYS的研制，于是現代密碼術隨著計算機科學的誕生而發(fā)展。正如R．L．Rivest(著名的公開密鑰密碼體制RSA的發(fā)現者之一)所指的那樣，密碼分析學是“計算機科學的產婆”。

4.1.2密碼學中的基本概念

人類希望把重要的信息通過某種變換轉換成秘密形式的信息。轉換方式可以分為兩大類：一類是隱寫術，隱蔽信息載體(信息)的存在，古代常用。另一種是編碼術，將載荷信息的信號進行各種變換使它們不為非授權者所理解。在利用現代通信工具的條件下，隱寫術受到了很大的限制，但編碼術卻以計算機為工具取得了極大的發(fā)展。通常把對真實數據施加變換的過程稱為加密，用符號Ek表示，把加密前的真實數據稱為明文P，加密后輸出的數據稱為密文C。從密文恢復出明文的過程稱為解密Dk。加密實際上是明文到密文的函數變換，變換過程中使用的參數叫密鑰k。

完成加密和解密的算法稱為密碼體制。最初的密文的安全性依靠整個加密和解密過程的安全性。由于一次一密的絕對安全性，即使加密和解密的算法公開，也不危及密碼技術的安全性。如果求解一個問題需要一定量的計算，但環(huán)境所能提供的實際資源卻無法實現它，則這種問題在計算上是不可能實現的。如果一個密碼體制的破譯是在計算機上是不可能實現的，則該密碼體制在計算上是安全的。現有的密碼體制可分為對稱(單密鑰)體制和非對稱(雙密鑰)體制。在對稱體制中，加密密鑰和解密密鑰相同或者很容易相互推導出。對稱密碼體制必須同時滿足保密性和真實性的全部要求。直到20世紀70年代中期，所有密碼體制都是對稱密碼體制。

因此，對稱(單密鑰)制通常叫傳統(tǒng)(或經典)體制。最有代表性的傳統(tǒng)密碼體制是美國政府頒發(fā)的數據加密標準。非對稱(雙密鑰)密碼體制的加密密鑰和解密密鑰中至少有一個在計算上不可能被另一個導出。因此，在變換Ek或Dk中有一個可公開而不影響另一個的保密性。

密鑰分配仍是加密技術急需解決的問題。能否解決密鑰分配問題？問題的答案是“肯定”的。存在著兩種非?？尚械慕鉀Q方案，一個是從數學上解決，一個是從物理上解

決。教學方案就是公鑰密鑰算法，物理方案將是利用量子特性實現的量子密碼。

4.1.3經典密碼存在的問題

1.Catch22問題

安全性是密碼學研究所追求的目標，但是在保密通信中一直存在所謂的Catch22問題。該問題可描述如下：

在保密通信中，通信雙方Alice和Bob在進行保密通信之前，他們首先需要獲取密鑰，即需要獲取密鑰的秘密通信，然而這種秘密通信的安全性得不到證明。更詳細地說，即使Alice和Bob的密鑰是通過某個安全信道獲得的，仍然沒有足夠的證據能夠說明他們所獲得的密鑰是安全的，沒有充分的理由能夠說明密鑰沒有遭到敵手Eve的截擊。

2.經典密碼學的解決方案

“一次一密”雖然被Shannon證明是絕對安全的，但是也不能克服Catch22問題。因為在這種體制中通信者需要一個所謂的安全信道來獲取秘密密鑰，而在經典密碼體制中通信者無法證明安全信道是否遭到敵手的攻擊。實際上，任何經典的單鑰密碼體制都無法克服Catch22問題。

一種方案是現代密碼學中的公鑰密碼體制。這種密碼體制能在一定程度上繞過Catch22問題，但存在一些缺陷。對于公鑰密碼體制，不再需要合法通信者Alice和Bob通過安全信道交換密鑰。在保密通信的實現過程中，Alice和Bob各自產生自己的密鑰對EA、DA及EB、DB。然后他們秘密地保存各自的密鑰DA、DB，同時公開另一半密鑰EA、EB，這些密鑰對任何人都是公開的。密鑰對EA、DA及EB、DB不對稱，也就是說，由公開密鑰獲取秘密密鑰及其相反的過程的計算難度是不一樣的。

這種密碼體制的安全性依賴于相應的數

學問題，例如RSA密碼體制基于大數質因子分解的困難性，MerkleHellman背包體制及相關體制是基于子集問題的困難性，橢圓密碼體制基于代數曲線上的離散對數難解困難性，

MeEliece密碼體制基于代數編碼困難性，等等。雖然在公開密碼體制中通信者不需要安全信道，而且從理論上來說，由公開密鑰獲得秘密密鑰在計算上是不可能的，因此在公鑰密碼體制中Catch22問題似乎得到了解決，然而公鑰體制存在以下兩個不安全因素：

(1)公鑰體制是計算安全的。因為能截獲到密文y的敵手能夠利用公開密鑰Ek依次加密每一明文，直到找到一個滿足y=Ek(x)的x為止，因此公鑰密碼體制永遠不能提供無條件的安全性證明。所以從根本上來說，公鑰體制并沒有解決Catch22問題。特別是隨著數學和計算機技術的快速發(fā)展，很難保證密碼體制的安全性。例如，利用量子大數質因子分解算法，當量子計算機成為現實時，公鑰密碼體制將很容易破譯。

(２)在公鑰體制的實際應用中，通信者的密鑰往往由密鑰管理中心管理，因此合法用戶進行保密通信之前仍然需要同管理中心進行保密通信，此時不能保證密鑰的保密通信是完全安全的?；谶@兩個原因，公鑰體制不能徹底解決Catch22問題。

量子密碼體制與經典密碼體制相比，其優(yōu)點在于量子密碼體制提供了可證明的安全性和對外界干擾行為的檢測能力。由于量子密碼體制具有對外界干擾的檢測能力，它能解決經典密碼體制中一個未能解決而又很重要的問題，即在進行保密通信時能檢測敵手的存在與否。檢測的方法是：在獲取密鑰時利用量子力學原理對合法通信者間發(fā)送的量子態(tài)的擾動情況進行測試，具體做法依賴于相應的量子密鑰分配協議。在后面的討論中將看到，Catch22問題在量子密碼術中得到了徹底的解決。這使得量子密碼術格外受到密碼學界和物理學界的重視。

4.2量子密碼的概念和理論4.2.1量子密碼原理

量子密碼學基于量子力學理論，它與經典力學最重要的差別是互補性。海森堡測不準原理指出量子態(tài)的測量必將引起原來量子態(tài)的擾動，對一個量子系統(tǒng)的任何測量都不能獲取測量前該量子系統(tǒng)的全部信息。因此，當竊聽者在一個量子通信信道上對傳輸的量子態(tài)進行竊聽時，必將對原來的量子態(tài)造成不可避免的干擾，使得在量子通信信道兩端進行合法通信的雙方的測量結果發(fā)生變化，從而提醒合法用戶竊聽者的存在。這種在通信雙方原先不共享秘密的情況下產生一個隨機安全密鑰的過程就是量子密鑰分配。這一性質將使通信雙方無需事先交換密鑰即可進行絕密通信，它是量子密碼的基礎。

而且由于B的測量已經將粒子映射成新的量子態(tài)，在原理上已無法恢復出原來的量子態(tài)。同時，因為量子態(tài)不可克隆原理，保證在不知道量子測量基矢條件下不能對量子態(tài)進行有效的復制，所以B也不能通過復制接收粒子序列，以便進行多次測量來獲取相關信息。

4.2.2量子密鑰分配

量子密鑰分配就是在合法用戶Alice和Bob間傳輸單個的或糾纏的量子對，而竊聽從物理學的角度來講是竊聽者在信息載體上進行一系列測量。根據量子原理，竊聽者Eve進行的測量不可避免地會改變量子的狀態(tài)，Alice和Bob在隨后進行的公開通信中將會發(fā)現。因此量子密鑰分配的基本結構將包含一個用于交換量子信息的量子通信，以及用于測試量子信息在量子通信中傳輸是否失真的公開信道。“公開信道”表示這類信道可以被任何人自由操縱，但是操縱不可改變通過該信道的任何信息。圖4.2描述了量子密鑰分配過程，其中Alice和Bob用兩個信道相連，一為量子信道，一為公開信道。

圖4.2

盡管量子密鑰分配過程具有可證明的安全性，然而在量子加密技術(QC)實用化過程中還存在一些問題，它主要表現在以下幾個方面。

第一個問題是不知道如何才能制造出純凈的單光子脈沖，這對于大多數的應用(除了用糾纏光子對)都是很重要的。在實驗中，通常用的是弱激光。對于這類光，脈沖里的光子數是服從泊松分布的隨機變量。這就意味著一些脈沖中沒有光子，一些則包含1、2個或更多。應避免包含多于1個光子的脈沖，因為它們可能泄露信息給竊聽者。為了使每個脈沖包含一個光子的概率盡可能的低，需要使用非常微弱的脈沖，這又會降低信噪比。

通常采用的值是平均每個脈沖含0.1個光子(也就是每10個脈沖中的1個脈沖包含1個光子)，脈沖包含超過1個光子的概率是5×10-3。這表明仍然存在0.5%的可用脈沖(至少有一個光子)包含2個或更多的光子，它們會泄露信息給竊聽者。

第二個問題也是更嚴重的問題，是不丟失量子信息就不能放大。因此，由于傳輸損失的緣故，量子加密只能在有限的距離內進行。現有系統(tǒng)(基于硅纖維上的紅外線光子)的最小損耗大約是0.2dB/km。因此超過100km的量子加密系統(tǒng)(損失20dB，或傳輸率是0.01)在目前看來存在一定困難，大范圍的量子加密系統(tǒng)目前還不可能實現。

第三個問題是點對點交換很適應，但對其他類型的網絡通信亟待研究，如何構造量子網絡中的交換和中繼需要進一步研究。

4.3量子密鑰分配協議

所謂量子密鑰管理，是指在發(fā)送方和接收方不共享任何信息的基礎上，利用量子態(tài)的物理特性完成雙方共享比特串的過程，其中不管竊聽者采用任何手段進行竊聽，都不能截取共享比特串的任何有用信息。依賴于量子態(tài)的不同物理特性，量子密鑰分配協議存在著不同的分配方案，主要表現為兩大類：一類是基于非正交極化量子態(tài)的不可克隆原理的單粒子密鑰分配協議，常見的有基于四個量子態(tài)的BB84協議、基于兩個量子態(tài)的B92協議和基于六個量子態(tài)的5態(tài)協議；

另一類是依靠量子糾纏態(tài)特性的密鑰分配協議，如Ｅkert協議。和單粒子密鑰分配的協議相比，利用糾纏對的密鑰分配協議在量子態(tài)的存儲問題上也得到了測不準原理的保護，在這一點上優(yōu)越于基于非正交量子態(tài)的密鑰分配方案。下面將分別闡述這幾種協議的具體實現過程。

4.3.1BB84協議

BB84協議是C．H．Bennett和G．Brassard于1984年在Wiesner的“共軛編碼”思想的啟發(fā)下提出的。現以偏振光子為例，闡述量子密鑰分配(QKD)的基本原理。

圖4.3光子檢測器的建立

圖4.4基于單粒子密鑰分配的BB84示意圖

基于單粒子密鑰的協議過程可概括如下：

(1)量子傳輸。Alice隨機選擇單光子脈沖的極化態(tài)和基矢，將其發(fā)送給Bob。對于每個脈沖，Bob隨機選擇基矢測量，收到的比特串為原始密鑰。

(2)數據篩選。由于噪聲的作用，特別是Eve的作用，使光子態(tài)序列中光子的極化態(tài)發(fā)生變化。另外，Bob的接收器不可能百分之百得到正確的測量結果，所有那些在傳送中沒有收到的或測量失誤的比特數，在Alice和Bob通過公開信道互通測量基矢比較后全部放棄，同時計算錯誤率。最后保留所有相同基矢對應的測量結果為篩選密鑰。

(3)數據糾錯。由于Eve的作用，也不能保證篩選后Alice和Bob各自保存的比特串完全相同，解決問題最好的方法是進行交互式的糾錯算法，在糾錯中計算錯誤率和泄露出的信息量。

(4)計算壓縮參數。綜合計算出的錯誤率、糾錯時泄露給Eve的信息、信源的特性以及安全要求等因素，在理論上可計算出壓縮參數τ，以便盡可能少地讓Eve獲取密鑰信息。

(5)保密加強。利用非量子力學的保密加強原理進一步提高所得密鑰的安全性和保密性。通過保密加強算法使得密鑰的秘密性進一步加強。通過身份認證，得到具有足夠保密性的密鑰。

這種基于光子的偏振方案在自由空間里是很吸引人的，因為在自由空間里偏振態(tài)不會被破壞，但是在光纖上實現起來就復雜得多。因為在光纖里去偏振效應和隨機波動的雙折射效應同時存在，其中去偏振不是主要問題，可以采用大量的干涉源壓縮該效應。然而克服雙折射效應卻存在困難。靜止條件下雙折射波動的時間規(guī)模很短(1小時)，在已安裝的電纜上進行的一項實驗將觀察到更短的時間規(guī)模，這使得補償傳輸變得不可能。一個電子補償系統(tǒng)當然可能連續(xù)跟蹤和糾正偏振態(tài)，但是它要求Alice和Bob之間有隊列程序。在此基礎上提出的相位編碼系統(tǒng)能夠克服這些問題。

4.3.2

B92協議

B92協議的安全性依賴于量子不可克隆原理，這與前面兩種協議是完全一致的。但測量方法有所改變，

B92協議采用POVM算子測量方法，而不是前面所用的投影測量。Alice選擇兩非正交量子態(tài)之一發(fā)送給Bob，例如：

Bob用POVM接收器測量Alice發(fā)送的光子，并譯碼得到相應的比特串。

Bob通知Alice哪些時隙他可以確定測量結果正確(即選取的測量算符是E1或E2的時隙)，這些時隙對應的比特作為Alice和Bob的初始密鑰。

Alice和Bob在初始密鑰中選取一部分進行誤碼率檢測，依次來判定是否存在竊聽，決定是否交換密鑰。

4.3.3

6態(tài)協議

4.3.4Ekert協議

1992年，Ekert根據相關量子態(tài)提出了一種基于EPR關聯光子對的EPR量子密碼協議，稱之為Ekert協議。

Ekert協議的分配過程如下：仍然假設Alice和Bob是合法用戶而Eve為竊聽者。假設存在如下形式的EPR光子源，通過量子信道，沿著Z軸方向分別向Alice和Bob發(fā)送糾纏對中的兩個極化光子。

傳輸完成后，Alice和Bob在公開信道中公開宣布他們對每一對量子態(tài)進行測量所用的坐標，并把測量結果分為兩部分：第一部分為不同的坐標，第二部分為相同的坐標。首先，他們將那些一人和兩人都沒有記錄到的結果全部丟棄。接下來Alice和Bob只公開第一部分的結果，這樣他們可以根據式(4.9)確定S的值，如果沒有直接或間接干擾，合法用戶就可以確定他們得到的第二部分測量結果沒有被干擾，可以轉化成一個秘密比特串，即密鑰。

4.4量子密鑰分配協議仿真

4.4.1仿真算法的設計

由量子密鑰分配協議可知，要用經典計算機來仿真量子密鑰分配過程，關鍵問題是Alice如何制備攜帶比特信息的極化量子態(tài)，而Bob又如何來測量這些隨機發(fā)送的量子態(tài)。通過分析一個極化量子態(tài)，可以確定它完全取決于極化基和隨機的比特值，這在經典計算機上可以采用兩個變量來描述，其中一個表示極化基(⊕、

或⊙)，一個表示比特值(0或1)。

由于協議中極化量子態(tài)的極化基和比特值是隨機選擇的，因此在經典計算機中這些變量的具體取值就可以通過偽隨機數產生器產生。仿真量子密鑰分配協議的另一個關鍵技術量子態(tài)的測量。在BB84協議和6態(tài)協議中使用的是投影測量方法：當量子信道不存在Eve干擾時，Alice和Bob將獲取相同的量子態(tài)。當他們使用相同的極化基時，他們測量得到的比特值將完全相同，將Alice的極化基和比特值復制給Bob。當他們使用不同的極化基時，他們測量得到的比特值間沒有相關性，將使用偽隨機數產生器產生一個隨機值賦給Bob；當信道存在Eve干擾時，Bob從密鑰分配過程獲取的任何比特值都將取決于Eve的重發(fā)量子態(tài)。

當Bob選用的測量基與Eve發(fā)送的極化基相同時，將Eve的比特值賦值Bob，否則產生一個隨機值賦給Bob。在這種情況下，Alice和Bob盡管可能使用相同的極化基，獲得的量子態(tài)卻可能不相同，得到的比特值可能相同也可能不同，不同的結果便產生了密鑰分配的誤碼率。在B92協議中，Bob的測量方法有所改變，當他使用E1算子測量，而Alice又剛好發(fā)送|u0〉量子態(tài)時，或者Bob使用E2測量算子，而Alice發(fā)送|u1〉時，Alice和Bob得到的結果應當完全相同，可以將Alice的比特值賦值給Bob。但當Bob使用E3測量算子時，不管Alice發(fā)送的是|u0〉還是|u1〉量子態(tài)，Bob得到的結果與Alice發(fā)送的比特值沒有相關性，可以通過隨機發(fā)生器產生一個隨機數賦值給Bob。

值得說明的是，在這個模型中，僅僅假設Alice和Bob是通過理想量子信道發(fā)送和接收量子態(tài)的。當他們使用相同的發(fā)送極化基和測量極化基時，兩者比特值不相同的原因完全是由于Eve的干擾所引起的。得到篩選密鑰后，Alice和Bob隨機地從篩選密鑰中選擇一些比特值作為測試位，估算所得的篩選密鑰的誤碼率。如果這個誤碼率大于相應密鑰分配的安全標準，則認為信道是不安全的。因為信道有竊聽者存在，他們將放棄這次密鑰的分配；反之，他們將這個剩余的篩選密鑰通過糾錯算法獲取一個共享的比特串。

至于Ekert協議，由于它所依據的量子特性不同于上述三種單粒子密鑰分配過程，所以在仿真時算法設計上將有所不同。在該協議中最重要的步驟是糾纏量子態(tài)的制備。由于糾纏特性很難闡述，更不用說在經典計算機上來描述表示。然而在Ekert協議中，準備好的糾纏對在發(fā)送給Alice和Bob時都將被測量，在測量時，根據原來準備的糾纏對特性，Alice和Bob的測量結果間必存在關聯，所以可以將量子糾纏對的制備與Alice和Bob的測量同時在經典計算機上進行描述。在Eve沒有干擾的情況下，若量子糾纏對為下式的形式：

4.4.2BB84協議仿真及結果分析

BB84協議的計算機仿真按照該協議的步驟來模擬，同時給出了一些參數的控制功能。Eve的干擾考慮兩種情況：一是沒有竊聽，Alice和Bob安全地通信；二是Eve安全竊聽，Alice發(fā)送給Bob的信息全部被Eve截獲，然后Eve再發(fā)送給Bob，即Eve采取截獲／重發(fā)方式竊聽。

1.BB84協議仿真

根據BB84協議，在參考BB84簡單模型的基礎上，現將該量子密鑰分配協議的計算機仿真總體設計分為五個部分：第一部分是Alice量子態(tài)的制備，第二部分是Eve的竊聽，第三部分是Bob的測量，第四部分是誤碼率的估算，第五部分判斷是否交換密鑰。圖4.5是該量子密鑰分配協議仿真系統(tǒng)程序的流程圖。

圖4.5

BB84協議仿真程序流程圖

第一部分是Alice量子態(tài)的制備。Alice首先隨機地選取發(fā)送基序列，然后根據發(fā)送基序列將要發(fā)送的0、1比特序列轉換成光子，完成該功能，其轉換規(guī)則如下：

程序中光子的偏振態(tài)用向量{基，ket[bit]{來描述，“基”對應于發(fā)送時所選的發(fā)送基“RectilinearBasis(垂直水平正交基)”或“DiagonalBasis(45°傾斜正交基)”，“ket[bit]”對應于右矢ket[0]或ket[1]。這里用圖示的形式來描述Alice的發(fā)送過程，如圖4.6所示。

圖4.6

Alice

制備的極化光子序列

此時存在兩種情況：一是Eve完全竊聽，她隨機地選取檢測用的基序列，截獲并測量Alice發(fā)送給Bob的光子，得到自己的比特序列，然后再將自己的比特序列如同Alice一樣轉換成光子，發(fā)送給Bob。另一種是Eve沒有竊聽，這時相當于Eve是透明的，她直接將截獲的光子發(fā)送給Bob(雖然量子態(tài)是不可克隆的，但在程序實現時可以通過Eve復制Alice極化態(tài)的方式來模擬Eve沒有竊聽的情況，這樣使得Eve有竊聽和Eve沒有竊聽兩種情況統(tǒng)一起來，使程序簡單化)。

第二部分：對于Eve有竊聽的情況，截獲重發(fā)過程圖形化的描述如圖4.7所示。當Eve選擇的測量基與Alice發(fā)送基相同時，可得到相同的比特值，其轉換規(guī)則如式(4.13)所示。對于竊聽的情況，此處不再描述，Eve應該完全與Alice發(fā)送的消息序列相同。

圖4.7

Eve竊聽后得到的消息序列

第三部分是Bob的測量。Bob首先隨機地選取測量用的基，然后Bob根據這些基和接收到的光子，進行譯碼得到自己的比特序列。Bob操作圖形化的描述如圖4.8所示。圖4.8Bob測量后得到的消息序列

第四部分是對密鑰分配過程的誤碼率的估測。比較Alice和Bob的基，他們相同的基所對應的比特就是初始密鑰，然后在獲得的初始密鑰中隨機地選取一部分進行比較，計算出其誤碼率?？赏ㄟ^圖4.9所示的圖形化方式來描述這個測試過程。圖4.9

第五部分是決定Alice和Bob是否交換密鑰。根據第四部分給出的誤碼率來判斷這次密鑰交換是否成功。為了簡單起見，現僅考慮無噪聲量子傳輸信道的情況，即沒有竊聽時，Alice和Bob的誤碼率為0，只要有竊聽，誤碼率就大于0。所以如果誤碼率大于0，則此次密鑰分配失敗，不交換密鑰。如果誤碼率不大于0，則此次密鑰分配成功。圖４.10是一次成功的密鑰分配，獲得的交換密鑰為：{{{1}，{0}，{0}，{0}，{1}}，{{1}，{0}，{0}，{0}，{1}}}。前一部分是Alice的最終密鑰，最后一部分是Bob的最終密鑰。圖4.10依據BB84協議Alice與Bob共同獲取安全密鑰的密鑰分配過程

2.關于誤碼率和發(fā)送光子數的討論

上面的仿真是根據誤碼率判定傳輸過程是否存在竊聽，同時是以誤碼率是否大于0作為判斷標準的，即是在一種理想的、無干擾的系統(tǒng)中得出的判定標準。在實際的通信系統(tǒng)中，傳輸過程不可能做到無干擾，這時，即使Eve沒有竊聽，在Bob選對基的情況下，由于量子信道及系統(tǒng)的其他部分的干擾，Bob譯碼得到的比特也有可能出錯。在這里將考慮不同允許誤碼率情況，Alice和Bob為了獲得有效密鑰，Alice至少發(fā)送多少量子比特的問題。

首先，給出一個假設，在密鑰分配的最后，Alice和Bob至少獲得5個(或以上)的比特才算是有效密鑰。在這個假設的基礎上，可以作為另一個假設，在進行誤碼率估算時，將測試用的比特數固定為10，這樣可以簡化問題，同時簡化仿真程序。

在上面兩個假設的基礎上，進行不同誤碼率下的BB84協議仿真，具體步驟如下：

(1)將誤碼率判定標準定為0.01×i(i=1)，即估測誤碼率大于0.01時，認為存在竊聽。

(2)將Alice要發(fā)送的比特數的初始值設定為15(其中5個是密鑰長度，10個是測試位長度)，進行一次密鑰分配。

(3)如果不能產生有效密鑰，即密鑰分配失敗，則將需要發(fā)送的粒子數加1，再進行一次密鑰分配。

(4)如果不能產生有效密鑰，則不斷重復步驟(3)，直至得到一次有效密鑰為止，并返回此時所需要的粒子數值。

(5)重復步驟(2)得到步驟(4)100次，得到100個需要的粒子數值，算出這些值的平均值，就是對于允許誤碼率為0.01時Alice所需發(fā)送的比特數。

(6)改變i的值(i=0，1，2，…，25)，重復步驟(2)~(5)，可以得出26種允許誤碼率情況下Alice所需發(fā)送的比特數。

現以15個比特作為密鑰分配的初始值，根據26個坐標點可以描繪出Alice所需發(fā)送比特數和誤碼率的關系曲線，如圖4.11所示。

圖4.11

Alice所需發(fā)送比特數和誤碼率的關系

從圖4.11所示的曲線可以看出，隨著允許誤碼率的增加，Alice所發(fā)送的比特數總體上是減小的，這與理論分析結果相符合。注意曲線在p=0.1處有一個很大的下降趨勢，在0≤p

≤0.1的范圍內，Alice所需要的發(fā)送比特數基本保持一致，在34~36之間擺動，而在0.1≤

p≤0.25的范圍內曲線有一個下降的趨勢。

使用同樣的算法，進一步將每一種誤碼率作1000次有效密鑰分配，得到圖4.12所示的曲線。我們發(fā)現在p=0.1處的這個躍變不是一個巧合，它是由協議本身決定的。下面將對此作一簡單解釋。

圖4.12

Alice所需發(fā)送比特數和誤碼率的關系統(tǒng)計平均曲線

4.4.6

6態(tài)協議仿真及結果分析

1.

6態(tài)協議仿真

6態(tài)算法的計算機仿真程序在主干程序上和BB84的一樣，也分為五個部分：第一部分是Alice的操作，第二部分是Eve的操作，第三部分是Bob的操作，第四部分是誤碼率的估算，第五部分決定是否交換密鑰。在具體實現時有點差異，表現為以下幾個方面：

(1)測試位數的估算。因為BB84協議在完全隨機的條件下，Bob能獲取75%的Alice發(fā)送的比特串，而在6態(tài)協議中，這個比例下降為66.7%

(2)由于極化基在仿真中表述為一個隨機數，BB84協議和6態(tài)協議在隨機數的選取上存在差異，BB84協議要求兩種極化基出現的概率都為0.5，而6態(tài)協議需要控制在1/3左右。

(3)比特串與極化光子的映射中要加入基于極化基☉部分。

整個6態(tài)協議的仿真結果如圖4.13

~圖4.15所示。該實例中由于竊聽者Eve的干擾，使得信道不再安全，Alice和Bob將放棄這次密鑰分配，如圖4.16所示。

圖4.13Alice制備極化光子序列圖4.14Bob進行測量獲得消息序列

圖4.15Alice和Bob通過公共信道進行測試

圖4.16依據6態(tài)協議Alice與Bob放棄這次密鑰分配

2.關于誤碼率和發(fā)送光子數的討論

在上面的仿真中，根據誤碼率判定傳輸過程是否存在竊聽時，是以誤碼率是否大于0作為標準的，即是在一種理想的、無干擾的系統(tǒng)中得出的判斷標準。在實際的通信系統(tǒng)中，不可能做到無干擾。這時，即使Eve沒有竊聽，在Bob選對基的情況下，由于量子信道及系統(tǒng)其他部分的干擾，Bob譯碼出的比特也有可能出錯。和BB84協議一樣，討論不同允許誤碼率的情況下，Alice和Bob為了獲得有效密鑰，6態(tài)協議中Alice至少要發(fā)送多少比特。

仿真的程序思路和BB84協議一樣，將允許誤碼率分為26個點，仿真實現后，根據26個坐標點可以描繪出Alice所需發(fā)送比特數和誤碼率的關系曲線，如圖4.17所示。

圖4.17

6態(tài)協議Alice所需發(fā)送比特數和誤碼率的關系曲線

從圖4.17所示的曲線可以看出，隨著誤碼率的增加，Alice所發(fā)送的比特數總體上是減小的，和理論上分析的結果大致符合。在0≤p<0.1范圍內，Alice所需發(fā)送的比特數基本保持一致，在60~62之間擺動；而在0.1<ｐ≤0.25范圍內曲線有一個下降的趨勢。6態(tài)協議中Alice所需的粒子數大于BB84協議的粒子數，這是因為6態(tài)協議的效率低于BB84協議的緣故。

4.4.4B92協議仿真及結果分析

B92協議的計算機仿真大體上和BB84協議一樣，主要是在譯碼的檢測方法上有所不同。BB84協議和6態(tài)算法的譯碼檢測都是采用投影測量，而B92協議采用ＰＯＶＭ測量，因此仿真程序的算法實現上存在不同。

B92協議中首先要給出發(fā)送用的兩個態(tài)|ψ1〉和|ψ2〉及測量用的三個算子E1、E2、E3，總過程和BB84及6態(tài)協議一樣，也分為五個部分。

第一部分是Alice的操作仿真，如圖4.18所示。

圖4.18

B92協議中Alice制備極化光子

第二部分是Eve的操作仿真，此時使用POVM算子測量，測量的規(guī)則如下：

(1)用算子E1(Ⅰ)測量，如果結果為0，那么譯碼為0，否則譯碼為1；

(2)用算子E2(Ⅱ)測量，如果結果為0，那么譯碼為1，否則譯碼為0；

(3)用算子E3(Ⅲ)測量，得不到準確的譯碼，隨機選取0、1作為譯碼輸出，獲得如圖4.19所示的結果。

圖4.19

Eve通過POVM測量算符進行竊聽

如果Eve存在竊聽，則Eve將根據測量后的結果重新產生新的量子態(tài)發(fā)送給Bob；如果Eve不存在，則這一步驟將Alice的結果復制給Bob，這使得仿真程序能夠同時實現有竊聽和沒有竊聽兩種情況。

第三部分是Bob的測量仿真，遵循

POVM測量規(guī)則，獲得如圖4.20所示的結果。

4.20

Bob通過POVM測量算符獲取的消息序列

第四部分是對整個密鑰分配過程中的誤碼率的估測。查看Bob選取的算子，只有當算子為E1(Ⅰ)或E2(Ⅱ)時，Bob才能準確地譯碼，此時所對應的比特就是初始密鑰，然后在獲得的初始密鑰中隨機地選擇一部分進行比較，計算誤碼率，如圖4.21所示。

圖4.21

Alice與Bob間通過公共信道進行測試

第五部分是決定Alice和Bob是否交換密鑰，根據第四部分給出的誤碼來判斷這次密鑰交換是否成功。為了簡單起見，現只考慮無噪聲量子傳輸信道的情況。如果誤碼率大于0，則認為此次密鑰分配失敗，不交換密鑰。如果誤碼率不大于0，則此次密鑰分配成功。在Eve沒有竊聽的情況下，得到如圖4.22所示的結果。其交換密鑰為{{{1}，{0}，{1}，{0}，{0}，{1}，{0}，{1}}，{{1}，{0}，{1}，{0}，{0}，{1}，{0}，{1}}}，前一部分是Alice的最終密鑰，后一部分是Bob的最終密鑰。

圖4.22

Alice和Bob間在B92協議下獲取安全的密鑰

4.4.5幾種量子加密算法的比較分析

以上幾小節(jié)分別描述了對BB84協議及B92協議的計算機仿真程序，本小節(jié)將以上的一些仿真結果和理論上的結論進行比較，觀察它和理論是否符合，并且將各種算法進行比較，觀察其保密效果。

為了比較不同量子密鑰分配協議的安全性，應該研究各種竊聽方式。這里，只集中考慮“不連續(xù)攻擊”竊聽方式，也稱為截取/重發(fā)竊聽方式。

對于6態(tài)系統(tǒng)，它有三個發(fā)送基，歸為一個3維系統(tǒng)。同樣的，BB84協議可以歸為一個2維系統(tǒng)。理論上，可以給出Alice和Eve的互信息量與誤碼率的函數關系。

通過編程，可獲得6態(tài)系統(tǒng)及4態(tài)系統(tǒng)中Alice和Bob間以及Alice和Eve間的互信息與干擾程度間的關系理論曲線，如圖4.23所示。在仿真程序中考慮Eve不同竊聽程度情況下，即竊聽Alice發(fā)送信息的{10%，20%，30%，…，100%}，Eve從密鑰分配中獲取的信息與它引起干擾間的關系。為了消除每次密鑰分配過程中隨機數產生的影響，對每一種情況，進行100次的密鑰分配，統(tǒng)計出每一次的Alice和Eve的互信息量與誤碼率，然后在統(tǒng)計上給出他們在某個誤碼率下的Alice和Eve的互信息量。這樣，就可以給出10種誤碼率下的互信息量，再將這些{誤碼率，互信息量}的點在坐標空間中連起來，可以得到實驗的互信息量和誤碼率的關系圖，如圖4.24所示。

圖4.23理論上Alice和Eve的互信息量與干擾程度間的關系圖

圖4.24實驗中Alice和Eve互信息量與干擾程度間的關系曲線

對于系統(tǒng)的安全性而言，Alice和Eve之間的互信息量越小，安全性就越高。從上面兩圖(即圖4.23和圖4.24)可以得出三種算法的安全性。結合前面幾小節(jié)中誤碼率和發(fā)送光子數的討論，可以給出三種系統(tǒng)的密鑰傳輸的效率，如表4.2所示。

可以看出，安全性和效率兩個方面是互補的，一方面的提高是以另一方面的降低為代價的，這和經典信息論中的結論是一致的。除此之外，這三種密鑰分配協議都是以單粒子的極化量子態(tài)特性為基礎，因而在仿真程序設計中具有很大的相似性。

4.5量子密碼安全性分析

在理想的情況下量子密鑰分配協議具有可證明的安全性。單粒子密鑰分配協議的安全性依賴處于非正交量子態(tài)的不可克隆原理，然而，兩個非正交量子態(tài)可通過概率克隆機進行概率克隆，這與保證單粒子密鑰分配協議安全性的不可克隆原理相矛盾，直接威脅著單粒子密鑰分配協議的安全性。

4.5.2

Ekert協議安全性證明

4.6量子安全直接通信

量子加密依賴于量子密鑰的建立，一旦建立了密鑰，借鑒經典通信方法，通信雙方就可以安全地傳輸信息而不會泄露信息的內容。在基于安全量子密鑰的量子通信基礎上，人們又提出了量子安全直接通信，為量子加密提供了另一種途徑。

通常把通信雙方以量子態(tài)為信息載體，利用量子力學原理和各種量子特性，通過量子信道傳輸，在通信雙方之間安全地、無泄漏地直接傳輸有效信息，特別是機密信息的方法，稱為量子安全直接通信。量子安全直接通信的概念是2003年提出的。在此之前，Berge等人提出了確定的安全通信，Bostrom和Felbinger于2002年提出了一個安全直接通信模型。在此基礎上，Deng等人提出了量子安全直接通信的理論模型。

量子安全直接通信作為一個安全的直接通信方式，它應該具有直接通信與安全通信這兩大特點，因而它需要滿足兩個基本要求：

①作為合法的接收者Bob，當他接收到作為信息載體的量子態(tài)后，應該能直接讀出發(fā)送者Alice發(fā)來的機密信息，表現為對于攜帶機密信息的量子比特，Bob不需要與發(fā)送者Alice交換另外的經典輔助信息；

②即使竊聽者Eve監(jiān)聽量子信道，她也得不到任何機密信息，即她得到的只是一個隨機的測量結果。

回顧QKD，我們發(fā)現它之所以是一種安全的產生密鑰的方式，其本質在于通信的雙方Alice和Bob能夠判斷是否有人竊聽量子信道，而不是竊聽者Eve不能監(jiān)聽量子信道。事實上，竊聽者是否監(jiān)聽量子信道不是量子力學原理所能束縛的，量子力學原理只能保證竊聽者不能得到量子信號的完備信息，使竊聽行為會在接受者Bob的測量結果中有所表現，即會留下痕跡。由此Alice和Bob可以判斷他們通過量子信道傳輸得到的量子數據是否可以用于經典的一次一密。

QKD正是利用了這一特點來達到安全分配密鑰的目的。而QKD的安全性分析是一種基于概率統(tǒng)計理論的分析，為此，通信雙方需要做隨機采樣統(tǒng)計分析。QKD的另一個特征在于Alice和Bob如果發(fā)現有人監(jiān)聽量子信道，那么他們可以拋棄經常傳輸的結果，從頭開始傳輸量子比特，直到他們得到沒有人竊聽量子信道的傳輸結果，這樣他們不會泄露機密信息。

既然量子安全直接通信傳輸的是機密信息本身Alice和Bob就不能簡單地采用當發(fā)現有人竊聽時拋棄傳輸結果的辦法來保障機密信息不會泄露給Eve。由此，量子安全直接通信(QSDC)的要求要比QKD更高，使Alice和Bob必須在機密信息泄露前就能判斷竊聽者Eve是否監(jiān)聽了量子信道，即能判斷量子信道的安全性。量子通信的安全性分析都是基于采樣統(tǒng)計分析，因此，在安全分析前Alice和Bob需要有一批隨機采樣數據。這就要求QSDC中的量子數據必須以塊狀傳輸。只有這樣，Alice和Bob才能從塊狀傳輸的量子數據中做采樣分析。綜合QSDC的基本要求可得，判斷一個量子通信方案是否是一個真正的QSDC的4個基本依據是：

(1)除因安全檢測的需要而相對于整個通信可以忽略的少量的經典信息交流外，接收者Bob接收到傳輸的所有量子態(tài)后可以直接讀出機密信息，原則上對攜帶機密信息的量子比特不再需要輔助的經典信息交換；

(2)即使竊聽者監(jiān)聽量子信道，他也得不到機密信息，他得到的只是一個隨機的結果，不包含任何機密信息；

(3)通信雙方在機密信息泄露前能夠準確判斷是否有人監(jiān)聽量子信道；

(4)以量子態(tài)為信息載體的量子數據必須以塊狀傳輸。

4.6.1乒乓量子安全直接通信協議

“乒乓協議”包括兩種通信方式：Alice以概率進入消息模式和以概率進入控制模式。下面分別對這兩種模式進行分析。

1.消息模式

Bob以|ψ+〉方式制備兩個光子，它自己保留其中的一個光子，稱為本地光子，將另一個光子(稱為傳播光子)通過量子信道發(fā)送給Alice，這個過程稱為B→A；Alice對它所接收到的傳播光子進行編碼，按照通信雙方事先約定好的編碼規(guī)則進行，如果它要傳給Bob的信息是1就對傳播光子進行σz操作，如果它要傳給Bob的信息是0就不對傳播光子進行任何操作。接著它將編碼后的傳播光子進行貝爾基的聯合測量，由測量結果把態(tài)

|ψ+〉和歸一化操作Ⅰ與經典二進制“0”對應，態(tài)

|ψ-〉和操作σz與經典二進制“１”對應，可以解碼出Alice發(fā)送過來的信息，也即一個光子來回傳送兩次，Bob便從Alice那里得到1比特的信息。

由以上分析可以看出，不管是在消息模式