量子保密通信安全性浅析

2016年8月16日，我国成功将世界首颗量子科学实验卫星“墨子号”发射升空，其主要任务之一是进行星地高速量子密钥分配实验，同时进行广域量子密钥网络实验。本文目的是介绍量子保密通信基本概念，简单分析其安全性，并展望其未来。

保密通信系统安全性基本概念

传统的保密通信安全性依赖于密码系统的安全性，其安全性等级依次递增分为：计算安全性，可证明安全性，无条件安全性。

计算上安全：如果需要最少 N 次操作才能成功攻破一个密码系统，而 N 是一个非常大的数，则称为计算安全。

可证明安全性：将系统的安全性降至已知的某些难题水平上，则称此密码系统为“可证明安全”，但其不是严格证明的安全。

无条件安全：如果拥有无限计算资源攻击者无法成功攻破一个密码体系，那么它就是无条件安全的，例如“onetime pad”算法无条件安全性。

量子保密通信之所以被称为绝对安全，就在于它使用的是“one-time pad”算法，该算法要求密码与明文一样长，而且是一次一密。量子保密通信首先是，通过量子密钥分配系统利用量子力学原理建立的安全通道产生绝对安全的密钥，然后，再运用“one-time pad”算法加密明文传输，实现绝对安全的保密通信机制。因此，量子密钥分配系统产生密钥是通过一系列的协议操作形成的“one-time pad”算法中的密钥。

典型量子密钥分配协议

目前，量子密钥分配协议使用最多并最具代表性的是BB84协议，它标志着量子保密通信的真正开始。

BB84协议使用四个非正交态作为量子信息态，信息载体是单光子，两个互相正交的偏振方向可用来表示“1”和“0”。在 BB84 协议中需要两组不同的正交基，分别为水平偏振基矢和 45 ℃偏振基矢，记为｛↑，→｝，｛↖，↗｝。对应这两组偏振基矢量，接收端对应有两种测量仪器｛×，+｝；对水平偏振光子，+得到确定的测量结果。对45℃的偏振光，用×得到确定的测量结果；BB84协议的通信过程可以分为经典信道传输和量子信道传输两个阶段。

一、在量子通道上传输

a. 发送方随机对光子的偏振方向进行0°、45°、90°和 135°调制，然后将得到的光子序列信息发给接收方。

b. 接收方随机选用一组测量基来测量接收到的光子。

二、在经典通道上传输

c. 通过公开的经典通道，接收端告诉发送方其所用的测量基顺序，但不公开测量结果。

d. 发送方对比收发双方基顺序后，通知接收方哪些测量基与自己使用的基矢量是一致的。但是不公布所发光子的偏振态。

e. 当收发双方所选用的基矢量相同，测量得到的比特将留作共同密钥。丢弃基矢量不相同的测量结果。

f. 双方从各自的测量结果中选取一部分数据在公共信道中进行比对，如果存在窃听者，则两方公布的结果出错率就会升高，由此可以判断该次通信是否安全。

g. 如果发现没有窃听，保留剩余数据，经过处理后可作为密钥。

对于噪声信道，量子密钥分配在产生原始数据后，还要进行数据筛选、数纠错、保密增强等过程，以防信息被窃听。牛津大学的ArturEkert受此启发提出了EPR协议。该协议通信过程与前面类似，而Bell不等式保障了协议的安全性。EPR协议原理是先制备一对EPR光子，然后用此EPR光子对来产生通信双方间的共享密钥。如果发生任何窃听，将会因破坏EPR关联而被发现。

量子密钥分配系统的实际安全性浅析

量子密钥分配系统的安全性决定着量子保密通信的绝对安全性，本节重点分析BB84协议的安全性。

虽然BB84协议的安全性已经在理论上被证明，但由于各种器件的不完美性导致实际量子密钥分配系统仍存在安全漏洞。实际器件不完美性的影响主要有：

（1）光源。理想的单光子源是量子密钥分配协议所需要的，但目前缺乏可供使用的稳定高效的单光子源。因此光源存在着不可避免的多光子可能使得黑客利用其进行光子数分裂攻击。

（2）有源光学器件。实际量子密钥分配系统中常采用有源光学器件都需要通过调节加载在其上的电压。窃听者可利用电压上升沿或者下降沿人为地提前或滞后光脉冲到达器件的时间，对量子密钥分配系统进行相位重映射等攻击。

（3）探测器。探测器效率不匹配、测量死亡时间等都可能被攻击者利用进行攻击。

为抵御光子数分裂攻击，Wang和Lo等提出了双诱骗态QKD 协议和无穷维诱骗态 QKD 协议，并给出了严格的安全性证明。诱骗态协议的核心原理是基于攻击中对单光子和多光子不一样的通过效率，即通过“诱骗态”协议可以保护单光子成分的效率不被黑客修改，而单光子成分则是量子密钥分配系统中可以提取安全密钥的有效成分。需要注意的是由于系统中用于调节光强度的调制器可能存在啁啾现象而使得光脉冲的频谱发生变化，故黑客有可能通过这一变化来破坏诱骗态方法的有效性。2010年，中国科技大学潘建伟研究小组基于超导单光子探测器和普通商用光纤实现了200km 光纤的诱骗态量子密钥分配。

加拿大的Lo教授于2012年提出的测量设备无关的量子密钥分配协议很好地关闭了测量端的所有漏洞，自动对探测端量子黑客攻击免疫。该方法本质是利用时间反演的基于纠缠分发的协议，故可以移除所有的探测器侧信道.测量设备无关的量子密钥分配协议还可以与诱骗态结合更进一步提高量子密钥分配系统的安全性。2014年，中国科技大学潘建伟研究小组基于超导单光子探测器和普通光纤实现了200km 光纤的测量设备无关的量子密钥分配。2016年8月卫星“墨子号”发射升空，也进行了星地高速量子密钥分配实验。

量子保密通信的未来展望

从BB84协议，到诱骗态协议，再到测量无关量子密钥分配协议，系统无论从理论上，还是实验上都经历了跨越式的发展。尽管量子密钥分配研究取得如此巨大的进展，但要在实际应用中要保证绝对安全还有很长的路要走。

量子密钥分配未来的发展方向一是进一步降低系统对硬件的特殊要求，并提高系统的安全传输距离和密钥成码率。二是实现网络化量子密钥分配，即多点对多点的量子密钥分配。三是小型化与易操作化，即实现量子密钥分配系统的集成化、小型化，更加方便携带和实用化。且其操作不再需要专业人员，普通大众皆可对其进行操作。

随着技术的发展，各种新的攻击手段一定会不断涌现，对量子密码通信提出挑战。但魔高一尺，道高一丈，人们也针对其他不同攻击提出了不同防御措施，我们有理由相信未来绝对安全量子保密通信一定会实现，墨子号的升空和成功运行就说明了这一点。

10.3969/j.issn.1001- 8972.2016.19.006