量子密码术是量子物理学和密码学相结合的一门新兴交叉科学，它成功地解决了传统密码学中单靠数学无法解决的问题并引起国际上高度的重视，是主要应用于量子信息领域的一个重要课题。随着单光子探测等技术的不断发展，量子密码通信技术在全光网络和卫星通信等领域的应用潜力会不断挖掘并成为现实，当量子计算机成为现实时经典密码体制将无安全可言，量子密码术将成为保护数据安全的最佳选择之一。本文的工作分为三大部分:

一、论文首先对各种不同的量子密钥分配方案进行了描述。详细探讨了BB84的原理及实现流程。在此基础上还分别介绍了B92和EPR这两种经典协议的原理和大概的工作流程。并描述了基于BB84协议和B92协议的4+2协议，证实了4+2协议相对BB84协议和B92协议具有更强的稳健性。

二、对量子传输的整个流程，如量子传输，筛选数据，数据纠错，保密增强，身份认证，做整体的描述。并对目前的两种主要量子密钥系统的工作原理和实现机制做了简单介绍。最后还提及到基于VPN网络的量子密钥分配系统，该系统对于实现量子通信网络是大有帮助的。

三、即插即用量子分发系统方案。在该部分，我们在本实验室现有的条件下，提出了实际的量子保密通信系统，比对系统的主要技术单元，系统的工作流程和硬件接口做了介绍，最好还简单提及到系统的安全性问题。

作者：米景隆 华南师范大学信息光电子科

第一章 保密通信

1.1 引言

    传统的加密系统，不管是对密钥技术还是公钥技术，其密文的安全性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成，一旦密钥建立起来，通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥，发送方与接收方必须选择一条安全可靠的通信信道，但由于截收者的存在，从技术上来说，真正的安全很难保证，而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。近年来，由于量子力学和密码学的结合，诞生了量子密码学，它可完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统，它从根本上解决量子特性不可忽视，测量动作是量子力学的一个组成部分。在这些规律中，对量子密码学起关键作用的是Heisenberg测不准原理，即测量量子系统时通常会对该系统产生干扰，并产生出关于该系统测量前状态的不完整信息，因此任何对于量子信道进行监测的努力都会以某种检测的方式干扰在此信道中传输的信息。

1.2 经典保密通信

    一般而言，加密体系有两大类别，公钥加密体系与私钥加密体系。经典保密通信原理如下图1一1所示:

密码通信是依靠密钥、加密算法、密码传送、解密、解密算法的保密来保证其安全性.它的基本目的使把机密信息变成只有自己或自己授权的人才能认得的乱码。具体操作时都要使用密码讲明文变为密文，称为加密，密码称为密钥。完成加密的规则称为加密算法。讲密文传送到收信方称为密码传送。把密文变为明文称为解密，完成解密的规则称为解密算法。如果使用对称密码算法，则K＝K’ , 如果使用公开密码算法，则K 与K’ 不同。整个通信系统得安全性寓于密钥之中。

    公钥加密体系基于单向函数(one way function)。即给定x，很容易计算出F (x)，但其逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。举例而言，RSA (Rivest, Shamir, Adleman ) 即是具有代表性的公开密钥算法，其保密性建立在分解有大素数因子的合数的基础上。公钥体系由于其简单方便的特性在最近20年得以普及，现代电子商务保密信息量的95%依赖于RSA算法。但其存在以下主要缺陷。首先，人们尚无法从理论上证明算法的不可破性，尽管对于己知的算法，计算所需的时间随输入的比特数呈指数增加，我们只要增加密钥的长度即可提高加密体系的安全性，但没人能够肯定是否存在更为先进的快速算法。其次，随着量子计算机技术的迅速发展，以往经典计算机难以求解的问题，量子计算机可以迎刃而解。例如应用肖氏(Shor's )量子分解因式算法可以在多项式时间内轻易破解加密算法。

    另一种广泛使用的加密体系则基于公开算法和相对前者较短的私钥。例如DES (Data Encryption Standard, 1977)使用的便是56位密钥和相同的加密和解密算法。这种体系的安全性，同样取决于计算能力以及窃听者所需的计算时间。事实上，1917年由Vernam提出的“一次一密乱码本”(one time pad) 是唯一被证明的完善保密系统。这种密码需要一个与所传消息一样长度的密码本，并且这一密码本只能使用一次。然而在实际应用中，由于合法的通信双方(记做Alice和Bob)在获取共享密钥之前所进行的通信的安全不能得到保证，这一加密体系未能得以广泛应用。

现代密码学认为，任何加密体系的加密解密算法都是可以公开的，其安全性在于密钥的保密性。实际上，由于存在被动窃听的可能性，如果通信双方完全通过在经典信道上传输经典信息，则在双方之间建立保密的密钥是不可能的。然而，量子物理学的介入彻底改变了这一状况。

1.3 量子保密通信

    量子密码学的理论基础是量子力学，而以往密码学的理论基础是数学。与传统密码学不同，量子密码学利用物理学原理保护信息。首先想到将量子物理用于密码技术的是美国科学家威斯纳。威斯纳在“ 海森堡测不准原理”和“ 单量子不可复制定理”的基础上，逐渐建立了量子密码的概念。“海森堡测不准原理”是量子力学的基本原理，指在同一时刻以相同精度测定量子的位置与动量是不可能的，只能精确测定两者之一。“ 单量子不可复制定理”是“ 海森堡测不准原理”的推论，它指在不知道量子状态的情况下复制单个量子是不可能的，因为要复制单个量子就只能先作测量，测量这一量子系统会对该系统产生干扰并且会产生出关于该系统测量前状态的不完整信息。因此，窃听一量子通信信道就会产生不可避免的干扰，合法的通信双方则可由此而察觉到有人在窃听。量子密码术利用这一原理，使从未见过面且事先没有共享秘密信息的通信双方建立通信密钥，然后再采用shannon 已证明的是完善保密的一次一密钥密码通信，即可确保双方的秘密不泄漏。

    关于“ 量子密码”的设想可表述为：由电磁能产生的量子（如光子）可以充当为密码解码的一次性使用的“钥匙”。每个量子代表" 比特含量的信息，量子的极化方式（ 波的运动方向）代表数字化信息的数码。量子一般能以四种方式极化，水平的和垂直的，而且互为一组；两条对角线的，也是互为一组。代表量子信息得0和1就有这些彼此正交得偏振态来表示。这样，每发送出一串量子，就代表一组数字化信息。而每次只送出一个量子，就可以有效地排除黑客窃取更多的解密“ 量子密码”的可能性。因为量子码是组成单光子得所以子波相干叠加以后形成的，从其中分出的一部分就知道量子码是不可能。而起对单光子的任何操作，都会使原来的量子状态发生变化。例如，有一个窃密黑客开始向“ 量子密码”进行窃听，窃密黑客必须先用接收设施从发射出的一连串量子中吸去一个量子。这时，发射密码的一方就会发现发射出的量子流出现了空格。于是，窃密黑客为了填补这个空格，不得不再发射一个量子。但是，由于量子密码是利用量子的极化方式编排密码的，根据量子力学原理，同时检测出量子的四种极化方式是完全不可能的，窃密黑客不得不根据自己的猜测随便填补一个量子，这个量子由于极化方式的不同很快就会被发现。

1.4 量子密钥分配原理

    量子密钥分配原理来源于光子偏振的原理：光子在传播时，不断地振动。光子振动的方向是任意的，既可能沿水平方向振动，也可能沿垂直方向，更多的是沿某一倾斜的方向振动。如果一大批光子以沿同样的方向振动则称为偏振光。如果相反，沿各种不同的方向振动的光称为非偏振光。通常生活中的光如日光、照明灯光等都是非偏振光。偏振滤光器（偏振片）只允许沿特定方向的偏振的光子通过，并吸收其余的光子。这是因为经过偏振滤光器时，每个光子都有突然改变偏振方向，并使偏振方向与偏振滤光器的倾斜方向一致的可能性。设光子的偏振方向与偏振滤光器的倾斜方向的夹角为α。当α 很小时，光子改变偏振方向并通过偏振滤光器的概率大，否则就小。特别是当α=900,，其概率为0，α=450时，其概率为0.5；α=0，其概率为1。可以在任意基上测量极化强度：直角的两个方向。一个基的例子就是直线：水平线和直线；另一个就是对角线：左对角线和右对角线。如果一个光子脉冲在一个给定的基上被极化，而且又在同一个基上测量，就能够得到极化强度。如果在一个错误的基上测量极化强度的话，将得到随机结果。因此，可以使用这个特性来产生密钥。量子密钥分配原理就是基于这一原理的。

    首先想到将量子力学用于密码术的是美国的威斯纳 ,他在1970 年提出用共轭编码制造不可伪造的“电子钞票”,但他的方案需要能长时间保存单量子态,不大现实,因而他的大胆设想未被接受,论文遗憾地被拒绝刊登, 直到1983 年才得以在会议录上发表。后来，在同威斯纳的讨论中，Bennett 和Brassard 受.到启发,认识到单量子虽不好保存但可用于传输信息. 1984 年,他们提出第一个量子密码术方案,用单光子偏振态编码,现在称之为BB84协议 ,迎来了量子密码术新时期. 1992 年,Bennett 又提出一种与BB84 协议类似而更简单、但效率减半的方案,后称之为B92 协议 .基于另一种量子现象即Einstein - Podolsky -Rosen ( EPR) 佯谬,Ekert 于1991 年提出用双量子纠缠态实现量子密码术,称为EPR 协议 .后来也出现了不少其他协议,但都可归纳为以上三种类型. 这里所说的量子密码通信其实不在于密码通信本身,量子密码术不是用于传输密文,而是用于建立、传输密码本,这个密码本是绝对安全的,并且,根据海森伯不确定性原理,任何窃听者的存在都会被发现.

    现在人们正努力使量子密码技术走向实用。目前，在量子密码术实验研究上进展最快的国家为英国、瑞士和美国。其实在1989年科学家们成功研制出世界上第一个量子密钥分配的原型样机时，它的工作距离仅为32 厘米。1995 年英国电信在长达30 公里的光纤上实现了量子密钥的传送，差错率仅为1.2％～4 ％，在同一年瑞士日内瓦大学在日内瓦湖底铺设的23 公里长民用光通信光缆中进行了实地表演，误码率为3.4％。1999 年瑞典和日本合作，在光纤中成功地进行了40 公里的量子密码通信实验。而美国洛斯阿拉莫斯国家实验室采用类似英国的实验装置，通过先进的电子手段，以B92 方案成功地在长达48 公里的地下光缆中传送量子密钥，同时他们在自由空间里也获得了成功。2001 年，美国Los Alamos 国家实验室的科学家们，称已经建立了新的极安全的卫星数据传输系统，即采用不同量子状态下的光粒子转播信息的量子密码术卫星系统，除使用专门的检测器之外，不会被任何解码术解码。一种极安全的卫星传输系统将成为现实。现在，量子保密通信的距离已延伸到150公里。

    而我国，在2000年，中科院物理所与研究生院合作，在850 纳米的单模光纤中完成了1.1 公里的量子密码通信演示性实验。显然，在量子密码方面，我国与国外的水平相比还有一定差距。量子密码除了可用于保密通信外，还可在作出公共决定时，对使用到的个人资料进行保密。比如说，公司或政府组织之间、或个人和组织之间要作出一个共同决定，但他们又不愿意泄漏自己的保密信息，这时量子密码可以帮助他们实现这一目标。量子密码术的另一用途是信息认证，就是证明某一信息来自某人或某处而未被改动。随着量子密码技术的深入研究，我们相信它的用途将越来越广。

第二章 量子密钥分配协议

2.1 引言

    量子密码学最著名的应用是量子密钥分配(QKD)，QKD的目的是让通信双方，Alice和Bob，利用不可靠的信道完成密钥的协商生成。从密码学的角度看，QKD的安全性依赖于密钥的生成与管理机制，该机制能够保证Alice和Bob可以发现窃听者Eve的存在，从而确保获得的密钥是绝对安全的。量子密码学是实验进展最快的量子信息处理领域之一。第一个量子密钥分配实验由Bennett等人于1992年完成。目前QKD实验的着重点有两个方面:光纤中QKD和自由空间的QKD。科学家们已经成功地将光子在商用电信光纤上传输了大约50公里，在自由空间传输了超过1公里。光纤中的QKD已经基本具备了实用化的条件，对于自由空间的QKD，为了实现地面与低轨道卫星的密钥分配，必须在地表实验中实现2公里以上QKD，目前的实验结果也己经非常接近。总之，QKD的实验研究己经取得了重大进展，为QKD的实用化奠定了坚实的基础。本章研究的QKD方案主要有四类:

1、基于两组共扼正交基的四状态方案，其代表为BB84协议。

2、基于两个非正交态的二状态方案，其代表为B92协议。

3、基于EPR纠缠对的方案，其代表为E91协议。

4、基于BB84协议与B92协议的4＋2协议

2.2 BB84 量子密钥分配协议

    当光子传导时会在某个方向上发生振荡,上,下,左,右,多数则是按某个角度振荡。正常的太阳光是非极化的,在每一个方向都有光子振荡。当大量的光子在同一方向振荡时,它们是极化的(polarized) ,极化滤波器只允许在某一方向极化的光子通过,而其余的光子则不能通过,例如,水平滤波器只允许水平方向极化的光子通过。 如图2－1所示，用H 表示二维Hilbert 空间,其中的每个元素代表单个光子的极化状态。BB84 协议中需要H 的两个不同的正交基:对角线极化基,它包含态矢量|(表示左对角极化状态) 与|(表示右对角极化状态) ;直线极化基,它包含态矢量|↑〉(表示垂直极化状态) |→〉 与 (表示水平极化状态) 。对角线极化量子编码表A1 设为|:″1″，:″0″直线极化量子编码表A2 设为|→〉:″0″，|↑〉:″1″如果仅用A1 编码,则Eve 可用对角线极化测量算符如||或,完全准确地拦截消息并重传给Bob ;如果仅用A2 编码,则Eve 可用直线极化测量算符如或,完全准确地拦截消息并重传给Bob。上述窃听策略称为不透明窃听,因此这一协议的编码要用到A1 和A2 。为了保证检测出窃听者,协议要求Alice 与Bob 的通信分成两个阶段进行。第一阶段通过从Alice 到Bob 的单向量子信道进行通信,第二阶段通过双向公共信道进行通信, 通信模型如图2-2 所示。

2.2.1 第一阶段:经由量子信道的通信

    Alice 以相同的概率从A1 和A2 中随机产生二进制位。因为A1 和A2 的测量算符不可对易,由Heisenberg 测不准关系,无论Bob 或Eve ,他能收到Alice 传来的消息的准确率不超过75% 。这是因为从Alice 传来的每一位,只能选择对A1 或A2 的测量算符,由不可对易性,不存在同时测量A1 和A2 的测量算符。Bob 或Eve 对Alice 秘密选择的量子编码表一无所知, 因此有50% 的可能性猜对,选择了正确的测量算符,正确接收到Alice 的传输位的概率为1 ;也有50% 的可能性猜错,选择了错误的测量算符,测得的是随机结果,正确接收到Alice 的传输位的概率是1/ 2 。这样最终收得消息正确率为

P = (1/ 2)*1 + (1/ 2)*(1/ 2) = 3/4 (2-2-1)

对发自Alice 的每一位,都假设Eve 会采取以下两种行动:以概率p 进行不透明窃听,0 ≤ p ≤1 ,或者以概率1 - p 不窃听。如果p = 1 ,Eve 在窃听传输的每一位, p = 0 ,Eve 没有窃听。因为Bob 与Eve 对测量算符的选择是相互独立且随机的,并独立于Alice 对量子编码表的选择, Eve 的窃听会明显增加Bob 接收到的二进制数的错误率,考虑在有Eve 窃听的情况下,最终收到消息的错误率为:

(1/ 4)*(1 - p) + (3/ 8)*p = (1/ 4) + ( p/ 8) (2-2-2)

这样,当Eve 窃听每一位时,即p = 1 ,Bob 的错误率从1/ 4 上升到3/ 8 ,增加了50% 。

2.2.2 第二阶段:经由公共信道的通信

    这一阶段,Alice 与Bob 分两步在公共信道上通过分析错误率来判断Eve 的存在。

2.2.2.1 产生原始密钥。

    这一步是除去非Eve 的窃听所产生的错误二进制位。Bob 通过公共信道告诉Alice 他对接收到的每一位所采用的测量算符。Alice 接着告诉Bob 哪些测量算符是正确的。Alice 和Bob 删除那些与设置的不正确算符相对应的位,从而分别产生Alice 的原始密钥与Bob 的原始密钥。如果没有干扰或窃听,Alice 与Bob 的原始密钥应该是完全一致的。但在有Eve 存在的情况下,二者不一致的概率为：0*(1 - p) + (1/4)*p = p/4 。

2.2.2.2 通过对原始密钥不一致检测发现窃听存在。

    在无噪声干扰的情况下, Alice 和Bob 经协商，从原始密钥中抽取m 位(m 位小于原始密钥长度)，通过公共信道对它们进行比较,随后将它们从各自的原始密钥中丢弃。如果此时m 位存在差异，则认为Eve 一定存在；如果这m 位相同，则Eve 存在的概率为 （Eve 存在时，λ＝1；Eve 不存在时，λ＝0）。如果该概率足够小，则认为Eve 不存在，本次通信是安全的，Alice 和Bob 将原始密钥剩下的那些位作为原始密钥。否则，这次通信过程作废。

2.2.3 第三阶段: 抽取共同密钥

当把BB84 协议应用到有噪声干扰的环境中时,在传送中的误码有两个来源：环境的噪声和Eve的窃听，这两种误码是不可区别的，但是一般来说，环境的噪声会有一个上限，如果误码率超过这个上限，就有理由相信这是由于Eve的窃听而引起的。

Alice和Bob现在的目标是去掉原始密钥中所有不同的位，得到二人相同的密钥，称为共同密钥。他们首先选择一个强无碰撞的Hash函数，例如MD，分别计算各自原始密钥的Hash值。公开比较这两个值是否相等，如果不相等，则等分原始密钥，分别计算两部分的Hash值，并比较是否相同，如果不相同，继续等分，计算Hash值，如此重复下去，直到分成的块的长度小于等于Imin.（Imin是双方约定的分块长度的最小值）。如果块的长度小于等于Imin且它们的Hash值不同，就从原始密钥中删除这个块。原始密钥经过这样处理后，就得到了共同密钥，Alice 和Bob 能以很高的概率认为他们的共同密钥是相同的。

    可以看到，事实上是用二分法查找并去掉不同的位。定位不同位的准确程度与Imin有关，如果设定Imin是1，那就能准确地找哪一位不同，但是这样需要的运算量较大，要降低运算量，就要提高Imin的值，在原始密钥长度一定的情况下，Imin的值越大，运算量就越低，但定位的准确程度相应地就降低了。在实际运用中，需要选择一个恰当的Imin的值，协调准确度与运算量的关系。如果原始密钥比较长，而最终密钥不需要很长的情况下，可以把Imin的值定得大一些，对于原始密钥不太长，而最终密钥又不能很短的情况下，则需要把Imin的值定得小一些。

2.2.4 第四阶段:保密放大

    由于在公共信道上对密钥的调整可能使Eve 得到一些密钥的信息,因此要对调整后的密钥进行一些处理。Alice和BOB根据误码率的估计E和共同密钥的长度n计算出被Eve知道的位数的数学期望k，并选择一个安全参数s（s>0），s的值可以随便调整。然后从共同密钥中选长度为n - k - s 个随机子集,不泄漏它们的值,所有这些值的最后一位组成最终的密钥。可以证明Eve 从此密钥中得到的信息平均不大于位。

2.3 B92量子密钥分配协议

    在分析BB84协议的安全性时Bennett 等发现，由于量子不可克隆定理的限制，如果一种测量不会破坏两个非正交状态中的任意一个，那么通过该测量也不可能获得任何能够区分这两个状态的信息。因此，Bennett指出任意两个非正交的状态都可以用来实现密钥分配。

设 和 是两个非正交的量子状态，满足

                                                              （2-3-1）

其中 和都是归一化的，即

（2-3-2）

算子和分别将量子态投影到和 正交的态空间上，即

， （2-3-3）

， （2-3-4）

因为，其中i.j=0,1,“”表示异或，所以根据非0的测量结果可以确定量子的初始状态。

    利用上述特性，Alice和Bob可以按照以下步骤实现B92量子密钥分配。

1、Alice选定一个二位的随机二进制串a，当==0时，取, =1时，取，并按固定的时间间隔将种发送给Bob。

2、Bob也选定一个n位的随机二进制串b，当=0时，测量，当=1时，测 量。

3、Bob通过公开的经典信道通知Alice他在哪些时间片检测到量子态。当 然，Bob并不透露他测量的究竟是还是o

4、Alice保留Bob检测到量子态的那些时间片所对应的信息比特，从而获得a的一个子串a'。

5、Bob对于检测到量子态的时间片，根据(2－3－5)式译码获得信息串b'，显然b'是b的 一个子串，在没有误差的前提下，y＝a'.

(2-3-5)

6、Alice 随机公布一些信息比特让Bob验证错误概率是否大于特定的门限。

7、若错误概率大于门限，则表明信道不安全，Alice 和Bob 可以另选时间进行密 钥协商;若错误概率小于门限，则可以确定没有人窃听，Alice 和Bob 可以将 剩余的未公开的信息比特用作密钥。

8、Alice 和Bob 利用经典纠错码对密钥进行纠错，最后施行安全增强生成最终密 钥。

2.4 EPR量子密钥分配协议

    Ekert 于1991年提出的基于EPR的量子密钥分配协议(E91)充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84 协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。此外，与BB84 不同的是，E91协议借助于Bell 不等式来验证是否存在窃听者，而在BB84 和B92 中，都是通过随机校验来实现窃听验证。

虽然量子密钥分配协议的安全性与Bell不等式之间的确切关系尚不清楚，但是利用Bell不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的窃听策略，采用多么精密的窃听设备，她的窃听行为必然影响纠缠态，进而使Bell不等式成立。

E91协议采用3个非正交的Bell态

（2-4-1）

其中任意角度均表示光子的偏振方向。量子位的信息编码规则为：

（2-4-2）

相应的测量算子为：

（2-4-3）

    根据上述设置，E91密钥分配的操作按如下步骤实施

1、Alice等概地从中随机选取一个纠缠态，保留第一个量子 位，并把第二个量子位发送给Bob. Alice没有必要记住究竟处于什么态， 只要保证三种纠缠态被等概地选取。该过程可以在密钥分配前任何方便的时 候进行，而且还可以有Bob或者可靠的第三方执行。

2、Alice和Bob各自独立地测量自己的量子位，测量算子等概地从中随机选取。

3、Alice直接记录测量结果对应的编码信息比特，Bob则记录编码信息比特的反 码。

4、Alice和Bob在公开的经典信道公布自己所选取的测量算子。当然，Alice和Bob 都不透露自己的测量结果。

5、Alice和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的信息比特记为排异位(rejected bits)，与BB84和B92不同，排异位不再被丢弃，而是被公布以用来验证Bell不等式是否成立，并以此判断检是否存在窃听者。