湖南师范大学
硕士学位论文
诱饵态量子密钥分配的研究
姓名:李靖波
申请学位级别:硕士
专业:理论物理
指导教师:方细明
20060301
诱饵态量子密钥分配的研究
摘要
从单量子层面上来说,量子密钥分配很可能是量子力学理论的第一个实际应用。理论上,量子密钥分配可以保证通信过程中密钥的绝对安全性,因此使得传统密码术自惭形秽。然而,由于现实存在的缺陷,因此目前所有的量子密钥分配实验,从根本上来说,其实是不安全的。为了减小理论和实际上存在的巨大的差异,近来有人提出了用诱饵态来显著提升量子密钥分配性能的想法。进一步研究诱饵态量子密钥分配正是本文所要做的主要工作。
全文分为六章。第一章主要介绍量子密钥分配的发展历史以及最新进展。第二章介绍了量子密钥分配的基本原理和三个最具代表性的方案。其中对量子不可克隆定理以及对非正交态的测量必定扰动态这一理论给出较为新颖的证明。第三章先是给出了用弱相干态实现的量子密钥分配的数学模型,接着介绍了窃听者的“光子束分攻击”策略,最后给出了对付光子束分攻击的两种重要方法(诱饵态方法和非正交态编码方法)的基本思想和具体操作过程。第四章我们首先分析了诱饵态BB84协议的安全性,接着我们提出了一个计算非正交编码量子密钥分配的密钥产生率定理,并把这个定理推广到普遍情况。在此基础上我们提出了一个具体非正交编码的诱饵态量子密钥分配协议来分析其安全性。第五章我们进一步研究了现实的弱相干态量子密钥分配实验,并在此基础上提出了确保诱饵态量子密钥分配实验有效的一个必要条件,进而提出了一个信号诱饵双用的量子密钥分配方案。最后在第六章我们对本文的工作进行了总结和展望。
关键词:
密钥产生率量子密钥分配;诱饵态;量子比特误码率;计数率;
Il硕士学位论文
ABSTRACT
quantumkeydistribution(QKD)couldwellbethe丘rstapplicationofquantummechaⅡicsatthesingle—quantumlevel.Intheo吼QKDholdsthekeytounconditionalsecurityincommunications,whichmakethetraditionalcryptographyfellsmalLInprac“ce,allrecent10ng-distanceimplementationsofQKDarefundamentallyinsecure,duetoreaLlifeimperfections.110bridgethjsbiggapbetweentheoryandpractice,theidealofdecoystateshasrecentlybeenproposedforsubstanti以lyimprovingtheperformanceofQKD.Afurtherstudyofdecoy—statemethodisthemainworkofthispaper.
Thepaperiscomposedofsixchapter.Theflrstdlapterismainly出medtointroducethehistoryofdevelopmentandlatestprogressinthefieldofQKD。Thesecondchapterintro(1ucesthebasictheoriesofQKDa血dthethreemosttypic“QKDprotocols.Inchapterthree,we丘rstlym。delthereal—lifeQKDsetupwhichusestheweakcohereIltstateasthe80urceWethenintro—ducethep}∞ton_number—split“ng(PNS)attack,andgivethebaSicidealsandoperationsoftwoimportantme七hods,thedecoystatesandthenonorthog伊nal衄codingmethod,whjchareusedtocombatthePNSattackInchapterthree,Ⅵ陀丘rstly眦1alyzethesecurityissueofdecoy_stateBB84protocol,thenpresentatheoremforcalculatethesecurekeygenerationrateofanonortho争onalencodingscheme,whichareextendedtothegener出situation.Basedonthistheorem,wepresentaspeci矗cnonorthogon以decoy—stateQKDproto—colfollawedbya8ecurityanaly8is.Inchapterfive,wefurtherourstudyofthepracticalweakcoherentsateQKDexperiHlents,andobtainanecessaryconditionofpracticaldecoy一8tateQKDprotoc01s.WethenproposeaSignal—decoydualpurposeQKDprotoc01.Finallylinchaptersix,硼giveaconciseconclusionofthi8paperandmakeanexpectationofthefutureinthis丘eld
Keywords:quantumkeydistribution;decoystate;quantumbiterrorrate;countingrate;securel(eygenerationra土e
诱饵态量子密钥分配的研究
第一章绪论
当今世界,小至人与人之间,大到国家与国家之间的信息交往,越来越依赖于电信与互联网进行传输。然而,一些高明的窃听者可以神不知鬼不觉的获取这些信息。1917年,英国破译了德国外长齐默尔曼的电报,促成了美国对德宣战。1942年,美国从破译日本海军密报中,获悉日军对中途岛地区的作战意图和兵力部署,从而能以劣势兵力击破日本海军的主力,扭转了太平洋地区的战局。在保卫英伦三岛和其他许多著名的历史事件中,密码破译的成功都起到了极其重要的作用,这些事例也从反面说明了信息安全在信息交流中,尤其是在商业、军事、国防领域占有至关重要的地位。
密码术正是为了防止信息的泄露而逐步发展起来的。根据其使用的原理的不同,主要刻分为两类:传统密码术和量子密码术。其基本思想是将要传送的信息采用某种方式进行变形,只有合法用户才能从中恢复出原来的信息,而对非法用户来说这些变形了的信息是无法理解的。密码学中,习惯上称信息发送者,接收者及窃听者分别为A1ice,Bob和Eve。随着计算机技术的发展,目前实现这一目标需要通信
硕士学位论文
典的客体,经典信息可以任意复制,原则上不会留下任何印迹,因而密钥在分发和保存过程中合法用户无法判断是否已被窃听;
二是公钥密码体制,也称为非对称密钥密码体制。在该体制中,加密密钥和解密密钥不相同且很难互推。它可以为事先没有共享密钥的双方提供安全的通信。这种体制的原理最初由stanford大学的Ⅵmi垤eldDi毋e和MartinHellman两人在1976年提出。两年后,也就是1978年RonaldRivest,Adishmir和LeonardAdlemaIl三人就把它发展为著名的RsA公钥密码体制(现在经典计算机上使用),它的安全性是基于把一个大数分解成为两个素数之积这种独特的数学操作的困难之上,也就是利用大数N因子分解所需的计算次数与N的指数次方成正比,不断地增大N,.即不断地以指数方式增加所需的计算次数,直至N大到几乎不可能对它进行因子分解。简单地说,就是不发放私钥而利用两个大素数的乘积难以分解来加密。这两个不同的钥匙:一个是公开的,另一个是秘密的。从公钥很难推断出私人密钥。持有公钥的任何人都可以加密消息,但却无法解密,只有持有私人密钥的人才能够解密。这就像发电子邮件一样,用公钥进行加密就相当于将邮件发到别人的邮箱,任何人都可以做到。而用私钥解密则相当于从邮箱中取出邮件,只要拥有私人密钥就可以很容易地做到,但如果没有私钥要想解开加密后的消息却会非常困难。然而大数因子化的快速算法的存在以及计算机运行速度的不断提高,特别是1994年Petershor提出的用量子计算机实现大数因子化的多项式快速算法f1]的预言无疑敲响了公钥密码体制的警钟。
理论上唯一能确保不可破译的传统密码体制是vernam密码(这是一种对称加密体制,它要求密钥与明文一样长,而且每个密钥只能使用一次,故也称为一次一密)。这种体制需要双方共享与要传送的明文文件同样大小的庞大密钥,这给常规的密钥分发和储存提出了不现实的要求,因而实际上不易广泛使用。作为这种理想密钥体制的近似,若能有这么一种方式;①密钥能够在公开信道中直接发送,且不担心被第三者窃听;②即使密钥被窃听了,也可以通过检验窃听者留在密钥中的蛛丝马迹,知道该密钥已经不安全,保证实际通信中不用已经失密的密钥。至少就可以解决这样几个关键问题:1)解决了密钥分配和贮存,不必要繁琐的会晤或信使往来,实现密钥的实时分发,杜绝了信使途中泄密的可能性,而且事实上不需要密钥的长时间贮存;2)窃听的可检测性保证了密钥的可靠性,也就保
硕士学位论文
典的客体,经典信息可以任意复制,原则上不会留下任何印迹,因而密钥在分发和保存过程中合法用户无法判断是否已被窃听;
二是公钥密码体制,也称为非对称密钥密码体制。在该体制中,加密密钥和解密密钥不相同且很难互推。它可以为事先没有共享密钥的双方提供安全的通信。这种体制的原理最初由stanford大学的Ⅵmi垤eldDi毋e和MartinHellman两人在1976年提出。两年后,也就是1978年RonaldRivest,Adishmir和LeonardAdlemaIl三人就把它发展为著名的RsA公钥密码体制(现在经典计算机上使用),它的安全性是基于把一个大数分解成为两个素数之积这种独特的数学操作的困难之上,也就是利用大数N因子分解所需的计算次数与N的指数次方成正比,不断地增大N,.即不断地以指数方式增加所需的计算次数,直至N大到几乎不可能对它进行因子分解。简单地说,就是不发放私钥而利用两个大素数的乘积难以分解来加密。这两个不同的钥匙:一个是公开的,另一个是秘密的。从公钥很难推断出私人密钥。持有公钥的任何人都可以加密消息,但却无法解密,只有持有私人密钥的人才能够解密。这就像发电子邮件一样,用公钥进行加密就相当于将邮件发到别人的邮箱,任何人都可以做到。而用私钥解密则相当于从邮箱中取出邮件,只要拥有私人密钥就可以很容易地做到,但如果没有私钥要想解开加密后的消息却会非常困难。然而大数因子化的快速算法的存在以及计算机运行速度的不断提高,特别是1994年Petershor提出的用量子计算机实现大数因子化的多项式快速算法f1]的预言无疑敲响了公钥密码体制的警钟。
理论上唯一能确保不可破译的传统密码体制是vernam密码(这是一种对称加密体制,它要求密钥与明文一样长,而且每个密钥只能使用一次,故也称为一次一密)。这种体制需要双方共享与要传送的明文文件同样大小的庞大密钥,这给常规的密钥分发和储存提出了不现实的要求,因而实际上不易广泛使用。作为这种理想密钥体制的近似,若能有这么一种方式;①密钥能够在公开信道中直接发送,且不担心被第三者窃听;②即使密钥被窃听了,也可以通过检验窃听者留在密钥中的蛛丝马迹,知道该密钥已经不安全,保证实际通信中不用已经失密的密钥。至少就可以解决这样几个关键问题:1)解决了密钥分配和贮存,不必要繁琐的会晤或信使往来,实现密钥的实时分发,杜绝了信使途中泄密的可能性,而且事实上不需要密钥的长时间贮存;2)窃听的可检测性保证了密钥的可靠性,也就保
诱饵态量子密钥分配的研究3
证了通信本身的安全性;3)如果密钥分发速度足够高,实现vernm体制不是不可能的。幸运的是,量子力学一手要致传统密码体制于死地,另一手却又创造了一把新的利器一量子密码体制。量子密码体制可以看成是传统vemam体制的量子力学版本。尽管目前它还没有达到真正实用的程度,但其发展神速,有望成为量子信息最先成功应用予社会的一个方面。
§1.2量子密码术概述
20世纪量子力学的诞生和信息科学的迅猛发展,以及信息安全的迫切需求,促使了两者的结合,其产物一量子密码术一为解决信息安全这个历史难题带来了希望的曙光。
量子密码术【2】,能够使初始时刻可以互相认证的通信双方就再也不必担心有人会神不知鬼不觉地窃取信息。他们可以在公开信道上而进行绝对安全的通信。由于信息安全的核心部分是建立安全的密钥。因此,本文讨论的量子密码术实际上应该叫量子密钥分配。
量子密码术成功地解决了传统密码学中单靠数学无法解决的问题并引起国际上高度重视。它的思想最早来源于美国哥伦比亚太学的stephenwiesner在1969年提出的量子钞票[3】。但是由于这个思想太令人难以置信了,所以直到1983年才得以刊出。1084年与stephenwiesn”很熟悉的Bennett.c.H和Br”sud.G首先提出第一个量子密码分配协议BB84协议f41,并于1989年在IBM公司Thomas.J.walson研究中心由他们自己实现了第一次量子密钥传输演示实验[5】。1991年牛津大学Ekert.A.K.提出E91协议【6]。1992年BeⅡnettc.H指出只用两个非正交态即可实现量子密码通信并提出B92协议[7】。自此量子密码通信三大主流方案已基本形成。20世纪90年代以来世界各国的科学家对量子密码通信的研究热情迅猛发展并在这一领域取得很大成功:瑞士universi毋0fGeneva在原有光纤系统中已建立22.8km量子保密通信线路并投入了实用【8];英国BT实验室已实现在常规光缆线路上量子密码通信传输距离达55m【9];美国LosA1amos实验室已成功实现48km量子密钥系统运行两年【10],2000年他们在自由空间中使用QKD系统成功实现传输距离为1.6公里[11]。可以说量子通信已进入大规模实验研究阶段。2004年量子保密通信的距离已延伸到
诱饵态量子密钥分配的研究
第二章量子密钥分配
19世纪经典电动力学的产生、发展和形成深刻地影响了20世纪的历史进程。电动力学的应用使整个20世纪打上了电子时代的烙印。当时光流转到20世纪,人类迎来了科学发展史上又一个春天。相对论、量子力学和信息科学的诞生,把人类带入了一个超乎想象的世界:时空变化的星际旅行,微观粒子的不确定性,虚拟的现实。在这三大发现当中,量子力学潜在的应用领域是最值得物理学家和工程专家期待的。量子力学最显著却也是最奇异的特征就是它的单粒子的量子态叠加性和多粒子的纠缠特性。而这两点正是量子密码术植根的基础。本章我们将给出量子密码术的基本物理原理和最具代表性的量子密钥分配协议。
§2.1量子比特与量子态叠加原理
在量子力学中,微观体系的状态是用波函数(Y-称态函数)I皿)来完全描写的,力学量是用线性厄米算符描述的。这就使得波函数必然具有线性叠加性。波函数的线性叠加性,即量子态叠加原理,是量子力学基本原理,其一般表述如下:
当l皿,),I皿。),l皿。),…,{‰),…是粒子的可能态时,则它们的线性叠加态,
1皿)=Cl{皿1)+C2I皿2)十c3l皿3)+・・・+‰I皿n)+,+,(2.1)也是粒子的可能态。式中,叠加系数CI,C2,c3,.,cn,…一般为复数。必须指出:波函数本身不代表实际物理量的波动,因此波函数的线性叠加性不同于经典波的叠加原理,它不是实际物理量的叠加。波函数与粒子在空间的概率分布有关,波函数的线性叠加性使得微观粒子的空间概率分布具有相干叠加性,这正是微观粒子最引人入胜的地方。量子信息正是利用了这一点,但就是这一点就足以令物理学家和信息工程专家投入无比的热情。
在经典的信息理论中,信息的最小单位是比特(bit),正好对应一个二进制数据位。它只有两种选择,即“0”或“I”。量子信息的基本单元是量子比特(qubit),它由一个两态量子系统构成,用io)和11)表示。所不同的是,一个量子比特不仅可以取值为lo)或11),
8硕士学位论文
更通常情况下,它往往处于二者的叠加态上,在数学上可以表示为
I皿)=c1Io)-I-c211),(2.2)其中c。≠0,c。≠0。(2.2)式所表示的量子比特是不确定的,它以一定的概率分布于两种状态上;在测量之前,谁也无法准确预言将要得到的结果是Io)还是11),但是一旦进行测量,其结果要么是Io)要么是11),态再也不是处于叠加形式,我们把这种现象称为态的塌缩。1皿)态塌缩到10)的概率为俐皿)Jz=川。,塌缩到11)的概率为川皿)12=Ic212。如果{皿)是归一的,则有}C112+tc212;1。此后所以用到的量子态,如果不特殊说明,都假设为归一化的。
§2.2量子态不可克隆定理
从上一节我们实际已经看到:测量会破坏原来的未知量子态。这实际上就是量子态不可克隆定理的理论依据。虽然现在看来从态叠加原理推导量子态不可克隆定理是那样自然而然的一件事情,但是事实上从已知理论推出一个未知但有重要意义的看似简单的理论却是一件非常不容易的事情。所以直到1982年,才由Wotters和Zurek在Ⅸ自然》杂志提出现在所谓的量子不可克隆定理[26j:即一个未知的量子态不可能被完全精确复制。
这个定理的证明是简单的,我们可以用反证法来证明它。
假设这个定理不成立,量子克隆机存在且能够克隆任一未知量子态。把量子克隆机和微观粒子的整体当成一个大系统,由于量子克隆机并不知道微观粒子的初态,故整个系统的演化可以用一个与态无关的幺正算符U来描述。幺正算符u具有性质:
UUf=UfU=I,(2.3)Ut是U的伴随,I是单位算符。
量子克隆机对两个正交矢量Io)和11)进行复制的过程可表示为:Ul'§OIo>=t西o)10)10),(2.4)和
uI吼)}1)=F壬1)il)li>,(25)
诱饵态量子密钥分配的研究-9
其中胁)是量子复制机的初始状态,它与待复制的输入矢量无关,‰)和f中,)是复制后量子复制机的状态,这两个态不能完全相同,否则就没法根据量子复制机的末态来区分所复制初态到底是{o)还是11)。
现在我们再来看看未知量子态的克隆。
uI西;)|雪)=l西,)J皿)I皿)
其中IⅢ)由公式(2.2)给出,限)和I西,)分别为量子复制机的初态和末态。但是根据量子力学的线性性质,再利用公式(2.2),(24)和(2.5),可得:
ui,bi)I田)=C1Imo)lO)10)+c2I由1)11)11)(2.7)我们看到,叠加态封经过“复制”后,整个系统演化成为了一个纠缠态[27】,在c。≠0、c2≠0的条件下,无法写成直积态。另外,内积(2.6)和(27)式,利用(2.3)式(u的幺正性),可以得出c。、c:至少有一个为0.这些都与前面的假设矛盾,因此可以得出结论:未知量子态是无法被复制的。
未知量子态不可克隆定理是量子信息学的重要理论基础之一,也是量子密码术的重要前提。它确保了量子密码的安全性,使得窃听者不可能采取“克隆”的方式来获得密码信息。
§2.3窃取量子信息蕴含干扰
在宏观世界里,信息可以被“毫发无损”地复制。而且随着技术的飞速发展,这种复制变得越来越容易。因此,在理论上窃听者能够不留痕迹地“工作”。然而,面对量子信息,窃听者的“隐身术”遇到了克星。在量子力学理论里,对两个非正交量子态l皿,)、lm。)的测量将导致对该系统的扰动。它的证明类似于量子态不可克隆定理:
设对两个非正交态的测量不会导致对该系统的扰动,探测器的初态记为陬),探测器对两个非正交态进行探测后的态记为i西{)和
10硕士学位论文
I圣})。不改变输入量子态的测量过程同样可以表示为一个么正演化:
ul币t)IⅢ1)=l垂}){田1)(2.8)u{壬i)I皿2)=I西})l皿2).(29)上面两式作内积运算。由于么正变换下的内积不变,我们得到
(皿2lml)=(垂引圣})(皿2l皿1).(2.io)由上式可见(吲壬})=1,这就表示对两个非正交量子态m)、l皿。)的测量要么得到信息但必将导致对该系统的扰动,要么不扰动两个非正交量子态但是却得不到任何信息。
§2.4BB84协议
量子态不可克隆和窃取量子信息蕴含干扰这两个理论使得人们能够利用量子态进行绝对安全的密钥分配。1983年Bennett和Brassard在同Wiesner的讨论中受到启发,认识到单量子虽不好保存但可用于传输信息。1984年,他们提出第一个量子密码术方案,用单光子偏振态编码的四态方案,现在称之为BB84协议,从此开创了量子密码术。
BB84协议的密钥分配过程中,通信双方Alice和Bob利用单光子的偏振态来编码信息。光子的偏振态属于二维Hilbert空间,我们可以用垂直偏振的两个基矢态,I一)、IT),和对角偏振的两个基矢态,I/)、I\),来解释说明BB84协议。这两套基互为共厄基,即
f\)I。=|(一J\)Iz=1/2。我们先把每套基的两个基矢态编码为他们就会得到相同的结果;而存在Eve窃取信息是时,光子的信息在一套基中测量另一套基的基矢态,所得到的几率都是相等的。例如I(T0和1。这里我们把I一)、{T)分别编码为0和l;同样I/)、1\)也分别编码为0和I。当没有Eve时,只要Alice和Bob的基矢相同,就会受到扰动,因此Alice和Bob的基矢相同时有可能得到不一致的结果。这实际上就是BB84协议的理论基础。假设Eve使用错误的基矢测量光子的偏振态就会得到完全随机的结果,同时还造成了对信号态的最大的扰动,使得Alice和Bob的编码结果出现几率为59%错误。因为Alice和Bob选择相同基矢的概率为50%,故BB84协议的筛选效率为50%。BB84协议的主要操作步骤如下:
诱饵态量子密钥分配的研究・1l
————_——●——_——_——。●————
=========
=1
B
二=_l2345678=■★910一1l一12◆13x14一A上jJ_一一★二二+_-_I一★+——▲★二=__—-—_——+±=
+=二二==×
一★★+★十;+▲★+++★=一
==
ED+CJ◆___、..+爿、‘★★一★◆■★一++一★=++量_0l0lOOO
图2.1:BB84协议步骤简图
(A)Alice随机地选择l一),It),l/)或I\)四种中任一种偏振态的光子并发送给Bob;
(B)Bob随机地独立选择垂直偏振或对角偏振基接收;
(c)Bob实际所测到的偏振方向(只有Bob自己知道,其中一些态未被检测到,以空格表示);
(D)Bob公布他检测到态时所采用的测量基(如,通过打电话告诉Alice),但不公布测量到哪个偏振态,Alice告诉Bob哪些测量基是正确的并保留下来,其余的丢弃掉;
(E)Alice和Bob仅保留相同基时的态,并按约定的编码方法转化为二进制序列。
§2.5B92协议
在上述的BB84协议中,Alice使用了四个偏振态。1992年,Bennett认识到量子密码术的安全性其实是建立在窃听者无法区分非正交态和不能既窃取量子信息而又不扰动量子态这两点上。于是提出只用两个非正交偏振态来实现密钥分配,即B92协议,这是一种更简单但效率减半的协议。现在我们只在BB84协议的两组基中各取一个基矢,比如取{一),l/)这两种偏振态的光子并发送给Bob。其基本步骤如下(图2.2):
硕士学位论文
==1l
』膏
-_l-
▲、
图2.2:B92协议步骤简图
(A)Alice随机发送I一)或l/)光子偏振态;‘(B)Bob随机选取{t)或1\)偏振方向进行检测。当Bob的检测方向与Alic所选方向垂直,即同一组基,探测器完全接收不到光子;当取不同基矢,则有50%的概率接受到光子。一旦Bob测到光子,Bob就可推测出Alice发出的光子的偏振态;
(c)Bob实际所测到的偏振方向(只有Bob自己知道,其中一些态未被检测到,以空格表示);
(D)Bob通过公共信道告诉Alice所接收到光子的情况,但不公布测量基,并双方放弃没有测量到的数据(空格表示未接收到光子);此时如无窃听或干扰,Alice和Bob双方则共同拥有一套相同的随机序列数;
(E)Alice和Bob保留Bob测得的态,并按约定的编码方法转化为二进制序列。
尽管非正交态无法完全区分,但是精明的Eve却可以利用准确区分非正交态[28—31】的方法在不扰动态的情况下部分地区分它们,因此B92方法的安全性不如BB84高。
§2.6E91协议基于量子纠缠的EPR关联光子对Ekert于1991年提出,故也叫
诱饵态量子密钥分配的研究・13
E91协议.其原理是利用EPR效应[32—36】,即制备一对EPR关联光子对,通信双方具有确定、不变的关联,如测得其中一个光子的极化态向上,同时遥远的另一个光子的极化态一定朝下,且不随时间和空间的变化而改变。因此,两个具有确定关联的光场用来建立通信双方间共享密钥的信息载体,任何窃听都会破坏这种关联而被发现。如图2.3所示,其通信过程是:
(A)由EPR源产生的光子对分别朝士Z方向发送到合法的用户Alice和Bob,Alice任意选前面所述的一组基(1一)、lT)或者l/)、l\))测量接受到的其中一个光子1;
(B)测量的结果由EPR关联决定,同时Bob也随机使用这两种基测量接受到的EPR关联对的另一个光子2,并记录测量结果;
(C)Bob通过公共信道公开其使用的测量基(但不公布测量结果),Alice告诉Bob那些检偏基选对了;
(D)并按约定的编码方法转化为二进制序列。
显然,它与BB84不同的是检验双方保留的数据时是用Bell不等式检验,如果违反不等式,表明量子信道是安全的没有被窃听;如果满足不等式时,表明信道有问题即存在窃听者。总之,其安全性源于Bell原理,根据量子力学原理该协议是安全的。
诱饵态量子密钥分配的研究・15
第三章抵御光子束分攻击的策略
第二章我们所述的三种方案其实都没有考虑现实可用的设备、资源对具体量子密钥分配协议的影响。本章我们将首先考虑目前最常用也最有效的量子密钥分配实验实现:弱相干态实现[20-22,37];其次介绍由此而来的一种致命的攻击:光子束分攻击。最后我们给出目前抵抗这种攻击的两种重要的方法:诱饵态方法、非正交编码方法。・
§3.1量子密钥分配的弱相干态实现
为了考虑一个用弱相干态实现的具体量子密钥分配实验,我们首先要对实验装置进行建模。实际的量子密钥分配实验通常把性能好又便宜的光纤通信设备作为进行实验的首选。下面我们分别构造光源、信道以及探测器的数学模型,然后利用所建立的模型来得到弱相干态的收益与错误率的计算公式[38,39J。
§3。1.1光源、信道以及探测器
进行量子密钥分配实验的光源是衰减得非常弱的激光,我们一般把它称作弱相干态激光脉冲。光源因此用弱相干态l√面加)来表示。由于激光二极管初始时的自发辐射使得相角完全随机化,因此弱相干态激光脉冲为去相相干态,其密度矩阵儿表示为:
儿=/罢} ̄/-e珀)(办e胡j=∑P。川圳,J…n(3.1)
其中p为脉冲的平均光子数,R(“)
Pn(“):_i_tne-#(3.2)表示找到光子数为n的脉冲的概率,简称n光子脉冲概率,如:Po(卢)为空脉冲概率,P1(p)为单光子脉冲概率,P2(p)为两光子脉冲概率,等等。ln)(圳表示n光子密度矩阵,其中lo)(ol称为真空态密度矩阵。对于光纤信道,其量子信道的损失用信道传输率t一日来衡量。
硕士学位论文
“口与光纤衰减系数a以及在光纤的长度f的关系为
在通信领域,衰减系数a用dB/km做单位,长度单位为km。
探测器在Bob的实验室,由两部分组成:光学部分和探测器部分。光学部分的信号损失用内部传输率tB曲表示。探测器部分有一定的探测效率,用如表示。这样,我们用1鼬表示Bob方面的传输效率,则有;
’TBob=tBob叩D(3,4)于是Alice和Bob之间的总传输率q,包括信道传输率tA且和Bob方面的传输效率,就可以表示为:
"=tABrIBob(3.5)目前的探测器为阈探测器,它只能区分真空态和非真空态,通俗地说,它只能区分有无光信号。当它探测到信号时,它不能辨别究竟有多少个光子。
对于一个n光子脉冲,或说是一个n光子态,由于光子间的相互作用可以忽略,因此我们假设其中的每个光子的行为互相独立。这样,对于阈探测器来说,n光子态的传输率‰为:
(3.6)
§3.1.2弱相干态的增益与错误率
在得出弱相干态的增益与错误率之前,我们先定义n光子态的记数率K和n光子态的错误率‰。%是在Alice发送了一个n光子态脉冲的条件下,Bob的探测器探测到信号事件的概率。值得注意的是,在正常情况下,除了信号会产生探测事件,环境因素也会导致探测事件。我们把环境因素导致的探测事件用环境记数率翰来表示。用%表示环境记数率,意味着空脉冲信号引起探测事件。这实际上是由探测器的暗记数和诸如时钟脉冲的杂散光等背景环境引起的。因此,%中的“o”只是表示没有信号脉冲,它用来表示背景环境的贡献,碥并非空无一物的真正真空记数率。
诱饵态量子密钥分配的研究・17
n光子态的记数率碥主要有两个来源:背景和72光子信号脉冲。一般假设背景和n光子信号脉冲的探测事件互相独立。于是我们得到K满足如下关系式:
K=%+‰一Yo咖兰Yo+rh,(3.7)这里我们认为%(量级为10“)和q(量级为10q)为小量,因此忽略两者的乘积%‰。
72光子态的增益‰定义为Alice发送了一个n光子态脉冲的概率与n光子态的记数率yn的乘积:
‰=KR(p)=K等≠.(3固n光子态的错误率‰有两个来源。一是来自于环境记数,一是信号光子的错误记数。因此有:
en:—eoY—o百+一eDrl“,(3.9)
Jn
其中eD为一个信号光子击到错误的探测器上的概率,它是用来描述光学系统的定向性和稳定性。实验上eD可以看成一个常数。我们假定背景记数是随机的,对于两态系统来说,eo=1/2。这样,弱相干态的增益为:
Q“=>:Q。=Yo+1一e-”.(3.10)弱相干态的错误率满足玩:
Q“%=∑o。e。=roeo+eD(1一e一”).
n>o
§3.2光子束分攻击
我们前面已经讲过Eve可以用“光子束分攻击”(PNS)获取Alice和Bob之间的量子信息,而Alice和Bob却还蒙在鼓里。在这一节我们将进一步分析这种策略。
使用理想的单光子源,无损的信道以及完美的探测器的量子密钥分配已经被证明是绝对安全的[40—421。但实验上使用的设备不可
18硕士学位论文
能是完美无缺的,对于弱激光脉冲,不可避免的就含有多光子脉冲。由于同一束多光子脉冲当中的各光子的量子态是相同的,另外他们之间没有相互作用,因此,Eve可以盗去其中的部分光子,从而拥有与Alice和Bob完全相同的信息。这就是所谓的光子束分攻击的本质。
光子束分攻击对长程量子密钥分配造成了致命的威胁。由公式(3.3)可知,信道传输率t—B随传输距离l的增大而指数衰减,因此,经过一定距离后,所剩余的非空脉冲数量就会少于Alice所发出的多光子脉冲数量。这时的信息也就完全不安全了。因为Eve理论上可以通过测量脉冲中的光子数把Alice刚刚发出的信号分为真空、单光子和多光子三个部分。真空对于Alice和Bob是无用的,因为Alice没有发给Bob任何东西,所以Eve不必理会;单光子由于其绝对安全性,所以Eve干脆就把它截掉,不让它产生密钥;至于多光子,正好是Eve所要的,于是她就用光子束分攻击策略,把多光子束一分为二,一份自己留着,另一份通过无损信道交给Bob,于是她就拥有和Bob完全一致的信息。显然,光子束分攻击既不违背量子态不可克隆定理,也不违背非正交态不可完全区分。因此,光子束分攻击极大地限制了Alice和Bob进行非条件安全量子密钥分配的传输距离和密钥产生率。
§3。3诱饵态方法
2003年,考虑到未来可能利用地面一卫星的自由空间来传输量子密码以建立量子中继器[43】,Won—YoungHwang提出利用一种称为“诱饵态”的方法f231来限制Eve的光子束分攻击。这种方法随后被进一步研究[38,39,44—50】。
诱饵态和信号态在物理本质上没有任何区别,它们都是由光源发出的弱相干态,只是强度不同而已,即具有不同的平均光子数肛。诱饵态方法的核心思想是Eve不能区分随机化的诱饵态和信号态。因此Eve进行光子束分攻击时对诱饵态和信号态一视同仁。可是由于诱饵态和信号态的强度不一样,根据(3.2)式我们知道,n光子脉冲概率,R(肛),与Ⅳ值有关。因此Eve进行光子束分攻击时对诱饵态和信号态造成的影响是不一样的,这样Alice和Bob就可以想法“逮
诱饵态量子密钥分配的研究19
住”自以为厉害的Eve。
根据刚才的分析,再结合前面有关n光子态的记数率K和错误率e。论述,我们可以把“诱饵态”的思想的本质概括为:Eve无法区分来自于诱饵态和信号态的n光子态的记数率K以及错误率e。,因此诱饵态的佗光子态的记数率Y.(decoy)等于信号态的n光子态的记数率Yn(signal);诱饵态的n光子态的错误率en(decoy)等于信号态的n光子态的错误率e。(signal)。用数学表达为:
K(signal)=碥(decoy)=K,
en(signal)=en(decoy)=e。.(3.12)由于弱相干态的的平均光子数一般很小(以o.1为典型),根据(3.2)式,可知脉冲中光子数n>5的概率的数量级为10—9,远小于背景记数率%(典型量级为10“),因此就可以忽略了。这就是为什么只需少数的诱饵态就足够探测限制窃听者的缘故。为了叙述简单,接下来我们介绍无限多个诱饵态方法的具体操作:
(1)Alice随机发送信号态和各种诱饵态;
(2)Alice和Bob对信号态和各种诱饵态一视同仁地进行正常的量子密钥分配操作;
(3)量子密钥分配操作完毕之后,Alice告诉Bob信号态和各种诱饵态的分布情况;
(4)Alice和Bob测出信号态和各种诱饵态的增益与错误率;
(5)Alice和Bob计算出单光子的记数率和错误率,如果这些结果不正常,更准确地说是单光子的记数率太低或错误率太高,就肯定有Eve了。
显然,如果Eve完全截掉了单光子,那么单光子记数率就只剩背景记数率了。
§3.4非正交编码方法
除了诱饵态方法是对抗光子束分攻击的一种重要的方法,2004年,ValerioScarani,AntonioAcin,GregoireRibordy,andNicolasGisin提出了一种限制光子束分攻击的新方法,由于他们并没有给这种方
硕士学位论文
法命名,按照惯例人们就称之为SAlZG04协议。在我们的文章[48,49]当中,我们把这种方法概括为非正交编码方法。
SARG04协议,也就是非正交编码方法的基本思想是:要确定区分非正交态是要一定条件的,因而是几率性的,在一定条件下非正交态是可以区分的,此外就是不可区分的。因此只要设计的方案能排除掉可以区分的条件那就可以保证方法的绝对安全性。
现在我们以最典跫的SARG04协议为例进一步阐述这种思想的具体实旄。SARG04协议与BB84协议在量子期间是完全一致的,即以同样的两组共厄基中的4个基矢态进行量子密钥分配。他们所不同的方面在于经典的编码方式上。BB84协议把同一套基下的两个正交基矢分别编码为0和l;而SARG04协议采用非正交态编码,下面我们用自旋1/2语言具体表述。选择一:、一。的本征态{4-z)和l±z)作量子密钥分配的基矢态,并把|4-;)编码为0,}4-z)编码为1。在SARG04那篇文章中已经证明,通过4态非正交编码,窃听者无法既确定区分两光子态又不扰动Alice和Bob将要得到的个态。也就是说,两光子脉冲也可以产生密钥。这时Alice不是告诉Bob她所选择的测量基,而是告诉Bob她所发送的态在一组随意给定的态中。例如,Alice发送了l+。),她可以告诉Bob她发送的态在“十z),l+z)}或{卜。),{+z)}中。然后Bob利用非歧义区分非正交态的方法【28—31j把正确的态选出来。现在看看我们具体怎样把{l+z),l十=))中的f+。)找出来。在没有Eve时,Bob只能测量到三种结果:一:基下得到I+z)态;a。基下得到l十z)态或卜z)态。由于Bob不知道Alice发送的到底是{I+z),1+z))中的哪一种态,所以他就只有靠排除法:无论是I+z)还是I+z),都可以有结果j+。),故Bob不能区分;同样,I+z)还是l+z),都可以有结果l+z),故Bob还是不能区分;只有结果为l一。)时可以断定必定是发送了i+z)态。所以,当Bob测量到l_z)时,他就把这个结果保留,除此之外,他丢掉测量结果。简单计算可知SARG04协议的效率为25%,虽然比BB84协议的效率50%要低一半,但更安全了。
§3.5小结本章我们深入研究了实验上使用的弱相干态量子密钥分配方案。
诱饵态量子密钥分配的研究21
首先对正常的实验装备进行了数学建模,构造了光源、信道和探测器的数学模型,从而得出了弱相干态记数率、错误率与数学模型间的关系式。其次,我们分析了由于弱相干态不是完美的单光子源,Eve是如何利用光子束分攻击在物理原理允许的范围内获取量子态信息却又不干扰这个量子态,并对光子束分攻击进行的可行性进行了一定的理论分析。最后我们详细研究了限制光子束分攻击的两种重要方法:诱饵态方法和非正交编码方法。我们给出了这两种方法的理论依据以及具体的操作过程和分析办法。
诱饵态量子密钥分配的研究-23
第四章弱相干态量子密钥分配的安全性
在上一章我们已经分析了用弱相干态实现长程量子密钥分配时,必须要有办法防止窃听者进行光子柬分攻击,否则就没安全性可言。但是,我们并没有定量的计算在使用这些方法时到底能够多大程度地提高安全性。本章我们将着手深入研究这个问题。我们首先给出正交编码协议的密钥产生率的计算公式,然后利用这个公式并结合诱饵态方法去研究BB84协议的安全性问题。另外,我们提出了一个非正交编码协议的密钥产生率定理,并给出了简要的证明。同时还把这个定理推广到普遍情况。最后,我们根据得到的定理提出了一个非正交编码的诱饵态量子密钥分配协议,并对它的安全性进行了研究。
§4.1诱饵态BB84协议的安全性
2002年,D.Gottesman,H.一K.Lo,ML龇kenhaus,&J.P嘲j(ill在文献(511里提出了一个密钥产生率的计算公式,现在我们把它称为GLLP公式。这个公式是基于BB84协议只有单光子产生的密钥是绝对安全的,因此可以得到BB84协议安全的密钥产生率%删的下限:
&B84≥一吼{凰(耳)+n(1一凰(e,)”(4.1)这里f2为单光子增益分数:
Q=赛(4.2)日2为二元熵:
甘2(z)=一zl092(z)一(1一z)l092(1一z)(4.3)从(4.1)式可以看出:一吼日2(吼)是纠错项,n产生密钥项。至于一n日2(e,)是相位纠错项,因为Ahce和Bob随机选择测量基,所以有单光子的相错误率‰等于单光子的比特错误率,elp=e。。
在没有办法确定Eve的行为时,我们通常认为Eve无时无刻不在,而且我们做最坏的打算,即:Eve充分利用了多光子部分,因为这部分的信息她可以完全获得而不扰动其中的量子态。于是有:
(44)
硕士学位论文
图4.1:安全密钥产生率与传输距离的关系图.GYs实验中的参
数:o=o.2ldB/km,叼D=3.3%,玩=1.7×10一6,叼B。6=o.045,
脉冲频率,=2MHz.
%“。。为AHce发出的多光子脉冲概率。
由于实际纠错过程中还有个效率因素,因此,公式
如蹦≥一吼{,(蜀.)仍(耳)十n[1一凰(e1)】)(4.5),(吼)为纠错效率嘲。现在我们用GYs实验f53】中的参数进行数值模拟来看看最坏情况下的安全性。从图4.1可以看出,不能防止Eve进行光子束分攻击行为的量子密钥分配的安全距离只有32公里,不能进行长程密钥分发。下面让我们用诱饵态方法来做BB84协议,看看它的优越性怎么样。
现实的诱饵态方法是如何提高安全的密钥产生率与传输距离呢?我们在上一章为了给大家一个诱饵态方法的总体印象,只是介绍了无限多个诱饵态方法。这种方法要求使用无限多个诱饵态,显然是不现实的,因此在这一章我们要做一个现实可行的方案。
首先让我们回到GLLP公式上,我们注意到安全的密钥产生率与钆,,(耳),日2(耳),n,凰(et)有关,但实际上钆,耳是我们监控的对象,我们要让它在正常值允许范围内,因此可以看成不变量。另外,(瓯),凰(%)是B的函数,当耳看成不变量时,当然它就也是一个不变量。于是,我们只要想办法确定n,日。(e。)就行了。虽然这个想法挺简单也很合理,可是做起来却不容易,甚至没有可能。因为只有
硕士学位论文
§4.3非正交编码的诱饵态量子密钥分配协议的安全性非正交编码虽然可以用两光子产生密钥,但是如果A1ice和B0b没法对付Eve的光子柬分攻击的话,Eve仍然能够截掉单光子和双光子脉冲,使得AIice和Bob的密钥安全性大打折扣。本节我们将提出一个非正交编码的诱饵态量子密钥分配协议,然后利用我们提出的非正交编码协议的密钥产生率定理来分析它的安全性问题。
为了更好的体会非正交编码的诱饵态量子密钥分配协议的优越性,我们首先看看没有诱饵态的非正交编码量子密钥分配协议的最优化p值问题。利用(4.25)式,我们可以知道最糟糕的情况下,密钥产生率可以写成:
鼠…£=;(~吼,(耳)岛(%)+Q。+n1,zQ。【l一凰(!警)]),(4-26)其中nt.。表示单单光子和双光子脉冲的总增益分数,满足f2:1一业譬掣.(4.27)、
q“
钆。表示单单光子和双光子脉冲的总错误率。
最优化的“值满足
1一
班1“Ⅲ~k;晦mⅡfelⅢ…。.(4.28)由于现实装置的q《1,我们得到‰。州z、/面。
接下来我们介绍非正交编码的诱饵态量子密钥分配协议。
我们使用4个诱饵态:真空诱饵态以及其他三个弱诱饵态n,屹和的。真空态用来估计背景噪声:
殇=Q"d∞m,
e。=玩一。。::.(4_29)因为暗记数随机
信号态肛与其他三个弱诱饵态岣,比和的的关系为
。<心<吮!;肛<嵝弘
Ⅵ+屹>弘,
屹+均<l上
由(4.6)式,我们可以有
Q“e“=碥+K“+掌+∑墨3M等,
耳Qpe“=印%+e1M“+兰呈萼£+∑譬3e。K鲁,
one”=殇+Hn+鼍笋+∑罂3M鲁,
EnQⅥeⅥ=印K+elH∥1+望鲁五+∑墨3岛K导,
one”=翰+H也+鼍笋+∑罢3M鲁,
E也Q圪e垤=eo%+e1K№+塑导互+∑罢3e;K鲁,
o”e”=%+H均+鼍笋+∑墨3M鲁,
E怕Q均e坞=eo碥+e1M地+里鲁监+∑墨3e。K鲁.
由此,Aiice和B0b可以得到H的下界和e,的上界。K的下界可以由下式求得
印屹e屹一QⅥe均=h(屹一均)+∑晓2鲁(嵋一嵋)
≤H(屹一的)+号笋∑。≥2簪
=K(地一的)+号斧(国。e“一%一H肛)
e-的上界可以由下式求得
%Q如e岣=eo%+e1M的+∑罂2etM鲁
≥80碥十elH怕.
求解(4.32)、(4.33)两式,可得
M≥砰:逝!!二呈塑!竺2;(堡二堕!(壁£!:二堑2p。L屹一地儿肛一屹一Ⅵ)
。,<。_;,:刍坠宝二塑堑‘y产妇
于是,我们可以得到单光子的增益的下界
Q】≥Q}=砰“e一“(4.30)(4,31)(4.32)(4.33)(4.34)f4.351
型甥毒箐俘蘩蠹藿鋈丽蠢霎二i自
鋈薹菠羹莲羹颡篓
上曩薹耋|蒸霾篓擎鬻翼摹蕊蠹辇囊墅薹洋藿差专墨薹鍪襄囊蒌鬻磅囊善妻霪誊鏊饔篮一誊蠹垂芋冀:萋釜誊!蠹囊趋:羹藏瑟曛蒹萋囊醣b曹器爹妻射曩鎏雕嚣玉基磁丽霪爨两篓囊兰菲菩錾一辫囊蕊单薹蠹酽}孵}蕊雾旗查。
鹭睢肇戥霹式时爱蠹更囊;
l:稃蛰枣萎朝篓篓攀鬻雾单稀冀鲤薹萋鋈g鬻型瘦鞣囊馕蕉鬻满草鬟荸妻焉鋈囊藿髟誉!
;:翳雾型碧霪薯冀霉霆鏊墓妻熏篡舞习鋈羹酌i赣薯葡罐一器巴囊÷
÷?占鬟嬲鼯≈甥荔甚“等叁辇囊掌警・蓦攀雾妻。霪≥鍪橐鬟夏豢蓉鍪=鍪妻萋荔爹三-l萋攀誊囊赣妻薹■夏嚣篱蠹}
9、黼霪蠹卧薷舔甄鬻熙仃囊~豁和耄羹雾:■薹冀镡占踅莲荔霞囊霪鏊鬟鬣蠹嗣鬟篓囊霪器其囊冀萋霆裂丘娶爨髦囊型蹩喾釜尝:鬻鬟麓篓琴誉萝£鬻蚕藿鬻州妇预谚谚釜譬强,
薹弦二均璀蓬j零明盆雕垤蠼蓠始豫型羹篓囊删@鏊弓强:j?副霎娜粥馨旦冀墨蠢篡i
!=鳕磷删鏊落篓霪童葡萤箜必;
si甲市羹葑霪兰莺锦糖酾虢j≯寰奎静豁棼葺蠹孙蛩塞囊玢薷彭既羹丽蘸萧鏊;
囊目彰雕篓望涩叫滩啁嘉鬟塑繇卧引掣蔓望型牵缳衔暴釜囊■萋二耄浮萋媾一鞠携唿媚呻霪萄县毕薹蒌荦醛j型羹硝
诱饵态量子密钥分配的研究-33
图4.3:(a)最优化的无诱饵态的非正交编码量子密钥分配协议,
(b)最优化的诱饵态的BB84协议m=o.48),(c)非正交编码的
诱饵态量子密钥分配协议∽=o.48),(d)非正交编码的诱饵态量
子密钥分配协议(卢=o.30),采用GYs实验参数.
议。
§4。4小结
我们在本章主要研究了诱饵态的BB84协议和诱饵态非正交编码协议。我们提出了一个非正交编码协议的密钥产生率定理,并且推广到任意光子数脉冲可产生密钥的普遍情况。我们给出或提出了具体的协议,并通过分析这些具体协议的安全性,我们发现诱饵态方法是对付光子束分攻击的好方法,如果再结合非正交编码思想,其安全性还可以进一步提高。
诱饵态量子密钥分配的研究35
第五章高效简单的诱饵态量子密钥分配
在第四章我们详细讨论了正交编码和非正交编码的诱饵态量子密钥分配协议,然而,目前理论上并没有解决信号态和诱饵态的强度选择问题,只是笼统地说用很弱的诱饵态。在前面的内容里我们也一直没有去讨论如何选择信号态和诱饵态的强度问题,基于这个问题具有重大的现实意义,我们在这一章将提出一个解决的方案。首先我们认识到在使用弱诱饵态做长程密钥分配时,必须满足诱饵态理论基础,基于这个思想我们提出一个满足诱饵态理论基础的必要条件;其次我们还根据在第四章我们所得到的一些结论提出了正交编码和非正交编码的信号诱饵双用量子密钥分配协议方案;最后我们结合这个必要条件和我们新方案讨论了它们的安全性问题。
§5.1实现诱饵态理论的必要条件
为了得出实现诱饵态理论应该要满足的条件,我们先对弱相干态进行分析。正常情况下进行长程密钥分配时,弱相干态的增益和错误率以及各种光子数脉冲的记数率和错误率为
0Ⅱ=K+1一e一”,
Q“q=eo%+eD(1一e一”“),
K=%+%一%%≈%+咖
eo确+eD‰
‰2—1■一”执
‰=1一(1一q)“≈nq.
这里卢表示弱相干态,可以是信号态,也可以是各种诱饵态;%《
对于实际量子密钥分配实验,发送的脉冲数目是有限的,因此必须考虑各种不同强度的相干态的数量分配。在考虑各种不同强度的相干态的数量分布时,由于真空态不存在衰减,少量的真空态就够了,所以我们以后就忽略真空态的数日要求。为了保证诱饵态理论基础(3.12)式的有效性,我们必须探测到至少一个来源于4光子脉冲的错误记数。而对于5光子以及5光子以上脉冲的错误记数可以忽略,这在第三章讲诱饵态理论时我们就已经讨论过。
硕士学位论文
任意给出的脉冲总数为%。。弱相干态,它的么n光子脉冲的错误记数孵””可以用公式表示为:
孵””=虬n”q碥龟(5.2)因此我们得到一个现实诱饵态方案必须满足的一个条件
Ⅳi7’or=』V赢ggKeD=4Ⅳ:。Ⅳ口P4卵eD≥1
对于标准的船84和sARG04协议q值分别为q=1/2和口=1/4。
这个条件可以用来选择合适的但不一定是最佳的信号态和诱饵态的强度。还是以GYs实验参数为例,取发送的脉冲总数Ⅳ=72×10。,并考虑传输距离1.100km,同时取典型的BB84实验上诱饵态强度v=o.04和信号态强度“=o48为参数。首先我们用(53)式来计算一下诱饵态v=o04和信号态p=o.48的数量要求。简单计算后得结果:对于船84,凡≥2.05×1010;对于sARG04,M≥4.1×lo”。这就说明,必须提高诱饵态强度,否则诱饵态方法就会失效。现在我们让v=o.2,则变成:对于船84,帆≥3.84×107;对于sARG04,虬≥7.69×10,。由此可见,非常弱的相干态在长程密钥分配实验上是低效的,我们必须使用更高强度的诱饵态。显然,光强越弱,需要的量越多。那么是否就可以随意增大相干态强度呢?答案显然是否定的。因为文献f39j已经证明诱饵态强度越弱越好。粗略考虑,强度为o2左右是比较合适的。
§5.2信号诱饵双用BB84协议
上一章我们在求单光子记数率的下界时得到一个结论;使用两个诱饵态时,Eve只有截掉所有两光子以上的脉冲,并提高两光子脉冲的记数率,才能使Alice和B0b的单光子记数率取得最低值,让他们的密钥产生率达到最低。基于这一点,我们实际上只需要求出y0,yl,%向,e,的值,其它%=e。=o。这样,我们可以用三个不同强度的相干态就可以求出这些界值。殇,eo仍然用真空态得出其正常值。
诱饵态量子密钥分配的研究37
另外两个分别为诱饵态”和信号态肛。根据刚才的分析有
Q“耳e“=碥80+Mel“
Q“ep=殇+Hp+M肛2/2,
QFl0∥=翰80+H81∥,
Q,e”=碥+H∥+蚝∥2/2(5.4)求解后得到:
,,n一———■顽正了广—一’(v2一肛2)碥一Ⅳ2Qpe卢+灿2.。pe”
硷:塑2关些,e,=掣,(55)
显然,我们的结果是我们上一章求出的H,e-结果(4.16)、(4.17)式的特例。利用公式(4.5)或者(418)就可以求出安全的密钥产生率。
值得注意的是,由于我们所使用的非。强度的诱饵态的强度比较高,因此它也就可以用来产生密钥。因此,我们也把这种新的方法叫做信号诱饵双用量子密钥分配协议。利用GYS实验参数,用我们现在的方法进行数值模拟结果如图(5.1)。我们可以看到这个新方案几乎能达到诱饵态方法的安全极限。由于非常弱的诱饵态方法实际不可用,所以,新的方法是一个高效的方法。
§5.3非正交编码的信号诱饵双用量子密钥分配协议与正交编码的诱饵态协议一样,上一章我们在求单光子和双光子记数率的下界时也有类似的结论:使用两个诱饵态时,Eve只有截掉所有三光子以上的脉冲,并提高三光子脉冲的记数率,才能使Alice和Bob的两光子记数率取得最低值,让他们的密钥产生率达到最低。基于这一点,我们实际上只需要求出%,M,班,酶,e0,e・fe2的值,其它碥=‰=o。这样,我们可以用4个不同强度的相干态就可以求出这些界值。注意我们在上一章使用了5个不同强度的相干态,而且有严格的关系要求,因此理论上求出来的安全性更高。但是,由于它的要求更高,因而也就更难实现。我们在这里提出一个安全性稍差,但更易实现的非正交编码的诱饵态量子密钥分配协议。蚝、e0
诱饵态量予髯”鞭媸喽姐罐,¨目
峪q。!;蚌剖虽鞭剧叫副堂嚣剐甄引型垒引霆雾I:萄争?赫"弛
朔瞒写毫霍押群耋餮!g弹黟
羹翼霉韵囊篓謦鏊薹霎羹i}!誊i丝;;!l耄i霉;型蛰夏i
ji;r_i一。●。i2一■jj—ji10_:^_:。i毫i一番i釜二___:f—i亭。;一二j-≥ii主手莘|j;耋霪萋。?j^:':i
o・i
_?・iii幽kk霪谨建鬟藿蠹giMi曩j麓●璧夔蚕蒸莩皇?羔霉≤誊●童蠢一三?三ii。;;;薹_aa一鲁萋爹彝罐i;qj霎i兰蔓一,i喜纛囊妻擎■jt一!譬爱囊冀墓?熏蠹《==二=;兰≥?妻?鎏雾i{鋈薯-?运■i兰;蜜蔓辇羹.
■善誓耄~藿;jj妻荸i■l|童墨耋■童塑iljli终§塾。
簿酣薰豢薹铲蠢囊基囊叁恚蓉崩:茎0辇掌g£鬻霾囊碗茸1喜i帝;:陵鍪甏鬲l§?i;i黼7
耋誊喜诿茎i茎i羹i蓑ii辐;蠡塑i萋饕!;j・至二i要l;;薹季j{≤一麓ji妻i!li?i量j三参;錾囊壅兰囊爨蓄聂鞯彝鞲蕊篷竖薹垂茎薯争秀蓥囊篓彳壤j每们蕈砉薪辎沓萄囊釜匠j羹藜酆的蒲主,表营醇鋈重±蔷明貂肇霎蝗錾翳蓄臻嚣娑;
蕈三i:一粪≮g!蓊;!ii.!lji§;
硕士学位论文
i茎:耋舀割崩前孽舆毳闭蓥1豆鑫橙挝誓萋峦鬻孺潲嘲冀纂嚣鞘晖琵珏爨匿妻囊荟翟冀罐参霎妻j阳退刮副耋i;jj雾嚣≤g芬酚诉设董;;薹蝣掳鲤霸捌鞫管塑;昔;;lJ、禽基蓖蠹翁扒基羹羹擎蠡护繁南;∞蛰拿ii;;落蠢i§态尹翱雕纠非朗蛰钮薹j果时萋雾旃喜薹~掣角惑凭季刊鬟强赣婪墨霆璀捕碗∞蝎黧i垦F弼铡扣蘩誊囊纂d利稻羹套萋萋干妻孺稀再薹鲞瑟葡霭寸日刘副萎弗醣褂誊翼;
些善饕舌誊矗爵鲞i瘊#≯霖酾藜置堂器日鍪爹暨£受蠼岔驯烈;整霆噬塑盾曼蔼灌秦司蒸薹彰削墅乩E出醚瑟蓄飘影巍鞴霪罨毛蓼妻黠薷琵.爨哗li二iii罐:娣豢摆善甏覆蒙萎雾的封妻壅j鞍叁1羹伊融姜蓦鍪j
雾…;鬟;l—n!!磐!疆i姐!霉薹!囊蔓;?;萎i}"~蓬!i妻iii;
墅堡囊i:;手奏猷髟鲥斛藤葑舅刮糊萤篓蚕蓄凳i;iiii
诱饵态量子密钥分配的研究-41
第六章总结与展望
本论文是作者在攻读硕士学位期间关于量子密钥分配协议方面的学习和研究工作的一个具体总结。结构上,形成了:量子密钥分配的概述辛原理和主流方案辛现实存在的安全问题以及解决策略辛具体的策略及其安全性分析。
本文几个独到之处分别是:
1,对量子不可克隆定理以及对非正交态的测量必定扰动态这个理论给出较为新颖的证明;
2,提出了非正交编码的安全密钥产生率的定理,并推广到一般情况;
3,提出了非正交编码的诱饵态量子密钥分配协议。其安全性比先前的任何协议都要好很多,使得长程密钥分配更加安全;
4,提出了诱饵态方法成立的一个必要条件。利用这个条件可以定量地分析现实的诱饵态量子密钥分配中各相干态强度的选择问题,进而提出了信号诱饵两用的量子密钥分配协议。
目前,诱饵态量子密钥分配还有几个重要的问题期待解决:1,是弱相于态的涨落问题;
2,弱相干态强度的最优化问题;
3,诱饵态方法的局限性问题,或者说寻找更好的解决光子束分攻击的办法问题。
量子密钥分配在量子信息学中各主要部分中很可能最先走向实用,目前已经有从实验室走向商业应用的迹象。由于其在保密通信上的重要意义,各国政府都当重视,因此对此投入重资。正因为如此,越来越多的人投入到量子密钥分配的研究当中,使得目前量子密钥分配无论在实验上还是在理论上都进展迅速。我们相信,随着量子密钥分配理论和实验的进步,它必将丰富人们对量子力学的理解,也将促进量子力学的发展。最后,我以量子密钥分
重堡查量王宣塑坌里竺堡塞:!!:
参考文献
1】P.W.Shor.Proceedingsof
puterScience.LostheSymposiumontheFoundationsofCorn-Alamitos.Caltfornia:IEEEComputerSocietyPress.New,,0他.1994.124-134.
2】N.Gisin,G.Ribordy,W.Tittel,&H.Zbinden.QuantumRev.Mod.ehys.,2002,74:145.Cryptography
3】S.Wiesner.Conjugatecoding.SigactNews.1983,15:78
International4】C.H.Bennett,G.Brassard.Proceeding
Computers,Systems
175.andConferenceonSignalProcessing.IEEE,New托北)1984.
5]C.H.Bennett.,F.Bessette,G.Brassard,L,Salvail,andmentalquantumcryptograpby.JournalJ.Smolin.Experi—ofCwptology.1992,5:3-28
Bell’S6]A.K.Ekert,Quantumcryptographybasedontheoremphys
.Re".Lett。1991.67:661—663.
【7]C.H.Bennett.Quantumcryptographyusinganytwononorthogonalstates.Phy.Rev.Lett.,1992,68:3121—3124
8】A.Muller.,et
lakea1.Quantumcryptographyover23kinininstalledunder-telecomfibre.Europliys.Left,,1996130:335—339.9]P.Townsend.Opticalenerytionmakesnetworksmoresecure.fibersys—temsinternational.2000.1:30—32,
10】RJ.Hughes.,eta1.Quantumkeydistributionovera48kmopticalfibrenetwork.J.Mod.opt,2000,47:533—547.
111W.T.Buttler.,eta1.Daylightquantumkeydistributionover1.6km.尸hy.RevLett.,2000,84:5652-5655.
121T.Kimura.eta1.Single-photonInterferencesionUsingover150kmTransmis。forSilica-basedIntegrated—opticInterferometersQuantumCryptography.却n.,Appl。Phys..2004,43:L1217-L1219.
44硕士学位论文
13】YiZhao,BingQi,XiongfengMa,Hoi—KwongLo,andLiQian.Experimental
QuantumKeyDistributionwithDecoyStates.phys.Rev.Lett.,2006,96:070502.
141Liao.J..etaI.Truerandomnumbergeneratorbasedonaphotonbeam-
splitter。ActaPhysicaSinica.2001,50:46%472.(inChinese)噻静,等.基于光量子的真随机源.物理学报.2001,50:46%472.1
15]Liang.C.etal,Quantumkeydistributionover1.Ikminan850nm
experimentalall-fibersystem.ActaPhysieaSinica.2001,50:1429—1433.(inChinese)[梁创,等850nm光纤中1.1km量子密钥分发实验.物理学报2001,50:1429・1433.]
Li,QingPan,JietaiJing,JingZhang,ChangdcXie,andKunchi
Peng.QuantumDenseCodingExploitingaBrightEinstein-Podolsky—RosenBeam。Phys.Rev.Left.,2002,88:047904.
17】X.一F.Mo,B。ZhujZ.一F.HanIY—Z.Gui,andG.一CGao.Faraday-Michelson
systemforquantumcryptography.optLeft.,2005,30:2632—2634.is]MiehaeA.NidsenandIsaacL.Chuang.QuantumComputationand
QuantumInformation.CambridgeUniversityP”5s.2000:586.19]Huttner.B.,N.Imoto,N.Gisin,andT.Mor.QuantumCryptographywith
CoherentStates。Pl嶝s.rev.A.1995、51:1863—1869.
201LfitkenhausN..Securityagainstindividualattacksforrealisticquan—
tumkeydistribution.PhysRev.A2000,61:052304.
211G。Brass∞d,eta1.LimitationsonPracticalQuantumCryptography
P蛔s.船nLeft.,2000,85:1330・1333
22】LiitkenhausN.andJahmaM.,Quantumkeydistributionwithrealistic
states:photon-numberstatisticsinthephoton-numbersplittingat—tack.New.J.Phys一2002.4:44.
23】HwangW.Y.jQuantumKeyDistributionwithHighLoss:Toward
GlobalSecureCommunication.Phys.Rev.Lett.,2003,91:057901【16】Xiaoying
硕士学位论文45
24】ScaraniV.,eta1.QuantumCryptographyProtocolsRobustagainst
PhotonNumberSplittingAttacksforWeakLaserPulseImplemen-tatlons.P仇弦Rev.Lett.,2004,92:057901
25】Chi-HangFredFung,KiyoshiTamaki,Hoi-KwongLo.Ontheperformance
oftwoprotocols:SARG04andBB84.Phys.Rev.A,2006,73:012337.26】Wooters,W.K.andZurek,WH.,Asinglequantacannotbecloned
Nature.1982、299:802—803.
27]A.Einstein,BPodolsky,andN.RosenCanQuantumMechanicalDe-
scriptionofPhysicalRealityBeConsideredComplete7.P^驴.Rev.,1935.47:777.
28】Ivanovic,I.D.,Howtodifferentiatebetweennon-orthogonalstates
Phys.Lett.A1987,123:257-259.
29】Peres,A.,Howtodifferentiatebetweentwonon-orthogonalstates
Phys.LettA1988,128:19.
30]Huttacr,B.,J.D.Gautier,A.MullerH.ZbindenandN.Gisin.Unambiguous
quantummeasurementofnon-orthogonalstates.Phys.Rev.A.1996a,54:3783.3789,
31】Clarke,M.,RB.,A.Chefles,s.MBm'nettandE.Riis.Experimental
DemonstrationofOptimalUnambiguousStateDiscrimination.Phys.Re".A2000.63:040305.
32]JS.Bell.ONTHEEINSTEIN—PODOLSKY-ROSENPARADOX
尸蚴sics(LongIslandCity,N.Y.),1964,1:195.
33】JolmF.Clauser,MichaelA.Home,AbnerShimony,RichardA.Holt.Pro.
posedExperimenttoTestLocalHidden-VariableTheoriesmⅣs.Rev.Lett..1969.23:880.
f34]Freedmann,S.J.andJ.F.Clauser.Experimentaltestoflocalhiddenvari.
abletheories.PhysRev.Left.,1972,28:938—941.
35]Fry,E.S.andR.C.Thompson。Experimentaltestoflocalhiddenvariable
theoriesPhys,Rev.Lett.,1976,37:465—468
硕士学位论文
361Aspect,A.,J.Dalibard,andG.RogerExperimentalTestofBell’sIn-
equalitiesUsingTime-VaryingAnalyzers.Phys.Rev.Left.,1982,49:1804-1807.
37]Lfitkenhaus,N.,Securityagainstindividualattacksforrealisticquan-
rumkeydistribution.P^”.Rev.A.2000,61:052304.381LoH.K.eta1.DecoyStateQuantumKeyDistribution.Phys.Rev.Lett.
2005,94:230504.
39]Max.F.eta1.PracticalDecoyDtateforQuantumKeyDistribution。
Phys.Rev.A.2005,72:012326.
40】MayerstD.jUnconditionalSecurityinquantumcryptographyJ.ACM
.2001,48:351.
411Lo.H.一K.andH.F.Chau.Unconditionalsecurityofquantumkeydistrl—
butionoverarbitrarylongdistancesScience1999,283:2050-205642JShor,P.W.,andJ.Preskill.SimpleproofofsecurityoftheBB84Quan—
turnkeydistributionprotocolPhys.Rev.Lett,2000,85:441—444.43]Briegel,H.一J.,DurW.,J.I.Cirac,andP.Zoller,QuantumRepeaters:The
RoleofImperfectLocalOperationsinQuantumCommunication.P魑归.Rev.三e竹.,1998,81:5932—5935.
44]Wangx.B.eta1.BeamsplittingattacktotherevisedKKKPprotocol
andapossiblesolution.20061PreprintarXiv:quaz,t—ph/0603010.45】WangX.B.,BeatingthePhoton-Number—SplittingAttackinPractical
QuantumCryptographyPhys.RevLett.,2005,94:230503.46】WangX.B。,Decoy-stateprotocolforcryptographywithfourdifferent
intensitiesofcoherentlight.mys.Rev.A.2005,72:012322.47]CaiQ.Y.andTanY.G.,Photon-number-resolvingdecoy—statequantum
keydistribution.Phys。Rev。A.2006,73:032305.
481Jing-BoLi,Xi—MingFang.NonorthogonalDecoy—StateQuantumKey
Distribution.Chin.Phys。Left..2006.23:775—778;LiJB.andFangX.
硕士学位论文47
M.,NonorthogonalDecoy-StateQuantumKeyDistribution.2005
PreprintarXiv:quant—ph/0509077.
491LiJ.B.andFangX.M.HighEfficientQuantumKeyDistributionby
RandomUsingClassifiedSignalCoherentStates.Chin.Phys.Lett.,
2006,23:1375-1378.
50]Chi—HangRedFang,KiyoshiTamaki,andHoi—KwongLo.Performanceof
twoquantum-key・distributionprotocols.Phys.Rev.A.2006,73:012337.
51】D.Gottesman,H.一K.Lo,N.Lfitkenhaus,&J.Preskill.Securityofquantum
keydistributionwithimperfectDevices.QuantumInfo.andComp.,2004,
4:No.5.PP.325-360.
[52]Brassard,G.andL.Salvail.Secrete-keyreconciliationbypublicdiscus-
sion.AdvancesinCryptology,Euwcrypt'93Proceedings1993.410-423.
53】C.Gobby,Z.L.Yuan,&A.J.Shields.Quantumkeydistributionover122
kmofstandardteleeomfiber.Appl.Phys.Lett.,2004,84:3762.
54JCsisz矗r,I.andK6rner,J.,Broadcastchannelswithconfidentialrues-
sages.IEEETransactionsOnInformationTheory.1978,24:339.348.
硕士学位论文
攻读硕士学位期间完成的论文
[1]LiJin廿BoaⅡdFhngxi-Ming,NonorthogonalDecoy-stateQuantum
KeyDistribution.
《孔打a.PhⅣs.Le托.,2006,23:775—778.
[2]“Jing—Boand№gxi-Ming,HighEmcientQuantumKeyDistribu_
tionbyRandomUsingClassifiedSign“CoherentStates,C瓤忆.P^掣s.Le托,2006,23:1375.1378.
硕士学位论文49
致谢
本文自始至终都是在方细明教授的指导下完成的。在三年的学
习和研究过程中,方老师严谨的治学态度和他在理论和实验方面的
独到见解使我受益匪浅,并激励着我不断努力进取。同时,方老师
在学习和生活中给我的不倦教诲和无私帮助使我终身难忘。在此,
谨致以我最衷心的感谢和诚挚的敬意。
在攻读硕士学位期间,我从匡乐满教授小组那里得到了许多有
益的指导和帮助,在此特向他们表示衷心的感谢。同时,我也感谢颜
家壬教授、海文华教授、方卯发教授、周光辉教授、曾浩生教授、侯
丽珍老师、苏益娟老师以及资料室谢老师和黄老师的教导和帮助。
此外,赵海军,邓洪亮,张涵,曹永正,唐政华,单永光,曹帅,
谭佳,汪新文,王国友等师兄弟也给过我很多的帮助。
最后我要感谢我的家人对我一如既往地关心和爱护以及经济上
支持。感谢年迈又无一技之长的父母不但要为自己的生计奔波,还
要支持我的学习,照顾我的妻子和我那刚满周岁的孩子以及我那90
多岁的爷爷。感谢我的爱人刘丽娟,结婚三年来,我们相处的时间不
到半年,但她从无怨言,即使怀孕时她非常希望我能陪在她身边,
但她为了我能安心学习,从来不向我叫苦,反而不断地鼓励我好好
学习,不断地叮嘱我注意身体。特别的,我要感谢我刚满周岁的女
儿,她什么都吃,因此身体非常健康,使我能集中精力学习。
李靖波
20063
硕士学位论文
湖南师范大学学位论文原创性声明
本人郑重声明:所呈交的学位论文是本人在导师的指导下独立
进行研究工作所取得的成果。除文中已经注明引用的内容外,本论
文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文
的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律结果由本人承担。
学位论寿擘姆彩做驯年名月,,日7
湖南师范大学学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,
同意学校保留并向国家有关部门或机构送交论文的复印件和电子
版,允许论文被查阅和借阅。本人授权湖南师范大学可以将本学位
论文的全部或部分内容编入有关数据进行检索,可以采用影印、缩
印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密口,在一年解密后适用本授权书。
2、不保密酉。
作者签名:摘日期:∥缉6月,2日(请在以上相应方框内打“v,”)
导师签名:方如堋日期:加绰,月户日
诱饵态量子密钥分配的研究
作者:
学位授予单位:李靖波湖南师范大学
本文读者也读过(10条)
1. 任保友.高宽云.赵翠兰.REN Bao-you.GAO Kuan-yun.ZHAO Cui-lan 量子环中量子比特内的电子概率密度分布
[期刊论文]-发光学报2008,29(2)
2. 宋克慧.Song Ke-Hui 利用Λ型原子与双模腔场的相互作用进行量子信息处理[期刊论文]-物理学报2005,54(10)
3. 李艳玲.冯健.孟祥国.梁宝龙.Li Yan-Ling.Feng Jian.Meng Xiang-Guo.Liang Bao-Long 量子比特的普适远程翻转和克隆[期刊论文]-物理学报2007,56(10)
4. 吕丹丹 基于超导量子比特的量子信息处理[学位论文]2010
5. 王子武 抛物线性限制势量子点量子比特性质的研究[学位论文]2007
6. 肖正安 B92量子密钥研究及其计算机仿真[学位论文]2005
7. 简丽 量子密钥在经典安全体制中的应用研究[学位论文]2008
8. 党纪源 原子-腔场相互作用系统中未知量子态远程传送的研究[学位论文]2007
9. 周腾飞 磁通量子比特电路消相干的研究[学位论文]2008
10. 孙国柱.吴培亨.吉争鸣.包慧玲.许伟伟.康琳.陈健.SUN GUO-ZHU.WU PEI-HENG.JI ZHENG-MING.BAO Hui-ling.Xu Wei-wei.KANG Lin.CHEN JIAN Josephson结开关电流分布的测量方案探讨[期刊论文]-低温物理学报2005,27(3)
本文链接:http://d.wanfangdata.com.cn/Thesis_Y912721.aspx
湖南师范大学
硕士学位论文
诱饵态量子密钥分配的研究
姓名:李靖波
申请学位级别:硕士
专业:理论物理
指导教师:方细明
20060301
诱饵态量子密钥分配的研究
摘要
从单量子层面上来说,量子密钥分配很可能是量子力学理论的第一个实际应用。理论上,量子密钥分配可以保证通信过程中密钥的绝对安全性,因此使得传统密码术自惭形秽。然而,由于现实存在的缺陷,因此目前所有的量子密钥分配实验,从根本上来说,其实是不安全的。为了减小理论和实际上存在的巨大的差异,近来有人提出了用诱饵态来显著提升量子密钥分配性能的想法。进一步研究诱饵态量子密钥分配正是本文所要做的主要工作。
全文分为六章。第一章主要介绍量子密钥分配的发展历史以及最新进展。第二章介绍了量子密钥分配的基本原理和三个最具代表性的方案。其中对量子不可克隆定理以及对非正交态的测量必定扰动态这一理论给出较为新颖的证明。第三章先是给出了用弱相干态实现的量子密钥分配的数学模型,接着介绍了窃听者的“光子束分攻击”策略,最后给出了对付光子束分攻击的两种重要方法(诱饵态方法和非正交态编码方法)的基本思想和具体操作过程。第四章我们首先分析了诱饵态BB84协议的安全性,接着我们提出了一个计算非正交编码量子密钥分配的密钥产生率定理,并把这个定理推广到普遍情况。在此基础上我们提出了一个具体非正交编码的诱饵态量子密钥分配协议来分析其安全性。第五章我们进一步研究了现实的弱相干态量子密钥分配实验,并在此基础上提出了确保诱饵态量子密钥分配实验有效的一个必要条件,进而提出了一个信号诱饵双用的量子密钥分配方案。最后在第六章我们对本文的工作进行了总结和展望。
关键词:
密钥产生率量子密钥分配;诱饵态;量子比特误码率;计数率;
Il硕士学位论文
ABSTRACT
quantumkeydistribution(QKD)couldwellbethe丘rstapplicationofquantummechaⅡicsatthesingle—quantumlevel.Intheo吼QKDholdsthekeytounconditionalsecurityincommunications,whichmakethetraditionalcryptographyfellsmalLInprac“ce,allrecent10ng-distanceimplementationsofQKDarefundamentallyinsecure,duetoreaLlifeimperfections.110bridgethjsbiggapbetweentheoryandpractice,theidealofdecoystateshasrecentlybeenproposedforsubstanti以lyimprovingtheperformanceofQKD.Afurtherstudyofdecoy—statemethodisthemainworkofthispaper.
Thepaperiscomposedofsixchapter.Theflrstdlapterismainly出medtointroducethehistoryofdevelopmentandlatestprogressinthefieldofQKD。Thesecondchapterintro(1ucesthebasictheoriesofQKDa血dthethreemosttypic“QKDprotocols.Inchapterthree,we丘rstlym。delthereal—lifeQKDsetupwhichusestheweakcohereIltstateasthe80urceWethenintro—ducethep}∞ton_number—split“ng(PNS)attack,andgivethebaSicidealsandoperationsoftwoimportantme七hods,thedecoystatesandthenonorthog伊nal衄codingmethod,whjchareusedtocombatthePNSattackInchapterthree,Ⅵ陀丘rstly眦1alyzethesecurityissueofdecoy_stateBB84protocol,thenpresentatheoremforcalculatethesecurekeygenerationrateofanonortho争onalencodingscheme,whichareextendedtothegener出situation.Basedonthistheorem,wepresentaspeci矗cnonorthogon以decoy—stateQKDproto—colfollawedbya8ecurityanaly8is.Inchapterfive,wefurtherourstudyofthepracticalweakcoherentsateQKDexperiHlents,andobtainanecessaryconditionofpracticaldecoy一8tateQKDprotoc01s.WethenproposeaSignal—decoydualpurposeQKDprotoc01.Finallylinchaptersix,硼giveaconciseconclusionofthi8paperandmakeanexpectationofthefutureinthis丘eld
Keywords:quantumkeydistribution;decoystate;quantumbiterrorrate;countingrate;securel(eygenerationra土e
诱饵态量子密钥分配的研究
第一章绪论
当今世界,小至人与人之间,大到国家与国家之间的信息交往,越来越依赖于电信与互联网进行传输。然而,一些高明的窃听者可以神不知鬼不觉的获取这些信息。1917年,英国破译了德国外长齐默尔曼的电报,促成了美国对德宣战。1942年,美国从破译日本海军密报中,获悉日军对中途岛地区的作战意图和兵力部署,从而能以劣势兵力击破日本海军的主力,扭转了太平洋地区的战局。在保卫英伦三岛和其他许多著名的历史事件中,密码破译的成功都起到了极其重要的作用,这些事例也从反面说明了信息安全在信息交流中,尤其是在商业、军事、国防领域占有至关重要的地位。
密码术正是为了防止信息的泄露而逐步发展起来的。根据其使用的原理的不同,主要刻分为两类:传统密码术和量子密码术。其基本思想是将要传送的信息采用某种方式进行变形,只有合法用户才能从中恢复出原来的信息,而对非法用户来说这些变形了的信息是无法理解的。密码学中,习惯上称信息发送者,接收者及窃听者分别为A1ice,Bob和Eve。随着计算机技术的发展,目前实现这一目标需要通信
硕士学位论文
典的客体,经典信息可以任意复制,原则上不会留下任何印迹,因而密钥在分发和保存过程中合法用户无法判断是否已被窃听;
二是公钥密码体制,也称为非对称密钥密码体制。在该体制中,加密密钥和解密密钥不相同且很难互推。它可以为事先没有共享密钥的双方提供安全的通信。这种体制的原理最初由stanford大学的Ⅵmi垤eldDi毋e和MartinHellman两人在1976年提出。两年后,也就是1978年RonaldRivest,Adishmir和LeonardAdlemaIl三人就把它发展为著名的RsA公钥密码体制(现在经典计算机上使用),它的安全性是基于把一个大数分解成为两个素数之积这种独特的数学操作的困难之上,也就是利用大数N因子分解所需的计算次数与N的指数次方成正比,不断地增大N,.即不断地以指数方式增加所需的计算次数,直至N大到几乎不可能对它进行因子分解。简单地说,就是不发放私钥而利用两个大素数的乘积难以分解来加密。这两个不同的钥匙:一个是公开的,另一个是秘密的。从公钥很难推断出私人密钥。持有公钥的任何人都可以加密消息,但却无法解密,只有持有私人密钥的人才能够解密。这就像发电子邮件一样,用公钥进行加密就相当于将邮件发到别人的邮箱,任何人都可以做到。而用私钥解密则相当于从邮箱中取出邮件,只要拥有私人密钥就可以很容易地做到,但如果没有私钥要想解开加密后的消息却会非常困难。然而大数因子化的快速算法的存在以及计算机运行速度的不断提高,特别是1994年Petershor提出的用量子计算机实现大数因子化的多项式快速算法f1]的预言无疑敲响了公钥密码体制的警钟。
理论上唯一能确保不可破译的传统密码体制是vernam密码(这是一种对称加密体制,它要求密钥与明文一样长,而且每个密钥只能使用一次,故也称为一次一密)。这种体制需要双方共享与要传送的明文文件同样大小的庞大密钥,这给常规的密钥分发和储存提出了不现实的要求,因而实际上不易广泛使用。作为这种理想密钥体制的近似,若能有这么一种方式;①密钥能够在公开信道中直接发送,且不担心被第三者窃听;②即使密钥被窃听了,也可以通过检验窃听者留在密钥中的蛛丝马迹,知道该密钥已经不安全,保证实际通信中不用已经失密的密钥。至少就可以解决这样几个关键问题:1)解决了密钥分配和贮存,不必要繁琐的会晤或信使往来,实现密钥的实时分发,杜绝了信使途中泄密的可能性,而且事实上不需要密钥的长时间贮存;2)窃听的可检测性保证了密钥的可靠性,也就保
硕士学位论文
典的客体,经典信息可以任意复制,原则上不会留下任何印迹,因而密钥在分发和保存过程中合法用户无法判断是否已被窃听;
二是公钥密码体制,也称为非对称密钥密码体制。在该体制中,加密密钥和解密密钥不相同且很难互推。它可以为事先没有共享密钥的双方提供安全的通信。这种体制的原理最初由stanford大学的Ⅵmi垤eldDi毋e和MartinHellman两人在1976年提出。两年后,也就是1978年RonaldRivest,Adishmir和LeonardAdlemaIl三人就把它发展为著名的RsA公钥密码体制(现在经典计算机上使用),它的安全性是基于把一个大数分解成为两个素数之积这种独特的数学操作的困难之上,也就是利用大数N因子分解所需的计算次数与N的指数次方成正比,不断地增大N,.即不断地以指数方式增加所需的计算次数,直至N大到几乎不可能对它进行因子分解。简单地说,就是不发放私钥而利用两个大素数的乘积难以分解来加密。这两个不同的钥匙:一个是公开的,另一个是秘密的。从公钥很难推断出私人密钥。持有公钥的任何人都可以加密消息,但却无法解密,只有持有私人密钥的人才能够解密。这就像发电子邮件一样,用公钥进行加密就相当于将邮件发到别人的邮箱,任何人都可以做到。而用私钥解密则相当于从邮箱中取出邮件,只要拥有私人密钥就可以很容易地做到,但如果没有私钥要想解开加密后的消息却会非常困难。然而大数因子化的快速算法的存在以及计算机运行速度的不断提高,特别是1994年Petershor提出的用量子计算机实现大数因子化的多项式快速算法f1]的预言无疑敲响了公钥密码体制的警钟。
理论上唯一能确保不可破译的传统密码体制是vernam密码(这是一种对称加密体制,它要求密钥与明文一样长,而且每个密钥只能使用一次,故也称为一次一密)。这种体制需要双方共享与要传送的明文文件同样大小的庞大密钥,这给常规的密钥分发和储存提出了不现实的要求,因而实际上不易广泛使用。作为这种理想密钥体制的近似,若能有这么一种方式;①密钥能够在公开信道中直接发送,且不担心被第三者窃听;②即使密钥被窃听了,也可以通过检验窃听者留在密钥中的蛛丝马迹,知道该密钥已经不安全,保证实际通信中不用已经失密的密钥。至少就可以解决这样几个关键问题:1)解决了密钥分配和贮存,不必要繁琐的会晤或信使往来,实现密钥的实时分发,杜绝了信使途中泄密的可能性,而且事实上不需要密钥的长时间贮存;2)窃听的可检测性保证了密钥的可靠性,也就保
诱饵态量子密钥分配的研究3
证了通信本身的安全性;3)如果密钥分发速度足够高,实现vernm体制不是不可能的。幸运的是,量子力学一手要致传统密码体制于死地,另一手却又创造了一把新的利器一量子密码体制。量子密码体制可以看成是传统vemam体制的量子力学版本。尽管目前它还没有达到真正实用的程度,但其发展神速,有望成为量子信息最先成功应用予社会的一个方面。
§1.2量子密码术概述
20世纪量子力学的诞生和信息科学的迅猛发展,以及信息安全的迫切需求,促使了两者的结合,其产物一量子密码术一为解决信息安全这个历史难题带来了希望的曙光。
量子密码术【2】,能够使初始时刻可以互相认证的通信双方就再也不必担心有人会神不知鬼不觉地窃取信息。他们可以在公开信道上而进行绝对安全的通信。由于信息安全的核心部分是建立安全的密钥。因此,本文讨论的量子密码术实际上应该叫量子密钥分配。
量子密码术成功地解决了传统密码学中单靠数学无法解决的问题并引起国际上高度重视。它的思想最早来源于美国哥伦比亚太学的stephenwiesner在1969年提出的量子钞票[3】。但是由于这个思想太令人难以置信了,所以直到1983年才得以刊出。1084年与stephenwiesn”很熟悉的Bennett.c.H和Br”sud.G首先提出第一个量子密码分配协议BB84协议f41,并于1989年在IBM公司Thomas.J.walson研究中心由他们自己实现了第一次量子密钥传输演示实验[5】。1991年牛津大学Ekert.A.K.提出E91协议【6]。1992年BeⅡnettc.H指出只用两个非正交态即可实现量子密码通信并提出B92协议[7】。自此量子密码通信三大主流方案已基本形成。20世纪90年代以来世界各国的科学家对量子密码通信的研究热情迅猛发展并在这一领域取得很大成功:瑞士universi毋0fGeneva在原有光纤系统中已建立22.8km量子保密通信线路并投入了实用【8];英国BT实验室已实现在常规光缆线路上量子密码通信传输距离达55m【9];美国LosA1amos实验室已成功实现48km量子密钥系统运行两年【10],2000年他们在自由空间中使用QKD系统成功实现传输距离为1.6公里[11]。可以说量子通信已进入大规模实验研究阶段。2004年量子保密通信的距离已延伸到
诱饵态量子密钥分配的研究
第二章量子密钥分配
19世纪经典电动力学的产生、发展和形成深刻地影响了20世纪的历史进程。电动力学的应用使整个20世纪打上了电子时代的烙印。当时光流转到20世纪,人类迎来了科学发展史上又一个春天。相对论、量子力学和信息科学的诞生,把人类带入了一个超乎想象的世界:时空变化的星际旅行,微观粒子的不确定性,虚拟的现实。在这三大发现当中,量子力学潜在的应用领域是最值得物理学家和工程专家期待的。量子力学最显著却也是最奇异的特征就是它的单粒子的量子态叠加性和多粒子的纠缠特性。而这两点正是量子密码术植根的基础。本章我们将给出量子密码术的基本物理原理和最具代表性的量子密钥分配协议。
§2.1量子比特与量子态叠加原理
在量子力学中,微观体系的状态是用波函数(Y-称态函数)I皿)来完全描写的,力学量是用线性厄米算符描述的。这就使得波函数必然具有线性叠加性。波函数的线性叠加性,即量子态叠加原理,是量子力学基本原理,其一般表述如下:
当l皿,),I皿。),l皿。),…,{‰),…是粒子的可能态时,则它们的线性叠加态,
1皿)=Cl{皿1)+C2I皿2)十c3l皿3)+・・・+‰I皿n)+,+,(2.1)也是粒子的可能态。式中,叠加系数CI,C2,c3,.,cn,…一般为复数。必须指出:波函数本身不代表实际物理量的波动,因此波函数的线性叠加性不同于经典波的叠加原理,它不是实际物理量的叠加。波函数与粒子在空间的概率分布有关,波函数的线性叠加性使得微观粒子的空间概率分布具有相干叠加性,这正是微观粒子最引人入胜的地方。量子信息正是利用了这一点,但就是这一点就足以令物理学家和信息工程专家投入无比的热情。
在经典的信息理论中,信息的最小单位是比特(bit),正好对应一个二进制数据位。它只有两种选择,即“0”或“I”。量子信息的基本单元是量子比特(qubit),它由一个两态量子系统构成,用io)和11)表示。所不同的是,一个量子比特不仅可以取值为lo)或11),
8硕士学位论文
更通常情况下,它往往处于二者的叠加态上,在数学上可以表示为
I皿)=c1Io)-I-c211),(2.2)其中c。≠0,c。≠0。(2.2)式所表示的量子比特是不确定的,它以一定的概率分布于两种状态上;在测量之前,谁也无法准确预言将要得到的结果是Io)还是11),但是一旦进行测量,其结果要么是Io)要么是11),态再也不是处于叠加形式,我们把这种现象称为态的塌缩。1皿)态塌缩到10)的概率为俐皿)Jz=川。,塌缩到11)的概率为川皿)12=Ic212。如果{皿)是归一的,则有}C112+tc212;1。此后所以用到的量子态,如果不特殊说明,都假设为归一化的。
§2.2量子态不可克隆定理
从上一节我们实际已经看到:测量会破坏原来的未知量子态。这实际上就是量子态不可克隆定理的理论依据。虽然现在看来从态叠加原理推导量子态不可克隆定理是那样自然而然的一件事情,但是事实上从已知理论推出一个未知但有重要意义的看似简单的理论却是一件非常不容易的事情。所以直到1982年,才由Wotters和Zurek在Ⅸ自然》杂志提出现在所谓的量子不可克隆定理[26j:即一个未知的量子态不可能被完全精确复制。
这个定理的证明是简单的,我们可以用反证法来证明它。
假设这个定理不成立,量子克隆机存在且能够克隆任一未知量子态。把量子克隆机和微观粒子的整体当成一个大系统,由于量子克隆机并不知道微观粒子的初态,故整个系统的演化可以用一个与态无关的幺正算符U来描述。幺正算符u具有性质:
UUf=UfU=I,(2.3)Ut是U的伴随,I是单位算符。
量子克隆机对两个正交矢量Io)和11)进行复制的过程可表示为:Ul'§OIo>=t西o)10)10),(2.4)和
uI吼)}1)=F壬1)il)li>,(25)
诱饵态量子密钥分配的研究-9
其中胁)是量子复制机的初始状态,它与待复制的输入矢量无关,‰)和f中,)是复制后量子复制机的状态,这两个态不能完全相同,否则就没法根据量子复制机的末态来区分所复制初态到底是{o)还是11)。
现在我们再来看看未知量子态的克隆。
uI西;)|雪)=l西,)J皿)I皿)
其中IⅢ)由公式(2.2)给出,限)和I西,)分别为量子复制机的初态和末态。但是根据量子力学的线性性质,再利用公式(2.2),(24)和(2.5),可得:
ui,bi)I田)=C1Imo)lO)10)+c2I由1)11)11)(2.7)我们看到,叠加态封经过“复制”后,整个系统演化成为了一个纠缠态[27】,在c。≠0、c2≠0的条件下,无法写成直积态。另外,内积(2.6)和(27)式,利用(2.3)式(u的幺正性),可以得出c。、c:至少有一个为0.这些都与前面的假设矛盾,因此可以得出结论:未知量子态是无法被复制的。
未知量子态不可克隆定理是量子信息学的重要理论基础之一,也是量子密码术的重要前提。它确保了量子密码的安全性,使得窃听者不可能采取“克隆”的方式来获得密码信息。
§2.3窃取量子信息蕴含干扰
在宏观世界里,信息可以被“毫发无损”地复制。而且随着技术的飞速发展,这种复制变得越来越容易。因此,在理论上窃听者能够不留痕迹地“工作”。然而,面对量子信息,窃听者的“隐身术”遇到了克星。在量子力学理论里,对两个非正交量子态l皿,)、lm。)的测量将导致对该系统的扰动。它的证明类似于量子态不可克隆定理:
设对两个非正交态的测量不会导致对该系统的扰动,探测器的初态记为陬),探测器对两个非正交态进行探测后的态记为i西{)和
10硕士学位论文
I圣})。不改变输入量子态的测量过程同样可以表示为一个么正演化:
ul币t)IⅢ1)=l垂}){田1)(2.8)u{壬i)I皿2)=I西})l皿2).(29)上面两式作内积运算。由于么正变换下的内积不变,我们得到
(皿2lml)=(垂引圣})(皿2l皿1).(2.io)由上式可见(吲壬})=1,这就表示对两个非正交量子态m)、l皿。)的测量要么得到信息但必将导致对该系统的扰动,要么不扰动两个非正交量子态但是却得不到任何信息。
§2.4BB84协议
量子态不可克隆和窃取量子信息蕴含干扰这两个理论使得人们能够利用量子态进行绝对安全的密钥分配。1983年Bennett和Brassard在同Wiesner的讨论中受到启发,认识到单量子虽不好保存但可用于传输信息。1984年,他们提出第一个量子密码术方案,用单光子偏振态编码的四态方案,现在称之为BB84协议,从此开创了量子密码术。
BB84协议的密钥分配过程中,通信双方Alice和Bob利用单光子的偏振态来编码信息。光子的偏振态属于二维Hilbert空间,我们可以用垂直偏振的两个基矢态,I一)、IT),和对角偏振的两个基矢态,I/)、I\),来解释说明BB84协议。这两套基互为共厄基,即
f\)I。=|(一J\)Iz=1/2。我们先把每套基的两个基矢态编码为他们就会得到相同的结果;而存在Eve窃取信息是时,光子的信息在一套基中测量另一套基的基矢态,所得到的几率都是相等的。例如I(T0和1。这里我们把I一)、{T)分别编码为0和l;同样I/)、1\)也分别编码为0和I。当没有Eve时,只要Alice和Bob的基矢相同,就会受到扰动,因此Alice和Bob的基矢相同时有可能得到不一致的结果。这实际上就是BB84协议的理论基础。假设Eve使用错误的基矢测量光子的偏振态就会得到完全随机的结果,同时还造成了对信号态的最大的扰动,使得Alice和Bob的编码结果出现几率为59%错误。因为Alice和Bob选择相同基矢的概率为50%,故BB84协议的筛选效率为50%。BB84协议的主要操作步骤如下:
诱饵态量子密钥分配的研究・1l
————_——●——_——_——。●————
=========
=1
B
二=_l2345678=■★910一1l一12◆13x14一A上jJ_一一★二二+_-_I一★+——▲★二=__—-—_——+±=
+=二二==×
一★★+★十;+▲★+++★=一
==
ED+CJ◆___、..+爿、‘★★一★◆■★一++一★=++量_0l0lOOO
图2.1:BB84协议步骤简图
(A)Alice随机地选择l一),It),l/)或I\)四种中任一种偏振态的光子并发送给Bob;
(B)Bob随机地独立选择垂直偏振或对角偏振基接收;
(c)Bob实际所测到的偏振方向(只有Bob自己知道,其中一些态未被检测到,以空格表示);
(D)Bob公布他检测到态时所采用的测量基(如,通过打电话告诉Alice),但不公布测量到哪个偏振态,Alice告诉Bob哪些测量基是正确的并保留下来,其余的丢弃掉;
(E)Alice和Bob仅保留相同基时的态,并按约定的编码方法转化为二进制序列。
§2.5B92协议
在上述的BB84协议中,Alice使用了四个偏振态。1992年,Bennett认识到量子密码术的安全性其实是建立在窃听者无法区分非正交态和不能既窃取量子信息而又不扰动量子态这两点上。于是提出只用两个非正交偏振态来实现密钥分配,即B92协议,这是一种更简单但效率减半的协议。现在我们只在BB84协议的两组基中各取一个基矢,比如取{一),l/)这两种偏振态的光子并发送给Bob。其基本步骤如下(图2.2):
硕士学位论文
==1l
』膏
-_l-
▲、
图2.2:B92协议步骤简图
(A)Alice随机发送I一)或l/)光子偏振态;‘(B)Bob随机选取{t)或1\)偏振方向进行检测。当Bob的检测方向与Alic所选方向垂直,即同一组基,探测器完全接收不到光子;当取不同基矢,则有50%的概率接受到光子。一旦Bob测到光子,Bob就可推测出Alice发出的光子的偏振态;
(c)Bob实际所测到的偏振方向(只有Bob自己知道,其中一些态未被检测到,以空格表示);
(D)Bob通过公共信道告诉Alice所接收到光子的情况,但不公布测量基,并双方放弃没有测量到的数据(空格表示未接收到光子);此时如无窃听或干扰,Alice和Bob双方则共同拥有一套相同的随机序列数;
(E)Alice和Bob保留Bob测得的态,并按约定的编码方法转化为二进制序列。
尽管非正交态无法完全区分,但是精明的Eve却可以利用准确区分非正交态[28—31】的方法在不扰动态的情况下部分地区分它们,因此B92方法的安全性不如BB84高。
§2.6E91协议基于量子纠缠的EPR关联光子对Ekert于1991年提出,故也叫
诱饵态量子密钥分配的研究・13
E91协议.其原理是利用EPR效应[32—36】,即制备一对EPR关联光子对,通信双方具有确定、不变的关联,如测得其中一个光子的极化态向上,同时遥远的另一个光子的极化态一定朝下,且不随时间和空间的变化而改变。因此,两个具有确定关联的光场用来建立通信双方间共享密钥的信息载体,任何窃听都会破坏这种关联而被发现。如图2.3所示,其通信过程是:
(A)由EPR源产生的光子对分别朝士Z方向发送到合法的用户Alice和Bob,Alice任意选前面所述的一组基(1一)、lT)或者l/)、l\))测量接受到的其中一个光子1;
(B)测量的结果由EPR关联决定,同时Bob也随机使用这两种基测量接受到的EPR关联对的另一个光子2,并记录测量结果;
(C)Bob通过公共信道公开其使用的测量基(但不公布测量结果),Alice告诉Bob那些检偏基选对了;
(D)并按约定的编码方法转化为二进制序列。
显然,它与BB84不同的是检验双方保留的数据时是用Bell不等式检验,如果违反不等式,表明量子信道是安全的没有被窃听;如果满足不等式时,表明信道有问题即存在窃听者。总之,其安全性源于Bell原理,根据量子力学原理该协议是安全的。
诱饵态量子密钥分配的研究・15
第三章抵御光子束分攻击的策略
第二章我们所述的三种方案其实都没有考虑现实可用的设备、资源对具体量子密钥分配协议的影响。本章我们将首先考虑目前最常用也最有效的量子密钥分配实验实现:弱相干态实现[20-22,37];其次介绍由此而来的一种致命的攻击:光子束分攻击。最后我们给出目前抵抗这种攻击的两种重要的方法:诱饵态方法、非正交编码方法。・
§3.1量子密钥分配的弱相干态实现
为了考虑一个用弱相干态实现的具体量子密钥分配实验,我们首先要对实验装置进行建模。实际的量子密钥分配实验通常把性能好又便宜的光纤通信设备作为进行实验的首选。下面我们分别构造光源、信道以及探测器的数学模型,然后利用所建立的模型来得到弱相干态的收益与错误率的计算公式[38,39J。
§3。1.1光源、信道以及探测器
进行量子密钥分配实验的光源是衰减得非常弱的激光,我们一般把它称作弱相干态激光脉冲。光源因此用弱相干态l√面加)来表示。由于激光二极管初始时的自发辐射使得相角完全随机化,因此弱相干态激光脉冲为去相相干态,其密度矩阵儿表示为:
儿=/罢} ̄/-e珀)(办e胡j=∑P。川圳,J…n(3.1)
其中p为脉冲的平均光子数,R(“)
Pn(“):_i_tne-#(3.2)表示找到光子数为n的脉冲的概率,简称n光子脉冲概率,如:Po(卢)为空脉冲概率,P1(p)为单光子脉冲概率,P2(p)为两光子脉冲概率,等等。ln)(圳表示n光子密度矩阵,其中lo)(ol称为真空态密度矩阵。对于光纤信道,其量子信道的损失用信道传输率t一日来衡量。
硕士学位论文
“口与光纤衰减系数a以及在光纤的长度f的关系为
在通信领域,衰减系数a用dB/km做单位,长度单位为km。
探测器在Bob的实验室,由两部分组成:光学部分和探测器部分。光学部分的信号损失用内部传输率tB曲表示。探测器部分有一定的探测效率,用如表示。这样,我们用1鼬表示Bob方面的传输效率,则有;
’TBob=tBob叩D(3,4)于是Alice和Bob之间的总传输率q,包括信道传输率tA且和Bob方面的传输效率,就可以表示为:
"=tABrIBob(3.5)目前的探测器为阈探测器,它只能区分真空态和非真空态,通俗地说,它只能区分有无光信号。当它探测到信号时,它不能辨别究竟有多少个光子。
对于一个n光子脉冲,或说是一个n光子态,由于光子间的相互作用可以忽略,因此我们假设其中的每个光子的行为互相独立。这样,对于阈探测器来说,n光子态的传输率‰为:
(3.6)
§3.1.2弱相干态的增益与错误率
在得出弱相干态的增益与错误率之前,我们先定义n光子态的记数率K和n光子态的错误率‰。%是在Alice发送了一个n光子态脉冲的条件下,Bob的探测器探测到信号事件的概率。值得注意的是,在正常情况下,除了信号会产生探测事件,环境因素也会导致探测事件。我们把环境因素导致的探测事件用环境记数率翰来表示。用%表示环境记数率,意味着空脉冲信号引起探测事件。这实际上是由探测器的暗记数和诸如时钟脉冲的杂散光等背景环境引起的。因此,%中的“o”只是表示没有信号脉冲,它用来表示背景环境的贡献,碥并非空无一物的真正真空记数率。
诱饵态量子密钥分配的研究・17
n光子态的记数率碥主要有两个来源:背景和72光子信号脉冲。一般假设背景和n光子信号脉冲的探测事件互相独立。于是我们得到K满足如下关系式:
K=%+‰一Yo咖兰Yo+rh,(3.7)这里我们认为%(量级为10“)和q(量级为10q)为小量,因此忽略两者的乘积%‰。
72光子态的增益‰定义为Alice发送了一个n光子态脉冲的概率与n光子态的记数率yn的乘积:
‰=KR(p)=K等≠.(3固n光子态的错误率‰有两个来源。一是来自于环境记数,一是信号光子的错误记数。因此有:
en:—eoY—o百+一eDrl“,(3.9)
Jn
其中eD为一个信号光子击到错误的探测器上的概率,它是用来描述光学系统的定向性和稳定性。实验上eD可以看成一个常数。我们假定背景记数是随机的,对于两态系统来说,eo=1/2。这样,弱相干态的增益为:
Q“=>:Q。=Yo+1一e-”.(3.10)弱相干态的错误率满足玩:
Q“%=∑o。e。=roeo+eD(1一e一”).
n>o
§3.2光子束分攻击
我们前面已经讲过Eve可以用“光子束分攻击”(PNS)获取Alice和Bob之间的量子信息,而Alice和Bob却还蒙在鼓里。在这一节我们将进一步分析这种策略。
使用理想的单光子源,无损的信道以及完美的探测器的量子密钥分配已经被证明是绝对安全的[40—421。但实验上使用的设备不可
18硕士学位论文
能是完美无缺的,对于弱激光脉冲,不可避免的就含有多光子脉冲。由于同一束多光子脉冲当中的各光子的量子态是相同的,另外他们之间没有相互作用,因此,Eve可以盗去其中的部分光子,从而拥有与Alice和Bob完全相同的信息。这就是所谓的光子束分攻击的本质。
光子束分攻击对长程量子密钥分配造成了致命的威胁。由公式(3.3)可知,信道传输率t—B随传输距离l的增大而指数衰减,因此,经过一定距离后,所剩余的非空脉冲数量就会少于Alice所发出的多光子脉冲数量。这时的信息也就完全不安全了。因为Eve理论上可以通过测量脉冲中的光子数把Alice刚刚发出的信号分为真空、单光子和多光子三个部分。真空对于Alice和Bob是无用的,因为Alice没有发给Bob任何东西,所以Eve不必理会;单光子由于其绝对安全性,所以Eve干脆就把它截掉,不让它产生密钥;至于多光子,正好是Eve所要的,于是她就用光子束分攻击策略,把多光子束一分为二,一份自己留着,另一份通过无损信道交给Bob,于是她就拥有和Bob完全一致的信息。显然,光子束分攻击既不违背量子态不可克隆定理,也不违背非正交态不可完全区分。因此,光子束分攻击极大地限制了Alice和Bob进行非条件安全量子密钥分配的传输距离和密钥产生率。
§3。3诱饵态方法
2003年,考虑到未来可能利用地面一卫星的自由空间来传输量子密码以建立量子中继器[43】,Won—YoungHwang提出利用一种称为“诱饵态”的方法f231来限制Eve的光子束分攻击。这种方法随后被进一步研究[38,39,44—50】。
诱饵态和信号态在物理本质上没有任何区别,它们都是由光源发出的弱相干态,只是强度不同而已,即具有不同的平均光子数肛。诱饵态方法的核心思想是Eve不能区分随机化的诱饵态和信号态。因此Eve进行光子束分攻击时对诱饵态和信号态一视同仁。可是由于诱饵态和信号态的强度不一样,根据(3.2)式我们知道,n光子脉冲概率,R(肛),与Ⅳ值有关。因此Eve进行光子束分攻击时对诱饵态和信号态造成的影响是不一样的,这样Alice和Bob就可以想法“逮
诱饵态量子密钥分配的研究19
住”自以为厉害的Eve。
根据刚才的分析,再结合前面有关n光子态的记数率K和错误率e。论述,我们可以把“诱饵态”的思想的本质概括为:Eve无法区分来自于诱饵态和信号态的n光子态的记数率K以及错误率e。,因此诱饵态的佗光子态的记数率Y.(decoy)等于信号态的n光子态的记数率Yn(signal);诱饵态的n光子态的错误率en(decoy)等于信号态的n光子态的错误率e。(signal)。用数学表达为:
K(signal)=碥(decoy)=K,
en(signal)=en(decoy)=e。.(3.12)由于弱相干态的的平均光子数一般很小(以o.1为典型),根据(3.2)式,可知脉冲中光子数n>5的概率的数量级为10—9,远小于背景记数率%(典型量级为10“),因此就可以忽略了。这就是为什么只需少数的诱饵态就足够探测限制窃听者的缘故。为了叙述简单,接下来我们介绍无限多个诱饵态方法的具体操作:
(1)Alice随机发送信号态和各种诱饵态;
(2)Alice和Bob对信号态和各种诱饵态一视同仁地进行正常的量子密钥分配操作;
(3)量子密钥分配操作完毕之后,Alice告诉Bob信号态和各种诱饵态的分布情况;
(4)Alice和Bob测出信号态和各种诱饵态的增益与错误率;
(5)Alice和Bob计算出单光子的记数率和错误率,如果这些结果不正常,更准确地说是单光子的记数率太低或错误率太高,就肯定有Eve了。
显然,如果Eve完全截掉了单光子,那么单光子记数率就只剩背景记数率了。
§3.4非正交编码方法
除了诱饵态方法是对抗光子束分攻击的一种重要的方法,2004年,ValerioScarani,AntonioAcin,GregoireRibordy,andNicolasGisin提出了一种限制光子束分攻击的新方法,由于他们并没有给这种方
硕士学位论文
法命名,按照惯例人们就称之为SAlZG04协议。在我们的文章[48,49]当中,我们把这种方法概括为非正交编码方法。
SARG04协议,也就是非正交编码方法的基本思想是:要确定区分非正交态是要一定条件的,因而是几率性的,在一定条件下非正交态是可以区分的,此外就是不可区分的。因此只要设计的方案能排除掉可以区分的条件那就可以保证方法的绝对安全性。
现在我们以最典跫的SARG04协议为例进一步阐述这种思想的具体实旄。SARG04协议与BB84协议在量子期间是完全一致的,即以同样的两组共厄基中的4个基矢态进行量子密钥分配。他们所不同的方面在于经典的编码方式上。BB84协议把同一套基下的两个正交基矢分别编码为0和l;而SARG04协议采用非正交态编码,下面我们用自旋1/2语言具体表述。选择一:、一。的本征态{4-z)和l±z)作量子密钥分配的基矢态,并把|4-;)编码为0,}4-z)编码为1。在SARG04那篇文章中已经证明,通过4态非正交编码,窃听者无法既确定区分两光子态又不扰动Alice和Bob将要得到的个态。也就是说,两光子脉冲也可以产生密钥。这时Alice不是告诉Bob她所选择的测量基,而是告诉Bob她所发送的态在一组随意给定的态中。例如,Alice发送了l+。),她可以告诉Bob她发送的态在“十z),l+z)}或{卜。),{+z)}中。然后Bob利用非歧义区分非正交态的方法【28—31j把正确的态选出来。现在看看我们具体怎样把{l+z),l十=))中的f+。)找出来。在没有Eve时,Bob只能测量到三种结果:一:基下得到I+z)态;a。基下得到l十z)态或卜z)态。由于Bob不知道Alice发送的到底是{I+z),1+z))中的哪一种态,所以他就只有靠排除法:无论是I+z)还是I+z),都可以有结果j+。),故Bob不能区分;同样,I+z)还是l+z),都可以有结果l+z),故Bob还是不能区分;只有结果为l一。)时可以断定必定是发送了i+z)态。所以,当Bob测量到l_z)时,他就把这个结果保留,除此之外,他丢掉测量结果。简单计算可知SARG04协议的效率为25%,虽然比BB84协议的效率50%要低一半,但更安全了。
§3.5小结本章我们深入研究了实验上使用的弱相干态量子密钥分配方案。
诱饵态量子密钥分配的研究21
首先对正常的实验装备进行了数学建模,构造了光源、信道和探测器的数学模型,从而得出了弱相干态记数率、错误率与数学模型间的关系式。其次,我们分析了由于弱相干态不是完美的单光子源,Eve是如何利用光子束分攻击在物理原理允许的范围内获取量子态信息却又不干扰这个量子态,并对光子束分攻击进行的可行性进行了一定的理论分析。最后我们详细研究了限制光子束分攻击的两种重要方法:诱饵态方法和非正交编码方法。我们给出了这两种方法的理论依据以及具体的操作过程和分析办法。
诱饵态量子密钥分配的研究-23
第四章弱相干态量子密钥分配的安全性
在上一章我们已经分析了用弱相干态实现长程量子密钥分配时,必须要有办法防止窃听者进行光子柬分攻击,否则就没安全性可言。但是,我们并没有定量的计算在使用这些方法时到底能够多大程度地提高安全性。本章我们将着手深入研究这个问题。我们首先给出正交编码协议的密钥产生率的计算公式,然后利用这个公式并结合诱饵态方法去研究BB84协议的安全性问题。另外,我们提出了一个非正交编码协议的密钥产生率定理,并给出了简要的证明。同时还把这个定理推广到普遍情况。最后,我们根据得到的定理提出了一个非正交编码的诱饵态量子密钥分配协议,并对它的安全性进行了研究。
§4.1诱饵态BB84协议的安全性
2002年,D.Gottesman,H.一K.Lo,ML龇kenhaus,&J.P嘲j(ill在文献(511里提出了一个密钥产生率的计算公式,现在我们把它称为GLLP公式。这个公式是基于BB84协议只有单光子产生的密钥是绝对安全的,因此可以得到BB84协议安全的密钥产生率%删的下限:
&B84≥一吼{凰(耳)+n(1一凰(e,)”(4.1)这里f2为单光子增益分数:
Q=赛(4.2)日2为二元熵:
甘2(z)=一zl092(z)一(1一z)l092(1一z)(4.3)从(4.1)式可以看出:一吼日2(吼)是纠错项,n产生密钥项。至于一n日2(e,)是相位纠错项,因为Ahce和Bob随机选择测量基,所以有单光子的相错误率‰等于单光子的比特错误率,elp=e。。
在没有办法确定Eve的行为时,我们通常认为Eve无时无刻不在,而且我们做最坏的打算,即:Eve充分利用了多光子部分,因为这部分的信息她可以完全获得而不扰动其中的量子态。于是有:
(44)
硕士学位论文
图4.1:安全密钥产生率与传输距离的关系图.GYs实验中的参
数:o=o.2ldB/km,叼D=3.3%,玩=1.7×10一6,叼B。6=o.045,
脉冲频率,=2MHz.
%“。。为AHce发出的多光子脉冲概率。
由于实际纠错过程中还有个效率因素,因此,公式
如蹦≥一吼{,(蜀.)仍(耳)十n[1一凰(e1)】)(4.5),(吼)为纠错效率嘲。现在我们用GYs实验f53】中的参数进行数值模拟来看看最坏情况下的安全性。从图4.1可以看出,不能防止Eve进行光子束分攻击行为的量子密钥分配的安全距离只有32公里,不能进行长程密钥分发。下面让我们用诱饵态方法来做BB84协议,看看它的优越性怎么样。
现实的诱饵态方法是如何提高安全的密钥产生率与传输距离呢?我们在上一章为了给大家一个诱饵态方法的总体印象,只是介绍了无限多个诱饵态方法。这种方法要求使用无限多个诱饵态,显然是不现实的,因此在这一章我们要做一个现实可行的方案。
首先让我们回到GLLP公式上,我们注意到安全的密钥产生率与钆,,(耳),日2(耳),n,凰(et)有关,但实际上钆,耳是我们监控的对象,我们要让它在正常值允许范围内,因此可以看成不变量。另外,(瓯),凰(%)是B的函数,当耳看成不变量时,当然它就也是一个不变量。于是,我们只要想办法确定n,日。(e。)就行了。虽然这个想法挺简单也很合理,可是做起来却不容易,甚至没有可能。因为只有
硕士学位论文
§4.3非正交编码的诱饵态量子密钥分配协议的安全性非正交编码虽然可以用两光子产生密钥,但是如果A1ice和B0b没法对付Eve的光子柬分攻击的话,Eve仍然能够截掉单光子和双光子脉冲,使得AIice和Bob的密钥安全性大打折扣。本节我们将提出一个非正交编码的诱饵态量子密钥分配协议,然后利用我们提出的非正交编码协议的密钥产生率定理来分析它的安全性问题。
为了更好的体会非正交编码的诱饵态量子密钥分配协议的优越性,我们首先看看没有诱饵态的非正交编码量子密钥分配协议的最优化p值问题。利用(4.25)式,我们可以知道最糟糕的情况下,密钥产生率可以写成:
鼠…£=;(~吼,(耳)岛(%)+Q。+n1,zQ。【l一凰(!警)]),(4-26)其中nt.。表示单单光子和双光子脉冲的总增益分数,满足f2:1一业譬掣.(4.27)、
q“
钆。表示单单光子和双光子脉冲的总错误率。
最优化的“值满足
1一
班1“Ⅲ~k;晦mⅡfelⅢ…。.(4.28)由于现实装置的q《1,我们得到‰。州z、/面。
接下来我们介绍非正交编码的诱饵态量子密钥分配协议。
我们使用4个诱饵态:真空诱饵态以及其他三个弱诱饵态n,屹和的。真空态用来估计背景噪声:
殇=Q"d∞m,
e。=玩一。。::.(4_29)因为暗记数随机
信号态肛与其他三个弱诱饵态岣,比和的的关系为
。<心<吮!;肛<嵝弘
Ⅵ+屹>弘,
屹+均<l上
由(4.6)式,我们可以有
Q“e“=碥+K“+掌+∑墨3M等,
耳Qpe“=印%+e1M“+兰呈萼£+∑譬3e。K鲁,
one”=殇+Hn+鼍笋+∑罂3M鲁,
EnQⅥeⅥ=印K+elH∥1+望鲁五+∑墨3岛K导,
one”=翰+H也+鼍笋+∑罢3M鲁,
E也Q圪e垤=eo%+e1K№+塑导互+∑罢3e;K鲁,
o”e”=%+H均+鼍笋+∑墨3M鲁,
E怕Q均e坞=eo碥+e1M地+里鲁监+∑墨3e。K鲁.
由此,Aiice和B0b可以得到H的下界和e,的上界。K的下界可以由下式求得
印屹e屹一QⅥe均=h(屹一均)+∑晓2鲁(嵋一嵋)
≤H(屹一的)+号笋∑。≥2簪
=K(地一的)+号斧(国。e“一%一H肛)
e-的上界可以由下式求得
%Q如e岣=eo%+e1M的+∑罂2etM鲁
≥80碥十elH怕.
求解(4.32)、(4.33)两式,可得
M≥砰:逝!!二呈塑!竺2;(堡二堕!(壁£!:二堑2p。L屹一地儿肛一屹一Ⅵ)
。,<。_;,:刍坠宝二塑堑‘y产妇
于是,我们可以得到单光子的增益的下界
Q】≥Q}=砰“e一“(4.30)(4,31)(4.32)(4.33)(4.34)f4.351
型甥毒箐俘蘩蠹藿鋈丽蠢霎二i自
鋈薹菠羹莲羹颡篓
上曩薹耋|蒸霾篓擎鬻翼摹蕊蠹辇囊墅薹洋藿差专墨薹鍪襄囊蒌鬻磅囊善妻霪誊鏊饔篮一誊蠹垂芋冀:萋釜誊!蠹囊趋:羹藏瑟曛蒹萋囊醣b曹器爹妻射曩鎏雕嚣玉基磁丽霪爨两篓囊兰菲菩錾一辫囊蕊单薹蠹酽}孵}蕊雾旗查。
鹭睢肇戥霹式时爱蠹更囊;
l:稃蛰枣萎朝篓篓攀鬻雾单稀冀鲤薹萋鋈g鬻型瘦鞣囊馕蕉鬻满草鬟荸妻焉鋈囊藿髟誉!
;:翳雾型碧霪薯冀霉霆鏊墓妻熏篡舞习鋈羹酌i赣薯葡罐一器巴囊÷
÷?占鬟嬲鼯≈甥荔甚“等叁辇囊掌警・蓦攀雾妻。霪≥鍪橐鬟夏豢蓉鍪=鍪妻萋荔爹三-l萋攀誊囊赣妻薹■夏嚣篱蠹}
9、黼霪蠹卧薷舔甄鬻熙仃囊~豁和耄羹雾:■薹冀镡占踅莲荔霞囊霪鏊鬟鬣蠹嗣鬟篓囊霪器其囊冀萋霆裂丘娶爨髦囊型蹩喾釜尝:鬻鬟麓篓琴誉萝£鬻蚕藿鬻州妇预谚谚釜譬强,
薹弦二均璀蓬j零明盆雕垤蠼蓠始豫型羹篓囊删@鏊弓强:j?副霎娜粥馨旦冀墨蠢篡i
!=鳕磷删鏊落篓霪童葡萤箜必;
si甲市羹葑霪兰莺锦糖酾虢j≯寰奎静豁棼葺蠹孙蛩塞囊玢薷彭既羹丽蘸萧鏊;
囊目彰雕篓望涩叫滩啁嘉鬟塑繇卧引掣蔓望型牵缳衔暴釜囊■萋二耄浮萋媾一鞠携唿媚呻霪萄县毕薹蒌荦醛j型羹硝
诱饵态量子密钥分配的研究-33
图4.3:(a)最优化的无诱饵态的非正交编码量子密钥分配协议,
(b)最优化的诱饵态的BB84协议m=o.48),(c)非正交编码的
诱饵态量子密钥分配协议∽=o.48),(d)非正交编码的诱饵态量
子密钥分配协议(卢=o.30),采用GYs实验参数.
议。
§4。4小结
我们在本章主要研究了诱饵态的BB84协议和诱饵态非正交编码协议。我们提出了一个非正交编码协议的密钥产生率定理,并且推广到任意光子数脉冲可产生密钥的普遍情况。我们给出或提出了具体的协议,并通过分析这些具体协议的安全性,我们发现诱饵态方法是对付光子束分攻击的好方法,如果再结合非正交编码思想,其安全性还可以进一步提高。
诱饵态量子密钥分配的研究35
第五章高效简单的诱饵态量子密钥分配
在第四章我们详细讨论了正交编码和非正交编码的诱饵态量子密钥分配协议,然而,目前理论上并没有解决信号态和诱饵态的强度选择问题,只是笼统地说用很弱的诱饵态。在前面的内容里我们也一直没有去讨论如何选择信号态和诱饵态的强度问题,基于这个问题具有重大的现实意义,我们在这一章将提出一个解决的方案。首先我们认识到在使用弱诱饵态做长程密钥分配时,必须满足诱饵态理论基础,基于这个思想我们提出一个满足诱饵态理论基础的必要条件;其次我们还根据在第四章我们所得到的一些结论提出了正交编码和非正交编码的信号诱饵双用量子密钥分配协议方案;最后我们结合这个必要条件和我们新方案讨论了它们的安全性问题。
§5.1实现诱饵态理论的必要条件
为了得出实现诱饵态理论应该要满足的条件,我们先对弱相干态进行分析。正常情况下进行长程密钥分配时,弱相干态的增益和错误率以及各种光子数脉冲的记数率和错误率为
0Ⅱ=K+1一e一”,
Q“q=eo%+eD(1一e一”“),
K=%+%一%%≈%+咖
eo确+eD‰
‰2—1■一”执
‰=1一(1一q)“≈nq.
这里卢表示弱相干态,可以是信号态,也可以是各种诱饵态;%《
对于实际量子密钥分配实验,发送的脉冲数目是有限的,因此必须考虑各种不同强度的相干态的数量分配。在考虑各种不同强度的相干态的数量分布时,由于真空态不存在衰减,少量的真空态就够了,所以我们以后就忽略真空态的数日要求。为了保证诱饵态理论基础(3.12)式的有效性,我们必须探测到至少一个来源于4光子脉冲的错误记数。而对于5光子以及5光子以上脉冲的错误记数可以忽略,这在第三章讲诱饵态理论时我们就已经讨论过。
硕士学位论文
任意给出的脉冲总数为%。。弱相干态,它的么n光子脉冲的错误记数孵””可以用公式表示为:
孵””=虬n”q碥龟(5.2)因此我们得到一个现实诱饵态方案必须满足的一个条件
Ⅳi7’or=』V赢ggKeD=4Ⅳ:。Ⅳ口P4卵eD≥1
对于标准的船84和sARG04协议q值分别为q=1/2和口=1/4。
这个条件可以用来选择合适的但不一定是最佳的信号态和诱饵态的强度。还是以GYs实验参数为例,取发送的脉冲总数Ⅳ=72×10。,并考虑传输距离1.100km,同时取典型的BB84实验上诱饵态强度v=o.04和信号态强度“=o48为参数。首先我们用(53)式来计算一下诱饵态v=o04和信号态p=o.48的数量要求。简单计算后得结果:对于船84,凡≥2.05×1010;对于sARG04,M≥4.1×lo”。这就说明,必须提高诱饵态强度,否则诱饵态方法就会失效。现在我们让v=o.2,则变成:对于船84,帆≥3.84×107;对于sARG04,虬≥7.69×10,。由此可见,非常弱的相干态在长程密钥分配实验上是低效的,我们必须使用更高强度的诱饵态。显然,光强越弱,需要的量越多。那么是否就可以随意增大相干态强度呢?答案显然是否定的。因为文献f39j已经证明诱饵态强度越弱越好。粗略考虑,强度为o2左右是比较合适的。
§5.2信号诱饵双用BB84协议
上一章我们在求单光子记数率的下界时得到一个结论;使用两个诱饵态时,Eve只有截掉所有两光子以上的脉冲,并提高两光子脉冲的记数率,才能使Alice和B0b的单光子记数率取得最低值,让他们的密钥产生率达到最低。基于这一点,我们实际上只需要求出y0,yl,%向,e,的值,其它%=e。=o。这样,我们可以用三个不同强度的相干态就可以求出这些界值。殇,eo仍然用真空态得出其正常值。
诱饵态量子密钥分配的研究37
另外两个分别为诱饵态”和信号态肛。根据刚才的分析有
Q“耳e“=碥80+Mel“
Q“ep=殇+Hp+M肛2/2,
QFl0∥=翰80+H81∥,
Q,e”=碥+H∥+蚝∥2/2(5.4)求解后得到:
,,n一———■顽正了广—一’(v2一肛2)碥一Ⅳ2Qpe卢+灿2.。pe”
硷:塑2关些,e,=掣,(55)
显然,我们的结果是我们上一章求出的H,e-结果(4.16)、(4.17)式的特例。利用公式(4.5)或者(418)就可以求出安全的密钥产生率。
值得注意的是,由于我们所使用的非。强度的诱饵态的强度比较高,因此它也就可以用来产生密钥。因此,我们也把这种新的方法叫做信号诱饵双用量子密钥分配协议。利用GYS实验参数,用我们现在的方法进行数值模拟结果如图(5.1)。我们可以看到这个新方案几乎能达到诱饵态方法的安全极限。由于非常弱的诱饵态方法实际不可用,所以,新的方法是一个高效的方法。
§5.3非正交编码的信号诱饵双用量子密钥分配协议与正交编码的诱饵态协议一样,上一章我们在求单光子和双光子记数率的下界时也有类似的结论:使用两个诱饵态时,Eve只有截掉所有三光子以上的脉冲,并提高三光子脉冲的记数率,才能使Alice和Bob的两光子记数率取得最低值,让他们的密钥产生率达到最低。基于这一点,我们实际上只需要求出%,M,班,酶,e0,e・fe2的值,其它碥=‰=o。这样,我们可以用4个不同强度的相干态就可以求出这些界值。注意我们在上一章使用了5个不同强度的相干态,而且有严格的关系要求,因此理论上求出来的安全性更高。但是,由于它的要求更高,因而也就更难实现。我们在这里提出一个安全性稍差,但更易实现的非正交编码的诱饵态量子密钥分配协议。蚝、e0
诱饵态量予髯”鞭媸喽姐罐,¨目
峪q。!;蚌剖虽鞭剧叫副堂嚣剐甄引型垒引霆雾I:萄争?赫"弛
朔瞒写毫霍押群耋餮!g弹黟
羹翼霉韵囊篓謦鏊薹霎羹i}!誊i丝;;!l耄i霉;型蛰夏i
ji;r_i一。●。i2一■jj—ji10_:^_:。i毫i一番i釜二___:f—i亭。;一二j-≥ii主手莘|j;耋霪萋。?j^:':i
o・i
_?・iii幽kk霪谨建鬟藿蠹giMi曩j麓●璧夔蚕蒸莩皇?羔霉≤誊●童蠢一三?三ii。;;;薹_aa一鲁萋爹彝罐i;qj霎i兰蔓一,i喜纛囊妻擎■jt一!譬爱囊冀墓?熏蠹《==二=;兰≥?妻?鎏雾i{鋈薯-?运■i兰;蜜蔓辇羹.
■善誓耄~藿;jj妻荸i■l|童墨耋■童塑iljli终§塾。
簿酣薰豢薹铲蠢囊基囊叁恚蓉崩:茎0辇掌g£鬻霾囊碗茸1喜i帝;:陵鍪甏鬲l§?i;i黼7
耋誊喜诿茎i茎i羹i蓑ii辐;蠡塑i萋饕!;j・至二i要l;;薹季j{≤一麓ji妻i!li?i量j三参;錾囊壅兰囊爨蓄聂鞯彝鞲蕊篷竖薹垂茎薯争秀蓥囊篓彳壤j每们蕈砉薪辎沓萄囊釜匠j羹藜酆的蒲主,表营醇鋈重±蔷明貂肇霎蝗錾翳蓄臻嚣娑;
蕈三i:一粪≮g!蓊;!ii.!lji§;
硕士学位论文
i茎:耋舀割崩前孽舆毳闭蓥1豆鑫橙挝誓萋峦鬻孺潲嘲冀纂嚣鞘晖琵珏爨匿妻囊荟翟冀罐参霎妻j阳退刮副耋i;jj雾嚣≤g芬酚诉设董;;薹蝣掳鲤霸捌鞫管塑;昔;;lJ、禽基蓖蠹翁扒基羹羹擎蠡护繁南;∞蛰拿ii;;落蠢i§态尹翱雕纠非朗蛰钮薹j果时萋雾旃喜薹~掣角惑凭季刊鬟强赣婪墨霆璀捕碗∞蝎黧i垦F弼铡扣蘩誊囊纂d利稻羹套萋萋干妻孺稀再薹鲞瑟葡霭寸日刘副萎弗醣褂誊翼;
些善饕舌誊矗爵鲞i瘊#≯霖酾藜置堂器日鍪爹暨£受蠼岔驯烈;整霆噬塑盾曼蔼灌秦司蒸薹彰削墅乩E出醚瑟蓄飘影巍鞴霪罨毛蓼妻黠薷琵.爨哗li二iii罐:娣豢摆善甏覆蒙萎雾的封妻壅j鞍叁1羹伊融姜蓦鍪j
雾…;鬟;l—n!!磐!疆i姐!霉薹!囊蔓;?;萎i}"~蓬!i妻iii;
墅堡囊i:;手奏猷髟鲥斛藤葑舅刮糊萤篓蚕蓄凳i;iiii
诱饵态量子密钥分配的研究-41
第六章总结与展望
本论文是作者在攻读硕士学位期间关于量子密钥分配协议方面的学习和研究工作的一个具体总结。结构上,形成了:量子密钥分配的概述辛原理和主流方案辛现实存在的安全问题以及解决策略辛具体的策略及其安全性分析。
本文几个独到之处分别是:
1,对量子不可克隆定理以及对非正交态的测量必定扰动态这个理论给出较为新颖的证明;
2,提出了非正交编码的安全密钥产生率的定理,并推广到一般情况;
3,提出了非正交编码的诱饵态量子密钥分配协议。其安全性比先前的任何协议都要好很多,使得长程密钥分配更加安全;
4,提出了诱饵态方法成立的一个必要条件。利用这个条件可以定量地分析现实的诱饵态量子密钥分配中各相干态强度的选择问题,进而提出了信号诱饵两用的量子密钥分配协议。
目前,诱饵态量子密钥分配还有几个重要的问题期待解决:1,是弱相于态的涨落问题;
2,弱相干态强度的最优化问题;
3,诱饵态方法的局限性问题,或者说寻找更好的解决光子束分攻击的办法问题。
量子密钥分配在量子信息学中各主要部分中很可能最先走向实用,目前已经有从实验室走向商业应用的迹象。由于其在保密通信上的重要意义,各国政府都当重视,因此对此投入重资。正因为如此,越来越多的人投入到量子密钥分配的研究当中,使得目前量子密钥分配无论在实验上还是在理论上都进展迅速。我们相信,随着量子密钥分配理论和实验的进步,它必将丰富人们对量子力学的理解,也将促进量子力学的发展。最后,我以量子密钥分
重堡查量王宣塑坌里竺堡塞:!!:
参考文献
1】P.W.Shor.Proceedingsof
puterScience.LostheSymposiumontheFoundationsofCorn-Alamitos.Caltfornia:IEEEComputerSocietyPress.New,,0他.1994.124-134.
2】N.Gisin,G.Ribordy,W.Tittel,&H.Zbinden.QuantumRev.Mod.ehys.,2002,74:145.Cryptography
3】S.Wiesner.Conjugatecoding.SigactNews.1983,15:78
International4】C.H.Bennett,G.Brassard.Proceeding
Computers,Systems
175.andConferenceonSignalProcessing.IEEE,New托北)1984.
5]C.H.Bennett.,F.Bessette,G.Brassard,L,Salvail,andmentalquantumcryptograpby.JournalJ.Smolin.Experi—ofCwptology.1992,5:3-28
Bell’S6]A.K.Ekert,Quantumcryptographybasedontheoremphys
.Re".Lett。1991.67:661—663.
【7]C.H.Bennett.Quantumcryptographyusinganytwononorthogonalstates.Phy.Rev.Lett.,1992,68:3121—3124
8】A.Muller.,et
lakea1.Quantumcryptographyover23kinininstalledunder-telecomfibre.Europliys.Left,,1996130:335—339.9]P.Townsend.Opticalenerytionmakesnetworksmoresecure.fibersys—temsinternational.2000.1:30—32,
10】RJ.Hughes.,eta1.Quantumkeydistributionovera48kmopticalfibrenetwork.J.Mod.opt,2000,47:533—547.
111W.T.Buttler.,eta1.Daylightquantumkeydistributionover1.6km.尸hy.RevLett.,2000,84:5652-5655.
121T.Kimura.eta1.Single-photonInterferencesionUsingover150kmTransmis。forSilica-basedIntegrated—opticInterferometersQuantumCryptography.却n.,Appl。Phys..2004,43:L1217-L1219.
44硕士学位论文
13】YiZhao,BingQi,XiongfengMa,Hoi—KwongLo,andLiQian.Experimental
QuantumKeyDistributionwithDecoyStates.phys.Rev.Lett.,2006,96:070502.
141Liao.J..etaI.Truerandomnumbergeneratorbasedonaphotonbeam-
splitter。ActaPhysicaSinica.2001,50:46%472.(inChinese)噻静,等.基于光量子的真随机源.物理学报.2001,50:46%472.1
15]Liang.C.etal,Quantumkeydistributionover1.Ikminan850nm
experimentalall-fibersystem.ActaPhysieaSinica.2001,50:1429—1433.(inChinese)[梁创,等850nm光纤中1.1km量子密钥分发实验.物理学报2001,50:1429・1433.]
Li,QingPan,JietaiJing,JingZhang,ChangdcXie,andKunchi
Peng.QuantumDenseCodingExploitingaBrightEinstein-Podolsky—RosenBeam。Phys.Rev.Left.,2002,88:047904.
17】X.一F.Mo,B。ZhujZ.一F.HanIY—Z.Gui,andG.一CGao.Faraday-Michelson
systemforquantumcryptography.optLeft.,2005,30:2632—2634.is]MiehaeA.NidsenandIsaacL.Chuang.QuantumComputationand
QuantumInformation.CambridgeUniversityP”5s.2000:586.19]Huttner.B.,N.Imoto,N.Gisin,andT.Mor.QuantumCryptographywith
CoherentStates。Pl嶝s.rev.A.1995、51:1863—1869.
201LfitkenhausN..Securityagainstindividualattacksforrealisticquan—
tumkeydistribution.PhysRev.A2000,61:052304.
211G。Brass∞d,eta1.LimitationsonPracticalQuantumCryptography
P蛔s.船nLeft.,2000,85:1330・1333
22】LiitkenhausN.andJahmaM.,Quantumkeydistributionwithrealistic
states:photon-numberstatisticsinthephoton-numbersplittingat—tack.New.J.Phys一2002.4:44.
23】HwangW.Y.jQuantumKeyDistributionwithHighLoss:Toward
GlobalSecureCommunication.Phys.Rev.Lett.,2003,91:057901【16】Xiaoying
硕士学位论文45
24】ScaraniV.,eta1.QuantumCryptographyProtocolsRobustagainst
PhotonNumberSplittingAttacksforWeakLaserPulseImplemen-tatlons.P仇弦Rev.Lett.,2004,92:057901
25】Chi-HangFredFung,KiyoshiTamaki,Hoi-KwongLo.Ontheperformance
oftwoprotocols:SARG04andBB84.Phys.Rev.A,2006,73:012337.26】Wooters,W.K.andZurek,WH.,Asinglequantacannotbecloned
Nature.1982、299:802—803.
27]A.Einstein,BPodolsky,andN.RosenCanQuantumMechanicalDe-
scriptionofPhysicalRealityBeConsideredComplete7.P^驴.Rev.,1935.47:777.
28】Ivanovic,I.D.,Howtodifferentiatebetweennon-orthogonalstates
Phys.Lett.A1987,123:257-259.
29】Peres,A.,Howtodifferentiatebetweentwonon-orthogonalstates
Phys.LettA1988,128:19.
30]Huttacr,B.,J.D.Gautier,A.MullerH.ZbindenandN.Gisin.Unambiguous
quantummeasurementofnon-orthogonalstates.Phys.Rev.A.1996a,54:3783.3789,
31】Clarke,M.,RB.,A.Chefles,s.MBm'nettandE.Riis.Experimental
DemonstrationofOptimalUnambiguousStateDiscrimination.Phys.Re".A2000.63:040305.
32]JS.Bell.ONTHEEINSTEIN—PODOLSKY-ROSENPARADOX
尸蚴sics(LongIslandCity,N.Y.),1964,1:195.
33】JolmF.Clauser,MichaelA.Home,AbnerShimony,RichardA.Holt.Pro.
posedExperimenttoTestLocalHidden-VariableTheoriesmⅣs.Rev.Lett..1969.23:880.
f34]Freedmann,S.J.andJ.F.Clauser.Experimentaltestoflocalhiddenvari.
abletheories.PhysRev.Left.,1972,28:938—941.
35]Fry,E.S.andR.C.Thompson。Experimentaltestoflocalhiddenvariable
theoriesPhys,Rev.Lett.,1976,37:465—468
硕士学位论文
361Aspect,A.,J.Dalibard,andG.RogerExperimentalTestofBell’sIn-
equalitiesUsingTime-VaryingAnalyzers.Phys.Rev.Left.,1982,49:1804-1807.
37]Lfitkenhaus,N.,Securityagainstindividualattacksforrealisticquan-
rumkeydistribution.P^”.Rev.A.2000,61:052304.381LoH.K.eta1.DecoyStateQuantumKeyDistribution.Phys.Rev.Lett.
2005,94:230504.
39]Max.F.eta1.PracticalDecoyDtateforQuantumKeyDistribution。
Phys.Rev.A.2005,72:012326.
40】MayerstD.jUnconditionalSecurityinquantumcryptographyJ.ACM
.2001,48:351.
411Lo.H.一K.andH.F.Chau.Unconditionalsecurityofquantumkeydistrl—
butionoverarbitrarylongdistancesScience1999,283:2050-205642JShor,P.W.,andJ.Preskill.SimpleproofofsecurityoftheBB84Quan—
turnkeydistributionprotocolPhys.Rev.Lett,2000,85:441—444.43]Briegel,H.一J.,DurW.,J.I.Cirac,andP.Zoller,QuantumRepeaters:The
RoleofImperfectLocalOperationsinQuantumCommunication.P魑归.Rev.三e竹.,1998,81:5932—5935.
44]Wangx.B.eta1.BeamsplittingattacktotherevisedKKKPprotocol
andapossiblesolution.20061PreprintarXiv:quaz,t—ph/0603010.45】WangX.B.,BeatingthePhoton-Number—SplittingAttackinPractical
QuantumCryptographyPhys.RevLett.,2005,94:230503.46】WangX.B。,Decoy-stateprotocolforcryptographywithfourdifferent
intensitiesofcoherentlight.mys.Rev.A.2005,72:012322.47]CaiQ.Y.andTanY.G.,Photon-number-resolvingdecoy—statequantum
keydistribution.Phys。Rev。A.2006,73:032305.
481Jing-BoLi,Xi—MingFang.NonorthogonalDecoy—StateQuantumKey
Distribution.Chin.Phys。Left..2006.23:775—778;LiJB.andFangX.
硕士学位论文47
M.,NonorthogonalDecoy-StateQuantumKeyDistribution.2005
PreprintarXiv:quant—ph/0509077.
491LiJ.B.andFangX.M.HighEfficientQuantumKeyDistributionby
RandomUsingClassifiedSignalCoherentStates.Chin.Phys.Lett.,
2006,23:1375-1378.
50]Chi—HangRedFang,KiyoshiTamaki,andHoi—KwongLo.Performanceof
twoquantum-key・distributionprotocols.Phys.Rev.A.2006,73:012337.
51】D.Gottesman,H.一K.Lo,N.Lfitkenhaus,&J.Preskill.Securityofquantum
keydistributionwithimperfectDevices.QuantumInfo.andComp.,2004,
4:No.5.PP.325-360.
[52]Brassard,G.andL.Salvail.Secrete-keyreconciliationbypublicdiscus-
sion.AdvancesinCryptology,Euwcrypt'93Proceedings1993.410-423.
53】C.Gobby,Z.L.Yuan,&A.J.Shields.Quantumkeydistributionover122
kmofstandardteleeomfiber.Appl.Phys.Lett.,2004,84:3762.
54JCsisz矗r,I.andK6rner,J.,Broadcastchannelswithconfidentialrues-
sages.IEEETransactionsOnInformationTheory.1978,24:339.348.
硕士学位论文
攻读硕士学位期间完成的论文
[1]LiJin廿BoaⅡdFhngxi-Ming,NonorthogonalDecoy-stateQuantum
KeyDistribution.
《孔打a.PhⅣs.Le托.,2006,23:775—778.
[2]“Jing—Boand№gxi-Ming,HighEmcientQuantumKeyDistribu_
tionbyRandomUsingClassifiedSign“CoherentStates,C瓤忆.P^掣s.Le托,2006,23:1375.1378.
硕士学位论文49
致谢
本文自始至终都是在方细明教授的指导下完成的。在三年的学
习和研究过程中,方老师严谨的治学态度和他在理论和实验方面的
独到见解使我受益匪浅,并激励着我不断努力进取。同时,方老师
在学习和生活中给我的不倦教诲和无私帮助使我终身难忘。在此,
谨致以我最衷心的感谢和诚挚的敬意。
在攻读硕士学位期间,我从匡乐满教授小组那里得到了许多有
益的指导和帮助,在此特向他们表示衷心的感谢。同时,我也感谢颜
家壬教授、海文华教授、方卯发教授、周光辉教授、曾浩生教授、侯
丽珍老师、苏益娟老师以及资料室谢老师和黄老师的教导和帮助。
此外,赵海军,邓洪亮,张涵,曹永正,唐政华,单永光,曹帅,
谭佳,汪新文,王国友等师兄弟也给过我很多的帮助。
最后我要感谢我的家人对我一如既往地关心和爱护以及经济上
支持。感谢年迈又无一技之长的父母不但要为自己的生计奔波,还
要支持我的学习,照顾我的妻子和我那刚满周岁的孩子以及我那90
多岁的爷爷。感谢我的爱人刘丽娟,结婚三年来,我们相处的时间不
到半年,但她从无怨言,即使怀孕时她非常希望我能陪在她身边,
但她为了我能安心学习,从来不向我叫苦,反而不断地鼓励我好好
学习,不断地叮嘱我注意身体。特别的,我要感谢我刚满周岁的女
儿,她什么都吃,因此身体非常健康,使我能集中精力学习。
李靖波
20063
硕士学位论文
湖南师范大学学位论文原创性声明
本人郑重声明:所呈交的学位论文是本人在导师的指导下独立
进行研究工作所取得的成果。除文中已经注明引用的内容外,本论
文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文
的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律结果由本人承担。
学位论寿擘姆彩做驯年名月,,日7
湖南师范大学学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,
同意学校保留并向国家有关部门或机构送交论文的复印件和电子
版,允许论文被查阅和借阅。本人授权湖南师范大学可以将本学位
论文的全部或部分内容编入有关数据进行检索,可以采用影印、缩
印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密口,在一年解密后适用本授权书。
2、不保密酉。
作者签名:摘日期:∥缉6月,2日(请在以上相应方框内打“v,”)
导师签名:方如堋日期:加绰,月户日
诱饵态量子密钥分配的研究
作者:
学位授予单位:李靖波湖南师范大学
本文读者也读过(10条)
1. 任保友.高宽云.赵翠兰.REN Bao-you.GAO Kuan-yun.ZHAO Cui-lan 量子环中量子比特内的电子概率密度分布
[期刊论文]-发光学报2008,29(2)
2. 宋克慧.Song Ke-Hui 利用Λ型原子与双模腔场的相互作用进行量子信息处理[期刊论文]-物理学报2005,54(10)
3. 李艳玲.冯健.孟祥国.梁宝龙.Li Yan-Ling.Feng Jian.Meng Xiang-Guo.Liang Bao-Long 量子比特的普适远程翻转和克隆[期刊论文]-物理学报2007,56(10)
4. 吕丹丹 基于超导量子比特的量子信息处理[学位论文]2010
5. 王子武 抛物线性限制势量子点量子比特性质的研究[学位论文]2007
6. 肖正安 B92量子密钥研究及其计算机仿真[学位论文]2005
7. 简丽 量子密钥在经典安全体制中的应用研究[学位论文]2008
8. 党纪源 原子-腔场相互作用系统中未知量子态远程传送的研究[学位论文]2007
9. 周腾飞 磁通量子比特电路消相干的研究[学位论文]2008
10. 孙国柱.吴培亨.吉争鸣.包慧玲.许伟伟.康琳.陈健.SUN GUO-ZHU.WU PEI-HENG.JI ZHENG-MING.BAO Hui-ling.Xu Wei-wei.KANG Lin.CHEN JIAN Josephson结开关电流分布的测量方案探讨[期刊论文]-低温物理学报2005,27(3)
本文链接:http://d.wanfangdata.com.cn/Thesis_Y912721.aspx