经典信号同步延时的复合量子密钥分发系统及其双速协议制作方法

杨理

2003年4月2日

2001年8月31日

2001年8月31日

中国科学院研究生院

H04L9/08GK1407739SQ0113120

延时 密钥 量子 复合 同步 经典 信号

1.一种经典信号同步延时的复合量子密钥分发系统，其特征在于所述的一种复合QKD系统的量子信道在光纤纤芯，而经典信道在自由空间；每一个经典信号与相应的一个量子信号之间有一个适当的延时，保证接收者BOB可以利用经典信号测量相应的量子信号2.一种用于经典信号同步延时的复合量子密钥分发系统的双速协议，其特征在于所述的双速协议使得Alice和Bob可以随意选定发送和测量的基，而Eve却完全无法有效利用这一信息，具体如下(1)、Alice选择一组协议基，并在t＝0时刻随机选择处于某一容许态的光子发送给Bob；(2)、Alice在t＝τ时刻公开宣布此光子处于哪一组基上，此经典信息以光速c沿公开信道传向Bob当经典信道为直线时，延时τ须满足τ=1c[ng(l+lb)-d],---(1)]]>(3)、Bob接收到Alice的经典信息后选择正确的测量基测量Alice所发送的光子的极化状态；(4)、Bob公布哪些光子检测到了；(5)、Bob公布部分测量结果，Alice据此判断Eve是否存在；(6)Alice和Bob将剩余的比特作为原始密钥3.根据权利要求2所述的双速协议，其特征在于采用原BB84协议的两组基，或者采用扩展BB84协议的三组基，在采用BB84协议的两组基时，双速协议的密钥生成效率是原BB84协议的两倍；采用扩展BB84协议的三组基时，双速协议效率是扩展BB84协议效率的三倍；在上述两种情形Eve可能得到的平均信息量仍然分别是 和 4.根据权利要求2所述的双速协议，其特征在于协议基是完全任意的共轭基，具体如下假设Alice和Bob事先并不约定协议基是什么，Alice随机选取Poincaré球面上一点S发送给Bob，并在延时τ之后用经典信道公布S所在直径，由于Bob是依据经典信号Sc进行测量的，因此能准确知道Alice发送的是S还是-S5.根据权利要求2所述的双速协议，其特征在于优选四组基协议，所述的四组基为Poincaré球面的内接立方体的四条对角线所对应的四条直径，由于这四条直径互相并不垂直，这是一个协议基为非共轭基的双速协议6.根据权利要求2所述的双速协议，其特征在于更优选十组基协议，即，取四组基协议中的四组基为协议基，还取Breidbart基攻击中的六组随机选取的Breidbart窃听基也为协议基，从Poincaré球面的内接立方体上看，这十组基对应于过立方体中心的四条长为 倍边长的对角线所在直径和六条平行于长为 倍边长的对角棱中点连线的直径

本发明涉及量子信息技术中的量子密码术具体的讲，本发明提出了复合量子密钥分发(QKD)系统及其双速协议，本发明在提高密钥生成效率的同时提高量子密钥分发系统的安全性，并极大地扩充协议基选择范围；本发明的物理基础是真空光速为极限信号速度这一狭义相对论基本结果这一结果保证了Alice和Bob之间所生成的密钥序列的安全性显然，在BB84协议中，在与Alice公开讨论之前，Bob与Eve的地位是相同的，由于Bob不能在测量前知道Alice选定的发送基是哪一组，他的测量效率也只能是 (四态)或 (六态)正是由于这个原因，BB84类协议不适合自由地选取更多的基以提高系统的安全性双速协议的缺点是显然的协议所需的经典信道不能使用最为方便的光纤信道，考虑到目前自由空间光通信的巨大进展，尤其是密集频分复用技术和自由空间光信息传输的自适应技术的进展，本发明提出的方案是有可能在多样化的应用环境中找到自己的位置的在本发明中，同时也按照本领域之习用，将ALICE定义为“密钥发送者”；将BOB定义为“密钥接收者”；将EVE定义为“窃听者”本发明的主要目的在于提出一种经典信号同步延时的复合量子密钥分发系统(QKD)本发明的另一个目的在于提出一种用于所述复合量子密钥分发系统(QKD)的双速协议本发明讨论并提出了经典信号同步延时的复合QKD系统及其双速协议的基本内容和安全性问题，证明了这一协议的安全性与传统的BB84协议安全性等价，而安全密钥的生成效率则高于扩展BB84协议三倍以上更进一步，本发明所述的这一协议使QKD在概念上发生了明显的变化，Bob与Eve的地位在Alice和Bob公开讨论之前就已经完全不同，这使得Alice和Bob可以随意选定发送和测量的基，而Eve却完全无法有效利用这一信息本发明的另一个优点是自由空间的经典信道可以合理地被看作是抗干扰信道，从而避免了需要量子认证这一难题，使得本发明首次提供了一种可达数十公里范围的具有无条件安全性的量子密钥分发方案而现有技术的自由空间QKD方案的有效范围目前仅为若干公里，光纤QKD方案由于至今未能发现有效的量子认证方案而只能算作具有无条件安全性的量子密钥扩展本发明的这种方式为设计更有效、安全的QKD系统提供了可能基于现有技术所述的双速BB84协议的解释，由于光纤QKD系统是目前看来唯一有实用意义的QKD系统，而光纤中光信号的传递速度只有 倍光速，本发明的研究人员提出了下述双速QKD(BB84)协议1.Alice选择一组协议基，并在t＝0时刻随机选择处于某一容许态的光子发送给Bob；2.Alice在t＝τ时刻公开宣布此光子处于哪一组基上，此经典信息以光速c沿公开信道传向Bob当经典信道为直线时，延时τ须满足τ=1c[ng(l+lb)-d],----(1)]]>其中c为真空光速，ng为光纤纤芯的群速度折射率，l为从Alice到Bob安全区边缘的光纤长度，lb为Bob在安全区内预留的光纤长度，d为Alice到Bob的距离；3.Bob接收到Alice的经典信息后选择正确的测量基测量Alice所发送的光子的极化状态；4.Bob公布哪些光子检测到了；5.Bob公布部分测量结果，Alice据此判断Eve是否存在；6.Alice和Bob将剩余的比特作为原始密钥本发明所述的双速协议的安全性判定，显然，只须证明Eve的在线测量不能利用Alice公开发布的经典信息，就可知此协议的安全性与传统BB84协议的安全性相同以Alice所处位置为坐标原点，Alice到Bob的方向为x轴方向，可知不论Alice和Bob之间的光纤链路怎样弯曲，量子信号Sq的速度(vg)在x轴正向的投影始终小于vg，因而小于c当Alice的经典信号Sc发出后，其在x轴上的投影xc以光速c前进(假设经典信道是直的)，因此在整个传输过程中Sc都是在追赶Sq由(1)式可知，只有当Sq进入Bob的安全区后Sc才能追上Sq，所以在Bob的安全区之外，Sc始终落后于Sq，因而只要光纤传输线是坐标x的单值函数，就有xc＜xq，其中xq是量子信号在x轴上的投影因此我们知道，Eve若要利用Sc测量Sq，就必须滞留Sq另一方面，Eve若要使自己的窃听不被察觉，又必须在测量之后补发Sq，而且使Bob能在原定时刻接收到它可是，我们已知以光速c沿直线传向Bob的Sc要到Bob的安全区之内才能追赶上Sq，即Sq到达Bob安全区边缘的时刻要早于Sc显然，Eve无论如何也不能在利用Sc进行测量之后又能使补发的Sq比Sc更早进入Bob的安全区以使Sq和Sc在Bob处有正确的时间差，所以我们知道，用经典信道发送延时为τ的信号Sc是安全的，双速协议的安全性与原BB84协议相同公式(1)只适用于经典信道为直线的情形，当经典信道弯曲时，只需增大lb，满足Δlb=13Δd]]>，其中Δd是经典信道由于弯曲而增加的长度，即可保证系统的安全性如果计及大气中的光速略小于狭义相对论的极限信号速度，也可通过略微加长lb以确保系统的安全性本发明所述的双速协议中协议基的选取如下，本发明所述的双速协议可以采用原BB84协议的两组基，也可以采用扩展BB84协议的三组基，原则上这一协议对基的选取没有限制本发明在这里所述的“没有限制”的意义是1.基的数目不受严格的限制，多选几组基不会降低密钥生成效率；2.基与基之间的关系不受限制，不必要求不同基之间相互共轭因此可以说，本发明提出的复合量子密钥分发系统及其双速协议为QKD系统的协议设计提供了充分的自由在采用BB84协议的两组基时，双速协议的密钥生成效率是原BB84协议的两倍；采用扩展BB84协议的三组基时，双速协议效率是扩展BB84协议效率的三倍在上述两种情形Eve可能得到的平均信息量仍然分别是 和 表面看来，只要我们增加协议采用的相互共轭基的数目，就可以在不降低密钥生成效率的同时有效地降低Eve的窃听效率，遗憾的是，描述光子极化状态的两两共轭的基最多只能有三组下面我们给出这一证明首先来看两组正交基相互共轭的条件不失一般性，设两组正交基分别为{e01,e11}={cosθ1sinθ1eiφ1,sinθ1-cosθ1eiφ1},---(2a)]]> 第一组基可用第二组基表示为e01=A1e02+B1e12,------(3a)]]>e11=A2e02+B2e12.---(3b)]]>由(2)、(3)式可得A1=cosθ1cosθ2+sinθ1sinθ2ei(φ1-φ2),----(4a)]]>B1=cosθ1sinθ2-sinθ1cosθ2ei(φ1-φ2),---(4b)]]>和A2=sinθ1cosθ2-cosθ1sinθ2ei(φ1-φ2),---(4c)]]>B2=sinθ1sinθ2+cosθ1cosθ2ei(φ1-φ2).----(4d)]]>两组基共轭的含义是|A1|2＝|B1|2，|A2|2＝|B2|2，由此可得两组基共轭的条件tg2θ1tg2θ2＝-sec(φ1-φ2).(5)现在用反证法证明不能有三组以上的基两两共轭设有四组基两两共轭，则由(5)式有tg2θitg2θj＝-sec(φi-φj)，1≤i＜j≤4. (6)记tg2θi＝ti，cos(φi-φj)＝-cij，由(6)式可得C23C34C24=t42=C13C14C34,----(7a)]]>C12C13C23=t32=C24C23C14,----(7b)]]>C13C12C23=t22=C14C12C24,----(7c)]]>C34C13C14=t12=C23C12C13.----(7d)]]>由上述诸式可得C23C14＝C13C24， (8a)C13C24＝C12C34. (8b)由(8a)式有cos(φ1+φ3-φ2-φ4)＝cos(φ2+φ3-φ1-φ4)从而有sin(φ3-φ4)sin(φ1-φ2)＝0. (9a)由(8b)式有cos(φ3+φ4-φ1-φ2)＝cos(φ2+φ4-φ1-φ3)，从而有sin(φ4-φ1)sin(φ3-φ2)＝0 (9b)由(9a)式和(9b)式知φ1、φ2、φ3和φ4中至少有三个相等或相差π的整数倍由于本发明的研究人员证论的前提是φi各不相同，相差π的偶数倍没有意义，因此只能是三个角两两相差π的奇数倍由于三个角度两两相差π的奇数倍是不可能的，所以知上述论证的前提不能成立，即不可能有四组基两两共轭在Poincaré球上可推出共轭条件(5)将导致s1s1′+s2s2′+s3s3′＝0，即相互共轭的两组基所对应的两条直径相互垂直由于在三维空间中最多只能有三条直径两两垂直，可知最多只能选出三组基相互共轭根据上述论证可知，如果协议基限于取共轭的正交基，则双速协议以选取扩展BB84协议的三组共轭基为优下面讨论本发明所述的协议更具特色的情形协议基不完全是共轭基的情形实施例一本实施例讨论的是协议基不完全是共轭基的情形，具体如下由于双速协议在增加协议基数目时不会降低密钥生成效率，本发明的研究人员首先来考虑一种极端的情形，假设Alice和Bob事先并不约定协议基是什么，Alice随机选取Poincaré球面上一点S发送给Bob，并在延时τ之后用经典信道公布S所在直径由于Bob是依据经典信号Sc进行测量的，因此能准确知道Alice发送的是S还是-S而Eve与Bob完全不同，由于Alice的S点是随机选取的，所以Eve的窃听策略无论怎样其平均效果都相当于随便选取一条不动的直径进行测量本发明的研究人员假定她选的是(±1，0，0)，则Alice发送的光子的极化状态S在Eve选定的测量基上可一般性地表达为(cosθ，sinθeiφ)，Eve判断正确的概率为cos2θ，这里限定 ，这是因为Eve可以在收到Sc之后再判断自己的测量结果是倾向于S还是倾向于-S从Poincaré球上看就是Eve可以认定自己的测量基直径与Alice的发送基直径夹角小于 ；此时如果取Alice/Eve平均交互信息量为IAE=1+4π∫0π/4(cos2θlog2cos2θ+sin2θlog2sin2θ)dθ----(10)]]>由∫0π/4cos2θlog2cos2θdθ=14ln2(-1-ln2+π2-πln2+2G)----(11a)]]>∫0π/4sin2θlog2sin2θdθ=14ln2(-1-ln2+π2-πln2-2G)----(11b)]]>其中G是由完全椭圆积分K(k)=∫0π/2da1-k2sin2a----(12a)]]>定义的Catalan常数，G=12∫01K(k)dk=Σm=0∞(-1)m(2m+1)2=0.9160----(12b)]]>可得IAE＝0.4423 (13)这一结果似乎表明随机选基发送要比选三组共轭基来发送(IAE=13)]]>使Eve获得更大的信息量，这是不确切的；原因是(10)式暗含了Alice在参数θ上均匀取点而不考虑参数φ的变化这一假定；这相当于假定Eve选定的窃听直径与Alice的选基方案相关，而这是Eve无法做到的如果我们积分时在Poincaré球面上均匀取点，结果就会有很大的不同下面考虑在Poincaré球面上均匀取基时Alice/Eve的交互信息量为利用通常选取的描述光子极化的球坐标[8]s1＝s0cos2χcos2ψ， (14a)s2＝S0cos2χsin2ψ， (14b)s3＝s0sin2χ. (14c)其中s0为光场强度，χ为椭圆率，ψ为椭圆取向角，我们可以不失一般性地考虑光子极化态在基{|L>，|R>}上的分解这在表面上是假定Eve取{|L>，|R>}为固定窃听基，但由于积分遍及整个球面，结果与窃听基选取无关，积分值反映的是Alice在Poincaré球面上随机选取发送基而Eve在Poincaré球面上随机选取窃听基时Alice/Eve的平均交互信息量一般的发送态(cosθ，sinθeiφ)在{|L>，|R>}上的分解为cosθsinθeiφ=A121i+B121-i,----(15)]]>其中A=12(cosθ+sinθei(φ-π2)),----(16a)]]>B=12(cosθ-sinθei(φ-π2)),----(16b)]]>可得|A|2=12(1+sin2θsinφ).----(17)]]>不失一般性，取s0＝1，则有[8]s3＝2a1a2sinδ＝sin2θsinφ (18)由(14c)式和(17)式可得|A|2=12(1+sin2χ).----(19)]]>故知Eve的窃听效率为ηΣ=12(1+sin2χ).----(20)]]>Alice/Eve的平均交互信息量为IΣAE=1+12π∫0π/2d(2ψ)∫0π/2d(2χ)(ηΣlog2ηΣ+(1-ηΣ)log2(1-ηΣ))cos2χ,----(21)]]>积分，得IΣAE=1-12log2e=0.2787.----(22)]]>由此知Alice在Poincaré球面上随机选基将使Eve获得较扩展BB84协议更小的信息量，即采用这种选基方式的双速协议较扩展BB84协议更安全因此，本发明所述的双速协议可以比扩展BB84协议更安全从上述分析中可以引出一个问题将(21)式积分变量2χ换为a=π2-2χ]]>时，(21)式变为IΣAE=1+∫0π/2dα(cos2αlog2cos2α+sin2αlog2sin2α)sinα,----(23a)]]>而(10)式可化为IAE=1+2π∫0π/2dθ(cos2θlog2cos2θ+sin2θlog2sin2θ),----(23a)]]>比较(23a)式和(23b)式，可知IAE和I∑AE的区别就在于积分平均时的权重不同，这其实反映的是两种随机选基方案的基选取概率依参数(θ，φ)的分布不同我们要问的问题是就不同的选基方案，即积分平均时的不同权重而言，能否证明I∑AE是最小的？即是否Poincaré球面上的均匀取点方案是最优的？，请参见实施例2实施例二本实施例讨论的是四组基协议，本实施例考虑一个具体的四组基双速协议，本发明的研究人员取协议的四组基为Poincaré球面的内接立方体的四条对角线所对应的四条直径由于这四条直径互相并不垂直，这是一个协议基为非共轭基的双速协议这一协议的P基窃听，即以四条对角线之一为窃听基的窃听，对于其它三条对角线上的态有相同的窃听效率ηP=cos2θ=12(s1s1′+s2s2′+s3s3′+1)=23,----(24)]]>因此 所以此协议在P基攻击下的A1ice/Eve平均交互信息量为 小于扩展BB84协议的IPAE由于三组基协议和四组基协议同样需要2比特的Sc，只要给出四组基协议易于操作的物理实现方案，这一协议是有实用意义的这一协议还有两种Breidbart基窃听方式其一是取固定的窃听基为平行于立方体某一边的一条直径，窃听效率为ηB=12(1+cosα)=12(1+13),----(27)]]>Alice/Eve平均交互信息量为I4BAE=1+ηBlog2ηB+(1-ηB)log2(1-ηB)=0.2560.----(28)]]>其二是随机取某两组基对应直径的角分线为窃听基，共有六种等价取法可以证明另外两条直径与窃听基所在直径垂直，对交互信息量没有贡献相邻直径上的态的窃听效率为ηB′=12(1+cosα′)=12(1+23)=0.9082,----(29)]]>I4B′AE=12[1+ηB′log2ηB′+(1-ηB)log2(1-ηB)]=0.2788.----(30)]]>由(26)、(28)和(30)各式知不考虑纠错过程对I4XAE的影响时，四组基双速协议的窃听策略以P基窃听为优如果考虑纠错过程，各I4XAE会发生不同的变化首先看I4PAE 选对基的情形不在Bob处引起错误； 选错基的情形在Bob处引起错误的概率为2ηP(1-ηP)=49,]]>Eve与Bob同为正确的概率为ηP2=49]]>Eve手中选错基的比特在纠错后正确率为 平均起来Alice/Eve的有效交互信息量为 对于固定窃听基的B窃听，类似可得 下面来看随机选取六个窃听基之一的窃听方式B′窃听对于与窃听基共轭的两组基上的态，Eve引起的错误率为 ；对于与窃听基相邻的两组基上的态，Eve引起的错误率为2ηB′(1-ηB′)＝0.1667对于后者，Eve与Bob同为正确的概率为ηB′2=0.8248]]>，因此纠错后Eve手中比特的正确率为(ηB′)有效＝0.9898， (35)总计起来B′攻击下Eve获得的有效信息量为 由(32)、(34)和(36)各式可知，在Alice和Bob使用标准纠错手续公开纠错之后，Eve获得的有效信息量以采用B基窃听时为最大综上所述可知，利用标准纠错手续公开纠错后Eve的信息量以B窃听为最大；如果能排除Eve的B窃听，就可以使秘密性增强算法的强度下降40％，从而较大幅度地提高安全密钥的生成效率因此如何设计协议基的选取和公开讨论方案以便更有效地排除B窃听就是一个需要进一步研究的问题，参见实施例3实施例三本实施例具体涉及十组基协议，即，考虑取下述十组基的双速QKD协议不但取实施例二中讨论的四组基协议中的四组基为协议基，而且取实施例二中讨论的第二类Breidbart基攻击中的六组随机选取的Breidbart窃听基也为协议基从Poincaré球面的内接立方体上看，这十组基对应于过立方体中心的四条长为 倍边长的对角线所在直径和六条平行于长为 倍边长的对角棱中点连线的直径下面考虑此方案在P基攻击下的Alice/Eve平均交互信息量Eve选择的窃听基与Alice选择的发送基的关系可分成三种情形1.同在 线所对应的四组基内；2.同在 线所对应的六组基内；3.一在四组基内，一在六组基内对于情形“1”，由上述讨论可知Alice/Eve交互信息量为0.3113[见(26)式]；对于情形“2”，可以看出六组基中有一组基与窃听基垂直，对IAE无贡献；另外四组基的窃听效率为12(1+cosπ3)=34]]>，相应的IAE为0.1888，故得情形“2”的Alice/Eve平均交互信息量为16+46×0.1888=0.2925;]]>对于情形“3”，即Eve选择的窃听基和Alice选择的发送基一个属于 线对应的六组基之一，一个属于 线对应的四组基之一，可以证明(1)每一条 线与两条不相邻的 线互相垂直；(2)每一条 线与三条不相邻的 线互相垂直；(3)发送基与窃听基相邻时窃听效率为0.9082[见(29)式]由此可得Alice/Eve平均交互信息量为0.2788综上所述可知，本节提出的十组基协议在P基窃听下Eve可能获得的平均交互信息量为I10PAE=0.3113×(25)2+0.2925×(35)2+0.2788×2×25×35]]>＝0.2890.(37)由(37)式可知，在P基窃听下当不考虑纠错过程对Eve获得的信息量的影响时，十组基双速QKD协议明显较扩展BB84协议更为安全十组基协议在各种B基窃听下的安全性以及纠错过程对Eve信息量的影响有待分析本发明的技术特征是1、量子信道在光纤纤芯，经典信道在自由空间；2、每一个经典信号与相应的一个量子信号之间有一个适当的延时，保证接收者BOB可以利用经典信号测量相应的量子信号；本发明的优点1、提高密钥生成效率至100％；2、协议基可以任意选择，其明显的作用之一是提高了系统的抗攻击能力；3、量子信道在光纤纤芯，可以远距离传送，而经典信道在自由空间，可以看作是抗干扰(unjammable)信道，从而解决了QKD最基本的困难，使得防止中间介入攻击的量子认证在本系统中没有必要综上所述可知，本发明提出的基于真空光速为极限信号速度这一狭义相对论基本假设的光纤QKD系统双速协议在提高密钥生成效率的同时提高了系统的安全性，光纤QKD系统双速协议使QKD协议设计的选择空间有了本质性的扩充，尤其是双速协议在一开始就使得Bob与Eve的地位完全不同，从而为今后基于理论和实践的各种原因设计有效、安全的系统提供了更多的可能