关于量子加密传输

第二章 量子密钥分配协议
2.1 引言
量子密码学最著名的应用是量子密钥分配(QKD)，QKD的目的是让通信双方，Alice和Bob，利用不可靠的信道完成密钥的协商生成。从密码学的角度看，QKD的安全性依赖于密钥的生成与管理机制，该机制能够保证Alice和Bob可以发现窃听者Eve的存在，从而确保获得的密钥是绝对安全的。量子密码学是实验进展最快的量子信息处理领域之一。第一个量子密钥分配实验由Bennett等人于1992年完成。目前QKD实验的着重点有两个方面:光纤中QKD和自由空间的QKD。科学家们已经成功地将光子在商用电信光纤上传输了大约50公里，在自由空间传输了超过1公里。光纤中的QKD已经基本具备了实用化的条件，对于自由空间的QKD，为了实现地面与低轨道卫星的密钥分配，必须在地表实验中实现2公里以上QKD，目前的实验结果也己经非常接近。总之，QKD的实验研究己经取得了重大进展，为QKD的实用化奠定了坚实的基础。本章研究的QKD方案主要有四类:
1、基于两组共扼正交基的四状态方案，其代表为BB84协议。
2、基于两个非正交态的二状态方案，其代表为B92协议。
3、基于EPR纠缠对的方案，其代表为E91协议。
4、基于BB84协议与B92协议的4＋2协议
2.2 BB84 量子密钥分配协议
当光子传导时会在某个方向上发生振荡,上,下,左,右,多数则是按某个角度振荡。正常的太阳光是非极化的,在每一个方向都有光子振荡。当大量的光子在同一方向振荡时,它们是极化的(polarized) ,极化滤波器只允许在某一方向极化的光子通过,而其余的光子则不能通过,例如,水平滤波器只允许水平方向极化的光子通过。
量子保密通信
如图2－1所示，用H 表示二维Hilbert 空间,其中的每个元素代表单个光子的极化状态。BB84 协议中需要H 的两个不同的正交基:对角线极化基,它包含态矢量|〉􀀀(表示左对角极化状态) 与|(表示右对角极化状态) ;直线极化基,它包含态矢量|↑〉(表示垂直极化状态) |→〉 与 (表示水平极化状态) 。对角线极化量子编码表A1 设为|〉􀀀〉􀀀:″1″，:″0″直线极化量子编码表A2 设为|→〉:″0″，|↑〉:″1″如果仅用A1 编码,则Eve 可用对角线极化测量算符如||或|〉􀀀〉〈􀀀􀀀|〉〈 􀀀􀀀,完全准确地拦截消息并重传给Bob ;如果仅用A2 编码,则Eve 可用直线极化测量算符如或||→〉〈→|↑〉〈↑,完全准确地拦截消息并重传给Bob。上述窃听策略称为不透明窃听,因此这一协议的编码要用到A1 和A2 。为了保证检测出窃听者,协议要求Alice 与Bob 的通信分成两个阶段进行。第一阶段通过从Alice 到Bob 的单向量子信道进行通信,第二阶段通过双向公共信道进行通信, 通信模型如图2-2 所示。
2.2.1 第一阶段:经由量子信道的通信
Alice 以相同的概率从A1 和A2 中随机产生二进制位。因为A1 和A2 的测量算符不可对易,由Heisenberg 测不准关系,无论Bob 或Eve ,他能收到Alice 传来的消息的准确率不超过75% 。这是因为从Alice 传来的每一位,只能选择对A1 或A2 的测量算符,由不可对易性,不存在同时测量A1 和A2 的测量算符。Bob 或Eve 对Alice 秘密选择的量子编码表一无所知,
量子保密通信
因此有50% 的可能性猜对,选择了正确的测量算符,正确接收到Alice 的传输位的概率为1 ;也有50% 的可能性猜错,选择了错误的测量算符,测得的是随机结果,正确接收到Alice 的传输位的概率是1/ 2 。这样最终收得消息正确率为
P = (1/ 2)*1 + (1/ 2)*(1/ 2) = 3/4 (2-2-1)
对发自Alice 的每一位,都假设Eve 会采取以下两种行动:以概率p 进行不透明窃听,0 ≤ p ≤1 ,或者以概率1 - p 不窃听。如果p = 1 ,Eve 在窃听传输的每一位, p = 0 ,Eve 没有窃听。因为Bob 与Eve 对测量算符的选择是相互独立且随机的,并独立于Alice 对量子编码表的选择, Eve 的窃听会明显增加Bob 接收到的二进制数的错误率,考虑在有Eve 窃听的情况下,最终收到消息的错误率为:
(1/ 4)*(1 - p) + (3/ 8)*p = (1/ 4) + ( p/ 8) (2-2-2)
这样,当Eve 窃听每一位时,即p = 1 ,Bob 的错误率从1/ 4 上升到3/ 8 ,增加了50% 。
2.2.2 第二阶段:经由公共信道的通信
这一阶段,Alice 与Bob 分两步在公共信道上通过分析错误率来判断Eve 的存在。
2.2.2.1 产生原始密钥。这一步是除去非Eve 的窃听所产生的错误二进制位。Bob 通过公共信道告诉Alice 他对接收到的每一位所采用的测量算符。Alice 接着告诉Bob 哪些测量算符是正确的。Alice 和Bob 删除那些与设置的不正确算符相对应的位,从而分别产生Alice 的原始密钥与Bob 的原始密钥。如果没有干扰或窃听,Alice 与Bob 的原始密钥应该是完全一致的。但在有Eve 存在的情况下,二者不一致的概率为：0*(1 - p) + (1/4)*p = p/4 。
2.2.2.2 通过对原始密钥不一致检测发现窃听存在。在无噪声干扰的情况下, Alice 和Bob 经协商，从原始密钥中抽取m 位(m 位小于原始密钥长度)，通过公共信道对它们进行比较,随后将它们从各自的原始密钥中丢弃。如果此时m 位存在差异，则认为Eve 一定存在；如果这m 位相同，则Eve 存在的概率为 （Eve 存在时，λ＝1；Eve 不存在时，λ＝0）。如果该概率足够小，则认为Eve 不存在，本次通信是安全的，Alice 和Bob 将原始密钥剩下的那些位作为原始密钥。否则，这次通信过程作废。 m(1 P /4)－
2.2.3 第三阶段: 抽取共同密钥
当把BB84 协议应用到有噪声干扰的环境中时,在传送中的误码有两个来源：环境的噪声和Eve的窃听，这两种误码是不可区别的，但是一般来说，环境的噪声会有一个上限，如果误码率超过这个上限，就有理由相信这是由于Eve的窃听而引起的。
Alice和Bob现在的目标是去掉原始密钥中所有不同的位，得到二人相同的密钥，称为共同密钥。他们首先选择一个强无碰撞的Hash函数，例如MD，分别计算各自原始密钥的Hash
量子保密通信
值。公开比较这两个值是否相等，如果不相等，则等分原始密钥，分别计算两部分的Hash值，并比较是否相同，如果不相同，继续等分，计算Hash值，如此重复下去，直到分成的块的长度小于等于Imin.（Imin是双方约定的分块长度的最小值）。如果块的长度小于等于Imin且它们的Hash值不同，就从原始密钥中删除这个块。原始密钥经过这样处理后，就得到了共同密钥，Alice 和Bob 能以很高的概率认为他们的共同密钥是相同的。
可以看到，事实上是用二分法查找并去掉不同的位。定位不同位的准确程度与Imin有关，如果设定Imin是1，那就能准确地找哪一位不同，但是这样需要的运算量较大，要降低运算量，就要提高Imin的值，在原始密钥长度一定的情况下，Imin的值越大，运算量就越低，但定位的准确程度相应地就降低了。在实际运用中，需要选择一个恰当的Imin的值，协调准确度与运算量的关系。如果原始密钥比较长，而最终密钥不需要很长的情况下，可以把Imin的值定得大一些，对于原始密钥不太长，而最终密钥又不能很短的情况下，则需要把Imin的值定得小一些。
2.2.4 第四阶段:保密放大
由于在公共信道上对密钥的调整可能使Eve 得到一些密钥的信息,因此要对调整后的密钥进行一些处理。Alice和BOB根据误码率的估计E和共同密钥的长度n计算出被Eve知道的位数的数学期望k，并选择一个安全参数s（s>0），s的值可以随便调整。然后从共同密钥中选长度为n - k - s 个随机子集,不泄漏它们的值,所有这些值的最后一位组成最终的密钥。可以证明Eve 从此密钥中得到的信息平均不大于位。 s2/ ln2
2.3 B92量子密钥分配协议
在分析BB84协议的安全性时Bennett 等发现，由于量子不可克隆定理的限制，如果一种测量不会破坏两个非正交状态中的任意一个，那么通过该测量也不可能获得任何能够区分这两个状态的信息。因此，Bennett指出任意两个非正交的状态都可以用来实现密钥分配。
设 和 是两个非正交的量子状态，满足 0|u〉1|u〉
010|||1uu<〈〉< （2-3-1）
其中 和都是归一化的，即 0|u〉1|u〉
0011||uuuu〈〉=〈〉= （2-3-2）
算子和分别将量子态投影到 和 正交的态空间上，即 0111|u〉0|u〉
[量子保密通信
01|0Pu〉=， （2-3-3） 000100||||Puuuuu〉=〉−〉〈〉
1|00Pu〉=， （2-3-4） 111001||||Puuuuu〉=〉−〉〈〉
因为21||(1|||)iijiiiuPuuu δ⊗〈〉=−〈〉，其中i.j=0,1,“⊗”表示异或，所以根据非0的测量结果可以确定量子的初始状态。
利用上述特性，Alice和Bob可以按照以下步骤实现B92量子密钥分配。
1、Alice选定一个二位的随机二进制串a，当==0时，取ia0||iuΦ〉=〉, =1时，取，并按固定的时间间隔将ia1||iuΦ〉=〉|iΦ〉种发送给Bob。
2、Bob也选定一个n位的随机二进制串b，当=0时，测量，当=1时，测 量。 ib0Pib1P
3、Bob通过公开的经典信道通知Alice他在哪些时间片检测到量子态。当 然，Bob并不透露他测量的究竟是还是o 0P1P
4、Alice保留Bob检测到量子态的那些时间片所对应的信息比特，从而获得a的一个子串a'。
5、Bob对于检测到量子态的时间片，根据(2－3－5)式译码获得信息串b'，显然b'是b的 一个子串，在没有误差的前提下，y＝a'.
(2-3-5) 0101PP→⎧⎨→⎩
6、Alice 随机公布一些信息比特让Bob验证错误概率是否大于特定的门限。
7、若错误概率大于门限，则表明信道不安全，Alice 和Bob 可以另选时间进行密 钥协商;若错误概率小于门限，则可以确定没有人窃听，Alice 和Bob 可以将 剩余的未公开的信息比特用作密钥。
8、Alice 和Bob 利用经典纠错码对密钥进行纠错，最后施行安全增强生成最终密 钥。
2.4 EPR量子密钥分配协议
Ekert 于1991年提出的基于EPR的量子密钥分配协议(E91)充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84 协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。此外，与BB84 不同的是，E91协议借助于Bell 不等式来验证是否存在窃听者，而在BB84 和B92 中，都是通过随机校验来实现窃听验证。
虽然量子密钥分配协议的安全性与Bell不等式之间的确切关系尚不清楚，但是利用Bell
量子保密通信
不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的窃听策略，采用多么精密的窃听设备，她的窃听行为必然影响纠缠态，进而使Bell不等式成立。
E91协议采用3个非正交的Bell态 0121112121211|(|0|||0)222122|(||||63362155|(||||36632ωωωΠΠ⎧〉=〉〉−〉〉⎪⎪ΠΠΠΠ⎪〉=〉〉−〉〉⎨⎪⎪ΠΠΠΠ〉=〉〉−〉〉⎪⎩ （2-4-1）
其中任意角度均表示光子的偏振方向。量子位的信息编码规则为： |||06325|||236oΠΠ⎧〉=〉=〉=⎪⎪⎨ΠΠΠ⎪〉=〉=〉=⎪⎩ （2-4-2）
相应的测量算子为： 012|00|||66||33MMM⎧⎪=〉〈⎪ΠΠ⎪=〉〈⎨⎪ΠΠ⎪=〉〈⎪⎩ （2-4-3）
根据上述设置，E91密钥分配的操作按如下步骤实施
1、Alice等概地从}{012|,|,|ωωω〉〉〉中随机选取一个纠缠态|jω〉，保留第一个量子 位，并把第二个量子位发送给Bob. Alice没有必要记住|jω〉究竟处于什么态， 只要保证三种纠缠态被等概地选取。该过程可以在密钥分配前任何方便的时 候进行，而且还可以有Bob或者可靠的第三方执行。
2、Alice和Bob各自独立地测量自己的量子位，测量算子等概地从}{012,,MMM中 随机选取。
3、Alice直接记录测量结果对应的编码信息比特，Bob则记录编码信息比特的反 码。
4、Alice和Bob在公开的经典信道公布自己所选取的测量算子。当然，Alice和Bob 都不透露自己的测量结果。
5、Alice和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的信息比特记为排异位(rejected bits)，与BB84和B92不同，排异位不再被丢弃，而是被公布以用来验证Bell不等式是否成立，并以此判断检是否存在窃听者。
量子保密通信
6、令表示Alice和Bob选取的测量算子分别为(|,)Pij≠(,ij MM或(,jiMM而相应 的排异位不相同的概率，同时则表示相应的排异位 相同的概率。进一步，此时Bell不等式简化为 (|,)1(|,)PijPij==−≠(,)(|,)(|,)ijPijPijΔ=≠−=
1(1,2)|(0,1)(0,2)| β=+Δ−Δ−Δ≥ （2-4-4）
然而根据量子力学，对于上述纠缠纯态，应有β＝－0.5。Alice和Bob可以利用公布的排异位分别计算β，若Bell不等式成立，即0β≥，则表明纠缠态已经被破坏，原始密钥是不可靠的;若Bell不等式不成立，即β<0，则可以确信原始密钥是可靠的。
?、Alice和Bob利用经典纠错码对密钥进行纠错，最后施行保密增强生成最终密钥。
2.5 4+2量子密钥分配协议
4+2协议结合了BB84与B92协议。在BB84协议中，Alice分别选择两个不同编码基中的两个正交态(共4态)进行编码。在协议B92中，Alice在一个编码基内选择两个非正交态(共2态)进行编码。而在4+2协议中，BB84协议中的四个量子态被分为两组}{}{|0,|1,|0,|1aabb〉〉〉〉。且与B92类似，在每组中的两个量子态并不互相垂直，他们叠加后为|0|1||0|1|cosaabbη〈〉=〈〉=。Alice分别选择两个不同编码基中的两个非正交态进行编码。由于在4+2协议中每一编码基中的两个量子态不正交。即，在一半情况下，Alice选择a基中的非正交态(记作}{|0,|1aa〉〉，与强光脉冲的相移分别为0和Π)对逻辑比特0,1编码;在另一半情况下，选择b基中的非正交态(记作}{|0,|1bb〉〉，与强光脉冲的相移分别为/2和3Π/2)对逻辑比特O，l编码。 Π
在接收端，Bob的检测装置在干涉仪的一臂上加装－Π/2移相器。如果Bob选择测量a基的弱光脉冲，他并不启动移相器。这时，探测器区别与。若他选择b基，则将弱光脉冲移相Π/2，这时，探测器将区分与只有当Alice的编码基与Bob的解码基一致时，双方得到的确定结果才完全相关。相对BB84与B92协议，对于窃听者Eve而言，她面临的麻烦更大。即使她测量到确信的结果，也不能保证这一结果与Alice发送的信号完全相关。换言之，这一协议对于合法的通信双方是更安全的。 |0a〉|1a〉|0b〉|1b〉
量子保密通信
第三章 量子通信传输流程
3.1 引言
在各种量子密码通讯方案中，量子通道的传输各不相同，所用的原理也不尽相同。为了得到安全的密钥，用双向的经典通道通讯进行后处理是十分重要的步骤，在 BB84 的介绍中已经列举了经典通道通讯的步骤（总的流程如图 3-1所示），在这其中提取 共同密钥和保密放大的算法是最为重要的。算法的好坏影响着整个系统的性能，关于这方便的探讨也很多，本章主要介绍这一部分的内容。
3.2 量子传输
不同量子密码协议有不同的量子传输方式，但它们有一个共同点:都是利用量子力学原理(如海森堡测不准原理)。在实际的通信系统中，在量子信道中Alice随机选取单光子脉冲的光子极化态和基矢，将其发送给Bob, Bob再随机选择基矢进行测量，测到的比特串记为密码本。但由于噪声和Eve的存在而使接受信息受到影响，特别是Eve可能使用各种方法对Bob进行干扰和监听，如量子拷贝，截取转发等，根据测不准原理，外界的干扰必将导致量子信道中光子极化态的改变并影响Bob的测量结果，由此可以对窃听者的行为进行检测和判定。这也是量子密码区别于其它密码体制的重要特点。
Page 14 of 22
量子保密通信
3.3 筛选数据(Distill data)
在量子传输中由于噪声，特别是Eve 的存在，将使光子态序列中光子的偏振态发生变化。另外，实际系统中，Bob 的检测仪也不可能百分之百正确地记录测量结果，所以，A1ice 和Bob 比较测量基后会放弃所有那些在传送过程中没有收到或测量失误，或由于各种因素的影响而不合要求的测量基，然后，他们可以公开随机的选择一些数据进行比较，再丢弃，计算出错误率，若错误率超过一定的阈值，应考虑窃听者的存在。A1ice和Bob放弃所有的数据并重新传光子序列，若是可以接收的结果，则A1ice和Bob将剩下的数据保存下来，所获得数据称为筛选数据。假设量子传输中A1ice传给Bob的量子比特(Qubit)为m bit，筛选掉m-n bit，则得到的原数据为n bit。在这个过程中可以检测出明显的Eve的存在。
3.4 数据纠错(Error Correction)
所得到的n bit的筛选数据并不能保证A1ice和Bob各自保存完全的一致性，通信双方仍不能保证各自保存的全部数据没被窃听。因此要对原数据进行纠错。人们提出了几种方法，经研究后提出以下方法：
1、A1ice和Bob约定好随机的变换他们bit 串的位置来打乱错误的位置；
2、2、将bit 串分成大小为K 的区，K的选取应使每一个区的错误尽可能的小；，
3、对于每一个区，A1ice和Bob计算并公开宣布了奇偶校验结果；
4、若相同，A1ice和Bob约定放弃该区的最后一个比持；
5、若不同，用log(K)反复查找来定位和纠正区中的错误；
6、由于奇偶校验只能发现奇数个同时出现的错误，所以仍会有小部分错误存在，为了解决这种情况，反复以上步骤，不断地增加区的大小。
在以上过程中，初始化区的大小，其中p是估计筛选数据所产生的错误率，而1为经过I+1次反复后区的大小，定义；但是区的大小绝对不会超过整个数据位的1／4。由于A1ice和Bob是公开进行的数据区的划分和奇偶校验子的比较的，这为Eve提供了获得更多信息的可能性，所以每次都要丢弃数据区的最后一位。这是为了保证密钥的安全，所以采用丢失信息位的方法。信息论的研究表明，这样做使Eve 所获得的信息按指数减少，数据纠错虽然减少了密钥的信息量，但保证了密钥的安全性。假设在此过程中丢失了er bit数据，则获得的纠正数据为n-er bit；若比特串不一致，则奇偶校验不一致概率为1／2，经反复1次后，所得比特串的错误率为20K=(1/p)+(1/4p)I+1K K=2K-1。
量子保密通信
3.5 保密增强(Privacy Amplification)
保密加强是为了进一步提高所得密钥的安全性，它是一种非量子方法，其具体实现为假设Alice 发给Bob 一个随机变量W , 如一个随机的n bit 串，在随机变量V 中，窃听者Eve 获得一个正确的随机变量V, 设对应的比特为t<n 即H(W∣V)≥n-t。分布PVW , 是Alice 和Bob 不知道的，同时也不知道PW 。Alice 和Bob 公开选取压缩函数G:(r为压缩后密钥得长度)，以使Eve 从W 中获取的信息和它的关于函数G 的信息给出他对新密钥K=G(K) 尽可能少的信息，对任意的s<n-t ,Alice 和Bob 可得到长度为r=n-s-t bit的密钥K=G(K),G 为映射G: ,Eve 所获得的信息按S 指数减少。 nr{0,1}{0,1}→nn{0,1}{0,1}→－－ -KSV=f(e)
3.6身份认证(Identify Authentication)
经过以上的过程，获得了一个对窃听者Eve完全安全的密钥，但他假定朋Alice和Bob都是合法的，并没有对A1ice和Bob的身份认证。可能会出现A1ice或M是假冒的情况，因此我们在原BM4协议中加人身份认证这一过程：我们可以从量子密钥中获取认证密钥而实现。将以上过程所得到的密钥称为原密钥(Raw Key)rK，将其分成三个部分：rK＝Ka+Kb+K，其中Ka，Kb用于身份确认。具体过程如下：A1ice秘密地从rK中选取Ka，并发送给Bob，同时Bob秘密地从rK中选取Kb并发送给A1ice，然后A1ice和Bob分别以Kb，Ka利用单向哈希函数获得各自的秘密密钥，。最后A1ice和Bob利用双钥认证体制实现身份确认。

第二章 量子密钥分配协议
2.1 引言
量子密码学最著名的应用是量子密钥分配(QKD)，QKD的目的是让通信双方，Alice和Bob，利用不可靠的信道完成密钥的协商生成。从密码学的角度看，QKD的安全性依赖于密钥的生成与管理机制，该机制能够保证Alice和Bob可以发现窃听者Eve的存在，从而确保获得的密钥是绝对安全的。量子密码学是实验进展最快的量子信息处理领域之一。第一个量子密钥分配实验由Bennett等人于1992年完成。目前QKD实验的着重点有两个方面:光纤中QKD和自由空间的QKD。科学家们已经成功地将光子在商用电信光纤上传输了大约50公里，在自由空间传输了超过1公里。光纤中的QKD已经基本具备了实用化的条件，对于自由空间的QKD，为了实现地面与低轨道卫星的密钥分配，必须在地表实验中实现2公里以上QKD，目前的实验结果也己经非常接近。总之，QKD的实验研究己经取得了重大进展，为QKD的实用化奠定了坚实的基础。本章研究的QKD方案主要有四类:
1、基于两组共扼正交基的四状态方案，其代表为BB84协议。
2、基于两个非正交态的二状态方案，其代表为B92协议。
3、基于EPR纠缠对的方案，其代表为E91协议。
4、基于BB84协议与B92协议的4＋2协议
2.2 BB84 量子密钥分配协议
当光子传导时会在某个方向上发生振荡,上,下,左,右,多数则是按某个角度振荡。正常的太阳光是非极化的,在每一个方向都有光子振荡。当大量的光子在同一方向振荡时,它们是极化的(polarized) ,极化滤波器只允许在某一方向极化的光子通过,而其余的光子则不能通过,例如,水平滤波器只允许水平方向极化的光子通过。
量子保密通信
如图2－1所示，用H 表示二维Hilbert 空间,其中的每个元素代表单个光子的极化状态。BB84 协议中需要H 的两个不同的正交基:对角线极化基,它包含态矢量|〉&#1048576;(表示左对角极化状态) 与|(表示右对角极化状态) ;直线极化基,它包含态矢量|↑〉(表示垂直极化状态) |→〉 与 (表示水平极化状态) 。对角线极化量子编码表A1 设为|〉&#1048576;〉&#1048576;:″1″，:″0″直线极化量子编码表A2 设为|→〉:″0″，|↑〉:″1″如果仅用A1 编码,则Eve 可用对角线极化测量算符如||或|〉&#1048576;〉〈&#1048576;&#1048576;|〉〈 &#1048576;&#1048576;,完全准确地拦截消息并重传给Bob ;如果仅用A2 编码,则Eve 可用直线极化测量算符如或||→〉〈→|↑〉〈↑,完全准确地拦截消息并重传给Bob。上述窃听策略称为不透明窃听,因此这一协议的编码要用到A1 和A2 。为了保证检测出窃听者,协议要求Alice 与Bob 的通信分成两个阶段进行。第一阶段通过从Alice 到Bob 的单向量子信道进行通信,第二阶段通过双向公共信道进行通信, 通信模型如图2-2 所示。
2.2.1 第一阶段:经由量子信道的通信
Alice 以相同的概率从A1 和A2 中随机产生二进制位。因为A1 和A2 的测量算符不可对易,由Heisenberg 测不准关系,无论Bob 或Eve ,他能收到Alice 传来的消息的准确率不超过75% 。这是因为从Alice 传来的每一位,只能选择对A1 或A2 的测量算符,由不可对易性,不存在同时测量A1 和A2 的测量算符。Bob 或Eve 对Alice 秘密选择的量子编码表一无所知,
量子保密通信
因此有50% 的可能性猜对,选择了正确的测量算符,正确接收到Alice 的传输位的概率为1 ;也有50% 的可能性猜错,选择了错误的测量算符,测得的是随机结果,正确接收到Alice 的传输位的概率是1/ 2 。这样最终收得消息正确率为
P = (1/ 2)*1 + (1/ 2)*(1/ 2) = 3/4 (2-2-1)
对发自Alice 的每一位,都假设Eve 会采取以下两种行动:以概率p 进行不透明窃听,0 ≤ p ≤1 ,或者以概率1 - p 不窃听。如果p = 1 ,Eve 在窃听传输的每一位, p = 0 ,Eve 没有窃听。因为Bob 与Eve 对测量算符的选择是相互独立且随机的,并独立于Alice 对量子编码表的选择, Eve 的窃听会明显增加Bob 接收到的二进制数的错误率,考虑在有Eve 窃听的情况下,最终收到消息的错误率为:
(1/ 4)*(1 - p) + (3/ 8)*p = (1/ 4) + ( p/ 8) (2-2-2)
这样,当Eve 窃听每一位时,即p = 1 ,Bob 的错误率从1/ 4 上升到3/ 8 ,增加了50% 。
2.2.2 第二阶段:经由公共信道的通信
这一阶段,Alice 与Bob 分两步在公共信道上通过分析错误率来判断Eve 的存在。
2.2.2.1 产生原始密钥。这一步是除去非Eve 的窃听所产生的错误二进制位。Bob 通过公共信道告诉Alice 他对接收到的每一位所采用的测量算符。Alice 接着告诉Bob 哪些测量算符是正确的。Alice 和Bob 删除那些与设置的不正确算符相对应的位,从而分别产生Alice 的原始密钥与Bob 的原始密钥。如果没有干扰或窃听,Alice 与Bob 的原始密钥应该是完全一致的。但在有Eve 存在的情况下,二者不一致的概率为：0*(1 - p) + (1/4)*p = p/4 。
2.2.2.2 通过对原始密钥不一致检测发现窃听存在。在无噪声干扰的情况下, Alice 和Bob 经协商，从原始密钥中抽取m 位(m 位小于原始密钥长度)，通过公共信道对它们进行比较,随后将它们从各自的原始密钥中丢弃。如果此时m 位存在差异，则认为Eve 一定存在；如果这m 位相同，则Eve 存在的概率为 （Eve 存在时，λ＝1；Eve 不存在时，λ＝0）。如果该概率足够小，则认为Eve 不存在，本次通信是安全的，Alice 和Bob 将原始密钥剩下的那些位作为原始密钥。否则，这次通信过程作废。 m(1 P /4)－
2.2.3 第三阶段: 抽取共同密钥
当把BB84 协议应用到有噪声干扰的环境中时,在传送中的误码有两个来源：环境的噪声和Eve的窃听，这两种误码是不可区别的，但是一般来说，环境的噪声会有一个上限，如果误码率超过这个上限，就有理由相信这是由于Eve的窃听而引起的。
Alice和Bob现在的目标是去掉原始密钥中所有不同的位，得到二人相同的密钥，称为共同密钥。他们首先选择一个强无碰撞的Hash函数，例如MD，分别计算各自原始密钥的Hash
量子保密通信
值。公开比较这两个值是否相等，如果不相等，则等分原始密钥，分别计算两部分的Hash值，并比较是否相同，如果不相同，继续等分，计算Hash值，如此重复下去，直到分成的块的长度小于等于Imin.（Imin是双方约定的分块长度的最小值）。如果块的长度小于等于Imin且它们的Hash值不同，就从原始密钥中删除这个块。原始密钥经过这样处理后，就得到了共同密钥，Alice 和Bob 能以很高的概率认为他们的共同密钥是相同的。
可以看到，事实上是用二分法查找并去掉不同的位。定位不同位的准确程度与Imin有关，如果设定Imin是1，那就能准确地找哪一位不同，但是这样需要的运算量较大，要降低运算量，就要提高Imin的值，在原始密钥长度一定的情况下，Imin的值越大，运算量就越低，但定位的准确程度相应地就降低了。在实际运用中，需要选择一个恰当的Imin的值，协调准确度与运算量的关系。如果原始密钥比较长，而最终密钥不需要很长的情况下，可以把Imin的值定得大一些，对于原始密钥不太长，而最终密钥又不能很短的情况下，则需要把Imin的值定得小一些。
2.2.4 第四阶段:保密放大
由于在公共信道上对密钥的调整可能使Eve 得到一些密钥的信息,因此要对调整后的密钥进行一些处理。Alice和BOB根据误码率的估计E和共同密钥的长度n计算出被Eve知道的位数的数学期望k，并选择一个安全参数s（s>0），s的值可以随便调整。然后从共同密钥中选长度为n - k - s 个随机子集,不泄漏它们的值,所有这些值的最后一位组成最终的密钥。可以证明Eve 从此密钥中得到的信息平均不大于位。 s2/ ln2
2.3 B92量子密钥分配协议
在分析BB84协议的安全性时Bennett 等发现，由于量子不可克隆定理的限制，如果一种测量不会破坏两个非正交状态中的任意一个，那么通过该测量也不可能获得任何能够区分这两个状态的信息。因此，Bennett指出任意两个非正交的状态都可以用来实现密钥分配。
设 和 是两个非正交的量子状态，满足 0|u〉1|u〉
010|||1uu<〈〉< （2-3-1）
其中 和都是归一化的，即 0|u〉1|u〉
0011||uuuu〈〉=〈〉= （2-3-2）
算子和分别将量子态投影到 和 正交的态空间上，即 0111|u〉0|u〉
[量子保密通信
01|0Pu〉=， （2-3-3） 000100||||Puuuuu〉=〉−〉〈〉
1|00Pu〉=， （2-3-4） 111001||||Puuuuu〉=〉−〉〈〉
因为21||(1|||)iijiiiuPuuu δ⊗〈〉=−〈〉，其中i.j=0,1,“⊗”表示异或，所以根据非0的测量结果可以确定量子的初始状态。
利用上述特性，Alice和Bob可以按照以下步骤实现B92量子密钥分配。
1、Alice选定一个二位的随机二进制串a，当==0时，取ia0||iuΦ〉=〉, =1时，取，并按固定的时间间隔将ia1||iuΦ〉=〉|iΦ〉种发送给Bob。
2、Bob也选定一个n位的随机二进制串b，当=0时，测量，当=1时，测 量。 ib0Pib1P
3、Bob通过公开的经典信道通知Alice他在哪些时间片检测到量子态。当 然，Bob并不透露他测量的究竟是还是o 0P1P
4、Alice保留Bob检测到量子态的那些时间片所对应的信息比特，从而获得a的一个子串a'。
5、Bob对于检测到量子态的时间片，根据(2－3－5)式译码获得信息串b'，显然b'是b的 一个子串，在没有误差的前提下，y＝a'.
(2-3-5) 0101PP→⎧⎨→⎩
6、Alice 随机公布一些信息比特让Bob验证错误概率是否大于特定的门限。
7、若错误概率大于门限，则表明信道不安全，Alice 和Bob 可以另选时间进行密 钥协商;若错误概率小于门限，则可以确定没有人窃听，Alice 和Bob 可以将 剩余的未公开的信息比特用作密钥。
8、Alice 和Bob 利用经典纠错码对密钥进行纠错，最后施行安全增强生成最终密 钥。
2.4 EPR量子密钥分配协议
Ekert 于1991年提出的基于EPR的量子密钥分配协议(E91)充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84 协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。此外，与BB84 不同的是，E91协议借助于Bell 不等式来验证是否存在窃听者，而在BB84 和B92 中，都是通过随机校验来实现窃听验证。
虽然量子密钥分配协议的安全性与Bell不等式之间的确切关系尚不清楚，但是利用Bell
量子保密通信
不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的窃听策略，采用多么精密的窃听设备，她的窃听行为必然影响纠缠态，进而使Bell不等式成立。
E91协议采用3个非正交的Bell态 0121112121211|(|0|||0)222122|(||||63362155|(||||36632ωωωΠΠ⎧〉=〉〉−〉〉⎪⎪ΠΠΠΠ⎪〉=〉〉−〉〉⎨⎪⎪ΠΠΠΠ〉=〉〉−〉〉⎪⎩ （2-4-1）
其中任意角度均表示光子的偏振方向。量子位的信息编码规则为： |||06325|||236oΠΠ⎧〉=〉=〉=⎪⎪⎨ΠΠΠ⎪〉=〉=〉=⎪⎩ （2-4-2）
相应的测量算子为： 012|00|||66||33MMM⎧⎪=〉〈⎪ΠΠ⎪=〉〈⎨⎪ΠΠ⎪=〉〈⎪⎩ （2-4-3）
根据上述设置，E91密钥分配的操作按如下步骤实施
1、Alice等概地从}{012|,|,|ωωω〉〉〉中随机选取一个纠缠态|jω〉，保留第一个量子 位，并把第二个量子位发送给Bob. Alice没有必要记住|jω〉究竟处于什么态， 只要保证三种纠缠态被等概地选取。该过程可以在密钥分配前任何方便的时 候进行，而且还可以有Bob或者可靠的第三方执行。
2、Alice和Bob各自独立地测量自己的量子位，测量算子等概地从}{012,,MMM中 随机选取。
3、Alice直接记录测量结果对应的编码信息比特，Bob则记录编码信息比特的反 码。
4、Alice和Bob在公开的经典信道公布自己所选取的测量算子。当然，Alice和Bob 都不透露自己的测量结果。
5、Alice和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的信息比特记为排异位(rejected bits)，与BB84和B92不同，排异位不再被丢弃，而是被公布以用来验证Bell不等式是否成立，并以此判断检是否存在窃听者。
量子保密通信
6、令表示Alice和Bob选取的测量算子分别为(|,)Pij≠(,ij MM或(,jiMM而相应 的排异位不相同的概率，同时则表示相应的排异位 相同的概率。进一步，此时Bell不等式简化为 (|,)1(|,)PijPij==−≠(,)(|,)(|,)ijPijPijΔ=≠−=
1(1,2)|(0,1)(0,2)| β=+Δ−Δ−Δ≥ （2-4-4）
然而根据量子力学，对于上述纠缠纯态，应有β＝－0.5。Alice和Bob可以利用公布的排异位分别计算β，若Bell不等式成立，即0β≥，则表明纠缠态已经被破坏，原始密钥是不可靠的;若Bell不等式不成立，即β<0，则可以确信原始密钥是可靠的。
?、Alice和Bob利用经典纠错码对密钥进行纠错，最后施行保密增强生成最终密钥。
2.5 4+2量子密钥分配协议
4+2协议结合了BB84与B92协议。在BB84协议中，Alice分别选择两个不同编码基中的两个正交态(共4态)进行编码。在协议B92中，Alice在一个编码基内选择两个非正交态(共2态)进行编码。而在4+2协议中，BB84协议中的四个量子态被分为两组}{}{|0,|1,|0,|1aabb〉〉〉〉。且与B92类似，在每组中的两个量子态并不互相垂直，他们叠加后为|0|1||0|1|cosaabbη〈〉=〈〉=。Alice分别选择两个不同编码基中的两个非正交态进行编码。由于在4+2协议中每一编码基中的两个量子态不正交。即，在一半情况下，Alice选择a基中的非正交态(记作}{|0,|1aa〉〉，与强光脉冲的相移分别为0和Π)对逻辑比特0,1编码;在另一半情况下，选择b基中的非正交态(记作}{|0,|1bb〉〉，与强光脉冲的相移分别为/2和3Π/2)对逻辑比特O，l编码。 Π
在接收端，Bob的检测装置在干涉仪的一臂上加装－Π/2移相器。如果Bob选择测量a基的弱光脉冲，他并不启动移相器。这时，探测器区别与。若他选择b基，则将弱光脉冲移相Π/2，这时，探测器将区分与只有当Alice的编码基与Bob的解码基一致时，双方得到的确定结果才完全相关。相对BB84与B92协议，对于窃听者Eve而言，她面临的麻烦更大。即使她测量到确信的结果，也不能保证这一结果与Alice发送的信号完全相关。换言之，这一协议对于合法的通信双方是更安全的。 |0a〉|1a〉|0b〉|1b〉
量子保密通信
第三章 量子通信传输流程
3.1 引言
在各种量子密码通讯方案中，量子通道的传输各不相同，所用的原理也不尽相同。为了得到安全的密钥，用双向的经典通道通讯进行后处理是十分重要的步骤，在 BB84 的介绍中已经列举了经典通道通讯的步骤（总的流程如图 3-1所示），在这其中提取 共同密钥和保密放大的算法是最为重要的。算法的好坏影响着整个系统的性能，关于这方便的探讨也很多，本章主要介绍这一部分的内容。
3.2 量子传输
不同量子密码协议有不同的量子传输方式，但它们有一个共同点:都是利用量子力学原理(如海森堡测不准原理)。在实际的通信系统中，在量子信道中Alice随机选取单光子脉冲的光子极化态和基矢，将其发送给Bob, Bob再随机选择基矢进行测量，测到的比特串记为密码本。但由于噪声和Eve的存在而使接受信息受到影响，特别是Eve可能使用各种方法对Bob进行干扰和监听，如量子拷贝，截取转发等，根据测不准原理，外界的干扰必将导致量子信道中光子极化态的改变并影响Bob的测量结果，由此可以对窃听者的行为进行检测和判定。这也是量子密码区别于其它密码体制的重要特点。
Page 14 of 22
量子保密通信
3.3 筛选数据(Distill data)
在量子传输中由于噪声，特别是Eve 的存在，将使光子态序列中光子的偏振态发生变化。另外，实际系统中，Bob 的检测仪也不可能百分之百正确地记录测量结果，所以，A1ice 和Bob 比较测量基后会放弃所有那些在传送过程中没有收到或测量失误，或由于各种因素的影响而不合要求的测量基，然后，他们可以公开随机的选择一些数据进行比较，再丢弃，计算出错误率，若错误率超过一定的阈值，应考虑窃听者的存在。A1ice和Bob放弃所有的数据并重新传光子序列，若是可以接收的结果，则A1ice和Bob将剩下的数据保存下来，所获得数据称为筛选数据。假设量子传输中A1ice传给Bob的量子比特(Qubit)为m bit，筛选掉m-n bit，则得到的原数据为n bit。在这个过程中可以检测出明显的Eve的存在。
3.4 数据纠错(Error Correction)
所得到的n bit的筛选数据并不能保证A1ice和Bob各自保存完全的一致性，通信双方仍不能保证各自保存的全部数据没被窃听。因此要对原数据进行纠错。人们提出了几种方法，经研究后提出以下方法：
1、A1ice和Bob约定好随机的变换他们bit 串的位置来打乱错误的位置；
2、2、将bit 串分成大小为K 的区，K的选取应使每一个区的错误尽可能的小；，
3、对于每一个区，A1ice和Bob计算并公开宣布了奇偶校验结果；
4、若相同，A1ice和Bob约定放弃该区的最后一个比持；
5、若不同，用log(K)反复查找来定位和纠正区中的错误；
6、由于奇偶校验只能发现奇数个同时出现的错误，所以仍会有小部分错误存在，为了解决这种情况，反复以上步骤，不断地增加区的大小。
在以上过程中，初始化区的大小，其中p是估计筛选数据所产生的错误率，而1为经过I+1次反复后区的大小，定义；但是区的大小绝对不会超过整个数据位的1／4。由于A1ice和Bob是公开进行的数据区的划分和奇偶校验子的比较的，这为Eve提供了获得更多信息的可能性，所以每次都要丢弃数据区的最后一位。这是为了保证密钥的安全，所以采用丢失信息位的方法。信息论的研究表明，这样做使Eve 所获得的信息按指数减少，数据纠错虽然减少了密钥的信息量，但保证了密钥的安全性。假设在此过程中丢失了er bit数据，则获得的纠正数据为n-er bit；若比特串不一致，则奇偶校验不一致概率为1／2，经反复1次后，所得比特串的错误率为20K=(1/p)+(1/4p)I+1K K=2K-1。
量子保密通信
3.5 保密增强(Privacy Amplification)
保密加强是为了进一步提高所得密钥的安全性，它是一种非量子方法，其具体实现为假设Alice 发给Bob 一个随机变量W , 如一个随机的n bit 串，在随机变量V 中，窃听者Eve 获得一个正确的随机变量V, 设对应的比特为t<n 即H(W∣V)≥n-t。分布PVW , 是Alice 和Bob 不知道的，同时也不知道PW 。Alice 和Bob 公开选取压缩函数G:(r为压缩后密钥得长度)，以使Eve 从W 中获取的信息和它的关于函数G 的信息给出他对新密钥K=G(K) 尽可能少的信息，对任意的s<n-t ,Alice 和Bob 可得到长度为r=n-s-t bit的密钥K=G(K),G 为映射G: ,Eve 所获得的信息按S 指数减少。 nr{0,1}{0,1}→nn{0,1}{0,1}→－－ -KSV=f(e)
3.6身份认证(Identify Authentication)
经过以上的过程，获得了一个对窃听者Eve完全安全的密钥，但他假定朋Alice和Bob都是合法的，并没有对A1ice和Bob的身份认证。可能会出现A1ice或M是假冒的情况，因此我们在原BM4协议中加人身份认证这一过程：我们可以从量子密钥中获取认证密钥而实现。将以上过程所得到的密钥称为原密钥(Raw Key)rK，将其分成三个部分：rK＝Ka+Kb+K，其中Ka，Kb用于身份确认。具体过程如下：A1ice秘密地从rK中选取Ka，并发送给Bob，同时Bob秘密地从rK中选取Kb并发送给A1ice，然后A1ice和Bob分别以Kb，Ka利用单向哈希函数获得各自的秘密密钥，。最后A1ice和Bob利用双钥认证体制实现身份确认。