曝气头徐兵杰;陈晖;张文政
【摘 要】Quantum key distribution (QKD) enables to share a secret key between two parties in the pres- ence of an eavesdropper (Eve). The single-photon, entanglement-based and continuous variable QKD pro- tocols have proved to be unconditionally secure under ideal (source, channel, detection) assumptions. In practical QKD systems, the security assumptions are not completely satisfactory so that security loopholes exist. The unconditional security of practical QKD systems will be compromised if these loopholes are not included in general security analysis or no counter measures are made. To fight against the security loop- holes due to the imperfect physical devices in practical QKD systems, the theoretical security analysis in software, can be impraved which includes all the loopholes in QKD systems ; or the physical implementation of practical QKD system in hardware can be improved, where monitoring devices should be added to moni- tor the practical security loopholes. In this paper, the practical loopholes in QKD source, channel
and de- tection are reviewed in detail, while counter-measures are given to fight against the loopholes.%量子密钥分发利用量子力学原理实现通信双方之间无条件安全的密钥传输而不被未经许可的第三方所窃听。目前,单光子QKD协议,纠缠光子对QKD协议,连续变量QKD协议等在理想的光源、信道、探测模型假设下已经被证明具有无条件安全性。然而,实际QKD系统所采用的非理想实际物理器件往往不完全符合理论安全性分析中的模型假设,这将导致比较严重的安全漏洞,从而降低实际QKD系统的安全性。为了抵御实际QKD系统非理想器件所引入的安全漏洞,可以从软件上改进QKD理论安全性分析(将实际QKD系统非理想特性纳入到安全性分析理论中),或从硬件上改进实际QKD系统(增加监控模块以抵御实际QKD系统安全漏洞)。对实际QKD系统光源、信道及探测端的安全漏洞进行了全面总结并给出针对各个安全隐患的抵御措施。 水析仪
【期刊名称】《中国电子科学研究院学报》
【年(卷),期】2012(007)005
【总页数】8页(P446-453)
【关键词】量子密钥分发;理论安全性;实际安全性;量子黑客攻击 【作 者】徐兵杰;陈晖;张文政
提升装置
【作者单位】保密通信重点实验室,成都610041;保密通信重点实验室,成都610041;保密通信重点实验室,成都610041
【正文语种】中 文
【中图分类】TN918.1
0 引言
QKD的发展历程分为四个阶段[1]:(1)理论学家基于量子力学原理证明理想(ideal)或半实际(semi-practical)QKD 系统的理论安全性[2,3]。上述安全性分析基于对Alice(信息发送方)和Bob(信息接收方)内部物理器件 (光源、信道、探测器等)的简化数学物理模型假设[4]。然而,这些模型往往不符合或不能完整建模QKD系统所采用的实际物理器件[5]。因而,QKD的理论无条件安全性并不能完全保证实际QKD系统的安全性。(2)实验学家不断改进QKD系统的硬件技术,使得码率不断提高,通信距离不断增长。目前世界上至少有三家公司出售商用QKD系统,QKD走出了实验室,进行了初步的实际应用。2006年
起,瑞士大选开始采用QKD来加密信息。2010年南非世界杯也采用QKD系统来保证信息安全。现有QKD系统最远通信距离达300 km,最终安全码率达兆赫兹(通信距离约50 km条件下)。(3)寻实际QKD系统中的安全漏洞,并改进系统的软件或硬件来抵御实际安全漏洞[5]。目前QKD正处于这个发展阶段。如何全面为实际QKD系统“查漏补缺”,填补实际安全漏洞,是当前QKD领域的研究重点之一。(4)一旦实际QKD系统的安全性经过反复检验和证明后,QKD将走向实用化。另外,QKD的网络化,地面至卫星QKD,以及QKD如何与传统光纤网络通信融合也是大家非常关注的问题。一旦上述问题得以解决,QKD技术将真正走向成熟。
针对QKD现阶段的主要发展目标和任务,全面且详细地总结了实际QKD系统光源、信道及探测端的安全隐患,并给出现阶段已知的针对各个安全隐患的抵御措施。
1 理论安全性与实际安全性
QKD的安全性可分为两个层次:理想QKD协议安全性和实际QKD系统安全性[1]。理想QKD协议的安全性是量子密码学理论研究的核心内容,是QKD安全性的基石。实际QKD系统是理想协议的物理真实实现。理想QKD协议安全性分析总是在系统物理模块(如光源,信
道,探测等)的简化数理模型基础之上进行的。若实际QKD系统的物理器件满足安全性分析所要求的模型假设,则其无条件安全性可以得到保证。然而,实际QKD系统存在如下两点安全性隐患[4,5]。
(1)实际QKD系统中的非理想物理器件与理想QKD协议安全性分析中的模型假设不相吻合,即理论和实验存在差异或不匹配;
(2)实际QKD系统中的物理器件的工作模式往往比理论安全性分析中的简化模型更加复杂,某些实际器件的非理想特性未被纳入到安全性分析中。
上述安全隐患将导致两个结果。
(1)理论安全性分析不能直接应用到实际QKD系统,无法证明实际QKD系统安全性及准确估计实际QKD系统安全码率;
仿流明(2)Eve(窃听者)可以利用实际物理器件中未被纳入理论安全性分析的安全漏洞窃取信息,而不被发现。
定义Eve所采用的针对实际QKD系统安全漏洞所采取的特殊攻击方式为量子黑客攻击(Quantum Hacking)[5]。解决上述安全隐患,需从以下两方面着手。
(1)软件层面:将实际器件安全性漏洞纳入到现有安全性分析理论中,提出量化该器件非理想特性的关键参数,进而将安全将码率表示成该参数的函数;
(2)硬件层面:改进实际QKD系统物理器件,使其符合理论安全性分析模型;或添加硬件监控模块,以监控实际系统非理想特性,防止Eve进行相应的量子黑客攻击。
下面分别从光源和探测端两个角度分别阐述和解释上述内容。
2 实际量子密钥分发系统安全漏洞及抵御措施
2.1 实际QKD系统光源端的安全漏洞
2.1.1 非可信光源攻击(untrusted source attack)
目前应用最广泛的BB84协议的标准安全性分析为GLLP及诱饵态理论。上述理论中对QKD光源光子数分布(PND,photon number distribution)的模型假设和实际QKD系统光源PND
的差别如下。
(1)GLLP理论中假设QKD光源具有固定且已知的PND[3],该分布不能被 Eve控制或改变,此类光源被称为可信光源(trusted source)。
(2)单路(one-way)QKD系统中,由于Alice内部激光器的机械噪声和电噪声,以及光学器件的参数抖动,导致光源光强不稳定(即光源PND不固定)。双路“即插即用”(two-way Plug&Play)QKD系统中,光源等价于完全被Eve所控制,如图1所示,光源PND未知。此类光源被定义为非可信光源(untrusted source)[6~9]。非可信光源攻击是针对实际QKD系统光源PND非理想特性的量子黑客攻击,Eve可任意改变或控制系统光源PND,以此来辅助其在信道上的PNS攻击从而获取更多信息(如图1)[8]。光源非可信条件下,GLLP和诱饵态安全性分析理论不完全适用于实际QKD系统,从而无法估计实际系统的安全码率下界[6]。psas
图1 非可信光源攻击及光源监控
为抵御非可信光源攻击,需要从两方面着手。
a)从理论上严格证明光源非可信条件下QKD系统的安全性,并量化该条件下安全码率;
b)从实验上对非可信光源的PND进行光源监控。
光源非可信条件下,必须采用光源监控器对光源的光子数统计信息加以监控。目前QKD系统有如下光源监控实验方案[6~9]:
a)平均光子数光源监控;
b)主动式“untagged bits”概率光源监控;
c)被动式“untagged bits”概率光源监控;
d)主动式光子数区分光源监控;
e)被动式光子数区分光源监控。
通过上述理论和实验改进,实际QKD系统可成功抵御非可信光源攻击。中国的北京大学,清华大学和中国科技大学在该方向上都做出了重要贡献。
2.1.2 相位重映射攻击(Phase-Remapping Attack)
对基于相位编码的BB84协议,理论安全性分析中假设加载于光源的相位为{0,π/2,π,3π/2}。而在实际双路“即插即用”QKD系统中,Eve可干预编码过程,使得加载于光源的相位变为{0,δ/2,δ,3δ/2},如图2所示,此类攻击被称为相位重映射攻击[10]。入射Alice时间,使得光脉冲在上升沿入射PM。b)光脉冲在上升沿入射 PM,实际加载相位由{0,π/2,π,3π/2}变为{0,δ/2,δ,3δ/2}。
c型钢是怎么做成的图2 相位重映射攻击原理图[10]注:a)实际QKD实验中的相位调制器(PM)由电压驱动信号控制。驱动信号大体分为上升沿,稳定区和下降沿。正常状态下,量子信号在稳定区入射PM,则加载相位为{0,π/2,π,3π/2}。而在双路 QKD 系统中,Eve可控制光脉冲
在相位编码QKD系统中,信息被编码于信号脉冲和参考脉冲的相对相位。Alice的相位调制器(PM)只对信号脉冲调相。实际系统中Alice并不检测到两个脉冲到达的时间,只以参考信号来触发激活PM。PM由电压脉冲驱动信号控制,而该驱动信号大体分为上升沿,稳定区和下降沿,调制相位正比于加载在PM上的调制电压,如图2(a)所示。在系统正常状态下,经过参考光触发后,信号脉冲在稳定区入射PM,此时加载的相位为{0,π/2,π,3π/2}。
然而在双路“即插即用”QKD系统中,光脉冲先由Bob发送给Alice,经过Alice编码和衰减后返回到Bob。2007年,加拿大多伦多大学的Lo小组指出[10],Eve可在光脉冲由 Bob发送给 Alice过程中控制信号脉冲入射时间(即调节参考脉冲与信号脉冲的时间间隔),使得信号光在上升沿入射PM,从而使得实际加载相位由{0,π/2,π,3π/2}变为{0,δ/2,δ,3δ/2}。改变加载相位后,Eve 可进行 POVM测量区分Alice端出射量子态并最优化δ取值使得态区分误码率最小从而获取最大信息。经过测量后,Eve将其测量结果重发给Bob。该攻击属于一种截获—重发攻击(intercept-resend attack),QKD安全性分析中一个广为人知的结论是:在截获—重发攻击下,QKD系统不可能生成安全密钥。QKD系统能容忍的QBER上限为20%,而经过相位重映射攻击且最优化δ条件下,Eve引起的QBER约为15.5%。此时,Alice和Bob若不考虑上述攻击,则通信双方认为QKD系统仍然能产生安全密钥(QBER低于容忍上限),而实际上在相位重映射攻击下系统不能生成任何安全密钥。
