量子数据流加密系统之αη协议的实际安全与性能分析

αη协议是一种利用量子噪声隐藏信息的随机加密协议。它采用宏观量子态作为信源，利用量子态的相位噪声隐藏明文信息，使窃听者无法提取信息，合法用户能够通过预共享私钥，在高信噪比条件下还原信息，非常适合高速数据加密。

一、αη协议介绍

αη协议协议工作原理如图1所示，包括数据加密与解密两个过程。协议利用相空间中非正交的量子信号集合表示明文信息。发送方Alice利用预分发的密钥通过共轭算法将明文比特编码在量子态上，接收方Bob使用相同密钥通过投影测量提取信息，而窃听者Eve不知道密钥，无法获取信息。

下面给出加解密的实现步骤。

步骤1、Alice与Bob通过安全技术分发一串较短的主密钥Km。加密时，Alice利用Hash算法，由主密钥生成会话密钥Ks。

步骤2、Alice将会话密钥划分为多个子串，每个子串长为lbit，并生成加密密钥K．K=2lmodM，其中M是密文符号数，为奇数。

步骤3、Alice持续发送光脉冲序列，通过光分束器后每个脉冲分为信号脉冲与参考脉冲。信号光与参考光的相位差表示明文，设明文比特为s，s∈{O，1}，则相干态可表示为|(-1)1(DsXA)。

步骤4、Alice使用共轭编码生成密文态，编码算法由下式给出：

式中，U是相移算符，

所以密文态正则分量Xc，Pc的均值可写为：

步骤5、Bob使用分发的主密钥Km生成解密密钥K对接收的量子密文态进行解密。解密算法为：

步骤6、解密后，量子态为|(-l)l+sXB)，对于明文比特s∈(0，1)，其对应的相干态为|- XB），|xb），这两个态的内积为e-2|xb|2，当XB》1时，可以认为两者正交，经投影测量还原明文。

二、量子数据流加密系统之αη协议的安全性分析

对于经典对称加密算法而言，密文符号定义为C =f(m，K)。明文M和密钥K决定了密文C的值，Bob和Eve能收到相同的密文，αη加密协议使用非正交的量子态序列表示密文信息，在不同测量基下观测量子态，将得到不同的测量值，且噪声也将影响测量结果。所以，此时密文符号应定义为C=f(M，K，R，N)，其中r表示不同的测量基，N表示信道噪声。由于Eve不知道合法通信方使用的测量基RB，只能猜测不同的测量基JRIE，所以Eve获得的密文CE不同于Bob方所测得的密文CB。同时信道噪声N也会影响测量结果，最终CE呈现随机分布，因此，αη协议属于随机加密协议，指出，由于Eve不能获得正确的密文，条件熵：

这说明在通信结束后即使Eve从第三方得到了此次会话密钥，也无法正确还原信息。因此协议可以抵抗密文统计攻击，达到信息论安全，但是(4)式只能说明Eve无法有效获取信息，不能说明Eve获取的信息量为零，也不能说明协议100%安全。

1、安全判据

量子保密通信系统安全可以从两方面考虑，一方面，要求系统发送密文序列时窃听者无法从中猜到密钥K，即Alice与Eve之间的密钥互信息量I(A，E)key=0。另一方面，要求系统发送密文序列时窃听者无法从中还原明文比特s，即Alice与Eve之间明文互信息量I(A，E)bit=0．满足这两个方面可以看作是协议实际安全的判据。下面给出I(A，E)key和I(A，E) bit的计算表达式，并讨论协议密钥与明文的安全性。

首先，讨论密钥安全性问题。在协议中，密文符号为M元非正变量子态。Alice与Eve之间的信道可视为M元输入输出无记忆信道。设Alice输入符号m，Eve输出符号n的概率为p(n|m)，则Alice和Eve两者互信息量上界为：

当输入符号服从均匀分布时等号成立．Alice符号概率p(m=i)=1/M(j=0，1，2，…，M-1)，服从等概率分布，代入(5)式可得：

受到量子噪声的影响，信道中符号错误转移概率随着符号间距离的增加而递减．假设Eve总的接收误符号率为peEI，则正确概率为：

而平均符号错误转移概率为：

(6)式可化简为：

由此可知，Eve可窃取到的信息量由密文符号数M及PeEI决定。

图2给出了M取不同值时I(A，E)key与peEI之间的变化关系。从图2可以看出，当M给定时，存在一个确定的误符号率peEI满足方程I(A，E)key，=0，此时对密钥的保护是信息论安全的，从图2还可以看出，当M> 20时，曲线趋向于单调减函数，此时peEI越大，I(A, E) key越小，泄漏的信息也越少。

接着讨论明文的安全性问题．由于协议中明文信息采用二进制编码，实际上Alice与Eve之间的明文互信息量，(A, E)bit=1- Hin（peEB），Hbin(．)为二元熵，peEB是Eve窃听明文的误比特率，当peEB= 0.5，I(A，E)bit=o时，明文信息论安全条件得到满足，因为Alice将明文均匀编码在M对非正交量子态上，所以peEB=1/2PeEI，我们通过数值方法，求解满足方程I(A，E)key=0的M与peEI的取值，结果如图3所示。

从图3可以看出，随着M的增加，满足方程I(A，E)key=o的peEI趋近于1，此时peEB趋于0.5，I(A，E)bit趋于零。这说明I(A，E)bit=0的条件只能渐近满足，因此协议对于明文的保护是渐近安全的，而不是信息论安全的。采用基于半正定算子值测量模型的安全性分析结论是一致的。

从以上分析可以看出，αη协议的安全取决于M的取值和Eve的接收误符号率，而Eve的接收符号的错误率又与所采用窃听攻击策略和拥有的资源有关，对于Eve而言，一个可实用化的攻击手段是光束分离攻击。因此我们假设Eve拥有理想的设备与无限的计算资源，进一步分析光束分离攻击下系统参数的安全取值区间。进行光束分离攻击时，可采用平衡零差检测或平衡外差检测，对这两种情况我们分别进行讨论。

2、采用平衡零差检测时系统参数的安全取值区间

首先计算Eve采用平衡零差检测时系统的安全取值区间．实际光纤信道被假设为高斯有损有噪信道，定义单位真空噪声δX0服从均值为零方差为l的标准高斯分布N(0，1)，信道中其他噪声源方差以单位真空噪声方差进行归一化，等效后量子信道模型如图4所示。

Alice根据明文信息{o，1}比特生成对应的平移真空态{|- XA>|XA>），经过加密算法后生成随机相干态|xc)。由于存在激光器相位调制噪声，量子态送入量子信道之前会受到发送端内部分布为Ⅳ(0，Vn)噪声源巧zin的影响，量子态经过传输率为T的信道，到达Bob方，光纤损耗等效为分光比为T:(1-T)的光分束器1，由于能量损耗，会耦合进真空噪声如o。量子态在传输的过程中会受到分布为Ⅳ(0，Vch)的信道过噪声δX0的影响。当Bob收到量子信号后，根据解密算法还原明文，信号由量子效率为叩的平衡零差检测器进行检测。检测器内部损耗等效为分光比为η（1-η）的光分束器2。检测器电噪声δXel分布为Ⅳ(0，Vel)。为了不降低Bob接收信号的信噪比，使窃听行为不被合法通信方察觉，Eve进行窃听时可以使用无损信道代替有损信道，利用光分束器截取一部分信号能量进行窃听，Bob接收信号不受影响。这样，合法用户将无法发现窃听行为。

当Eve采用最优平衡零差检测器检测截取的量子信号时，Eve得到的密文态可由正则算符XE和相应的方差VE描述，即：

式中：

Eve要得到明文和密钥需要同时测量正则分量XE和PE。(1)式说明Eve采用平衡零差检测时，最优的策略是精确测量其中一个值，同时猜测正确的密文态是处于[0，π]区间还是[π，2π]区间，假设Eve测量XE，她有一半的概率猜错区间而误码。对于猜对的那一半概率，由于量子噪声的影响其输出量子态的正则分量氍服从以<XE）为均值，以VE为方差的高斯随机分布。Eve的误符号率由下式给出：

这里△k为密文相邻符号间距离，

其中μ为信号脉冲的平均光子数，经计算可得：

式中，erfc（.）为补余误差函数，RE为Eve接收的信号能量与噪声能量之比，

(10)式说明Eve的误符号率不仅与密文符号数有关，也与信噪比有关。Alice增大M值可以使得Eve的误符号率无限逼近于100%，近似满足明文安全条件I(A，E)bit=0。将(10)式代入方程I(A，E)key=0可以求解满足密钥安全条件的信号脉冲平均光子数μ。

为了最大化Eve窃听能力，我们假设Eve可以通过信道截断得到所有信号功率(T=0)。在此条件下，将(9)式代入方程，(A，E)=0，求解不同密文符号M值下相应的信号平均光子数μ。

图5给出了密文符号数与信号脉冲平均光子数的安全取值区域．从图5可以看出，当密文符号数越多时，所允许的信号发射功率也就越大。当M= 101时，安全平均光子数上限μ=31。当M= 511时，安全平均光子数上限μ=124。当M= 1023时，安全平均光子数上限μ=264。理论上M取值可以趋于无穷大，但是M取值越大，意味着信号需要调制的符号数也越多，实现起来也更困难。考虑到模拟调制电路实用性，文中M取值小于1024。在图5所示的安全区域内，对密钥保护是信息论安全的，明文信息泄漏量I(A,E)uit≤7.2×i0-5bit。

如果Eve已经知道所截获密文对应的明文以及相应的编码规则，可以实现已知明文攻击，即Eve知道密文量子态正则分量处于相空间[0，π]区间还是[π，2π]间，因此新的误符号率peEV= 2PeEI=I。图6给出了相同信道条件下，己知明文攻击时密文符号数与Alice发射脉冲的平均光子数之间的关系．由图6可知，为抵抗已知明文攻击，Alice需要能量更弱的相干态。当M= 101时，所需的平均光子数μ=7。当M=501时，所需的平均光子数μ=34，当M=1023时，p=76。由以上所述可知，抵抗已知明文攻击的安全条件要比唯密文攻击更难满足。

3、采用平衡外差检测时系统参数的安全取值区间

平衡外差检测原理如图7所示，Eve可同时得到正则分量（XE）和（PE）的值．由于检测器使用光分束器会引入真空噪声，因此Eve的接收信噪比将下降一半。

Eve输出的密文量子态的算符XE和PE为：

两者具有相同的方差：

其中：

从(11)式可知，Eve的信噪比下降为原来的一半。此时Eve的误符号率：

式中：

将(12)式代入方程I（A，E)ke=0得到M与μ的关系，结果如图8所示，图8表明，对于窃听者而言，使用平衡外差检测要优于平衡零差检测。当Eve采用平衡外差检测时，虽然会引入额外的真空噪声，但是Eve的检测结果也将更加精确，因此合法用户需要使用更严格的参数来保证系统安全。

结合图5、图6和图8的仿真结果可知，相同信道条件下，Eve采用已知明文攻击时满足系统安全条件最困难。图6给出了抵抗光束分离攻击系统参数最安全的取值区间。

三、αη协议在光纤通信系统中的应用

为了评估αη协议在实际光通信系统中运行安全性，我们在实验室环境下搭建了相应的实验光路。利用实验光路测量了单模光纤信道中相关的信道参数值。根据这些参数，进一步分析协议在实际应用环境下的安全性，并讨论了通信距离对通信误码率的影响。

图9给出了我们的实验装置示意图，所用光路基于双不等臂麦克尔逊干涉仪结构。Alice方使用短脉冲激光器发送的光脉冲序列，脉冲序列被1:99的光分束器分为信号光和本振光两路。其中信号光走长臂，参考光走短臂，信号臂中使用电光强度调制器将信号光衰减到-80dBn（此时平均光子数约为150)。使用电光相位调制器完成协议加密，加密后的信号脉冲使用三环偏振控制器调整偏振状态，使信号光偏振与参考光偏振正交，再通过偏振合束器复用进单模光纤信道。Bob方通过前置的一个动态偏振控制器调整信号光与本振光脉冲的偏振态，再使用偏振分束器将偏振正交复用的信号光与本振光分开，分开后的信号光走短臂，而本振光走长臂。本振臂使用电光相位调制器完成信号解密，收发双方的不等臂干涉仪长短臂的臂长差要求相等。经过校准实际误差小于2mm。信号光与本振光在光分束器端口发生一阶干涉，相干检测结果送入计算机完成后续处理。实验系统中采用的数模转换电路位宽12bit，这里M=1023。

Bob作为合法用户，能够选择正确的测量基进行测量。因此连接Alice和Bob的量子信道可视为二元对称信道。描述Bob方接收量子态的正则算符XB及相应的方差VB分别为：

式中：

经计算Bob的误码率：

(14)式表明Bob采用二元判决时，其误码率由接收信噪比RB=μ/vb决定。在发射平均光子数给定的前提下，提高Bob的接收信噪比主要靠降低接收噪声总方差VB实现，降低接收噪声总方差有以下两类方法：一是提高检测器量子效率η，等效于降低平衡零差检测器内部噪声方差XHom，二是降低信道中各部噪声源方差，如发送方内部噪声δXin，信道过噪声δXch以及平衡零差检测器内部噪声δXel。

我们测量了实验系统参数值，统计了各噪声源方差。经过测量得到发送方调制引起的内部噪声方差Vn=0.023No，信道过噪声方差Vch=0.018No，平衡零差检测器的量子效率为η=0.526，电噪声方差Vel=0.04361No。这里No是在本振光强度-28 dBm的情况下所测得的单位真空噪声方差。

将上述参数值代入(7)式和(9)式，得到T=0时Alice安全发送光子数T=76。

由实测参数，我们仿真了平均光子数μ=76时Bob的接收信噪比与通信距离之间的关系，图10给出了仿真结果。从图10可以看出，Bob的接收误码率随着通信距离的增加而增加，为了保证用户之间的通信质量，Bob接收误码率应小于O.1Vo，因此系统的有效通信距离约为40 km。

admin普通用户

海报分享