QKD系统：安全传输的基本原理

2023-06-26 理论教育版权反馈

【摘要】：图12.39给出了一个典型的QKD 系统结构，Alic

1.QKD的产生

光既有波动性又有粒子性，即波粒二象性。通常意义上的光通信技术大都是利用了光的波动性，而利用光的粒子性进行通信的新技术，即量子通信技术，在最近的几十年里得到了飞速发展。

1900年，普朗克在研究黑体辐射问题时首次提出了“量子”假设，即物体吸收或发射电磁能量时，只能以“量子”（不连续）的方式进行。1905年，爱因斯坦在此基础上进一步提出了“光量子”的概念，即认为光束是由光量子（或称光子）组成的，一束频率为ν的光的能量聚集在能量为hν的光量子上，其中h为普朗克常数。这一假说将作为一个“粒子”的光量子的能量和动量与电磁波的频率和波长不可分割地联系在一起，充分体现出光的波粒二象性，不久即被实验证实。这之后许多科学家们对量子理论进行了持续和深入的研究，其中薛定谔在德布罗意的物质波假设的基础上找到了描述粒子状态随时间变化规律的运动方程，即著名的薛定谔方程；海森堡的测不准原理（或称不确定性原理）指出粒子的一对非对易物理量，如坐标和动量，不能同时具有完全确定的值；玻恩提出了“概率波”的概念，即波函数的模的平方代表了粒子在该空间附近单位体积内出现的概率；玻尔的互补性原理认为波动与粒子描述是两个理想的经典概念，每一个概念都有一个有限的适用范围，但其中的任何单独一个都不能对涉及的实验现象给出完整的说明。这些工作为量子理论奠定了良好的基础，促使其在一百多年里得以不断地发展和完善。

量子通信是近几十年来量子理论、通信理论和信息理论相结合的产物，它是利用量子态作为信息载体来实现信息交互的通信技术。一个微观粒子的量子态由波函数来描述，可以抽象为希尔伯特空间中的一个矢量，记为|φ〉，它随时间的演化遵从薛定谔方程。在量子通信中，信息传输是指量子态在量子信道中的传送，信息处理则是指量子态的幺正变换。用量子态表示的量子信息单元称为量子比特（qubit）。经典的信息单元比特（bit）可以看作是一个两态系统，如0或1。与经典比特只能处于0或1中的一个逻辑态不同，量子比特以两个逻辑态（或称本征态）相干叠加的方式存在，表示为|φ〉=a|0+b|1〉，其中a和b是复数，并满足|a|2+|b|2=1的条件，|0〉和|1〉表示一对意义相反的逻辑态，可以表征经典通信中的二进制比特0和1。经典比特的两个逻辑态则可以看作是量子比特在a=0或b=0时的特例。由此可见，选择适当的参数a和b，就可以在一个量子比特上对无穷多的信息进行编码。量子比特可以由多个物理量来实现，一般采用的是光子的正交偏振态或相位信息。

理想的量子通信有直接和间接两种典型方式。直接通信方式是将所需传递的经典信息转换到粒子的量子态上，以光纤或自由空间作为物理信道直接将粒子传递到对端。此外，两端还需要通过经典信道协商量子态的测量方法，从而获得所传递的经典信息。间接通信方式利用量子纠缠效应来进行信息传递，其原理是处于纠缠态的两个粒子无论相距多远，只要一个发生变化，另外一个也会瞬间发生变化。具体来说，就是通信双方共享一对处于量子纠缠状态的粒子，发送端利用需发送的信息对发送端的粒子进行测量，并通过经典信道告诉接收端它所使用的测量方式（某种幺正变换），则接收端用对应的反幺正变换可从其在本地测到的另一个粒子的状态恢复出发送端的待发送信息，从而实现信息的传递。值得注意的是，无论是直接还是间接通信方式，都需要通过经典信道上的经典通信来进行测量辅助或测量协商，因此不能用来实现超光速通信。

量子通信现阶段最为典型的应用形式是量子密钥分发（QKD），即以量子信息理论安全的方式在位于两处的用户之间分发（或称共享）密钥。QKD 既可由直接量子通信方式实现，也可由间接量子通信方式实现，目前前者的实用化程度较高，后者还处于实验室阶段。除非特别说明，本节以下内容均以直接量子通信方式的QKD 为对象。

2.QKD安全性的物理基础

与现有密码的安全性依赖于计算复杂度不同，QKD 的安全性是由如下量子力学的测量塌缩原理、海森堡不确定性原理和量子态不可克隆原理来保证的。

测量塌缩原理是指对粒子的测量会导致该粒子的波函数塌缩成粒子的一个本征态。量子力学的可观测量可以表示成一组本征态的相干叠加形式，在对粒子可观测的量子态进行测量时，该量子态将以一定的概率投影到其本征态上，即对量子态进行测量会导致其波函数塌缩。因此除非该量子态本身即为可观测量的本征态，否则测量将会导致最初叠加形式的量子态塌缩到其某一个本征态上。

海森堡不确定性原理是指量子的一对非对易物理量，如坐标和动量，不能同时具有完全确定的值，即不可能同时确定一个粒子的位置和动量。如果要以尽可能高的精度测量一个粒子的精确位置，那么测量用的光波长需要越短越好，这意味着光量子携带的能量也越大，因而对该粒子的动量将造成越大的影响。反之，如果想要获取粒子的动量，则测量用的光波长需要越长越好，这又会导致粒子位置的测量精度下降。

不可克隆原理可以认为是测量塌缩原理和海森堡不确定性原理的推论。即对于一个未知态的粒子，想要在不改变其原来的量子态的情况下复制出完全一样的粒子是不可能的。这一特性决定了单次测量所得到的结果只能是原量子态的多种可能状态之一，除非该量子态本身即为可观测量的本征态，否则无法通过单次测量确切得知其原来状态。因此如果发送端每次发送的粒子所携带的都是不同的量子比特，则窃听者无法通过测量来确切获知每个量子比特的状态，也就无法复制出完全相同的量子比特。

由此可见这三大物理原理保证了量子密钥在传输过程中的安全性，因此QKD 的安全性被称之为“信息理论安全”（或称“理论上无条件安全”），具体是指在公开信道中分发量子密钥时，由于任何窃听行为会引起系统误码率的上升，因此可被通信双方发现，从而避免量子密钥的泄露。如果将QKD 技术与香农的“一次一密”（OTP）进行结合，则可实现具备信息理论安全的保密通信。

3.QKD系统的工作原理

QKD 系统采用量子态来对信息进行编码，通过对量子态的制备（或称调制）、传输和检测（或称解调）来实现密钥（即随机数系列）分发的目的。图12.39给出了一个典型的QKD 系统结构，Alice和Bob分别作为QKD 系统的发送端和接收端。系统以单光子作为量子比特的载体，采用光子的正交偏振态进行调制，并以光纤作为传输信道。传输信道由量子信道和经典信道组成，量子信道传输量子比特信号，即经过调制的单光子信号；经典信道传输除了量子信号之外的其他信号，包括同步信号、协商信号和数据信号等。Alice利用原始密钥信息对单光子进行调制，然后通过量子信道进行传输，Bob接收到后对其进行解调，得到其所携带的原始信息，实现密钥分发。

pagenumber_ebook=461,pagenumber_book=448

图12.39　典型的点对点量子密钥分发系统

上述过程需要特定的协议来对量子态的制备、传输和测量方法做出约定，称为QKD 协议。最早也是最具代表性的QKD 协议是1984年提出的BB84协议，下面以此为例说明QKD系统的工作原理。

为了保证安全性，系统需要选取光子的4个偏振态来组成两组共轭基，要求每组基的两个偏振态相互正交，通常由{0°，90°}构成一组水平垂直基，由{+45°，-45°}构成一组斜对角基，两组基之间是非正交的。收发双方约定0°和-45°代表比特0，而90°和+45°代表比特1。

Alice产生一个二进制的随机序列，对光子进行偏振调制，调制时随机选取一组基，以此确定光子的偏振态。Bob在测量时同样是随机选取一组基来测量该单光子的偏振态。如果收发双方使用的是相同的一组基，Bob会得到正确的测量结果，否则，根据测量塌缩原理，Bob得到的结果将是随机的，即有50%的概率得到正确的偏振结果。例如，Alice针对比特1选取的是斜对角基，那么对应光子的偏振态将被调制为+45°。若Bob选取的是斜对角基，则将会准确测量到该偏振态，代表比特1。若Bob选取的是水平垂直基，测到偏振态为0°和90°的概率各为50%，也即代表比特1的概率为50%，此结果是不可信的，需要丢弃。

表12.3给出了BB84协议的一个实例。Alice按表中所列使用相应的基和偏振态调制一段随机序列10011100，并发送给Bob。Bob使用表中所列的基进行测量，最终双方协商得到的密钥为01100。具体过程可分为以下6个步骤。

表12.3　BB84协议对基原理

pagenumber_ebook=462,pagenumber_book=449

①规则约定：即Alice和Bob约定好用何种共轭基中的何种偏振态代表比特1，何种共轭基中的何种偏振态代表比特0。

②量子态制备：Alice产生随机序列和一系列光子；随机选择水平垂直基或斜对角基；根据随机序列和选定的基，完成对单光子的偏振态调制。

③信息传输：经过偏振态调制的光子经量子信道由Alice发送给Bob。

④信息测量：Bob端随机选取一组基，对接收到的光子进行测量。

⑤公开对基：Alice和Bob通过经典信道对所选共轭基进行比对，如果两者选择共轭基相同，则保留发送结果和测量结果；如果两者所选共轭基不同，则均需抛弃本次发送和测量的结果。

⑥密钥确定：对保留下的结果，Alice和Bob按照步骤①中约定的偏振态与比特0和1的对应关系，确定双方各自的密钥序列。

对基后的密钥称为筛后密钥，后续还需经过参数估计、纠错和保密放大才能得到最终安全的密钥。这是因为若窃听者Eve复制光子或者测量光子再重发给Bob，都会改变光子的状态。此时即使Alice和Bob 选择了相同的基，双方得到的筛后密钥也不一致。通常双方将在筛后密钥中随机选取一部分公布进行比对，由该部分密钥的误码率估计出整个筛后密钥的误码率，再据此选择合适的纠错码进行纠错。从误码率等参数的估计过程还可以计算出筛后密钥中泄露给窃听者的信息量的上界。进一步地，在保密放大过程中，双方根据此上界选择压缩比例合适的泛哈希函数族，从中随机选择一个哈希函数对纠错后的密钥进行压缩，从而可清除窃听者所掌握的信息，最终得到安全的密钥。

4.QKD系统的分类

上述典型QKD 系统是以单光子为载体，以光纤为信道，采用BB84协议实现的。除此以外，人们已经提出了多种QKD 系统实现方案。根据信息载体的不同，可以分为离散变量和连续变量两类。根据传输信道的不同，可以分为光纤类、自由空间类、星地类等。根据实现方案的不同，可以分为制备-测量类、纠缠分发类、测量设备无关类等。根据协议的不同，可以分为BB84协议、E91协议、诱骗态协议、测量设备无关协议、双场协议等。随着实现方案的持续改进和完善，QKD 系统的性能也得到了不断提升。

QKD系统：安全传输的基本原理

相关推荐