卿 爽 陳小明,3

1(北京電子科技學院 北京 100071)2(西安電子科技大學通信工程學院 陜西 西安 710071)3(中國科學技術(shù)大學網(wǎng)絡空間安全學院 安徽 合肥 230026)

0 引 言

在1984年由Bennett 和Brassard提出第一個量子密鑰分發(fā)協(xié)議——BB84協(xié)議之后[1-4]，量子密鑰分發(fā)在理論上成為了可能。近年來，量子密鑰已經(jīng)成為量子密碼領域的研究熱點[5-10]。量子密鑰分發(fā)協(xié)議的安全性不同于傳統(tǒng)密碼算法所依靠的計算復雜度，而是基于量子力學基本原理來確保安全性，目前已證明量子密鑰分發(fā)在理論上具有無條件安全性[11-16]。在實用的QKD工程中，協(xié)議中的原理都需要有相應的技術(shù)手段來落實，比如攻擊行為的偵測問題，原理上有攻擊和沒有攻擊的過程在收方數(shù)據(jù)的差錯概率上會有顯著區(qū)分，但我們看到的都是樣本數(shù)據(jù)，在大樣本前提下能得到概率的近似，最自然的方法是采用假設統(tǒng)計檢驗方法來判斷是否存在攻擊行為，但假設檢驗不可避免會導致棄真和取偽兩類差錯，從而引發(fā)安全和效率之間的矛盾。

本文通過分析測量轉(zhuǎn)發(fā)攻擊的技術(shù)過程提出采用假設檢驗來偵測攻擊行為的方法，評估兩類差錯發(fā)生的概率。

1 量子密鑰分發(fā)技術(shù)原理

目前大部分QKD技術(shù)使用BB84協(xié)議，有相位編碼和偏振編碼兩種類型，本文以偏振編碼協(xié)議為例進行論述。該協(xié)議是利用單光子的四種偏振態(tài)來對隨機密鑰信息進行編碼，再對攜帶信息的單光子進行傳輸，每一個單光子所攜帶的信息都可以看作是1量子比特(Qbit)。在傳輸單光子的過程中，由“量子不可克隆定理”和“海森堡測不準原理”來保障BB84協(xié)議的安全性[17-20]。

圖1為單光子的四個偏振態(tài)：水平偏振態(tài)|H>、垂直偏振態(tài)|V>、45°偏振態(tài)|+>和135°偏振態(tài)|->。|H>和|V>稱為水平垂直基，簡稱為Z基。|+>和|->稱為對角基，簡稱為X基。

圖1 四種單光子偏振態(tài)

在BB84協(xié)議中，發(fā)送方Alice隨機選取四種偏振態(tài)對待傳輸?shù)拿荑€信息進行編碼，經(jīng)量子信道將這些包含密鑰信息的量子態(tài)發(fā)送給接收方Bob；Bob在接收到這些量子態(tài)對每個量子態(tài)隨機選取X基或Z基進行測量。測量完成之后，Alice和Bob通過公共經(jīng)典信道來交換他們的基選擇信息，若雙方對于同一個量子態(tài)的制備基與測量基選擇是一致的，就保留這份數(shù)據(jù)，反之則舍去這份數(shù)據(jù)，這一過程稱之為基矢對比。而后Alice從保留的數(shù)據(jù)中選取部分(例如50%)用于偵測是否存在測量轉(zhuǎn)發(fā)攻擊，Alice將選中的數(shù)據(jù)公開，Bob根據(jù)將其與自己所測量到的數(shù)據(jù)進行對比來計算響應的誤碼率，若誤碼率過高則說明存在竊聽行為，雙方可以終止本輪協(xié)議重新開始。若誤碼率在合理范圍內(nèi)，Alice和Bob將進數(shù)據(jù)后處理，包括數(shù)據(jù)協(xié)調(diào)、保密增強等步驟，最終雙方得到一段安全密鑰。圖2為使用BB84協(xié)議產(chǎn)生密鑰的過程。

圖2 BB84協(xié)議流程圖

2 測試轉(zhuǎn)發(fā)攻擊過程及分析

發(fā)送方Alice和接收方Bob在進行量子密鑰分發(fā)的過程中不僅使用了量子信道，還使用了經(jīng)典信道，量子信道用于傳輸攜帶量子態(tài)信息的光子，經(jīng)典信道用于雙方進行基矢對比。經(jīng)典信道是完全公開的，Alice和Bob的所公布的制備基和測量基信息可以被任何人接收到，但這些信息與密鑰信息無關(guān)，并不會影響到整個協(xié)議的安全性。

竊聽者Eve實施攻擊的具體過程如下：

(1) 在Alice隨機選取兩組長度相同的序列{xn}和{an}，其中{xn}決定選取哪種基，{an}決定發(fā)送該基下的哪一種偏振態(tài)。{an}即為隨機密鑰序列。

(2) Alice完成量子態(tài)的制備后發(fā)送給Bob時，Eve在量子信道中截取Alice所發(fā)送的量子態(tài)，并隨機選取一組測量基{zn}對每個量子態(tài)進行測量，測量結(jié)果記為{En}。而后Eve根據(jù){zn}和{En}來制備相應的量子態(tài)發(fā)送給Bob。

(3) Bob在接收到Eve發(fā)送給他的量子態(tài)之后，隨機選取一組測量基{yn}進行測量，測量結(jié)果記為{Bn}。

(4) Alice通過一個公共的經(jīng)典信道公布其制備基選擇{xn}，Bob將其與自己的測量基{yn}進行對比，將兩者相同的位置通過公共信道告訴Alice，雙方保留相同的位置所對應的量子態(tài)信息，舍棄不同的部分。

(5) Eve同樣可以從公共信道獲取到Alice和Bob進行基矢對比的信息，因為他可以保留與Bob完全相同的量子態(tài)，從而達到竊聽的目的。

在Eve實施攻擊的過程中，由于量子不可克隆定理，Eve無法完美克隆這些量子態(tài)而不引起擾動，即Eve在對Alice制備的量子態(tài)進行測量的過程中，若使用了與制備基不同的測量基進行測量，量子態(tài)將塌縮成該測量基下的隨機一種偏振態(tài)。因此Eve無法得知自己是否選對了測量基，即使Eve選擇了錯誤的測量基，也只能根據(jù)這個錯誤的基組來制備量子態(tài)發(fā)送給Bob。

理論上來看，由于Eve是隨機選取測量基的，因此她將會有一半的測量基選擇不正確，從而導致其發(fā)送給Bob的量子態(tài)中有一半是錯誤的。在測量這一半錯誤的量子態(tài)信息時，若Bob選擇的測量基與Eve的測量基不同(即與Alice的制備基相同)，則Bob所測的量子態(tài)將會等概率隨機塌縮成該基下的一種偏振態(tài)。因此，對于Eve轉(zhuǎn)發(fā)的一半錯誤量子態(tài)，Bob仍有50%的概率測得與Alice所發(fā)的正確的量子態(tài)信息。從整體上來看，Alice和Bob在雙方基選擇都正確的情況下，測量轉(zhuǎn)發(fā)攻擊仍會導致通信雙方存在25%的誤碼率。

由上述分析可以得出，若Eve實施了測量轉(zhuǎn)發(fā)攻擊，根據(jù)量子不可克隆原理，攻擊行為將會使Bob端產(chǎn)生25%的誤碼率，這與沒攻擊行為時接近于0的誤碼率是十分容易區(qū)分的。但在實際應用BB84協(xié)議進行量子密鑰分發(fā)時，概率不能直接顯現(xiàn)，只能通過樣本數(shù)據(jù)來進行檢驗，即使用頻率來代替概率。Eve的竊聽行為所造成的誤碼率并不是嚴格等于25%，其數(shù)值應該在25%附近波動，極端的狀況下Eve完全可能選到與Alice和Bob一樣的測量基，從而Bob從差錯率上完全無法感知到攻擊行為的存在。因此，在實際操作中如何判斷此次通信是否遭到竊聽便成為非確定性問題，本文考慮利用統(tǒng)計學中假設檢驗的方法來進行判斷。假設檢驗必將導致兩類差錯的產(chǎn)生，引發(fā)安全性與效率之間的矛盾。

3 差錯概率分析

在m重伯努利實驗中，事件A發(fā)生的概率為p(0

(1)

則有Yn～N(0,1)。由此可得n～m(mp,mp(1-p))，即n服從均值為mp、方差為mp(1-p)的正態(tài)分布。

(2)

(3)

(4)

若u落在拒絕域內(nèi)，則拒絕原假設H0，反之則接受原假設H0。同時也可以由拒絕域計算出被檢測值的1-α置信區(qū)間為：

(5)

即每次檢測的誤碼率以1-α的概率落入該區(qū)間內(nèi)。顯著性水平α為犯第一類錯誤的概率，也就是把存在攻擊錯判為無攻擊情況的概率。β為犯第二類錯誤的概率，也就是把不存在攻擊判斷為存在攻擊的情況。在樣本量給定的條件下，α與β中一個減小必導致另一個增加。

表1 幾種顯著性水平與對應的置信區(qū)間

由于α和β的大小是相互影響的，因此無法同時控制二者，在密鑰分發(fā)的過程中，犯第一類錯誤所產(chǎn)生的后果遠比第二類錯誤要嚴重，且β不易求出。故本文選擇控制α來使檢驗犯兩類錯誤的概率達到一個合適的平衡。由表1可以看出，當置信區(qū)間為(21.03%，28.97%)時，α的大小是可接受的，且此時不會因α過小而導致β太大。若繼續(xù)擴大置信區(qū)間，將系統(tǒng)誤差所產(chǎn)生的誤碼率判定為攻擊行為的概率就會提高，使得密鑰分配效率下降。因此，在實際應用QKD系統(tǒng)中，使用1 800位數(shù)據(jù)進行竊聽檢測，當誤碼率超過21.03%時，即認為此次通信有99.99%的概率存在竊聽。

4 結(jié) 語

本文通過使用假設檢驗的方法對BB84協(xié)議中因測量轉(zhuǎn)發(fā)攻擊而引起誤碼率變化的問題進行了分析，通過理論上的公式推導給出了較為詳細的判別方法，并對數(shù)據(jù)進行了實際分析。實際上，假設檢驗并不能給出一個完全確定的結(jié)論，只能說明在相當大的概率下是服從原假設或備擇假設的，但總有小概率的情況犯兩類錯誤。在竊聽檢測中，第一類錯誤是把有竊聽檢測成無竊聽；第二類錯誤是把無竊聽檢測為有竊聽，后者的嚴重性要遠超前者。本文選擇控制犯第一類錯誤的概率，是因為第二類錯誤的概率不易求出，但二者是息息相關(guān)的，故可以通過控制第一類錯誤的概率來使竊聽檢測環(huán)節(jié)的結(jié)論更加可靠。本文主要分析的是測量轉(zhuǎn)發(fā)攻擊，但在量子密鑰分發(fā)技術(shù)的實際應用中需要面對的攻擊遠不止這一種，因非竊聽行為而產(chǎn)生的誤碼原因也有很多。本文以簡化的密鑰分發(fā)過程為基礎，為將來考慮到復雜環(huán)境、多種攻擊的誤碼率分析指出了方向，例如在不完美光源而產(chǎn)生多光子的問題中竊聽者采取PNS攻擊[21]而產(chǎn)生的誤碼率。