范宇騰,索磊,張春輝,2,陳家明,2,王琴,2*

(1南京郵電大學(xué)通信與信息工程學(xué)院量子信息技術(shù)研究所,江蘇 南京 210003;2南京郵電大學(xué)通信與信息工程學(xué)院寬帶無(wú)線與傳感網(wǎng)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室,江蘇 南京 210003)

0 引言

數(shù)字簽名在現(xiàn)代通信中被廣泛地應(yīng)用于電子郵件和電子商務(wù)等領(lǐng)域,以保證信息的真實(shí)性和完整性。它允許一個(gè)發(fā)送者和多個(gè)接收者之間進(jìn)行信息交換,并保證信息不被抵賴、竊取和篡改。經(jīng)典數(shù)字簽名方案的安全性源于非對(duì)稱密鑰加密技術(shù),本質(zhì)上基于數(shù)學(xué)計(jì)算復(fù)雜度,例如RSA算法[1]借助大整數(shù)因子分解的難度來(lái)保證信息安全,但隨著計(jì)算機(jī)技術(shù)不斷發(fā)展,傳統(tǒng)加密算法受到了挑戰(zhàn)。自2001年Gottesman和Chuang[2]將量子物理應(yīng)用到數(shù)字簽名后,量子數(shù)字簽名(QDS)進(jìn)入人們的視野。量子不可克隆定理[3]、測(cè)量塌縮理論和海森堡測(cè)不準(zhǔn)原理[4]保證QDS具有無(wú)條件的安全性,這引起了國(guó)內(nèi)外研究學(xué)者的興趣。2006年,Andersson等[5]提出了使用多端口干涉替代Swap Test的QDS方案,提高了QDS協(xié)議的可操作性;2012年,Clarke等[6]借助相干態(tài)和線性光學(xué)元件省去了QDS方案中非破壞態(tài)比較的前提條件,并提出了可行性高的簽名方案;2014年,Collins等[7]提出了不依賴量子存儲(chǔ)器也能實(shí)現(xiàn)系統(tǒng)安全通信的QDS方案;2016年,Donaldson等[8]演示了數(shù)公里級(jí)別的量子數(shù)字簽名實(shí)驗(yàn);同年,Amiri等[9]、Yin等[10]提出了不依賴安全量子信道的QDS方案,加快了QDS的普及和實(shí)用化進(jìn)程;2017年,Roberts等[11]用偏振編碼方案實(shí)現(xiàn)了BB84協(xié)議與測(cè)量設(shè)備無(wú)關(guān)(MDI)協(xié)議可切換的QDS實(shí)驗(yàn)演示;2018年,Zhang等[12]利用參量下轉(zhuǎn)化光源實(shí)現(xiàn)了200 km安全傳輸?shù)谋粍?dòng)式誘騙態(tài)量子數(shù)字簽名,提高了QDS的安全性和實(shí)用性;2019年,An等[13]在相位編碼的高速量子密鑰分配平臺(tái)上演示了最遠(yuǎn)距離達(dá)125 km的QDS實(shí)驗(yàn),該系統(tǒng)基于Faraday-Sagnac-Michelson干涉儀結(jié)構(gòu)[14],在安全性、重復(fù)頻率和穩(wěn)定性三個(gè)關(guān)鍵指標(biāo)上均表現(xiàn)優(yōu)異;同年,Chen等[15]提出了基于參量下轉(zhuǎn)換光源的QDS協(xié)議;2020年,Ding等[16]提出了一種單誘騙態(tài)QDS方案,免去了真空態(tài)的調(diào)制,降低了實(shí)驗(yàn)難度和隨機(jī)數(shù)消耗,實(shí)現(xiàn)了280 km的當(dāng)前最遠(yuǎn)傳輸距離。

實(shí)際的QDS實(shí)驗(yàn)中,光源容易遭受光子數(shù)分離攻擊(PNS)而造成安全隱患,一般用誘騙態(tài)方法[17-19]來(lái)抵御?，F(xiàn)有QDS實(shí)驗(yàn)多使用主動(dòng)式誘騙態(tài)方法,通過(guò)電光或聲光調(diào)制器將脈沖信號(hào)主動(dòng)調(diào)制到不同光強(qiáng)上。而現(xiàn)有調(diào)制器由于技術(shù)缺陷,在施加不同大小的電壓時(shí)往往會(huì)引入側(cè)信道漏洞。針對(duì)主動(dòng)式誘騙態(tài)方案強(qiáng)度調(diào)制所引入的側(cè)信道漏洞,本文提出了基于線性光學(xué)元件的被動(dòng)式誘騙態(tài)QDS方案,并闡述了方案的基本流程和安全性分析,最后通過(guò)具體數(shù)值進(jìn)行仿真,給出了兩種方案下的簽名率對(duì)比。盡管所提出方案無(wú)法完全避免側(cè)信道漏洞,但其仍然大大提高了系統(tǒng)的安全性。

1 方案內(nèi)容與模型

1.1 QDS原理與工作流程[15]

QDS協(xié)議在最簡(jiǎn)單的情況下包含一個(gè)簽名發(fā)送方(Alice)和兩個(gè)簽名接收方(Bob、Charlie),其工作流程包括分發(fā)階段和消息階段。下面以基于BB84協(xié)議的QDS方案為例進(jìn)行說(shuō)明。

分發(fā)階段需要使用經(jīng)典信道和量子信道,這一階段的工作原理如圖1所示,具體步驟如下:

圖1 分發(fā)階段[15]Fig.1 Distribution stage[15]

1)對(duì)于要簽名的信息m=0或1,Alice通過(guò)量子信道使用密鑰生成協(xié)議(KGP)分別與Bob和Charlie產(chǎn)生兩份相關(guān)密鑰字符串。Bob、Charlie對(duì)每個(gè)脈沖隨機(jī)選擇誘騙態(tài)或信號(hào)態(tài)、X基或Z基來(lái)制備量子態(tài),Alice隨機(jī)選X基或Z基進(jìn)行測(cè)量,記錄測(cè)量結(jié)果;雙方通過(guò)認(rèn)證的經(jīng)典信道公布自己使用的基矢,舍棄掉選基不同的數(shù)據(jù)。X基上的數(shù)據(jù)用于估計(jì)信道參數(shù),Z基上的數(shù)據(jù)用于生成密鑰。最終,Alice獲得密鑰串和;Bob、Charlie分別得到相應(yīng)的密鑰串

2)Bob(Charlie)和Alice從其所持有的密鑰串中隨機(jī)選取長(zhǎng)度為k的部分比特用于估計(jì)信道傳輸時(shí)的誤碼率;然后,剩余的長(zhǎng)度為L(zhǎng)的密鑰串用于簽名。

3)Bob和Charlie通過(guò)秘密信道隨機(jī)選擇一半密鑰進(jìn)行對(duì)換,并把相對(duì)應(yīng)的位置發(fā)送給對(duì)方,之后雙方的密鑰串為上標(biāo)表示原本的持有者,keep表示保留的部分,forward表示被交換的部分。

消息階段只使用經(jīng)典信道,主要內(nèi)容為比特信息和簽名的傳輸與驗(yàn)證。具體步驟如下:

1)在傳輸一比特消息m(m為0或1)時(shí),Alice將簽名信息(m,Sigm)發(fā)送給Bob,其中就是Alice對(duì)信息m的簽名。

3)類(lèi)似地,收到轉(zhuǎn)發(fā)消息后,Charlie也將其持有的密鑰與簽名Sigm進(jìn)行對(duì)比,如果不匹配率低于閾值Tv,則接收此簽名,否則拒絕接收該信息。Tv的設(shè)定取決于信息的轉(zhuǎn)發(fā)次數(shù),為了防止Alice抵賴攻擊成功,一般要求0＜Ta＜Tv＜0.5。

1.2 方案模型

通過(guò)借鑒Curty等[20,21]的被動(dòng)式誘騙態(tài)量子密鑰分發(fā)方案,提出將這種被動(dòng)式誘騙態(tài)方案運(yùn)用到QDS協(xié)議中,從而避免強(qiáng)度調(diào)制引入的側(cè)信道漏洞,提高QDS系統(tǒng)的安全性。為了處理方便,參考文獻(xiàn)[20],假設(shè)使用的發(fā)送端本地探測(cè)器為理想探測(cè)器,即探測(cè)效率為100%,暗計(jì)數(shù)率為0。即使在探測(cè)器非理想時(shí),所提出推導(dǎo)過(guò)程依然適用。該被動(dòng)式誘騙態(tài)光源制備結(jié)構(gòu)示意圖如圖2所示。

圖2 基于線性光學(xué)元件的被動(dòng)式誘騙態(tài)光源制備結(jié)構(gòu)[20]Fig.2 Schematic of the passive decoy-state sources based on linear optical components[20]

圖2中,ρμ1、ρμ2表示兩個(gè)平均光子數(shù)分別為μ1、μ2的隨機(jī)相位的弱相干脈沖,ρout表示a出口的出射光,T表示分束器(BS)的透過(guò)率。由參考文獻(xiàn)[20～22]可知,弱相干光源在經(jīng)過(guò)強(qiáng)衰減之后光子數(shù)仍服從泊松分布,故可得脈沖ρμ1、ρμ2的光子數(shù)態(tài)表達(dá)式[20]

2 安全性分析

2.1 參數(shù)估計(jì)

對(duì)所提出被動(dòng)式誘騙態(tài)量子數(shù)字簽名方案進(jìn)行安全性分析,主要包括魯棒性、不可偽造性、不可抵賴性這三方面。如果攻擊者Eve造成的誤碼低于一定數(shù)量,那么它就可能成功偽造簽名,一般用平滑最小熵來(lái)界定此事件的概率,以量化Eve的攻擊成功實(shí)施的可能性。規(guī)定分別以1-PZ和PZ的概率選擇X基和Z基,簽名所需密鑰統(tǒng)一用Z基成碼。根據(jù)文獻(xiàn)[9]可以得到Eve存在時(shí)的平滑最小熵表達(dá)式

2.2 魯棒性分析

2.3 不可偽造性分析

2.4 不可抵賴性分析

抵賴事件指Alice的簽名信息被Bob接收,Bob轉(zhuǎn)發(fā)給Charlie時(shí)被拒絕,將其設(shè)為事件H3。此事件需使任一部分與Sigm的不匹配率小于Ta,且任一部分與Sigm的不匹配率超過(guò)Tv。分發(fā)階段中Bob和Charlie交換了一半密鑰,而Alice不知道具體交換了哪一部分,這是防止抵賴攻擊的關(guān)鍵所在。假設(shè)Alice能控制其簽名與、之間的不匹配率,分別記為eB、eC,分析Bob、Charlie交換密鑰之后的情況。交換后,Bob、Charlie各自的兩部分密鑰串均有eCL/2和eBL/2的誤碼數(shù)。當(dāng)eC＞Ta時(shí),Bob一定不會(huì)接收Alice發(fā)送給他的簽名消息,所以只考慮eC≤Ta的情況,設(shè)Charlie交換給Bob的密鑰錯(cuò)誤個(gè)數(shù)小于TaL/2這一事件為。同樣地,如果eB＞Ta,Bob很可能拒絕Alice發(fā)送給他的簽名消息,所以只考慮eB≤Ta的情形,抵賴攻擊需要Bob把誤碼盡可能交換出去,使Charlie與Sigm匹配的誤碼個(gè)數(shù)大于TvL/2,設(shè)這一事件為。如果抵賴成功,則無(wú)需考慮Charlie拒收的原因在于哪一部分密鑰,所以Charlie得到的誤碼個(gè)數(shù)大于TvL/2這一事件為根據(jù)文獻(xiàn)[9],抵賴攻擊的最佳策略是使,此時(shí)抵賴事件概率PH3滿足

綜上所述,在對(duì)魯棒性、不可偽造性和不可抵賴性三者沒(méi)有加權(quán)的情況下,可以定義此QDS方案的安全性為

除了上述對(duì)協(xié)議安全性的分析以外,還需要對(duì)方案所設(shè)計(jì)系統(tǒng)的性能進(jìn)行評(píng)估。簽名率是評(píng)價(jià)QDS協(xié)議系統(tǒng)性能最重要的指標(biāo),此處簽名率可表示為

3 仿真結(jié)果及分析

將通過(guò)Matlab的數(shù)值仿真來(lái)對(duì)比所提出的被動(dòng)式QDS方案與常見(jiàn)的主動(dòng)式三強(qiáng)度QDS方案這兩者的性能。首先介紹在數(shù)值仿真過(guò)程的觀測(cè)量,可表示為

式中:W基表示X基或Z基的其中一個(gè)基,即W∈[X,Z];N表示發(fā)射端發(fā)射的光脈沖總數(shù);PW為發(fā)射端發(fā)送和接收端接收時(shí)選擇W基的概率;ω為本地探測(cè)器響應(yīng)情況,為ω情況下Bob端探測(cè)器的響應(yīng)率和誤碼率,可由線性模型[15]求得,即

式中Yn、en為n光子的響應(yīng)率、誤碼率,可以分別表征為[15]

式中:Y0=2Pd為發(fā)射真空態(tài)時(shí)的響應(yīng)概率,Pd為系統(tǒng)的暗計(jì)數(shù)率;η=10-αdηB,α為系統(tǒng)衰減系數(shù)(單位:dB/km),ηB為接收端探測(cè)器的探測(cè)效率,d為通信系統(tǒng)的傳輸距離。

為了方便比較,使用了兩組系統(tǒng)參數(shù)進(jìn)行仿真,其中第一組系統(tǒng)參數(shù)為參考文獻(xiàn)[25]所用參數(shù)值:接收端探測(cè)器的探測(cè)效率ηB=0.045,系統(tǒng)探測(cè)器的暗計(jì)數(shù)率Pd=8.5×10-7個(gè)/脈沖,光纖信道的傳輸損耗系數(shù)α=0.21 dB/km,系統(tǒng)的本底誤碼ed=0.033。第二組系統(tǒng)參數(shù)中,將第一組參數(shù)使用的InGaAs探測(cè)器的探測(cè)效率合理替換為當(dāng)前超導(dǎo)探測(cè)器的探測(cè)效率,即ηB=0.9[26],其他參數(shù)不變。此外,在以上兩組參數(shù)中,統(tǒng)一設(shè)定發(fā)射端(Bob或Charlie)發(fā)射脈沖數(shù)N=1013,用于參數(shù)估計(jì)的長(zhǎng)度占比k=1/21,安全概率設(shè)定為α1=2.5×10-11,?=10-10,?PE=10-5。在數(shù)值仿真過(guò)程中,通過(guò)借鑒文獻(xiàn)[27]提出的坐標(biāo)下降法與局部搜索算法相結(jié)合的參數(shù)優(yōu)化算法,對(duì)兩種QDS方案的調(diào)制參數(shù)分別進(jìn)行了全局優(yōu)化。在主動(dòng)式方案中,優(yōu)化對(duì)象為三種光源的光強(qiáng)、選擇概率以及選擇Z基的概率;而被動(dòng)式方案的優(yōu)化參數(shù)為兩束入射光光強(qiáng)與選擇Z基的概率。在同樣的系統(tǒng)參數(shù)下,分別將仿真得到的主動(dòng)式、被動(dòng)式QDS方案的誤碼率e與簽名率R進(jìn)行對(duì)比,如圖3、圖4所示。

圖3(a)、(b)中,橫軸表示通信系統(tǒng)的傳輸距離,縱軸表示誤碼率的數(shù)值,其中,點(diǎn)曲線和虛線點(diǎn)曲線分別代表主動(dòng)式誘騙態(tài)方案中誤碼率的變化趨勢(shì);虛線和實(shí)線分別代表被動(dòng)式誘騙態(tài)方案中誤碼率的變化趨勢(shì)。由安全性分析可知,系統(tǒng)是否安全的關(guān)鍵在于的大小關(guān)系,當(dāng)竊聽(tīng)者對(duì)系統(tǒng)造成的最小誤碼率(emin)大于發(fā)送、接收雙方正常操作可能產(chǎn)生的最大誤碼率()時(shí),就可以保證簽名信息的安全性。其中從圖3(a)可以看出,被動(dòng)式誘騙態(tài)方案中,隨著傳輸距離的增加,emin逐漸變小,逐漸增大,二者相交于122 km處;在交點(diǎn)之后,由于,簽名的安全性無(wú)法保證,因此可判斷被動(dòng)式誘騙態(tài)方案的最遠(yuǎn)安全傳輸距離為122 km。同理,由主動(dòng)式誘騙態(tài)方案中emin和的交點(diǎn)在148 km處,可判斷其最遠(yuǎn)安全傳輸距離為148 km。同樣,根據(jù)圖3(b)可推斷,在ηB=0.9時(shí),主動(dòng)式、被動(dòng)式方案的最遠(yuǎn)安全距離分別為208 km和183 km。

圖4(a)、(b)中,橫軸代表傳輸距離,而縱軸代表簽名率大小,其中虛線(Active)和點(diǎn)線(Passive)分別代表主動(dòng)式誘騙態(tài)和被動(dòng)式誘騙態(tài)方案的簽名率大小。顯然,兩種方案的簽名率均隨傳輸距離的增加而下降,ηB=0.045時(shí),二者的截止傳輸距離分別為148 km和122 km;當(dāng)ηB=0.9時(shí)截止傳輸距離分別為208 km和183 km,與圖3(a)、(b)的結(jié)果相一致。與主動(dòng)式誘騙態(tài)QDS方案相比,所提出的被動(dòng)式誘騙態(tài)QDS方案簽名率偏低,但是需要指出,在目前的數(shù)值仿真中并沒(méi)有考慮光源調(diào)制誤差。倘若考慮光源調(diào)制引起的誤差,被動(dòng)式方案不受影響,主動(dòng)式誘騙態(tài)方案則會(huì)降低性能和安全性。

4 結(jié)論

針對(duì)現(xiàn)有主動(dòng)式誘騙態(tài)QDS方案中存在的側(cè)信道漏洞問(wèn)題,本文提出了基于線性光學(xué)元件的被動(dòng)式誘騙態(tài)QDS方案,原理簡(jiǎn)單、安全性較高、操作容易。在此基礎(chǔ)上本文開(kāi)展了相關(guān)數(shù)值仿真和參數(shù)優(yōu)化工作,并與主動(dòng)式方案進(jìn)行了對(duì)比分析。結(jié)果顯示,在不考慮光源調(diào)制誤差的情況下,被動(dòng)式方案的簽名率和簽名距離一定程度上遜于主動(dòng)式方案。但考慮到在實(shí)際應(yīng)用中主動(dòng)式方案要求發(fā)送方隨機(jī)、高速地調(diào)制不同脈沖強(qiáng)度,將不可避免地引入光強(qiáng)調(diào)制誤差,導(dǎo)致系統(tǒng)性能降低。因此,本文對(duì)量子數(shù)字簽名的實(shí)際應(yīng)用具有重要的參考價(jià)值。不過(guò)考慮到在實(shí)際應(yīng)用時(shí)本地探測(cè)器并不是探測(cè)效率為100%的理想單光子探測(cè)器,由于信號(hào)光與休閑光之間可能存在多種模式關(guān)聯(lián)的特性,該方面的安全性分析問(wèn)題值得開(kāi)展更深層次的分析與研究。