一種基于有限密鑰和誘騙態的雙場量子密鑰分發協議

康 鵬 郭 翔 趙膠膠

1(貴州電網有限責任公司電力調度控制中心 貴州 貴陽 550000)

2(南京信息工程大學計算機與軟件學院 江蘇 南京 210044)

0 引 言

隨著我國電力系統的不斷完善,電力系統的調度工作也在被持續不斷地更新和健全。它對于整個電力系統來說,是一項紀律嚴格、技術復雜的管理工作。面對電力系統不斷變化的要求和挑戰,電力系統調度工作是否到位,直接影響著電力系統能否安全運行。

量子密鑰分發(Quantum Key Distribution,QKD)[1]被認為是量子信息科學最成熟的應用,其安全性由量子物理原理保證,可為支持電力調度提供安全保障,但是量子通道中光脈沖的傳輸損耗極大限制了合法用戶之間的通信距離[2]。

為了突破信道傳輸的局限性,提出了量子中繼器方案[3-4],但是用當前的量子通信技術來實現量子中繼器是不切實際的。2012年,Lo等[5]提出了與測量設備無關的量子密鑰分發(Measurement-device-independent Quantum Key Distribution,MDI-QKD)協議,該協議不僅去除了所有探測器側通道,而且使傳統激光器的安全距離增加了一倍。盡管如此,MDI-QKD也無法突破長距離量子通信的限制。

2018年,Lucamarini等[26提出了雙場量子密鑰分發TF-QKD,該協議被認為可以克服在沒有可信中繼的情況下速率-距離的限制?；诓皇苄湃喂濣c的分光器的單光子干擾,TF-QKD的秘密密鑰率相對于傳統的MDI-QKD相位編碼方案進行了二次改進[7]。隨后,許多學者根據秘密密鑰率與信道傳輸的平方根成比例的優勢,提出了TF-QKD協議的多種變體,同時也提供了更嚴格的安全證明[9-11]。之后,通過對這些變體協議進行相關的實驗,證明了使用當前技術進行TF-QKD的可行性[12]。盡管如此,理論與實際之間仍然存在不可避免的差距。在這些實驗局限性中,有限密鑰效應[13]是估計最終秘密密鑰率不能忽略的特征。目前,提出了幾種有限密鑰分析來研究TF-QKD[14]的實用性。另外,另一個實驗局限性是光子源的不穩定性。在原始TF-QKD協議中采用的是穩定光源,而在實際系統中始終發出的光子脈沖,其強度無法漸近地用恒定值代替[15]。

在本文中,我們提出了一種基于有限密鑰和誘騙態的TF-QKD協議。利用不同的統計波動分析模型[16-18]執行兩個誘騙狀態TF-QKD協議的參數估計步驟。在通用可組合框架[19]的基礎上,得到統計波動限制的嚴格的秘密密鑰率。在沒有強度波動的情況下,我們通過對變體統計波動分析工具估算的最終秘密密鑰率進行了簡要比較。在分析強度波動對協議性能影響時,我們利用Azuma不等式[20-21]分析了嚴格的有限密鑰,證明了在強度波動的情況下,針對一般攻擊的可組合安全性。通過數值模擬,我們研究了具有統計波動和強度波動的不同總信號脈沖的秘密密鑰率。仿真結果表明,強度波動對實際誘騙態TF-QKD協議的性能影響不可忽略。

1 基于有限密鑰和誘騙態的TF-QKD協議

雖然Grasselli等[22]提出的實用誘騙態TF-QKD方案,只需設置兩個誘騙強度就足以擊敗通道的點對點私有容量,并且該協議可有效對抗光脈沖的強度波動,但其安全性是基于無限密鑰和穩定光子源的假設。由于受通信時間、存儲能力等因素的限制,所以量子通信中通信雙方傳輸的脈沖數是有限的。為了解決該問題,我們提出了一個基于有限密鑰和誘騙態的TF-QKD協議,具體步驟如下。

步驟2密鑰分配。根據基的選擇,Alice和Bob通過量子通道分別將其光脈沖發送給不受信任的第三方Charlie。

步驟4步驟重復。將步驟1、步驟2和步驟3重復N次,使雙方都獲得了足夠多的成功檢測事件。在這種情況下,可以進行下面的密鑰篩選步驟。

(1)

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

(1) 當Alice和Bob分別發出n和m個光子態時,我們利用文獻[22]中提出的誘騙態法,對Y0,0、Y2,0、Y0,2和Y1,1的上界進行推導。

(11)

其中：

(12)

將文獻[16]中提出的誘騙態法應用于式(11),則Y1,1的上界為：

(13)

Y2,0和Y0,2的上界為：

(14)

其中：

(15)

為了得到Y0,0的上界,我們需要知道Y2,2的下界和Yn,0和Y0,m的上界。

Yn,0和Y0,m的上界為：

(16)

所以Y2,2的下界是：

(17)

從而我們可以得到Y0,0的上界：

(18)

根據文獻[11]中提出的估計方法,TF-QKD協議的X基上比特誤碼率的上界為：

(19)

其中：

(20)

(21)

式中：ε″是失敗的概率。

(22)

步驟7密鑰糾錯。為了獲得相同的密鑰位串,Alice和Bob實施了信息協調方案,他們通過lEC位執行糾錯步驟。此后,Alice使用字符串ZA的log2(1/εcor)位執行隨機通用哈希函數,并將哈希發送給Bob。如果Bob的字符串ZB的哈希值與ZA的哈希值不同,則中止該協議。

步驟8隱私擴大。為了確保信息泄漏得到控制,他們利用一個隨機通用哈希函數來提取一個長度為l的私有密鑰字符串。

2 協議安全性分析

(23)

如果滿足以下條件,則最終密鑰滿足安全性：

(24)

在本文中,我們通過使用文獻[17]和文獻[22]中提供的誘騙態法求出秘密密鑰字符串長度l來獲得秘密密鑰率R。根據通用組合框架定義[19],我們提供了秘密密鑰長度的詳細估計,過程如下所示。

E′首先總結了Eve學習到的有關Alice原始密鑰字符串ZA的全部信息,通過利用隨機通用哈希函數,可以從ZA中提取長度為l的εsec密鑰：

(25)

(26)

(27)

(28)

(29)

為了保證協議的保密性,錯誤項都被固定為一個常數：

(30)

因此εsec=13ε1。

如果最終密鑰的長度l滿足以下要求,則有限密鑰體制中的實用TF-QKD協議為εsec：

(31)

3 協議性能分析

除了有限密鑰效應外,TF-QKD的另一種實現是光子源的強度波動。因為我們在TF-QKD系統上應用了具有兩種誘騙態的方法,因此應同時考慮信號脈沖和誘騙脈沖的強度波動,在沒有強度波動的情況下,我們假設檢測事件是獨立的。但是,當光子源不穩定時,如果竊聽者Eve采取相干攻擊,則光脈沖的強度可能與其他脈沖相關。在這種情況下,不滿足檢測事件的獨立條件。為了估計光子源強度波動與產生的秘密密鑰率之間的關系,我們利用Azuma不等式[20-21]對相關樣本進行有限密鑰分析。

在實用TF-QKD協議中,信號脈沖和誘騙脈沖采用三種不同的強度。本文假設信號脈沖和誘騙脈沖的強度波動幅度對Alice和Bob相等且對稱。

(32)

式中：μi是誘騙脈沖的強度,i∈{0,1}和δμ表示強度的波動幅度。

(33)

式中：δ∈(0,1)。

(34)

(35)

(36)

4 數值模擬

為了驗證我們的協議在不穩定光子源強度波動下的性能,本節主要從以下四個方面進行了模擬實驗：第一,不同的信號脈沖總數;第二,秘密密鑰率的估計方法;第三,不同的強度波動;第四,不同數量的總信號脈沖。我們的協議在實際應用場景中,相位失調不會因為誘騙脈沖的相位隨機化而影響相位誤碼率。在這種情況下,光脈沖通過量子通道后的偏振和相位失調被固定為2%,這與原來實用TF-QKD協議[22]相同。

在圖1中,我們使用乘法Chernoff界模擬了具有有限密鑰大小的TF-QKD的秘密密鑰率,演示了該協議在不同信號下的性能。圖1顯示了檢測器的暗計數率Pd分別為10-8、10-7和10-6時,秘密密鑰率與損耗之間的關系,實線、虛線和點狀虛線對應的信號脈沖總數分別為N=10x(x=12,13,14)。如圖1所示,當暗計數率較小時,有限密鑰效應較為顯著。

圖1 檢測器的暗計數率Pd分別為10-8、10-7和10-6時,秘密密鑰率隨損耗的變化

為了找出TF-QKD協議最嚴格的分析界限,我們比較了Hoeffding不等式、乘法Chernoff界[17]和改進型的Chernoff界[18]的性能。在圖2中,線的粗細用來區分利用Hoeffding不等式,乘法Chernoff界和改進型的Chernoff界進行的參數估計。為了進行比較,我們考慮了兩個不同總數的信號脈沖,N=1013(虛線)和N=1014(實線)。如圖2所示,利用改進型的Chernoff界是三種不同估計秘密密鑰率方法中最嚴格的,但是在信號脈沖總數較大時,其優點不是很明顯。

圖2 分別利用Hoeffding不等式、乘法Chernoff界和改進型的Chernoff界估計的秘密密鑰率與損耗的關系

在光子源不穩定的情況下,我們評估具有不同強度波動幅度的秘密密鑰率。模擬結果表明,強度波動的影響在現實生活中是不可忽略的。我們將暗計數率固定為Pd=10-8,信號脈沖的總數固定為N=1015,因此,通過采用不同的方法可獲得如圖3所示的從左到右的曲線強度波動幅度(分別為δμ=0,0.1,0.2,0.3)?？梢钥闯?當強度波動幅度為δμ=0,0.1,0.2時,該協議可以超越PLOB界線,但如果δμ過大,協議則無法超越PLOB的界線。

圖3 對于不穩定信號源,在不同強度波動幅度下,針對總體損耗的秘密密鑰率

為了評估強度波動對信號脈沖總數的影響,我們在給定δμ的情況下,估算了具有不同數量的總信號脈沖的秘密密鑰率。在圖4中,從左到右的曲線是針對不同數量的總信號脈沖獲得的(N=10x,x分別為13,14,15,16)。結果表明,當總信號脈沖的數量較小時,δμ的影響非常顯著。

圖4 對于強度波動幅度δμ固定為0.1的信號脈沖的不同數據大小,秘密密鑰針對總損耗的比率

5 結 語

本文分析了具有有限密鑰和強度波動的實用TF-QKD協議的性能?；谙到y的對稱假設,我們利用通用可組合框架推導出了密鑰長度公式。利用統計波動的估計值,求出X基中成功檢測事件的期望值以及在篩選步驟中獲得的觀察值。通過比較不同的安全邊界,我們發現改進型的Chernoff界是Hoeffding不等式和乘法Chernoff界中最嚴格的一個。此外,我們還利用Azuma不等式對協議進行安全性分析,驗證了在不穩定光子源強度波動下協議的可組合安全性。數值模擬結果顯示,尤其是在數據相對較小的情況下,光子源的穩定性對于實際TF-QKD協議的性能至關重要。通過利用本文提出的協議可以為支持電力調度專用加密算法的電力專用量子加密一體機提供安全保障,從而給電力系統信息傳輸筑起了牢不可破的“金鐘罩”,使電網再也不用擔心外來攻擊。

當然,本協議仍有一些不足可以改進。例如,本協議沒有考慮量子信道中的噪聲,但在實際環境中這是不可避免的,并且QKD安全成碼的距離還遠遠達不到生活所需。接下來我們會針對這兩個方面的問題對協議進行改善。