王育齊，佘 堃

（1.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，四川 成都611731；2.閩南師范大學(xué) 計(jì)算機(jī)學(xué)院，福建 漳州363000）

0 引 言

隨著Bennett和Brassard提出了第一個量子密鑰分發(fā)（quantum key distribution，QKD）協(xié)議 （簡稱BB84協(xié)議），標(biāo)志著量子密碼研究的真正開始。隨后，E91 和B92 等QKD 協(xié)議被陸續(xù)提出，這3 大協(xié)議都被驗(yàn)證為無條件安全［1－3］。QKD 協(xié)議的提出解決了 “一次一密”的密鑰問題，實(shí)現(xiàn)了該加密算法真正的無條件安全。不管QKD 協(xié)議是用來分發(fā)隨機(jī)密鑰串還是確定的密鑰串都存在以下問題［4，5］：由于信道衰減、噪音、竊聽等，且光子信號比較微弱又不能夠放大和檢測設(shè)備性能等問題，導(dǎo)致在接收端出現(xiàn)光子丟失現(xiàn)象，這必然會影響協(xié)議密鑰分發(fā)的效率。對于前者，既可以根據(jù)具體的實(shí)驗(yàn)環(huán)境估計(jì)出光子的損耗率進(jìn)行校正，也可以采用本文提出的重發(fā)機(jī)制；而對于后者，則只能采用重發(fā)機(jī)制完成確定的密鑰分發(fā)，完善密鑰管理。盡管有學(xué)者從量子糾纏 （包括高維糾纏）、純化以及交換、預(yù)先聲明基和提高密鑰生成率等方面做的大量的研究，取得不錯的成果，提高了密鑰分發(fā)效率［6－10］，但是在接收端，仍然存在光子丟失的問題，這對于QKD 協(xié)議來說是一個不小的損失，尤其是確定性QKD。利用重發(fā)機(jī)制 “彌補(bǔ)”丟失光子，提高QKD 協(xié)議分發(fā)效率，具有一定的理論創(chuàng)新性。

本文基于BB84協(xié)議并對其進(jìn)行了改進(jìn)，提出了一種基于重發(fā)機(jī)制的QKD 協(xié)議。當(dāng)Bob檢測到有光子缺失時，要求Alice重發(fā)缺失的光子。該重發(fā)過程還是一個BB84過程，安全性與其等價，同時，由于沒有使用量子內(nèi)存，實(shí)驗(yàn)上是可以實(shí)現(xiàn)的。由于重發(fā)過程增加了Bob收到的有效二進(jìn)制位，擴(kuò)大了用來竊聽檢測的子區(qū)間，提高了竊聽檢測安全性的同時也提高密鑰分發(fā)的效率。

1 BB84協(xié)議分析

BB84協(xié)議分為3個階段，第一個階段為量子傳輸，主要是Alice制備隨機(jī)的二進(jìn)制位串、隨機(jī)選擇的基序列和相應(yīng)的隨機(jī)光子序列，Bob用隨機(jī)產(chǎn)生的測量基測量光子序列得到了二進(jìn)制位串；第二個階段為公共信道上的協(xié)商，主要是Alice確定Bob的哪些測量基是和自己一致的，雙方保留基一致的測量結(jié)果，并在其中隨機(jī)取出一部分用來竊聽檢測，若Bob端產(chǎn)生的錯誤率小于某個給定的閾值，協(xié)議繼續(xù)進(jìn)行，否則重新開始；最后將Bob用來竊聽檢測的二進(jìn)制位刪除，將最后剩下的二進(jìn)制串作為最終的初始密鑰，也稱為篩選后的數(shù)據(jù)。

在BB84協(xié)議的執(zhí)行過程中R （Rectilinear）代表線性偏振，它包括 ｛→，↑｝兩個基矢，即光子做0°和90°線性偏振；D （Diagonal）代表對角偏振，它包括 ｛↗，↖｝兩個基矢，即光子做45°和135°對角偏振，故有時也稱BB84為四態(tài)協(xié)議；編碼規(guī)則是 ｛→，↗｝→0， ｛↑，↖｝→1；在表1中，第一階段最后一行中，空白代表沒有檢測到光子，測量沒有輸出，即光子缺失了，這些缺失的光子對協(xié)議分發(fā)效率影響較大。

2 提出新的協(xié)議

通過對BB84協(xié)議的分析可知，由于光纖色散與損耗對光量子傳輸?shù)挠绊懀庾釉趥鬏斶^程中可能會丟失或沒有被檢測器檢測到，也有可能是由于竊聽導(dǎo)致，不管哪種原因都有可能使Bob接收到的光子序列中出現(xiàn)空白，這對協(xié)議的密鑰分發(fā)效率影響很大。因?yàn)楸旧鞡B84協(xié)議的效率較低 （選對測量基的概率為50%），再加上為了檢測竊聽還得拿出一部分光子進(jìn)行檢測，到最后實(shí)際用來作為密鑰的位就非常少了，嚴(yán)重影響了協(xié)議密鑰分發(fā)的效率。

2.1 協(xié)議流程

當(dāng)Bob發(fā)現(xiàn)自己接收到的光子串中有缺失的情況，即該位置的光子要么在傳輸過程中丟失了，要么沒有被自己的探測器檢測到，或者是由于竊聽所致，Bob 都會要求Alice重新發(fā)送相應(yīng)丟失位對應(yīng)的光子，重發(fā)過程是基于BB84協(xié)議的。該協(xié)議執(zhí)行環(huán)境同BB84一樣，下面是該協(xié)議的描述：

假設(shè)Alice生成要傳送的隨機(jī)二進(jìn)制串放在數(shù)組a，隨機(jī)選擇的基放在數(shù)組b，所對應(yīng)生成的隨機(jī)光子序列放在數(shù)組c；Bob隨機(jī)生成用來接收的基序列，并將其放在數(shù)組d。數(shù)組e，f 和g 分別用來存放Bob檢測到的光子序列、相應(yīng)的二進(jìn)制位串和測量后缺失光子的位置；重發(fā)次數(shù)k＝0。

（1）Alice將數(shù)組c 的內(nèi)容依次通過量子信道發(fā)送給Bob，相鄰的時間間隔為Δτ；

（2）Bob用d 中的測量基依次對接收到的光子進(jìn)行測量，得到數(shù)組e，相對應(yīng)的二進(jìn)制串f；

（3）若Bob發(fā)現(xiàn)有光子缺失時，用數(shù)組g 記錄缺失光子在序列中的位置；

（4）Bob檢測數(shù)組g，若為空，則沒有需要重發(fā)的光子，此時該協(xié)議退化為BB84協(xié)議；若g 不為空，則Bob將g 的內(nèi)容發(fā)給Alice，要求Alice根據(jù)g 的內(nèi)容，重新隨機(jī)生成所需要的二進(jìn)制位、對應(yīng)的基和相應(yīng)的光子序列，利用BB84協(xié)議進(jìn)行重傳，直到所有缺失的光子都得到了檢測或需要重發(fā)光子的次數(shù)達(dá)到了一個閾值k0后停止重發(fā)操作，具體由下面步驟完成：

（5）Bob將他最終的測試基序列d 通過經(jīng)典信道發(fā)送給Alice；

（6）Alice通過比較b和d 中的內(nèi)容是否一致，并將比較結(jié)果告訴Bob；

（7）通信雙方保留基一致的測量結(jié)果，放棄基不一致的測量結(jié)果；

（8）通信雙方檢測竊聽。記ξ0 為錯誤率的閾值，若出錯率ξ≤ξ0 ，說明由竊聽引入的錯誤在可接受范圍內(nèi)，并繼續(xù)執(zhí)行下面的步驟，否則算法異常終止；

（9）通信雙方按照事先約定好的規(guī)則將最終接收到的光子編碼成二進(jìn)制比特串，由此獲得篩選后的原始密鑰；

（10）利用數(shù)據(jù)協(xié)商 （主要用來糾錯）和密性放大技術(shù)（降低Eve獲得信息量）對原始密鑰進(jìn)行處理，獲得最終的安全密鑰，完成密鑰分發(fā)任務(wù)，算法正常結(jié)束。

2.2 協(xié)議模擬

為方便進(jìn)行理論分析，令：｜→＞＝｜0＞，｜↑＞＝｜1＞，分別代表0°和90°的R 偏振光子，滿足正交性；｜↗＞＝（｜0＞＋｜1＞）／，｜↖＞＝（｜0＞－｜1＞）／，分別代表45°和135°的D 偏振光子，同樣滿足正交性，但R和D 是非正交的滿足測不準(zhǔn)原理。其中，｜0＞≡（1，0），｜1＞≡（0，1）。可以驗(yàn)證： ＜→｜↗＞2＝ ＜→｜↖＞2＝ ＜↑｜↗＞2＝ ＜↑｜↖＞2＝1／2，即兩組基的交疊概率為1／2，意思是說當(dāng)獲得測量結(jié)果是｜0＞態(tài)時，有可能對方發(fā)送的就是｜0＞態(tài) （選對了），也有1／2的可能性是從（｜0＞＋｜1＞）／或（｜0＞－｜1＞）／態(tài)得到，而從后者中得到｜0＞的概率也是1／2，這樣選錯后得到的｜0＞的概率就是1／4。

假設(shè)Alice生成的a＝ ｛0，1，1，0，1，1，0，0，1，0，1，1，0，0，1｝，b＝ ｛‘D’，‘R’，‘D’，‘R’，‘R’，‘R’，‘R’，‘R’，‘D’，‘D’，‘R’，‘D’，‘D’，‘D’，‘R’｝，c＝ ｛‘↗’，‘↑’，‘↖’，‘→’，‘↑’，‘↑’，‘→’，‘→’，‘↖’，‘↗’，‘↑’，‘↖’，‘↗’，‘↗’，‘↑’｝；Bob隨機(jī)生成的d＝ ｛‘R’，‘D’，‘D’，‘R’，‘R’，‘D’，‘D’，‘R’，‘D’，‘R’，‘D’，‘D’，‘D’，‘D’，‘R’｝。協(xié)議模擬時的e＝｛‘↑’，‘？’，‘↖’，‘？’，‘↑’，‘↗’，‘↗’，‘→’，‘？’，‘↑’，‘↑’，‘↖’，‘？’，‘↗’，‘↑’｝， “？”表示光子的缺失；相對應(yīng)的二進(jìn)制串f＝ ｛1，，1，，1，0，0，0，，1，1，1，，0，1｝，“”表示空缺位，即沒有接收到任何光子；g＝ ｛2，4，9，13｝。

新協(xié)議的模擬執(zhí)行過程如表1 所示。需要說明的是，首先，該協(xié)議執(zhí)行過程中使用了與BB84協(xié)議相同的數(shù)據(jù)，主要是為了方便與其比較；其次，該協(xié)議在執(zhí)行過程并沒有使用量子內(nèi)存，流程中用來存放光子序列的數(shù)組c和e 只是為了利用數(shù)組下標(biāo)方便描述光子位置，實(shí)際上雙方都沒有存儲發(fā)送或接收的光子序列。對于是否有光子缺失，完全可以在Bob接收到的二進(jìn)制序列中觀察到；最后，是對k0和ξ0 的說明。其中k0可以通過簡單計(jì)算得到：一種是根據(jù)Bob接收到光子的比例u （u＝11／15）和缺失光子數(shù)l，估算出k0≈l／u；另外一種就是k0取一個經(jīng)驗(yàn)值，如k0＝3 （因?yàn)橐淮尾轮械母怕适?／2，兩次以上猜中的可能性非常大，故估計(jì)重傳3次就可以了）。ξ0 是Eve獲得最大的竊聽信息時在Bob端引起的最小錯誤率，這跟Eve采用的竊聽策略是有關(guān)系的，Molotkov和Gottesman等對此已經(jīng)做了具體研究。

表1 新協(xié)議的模擬執(zhí)行過程

2.3 協(xié)議分析

新協(xié)議是在Bob 測試到有缺失光子的情況下，要求Alice將其對應(yīng)位置的光子重新發(fā)送，直到滿足相關(guān)要求后停止發(fā)送，所以安全性是等價于BB84協(xié)議。由于Bob只要求Alice發(fā)送指定位置的光子，Alice根據(jù)數(shù)組c 的下標(biāo)，重新隨機(jī)產(chǎn)生相應(yīng)的光子而無需存儲以前產(chǎn)生的，所以沒有用到量子內(nèi)存，實(shí)驗(yàn)上沒有增加難度，也和BB84一樣。在密鑰分發(fā)的效率上，該協(xié)議優(yōu)勢明顯，首先通過重傳丟失的光子，Bob接收到的有效信息增加了，自然密鑰分發(fā)效率會提升；其次用來檢測竊聽的子區(qū)間會變大，檢測率會提升，增加了一定的安全性；最后隨著Bob端有效位的增加，最后生成的原始密鑰也變長了。

通過對表1的計(jì)算可知：沒有竊聽時 （理想情況下），對于BB84協(xié)議，效率η＝6／15，對于新的QKD 協(xié)議，效率η＝9／15；對于最后獲得原始密碼長度也由原來的4位上升到6位，提升了50%。由于Alice隨機(jī)生成重傳的光子序列，Bob隨機(jī)選擇測量基，但Bob仍然有1／2 概率選對測量基，則Bob通過重傳缺失光子序列后，可以多獲得最少lu／2 個有效光子，最多l(xiāng)個有效光子。所以在重傳后Bob獲得有效光子數(shù)將會增加，用來作為初始密鑰的二進(jìn)制串自然也會變長，密鑰分發(fā)效率顯然優(yōu)于BB84協(xié)議。

2.3.1 安全性

量子誤碼率QBER （quantum bit error rate，QBER）定義為篩選后的數(shù)據(jù) （協(xié)議中第9步產(chǎn)生的初始密鑰數(shù)據(jù)）中碼值錯誤所占的比例，碼值錯誤是指接收方碼值 （0 或1）不同于發(fā)送方碼值，公式如下：QBER＝Nerr／Nsift，其中Nsift是篩選后的數(shù)據(jù)個數(shù)，Nerr是Nsift中碼值錯誤的個數(shù)。

假定Eve選擇全部截取Alice發(fā)送的光子串，測量后直接發(fā)送給Bob。由于Eve不知道Alice所選的基，他只能隨機(jī)選擇測量基，選對的概率為50% （也就是Eve猜對碼值的概率為50%），選對后將測量的結(jié)果發(fā)送給Bob不會造成錯誤；但選錯后 （選錯概率也是50%），由于交錯概率1／2的存在，Eve仍然有25%的概率猜對碼值，這樣Eve就有75%的概率猜對Alice發(fā)送的碼值 （0或1），猜錯碼值的概率是25%。而對于篩選后的數(shù)據(jù)Eve確切知道基及碼值的概率仍為1／2，余下的碼值對錯各占一半。所以，由于Eve的竊聽將引起25%的QBER，這很容易被通信雙方發(fā)覺。

從表2的數(shù)據(jù)表中可以看出，由于Eve的竊聽，Bob隨機(jī)的選擇第4，9，13位置的二進(jìn)制數(shù)與Alice進(jìn)行竊聽檢測，發(fā)現(xiàn)第4位二進(jìn)制錯誤，錯誤率為q＝1／9≈11%。雙方認(rèn)為可以繼續(xù)通信，并舍棄用來檢測的3 位二進(jìn)制，最終獲得了篩選后的密鑰串。注意，該密鑰串中可能還有與Alice不一致的二進(jìn)制位，安全性是比較差的，需要使用數(shù)據(jù)協(xié)商進(jìn)行糾錯和密性放大后才能獲得可靠的保密數(shù)據(jù)，即最終的密鑰。

表2 模擬竊聽過程中的數(shù)據(jù)變化

注：在表2中斜體加粗的數(shù)據(jù)代表Alice重發(fā)的缺失光子經(jīng)過Eve和Bob測量后的二進(jìn)制位；斜體加粗N 表示所選子區(qū)間上Alice和Bob數(shù)據(jù)不一致，即發(fā)現(xiàn)了竊聽。

2.3.2 數(shù)據(jù)協(xié)商

在協(xié)議的第10步需要利用數(shù)據(jù)協(xié)商對篩選后獲得的數(shù)據(jù)進(jìn)行糾錯，因?yàn)樵谶@個數(shù)據(jù)中 （第三位錯誤）的誤碼率達(dá)到了q＝1／6≈17%，不能直接使用，必須使用數(shù)據(jù)糾錯找出其中的錯誤，將所有錯誤清除或使誤碼率降低到適宜使用，同時還要降低Eve在此過程所獲得信息量，并保留盡量多的有用數(shù)據(jù)。

數(shù)據(jù)協(xié)商采用的方法通常有二分糾錯 （binary protocol）、級聯(lián)糾錯（cascade protocol）和漢明碼數(shù)據(jù)協(xié)調(diào)（winnow protocol）。也可以借鑒張盛等提出的錯誤預(yù)測模型分析［11］，但由于在表2 中篩選后的數(shù)據(jù)中只有一個錯誤，故采用二分糾錯。首先，利用一個六位的隨機(jī)排列（假定排列為a5a4a3a6a1a2）對Alice 和Bob 的篩后數(shù)據(jù)（分別是110101 和111101）進(jìn)行重排列，分別得到Sa和Sb，并記錄相應(yīng)的位置；接著數(shù)據(jù)分組，由于誤碼率為q＝1／6，每組數(shù)據(jù)長度h≈1／2q＝3，分別將Sa和Sb分為兩組；最后Alice和Bob各自檢測每組數(shù)據(jù)的奇偶性并在公開信道進(jìn)行比較。若奇偶性不相同的哪一組，則肯定存在錯誤，此時另外一組就不用再進(jìn)行奇偶校驗(yàn)位的比較了。將出錯數(shù)據(jù)一分為二，繼續(xù)進(jìn)行奇偶性的比較，直到找到奇偶性不同的位，并將其刪除。為了確保不讓Eve獲得新的信息，應(yīng)將每次公開奇偶性數(shù)組的最后一位刪掉。最終得到的Sab為0111，這是Alice和Bob高度一致且不含錯誤的密鑰串。

2.3.3 密性放大

經(jīng)過數(shù)據(jù)協(xié)商后，誤碼率已經(jīng)非常低了 （本例中已經(jīng)為0了），但Eve還是可能知道部分信息 （如該例中的第四位為1）。為提高保密性，再利用密性放大技術(shù)［12］，將Eve掌握的有效信息變?yōu)闊o效，這是以減少Alice和Bob擁有的信息量為代價的。具體做法如下：

設(shè)通信雙方共同擁有n位二進(jìn)制串x，Eve知道其中的t位，并選定s位二進(jìn)制串作為安全參數(shù)。利用一個通用類Hash函數(shù)F：｛0，1｝n→ ｛0，1｝r，r＝n－t－s，r位的二進(jìn)制串即為密性放大后的最終密鑰。它使得Alice和Bob的互信息I（A，B）從n減至r，Eve和Alice的互信息I（E，A）由t減至不大于2－s／ln2。具體結(jié)合本例計(jì)算如下：

設(shè)s＝1，Eve知道第四位是1，故t＝1，則r＝4－1－1＝2，x＝ ［x1x2x3x4］＝ ［0 1 1 1］，y＝ ［y1y2］，⊕表示模2運(yùn)算，令

根據(jù)f（x）＝y(tǒng)＝xm，則有

最后得到y(tǒng)＝ ［y1y2］＝ ［0 1］，從而得到了通過密性放大后的密鑰串r為01。I（E，A）由1降到了0.72，說明Eve對最終的密鑰串知之甚少，進(jìn)一步強(qiáng)化了數(shù)據(jù)的保密性。

3 結(jié)束語

由于量子密碼的實(shí)現(xiàn)跟具體的物理系統(tǒng)相關(guān)，它不像經(jīng)典密碼那樣是基于抽象的數(shù)學(xué)難題，而與具體實(shí)現(xiàn)無關(guān)。再加上偏振光子很微弱，在傳輸過程又不能放大加強(qiáng)。所以出現(xiàn)接收方光子缺失的概率非常大，這種缺失對整個協(xié)議的密鑰分發(fā)影響是非常大的。本文采用重發(fā)缺失對應(yīng)位光子的方法，使得接收方盡可能多的接收到有效光子，這不僅有利于竊聽檢測 （因?yàn)閿U(kuò)大了檢測區(qū)間），而且增加了實(shí)際密鑰分發(fā)的位數(shù) （最后獲得密鑰長度變長），從而有效提升了協(xié)議密鑰分發(fā)的效率。

該協(xié)議的安全性等同于BB84協(xié)議，由于沒有引進(jìn)量子存儲，只是發(fā)送方根據(jù)接收方傳遞的信息 （數(shù)組下標(biāo)）重新隨機(jī)生成相對應(yīng)位缺失的二進(jìn)制位、基和對應(yīng)的光子序列，并利用BB84協(xié)議進(jìn)行二次傳輸 （利用BB84協(xié)議只進(jìn)行量子傳輸部分）。所以該協(xié)議的實(shí)現(xiàn)難度沒有增加，同樣等同于BB84協(xié)議。故該協(xié)議實(shí)驗(yàn)上是可行的，而且密鑰分發(fā)效率高于BB84協(xié)議。

［1］LI Hongwei，CHEN Wei，HUANG Jingzheng，et al.Security of quantum key distribution ［J］.Scientia Sinica Physica，Mechanica ＆Astronomica，2012，42 （11）：1237－1255 （in Chinese）.［李宏偉，陳巍，黃靖正，等.量子密碼安全性研究［J］.中國科學(xué)：物理學(xué)力學(xué)天文學(xué)，2012，42（11）：1237－1255.］

［2］WANG Jindong，ZHANG Zhiming.Unconditional security of quantum key distribution based on practical devices ［J］.Chinese Journal of Quantum Electronics，2014，31 （4）：449－456（in Chinese）.［王金東，張智明.量子密鑰分發(fā)系統(tǒng)的現(xiàn)實(shí)無條件安全性 ［J］.量子電子學(xué)報，2014，31 （4）：449－456.］

［3］Christopher Portmann，Renato Renner.Cryptographic security of quantum key distribution ［DB／OL］.［2014－11－26］.http：／／arxiv.org／pdf／1409.3525.pdf.

［4］ZHENG Liming，WANG Faqiang，LIU Songhao.The influence of dispersion and loss on quantum key distribution system ［J］.Acta Phys Sin，2007，56 （4）：2180－2183 （in Chinese）. ［鄭力明，王發(fā)強(qiáng)，劉頌豪.光纖色散與損耗對光量子密鑰分發(fā)系統(tǒng)的影響 ［J］.物理學(xué)報，2007，56 （4）：2180－2183.］

［5］LIU Wei，YANG Shu，GUO Aipeng.Study on key transmission rate and BER of fiber－based quantum key distribution system ［J］.Optical Communication Technology，2008 （8）：44－47 （in Chinese）.［劉偉，楊樹，郭愛鵬.光纖量子密鑰分發(fā)系統(tǒng)中密鑰傳輸率和誤碼率的研究［J］.光通信技術(shù)，2008 （8）：44－47.］

［6］Zhu Mengzheng，Liu Ye.Efficient entanglement purification via quantum communication bus ［J］.Quantum Information Process，2014，13 （6）：1397－1412.

［7］SUN Ying， WEN Qiaoyan，YUAN Zheng.High－efficient quantum key distribution based on hybrid entanglement ［J］.Optics Communications，2011，284：527－530.

［8］Lucamarini M，Patel KA，Dynes JF，et al.Efficient decoystate quantum key distribution with quantified security ［J］.Optics Express，2013，21 （21）：24550－24565.

［9］GAO Jingliang，ZHU Changhua，XIAO Heling.Efficient quantum key distribution scheme with pre－announcing the basis［J］.Euro Physics Letters，2014，105 （6）：6003－6004.

［10］WU Hua，WANG Xiangbin，PAN Jianwei.Quantum communication：Status and prospect［J］.Scientia Sinica：Infor－mationis，2014，44 （3）：296－311 （in Chinese）. ［吳華，王向斌，潘建偉.量子通信現(xiàn)狀與展望 ［J］.中國科學(xué)：信息科學(xué)，2014，44 （3）：296－311.］

［11］ZHANG Sheng，WANG Jian，ZHANG Quan，et al.An analysis of the model of the error bit s of quantum cryptography protocol［J］.Acta Phys Sin，2009，58 （1）：73－77 （in Chinese）.［張盛，王劍，張權(quán)，等.量子密碼協(xié)議的錯誤序列模型分析 ［J］.物理學(xué)報，2009，58 （1）：73－77.］

［12］Joseph M Renes，Renato Renner.Noisy channel coding via privacy amplification and information reconciliation［J］.IEEE Transactions on Information Theory，2011，57 （11）：7377－7385.