李智虎

國家電網(wǎng)互聯(lián)網(wǎng)技術(shù)研究院，北京市 100192

0 引言

移動互聯(lián)網(wǎng)時代的到來，密碼凸顯了越來越重要的作用。 而隨著量子計算技術(shù)的發(fā)展，經(jīng)典密碼，特別是經(jīng)典公鑰密碼算法，存在很大的安全隱患，為應(yīng)對后量子時代公鑰密碼存在的上述風(fēng)險，國際國內(nèi)都提出了后量子密碼(如NIST抗量子算法征集等)、量子密鑰分配等方案，其中，量子密鑰分配方案由于具備信息論安全，成為了后量子時代密碼的重要組成部分。

1 BB84 協(xié)議介紹

量子通信包括量子密鑰分配、量子隱形傳態(tài)、量子直接通信等。 目前量子密鑰分配是實(shí)用化程度最高的量子通信技術(shù)，主要包括離散變量(即單光子)和連續(xù)變量兩大技術(shù)途徑。 1984 年人們提出了第一個量子密鑰分配協(xié)議，即BB84協(xié)議。 之后，人們又提出了多種不同的協(xié)議，其中測量設(shè)備無關(guān)類協(xié)議因為可以抵御量子黑客針對探測系統(tǒng)的任意攻擊而備受關(guān)注，近兩年來，雙場干涉類協(xié)議因為在提高遠(yuǎn)距離成碼率上表現(xiàn)突出而成為該領(lǐng)域的研究熱點(diǎn)。 在所有的這些協(xié)議中，最成熟且應(yīng)用最廣的是BB84協(xié)議。

BB84 協(xié)議[1]按照編碼方式的不同，可以分為偏振編碼、相位編碼、頻率編碼等。 其安全性基于量子不可克隆、測不準(zhǔn)等量子力學(xué)基本原理，與竊聽者的計算能力無關(guān)。 協(xié)議具體過程如下:

(1)發(fā)送方Alice 隨機(jī)產(chǎn)生一系列隨機(jī)數(shù)(初始密鑰材料)，再隨機(jī)選擇一組基(從X 基和Z 基中隨機(jī)選擇)，將密鑰材料隨機(jī)制備到這組基對應(yīng)的量子態(tài)上。

(2)Alice 將加載了密鑰材料的量子態(tài)通過量子信道(光纖、自由空間等)發(fā)送給Bob。

(3)Bob 從X 基和Z 基中隨機(jī)選擇一組測量基，對接收到的光子進(jìn)行測量，記錄是否測到光脈沖，如果測到則根據(jù)探測器的響應(yīng)情況記錄對應(yīng)得到的比特信息。

(4)完成所有的光脈沖測量后，Bob 公布自己測到光脈沖的位置及對應(yīng)選擇的測量基，Alice 告訴Bob 哪些位置他們選擇了同樣的基，Alice 和Bob 保留這些位置的比特信息，扔掉選擇了不同基時對應(yīng)位置的比特信息。 這便得到了共享的初始密鑰。

(5)對上述初始密鑰再進(jìn)行錯誤率估計、糾錯、保密放大等經(jīng)典后處理即可獲得安全的最終密鑰，完成密鑰協(xié)商過程。

基于偏振編碼的BB84 協(xié)議示意圖如圖1所示，圖中省略了后處理等部分過程。

2 BB84 協(xié)議工程實(shí)現(xiàn)中存在的問題

我國在量子通信領(lǐng)域已經(jīng)走在世界的前列，但是目前量子通信還存在一些問題，尤其是在工程實(shí)現(xiàn)和實(shí)際應(yīng)用方面，需要較長時間來解決。

問題1. 經(jīng)典信道與量子信道的交互會形成信息泄漏點(diǎn)，例如協(xié)商前共享參數(shù)的分發(fā)、協(xié)商中交互信息的完整性保護(hù)等。

問題2. 非理想單光子源的使用是產(chǎn)生安全問題的一個風(fēng)險點(diǎn)，比如分束攻擊[2]等。 為抵抗該類攻擊，一般采用預(yù)共享數(shù)據(jù)加誘騙態(tài)方式，這樣對首次通信的雙方增加了困難。

問題3. 非理想單光子探測存在安全風(fēng)險。高性能單光子探測器實(shí)現(xiàn)技術(shù)難度比較大，理想單光子探測器在實(shí)際中并不存在。 實(shí)際使用的單光子探測器會有暗計數(shù)、低于100%的探測效率等非理想因素存在。 如果受到強(qiáng)光干擾，探測器可能會出現(xiàn)強(qiáng)光致盲。

問題4. 單光子衰減很大，目前點(diǎn)對點(diǎn)通信距離大約100 公里(2018 年提出的雙場協(xié)議能夠大大超過這個傳輸距離，但目前還無法實(shí)用)，超過這個距離就需要中繼，在量子中繼短期內(nèi)無法實(shí)用的情況下，目前只能采用可信中繼方案，而可信中繼必須落地，相當(dāng)于變成了三方通信或多方通信。 這種對中繼的可信安全要求也給量子通信帶來困難，要求有很強(qiáng)的訪問控制策略、權(quán)限管理以及物理安全防護(hù)。 如果要形成量子通信網(wǎng)絡(luò)則困難呈指數(shù)上升，特別是非群組通信組網(wǎng)，如何實(shí)現(xiàn)可信中繼成為亟待解決的問題。

問題5. 嚴(yán)格按照BB84 協(xié)議工程實(shí)現(xiàn)的話，Bob 用自己產(chǎn)生的一組隨機(jī)的基測量接收到的單光子信息后，應(yīng)該廣播公開自己的基，但很多工程實(shí)現(xiàn)中Bob 只和Alice 點(diǎn)對點(diǎn)通信，沒有第三方了解通信過程，這樣Bob 和攻擊者Eve 不可區(qū)分，容易被假冒。 非廣播形成了新的安全隱患，盡管可以通過預(yù)共享密鑰解決，但預(yù)共享密鑰又反過來給組網(wǎng)帶來了更大的困難，任何一個節(jié)點(diǎn)需要存儲和全網(wǎng)其他需要通信節(jié)點(diǎn)的共享密鑰(蛻化成了只用對稱算法的密鑰管理體系，而量子密鑰分配系統(tǒng)之后，對稱密碼算法仍不可或缺)。

問題6. 攻擊者Eve 可以截獲很少的單光子進(jìn)行測量，每個單光子正確測得其結(jié)果的概率為75%(以1/2 概率猜對基，猜錯基的情況下仍有1/2 概率正確測量)，盡管后續(xù)有保密放大機(jī)制，以及對信道誤碼率進(jìn)行估計，超過閾值則無法獲得安全密鑰。 在信道信噪比變化較大的狀況下，Eve 依然可以獲得少量密鑰材料而不被發(fā)現(xiàn)，至少降低了暴力攻擊的難度，從這個角度來看，量子密鑰分配達(dá)不到經(jīng)典密碼中密鑰傳輸“不泄露一比特密鑰”的安全性要求。

問題7. 可能存在不確定的側(cè)信道攻擊，目前的BB84 協(xié)議，可以使用偏振、相位、頻率、時間、路徑等維度進(jìn)行量子態(tài)編碼，但是選擇的編碼維度與其他維度可能有關(guān)聯(lián)(目前難以確定關(guān)聯(lián)度)，攻擊者可以根據(jù)信息關(guān)聯(lián)度進(jìn)行側(cè)信道攻擊(近期人們提出了編碼側(cè)信道免疫協(xié)議，但目前還無法實(shí)用)。

問題8. 量子通信系統(tǒng)很脆弱，監(jiān)聽往往會導(dǎo)致成碼率的下降，甚至無法成碼而導(dǎo)致通信中斷，健壯性不如傳統(tǒng)網(wǎng)絡(luò)(但經(jīng)典網(wǎng)絡(luò)同樣存在類似問題，比如切斷光纜，互聯(lián)網(wǎng)同樣不可用)。

3 針對上述問題的改進(jìn)

3.1 目前已有的安全措施

針對上述可能存在的風(fēng)險和隱患，目前已有以下安全措施:

(1)針對問題1，BB84 協(xié)議必須有經(jīng)典信道與量子信道，且敏感參數(shù)需要在兩個信道中交互，可以通過高度集成，外圍安全加固等方法增加信道交互安全性。

目前也存在一些不需要經(jīng)典信道的量子通信協(xié)議，例如清華大學(xué)龍桂魯團(tuán)隊的直接量子通信協(xié)議[3]，接收方產(chǎn)生隨機(jī)的一組基發(fā)送給信息發(fā)送方，發(fā)送方不進(jìn)行測量，而是做操作實(shí)現(xiàn)編碼，例如比特1 則進(jìn)行90 度旋轉(zhuǎn)(U 變換)，比特0 則不做任何操作，發(fā)回接收方，接收方根據(jù)正確的基測量，一定能正確測量，實(shí)現(xiàn)譯碼。

(2)針對問題2，為消除非理想單光子產(chǎn)生安全性風(fēng)險，一般采用誘騙態(tài)方法[4]及低的平均光子數(shù)(例如平均意義下每次發(fā)送0.2-0.4個光子)方式實(shí)現(xiàn)其安全性。

(3)針對問題3，為消除非理想單光子探測安全風(fēng)險，一是采用一些測量設(shè)備無關(guān)的協(xié)議，但是這些協(xié)議對時間、相位同步等要求很高，目前尚未實(shí)用化；二是對BB84 協(xié)議，通過加強(qiáng)防護(hù)探測設(shè)備邊界，以及嚴(yán)格的訪問控制來實(shí)現(xiàn)；三是對一些特別的模式，例如針對廣泛使用的門控模式的雪崩光電二極管的單光子探測器實(shí)現(xiàn)的雪崩過渡區(qū)攻擊，可以通過歸一化探測時間分布分析來探測雪崩過渡區(qū)攻擊[5]。

(4)針對問題5，為防止Bob 和攻擊者Eve不可區(qū)分而被假冒，如前文所述，可以通過預(yù)共享密鑰解決，但每個節(jié)點(diǎn)需要存儲和全網(wǎng)其他需要通信節(jié)點(diǎn)的共享密鑰。

3.2 本文提出的改進(jìn)

針對本文第二節(jié)“BB84 協(xié)議工程實(shí)現(xiàn)中存在的問題”的問題4、6，本文提出以下解決方案。

發(fā)送方和接收方通過網(wǎng)狀，即多條線路，實(shí)現(xiàn)密鑰分量而不是全部密鑰的協(xié)商，完成多個密鑰協(xié)商后，再對密鑰分量進(jìn)行合成，網(wǎng)絡(luò)上任意一個節(jié)點(diǎn)都無法獲知所有的分量。 該方法天然抵御了可信中繼風(fēng)險，解決了目前工程上很難形成網(wǎng)狀節(jié)點(diǎn)的問題[問題4]，竊聽者通過截獲少量密鑰而猜測密鑰的幾個比特，變成了只能猜測密鑰分量的幾個比特，從而通信過程沒有泄露一個比特密鑰的可能[問題6]。

總體來說，量子通信、量子技術(shù)是高精尖技術(shù)，其成熟不是一蹴而就，由于量子通信理論上具備信息論安全，將其逐步完善，將會成為對抗量子計算的重要利器。