胡倩倩 馮 寶 李 冬

1(南瑞集團(tuán)有限公司(國(guó)網(wǎng)電力科學(xué)研究院有限公司) 江蘇 南京 210000) 2(南京南瑞國(guó)盾量子技術(shù)有限公司 江蘇 南京 210000) 3(國(guó)網(wǎng)山東省電力公司信息通信分公司 山東 濟(jì)南 250000)

0 引 言

隨著科技的發(fā)展和經(jīng)濟(jì)的進(jìn)步,社會(huì)對(duì)電力資源的需求不斷增加,也對(duì)電力系統(tǒng)提出了更高的要求。為了使電力系統(tǒng)朝著更加穩(wěn)定、高效、節(jié)能、安全的方向發(fā)展,智能電網(wǎng)受到了廣泛的關(guān)注。作為一種數(shù)字化、自動(dòng)化的電網(wǎng)系統(tǒng),智能電網(wǎng)具有信息量大、信息接入方式多樣、通信網(wǎng)絡(luò)復(fù)雜等特點(diǎn),這些特點(diǎn)給信息安全帶來(lái)了更大的挑戰(zhàn)。2015年12月23日,烏克蘭國(guó)家電網(wǎng)發(fā)生大規(guī)模的停電事故,原因是變電站的控制系統(tǒng)遭到黑客入侵[1-2]。該事件充分體現(xiàn)了變電站乃至整個(gè)智能電網(wǎng)中測(cè)控信息保密傳輸?shù)闹匾浴?/p>

信息的保密傳輸離不開加密,目前主流的加密方案是以RSA算法為代表的非對(duì)稱加密方案[3]。此類加密方案的安全性依賴于經(jīng)典計(jì)算機(jī)求解特定問(wèn)題(如因子分解問(wèn)題)的困難性。Shor在1994年提出的因子分解算法[4],在時(shí)間復(fù)雜度方面相比于目前最佳的經(jīng)典算法有著指數(shù)級(jí)加速,這意味著當(dāng)前的公鑰密碼體制無(wú)法抵抗量子計(jì)算機(jī)的攻擊。2019年,Google公布了53量子比特超導(dǎo)量子處理器Sycamore,在特定問(wèn)題的求解上超越了當(dāng)時(shí)性能最強(qiáng)的超級(jí)計(jì)算機(jī)[5]。這表明量子計(jì)算機(jī)逐漸走向?qū)嵱没碾A段,其對(duì)于公鑰密碼體制造成的威脅與日俱增。

根據(jù)經(jīng)典信息論,采用“一次一密”的對(duì)稱加密方案,可以實(shí)現(xiàn)絕對(duì)的通信安全性[3,6],即使量子計(jì)算機(jī)也無(wú)法對(duì)其產(chǎn)生威脅。該方案要求通信雙方在通信前進(jìn)行密鑰分發(fā),經(jīng)典密鑰分發(fā)難以保證密鑰的安全性,而量子密鑰分發(fā)(Quantum Key Distribution, QKD)則具有無(wú)條件的安全性,這種安全性依賴于量子力學(xué)的基本原理[7-8]。著名的QKD協(xié)議有BB84協(xié)議、B92協(xié)議等[9-10]。這些協(xié)議都含有隨機(jī)選取測(cè)量基的步驟,因此在協(xié)議過(guò)程中必然涉及隨機(jī)數(shù)生成的環(huán)節(jié)。

隨機(jī)數(shù)的生成必須滿足不可預(yù)測(cè)性,而經(jīng)典力學(xué)無(wú)法保證這一特性。在經(jīng)典計(jì)算中,隨機(jī)數(shù)是由特定的生成算法和隨機(jī)種子來(lái)產(chǎn)生的,一旦算法流程和隨機(jī)種子被確定,其生成的數(shù)值也可被確定[11]。因此,經(jīng)典的隨機(jī)數(shù)從理論上是可以預(yù)測(cè)的,這會(huì)在一些應(yīng)用中產(chǎn)生安全隱患。例如在BB84協(xié)議中,竊聽者如果獲得了發(fā)送者產(chǎn)生的隨機(jī)數(shù),將能夠在不被發(fā)現(xiàn)的情況下獲取完整的密鑰信息。量子力學(xué)具有內(nèi)在的隨機(jī)性,利用量子隨機(jī)性來(lái)產(chǎn)生隨機(jī)數(shù)的設(shè)備稱為量子隨機(jī)數(shù)發(fā)生器(Quantum Random Number Generator, QRNG),相比于經(jīng)典的隨機(jī)數(shù)發(fā)生器,其具有物理上的不可預(yù)測(cè)性[12]。目前的QRNG實(shí)現(xiàn)方案主要依賴于光學(xué)系統(tǒng),如基于光子計(jì)數(shù)、基于光子到達(dá)時(shí)間、基于光子到達(dá)位置等[13-15]。

1 基礎(chǔ)知識(shí)

1.1 BB84協(xié)議

1.1.1 協(xié)議流程與安全性分析

Bennett和Brassard于1984年提出了一種量子密鑰分發(fā)協(xié)議,后被稱為BB84協(xié)議[9]。協(xié)議中使用了兩種不同的基{|0>,|1>}和{|+>,|->},其中|+>和|->定義如下。

(1)

BB84協(xié)議具體流程如下[7, 9]:

1) Alice隨機(jī)生成2個(gè)長(zhǎng)度為(4+δ)n的比特串,分別記為a和b。如果b中某一位的比特是0,則將a中相應(yīng)位置的比特制備為|0>或|1>;如果b中某一位的比特是1,則將a中相應(yīng)位置的比特制備為|+>或|->,如圖1所示。

圖1 經(jīng)典比特與量子態(tài)的對(duì)應(yīng)關(guān)系

2) Alice將制備的量子比特串發(fā)送給Bob。

3) Bob收到長(zhǎng)度為(4+δ)n的量子比特串,隨機(jī)生成一個(gè)長(zhǎng)度為(4+δ)n的比特串b′,如果b′中某一位的比特是0,則用{|0>,|1>}基測(cè)量相應(yīng)位置的量子比特;如果b′中某一位的比特是1,則用{|+>,|->}基測(cè)量相應(yīng)位置的量子比特。最后得到長(zhǎng)度為(4+δ)n的比特串a(chǎn)′。

4) Alice和Bob分別公布并對(duì)比比特串b和b′的值,如果其中相同比特的數(shù)量不少于2n則協(xié)議繼續(xù),否則協(xié)議終止。

5) Alice和Bob根據(jù)相同比特的位置保留a和a′中前2n個(gè)相應(yīng)的比特,記為c。

6) Alice選擇c中的n個(gè)比特作為校驗(yàn)比特并告訴Bob。 雙方公布并比較校驗(yàn)比特的值,如果不同比特的數(shù)量多于可接受的值,則認(rèn)為有竊聽者存在,協(xié)議終止。

7) Alice和Bob利用剩下的n個(gè)比特作為最終密鑰。

下面簡(jiǎn)要說(shuō)明BB84協(xié)議的安全性。假設(shè)竊聽者為Eve,由于未知量子態(tài)無(wú)法被克隆,因此Eve只能對(duì)Alice發(fā)送的量子比特進(jìn)行測(cè)量而無(wú)法備份。由于Alice發(fā)送的每個(gè)量子比特有4種可能的狀態(tài),且Alice并未公布她在步驟1)中隨機(jī)生成的比特串b,如果Eve對(duì)某些量子比特使用了錯(cuò)誤的基進(jìn)行測(cè)量,將有一半概率獲得錯(cuò)誤的結(jié)果,并導(dǎo)致量子比特的狀態(tài)發(fā)生改變。這可能導(dǎo)致步驟6)中Alice和Bob的校驗(yàn)比特產(chǎn)生差異,從而使他們發(fā)現(xiàn)竊聽者的存在。

1.1.2 協(xié)議中的隨機(jī)數(shù)安全問(wèn)題

BB84協(xié)議的安全性有一個(gè)重要的前提,即步驟1)中Alice隨機(jī)生成的比特串a(chǎn)和b對(duì)于Alice以外的人是絕對(duì)保密的。如果這一前提無(wú)法滿足,則整個(gè)協(xié)議的安全性將不復(fù)存在。以下分兩種情況進(jìn)行分析:

情況1:假設(shè)Eve獲取了比特串a(chǎn)的值,根據(jù)步驟4)中Alice和Bob公開的b和b′值,便可知道應(yīng)該保留a中的哪些比特,從而確定比特串c的值。之后再丟棄步驟6)中Alice選擇的校驗(yàn)比特,便可得到最終密鑰。

情況2:假設(shè)Eve獲取了比特串b的值,則可以截取Alice在步驟2)中發(fā)送的量子比特串并用b所對(duì)應(yīng)的基進(jìn)行測(cè)量。這樣Eve測(cè)量所用的基與Alice制備所用的基完全相同,因此Eve便在不改變量子比特狀態(tài)的情況下獲得了比特串a(chǎn)的值。之后的分析與情況1相同。

在以上兩種情況中,不僅Eve能夠獲得最終的密鑰,Alice發(fā)送的量子比特狀態(tài)也不會(huì)發(fā)生改變,這意味著通信雙方無(wú)法發(fā)現(xiàn)竊聽者Eve的存在。

1.2 F-M系統(tǒng)

量子密鑰分發(fā)的實(shí)現(xiàn)離不開硬件系統(tǒng)的支持,Mo等[16]在2005年提出并實(shí)現(xiàn)了一種基于Faraday-Michelson干涉儀的量子密鑰分發(fā)系統(tǒng),簡(jiǎn)稱為F-M系統(tǒng)。該系統(tǒng)能夠自動(dòng)地補(bǔ)償環(huán)境擾動(dòng)所引起的偏振變化,有效消除長(zhǎng)距離傳輸中偏振態(tài)對(duì)量子密鑰分發(fā)系統(tǒng)穩(wěn)定性的影響。

F-M系統(tǒng)的結(jié)構(gòu)如圖2所示。由激光二極管(laser diode, LD)發(fā)射的激光脈沖被耦合器C1分為兩束脈沖。沿短臂傳輸?shù)拿}沖被Faraday旋轉(zhuǎn)鏡FM1反射并返回到C1,而沿長(zhǎng)臂的脈沖由相位調(diào)制器PMa調(diào)制,并由Faraday旋轉(zhuǎn)鏡FM2反射,經(jīng)過(guò)一定時(shí)延后回到耦合器C1。兩束脈沖在量子信道中耦合并發(fā)送給Bob。脈沖到達(dá)耦合器C2后再次被分為兩組。沿短臂傳輸?shù)拿}沖被Faraday旋轉(zhuǎn)鏡FM3反射并返回到C2,沿長(zhǎng)臂傳輸?shù)拿}沖由相位調(diào)制器PMb進(jìn)行調(diào)制,并由Faraday旋轉(zhuǎn)鏡FM4反射,經(jīng)過(guò)一定時(shí)延后回到耦合器C2。由于DL1與DL2時(shí)延相等,僅經(jīng)過(guò)一次調(diào)制的兩束脈沖將同時(shí)到達(dá)耦合器C2并發(fā)生干涉,之后被單光子雪崩二極管(Single-photon avalanche diode, SPAD)探測(cè)到。通過(guò)控制PMa和PMb,Alice和Bob可以完成基于單光子的量子密鑰分發(fā)協(xié)議,如BB84協(xié)議。

圖2 F-M系統(tǒng)結(jié)構(gòu)

1.3 基于光子到達(dá)時(shí)間的QRNG

1.3.1 光子到達(dá)時(shí)間的隨機(jī)性

在一段時(shí)間間隔(t,t+T)內(nèi),連續(xù)激光的光子數(shù)量n服從參數(shù)為λT的泊松分布[14],如式所示:

(2)

根據(jù)泊松分布的性質(zhì),對(duì)于在時(shí)間間隔(t,t+T)內(nèi)到達(dá)的一個(gè)光子,其在每個(gè)時(shí)刻到達(dá)的概率是相等的。如圖3所示,以一個(gè)周期為T的脈沖信號(hào)作為參考信號(hào),將每個(gè)時(shí)間區(qū)間內(nèi)光子到達(dá)的相對(duì)時(shí)間記為tr,則tr服從(0,T)上的均勻分布。將該時(shí)間間隔T劃分成N個(gè)區(qū)間{τ1,τ2,…,τN},則根據(jù)tr所在的區(qū)間可以得到{1,2,…,N}中的一個(gè)隨機(jī)數(shù)。

圖3 光子到達(dá)時(shí)間的隨機(jī)性

1.3.2 基于光子到達(dá)時(shí)間的QRNG

Nie等[14]在2014年提出了一種基于光子到達(dá)時(shí)間的QRNG實(shí)現(xiàn)方案,其結(jié)構(gòu)如圖4所示。激光二極管LD發(fā)射的連續(xù)激光經(jīng)過(guò)光衰減器(Attenuator,ATT),其強(qiáng)度降到每段時(shí)間間隔T內(nèi)到達(dá)的平均光子數(shù)小于1的水平 。單光子雪崩二極管(Single-photon avalanche diode,SPAD)能夠探測(cè)光子的到達(dá)并產(chǎn)生脈沖信號(hào),該脈沖信號(hào)作為數(shù)字時(shí)間轉(zhuǎn)換器(Time-to-digital converter,TDC)的停止信號(hào),一個(gè)周期為T的外部周期脈沖信號(hào)作為TDC的開始信號(hào)。TDC的輸出作為現(xiàn)場(chǎng)可編程門陣列(Field programmable gate array,FPGA)的輸入,最后輸出原始的隨機(jī)比特串。原始的隨機(jī)比特串與均勻分布存在微小的偏差,通過(guò)在計(jì)算機(jī)上進(jìn)行一定的后處理,可以得到理想的均勻分布比特串。

圖4 基于光子到達(dá)時(shí)間的QRNG結(jié)構(gòu)

上述基于光子到達(dá)時(shí)間的QRNG能夠顯著消除實(shí)驗(yàn)數(shù)據(jù)中的偏差,生成幾乎為均勻分布的原始隨機(jī)比特串。相比于其他基于光學(xué)的QRNG實(shí)現(xiàn)方案,該方案具有隨機(jī)數(shù)生成速率高、設(shè)備簡(jiǎn)單的優(yōu)點(diǎn),因此具有較高的實(shí)用性。除非特別說(shuō)明,后文中提到的QRNG均為基于光子到達(dá)時(shí)間的QRNG。

2 基于QRNG的量子密鑰分發(fā)系統(tǒng)

2.1 系統(tǒng)結(jié)構(gòu)

2.1.1 光開關(guān)設(shè)計(jì)

本文系統(tǒng)的光路控制是通過(guò)機(jī)械式光開關(guān)來(lái)實(shí)現(xiàn),可選擇與切換光的傳播路徑。機(jī)械式光開關(guān)具有插入損耗低、隔離度大、使用壽命長(zhǎng)以及體積小等特點(diǎn),可實(shí)現(xiàn)任意兩條量子鏈路之間的動(dòng)態(tài)切換,如圖5所示,當(dāng)光開關(guān)與上方線路連接時(shí),端口P1與端口P2連通,當(dāng)光開關(guān)處于與下路線路連接時(shí),端口P1與端口P3連通。

圖5 光開關(guān)結(jié)構(gòu)

2.1.2 隨機(jī)數(shù)生成模塊設(shè)計(jì)

基于光子到達(dá)時(shí)間的QRNG的關(guān)鍵任務(wù)是將“光子到達(dá)時(shí)間”這一具有隨機(jī)性的物理量轉(zhuǎn)換為隨機(jī)數(shù),完成該任務(wù)的模塊稱為隨機(jī)數(shù)生成模塊(random number generation module, RNGM),其結(jié)構(gòu)如圖6所示。

圖6 隨機(jī)數(shù)生成模塊結(jié)構(gòu)

該模塊的輸入為經(jīng)過(guò)衰減后的激光,SPAD探測(cè)到光子時(shí)產(chǎn)生脈沖信號(hào),該脈沖信號(hào)作為TDC的停止信號(hào)。RNGM內(nèi)置一個(gè)信號(hào)源Ref,能夠產(chǎn)生一定周期的參考信號(hào),該信號(hào)同時(shí)作為TDC的開始信號(hào)。TDC的輸出作為FPGA的輸入。FPGA能夠產(chǎn)生接近均勻分布的原始隨機(jī)比特。對(duì)于原始隨機(jī)比特,使用Toplitz矩陣來(lái)提取最終的隨機(jī)比特[17-18],該過(guò)程同樣在FPGA中完成。因此,整個(gè)RNGM的輸出即為最終的理想隨機(jī)比特串。

2.1.3 整體結(jié)構(gòu)設(shè)計(jì)

在F-M系統(tǒng)的基礎(chǔ)上,使用光開關(guān)進(jìn)行光路控制,并使用隨機(jī)數(shù)生成模塊生成隨機(jī)比特串,最終的整體結(jié)構(gòu)如圖7所示。

圖7 基于QRNG的QKD系統(tǒng)整體結(jié)構(gòu)

相比于F-M系統(tǒng),該系統(tǒng)對(duì)Alice區(qū)域進(jìn)行了重新設(shè)計(jì)。首先是在激光二極管LD的輸出處添加光開關(guān)S1,當(dāng)其與端口P1連通時(shí),激光脈沖將傳向光衰減器ATT;當(dāng)其與端口P2連通時(shí),激光脈沖將傳向耦合器C1。其次是在ATT的輸出處添加光開關(guān)S2,當(dāng)其與端口P3連通時(shí),激光脈沖將經(jīng)過(guò)量子信道發(fā)送給Bob;當(dāng)其與端口P4連通時(shí),激光脈沖將進(jìn)入隨機(jī)數(shù)生成模塊RNGM。

2.2 分析與討論

上述量子密鑰分發(fā)系統(tǒng)可以用于基于單光子的量子密鑰分發(fā)協(xié)議。以BB84協(xié)議為例,其工作可以分為兩個(gè)階段。

第一個(gè)階段為隨機(jī)數(shù)生成階段。該階段中光開關(guān)S1與端口P1連通,S2與P4連通。LD發(fā)射的激光脈沖經(jīng)過(guò)ATT后進(jìn)入RNGM中,最后RNGM輸出長(zhǎng)度為n的隨機(jī)比特串a(chǎn)。重復(fù)這一步驟,可以得到長(zhǎng)度為n的隨機(jī)比特串b。第二個(gè)階段為密鑰分發(fā)階段。該階段中光開關(guān)S1與端口P2連通,S2與P3連通。此時(shí)系統(tǒng)的工作方式與傳統(tǒng)的F-M系統(tǒng)相同,Alice和Bob通過(guò)控制相位調(diào)制器PMa和PMb,可以完成BB84協(xié)議的后續(xù)步驟。

上述量子密鑰分發(fā)系統(tǒng)能夠?qū)崿F(xiàn)F-M系統(tǒng)的所有功能,也具有F-M系統(tǒng)的全部?jī)?yōu)點(diǎn),因此可以用于長(zhǎng)距離的光量子通信,并且具有強(qiáng)大的抗干擾能力。與F-M系統(tǒng)不同的是,本文提出的系統(tǒng)還集成了QRNG功能。在目前主流的方案中,上述兩個(gè)階段的任務(wù)一般由兩個(gè)獨(dú)立的硬件系統(tǒng)來(lái)完成。隨機(jī)數(shù)生成階段由獨(dú)立的RNG完成,密鑰分發(fā)階段則一般由F-M系統(tǒng)完成。下面根據(jù)RNG類型的不同,將本文的系統(tǒng)與兩種組合方案進(jìn)行對(duì)比。

(1) 獨(dú)立的經(jīng)典RNG與F-M系統(tǒng)的組合方案。經(jīng)典RNG采用確定性算法生成隨機(jī)數(shù),存在被預(yù)測(cè)的可能性;而QRNG利用的是物理上的隨機(jī)性,因此具有不可預(yù)測(cè)性。使用本文的系統(tǒng)可以避免隨機(jī)數(shù)泄露,提高安全性。

(2) 獨(dú)立的QRNG與F-M系統(tǒng)的組合方案。基于光子到達(dá)時(shí)間的QRNG與F-M系統(tǒng)存在重復(fù)的物理器件。本文的系統(tǒng)復(fù)用了一個(gè)激光二極管和一個(gè)光衰減器,并采用模塊化的方法,將QRNG中的其余器件封裝為RNGM接入F-M系統(tǒng)中。其優(yōu)點(diǎn)是在不降低隨機(jī)數(shù)安全性的同時(shí)降低了硬件成本。

3 結(jié) 語(yǔ)

智能電網(wǎng)的穩(wěn)定運(yùn)作離不開測(cè)控信息的安全傳輸,而安全傳輸?shù)那疤崾怯凶銐蚩煽康募用芊绞?。量子密鑰分發(fā)使得理論上絕對(duì)安全的“一次一密”方案成為可能,因此對(duì)測(cè)控信息的加密起到了關(guān)鍵作用。為了保證量子密鑰分發(fā)協(xié)議的正常執(zhí)行,需要對(duì)各個(gè)環(huán)節(jié)中存在的安全漏洞進(jìn)行修補(bǔ)。本文分析討論了隨機(jī)數(shù)生成環(huán)節(jié)中存在的安全隱患,之后結(jié)合基于光子到達(dá)時(shí)間的QRNG實(shí)現(xiàn)方案,對(duì)F-M系統(tǒng)進(jìn)行了改進(jìn)。只要利用光開關(guān)對(duì)線路進(jìn)行一定的改造,并接入RNGM,便可實(shí)現(xiàn)F-M系統(tǒng)的升級(jí)。改進(jìn)之后的量子密鑰分發(fā)系統(tǒng)不僅具有F-M系統(tǒng)的優(yōu)點(diǎn),還能有效地避免隨機(jī)數(shù)泄露所導(dǎo)致的安全問(wèn)題,為智能電網(wǎng)的安全運(yùn)作提供了進(jìn)一步保障。