對反直觀量子密鑰分配系統的單光子分束攻擊方法

2023-07-06 11:58:01

專利名稱：對反直觀量子密鑰分配系統的單光子分束攻擊方法
技術領域：
本發明涉及量子保密通信技術，特別是指一種對反直觀量子密鑰分配系統的單光 子分束攻擊方法。
背景技術：
眾所周知，人們的生活離不開交流和溝通。從電報、電話等通信工具的出現，到通 信網、網際網路的飛快發展，人們的交流越來越便利，而需要交換的消息也與日俱增。出於某 種目的，人們往往只想讓所期望的人看到自己在公開信道中發送的消息，而不希望其它人 也得到這些信息。這一點在軍事領域和商業領域尤其突出。一條軍事機密的洩漏可能會導 致戰爭的潰敗，而一條商業機密的公開可能會給公司帶來巨額經濟損失。因此，隨著人們對 保密通信的迫切需要，密碼學研究也在不斷發展和壯大，其基本目的就是確保用戶間的消 息能夠在公開信道中可靠地傳輸。在密碼學中，通常稱消息發送者為Alice，接收者為Bob，而竊聽者為Eve。為了達 到保密的目的，Alice在發送消息前先利用加密密鑰，根據一定的加密算法將要發送的消息 M(即明文)加密，得到密文C，然後把密文C通過公開信道傳輸給Bob。Bob收到這些信息 後可以用相應的解密密鑰和解密算法由密文C恢復出明文M，從而得到Alice的真實消息。 一般地，由於竊聽者Eve不知道相應的解密密鑰，即使她竊聽到傳輸的密文C，也不能恢復 出明文消息M。這就是密碼學的基本思想。經典密碼體制(即現行密碼體制)主要包括對 稱密碼體制和公鑰密碼體制兩類，它們在應用中有各自的特點。對稱加密體制常用來直接 對明文消息進行加密和解密，它速度快且對選擇密文攻擊不敏感；公鑰密碼體制則擅長密 鑰分發及數字籤名等。因此在實際實現中一般採用混合密碼系統，即用公鑰密碼體制在通 信者之間分發會話密鑰，然後用會話密鑰通過對稱密碼體制來對通信消息進行保密。我們知道，大多數經典密碼協議的安全性是建立在計算複雜性基礎上的。也就是 說，竊聽者要想破譯一個密碼系統，需要在有限的時間(即秘密消息的有效期)內解決某 個計算難題。而根據計算複雜性假設，這種任務通常在當前人們的計算能力下很難實現。 這正是經典密碼體制的安全性基礎。但是，隨著人們計算能力的飛速提高和各種先進算 法(包括經典算法和量子算法)的提出，這種密碼體制的安全性受到了嚴峻挑戰。以1994 年 P. W. Shor 提出的量子並行算法(P. W. Shor. Algorithms for quantum computation discretelogarithms and factoring. Proceedings of the 35th Annual Symposium of Foundation of Computer Science, IEEEPress, LosAlamitos, CA, 1994)為例，它能在多項 式時間內解決大數因子分解難題。一旦這種算法能夠在量子計算機上付諸實施，現行很多 基於此類難題的公鑰密碼體制將毫無安全性可言。既然如此，人們希望找到一種新的密碼系統，代替公鑰密碼來完成分發會話密鑰 的任務。通過上面的分析可知，一套完整的密碼系統包括密鑰的安全分發和消息的保密傳 輸兩大部分。對於後者，一次一密亂碼本(One-Time Pad，簡記為OTP)已經能夠達到無條件 安全性。人們還需要找到一種安全的密鑰分發方法，這樣就能由它和OTP構成一套在安全性上趨近完美的密碼系統。隨著量子密碼的出現，這個使人們困擾已久的問題迎刃而解。量子密碼是密碼學與量子力學相結合的產物，不同於以數學為基礎的經典密碼體 制，其安全性由量子力學基本原理保證，與攻擊者的計算能力無關。根據量子力學性質，竊 聽者對量子密碼系統中的量子載體的竊聽必然會對量子態引入幹擾，於是被合法通信者所 發現。合法通信者能夠發現潛在的竊聽，這是量子密碼安全性的本質。因此，量子密碼具有 得天獨厚的優勢並逐漸成為密碼新技術中的一個重要研究分支。研究和實驗表明，量子密 碼很可能發展為下一代密碼技術的重要力量。量子密碼體制有著重要的潛在用戶，包括對安全性要求較高的軍用通信、金融交 易等。需要特別指出的是在現代戰爭中，安全通信的作用至關重要。而依賴計算複雜性假 設的經典密碼體制已經越來越不能滿足這種安全性要求。在世界各大國都在積極支持量子 密碼研究的趨勢下，落伍的一方必將在未來戰爭中被逼入絕境。況且一旦量子計算技術取 得突破，經典密碼體制可能會隨之崩潰，這時量子密碼系統將有更廣泛的潛在用戶，其市場 前景和經濟效益將非常可觀。由於量子密碼在理論上具有無條件安全性，它的出現引起了國際密碼學界和物理 學界的高度重視。其中量子密鑰分配(Quantum Key Distribution，簡記為QKD)是量子 密碼研究的重要課題，它在理論研究和實際系統實現方面都已經取得了重要進展。1984 年，IBM公司的C. H. Bennett和Montreal大學的G. Brassard提出第一個量子密鑰分配
方案-BB84 I^tX (C. H. Bennett and G. Brassard. Quantum cryptography :public-key
distribution and coin tossing. Proceedings of IEEE International Conference on Computers,Systemsand Signal Processing,IEEE,New York, Bangalore, India, 1984)。隨 後人們基於不同的量子力學性質，包括糾纏態、非正交態、單光子幹涉等，提出了多種各具 特色的QKD方案。在實際系統的實現方面，1989年，IBM公司和Montreal大學合作完成了 第一個量子密碼實驗，傳輸距離為30公分。1995年，瑞士日內瓦大學在日內瓦湖底鋪設的 23公裡長的民用光纜中進行了實地演示，誤碼率僅為3. 4%。2002年，德國慕尼黑大學和英 國軍方下屬的研究機構合作，在德國和奧地利邊境相距23. 4公裡的楚格峰和卡爾文德爾 峰之間用雷射成功傳輸了密鑰。2004年6月3日，世界上第一個量子密碼通信網絡在美國 麻薩諸塞州劍橋城正式投入運行。據最新報導，在自由空間信道和光線信道中，當前實現的 QKD系統最遠傳輸距離分別達到了 144公裡和250公裡，最高速率達到IMb/s以上。在國 內，2004年8月就已經實現了北京和天津之間120多公裡的QKD系統，並在2009年建成了 蕪湖量子政務網和量子保密電話網(T. Y. Chen,et al. Field test of apractical secure communication network with decoy-state quantum cryptography. Optics Express,17, 6540,2009)。相信在不久的將來，量子保密通信系統定會走入我們的日常生活，這種「量子 衛士」也將為我們的信息安全事業提供有力保障。2009年12月，韓國學者Tae-Gon Noh基於麥可遜幹涉儀(Michelson-type interferometer)提出了一種「反直觀」(Counterfactual)量子密鑰分配方案，並討論了此 QKD系統的具體實現。麥可遜單光子幹涉儀如圖1所示。圖中S代表單光子光源，C為 光學循環器(Circulator)，BS為分束器(Beam Splitter)，FM和D分別代表法拉第反射鏡 (Faraday Mirror)和光子探測器。作為微觀載體，光子具有波粒二象性，它可在不同的觀測 環境下呈現出波動性或粒子性。
麥可遜幹涉儀的運作原理如下光源S發射出單光子，光子經循環器C進入光路 (譬如光纖)C，進而入射到分束器BS。不妨假設BS的反射率和折射率分別為R和T (R+T = 1)，則分束後的量子態為|》= ^|o〉Ji〉fc+W^|i〉fl|o〉6(1)其中下標a和b表示不同光路，I 1>代表光路中有光子，I 0>代表光路中沒有光子。 此時如果在a路和b路放置光子探測器來觀察光路中是否有光子，則a路測到光子的概率 為R，b路測到光子的概率為T，且兩路中必有且只有一路中有光子。此時所體現的是光子 的粒子性。如果不測量光子所在的具體路線，經BS分束後，光子將分為兩個波包，分別沿a和 b路出射。經反射鏡FMl和FM2反射後，兩個波包會同時返回BS，進而產生幹涉。由於兩個 法拉第反射鏡會使信號產生相同的相移n，幹涉後c路幹涉相漲，d路幹涉相消，光子將確 定地出現在c路而不會出現在d路。由於c路的光子經循環器後進入e路，所以最終結果 是第二單光子探測器D2探測到光子，而第一單光子探測器Dl不會探測到。類似地，如果在 a路(或b路)對光信號進行相位調製，使得此路信號產生相移η，則測量結果將會相反， 光子會出現在d路被第一單光子探測器Dl探測到，而不會出現在c-e路被第二單光子探測 器D2探測到。此時所體現的是光子的波動性。反直觀QKD方案就是基於麥可遜幹涉儀設計的，其系統如圖2所示。Alice的 光源S在每個時隙發出一個單光子，每個光子隨機地處於水平偏振(記為I H 或垂直偏振 (記為|v>)，兩種偏振方式分別代表經典比特0和1。光子經過循環器C後入射到分束器 BS上，經BS後的狀態為以下兩態之一
_5] ^0)^^\0)a\H)b+i^R\H)a\0)b(2)
_6] \^)^\o)a\v)b+i^\v)a\o)b⑶因為BS不改變光子的偏振狀態，所以如果光子的初始偏振為|H>，則進分束器後 處於|Φο>態，反之則處於ΙΦΑ態。分束後的兩個波包將分別在a路和b路傳輸，其中a 光路(譬如光纖)全部在Alice的控制區域內，而b路將經過公開光纖信道傳送到Bob處。 注意這裡a路光纖長度須與b路長度相同，確保必要時兩個波包能在同一個時間返回到BS
產生幹涉。Bob雖然不知道Alice發送來的光信號是水平偏振還是垂直偏振，但他可以確定 地測量某一偏振方向的光信號。也就是說，假設Bob想測量|H>偏振的信號，且收到的信號 正好處於I H>偏振，則一定能產生測量波包的效果(參見上述麥可遜幹涉儀所體現出的 光的粒子性)，相反若收到的信號處於|V>偏振，則沒有產生測量效果，僅是將此波包反射 回去。類似地，Bob也可以選擇性地測量IH>偏振信號。圖2中的Bob處的裝置可以幫助 Bob實現這一目的。Bob先用極化分束器PBS將收到的波包按偏振方式區分開來。PBS的 作用是使入射進來的IH>信號直接透射至光路c，而使I V>信號反射。由圖2裝置可見，經 PBS反射的信號將在延時線圈OL中延時一個時間間隔δ，再經PBS反射到光路C。這樣， |Η>信號和IV>信號就會產生一個時間差δ，Bob就可以選擇測量其中的一種偏振信號，而 放過另一種。被放行的光信號經FM2反射，再經PBS返回給Alice。因為法拉第反射鏡在反 射同時可以將光信號的偏振方式進行轉換，所以能保證光信號(不論是水平偏振還是垂直
5偏振)在Bob區域經過一次且僅經過一次延時線圈0L，使得Bob處光路長度是固定值，而不 會因光子信號的偏振方式不同而不同。這樣，只需讓a光路與b光路(包括Bob區域的光 路)長度相同，即可保證兩個波包在同一時間返回到BS，進而產生幹涉。在反直觀QKD方案中，Bob在每一個時隙隨機測量|H>或|V>信號，而放行另一種 偏振光。不失一般性，假設Bob測量|H>信號。此時可能發生的情況如下1.如果Alice發送的光子處於相同的偏振，S卩|H>，則測量導致光子呈現粒子性。 根據量子力學，系統的量子狀態將由I φ。>塌縮為|0>」!1\(概率為10或|H>a|0>b(概率為 1-T)。也就是說，若Bob沒測到光子，則光子應該在a路，此時光子經FMl返回至BS時，系 統狀態變為= Vt7I^ lo^+^lo^li/^(4)注意g路光信號是經循環器C進入的。光子將被第一單光子探測器Dl或第二單 光子探測器D2探測到，概率分別為R和T。若Bob測到了光子(即第三單光子探測器D3響 應)，則a路必定沒有光子，因此第一單光子探測器Dl和第二單光子探測器D2都不會探測 到光子。2.如果Alice發送的光子處於不同的偏振，S卩| V〉，則Bob的測量不起作用，相當 於直接將信號放行。這種情況下兩個波包將同時返回到BS，產生幹涉。根據麥可遜幹涉 儀的性質，光子將必然會被第二單光子探測器D2探測到，而不會出現在第一單光子探測器 D1。對於Bob選擇測量I V>信號的情形，有類似結論。在此系統中，光源S某一時隙的發出的單光子，必然會被三個探測器Dl、D2和D3 之一探測到。可能發生的情況可總結如下1.如果Alice發出的光子偏振方向與Bob選擇測量的偏振方向不同，則光子必將 被第二單光子探測器D2探測到。2.如果Alice發出的光子偏振方向與Bob選擇測量的偏振方向相同，則有三種不 同情形(1)光子第一次經過BS時走a路，經FMl反射後第二次經過BS時走f路，被第一 單光子探測器Dl探測到。這種情況發生的概率為RT( —次反射，一次透射)。(2)光子第一次經過BS時走a路，經FMl反射後第二次經過BS時走g路，被第二 單光子探測器D2探測到。這種情況發生的概率為R2 (兩次反射)。(3)光子第一次經過BS時走b路，被第三單光子探測器D3探測到。這種情況發生 的概率為T (一次透射)。實際裝置中，探測器不但可以測得光子的存在，還可以測出光子所處的偏振態，即 |H>或|V>。當光子傳輸完畢後，Alice和Bob公開每個時隙中他們的探測器是否探測到 光子。如果只有第一單光子探測器Dl探測到光子，並且光子偏振方向與初始狀態相反，則 Alice和Bob將此光子的初始偏振方向作為密鑰比特，S卩|H>和|V>分別對應於0和1。此 時Bob知道上面的事件(1)發生，因此可推知光子的初始偏振方向必定與他測量的偏振方 向相同。對於不是只有第一單光子探測器Dl探測到光子的情況，Alice和Bob進一步公開 光子的初末偏振狀態，以及Bob所選擇測量的偏振方向，根據麥可遜幹涉儀的工作原理， 判斷是否存在竊聽。如果出現了違背幹涉儀工作原理、初末偏振狀態不相符、探測到不止一個光子等情況，視為一個錯誤。當然由於存在信道損失，可能出現三個探測器都不響應的情 況。按照以上步驟，Alice發送足夠多的光子，每個時隙中只有若且唯若第一單光子探 測器Dl探測到光子且光子初末偏振狀態相符時，Alice和Bob建立1比特密鑰，其它情況 可以用於檢測竊聽。最後如果錯誤率低於一定的閾值(此閾值與具體信道有關，不同的信 道取不同的值)，則認為沒有竊聽。然後將所得的密鑰比特進行糾錯和保密增強，建立最終 的安全密鑰。綜上所述，Alice每發送一個光子，建立1比特密鑰的概率為P = RT/2，因為R+T =1成立，所以當R = T = 1/2時，P取最大值1/8。因此實際系統中BS的反射率和透射率 可均為1/2，以達到最高的效率。如上QKD方案中，用於產生密鑰比特的光子並沒有在公開信道中傳輸，這一點可 由情形(1)得到。因此，直觀上來看，此方案沒有傳輸光子就建立了密鑰，這與之前人們對 QKD的認識大有不同，因此被稱為反直觀QKD方案。同時，因為產生密鑰的光子沒有在公開 信道傳輸(一直在Alice控制區域內)，所以可以認為它具有更高的安全性。基於以上特 點，這種反直觀QKD系統今後很可能會引起廣泛關注並投入使用。眾所周知，一個密碼系統 必須得通過不同攻擊方法的檢驗才能在實際生活中應用。由於反直觀QKD方案於2009年 剛剛被提出，目前對這種系統的安全性測試方法還很缺乏，還需要進行深入研究和分析。

發明內容
有鑑於此，本發明的主要目的在於提供一種對反直觀量子密鑰分配系統的單光子 分束攻擊方法。此方法可以使竊聽者Eve在噪聲掩飾下得到部分密鑰信息，同時不對合法 通信者Alice和Bob共享的密鑰串引入任何錯誤，進而不會被發現。它可以作為對此類QKD 系統的一種有效的安全性測試方法。為達到上述目的，本發明的技術方案是這樣實現的攻擊者Eve通過以下步驟進行竊聽LEve在Alice和Bob之間的公開信道中放置一個分束器，將信道中傳輸的每個波 包分成兩路信號；2. Eve將分出的兩路信號中的一路繼續沿原方向用無損信道發送給Bob，而另一 路留存在自己的控制範圍內；3.當兩路信號同時返回到Eve的分束器時，如果Eve的探測器檢測到光子，則Eve 發送一個同樣偏振方式的光子給Alice。如果Eve沒有檢測到光子，則不需要發送光子給 Alice。4.最後，對於Eve測到了光子，且Alice和Bob的探測器中只有第一單光子探測器 Dl探測到光子的時隙，Eve將所測得光子的偏振方式作為Alice和Bob在此時隙所建立的 密鑰比特。所述步驟1中的分束器的透射、反射比例為1 1。同時Eve的分束器所在位置應 該儘可能靠近Alice —端，這是因為Eve的攻擊將從本應被Bob測到的光子中分出一部分， 使得Bob測得光子的概率比正常情況下少了 50%，Eve必須通過用無損信道代替正常信道 來達到用信道噪聲來掩飾竊聽的目的。這種更換無損信道的攻擊方法在噪聲信道下QKD的分析中很常見。因此，替換的信道越長，即Eve的分束器離Alice越近，對Eve來說就更有 利。所述步驟2包括(2. l)Eve用無損信道替換掉自己到Bob之間的公開信道；(2. 2) Eve通過分束器在她與Bob之間搭建一個新的麥可遜幹涉儀，其輸入為 Alice發來的信號。分束後控制在Eve手中的一路信號將在延時線圈中傳輸，並經法拉第反 射鏡反射回分束器。線圈的長度與發送到Bob的那一條光路相同，使得兩路信號可以同時 返回到分束器產生幹涉。所述步驟3中包括以下幾種不同情況(3. 1)如果Bob沒有測量收到的信號(即測量的是不同的偏振方向)，則兩路信號 返回Eve的分束器時會發生幹涉，合併成一路信號返回給Alice。(3.2)如果Bob測量了收到的信號(即測量的偏振方向與Alice發送的光子相 同)，且測到了光子，則不會再發生任何幹涉，Eve不會測到光子，此時她不需要給Alice發 送任何光子。(3. 3)如果Bob測量了收到的信號但沒測到光子，並且Eve也沒測到光子，此時光 子必將被Alice檢測到，Eve不需要給Alice發送任何光子。(3. 4)如果Bob測量了收到的信號但沒測到光子，並且Eve測到了光子，此時 Alice的線圈中必沒有光子。為掩飾自己的存在並使Alice和Bob在此時隙建立密鑰比特， Eve需要發送一個同樣偏振方向的光子給Alice。所述步驟4中包括以下幾種不同情況(4. 1)對應於(3. 1)的情形，返回到Alice的分束器上的兩束信號將產生幹涉，光 子將確定地被Alice的第二單光子探測器D2檢測到。根據QKD方案，此情形不產生密鑰比 特。(4. 2)對應於(3. 2)的情形，Alice將不會測到任何光子。同樣此情形不產生密鑰 比特。(4. 3)對應於(3. 3)的情形，Alice的兩個探測器中將有一個測到光子。如果是第 一單光子探測器Dl，Alice和Bob將在此時隙建立密鑰比特，而Eve不能得到此密鑰比特的 信息。反之不建立密鑰比特。(4. 4)對應於(3. 4)的情形，Alice的兩個探測器中將有一個測到光子。如果是第 一單光子探測器Dl,Alice和Bob將在此時隙建立密鑰比特，而Eve能獲得此密鑰比特(即 探測到光子的偏振方向)。反之不建立密鑰比特。所述的得到密鑰信息是指，如果Eve測得的光子處於水平偏振，則密鑰比特為0， 反之密鑰比特為1。所述的探測器均不但能檢測到光子的存在與否，還能在有光子存在時測出其偏振 方向。所述步驟1中，Eve可以根據信道噪聲的大小來決定對多大比例的時隙進行竊聽， 其標準是使得由於竊聽而使Bob測到光子的頻數減小的部分，正好等於由於信道噪聲而使 Bob測到光子的頻數減小的部分。也就是說，使得竊聽正好被噪聲所掩蓋，Bob測得光子的 頻數與噪聲情形下完全相同。
8
本發明提供了一種對反直觀量子密鑰分配系統的有效攻擊方法。它可以使Eve利 用對單光子信號分束的方法，達到「從Bob 口中分一杯羹」的目的。雖然此QKD系統中Alice 和Bob有很多檢測竊聽的指標，但巧妙的設計使得此方法不但讓Eve可以獲得部分密鑰信 息(具體比例將在具體實施方式
中給出)，還不會使Alice和Bob共享的密鑰串產生任何 錯誤，同時此竊聽具有不改變D3的檢測概率、不改變第一單光子探測器Dl和第一單光子探 測器D2的相對檢測概率的特點，再加上在實際應用中還有信道噪聲、多光子信號等非理想 因素的掩飾，這種竊聽很難被發現。因此，本方法可以對此類反直觀QKD系統進行有效的攻 擊ο


圖1為現有技術中的麥可遜幹涉儀裝置原理示意圖；圖2為現有技術中的反直觀QKD系統裝置示意圖；圖3為本發明的對反直觀QKD系統的單光子分束攻擊原理示意圖；圖4為本發明的對反直觀QKD系統的單光子分束攻擊方法流程圖；圖5為現有技術中的可檢測光子極化方式的單光子探測器原理示意圖。
具體實施例方式為使本發明的目的、技術方案表達得更加清楚，下面結合附圖及具體實施方式
作 進一步詳細說明。本發明提供了一種對反直觀量子密鑰分配系統的單光子分束攻擊方法。此方法利 用麥可遜幹涉儀的工作原理，通過分束器對信道中傳輸的單光子信號進行分束，同時使 用無損信道將減弱後的信號發送給接收方。通過這種方法，竊聽者可以獲得部分密鑰比特， 並且能將自己的竊聽用信道噪聲所掩蓋，不會被合法通信者所發現。此攻擊方法簡單有效， 可作為一種對此類QKD系統的安全性測試方法。圖3是此攻擊方法的工作流程，假設攻擊對象為圖2所示的QKD系統，其中Alice 的分束器透射率和反射率為T = R = 1/2 (達到傳輸效率最大值)，則此攻擊包括步驟如下 (如圖4所示)1. Eve根據Alice和Bob之間的信道傳輸效率，確定竊聽光子的比例。假設信道傳輸效率為δ，即Alice發送的光信號中，能成功完成信道傳輸的信號 與在信道傳輸中丟失掉的信號比例為S I-S。則在沒有竊聽的正常情況下，Bob在每個 時隙測得光子的概率為
(5>在有竊聽情況下，Eve將噪聲信道替換為無損信道，其竊聽比例(即進行竊聽的時 隙佔總時隙數的比例)為
(6)容易驗證，此時Bob在每個時隙測得光子的概率為pf =1*(1_全」*1 = | =仏(7)即Eve的竊聽不會引起Bob測得光子頻數的變化，進而不會被通信者所發現。當然從目前實驗結果來看，光纖信道對單光子信號的傳輸效率很低，一般來說δ 1，表示Eve通常可以對所有時隙進行竊聽，並且替換後的信道可以 不必為無損信道，可以是更容易實現的低損信道，只要使得在有、無竊聽兩種情況下Bob測 得光子的頻數不變即可。因此為了描述方便，在本例中我們假設Eve對所有時隙的光信號 進行竊聽。2. Eve在Alice和Bob之間的公開信道中放置分束器BS2 (如圖4所示)，將傳輸 的光信號進行分束。BS2的反射、透射比也可取為1 1。分束後的h路信號留在自己的延 時線圈0D2中，i路信號用無損信道發送給Bob。此時系統的狀態變為以下兩態之一|φ。〉= \\0)α |0〉Λ |醜〉,+i|0)fl |//〉Λ |0〉, +j=\H)a |0)J0)(.(8)IO1)=全 |o〉fl |ο)Λ\v\ +i|o)a Ioyi +^=\v)a |o)A |o〉,.(9)兩個狀態分別對應於Alice的初始光子偏振方向為ι H>和| V>的情形。可見此時 光子可能存在於a，h和i三個光路中的一個之中。此外，光路h和光路i (包括Bob的光路 部分)長度相同，以確保兩路信號能夠同時返回到BS2。3.如果Eve的單光子探測器D4探測到光子，則Eve產生一個偏振方向相同的光子 並通過光路b發送給Alice。反之如果D4沒有響應，則Eve不需採取任何措施。根據Bob所採取的不同測量方式和測量結果，可分為以下幾種不同情況(3. 1)如果Bob沒有測量收到的信號(即測量的是不同的偏振方向)，則兩路信號 返回Eve的分束器時會發生幹涉，合併成一路信號返回給Alice。此時單光子探測器D4不 會響應。(3.2)如果Bob測量了收到的信號(即測量的偏振方向與Alice發送的光子相 同)，且測到了光子，則不會再發生任何幹涉。此時單光子探測器D4不會響應。(3. 3)如果Bob測量了收到的信號但沒測到光子，系統的狀態將變為以下兩態之
_] |w0) = j||o>Ji/>A+)j||i/>Jo>A(10)此時若Eve也沒測到光子(即單光子探測器D4不響應)，則光子必將被Alice探 測到，Eve不需要給Alice發送任何光子。(3. 4)如果Bob測量了收到的信號但沒測到光子，並且Eve的單光子探測器D4測 到了光子，此時Alice的線圈中必沒有光子。為掩飾自己的存在並使Alice和Bob在此時 隙建立密鑰比特，Eve需要發送一個同樣偏振方向的光子給Alice。4.對於第一單光子探測器Dl和第四單光子探測器D4測到光子，同時第二單光子 探測器D2和第三單光子探測器D3沒測到光子的情況，Eve記錄下D4所測得光子的偏振方 向，得到此時隙Alice和Bob建立的密鑰比特，即D4測到的|H>和|V>分別意味著光子的 初始偏振為|V>和IH>(經過法拉第反射鏡的反射後，D4測到的光子偏振方向與初始值相反)，分別代表密鑰比特1和0。由反直觀QKD方案可知，Al ice和Bob只有在Dl測到光子 而D2、D3沒測到光子的情況下得到1比特密鑰。所以此時Alice和Bob將根據光子的初始 偏振方向建立1比特密鑰，即初始偏振|H>和|V>分別代表0和1。可見Eve將正確得到此 密鑰比特。 下面計算Eve能夠獲得密鑰比特的概率，即Eve最終獲得的密鑰信息在Alice和 Bob所得密鑰中所佔的比例。如果Alice和Bob在某個時隙能獲得密鑰，則Bob測量了收到 的信號且沒測到光子，測量後系統的量子態為(10)或(11)。當h路的信號返回到BS2時， 在BS2的作用下，系統量子態變為以下兩態之一 |Ω。〉=去 |00〉jH〉廣(夬 |0禮+馮—〉flft)|0〉j m> = ^|00)fljF)
I
K
Jfl^L
I。〉,.
(12)
(13) 因此，Eve的探測器D4檢測到光子的概率為h = 1 = 1/6，測不到光子的概率為Pj = C1= 1/6。如果D4沒測到光子，則系統的量子態將塌縮為
2/ |r0〉= ^|o//〉flb+^|//o〉ab
lab
.萬丨
以上量子態經過BSl時，狀態變化為
2/丨…\
丨々苗卯〉,|Λ0) =2-i y/lO
IA1) =2- ι ^Ol
可見此時第
Ps-I =2-i λ/ 0
(14) (15)
(16) (17)
fs ^O 『『 "//g
可見此時第一單光子探測器Dl和第二單光子探測器D2檢測到光子的概率分別為
1 2
1 一 2 Il
_
M =
Ti-/ P
2
因此，Eve可獲得密鑰比特的比例為 ^ 1
(18) (19)
(20)
Pj^Pj^f^ + Pj^Pf.i 6
式中Pp μ = 1/2，表示Eve測到光子後，發送一個同樣偏振方式的光子給Alice， 這時Alice的第一單光子探測器Dl探測到光子的概率。因此，通過以上攻擊方法，Eve可 獲得16. 7%的密鑰信息。這個信息洩露比例對量子密鑰分配協議的安全性來說是致命的。
本發明中，Eve的攻擊裝置類似於Alice的裝置，主要包括麥可遜幹涉儀(包括 單光子源、單光子探測器、分束器、極化分束器等)。發明中用到的可檢測光子極化狀態的單 光子探測器，可以由圖5中的裝置來實現。它由一個極化分束器PBS及兩個單光子探測器 Dl和D2組成。如果有一個極化狀態為I H>的光子從a路入射，則經PBS後會透射到b路，被第一單光子探測器Dl探測到。相反如果光子極化態為IV〉，則經過PBS後會反射進入c 路，進而被第二單光子探測器D2探測到。因此，在這個「複合」探測器中，若Dl響應，則表 示檢測到偏振態為|H>的光子；若D2響應，則表示檢測到偏振態為|V>的光子；若Dl和D2 均未響應，則表示沒有探測到光子。這樣就實現了可檢測光子極化狀態的單光子探測器。需要補充說明的是，雖然我們在上述的說明中是以反射、透射比為1 1的分束器 和無損信道為例來說明本發明的原理，但對於其他比例的分束器、以及其它低損信道來說， 本發明所提供的方法依然適用，即分束器的反射、透射比例及替換信道的性能可根據實際 情況進行調節。總之，本發明可以用與通信雙方類似的設備實現了對反直觀量子密鑰分配 系統的有效攻擊。以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。凡在 本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明的保護 範圍之內。
1權利要求
對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵在於，包括以下步驟(1)攻擊者Eve在發送者Alice和接收者Bob之間的公開信道中放置一個分束器，將信道中傳輸的每個波包分成兩路信號；(2)Eve將分出的兩路信號中的一路繼續沿原方向用無損或低損信道發送給Bob，而另一路留存在自己的控制範圍內；(3)如果Eve的探測器檢測到光子，則Eve發送一個光子給Alice；如果Eve沒有檢測到光子，則不需要發送光子給Alice；(4)對於Eve測到了光子，且Alice和Bob的探測器中只有第一單光子探測器探測到光子的時隙，Eve將所測得光子的偏振方式作為Alice和Bob在此時隙所建立的密鑰比特。
2.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於Eve在攻擊前根據Alice和Bob之間公開信道的傳輸效率，確定所竊聽光子的比例； 對於要竊聽的時隙，執行所述的步驟(1)_(4)。
3.根據權利要求2所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於所述的竊聽光子的比例，應使得Bob在有竊聽和無竊聽情況下收到光子的比例無變 化。
4.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於步驟(1)中分束器的反射、透射比為1 1，其位置在公開信道中最靠近Alice的一端。
5.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於步驟(2)所述的無損或低損信道，其傳輸效率應滿足使得Bob在有竊聽和無竊聽情況 下收到光子的比例無變化。
6.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於步驟(2)所述的留在Eve控制範圍內的一路信號，其光路總長度等於發送到Bob—路 的光路總長度，且光路中間有法拉第反射鏡將信號反射，保證兩路信號能夠同時返回到Eve 的分束器。
7.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於步驟(3)所述的發射光子給Alice，指Eve自己產生一個光子，其偏振方式與Eve所 測得光子的偏振方式相同，並沿Alice和Bob之間的公開信道發送給Alice。
8.根據權利要求1所述的對反直觀量子密鑰分配系統的單光子分束攻擊方法，其特徵 在於步驟(4)所述的將光子偏振方式作為密鑰比特，其解碼方法與Alice相同，水平偏振 和垂直偏振分別代表比特值為1和0。
全文摘要
本發明公開了一種對反直觀量子密鑰分配系統的單光子分束攻擊方法，涉及量子保密通信技術。該方法利用分束器將信道中傳輸的單光子信號分束，截獲其中的一部分信號，同時將另一部分信號用無損或低損信道傳送給接收方。根據麥可遜幹涉儀的工作原理，當兩部分信號同時返回到分束器時會發生幹涉，此時若竊聽者測得光子，則發送一個光子給發送方，所測得光子的偏振方式即為密鑰比特。該方法可以使竊聽者在噪聲掩飾下得到部分密鑰信息，同時不對合法通信者分配的密鑰串引入任何錯誤。它提供了一種對反直觀量子密鑰分配系統的有效攻擊方法，同時也是對此類系統的一種有效的安全性測試方法。
文檔編號H04L9/08GK101931527SQ20101023482
公開日2010年12月29日 申請日期2010年7月23日 優先權日2010年7月23日
發明者張劼, 張華 , 溫巧燕, 秦素娟, 郭奮卓, 高飛 申請人:北京郵電大學