誘騙態(tài)量子密鑰分發(fā)中不可區(qū)分假設(shè)的合理性和安全性驗(yàn)證

陳小明，陳 雷，閻亞龍

(1. 北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 海淀區(qū) 100876；2. 北京電子科技學(xué)院 北京 豐臺(tái)區(qū) 100070；3. 中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 合肥 230026)

量子密鑰分發(fā)(quantum key distribution, QKD)[1-5]是一種能夠?yàn)檫h(yuǎn)距離通信雙方(Alice 和Bob)提供信息論安全密鑰的技術(shù)。密鑰的安全性由量子力學(xué)原理[6-7]來(lái)保證。由于實(shí)際設(shè)備的不完美性，QKD可能面臨來(lái)自源端和探測(cè)端的雙重攻擊。一方面，理想的QKD 協(xié)議大多需要完美的單光子源。然而，由于當(dāng)前技術(shù)的限制，實(shí)際的QKD 系統(tǒng)經(jīng)常采用相位隨機(jī)化后的弱相干態(tài)(weak coherent state,WCS)光源來(lái)代替單光子源。WCS 光源發(fā)出的脈沖包含的光子數(shù)有時(shí)不只一個(gè)，竊聽者Eve 就可以利用多光子脈沖來(lái)獲取密鑰而不被Alice 和Bob 發(fā)現(xiàn)，這就是光子數(shù)分離(photon number splitting,PNS)[8-14]攻擊。該攻擊導(dǎo)致了極低的安全成碼率和安全傳輸距離。早期的PNS 攻擊[8-12]要求Eve 具有極強(qiáng)的技術(shù)水平，不易實(shí)現(xiàn)。后來(lái)，改進(jìn)型PNS[13-14]甚至在現(xiàn)有的條件下就能實(shí)現(xiàn)，這直接威脅了現(xiàn)有采用WCS 光源QKD 協(xié)議的安全性。幸運(yùn)的是，誘騙態(tài)方法[15-17]可以很好地抵抗各種類型的PNS 攻擊，顯著提高安全成碼率和最大安全傳輸距離。另一方面，QKD 還可能面臨來(lái)自探測(cè)端的攻擊，如偽態(tài)攻擊[18]、時(shí)移攻擊[19]等。測(cè)量設(shè)備無(wú)關(guān)的量子密鑰分發(fā)(measurement-device-independent quantum key distribution, MDI-QKD)[20]可 以 先 天 免疫所有探測(cè)端的攻擊，但是其安全密鑰率不高，不能突破PLOB 界[21]。2018 年，陸續(xù)提出的雙場(chǎng)量子密鑰分發(fā)(twin-field quantum key distribution, TFQKD)[22-24]成功突破了PLOB 界，大大提高了安全密鑰率和最大安全傳輸距離。需要注意的是，無(wú)論是MDI-QKD 還是TF-QKD，只要采用WCS 光源，就會(huì)面臨PNS 攻擊的威脅，因此同樣需要使用誘騙態(tài)方法?？傊?，對(duì)于誘騙態(tài)方法的研究仍然很有意義。

在誘騙態(tài)QKD 中，Alice 隨機(jī)地從不同強(qiáng)度的WCS 光源中發(fā)出信號(hào)態(tài)或誘騙態(tài)給Bob。同時(shí)，Alice 和Bob 假設(shè)Eve 不能區(qū)分信號(hào)態(tài)和誘騙態(tài)，從而導(dǎo)致信號(hào)態(tài)和誘騙態(tài)擁有相同的i光子透射率，這在誘騙態(tài)方法中是一個(gè)至關(guān)重要的假設(shè)。并且，這個(gè)假設(shè)還被應(yīng)用到誘騙態(tài)QKD 的安全性證明中。實(shí)際上，由于信號(hào)態(tài)和誘騙態(tài)的強(qiáng)度差異，二者的光子數(shù)概率分布是不同的?；诖耍珽ve 可以以一定概率區(qū)分信號(hào)態(tài)和誘騙態(tài)。一旦Eve 區(qū)分出了信號(hào)態(tài)和誘騙態(tài)，就可以分別對(duì)其執(zhí)行不同的PNS 攻擊策略，使其分別具有不同的i光子透射率。進(jìn)一步地，如果Eve 還能夠保證攻擊前后信號(hào)態(tài)和誘騙態(tài)的測(cè)量統(tǒng)計(jì)量不變，那么它就可以獲得最終密鑰而不被Alice 和Bob 發(fā)現(xiàn)。根據(jù)以上分析，基于不同強(qiáng)度導(dǎo)致的光子數(shù)概率分布差異，本文采用貝葉斯決策來(lái)區(qū)分信號(hào)態(tài)和誘騙態(tài)，發(fā)現(xiàn)同樣只能得到信號(hào)態(tài)和誘騙態(tài)具有相同i光子透射率的結(jié)論，這就驗(yàn)證了誘騙態(tài)QKD 中信號(hào)態(tài)和誘騙態(tài)不可區(qū)分假設(shè)的合理性。另外，分別對(duì)比單信號(hào)態(tài)QKD 和信號(hào)態(tài)+單誘騙態(tài)QKD 兩種情況下PNS 攻擊前后的安全密鑰率，結(jié)果表明前者攻擊成功，后者攻擊失敗，這就驗(yàn)證了誘騙態(tài)方法確實(shí)能夠抵抗PNS 攻擊。綜合來(lái)看，上述兩項(xiàng)研究?jī)?nèi)容驗(yàn)證了誘騙態(tài)方法的安全性。

1 誘騙態(tài)QKD

在誘騙態(tài)QKD 中，Alice 隨機(jī)地發(fā)送信號(hào)態(tài)(s)或 者誘騙態(tài) (d)。信號(hào)態(tài)和誘騙態(tài)的強(qiáng)度分別為μ和 ν 。 不失一般性，假設(shè)1 >μ>ν>0，由于使用WCS 光源，信號(hào)態(tài)和誘騙態(tài)的光子數(shù)均服從泊松分布。具體地，來(lái)自信號(hào)態(tài)和誘騙態(tài)的i光子態(tài)的概率分別為：

信號(hào)態(tài)和誘騙態(tài)的響應(yīng)率和量子比特錯(cuò)誤率(quantum bit error rate, QBER)分別為：

實(shí)際上，由于信號(hào)態(tài)和誘騙態(tài)的強(qiáng)度差異，二者的光子數(shù)概率分布是不同的?；诖?，Eve 是可以以一定概率區(qū)分信號(hào)態(tài)和誘騙態(tài)的，并由此導(dǎo)致式(4)可能不再成立。

在誘騙態(tài)QKD[25]中，使用WCS 光源的安全密鑰率下界為：

式中，q=1/2表示BB84 協(xié)議的基矢比對(duì)效率(如果使用高效的BB84 協(xié)議[26]，q≈1) ；f(x)是雙向糾錯(cuò)效率，通常f(x)≥1， 香農(nóng)極限時(shí)f(x)=1；H2(x)=?xlog2(x)?(1?x)log2(1?x)是 二進(jìn)制香農(nóng)熵；Y1和e1分別是單光子態(tài)的透射率和量子比特錯(cuò)誤率，它們可以通過(guò)誘騙態(tài)方法估計(jì)得到。

根據(jù)誘騙態(tài)QKD 的后處理方案[25]，可以得到Y(jié)1的 下界和e1的上界：

在正常信道中，信號(hào)態(tài)和誘騙態(tài)的響應(yīng)率和量子比特錯(cuò)誤率分別是：

式中，Y0和e0分別是暗計(jì)數(shù)率和相應(yīng)的量子比特錯(cuò)誤率；ed是一個(gè)光子觸發(fā)錯(cuò)誤探測(cè)器的概率，它刻畫了光學(xué)系統(tǒng)的穩(wěn)定性； η表示Alice 和Bob 之間的總透射率，記作 η=ηBob10?αL×10， 其中， ηBob是Bob 端的傳輸效率，包括光學(xué)組件的內(nèi)部傳輸效率和探測(cè)效率， α是衰減系數(shù)(dB/km)，L是信道長(zhǎng)度(km)。

2 貝葉斯決策區(qū)分信號(hào)態(tài)和誘騙態(tài)

假設(shè)樣本只可能來(lái)自兩個(gè)類，并且已知樣本的某項(xiàng)特征。在該特征條件下，確定樣本來(lái)自條件概率較大的類，這就是貝葉斯決策或最大后驗(yàn)概率估計(jì)。

不失一般性，假設(shè)Alice 等概率地發(fā)送信號(hào)態(tài)(s)或 者誘騙態(tài) (d)給Bob。Eve 攔截該量子態(tài)，然后通過(guò)量子非破壞性(quantum non-demolition, QND)[27-28]測(cè)量得到該量子態(tài)的光子數(shù)。根據(jù)貝葉斯決策理論，給定量子態(tài)的光子數(shù)，就判斷該量子態(tài)來(lái)自信號(hào)態(tài)和誘騙態(tài)中條件概率較大的態(tài)。用隨機(jī)變量M表示截獲量子態(tài)的來(lái)源，M∈{s,d}，用隨機(jī)變量N表示截獲量子態(tài)包含的光子數(shù)，N∈{0,1,2,···}。在光子數(shù)為i的條件下，截獲的量子態(tài)來(lái)自信號(hào)態(tài)和誘騙態(tài)的概率分別為：

因?yàn)樾盘?hào)態(tài)和誘騙態(tài)是等概率地從Alice 發(fā)出的，所以有P(M=s)=P(M=d)=1/2。式(8)和式(9)的分母相同，所以如果想比較P(M=s|N=i)和P(M=d|N=i)的 大 小，只 需 比 較P(N=i|M=s)和P(N=i|M=d)的 大小。實(shí)際上，P(N=i|M=s)就是。P(N=i|M=d)就 是。給定光子數(shù)i、信號(hào)態(tài)強(qiáng)度 μ和誘騙態(tài)強(qiáng)度 ν，和很容易通過(guò)式(1)得到。因此，Eve 只需要知道截獲量子態(tài)的光子數(shù)、信號(hào)態(tài)和誘騙態(tài)的強(qiáng)度，就可以根據(jù)貝葉斯決策判斷出該量子態(tài)來(lái)自信號(hào)態(tài)還是誘騙態(tài)。

假設(shè) 1>μ>ν>0，通過(guò)式(1)很容易得到<,>,(i>1)，就是說(shuō)，凡是空脈沖，Eve全都判為來(lái)自誘騙態(tài)；凡是非空脈沖，Eve 全都判為來(lái)自信號(hào)態(tài)?；诖耍珽ve 對(duì)信號(hào)態(tài)和誘騙態(tài)分別采用不同的透射率。定義和分別是Eve 根據(jù)貝葉斯決策設(shè)置的信號(hào)態(tài)和誘騙態(tài)i光子的透射率。具體地：

3 誘騙態(tài)方法抵抗光子數(shù)分離攻擊

在誘騙態(tài)方法的后處理過(guò)程中，安全密鑰只能從單光子成分中得到。在Eve 執(zhí)行PNS 攻擊之后，真正安全密鑰率的上限[30]是：

特別地，在文獻(xiàn)[29]中，有一種PNS 攻擊成功的判別準(zhǔn)則，即：

式中，Rsec代表的是Alice 和Bob 認(rèn)為安全的密鑰率，如果這個(gè)值大于Eve 攻擊之后真正安全的密鑰率REve，這就意味著Alice 和Bob 生成的一部分密鑰是不安全的。換言之，Eve 已經(jīng)知道了關(guān)于最終密鑰的部分信息。因此，可以說(shuō)Eve 的攻擊是成功的，反之，攻擊是失敗的。

式(5)和式(11)中Y1的值在計(jì)算上是不同的。Rdecoy中的Y1是Alice 和Bob 通過(guò)誘騙態(tài)方法的后處理過(guò)程估計(jì)得到的，即式(6)。REve中的Y1是Eve在PNS 攻擊中優(yōu)化得到的。當(dāng)Eve 執(zhí)行PNS 攻擊時(shí)，她可以任意改變i光子的透射率。為了不被Alice 和Bob 發(fā)現(xiàn)，Eve 需要保持攻擊前后的測(cè)量統(tǒng)計(jì)量不變。假設(shè)Eve 的攻擊對(duì)誤碼率的影響忽略不計(jì)，因此只需保證響應(yīng)率這一個(gè)統(tǒng)計(jì)量不變。根據(jù)文獻(xiàn)[31]可知，只需考慮包含6 光子及6 光子以下脈沖帶來(lái)的影響即可。即只需要優(yōu)化Y1,Y2,Y3,Y4,Y5,Y6以 求得真正的安全密鑰率REve的上限。特別地，令優(yōu)化后的Y0=0，這是因?yàn)槿绻鸈ve 收到了一個(gè)空脈沖，她轉(zhuǎn)發(fā)任何光子給Bob 都可能引入誤碼[29]。

3.1 單信號(hào)態(tài)QKD

首先考慮最原始的BB84-QKD 的情況，即只有一種WCS 光源發(fā)出脈沖——信號(hào)態(tài)。此時(shí)，Alice 和Bob 認(rèn)為單光子脈沖和多光子脈沖都能夠生成安全密鑰，并且認(rèn)為安全的密鑰率為Rsec=Rfull：

在只有信號(hào)態(tài)的情況下，根據(jù)前面的分析，在Eve 執(zhí)行PNS 攻擊之后，真正安全的密鑰率REve=Y1μe?μ的求解可以歸結(jié)為：

當(dāng)滿足以下條件：

式中，Y1,Y2,Y3,Y4,Y5,Y6∈[0,1]。通過(guò)計(jì)算，可以得到REve。如果這個(gè)值小于Alice 和Bob 認(rèn)為安全的密鑰率Rsec，表明Eve 攻擊成功。否則，攻擊失敗。

利用Matlab 進(jìn)行仿真。仿真參數(shù)主要來(lái)源于文獻(xiàn)[32-33]，是單信號(hào)態(tài)QKD 典型實(shí)驗(yàn)系統(tǒng)的參數(shù)，具體如表1 所示。

表1 單信號(hào)態(tài)QKD 仿真參數(shù)表

采用文獻(xiàn)[32]和[33]中的實(shí)驗(yàn)參數(shù)，當(dāng)QKD協(xié)議中只有一個(gè)WCS 光源發(fā)出脈沖即信號(hào)態(tài)，Eve 執(zhí)行PNS 攻擊并且保證攻擊前后信號(hào)態(tài)響應(yīng)率Qμ不變時(shí)，PNS 攻擊前后的安全密鑰率比較分別如圖1 和圖2 所示。由圖1 和圖2 可知，Alice和Bob 認(rèn)為安全的密鑰率Rfull大于Eve 攻擊之后真正安全的密鑰率REve，即Rsec=Rfull>REve，Eve 攻擊成功。即，Alice 和Bob 認(rèn)為安全的密鑰率并不安全。

圖1 采用文獻(xiàn)[32]的實(shí)驗(yàn)參數(shù)，只有信號(hào)態(tài)時(shí)，PNS 攻擊前后的安全密鑰率比較

圖2 采用文獻(xiàn)[33]的實(shí)驗(yàn)參數(shù)，只有信號(hào)態(tài)時(shí)，PNS 攻擊前后的安全密鑰率比較

3.2 信號(hào)態(tài)+單誘騙態(tài)QKD

考慮信號(hào)態(tài)+單誘騙態(tài)QKD 的情況。此時(shí)，Alice 和Bob 認(rèn)為只有單光子脈沖能夠生成安全密鑰，并且認(rèn)為安全的密鑰率為Rsec=Rdecoy，可以通過(guò)式(5)計(jì)算得到。

在信號(hào)態(tài)+單誘騙態(tài)QKD 的情況下，根據(jù)前面的分析，在Eve 執(zhí)行PNS 攻擊之后，真正安全的密鑰率REve=Y1μe?μ的求解可以歸結(jié)為一個(gè)優(yōu)化問(wèn)題。為了不被Alice 和Bob 發(fā)現(xiàn)，Eve 需要保持攻擊前后信號(hào)態(tài)的響應(yīng)率Qμ和誘騙態(tài)的響應(yīng)率Qν均不變。上述優(yōu)化問(wèn)題具體描述如下：

當(dāng)滿足以下條件：

式中,Y1,Y2,Y3,Y4,Y5,Y6∈[0,1]。通過(guò)計(jì)算，可以得到REve。如果這個(gè)值小于Alice 和Bob 認(rèn)為安全的密鑰率Rsec=Rdecoy，表明Eve 攻擊成功。否則，攻擊失敗。

利用Matlab 進(jìn)行仿真。仿真參數(shù)主要來(lái)源于文獻(xiàn)[29, 34]，是信號(hào)態(tài)+單誘騙態(tài)QKD 典型實(shí)驗(yàn)系統(tǒng)的參數(shù)，具體如表2 所示。

表2 信號(hào)態(tài)+單誘騙態(tài)QKD 仿真參數(shù)表

采用文獻(xiàn)[29]和[34]的實(shí)驗(yàn)參數(shù)，在信號(hào)態(tài)+單誘騙態(tài)QKD 中，Eve 執(zhí)行PNS 攻擊并且保證攻擊前后信號(hào)態(tài)響應(yīng)率Qμ和誘騙態(tài)響應(yīng)率Qν均不變，PNS 攻擊前后的安全密鑰率比較分別如圖3和圖4 所示。由圖3 和圖4 可知，Alice 和Bob認(rèn)為安全的密鑰率Rdecoy小于Eve 攻擊之后真正安全的密鑰率REve，即Rsec=Rdecoy

圖3 采用文獻(xiàn)[29]的實(shí)驗(yàn)參數(shù)，信號(hào)態(tài)+單誘騙態(tài)QKD時(shí)，PNS 攻擊前后的安全密鑰率比較

圖4 采用文獻(xiàn)[34]的實(shí)驗(yàn)參數(shù)，信號(hào)態(tài)+單誘騙態(tài)QKD時(shí)，PNS 攻擊前后的安全密鑰率比較

結(jié)合單信號(hào)態(tài)QKD 的攻擊結(jié)果，綜合來(lái)看，沒(méi)有誘騙態(tài)時(shí)，Eve 的PNS 攻擊是成功的；有誘騙態(tài)時(shí)，Eve 的PNS 攻擊是失敗的，這說(shuō)明了誘騙態(tài)存在的必要性，驗(yàn)證了誘騙態(tài)方法確實(shí)能夠抵抗PNS 攻擊。

4 結(jié) 束 語(yǔ)

本文首先利用誘騙態(tài)方法中信號(hào)態(tài)和誘騙態(tài)的唯一差異，即強(qiáng)度不同導(dǎo)致的光子數(shù)概率分布差異，結(jié)合貝葉斯決策，驗(yàn)證了誘騙態(tài)方法中信號(hào)態(tài)和誘騙態(tài)不可區(qū)分這一假設(shè)的合理性。另外，本文還通過(guò)單信號(hào)態(tài)QKD 和信號(hào)態(tài)+單誘騙態(tài)QKD 的兩個(gè)例子，分別對(duì)比分析PNS 攻擊前后的安全密鑰率，仿真結(jié)果表明沒(méi)有誘騙態(tài)時(shí)，Eve 的PNS攻擊是成功的；使用誘騙態(tài)時(shí)，Eve 的PNS 攻擊是失敗的，這說(shuō)明了誘騙態(tài)存在的必要性，驗(yàn)證了誘騙態(tài)方法確實(shí)能夠很好地抵抗PNS 攻擊。綜合來(lái)看，本文從以上兩個(gè)方面驗(yàn)證了誘騙態(tài)方法本身的安全性。