基于量子隨機數發生器的量子密鑰分發系統

胡倩倩 馮 寶 李 冬

1(南瑞集團有限公司(國網電力科學研究院有限公司) 江蘇 南京 210000) 2(南京南瑞國盾量子技術有限公司 江蘇 南京 210000) 3(國網山東省電力公司信息通信分公司 山東 濟南 250000)

0 引 言

隨著科技的發展和經濟的進步,社會對電力資源的需求不斷增加,也對電力系統提出了更高的要求。為了使電力系統朝著更加穩定、高效、節能、安全的方向發展,智能電網受到了廣泛的關注。作為一種數字化、自動化的電網系統,智能電網具有信息量大、信息接入方式多樣、通信網絡復雜等特點,這些特點給信息安全帶來了更大的挑戰。2015年12月23日,烏克蘭國家電網發生大規模的停電事故,原因是變電站的控制系統遭到黑客入侵[1-2]。該事件充分體現了變電站乃至整個智能電網中測控信息保密傳輸的重要性。

信息的保密傳輸離不開加密,目前主流的加密方案是以RSA算法為代表的非對稱加密方案[3]。此類加密方案的安全性依賴于經典計算機求解特定問題(如因子分解問題)的困難性。Shor在1994年提出的因子分解算法[4],在時間復雜度方面相比于目前最佳的經典算法有著指數級加速,這意味著當前的公鑰密碼體制無法抵抗量子計算機的攻擊。2019年,Google公布了53量子比特超導量子處理器Sycamore,在特定問題的求解上超越了當時性能最強的超級計算機[5]。這表明量子計算機逐漸走向實用化的階段,其對于公鑰密碼體制造成的威脅與日俱增。

根據經典信息論,采用“一次一密”的對稱加密方案,可以實現絕對的通信安全性[3,6],即使量子計算機也無法對其產生威脅。該方案要求通信雙方在通信前進行密鑰分發,經典密鑰分發難以保證密鑰的安全性,而量子密鑰分發(Quantum Key Distribution, QKD)則具有無條件的安全性,這種安全性依賴于量子力學的基本原理[7-8]。著名的QKD協議有BB84協議、B92協議等[9-10]。這些協議都含有隨機選取測量基的步驟,因此在協議過程中必然涉及隨機數生成的環節。

隨機數的生成必須滿足不可預測性,而經典力學無法保證這一特性。在經典計算中,隨機數是由特定的生成算法和隨機種子來產生的,一旦算法流程和隨機種子被確定,其生成的數值也可被確定[11]。因此,經典的隨機數從理論上是可以預測的,這會在一些應用中產生安全隱患。例如在BB84協議中,竊聽者如果獲得了發送者產生的隨機數,將能夠在不被發現的情況下獲取完整的密鑰信息。量子力學具有內在的隨機性,利用量子隨機性來產生隨機數的設備稱為量子隨機數發生器(Quantum Random Number Generator, QRNG),相比于經典的隨機數發生器,其具有物理上的不可預測性[12]。目前的QRNG實現方案主要依賴于光學系統,如基于光子計數、基于光子到達時間、基于光子到達位置等[13-15]。

1 基礎知識

1.1 BB84協議

1.1.1 協議流程與安全性分析

Bennett和Brassard于1984年提出了一種量子密鑰分發協議,后被稱為BB84協議[9]。協議中使用了兩種不同的基{|0>,|1>}和{|+>,|->},其中|+>和|->定義如下。

(1)

BB84協議具體流程如下[7, 9]:

1) Alice隨機生成2個長度為(4+δ)n的比特串,分別記為a和b。如果b中某一位的比特是0,則將a中相應位置的比特制備為|0>或|1>;如果b中某一位的比特是1,則將a中相應位置的比特制備為|+>或|->,如圖1所示。

圖1 經典比特與量子態的對應關系

2) Alice將制備的量子比特串發送給Bob。

3) Bob收到長度為(4+δ)n的量子比特串,隨機生成一個長度為(4+δ)n的比特串b′,如果b′中某一位的比特是0,則用{|0>,|1>}基測量相應位置的量子比特;如果b′中某一位的比特是1,則用{|+>,|->}基測量相應位置的量子比特。最后得到長度為(4+δ)n的比特串a′。

4) Alice和Bob分別公布并對比比特串b和b′的值,如果其中相同比特的數量不少于2n則協議繼續,否則協議終止。

5) Alice和Bob根據相同比特的位置保留a和a′中前2n個相應的比特,記為c。

6) Alice選擇c中的n個比特作為校驗比特并告訴Bob。 雙方公布并比較校驗比特的值,如果不同比特的數量多于可接受的值,則認為有竊聽者存在,協議終止。

7) Alice和Bob利用剩下的n個比特作為最終密鑰。

下面簡要說明BB84協議的安全性。假設竊聽者為Eve,由于未知量子態無法被克隆,因此Eve只能對Alice發送的量子比特進行測量而無法備份。由于Alice發送的每個量子比特有4種可能的狀態,且Alice并未公布她在步驟1)中隨機生成的比特串b,如果Eve對某些量子比特使用了錯誤的基進行測量,將有一半概率獲得錯誤的結果,并導致量子比特的狀態發生改變。這可能導致步驟6)中Alice和Bob的校驗比特產生差異,從而使他們發現竊聽者的存在。

1.1.2 協議中的隨機數安全問題

BB84協議的安全性有一個重要的前提,即步驟1)中Alice隨機生成的比特串a和b對于Alice以外的人是絕對保密的。如果這一前提無法滿足,則整個協議的安全性將不復存在。以下分兩種情況進行分析:

情況1:假設Eve獲取了比特串a的值,根據步驟4)中Alice和Bob公開的b和b′值,便可知道應該保留a中的哪些比特,從而確定比特串c的值。之后再丟棄步驟6)中Alice選擇的校驗比特,便可得到最終密鑰。

情況2:假設Eve獲取了比特串b的值,則可以截取Alice在步驟2)中發送的量子比特串并用b所對應的基進行測量。這樣Eve測量所用的基與Alice制備所用的基完全相同,因此Eve便在不改變量子比特狀態的情況下獲得了比特串a的值。之后的分析與情況1相同。

在以上兩種情況中,不僅Eve能夠獲得最終的密鑰,Alice發送的量子比特狀態也不會發生改變,這意味著通信雙方無法發現竊聽者Eve的存在。

1.2 F-M系統

量子密鑰分發的實現離不開硬件系統的支持,Mo等[16]在2005年提出并實現了一種基于Faraday-Michelson干涉儀的量子密鑰分發系統,簡稱為F-M系統。該系統能夠自動地補償環境擾動所引起的偏振變化,有效消除長距離傳輸中偏振態對量子密鑰分發系統穩定性的影響。

F-M系統的結構如圖2所示。由激光二極管(laser diode, LD)發射的激光脈沖被耦合器C1分為兩束脈沖。沿短臂傳輸的脈沖被Faraday旋轉鏡FM1反射并返回到C1,而沿長臂的脈沖由相位調制器PMa調制,并由Faraday旋轉鏡FM2反射,經過一定時延后回到耦合器C1。兩束脈沖在量子信道中耦合并發送給Bob。脈沖到達耦合器C2后再次被分為兩組。沿短臂傳輸的脈沖被Faraday旋轉鏡FM3反射并返回到C2,沿長臂傳輸的脈沖由相位調制器PMb進行調制,并由Faraday旋轉鏡FM4反射,經過一定時延后回到耦合器C2。由于DL1與DL2時延相等,僅經過一次調制的兩束脈沖將同時到達耦合器C2并發生干涉,之后被單光子雪崩二極管(Single-photon avalanche diode, SPAD)探測到。通過控制PMa和PMb,Alice和Bob可以完成基于單光子的量子密鑰分發協議,如BB84協議。

圖2 F-M系統結構

1.3 基于光子到達時間的QRNG

1.3.1 光子到達時間的隨機性

在一段時間間隔(t,t+T)內,連續激光的光子數量n服從參數為λT的泊松分布[14],如式所示:

(2)

根據泊松分布的性質,對于在時間間隔(t,t+T)內到達的一個光子,其在每個時刻到達的概率是相等的。如圖3所示,以一個周期為T的脈沖信號作為參考信號,將每個時間區間內光子到達的相對時間記為tr,則tr服從(0,T)上的均勻分布。將該時間間隔T劃分成N個區間{τ1,τ2,…,τN},則根據tr所在的區間可以得到{1,2,…,N}中的一個隨機數。

圖3 光子到達時間的隨機性

1.3.2 基于光子到達時間的QRNG

Nie等[14]在2014年提出了一種基于光子到達時間的QRNG實現方案,其結構如圖4所示。激光二極管LD發射的連續激光經過光衰減器(Attenuator,ATT),其強度降到每段時間間隔T內到達的平均光子數小于1的水平 。單光子雪崩二極管(Single-photon avalanche diode,SPAD)能夠探測光子的到達并產生脈沖信號,該脈沖信號作為數字時間轉換器(Time-to-digital converter,TDC)的停止信號,一個周期為T的外部周期脈沖信號作為TDC的開始信號。TDC的輸出作為現場可編程門陣列(Field programmable gate array,FPGA)的輸入,最后輸出原始的隨機比特串。原始的隨機比特串與均勻分布存在微小的偏差,通過在計算機上進行一定的后處理,可以得到理想的均勻分布比特串。

圖4 基于光子到達時間的QRNG結構

上述基于光子到達時間的QRNG能夠顯著消除實驗數據中的偏差,生成幾乎為均勻分布的原始隨機比特串。相比于其他基于光學的QRNG實現方案,該方案具有隨機數生成速率高、設備簡單的優點,因此具有較高的實用性。除非特別說明,后文中提到的QRNG均為基于光子到達時間的QRNG。

2 基于QRNG的量子密鑰分發系統

2.1 系統結構

2.1.1 光開關設計

本文系統的光路控制是通過機械式光開關來實現,可選擇與切換光的傳播路徑。機械式光開關具有插入損耗低、隔離度大、使用壽命長以及體積小等特點,可實現任意兩條量子鏈路之間的動態切換,如圖5所示,當光開關與上方線路連接時,端口P1與端口P2連通,當光開關處于與下路線路連接時,端口P1與端口P3連通。

圖5 光開關結構

2.1.2 隨機數生成模塊設計

基于光子到達時間的QRNG的關鍵任務是將“光子到達時間”這一具有隨機性的物理量轉換為隨機數,完成該任務的模塊稱為隨機數生成模塊(random number generation module, RNGM),其結構如圖6所示。

圖6 隨機數生成模塊結構

該模塊的輸入為經過衰減后的激光,SPAD探測到光子時產生脈沖信號,該脈沖信號作為TDC的停止信號。RNGM內置一個信號源Ref,能夠產生一定周期的參考信號,該信號同時作為TDC的開始信號。TDC的輸出作為FPGA的輸入。FPGA能夠產生接近均勻分布的原始隨機比特。對于原始隨機比特,使用Toplitz矩陣來提取最終的隨機比特[17-18],該過程同樣在FPGA中完成。因此,整個RNGM的輸出即為最終的理想隨機比特串。

2.1.3 整體結構設計

在F-M系統的基礎上,使用光開關進行光路控制,并使用隨機數生成模塊生成隨機比特串,最終的整體結構如圖7所示。

圖7 基于QRNG的QKD系統整體結構

相比于F-M系統,該系統對Alice區域進行了重新設計。首先是在激光二極管LD的輸出處添加光開關S1,當其與端口P1連通時,激光脈沖將傳向光衰減器ATT;當其與端口P2連通時,激光脈沖將傳向耦合器C1。其次是在ATT的輸出處添加光開關S2,當其與端口P3連通時,激光脈沖將經過量子信道發送給Bob;當其與端口P4連通時,激光脈沖將進入隨機數生成模塊RNGM。

2.2 分析與討論

上述量子密鑰分發系統可以用于基于單光子的量子密鑰分發協議。以BB84協議為例,其工作可以分為兩個階段。

第一個階段為隨機數生成階段。該階段中光開關S1與端口P1連通,S2與P4連通。LD發射的激光脈沖經過ATT后進入RNGM中,最后RNGM輸出長度為n的隨機比特串a。重復這一步驟,可以得到長度為n的隨機比特串b。第二個階段為密鑰分發階段。該階段中光開關S1與端口P2連通,S2與P3連通。此時系統的工作方式與傳統的F-M系統相同,Alice和Bob通過控制相位調制器PMa和PMb,可以完成BB84協議的后續步驟。

上述量子密鑰分發系統能夠實現F-M系統的所有功能,也具有F-M系統的全部優點,因此可以用于長距離的光量子通信,并且具有強大的抗干擾能力。與F-M系統不同的是,本文提出的系統還集成了QRNG功能。在目前主流的方案中,上述兩個階段的任務一般由兩個獨立的硬件系統來完成。隨機數生成階段由獨立的RNG完成,密鑰分發階段則一般由F-M系統完成。下面根據RNG類型的不同,將本文的系統與兩種組合方案進行對比。

(1) 獨立的經典RNG與F-M系統的組合方案。經典RNG采用確定性算法生成隨機數,存在被預測的可能性;而QRNG利用的是物理上的隨機性,因此具有不可預測性。使用本文的系統可以避免隨機數泄露,提高安全性。

(2) 獨立的QRNG與F-M系統的組合方案?；诠庾拥竭_時間的QRNG與F-M系統存在重復的物理器件。本文的系統復用了一個激光二極管和一個光衰減器,并采用模塊化的方法,將QRNG中的其余器件封裝為RNGM接入F-M系統中。其優點是在不降低隨機數安全性的同時降低了硬件成本。

3 結 語

智能電網的穩定運作離不開測控信息的安全傳輸,而安全傳輸的前提是有足夠可靠的加密方式。量子密鑰分發使得理論上絕對安全的“一次一密”方案成為可能,因此對測控信息的加密起到了關鍵作用。為了保證量子密鑰分發協議的正常執行,需要對各個環節中存在的安全漏洞進行修補。本文分析討論了隨機數生成環節中存在的安全隱患,之后結合基于光子到達時間的QRNG實現方案,對F-M系統進行了改進。只要利用光開關對線路進行一定的改造,并接入RNGM,便可實現F-M系統的升級。改進之后的量子密鑰分發系統不僅具有F-M系統的優點,還能有效地避免隨機數泄露所導致的安全問題,為智能電網的安全運作提供了進一步保障。