BB84协议的安全性分析及计仿真研究1

1BB84协议的安全性分析及计仿真研究第一章绪论1.1引言秘密通信是人类长久以来的愿望。计算机的出现和互联网普及，促使这种愿望变为一种必然需要(对于银行交易、电子商务、个人档案和Internet通信等)。一般情况，有两种方法可以保证消息安全的传输到接收方而不被第三方（未授权者）在传输过程中截取消息的内容。一种方法就是隐藏消息本身的存在，如通过不可见的墨水来写消息；另一种方法是通过加密所传输的消息。密码技术特别是加密技术是信息安全技术的核心，它与网络协议等安全技术相结合，成为解决认证、数据加密、访问控制、电子签名、防火墙和电子货币等的关键技术。研究传输信息采取何种秘密的交换，以确保不被第三方截获信息。密码技术可分为密码编制学和密码分析学。密码编制学是寻求产生安全性高的有效密码算法，以满足对消息进行加密或认证的要求；而密码分析学是破译密码或伪造认证码，实现窃取机密信息或进行诈骗破坏活动。传统的加密系统，不管是对私钥技术还是公钥技术，其密文的安全性完全依赖于密钥本身的秘密性。由于截获者的存在，从技术层面上来说，真正的安全很难保证，而且密钥的分配总是会在合法使用者无从察觉的情况下被消极窃听[1]。近年来，由于量子力学和密码学的紧密结合，演变出了量子密码学（QuantumCryptography），它可以完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统，它从根本上解决了通信线路被消极窃听的问题。已经有研究表明，使用量子力学的特征可以实现两个陌生人之间通信的完美保密。1.2传统密码通信密码通信主要是依赖密钥、加密算法、密码传送、解密算法、解密的保密来保证其安全性，它的基本目的使机密信息变成只有自己或合法授权的人才能认出的乱码。具体操作时都要使用密码将明文（被屏蔽的消息）变成密文（屏蔽后的消息），称为加密，密码称为密钥。完成加密的规则称为加密算法，将密文传送到接收方称为密码传送，把密文变成明文称为解密，完成解密的规则称为解密算法。传统密码通信的最大难题是被人破译而却不被察觉，从而导致严重的后果。一般而言，传统保密通信可分作两大类，一是非对称密码系统(asymmetricalcryptosystem)另一是对称密码系统(symmetricalcryptosystem)。传统保密通信原理如图1.1所示。原理图中Alice和Bob是一般通讯中信息发送者和信息接收者的代称。Alice对信息明文2做加密变换𝐸𝑘，得到密文C；C通过信道传送到Bob，Bob对C做解密变换𝐷𝐾′，恢复出明文M。如果使用对称密码算法，则K=𝐾′，如果使用非对称密码系统，则K与𝐾′不同。整个通信系统的安全性寓于密钥之中。非对称密码系统（又称公钥加密体系）是基于单向函数(onewayfunction)即给定x，很容易计算出F（x），但其逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。举例而言，RSA(Rivest，shamir，Adleman)是具有代表性的公开密钥算法，其保密性建立在分解有大素数因子的合数的基础上。公钥体系由于其简单方便的特性在最近20年得以普及，现代电子商务保密信息量的95%依赖于RSA算法[[2]。但其存在以下主要缺陷：首先，人们尚无法从理论上证明算法的不可破性，尽管对于己知的算法，计算所需的时间随输入的比特数呈指数增加[3l，我们只要增加密钥的长度即可提高加密体系的安全性，但没人能够肯定是否存在更为先进的快速算法；其次，随着量子计算机技术的迅速发展，以往经典计算机难以求解的问题，量子计算机可以迎刃而解。例如应用肖氏(Shor's)量子分解因式算法可以在多项式时间内轻易破解加密算法[4]对称密码系统（又称私钥加密体系）是基于公开算法和相对前者较短的私钥。例如DES（DataEncryptionstandard，1977）使用的便是56位密钥和相同的加密和解密算法。这种体系的安全性，同样取决于计算能力以及窃听者所需的计算时间。事实上，1917年由Vernam提出的“一次一密乱码本”（onetimePad）是唯一被证明的完善保密系统[5]。这种密码需要一个与所传消息一样长度的密码本，并且这一密码本只能使用一次。然而在实际应用中，由于合法的通信双方在获取共享密钥之前所进行通信的安全不能得到保证，这一加密体系未能得以广泛应用。现代密码学认为，任何加密体系的加、解密算法都是可以公开的，其安全性在于密钥的保密性。实际上，由于存在被动窃听的可能性，如果通信双方完全通过在经典信道上传输经典信息，则在双方之间建立保密的密钥是不可能的。然而，量子物理学的介入彻底改变了这一状况。1.3量子密码学介绍量子密码学（量子密钥分配QuantumKeyDistribution）是密码学与量子力学结合的产物，它利用了系统所具有的量子性质。以量子力学为基础的量子密码学可使密钥分配的保密性得到完全安全的保障[6][7]，QKD的安全性主要基于量子力学的基本原理与经典信息论的数据安全处理协议[8]，这种密钥分配方案将密钥信息编码在量子态中。由于量子的不可分性，窃听者（Eve）不能对传输中的量子密钥进行分流；又由于量子不可克隆（non-cloning）定理[9]，Eve也无法对传输中的密钥进行拷贝。更具体而言，量子密钥分配方案在原理上采用单个光子，根据海森堡测不准原理，测量这一量子系统会对该系统的状态产生不可逆转的干扰（波包的坍缩），窃听者所能得到的只是该系统测量前状态的部分信息，这一干扰必然会对合法的通信双方之间的通信造成差错。通过这一差错，Alice与Bob不仅能察觉出潜在的窃听者，而且可估算出窃听者截获信息的最大信息量，并由此通过传统的信息技术提出无差错的密钥。量子密码学的起源是1970年提出的“量子货币”方案[10]，即可利用单量子态制造不可伪造的“电子钞票”。但这个设想的实现需要长时间保存单量子态，不太现实。1984年，第一个量子密钥分配方案由Bennett与Brassard提出，这一方案又被称为BB84协议[11]，由此迎来了量子密码术的新时期。1991年，Eckert提出了一个使用EPR纠缠粒子对的QKD方案12]，其安全性基于Bell不等式。实际上，这两种方案的本质是一样的。1992年，Bennett又提出一种更简单，但效率减半的方案，即B92方案。1993年，Bennett等人提出了利用经典与量子结合的方法实现量子隐形传态的方案。随后，又有一些利用量子力学基本原理的QKD方案相继提出[13~16]，其中较有代表性的是由Bennett提出的基于两个非正交量子态3的协议（简称二态协议）[13]。量子密码术并不用于传输密文，而是用于建立、传输密码本。根据量子力学的不确定性原理以及量子不可克隆定理，任何窃听者的存在都会被发现，从而保证密码本的绝对安全，也就保证了加密信息的绝对安全。目前，在量子密码术实验研究上进展最快的国家为英国、瑞士和美国。在中国，量子密码通信的研究刚刚起步，比起国外目前的水平，我国还有较大差距。量子力学的研究进展导致了新兴交叉学科——量子信息学的诞生[17]，为信息科学展示了美好的前景。另一方面，量子信息学的深入发展，遇到了许多新课题，反过来又有力地促进了量子力学自身的发展。当前量子信息学无论在理论上，还是在实验上都在不断取得重要突破，从而激发了研究人员更大的研究热情。但是，实用的量子信息系统是宏观尺度上的量子体系，人们要想做到有效地制备和操作这种量子体系的量子态目前还是十分困难的。1.4工作安排论文的章节安排如下：第一章主要介绍传统密码通信和量子密码学的相关基础知识。第二章主要讲述量子力学的假设；量子信息的特性基础。第三章主要对BB84协议介绍并分别在无噪信道和有噪信道的情况下进行安全性分析。第四章设计并编程实现了BB84协议的仿真。第五章对全文进行总结，并对今后工作进行展望。4567[l」BrueeSehneier,应用密码学(第二版),机械工业出版社,2000.1[2]LiuWeitao.WuWei.FengShaohui.etal.ExperimentalQuantumKeyDistributioninFree-Space.国防科技大学第四届研究生学术活动节论文集，2004[3]ClaudeE.Shannon,Communicationtheoryofsecrecysystems,BessSystemTechnical1949Jounral,28,656-715[4]S.Chiangga,P.Zarda,T.Jennewein,etal,Towardspracticalquantumcryptography,1999Appl.Phys.B,69,389-3938[5]W.T.Butller,R.J.Hughes,P.G.Kwiat,etal,Free-spacequantum-keydistribution,Phys.Rev.A.57,2379-2382[6]Mayers,D.:eprintavailableatXXX.lanl.gov/abs/quantph/9802025美国洛斯阿拉莫斯国家实验室电子文档.[7]Lo,H-K.Chau,H.F.:UnconditionalSecurityofQuantumKeyDistributionoverArbitarilyLongDistances.Science.1999V61283,2050-2056[8]Hughes,R.J.,Morgan,G.L，andGlenPeterson,C.:Quantumkeydistributionover48kmopticalfibrenetwork.J.Mod.2000Opt.41,553-547[9]D'Ariano,GM.:ImpossibilityMeasuringtheWaveFunctionofSingleQuantumSystem.Phys.Rev.Lett.199676,28-32[10]苏汝铿.量子力学.北京:高等教育出版社2002.1284-123.[11]Bennett,C.H.,Brassard,G:Quantumcryptography:Publickeydistributionandcointossing.In:ProcessingoftheIEEEInternationalConferenceonComputers,Systems,andSignalProcessing,Bangalore,India,NewYork:IEEE1984175-179[12]Ekert,A.:QuantumcryptographybasedonBell'stheorem.Phys.Rev.Lett.67,1991661-663[13]Bennett,C.:Quantumcryptographyusingtwononorthogonalstates.Phys.Rev.Lett.68,19923121-3124[14]Hutner,B.,Imoto,N.,Mor,T:QuantumCryptographywithCoherentStates.Phys.Rev.A51,19951863-1869[15]Bruβ,D:Optimaleavesdroppinginquantumcryptographywithsixstates.Phys.Rev.Lett.81,19983018-3021[16]Goldenberg,L.,Vaidman,L.:QuantumCryptographybasedonOrthogonalStates.Phys.Rev.Lett.75,19951239-12439