第四章量子密钥分发ppt课件.ppt
第四章 量子密钥分发,提纲,1 BB84协议和B92协议2 基于偏振编码的量子密钥分发系统的原理与实现3 基于相位编码的量子密钥分发系统的原理与实现4 基于纠缠的量子密钥分发系统的原理与实现5 基于诱骗态的量子密钥分发系统的原理与实现6 连续变量系统的量子密钥分发原理与实现7 量子密钥分发中的窃听与攻击,4.1 量子保密通信,4.1.1 量子保密通信系统,4.1.2 量子密钥分发的含义,(Quantum Key Distribution,QKD)通信双方以量子态作为信息的载体,通过量子信道传输,从而在通信双方之间协商出密钥的一种密钥分发方法。利用此密钥对经典信息进行一次一密,就可以进行理论上安全的通信。QKD的安全性是由量子力学的海森堡测不准原理,量子不可克隆定理和纠缠粒子的关联性和非定域性等来保证的。,4.2 BB84协议和B92协议,在量子密钥分发中,总是用一个光子携带一比特的信息。根据量子的不可分割性,这一比特的信息也是不可分的。光子的多个物理量可以用来携带这一比特的信息,例如:偏振、相位和自旋方向等。,4.2.1 BB84协议,1984年,美国IBM公司的研究员Bennett和加拿大蒙特利尔(Montreal)大学学者Brassard共同提出了利用光子偏振态来传输信息的量子密钥分发协议,简称BB84协议。,协议描述:,BB84协议采用四个非正交态为量子信息的载体,这四个态分属于两组共轭基,每组基内的两个态相互正交。两组基互为共轭是指:一组基中的任一基矢在另一组基中的任何基矢上的投影都相等,非正交态间无法通过测量彻底分辨。,协议描述:,协议的具体流程描述:,(1)Alice随机选择一串二进制比特。(2)Alice随机选择每一个比特转化成光子偏振态时所用的基,即垂直基或斜基。(3)Alice按照自己随机选择的基和二进制比特串来调制光子的偏振态(例:比特0对应水平偏振态和偏振态,比特1对应垂直偏振态和偏振态。)并将调制后的光子串按一定的时间间隔依次发送给Bob。(4)Bob对接收到的每一个光子随机选择测量基来测量其偏振态,将结果转换成二进制比特。,协议的具体流程描述:,(5)Bob通过经典信道告诉Alice他所选用的每个比特的测量基。(6)Alice告诉Bob哪个测量基是正确的并保留下来,其余的丢弃,得到原始密钥。(7)Alice和Bob从原始密钥中随机选择部分比特公开比较进行窃听检测,误码率小于门限值的情况下,进行下一步;否则认为存在窃听,终止协议。(8)Alice和Bob对协商后的密钥作进一步纠错和密性放大,最终得到无条件安全的密钥。,海森堡测不准原理和量子不可克隆定理保证了BB84协议的无条件安全性。即使窃听者Eve从量子信道中截获光子并进行测量,因为非正交态不可区分,Eve不能分辨每个光子的原始状态,因此窃听会干扰到量子态,进而被Alice和Bob发现。 量子密钥分发协议的安全检测基于概率统计理论。BB84量子密钥分发协议中,Alice和Bob需要随机的抽取测量结果进行误码率分析,这种抽样虽然在总的测量结果中占的比例不是很大,但需要大量数据。,BB84协议特点:,优点:被理论证明是一种无条件安全的分发密钥方式。另外它的量子信号制备和测量相对比较容易实现。缺点:通信双方随机的选择两组基来进行窃听检测,以保证量子密钥分发的安全性。传输过程中只有不超过50%的量子比特可用于量子密钥,量子比特的利用率低;两个量子态只能传输1比特有用经典信息,且四种量子态只能代表“0”和“1”两种码,编码容量也低。,4.2.2 B92协议,1、协议原理Hilbert空间中任意两个非正交量子比特 和 构造两个非对易投影算符; , (4.1) 和 将量子比特分别投影到与 和 正交的子空间上,得到: (4.2) 将消除量子比特 ,但是作用在 上将得到一个确定的测量结果。,同理, 将消除量子比特 ,但是作用在 上将得到一个确定的测量结果。出现的概率为: (4.3)由于 和 的非正交性,他们满足不可克隆定理。,B92协议流程,B92协议中只使用两种量子状态和。Alice随机发送状态或,Bob接收后随机选择“”基或“”基进行测量。如果Bob测量得到的结果是,可以肯定Alice发送的状态是。得到的结果是,可以肯定接收的状态是。如果Bob的测量结果是或,则不能肯定接收到的状态是什么。Bob告诉Alice他对哪些状态得到了确定的结果,哪些状态他不能确定,而不告诉Alice他选择了什么测量基。最后用得到确定结果的比特作为密钥。该协议有个弱点,只有无损信道才能保证协议的安全性。否则,Eve可以对量子态进行测量,如果根据测量结果能够确定接收到的状态,则重新制备量子态并发送,如果不能确定,则不进行重发。这样接收端的效率会降低,但不会带来错误。,具体协议流程描述:,(1)Alice随机准备一串二进制比特,并按照二进制比特串随机选择编码基来调制光子的偏振态(比特0对应水平偏振态,比特1对应45偏振态),将调制后的光子串按照一定的时间间隔依次发送给Bob。(2)Bob对接收到的每一个光子随机选择测量基进行测量。(3)Bob通过经典信道告诉Alice哪些位置获得确定的测量结果,但是并不公开选用的测量基。(4)Alice和Bob保留所有获得确定测量结果的量子比特和测量基,其余丢弃。(5)Alice和Bob从原始密钥中随机选择部分比特公开比较进行窃听检测,误码率小于门限值的情况下,进行下一步;否则认为存在窃听,终止协议。(6)Alice和Bob对协商后的密钥作进一步纠错和密性放大,最终得到无条件安全的密钥。,在没有攻击者和噪声影响的条件下, Bob的每一次获得确定测量结果为 或 的概率为: (4.4)而错误的概率为: (4.5),Hilbert空间中任意两个非正交量子比特是不可区分的,如果窃听者Eve对量子比特 和 进行操作,必然会引入错误。根据Alice和Bob的测量结果的关联性,他们能够检测出是否存在窃听。 B92协议的校验过程与BB84协议完全相同,区别在于存在窃听时的量子比特误码率。如果Alice发送给Bob一串比特,Bob只可能接收到25%的有用比特信息,B92的效率是BB84协议的1/2。,4.3 基于偏振编码的QKD系统的原理与实现,4.3.1发送端的组成不同偏振单光子源的产生,4.3.2 接收端的组成,4.3.3 同步,同步是量子密钥分发能正常工作的保证,在实验室环境下可以采用电信号同步,在实际应用中多采用光同步,可以采用单独的光纤线路进行同步,也可以采用不同的波长通过波分复用器在同一路光纤中进行传输 。 同步信号和单光子脉冲通过波分复用器进行复用,到达接收端后解复用,进行光电转换,用作单光子探测器的触发脉冲。,4.3.4 偏振,1、光的偏振态偏振是指波在与传播方向垂直的某些方向上振动较强,而在另一些方向上振动较弱,甚至没有振动的现象。发生偏振的根本原因是不同振幅的波相互叠加的结果。在与光的传播方向垂直的平面内,电矢量可能有各种不同的振动状态,这种振动状态称为偏振态。通常把电矢量振动方向与光传播方向的垂直方向构成的平面称为偏振面或振动面。根据偏振面所呈现的不同形态,可以把偏振态分为:完全偏振(线偏振、圆偏振和椭圆偏振),非偏振(自然光)和部分偏振。线偏振和圆偏振,可以看成为椭圆偏振的特殊情况,所以,完全偏振光可以用统一的方法来描述。,2、偏振态的描述,三角函数斯托克斯矢量琼斯矢量邦加球表示法,(1)斯托克斯参量表示法,斯托克斯参量表示法是一种最普遍、最全面的描述方法,所谓最普遍是指斯托克斯参量可用于表示完全偏振光、部分偏振光乃至自然光。它用一组物理量纲完全相同的参量-斯托克斯矢量( ),来描述偏振态。,斯托克斯矢量( )的定义: (4.6),不同光的斯托克斯参数( )满足:(1)全偏振光:(2)部分偏振光:(3)自然光:,(2)邦加球作图法,邦加球又称为布卡尔球,其概念于1982年又由布卡尔提出,它是在斯托克斯空间中 的球,球面上的各点与全部的偏振态一一对应。球面上任一点的经度和纬度为 和 ,这可与斯托克斯参量相结合。,(1)若 ,则p点在赤道上,表示方位角不同的线偏振光。 时,是水平线偏振光。 时,是垂直线偏振光。(2)若点在上半球面,对应于右旋椭圆偏振光。 若点在下半球面,对应于左旋椭圆偏振光。 (3)若点在北极,对应于右旋圆偏振光。 若点在南极,对应于左旋圆偏振光半球面,对应于左旋椭圆偏振光。,4.3.5 偏振控制,1、时分复用偏振控制,2、频分复用偏振控制,4.4 基于相位编码的QKD系统的原理与实现,4.4.1 相位编码QKD的原理,1、等臂长Mach-Zehnder干涉仪,基于等臂长Mach-Zehnder干涉仪的QKD方案,发送方通过激光器产生激光脉冲,通过衰减器衰减到单光子的级别。MZ干涉仪的定向耦合器可以用PBS代替。,2、双不等臂M-Z干涉仪,发送端和接收端分别有一个不等臂干涉仪,两个不等臂干涉仪的臂长满足l1+s2=s1+l2。经过发送端长臂和接收端短臂的光和经过发送端短臂和接收端长臂的光所经历的距离相等,会在接收端的单光子探测器处产生干涉。,要实现相位编码的QKD,就是在发送端和接收端MZ干涉仪的长臂上分别放置一个的相位调制器,这样产生干涉的两路光分别经历了一个相位调制器。 其情景就和单MZ干涉仪完全一致,相位的选择和工作原理分析也完全一致。 优点: 1. 两路干涉光在中间经过的是公共光纤,环境等对光子状态的影响可以认为是一致的,会互相抵消。 2. 收发端干涉仪臂长相等的条件比较容易满足,比较容易调整。,3、即插即用(plugplay)系统,基于双MZ干涉仪的基本原理,但是由于利用了法拉第镜,可以使得激光脉冲偏振态的变化在往返过程中自动补偿。,法拉第镜的作用 :,假设没有MZ干涉仪,光路经过长光纤到达法拉第镜,经其反射后再延长光纤回到发送端。法拉第镜会带来 的相位反转,因此单程所引起的偏振态的变化在返回过程中被自动补偿了,只是使得偏振态旋转 。,在接收端由激光器发送光脉冲,经过MZ干涉仪和相位调制器后到达发送端,在此过程中相位调制器不工作。光脉冲通过法拉第镜反射后,发送端利用相位调制器对经过长臂的光脉冲进行调制,由于法拉第镜带来的的相位反转,这个光脉冲在返回接收端的过程中会走MZ干涉仪的短臂。MZ干涉仪长臂的相位调制器对从法拉第镜返回的光子进行调制,这个光路在前往发送端的过程中走的是短之路。最终使得两路光同时到达单光子探测器,形成干涉,其后面的分析过程与相位编码的QKD一致。,即插即用方案的优点:,不用调整干涉仪的臂长来满足干涉条件,只要他们的臂差大于一定值,易于区分长短臂的光子即可。偏振态的改变会在往返过程中自动补偿。,4.4.2 相位编码QKD的实现,中国科学技术大学诱骗态双MZ干涉仪QKD原理图,东芝超快相位编码QKD实验原理框图,4.4.3 差分相移系统,差分相位编码是利用相邻脉冲的相位差来携带信息,脉冲在光纤传输过程中经历相同的相位、偏振变化,因此光纤中的起伏对相邻脉冲的相位差和相对偏振影响很小,这样就保证了差分相位编码量子密钥分发系统的干涉稳定性。差分相位编码继承了相位编码方案编码的速度快、抗干扰能力强、单程传输不受木马攻击、极限传输距离远的优点,对密钥生成率有很大的提高。,差分相移系统,4.5 基于纠缠的QKD系统的原理与实现,4.5.1 E91协议,协议流程描述 :,1由EPR纠缠源产生纠缠态 ,并将粒子A发送给Alice,粒子B发送给Bob。2Alice和Bob分别随机地选择测量基进行测量,Alice的测量基为(0,22.5和45),Bob的测量基为(22.5,45和67.5)。定义 分别为Alice和Bob的测量基,则其偏振相关系数为:,3Alice和Bob通过经典信道公布自己测量所使用的测量基。丢弃掉双方或者任一方没有测量到光子的部分,然后将剩余结果分为两类:使用相同测量基得到的结果和使用不同测量基得到的结果。4利用使用不同测量基的结果验证通信过程的安全性。 如果 ,则判断为有窃听者存在,放弃通信过程。 5如果判断信道安全,则使用第3步中使用相同测量基得到的结果来生成密钥。,4.5.2 基于纠缠的QKD的实现,基于纠缠的BB84协议,基于纠缠的B92协议,E91实验原理:,4.6 基于诱骗态的QKD系统的原理与实现,4.6.1 诱骗态量子密钥分发的由来,由于在量子密钥分发协议中理想情况下,要求的是精确的单光子源,但在现实中还没有理想的单光子源,通常都是用衰减器对激光进行衰减来近似的得到单光子源。但是衰减后的弱激光源的光子数目仍然服从泊松分布,因此在目前的高丢失率信道情况下对光子数目分割攻击就是不安全的。PNS(光子数目分割)攻击:由于现在还没有单光子源,所以在发送端Alice处就存在多个光子的情况,而且是突发的,不知道什么情况下是多光子。窃听者(Eve)可以采用这样一种攻击策略:首先测试所有脉冲的光子数,但是并不损害脉冲所携带的比特信息;,4.6.1 诱骗态量子密钥分发的由来,然后,采用合适的基对其保存的光子进行测量。假设信道的丢失率是L,通过率是y=1-L; 假设Alice端产生的单光子的概率是90%,多光子的概率是10%,在PNS攻击的情况下则Bob收到的脉冲数目是发送的脉冲数目的10%。我们可以发现,如果信道的通过率y小于多光子的概率,那么这个信道就是及其不安全的。所以,如果希望信道对PNS攻击是安全的,则要求 其中 是单光子源性能参数,当通过率y很低的时候,要求 很小,几乎应该是完全的单光子源。由于单光子源的不可能性,所以就产生了诱骗态密钥分发的方法。,4.6.2 诱骗态量子密钥分发的基本原理,在PNS攻击中,由于Eve将含有多个光子的脉冲传送给Bob,所以,多光子脉冲的通过率比单光子脉冲高。Alice可以随机的故意的用多光子脉冲(诱骗态)来代替部分信号脉冲。Won-Young Hwang是诱骗态量子密钥分发方法的发明者,他所提出的方法如下:Alice有一个信号源 s和一个诱骗源 ,信号源的平均光子数目 ,大多数时间发送单光子,诱骗源的平均光子数目 ,大多数时间发送多个光子。诱骗源的光子极化也是随机选择的,所以窃听者无法区分诱骗源和信号源。,4.6.2 诱骗态量子密钥分发的基本原理,Alice从信号源S发送脉冲执行BB84协议,但是以概率 随机的用诱骗源 来代替信号源。在Bob收到所有的脉冲后,Alice告诉Bob哪些脉冲来自诱骗源,通过公开协商,他们估计出信号源和诱骗源的通过率为 和 ,如果 比 大很多,则认为有攻击的存在。否则,用下面的方法用诱骗态的通过率 来估计信号源多光子的通过率 。假设Bob采用的探测器对光子数目不敏感, , 分别是Bob探测到的信号源和诱骗源n光子脉冲的通过率, 信号源和诱骗源的通过率分别是:,4.6.2 诱骗态量子密钥分发的基本原理,, 都可以由Bob直接探测。信号源多光子脉冲的通过率为 (4.12) 这个量不能直接测量,但是可以通过其他量给出界限。信号源的归一化的多光子脉冲通过率为 (4.13),4.6.2 诱骗态量子密钥分发的基本原理,窃听者Eve的目的就是使得 尽可能的大。又 为n的减函数, 故 当 且 时等号成立。 因此攻击者Eve的最好的选择就是当光子数目多于2时,全部阻止。,4.6.2 诱骗态量子密钥分发的基本原理,通过上面分析得: (4.15) (4.16) 如果取值合理, 和 可以得到同一数量级的数值。由于安全性要求信道的通过率大于多光子数目的概率,即 ,由此可以推出,4.6.2 诱骗态量子密钥分发的基本原理,(4.17) 当Eve不进行窃听时, / ,安全条件变为 (4.18) 可以根据4.18式来选择信号源和诱骗源的强度,然后根据4.17式来判断是否存在攻击,4.6.3 弱相干光诱骗态量子密钥分发,诱骗态量子密钥分发可以采用弱相干光源来实现。一个平均强度为 的相干光源,其光子数目分布概率为 (4.19)增益和比特错误率可以表示为 (4.20) (4.21) 和 是Alice发送n光子脉冲时Bob的探测概率和错误探测概率,4.6.3 弱相干光诱骗态量子密钥分发,设信道的总的传输率为 ,它可以表示为Alice到Bob之间的传输率和Bob端探测率的乘积,即 。那么当Alice发送n光子脉冲时,Bob端至少可收到一个光子的概率为: 。 和 分别可表示为: (4.22) (4.23) 其中 是Bob端探测器的暗计数概率, 是光子到达错误探测器的概率。,4.6.3 弱相干光诱骗态量子密钥分发,三态协议分析诱骗态的性能: 设信号强度为 ,诱骗态脉冲强度为0和 ( )他们同样给出了单光子增益 下限的估计和单光子错误率 上限的估计,分别为: (4.24) (4.25)其中 (4.26),4.6.3 弱相干光诱骗态量子密钥分发,将(4.24)和(4.25)带入GLLP公式: (4.27) 可计算出量子密钥产生率R。其中 , 是二元熵; 是双向纠错的效率,其取值如表4.4所示:我们利用GYS的实验结果作为参数来进行性能仿真,参数 如表4.5所示, 。,4.6.3 弱相干光诱骗态量子密钥分发,由(4.20)和(4.21)可得强度为u的弱相干光信号的增益和错误率可以分别表示为: (4.28) (4.29),4.6.3 弱相干光诱骗态量子密钥分发,1 弱相干光量子密钥分发性能分析 对于没有采用诱骗态协议的量子密钥分发,在进行性能分析时假设所有的多光子脉冲都通过了信道,所有其单光子的通过率就可以表示为: (4.30) 密钥产生率为: (4.31) 其中:,4.6.3 弱相干光诱骗态量子密钥分发,利用Matlab求出使得 取得最大值的强度,它与通信距离的关系如图4.21 中WCP曲线所示,弱相干光量子密钥分发的最优强度很小。 与通信距离的关系如图4.22中WCP曲线所示,可以看出弱相干光通信的安全距离只有43km。PSPS是完美单光子源的密钥产生率。,4.6.3 弱相干光诱骗态量子密钥分发,2弱相干光诱骗态量子密钥分发性能分析 将公式(4.22)(4.23)(4.28)(4.29)代入(4.27),可以得到 (4.33) 利用Matlab求出使得 取得最大值的强度,它与通信距离的关系如图4.21中DWCP曲线所示,与马雄峰等的计算得结果 一致。利用Matlab求出使得 取得最大值的诱骗态强度,再代入(4.27)可以得到 与通信距离的关系如图4.22中DWCP曲线所示,可以看出弱相干光诱骗态通信的安全距离达到170km.,4.6.3 弱相干光诱骗态量子密钥分发,图4.21 弱相干光量子密钥分发的最优强度与通信距离的关系,4.6.3 弱相干光诱骗态量子密钥分发,图4.22 弱相干光量子密钥分发的密钥产生率与通信距离的关系,4.6.4 预报单光子源诱骗态量子密钥分发,自发参量下变换的光子数目分布概率为: (4.34) 假设Alice端探测器的效率是 ,暗计数为 ,则增益和比特错误率可以表示为: (4.35) (4.36)其中 , 的定义和前面一致,4.6.4 预报单光子源诱骗态量子密钥分发,同样也采用三态协议进行分析,设信号强度为 ,诱骗态脉冲强度为0和 ( ),则 (4.37)在上面的推导过程中,我们利用了当 时,4.6.4 预报单光子源诱骗态量子密钥分发,从不等式(4.37)我们可以推导出 (4.39)由此得出: (4.40),4.6.4 预报单光子源诱骗态量子密钥分发,又因为 (4.41)则 (4.42),4.6.4 预报单光子源诱骗态量子密钥分发,强度为u 的预报单光子源的增益和错误率分别为: (4.43) (4.44),4.6.4 预报单光子源诱骗态量子密钥分发,1预报单光子源量子密钥分发性能分析 其量子密钥产生率公式亦为(4.31)式。多光子的概率为 (4.45) 将公式(4.43)(4.44)(4.45)代入(4.31)式,进行Matlab数值计算,求出使得 取得最大值的强度,它与通信距离的关系如图4.23中HSPS曲线所示,最优强度的取值比相干光更小。 与通信距离的关系如图4.24中HSPS曲线所示,安全通信距离达到161km。,4.6.4 预报单光子源诱骗态量子密钥分发,图4.23 预报单光子源量子密钥分发的最优强度与通信距离的关系,4.6.4 预报单光子源诱骗态量子密钥分发,2. 预报单光子源诱骗态量子密钥分发性能分析预报单光子源Alice端的暗计数率 ,Alice端的探测效率为0.6。密钥产生率公式如(4.27)式所示,其中 , 的表达式如(4.43)式和(4.44)式所示 和 可以分别表示为: (4.46) (4.47),4.6.4 预报单光子源诱骗态量子密钥分发,将(4.43),(4.44),(4.46),(4.47)代入(4.27),利用Matlab计算,求出使得 取得最大值的强度,它与通信距离的关系如图4.23中DHSPS曲线所示。将(4.43),(4.44),(4.40),(4.42)代入(4.27)式,利用Matlab求出使得 取得最大值的诱骗态强度,再代入 (4.27)可以得到 与通信距离的关系如图4.24中DHSPS曲线所示,安全通信距离和完美单光子源的通信距离一致。PSPS是完美单光子源的密钥产生率。,4.6.4 预报单光子源诱骗态量子密钥分发,图4.24 预报单光子源量子密钥分发的密钥产生率与通信距离的关系,4.6.4 预报单光子源诱骗态量子密钥分发,通过图4.23和图4.24可以看出:1、预报单光子源与弱相干光相比,由于它可以减小暗计数的影响所以其安全通信距离得到很大的提高。2、预报单光子源与弱相干光这两种光源的诱骗态量子密钥分发由于都可以更好的估计出单光子的通过率和错误率,所以都可以提高安全通信距离。3、弱相干光的最优强度均大于预报单光子源的最优强度,因此密钥产生率也比较大. 4、诱骗态量子密钥分发的最优强度都比非诱骗态有很大的提高,所以密钥产生率也有很大的提高。 因此在没有完美单光子源的情况下,诱骗态量子密钥分发是一种有效的量子密钥分发方案,可以实现绝对安全的通信,并且其安通信距离与完美单光子源的通信距离基本相当。,4.6.5 诱骗态QKD的实现,清华中科大联合团队分别利用双探测器在102km的光纤中和单探测器在75km的光纤中实现了三强度诱骗态量子密钥分发,他们采用的是极化编码,如图4.25所示。 图4.25 清华中科大联合团队诱骗态量子密钥分发,4.6.5 诱骗态QKD的实现,Tobias Schmitt-Manderbach小组采用的也是极化编码的方案在144km的自由空间实现了三强度诱骗态量子密钥分发,如图4.26所示。 图4.26 极化编码的自由空间诱骗态量子密钥分发,4.6.5 诱骗态QKD的实现,洛斯阿拉莫斯国家实验室的Danna Rosenberg小组采用相位编码分别在85km和100km的光纤中实现了三强度诱骗态量子密钥分发 ,其原理如图4.27所示。 图4.27 相位编码的诱骗态量子密钥分发,