CN101931527A - 对反直观量子密钥分配系统的单光子分束攻击方法 - Google Patents

Abstract

本发明公开了一种对反直观量子密钥分配系统的单光子分束攻击方法，涉及量子保密通信技术。该方法利用分束器将信道中传输的单光子信号分束，截获其中的一部分信号，同时将另一部分信号用无损或低损信道传送给接收方。根据迈克尔逊干涉仪的工作原理，当两部分信号同时返回到分束器时会发生干涉，此时若窃听者测得光子，则发送一个光子给发送方，所测得光子的偏振方式即为密钥比特。该方法可以使窃听者在噪声掩饰下得到部分密钥信息，同时不对合法通信者分配的密钥串引入任何错误。它提供了一种对反直观量子密钥分配系统的有效攻击方法，同时也是对此类系统的一种有效的安全性测试方法。

Description

对反直观量子密钥分配系统的单光子分束攻击方法

技术领域

本发明涉及量子保密通信技术，特别是指一种对反直观量子密钥分配系统的单光子分束攻击方法。

背景技术

众所周知，人们的生活离不开交流和沟通。从电报、电话等通信工具的出现，到通信网、互联网的飞快发展，人们的交流越来越便利，而需要交换的消息也与日俱增。出于某种目的，人们往往只想让所期望的人看到自己在公开信道中发送的消息，而不希望其它人也得到这些信息。这一点在军事领域和商业领域尤其突出。一条军事机密的泄漏可能会导致战争的溃败，而一条商业机密的公开可能会给公司带来巨额经济损失。因此，随着人们对保密通信的迫切需要，密码学研究也在不断发展和壮大，其基本目的就是确保用户间的消息能够在公开信道中可靠地传输。

在密码学中，通常称消息发送者为Alice，接收者为Bob，而窃听者为Eve。为了达到保密的目的，Alice在发送消息前先利用加密密钥，根据一定的加密算法将要发送的消息M(即明文)加密，得到密文C，然后把密文C通过公开信道传输给Bob。Bob收到这些信息后可以用相应的解密密钥和解密算法由密文C恢复出明文M，从而得到Alice的真实消息。一般地，由于窃听者Eve不知道相应的解密密钥，即使她窃听到传输的密文C，也不能恢复出明文消息M。这就是密码学的基本思想。经典密码体制(即现行密码体制)主要包括对称密码体制和公钥密码体制两类，它们在应用中有各自的特点。对称加密体制常用来直接对明文消息进行加密和解密，它速度快且对选择密文攻击不敏感；公钥密码体制则擅长密钥分发及数字签名等。因此在实际实现中一般采用混合密码系统，即用公钥密码体制在通信者之间分发会话密钥，然后用会话密钥通过对称密码体制来对通信消息进行保密。

我们知道，大多数经典密码协议的安全性是建立在计算复杂性基础上的。也就是说，窃听者要想破译一个密码系统，需要在有限的时间(即秘密消息的有效期)内解决某个计算难题。而根据计算复杂性假设，这种任务通常在当前人们的计算能力下很难实现。这正是经典密码体制的安全性基础。但是，随着人们计算能力的飞速提高和各种先进算法(包括经典算法和量子算法)的提出，这种密码体制的安全性受到了严峻挑战。以1994年P.W.Shor提出的量子并行算法(P.W.Shor.Algorithms for quantum computation：discretelogarithms and factoring.Proceedings of the 35th Annual Symposium of Foundation of Computer Science，IEEEPress，LosAlamitos，CA，1994)为例，它能在多项式时间内解决大数因子分解难题。一旦这种算法能够在量子计算机上付诸实施，现行很多基于此类难题的公钥密码体制将毫无安全性可言。

既然如此，人们希望找到一种新的密码系统，代替公钥密码来完成分发会话密钥的任务。通过上面的分析可知，一套完整的密码系统包括密钥的安全分发和消息的保密传输两大部分。对于后者，一次一密乱码本(One-Time Pad，简记为OTP)已经能够达到无条件安全性。人们还需要找到一种安全的密钥分发方法，这样就能由它和OTP构成一套在安全性上趋近完美的密码系统。随着量子密码的出现，这个使人们困扰已久的问题迎刃而解。

量子密码是密码学与量子力学相结合的产物，不同于以数学为基础的经典密码体制，其安全性由量子力学基本原理保证，与攻击者的计算能力无关。根据量子力学性质，窃听者对量子密码系统中的量子载体的窃听必然会对量子态引入干扰，于是被合法通信者所发现。合法通信者能够发现潜在的窃听，这是量子密码安全性的本质。因此，量子密码具有得天独厚的优势并逐渐成为密码新技术中的一个重要研究分支。研究和实验表明，量子密码很可能发展为下一代密码技术的重要力量。

量子密码体制有着重要的潜在用户，包括对安全性要求较高的军用通信、金融交易等。需要特别指出的是在现代战争中，安全通信的作用至关重要。而依赖计算复杂性假设的经典密码体制已经越来越不能满足这种安全性要求。在世界各大国都在积极支持量子密码研究的趋势下，落伍的一方必将在未来战争中被逼入绝境。况且一旦量子计算技术取得突破，经典密码体制可能会随之崩溃，这时量子密码系统将有更广泛的潜在用户，其市场前景和经济效益将非常可观。

由于量子密码在理论上具有无条件安全性，它的出现引起了国际密码学界和物理学界的高度重视。其中量子密钥分配(Quantum Key Distribution，简记为QKD)是量子密码研究的重要课题，它在理论研究和实际系统实现方面都已经取得了重要进展。1984年，IBM公司的C.H.Bennett和Montreal大学的G.Brassard提出第一个量子密钥分配方案——BB84协议(C.H.Bennett and G.Brassard.Quantum cryptography：public-key distribution and coin tossing.Proceedings of IEEE International Conference on Computers，Systemsand Signal Processing，IEEE，New York，Bangalore，India，1984)。随后人们基于不同的量子力学性质，包括纠缠态、非正交态、单光子干涉等，提出了多种各具特色的QKD方案。在实际系统的实现方面，1989年，IBM公司和Montreal大学合作完成了第一个量子密码实验，传输距离为30公分。1995年，瑞士日内瓦大学在日内瓦湖底铺设的23公里长的民用光缆中进行了实地演示，误码率仅为3.4％。2002年，德国慕尼黑大学和英国军方下属的研究机构合作，在德国和奥地利边境相距23.4公里的楚格峰和卡尔文德尔峰之间用激光成功传输了密钥。2004年6月3日，世界上第一个量子密码通信网络在美国马萨诸塞州剑桥城正式投入运行。据最新报道，在自由空间信道和光线信道中，当前实现的QKD系统最远传输距离分别达到了144公里和250公里，最高速率达到1Mb/s以上。在国内，2004年8月就已经实现了北京和天津之间120多公里的QKD系统，并在2009年建成了芜湖量子政务网和量子保密电话网(T.Y.Chen，et al.Field test of apractical secure communication network with decoy-state quantum cryptography.Optics Express，17，6540，2009)。相信在不久的将来，量子保密通信系统定会走入我们的日常生活，这种“量子卫士”也将为我们的信息安全事业提供有力保障。

2009年12月，韩国学者Tae-Gon Noh基于迈克尔逊干涉仪(Michelson-type interferometer)提出了一种“反直观”(Counterfactual)量子密钥分配方案，并讨论了此QKD系统的具体实现。迈克尔逊单光子干涉仪如图1所示。图中S代表单光子光源，C为光学循环器(Circulator)，BS为分束器(Beam Splitter)，FM和D分别代表法拉第反射镜(Faraday Mirror)和光子探测器。作为微观载体，光子具有波粒二象性，它可在不同的观测环境下呈现出波动性或粒子性。

迈克尔逊干涉仪的运作原理如下：光源S发射出单光子，光子经循环器C进入光路(譬如光纤)c，进而入射到分束器BS。不妨假设BS的反射率和折射率分别为R和T(R+T＝1)，则分束后的量子态为

$|\mathrm{\φ}\⟩=\sqrt{T}|0{\⟩}_a|1{\⟩}_b+i\sqrt{R}|1{\⟩}_a|0{\⟩}_b---\left(1\right)$

其中下标a和b表示不同光路，|1>代表光路中有光子，|0>代表光路中没有光子。此时如果在a路和b路放置光子探测器来观察光路中是否有光子，则a路测到光子的概率为R，b路测到光子的概率为T，且两路中必有且只有一路中有光子。此时所体现的是光子的粒子性。

如果不测量光子所在的具体路线，经BS分束后，光子将分为两个波包，分别沿a和b路出射。经反射镜FM1和FM2反射后，两个波包会同时返回BS，进而产生干涉。由于两个法拉第反射镜会使信号产生相同的相移π，干涉后c路干涉相涨，d路干涉相消，光子将确定地出现在c路而不会出现在d路。由于c路的光子经循环器后进入e路，所以最终结果是第二单光子探测器D2探测到光子，而第一单光子探测器D1不会探测到。类似地，如果在a路(或b路)对光信号进行相位调制，使得此路信号产生相移π，则测量结果将会相反，光子会出现在d路被第一单光子探测器D1探测到，而不会出现在c-e路被第二单光子探测器D2探测到。此时所体现的是光子的波动性。

反直观QKD方案就是基于迈克尔逊干涉仪设计的，其系统如图2所示。Alice的光源S在每个时隙发出一个单光子，每个光子随机地处于水平偏振(记为|H>)或垂直偏振(记为|V>)，两种偏振方式分别代表经典比特0和1。光子经过循环器c后入射到分束器BS上，经BS后的状态为以下两态之一：

$|{\mathrm{\φ}}_0\⟩=\sqrt{T}|0{\⟩}_a|H{\⟩}_b+i\sqrt{R}|H{\⟩}_a|0{\⟩}_b---\left(2\right)$

$|{\mathrm{\φ}}_1\⟩=\sqrt{T}|0{\⟩}_a|V{\⟩}_b+i\sqrt{R}|V{\⟩}_a|0{\⟩}_b---\left(3\right)$

因为BS不改变光子的偏振状态，所以如果光子的初始偏振为|H>，则进分束器后处于|φ₀>态，反之则处于|φ₁>态。分束后的两个波包将分别在a路和b路传输，其中a光路(譬如光纤)全部在Alice的控制区域内，而b路将经过公开光纤信道传送到Bob处。注意这里a路光纤长度须与b路长度相同，确保必要时两个波包能在同一个时间返回到BS产生干涉。

Bob虽然不知道Alice发送来的光信号是水平偏振还是垂直偏振，但他可以确定地测量某一偏振方向的光信号。也就是说，假设Bob想测量|H>偏振的信号，且收到的信号正好处于|H>偏振，则一定能产生测量波包的效果(参见上述迈克尔逊干涉仪所体现出的光的粒子性)，相反若收到的信号处于|V>偏振，则没有产生测量效果，仅是将此波包反射回去。类似地，Bob也可以选择性地测量|H>偏振信号。图2中的Bob处的装置可以帮助Bob实现这一目的。Bob先用极化分束器PBS将收到的波包按偏振方式区分开来。PBS的作用是使入射进来的|H>信号直接透射至光路c，而使|V>信号反射。由图2装置可见，经PBS反射的信号将在延时线圈OL中延时一个时间间隔δ，再经PBS反射到光路c。这样，|H>信号和|V>信号就会产生一个时间差δ，Bob就可以选择测量其中的一种偏振信号，而放过另一种。被放行的光信号经FM2反射，再经PBS返回给Alice。因为法拉第反射镜在反射同时可以将光信号的偏振方式进行转换，所以能保证光信号(不论是水平偏振还是垂直偏振)在Bob区域经过一次且仅经过一次延时线圈OL，使得Bob处光路长度是固定值，而不会因光子信号的偏振方式不同而不同。这样，只需让a光路与b光路(包括Bob区域的光路)长度相同，即可保证两个波包在同一时间返回到BS，进而产生干涉。

在反直观QKD方案中，Bob在每一个时隙随机测量|H>或|V>信号，而放行另一种偏振光。不失一般性，假设Bob测量|H>信号。此时可能发生的情况如下：

1.如果Alice发送的光子处于相同的偏振，即|H>，则测量导致光子呈现粒子性。根据量子力学，系统的量子状态将由|φ₀>塌缩为|0>_a|H>_b(概率为T)或|H>_a|0>_b(概率为1-T)。也就是说，若Bob没测到光子，则光子应该在a路，此时光子经FM1返回至BS时，系统状态变为

$|{\mathrm{\ψ}}_0\⟩=\sqrt{T}|H{\⟩}_f|0{\⟩}_g+i\sqrt{R}|0{\⟩}_f|H{\⟩}_g---\left(4\right)$

注意g路光信号是经循环器C进入的。光子将被第一单光子探测器D1或第二单光子探测器D2探测到，概率分别为R和T。若Bob测到了光子(即第三单光子探测器D3响应)，则a路必定没有光子，因此第一单光子探测器D1和第二单光子探测器D2都不会探测到光子。

2.如果Alice发送的光子处于不同的偏振，即|V>，则Bob的测量不起作用，相当于直接将信号放行。这种情况下两个波包将同时返回到BS，产生干涉。根据迈克尔逊干涉仪的性质，光子将必然会被第二单光子探测器D2探测到，而不会出现在第一单光子探测器D1。

对于Bob选择测量|V>信号的情形，有类似结论。

在此系统中，光源S某一时隙的发出的单光子，必然会被三个探测器D1、D2和D3之一探测到。可能发生的情况可总结如下：

1.如果Alice发出的光子偏振方向与Bob选择测量的偏振方向不同，则光子必将被第二单光子探测器D2探测到。

2.如果Alice发出的光子偏振方向与Bob选择测量的偏振方向相同，则有三种不同情形：

(1)光子第一次经过BS时走a路，经FM1反射后第二次经过BS时走f路，被第一单光子探测器D1探测到。这种情况发生的概率为RT(一次反射，一次透射)。

(2)光子第一次经过BS时走a路，经FM1反射后第二次经过BS时走g路，被第二单光子探测器D2探测到。这种情况发生的概率为R²(两次反射)。

(3)光子第一次经过BS时走b路，被第三单光子探测器D3探测到。这种情况发生的概率为T(一次透射)。

实际装置中，探测器不但可以测得光子的存在，还可以测出光子所处的偏振态，即|H>或|V>。当光子传输完毕后，Alice和Bob公开每个时隙中他们的探测器是否探测到光子。如果只有第一单光子探测器D1探测到光子，并且光子偏振方向与初始状态相反，则Alice和Bob将此光子的初始偏振方向作为密钥比特，即|H>和|V>分别对应于0和1。此时Bob知道上面的事件(1)发生，因此可推知光子的初始偏振方向必定与他测量的偏振方向相同。对于不是只有第一单光子探测器D1探测到光子的情况，Alice和Bob进一步公开光子的初末偏振状态，以及Bob所选择测量的偏振方向，根据迈克尔逊干涉仪的工作原理，判断是否存在窃听。如果出现了违背干涉仪工作原理、初末偏振状态不相符、探测到不止一个光子等情况，视为一个错误。当然由于存在信道损失，可能出现三个探测器都不响应的情况。

按照以上步骤，Alice发送足够多的光子，每个时隙中只有当且仅当第一单光子探测器D1探测到光子且光子初末偏振状态相符时，Alice和Bob建立1比特密钥，其它情况可以用于检测窃听。最后如果错误率低于一定的阈值(此阈值与具体信道有关，不同的信道取不同的值)，则认为没有窃听。然后将所得的密钥比特进行纠错和保密增强，建立最终的安全密钥。

综上所述，Alice每发送一个光子，建立1比特密钥的概率为P＝RT/2，因为R+T＝1成立，所以当R＝T＝1/2时，P取最大值1/8。因此实际系统中BS的反射率和透射率可均为1/2，以达到最高的效率。

如上QKD方案中，用于产生密钥比特的光子并没有在公开信道中传输，这一点可由情形(1)得到。因此，直观上来看，此方案没有传输光子就建立了密钥，这与之前人们对QKD的认识大有不同，因此被称为反直观QKD方案。同时，因为产生密钥的光子没有在公开信道传输(一直在Alice控制区域内)，所以可以认为它具有更高的安全性。基于以上特点，这种反直观QKD系统今后很可能会引起广泛关注并投入使用。众所周知，一个密码系统必须得通过不同攻击方法的检验才能在实际生活中应用。由于反直观QKD方案于2009年刚刚被提出，目前对这种系统的安全性测试方法还很缺乏，还需要进行深入研究和分析。

发明内容

有鉴于此，本发明的主要目的在于提供一种对反直观量子密钥分配系统的单光子分束攻击方法。此方法可以使窃听者Eve在噪声掩饰下得到部分密钥信息，同时不对合法通信者Alice和Bob共享的密钥串引入任何错误，进而不会被发现。它可以作为对此类QKD系统的一种有效的安全性测试方法。

为达到上述目的，本发明的技术方案是这样实现的：

攻击者Eve通过以下步骤进行窃听：

1.Eve在Alice和Bob之间的公开信道中放置一个分束器，将信道中传输的每个波包分成两路信号；

2.Eve将分出的两路信号中的一路继续沿原方向用无损信道发送给Bob，而另一路留存在自己的控制范围内；

3.当两路信号同时返回到Eve的分束器时，如果Eve的探测器检测到光子，则Eve发送一个同样偏振方式的光子给Alice。如果Eve没有检测到光子，则不需要发送光子给Alice。

4.最后，对于Eve测到了光子，且Alice和Bob的探测器中只有第一单光子探测器D1探测到光子的时隙，Eve将所测得光子的偏振方式作为Alice和Bob在此时隙所建立的密钥比特。

所述步骤1中的分束器的透射、反射比例为1∶1。同时Eve的分束器所在位置应该尽可能靠近Alice一端，这是因为Eve的攻击将从本应被Bob测到的光子中分出一部分，使得Bob测得光子的概率比正常情况下少了50％，Eve必须通过用无损信道代替正常信道来达到用信道噪声来掩饰窃听的目的。这种更换无损信道的攻击方法在噪声信道下QKD的分析中很常见。因此，替换的信道越长，即Eve的分束器离Alice越近，对Eve来说就更有利。

所述步骤2包括：

(2.1)Eve用无损信道替换掉自己到Bob之间的公开信道；

(2.2)Eve通过分束器在她与Bob之间搭建一个新的迈克尔逊干涉仪，其输入为Alice发来的信号。分束后控制在Eve手中的一路信号将在延时线圈中传输，并经法拉第反射镜反射回分束器。线圈的长度与发送到Bob的那一条光路相同，使得两路信号可以同时返回到分束器产生干涉。

所述步骤3中包括以下几种不同情况：

(3.1)如果Bob没有测量收到的信号(即测量的是不同的偏振方向)，则两路信号返回Eve的分束器时会发生干涉，合并成一路信号返回给Alice。

(3.2)如果Bob测量了收到的信号(即测量的偏振方向与Alice发送的光子相同)，且测到了光子，则不会再发生任何干涉，Eve不会测到光子，此时她不需要给Alice发送任何光子。

(3.3)如果Bob测量了收到的信号但没测到光子，并且Eve也没测到光子，此时光子必将被Alice检测到，Eve不需要给Alice发送任何光子。

(3.4)如果Bob测量了收到的信号但没测到光子，并且Eve测到了光子，此时Alice的线圈中必没有光子。为掩饰自己的存在并使Alice和Bob在此时隙建立密钥比特，Eve需要发送一个同样偏振方向的光子给Alice。

所述步骤4中包括以下几种不同情况：

(4.1)对应于(3.1)的情形，返回到Alice的分束器上的两束信号将产生干涉，光子将确定地被Alice的第二单光子探测器D2检测到。根据QKD方案，此情形不产生密钥比特。

(4.2)对应于(3.2)的情形，Alice将不会测到任何光子。同样此情形不产生密钥比特。

(4.3)对应于(3.3)的情形，Alice的两个探测器中将有一个测到光子。如果是第一单光子探测器D1，Alice和Bob将在此时隙建立密钥比特，而Eve不能得到此密钥比特的信息。反之不建立密钥比特。

(4.4)对应于(3.4)的情形，Alice的两个探测器中将有一个测到光子。如果是第一单光子探测器D1，Alice和Bob将在此时隙建立密钥比特，而Eve能获得此密钥比特(即探测到光子的偏振方向)。反之不建立密钥比特。

所述的得到密钥信息是指，如果Eve测得的光子处于水平偏振，则密钥比特为0，反之密钥比特为1。

所述的探测器均不但能检测到光子的存在与否，还能在有光子存在时测出其偏振方向。

所述步骤1中，Eve可以根据信道噪声的大小来决定对多大比例的时隙进行窃听，其标准是使得由于窃听而使Bob测到光子的频数减小的部分，正好等于由于信道噪声而使Bob测到光子的频数减小的部分。也就是说，使得窃听正好被噪声所掩盖，Bob测得光子的频数与噪声情形下完全相同。

本发明提供了一种对反直观量子密钥分配系统的有效攻击方法。它可以使Eve利用对单光子信号分束的方法，达到“从Bob口中分一杯羹”的目的。虽然此QKD系统中Alice和Bob有很多检测窃听的指标，但巧妙的设计使得此方法不但让Eve可以获得部分密钥信息(具体比例将在具体实施方式中给出)，还不会使Alice和Bob共享的密钥串产生任何错误，同时此窃听具有不改变D3的检测概率、不改变第一单光子探测器D1和第一单光子探测器D2的相对检测概率的特点，再加上在实际应用中还有信道噪声、多光子信号等非理想因素的掩饰，这种窃听很难被发现。因此，本方法可以对此类反直观QKD系统进行有效的攻击。

附图说明

图1为现有技术中的迈克尔逊干涉仪装置原理示意图；

图2为现有技术中的反直观QKD系统装置示意图；

图3为本发明的对反直观QKD系统的单光子分束攻击原理示意图；

图4为本发明的对反直观QKD系统的单光子分束攻击方法流程图；

图5为现有技术中的可检测光子极化方式的单光子探测器原理示意图。

具体实施方式

为使本发明的目的、技术方案表达得更加清楚，下面结合附图及具体实施方式作进一步详细说明。

本发明提供了一种对反直观量子密钥分配系统的单光子分束攻击方法。此方法利用迈克尔逊干涉仪的工作原理，通过分束器对信道中传输的单光子信号进行分束，同时使用无损信道将减弱后的信号发送给接收方。通过这种方法，窃听者可以获得部分密钥比特，并且能将自己的窃听用信道噪声所掩盖，不会被合法通信者所发现。此攻击方法简单有效，可作为一种对此类QKD系统的安全性测试方法。

图3是此攻击方法的工作流程，假设攻击对象为图2所示的QKD系统，其中Alice的分束器透射率和反射率为T＝R＝1/2(达到传输效率最大值)，则此攻击包括步骤如下(如图4所示)：

1.Eve根据Alice和Bob之间的信道传输效率，确定窃听光子的比例。

假设信道传输效率为δ，即Alice发送的光信号中，能成功完成信道传输的信号与在信道传输中丢失掉的信号比例为δ∶1-δ。则在没有窃听的正常情况下，Bob在每个时隙测得光子的概率为

$p_B=\frac{1}{2}*\mathrm{\δ}*\frac{1}{2}=\frac{\mathrm{\δ}}{4}---\left(5\right)$

在有窃听情况下，Eve将噪声信道替换为无损信道，其窃听比例(即进行窃听的时隙占总时隙数的比例)为

r＝2(1-δ)(6)

容易验证，此时Bob在每个时隙测得光子的概率为

$p_B^E=\frac{1}{2}*(1-\frac{1}{2}r)*\frac{1}{2}=\frac{\mathrm{\δ}}{4}=p_B---\left(7\right)$

即Eve的窃听不会引起Bob测得光子频数的变化，进而不会被通信者所发现。当然从目前实验结果来看，光纤信道对单光子信号的传输效率很低，一般来说δ＜1/2，因此Eve的窃听比例值r＞1，表示Eve通常可以对所有时隙进行窃听，并且替换后的信道可以不必为无损信道，可以是更容易实现的低损信道，只要使得在有、无窃听两种情况下Bob测得光子的频数不变即可。因此为了描述方便，在本例中我们假设Eve对所有时隙的光信号进行窃听。

2.Eve在Alice和Bob之间的公开信道中放置分束器BS2(如图4所示)，将传输的光信号进行分束。BS2的反射、透射比也可取为1∶1。分束后的h路信号留在自己的延时线圈OD2中，i路信号用无损信道发送给Bob。

此时系统的状态变为以下两态之一：

$|{\mathrm{\Φ}}_0\⟩=\frac{1}{2}|0{\⟩}_a\left|0{\⟩}_h\right|H{\⟩}_i+\frac{i}{2}\left|0{\⟩}_a\right|H{\⟩}_h|0{\⟩}_i+\frac{i}{\sqrt{2}}|H{\⟩}_a\left|0{\⟩}_h\right|0{\⟩}_i---\left(8\right)$

$|{\mathrm{\Φ}}_1\⟩=\frac{1}{2}|0{\⟩}_a\left|0{\⟩}_h\right|V{\⟩}_i+\frac{i}{2}\left|0{\⟩}_a\right|V{\⟩}_h|0{\⟩}_i+\frac{i}{\sqrt{2}}|V{\⟩}_a\left|0{\⟩}_h\right|0{\⟩}_i---\left(9\right)$

两个状态分别对应于Alice的初始光子偏振方向为|H>和|V>的情形。可见此时光子可能存在于a，h和i三个光路中的一个之中。此外，光路h和光路i(包括Bob的光路部分)长度相同，以确保两路信号能够同时返回到BS2。

3.如果Eve的单光子探测器D4探测到光子，则Eve产生一个偏振方向相同的光子并通过光路b发送给Alice。反之如果D4没有响应，则Eve不需采取任何措施。

根据Bob所采取的不同测量方式和测量结果，可分为以下几种不同情况：

(3.1)如果Bob没有测量收到的信号(即测量的是不同的偏振方向)，则两路信号返回Eve的分束器时会发生干涉，合并成一路信号返回给Alice。此时单光子探测器D4不会响应。

(3.2)如果Bob测量了收到的信号(即测量的偏振方向与Alice发送的光子相同)，且测到了光子，则不会再发生任何干涉。此时单光子探测器D4不会响应。

(3.3)如果Bob测量了收到的信号但没测到光子，系统的状态将变为以下两态之一：

$|{\mathrm{\Ψ}}_0\⟩=\sqrt{\frac{1}{3}}|0{\⟩}_a|H{\⟩}_h+\sqrt{\frac{2}{3}}|H{\⟩}_a|0{\⟩}_h---\left(10\right)$

$|{\mathrm{\Ψ}}_1\⟩=\sqrt{\frac{1}{3}}|0{\⟩}_a|V{\⟩}_h+\sqrt{\frac{2}{3}}|V{\⟩}_a|0{\⟩}_h---\left(11\right)$

此时若Eve也没测到光子(即单光子探测器D4不响应)，则光子必将被Alice探测到，Eve不需要给Alice发送任何光子。

(3.4)如果Bob测量了收到的信号但没测到光子，并且Eve的单光子探测器D4测到了光子，此时Alice的线圈中必没有光子。为掩饰自己的存在并使Alice和Bob在此时隙建立密钥比特，Eve需要发送一个同样偏振方向的光子给Alice。

4.对于第一单光子探测器D1和第四单光子探测器D4测到光子，同时第二单光子探测器D2和第三单光子探测器D3没测到光子的情况，Eve记录下D4所测得光子的偏振方向，得到此时隙Alice和Bob建立的密钥比特，即D4测到的|H>和|V>分别意味着光子的初始偏振为|V>和|H>(经过法拉第反射镜的反射后，D4测到的光子偏振方向与初始值相反)，分别代表密钥比特1和0。由反直观QKD方案可知，Alice和Bob只有在D1测到光子而D2、D3没测到光子的情况下得到1比特密钥。所以此时Alice和Bob将根据光子的初始偏振方向建立1比特密钥，即初始偏振|H>和|V>分别代表0和1。可见Eve将正确得到此密钥比特。

下面计算Eve能够获得密钥比特的概率，即Eve最终获得的密钥信息在Alice和Bob所得密钥中所占的比例。如果Alice和Bob在某个时隙能获得密钥，则Bob测量了收到的信号且没测到光子，测量后系统的量子态为(10)或(11)。当h路的信号返回到BS2时，在BS2的作用下，系统量子态变为以下两态之一：

$|{\mathrm{\Ω}}_0\⟩=\frac{1}{\sqrt{6}}|00{\⟩}_{\mathrm{ab}}|H{\⟩}_j+\left(\frac{i}{\sqrt{6}}\right|0H{\⟩}_{\mathrm{ab}}+\sqrt{\frac{2}{3}}\left|H0{\⟩}_{\mathrm{ab}}\right)|0{\⟩}_j---\left(12\right)$

$|{\mathrm{\Ω}}_1\⟩=\frac{1}{\sqrt{6}}|00{\⟩}_{\mathrm{ab}}|V{\⟩}_j+\left(\frac{i}{\sqrt{6}}\right|0V{\⟩}_{\mathrm{ab}}+\sqrt{\frac{2}{3}}\left|V0{\⟩}_{\mathrm{ab}}\right)|0{\⟩}_j---\left(13\right)$

因此，Eve的探测器D4检测到光子的概率为p_j＝1＝1/6，测不到光子的概率为p_j＝0＝1/6。如果D4没测到光子，则系统的量子态将塌缩为

$|{\mathrm{\Γ}}_0\⟩=\frac{i}{\sqrt{5}}|0H{\⟩}_{\mathrm{ab}}+\frac{2i}{\sqrt{5}}|H0{\⟩}_{\mathrm{ab}}---\left(14\right)$

$|{\mathrm{\Γ}}_1\⟩=\frac{i}{\sqrt{5}}|0V{\⟩}_{\mathrm{ab}}+\frac{2i}{\sqrt{5}}|V0{\⟩}_{\mathrm{ab}}---\left(15\right)$

以上量子态经过BS1时，状态变化为

$|{\mathrm{\Λ}}_0\⟩=\frac{2-i}{\sqrt{10}}|0H{\⟩}_{\mathrm{fg}}+\frac{1-2i}{\sqrt{10}}|H0{\⟩}_{\mathrm{fg}}---\left(16\right)$

$|{\mathrm{\Λ}}_1\⟩=\frac{2-i}{\sqrt{10}}|0V{\⟩}_{\mathrm{fg}}+\frac{1-2i}{\sqrt{10}}|V0{\⟩}_{\mathrm{fg}}---\left(17\right)$

可见此时第一单光子探测器D1和第二单光子探测器D2检测到光子的概率分别为

$p_{g=1}={\left|\frac{2-i}{\sqrt{10}}\right|}^2=\frac{1}{2}---\left(18\right)$

$p_{f=1}={\left|\frac{1-2i}{\sqrt{10}}\right|}^2=\frac{1}{2}---\left(19\right)$

因此，Eve可获得密钥比特的比例为

$r=\frac{p_{j=1}{p}_{j=1,f=1}}{p_{j=1}{p}_{j=1,f=1}+p_{j=0}{p}_{f=1}}=\frac{1}{6}---\left(20\right)$

式中p_j＝1，f＝1/2，表示Eve测到光子后，发送一个同样偏振方式的光子给Alice，这时Alice的第一单光子探测器D1探测到光子的概率。因此，通过以上攻击方法，Eve可获得16.7％的密钥信息。这个信息泄露比例对量子密钥分配协议的安全性来说是致命的。

本发明中，Eve的攻击装置类似于Alice的装置，主要包括迈克尔逊干涉仪(包括单光子源、单光子探测器、分束器、极化分束器等)。发明中用到的可检测光子极化状态的单光子探测器，可以由图5中的装置来实现。它由一个极化分束器PBS及两个单光子探测器D1和D2组成。如果有一个极化状态为|H>的光子从a路入射，则经PBS后会透射到b路，被第一单光子探测器D1探测到。相反如果光子极化态为|V>，则经过PBS后会反射进入c路，进而被第二单光子探测器D2探测到。因此，在这个“复合”探测器中，若D1响应，则表示检测到偏振态为|H>的光子；若D2响应，则表示检测到偏振态为|V>的光子；若D1和D2均未响应，则表示没有探测到光子。这样就实现了可检测光子极化状态的单光子探测器。

需要补充说明的是，虽然我们在上述的说明中是以反射、透射比为1∶1的分束器和无损信道为例来说明本发明的原理，但对于其他比例的分束器、以及其它低损信道来说，本发明所提供的方法依然适用，即分束器的反射、透射比例及替换信道的性能可根据实际情况进行调节。总之，本发明可以用与通信双方类似的设备实现了对反直观量子密钥分配系统的有效攻击。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于，包括以下步骤：

(1)攻击者Eve在发送者Alice和接收者Bob之间的公开信道中放置一个分束器，将信道中传输的每个波包分成两路信号；

(2)Eve将分出的两路信号中的一路继续沿原方向用无损或低损信道发送给Bob，而另一路留存在自己的控制范围内；

(3)如果Eve的探测器检测到光子，则Eve发送一个光子给Alice；如果Eve没有检测到光子，则不需要发送光子给Alice；

(4)对于Eve测到了光子，且Alice和Bob的探测器中只有第一单光子探测器探测到光子的时隙，Eve将所测得光子的偏振方式作为Alice和Bob在此时隙所建立的密钥比特。

2.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：Eve在攻击前根据Alice和Bob之间公开信道的传输效率，确定所窃听光子的比例；对于要窃听的时隙，执行所述的步骤(1)-(4)。

3.根据权利要求2所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：所述的窃听光子的比例，应使得Bob在有窃听和无窃听情况下收到光子的比例无变化。

4.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：步骤(1)中分束器的反射、透射比为1∶1，其位置在公开信道中最靠近Alice的一端。

5.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：步骤(2)所述的无损或低损信道，其传输效率应满足使得Bob在有窃听和无窃听情况下收到光子的比例无变化。

6.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：步骤(2)所述的留在Eve控制范围内的一路信号，其光路总长度等于发送到Bob一路的光路总长度，且光路中间有法拉第反射镜将信号反射，保证两路信号能够同时返回到Eve的分束器。

7.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：步骤(3)所述的发射光子给Alice，指Eve自己产生一个光子，其偏振方式与Eve所测得光子的偏振方式相同，并沿Alice和Bob之间的公开信道发送给Alice。

8.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于：步骤(4)所述的将光子偏振方式作为密钥比特，其解码方法与Alice相同，水平偏振和垂直偏振分别代表比特值为1和0。

Images