CN103929300A - 一种基于单向量子密钥分发系统主动相位补偿的攻击方法 - Google Patents

Abstract

本发明提出一种基于单向量子密钥分发系统主动相位补偿的攻击方法，首次提出单向相位编码QKD系统的主动相位补偿存在的安全性问题，包括线性攻击和非线性攻击，该攻击方法在主动相位补偿的阶段，Eve通过量子信道中插入相位调制器并进行选择性相位调制，改变Alice发送的量子态所携带的相位信息，使其变成非标准BB84状态；在量子密钥分发阶段，Eve截获Alice发送给Bob的量子态，选择测量算子对量子态进行半正定算子(POVM)测量，在得到测量结果后，发送标准的BB84量子态给Bob。在非线性攻击下，可保证在Bob端探测器接收到的密钥0和1的比例为1:1的情况下，系统产生的误码率低于通信双方认为的安全值。

Description

一种基于单向量子密钥分发系统主动相位补偿的攻击方法

技术领域

本发明涉及量子密钥分发领域，更具体地，涉及一种基于单向相位编码量子密钥分发系统主动相位补偿过程的攻击方法。

背景技术

相位漂移是相位编码的量子密钥分发(QKD)系统的固有问题，是决定QKD系统能否稳定运行的重要因素，所以对相位漂移的补偿尤为重要。目前，主动相位补偿方案能够较为有效的补偿系统的相位漂移。

其做法主要有两种：第一种，假设相位调制器的半波电压不发生变化，并且认为相位调制器的调制电压和相位之间的关系是线性的。在这种假设成立的情况下，Alice只需要通过Bob扫描一个工作点，即Alice发送一定数目的光子，这些光子携带的相位信息是固定的，Bob通过调节自己的相位调制器(调节的相位范围为0-2π)改变两个单光子波包之间的相位差来对此工作点的相位进行扫描，然后根据单光子干涉曲线确定工作点位置，其它的工作点则根据半波电压以及电压和相位之间的线性关系得到。但是实际器件中半波电压是在变化的，而且这种关系也并非是线性的。所以对该补偿方案进行了改进，也就是第二种补偿方案，在此方案中，不再利用调制电压和相位之间的线性关系，Alice的四个工作点以及Alice和Bob的相位调制器的半波电压都要利用上述方式进行扫描得到。

虽然采用上述的主动相位补偿方案可以有效的解决相位漂移问题，但在该补偿过程中存在的安全性问题还没有人考虑。

发明内容

本发明首次提出了单向相位编码QKD系统的主动相位补偿过程中存在的安全性问题，为了克服上述补偿相位补偿方法中存在的安全性问题，本发明提出了一种基于单向相位编码量子密钥分发系统(QKD)主动相位补偿(APC)的攻击方法，将该方法称为APC攻击，采用该攻击方法能够提高通信安全。

为了实现上述APC攻击，其技术方案为：

一种基于单向量子密钥分发系统主动相位补偿的攻击方法，首先在主动相位补偿的阶段，Eve通过调节插入在长程光纤中相位调制器改变Alice发送的单光子波包之间的相位差，使Alice的四个工作点的量子态变成非标准BB84状态；其次在量子密钥分发阶段，Eve对Alice发送给Bob的量子态进行截获测量并重发，即该攻击方法包括两部分：

第一部分，在主动相位补偿的阶段，Eve通过量子信道中插入相位调制器，对其进行选择性相位调制，以改变Alice发送的量子态所携带的相位信息，使其变成非标准BB84状态；

第二部分，在量子密钥分发阶段Eve做攻击，Eve截获Alice发送给Bob的量子态，并选择测量算子M₀进行半正定算子POVM测量，在得到测量结果后，以α:β的比例随机的发送标准的BB84状态0和给Bob。

Eve将Alice原有的标准BB84状态变为非正交的状态后，可以降低在测量过程中产生的误码率。同时，POVM测量得到结果后，以随机的比例发送0和两个状态可以平衡Bob端探测器接收密钥0和1的概率。

优选的，所述主动相位补偿过程具体为：

S11.Alice发送一定数目的确定量子态的单光子给Bob进行扫描，Bob已知每次Alice发送过来的单光子所携带的相位信息；

S12.Bob调节自己的相位调制器PMB改变两个单光子波包之间的相位差，其相位调节范围为0-2π；对Alice发送过来的单光子进行扫描，通过得到的单光子干涉曲线确定这些单光子所携带相位的漂移量；

S13.Bob通过经典信道通知Alice该工作点的单光子需要修改的相位对应的电压值；

Eve在长程光纤中插入自己的相位调制器，在所述主动相位补偿过程的步骤S11后，通过调制自身的相位调制器对从Alice发送过来的单光子加载相位，改变两个单光子波包之间的相位差，以改变Alice发送的量子态所携带的相位信息，使其变成非标准BB84状态。

所述步骤S11到S13的主动相位补偿过程，Alice必须对每一个工作点都进行扫描，Eve才可以进行攻击。

由于Alice和Bob对每一个工作点都会进行扫描，所以Eve可以从长程光纤介入，对相位信息进行主动的修改，使其变为非标准的BB84状态。

优选地，所述在主动相位补偿过程中Eve的操作中，Eve在两个单光子波包之间的相位差上附加一个新的相位差δ，Alice通过Bob端得到的单光子干涉曲线进行调整后，其相位不再是标准的BB84状态；具体为：

Alice发送携带标准BB84相位0的单光子给Bob时；

Eve不改变这些单光子波包的相位差；

Bob根据扫描得到的单光子干涉曲线通知Alice需要调整的相位为相位漂移δ_d；

则lice的这一工作点的相位仍为状态0；

或

Alice发送携带标准BB84相位的单光子给Bob时；

Eve对这些单光子波包的相位差上加载新的相位差

Bob根据扫描得到的单光子干涉曲线通知Alice需要调整的相位为相位漂移量和Eve改变的量；

则Alice的这一工作点的相位变为δ₁；

或

Alice发送携带标准BB84相位π的单光子给Bob时；

Eve对这些单光子波包的相位差上加载新的相位差(π-(δ₁+δ₂))；

Bob根据扫描得到的单光子干涉曲线告诉Alice需要调整的相位为相位漂移量和Eve改变的量；

则Alice的工作点的相位变为δ₁+δ₂；

或

Alice发送携带标准BB84相位的单光子给Bob时；

Eve对这些单光子波包的相位差上加载新的相位差

Bob根据扫描得到的单光子干涉曲线告诉Alice需要调整的相位为相位漂移量和Eve改变的量；

则Alice的工作点的相位变为δ₁+δ₂+δ₃；

即Eve将Alice的原有的四个标准的BB84状态变为了非正交的状态{0,δ₁,δ₁+δ₂,δ₁+δ₂+δ₃}。其中，δ₁,δ₂,δ₃的值由Eve做的相位差改变量来决定。

优选地，当δ₁,δ₂,δ₃满足条件δ₁＝δ₂＝δ₃，即所述攻击为线性APC攻击；否则为非线性APC攻击；

在保证Bob端探测器得到密钥0和密钥1的概率相同的情况下，改变δ₁,δ₂,δ₃的值能够使得所述非线性APC攻击产生的误码率QBER低于线性APC攻击的QBER。

对于非线性APC攻击，所述POVM测量包括四个测量算子，分别为{M₀,M₁,M₂,M₃₄}；测量算子的原则是当使用该算子时，测量得到某一个量子态的概率为0。例如，选用算子M₀作为测量量子态时，为了使得测量结果中得到|ψ₂(相位信息为δ₁的量子态)的概率为0，就要选择与|ψ₂垂直的量子态|ψ的外积作为算子M₀。相位重映射攻击文献中所述的POVM测量是当Eve选择{M₀,M₁,M₂,M₃}测量量子态并得到结果时，发送相应的标准BB84状态给Bob。但在本发明中，为了降低误码率同时平衡Bob端探测器接收到密钥0和1的概率。Eve只选择M₀对量子态进行测量，得到测量结果时，Eve以α:β的比例随机的发送0和状态给Bob；没得到结果，则不发送任何状态给Bob，其中α+β＝1。则此时则由于Eve实施攻击产生的误码率为：

${\mathrm{QBER}}_0=\frac{3-\mathrm{\α}-(1-\mathrm{\α})\cos ({\mathrm{\δ}}_1+{\mathrm{\δ}}_2)-(2-\mathrm{\α})\cos \left({\mathrm{\δ}}_2\right)-a\cos \left({\mathrm{\δ}}_3\right)}{2(3-\cos ({\mathrm{\δ}}_1+{\mathrm{\δ}}_2)-\cos \left({\mathrm{\δ}}_2\right)-\cos \left({\mathrm{\δ}}_3\right))}$

在所述非线性APC攻击中，可以满足在产生的QBER低于通信双方认为的安全值情况下使得Bob端探测器接收到密钥0和1的比例γ＝1。一般基于BB84协议的QKD系统认为在没有特洛伊木马攻击的情况下，误码率低于20％时系统是安全的。这一点不同于针对双向系统的相位重映射攻击。在相位重映射攻击描述的攻击方案下，Bob端探测器接收到密钥0和1的比例γ＝2。码率的不均衡容易使通信双方发现窃听的存在。

密钥0和密钥1的比值可以表示为：

$\mathrm{\γ}=\frac{1+3\mathrm{\α}}{5-3\mathrm{\α}}$

这样一来就可以通过调整α:β的值来实现0、1码的均衡，同时保证产生的误码率值低于通信双方认为的安全值。

本发明的重要意义在于提出了量子密钥分发系统的实际安全性问题中一种可能存在的攻击方式——APC攻击，APC攻击有以下几个特点：

1、区别于相位重映射攻击，本发明所述APC攻击适用于应用主动相位补偿过程的单向相位编码系统(如双M-Z、双F-M QKD系统)；

2、对所述APC攻击，Eve可以修改Alice的状态，来实现以最小的误码率为代价来窃取密钥信息的目的；

3、对所述非线性APC攻击，可以实现在保证误码率低于通信双方所认为的安全值的情况下，Bob端探测器0和1响应的概率相同。

附图说明

图1为本发明应用于双M-Z系统主动相位补偿过程中的结构示意图。

图2为本发明应用于双F-M系统主动相位补偿过程中的结构示意图。

图3为本发明Eve改变Alice工作点状态的过程描述。

图4为本发明应用于量子密钥分发过程中的结构示意图。

图5为本发明线性APC攻击与非线性APC攻击产生的误码率示意图。

具体实施方式

下面结合附图对本发明做进一步的描述，但本发明的实施方式并不限于此。

在主动相位补偿的阶段，对于双M-Z系统，如图1所示，从Alice端激光器SPS发出一个光脉冲，经过Alice端的不等臂MZ干涉环分成两路。走短臂的光脉冲被Alice端的相位调制器加载固定的相位信息。在光脉冲传输到长程光纤时，Eve会利用自己的相位调制器PME对光脉冲加载附加的相位信息以改变两光子波包的相位差。Bob以一定的步径调节自己的相位调制器PMB(调节范围为0-2π)，对Alice发送过来的光脉冲信号加载相位信息。经过Alice端M-Z干涉环短臂和Bob端M-Z干涉环长臂的信号与经过Alice端M-Z干涉环长臂和Bob端M-Z干涉环短臂的信号会在Bob端发生干涉，探测器根据干涉结果的不同会发生响应。Bob通过探测器的单光子干涉曲线确定Alice发送的量子态的相位漂移量，并通过经典信道通知Alice需要调整的相位。

对于双F-M系统，如图2所示，Eve也可以进行同样的操作。

经过这个过程，Eve就把Alice的相位就由标准的BB84状态变为{0,δ₁,δ₁+δ₂,δ₁+δ₂+δ₃}。图3为Eve改变Alice相位的过程和结果。

图4描述了Eve在量子密钥分发过程中的操作。在量子密钥分发的过程中，Eve截获Alice发送给Bob的状态{0,δ₁,δ₁+δ₂,δ₁+δ₂+δ₃}，并选择测量算子M₀进行POVM测量。如果得到测量结果，则按照α:β的比例随机的发送标准的BB84状态0和给Bob。

上述的APC攻击方案引起的误码率可以表示为：

${\mathrm{QBER}}_0=\frac{3-\mathrm{\α}-(1-\mathrm{\α})\cos ({\mathrm{\δ}}_1+{\mathrm{\δ}}_2)-(2-\mathrm{\α})\cos \left({\mathrm{\δ}}_2\right)-a\cos \left({\mathrm{\δ}}_3\right)}{2(3-\cos ({\mathrm{\δ}}_1+{\mathrm{\δ}}_2)-\cos \left({\mathrm{\δ}}_2\right)-\cos \left({\mathrm{\δ}}_3\right))}$

Bob端接收到密钥0和密钥1的比值可以表示为：

$\mathrm{\γ}=\frac{1+3\mathrm{\α}}{5-3\mathrm{\α}}$

由以上表达式可以看出，可以通过调节δ₁,δ₂,δ₃,α,β的值，平衡密钥0和1的比值同时找到最低的QBER值。

图5描述了线性APC、非线性APC攻击产生的误码率与密钥0、密钥1比值γ之间的关系。从图中可以看出，在Bob端探测器接收到密钥0和1比例相同的情况下，选择最优的δ₁,δ₂,δ₃值可以使得非线性APC攻击产生的误码率低于线性APC攻击。对于所述线性APC攻击，当密钥0和1的比例均衡时，系统QBER已经高于通信双方认为的安全值时，因而比较容易暴露；然而对于非线性APC攻击而言，当γ为1的时候，其产生的误码率低于通信双方认为的安全值。又由于涨落现象的存在，使得当Bob端探测器接收到密钥0和1的比例略大于1时也可以被认为是正常现象，这样一来由图5可知，非线性APC攻击产生的QBER就可以更低。

以上所述的本发明的实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神原则之内所作出的修改、等同替换和改进等，均应包含在本发明的权利要求保护范围之内。

Claims (5)

1.一种基于单向量子密钥分发系统主动相位补偿的攻击方法，其特征在于，包括两部分：

第一部分，在主动相位补偿的阶段，Eve通过在量子信道中插入相位调制器，对其进行选择性相位调制，以改变Alice发送的量子态所携带的相位信息，使其变成非标准BB84状态；

第二部分，在量子密钥分发阶段Eve做攻击，Eve截获Alice发送给Bob的量子态，并选择测量算子M₀进行半正定算子POVM测量，在得到测量结果后，以α:β的比例随机的发送标准的BB84状态0和给Bob，其中α+β＝1。

2.根据权利要求1所述的基于单向量子密钥分发系统主动相位补偿的攻击方法，其特征在于，所述主动相位补偿过程具体为：

S11.Alice发送一定数目的确定量子态的单光子给Bob进行扫描，Bob已知每次Alice发送过来的单光子所携带的相位信息；

S12.Bob调节自己的相位调制器PMB改变两个单光子波包之间的相位差，其相位调节范围为0-2π；对Alice发送过来的单光子进行扫描，通过得到的单光子干涉曲线确定这些单光子所携带相位的漂移量；

S13.Bob通过经典信道通知Alice该工作点的单光子需要修改的相位对应的电压值；

Eve在长程光纤中插入自己的相位调制器，在所述主动相位补偿过程的步骤S11后，通过调制自身的相位调制器对从Alice发送过来的单光子加载相位，改变两个单光子波包之间的相位差，以改变Alice发送的量子态所携带的相位信息，使其变成非标准BB84状态。

3.根据权利要求2所述的基于单向量子密钥分发系统主动相位补偿的攻击方法，其特征在于，所述在主动相位补偿过程中Eve的操作中，Eve在两个单光子波包之间的相位差上附加一个新的相位差δ，Alice通过Bob端得到的单光子干涉曲线进行调整后，其相位不再是标准的BB84状态；具体为：

Alice发送携带标准BB84相位0的单光子给Bob时；Eve不改变这些单光子波包的相位差；Bob根据扫描得到的单光子干涉曲线通知Alice需要调整的相位为相位漂移δ_d，则lice的这一工作点的相位仍为状态0；

Alice发送携带标准BB84相位的单光子给Bob时；Eve对这些单光子波包的相位差上加载新的相位差Bob根据扫描得到的单光子干涉曲线通知Alice需要调整的相位为相位漂移量和Eve改变的量；则Alice的这一工作点的相位变为δ₁；

Alice发送携带标准BB84相位π的单光子给Bob时；Eve对这些单光子波包的相位差上加载新的相位差(π-(δ₁+δ₂))；Bob根据扫描得到的单光子干涉曲线告诉Alice需要调整的相位为相位漂移量和Eve改变的量；则Alice的工作点的相位变为δ₁+δ₂；

Alice发送携带标准BB84相位的单光子给Bob时；Eve对这些单光子波包的相位差上加载新的相位差Bob根据扫描得到的单光子干涉曲线告诉Alice需要调整的相位为相位漂移量和Eve改变的量；则Alice的工作点的相位变为δ₁+δ₂+δ₃；

即Eve将Alice的原有的四个标准的BB84状态变为了非正交的状态{0,δ₁,δ₁+δ₂,δ₁+δ₂+δ₃}。

4.根据权利要求3所述的基于单向量子密钥分发系统主动相位补偿的攻击方法，其特征在于，当δ₁,δ₂,δ₃满足条件δ₁＝δ₂＝δ₃，即所述攻击为线性APC攻击；否则为非线性APC攻击；

在保证Bob端探测器得到密钥0和密钥1的概率相同的情况下，改变δ₁,δ₂,δ₃的值能够使得所述非线性APC攻击产生的误码率QBER低于线性APC攻击的QBER。

5.根据权利要求4所述的基于单向量子密钥分发系统主动相位补偿的攻击方法，其特征在于，对于非线性APC攻击，所述POVM测量包括四个测量算子，分别为{M₀,M₁,M₂,M₃₄}；Eve只选择M₀对量子态进行测量，得到测量结果时，Eve以α:β的比例随机的发送0和状态给Bob；没得到结果，则不发送任何状态给Bob，其中α+β＝1。