CN106788706B

CN106788706B - 可抵御实际攻击的连续变量量子密钥分发方法

Info

Publication number: CN106788706B
Application number: CN201611106353.5A
Authority: CN
Inventors: 黄鹏; 曾贵华
Original assignee: Shanghai Jiaotong University
Current assignee: Shanghai Circulation Quantum Technology Co ltd
Priority date: 2016-12-05
Filing date: 2016-12-05
Publication date: 2020-01-07
Anticipated expiration: 2036-12-05
Also published as: CN106788706A

Abstract

本发明提供了一种可抵御实际攻击的连续变量量子密钥分发方法，包括：步骤A：进行连续变量量子信息传输；步骤B：包含预处理操作的数据后处理步骤，是指Bob根据峰谷值查找及高斯后选择获取原始密钥，并结合实时监控的本振光强评估获得准确参数评估，并最终进行数据后处理获取最终密钥；本发明无需改变传统高斯调制CVQKD硬件结构的基础上防御现有的所有针对高斯调制CVQKD系统的实际攻击，大大简化了防御实际攻击的实际成本，降低了系统复杂度。避免了传统防御方法对信号路的衰减，从而保证高斯调制CVQKD系统具有更高的输出密钥率，进一步消除了系统的潜在安全性漏洞，提高了系统的鲁棒性。

Description

可抵御实际攻击的连续变量量子密钥分发方法

技术领域

本发明涉及信息安全技术领域，具体地，涉及可抵御实际攻击的连续变量量子密钥分发方法。

背景技术

随着信息安全越来越受到关注，具有独特安全性的量子保密通信也逐渐被大家所熟悉。目前量子保密通信有两种实现方式，即基于离散变量技术及连续变量技术的量子保密通信，其中量子密钥分发(quantum key distribution,QKD)技术是研究重点。离散变量量子密钥分发(discrete-variable quantum key distribution,DVQKD)目前已经发展较为成熟，而连续变量量子密钥分发(continuous-variable quantum key distribution,CVQKD)出现相对较晚，但发展迅速，目前正在进行应用化的研究。和离散变量技术一样，连续变量QKD也具有无条件安全性。然而不论是离散变量还是连续变量技术，QKD系统在实际运行时的安全性问题还尚未解决。这是由于理论方案与实际QKD系统运行的差异导致的结果，即系统会由于自身模块或者软件算法在运行时的非理想性引入漏洞，从而导致系统的不安全性。目前已有的实际攻击包括本振光抖动攻击、标度攻击、波长攻击、特洛伊木马攻击、饱和攻击等，其中一类重要的攻击手段就是改变系统的散粒噪声方差的标度攻击。

CVQKD可以让分隔两地的通信双方，Alice和Bob，通过量子信道和经过认证的经典信道获得密钥。在高斯调制CVQKD协议中，Alice利用高斯调制将信息调制在光场的正则分量上，Bob可利用高效率的Homodyne或Heterodyne检测器提取密钥信息。而且连续变量技术具有和经典光通信较好的融合性。近年来，高斯调制CVQKD在理论分析和实验验证方面取得了明显进展。在实验上，如基于光纤的高斯调制相干态协议的QKD系统，已经成功实现了150公里的密钥分发。在理论方面，高斯调制CVQKD协议在有限长密钥情况下的无条件安全性也已经得到证明。

然而对于实际高斯调制CVQKD系统，不仅包括其运行的QKD协议，还包含其他各个维持系统运行的硬件上的子系统，如信源模块、检测模块，以及软件子系统，如相位补偿、同步算法等。实际的高斯调制CVQKD系统中的各个硬件及软件子系统、模块不可能是理论上的完善的，比如信号源可能会产生过噪声，调制器也会存在偏差，检测系统存在过噪声，算法存在偏差和漏洞等等。这些不完善或者忽略边带信道都可能被潜在窃听者Eve所利用，从而影响高斯调制CVQKD系统的整体安全性。例如，在理论安全性分析方案中，本振光都没有直接相关的考虑。然而在实际系统的安全性分析中，本振光强和系统散粒噪声方差具有直接关系，系统散粒噪声方差则是用于标定系统调制方差、系统过噪声等参量的关键参数。基于此项特性，各国研究者提出了针对本振光的波动攻击及散粒噪声方差标度攻击。为此研究者们提出了基于本振光强度监控方案，可以在通信之前先确定散粒噪声方差和本振光强的线性关系，从而根据本振光大小来判断散粒噪声方差。这种方法并没有实时获得散粒噪声方差，只是在密钥分发之前获得的关于本振光和散粒噪声方差的关系。

然而该方案对针对时移散粒噪声方差标度攻击无效，即攻击者Eve在密钥分发过程中攻击本振光并改变系统峰值采样时序，可导致系统的散粒噪声方差发生改变，将会改变之前建立的本振光和散粒噪声的线性关系。此时合法通信方将无法获得改变后实际散粒噪声方差，从而不能获取实际准确的密钥率，导致防御失败。随后人们提出了散粒噪声方差实时监控方案，然而该方案在引入波长攻击漏洞下还是存在不安全性，因为攻击者可以联合基于时移的散粒噪声方差标度攻击及波长攻击掩盖攻击者在截取重发攻击时引入的过噪声，从而获取安全密钥。可以看出散粒噪声方差标度攻击是一类重要的实际攻击，其本质是使得合法通信方过高地评估系统的散粒噪声方差，从而过低地评估系统过噪声。另外，攻击者还可以进行特洛伊木马攻击，并利用Homodyne检测器在饱和工作情况下的非线性的漏洞，攻击者还可以实施饱和攻击。

为防御以上实际攻击，一个有效的监控方法是在原有高斯调制CVQKD信号路引入不同衰减量，通过联立在不同衰减量下的输入输出方程，可以获取准确的散粒噪声方差值，保证系统关键参量及最终密钥率评估的准确性，从而保证系统的实际运行安全(防御特洛伊木马攻击可通过在光路系统中插入隔离器实现)。然而该方案需要在信号路插入一个强度调制器，一方面改变了原有高斯调制CVQKD方案光路结构，增加了系统的实现复杂度，另一方面由于引入强度调制器，衰减了信号路强度，等效地降低了系统检测器效率，从而降低了系统最终密钥率。

为了解决上述问题，本发明提出了一种可抵御现有的所有实际攻击的连续变量量子密钥分发方法，该方法基于峰谷查找及高斯后选择技术，其中峰谷查找方法可保证合法通信方能使得合法通信方利用本振光光强监控及其与散粒噪声方差之前建立的关系获取实际高斯调制CVQKD系统散粒噪声方差值，即该技术可防御现有的所有标度攻击策略；而高斯后选择技术可用于防御饱和攻击策略。该方法不需要改动原有高斯调制CVQKD硬件架构，还可去除了原有的同步光信号的传输，进一步简化光路系统。而由于不存在光路的改动，系统密钥率和原有高斯调制CVQKD系统密钥率一致，比之前的防御方案具有更高的效率及简单的结构。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种可抵御实际攻击的连续变量量子密钥分发方法。

根据本发明提供的可抵御实际攻击的连续变量量子密钥分发方法，包括如下步骤：

步骤A：进行连续变量量子信息传输；

步骤B：Alice和Bob对过采样数据进行预处理操作和数据后处理操作，其中预处理操作用于筛选出正确的原始密钥，数据后处理操作用于提取安全密钥。

优选地，所述步骤A包括如下步骤：

步骤A1：发送方Alice及接收方Bob对CVQKD系统进行通信初始化，包括对CVQKD系统中的相干光源、随机数源、调制器、检测器以及控制电路的初始化设置；

步骤A2：Alice端光分束器将相干光源分为信号光和本振光，并对信号光进行相位调制及幅度调制，通过时分及偏振复用将调制的信号光及剩余的本振光一起发送给Bob；

步骤A3：Bob通过时间及偏振的解复用，并通过分束器分出部分本振光，利用光功率计进行实时功率监控；同时Bob利用Homodyne检测器随机测量接收到的信号，输出模拟电压信号；

步骤A4：Bob基于自身产生的时钟通过AD数据采集卡对Homodyne输出的模拟电压信号进行数据过采样，并保存过采样数据。

优选地，所述步骤A3包括如下步骤：

步骤A3.1：Bob通过随机改变本振光相位，所述相位为0度或者90度，对应地对相干态正则分量X和P进行Homodyne检测；

步骤A3.2：Bob同时通过光功率计对本振光进行功率监控，即利用光分束器beamsplitter,简称BS，分出部分本振光进行功率监控，获取本振光实时强度，用于数据预处理中的实际参数评估操作。

优选地，所述步骤B包括如下步骤：

步骤B1：Alice和Bob对过采样数据进行预处理操作，包括采用峰谷查找算法及高斯后选择算法筛选出正确的原始密钥；

步骤B2：Alice和Bob对原始密钥数据进行相位补偿操作，Bob根据对应的本振光强度评估实际系统散粒噪声方差，并随机抽取部分初始密钥，根据评估的散粒噪声方差评估实际系统运行关键参数，得到信号过噪声、调制方差以及信道透过率参数；

步骤B3：Bob通过基于LDPC编码的高效率多维协商算法对相位补偿后剩余的原始密钥数据进行纠错，输出一致的二进制共享密钥串；

步骤B4：Bob通过信道参数计算Holevo限及合法通信方的互信息量，得到信息压缩率，最后通过保密增强输出最终密钥。

优选地，所述步骤B1包括如下步骤：

步骤B1.1：Bob通过峰谷值查找算法对每个脉冲周期内的过采样数据进行比较分析，最终得到唯一的峰值或者谷值采样值，保证采集的数据值为真实编码相关值，获得预处理数据；本步骤可防御目前针对CVQKD系统的所有的标度攻击；

步骤B1.2：Bob对采集到的预处理数据进行高斯后选择操作，保证获得的数据处于实际Homodyne正常输出区间，获得原始密钥数据。该步骤可防御针对CVQKD系统的饱和攻击。

优选地，在Alice与Bob的光路中设置有隔离器。用于防御针对CVQKD系统的特洛伊木马攻击。

与现有技术相比，本发明具有如下的有益效果：

1、本发明中的方法可在无需改变传统高斯调制CVQKD硬件结构的基础上防御现有的所有针对高斯调制CVQKD的实际攻击，仅仅是改变了数据后处理软件算法步骤，大大简化了防御实际攻击的实际成本，降低了系统复杂度；

2、本发明中的方法由于不需要对传统高斯调制CVQKD系统硬件结构做改动，因此可避免传统防御方法对信号路的衰减，从而保证高斯调制CVQKD系统具有更高的输出密钥率；

3、本发明中的方法采用异步通信方式，即Bob端采用自身的频率进行数据采样，可避免经典同步信号的传输，进一步简化了高斯调制CVQKD系统的复杂度，而且进一步消除了系统的潜在漏洞，提高了系统的鲁棒性。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为可抵御实际攻击的连续变量量子密钥分发方法接收端原理结构示意图；

图2为可抵御实际攻击的连续变量量子密钥分发方法接收端Homodyne输出模拟电压信号过采样示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

针对现有技术中的缺陷，本发明的目的是提供一种可抵御实际攻击的连续变量量子密钥分发方法，是一种通过利用改进原有高斯调制CVQKD系统数据后处理方法用于防御现有实际攻击的方法，该方法在原有数据后处理的基础上加入了数据预处理步骤，包括峰谷值查找及高斯后选择两个部分，从而使得合法通信方通过监控本振光强度即总能准确监控系统散粒噪声方差及过噪声等关键参数，并对数据进行后选择筛选，可抵御所有标度攻击及饱和攻击。进而在无需改变系统硬件结构的基础上保证高斯调制CVQKD在实际攻击下的安全性。需要指出的是，由于存在本振光监控，且能防御任何散粒噪声方差标度攻击，本振光抖动攻击及波长攻击都无效，因为针对Homodyne系统的波长攻击需要联合散粒噪声方差标度攻击。另外，通过在光路中加入隔离器，可实现对特洛伊木马攻击的有效防御。因此该方法可防御在实际应用中针对高斯调制CVQKD的所有已知实际攻击。

根据本发明提供的一种可抵御实际攻击的连续变量量子密钥分发方法，包括：

步骤A：连续变量量子信息传输步骤；

步骤B：包含预处理操作的数据后处理步骤；

其中：

所述连续变量量子信息传输步骤，是指信息发送方Alice发送高斯调制相干态信号给信息接收方Bob，Bob通过Homodyne检测器进行检测，并将输出模拟响应结果通过数据采集板卡(AD)对Homodyne输出信号进行过采样，并保存过采样数据；同时，Bob利用光功率计对收到的本振光强度进行监控，获得实时本振光光强数据；

优选地，所述步骤A包括如下步骤：

步骤A1：发送方Alice及接收方Bob对高斯调制CVQKD系统进行通信初始化，包括对高斯调制CVQKD系统中的相干光源、随机数源、调制器、检测器以及控制电路等器件；

其中，所述Homodyne检测及本振光监控的过程为：Bob通过随机改变本振光相位(0度或者90度)，对应地对相干态正则分量X和P进行Homodyne检测。Bob同时通过光功率计对本振光进行功率监控，即利用BS分出部分本振光进行功率监控，获取本振光实时强度，用于数据预处理中的实际参数评估操作。

所述步骤B，具体为：Alice和Bob对过采样数据进行预处理操作和数据后处理操作，其中预处理操作用于筛选出正确的原始密钥。随后对初始密钥进行相位补偿操作，并随机抽取部分原始密钥，根据对应的本振光强度评估实际系统散粒噪声方差，并通过公布部分随机原始密钥进一步准确评估系统信道过噪声等关键参数，可从根本上抵御基于关键参数篡改的针对高斯调制CVQKD系统的各种实际攻击。最后通过数据后处理操作，其中包含协商及保密增强操作，最终提取安全密钥。包括如下步骤：

步骤B1：Alice和Bob对过采样数据进行预处理操作，包括峰谷查找算法及高斯后选择算法用于筛选出正确的原始密钥；

为实现上述目的，本发明采用的技术方案如下：

首先，Alice及Bob对高斯调制CVQKD系统进行通信初始化，包括信源、随机数源、编解码器、检测器及控制电路的初始化。在接收端，一方面，Bob通过光功率计对本振光光强进行监控；另一方面，和传统高斯调制CVQKD方案使用同步触发信号来采样Homodyne检测器的输出模拟信号的峰谷值不同，Bob在接收端对Homodyne检测器输出的每个信号脉冲进行频率为f_samp的过采样，并保存过采样数据做下一部分析。随后Bob采用峰谷值查找算法找出每个脉冲信号周期内的唯一峰值或者谷值信号，然后进行基选择使得Alice和Bob共享一串初始密钥，并通过高斯后选择方式对初始密钥进行筛选，提取原始密钥。最后，Alice和Bob进行相位补偿操作，后续Alice和Bob通过随机选择部分密钥数据，结合本振光强度监控进行参数评估，并进行数据协商及保密增强操作，最后获取安全密钥。

需要指出的是，通过这个第二个步骤，合法通信方总能找出实际峰谷值信号，使得Bob端根据原始密钥评估的散粒噪声方差值总能和根据光功率计评估的散粒噪声方差值相对应，从而保证过噪声等关键参数评估的准确性，保证系统安全运行。这里在通信之前，我们需要先建立本振光强度与散粒噪声方差的线性关系，通过该线性关系，结合该方案，总能使得检测器响应中散粒噪声方差与线性关系获得值保持一致，从而防御针对散粒噪声方差标度攻击。另外，由于数据获取时采用了高斯数据后选择操作，可进一步保证获取原始密钥数据的高斯特性，从而抵御饱和攻击。

具体地，当Bob通过采样与峰谷查找算法及高斯后选择后，Alice与Bob将共享一串原始密钥数据。假设Alice和Bob对比基后的数据为X，X＝{x₁,x₂,…x_i…x_N}，x_i表示第数组X中的第i个数据，Bob端的数据为Y，Y＝{y₁,y₂,…y_i…y_N}，y_i表示第数组Y中的第i个数据，这些数据满足如下关系：

式中：x表示Alice发送的用于编码原始密钥数据，y表示Bob经Homodyne检测器(量子平衡零差检测器)检测后收到的原始密钥数据，V_x表示原始密钥数据的方差，下标x表示是发送端数据，<·>表示求算术平均运算，η表示Bob端Homodyne检测器效率，N₀表示散粒噪声方差，ξ表示信道过噪声，V_el表示Homodyne检测器电噪声，T表示信道透过率；

其中：ξ＝εN₀，V_el＝v_elN₀；

考虑高斯模型，Alice和Bob交换m组数据{x_i,y_i}_i＝1,...,m用于评估通信参数，则y＝tx+z，其中

z服从一个均值为零，方差为σ²＝(1+ηTε+ν_el)N₀，其中v_el是归一化了的检测器电噪声。合法通信方可以评估得到信道透过率、信道过噪声及调制方差分别为

式中：

为标定的散粒噪声方差，

及为最大似然估计值，具体如下：

它们为独立分量，对应地服从如下分布

式中：

表示均值为t，方差为

的正态分布，χ²(m-1)表示自由度为m-1的卡方分布；其中检测器相关参数η，v_el都是预先获取的稳定值。

根据密钥分发过程中标定的散粒噪声方差

值，可计算得到系统信道过噪声等运行参数。通过公式(1)可以看出检测器输出包括信号分量、散粒噪声方差、信道过噪声及电噪声等部分，当标定的散粒噪声方差

值大于检测器输出的真实值，即

时，信道过噪声将会评估不准，使得过噪声过低评估值ξ′为

通过归一化可得到

从而导致密钥率的计算出错，即过少地评估了Eve获取的信息，导致在保密增强部分过少地压缩了泄露信息，导致系统实际运行不再安全。

本发明的一个目的是通过采样及峰谷值采样技术使得通过本振光监控评估的散粒噪声方差与通过交换原始密钥评估的散粒噪声方差一致，即评估值与真实值一致，保证关键参数的计算安全性，进而保证系统可防御一切散粒噪声方差标度攻击及波长攻击。另一个目的则是通过高斯后选择使得获取的原始密钥服从高斯分布，从而抑制针对Homodyne检测器的饱和攻击。而在光路中插入隔离器并进行本振光监控，进一步保证系统系统对特洛伊木马攻击及本振光抖动攻击的防御，进而在无需改变系统硬件结构的基础上保证高斯调制CVQKD在实际攻击下的安全性。

图1为一种可抵御实际攻击的连续变量量子密钥分发方法接收端原理结构；发送端结构和传统高斯调制CVQKD方法一致。

图2为一种可抵御实际攻击的连续变量量子密钥分发方法接收端Homodyne输出模拟电压信号过采样示意图。其中T_s＝1/f_s为量子信号光脉冲周期，f_samp为Bob接收端过采样频率，A₆,B₆,C₆,D₆分别为四个脉冲周期内采集得到的电压输出位置，可以看出在散粒噪声方差标度攻击下未得到准确峰值，下图为该发明方法下CVQKD系统Homodyne输出模拟电压信号采样示意图，通过采样及峰谷值查找可以得到准确的峰谷值输出电压A₇,B₇,C₇,D₇分别为四个对应输出位置，保证了检测器输出散粒噪声方差与通过本振光强度监控获取的散粒噪声方差一致。

下面结合具体实施例对本发明中的技术方案做更加详细的说明，具体步骤如下：

(1)连续变量量子信息传输阶段：首先由高斯调制CVQKD系统从Alice端编码一串高斯随机数在相干态上，将编码后的相干态作为信号态，并和本振光信号一起通过时分复用和偏振复用发送至Bob端。Bob通过Homodyne检测器进行检测，并将输出结果通过数据采集板卡(AD)对Homodyne输出信号进行过采样，并保存过采样数据；同时，Bob利用光功率计对收到的本振光强度进行监控，获得实时本振光光强数据。

(2)数据预处理操作阶段：Bob对Homodyne检测器每个输出脉冲周期内的过采样数据进行峰谷值查找，获得初始密钥数据，并对初始密钥数据进行高斯后选择操作，获得原始密钥数据。以上操作的目的是保证Homodyne检测获取的数据包含的散粒噪声方差分量与实际本振光强度监控得到的散粒噪声方差保持一致，并保持高斯分布特性。Alice和Bob对原始密钥数据进行相位补偿操作，Bob根据对应的本振光强度及建立的本振光强与散粒噪声方差的线性关系评估实际系统散粒噪声方差，并随机抽取部分初始密钥，根据评估的散粒噪声方差评估实际系统运行关键参数，得到信号过噪声、调制方差以及信道透过率参数，可从根本上抵御基于关键参数篡改的针对高斯调制CVQKD的各种实际攻击。

(3)数据后处理阶段：Bob通过基于LDPC编码的高效率多维协商算法对相位补偿后的初始连续密钥数据进行纠错，输出一致的二进制共享密钥串。Bob通过信道参数计算Holevo限及合法通信方的互信息量，得到信息压缩率，最后通过保密增强输出最终密钥。

通过以上过程，可以在高斯调制CVQKD系统运行时通过本振光监控获取的散粒噪声方差值与检测器输出值中的散粒噪声方差值保值一致，从而保证通过共享的原始密钥进行参数评估得到系统关键参数的准确性，使得系统能抵御任何散粒噪声方差标度攻击。另外，由于采用高斯后选择操作对初始密钥数据进行筛选，保证系统的高斯输出特性，可抵御针对高斯调制CVQKD系统的饱和攻击。结合光路特性，可实现对特洛伊木马及本振光强度抖动攻击的有效防御，从而可防御在实际应用中针对高斯调制系统的所有已知实际攻击。

本发明提供的可抵御实际攻击的连续变量量子密钥分发(CVQKD)方法，是一种通过改进高斯调制CVQKD系统Homodyne检测器数据获取方法，并结合高斯后选择及实时本振光监控方法，以准确获取系统运行时的准确散粒噪声方差，并结合参数估计方法获取系统实时运行密钥率，可从根本上防御现有的所有针对高斯调制CVQKD系统的实际攻击。

本发明中的方法基于峰谷值查找及高斯后选择的高斯调制CVQKD，可在不改动现有高斯调制相干态CVQKD实现方案的基础上实现全面实际攻击的防御；另外，由于该方法本身基于高斯调制相干态，自身具有无条件理论安全性。

本发明不需要改动原有高斯调制CVQKD硬件架构，还可去除了原有的同步光信号的传输，进一步简化光路系统；由于不存在光路的改动，系统密钥率和原有高斯调制CVQKD系统密钥率一致，比之前的防御方案具有更高的效率及简单的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims

1.一种可抵御实际攻击的连续变量量子密钥分发方法，其特征在于，包括如下步骤：

步骤A：进行连续变量量子信息传输；

步骤B：Alice和Bob对过采样数据进行预处理操作和数据后处理操作，其中预处理操作用于筛选出正确的原始密钥，数据后处理操作用于提取安全密钥；

所述步骤B包括如下步骤：

2.根据权利要求1所述的可抵御实际攻击的连续变量量子密钥分发方法，其特征在于，所述步骤A包括如下步骤：

3.根据权利要求2所述的可抵御实际攻击的连续变量量子密钥分发方法，其特征在于，所述步骤A3包括如下步骤：

4.根据权利要求1所述的可抵御实际攻击的连续变量量子密钥分发方法，其特征在于，所述步骤B1包括如下步骤：

步骤B1.1：Bob通过峰谷值查找算法对每个脉冲周期内的过采样数据进行比较分析，最终得到唯一的峰值或者谷值采样值，保证采集的数据值为真实编码相关值，获得预处理数据；

步骤B1.2：Bob对采集到的预处理数据进行高斯后选择操作，保证获得的数据处于实际Homodyne正常输出区间，获得原始密钥数据。

5.根据权利要求1至4任一项所述的可抵御实际攻击的连续变量量子密钥分发方法，其特征在于，在Alice与Bob的光路中设置有隔离器。