CN108599934B - 一种用于量子密钥分发的可验安全保密增强方法 - Google Patents

Abstract

本发明公开了一种用于量子密钥分发的可验安全保密增强方法，其步骤为：S1：生成初始随机数串W，通信双方（Alice和Bob）在量子密钥分发的基比对过程分别生成随机数串K _mis,A和K _mis,B，然后Alice将两者合并为随机数串W=[K _mis,A,K _mis,B]；S2：随机性验证，在量子密钥分发的纠错阶段结束后，估算W相对于攻击者Eve的最小熵下限H _min(W|E)≥1‑H ₂(e)；S3：计算最终安全密钥长度N _f ；S4：提取完美随机串W*。采用通信双方部分预共享安全密钥，构造Toeplitz矩阵H _R ，根据H _R 从W中提取完美随机数串W*；S5：根据W*，公开协商规模通用散列函数H _PA ；S6：通信双方根据H _PA ，分别对纠错后的密钥串进行哈希运算，生成最终安全密钥。本发明具有可验安全、易于实现和可简化量子密钥分发系统设计与实现等优点。

Description

一种用于量子密钥分发的可验安全保密增强方法

技术领域

本发明涉及一种可验安全保密增强方法，尤其是一种用于量子密钥分发的可验安全保密增强方法。

背景技术

量子密钥分发，基于量子物理基本原理，可以为通信双方分发信息论安全的密钥。保密增强(Privacy Amplification)是量子密钥分发系统实现安全密钥分发的至关重要的步骤，其目标是剔除在量子物理通信以及后处理过程中攻击者可能获取的部分密钥串信息，并生成相对于攻击者而言信息论安全的最终密钥。

保密增强过程中，通信双方之间通过公开信道协商通用散列函数(UniversalHash Function)，通过对双方协商生成并纠错后的弱安全密钥串进行哈希运算，得到最终安全密钥。在实际量子密钥分发系统中，通常选取额外的随机数源产生随机序列W；然后根据W构造通用散列函数Toeplitz矩阵H；再次对纠错后的密钥串K_EC进行哈希运算，得到最终安全密钥K_f。针对Toeplitz矩阵H的高效构造和高效运算技术已经相对非常成熟，而选取满足保密增强安全性需求的随机数源仍然是实际量子密钥分发系统的难点问题之一。

保密增强中的用于构造通用散列函数的种子序列W需要与K_EC独立且其最小熵大于等于Kf的最小熵，通常产生自额外的随机数源，且需要确保取自真随机数源。

一般的，真随机数产生自不可预测的物理学过程。基于量子测量过程中包含的固有随机性，可以设计实现量子随机数源。当前，许多商用随机数源均可以通过随机数检测各项标准。然而，通过随机数检测并不能验证随机数源产生的数据串相对于攻击者而言是随机的。

在早期或者实验量子密钥分发系统中有时采用计算机生成的伪随机数源产生W，具有便于系统调试、实现难度低等优势，但是该方法达不到量子密钥分发系统对保密增强技术的安全性要求，在实际量子密钥分发系统不能采取这种方法。

在自由空间或者星地量子密钥分发系统中，受限于系统资源或者工作条件，部分系统采取经典随机数源(如时钟抖动随机数源或者物理白噪声随机数源等)产生W。受限于其产生原理，W具备一定随机性，但并不是真正随机，且采用经典物理方法产生的W，存在侧信道泄露等问题，很难确保W中包含的随机性能够满足保密增强技术的安全性需求。

在大部分实际量子密钥分发系统中采取量子真随机数源产生W，其产生原理是真随机的，但是这类方法中往往没有考虑在攻击者Eve可能获取部分侧信道信息的前提下，如何确保W相对于Eve而言仍然具备足够的随机性，能够满足保密增强的安全性需求；再次，保密增强过程中要求W和K_EC是独立不相关的，在实际系统中往往没有考虑两者之间的关联性。

由上可知，现有的保密增强方法存在着严重的安全隐患，成为制约量子密钥分发系统安全性的关键因素之一。因此，面向量子密钥分发系统的信息论安全需求，设计安全可验的保密增强方法具有重要的现实意义。

发明内容

本发明要解决的技术问题在于，针对现有量子密钥分发系统中保密增强方法存在的随机数源选择和构造面临的安全威胁，本发明提供一种用于量子密钥分发的可验安全保密增强方法。

为解决上述技术问题，本发明采用以下技术方案：

一种用于量子密钥分发的可验安全保密增强方法，其步骤为：

S1：生成初始随机数串W，通信双方Alice和Bob在量子密钥分发的基比对过程分别生成随机数串K_mis,A和K_mis,B，然后Alice将两者合并为随机数串W＝[K_mis,A,K_mis,B]；

S2：随机性验证，在量子密钥分发的纠错阶段结束后，估算W相对于攻击者Eve的最小熵下限，H_min(W|E)≥1-H₂(e)，其中E表示攻击者在量子密钥分发过程中可能获取的部分密钥信息串，e表示系统的量子比特误码率，H_min(W|E)表示W相对E的条件最小熵，H2(e)表示其二进制香农熵；

S3：计算最终安全密钥长度N_f，N_f＝N_r×min{2(1-q)H_min(W|E),q[H_min(K_EC|E)-f(e)H₂(e)]}，其中N_r为初始密钥串长度，q为基比对参数，f(e)为量子密钥分发系统中纠错算法的纠错效率，通常f(e)≥1.0，H_min(K_EC|E)表示K_EC相对E的条件最小熵，K_EC表示纠错后密钥串；

S4：提取完美随机串W*。采用通信双方部分预共享安全密钥，构造Toeplitz矩阵H_R，根据H_R从W中提取完美随机数串W*。

S5：根据W*，公开协商规模通用散列函数H_PA；

S6：通信双方根据H_PA，分别对纠错后的密钥串进行哈希运算，生成最终安全密钥。

所述步骤S1的具体流程为：

S101：在量子密钥分发的基比对过程中，当通信双方Alice和Bob的基选择相反时，双方分别保存各自此时探测得到的随机比特串，表示为K_mis,A和K_mis,B；

S102：Bob端将K_mis,B发送至Alice端；

S103：Alice端随机数串K_mis,A和K_mis,B合并为随机数串W，W＝[K_mis,A,K_mis,B]。

作为本发明的进一步改进：所述步骤S4的具体流程为：

S401：Alice端选取长度为N_t(1+H_min(W|E))-2log₂ε₁-1比特的预共享密钥串构造规模为N_t×(N_tH_min(W|E)-2log₂ε₁)的Toeplitz矩阵H_R，其中N_t<<N_W，ε₁为随机数提取安全参数，例如可取值2^-30，N_W为W的长度；

S402：Alice端将W分割成N_W/N_t段较短的随机数串，每段长N_t，最后一段随机数串若长度不足N_t，则舍弃。

S403：针对每一段分割后的短随机数串，采用H_R进行哈希运算，将所有运算输出结果拼接成随机数串W*。

作为本发明的进一步改进：所述步骤S5的具体流程为：

S501：Alice将W*经公开且信息论认证的经典信道发送至Bob端；

S502：Alice和Bob分别根据W*构造规模为N_EC×(N_f-2log₂ε₂)的通用散列函数H_PA，其中ε₂为保密增强安全参数，N_EC表示纠错后密钥串长度。

与现有技术相比，本发明的优点在于：

本发明的一种用于量子密钥分发的可验安全保密增强方法，该方法采用在量子密钥分发的基比对过程中本应丢弃的测量结果来产生可验随机数串，相比于传统保密增强方法，本发明可以满足实际量子密钥分系统保密增强的信息论安全性需求，无需借助额外随机数源构造通用散列函数，具有易于实现的特点，特别是对于资源受限的自由空间和卫星星载量子密钥分发系统的设计实现具有十分重要的应用价值。

附图说明

图1是本发明方法在量子密钥分发系统中的流程示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

如图1所示，本发明的一种用于量子密钥分发的可验安全保密增强方法，其步骤为：

S1：生成初始随机数串W，通信双方(Alice和Bob)在量子密钥分发的基比对过程分别生成随机数串K_mis,A和K_mis,B，然后Alice将两者合并为随机数串W＝[K_mis,A,K_mis,B]。

S101：在量子密钥分发的基比对过程中，当通信双方Alice和Bob的基选择相反时，双方分别保存各自此时探测得到的随机比特串，表示为K_mis,A和K_mis,B；

S102：Bob端将K_mis,B发送至Alice端；

S103：Alice端随机数串K_mis,A和K_mis,B合并为随机数串W，W＝[K_mis,A,K_mis,B]。

S2：随机性验证，在量子密钥分发的纠错阶段结束后，估算W相对于攻击者Eve的最小熵下限，H_min(W|E)≥1-H₂(e)，其中E表示攻击者在量子密钥分发过程中可能获取的部分密钥信息串，e表示系统的量子比特误码率。

S3：计算最终安全密钥长度N_f，N_f＝N_r×min{2(1-q)H_min(W|E),q[H_min(K_EC|E)-f(e)H₂(e)]}，其中N_r为初始密钥串长度，q为基比对参数(在实际系统，q取值通常为0.5)，f(e)为量子密钥分发系统中纠错算法的纠错效率(通常f(e)≥1.0)。

S4：提取完美随机串W*。采用通信双方部分预共享安全密钥，构造Toeplitz矩阵H_R，根据H_R从W中提取完美随机数串W*。

S401：Alice端选取长度为N_t(1+H_min(W|E))-2log₂ε₁-1比特的预共享密钥串构造规模为N_t×(N_tH_min(W|E)-2log₂ε₁)的Toeplitz矩阵H_R，其中N_t<<N_W，ε₁为随机数提取安全参数(例如可取值2^-30)，N_W为W的长度；

S402：Alice端将W分割成N_W/N_t段较短的随机数串，每段长N_t，最后一段随机数串若长度不足N_t，则舍弃。

S403：针对每一段分割后的短随机数串，采用H_R进行哈希运算，将所有运算输出结果拼接成随机数串W*。

S5：根据W*，公开协商规模通用散列函数H_PA。

S501：Alice将W*经公开且信息论认证的经典信道发送至Bob端；

S502：Alice和Bob分别根据W*构造规模为N_EC×(N_f-2log₂ε₂)的通用散列函数H_PA，其中ε₂为保密增强安全参数。

S6：通信双方根据H_PA，分别对纠错后的密钥串进行哈希运算，生成最终安全密钥。

Claims (3)

1.一种用于量子密钥分发的可验安全保密增强方法，其特征在于，步骤为：

S1：生成初始随机数串W，通信双方Alice和Bob在量子密钥分发的基比对过程分别生成随机数串K_mis,A和K_mis,B，然后Alice将两者合并为随机数串W＝[K_mis,A,K_mis,B]；

S2：随机性验证，在量子密钥分发的纠错阶段结束后，估算W相对于攻击者Eve的最小熵下限，H_min(W|E)≥1-H₂(e)，其中E表示攻击者在量子密钥分发过程中可能获取的部分密钥信息串，e表示系统的量子比特误码率，H_min(W|E)表示W相对E的条件最小熵，H₂(e)表示其二进制香农熵；

S3：计算最终安全密钥长度N_f，N_f＝N_r×min{2(1-q)H_min(W|E),q[H_min(K_EC|E)-f(e)H₂(e)]}，其中N_r为初始密钥串长度，q为基比对参数，f(e)为量子密钥分发系统中纠错算法的纠错效率，通常f(e)≥1.0，H_min(K_EC|E)表示K_EC相对E的条件最小熵，K_EC表示纠错后密钥串；

S4：提取完美随机串W*，采用通信双方部分预共享安全密钥，构造Toeplitz矩阵H_R，根据H_R从W中提取完美随机数串W*；

S5：根据W*，公开协商规模通用散列函数H_PA；

S6：通信双方根据H_PA，分别对纠错后的密钥串进行哈希运算，生成最终安全密钥；

所述步骤S1的具体流程为：

S101：在量子密钥分发的基比对过程中，当通信双方Alice和Bob的基选择相反时，双方分别保存各自此时探测得到的随机比特串，表示为K_mis,A和K_mis,B；

S102：Bob端将K_mis,B发送至Alice端；

S103：Alice端随机数串K_mis,A和K_mis,B合并为随机数串W，W＝[K_mis,A,K_mis,B]。

2.根据权利要求1所述的用于量子密钥分发的可验安全保密增强方法，其特征在于，所述步骤S4的具体流程为：

S401：Alice端选取长度为N_t(1+H_min(W|E))-2log₂ε₁-1比特的预共享密钥串构造规模为N_t×(N_tH_min(W|E)-2log₂ε₁)的Toeplitz矩阵H_R，其中N_t<<N_W，ε₁为随机数提取安全参数，N_W为W的长度；

S402：Alice端将W分割成N_W/N_t段较短的随机数串，每段长N_t，最后一段随机数串若长度不足N_t，则舍弃；

S403：针对每一段分割后的短随机数串，采用H_R进行哈希运算，将所有运算输出结果拼接成随机数串W*。

3.根据权利要求1或2所述的用于量子密钥分发的可验安全保密增强方法，其特征在于，所述步骤S5的具体流程为：

S501：Alice将W*经公开且信息论认证的经典信道发送至Bob端；

S502：Alice和Bob分别根据W*构造规模为N_EC×(N_f-2log₂ε₂)的通用散列函数H_PA，其中ε₂为保密增强安全参数，N_EC表示纠错后密钥串长度。

Images