CN114389805A

CN114389805A - 一种基于高斯调制相干态的cv-qkd的后处理方法

Info

Publication number: CN114389805A
Application number: CN202111673837.9A
Authority: CN
Inventors: 郭邦红; 苏敏华; 胡敏
Original assignee: National Quantum Communication Guangdong Co Ltd
Current assignee: National Quantum Communication Guangdong Co Ltd
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2022-04-22

Abstract

本发明公开了一种基于高斯调制相干态的CV‑QKD的后处理方法，该方法中发送端Alice和接收端Bob采用高斯调制相干态的方式进行测量基的选择，得到筛后密钥，筛后密钥的一部分用来进行参数估计，一部分用来进行密钥协商与提取；Bob端利用球面协商算法对所述筛后密钥进行计算得到检验码和二进制密钥，Alice端采用Bob端的检验码以及BP译码算法得到与接收端Bob一致的二进制密钥；Alice端和Bob端将得到的二进制密钥与Toeplitz矩阵相乘并压缩密钥，得到最终密钥。本发明在量子密钥分发后处理的阶段采用球面量化算法，提高了密钥协商处理步骤的效率和纠错的速率，使得传输距离更远。

Description

一种基于高斯调制相干态的CV-QKD的后处理方法

技术领域

本发明涉及量子信息与光通信技术领域，具体涉及一种基于高斯调制相干态的CV-QKD的后处理方法。

背景技术

量子密钥分发(Quantum Key Distribution,QKD)是合法通信双方利用量子力学原理协商获得一致、安全密钥的方法。量子密钥分发过程分为量子信息处理阶段和经典信息后处理阶段。量子信息处理阶段主要包括量子态的制备、传输和测量，通过量子信道传递量子信息，产生密钥原料；经典信息后处理阶段又称为量子密钥分发后处理阶段，主要包括基选择、参数估计、密钥协商以及保密放大等环节，双方使用经典认证信道传递信息，从密钥原料中提取出完全一致且安全的密钥。

F.Grosshans提出了基于高斯调制相干态的连续变量QKD，思想是随机选择服从同一高斯分布的两个数x_A和p_A，得到相干态信号光|x_A+ip_A>，用此相干态传递信息进行密钥分配。此方案由于容易实现、密钥率高、传输距离远，受到学术界关注。近几年连续变量QKD的发展致力于提高传输距离，但是连续变量QKD经过量子信息处理阶段之后产生的筛后密钥是高斯变量，导致对密钥协商算法的要求非常高，目前的密钥协商处理步骤的效率不够高，限制了连续变量QKD的传输距离。

因此，有待对现有技术的不足进行改进，提出一种提高密钥协商处理步骤效率、增大连续变量QKD的传输距离的基于高斯调制相干态的CV-QKD的后处理方法。

发明内容

本发明的目的是为了克服已有技术的缺陷，为了解决后处理密钥协商阶段的效率不高的问题以及连续变量QKD的传输距离短的问题，提出了一种基于高斯调制相干态的CV-QKD的后处理方法。

本发明方法通过下述技术方案实现的：

一种基于高斯调制相干态的CV-QKD的后处理方法，该方法包括以下步骤：

步骤1：获取筛后密钥：发送端Alice和接收端Bob采用高斯调制相干态的方式进行测量基的选择后，得到筛后密钥并保存，所述筛后密钥的一部分用来进行参数估计，剩下的部分用来进行密钥协商与提取；

步骤2：密钥协商与提取步骤：所述接收端Bob利用球面协商算法对所述筛后密钥进行计算得到检验码和二进制密钥，所述接收端Bob将二进制密钥与校验矩阵H计算得到伴随式l_aH^T，所述接收端Bob将检验码和伴随式l_aH^T发送给发送端Alice；

所述发送端Alice采用接收端Bob的检验码以及BP译码算法对收到的所述伴随式l_aH^T进行译码并得到与接收端Bob一致的二进制密钥；

步骤3：保密放大步骤：所述发送端Alice和所述接收端Bob将步骤2得到的二进制密钥与Toeplitz矩阵相乘并压缩密钥，得到最终密钥。

进一步地，所述步骤1包括如下步骤：

步骤1-1：所述发送端Alice采用高斯调制相干态的方式进行测量基的选择得到两个分量数据；

步骤1-2：所述接收端Bob采用高斯调制相干态的两种方式进行测量基的选择，得到Bob端测量基并保存并命名为第一筛后密钥，所述第一筛后密钥分为两部分，一部分用来进行参数估计得出系统安全码率k，另一部分通过球面量化算法转换为二进制比特串l_k；

所述Bob端将Bob端测量基通过经典认证信道发给所述发送端Alice；

步骤1-3：所述发送端Alice将步骤1-1得到的两个所述数据分量与所述Bob端测量基进行对比，舍弃与Bob端测量基不同的分量数据，剩下的分量数据保存为第二筛后密钥；

所述第二筛后密钥与所述第一筛后密钥相同；

所述第二筛后密钥被分为两部分，一部分用来进行参数估计得出系统安全码率k，另一部分通过球面量化算法转换成为n维向量。

进一步地，所述两种方式分别为接收端Bob随机测量x_A或者p_A和接收端Bob同时测量x_A和p_A。

进一步地，所述第一筛后密钥和所述第二筛后密钥均在实数范围内取值且服从高斯分布。

进一步地，所述参数估计得出系统安全码率k的具体步骤为：

步骤A：对所述第一筛后密钥或第二筛后密钥进行随机抽样，所述随机抽样采取的抽样比例为40％-65％，并设置对照抽样密钥；

步骤B：根据对照抽样密钥计算出量子信道特征的估计值；所述估计值包括信道传输效率T和过量噪声的方差V_ε；

步骤C：根据信道传输效率T和过量噪声的方差V_ε计算出系统安全率K，计算公式如下：

其中，n为用于密钥传输的高斯态数；N为原始数据总长度；K_∞(T，V_ε)＝βI(A：B)-S(B：E)，其中β∈[0，1]为协商效率，I(A：B)为通信双方的互信息，S(B：E)为窃听者和接收端之间的冯诺依曼熵；Δ(n)是有限码长情况下可实现互信息的修正项，Δ(n)的近似公式为

其中δ^*是在保密放大过程中出错的概率。

进一步地，所述步骤2具体包括如下步骤：

步骤2-1：所述接收端Bob根据球面协商算法对所述筛后密钥进行量化后得到二进制比特串l_k；

步骤2-2：接收端Bob对所述二进制比特串l_k进行比特选择得到强相关比特串l_a和弱相关比特串l_b；

步骤2-3：所述接收端Bob根据所述步骤2-2中所述的强相关比特串l_a生成二进制密钥lc，接收端Bob将步骤2-2中所述的弱相关比特串l_b发送到所述发送端Alice；

步骤2-4：所述接收端Bob生成二进制LDPC码的校验矩阵H，并根据所述l_a与所述校验矩阵H计算伴随式l_aH^T，通过经典认证信道发送给所述发送端Alice；

步骤2-5：所述发送端Alice通过球面协商算法对接收到的所述l_b与所述伴随式l_aH^T进行纠错，并得到与所述二进制密钥lc一致的二进制密钥。

进一步地，所述步骤2-5的纠错步骤具体为：

所述发送端Alice将步骤2-3收到的所述l_b作为检验码，使用BP译码算法对步骤2-4收到的所述伴随式l_aH^T进行译码并得到与步骤2-2中的二进制密钥lc一致的二进制密钥。所述步骤2-5中的BP译码算法的计算复杂度为O(s2^s)。

进一步地，当所述二进制密钥lc的长度为n，经过步骤3的保密放大步骤后得到最终密钥长度为

，k为所述系统安全码率。

进一步地，所述Toeplitz矩阵由长度为n+l-1的向量T表示，T＝(t₀，t₁，…，t_n，…，t_n+l-2)，其中l为最终密钥长度；

当所述二进制密钥lc的长度为n，并表示为A＝(a₀，a₁，…，a_n-1)，则所述最终密钥K为：

得到最终密钥K中各元素可以表示为：

其中i＝0，1，…，l-1。

本发明的有益效果为：

本发明公开的一种基于高斯调制相干态的CV-QKD的后处理方法在量子密钥分发后处理的阶段采用球面量化算法，提高了密钥协商处理步骤的效率和纠错的速率，并且在同一信噪比的情况下，球面协商的效率比Slice协商的效率更好，使得传输距离更远。

附图说明

图1为本发明一种基于高斯调制相干态的CV-QKD的后处理方法的流程图；

图2为本发明中球面协商算法的框架图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明，但本发明要求保护的范围并不局限于下述具体实施例。

量子密钥分发过程分为量子信息处理阶段和经典信息后处理阶段。经典信息后处理阶段又称为量子密钥分发后处理阶段，主要包括基选择、参数估计、密钥协商以及保密放大等环节。

如图1和图2所示，一种基于高斯调制相干态的CV-QKD的后处理方法，该方法包括以下步骤：

具体地，如图1所示，在获取筛后密钥的步骤1中，发送端Alice和接收端Bob基于高斯调制相干态连续变量量子密钥分发系统，该系统的应用原理是随机选择服从同一高斯分布的两个数x_A和p_A，得到相干态信号光|x_A+ip_A>，用此相干态传递信息进行密钥分配。发送端Alice和接收端Bob进行测量基的选择后，得到筛后密钥并保存，所述筛后密钥一部分用来进行参数估计，剩下一部分用来进行密钥协商与提取；

其中，发送端Alice选择测量基的具体方式是：根据高斯调制相干态连续变量量子密钥分发系统中量子探测的方式进行测量基的选择后获得两个分量数据x^A和p^A；当发送端有所有分量的数据x^A和p^A，两个分量数据用集合A表示。设每个分量数据长度为N，则发送端的数据量为2N，两个分量是交替存储的，即

接收端Bob选择测量基的方式有两种，具体地如下：

当接收端Bob采用随机测量x_A或者p_A方式时，会利用零差探测器进行测量，接收端每次随机选择一个分量进行测量，N次测量后，其数据量为N，其中既有x分量数据x^B，也有p分量数据p^B，由于是等概率随机选择的，因此每个分量的数据量约为N/2。接收端测量后数据用集合B表示，假设接收端的测量基为(0，1，…，0)_N，其中0表示测量x分量，1表示测量p分量，则B表示为：

当接收端Bob采用接收端Bob同时测量x_A和p_A方式时，则利用外差探测器进行测量。接收端Bob每次测量都会保存两个分量x^B和p^B，此时，接收端测量后数据量为2N，测量后数据B表示为：

保存Bob端测量基。接收端Bob根据Bob端测量基进行第一筛后密钥的保存，所述第一筛后密钥被分为两部分，一部分用来进行参数估计得出系统安全码率k，另一部分通过球面量化算法转换为二进制比特串l_k。

接收端Bob通过经典认证信道把Bob端测量基发给发送端Alice，即公开测量基，所述发送端Alice与所述Bob端测量基进行对比，舍弃与Bob端测量基不同的分量数据，剩下的分量数据保存为第二筛后密钥，所述第二筛后密钥与所述第一筛后密钥相同；

第二筛后密钥被分为两部分，一部分用来进行参数估计得出系统安全码率k，另一部分通过球面量化算法转换成为n维向量；

最终通信双方各自得到一串筛后密钥X_A和X_B，筛后密钥在实数范围内取值，服从高斯分布，筛后密钥被分成两部分，一部分用来进行参数估计，剩下一部分用来密钥提取。

接收端Alice和接收端Bob利用参数估计中的随机抽样法来估计量子信道特征，即信道传输效率T和过量噪声的方差V。；

随机抽样法就是调查对象总体中每个部分都有同等被抽中的可能，是一种完全依照机会均等的原则进行的抽样调查，被称为是一种″等概率″。随机抽样有四种基本形式，即简单随机抽样、等距抽样、类型抽样和整群抽样。一般地，设一个总体含有N个个体，如果通过逐个抽取的方法从中抽取一个样本，且每次抽取时各个个体被抽到的概率相等。

在参数估计过程中对筛后密钥进行随机抽样，抽样比例的范围为40％-60％，抽样比例的优选值是50％，通过对照抽样密钥，计算出参数的估计值，具体方式方法如下：

已知调制方差为V，用于抽样的高斯变量为m，发送端和接收端各自的高斯变量为x_M和x_B，抽样的高斯变量为M_i和B_i，其中i∈{1，2，…，m}，则x_M和x_B的协方差为

通过最大似然估计可得

其中

从而V_ε的估计值为

其中，根据估计出的量子信道特征，计算出量子信道的系统安全码率k，具体计算过程如下：

在T的置信区间的下界T^low和V_ε的上界

的条件下，系统的安全码率可以表示为：

其中，n为用于密钥传输的高斯态数，N为原始数据总长度，K_∞(T，V_ε)＝βI(A：B)-S(B：E)，其中β∈[0，1]为协商效率，I(A：B)为通信双方的互信息，S(B：E)为窃听者和接收端之间的冯诺依曼熵，Δ(n)是有限码长情况下可实现互信息的修正项，Δ(n)的近似公式为

其中δ^*是在保密放大过程中出错的概率。

在密钥协商与提取步骤2中，所述发送端Alice和所述接收端Bob利用球面协商算法对所述筛后密钥进行密钥协商并纠错，使得双方得到相同的二进制密钥；

其中，球面量化算法就是将高斯变量全部转换为单位球面上面的点，然后构造量化函数，把球面上面的点量化为二进制比特。

球面协商算法量化的具体步骤为：

①Alice端和Bob端把各自的高斯变量按顺序每n个一组，每组对应一个n维向量，假设Alice的n维向量为Xⁿ＝(X₁，X₂，…，X_n)，Bob的n维向量为Yⁿ＝(Y₁，Y₂，…，Y_n)；

②Bob端把Yⁿ归一化得到

从而得到单位向量yⁿ＝Yⁿ/|Yⁿ|；

③如果Bob端要量化单位向量yⁿ为r比特，则单位球面S^n-1被平均分成2^r个区域

④Bob端构造量化函数，使得每一个量化区域I_k对应一个长度为r的二进制比特串，其中

i∈{0，1}；t为Bob的二进制比特串分量；

⑥如果yⁿ∈I_k，则Yⁿ被量化为对应长度为r的二进制比特串l_k＝t_r-1…t₁t₀。

球面协商算法比特选择步骤如下：

①量化后的二进制比特串l_k强相关比特串l_a＝t_r-1…t_q+1t_q和弱相关比特串l_b＝t_q-1…t₁t₀两部分，其中q∈(0，r-1)；

②Bob端把弱相关比特串l_b直接发送给Alice作为纠错的辅助信息，根据参数q的大小来进行比特选择。

球面协商算法纠错步骤：

①Bob端生成一个非二进制LDPC码的校验矩阵H，并将计算好的伴随式l_aH^T通过经典认证信道发送给Alice；

②Alice端根据伴随式l_aH^T利用BP译码算法进行译码，由于校验矩阵H的长度远大于l_a的长度，实际纠错时积累多个l_a达到H长度在纠错，BP译码算法的计算复杂度为O(s2^s)，最终Alice以概率为p_succeed＝1-P_fail得到与Bob完全一致的比特串lc，其中p_succeed和P_fail分别为成功纠错概率和纠错失败的概率。

在步骤3中，通信双方将纠错后的密钥与Toeplitz矩阵相乘，压缩密钥，提取最终密钥；

假设纠错后的密钥为CK长度为n，表示为A＝(a₀，a₁，…，a_n-1)，最终的密钥长度为l，Toeplitz矩阵由长度为n+l-1的向量T表示，T＝(t₀，t₁，…，t_n，…，t_n+l-2)，其由随机数发生器随机产生，由此可得，最终密钥为：

则密钥K中各元素可以表示为：

其中i＝0,1,…,l-1。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对发明构成任何限制。

Claims

1.一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，该方法包括以下步骤：

步骤1：获取筛后密钥：发送端Alice和接收端Bob采用高斯调制相干态的方式进行测量基的选择，得到筛后密钥并保存，所述筛后密钥的一部分用来进行参数估计，剩下的部分用来进行密钥协商与提取；

步骤2：密钥协商与提取步骤：所述接收端Bob利用球面协商算法对所述筛后密钥进行计算得到检验码和二进制密钥，并将二进制密钥与校验矩阵H计算得到伴随式l_aH^T，然后将检验码及所述伴随式l_aH^T发送给发送端Alice；

步骤3：保密放大步骤：所述发送端Alice和所述接收端Bob将通过步骤2得到各自的的二进制密钥分别与Toeplitz矩阵相乘并压缩密钥，得到最终密钥。

2.根据权利要求1所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述步骤1包括如下步骤：

所述第二筛后密钥与所述第一筛后密钥相同；

3.根据权利要求2所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述两种方式分别为接收端Bob随机测量x_A或者p_A和接收端Bob同时测量x_A和p_A。

4.根据权利要求2所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述第一筛后密钥和所述第二筛后密钥均在实数范围内取值且服从高斯分布。

5.根据权利要求2所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述参数估计得出系统安全码率k的具体步骤为：

其中，n为用于密钥传输的高斯态数；N为原始数据总长度；K_∞(T,V_ε)＝βI(A:B)-S(B:E)，其中β∈[0,1]为协商效率，I(A:B)为通信双方的互信息，S(B:E)为窃听者和接收端之间的冯诺依曼熵；Δ(n)是有限码长情况下可实现互信息的修正项；

Δ(n)的近似公式为

其中δ^*是在保密放大过程中出错的概率。

6.根据权利要求1所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述步骤2具体包括如下步骤：

步骤2-4：所述接收端Bob生成二进制LDPC码的校验矩阵H，并根据所述强相关比特串l_a与所述校验矩阵H计算伴随式l_aH^T，通过经典认证信道发送给所述发送端Alice；

步骤2-5：所述发送端Alice通过球面协商算法对接收到的l_b与伴随式l_aH^T进行纠错，并得到与所述二进制密钥lc一致的二进制密钥。

7.根据权利要求6所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述步骤2-5的纠错步骤具体为：

所述发送端Alice将步骤2-3收到的l_b作为检验码，使用BP译码算法对步骤2-4收到的所述伴随式l_aH^T进行译码并得到与步骤2-2中的二进制密钥lc一致的二进制密钥。

8.根据权利要求7所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述步骤2-5中的BP译码算法的计算复杂度为O(s2^s)。

9.根据权利要求6所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，当所述二进制密钥lc的长度为n,经过步骤3的保密放大步骤后得到最终密钥长度为

k为系统安全码率。

10.根据权利要求9所述的一种基于高斯调制相干态的CV-QKD的后处理方法，其特征在于，所述Toeplitz矩阵由长度为n+l-1的向量T表示，T＝(t₀,t₁,…,t_n,…,t_n+l-2)，其中l为最终密钥长度；

当所述二进制密钥lc的长度为n，并表示为A＝(a₀,a₁,…,a_n-1)，则所述最终密钥K为：

得到最终密钥K中各元素可以表示为：

其中i＝0,1,…,l-1。