基于EPR纠缠对的量子加密技术研究

摘要：基于量子物理原理的量子密码术已被证明是保密通信中密钥安全分配的有效手段。本文介绍了量子密码的基本原理，介绍了实现量子加密的几种方案，并主要研究了基于EPR纠缠对的密钥分配机制，还讨论了量子密码通信的历史发展和指出现存在的问题以及未来的发展前景。

关键词：量子密码；量子加密；测不准原理；EPR关联；量子纠缠

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2007)03-10732-02

1 引言

传统的加密系统，不管是对密钥技术还是公钥技术，其密文的安全性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成，一旦密钥建立起来，通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥，发送方与接收方必须选择一条安全可靠的通信信道，但由于截收者的存在，从技术上来说，真正的安全很难保证，而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。

近年来，由于量子力学和密码学的结合，诞生了量子密码学，它可完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统，它从根本上解决量子特性不可忽视，测量动作是量子力学的一个组成部分。在这些规律中，对量子密码学起关键作用的是Heisenberg测不准原理，即测量量子系统时通常会对该系统产生干扰，并产生出关于该系统测量前状态的不完整信息，因此任何对于量子信道进行监测的努力都会以某种检测的方式干扰在此信道中传输的信息。

本文内容安排如下：第二部分回顾经典的密码术，第三部分说明基于EPR纠缠对的量子加密原理和技术，第四部分介绍量子密码术，最后给出结论。

2 经典密码术

一般而言，加密体系有两大类别，公钥加密体系与私钥加密体系。经典保密通信原理如图1所示：

图1经典保密通信原理图

密码通信是依靠密钥、加密算法、密码传送、解密、解密算法的保密来保证其安全性.它的基本目的使把机密信息变成只有自己或自己授权的人才能认得的乱码。具体操作时都要使用密码讲明文变为密文，称为加密，密码称为密钥。完成加密的规则称为加密算法。讲密文传送到收信方称为密码传送。把密文变为明文称为解密，完成解密的规则称为解密算法。如果使用对称密码算法，则K＝K’ , 如果使用公开密码算法，则K 与K’ 不同。整个通信系统得安全性寓于密钥之中。

公钥加密体系基于单向函数(one way function)。即给定x，很容易计算出F (x)，但其逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。举例而言，RSA (Rivest, Shamir, Adleman ) 即是具有代表性的公开密钥算法，其保密性建立在分解有大素数因子的合数的基础上。公钥体系由于其简单方便的特性在最近20年得以普及，现代电子商务保密信息量的95%依赖于RSA算法。但其存在以下主要缺陷。首先，人们尚无法从理论上证明算法的不可破性，尽管对于己知的算法，计算所需的时间随输入的比特数呈指数增加，我们只要增加密钥的长度即可提高加密体系的安全性，但没人能够肯定是否存在更为先进的快速算法。其次，随着量子计算机技术的迅速发展，以往经典计算机难以求解的问题，量子计算机可以迎刃而解。例如应用肖氏(Shor's )量子分解因式算法可以在多项式时间内轻易破解加密算法。

另一种广泛使用的加密体系则基于公开算法和相对前者较短的私钥。例如DES (Data Encryption Standard, 1977)使用的便是56位密钥和相同的加密和解密算法。这种体系的安全性，同样取决于计算能力以及窃听者所需的计算时间。事实上，1917年由Vernam提出的“一次一密码本”(one time pad) 是唯一被证明的完善保密系统。这种密码需要一个与所传消息一样长度的密码本，并且这一密码本只能使用一次。然而在实际应用中，由于合法的通信双方(记做Alice和Bob)在获取共享密钥之前所进行的通信的安全不能得到保证，这一加密体系未能得以广泛应用。

现代密码学认为，任何加密体系的加密解密算法都是可以公开的，其安全性在于密钥的保密性。实际上，由于存在被动窃听的可能性，如果通信双方完全通过在经典信道上传输经典信息，则在双方之间建立保密的密钥是不可能的。然而，量子物理学的介入彻底改变了这一状况。

3 量子加密的原理和技术

量子加密是目前科学界公认唯一能实现绝对安全的通信方式。它依赖于两点：一是基本量子力学效应(如测不准原理,Bell 原理量子不可克隆定理)；二是量子密钥分配协议量子密码系统能够保证：(1)合法的通信双方可觉察潜在的窃听者并采取相应的措施；（2）使窃听者无法破解量子密码，无论破译者有多么强大的计算能力。同时，量子密码通信不是用来传送密文或明文，而是用来建立和传送密码本，这个密码本是绝对安全的。到目前为止，实现量子加密的方案主要有如下几种：

(1)基于两组共扼正交基的四状态方案，其代表为BB84协议；

(2)基于两个非正交态的二状态方案，其代表为B92协议；

(3)基于EPR纠缠对的方案，其代表为E91协议；

(4)基于BB84协议与B92协议的4＋2协议。

在这里我们主要介绍一下基于EPR纠缠对的方案，Ekert 于1991年提出的基于EPR的量子密钥分配协议(E91)充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84 协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。此外，与BB84 不同的是，E91协议借助于Bell 不等式来验证是否存在窃听者，而在BB84 和B92 中，都是通过随机校验来实现窃听验证。

虽然量子密钥分配协议的安全性与Bell不等式之间的确切关系尚不清楚，但是利用Bell不等式的确可以保证量子密钥分配是无条件安全的。也就是说无论Eve采取多么高明的窃听策略，采用多么精密的窃听设备，她的窃听行为必然影响纠缠态，进而使Bell不等式成立。

其中任意角度均表示光子的偏振方向。量子位的信息编码规则为：

相应的测量算子为：

根据上述设置，E91密钥分配的操作按如下步骤实施：

(1)Alice等概率的从{│ω0＞，│ω1＞，│ω2＞}中随机选取一个纠缠态│ωj＞ ，保留第一个量子位，并把第二个量子位发送给Bob. Alice没有必要记住│ωj＞究竟处于什么态， 只要保证三种纠缠态被等概率的选取。该过程可以在密钥分配前任何方便的时候进行，而且还可以有Bob或者可靠的第三方执行。

(2)Alice和Bob各自独立地测量自己的量子位，测量算子等概率地从{M0,M1,M2}中随机选取。

(3)Alice直接记录测量结果对应的编码信息比特，Bob则记录编码信息比特的反码。

(4)Alice和Bob在公开的经典信道公布自己所选取的测量算子。当然，Alice和Bob 都不透露自己的测量结果。

(5)Alice和Bob保留相同的测量算子所对应的信息比特作为原始密钥(raw key)。其余的信息比特记为排异位(rejected bits)，与BB84和B92不同，排异位不再被丢弃，而是被公布以用来验证Bell不等式是否成立，并以此判断是否存在窃听者。

然而根据量子力学，对于上述纠缠纯态，应有β= -0.5，Alice和Bob可以利用公布的排异位分别计算β ，若Bell不等式成立，即β≥0 ，则表明纠缠态已经被破坏，原始密钥是不可靠的; Bell不等式不成立，即 β

最后，Alice和Bob利用经典纠错码对密钥进行纠错，最后施行保密增强生成最终密钥。

4 量子密码术

考虑到环境噪声和窃听者的作用，以防止窃听者获得尽可能多信息从而实现高效的量子密码传输通信。因此在实际通信系统中，所有量子密钥分发协议都要完成以下四个过程：

4.1 量子传输

不同量子密码协议有不同的量子传输方式，但它们有一个共同点:都是利用量子力学原理(如海森堡测不准原理)。在实际的通信系统中，在量子信道中Alice随机选取单光子脉冲的光子极化态和基矢，将其发送给Bob, Bob再随机选择基矢进行测量，测到的比特串记为密码本。但由于噪声和Eve的存在而使接受信息受到影响，特别是Eve可能使用各种方法对Bob进行干扰和监听，如量子拷贝，截取转发等，根据测不准原理，外界的干扰必将导致量子信道中光子极化态的改变并影响Bob的测量结果，由此可以对窃听者的行为进行检测和判定。这也是量子密码区别于其它密码体制的重要特点。

4.2 筛选数据

在量子传输中由于噪声，特别是Eve 的存在，将使光子态序列中光子的偏振态发生变化。另外，实际系统中，Bob 的检测仪也不可能百分之百正确地记录测量结果，所以，A1ice 和Bob 比较测量基后会放弃所有那些在传送过程中没有收到或测量失误，或由于各种因素的影响而不合要求的测量基，然后，他们可以公开随机的选择一些数据进行比较，再丢弃，计算出错误率，若错误率超过一定的阈值，应考虑窃听者的存在。A1ice和Bob放弃所有的数据并重新传光子序列，若是可以接收的结果，则A1ice和Bob将剩下的数据保存下来，所获得数据称为筛选数据。假设量子传输中A1ice传给Bob的量子比特(Qubit)为m bit，筛选掉m-n bit，则得到的原数据为n bit。在这个过程中可以检测出明显的Eve的存在。

4.3 数据纠错

所得到的n bit的筛选数据并不能保证A1ice和Bob各自保存完全的一致性，通信双方仍不能保证各自保存的全部数据没被窃听。因此要对原数据进行纠错。人们提出了几种方法，经研究后提出以下方法：

(1)A1ice和Bob约定好随机的变换他们bit 串的位置来打乱错误的位置；

(2)将bit 串分成大小为K 的区，K的选取应使每一个区的错误尽可能的小；

(3)对于每一个区，A1ice和Bob计算并公开宣布了奇偶校验结果；

(4)若相同，A1ice和Bob约定放弃该区的最后一个比持；

(5)若不同，用log(K)反复查找来定位和纠正区中的错误；

(6)由于奇偶校验只能发现奇数个同时出现的错误，所以仍会有小部分错误存在，为了解决这种情况，反复以上步骤，不断地增加区的大小。

4.4 保密增强

保密加强是为了进一步提高所得密钥的安全性，它是一种非量子方法，其具体实现为假设Alice 发给Bob 一个随机变量W , 如一个随机的n bit 串，在随机变量V 中，窃听者Eve 获得一个正确的随机变量V, 设对应的比特为t

4.5 身份认证

经过以上的过程，获得了一个对窃听者Eve完全安全的密钥，但他假定朋Alice和Bob都是合法的，并没有对A1ice和Bob的身份认证。可能会出现A1ice或M是假冒的情况，因此我们在原BM4协议中加人身份认证这一过程：我们可以从量子密钥中获取认证密钥而实现。将以上过程所得到的密钥称为原密钥(Raw Key)rK，将其分成三个部分：rK＝Ka+Kb+K，其中Ka，Kb用于身份确认。具体过程如下：A1ice秘密地从rK中选取Ka，并发送给Bob，同时Bob秘密地从rK中选取Kb并发送给A1ice，然后A1ice和Bob分别以Kb，Ka利用单向哈希函数获得各自的秘密密钥Ka'，Kb'。最后A1ice和Bob利用双钥认证体制实现身份确认。

5 结论

量子密码术是量子物理学和密码学相结合的一门新兴科学，它成功地解决了传统密码学中单靠数学无法解决的问题并引起国际上高度重视，是主要应用于量子信息领域的一个重要课题。近年来，许多国内外研究机构对量子密码通信的研究非常活跃，这种新的密码通信不同于经典的密码通信，有着绝对安全的优点。

总之，随着单光子探测等技术的不断发展，量子密码通信技术在全光网络和卫星通信等领域的应用潜力会不断挖掘并成为现实，当量子计算机成为现实时经典密码体制将无安全可言，量子密码术将成为保护数据安全的最佳选择之一。因此，对量子保密通信技术以及为合法通信者间的安全通信的进一步研究将是一项非常有意义的工作。

参考文献：

[1]Nicolas Gisin, Gre′ goire Ribordy, Wolfgang Tittel, and Hugo Zbinden，Quantum cryptography[J], REVIEWS OF MODERN PHYSICS, VOLUME 74, JANUARY 2002.

[2]DAVID S. PEARSON, CHIP ELLIOTT, ON THE OPTIMAL MEAN PHOTON NUMBER FOR QUANTUM CRYPTOGRAPHY[J], Quantum Information and Computation, Vol. 0, No. 0 (2003) 000C000.

[3]Chip Elliott，Dr. David Pearson，Dr. Gregory Troxel，Quantum Cryptography in Practice[J], PREPRINT C May 1, 2003

[4]Daniel Collins, Nicolas Gisin and Hugues de Riedmatten，Quantum Relays for Long Distance Quantum Cryptography[R]，14 November 2003.

[5]Norbert Lu¨tkenhaus，Security against individual attacks for realistic quantum key distribution[J]，PHYSICAL REVIEW A, VOLUME 61, 052304.

[6]B. Huttner, A. Muller, J. D. Gautier, H. Zbinden, and N. Gisin，Unambiguous quantum measurement of nonorthogonal states[J]，PHYSICAL REVIEW A，VOLUME 54, NUMBER 5，NOVEMBER 1996.

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。