对反直观量子密钥分配系统的单光子分束攻击方法

专利名称：对反直观量子密钥分配系统的单光子分束攻击方法
技术领域：
本发明涉及量子保密通信技术，特别是指一种对反直观量子密钥分配系统的单光 子分束攻击方法。
背景技术：
众所周知，人们的生活离不开交流和沟通。从电报、电话等通信工具的出现，到通 信网、互联网的飞快发展，人们的交流越来越便利，而需要交换的消息也与日俱增。出于某 种目的，人们往往只想让所期望的人看到自己在公开信道中发送的消息，而不希望其它人 也得到这些信息。这一点在军事领域和商业领域尤其突出。一条军事机密的泄漏可能会导 致战争的溃败，而一条商业机密的公开可能会给公司带来巨额经济损失。因此，随着人们对 保密通信的迫切需要，密码学研究也在不断发展和壮大，其基本目的就是确保用户间的消 息能够在公开信道中可靠地传输。在密码学中，通常称消息发送者为Alice，接收者为Bob，而窃听者为Eve。为了达 到保密的目的，Alice在发送消息前先利用加密密钥，根据一定的加密算法将要发送的消息 M(即明文)加密，得到密文C，然后把密文C通过公开信道传输给Bob。Bob收到这些信息 后可以用相应的解密密钥和解密算法由密文C恢复出明文M，从而得到Alice的真实消息。 一般地，由于窃听者Eve不知道相应的解密密钥，即使她窃听到传输的密文C，也不能恢复 出明文消息M。这就是密码学的基本思想。经典密码体制(即现行密码体制)主要包括对 称密码体制和公钥密码体制两类，它们在应用中有各自的特点。对称加密体制常用来直接 对明文消息进行加密和解密，它速度快且对选择密文攻击不敏感；公钥密码体制则擅长密 钥分发及数字签名等。因此在实际实现中一般采用混合密码系统，即用公钥密码体制在通 信者之间分发会话密钥，然后用会话密钥通过对称密码体制来对通信消息进行保密。我们知道，大多数经典密码协议的安全性是建立在计算复杂性基础上的。也就是 说，窃听者要想破译一个密码系统，需要在有限的时间(即秘密消息的有效期)内解决某 个计算难题。而根据计算复杂性假设，这种任务通常在当前人们的计算能力下很难实现。 这正是经典密码体制的安全性基础。但是，随着人们计算能力的飞速提高和各种先进算 法(包括经典算法和量子算法)的提出，这种密码体制的安全性受到了严峻挑战。以1994 年 P. W. Shor 提出的量子并行算法(P. W. Shor. Algorithms for quantum computation discretelogarithms and factoring. Proceedings of the 35th Annual Symposium of Foundation of Computer Science, IEEEPress, LosAlamitos, CA, 1994)为例，它能在多项 式时间内解决大数因子分解难题。一旦这种算法能够在量子计算机上付诸实施，现行很多 基于此类难题的公钥密码体制将毫无安全性可言。既然如此，人们希望找到一种新的密码系统，代替公钥密码来完成分发会话密钥 的任务。通过上面的分析可知，一套完整的密码系统包括密钥的安全分发和消息的保密传 输两大部分。对于后者，一次一密乱码本(One-Time Pad，简记为OTP)已经能够达到无条件 安全性。人们还需要找到一种安全的密钥分发方法，这样就能由它和OTP构成一套在安全性上趋近完美的密码系统。随着量子密码的出现，这个使人们困扰已久的问题迎刃而解。量子密码是密码学与量子力学相结合的产物，不同于以数学为基础的经典密码体 制，其安全性由量子力学基本原理保证，与攻击者的计算能力无关。根据量子力学性质，窃 听者对量子密码系统中的量子载体的窃听必然会对量子态引入干扰，于是被合法通信者所 发现。合法通信者能够发现潜在的窃听，这是量子密码安全性的本质。因此，量子密码具有 得天独厚的优势并逐渐成为密码新技术中的一个重要研究分支。研究和实验表明，量子密 码很可能发展为下一代密码技术的重要力量。量子密码体制有着重要的潜在用户，包括对安全性要求较高的军用通信、金融交 易等。需要特别指出的是在现代战争中，安全通信的作用至关重要。而依赖计算复杂性假 设的经典密码体制已经越来越不能满足这种安全性要求。在世界各大国都在积极支持量子 密码研究的趋势下，落伍的一方必将在未来战争中被逼入绝境。况且一旦量子计算技术取 得突破，经典密码体制可能会随之崩溃，这时量子密码系统将有更广泛的潜在用户，其市场 前景和经济效益将非常可观。由于量子密码在理论上具有无条件安全性，它的出现引起了国际密码学界和物理 学界的高度重视。其中量子密钥分配(Quantum Key Distribution，简记为QKD)是量子 密码研究的重要课题，它在理论研究和实际系统实现方面都已经取得了重要进展。1984 年，IBM公司的C. H. Bennett和Montreal大学的G. Brassard提出第一个量子密钥分配
方案-BB84 I^tX (C. H. Bennett and G. Brassard. Quantum cryptography :public-key
distribution and coin tossing. Proceedings of IEEE International Conference on Computers,Systemsand Signal Processing,IEEE,New York, Bangalore, India, 1984)。随 后人们基于不同的量子力学性质，包括纠缠态、非正交态、单光子干涉等，提出了多种各具 特色的QKD方案。在实际系统的实现方面，1989年，IBM公司和Montreal大学合作完成了 第一个量子密码实验，传输距离为30公分。1995年，瑞士日内瓦大学在日内瓦湖底铺设的 23公里长的民用光缆中进行了实地演示，误码率仅为3. 4%。2002年，德国慕尼黑大学和英 国军方下属的研究机构合作，在德国和奥地利边境相距23. 4公里的楚格峰和卡尔文德尔 峰之间用激光成功传输了密钥。2004年6月3日，世界上第一个量子密码通信网络在美国 马萨诸塞州剑桥城正式投入运行。据最新报道，在自由空间信道和光线信道中，当前实现的 QKD系统最远传输距离分别达到了 144公里和250公里，最高速率达到IMb/s以上。在国 内，2004年8月就已经实现了北京和天津之间120多公里的QKD系统，并在2009年建成了 芜湖量子政务网和量子保密电话网(T. Y. Chen,et al. Field test of apractical secure communication network with decoy-state quantum cryptography. Optics Express,17, 6540,2009)。相信在不久的将来，量子保密通信系统定会走入我们的日常生活，这种“量子 卫士”也将为我们的信息安全事业提供有力保障。2009年12月，韩国学者Tae-Gon Noh基于迈克尔逊干涉仪(Michelson-type interferometer)提出了一种“反直观”(Counterfactual)量子密钥分配方案，并讨论了此 QKD系统的具体实现。迈克尔逊单光子干涉仪如图1所示。图中S代表单光子光源，C为 光学循环器(Circulator)，BS为分束器(Beam Splitter)，FM和D分别代表法拉第反射镜 (Faraday Mirror)和光子探测器。作为微观载体，光子具有波粒二象性，它可在不同的观测 环境下呈现出波动性或粒子性。
迈克尔逊干涉仪的运作原理如下光源S发射出单光子，光子经循环器C进入光路 (譬如光纤)C，进而入射到分束器BS。不妨假设BS的反射率和折射率分别为R和T (R+T = 1)，则分束后的量子态为|》= ^|o〉Ji〉fc+W^|i〉fl|o〉6(1)其中下标a和b表示不同光路，I 1>代表光路中有光子，I 0>代表光路中没有光子。 此时如果在a路和b路放置光子探测器来观察光路中是否有光子，则a路测到光子的概率 为R，b路测到光子的概率为T，且两路中必有且只有一路中有光子。此时所体现的是光子 的粒子性。如果不测量光子所在的具体路线，经BS分束后，光子将分为两个波包，分别沿a和 b路出射。经反射镜FMl和FM2反射后，两个波包会同时返回BS，进而产生干涉。由于两个 法拉第反射镜会使信号产生相同的相移n，干涉后c路干涉相涨，d路干涉相消，光子将确 定地出现在c路而不会出现在d路。由于c路的光子经循环器后进入e路，所以最终结果 是第二单光子探测器D2探测到光子，而第一单光子探测器Dl不会探测到。类似地，如果在 a路(或b路)对光信号进行相位调制，使得此路信号产生相移η，则测量结果将会相反， 光子会出现在d路被第一单光子探测器Dl探测到，而不会出现在c-e路被第二单光子探测 器D2探测到。此时所体现的是光子的波动性。反直观QKD方案就是基于迈克尔逊干涉仪设计的，其系统如图2所示。Alice的 光源S在每个时隙发出一个单光子，每个光子随机地处于水平偏振(记为I H 或垂直偏振 (记为|v>)，两种偏振方式分别代表经典比特0和1。光子经过循环器C后入射到分束器 BS上，经BS后的状态为以下两态之一
_5] ^0)^^\0)a\H)b+i^R\H)a\0)b(2)
_6] \^)^\o)a\v)b+i^\v)a\o)b⑶因为BS不改变光子的偏振状态，所以如果光子的初始偏振为|H>，则进分束器后 处于|Φο>态，反之则处于ΙΦΑ态。分束后的两个波包将分别在a路和b路传输，其中a 光路(譬如光纤)全部在Alice的控制区域内，而b路将经过公开光纤信道传送到Bob处。 注意这里a路光纤长度须与b路长度相同，确保必要时两个波包能在同一个时间返回到BS
产生干涉。Bob虽然不知道Alice发送来的光信号是水平偏振还是垂直偏振，但他可以确定 地测量某一偏振方向的光信号。也就是说，假设Bob想测量|H>偏振的信号，且收到的信号 正好处于I H>偏振，则一定能产生测量波包的效果(参见上述迈克尔逊干涉仪所体现出的 光的粒子性)，相反若收到的信号处于|V>偏振，则没有产生测量效果，仅是将此波包反射 回去。类似地，Bob也可以选择性地测量IH>偏振信号。图2中的Bob处的装置可以帮助 Bob实现这一目的。Bob先用极化分束器PBS将收到的波包按偏振方式区分开来。PBS的 作用是使入射进来的IH>信号直接透射至光路c，而使I V>信号反射。由图2装置可见，经 PBS反射的信号将在延时线圈OL中延时一个时间间隔δ，再经PBS反射到光路C。这样， |Η>信号和IV>信号就会产生一个时间差δ，Bob就可以选择测量其中的一种偏振信号，而 放过另一种。被放行的光信号经FM2反射，再经PBS返回给Alice。因为法拉第反射镜在反 射同时可以将光信号的偏振方式进行转换，所以能保证光信号(不论是水平偏振还是垂直
5偏振)在Bob区域经过一次且仅经过一次延时线圈0L，使得Bob处光路长度是固定值，而不 会因光子信号的偏振方式不同而不同。这样，只需让a光路与b光路(包括Bob区域的光 路)长度相同，即可保证两个波包在同一时间返回到BS，进而产生干涉。在反直观QKD方案中，Bob在每一个时隙随机测量|H>或|V>信号，而放行另一种 偏振光。不失一般性，假设Bob测量|H>信号。此时可能发生的情况如下1.如果Alice发送的光子处于相同的偏振，S卩|H>，则测量导致光子呈现粒子性。 根据量子力学，系统的量子状态将由I φ。>塌缩为|0>」!1\(概率为10或|H>a|0>b(概率为 1-T)。也就是说，若Bob没测到光子，则光子应该在a路，此时光子经FMl返回至BS时，系 统状态变为= Vt7I^ lo^+^lo^li/^(4)注意g路光信号是经循环器C进入的。光子将被第一单光子探测器Dl或第二单 光子探测器D2探测到，概率分别为R和T。若Bob测到了光子(即第三单光子探测器D3响 应)，则a路必定没有光子，因此第一单光子探测器Dl和第二单光子探测器D2都不会探测 到光子。2.如果Alice发送的光子处于不同的偏振，S卩| V〉，则Bob的测量不起作用，相当 于直接将信号放行。这种情况下两个波包将同时返回到BS，产生干涉。根据迈克尔逊干涉 仪的性质，光子将必然会被第二单光子探测器D2探测到，而不会出现在第一单光子探测器 D1。对于Bob选择测量I V>信号的情形，有类似结论。在此系统中，光源S某一时隙的发出的单光子，必然会被三个探测器Dl、D2和D3 之一探测到。可能发生的情况可总结如下1.如果Alice发出的光子偏振方向与Bob选择测量的偏振方向不同，则光子必将 被第二单光子探测器D2探测到。2.如果Alice发出的光子偏振方向与Bob选择测量的偏振方向相同，则有三种不 同情形(1)光子第一次经过BS时走a路，经FMl反射后第二次经过BS时走f路，被第一 单光子探测器Dl探测到。这种情况发生的概率为RT( —次反射，一次透射)。(2)光子第一次经过BS时走a路，经FMl反射后第二次经过BS时走g路，被第二 单光子探测器D2探测到。这种情况发生的概率为R2 (两次反射)。(3)光子第一次经过BS时走b路，被第三单光子探测器D3探测到。这种情况发生 的概率为T (一次透射)。实际装置中，探测器不但可以测得光子的存在，还可以测出光子所处的偏振态，即 |H>或|V>。当光子传输完毕后，Alice和Bob公开每个时隙中他们的探测器是否探测到 光子。如果只有第一单光子探测器Dl探测到光子，并且光子偏振方向与初始状态相反，则 Alice和Bob将此光子的初始偏振方向作为密钥比特，S卩|H>和|V>分别对应于0和1。此 时Bob知道上面的事件(1)发生，因此可推知光子的初始偏振方向必定与他测量的偏振方 向相同。对于不是只有第一单光子探测器Dl探测到光子的情况，Alice和Bob进一步公开 光子的初末偏振状态，以及Bob所选择测量的偏振方向，根据迈克尔逊干涉仪的工作原理， 判断是否存在窃听。如果出现了违背干涉仪工作原理、初末偏振状态不相符、探测到不止一个光子等情况，视为一个错误。当然由于存在信道损失，可能出现三个探测器都不响应的情 况。按照以上步骤，Alice发送足够多的光子，每个时隙中只有当且仅当第一单光子探 测器Dl探测到光子且光子初末偏振状态相符时，Alice和Bob建立1比特密钥，其它情况 可以用于检测窃听。最后如果错误率低于一定的阈值(此阈值与具体信道有关，不同的信 道取不同的值)，则认为没有窃听。然后将所得的密钥比特进行纠错和保密增强，建立最终 的安全密钥。综上所述，Alice每发送一个光子，建立1比特密钥的概率为P = RT/2，因为R+T =1成立，所以当R = T = 1/2时，P取最大值1/8。因此实际系统中BS的反射率和透射率 可均为1/2，以达到最高的效率。如上QKD方案中，用于产生密钥比特的光子并没有在公开信道中传输，这一点可 由情形(1)得到。因此，直观上来看，此方案没有传输光子就建立了密钥，这与之前人们对 QKD的认识大有不同，因此被称为反直观QKD方案。同时，因为产生密钥的光子没有在公开 信道传输(一直在Alice控制区域内)，所以可以认为它具有更高的安全性。基于以上特 点，这种反直观QKD系统今后很可能会引起广泛关注并投入使用。众所周知，一个密码系统 必须得通过不同攻击方法的检验才能在实际生活中应用。由于反直观QKD方案于2009年 刚刚被提出，目前对这种系统的安全性测试方法还很缺乏，还需要进行深入研究和分析。

发明内容
有鉴于此，本发明的主要目的在于提供一种对反直观量子密钥分配系统的单光子 分束攻击方法。此方法可以使窃听者Eve在噪声掩饰下得到部分密钥信息，同时不对合法 通信者Alice和Bob共享的密钥串引入任何错误，进而不会被发现。它可以作为对此类QKD 系统的一种有效的安全性测试方法。为达到上述目的，本发明的技术方案是这样实现的攻击者Eve通过以下步骤进行窃听LEve在Alice和Bob之间的公开信道中放置一个分束器，将信道中传输的每个波 包分成两路信号；2. Eve将分出的两路信号中的一路继续沿原方向用无损信道发送给Bob，而另一 路留存在自己的控制范围内；3.当两路信号同时返回到Eve的分束器时，如果Eve的探测器检测到光子，则Eve 发送一个同样偏振方式的光子给Alice。如果Eve没有检测到光子，则不需要发送光子给 Alice。4.最后，对于Eve测到了光子，且Alice和Bob的探测器中只有第一单光子探测器 Dl探测到光子的时隙，Eve将所测得光子的偏振方式作为Alice和Bob在此时隙所建立的 密钥比特。所述步骤1中的分束器的透射、反射比例为1 1。同时Eve的分束器所在位置应 该尽可能靠近Alice —端，这是因为Eve的攻击将从本应被Bob测到的光子中分出一部分， 使得Bob测得光子的概率比正常情况下少了 50%，Eve必须通过用无损信道代替正常信道 来达到用信道噪声来掩饰窃听的目的。这种更换无损信道的攻击方法在噪声信道下QKD的分析中很常见。因此，替换的信道越长，即Eve的分束器离Alice越近，对Eve来说就更有 利。所述步骤2包括(2. l)Eve用无损信道替换掉自己到Bob之间的公开信道；(2. 2) Eve通过分束器在她与Bob之间搭建一个新的迈克尔逊干涉仪，其输入为 Alice发来的信号。分束后控制在Eve手中的一路信号将在延时线圈中传输，并经法拉第反 射镜反射回分束器。线圈的长度与发送到Bob的那一条光路相同，使得两路信号可以同时 返回到分束器产生干涉。所述步骤3中包括以下几种不同情况(3. 1)如果Bob没有测量收到的信号(即测量的是不同的偏振方向)，则两路信号 返回Eve的分束器时会发生干涉，合并成一路信号返回给Alice。(3.2)如果Bob测量了收到的信号(即测量的偏振方向与Alice发送的光子相 同)，且测到了光子，则不会再发生任何干涉，Eve不会测到光子，此时她不需要给Alice发 送任何光子。(3. 3)如果Bob测量了收到的信号但没测到光子，并且Eve也没测到光子，此时光 子必将被Alice检测到，Eve不需要给Alice发送任何光子。(3. 4)如果Bob测量了收到的信号但没测到光子，并且Eve测到了光子，此时 Alice的线圈中必没有光子。为掩饰自己的存在并使Alice和Bob在此时隙建立密钥比特， Eve需要发送一个同样偏振方向的光子给Alice。所述步骤4中包括以下几种不同情况(4. 1)对应于(3. 1)的情形，返回到Alice的分束器上的两束信号将产生干涉，光 子将确定地被Alice的第二单光子探测器D2检测到。根据QKD方案，此情形不产生密钥比 特。(4. 2)对应于(3. 2)的情形，Alice将不会测到任何光子。同样此情形不产生密钥 比特。(4. 3)对应于(3. 3)的情形，Alice的两个探测器中将有一个测到光子。如果是第 一单光子探测器Dl，Alice和Bob将在此时隙建立密钥比特，而Eve不能得到此密钥比特的 信息。反之不建立密钥比特。(4. 4)对应于(3. 4)的情形，Alice的两个探测器中将有一个测到光子。如果是第 一单光子探测器Dl,Alice和Bob将在此时隙建立密钥比特，而Eve能获得此密钥比特(即 探测到光子的偏振方向)。反之不建立密钥比特。所述的得到密钥信息是指，如果Eve测得的光子处于水平偏振，则密钥比特为0， 反之密钥比特为1。所述的探测器均不但能检测到光子的存在与否，还能在有光子存在时测出其偏振 方向。所述步骤1中，Eve可以根据信道噪声的大小来决定对多大比例的时隙进行窃听， 其标准是使得由于窃听而使Bob测到光子的频数减小的部分，正好等于由于信道噪声而使 Bob测到光子的频数减小的部分。也就是说，使得窃听正好被噪声所掩盖，Bob测得光子的 频数与噪声情形下完全相同。
8
本发明提供了一种对反直观量子密钥分配系统的有效攻击方法。它可以使Eve利 用对单光子信号分束的方法，达到“从Bob 口中分一杯羹”的目的。虽然此QKD系统中Alice 和Bob有很多检测窃听的指标，但巧妙的设计使得此方法不但让Eve可以获得部分密钥信 息(具体比例将在具体实施方式
中给出)，还不会使Alice和Bob共享的密钥串产生任何 错误，同时此窃听具有不改变D3的检测概率、不改变第一单光子探测器Dl和第一单光子探 测器D2的相对检测概率的特点，再加上在实际应用中还有信道噪声、多光子信号等非理想 因素的掩饰，这种窃听很难被发现。因此，本方法可以对此类反直观QKD系统进行有效的攻 击ο


图1为现有技术中的迈克尔逊干涉仪装置原理示意图；图2为现有技术中的反直观QKD系统装置示意图；图3为本发明的对反直观QKD系统的单光子分束攻击原理示意图；图4为本发明的对反直观QKD系统的单光子分束攻击方法流程图；图5为现有技术中的可检测光子极化方式的单光子探测器原理示意图。
具体实施例方式为使本发明的目的、技术方案表达得更加清楚，下面结合附图及具体实施方式
作 进一步详细说明。本发明提供了一种对反直观量子密钥分配系统的单光子分束攻击方法。此方法利 用迈克尔逊干涉仪的工作原理，通过分束器对信道中传输的单光子信号进行分束，同时使 用无损信道将减弱后的信号发送给接收方。通过这种方法，窃听者可以获得部分密钥比特， 并且能将自己的窃听用信道噪声所掩盖，不会被合法通信者所发现。此攻击方法简单有效， 可作为一种对此类QKD系统的安全性测试方法。图3是此攻击方法的工作流程，假设攻击对象为图2所示的QKD系统，其中Alice 的分束器透射率和反射率为T = R = 1/2 (达到传输效率最大值)，则此攻击包括步骤如下 (如图4所示)1. Eve根据Alice和Bob之间的信道传输效率，确定窃听光子的比例。假设信道传输效率为δ，即Alice发送的光信号中，能成功完成信道传输的信号 与在信道传输中丢失掉的信号比例为S I-S。则在没有窃听的正常情况下，Bob在每个 时隙测得光子的概率为
(5>在有窃听情况下，Eve将噪声信道替换为无损信道，其窃听比例(即进行窃听的时 隙占总时隙数的比例)为
(6)容易验证，此时Bob在每个时隙测得光子的概率为pf =1*(1_全”*1 = | =仏(7)即Eve的窃听不会引起Bob测得光子频数的变化，进而不会被通信者所发现。当然从目前实验结果来看，光纤信道对单光子信号的传输效率很低，一般来说δ <1/2，因此 Eve的窃听比例值r > 1，表示Eve通常可以对所有时隙进行窃听，并且替换后的信道可以 不必为无损信道，可以是更容易实现的低损信道，只要使得在有、无窃听两种情况下Bob测 得光子的频数不变即可。因此为了描述方便，在本例中我们假设Eve对所有时隙的光信号 进行窃听。2. Eve在Alice和Bob之间的公开信道中放置分束器BS2 (如图4所示)，将传输 的光信号进行分束。BS2的反射、透射比也可取为1 1。分束后的h路信号留在自己的延 时线圈0D2中，i路信号用无损信道发送给Bob。此时系统的状态变为以下两态之一|φ。〉= \\0)α |0〉Λ |丑〉,+i|0)fl |//〉Λ |0〉, +j=\H)a |0)J0)(.(8)IO1)=全 |o〉fl |ο)Λ\v\ +i|o)a Ioyi +^=\v)a |o)A |o〉,.(9)两个状态分别对应于Alice的初始光子偏振方向为ι H>和| V>的情形。可见此时 光子可能存在于a，h和i三个光路中的一个之中。此外，光路h和光路i (包括Bob的光路 部分)长度相同，以确保两路信号能够同时返回到BS2。3.如果Eve的单光子探测器D4探测到光子，则Eve产生一个偏振方向相同的光子 并通过光路b发送给Alice。反之如果D4没有响应，则Eve不需采取任何措施。根据Bob所采取的不同测量方式和测量结果，可分为以下几种不同情况(3. 1)如果Bob没有测量收到的信号(即测量的是不同的偏振方向)，则两路信号 返回Eve的分束器时会发生干涉，合并成一路信号返回给Alice。此时单光子探测器D4不 会响应。(3.2)如果Bob测量了收到的信号(即测量的偏振方向与Alice发送的光子相 同)，且测到了光子，则不会再发生任何干涉。此时单光子探测器D4不会响应。(3. 3)如果Bob测量了收到的信号但没测到光子，系统的状态将变为以下两态之
_] |w0) = j||o>Ji/>A+)j||i/>Jo>A(10)此时若Eve也没测到光子(即单光子探测器D4不响应)，则光子必将被Alice探 测到，Eve不需要给Alice发送任何光子。(3. 4)如果Bob测量了收到的信号但没测到光子，并且Eve的单光子探测器D4测 到了光子，此时Alice的线圈中必没有光子。为掩饰自己的存在并使Alice和Bob在此时 隙建立密钥比特，Eve需要发送一个同样偏振方向的光子给Alice。4.对于第一单光子探测器Dl和第四单光子探测器D4测到光子，同时第二单光子 探测器D2和第三单光子探测器D3没测到光子的情况，Eve记录下D4所测得光子的偏振方 向，得到此时隙Alice和Bob建立的密钥比特，即D4测到的|H>和|V>分别意味着光子的 初始偏振为|V>和IH>(经过法拉第反射镜的反射后，D4测到的光子偏振方向与初始值相反)，分别代表密钥比特1和0。由反直观QKD方案可知，Al ice和Bob只有在Dl测到光子 而D2、D3没测到光子的情况下得到1比特密钥。所以此时Alice和Bob将根据光子的初始 偏振方向建立1比特密钥，即初始偏振|H>和|V>分别代表0和1。可见Eve将正确得到此 密钥比特。 下面计算Eve能够获得密钥比特的概率，即Eve最终获得的密钥信息在Alice和 Bob所得密钥中所占的比例。如果Alice和Bob在某个时隙能获得密钥，则Bob测量了收到 的信号且没测到光子，测量后系统的量子态为(10)或(11)。当h路的信号返回到BS2时， 在BS2的作用下，系统量子态变为以下两态之一 |Ω。〉=去 |00〉jH〉广(夬 |0礼+馮—〉flft)|0〉j m> = ^|00)fljF)
I
K
Jfl^L
I。〉,.
(12)
(13) 因此，Eve的探测器D4检测到光子的概率为h = 1 = 1/6，测不到光子的概率为Pj = C1= 1/6。如果D4没测到光子，则系统的量子态将塌缩为
2/ |r0〉= ^|o//〉flb+^|//o〉ab
lab
.万丨
以上量子态经过BSl时，状态变化为
2/丨…\
丨々苗卯〉,|Λ0) =2-i y/lO
IA1) =2- ι ^Ol
可见此时第
Ps-I =2-i λ/ 0
(14) (15)
(16) (17)
fs ^O ‘‘ "//g
可见此时第一单光子探测器Dl和第二单光子探测器D2检测到光子的概率分别为
1 2
1 一 2 Il
_
M =
Ti-/ P
2
因此，Eve可获得密钥比特的比例为 ^ 1
(18) (19)
(20)
Pj^Pj^f^ + Pj^Pf.i 6
式中Pp μ = 1/2，表示Eve测到光子后，发送一个同样偏振方式的光子给Alice， 这时Alice的第一单光子探测器Dl探测到光子的概率。因此，通过以上攻击方法，Eve可 获得16. 7%的密钥信息。这个信息泄露比例对量子密钥分配协议的安全性来说是致命的。
本发明中，Eve的攻击装置类似于Alice的装置，主要包括迈克尔逊干涉仪(包括 单光子源、单光子探测器、分束器、极化分束器等)。发明中用到的可检测光子极化状态的单 光子探测器，可以由图5中的装置来实现。它由一个极化分束器PBS及两个单光子探测器 Dl和D2组成。如果有一个极化状态为I H>的光子从a路入射，则经PBS后会透射到b路，被第一单光子探测器Dl探测到。相反如果光子极化态为IV〉，则经过PBS后会反射进入c 路，进而被第二单光子探测器D2探测到。因此，在这个“复合”探测器中，若Dl响应，则表 示检测到偏振态为|H>的光子；若D2响应，则表示检测到偏振态为|V>的光子；若Dl和D2 均未响应，则表示没有探测到光子。这样就实现了可检测光子极化状态的单光子探测器。需要补充说明的是，虽然我们在上述的说明中是以反射、透射比为1 1的分束器 和无损信道为例来说明本发明的原理，但对于其他比例的分束器、以及其它低损信道来说， 本发明所提供的方法依然适用，即分束器的反射、透射比例及替换信道的性能可根据实际 情况进行调节。总之，本发明可以用与通信双方类似的设备实现了对反直观量子密钥分配 系统的有效攻击。以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护 范围之内。
1权利要求
对反直观量子密钥分配系统的单光子分束攻击方法，其特征在于，包括以下步骤(1)攻击者Eve在发送者Alice和接收者Bob之间的公开信道中放置一个分束器，将信道中传输的每个波包分成两路信号；(2)Eve将分出的两路信号中的一路继续沿原方向用无损或低损信道发送给Bob，而另一路留存在自己的控制范围内；(3)如果Eve的探测器检测到光子，则Eve发送一个光子给Alice；如果Eve没有检测到光子，则不需要发送光子给Alice；(4)对于Eve测到了光子，且Alice和Bob的探测器中只有第一单光子探测器探测到光子的时隙，Eve将所测得光子的偏振方式作为Alice和Bob在此时隙所建立的密钥比特。
2.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于Eve在攻击前根据Alice和Bob之间公开信道的传输效率，确定所窃听光子的比例； 对于要窃听的时隙，执行所述的步骤(1)_(4)。
3.根据权利要求2所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于所述的窃听光子的比例，应使得Bob在有窃听和无窃听情况下收到光子的比例无变 化。
4.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于步骤(1)中分束器的反射、透射比为1 1，其位置在公开信道中最靠近Alice的一端。
5.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于步骤(2)所述的无损或低损信道，其传输效率应满足使得Bob在有窃听和无窃听情况 下收到光子的比例无变化。
6.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于步骤(2)所述的留在Eve控制范围内的一路信号，其光路总长度等于发送到Bob—路 的光路总长度，且光路中间有法拉第反射镜将信号反射，保证两路信号能够同时返回到Eve 的分束器。
7.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于步骤(3)所述的发射光子给Alice，指Eve自己产生一个光子，其偏振方式与Eve所 测得光子的偏振方式相同，并沿Alice和Bob之间的公开信道发送给Alice。
8.根据权利要求1所述的对反直观量子密钥分配系统的单光子分束攻击方法，其特征 在于步骤(4)所述的将光子偏振方式作为密钥比特，其解码方法与Alice相同，水平偏振 和垂直偏振分别代表比特值为1和0。
全文摘要
本发明公开了一种对反直观量子密钥分配系统的单光子分束攻击方法，涉及量子保密通信技术。该方法利用分束器将信道中传输的单光子信号分束，截获其中的一部分信号，同时将另一部分信号用无损或低损信道传送给接收方。根据迈克尔逊干涉仪的工作原理，当两部分信号同时返回到分束器时会发生干涉，此时若窃听者测得光子，则发送一个光子给发送方，所测得光子的偏振方式即为密钥比特。该方法可以使窃听者在噪声掩饰下得到部分密钥信息，同时不对合法通信者分配的密钥串引入任何错误。它提供了一种对反直观量子密钥分配系统的有效攻击方法，同时也是对此类系统的一种有效的安全性测试方法。
文档编号H04L9/08GK101931527SQ20101023482
公开日2010年12月29日 申请日期2010年7月23日 优先权日2010年7月23日
发明者张劼, 张华 , 温巧燕, 秦素娟, 郭奋卓, 高飞 申请人:北京邮电大学