量子密码协议研究现状与未来发展.docx

《量子密码协议研究现状与未来发展.docx》由会员分享，可在线阅读，更多相关《量子密码协议研究现状与未来发展.docx（21页珍藏版）》请在优知文库上搜索。

1、一、前言自古以来，信息交流便是人们日常生活中不可或缺的一部分。信息传递的安全性是很多通信场景下的基本需求，在外交、军事、经济等保密性较高的领域中更显重要。密码学是保障网络与信息安全的理论基础，各类密码算法和协议在确保消息的机密性、完整性、不可否认性以及身份认证等方面发挥着重要作用。经典密码（指基于数学复杂性理论的数学密码，与量子密码相对应）算法可大致分为对称密码、公钥密码两类，各有优点且应用广泛。然而在20世纪90年代Shor算法、GroVer算法提出后,量子算法对当前的密码体制形成了严重的安全性威胁。如果有了通用的量子计算机，ShOr算法可以轻松攻破基于整数分解、离散对数问题的多种公钥密码；

2、GroVer算法也将挑战对称密码的安全性。因此，研究可以抵抗量子计算攻击的新型密码体制己经成为密码学领域的重大任务。有趣的是，量子科技在对密码学的安全性形成威胁之际，也为抗量子计算攻击提供了一种潜在方法（即量子密码）。量子密码是量子力学和密码学相融合的产物，它采用量子态作为信息载体在用户之间传送信息。根据量子态的特性，在一个安全的量子密码协议中通信双方可以发现所有有效的窃听/攻击行为。可见，量子密码的安全性不再基于数学问题的困难性，而是由量子力学基本原理所保证。一个设计精巧的量子密码协议可以达到信息论安全。近年来，随着量子信息技术的逐渐丰富与成熟，人们已经提出了各类独具特色的量子密码协议。需要

3、说明的是，经典密码通常在密码算法的基础上构建可完成各种密码学任务的协议，而量子密码往往直接利用量子性质来设计类似协议。因此，相比于算法，协议是量子密码中的主要研究内容。图1量子密码协议的研究意义注：木桶的容水量代表信息系统的安全性强度。量子密码协议的研究意义可以参照木桶理论（见图1）来表述。在经典密码中，组成木桶的木板代表各类经典密码算法和协议；而在量子密码中，木板代表各类量子密码协议。一方面，协议对量子密码来说至关重要，所有密码学任务都是通过相关协议来完成；另一方面，与经典密码算法和协议相比，量子密码协议的安全性大大提高，可以对抗未来量子计算的攻击。人们希望利用量子性质能够实现各类密码协议功

4、能，进而全面提升信息系统的安全性。本文针对量子密码协议的发展动态和趋势进行研究。按照协议的不同功能，梳理6类主流量子密码协议（见图2）的发展现状并分别分析实用化潜力及局限性；统筹考虑量子密码整体的实际应用需求，凝练领域未来亟待解决的关键科学问题并预判潜在的技术途径，提出我国在本领域的技术发展建议，以期为量子密码协议的深化研究提供基础性参考。保密通信量子密码协议两方安全计算x量子密钥分配量子不经意传输量子掷币一量子比特承诺-量子数字签名f身份认证一量子秘密共享一一量子安全直接通信量子保密查询图2几类具有代表性的量子密码协议二、量子密钥分配协议量子密钥分配（QKD）是一种通信双方通过传输量子态来建

5、立密钥的协议,其目的是使通信双方获得一串只有他们两个知道的密钥（由经典的随机比特构成，但由于是用量子方式建立的，因此也被称为量子密钥）o由于QKD和一次一密（OTP）加密算法均具有信息论安全性，将两者结合使用就可以实现完美安全的保密通信。根据光源编码空间的维度不同，QKD可以分为离散变量(DV)和连续变量(CV)两类。QKD系统由发送端、接收端以及信道组成。QKD信道包括量子信道和经典信道，分别用于传输量子和经典消息。在量子密码协议中，一般假设经典通信是不可篡改的，这一点可以利用具有信息论安全性的经典消息认证码来实现。此外，为了在有噪声的现实情况下获得信息论安全性，QKD一般包含纠错和隐私放大

6、的过程，前者用于纠正噪声引起的密钥错误，后者用于压缩窃听者在噪声掩护下可能获得的密钥信息。1984年，IBM的Bennett和Montreal大学的Brassard首次提出量子密码的概念，并给出第一个QKD协议一一BB84协议。经过近四十年的发展历程，人们基于不同量子力学特性提出了多种QKD协议，一些典型QKD协议的安全性也得到了严格证明，但实际上QKD系统中因为器件的不完美仍然存在一些安全性漏洞。设备无关(DI)QKD协议可从根本上消除这些漏洞。该类协议不需要假设QKD设备是完美的，它们甚至可以是不可信的。DI-QKD的安全性基于如下事实：量子过程和经典过程对贝尔不等式的违背程度是不同的。通

7、信双方通过观测输入和输出的经典比特信息间的关联关系，计算贝尔不等式的违背值，即可判断设备的可信程度，并估计出窃听者所能获取的最大信息量。只要实验中观测到的违背值足够大，则说明设备足够可信，通信双方进而可以获得信息论安全的密钥。DI-QKD协议过程相当于对其设备的可信性进行了一次自测试，只有可信的设备才能通过测试，进而让通信双方成功建立密钥。此后，人们又提出了测量设备无关(MDl)QKD协议，它可以在测量设备不可信的情况下实现安全的密钥分配，且实现难度较DI-QKD更低。QKD实用化研究也进展快速。2021年，中国科学技术大学潘建伟团队演示了一个集成的空对地量子通信网络。基于“墨子号量子卫星，通

8、过集成光纤和自由空间QKD链路，该QKD网络中的任何用户都可以与其他任何用户进行通信，总距离可达4600km。同年，中国科学技术大学封召等演示了IOm水下信道基于偏振编码的QKD实验，安全密钥生成率超过700kpbs。2022年，中国科学技术大学郭光灿团队实现833km光纤QKD,将无中继QKD安全传输距离世界纪录提升了200余km,向实现100Okm陆基量子保密通信迈出重要一步。综上所述，QKD作为量子密码领域研究最早、理论最成熟的部分。目前已有多个国家建立了基于QKD的通信网络，如美国的DARPA、欧洲的SECOQC、日本的TokyOQKDNetWork、中国的京沪干线等。随着墨子号量子卫

9、星的发射，京沪干线、沪杭干线的相继落成，QKD已经在一定程度上具备了走向实用化的条件。尽管如此，受技术条件限制，当前的QKD系统在传输速率、传输距离两个方面还不能满足大规模应用的需求。在具体应用中，人们往往会选择一些折衷方案。比如，针对密钥生成速率低的问题，人们也常将QKD密钥用于高级加密标准（AES）等加密算法中，这样的保密通信就不再具有信息论安全性。再比如，针对传输距离近的问题，QKD网络往往需要“可信中继（见图3）,即假设中继是可信的（如果中继节点不可信，它将轻易获得用户所分配的密钥，进而获得后续用该密钥加密的秘密消息），这也会在一定程度上损害QKD的安全性，并限制QKD的大规模应用。Q

10、KDQKDAlice可信中继站HBob100IolOQIOlOUoQOTP加密信道色IOlollOQ_fe.图3QKD的可信中继方案中继节点分别与通信双方执行QKD,并利用其与Bob的密钥将其与Alice的密钥加密传输给Bob,使得AliCe和Bob可以远距离建立密钥。当然，除了这种可信中继之外，人们也在研究量子中继，它通过量子存储、纠缠交换等技术来提高纠缠态分发的距离，进而可以提升QKD的传输距离。这种中继不会损害QKD的安全性，具有更好的应用潜力，但相关技术还不够成熟，目前还达不到实用化的程度。三、量子安全直接通信协议量子安全直接通信（QSDC）是一种收发双方不需要建立密钥而直接利用量子信

11、道传输机密信息的保密通信技术。与传输随机密钥不同，由于要确保消息的完整性，利用量子态直接传输秘密消息将不利于协议过程中的窃听检测、纠错、隐私放大等步骤的实施。QSDC协议通过分块传输、量子隐私放大等技术来解决该问题，进而可以实现直接传输秘密消息的功能。2000年，清华大学龙桂鲁和刘晓曙利用纠缠态的块传输技术首次提出了一种量子保密通信模型用于传输机密信息。2004年，清华大学邓富国和龙桂鲁等将非正交量子态块传输和经典OTP结合起来，提出了基于单光子的QSDC方案。与基于纠缠态的方案相比，单光子态的操控更容易实现。此后，QSDC这一通信模式成为国际量子保密通信的研究热点。近年来，人们在QSDC的实

12、现方面也取得了可喜的进展。2016年，山西大学肖连团队和清华大学龙桂鲁团队联合实验演示了基于单光子的QSDCo2021年,上海交通大学陈险峰、江西师范大学李渊华等利用QSDC原理，首次实现了网络中15个用户之间的安全通信，传输距离达40kmO从目前的研究现状来看，QSDC在技术上已经接近实用化的程度。从功能上讲，QSDC与QKD&OTP相同，都属于保密通信的范畴。四、量子秘密共享协议秘密共享的基本思想是将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，使得单个参与者无法恢复秘密信息，而只有若干个参与者相互协作才能恢复。秘密共享的目的是防止秘密过于集中以实现分散风险。最常见的秘密共享

13、协议为（）门限方案，即分发者把秘密消息加密成n份，分别发送给个接收者，要求接收者中任意A个人合作都可以重构出这条消息，而任何少于k个人的组合都得不到这条消息的任何信息。经典密码中，常见的秘密共享协议有基于多项式拉格朗日插值公式的Shamir门限方案、基于中国剩余定理的门限方案等。随着量子密码学的不断发展，量子秘密共享（QSS）协议也引起了学者们的广泛研究。1999年，利用GHZ态的纠缠特性提出了第一个QSS协议。后续学者们又利用不同的量子特性提出了多种QSS协议。在实验实现方面，2014年，在线性光学装置中利用光子实现了基于图态的经典信息和量子信息的秘密共享；2018年，周瑶瑶等实现了一种利用

14、光场的多体束缚纠缠的QSS协议，可实现四个参与者之间的秘密共享。2021年，提出一种基于离散调制相干态的CV-QSS协议，该方案最大传输距离达到100km以上。从理论上看，QSS具有广阔的研究前景，如对化川门限方案的研究、对多方-多方秘密共享方案的研究、对理性秘密共享方案的研究等。然而，目前QSS协议仍不具有实际应用价值。一是由于对QSS协议的研究大多着重于研究m,）门限方案，很难做到化川门限秘密共享，使得QSS的应用场景受限；二是QSS协议中纠错与隐私放大方案匮乏，难以真正实现信息论安全。实际上，将QKD协议与经典门限方案相结合就可实现信息论安全的秘密共享，更具有实际应用价值。因此，QSS可

15、以看作是QKD的一个直接应用。五、量子身份认证协议量子身份认证（QIA）指在量子密码协议中对参与者的身份进行验证，以防止攻击者假冒参与者身份窃取信息。为了在QKD过程中实现信息论安全的身份认证，人们提出了一系列的QIA协议。QlA协议大致可以分为两类：共享经典密钥型、共享纠缠态型。在共享经典密钥型QIA协议中，通信双方事先共享一个预定好的字符串，以此表明双方身份。1999年，首次提出用经典的消息认证协议来认证QKD中所传递的经典信息。此后，也有方案利用该经典密钥来代表窃听检测粒子的位置和测量基，同样也可以达到认证双方身份的功能。共享纠缠态型QIA协议指通信双方共享一组纠缠态粒子，双方各自拥有每

16、对纠缠态粒子中的一个，对纠缠对进行相应的操作来互相表明身份。这种方法需要长时间存储大量纠缠态粒子，不易实现。为了达到信息论安全，QIA协议中用户事先共享的密钥或纠缠态要确保在使用过程中不会被窃听者所获得，而且一般不能重复使用。此外，身份认证一般应与QKD等协议同时进行，防止窃听者跳过认证阶段直接进行密钥分发。不难看出，QlA的实现思路与经典身份认证是类似的，都是在不泄露身份密钥的前提下向对方证明自己拥有该身份密钥。区别在于，前者的身份密钥既可以是经典的，也可以是量子的，而后者是经典的。然而从目前来看，QlA协议的实际应用并不多。原因如下：QIA一般与实现其他密码功能的量子密码协议（如QKD）配套使用。而在绝大多数量子密码协议中，经典信道往往采用信息论安全的消息认证码（MAC）来确保消息的完整性