基于重發機制的量子密鑰分發協議

王育齊，佘 堃

（1.電子科技大學 計算機科學與工程學院，四川 成都611731；2.閩南師范大學 計算機學院，福建 漳州363000）

0 引 言

隨著Bennett和Brassard提出了第一個量子密鑰分發（quantum key distribution，QKD）協議 （簡稱BB84協議），標志著量子密碼研究的真正開始。隨后，E91 和B92 等QKD 協議被陸續提出，這3 大協議都被驗證為無條件安全［1－3］。QKD 協議的提出解決了 “一次一密”的密鑰問題，實現了該加密算法真正的無條件安全。不管QKD 協議是用來分發隨機密鑰串還是確定的密鑰串都存在以下問題［4，5］：由于信道衰減、噪音、竊聽等，且光子信號比較微弱又不能夠放大和檢測設備性能等問題，導致在接收端出現光子丟失現象，這必然會影響協議密鑰分發的效率。對于前者，既可以根據具體的實驗環境估計出光子的損耗率進行校正，也可以采用本文提出的重發機制；而對于后者，則只能采用重發機制完成確定的密鑰分發，完善密鑰管理。盡管有學者從量子糾纏 （包括高維糾纏）、純化以及交換、預先聲明基和提高密鑰生成率等方面做的大量的研究，取得不錯的成果，提高了密鑰分發效率［6－10］，但是在接收端，仍然存在光子丟失的問題，這對于QKD 協議來說是一個不小的損失，尤其是確定性QKD。利用重發機制 “彌補”丟失光子，提高QKD 協議分發效率，具有一定的理論創新性。

本文基于BB84協議并對其進行了改進，提出了一種基于重發機制的QKD 協議。當Bob檢測到有光子缺失時，要求Alice重發缺失的光子。該重發過程還是一個BB84過程，安全性與其等價，同時，由于沒有使用量子內存，實驗上是可以實現的。由于重發過程增加了Bob收到的有效二進制位，擴大了用來竊聽檢測的子區間，提高了竊聽檢測安全性的同時也提高密鑰分發的效率。

1 BB84協議分析

BB84協議分為3個階段，第一個階段為量子傳輸，主要是Alice制備隨機的二進制位串、隨機選擇的基序列和相應的隨機光子序列，Bob用隨機產生的測量基測量光子序列得到了二進制位串；第二個階段為公共信道上的協商，主要是Alice確定Bob的哪些測量基是和自己一致的，雙方保留基一致的測量結果，并在其中隨機取出一部分用來竊聽檢測，若Bob端產生的錯誤率小于某個給定的閾值，協議繼續進行，否則重新開始；最后將Bob用來竊聽檢測的二進制位刪除，將最后剩下的二進制串作為最終的初始密鑰，也稱為篩選后的數據。

在BB84協議的執行過程中R （Rectilinear）代表線性偏振，它包括 ｛→，↑｝兩個基矢，即光子做0°和90°線性偏振；D （Diagonal）代表對角偏振，它包括 ｛↗，↖｝兩個基矢，即光子做45°和135°對角偏振，故有時也稱BB84為四態協議；編碼規則是 ｛→，↗｝→0， ｛↑，↖｝→1；在表1中，第一階段最后一行中，空白代表沒有檢測到光子，測量沒有輸出，即光子缺失了，這些缺失的光子對協議分發效率影響較大。

2 提出新的協議

通過對BB84協議的分析可知，由于光纖色散與損耗對光量子傳輸的影響，光子在傳輸過程中可能會丟失或沒有被檢測器檢測到，也有可能是由于竊聽導致，不管哪種原因都有可能使Bob接收到的光子序列中出現空白，這對協議的密鑰分發效率影響很大。因為本身BB84協議的效率較低 （選對測量基的概率為50%），再加上為了檢測竊聽還得拿出一部分光子進行檢測，到最后實際用來作為密鑰的位就非常少了，嚴重影響了協議密鑰分發的效率。

2.1 協議流程

當Bob發現自己接收到的光子串中有缺失的情況，即該位置的光子要么在傳輸過程中丟失了，要么沒有被自己的探測器檢測到，或者是由于竊聽所致，Bob 都會要求Alice重新發送相應丟失位對應的光子，重發過程是基于BB84協議的。該協議執行環境同BB84一樣，下面是該協議的描述：

假設Alice生成要傳送的隨機二進制串放在數組a，隨機選擇的基放在數組b，所對應生成的隨機光子序列放在數組c；Bob隨機生成用來接收的基序列，并將其放在數組d。數組e，f 和g 分別用來存放Bob檢測到的光子序列、相應的二進制位串和測量后缺失光子的位置；重發次數k＝0。

（1）Alice將數組c 的內容依次通過量子信道發送給Bob，相鄰的時間間隔為Δτ；

（2）Bob用d 中的測量基依次對接收到的光子進行測量，得到數組e，相對應的二進制串f；

（3）若Bob發現有光子缺失時，用數組g 記錄缺失光子在序列中的位置；

（4）Bob檢測數組g，若為空，則沒有需要重發的光子，此時該協議退化為BB84協議；若g 不為空，則Bob將g 的內容發給Alice，要求Alice根據g 的內容，重新隨機生成所需要的二進制位、對應的基和相應的光子序列，利用BB84協議進行重傳，直到所有缺失的光子都得到了檢測或需要重發光子的次數達到了一個閾值k0后停止重發操作，具體由下面步驟完成：

（5）Bob將他最終的測試基序列d 通過經典信道發送給Alice；

（6）Alice通過比較b和d 中的內容是否一致，并將比較結果告訴Bob；

（7）通信雙方保留基一致的測量結果，放棄基不一致的測量結果；

（8）通信雙方檢測竊聽。記ξ0 為錯誤率的閾值，若出錯率ξ≤ξ0 ，說明由竊聽引入的錯誤在可接受范圍內，并繼續執行下面的步驟，否則算法異常終止；

（9）通信雙方按照事先約定好的規則將最終接收到的光子編碼成二進制比特串，由此獲得篩選后的原始密鑰；

（10）利用數據協商 （主要用來糾錯）和密性放大技術（降低Eve獲得信息量）對原始密鑰進行處理，獲得最終的安全密鑰，完成密鑰分發任務，算法正常結束。

2.2 協議模擬

為方便進行理論分析，令：｜→＞＝｜0＞，｜↑＞＝｜1＞，分別代表0°和90°的R 偏振光子，滿足正交性；｜↗＞＝（｜0＞＋｜1＞）／，｜↖＞＝（｜0＞－｜1＞）／，分別代表45°和135°的D 偏振光子，同樣滿足正交性，但R和D 是非正交的滿足測不準原理。其中，｜0＞≡（1，0），｜1＞≡（0，1）?？梢则炞C： ＜→｜↗＞2＝ ＜→｜↖＞2＝ ＜↑｜↗＞2＝ ＜↑｜↖＞2＝1／2，即兩組基的交疊概率為1／2，意思是說當獲得測量結果是｜0＞態時，有可能對方發送的就是｜0＞態 （選對了），也有1／2的可能性是從（｜0＞＋｜1＞）／或（｜0＞－｜1＞）／態得到，而從后者中得到｜0＞的概率也是1／2，這樣選錯后得到的｜0＞的概率就是1／4。

假設Alice生成的a＝ ｛0，1，1，0，1，1，0，0，1，0，1，1，0，0，1｝，b＝ ｛‘D’，‘R’，‘D’，‘R’，‘R’，‘R’，‘R’，‘R’，‘D’，‘D’，‘R’，‘D’，‘D’，‘D’，‘R’｝，c＝ ｛‘↗’，‘↑’，‘↖’，‘→’，‘↑’，‘↑’，‘→’，‘→’，‘↖’，‘↗’，‘↑’，‘↖’，‘↗’，‘↗’，‘↑’｝；Bob隨機生成的d＝ ｛‘R’，‘D’，‘D’，‘R’，‘R’，‘D’，‘D’，‘R’，‘D’，‘R’，‘D’，‘D’，‘D’，‘D’，‘R’｝。協議模擬時的e＝｛‘↑’，‘？’，‘↖’，‘？’，‘↑’，‘↗’，‘↗’，‘→’，‘？’，‘↑’，‘↑’，‘↖’，‘？’，‘↗’，‘↑’｝， “？”表示光子的缺失；相對應的二進制串f＝ ｛1，，1，，1，0，0，0，，1，1，1，，0，1｝，“”表示空缺位，即沒有接收到任何光子；g＝ ｛2，4，9，13｝。

新協議的模擬執行過程如表1 所示。需要說明的是，首先，該協議執行過程中使用了與BB84協議相同的數據，主要是為了方便與其比較；其次，該協議在執行過程并沒有使用量子內存，流程中用來存放光子序列的數組c和e 只是為了利用數組下標方便描述光子位置，實際上雙方都沒有存儲發送或接收的光子序列。對于是否有光子缺失，完全可以在Bob接收到的二進制序列中觀察到；最后，是對k0和ξ0 的說明。其中k0可以通過簡單計算得到：一種是根據Bob接收到光子的比例u （u＝11／15）和缺失光子數l，估算出k0≈l／u；另外一種就是k0取一個經驗值，如k0＝3 （因為一次猜中的概率是1／2，兩次以上猜中的可能性非常大，故估計重傳3次就可以了）。ξ0 是Eve獲得最大的竊聽信息時在Bob端引起的最小錯誤率，這跟Eve采用的竊聽策略是有關系的，Molotkov和Gottesman等對此已經做了具體研究。

表1 新協議的模擬執行過程

2.3 協議分析

新協議是在Bob 測試到有缺失光子的情況下，要求Alice將其對應位置的光子重新發送，直到滿足相關要求后停止發送，所以安全性是等價于BB84協議。由于Bob只要求Alice發送指定位置的光子，Alice根據數組c 的下標，重新隨機產生相應的光子而無需存儲以前產生的，所以沒有用到量子內存，實驗上沒有增加難度，也和BB84一樣。在密鑰分發的效率上，該協議優勢明顯，首先通過重傳丟失的光子，Bob接收到的有效信息增加了，自然密鑰分發效率會提升；其次用來檢測竊聽的子區間會變大，檢測率會提升，增加了一定的安全性；最后隨著Bob端有效位的增加，最后生成的原始密鑰也變長了。

通過對表1的計算可知：沒有竊聽時 （理想情況下），對于BB84協議，效率η＝6／15，對于新的QKD 協議，效率η＝9／15；對于最后獲得原始密碼長度也由原來的4位上升到6位，提升了50%。由于Alice隨機生成重傳的光子序列，Bob隨機選擇測量基，但Bob仍然有1／2 概率選對測量基，則Bob通過重傳缺失光子序列后，可以多獲得最少lu／2 個有效光子，最多l個有效光子。所以在重傳后Bob獲得有效光子數將會增加，用來作為初始密鑰的二進制串自然也會變長，密鑰分發效率顯然優于BB84協議。

2.3.1 安全性

量子誤碼率QBER （quantum bit error rate，QBER）定義為篩選后的數據 （協議中第9步產生的初始密鑰數據）中碼值錯誤所占的比例，碼值錯誤是指接收方碼值 （0 或1）不同于發送方碼值，公式如下：QBER＝Nerr／Nsift，其中Nsift是篩選后的數據個數，Nerr是Nsift中碼值錯誤的個數。

假定Eve選擇全部截取Alice發送的光子串，測量后直接發送給Bob。由于Eve不知道Alice所選的基，他只能隨機選擇測量基，選對的概率為50% （也就是Eve猜對碼值的概率為50%），選對后將測量的結果發送給Bob不會造成錯誤；但選錯后 （選錯概率也是50%），由于交錯概率1／2的存在，Eve仍然有25%的概率猜對碼值，這樣Eve就有75%的概率猜對Alice發送的碼值 （0或1），猜錯碼值的概率是25%。而對于篩選后的數據Eve確切知道基及碼值的概率仍為1／2，余下的碼值對錯各占一半。所以，由于Eve的竊聽將引起25%的QBER，這很容易被通信雙方發覺。

從表2的數據表中可以看出，由于Eve的竊聽，Bob隨機的選擇第4，9，13位置的二進制數與Alice進行竊聽檢測，發現第4位二進制錯誤，錯誤率為q＝1／9≈11%。雙方認為可以繼續通信，并舍棄用來檢測的3 位二進制，最終獲得了篩選后的密鑰串。注意，該密鑰串中可能還有與Alice不一致的二進制位，安全性是比較差的，需要使用數據協商進行糾錯和密性放大后才能獲得可靠的保密數據，即最終的密鑰。

表2 模擬竊聽過程中的數據變化

注：在表2中斜體加粗的數據代表Alice重發的缺失光子經過Eve和Bob測量后的二進制位；斜體加粗N 表示所選子區間上Alice和Bob數據不一致，即發現了竊聽。

2.3.2 數據協商

在協議的第10步需要利用數據協商對篩選后獲得的數據進行糾錯，因為在這個數據中 （第三位錯誤）的誤碼率達到了q＝1／6≈17%，不能直接使用，必須使用數據糾錯找出其中的錯誤，將所有錯誤清除或使誤碼率降低到適宜使用，同時還要降低Eve在此過程所獲得信息量，并保留盡量多的有用數據。

數據協商采用的方法通常有二分糾錯 （binary protocol）、級聯糾錯（cascade protocol）和漢明碼數據協調（winnow protocol）。也可以借鑒張盛等提出的錯誤預測模型分析［11］，但由于在表2 中篩選后的數據中只有一個錯誤，故采用二分糾錯。首先，利用一個六位的隨機排列（假定排列為a5a4a3a6a1a2）對Alice 和Bob 的篩后數據（分別是110101 和111101）進行重排列，分別得到Sa和Sb，并記錄相應的位置；接著數據分組，由于誤碼率為q＝1／6，每組數據長度h≈1／2q＝3，分別將Sa和Sb分為兩組；最后Alice和Bob各自檢測每組數據的奇偶性并在公開信道進行比較。若奇偶性不相同的哪一組，則肯定存在錯誤，此時另外一組就不用再進行奇偶校驗位的比較了。將出錯數據一分為二，繼續進行奇偶性的比較，直到找到奇偶性不同的位，并將其刪除。為了確保不讓Eve獲得新的信息，應將每次公開奇偶性數組的最后一位刪掉。最終得到的Sab為0111，這是Alice和Bob高度一致且不含錯誤的密鑰串。

2.3.3 密性放大

經過數據協商后，誤碼率已經非常低了 （本例中已經為0了），但Eve還是可能知道部分信息 （如該例中的第四位為1）。為提高保密性，再利用密性放大技術［12］，將Eve掌握的有效信息變為無效，這是以減少Alice和Bob擁有的信息量為代價的。具體做法如下：

設通信雙方共同擁有n位二進制串x，Eve知道其中的t位，并選定s位二進制串作為安全參數。利用一個通用類Hash函數F：｛0，1｝n→ ｛0，1｝r，r＝n－t－s，r位的二進制串即為密性放大后的最終密鑰。它使得Alice和Bob的互信息I（A，B）從n減至r，Eve和Alice的互信息I（E，A）由t減至不大于2－s／ln2。具體結合本例計算如下：

設s＝1，Eve知道第四位是1，故t＝1，則r＝4－1－1＝2，x＝ ［x1x2x3x4］＝ ［0 1 1 1］，y＝ ［y1y2］，⊕表示模2運算，令

根據f（x）＝y＝xm，則有

最后得到y＝ ［y1y2］＝ ［0 1］，從而得到了通過密性放大后的密鑰串r為01。I（E，A）由1降到了0.72，說明Eve對最終的密鑰串知之甚少，進一步強化了數據的保密性。

3 結束語

由于量子密碼的實現跟具體的物理系統相關，它不像經典密碼那樣是基于抽象的數學難題，而與具體實現無關。再加上偏振光子很微弱，在傳輸過程又不能放大加強。所以出現接收方光子缺失的概率非常大，這種缺失對整個協議的密鑰分發影響是非常大的。本文采用重發缺失對應位光子的方法，使得接收方盡可能多的接收到有效光子，這不僅有利于竊聽檢測 （因為擴大了檢測區間），而且增加了實際密鑰分發的位數 （最后獲得密鑰長度變長），從而有效提升了協議密鑰分發的效率。

該協議的安全性等同于BB84協議，由于沒有引進量子存儲，只是發送方根據接收方傳遞的信息 （數組下標）重新隨機生成相對應位缺失的二進制位、基和對應的光子序列，并利用BB84協議進行二次傳輸 （利用BB84協議只進行量子傳輸部分）。所以該協議的實現難度沒有增加，同樣等同于BB84協議。故該協議實驗上是可行的，而且密鑰分發效率高于BB84協議。

［1］LI Hongwei，CHEN Wei，HUANG Jingzheng，et al.Security of quantum key distribution ［J］.Scientia Sinica Physica，Mechanica ＆Astronomica，2012，42 （11）：1237－1255 （in Chinese）.［李宏偉，陳巍，黃靖正，等.量子密碼安全性研究［J］.中國科學：物理學力學天文學，2012，42（11）：1237－1255.］

［2］WANG Jindong，ZHANG Zhiming.Unconditional security of quantum key distribution based on practical devices ［J］.Chinese Journal of Quantum Electronics，2014，31 （4）：449－456（in Chinese）.［王金東，張智明.量子密鑰分發系統的現實無條件安全性 ［J］.量子電子學報，2014，31 （4）：449－456.］

［3］Christopher Portmann，Renato Renner.Cryptographic security of quantum key distribution ［DB／OL］.［2014－11－26］.http：／／arxiv.org／pdf／1409.3525.pdf.

［4］ZHENG Liming，WANG Faqiang，LIU Songhao.The influence of dispersion and loss on quantum key distribution system ［J］.Acta Phys Sin，2007，56 （4）：2180－2183 （in Chinese）. ［鄭力明，王發強，劉頌豪.光纖色散與損耗對光量子密鑰分發系統的影響 ［J］.物理學報，2007，56 （4）：2180－2183.］

［5］LIU Wei，YANG Shu，GUO Aipeng.Study on key transmission rate and BER of fiber－based quantum key distribution system ［J］.Optical Communication Technology，2008 （8）：44－47 （in Chinese）.［劉偉，楊樹，郭愛鵬.光纖量子密鑰分發系統中密鑰傳輸率和誤碼率的研究［J］.光通信技術，2008 （8）：44－47.］

［6］Zhu Mengzheng，Liu Ye.Efficient entanglement purification via quantum communication bus ［J］.Quantum Information Process，2014，13 （6）：1397－1412.

［7］SUN Ying， WEN Qiaoyan，YUAN Zheng.High－efficient quantum key distribution based on hybrid entanglement ［J］.Optics Communications，2011，284：527－530.

［8］Lucamarini M，Patel KA，Dynes JF，et al.Efficient decoystate quantum key distribution with quantified security ［J］.Optics Express，2013，21 （21）：24550－24565.

［9］GAO Jingliang，ZHU Changhua，XIAO Heling.Efficient quantum key distribution scheme with pre－announcing the basis［J］.Euro Physics Letters，2014，105 （6）：6003－6004.

［10］WU Hua，WANG Xiangbin，PAN Jianwei.Quantum communication：Status and prospect［J］.Scientia Sinica：Infor－mationis，2014，44 （3）：296－311 （in Chinese）. ［吳華，王向斌，潘建偉.量子通信現狀與展望 ［J］.中國科學：信息科學，2014，44 （3）：296－311.］

［11］ZHANG Sheng，WANG Jian，ZHANG Quan，et al.An analysis of the model of the error bit s of quantum cryptography protocol［J］.Acta Phys Sin，2009，58 （1）：73－77 （in Chinese）.［張盛，王劍，張權，等.量子密碼協議的錯誤序列模型分析 ［J］.物理學報，2009，58 （1）：73－77.］

［12］Joseph M Renes，Renato Renner.Noisy channel coding via privacy amplification and information reconciliation［J］.IEEE Transactions on Information Theory，2011，57 （11）：7377－7385.