量子密钥分发技术在希尔加密中的可行性研究

董道远+卫宏儒

摘 要：信息安全关乎人们生活的方方面面，随着金融、科技、政务、军事等重要领域的信息化快速发展，它甚至关系到国家安全，信息加密被认定为是现代通信最重要的技术之一。论文主要讨论了量子加密算法在传统a希尔加密技术中的可行性，并给出了安全性证明。

关键词：量子加密；密钥分发；希尔加密

中图分类号： TN911 文献标识码：A

1 引言

一般来讲，保证信息的完整性、保密性、属实性，及处理潜藏在系统中的安全隐患和无效复制内容，是信息安全所担当的职责。当下信息安全论的重中之重，是如何更好地运用最根本的密码学原理。因此，多密码体系及一对一破译系统运营而生，同样受关注和深入研究的是，当下最流行的加密系统，即既保持了对称密码的思想，又增添了非对称密码的特色。

抛开非对称密码体制是量子通信加密相比较于传统加密方法的优点，只用对称密码体制，同时在通信的双方之间产生相同的一个随机密钥。 厉害的点在于“同时”，这样一来就不需要信使了，对称密码体制的大漏洞就被堵上。 这个密钥产生之后，双方可用它来加密信息，再以任意方式进行密文传输，电话、电邮、光缆甚至平信都行。 量子通信真正管控的方面只是密钥的产生以及共享，因此它又叫做量子密钥分发。

量子通信的问世，不但使“绝对保密”近在眼前，而且让“绝对安全”触手可及。对于量子物理的根本理论而言，我们是不能够准确复制一个未知量子的状态，只有存在着想要检测它的想法，均会使它所处的状态发生变化。已经被一个人拥有的量子态，其他人便不能偷窥，可利用检验量子态有没有发生改变的方式，检测是不是有人想要偷窥这个被拥有的量子态。如果运用量子的状态去记录一些信息时，由于其独特的特性便能够确保没有人能够偷窥被保护的隐藏秘密。

2 希尔加密算法

2.1 希尔密码的加密与解密原理

应用矩阵的线性变换，可将多字母映射到多表，该算法即为希尔密码算法。代换多表的密码体制[1]，传统的几种密码加密体制均有些不足之处，例如凯撒密码就不能够隐藏字符频率，而希尔密码的优点在于它能够抵抗统计分析，能够对字符出现的频率进行隐藏，进而能够使得利用分析频率法来进行破译密文的传统方法无计可施。 希尔密码主要特点：首先是因为其密钥的空间很大，从而拥有了一些限度上的抵抗暴力破译攻击的特点；其次是对统计特性可以免疫，在对抗“惟密文攻击”方面能够较好的表现；再次是当得知部分明文、密文对的条件，重新构造出加密矩阵很轻松，容易受到已知明文条件下的的密码袭击，但还是能够当作使其他密码体系混乱的工具。

希尔密码的加密算法，即是明文被分成几个小组，每组包含i个字母， 不足i个字母的末尾组可用别的字母填充位置，依次对分组进行加密运算，组间各个字符都将作用于同一组中其它字符， 组中字符需用i个密文字母进行更改，这种代换决定与i组线性方程。因此可得出希尔密码的核心，即是运用线性变换，将i个明文符转换为i个密文符，该算法中必然存在一个密钥K，即为一个变换矩阵，如下：

其中

解密：M=K-1 C（mod26）。

注： 其中所有算术运算都在模 26 下进行，i为一个特定的正整数， 密钥K={k26上的l*l可逆矩阵}（mod26），明文M与密文C均为l维向量。

2.2 希尔密码安全性

把矩阵的乘法运算作为根本的希尔密码算法，加入了加密矩阵和字符与数字对应表，其阶数可以大到足以抵御频率分析。但其缺点显而易见，包括容易被破译，线性变换安全性小等，这些缺陷正是盗码者操控并向用户发起打击的把柄。通过以上了解希尔算法的根本可知，若解出加密矩阵K的逆矩阵K'，，则希尔密码不攻自破，而一组基的变换就能得出一线性变换，首先将明文划分，i个字符一组，划分之后用i×i矩阵进行加密；要是能通过破译得知密文中i个相互独立的向量Km1，Km2，…，Kmi的明文m1，m2，…，mi，就能够得出K和K'，以此完成对密码的破译。尽管这样，该算法仍能够广泛使用于扰乱其他密码体系。

3 从量子加密算法到量子密钥分发技术

3.1 量子通信技术的特点

量子通信技术具有六个特点：（1）具有极高的安全性和保密性；（2）因为量子通信不产生电磁辐射所以使探测方面或无线监听无从下手； （3）抗干扰性能强；（4）传输能力强，量子通信与传播媒介无关，能在太空、海底、光纤等介质中传播；（5）传输速度快、时效性高，传输速度快；（6）密钥可以重用。

3.2 几个国家在量子通信领域的研究成果和相关计划

欧盟在2008年颁布了《量子信息处理与通信战略报告》这一指导性文件。其中包含有关完成地面、星地、空地等于一体的千米级量子通信网络等。在当年9月又颁布有关量子密码的完备的商业规范书，启用了量子通信的规范化研究程序，与12个欧盟国家中的41个盟友进行组合，成立了“基于量子密码的安全通信”（SECOQC）工程。

在2014年，美国航空航天局做出惊人的设想，即构建600千米的直线距离，包括10个重要节点的远程光纤通信干线，以此来缩短用于总部和喷漆进入实验室的距离。同年，美国Battlle公司，作为世界最大规模的独立科技研发组织，拟规划商业化广域量子通信网络，来搭建环国的万米或千米的量子通信重要网络，更便于为谷歌、微软、IBM等大型公司的数据处理提供大型量子通信技术。

在此基础上，日本发表了一个发展战略，旨在长期研究大型量子通信技术，预计在未来的5-10年，建设全国高速量子通信网络。针对这一方案，国家打算长时间扶持，并且在3年后，日本通信研究院期望圓量子中继的梦；23年后，建设极限容量且绝对安全的广域光纤，搭建自由空间下的量子通信网络。

值得骄傲的是，中国在量子通信这一领域有着非同凡响的成绩。2006年，潘建伟率团队计划研发量子通信设备。两年的钻心科研后，国际首个全通型量子通信网络顺势而生。之后该成果被用于建国60周年阅兵，利用其搭建的量子通信热线，保障了国家信息安全。2009年，该团队在全世界中，首次将诱骗态的量子通信距离提高到200千米。2012年，该团队创造了世界首个覆及整个合肥城区的规模化量子通信网络（46个节点），标志着大容量的城区量子通信技术更为成熟。同年，该团队创建了量子通信网络，用于传送金融信息并进行审核，标志着全国际第一次将量子通信应用于金融领域。次年，潘建伟团队成功开发世界最先进的单光子探测器，用于测量室温通信波段，并运用该探测器在世界第一次做到无关测量仪器的量子通信，这一壮举彻底避免了易被盗码窃取信息的难题，并极大地提高了使用量子通信的安全度。endprint

3.3 基于经典密钥的量子加密算法

文献[2]在信息论原有理论基础上提出了另一加密算法，基于经典密钥的量子加密算法：秘密量子信道（Private Quantum channel ，PQC）。

定义3.1[1]设SH2为一个纯n量子比特的集合为超算子，其中Ui为空间H2n上的幺正变换，，ρ0为（m-n）量子比特，密度矩阵，ρ'为m量子比特密度矩阵。当且仅当下面条件对所有成立时，则有秘密量子信道（PQC），上面的定义如果n=m（无辅助态），则ρ0可以省略。

定理3.1 如果[S，ε，ρ']一个不含辅助粒子的PQC为是S中态的组合。

定理3.2经典一次一密是PQC的特殊例子。

证明因为经典比特0，1只存在bit-翻转X，不存在Phase-翻转Z，因此，。若想加密n比特经典信息并且保证其安全性就必须使用n比特随机的经典密钥。

3.4 量子密钥分发（BCD）算法

在密钥生成与分发过程中，设通信方为Alice和Bob，窃听方为Eve。

（1）在非正交基矢基础上的单粒子密钥分发算法。

文献[3]对两对相互正交的极化基矢进行如下操作：水平——垂直极化（为基）和对角线斜极化（为基），即编码为：编码为 0、为1。为0、为1。Alice发送的为随机选择基矢之后再编码的消息序列，注：发送0和1的概率等同。Bob同理选用以上基矢测量由Alice传送来的极化光子。由于Eve会在传输过程中进行干扰，密钥生成和分发的过程概括如下：

（a）量子传输：Alice发送给Bob的基矢以及单光子脉冲的极化态都经过Alice的随机挑选。对于每个脉冲。Bob拿到的比特串中几位原始密钥来源于他随机选择的基矢的测量值。

（b）数据筛选：由于在中间过程的不可避免的干扰例如Eve，改变了光子的极化状态。Bob的接收器的精确度不是很高，上述在Alice和Bob通过公开信道后比较互通测量基矢后则误差、失误全部失效，并且需要计算出错误率。筛选出来的密钥就是两者所有相同的基矢对应的测量值。

（c）数据纠错：筛选后的Alice和Bob自己留存下来的比特串可能不尽相同，因为Eve在中间起了窃听作用，所以引入交互式纠正算法，在纠错过程中能够计算错码率、计算泄漏出去的信息的熵。

（d）压缩参数：为了减少失窃密，在经过综合计算后的错误率，纠正错误时泄漏出去的信息的熵、信源的特性、安全…因素后可算出参数τ。

（e）保密加强：鉴于非量子力学有保密加强的原理，所以应用该方法生成的密钥更加安全、保密性更强。

（2）基于两个粒子纠缠态的密钥分发算法。

设定存在纠缠态（EPR对）的光子源，通过量子信道向Alice和Bob进行密钥传输信息：

（1）

光子对沿着Z轴一个向Alice飞去，一个向Bob飞去。Alice和Bob则分别用自己挑选出来的一個基矢测量了飞过来的光子，测量后记录数据。例如，Alice可通过对基矢作，，，旋转得到测量基矢，同样Bob的旋转角度可为，?，（ 上标“a”和“b”分别代表Alice和Bob。Alice、Bob一起在上述检测中随机且独立挑选测量基矢，每次测量结果中相关系数为：

（2）

这里P±± P±±表示Alice测量结果为±1同时Bob测量结果为±1的概率。根据量子力学知：

（3）

定义S来分析不同方向测量时结果的相关情况，则S为：

（4）

（a）量子原理提出，而假设量子态受干扰时，根据Bell不等式原理，算出的|S|值必定小于S。运用这一性质可对窃密者Eve的有无进行检查。若密钥有效，且密钥的确定方法运用了两粒子纠缠态的特点。使用纠缠态式（1），则Alice得到后，Bob应该得出应的结果，反之也成立。因此Bob需将结果取反一次，获取和Alice相同的密钥。

3.5 安全性证明

密钥生成的整个流程保证了基于纠缠特性的量子密钥分配具有绝对的安全性[4]。量子的状态随外界状态改变而改变，则Eve窃密行动会改变量子的状态，影响到Alice 和Bob最后的信息内容。在Alice和Bob判定自己所获得的密钥是否相对安全时，就可以计算相关系数来评估密钥的安全程度。Eve一般使用EPR光子对与能够产生密钥的光子源交换来窃取信息。假设Eve主要干扰了信道。当Eve将准备好EPR光子对发送给Alice 和Bob时，令为Alice在θA角度同时Bob在θB俘获得到光子和的概率。（注：θA、θB表示极化方向的垂直轴所的角度）。此时平均的相关系数S为：

进一步推导得：

对于任何概率分布p（θA，θB），可计算出，这与量子力学要求相违背（），

Alice和Bob很容易确定Eve的干扰，因此所求密钥无效。

3.6 仿真结果与讨论

运用Mathematica去编写基础单粒子密钥分配协议这种仿真程序[5]。它和BB84仿真效果差不多，本次论文采取图形的形式去阐述B92（量子不可克隆原理奠定了B92协议的安全性，这与前面的两种协议是完全一致。B92协议测量使应用的是POVM算子测量。）与6态协议（在BB84协议基础上发展而来，Alice还将发送四种量子极化态）的主要实现程序。针对6态协议来说，选择，以及，去代表3个极化基， 而Alice与相应的比特值（0、1），然后将形成的极化量子态输送至Bob，如Fig.1。同时Bob也会在所有极化基中任意选取一个当作测量基。如果Alice形成的量子态极化基与选取的测量基重复时，如表2所示，两者之间就具有极大的关联性； 反之他们获得的结果将是随机的。为更好的掌握通信的信道是不是安全的，Alice与Bob会从筛选出来的密钥里任意选取部分比特当作是测试位，然后对挑选出来的密钥的误码率（QBER）进行计算。如果得到的误码率比安全的标准值小的话，说明信道是比较安全可靠的，能够获得安全的密钥，不然就会放弃获得分配的机会。表3以及表4依次表明以6态为基础的量子密钥分配的协议获取相应密钥以及放弃的两种程序。endprint

B92协议与BB84和6态协议的实现方式大致相同。因为测量时选取POVM作为测量算子，如果不存在Eve的时候，Bob采取E1与E2测量算子得到的结论应该和Alice所发送出来的值完全相关。如果估算误码率比有关的安全标准小的时候，Alice与Bob之间就能够得到安全密钥，不然就会自动放弃密钥分配机会。表5是Alice与Bob经过B92协议获得密钥{1，1，0，0，1，1，1，1}的程序。

如表6所示，我们把仿真的结论和理论分析得到的结果对比。如果Eve采取截断亦或是重发这种具有攻击性的方法去窃密。那么按照上述的仿真程序所制作出来的模型，在信道方面产生的错误码的概率就全部都是因为Eve的干预所致。Dmax=0.25，因此无论是仿真或者理论的曲线只显示出0到Dmax之间的变化结果。

文献[6]证明，若Eve窃听到的信息要比Bob从Alice处获取的信息多时，Alice与Bob就能通过秘密放大技术从而开启安全密钥。 所以对于QBER=D>Dc。Alice和 Bob两者的互信息量以及Alice与Eve两者的互信息量，其中相同的时候所产生影响的大小用Dc表示。从而可以判定量子密钥分配的整个流程拥有绝对安全性。能够从图Fig.6得到仿真效果或是理论结果，经过分析得出6态协议的安全可靠性比BB84协议要高很多。 因为在仿真结果中Dcsixstate=0.2033、DcBB84=0.145， 而对于理论结果Dcsixstate=0.227、DcBB84=0.156， 6态协议的Dc值总是大于BB84协议。由于当估计 Eve获得的信息量时，通常采取数值上界的方式去计算，因此计算出来的数值要比真实值大一些，而Dc的值则小于真实值，Fig.6也全面阐述了这种关系。仿真结果和理论分析从曲线形状上来说是相对吻合的，從Dc数值上来说是大致相等的，这就从侧面说明了仿真结果的可信度，同时即可说明在经典计算机上通过该模拟进行仿真量子密钥分配协议的是可实行的。

4 结束语

本文通过对量子加密技术在希尔加密过程中密钥分发可行性的研究及验证其安全性来看，量子密钥分发技术在希尔加密中是可行的。通过物理学引申出来的量子密钥分发算法具有可证实的安全性，并且该算法还能找出信息传输过程中的窃密者。在量子通信技术与广域量子通信发展的热潮下，能够成为关键技术的量子密码极有可能进入逐渐平民化，走到百姓身边，成为能够服务于各种电子业务的驱动器。量子加密技术可以成为现如今高信息化时代下信息与数据的安全壁垒。

基金项目：

本文得到2016年国家自然科学基金项目“认证加密算法的设计和分析”、2017年国家自然科学基金项目“面向网络空间的大数据安全和隐私保护研究”的支持。

参考文献

[1] 丁茜.希尔密码原理及应用实例[J].甘肃科技纵横，2015，1；4-5.

[2] 秦素娟，温巧燕，朱甫臣.量子加密算法的研究[J].信息安全与通信保密，2005，7；183.

[3] 赵生妹，姚佳，李飞，郑宝玉.量子信息安全技术[J].南京邮电学院学报，2005，3；2-2.

[4] 赵生妹，李飞，郑宝玉.具有可证明安全性的量子加密算法[J].通信学报，2003，3；36-36.

[5] 赵生妹，郑宝玉.基于经典计算机的量子加密技术及其安全性[J].量子电子学报，2004，6；333-335.

[6] BennettCH，etal.Generalized privacy amplification[J].IEEETrans. Infrom.Theory，1995，41（6）；1915-1923.endprint