量子密码协议研究现状与未来发展.docx

《量子密码协议研究现状与未来发展.docx》由会员分享，可在线阅读，更多相关《量子密码协议研究现状与未来发展.docx（23页珍藏版）》请在第一文库网上搜索。

1、量子密码是密码学的新方向，具备极高的安全性潜力，因此具有重要的研究价值。从应用角度来说，量子密码并不能“独挑大梁”，将它与经典密码融合使用几乎是必然的选择。如何给信息系统的整体安全性带来提升，在使用时需要重点考量。由于目前实用化的量子密码协议还很少，在应用中可以优先考虑功能较少的专用网络。以后随着实用量子密码协议和与之相适配的经典密码技术日趋完善，量子密码将拥有广阔的应用空间。本文聚焦量子密码近40年的发展历程，梳理了量子密钥分配、量子安全直接通信、量子秘密共享、量子身份认证、量子两方安全计算、量子保密查询等量子密码协议的研究进展和发展趋势，凝练发展过程中面临的技术与应用问题。文章分析表明，当

2、前量子密码协议研究处于“量子密钥分配协议遥遥领先、其他协议有待突破”的不平衡状态，也是“其他协议难以突破”的瓶颈状态。着眼未来应用，针对数字签名、两方安全计算问题的实用化量子协议是亟需解决的核心问题。为此建议，量子密码与后量子密码研究应同步开展，加强“量子科技”“密码学”学科的交叉研究和人才培养，优化对相关基础研究的考核评价机制。一、BJ自古以来，信息交流便是人们日常生活中不可或缺的一部分。信息传递的安全性是很多通信场景下的基本需求，在外交、军事、经济等保密性较高的领域中更显重要。密码学是保障网络与信息安全的理论基础，各类密码算法和协议在确保消息的机密性、完整性、不可否认性以及身份认证等方面发

3、挥着重要作用。经典密码（指基于数学复杂性理论的数学密码，与量子密码相对应）算法可大致分为对称密码、公钥密码两类，各有优点且应用广泛。然而在20世纪90年代ShOr算法、GroVer算法提出后，量子算法对当前的密码体制形成了严重的安全性威胁。如果有了通用的量子计算机,Shor算法可以轻松攻破基于整数分解、离散对数问题的多种公钥密码；GroVer算法也将挑战对称密码的安全性。因此，研究可以抵抗量子计算攻击的新型密码体制已经成为密码学领域的重大任务。有趣的是，量子科技在对密码学的安全性形成威胁之际，也为抗量子计算攻击提供了一种潜在方法（即量子密码）。量子密码是量子力学和密码学相融合的产物，它采用量子

4、态作为信息载体在用户之间传送信息。根据量子态的特性，在一个安全的量子密码协议中通信双方可以发现所有有效的窃听/攻击行为。可见，量子密码的安全性不再基于数学问题的困难性，而是由量子力学基本原理所保证。一个设计精巧的量子密码协议可以达到信息论安全。近年来，随着量子信息技术的逐渐丰富与成熟，人们已经提出了各类独具特色的量子密码协议。需要说明的是，经典密码通常在密码算法的基础上构建可完成各种密码学任务的协议，而量子密码往往直接利用量子性质来设计类似协议。因此，相比于算法,协议是量子密码中的主要研究内容。图工量子密码协议的研究意义注：木桶的容水量代表信息系统的安全性强度。量子密码协议的研究意义可以参照木

5、桶理论（见图1）来表述。在经典密码中，组成木桶的木板代表各类经典密码算法和协议；而在量子密码中，木板代表各类量子密码协议。一方面，协议对量子密码来说至关重要，所有密码学任务都是通过相关协议来完成；另一方面，与经典密码算法和协议相比，量子密码协议的安全性大大提高，可以对抗未来量子计算的攻击。人们希望利用量子性质能够实现各类密码协议功能，进而全面提升信息系统的安全性。本文针对量子密码协议的发展动态和趋势进行研究。按照协议的不同功能，梳理6类主流量子密码协议（见图2）的发展现状并分别分析实用化潜力及局限性；统筹考虑量子密码整体的实际应用需求，凝练领域未来亟待解决的关键科学问题并预判潜在的技术途径，提

6、出我国在本领域的技术发展建议，以期为量子密码协议的深化研究提供基础性参考。量子保密查询放松安全要求图2几类具有代表性的量子密码协议二、量子密钥分配协议量子密钥分配(QKD)是一种通信双方通过传输量子态来建立密钥的协议，其目的是使通信双方获得一串只有他们两个知道的密钥(由经典的随机比特构成，但由于是用量子方式建立的，因此也被称为量子密钥)。由于QKD和一次一密(OTP)加密算法均具有信息论安全性，将两者结合使用就可以实现完美安全的保密通信。根据光源编码空间的维度不同，QKD可以分为离散变量(DV)和连续变量(CV)两类。QKD系统由发送端、接收端以及信道组成。QKD信道包括量子信道和经典信道，分

7、别用于传输量子和经典消息。在量子密码协议中，一般假设经典通信是不可篡改的，这一点可以利用具有信息论安全性的经典消息认证码来实现。此外，为了在有噪声的现实情况下获得信息论安全性，QKD一般包含纠错和隐私放大的过程，前者用于纠正噪声引起的密钥错误，后者用于压缩窃听者在噪声掩护下可能获得的密钥信息。1984年，IBM的Bennett和Montrea1大学的Brassard首次提出量子密码的概念，并给出第一个QKD协议一一BB84协议。经过近四十年的发展历程，人们基于不同量子力学特性提出了多种QKD协议，一些典型QKD协议的安全性也得到了严格证明，但实际上QKD系统中因为器件的不完美仍然存在一些安全性

8、漏洞。设备无关（DI）QKD协议可从根本上消除这些漏洞。该类协议不需要假设QKD设备是完美的，它们甚至可以是不可信的。D1gKD的安全性基于如下事实：量子过程和经典过程对贝尔不等式的违背程度是不同的。通信双方通过观测输入和输出的经典比特信息间的关联关系，计算贝尔不等式的违背值，即可判断设备的可信程度，并估计出窃听者所能获取的最大信息量。只要实验中观测到的违背值足够大，则说明设备足够可信，通信双方进而可以获得信息论安全的密钥。DI-QKD协议过程相当于对其设备的可信性进行了一次自测试，只有可信的设备才能通过测试，进而让通信双方成功建立密钥。此后，人们又提出了测量设备无关（MD1）QKD协议，它可

9、以在测量设备不可信的情况下实现安全的密钥分配，且实现难度较D1-QKD更低。QKD实用化研究也进展快速。2023年，中国科学技术大学潘建伟团队演示了一个集成的空对地量子通信网络。基于墨子号量子卫星，通过集成光纤和自由空间QKD链路，该QKD网络中的任何用户都可以与其他任何用户进行通信，总距离可达4600km。同年，中国科学技术大学封召等演示了10m水下信道基于偏振编码的QKD实验，安全密钥生成率超过700kpbs02023年，中国科学技术大学郭光灿团队实现833km光纤QKD,将无中继QKD安全传输距离世界纪录提升了200余km,向实现1000km陆基量子保密通信迈出重要一步。综上所述，QKD

10、作为量子密码领域研究最早、理论最成熟的部分。目前已有多个国家建立了基于QKD的通信网络，如美国的DARPA欧洲的SECOQC、日本的TokyoQKDNetWork、中国的京沪干线等。随着墨子号量子卫星的发射,京沪干线、沪杭干线的相继落成，QKD已经在一定程度上具备了走向实用化的条件。尽管如此，受技术条件限制，当前的QKD系统在传输速率、传输距离两个方面还不能满足大规模应用的需求。在具体应用中，人们往往会选择一些折衷方案。比如，针对密钥生成速率低的问题，人们也常将QKD密钥用于高级加密标准（AES）等加密算法中，这样的保密通信就不再具有信息论安全性。再比如，针对传输距离近的问题，QKD网络往往需

11、要可信中继（见图3）,即假设中继是可信的（如果中继节点不可信，它将轻易获得用户所分配的密钥，进而获得后续用该密钥加密的秘密消息），这也会在一定程度上损害QKD的安全性，并限制QKD的大规模应&QKD.QKD可信中继站火OTP力口密信道公国工程皖院刊图3QKD的可信中继方案中继节点分别与通信双方执行QKD,并利用其与Bob的密钥将其与A1ice的密钥加密传输给Bob,使得A1ice和Bob可以远距离建立密钥。当然，除了这种可信中继之外，人们也在研究量子中继，它通过量子存储、纠缠交换等技术来提高纠缠态分发的距离，进而可以提升QKD的传输距离。这种中继不会损害QKD的安全性，具有更好的应用潜力，但相

12、关技术还不够成熟，目前还达不到实用化的程度。三、量子安全直接通信协议量子安全直接通信（QSDC）是一种收发双方不需要建立密钥而直接利用量子信道传输机密信息的保密通信技术。与传输随机密钥不同，由于要确保消息的完整性，利用量子态直接传输秘密消息将不利于协议过程中的窃听检测、纠错、隐私放大等步骤的实施。QSDC协议通过分块传输、量子隐私放大等技术来解决该问题，进而可以实现直接传输秘密消息的功能。2000年，清华大学龙桂鲁和刘晓曙利用纠缠态的块传输技术首次提出了一种量子保密通信模型用于传输机密信息。2004年，清华大学邓富国和龙桂鲁等将非正交量子态块传输和经典OTP结合起来，提出了基于单光子的QSDC

13、方案。与基于纠缠态的方案相比，单光子态的操控更容易实现。此后,QSDC这一通信模式成为国际量子保密通信的研究热点。近年来，人们在QSDC的实现方面也取得了可喜的进展。2016年，山西大学肖连团队和清华大学龙桂鲁团队联合实验演示了基于单光子的QSDC。2023年，上海交通大学陈险峰、江西师范大学李渊华等利用QSDC原理，首次实现了网络中15个用户之间的安全通信，传输距离达40km。从目前的研究现状来看，QSDC在技术上已经接近实用化的程度。从功能上讲，QSDC与QKD&OTP相同，都属于保密通信的范畴。四、量子秘密共享协议秘密共享的基本思想是将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与

14、者管理，使得单个参与者无法恢复秘密信息，而只有若干个参与者相互协作才能恢复。秘密共享的目的是防止秘密过于集中以实现分散风险。最常见的秘密共享协议为（k,n）门限方案，即分发者把秘密消息加密成n份，分别发送给n个接收者，要求接收者中任意k个人合作都可以重构出这条消息，而任何少于k个人的组合都得不到这条消息的任何信息。经典密码中，常见的秘密共享协议有基于多项式拉格朗日插值公式的Shamir门限方案、基于中国剩余定理的门限方案等。随着量子密码学的不断发展，量子秘密共享(QSS)协议也引起了学者们的广泛研究。1999年，Hi11eryBuzek和Berthiaume三人利用GHZ态的纠缠特性提出了第一

15、个QSS协议。后续学者们又利用不同的量子特性提出了多种QSS协议。在实验实现方面，2014年，BeI1等在线性光学装置中利用光子实现了基于图态的经典信息和量子信息的秘密共享；2018年，周瑶瑶等实现了一种利用光场的多体束缚纠缠的QSS协议，可实现四个参与者之间的秘密共享。2023年，1iao等提出一种基于离散调制相干态的CV-QSS协议，该方案最大传输距离达到IOOkm以上。从理论上看，QSS具有广阔的研究前景，如对(k,n)门限方案的研究、对多方-多方秘密共享方案的研究、对理性秘密共享方案的研究等。然而，目前QSS协议仍不具有实际应用价值。一是由于对QSS协议的研究大多着重于研究(n,n)门

16、限方案，很难做到(k,n)门限秘密共享，使得QSS的应用场景受限；二是QSS协议中纠错与隐私放大方案匮乏，难以真正实现信息论安全。实际上，将QKD协议与经典门限方案相结合就可实现信息论安全的秘密共享，更具有实际应用价值。因此，QSS可以看作是QKD的一个直接应用。五、量子身份认证协议量子身份认证（QIA）指在量子密码协议中对参与者的身份进行验证，以防止攻击者假冒参与者身份窃取信息。为了在QKD过程中实现信息论安全的身份认证，人们提出了一系列的Q1A协议。Q1A协议大致可以分为两类：共享经典密钥型、共享纠缠态型。在共享经典密钥型QIA协议中，通信双方事先共享一个预定好的字符串，以此表明双方身份。1999年，DU女k等首次提出用经典的消息认证协议来认证QKD中所传递的经典信息。此后，也有方案利用该经典密钥来代表窃听检测粒子的位置和测量基，同样也可以达到认证双方身份的功能。共享纠缠态型QIA协议指通信双方共享一