BB84 协议是量子密码学中第一个密钥分发协议,由Bennett和Brassard在1984年提出,也是使用和实验最多的量子密钥分发方案之一。BB84协议通过光子的4种偏振态来进行编码:线偏振态和,圆偏振 和,如图1所示。其中,线偏振光子和圆偏振光子的两个状态各自正交,但是线偏振光子和圆偏振光子之间的状态互不正交。
(原文发在量子研究网站上:http://quantum-study.com/article/978/22.html)
图1 光子的四个偏振态和关系
BB84协议的实现需要两个信道:经典信道和量子信道。经典信道要确保收发双方Alice和Bob之间能进行一些必要信息的交换,而量子信道用于传输携带信息的或者随机的量子态。下面简要介绍BB84协议的实现思路,简要步骤如图2所示。
1)发送方Alice随机产生一组二进制序列sA。为了举例描述简便,我们假定该序列为8 bit,数值为
[01100101]。然后,Alice再生成另一组相同长度的随机序列mA。
2)假定mA为[10111100],这就是在量子信道中(比如在光纤中)发送的序列。根据这两个序列,调制产生8个光子。根据表1中的关系确定如何调制每个光子的状态,具体状态如图2中所示。
表1 BB84中调制光子态与sA,mA序列的对应关系
3)由于接收方Bob并不知道应该用哪组基进行测量,所以Bob生成一个随机序列用来选择测量基,假定称之为测量基序列mB,比如是[00101010]。按照表2的关系选择测量基,Bob对粒子进行测量。
表2 Bob测量基的选择
之后,Bob 通过经典信道通知 Alice 他所选定的测量基序列 mB。
然后,Alice 比较 Bob 的测量基序列 mB和她自己保留的发送基序列 mA,并通知 Bob 所采用的测量基中哪些是相同的,哪些是不同的。Alice 和 Bob 分别保存其中测量基一致的测量结果,并且放弃其中测量基不一致的测量结果。根据所选用的测量基序列的出错率判定是否存在攻击,如果异常则中止协议。
图2 图示说明BB84的流程,理想情况
4)Alice 和 Bob 按照下面的方式将量子态编码成二进制比特:
和表示 0,和表示 1,获得原始密钥。
5)最后 Alice和 Bob 获得相同的密钥序列 kA和 kB。
图3 图示说明BB84的流程,存在Eve时的情况
图 3 中给出了存在 Eve 窃听的情况,也就是说 Eve 拦截了传输的光子,进行测量,然后再自己调制出光子发送到 Bob。
同样,Eve 也不知道应该用哪组基进行测量,故用自己的序列 mE作为测量基选择,这样得到结果 sE,比如[01010010]。然后,Eve 根据 sE和 mE重构光子并传输给 Bob。注意到,这里就必将会引入错误,因为 sA、mA和 sE、mE从概率上不可能完全相同。这样,通过图 3中第六步 Alice 和 Bob 之间的比较验证,即通过选取一些 Key 进行比较,就可以发现
Eve 的存在。而在实际操作中会更加复杂,采用纠错处理、保密增强等方法对原始密钥作进一步处理,以提高密钥的保密性,并最终获得安全密钥。
在BB84 协议中,所采用的线偏振和圆偏振是共扼态,满足测不准原理。根据测不准原理,线偏振光子的测量结果越精确意味着对圆偏振光子的测量结果越不精确。因此,任何攻击者的测量必定会对原来量子状态产生改变,而合法通信双方可以根据测不准原理检测出该扰动,从而检测出与否存在窃听。另外,线偏振态和圆偏振态是非正交的,因此它们是不可区分的,攻击者不可能精确地测量所截获的每一个量子态,也就不可能制造出相同的光子来冒充。测不准原理和量子不可克隆定理保证了 BB84 协议量子通信的无条件安全性。
参考文献:
1. C. H. Bennett, G. Brassard, Quantum cryptography: Public key distribution and coin tossing, in Proc. Int. Conf. Comput. Syst. Signal Process, 1984,175~179
2. Sandor Imre, Ferenc Balazs, Quantum Computing and Communications-An Engineering Aproach, John Wiley & Sons,Ltd,2005
3. 曾贵华,量子密码学,北京:科学出版社,2006
4. 董健,“量子密码通信若干问题的研究”,天津大学博士学位论文(2012).