量子密钥分发的后处理过程摘要在当今的信息社会中,通信技术发挥着越来越重要的作用,同时人们对通信安全性也提出了越来越高的要求。

经典密码学是保障信息安全的有效工具,然而随着计算机和量子计算的发展,基于数学计算复杂性假设的经典密码体制日益受到严峻的挑战。

量子密码学建立在量子力学原理基础上,被证明能够提供信息论意义上的绝对安全性。

量子密钥分发(QKD)作为量子密码学的一种重要应用,在量子测不准原理和不可克隆性定理保障下,使合法通信双方Alice 和Bob 能够在存在窃听者Eve 的情况下建立无条件安全的共享密钥。

QKD 包括量子信道传输、数据筛选、密钥协商和保密增强等步骤,其中密钥协商和保密增强合称为后处理。

后处理算法对QKD 的密钥速率和安全距离起着至关重要的作用。

本文主要介绍量子密钥分发后处理过程的基本含义，步骤和主要的算法。

（量子信道传输的过程请参见汇报PPT。

）I.简介在量子密钥分发实验中,通过量子信道通信后双方获得的密钥元素并不能直接作为密钥来使用,由于信道不完善性以及窃听者Eve 的影响,使得双方拥有的密钥元素串之间存在误差,并且有部分信息为窃听者Eve 所了解,我们需要引入后处理算法来获得最终完全一致且绝对安全的密钥串。

后处理算法包括三个步骤,即数据筛选、密钥协商和保密增强，其中主要的步骤是密钥协商和保密增强。

(1)筛选数据(Distill Data)发端Alice 和收端Bob 先交换部分测量基（例如前10%）放弃基不同的数据后公开进行比对，测量得到误码率，若误码率低于我们的要求（例如25%），确定没有窃听存在，即本次通信有效，若超过这个要求值则发端Alice和收端Bob 放弃所有的数据并重传光量子序列。

若通信有效，则通过对剩下的数据比较测量基后会放弃那些在传送过程中测量基矢不一致或者是没有收到的数据，或者是由于各种因素的影响而不合要求的测量结果，这一过程称为筛选数据。

通过这一过程也可以检测出是否有窃听的存在，并确定双方的误码率，以便下一步进行数据协调。

(2)数据协调(Error Reconciliation)经过筛选之后所得到的筛选数据(sifted key)并不能保证发端Alice和收端Bob的数据完全一致，因此要对双方的筛选数据进行纠错。

即通过一定的算法，利用公开信道对筛后数据进行纠错，这一过程称之为数据协调。

对数据协调的要求有：将误码率降低至适宜于使用；尽量减少窃听者获取的信息；尽量保留最多的有效数据；速度要够快并尽量节省计算以及通信资源。

这样虽然使密钥长度有所缩短，但保证了密钥的安全性。

(3)密性放大(Privacy Amplification)密性放大最早是应量子保密通信的需要而提出来的，但是现在已经成为经典保密通信的重要课题之一。

密性放大又称作密性强化，它是一种通过公开信道提高数据保密性的技术。

经过上述的数据协调，双方密钥序列基本上达成一致，密性放大技术是被用来减少潜在第三者的对数据协调后得到的密钥序列的窃听信息。

发端Alice和收端Bob随机公开一个哈希函数h，它能映射字符串x成为一个新的串h(x)，这样就可以是窃听者所得到的h(x)的信息大大减少。

经过上述三个步骤，Alice和Bob可以共享比较理想的密钥，通过对BB84协议通信过程的讲述，我们可以总结出量子密钥分发的重要特点，即需要两个信道，量子信道和经典信道，除了要在量子信道上传递量子信息之外，还要通过经典信道传递大量的辅助信息。

II信息协调即使是有效的通信，筛选数据测量得到的误码率(QBER)一般都较大这样的数据是不能直接用来做密钥的，还要进行数据协调纠错及密性放大，使双方的误码率达到一定的数量级才能用于可靠的保密通信系统中。

数据协调通过公开信道进行纠错，既然公开就一定存在窃听的可能性。

我们这里讨论的是信息泄露的可能性，即窃听者Eve能够收到Alice与Bob公开的内容。

假设Alice利用量子态向Bob传送经典数据的过程是有噪声的二元对称信道，这一过程可得到筛选数据长度为n，量子误码率(QBER)为q，Alice与Bob的互信息I ( A, B ) = n[ 1 −H ( q)]式中H ( q)是以q为参量的二元熵。

假设数据协调后全部错误被改正，若长度仍为n，则有I ( A, B ) = n亦即互信息I ( A, B)增加了nH ( q)。

互信息的增加是通过公开通信而获得的，公开披漏的信息也可以为窃听者所获得。

假设在数据协调过程中不舍弃已披露的信息，窃听者获得的信息为I ( E , A) ≥n H ( q)因此通常数据协调的过程都会舍弃已公开披露的数据。

同时，上述的公开信道是指可以被窃听但不能篡改的经典通信信道，经研究后提出以下几种比较实用的方法。

2.1二分法数据协调经过数据筛选步骤的误码率检验后，发送方Alice与接收方Bob留下的筛选数据长度为n，误码率为q。

二分法纠错数据协调(binary correcting protocol)的步骤如下：(1)Alice和Bob共享一个随机序列，并按照此序列将它们的数据重新排序，目的是使错误可以均匀地随机分布；(2) Alice和Bob分别将它们的数据串分组，分组长度为k，选取k的标准是使每组的错误尽可能的小（一般要求每组含有的错误个数尽可能小于1）；(3) Alice和Bob各自计算每组数据的奇偶性并且通过公开信道进行校验比较。

如果对应的数据组奇偶性不同，则表示该组数据有错误位，且错误的个数是奇数。

然后将存在错误的数组一分为二，同时进行奇偶检验计算及公开比较。

如此反复直到确定没有错误或进行到最后一个数位，这个最后数位就是错误数位。

为了不让E（Eve，窃听者）获得信息，我们每公开披露一次奇偶性，就将该数组的最后一位舍弃，同时舍弃被发现的数组的错误位；(4) 经过上述步骤(3)的纠错后，各组的奇偶性虽然相同但是仍然可能存在偶数个错误。

继续进行纠错，重新排列分组使每组有奇数个错误，这就需要新一轮的数组长度应比上一轮的数组长度要长，例如是上一轮的两倍。

然后重复步骤(1)、(2)、(3)进行下一轮的纠错。

进行数轮纠错后，如果留下的错误概率已经接近我们的要求，例如接近1%，则可以进入下一步骤；(5) 这一步的目的是确保不存在错误（或者说错误很低）。

从步骤(4)得到的数据里随机得取出一个子集，计算所取的子集的奇偶性，并公开进行比较。

如果Alice和Bob的数据完全相同（也就是说没有错误），即奇偶性相同。

当然当他们的奇偶性相同时仍有存在偶数个错误，这个概率是0.5，由于偶数个错误是校验不出来的，因此错误无法校验的概率是0.5。

若两端子集的奇偶性不同，也就是存在奇数个错误，则继续进行步骤(3)的纠错。

若奇偶性相同，则重复步骤(5)，直至连续许多次都不出现错误为止。

2.2级联纠错“二分法纠错”对含有偶数个错误的数组不能发现错误，只能依靠重新分组。

级联纠错(protocol cascade)显著改善了这方面的性能，假设筛选数据长度为n，测量得到的误码率为q。

其步骤如下：(1)Alice和Bob端将全部数据按照同一随机序列重新排列，目的是使错误均匀地随机分布。

这时首先记下每个数据的编号，例如，A l表示Alice 端的序号为l 的数据，B l代表Bob 端的序号为l 的数据，l ∈{1, 2,..., n}。

然后双方分别将数据按照同一数据长度k1进行分组，共分为n/k1组，k1的大小取决于误码率q，目的是使每组含有的错误个数不大于1，如可取1/2q<k1<1/q。

分组中第一组的可记为K11，第v 组则记为K1v。

上标1 表示第一次分组，即分组的轮数是1，下标v 表示该轮分组中第v 个分组。

在每个分组之内，每个数据的标号仍是采用没有分组前的序号。

举例说明：在分组K11内数据的标号是1{1, 2,..., k}，在分组K12中数据的标号为{k1+1, k1+2,..., 2k}。

(2)Alice和Bob分别计算各分组的奇偶性，并通过公开信道将Alice的校验结果告知Bob，Bob将Alice的结果与自己的进行比较。

若出现奇偶性不一致时，利用上节所描述的二分法步骤(3)进行纠错。

与上述二分法不同的是不需要舍弃数据，并且将找到的错误数据取反。

经过本轮纠错后，所有的分组都只存在偶数个错误。

(3)进行第二轮的分组纠错，首先进行第二轮分组，每数组的长度2k也要比第一次分组的长度长，如k2=2k1，与二分法随机分组不同的是利用随机函数f2:[1...n]→[1...n/k2]，将n 个数据分为n/k2组，以分组K2j表示顺序为j 的第二轮分组。

分组K2j内数据的标号是{l|f2(l)=j}。

这里l 是第一轮步骤(1)已确定的序号。

凡满足f2(l)=j的编入第二轮第j 组，每个分组内按l 有小到大的顺序排列。

然后对各组计算奇偶性，并公开进行比较，若彼此奇偶性不一致，则进行二分法纠错。

若在K2j内发现错误，它的序号是l ，纠错后可以判断出在第一轮的分组中含有序号l的分组K1v内一定还存在另外的奇数个错误。

对这些分组再使用二分法纠错，被发现及纠错的个数就会显著增加。

直到不能再发现新错误时，结束第二轮纠错。

这时第一轮及第二轮的所有分组，仍有可能含有偶数个错误。

(4)重复步骤(3)的分组纠错，在第i轮(i>1)中的分组纠错中，采用随机函数:f i:[1...n]→[1...n/k i]将数据分成长度为k i的n/k i个组。

在分组K i j内数据的序号为{l|f i(l)=j}。

Alice与Bob分别计算各分组的奇偶性并公开比较，若发现奇偶性不一致则进行二分法纠错。

在K i j中发现序号为l 的错误，经二分法纠错后必定可以在含有数据序号l数组1K v u（1≤u < i）中发现奇数个错误（也就是这一组原来有偶数个错误）。

对这些含奇数个错误的分组重新使用二分法纠错。

不能再发现错误时重复步骤(4)进行新一轮纠错。

若本轮完全没有发现错误，则进入下一步骤(5)。

(5)这一步的目的同上节的步骤(5)一样，是确认没有错误，即从纠错结束后的数据中随机地选取一个子集，计算子集的奇偶性并比较。

若Alice和Bob端的奇偶性相同，则表明存在偶数个错误的概率是0.5。

III密性放大如图所示,经过协商以后,Alice 和Bob 拥有相同的比特串,我们用X表示。

Eve 拥有的比特串为Z`=ZM,M为协商中过程中公开的信息量。

Z`中包含X的部分信息,我们需要通过保密增强步骤来去除Eve 从量子信道和经典认证信道上获取的信息量,最终提取出绝对安全的密钥。

保密增强的主要思想就是以牺牲一些比特的代价,将Eve 对协商后比特串的确定部分尽可能均匀地分散到不确定部分中,使得Eve 对保密增强后剩下的比特串完全不确定。