，

(解放军信息工程大学，郑州 450004)

随着计算机网络与信息技术的高速发展，保密通信越来越重要。保密通信技术的关键在于密钥，而通信的安全在于如何保证密钥安全。量子密码学，更准确地说是量子密钥分配理论，采用的是单光子传输技术，通信双方通过量子信道和经典信道，实现量子密钥的协商和分配。量子密码学理论上的绝对安全性，由量子力学的测不准原理和量子不可克隆原理来保证[1]。在实际应用中，量子密钥分配所依赖的量子信道与经典信道均有噪声影响和第三方窃听。目前，量子密码理论主要有BB84协议、E91协议、B92协议和六态协议等[2]。在量子密码实验方面，基于光纤量子信道和基于自由空间量子信道的量子密钥分配理论已取得很大的进展，并成功走向了商业领域。

目前，在量子密码的实际应用中，以美国的BBN DARPA QKD Network和欧洲维也纳的SECOQC QKD Network最为典型[3-4]。SECOQC QKD Network建成于2008年，它成功实现了端端网络环境下多节点量子保密通信。由于在QKD节点之间建立量子密钥协商受到通信距离的限制，因此，长距离保密通信环境需要添加中继设备和路由设备。同时，由于QKD网络与传统网络之间存在着较大差别，上述设计思想无法直接推广到当前所有网络应用中[5]。

目前，针对QKD网络安全性的研究主要集中在基于可信中继的安全性分析方面。它具有严格的限制条件，要求用户必须信任密钥协商与分配路径上的每一个中继节点[6-7]。但这些研究没有给出一般情况下的QKD网络安全性解决方案。本文提出了基于密钥位协商的多路径量子密钥协商技术，并针对其安全性进行了分析。

1 单中继QKD网络密钥位协商

图1是一个典型的QKD网络简图。图中的每个节点均为QKD节点，在量子密钥协商的过程中均可作为中继存在。每一条边代表一个量子信道，直接相连的两个节点之间可以直接执行量子密钥协商。首先，来考虑一种情况，即需要进行量子密钥协商的两个QKD节点A和B之间通信距离过远，需要添加中继设备(Relay,简称R)来扩展通信距离，建立连接并协商生成量子密钥。此时，节点A和B之间的路径具有A→R→B形式。

图1 典型的QKD网络

如果节点A与B需要建立量子密钥协商，将经过以下步骤来完成：

②中继R从选定的密钥分组中随机的选取时间戳标记t和τ，使得b=β，并将产生的时间戳序列分别发送给节点A和B；

③A与B接收到时间戳序列后，从给定的量子密钥分组中提取出相应的量子密钥序列。此时，节点A与B共享一个量子密钥序列。

在实际通信环境中，由于第三方窃听者无法预知R将选取哪一对量子密钥分组进行时间戳序列的提取，它不得不收集所有与中继R、节点A和B相关的数据，以便于获得最终密钥。同时，节点A和B接收到中继发送过来的时间戳序列后，将对数据进行保密放大处理，丢弃那些可能被窃听者截获的数据。

2 多路径QKD网络密钥位协商

2.1 多中继QKD网络密钥位协商

接下来考虑节点A和B之间存在2个中继的情况。此时，QKD网络中节点A和B之间的路径具有A→R1→R2→B形式。

如表1所示，假设所生成的密钥组的长度N=10，且节点A和中继R1从共享的n个密钥分组中随机选取了第4组；中继R2和R1从共享的m个密钥组中随机选取了第2组；中继R2和节点B从共享的l个密钥组中随机选取了第7组。

表1 密钥组列表

2.2 多中继QKD网络安全性分析

在当前技术条件下，QKD技术的应用推广受到光量子信号传输距离的制约。为了扩展通信距离，传统的做法是在节点A和B与中继R之间分别建立一条量子信道进行密钥协商。将节点A与中继R之间建立的量子密钥表示为QKAR，节点B与中继R之间建立的量子密钥表示为QKRB。节点A和B之间的最终密钥K可以用上述协议协商完成。

如果一个QKD中继扩展的通信距离无法满足节点A和B之间建立量子密钥协商的需求，可以在节点A和B之间添加任意数目的中继设备，来实现A和B之间的量子密钥协商。其中，任意两个相邻的中继之间独立地进行量子密钥协商，生成密钥分组，表示为QKRiRk。假设节点A和B之间的路径存在多个中继节点，当路径上任意两个相邻的中继节点完成量子密钥协商后，A和B所需的最终密钥可以利用上节给出的过程协商完成。

从安全的角度考虑，在上述量子密钥协商的过程中，必须保证节点A和B选定路径上的所有中继节点均被置为可信节点[6]。否则，路径上任何一个中继节点受到威胁，都将危及整个量子密钥协商过程的安全。

基于前面给出的密钥位协商技术，本文提出了一种多路径量子密钥协商技术。该技术通过在QKD网络中随机选择一部分中继，在节点A和B之间同步构建多条不同的独立逻辑路径，第三方窃听者将不得不侵入所有的中继设备才可能获得最终密钥，从而保证密钥协商过程的安全性。

2.3 多路径量子秘密共享及安全性分析

如图1所示，QKD网络有若干节点组成，节点A和B之间存在多条路径相通。从表2中可以看到，节点A和B通过中继相连，最长的路径具有A→R1→R2→R3→B形式。

假设节点A和B执行一次成功的量子密钥协商，路径上至少存在一个中继。利用基于QKD的密钥位协商技术，可以在节点A和B之间建立量子密钥协商。在表2中，节点A和B之间存在多条中继节点未完全参与的路径。

表2 A和B之间密钥组与路径对照表

在节点A和B之间不同的路径上分别单独建立量子密钥协商，并且将这些通过不同路径协商产生的量子密钥进行简单处理，比如执行简单的XOR操作生成最终量子密钥，即节点A和B之间的会话密钥。在这种情况下，节点A和B路径上的任何一个中继均未获得最终量子密钥。因此，如果攻击者要获取最终量子密钥，必须截取A和B之间所有可能路径上传输的信息。如果入侵者未能成功截获所有路径上的信息，将无法获得最终密钥。图1中的节点A和B之间可以以式(1)和式(2)中任一种方式协商产生会话所需的最终量子密钥。

(1)

(2)

在式(2)中，中继R1和R2在4条路径上仅出现了2次，其形式具有更好的扩展性。

在最差的情况下，节点A和B之间仅存在1条路径，如果攻击者成功入侵任何一种中继节点，均可以获得最终量子密钥。此时，默认所有的中间节点均为可信节点，攻击者为获取密钥所付出的时间复杂度是常数[6，8-9]。当节点A和B之间存在多条路径时，采取上述方法，当密钥协商过程中路径增加到n条时，攻击者获取最终密钥所付出的时间复杂度为O(Tn)[10]。

从图2可以看到，随着协商过程中路径数目的增加，攻击者所付出的时间复杂度呈指数状态增长。

3 结 语

基于中继的QKD网络安全性是量子密码在实际应用中所必须面对和解决的问题，然而现有的研究并未对其进行深入分析。本文基于典型的QKD中继网络，提出了基于密钥位协商技术的多路径量子密钥共享技术，并讨论了该方法所带来的攻击者时间复杂度，为QKD网络中基于中继的量子密钥协商与分配提供了安全性支持。

参考文献：

[1] Nicolas Gisin, Hugo Zbinden, Wolfgang Tittle, et al.Quantum Cryptography[J].Rev.Mod.Phys., 2002,74: 145-195.

[2] Barnett S M.Quantum Information[M].Oxford： Oxford University Press, 2009.

[3] Elliott C.The DARPA Quantum Network[M].Berlin: SpringerVerlag，2004.

[4] Popper A, Peev M.Outline of the SECOQC Quantum Key Distribution Network in Vienna[J].International Journal of Quantum Information, 2008, 6(2): 209-219.

[5] Yu Fangchung, Tzer Shyong Chen.Unconditional Secure Cryptosystem Based on Quantum Cryptography[J].Information Science, 2008,178: 2044-2058.

[6] Pasquinucci Bechmann, Pasquinucci H.Quantum Key Distribution with Trusted Quantum Relay[C]// Proceedings of the IEEE GCC Conference, Dubai: UAE, 2010: 143-145.

[7] Zbinden H, Gisin N, Huttner B, et al.Practical Aspects of Quantum Key Distribution[J].Cryptology, 1998(11):1-14.

[8] Beals T R, Sanders B C.Distributed Relay Protocol for Probabilistic Information Theoretic Security in A Randomly Compromised Network[C].ICITS, 2008: 29-39.

[9] Barnett S M, Phoenix S J D.Securing a Quantum Key Distribution Relay Network Using Secret Sharing[C]// Proceedings of the IEEE GCC Conference, Dubai: UAE, 2011: 143-145.

[10] Barnett S M, Phoenix S J D.Extending the Reach of QKD Using Relays[C]// Proceedings of the IEEE GCC Conference, Dubai: UAE, 2011: 140-142.