量子密钥分配协议的petri网建模分析.pdfVIP

264·密码学进展——china Crypt’2007 量子密钥分配协议的petri网建模分析 张盛王剑 范琏张权 国防科学技术大学电子科学与工程学院 长沙410073中国 12@163．com Huoxingrenl 摘 配协议的安全性分析方法，可动态地分析各个安全参数对安全性能的影响，提高量子密钥分配协议的 安全性分析效率。 关键词：量子密钥分配Petri网BB84量子密码协议无条件安全 1引言 量子密码是利用量子力学基本原理实现安全通信的物理系统。与传统密码基于未被证 明的数学假设不同，量子密码是通过物理原理从本质上保证了信息的不可泄露。量子密钥分 配(QKD)是一个在存在窃听者的量子噪声信道上建立安全的共享密钥的密钥分配方案。 QkD协议已经被证明是无条件安全的[1，2，3]，证明方法大致可以分为三类[4】：利用量子 力学基本原理的直接证明法、基于纠缠提纯的等效变换法、基于秘密放大的通用证明方法。 QKD作为量子密码协议中被研究最多的协议，关于它的讨论也最多。在传统的密码协 议设计和分析中，形式化方法已经成为最主要的协议分析方法，协议的形式化分析理论也层 出不穷，本文利用形式化分析工具中拥有良好动态性能的Petri网对QKD中最经典的 BB84151协议建模，并分析了协议模型的安全性能。 2 BB84协议的Petri网模型分析 2．1 BB84协议的Petri网模型 经典比特0，Il和I一=lO一ll表示经典比特1。 S1： Alice发送给Bob 一个。 s2： Bob接收到这些量子位后，随机地选择x基和z基对每个量子位进行测量，并记 下记过。 s3： Alice通过不可篡改的公开信道向Bob通报自己制备的每一个量子位所选用的 基，然后Bob通过公开信道向Alice通报自己测量每～量子位采用的基。 量子密码 ．265． S4： Alice和Bob保留他们选用相同基的量子位，然后从这些量子位中随机选择一个 子集进行窃听检测。如果错误个数低于门限值，则认为没有窃听，其他的量子位便是原始密 钥，协议转到s5；反之，认为信道存在窃听，协议中止。 s5： Alice和Bob对原始密钥进行纠错和秘密放大，最终获得安全密钥。 BB84协议建立密钥的过程完全是随机的，在协议运行前，谁也不知道具体密钥值。 Petri网作为系统描述分析的工具，具有描述系统动态行为的特性，因而利用Petri网对 BB84协议建模，可以动态的描述密钥的建立过程。 为了方便Petri网分析，将对BB84协议进行简化，简化后的协议如下： S1．Alice发送给Bob N个量子位，每一位都制备在随机选择的态10，Il，I+，I一中的 一个。 s2．Bob通过公开信道通知Alice收到N量子比特串。 到的基信息对N量子比特测量。 值，则认为存在窃听，协议中止。 简化后的协议没有纠错和保密放大，因而其安全性能低于原协议，如果经过分析得出 结论是安全的，那么可以认为BB84协议是安全的。 模，根据文献[3]，不管Eve采用何种攻击策略，都可以找到相应的对称化攻击模型，假设 听将会引如一定的错误率pe。 经过以上简化，BB84协议的Petri网模型如下图所示。 P^ P p ㈣nt一 图1 266·密码学进展——China Crypt’2007 由于量子密码协议不同于经典的密码协议，存在更多的并发状态转移，并且状态转移 并不是以均等的概率发生，当存在两个并发转移状态时，通过设置权值，实现以任意概率进 生的概率为wl／(1+w1)．他们表示每一个量子位被作为测试序列或信息序列的概率分别为 引起的误码率被设定为peve=25％。 列中由于Eve的窃听引起的错误比特总数