路径: 主页 > MISC > 第118页 > GM/T 0108-2021 | 标准编号 | GM/T 0108-2021 (GM/T0108-2021) | | 中文名称 | 诱骗态BB84量子密钥分配产品技术规范 | | 英文名称 | Decoy-state BB84 quantum key distribution product technology specification | | 行业 | Chinese Industry Standard (推荐) | | 中标分类 | L80 | | 字数估计 | 28,241 | | 发布日期 | 2021-10-18 | | 实施日期 | 2022-05-01 | | 发布机构 | 国家密码管理局 | GM/T 0108-2021: 诱骗态BB84量子密钥分配产品技术规范
ICS 35.030
CCSL80
中华人民共和国密码行业标准
诱骗态BB84量子密钥分配产品技术规范
2021-10-18发布
2022-05-01实施
国家密码管理局 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 3
4.1 符号 3
4.2 缩略语 4
5 概述 4
5.1 量子密钥分配产品在量子保密通信系统的位置 4
5.2 量子密钥分配产品的网络部署 5
6 诱骗态BB84协议实现要求 7
6.1 概述及协议流程 7
6.2 协议实现 8
7 量子密钥分配的产品要求 13
7.1 基本要求 13
7.2 鉴别要求 14
7.3 接口要求 14
7.4 随机数发生器 14
7.5 日志管理 14
7.6 远程管理 14
附录A(资料性) 诱骗态BB84协议的简介 15
附录B(资料性) 量子密钥分配产品的组成结构 16
附录C(资料性) 抵御攻击与防护措施要求 17
附录D(资料性) 纠错方法 18
附录E(资料性) 安全增强方法 19
附录F(资料性) 安全增强过程中压缩比的计算公式 21
参考文献 23
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由密码行业标准化技术委员会提出并归口。
本文件起草单位:安徽问天量子科技股份有限公司、中国科学技术大学、中国人民解放军信息工程
大学、科大国盾量子技术股份有限公司、中国电子科技集团第三十研究所、清华大学、北京大学、重庆大
学、上海交通大学、北京邮电大学、南京邮电大学、哈尔滨工业大学、密码科学技术国家重点实验室、数据
通信科学技术研究所、江苏亨通问天量子信息研究院有限公司、北京天融信网络安全技术有限公司、格
尔软件股份有限公司。
本文件主要起草人:韩正甫、刘云、刘婧婧、苗春华、银振强、鲍皖苏、李宏伟、赵勇、徐兵杰、宋晨、
凌杰、张启发、刘杰杰、王剑锋、龙桂鲁、郭弘、向宏、曾贵华、喻松、张一辰、王琴、李琼、韩琦、何远杭、
黄伟、王宇、胡滨、苏琦、于宗文、李申、赵良圆、薛梦驰、李金国、赵梅生、唐世彪、彭翔、蔡斌、张春梅、
黄鹏、郑强、费新伟。
引 言
量子密钥分配技术经历了多年的发展历程,已经得到广泛应用。其中,BB84协议是由Charles
HenryBennett和GilesBrassard在1984年提出的量子密钥分配协议,同时也是迄今为止最为成熟和
应用最广的量子密钥分配协议,其理论安全性已得到严格的证明。为推动量子行业在我国信息安全领
域的发展,本文件将涵盖采用弱相干态光源的诱骗态BB84协议及该类产品的要求规范。
诱骗态BB84量子密钥分配产品技术规范
1 范围
本文件基于采用弱相干态光源的诱骗态BB84协议,对协议各阶段的技术实现进行了规范,并对采
用该协议的产品的设计提出了基本要求。
本文件适用于诱骗态BB84协议的量子密钥分配产品的研制和检测。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 2423.1 电工电子产品环境试验 第2部分:试验方法 试验 A:低温
GB/T 2423.2 电工电子产品环境试验 第2部分:试验方法 试验B:高温
GB/T 15843.2 信息技术 安全技术 实体鉴别 第2部分:采用对称加密算法的机制
GB/T 15843.4 信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制
GB/T 15852.1 信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制
GB/T 15852.2 信息技术 安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制
GB/T 15852.3 信息技术 安全技术 消息鉴别码 第3部分:采用泛杂凑函数的机制
GB/T 32915 信息安全技术 二元序列随机性检测方法
GB/T 37092 信息安全技术 密码模块安全要求
GM/T 0050 密码设备管理 设备管理技术规范
GM/T 0062 密码产品随机数检测要求
GM/Z4001 密码术语
3 术语和定义
GB/T 37092、GM/T 0050和GM/Z4001界定的以及下列术语和定义适用于本文件。
3.1
安全增强 privacyamplification
发送端与接收端对纠错后密钥进行数学处理,从中提取共享密钥的过程。
3.2
BB84协议 BB84protocol
由CharlesHenryBennett和GilesBrassard在1984年提出的量子密钥分配协议。
3.3
参数估计 parameterestimation
估算出量子比特误码率和相位误码率等参数的过程。
3.4
对基 basissifting
发送端与接收端进行基矢比对,双方只保留接收端测量过程与发送端发送过程时所使用了相同基
矢的数据的过程,也称作筛选。
3.5
基 basis
N维希尔伯特空间中,N个完备正交归一量子态组成的量子态集合。
3.6
纠错 errorcorrection
对发送端与接收端筛后密钥中量子比特误码进行纠正的过程。
3.7
纠错后密钥 correctedkey
筛后密钥经过纠错之后获得的数据。
3.8
经典信道 classicalchannel
传输除量子态以外的其他信息的信道。
3.9
利用量子密钥分配产品所产生的共享密钥实现安全通信的系统。
3.10
量子比特 qubit
量子信息的最小单位,物理上通常用一个二维量子态实现,数学上可用二维希尔伯特空间的一个单
位向量来表示。
3.11
量子比特误码 quantumerrorbit
发送端与接收端的筛后密钥中不一致的数据比特,也称作误码。
3.12
量子比特误码率 quantumbiterrorrate
也称作误码率,是指筛后密钥的量子比特误码的比率,即筛后密钥中误码个数与筛后密钥长度的
比值。
3.13
共享密钥 sharedkey
采用量子密钥分配协议所产生的对称密钥。
3.14
也称作量子密钥协商或量子密钥分发,是密码学与量子力学结合的产物,利用量子力学原理,以量
子态为载体通过量子信道实现异地间协商对称密钥。
3.15
具有量子密钥分配功能的产品。
3.16
共享密钥生成率 sharedkeyrate
量子密钥分配产品在单位时间内生成的共享密钥量的比率。
3.17
量子态 quantumstate
量子力学中对物理系统运动状态的完备描述,可用希尔伯特空间的一个向量表示。
3.18
量子信道 quantumchannel
传输量子态的信道。
3.19
量子信息 quantuminformation
量子体系所蕴含的信息,其特性必须使用量子力学进行描述和解释。
3.20
筛后密钥 siftedkey
原始密钥经对基(筛选)之后获得的数据。
3.21
信号态 signalstate
用以加载经典比特信息的量子态。
3.22
相位随机化 phaserandomization
发送端对弱相干光的相位进行随机调制的过程。
3.23
相位误码率 phaseerrorrate
一个量子比特发生相位翻转错误的比率,该数值被用于估计窃听者可能知晓的密钥信息的数量。
3.24
诱骗态 decoystate
与信号态相比,仅强度和调制信息不同,但频域、时域特性等其他物理量都相同的量子态。
3.25
诱骗态BB84协议 decoy-stateBB84protocol
基于BB84协议,采用多种随机的光强来监测信道并估计单光子态特性,从而解决基于非理想单光
子源的安全性问题的协议。诱骗态BB84协议的简介,见附录A。
3.26
原始密钥 rawkey
量子信号经接收端测量之后获得的原始数据。
3.27
最大距离 maximaldistance
在满足量子密钥分配产品性能和安全需求的前提下,发送端与接收端之间量子信道的最大长度。
4 符号和缩略语
4.1 符号
下列符号适用于本文件。
Eμ 实际的信号态的量子比特误码率
Ev1 实际的诱骗态1的量子比特误码率
Ev2 实际的诱骗态2的量子比特误码率
Iec 纠错过程中暴露的信息量leakEC和被纠错后的密钥量LCK的比值
leakEC 纠错过程中暴露的信息量
LCK 被纠错后的密钥量
Mμ 对基过程后接收端生成的信号态的筛后密钥的数量
Mv1 对基过程后接收端生成的诱骗态1的筛后密钥的数量
Mv2 对基过程后接收端生成的诱骗态2的筛后密钥的数量
Nμ 发送端发送信号态光脉冲的数量
Nv1 发送端发送诱骗态1光脉冲的数量
Nv2 发送端发送诱骗态2光脉冲的数量
Qμ 接收端信号态的筛后密钥数量与发送端发送的信号态光脉冲数量的比值
Qv1 接收端诱骗态1的筛后密钥数量与发送端发送信号态光脉冲数量的比值
Qv2 接收端诱骗态2的筛后密钥数量与发送端发送信号态光脉冲数量的比值
μ 信号态光脉冲的平均光子数
ν1 诱骗态1光脉冲的平均光子数
ν2 诱骗态2光脉冲的平均光子数
4.2 缩略语
下列缩略语适用于本文件。
5 概述
5.1 量子密钥分配产品在量子保密通信系统的位置
量子密钥分配产品在量子保密通信系统的位置见图1。
图1 量子密钥分配产品在量子保密通信系统的位置
量子密钥分配层:主要包括量子密钥分配产品等,借助经典信道和量子信道,完成共享密钥的协商
和分配,可为共享密钥管理层提供共享密钥。量子密钥分配产品的组成结构,见附录B。
共享密钥管理层:可在经典信道中实现共享密钥的存储、传输和中继,为共享密钥应用层系统提供
共享密钥的服务。
共享密钥应用层:主要包括共享密钥应用系统和设备,可通过经典信道,使用共享密钥管理层提供
的共享密钥,实现传输数据加解密。
管理平台:主要包括量子网络管控系统,管控对象包括量子保密通信网络内的被管设备。通过经典
信道实现对量子保密通信网络的监控和管理。
量子密钥分配层、共享密钥管理层、共享密钥应用层和管理平台组成量子保密通信系统。
本文件仅对量子密钥分配产品的技术实现进行规范。
5.2 量子密钥分配产品的网络部署
量子密钥分配产品的网络部署见图2。要求量子密钥分配产品间应同时建立经典信道和量子信
道,在量子信道中不应存在信号放大和再生的器件。
量子密钥分配产品间的经典信道可由局域网或广域网组成,量子信道可由光纤和无源光器件组成。
通过网络部署,可实现量子密钥分配产品间一对一、一对多、多对一、多对多的应用场景。
经典信道网络安全不属于本标准规定的范围,但应采取网络安全的措施以保障经典信道的网络
安全。
图2 网络部署图
6 诱骗态BB84协议实现要求
6.1 概述及协议流程
6.1.1 概述
诱骗态BB84协议包括量子态制备、量子态传输、量子态测量、对基、纠错、安全增强等步骤,其协议
简介,见附录A。
6.1.2 协议基本流程
诱骗态BB84协议基本流程见图3。
图3 诱骗态BB84协议基本流程示意图
诱骗态BB84协议基本流程描述如下:
a) 量子态制备:发送端制备量子态作为信息的载体,将用以加载信息的量子态随机加载在对应的
光脉冲上,量子态可由偏振、相位、时间、自旋、动量等物理量表征。
b) 量子态传输:发送端将加载了信息的量子态发送给接收端。
c) 量子态测量:接收端随机选择测量基对发送端发来的已加载了信息的量子态进行测量,生成原
始密钥。
d) 对基:发送端和接收端将量子态制备时所采用的编码基与接收端探测所采用的测量基进行比
对,双方只保留使用相同基矢的数据,生成筛后密钥。
e) 纠错:发送端和接收端纠正两端筛后密钥中的量子比特误码,生成纠错后密钥。
f) 安全增强:发送端和接收端通过计算压缩比对纠错后密钥进行压缩,生成共享密钥。
6.2 协议实现
6.2.1 量子态制备
6.2.1.1 基和态的描述
态的描述:定义二维希尔伯特空间的四种量子态分别记为|ϕ1 >、|ϕ2 >、|ψ1 >、|ψ2 >。
基的描述:定义二维希尔伯特空间的两组基分别记为与Φ 与Ψ,且Φ={|φ1 >,|φ2 >},Ψ=
{|ψ1 >,|ψ2 >}。
信息约定:在选基时,定义基Φ 与经典比特“0”对应;基Ψ 与经典比特“1”对应。
当基选择Φ 时,定义量子态|ϕ1 >与经典比特“0”对应,量子态|ϕ2 >与经典比特“1”对应。
当基选择Ψ 时,定义量子态|ψ1 >与经典比特“0”对应,量子态|ψ2 >与经典比特“1”对应。
6.2.1.2 基和态的选择
发送端和接收端选择二维希尔伯特空间中两组标准正交基,且这两组基互为共轭。发送端制备的
两组基称为编码基,接收端制备的两组基称为测量基。每组基包含两个正交的量子态,即发送端应制备
四种量子态。
6.2.1.3 基制备要求
两组基共轭,即Φ 和Ψ 共轭。
定义1:记A=|< ϕ1|ψ1 >|,B=|< ϕ1|ψ2 >|,C=|< ϕ2|ψ1 >|,D=|< ϕ2|ψ2 >|,理论值均为E=
,偏
离共轭性相对误差定义为max
(A-E,B-E,C-E,D-E)
定义2:发送端的两组基分别记为ΦA与ΨA,其中ΦA={|ϕ
1 >,|ϕ
2 >},Ψ={|ψ
1 >,|ψ
2 >},接收端与
之对应的两组基分别记为ΦB与ΨB,其中ΦB={|ϕ
1 >,|ϕ
2 >},ΨB={|ψ
1 >,|ψ
2 >}。记ε1=
cos-1|< ϕ
1|ϕ
1 >|,ε2=cos-1|< ϕ
2|ϕ
2 >|,ε3=cos-1|< ψ
1|ψ
1 >|,ε4=cos-1|< ψ
2|ψ
2 >|。编
码基与测量基的相对误差定义为2
πmax
(ε1,ε2,ε3,ε4)。
要求:
a) 编码基共轭性相对误差应小于10%;
b) 测量基共轭性相对误差应小于10%;
c) 编码基与测量基的相对误差应小于10%。
6.2.1.4 态制备要求
每组基的两种量子态应正交,即|ϕ1 >与|ϕ2 >正交,|ψ1 >与|ψ2 >正交。
定义:|ϕ1 >与|ϕ2 >的正交误差定义为ε=
2-θ
,其中θ=arccos|< ϕ1|ϕ2 >|;|ψ1 >与|ψ2 >的正交误差
定义为ε'=
2-θ'
,其中θ'=arccos|< ψ1|ψ2 >|。
要求:
a) |ϕ1 >与|ϕ2 >的正交误差应满足:
ε/
2< 10%
b) |ψ1 >与|ψ2 >的正交误差应满足:
ε'/
2< 10%
6.2.1.5 光强制备要求
发送端制备量子态作为量子信息的载体。量子态是通过光源发射的、具有不同强度的光脉冲。
以诱骗态协议中常使用的三态协议为例,量子态具有三种不同强度,可分别作为信号态、诱骗态1、
诱骗态2。
定义:信号态是平均光子数为μ的光脉冲;诱骗态1光脉冲是平均光子数为ν1的光脉冲;诱骗态2
光脉冲是平均光子数为ν2的光脉冲。
要求:
a) 信号态、诱骗态1、诱骗态2光脉冲的强度应满足0≤ν2< ν1< μ、ν2+ν1< μ;
b) 同种强度的量子态应满足:
p'-p
< 20%
式中:
p'---实际光脉冲强度;
p---理论光脉冲强度。
6.2.1.6 其他属性制备要求
各种量子态之间,在其他测量属性上应满足以下要求:
a) 信号态下,各种量子态之间幅度应满足:
Ampmax-Ampmin
Ampavg
< 10%
式中:
Ampmax---幅度均方根最大值;
Ampmin---幅度均方根最小值;
Ampavg---幅度均方根平均值。
b) 诱骗态下,各种量子态之间幅度应满足:
Ampmax-Ampmin
Ampavg
< 10%
式中:
Ampmax---幅度均方根最大值;
Ampmin---幅度均方根最小值;
Ampavg---幅度均方根平均值。
c) 信号态与诱骗态下,各种量子态之间脉宽均应满足:
|Widmax-Widmin|< 20ps
式中:
Widmax---半高宽均方根最大值;
Widmin---半高宽均方根最小值。
d) 信号态与诱骗态下,各种量子态之间波长偏差和谱宽偏差均应小于0.02nm。
e) 信号态与诱骗态下,各种量子态之间相对参考时钟信号的时间偏差均应满足:
|Timmax-Timmin|< 20ps
式中:
Timmax---时间偏差均方根最大值;
Timmin---时间偏差均方根最小值。
f) 若发送端使用脉冲光激光器制备光脉冲时,可不考虑相位随机化的要求;否则,发送方需在范
围[0,2π)内对弱相干态光脉冲进行相位随机化操作,且选取的随机化相位数量不小于10,并
且取值应该均匀分布。
6.2.1.7 编码
编码过程,是发送端将用以加载信息的量子态随机加载在对应的光脉冲上,量子态可以是偏振、相
位、自旋、时间、动量等。
编码即信息加载的过程,编码过程应符合如下要求:
a) 依据随机数发生器输出的物理随机序列,通过6.2.1.1中约定的二进制比特0、1与基和量子态
的对应关系,确定需要编码的量子态;
b) 根据a)中确定的量子态信息,将用以加载信息的量子态调制到对应的光脉冲上,并保存加载
在量子态上的经典比特信息。
其中,执行b)时,需按照信号态、诱骗态1、诱骗态2的光脉冲发送数量的预设比例要求,随机制备
6.2.1.5和6.2.1.6中规定要求的特定强度的光脉冲;需按照两组基的制备数量的预设比例要求,随机制
备的编码基和量子态光应遵循本标准6.2.1.3和6.2.1.4的要求。
在编码过程中,应至少具有抵御特洛伊攻击、激光注入攻击、种子光攻击的能力。抵御编码过程中
的相关攻击可采用的推荐措施,见附录C中a)。
6.2.2 量子态传输
发送端按照本标准6.2.1的要求,将加载了信息的量子态通过量子信道发送给接收端,并记录所发
光脉冲的光强制备信息和编码信息。
6.2.3 量子态测量
6.2.3.1 解码
解码过程是接收端随机选择一个测量基对发送端发来的加载了信息的量子态进行解调。
解码过程应符合如下要求:
依据随机数发生器输出的物理随机序列,通过6.2.1.1中约定的二进制比特0、1与基的对应关系,
选择需要测量量子态所用的测量基,对量子态进行解调。测量基的制备应遵循6.2.1.3的要求;两组基
制备数量的比例应按照产品预设要求。
在解码过程中,若接收端为主动选基方案时,应至少具有抵御特洛伊木马攻击的能力。
在解码过程中,若接收端为主动选基(不选态)时,应至少具有抵御荧光攻击的能力;若接收端为主
动选基(不选态)且使用多个探测器时,应至少具有抵御伪造态攻击、时间位移攻击和设备校准攻击的
能力。
在解码过程中,若接收端为被动选基方案时,应至少具有抵御波长相关攻击和抵御荧光攻击的能
力;若接收端为被动选基方案且使用多个探测器时,应至少具有抵御伪造态攻击、时间位移攻击和设备
校准攻击的能力。
抵御解码过程中的相关攻击可采用的推荐措施,见附录C中b)、c)、d)、e)、f)。
6.2.3.2 探测
探测过程是对作为信息载体的单个光子的探测,将探测到的量子态信息转换成经典比特信息,得到
原始密钥。目前的实现方式主要基于单光子探测器。
探测过程应符合如下基本要求、接口要求和关键属性要求:
a) 基本要求:
量子密钥分配产品在探测过程中,若接收端通过多个探测器时,应至少具有抵御双计数攻击的
能力。
量子密钥分配产品在探测过程中,若接收端通过基于APD的单光子探测器,应至少具有抵御强光
攻击、死时间攻击、门后攻击和雪崩过渡区攻击的能力。
抵御探测过程中的相关攻击可采用的推荐措施,见附录C中g)、h)、i)、j)、k)。
b) 接口要求:
1) 单光子探测器接口应包括量子信号接口、光电转换后的电脉冲输出接口、电源接口;
2) 如果单光子探测器集成在量子密钥分配产品内部时,可与其他模块有相连接的内部接口
(例如串口、网口、I2C、自定义总线等),用于单光子探测器的运行状态上报(例如温度、电
压、探测计数统计等上报,异常、攻击检测等上报)、特定运行流程控制命令下发(仅接收
特定几种运行流程控制命令,如启动门控探测器的延时扫描、多个单光子探测器的效率
均衡自校准(采用内部光源))。
c) 关键属性要求:
门控模式单光子探测器,应满足如下a)、b)的要求;自由运行模式探测器,应满足如下b)要求;
当接收端采用主动基矢选择方案进行量子态解码,且每个探测器的探测结果随机表示0或1
的信息时,可不满足如下a)、b)的要求。
1) 多通道探测器通道间探测效率半高宽应满足:
wmax-wmin
wavg
< 10%
式中:
wmax---最大半高宽;
wmin---最小半高宽;
wavg-......
|