基于Matlab的量子密碼攻擊性能分析

張盛 王搏稀

（武警海警學(xué)院 浙江省寧波市 315801）

1 引言

近年來，量子信息技術(shù)發(fā)展迅速，作為量子信息學(xué)的分支之一，量子通信在理論和應(yīng)用上也取得了巨大的發(fā)展成就。其最初以量子遠程傳態(tài)和量子稠密編碼[1,2]等方案被人們所熟知，而如今，量子密鑰分發(fā)和量子糾纏分發(fā)等方案也走出了實驗室，逐漸開啟了市場化應(yīng)用的進程。另一方面，高效安全的信息傳輸日益受到人們的關(guān)注，安全性也成為通信性能的重要指標(biāo)。正因為如此，量子通信以其“理論上的不可破譯性”吸引了眾多研究者和社會主體的關(guān)注。

基于無相互作用測量而研究出的反直觀量子密碼[3-5]，最初由Noh[5]在QKD 協(xié)議中提出，后被應(yīng)用于密鑰分配協(xié)議[6]中，這種反直觀量子密碼其中的量子態(tài)作為信息載體，永遠不會通過傳輸信道。根據(jù)不可克隆定理，任何對量子密碼竊取而產(chǎn)生的擾動都會被通信雙方發(fā)現(xiàn)，反直觀量子密碼可以防止竊聽者獲得任何密鑰信息。Yin 等人對Noh 協(xié)議（Noh09 協(xié)議）進行了安全性證明[7]。通過實驗證明，發(fā)現(xiàn)這個協(xié)議屬于攔截-重發(fā)攻擊模式，在理想情況下是安全的，但實際的安全性卻會受到暗計數(shù)率和低效的干涉儀的影響[8]。此外，竊聽者可以通過發(fā)起反直觀的特洛伊木馬攻擊[9]獲得全部的關(guān)鍵性密鑰信息以及可以通過有限計算資源方法在密鑰長度較短的情況下獲取部分信息[10]。

因此，雖然量子密碼在理想情況下是不可破譯的，但是，實際的量子密碼系統(tǒng)由于受限于器件生產(chǎn)的技術(shù)水平，其內(nèi)部仍然存在可被攻擊者利用的安全漏洞，存在密鑰泄露的風(fēng)險。本文以一個典型的量子密鑰分配方案[11]為例，利用Matlab 對兩種針對該方案的攻擊方法[9,10]進行建模分析，比較兩種攻擊方法的攻擊性能，為量子密鑰分配方案的設(shè)計提供新的研究視角。

2 基于Matlab的攻擊模型

在量子密碼的攻擊方案性能分析中，不僅需要定性分析兩種攻擊方案所適用的條件，還要定量分析兩種攻擊方案性能臨界值，兩者結(jié)合，才能在進行量子攻擊時制定出最優(yōu)方案。所以對兩種方案進行建模分析是關(guān)鍵環(huán)節(jié)。本文以兩種針對反直觀量子密碼系統(tǒng)的攻擊方案為例，詳細介紹針對該方案的Matlab 攻擊建模方法與定量分析。

圖1：有限計算資源攻擊的Matlab 模型

圖2：特洛伊木馬攻擊方案的Matlab 模型

2.1 有限計算資源攻擊模型[11]

有限計算資源攻擊以竊聽行為被發(fā)現(xiàn)概率為主要性能指標(biāo)，其表述為：

其中r1為BSE1的反射率，為Eve 端總的折射率，即BSE1累乘至再與相乘。為的反射率，n 為密鑰長度，代表竊聽被發(fā)現(xiàn)的概率。

有限計算資源攻擊的Matlab 建模思路如下：首先設(shè)置好變量并設(shè)定其有效取值范圍，對變化的參數(shù)進行矩陣賦值，接下來給另外兩個和r1兩個常量賦值。為了之后的循環(huán)運算，首先需對攻擊失敗的概率Preveal 設(shè)置矩陣變量，進入循環(huán)后首先計算攻擊失敗的概率，根據(jù)循環(huán)計算得出仿真圖像，的取值由i 的值決定，當(dāng)i 的取值為時，繼續(xù)循環(huán)，并得出仿真圖像，當(dāng)i 不符合條件時，結(jié)束運算。該方案的流程圖如圖1所示。

2.2 特洛伊木馬共攻擊模型數(shù)學(xué)模型[10]

特洛伊木馬攻擊方案的matlab 建模思路與有限計算資源攻擊有相似之處，首先設(shè)置密鑰長度n 的取值，接下來給變量ε 設(shè)置可選擇的內(nèi)容，然后給獲取信息失敗的概率設(shè)置為矩陣變量，隨后即可進入循環(huán)。第一步計算攻擊失敗的概率，接下來按照流程給矩陣變量賦值，i 的取值決定ε 的值，當(dāng)時，按順序進行循環(huán)，當(dāng)i 的取值不滿足循環(huán)條件時，程序結(jié)束。特洛伊木馬攻擊方案的matlab 模型如圖2所示。

3 攻擊方案的性能分析

為了更直觀地比較兩種攻擊方案的性能優(yōu)劣，須把二者的性能曲線放入同一坐標(biāo)軸中，在操作過程中應(yīng)注意密鑰長度n 的取值范圍，若密鑰長度取值過小，則會出現(xiàn)欠擬合的情況。

如圖3所示，有限計算資源攻擊的性能曲線由于n 值過小，導(dǎo)致變化不明顯，因而無法找到曲線的交點。反之，若n 的取值增大，則會出現(xiàn)過擬合的情況。

如圖4所示，由于n 的取值過大，二者的性能偏差較大，難以找到二者的平衡點所在，即為過擬合。為了找到兩種攻擊方法的性能平衡點，特選取[10,100]與[1000,10000]兩個n 的取樣區(qū)間進行仿真，并通過判斷曲線的走勢，推斷出平衡點的可能區(qū)間，即[100,1000]。

圖3：密鑰長度n 取值過小時的性能圖

圖4：密鑰長度n 取值過大時的性能圖

圖5：兩種攻擊方法的性能平衡點圖

如圖5所示，兩種攻擊方法的性能曲線交于一點（即密鑰長度n=330 時），驗證了上述推斷，該點即為平衡點。通過以上結(jié)果不難發(fā)現(xiàn)，有限計算資源攻擊方法與特洛伊木馬攻擊方法二者性能的好壞取決于密鑰長度。

當(dāng)密鑰長度n 為330 時，兩者的攻擊性能基本相同。當(dāng)n 值小于330 時，特洛伊木馬攻擊方法的性能不占優(yōu)，即能被竊取的密鑰長度較小，竊聽失敗。而對于有限計算資源攻擊方法而言，此時被終端發(fā)現(xiàn)的概率較小，性能具有明顯優(yōu)勢，因此，若n 為[0,330]區(qū)間內(nèi)的取值，宜選用有限計算資源攻擊方法。

反之，當(dāng)n＞330 時，有限計算資源攻擊方法的性能迅速下降，而特洛伊木馬攻擊方法成功率增加。因此，此時宜應(yīng)選擇特洛伊木馬攻擊方法?？梢妰煞N方法各有優(yōu)勢，總的來說特洛伊木馬攻擊方案適用的范圍更廣，但是在實際應(yīng)用中，應(yīng)該根據(jù)密鑰長度和實際需要進行選擇。

4 小結(jié)

本文利用Matlab 對兩種量子密碼的攻擊方案進行定量分析，為不同量子密碼系統(tǒng)的攻擊方案的性能比較提供了可靠的驗證方法。但是，不同的量子攻擊方案性能優(yōu)劣一般很難直接比較，只要在適當(dāng)?shù)那疤嵯?，選取比較公平的衡量標(biāo)準(zhǔn)，才能實施。需要注意的是，針對量子密碼的攻擊方法研究目的是為了進一步彌補實際量子密碼系統(tǒng)的技術(shù)漏洞，因此，研究量子系統(tǒng)的攻擊方案對量子密碼技術(shù)的發(fā)展具有一定推動作用。