从零理解BB84协议，掌握未来十年信息安全核心技术

原创于 2025-12-04 11:33:41 发布 · 191 阅读

CC 4.0 BY-SA版权

第一章：从零理解BB84协议，掌握未来十年信息安全核心技术

量子密钥分发（QKD）是构建未来抗量子攻击安全通信体系的核心技术之一，而BB84协议作为首个量子密钥分发协议，奠定了现代量子密码学的基础。该协议由Charles Bennett和Gilles Brassard于1984年提出，利用量子态的不可克隆性和测量塌缩特性，确保通信双方能够检测任何窃听行为。

量子态与编码机制

BB84协议使用光子的偏振态来编码比特信息，定义两组正交基：直角基（+）和对角基（×）。每个基包含两个状态：

直角基：水平偏振（0°）表示0，垂直偏振（90°）表示1
对角基：45°偏振表示0，135°偏振表示1

发送方（Alice）随机选择基并发送对应量子态，接收方（Bob）也随机选择基进行测量。只有当双方选择相同基时，测量结果才可靠。

密钥协商流程

协议执行分为四个主要阶段：

Alice随机生成比特序列和编码基序列，并发送量子态给Bob
Bob随机选择测量基并记录结果
通过经典信道公开比较所用基，保留基一致的部分形成原始密钥
执行误码率检测，若超出阈值则判定存在窃听，终止协议

Alice比特	Alice基	Bob测量基	结果有效
0	+	+	是
1	×	+	否
0	×	×	是

# 模拟BB84基比对过程
alice_bases = ['+', '×', '+', '×']
bob_bases   = ['+', '+', '×', '×']
key_bits    = [bit for i, bit in enumerate(alice_bits) if alice_bases[i] == bob_bases[i]]
# 仅保留基匹配的比特位，构成共享密钥片段

graph LR A[Alice发送量子态] --> B[Bob测量量子态] B --> C{公开比对基} C --> D[筛选匹配基的结果] D --> E[误码检测] E --> F{是否存在窃听?} F -->|是| G[放弃密钥] F -->|否| H[生成最终密钥]

第二章：BB84协议的理论基础与核心原理

2.1 量子态与偏振编码：理解光子的量子特性

在量子通信中，光子是最常用的量子信息载体，其量子态可通过偏振方向进行编码。水平偏振（|H⟩）和垂直偏振（|V⟩）构成一组正交基，分别代表量子比特的 |0⟩ 和 |1⟩ 状态。

偏振态的数学表示

光子的量子态可表示为叠加态：


|ψ⟩ = α|H⟩ + β|V⟩

其中 α 和 β 为复数概率幅，满足 |α|² + |β|² = 1。测量将使系统坍缩至 |H⟩ 或 |V⟩，结果由概率决定。

常用偏振基

直角基：|H⟩, |V⟩ —— 水平与垂直偏振
对角基：|+⟩ = (|H⟩ + |V⟩)/√2, |−⟩ = (|H⟩ − |V⟩)/√2

偏振编码在QKD中的应用

基	量子态	对应比特
直角基	\|H⟩, \|V⟩	0, 1
对角基	\|+⟩, \|−⟩	0, 1

该编码方式是BB84协议的基础，利用测量基不匹配导致的扰动检测窃听。

2.2 不确定性原理与不可克隆定理在密钥分发中的应用

量子密钥分发（QKD）的安全性根基在于量子力学两大核心原理：不确定性原理与不可克隆定理。这些原理确保了任何窃听行为都会在通信过程中引入可检测的扰动。

不确定性原理的作用

根据海森堡不确定性原理，无法同时精确测量一对共轭变量（如光子的偏振态在不同基下的值）。在BB84协议中，发送方随机选择基发送量子比特，接收方也随机选择基进行测量。若窃听者试图截获并测量光子，其选择错误基的概率为50%，从而改变量子态并暴露自身存在。

不可克隆定理的保障

该定理指出：不存在物理过程能完美复制任意未知量子态。这意味着窃听者无法通过“复制”传输中的量子态来规避检测。任何尝试均会导致原始态破坏。

// 模拟量子态测量冲突检测（简化示例）
func detectEavesdropping(sentBasis, receivedBasis []int) float64 {
    var errors int
    for i := range sentBasis {
        if sentBasis[i] != receivedBasis[i] { // 基不匹配即可能被干扰
            errors++
        }
    }
    return float64(errors) / float64(len(sentBasis))
}

上述代码模拟了基比对过程，用于估算信道误码率。若误码率超过阈值（通常约11%），则判定存在窃听，协议中止。这一机制直接依赖于量子物理定律，而非计算复杂度假设，构成无条件安全的基础。

2.3 基矢选择与测量塌缩：信息传递的量子机制

在量子通信中，基矢的选择直接决定了测量结果的确定性。当发送方使用特定基矢对量子比特进行编码时，接收方必须选择匹配的测量基矢才能正确提取信息。

测量塌缩的本质

量子态在测量瞬间会塌缩至所选基矢的本征态之一。若基矢不匹配，测量将引入随机性，导致信息失真。

典型基矢组合示例

计算基矢（Z基）：$\vert 0\rangle$, $\vert 1\rangle$
Hadamard基矢（X基）：$\vert +\rangle = \frac{1}{\sqrt{2}}(\vert 0\rangle + \vert 1\rangle)$, $\vert -\rangle = \frac{1}{\sqrt{2}}(\vert 0\rangle - \vert 1\rangle)$

// 模拟量子测量塌缩过程
func measure(qubit complex128, basis string) int {
    if basis == "Z" {
        return rand.Intn(2) // 简化模拟塌缩为概率事件
    }
    return applyHadamardAndMeasure(qubit)
}

该代码片段模拟了基于不同基矢的测量行为。当选择Z基时，系统按概率塌缩为0或1；若为X基，则需先变换再测量，体现基矢匹配的重要性。

2.4 经典信道与量子信道的协同工作机制

在混合通信架构中，经典信道与量子信道通过互补机制实现高效信息传输。经典信道负责传递控制指令与同步信号，而量子信道则承担量子态的密钥分发与纠缠共享。

数据同步机制

双方通过经典信道交换测量基选择与纠错参数，确保量子测量结果的一致性。该过程遵循BB84协议中的后处理流程：


# 经典信道传输的基比对过程
basis_a = ["Z", "X", "Z", "X"]  # 发送方使用的测量基
basis_b = ["Z", "Z", "X", "X"]  # 接收方使用的测量基

matched_indices = [i for i in range(len(basis_a)) if basis_a[i] == basis_b[i]]
print("匹配基索引:", matched_indices)  # 输出: [0, 3]

上述代码筛选出双方使用相同测量基的比特位，仅这些位置的测量结果可用于生成安全密钥，其余数据被丢弃。

资源调度策略

量子信道执行单光子传输时，经典信道同步更新时钟偏移补偿值
网络拥塞期间，经典信道动态调整量子脉冲发射频率
误码率超过阈值时，触发经典辅助的纠缠纯化协议

2.5 安全性证明：窃听检测与误码率分析

在量子密钥分发（QKD）系统中，安全性建立在量子力学基本原理之上。任何窃听行为都会扰动量子态，从而引入可检测的异常误码率（QBER）。

误码率来源与阈值设定

系统误码率主要来源于信道噪声和探测器误差。当QBER超过预设阈值（通常为11%），则判定存在窃听。可通过以下公式评估安全密钥率：


r ≥ 1 - 2 × QBER

该公式表明，随着QBER上升，有效密钥生成率下降；当QBER > 11%时，密钥率趋近于零，通信终止。

窃听检测机制

通过比对发送端与接收端的部分比特序列，计算误码率。若存在Eve进行测量-重发攻击，其引入的扰动将导致基不匹配概率显著上升。

正常信道误码率：~2%-5%
存在窃听时误码率：≥10%
安全判定准则：统计偏差检验（如χ²检验）

第三章：BB84协议的操作流程详解

3.1 密钥生成阶段：发送方（Alice）的量子态准备

在量子密钥分发协议中，Alice首先需准备用于编码密钥信息的量子态。她随机选择一组比特序列，并为每个比特分配特定的量子基矢进行编码。

量子态编码规则

比特0可编码为 |0⟩ 或 |+⟩ = (|0⟩ + |1⟩)/√2
比特1可编码为 |1⟩ 或 |-⟩ = (|0⟩ - |1⟩)/√2
基矢选择（Z基或X基）由Alice随机决定

态制备示例代码

import numpy as np

def prepare_qubit(bit, basis):
    if basis == 'Z':
        return np.array([1, 0]) if bit == 0 else np.array([0, 1])
    elif basis == 'X':
        plus = np.array([1, 1])/np.sqrt(2)
        minus = np.array([1, -1])/np.sqrt(2)
        return plus if bit == 0 else minus

该函数根据输入的比特值和基矢类型输出对应的量子态向量。Z基对应计算基，X基对应哈达玛基，确保量子态在不同测量基下具有不可克隆的安全性。

3.2 密钥测量阶段：接收方（Bob）的基矢选择与测量

在量子密钥分发协议中，接收方（Bob）需独立随机选择测量基矢对收到的量子态进行测量。这一过程必须与发送方（Alice）的编码基矢匹配，才能正确提取密钥比特。

Bob的测量流程

Bob对每个接收到的光子，随机选择水平-垂直基（H/V）或对角基（+45°/−45°）进行测量。若其选择的基矢与Alice一致，则测量结果即为原始发送比特；否则结果不可靠，需在后续比对中舍弃。

接收光子序列并记录到达时间
为每个光子独立生成随机数决定测量基
通过偏振分析器执行物理测量
记录测量基和输出比特

# 模拟Bob的基矢选择与测量
import random

def bob_measure(qubits):
    bases = [random.choice(['H/V', 'D/A']) for _ in qubits]
    bits = []
    for qubit, basis in zip(qubits, bases):
        if basis == qubit['basis']:  # 基矢匹配
            bits.append(qubit['bit'])
        else:
            bits.append(random.randint(0, 1))  # 错误基导致随机结果
    return bases, bits

上述代码模拟Bob对量子态的测量行为。每轮通信中，Bob独立选择测量基，并仅在基矢匹配时获得正确比特。该机制保障了窃听可被检测，是QKD安全性的核心基础。

3.3 基矢比对与密钥筛选：公开信道的信息协商

在量子密钥分发协议中，Alice与Bob通过公开信道进行基矢比对，以筛选出相同测量基下的比特位，形成原始密钥。

基矢比对流程

双方公布各自用于制备和测量的基矢序列，保留基矢一致的比特位置，丢弃其余数据。该过程不泄露比特值，仅暴露基矢选择信息。

密钥筛选示例


# 模拟基矢比对与密钥筛选
alice_bases = ['Z', 'X', 'Z', 'X', 'Z']  # Alice使用的基矢
bob_bases   = ['Z', 'Z', 'Z', 'X', 'X']  # Bob使用的基矢
raw_key     = [1,    0,   1,   1,   0]   # Alice发送的原始比特

# 筛选相同基矢下的比特
sifted_key = [raw_key[i] for i in range(len(raw_key)) if alice_bases[i] == bob_bases[i]]
print("筛选后密钥:", sifted_key)  # 输出: [1, 1]

上述代码展示了基矢匹配逻辑：仅当Alice与Bob使用相同基矢（如Z-Z或X-X）时，对应比特被保留。此机制确保量子态测量结果一致，为后续纠错与隐私放大奠定基础。

第四章：BB84协议的实现与安全挑战

4.1 实验环境搭建：单光子源与探测器的基本配置

在量子光学实验中，构建稳定的单光子源与高效率探测器系统是实现量子通信与计算的基础。本节介绍核心设备的选型与连接方式。

单光子源配置

采用自发参量下转换（SPDC）晶体生成纠缠光子对，泵浦激光波长为405nm，通过温度控制实现相位匹配。输出端使用窄带滤光片（带宽±2nm）抑制背景噪声。

探测器参数设置

选用超导纳米线单光子探测器（SNSPD），具备高探测效率（>90%）与低暗计数率（<100 cps）。冷却至2.5K以维持超导态。

设备	型号	关键参数
单光子源	SPDC-PPLN	波长810nm, 亮度3×10⁵ pairs/s
探测器	SNSPD-1	效率92%, 暗计数50 cps

# 探测事件时间标记记录示例
import time
timestamps = []
while running:
    if detector_event():
        timestamps.append(time.time_ns())  # 纳秒级时间戳

该代码用于采集光子到达时间，支持后续符合计数分析，时间分辨率取决于时钟精度。

4.2 现实条件下的技术限制：光源缺陷与信道损耗

在实际量子通信系统中，理想化的理论模型往往难以直接实现，光源缺陷和信道损耗是两大核心制约因素。

非理想单光子源的影响

真实光源常产生多光子脉冲，增加窃听风险。例如，弱相干态光源的光子数分布遵循泊松分布：


P(n) = e^{-\mu} \frac{\mu^n}{n!}

其中 $\mu$ 为平均光子数。当 $\mu > 1$ 时，多光子事件概率显著上升，易受光子数分离攻击。

信道损耗的物理限制

光纤传输中，光信号随距离呈指数衰减。典型损耗公式为：


\eta = 10^{-\alpha L / 10}

其中 $\alpha$ 为单位损耗（dB/km），$L$ 为距离。长距离传输导致成码率急剧下降。

距离 (km)	损耗 (dB)	透射率 (%)
50	10	10
100	20	1

4.3 典型攻击模型分析：截获重发与光子数分离攻击

量子密钥分发（QKD）系统虽具备理论上的无条件安全性，但仍面临多种实际攻击威胁。其中，截获重发攻击与光子数分离攻击是两类典型威胁。

截获重发攻击原理

攻击者（Eve）在信道中截获合法用户发送的量子态，测量后重新制备并转发给接收方。由于测量引入扰动，合法通信双方可通过误码率检测发现异常。

光子数分离攻击（PNS攻击）

当光源非理想单光子源而采用弱相干脉冲时，信号中可能包含多光子脉冲。Eve可利用这一特性，分离并存储多光子脉冲中的一个光子，待基矢公布后进行测量，从而获取密钥信息而不引入明显误码。

攻击前提：光源存在多光子成分
攻击手段：量子存储+延迟测量
防御机制：诱骗态协议、高效后处理算法

// 模拟PNS攻击中Eve的光子分离逻辑
if photonCount > 1 {
    storeOnePhoton()   // 存储一个光子用于后续测量
    forwardRemaining() // 转发其余光子给Bob
}

上述代码模拟了Eve在探测到多光子脉冲时的行为逻辑，通过选择性存储实现信息窃取。

4.4 误码处理与隐私放大：提升实际安全性

在量子密钥分发（QKD）系统中，信道噪声和窃听行为会导致密钥比特出现误码。为保障最终密钥的正确性与安全性，必须引入误码处理机制。

误码率估计与信息协调

通信双方通过公开比对部分密钥样本估算误码率。若超过阈值，则终止协议。否则进入信息协调阶段，常用级联协议或LDPC码纠正差异：


# 示例：级联纠错中的校验块划分
block_size = 1024
for i in range(0, len(key), block_size):
    block = key[i:i+block_size]
    parity = sum(block) % 2  # 奇偶校验

该过程暴露部分比特信息，需后续隐私放大抵消信息泄露。

隐私放大：提取无条件安全密钥

利用通用哈希函数（如Toeplitz矩阵）对协商后密钥进行压缩：

输入长度	泄露信息量	输出长度
1000	50	950

输出密钥满足信息论安全，敌手无法获得任何有效信息。

第五章：量子密码的发展趋势与未来展望

量子密钥分发的实用化演进

近年来，基于BB84协议的量子密钥分发（QKD）系统已在金融、政务等领域开展试点部署。中国“京沪干线”实现了超过2000公里的QKD网络覆盖，连接北京、济南、合肥与上海，为银行间数据传输提供量子安全保护。该网络采用可信中继架构，结合经典加密通道进行身份认证与密钥协商。

部署节点需配置专用QKD设备与密钥管理服务器
密钥生成速率达kbps量级，支持AES-256动态密钥更新
网络拓扑采用环形冗余结构以提升可用性

后量子密码的标准化进程

NIST正在推进后量子密码（PQC）算法标准化，CRYSTALS-Kyber已被选为通用加密标准。实际迁移路径包括混合加密模式，即同时使用经典RSA与Kyber进行密钥封装，确保过渡期安全性。


// 混合密钥封装示例（Go伪代码）
sharedKey1 := rsa.Encapsulate(publicKeyRSA)   // 经典算法
sharedKey2 := kyber.Encapsulate(publicKeyK)   // PQC算法
finalKey := hkdf.Expand(append(sharedKey1, sharedKey2...), nil)