QKD安全攻击防御方案分析和分级评估研究报告

声明 本报告所载的材料和信息，包括但不限于文本、图片、数据观点、建议等，均不构成投资或法律建议，也不应替代律师意见本报告所有材料或内容的知识产权归量子信息网络产业联盟所有（注明是引自其他方的内容除外），并受法律保护。如需转载需联系本联盟并获得授权许可。转载、摘编或利用其它方式使用本报告文学、图表或者观点的，应注明“来源：量子信息网络产业联盟”。违反上述声明者，本联盟将道究其相关法律责任。 量子信息网络产业联盟联系电话：010-62300592邮箱：qiia@caict.ac.cn 编制说明 量子保密通信作为量子信息产业实用化程度最高的产业，目前已在国防、政务和民生等领域开展应用探索。作为量子技术在保密通信中的应用，量子保密通信拥有量子基础物理理论确保其信息论安全。量子保密通信在实际使用过程中可能会遭受攻击破环其安全性，但是结合“测量器件无关量子密钥分发”技术和经过精确标定、自主可控光源的量子保密通信系统，叠加完善的安全测评和认证体系就可以提供现实条件下量子保密通信的安全性。 量子保密通信技术的规模化应用需要在现实条件下安全性测评的基础上，构建评估规范和标准体系。对于量子攻击的风险评估和防御有效性评估方案是量了保密通信标准体系的重要一坏环。用户产和生产商可以利用该方案评估量子保密通信设备面临的攻击的威胁程度，结合自身需求选择恰当的防护手段；认证和测评机构可以根据该方案制定测评计划，明确产品的安全等级和防护效力。因此，联盟组织成员单位共同研究编写了《QKD安全攻击防御方案分析和分级评估研究报告》，供业界参考。 编制单位：中国科学技术大学、中国信息通信研究院、北京邮电大学、科大国盾量子股份有限公司、市山大学、国防科技大学、济南量子技术研究院、信息工程大学 编写组：廖胜凯、徐飞虎、张维杨、赖俊森、张一辰、李东东、汤艳琳、黄安琪、孙仕海、姜聪、李宏伟、周淳。 前言 量子通信是量子信息科学的重要分支，它是指利用量子比特作为信息载体来进行信息交互的通信技术。量子通信中典型的应用方式是量子密钥分发（quantumkeydistribution，QKD）。量子密钥分发可以提供具有理论协议安全性的密钥分发手段，是首个从实验室走向实际应用的量子信息技术。QKD的理论协议安全性是指，在量子密钥传输过程中，窃听者无法做到既窃听文不留下痕迹，其安全性不是由计算复杂度决定的，而是由量子力学的基本原理保证的。然而，在实践过程当中，现实设备的某些不完美性，可能会引入一些与理论安全分析中使用的理想模型的偏差。攻击者（Eve）可能会利用这些偏差对实际QKID）系统进行攻击，这使得实际QKD系统存在一定的安全隐惠，研究人员已经针对这些安全隐惠提出了一系列的攻击策略和防御方案。 为广更好地评估不同攻击策略的危害程度以及防御策略的有效性，评价实际QKD系统的现实安全性，并为不同安全需求等级的防御方案提供依据，需要对不同攻击策略进行风险分级评估，量化其危害程度，对相应的防御方案进行有效性分级评估，量化其防御效能。但是，直前QKD相关的标灌和规范主要集中于QKD系统的技术和检测规范，而在受攻击风险评估和安全等级划分方面仍是空自。传统通信行业在信息系统攻 击风险等级评估和信息安全等级保护方面拥有一套完整的法律法规及配套的标准和规范，能够对信息安全进行完整的分级评估。因此，本报告参考了经典信息安全等级保护、分级保护的分级评估思想，探索针对QKD攻击策略风险评估分级的可行性。同时参考了ISO/IEC和CEV的传统通信系统器件设备和受攻击的潜在可能性的分级评估标准，分析了QKD系统安全性模型和框架，提出了相应安全性要求，针对违背具体QKL系统的实际安全性要求导致的攻击策略以及相应的防御方案进行量化打分评估。 本报告旨在构建实际QKI）系统框架和安全性要求，分类讨论目前已知政击策略，研究攻击原理，分析攻击风险，根据实现情况进行评级。研究提出相应的防御策略评价标准，分析针对各个攻击的防御策略的有效性。在此基础上，将攻击风险和防御有效性评估进行综合考虑，得到攻击的整体安全性风险评估结果。本报告对于具体攻击策略的分级评估，为后续的标准化和测评工作奠定基础。 当目 一，量了密钥分发安全框架1 （一）量子密钥分发理论安全性证明1（二）实际量子密钥分发系统架构及安全性要求（三）攻击策略分类15 二.攻击风险和防御有效性分级18 （一）攻击风险分级18（二）防御有效性分级29（三）整体安全评估32 三.针对DV-QKD设备的攻击风险和防御有效性评级研究33 （一）光子数分离攻击33（二）木马攻击36（三）相位重映射攻击40（四）注入锁定攻击（相位型）4.3（五）注入锁定攻击（强度型）46（六）注入锁定攻击（波长型）49（七）强光损伤可调光衰减器攻击52（八）非混态攻击54（九）脉冲互于扰攻击56（十）致盲攻击（连续光型）60（十一）致盲攻击（热致盲型）t9（十二）致盲攻击（脉冲光型）66（十三）死时间攻击71（十四）门后攻击74（十五）时移攻击78 （十六）分束器波长攻击81 （十七）荧光攻击83 （十八）超线性攻击86 （十九）双计数攻击90 四.针对CV-QKD设备的攻击风险和防御有效性评级研究102 （一）木马攻击103（二）非理想光源攻击105（三）注入锁定攻击（强度型）109（四）光衰减攻击112（五）本振光波动攻击116（六）本振光校准攻击117（七）参考脉冲攻击120（八）偏振攻击122（九）饱和攻击124（十）致盲攻击127（十一）波长攻击129 五.攻击风险和防御有效性打分评级样例132 六总结144 图目录 图1：QKD系统架构5图2：CV-QKD系统架构11图3：高斯分布示意图12图4：特洛伊木马攻击示意图37图5：调制电脉冲的波形及相位重映后的量子态40图6：注入锁定攻击改变光源相位的实验示意图44图了：注入锁定攻击改变光源强度的实验示意图46图8：注入锁定攻击窃取偏振编码信息的实验示意图49图9：强光损伤可调光衰减器攻击52图10：USD攻击实验装置图55图11：脉冲相互干扰58图12：单光子探测器的工作模式62图13：脉冲式致盲攻击实验装置图67图14：探测器信号检测68图15：脉冲致盲攻击下的密钥率分析69图16：死时间攻击示意图72图17：门后攻击下探测的响应76图18：探测器探测效率不一致性示意图79图19：时移攻击示意图79图20：时分复用方案81图21：探测器荧光时域信号84图22：荧光攻击示意图 87图23：门控探测器过波渡区的超线性图24：超线性攻击装置88图25：双计数攻击92图26：设备校准操作95图27：设备校准攻击引起的探测效率差异95图28：强光损伤探测器实验装置图97图29：设备校准攻击引起的探测效率差异98图30：探测器不同阶段损坏程度66图31：偏振相关攻击101图32：针对CV-QKD的木马攻击的实验结果104图33：非理想光源攻击模型107图34：非理想相干光源模型安全码率107图35：激光器种子攻击改变光源强度的实验示意图110图36：激光器种子攻击下系统的安全密钥率111图37：邀光器种子攻击的实时监控方案113图38：光衰减器攻击示意图114图39：光衰减器攻击下的成码率示意图114图40：衰减实时监控装置示意图116图41：本振光校准攻击118图42：参考脉冲攻击121图43：偏振攻击123图44：饱和攻击126图45：致盲攻击128图46：波长攻击1.31 表目录 表1：实际QKD系统光源的安全性要求5表2：实际QKD系统编码的安全性要求5表3：实际QKD系统解码的安全性要求6表4：实际QKD探测的安全性要求[~,表5：实际CV-QKD系统光源的安全性要求9表6：实际CV-QKD系统调制的安全性要求10表7：实际CV-QKD探测的安全性要求11表8：实际CV-QKD本振光的安全性要求12表9：安全性要求与攻击策略关系汇总12表10：CV-QKD安全性要求与攻击策略关系汇总13表11：QKD系统设备信息的保密等级举例17表12：仪器设备分类举例19表13：针对攻击的5个评估维度打分分值表21表14：攻击策略分级22表15：防御评估分析表24表16：针对攻击的5个评估维度打分分值表样例103表17：攻击策略分级样例表18：攻防分级评估汇总104表19：CV-QKD攻防分级评估汇总107 缩略语汇总编略语汇总 QKD（quantum key distribution）量子密钥分发DVQKD（discrete variable quantum key distribution）离散变量量子密钥分发CVQKD（continuous variable quantum keydistribution）连续变量量子密钥分发TOE（target of evaluation）评估对象TDC（time digital convertor）时间数字转换器PNS（photon-number splitting）光子数分离COW（coherent one way）相干单路协议USD（unambiguous-state-discrimination）非混态区分VOA（Variable Optical Attenuator）可调光衰减器APD（avalanchephotodiode）雪崩光电探测器TEC（Thermo Electric Cooler）半导体制冷器SPD（single photon detector）单光子探测器OTDR（optical time-domain reflectometer）光时域反射仪QBER（quantum bit error rate）量子比特错误率QKD（quantumkeydistribution）量子密钥分发DVQKD（discretevariablequantumkeydistribution）离教变量量子密钥分发CVQKD（continuousvariablequantumkeydistribution）连续变量量子密钥分发TOE（targetofevaluation）评估对象TDC（timedigitalconvertor）时间数字转换器PNS（photon-numbersplitting）光子数分离COW（coherentoneway）相于单路协议USD（unambiguous-state-discrimination）非混态区分VOA（VariableOpticalAttenuator）可调光衰减器APD（avalanchephotodiode）雪崩光电探测器TEC（ThermoElectricCooler）半导体制冷器SPD（singlephotondetector）单光子探测器OTDR（opticaltime-domainreflectometer）光时域反射仪QBER（quantumbiterrorrate）量子比特错误率 一、量子密钥分发安全框架一、量子密钥分发安全框架 （一）量子密钥分发理论安全性证明（一）量子密钥分发理论安全性证明 任何一个QKD协议的安全性都是有一定前提假设的，一个设计良好的QKD协议，在其所列前提假设下可以从理论上证明其无条件安全性。但在实际系统中运行时，这些前提假设并不一定都可以完美满足。因此，实际系统的安全性并不完全等价于对协议设计时的理论安全性。为了构建实际系统的安全性架构，本小节将先对QKD的理论安全性证明的做一个简单回顾。任何一个QKD协议的安全性都是有一定前提假设的，一个设计良好的QKD协议，在其所列前提假设下可以从理论上证明其无条件安全性。但在实际系统中运行时，这些前提假设并不一定都可以完美满足。因此，实际系统的安全性并不完全等价于对协议设计时的理论安全性。为了构建实际系统的安全性架构，本小节将先对QKD的理论安全性证明的做一个简单回顾。 在DV-QKD的理论安全性证明研究方面。自QKD协议提出后[1]，研究者就对其安全性开展了研究。早在1996年D. Mayers就给出