具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于阐述本发明的精神和基本原则。下面先对现有的量子密钥分发中的隐私放大方案及其存在的问题做概要性的描述。

量子密钥分发(QKD，Quantum Key Distribution)过程，通常可以分为量子操作和数据后处理阶段。在量子操作阶段中，例如两个参与方(或者说是用户，例如为Alice和Bob)通过物理方法在二者之间分发量子态，并对其进行的测量，得到初始密钥。根据不同的QKD协议，分发和测量量子态可以采用不同的具体方式。但是，Alice和Bob持有的初始密钥可能存在如下问题：第一，在分发量子态与测量过程中，例如由于所使用的仪器不完全精准或受到环境噪声的影响，导致二者持有的初始密钥并不完全相同。第二，由于量子操作过程中可能存在窃听者(例如为Eve)，其会通过不法手段获取密钥的信息，因此，初始密钥并不是完全保密的。

所以，各参与方为了获得一致且保密的最终密钥，需要进行数据后处理，该阶段通常又可以分为信息协商(Information Reconciliation)与隐私放大(PrivacyAmplification)两部分。其中，信息协商与经典纠错过程类似，其过程中会消耗各参与方间共享的一些已有密钥(或者说，用户间共享的随机性)，使得Alice和Bob手中的初始密钥变得完全相同；隐私放大则是为了将初始密钥中窃听者可能已知的信息剔除出去，使得最终获得的密钥对于除了参与方以外的人来说是完全保密的(或者说，最终密钥是信息论安全的密钥)。

目前被广泛使用的隐私放大方案，其基本过程如下：首先，在信息协商之后，两个参与方都使用约定的哈希函数(例如Alice随机选择一个哈希函数，并通过公共经典通道将其发送给Bob)对其已协调的密钥字符串进行哈希操作，并获得最终密钥。实践中，广泛采用基于Toeplitz矩阵实现的哈希函数。图1是现有的、在量子密钥分发中实现隐私放大的方法的原理示意图。例如，两个参与方可以估计初始密钥中可能被泄露的信息比例h(e_p)，进而得到初始密钥中可能被泄露的比特数量k(可以根据nh(e_p)得到，n为初始密钥的长度)，基于该比例选取纠错码，得到对应的哈希矩阵，其行列比为(n:k)。然后，选取这个哈希矩阵的对偶矩阵作为隐私放大矩阵M’(其行列比为n:n-k)。接着，不断接收经过信息协商的初始密钥，直到接收到长度为n的整个初始密钥(符号表示向量，为初始密钥的向量化表示)。最后将隐私放大矩阵通过矩阵乘法作用到积累的初始密钥上，得到长度为n-k的最终密钥

现有的方案在实际使用中存在如下的问题：第一，在该方案中，为了提高得到最终密钥与初始密钥的比例，即为了保证隐私放大的效率，通常需要积累足够多数量的经过信息协商的初始密钥才能进行一次隐私放大，例如为兆比特量级。在初始密钥获取速度比较慢或是获取情况不稳定的场景中，得到最终密钥的等待时间较长。例如，在基于卫星的量子密钥分发协议中，由于量子信号只有在地面站能够‘看到’大气层清晰的卫星时才能传输，因此可能需要卫星多个轨道来积累足够的数据，以便进行一次隐私放大。然而，由于大气条件常常具有的不可预测性，这样的延迟可能长达数天。第二，在进行上述的初始密钥积累期间，有大量的时间都无法进行有效的操作，对于时间的利用效率较低。第三，如前所述，需要积累足够多数量的经过信息协商的初始密钥才能进行一次隐私放大。同理，进行一次隐私放大所使用隐私放大矩阵也十分庞大。将如此大量的数据有效的输入计算模块并进行计算，在技术上是比较困难的。第四，信息协商的过程有一定的失败概率，即两个参与方手中经过信息协商的原始密钥并不完全相同，出现了错误，且用户难以知晓错误所在的位置。因为信息协商一次处理的原始密钥的长度m较短，使得m＜＜n，即做一轮隐私放大会处理多轮的信息协商的结果。如果其中一轮信息协商的结果出现了错误，由于隐私放大矩阵作用于所有n个比特上、以及其计算上的线性性质，会导致错误“扩散”到输出的所有n×k个比特上，错误数量比隐私放大前大为增加。

针对上述问题，本说明书实施例提供一种新的隐私放大方案。该方案可以在不额外增加计算复杂度的前提下，通过消耗用户间共享的随机性，做到每接收一个经过信息协商的密钥的比特，就能输出一个安全的最终密钥的比特。由于其最终密钥的输出可以是逐比特进行，也就是说其输出是流式(stream)，因此，本说明书也将该方案称之为流式输出的隐私放大方案。该方案可以有效解决已有的隐私放大方案存在的上述问题。图2为本发明实施例提供的一种用于在量子密钥分发中实现隐私放大的方法的原理示意图。如图2所示，该流式输出的隐私放大方案基于一个已有的共享密钥池，其中有一些已经预先在各用户之间分发好的密钥。注意，该密钥池是在很多密码协议，包括信息协商的过程中，都会用到共享的资源。因此，在实际的生产场合中，该密钥池常常是已有资源，而非额外要求的资源。

首先，在一轮隐私放大处理，将会处理例如为n比特的初始密钥的场景中，各个参与方可以从密钥池中取出一定量的密钥，基于相同的纠错码生成相同的哈希矩阵M，哈希矩阵的大小为k×n(k为初始密钥中可能被泄露的比特数，可以基于此前的量子操作过程确定)。该哈希矩阵的每一列都可以视为一串由{0，1}组成的字符串(列向量)，因此，该哈希矩阵例如可以表示为其中，为其包含的各个列向量。在不同的实施例中，生成哈希矩阵的密钥消耗可以根据具体的纠错码决定。

然后，各参与方可以从共享密钥池中取出另外k个比特的种子密钥，例如可以表示为其中，s₁...s_k为种子密钥包含的各个比特。然后将M右乘到(作为行向量)上，得到长度为n的辅助字符串 其中

最终，各参与方可以流式读取经过信息协商的初始密钥，例如表示为其中，d₁...d_n为初始密钥包含的各个比特位。通过初始密钥和辅助字符串之间的例如异或操作，得到长度为n的隐私放大后的最终密钥其中 为异或操作(或称为模2加法)，该最终密钥对于各参与方以外的第三方来说是完全保密的，或者说是信息论安全的密钥。

通过该方法进行隐私放大的优点在于：一方面可以流式获取初始密钥，并可以随即对获取的部分初始密钥进行处理，结合各部分的处理结果得到最终密钥。从而，不需要在隐私放大过程中积累初始密钥，提高了处理的时间效率。另一方面，隐私放大过程中，初始密钥中的错误位只会影响最终密钥中的对应位，而不会影响最终密钥中的其他比特位，或者说，不会造成错误扩散。

图3为本发明实施例提供的一种用于在量子密钥分发中实现隐私放大的方法的流程图。量子密钥分发的参与方包括第一参与方和第二参与方，第一参与方和第二参与方拥有共享的第一密钥池，所述第一密钥池中包括若干密钥，所述方法在第一和第二参与方中任意一方的终端上执行，如图4所示，该方法至少包括如下步骤：

步骤31，确定本轮隐私放大处理所用的辅助字符串；

步骤32，流式获取经过信息协商的第一密钥中的若干第一比特位；

步骤33，对若干第一比特位和所述辅助字符串中对应位置的比特，进行预设的比特间运算操作，得到若干第二比特位，用以形成隐私放大后的第二密钥。

首先，在步骤31，基于从第一密钥池中确定出的种子密钥、以及与另一参与方约定的第一哈希函数，确定本轮隐私放大处理所用的辅助字符串。

该步骤中，由于第一密钥库是各参与方共享的，而第一哈希函数也是各参与方约定的，因此，种子密钥和第一哈希函数是各参与方知道，但是参与方之外的第三方不知道的。进而，各参与方终端可以根据相同的种子密钥和第一哈希函数，获取相同的辅助字符串。

参与方的终端并非专指一个参与方例如为一台工作站的终端设备，其可以参与方用于进行计算处理的任意的计算设备，包括但不限于服务器、工作站、小型机、移动处理终端等，也可以是参与方的多个计算设备的协调工作。由于量子密钥分发的过程可以包括量子操作部分和后处理部分，因此，在一些实施例中，参与方的终端也可以包括量子经典混合服务器，所述量子经典混合服务器中包括量子处理器和经典处理器，可以由所述量子处理器执行量子操作部分，由所述经典处理器执行后处理部分，也就是说可以由所述经典处理器执行隐私放大部分。

在不同的实施例中，获取辅助字符串的方式可以不同。本说明书对此不做限制。例如，在一个实施例中，辅助字符串可以通过以下过程获取：从第一密钥库中确定出种子密钥，所述种子密钥的长度，根据第一密钥中的非安全比特的数量确定；对种子密钥施加，与另一参与方约定的第一哈希函数，得到辅助字符串，所述辅助字符串的长度等于所述第一密钥的长度。

其中，如前所述整个量子密钥分发过程通常包括量子操作过程和数据后处理过程，数据后处理过程中又包含信息协商和隐私放大。根据一种实施方式，本轮隐私放大所处理的第一密钥的长度(即第一密钥包括的所有比特的数量)、以及其中的非安全比特的数量(即可能被窃听的比特的数量)，可以在各参与方之间进行的量子密钥分发的量子操作过程中确定。因此，在一个具体的实施例中，第一密钥中的非安全比特的数量，也可以基于所述量子密钥分发中的量子操作确定。

在不同的实施例中，第一密钥池可以具有不同的共享方式。例如，在一个实施例中，各个参与方可以分别拥有第一密钥池的本地备份。进而，各个参与方可以分别从第一密钥池的本地备份中确定出种子密钥。

在不同的实施例中，约定第一哈希函数的方式、以及约定的第一哈希函数均可以不同。本说明书对此不做限制。例如，在一个实施例中，各参与方还可以拥有共享的哈希函数库；可以预先从所述哈希函数库中确定出的第一哈希函数。

在另一个实施例中，第一哈希函数可以基于哈希矩阵实现，该哈希矩阵可以通过以下过程获取：从所述第一密钥库中确定出辅助密钥，基于辅助密钥和约定的纠错码，生成哈希矩阵，所述哈希矩阵的维度为k*n，其中，n为所述第一密钥的长度，k为第一密钥包含的非安全比特的数量。在不同的实施例中，可以采用不同的纠错码，本说明书对此不作限制。该实施例中，使用该哈希矩阵的具体方式为：将种子密钥转换为第一行向量；将所述哈希矩阵右乘所述第一行向量，得到第二行向量，将第二行向量转换为所述辅助字符串。

从上述实施例中，可以看到哈希矩阵，可以根据纠错码、非安全比特的数量、初始密钥的长度而生成的。在实际生产中，纠错码、非安全比特的数量等参数可以基于实际的量子系统确定。由于实际生产中的量子系统具有一定的稳定性，因此，可以在多轮隐私放大过程中不改变这些参数。因此，在一些实施例中，可以在多轮隐私放大过程中，使用同样的哈希矩阵。在另外一些情况中，实际的量子系统，在不同轮次的隐私放大过程出现一定程度的变化。因此，在又一些实施例中，还可以根据实际系统的最差情况，确定这些参数(例如，可以根据非安全比特的最大可能数量生成哈希矩阵)，这样也可以使得生成的哈希矩阵是在多轮隐私放大中都可以使用。

在不同的实施例中，第一哈希函数可以通过软件和硬件方式实施。例如，在一个实施例中，第一哈希函数可以具体通过，各参与方预先共享的哈希电路实施。

然后，在步骤32，流式获取经过信息协商的第一密钥中的若干第一比特位。

该步骤中，第一密钥是本轮隐私放大所处理的密钥。如前所述，在量子密钥分发的量子操作阶段完成之后，通常需要进行信息协商与隐私放大，其中信息协商是密钥纠错(Error Correction)的一种方式，可保证密钥分发的各参与方共同拥有的密钥的一致性。信息协商的过程常常基于公共信道中完成，由于可能被密钥分发的各参与方之外的第三方窃听。隐私放大则是减少或去除第三方窃听到的部分密钥信息的方法。该部分密钥信息可能是在量子操作阶段传输密钥时被窃听的，也可能是其后通过公共信道做信息协调时被获取的。因此，隐私放大通常在信息协商之后进行，也就是说，第一密钥通常是第一参与方和第二参与方通过信息协商获取的。

第一比特位，可以是第一密钥中的任意一个比特位。该步骤中，基于比特流(Stream)的形式，获取第一密钥中的若干比特位，进而可以在后续的步骤中，对该若干比特位进行处理，无需等待整个第一密钥接受完成，才能进行后续的处理。

最后，在步骤33，对若干第一比特位和所述辅助字符串中对应位置的比特，进行预设的比特间运算操作，得到若干第二比特位，用以形成隐私放大后的第二密钥。

该步骤中，可以将步骤32接收到的第一密钥中的若干比特位(第一比特位)，与辅助字符串中对应的比特位，进行例如为异或运算的比特运算，得到新的若干第二比特位。进而，可以结合由第一密钥所有的第一比特位得到的第二比特位，形成隐私放大后的最终密钥(第二密钥)。

需要注意的是，为了达到更好的安全性，希望使得第二密钥中取值为‘0’和‘1’的比特位的数量比趋同于1：1。因此，在一个实施例中，预设的比特间运算操作可以优选为异或操作。在另一个实施例中，预设的比特间运算操作还可以优选为同或操作。其原因在于，当比特运算的输入比特呈现平均分布时，执行例如异或操作或同或操作，获得的输出结果中‘0’和‘1’的分布趋同于1：1。

在不同的实施例中，所述若干比特位，可以是一个或多个比特位。所述预设的比特间运算操作，也可以是各参与方之间约定的比特操作。例如，在一个实施例中，各参与方约定了第一操作，第一比特操作可以根据两个两比特的输入生成两比特的输出，其实质是将例如第一密钥的两个比特交换位置之后，与例如辅助字符串的两个比特进行异或操作，得到输出的两个比特。表1示出了第一操作的输入和输出的对应关系。

表1第一操作的输入与输出

在其他的实施例中，各参与方例如还可以约定了第二操作，第二操作例如可以施加到成对的三比特或更多比特上，其实质例如可以是从输入的两个比特串中选一个串，将其中各个比特的位置进行交换，再与另一个进行按位异或，得到输出结果。在不同的例子中，比特位置的交换规则也可以由各参与方预先约定。例如，对于一个表示为‘a1a2a3’的三比特的串，对其进行比特位置交换的结果，在不同的例子中，例如可以是预先约定的‘a1a3a2’,或者‘a2a3a1’等。

在一个实施例中，在得到最终密钥后，还可以将最终密钥(第二密钥)保存到各参与方共享的密钥池，即第一密钥池。

图4为本发明另一实施例提供的一种用于在量子密钥分发中实现隐私放大的方法的流程图。在图4所示的实施例中，各参与方中的一方，还可以在从第一密钥库中确定出种子密钥后，向另一参与方公布种子密钥的对应信息，例如可以是期确定出的种子密钥在共享密钥库中的位置。而其他参与方，在接受到上述种子密钥的对应后，可以根据该种子密钥的对应信息，从第一密钥库中确定出该种子密钥。从而，各参与方可以根据相同的种子密钥，分别得到相同的辅助字符串，进而分别得到相同的最终密钥。如图4所示，例如为Alice方的终端，在从其本地密钥池中提取种子密钥(步骤41)后，将种子密钥在密钥池中的位置通过公共通道发送给例如为Bob方的终端(步骤43)，从而使得Bob方可以根据该位置信息从其本地密钥池中获取相同的种子密钥(步骤44)。然后，Alice方和Bob方的终端，分别根据其获取的种子密钥获取辅助字符串(分别在步骤45和步骤46)。最后，当Alice方和Bob方的终端，获取第一密钥(步骤47，可以对应于图3中步骤31)后，可以对分别对第一密钥和辅助字符串进行例如为异或操作的预设比特运算，得到最终密钥(分别在步骤49和步骤48)。

综上所述，使用本说明书实施例提供的隐私放大方法具有如下优点：第一、可以根据流式获取的初始密钥进行操作，并获取其对应的输出结果，从而达到流式输出的效果，不需要积累初始密钥的数据。第二、获取辅助字符串的过程与初始密钥的获取无关，可以单独进行计算，例如在基于卫星的QKD等场景下，可以利用无法通信的空余时间预先进行计算，大大提高时间上的利用效率。第三、每次处理的颗粒度为初始密钥中的一个比特，所以任意的初始比特存在错误，在输出的最终密钥中，只有错误的初始比特对应的比特位会发生错误，不会影响到其他的比特位。

根据又一方面的实施例，提供了一种用于在量子密钥分发中实现隐私放大的装置。图5为本发明实施例提供的一种用于在量子密钥分发中实现隐私放大的装置的结构图，所述量子密钥分发的参与方包括第一参与方和第二参与方，所述第一参与方和第二参与方拥有共享的第一密钥池，所述第一密钥池中包括若干密钥，所述装置由第一和第二参与方中任意一个的终端上实施，如图5所示，所述装置500包括：

辅助字符串确定单元51，配置为，基于从所述第一密钥池中确定出的种子密钥，以及与另一参与方约定的第一哈希函数，确定本轮隐私放大处理所用的辅助字符串；

密钥获取单元52，配置为，流式获取经过信息协商的第一密钥中的若干第一比特位；

隐私放大单元53，配置为，对若干第一比特位和所述辅助字符串中对应位置的比特，进行预设的比特间运算操作，得到若干第二比特位，用以形成隐私放大后的第二密钥。

根据又一方面的实施例，还提供一种计算机可读介质，包括存储于其上的计算机程序，所述计算机在运行时执行上述的方法。

根据又一方面的实施例，还提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现上述的方法。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。