徐兵杰，陳 暉，張文政

(保密通信重點(diǎn)實(shí)驗(yàn)室，成都 610041)

0 引言

QKD的發(fā)展歷程分為四個(gè)階段［1］:(1)理論學(xué)家基于量子力學(xué)原理證明理想(ideal)或半實(shí)際(semi-practical)QKD 系統(tǒng)的理論安全性［2，3］。上述安全性分析基于對(duì)Alice(信息發(fā)送方)和Bob(信息接收方)內(nèi)部物理器件 (光源、信道、探測(cè)器等)的簡(jiǎn)化數(shù)學(xué)物理模型假設(shè)［4］。然而，這些模型往往不符合或不能完整建模QKD系統(tǒng)所采用的實(shí)際物理器件［5］。因而，QKD的理論無(wú)條件安全性并不能完全保證實(shí)際QKD系統(tǒng)的安全性。(2)實(shí)驗(yàn)學(xué)家不斷改進(jìn)QKD系統(tǒng)的硬件技術(shù)，使得碼率不斷提高，通信距離不斷增長(zhǎng)。目前世界上至少有三家公司出售商用QKD系統(tǒng)，QKD走出了實(shí)驗(yàn)室，進(jìn)行了初步的實(shí)際應(yīng)用。2006年起，瑞士大選開(kāi)始采用QKD來(lái)加密信息。2010年南非世界杯也采用QKD系統(tǒng)來(lái)保證信息安全?，F(xiàn)有QKD系統(tǒng)最遠(yuǎn)通信距離達(dá)300 km，最終安全碼率達(dá)兆赫茲(通信距離約50 km條件下)。(3)尋找實(shí)際QKD系統(tǒng)中的安全漏洞，并改進(jìn)系統(tǒng)的軟件或硬件來(lái)抵御實(shí)際安全漏洞［5］。目前QKD正處于這個(gè)發(fā)展階段。如何全面為實(shí)際QKD系統(tǒng)“查漏補(bǔ)缺”，填補(bǔ)實(shí)際安全漏洞，是當(dāng)前QKD領(lǐng)域的研究重點(diǎn)之一。(4)一旦實(shí)際QKD系統(tǒng)的安全性經(jīng)過(guò)反復(fù)檢驗(yàn)和證明后，QKD將走向?qū)嵱没Ａ硗?，QKD的網(wǎng)絡(luò)化，地面至衛(wèi)星QKD，以及QKD如何與傳統(tǒng)光纖網(wǎng)絡(luò)通信融合也是大家非常關(guān)注的問(wèn)題。一旦上述問(wèn)題得以解決，QKD技術(shù)將真正走向成熟。

針對(duì)QKD現(xiàn)階段的主要發(fā)展目標(biāo)和任務(wù)，全面且詳細(xì)地總結(jié)了實(shí)際QKD系統(tǒng)光源、信道及探測(cè)端的安全隱患，并給出現(xiàn)階段已知的針對(duì)各個(gè)安全隱患的抵御措施。

1 理論安全性與實(shí)際安全性

QKD的安全性可分為兩個(gè)層次:理想QKD協(xié)議安全性和實(shí)際QKD系統(tǒng)安全性［1］。理想QKD協(xié)議的安全性是量子密碼學(xué)理論研究的核心內(nèi)容，是QKD安全性的基石。實(shí)際QKD系統(tǒng)是理想?yún)f(xié)議的物理真實(shí)實(shí)現(xiàn)。理想QKD協(xié)議安全性分析總是在系統(tǒng)物理模塊(如光源，信道，探測(cè)等)的簡(jiǎn)化數(shù)理模型基礎(chǔ)之上進(jìn)行的。若實(shí)際QKD系統(tǒng)的物理器件滿足安全性分析所要求的模型假設(shè)，則其無(wú)條件安全性可以得到保證。然而，實(shí)際QKD系統(tǒng)存在如下兩點(diǎn)安全性隱患［4，5］。

(1)實(shí)際QKD系統(tǒng)中的非理想物理器件與理想QKD協(xié)議安全性分析中的模型假設(shè)不相吻合，即理論和實(shí)驗(yàn)存在差異或不匹配;

(2)實(shí)際QKD系統(tǒng)中的物理器件的工作模式往往比理論安全性分析中的簡(jiǎn)化模型更加復(fù)雜，某些實(shí)際器件的非理想特性未被納入到安全性分析中。

上述安全隱患將導(dǎo)致兩個(gè)結(jié)果。

(1)理論安全性分析不能直接應(yīng)用到實(shí)際QKD系統(tǒng)，無(wú)法證明實(shí)際QKD系統(tǒng)安全性及準(zhǔn)確估計(jì)實(shí)際QKD系統(tǒng)安全碼率;

(2)Eve(竊聽(tīng)者)可以利用實(shí)際物理器件中未被納入理論安全性分析的安全漏洞竊取信息，而不被發(fā)現(xiàn)。

定義Eve所采用的針對(duì)實(shí)際QKD系統(tǒng)安全漏洞所采取的特殊攻擊方式為量子黑客攻擊(Quantum Hacking)［5］。解決上述安全隱患，需從以下兩方面著手。

(1)軟件層面:將實(shí)際器件安全性漏洞納入到現(xiàn)有安全性分析理論中，提出量化該器件非理想特性的關(guān)鍵參數(shù)，進(jìn)而將安全將碼率表示成該參數(shù)的函數(shù);

(2)硬件層面:改進(jìn)實(shí)際QKD系統(tǒng)物理器件，使其符合理論安全性分析模型;或添加硬件監(jiān)控模塊，以監(jiān)控實(shí)際系統(tǒng)非理想特性，防止Eve進(jìn)行相應(yīng)的量子黑客攻擊。

下面分別從光源和探測(cè)端兩個(gè)角度分別闡述和解釋上述內(nèi)容。

2 實(shí)際量子密鑰分發(fā)系統(tǒng)安全漏洞及抵御措施

2.1 實(shí)際QKD系統(tǒng)光源端的安全漏洞

2.1.1 非可信光源攻擊(untrusted source attack)

目前應(yīng)用最廣泛的BB84協(xié)議的標(biāo)準(zhǔn)安全性分析為GLLP及誘餌態(tài)理論。上述理論中對(duì)QKD光源光子數(shù)分布(PND，photon number distribution)的模型假設(shè)和實(shí)際QKD系統(tǒng)光源PND的差別如下。

(1)GLLP理論中假設(shè)QKD光源具有固定且已知的PND［3］，該分布不能被 Eve控制或改變，此類(lèi)光源被稱為可信光源(trusted source)。

(2)單路(one-way)QKD系統(tǒng)中，由于Alice內(nèi)部激光器的機(jī)械噪聲和電噪聲，以及光學(xué)器件的參數(shù)抖動(dòng)，導(dǎo)致光源光強(qiáng)不穩(wěn)定(即光源PND不固定)。雙路“即插即用”(two-way Plug＆Play)QKD系統(tǒng)中，光源等價(jià)于完全被Eve所控制，如圖1所示，光源PND未知。此類(lèi)光源被定義為非可信光源(untrusted source)［6～9］。非可信光源攻擊是針對(duì)實(shí)際QKD系統(tǒng)光源PND非理想特性的量子黑客攻擊，Eve可任意改變或控制系統(tǒng)光源PND，以此來(lái)輔助其在信道上的PNS攻擊從而獲取更多信息(如圖1)［8］。光源非可信條件下，GLLP和誘餌態(tài)安全性分析理論不完全適用于實(shí)際QKD系統(tǒng)，從而無(wú)法估計(jì)實(shí)際系統(tǒng)的安全碼率下界［6］。

圖1 非可信光源攻擊及光源監(jiān)控

為抵御非可信光源攻擊，需要從兩方面著手。

a)從理論上嚴(yán)格證明光源非可信條件下QKD系統(tǒng)的安全性，并量化該條件下安全碼率;

b)從實(shí)驗(yàn)上對(duì)非可信光源的PND進(jìn)行光源監(jiān)控。

光源非可信條件下，必須采用光源監(jiān)控器對(duì)光源的光子數(shù)統(tǒng)計(jì)信息加以監(jiān)控。目前QKD系統(tǒng)有如下光源監(jiān)控實(shí)驗(yàn)方案［6～9］:

a)平均光子數(shù)光源監(jiān)控;

b)主動(dòng)式“untagged bits”概率光源監(jiān)控;

c)被動(dòng)式“untagged bits”概率光源監(jiān)控;

d)主動(dòng)式光子數(shù)區(qū)分光源監(jiān)控;

e)被動(dòng)式光子數(shù)區(qū)分光源監(jiān)控。

通過(guò)上述理論和實(shí)驗(yàn)改進(jìn)，實(shí)際QKD系統(tǒng)可成功抵御非可信光源攻擊。中國(guó)的北京大學(xué)，清華大學(xué)和中國(guó)科技大學(xué)在該方向上都做出了重要貢獻(xiàn)。

2.1.2 相位重映射攻擊(Phase-Remapping Attack)

對(duì)基于相位編碼的BB84協(xié)議，理論安全性分析中假設(shè)加載于光源的相位為{0，π/2，π，3π/2}。而在實(shí)際雙路“即插即用”QKD系統(tǒng)中，Eve可干預(yù)編碼過(guò)程，使得加載于光源的相位變?yōu)閧0，δ/2，δ，3δ/2}，如圖2所示，此類(lèi)攻擊被稱為相位重映射攻擊［10］。入射Alice時(shí)間，使得光脈沖在上升沿入射PM。b)光脈沖在上升沿入射 PM，實(shí)際加載相位由{0，π/2，π，3π/2}變?yōu)閧0，δ/2，δ，3δ/2}。

圖2 相位重映射攻擊原理圖［10］

在相位編碼QKD系統(tǒng)中，信息被編碼于信號(hào)脈沖和參考脈沖的相對(duì)相位。Alice的相位調(diào)制器(PM)只對(duì)信號(hào)脈沖調(diào)相。實(shí)際系統(tǒng)中Alice并不檢測(cè)到兩個(gè)脈沖到達(dá)的時(shí)間，只以參考信號(hào)來(lái)觸發(fā)激活PM。PM由電壓脈沖驅(qū)動(dòng)信號(hào)控制，而該驅(qū)動(dòng)信號(hào)大體分為上升沿，穩(wěn)定區(qū)和下降沿，調(diào)制相位正比于加載在PM上的調(diào)制電壓，如圖2(a)所示。在系統(tǒng)正常狀態(tài)下，經(jīng)過(guò)參考光觸發(fā)后，信號(hào)脈沖在穩(wěn)定區(qū)入射PM，此時(shí)加載的相位為{0，π/2，π，3π/2}。

然而在雙路“即插即用”QKD系統(tǒng)中，光脈沖先由Bob發(fā)送給Alice，經(jīng)過(guò)Alice編碼和衰減后返回到Bob。2007年，加拿大多倫多大學(xué)的Lo小組指出［10］，Eve可在光脈沖由 Bob發(fā)送給 Alice過(guò)程中控制信號(hào)脈沖入射時(shí)間(即調(diào)節(jié)參考脈沖與信號(hào)脈沖的時(shí)間間隔)，使得信號(hào)光在上升沿入射PM，從而使得實(shí)際加載相位由{0，π/2，π，3π/2}變?yōu)閧0，δ/2，δ，3δ/2}。改變加載相位后，Eve 可進(jìn)行 POVM測(cè)量區(qū)分Alice端出射量子態(tài)并最優(yōu)化δ取值使得態(tài)區(qū)分誤碼率最小從而獲取最大信息。經(jīng)過(guò)測(cè)量后，Eve將其測(cè)量結(jié)果重發(fā)給Bob。該攻擊屬于一種截獲—重發(fā)攻擊(intercept-resend attack)，QKD安全性分析中一個(gè)廣為人知的結(jié)論是:在截獲—重發(fā)攻擊下，QKD系統(tǒng)不可能生成安全密鑰。QKD系統(tǒng)能容忍的QBER上限為20%，而經(jīng)過(guò)相位重映射攻擊且最優(yōu)化δ條件下，Eve引起的QBER約為15.5%。此時(shí)，Alice和Bob若不考慮上述攻擊，則通信雙方認(rèn)為QKD系統(tǒng)仍然能產(chǎn)生安全密鑰(QBER低于容忍上限)，而實(shí)際上在相位重映射攻擊下系統(tǒng)不能生成任何安全密鑰。

2010年，加拿大多倫多大學(xué)的Lo小組在商用ID-500 QKD系統(tǒng)上實(shí)現(xiàn)了相位重映射攻擊，其實(shí)驗(yàn)框圖如圖3 所示［11］。

圖3 相位重映射攻擊實(shí)驗(yàn)框圖［11］

該實(shí)驗(yàn)中，Eve通過(guò)可變光延時(shí)器(VODL，variable optical delay line)調(diào)節(jié)信號(hào)光與參考光脈沖之間的相對(duì)延時(shí)，從而改變信號(hào)光脈沖入射PM的時(shí)間。通過(guò)相位重映射攻擊，Eve在竊取100%信息的條件下引起的QBER為19.7%，低于20%。實(shí)驗(yàn)證明，在實(shí)際雙路QKD系統(tǒng)中必須考慮相位重映射攻擊，否則Alice和Bob將高估系統(tǒng)安全性。

相位重映射攻擊的不足之處在于攻擊會(huì)引起很大的QBER。即使在理論極限下該攻擊也會(huì)引起15.5%的QBER，而在正常的QKD實(shí)驗(yàn)中QBER小于10%。這種攻擊相對(duì)容易被發(fā)現(xiàn)，攻擊痕跡過(guò)重。

2.1.3 大脈沖攻擊(large pulse attack)

任何光學(xué)器件都存在一定的反射性，竊聽(tīng)者通過(guò)向Alice(或Bob)內(nèi)部發(fā)送強(qiáng)光脈沖信號(hào)，并測(cè)量反射脈沖可以獲取Alice(或Bob)的編碼信息，如圖4所示。Eve占據(jù)了部分量子信道以探測(cè)Alice的設(shè)備，并使用了一個(gè)附加光源并對(duì)其進(jìn)行調(diào)制，最終用探測(cè)器分析反射信號(hào)以竊取Alice所制備的態(tài)的信息。上述攻擊的根源在于Alice內(nèi)部的任意光學(xué)器件都存在一定反射性，反射光可被Alice的調(diào)制器調(diào)制從而含有其編碼信息，最終該信息可被竊聽(tīng)者以某種最優(yōu)的探測(cè)方式解碼。如果Alice對(duì)此沒(méi)有防范，Eve可以精確地得到Alice制備的態(tài)從而得到所有密鑰。

圖4 大脈沖攻擊示意圖［12］

如果Alice注意到了Eve的行為，她可以采取一些措施限制Eve的信息并通過(guò)保密放大消除這部分信息。為了限制該攻擊，QKD系統(tǒng)的設(shè)計(jì)應(yīng)該滿足以下幾點(diǎn)要求:(1)只有特定波長(zhǎng)的脈沖可以進(jìn)入設(shè)備;(2)用于編碼的光學(xué)元件(如相位調(diào)制器)僅僅在合法光源到達(dá)的短時(shí)間內(nèi)處于激活狀態(tài);(3)協(xié)議雙方應(yīng)該知道Eve的探針信號(hào)反射量的上界。以上幾點(diǎn)可以通過(guò)在Alice設(shè)備外端增加濾波器和強(qiáng)衰器，以及在相位調(diào)制器附近加入隔離器來(lái)實(shí)現(xiàn)。

2.2 實(shí)際QKD系統(tǒng)探測(cè)端的安全漏洞

探測(cè)器是一個(gè)復(fù)雜的光電器件，其安全性問(wèn)題是所有器件中最復(fù)雜的。目前實(shí)際QKD系統(tǒng)探測(cè)器的非理想特性主要體現(xiàn)為兩點(diǎn):

a)探測(cè)器效率不匹配(DEM，detection efficiency mismatch);

b)實(shí)際QKD系統(tǒng)中廣泛使用雪崩二極管(APD)的工作模式可被Eve控制。

基于上述兩點(diǎn)，Eve 可執(zhí)行時(shí)移攻擊［13，14］，偽態(tài)攻擊［15］和探測(cè)致盲攻擊［16，17］。2010年，挪威科技大學(xué)和新加坡國(guó)立大學(xué)利用探測(cè)致盲攻擊［17］，完全攻克了一套實(shí)際QKD系統(tǒng)。有矛就有盾，來(lái)自多個(gè)國(guó)家的研究者在近期分別從理論和實(shí)驗(yàn)的角度部分解決了探測(cè)致盲攻擊問(wèn)題［18～20］。

2.2.1 時(shí)移攻擊(Time-Shift Attack)

實(shí)際QKD系統(tǒng)通常含有兩個(gè)門(mén)模式APD探測(cè)器，分別用來(lái)探測(cè)信號(hào)“0”和“1”。理論安全性分析中總是假設(shè)這兩個(gè)探測(cè)器的探測(cè)效率相等。實(shí)際上情況并非如此，不同探測(cè)器的效率是時(shí)間、頻率、偏振及空間模式的函數(shù)，一般不相同。以光纖QKD系統(tǒng)為例，QKD系統(tǒng)的兩個(gè)APD探測(cè)器由門(mén)信號(hào)觸發(fā)，其探測(cè)效率為時(shí)間函數(shù)，如圖5(a)所示，兩個(gè)門(mén)模式APD探測(cè)器效率在t0和t1時(shí)刻顯著不同。如圖5(b)所示。在t0(t1)時(shí)刻，探測(cè)器D0(D1)的效率遠(yuǎn)高于D1(D0);如果光脈沖在t0(t1)時(shí)刻到達(dá)探測(cè)器，則探測(cè)器D0(D1)響應(yīng)的概率會(huì)遠(yuǎn)高于D1(D0)探測(cè)器。上述非理想特性被稱為探測(cè)效率不匹配(DEM，detection efficiency mismatch)。

2007年，加拿大多倫多大學(xué)的Lo小組提出了針對(duì)實(shí)際QKD系統(tǒng)DEM安全漏洞的時(shí)移攻擊(TSA，time shift attack)［13］。在正常狀態(tài)下，商用QKD系統(tǒng)會(huì)自動(dòng)校準(zhǔn)兩個(gè)門(mén)信號(hào)使得D0和D1的探測(cè)效率盡可能重合，同時(shí)令光信號(hào)在0時(shí)刻到達(dá)探測(cè)器(此時(shí)兩探測(cè)器效率相等，如圖5(b))。令ηi(tj)表示探測(cè)器Di在tj時(shí)刻的探測(cè)效率(i，j=0，1)，并設(shè)兩探測(cè)器效率對(duì)稱。定義 r=η1(t0)/η0(t0)= η0(t1)/η1(t1)，用來(lái)量化探測(cè)效率不匹配程度，r∈［0，1］。在實(shí)際 QKD 系統(tǒng)中，Eve可控制光脈沖到達(dá)Bob端探測(cè)器的時(shí)間。

圖5 探測(cè)參效率示意圖

a)若到光脈沖到達(dá)時(shí)間為t0且Bob端探測(cè)器有響應(yīng)，則Eve以概率1/1+r概率猜測(cè)Bob的測(cè)量結(jié)果為0，以概率r/1+r概率猜測(cè)Bob的測(cè)量結(jié)果為1;

b)若到光脈沖到達(dá)時(shí)間為t1且Bob端探測(cè)器有響應(yīng)，則Eve以概率r/1+r概率猜測(cè)Bob的測(cè)量結(jié)果為0，以概率1/1+r概率猜測(cè)Bob的測(cè)量結(jié)果為1。

上述攻擊被稱為時(shí)移攻擊。Eve隨機(jī)令信號(hào)在t0或t1入射Bob探測(cè)器，若t0時(shí)刻入射則猜測(cè)Bob的測(cè)量結(jié)果為0，反之為1。當(dāng)DEM程度較大時(shí)(即r＜＜1)，Eve能以很大概率猜中Bob測(cè)量結(jié)果。該攻擊的特點(diǎn)是僅改變信號(hào)入射Bob的時(shí)間，不引起任何QBER。時(shí)移攻擊下，Eve與Bob的互信息為［13］

極端情況下兩探測(cè)器效率完全不匹配(即r=0)，Eve可完全猜中Bob探測(cè)結(jié)果。

2008年，Lo小組在商用ID-500 QKD系統(tǒng)上實(shí)現(xiàn)了時(shí)移攻擊的原理性演示驗(yàn)證［14］。商用ID-500 QKD系統(tǒng)有自校準(zhǔn)機(jī)制使得兩探測(cè)器效率盡可能匹配，經(jīng)過(guò)仔細(xì)觀測(cè)，兩探測(cè)器效率有4%的概率不匹配程度較大(r～1/8)，則Eve可以4%的概率獲取部分編碼信息而不引起任何QBER。如果在實(shí)際QKD系統(tǒng)中忽略此攻擊，則將高估安全碼率。

該攻擊的缺點(diǎn)在于Eve獲取信息的效率低，只能以4%的概率獲取信息。同時(shí)，該攻擊導(dǎo)致光信號(hào)總是在探測(cè)器效率很低的時(shí)刻到達(dá)Bob端，會(huì)引起系統(tǒng)計(jì)數(shù)率銳減(當(dāng)然Eve可在原理上用無(wú)損信道將信號(hào)發(fā)送給Bob以掩蓋攻擊痕跡)。

2.2.2 偽態(tài)攻擊(Fake-State Attack)

2006年，挪威科技大學(xué)的Makarov等人提出了BB84協(xié)議下，如何利用DEM安全漏洞實(shí)現(xiàn)偽態(tài)攻擊(FSA，fake state attack)［15］。偽態(tài)攻擊是一種截獲—重發(fā)攻擊，Eve利用和Bob相同的方式隨機(jī)測(cè)量Alice出射的量子信號(hào)，然后根據(jù)其測(cè)量結(jié)果將偽態(tài)信號(hào)重發(fā)給Bob，如圖6所示。

圖6 偽態(tài)攻擊示意圖

a)若測(cè)得的結(jié)果是0，則在t0時(shí)刻發(fā)送另一組基下的1態(tài)給Bob;

b)若測(cè)得的結(jié)果是1，則在t1時(shí)刻發(fā)送另一組基下的0態(tài)給Bob。

不難發(fā)現(xiàn)，

a)如果Bob選取的測(cè)量基與Eve相同，則Bob探測(cè)器有響應(yīng)的概率為［η1(t0)+η0(t0)］/2或［η0(t1)+η1(t1)］/2，其中Bob探測(cè)結(jié)果以概率1/1+r與Eve相同，以概率r/1+r與Eve不同;

b)如果Bob選取的測(cè)量基與Eve不同，則Bob探測(cè)器響應(yīng)概率為η1(t0)或η0(t1)，且Bob探測(cè)結(jié)果與Eve不同。

在上述偽態(tài)攻擊下，篩選碼中QBER為［15］

相應(yīng)系統(tǒng)安全碼率為

極端情況r=0條件下［即η1(t0)=η0(t1)=0］，Bob測(cè)量結(jié)果必與Eve相同且QBER為0。

a)當(dāng)Eve選錯(cuò)測(cè)量基，Bob端探測(cè)器不響應(yīng);

b)當(dāng)Eve選對(duì)測(cè)量基，Bob以較大概率響應(yīng)，且測(cè)量結(jié)果與Eve相同。

該攻擊目前在實(shí)驗(yàn)上比較難直接實(shí)現(xiàn)。2011年，N.Jain等人提出了在商用QKD系統(tǒng)中引入較大DEM的實(shí)驗(yàn)方案，這種DEM對(duì)偽態(tài)攻擊和時(shí)移攻擊有輔助作用。雙路商用QKD系統(tǒng)每經(jīng)過(guò)一段時(shí)間會(huì)對(duì)兩個(gè)探測(cè)器進(jìn)行校準(zhǔn)，分三步進(jìn)行。

a)Bob發(fā)送強(qiáng)光校準(zhǔn)脈沖給Alice;

b)Alice不做任何相位編碼將脈沖返回給Bob;

c)Bob通過(guò)相位調(diào)制器施加π/2的相移，則光脈沖一半功率入射D0，另一半入射D1。

由于使用的是強(qiáng)光脈沖，脈沖在Bob端的干涉儀發(fā)生干涉后，會(huì)使兩個(gè)探測(cè)器都產(chǎn)生響應(yīng)。Bob通過(guò)掃描不同時(shí)刻發(fā)送的校準(zhǔn)脈沖，并記錄探測(cè)器響應(yīng)時(shí)間，從而實(shí)現(xiàn)對(duì)兩個(gè)探測(cè)器的門(mén)觸發(fā)時(shí)間進(jìn)行校準(zhǔn)。Eve可以干預(yù)上述校準(zhǔn)過(guò)程:對(duì)經(jīng)過(guò)Alice內(nèi)部短臂的脈沖進(jìn)行調(diào)制，在光脈沖前半部分施加π/2的相移，對(duì)光脈沖后半部分施加－π/2的相移。這樣，再經(jīng)過(guò)Bob施加的π/2相位后，實(shí)際到達(dá)Bob端干涉儀的光脈沖的前半部分(后半部分)加載相位是π(0)，則光脈沖的前后部分會(huì)分別先后進(jìn)入探測(cè)器D1和D0。由于光脈沖本身存在一定寬度(幾百皮秒量級(jí))，此時(shí)Alice和Bob若校正兩探測(cè)器的觸發(fā)時(shí)間使其“同時(shí)相應(yīng)”，實(shí)際上會(huì)引入百皮秒量級(jí)的DEM。商用QKD系統(tǒng)本身僅有約4%的情況下DEM較大(幾百皮秒量級(jí))，而96%情況下DEM只有幾十皮秒的量級(jí)。通過(guò)Eve的上述對(duì)校準(zhǔn)過(guò)程的攻擊，N.Jain等人從實(shí)驗(yàn)上穩(wěn)定的引入了比較大的DEM，為偽態(tài)攻擊或時(shí)移攻擊提供了空間。

2.2.3 探測(cè)致盲攻擊(Detection Blinding Attack)

探測(cè)致盲攻擊是針對(duì)QKD系統(tǒng)中單光子探測(cè)器的非理想特性進(jìn)行的一種量子黑客攻擊。目前商用QKD系統(tǒng)及世界各研究小組的QKD系統(tǒng)主要采用的單光子探測(cè)器有如下3種。

a)光纖QKD系統(tǒng)(工作波長(zhǎng)1 550 nm)，大多采用門(mén)觸發(fā)蓋革模式的InGaAs-APD(如商用QKD系統(tǒng)Clavis2和QPN5505);

b)空間QKD系統(tǒng)(工作波長(zhǎng)800 nm)，多采用工作于連續(xù)狀態(tài)下蓋革模式的Si-APD，具體又分為被動(dòng)猝滅Si-APD(如新加坡國(guó)立大學(xué)基于糾纏光子對(duì)的QKD系統(tǒng))和主動(dòng)猝滅Si-APD(如商用探測(cè)器PerkinElmer SPCM-AQR);

c)部分QKD系統(tǒng)采用超導(dǎo)單光子探測(cè)器SSPD。

近年來(lái)，挪威科技大學(xué)的Makarov研究小組發(fā)現(xiàn)上述單光子探測(cè)器存在嚴(yán)重的安全隱患:Eve可以統(tǒng)一采用所謂探測(cè)致盲攻擊，實(shí)現(xiàn)對(duì)Bob端探測(cè)器工作狀態(tài)及探測(cè)結(jié)果的控制。通過(guò)探測(cè)致盲攻擊，Eve能在完全竊取信息同時(shí)不引起QBER。2009年，新加坡國(guó)立大學(xué)聯(lián)合挪威科技大學(xué)首次實(shí)現(xiàn)了探測(cè)致盲攻擊的演示驗(yàn)證實(shí)驗(yàn)。下面以最經(jīng)常采用的門(mén)觸發(fā)蓋革模式的APD為例，闡述Eve如何實(shí)施探測(cè)致盲攻擊，并歸納相應(yīng)抵御措施。

首先簡(jiǎn)要介紹APD的工作模式。APD的工作狀態(tài)分為兩種:線性模式和蓋革模式。當(dāng)加載于APD的反向偏壓Vbias小于擊穿電壓Vbr時(shí)，APD工作于線性模式;當(dāng)Vbias大于Vbr時(shí)，APD工作于蓋革模式。

a)線性模式下，APD工作狀態(tài)類(lèi)似于經(jīng)典的光強(qiáng)探測(cè)器(輸出光電流正比于入射光強(qiáng))，即IAPD∝Popt。當(dāng)APD的輸出電流IAPD大于閾值Ith時(shí)，探測(cè)器產(chǎn)生響應(yīng)。當(dāng)APD工作于線性模式且入射光功率大于閾值Pth時(shí)，APD將被激發(fā)產(chǎn)生響應(yīng)。線性模式下，APD只響應(yīng)強(qiáng)光信號(hào)，而不響應(yīng)單光子信號(hào)。

b)在蓋革模式下，單光子以一定概率ηD被APD吸收產(chǎn)生電子空穴對(duì)并在反向偏壓Vbias加速下引起雪崩效應(yīng)，使探測(cè)器產(chǎn)生響應(yīng)。在蓋革模式下，APD能響應(yīng)單光子信號(hào)，可以作為單光子探測(cè)器使用。蓋革模式是QKD系統(tǒng)所需要的工作模式。

所謂“門(mén)觸發(fā)”是指，探測(cè)器僅在門(mén)信號(hào)觸發(fā)時(shí)才工作于蓋革模式，而在其余時(shí)刻工作于線性模式?？梢院侠淼脑O(shè)計(jì)門(mén)信號(hào)時(shí)序，使得僅當(dāng)單光子信號(hào)到達(dá)探測(cè)器時(shí)APD才工作于蓋革模式，以達(dá)到降低暗計(jì)數(shù)的目的。絕大多數(shù)光纖QKD系統(tǒng)采用門(mén)觸發(fā)蓋革模式的APD作為單光子探測(cè)器。

針對(duì)APD的上述特征，Eve可在APD的線性工作模式下通過(guò)偽態(tài)攻擊控制Bob端探測(cè)結(jié)果。Eve首先采用和Bob相同的測(cè)量方法測(cè)量Alice端出射信號(hào);然后根據(jù)測(cè)量結(jié)果將信號(hào)在APD工作于線性模式時(shí)重發(fā)給Bob。與一般偽態(tài)攻擊不同的是，該攻擊中Eve發(fā)送給Bob的是經(jīng)過(guò)仔細(xì)設(shè)計(jì)的強(qiáng)光信號(hào)而非單光子信號(hào)。以BB84協(xié)議為例，Eve測(cè)量Alice出射信號(hào)后，在Bob端APD處于線性工作模式時(shí)，將其測(cè)量結(jié)果加載于功率略大于Pth的強(qiáng)光信號(hào)上發(fā)送給Bob。

a)若Eve與Bob選取測(cè)量基相同，則強(qiáng)光信號(hào)完全入射到同一個(gè)探測(cè)器中。APD工作于線性模式，而入射到探測(cè)器的光功率大于Pth，故可引起探測(cè)器響應(yīng)，如圖7(a)所示。

b)若Eve與Bob選擇測(cè)量基不同，則強(qiáng)光信號(hào)一半入射到探測(cè)器 D0，一半入射到探測(cè)器 D1。APD工作于線性模式，而入射到每一個(gè)APD的光功率約為Pth/2，故不引起探測(cè)器響應(yīng)，如圖7(b)所示。

APD工作于線性模式時(shí)，其產(chǎn)生響應(yīng)當(dāng)且僅當(dāng)其入射光強(qiáng)大于Pth;Eve在APD工作于線性模式時(shí)隨機(jī)測(cè)量Alice發(fā)送的信號(hào)并將測(cè)量結(jié)果以強(qiáng)光

圖7 探測(cè)器響應(yīng)示意圖

Eve采用強(qiáng)光脈沖入射到Bob探測(cè)器以控制Bob探測(cè)結(jié)果，引起的一個(gè)伴隨效果是很強(qiáng)的后脈沖(afterpulse)。當(dāng)下一個(gè)門(mén)信號(hào)來(lái)臨時(shí)APD工作狀態(tài)轉(zhuǎn)變成蓋革模式，會(huì)探測(cè)到后脈沖引起較高QBER。德國(guó)馬普光學(xué)所和挪威科技大學(xué)的研究小組對(duì)上述后脈沖進(jìn)行了物理建模，并將理論模型與實(shí)驗(yàn)實(shí)測(cè)值進(jìn)行了對(duì)比，發(fā)現(xiàn)符合得非常好。根據(jù)模擬和實(shí)測(cè)結(jié)果，在Eve采取上述攻擊時(shí)刻之后的50個(gè)門(mén)信號(hào)時(shí)間段內(nèi)，后脈沖引起B(yǎng)ob端探測(cè)器響應(yīng)的概率為0.85，將引起很高的QBER，從而被發(fā)現(xiàn)。

為了掩蓋上述由于后脈沖所引起的高QBER，挪威科技大學(xué)的Makarov等人引入了一種被稱為探測(cè)致盲(Detection Blinding)的攻擊手段。對(duì)于門(mén)觸發(fā)模式APD，所謂探測(cè)致盲是指通過(guò)Eve的攻擊使APD不能工作于蓋革模式(即使門(mén)信號(hào)來(lái)臨時(shí)也不能)，僅能工作于線性模式。在線性模式下，APD對(duì)單光子量級(jí)信號(hào)，暗計(jì)數(shù)，以及后脈沖信號(hào)都不響應(yīng)。如果探測(cè)器被致盲，則由上述攻擊所導(dǎo)致的后脈沖信號(hào)完全不被探測(cè)器所響應(yīng)，不引起QBER。近年來(lái)根據(jù)不同物理機(jī)制，研究者提出了很多種巧妙的探測(cè)器致盲方案。

a)連續(xù)光入射引起光電流IAPD經(jīng)過(guò)Rbias導(dǎo)致APD反向偏壓降低，實(shí)現(xiàn)探測(cè)致盲;

b)連續(xù)光入射熱效應(yīng)導(dǎo)致APD反向擊穿電壓Vbr增加，實(shí)現(xiàn)探測(cè)致盲;

c)區(qū)間光入射熱效應(yīng)導(dǎo)致APD反向擊穿電壓Vbr增加，實(shí)現(xiàn)探測(cè)致盲;(功率略大于Pth)發(fā)送給Bob:當(dāng)Bob的測(cè)量基與Eve相同，則所有的光入射到同一個(gè)探測(cè)器，產(chǎn)生響應(yīng)，如圖7(a)所示;當(dāng)Bob的測(cè)量基與Eve選擇不同，則強(qiáng)光脈沖被平分到兩個(gè)探測(cè)器，兩個(gè)探測(cè)器都不響應(yīng)，如圖7(b)所示。

d)利用探測(cè)器的AC耦合效應(yīng)導(dǎo)致門(mén)信號(hào)入射期間Vcomp降低，實(shí)現(xiàn)探測(cè)致盲;

e)微弱光脈沖門(mén)后攻擊，實(shí)現(xiàn)探測(cè)致盲。

限于篇幅，此處不詳細(xì)展開(kāi)。

Eve可以通過(guò)聯(lián)合上述兩種手段實(shí)現(xiàn)既獲取信息，同時(shí)又不引起QBER的目的。2009年7月，新加坡國(guó)立大學(xué)聯(lián)合挪威科技大學(xué)首次報(bào)道了對(duì)QKD系統(tǒng)的完整探測(cè)致盲攻擊。被所攻擊的QKD系統(tǒng)以糾纏光子對(duì)為光源，基于偏振編碼，Bob采用被動(dòng)基選擇測(cè)量方式，且其APD為工作于被動(dòng)猝滅模式的Si-APD。Eve采用偽態(tài)攻擊結(jié)合連續(xù)強(qiáng)光致盲的攻擊方式，攻擊具體流程如下。

a)Eve采用與Bob完全相同的測(cè)量方式測(cè)量Alice出射信號(hào)，并記錄測(cè)量結(jié)果;

b)Eve根據(jù)測(cè)量結(jié)果制備相應(yīng)偏振態(tài)的偽態(tài)信號(hào)疊加到連續(xù)強(qiáng)光上，并發(fā)送給Bob。

經(jīng)過(guò)上述攻擊，Eve能完全獲取信息而不引起系統(tǒng)計(jì)數(shù)率及QBER的改變，故Alice和Bob無(wú)法通過(guò)這兩個(gè)參數(shù)觀察到Eve的存在。

目前，針對(duì)探測(cè)致盲攻擊的抵御手段主要有三種［18～20］。

a)劍橋大學(xué)東芝研究中心的研究人員提出通過(guò)從硬件上進(jìn)行改進(jìn)［18］:降低APD的比較器閾值電壓Vth，以及去掉APD的偏置電阻Rbias等手段抵御探測(cè)致盲攻擊。

b)加拿大多倫多大學(xué)的Lo小組從理論上提出了解決方案［19］:提出測(cè)量設(shè)備無(wú)關(guān)(Measurement-Device-Independent)協(xié)議，解決探測(cè)段的所有安全漏洞，包括時(shí)移攻擊，偽態(tài)攻擊和探測(cè)致盲攻擊同時(shí)避免探測(cè)端邊信道信息泄露等。該協(xié)議是近期QKD領(lǐng)域一大進(jìn)展和研究熱點(diǎn)，其原理演示驗(yàn)證實(shí)驗(yàn)已經(jīng)被實(shí)現(xiàn)。

c)巴西和智利的研究小組采取了實(shí)時(shí)監(jiān)控探測(cè)器狀態(tài)的方式［20］，成功抵御了簡(jiǎn)單的探測(cè)致盲攻擊和時(shí)移攻擊。

上述工作分別從不同層面上解決了探測(cè)端的安全性問(wèn)題，相信在不遠(yuǎn)的將來(lái)，探測(cè)端的主要安全漏洞都將得以完滿解決。

3 結(jié)語(yǔ)

研究實(shí)際QKD系統(tǒng)安全性，是QKD最終走向?qū)嵱没谋亟?jīng)之路?？偨Y(jié)了現(xiàn)有QKD系統(tǒng)光源和探測(cè)端的安全漏洞及其抵御措施。另外一種實(shí)際安全漏洞是邊信道信息泄露，限于篇幅這里不詳述，感興趣的讀者可參考［4，5］。盡管實(shí)際QKD系統(tǒng)由于實(shí)際器件的非理想特性會(huì)存在一些安全隱患，但在各國(guó)專(zhuān)家的大力研究下，目前這些安全隱患都有了解決對(duì)策。剩下的問(wèn)題是如何將上述理論和實(shí)驗(yàn)的抵御措施融合到QKD系統(tǒng)中。另外，QKD領(lǐng)域還有一些尚待解決的重要問(wèn)題:QKD網(wǎng)絡(luò)問(wèn)題及其與傳統(tǒng)光纖通信網(wǎng)絡(luò)的融合;地面至低軌衛(wèi)星的QKD實(shí)驗(yàn);QKD各個(gè)部件的標(biāo)準(zhǔn)化等等。

最后引用挪威科技大學(xué)Makarov的一句話:“In our view，quantum hacking is an indication of the mature state of QKD rather than its insecurity?！逼浯笠馐茄芯酷槍?duì)實(shí)際系統(tǒng)非理想特性的量子黑客攻擊，并不能說(shuō)明QKD是不安全的，恰好相反這說(shuō)明了QKD領(lǐng)域正在走向成熟。

［1］SCARANI V，BECHMANN-PASQUINUCCI H，CERF N J，et al.The Security of Practical Quantum Key Distribution［J］.Rev.Mod.Phys.2009，81(3):1 301-1 350.

［2］SHOR P W，PRESKILL J.Simple Proof of Security of the BB84 Quantum Key Distribution Protocol［J］.Phys.Rev.Lett.2000，85(2):441-445.

［3］GOTTESMAN D，LO H K，LUTKENHAUS N，et al.Security of Quantum Key Distribution With Imperfect Devices［J］.Quantum Inf.Comput.2004，4(5):325-360.

［4］LO H K，ZHAO Y.Quantum cryptography［J］.Encyclopedia of Complexity and Systems Science(Springer New York)，2009，8:7 265-7 285.

［5］LYDERSEN L.Practical Security of Quantum Cryptography［D］.PHD Thesis，NTNU，2011.

［6］ZHAO Y，QI B，LO H K.Quantum Key Distribution with an Unknown and Untrusted Source［J］.Phys.Rev.A，2008，77(5):052 327.

［7］PENG X，JIANG H，XU B J，et al.Experimental Quantum-Key Distribution With an Untrusted Source［J］.Opt.Lett，2008，33(8):2 077-2 079.

［8］PENG X，XU B，GUO H.Passive-Scheme Analysis for Solving the Untrusted Source Problem in Quantum Key Distribution［J］.Phys.Rev.A，2010，81(4):042 320.

［9］XU B，PENG X，GUO H.Passive Scheme With A Photon-Number-Resolving Detector For Monitoring The Untrusted Source In A Plug-And-Play Quantum-Key-Distribution System［J］.Phys.Rev.A，2010，82(4):042 301.

［10］FUNG C-H F，QI B，TAMAKI K，et al.Phase-Remapping Attack in Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2007，75(3):032 314.

［11］XU F H，QI B，LO H.K.Experimental Demonstration of Phase-remapping Attack in a Practical Quantum Key Distribution System［J］.New Journal of Physics，2010，12(11):113 026.

［12］GISIN N，F(xiàn)ASEL S，KRAUS B，et al.Trojan-Horse Attacks Onquantum-Key-Distribution Systems［J］.Phys.Rev.A，2006，73(2):022 320.

［13］QI B，F(xiàn)UNG C H F，LO H K，et al.Time-Shift Attack in Practical Quantum Cryptosystems［J］.Quantum Inf.Comput.2007(7):73-82.

［14］ZHAO Y，F(xiàn)UNG C H F，QI B，et al.Quantum Hacking:Experimental Demonstration of Time-Shift Attack Against Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2008，78(4):042 333.

［15］MAKAROV V，ANISIMOV A，SKAAR J.Effects of Detector Efficiency Mismatch on Security of Quantum Cryptosystems［J］.Phys.Rev.A，2006，74(2):022 313.

［16］LYDERSEN L，WIECHERS C，WITTMANN C，et al.Hacking Commercial Quantum Cryptography Systems by Tailored Bright Illumination［J］.Nature Photonics，2010(4):686-689.

［17］GERHARDT I，LIU Q，LAMAS-LINARES A，et al.Fullfield Implementation of a Perfect Eavesdropper on a Quantum Cryptography System［J］.Nat.Comm.2011:2 349.

［18］YUAN Z L，DYNES J F，SHIELDS A J.Resilience of Gated Avalanche Photodiodes Against Bright Illumination Attacks in Quantum Cryptography［J］.Appl.Phys.Lett.2011，98(23):231 104.

［19］LO H K，CURTY M，QI B.Measurement-Device-Independent Quantum Key Distribution［J］.Phys.Rev.Lett.2012，108(13):130 503.

［20］SILVA T DA，et al.Real-Time Monitoring of Single-Photon Detectors Against Eavesdropping in Quantum Key Distribution Systems［DB］.arXiv:1208.0532(2012).