廖骎 柳海杰 王錚 朱凌瑾

1) (湖南大學(xué)信息科學(xué)與工程學(xué)院,長沙 410082)

2) (湖南省計量檢測研究院,長沙 410014)

在實際的量子通信系統(tǒng)中,連續(xù)變量量子密鑰分發(fā)的信源安全可能會因為器件的缺陷或隱藏的攻擊而受到威脅.針對這個問題,本文提出了基于不可信糾纏源的高斯調(diào)制連續(xù)變量量子密鑰分發(fā)方案,通過將高斯糾纏源置于不可信的量子信道來模擬糾纏源被攻擊者所控制的場景,從而驗證實際復(fù)雜環(huán)境下高斯調(diào)制連續(xù)變量量子密鑰分發(fā)的安全性.本文詳細分析不可信糾纏源對系統(tǒng)安全性的影響并引入了兩種光學(xué)放大器來輔助提升所提方案的實際性能.仿真實驗結(jié)果表明,本文所提方案即使在高斯糾纏源不可信的情況下仍然能夠產(chǎn)生安全的量子密鑰,同時,光學(xué)放大器也能夠有效提升接收端探測器的量子效率.該工作旨在推動高斯調(diào)制連續(xù)變量量子密鑰分發(fā)系統(tǒng)的實用化進程,為高斯調(diào)制連續(xù)變量量子密鑰分發(fā)系統(tǒng)的實際部署和應(yīng)用提供理論指導(dǎo).

1 引言

量子通信具有由量子力學(xué)原理保證的理論無條件安全性,是量子信息領(lǐng)域的研究方向之一.其中,基于連續(xù)變量的量子通信技術(shù)憑借量子態(tài)易于制備、系統(tǒng)部署成本較低、兼容現(xiàn)代通信系統(tǒng)、信道容量高等優(yōu)勢成為研究的熱點前沿[1].連續(xù)變量量子通信包括連續(xù)變量量子密鑰分發(fā)協(xié)議[2,3]、連續(xù)變量量子會話協(xié)議[1,4]、連續(xù)變量量子密鑰共享協(xié)議[5,6]、連續(xù)變量量子確定性密鑰分發(fā)協(xié)議[7,8]等,其中發(fā)展較快的是連續(xù)變量量子密鑰分發(fā)協(xié)議.量子密鑰分發(fā)(quantum key distribution,QKD)允許兩個合法的通信雙方在不安全的量子信道上進行點對點的保密通信.根據(jù)物理學(xué)中本征態(tài)具有的連續(xù)譜和離散譜兩種不同的特征,QKD 主要可以分為離散變量(discrete-variable,DV) QKD 和連續(xù)變量(continuous-variable,CV)QKD 兩大類.在CVQKD 中,發(fā)送方(Alice)通常在光場的正則分量上采用高斯調(diào)制編碼密鑰信息;接收方(Bob)則采用相干探測技術(shù)來恢復(fù)密鑰[9].CVQKD 繼承了連續(xù)變量技術(shù)的優(yōu)勢,使其得到了領(lǐng)域內(nèi)研究者的廣泛關(guān)注[10].

目前,高斯調(diào)制(Gaussian-modulated,GM)CVQKD[11-13]協(xié)議具有比較完備的安全性分析方法且其理論無條件安全性已經(jīng)得到了充分證明[14,15].然而,由于實際器件的不完美性,攻擊者可以利用這些不完美器件發(fā)起針對于GMCVQKD 實際系統(tǒng)的各種攻擊,嚴重阻礙了GMCVQKD 的部署和應(yīng)用進程.已提出的針對于系統(tǒng)實際安全性發(fā)起的攻擊主要有: 校準攻擊[16]、本振光抖動攻擊[17]、飽和攻擊[18]、波長攻擊[19,20]以及致盲攻擊[21]等等.對于這些攻擊手段,目前的防御策略主要是采取主動監(jiān)控或增加光學(xué)器件來過濾攻擊.除此之外,許多研究者通過將機器學(xué)習(xí)理論和技術(shù)引入GMCVQKD系統(tǒng)達到實時檢測和防御實際攻擊的目的[22,23].這些方法的確為GMCVQKD 系統(tǒng)的實際安全性提供了有力保障.然而,在防范系統(tǒng)漏洞的同時,一個重要的實際安全問題往往被忽略,那就是信號源的安全性.眾所周知,GMCVQKD 的理論安全性證明的基本假設(shè)之一就是信號源必須完全可信,即信號源無法被攻擊.但是,在實際的網(wǎng)絡(luò)環(huán)境中,這個假設(shè)是不現(xiàn)實的,就算信號源被掌握在可信的發(fā)送方手中,也可能因為工作人員被策反等原因造成信號源被竊聽者所控制.為了解決這個問題,Weedbrook[24]證明了糾纏源置于不可信量子信道中間這一特殊情形下CVQKD 的理論漸近安全性.Liao 等[23,25]在上述理論安全性證明的基礎(chǔ)上,提出了基于不可信糾纏源的離散調(diào)制的連續(xù)變量量子密鑰分發(fā)方案并驗證了大氣信道下不可信糾纏源的連續(xù)變量量子密鑰分發(fā)方案的可行性.相比之下,目前對GMCVQKD 的信源安全性的研究尚不充分,但是,驗證量子保密通信系統(tǒng)中高斯調(diào)制的糾纏源有可能被攻擊的實際安全問題具有非常重要的意義,有助于推進GMCVQKD 系統(tǒng)的實際部署和應(yīng)用.另外,在CVQKD 系統(tǒng)中,接收方(Bob)的探測器不可避免地存在一些固有缺陷,無法達到理想的探測效率[26-28],導(dǎo)致CVQKD 系統(tǒng)實際性能的下降.因此,如何補償由探測器缺陷造成的性能損耗,也是提高CVQKD 系統(tǒng)的實際性能重要方法.

基于以上分析,本文提出基于不可信糾纏源的GMCVQKD 方案,并在此基礎(chǔ)上,通過部署光學(xué)放大器來補償相干探測器的不完美缺陷,提升系統(tǒng)的性能.具體地,通過將高斯糾纏源移出發(fā)送端并置于不可信的量子信道上來分析其安全性,并在接收端的入口處部署相位敏感放大器(phasesensitive amplifier,PSA)對零差探測器進行補償和相位不敏感放大器(phase-insensitive amplifier,PIA)對外差探測器的進行補償.仿真結(jié)果表明: 在適當(dāng)?shù)木嚯x下,即使信源置于不安全的信道中,通信雙方仍然能產(chǎn)生安全密鑰;并且,在部署兩種放大器后,接收端探測器的量子效率有了大幅的提升.本文提出的方案為在實際環(huán)境中部署GMCVQKD的提供了理論指導(dǎo),有助于推動GMCVQKD 系統(tǒng)的實用化進程.

本文首先詳述了提出的基于不可信糾纏源的GMCVQKD 方案和安全性分析,并對方案的性能進行了詳細分析,最后介紹了使用放大器對探測器的補償效果.

2 基于不可信糾纏源的GMCVQKD

2.1 方案描述

圖1 展示了基于不可信糾纏源的GMCVQKD的方案圖.與圖2 的糾纏源可信的GMCVQKD 方案[26]相比,本文的方案通過將糾纏源移出發(fā)送端Alice 的安全范圍并將其置于不可信的量子信道來驗證GMCVQKD 系統(tǒng)的實際安全性.在此基礎(chǔ)上,攻擊者Eve 可以制備或控制糾纏源并發(fā)動攻擊.因此,Eve 可以將Alice 和Bob 的量子信道替換成自己的量子信道并進行竊聽[25].為了模擬信道損耗,Eve 使用了兩個透射率分別為T1和T2的分束器,如圖1 所示.顯然,當(dāng)T1=1 時,方案等價于糾纏源可信的GMCVQKD方案,而當(dāng)T1=T2時,表示糾纏源位于信道正中間,此時Eve 針對通信雙方的攻擊是對稱的,因此,信道的總透射率表示為T=T1T2.具體的方案步驟如下:

圖1 基于不可信糾纏源的GMCVQKD 的方案圖Fig.1.Scheme diagram of the GMCVQKD based on untrusted entanglement source.

圖2 糾纏源可信的GMCVQKD 的方案圖Fig.2.Scheme diagram of the GMCVQKD with trusted entanglement source.

1) 首先假設(shè)糾纏源是高斯的,并將糾纏源移出Alice 端,移至不可信的量子信道中.

2) 不可信信道內(nèi)的糾纏源生成EPR 對,分別具有A和B0兩個模式,將其分別發(fā)送給Alice 和Bob.

3) 假設(shè)Eve 對信道兩端的通信雙方Alice 和Bob 發(fā)起糾纏克隆攻擊[29],該攻擊在正向協(xié)商和反向協(xié)商下的最強攻擊能力已經(jīng)被證明[30-31].

4) Eve 制備方差為Wi(i=1,2) 的輔助態(tài)|Ei〉并準備透射率為Ti(i=1,2) 的分束器,將信道替換成自己的攻擊信道.其中攻擊信道的透射率為Ti,過噪聲與輸入ε有關(guān).

5) Eve 將其輔助態(tài)的其中一個模式|Ei1〉保存在量子存儲器中,輔助態(tài)的另一個模式|Ei2〉被注入各自分束器中未使用的端口,并各自與發(fā)送給Alice 和Bob 的模式在分束器中進行光學(xué)混合.隨后Eve 將其中一個端口的A1模式和B1模式分別發(fā)送給Alice 和Bob.Eve 得到輸出模式|Ei3〉后將其保存到量子存儲器中[24,25].

6) 最后,當(dāng)Alice 和Bob 通過經(jīng)典的通信信道公布相關(guān)信息后,Eve 可以進行準確的測量從而得到有效的信息.

2.2 安全性分析

基于不可信糾纏源的GMCVQKD 方案的漸近安全密鑰率取決于通信雙方Alice 和Bob 的協(xié)方差矩陣γA1B1,可表示為[26]

其中,I2=diag(1,1) 為二維單位矩陣,a=T1V+(1-T1)W1,b=T2V+(1-T2)W2,c=[T1T2(V2-1)]1/2,σz=diag(1,-1) ,Wi=Tiχi/(1-Ti) 是關(guān)于輸入χi=(1-Ti)/Ti+ε的加性噪聲,V表示EPR 糾纏態(tài)的方差.基于上述協(xié)方差矩陣,本文所提方案在集體攻擊下的漸近安全密鑰率為[26]

其中β表示反向協(xié)商效率,IA1B3表示通信雙方Alice 和Bob 之間的香農(nóng)互信息量,χBE表示Bob和Eve 之間的互信息的Holevo 界.

在方案采用零差檢測的情況下,Alice 和Bob之間的互信息量為[26]

其中χtot=χline+χh表示信道輸入端的總噪聲,χline=1/T+ε-1 表示信道輸入端的加性噪聲,χhom=[(1-η)+υel]/η表示零差探測器的噪聲,其中η和υel分別表示Bob 端探測器的量子效率和電噪聲.

χBE界定了Eve 能夠從Bob 端獲取的最大信息量,表示為[26]

其中,G(x)=(x+1)log2(x+1)-xlog2x,

當(dāng)方案采用外差檢測時,Alice 和Bob 之間的互信息量表示為[26]

Bob 和Eve 之 間互信 息的Holevo 界χBE與(4)式相同,其特征值λ1,2也與(5)式相同,而特征值λ3,4表示為[26]

其中外差探測器的噪聲表示為χhet=[1+(1-η)+2υel]/η.最后一個特征值λ5在外差和零差探測的情況下均為1.

2.3 性能分析

本節(jié)討論了基于不可信糾纏源的GMCVQKD方案在漸近安全下的性能.根據(jù)實際的實驗環(huán)境,仿真實驗中的全局參數(shù)設(shè)定如下: EPR 糾纏態(tài)的方差為V=4,信道透射率T=10-αL/10,其中光纖衰減系數(shù)α=0.2 dB/km,L表示信道的長度,探測器的量子效率和電子噪聲分別為η=0.5 和υel=0.01,協(xié)商效率β=0.97,系統(tǒng)的過噪聲ε=0.01[32-34].

圖3 對原始的GMCVQKD 方案和糾纏源不可信的GMCVQKD 方案在安全密鑰率、互信息量和Holevo 界3 個方面進行性能的比較,其中LAlice=0 km 表示原始的GMCVQKD 方案的仿真結(jié)果,LAlice=0.01 km 和LAlice→0.01 km 表示基于糾纏源不可信的GMCVQKD 方案的仿真結(jié)果(其中LAlice=0.01 km 指糾纏源移出Alice 端10 m,而LAlice→0.01 km 表示糾纏源非常趨近于Alice 端,本文取值為1 m).從圖3(a)可以看出,GMCVQKD方案在糾纏源不可信的情況下仍然能得到安全密鑰率.但是,相較于原始的GMCVQKD方案,方案的性能有明顯地下降.特別是,一旦將糾纏源移出Alice 的保護范圍(即使非常接近Alice 方),協(xié)議的最大傳輸距離就會降至150 km以下.為探究造成這一現(xiàn)象的主要原因,圖3(b)比較了兩種方案的互信息量,發(fā)現(xiàn)兩者的互信息量基本一致.由(1)式可知,造成最大傳輸距離下降的主要因素是Bob 與Eve 的Holevo 界.為此,圖3(c)展示了原始的GMCVQKD 方案和糾纏源不可信的GMCVQKD方案的Holevo 界.從圖3(c)可觀察到,與原始的GMCVQKD 方案相比,不可信糾纏源的GMCVQKD 方案的Holevo 界有明顯地增長,這表明不可信的糾纏源增強了Eve 集體攻擊的能力.因此,一旦糾纏源移出Alice 的合法范圍,方案的性能就急劇下降.除此之外,從圖3(c)還可以看出,糾纏源越接近Alice 端,Holevo 界越高.為了進一步探究糾纏源的距離對所提方案的安全密鑰率的影響,圖4 繪制了糾纏源置于不同位置的安全密鑰率.與原方案相比,性能差距雖然明顯,但是隨著糾纏源與Alice 端距離(LAlice)的增大,所提方案的最大傳輸距離也逐漸增大.特別地,在圖4(a)中可以看出所提方案的最大傳輸距離超過了150 km.這是因為Holevo 界隨著距離LAlice的上升在逐漸減小,甚至逐漸接近原始方案的Holevo 界,如圖4(b)所示.此外,在不可信糾纏源的GMCVQKD 中,Wi對系統(tǒng)的性能影響較大,Eve 可以根據(jù)實際的信道噪聲χi對其進行調(diào)制和匹配并通過仔細控制過噪聲的值,使其在可容忍的門限值內(nèi),從而隱藏自己的攻擊.因此,探究Wi對系統(tǒng)性能的影響非常重要,而Wi值的關(guān)鍵因素是過噪聲.為此,圖5 仿真了零差探測下所提方案在不同ε下的安全密鑰率.從圖5 可以觀察到,過噪聲越小,方案的安全傳輸距離越大,隨著過噪聲的增大,方案的安全距離也逐漸減小,尤其是當(dāng)ε為0.02 時,方案的傳輸距離直接下降到100 km以下.上述仿真的實驗結(jié)果均是在零差探測下得到的,除此之外,圖6 還給出了采用外差探測時不可信糾纏源的GMCVQKD 的性能.從圖6 可以看出,當(dāng)系統(tǒng)采用外差探測時,不可信糾纏源的方案和原始方案的安全傳輸距離差距較大,同時,雖然該方案也能產(chǎn)生正向的安全密鑰率,但相較于采用零差探測的情況,方案的最大傳輸距離有明顯地下降.例如,當(dāng)LAlice等于0.05 km 時,采用零差探測的方案的最大傳輸距離超過150 km,而采用外差探測的方案的最大傳輸距離降至150 km.為了解釋這一現(xiàn)象,圖6(b)給出了采用外差探測時不同LAlice的Holevo 界.與零差探測類似,外差檢測的Holevo 界也隨著LAlice的上升而減少,并且逐漸與原始方案的Holevo 界接近.此外,相較于零差探測,外差探測的Holevo 界有著非常明顯的增加.造成這一現(xiàn)象的原因可能是由于外差探測的噪聲比零差探測的大,而這部分噪聲通常被視為攻擊者Eve截獲信息的一部分,從而導(dǎo)致Holevo 界的增加.

圖3 零差探測下不可信糾纏源的GMCVQKD 方案的與原始GMCVQKD 方案的性能對比 (a) 兩種方案的安全密鑰率與傳輸距離的關(guān)系;(b)兩種方案的互信量與傳輸距離的關(guān)系;(c)兩種方案的Holevo 界與傳輸距離的關(guān)系Fig.3.The performance comparison between the GMCVQKD scheme with an untrusted entanglement source and the original GMCVQKD scheme under homodyne detection: (a) The relationship between the security key rate and transmission distance of the two schemes;(b) the relationship between mutual information and transmission distance of the two schemes;(c) the relationship between Holevo bound and transmission distance of two schemes.

圖4 零差探測下基于不可信糾纏源的GMCVQKD 方案在不同糾纏源距離下的性能 (a)所提方案的安全密鑰率與傳輸距離的關(guān)系;(b)所提方案的Holevo 界與傳輸距離的關(guān)系Fig.4.Performance of the GMCVQKD scheme based on an untrusted entanglement source with homodyne detection at different entanglement source distances: (a) Relationship between the security key rate of the proposed scheme and the transmission distance;(b) relationship between the Holevo bound of the proposed scheme and the transmission distance.

圖5 零差探測下基于不可信糾纏源的GMCVQKD 方案在不同過噪聲下的性能Fig.5.The performance of the GMCVQKD scheme based on an untrusted entanglement source under different excess noise.

圖6 外差探測下基于不可信糾纏源的GMCVQKD 方案在不同糾纏源距離下的性能 (a) 所提方案的安全密鑰率與傳輸距離的關(guān)系;(b)所提方案的Holevo 界與傳輸距離的關(guān)系Fig.6.Performance of the GMCVQKD scheme based on an untrusted entanglement source with heterodyne detection at different entanglement source distances: (a) Relationship between the security key rate of the proposed scheme and the transmission distance;(b) relationship between the Holevo bound of the proposed scheme and the transmission distance.

3 光學(xué)放大器的補償效應(yīng)

光學(xué)放大器在量子密鑰分發(fā)中的應(yīng)用已經(jīng)得到了廣泛的研究[35-39],本節(jié)針對基于不可信糾纏源的GMCVQKD 系統(tǒng)中探測器存在的固有缺陷,將PSA 和PIA 兩個放大器應(yīng)用于實際系統(tǒng)中以探究兩種放大器對不理想探測器的補償效應(yīng).本節(jié)主要針對PSA 與零差探測器以及PIA 和外差探測器這兩種組合配置進行分析.其他兩種組合配置在本節(jié)中暫不作討論.

3.1 PSA 與零差探測組合后的性能分析

PSA 是一種簡并光參量放大器,其在理想情況下可以對選定的正交分量進行無噪聲的放大[26].其放大過程描述為:,其中,g≥1 表示放大的增益系數(shù),xs和ps表示信號的兩個正則分量,其模型如圖7 所示.下面針對PSA 與零差探測器的組合配置進行性能分析.

圖7 PSA 的模型Fig.7.Model of PSA.

如前所述,Eve 獲得Bob 的密鑰信息量由(4)式推導(dǎo)得出,然而(4)式的前半部分并不依賴于Bob 端的設(shè)備,因此,最后的結(jié)果取決于(4)式的第2 部分.根據(jù)文獻[26],當(dāng)Bob 使用PSA 來補償零差探測器時,其特征值λ3,4的表達式與(9)式和(10) 式一致,唯一的改變是探測器的加性噪聲.因此,添加PSA 放大器后,χhom修改為[26]

根據(jù)(15)式,圖8 給出了PSA 和零差探測器組合下,不可信糾纏源的GMCVQKD 方案的安全密鑰率的仿真結(jié)果.圖中由藍色線代表沒有放大器作用的情況,紫色線表示系統(tǒng)具有理想的探測器的情況,其他線則描述了插入PSA 后安全密鑰率在不同的放大增益系數(shù)g(分別取3,20)[26]下的仿真結(jié)果.仿真結(jié)果表明,當(dāng)PSA 的增益系數(shù)越大,補償?shù)男?yīng)就越明顯,特別地,當(dāng)增益系數(shù)為20時,其安全密鑰率甚至可以與理想的零差探測器相媲美.此外,圖(8)的插圖中還展示了當(dāng)增益系數(shù)g=1 時(即不添加PSA 放大器),其傳輸距離與添加PSA 放大器后的差距,特別地,兩者的安全傳輸距離差超過了5 km.因此,可以表明,PSA 能夠補償零差探測器的內(nèi)在缺陷,同時,在增益系數(shù)足夠大的情況下,一個理想的PSA 甚至可以完全地補償放大器的內(nèi)在缺陷.從系統(tǒng)的角度來說,PSA 和零差探測的組合可以視為一個理想的探測裝置.

圖8 零差探測與PSA 組合后的安全密鑰率Fig.8.Security key rate for the combination of homodyne detection and PSA.

3.2 PIA 與外差探測組合后的性能分析

外差探測與PIA 組合的性能分析和零差探測與PSA 的組合類似,只需考慮(4)式的后半部分.不過,兩者的不同之處在于,對外差探測與PIA 進行性能分析時,要額外考慮到PIA 的加性噪聲.正如圖9 所示,(4)式的計算中還需要包括模式I 和J.因此,(4)式重寫為[26]

圖9 PIA 的模型Fig.9.Model of PIA.

其中,特征值λ3,4的表達式與(13)式和(14)式的一致,且λ5,6,7=1.同樣地,外差探測器的加性噪聲也發(fā)生了變化,在Bob 添加PIA 放大器后,χhet重寫為[26]

根據(jù)(17)式,圖10 仿真了在PIA 和外差探測器組合下,基于不可信糾纏源的GMCVQKD 方案的安全密鑰率的仿真結(jié)果.圖中深藍色線代表不使用放大器的情況,由淺藍色線代表不使用放大器,且探測器沒有內(nèi)部缺陷的情況,其他線表示插入PIA 后安全密鑰率在不同的放大增益系數(shù)g(分別取3,20)[26]和放大器噪聲N(分別取1,1.5)[26]下的結(jié)果.從圖10 可以看出,當(dāng)PIA 的增益逐漸增大,由外差探測器內(nèi)部缺陷帶來的性能下降問題也逐漸得到了補償,當(dāng)增益系數(shù)g取20 時,其性能甚至可以逼近理想探測器的情況.此外,插圖顯式地展示了不添加PIA 放大器與插入PIA 放大器的性能差距,數(shù)據(jù)表明兩者的安全距離差超過了5 km.另外,在圖10 還可以觀察到放大器的噪聲N對系統(tǒng)的密鑰率也有很大的影響,N值越小,密鑰率越高.從某種意義上來說,PIA 與外差探測器的組合也可以視為一個理想的探測設(shè)備.

圖10 外差探測與PIA 組合后的安全密鑰率Fig.10.Security key rate for the combination of heterodyne detection and PIA.

4 結(jié)論

本文提出了一個基于不可信糾纏源的GMCVQKD 方案,相比于傳統(tǒng)方案,本文提出的方案不再需要光源可信的假設(shè)條件,而是通過將糾纏源移置不可信的量子信道并進行安全性分析,驗證了當(dāng)發(fā)送端不可信或被Eve 控制時GMCVQKD協(xié)議的安全性.實驗結(jié)果表明,即使糾纏源置于不可信的量子信道中,本文方案依然能夠安全地分發(fā)密鑰,從而消除了CVQKD 理論安全性分析中信號源必須可信的假設(shè)條件.因此,本文為GMCVQKD系統(tǒng)在實際復(fù)雜環(huán)境下的部署提供了理論依據(jù),具有更強的實用性,有助于推動GMCVQKD 的實用化發(fā)展.此外,針對檢測器件的不完美缺陷,本文分別通過部署PSA 和PIA 對相干探測器進行了補償,提升了基于不可信糾纏源的GMCVQKD 系統(tǒng)的性能.