劉 欣，韓 宇，李宏欣，王 偉，王 洪，馬 智

(1.解放軍外國語學(xué)院 研究生管理大隊，河南 洛陽 471000；2.信息工程大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，河南 鄭州 450002；3.信息工程大學(xué) 數(shù)學(xué)工程與先進計算國家重點實驗室，河南 鄭州 450002)

0 引 言

針對絕大多數(shù)已知類型的針對探測設(shè)備的攻擊，Thiago Ferreira da Silva等提出了一種基于不規(guī)則的探測策略抵抗針對探測器效率不匹配的攻擊的方案[1]。本文在該模型的基礎(chǔ)上提出了兩點改進措施——模式選擇隨機化和端口符號定義隨機化。在模式選擇隨機化模塊中引入了可以產(chǎn)生無偏置序列的量子隨機數(shù)發(fā)生器，從而使系統(tǒng)能夠動態(tài)適應(yīng)隨機化過程。端口符號定義隨機化則保證了Eve無法通過常見的針對探測器的攻擊方法(時移攻擊、偽態(tài)攻擊等)得知信號最終會在哪個探測器引起響應(yīng)。也就是說，即使Eve在Alice與Bob通過公開信道進行對話時得知了端口對應(yīng)的符號，Eve也無法得知量子比特的相關(guān)信息。模式選擇隨機化和端口符號定義隨機化兩個環(huán)節(jié)使得Alice與Bob可以成功商定探測器響應(yīng)情況和端口符號的對應(yīng)關(guān)系，從而進行安全通信，而Eve無法得知探測器的響應(yīng)情況，因此不能以大于50%的概率判斷出密鑰最后的生成情況，從而能夠避免大多數(shù)針對探測器效率不匹配的攻擊。

1 量子密鑰系統(tǒng)的實際安全性問題

量子密鑰分發(fā)(quantum key distribution，QKD)系統(tǒng)的理論安全性分析通?；趯KD系統(tǒng)內(nèi)部物理器件簡化的模型假設(shè)[2]。在這種假設(shè)下，QKD系統(tǒng)所處的環(huán)境是理想的。然而，在實際應(yīng)用中，由于技術(shù)所限或現(xiàn)實環(huán)境的制約，QKD系統(tǒng)所使用的實際物理器件通常達不到理論上的標(biāo)準(zhǔn)要求[3]。這些物理器件的非完美性往往會導(dǎo)致側(cè)信道信息泄露，甚至系統(tǒng)直接被攻擊者控制[4]，這使得QKD系統(tǒng)的實際安全性受到很大的威脅。在QKD系統(tǒng)的各個部分中，安全隱患最多的是光源和探測器[5]。

量子力學(xué)為QKD系統(tǒng)的理論安全性提供了保證，然而QKD系統(tǒng)的實際安全性卻仍然制約著QKD向著實用化方向的推進。因此，在考慮到硬件不完美的情況下，如何為QKD系統(tǒng)建立更符合實際的安全性評價體系仍然是十分具有現(xiàn)實意義的問題[6]。

QKD協(xié)議可以通過恢復(fù)編碼中的密鑰信息所需的探測技術(shù)進行分類。在離散變量協(xié)議中較為典型的是利用相位極性編碼或弱相干態(tài)脈沖模仿單光子態(tài)進行編碼，因此對應(yīng)著單光子探測技術(shù)。BB84協(xié)議和誘騙態(tài)協(xié)議就是這一范疇的典型應(yīng)用。單光子探測技術(shù)對于離散相位參考協(xié)議而言同樣非常重要，比如連續(xù)單向及區(qū)分相位偏移協(xié)議，其中密鑰信息通過光子到達時間或相鄰弱相干脈沖的相位進行編碼。另一方面，連續(xù)變量QKD協(xié)議信息通常利用量子電磁場進行編碼，此時利用的就是連續(xù)零差探測技術(shù)。這類探測器通常用于經(jīng)典光學(xué)通信中，因此連續(xù)變量方案提供了基于成熟通信應(yīng)用的可能性。所有這些協(xié)議都是針對準(zhǔn)備——發(fā)送場景的。也就是說，Alice發(fā)送編碼脈沖，Bob利用特定的協(xié)議解碼。相反的，在基于糾纏態(tài)的協(xié)議中，通信雙方都要對糾纏態(tài)進行測量[7]。

針對長距離點對點的連接，密鑰分配的實際安全性通常由給定的安全標(biāo)準(zhǔn)界定。安全標(biāo)準(zhǔn)是在相應(yīng)的證明下遇到攻擊時系統(tǒng)密鑰分配的安全性。盡管證明信息論上的安全性可以得到證明，然而在實際應(yīng)用中，對抗所謂的集體攻擊是很重要的一項挑戰(zhàn)。近期的一些應(yīng)用已經(jīng)證明了部分協(xié)議較高的實際安全性[8]，包括誘騙態(tài)BB84[9]、COW[10]及CV-QKD[11]等協(xié)議。這些協(xié)議中，誘騙態(tài)BB84協(xié)議的安全性被推廣到了其它的一些用于抵御連續(xù)攻擊方案中[12]，而且可以減少有效塊規(guī)模和密鑰率的損失[13]。

本文提出了針對原始方案的兩處改進措施，分別是隨機化控制以及端口符號定義的隨機化。

首先，原始方案提出的探測方案旨在通過空間模式隨機化避免竊聽者控制SPD。然而隨機的空間模式并不能直接避免針對探測器效率不匹配的攻擊，配合探測器制亂才能夠避免這一后門。因此，利用隨機數(shù)序列對隨機化的過程加以控制，是該方案可以實施的前提。不僅如此，模式選擇隨機化模塊在系統(tǒng)多個部分都有重要應(yīng)用。例如，Alice 端需要應(yīng)用其對信號態(tài)進行制備，Bob端需要應(yīng)用其對測量基選擇進行控制，最重要的是端口符號定義隨機化必須依靠該模塊才能實現(xiàn)。

其次，原始方案中接收端探測器測響應(yīng)結(jié)果與二進制編碼之間的對應(yīng)關(guān)系是確定不變的。而事實上，在系統(tǒng)中存在攻擊者的情況下，這種對應(yīng)關(guān)系也是被Eve所掌握的。改進方案中，端口符號定義隨機化則保證了Eve無法通過常見的針對探測器的攻擊方法(時移攻擊、偽態(tài)攻擊等)得知信號最終會在哪個探測器引起響應(yīng)。而不知道具體哪個探測器發(fā)生響應(yīng)就這意味著，即使Eve在Alice與Bob通過公開信道進行對話時得知了端口對應(yīng)的符號，Eve也無法得知量子比特的相關(guān)信息。簡言之，模式選擇隨機化和端口符號定義隨機化兩個環(huán)節(jié)使得Alice與Bob可以成功商定探測器響應(yīng)情況和端口符號的對應(yīng)關(guān)系，從而進行安全通信，而Eve無法得知探測器的響應(yīng)情況，因此無法對通信內(nèi)容進行竊聽。

2 基于模式隨機化的探測模型

2.1 空間模式隨機化

針對絕大多數(shù)已知類型的針對探測設(shè)備的攻擊，Thiago Ferreira da Silva等提出了一種可行的解決方案(以下簡稱為T方案)。圖1展示了Bob端基于BB84的QKD系統(tǒng)中所使用的探測設(shè)備(圖1(a)是用于作對比的傳統(tǒng)的BB84測量設(shè)備)。其中，HWP為半波片；PBS為偏振分束器；BS為分光器；A～D為雪崩光電二極管。

圖1 空間模式隨機化裝置

對每一個收到的信號態(tài)，Bob通過調(diào)整半波片來選擇測量基并將信號脈沖發(fā)送至偏振分束器。根據(jù)公式

(1)

PBS輸出的每一個偏振態(tài)都被隨機地分成了兩組，其中角標(biāo)in和out代表BS的兩種輸入及輸出。當(dāng)分光比τ等于0.5時，光子的兩種輸出模式是等可能的。每個輸出的偏振態(tài)都被傳遞給了一個SPD。

在常規(guī)的操作下，當(dāng)Bob選擇的基矢正確時，探測器A或B(C或D)會發(fā)生響應(yīng)。由于Alice發(fā)送的每個光脈沖中平均光子數(shù)很少，且存在信道衰減，A與B或C與D同時發(fā)生計數(shù)的可能性很小。根據(jù)泊松分布(忽略傳輸信道的衰減及Bob端設(shè)備內(nèi)部的損失)，有PAB=PCD=[1-exp(-μητ)]2， 其中η是SPD的探測效率(假設(shè)各探測器的效率是相等的)。如果τ等于0.5，兩個探測器的計數(shù)情況應(yīng)基本是相等的，當(dāng)選擇的測量基不相同時，4個探測器會隨機響應(yīng)，具體情況見表1。

表1 空間模式隨機化測量與常規(guī)測量比較

假設(shè)Eve發(fā)送了一個光強為P0的|H>信號脈沖。在50%的概率下，如果Bob選擇了線偏振基，脈沖會全部從PBS發(fā)送至AB臂上，并且根據(jù)分光比PA/P0=τ，PB/P0=1-τ, 脈沖會被分流至探測器A與B(如圖1(b)所示)。如果選擇的測量基不匹配，那么輸入脈沖會經(jīng)過PBS后隨機以兩個模式之一輸出，且在經(jīng)過BS分光后，以PA/P0=PC/P0=τ,PB/P0=PD/P0=1-τ到達每個探測器。

對于每一個即將接收到的比特，Bob不僅隨機選擇測量基，也對探測器的配對歸屬進行隨機的翻轉(zhuǎn)。這意味著，如果Bob想要使用線偏振基，半波片可以能被旋轉(zhuǎn)0°或45°(如果選擇了圓偏振基，就是22.5°或67.5°)。額外的選擇不會影響Alice與Bob最終得到的比特值的結(jié)果[14]。例如，當(dāng)Alice發(fā)送了一個H-偏振態(tài)，Bob用相匹配的基去推測結(jié)果是確定的，比如“0”，但如果半波片角度為0°，則計數(shù)可能在A’(中的A或B)；或若半波片角度為45°，則在探測器C’(中的C或D)。圓偏振基同理。Alice端的SOP隨機化為空間模式A和C的過程可以寫為

|H〉A(chǔ)lice→cos2θ|1,0〉A(chǔ),C+sin2θ|1,0〉A(chǔ),C
|V〉A(chǔ)lice→sin2θ|1,0〉A(chǔ),C+cos2θ|1,0〉A(chǔ),C

(2)

式中：θ是Bob端半波片的角度。

如圖2所示，基于隨機空間模式的抵抗量子攻擊的計數(shù)方案所需裝置與門后攻擊的設(shè)備相仿[15]。其中，LD為激光二極管；VOA為可變的光衰減器；MC為主時鐘；PF為脈沖調(diào)制器；PC為偏振控制器；PBS為偏振分束器；BS為分光器；A-E為單光子探測器。

圖2 空間模式隨機化整體結(jié)構(gòu)

在攻擊的過程中，Eve截獲Alice發(fā)送的光脈沖，并且根據(jù)測量結(jié)果給Bob發(fā)送偽態(tài)。截獲光子的統(tǒng)計數(shù)據(jù)是根據(jù)測量Alice通過可變衰減器發(fā)送的連續(xù)光脈沖衰減激光二極管光源而得到的。Eve使用工作在蓋革模式下的APD(以E為標(biāo)識)探測光子。

2.2 探測器隨機化模型

如圖3所示，T方案同樣模仿時移攻擊的模式對隨機化模型進行了實驗。其中LD為激光二極管；PF為脈沖調(diào)制器；MC為主時鐘；VOA為可變光衰減器；PC為偏振控制器；HWP為半波片；PBS為偏振分束器；A,C為單光子APD。

圖3 模仿偽態(tài)攻擊下的隨機探測模型

Alice通過可變光衰減器用1-ns寬的弱光脈沖發(fā)送水平或垂直SOP給Bob。Alice的激光二極管光源由主時鐘控制的格式化的脈沖所驅(qū)動。Bob端在自由空間中通過校準(zhǔn)光纖透鏡接收到來的脈沖。光束會經(jīng)過一個增強的半波片和一個增強的偏振分光器。PBS的輸出模式會被球型透鏡收集并傳遞給兩個隨機的SPD，設(shè)置與前面的實驗相同。此處僅用兩個探測器對隨機化策略進行說明。HWP可以被設(shè)置為0°或45°，每一個時鐘都需要兩個隨機數(shù)用來完成隨機化策略。

假設(shè)這種選擇是完全隨機的，Eve不能推測Bob端的哪一個探測器會發(fā)生響應(yīng)，因此最后的空間模式是Eve無法掌握的。在時移攻擊的環(huán)境下，如果Eve等待基的協(xié)商并知道Alice與Bob是一致的，它也無法通過時延的方法推測Bob選擇的是哪一組基或探測器，哪怕探測器的效率曲線完全不相符。這種計數(shù)方法等價于主動地對空間模式進行隨機化并且大幅度的減少了Alice—Eve與Bob—Eve之間的共同信息。當(dāng)Bob與Alice的基相符時，邏輯上的結(jié)果是確定的，但是給出結(jié)果的探測器是隨機的。

3 改進的空間模式隨機化QKD系統(tǒng)

3.1 改進系統(tǒng)的基本模型

如圖4所示，改進的基于端口符號定義隨機化的探測系統(tǒng)模型與T方案中所描述的空間模式隨機化系統(tǒng)模型類似。其中，LD為激光二極管；VOA為可變的光衰減器；MC為主時鐘；PF為脈沖調(diào)制器；PC為偏振控制器；PBS為偏振分束器；BS為分光器；SPD為單光子探測器。A～E為單光子探測器。

圖4 改進的隨機探測系統(tǒng)

實驗中，Alice端通過1550 nm的發(fā)光二極管發(fā)送1 GHz 的脈沖，通過光學(xué)調(diào)制器發(fā)送，該部分由分光器、相位調(diào)制器及偏振分束器組成。光衰減器用于將脈沖強度調(diào)節(jié)到需要的強度。線性強度測量儀可以用于檢測光纖中的光強并可以實時適應(yīng)光衰減器使光強保持穩(wěn)定。通過不同長度的光纖纏繞，光束通過偏振控制器和第二個干涉儀的時間可以得到控制。

系統(tǒng)在1550 nm信號波長段進行操作。在Alice端，編碼通過相位調(diào)至器將H基調(diào)至(0,π)相應(yīng)的角度，V基調(diào)至(π/2,3π/2)相應(yīng)的角度，Bob端使用(0,π)解調(diào)器解碼,通信雙方通過離散偏移光纖相互連接，離散系數(shù)為4ps/(km·nm)。單光子由門限雪崩光電二極管自區(qū)分模式進行探測，雪崩光電二極管通過熱電方式降溫至-30℃，此時探測效率可達20.5%，暗計數(shù)概率為每門2.1×10-5，后脈沖概率為5.25%。

改進的模型與傳統(tǒng)BB84協(xié)議流程基本一致，不同的是探測器端口符號并不需要事先確定。具體過程如下：

(1)Alice端利用模式選擇隨機化模塊隨機選擇4種偏振態(tài)對光子進行調(diào)制。

(2)Alice通過量子信道將光子發(fā)送給Bob端。

(3)Bob端利用模式選擇隨機化模塊隨機選擇測量基對收到的光子進行測量。

(4)Alice與Bob在經(jīng)典信道上對選擇的基矢進行比對，與此同時，Alice利用模式隨機化模塊隨機選定每個光子對應(yīng)的探測器端口符號并告知Bob。

(5)雙方進行密鑰篩選，計算誤碼率，判斷通信過程是否安全。

(6)若誤碼率超過安全閥值，則終止通信。

(7)否則，進行糾錯、隱私放大，最終獲得安全密鑰。

本文所提出的改進的隨機探測系統(tǒng)中，模式選擇隨機化模塊可以為3個關(guān)鍵位置提供隨機化控制。對于Alice端的裝置來說，4種偏振態(tài)中的哪一種作為信號態(tài)應(yīng)該是一個完全隨機的選擇。相應(yīng)的，Bob端對兩組基的選擇以及HWP具體調(diào)制角度的選擇也應(yīng)該做到完全隨機化。本文的最大改進之處在于考慮到了如果敵手有能力在隨機選擇的過程中加以控制，則T方案的安全性難以得到保障，而利用模式選擇隨機化模塊對Bob端探測器響應(yīng)端口符號定義的隨機化控制，可以有效提高系統(tǒng)的安全性。

在傳統(tǒng)的BB84協(xié)議中，通信雙方會首先約定好光子的偏振態(tài)與二進制編碼的對應(yīng)關(guān)系。而本文提出的改進方案中探測器響應(yīng)端口符號定義的隨機化則使得信號態(tài)被測量的時候偏振態(tài)與二進制編碼的對應(yīng)關(guān)系是未知的，在通信雙方公布基矢選擇情況時這種對應(yīng)關(guān)系才由Alice端通過經(jīng)典信道告知Bob端。因此本文提出的改進的探測模式隨機化模型也可以視為一種BB84協(xié)議的理論改進方案。

3.2 模式選擇隨機化的實現(xiàn)

本文提出模式選擇隨機化模塊主要基于以下兩點考慮。

首先，就Alice對光子進行偏振編碼的過程而言，BB84協(xié)議包含了對偏振模式選擇隨機化的要求。同樣，Bob端對測量基的選擇也應(yīng)該是隨機的。本文中提出的端口符號定義的隨機化也需要通過模式選擇隨機模塊來實現(xiàn)。其次，空間模式隨機化的有效性完全建立在偏振控制器(半波片)狀態(tài)隨機化操作上。在每個時鐘內(nèi)，都需要有隨機數(shù)對隨機化過程進行控制。

為解決上述問題，我們首先在系統(tǒng)中引入量子隨機數(shù)發(fā)生器，從而達到減少人工干預(yù)，使系統(tǒng)動態(tài)的適應(yīng)隨機化過程的目的。

圖5 模式選擇隨機化

如表2所示，按照迭代過程進行計算，可得到偏置比的變化情況。

表2 迭代次數(shù)與偏置比情況

實際上，根據(jù)探測器效率曲線可知[17]，兩個探測器之間總的效率不匹配程度最大可以達到ε=0.85左右。因此，當(dāng)?shù)螖?shù)n=12時，序列的偏置比已經(jīng)達到了1.00000099064716∶1，這個探測效率之比已經(jīng)足夠防止大多數(shù)針對探測器效率不匹配的攻擊。

設(shè)12次迭代后所產(chǎn)生的序列為M={m1,m2,…}， 不妨取序列中的前兩位作為控制位。則偏振控制器(半波片)的模式選擇可以按照表3進行定義。Alice端偏振態(tài)的選擇與這一過程類似，此處不再贅述。

表3 模式選擇對應(yīng)關(guān)系

3.3 端口符號定義隨機化系統(tǒng)模型

本文提出的改進模型較之T方案提出的方案最大改進點就在于端口符號定義的隨機化。在傳統(tǒng)的BB84協(xié)議流程中，接收端探測器測響應(yīng)結(jié)果與二進制編碼之間的對應(yīng)關(guān)系是確定不變的。而事實上，在系統(tǒng)中存在攻擊者的情況下，這種對應(yīng)關(guān)系也是被Eve所掌握的。

然而，如果接收端探測器測響應(yīng)結(jié)果與二進制編碼之間的對應(yīng)關(guān)系是動態(tài)變化而不是靜態(tài)確定的，Eve獲得最后生成密鑰信息的難度就增加了很多。按照這個想法，本文提出了端口符號定義隨機化的模型。與一般基于BB84協(xié)議的流程不同的是，Alice與Bob不需要事先約定偏振態(tài)與二進制編碼的對應(yīng)關(guān)系，而是在通過經(jīng)典信道進行基矢對比的時候，Alice向Bob告知每個光子探測時4個探測器對應(yīng)的符號。

端口符號定義隨機化的過程可以描述如下

(3)

Alice端利用模式選擇隨機化模塊隨機選擇4種偏振態(tài)對光子進行調(diào)制，并通過量子信道將光子發(fā)送給Bob端。Bob端利用模式選擇隨機化模塊隨機選擇測量基對收到的光子進行測量。Alice與Bob在經(jīng)典信道上對選擇的基矢進行比對，與此同時，Alice利用模式隨機化模塊隨機選定每個光子對應(yīng)的探測器端口符號。由于模式選擇隨機化策略使得光子進入AB臂與CD臂的概率是相等的，端口符號定義的隨機化會在每個光子進入探測系統(tǒng)的時候，利用模式選擇隨機化模塊將每個端口隨機的定義為“1”或“0”。然后，Alice通過經(jīng)典信道向Bob告知每個光子探測時4個探測器對應(yīng)的符號。雙方進行基矢比對，篩選密鑰，計算誤碼率，判斷通信過程是否安全。若誤碼率超過安全閥值，則終止通信。否則，進行糾錯、隱私放大，最終獲得安全密鑰。

4 改進方案的安全性分析

4.1 改進方案的優(yōu)勢

本文提出了針對T方案的兩處改進措施，分別是隨機化控制以及端口符號定義的隨機化。

首先，T方案提出的探測方案旨在通過空間模式隨機化避免竊聽者控制SPD。然而隨機的空間模式并不能直接避免針對探測器效率不匹配的攻擊(但會增加Eve策略的復(fù)雜性)，配合探測器制亂才能夠避免這一后門。因此，利用隨機數(shù)序列對隨機化的過程加以控制，是該方案可以實施的前提。不僅如此，模式選擇隨機化模塊在系統(tǒng)多個部分都有重要應(yīng)用。例如，Alice端需要應(yīng)用其對信號態(tài)進行制備，Bob端需要應(yīng)用其對測量基選擇進行控制，最重要的是端口符號定義隨機化必須依靠該模塊才能實現(xiàn)。

其次，如圖6所示，T方案模型里在Bob端空間模式隨機化的結(jié)構(gòu)中，信號態(tài)經(jīng)過PBS后，會根據(jù)HWP的角度不同而進入不同的路徑。在系統(tǒng)中無攻擊者的情況下，不妨以Alice發(fā)送了|H>為例，設(shè)Bob選擇將HWP調(diào)整為0°，則根據(jù)表1中的定義，一旦Alice與Bob選擇的基矢相符，此次測量結(jié)果就一定為“0”。這意味著，當(dāng)系統(tǒng)中存在攻擊者時，一旦Eve可以通過一定的手段得知Alice發(fā)送的偏振態(tài)具體是什么，則Alice和Bob公布基矢后，Eve就一定能夠得到該偏振態(tài)對應(yīng)的量子比特。

圖6 Bob端空間模式隨機化

而根據(jù)本文提出的端口符號定義隨機化的方案，即使Eve可以知道Alice發(fā)送的偏振態(tài)是什么，Eve也無法得知最后生成的原始密鑰的相關(guān)信息。這是因為，端口符號定義的隨機化會在每個光子進入探測系統(tǒng)的時候，利用模式選擇隨機化模塊將每個端口隨機的定義為“1”或“0”，只有準(zhǔn)確知道是哪個探測器發(fā)生了響應(yīng)，才能知道對應(yīng)的量子比特到底是什么。需要注意的是，模式選擇隨機化策略使得光子進入AB臂與CD臂的概率是相等的，這是實現(xiàn)端口符號定義隨機化的前提。模式選擇隨機化和端口符號定義隨機化兩個環(huán)節(jié)保證了Eve無法通過常見的針對探測器的攻擊方法(時移攻擊、偽態(tài)攻擊等)得知信號最終會在哪個探測器引起響應(yīng)。而不知道具體哪個探測器發(fā)生響應(yīng)就這意味著，即使Eve在Alice與Bob通過公開信道進行對話時得知了端口對應(yīng)的符號，Eve也無法得知量子比特的相關(guān)信息。簡言之，模式選擇隨機化和端口符號定義隨機化兩個環(huán)節(jié)使得Alice與Bob可以成功商定探測器響應(yīng)情況和端口符號的對應(yīng)關(guān)系，從而進行安全通信，而Eve無法得知探測器的響應(yīng)情況，因此無法對通信內(nèi)容進行竊聽。

4.2 安全性的有效提高

在T方案的方案中，BS的不對稱性并不是問題的關(guān)鍵，而是Eve可能導(dǎo)致的對稱性的改變。如果Eve可以決定性的控制τ的值，QKD系統(tǒng)的安全性將完全無法保證。例如，假設(shè)Eve可以設(shè)置τ(λ1)=0.7且τ(λ2)=0.3， 且脈沖的門限值等于Bob端輸入脈沖的一半。這樣Eve可以通過在λ1處(只可能在SPDA引發(fā)計數(shù))或在λ2處(只可能在SPDB引發(fā)計數(shù))發(fā)送同等數(shù)量的脈沖，模仿探測器A與B可能發(fā)生的情況。而本文提出的端口符號定義隨機化則可以保證即使Eve能夠人為的控制τ的值，也無法以大于50%的概率判斷出密鑰最后的生成情況。

假設(shè)在T方案的策略中，Eve不能人為的控制BS的分光比，那么Eve必須解決的問題就是如何彌補由攻擊行為導(dǎo)致的探測器計數(shù)比不對稱的現(xiàn)象。

若Eve截斷Alice的脈沖，對脈沖的一部分γ(0≤γ≤1) 施以強光攻擊，并使用“常規(guī)的”截獲—重發(fā)策略處理脈沖的剩余1-γ部分?？紤]到強光攻擊會引起兩個探測器同時響應(yīng)，再次以Alice發(fā)送|H>的情況為例。如圖7所示，在一個樹狀結(jié)構(gòu)中畫出所有的可能性，可以得到Eve和Bob獨立選擇的測量基的結(jié)果,以及Eve最后能獲得的二進制編碼信息。其中，ri為出口i的有效探測率。

圖7 測量基選擇及比特信息樹狀圖

可見，對于每一個篩選過的項，Alice和Bob選擇的測量基相同時，強光攻擊不會引進錯誤，但是會引起探測器A和探測器B完全不對稱；而截獲—重發(fā)攻擊會引起錯誤(至多25%)，但不會導(dǎo)致探測器計數(shù)上的不平衡。當(dāng)Eve和Bob選擇的測量基不同時(50%的概率)，強光攻擊同樣會降低總的探測率。在這種情況下，由Eve引起的篩選錯誤可由公式E=1/4(1-γ)/(1-γ/2) 給出，其中，若只實施強光攻擊(γ=1)，這個值的下界可以降低到0；如果只實施截獲—重發(fā)攻擊(γ=0)，這個值的上界為0.25。

此時，端口符號“0”與“1”的計數(shù)比r就等于探測器A和探測器B之間的探測比，則有

r=(1-γ)/(1+γ/3)

(4)

這意味著僅使用強光攻擊會導(dǎo)致探測器之間計數(shù)完全不對稱，而僅使用截獲—重發(fā)攻擊根本不會導(dǎo)致任何的不對稱性。

另一種方案是考慮到Eve截獲Alice的脈沖并且僅對脈沖的γ部分實施強光攻擊，而使剩下的1-γ直接傳遞給Bob，此時信號態(tài)到達的時刻應(yīng)在探測效率不匹配達到峰值處，但令信號態(tài)在A更高效的時刻或B更高效的時刻到達的選擇則是隨機的[18]。這類策略最大的優(yōu)點是無論γ的值是什么，Eve都不會引進任何的篩選錯誤。另一方面，探測比之間的比例仍然如等式(4)描述的一樣，因此對于Eve來說，這個策略更可取。

這種情況下，此時，Eve掌握的原始密鑰的信息由下式給出[19]

I(B∶E)=1-h(r/r+1)

(5)

式中：h(x)=-xlog2(x)-(1-x)log2(1-x) 為香農(nóng)互信息熵。

而在本文提出的方案中，Eve最終獲得比特信息的情況如圖8所示。

圖8 改進后Eve獲得比特信息

值得注意的是，此時對于Eve來說，她所獲得的關(guān)于原始密鑰的信息熵有所減少。本文所提出的方案較之T方案最大的改進之處也在于此。

在T方案描述的系統(tǒng)中，設(shè)Alice發(fā)送了|H>，則4個探測器中一定有一個會對其進行響應(yīng)，不妨設(shè)為探測器A。按照表1的對應(yīng)關(guān)系，此時產(chǎn)生計數(shù)的符號一定為“0”。而經(jīng)過端口符號定義隨機化后計數(shù)符號可能發(fā)生的改變?nèi)鐖D9所示。

圖9 端口符號定義隨機切換結(jié)果

此時，對于Eve來說，事件“探測器A的計數(shù)符號為‘0’”是必然事件，因此不包含任何信息熵；同樣，事件“探測器A的計數(shù)符號為‘1’”是不可能事件，也不包含任何信息熵。符號隨機切換后真正導(dǎo)致Eve所獲得的信息減少的隨機事件為“探測器A的計數(shù)符號由‘0’變?yōu)椤?’”,而這一事件發(fā)生的概率為0.25。因此,Eve此時能獲得的信息量變?yōu)?/p>

I′(B∶E)=1-h(9r/8(r+1))

(6)

根據(jù)γ的不同的取值，改進前后Eve可獲得的信息量對比情況如圖10所示。

圖10 Eve獲得信息量對比

本文提出的改進方案與原方案相比，Eve能獲得信息的減少量為

(7)

根據(jù)γ的不同取值，ΔI(B∶E)的變化情況如圖11所示。

圖11 Eve獲得信息的減少量

改進前后Eve獲得信息及其變化量的具體數(shù)值見表4。

分析可知，當(dāng)γ≥0.1時；改進方案中Eve獲得的信息量始終少于T方案；當(dāng)γ=0.7左右時，改進方案與T方案相比Eve所獲得信息的減少量達到最大。

表4 改進前后Eve獲得信息量的情況

5 結(jié)束語

首先，本文簡要介紹了量子密鑰分發(fā)系統(tǒng)的實際安全性問題，指出了由于技術(shù)所限或環(huán)境制約所導(dǎo)致的QKD系統(tǒng)中存在的部分安全隱患，并且總結(jié)了QKD系統(tǒng)的發(fā)展現(xiàn)狀；對BB84協(xié)議的整體流程進行了描述，對協(xié)議的安全性做出了分析，并且對幾種較為常見的針對QKD系統(tǒng)的攻擊作了簡要敘述。

其次，本文較為詳細的介紹了T方案基于模式隨機化的探測模型，并且在該模型的基礎(chǔ)上提出了兩點改進——模式選擇隨機化、端口符號定義隨機化。其中，模式選擇隨機化模塊可以實現(xiàn)高效、安全的隨機化控制，在系統(tǒng)中有多處應(yīng)用。端口符號定義隨機化的過程則可以避免大多數(shù)針對探測器效率不匹配的攻擊。通過數(shù)據(jù)分析可見，本文提出的方案較之T方案大幅度減少了竊聽者能獲得的關(guān)于密鑰生成情況的信息量，在一定程度上提高了系統(tǒng)整體的安全性。

最后，量子密鑰分發(fā)系統(tǒng)的實際安全性還有很多方面值得深入研究。盡管從理論上來說，量子力學(xué)的基本原理保證了QKD系統(tǒng)的安全性。然而，現(xiàn)階段很多的技術(shù)還停留在實驗階段無法推廣，QKD系統(tǒng)中的很多設(shè)備都對環(huán)境極端敏感，相關(guān)實驗操作復(fù)雜，代價巨大。因此，距離QKD系統(tǒng)真正在日常生活中的推廣應(yīng)用還有很長的路要走。但我們更期待隨著科學(xué)技術(shù)的發(fā)展和科研水平的提高，量子密碼的相關(guān)研究會有飛躍性的突破。

參考文獻：

[1]Ferreira da Silva T,do Amaral GC,Xavier GB,et al.Safeguarding quantum key distribution through detection randomization[C]//Proceeding of the IEEE International Conference on Computers,System and Signal Processing.New York:IEEE,2014:159-167.

[2]Hiroki Takesue,Toshihiko Sasaki,Kiyoshi Tamaki,et al.Experimental quantum key distribution without monitoring signal disturbance[J].Nature Photonics 9,2015,10(38):827-831.

[3]Hu Jianyong,Yu Bo,Jing Mingyong,et al.Experimental quantum secure direct communication with single photons[J].Science & Applications,2016,5(16):144-149.

[4]Harry Buhrman,Matthias Christandl,Christopher Perry,et al.Clean quantum and classical communication protocols[J].Physical Review Letters,2016,23(2):755-769.

[5]Fu Yao,Yin Hualei,Chen Tengyun.Long distance measurement device independent multiparty quantum communication[J].Physical Review Letters,2015,114(9):123-129.

[6]Xu Feihu.Measurement-device-independent quantum commu-nication with an untrusted source[J].Physical Review A,2015,92(1):223-231.

[7]Eleni Diamanti,Anthony Leverrier.Distributing secret keys with quantum continuous variables:Principle,security and implementations[J].Entropy,2015,17(9):6072-6092.

[8]Dynes JF,Kindness SJ,Tam SWB,et al.Quantum key distribution over multicore fiber[J].Optics Express,2016,24(8):8081-8087.

[9]Lucamarini M,Patel KA,Dynes JF,et al.Efficient decoy-state quantum key distribution with quantified security[J].Optics Express,2016,21(21):24550-24565.

[10]Boris Korzh,Charles Ci Wen Lim,Raphael Houlmann,et al.Provably secure and practical quantum key distribution over 307 km of optical fibre[J].Nature Photonics,2015,9(10):163-168.

[11]Huang Duan,Lin Dakai,Wang Chao,et al.Continuous-variable quantum key distribution with 1 Mbps secure key rate[J].Optics Express,2015,23(13):17511-17519.

[12]Ababneh A,Abada S,Abdul Sattar Z,et al.2015 index IEEE journal of selected topics in quantum electronics Vol.21[J].IEEE journal of selected topics in quantum electronics,2015,21(6):135-141.

[13]Leverrier A.Composable security proof for continuous-variable quantum key distribution with coherent states[J].Phy-sical Review Letters,2015,114(7):114-123.

[14]Ding Yuyang,Wei Chen,Hua Chen,et al.Polarization basis tracking scheme for quantum key distribution with revealed sifted key bits[J].Optics Letters,2017,42(6):1023-1026.

[15]Jain N,Stiller B,Khan I,et al.Attacks on practical quantum key distribution systems[J].Contemporary Physics,2016,57(3):366-387.

[16]Bernd Fr?hlich,Marco Lucamarini,James F Dynes,et al.Long-distance quantum key distribution secure against coherent attacks[J].Optica,2017,4(1):163-167.

[17]Carlos Wiechers,Roberto Ramírez-Alarcón,Oscar R Muiz-Snchez,et al.Systematic afterpulsing-estimation algorithms for gated avalanche photodiodes[J].Applied Optics,2016,55(26):7252-7264.

[18]Shihan Sajeed,Huang Anqi,Sun Shihai,et al.Insecurity of detector-device-independent quantum key distribution[J].Physical Review Letters,2016,117(25):298-309.

[19]Mirjam Weilenmann,Lea Kraemer,Philippe Faist,et al.Axiomatic relation between thermodynamic and information-theoretic entropies[J].Physical Review Letters,2016,117(26):216-228.