耿 健，金 文，閆新峰，趙雅琴，房偉紅

（北京航天長征飛行器研究所，北京，100076）

0 引 言

建立全球廣域量子通信網(wǎng)是包括中國在內的世界各航天大國面向未來的一個重要需求。利用地軌衛(wèi)星或飛行器平臺實現(xiàn)天地間量子密鑰分發(fā)（Quantum Key Distribution，QKD）已被廣泛認為是當前最有可能建立廣域量子通信網(wǎng)的方式。隨著QKD 理論和實驗方面取得越來越多的可喜成果，構建全球量子衛(wèi)星組網(wǎng)或將成為可能[1,2]。

星地QKD 鏈路是基于量子衛(wèi)星的廣域QKD 系統(tǒng)的關鍵組成。按照信息傳輸方向分類，星地量子密鑰分發(fā)鏈路的實現(xiàn)方式可分為：下行（衛(wèi)星發(fā)-地面收）、上行（地面發(fā)-衛(wèi)星收）和衛(wèi)星反射（地面發(fā)-衛(wèi)星反射-地面收）3 種主要方式。相比而言，下行方式更易獲得較高的星地量子密鑰分發(fā)速率[1]。主要的密鑰分發(fā)協(xié)議有以BB84、B92 協(xié)議為代表的基于單光子非糾纏態(tài)協(xié)議、以Ekert91 和BBM92 為代表的單光子糾纏態(tài)協(xié)議、以GG02 為代表的連續(xù)變量密鑰分發(fā)協(xié)議和基于測量設備無關類協(xié)議等[3]。其中，以基于誘騙態(tài)的BB84協(xié)議在當前工程應用中最為廣泛和成熟。本文考慮基于誘騙態(tài)的BB84 協(xié)議的星地下行QKD 鏈路。

文獻[4]～[6]集中于在單顆衛(wèi)星場景下的星地QKD鏈路的光學相關參數(shù)評估和鏈路分發(fā)時間分析。本文在現(xiàn)有研究基礎上，分析評估典型太陽同步軌道（Low Earth Orbit，LEO）高度及星座（Walker 星座）規(guī)模與平均密鑰分發(fā)長度的關系。仿真考慮了望遠鏡自身反射鏡對光路的遮擋、偏振極化誤差和光路指向誤差等非理想因素下的有限長度安全密鑰的計算。所得結果對設計全球量子衛(wèi)星組網(wǎng)系統(tǒng)具有一定參考意義。

1 原理

星地QKD 系統(tǒng)主要包括：經(jīng)典通信模塊、光路捕獲跟蹤模塊和量子收發(fā)模塊。其中，經(jīng)典通信模塊主要利用無線通信技術傳輸星地雙方的初始位置、姿態(tài)信息以及在QKD 過程中交互輔助確定密鑰的公開信息。光路捕獲跟蹤模塊完成收發(fā)間光學望遠鏡指向的精確對準及跟蹤保持。量子收發(fā)模塊則主要完成基于特定協(xié)議的量子密鑰產(chǎn)生與分發(fā)功能。

基于衛(wèi)星的廣域量子密鑰分發(fā)過程一般包括3 個階段：第1 階段，當衛(wèi)星經(jīng)過地面站A 上空時與地面站A 進行QKD，從而使雙方共享密鑰 cA；第2 階段，當衛(wèi)星經(jīng)過地面站B 上空時與地面站B 進行QKD，從而使雙方共享密鑰 cB；第3 階段，當衛(wèi)星再次過境地面站A 時，將Bc 作為信息，用密碼Ac 對信息 cB或其部分內容進行加密并通過經(jīng)典無線信道發(fā)送給地面站A。至此，地面站A 可解密得到地面站B 的密碼 cB全部或部分內容。

由于大氣信道對偏振光子的保偏度和偏振態(tài)的影響很低，BB84 協(xié)議在星地場景下適合以偏振光為載體。基本的BB84 協(xié)議使用兩組非正交基進行編碼，利用非正交量子態(tài)的不可克隆性質，使得竊聽行為能被發(fā)現(xiàn)。當前工程應用上，在BB84 協(xié)議基礎上增加了誘騙態(tài)以克服非理想光源帶來的安全隱患。文獻[7]指出采用三態(tài)的誘騙態(tài)能夠逼近最優(yōu)性能，其中三態(tài)指信號光、誘騙光和真空態(tài)光?；谡T騙態(tài)的BB84協(xié)議可簡要概括如下[3]：

首先，發(fā)端（衛(wèi)星）對信號光源和誘騙光源（及真空態(tài)）光脈沖按照BB84 協(xié)議進行編碼，3 種光源的脈沖以一定的比例隨機的發(fā)送給收端（地面站）。其次，地面站收到所有光脈沖后，衛(wèi)星公布各脈沖所采用的光源。然后，地面站統(tǒng)計信號源、誘騙源的透過率（透過率為接收到的數(shù)量與發(fā)送的數(shù)量的比值）。如果前者比后者小很多，則認為本次分發(fā)過程受到分離光子數(shù)攻擊，放棄本次通信；反之，按照BB84 協(xié)議保留收發(fā)雙方使用相同基下的測量結果作為篩選碼，通過進一步的糾錯處理和密性放大得到最終安全密鑰。

對于星地QKD 系統(tǒng)，安全密鑰率（或安全碼率）和地面站在一定時間內可獲得的總安全密鑰長度是系統(tǒng)的重要性能指標。在確定QKD 分發(fā)協(xié)議后，影響安全碼率和總碼長的主要因素包括：考慮多種實際因素下的光鏈路的損耗、暗計數(shù)與背景噪聲計數(shù)、偏振誤差、安全性和可靠性指標以及衛(wèi)星的軌道與星座規(guī)模等。本文建立信道傳輸和安全碼率計算的仿真模型并據(jù)此對比分析不同衛(wèi)星（星座）場景下的安全密鑰長度性能差異。

2 仿真模型

2.1 響應率和誤碼率

系統(tǒng)仿真模型中的關鍵參數(shù)說明如表1 所示。

表1 主要參數(shù)說明Tab.1 Main Parameters Discription

影響系統(tǒng)安全密鑰率的2 個主要因素是響應率和誤碼率。定義 Yn為發(fā)送端發(fā)送含有n 光子的脈沖時，接收端探測器響應的概率；Qn= P( n )Yn發(fā)送端發(fā)送脈沖為n 光子脈沖且接收端探測器響應的概率，其中 P ( n )為發(fā)送脈沖中含有n 個光子的概率，為泊松分布。當發(fā)送端發(fā)送脈沖光子數(shù)為0 時，對應的概率 Y0由探測器暗計數(shù)和背景噪聲產(chǎn)生。

對于單個光子，QKD 系統(tǒng)的總透過率為η = ηchηBobηD，其中ηch為光鏈路損耗，ηBob為接收端內部光路損耗，ηD為探測器效率。對于平均光子數(shù)為μ 的弱相干光源，可求得總響應率為[3]

在無竊聽情況下，天地量子QKD 系統(tǒng)的量子比特誤碼率來源主要有2 部分。第1 部分是來自系統(tǒng)光路的非理想性。在本文場景中主要表現(xiàn)為偏振對比度引起的誤碼率。令該誤碼率為 edet，其表示了篩選碼中即使沒有暗計數(shù)和Eve 攻擊而存在的誤碼概率；第2 部分主要來自探測器的暗計數(shù)和背景噪聲[7]。上述兩部分誤碼來源可認為相互獨立。

對于誤碼來源的第1 部分，發(fā)端和收端組成的系統(tǒng)的等效偏振對比度ER 引起的誤碼率可表示為[9]

通過實時偏振補償措施，通常可以將系統(tǒng)偏振對比度ER 控制在100 以上，對應的誤碼率小于1%。

對于誤碼來源的第2 部分，假設所有探測器的指標相同，令單臺探測器的暗計數(shù)率為 pd（計數(shù)/脈沖），探測效率為ηD，背景噪聲產(chǎn)生的計數(shù)率為 pBG（計數(shù)/脈沖）。進入探測器的背景噪聲計數(shù)率為 pBGηD，在BB84 協(xié)議中平均僅有一半的計數(shù)會體現(xiàn)在安全密鑰中。因此有：

令Eμ為安全密鑰的平均誤碼率。當發(fā)送端使用平均強度為μ 的弱相干光源時，平均誤碼率為[3]

式中0e 由暗計數(shù)和背景噪聲引起誤碼率， e0=1/2。

2.2 安全密鑰長度

考慮基于誘騙態(tài)的有限篩選碼長度下安全密鑰長度計算。假設信號光、誘騙光和真空態(tài)光三者的發(fā)射概率分別為 Psignal， Pdecoy， Pvacuum。令信號源的光源平均光子數(shù)為μ，誘騙態(tài)光源的平均光子數(shù)為ν 。對于真空態(tài)光源，其響應率和量子比特誤碼率（Quantum Bit Error Rate，QBER）分別為 Qva= Y0和 Eva= e0。通過該值可以準確的監(jiān)測到暗計數(shù)和背景噪聲的信息。對于誘騙態(tài)，其響應率和量子比特誤碼率分別為Qν和Eν，其計算同2.1 節(jié)。

誘騙態(tài)方式下的有限長度安全密鑰碼長下界為[10]

式中 q 為BB84 協(xié)議效率， q=1/2； Nμ( Nv)為接收到的信號態(tài)（誘騙態(tài)）計數(shù)值， Nμ= QμPsignalfpulseT；Nν=QνPdecoyfpulseT ，其中 fpulse為脈沖頻率，T 為觀測時間；H2( )為二進制熵函數(shù)； f ( Eμ)為糾錯效率；Δ= 2lo g2(1/ ( 2 ( ∈ ?? ∈EC)))+，其中∈為最終密鑰不安全的概率， ∈EC為最終密鑰錯誤的概率。一般可取 ∈= 10?9~10?5，∈EC= 10?10~10?9。為可調參數(shù)，具體取值為通過數(shù)值計算滿足約束∈ ? ∈EC>≥0使得安全碼下界最大的結果。

當ν <μ 時， Q1下界和 e1的上界可分別表示為[3]

當μ <ν 時，將式（6）中 Q1的下界和 e1的上界中ν和μ 互換可得到相應的下界：

將 Q1下界和 e1上界代入式（5）可得安全碼長。

2.3 光鏈路損耗

星地光路損耗 ηch主要由光的衍射和指向偏差造成。收發(fā)端相對位置關系如圖1 所示。圖1 中坐標系原點為發(fā)送端望遠鏡平面中心，發(fā)射端鏡面位于OXY平面，Z 軸正方向為弱相干光的傳播方向。發(fā)送端望遠鏡平面上的點可由 vt=( xt, yt,0)表示，收發(fā)端望遠鏡間距由 zr表示，指向偏差角為 σp。

圖1 收發(fā)光路傳播示意Fig.1 Diagram of the Optical Path

設偏振光波長為λ?；谌鹄?索墨菲衍射理論，理想情況下接收端鏡面點 vr=( xr, yr,zr)處的光強Iideal( vr)可表示為[4,11]

式中 I0為發(fā)送端最大光強； St為發(fā)送端望遠鏡平面中除去反射鏡面積后的有效區(qū)域。由發(fā)送端光斑的圓對稱性易得收端平面上的光斑也為圓對稱，因此只需利用式（9）計算出收端光斑中任意一條徑向上的光強分布，即可表征收端光斑。仿真中，取x 軸向的光強分布，即令 yr=0 。

指向偏差角建模為零均值標準差為 σp的高斯隨機變量。偏離的方向為[0,2π)均勻分布。于是，當存在指向偏差時，接收光斑的中心點偏離理想情況下光斑的中心點距離 rp為零均值標準差為 zrσp的高斯隨機變量，rp的概率密度函數(shù)為

式中 Sr為接收端望遠鏡平面中除去反射鏡面積后的有效區(qū)域。

2.4 衛(wèi)星軌道與星座

本文考慮兩類場景：單顆太陽同步軌道衛(wèi)星和基于Walker-δ 星座的LEO 衛(wèi)星系統(tǒng)。對于太陽同步軌道衛(wèi)星，同一地面站每天能夠在大致相同的地方時段內觀測到衛(wèi)星過境，從而實現(xiàn)定期的天地QKD。Walker星座具有幾何構型意義上的對稱性（均勻性）的優(yōu)點，在低軌衛(wèi)星通信和導航領域得到廣泛應用。常用衛(wèi)星數(shù)目/軌道平面數(shù)/相位因子（N/P/F）作為Walker 星座的構型碼。其中，變量相位因子F 用來確定相鄰軌道面相鄰衛(wèi)星間的相位差 Δωf， Δωf=2π F /N。

3 評估結果

利用上述模型，從平均密鑰長度和鏈路持續(xù)時間兩個方面，比較不同軌道衛(wèi)星場景下衛(wèi)星-地面及衛(wèi)星-衛(wèi)星QKD 鏈路性能。如無特殊說明，仿真參數(shù)設置如表2 所示。本文假設衛(wèi)星過境時，光鏈路的天頂角在±70°以內時可實現(xiàn)精確跟瞄并進行密鑰分發(fā)。使用衛(wèi)星工具包（Systems Tool Kit，STK）計算星地、星間鏈路距離和持續(xù)時間。在STK 的場景中地面站位于赤道上，僅認為地面站當?shù)貢r間20 點至次日凌晨4點期間的衛(wèi)星過境為有效過境。太陽同步衛(wèi)星軌道的降交點經(jīng)度同地面站經(jīng)度。

表2 主要仿真參數(shù)設置Tab.2 Main Simulation Parameters

圖2 給出了衛(wèi)星-地面站和衛(wèi)星間QKD 光路損耗與距離的關系，圖中距離增加一倍，光路損耗增加約6 dB。在誘騙態(tài)方案中，信號光和誘騙光的平均光子數(shù) μ ,ν 的最優(yōu)取值與系統(tǒng)鏈路損耗大小相關。仿真中，對于每種衛(wèi)星軌道或星座配置，選擇當前配置下可得到的最大平均安全密鑰長度進行比較。根據(jù)仿真結果，對于本文考慮的LEO 衛(wèi)星，不同軌道和星座下平均光子數(shù) μ ,ν 的最優(yōu)組合( μ ,ν )取值略有不同，但最優(yōu)值在(0.25，0.55)附近或(0.55，0.25)附近。

圖2 光鏈路損耗與距離的關系Fig.2 Optical Pathloss VS Distance

單次過境總密鑰長度由密鑰率和持續(xù)時間共同決定。鏈路衛(wèi)星軌道越低，其QKD 光路損耗越小，而QKD 持續(xù)時間卻越短。圖4 給出了太陽同步衛(wèi)星單次過境所得到的最大平均安全密鑰長度及對應的QKD持續(xù)時間與衛(wèi)星軌道高度的關系。從圖中可以看出，當軌道高度從200 km 增加至1300 km 時，軌道高度變化了6.5 倍，鏈路的持續(xù)時間增加了約13 倍，而平均安全密鑰長度僅下降了約50%。相比持續(xù)時間的變化，平均單次過境的安全密鑰長度隨軌道高度的增加以較緩慢的趨勢下降。

圖3 單衛(wèi)星單次過境密鑰長度和鏈路持續(xù)時間Fig.3 Average Secure Key Length under a Single Satellite Pass VS Link Duration

衛(wèi)星星座可以彌補單個LEO 衛(wèi)星過境時間短的問題。相比于較高軌道的衛(wèi)星場景，地面站可以通過與更多的較低軌道衛(wèi)星進行密鑰分發(fā)來獲得更大的密鑰總量。圖4 比較了不同軌道高度和衛(wèi)星數(shù)量的Walker星座下地面站平均每天獲得的密鑰總量以及密鑰分發(fā)時間占總時間的比例，其中總時間指每晚20 點至次日凌晨4 點的時間長度?？紤]了5 個Walker 星座，分別為200 km 軌道高度下（24/12/1）Walker 星座、（10/6/1）Walker 星座，400 km 軌道高度下（12/9/1）Walker 星座、（10/6/1）Walker 星座和800 km 軌道高度下（10/6/1）Walker 星座。從圖4 中可以看出，軌道越低的星座在獲得安全密鑰的長度上優(yōu)勢越大。對比圖4 和圖3 還可以看出通過增加衛(wèi)星數(shù)量，可大幅提升每天地面站得到的安全密鑰總長度。

圖4 不同星座下平均每天密鑰長度及實際鏈路建立時間占比Fig.4 Average Secure Key Length Per Day and the Link Available Time to the Total Time Radio under Different Configurations

最后，利用鏈路模型評估星間密鑰分發(fā)的平均密鑰長度和持續(xù)時間。星間密鑰分發(fā)可用于密鑰的轉發(fā)和交換，基本原理與星地洲際密鑰分發(fā)原理相似。受到星載衛(wèi)星望遠鏡能力的限制，星間QKD 鏈路損耗通常比星地鏈路損耗大，這限制了星間QKD 的距離。以200 km 軌道高度下（24/12/1）Walker 星座和400 km軌道高度下（12/9/1）Walker 星座為仿真場景。圖5和表3 比較了2 種星座場景下相鄰兩個軌道平面上最近的兩顆衛(wèi)星的距離分布情況、平均每天可交互的密鑰量和鏈路持續(xù)時間。兩顆衛(wèi)星的星間距離變化范圍較大，在地球南北極上空時星間距可達最小，在赤道上空時星間距最大。從仿真結果看，兩顆衛(wèi)星適合在軌道交匯的區(qū)域附近進行星間量子密鑰分發(fā)，而在其它時段星間密鑰分發(fā)能力十分有限。這種使用方式與經(jīng)典基于無線通信的衛(wèi)星組網(wǎng)信息交換的實現(xiàn)方式有所區(qū)別。

圖5 相鄰平面相鄰衛(wèi)星星間距離分布Fig.5 The Distance Distribution of Two Adjacent Satelletes on the Two Adjacent Planes

表3 星間密鑰分發(fā)性能Tab.3 Performance of Inter-satellete QKD

從仿真結果還可看出，地面站每天進行QKD 的時間（即每天密鑰分發(fā)持續(xù)時間）是表征一個實際QKD系統(tǒng)的密鑰分發(fā)性能的重要參數(shù)。仿真結果表明，單個衛(wèi)星的星地QKD 鏈路持續(xù)時間與衛(wèi)星軌道高度成反比例。然而，提高鏈路持續(xù)時間更有效的方式是增加衛(wèi)星星座的規(guī)模。若僅從安全密鑰量的角度出發(fā)，軌道越低的星座越能實現(xiàn)更好的性能。這主要有兩方面原因：一方面，在地面站同一時間只能與一顆衛(wèi)星進行QKD 的假設下，仿真結果顯示增加軌道較低的衛(wèi)星星座規(guī)模能夠顯著提升地面站的安全密鑰長度；另一方面，軌道高度越低的衛(wèi)星將有更多的機會服務于其它地面站，從而實現(xiàn)多個地面站間的量子密鑰分發(fā)。

此外，為了提高整個系統(tǒng)的密鑰分發(fā)能力，可將地面站放置于多顆衛(wèi)星軌道交匯點的下方。一方面，地面站能夠與多顆衛(wèi)星同時交換量子密鑰，另一方面不同軌道的多顆衛(wèi)星間也可以相互進行量子密鑰分發(fā)。例如，若在南極點布置地面站，對于400 km 軌道高度下（12/9/1）的Walker 星座，在不區(qū)分白天黑夜的情況下該地面站平均每天可與不同的衛(wèi)星分發(fā)獲得共5263 Mbit 的量子密鑰。因此，在多個軌道平面交匯處下方的地面站適合承擔密鑰交換的工作。

4 結 論

基于仿真模型，本文對星地下行QKD 鏈路與衛(wèi)星軌道高度及星座規(guī)模的關系進行評估和分析。仿真結果表明LEO 衛(wèi)星平均單次過境與地面站分發(fā)的安全密鑰長度隨軌道高度的增加以較緩慢的趨勢下降。盡管如此，通過降低衛(wèi)星軌道高度、增加衛(wèi)星數(shù)量，可以顯著提升地面站可獲取的密鑰總量。因此，較低軌道的星座更適合實現(xiàn)高速的量子衛(wèi)星QKD 系統(tǒng)。此外，將地面站部署于多顆衛(wèi)星交匯點的下方，對提升星地間的密鑰交換能力有顯著的作用。