安徽問(wèn)天量子科技股份有限公司 錢泳君

量子密碼，狹義也稱為量子密鑰分配(Quantum key distribution—QKD)，它可以讓異地的雙方共享一串安全的密鑰。QKD利用量子物理原理保證了協(xié)議安全性，第一個(gè)QKD協(xié)議是在1984年提出的，簡(jiǎn)稱BB84協(xié)議。然而，由于實(shí)際器件的不完美特性，會(huì)使得實(shí)際器件和理論模型存在差異，這樣的差異可能會(huì)帶來(lái)安全性漏洞，攻擊者，通常稱為Eve，就可以利用這樣的安全性漏洞進(jìn)行攻擊，從而竊取密鑰不被通信雙方發(fā)覺(jué)。單光子探測(cè)器是量子密碼系統(tǒng)重要的核心器件，用于探測(cè)解碼后的量子信號(hào)。針對(duì)單光子探測(cè)器最典型的一類攻擊是探測(cè)器致盲攻擊。分析探測(cè)器致盲攻擊的攻擊原理，并提出有效且符合實(shí)際需求的防御措施，有利于提高實(shí)際量子密碼系統(tǒng)的安全性。

1 探測(cè)端致盲攻擊

單光子探測(cè)器是量子密鑰分配系統(tǒng)接收端的探測(cè)設(shè)備。對(duì)于一個(gè)理想的單光子探測(cè)器，它的探測(cè)效率為100%，暗計(jì)數(shù)率為0，死時(shí)間為0，時(shí)間抖動(dòng)為0，具備光子數(shù)分辨率能力。實(shí)際單光子探測(cè)器很難達(dá)到上述的參數(shù)要求。根據(jù)雪崩光電二極管（APD）兩端的反向偏壓的大小，可以分成兩種工作模式，線性模式和蓋革模式。如圖1(a)所示，線性模式下，APD兩端的偏壓小于雪崩電壓Vbr，雪崩放大系數(shù)小，此時(shí)雪崩光電二極管只能探測(cè)強(qiáng)光，不會(huì)響應(yīng)單光子。蓋革模式下，APD兩端的偏壓大于雪崩電壓Vbr，雪崩放大系數(shù)大，雪崩光電二極管可以響應(yīng)單光子。因此，如圖1(b)所示，除了給APD一個(gè)固定的偏置電壓外VDC外，還會(huì)給其一個(gè)門控信號(hào)，當(dāng)門信號(hào)到達(dá)時(shí)，兩端偏壓大于雪崩電壓Vbr，APD處于蓋革模式。當(dāng)門信號(hào)關(guān)閉時(shí)，兩端偏壓小于雪崩電壓，APD處于線性模式。如圖1(c)所示是單光子探測(cè)器的一個(gè)典型電路，APD與一個(gè)大阻值的偏置電阻Rbias串聯(lián)，APD兩端偏壓小于雪崩電壓，如果門控電壓信號(hào)到來(lái)時(shí)，APD處于蓋革模式，此時(shí)如果有一個(gè)單光子到來(lái)，由于雪崩效應(yīng)會(huì)產(chǎn)生很大的光電流IAPD，如果光電流值大于閾值，則會(huì)引發(fā)一次響應(yīng)事件。此后，由于電路淬滅作用，雪APD的偏壓降到雪崩電壓以下，此次雪崩過(guò)程停止，等待下次門控信號(hào)。

圖1 (a)雪崩光電二極管的兩種工作模式：線性模式和蓋革模式圖1(b)單光子探測(cè)器的門控電壓信號(hào) 圖1(c)單光子探測(cè)器的典型原理電路

但是，如果此時(shí)來(lái)的不是單光子，而是連續(xù)強(qiáng)光，它會(huì)使得APD內(nèi)持續(xù)產(chǎn)生大電流，此時(shí)由于APD串聯(lián)的大電阻Rbias上的分壓作用，即便門控電壓信號(hào)到來(lái)時(shí)，信號(hào)疊加后APD兩端的偏壓仍會(huì)降到雪崩電壓以下，使得APD從蓋革模式轉(zhuǎn)變?yōu)橐恢碧幱诰€性模式，此時(shí)單光子探測(cè)器，即使在開門時(shí)間，也不再響應(yīng)單光子，在整個(gè)周期，都是致盲狀態(tài)。

此后Eve會(huì)采取偽態(tài)攻擊的方法來(lái)竊取密鑰。如圖2所示，Eve會(huì)截取Alice發(fā)送給Bob的量子態(tài)，在Eve端有個(gè)偽態(tài)Bob，偽態(tài)Bob隨機(jī)選取測(cè)量基進(jìn)行測(cè)量；致盲模塊會(huì)對(duì)Bob端的單光子探測(cè)器進(jìn)行連續(xù)強(qiáng)光致盲，根據(jù)偽態(tài)Bob的測(cè)量結(jié)果，偽態(tài)Alice會(huì)制備不同編碼狀態(tài)的強(qiáng)光脈沖發(fā)送給Bob，Bob端隨機(jī)選擇測(cè)量基進(jìn)行測(cè)量。如圖3(a)所示，如果Eve的制備基和Bob測(cè)量基相匹配，此時(shí)強(qiáng)光脈沖只到達(dá)一個(gè)探測(cè)器，強(qiáng)光脈沖引起的電流大于閾值電流Ith，產(chǎn)生一個(gè)響應(yīng)事件，且響應(yīng)的單光子探測(cè)器解碼的比特是正確的；但是，如果Eve的制備基和Bob測(cè)量基不匹配，如圖3(b)所示，強(qiáng)光脈沖會(huì)一分為二到達(dá)兩個(gè)探測(cè)器，此時(shí)兩邊的引起的電流都小于閾值電流，無(wú)法產(chǎn)生響應(yīng)。最終可以發(fā)現(xiàn)，當(dāng)Alice和Bob對(duì)基完成之后，只有Eve選對(duì)測(cè)量基重發(fā)的強(qiáng)光脈沖能被探測(cè)到，而選錯(cuò)測(cè)量基重發(fā)的強(qiáng)光脈沖不會(huì)被探測(cè)到。Eve監(jiān)聽(tīng)經(jīng)典信道的對(duì)基信息，保留正確選基的測(cè)量結(jié)果后，Eve就能竊取到全部的密鑰，此時(shí)QKD系統(tǒng)引起的誤碼率幾乎為0。

圖2 強(qiáng)光致盲攻擊原理圖

圖3 偏振編碼時(shí)，Eve的強(qiáng)光脈沖在Bob端的探測(cè)情況

2 針對(duì)探測(cè)端致盲攻擊的防御方法

探測(cè)端致盲攻擊方式的致盲方法不僅僅有連續(xù)強(qiáng)光致盲方式，還有熱致盲方式，而門控模式的單光子探測(cè)器廣泛用于商用量子密鑰分配系統(tǒng)中，因此研究探測(cè)端致盲攻擊的防御方法顯得尤為重要，研究者發(fā)現(xiàn)，之所以能產(chǎn)生連續(xù)強(qiáng)光致盲，在于探測(cè)器內(nèi)部電路中采用了大阻值偏置電阻和不正確的電壓閾值，如果設(shè)定正確的閾值電壓，同時(shí)改進(jìn)電路，就可以避免致盲。同時(shí)，研究者發(fā)現(xiàn)，如果受到致盲攻擊，探測(cè)器的電流會(huì)比正常無(wú)攻擊時(shí)要大很多，因此，監(jiān)控電流也是一種有效的防御方式。

上述的防御方式統(tǒng)稱為補(bǔ)丁式防御方法，這種防御方法實(shí)現(xiàn)簡(jiǎn)單，無(wú)需大幅修改系統(tǒng)，但是通常沒(méi)有經(jīng)過(guò)嚴(yán)格的安全性證明，此后，測(cè)量設(shè)備無(wú)關(guān)的量子密鑰分配協(xié)議提出，該方法可以從協(xié)議上防御所有探測(cè)端不完美帶來(lái)的攻擊方式，它可以在當(dāng)前技術(shù)條件下實(shí)現(xiàn)，目前已有一系列實(shí)驗(yàn)工作。但是，由于測(cè)量設(shè)備無(wú)關(guān)實(shí)驗(yàn)時(shí)需要利用雙光子干涉，因此密鑰率比傳統(tǒng)的BB84協(xié)議要低。

在本文中，我們首先回顧了量子密鑰分配實(shí)際安全性的，對(duì)于接收端核心器件單光子探測(cè)器，重點(diǎn)闡述了針對(duì)探測(cè)器端漏洞的連續(xù)強(qiáng)光致盲方式，最后介紹了針對(duì)探測(cè)端漏洞的幾種防御方式，總之，在考慮提高量子密鑰分發(fā)系統(tǒng)的實(shí)際安全性時(shí)，需要在不同實(shí)際應(yīng)用環(huán)境中合理采用不同安全等級(jí)的防御策略。