標記單光子源下探測器死時間的量子密鑰分配

何業鋒, 李麗娜, 白倩, 陳思昊, 強雨薇

(1 西安郵電大學網絡空間安全學院, 陜西 西安 710121;2 桂林電子科技大學廣西密碼學與信息安全重點實驗室, 廣西 桂林 541004)

0 引 言

量子密鑰分配(QKD)[1]是量子通信的一個重要分支,其安全性主要依賴于量子力學基本原理而非傳統密碼學中的計算復雜度,具有絕對安全性。隨著BB84 協議的提出[2],研究人員致力于研究使通信距離更遠、密鑰生成率更高的方案。在實際通信系統中由于光源和測量設備的不完美性而存在許多類型的攻擊。例如,致盲攻擊[3]、時移攻擊[4]、偽態攻擊[5]、光子數分離攻擊[6]、波長攻擊[7]和雪崩過渡區攻擊[8]等。鑒于QKD 系統中的大多數攻擊都是針對探測器漏洞的。2012年,Lo 等[9]提出了與測量設備無關的量子密鑰分配(MDI-QKD)協議,有效地解決了針對探測器側信道的攻擊問題。隨后,國內外研究人員對MDI-QKD 協議展開研究并取得了一系列成果[10?15]。

在實際的MDI-QKD 協議中,一般使用弱相干態(WCS)光源來代替理想單光子源。Wu 等[16]基于WCS 光源在MDI-QKD 協議中引入探測器品質因子作為實驗模擬參量,得到了探測器品質因子和密鑰生成率之間的關系。但由于WCS 光源中單光子脈沖所占比例較小,導致密鑰生成率降低。Fasel 等[17]用標記單光子源(HSPS)來代替MDI-QKD 協議中的WCS 光源,因為HSPS 光源中的單光子脈沖占比相較WCS 光源中的更大,所以得到的密鑰生成率更高。Zhu 等[18]將基于HSPS 光源的MDI-QKD 協議和誘騙態理論相結合,得到了安全密鑰率和通信距離之間的關系。在誘騙態方案中,發送者除了要發送信號態之外,還要發送不同強度的誘騙態。誘騙態一般分為兩種: 主動誘騙態和被動誘騙態。主動誘騙態是指Alice 需要主動制備誘騙態,被動誘騙態則不需要。Zhang 等[19]提出一種新的三強度誘騙態方案,該方案僅在X 基下制備誘騙態脈沖,同時采用了集體約束和聯合參數估計技術,顯著降低了量子誤碼率。Zhang 等[20]提出一種被動誘騙態的MDI-QKD 協議,利用內置的局部探測事件被動地產生不同的誘騙態。Zhou 等[21]探究了基于HSPS 光源的MDI-QKD 協議在通信者Alice 和Bob 探測效率取不同值時的安全密鑰生成情況。

Rogers 等[22]提出隨著光子傳輸速率的不斷提高,探測器死時間的存在可能會影響安全密鑰生成速率。Burenkov 等[23]進一步介紹了探測器死時間和主動竊聽者存在的情況下改進的安全密鑰篩選方案,并對這些安全篩選方案進行了分析和比較,最后計算和模擬了它們的安全密鑰生成速率。

本文首先在考慮和不考慮探測器死時間兩種情況下,對基于HSPS 光源的MDI-QKD 協議和基于WCS 光源的MDI-QKD 協議[24]的安全密鑰生成速率進行了分析和比較;然后分析了探測器死時間τ=50,100,150 ns 時,基于HSPS 光源的MDI-QKD 協議的安全密鑰速率生成曲線;最后,得出了安全密鑰生成速率的極限值和探測器死時間之間的關系。

1 基本原理

HSPS 可以同時產生信號光子和閑頻光子。由于這兩種模式具有同步性,閑頻光子可以用于精準地預測信號光子到達第三方Charlie 的時間和光子數。信號光子在完成編碼后,由不可信的第三方Charlie對其進行貝爾態測量(BSM),其光子數服從泊松分布

式中:Pd和ηd分別表示探測器的計數率和探測效率,n為光子數。

基于HSPS 光源協議的模型如圖1 所示,其中Alice 和Bob 為發送方,Charlie 為第三方,BS 為分束器、IM 為強度調制器、Pol-M 為偏振調制器、PBS 為偏振分束器。1H、2H、1V、2V 分別表示第三方Charlie 的單光子探測器。具體的協議步驟為:1)Alice 和Bob 基于指示單光子源分別制備一對糾纏光子,首先將閑頻光子發送給觸發探測器a 和b 進行探測,然后根據探測結果對信號光子到達第三方的時間進行預測;2)信號光子通過偏振調制器Pol-M 選取X 基或Z 基進行編碼。經過IM 將光子隨機調制成三種光子態強度:μi和νj(i,j=0,1,2),且μ2>μ1>μ0=0, ν2>ν1>ν0=0,其中μi、νj分別代表Alice 和Bob調制后的光強,0、1、2 分別對應各自的真空態、誘騙態和信號態;3)第三方Charlie 在接收到來自Alice和Bob 發送的信號光子后對其進行Bell 態測量,并在光子傳輸結束后公布他的測量結果。Alice 和Bob中任意一個再根據第三方Charlie 公布的測量結果進行比特翻轉,得出初始的密鑰,最后通過對初始密鑰進行糾錯和保密加強等處理得到最終的安全密鑰。

圖1 基于HSPS 光源的MDI-QKD 協議模型Fig.1 MDI-QKD protocol model based on HSPS

2 密鑰生成率分析

通信雙方Alice 和Bob 通過基比對和隱私放大得到最終的安全密鑰率[9]

當通信雙方發送的信號脈沖強度分別為n、m時,總增益和誤碼率可以分別表示為

Alice 到Charlie 的距離記為LAC,Bob 到Charlie 的距離記為LBC。當LAC=LBC時,該信道被稱為對稱信道,系統傳輸效率為η=ηa= ηb=tηd,其中t= 10?αL/10為信道傳輸效率,α 為信道傳輸損耗率,ηd為探測效率。本研究中所使用的信道為對稱信道,提及的協議均為MDI-QKD 協議。

3 高速MDI-QKD 與有限的探測器死時間

一般來說,安全密鑰生成速率隨著光子傳輸速率(單位時間內發送的光子脈沖數)的增大而增大。然而在實際的通信系統中存在探測器死時間,即當光子的傳輸速率過高時,探測器檢測完一個單光子不能立刻進入檢測下一個光子的狀態,該時間間隔被稱為探測器死時間[26]。如果此時竊聽者在竊聽密鑰生成的過程中同時引入誤碼率,就可以獲得一些關鍵信息,比如兩個基下密鑰的概率分布,這對安全密鑰的生成會構成極大的威脅[24],引起較高的誤碼率。Rogers 等[22]分析了這個過程,提出了高效檢測的想法并分析了高速QKD 協議的安全性。Burenkov 等[23]做了進一步分析,提出在考慮探測器死時間時,基于BB84協議的QKD 協議的有效檢測概率為

式中:ηc=Qμ2ν2;k= ρτ,ρ 表示光子傳輸速率,τ 表示探測器死時間。在考慮探測器死時間的情況下,得到安全密鑰生成速率的表達式

當光子在信道中傳輸的速率達到一個臨界值時,恰好使得探測器死時間對系統產生影響,本研究將這一臨界值稱為光子傳輸速率臨界值。將光子傳輸速率達到最大但對系統不會產生影響的值稱為光子傳輸速率的最佳取值,即最優值。

4 仿真結果及分析

在分析光子傳輸速率和安全密鑰生成速率之間的關系時,考慮脈沖為無限時的高速QKD 協議,即光子傳輸速率較高的情況。在仿真過程中,L= 100 km,μ1= 0.01, μ2= 0.36,Pd= 3×10?6, ηd= 0.9。將(1)、(5)、(6)、(7)式代入(8)式,令τ=100 ns、τ=0 ns,可以分別得到在考慮和不考慮探測器死時間兩種情況下光子傳輸速率和安全密鑰生成速率之間的關系,如圖2 所示;將不同的τ 值代入(7)式,可以得到探測器死時間對安全密鑰生成速率的影響,如圖3 所示。

圖2 不同協議下光子傳輸速率和安全密鑰生成速率之間的關系Fig.2 Relationship between photon transmission rate and security key generation rate under different protocols

圖3 探測器死時間取不同值時光子傳輸速率和安全密鑰生成速率之間的關系Fig.3 Relationship between photon transmission rate and secure key generation rate under each detector’s dead time

5 結 論

在考慮和不考慮探測器死時間的情況下,探究了基于HSPS 光源協議探測器死時間對安全密鑰生成速率的影響。結果表明:當光子傳輸速率過高時,探測器死時間的存在會對安全密鑰生成速率產生影響。進一步比較了基于HSPS 和WCS 光源協議,在探測器死時間τ = 50,100,150 ns 時安全密鑰生成速率的生成曲線。結果表明:在光源相同的情況下,探測器死時間越大,得到的安全密鑰生成速率越低。在通信距離較遠、觸發探測器探測效率較高且探測器死時間相等的情況下,基于HSPS 光源協議的安全密鑰生成速率要高于基于WCS 光源協議的。