连续变量量子密钥分发系统的实际安全性分析*

黄 彪，李 丽

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

随着互联网技术的快速发展，现代社会的信息安全问题日益突出。信息安全问题不仅影响到个人隐私和企业利益，而且关系着国家安全和世界和平。然而，传统的保密通信技术难以从根本上解决密钥信息的安全分发问题。量子密钥分发（Quantum Key Distribution，QKD）技术是目前已被证明具有无条件安全性的一种保密通信方式，对未来的网络信息安全具有重要的意义。

QKD技术主要分为离散变量（Discrete Variable，DV）和连续变量（Continuous Variable，CV）两大类技术途经。DVQKD技术是利用单光子的偏振态传递信息，也称为“单光子QKD”技术[1]。目前，DVQKD技术发展较为成熟，但是单光子的产生和探测十分困难，且存在光子数分离攻击和死计数攻击等安全漏洞[2]，实际系统需要结合诱骗态协议提高安全性[3]。CVQKD技术则是利用经典的相干态光源，通过幅度调制和相位调制来传递信息，仅需采用标准化的光通信器件，就能够实现密钥的无条件安全分发[4-5]，具有更低的系统成本和更好的应用前景。

在CVQKD技术中，基于高斯调制的相干态（Gaussian Modulated Coherent State，GMCS）协议最引人注目[6]。2011年，我国上海交通大学曾贵华等人搭建了基于GMCS协议集成量子保密通信系统[7]，在27.2 km的光纤信道中能够获得3.9 kb/s的安全密钥率。2013年，法国高等光学所法布里实验室利用多维协商算法和GPU技术，将数据协调效率提高到95%左右，实现了80 km传输距离而安全码率接近1 kb/s的CVQKD系统[8]。2014年，我国国防科技大学邹宏新等人基于无开关切换的探测方式搭建了50 km光纤信道的高斯调制CVQKD系统[9]，安全密钥率达到187 kb/s。然而，实际的相干态CVQKD系统会受到非理想高斯调制、激光器相位噪声和探测器校准误差等实际非理想因素的影响，引发了多种潜在的安全漏洞[10]。因此，相干态CVQKD系统的实际安全性逐渐成为研究的热点。

本文将综述基于高斯调制的相干态CVQKD系统的实际安全性研究现状，分析各类安全漏洞攻击以及相应的抵御措施，探讨实际CVQKD系统的技术发展趋势。

1 CVQKD实际安全性的研究现状

实际CVQKD系统的安全漏洞主要来自于两个方面：系统过噪声和边信道攻击。系统过噪声是指由于系统器件的非理想特性引入的噪声。在实际系统中，这类噪声客观存在，因此有必要从理论上分析系统过噪声对系统安全性的具体影响。边信道攻击是指窃听者通过控制公共信道中的本振光来降低系统安全性。由于边信道攻击完全受到窃听者的控制，所以它具有更强的破坏力和隐蔽性。

1.1 系统过噪声

系统过噪声主要包括发送端的光源噪声、接收端的探测噪声和信道中的信道噪声。

1.1.1 光源噪声

发送端由于激光器和调制器的非理想特性，相干态信号光在制备时会引入光源噪声，如相位噪声和幅度噪声。上海交通大学黄鹏等人分析了相干态光源噪声的安全性能界限[11]，提出两种描述噪声相干态的系统模型，其中假设光源噪声是由第三者Fred利用光放大器引入的。当Fred不可信时，得到更低的安全界限；当Fred是中立者时，得到更加紧致的安全界限。北京大学郭弘小组将光源制备噪声特征化，提出主动切换和被动分束两种光源噪声监听策略[12]，并指出被动分束监听方式性能更优。另外，Vladyslav等人研究了可信制备噪声对提高相干态协议噪声鲁棒性的积极作用[13]。由于可信的制备噪声不会被窃听者控制和获知，因此主动增加制备噪声可以提高密钥信息的安全程度。

1.1.2 探测噪声

相干态信号光被探测时，探测端内部器件的非理想特性将造成一定程度的探测噪声，如平衡探测器的电噪声。Vladyslav等人分析了接收端探测噪声对相干态CVQKD安全性的影响[14]。因为探测噪声是由探测端内部引入的，不可被窃听者控制和获知，因此探测噪声是保持安全的，但是需要通过实时监测探测噪声的方式来及时修正安全密钥率。

1.1.3 信道噪声

相干态信号光经过量子信道后，将被信道噪声污染，同时还可能被窃听干扰。Lodewyck等人给出了相干态CVQKD系统在噪声信道中的等价纠缠模型，并分析了信道噪声对系统安全性的影响[15]。由于信道噪声存在于光纤信道中，可以被窃听者Eve操控，因此信道噪声会显著降低CVQKD系统的安全密钥率和安全距离。

1.2 边信道攻击

相干态信号光在接收端进行平衡探测时，需要使用同步发送的本振光作为相位参考。但是，由于本振光也经历了不安全的量子信道，因此本振光也存在被窃听者攻击的可能。边信道攻击主要包括本振光扰动攻击、本振光波长攻击和探测器饱和攻击。

1.2.1 本振光扰动攻击

本振光扰动会直接影响信号光的探测结果，而窃听者可以通过控制信道中的本振光光强来隐藏它的高斯联合攻击[16]。国防科技大学马香春等人针对本振光扰动问题提出抵御方案[17]。接收端通过实时调整本振光强度，将其稳定在一个所需的常量，以消除本振光扰动来带的影响（如图1所示）。西北大学刘维琪等人分析了窃听者利用本振光扰动漏洞成功隐藏并实施攻击所需的本振光强度分布，并且得到一种最优的本振光监听方案，可以实时监听一般攻击[18]。Jouguet等人指出不准确的本振光同步校准方式，将导致类似于本振光扰动攻击的安全漏洞[19]。窃听者可利用截获重发的方式改变本振光的脉冲时钟，导致接收端的本振光校准出现偏差。

图1 接收端监听本征光强度

1.2.2 波长攻击

接收端通常使用分束器对本振光进行分束，一部分用于监听本振光强度，另一部分用于信号光的探测。然而，窃听者可以通过切换本振光的波长来间接控制接收端分束器的透射率，导致分束后的本振光强度异变。为了避免这种攻击，一种简单的波长滤波器应该被随机添加在监听和探测之前[20]。

1.2.3 探测器饱和攻击

窃听者可以使用截获重发的方式改变信号光正交分量的幅度，利用接收端平衡探测器的饱和特性进行饱和攻击[21]。类似地，窃听者还可以在信号光之间插入附加光进行攻击，导致接收端的探测器响应饱和，从而错误估计过噪声[22]。

2 CVQKD实际安全性的研究趋势

为了抵御现有的安全漏洞，实际CVQKD系统必须实时准确监听系统参数。在抵御系统过噪声方面，光源噪声、探测噪声和信道噪声都需要实时监听。特别地，接收端的散粒噪声测量十分重要，因为它受到不安全本振光的影响。在抵御边信道攻击方面，本地制备本振光是当前的研究热点。

2.1 散粒噪声测量

接收端使用平衡探测时会引入散粒噪声，从而增加系统过噪声，降低安全密钥率。更严重的是，量子黑客可以通过控制公共信道上的本振光来伪造散粒噪声。因此，测量和控制散粒噪声对实际CVKQD系统而言具有重要的意义。Kunz等人提出了一种稳定测量散粒噪声的方法[23]，即在接收端将本振光分束成两个部分：一部分用于真空态的平衡探测，准确测量散粒噪声；另一部分用于信号光的平衡探测。这种稳定测量方案可以有效抵御饱和攻击和波长攻击。上海交通大学黄鹏等人提出一种异步参数测量策略，通过峰谷搜索法和高斯后选择法抵御本振光校准攻击和饱和攻击[24]。上海交通大学曾贵华教授小组研制了1 Mb/s的连续变量量子密钥分发系统[25]，使用了1 GHz散粒噪声受限的弱相干态平衡探测器，能够有效控制系统过噪声。

2.2 本地制备本振光

公共信道中传输的本振光极易被窃听者控制，从而引发各类边信道攻击。尽管接收端可以实时监听和调整本振光光强，但是这种抵御措施十分被动。2015年，曾贵华教授小组黄端等人针对高速CVQKD系统提出了本地制备本振光的方案[26]。该方案不用发送本振光，而是在接收端本地产生强度可控的本振光进行平衡探测。然而，这种方案没有可靠的相位参考，导致CVQKD系统难以抵御相位噪声。随后，曾贵华教授小组王涛等人提出使用真实本振光的高速CVQKD方案[27-28]。该方案利用同步生成的参考脉冲对信号光的相位漂移进行实时跟踪和补偿，可解决本振光不完美所导致的安全漏洞问题，并适合更远距离的传输，如图2所示。

图2 使用参考脉冲跟踪相漂的CVQKD系统

3 结 语

量子密钥分发技术可以解决信息安全传递的问题。基于高斯调制的相干态CVQKD系统在理论上已经被证明是无条件安全的，但是实际系统由于系统客观存在的非理想特性和攻击干扰变得不够安全。对于高斯调制相干态CVKQD系统而言，系统过噪声和边信道攻击是两类重要的安全漏洞因素。为了使实际系统更加安全和稳健，发送端和接收端需要实时监测系统的噪声参数，从而准确评估安全密钥率。同时，接收端需要本地制备本振光，以抵御各类边信道攻击。高斯调制相干态CVKQD系统已经从理论安全分析进入到实验系统验证的阶段，在密钥生成率和传输距离方面也取得了重大突破，相信在不久的将来能够走向实际应用。