虞味, 周媛媛, 周学军
(海军工程大学电子工程学院, 湖北 武汉 430033)
量子密钥分配(Quantum key distribution,QKD)[1]是量子保密通信的核心环节,其安全传输距离和密钥生成效率一直是决定量子保密网络组网方式和应用范围的关键因素。因此,研究人员一直在探索能提升QKD 传输性能的方案,其中改善密钥生成效率R和信道传输效率η 之间的关系就是一个重要途径。
在较早提出的QKD 协议当中,由于缺少理想单光子源而导致光子数分离攻击[2]的威胁,密钥生成效率与信道传输效率之间的关系为R=O(η2)[3,4]。以采用弱相干态光源(Weak coherent source,WCS)的BB84 协议为例,其最大安全传输距离一般被限制在30 km 左右[5]。针对这一威胁,2003 年Hwang[6]提出诱骗态思想,并将其与标准BB84 协议相结合,使得量子密钥生成效率与信道传输效率的关系变为R=O(η)[3],基于WCS 的BB84 诱骗态方案的最大安全传输距离延长至140 km 左右,密钥生成效率也显著提升[7]。针对现实条件下测量器件的不完美性,Lo 等[8]于2012 年提出了测量设备无关(Measurement device independent,MDI)量子密钥分配协议。2016 年潘建伟小组开展的MDI 诱骗态方案实验将安全传输距离提升至404 km[9],MDI 协议采用双光子符合事件作为有效探测事件,也就是说接收方每产生一次用来成码的有效探测需要消耗两个光子,其安全密钥生成效率随信道传输效率衰减线性下降。学者们一度认为,基于当前技术条件下的QKD 方案难以突破R=O(η)的密钥容量(Secret key capacity,SKC)界限[10]。
通过不断研究,Lucamarini 等[11]于2018 年提出了双场(Twin field,TF)协议,协议的传输性能终于突破了密钥容量界限。本质上来讲该协议是利用单光子干涉后的探测作为有效探测事件的MDI 协议,仅需要单个探测器响应,而不需要MDI 协议的双光子符合事件的探测器同时响应[12]。接收方每产生一次用来成码的有效探测只需要消耗一个光子,是MDI 协议探测消耗的双光子的一半,且该光子仅经历单边信道,衰减是信道总衰减的平方根,从而将密钥生成效率与信道传输效率的关系改善为打破了SKC 界限对量子密钥分配的局限性。然而,TF 协议缺乏对无条件安全性的严格证明,严重限制了其实际应用[13-16]。针对TF 协议存在的安全隐患,Ma 等[17]提出的相位匹配(Phase-matching,PM)协议解决了其安全证明问题,弥补了TF 协议的不足。
现有研究大多关注于PM 协议在理想条件下的性能界限讨论,为进一步探究PM 协议在实际条件下的传输性能,拓展其在实际条件下的应用,本文基于实际常用的WCS 光源,结合诱骗态思想,提出一种PM 三诱骗态方案,并对方案的传输性能进行分析;且在考虑数据长度有限的实际条件下,研究其传输性能的变化。
随着光子数的增加,多光子态对密钥生成效率的贡献越来越小,所以有限数量的诱骗态就可以满足安全通信的需求。基于WCS 光源提出PM 三诱骗态方案。设信号态强度为μ,三个诱骗态强度v1、v2和v3,满足:0 <v1≤v2≪μ <1,v3= 0。信号态用来生成密钥,弱光强态用来估计计数率下限以及误码率的上限,空态v3用来估计暗计数。具体方案流程如图1 所示。
Alice 和Bob 随机交替地发送不同强度的光脉冲信号, 即信号态光源μa(μb), 以及诱骗态光源va1(vb1),va2(vb2)和va3(vb3)。此处假设Alice 与Bob 光源产生的强度完全相等,即μa= μb= μ,va1=vb1=v1,va2=vb2=v2,va3=vb3=v3。随后对光脉冲进行相位调制和编码,并发送给第三方Charlie(不可信)。Charlie 对接收到的一对光脉冲执行干涉测量,若两个探测器(D0和D1)当中有且只有一个探测器响应,则表示探测成功[4]。利用观测到的全局计数率Qμ、Qv1、Qv2和全局误码率等数据可对相关参数进行估计,并进一步得到密钥生成效率。
图1 基于WCS 的PM 三诱骗态QKD 方案示意图Fig.1 Schematic diagram of PM three-decoy-states scheme with WCS
弱相干态光源WCS 发送k-光子态脉冲(k∈[0,+∞]),服从泊松分布
PM 协议的密钥生成效率计算公式为[17]
式中2/M为筛选因子;f为纠错效率;Qμ为发送光脉冲强度为μ 时的全局计数率,为误码率,Qμ和可在实验中观测得到;为相位误差,可表示为
式中为k-光子态误码率。k-光子态被检测概率与全局计数率的比值为
式中Yk为k-光子态计数率。
因此,为了计算密钥生成效率,需要对相关Yk和的值进行估计。
由于随着k的增加,k-光子态对密钥生成效率的影响也越来越小。因此,仅考虑0 ≤k≤3 的光子态对密钥生成效率的贡献,于是相位误差的计算公式变为
方案需要对单光子态和3-光子态的计数率下限和误码率上限进行估计。
1)估计Y1、Y3的下限
现利用Qμ、Qv1和Qv2来估计Y1和Y3的下限,可得
当k≥4 时,由于0 <v1≤v2≪μ <1,容易得到
于是可以得到Y1的下限为
同理,可得Y3的下限为
2)估计的上限
同样,利用可估计的上限为
实际QKD 系统在一定时间内处理的数据长度肯定是有限的,这将导致数据的统计涨落问题,从而降低安全密钥生成率和安全传输距离。下面将基于切诺夫界[18]的统计分析方法对所提方案进行分析。
定理1(切诺夫界)若X1,X2, ··· ,Xn是服从伯努利分布Pr(Xi= 1) =p且相互独立同分布的随机变量,其中i=1, 2, ··· ,n,令那么∀δ >0,有
由定理1 计算Qμ的偏差为其中n为数据长度,置信度为1-θ。于是,考虑统计涨落影响,全局计数率与误码率上下限为
仿真采用的参数主要来自文献[15],其中传输损耗α 选取了波长为1550 nm 的光在光纤传输中损耗的典型值,如表1 所示,仿真中信号态μ 根据传输距离选取了最优信号强度。
图2 仿真的是基于WCS 光源的无穷诱骗态BB84 协议、MDI 协议、PM 协议以及所提出PM 三诱骗态方案密钥生成效率随安全传输距离的变化。从图中可以看出:BB84 协议、MDI 协议和PM 协议的密钥生成效率随传输距离衰减的趋势由剧烈向缓慢变化,这是由于BB84 协议与MDI 协议的密钥生成效率受到密钥容量界限限制,而PM 协议的密钥生成效率突破了密钥容量界限;在无穷诱骗态条件下,BB84、MDI 和PM 协议最大安全传输距离分别达到158、428、536 km,可见PM 协议性能最优; 所提出的PM 三诱骗态方案传输性能非常趋近于PM 无穷诱骗态方案的理论极限值,最大传输距离达到521 km。所以所采用三诱骗态可以满足QKD 安全通信的需要。
表1 实验参数Table 1 Parameters used for simulation
图2 密钥生成效率随安全传输距离的变化曲线Fig.2 Curves of key generation rate in terms of secure transmission distance
图3 仿真的是PM 三诱骗态方案在不同数据长度下的传输性能,仿真置信度设定为θ=1-8.7×10-3,分别采用三种数据长度:N= 6×1011、N= 6×109、N= 6×107。由图可见:随着数据长度的下降,所提出方案的传输性能也随之下降,在以上三种数据长度下,最大安全传输距离分别下降至506、503、502 km。但是就算数据长度下降至107,其最大安全传输距离仍然可以达到502 km,性能仍然很优越。
图3 数据长度对基于WCS 的PM 三诱骗态QKD 方案安全传输性能的影响Fig.3 Effect of data length on transmission performance of PM three-decoy-states scheme based on WCS
为探索性能更优的量子密钥分配方案,提出了基于WCS 的PM 三诱骗态方案,并对方案性能进行了仿真分析,得出如下结论:PM 三诱骗态方案传输性能非常趋近于PM 无穷诱骗态方案的理论极限值,可见三诱骗态完全可满足QKD 安全通信的需要;通信双方只需制备三种诱骗态强度,降低了实际QKD 系统实现的难度;在数据长度有限条件下,随着数据长度的下降,所提出方案的传输性能也随之下降,但即使数据长度下降至107,其最大安全传输距离仍然可以达到502 km,性能仍然很优越。因此,所提出的基于WCS 的PM 三诱骗态方案是一种有效可行的量子密钥分配方案。