基于峰值补偿的连续变量量子密钥分发方案*

毛宜钰 王一军 郭迎 毛堉昊 黄文体

1) (中南大学自动化学院， 长沙 410083)

2) (中南大学商学院， 长沙 410083)

3) (湖南航天建筑工程有限公司， 长沙 410205)

4) (中南大学计算机学院， 长沙 410083)

在实际的连续变量量子密钥分发系统中， 接收端模数转换器的有限采样带宽会导致脉冲峰值采样结果不准确， 从而使参数估计过程产生误差， 给窃听者留下了安全性漏洞.针对这个问题， 本文提出一种基于峰值补偿的连续变量量子密钥分发方案， 利用高斯脉冲的基本特性来估计每个脉冲的最大采样值与脉冲峰值之间的偏差， 从而对该采样值进行峰值补偿， 使系统得到正确的采样结果.本文详细分析了有限采样带宽对系统安全性的影响， 阐述了峰值补偿的具体步骤， 并讨论了峰值补偿前后系统估计的过噪声差别， 及其在高斯集体攻击下的安全性.仿真实验结果表明， 该方案能准确找到每个脉冲的峰值， 纠正系统的参数估计误差.与不采用峰值补偿的方案相比， 本方案消除了系统重复频率对密钥比特率的限制， 具有更长的安全传输距离和更高的密钥比特率.

1 引 言

量子密钥分发是量子技术的一项重要应用， 它能使远距离的通信双方在不安全的环境中建立一串无条件安全的密钥， 且这种无条件安全性是由量子力学的基本定律保证的.近年来， 量子密钥分发技术取得了很大的进展， 主要可以分为离散变量量子 密 钥 分 发[1-3](discrete-variable quantum key distribution， DVQKD)和连续变量量子密钥分发(continuous-variable quantum key distribution，CVQKD)两大类[4，5].相比于DVQKD， CVQKD将密钥编码在光场的连续正则分量上， 一般以相干激光作为光源， 并采用平衡零差探测器进行探测，具有更高的密钥率， 且能更好地与现有的光通信系统相结合[6，7].利用连续变量进行密钥分发的概念在1999年由澳大利亚学者Ralph[8]首次提出， 受到了量子保密通信研究者们的广泛关注.2002年，Grosshans和Grangier[9]创造性地提出了一种基于弱相干态高斯调制和零差检测的CVQKD协议，即著名的GG02协议.该协议充分体现了CVQKD的优势， 具有重大的实际意义， 但它使用的正向协商方法使协议受到3 dB传输损耗的限制.为了解决这个问题， Grosshans等[10]在2003年又提出了反向协商方案， 该方案可以突破3 dB损耗限制，并且具有更高的密钥率.此后， 在GG02的基础上，研究者们提出了大量改进方案， 推动了CVQKD的迅速发展.例如， Weedbrook等[11]在2004年提出一种基于外差检测的no-switching协议， 使接收方能同时测量相干态的两个正则分量来提取密钥.2008年， Pirandola等[12]提出一种双路方案来提升协议的性能.2009年， Leverrier和Grangier[13]提出了具有更远安全距离的离散调制方案， 并证明了其在线性量子信道条件下的安全性.2012年，Weedbrook等[14]提出以热态或加噪相干态为光源的 CVQKD 方案， 并分析了其在微波频段的可行性.2015年， Vladyslav等[15]提出了一维调制CVQKD方案， 通过只调制一个正则分量来简化系统的实现过程.随着协议的不断改进和发展， 其相应的安全性证明也在持续跟进.2004年， Grosshans和Cerf[16]证明了CVQKD在单体攻击下的安全性.两年后，Navascués等[17]又发现了高斯攻击是针对高斯调制相干态CVQKD协议的最优攻击， 同年， García-Patrón等[18]也用另一种方法进一步证明了高斯攻击的最优性.2009年， Renner等[19]利用de Finetti定理证明了相干攻击和集体攻击对DVQKD和CVQKD而言都是等价的， 使得大部分CVQKD协议都可以基于简单的高斯集体攻击来进行安全性分析.2010年， Leverrier等[20]在CVQKD协议的理论安全性分析中考虑了有限长效应的影响， 并且在2015年完成了高斯调制相干态CVQKD协议的组合安全性证明[21].

尽管高斯调制相干态CVQKD协议可以保证理论上的无条件安全， 但在实际实现的过程中， 器件的不完美或噪声等因素都可能会被窃听者Eve利用来获取信息， 使系统的无条件安全性受到影响.目前已经提出的几种针对实际CVQKD系统的攻击方案有: 特洛伊木马攻击[22]、校准攻击[23]、本振光抖动攻击[24]、波长攻击[25-27]、饱和攻击[28]、零差探测器致盲攻击[29]、种子光注入攻击[30]、不完美的态制备问题[31]及有限采样带宽影响[32]等.其中， 有限采样带宽影响是指接收端的模数转换器(analog-to-digital converter， ADC)的有限采样带宽会降低密钥率的下界并限制密钥率和系统重复频率之间的关系， 从而被窃听者利用来隐藏其攻击.为了解决有限采样带宽的影响， 研究者们也提出了相应的应对措施.例如， Wang等[32]提出了一种双采样检测方案， 用两个由同一电路触发的ADC同时对零差探测器的输出和本振光进行采样， 来使散粒噪声方差的测量值与量子态正则分量的测量值相对应， 从而保证接收方Bob能估计到正确的信道参数.但由于光电二极管(positive intrinsicnegative， PIN)和其他的光电因素之间存在差异，可能会使一个ADC的峰值与非峰值之比与另一个之间存在非线性， 从而对参数估计结果造成影响.Li等[33]利用一个动态时延调节模块和统计功率反馈控制算法来消除有限采样带宽的影响， 使Bob总是能采到脉冲的峰值.但这种方法需要进行多步时延调节才能取得较好的效果， 可能会导致大量密钥的浪费， 也增加了系统运行的时间成本.

针对实际CVQKD系统的有限采样带宽问题，本文提出了一种峰值补偿方案， 通过对接收端的采样结果的分析来判断采样值是否为峰值， 并在未采到峰值时对采样结果进行补偿， 使通信双方在后处理过程中能够正确估计信道参数， 消除由有限采样带宽影响导致的安全性漏洞.这种方法可以直接在采样后的数据处理阶段完成， 不需要增加任何额外的设备， 相比之前提出的双采样方案和动态时延调节方案， 具有更高的准确性.本文第2节简要介绍ADC的有限采样带宽对高斯调制相干态CVQKD系统的影响和峰值补偿的主要步骤; 第3节详细地讨论峰值补偿后的参数估计过程及系统在集体攻击下的安全性; 第4节对全文进行总结.

2 实际CVQKD系统的峰值补偿方案

2.1 有限采样带宽影响

在高斯调制相干态CVQKD协议中， 发送方Alice选择两组均值为0， 方差为VX=VAN0的服从高斯分布的随机数， 用振幅调制器和相位调制器将这两组数据分别编码在信号光脉冲的正则分量XA和PA上， 得到相干态|XA+iPA〉， 并将它们同本振光一起通过偏振复用和时分复用发送给接收方Bob.Bob使用的接收装置如图1所示， 偏振分束器将接收到的信号光和本振光分离出来， 本振光接着被一个10∶90的分束器分离成两部分， 一部分连接光电二极管用于监测本振光强度， 另一部分与信号光干涉进行零差探测.本振光路上的相位调制器随机将相位调整为0或 π /2 来选择测量基.最后，ADC以频率fsamp对零差探测器的输出结果采样，采样后的数据保存到Bob的电脑中进行后处理.在这个过程中， Bob测量到的相干态的正则分量值由零差探测器输出电脉冲的峰值决定[33].当ADC的采样频率无限大时， Bob总是能准确采到脉冲的峰值得到信号光的正则分量， 从而估计到正确的信道参数.但在实际系统中， ADC的采样带宽是有限的， 这使得采样值可能与脉冲的峰值之间存在偏差， 如图2所示.

图1 CVQKD系统的接收端设备结构图.PBS为偏振分束器， BS为光分束器， PM为相位调制器， PIN为光电二极管， ADC为模数转换器Fig.1.Structure of receiver’s apparatus of a CVQKD system.PBS， polarization beam splitter; BS， beam splitter;PM， phase modulator; PIN， positive intrinsic-negative;ADC， analog-to-digital converter.

图2 零差探测器输出脉冲的时域波形， 箭头表示采样位置.ts 为 采 样 间 隔， U p 为 脉 冲 的 峰 值， U m 为 最 大 测 量 值，T0为脉冲持续时间Fig.2.Time-domain shape of an output pulse from the balanced homodyne detector.ts ， sampling interval; U p ， peak value of the pulse; U m ， maximal measurement value; T 0 ，duration of each pulse.

通常， 对于一个高斯调制相干态CVQKD系统，零差探测器的带宽远远大于系统重复频率frep[34，35]，因此能保证零差探测器工作在其线性区域， 且探测器的响应相对于输入光场的正则分量是线性的.在这种情况下， 探测前后的脉冲信号一般为高斯分布， 波形函数为[32，33，36]

其中，Up为高斯脉冲的峰值，μ和σ2分别代表均值和方差.为了简单起见， 我们选择μ=T0/2 ，σ2=T0/8 ，T0=1/frep为脉冲持续时间.如图2所示， 在一个脉冲时间T0内， ADC进行了多次采样， 采样间隔为ts=1/fsamp， 由于受到有限采样带宽的影响， 最大采样值Um和Up之间存在偏差， 定义为

因此， 我们可以得到Um和Up之比为

在这种情况下， Alice和Bob会错误地估计信道参数t和ε， 得到[32]

其中:k=Um/Up;t=ηT，η为零差探测器的探测效率，T为信道透射比;ε为系统的过噪声;t′和ε′分别表示t和ε的估计值.因此， 在没有采到脉冲的峰值时， Alice和Bob会错误地估计系统的过噪声， 给窃听者留下安全漏洞.

2.2 峰值补偿

为了消除由ADC的有限采样带宽引入的安全性漏洞， 我们在图1的ADC后引入一个峰值补偿模块， 以实现峰值监测与补偿.以图2为例， 我们的峰值补偿方案包括以下几个步骤.1)对于一个脉冲时间T0内的所有采样值{U1，U2，U3，U4，U5，U6}，找出其最大值点Um=U3以及与Um相邻的两个采样值U2和U4.2)当U2=U4时， 可以判断Um为峰值点; 当U24时， 可以判断Um＜Up， 且根据高斯脉冲的性质， ΔU可由(5)式得到:

其中，tm=3ts为最大采样值对应的采样时间;Δt=tm-tp，tp为脉冲峰值对应的采样时间.在已知U2和U4的前提下， 可得

3)用得到的ΔU补偿Um， 可得正确的脉冲峰值Up.

图3(a)是在系统重复率为120 MHz、采样频率为1 GHz时一串高斯脉冲的被采样情况， 在这种情况下每个脉冲的最大采样值都不是脉冲的峰值点.图3(b)是对最大采样值进行峰值补偿之后的采样情况， 我们发现补偿后的值刚好是每个脉冲的峰值点， 证明了提出的峰值补偿方案的有效性.

图3 (a)有限采样带宽影响下的高斯脉冲时域采样情况;(b)峰值补偿后的采样值.其中蓝色线表示脉冲时域波形，红色圆点代表采样值Fig.3.(a) Sampling positions of Gaussian pulses effected by finite-sampling bandwidth; (b) sampling values after peak compensation.The blue line represents the time-domain shape of the pulses， and the red dots represent the sampled values.

3 基于峰值补偿的CVQKD系统的安全性分析

3.1 参数估计

2.1 节分析了在有限采样带宽影响下， Alice和Bob估计的信道过噪声ε会小于其真实值， 从而高估系统的密钥率.本节分析峰值补偿后系统对信道参数的估计.

在量子传输过程结束后， Alice和Bob共享两个相关向量x=(x1，x2，···，xN) 和y=(y1，y2，···，yN)， 其中N表示传输的脉冲数目.它们之间的关系可以表示为[37]

其中，z表示系统的总噪声， 服从均值为0， 方差为的高斯分布.N0表示系统的散粒噪声，Vel=velN0表示零差探测器的电噪声，ξ=εN0表示信道过噪声， 这些参数都以它们各自的单位表示.在不采取峰值补偿时，x，y与系统参数之间的关系可以表示为

从而估计的信道参数如(4)式所示.在采取峰值补偿时， 由于补偿后的， 使得k=1 ， 因此估计的信道参数

图4给出了在不同信道过噪声下的估计过噪声随系统重复率的变化情况.从上到下的曲线分别代表ε=0.04，ε=0.02，ε=0.01 时的结果.显然， 在不进行峰值补偿时， 估计的过噪声会随系统重复率的增加而减小， 这意味着系统重复率越高， Eve越容易隐藏自己; 而在进行峰值补偿后， 估计的过噪声在不同系统重复率下都保持恒定.

图4 不同信道过噪声情况下的估计过噪声随系统重复率的变化.图中PC表示峰值补偿(peak-compensation， PC)Fig.4.The estimated excess noise as a function of the system repetition rate under different channel excess noise.PC in the figure represents peak-compensation.

3.2 集体攻击下的密钥率

对于一个CVQKD系统， 给定参数VA，T，ε，η和vel， Alice和Bob可以计算出他们共享的信息量IAB和Eve可获得的最大信息量χBE.因此， 在集体攻击下， Alice和Bob可获得的安全密钥率为

其中，β表示反向协商效率.且

其 中:V=VA+1 ;χtot=χline+χhom/T表 示 系 统的总噪声，χline=T-1+ε-1 是信道输入过噪声，χhom=[(1-η)+vel]/η是零差探测器的等效输入过 噪 声;G(x)=(x+1)ln(x+1)-xlnx;λi是 表示量子系统的协方差矩阵的辛本征值， 其中λ1，2为λ3，4为

λ5=1.根据得到的安全密钥率， 可求出系统的密钥比特率为

在不进行峰值补偿的情况下， 当系统估计的过噪声为ε′时， 实际的过噪声为

在进行峰值补偿的情况下， 实际的过噪声等于估计的过噪声.图5(a)给出了不同系统重复率frep=2，5，8MHz 的安全密钥率随传输距离的变化， 从图中可知， 峰值补偿后系统的密钥率和传输距离不受系统重复率的影响， 且此时的安全传输距离大于不进行峰值补偿时的情况.图5(b)给出了不同传输距离L=30，40，50km 的密钥比特率随系统重复率的变化， 显然， 在进行峰值补偿后， 系统的密钥比特率随系统重复率的增加而呈正比持续增加; 而在不采取峰值补偿时， 密钥比特率随系统重复率的增加呈现先增加后减小的趋势.因此， 本文提出的峰值补偿方案不仅增加了系统的安全性， 消除了由于有限采样带宽引入的安全性漏洞， 也解除了系统重复频率对密钥比特率的限制.在计算密钥率的过程中，涉 及 的 系 统 参 数 分 别 设 置 为VA=20 ，vel= 0.01 ，β=0.95 ，η=0.6 ，fsamp=1 GHz.

4 结 论

图5 (a)不同系统重复率下的密钥率随传输距离的变化;(b)不同传输距离下的密钥比特率随系统重复率的变化Fig.5.(a) The secret key rate as a function of the transmission distance under different system repetition rate; (b) the secret bit rate as a function of the system repetition rate under different transmission distance.

本文提出了一种基于峰值补偿的连续变量量子密钥分发方案， 通过在接收端的ADC后增加一个峰值补偿模块， 来解决由ADC的有限采样带宽引入的安全性问题.详细介绍了有限采样带宽对系统安全性的影响， 描述了峰值补偿的具体步骤， 并基于仿真实验证明了该方案的有效性.此外， 也针对采用峰值补偿和不采用峰值补偿两种情况， 分别分析了系统在集体攻击下的渐近安全性.结果表明， 经过峰值补偿后， 系统能正确估计信道过噪声，从而具有更长的安全传输距离， 其密钥比特率也不再受到系统重复率的限制， 随重复率的增加而呈正比持续增加.

值得注意的是， 该方案是基于一个脉冲内的三个采样值来实施峰值补偿， 因此ADC的采样频率必须大于三倍系统重复率， 这要求系统的重复率不能太高.对目前的CVQKD系统而言， ADC的采样频率通常在GHz级别， 而系统重复率通常在MHz级别， 这远远满足三倍重复率的要求.在今后的研究工作中， 会进一步考虑这一要求对系统的影响， 以提高CVQKD系统的性能.