浅谈量子密码系统探测端致盲攻击的防御方法

安徽问天量子科技股份有限公司 钱泳君

量子密码，狭义也称为量子密钥分配(Quantum key distribution—QKD)，它可以让异地的双方共享一串安全的密钥。QKD利用量子物理原理保证了协议安全性，第一个QKD协议是在1984年提出的，简称BB84协议。然而，由于实际器件的不完美特性，会使得实际器件和理论模型存在差异，这样的差异可能会带来安全性漏洞，攻击者，通常称为Eve，就可以利用这样的安全性漏洞进行攻击，从而窃取密钥不被通信双方发觉。单光子探测器是量子密码系统重要的核心器件，用于探测解码后的量子信号。针对单光子探测器最典型的一类攻击是探测器致盲攻击。分析探测器致盲攻击的攻击原理，并提出有效且符合实际需求的防御措施，有利于提高实际量子密码系统的安全性。

1 探测端致盲攻击

单光子探测器是量子密钥分配系统接收端的探测设备。对于一个理想的单光子探测器，它的探测效率为100%，暗计数率为0，死时间为0，时间抖动为0，具备光子数分辨率能力。实际单光子探测器很难达到上述的参数要求。根据雪崩光电二极管（APD）两端的反向偏压的大小，可以分成两种工作模式，线性模式和盖革模式。如图1(a)所示，线性模式下，APD两端的偏压小于雪崩电压Vbr，雪崩放大系数小，此时雪崩光电二极管只能探测强光，不会响应单光子。盖革模式下，APD两端的偏压大于雪崩电压Vbr，雪崩放大系数大，雪崩光电二极管可以响应单光子。因此，如图1(b)所示，除了给APD一个固定的偏置电压外VDC外，还会给其一个门控信号，当门信号到达时，两端偏压大于雪崩电压Vbr，APD处于盖革模式。当门信号关闭时，两端偏压小于雪崩电压，APD处于线性模式。如图1(c)所示是单光子探测器的一个典型电路，APD与一个大阻值的偏置电阻Rbias串联，APD两端偏压小于雪崩电压，如果门控电压信号到来时，APD处于盖革模式，此时如果有一个单光子到来，由于雪崩效应会产生很大的光电流IAPD，如果光电流值大于阈值，则会引发一次响应事件。此后，由于电路淬灭作用，雪APD的偏压降到雪崩电压以下，此次雪崩过程停止，等待下次门控信号。

图1 (a)雪崩光电二极管的两种工作模式：线性模式和盖革模式图1(b)单光子探测器的门控电压信号 图1(c)单光子探测器的典型原理电路

但是，如果此时来的不是单光子，而是连续强光，它会使得APD内持续产生大电流，此时由于APD串联的大电阻Rbias上的分压作用，即便门控电压信号到来时，信号叠加后APD两端的偏压仍会降到雪崩电压以下，使得APD从盖革模式转变为一直处于线性模式，此时单光子探测器，即使在开门时间，也不再响应单光子，在整个周期，都是致盲状态。

此后Eve会采取伪态攻击的方法来窃取密钥。如图2所示，Eve会截取Alice发送给Bob的量子态，在Eve端有个伪态Bob，伪态Bob随机选取测量基进行测量；致盲模块会对Bob端的单光子探测器进行连续强光致盲，根据伪态Bob的测量结果，伪态Alice会制备不同编码状态的强光脉冲发送给Bob，Bob端随机选择测量基进行测量。如图3(a)所示，如果Eve的制备基和Bob测量基相匹配，此时强光脉冲只到达一个探测器，强光脉冲引起的电流大于阈值电流Ith，产生一个响应事件，且响应的单光子探测器解码的比特是正确的；但是，如果Eve的制备基和Bob测量基不匹配，如图3(b)所示，强光脉冲会一分为二到达两个探测器，此时两边的引起的电流都小于阈值电流，无法产生响应。最终可以发现，当Alice和Bob对基完成之后，只有Eve选对测量基重发的强光脉冲能被探测到，而选错测量基重发的强光脉冲不会被探测到。Eve监听经典信道的对基信息，保留正确选基的测量结果后，Eve就能窃取到全部的密钥，此时QKD系统引起的误码率几乎为0。

图2 强光致盲攻击原理图

图3 偏振编码时，Eve的强光脉冲在Bob端的探测情况

2 针对探测端致盲攻击的防御方法

探测端致盲攻击方式的致盲方法不仅仅有连续强光致盲方式，还有热致盲方式，而门控模式的单光子探测器广泛用于商用量子密钥分配系统中，因此研究探测端致盲攻击的防御方法显得尤为重要，研究者发现，之所以能产生连续强光致盲，在于探测器内部电路中采用了大阻值偏置电阻和不正确的电压阈值，如果设定正确的阈值电压，同时改进电路，就可以避免致盲。同时，研究者发现，如果受到致盲攻击，探测器的电流会比正常无攻击时要大很多，因此，监控电流也是一种有效的防御方式。

上述的防御方式统称为补丁式防御方法，这种防御方法实现简单，无需大幅修改系统，但是通常没有经过严格的安全性证明，此后，测量设备无关的量子密钥分配协议提出，该方法可以从协议上防御所有探测端不完美带来的攻击方式，它可以在当前技术条件下实现，目前已有一系列实验工作。但是，由于测量设备无关实验时需要利用双光子干涉，因此密钥率比传统的BB84协议要低。

在本文中，我们首先回顾了量子密钥分配实际安全性的，对于接收端核心器件单光子探测器，重点阐述了针对探测器端漏洞的连续强光致盲方式，最后介绍了针对探测端漏洞的几种防御方式，总之，在考虑提高量子密钥分发系统的实际安全性时，需要在不同实际应用环境中合理采用不同安全等级的防御策略。