基于不可信纠缠源的高斯调制连续变量量子密钥分发*

廖骎 柳海杰 王铮 朱凌瑾

1) (湖南大学信息科学与工程学院,长沙 410082)

2) (湖南省计量检测研究院,长沙 410014)

在实际的量子通信系统中,连续变量量子密钥分发的信源安全可能会因为器件的缺陷或隐藏的攻击而受到威胁.针对这个问题,本文提出了基于不可信纠缠源的高斯调制连续变量量子密钥分发方案,通过将高斯纠缠源置于不可信的量子信道来模拟纠缠源被攻击者所控制的场景,从而验证实际复杂环境下高斯调制连续变量量子密钥分发的安全性.本文详细分析不可信纠缠源对系统安全性的影响并引入了两种光学放大器来辅助提升所提方案的实际性能.仿真实验结果表明,本文所提方案即使在高斯纠缠源不可信的情况下仍然能够产生安全的量子密钥,同时,光学放大器也能够有效提升接收端探测器的量子效率.该工作旨在推动高斯调制连续变量量子密钥分发系统的实用化进程,为高斯调制连续变量量子密钥分发系统的实际部署和应用提供理论指导.

1 引言

量子通信具有由量子力学原理保证的理论无条件安全性,是量子信息领域的研究方向之一.其中,基于连续变量的量子通信技术凭借量子态易于制备、系统部署成本较低、兼容现代通信系统、信道容量高等优势成为研究的热点前沿[1].连续变量量子通信包括连续变量量子密钥分发协议[2,3]、连续变量量子会话协议[1,4]、连续变量量子密钥共享协议[5,6]、连续变量量子确定性密钥分发协议[7,8]等,其中发展较快的是连续变量量子密钥分发协议.量子密钥分发(quantum key distribution,QKD)允许两个合法的通信双方在不安全的量子信道上进行点对点的保密通信.根据物理学中本征态具有的连续谱和离散谱两种不同的特征,QKD 主要可以分为离散变量(discrete-variable,DV) QKD 和连续变量(continuous-variable,CV)QKD 两大类.在CVQKD 中,发送方(Alice)通常在光场的正则分量上采用高斯调制编码密钥信息;接收方(Bob)则采用相干探测技术来恢复密钥[9].CVQKD 继承了连续变量技术的优势,使其得到了领域内研究者的广泛关注[10].

目前,高斯调制(Gaussian-modulated,GM)CVQKD[11-13]协议具有比较完备的安全性分析方法且其理论无条件安全性已经得到了充分证明[14,15].然而,由于实际器件的不完美性,攻击者可以利用这些不完美器件发起针对于GMCVQKD 实际系统的各种攻击,严重阻碍了GMCVQKD 的部署和应用进程.已提出的针对于系统实际安全性发起的攻击主要有: 校准攻击[16]、本振光抖动攻击[17]、饱和攻击[18]、波长攻击[19,20]以及致盲攻击[21]等等.对于这些攻击手段,目前的防御策略主要是采取主动监控或增加光学器件来过滤攻击.除此之外,许多研究者通过将机器学习理论和技术引入GMCVQKD系统达到实时检测和防御实际攻击的目的[22,23].这些方法的确为GMCVQKD 系统的实际安全性提供了有力保障.然而,在防范系统漏洞的同时,一个重要的实际安全问题往往被忽略,那就是信号源的安全性.众所周知,GMCVQKD 的理论安全性证明的基本假设之一就是信号源必须完全可信,即信号源无法被攻击.但是,在实际的网络环境中,这个假设是不现实的,就算信号源被掌握在可信的发送方手中,也可能因为工作人员被策反等原因造成信号源被窃听者所控制.为了解决这个问题,Weedbrook[24]证明了纠缠源置于不可信量子信道中间这一特殊情形下CVQKD 的理论渐近安全性.Liao 等[23,25]在上述理论安全性证明的基础上,提出了基于不可信纠缠源的离散调制的连续变量量子密钥分发方案并验证了大气信道下不可信纠缠源的连续变量量子密钥分发方案的可行性.相比之下,目前对GMCVQKD 的信源安全性的研究尚不充分,但是,验证量子保密通信系统中高斯调制的纠缠源有可能被攻击的实际安全问题具有非常重要的意义,有助于推进GMCVQKD 系统的实际部署和应用.另外,在CVQKD 系统中,接收方(Bob)的探测器不可避免地存在一些固有缺陷,无法达到理想的探测效率[26-28],导致CVQKD 系统实际性能的下降.因此,如何补偿由探测器缺陷造成的性能损耗,也是提高CVQKD 系统的实际性能重要方法.

基于以上分析,本文提出基于不可信纠缠源的GMCVQKD 方案,并在此基础上,通过部署光学放大器来补偿相干探测器的不完美缺陷,提升系统的性能.具体地,通过将高斯纠缠源移出发送端并置于不可信的量子信道上来分析其安全性,并在接收端的入口处部署相位敏感放大器(phasesensitive amplifier,PSA)对零差探测器进行补偿和相位不敏感放大器(phase-insensitive amplifier,PIA)对外差探测器的进行补偿.仿真结果表明: 在适当的距离下,即使信源置于不安全的信道中,通信双方仍然能产生安全密钥;并且,在部署两种放大器后,接收端探测器的量子效率有了大幅的提升.本文提出的方案为在实际环境中部署GMCVQKD的提供了理论指导,有助于推动GMCVQKD 系统的实用化进程.

本文首先详述了提出的基于不可信纠缠源的GMCVQKD 方案和安全性分析,并对方案的性能进行了详细分析,最后介绍了使用放大器对探测器的补偿效果.

2 基于不可信纠缠源的GMCVQKD

2.1 方案描述

图1 展示了基于不可信纠缠源的GMCVQKD的方案图.与图2 的纠缠源可信的GMCVQKD 方案[26]相比,本文的方案通过将纠缠源移出发送端Alice 的安全范围并将其置于不可信的量子信道来验证GMCVQKD 系统的实际安全性.在此基础上,攻击者Eve 可以制备或控制纠缠源并发动攻击.因此,Eve 可以将Alice 和Bob 的量子信道替换成自己的量子信道并进行窃听[25].为了模拟信道损耗,Eve 使用了两个透射率分别为T1和T2的分束器,如图1 所示.显然,当T1=1 时,方案等价于纠缠源可信的GMCVQKD方案,而当T1=T2时,表示纠缠源位于信道正中间,此时Eve 针对通信双方的攻击是对称的,因此,信道的总透射率表示为T=T1T2.具体的方案步骤如下:

图1 基于不可信纠缠源的GMCVQKD 的方案图Fig.1.Scheme diagram of the GMCVQKD based on untrusted entanglement source.

图2 纠缠源可信的GMCVQKD 的方案图Fig.2.Scheme diagram of the GMCVQKD with trusted entanglement source.

1) 首先假设纠缠源是高斯的,并将纠缠源移出Alice 端,移至不可信的量子信道中.

2) 不可信信道内的纠缠源生成EPR 对,分别具有A和B0两个模式,将其分别发送给Alice 和Bob.

3) 假设Eve 对信道两端的通信双方Alice 和Bob 发起纠缠克隆攻击[29],该攻击在正向协商和反向协商下的最强攻击能力已经被证明[30-31].

4) Eve 制备方差为Wi(i=1,2) 的辅助态|Ei〉并准备透射率为Ti(i=1,2) 的分束器,将信道替换成自己的攻击信道.其中攻击信道的透射率为Ti,过噪声与输入ε有关.

5) Eve 将其辅助态的其中一个模式|Ei1〉保存在量子存储器中,辅助态的另一个模式|Ei2〉被注入各自分束器中未使用的端口,并各自与发送给Alice 和Bob 的模式在分束器中进行光学混合.随后Eve 将其中一个端口的A1模式和B1模式分别发送给Alice 和Bob.Eve 得到输出模式|Ei3〉后将其保存到量子存储器中[24,25].

6) 最后,当Alice 和Bob 通过经典的通信信道公布相关信息后,Eve 可以进行准确的测量从而得到有效的信息.

2.2 安全性分析

基于不可信纠缠源的GMCVQKD 方案的渐近安全密钥率取决于通信双方Alice 和Bob 的协方差矩阵γA1B1,可表示为[26]

其中,I2=diag(1,1) 为二维单位矩阵,a=T1V+(1-T1)W1,b=T2V+(1-T2)W2,c=[T1T2(V2-1)]1/2,σz=diag(1,-1) ,Wi=Tiχi/(1-Ti) 是关于输入χi=(1-Ti)/Ti+ε的加性噪声,V表示EPR 纠缠态的方差.基于上述协方差矩阵,本文所提方案在集体攻击下的渐近安全密钥率为[26]

其中β表示反向协商效率,IA1B3表示通信双方Alice 和Bob 之间的香农互信息量,χBE表示Bob和Eve 之间的互信息的Holevo 界.

在方案采用零差检测的情况下,Alice 和Bob之间的互信息量为[26]

其中χtot=χline+χh表示信道输入端的总噪声,χline=1/T+ε-1 表示信道输入端的加性噪声,χhom=[(1-η)+υel]/η表示零差探测器的噪声,其中η和υel分别表示Bob 端探测器的量子效率和电噪声.

χBE界定了Eve 能够从Bob 端获取的最大信息量,表示为[26]

其中,G(x)=(x+1)log2(x+1)-xlog2x,

当方案采用外差检测时,Alice 和Bob 之间的互信息量表示为[26]

Bob 和Eve 之 间互信 息的Holevo 界χBE与(4)式相同,其特征值λ1,2也与(5)式相同,而特征值λ3,4表示为[26]

其中外差探测器的噪声表示为χhet=[1+(1-η)+2υel]/η.最后一个特征值λ5在外差和零差探测的情况下均为1.

2.3 性能分析

本节讨论了基于不可信纠缠源的GMCVQKD方案在渐近安全下的性能.根据实际的实验环境,仿真实验中的全局参数设定如下: EPR 纠缠态的方差为V=4,信道透射率T=10-αL/10,其中光纤衰减系数α=0.2 dB/km,L表示信道的长度,探测器的量子效率和电子噪声分别为η=0.5 和υel=0.01,协商效率β=0.97,系统的过噪声ε=0.01[32-34].

图3 对原始的GMCVQKD 方案和纠缠源不可信的GMCVQKD 方案在安全密钥率、互信息量和Holevo 界3 个方面进行性能的比较,其中LAlice=0 km 表示原始的GMCVQKD 方案的仿真结果,LAlice=0.01 km 和LAlice→0.01 km 表示基于纠缠源不可信的GMCVQKD 方案的仿真结果(其中LAlice=0.01 km 指纠缠源移出Alice 端10 m,而LAlice→0.01 km 表示纠缠源非常趋近于Alice 端,本文取值为1 m).从图3(a)可以看出,GMCVQKD方案在纠缠源不可信的情况下仍然能得到安全密钥率.但是,相较于原始的GMCVQKD方案,方案的性能有明显地下降.特别是,一旦将纠缠源移出Alice 的保护范围(即使非常接近Alice 方),协议的最大传输距离就会降至150 km以下.为探究造成这一现象的主要原因,图3(b)比较了两种方案的互信息量,发现两者的互信息量基本一致.由(1)式可知,造成最大传输距离下降的主要因素是Bob 与Eve 的Holevo 界.为此,图3(c)展示了原始的GMCVQKD 方案和纠缠源不可信的GMCVQKD方案的Holevo 界.从图3(c)可观察到,与原始的GMCVQKD 方案相比,不可信纠缠源的GMCVQKD 方案的Holevo 界有明显地增长,这表明不可信的纠缠源增强了Eve 集体攻击的能力.因此,一旦纠缠源移出Alice 的合法范围,方案的性能就急剧下降.除此之外,从图3(c)还可以看出,纠缠源越接近Alice 端,Holevo 界越高.为了进一步探究纠缠源的距离对所提方案的安全密钥率的影响,图4 绘制了纠缠源置于不同位置的安全密钥率.与原方案相比,性能差距虽然明显,但是随着纠缠源与Alice 端距离(LAlice)的增大,所提方案的最大传输距离也逐渐增大.特别地,在图4(a)中可以看出所提方案的最大传输距离超过了150 km.这是因为Holevo 界随着距离LAlice的上升在逐渐减小,甚至逐渐接近原始方案的Holevo 界,如图4(b)所示.此外,在不可信纠缠源的GMCVQKD 中,Wi对系统的性能影响较大,Eve 可以根据实际的信道噪声χi对其进行调制和匹配并通过仔细控制过噪声的值,使其在可容忍的门限值内,从而隐藏自己的攻击.因此,探究Wi对系统性能的影响非常重要,而Wi值的关键因素是过噪声.为此,图5 仿真了零差探测下所提方案在不同ε下的安全密钥率.从图5 可以观察到,过噪声越小,方案的安全传输距离越大,随着过噪声的增大,方案的安全距离也逐渐减小,尤其是当ε为0.02 时,方案的传输距离直接下降到100 km以下.上述仿真的实验结果均是在零差探测下得到的,除此之外,图6 还给出了采用外差探测时不可信纠缠源的GMCVQKD 的性能.从图6 可以看出,当系统采用外差探测时,不可信纠缠源的方案和原始方案的安全传输距离差距较大,同时,虽然该方案也能产生正向的安全密钥率,但相较于采用零差探测的情况,方案的最大传输距离有明显地下降.例如,当LAlice等于0.05 km 时,采用零差探测的方案的最大传输距离超过150 km,而采用外差探测的方案的最大传输距离降至150 km.为了解释这一现象,图6(b)给出了采用外差探测时不同LAlice的Holevo 界.与零差探测类似,外差检测的Holevo 界也随着LAlice的上升而减少,并且逐渐与原始方案的Holevo 界接近.此外,相较于零差探测,外差探测的Holevo 界有着非常明显的增加.造成这一现象的原因可能是由于外差探测的噪声比零差探测的大,而这部分噪声通常被视为攻击者Eve截获信息的一部分,从而导致Holevo 界的增加.

图3 零差探测下不可信纠缠源的GMCVQKD 方案的与原始GMCVQKD 方案的性能对比 (a) 两种方案的安全密钥率与传输距离的关系;(b)两种方案的互信量与传输距离的关系;(c)两种方案的Holevo 界与传输距离的关系Fig.3.The performance comparison between the GMCVQKD scheme with an untrusted entanglement source and the original GMCVQKD scheme under homodyne detection: (a) The relationship between the security key rate and transmission distance of the two schemes;(b) the relationship between mutual information and transmission distance of the two schemes;(c) the relationship between Holevo bound and transmission distance of two schemes.

图4 零差探测下基于不可信纠缠源的GMCVQKD 方案在不同纠缠源距离下的性能 (a)所提方案的安全密钥率与传输距离的关系;(b)所提方案的Holevo 界与传输距离的关系Fig.4.Performance of the GMCVQKD scheme based on an untrusted entanglement source with homodyne detection at different entanglement source distances: (a) Relationship between the security key rate of the proposed scheme and the transmission distance;(b) relationship between the Holevo bound of the proposed scheme and the transmission distance.

图5 零差探测下基于不可信纠缠源的GMCVQKD 方案在不同过噪声下的性能Fig.5.The performance of the GMCVQKD scheme based on an untrusted entanglement source under different excess noise.

图6 外差探测下基于不可信纠缠源的GMCVQKD 方案在不同纠缠源距离下的性能 (a) 所提方案的安全密钥率与传输距离的关系;(b)所提方案的Holevo 界与传输距离的关系Fig.6.Performance of the GMCVQKD scheme based on an untrusted entanglement source with heterodyne detection at different entanglement source distances: (a) Relationship between the security key rate of the proposed scheme and the transmission distance;(b) relationship between the Holevo bound of the proposed scheme and the transmission distance.

3 光学放大器的补偿效应

光学放大器在量子密钥分发中的应用已经得到了广泛的研究[35-39],本节针对基于不可信纠缠源的GMCVQKD 系统中探测器存在的固有缺陷,将PSA 和PIA 两个放大器应用于实际系统中以探究两种放大器对不理想探测器的补偿效应.本节主要针对PSA 与零差探测器以及PIA 和外差探测器这两种组合配置进行分析.其他两种组合配置在本节中暂不作讨论.

3.1 PSA 与零差探测组合后的性能分析

PSA 是一种简并光参量放大器,其在理想情况下可以对选定的正交分量进行无噪声的放大[26].其放大过程描述为:,其中,g≥1 表示放大的增益系数,xs和ps表示信号的两个正则分量,其模型如图7 所示.下面针对PSA 与零差探测器的组合配置进行性能分析.

图7 PSA 的模型Fig.7.Model of PSA.

如前所述,Eve 获得Bob 的密钥信息量由(4)式推导得出,然而(4)式的前半部分并不依赖于Bob 端的设备,因此,最后的结果取决于(4)式的第2 部分.根据文献[26],当Bob 使用PSA 来补偿零差探测器时,其特征值λ3,4的表达式与(9)式和(10) 式一致,唯一的改变是探测器的加性噪声.因此,添加PSA 放大器后,χhom修改为[26]

根据(15)式,图8 给出了PSA 和零差探测器组合下,不可信纠缠源的GMCVQKD 方案的安全密钥率的仿真结果.图中由蓝色线代表没有放大器作用的情况,紫色线表示系统具有理想的探测器的情况,其他线则描述了插入PSA 后安全密钥率在不同的放大增益系数g(分别取3,20)[26]下的仿真结果.仿真结果表明,当PSA 的增益系数越大,补偿的效应就越明显,特别地,当增益系数为20时,其安全密钥率甚至可以与理想的零差探测器相媲美.此外,图(8)的插图中还展示了当增益系数g=1 时(即不添加PSA 放大器),其传输距离与添加PSA 放大器后的差距,特别地,两者的安全传输距离差超过了5 km.因此,可以表明,PSA 能够补偿零差探测器的内在缺陷,同时,在增益系数足够大的情况下,一个理想的PSA 甚至可以完全地补偿放大器的内在缺陷.从系统的角度来说,PSA 和零差探测的组合可以视为一个理想的探测装置.

图8 零差探测与PSA 组合后的安全密钥率Fig.8.Security key rate for the combination of homodyne detection and PSA.

3.2 PIA 与外差探测组合后的性能分析

外差探测与PIA 组合的性能分析和零差探测与PSA 的组合类似,只需考虑(4)式的后半部分.不过,两者的不同之处在于,对外差探测与PIA 进行性能分析时,要额外考虑到PIA 的加性噪声.正如图9 所示,(4)式的计算中还需要包括模式I 和J.因此,(4)式重写为[26]

图9 PIA 的模型Fig.9.Model of PIA.

其中,特征值λ3,4的表达式与(13)式和(14)式的一致,且λ5,6,7=1.同样地,外差探测器的加性噪声也发生了变化,在Bob 添加PIA 放大器后,χhet重写为[26]

根据(17)式,图10 仿真了在PIA 和外差探测器组合下,基于不可信纠缠源的GMCVQKD 方案的安全密钥率的仿真结果.图中深蓝色线代表不使用放大器的情况,由浅蓝色线代表不使用放大器,且探测器没有内部缺陷的情况,其他线表示插入PIA 后安全密钥率在不同的放大增益系数g(分别取3,20)[26]和放大器噪声N(分别取1,1.5)[26]下的结果.从图10 可以看出,当PIA 的增益逐渐增大,由外差探测器内部缺陷带来的性能下降问题也逐渐得到了补偿,当增益系数g取20 时,其性能甚至可以逼近理想探测器的情况.此外,插图显式地展示了不添加PIA 放大器与插入PIA 放大器的性能差距,数据表明两者的安全距离差超过了5 km.另外,在图10 还可以观察到放大器的噪声N对系统的密钥率也有很大的影响,N值越小,密钥率越高.从某种意义上来说,PIA 与外差探测器的组合也可以视为一个理想的探测设备.

图10 外差探测与PIA 组合后的安全密钥率Fig.10.Security key rate for the combination of heterodyne detection and PIA.

4 结论

本文提出了一个基于不可信纠缠源的GMCVQKD 方案,相比于传统方案,本文提出的方案不再需要光源可信的假设条件,而是通过将纠缠源移置不可信的量子信道并进行安全性分析,验证了当发送端不可信或被Eve 控制时GMCVQKD协议的安全性.实验结果表明,即使纠缠源置于不可信的量子信道中,本文方案依然能够安全地分发密钥,从而消除了CVQKD 理论安全性分析中信号源必须可信的假设条件.因此,本文为GMCVQKD系统在实际复杂环境下的部署提供了理论依据,具有更强的实用性,有助于推动GMCVQKD 的实用化发展.此外,针对检测器件的不完美缺陷,本文分别通过部署PSA 和PIA 对相干探测器进行了补偿,提升了基于不可信纠缠源的GMCVQKD 系统的性能.