量子密钥分发系统的设计与实现(五)：关于诱骗态

最新推荐文章于 2025-03-03 14:11:44 发布

关于量子的一切

最新推荐文章于 2025-03-03 14:11:44 发布

阅读量1.8k

点赞数 30

文章标签：信息与通信量子城域网量子密钥分发量子加密服务时分复用诱骗态量子密钥分发系统

本文链接：https://blog.csdn.net/weixin_41366507/article/details/141130054

版权

经常会听到量子保密通信是绝对安全的！量子保密通信是颠覆技术等表述。

显然，这些表述是有前提条件的。在实际工程应用中，成码率和最远的安全距离是衡量一套量子保密系统的性能是否优良的最终标准，基于光纤量子保密通信的安全性和传输距离受单光子源、同步系统、单光子探测器这三个器件影响。本文我们讨论的重点就是单光子源引发的话题。

1.为什么要用诱骗态

理论上来说，任何双态量子系统都可以用来实现量子保密通信，但是实际操作中，由于光子具有受环境干扰小、可控性强以及激光技术成熟等优势，基本上还是使用光子作为信息的媒介。在量子密钥分发中，对于单光子量子信号的调制，常采用的调制技术包括偏振调制、相位调制以及频率调制。

在理想的量子保密通信中，理性的光源每个脉冲最多一个光子，这样才能保证绝对的安全。这是因为从量子力学的角度来看，单个量子态是无法被分割和复制的，而且测量将会破坏原来的量子态，这几点保证的信息传递的绝对安全性（理论上来说）。理想的单光子源满足如下条件：(1)在任意时刻发射单光子；(2)单光子产生率为百分百；(3)单光子间完全不可分辨；(4)重复速率任意快

所以问题来了，如何在工程上得到一个单光子源？等等，博主觉得还得再往前往前捯一下，啥是单光子源啊。

根据百度百科：光子是电磁辐射的载体，而在量子场论中光子被认为是电磁相互作用的媒介子，光子静止质量为零，光子以光速运动，并且具有能量、动量和质量（点到为止，按下不表）。

由于当前单光子源制备成本过高，因此实际上大多采用相位随机化后的弱相干态（Weak Coherent State，WCS）光源来代替完美的单光子源。实际制备方法为将脉冲激光通过固定的衰减器衰减到一定的平均光子数。由于分布在每个脉冲中的光子符合泊松分布，因此并不是每个脉冲最多一个光子，仍有一定概率大于1个光子。有公式如下：

$P(n,\mu)=\frac{\mu^{^{n}}}{n!}e-\mu$

我们理解一下这个公式，p(n, μ)表示：在平均光子数为μ的情况下，包含 n 个光子的态在整个光场量子态中所占的比例。下图为μ取不同值的时候p(n, μ)分布的示意图。假设平均每脉冲光子数为μ，根据泊松分布，Alice发出的脉冲可能包含多光子成分，并且多个光子的偏振状态等性质是完全相同的，这显然是一个很大的“BUG”。

按照这一分布，在有光子的一个脉冲内含有多于一个光子的概率为：

$P(n>1\mid n>0,\mu)=\frac{\frac{}{}1-P(0,\mu)-P(1,\mu)}{1-P(0,\mu)}=\frac{1-e^{-\mu}(1+\mu)}{1-e^{^{-\mu}}}\cong \frac{\mu}{2}$

可以看出，当一个脉冲中有0.1（即μ=0.1）个光子，那么将有5%的有光子脉冲内存在大于一个光子。由于弱相干态光源多光子脉冲的存在，窃听者可能发起光子数分离（Photon Number Splitting，PNS）攻击。所谓PNS就是当脉冲中的光子数大于1时，窃听方不需要分割或复制或测量光子的量子态，而只要把其中一个光子截获，并把其余的光子继续发送给接收方;当遇到光子数仅为1的脉冲时，则把这个光子没收并扔掉，这样，窃听方就可以通过这种分光子攻击的办法获得所有的密钥信息。PNS攻击原理如下图。

窃听者Eve拦截Alice发送给Bob的脉冲，并利用非破坏性测量技术得到所截获脉冲的光子数。如果只包含一个光子，则Eve将其拦下。如果包含的光子数大于或者等于两个，那么Eve就将其中的一个光子保存在量子存储器中，然后将脉冲中剩余的光子通过损耗更低的信道或者无损信道转发给Bob。当 Bob公布完所采用的测量基矢后，Eve采用与之相同的基矢测量保存的光子，并且同样将和 Alice 采用不同基矢对应位置的数据舍弃，就可以得到和 Bob 完全相同的密钥。并且由于是非破坏性测量，并不会引起收发双方的察觉。下图为上述过程的示意图。

2.什么是诱骗态

为了解决窃听者有可能通过分光子的手段窃取到信息的安全漏洞，2003年韩国的HwangW.Y提出了诱骗态（Decoy）量子保密通信方案。

诱骗态思想是基于硬件对于 BB84 协议进行改进，其关键在于 Alice 端在原本只发送信号态脉冲的基础上引入了诱骗态脉冲。在实际 QKD 实验中，Alice 随机发送两种不同强度的脉冲给Bob，并将信号态脉冲用于产生密钥，诱骗态脉冲用于监测 Eve 是否发动 PNS 攻击。在 Bob 接收并测量所有脉冲后，Alice 会通知 Bob 本次发送的脉冲是信号态还是诱骗态。Bob 最后根据结果得到两种强度脉冲的增益和误码。在不存在 Eve进行 PNS 攻击时，Bob 收到的 Alice 发送的两种强度脉冲的增益之比和他们的强度之比是相同的。但是，当 Eve 使用 PNS 对系统进行攻击时，两者比值将不再相等。因此通信双方也可以通过测量统计两者比值来判断是否有 Eve 进行 PNS 攻击，从而提高系统的安全性。

光脉冲是含有多种成分的组合光如多光子（n>2）、单光子(n=1)、空脉冲(n=0)三种状态，只有单光子可用来制备量子密钥。我们以三强度诱骗态方法 BB84 协议为例，每次发射时 Alice 除了随机选取基和比特之外，还会随机从三个光源——信号源 𝑧、诱骗源 𝑥、真空源 𝑜——中选择一个来制备脉冲；在所有发送和测量过程完成之后，Alice 除了公布每个脉冲的基矢信息之外，还会公布每个脉冲使用的光源。这样Bob通过一些列后处理就可以确定安全的成码率。

诱骗态方法解决了非理想单光子源的问题，使用了诱骗态方法之后，最终获得的密钥的安全性和使用单光子源进行实验获得的密钥的安全性是等价的，安全成码距离可以由原来的十几公里提高到一两百公里。

拓展阅读两个标准：

GM/T 0108-2021 诱骗态BB84量子密钥分配产品技术规范http://www.gmbz.org.cn/main/viewfile/20220805031328971447.html

GM/T 0114-2021 诱骗态BB84量子密钥分配产品检测规范http://www.gmbz.org.cn/main/viewfile/20220805032132234345.html

3.如何实现诱骗态

目前QKD系统中广泛只用的是结合诱骗态方法的弱相干光源。据诱骗态协议，要求系统采用不同强度的弱相干光光源，而且不同脉冲间应没有相位关联性，光源的设计要求诱骗态和信号态的强度不同（信号态和诱骗态光强之比为 3:1）。调节激光脉冲的强度，通常有三种方法：一种是内调制，即在调制激光器产生脉冲时，通过改变其偏置电流，从而改变激光器的调制电脉冲，进而产生不同强度的激光脉冲；一种是外调制，即使用强度调制器对部分脉冲进行强度外调制，进而改变其脉冲强度；另外一种就是使用多个激光器，进行合束的方法获得不同强度的脉冲。

本文介绍一种多激光器合束方案如下图，采用两个激光器分别制备信号态与诱骗态，经合束
器合成一路光脉冲序列。用四位随机数来控制8个激光器的工作状态。

系统的设计主要包括硬件电路设计和逻辑设计，下图为一个单光子源实物图。发送源由信号态，诱骗态，真空态组成，信号态和诱骗态采用偏振编码，量子信道包括 8 路信号光和一路同步光。接收端测量真空态，信号态和诱骗态脉冲，根据 BB84 协议生成原始密钥，最终通过后处理算法提取到最终密钥。

根据上文中分析，实际 QKD 系统所用的量子光源平均光子数 u 典型值为 0.1，故应调制到 u = 0.1 的水平，最终激光脉冲的强度应衰减至-106.31 dBm。基于诱骗态方案的 BB84QKD 系统，则信号态光应调制到平均光子数 u = 0.6、诱骗态光调制到平均光子数ν1 = 0.2、真空态光调制到平均光子数ν2 = 0 的水平。下图为光脉冲图像，左边为信号态光脉冲，右边为诱骗态光脉冲，脉冲强度为3:1，满足QKD要求。

4.写在最后

本文是量子密钥分发系统工程化相关的一篇文章，可以看出“理想”和“现实”的区别，我们一直说的来量子通信的无条件安全是理论层面的分析，受限于技术和成本等因素工程上要考虑的因素是比较多的，尤其是量子通信系统的安全性，在工程化的过程中，需要不断的考虑各种“实际安全漏洞”的问题。本文主要是初步介绍一下诱骗态的基本情况，省略了大量的设计细节描述，有兴趣的同学可以翻一下参考文献进一步了解。

本文如有谬误，还请各位朋友不吝指出。