連續(xù)變量量子密鑰分發(fā)系統(tǒng)的實際安全性分析*

黃 彪，李 麗

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，現(xiàn)代社會的信息安全問題日益突出。信息安全問題不僅影響到個人隱私和企業(yè)利益，而且關(guān)系著國家安全和世界和平。然而，傳統(tǒng)的保密通信技術(shù)難以從根本上解決密鑰信息的安全分發(fā)問題。量子密鑰分發(fā)（Quantum Key Distribution，QKD）技術(shù)是目前已被證明具有無條件安全性的一種保密通信方式，對未來的網(wǎng)絡(luò)信息安全具有重要的意義。

QKD技術(shù)主要分為離散變量（Discrete Variable，DV）和連續(xù)變量（Continuous Variable，CV）兩大類技術(shù)途經(jīng)。DVQKD技術(shù)是利用單光子的偏振態(tài)傳遞信息，也稱為“單光子QKD”技術(shù)[1]。目前，DVQKD技術(shù)發(fā)展較為成熟，但是單光子的產(chǎn)生和探測十分困難，且存在光子數(shù)分離攻擊和死計數(shù)攻擊等安全漏洞[2]，實際系統(tǒng)需要結(jié)合誘騙態(tài)協(xié)議提高安全性[3]。CVQKD技術(shù)則是利用經(jīng)典的相干態(tài)光源，通過幅度調(diào)制和相位調(diào)制來傳遞信息，僅需采用標(biāo)準(zhǔn)化的光通信器件，就能夠?qū)崿F(xiàn)密鑰的無條件安全分發(fā)[4-5]，具有更低的系統(tǒng)成本和更好的應(yīng)用前景。

在CVQKD技術(shù)中，基于高斯調(diào)制的相干態(tài)（Gaussian Modulated Coherent State，GMCS）協(xié)議最引人注目[6]。2011年，我國上海交通大學(xué)曾貴華等人搭建了基于GMCS協(xié)議集成量子保密通信系統(tǒng)[7]，在27.2 km的光纖信道中能夠獲得3.9 kb/s的安全密鑰率。2013年，法國高等光學(xué)所法布里實驗室利用多維協(xié)商算法和GPU技術(shù)，將數(shù)據(jù)協(xié)調(diào)效率提高到95%左右，實現(xiàn)了80 km傳輸距離而安全碼率接近1 kb/s的CVQKD系統(tǒng)[8]。2014年，我國國防科技大學(xué)鄒宏新等人基于無開關(guān)切換的探測方式搭建了50 km光纖信道的高斯調(diào)制CVQKD系統(tǒng)[9]，安全密鑰率達(dá)到187 kb/s。然而，實際的相干態(tài)CVQKD系統(tǒng)會受到非理想高斯調(diào)制、激光器相位噪聲和探測器校準(zhǔn)誤差等實際非理想因素的影響，引發(fā)了多種潛在的安全漏洞[10]。因此，相干態(tài)CVQKD系統(tǒng)的實際安全性逐漸成為研究的熱點。

本文將綜述基于高斯調(diào)制的相干態(tài)CVQKD系統(tǒng)的實際安全性研究現(xiàn)狀，分析各類安全漏洞攻擊以及相應(yīng)的抵御措施，探討實際CVQKD系統(tǒng)的技術(shù)發(fā)展趨勢。

1 CVQKD實際安全性的研究現(xiàn)狀

實際CVQKD系統(tǒng)的安全漏洞主要來自于兩個方面：系統(tǒng)過噪聲和邊信道攻擊。系統(tǒng)過噪聲是指由于系統(tǒng)器件的非理想特性引入的噪聲。在實際系統(tǒng)中，這類噪聲客觀存在，因此有必要從理論上分析系統(tǒng)過噪聲對系統(tǒng)安全性的具體影響。邊信道攻擊是指竊聽者通過控制公共信道中的本振光來降低系統(tǒng)安全性。由于邊信道攻擊完全受到竊聽者的控制，所以它具有更強(qiáng)的破壞力和隱蔽性。

1.1 系統(tǒng)過噪聲

系統(tǒng)過噪聲主要包括發(fā)送端的光源噪聲、接收端的探測噪聲和信道中的信道噪聲。

1.1.1 光源噪聲

發(fā)送端由于激光器和調(diào)制器的非理想特性，相干態(tài)信號光在制備時會引入光源噪聲，如相位噪聲和幅度噪聲。上海交通大學(xué)黃鵬等人分析了相干態(tài)光源噪聲的安全性能界限[11]，提出兩種描述噪聲相干態(tài)的系統(tǒng)模型，其中假設(shè)光源噪聲是由第三者Fred利用光放大器引入的。當(dāng)Fred不可信時，得到更低的安全界限；當(dāng)Fred是中立者時，得到更加緊致的安全界限。北京大學(xué)郭弘小組將光源制備噪聲特征化，提出主動切換和被動分束兩種光源噪聲監(jiān)聽策略[12]，并指出被動分束監(jiān)聽方式性能更優(yōu)。另外，Vladyslav等人研究了可信制備噪聲對提高相干態(tài)協(xié)議噪聲魯棒性的積極作用[13]。由于可信的制備噪聲不會被竊聽者控制和獲知，因此主動增加制備噪聲可以提高密鑰信息的安全程度。

1.1.2 探測噪聲

相干態(tài)信號光被探測時，探測端內(nèi)部器件的非理想特性將造成一定程度的探測噪聲，如平衡探測器的電噪聲。Vladyslav等人分析了接收端探測噪聲對相干態(tài)CVQKD安全性的影響[14]。因為探測噪聲是由探測端內(nèi)部引入的，不可被竊聽者控制和獲知，因此探測噪聲是保持安全的，但是需要通過實時監(jiān)測探測噪聲的方式來及時修正安全密鑰率。

1.1.3 信道噪聲

相干態(tài)信號光經(jīng)過量子信道后，將被信道噪聲污染，同時還可能被竊聽干擾。Lodewyck等人給出了相干態(tài)CVQKD系統(tǒng)在噪聲信道中的等價糾纏模型，并分析了信道噪聲對系統(tǒng)安全性的影響[15]。由于信道噪聲存在于光纖信道中，可以被竊聽者Eve操控，因此信道噪聲會顯著降低CVQKD系統(tǒng)的安全密鑰率和安全距離。

1.2 邊信道攻擊

相干態(tài)信號光在接收端進(jìn)行平衡探測時，需要使用同步發(fā)送的本振光作為相位參考。但是，由于本振光也經(jīng)歷了不安全的量子信道，因此本振光也存在被竊聽者攻擊的可能。邊信道攻擊主要包括本振光擾動攻擊、本振光波長攻擊和探測器飽和攻擊。

1.2.1 本振光擾動攻擊

本振光擾動會直接影響信號光的探測結(jié)果，而竊聽者可以通過控制信道中的本振光光強(qiáng)來隱藏它的高斯聯(lián)合攻擊[16]。國防科技大學(xué)馬香春等人針對本振光擾動問題提出抵御方案[17]。接收端通過實時調(diào)整本振光強(qiáng)度，將其穩(wěn)定在一個所需的常量，以消除本振光擾動來帶的影響（如圖1所示）。西北大學(xué)劉維琪等人分析了竊聽者利用本振光擾動漏洞成功隱藏并實施攻擊所需的本振光強(qiáng)度分布，并且得到一種最優(yōu)的本振光監(jiān)聽方案，可以實時監(jiān)聽一般攻擊[18]。Jouguet等人指出不準(zhǔn)確的本振光同步校準(zhǔn)方式，將導(dǎo)致類似于本振光擾動攻擊的安全漏洞[19]。竊聽者可利用截獲重發(fā)的方式改變本振光的脈沖時鐘，導(dǎo)致接收端的本振光校準(zhǔn)出現(xiàn)偏差。

圖1 接收端監(jiān)聽本征光強(qiáng)度

1.2.2 波長攻擊

接收端通常使用分束器對本振光進(jìn)行分束，一部分用于監(jiān)聽本振光強(qiáng)度，另一部分用于信號光的探測。然而，竊聽者可以通過切換本振光的波長來間接控制接收端分束器的透射率，導(dǎo)致分束后的本振光強(qiáng)度異變。為了避免這種攻擊，一種簡單的波長濾波器應(yīng)該被隨機(jī)添加在監(jiān)聽和探測之前[20]。

1.2.3 探測器飽和攻擊

竊聽者可以使用截獲重發(fā)的方式改變信號光正交分量的幅度，利用接收端平衡探測器的飽和特性進(jìn)行飽和攻擊[21]。類似地，竊聽者還可以在信號光之間插入附加光進(jìn)行攻擊，導(dǎo)致接收端的探測器響應(yīng)飽和，從而錯誤估計過噪聲[22]。

2 CVQKD實際安全性的研究趨勢

為了抵御現(xiàn)有的安全漏洞，實際CVQKD系統(tǒng)必須實時準(zhǔn)確監(jiān)聽系統(tǒng)參數(shù)。在抵御系統(tǒng)過噪聲方面，光源噪聲、探測噪聲和信道噪聲都需要實時監(jiān)聽。特別地，接收端的散粒噪聲測量十分重要，因為它受到不安全本振光的影響。在抵御邊信道攻擊方面，本地制備本振光是當(dāng)前的研究熱點。

2.1 散粒噪聲測量

接收端使用平衡探測時會引入散粒噪聲，從而增加系統(tǒng)過噪聲，降低安全密鑰率。更嚴(yán)重的是，量子黑客可以通過控制公共信道上的本振光來偽造散粒噪聲。因此，測量和控制散粒噪聲對實際CVKQD系統(tǒng)而言具有重要的意義。Kunz等人提出了一種穩(wěn)定測量散粒噪聲的方法[23]，即在接收端將本振光分束成兩個部分：一部分用于真空態(tài)的平衡探測，準(zhǔn)確測量散粒噪聲；另一部分用于信號光的平衡探測。這種穩(wěn)定測量方案可以有效抵御飽和攻擊和波長攻擊。上海交通大學(xué)黃鵬等人提出一種異步參數(shù)測量策略，通過峰谷搜索法和高斯后選擇法抵御本振光校準(zhǔn)攻擊和飽和攻擊[24]。上海交通大學(xué)曾貴華教授小組研制了1 Mb/s的連續(xù)變量量子密鑰分發(fā)系統(tǒng)[25]，使用了1 GHz散粒噪聲受限的弱相干態(tài)平衡探測器，能夠有效控制系統(tǒng)過噪聲。

2.2 本地制備本振光

公共信道中傳輸?shù)谋菊窆鈽O易被竊聽者控制，從而引發(fā)各類邊信道攻擊。盡管接收端可以實時監(jiān)聽和調(diào)整本振光光強(qiáng)，但是這種抵御措施十分被動。2015年，曾貴華教授小組黃端等人針對高速CVQKD系統(tǒng)提出了本地制備本振光的方案[26]。該方案不用發(fā)送本振光，而是在接收端本地產(chǎn)生強(qiáng)度可控的本振光進(jìn)行平衡探測。然而，這種方案沒有可靠的相位參考，導(dǎo)致CVQKD系統(tǒng)難以抵御相位噪聲。隨后，曾貴華教授小組王濤等人提出使用真實本振光的高速CVQKD方案[27-28]。該方案利用同步生成的參考脈沖對信號光的相位漂移進(jìn)行實時跟蹤和補(bǔ)償，可解決本振光不完美所導(dǎo)致的安全漏洞問題，并適合更遠(yuǎn)距離的傳輸，如圖2所示。

圖2 使用參考脈沖跟蹤相漂的CVQKD系統(tǒng)

3 結(jié) 語

量子密鑰分發(fā)技術(shù)可以解決信息安全傳遞的問題。基于高斯調(diào)制的相干態(tài)CVQKD系統(tǒng)在理論上已經(jīng)被證明是無條件安全的，但是實際系統(tǒng)由于系統(tǒng)客觀存在的非理想特性和攻擊干擾變得不夠安全。對于高斯調(diào)制相干態(tài)CVKQD系統(tǒng)而言，系統(tǒng)過噪聲和邊信道攻擊是兩類重要的安全漏洞因素。為了使實際系統(tǒng)更加安全和穩(wěn)健，發(fā)送端和接收端需要實時監(jiān)測系統(tǒng)的噪聲參數(shù)，從而準(zhǔn)確評估安全密鑰率。同時，接收端需要本地制備本振光，以抵御各類邊信道攻擊。高斯調(diào)制相干態(tài)CVKQD系統(tǒng)已經(jīng)從理論安全分析進(jìn)入到實驗系統(tǒng)驗證的階段，在密鑰生成率和傳輸距離方面也取得了重大突破，相信在不久的將來能夠走向?qū)嶋H應(yīng)用。