量子密鑰分發(fā)系統(tǒng)防死時(shí)間攻擊方案研究

唐世彪, 李志, 鄭偉軍, 張萬(wàn)生, 高松, 李亞麟, 程節(jié), 蔣連軍

(1 科大國(guó)盾量子技術(shù)股份有限公司, 安徽 合肥 230088;2 浙江華電器材檢測(cè)研究院有限公司, 杭州 浙江 310000;3 國(guó)網(wǎng)浙江省電力有限公司嘉興供電公司, 浙江 嘉興 314000;4 浙江國(guó)盾量子電力科技有限公司, 浙江 杭州 310007)

0 引 言

近年來(lái)量子計(jì)算技術(shù)快速發(fā)展[1,2],給以數(shù)學(xué)問(wèn)題復(fù)雜性為基礎(chǔ)的公鑰密碼體制帶來(lái)了嚴(yán)重威脅。作為對(duì)抗量子計(jì)算威脅的技術(shù)路線之一,量子密鑰分發(fā)(QKD)技術(shù)的研究也展現(xiàn)出理論與實(shí)用化快速并驅(qū)發(fā)展的特點(diǎn)[3?5]。

QKD 通過(guò)傳輸量子態(tài)光脈沖信號(hào)完成通信雙方的對(duì)稱密鑰協(xié)商生成,其安全性由量子力學(xué)基本原理保證。然而工程實(shí)現(xiàn)中因技術(shù)限制或者實(shí)現(xiàn)漏洞,會(huì)產(chǎn)生一些可能被攻擊者利用的潛在安全威脅[6,7]。例如工程上難以實(shí)現(xiàn)理想的單光子源,對(duì)于原始形式的BB84 量子密鑰分發(fā)協(xié)議,竊聽(tīng)者可以采取光子數(shù)分束攻擊的方式竊取部分密鑰信息。針對(duì)這種攻擊方式,通過(guò)在激光器發(fā)射的信號(hào)光中隨機(jī)摻雜一些不同強(qiáng)度的誘騙光來(lái)監(jiān)測(cè)信道和竊聽(tīng)者對(duì)光脈沖的影響,誘騙態(tài)BB84 協(xié)議[8]可以使用半導(dǎo)體激光器制備的弱相干態(tài)光作為光源,實(shí)現(xiàn)與理想單光子源密鑰生成速率接近的實(shí)用化QKD 系統(tǒng),目前該協(xié)議已經(jīng)發(fā)展成應(yīng)用最廣、得到嚴(yán)格安全證明的QKD 協(xié)議。

為進(jìn)一步提升QKD 技術(shù)的實(shí)用性和安全性,挖掘QKD 系統(tǒng)中可能存在的安全漏洞并研究相應(yīng)的防御策略是該領(lǐng)域的一個(gè)重要研究方向[9]?；谡T騙態(tài)BB84 協(xié)議的偏振編碼QKD 系統(tǒng)一般由發(fā)送端、量子態(tài)光脈沖傳輸信道、接收端和數(shù)據(jù)后處理系統(tǒng)組成,其中接收端負(fù)責(zé)接收和測(cè)量量子態(tài)光脈沖,探測(cè)器模塊是完成單光子信號(hào)轉(zhuǎn)換成電信號(hào)的關(guān)鍵模塊。如果探測(cè)器模塊中有多個(gè)單光子探測(cè)器且存在死時(shí)間特性,死時(shí)間效應(yīng)將會(huì)導(dǎo)致BB84 協(xié)議過(guò)程中篩選密鑰生成速率受到限制[10],因此Burenkov 等[11]通過(guò)數(shù)值模擬和分析計(jì)算提出了更安全的密鑰篩選方案。此外,攻擊者還可以利用死時(shí)間效應(yīng)實(shí)現(xiàn)對(duì)多通道探測(cè)器中指定通道的致盲以控制接收端生成特定的篩選密鑰,從而破壞QKD 系統(tǒng)的密鑰安全性,該攻擊稱為死時(shí)間攻擊[12]。

本文針對(duì)探測(cè)器模塊中多通道探測(cè)器可能產(chǎn)生的死時(shí)間攻擊漏洞,設(shè)計(jì)實(shí)現(xiàn)了一種基于時(shí)間測(cè)量技術(shù)的防御方案,確保多通道探測(cè)器能夠同步進(jìn)入與退出死時(shí)間狀態(tài),且通過(guò)修改固件的形式即可完成升級(jí),避免硬件調(diào)整,從而助力實(shí)用化QKD 產(chǎn)品的推廣與應(yīng)用。

1 方案原理描述

1.1 死時(shí)間攻擊原理

基于誘騙態(tài)BB84 協(xié)議的典型偏振編碼QKD 系統(tǒng)的一種典型接收端解碼探測(cè)模塊結(jié)構(gòu)如圖1 所示。發(fā)送端制備包含四種偏振態(tài)|H〉、|V〉、|+〉、|?〉的光脈沖信號(hào),經(jīng)光纖信道傳輸?shù)竭_(dá)接收端后,通過(guò)解碼探測(cè)模塊中的分束器完成隨機(jī)基矢選擇,再經(jīng)過(guò)偏振控制器和偏振分束器到達(dá)H、V、P、N 四通道單光子探測(cè)器。

圖1 一種典型接收端解碼探測(cè)模塊結(jié)構(gòu)圖Fig.1 Structure diagram of a typical receiver decoding and detection module

根據(jù)BB84 協(xié)議,當(dāng)發(fā)送端和接收端使用偏振控制器完成兩端偏振態(tài)探測(cè)鏈路的校準(zhǔn)后,到達(dá)接收端的|H〉偏振態(tài)的光脈沖信號(hào)經(jīng)過(guò)分束器和偏振分束器到達(dá)H、V、P、N 四通道單光子探測(cè)器的概率將分別接近50%、0%、25%、25%,其他三種偏振態(tài)同理。

用于實(shí)現(xiàn)單光子探測(cè)的探測(cè)器類型很多,實(shí)用化QKD 系統(tǒng)多采用單光子雪崩光電二極管(APD)實(shí)現(xiàn)單光子探測(cè)。為成功探測(cè)接收到極微弱的單光子信號(hào),APD 必須工作在蓋革模式下以獲得足夠高的增益。在蓋革模式下,當(dāng)探測(cè)到一個(gè)光子入射后,APD 內(nèi)會(huì)產(chǎn)生雪崩電流并自發(fā)持續(xù)下去,長(zhǎng)時(shí)間處于雪崩狀態(tài)將影響APD 的使用壽命和穩(wěn)定性,因此在觸發(fā)一次雪崩后,需要通過(guò)主動(dòng)或被動(dòng)方式將APD 的反向偏壓降低到雪崩電壓之下,以退出蓋革模式、淬滅雪崩電流。此外,APD 雪崩過(guò)程中產(chǎn)生的載流子由于倍增層中的缺陷和雜質(zhì)而導(dǎo)致延遲釋放,造成少量額外雪崩信號(hào)即后脈沖效應(yīng),從而導(dǎo)致錯(cuò)誤計(jì)數(shù)并降低QKD 系統(tǒng)安全密鑰生成速率。為此,在每次成功探測(cè)到光脈沖后,需要將APD 反向偏壓降低到雪崩電壓以下并持續(xù)一段時(shí)間,強(qiáng)制APD 退出蓋革模式而進(jìn)入線性模式,此時(shí)單光子入射將無(wú)法觸發(fā)有效探測(cè)信號(hào),這段時(shí)間稱為死時(shí)間,一般為幾十納秒到幾十微秒。

死時(shí)間攻擊[12]就是利用單光子探測(cè)器的死時(shí)間效應(yīng),攻擊者在真實(shí)光脈沖信號(hào)前向光纖信道注入一個(gè)固定偏振的強(qiáng)脈沖光,引發(fā)H、V、P、N 四個(gè)探測(cè)器中除了目標(biāo)探測(cè)器以外的其他三通道都以很高的概率觸發(fā)探測(cè)并處于死時(shí)間而被致盲,僅剩余目標(biāo)探測(cè)器處于正常響應(yīng)模式。攻擊者可據(jù)此控制接收端探測(cè)器的響應(yīng),如果此時(shí)接收端有探測(cè)事件產(chǎn)生,則攻擊者能以很高的準(zhǔn)確性判斷接收端的探測(cè)結(jié)果,由于每個(gè)探測(cè)器映射的密鑰數(shù)據(jù)是固定的,因此攻擊者便能成功竊取密鑰數(shù)據(jù),相關(guān)實(shí)驗(yàn)驗(yàn)證該攻擊能夠成功竊取98.83%的密鑰信息[13]。

1.2 防死時(shí)間攻擊方案原理

針對(duì)死時(shí)間攻擊的原理,死時(shí)間攻擊防御需要達(dá)到如下目標(biāo):保證多通道探測(cè)器只要一個(gè)通道有探測(cè)響應(yīng),所有通道探測(cè)器同時(shí)進(jìn)入死時(shí)間狀態(tài),并且同時(shí)從死時(shí)間狀態(tài)中恢復(fù)。

根據(jù)防御原理,設(shè)計(jì)如下探測(cè)器死時(shí)間控制策略:將死時(shí)間劃分為硬件死時(shí)間和軟件死時(shí)間,硬件死時(shí)間長(zhǎng)度固定,由設(shè)備硬件電路屬性決定,軟件死時(shí)間長(zhǎng)度則根據(jù)探測(cè)事件進(jìn)行動(dòng)態(tài)調(diào)整。首先軟件上設(shè)置死時(shí)間基礎(chǔ)值,當(dāng)四通道探測(cè)器中任意一通道觸發(fā)探測(cè)事件后,開(kāi)啟死時(shí)間計(jì)時(shí),在死時(shí)間基礎(chǔ)值內(nèi)所有探測(cè)器的探測(cè)事件均記為無(wú)效數(shù)據(jù)。若在死時(shí)間結(jié)束前有任意一通道觸發(fā)新的探測(cè)事件,死時(shí)間長(zhǎng)度自動(dòng)增加一個(gè)疊加值。只有當(dāng)各通道探測(cè)器在死時(shí)間范圍內(nèi)均無(wú)響應(yīng)時(shí),才同時(shí)退出死時(shí)間狀態(tài),各通道探測(cè)器觸發(fā)新的探測(cè)事件才會(huì)被當(dāng)成有效數(shù)據(jù)。

該方案的時(shí)序關(guān)系如圖2 所示。定義Td0:死時(shí)間疊加值,即探測(cè)器的硬件死時(shí)間長(zhǎng)度,該疊加值時(shí)長(zhǎng)由探測(cè)器內(nèi)部探測(cè)信號(hào)放大、甄別、整形等處理過(guò)程時(shí)間決定;定義Td1:死時(shí)間基礎(chǔ)值,即軟件首次設(shè)置的死時(shí)間長(zhǎng)度值,該基礎(chǔ)值時(shí)長(zhǎng)不低于Td0,主要考慮為降低后脈沖而強(qiáng)制APD 退出蓋革模式的持續(xù)時(shí)間。如果在Td1 時(shí)間結(jié)束前未產(chǎn)生新的探測(cè)事件,則本次死時(shí)間結(jié)束,四通道探測(cè)器數(shù)據(jù)均設(shè)為有效,開(kāi)始進(jìn)入下一個(gè)探測(cè)周期;定義Td1′:實(shí)際執(zhí)行的死時(shí)間長(zhǎng)度,從某通道探測(cè)器發(fā)生探測(cè)事件開(kāi)啟死時(shí)間到死時(shí)間結(jié)束,由于四通道探測(cè)器的探測(cè)事件時(shí)刻變化,因此該數(shù)據(jù)需要?jiǎng)討B(tài)調(diào)整;定義T2:假設(shè)在Td1′快結(jié)束前,H、V、P、N 任意通道又發(fā)生新增探測(cè)事件,則T2 表示該新增探測(cè)事件到當(dāng)前Td1′末尾的間隔時(shí)長(zhǎng)。

圖2 防死時(shí)間攻擊方案示意圖Fig.2 Schematic diagram of anti-dead time attack

由于Td0 的存在,如果Td1′長(zhǎng)度固定,死時(shí)間仍然存在不同步結(jié)束的風(fēng)險(xiǎn):當(dāng)Td1′快結(jié)束時(shí),如果某通道探測(cè)器(如H 通道)又發(fā)生探測(cè)事件,當(dāng)Td1′結(jié)束而H 通道新的Td0 還沒(méi)結(jié)束,則此時(shí)V、P、N 通道可以開(kāi)始探測(cè),但H 通道還不能探測(cè),從而導(dǎo)致四通道探測(cè)器的死時(shí)間結(jié)束不同步。為此,設(shè)計(jì)如下Td1′時(shí)長(zhǎng)動(dòng)態(tài)調(diào)整方案,根據(jù)T2 的長(zhǎng)短決定Td1′是否延長(zhǎng):(1)H、V、P、N 四通道探測(cè)器任意一通道觸發(fā)探測(cè)事件,死時(shí)間狀態(tài)正式啟動(dòng),設(shè)定Td1′=Td1,Td1 時(shí)間內(nèi)四通道探測(cè)器的探測(cè)事件均無(wú)效化;(2)如果T2≥Td0,該次事件Td0 結(jié)束時(shí)總時(shí)長(zhǎng)仍未超出當(dāng)前Td1′時(shí)間范圍,則當(dāng)前Td1′時(shí)長(zhǎng)結(jié)束時(shí)死時(shí)間正常結(jié)束,Td1′=Td1,四通道探測(cè)器的探測(cè)事件恢復(fù)有效;(3)如果T2

按照以上防御策略,攻擊者注入固定偏振態(tài)的強(qiáng)脈沖光后,任一通道探測(cè)器響應(yīng)都會(huì)觸發(fā)四通道探測(cè)器同步進(jìn)入死時(shí)間,通過(guò)該機(jī)制,攻擊者的目標(biāo)探測(cè)器即使有響應(yīng)事件也會(huì)被視為無(wú)效數(shù)據(jù)丟棄,不會(huì)用于生成密鑰數(shù)據(jù),從而阻止攻擊者獲取密鑰信息。

1.3 防死時(shí)間攻擊方案實(shí)現(xiàn)

QKD 系統(tǒng)中收發(fā)兩端通過(guò)傳輸100 kHz 強(qiáng)度較高的同步光脈沖進(jìn)行時(shí)間同步,相鄰?fù)焦饷}沖間等間距分布著單光子水平的信號(hào)光脈沖,信號(hào)光和同步光的時(shí)序關(guān)系在收發(fā)兩端及信道傳輸過(guò)程中保持穩(wěn)定。接收端通過(guò)探測(cè)同步光脈沖來(lái)確定時(shí)間坐標(biāo),再根據(jù)探測(cè)到的信號(hào)光脈沖的時(shí)間來(lái)確定該信號(hào)光脈沖的唯一編號(hào),收發(fā)兩端據(jù)此能夠?qū)⒚總€(gè)信號(hào)光脈沖一一對(duì)應(yīng),以保證后續(xù)密鑰數(shù)據(jù)處理同步并生成對(duì)稱密鑰。同步光脈沖和信號(hào)光脈沖的時(shí)序關(guān)系如圖3 所示。

圖3 同步光與信號(hào)光時(shí)序關(guān)系圖Fig.3 Timing diagram of synchronous pulse and signal pulse

為實(shí)現(xiàn)以上防死時(shí)間攻擊策略,在QKD 系統(tǒng)接收端用TDC 時(shí)間測(cè)量單元測(cè)量各通道探測(cè)事件的觸發(fā)時(shí)間,現(xiàn)場(chǎng)可編程門陣列(FPGA)根據(jù)時(shí)間測(cè)量結(jié)果實(shí)現(xiàn)死時(shí)間Td1′計(jì)時(shí)與長(zhǎng)度動(dòng)態(tài)調(diào)整,對(duì)于Td1′時(shí)間內(nèi)的探測(cè)事件統(tǒng)一丟棄,硬件框圖如圖4 所示。

圖4 防死時(shí)間攻擊方案硬件框圖Fig.4 Hardware block diagram of anti-dead time attack scheme

本方案中,接收端光學(xué)解碼模塊將100 kHz 低頻同步光脈沖和信號(hào)光脈沖進(jìn)行解碼分束,經(jīng)同步光探測(cè)單元和信號(hào)光探測(cè)單元后,分別輸入時(shí)間測(cè)量單元和數(shù)據(jù)處理FPGA。時(shí)間測(cè)量單元采用德國(guó)ACAM公司的TDC 芯片(型號(hào)為TDC-GPX),其采用“起停型”時(shí)間測(cè)量方式,芯片設(shè)計(jì)有一個(gè)起始信號(hào)(Start)和多個(gè)停止信號(hào)(Stop)。同步光探測(cè)信號(hào)作為TDC 芯片的Start 信號(hào)接入,信號(hào)光探測(cè)信號(hào)作為TDC 芯片的Stop 信號(hào)接入,TDC 芯片將Start 和Stop 之間的時(shí)間間隔轉(zhuǎn)化成數(shù)字信號(hào),測(cè)量出每個(gè)同步光周期內(nèi)各信號(hào)光的探測(cè)事件發(fā)生時(shí)間,并通過(guò)內(nèi)置FIFO 接口輸出。FPGA 實(shí)現(xiàn)TDC 芯片的控制與時(shí)間測(cè)量數(shù)據(jù)讀取,同時(shí)對(duì)同步光信號(hào)脈沖進(jìn)行計(jì)數(shù)得到連續(xù)的時(shí)間坐標(biāo),再結(jié)合由TDC 輸出的信號(hào)光探測(cè)事件的時(shí)間測(cè)量結(jié)果,得到每個(gè)被探測(cè)到的信號(hào)光脈沖的具體到達(dá)時(shí)間。同時(shí),按照?qǐng)D2 所示方案,在FPGA內(nèi)部構(gòu)建一個(gè)動(dòng)態(tài)調(diào)整的死時(shí)間滑動(dòng)窗口(時(shí)間長(zhǎng)度為Td1′),并將窗口內(nèi)的探測(cè)事件拋棄,不流入下一級(jí)密鑰數(shù)據(jù)處理過(guò)程,即可實(shí)現(xiàn)上述防死時(shí)間攻擊效果。

2 方案驗(yàn)證與討論

2.1 實(shí)驗(yàn)平臺(tái)驗(yàn)證

以一對(duì)偏振編碼QKD 系統(tǒng)作為方案驗(yàn)證平臺(tái),將收發(fā)設(shè)備之間的光脈沖傳輸信道用短光纖連接,以增加接收端信號(hào)光脈沖探測(cè)計(jì)數(shù),從而更快地觀測(cè)到H、V、P、N 四通道探測(cè)器中不少于一通道被觸發(fā)的探測(cè)事件,以此模擬被竊聽(tīng)者攻擊的情況。

在本實(shí)驗(yàn)平臺(tái)中,FPGA 先將每個(gè)信號(hào)光脈沖的TDC 時(shí)間測(cè)量值按照?qǐng)D3 中同步光和信號(hào)光的時(shí)序關(guān)系轉(zhuǎn)換為由“同步光脈沖序號(hào)+信號(hào)光脈沖序號(hào)”組成的唯一編碼,以便QKD 系統(tǒng)收發(fā)兩端能夠識(shí)別每個(gè)信號(hào)光脈沖,該編碼每秒為一個(gè)周期,100 kHz 同步光脈沖序號(hào)范圍是0～99999,信號(hào)光脈沖序號(hào)范圍是0～12499?；谠搶?shí)驗(yàn)平臺(tái)特性,設(shè)置死時(shí)間基礎(chǔ)值(Base value)為250(200 ns),死時(shí)間疊加值(Adding value)設(shè)置為22(17.6 ns)。

利用調(diào)試工具Signal Tap II 抓取FPGA 內(nèi)部死時(shí)間設(shè)置數(shù)據(jù)處理過(guò)程,如圖5 所示。HVPN channel number 表示不同通道的探測(cè)器(0 表示H 通道、1 表示V 通道、2 表示P 通道、3 表示N 通道),FPGA 讀取編碼為“同步光序號(hào)81110+信號(hào)光序號(hào)353”的探測(cè)事件(V 通道)后,開(kāi)啟死時(shí)間計(jì)時(shí),并將死時(shí)間窗口啟動(dòng)點(diǎn)(start?point)設(shè)置為353,由圖2 可見(jiàn)該死時(shí)間窗口的結(jié)束點(diǎn)為:啟動(dòng)點(diǎn)353+基礎(chǔ)值250=603。

圖5 FPGA 內(nèi)部死時(shí)間設(shè)置數(shù)據(jù)處理過(guò)程Fig.5 Data process of dead time setting in FPGA

FPGA 隨后繼續(xù)讀取了信號(hào)光序號(hào)為423(P通道)、457(N通道)、507(N通道)、843(H 通道)、1165(P 通道)的探測(cè)事件,由圖2 可見(jiàn)423、457、507 均早于死時(shí)間結(jié)束點(diǎn)603,因此作為無(wú)效數(shù)據(jù)被丟棄,在數(shù)據(jù)有效標(biāo)識(shí)(data?valid?identification)處這3 組數(shù)據(jù)均被打上無(wú)效數(shù)據(jù)標(biāo)簽“0x1”。由于507 距離結(jié)束點(diǎn)603 間隔為96,遠(yuǎn)大于疊加值22,由圖2 可知無(wú)需延長(zhǎng)死時(shí)間,死時(shí)間窗口在603 處自動(dòng)結(jié)束。因此,之后的843 數(shù)據(jù)被當(dāng)成有效數(shù)據(jù)(數(shù)據(jù)有效標(biāo)識(shí)被設(shè)為“0x0”),且其后的1165 數(shù)據(jù)由于不在843 觸發(fā)的新的死時(shí)間窗口(843～1093)內(nèi),也被作為有效數(shù)據(jù)保留下來(lái)。

綜上,FPGA 內(nèi)部的死時(shí)間設(shè)置數(shù)據(jù)處理過(guò)程實(shí)現(xiàn)了同步多通道探測(cè)器同時(shí)進(jìn)入和同時(shí)退出死時(shí)間的設(shè)計(jì)目標(biāo),驗(yàn)證通過(guò)。

2.2 死時(shí)間長(zhǎng)度的影響

QKD 系統(tǒng)最核心的一項(xiàng)指標(biāo)是安全密鑰生成速率,其與信號(hào)光脈沖發(fā)射頻率、光纖信道衰減、探測(cè)器有效探測(cè)計(jì)數(shù)/后脈沖概率/暗計(jì)數(shù)等多個(gè)因素有關(guān)[14]。其中探測(cè)器死時(shí)間大小對(duì)有效探測(cè)計(jì)數(shù)、后脈沖概率均有影響,死時(shí)間越長(zhǎng)則有效探測(cè)計(jì)數(shù)越低(即丟棄探測(cè)事件更多),會(huì)降低安全密鑰生成速率,但其同時(shí)會(huì)使探測(cè)器后脈沖概率降低,進(jìn)而使得數(shù)據(jù)處理過(guò)程中錯(cuò)誤率降低,最終提高密鑰生成速率。因此需要合理選擇死時(shí)間長(zhǎng)度,平衡其對(duì)兩者的影響,從而使安全密鑰生成速率最大化。

基于以上實(shí)驗(yàn)平臺(tái),繼續(xù)測(cè)量探測(cè)器模塊在100、200、500 ns 死時(shí)間下的后脈沖概率,結(jié)果如表1所示,死時(shí)間越長(zhǎng)后脈沖概率越低,符合預(yù)期。

表1 不同死時(shí)間長(zhǎng)度下的后脈沖概率Table 1 Post pulse probabilities at different dead-time length

修改FPGA 內(nèi)部死時(shí)間基礎(chǔ)值參數(shù)為100、200、500 ns,統(tǒng)計(jì)QKD 系統(tǒng)在光纖信道鏈路衰減0、3、6、9、12、15、18、21、24 dB 下探測(cè)事件計(jì)數(shù)、有效探測(cè)計(jì)數(shù)、安全密鑰生成速率的差異,結(jié)果匯總?cè)鐖D6 所示。如圖6(a),由于死時(shí)間基礎(chǔ)值只作用在FPGA 數(shù)據(jù)處理環(huán)節(jié),探測(cè)事件計(jì)數(shù)三條曲線基本重合,且光纖信道衰減越小計(jì)數(shù)越高,符合預(yù)期;如圖6(b),對(duì)于有效探測(cè)計(jì)數(shù)曲線,相同光纖信道衰減下死時(shí)間越長(zhǎng)丟棄數(shù)據(jù)越多,導(dǎo)致有效計(jì)數(shù)越低,符合預(yù)期;另外當(dāng)鏈路衰減過(guò)小(3 dB 以下)時(shí),探測(cè)事件計(jì)數(shù)過(guò)多,相鄰探測(cè)事件之間更加密集,將使得數(shù)據(jù)處理FPGA 內(nèi)部因防死時(shí)間攻擊策略丟棄的探測(cè)事件更多,導(dǎo)致三種死時(shí)間長(zhǎng)度下3 dB 衰減以下有效計(jì)數(shù)都明顯降低,符合預(yù)期;如圖6(c),對(duì)于安全成碼率曲線,500 ns 死時(shí)間丟棄的探測(cè)事件過(guò)多,導(dǎo)致參與生成密鑰的有效探測(cè)事件過(guò)少,因此其整體密鑰生成速率低于100 ns 和200 ns 的情況,符合預(yù)期,另外100 ns 和200 ns 曲線基本重合,結(jié)合表1 進(jìn)行分析,可見(jiàn)200 ns 死時(shí)間下雖然有效探測(cè)計(jì)數(shù)稍低[見(jiàn)圖6(b)],但其后脈沖概率更低,所帶來(lái)的正面影響抵消了有效計(jì)數(shù)降低帶來(lái)的負(fù)面影響,也符合預(yù)期。

圖6 死時(shí)間長(zhǎng)度對(duì)計(jì)數(shù)和成碼率的影響。(a)單通道探測(cè)事件計(jì)數(shù);(b)經(jīng)過(guò)FPGA 內(nèi)部死時(shí)間數(shù)據(jù)處理后剩余有效探測(cè)計(jì)數(shù);(c)安全密鑰生成速率Fig.6 Effects of dead time length on counting and key rate. (a)Counting of single channel detection;(b)Remaining valid counting after FPGA data processing;(c)Security key rate

在另一款低速Q(mào)KD 系統(tǒng)中進(jìn)行同樣的實(shí)驗(yàn),測(cè)得該系統(tǒng)中探測(cè)器模塊在1μs 和2μs 死時(shí)間下后脈沖概率分別為0.56%和0.46%,統(tǒng)計(jì)該QKD 系統(tǒng)在光纖信道鏈路衰減0、3、6、9、12、15 dB 下探測(cè)事件計(jì)數(shù)、有效探測(cè)計(jì)數(shù)、安全密鑰生成速率的差異,結(jié)果匯總?cè)鐖D7 所示。

由圖7(b)可見(jiàn),該低速Q(mào)KD 系統(tǒng)在相同光纖信道衰減下死時(shí)間越長(zhǎng)丟棄數(shù)據(jù)越多,有效計(jì)數(shù)越低,與圖6 結(jié)論一致;由于低速Q(mào)KD 系統(tǒng)中即使在0 dB 衰減下探測(cè)器仍未趨于飽和,因此未出現(xiàn)圖6(b)中3 dB 以下有效計(jì)數(shù)降低的現(xiàn)象。另外,從圖7(c)安全成碼率曲線看,各衰減下1μs 死時(shí)間時(shí)成碼率高于2μs,結(jié)合1μs 和2μs 下該系統(tǒng)中探測(cè)器后脈沖差距不明顯的情況,說(shuō)明在這兩個(gè)死時(shí)間長(zhǎng)度下有效探測(cè)計(jì)數(shù)的差異是導(dǎo)致成碼率差異的主要因素,在該低速Q(mào)KD 系統(tǒng)中1μs 死時(shí)間長(zhǎng)度更為合適。

圖7 低速Q(mào)KD 系統(tǒng)中死時(shí)間長(zhǎng)度的影響。(a)單通道探測(cè)事件計(jì)數(shù);(b)經(jīng)過(guò)FPGA 內(nèi)部死時(shí)間數(shù)據(jù)處理后剩余有效探測(cè)計(jì)數(shù);(c)安全密鑰生成速率Fig.7 Effects of dead time length in low speed QKD system. (a)Counting of single channel detection;(b)Remaining valid counting after FPGA data processing;(c)Security key rate

綜上所述,死時(shí)間長(zhǎng)度對(duì)有效探測(cè)計(jì)數(shù)和后脈沖概率均有影響,針對(duì)不同QKD 系統(tǒng)需進(jìn)行單獨(dú)測(cè)試驗(yàn)證,優(yōu)化死時(shí)間長(zhǎng)度參數(shù)設(shè)置,以便QKD 系統(tǒng)達(dá)到最優(yōu)性能。

3 結(jié) 論

結(jié)合QKD 系統(tǒng)組成詳細(xì)介紹了死時(shí)間攻擊原理及其危害,提出一種能夠有效防范死時(shí)間攻擊的基于時(shí)間測(cè)量的動(dòng)態(tài)死時(shí)間設(shè)置方案,實(shí)驗(yàn)結(jié)果表明該防御方案有效,能夠?qū)崿F(xiàn)防御死時(shí)間攻擊的目標(biāo)。該方案可使用設(shè)備的TDC 資源,通過(guò)重構(gòu)數(shù)據(jù)處理FPGA 固件關(guān)閉死時(shí)間攻擊的安全漏洞,避免了硬件調(diào)整,具有極大的便利性。還討論了死時(shí)間長(zhǎng)度對(duì)QKD 系統(tǒng)成碼率的影響,并針對(duì)不同QKD 系統(tǒng)在不同衰減下進(jìn)行測(cè)試驗(yàn)證,優(yōu)化死時(shí)間長(zhǎng)度參數(shù),從而使QKD 系統(tǒng)達(dá)到最優(yōu)性能。