基于四態(tài)協(xié)議的半量子密鑰分發(fā)誘騙態(tài)模型的有限碼長分析*

詹紹康 王金東? 董雙 黃偲穎 侯傾城 莫乃達 彌賞向黎冰 趙天明 於亞飛 魏正軍 張智明

1) (華南師范大學信息光電子科技學院,廣東省量子調(diào)控工程與材料重點實驗室,廣州 510006)

2) (華南師范大學信息光電子科技學院,廣東省微納光子功能材料與器件重點實驗室,廣州 510006)

半量子密鑰分發(fā)允許一個全量子用戶Alice 和一個經(jīng)典用戶Bob 共享一對由物理原理保障的安全密鑰.在半量子密鑰分發(fā)被提出的同時其魯棒性獲得了證明,隨后半量子密鑰分發(fā)系統(tǒng)的無條件安全性被理論驗證.2021 年基于鏡像協(xié)議的半量子密鑰分發(fā)系統(tǒng)的可行性被實驗驗證.然而,可行性實驗系統(tǒng)仍舊采用強衰減的激光脈沖,已有文獻證明,半量子密鑰分發(fā)系統(tǒng)在受到光子數(shù)分裂攻擊時仍舊面臨密鑰比特泄露的風險,因此,在密鑰分發(fā)過程中引入誘騙態(tài)并且進行有限碼長分析,可以進一步合理評估密鑰分發(fā)的實際安全性.本文基于四態(tài)協(xié)議的半量子密鑰分發(fā)系統(tǒng),針對僅在發(fā)送端Alice 處加入單誘騙態(tài)的模型,利用Hoeffding 不等式進行了有限碼長情況的安全密鑰長度分析,進而求得安全密鑰率公式,其數(shù)值模擬結果表明,當選擇樣本量大小為 105 時,能夠在近距離情況下獲得 10-4 bit/s 安全密鑰速率,與漸近 情況下 的安全 密鑰率相近,這對半量子密鑰分發(fā)系統(tǒng)的實際應用具有非常重要的意義.

1 引言

理論上,基于量子物理定律,量子密鑰分發(fā)(quantum key distribution,QKD)允許兩個量子用戶—Alice 和Bob 無條件安全地共享一對密鑰.QKD 的首個協(xié)議[1]在1984 年提出并對其理論安全性進行了充分的證明,之后各種實驗方案[2–4]的提出和實際QKD 系統(tǒng)的安全評估的逐漸完善[5,6]證明QKD 的實際可行性.然而實際QKD 系統(tǒng)各環(huán)節(jié)的技術特性和QKD 理論協(xié)議之間存在差別,使得密鑰分發(fā)過程會受到各種各樣的量子黑客攻擊[7–16].例如,QKD 普遍使用的光源是強衰減的激光脈沖,這使得密鑰分發(fā)過程中易受到光子數(shù)分裂(photon number splitting,PNS)攻擊[7–10]的威脅.此外,針對單光子探測器的具體技術特性,可以展開致盲攻擊、探測效率不匹配攻擊、后向熒光邊信道攻擊等[11–16],導致通信雙方在不知情的情況下被竊聽者竊取密鑰信息.為了抵抗針對單光子探測器的攻擊,測量設備無關量子密鑰分發(fā)(MDI-QKD)[17]被提出,隨后雙場量子密鑰分發(fā)協(xié)議(TF-QKD)[18]和模式匹配量子密鑰分發(fā)協(xié)議(MP-QKD)[19]等能夠抵御針對單光子探測器的攻擊,同時使傳輸距離變得更長的協(xié)議被提出.由于TF-QKD 在實驗上對于實驗條件要求較高,許多TF-QKD 的變體[20–23]提出,它們在實驗上相較于TF-QKD 比較容易實現(xiàn).2022 年謝元梅等[24]提出異步MDI-QKD,在TF-QKD 的基礎上進一步提高測量設備無關量子密鑰分發(fā)的傳輸距離.誘騙態(tài)協(xié)議[25–30]和單光子類協(xié)議——SARG04[31]協(xié)議被提出以抵御PNS 攻擊,其中誘騙態(tài)協(xié)議得到了廣泛應用.考慮實際應用發(fā)送的脈沖數(shù)量是有限的,有限碼長情況下QKD系統(tǒng)的分析相繼完成[32–34],此外Lim 等[35]和Rusca等[36]分別完成了雙誘騙態(tài)QKD 系統(tǒng)和單誘騙態(tài)QKD 系統(tǒng)的有限碼長情況下安全密鑰速率的分析,并指出有限碼長情況下單誘騙態(tài)QKD 系統(tǒng)的密鑰傳輸速率相較于雙誘騙態(tài)QKD 系統(tǒng)有一定的優(yōu)勢.

半量子密鑰分發(fā)(semi-quantum key distribution,SQKD)在2007 年由Boyer 等[37]提出,它(四態(tài)協(xié)議,BKM-07)允許一個量子用戶Alice 和一個經(jīng)典用戶Bob 安全的共享一對密鑰.隨后基于實際實現(xiàn)的角度,小于四態(tài)協(xié)議[38]、鏡像協(xié)議[39]被提出,這些協(xié)議提出的同時,它們的理論安全性得到了證明,尤其是對于獨立攻擊和集體攻擊[40–44],同時也確定了安全比特率.2021 年王金東課題組[45]實現(xiàn)了基于鏡像協(xié)議的SQKD 實驗實現(xiàn),驗證了實際SQKD 系統(tǒng)的實驗可行性.與QKD 系統(tǒng)相對應地,SQKD 的理論安全性證明都是基于單光子源進行的,因此實際系統(tǒng)的SQKD 也會受到PNS攻擊的威脅.彌賞等[46]在2022 年提出了針對于SQKD 系統(tǒng)的聯(lián)合PNS 攻擊,證明了一定條件下的PNS 攻擊能使竊聽者Eve 在通信雙方?jīng)]有察覺的情況下竊取信息.與QKD 系統(tǒng)相似,SQKD 系統(tǒng)在密鑰分發(fā)過程中添加誘騙態(tài)能較好地抵抗PNS攻擊,因此基于Alice 發(fā)送有限脈沖的有限碼長安全評估是必要的,傳輸?shù)拿}沖數(shù)量過少會導致安全密鑰速率過低,需要較多的時間生成安全密鑰,使通信效率降低;反之傳輸?shù)拿}沖數(shù)量過多會需要較多的光資源,使通信成本提高,因此需要尋找一個合適的樣本量大小來獲得最佳的安全密鑰速率并確定安全密鑰速率的大小.

本文首先建立了基于BKM-07 協(xié)議的僅量子用戶端加入單誘騙態(tài)SQKD 系統(tǒng)的模型,隨后為該系統(tǒng)提供了有限碼長情況下簡潔而嚴密的安全密鑰界限: 基于熵的不確定關系和Hoeffding 不等式[47]對有限的傳輸脈沖數(shù)量進行錯誤估計,推導出針對一般攻擊有效的安全密鑰界限,它可以通過幾個簡單的探測事件界限公式進行推導;隨后模擬實際探測情況,以Alice 探測響應的數(shù)量固定為前提,推導出Alice 需要發(fā)送的總脈沖數(shù),進而求出安全密鑰率公式并進行數(shù)值模擬;最后對數(shù)值模擬結果進行了討論和總結.

2 基于四態(tài)協(xié)議SQKD 系統(tǒng)的誘騙態(tài)模型

本節(jié)將會介紹四態(tài)協(xié)議(BKM-07 協(xié)議)的模型,隨后提出添加誘騙態(tài)的方法并詳細說明密鑰分發(fā)過程.BKM-07 協(xié)議的密鑰分發(fā)過程見圖1.

圖1 BKM-07 協(xié)議模型Fig.1.BKM-07 protocol model.

1) Alice 隨機均勻地選擇一個比特值并將該值記錄到集合yi中,接著,它隨機均勻地從X基和Z基中選擇一個作為對應比特的基并記錄到集合ai,Alice 根據(jù)兩個集合中位置i的值對光脈沖進行調(diào)制,最后將光脈沖發(fā)送給Bob.

2) Bob 隨機均勻地選擇對到達的光脈沖實施SIFT 操作或CTRL 操作,并將所選擇的操作記錄到集合ci.對于選擇SIFT 操作的脈沖,Bob 以Z基進行測量,并將結果記錄到集合si,隨后根據(jù)測量結果,以Z基和脈沖強度μ1在相同位置重發(fā)光脈沖;對于選擇CTRL 操作的脈沖,Bob 不進行任何操作,將光脈沖反射回到Alice 端.

3) Alice 對返回的每一個脈沖根據(jù)自己發(fā)送時使用的基進行測量,并將以Z基進行測量得到的結果記錄到集合zi,以X基進行測量得到的結果記錄到集合xi.

4) Alice 和Bob 在經(jīng)典信道公布集合ai和ci,隨后雙方計算響應率及錯誤率是否符合預期,若不符合預期則認為密鑰分發(fā)過程被竊聽,停止本次密鑰分發(fā);若符合預期則生成期望長度的初始密鑰執(zhí)行后處理步驟,最后生成安全密鑰.

實際情況中,即便SQKD 系統(tǒng)中包含著天然誘騙態(tài)(CTRL 操作),但它仍有可能受到PNS 攻擊而導致密鑰信息泄露,并且實際情況中生成的初始密鑰長度是與各個事件探測響應的數(shù)量密切相關的,因此以下將描述誘騙態(tài)模型下密鑰分發(fā)的過程并說明通信雙方如何得到長度為l的安全密鑰,同時為了進行有限碼長分析給出相應的變量定義,如圖2 所示.

圖2 基于BKM-07 協(xié)議的誘騙態(tài)SQKD 模型Fig.2.Decoy SQKD model based on BKM-07 protocol.

1) Alice 隨機均勻地選擇一個比特值并將該值記錄到集合yi中,接著,它隨機均勻地從X基和Z基中選擇一個作為對應比特的基并記錄到集合ai,并以概率和1-選擇脈 沖強度v1或v2(v1＞v2＞0 )并將數(shù)據(jù)記錄到集合bi,最終Alice根據(jù)3 個集合中位置i的值對光脈沖進行調(diào)制,隨后發(fā)送給Bob.

2) Bob 隨機均勻地選擇對到達的光脈沖實施SIFT 操作或CTRL 操作,并將所選擇的操作記錄到集合ci.對于選擇SIFT 操作的脈沖,Bob 以Z基進行測量,并將結果記錄到集合si,隨后根據(jù)測量結果,以Z基和脈沖強度μ1(μ1＞v1+v2)在相同位置重發(fā)光脈沖;對于選擇CTRL 操作的脈沖,Bob 不進行任何操作,將光脈沖反射回到Alice 端.

3) Alice 對返回的每一個脈沖根據(jù)自己發(fā)送時使用的基進行測量,并將以Z基進行測量的結果記錄到集合zi,以X基進行測量的結果記錄到集合xi.

4) Alice 和Bob 在經(jīng)典信道公布集合ai,bi,ci,隨后雙方計算各脈沖強度的響應率是否符合預期,若符合預期則篩選生成由Alice 選擇Z基且Bob選擇SIFT 操作發(fā)送的光脈沖導致測量響應的結果組成的、雙方共享的集合SZ,Alice 分別生成由Bob 選擇CTRL 操作且Alice 以Z基發(fā)送和以X基發(fā)送的光脈沖導致測量響應的結果組成的集合CZ和CX;重復步驟1)—步驟3)直到 |SZ|≥nSZ,|CZ|≥nCZ和|CX|≥nCX.

5) Alice 和Bob 從集合SZ中隨機選擇大小為nSZ的樣本作為初始密鑰(SZA,SZB),隨后Alice根據(jù)集合CX估計相應的錯誤比特數(shù)mCX,k,接著它們計算初始密鑰中的真空事件sSZ,0和單光子事件sSZ,1,最后它們計算初始密鑰中單光子事件的相位錯誤的數(shù)量cSZ,1,并估計實際相位錯誤率?SZ=cSZ,1/sSZ,1,同時判斷實際相位錯誤率是否低于預期值,若不滿足則終止密鑰分發(fā),若滿足則進行步驟6).

6) 首先Alice 和Bob 進行錯誤校驗,假設它們根據(jù)預期的相位錯誤率進行校正,則它們會揭示λEC位信息;接著,它們執(zhí)行錯誤驗證步驟,確保兩者共享相同的密鑰,這個過程中它們使用兩個通用哈希函數(shù)[14],會揭示 log21/εhash位信息,其中εhash是指一對非相同密鑰能夠通過錯誤驗證步驟的概率;最后,它們對密鑰進行隱私放大,提取長度為l的密鑰對(SA,SB).

3 有限碼長分析

本節(jié)將基于第2 節(jié)提出的SQKD 模型進行有限碼長的安全密鑰速率分析,分為4 部分: 安全分析、事件界限、探測和錯誤模擬、數(shù)值模擬.安全分析利用熵的不確定關系推導出以Eve 所獲得的信息為條件的原始安全密鑰的最小長度公式;事件界限根據(jù)密鑰長度公式中的項,基于Hoeffding 不等式對所需探測事件的數(shù)量進行有限碼長情況下的界限值估計;探測模擬和錯誤模擬將根據(jù)模擬分析各類光脈沖的探測概率及各類探測事件之間預期數(shù)目的關系;數(shù)值模擬將基于光纖通信的信道模型對有限碼長分析的結果進行數(shù)據(jù)模擬.最后對數(shù)值模擬的結果進行了詳細的討論.

3.1 安全分析

安全分析主要思路是利用熵不確定性關系來建立以Eve 獲得的信息為條件的原始密鑰的最小平滑熵的界限.首先,定義E′為竊聽者Eve 獲得的關于初始密鑰SZA的信息,E為經(jīng)過糾錯及錯誤驗證步驟后竊聽者Eve 獲得的關于初始密鑰SZA的信息.使用兩個通用哈希函數(shù)[48]進行隱私放大可以獲得長度為l的εsec-安全密鑰:

將SZA分解為即將初始密鑰中的各個比特分解成由探測單光子脈沖、空脈沖及多光子脈沖得到的比特,由于Eve 具有光子數(shù)分辨能力,因此認為Eve 能執(zhí)行這種分解.為了方便后面的計算,令誤差項v=2α1+α2+(α3+2α4+α5),α1,α2,α3,α4和α5均大于0,隨 后應用最小平滑熵的廣義鏈式規(guī)則[49]可以得到:

同時,應用熵的不確定性[50]并考慮Eve 通過PNS攻擊無法竊取單光子脈沖中的信息,即Eve 關于的確定性不會大于中的錯誤比特數(shù)可得

其中cSZ,1為之間不相同比特的數(shù)目,使用文獻[51]中給出的無替換結果的隨機抽樣進行估計,基于超幾何分布的近似技術,可以得到下面的不等式以至少的 1-α1概率被滿足:

綜合以上所有的公式,能夠得到密鑰長度公式為

其中β為誤差項,考慮有限碼長情況引入的誤差項以及密鑰長度公式推導中引入的誤差項,設α4=α5=0 可以得到安全性誤差εsec為

式中 ,ε1,ε2和ε3均為有限碼長情況下引入的誤差項,其前面的系數(shù)為各自對應的Hoeffding 不等式(10)式、(12)式、(14)式在密鑰長度公式中滿足的次數(shù).為了得到較好的安全性,令每一個誤差項均為同一個值ε,得到εsec=19ε,由于有7 個誤差項且 log2(1/β) 為所有誤差項對安全密鑰長度的影響,最終取β=(εsec/19)7,因此密鑰長度公式表示為

3.2 事件界限

本節(jié)提供了密鑰長度公式中將會使用到的探測事件界限sSZ,0,sSZ,1和?SZ的詳細信息,界限的分析基于強衰減激光脈沖的泊松分布和Hoeffding不等式結合.由于SQKD 系統(tǒng)中Z基與X基的光脈沖的探測概率顯然不同,因此分析中將區(qū)分X基與Z基的光脈沖進行分析.

根據(jù)誘騙態(tài)SQKD 的模型可以得到,從Bob端發(fā)送出來的脈沖(不區(qū)分SIFT 操作和CTRL 操作)強度的可能值為μ1,ηcv1和ηcv2,令μ2=ηcv1,μ3=ηcv2和K=[μ1,μ2,μ3],根據(jù)預先的設定可得μ1≥μ2+μ3,μ2＞μ3≥0,由于每個脈沖只有強度不相同,對于竊聽者Eve 而言,無法區(qū)分每個脈沖的強度,這使得Eve 即使實施PNS 攻擊,通信雙方也能察覺.

考慮Bob 以Z為基對脈沖進行編碼的情況,并且設sZ,n為Bob 發(fā)送Z基下n光子脈沖且Alice探察到的次數(shù)為預期Bob 發(fā)送Z基光脈沖且Alice 探測到的次數(shù),在漸近極限中,脈沖強度為k的探測次數(shù)為

此時考慮一個有限碼長的統(tǒng)計場景,可以使用Hoeffding 不等式[47]進行估計.通過Hoeffding不等式可以得到探測到的次數(shù)nZ,k與相應漸近情況的之差滿足一定約束關系的概率為

與前面的情況類似,對于有限碼長統(tǒng)計情況下的約束如下:

接著考慮Bob 以X基對脈沖進行編碼而Alice探測結果出現(xiàn)錯誤的錯誤率估計.相似地,設vCX,n為Bob 發(fā)送X基下n光子脈沖且Alice 探測結果出現(xiàn)錯誤的次數(shù)為預期Bob發(fā)送X基的所有光脈沖中Alice 探測結果出現(xiàn)錯誤的次數(shù),在漸近極限中,脈沖強度為k的探測次數(shù)為

類似地,對于有限碼長統(tǒng)計情況下的約束如下:

為了找到各個事件的解析解,必須定義條件概率pn|k.通過使用貝葉斯規(guī)則和相干態(tài)脈沖中光子分布可以得到下式成立:

1)Z基中真空脈沖事件sZ,0的下限.

將(11)式代入具有不同脈沖強度的兩個方程可以得到:

其中等式右邊的第二項對于μ2-μ3是非負的,因此通過對上式進行重寫可以得到sZ,0的下限為

隨著μ3趨于0,界限會變緊.

2)Z基中單光子脈沖事件sZ,1的下限.

對于μ1≥μ2+μ3和n≥2 可得以下不等式成立:

將不等式(20)式代入(19)式可得

其中不等式右邊的求和項可由下式表示:

將不等式右邊的求和項使用(23)式替代并重寫后,可以得到sZ,1的下限.

3)X基中單光子脈沖事件sCX,1的下限.

采用與sZ,1的下限估計相同的計算,可以得到:

對于X基中的光脈沖考慮μ2≥μ3和n≥2的情況,因此得到的成立不等式為

同時考慮,對于X基下任意一個脈沖強度的總錯誤事件的數(shù)量都是大于等于相應空脈沖的錯誤事件的數(shù)量,即

綜合(28)式、(29)式和(30)式,可以得到sCX,0的上限為

4)X基中單光子脈沖中出現(xiàn)錯誤的事件vCX,1的上限.

目前為止,所求的各個界限都不適用于實際探測情況的統(tǒng)計,因為各個事件界限不等式中都包含漸近情況下的項,通過使用(12)式、(14)式、(16)式的變式可以解決這個問題,即將以下公式:

令系數(shù)cs表示漸近情況下Alice 在Z基中探測到全部事件中Alice 在Z基中探測且Bob 同時選擇了SIFT 操作的事件所占的比率,因此可以得到:

其中,cs的值會在3.3 節(jié)中討論并給出表達式.至此,已經(jīng)求出了密鑰長度公式中會使用到每一個安全界限.

3.3 探測模擬和錯誤模擬

前文中我們的計算模擬均是將Alice 在Z基中探測總數(shù)nZ作為固定值進行的,而密鑰長度公式中還需要使用到Alice 在X基中探測總數(shù)nCX及其探測結果出現(xiàn)錯誤的數(shù)量mCX還有各類事件分配到各個脈沖強度的事件,因此下文中會展示各類事件之間的關系,用于根據(jù)nZ推導nCX,mCX等.

式中R為光源的發(fā)射頻率,概率pZ,det,B,tot表示為

為得到Alice 在X基中探測事件的數(shù)量,需要給出對于脈沖強度v1和v2,Alice 選擇發(fā)送X基且Bob 選擇CTRL 操作的概率及相應錯誤概率分別為

式中,概率Perr為傳輸過程中由于設置的未對準而導致的錯誤概率.類似于(48)式,可以得到強度為μj引起的錯誤事件:

由概率的可加性,可以得到Alice 在X基下探測事件nCX及相應錯誤事件mCX可以表示為

因此,為了獲得樣本大小nZ所需要Alice 發(fā)送的脈沖總數(shù)Ntotal可以由下式得出:

最后,取密鑰長度(10)式與發(fā)送的脈沖總數(shù)Ntotal的比值,得到每個脈沖的密鑰率為

3.4 數(shù)值模擬

模擬中考慮了一個基于光纖的SQKD 模型,該模型借用了誘騙態(tài)SQKD 和我們實驗室中單光子探測器的參數(shù).表1 為在0.1—1.0 范圍內(nèi),取0.01為步進的所有值作為脈沖強度μ1,v1,v2的取值進行多次模擬得到的0—50 km 的傳輸距離中每5 km 處能取得最大安全密鑰率的各個脈沖強度值,可以發(fā)現(xiàn)μ1取 0.68,v1取0.48和v2取0.07 在大部分情況下能夠取得最大安全密鑰率,因此對于光脈沖生成與調(diào)制系統(tǒng),考慮Alice 端生成的光脈沖強度v1,v2分別為0.48 和0.07,Bob 端生成的光脈沖強度μ1為0.68,脈沖頻率為R=1 GHz,Alice和Bob 均以相同的概率發(fā)送強度v1或v2的光脈沖和選擇SIFT 操作或CTRL 操作.假設光纖具有0.2 dB/km 的衰減系數(shù),即光纖的透過率為ηC=(L為傳輸長度).探測系統(tǒng)中,設置單光子探測器 的暗計 數(shù)概率PDC=10-8,死時間tDT=100 ns,經(jīng)過光纖傳輸后由于光學誤差引起探測錯誤的概率Perr=10-2.與參考文獻相同,考慮參數(shù)λEC為一個簡單的函數(shù)fECeobs[23],其中fEC為糾錯效率,eobs為觀察到的Z基中SIFT 操作的事件的錯誤率的平均值,實際應用中λEC應為實際公布的比特位數(shù);對于保密性參數(shù)εsec和正確性參數(shù)εcor與文獻[13]中一致,分別假設為εsec=10-9和εcor=10-15.

表1 50 km 傳播距離中每5 km 處取得最大安全密鑰率時脈沖強度 μ1 ,v1 ,v2 的取值和得到的安全密鑰率Table 1.Pulse strength μ1 ,v1 ,v2 and the number of Secret key ratio every 5 km in a 50 km transmission distance.

圖3 為根據(jù)以上密鑰分發(fā)模型與計算公式繪制的安全密鑰率與光纖長度的關系.由圖3(a)可以看到,在有限碼長的影響下,即便是在近距離傳輸?shù)那闆r下,誘騙態(tài)SQKD 的最大安全密鑰速率能夠達到約 10-3量級,相較于 誘騙態(tài)QKD 的10-2量級小了約1 個數(shù)量級,并且誘騙態(tài)SQKD的安全密鑰率隨著光纖長度的增長而衰減的速率更快,這是因為SQKD 中能夠成碼的SIFT 操作脈沖還有Bob 重發(fā)時光脈沖時由于脈沖強度較小而產(chǎn)生大量空脈沖引入的衰減,該衰減是QKD 系統(tǒng)無需考慮的.這一項衰減使得對于相同的樣本量nZ,誘騙態(tài)SQKD 能夠生成的安全密鑰少且需要Alice 發(fā)送的脈沖總數(shù)多,進而導致安全密鑰率小.但是由于SQKD 系統(tǒng)的其中一方為經(jīng)典方,通過集成化能夠使得這一方的通信設備小巧便攜,這使得誘騙態(tài)SQKD 系統(tǒng)即便安全密鑰速率較低,但是在近距離的情況下仍有重要的應用價值.

圖3 (a)使用1 GHz 的脈沖 頻率時不同碼長 nZ 之間的安全密 鑰率的比較,nZ 的取值為10s (s=[4,5,6,7]),當nZ=105時安全密鑰速率與漸近情況的安全密鑰率相近,安全密鑰率隨光纖長度的增長而急劇衰減,但在約30 km 內(nèi)能夠保持10–5 的安全 密鑰率;(b)考慮1 GHz 的脈沖頻率時三種不同 nZ 之間近距離安全密鑰率的比較,nZ 的取值為 10s (s=[5,6,7])Fig.3.(a) The comparison of secret key rate of different key sizes nZ,when using the pulse frequency of 1 GHz.The value of nZ are 10s (where s=[4,5,6,7]).When 105 is chosen to be nZ,the secret key rate is close to the asymptotic limit’s.The secret key rate decreases sharply with the increase of fiber length,but it can maintain a secret key rate of 10–5 for about 30 km;(b) the comparison of the proximity security key rates between six differentnZ when considering a pulse frequency of 1 GHz.The value of nZ are 10s (where s=[5,6,7]).

圖3(b)中繪制近距離情況下誘騙態(tài)SQKD 的密鑰速率圖,由于從圖3(a)中可以發(fā)現(xiàn),當樣本量nZ選擇為104時,近距離情況下的安全密鑰率相比于漸近情況具有較大的衰減,而當樣本量nZ選擇大于104時,近距離情況下的安全密鑰率與漸近情況的安全密鑰率十分貼合,故我們認為 104對于nZ并不是合適的大小,在考慮繪制近距離情況下安全密鑰率與光纖長度的關系圖時不考慮nZ=104.發(fā)現(xiàn)在大部分樣本量中,誘惑態(tài)SQKD 能夠在70 km 長的光纖中保持 10-5量級以上的安全密鑰率,而在GLLP 理論驗證得到的漸近情況下SQKD的安全傳輸距離[52]僅有2 km,相較之下說明誘惑態(tài)的加入一定程度上增長了傳輸距離.從圖3(b)可以看出,近距離情況下,漸近情況下的安全密鑰速率僅約為nZ=105時的安全密鑰速率的1.14 倍,因此實際應用中為避免消耗較多的資源,選擇樣本量nZ=105比較合適.當考慮nZ=105時,在近距離情況下可以得到約為 10-4bit/s 的安全密鑰率,若對應于 1 GHz 的光源重復頻率可以得到每秒鐘可以產(chǎn)生約105個安全比特.對于實際場景中傳輸約為幾千比特的常規(guī)的指紋信息量,采用一次一密的無條件安全加密方式,只需要 ms 級別的時間即可.此外,應用到量子數(shù)字簽名中,10-4bit/s 的安全密鑰率能夠在極短的時間內(nèi)保證OTUH-QDS協(xié)議[53]中Alice 與Bob 和Charlie 分別生成兩對密鑰,隨后Alice 利用這兩個密鑰進行異或操作生成與Bob 的不對稱密鑰進行量子數(shù)字簽名,同時由于經(jīng)典方的設備可以做得易于攜帶,這使簽署方輕易快速地與較多人完成安全性簽署成為可能.

4 結論與展望

本文首先描述了基于四態(tài)協(xié)議的SQKD 誘騙態(tài)模型,隨后基于該模型對有限碼長情況下SQKD系統(tǒng)的安全密鑰率進行了分析與數(shù)值模擬,最終發(fā)現(xiàn),設定探測到的Z基下光脈沖數(shù)量為 105可以得到與漸近情況相近的安全密鑰率,意味著實際應用中,只需設定Z基下探測到的光脈沖數(shù)量為 105便可獲得與理論情況相近的安全密鑰率,其中最壞情況下,實際安全密鑰率為理論的0.87 倍.還發(fā)現(xiàn)安全密鑰率在近距離情況下保持較好的安全密鑰率,詳細地說,在距離小于20 km 的情況下基于四態(tài)協(xié)議的SQKD 誘騙態(tài)模型能保證 10-4量級的安全密鑰率,這證明了實際近距離情況下誘騙態(tài)SQKD系統(tǒng)進行信息傳輸、交換的可行性.由于經(jīng)典方Bob的設備要求較低,分析中也并未限制Bob 的個數(shù),并且多個經(jīng)典方的SQKD 系統(tǒng)的魯棒性也已得到證明[54],所以我們認為本文的分析對未來實現(xiàn)同一個Alice 端與不同Bob 端使用SQKD 系統(tǒng)進行信息交換,如指紋信息交換進行身份認證和生成量子數(shù)字簽名的非對稱密鑰等實際應用具有積極意義.

正如前文所說,有限碼長情況下誘騙態(tài)SQKD的安全密鑰率較低是因為Bob 重發(fā)光脈沖時空脈沖占比較大導致的.實際中,Bob 對于一個脈沖測量之后重發(fā)會導致密鑰分發(fā)過程不安全,這不是我們希望的,因此后續(xù)會繼續(xù)考慮基于鏡像協(xié)議、隨機調(diào)制再生光脈沖強度的鏡像協(xié)議實驗對誘騙態(tài)SQKD[45]進行有限碼長的分析.針對于Alice 使用多個誘騙態(tài)以及Bob 再生新光脈沖時加入一個或多個誘騙態(tài)的各種情況,這也包括兩端都不加入誘騙態(tài)的情況,本文未進行分析,我們會將對密鑰分發(fā)過程使用誘騙態(tài)的個數(shù)進行優(yōu)化作為后續(xù)工作.