量子密鑰分發(fā)系統(tǒng)的實(shí)際安全性

徐兵杰，陳 暉，張文政

(保密通信重點(diǎn)實(shí)驗(yàn)室，成都 610041)

0 引言

QKD的發(fā)展歷程分為四個階段［1］:(1)理論學(xué)家基于量子力學(xué)原理證明理想(ideal)或半實(shí)際(semi-practical)QKD 系統(tǒng)的理論安全性［2，3］。上述安全性分析基于對Alice(信息發(fā)送方)和Bob(信息接收方)內(nèi)部物理器件 (光源、信道、探測器等)的簡化數(shù)學(xué)物理模型假設(shè)［4］。然而，這些模型往往不符合或不能完整建模QKD系統(tǒng)所采用的實(shí)際物理器件［5］。因而，QKD的理論無條件安全性并不能完全保證實(shí)際QKD系統(tǒng)的安全性。(2)實(shí)驗(yàn)學(xué)家不斷改進(jìn)QKD系統(tǒng)的硬件技術(shù)，使得碼率不斷提高，通信距離不斷增長。目前世界上至少有三家公司出售商用QKD系統(tǒng)，QKD走出了實(shí)驗(yàn)室，進(jìn)行了初步的實(shí)際應(yīng)用。2006年起，瑞士大選開始采用QKD來加密信息。2010年南非世界杯也采用QKD系統(tǒng)來保證信息安全?，F(xiàn)有QKD系統(tǒng)最遠(yuǎn)通信距離達(dá)300 km，最終安全碼率達(dá)兆赫茲(通信距離約50 km條件下)。(3)尋找實(shí)際QKD系統(tǒng)中的安全漏洞，并改進(jìn)系統(tǒng)的軟件或硬件來抵御實(shí)際安全漏洞［5］。目前QKD正處于這個發(fā)展階段。如何全面為實(shí)際QKD系統(tǒng)“查漏補(bǔ)缺”，填補(bǔ)實(shí)際安全漏洞，是當(dāng)前QKD領(lǐng)域的研究重點(diǎn)之一。(4)一旦實(shí)際QKD系統(tǒng)的安全性經(jīng)過反復(fù)檢驗(yàn)和證明后，QKD將走向?qū)嵱没Ａ硗?，QKD的網(wǎng)絡(luò)化，地面至衛(wèi)星QKD，以及QKD如何與傳統(tǒng)光纖網(wǎng)絡(luò)通信融合也是大家非常關(guān)注的問題。一旦上述問題得以解決，QKD技術(shù)將真正走向成熟。

針對QKD現(xiàn)階段的主要發(fā)展目標(biāo)和任務(wù)，全面且詳細(xì)地總結(jié)了實(shí)際QKD系統(tǒng)光源、信道及探測端的安全隱患，并給出現(xiàn)階段已知的針對各個安全隱患的抵御措施。

1 理論安全性與實(shí)際安全性

QKD的安全性可分為兩個層次:理想QKD協(xié)議安全性和實(shí)際QKD系統(tǒng)安全性［1］。理想QKD協(xié)議的安全性是量子密碼學(xué)理論研究的核心內(nèi)容，是QKD安全性的基石。實(shí)際QKD系統(tǒng)是理想?yún)f(xié)議的物理真實(shí)實(shí)現(xiàn)。理想QKD協(xié)議安全性分析總是在系統(tǒng)物理模塊(如光源，信道，探測等)的簡化數(shù)理模型基礎(chǔ)之上進(jìn)行的。若實(shí)際QKD系統(tǒng)的物理器件滿足安全性分析所要求的模型假設(shè)，則其無條件安全性可以得到保證。然而，實(shí)際QKD系統(tǒng)存在如下兩點(diǎn)安全性隱患［4，5］。

(1)實(shí)際QKD系統(tǒng)中的非理想物理器件與理想QKD協(xié)議安全性分析中的模型假設(shè)不相吻合，即理論和實(shí)驗(yàn)存在差異或不匹配;

(2)實(shí)際QKD系統(tǒng)中的物理器件的工作模式往往比理論安全性分析中的簡化模型更加復(fù)雜，某些實(shí)際器件的非理想特性未被納入到安全性分析中。

上述安全隱患將導(dǎo)致兩個結(jié)果。

(1)理論安全性分析不能直接應(yīng)用到實(shí)際QKD系統(tǒng)，無法證明實(shí)際QKD系統(tǒng)安全性及準(zhǔn)確估計(jì)實(shí)際QKD系統(tǒng)安全碼率;

(2)Eve(竊聽者)可以利用實(shí)際物理器件中未被納入理論安全性分析的安全漏洞竊取信息，而不被發(fā)現(xiàn)。

定義Eve所采用的針對實(shí)際QKD系統(tǒng)安全漏洞所采取的特殊攻擊方式為量子黑客攻擊(Quantum Hacking)［5］。解決上述安全隱患，需從以下兩方面著手。

(1)軟件層面:將實(shí)際器件安全性漏洞納入到現(xiàn)有安全性分析理論中，提出量化該器件非理想特性的關(guān)鍵參數(shù)，進(jìn)而將安全將碼率表示成該參數(shù)的函數(shù);

(2)硬件層面:改進(jìn)實(shí)際QKD系統(tǒng)物理器件，使其符合理論安全性分析模型;或添加硬件監(jiān)控模塊，以監(jiān)控實(shí)際系統(tǒng)非理想特性，防止Eve進(jìn)行相應(yīng)的量子黑客攻擊。

下面分別從光源和探測端兩個角度分別闡述和解釋上述內(nèi)容。

2 實(shí)際量子密鑰分發(fā)系統(tǒng)安全漏洞及抵御措施

2.1 實(shí)際QKD系統(tǒng)光源端的安全漏洞

2.1.1 非可信光源攻擊(untrusted source attack)

目前應(yīng)用最廣泛的BB84協(xié)議的標(biāo)準(zhǔn)安全性分析為GLLP及誘餌態(tài)理論。上述理論中對QKD光源光子數(shù)分布(PND，photon number distribution)的模型假設(shè)和實(shí)際QKD系統(tǒng)光源PND的差別如下。

(1)GLLP理論中假設(shè)QKD光源具有固定且已知的PND［3］，該分布不能被 Eve控制或改變，此類光源被稱為可信光源(trusted source)。

(2)單路(one-way)QKD系統(tǒng)中，由于Alice內(nèi)部激光器的機(jī)械噪聲和電噪聲，以及光學(xué)器件的參數(shù)抖動，導(dǎo)致光源光強(qiáng)不穩(wěn)定(即光源PND不固定)。雙路“即插即用”(two-way Plug＆Play)QKD系統(tǒng)中，光源等價(jià)于完全被Eve所控制，如圖1所示，光源PND未知。此類光源被定義為非可信光源(untrusted source)［6～9］。非可信光源攻擊是針對實(shí)際QKD系統(tǒng)光源PND非理想特性的量子黑客攻擊，Eve可任意改變或控制系統(tǒng)光源PND，以此來輔助其在信道上的PNS攻擊從而獲取更多信息(如圖1)［8］。光源非可信條件下，GLLP和誘餌態(tài)安全性分析理論不完全適用于實(shí)際QKD系統(tǒng)，從而無法估計(jì)實(shí)際系統(tǒng)的安全碼率下界［6］。

圖1 非可信光源攻擊及光源監(jiān)控

為抵御非可信光源攻擊，需要從兩方面著手。

a)從理論上嚴(yán)格證明光源非可信條件下QKD系統(tǒng)的安全性，并量化該條件下安全碼率;

b)從實(shí)驗(yàn)上對非可信光源的PND進(jìn)行光源監(jiān)控。

光源非可信條件下，必須采用光源監(jiān)控器對光源的光子數(shù)統(tǒng)計(jì)信息加以監(jiān)控。目前QKD系統(tǒng)有如下光源監(jiān)控實(shí)驗(yàn)方案［6～9］:

a)平均光子數(shù)光源監(jiān)控;

b)主動式“untagged bits”概率光源監(jiān)控;

c)被動式“untagged bits”概率光源監(jiān)控;

d)主動式光子數(shù)區(qū)分光源監(jiān)控;

e)被動式光子數(shù)區(qū)分光源監(jiān)控。

通過上述理論和實(shí)驗(yàn)改進(jìn)，實(shí)際QKD系統(tǒng)可成功抵御非可信光源攻擊。中國的北京大學(xué)，清華大學(xué)和中國科技大學(xué)在該方向上都做出了重要貢獻(xiàn)。

2.1.2 相位重映射攻擊(Phase-Remapping Attack)

對基于相位編碼的BB84協(xié)議，理論安全性分析中假設(shè)加載于光源的相位為{0，π/2，π，3π/2}。而在實(shí)際雙路“即插即用”QKD系統(tǒng)中，Eve可干預(yù)編碼過程，使得加載于光源的相位變?yōu)閧0，δ/2，δ，3δ/2}，如圖2所示，此類攻擊被稱為相位重映射攻擊［10］。入射Alice時間，使得光脈沖在上升沿入射PM。b)光脈沖在上升沿入射 PM，實(shí)際加載相位由{0，π/2，π，3π/2}變?yōu)閧0，δ/2，δ，3δ/2}。

圖2 相位重映射攻擊原理圖［10］

在相位編碼QKD系統(tǒng)中，信息被編碼于信號脈沖和參考脈沖的相對相位。Alice的相位調(diào)制器(PM)只對信號脈沖調(diào)相。實(shí)際系統(tǒng)中Alice并不檢測到兩個脈沖到達(dá)的時間，只以參考信號來觸發(fā)激活PM。PM由電壓脈沖驅(qū)動信號控制，而該驅(qū)動信號大體分為上升沿，穩(wěn)定區(qū)和下降沿，調(diào)制相位正比于加載在PM上的調(diào)制電壓，如圖2(a)所示。在系統(tǒng)正常狀態(tài)下，經(jīng)過參考光觸發(fā)后，信號脈沖在穩(wěn)定區(qū)入射PM，此時加載的相位為{0，π/2，π，3π/2}。

然而在雙路“即插即用”QKD系統(tǒng)中，光脈沖先由Bob發(fā)送給Alice，經(jīng)過Alice編碼和衰減后返回到Bob。2007年，加拿大多倫多大學(xué)的Lo小組指出［10］，Eve可在光脈沖由 Bob發(fā)送給 Alice過程中控制信號脈沖入射時間(即調(diào)節(jié)參考脈沖與信號脈沖的時間間隔)，使得信號光在上升沿入射PM，從而使得實(shí)際加載相位由{0，π/2，π，3π/2}變?yōu)閧0，δ/2，δ，3δ/2}。改變加載相位后，Eve 可進(jìn)行 POVM測量區(qū)分Alice端出射量子態(tài)并最優(yōu)化δ取值使得態(tài)區(qū)分誤碼率最小從而獲取最大信息。經(jīng)過測量后，Eve將其測量結(jié)果重發(fā)給Bob。該攻擊屬于一種截獲—重發(fā)攻擊(intercept-resend attack)，QKD安全性分析中一個廣為人知的結(jié)論是:在截獲—重發(fā)攻擊下，QKD系統(tǒng)不可能生成安全密鑰。QKD系統(tǒng)能容忍的QBER上限為20%，而經(jīng)過相位重映射攻擊且最優(yōu)化δ條件下，Eve引起的QBER約為15.5%。此時，Alice和Bob若不考慮上述攻擊，則通信雙方認(rèn)為QKD系統(tǒng)仍然能產(chǎn)生安全密鑰(QBER低于容忍上限)，而實(shí)際上在相位重映射攻擊下系統(tǒng)不能生成任何安全密鑰。

2010年，加拿大多倫多大學(xué)的Lo小組在商用ID-500 QKD系統(tǒng)上實(shí)現(xiàn)了相位重映射攻擊，其實(shí)驗(yàn)框圖如圖3 所示［11］。

圖3 相位重映射攻擊實(shí)驗(yàn)框圖［11］

該實(shí)驗(yàn)中，Eve通過可變光延時器(VODL，variable optical delay line)調(diào)節(jié)信號光與參考光脈沖之間的相對延時，從而改變信號光脈沖入射PM的時間。通過相位重映射攻擊，Eve在竊取100%信息的條件下引起的QBER為19.7%，低于20%。實(shí)驗(yàn)證明，在實(shí)際雙路QKD系統(tǒng)中必須考慮相位重映射攻擊，否則Alice和Bob將高估系統(tǒng)安全性。

相位重映射攻擊的不足之處在于攻擊會引起很大的QBER。即使在理論極限下該攻擊也會引起15.5%的QBER，而在正常的QKD實(shí)驗(yàn)中QBER小于10%。這種攻擊相對容易被發(fā)現(xiàn)，攻擊痕跡過重。

2.1.3 大脈沖攻擊(large pulse attack)

任何光學(xué)器件都存在一定的反射性，竊聽者通過向Alice(或Bob)內(nèi)部發(fā)送強(qiáng)光脈沖信號，并測量反射脈沖可以獲取Alice(或Bob)的編碼信息，如圖4所示。Eve占據(jù)了部分量子信道以探測Alice的設(shè)備，并使用了一個附加光源并對其進(jìn)行調(diào)制，最終用探測器分析反射信號以竊取Alice所制備的態(tài)的信息。上述攻擊的根源在于Alice內(nèi)部的任意光學(xué)器件都存在一定反射性，反射光可被Alice的調(diào)制器調(diào)制從而含有其編碼信息，最終該信息可被竊聽者以某種最優(yōu)的探測方式解碼。如果Alice對此沒有防范，Eve可以精確地得到Alice制備的態(tài)從而得到所有密鑰。

圖4 大脈沖攻擊示意圖［12］

如果Alice注意到了Eve的行為，她可以采取一些措施限制Eve的信息并通過保密放大消除這部分信息。為了限制該攻擊，QKD系統(tǒng)的設(shè)計(jì)應(yīng)該滿足以下幾點(diǎn)要求:(1)只有特定波長的脈沖可以進(jìn)入設(shè)備;(2)用于編碼的光學(xué)元件(如相位調(diào)制器)僅僅在合法光源到達(dá)的短時間內(nèi)處于激活狀態(tài);(3)協(xié)議雙方應(yīng)該知道Eve的探針信號反射量的上界。以上幾點(diǎn)可以通過在Alice設(shè)備外端增加濾波器和強(qiáng)衰器，以及在相位調(diào)制器附近加入隔離器來實(shí)現(xiàn)。

2.2 實(shí)際QKD系統(tǒng)探測端的安全漏洞

探測器是一個復(fù)雜的光電器件，其安全性問題是所有器件中最復(fù)雜的。目前實(shí)際QKD系統(tǒng)探測器的非理想特性主要體現(xiàn)為兩點(diǎn):

a)探測器效率不匹配(DEM，detection efficiency mismatch);

b)實(shí)際QKD系統(tǒng)中廣泛使用雪崩二極管(APD)的工作模式可被Eve控制。

基于上述兩點(diǎn)，Eve 可執(zhí)行時移攻擊［13，14］，偽態(tài)攻擊［15］和探測致盲攻擊［16，17］。2010年，挪威科技大學(xué)和新加坡國立大學(xué)利用探測致盲攻擊［17］，完全攻克了一套實(shí)際QKD系統(tǒng)。有矛就有盾，來自多個國家的研究者在近期分別從理論和實(shí)驗(yàn)的角度部分解決了探測致盲攻擊問題［18～20］。

2.2.1 時移攻擊(Time-Shift Attack)

實(shí)際QKD系統(tǒng)通常含有兩個門模式APD探測器，分別用來探測信號“0”和“1”。理論安全性分析中總是假設(shè)這兩個探測器的探測效率相等。實(shí)際上情況并非如此，不同探測器的效率是時間、頻率、偏振及空間模式的函數(shù)，一般不相同。以光纖QKD系統(tǒng)為例，QKD系統(tǒng)的兩個APD探測器由門信號觸發(fā)，其探測效率為時間函數(shù)，如圖5(a)所示，兩個門模式APD探測器效率在t0和t1時刻顯著不同。如圖5(b)所示。在t0(t1)時刻，探測器D0(D1)的效率遠(yuǎn)高于D1(D0);如果光脈沖在t0(t1)時刻到達(dá)探測器，則探測器D0(D1)響應(yīng)的概率會遠(yuǎn)高于D1(D0)探測器。上述非理想特性被稱為探測效率不匹配(DEM，detection efficiency mismatch)。

2007年，加拿大多倫多大學(xué)的Lo小組提出了針對實(shí)際QKD系統(tǒng)DEM安全漏洞的時移攻擊(TSA，time shift attack)［13］。在正常狀態(tài)下，商用QKD系統(tǒng)會自動校準(zhǔn)兩個門信號使得D0和D1的探測效率盡可能重合，同時令光信號在0時刻到達(dá)探測器(此時兩探測器效率相等，如圖5(b))。令ηi(tj)表示探測器Di在tj時刻的探測效率(i，j=0，1)，并設(shè)兩探測器效率對稱。定義 r=η1(t0)/η0(t0)= η0(t1)/η1(t1)，用來量化探測效率不匹配程度，r∈［0，1］。在實(shí)際 QKD 系統(tǒng)中，Eve可控制光脈沖到達(dá)Bob端探測器的時間。

圖5 探測參效率示意圖

a)若到光脈沖到達(dá)時間為t0且Bob端探測器有響應(yīng)，則Eve以概率1/1+r概率猜測Bob的測量結(jié)果為0，以概率r/1+r概率猜測Bob的測量結(jié)果為1;

b)若到光脈沖到達(dá)時間為t1且Bob端探測器有響應(yīng)，則Eve以概率r/1+r概率猜測Bob的測量結(jié)果為0，以概率1/1+r概率猜測Bob的測量結(jié)果為1。

上述攻擊被稱為時移攻擊。Eve隨機(jī)令信號在t0或t1入射Bob探測器，若t0時刻入射則猜測Bob的測量結(jié)果為0，反之為1。當(dāng)DEM程度較大時(即r＜＜1)，Eve能以很大概率猜中Bob測量結(jié)果。該攻擊的特點(diǎn)是僅改變信號入射Bob的時間，不引起任何QBER。時移攻擊下，Eve與Bob的互信息為［13］

極端情況下兩探測器效率完全不匹配(即r=0)，Eve可完全猜中Bob探測結(jié)果。

2008年，Lo小組在商用ID-500 QKD系統(tǒng)上實(shí)現(xiàn)了時移攻擊的原理性演示驗(yàn)證［14］。商用ID-500 QKD系統(tǒng)有自校準(zhǔn)機(jī)制使得兩探測器效率盡可能匹配，經(jīng)過仔細(xì)觀測，兩探測器效率有4%的概率不匹配程度較大(r～1/8)，則Eve可以4%的概率獲取部分編碼信息而不引起任何QBER。如果在實(shí)際QKD系統(tǒng)中忽略此攻擊，則將高估安全碼率。

該攻擊的缺點(diǎn)在于Eve獲取信息的效率低，只能以4%的概率獲取信息。同時，該攻擊導(dǎo)致光信號總是在探測器效率很低的時刻到達(dá)Bob端，會引起系統(tǒng)計(jì)數(shù)率銳減(當(dāng)然Eve可在原理上用無損信道將信號發(fā)送給Bob以掩蓋攻擊痕跡)。

2.2.2 偽態(tài)攻擊(Fake-State Attack)

2006年，挪威科技大學(xué)的Makarov等人提出了BB84協(xié)議下，如何利用DEM安全漏洞實(shí)現(xiàn)偽態(tài)攻擊(FSA，fake state attack)［15］。偽態(tài)攻擊是一種截獲—重發(fā)攻擊，Eve利用和Bob相同的方式隨機(jī)測量Alice出射的量子信號，然后根據(jù)其測量結(jié)果將偽態(tài)信號重發(fā)給Bob，如圖6所示。

圖6 偽態(tài)攻擊示意圖

a)若測得的結(jié)果是0，則在t0時刻發(fā)送另一組基下的1態(tài)給Bob;

b)若測得的結(jié)果是1，則在t1時刻發(fā)送另一組基下的0態(tài)給Bob。

不難發(fā)現(xiàn)，

a)如果Bob選取的測量基與Eve相同，則Bob探測器有響應(yīng)的概率為［η1(t0)+η0(t0)］/2或［η0(t1)+η1(t1)］/2，其中Bob探測結(jié)果以概率1/1+r與Eve相同，以概率r/1+r與Eve不同;

b)如果Bob選取的測量基與Eve不同，則Bob探測器響應(yīng)概率為η1(t0)或η0(t1)，且Bob探測結(jié)果與Eve不同。

在上述偽態(tài)攻擊下，篩選碼中QBER為［15］

相應(yīng)系統(tǒng)安全碼率為

極端情況r=0條件下［即η1(t0)=η0(t1)=0］，Bob測量結(jié)果必與Eve相同且QBER為0。

a)當(dāng)Eve選錯測量基，Bob端探測器不響應(yīng);

b)當(dāng)Eve選對測量基，Bob以較大概率響應(yīng)，且測量結(jié)果與Eve相同。

該攻擊目前在實(shí)驗(yàn)上比較難直接實(shí)現(xiàn)。2011年，N.Jain等人提出了在商用QKD系統(tǒng)中引入較大DEM的實(shí)驗(yàn)方案，這種DEM對偽態(tài)攻擊和時移攻擊有輔助作用。雙路商用QKD系統(tǒng)每經(jīng)過一段時間會對兩個探測器進(jìn)行校準(zhǔn)，分三步進(jìn)行。

a)Bob發(fā)送強(qiáng)光校準(zhǔn)脈沖給Alice;

b)Alice不做任何相位編碼將脈沖返回給Bob;

c)Bob通過相位調(diào)制器施加π/2的相移，則光脈沖一半功率入射D0，另一半入射D1。

由于使用的是強(qiáng)光脈沖，脈沖在Bob端的干涉儀發(fā)生干涉后，會使兩個探測器都產(chǎn)生響應(yīng)。Bob通過掃描不同時刻發(fā)送的校準(zhǔn)脈沖，并記錄探測器響應(yīng)時間，從而實(shí)現(xiàn)對兩個探測器的門觸發(fā)時間進(jìn)行校準(zhǔn)。Eve可以干預(yù)上述校準(zhǔn)過程:對經(jīng)過Alice內(nèi)部短臂的脈沖進(jìn)行調(diào)制，在光脈沖前半部分施加π/2的相移，對光脈沖后半部分施加－π/2的相移。這樣，再經(jīng)過Bob施加的π/2相位后，實(shí)際到達(dá)Bob端干涉儀的光脈沖的前半部分(后半部分)加載相位是π(0)，則光脈沖的前后部分會分別先后進(jìn)入探測器D1和D0。由于光脈沖本身存在一定寬度(幾百皮秒量級)，此時Alice和Bob若校正兩探測器的觸發(fā)時間使其“同時相應(yīng)”，實(shí)際上會引入百皮秒量級的DEM。商用QKD系統(tǒng)本身僅有約4%的情況下DEM較大(幾百皮秒量級)，而96%情況下DEM只有幾十皮秒的量級。通過Eve的上述對校準(zhǔn)過程的攻擊，N.Jain等人從實(shí)驗(yàn)上穩(wěn)定的引入了比較大的DEM，為偽態(tài)攻擊或時移攻擊提供了空間。

2.2.3 探測致盲攻擊(Detection Blinding Attack)

探測致盲攻擊是針對QKD系統(tǒng)中單光子探測器的非理想特性進(jìn)行的一種量子黑客攻擊。目前商用QKD系統(tǒng)及世界各研究小組的QKD系統(tǒng)主要采用的單光子探測器有如下3種。

a)光纖QKD系統(tǒng)(工作波長1 550 nm)，大多采用門觸發(fā)蓋革模式的InGaAs-APD(如商用QKD系統(tǒng)Clavis2和QPN5505);

b)空間QKD系統(tǒng)(工作波長800 nm)，多采用工作于連續(xù)狀態(tài)下蓋革模式的Si-APD，具體又分為被動猝滅Si-APD(如新加坡國立大學(xué)基于糾纏光子對的QKD系統(tǒng))和主動猝滅Si-APD(如商用探測器PerkinElmer SPCM-AQR);

c)部分QKD系統(tǒng)采用超導(dǎo)單光子探測器SSPD。

近年來，挪威科技大學(xué)的Makarov研究小組發(fā)現(xiàn)上述單光子探測器存在嚴(yán)重的安全隱患:Eve可以統(tǒng)一采用所謂探測致盲攻擊，實(shí)現(xiàn)對Bob端探測器工作狀態(tài)及探測結(jié)果的控制。通過探測致盲攻擊，Eve能在完全竊取信息同時不引起QBER。2009年，新加坡國立大學(xué)聯(lián)合挪威科技大學(xué)首次實(shí)現(xiàn)了探測致盲攻擊的演示驗(yàn)證實(shí)驗(yàn)。下面以最經(jīng)常采用的門觸發(fā)蓋革模式的APD為例，闡述Eve如何實(shí)施探測致盲攻擊，并歸納相應(yīng)抵御措施。

首先簡要介紹APD的工作模式。APD的工作狀態(tài)分為兩種:線性模式和蓋革模式。當(dāng)加載于APD的反向偏壓Vbias小于擊穿電壓Vbr時，APD工作于線性模式;當(dāng)Vbias大于Vbr時，APD工作于蓋革模式。

a)線性模式下，APD工作狀態(tài)類似于經(jīng)典的光強(qiáng)探測器(輸出光電流正比于入射光強(qiáng))，即IAPD∝Popt。當(dāng)APD的輸出電流IAPD大于閾值Ith時，探測器產(chǎn)生響應(yīng)。當(dāng)APD工作于線性模式且入射光功率大于閾值Pth時，APD將被激發(fā)產(chǎn)生響應(yīng)。線性模式下，APD只響應(yīng)強(qiáng)光信號，而不響應(yīng)單光子信號。

b)在蓋革模式下，單光子以一定概率ηD被APD吸收產(chǎn)生電子空穴對并在反向偏壓Vbias加速下引起雪崩效應(yīng)，使探測器產(chǎn)生響應(yīng)。在蓋革模式下，APD能響應(yīng)單光子信號，可以作為單光子探測器使用。蓋革模式是QKD系統(tǒng)所需要的工作模式。

所謂“門觸發(fā)”是指，探測器僅在門信號觸發(fā)時才工作于蓋革模式，而在其余時刻工作于線性模式。可以合理的設(shè)計(jì)門信號時序，使得僅當(dāng)單光子信號到達(dá)探測器時APD才工作于蓋革模式，以達(dá)到降低暗計(jì)數(shù)的目的。絕大多數(shù)光纖QKD系統(tǒng)采用門觸發(fā)蓋革模式的APD作為單光子探測器。

針對APD的上述特征，Eve可在APD的線性工作模式下通過偽態(tài)攻擊控制Bob端探測結(jié)果。Eve首先采用和Bob相同的測量方法測量Alice端出射信號;然后根據(jù)測量結(jié)果將信號在APD工作于線性模式時重發(fā)給Bob。與一般偽態(tài)攻擊不同的是，該攻擊中Eve發(fā)送給Bob的是經(jīng)過仔細(xì)設(shè)計(jì)的強(qiáng)光信號而非單光子信號。以BB84協(xié)議為例，Eve測量Alice出射信號后，在Bob端APD處于線性工作模式時，將其測量結(jié)果加載于功率略大于Pth的強(qiáng)光信號上發(fā)送給Bob。

a)若Eve與Bob選取測量基相同，則強(qiáng)光信號完全入射到同一個探測器中。APD工作于線性模式，而入射到探測器的光功率大于Pth，故可引起探測器響應(yīng)，如圖7(a)所示。

b)若Eve與Bob選擇測量基不同，則強(qiáng)光信號一半入射到探測器 D0，一半入射到探測器 D1。APD工作于線性模式，而入射到每一個APD的光功率約為Pth/2，故不引起探測器響應(yīng)，如圖7(b)所示。

APD工作于線性模式時，其產(chǎn)生響應(yīng)當(dāng)且僅當(dāng)其入射光強(qiáng)大于Pth;Eve在APD工作于線性模式時隨機(jī)測量Alice發(fā)送的信號并將測量結(jié)果以強(qiáng)光

圖7 探測器響應(yīng)示意圖

Eve采用強(qiáng)光脈沖入射到Bob探測器以控制Bob探測結(jié)果，引起的一個伴隨效果是很強(qiáng)的后脈沖(afterpulse)。當(dāng)下一個門信號來臨時APD工作狀態(tài)轉(zhuǎn)變成蓋革模式，會探測到后脈沖引起較高QBER。德國馬普光學(xué)所和挪威科技大學(xué)的研究小組對上述后脈沖進(jìn)行了物理建模，并將理論模型與實(shí)驗(yàn)實(shí)測值進(jìn)行了對比，發(fā)現(xiàn)符合得非常好。根據(jù)模擬和實(shí)測結(jié)果，在Eve采取上述攻擊時刻之后的50個門信號時間段內(nèi)，后脈沖引起B(yǎng)ob端探測器響應(yīng)的概率為0.85，將引起很高的QBER，從而被發(fā)現(xiàn)。

為了掩蓋上述由于后脈沖所引起的高QBER，挪威科技大學(xué)的Makarov等人引入了一種被稱為探測致盲(Detection Blinding)的攻擊手段。對于門觸發(fā)模式APD，所謂探測致盲是指通過Eve的攻擊使APD不能工作于蓋革模式(即使門信號來臨時也不能)，僅能工作于線性模式。在線性模式下，APD對單光子量級信號，暗計(jì)數(shù)，以及后脈沖信號都不響應(yīng)。如果探測器被致盲，則由上述攻擊所導(dǎo)致的后脈沖信號完全不被探測器所響應(yīng)，不引起QBER。近年來根據(jù)不同物理機(jī)制，研究者提出了很多種巧妙的探測器致盲方案。

a)連續(xù)光入射引起光電流IAPD經(jīng)過Rbias導(dǎo)致APD反向偏壓降低，實(shí)現(xiàn)探測致盲;

b)連續(xù)光入射熱效應(yīng)導(dǎo)致APD反向擊穿電壓Vbr增加，實(shí)現(xiàn)探測致盲;

c)區(qū)間光入射熱效應(yīng)導(dǎo)致APD反向擊穿電壓Vbr增加，實(shí)現(xiàn)探測致盲;(功率略大于Pth)發(fā)送給Bob:當(dāng)Bob的測量基與Eve相同，則所有的光入射到同一個探測器，產(chǎn)生響應(yīng)，如圖7(a)所示;當(dāng)Bob的測量基與Eve選擇不同，則強(qiáng)光脈沖被平分到兩個探測器，兩個探測器都不響應(yīng)，如圖7(b)所示。

d)利用探測器的AC耦合效應(yīng)導(dǎo)致門信號入射期間Vcomp降低，實(shí)現(xiàn)探測致盲;

e)微弱光脈沖門后攻擊，實(shí)現(xiàn)探測致盲。

限于篇幅，此處不詳細(xì)展開。

Eve可以通過聯(lián)合上述兩種手段實(shí)現(xiàn)既獲取信息，同時又不引起QBER的目的。2009年7月，新加坡國立大學(xué)聯(lián)合挪威科技大學(xué)首次報(bào)道了對QKD系統(tǒng)的完整探測致盲攻擊。被所攻擊的QKD系統(tǒng)以糾纏光子對為光源，基于偏振編碼，Bob采用被動基選擇測量方式，且其APD為工作于被動猝滅模式的Si-APD。Eve采用偽態(tài)攻擊結(jié)合連續(xù)強(qiáng)光致盲的攻擊方式，攻擊具體流程如下。

a)Eve采用與Bob完全相同的測量方式測量Alice出射信號，并記錄測量結(jié)果;

b)Eve根據(jù)測量結(jié)果制備相應(yīng)偏振態(tài)的偽態(tài)信號疊加到連續(xù)強(qiáng)光上，并發(fā)送給Bob。

經(jīng)過上述攻擊，Eve能完全獲取信息而不引起系統(tǒng)計(jì)數(shù)率及QBER的改變，故Alice和Bob無法通過這兩個參數(shù)觀察到Eve的存在。

目前，針對探測致盲攻擊的抵御手段主要有三種［18～20］。

a)劍橋大學(xué)東芝研究中心的研究人員提出通過從硬件上進(jìn)行改進(jìn)［18］:降低APD的比較器閾值電壓Vth，以及去掉APD的偏置電阻Rbias等手段抵御探測致盲攻擊。

b)加拿大多倫多大學(xué)的Lo小組從理論上提出了解決方案［19］:提出測量設(shè)備無關(guān)(Measurement-Device-Independent)協(xié)議，解決探測段的所有安全漏洞，包括時移攻擊，偽態(tài)攻擊和探測致盲攻擊同時避免探測端邊信道信息泄露等。該協(xié)議是近期QKD領(lǐng)域一大進(jìn)展和研究熱點(diǎn)，其原理演示驗(yàn)證實(shí)驗(yàn)已經(jīng)被實(shí)現(xiàn)。

c)巴西和智利的研究小組采取了實(shí)時監(jiān)控探測器狀態(tài)的方式［20］，成功抵御了簡單的探測致盲攻擊和時移攻擊。

上述工作分別從不同層面上解決了探測端的安全性問題，相信在不遠(yuǎn)的將來，探測端的主要安全漏洞都將得以完滿解決。

3 結(jié)語

研究實(shí)際QKD系統(tǒng)安全性，是QKD最終走向?qū)嵱没谋亟?jīng)之路?？偨Y(jié)了現(xiàn)有QKD系統(tǒng)光源和探測端的安全漏洞及其抵御措施。另外一種實(shí)際安全漏洞是邊信道信息泄露，限于篇幅這里不詳述，感興趣的讀者可參考［4，5］。盡管實(shí)際QKD系統(tǒng)由于實(shí)際器件的非理想特性會存在一些安全隱患，但在各國專家的大力研究下，目前這些安全隱患都有了解決對策。剩下的問題是如何將上述理論和實(shí)驗(yàn)的抵御措施融合到QKD系統(tǒng)中。另外，QKD領(lǐng)域還有一些尚待解決的重要問題:QKD網(wǎng)絡(luò)問題及其與傳統(tǒng)光纖通信網(wǎng)絡(luò)的融合;地面至低軌衛(wèi)星的QKD實(shí)驗(yàn);QKD各個部件的標(biāo)準(zhǔn)化等等。

最后引用挪威科技大學(xué)Makarov的一句話:“In our view，quantum hacking is an indication of the mature state of QKD rather than its insecurity?！逼浯笠馐茄芯酷槍?shí)際系統(tǒng)非理想特性的量子黑客攻擊，并不能說明QKD是不安全的，恰好相反這說明了QKD領(lǐng)域正在走向成熟。

［1］SCARANI V，BECHMANN-PASQUINUCCI H，CERF N J，et al.The Security of Practical Quantum Key Distribution［J］.Rev.Mod.Phys.2009，81(3):1 301-1 350.

［2］SHOR P W，PRESKILL J.Simple Proof of Security of the BB84 Quantum Key Distribution Protocol［J］.Phys.Rev.Lett.2000，85(2):441-445.

［3］GOTTESMAN D，LO H K，LUTKENHAUS N，et al.Security of Quantum Key Distribution With Imperfect Devices［J］.Quantum Inf.Comput.2004，4(5):325-360.

［4］LO H K，ZHAO Y.Quantum cryptography［J］.Encyclopedia of Complexity and Systems Science(Springer New York)，2009，8:7 265-7 285.

［5］LYDERSEN L.Practical Security of Quantum Cryptography［D］.PHD Thesis，NTNU，2011.

［6］ZHAO Y，QI B，LO H K.Quantum Key Distribution with an Unknown and Untrusted Source［J］.Phys.Rev.A，2008，77(5):052 327.

［7］PENG X，JIANG H，XU B J，et al.Experimental Quantum-Key Distribution With an Untrusted Source［J］.Opt.Lett，2008，33(8):2 077-2 079.

［8］PENG X，XU B，GUO H.Passive-Scheme Analysis for Solving the Untrusted Source Problem in Quantum Key Distribution［J］.Phys.Rev.A，2010，81(4):042 320.

［9］XU B，PENG X，GUO H.Passive Scheme With A Photon-Number-Resolving Detector For Monitoring The Untrusted Source In A Plug-And-Play Quantum-Key-Distribution System［J］.Phys.Rev.A，2010，82(4):042 301.

［10］FUNG C-H F，QI B，TAMAKI K，et al.Phase-Remapping Attack in Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2007，75(3):032 314.

［11］XU F H，QI B，LO H.K.Experimental Demonstration of Phase-remapping Attack in a Practical Quantum Key Distribution System［J］.New Journal of Physics，2010，12(11):113 026.

［12］GISIN N，F(xiàn)ASEL S，KRAUS B，et al.Trojan-Horse Attacks Onquantum-Key-Distribution Systems［J］.Phys.Rev.A，2006，73(2):022 320.

［13］QI B，F(xiàn)UNG C H F，LO H K，et al.Time-Shift Attack in Practical Quantum Cryptosystems［J］.Quantum Inf.Comput.2007(7):73-82.

［14］ZHAO Y，F(xiàn)UNG C H F，QI B，et al.Quantum Hacking:Experimental Demonstration of Time-Shift Attack Against Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2008，78(4):042 333.

［15］MAKAROV V，ANISIMOV A，SKAAR J.Effects of Detector Efficiency Mismatch on Security of Quantum Cryptosystems［J］.Phys.Rev.A，2006，74(2):022 313.

［16］LYDERSEN L，WIECHERS C，WITTMANN C，et al.Hacking Commercial Quantum Cryptography Systems by Tailored Bright Illumination［J］.Nature Photonics，2010(4):686-689.

［17］GERHARDT I，LIU Q，LAMAS-LINARES A，et al.Fullfield Implementation of a Perfect Eavesdropper on a Quantum Cryptography System［J］.Nat.Comm.2011:2 349.

［18］YUAN Z L，DYNES J F，SHIELDS A J.Resilience of Gated Avalanche Photodiodes Against Bright Illumination Attacks in Quantum Cryptography［J］.Appl.Phys.Lett.2011，98(23):231 104.

［19］LO H K，CURTY M，QI B.Measurement-Device-Independent Quantum Key Distribution［J］.Phys.Rev.Lett.2012，108(13):130 503.

［20］SILVA T DA，et al.Real-Time Monitoring of Single-Photon Detectors Against Eavesdropping in Quantum Key Distribution Systems［DB］.arXiv:1208.0532(2012).