雙場(chǎng)干涉量子密鑰分配協(xié)議及其改進(jìn)綜述*

劉 冰 孫 瑩 陳小明 劉欣瑞

北京電子科技學(xué)院，北京市 100070

前言

在量子密鑰分配協(xié)議誕生之前，密鑰傳輸工作主要交給非對(duì)稱加密算法來(lái)完成，典型代表有RSA算法、ECC算法等，其安全性主要建立在數(shù)學(xué)困難問(wèn)題上。以RSA算法[1]為例：RSA算法所基于的數(shù)學(xué)難題是大數(shù)因子分解難題，目前還沒(méi)有一個(gè)有效的算法可以解決。隨著密碼分析技術(shù)，特別是量子計(jì)算的發(fā)展，一個(gè)1024比特長(zhǎng)的RSA公鑰可以被有512量子比特的量子計(jì)算機(jī)在一秒鐘內(nèi)攻破。其余非對(duì)稱密鑰算法的處境也和RSA相似。

而量子密鑰分配協(xié)議[2]不依賴于任何數(shù)學(xué)難題，該協(xié)議可以利用物理規(guī)律來(lái)發(fā)現(xiàn)竊聽者，有效解決了當(dāng)今非對(duì)稱密鑰算法的窘境。也正因如此，量子密鑰分配協(xié)議及其所屬的量子通信成為了新一代科技革命當(dāng)中的關(guān)鍵技術(shù)領(lǐng)域之一。

而在量子密鑰分配協(xié)議的實(shí)踐中，安全成碼率和通信距離一直是信息傳輸中的瓶頸。成碼率的高低決定著消息傳輸?shù)男剩绻粋€(gè)通訊方式成碼率太低則意味著此通訊方式不可用于傳遞長(zhǎng)串的信息。安全傳輸距離決定了采用量子密鑰分配協(xié)議進(jìn)行組網(wǎng)時(shí)的應(yīng)用前景。

本文第一部分講述量子密鑰分配協(xié)議的原理、發(fā)展前景和其戰(zhàn)略意義。第二部分介紹幾類有代表性的量子密鑰分配協(xié)議及理論結(jié)果。第三部分重點(diǎn)介紹雙場(chǎng)干涉量子密鑰分配(Twin-Field Quantum Key Distribution，TF QKD)協(xié)議。第四部分介紹了在TF QKD基礎(chǔ)上的系列改進(jìn)。第五部分對(duì)研究方向進(jìn)行了展望。最后進(jìn)行總結(jié)。

1 量子密鑰分配協(xié)議背景

量子密鑰分配協(xié)議因?yàn)槠浠诹孔恿W(xué)原理的特性，使得它以及它隸屬的量子通信迅速成為第二次科技革命的技術(shù)制高點(diǎn)之一，現(xiàn)在世界各國(guó)和地區(qū)都在量子通信領(lǐng)域內(nèi)投入資金大力研究。量子密鑰分配協(xié)議彌補(bǔ)了傳統(tǒng)非對(duì)稱加密算法的不足，發(fā)送方可以通過(guò)計(jì)算誤碼率被動(dòng)地發(fā)現(xiàn)竊聽者，具備完全無(wú)條件的安全性，在國(guó)防安全和黨政機(jī)要系統(tǒng)中有著廣闊的應(yīng)用和發(fā)展空間。

我國(guó)正式開始研究量子通信的時(shí)間是1995年，2000年又完成了1.1千米光纖傳遞的量子密鑰分配實(shí)驗(yàn)。2006年到2010年中國(guó)在蕪湖和合肥分別建立起了帶實(shí)驗(yàn)性質(zhì)的量子政務(wù)網(wǎng)絡(luò)和光量子電話網(wǎng)絡(luò)。2016年8月，中國(guó)成功發(fā)射了人類史上第一顆量子通信衛(wèi)星——“墨子”量子科學(xué)實(shí)驗(yàn)衛(wèi)星，在中國(guó)和奧地利之間首次實(shí)現(xiàn)距離達(dá)7600公里的洲際量子密鑰分配，并利用共享密鑰實(shí)現(xiàn)加密數(shù)據(jù)傳輸和視頻通信。

國(guó)外的量子通信研發(fā)進(jìn)步也很大。美國(guó)2014年宣稱實(shí)現(xiàn)量子通信，歐洲已于1999建立包括英法德意在內(nèi)的量子信息物理學(xué)研究網(wǎng)和集中了12個(gè)研究項(xiàng)目的國(guó)際財(cái)團(tuán)，這個(gè)歐盟式的聯(lián)合組織開始負(fù)責(zé)協(xié)調(diào)、聯(lián)合歐洲國(guó)家的研發(fā)機(jī)構(gòu)在量子通信和其他科學(xué)研究項(xiàng)目開展工作。

盡管當(dāng)今幾乎全球都在進(jìn)行量子通信領(lǐng)域科研攻關(guān)，但是量子密鑰分配協(xié)議應(yīng)用前景仍然受到一些限制，主要方面有二：協(xié)議本身的限制和協(xié)議硬件基礎(chǔ)限制。量子密鑰分配協(xié)議最初于1984年提出，要求使用單光子來(lái)進(jìn)行傳輸，在實(shí)際技術(shù)條件下無(wú)法實(shí)現(xiàn)。同時(shí)以光量子為基礎(chǔ)的量子信道的傳輸距離受到信道阻礙而存在理論極限。對(duì)于量子密鑰分配協(xié)議的硬件設(shè)備限制而言，問(wèn)題變得更加麻煩。目前相關(guān)的光學(xué)設(shè)施價(jià)格高、體積大，還不適合大規(guī)模使用。由于硬件原因，不管是量子密鑰分配協(xié)議還是量子通信，目前還只能用于要點(diǎn)和關(guān)鍵部門的通信傳輸，遠(yuǎn)達(dá)不到平民化大規(guī)模普及的地步。特別是，硬件性質(zhì)與理論假定之間存在距離，在一定程度上會(huì)威脅協(xié)議的安全性。

2 典型量子密鑰分配協(xié)議與理論結(jié)果

本部分重點(diǎn)對(duì)BB84協(xié)議、測(cè)量設(shè)備無(wú)關(guān)(Measurement Device Independent，MDI)的量子密鑰分配協(xié)議進(jìn)行分析和討論。在此之前，首先介紹一個(gè)重要的關(guān)于密鑰容量的理論界。

2.1 點(diǎn)對(duì)點(diǎn)密鑰容量

在量子密鑰分配協(xié)議研究中必須提到一個(gè)重要理論結(jié)果——密鑰容量(SecretKey Capacity，SKC)[3]。

包括BB84協(xié)議在內(nèi)所有的量子密鑰分配協(xié)議(SKC提出時(shí)TF QKD尚未出現(xiàn))都有一個(gè)共性，即每一個(gè)協(xié)議的密鑰率都會(huì)隨著量子信道的物理傳輸距離(光纖或光路)增加而成指數(shù)關(guān)系衰減。如果想使用一種單一協(xié)議完成更長(zhǎng)距離的量子密鑰傳輸，唯一可行的方式就是將傳輸信道分割成多個(gè)短距離傳輸信道，再使用可信中繼節(jié)點(diǎn)連接這些子信道。不過(guò)可靠的量子中繼器仍舊是一個(gè)難題，現(xiàn)在量子密鑰分配協(xié)議只能依靠更高效的減損手段來(lái)實(shí)現(xiàn)更長(zhǎng)的密鑰傳輸。

SKC界是一個(gè)不與具體協(xié)議相關(guān)的類似于光速壁壘的速率界限。在這個(gè)速率之下，量子密鑰分配協(xié)議中的通信雙方可以在量子信道里產(chǎn)生出隨機(jī)且安全可靠的量子密鑰。在TF QKD之前沒(méi)有分配協(xié)議可以突破這個(gè)界限。

2.2 BB84協(xié)議

BB84協(xié)議[2]使用光子的四個(gè)偏振態(tài)來(lái)傳輸信息，這四個(gè)量子態(tài)又可以分成相互非正交的兩組，每組中的兩個(gè)偏振態(tài)正交，同時(shí)這兩組又是相互共軛的，可以用↑、↗、→、↘四種符號(hào)表示。

協(xié)議開始時(shí)，發(fā)送方甲從↑、↗、→、↘四種量子偏振態(tài)當(dāng)中隨機(jī)選擇并通過(guò)量子信道發(fā)送給接收方乙，乙接收光子并隨機(jī)從兩組測(cè)量基中選擇進(jìn)行觀測(cè)。隨后乙通過(guò)經(jīng)典信道發(fā)消息告知甲他在哪個(gè)量子比特位上采用何種觀測(cè)基。甲接收到乙發(fā)過(guò)來(lái)的消息并進(jìn)行對(duì)比，告訴乙他哪個(gè)位置選擇的觀測(cè)基是對(duì)的。甲和乙丟棄基選擇當(dāng)中不匹配的比特位。之后，甲乙雙方從隨機(jī)量子比特流當(dāng)中選擇相同的一段量子比特，觀察結(jié)果并在經(jīng)典信道里對(duì)比。如果沒(méi)有竊聽，那這兩段觀測(cè)結(jié)果應(yīng)該是一致，這時(shí)雙方剩下的量子比特位為雙方最終密鑰。

量子力學(xué)原理使得任何竊聽行為都會(huì)導(dǎo)致接收方出現(xiàn)誤碼率的變化，從而達(dá)到發(fā)現(xiàn)竊聽者的目的。但是這并不代表BB84協(xié)議就是最安全的協(xié)議。協(xié)議要求使用單光子源設(shè)備來(lái)進(jìn)行量子密鑰交換，可是目前為止沒(méi)有能夠研制出這樣的設(shè)備，作為妥協(xié)而使用的相干光脈沖設(shè)備又因?yàn)橐淮涡援a(chǎn)出太多光子而降低協(xié)議的安全性。另外，協(xié)議在計(jì)算誤碼率的過(guò)程需要用到很多的量子，而且在傳輸過(guò)程中有一半的量子比特不能用作密鑰，所以此時(shí)作為量子密鑰分配協(xié)議的先行者，BB84協(xié)議還存在量子比特利用率低、成碼率低的不足。

2.3 MDI QKD協(xié)議

盡管理論上BB84協(xié)議給出的密鑰分配方案是一個(gè)絕對(duì)安全的方案，但是由于實(shí)際情況下還不存在完美的測(cè)量設(shè)備和量子信號(hào)源，量子密鑰分配協(xié)議仍不能保證在實(shí)際應(yīng)用過(guò)程中信息傳輸?shù)慕^對(duì)安全。為了解決因設(shè)備不達(dá)標(biāo)而產(chǎn)生的安全漏洞，許多科研人員提出了不少升級(jí)方案，當(dāng)中就有測(cè)量設(shè)備無(wú)關(guān)的量子密鑰分配協(xié)議(MDI QKD)[4]。該協(xié)議本身不需要掌握協(xié)議的設(shè)備運(yùn)轉(zhuǎn)狀態(tài)，可以通過(guò)貝爾態(tài)(用于描述兩個(gè)量子比特系統(tǒng)的四種最大糾纏態(tài))得知是否存在竊聽者。

在密鑰協(xié)商階段，收發(fā)雙方都隨機(jī)制備四種偏振態(tài)光子，然后將制備好的光子通過(guò)量子信道傳輸給第三方丙，丙對(duì)雙方發(fā)送過(guò)來(lái)的量子進(jìn)行貝爾態(tài)測(cè)量。貝爾態(tài)測(cè)量過(guò)程中，甲乙的量子脈沖會(huì)進(jìn)入到一個(gè)50：50的分束器中干涉，然后在進(jìn)入到偏振分束器中將輸入量子投射成 ＋或者×偏振態(tài)。丙所擁有的四個(gè)光子探測(cè)器(D1＋、D1X、D2＋、D2X)用于探測(cè)貝爾態(tài)的測(cè)量結(jié)果，貝爾態(tài)測(cè)量結(jié)束后丙廣播他的測(cè)量結(jié)果。

甲乙等待的測(cè)量結(jié)果是探測(cè)器D1＋、D2X(或者是D1X、D2＋)同時(shí)響應(yīng)，其他結(jié)果視為不需要的結(jié)果而拋棄。隨后在經(jīng)典信道內(nèi)對(duì)比雙方的觀測(cè)基，如果一致就保留數(shù)據(jù)。當(dāng)以上操作完成之后，得到的數(shù)據(jù)被稱為原始密鑰。原始密鑰中選擇觀測(cè)基 ＋的被保留為安全密鑰，而用觀測(cè)基×的用于檢測(cè)誤碼率。

相較于之前的QKD版本，MDI QKD有著很大優(yōu)勢(shì)。協(xié)商雙方不需要有量子測(cè)量設(shè)備，而第三方丙也可以是不可信的，只是增加了誤碼率。任何針對(duì)測(cè)量設(shè)備漏洞的攻擊將會(huì)在此失效，所以MDI QKD協(xié)議在抵抗探測(cè)器側(cè)信道攻擊方面有更好的效果。

3 TF QKD協(xié)議

3.1 背景介紹

2018年5月，東芝歐洲研究所的 M.Lucamarini等在《Nature》上刊登了一篇量子密鑰分配的理論文章[5]，宣布發(fā)現(xiàn)了一種新的稱為雙場(chǎng)干涉的QKD協(xié)議，該協(xié)議在保證密鑰安全的條件下突破了以前 QKD協(xié)議的碼率-距離極限。

已有的QKD協(xié)議中，成碼率方面在2014年距離50公里時(shí)產(chǎn)生1.2Mbps的成碼速率[6]，2016年中國(guó)科學(xué)技術(shù)大學(xué)潘建偉院士團(tuán)隊(duì)取得404公里的傳輸距離[7]。但是這些理論和實(shí)驗(yàn)工作，都沒(méi)有突破量子信道的SKC界。而新提出的TF QKD協(xié)議，則突破了此理論界。

TF QKD的密鑰速率同樣與距離相關(guān)，跟其它協(xié)議中與信道透射率成比例不同，TF QKD與信道透射率的平方根成比例，并且與涉及量子中繼器的方案相比，TF QKD在技術(shù)上更為可行，可以在550公里的標(biāo)準(zhǔn)光纖上具有可控的噪聲水平。

圖1 基于光纖的量子方案的理論界限

圖1中繪制了光纖中QKD協(xié)議的速率-距離依賴關(guān)系的幾個(gè)理論界。其中需要注意的是有損耗的光量子信道的密鑰容量SKC。由圖中可以看出，理想TF QKD在200公里后，實(shí)際TF QKD(實(shí)線)在340公里后超過(guò)SKC界。這是因?yàn)閭鹘y(tǒng)QKD的密鑰率在η＜＜1時(shí)與信道透射率η呈線性關(guān)系，而TF-QKD的密鑰率隨η1/2縮放。

3.2 協(xié)議原理

TF QKD并非憑空產(chǎn)生，而是擁有多個(gè)思想源頭。

首先，TF QKD可以視為時(shí)間反演的糾纏分發(fā)協(xié)議。糾纏分發(fā)協(xié)議是經(jīng)典的QKD協(xié)議，由中間節(jié)點(diǎn)產(chǎn)生糾纏源，分發(fā)到兩個(gè)用戶進(jìn)行測(cè)量。而TF則為其時(shí)間反演，兩個(gè)節(jié)點(diǎn)分別產(chǎn)生量子態(tài)，通過(guò)后選擇來(lái)生成糾纏對(duì)。

其次，TF QKD也可以看做是MDI協(xié)議從雙光子干涉到單光子干涉的轉(zhuǎn)化。標(biāo)準(zhǔn)MDI是利用雙光子干涉來(lái)實(shí)現(xiàn)的，而TF QKD則是利用兩路信道光子的有無(wú)糾纏來(lái)實(shí)現(xiàn)，因此可以成倍提高傳輸距離。

最后，TF QKD還可以看做是一種直接將測(cè)量部分移到中間節(jié)點(diǎn)進(jìn)行的相位調(diào)制BB84協(xié)議。

如圖2，Alice和Bob處的光源(LS)產(chǎn)生具有強(qiáng)度μa，b的脈沖，由強(qiáng)度調(diào)制器(IM)隨機(jī)控制強(qiáng)度以實(shí)現(xiàn)誘騙態(tài)技術(shù)。相位調(diào)制器(PM)與隨機(jī)數(shù)發(fā)生器(RNG)組合以編碼具有相位φa，b的光脈沖，包括比特和基信息以及隨機(jī)相位ρa(bǔ)，b。可變光學(xué)衰減器(VOA)將脈沖的平均輸出強(qiáng)度設(shè)置為亮(經(jīng)典方案)或暗(量子方案)。脈沖沿著獨(dú)立的通道傳播，獲得相位噪聲δa，b，然后在Charlie的分束器處干涉，并由單光子探測(cè)器D0和D1檢測(cè)。Charlie使用經(jīng)典方案中的亮脈沖和他的工作站中的相位調(diào)制器來(lái)對(duì)量子階段中發(fā)射的暗脈沖進(jìn)行相位對(duì)齊。

圖2 TF-QKD原理

在TF QKD中，暗的光脈沖由兩個(gè)光源產(chǎn)生，這兩個(gè)光源被相位隨機(jī)化，然后用秘密位和基進(jìn)行相位編碼。脈沖被發(fā)送到中間站的分束器上進(jìn)行干涉，中間站甚至可能是惡意方。根據(jù)哪個(gè)檢測(cè)器響應(yīng)，Charlie可以推斷用戶的秘密位(Alice和Bob)是相等(00或11)還是不同(01或10)，但是不能獲得它們的絕對(duì)值(0或1)。在TF QKD中，它們發(fā)送兩個(gè)光場(chǎng)，產(chǎn)生單光子干涉，然后是單光子檢測(cè)。這使得TF QKD保持MDI特性，同時(shí)獲得密鑰速率依賴于信道透射率的平方根的結(jié)果。

TF QKD需要雙場(chǎng)隨機(jī)相位協(xié)調(diào)一致。相位隨機(jī)化最初由Alice和Bob彼此獨(dú)立地執(zhí)行，在半開區(qū)間 [0，2π)中隨機(jī)選擇相位值ρa(bǔ)(Alice)和ρb(Bob)。[0，2π) 相位間隔被分成M個(gè)相位片段ΔK＝2πK/M，其中K＝{0，...，M-1}，用戶隨機(jī)選取的相位值必然落在一個(gè)相位切片ΔK(a)或ΔK(b)中。為了識(shí)別雙場(chǎng)(twins)，用戶公開ΔK(a，b)和基并僅保留具有匹配值的情況。這意味著對(duì)于一對(duì)雙場(chǎng)ρa(bǔ)和ρb的差總是小于2π/M。由于相位接近但不完全相同，帶來(lái)固有的量子比特誤碼率(QBER)EM。

3.3 協(xié)議步驟

0.初始操作：相位間隔[0，2π)被分成M＝16個(gè)相等的切片ΔK＝2πK/M，其中K＝{0，...，M-1}，合法用戶Alice和Bob間建立經(jīng)過(guò)身份驗(yàn)證的信道。

1.經(jīng)典階段：用戶向中繼站發(fā)送明亮的未調(diào)制光脈沖，以使Charlie最小化相位未對(duì)準(zhǔn)δab＝δb-δa。

2.量子階段：用戶將光脈沖衰減到單光子水平并調(diào)制它們的相位和強(qiáng)度。

3.準(zhǔn)備：Alice和 Bob 選擇強(qiáng)度μa，b＝{u/2，v/2，w/2} 的隨機(jī)值；比特相位αa，b∈ {0，π} 分別對(duì)應(yīng)于比特 {0，1} ；基相位βa，b∈{0，π/2}，分別對(duì)應(yīng)于基{X，Y} ；相位ρa(bǔ)，b∈[0，2π)。雙方記錄ρa(bǔ)和ρb落入哪個(gè)相位切片ΔK(a)或ΔK(b)。然后，他們準(zhǔn)備脈沖強(qiáng)度μa，b和相位φa，b＝(αa，b＋βa，b＋ρa(bǔ)，b)⊕2π并將它們發(fā)送給Charlie。

4.測(cè)量和公告：Charlie干涉輸入的脈沖并記錄哪個(gè)探測(cè)器響應(yīng)。當(dāng)量子通信結(jié)束時(shí)，公開宣布他的探測(cè)器0(1)響應(yīng)的輪次；Alice和Bob將相應(yīng)地設(shè)置變量X等于0(π)。沒(méi)有探測(cè)器響應(yīng)或兩個(gè)探測(cè)器都響應(yīng)的輪次被丟棄。

5.用戶通知和篩選：在上一步驟完成之后，Alice宣布強(qiáng)度μa，基βa和相位切片ΔK(a)，并且Bob宣布其值與Alice的值匹配的輪次。用戶丟棄所有不匹配的輪次。然后他們公開匹配運(yùn)行的比特值(除了基為X和強(qiáng)度為μ的之外)。

6.原始密鑰提取和參數(shù)估計(jì)：利于基X和強(qiáng)度μ中的比特產(chǎn)生密鑰，Bob從關(guān)系中推測(cè)出Alice的比特相位αa。然后，當(dāng)αa＝0(π)時(shí)，用戶可以提取等于0(1)的密鑰位，形成原始密鑰。在前一步驟中完全公開的所有剩余比特用于執(zhí)行誘騙態(tài)參數(shù)估計(jì)和測(cè)試信道。

7.后處理：用戶運(yùn)行經(jīng)典的后處理程序，例如糾錯(cuò)和隱私放大，以從原始密鑰中提取最終的安全密鑰。

3.4 安全證明

首先可以直觀地得到TF QKD的安全成碼率。借用經(jīng)典QKD的相關(guān)結(jié)論，即對(duì)于相位編碼QKD，無(wú)限碼長(zhǎng)情形中QKD的密鑰率是

TF QKD的關(guān)鍵特征是，對(duì)于特定的碼率，Alice和Bob之間的距離加倍。考慮占空比d和相位匹配損耗1/M的影響，則

等式中的符號(hào)⊕EM表示由于其相位隨機(jī)化而給TF QKD帶來(lái)的誤碼率EM。以上結(jié)論假定全局相位ρ的公開披露不降低密鑰率。

證明分三步進(jìn)行。首先，將TF QKD歸約為類似于BB84協(xié)議的方案，以借用BB84協(xié)議已有的一些結(jié)論。第二步，在假定一個(gè)完美單光子源的前提下，研究類似BB84方案的安全性。最后，采用標(biāo)記技術(shù)(tagging)將安全性從單光子設(shè)置擴(kuò)展到更實(shí)用的光源——弱相干脈沖。完整過(guò)程請(qǐng)參閱原文[5]。

需要注意的是，以上推理假定了全局相位ρ的公開披露不降低密鑰率。而實(shí)際上ρ的公開會(huì)對(duì)速率有一定影響(其碼率仍然在SKC之上)。對(duì)此種情況下的一般化討論，原文并未完成。由于協(xié)議中為了利用誘騙態(tài)和標(biāo)記技術(shù)，由用戶最初制備狀態(tài)的相位應(yīng)該是隨機(jī)和未公開的，這才能保證Eve看到的是光子數(shù)狀態(tài)的混態(tài)。然而，在TF QKD中，隨機(jī)相位被公開后，則不能再視為光子數(shù)信道。因此TF QKD存在安全性分析上的缺陷?；卮疬@一問(wèn)題可以明確是否真正有可能克服SKC的信息理論安全方案。

4 TF協(xié)議后續(xù)改進(jìn)

TF QKD提出之后，由于其突破點(diǎn)對(duì)點(diǎn)SKC界的優(yōu)異性能，以及其安全證明未完成的事實(shí)，引起了后續(xù)一系列的研究。以下簡(jiǎn)介幾項(xiàng)有代表性的研究成果。除了以下幾種方案外，還有一系列研究成果如[8，9]等。他們主要圍繞隨機(jī)相位問(wèn)題做文章，目標(biāo)是完善證明方法，從而保證安全性和提高碼率。

4.1 TF QKD*

TF QKD*[10]首先在TF QKD的基礎(chǔ)上給出了安全性證明，并進(jìn)一步在分析中提高了通信距離。

協(xié)議解決的主要問(wèn)題是原協(xié)議中光子數(shù)測(cè)量和相位測(cè)量并不互易，導(dǎo)致公布相位即不能采用誘騙態(tài)進(jìn)行分析的問(wèn)題，其關(guān)鍵思想是在測(cè)試模式和編碼模式之間進(jìn)行切換。

在協(xié)議中，兩種模式下均保留了隨機(jī)的全局相位。不同點(diǎn)是，當(dāng)選擇編碼模式時(shí)，用戶采用相位編碼方案類似于基于相位MDI QKD生成密鑰，并且在后選擇中宣布隨機(jī)相位信息。而當(dāng)測(cè)試模式被選中時(shí)，用戶不公布隨機(jī)相位信息，這樣就可以看成光子數(shù)的混合，采用誘騙態(tài)法來(lái)得到安全性分析所需的參數(shù)。

更詳細(xì)的，在測(cè)量模式中估計(jì)的主要參數(shù)是X基測(cè)量的偏差。這種偏差是表征非隨機(jī)相位產(chǎn)生脈沖中基的依賴關(guān)系的一個(gè)關(guān)鍵參數(shù)。在之前的文獻(xiàn)中，都是假定最差的情況。而測(cè)試模式下的誘騙態(tài)方法提供了對(duì)編碼模式下偏差的嚴(yán)格估計(jì)，從而顯著提高了密鑰生成率。在設(shè)定參數(shù)下達(dá)到了近700公里的通信距離。本文同時(shí)給出了無(wú)限和有限碼長(zhǎng)兩種情況下的證明。

4.2 SNS QKD

SNS QKD(Send-or-Not-Send QKD)[11]可以容忍較大的相位不匹配。新協(xié)議不進(jìn)行Z基(信號(hào)脈沖)的隨機(jī)相位后選擇，它只以是否收發(fā)光子作為判斷密鑰值的依據(jù)，使得協(xié)議極大地提高了單光子干涉中可容忍的相位失調(diào)誤差。而X基下的隨機(jī)相位則進(jìn)行公開。

協(xié)議的主要原理為：將通信過(guò)程分為誘騙態(tài)窗口(X基)和信號(hào)窗口(Z基)。如果是誘騙態(tài)窗口，發(fā)送帶有隨機(jī)相位的誘騙態(tài)脈沖。如果是信號(hào)窗口，則以概率發(fā)送一個(gè)信號(hào)脈沖，以概率不發(fā)送任何消息。不管如何，隨機(jī)相位都要被用戶保密。經(jīng)過(guò)篩選后的有效事件，Alice(Bob)判斷位值的方式為：如果Alice(Bob)決定發(fā)出一個(gè)信號(hào)脈沖，Alice(Bob)表示位值1(0)；如果Alice(Bob)決定不發(fā)送，那么Alice(Bob)表示一個(gè)位值0(1)。

該團(tuán)隊(duì)繼續(xù)圍繞此思路進(jìn)行研究，在[12]中，討論了信道非對(duì)稱的情況。在[13]中，繼續(xù)討論了SNS面對(duì)有限碼長(zhǎng)問(wèn)題。

4.3 NPP QKD

大部分改進(jìn)協(xié)議都需要相位隨機(jī)化和后選擇，這在它們的安全性證明中共同起著至關(guān)重要的作用。而在[14]中，則去掉了編碼模式下的隨機(jī)相位，保留了測(cè)試模式下的隨機(jī)相位。其編碼方式簡(jiǎn)單，安全性證明與以往的協(xié)議也完全不同，采用了估計(jì)最終信息泄漏上界的證明方法。在[15]中給出了上文的實(shí)驗(yàn)。隨后的[16]在前文的基礎(chǔ)上，再增加一個(gè)誘騙態(tài)(無(wú)需隨機(jī)化)，從而可以更緊地進(jìn)行碼率估計(jì)，從而提高碼率和通信距離。

Alice和Bob在每次實(shí)驗(yàn)中隨機(jī)選擇編碼模式或測(cè)試模式。如果選擇編碼模式，Alice(Bob)準(zhǔn)備一個(gè)弱相干態(tài)。根據(jù)隨機(jī)經(jīng)典密鑰位0或1，將準(zhǔn)備好的狀態(tài)發(fā)送給不可信的由Eve控制的測(cè)量裝置。如果選擇測(cè)試模式，Alice(Bob)發(fā)出相位隨機(jī)弱相干態(tài)，測(cè)試模式下的弱相干態(tài)的相位不會(huì)公開，因此實(shí)際上是在Fock空間中制備了一個(gè)混合態(tài)。

中間方接收方并公開宣布結(jié)果后，Alice和Bob公開宣布哪些試驗(yàn)是編碼模式，哪些試驗(yàn)是測(cè)試模式。對(duì)于Alice和Bob都選擇編碼模式，生成原始密鑰位。對(duì)于Alice和Bob都選擇誘騙模式，Alice和Bob可以估計(jì)出相關(guān)參數(shù)，用于界定信息泄漏量。通過(guò)糾錯(cuò)和隱私放大可以從原始密鑰位生成密鑰。

4.4 PM QKD

不同于傳統(tǒng)的基于量子比特的安全證明，PM QKD[17]開發(fā)了一種基于光學(xué)模式的系統(tǒng)安全證明方法，直接針對(duì)弱相干光源進(jìn)行討論。實(shí)踐方面則給出一種應(yīng)用相位后補(bǔ)償來(lái)代替鎖相的方法。

事實(shí)上，正如前面所示，光子數(shù)信道模型在TF QKD安全證明中是無(wú)效的。而在實(shí)際應(yīng)用中，也是采用弱相干信源來(lái)代替理想單光子信源。與其通過(guò)類似BB84單光子光源的方法來(lái)分析，不如直接對(duì)相干光模型進(jìn)行分析，對(duì)光模進(jìn)行糾纏提純進(jìn)行證明。通信雙方準(zhǔn)備兩個(gè)相干態(tài)，將密鑰信息編碼到公共相位上，并通過(guò)干涉檢測(cè)匹配相位。

協(xié)議過(guò)程與TF QKD類似，其主要特點(diǎn)是在參數(shù)估計(jì)過(guò)程中，用戶可以直接從數(shù)據(jù)中得到響應(yīng)率和量子比特錯(cuò)誤率，而則是通過(guò)估計(jì)得到，與TF QKD相比，協(xié)議簡(jiǎn)化了一組基。

后續(xù)也有直接針對(duì)相干光源的分析成果[18]，取得了不錯(cuò)的效果。

4.5 各協(xié)議比較

從以上介紹可以看到，包括TF QKD及其后續(xù)改進(jìn)版本，在原理和功能上具有較大的相似性。從原理上說(shuō)，各版本協(xié)議都是利用了單光子干涉的原理，通過(guò)后選擇從而在通信雙方造成糾纏態(tài)，從而完成密鑰的生成。從功能上看，都能夠使協(xié)議在保持測(cè)量無(wú)關(guān)特性下，近似兩倍地提高安全傳輸距離，從而突破了無(wú)中繼量子密鑰傳輸碼率的理論界。

但各協(xié)議之間也具有一定的不同。首先體現(xiàn)在協(xié)議設(shè)計(jì)上，后續(xù)版本大多采用了將通信過(guò)程分為信號(hào)態(tài)和測(cè)試態(tài)兩類的方法，以便更好地實(shí)現(xiàn)密鑰生成或信道測(cè)試的功能。但是在不同的狀態(tài)下，是否保留隨機(jī)相位，隨機(jī)相位是否需要公布，后續(xù)版本的設(shè)計(jì)又各有不同。如在編碼態(tài)中，NPP QKD取消了相位隨機(jī)化，而SNS QKD則以發(fā)與不發(fā)來(lái)代表信息，配合協(xié)議的證明完成了相關(guān)功能。與以上不同的是，PM QKD則完成了只在一個(gè)基上進(jìn)行信息傳輸和參數(shù)估計(jì)的功能。

第二方面是證明方法上，原始TF QKD協(xié)議并未完成完整的證明，后續(xù)版本則結(jié)合協(xié)議設(shè)計(jì)過(guò)程中信號(hào)態(tài)和測(cè)試態(tài)區(qū)分的不同方法，通過(guò)在測(cè)試態(tài)中進(jìn)行參數(shù)估計(jì)完成了證明。通過(guò)類似BB84中單光子光源安全性證明和標(biāo)記(tagging)技術(shù)來(lái)進(jìn)行。在測(cè)試態(tài)相位隨機(jī)且不公開的條件下，可以看做光子數(shù)信道的混合，借用誘騙態(tài)的方法去估算參數(shù)。而PM QKD比較特殊，通過(guò)直接對(duì)光模進(jìn)行分析，利用相干態(tài)(而非單光子)糾纏提純來(lái)進(jìn)行證明。

第三方面，面向?qū)崿F(xiàn)和應(yīng)用，不同方案又各自具有不同的特點(diǎn)。TF QKD的實(shí)現(xiàn)，對(duì)實(shí)驗(yàn)精度要求較高，例如雙方光源的頻率、相位的匹配等。各協(xié)議都提出了一些解決方法。其中SNS QKD的優(yōu)勢(shì)在于協(xié)議原理保證對(duì)相位不匹配的容忍度較高；而PM QKD只有一組基，協(xié)議更為簡(jiǎn)單，并具有較高的通信距離；NPP QKD則避免了信號(hào)窗口的相位隨機(jī)化。值得注意的是，目前各種協(xié)議都已經(jīng)開始了相關(guān)實(shí)驗(yàn)，驗(yàn)證了協(xié)議的正確性和性能。

5 開放問(wèn)題

目前TF QKD相關(guān)研究的主要工作：

一是進(jìn)一步完善安全證明方法。TF QKD原文中沒(méi)有完成完整證明，后續(xù)文獻(xiàn)利用各種方法嘗試對(duì)其進(jìn)行證明，但證明方法尚需進(jìn)一步研究和完善，以尋找更為清晰和高效的證明。而且目前的證明主要針對(duì)對(duì)稱信道和無(wú)限碼長(zhǎng)的理想情況，對(duì)非對(duì)稱和有限碼長(zhǎng)效應(yīng)的影響需要進(jìn)一步考慮。

二是進(jìn)一步提高成碼率和通信距離。通過(guò)改進(jìn)證明方法，能夠估算更為緊湊的碼率公式。另外鑒于SKC界已被突破，是否存在新的界，是理論上值得探討的問(wèn)題。

三是現(xiàn)有方案是MDI的，但除此之外，光源、信道也存在不完美的情況?？紤]光源強(qiáng)度抖動(dòng)、基存在相關(guān)性的情況、非對(duì)稱信道等，是有意義的問(wèn)題。

四是除了點(diǎn)對(duì)點(diǎn)的QKD以外，其網(wǎng)絡(luò)應(yīng)用也是值得考慮的問(wèn)題。

目前已有部分工作對(duì)這些方面展開研究，如針對(duì)第三點(diǎn)的[19]在TF的背景下，討論光源強(qiáng)度不精準(zhǔn)的影響，給出分析模型。針對(duì)第四點(diǎn)的[20]，提出包括基于糾纏相干光源六態(tài)編碼及通信鏈路連接等4個(gè)協(xié)議。應(yīng)該說(shuō)作為QKD中具有突破性的研究成果之一，對(duì)TF QKD的進(jìn)一步研究是有價(jià)值和必要的。

6 結(jié)論

本文對(duì)近來(lái)出現(xiàn)的QKD中具有突破性意義的TF QKD及其后續(xù)改進(jìn)進(jìn)行了綜述。與之前的協(xié)議相比，TF QKD突破了點(diǎn)對(duì)點(diǎn)的密鑰容量界，因此具有重要的理論和應(yīng)用價(jià)值。本文同時(shí)介紹了相關(guān)方向目前的主要研究熱點(diǎn)，希望能夠引起相關(guān)研究人員興趣并作為參考。