基于BB84 協(xié)議的低軌衛(wèi)星下行量子密鑰分發(fā)鏈路評估

耿 健，金 文，閆新峰，趙雅琴，房偉紅

（北京航天長征飛行器研究所，北京，100076）

0 引 言

建立全球廣域量子通信網(wǎng)是包括中國在內(nèi)的世界各航天大國面向未來的一個(gè)重要需求。利用地軌衛(wèi)星或飛行器平臺實(shí)現(xiàn)天地間量子密鑰分發(fā)（Quantum Key Distribution，QKD）已被廣泛認(rèn)為是當(dāng)前最有可能建立廣域量子通信網(wǎng)的方式。隨著QKD 理論和實(shí)驗(yàn)方面取得越來越多的可喜成果，構(gòu)建全球量子衛(wèi)星組網(wǎng)或?qū)⒊蔀榭赡躘1,2]。

星地QKD 鏈路是基于量子衛(wèi)星的廣域QKD 系統(tǒng)的關(guān)鍵組成。按照信息傳輸方向分類，星地量子密鑰分發(fā)鏈路的實(shí)現(xiàn)方式可分為：下行（衛(wèi)星發(fā)-地面收）、上行（地面發(fā)-衛(wèi)星收）和衛(wèi)星反射（地面發(fā)-衛(wèi)星反射-地面收）3 種主要方式。相比而言，下行方式更易獲得較高的星地量子密鑰分發(fā)速率[1]。主要的密鑰分發(fā)協(xié)議有以BB84、B92 協(xié)議為代表的基于單光子非糾纏態(tài)協(xié)議、以Ekert91 和BBM92 為代表的單光子糾纏態(tài)協(xié)議、以GG02 為代表的連續(xù)變量密鑰分發(fā)協(xié)議和基于測量設(shè)備無關(guān)類協(xié)議等[3]。其中，以基于誘騙態(tài)的BB84協(xié)議在當(dāng)前工程應(yīng)用中最為廣泛和成熟。本文考慮基于誘騙態(tài)的BB84 協(xié)議的星地下行QKD 鏈路。

文獻(xiàn)[4]～[6]集中于在單顆衛(wèi)星場景下的星地QKD鏈路的光學(xué)相關(guān)參數(shù)評估和鏈路分發(fā)時(shí)間分析。本文在現(xiàn)有研究基礎(chǔ)上，分析評估典型太陽同步軌道（Low Earth Orbit，LEO）高度及星座（Walker 星座）規(guī)模與平均密鑰分發(fā)長度的關(guān)系。仿真考慮了望遠(yuǎn)鏡自身反射鏡對光路的遮擋、偏振極化誤差和光路指向誤差等非理想因素下的有限長度安全密鑰的計(jì)算。所得結(jié)果對設(shè)計(jì)全球量子衛(wèi)星組網(wǎng)系統(tǒng)具有一定參考意義。

1 原理

星地QKD 系統(tǒng)主要包括：經(jīng)典通信模塊、光路捕獲跟蹤模塊和量子收發(fā)模塊。其中，經(jīng)典通信模塊主要利用無線通信技術(shù)傳輸星地雙方的初始位置、姿態(tài)信息以及在QKD 過程中交互輔助確定密鑰的公開信息。光路捕獲跟蹤模塊完成收發(fā)間光學(xué)望遠(yuǎn)鏡指向的精確對準(zhǔn)及跟蹤保持。量子收發(fā)模塊則主要完成基于特定協(xié)議的量子密鑰產(chǎn)生與分發(fā)功能。

基于衛(wèi)星的廣域量子密鑰分發(fā)過程一般包括3 個(gè)階段：第1 階段，當(dāng)衛(wèi)星經(jīng)過地面站A 上空時(shí)與地面站A 進(jìn)行QKD，從而使雙方共享密鑰 cA；第2 階段，當(dāng)衛(wèi)星經(jīng)過地面站B 上空時(shí)與地面站B 進(jìn)行QKD，從而使雙方共享密鑰 cB；第3 階段，當(dāng)衛(wèi)星再次過境地面站A 時(shí)，將Bc 作為信息，用密碼Ac 對信息 cB或其部分內(nèi)容進(jìn)行加密并通過經(jīng)典無線信道發(fā)送給地面站A。至此，地面站A 可解密得到地面站B 的密碼 cB全部或部分內(nèi)容。

由于大氣信道對偏振光子的保偏度和偏振態(tài)的影響很低，BB84 協(xié)議在星地場景下適合以偏振光為載體?；镜腂B84 協(xié)議使用兩組非正交基進(jìn)行編碼，利用非正交量子態(tài)的不可克隆性質(zhì)，使得竊聽行為能被發(fā)現(xiàn)。當(dāng)前工程應(yīng)用上，在BB84 協(xié)議基礎(chǔ)上增加了誘騙態(tài)以克服非理想光源帶來的安全隱患。文獻(xiàn)[7]指出采用三態(tài)的誘騙態(tài)能夠逼近最優(yōu)性能，其中三態(tài)指信號光、誘騙光和真空態(tài)光。基于誘騙態(tài)的BB84協(xié)議可簡要概括如下[3]：

首先，發(fā)端（衛(wèi)星）對信號光源和誘騙光源（及真空態(tài)）光脈沖按照BB84 協(xié)議進(jìn)行編碼，3 種光源的脈沖以一定的比例隨機(jī)的發(fā)送給收端（地面站）。其次，地面站收到所有光脈沖后，衛(wèi)星公布各脈沖所采用的光源。然后，地面站統(tǒng)計(jì)信號源、誘騙源的透過率（透過率為接收到的數(shù)量與發(fā)送的數(shù)量的比值）。如果前者比后者小很多，則認(rèn)為本次分發(fā)過程受到分離光子數(shù)攻擊，放棄本次通信；反之，按照BB84 協(xié)議保留收發(fā)雙方使用相同基下的測量結(jié)果作為篩選碼，通過進(jìn)一步的糾錯(cuò)處理和密性放大得到最終安全密鑰。

對于星地QKD 系統(tǒng)，安全密鑰率（或安全碼率）和地面站在一定時(shí)間內(nèi)可獲得的總安全密鑰長度是系統(tǒng)的重要性能指標(biāo)。在確定QKD 分發(fā)協(xié)議后，影響安全碼率和總碼長的主要因素包括：考慮多種實(shí)際因素下的光鏈路的損耗、暗計(jì)數(shù)與背景噪聲計(jì)數(shù)、偏振誤差、安全性和可靠性指標(biāo)以及衛(wèi)星的軌道與星座規(guī)模等。本文建立信道傳輸和安全碼率計(jì)算的仿真模型并據(jù)此對比分析不同衛(wèi)星（星座）場景下的安全密鑰長度性能差異。

2 仿真模型

2.1 響應(yīng)率和誤碼率

系統(tǒng)仿真模型中的關(guān)鍵參數(shù)說明如表1 所示。

表1 主要參數(shù)說明Tab.1 Main Parameters Discription

影響系統(tǒng)安全密鑰率的2 個(gè)主要因素是響應(yīng)率和誤碼率。定義 Yn為發(fā)送端發(fā)送含有n 光子的脈沖時(shí)，接收端探測器響應(yīng)的概率；Qn= P( n )Yn發(fā)送端發(fā)送脈沖為n 光子脈沖且接收端探測器響應(yīng)的概率，其中 P ( n )為發(fā)送脈沖中含有n 個(gè)光子的概率，為泊松分布。當(dāng)發(fā)送端發(fā)送脈沖光子數(shù)為0 時(shí)，對應(yīng)的概率 Y0由探測器暗計(jì)數(shù)和背景噪聲產(chǎn)生。

對于單個(gè)光子，QKD 系統(tǒng)的總透過率為η = ηchηBobηD，其中ηch為光鏈路損耗，ηBob為接收端內(nèi)部光路損耗，ηD為探測器效率。對于平均光子數(shù)為μ 的弱相干光源，可求得總響應(yīng)率為[3]

在無竊聽情況下，天地量子QKD 系統(tǒng)的量子比特誤碼率來源主要有2 部分。第1 部分是來自系統(tǒng)光路的非理想性。在本文場景中主要表現(xiàn)為偏振對比度引起的誤碼率。令該誤碼率為 edet，其表示了篩選碼中即使沒有暗計(jì)數(shù)和Eve 攻擊而存在的誤碼概率；第2 部分主要來自探測器的暗計(jì)數(shù)和背景噪聲[7]。上述兩部分誤碼來源可認(rèn)為相互獨(dú)立。

對于誤碼來源的第1 部分，發(fā)端和收端組成的系統(tǒng)的等效偏振對比度ER 引起的誤碼率可表示為[9]

通過實(shí)時(shí)偏振補(bǔ)償措施，通?？梢詫⑾到y(tǒng)偏振對比度ER 控制在100 以上，對應(yīng)的誤碼率小于1%。

對于誤碼來源的第2 部分，假設(shè)所有探測器的指標(biāo)相同，令單臺探測器的暗計(jì)數(shù)率為 pd（計(jì)數(shù)/脈沖），探測效率為ηD，背景噪聲產(chǎn)生的計(jì)數(shù)率為 pBG（計(jì)數(shù)/脈沖）。進(jìn)入探測器的背景噪聲計(jì)數(shù)率為 pBGηD，在BB84 協(xié)議中平均僅有一半的計(jì)數(shù)會(huì)體現(xiàn)在安全密鑰中。因此有：

令Eμ為安全密鑰的平均誤碼率。當(dāng)發(fā)送端使用平均強(qiáng)度為μ 的弱相干光源時(shí)，平均誤碼率為[3]

式中0e 由暗計(jì)數(shù)和背景噪聲引起誤碼率， e0=1/2。

2.2 安全密鑰長度

考慮基于誘騙態(tài)的有限篩選碼長度下安全密鑰長度計(jì)算。假設(shè)信號光、誘騙光和真空態(tài)光三者的發(fā)射概率分別為 Psignal， Pdecoy， Pvacuum。令信號源的光源平均光子數(shù)為μ，誘騙態(tài)光源的平均光子數(shù)為ν 。對于真空態(tài)光源，其響應(yīng)率和量子比特誤碼率（Quantum Bit Error Rate，QBER）分別為 Qva= Y0和 Eva= e0。通過該值可以準(zhǔn)確的監(jiān)測到暗計(jì)數(shù)和背景噪聲的信息。對于誘騙態(tài)，其響應(yīng)率和量子比特誤碼率分別為Qν和Eν，其計(jì)算同2.1 節(jié)。

誘騙態(tài)方式下的有限長度安全密鑰碼長下界為[10]

式中 q 為BB84 協(xié)議效率， q=1/2； Nμ( Nv)為接收到的信號態(tài)（誘騙態(tài)）計(jì)數(shù)值， Nμ= QμPsignalfpulseT；Nν=QνPdecoyfpulseT ，其中 fpulse為脈沖頻率，T 為觀測時(shí)間；H2( )為二進(jìn)制熵函數(shù)； f ( Eμ)為糾錯(cuò)效率；Δ= 2lo g2(1/ ( 2 ( ∈ ?? ∈EC)))+，其中∈為最終密鑰不安全的概率， ∈EC為最終密鑰錯(cuò)誤的概率。一般可取 ∈= 10?9~10?5，∈EC= 10?10~10?9。為可調(diào)參數(shù)，具體取值為通過數(shù)值計(jì)算滿足約束∈ ? ∈EC>≥0使得安全碼下界最大的結(jié)果。

當(dāng)ν <μ 時(shí)， Q1下界和 e1的上界可分別表示為[3]

當(dāng)μ <ν 時(shí)，將式（6）中 Q1的下界和 e1的上界中ν和μ 互換可得到相應(yīng)的下界：

將 Q1下界和 e1上界代入式（5）可得安全碼長。

2.3 光鏈路損耗

星地光路損耗 ηch主要由光的衍射和指向偏差造成。收發(fā)端相對位置關(guān)系如圖1 所示。圖1 中坐標(biāo)系原點(diǎn)為發(fā)送端望遠(yuǎn)鏡平面中心，發(fā)射端鏡面位于OXY平面，Z 軸正方向?yàn)槿跸喔晒獾膫鞑シ较颉０l(fā)送端望遠(yuǎn)鏡平面上的點(diǎn)可由 vt=( xt, yt,0)表示，收發(fā)端望遠(yuǎn)鏡間距由 zr表示，指向偏差角為 σp。

圖1 收發(fā)光路傳播示意Fig.1 Diagram of the Optical Path

設(shè)偏振光波長為λ?；谌鹄?索墨菲衍射理論，理想情況下接收端鏡面點(diǎn) vr=( xr, yr,zr)處的光強(qiáng)Iideal( vr)可表示為[4,11]

式中 I0為發(fā)送端最大光強(qiáng)； St為發(fā)送端望遠(yuǎn)鏡平面中除去反射鏡面積后的有效區(qū)域。由發(fā)送端光斑的圓對稱性易得收端平面上的光斑也為圓對稱，因此只需利用式（9）計(jì)算出收端光斑中任意一條徑向上的光強(qiáng)分布，即可表征收端光斑。仿真中，取x 軸向的光強(qiáng)分布，即令 yr=0 。

指向偏差角建模為零均值標(biāo)準(zhǔn)差為 σp的高斯隨機(jī)變量。偏離的方向?yàn)閇0,2π)均勻分布。于是，當(dāng)存在指向偏差時(shí)，接收光斑的中心點(diǎn)偏離理想情況下光斑的中心點(diǎn)距離 rp為零均值標(biāo)準(zhǔn)差為 zrσp的高斯隨機(jī)變量，rp的概率密度函數(shù)為

式中 Sr為接收端望遠(yuǎn)鏡平面中除去反射鏡面積后的有效區(qū)域。

2.4 衛(wèi)星軌道與星座

本文考慮兩類場景：單顆太陽同步軌道衛(wèi)星和基于Walker-δ 星座的LEO 衛(wèi)星系統(tǒng)。對于太陽同步軌道衛(wèi)星，同一地面站每天能夠在大致相同的地方時(shí)段內(nèi)觀測到衛(wèi)星過境，從而實(shí)現(xiàn)定期的天地QKD。Walker星座具有幾何構(gòu)型意義上的對稱性（均勻性）的優(yōu)點(diǎn)，在低軌衛(wèi)星通信和導(dǎo)航領(lǐng)域得到廣泛應(yīng)用。常用衛(wèi)星數(shù)目/軌道平面數(shù)/相位因子（N/P/F）作為Walker 星座的構(gòu)型碼。其中，變量相位因子F 用來確定相鄰軌道面相鄰衛(wèi)星間的相位差 Δωf， Δωf=2π F /N。

3 評估結(jié)果

利用上述模型，從平均密鑰長度和鏈路持續(xù)時(shí)間兩個(gè)方面，比較不同軌道衛(wèi)星場景下衛(wèi)星-地面及衛(wèi)星-衛(wèi)星QKD 鏈路性能。如無特殊說明，仿真參數(shù)設(shè)置如表2 所示。本文假設(shè)衛(wèi)星過境時(shí)，光鏈路的天頂角在±70°以內(nèi)時(shí)可實(shí)現(xiàn)精確跟瞄并進(jìn)行密鑰分發(fā)。使用衛(wèi)星工具包（Systems Tool Kit，STK）計(jì)算星地、星間鏈路距離和持續(xù)時(shí)間。在STK 的場景中地面站位于赤道上，僅認(rèn)為地面站當(dāng)?shù)貢r(shí)間20 點(diǎn)至次日凌晨4點(diǎn)期間的衛(wèi)星過境為有效過境。太陽同步衛(wèi)星軌道的降交點(diǎn)經(jīng)度同地面站經(jīng)度。

表2 主要仿真參數(shù)設(shè)置Tab.2 Main Simulation Parameters

圖2 給出了衛(wèi)星-地面站和衛(wèi)星間QKD 光路損耗與距離的關(guān)系，圖中距離增加一倍，光路損耗增加約6 dB。在誘騙態(tài)方案中，信號光和誘騙光的平均光子數(shù) μ ,ν 的最優(yōu)取值與系統(tǒng)鏈路損耗大小相關(guān)。仿真中，對于每種衛(wèi)星軌道或星座配置，選擇當(dāng)前配置下可得到的最大平均安全密鑰長度進(jìn)行比較。根據(jù)仿真結(jié)果，對于本文考慮的LEO 衛(wèi)星，不同軌道和星座下平均光子數(shù) μ ,ν 的最優(yōu)組合( μ ,ν )取值略有不同，但最優(yōu)值在(0.25，0.55)附近或(0.55，0.25)附近。

圖2 光鏈路損耗與距離的關(guān)系Fig.2 Optical Pathloss VS Distance

單次過境總密鑰長度由密鑰率和持續(xù)時(shí)間共同決定。鏈路衛(wèi)星軌道越低，其QKD 光路損耗越小，而QKD 持續(xù)時(shí)間卻越短。圖4 給出了太陽同步衛(wèi)星單次過境所得到的最大平均安全密鑰長度及對應(yīng)的QKD持續(xù)時(shí)間與衛(wèi)星軌道高度的關(guān)系。從圖中可以看出，當(dāng)軌道高度從200 km 增加至1300 km 時(shí)，軌道高度變化了6.5 倍，鏈路的持續(xù)時(shí)間增加了約13 倍，而平均安全密鑰長度僅下降了約50%。相比持續(xù)時(shí)間的變化，平均單次過境的安全密鑰長度隨軌道高度的增加以較緩慢的趨勢下降。

圖3 單衛(wèi)星單次過境密鑰長度和鏈路持續(xù)時(shí)間Fig.3 Average Secure Key Length under a Single Satellite Pass VS Link Duration

衛(wèi)星星座可以彌補(bǔ)單個(gè)LEO 衛(wèi)星過境時(shí)間短的問題。相比于較高軌道的衛(wèi)星場景，地面站可以通過與更多的較低軌道衛(wèi)星進(jìn)行密鑰分發(fā)來獲得更大的密鑰總量。圖4 比較了不同軌道高度和衛(wèi)星數(shù)量的Walker星座下地面站平均每天獲得的密鑰總量以及密鑰分發(fā)時(shí)間占總時(shí)間的比例，其中總時(shí)間指每晚20 點(diǎn)至次日凌晨4 點(diǎn)的時(shí)間長度?？紤]了5 個(gè)Walker 星座，分別為200 km 軌道高度下（24/12/1）Walker 星座、（10/6/1）Walker 星座，400 km 軌道高度下（12/9/1）Walker 星座、（10/6/1）Walker 星座和800 km 軌道高度下（10/6/1）Walker 星座。從圖4 中可以看出，軌道越低的星座在獲得安全密鑰的長度上優(yōu)勢越大。對比圖4 和圖3 還可以看出通過增加衛(wèi)星數(shù)量，可大幅提升每天地面站得到的安全密鑰總長度。

圖4 不同星座下平均每天密鑰長度及實(shí)際鏈路建立時(shí)間占比Fig.4 Average Secure Key Length Per Day and the Link Available Time to the Total Time Radio under Different Configurations

最后，利用鏈路模型評估星間密鑰分發(fā)的平均密鑰長度和持續(xù)時(shí)間。星間密鑰分發(fā)可用于密鑰的轉(zhuǎn)發(fā)和交換，基本原理與星地洲際密鑰分發(fā)原理相似。受到星載衛(wèi)星望遠(yuǎn)鏡能力的限制，星間QKD 鏈路損耗通常比星地鏈路損耗大，這限制了星間QKD 的距離。以200 km 軌道高度下（24/12/1）Walker 星座和400 km軌道高度下（12/9/1）Walker 星座為仿真場景。圖5和表3 比較了2 種星座場景下相鄰兩個(gè)軌道平面上最近的兩顆衛(wèi)星的距離分布情況、平均每天可交互的密鑰量和鏈路持續(xù)時(shí)間。兩顆衛(wèi)星的星間距離變化范圍較大，在地球南北極上空時(shí)星間距可達(dá)最小，在赤道上空時(shí)星間距最大。從仿真結(jié)果看，兩顆衛(wèi)星適合在軌道交匯的區(qū)域附近進(jìn)行星間量子密鑰分發(fā)，而在其它時(shí)段星間密鑰分發(fā)能力十分有限。這種使用方式與經(jīng)典基于無線通信的衛(wèi)星組網(wǎng)信息交換的實(shí)現(xiàn)方式有所區(qū)別。

圖5 相鄰平面相鄰衛(wèi)星星間距離分布Fig.5 The Distance Distribution of Two Adjacent Satelletes on the Two Adjacent Planes

表3 星間密鑰分發(fā)性能Tab.3 Performance of Inter-satellete QKD

從仿真結(jié)果還可看出，地面站每天進(jìn)行QKD 的時(shí)間（即每天密鑰分發(fā)持續(xù)時(shí)間）是表征一個(gè)實(shí)際QKD系統(tǒng)的密鑰分發(fā)性能的重要參數(shù)。仿真結(jié)果表明，單個(gè)衛(wèi)星的星地QKD 鏈路持續(xù)時(shí)間與衛(wèi)星軌道高度成反比例。然而，提高鏈路持續(xù)時(shí)間更有效的方式是增加衛(wèi)星星座的規(guī)模。若僅從安全密鑰量的角度出發(fā)，軌道越低的星座越能實(shí)現(xiàn)更好的性能。這主要有兩方面原因：一方面，在地面站同一時(shí)間只能與一顆衛(wèi)星進(jìn)行QKD 的假設(shè)下，仿真結(jié)果顯示增加軌道較低的衛(wèi)星星座規(guī)模能夠顯著提升地面站的安全密鑰長度；另一方面，軌道高度越低的衛(wèi)星將有更多的機(jī)會(huì)服務(wù)于其它地面站，從而實(shí)現(xiàn)多個(gè)地面站間的量子密鑰分發(fā)。

此外，為了提高整個(gè)系統(tǒng)的密鑰分發(fā)能力，可將地面站放置于多顆衛(wèi)星軌道交匯點(diǎn)的下方。一方面，地面站能夠與多顆衛(wèi)星同時(shí)交換量子密鑰，另一方面不同軌道的多顆衛(wèi)星間也可以相互進(jìn)行量子密鑰分發(fā)。例如，若在南極點(diǎn)布置地面站，對于400 km 軌道高度下（12/9/1）的Walker 星座，在不區(qū)分白天黑夜的情況下該地面站平均每天可與不同的衛(wèi)星分發(fā)獲得共5263 Mbit 的量子密鑰。因此，在多個(gè)軌道平面交匯處下方的地面站適合承擔(dān)密鑰交換的工作。

4 結(jié) 論

基于仿真模型，本文對星地下行QKD 鏈路與衛(wèi)星軌道高度及星座規(guī)模的關(guān)系進(jìn)行評估和分析。仿真結(jié)果表明LEO 衛(wèi)星平均單次過境與地面站分發(fā)的安全密鑰長度隨軌道高度的增加以較緩慢的趨勢下降。盡管如此，通過降低衛(wèi)星軌道高度、增加衛(wèi)星數(shù)量，可以顯著提升地面站可獲取的密鑰總量。因此，較低軌道的星座更適合實(shí)現(xiàn)高速的量子衛(wèi)星QKD 系統(tǒng)。此外，將地面站部署于多顆衛(wèi)星交匯點(diǎn)的下方，對提升星地間的密鑰交換能力有顯著的作用。