連續(xù)變量量子密鑰分發(fā)系統(tǒng)的實(shí)際安全性分析*

黃 彪，李 麗

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，現(xiàn)代社會(huì)的信息安全問題日益突出。信息安全問題不僅影響到個(gè)人隱私和企業(yè)利益，而且關(guān)系著國(guó)家安全和世界和平。然而，傳統(tǒng)的保密通信技術(shù)難以從根本上解決密鑰信息的安全分發(fā)問題。量子密鑰分發(fā)（Quantum Key Distribution，QKD）技術(shù)是目前已被證明具有無條件安全性的一種保密通信方式，對(duì)未來的網(wǎng)絡(luò)信息安全具有重要的意義。

QKD技術(shù)主要分為離散變量（Discrete Variable，DV）和連續(xù)變量（Continuous Variable，CV）兩大類技術(shù)途經(jīng)。DVQKD技術(shù)是利用單光子的偏振態(tài)傳遞信息，也稱為“單光子QKD”技術(shù)[1]。目前，DVQKD技術(shù)發(fā)展較為成熟，但是單光子的產(chǎn)生和探測(cè)十分困難，且存在光子數(shù)分離攻擊和死計(jì)數(shù)攻擊等安全漏洞[2]，實(shí)際系統(tǒng)需要結(jié)合誘騙態(tài)協(xié)議提高安全性[3]。CVQKD技術(shù)則是利用經(jīng)典的相干態(tài)光源，通過幅度調(diào)制和相位調(diào)制來傳遞信息，僅需采用標(biāo)準(zhǔn)化的光通信器件，就能夠?qū)崿F(xiàn)密鑰的無條件安全分發(fā)[4-5]，具有更低的系統(tǒng)成本和更好的應(yīng)用前景。

在CVQKD技術(shù)中，基于高斯調(diào)制的相干態(tài)（Gaussian Modulated Coherent State，GMCS）協(xié)議最引人注目[6]。2011年，我國(guó)上海交通大學(xué)曾貴華等人搭建了基于GMCS協(xié)議集成量子保密通信系統(tǒng)[7]，在27.2 km的光纖信道中能夠獲得3.9 kb/s的安全密鑰率。2013年，法國(guó)高等光學(xué)所法布里實(shí)驗(yàn)室利用多維協(xié)商算法和GPU技術(shù)，將數(shù)據(jù)協(xié)調(diào)效率提高到95%左右，實(shí)現(xiàn)了80 km傳輸距離而安全碼率接近1 kb/s的CVQKD系統(tǒng)[8]。2014年，我國(guó)國(guó)防科技大學(xué)鄒宏新等人基于無開關(guān)切換的探測(cè)方式搭建了50 km光纖信道的高斯調(diào)制CVQKD系統(tǒng)[9]，安全密鑰率達(dá)到187 kb/s。然而，實(shí)際的相干態(tài)CVQKD系統(tǒng)會(huì)受到非理想高斯調(diào)制、激光器相位噪聲和探測(cè)器校準(zhǔn)誤差等實(shí)際非理想因素的影響，引發(fā)了多種潛在的安全漏洞[10]。因此，相干態(tài)CVQKD系統(tǒng)的實(shí)際安全性逐漸成為研究的熱點(diǎn)。

本文將綜述基于高斯調(diào)制的相干態(tài)CVQKD系統(tǒng)的實(shí)際安全性研究現(xiàn)狀，分析各類安全漏洞攻擊以及相應(yīng)的抵御措施，探討實(shí)際CVQKD系統(tǒng)的技術(shù)發(fā)展趨勢(shì)。

1 CVQKD實(shí)際安全性的研究現(xiàn)狀

實(shí)際CVQKD系統(tǒng)的安全漏洞主要來自于兩個(gè)方面：系統(tǒng)過噪聲和邊信道攻擊。系統(tǒng)過噪聲是指由于系統(tǒng)器件的非理想特性引入的噪聲。在實(shí)際系統(tǒng)中，這類噪聲客觀存在，因此有必要從理論上分析系統(tǒng)過噪聲對(duì)系統(tǒng)安全性的具體影響。邊信道攻擊是指竊聽者通過控制公共信道中的本振光來降低系統(tǒng)安全性。由于邊信道攻擊完全受到竊聽者的控制，所以它具有更強(qiáng)的破壞力和隱蔽性。

1.1 系統(tǒng)過噪聲

系統(tǒng)過噪聲主要包括發(fā)送端的光源噪聲、接收端的探測(cè)噪聲和信道中的信道噪聲。

1.1.1 光源噪聲

發(fā)送端由于激光器和調(diào)制器的非理想特性，相干態(tài)信號(hào)光在制備時(shí)會(huì)引入光源噪聲，如相位噪聲和幅度噪聲。上海交通大學(xué)黃鵬等人分析了相干態(tài)光源噪聲的安全性能界限[11]，提出兩種描述噪聲相干態(tài)的系統(tǒng)模型，其中假設(shè)光源噪聲是由第三者Fred利用光放大器引入的。當(dāng)Fred不可信時(shí)，得到更低的安全界限；當(dāng)Fred是中立者時(shí)，得到更加緊致的安全界限。北京大學(xué)郭弘小組將光源制備噪聲特征化，提出主動(dòng)切換和被動(dòng)分束兩種光源噪聲監(jiān)聽策略[12]，并指出被動(dòng)分束監(jiān)聽方式性能更優(yōu)。另外，Vladyslav等人研究了可信制備噪聲對(duì)提高相干態(tài)協(xié)議噪聲魯棒性的積極作用[13]。由于可信的制備噪聲不會(huì)被竊聽者控制和獲知，因此主動(dòng)增加制備噪聲可以提高密鑰信息的安全程度。

1.1.2 探測(cè)噪聲

相干態(tài)信號(hào)光被探測(cè)時(shí)，探測(cè)端內(nèi)部器件的非理想特性將造成一定程度的探測(cè)噪聲，如平衡探測(cè)器的電噪聲。Vladyslav等人分析了接收端探測(cè)噪聲對(duì)相干態(tài)CVQKD安全性的影響[14]。因?yàn)樘綔y(cè)噪聲是由探測(cè)端內(nèi)部引入的，不可被竊聽者控制和獲知，因此探測(cè)噪聲是保持安全的，但是需要通過實(shí)時(shí)監(jiān)測(cè)探測(cè)噪聲的方式來及時(shí)修正安全密鑰率。

1.1.3 信道噪聲

相干態(tài)信號(hào)光經(jīng)過量子信道后，將被信道噪聲污染，同時(shí)還可能被竊聽干擾。Lodewyck等人給出了相干態(tài)CVQKD系統(tǒng)在噪聲信道中的等價(jià)糾纏模型，并分析了信道噪聲對(duì)系統(tǒng)安全性的影響[15]。由于信道噪聲存在于光纖信道中，可以被竊聽者Eve操控，因此信道噪聲會(huì)顯著降低CVQKD系統(tǒng)的安全密鑰率和安全距離。

1.2 邊信道攻擊

相干態(tài)信號(hào)光在接收端進(jìn)行平衡探測(cè)時(shí)，需要使用同步發(fā)送的本振光作為相位參考。但是，由于本振光也經(jīng)歷了不安全的量子信道，因此本振光也存在被竊聽者攻擊的可能。邊信道攻擊主要包括本振光擾動(dòng)攻擊、本振光波長(zhǎng)攻擊和探測(cè)器飽和攻擊。

1.2.1 本振光擾動(dòng)攻擊

本振光擾動(dòng)會(huì)直接影響信號(hào)光的探測(cè)結(jié)果，而竊聽者可以通過控制信道中的本振光光強(qiáng)來隱藏它的高斯聯(lián)合攻擊[16]。國(guó)防科技大學(xué)馬香春等人針對(duì)本振光擾動(dòng)問題提出抵御方案[17]。接收端通過實(shí)時(shí)調(diào)整本振光強(qiáng)度，將其穩(wěn)定在一個(gè)所需的常量，以消除本振光擾動(dòng)來帶的影響（如圖1所示）。西北大學(xué)劉維琪等人分析了竊聽者利用本振光擾動(dòng)漏洞成功隱藏并實(shí)施攻擊所需的本振光強(qiáng)度分布，并且得到一種最優(yōu)的本振光監(jiān)聽方案，可以實(shí)時(shí)監(jiān)聽一般攻擊[18]。Jouguet等人指出不準(zhǔn)確的本振光同步校準(zhǔn)方式，將導(dǎo)致類似于本振光擾動(dòng)攻擊的安全漏洞[19]。竊聽者可利用截獲重發(fā)的方式改變本振光的脈沖時(shí)鐘，導(dǎo)致接收端的本振光校準(zhǔn)出現(xiàn)偏差。

圖1 接收端監(jiān)聽本征光強(qiáng)度

1.2.2 波長(zhǎng)攻擊

接收端通常使用分束器對(duì)本振光進(jìn)行分束，一部分用于監(jiān)聽本振光強(qiáng)度，另一部分用于信號(hào)光的探測(cè)。然而，竊聽者可以通過切換本振光的波長(zhǎng)來間接控制接收端分束器的透射率，導(dǎo)致分束后的本振光強(qiáng)度異變。為了避免這種攻擊，一種簡(jiǎn)單的波長(zhǎng)濾波器應(yīng)該被隨機(jī)添加在監(jiān)聽和探測(cè)之前[20]。

1.2.3 探測(cè)器飽和攻擊

竊聽者可以使用截獲重發(fā)的方式改變信號(hào)光正交分量的幅度，利用接收端平衡探測(cè)器的飽和特性進(jìn)行飽和攻擊[21]。類似地，竊聽者還可以在信號(hào)光之間插入附加光進(jìn)行攻擊，導(dǎo)致接收端的探測(cè)器響應(yīng)飽和，從而錯(cuò)誤估計(jì)過噪聲[22]。

2 CVQKD實(shí)際安全性的研究趨勢(shì)

為了抵御現(xiàn)有的安全漏洞，實(shí)際CVQKD系統(tǒng)必須實(shí)時(shí)準(zhǔn)確監(jiān)聽系統(tǒng)參數(shù)。在抵御系統(tǒng)過噪聲方面，光源噪聲、探測(cè)噪聲和信道噪聲都需要實(shí)時(shí)監(jiān)聽。特別地，接收端的散粒噪聲測(cè)量十分重要，因?yàn)樗艿讲话踩菊窆獾挠绊憽Ｔ诘钟呅诺拦舴矫妫镜刂苽浔菊窆馐钱?dāng)前的研究熱點(diǎn)。

2.1 散粒噪聲測(cè)量

接收端使用平衡探測(cè)時(shí)會(huì)引入散粒噪聲，從而增加系統(tǒng)過噪聲，降低安全密鑰率。更嚴(yán)重的是，量子黑客可以通過控制公共信道上的本振光來偽造散粒噪聲。因此，測(cè)量和控制散粒噪聲對(duì)實(shí)際CVKQD系統(tǒng)而言具有重要的意義。Kunz等人提出了一種穩(wěn)定測(cè)量散粒噪聲的方法[23]，即在接收端將本振光分束成兩個(gè)部分：一部分用于真空態(tài)的平衡探測(cè)，準(zhǔn)確測(cè)量散粒噪聲；另一部分用于信號(hào)光的平衡探測(cè)。這種穩(wěn)定測(cè)量方案可以有效抵御飽和攻擊和波長(zhǎng)攻擊。上海交通大學(xué)黃鵬等人提出一種異步參數(shù)測(cè)量策略，通過峰谷搜索法和高斯后選擇法抵御本振光校準(zhǔn)攻擊和飽和攻擊[24]。上海交通大學(xué)曾貴華教授小組研制了1 Mb/s的連續(xù)變量量子密鑰分發(fā)系統(tǒng)[25]，使用了1 GHz散粒噪聲受限的弱相干態(tài)平衡探測(cè)器，能夠有效控制系統(tǒng)過噪聲。

2.2 本地制備本振光

公共信道中傳輸?shù)谋菊窆鈽O易被竊聽者控制，從而引發(fā)各類邊信道攻擊。盡管接收端可以實(shí)時(shí)監(jiān)聽和調(diào)整本振光光強(qiáng)，但是這種抵御措施十分被動(dòng)。2015年，曾貴華教授小組黃端等人針對(duì)高速CVQKD系統(tǒng)提出了本地制備本振光的方案[26]。該方案不用發(fā)送本振光，而是在接收端本地產(chǎn)生強(qiáng)度可控的本振光進(jìn)行平衡探測(cè)。然而，這種方案沒有可靠的相位參考，導(dǎo)致CVQKD系統(tǒng)難以抵御相位噪聲。隨后，曾貴華教授小組王濤等人提出使用真實(shí)本振光的高速CVQKD方案[27-28]。該方案利用同步生成的參考脈沖對(duì)信號(hào)光的相位漂移進(jìn)行實(shí)時(shí)跟蹤和補(bǔ)償，可解決本振光不完美所導(dǎo)致的安全漏洞問題，并適合更遠(yuǎn)距離的傳輸，如圖2所示。

圖2 使用參考脈沖跟蹤相漂的CVQKD系統(tǒng)

3 結(jié) 語(yǔ)

量子密鑰分發(fā)技術(shù)可以解決信息安全傳遞的問題。基于高斯調(diào)制的相干態(tài)CVQKD系統(tǒng)在理論上已經(jīng)被證明是無條件安全的，但是實(shí)際系統(tǒng)由于系統(tǒng)客觀存在的非理想特性和攻擊干擾變得不夠安全。對(duì)于高斯調(diào)制相干態(tài)CVKQD系統(tǒng)而言，系統(tǒng)過噪聲和邊信道攻擊是兩類重要的安全漏洞因素。為了使實(shí)際系統(tǒng)更加安全和穩(wěn)健，發(fā)送端和接收端需要實(shí)時(shí)監(jiān)測(cè)系統(tǒng)的噪聲參數(shù)，從而準(zhǔn)確評(píng)估安全密鑰率。同時(shí)，接收端需要本地制備本振光，以抵御各類邊信道攻擊。高斯調(diào)制相干態(tài)CVKQD系統(tǒng)已經(jīng)從理論安全分析進(jìn)入到實(shí)驗(yàn)系統(tǒng)驗(yàn)證的階段，在密鑰生成率和傳輸距離方面也取得了重大突破，相信在不久的將來能夠走向?qū)嶋H應(yīng)用。