雙路連續變量量子密鑰分發協議的有限碼長效應分析*

楊 鑫，孫游東，王天一

（貴州大學 大數據與信息工程學院，貴州 貴陽 550025）

0 引 言

通信加密方式中，量子密鑰分發（Quantum Key Distribution，QKD）近幾年成為研究熱門[1]。30 多年的發展中，QKD 理論安全性分析以及實驗得到了很好的驗證。QKD 協議雙方Alice 和Bob 基于量子態的傳輸進行密鑰分發，保證密鑰的真隨機性。QKD 安全性由量子力學的海森堡測不準原理和量子不可克隆定理保證[2]。通信過程中，假定存在竊聽者Eve 掌握信道資源，以達到最壞情況下量子密鑰分發安全性是否有保證。QKD 又分為離散變量協 議（Discrete-Variable Quantum Key Distribution，DV-QKD）和連續變量協議（Continuous-Variable Quantum Key Distribution，CV-QKD）。其中，BB84協議為典型離散變量協議[3]，GG02 為典型連續變量協議[4]。CV-QKD 在實際條件中具有先天優勢，可結合當前光纖網絡進行鋪設，傳輸距離上優于DV-QKD，所以成為當下的研究熱點。

CV-QKD 雖具有很多優點，但其安全碼率受過量噪聲影響嚴重[5]。在過量噪聲情況下，CV-QKD安全碼率下降很快，導致安全傳輸距離無法過長[6]。為了提高CV-QKD 可容忍噪聲，人們提出了雙路CV-QKD 協議[7]。雙路CV-QKD 有很好的過量噪聲可容性，并會對竊聽者Eve 的攻擊造成影響[8]。雙路CV-QKD 協議中，竊聽者Eve 必須對前后信道同時攻擊。例如，若對前信道攻擊會對后信道加入過量噪聲，使得Eve 在竊聽過程中加入更多的噪聲，增加Eve 的竊聽難度[9]。因此，雙路協議具有很大的發展空間。

量子密鑰分發發展至今，各種量子密鑰分發通信協議在無限碼長情況下的安全性證明已經成熟。在實際應用過程中，交換信號數量達不到近似無限碼長條件，因此研究有限碼長效應對量子密鑰分發安全性能影響很有必要[10-11]。CV-QKD[12]和設備無關協議（Continuous-Variable Measurement-Device-Independent Quantum Key Distribution，CV-MDIQKD）[13]進行有限碼長效應下的研究已經完成，并得到了相應的分析結果。

單路CV-QKD 協議的安全傳輸距離容易受過量噪聲的影響。為了提高CV-QKD 的可容忍噪聲，人們提出了雙路CV-QKD 協議。但是，目前尚未對雙路CV-QKD 協議進行有限碼長效應分析，具體會產生何種影響結果未知。

本文其余部分安排如下：第1 節介紹雙路協議的主要過程，詳細研究雙路協議在有限碼長效應下參數估計過程，并介紹有限碼長效應分析方法和公式；第2 節給出安全碼率的仿真結果；第3 節進行全文總結。

1 雙路CV-QKD 協議和參數估計

雙路協議的PM 模型流程如圖1 所示。圖1 中，LS1 和LS2 表示激光光源，A 表示幅度調制器，φ表示相位調制器，m、n、r 和s 表示隨機數發生器。Bob 發送一個相干態發給Alice。Alice 制備一個高斯調制的相干態，并且用一個分束片TA對他制備的態與收到的態進行耦合。Alice 通過對模A2進行零差檢測得到xA2。Bob 對收到的模進行外差測量得到位置變量xB2X和動量變量pB2P。中間信道假定為被竊聽者Eve 所掌控。最后，Bob 通過得到的兩個數據進行參數估計、數據后處理、數據協調和密鑰放大，得到最終的安全密鑰。

圖1 雙路CV-QKD 協議的PM 方案

以上為雙路協議的PM 過程。PM 方案在實際中容易實現，但是比較難于進行安全性分析。在進行安全性分析時，通常使用等效的EB 方案。雙路協議的EB 方案如圖2 所示，有兩個獨立的高斯糾纏克隆機，方差分別為W1和W2。圖2 中箭頭旁邊的字母如B1表示箭頭處的模。ΓK是連續變量C-NOT門[9]。Bob 用外差測量他的EPR 對的一個模并把另一個模發給Alice。Alice 對她的EPR 對的一個模A1進行外差測量，并對從分束片TA出射的一個模進行零差測量，然后把從分束片TA出射的另一個模發給Bob。Bob 對收到的模B2進行外差測量得到B2X和B2P，再通過兩個對稱變換ΓK把模B1P、B2P、B1X和B2X變換成模B5、B6、B3和B4。通過對模B4和B6的零差測量，可以得到xB和pB。最后，Bob通過得到的兩個數據進行參數估計、數據后處理、數據協調和密鑰放大，得到最終的安全密鑰。

圖2 雙路CV-QKD 協議的EB 方案

有限碼長效應下的安全碼率計算公式為[11-12]：

其中A和B分別為Alice 和Bob 經過量子態測量后的經典數據，E為竊聽者的量子態。I(AB)為Alice 和Bob 之間的互信息，用香農熵表示。SεPE(BE)是Bob 和Eve 之間的互信息，在個體攻擊中仍用香農熵表示，而在集體攻擊中用馮諾依曼熵來表示。由于集體攻擊優于個體攻擊，所以后續研究中都采用集體攻擊的情況仿真分析。εPE為參數估計出錯的概率。N為Alice 和Bob 之間交換數據的總長度，n為最后作為密鑰的數據長度。對于聯合竊聽，β[11]為數據協調階段的協調效率，Δ(n)為保密增強階段的修正參數，與協議的失敗概率有關。

式中HX為對應于未處理密鑰中的變量x的希爾伯特空間，ε～為一個平滑參數，εPA為私鑰放大過程中失敗的概率。平滑參數ε～和εPA都是中間變量，可以任意指定，取值越小越好。

計算安全碼率最重要的一個參數為SεPE(BE)。為了滿足安全通信，在分析協議安全性能時需要做最壞的打算——竊聽者Eve 可獲得最大的信息量，即SεPE(BE)盡可能取最大值。在有限碼長效應下，由于用來參數估計的樣本值不是無限的，導致采樣波動較大，Alice 和Bob 對Eve 的竊聽估計可能出現偏差。這里選擇計算SεPE(BE)值時使其最大化。

SεPE(BE)的值計算依賴通信過程中的協方差矩陣。有限碼長效應會對協方差矩陣中的統計參數造成波動影響，具體為前后信道的透射率T1和T2、兩條信道各自的過量噪聲ε1和ε2以及Bob 和Alice的調制方差V和VA。協方差矩陣ΓAB如下：

其中各個元素如下：

erf是誤差函數，定義為：

2 模擬仿真

進行雙路CV-QKD 協議在有限碼長效應下的模擬仿真。仿真主要分為兩種情況，首先考慮只針對一條通信信道進行有限碼長效應下的參數估計，并且為了便于模擬，只考慮兩個信道具有相同參數的情況，即T1=T2、ε1=ε2及K=1，在此前提下進行建模仿真，如圖3 所示。其中，方塊線、十字線、三角線、星號線和直線分別對應碼長為106、108、1010、1012以及無限碼長的仿真曲線。

圖3 有限碼長效應下對一個信道進行參數估計的安全碼率與傳輸距離變化情況

圖3 為對一個信道進行參數估計情況下的有限碼長效應對雙路CV-QKD 協議安全碼率與安全傳輸距離關系的影響。其中，協調效率β=95%，信道過量噪聲ε1=ε2=0.2，TA=0.2，Alice 和Bob 的調制方差VA=VB=10，曲線從左至右分別為碼長N=106、108、1010、1012以及無限碼長。由圖3 可知，碼長為N=106時的安全傳輸距離與N=102時的安全傳輸距離相差接近1 倍；傳輸數據越長，安全傳輸距離越接近于無限碼長時的傳輸距離。

圖4 為只對一個信道進行參數估計情況下的有限碼長效應對雙路CV-QKD 協議安全碼率與調制方差關系的影響。其中，協調效率β=95%，信道過量噪聲ε1=ε2=0.2，TA=0.2，Alice 與Bob 之間的傳輸距離設置為55 km。由圖4 可知，當調制方差為23 左右的時候，安全碼率降至最低點；在調制方差0 ～23區間，傳輸碼長越小，安全碼率下降越快；調制方差過23 后，安全碼率逐步上升，且碼長N=106、108、1010、1012四條曲線逐步減小差距。

下面將兩條信道同時在有限碼長效應下作參數估計，即后信道作參數估計時考慮前信道參數所帶來的影響。圖5 為兩個信道同時進行參數估計情況下的有限碼長效應對雙路CV-QKD 協議安全碼率與安全傳輸距離關系的影響。其中，協調效率β=95%，信道過量噪聲ε1=ε2=0.2，TA=0.2，Alice 和Bob 的調制方差VA=VB=10，曲線從左至右分別為碼長N=106、108、1010、1012以及無限碼長。由圖5 可知，傳輸數據越少，用于參數估計的數據相應減少，導致安全傳輸距離大幅度減少；在碼長N=106的情況下，最大安全傳輸距離為54 km；碼長N=102的情況下，最大安全傳輸距離達到96 km，且趨勢逐步與無限碼長條件接近。

圖4 有限碼長效應下對一個信道進行參數估計的安全碼率與調制方差變化情況

圖5 有限碼長效應下對兩個信道進行參數估計的安全碼率與傳輸距離變化情況

圖6 為兩個信道同時進行參數估計情況下的有限碼長效應對雙路CV-QKD 協議安全碼率與調制方差關系的影響。其中，協調效率β=95%，信道過量噪聲ε1=ε2=0.2，TA=0.2。為了方便，只對一條信道進行參數估計情況進行對比，Alice 與Bob之間的傳輸距離設置為55 km。由圖6 可知，碼長N=106、調制方差為23 時，安全碼率下降幅度更大，對比只對一條信道進行參數估計情況安全碼率減少更加劇烈。

圖6 有限碼長效應下對兩個信道進行參數估計的安全碼率與調制方差變化情況

3 結 語

雙路CV-QKD 協議的理論安全性分析基于通信雙方交換無限多信號數進行，但是實際情況下無法達到交換無限多的信號數，因此必須謹慎考慮交換信號數有限情況下的理論安全性分析。由以上模擬仿真可以得出，交換信號碼長過小的情況下，N=106的安全傳輸距離與無限碼長條件下的安全傳輸距離相差接近1 倍，且安全碼率也在一定幅度上隨著傳輸距離的增加相應減少。但是，只要通信雙方交換碼長大于N=1012，安全傳輸距離與無限碼長條件的安全傳輸距離相差不大。從調制方差與安全碼率關系的模擬仿真結果來看，雙方通信碼長過小會導致調制方差不能小于50，將會引起安全碼率急劇下降的情況。