實用化態制備誤差容忍參考系無關量子密鑰分發協議*

周陽 馬嘯 周星宇 張春輝 王琴?

1) (南京郵電大學,量子信息技術研究所,南京 210003)

2) (南京郵電大學,寬帶無線通信與傳感網教育部重點實驗室,南京 210003)

1 引言

量子密鑰分發(quantum key distribution,QKD)可以在兩個遠距離用戶Alice和Bob之間形成一致密鑰,其安全性基于量子力學的基本原理,且已被證明具有信息論安全性[1,2].經過幾十年的發展,QKD理論已經比較成熟,且在不同的場景下得到了實驗驗證,如基于光纖的QKD[3-6]和自由空間信道QKD[7,8].在上面提到的大多數QKD系統中,Alice和Bob之間需要一個共享的參考系,而實時校準參考系在一定程度上增加了系統的成本并降低了性能.幸運的是,參考系無關(referenceframe-independent,RFI)QKD協議[9]的概念被提出,克服了參考系漂移問題,從而受到了廣泛的關注.

實際器件特性的不理想使得QKD的理論和實踐之間存在一定矛盾.在實際QKD系統中,存在光源缺陷和探測端缺陷等問題,使得系統的安全性降低.針對光源端態制備誤差問題,2014年,在GLLP協議[10]的基礎上,Tamaki等[11]提出了一種態制備誤差容忍(loss tolerant,LT)的QKD協議.隨后,出現了一系列與光源安全性相關的工作[12-15],其中,2015年Wang等[12]將損耗容忍方案與參考系無關協議結合,有效提升了RFI QKD協議的光源安全性.

但除了源端缺陷之外,由于探測器固有的半導體結構缺陷,在正常的探測信號之后也容易產生虛假的非光子探測脈沖輸出,會造成錯誤的計數,也就是后脈沖效應[16-18],從而導致誤碼率增大.同時,單光子探測器在探測事件發生后會進入一段“恢復期”,在此期間,探測器不會對其他的光脈沖響應,這將帶來死時間效應[19-21].對于一般的QKD系統,死時間和后脈沖效應可以忽略不計,但隨著系統重復頻率的增大,尤其進入千兆赫茲,這種假設就不再合理.基于以上問題,本文提出了一種同時考慮光源端和探測器缺陷的實用化態制備誤差容忍參考系無關(loss tolerant reference-frame-independent,LT-RFI) QKD協議,并且以三強度誘騙態方案[22](信號態+弱誘騙態+真空態)為例進行相應的模型分析與數值仿真計算.該協議通過利用虛擬態方法來估算相位誤碼率,顯著降低了態制備缺陷對密鑰率的影響,這意味著本文的協議在傳輸過程中能夠更有效地防止由于態制備誤差而導致的信息損失.此外,通過刻畫后脈沖和死時間對密鑰率帶來的影響,本文的協議還表現出更高的魯棒性,能夠有效應對探測器端的缺陷問題.

2 理論模型

在實際的量子密鑰分發系統中,由于器件的不完美,不可避免地存在量子態制備誤差、后脈沖效應與死時間效應.針對3種缺陷,本文提出了同時考慮光源和探測器缺陷的實用性態制備誤差容忍參考系無關量子密鑰分發協議,該協議通過將態制備誤差、后脈沖與死時間等缺陷分別進行建模和刻畫,并對QKD系統重新進行了安全性分析證明,使得該模型的結果可以對誤差具有較好的容忍性能,模型的魯棒性得以增強.

下面以相位編碼的QKD系統為例進行具體模型介紹.由于現實環境下編碼系統在態制備過程存在一定的缺陷,制備出的量子態與理想的量子態之間存在一定偏差,因此考慮態制備誤差時,Alice對量子態中的誤差刻畫如下:

其中δ1和δ2表示由于衰減器或強度調制器不理想造成的態制備誤差,δ3和δ4表示由于分束器不理想造成的誤差,θ1和θ2表示由相位調制器不理想造成的偏差.

在RFI協議之中,Eve獲取的信息量由IE表示為

其中

接下來,使用虛擬協議[23]來更緊致估計4組不同基矢下的誤碼率:EXX,EXY,EYX,EYY.以誤碼率EXX為例,其表征為虛擬協議中X基下的比特誤碼率,表達式如下:

其中pjX,vir表示發送Alice在系統B發送虛擬態的概率;1/4表示Bob選擇X基矢測量的概率;qsX|t=表示泡利矩陣的傳輸率,且t∈{Id,X,Y,Z};表示Eve竊聽的測量算符.

對于虛擬態的發送概率pjX,vir,其可表示為p0(1)X,vir={1±sin[(δ1+δ2)/2]}/2,而對于泡利矩陣的傳輸率qsX|t,與真實量子態的計數率滿足如下關系:

由此,可以求得相位誤碼率EXX,其他相位誤碼率EXY,EYX,EYY求解方法相同.以上,可精準求得竊聽者Eve在量子密鑰分發過程中獲取的信息量.

由于在接收端有兩個探測器,因此協議有效的探測事件分為兩種情況: 兩個探測器同時響應或者只有一個探測器響應.首先考慮探測端帶來的后脈沖效應,探測器的響應正確(錯誤)的概率以及兩個探測器同時響應的概率滿足如下表達式:

其中Pdc表示暗計數率,Pap表示后脈沖概率.

當使用弱相干態(weak coherent state,WCS)光源時,認為只有一個探測器響應且測得正確的概率為、只有一個探測器響應但測得錯誤的概率為Done,×、兩個探測器同時響應的概率為Dtwo.相應的表達式如下:

其中η表示系統的總透射率,Alice發送量子態 |?0Z〉且Bob使用Z基測量得到正確比特值0的概率為C0Z|0Z,錯誤結果的概率為C1Z|0Z.

結合誘騙態方法,可以得到平均光子數為λ的增益為

其中λ∈{μ,v},a=ηCn,sα|jγ,D=1-Pdc.Vn,sα|jγ表示Alice發送量子態 |?jγ〉且Bob選擇α基測量得到s比特的條件概率,s,j∈{0,1},α,γ∈{X,Y,Z}.其表達式為

其中?sα|jγ=(1+ηCsα|jγ-η)n-(1-ηCsα|jγ)n-(1-Pdc)(1-η)n.

當考慮死時間效應時,Alice制備 |jγ〉量子態并發送平均光子數為λ的脈沖,然后Bob使用 |sα〉量子態測量的探測概率為Pλ,sα|jγ=cdtPλPγ|λPαQλ,sα|jγ.其中,Pλ表示Alice發送λ強度脈沖的概率,Pγ|λ表示Alice發送λ強度脈沖條件下選擇γ基的概率,Pα表示Alice選擇α基矢的概率.cdt表示死時間效應引起的修正系數,滿足關系式:

其中F為系統重復頻率,τdt為死時間大小,為基于ξ基下λ強度的探測效率.

根據信號態μ、誘騙態v的增益,可以得到單光子計數率的下限,從而得到Z基下的單光子增益和比特誤碼率:

Z基下的整體增益QZ和比特誤碼率eZ,滿足關系式:

結合以上參數和公式,代入下面密鑰率公式,即可得到安全密鑰率[12]大小:

其中,f為系統糾錯系數;IE為Eve獲取的信息量.通過對上述參數求解,可以計算出最終密鑰.

3 數值仿真結果及分析討論

在數值仿真中,使用合理的實驗系統參數[12],如表1所列.

表1 基于后脈沖效應和死時間效應的LT-RFI協議仿真參數列表Table 1.Parameter list used in simulation of LT-RFI protocol based on after-pulse effect and dead time effect.

為了更直觀地說明光源端和探測端不同設備缺陷對LT-RFI協議的影響,基于WCS且考慮有限長效應的RFI協議的密鑰率隨距離的變化曲線如圖1所示.其中,實線表示不考慮態制備誤差容忍下RFI協議的結果,虛線對應LT-RFI協議的結果.

圖1 (a) 基于態制備缺陷 δ 的RFI協議以及LT-RFI協議的密鑰生成率圖;(b)基于后脈沖效應 Pap 的RFI協議以及LT-RFI協議的密鑰生成率圖Fig.1.(a) Key generation rates of the RFI protocol and LT-RFI protocol based on state preparation flaws δ;(b) the key generation rates of the RFI protocol and LT-RFI protocol based afterpulse effect Pap.

圖1基于RFI 協議和LT-RFI協議分別比較了兩種不同缺陷條件下的安全密鑰率.圖1(a),(b)中從上到下實線分別依次表示δ(Pap) 為0(0),0.2004(5%)和0.3006(10%)的RFI 協議的安全密鑰率曲線;從上到下的折點線則分別依次代表與對應實線δ(Pap)相同的LT-RFI協議的安全密鑰率曲線.當δ=0.3006時,與理想狀態相比,與傳統RFI不同,在估算不同基的比特誤碼率時,不是直接對不完美態進行投影測量計算,而是通過引入虛擬態、虛擬協議和過渡矩陣,對測量過程做了一定變換和優化處理,原理上降低了態制備誤差對估算結果的影響.但是,在此過程中不可避免地增加了一些統計量參與估算,在考慮有限長效應時,在一定程度上增加了有限長效應的影響,故在態制備誤差為0時,LT協議的碼率相比于傳統RFI協議有一定的下降;隨著態制備誤差的增大,LT協議的魯棒性和優勢才逐漸顯示出來.與理想狀態相比(δ=0.3006),LT-RFI(RFI)協議的密鑰率下降了約1/2(4/5),最遠傳輸距離減小了5(12) km.

同樣,當Pap=10%時,LT-RFI (RFI)協議比后脈沖大小為0條件下的密鑰率下降了1/2 (3/4),最遠傳輸距離減小了6 (25) km.值得注意的是,與傳統RFI不同,LT-RFI在估算不同基的單光子比特誤碼率時,不是直接使用對不完美態做投影測量的結果進行計算,而是通過引入虛擬態、虛擬協議和傳輸矩陣,對測量過程進行一定變換和優化處理,原理上降低了態制備誤差對估算結果的影響.但是,在此過程中不可避免地增加了一些統計量參與估算過程,因此,在一定程度上增加了有限長效應的影響,故在態制備誤差為0時,LT協議的碼率相比于傳統RFI協議有一定下降,于是圖1中出現態制備誤差為0時,紅色實線略高于黑色虛線的現象;但隨著態制備誤差的增大,LT協議的魯棒性和優勢又逐漸顯示出來.

圖2給出了同時考慮態制備缺陷和后脈沖效應條件下的密鑰率結果.當態制備缺陷δ=0.2004,Pap=5%時,RFI協議的密鑰率比理想情況(δ=0,Pap=0)下該協議的密鑰率降低了67%,最遠傳輸距離減小了18 km.而我們提出的實用性LTRFI協議的密鑰率僅僅降低了50%,最遠傳輸距離減小5 km.此外,當δ=0.3006,Pap=10%時,RFI協議的密鑰率比理想情況下的密鑰率降低了一個數量級以上,最遠傳輸距離更是急劇減小45 km.與之相比,LT-RFI協議的密鑰率雖然降低了70%,但最遠傳輸距離僅僅減小了10 km.通過以上結果可以得出,基于誘騙態方法的傳統RFI協議雖然對態制備缺陷和后脈沖效應具有一定的魯棒性,但依舊不如LT-RFI協議.主要由于與傳統的RFI協議相比,LT-RFI協議除了對態制備誤差具有魯棒性,對探測端的后脈沖效應也具有良好的魯棒性.主要原因與上面類似,LT-RFI協議通過引入虛擬態、虛擬協議和傳輸矩陣,對測量過程做了一定變換和優化處理,原理上降低了測量端的不完美對估算結果的影響,從而使得Eve獲取的信息量降低,從而具有更好的魯棒性.

圖2 基于態制備缺陷和后脈沖效應的RFI 協議以及LT-RFI協議的密鑰生成率圖Fig.2.Key generation rates of the RFI protocol and LTRFI protocol based on state preparation flaws and afterpulse effect.

如圖3所示,當不考慮態制備缺陷時,RFI協議中Eve獲取的信息量明顯要高于LT-RFI協議對應的Eve獲取的信息量.在距離相同的條件下,隨著態制備缺陷δ和后脈沖概率Pap的增大,前者顯著增大,而LT-RFI協議對應的Eve獲取的信息量僅略微增加.這是由于在LT-RFI協議中使用的虛擬比特誤密鑰率更加緊致地估計了相位誤密鑰率,進而更加緊致地估計Eve獲取的信息量.

圖3 基于態制備缺陷和后脈沖效應的RFI 協議與LT-RFI協議的Eve獲取的信息量Fig.3.Information leakage to Eve of the RFI protocols and LT-RFI protocols based on state preparation flaws and after-pulse effect.

為了進一步展示不同設備缺陷同時對LTRFI協議造成的影響,下面給出了基于態制備缺陷、后脈沖效應和死時間效應的LT-RFI 協議的密鑰率隨距離變化的曲線,如圖4所示.其中,黑色實線表示3種設備缺陷都為0的密鑰率結果,紅色實線與綠色虛線表示δ=0.2004,Pap=5%但死時間大小不同的密鑰率結果.為了更好地表現LT-RFI協議的性能,對3種缺陷進行放大(δ=0.3006,Pap=10%且τdt=1 μs)并對密鑰率進行仿真(紫色虛線).結果表明,當同時考慮這3種設備缺陷時,LT-RFI協議的傳輸距離和安全密鑰率有不同程度的下降.通過對比紅色實線與綠色虛線發現死時間效應會導致短距離內的密鑰率大幅下降,但這種影響會隨著距離的增大而下降,因此最遠傳輸距離下的密鑰率幾乎相同.此外,與綠色虛線相比,紫色虛線的3種缺陷分別是前者的1.5倍、2倍與50倍,后者的密鑰率減小了一個數量級,但最遠傳輸距離僅減小5 km.因此,對于LT-RFI協議,死時間效應只是在近距離時進一步降低密鑰率,而沒有影響最遠傳輸距離.

圖4 基于不同設備缺陷的RFI協議以及LT-RFI協議密鑰生成率圖Fig.4.Key generation rates of the RFI protocol and LTRFI protocol based on different defects in equipments.

4 結論

本文提出了一種同時考慮光源端與探測器缺陷的實用化態制備誤差容忍參考系無關QKD協議.本文首先考慮了QKD系統中光源的不完美性,將發送端制備態誤差大小進行刻畫并代入安全性分析之中,并考慮了損耗容忍方法.然后進一步考慮了探測器的不完美性(后脈沖效應和死時間效應)對該協議的影響.以三強度誘騙態方法為例來進行模型構建和參數估計方法介紹,同時開展相應數值仿真計算.結果表明,本文提出的協議通過利用虛擬態測量相位誤密鑰率不僅減小了態制備缺陷對密鑰率的影響,還對探測器端的缺陷(后脈沖效應、死時間效應)更具有魯棒性.

需要指出,本文對RFI QKD的分析中,在接收端使用了兩個單光子探測器來構建模型,為了簡化計算,在仿真中假設兩個探測器的性能完全一致.倘若兩個探測器性能不一致,如探測效率和暗計數等,則可能會引入一定安全隱患,進而降低整個QKD系統的實際性能[24,25].當然,在實際應用中,不同探測器的性能不可避免存在一定差異,是需要實際考慮和解決的問題,也將成為我們后繼的工作重點之一.本方法還可以拓展到其他安全性等級更高的量子密鑰分發協議,如與測量設備無關的量子密鑰分發協議[26-30]以及雙場量子密鑰分發[31,32]等,進一步降低實用化進程中QKD系統因器件缺陷所帶來的不利影響.因此,本文工作將對QKD系統的實用化起到一定推進作用.