量子通信同步系统

1 量子密钥分配基本过程

量子密钥分配(Quantum Key Distribution, QKD)的目的是要尽可能防止窃听者(Eve)获得多的信息量，实现高效的量子密钥传输通信。因此在实际通信系统中，所有量子密钥分配都要完成以下四个过程，如图1所示：

图1 量子密钥分配基本过程

1.1 量子态传输

这是最首要、最基本的过程，不同的量子密钥协议有不同的量子态传输方式，但它们有一个共同点：都是利用量子力学原理(如Heisenberg测不准原理和量子不可克隆定理)。在实际的通信系统中，首先Alice选取光子的一个自由度，在这个自由度上编码所要传送的信息，自由度的选择一般依赖于所采用的信道和具体的实验条件和实验环境，一般来讲，如果选择光纤为传输信道，则选取光子的相位进行编码：如果选择自由空间传输，则选取较为简单的光子极化态进行编码。然后，在量子信道中将光子发送给Bob，Bob再随机选择测量基进行测量，测得的比特串记为密钥。[1]

BB84协议是目前使用最广泛的量子密钥分配协议，采用四个非正交态来表示经典比特。这四个态分属两组共轭基，每组基中的两个态正交，不同组内的态非正交。两组基互为共轭，即一组基的任意基矢在另一组基的任意基矢上的投影都相等。以单光子为例，光子偏振的极化状态构成2维Hilbert空间，光子的偏振状态可以用水平垂直极化基表示，也可以用对角线极化基来表示。水平垂直极化基与对角线极化基互为共轭。[3]

Alice向Bob发送单光子，每次发送时通过偏振片来调制光子。偏振的方向有4个，分别是0o、45o、90o、135o，其中0o和90o是一组正交的基，45o和135o是一组正交的基，两组基是相互共轭的。Alice和Bob端各有一个真随机数产生器。Alice发送光子的偏振方向是通过随机数来选择的。Alice每次使用2bit随机数，其中l bit用来选择使用哪一组基，我们约定0选择0o、90o正交基，l选择45o、135o正交基，另l bit用来选择使用这组基里的哪个偏振方向，我们约定0选择0o或45o，l选择90o或135o。两组共轭基和它们的编码如图2所示：

图2 使用光子偏振态表示的两组共轭正交基

量子密钥分配时密钥产生的过程如图3所示。假设Alice端使用的随机数序列为0010010111101100，如图中第一行所示，则其选择的基如图中第二行，相应的单光子偏振状态如图中第三行。

Bob测量Alice发送的单光子的偏振状态，每次使用l bit的随机数，去选择使用两组基中的一组去测量。假设使用随机数为00100100如图2中第四行所示，则其选择的基如图中第五行。对于第l、4、6、8位置的测量，因为Bob选择的基和Alice是相同的，所以测量到的结果是正确的，对于第2、3、5、7处测量，Bob选择的基和Alice不同，所以测量时

单光子塌缩到测量使用基的本征态，塌缩到两个本征态的概率各是50％，所以图中画出了两种方向，并用虚线示意这种情况。Bob将测量时使用的基告诉Alice，Alice告诉Bob哪些基是使用正确的。Bob将使用正确的基测量得到的结果保留，Alice将相应的随机数保留，双方即得到一组密钥。

图3 量子密钥分配产生密钥的过程

密钥交换的过程中，双方仅公布了使用的基，Eve即便得知了哪些基是正确的，但最终的密钥还是未知的。[3]

需要注意的是，人们对量子密钥分配过程容易产生几点误解，在此简要加以说明：[1]

1、量子密钥分配传送的对象是密钥，而不是有具体信息的密文或明文。密钥分配完成后再用密钥对明文进行加密和解密。

2、密钥产生在通信过程中，是在通信双方共同作用下产生的，而不是从通信一方发往另一方。在通信结束前包括通信双方在内谁也不知道密钥到底是什么样的。

3、量子密码技术防窃听的手段是被动的，一旦发现有人窃听就停止，而不是拒绝窃听。

1.2 数据筛选

由BB84协议可知，Bob在测量时随机选择测量基，测量基方向和Alice发送光子的测量基不一定对应。只有采用偏振方向与Alice端对应的测量基，才可能有测量结果，否则探测不到光子。因此Alice需要通过传统信道和Bob公开讨论，得知Bob探测到光子的时隙，双方保留测量基一致对应时隙上的数据，并丢弃其他时隙上的数据，从而得到去掉无效数据的密钥，即筛选密钥。上述过程即是量子密钥的筛选过程。在数据筛选过程中还要侦测传输过程中是否存在Eve。

数据筛选主要有两个步骤：首先由Alice和Bob通过量子信道比较测量基，将测量基不符的比特串剔除；然后双方从剩余的比特串中抽取一部分(比如1／4)计算误码率，若误码率超过事先确定的门限值，考虑有Eve存在，双方放弃所有数据并重新开始；如果没有超过门限值，则双方将筛选后的数据作为密码本保存下来。[1] [2]

1.3 数据纠错

由于信道噪声和可能存在的Eve的影响，在数据筛选完毕后，两者的密钥仍不可能完全一致，这就需要进一步进行数据纠错。与传统的纠错码相比，量子密钥由于事前无法确定其内容，因此无法事前对密钥数据进行纠错编码，这就需要在保证安全的前提下，进行事后数据纠错。数据纠错的思想最早是由Bennett在进行第一次量子密钥分配实验时提出的。目前实验中较好的纠错方法是采用奇偶校验，具体做法是：Alice和Bob首先将获得的筛选数据采用扰乱算法扰乱，以分散错误，然后双方将原始数据分成长度为n0的小块，选择长度

时应尽量使平均一个块中只含有一个错误，通过之前实验的错误率统计可得到只含一个错误

的块的期望长度。分块结束后，Alice和Bob逐块比较块的奇偶校验数值。若奇偶校验值相

等，则丢掉最后一位（保留其它位），以避免泄漏校验信息；若奇偶校验值不相等，则继续

将出现错误的块分成两块，重复进行上述的比较。上述纠错过程不断循环，直到连续l轮进

行首次校验块对比时没有发现错误则停止，则Alice和Bob确信他们的比特串一致的概率至

-。量子信息论的研究表明，这样做可以使Eve所获得的信息量按指数减少，虽然少为12l-

数据纠错同时也减少了通信双方拥有密钥的信息量，但保证了密钥的安全性。[1] [2]

1.4 保密增强

所谓保密增强就是从部分保密的共享信息中提取出高度保密的共享信息。保密增强是为

了进一步提高所获得密钥的安全性和保密性而采取的一种必要措施。其具体的思想：对于

Eve知道的部分比特串信息的比特串W(量子比特串或经典比特串)，利用一个数据压缩函数在一定的编码规则下，压缩了该比特串的长度，从而使Eve知道的信息量最小，最终提高所获得密码(或信息)的安全性。例如，Alice和Bob公开协商好一个函数g，比如Universal Hash 函数、Extractors等，Eve也可能知道g。Alice和Bob令K=g(W)。Eve虽然知道g的全部信息和W的部分信息，但几乎得不到K的任何信息。[1]

2 关键技术

量子密钥分配的最终成码率与安全距离和单光子源、同步系统、单光子探测器这三大关键技术密切相关。激光源的稳定性、同步系统的时间分辨率以及单光子探测器的工作频率、探测效率和暗计数等指标对最终的成码和所能达到的安全通信距离起着决定性作用。[4]

2.1 单光子源

量子密钥是编码在单光子上的，这一点与经典密码系统有很大的不同。若是不能实现用单光子进行编码，则Eve就可以采取与经典窃听相同的办法，截取拥有相同信息的多个光子中的一个或多个用于测量以获取信息，Heisenberg测不准原理和量子不可克隆定理将无法发挥作用，量子密钥的安全性将无法保证。

但是到目前为止，单光子源还停留在理论和实验研究阶段，比如目前提出的一些采用Na粒子发射、量子点或者光学微球腔等方法，这些无论在技术实现上还是效率上都存在难以克服的问题。在现阶段的QKD中，比较常用的方法是使用经过强衰减的脉冲激光器来代替单光子源，我们把这种光源称为“弱相干光源”。[1]

在这种弱强度脉冲激光中，每个脉冲中的光子分布遵从泊松分布，在一定光子数概率下，可以近似认为就是单光子源，不过会因此引入一定概率的误码，以及增加了被窃听的概率。多光子脉冲会让Eve有可能分离出其中一个光子做测量而不影响其它光子，再通过窃听对基信息而得到密钥，因此可以在不引入误码的情况下获得密钥信息，导致安全性降低，这种窃听方式称为“光子数分束攻击”(PhotonNumber splittingAttack，PNS)。如果弱相干光源的系统损耗超过某一值时，PNS攻击就会威胁系统的安全性。有文献介绍了采用诱骗态(Decoy State)的方案，使得弱相干光源能够完全抵抗PNS攻击，因此让弱相干光源的实用性得到了很大的扩展。[3]

单光子源的最重要的指标是功率稳定性、波长稳定性、光谱线宽和可调制带宽，这些特性和整个量子密钥分配系统的成码率直接相关。[4]

2.2 单光子探测器