经典量子密钥分发 (QKD) 协议介绍 (4)

在 BB84 协议 [1] 的证明中，一个重要的假设是 Alice 使用的是单光子源（关于 BB84 协议的介绍，可参考量子客的另一篇文章《经典量子密钥分发 (QKD) 协议介绍 (1) — BB84 协议》）。然而实际系统中单光子源难以制备，通常使用的是弱相干光源，通过将激光光源衰减后获得。弱相干光源的光子数分布服从泊松分布，其中存在不可忽略的多光子成分。对于多光子成分，Eve 可以采取光子数分离（photon-number splitting，PNS）攻击来窃听 [2]。

PNS 攻击的基本原理如下：Eve 拦截 Alice 发送给 Bob 的弱相干脉冲，通过量子非破坏性测量获得其中的光子数信息。对于单光子态的部分，全部拦截不再发送给 Bob；对于多光子部分，Eve 从中提取出一个光子存储在自己的量子存储器里，将其余的光子通过一个低损耗甚至无损耗信道发送给 Bob。在 Bob 公布其测量基矢后，Eve 对其量子存储器中存储的光子进行相同基矢下的测量，之后结合 Alice 公布的基矢信息进行与 Bob 同样的数据后处理过程，Eve 可以获得与 Bob 完全相同的密钥。对于截获的光脉冲，Eve 进行的识别光子数的非破坏性测量不会对其量子态造成扰动，因而不会引入额外的误码。对于因拦截单光子产生的损耗，Eve 可以通过一个低损耗信道甚至无损耗信道进行补偿，从而保持了与未窃听时同样的计数率和误码率水平而避免自己的窃听被发现。在信道存在衰减和探测器低探测效率的情况下，这种攻击更加有效，甚至可以获取全部密钥信息而不被发现。多光子成分的存在使得基于弱相干光源的 QKD 系统的安全成码率和安全通信距离大大下降。根据 2004 年 Gottesman 等人推导出的 GLLP 公式 [3]，考虑到 PNS 攻击，基于弱相干光源的 BB84 协议的安全成码率将正比于信道透过率的平方。根据当时的实验参数通过数值模拟可以得到安全通信距离只有大约为 20 $\mathrm{km}$，此外 PNS 攻击的有效性也得到了实验上的原理性验证 [4]。

为了解决 PNS 攻击的难题，基于 2003 年 Hwang [5] 提出的诱骗态思想，2005 年加拿大多伦多大学的 Hoi-Kwong Lo、马雄峰、陈凯和清华大学的王向斌教授分别独立地提出了诱骗态协议 [6,7]。在诱骗态协议中，Alice 随机制备多种不同光强的相位随机化的弱相干脉冲，其中一种为信号态用于产生密钥，其余的为诱骗态。经过相位随机化后弱相干脉冲可以看做是满足泊松分布的不同光子数态的混态，不同光强的弱相干脉冲中真空态、单光子态和多光子态比例不尽相同。通过计算可知，PNS 攻击中为了保持到达 Bob 端的光脉冲的光子数分布与未窃听的情况下一致，Eve 对多光子态的透过率的调节依赖于 Alice 使用的弱相干光光源的光强和信道损耗。而 Eve 无法区分拦截到的光脉冲属于 Alice 调制的哪一种强度的相干光，因而无法根据光强对光子的通过效率进行不同的调节，从而无法保证不同强度的弱相干光到达 Bob 端的光子数分布与未窃听的情况下一致。因而通过在信号态中混入诱骗态，Bob 可以根据探测到的各个强度相干态的统计结果的异常来判断是否存在 Eve 的窃听。

更确切地来说，在诱骗态协议中，可以根据不同强度相干态的计数率和误码率，建立关于不同光子数态计数率和误码率的线性方程组。通过求解该线性方程组可以估算出其中单光子部分的计数率和误码率，然后根据 GLLP 公式得到安全成码率。基于弱相干光源的 BB84 协议的 GLLP 公式如下：
\begin{equation}
R \geq q(Q_1[1-H(e_1)]-Q_\mu f H(E_\mu)), \label{eq:bb84-gllp}
\end{equation}
其中 $H(x)=-x \log_2(x) -(1-x) \log_2(1-x)$ 是二进制香农熵函数，$f$ 为经典纠错码的纠错效率，$q$ 表示基矢比对效率。在平衡基矢的 BB84 系统中，两种基矢的选择概率相同，则 $q=1/2$。在非平衡基矢下，通过增加某个基矢的选择概率，可以使得 $q$ 值接近于 1。$Q_\mu$ 和 $e_\mu$ 分别表示信号态下的总计数率和误码率，$Q_1$ 和 $e_1$ 分别表示信号态下单光子计数率和单光子相位误码率。$Q_\mu$ 和 $e_\mu$ 可以在实验中直接测量得到，$Q_1$ 和 $e_1$ 无法在实验中直接测量得到，可以通过诱骗态方法估计出来。为了得到 $Q_1$ 和 $e_1$ 的准确值，原则上需要无穷多的诱骗态，实验上显然无法实现。理论分析表明使用有限个诱骗态（如两个或三个）即可以获得接近于无穷诱骗态的良好估计值 [8]。实验上使用的较多的是一个信号态加两个诱骗态的方案。

参考文献

[1] C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, Proceedings of IEEE International Conference on Computer System and Signal Processing 175. (1984).
[2] G. Brassard, N. Lütkenhaus, T. Mor and B. C. Sanders, Limitations on Practical Quantum Cryptography, Phys. Rev. Lett. 85, 1330 (2000).
D. Gottesman, H.-K. Lo, N. Lütkenhaus and J. Preskill, Security of quantum key distribution with imperfect devices, Quantum Inf. Comput. 4, 325 (2004).
[4] W.-T. Liu, S.-H. Sun, L.-M. Liang and J.-M. Yuan, Proof-of-principle experiment of a modified photon-number-splitting attack against quantum key distribution, Phys. Rev. A 83, 042326 (2011).
[5] W.-Y. Hwang, Quantum Key Distribution with High Loss: Toward Global Secure Communication, Phys. Rev. Lett. 91, 057901 (2003).
[6] H.-K. Lo, X. Ma and K. Chen, Decoy State Quantum Key Distribution, Phys. Rev. Lett. 94, 230504 (2005).
[7] X.-B. Wang, Beating the Photon-Number-Splitting Attack in Practical Quantum Cryptography, Phys. Rev. Lett. 94, 230503 (2005).
[8] X. Ma, B. Qi, Y. Zhao and H.-K. Lo, Practical decoy state for quantum key distribution, Phys. Rev. A 72, 012326 (2005).