量子密钥分发(quantum key distribution, QKD)
[1-5]
是一种能够为远距离通信双方(Alice
和 Bob)提供信息论安全密钥的技术。密钥的安全性由量子力学原理
[6-7]
来保证。由于实际设
备的不完美性,QKD 可能面临来自源端和探测端的双重攻击。一方面,理想的 QKD 协议
大多需要完美的单光子源。然而,由于当前技术的限制,实际的 QKD 系统经常采用相位
随机化后的弱相干态(weak coherent state, WCS)光源来代替单光子源。WCS 光源发出的脉
冲包含的光子数有时不只一个,窃听者 Eve 就可以利用多光子脉冲来获取密钥而不被 Alice
和 Bob 发现,这就是光子数分离(photon number splitting, PNS)
[8-14]
攻击。该攻击导致了极低
的安全成码率和安全传输距离。早期的 PNS 攻击
[8-12]
要求 Eve 具有极强的技术水平,不易
实现。后来,改进型 PNS
[13-14]
甚至在现有的条件下就能实现,这直接威胁了现有采用 WCS
光源 QKD 协议的安全性。幸运的是,诱骗态方法
[15-17]
可以很好地抵抗各种类型的 PNS 攻
击,显著提高安全成码率和最大安全传输距离。另一方面,QKD 还可能面临来自探测端的
攻击,如伪态攻击
[18]
、时移攻击
[19]
等。测量设备无关的量子密钥分发(measurement-device-
independent quantum key distribution, MDI-QKD)
[20]
可以先天免疫所有探测端的攻击,但是其
安全密钥率不高,不能突破 PLOB 界
[21]
。2018 年,陆续提出的双场量子密钥分发(twin-field
quantum key distribution, TF-QKD)
[22-24]
成功突破了 PLOB 界,大大提高了安全密钥率和最大
安全传输距离。需要注意的是,无论是 MDI-QKD 还是 TF-QKD,只要采用 WCS 光源,就
会面临 PNS 攻击的威胁,因此同样需要使用诱骗态方法。总之,对于诱骗态方法的研究仍
然很有意义。
在诱骗态 QKD 中,Alice 随机地从不同强度的 WCS 光源中发出信号态或诱骗态给
Bob。同时,Alice 和 Bob 假设 Eve 不能区分信号态和诱骗态,从而导致信号态和诱骗态拥
有相同的 ii 光子透射率,这在诱骗态方法中是一个至关重要的假设。并且,这个假设还被
应用到诱骗态 QKD 的安全性证明中。实际上,由于信号态和诱骗态的强度差异,二者的
光子数概率分布是不同的。基于此,Eve 可以以一定概率区分信号态和诱骗态。一旦 Eve
区分出了信号态和诱骗态,就可以分别对其执行不同的 PNS 攻击策略,使其分别具有不同
的 ii 光子透射率。进一步地,如果 Eve 还能够保证攻击前后信号态和诱骗态的测量统计量
不变,那么它就可以获得最终密钥而不被 Alice 和 Bob 发现。根据以上分析,基于不同强
度导致的光子数概率分布差异,本文采用贝叶斯决策来区分信号态和诱骗态,发现同样只
能得到信号态和诱骗态具有相同 ii 光子透射率的结论,这就验证了诱骗态 QKD 中信号态
和诱骗态不可区分假设的合理性。另外,分别对比单信号态 QKD 和信号态+单诱骗态
QKD 两种情况下 PNS 攻击前后的安全密钥率,结果表明前者攻击成功,后者攻击失败,
这就验证了诱骗态方法确实能够抵抗 PNS 攻击。综合来看,上述两项研究内容验证了诱骗
态方法的安全性。
1. 诱骗态 QKD
在诱骗态 QKD 中,Alice 随机地发送信号态(s)(s)或者诱骗态(d)(d)。信号态和诱骗态
的强度分别为 μμ 和 νν。不失一般性,假设 1>μ>ν>01>μ>ν>0,由于使用 WCS 光源,信号