信息化觀察網(wǎng)

3衛(wèi)星量子通信

3.1概述

QKD所基于的量子通信協(xié)議非常適合在太空中應(yīng)用。與地面單鏈路和網(wǎng)絡(luò)有關(guān)的空間信道可能會(huì)在包括整個(gè)地球、其周圍的衛(wèi)星網(wǎng)絡(luò)以及旨在與月球或其他行星之間更遠(yuǎn)距離鏈接的新穎而雄心勃勃的項(xiàng)目在內(nèi)的許多場(chǎng)景中加以利用。在一個(gè)利用越來(lái)越多的安全通信手段的不斷發(fā)展的社會(huì)背景下，空間有望在量子通信中發(fā)揮至關(guān)重要的作用，因?yàn)樗跒槿蛲ㄐ拧?dǎo)航和定位、時(shí)間分配、成像和傳感服務(wù)而發(fā)揮著作用，這些都是由目前的幾代衛(wèi)星實(shí)現(xiàn)的。

3.2衛(wèi)星機(jī)會(huì)

QKD的擴(kuò)展是在十多年以前的可行性研究中設(shè)計(jì)的，以確保長(zhǎng)距離鏈路的安全，以連接跨越大型網(wǎng)絡(luò)的節(jié)點(diǎn)，包括國(guó)家、大陸、行星和太空任務(wù)。最初結(jié)合嘗試在新穎的空間環(huán)境中測(cè)試量子信息的基本原理和資源的實(shí)驗(yàn)，提出了對(duì)量子通信（QC）空間的擴(kuò)展。其中一些是為國(guó)際空間站（ISS）開(kāi)發(fā)有效載荷，其他則是服務(wù)獨(dú)立衛(wèi)星的。

這些建議得到了地面上長(zhǎng)距離自由空間質(zhì)量控制實(shí)驗(yàn)的早期證據(jù)的支持。以此方式證明，大氣路徑的很大一部分不僅適合于經(jīng)典的光通信，而且也適合于量子通信。的確，已經(jīng)根據(jù)射束加寬和漂移，接收器處信號(hào)的衰落和閃爍與湍流水平，波長(zhǎng)和鏈路長(zhǎng)度的關(guān)系來(lái)評(píng)估了大氣對(duì)信道性能的降低作用。但是，與傳統(tǒng)的方法相比，在正確的波長(zhǎng)、到達(dá)時(shí)間和方向上進(jìn)行單光子判別以及有效抑制背景噪聲的檢測(cè)要求更高。

從2003年在Matera激光測(cè)距天文臺(tái)開(kāi)展實(shí)驗(yàn)活動(dòng)開(kāi)始，就有可能證明LEO衛(wèi)星與地面之間可以適當(dāng)實(shí)現(xiàn)單光子交換。在這種情況下，即使在軌道上沒(méi)有活動(dòng)光子源，也可以利用配備有光學(xué)反射器的衛(wèi)星進(jìn)行演示，并將一列具有校準(zhǔn)能量的脈沖指向這些衛(wèi)星，從而使被反向反射回地球發(fā)射器的收集部分是具有內(nèi)容的相干狀態(tài)。地面上合適的雙向望遠(yuǎn)鏡可以傳輸上行的脈沖序列和下行的單光子。

從一開(kāi)始就考慮將空間QC應(yīng)用于全球QKD，將其作為聯(lián)合單獨(dú)的基于光纖的地面鏈路網(wǎng)絡(luò)的有效解決方案。實(shí)際上，可信衛(wèi)星和兩個(gè)地面終端之間的密鑰交換可用于在兩個(gè)終端之間生成安全密鑰。盡管在改善地面安全通信方面有這些吸引人的機(jī)會(huì)，以及為空間使用而設(shè)想的其他機(jī)會(huì)，但在歐洲和美國(guó)，實(shí)現(xiàn)QKD衛(wèi)星計(jì)劃一直被擱置。更詳細(xì)地說(shuō)，中國(guó)和日本在他們的路線圖中展示了太空QKD，其中包括為QC開(kāi)發(fā)和發(fā)射衛(wèi)星的雄心勃勃而且具體的計(jì)劃。日本的SOTA衛(wèi)星是在2014年發(fā)射的，中國(guó)的Micius衛(wèi)星是在2015年發(fā)射的，下文將對(duì)此進(jìn)行描述。使用非常緊湊的有效載荷作為納米衛(wèi)星的前景最近使歐洲的倡議望而卻步，從而推動(dòng)了高效率、小尺寸空間組件的發(fā)展。這一方向也將有利于地面量子密鑰分發(fā)系統(tǒng)的實(shí)現(xiàn)，有助于在地面網(wǎng)絡(luò)上實(shí)現(xiàn)緊湊節(jié)能的高性能小型器件。

3.3軌道類型及應(yīng)用

軌道終端提供的密鑰交換類型隨著軌道類型的變化而顯著變化。光鏈路的損耗有相關(guān)的影響。雖然空間量子密鑰分配裝置的可能配置可以在空間終端和地面終端使用發(fā)射機(jī)，但大氣的有害影響是不對(duì)稱的。實(shí)際上，在上行鏈路中，與量子比特流相關(guān)聯(lián)的波前相位在湍流大氣中的傳播發(fā)生在路徑的開(kāi)始處。這會(huì)導(dǎo)致波前相位的不均勻調(diào)制。隨后的傳播導(dǎo)致了衛(wèi)星高度上的振幅調(diào)制，光束直徑顯著變寬，閃爍引起鏈路透射率的波動(dòng)。相反，在下行鏈路中，量子比特序列的傳播發(fā)生在真空中，僅在最后一部分被大氣消耗，在最后10千米內(nèi)空氣密度呈指數(shù)級(jí)增加。在接收端的光束變寬主要是由于衍射，并且閃爍也減少了。

4量子黑客攻擊

QKD協(xié)議的實(shí)際實(shí)現(xiàn)從來(lái)都不是完美的，協(xié)議的性能取決于安全證明和假設(shè)對(duì)實(shí)際設(shè)備的適用性，以及許多參數(shù)，包括后處理效率和每個(gè)階段添加到信號(hào)中的噪聲水平。從廣義上講，量子黑客攻擊包括所有的攻擊，這些攻擊允許竊聽(tīng)者獲得有關(guān)可信方之間發(fā)送的消息，而這些消息是基于安全證明假設(shè)的。由于安全證明是基于物理原理構(gòu)建的，因此只有當(dāng)安全證明所要求的一個(gè)或多個(gè)假設(shè)不成立時(shí)，才會(huì)出現(xiàn)這種情況。如果是這樣的話，證明就不再有效了，Eve獲得的信息可能比Alice和Bob認(rèn)為的要多。這些假設(shè)包括Alice和Bob之間存在經(jīng)過(guò)身份驗(yàn)證的通道、受信任設(shè)備的隔離以及設(shè)備按預(yù)期方式運(yùn)行。

可信方設(shè)備中允許量子黑客攻擊的可利用缺陷被稱為側(cè)信道。這些可能會(huì)以受信設(shè)備內(nèi)的損耗形式出現(xiàn)，這些損耗有可能有助于Eve接收有關(guān)信號(hào)的信息，或者是設(shè)備內(nèi)可能會(huì)受到Eve部分控制的附加噪聲，從而影響關(guān)鍵數(shù)據(jù)。這些部分可控的損耗和噪聲如果被忽略，將對(duì)QKD協(xié)議的安全構(gòu)成威脅。量子黑客攻擊通常具有以下目的：通過(guò)更改受信任方對(duì)通道屬性的估計(jì)，直接獲取有關(guān)密鑰的信息或掩蓋對(duì)協(xié)議的其他類型的攻擊。為了恢復(fù)安全性，受信任的各方可以將輔助渠道納入其安全性分析中，以免低估Eve的信息，也可以修改其協(xié)議以包括對(duì)策。在本節(jié)中，我們將討論一些常見(jiàn)的旁信道攻擊，以及如何減輕其影響。顯然，量子黑客攻擊研究是QKD實(shí)現(xiàn)的現(xiàn)實(shí)安全性的重要方面。這對(duì)于歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)正在進(jìn)行的QKD標(biāo)準(zhǔn)化工作至關(guān)重要。

4.1 QKD-DV黑客協(xié)議

許多DV協(xié)議（例如BB84和B92）的安全性證明都假定使用單光子源。但是，實(shí)際的QKD實(shí)現(xiàn)通常使用強(qiáng)烈衰減的激光脈沖，而不是真正的單光子源，后者將發(fā)送帶有多個(gè)光子的某些脈沖。這種脈沖的存在允許使用PNS攻擊。這是Eve光束從主量子通道中分離出除一個(gè)光子之外的所有光子的地方。由于Bob期望接收到一個(gè)單光子脈沖，并且由于該脈沖將不受干擾，因此受信方將不會(huì)在線路上檢測(cè)到任何其他錯(cuò)誤。然后，Eve可以將她收到的光子存儲(chǔ)在量子存儲(chǔ)器中，直到完成所有經(jīng)典通信為止。最后，她可以基于經(jīng)典通信對(duì)存儲(chǔ)的qubit進(jìn)行集體測(cè)量，以獲取有關(guān)密鑰的信息，而無(wú)須向信任方透露她的存在。例如，在BB84中，她將在經(jīng)典通信完成后了解Alice使用的所有密鑰，因此將能夠獲得有關(guān)多光子脈沖產(chǎn)生的所有關(guān)鍵位的全部信息。

4.1.1 PNS和基于強(qiáng)度的攻擊

用來(lái)抵抗PNS攻擊的一種方法是使用誘餌狀態(tài)。例如，可以將BB84協(xié)議修改為帶有誘餌狀態(tài)的BB84。在此協(xié)議中，Alice用來(lái)自誘餌源的多光子脈沖隨機(jī)替換其某些信號(hào)狀態(tài)。Eve將無(wú)法區(qū)分來(lái)自誘餌源的誘餌脈沖和信號(hào)狀態(tài)，

因此對(duì)兩種類型的脈沖具有相同的作用。在后處理步驟中，Alice將公開(kāi)宣布哪些脈沖是誘餌脈沖。利用這些誘餌脈沖的產(chǎn)生率，受信方可以表征信道在多光子脈沖上的作用，因此可以檢測(cè)到PNS攻擊的存在。然后，他們可以相應(yīng)地調(diào)整其密鑰速率；如果無(wú)法分發(fā)密鑰，則中止協(xié)議。

Alice來(lái)源的缺陷可能會(huì)導(dǎo)致可利用的側(cè)信道，這會(huì)使Eve能夠進(jìn)行未發(fā)現(xiàn)的PNS攻擊。Huang等人測(cè)試了一種通過(guò)使用不同的激光泵浦電流調(diào)制產(chǎn)生的脈沖強(qiáng)度的信號(hào)源，發(fā)現(xiàn)不同的泵浦電流會(huì)導(dǎo)致脈沖在不同的時(shí)間發(fā)送。這意味著強(qiáng)度設(shè)置的選擇確定了在給定時(shí)間發(fā)送脈沖的可能性，因此，Eve有可能基于發(fā)送時(shí)間來(lái)區(qū)分誘餌狀態(tài)和信號(hào)狀態(tài)。Eve可以在她認(rèn)為更可能是信號(hào)狀態(tài)的情況下實(shí)施PNS攻擊，而對(duì)她認(rèn)為可能是誘餌狀態(tài)的情況下不采取行動(dòng)。這將使她的PNS攻擊不被信任方注意。

Huang等還測(cè)試了使用外部強(qiáng)度調(diào)制器確定強(qiáng)度設(shè)置的信號(hào)源。他們發(fā)現(xiàn)，這種來(lái)源在強(qiáng)度設(shè)置和發(fā)送時(shí)間之間沒(méi)有相關(guān)性，從而為基于此副信道的攻擊提供了可能的對(duì)策。Alice的另一種選擇是根據(jù)強(qiáng)度設(shè)置更改施加泵浦的時(shí)間，以補(bǔ)償這種影響。Eve也許可以通過(guò)使用強(qiáng)光加熱Alice的光源來(lái)規(guī)避這一對(duì)策。Fei等發(fā)現(xiàn)，如果加熱增益開(kāi)關(guān)半導(dǎo)體激光器，則不同強(qiáng)度設(shè)置的脈沖時(shí)序會(huì)相對(duì)彼此偏移，因此，除非Alice知道時(shí)序已被更改，否則將不再能夠補(bǔ)償時(shí)序差異。他們還發(fā)現(xiàn)，加熱增益介質(zhì)會(huì)使脈沖之間的載流子密度下降到默認(rèn)水平所花費(fèi)的時(shí)間增加。這可能會(huì)導(dǎo)致脈沖之間不必要的關(guān)聯(lián)，從而危及協(xié)議的安全性。

4.1.2特洛伊木馬攻擊

可以用于DVQKD協(xié)議的另一種黑客攻擊形式是特洛伊木馬攻擊（THA）。這包括各種不同類型的攻擊，涉及將量子系統(tǒng)發(fā)送到一個(gè)或兩個(gè)受信方的設(shè)備中以獲取信息。例如，Vakhitov等在BB84和B92中，曾考慮使用大光子脈沖來(lái)獲取有關(guān)Alice選擇基準(zhǔn)和Bob選擇基準(zhǔn)的信息。通過(guò)主通道向可信設(shè)備發(fā)送光子脈沖，并對(duì)反射進(jìn)行測(cè)量，從而獲得信息。

考慮到量子比特通過(guò)相移進(jìn)行編碼的情況，如果Eve能夠?qū)⑺拿}沖通過(guò)Alice的相位調(diào)制器，那么測(cè)量得到的脈沖將提供有關(guān)信號(hào)狀態(tài)的一些信息。這是可能的，因?yàn)锳lice的相位調(diào)制器工作的時(shí)間是有限的，這給了Eve一個(gè)窗口，在這個(gè)窗口中她可以發(fā)送自己的脈沖，并進(jìn)行類似的調(diào)制。Gisin等人詳細(xì)描述了Eve通過(guò)反射測(cè)量獲得關(guān)于基準(zhǔn)選擇信息的過(guò)程。

信息可以是部分的，只給出所使用的基礎(chǔ)，也可以直接給出密鑰位。即使在只能獲得基址的情況下，協(xié)議的安全性仍然受到損害，因?yàn)镋ve現(xiàn)在能夠總是選擇與Alice相同的度量基礎(chǔ)來(lái)進(jìn)行截獲和重發(fā)攻擊，在不引入任何錯(cuò)誤的情況下獲得關(guān)于密鑰的完整信息。另外，Eve也可以定位Bob的設(shè)備。對(duì)于B92或SARG04，僅需了解Bob的測(cè)量基準(zhǔn)即可獲得有關(guān)鑰匙的完整信息。

在BB84中，如果Eve能夠確定Bob在信號(hào)狀態(tài)到達(dá)他的設(shè)備之前將使用的測(cè)量基準(zhǔn)，則她可以通過(guò)選擇與Bob相同的基準(zhǔn)來(lái)執(zhí)行無(wú)法檢測(cè)到的攔截并重新發(fā)送攻擊。Vakhitov等還注意到，即使在測(cè)量信號(hào)狀態(tài)后，Eve僅獲得有關(guān)Bob基準(zhǔn)的信息，這也可以幫助進(jìn)行實(shí)際的PNS攻擊，因?yàn)樗鼫p少了對(duì)量子存儲(chǔ)器的需求。這對(duì)僅受物理定律限制的竊聽(tīng)者無(wú)濟(jì)于事，但可以幫助使用當(dāng)前技術(shù)的竊聽(tīng)者。

目前，該領(lǐng)域已經(jīng)有多種防止THA的方法。Vakhitov等建議在量子通道和Alice的設(shè)置之間放置一個(gè)衰減器，同時(shí)積極監(jiān)視Bob設(shè)置的傳入光子數(shù)。Gisin等假設(shè)入射狀態(tài)嚴(yán)重衰減，計(jì)算了由于THA引起的信息泄漏，并建議將相位隨機(jī)化應(yīng)用于任何向外泄漏的光子。Lucamarini等在特洛伊木馬側(cè)信道存在的情況下，通過(guò)特洛伊木馬狀態(tài)的輸出光子數(shù)對(duì)參數(shù)進(jìn)行計(jì)算，可以計(jì)算出具有和不具有誘餌狀態(tài)的BB84的關(guān)鍵速率。然后，他們提出了一種通過(guò)特洛伊木馬系統(tǒng)被動(dòng)限制潛在信息泄漏的體系結(jié)構(gòu)。

這是通過(guò)根據(jù)光纖的激光誘導(dǎo)損傷閾值（LIDT）查找最大入射光子數(shù)來(lái)完成的，可以將其視為光熔絲。LIDT是功率閾值，超過(guò)該功率閾值光纖將被損壞。每個(gè)光子的最小能量（僅取決于光子的頻率）使用選擇頻率的光纖環(huán)路來(lái)限制。Eve脈沖的最大時(shí)間也是已知的，并受Alice的編碼設(shè)備在信號(hào)之間復(fù)位所花費(fèi)的時(shí)間限制。因此，每個(gè)脈沖的最大光子數(shù)可以是上限值。通過(guò)正確設(shè)置入射光子的衰減，Alice可以提高上限并減少由于任何THA造成的信息泄漏。

Jain等人考慮在低于信號(hào)脈沖的波長(zhǎng)下使用THA，以降低被信任方檢測(cè)的風(fēng)險(xiǎn)。這可能會(huì)降低主動(dòng)監(jiān)視傳入的平均光子數(shù)的效率，因?yàn)闄z測(cè)器通常具有最敏感的頻段，因此可能無(wú)法檢測(cè)該頻段之外的光子。由于材料的透射率取決于頻率，因此它也可能導(dǎo)致被動(dòng)衰減器對(duì)特洛伊木馬狀態(tài)的衰減降低。Sajeed等人對(duì)現(xiàn)有QKD實(shí)現(xiàn)中使用的設(shè)備進(jìn)行了潛在THA波長(zhǎng)以及信號(hào)狀態(tài)所用波長(zhǎng)的實(shí)驗(yàn)測(cè)量，發(fā)現(xiàn)新波長(zhǎng)降低了Bob探測(cè)器中出現(xiàn)后脈沖的可能性，這可以提醒可信賴的用戶攻擊。相位調(diào)制器在新波長(zhǎng)下效率較低，這是以增加衰減和降低可分辨性為代價(jià)的。Jain等人建議使用頻譜過(guò)濾器來(lái)防止此類攻擊。此外，Lucamarini等人提出的光纖環(huán)路有助于防止低波長(zhǎng)的攻擊。

Eve還可以使用THA瞄準(zhǔn)強(qiáng)度調(diào)制器，Alice使用該強(qiáng)度調(diào)制器生成誘餌狀態(tài)。如果Eve可以區(qū)分誘餌狀態(tài)和信號(hào)狀態(tài)，則可以通過(guò)忽略誘餌狀態(tài)而僅攻擊多光子信號(hào)狀態(tài)來(lái)進(jìn)行PNS攻擊而不會(huì)被檢測(cè)到。Tamaki等人在調(diào)制器的操作方面，創(chuàng)建了形式上的用于限制從強(qiáng)度調(diào)制器泄漏信息的形式。他們還發(fā)展了計(jì)算THA對(duì)相位調(diào)制器造成的信息泄漏的形式。利用這些數(shù)據(jù)，他們計(jì)算了不同類型的THA的BB84的密鑰率。

Vinay等人擴(kuò)展了Lucamarini等人的工作。并證明相干態(tài)是高斯態(tài)中最理想的特洛伊木馬態(tài)，對(duì)于Eve來(lái)說(shuō)，假設(shè)特洛伊模式衰減并且光子數(shù)量有限，它就可以對(duì)BB84進(jìn)行攻擊?；趯?duì)可分辨性的計(jì)算，在信號(hào)狀態(tài)和特洛伊木馬模式中添加熱噪聲可以有效抵抗THA，從而大大提高了給定輸出光子數(shù)的密鑰速率。然后，他們使用不同的光子數(shù)統(tǒng)計(jì)數(shù)據(jù)將THA攻擊的可區(qū)分性提高了上限，從高斯?fàn)顟B(tài)的情況擴(kuò)展到了更一般的可分離狀態(tài)。

他們發(fā)現(xiàn)，可分離狀態(tài)的上限高于參考文獻(xiàn)中的上限。但是可以通過(guò)應(yīng)用其熱噪聲防御措施將其降低到Lucamarini界限以下。他們還建議在Alice的設(shè)備和主通道之間使用快門，并在編碼設(shè)備和快門之間設(shè)置時(shí)間延遲，以此作為防御手段，以代替衰減器。這可以通過(guò)迫使特洛伊木馬脈沖經(jīng)過(guò)Alice的編碼設(shè)備進(jìn)行幾次傳輸而起作用，這使Eve更難于準(zhǔn)確確定編碼相位。

4.1.3 Backflash攻擊

Kurtsiefer等人介紹的另一種類型的旁通道攻擊是探測(cè)器Backflash（反閃）攻擊?；诠怆姸O管（APD）的檢測(cè)器有時(shí)會(huì)在檢測(cè)到脈沖時(shí)發(fā)光。這種逆光燈可以通過(guò)多種方式向Eve提供有關(guān)Bob測(cè)量結(jié)果的信息。逆光的偏振可以指示Bob系統(tǒng)通過(guò)了哪些組件，這可以告訴Eve它來(lái)自哪個(gè)探測(cè)器。此外，逆向光子的傳播時(shí)間或與出射光的輪廓有關(guān)的路徑相關(guān)的變化也可以為Eve提供此信息。這可以告訴Eve，Bob選擇了哪個(gè)測(cè)量基準(zhǔn)，對(duì)于某些探測(cè)器設(shè)置，甚至可以揭示Bob的測(cè)量結(jié)果。

Meda等人對(duì)兩種商用InGaAs/InP APD進(jìn)行了表征，發(fā)現(xiàn)可以檢測(cè)到很大比例的逆光。Pinheiro等人通過(guò)表征商用Si APD來(lái)確定這項(xiàng)工作；他們還發(fā)現(xiàn)，反閃概率非常大，大于或等于0.065。這兩篇論文都發(fā)現(xiàn)逆光是寬帶的，因此可以使用光譜濾光片來(lái)減少。Pinheiro等人還對(duì)光電倍增管進(jìn)行了表征，發(fā)現(xiàn)它的反閃概率要低得多。因此，他們建議在Bob的探測(cè)器中使用光電倍增管代替APD。

4.1.4偽態(tài)與探測(cè)器效率失配

BB84的安全性基于Eve和Bob的獨(dú)立基準(zhǔn)選擇。如果Eve能夠利用Bob設(shè)備中的一些缺陷，讓她影響B(tài)ob的基準(zhǔn)，那么這種獨(dú)立性將不再成立，并且協(xié)議的安全性可能會(huì)遭到破壞。Makarov等人提出了許多方案，可以允許竊聽(tīng)者控制或影響B(tài)ob的探測(cè)器基準(zhǔn)或測(cè)量結(jié)果。這些方案使用偽造的狀態(tài)。在這種情況下，Eve不會(huì)在非干擾信號(hào)狀態(tài)的情況下嘗試獲取信息，而是發(fā)送一種狀態(tài)，該狀態(tài)旨在利用Bob的檢測(cè)設(shè)備中的缺陷為他提供她希望Bob接收的結(jié)果。

提議的兩個(gè)方案利用了Bob的被動(dòng)基準(zhǔn)選擇。接收器實(shí)現(xiàn)可以使用分束器選擇測(cè)量基準(zhǔn)：這將使光子隨機(jī)穿過(guò)或反射到另一條路徑上。我們稱此為被動(dòng)基準(zhǔn)選擇，并將其與主動(dòng)基準(zhǔn)選擇區(qū)分開(kāi)。在這種選擇中，Bob明確使用隨機(jī)數(shù)生成器選擇基準(zhǔn)并相應(yīng)地更改測(cè)量基準(zhǔn)。如果使用的分束器是偏振相關(guān)的，則Eve可以調(diào)整她發(fā)送的脈沖的偏振，以使其成為選擇的基準(zhǔn)，從而允許她截取并重新發(fā)送信號(hào)，同時(shí)確保她和Bob始終選擇相同的基準(zhǔn)。

另一種方案將偏振片放在分束器前面。Makarov等人提出偏振鏡的缺陷將使Eve在使用足夠大的脈沖時(shí)仍能選擇Bob的基準(zhǔn)。他們還建議使用偏振加擾器作為對(duì)這兩種方案的防御。Li等人提出了一種類似的攻擊方式，在這種攻擊方式中，他們利用分束器的頻率相關(guān)性，使他們更有可能選擇Bob的基準(zhǔn)。

Makarov等人提出了另外兩種使用偽造狀態(tài)的方案。一個(gè)人利用了Bob裝置中無(wú)法解釋的反射優(yōu)勢(shì)，這可以讓Eve通過(guò)精確定時(shí)她的脈沖來(lái)選擇Bob的基準(zhǔn)，以使它們的一部分在正確的時(shí)間窗口內(nèi)反射到選定基準(zhǔn)的檢測(cè)器中。這將要求Eve對(duì)Bob的設(shè)備進(jìn)行很好的表征，并且由于未被反射的脈沖部分所引起的副作用而具有被檢測(cè)到的風(fēng)險(xiǎn)。

如果Bob的檢測(cè)器具有DEM，則如果給定值為0，則該參數(shù)具有某個(gè)參數(shù)值的光子更可能被檢測(cè)器檢測(cè)到，如果該值被檢測(cè)到，則該檢測(cè)器提供給定值1。但是請(qǐng)注意，實(shí)際上，光子將僅撞擊其中一個(gè)檢測(cè)器，具體取決于其編碼的值。在襲擊中，Eve攔截了Alice的狀態(tài)并在某種程度上對(duì)其進(jìn)行了測(cè)量。然后，她以相反的方式將狀態(tài)發(fā)送給Bob，并選擇了合適的時(shí)間，這樣Bob可能不會(huì)收到任何結(jié)果，而只會(huì)收到一個(gè)錯(cuò)誤，從而以增加損失為代價(jià)來(lái)降低Bob的錯(cuò)誤率。

Lydersen等人演示了使用偽造狀態(tài)攻擊商業(yè)QKD系統(tǒng)的可能性。他們利用連續(xù)波激光器使檢測(cè)器致盲，這是因?yàn)榭梢允笰PD以線性模式工作。在這種模式下，檢測(cè)器不會(huì)記錄單個(gè)光子。Eve發(fā)出脈沖來(lái)觸發(fā)Bob的探測(cè)器，只有當(dāng)Bob選擇與Eve相同的基準(zhǔn)時(shí)，它們才會(huì)給出結(jié)果。Lydersen等人表明APD也可以通過(guò)用強(qiáng)光加熱而使其失明。Yuan等人認(rèn)為，正確操作的APD很難保持線性模式，并且可以通過(guò)監(jiān)視光電流來(lái)識(shí)別這種偽造狀態(tài)的攻擊。

Qi等人建議使用帶有時(shí)間參數(shù)的DEM進(jìn)行另一種攻擊，他們將其稱為時(shí)移攻擊。在這種攻擊中，Eve沒(méi)有嘗試測(cè)量信號(hào)狀態(tài)，而只是改變了它進(jìn)入Bob設(shè)備的時(shí)間，因此，如果Bob發(fā)生檢測(cè)事件，則它更有可能是一個(gè)具體數(shù)值。例如，如果對(duì)應(yīng)于結(jié)果0的檢測(cè)器在某個(gè)給定時(shí)間比對(duì)應(yīng)于結(jié)果1的檢測(cè)器具有更高的效率，Eve就可以知道，如果脈沖的到達(dá)時(shí)間發(fā)生了偏移，使得脈沖到達(dá)檢測(cè)器的時(shí)間為特定時(shí)間，并且其中一個(gè)檢測(cè)器檢測(cè)到了脈沖，結(jié)果很有可能是0而不是1。DEM越大，Eve可以獲取有關(guān)信息的可能性越大。這種攻擊不會(huì)在生成的密鑰位中引入任何錯(cuò)誤。

實(shí)際上，不要求按時(shí)間對(duì)DEM進(jìn)行參數(shù)化。檢測(cè)器可能在極化、頻率甚至空間上不匹配。Sajeed等人和Rau等人都表明，通過(guò)改變脈沖進(jìn)入Bob設(shè)備的角度，可以改變檢測(cè)器的相對(duì)靈敏度，因?yàn)槿肷浣菍Q定光入射到檢測(cè)器的角度，但是光的配置發(fā)生了微小變化。設(shè)置可能導(dǎo)致每個(gè)檢測(cè)器的入射角不同。脈沖撞擊檢測(cè)器的角度決定了被脈沖撞擊的檢測(cè)器的表面積，從而決定了檢測(cè)器的靈敏度。

針對(duì)使用DEM進(jìn)行攻擊的一種建議對(duì)策是讓Bob使用四個(gè)檢測(cè)器配置，每次將結(jié)果映射到隨機(jī)分配的檢測(cè)器。但是，如果該配置與Bob設(shè)備上的THA結(jié)合使用，則仍然容易受到時(shí)移攻擊。對(duì)于Bob來(lái)說(shuō)，這種THA很難抵御，并且通過(guò)添加硬件保護(hù)措施會(huì)使Bob的設(shè)備更加復(fù)雜，可能給Eve創(chuàng)造更多漏洞，因此，找到一種軟件解決方案是人們所希望的。

Fei等人使用Koashi設(shè)計(jì)的證據(jù)，發(fā)現(xiàn)了存在DEM時(shí)針對(duì)非常廣泛的攻擊類別的密鑰率公式。Lydersen等人稍微推廣了這一證明。這兩個(gè)公式都需要對(duì)DEM參數(shù)可能值上的檢測(cè)器效率進(jìn)行全面表征。這對(duì)于受信方可能很困難，尤其是因?yàn)樗鼈兛赡懿⒉豢偸侵罊z測(cè)器的哪些參數(shù)會(huì)引起DEM。Fei等人使用一種基于檢測(cè)過(guò)程的新技術(shù)，將不存在DEM的情況和存在完整DEM的情況相結(jié)合，在存在DEM的情況下計(jì)算出帶有誘餌狀態(tài)的BB84的密鑰率。然后，他們?cè)谶@種情況下對(duì)QKD進(jìn)行了數(shù)值模擬，發(fā)現(xiàn)DEM降低了安全密鑰率。

4.2 CV-QKD黑客攻擊協(xié)議

DV和CV協(xié)議中使用的協(xié)議類型和設(shè)備類型之間的差異意味著，并非所有對(duì)DV系統(tǒng)的黑客攻擊都直接適用于CV系統(tǒng)。有些漏洞（例如對(duì)本地振蕩器的攻擊）特定于CV協(xié)議，而某些漏洞（例如THA）類似于DV協(xié)議上使用的攻擊。在執(zhí)行CV-QKD時(shí)，一個(gè)重要的實(shí)際問(wèn)題是所用設(shè)備的校準(zhǔn)。必須確定散粒噪聲，因?yàn)樗鼤?huì)影響參數(shù)估計(jì)。如果執(zhí)行不正確，可能會(huì)破壞CV QKD的安全性。在校準(zhǔn)期間，應(yīng)估計(jì)調(diào)制期間引入的相位噪聲。通過(guò)在安全性分析中考慮到它，可以提高密鑰率，因?yàn)檎{(diào)制器添加的相位噪聲可以被視為可信噪聲。

4.2.1攻擊本地振蕩器

為了進(jìn)行Alice信號(hào)狀態(tài)的測(cè)量，Bob用LO干擾了它們。由于難以維持Alice的來(lái)源和Bob的LO之間的一致性，因此CV-QKD的實(shí)現(xiàn)通常會(huì)通過(guò)量子通道發(fā)送LO。由于CV-QKD的安全性證明不能解決這個(gè)問(wèn)題，因此留下了一些側(cè)信道，Eve可以利用它們。Haseler等人表明，必須監(jiān)視LO的強(qiáng)度，以防止Eve用壓縮狀態(tài)替換信號(hào)狀態(tài)和LO，從而通過(guò)減少相對(duì)于受信方的錯(cuò)誤來(lái)掩蓋攔截并重新發(fā)送攻擊。Huang和Ma等人根據(jù)分束器的波長(zhǎng)依賴性提出了對(duì)本地振蕩器的攻擊。他們發(fā)現(xiàn)，通過(guò)利用Bob設(shè)備中分束器的波長(zhǎng)依賴性，可以設(shè)計(jì)Bob的測(cè)量結(jié)果，同時(shí)阻止Bob準(zhǔn)確確定LO強(qiáng)度。Huang等人提出了一種對(duì)策，在該對(duì)策中，隨機(jī)地應(yīng)用波長(zhǎng)濾波器，并且監(jiān)視應(yīng)用和不應(yīng)用波長(zhǎng)濾波器之間的信道特性的任何差異。

Jouguet等人設(shè)計(jì)了對(duì)LO的另一次攻擊。這種攻擊利用了Bob的時(shí)鐘由LO脈沖觸發(fā)的事實(shí)。通過(guò)更改LO脈沖的形狀，Eve可以延遲時(shí)鐘觸發(fā)的時(shí)間。這可能導(dǎo)致Bob錯(cuò)誤地計(jì)算散粒噪聲，從而使Eve可以進(jìn)行攔截并重新發(fā)送未被發(fā)現(xiàn)的攻擊。作為對(duì)策，Jouguet等人建議Bob應(yīng)通過(guò)對(duì)信號(hào)隨機(jī)施加強(qiáng)衰減來(lái)實(shí)時(shí)測(cè)量散粒噪聲。Huang等人在此基礎(chǔ)上進(jìn)一步證明，利用分束器的波長(zhǎng)相關(guān)性的攻擊可被用來(lái)?yè)魯ob實(shí)時(shí)測(cè)量散粒噪聲的嘗試。

但是，他們發(fā)現(xiàn)，通過(guò)將第三個(gè)衰減值添加到強(qiáng)衰減可以防止它們受到攻擊。Xie等人還發(fā)現(xiàn)時(shí)鐘信號(hào)中的抖動(dòng)效應(yīng)會(huì)導(dǎo)致散粒噪聲的計(jì)算不正確。Zhao等人確定了極化攻擊，竊聽(tīng)者攻擊未測(cè)量的LO脈沖以控制和篡改協(xié)議的散粒噪聲單元。

為了完全防止LO攻擊，Qi和Soh等人提出并分析了Bob可以采用生成本地振蕩器（LLO）的方法。Alice定期發(fā)送相位參考脈沖，而B(niǎo)ob在后處理過(guò)程中對(duì)其結(jié)果施加相位旋轉(zhuǎn)，以確保它們與Alice的光源同相。Marie等人為了減少相位噪聲，對(duì)該方案進(jìn)行了改進(jìn)。Ren等人提出，如果受信任的各方假設(shè)相位噪聲是受信任的，并且Eve無(wú)法使用，那么即使是LLO也可能容易受到黑客攻擊。在這種情況下，Eve可以通過(guò)增加相位參考脈沖的強(qiáng)度來(lái)降低相位噪聲，并通過(guò)增加對(duì)信號(hào)狀態(tài)的攻擊來(lái)補(bǔ)償降低的相位噪聲，從而使Bob測(cè)量的總噪聲保持不變。

4.2.2探測(cè)器飽和攻擊

Qin等人考慮過(guò)對(duì)Bob零差探測(cè)器的飽和攻擊。這種攻擊利用了CV-QKD安全性證明假設(shè)入射光子正交與測(cè)量結(jié)果之間存在線性關(guān)系的事實(shí)，但實(shí)際上，零差探測(cè)器具有有限的線性范圍。高于一定的正交值，零差檢測(cè)器將飽和，這意味著無(wú)論正交值在閾值水平還是高于閾值水平，測(cè)量結(jié)果都是相同的。例如，100個(gè)散粒噪聲的正交值可以給出與200個(gè)散粒噪聲的正交值相同的測(cè)量結(jié)果。Qin等人考慮利用攔截和重發(fā)攻擊，然后重新縮放和替換測(cè)量的狀態(tài)。通過(guò)使Bob的測(cè)量結(jié)果與飽和區(qū)域部分重疊，Eve可以改變測(cè)量結(jié)果的分布，從而減少可信方的誤差估計(jì)。

Qin等人還提出了一些對(duì)策，包括使用高斯選擇濾波器來(lái)嘗試確保用于生成密鑰的測(cè)量結(jié)果落在檢測(cè)器的線性范圍內(nèi)，以及使用Bob信號(hào)的隨機(jī)衰減來(lái)測(cè)試測(cè)量結(jié)果是否與輸入呈線性相關(guān)。Qin等人擴(kuò)展了他們之前的工作，考慮到一個(gè)稍微不同的攻擊，其中使用非相干激光將Bob的測(cè)量結(jié)果轉(zhuǎn)移到飽和范圍。他們還通過(guò)實(shí)驗(yàn)證明了零差檢測(cè)器的飽和，并對(duì)其攻擊進(jìn)行了數(shù)值模擬，以證明其可行性。

4.2.3特洛伊木馬攻擊

CV協(xié)議也容易受到THA的攻擊。通過(guò)將特洛伊木馬狀態(tài)發(fā)送到Alice的編碼設(shè)備中，Eve可以嘗試了解信號(hào)狀態(tài)的調(diào)制方式，而不會(huì)干擾信號(hào)狀態(tài)本身。Derkach等人將側(cè)信道建模為Alice設(shè)備中的分束器，將調(diào)制后的信號(hào)狀態(tài)耦合到真空狀態(tài)。他們還考慮了允許Eve在檢測(cè)之前將不受信任的噪聲耦合到信號(hào)狀態(tài)的側(cè)信道。

然后，他們使用反向調(diào)節(jié)來(lái)計(jì)算相干狀態(tài)協(xié)議和壓縮狀態(tài)協(xié)議的最終密鑰率。Derkach等人根據(jù)對(duì)分束器輸入真空狀態(tài)的操縱，對(duì)發(fā)送器側(cè)信道提出了一些改進(jìn)對(duì)策。然后，他們考慮了兩種類型的側(cè)信道泄漏，擴(kuò)展了他們的早期工作：信號(hào)狀態(tài)調(diào)制后的泄漏和調(diào)制之前但信號(hào)狀態(tài)受到擠壓后的泄漏。他們?cè)试S每個(gè)側(cè)信道采用多種泄漏模式。他們計(jì)算了這種類型的側(cè)信道的直接和反向調(diào)節(jié)的密鑰速率，并優(yōu)化了后調(diào)制泄漏的壓縮。

在Pereira等人的相干狀態(tài)協(xié)議中，Eve被認(rèn)為是對(duì)Alice的THA。在該協(xié)議中，Eve可以將具有有限平均光子數(shù)的特洛伊木馬狀態(tài)發(fā)送到Alice的接收器中。然后以類似于信號(hào)狀態(tài)的方式調(diào)制此狀態(tài)，并返回到Eve。計(jì)算出密鑰率和安全性閾值，以進(jìn)行反向調(diào)節(jié)。建議采取主動(dòng)監(jiān)視入射光的措施。Ma等人考慮雙向協(xié)議中的THA，其中Eve根據(jù)Bob的信號(hào)狀態(tài)向Alice的設(shè)備發(fā)送一個(gè)狀態(tài)，然后測(cè)量該狀態(tài)以獲得Alice應(yīng)用的調(diào)制信息。他們建議使用主動(dòng)監(jiān)視來(lái)消除特洛伊木馬狀態(tài)。

來(lái)自受信任方設(shè)備的部分噪聲可以假定為可信的，因此不受竊聽(tīng)者的控制。這種可信噪聲可以是信號(hào)狀態(tài)的噪聲、調(diào)制器所加的噪聲或檢測(cè)的噪聲?？尚旁肼晫?duì)CV-QKD的影響隨調(diào)節(jié)方向的不同而不同。協(xié)議參考端的可信噪聲甚至有助于將Eve系統(tǒng)與可信方共享的信息分離。此外，盡管調(diào)解協(xié)議是可信的，但遠(yuǎn)程端的噪聲可能對(duì)協(xié)議有害。

4.3一般考慮

基于更改所用設(shè)備的屬性，存在許多針對(duì)DV或CV協(xié)議的更一般的攻擊。這些類型的攻擊甚至可以用于特征明確的設(shè)備中來(lái)創(chuàng)建漏洞。Jain等人建議并通過(guò)實(shí)驗(yàn)測(cè)試了Eve在QKD協(xié)議的校準(zhǔn)階段可能執(zhí)行的攻擊。攻擊針對(duì)系統(tǒng)，而B(niǎo)ob正在使用線長(zhǎng)測(cè)量（LLM）校準(zhǔn)檢測(cè)器。這種類型的攻擊取決于實(shí)現(xiàn)。在考慮的系統(tǒng)中，Jain等人發(fā)現(xiàn)通過(guò)改變Bob在LLM期間發(fā)送的校準(zhǔn)脈沖的相位，可以感應(yīng)DEM。這將使系統(tǒng)容易遭受其他類型的攻擊，因?yàn)槭苄湃蔚母鞣讲粫?huì)意識(shí)到Bob設(shè)備的校準(zhǔn)錯(cuò)誤。在此基礎(chǔ)上，F(xiàn)ei等人發(fā)現(xiàn)通過(guò)在LLM過(guò)程中發(fā)送偽造的校準(zhǔn)脈沖，很可能誘發(fā)DEM。Fei等人建議添加一個(gè)系統(tǒng)，使Bob可以在校準(zhǔn)過(guò)程之后測(cè)試自己的設(shè)備是否存在校準(zhǔn)錯(cuò)誤。

即使實(shí)現(xiàn)是完美的，Eve也有可能通過(guò)使用激光破壞受信任方設(shè)備的組件來(lái)創(chuàng)建漏洞。Bugge等人認(rèn)為Eve可以用激光破壞探測(cè)器或任何活動(dòng)的監(jiān)控設(shè)備等部件，從而使其他攻擊得以實(shí)施。他們表明，APD可能會(huì)被強(qiáng)烈的激光破壞，降低它們的檢測(cè)效率。這就給Eve制造了漏洞，而不需要她不斷地確保探測(cè)器保持失效。更高的激光功率使APD完全不起作用；如果APD被用作監(jiān)視設(shè)備，那么Eve可能會(huì)利用這一點(diǎn)。Makarov等人在一個(gè)商業(yè)系統(tǒng)上演示了這一點(diǎn)，然后展示了他們能夠在一個(gè)空間過(guò)濾器上修復(fù)漏洞，這意味著保護(hù)空間DEM。Sun等人通過(guò)將連續(xù)波激光照射到Alice的增益介質(zhì)上，使Eve能夠控制Alice脈沖的相位。這可能為DV和CV系統(tǒng)中的其他攻擊打開(kāi)漏洞。Sun等人建議監(jiān)視離開(kāi)Alice光源的光線，并使用主動(dòng)相位隨機(jī)化。

4.4作為解決方案的設(shè)備獨(dú)立性

在概念上，與側(cè)信道打交道的另一種方法是開(kāi)發(fā)獨(dú)立于設(shè)備的協(xié)議（DI-QKD），該協(xié)議可以防止許多側(cè)信道攻擊。QKD允許使用不受信任的設(shè)備。針對(duì)DV和CV案例都設(shè)計(jì)了實(shí)施DI-QKD的方案。在可以信任源的情況下，可以采用與測(cè)量設(shè)備無(wú)關(guān)的QKD（MDIQKD）方案。這些方案也是針對(duì)DV和CV而設(shè)計(jì)。DI和MDI-QKD協(xié)議較難實(shí)現(xiàn)，因此與設(shè)備相關(guān)協(xié)議相比，其密鑰率通常較低。盡管提高了安全性，但它們都不能免受攻擊。在所有協(xié)議中，都要求將Alice和Bob的設(shè)備與外界隔離。如果存在一個(gè)隱藏通道，使Eve可以訪問(wèn)測(cè)量結(jié)果，則密鑰將不安全。MDI-QKD還容易受到源缺陷的影響，例如Sun等人先前提到的攻擊。因此，設(shè)備獨(dú)立性不能被視為解決側(cè)信道問(wèn)題的靈丹妙藥。

5結(jié)論

在這篇綜述中，我們介紹了量子密碼學(xué)領(lǐng)域的基本概念和最新進(jìn)展。我們將討論的重點(diǎn)放在了QKD上，但也提出了一些超出密鑰分發(fā)標(biāo)準(zhǔn)設(shè)置的發(fā)展。實(shí)際上，今天的量子密碼學(xué)是一個(gè)大的總稱，包括各個(gè)領(lǐng)域，其中一些在本文中未作介紹。例如，加密傳輸和比特承諾之類的密碼原語(yǔ)，或包括可驗(yàn)證的量子計(jì)算及安全功能評(píng)估在內(nèi)的安全計(jì)算主題。后量子密碼學(xué)是一個(gè)有趣的領(lǐng)域，可以為安全性提供臨時(shí)解決方案。然后，許多協(xié)議尚未得到處理，但值得一提，例如量子指紋識(shí)別、量子秘密共享、量子拜占庭協(xié)議和量子電子投票等。

盡管量子密碼術(shù)無(wú)疑是迄今為止最成熟的量子技術(shù)，但理論和實(shí)驗(yàn)工作都面臨著許多挑戰(zhàn)和懸而未決的問(wèn)題。仍然需要開(kāi)發(fā)和實(shí)現(xiàn)更強(qiáng)大的QKD協(xié)議，這些協(xié)議能夠以合理的高速率實(shí)現(xiàn)長(zhǎng)距離傳輸。這似乎是開(kāi)發(fā)基于實(shí)際量子中繼器的QKD網(wǎng)絡(luò)的問(wèn)題。更加理想的任務(wù)是在這樣的QKD網(wǎng)絡(luò)中實(shí)現(xiàn)端到端原理，從而使中間節(jié)點(diǎn)通常不可靠且不受信任。時(shí)至今日，這種想法似乎僅與直接或反向利用類似EPR的相關(guān)性有關(guān)。

理論上，有人致力于在DV和CV環(huán)境下建立一系列QKD協(xié)議的完全可組合的有限大小的安全性。如何確定幾個(gè)基本量子信道的密鑰容量，如熱損耗信道和振幅阻尼信道，是一個(gè)有待解決的問(wèn)題。雖然最近開(kāi)發(fā)的模擬技術(shù)在許多情況下已經(jīng)成功，但是實(shí)現(xiàn)這些信道的雙向輔助能力可能需要開(kāi)發(fā)一種全新的、不同的方法。

從實(shí)驗(yàn)上看，目前的研究正朝著許多方向發(fā)展，從光子集成電路到衛(wèi)星量子通信，從更健壯的點(diǎn)到點(diǎn)協(xié)議到可信節(jié)點(diǎn)量子網(wǎng)絡(luò)的實(shí)現(xiàn)，從基于量子比特的方法到更高維和連續(xù)變量系統(tǒng)。雖然光和電信頻率對(duì)于量子通信來(lái)說(shuō)是更為自然的，但是諸如太赫茲和微波這樣的較長(zhǎng)波長(zhǎng)的短程應(yīng)用可能還沒(méi)有得到充分的發(fā)展。

在QKD被認(rèn)為是一種完全安全的量子技術(shù)之前，需要仔細(xì)考慮一些漏洞。實(shí)際的威脅來(lái)自側(cè)信道攻擊，目前正在研究和開(kāi)發(fā)針對(duì)一些最危險(xiǎn)的量子攻擊的對(duì)策。弱點(diǎn)可能來(lái)自檢測(cè)器或隨機(jī)數(shù)發(fā)生器的缺陷。因此，量子黑客攻擊與對(duì)策是一個(gè)重要且不斷發(fā)展的領(lǐng)域。

一般來(lái)說(shuō)，對(duì)于量子密碼和量子密鑰分發(fā)的技術(shù)部署，我們將需要考慮其與當(dāng)前經(jīng)典基礎(chǔ)設(shè)施的集成，并根據(jù)要達(dá)到的保密程度開(kāi)發(fā)安全層，而保密程度又取決于利益相關(guān)者和涉及的業(yè)務(wù)類型。基于有界存儲(chǔ)器和量子數(shù)據(jù)鎖定的協(xié)議提供了一種臨時(shí)的低水平的量子安全，可能適用于個(gè)人通信。標(biāo)準(zhǔn)的QKD協(xié)議提供了更高級(jí)別的安全性，可能適用于金融交易。在QKD中，可以考慮不同的密鑰速率，例如，針對(duì)單個(gè)、集體或完全一致的攻擊。這些密鑰率的選擇也可能與要達(dá)到的特定安全級(jí)別有關(guān)。

對(duì)于政治或戰(zhàn)略決策等應(yīng)用，更高級(jí)別的安全性可能涉及使用DI-QKD，它對(duì)常規(guī)和側(cè)信道攻擊都更為健壯。隨著量子密碼學(xué)逐漸成為更廣泛的技術(shù)產(chǎn)品，這些方面將變得越來(lái)越清楚。（此報(bào)告內(nèi)容由《信息安全與通信保密》編輯部翻譯整理）