1.本公开涉及一种用于确定在发送单元和接收单元之间共享的秘密密码密钥以进行安全的长距离通信的方法和通信装置。
背景技术:
2.量子密钥分发是采用量子资源以达成快速和安全通信的通信协议的核心元素。量子密钥分发的安全性依赖于对沿着从发送单元(通常称为alice)延伸到接收单元(通常称为bob)的量子通信信道的光子量子态传输的可靠控制。
3.长距离上的量子密钥分发已通过采用各种单光子源得到展示,但通常会遭受到低密钥交换率,因发送单元、接收单元处的或沿通信信道的固有损耗和退相干造成的有害影响,以及关于各种精心设计的攻击方案(由恶意第三方(通常称为eve)窃听)的漏洞。
技术实现要素:
4.本公开的目的是克服此类限制并提供一种用于确定和分发秘密密码密钥以使得能够以高密钥交换率进行安全通信(尤其是长距离通信)的简单且实用的方法和通信装置。
5.该目的通过如权利要求1、13、14和15中描述的方法、通信装置、计算机可读存储介质和计算机程序产品来达成。有利的发展和实施例在从属权利要求和下面的讨论中描述。
6.本公开涉及一种用于通过使用包括空间分离的放大器的通信信道来确定在发送单元和接收单元之间共享的秘密密码密钥以进行安全的长距离通信的方法。
7.该方法包括在发送单元处经由通信信道向接收单元传送至少一个电磁测试脉冲,以及基于在接收单元处检测到的至少一个电磁测试脉冲来确定由窃听方在通信信道中造成的信号损耗re。
8.该方法进一步包括在发送单元处通过空间分离的放大器经由通信信道向接收单元传送第一电磁脉冲序列,以用于建立共享秘密密码密钥。
9.第一电磁脉冲序列中的每个电磁脉冲根据加密协议与随机比特序列的比特对应。加密协议的至少一个加密参数是通过使用用于预期密钥生成率(lf/l)的信息论模型,关于所述至少一个加密参数最大化预期密钥生成率(lf/l)来确定的。所确定的信号损耗re和空间分离的放大器的至少一个放大参数被考虑作为信息论模型的输入参数。利用所提出的方法,可实现具有高密钥生成(或交换)率(lf/l)的安全且稳健的(量子)密钥分发。此处和下文中,密钥生成率lf/l可用无量纲单位给出,其中l是随机比特序列的长度(以时间为单位的随机数生成率),且lf是(待确定的)秘密共享密码密钥的长度(以时间为单位的最终密钥生成率)。比率lf/l也可称为信息优势或归一化密钥生成率。
10.由窃听方在通信信道中造成的信号损耗re的确定允许监视窃听方活动并实现对通信信道的物理控制。具体而言,通过基于信息论模型藉由最大化来确定至少一个加密参数,加密协议可基于所确定的信号损耗re被优化和/或适配,以便确保最大密钥交换率,即使是在存在窃听方(恶意第三方)的情况下亦如此。
11.由窃听方在通信信道中造成的信号损耗re可基于标准电信技术来确定。更具体而言,可通过将在接收单元处检测到的至少一个电磁测试脉冲与由发送单元(例如,经由经认证的公共经典信道)传送的至少一个电磁测试脉冲进行比较来确定总信号损耗。
12.通信信道的固有损耗可以是已知的或预先确定的,例如,通过测量或模拟。
13.可选地,通信信道可被配置为使得固有损耗(主要)由瑞利散射引起。由窃听方造成的信号损耗re可根据总信号损耗和通信信道的固有损耗来确定。
14.至少一个电磁测试脉冲可包括电磁测试脉冲序列。有利地,至少一个电磁测试脉冲和/或电磁测试脉冲序列中的每个脉冲可以在其脉冲强度、脉冲相位、脉冲长度和/或脉冲形状方面被随机化。
15.可选地,至少一个电磁测试脉冲的脉冲强度(或平均光子数)大于第一序列中的每个电磁脉冲的脉冲强度(或平均光子数)。
16.可选地,至少一个电磁测试脉冲的脉冲持续时间大于第一序列的电磁脉冲的脉冲持续时间。第一序列的所有电磁脉冲可共享相同脉冲持续时间。至少一个电磁测试脉冲的恒定或平均功率可以(大约)等于第一序列的电磁脉冲的恒定或平均功率。
17.加密协议可包括可根据其将第一电磁脉冲序列中的每个电磁脉冲指派给具有比特值0或1的比特(二进制编码方案)的指派规则。优选地,第一序列中与不同比特对应的电磁脉冲是(基本上)非正交的。有利地,第一序列中的每个电磁脉冲中所包括的平均光子数大于1。
18.加密协议的加密模式可以与相位加密或强度加密对应。可选地,加密协议要么与相位加密对应,其中根据随机比特序列调制第一序列的电磁脉冲的相位;要么与强度加密对应,其中根据随机比特序列调制第一序列的电磁脉冲的强度。其他加密模式同样是可能的,并且还可组合地使用不同的加密模式。
19.如果相位加密是加密协议的加密模式,则比特被编码成具有不同相位的电磁脉冲。
20.例如,可将第一电磁脉冲序列中具有第一相位的电磁脉冲指派给比特值0,并且可将第一电磁脉冲序列中具有第二相位的电磁脉冲指派给比特值1,其中第一相位可不同于第二相位。
21.第一相位与第二相位之间的(相位)差异可以是π。
22.第一电磁脉冲序列的电磁脉冲可以是具有相同脉冲强度的相干电磁脉冲。有利地,在通信信道的长度和/或两个放大器之间的距离虑及相干性的保存(preservation of coherence)的情形中,相位加密可实现较低的差错率,从而确保信息沿通信信道的特别快速的传输。
23.如果强度加密是加密协议的加密模式,则比特被编码成具有不同脉冲强度的电磁脉冲。
24.例如,第一电磁脉冲序列中具有第一强度的电磁脉冲可被指派给比特值0,而第一电磁脉冲序列中具有第二强度的电磁脉冲可被指派给比特值1,其中第一强度可不同于第二强度。
25.第一强度与第二强度之间的差异可以是预先确定的。
26.第一电磁脉冲序列的电磁脉冲可以是具有相同相位的相干电磁脉冲。强度加密不
依赖于极化保存(polarization preservation),并因此在长距离通信的情形中可能是有利的。而且,在强度加密的情形中,接收单元处的测量例程可被简化和/或可以基于强度检测。基于信息论模型通过优化/最大化确定的至少一个加密参数可以与第一序列的相干电磁脉冲的强度对应,和/或可以与第一序列的相干电磁脉冲的相干态幅度的绝对值γ对应。
27.在强度加密的情形中,至少一个加密参数还可包括第一强度、第二强度和/或第一强度与第二强度之间的差异。
28.沿通信信道传送的第一电磁脉冲序列的放大使得可以至少部分地补偿由窃听方造成的固有损耗和/或信号损耗re。可选地,多个放大器可被配置为仅补偿通信信道的固有损耗。由此,第一电磁脉冲序列的脉冲强度可被长距离地保存,从而实现安全的长距离(量子)密钥分发。
29.多个空间分离的放大器可以沿通信信道直列地(in-line)和/或等距地布置。
30.可选地,空间分离的放大器对应于或包括光放大器。有利地,光放大器可以是保存相干性(coherence-preserving)的光放大器。可选地,空间分离的放大器对应于或包括直列式掺铒光纤放大器(edfa)和/或拉曼放大器。附加地或替代地,也可以采用其他类型的放大器。
31.用作信息论模型的输入参数的空间分离的放大器的至少一个放大参数可包括空间分离的放大器的数目m、和/或两个相邻放大器之间的距离d、和/或放大因子g。空间分离的放大器的数目可大于2(m》2)。
32.所传送的第一电磁脉冲序列可由接收单元使用强度检测或零差检测(homodyne detection)来接收和/或测量。可在强度加密的情形中使用强度检测。在一些实施例中,可在相位加密的情形中使用零差检测。可选地,所传送和接收到的第一序列的电磁脉冲的正交可在接收单元处使用零差检测或强度检测来确定。所接收到的第一序列的电磁脉冲可通过使用零差检测或强度检测的结果根据加密协议在接收单元处进行解密。加密协议可在发送单元与接收单元之间使用经认证的公共经典通信信道来传达。
33.根据解密规程(procedure),所接收到的第一序列的电磁脉冲可以用比特值0或1来标识,这取决于使用零差检测或强度检测测量的所接收到的电磁脉冲的正交值。更具体地,可通过关于第一序列的每个接收到的电磁脉冲评估对应于比特值0和1的两个测量算子的量子力学期望值(尤其是对应于比特值0和1的正算子值测量(povm)的两个测量算子)来确定对应(经解密的)比特值。
34.该方法可进一步包括执行后选择的步骤。后选择可在接收单元处基于所传送和接收到的第一电磁脉冲序列的零差检测或强度检测来执行。更具体地,后选择可以基于选择准则。根据选择准则,与所传送和接收到的第一序列中具有不超过最小绝对值θ的正交分量q的电磁脉冲对应的比特可能因不确定而被丢弃。从解密第一序列的所传送和接收到的电磁脉冲获得的比特序列中的所丢弃比特的位置可经由经认证的公共经典信道传达给发送单元,以便建立共享比特序列。具体而言,剩余(未丢弃的)比特可表示在发送单元与接收单元之间共享的比特序列。
35.优选地,用于后选择的最小绝对值θ根据信号损耗re来确定。
36.更具体地,可通过关于至少一个加密参数和/或关于最小绝对值θ最大化预期密钥生成率(lf/l)基于信息论模型来为后选择确定和选取最小绝对值θ。在该情形中,可选
地,加密协议的至少一个加密参数和用于后选择的最小绝对值(θ)两者可基于信息论模型通过最大化预期密钥生成率(lf/l)来(例如,同时地)确定。
37.从后选择获得的共享比特序列可用于建立秘密共享密码密钥,以用于发送单元与接收单元之间的安全长距离通信。可选地,在建立秘密共享密码密钥之前,共享比特序列可经受纠错和/或隐私放大,如下面进一步描述的。
38.该方法可进一步包括执行纠错的步骤。执行纠错的步骤可在执行后选择的步骤之后来执行。
39.奇偶校验比特可以是随机比特序列的一部分和/或可以是在后选择之后获得的共享比特序列的一部分。可选地,与奇偶校验比特对应的电磁脉冲可作为第一电磁脉冲序列的一部分来传送。奇偶校验比特可被指派给随机比特序列的块(子集)。
40.执行纠错的步骤可包括估计在接收单元处对于所传送的第一电磁脉冲序列的至少一部分的解密差错率。可使用贝叶斯定理来估计解密差错。
41.更具体地,可基于使用零差检测或强度检测测量的所传送电磁脉冲的正交来估计给定在接收单元处的解密结果的码字的条件概率,以便估计解密差错。
42.附加地或替代地,可基于最小绝对值θ来估计给定在接收单元处的解密结果的码字的条件概率,以便估计解密差错。
43.还可通过公开在接收单元处从所传送的第一电磁脉冲序列的至少一部分中获得的经解密比特来估计解密差错。用于确定解密差错的所公开的经解密比特可对应于奇偶校验比特。
44.更具体地,可通过比较从所传送的第一电磁脉冲序列的至少一部分获得的经解密比特与在发送单元处(例如,通过使用经认证的公共经典信道)获得或生成的随机比特序列来估计解密差错。以此方式,可通过(公开地)披露部分共享比特序列和/或在后选择之后获得的奇偶校验比特来直接观察解密差错。
45.共享比特序列的(公开地)披露部分可被丢弃并且共享比特序列的剩余比特可用于建立秘密共享密码密钥。然后可使用贝叶斯定理估计共享比特序列的剩余部分的解密差错。
46.附加地或替代地,可以从第一电磁脉冲序列或其部分的第一子集的第一奇偶校验比特获得第一差错信息。可以从所接收到的第一电磁脉冲序列或其部分的第二子集的第二奇偶校验比特获得第二差错信息。可通过比较第一奇偶校验比特和第二奇偶校验比特并通过使用贝叶斯定理来估计解密差错。
47.纠错码可以是线性块码。可选地,纠错码可以是低密度奇偶校验码(ldpc)。解密差错的估计可用作纠错码的输入。可选地,纠错码的块大小和/或码率基于所估计的解密差错率来确定和/或适配。可选地,纠错步骤可包括对以下进行纠错:从对所传送和检测到的第一电磁脉冲序列的至少一部分进行解密而获得的后选择的比特。
48.该方法可进一步包括执行隐私放大以便消除或限制关于窃听方所获得的共享比特序列的信息的步骤。
49.更具体地,隐私放大可用于至少部分地根除窃听方的有关从所传送和检测到的第一电磁脉冲序列和/或在解密、后选择和/或纠错之后在发送单元与接收单元之间共享的比特序列获得的比特的信息。隐私放大步骤可包括通过使用散列函数作为映射从共享比特序
列中提炼秘密共享密码密钥。
50.可选地,该方法的上述步骤可被迭代地和/或连贯地执行。在所述方法的上述步骤的每次迭代之后获得的共享比特序列可被组合和/或附加,以便建立具有期望或预先确定的长度的秘密共享密码密钥。秘密共享密码密钥可用于发送单元与接收单元之间的安全长距离通信。
51.在每次迭代中,不同的第一电磁脉冲序列或第一电磁脉冲序列的不同子集可从发送单元传送至接收单元。在每次迭代中,可针对不同的第一电磁脉冲序列或第一电磁脉冲序列的不同子集执行如上文进一步描述的后选择、纠错和/或隐私放大的步骤。
52.可选地,第一电磁脉冲序列的第二子集或另一第一电磁脉冲序列可以在第一电磁脉冲序列的第一子集或第一电磁脉冲序列的传输之后从发送单元传送至接收单元。可选地,可以自适应地执行纠错。在第一迭代中,可以从所接收到的第一电磁脉冲序列的第一子集获得解密差错的第一估计。可根据第一纠错码来执行针对所接收到的第一电磁脉冲序列的第一子集的纠错。
53.在第一迭代之后执行的第二迭代中,解密差错的第一估计和/或在第一迭代之后观察到的差错可用作第二纠错码的差错估计的输入。第二纠错码可用于对所接收到的第一电磁脉冲序列的第二子集或另一第一电磁脉冲序列等进行纠错。
54.因此,可以在每次迭代之后更新和改进纠错效率和/或解密差错的估计。更具体地,可通过根据每次迭代中所估计的解密差错适配纠错码的块大小和/或码率来自适应地执行纠错。可基于贝叶斯定理来执行该适配。
55.用于预期密钥生成率(lf/l)的信息论模型可以基于量子力学原理。更具体地,信息论模型可以在发送单元、接收单元和窃听方的基础上描述密度矩阵的非相干演变。密度矩阵可以与第一电磁脉冲序列中所包括的光子的状态对应。
56.根据信息论模型,密度矩阵可以从初始密度矩阵演变为最终密度矩阵。初始密度矩阵可描述在将第一电磁脉冲序列传送至接收单元之前第一电磁脉冲序列中所包括的光子的状态。可选地,初始密度矩阵可以与相干态和/或真空态的混合(或准混合)对应。最终密度矩阵可以与在将第一电磁脉冲序列从发送单元传送至接收单元、后选择、纠错和/或隐私放大之后第一电磁脉冲序列中所包括的光子的状态对应。
57.信息论模型可包括密度矩阵的正则变换(canonical transformation),以便计及在通信信道中或沿通信信道的损耗和放大的影响。描述损耗和/或放大的正则变换可以与密度矩阵的非相干演变对应。可选地,正则变换可包括损耗因子(t)和/或放大因子(g)作为信息论模型的输入参数。
58.可选地,损耗因子(t)和/或放大因子(g)包括两个相邻放大器之间的距离(d)、发送单元与接收单元之间的距离(d
ab
)、和/或发送单元与窃听方之间的距离(d
ae
)。
59.任何上述参数都可构成信息论模型的输入参数。附加地或替代地,上述参数中的任一者可构成基于信息论模型通过最大化预期密钥生成率(lf/l)确定的优化参数,并用作通信装置的优化设备参数。以此方式,可基于信息论模型来配置通信装置。
60.有利地,描述损耗和/或放大的正则变换可以基于哈密顿量。哈密顿量可以用光-物质相互作用强度(λ)来描述空间分离的放大器的放大介质(物质)与第一电磁脉冲序列中所包括的光子(光)之间的光-物质相互作用。可选地,损耗因子(t)和/或放大因子(g)可包
括光-物质相互作用强度(λ)。
61.有利地,可以在基于哈密顿量的信息论模型中考虑放大器噪声(例如,量子噪声)的影响和/或放大的有害影响。可选地,放大的有害影响可包括放大介质的原子种群的不完全反转(inverted)和/或通信信道的模式与放大器之间的耦接缺陷。
62.由于加密协议的至少一个加密参数是基于信息论模型通过优化确定的,所以至少一个加密参数和/或加密协议可取决于信息论模型的所有或任何一个输入参数。更具体地,至少一个加密参数和/或加密协议可使用基于信息论模型的优化规程由所有或任何一个输入参数来确定。
63.因此,至少一个加密参数和加密协议也可在损耗和放大方面进行优化,从而实现对由通信信道、多个放大器和/或窃听方的存在所设置的硬件约束的务实考虑。
64.信息论模型可包括分束器模型,以便考虑窃听方试图捕获信号的一部分(分束器攻击)的影响。
65.信号可对应于第一电磁脉冲序列。
66.分束器可包括输入、第一输出和第二输出。输入可对应于所传送的第一电磁脉冲序列,其中所传送的第一电磁脉冲序列可能已沿着通信信道的至少一部分传播和/或可能已经受到损耗和放大。
67.第一输出可以与被窃听方捕获的所传送的第一电磁脉冲序列的一部分对应。
68.第二输出可以与进一步沿着通信信道传播至接收单元的所传送的第一电磁脉冲序列的一部分对应。
69.第一输出和第二输出可以是量子纠缠的。
70.第一和第二输出的强度和/或相干态幅度可取决于由窃听方造成的所确定的信号损耗(re)。以此方式,可将信号损耗(re)作为输入参数引入到信息论模型中。
71.信息论模型可通过概率模型优化和/或计及后选择、纠错和/或隐私放大的步骤。更具体地,发送单元与窃听方之间共享的互信息、和/或发送单元与接收单元之间的互信息可基于概率模型在后选择、纠错和/或隐私放大的步骤之前和/或之后进行估计和/或优化。
72.信息论模型可包括量子测量模型以便计及零差检测、强度检测和/或后选择。
73.根据量子测量模型,零差检测可由投影测量算子来描述。更具体地,根据零差检测的量子测量模型,强度检测和/或后选择可由正算子值测量(povm)来描述。对应于比特值0和1的正算子值测量(povm)的测量算子可根据正交本征态的投影算子来定义。测量算子可包括正交的最小绝对值(θ)。以此方式,最小绝对值(θ)可在信息论模型中作为输入和/或优化参数来计及。
74.信息论模型可包括预期密钥生成率(lf/l)的代数或数值表达式。代数或数值表达式可在存在损耗和放大、后选择、纠错和/或隐私放大的情况下为在经由通信信道将第一电磁脉冲序列从发送单元传送至接收单元之后从随机比特序列获得的秘密共享密码密钥提供密钥生成率(lf/l)的准确估计。
75.可使用现有技术中所包括的标准优化例程来执行用于预期密钥生成率(lf/l)的代数或数值表达式的优化和/或最大化,例如,以便确定至少一个加密参数和/或加密协议。
76.本发明还涉及一种被配置为执行上述方法的步骤的装置。该装置可包括发送单元、接收单元、通信信道、多个空间分离的放大器和/或经认证的公共经典信道。
77.通信装置、发送单元和/或接收单元可包括电子评估和控制单元。电子评估和控制单元可包括至少一个计算单元和/或至少一个电子存储单元。至少一个计算单元可包括至少一个处理器、cpu(中央处理单元)和gpu(图形处理单元)。
78.发送单元可包括被配置为生成随机比特序列的随机数生成器。可选地,随机数生成器可以是经典随机数生成器或量子随机数生成器。可选地,发送单元包括电磁辐射源。电磁辐射源可被配置成产生第一电磁脉冲序列和/或可被配置成产生至少一个电磁测试脉冲。可选地,电磁辐射源可以为激光、太赫兹辐射源或微波辐射源。
79.可选地,至少一个接收单元可包括检测和测量单元。检测和测量单元可被配置为检测和测量所传送的第一电磁脉冲序列和/或至少一个电磁测试脉冲的强度和/或相位。
80.通信信道可包括传输线和/或光纤。优选地,通信信道包括多条传输线和/或光纤。多个空间分离的放大器可被集成和/或直列布置到通信信道中。
81.发送单元可被配置为经由通信信道将至少一个电磁测试脉冲传送至接收单元。接收单元可被配置为检测由发送单元传送的至少一个电磁测试脉冲。
82.电子评估和控制单元可被配置为基于在接收单元处检测到的至少一个电磁测试脉冲来确定由窃听方在通信信道中造成的信号损耗re。
83.电子评估和控制单元可进一步被配置为通过使用用于期望密钥生成率(lf/l)的信息论模型关于至少一个加密参数最大化期望密钥生成率(lf/l)来确定加密协议的至少一个加密参数,其中所确定的信号损耗(re)和空间分离的放大器的至少一个放大参数被考虑作为信息论模型的输入参数。
84.信息论模型可包括存储在至少一个电子存储单元中的预期密钥生成率(lf/l)的代数或数值表达式。
85.发送单元可被配置为生成第一电磁脉冲序列,使得第一电磁脉冲序列中的每个电磁脉冲根据加密协议与随机比特序列的比特对应。
86.发送单元还可被配置为经由通信信道将第一电磁脉冲序列传送至接收单元。
87.电磁脉冲的传送可包括由电磁辐射源发射电磁脉冲和/或使用将电磁辐射源与通信信道连接的耦接装置沿通信信道发送电磁脉冲。发送单元因此提供用于加密(编码)和分发随机比特序列中所包括的原始密钥(raw key)的物理手段。
88.至少一个经认证的公共经典信道可被配置为将反馈信息从至少一个接收单元传送至至少一个发送单元和/或反之亦然,例如,以用于执行后选择、纠错和/或隐私放大的步骤。
89.本发明还涉及一种包括指令的计算机程序产品,所述指令在由计算机执行时使计算机执行如上文进一步描述的方法。本发明还涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时使计算机执行如上文进一步描述的方法。计算机程序产品可存储在计算机可读存储介质中。计算机可读存储介质可被包括在通信装置、发送单元和/或接收单元中。
90.综上所述,为了实现安全的长距离通信,已提出一种用于确定在发送单元与接收单元之间共享的秘密密码密钥的简单且实用的方法、通信装置、计算机程序和计算机可读存储介质。利用所提出的发明,可以在超过4,000公里、优选地超过20,000公里的长距离上达成具有高密钥交换率的高效(量子)密钥分发。
91.本发明的示例性实施例在附图中示出并且现在将参照图1至图9进行描述。
附图说明
92.图1是根据一实施例的通信设置的示意图解;
93.图2示意性地示出了在根据一实施例的通信设置中可如何将若干损耗或放大信道简化为一对损耗和放大信道;
94.图3示意性地示出了在根据一实施例的通信设置中的量子态的光相图;
95.图4是在根据一实施例的通信设置中由bob采用的量子测量的示意图解;
96.图5示意性地示出了根据一实施例的由eve对通信协议采用的分束器攻击;
97.图6示出了在根据一实施例的通信设置中针对各放大器之间的不同空间距离值的所达成的密码密钥速率的结果;以及
98.图7示出了在根据一实施例的通信设置中针对alice与bob之间的不同空间距离值的所达成的密码密钥速率的结果;
99.图8示出了根据一实施例的方法步骤的示意流程图;以及
100.图9是根据一实施例的通信装置的示意图解。
具体实施方式
101.现在将参考一通信场景中的示例性实施例来描述本公开的技术,在该通信场景中,借助于量子信道3和经典信息链路7连接的一对通信单元1、2(通常分别称为alice 1和bob 2)采用量子技术来在他们之间共享密码密钥,窃听量子信道3和/或经典信息链路7的窃听方5(通常称为eve 5)(几乎)不能够获得关于该密码密钥的任何信息。然后,alice 1和bob 2可使用这种密码密钥作为一次性密码密本来交换敏感信息。
102.本公开的实施例特别强调的是当alice 1和bob 2相隔大的空间距离从而可能在量子信道3中发生损耗并且alice 1与bob 2之间经由量子信道3交换的通信信号可能需要被放大时实现这种密码密钥的共享的可靠且安全的技术。
103.1.方法说明
104.本发明提出了一种基于传输线的信号放大和物理控制的长距离量子密钥分发(qkd)方法。图1示意性地示出了基本的通信设置。
105.在图1的通信设置中的示例通信协议中,alice 1将随机比特串编码为相干脉冲序列6,并通过传输线3将其发送给bob 2。脉冲通过一系列掺铒光纤放大器4(edfa),然后由bob 2接收和测量所得信号。也可采用保存电磁脉冲相位相干性的其他类型的光放大器4。
106.窃听方5(eve)可捕获部分的信号:例如,通过弯曲传输光纤和检测超越光学模式。然而,alice 1和bob 2监视线路3中的损耗,并且始终知晓窃听方eve 5窃取的信号的比例re。重要的是,他们可以识别eve 5所造成和利用的确切损耗。该知识使alice 1和bob 2能够采用最高效的比特加密和测量方案:取决于re,alice 1选取某些信号强度值,就与eve 5的信息优势而言,这些信号强度值是最优的;bob 2以协调一致的方式调整其测量例程。尤其是,就后选择而言,这为授权方提供了附加的杠杆作用:在传送和接收随机比特串之后,alice 1和bob 2使用经认证的公共经典信道7执行信息协调(增加他们对eve 5的的信息优势)和隐私放大——通过加密和测量的最佳参数,这些规程允许在不牺牲太多比特的情况
下根除eve 5的信息。
107.该实施例的方法背后的两个主要思想是:(i)随机比特被编码成非正交相干脉冲6,这些非正交相干脉冲6被直列式edfa 4的级联放大以实现长距离传输,以及(ii)alice 1和bob 2可确定窃听方5(eve)窃取的信号的确切比例,并将其与线路中的自然损耗(主要由瑞利散射引起)区分开来。alice 1和bob 2使用有关损耗的知识来准确地估计他们相对于eve 5的信息优势,这进而使得他们能够以最高效的方式选取脉冲的强度,采用测量例程并执行后选择,从而使eve 5(几乎)没有关于最终共享密钥的信息。
108.通信协议可以按以下步骤进行:
109.0.初步准备——现有技术可以高精度地确定损耗,并将局部损耗(可能由eve5造成)与跨整个线路3均质且主要由瑞利和拉曼散射引起的固有自然损耗区分开来。作为初始设备设置的一部分,alice 1和bob 2确定传输线3中无法由eve 5造成的自然损耗r0。bob 1和alice 2经由经认证的经典通信信道7共享r0的值。
110.1.alice 1和bob 2经由传送测试脉冲确定通信信道3中的总信号损耗r
t
,参见第5节。电磁测试脉冲从alice 1经由通信信道3传送至bob 2,在这之后,他们从固有信号损耗r0和总信号损耗r
t
中获得由窃听方5造成的信号损耗re。bob 1和alice 2经由经认证的经典通信信道7共享re的值。
111.例如,让我们考虑不包括放大器4的通信信道3的一区段。如果该区段的固有损耗为r0且eve 5捕获信号的一部分re,则总损耗r
t
由等式(1-r
t
)=(1-re)(1-r0)确定。下面我们将描述eve 5在沿通信信道3的单个位置处的分束器攻击。所提出的方法和我们在下面进一步呈现的分析也推及至eve 5在若干位置处侵入通信信道3的情形。
112.2.使用物理随机数生成器(可能是量子),alice 1生成长度为l的比特序列r。
113.3.alice 1将r加密成一系列l个相干光脉冲,这些相干光脉冲由alice 1经由通信信道3发送给bob 2。这一系列l个相干光脉冲对应于第一电磁脉冲序列6。比特0和1分别由相干态γ0=γ和γ1=-γ定义,——不失一般性,假设——并且在给定re的已知特定值的情况下最优地选择γ的值。这意味着alice 1使用此类相干态,他们与关于信道3中的损耗的最大密钥生成速度对应。脉冲的强度
±
γ由平均光子数确定。
114.《n》=|γ|2.
ꢀꢀꢀꢀ
(1)
115.根据上述加密协议,加密方式为相位加密,并且至少一个加密参数对应于相干态幅度γ。相干态幅度γ的值基于信息论模型通过最大化密钥生成率lf/l来最优地选择。
116.4.信号被沿整个光路(通信信道3)等距地安装的edfa 4的级联放大。每个放大器4以放大信号强度等于初始信号强度的方式补偿损耗。当相干脉冲通过放大器4时,其状态变为混合的。bob 2接收信号并执行零差测量,其参数再次由re的已知值确定。
117.5.alice 1和bob 2应用信息协调(后选择)。bob的2次测量中的一些将有非确定性的结果,并且对应比特必须被丢弃。为此,bob 2经由经认证的公共经典信道7向alice 1公开地通告无效比特的位置。
118.6.alice 1和bob 2估计差错率并执行纠错规程。
119.7.alice 1和bob 2执行隐私放大。使用特殊协议,alice 1和bob 2产生较短的密钥,而eve 5没有关于该较短地密钥的信息(或少到可忽略不计)。再一次地,alice 1和bob 2可能需要使用他们经认证的公共经典信道7。
120.8.alice 1和bob 2重复地执行步骤1到7,直至共享密钥的长度是恰适的。在我们更详细地讨论该方法的步骤之前,需要强调与第一电磁脉冲序列6对应的信号被量化并且可被视为光子序列。然而,光子的离散统计对eve 5从测量信号的一部分中提取信息的能力施加了重大限制。具体而言,如果初始信号平均包含n=《n》=|γ|2个光子,并且局部泄漏由透明度re量化,则只有包含ne=nre个光子的一小部分信号到达eve 5。在相干信号状态的情形中,光子数的波动遵循泊松统计因此,针对eve 5的相对光子数波动由给出。大的光子数波动使eve 5难以区分所接收到的电磁脉冲以了解所捕获的信号。进而,如果bob 2得到包括对其而言波动较小的nb个光子的电磁脉冲(即δnb<<nb),那么即使是单发测量也为bob 2提供了可靠地确立所接收到的信号是表示比特值0还是1的高概率。因此,通过确定信号损耗re的值,并根据所确定的信号损耗re基于信息论模型以优化方式选择表示至少一个加密参数的相干态幅度γ,确保了eve 5无法高效地区分所接收到的电磁脉冲,但bob 2可以用最大密钥交换率高效地解密所接收到的电磁脉冲。因此,提供了一种基于传输线3的物理控制的安全且高效的量子密钥分发方法。
121.2.信号放大
122.在本节中,我们将更详细地讨论信号放大的物理特性。为此,我们首先介绍了基于p函数表示的框架,并示出了信号状态在理想放大过程下如何演变。然后,我们考虑掺杂光纤中的放大的实际情形以及信道3中的相关联损耗。我们进一步示出了放大器4的级联理论上可被简化为一个有效放大器——我们将在进一步的各节中使用该形式属性对合法用户相对于窃听方5的信息优势进行分析。
123.2.1 p函数及其放大下的演变
124.让我们介绍一下我们的理论框架。考虑单光子模式,其中玻色子算子和作用于fock空间。要了解放大对玻色子模式状态的影响,最方便的是使用后者的p函数表示。这种表示允许将任何密度算子表示为相干态的准混合:
[0125][0126]
其中d2α≡dre(α)dim(α)和准概率分布p(α)不一定是正的。对于由密度矩阵描述的给定状态,p函数可以写为
[0127][0128]
其中
[0129][0130]
更多详细信息可在以下文献中找到:w.vogel,d.g.welsch,s.wallentowitz所著的“quantum optics:an introduction(量子光学:简介)”;wiley(威利),2001年。
[0131]
相位放大由下式给出的量子信道描述
[0132][0133]
其中g是表征放大器的相互作用参数,g=cosh2(g)是藉其放大输入信号强度的因子(我们将在下面的公式中明确看到),并且湮没算子对应于在真空态中启动的辅助模式。
信道的显式克劳斯表示可以写为
[0134][0135]
其中参见p.sekatski等人所著的“cloning entangled photons to scales one can see(将纠缠光子克隆到可见的尺度)”;phys.rev.a 82(5),2010年11月。
[0136]
为了示出在放大过程中状态的p函数如何变化,让我们考虑一个简单的情况,在该情况下输入信号处于纯相干态|β》《β|,且对应初始p函数pi(α)=δ(α-β)(复数上的delta函数)。在放大之后,p函数变为
[0137][0138]
应牢记
[0139][0140]
容易看出
[0141][0142]
换言之,输出状态是以为中心的正态分布状态的混合;分布宽度为为中心的正态分布状态的混合;分布宽度为
[0143]
2.2掺杂光纤中的放大和损耗
[0144]
在掺铒(er)/钇(yt)光纤中,光子模式通过反转的原子介质传播。为了使介质保持反转,不同频率的种子激光与光纤中的信号光子模式共同传播,并且随后借助于波分复用(wdm)在输出处被滤除。位置z处的反转原子与传播光场模式之间的相互作用由哈密顿量给出(直至常数因子)
[0145][0146]
其中对应于对原子之一的集体亵渎。因此,信号模式在其通过edfa传播之后的演变由无穷小的相位放大的组成来设置,正如我们在接下来的小节中示出的那样,其可被有效地简化为单个放大信道。
[0147]
在实践中,edfa的性能遭受到技术限制,其作为对增加的量子噪声的放大限制的补充。这些限制主要是由两个因素造成的:
[0148]
(i)原子种群可能不会在整个介质中被完全反转,以及
[0149]
(ii)光学模式与edfa或光纤之间的耦接缺陷。
[0150]
这些机制均可被考虑为在放大之前作用于状态的损耗信道3.1,如以下文献所示出的:b.sanguinetti等人所著的“quantum cloning for absolute radiometry(绝对辐射测量的量子克隆)”;phys.rev.lett.105(8),2010年8月。
[0151]
让我们介绍描述线路3中所有可能的损耗的损耗信道3.1。等式(8)描述了放大器对海森堡图中湮没算子的作用。以同样的方式,我们可以表示与损耗相关联的正则变换
[0152][0153]
其中λ是相互作用参数,t是所传送信号的比例。湮没算子对应于丢失光子进入的初始空模式,并且
[0154]
2.3放大器的组成和损耗
[0155]
在我们的密码方案中,放大用于在光信号遭受损耗之后恢复光信号。长距离qkd需要放大器4的级联,在该情形中,信号演变由多个损耗3.1和放大4信道的序列来确定。
[0156]
在本节中,我们证明任何这样的序列在数学上都可以简化为一个损耗3.1和一个放大4信道的组成。我们稍后将采用这种简单的表示来对我们的协议进行信息分析。
[0157]
图2以图形方式示出如何(a)两个损耗3.1或放大4信道可简化为一个;(b)损耗3.1和放大4信道可被有效地重新布置;以及(c)一系列损耗3.1和放大器4可简化为一对损耗3.1和放大4。
[0158]
声明1.两个损耗或放大信道可简化为一个
[0159]
首先,我们示出了一对损耗3.1或放大4信道可有效地简化为一个,参见图2中的a。考虑两个随之而来的损耗信道3.1:
[0160][0161]
其中我们定义了算子
[0162][0163]
作用于真空态,且满足正则对易关系因此,我们可以以一个有效信道的形式表示两个信道:
[0164][0165]
相同的推理可应用于放大器4:
[0166][0167]
声明2.损耗和放大信道可被有效地重新布置
[0168]
让我们示出放大信道4继以(followed by)损耗信道3.1的组成可以在数学上用一对以相反顺序作用的特定损耗3.1和放大4信道替换,参见图2中的b。考虑与放大继以损耗对应的变换
[0169][0170]
在相反顺序的情形中,我们有
[0171][0172]
容易看出这两个变换是等同的,如果
[0173][0174]
换言之,只要根据这些关系修改参数,这两种类型的信道便会“对易(commute)”。具体而言,上面等式中的参数在物理上总是有意义的,g≥1,0≤t≤1,这意味着我们总是可以以其中损耗继以放大的组成的形式表示损耗和放大(反之则不成立)。
[0175]
声明3.一系列损耗和放大器可简化为一对损耗和放大
[0176]
最后让我们示出,损耗3.1和放大4信道的序列可以在数学上表示为一对损耗和放大,参见图2中的c。考虑变换
[0177][0178]
对应于一系列m个等同的损耗和放大信道4,我们希望找到针对其的简单表示。根据声明2,我们可以有效地将所有损耗移动到组成的右端,即,置换(permute)信道以使得所有损耗在放大之前起作用。每次具有传输概率t(i)的损耗信道3.1被移动到具有放大因子g(i)的放大器4之前,参数都根据等式(18)进行变换:
[0179][0180]
在我们的序列中,我们可以用放大器成对地转置(transpose)所有相邻的损耗(从第一放大器和第二损耗开始)。在重复该操作m-1次之后,通过牢记声明1,我们发现
[0181][0182]
其中
[0183][0184]
即,一系列损耗和放大器等效于传输的损耗通道3.1继以具有放大系数的放大器4。
[0185]
现在请注意,值μ≡g(i)t(i)=gt无法通过置换来改变。让我们定义
[0186]
f(i)=(g
(i)-1)t(i) 1,
ꢀꢀꢀꢀ
(23)
[0187]
并且牢记
[0188][0189]
我们可以写出
[0190][0191]
和
[0192][0193]
让我们通过求解递推关系找到和的显式形式。通过以下关系定义an和bn[0194][0195]
于是
[0196][0197]
从等式(27)和(28)得出b
n 1
=an和
[0198]an 1
=(μ 1)a
n-μbn=(μ 1)a
n-μa
n-1
.
ꢀꢀꢀꢀꢀꢀ
(29)
[0199]
我们看到该方程的解具有以下形式
[0200]an
=c1 c2μn,
ꢀꢀꢀꢀꢀ
(30)
[0201]
其中c1和c2是常数,其由f0=(g-1)t 1确定:我们取a1=(g-1)t 1和a0=1,并获得
[0202][0203]
值得注意的是,最终表达式中出现的乘积变得相对简单
[0204][0205]
并且我们有
[0206][0207]
tg=1的情形尤其有趣,因为所传送信号的平均强度被保存不变(这与总输出强度不同,因为其具有噪声贡献)。在极限g
→
1/t中,我们有
[0208][0209]
3.传输线的控制
[0210]
为了监视窃听方5的活动,alice 1可以以恰适的间隔发送特殊的测试脉冲(单个或多个,参见下面的讨论)并与bob 2交叉检查强度。测试脉冲应包括大量光子,然而却不应损坏bob 2的检测设备2.2。通过产生和分析对应散射矩阵,alice 1和bob 2可确定信道3中
的损耗。重要的是,授权方可以将损耗分类成是否是由eve 5所造成和利用的损耗。
[0211]
假设传输线3(光纤)被安装正确,即其没有显著的屈曲和粗糙的连接点。然后,线路中的大部分固有自然损耗是由于瑞利散射而发生的。此类损耗分布在整个线路上。因此,eve 5无法有效地拾取耗散信号,除非她的天线覆盖了线路3的大部分——而这种天线的隐蔽结构实际上是不可行的。
[0212]
留给窃听方5的唯一选择是故意带走部分信号,即创建和利用自然损耗以外的损耗(即,通过有意弯曲光纤)。alice 1和bob 2可识别和测量此类人为损耗。为此,他们必须首先确定与窃听方5的活动无关联的损耗的幅度;这可以通过在协议开始之前测量跨孔线均质地显现的损耗来完成。在这之后,alice 1和bob 2可以精确地确定可能由eve 5拦截的新出现的信号局部泄漏(其比例为re)。这些知识确保了最高效的加密和测量例程,进而确定后选择规程。
[0213]
我们提出了以下方法来检测损耗,从而提高协议的效率:
[0214]
令τs为信号脉冲的长度,τ
t
为测试脉冲序列的总长度(测试脉冲可能看起来完全像信号脉冲,但他们的序列应包含比一个信号脉冲多得多的光子)。两种类型的脉冲可以用相同的恒定功率来表征,例如,p=20mw,但τ
t
应远大于τs,例如,τ
t
=1ms且τs=1ns。测试脉冲中的平均光子数为其中v是光频率。bob 2侧的测量误差δn
t
有两个主要贡献:
[0215]
1.由光的泊松统计引起的检测误差
[0216]
2.由脉冲放大引起的误差(当gm>>1时),其中g是单个放大器4的放大系数,m是放大器4的总数。如果两个相邻放大器4之间的距离是d=50km,alice 1与bob 2之间的距离是d
ab
=10000km,则m=200且g=10,在该情形中
[0217]
因此,δn
t
由确定。测试脉冲允许检测幅度为re≥δt
t
=δn
t
/《n
t
》=10-5
的泄露。反射信号的类似控制和分析必须在alice 1端执行。
[0218]
测试规程的其他可能性:
[0219]
1.个体脉冲。——alice 1发送单个测试脉冲,其参数是随机选择的。脉冲的准备意味着生成辅助随机比特序列并将其转换成脉冲的随机强度、相位(例如,从0到π)、长度(例如,从1到106ns)和形状。在bob 2测量测试脉冲之后,他与alice 1验证其参数,并且他们确定信道3中的损耗。
[0220]
2.脉冲序列。——alice 1发送其中她编码了辅助随机序列的测试脉冲序列。这涉及生成辅助随机序列并在脉冲序列中对其进行加密(例如,使用针对经典强度调整的强度或相位加密)。bob 2测量脉冲、与alice 1验证编码消息,在这之后他们确定损耗为何。
[0221]
4.测量方案
[0222]
光信号的状态可以用算子给出的正交来描述
[0223][0224]
这些算子表示信号复数幅度的实部和虚部,通过测量其中一个正交可以区分不同
的信号。
[0225]
bob 2需要区分由损耗和放大器4变换的两个状态|γ0》=|γ》和γ1》=|-γ》(其中中),——两个中心位于光学相空间的实轴(q轴)上的高斯。这在图3中被示出,图3示出了对应于比特值0和1的状态在经过损耗3.1和放大4的序列后的光学相位图。两个输出状态构成以为中心的高斯,其中re是eve 5窃取的信号的比例。为此,bob 2测量-正交。bob 2可借助于由以下povm算子描述的零差检测来执行他的测量:
[0226][0227]
其中|q》是的本征态,参数θ由bob 2调谐,这取决于可能由eve 5窃取的损耗量,参见a.peres所著的“quantum theory.concepts and methods(量子理论概念和方法)”;fundamental theories of physics(物理学基础理论);springer netherlands,2006年,以及下文的进一步讨论。更具体地,参数θ是通过基于信息论模型最大化预期密钥生成率来确定的。
[0228]
在等式(36)中,确定比特值0(1),而与不良结果相关联,相应比特应由alice 1和bob 2在后选择阶段中丢弃。
[0229]
图4是bob 2采用的povm的示意表示。两个信号状态是在与对应的相空间区域中重叠最多的高斯。因此,alice 1和bob 2认为相关联的结果为非确定性的,并在后选择阶段将其丢弃。与和相关联的结果被认为是确定性的。就最终密钥生成率而言(基于信息论模型的优化),θ的值是变化的,以执行最高效的后选择规程。通过参见图4,可以看到与其中两个状态(高斯)重叠得最多的相空间区域对应,并且因此相关联的结果为非确定性的。因此,与其正交落入对应于的相空间区域的所接收到的电磁脉冲对应的比特被丢弃。
[0230]
5.差错估计和纠错
[0231]
在丢弃无效比特的测量和后选择规程之后,alice 1和bob 2可执行纠错规程。从零差测量中获得的正交值q允许估计对应比特中的差错概率——可以容易地计算每个q的条件差错概率。实际上,差错率还由信道缺陷和eve 5的有害活动来确定。因此,在实践中,纠错规程应主要基于对误差的直接测量来预测,而不是理论预知,例如,通过公开原始密钥的一部分来观察差错。原始密钥与从后选择中获得的共享比特序列对应。
[0232]
实际差错估计的一种选项是公开一半的原始密钥。但是,如果原始密钥足够长(例如,超过10,000比特),则相对较短的部分(例如,1,000比特)已经可以提供准确的差错估计。根据这种技术,alice 1和bob 2可使用他们的公共经认证信道7来选择原始密钥中的数个比特位置并公开通告对应比特值。然后,使用贝叶斯定理,他们可以猜测原始密钥剩余部分的预期差错率。可替代地,取代比特值,alice 1和bob 2可以公开一些选定的原始密钥位置块的奇偶校验比特。这种方法对小的差错率值给出了更好的估计,但对高差错率的估计较差。可以考虑基于观察到的q值的理论估计来决定块大小。例如,如果原始差错估计约为
6%,则可以使用长度为10的块,因为在该情形中奇偶校验比特不匹配的概率约为36%,这很大,但仍低于50%,这意味着奇偶校验数据揭示了很多关于真实差错率的信息。
[0233]
在估计差错率之后,alice 1和bob 2可执行纠错规程。为此,他们可以使用以下文献中所描述的低密度奇偶校验(ldpc)码:d.j.c.mackay所著的“information theory,inference and learning algorithms(信息理论、推理和学习算法)”;剑桥大学出版社,2003年。此类码的输入是每个比特位置处的0或1的概率以及正确比特串的校正子(syndrome)——足以纠错的奇偶校验比特集合,考虑到了每个位置的先验概率。ldpc码尤其适合零差测量后的纠错,因为测量结果q本身允许计算正确和错误结果的概率。
[0234]
在alice 1和bob 2纠正原始密钥的一部分(可能小部分)中的差错之后,他们可以考虑该部分中的差错数,从而对剩余密钥产生更准确的差错估计。我们提出以下自适应规程:
[0235]
alice 1和bob 2首先取原始(original)原始密钥的相对短的子集(其大小取决于码字的长度,例如1,000比特),并应用为高差错率而设计的纠错规程(例如,在初步粗略估计给出仅5%差错概率的情形中为10%)。在纠正该小子集中的差错之后,alice 1和bob 2知晓其中的差错数,并且对密钥的剩余部分有更好的差错率估计。然后,他们可以取另一短的子集(例如,再一次,1,000比特)并根据新改进的差错率估计执行纠错,依此类推。随着每次迭代,差错估计变得更准确,从而使纠错规程更高效。该方法可以在根本没有初始差错估计的情况下应用,其可为alice 1和bob 2节省大部分原始密钥。
[0236]
纠错规程公开了一些关于密钥的信息。对于像ldpc码这样的线性码,一个校正子比特公开的关于密钥的信息不超过一比特,因此校正子长度是信息泄漏的恰适上界。
[0237]
6.隐私放大
[0238]
虽然在纠错规程之后alice 1和bob 2共享相同的比特串,但该串可以与eve 5相关,因此不应将其用作最终秘密密钥。以下文献所描述的密钥净化(distillation)规程旨在根除eve 5的信息并产生新的更短的比特串:c.h.bennett等人所著的“privacy amplification by public discussion(通过公开讨论的隐私放大)”;siam j.comput.17(2):210-229,1988年4月;以及g.brassard和l.salvail所著的“secret-key reconciliation by public discussion(通过公开讨论的秘密密钥协调)”;proc.eurocrypt’93,springer 1994,第410-423页。这个新字符串最终可用作秘密密钥,因为eve 5不拥有任何(或几乎任何)关于它的信息。
[0239]
例如,为了消除窃听方信息,alice 1和bob 2可使用通用散列方法。该方法要求他们最初就散列函数h∈h的族h达成一致。在隐私放大阶段,他们从这个族中随机选择这样一个函数h:其将长度为l1的原始比特串映射到长度为l2的最终密钥。如果eve 5知晓原始密钥中的e个比特,则l2必须等于l
1-e。原始比特串与在后选择和纠错之后从所接收到的第一电磁脉冲序列6获得的共享比特序列对应。
[0240]
h的一个示例是toeplitz矩阵族。alice 1和bob 2可使用具有l1行和l2列的随机二进制toeplitz矩阵t。然后他们将他们的(原始)比特串表示为二进制向量v,并且最终密钥k由下式给出
[0241]
k=t
·
v.
[0242]
7.eve的攻击
[0243]
下面介绍窃听方eve 5的分束器模型:
[0244]
让我们演示一下协议在eve 5执行分束器攻击的情况下的操作,该分束器攻击在沿光线路3的某处捕获部分信号。
[0245]
在这里,我们将使用术语“分束器”来指代eve 5介入线路3的点。假设分束器是理想的,这意味着在alice 1的方向上没有反射。如果入射到分束器的信号(输入)强度为1,则强度re进入eve 5(第一输出),且强度1-re前往bob 2的方向(第二输出)。
[0246]
图5示意性地示出了(a)对协议的分束器攻击;eve 5在沿光路3的某处捕获部分信号;以及(b)等效于(a)的方案,其中在eve 5介入的点之前和之后的损耗和放大器4分别由参数{t1,g1}和{t2,g2}所定义的两对损耗和放大信道3.1、4来表示。
[0247]
7.1损耗和放大器
[0248]
两个相邻放大器4之间的距离d上所传送信号的比例由损耗因子确定t=10-μd
,
ꢀꢀꢀꢀꢀꢀꢀ
(37)
[0249]
其中μ=1/50km-1
是光纤的典型损耗的参数。损耗因子也可以表示为t=1-r0,其中r0对应于两个相邻放大器4之间的通信信道3中发生的固有损耗。如前所述,每个放大器的放大因子为g=1/t。令d
ab(ae)
为alice 1与bob 2(alice 1与eve 5)之间的距离,则分束器m1和m2前后的放大器4的数目由下式给出
[0250]
m1=d
ae
/d,
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(38)
[0251]
m2=(d
ab-d
ae
)/d.
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(39)
[0252]
根据来自2.3节的声明3且如图5中的b所示出的,该方案可以通过将分束器前后的损耗和放大简化为分别具有参数{t1,g1}和{t2,g2}的两个损耗和放大对来精简:
[0253][0254]
下面,描述用于确定至少一个加密参数和加密协议的预期密钥生成率lf/l的信息论模型:
[0255]
7.2系统状态的演变
[0256]
本公开的这一节描述了组合系统状态的渐进演进。alice 1的随机比特的初始状态(a)——她的随机数生成器——和对应信号(s)由下式给出
[0257][0258]
当信号经历与损耗和放大相关联的变换时,刚好在信号通过分束器之前的as系统的状态由下式给出
[0259][0260]
定义
[0261][0262]
我们可将式(42)重写为
[0263][0264]
刚好在信号通过分束器之后,包括alice 1的随机比特(a)、去往bob 2的信号(s)和eve 5捕获的信号(e)的联合系统的状态被描述为
[0265][0266]
其中
[0267][0268]
并且re是eve 5窃取的信号的比例。在信号经历损耗和放大器的第二序列之后并且刚好在其由bob 2测量之前,联合系统的状态为
[0269][0270]
其中
[0271][0272]
bob 2可接收信号,可对其进行测量,并且可以与alice 1一起执行后选择,这涉及通过经典通道7进行通信来丢弃与失败结果相关联的比特。给定alice 1发送的比特是a={0,1},bob 2的测量结果是b={0,1}的概率可被写为
[0273][0274]
其中
[0275][0276]
因此,确定性结果(其意味着比特在后选择阶段将不会被丢弃)的概率为
[0277][0278]
在后选择之后(即,以成功的测量结果为条件)的alice 1的随机比特(a)、bob 2的存储设备存储测量结果(b)和eve 5窃取的信号(e)的最终状态是
[0279][0280]
其中
[0281]
[0282]
7.3概率
[0283]
下面介绍概率模型以便描述后选择、纠错和隐私放大的步骤:
[0284]
为了获得概率p(b|a),a,b∈{0,1},我们必须首先计算|《β|q》|2:
[0285][0286]
在将|《β|q》|2代入等式(49),(50)之后,我们获得
[0287][0288][0289][0290][0291]
其中
[0292][0293]
7.4 eve的信息
[0294]
本节估计在后选择之后但在纠错阶段之前的eve 5的关于原始密钥(每1比特)信息(即,窃听方5与发送单元1之间的互信息):
[0295][0296]
条件熵由ae系统的最终密度矩阵确定,其在等式(52)中给出并且利用以下事实
[0297]
p
α
(0|0) p
α
(1|0)=p-α
(0|1) p-α
(1|1),
ꢀꢀꢀꢀꢀ
(61)
[0298]
可被写为
[0299][0300]
其中
[0301][0302]
为了找到eve 5的熵的下界(并因此估计她的关于密钥的信息的最大值),公开考虑了其中eve 5具有变量α(re)的一些辅助寄存器并引入联合aere状态的情况:
[0303][0304]
这里,寄存器状态满足《reg(α)|reg(α
′
)》=δ
(2)
(α-α
′
)。需要注意的是,首先,通过跟踪寄存器,规程恢复ae系统的原始状态
[0305][0306]
其次,条件熵的单调性意味着
[0307][0308]
其仅表明,在丢弃寄存器之后,eve 5只能丢失有关已发送比特的信息。为此,通过找到我们可以获得上的下界。
[0309]
矩阵可以重写为
[0310][0311]
其中和是的本征值和本征态。我们因此获得
[0312][0313]
其中c是附加的校正项,我们不需要明确计算。以相同方式,我们获得
[0314][0315]
组合这两个表达式,我们获得
[0316][0317]
其中h(p)=-p log(p)-(1-p)log(1-p)是二进制熵。
[0318]
我们现在可以使用jensen不等式
[0319]
《h(x)》≤h(《x》)
→
1-《h(x)》≥1-h(《x》),
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(71)
[0320]
其中
[0321]
[0322]
其中
[0323]
我们发现
[0324][0325]
其中∈
1,2
≡g
1,2-1.
[0326]
通过将等式(73)代入等式(72)并使用等式(60),本节描述的方法获得了eve 5的信息的上界。
[0327]
7.5 bob的差错率
[0328]
本节估计bob 2的差错率。bob 2在后选择之后但在纠错之前关于密钥的每1比特的信息(即,发送单元1与接收单元2之间的互信息)由下式给出
[0329][0330]
并且理想情况下应等于1。因此,bob 2的差错率由条件熵确定:
[0331][0332]
由等式(52)得到
[0333][0334][0335]
并且概率p(b|a)和由等式(55)至(58)和(51)给出。需要注意,后选择是对称的,
[0336][0337]
于是
[0338][0339]
其中
[0340]
h(p)=-plog(p)-(1-p)log(1-p)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(80)
[0341]
再次是二进制熵。
[0342]
在纠错规程之后,bob 2的关于密钥的信息变为但eve 5的信息增加,并且可将其估计为
[0343][0344]
8.密钥率
[0345]
本节估计在后选择、纠错和隐私放大之后最终密钥的长度lf:
[0346][0347]
等式(82)确定了最终密钥生成率,并且表示信息论模型的主要结果。该等式就其显式形式(该显式形式太繁琐以至于无法在这里说明)而言包括两个参数——信号的幅度γ和测量参数θ——alice 1和bob 2可取决于re来变化这两个参数以确保最佳速率(例如,通过在数值上最大化等式(82)中的函数)。此外,正如我们从7.1节中回忆的那样,等式(82)还包括两个相邻放大器4之间的距离d以及动作参与方之间的距离d
ab
和d
ae
——这些是我们认为固定的参数。
[0348]
等式(82)还取决于空间分离的放大器的数目m和空间分离的放大器4的放大因子g。因此,这些参数构成信息论模型的输入参数。
[0349]
图6绘制了针对两个相邻放大器4之间的不同距离值d(即,(a)d=10km,(b)d=20km和(c)d=30km)的因变于re的lf/l。假设alice 1与bob 2之间的距离是固定的,d
ab
=1,000km。图6中所绘制的不同曲线对应于alice 1与eve 5之间从最小距离(顶部曲线)到最大距离(底部曲线)变化的距离d
ae
。对于re的每个值,参数γ和θ使得它们最大化lf/l。由于存在放大器所施加的相关,对于eve 5,拦截bob 2附近的信号是有益的。如果则可以建立安全且快速的通信,因此alice 1和bob 2可允许eve5窃取不超过几个百分点。
[0350]
类似地,图7示出了针对alice 1与bob 2之间的不同距离值d
ab
(即,(a)d
ab
=10,000km,(b)d
ab
=20,000km和(c)d
ab
=40,000)的因变于re的lf/l,假设我们可以在技术上以第3节中讨论的理论上允许的精度来测量re。图7中所绘制的不同曲线再次对应于alice 1与eve 5之间从最小距离(顶部曲线)到最大距离(底部曲线)变化的距离d
ae
。假设相邻放大器4之间的距离是固定的,d=50km。信号的幅度γ从针对re=0.0的104变化到针对re~10-5
的102。
[0351]
图8示出了根据一实施例的所提出方法的步骤s1至s4的示意流程图。
[0352]
在步骤s1中,电磁测试脉冲从发送单元1经由通信信道3传送至接收单元2。
[0353]
在步骤s2中,基于在接收单元2处检测到的电磁测试脉冲确定由窃听方5在通信信道3中造成的信号损耗re。
[0354]
在步骤s3中,加密协议的加密参数,即相干态幅度γ和最小绝对值θ(测量参数)通过使用用于预期密钥生成率lf/l的信息论模型关于加密参数和最小绝对值θ最大化预期密钥生成率lf/l来确定。所确定的信号损耗re和空间分离的放大器4的放大参数,即空间分离的放大器的数目m、放大因子g、两个相邻放大器4之间的距离d以及距离d
ab
和d
ae
作为等式(82)中的信息论模型的输入参数被纳入考虑。
[0355]
在步骤s4中,第一电磁脉冲序列6通过空间分离的放大器4经由通信信道3从发送单元1传送至接收单元2以用于建立共享秘密密码密钥,其中第一电磁脉冲序列6中的每个所传送的电磁脉冲根据加密协议与随机比特序列的比特对应。
[0356]
图9是根据一实施例的被配置为执行所提出的方法的步骤的通信装置的示意图解。
[0357]
图9中所描绘的通信装置包括发送单元1、接收单元2、通信信道3、多个空间分离的放大器4和经认证的公共经典信道7。发送单元1包括电子评估和控制单元1.1和电磁辐射源1.2。接收单元2包括电子评估和控制单元2.1以及检测和测量单元2.2。
[0358]
发送单元1的电子评估和控制单元1.1包括经典随机数发生器(未示出),其被配置为生成随机比特序列。电子评估和控制单元1.1被进一步配置为通过基于等式(82)最大化预期密钥生成率lf/l确定加密协议的加密参数和最小绝对值θ(测量参数)。
[0359]
发送单元1的电磁辐射源1.2用于根据加密协议生成第一电磁脉冲序列6和电磁测试脉冲。发送单元1的电磁辐射源1.2被进一步配置为将第一电磁脉冲序列6和电磁测试脉冲传送至接收单元2。
[0360]
接收单元2的检测和测量单元2.2被配置为检测和测量至少所传送和接收到的第一电磁脉冲序列6的相位以及所传送和接收到的电磁测试脉冲的强度。
[0361]
接收单元2的电子评估与控制单元2.1被配置为基于接收单元2处检测到的电磁测试脉冲来确定由窃听方5在通信信道3中造成的信号损耗re。
[0362]
通信信道3包括多条传输线。空间分离的放大器4被集成(直列)到通信信道3中。经认证的公共经典信道7被配置为将反馈信息从接收单元2传送至发送单元1,且反之亦然,以用于执行后选择、纠错和隐私放大。
[0363]
9.估计
[0364]
以下为电磁脉冲的光子数和波动提供了简单而透明的数值估计以便示例说明所提出的方法。一个示例性情形估计了电磁脉冲的强度,该强度允许电磁脉冲的稳定传输和放大,而不会以最小的生成噪声扭曲其形状和相位,并且与此同时保存针对窃听的保护程度。
[0365]
更具体地,该方法考虑了长度为20,000km的代表性传输线。通常,放大器4之间的确切最优距离例如通过计算来确定。这里,作为示例,该方法考虑标准电信距离d=50km。在这个距离上,信号可能会下降至1/10(传输概率t=0.1)。相应地,放大系数为g=10。在初始测试信号携带个光子的情形中,光子数在50km之后下降到放大器将其恢复回个光子,但会增加噪声。由于光子遵循泊松统计,放大之前的波动为这些波动也被因子g放大,从而产生
[0366][0367]
通过独立添加波动的m个放大器4的序列进行传输,总波动增加了倍,因而对于20,000km线路上的m=400个放大器4,产生20倍的波动增加。因此,bob 2端的波动为
[0368][0369]
最后,该方法产生最小可检测泄漏
[0370][0371]
示例性地,这里考虑强度加密而不是相位加密。如果eve 5捕获包括~1个光子的信号部分(捕获alice 1附近的信号),则对应的阶单位相对误差将使eve 5无法区分alice 1传送的不同电磁脉冲,前提是他们的强度具有相似的数量级。
[0372]
因此,难以窃听的脉冲优选地包括个光子。在该情形中,bob 2处的波动相当于
[0373][0374]
并且
[0375]
δn/n≈0.15.
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(87)
[0376]
因此,特别是考虑到由bob 2和alice 1执行的附加后处理措施(如上面进一步所阐述的),从alice 1到bob 2的传输无法被eve 5高效地拦截。可扩展性表现为线路长度的平方根这一事实能够在40,000km的全球距离上安全地传送可解密的信号。
[0377]
实施例和附图的描述仅用于示例说明本公开的技术及其实现的优点,而不应理解为暗示任何限制。本公开的范围将基于所附权利要求来确定。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
