CN113302875A - 量子密钥分发中校准可信噪声 - Google Patents
量子密钥分发中校准可信噪声 Download PDFInfo
- Publication number
- CN113302875A CN113302875A CN201980089445.2A CN201980089445A CN113302875A CN 113302875 A CN113302875 A CN 113302875A CN 201980089445 A CN201980089445 A CN 201980089445A CN 113302875 A CN113302875 A CN 113302875A
- Authority
- CN
- China
- Prior art keywords
- noise
- quantum
- detector
- electrical
- optical signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Optical Communication System (AREA)
Abstract
提供一种用于在量子密钥分发系统中操作的接收器。该接收器包括:检测器,用于从所接收的光信号中生成电信号;电气线路,用于处理电信号;控制器,用于耦合电气线路和检测器或将电气线路与检测器解耦,以及,噪声估计器,用于当将电气线路与检测器解耦时,估计电气线路的噪声。
Description
技术领域
本发明的实施例涉及量子密钥分发(QKD)领域。
背景技术
QKD是一种能使相距遥远的两个合法方以一种方式建立一个公共(或共享)密钥的技术,即考虑到量子力学定律,防止窃听所使用的通信信道。
具体地说,共享密钥是两个合法方都知道而其他任何人都不知道的信息。由于共享秘密(密钥)仅是合法方所知晓的,因此它在密码学中起着关键作用,并在其中有许多应用,如安全通信,例如消息的加密,解密和消息身份验证。
在光数据通信中,窃听者,通常称为Eve,可以获取关于从发送方传输给接收方,通常分别称为Alice和Bob,的信号(例如,密钥),例如,通过拆分和检测携载光的信息的一小部分。
在非QKD系统中,远程双方之间的密钥交换的安全通常基于非对称加密,这取决于某些数学问题的计算复杂性,例如Diffie-Hellman密钥交换或Rivest-Shamir-Adleman公钥秘密体制。但是,一旦有足够强大的(量子)计算机可用或已经取得了数学上的进展(例如,更有效的算法),这些密钥分发方法可能会变得不安全。更糟糕的是,如果窃听者已经记录了密钥交换,则使用与这些方法一起分发的密钥加密的所有数据都可能遭到追溯性地破坏。
另一方面,在QKD中,密钥分发的安全由量子力学定律及其后果保证,尤其值得注意的是海森堡的《不确定性原理和非克隆定理》。不确定性原理指出不能以任意精度同时获知某些变量,这意味着测量一个变量会破坏关于其他变量的信息。因此,当Eve对所传输的信号进行测量时,她不可避免地会通过引入传输错误而留下痕迹。非克隆定理指出未知的量子态不可能完美地复制,例如,以光的偏振自由度编码的信号(或其一部分),其中,势编码态是非正交的。因此,也不可能通过对完美的副本进行测量来规避不确定性原理。
因此,简言之,监听发送方和接收方之间的通信的窃听者的存在不可避免地留下了痕迹,该痕迹可以通过观察传输信道中的传输错误(或,等效地,噪声)和损耗数量来检测。在QKD中,这一点可以通过基于所观察到的噪声计算任何窃听者都可访问的信息的上限来利用。如果该上限足够小,则可以从在发送方和接收方之间共享的信息中提取共享密钥。在某些条件下,这种共享密钥的提取可以证明信息在理论上是安全的。
QKD系统可以分为离散变量QKD(DV QKD)系统和连续变量QKD(CV QKD)系统。在DVQKD系统中,从中提取共享密钥的信息以离散变量编码,该离散变量理想情况下通常是单光子的偏正/自旋自由度,例如在BB84协议中。但是,单光子源和检测器昂贵且难以小型化。另一方面,在CV QKD系统中,从中提取共享密钥的信息以连续变量编码。相应地,CV QKD协议通常基于光的相干态或压缩态的传输,其中,所述信息以所传输的光/电磁场的正交(相位和幅度)编码。因此,在接收方处,可以使用强本地振荡器(LO)通过相干检测(例如,零差,内差或外差检测)来测量所接收的信号。因此,CV QKD与当前电信系统中使用的标准组件和设备更加兼容,甚至可以同时使用相同的光纤用于QKD和传统信号传输。
发明内容
本申请的实施例提供了根据独立权利要求用于接收信号的装置和方法。
通过独立权利要求的主题实现前述目的和其他目的。根据从属权利要求、说明书和附图,进一步的实现形式是显而易见的。
特别地,根据第一方面,提供一种用于接收光信号的装置。所述装置用于在量子密钥分发系统中操作,以及,包括检测器,用于从所述光信号中生成电信号;电气线路,用于处理所述电信号;控制器,用于将所述电气线路和所述检测器耦合或将所述电气线路与所述检测器解耦;以及第一噪声估计器,用于当将所述电气线路与所述检测器解耦时,估计所述电气线路的第一噪声。
这样,可以确定电气线路的估计噪声是传统噪声,该噪声可以允许不将估计噪声归因于窃听者,而不会冒共享密钥不安全的风险。同将全部/整个噪声归因于Eve的严格安全模型中相比,这可能具有获得更大的共享密钥(或共享密钥率)的好处。同时,可以维持这种严格模型的安全级别。
在第一方面的另一种实施方式中,所述装置还包括原始密钥生成器,用于从所述电气线路处理的所述电信号中生成原始密钥;以及量子噪声估计器,用于通过从所述原始密钥的噪声中减去所述第一噪声,估计所述光信号的第二噪声,其中,所述第二噪声的估计包括量子过剩噪声。
在任一种上述示例性实施方式中,所述控制器还用于,在所述光信号的接收周期期间,对于一个或多个时间周期,将所述检测器与所述电气线路解耦;以及所述第一噪声估计器还用于,在所述光信号的所述接收周期期间,以及当将所述检测器与所述电气线路解耦时,估计所述第一噪声。
在光信号的接收期间,估计电气线路的噪声可以增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在任一种上述示例性实施方式中,特别地,其中,所述控制器用于,在所述光信号的接收周期期间,将所述检测器与所述电气线路解耦,所述一个或多个时间周期有预定,预定义的或随机的长度。
该措施可以进一步增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在任一种上述示例性实施方式中,特别地,其中,所述控制器用于,在所述光信号的接收周期期间,将所述检测器与所述电气线路解耦,所述一个或多个时间周期可以以预定的,预定义的或随机的方式分布在所述光信号的所述接收时间周期上。
该措施可以进一步增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在任一种上述示例性实施方式中,所述装置还用于在连续变量量子密钥分发系统中操作。
在任一种上述示例性实施方式中,所述检测器还使用用于相干检测的本地振荡器对所述光信号执行测量,从而从所述光信号中生成所述电信号。
在任一种上述示例性实施方式中,特别地,在那些使用本地振荡器用于相干检测的情况下,所述设备还包括调制器,随机地调制所述本地振荡器的相位和/或振幅。
通过随机地调制本地震荡器的相位和/或振幅,将量子过剩噪声和电气线路的估计噪声视为非相关的(即便它们是相关),可能是合理的。这可以允许通过从原始密钥的噪声中减去电气线路的估计噪声来准确地估计量子过剩噪声,即便量子过剩噪声和电气线路噪声相关(此处忽略其他噪声,例如散粒噪声,也可以从原始密钥的噪声中减去)。
在任一种上述示例性实施方式中,所述控制器包括电开关。
在任一种上述示例性实施方式中,所述电气线路包括放大器。
根据第二方面,提供一种用于接收光信号的方法。所述方法用于量子密钥分发系统,以及,包括以下步骤:当接收到光信号时,使用检测器,从所述光信号中生成电信号;当接收到所述光信号,以及当所述检测器和电气线路耦合时,使用所述电气线路,处理所述电信号;以及控制以将所述电气线路和所述检测器耦合或将所述电气线路与所述检测器解耦;以及当将所述电气线路与所述检测器解耦时,估计所述电气线路的第一噪声。
这样,可以确定电气线路的估计噪声是传统噪声,该噪声可以允许不将估计噪声归因于窃听者,而不会冒共享密钥不安全的风险。同将全部/整个噪声归因于Eve的严格安全模型中相比,这可能具有获得更大的共享密钥(或共享密钥率)的好处。同时,可以维持这种严格模型的安全级别。
在第二方面的另一种实施方式中,所述方法还包括以下步骤:从所述电气线路处理的所述电信号中生成原始密钥;以及通过从所述原始密钥的噪声中减去所述第一噪声,估计所述光信号的第二噪声,其中,所述第二噪声包括量子过剩噪声。
在任一种上述示例性实施方式中,在所述光信号的接收周期期间,对于一个或多个时间周期,执行将所述检测器与所述电气线路的解耦;以及,在所述光信号的所述接收周期期间,以及当将所述检测器与所述电气线路解耦时,执行对所述第一噪声的估计。
在光信号的接收期间,估计电气线路的噪声可以增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在上述示例性实施方式中,特别地,其中,所述控制器用于,在所述光信号的接收周期期间,将所述检测器与所述电气线路解耦,所述一个或多个时间周期有预定,预定义的或随机的长度。
该措施可以进一步增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在任一种上述示例性实施方式中,特别地,其中,所述控制器用于,在所述光信号的接收周期期间,将所述检测器与所述电气线路解耦,所述一个或多个时间周期可以以预定的,预定义的或随机的方式分布在所述光信号的所述接收时间周期上。
该措施可以进一步增加电气线路的估计噪声对于在光信号的接收期间经历的电气线路的噪声的代表性。
在任一种上述示例性实施方式中,所述方法还用于连续变量量子密钥分发。
在任一种上述示例性实施方式中,所述方法还包括以下步骤,使用用于相干检测的本地振荡器对所述光信号执行测量,从而从所述光信号中生成所述电信号。
在任一种上述示例性实施方式中,特别地,在那些使用本地振荡器用于相干检测的情况下,所述方法还包括以下步骤,随机地调制所述本地振荡器的相位和/或振幅。
通过随机地调制本地震荡器的相位和/或振幅,将量子过剩噪声和电气线路的估计噪声视为非相关的(即便它们是相关),可能是合理的。这可以允许通过从原始密钥的噪声中减去电气线路的估计噪声来准确地估计量子过剩噪声,即便量子过剩噪声和电气线路噪声相关(此处忽略其他噪声,例如散粒噪声,也可以从原始密钥的噪声中减去)。
根据第三方面,提供一种计算机程序产品,包括程序代码,当所述程序代码由处理器运行时,用于执行根据第二方面和其任一实施方式所述的方法。
附图说明
参照附图更详细地描述了本发明的以下实施例,其中:
图1是示出示例性QKD协议的总体结构的示意性流程图;
图2是示出在QKD系统中的噪声的影响的示意图;
图3是示出包括开关的QKD接收器的框图;
图4是示出局部预校准相位的示意图;
图5是示出分布式校准相位的示意图;
图6是示出光电转换后的电子开关的示例结构的框图;
图7是示出示例性CV-QKD传输器和外差QKD接收器的框图;
图8a是示出串联本地振荡器的示意图;
图8b是示出在接收器侧实现的本地震荡器的示意图;
图9是示出没有将相位调制应用到本地震荡器的示例性QKD接收器的框图;
图10是示出将随机相位应用到本地震荡器的示例性QKD接收器的框图;以及
图11是示出包括开关和相位调制器的QKD接收器的框图。
在下文中,相同的附图标记指代相同或至少功能等同的特征。
具体实施方式
下面结合相应附图,进行描述,附图作为本公开的一部分,描述性地示出了本发明的实施例的具体方面或其中可以使用本发明的实施例的具体方面。应当理解,本发明的实施例可以用在其他方面,并包括未在图中描述的结构或逻辑变化。因此,下面的详细描述不应被理解为限制性的,且本发明的实施例的范围由所附权利要求限定。
例如,应理解,与所述方法相关的公开也可适用于配置为执行该方法的对应设备或系统,反之亦然。例如,如果描述了一个或多个特定的方法步骤,相应的设备可以包括一个或多个单元,例如功能单元,以执行所描述的一个或多个方法步骤(例如,一个单元执行一个或多个步骤,或多个单元中每个单元执行多个步骤中的一个或多个),即使没有在附图中明确地描述或示出这样的一个或多个单元。另一方面,例如,如果基于一个或多个单元,例如功能单元,描述特定的装置,相应的方法可以包括一个步骤,以执行一个或多个单元的功能(例如,一个步骤执行一个或多个单元的功能,或多个步骤中每个步骤执行多个单元中的一个或多个的功能),即使没有在附图中明确地描述或示出这样的一个或多个步骤。此外,应理解,除非另有特别说明,否则本文中描述的各示例性实施例和/或方面的特征可以彼此组合。
通常,如图1的示意性说明,QKD协议要求传输设备(Alice)和接收设备(Bob)可以通过两个不同的传输信道,即量子信道和(传统)公开信道,进行通信。在QKD的上下文中,量子信道是可以提供更高隐私性的光信道,而公开信道可以是任何介质(光或电,有限或无线)上的信道。公开信道经过身份验证,以使Alice和Bob能够检测到所有窃听者进行的任何缓和尝试(tempering attempts)。
在量子信道中,利用量子力学的特性来检测通过所述信道传输的信号的窃听。因此,量子信道提供了(更高的)隐私性。这些受到量子力学定律“保护”的信号此后称为量子信号。根据在量子信道中利用的特定的量子力学原理,QKD协议可分为准备—再测量协议和基于纠缠源协议。
准备—再测量协议通常基于使用单独的未纠缠信号来导出密钥。在这些协议中,Alice生成量子信号(例如,通过以电磁场的量子态115编码信息),然后将其发送给Bob。Bob对所接收的量子信号执行测量120(例如,使用检测器),特别是在Eve窃听的情况下,可以将该信号推断为来自与Alice发送的量子信号不同的量子态。
基于纠缠源协议通常基于量子纠缠。在这些协议中,生成了纠缠量子态(不一定是由/在Alice或Bob处生成),每个纠缠量子态包括至少两个纠缠粒子(例如,偏振光子)。Alice和Bob各自接收这种纠缠量子态的至少一个纠缠粒子,并对其执行测量。在这种情况下,可以通过提高错误率或测试Bell的不等式来检测窃听。
公开信道是传统信道,即没有利用量子力学的特性来检测窃听,因此,在该信道中传输的信号的强度可能比量子信号的强度高得多。因此,在安全分析中,通常假定Eve知晓Alice和Bob之间在公开信道上交换的任何消息。但是,这些消息始终需要通过身份验证,因而,Alice和Bob会检测到Eve修改消息的任何尝试,从而触发他们来中止QKD程序。如下所述,公开信道是任何QKD协议的重要部分,因为它用于例如QKD后处理190。
在下文中,参考图1中所示的示例讨论准备-再测量协议的通用结构。
对应于发送设备(即图1的左侧)的Alice使用随机数生成器100生成原始密钥105,此后也称为Alice的原始密钥105。通常,在本公开中,密钥可以是符号或位的字符串(例如,序列)。然后,Alice在光信号(例如,光,电磁波,光子)的量子态115上对她的原始密钥105进行编码110,从而生成量子信号。根据Alice的原始密钥105生成的量子信号(例如,量子态115)在量子信道上发送给Bob,即接收设备。当接收到量子信号时(所接收的量子信号通常与发送的量子信号不同),Bob会对所接收的量子信号执行测量120,从而获得原始密钥125,此后也称为Bob的原始密钥125。
在Bob基于测量120的结果生成原始密钥125之后,Alice和Bob各自有一个原始密钥。但是,Alice的原始密钥105通常与Bob的原始密钥125不同。此外,Alice的原始密钥105和Bob的原始密钥125通常对于潜在的窃听者来说都不是(绝对的)秘密(不能排除窃听者已经获得了有关原始密钥105和125中的一个或全部的信息)。
出于这一原因,Alice和Bob随后执行QKD后处理190。通常在传统计算设备上执行的QKD后处理190是一个允许Alice和Bob从两个原始密钥(Alice的原始密钥105和Bob的原始密钥125)中生成共享密钥195的过程。在QKD后处理190期间,Alice和Bob之间交换的任何信息都是通过公开信道交换的。QKD后处理190通常包括信息协调150或160,以及保密增强170或180。下面依次概述了这些步骤。值得注意的是,根据所使用的QKD协议,QKD后处理190还包括筛选步骤/阶段(图1中未示出)。
值得注意的是,参数估计步骤140,信息协调160和保密增强步骤180由Alice执行,而参数估计步骤130,信息协调150和保密增强步骤170由Bob执行。通常,Alice在QKD后处理期间执行的这些步骤可能与Bob在QKD后处理期间执行的各个步骤相对应(根据QKD协议,它们甚至可以相同)。但是,就参数估计而言,当然只有Bob可以估计Bob的接收器的噪声。同样,只有Alice能够估计传输器激光器(如果需要的话)的噪声或为Bob提供用于数字处理的关于所述传输器激光器的相位信息。然后,这样的信息(Alice/Bob中仅有一人可以获得)可能必须作为参数估计信息135在Alice和Bob之间交换。
信息协调150或160可以包括错误估计相位并包括错误校正相位。
在错误估计阶段(或参数估计阶段130)中,Alice和/或Bob估计原始密钥(Alice的原始密钥105和/或Bob的原始密钥125)的(总)错误/错误率。更具体地,总错误可以是Alice的原始密钥105和Bob的原始密钥125之间的差的计数/数目(例如,一个原始密钥105或125的位/符号有与相应的另一个原始密钥105或125的对应的位/符号不同的值)。错误率可以是,例如所述错误总数除以相应的原始密钥105或125的(总)长度。因此,原始密钥105或125的总错误或总噪声包括监听引起的错误以及在传输线(光纤,检测器等)中的缺陷引起的错误。
值得注意的是,通常,在本公开中,由于原始密钥105和125之间的任何差异/错误都可以解释为由对应的噪声所引起,因而术语错误和噪声可以互换使用。
为了估计原始密钥105或125的所述总噪声,此后简称为总噪声,Alice和/或Bob必须公开一些关于通过公开信道的原始密钥105和/或125中的一个或全部的信息(参数估计信息135),该信息优选地是随机选择的。然后,Alice和/或Bob可以将他们自己的原始密钥105或125的对应的信息(位/符号)与通过公开信道获得的关于其他原始密钥105或125的信息进行比较,这允许了Alice和/或Bob估计总噪声。
例如,Alice可以通过公开信道宣布/公开其原始密钥105的符号/位的随机选择的子集。例如,Bob然后将Alice的原始密钥105的所述子集与他自己的原始密钥125的对应子集进行比较。因此,Bob可以确定两个子集之间的错误数量。通过以这种方式确定的错误数量除以公开的子集的长度(公开的子集的位/符号数量)。Bob还可以估计其(整个)原始密钥125的错误率。此外,例如,通过将该错误率乘以其原始密钥125的长度,Bob可以获得其原始密钥125中总噪声的估计。
如果子集足够大并且是随机选择的(当然,没有选择两个子集,一个子集完全确定另一个子集),则可以预期总噪声的估计是准确的。
值得注意的是,可能没有必要估计每个信息协调150中的总错误,例如,在先前的信息协调150中获得的总错误(例如,针对另一组原始密钥105和125执行的信息协调150)可以用于估计当前信息协调150的总噪声。
通常,参数估计阶段130或140可以包括计算统计数据的所有阶段/步骤,例如,量子过剩噪声(如下所述)和/或信道损耗。通常,参数估计步骤段130也可以包括量子过剩噪声的估计,以下将其描述为隐私放大170的一部分。
在错误校正阶段,Alice和Bob从Alice的原始密钥105和Bob的原始密钥125生成/创建共享密钥165。更具体地,在错误校正步骤的结尾,Alice和Bob很有可能共享同样的(例如,相同的)密钥。作为错误校正步骤的结果,从Alice的原始密钥105和Bob的原始密钥125获得的所述同样的密钥此后称为共享密钥165。
值得注意的是,在错误校正步骤中,Alice和Bob试图纠正任何错误,无论它们是否由窃听引起(即,它们是“自然”噪声,例如,传输线检测器中的缺陷等)。
同样值得注意的是,Alice是否“校正”她的原始密钥105(改变她的原始密钥105中的与Bob的原始密钥125的对应位/符号不同的位/符号,以使改变之后的位/符号匹配Bob的原始密钥125的对应比特/符号),Bob“校正”其原始密钥125,或其组合。原则上,由于原始密钥105和125没有固有含义(通常Alice的原始密钥105是随机生成的),错误的(例如,不同的)位/符号也可以同时从原始密钥105和125中去除。
为了执行错误校正,如在上面的估计步骤中一样,Alice和/或Bob必须在公开信道上公布关于他们各自的原始密钥105和/或125的信息155。但是,已经公开的单个位/符号不能用于增加密钥的大小(将在下一个步骤中生成)。
因此,诸如级联协议等技术,其中经由公开信道比较位的块的奇偶校验(例如,奇偶校验位)。如果发现错误,则只需要执行二进制搜索以查找错误。此时,将包含(更具体地说,至少一个)错误的块减半,并将Alice和Bob各自的一半的奇偶校验进行比较。这样,将在二进制搜索的每个步骤中包括错误的间隔减半。
通常,在信息协调之后,Eve至少有关于共享密钥165的部分信息。首先,为了校正错误并先获得共享密钥165,关于共享和/或原始密钥的信息在信息协调150期间经由公开信道传输,特别地,在错误校正期间,Eve可以获得所有可能的奇偶校验信息。在合理的安全分析中,假定在公开信道上交换的所有这些信息对于Eve都是已知的。因此,通常在错误校正之后执行保密增强170。其次,在密钥传输期间,Eve也可以通过在量子信道上窃听来获得信息(因而引入额外的噪声/错误)。
在保密增强170中,Eve关于共享密钥165的信息减少了(即,有效地消除了)。更具体地,在保密增强170中,Alice和Bob以这样的方式从共享密钥165中生产新的,更短的密钥,以使Eve很有可能只有关于新的密钥的可忽略的信息,该密钥此后称为共享密钥195。当然,如果Eve的关于共享密钥165的信息不是部分的(例如,如果Eve有关于共享密钥165的完整信息),则不能生成这样的共享密钥195。为了执行下面描述的保密增强170的各个步骤,通常,Alice和Bob可以交换保密增强信息175。
为了生成共享密钥195,Alice和Bob首先必须估计Eve可能已经获得了多少关于共享密钥165的信息。
在已经估计了Eve关于共享密钥165的信息之后,可以使用通用哈希函数生成共享密钥195,该通用哈希函数是从这些函数的公知集合中随机选出的,它将长度等于共享密钥165的二进制字符串作为其输入,并输出选择的长度更短的二进制字符串(例如,输出共享密钥195)。根据上述Eve可以获得的关于共享密钥165的信息量,计算共享密钥195相对于共享密钥165缩短的数量:这样,Alice和Bob很可能可将Eve关于共享密钥195的信息减少到任意小的值(更高的可能性和/或更小的值意味着更小的共享密钥195)。
如上所述,Alice和Bob首先必须估计Eve可能已经获得的关于共享密钥165的信息量(换句话说,通常确定泄露给Eve的信息量的上限)。由于Alice和Bob知道他们在QKD后处理190期间已经在公开信道上公开的内容,因而主要问题是估计Eve通过在量子信道上的窃听可能已经获得的信息。
由于为了从量子信道上获得信息,Eve必须与量子态115交互,因而Eve的信息增益必然会导致传输错误或量子过剩噪声250或损耗,如图2所示。换句话说,从现在开始参考图2,其大致描述了示例性QKD系统中的不同噪声源,量子过剩噪声250可以是Eve与从Alice(例如,传输器230)发送到Bob(例如,Eve对Alice的量子信号的攻击240在量子信道上传送给Bob)的量子态115交互的特征。例如,如果Eve试图克隆量子态115,她必须引入损耗或噪声250,此后将其称为量子过剩噪声250。换句话说,量子过剩噪声与窃听者的信息增益有关。因此,保密增强170所需的Eve的信息增益的上限可以从量子过剩噪声250(例如,从量子过剩噪声250的估计值/量)信道损耗中得出。
特别地,因而Eve有关共享密钥195的信息很可能减少到任意小的值,仅量子过剩噪声必须归因于Eve。换句话说,在安全分析(例如,保密增强步骤170)中,可以区别对待(特别地,在不降低安全级别的情况下,它们可以不归因于Eve)所有其他的噪声(除量子过剩的噪声之外的噪声)。
当然,在现实环境中,即使不执行攻击/窃听240,量子信道中也始终存在噪声。通常,可能无法区别/区分例如由传输介质(比如光纤)的非理想特性引起的自然噪声和由Eve引起的量子过剩噪声。事实上,根据QKD的普遍假设,Eve有任意的/无限的技术优势,通常假设Eve能够将攻击240隐藏在总噪声290中(无法从中区分)。
因此,取决于安全假设/模型,添加在量子信道(即,稍后描述的量子域200中)中的所有噪声可以/必须视为量子过剩噪声。换句话说,(Alice或Bob)并不知晓量子过剩噪声,并且通常无法直接确定。因此,必须估计量子过剩噪声(例如,其方差)。出于安全和保密的考虑,Alice和Bob不能排除的所有由Eve引起的噪声都会被他们视为量子过剩噪声。
此外,由于通常无法精确地确定量子过剩噪声,其他噪声可能会(或,必须)视为量子过剩噪声(在本公开中也称为归因于Eve的噪声)。所有归因于Eve的噪声都用于估计Eve的信息增益的上限(并且因而减小共享密钥195的大小)。
图2还示出了两个不同的域,即量子域200和传统域210。这两个域与下面所述的各自不同的噪声源相关联。
传统域210从Bob的检测器260的输出开始,即,特别地,它在量子检测器260已经执行量子态测量120之后开始。换句话说,传统域210在检测器260的光电转换之后。
相应地,从中生成Bob的原始密钥125的信息不再以量子态115编码,而是以传统信号(例如,测量信号265)编码,该传统信号通常是电信号。
另一方面,量子域200包括从Alice到Bob的传输线(例如,光纤)以及Bob的接收器直到检测器260的条目/输入的部分(例如,执行量子态测量120的Bob的接收器的组件)。在量子域200中,从中生成Bob的原始密钥125的信息以量子信号(通常是光信号)的量子态115编码。因此,量子域200可能是直到/除了Bob的检测器之外的光域。
值得注意的是,在本公开中,检测器260既不视为量子域200的一部分,也不视为传统域210的一部分。
因此,在QKD系统中,从Alice和Bob之间共享的一定数量的信息(例如,共享密钥165)中生成的共享密钥195的大小主要取决于归因于窃听者的噪声量(即,在保密增强阶段170中视为量子过剩噪声的噪声量)。当然,量子过剩噪声的数量取决于安全模型/假设。因而,可以用不同的安全模型计算密钥率,每个安全模型都会产生携载一定安全性假设的不同密钥率。
一些实施例可以提供更严格的量子过剩噪声估计的优点,该估计能够增加密钥率。特别地,通过识别/估计源于接收器的电部分的传统噪声(例如,接收器放大器噪音,以及可能地,其他电子元件的噪声),可以提高量子过剩噪声的估计。通过估计/测量与光元件和信道解耦的电气元件的噪声,可以确定估计噪声的传统性。然后,可以用这种估计噪声校正或更好地限制量子过剩噪声的估计。
因而,由于传统噪声通常不涉及量子信道中Eve的(潜在)信息增益,所以对QKD系统来说,隔离并准确地确定传统噪声是至关重要的问题。值得注意的是,其他噪声,例如(量子)散粒噪声,也可能不涉及量子信道中Eve的信息增益。
因此,根据实施例,提供一种用于接收光信号的装置。该装置用于在量子密钥分发系统中操作,以及,包括,检测器260,可操作以从光信号中生成电信号265;电气线路,可操作以处理电信号;控制器,可操作以耦合电气线路和检测器260或将电气线路与检测器260解耦(例如,电解耦);第一噪声估计器,当将电气线路与检测器260解耦时,用于估计电气线路的第一噪声。
特别地,第一噪声是传统噪声(或电子噪声),并在检测到量子信号之后(例如,在Bob的检测器光电转换之后)添加。
通常,通过执行量子态测量120,检测器260可以从光信号中生成电信号。在这种情况下,检测器260生成的电信号可以是测量信号265。
通常,可以在电气线路的输出执行噪声估计。通常,当检测器260接收光信号时,可以执行(第一噪声估计器的)噪声估计,但是当装置没有接收光信号时,也可以执行噪声估计。因此,当检测器260执行测量120时,执行所述噪声估计并因此生成测量信号265,或者当检测器260不执行测量120时,不执行估计并因此不生成测量信号265。
但是,即便检测器260未接收并测量光信号时,检测器260通常仍可能生成电子信号(例如,在这种情况下,检测器仍然生成噪声)。因此,为了估计电气线路的噪声(没有来自检测器260的噪声贡献,这是潜在的非传统噪声),当检测器260未接收并测量光信号时,执行噪声估计是不够的。出于这一原因,在本实施例中,只有当将检测器260与电气线路解耦时,才会执行电气线路的噪声估计。但是,当检测器260和电气线路解耦时,可以在当检测器260接收/测量光信号时或当检测器260不接收/测量光信号时执行电气线路的噪声估计。在任何一种情况下,当检测器260与电气线路解耦时,通过估计电气线路的噪声,以有效的方式可以确定电气线路的估计噪声是传统噪声。换句话说,可以确定估计噪声是在传统域210中生成的,并且因此,特别地,在光电转换之后生成的(注意,在光电转换之后开始的所有添加的噪声都是传统噪声)。
由于传统噪声不是Eve与量子态115交互240的标志,因而,即便传统信号是公知的或受Eve影响,由于Eve对量子信道的量子攻击,传统信号不涉及Eve的信息增益。因而,本发明的实施例允许估计Bob的接收器的噪声(即,电气线路的噪声),该噪声被视为传统噪声是合理的。
特别地,在不冒不安全的共享密钥195的风险的情况下,可能不会把电气线路的噪声归因于Eve。同将全部/整个噪声归因于Eve的严格安全模型中相比,这具有获得更大的共享密钥195(或更高的共享密钥率)的好处。同时,可以维持这种严格模型的安全级别。
值得注意的是,对于本发明的实施例来说,如何解耦检测器260和电气线路并不重要,只要检测器260生成的输出/信号实质上/本质上不能到达/影响电气线路即可。
但是,为了能够生成共享密钥195,必须仍能够将检测器260和电气线路耦合,以使检测信号265可以到达电气线路以做进一步处理。
通常,耦合是指检测器260的(电)输出与电气线路的输入电连接。相反,解耦是指检测器260的(电)输出未与电气线路的输入电连接。
在一些实施例中,装置还包括原始密钥生成器,用于从电气线路处理的电信号中生成原始密钥125;以及量子噪声估计器,用于通过从原始密钥125(例如,总噪声,或总噪声的估计)的噪声中减去第一噪声(电气线路的噪声),估计光信号的第二噪声(例如,量子过剩噪声),其中,第二噪声的估计包括量子过剩噪声。
在此,第二噪声可以是基于由潜在的窃听者获得的信息的上限所确定的噪声。特别地,第二噪声或其一部分可以在保密增强步骤170中视为量子过剩噪声,和/或第二噪声或其一部分可以是(例如,被认为是)保密增强步骤170中的量子过剩噪声。特别地,量子噪声估计器还可以(即,除了减去电气线路的噪声之外)从用于估计第二噪声/量子过剩噪声的总噪声中减去(假定)同Eve(例如,散粒噪声)的信息不相关的其他噪声。
值得注意的是,在本公开中,术语“(量子)散粒噪声”指源于电磁场(例如,源于光子的量子性质)的正交的固有不缺性并且必然存在(特别地,在没有Eve的情况下存在)的噪声。因而,当考虑到电磁场的两个正交时,散粒噪声为总噪声设置了下限。但是,由于它不涉及Eve的信息增益,因此从总噪声中减去它们也是合理的。
还值得注意的是,在本公开中,通常术语“噪声”指所述噪声的任何统计特性或统计性质(例如,描述所述噪声)。例如,噪声可以是所述噪声的任何阶次的矩,特别是所述噪声的方差。因此,噪声的估计在这里可以指,例如基于理论模型和/或基于测量值估计噪声的诸如统计矩或其他函数的统计性质。
此外,值得注意的是,在本公开中,通常,“从第二噪声中减去第一噪声”是指从第一噪声和第二噪声中产生第三噪声的操作/措施。换句话说,从第一和第二噪声中获得第三噪声。值得注意的是,这种减法可能基于一些理论模型/假设,并且,因而该减法可以产生对第三噪声的估计。
特别地,该减法可以基于第二噪声包括第一噪声的贡献的假设。例如,可以通过从第二噪声中去除/减去第一噪声对第二噪声的贡献,或通过补偿第一噪声对第二噪声的贡献,来获得第三噪声。
换句话说,如果不存在第一噪声(或第一噪声的源),则第三噪声可以是第二噪声的估计,并且可以通过去除第一噪声(或它的源)到第二噪声的作用/影响来获得第三噪声。
因此,例如,可以通过(例如,通过第一噪声估计器)估计噪声的方差来估计电气线路的噪声。此外,原始密钥的噪声可以是原始密钥(或其估计器)的噪声的方差。此外,量子过剩噪声可以是量子过剩噪声的方差。量子过剩噪声可以通过从原始密钥的噪声(估计的方差)中减去电气线路的噪声(估计的方差)来估计(例如,通过量子噪声估计器)量子过剩噪声。
原始密钥生成器可以是处理电路。如上所述(例如,在接收器侧/Bob上执行的协议的部分),这样的处理电路还可以用于执行QKD协议。原始密钥生成器或处理电路也可以用于确定原始密钥125的噪声。
如上所述,总噪声(例如,原始密钥125的噪声)是在QKD后处理190期间(通过在公开信道上与Alice的通信)确定/估计的。总噪声包括多个源的噪声,例如量子过剩噪声,散粒噪声,和Bob的接收器的传统噪声。
如上所述,仅量子过剩噪声可能涉及量子信道中Eve的信息增益。因此,为了保持高安全级别和高密钥生成率,仅量子过剩噪声必须/应当用于确定Eve的信息增益的上限(换句话说,必须归因于Eve)。
但是,如果我们不知道如何将其他噪声(特别地,通常很大的传统噪声,例如散粒噪声的1%)与量子过剩噪声加以区分/区别,则在严格的安全分析中,包括接收器的传统噪声的总噪声必须归因于Eve的信息增益(因此,必须将其视为量子过剩噪声)。但是,如果由于Eve的攻击而将所有噪声视为量子过剩噪声,则密钥生成率可能会很低。
因此,通过仅将量子过剩噪声归因于Eve,可以获得更高的密钥率。
理想地,我们想直接估计量子信道,即量子过剩噪声250。但是,实际上,基于弱光信号,这不能在例如量子域200中直接完成。相反,如图2所示,通常,量子检测器260对光信号/量子态115执行量子态检测120,从而产生测量信号265,该信号通常是电信号。
在本发明的实施例中,将电气线路的估计噪声创建为传统噪声。因此,当估计量子过剩噪声时,可以从总噪声中减去电气线路的(估计)噪声,而不会丧失安全性。换句话说,在保密增强步骤170中,在Eve的信息的计算中去除电气线路的噪声,而不会实质性地降低安全级别。
值得注意的是,由于第二噪声是通过从原始密钥125的噪声中减去第一噪声(例如,电气线路的估计噪声)得到的,通常,第二噪声仍包括可能不涉及Eve的信息增益的其他噪声,例如,散粒噪声。例如,通常可以从总噪声中减去散粒噪声和电气线路的噪声(以及假定不涉及Eve的其他噪声),然后仅将剩下的噪声用于量子过剩噪声的估计并归因于Eve。
估计上述接收器噪声的标准方法是在光电转换之前,通过光开关关闭LO和QKD路径。但是,这不能保证所看到的噪声是传统噪声,因为在光开关和光电转换之间仍然存在一个量子部分。请注意Eve仍然可以知道或不知道此接收器噪声。这些情况会导致不同的性能。
在一些实施例中,控制器还包括电开关340。例如,控制器可以包括控制开关的任何硬件和/或软件以及开关。特别地,控制器可以在ASIC(专用集成电路)、FPGA(现场可编程门阵列)、DSP(数字信号处理器)等中实现。
如图3的说明性示例所示,在一些实施例中,在光电转换之后放置电开关340。电开关可以例如实现为诸如晶体管等的电气或电子元件。
图3还示出了相干平衡检测器1070,该检测器包括分束器320,两个光检测器330和331,以及减法器335。相干检测器1070使用本地振荡器300对从Alice接收到的量子信息执行平衡相干检测。
通常,电开关340可以放置在传统(电)域210中,和/或电开关340可以放置在光域200之后,和/或电开关340可以放置在光电转换205之后(例如,在检测器260之后)。该开关确保接收器噪声的估计结果不受量子域中的影响,即,为了保证/确保所估计的噪声是传统噪声。该开关允许准确地估计传统噪声方差(换句话说,传统噪声的数量)。
此外,在一些实施例中,电气线路包括放大器270。这在例如图2或图3中示出。通常,在获得原始密钥125并可由Bob进一步(例如,数字地)处理之前,测量信号265必须通过放大器270放大,该放大器引入/添加放大器噪声280,
通常,在本公开中,由于放大器270通常是主要的传统噪声生成器,因而,出于简洁性,放大器270是接收器中唯一明确提及的传统噪声生成组件。但是,通常,即使在光电转换阶段之后还有其他传统噪声生成组件,本发明的实施例的概念也能起作用。因此,可以将放大器270理解为光检测器260后Bob的接收器中任何传统噪声生成器的占位符。同样地,在本公开中,术语放大器噪声意味着在光电转换之后(例如,检测器输出)生成的任何传统噪声,即,如果没有另外明确说明,术语放大器噪声,传统噪声和传统的接收器噪声可以互换使用。
在一些实施例中,装置还用于在连续变量量子密钥分发系统中操作。在这些实施例中,当生成量子信号时,Alice以量子态编码她的原始密钥105的信息,该量子态是某个物理系统的连续自由度。更具体地,Alice可以调制光/电磁场的正交(相位和幅度),以对其原始密钥105编码并将其传输给Bob。相应地,为了从接收到的量子信号中获得他的原始密钥125,Bob确定了在所述接收到的量子信号上执行其量子态测量120中的连续变量。
因此,实际上,连续变量(CV)QKD系统/协议通常基于光的相干态或压缩态的传输。
图7示出了一个具有本地独立的LO和软件定义为TX(左手边)和RX(右手边)的QKD系统。
特别地,图7的上半部示出了示例性的CV-QKD传输器。数字信号处理器(DSP)可以提供要调制到量子信号上的原始密钥数据。然后,数模转换器(DAC)将原始密钥数据的同相和正交部分转换为模拟信号,然后将其调制到由光源(例如激光器,激光二极管等)产生的光信号上。然后,光信号分为传输到接收器的低强度(即,量子信号)的弱信号,和在功率监视器上对其进行监视的强信号(高强度)。
在图7的下半部分,示出了示例性外差检测器(接收器)。特别地,本地振荡器生成震荡信号E_L,然而光信号E_S经由光纤接收,并可能先受到偏振控制器的控制。然后,接收器检测/测量光信号并将其转换为电(模拟)信号,该信号被进一步放大并输入到软件定义的接收器部分。在接收器的这一部分中,执行相位解调制,并通过模数转换器(ADC)将电信号的解调制的同相和正交部分转换为数字信号,该数字信号由接收器侧DSP做进一步处理。
对于如图7所示的这种QKD系统的更多细节和解释,还可以参考《低复杂辅外差CV-QKD体系结构》,第19届透明光网络国际会议(ICTON),由IEEE于2017年7月出版。
在一些实施例中,检测器260可操作以使用用于相干检测的本地振荡器300来执行测量。
在一些实施例中,本地振荡器(LO)300是内联LO800,如图8a所示。Alice(例如,传输器810)通常在与量子信号相同的光纤中(例如,具有与量子信号115不同的偏振或与量子信号交织的时间)将内联LO800发送给Bob(例如接收器820)。在内联LO800的情况下,重复率通常很低(例如,1MHz),该重复率是Alice在量子信道上发送给Bob的量子信号的频率。
但是,本发明的实施例不限于此,并且LO300可以是本地LO850,如图8b所示。通常在Bob的接收器(例如,在接收器870)本地生成本地或独立的LO850。在这种情况下,Alice(例如,传输器860)可以仅发送量子信号。相对于内联LO300,由于Eve无法利用LO850的优势(例如,在量子信道上隐藏攻击240),独立的LO850提供了更高的安全性。此外,本地LO850允许例如100MHz或更高的高重复率。因此,相较于内联LO800,独立的LO850通常允许在Alice和Bob之间的更长的距离上(或在给定距离上更高的密钥率)生成密钥(这也是因为,相较于量子信号,发送的具有更高功率的内联LO800将噪声引入量子信道)。但是,由于本地LO850与传输侧激光器不同,因此可能需要额外的相位/频率同步或数字处理。
如图4所示,在Alice开始传输Bob会从中生成共享秘密的量子信号之前(此后称为QKD阶段450),可以执行电气线路的噪声估计,即电子噪声的估计(其对应于校准阶段400)。特别地,当检测器260没有接收/测量光信号时,可以估计电气线路的噪声。
但是,当预先估计电气线路的噪声时,该估计在QKD块中可能不代表在QKD阶段450中经历的电气线路的噪声。例如,电子噪声水平可能预先编程为与校准时间表一致,这可能导致对Eve的信息增益的错误估计。
因此,本发明的实施例不限于此,并且在一些实施例中,控制器用于,在光信号的接收周期期间(例如,QKD阶段550),对于一个或多个时间周期,将检测器与电气线路解耦;以及第一噪声估计器用于,在光信号的接收周期期间以及当将检测器与电气线路解耦时,估计第一噪声。
这在图5中示出。如其中所示,在Alice传输由Bob从中生成共享秘密的量子信号期间(此后称为QKD阶段550),可以执行电气线路的噪声估计,即电子噪声的估计(其对应于校准阶段500)。特别地,当检测器260没有接收/测量光信号时,可以估计电气线路的噪声,在图5中表示为电子噪声。
特别地,在校准阶段500期间估计电子噪声。在这些校准阶段500中,如上所述,将检测器260与电气线路解耦。但是,由于电气线路的噪声的估计是在QKD阶段550期间执行的,因此仍然接收光信号,并且可能由检测器260测量。但是,检测器260生成的电信号,即通过在光信号上执行量子态测量120生成的电信号没有到达电气线路。因此,Bob无法使用在校准阶段500中接收到的部分光信号来生成其原始密钥125。但是,通过将检测器260与电气线路解耦,即使当在QKD阶段550期间执行估计时,也可以创建电气线路的估计噪声的传统性。
值得注意的是,光信号的接收周期550,也称为QKD阶段550,是由Alice发送的光信号到达检测器260的周期,因而,可以由所述检测器260测量。明确地说,在接收周期550中,由Alice发送的光信号不一定必须由电气线路接收,即将检测器260与电气线路解耦并不会结束接收周期550。
另一方面,在QKD阶段550的QKD时隙555中,将电气线路与检测器260耦合。结果,Bob可以(仅)从在QKD时隙555中接收到的光信号的一部分中生成其原始密钥125。
在QKD阶段550期间,估计在校准阶段500中的电气线路的噪声有以下优点,即电气线路的估计噪声更能代表在QKD阶段550的QKD时隙555期间经历的电气线路的噪声。
此外,在一些实施例中,一个或多个时间周期具有预定的,预定义的或随机的长度。
此外,在一些实施例中,一个或多个时间周期以预定的,预定义的或随机的方式分布在信号的接收周期上。
为了估计在QKD操作期间(即,QKD阶段550)将会观察到的传统的接收器噪声(即,电气线路的噪声),在QKD操作期间,通过随机采样符号时间来估计传统的接收器噪声。因此,在QKD阶段550期间,接收器在传统的接收器噪声估计态和QKD操作态之间随机切换。前一个态的统计可用于推断同一QKD阶段550中后一个态的统计。图5示出了在QKD阶段550上的校准阶段500的这种随机分布。通常,对于QKD阶段550的每个时隙,可以在QKD阶段555和传统的接收器噪声估计阶段500之间随机切换。例如,在每个时隙之后,可以随机确定下一个时隙是QKD阶段555还是传统的接收器噪声估计阶段500。时隙的持续时间可以基于符号/位的(平均)传输时间来确定。
通过在QKD阶段550上随机扩展电子的/传统的接收器噪声估计,对于电气线路的噪声所获得的估计甚至在QKD阶段550的QKD时隙555期间更能代表所经历的电气线路的噪声。
图6示出了电子/电气开关的示例结构,其可以在QKD阶段550期间操作并且在光电转换之后实现。特别地,图6示出了携载密钥数据的量子信号在单模光纤(SMF)上传输,并且由本地震荡器生成的另一个光纤信号在另一个光纤上传输。在接收器处,使用所接受收的本地震荡器相干地检测量子信号。如上文已描述的,操作开关以将光部件和电部件耦合以及解耦。图6还示出了控制开关(开关上)的信号。特别地,信号控制开关的“接通”和“断开”阶段。在图6中,接通和断开阶段规则地交替并且具有相同的长度。但是,这仅是一个示例,实际上,阶段的持续时间可能不同,甚至是随机的(参见图5)。
接收器的传统噪声的估计要求接收器进入不同于QKD操作(对应于开关的“接通”阶段)的状态(对应于开关的“断开”阶段)。具体地,关闭LO和QKD输入信号路径。在接收器输出处观察电子噪声。
在一些实施例中,该装置还包括调制器(例如,相位调制器)1000,可操作以随机地调制本地震荡器的相位和/或幅度。
通常,可以使用以下公式(例如,通过知道其他三个项,下面的公式可以在右侧的噪声对总噪声的影响下进行扩展,出于简洁性,这些附加项自此被忽略)估计/计算量子过剩噪声:
总噪声方差=散粒噪声方差+量子过剩噪声方差+传统噪声方差
但是,严格来说,上述公式通常仅在右侧的所有噪声成分(散粒噪声,量子过剩噪声和传统噪声)(统计上)不相关时成立。因此,如果使用上述公式并且事实证明接收器的传统噪声与Eve相关,则量子过剩噪声将被低估,并且由于Eve有关于它的信息,所生成的共享密钥195将是不安全的。
该实例在图9中例示。特别地,假设Eve可以影响传统噪声,此后称为e。然后,使用传统噪声,Eve可以通过在攻击240期间将传统噪声调整为e=-n/2(出于简洁性,设置放大因子G=1)来尝试抵消量子过剩噪声,此后称为n。结果,使用简化的数学描述,放大器的输出,此后称为z,变为z=y+e=x+n+e=x+n/2,其中y表示检测器260的输出,x表示假定包含散粒噪声的Alice的量子信号。因此,推断出的量子过剩噪声,通常为z-Gx,变成了n/2,其小于实际的量子过剩噪声n。
换句话说,LO设置用于测量输入量子信号的参考相位。接收器的传统噪声可以与LO相位对齐,这允许传统噪声与包含量子过剩噪声的输入量子信号之间具有相关性。反过来,这又允许传统噪声与量子过剩噪声之间具有相关性,量子过剩噪声是由Eve添加的。此外,如果传统噪声e与量子过剩噪声n之间具有相关性,以使e=-n/2,则在标准系统中,这两个噪声部分抵消,而Bob看到了更小的总噪声,并从中推断出量子过剩噪声为n/2。当量子过剩噪声而非传统的接收器噪声归因于Eve时,对于量子过剩噪声的这种低估会导致安全问题。
因此,当上述公式右侧的不同噪声之间具有相关性时,上述公式可能不成立。更具体地,量子过剩噪声和传统噪声方差的这种分离可能不成立,并且仅当传统噪声与量子过剩噪声之间不具有相关性时,基于上述公式的计算才能给出对量子过剩噪声方差的准确估计。
为此,在本实施例中,在QKD信号操作期间(例如,如上所述,在QKD阶段550期间)对LO执行相位(和/或幅度)调制。
这在图10中示出。如前所述,Eve试图通过在攻击240期间将传统噪声调整为e=-n/2来抵消量子过剩噪声n。然而,在这种情况下,调制器1000随机地调制测量信号265的相位。在此特定示例中,LO的相位调制由直接相位调制器完成,该直接相位调制器通过0或pi随机调制LO相位(每个概率为50%)。
但是,本发明的实施例不限于此。可选地,可以使用LO的两个以上的不同的相位调制。
在本示例中,相位调制对应于测量信号260乘以q=+1或q=-1中任一个(概率相等)。通常,q是由相位调制器1000应用于LO 300的相位因子。
出于简洁性,如前所述,假设G=1,则以相等的概率观察到放大器的输出为z=x+n/2或z=-x-3n/2。这实际上意味着接收器的传统噪声在50%的时间内是同相和异相的。
在此示例中,传统噪声相对于量子过剩噪声为-e或+e,分别对应于总噪声n/2或3n/2。因此,总噪声方差为(E[(n/2)^2]+E[(3n/2)^2])/2=5E[n^2]/4。从中减去传统的接收器噪声方差E[n^2/4],可以得到量子过剩噪声方差E[n^2]。因此,可以正确地估计量子过剩噪声方差,并且可以维持安全性(假设正确量化传统噪声方差)。
通常,当使用两个以上不同的相位调制q值时,以上示例将修改为E[(q n+e)2],其中期望值也超过q。在上述的示例中,q=1或-1,因此E[(q n+e)2]=E[n2]+E[e2],即使传统噪声e与量子过剩噪声n相关时也成立。当使用两个以上不同的相位调制q值时,即使传统噪声e与量子过剩噪声n相关时,也可以选择q的值以使E[(q n+e)2]=E[n2]+E[e2]。
通常,可以通过改变LO的频率来执行相位调制,这会向LO引入相位变化。
通过随机地调制本地震荡器的相位和/或振幅,将量子过剩噪声和传统的接收器噪声视为非相关的(即便它们是相关的)是合理的。这允许通过使用公式E[(q n+e)2]=E[n2]+E[e2]估计正确的量子过剩噪声方差(此处忽略其他噪声,例如散粒噪声)。
换句话说,由于与量子过剩噪声之间具有相关性,可以保证电子噪声不会影响信道统计(Eve的攻击)的正确估计。
如图10所示,相位调制器1000也可以在不包括可操作以将电气线路与光学检测器解耦的控制器的设备中实现,因此,特别地,该设备不包括开关340。
根据实施例,提供一种用于接收光信号的装置,所述装置用于在量子密钥分发系统中操作,以及,所述装置包括:
相干检测器1070,可操作以使用本地振荡器对接收到的光信号进行相干检测;以及
相位调制器,可操作以随机地调制本地振荡器的相位和/或振幅。
在这种设备中,传统噪声(或传统噪声方差)必须通过其他方式确定。例如,可以取出放大器并量化其生成的噪声。或者可以切断光路径上所有的光信号并测量放大器噪声。
值得注意的是,无论如何估计放大器噪声,相位调制都会带来好处。换句话说,可以在不提供用于将接收器的光部分与电部分解耦的开关的情况下实现上述相位调制实施例。特别地,放大器噪声估计可以以包括光检测器的噪声的方式来执行,或者,可以先验地提供电噪声,即通过放大器组件的已知特性提供。
在检测器之后提供开关的特殊之处在于,该开关在传统域中工作,这确保了观察到的开关是传统的。(最后,真正的开关可能是泄漏的,即使切断开关,某些量子噪声也会泄漏到传统域中,这是不可想象的。)
如图11所示,开关与相位调至的组合具有更多优势:单独使用开关并不能说明是否可以将这种传统噪声视为与量子过剩噪声之间不具有相关性。该开关给我们提供了放大器噪声的准确估计。
另一方面,通过随机相位调制,上面的公式
总噪声方差=散粒噪声方差+量子过剩噪声方差+传统噪声方差
即使传统噪声与量子过剩噪声之间具有相关性,也可使其保持不变。如果没有随机相位调制,则可以通过假设传统噪声与量子过剩噪声之间不具有相关性来假定公式成立。这就意味着,当我们引用密钥率时,它附带了这样一个安全假设,并且这种假设的有效性和可接受性会进一步传递给用户进行评估。通常,假设越少,密钥率量化就越有价值。例如,当我们引用仅在Eve发起非常特定的攻击时才保持的密钥速率时,这是没有什么价值的,我们无法证明在QKD的实际操作中也是如此。如果传统噪声与量子过剩噪声之间不具有相关性或使用随机相位调制,则公式成立。
因此,即使传统噪声与量子过剩噪声之间具有相关性,相位调制也允许准确地估计量子过剩噪声的方差。
尽管目前很难实现量子过剩噪声与传统噪声相关的攻击,但是这里的概念仍然是有益的,因为QKD的原理是防止当前和未来的攻击(不仅仅是现在或可预见的未来可以做的事情)。QKD最初是一种以无限制的计算能力(远远超出现在可以实现的功能)来防止在信道中窃听的方法。后来,QKD领域发展成为探索使用侧信道攻击QKD的方法以及如何防范这些侧信道攻击的方法。因此,应当覆盖未来使得量子过剩噪声与传统噪声之间具有相关性的方法。可能存在这种相关性的一个论点是,放大器是由Eve制造的,她能够以某种方式将放大器中产生的噪声与她在量子通道中引入的量子过剩噪声相关联。
仅假设量子过剩噪声与放大器之间不具有相关性(例如,通过使用上面的公式而不使用随机相位调制),就意味着安全性的损失。
根据实施例,提供一种用于接收光信号的方法。该方法用于量子密钥分发系统,以及,包括以下步骤:当接收到光信号时,使用检测器,从光信号中生成电信号;当接收到光信号,以及当检测器和电气线路耦合时,使用电气线路,处理电信号;以及控制电气线路和检测器耦合或从将电气线路与检测器解耦;以及当将电气线路与检测器解耦时,估计电气线路的第一噪声。
根据上述实施例的方法还包括以下步骤:从电气线路处理的所述电信号中生成原始密钥;以及通过从原始密钥的噪声中减去第一噪声,估计光信号的第二噪声,其中,第二噪声包括量子过剩噪声。
在任一种上述方法中,在光信号的接收周期期间,对于一个或多个时间周期,执行将检测器与电气线路的解耦;以及在光信号的接收周期期间以及当将检测器与电气线路(270)解耦时,执行对第一噪声的估计。
在上述方法中,一个或多个时间周期具有预定的,预定义的或随机的长度。
可选地或附加地,一个或多个时间周期以预定的,预定义的或随机的方式分布在所述光信号的所述接收周期上。
工业适用性
实际QKD系统的重要问题是密钥生成率,距离,成本,与波分复用(WDM)的兼容性,例如,传统信号。CV-QKD适用于内联LO或局部LO方案;基于直接检测的QKD(相位调制LO的部分除外)。
Claims (16)
1.一种用于接收光信号的装置,所述装置用于在量子密钥分发系统中操作,以及,包括:
检测器(260),用于从所述光信号中生成电信号(265);
电气线路(270),用于处理所述电信号(265);
控制器,用于将所述电气线路(270)和所述检测器(260)耦合或将所述电气线路(270)与所述检测器(260)解耦;以及
第一噪声估计器,用于当将所述电气线路(270)与所述检测器(260)解耦时,估计所述电气线路(270)的第一噪声(280)。
2.根据权利要求1所述的装置,还包括:
原始密钥生成器,用于从所述电气线路(270)处理的所述电信号(265)中生成原始密钥(125);以及
量子噪声估计器,用于通过从所述原始密钥(125)的噪声中减去所述第一噪声(280)来估计所述光信号的第二噪声,其中,所述第二噪声的估计包括量子过剩噪声(250)。
3.根据权利要求1或2所述的装置,其中,
所述控制器用于,在所述光信号的接收周期(550)期间,对于一个或多个时间周期(500),将所述检测器(260)与所述电气线路(270)解耦;以及
所述第一噪声估计器用于,在所述光信号的所述接收周期(550)期间,以及当将所述检测器(260)与所述电气线路(270)解耦时,估计所述第一噪声(280)。
4.根据权利要求3所述的装置,其中,
所述一个或多个时间周期(500)具有预定的,预定义的或随机的长度。
5.根据权利要求3或4所述的装置,其中,
所述一个或多个时间周期(500)以预定的,预定义的或随机的方式分布在所述光信号的所述接收周期(550)上。
6.根据权利要求1至5中任一项所述的装置,其中,
所述装置还用于在连续变量量子密钥分发系统中操作。
7.根据权利要求1至6中任一项所述的装置,其中,
所述检测器(260)使用用于相干检测的本地振荡器(300)对所述光信号执行测量(120),从而从所述光信号中生成所述电信号(265)。
8.根据权利要求7所述的装置,还包括:
调制器(1000),随机地调制所述本地振荡器(300)的相位和/或振幅。
9.根据权利要求1至7中任一项所述的装置,其中,
所述控制器包括电开关(340)。
10.根据权利要求1至8中任一项所述的装置,其中,
所述电气线路(270)包括放大器。
11.一种用于接收光信号的方法,所述方法用于量子密钥分发系统,以及,包括以下步骤:
当接收到所述光信号时,使用检测器(260),从所述光信号中生成电信号(265);
当接收到所述光信号时,以及当所述检测器(260)和电气线路(270)耦合时,使用所述电气线路(270),处理所述电信号(265);以及
控制以将所述电气线路(270)和所述检测器(260)耦合或将所述电气线路(270)与所述检测器(260)解耦;以及
当将所述电气线路(270)与所述检测器(260)解耦时,估计所述电气线路(270)的第一噪声(280)。
12.根据权利要求11所述的方法,还包括以下步骤:
从所述电气线路(270)处理的所述电信号(265)中生成原始密钥(125);以及
通过从所述原始密钥(125)的噪声中减去所述第一噪声(280),估计所述光信号的第二噪声,其中,所述第二噪声包括量子过剩噪声(250)。
13.根据权利要求11或12所述的方法,其中,
在所述光信号的接收周期(550)期间,对于一个或多个时间周期(500),执行将所述检测器(260)与所述电气线路(270)的解耦;以及
在所述光信号的所述接收周期(550)期间以及当将所述检测器(260)与所述电气线路(270)解耦时,执行所述第一噪声(280)的估计。
14.根据权利要求13所述的方法,其中,
所述一个或多个时间周期(500)具有预定的,预定义的或随机的长度。
15.根据权利要求13或14所述的方法,其中,
所述一个或多个时间周期(500)以预定的,预定义的或随机的方式分布在所述光信号的所述接收周期(550)上。
16.一种计算机程序产品,包括程序代码,当所述程序代码由处理器运行时,用于执行根据权利要求11至15中任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2019/055267 WO2020177848A1 (en) | 2019-03-04 | 2019-03-04 | Calibrating trusted noise in quantum key distribution |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113302875A true CN113302875A (zh) | 2021-08-24 |
Family
ID=65657475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980089445.2A Pending CN113302875A (zh) | 2019-03-04 | 2019-03-04 | 量子密钥分发中校准可信噪声 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113302875A (zh) |
WO (1) | WO2020177848A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11251947B1 (en) * | 2019-05-08 | 2022-02-15 | Cable Television Laboratories, Inc. | Encrypted data transmission in optical- and radio-access networks based on quantum key distribution |
US11258580B2 (en) * | 2019-10-04 | 2022-02-22 | Red Hat, Inc. | Instantaneous key invalidation in response to a detected eavesdropper |
US11423141B2 (en) | 2020-02-10 | 2022-08-23 | Red Hat, Inc. | Intruder detection using quantum key distribution |
EP3982589A1 (en) * | 2020-10-06 | 2022-04-13 | Terra Quantum AG | Method, apparatus, computer program and data carrier for determining a shared secret cryptographic key |
CN112398650B (zh) * | 2020-11-20 | 2021-08-17 | 中南大学 | 基于ao单元离散调制连续变量量子密钥分发系统性能改善方法 |
EP4016350A1 (en) * | 2020-12-15 | 2022-06-22 | Id Quantique Sa | Random number generator diagnosis method |
EP4047861A1 (en) | 2021-02-18 | 2022-08-24 | Terra Quantum AG | Method and system for quantum key distribution |
WO2023160834A1 (en) * | 2022-02-28 | 2023-08-31 | Huawei Technologies Duesseldorf Gmbh | Device and method for estimating excess noise at a receiver device of a continuous variable quantum key distribution system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040109564A1 (en) * | 2002-07-05 | 2004-06-10 | Nicolas Cerf | High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses |
JP2007251679A (ja) * | 2006-03-16 | 2007-09-27 | Sony Corp | 量子暗号通信装置 |
CN103780378A (zh) * | 2014-02-21 | 2014-05-07 | 中国科学技术大学 | 一种连续变量量子密钥分配系统侦听方法 |
CN104539582A (zh) * | 2014-12-03 | 2015-04-22 | 上海交通大学 | 一种连续变量量子密钥分发安全防御方法 |
CN106788706A (zh) * | 2016-12-05 | 2017-05-31 | 上海交通大学 | 可抵御实际攻击的连续变量量子密钥分发方法 |
EP3244566A1 (en) * | 2016-05-11 | 2017-11-15 | Institut Mines-Telecom | Phase reference sharing schemes for continuous-variable quantum cryptography |
-
2019
- 2019-03-04 WO PCT/EP2019/055267 patent/WO2020177848A1/en active Application Filing
- 2019-03-04 CN CN201980089445.2A patent/CN113302875A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040109564A1 (en) * | 2002-07-05 | 2004-06-10 | Nicolas Cerf | High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses |
JP2007251679A (ja) * | 2006-03-16 | 2007-09-27 | Sony Corp | 量子暗号通信装置 |
CN103780378A (zh) * | 2014-02-21 | 2014-05-07 | 中国科学技术大学 | 一种连续变量量子密钥分配系统侦听方法 |
CN104539582A (zh) * | 2014-12-03 | 2015-04-22 | 上海交通大学 | 一种连续变量量子密钥分发安全防御方法 |
EP3244566A1 (en) * | 2016-05-11 | 2017-11-15 | Institut Mines-Telecom | Phase reference sharing schemes for continuous-variable quantum cryptography |
CN106788706A (zh) * | 2016-12-05 | 2017-05-31 | 上海交通大学 | 可抵御实际攻击的连续变量量子密钥分发方法 |
Non-Patent Citations (2)
Title |
---|
FABIAN LAUDENBACH等: "Continuous-Variable Quantum Key Distribution with Gaussian Modulation-The Theory of Practical Implementations", ARXIV, pages 8 * |
HOU-MAN CHIN ET AL.: "Effect of filter shape on excess noise performance in continuous variable quantum key distribution with Gaussian modulation", ARXIV, pages 2 * |
Also Published As
Publication number | Publication date |
---|---|
WO2020177848A1 (en) | 2020-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113302875A (zh) | 量子密钥分发中校准可信噪声 | |
JP6602410B2 (ja) | 光量子通信システム | |
Aldaghri et al. | Physical layer secret key generation in static environments | |
Karinou et al. | Toward the integration of CV quantum key distribution in deployed optical networks | |
Xu et al. | Measurement-device-independent quantum cryptography | |
Corndorf et al. | Quantum-noise randomized data encryption for wavelength-division-multiplexed fiber-optic networks | |
Nakazawa et al. | QAM quantum noise stream cipher transmission over 100 km with continuous variable quantum key distribution | |
CN107135065B (zh) | 一种量子密钥分配方法及发送装置、接收装置 | |
CA2973284C (en) | Communication with everlasting security from short-term-secure encrypted quantum communication | |
US7333611B1 (en) | Ultra-secure, ultra-efficient cryptographic system | |
US7403623B2 (en) | High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses | |
Kanter et al. | Practical physical-layer encryption: The marriage of optical noise with traditional cryptography | |
WO2017084380A1 (zh) | 一种量子通信方法和装置 | |
CN113169869B (zh) | 连续变量量子密钥分发(cv-qkd)系统中的后接收同步 | |
KR20180120480A (ko) | 수신기에서 광자 추출에 기반한 양자 암호 키 분배 방법 및 장치 | |
Qi et al. | Passive state preparation in the Gaussian-modulated coherent-states quantum key distribution | |
CA2607318A1 (en) | Phase locking in a multi-channel quantum communication system | |
Garcia-Escartin et al. | Hidden probe attacks on ultralong fiber laser key distribution systems | |
Biswas et al. | Experimental side channel analysis of BB84 QKD source | |
Tsouri et al. | Threshold constraints on symmetric key extraction from rician fading estimates | |
Dai et al. | An integrated quantum secure communication system | |
CN113545001B (zh) | 量子密钥分发中的同步 | |
CN115085919B (zh) | 一种关于量子保密通信系统校准过程的漏洞检测方法及其装置 | |
Jain et al. | qTReX: A semi-autonomous continuous-variable quantum key distribution system | |
Alaghbari et al. | Adaptive modulation for continuous-variable quantum key distribution with real local oscillators under phase attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |