徐兵杰，陈 晖，张文政

(保密通信重点实验室，成都 610041)

0 引言

QKD的发展历程分为四个阶段［1］:(1)理论学家基于量子力学原理证明理想(ideal)或半实际(semi-practical)QKD 系统的理论安全性［2，3］。上述安全性分析基于对Alice(信息发送方)和Bob(信息接收方)内部物理器件 (光源、信道、探测器等)的简化数学物理模型假设［4］。然而，这些模型往往不符合或不能完整建模QKD系统所采用的实际物理器件［5］。因而，QKD的理论无条件安全性并不能完全保证实际QKD系统的安全性。(2)实验学家不断改进QKD系统的硬件技术，使得码率不断提高，通信距离不断增长。目前世界上至少有三家公司出售商用QKD系统，QKD走出了实验室，进行了初步的实际应用。2006年起，瑞士大选开始采用QKD来加密信息。2010年南非世界杯也采用QKD系统来保证信息安全。现有QKD系统最远通信距离达300 km，最终安全码率达兆赫兹(通信距离约50 km条件下)。(3)寻找实际QKD系统中的安全漏洞，并改进系统的软件或硬件来抵御实际安全漏洞［5］。目前QKD正处于这个发展阶段。如何全面为实际QKD系统“查漏补缺”，填补实际安全漏洞，是当前QKD领域的研究重点之一。(4)一旦实际QKD系统的安全性经过反复检验和证明后，QKD将走向实用化。另外，QKD的网络化，地面至卫星QKD，以及QKD如何与传统光纤网络通信融合也是大家非常关注的问题。一旦上述问题得以解决，QKD技术将真正走向成熟。

针对QKD现阶段的主要发展目标和任务，全面且详细地总结了实际QKD系统光源、信道及探测端的安全隐患，并给出现阶段已知的针对各个安全隐患的抵御措施。

1 理论安全性与实际安全性

QKD的安全性可分为两个层次:理想QKD协议安全性和实际QKD系统安全性［1］。理想QKD协议的安全性是量子密码学理论研究的核心内容，是QKD安全性的基石。实际QKD系统是理想协议的物理真实实现。理想QKD协议安全性分析总是在系统物理模块(如光源，信道，探测等)的简化数理模型基础之上进行的。若实际QKD系统的物理器件满足安全性分析所要求的模型假设，则其无条件安全性可以得到保证。然而，实际QKD系统存在如下两点安全性隐患［4，5］。

(1)实际QKD系统中的非理想物理器件与理想QKD协议安全性分析中的模型假设不相吻合，即理论和实验存在差异或不匹配;

(2)实际QKD系统中的物理器件的工作模式往往比理论安全性分析中的简化模型更加复杂，某些实际器件的非理想特性未被纳入到安全性分析中。

上述安全隐患将导致两个结果。

(1)理论安全性分析不能直接应用到实际QKD系统，无法证明实际QKD系统安全性及准确估计实际QKD系统安全码率;

(2)Eve(窃听者)可以利用实际物理器件中未被纳入理论安全性分析的安全漏洞窃取信息，而不被发现。

定义Eve所采用的针对实际QKD系统安全漏洞所采取的特殊攻击方式为量子黑客攻击(Quantum Hacking)［5］。解决上述安全隐患，需从以下两方面着手。

(1)软件层面:将实际器件安全性漏洞纳入到现有安全性分析理论中，提出量化该器件非理想特性的关键参数，进而将安全将码率表示成该参数的函数;

(2)硬件层面:改进实际QKD系统物理器件，使其符合理论安全性分析模型;或添加硬件监控模块，以监控实际系统非理想特性，防止Eve进行相应的量子黑客攻击。

下面分别从光源和探测端两个角度分别阐述和解释上述内容。

2 实际量子密钥分发系统安全漏洞及抵御措施

2.1 实际QKD系统光源端的安全漏洞

2.1.1 非可信光源攻击(untrusted source attack)

目前应用最广泛的BB84协议的标准安全性分析为GLLP及诱饵态理论。上述理论中对QKD光源光子数分布(PND，photon number distribution)的模型假设和实际QKD系统光源PND的差别如下。

(1)GLLP理论中假设QKD光源具有固定且已知的PND［3］，该分布不能被 Eve控制或改变，此类光源被称为可信光源(trusted source)。

(2)单路(one-way)QKD系统中，由于Alice内部激光器的机械噪声和电噪声，以及光学器件的参数抖动，导致光源光强不稳定(即光源PND不固定)。双路“即插即用”(two-way Plug＆Play)QKD系统中，光源等价于完全被Eve所控制，如图1所示，光源PND未知。此类光源被定义为非可信光源(untrusted source)［6～9］。非可信光源攻击是针对实际QKD系统光源PND非理想特性的量子黑客攻击，Eve可任意改变或控制系统光源PND，以此来辅助其在信道上的PNS攻击从而获取更多信息(如图1)［8］。光源非可信条件下，GLLP和诱饵态安全性分析理论不完全适用于实际QKD系统，从而无法估计实际系统的安全码率下界［6］。

图1 非可信光源攻击及光源监控

为抵御非可信光源攻击，需要从两方面着手。

a)从理论上严格证明光源非可信条件下QKD系统的安全性，并量化该条件下安全码率;

b)从实验上对非可信光源的PND进行光源监控。

光源非可信条件下，必须采用光源监控器对光源的光子数统计信息加以监控。目前QKD系统有如下光源监控实验方案［6～9］:

a)平均光子数光源监控;

b)主动式“untagged bits”概率光源监控;

c)被动式“untagged bits”概率光源监控;

d)主动式光子数区分光源监控;

e)被动式光子数区分光源监控。

通过上述理论和实验改进，实际QKD系统可成功抵御非可信光源攻击。中国的北京大学，清华大学和中国科技大学在该方向上都做出了重要贡献。

2.1.2 相位重映射攻击(Phase-Remapping Attack)

对基于相位编码的BB84协议，理论安全性分析中假设加载于光源的相位为{0，π/2，π，3π/2}。而在实际双路“即插即用”QKD系统中，Eve可干预编码过程，使得加载于光源的相位变为{0，δ/2，δ，3δ/2}，如图2所示，此类攻击被称为相位重映射攻击［10］。入射Alice时间，使得光脉冲在上升沿入射PM。b)光脉冲在上升沿入射 PM，实际加载相位由{0，π/2，π，3π/2}变为{0，δ/2，δ，3δ/2}。

图2 相位重映射攻击原理图［10］

在相位编码QKD系统中，信息被编码于信号脉冲和参考脉冲的相对相位。Alice的相位调制器(PM)只对信号脉冲调相。实际系统中Alice并不检测到两个脉冲到达的时间，只以参考信号来触发激活PM。PM由电压脉冲驱动信号控制，而该驱动信号大体分为上升沿，稳定区和下降沿，调制相位正比于加载在PM上的调制电压，如图2(a)所示。在系统正常状态下，经过参考光触发后，信号脉冲在稳定区入射PM，此时加载的相位为{0，π/2，π，3π/2}。

然而在双路“即插即用”QKD系统中，光脉冲先由Bob发送给Alice，经过Alice编码和衰减后返回到Bob。2007年，加拿大多伦多大学的Lo小组指出［10］，Eve可在光脉冲由 Bob发送给 Alice过程中控制信号脉冲入射时间(即调节参考脉冲与信号脉冲的时间间隔)，使得信号光在上升沿入射PM，从而使得实际加载相位由{0，π/2，π，3π/2}变为{0，δ/2，δ，3δ/2}。改变加载相位后，Eve 可进行 POVM测量区分Alice端出射量子态并最优化δ取值使得态区分误码率最小从而获取最大信息。经过测量后，Eve将其测量结果重发给Bob。该攻击属于一种截获—重发攻击(intercept-resend attack)，QKD安全性分析中一个广为人知的结论是:在截获—重发攻击下，QKD系统不可能生成安全密钥。QKD系统能容忍的QBER上限为20%，而经过相位重映射攻击且最优化δ条件下，Eve引起的QBER约为15.5%。此时，Alice和Bob若不考虑上述攻击，则通信双方认为QKD系统仍然能产生安全密钥(QBER低于容忍上限)，而实际上在相位重映射攻击下系统不能生成任何安全密钥。

2010年，加拿大多伦多大学的Lo小组在商用ID-500 QKD系统上实现了相位重映射攻击，其实验框图如图3 所示［11］。

图3 相位重映射攻击实验框图［11］

该实验中，Eve通过可变光延时器(VODL，variable optical delay line)调节信号光与参考光脉冲之间的相对延时，从而改变信号光脉冲入射PM的时间。通过相位重映射攻击，Eve在窃取100%信息的条件下引起的QBER为19.7%，低于20%。实验证明，在实际双路QKD系统中必须考虑相位重映射攻击，否则Alice和Bob将高估系统安全性。

相位重映射攻击的不足之处在于攻击会引起很大的QBER。即使在理论极限下该攻击也会引起15.5%的QBER，而在正常的QKD实验中QBER小于10%。这种攻击相对容易被发现，攻击痕迹过重。

2.1.3 大脉冲攻击(large pulse attack)

任何光学器件都存在一定的反射性，窃听者通过向Alice(或Bob)内部发送强光脉冲信号，并测量反射脉冲可以获取Alice(或Bob)的编码信息，如图4所示。Eve占据了部分量子信道以探测Alice的设备，并使用了一个附加光源并对其进行调制，最终用探测器分析反射信号以窃取Alice所制备的态的信息。上述攻击的根源在于Alice内部的任意光学器件都存在一定反射性，反射光可被Alice的调制器调制从而含有其编码信息，最终该信息可被窃听者以某种最优的探测方式解码。如果Alice对此没有防范，Eve可以精确地得到Alice制备的态从而得到所有密钥。

图4 大脉冲攻击示意图［12］

如果Alice注意到了Eve的行为，她可以采取一些措施限制Eve的信息并通过保密放大消除这部分信息。为了限制该攻击，QKD系统的设计应该满足以下几点要求:(1)只有特定波长的脉冲可以进入设备;(2)用于编码的光学元件(如相位调制器)仅仅在合法光源到达的短时间内处于激活状态;(3)协议双方应该知道Eve的探针信号反射量的上界。以上几点可以通过在Alice设备外端增加滤波器和强衰器，以及在相位调制器附近加入隔离器来实现。

2.2 实际QKD系统探测端的安全漏洞

探测器是一个复杂的光电器件，其安全性问题是所有器件中最复杂的。目前实际QKD系统探测器的非理想特性主要体现为两点:

a)探测器效率不匹配(DEM，detection efficiency mismatch);

b)实际QKD系统中广泛使用雪崩二极管(APD)的工作模式可被Eve控制。

基于上述两点，Eve 可执行时移攻击［13，14］，伪态攻击［15］和探测致盲攻击［16，17］。2010年，挪威科技大学和新加坡国立大学利用探测致盲攻击［17］，完全攻克了一套实际QKD系统。有矛就有盾，来自多个国家的研究者在近期分别从理论和实验的角度部分解决了探测致盲攻击问题［18～20］。

2.2.1 时移攻击(Time-Shift Attack)

实际QKD系统通常含有两个门模式APD探测器，分别用来探测信号“0”和“1”。理论安全性分析中总是假设这两个探测器的探测效率相等。实际上情况并非如此，不同探测器的效率是时间、频率、偏振及空间模式的函数，一般不相同。以光纤QKD系统为例，QKD系统的两个APD探测器由门信号触发，其探测效率为时间函数，如图5(a)所示，两个门模式APD探测器效率在t0和t1时刻显著不同。如图5(b)所示。在t0(t1)时刻，探测器D0(D1)的效率远高于D1(D0);如果光脉冲在t0(t1)时刻到达探测器，则探测器D0(D1)响应的概率会远高于D1(D0)探测器。上述非理想特性被称为探测效率不匹配(DEM，detection efficiency mismatch)。

2007年，加拿大多伦多大学的Lo小组提出了针对实际QKD系统DEM安全漏洞的时移攻击(TSA，time shift attack)［13］。在正常状态下，商用QKD系统会自动校准两个门信号使得D0和D1的探测效率尽可能重合，同时令光信号在0时刻到达探测器(此时两探测器效率相等，如图5(b))。令ηi(tj)表示探测器Di在tj时刻的探测效率(i，j=0，1)，并设两探测器效率对称。定义 r=η1(t0)/η0(t0)= η0(t1)/η1(t1)，用来量化探测效率不匹配程度，r∈［0，1］。在实际 QKD 系统中，Eve可控制光脉冲到达Bob端探测器的时间。

图5 探测参效率示意图

a)若到光脉冲到达时间为t0且Bob端探测器有响应，则Eve以概率1/1+r概率猜测Bob的测量结果为0，以概率r/1+r概率猜测Bob的测量结果为1;

b)若到光脉冲到达时间为t1且Bob端探测器有响应，则Eve以概率r/1+r概率猜测Bob的测量结果为0，以概率1/1+r概率猜测Bob的测量结果为1。

上述攻击被称为时移攻击。Eve随机令信号在t0或t1入射Bob探测器，若t0时刻入射则猜测Bob的测量结果为0，反之为1。当DEM程度较大时(即r＜＜1)，Eve能以很大概率猜中Bob测量结果。该攻击的特点是仅改变信号入射Bob的时间，不引起任何QBER。时移攻击下，Eve与Bob的互信息为［13］

极端情况下两探测器效率完全不匹配(即r=0)，Eve可完全猜中Bob探测结果。

2008年，Lo小组在商用ID-500 QKD系统上实现了时移攻击的原理性演示验证［14］。商用ID-500 QKD系统有自校准机制使得两探测器效率尽可能匹配，经过仔细观测，两探测器效率有4%的概率不匹配程度较大(r～1/8)，则Eve可以4%的概率获取部分编码信息而不引起任何QBER。如果在实际QKD系统中忽略此攻击，则将高估安全码率。

该攻击的缺点在于Eve获取信息的效率低，只能以4%的概率获取信息。同时，该攻击导致光信号总是在探测器效率很低的时刻到达Bob端，会引起系统计数率锐减(当然Eve可在原理上用无损信道将信号发送给Bob以掩盖攻击痕迹)。

2.2.2 伪态攻击(Fake-State Attack)

2006年，挪威科技大学的Makarov等人提出了BB84协议下，如何利用DEM安全漏洞实现伪态攻击(FSA，fake state attack)［15］。伪态攻击是一种截获—重发攻击，Eve利用和Bob相同的方式随机测量Alice出射的量子信号，然后根据其测量结果将伪态信号重发给Bob，如图6所示。

图6 伪态攻击示意图

a)若测得的结果是0，则在t0时刻发送另一组基下的1态给Bob;

b)若测得的结果是1，则在t1时刻发送另一组基下的0态给Bob。

不难发现，

a)如果Bob选取的测量基与Eve相同，则Bob探测器有响应的概率为［η1(t0)+η0(t0)］/2或［η0(t1)+η1(t1)］/2，其中Bob探测结果以概率1/1+r与Eve相同，以概率r/1+r与Eve不同;

b)如果Bob选取的测量基与Eve不同，则Bob探测器响应概率为η1(t0)或η0(t1)，且Bob探测结果与Eve不同。

在上述伪态攻击下，筛选码中QBER为［15］

相应系统安全码率为

极端情况r=0条件下［即η1(t0)=η0(t1)=0］，Bob测量结果必与Eve相同且QBER为0。

a)当Eve选错测量基，Bob端探测器不响应;

b)当Eve选对测量基，Bob以较大概率响应，且测量结果与Eve相同。

该攻击目前在实验上比较难直接实现。2011年，N.Jain等人提出了在商用QKD系统中引入较大DEM的实验方案，这种DEM对伪态攻击和时移攻击有辅助作用。双路商用QKD系统每经过一段时间会对两个探测器进行校准，分三步进行。

a)Bob发送强光校准脉冲给Alice;

b)Alice不做任何相位编码将脉冲返回给Bob;

c)Bob通过相位调制器施加π/2的相移，则光脉冲一半功率入射D0，另一半入射D1。

由于使用的是强光脉冲，脉冲在Bob端的干涉仪发生干涉后，会使两个探测器都产生响应。Bob通过扫描不同时刻发送的校准脉冲，并记录探测器响应时间，从而实现对两个探测器的门触发时间进行校准。Eve可以干预上述校准过程:对经过Alice内部短臂的脉冲进行调制，在光脉冲前半部分施加π/2的相移，对光脉冲后半部分施加－π/2的相移。这样，再经过Bob施加的π/2相位后，实际到达Bob端干涉仪的光脉冲的前半部分(后半部分)加载相位是π(0)，则光脉冲的前后部分会分别先后进入探测器D1和D0。由于光脉冲本身存在一定宽度(几百皮秒量级)，此时Alice和Bob若校正两探测器的触发时间使其“同时相应”，实际上会引入百皮秒量级的DEM。商用QKD系统本身仅有约4%的情况下DEM较大(几百皮秒量级)，而96%情况下DEM只有几十皮秒的量级。通过Eve的上述对校准过程的攻击，N.Jain等人从实验上稳定的引入了比较大的DEM，为伪态攻击或时移攻击提供了空间。

2.2.3 探测致盲攻击(Detection Blinding Attack)

探测致盲攻击是针对QKD系统中单光子探测器的非理想特性进行的一种量子黑客攻击。目前商用QKD系统及世界各研究小组的QKD系统主要采用的单光子探测器有如下3种。

a)光纤QKD系统(工作波长1 550 nm)，大多采用门触发盖革模式的InGaAs-APD(如商用QKD系统Clavis2和QPN5505);

b)空间QKD系统(工作波长800 nm)，多采用工作于连续状态下盖革模式的Si-APD，具体又分为被动猝灭Si-APD(如新加坡国立大学基于纠缠光子对的QKD系统)和主动猝灭Si-APD(如商用探测器PerkinElmer SPCM-AQR);

c)部分QKD系统采用超导单光子探测器SSPD。

近年来，挪威科技大学的Makarov研究小组发现上述单光子探测器存在严重的安全隐患:Eve可以统一采用所谓探测致盲攻击，实现对Bob端探测器工作状态及探测结果的控制。通过探测致盲攻击，Eve能在完全窃取信息同时不引起QBER。2009年，新加坡国立大学联合挪威科技大学首次实现了探测致盲攻击的演示验证实验。下面以最经常采用的门触发盖革模式的APD为例，阐述Eve如何实施探测致盲攻击，并归纳相应抵御措施。

首先简要介绍APD的工作模式。APD的工作状态分为两种:线性模式和盖革模式。当加载于APD的反向偏压Vbias小于击穿电压Vbr时，APD工作于线性模式;当Vbias大于Vbr时，APD工作于盖革模式。

a)线性模式下，APD工作状态类似于经典的光强探测器(输出光电流正比于入射光强)，即IAPD∝Popt。当APD的输出电流IAPD大于阈值Ith时，探测器产生响应。当APD工作于线性模式且入射光功率大于阈值Pth时，APD将被激发产生响应。线性模式下，APD只响应强光信号，而不响应单光子信号。

b)在盖革模式下，单光子以一定概率ηD被APD吸收产生电子空穴对并在反向偏压Vbias加速下引起雪崩效应，使探测器产生响应。在盖革模式下，APD能响应单光子信号，可以作为单光子探测器使用。盖革模式是QKD系统所需要的工作模式。

所谓“门触发”是指，探测器仅在门信号触发时才工作于盖革模式，而在其余时刻工作于线性模式。可以合理的设计门信号时序，使得仅当单光子信号到达探测器时APD才工作于盖革模式，以达到降低暗计数的目的。绝大多数光纤QKD系统采用门触发盖革模式的APD作为单光子探测器。

针对APD的上述特征，Eve可在APD的线性工作模式下通过伪态攻击控制Bob端探测结果。Eve首先采用和Bob相同的测量方法测量Alice端出射信号;然后根据测量结果将信号在APD工作于线性模式时重发给Bob。与一般伪态攻击不同的是，该攻击中Eve发送给Bob的是经过仔细设计的强光信号而非单光子信号。以BB84协议为例，Eve测量Alice出射信号后，在Bob端APD处于线性工作模式时，将其测量结果加载于功率略大于Pth的强光信号上发送给Bob。

a)若Eve与Bob选取测量基相同，则强光信号完全入射到同一个探测器中。APD工作于线性模式，而入射到探测器的光功率大于Pth，故可引起探测器响应，如图7(a)所示。

b)若Eve与Bob选择测量基不同，则强光信号一半入射到探测器 D0，一半入射到探测器 D1。APD工作于线性模式，而入射到每一个APD的光功率约为Pth/2，故不引起探测器响应，如图7(b)所示。

APD工作于线性模式时，其产生响应当且仅当其入射光强大于Pth;Eve在APD工作于线性模式时随机测量Alice发送的信号并将测量结果以强光

图7 探测器响应示意图

Eve采用强光脉冲入射到Bob探测器以控制Bob探测结果，引起的一个伴随效果是很强的后脉冲(afterpulse)。当下一个门信号来临时APD工作状态转变成盖革模式，会探测到后脉冲引起较高QBER。德国马普光学所和挪威科技大学的研究小组对上述后脉冲进行了物理建模，并将理论模型与实验实测值进行了对比，发现符合得非常好。根据模拟和实测结果，在Eve采取上述攻击时刻之后的50个门信号时间段内，后脉冲引起Bob端探测器响应的概率为0.85，将引起很高的QBER，从而被发现。

为了掩盖上述由于后脉冲所引起的高QBER，挪威科技大学的Makarov等人引入了一种被称为探测致盲(Detection Blinding)的攻击手段。对于门触发模式APD，所谓探测致盲是指通过Eve的攻击使APD不能工作于盖革模式(即使门信号来临时也不能)，仅能工作于线性模式。在线性模式下，APD对单光子量级信号，暗计数，以及后脉冲信号都不响应。如果探测器被致盲，则由上述攻击所导致的后脉冲信号完全不被探测器所响应，不引起QBER。近年来根据不同物理机制，研究者提出了很多种巧妙的探测器致盲方案。

a)连续光入射引起光电流IAPD经过Rbias导致APD反向偏压降低，实现探测致盲;

b)连续光入射热效应导致APD反向击穿电压Vbr增加，实现探测致盲;

c)区间光入射热效应导致APD反向击穿电压Vbr增加，实现探测致盲;(功率略大于Pth)发送给Bob:当Bob的测量基与Eve相同，则所有的光入射到同一个探测器，产生响应，如图7(a)所示;当Bob的测量基与Eve选择不同，则强光脉冲被平分到两个探测器，两个探测器都不响应，如图7(b)所示。

d)利用探测器的AC耦合效应导致门信号入射期间Vcomp降低，实现探测致盲;

e)微弱光脉冲门后攻击，实现探测致盲。

限于篇幅，此处不详细展开。

Eve可以通过联合上述两种手段实现既获取信息，同时又不引起QBER的目的。2009年7月，新加坡国立大学联合挪威科技大学首次报道了对QKD系统的完整探测致盲攻击。被所攻击的QKD系统以纠缠光子对为光源，基于偏振编码，Bob采用被动基选择测量方式，且其APD为工作于被动猝灭模式的Si-APD。Eve采用伪态攻击结合连续强光致盲的攻击方式，攻击具体流程如下。

a)Eve采用与Bob完全相同的测量方式测量Alice出射信号，并记录测量结果;

b)Eve根据测量结果制备相应偏振态的伪态信号叠加到连续强光上，并发送给Bob。

经过上述攻击，Eve能完全获取信息而不引起系统计数率及QBER的改变，故Alice和Bob无法通过这两个参数观察到Eve的存在。

目前，针对探测致盲攻击的抵御手段主要有三种［18～20］。

a)剑桥大学东芝研究中心的研究人员提出通过从硬件上进行改进［18］:降低APD的比较器阈值电压Vth，以及去掉APD的偏置电阻Rbias等手段抵御探测致盲攻击。

b)加拿大多伦多大学的Lo小组从理论上提出了解决方案［19］:提出测量设备无关(Measurement-Device-Independent)协议，解决探测段的所有安全漏洞，包括时移攻击，伪态攻击和探测致盲攻击同时避免探测端边信道信息泄露等。该协议是近期QKD领域一大进展和研究热点，其原理演示验证实验已经被实现。

c)巴西和智利的研究小组采取了实时监控探测器状态的方式［20］，成功抵御了简单的探测致盲攻击和时移攻击。

上述工作分别从不同层面上解决了探测端的安全性问题，相信在不远的将来，探测端的主要安全漏洞都将得以完满解决。

3 结语

研究实际QKD系统安全性，是QKD最终走向实用化的必经之路。总结了现有QKD系统光源和探测端的安全漏洞及其抵御措施。另外一种实际安全漏洞是边信道信息泄露，限于篇幅这里不详述，感兴趣的读者可参考［4，5］。尽管实际QKD系统由于实际器件的非理想特性会存在一些安全隐患，但在各国专家的大力研究下，目前这些安全隐患都有了解决对策。剩下的问题是如何将上述理论和实验的抵御措施融合到QKD系统中。另外，QKD领域还有一些尚待解决的重要问题:QKD网络问题及其与传统光纤通信网络的融合;地面至低轨卫星的QKD实验;QKD各个部件的标准化等等。

最后引用挪威科技大学Makarov的一句话:“In our view，quantum hacking is an indication of the mature state of QKD rather than its insecurity。”其大意是研究针对实际系统非理想特性的量子黑客攻击，并不能说明QKD是不安全的，恰好相反这说明了QKD领域正在走向成熟。

［1］SCARANI V，BECHMANN-PASQUINUCCI H，CERF N J，et al.The Security of Practical Quantum Key Distribution［J］.Rev.Mod.Phys.2009，81(3):1 301-1 350.

［2］SHOR P W，PRESKILL J.Simple Proof of Security of the BB84 Quantum Key Distribution Protocol［J］.Phys.Rev.Lett.2000，85(2):441-445.

［3］GOTTESMAN D，LO H K，LUTKENHAUS N，et al.Security of Quantum Key Distribution With Imperfect Devices［J］.Quantum Inf.Comput.2004，4(5):325-360.

［4］LO H K，ZHAO Y.Quantum cryptography［J］.Encyclopedia of Complexity and Systems Science(Springer New York)，2009，8:7 265-7 285.

［5］LYDERSEN L.Practical Security of Quantum Cryptography［D］.PHD Thesis，NTNU，2011.

［6］ZHAO Y，QI B，LO H K.Quantum Key Distribution with an Unknown and Untrusted Source［J］.Phys.Rev.A，2008，77(5):052 327.

［7］PENG X，JIANG H，XU B J，et al.Experimental Quantum-Key Distribution With an Untrusted Source［J］.Opt.Lett，2008，33(8):2 077-2 079.

［8］PENG X，XU B，GUO H.Passive-Scheme Analysis for Solving the Untrusted Source Problem in Quantum Key Distribution［J］.Phys.Rev.A，2010，81(4):042 320.

［9］XU B，PENG X，GUO H.Passive Scheme With A Photon-Number-Resolving Detector For Monitoring The Untrusted Source In A Plug-And-Play Quantum-Key-Distribution System［J］.Phys.Rev.A，2010，82(4):042 301.

［10］FUNG C-H F，QI B，TAMAKI K，et al.Phase-Remapping Attack in Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2007，75(3):032 314.

［11］XU F H，QI B，LO H.K.Experimental Demonstration of Phase-remapping Attack in a Practical Quantum Key Distribution System［J］.New Journal of Physics，2010，12(11):113 026.

［12］GISIN N，FASEL S，KRAUS B，et al.Trojan-Horse Attacks Onquantum-Key-Distribution Systems［J］.Phys.Rev.A，2006，73(2):022 320.

［13］QI B，FUNG C H F，LO H K，et al.Time-Shift Attack in Practical Quantum Cryptosystems［J］.Quantum Inf.Comput.2007(7):73-82.

［14］ZHAO Y，FUNG C H F，QI B，et al.Quantum Hacking:Experimental Demonstration of Time-Shift Attack Against Practical Quantum-Key-Distribution Systems［J］.Phys.Rev.A，2008，78(4):042 333.

［15］MAKAROV V，ANISIMOV A，SKAAR J.Effects of Detector Efficiency Mismatch on Security of Quantum Cryptosystems［J］.Phys.Rev.A，2006，74(2):022 313.

［16］LYDERSEN L，WIECHERS C，WITTMANN C，et al.Hacking Commercial Quantum Cryptography Systems by Tailored Bright Illumination［J］.Nature Photonics，2010(4):686-689.

［17］GERHARDT I，LIU Q，LAMAS-LINARES A，et al.Fullfield Implementation of a Perfect Eavesdropper on a Quantum Cryptography System［J］.Nat.Comm.2011:2 349.

［18］YUAN Z L，DYNES J F，SHIELDS A J.Resilience of Gated Avalanche Photodiodes Against Bright Illumination Attacks in Quantum Cryptography［J］.Appl.Phys.Lett.2011，98(23):231 104.

［19］LO H K，CURTY M，QI B.Measurement-Device-Independent Quantum Key Distribution［J］.Phys.Rev.Lett.2012，108(13):130 503.

［20］SILVA T DA，et al.Real-Time Monitoring of Single-Photon Detectors Against Eavesdropping in Quantum Key Distribution Systems［DB］.arXiv:1208.0532(2012).