杨 鑫，孙游东，王天一

（贵州大学 大数据与信息工程学院，贵州 贵阳 550025）

0 引 言

通信加密方式中，量子密钥分发（Quantum Key Distribution，QKD）近几年成为研究热门[1]。30 多年的发展中，QKD 理论安全性分析以及实验得到了很好的验证。QKD 协议双方Alice 和Bob 基于量子态的传输进行密钥分发，保证密钥的真随机性。QKD 安全性由量子力学的海森堡测不准原理和量子不可克隆定理保证[2]。通信过程中，假定存在窃听者Eve 掌握信道资源，以达到最坏情况下量子密钥分发安全性是否有保证。QKD 又分为离散变量协 议（Discrete-Variable Quantum Key Distribution，DV-QKD）和连续变量协议（Continuous-Variable Quantum Key Distribution，CV-QKD）。其中，BB84协议为典型离散变量协议[3]，GG02 为典型连续变量协议[4]。CV-QKD 在实际条件中具有先天优势，可结合当前光纤网络进行铺设，传输距离上优于DV-QKD，所以成为当下的研究热点。

CV-QKD 虽具有很多优点，但其安全码率受过量噪声影响严重[5]。在过量噪声情况下，CV-QKD安全码率下降很快，导致安全传输距离无法过长[6]。为了提高CV-QKD 可容忍噪声，人们提出了双路CV-QKD 协议[7]。双路CV-QKD 有很好的过量噪声可容性，并会对窃听者Eve 的攻击造成影响[8]。双路CV-QKD 协议中，窃听者Eve 必须对前后信道同时攻击。例如，若对前信道攻击会对后信道加入过量噪声，使得Eve 在窃听过程中加入更多的噪声，增加Eve 的窃听难度[9]。因此，双路协议具有很大的发展空间。

量子密钥分发发展至今，各种量子密钥分发通信协议在无限码长情况下的安全性证明已经成熟。在实际应用过程中，交换信号数量达不到近似无限码长条件，因此研究有限码长效应对量子密钥分发安全性能影响很有必要[10-11]。CV-QKD[12]和设备无关协议（Continuous-Variable Measurement-Device-Independent Quantum Key Distribution，CV-MDIQKD）[13]进行有限码长效应下的研究已经完成，并得到了相应的分析结果。

单路CV-QKD 协议的安全传输距离容易受过量噪声的影响。为了提高CV-QKD 的可容忍噪声，人们提出了双路CV-QKD 协议。但是，目前尚未对双路CV-QKD 协议进行有限码长效应分析，具体会产生何种影响结果未知。

本文其余部分安排如下：第1 节介绍双路协议的主要过程，详细研究双路协议在有限码长效应下参数估计过程，并介绍有限码长效应分析方法和公式；第2 节给出安全码率的仿真结果；第3 节进行全文总结。

1 双路CV-QKD 协议和参数估计

双路协议的PM 模型流程如图1 所示。图1 中，LS1 和LS2 表示激光光源，A 表示幅度调制器，φ表示相位调制器，m、n、r 和s 表示随机数发生器。Bob 发送一个相干态发给Alice。Alice 制备一个高斯调制的相干态，并且用一个分束片TA对他制备的态与收到的态进行耦合。Alice 通过对模A2进行零差检测得到xA2。Bob 对收到的模进行外差测量得到位置变量xB2X和动量变量pB2P。中间信道假定为被窃听者Eve 所掌控。最后，Bob 通过得到的两个数据进行参数估计、数据后处理、数据协调和密钥放大，得到最终的安全密钥。

图1 双路CV-QKD 协议的PM 方案

以上为双路协议的PM 过程。PM 方案在实际中容易实现，但是比较难于进行安全性分析。在进行安全性分析时，通常使用等效的EB 方案。双路协议的EB 方案如图2 所示，有两个独立的高斯纠缠克隆机，方差分别为W1和W2。图2 中箭头旁边的字母如B1表示箭头处的模。ΓK是连续变量C-NOT门[9]。Bob 用外差测量他的EPR 对的一个模并把另一个模发给Alice。Alice 对她的EPR 对的一个模A1进行外差测量，并对从分束片TA出射的一个模进行零差测量，然后把从分束片TA出射的另一个模发给Bob。Bob 对收到的模B2进行外差测量得到B2X和B2P，再通过两个对称变换ΓK把模B1P、B2P、B1X和B2X变换成模B5、B6、B3和B4。通过对模B4和B6的零差测量，可以得到xB和pB。最后，Bob通过得到的两个数据进行参数估计、数据后处理、数据协调和密钥放大，得到最终的安全密钥。

图2 双路CV-QKD 协议的EB 方案

有限码长效应下的安全码率计算公式为[11-12]：

其中A和B分别为Alice 和Bob 经过量子态测量后的经典数据，E为窃听者的量子态。I(AB)为Alice 和Bob 之间的互信息，用香农熵表示。SεPE(BE)是Bob 和Eve 之间的互信息，在个体攻击中仍用香农熵表示，而在集体攻击中用冯诺依曼熵来表示。由于集体攻击优于个体攻击，所以后续研究中都采用集体攻击的情况仿真分析。εPE为参数估计出错的概率。N为Alice 和Bob 之间交换数据的总长度，n为最后作为密钥的数据长度。对于联合窃听，β[11]为数据协调阶段的协调效率，Δ(n)为保密增强阶段的修正参数，与协议的失败概率有关。

式中HX为对应于未处理密钥中的变量x的希尔伯特空间，ε～为一个平滑参数，εPA为私钥放大过程中失败的概率。平滑参数ε～和εPA都是中间变量，可以任意指定，取值越小越好。

计算安全码率最重要的一个参数为SεPE(BE)。为了满足安全通信，在分析协议安全性能时需要做最坏的打算——窃听者Eve 可获得最大的信息量，即SεPE(BE)尽可能取最大值。在有限码长效应下，由于用来参数估计的样本值不是无限的，导致采样波动较大，Alice 和Bob 对Eve 的窃听估计可能出现偏差。这里选择计算SεPE(BE)值时使其最大化。

SεPE(BE)的值计算依赖通信过程中的协方差矩阵。有限码长效应会对协方差矩阵中的统计参数造成波动影响，具体为前后信道的透射率T1和T2、两条信道各自的过量噪声ε1和ε2以及Bob 和Alice的调制方差V和VA。协方差矩阵ΓAB如下：

其中各个元素如下：

erf是误差函数，定义为：

2 模拟仿真

进行双路CV-QKD 协议在有限码长效应下的模拟仿真。仿真主要分为两种情况，首先考虑只针对一条通信信道进行有限码长效应下的参数估计，并且为了便于模拟，只考虑两个信道具有相同参数的情况，即T1=T2、ε1=ε2及K=1，在此前提下进行建模仿真，如图3 所示。其中，方块线、十字线、三角线、星号线和直线分别对应码长为106、108、1010、1012以及无限码长的仿真曲线。

图3 有限码长效应下对一个信道进行参数估计的安全码率与传输距离变化情况

图3 为对一个信道进行参数估计情况下的有限码长效应对双路CV-QKD 协议安全码率与安全传输距离关系的影响。其中，协调效率β=95%，信道过量噪声ε1=ε2=0.2，TA=0.2，Alice 和Bob 的调制方差VA=VB=10，曲线从左至右分别为码长N=106、108、1010、1012以及无限码长。由图3 可知，码长为N=106时的安全传输距离与N=102时的安全传输距离相差接近1 倍；传输数据越长，安全传输距离越接近于无限码长时的传输距离。

图4 为只对一个信道进行参数估计情况下的有限码长效应对双路CV-QKD 协议安全码率与调制方差关系的影响。其中，协调效率β=95%，信道过量噪声ε1=ε2=0.2，TA=0.2，Alice 与Bob 之间的传输距离设置为55 km。由图4 可知，当调制方差为23 左右的时候，安全码率降至最低点；在调制方差0 ～23区间，传输码长越小，安全码率下降越快；调制方差过23 后，安全码率逐步上升，且码长N=106、108、1010、1012四条曲线逐步减小差距。

下面将两条信道同时在有限码长效应下作参数估计，即后信道作参数估计时考虑前信道参数所带来的影响。图5 为两个信道同时进行参数估计情况下的有限码长效应对双路CV-QKD 协议安全码率与安全传输距离关系的影响。其中，协调效率β=95%，信道过量噪声ε1=ε2=0.2，TA=0.2，Alice 和Bob 的调制方差VA=VB=10，曲线从左至右分别为码长N=106、108、1010、1012以及无限码长。由图5 可知，传输数据越少，用于参数估计的数据相应减少，导致安全传输距离大幅度减少；在码长N=106的情况下，最大安全传输距离为54 km；码长N=102的情况下，最大安全传输距离达到96 km，且趋势逐步与无限码长条件接近。

图4 有限码长效应下对一个信道进行参数估计的安全码率与调制方差变化情况

图5 有限码长效应下对两个信道进行参数估计的安全码率与传输距离变化情况

图6 为两个信道同时进行参数估计情况下的有限码长效应对双路CV-QKD 协议安全码率与调制方差关系的影响。其中，协调效率β=95%，信道过量噪声ε1=ε2=0.2，TA=0.2。为了方便，只对一条信道进行参数估计情况进行对比，Alice 与Bob之间的传输距离设置为55 km。由图6 可知，码长N=106、调制方差为23 时，安全码率下降幅度更大，对比只对一条信道进行参数估计情况安全码率减少更加剧烈。

图6 有限码长效应下对两个信道进行参数估计的安全码率与调制方差变化情况

3 结 语

双路CV-QKD 协议的理论安全性分析基于通信双方交换无限多信号数进行，但是实际情况下无法达到交换无限多的信号数，因此必须谨慎考虑交换信号数有限情况下的理论安全性分析。由以上模拟仿真可以得出，交换信号码长过小的情况下，N=106的安全传输距离与无限码长条件下的安全传输距离相差接近1 倍，且安全码率也在一定幅度上随着传输距离的增加相应减少。但是，只要通信双方交换码长大于N=1012，安全传输距离与无限码长条件的安全传输距离相差不大。从调制方差与安全码率关系的模拟仿真结果来看，双方通信码长过小会导致调制方差不能小于50，将会引起安全码率急剧下降的情况。