唐世彪 提敏敏 贾云

(1.科大国盾量子技术股份有限公司，合肥 230088；2.山东量子科学技术研究院有限公司，济南 250101)

0 引言

量子密钥分发(Quantum Key Distribution，QKD)从理论上给出了一种实现信息理论安全性的路径。理想的QKD协议，比如BB84 QKD协议已经被证明是信息理论安全的[1-2]，也就是说，QKD协议的安全性不依赖于对攻击者的计算能力假设限定。这一特性极大地激励人们研究如何从技术上实现QKD。进一步的研究表明，如果现实设备的器件性能和QKD协议要求的器件性能之间具有差距，因此可能会产生安全漏洞。例如，理想的BB84 QKD协议要求使用单光子源，利用单光子不可克隆原理保证通信安全。然而，真正的单光子源现实中难以实现。通常QKD设备用来代替单光子源的弱相干光源有一定的机率会发出多光子信号，这会导致光子数分离攻击[3-5]。2005年提出的诱骗态量子密钥分发协议使用弱相干光源代替单光子源，可解决现实设备光源端不完美问题。探测系统是QKD实现中最脆弱的部分，针对探测器端设备的不完美，攻击者可通过强光致盲攻击、时移攻击、死时间攻击等窃取密钥信息。为抵抗探测器端攻击，最初使用的是安全补丁方法，即发现新型攻击后，QKD系统采取对应防御措施，通常只对现有系统的软硬件进行改造。该方法虽然可抗某些攻击，但可能会产生新的漏洞，且只能抗已知攻击，对潜在的未知攻击无效。第二种方法是对设备进行表征并用数学模型进行精确描述，然后将该模型包含在安全性证明中，进行不完美设备的实际安全密钥率估算。该方法看似简单，但是基于设备的复杂性，开发出与各种QKD设备完全匹配的模型十分困难。第三种方法是2007年提出的设备无关量子密钥分发(Device-Independent Quantum Key Distribution，DI-QKD)协议，不需要掌握设备的工作状态，可提供基于违反贝尔不等式的安全性。然而，该方案要求使用量子比特放大器实现近乎完美的探测效率或者对脉冲中光子数执行量子非破坏测量，技术难度大，成码率极低，很不实用。同样，还有半测量设备无关量子密钥分发协议，但也存在类似的问题，暂不能实用化。最后一种方法是采用测量设备无关类QKD，最早于2012年由加拿大多伦多大学Hoi-Kwong Lo实验小组提出。基于纠缠交换技术和时间反演 EPR(Einstein-Podolsky-Rosen)纠缠态方案的测量设备无关量子密钥分发(Measurement Device Independent QKD，MDI-QKD)协议[6]，可消除所有的探测器端侧信道，成码率比DI-QKD高很多量级，可与基于纠缠对的标准安全证明实现得相当。2018年，东芝欧洲研究中心Andrew J. Shields研究团队提出双场量子密钥分发[7](Twin-Field Quantum QKD，TF-QKD)协议。TF-QKD继承了MDI-QKD的测量设备无关的安全性并具有更远的安全距离，引起了国内外广泛关注。下面分别介绍MDI-QKD、TF-QKD协议及其理论和实验进展。

1 MDI-QKD协议

MDI-QKD协议基于时间反演的纠缠协议，Alice和Bob都作为发送端，他们将信号态传输给不可信的测量端进行贝尔测量，因贝尔测量只用于后选择纠缠，测量端可完全看作是一个暗箱，对所有探测端侧信道攻击免疫。需要注意的是MDI-QKD协议要求源端是可信的。当使用相干光源实现基于单光子源的MDI-QKD方案时，需要估算测量端单光子的贡献，同时为了确保系统安全性，需要采用诱骗态技术。下面以Hoi-Kwong Lo给出的方案[6]为例介绍该协议的流程和实现(见图1)。

图1 MDI-QKD协议系统方案结构图

(1)态制备：Alice和Bob分别对相位随机的弱相干脉冲进行编码，随机制备出不同强度的诱骗态，以及随机制备2个基矢下的4种量子态，然后同步发送给不可信接收端Charles。

(2)贝尔态测量和后选择：Alice和Bob的光脉冲到达Charles端发生干涉，引起探测器响应。Charles根据探测器响应情况，当探测器D1H和D2V(或D1V和D2H)同时响应，说明制备出贝尔态|ψ-〉，当探测器D1H和D1V(或D2V和D2H)同时响应，说明制备出贝尔态|ψ+〉。Charles将后选择的贝尔态|ψ-〉和|ψ+〉信息发给Alice和Bob，Alice和Bob将对应的制备信息保留，用于后续的基矢比对，其余丢弃。(3)基矢比对、纠错和保密增强：类似诱骗态BB84的方式，对密钥进行基矢比对(保留直角基矢的密钥，对角基矢用于估计)、纠错和保密增强压缩，获得最终安全密钥。

2 MDI-QKD理论发展

2012年，Hoi-Kwong Lo实验小组提出MDI-QKD协议并对无限码长下使用无限多诱骗态情况的安全性进行了分析[6]，但是实际的MDI-QKD系统实验时间有限，使用的诱骗态数量也是有限的，为此需要研究有限数量诱骗态在有限码长下可工作的MDI-QKD系统。2012年，马雄峰分析了使用有限数量诱骗态(含真空诱骗态)的MDI-QKD的性能[8]通过优化结果可逼近渐进极限性能。2014年，Marcos Curty利用最小熵分析和Chernoff边界，严格给出了MDI-QKD在有限码长和抗一般攻击条件下的安全证明[9]；同年，徐飞虎等给出了含两种诱骗态情况(不含真空态)的简单分析方法，同时结合有限码长分析开发出一种实现信号态和诱骗态强度最优选择的通用框架，并研究了非对称信道情况[10]。2016年，王向斌团队提出四强度方法，可大大提高密钥率，特别是对数据量不大的情况(发送信号脉冲数量109～1010个)非常有效[11]。2019年，王向斌、徐飞虎、Hoi-Kwong Lo将四强度方法扩展至七强度，极大提高了非对称信道的MDI-QKD方案的密钥率[12]。另外，在Hoi-Kwong Lo最初提出的基于偏振编码的MDI-QKD协议基础上，后来的研究者又相继提出了一些基于相位、时间编码的方案。2012年，Kiyoshi Tamaki提出两种相位编码MDI-QKD方案并且都给出了安全性证明[13]：一种利用非相位随机相干脉冲结合锁相技术，另一种需要将标准的BB84相位编码脉冲转换为偏振模式；同年，马雄峰提出时间-相位编码的MDI-QKD方案[14]，该方案对偏振稳定性依赖小，使用探测器更少，实现起来更加低成本高效。MDI-QKD的安全性基于一条重要假设，即光源必须是可信的或被表征的。研究者们还研究了光源不完美的情况：比如Kiyoshi Tamaki和徐飞虎分别在2014年和2015年证实了Alice和Bob端编码设备不完美情况下的MDI-QKD的安全性[15-16]；2014年，郭光灿团队研究了光源未被完全表征的情况下的安全性[17]。

3 MDI-QKD实验发展

MDI-QKD实验的主要技术难点在于如何实现两个独立的激光源的高对比度干涉。基于相位编码的标准BB84方案因干涉的光子的两个分量来源于同一个激光器，光源对偏振和相位改变的影响相同，因此不需要进行光源的稳定。但是在MDI-QKD中，干涉的光子来源于不同的激光器，需要对光源进行相关参数特别是波长的稳定。2013年，中国科学技术大学潘建伟团队首次进行了MDI-QKD实验验证[18]，在50 km光纤上进行了基于时间编码的实验演示。加拿大卡尔加里大学团队基于时间编码实现了80 km的MDI-QKD实验演示[19]。接着，巴西研究团队、加拿大Hoi-Kwong Lo在实验室使用弱相干态和偏振编码实现了MDI-QKD实验演示[20-21]。MDI-QKD不仅有着抗探测端攻击的安全性，还可实现远距离传输。2014年，中国科学技术大学潘建伟团队利用75 MHz高速系统和高效低噪的超导纳米线单光子探测器，以及优化的诱骗态理论和更严格的有限密钥分析，将MDI-QKD的传输距离扩展到200 km；成码率约为60 bit/s@50km，较之前提高3个数量级，极大推动了MDI-QKD的实用化。在此基础上，该研究组于2016年又进一步结合最优化的四强度诱骗态方案，将MDI-QKD的传输距离拓展至超低损耗光纤404 km的距离，在100 km处成码率可达到3 kbit/s，足够支持一次一密加密语音通信；同年，英国剑桥大学和东芝欧洲研究团队利用脉冲激光播种技术实现了高可见度干涉，传输距离突破100 km，有限码长的成码率达到1 Mbit/s。2019年，中国科学技术大学潘建伟团队联合科大国盾量子技术股份有限公司、中科院上海微系统与信息技术研究所等团队演示了一套基于集成光芯片实现的1.25 GHz重复频率的高速MDI-QKD系统和量子接入网组网结构[22]。在该网络结构中，每个用户只需要一个小型化和低成本的发射端芯片即可大大降低组网成本，其速率和成码率也超过此前文献报道的所有MDI-QKD实验。

4 TF-QKD协议

经过近几年的研究，MDI-QKD在传输距离、成码率、组网、集成等方面都取得了巨大突破。但是，因为光纤的固有损耗，信道的传输效率随距离增加呈指数衰减，点对点QKD系统在距离确定的情况下成码率存在限制，称为量子信道的密钥容量SKC，这个限制由英国约克大学的Stefano Pirandola、Riccardo Laurenza取名PLOB界[23]，即QKD的最大成码率R与信道传输率η的理论上限为R≤log2(1-η)～O(η)。在无中继情况下，成码率与信道的传输效率线性相关。虽然量子中继器可突破距离对成码率的限制，但到目前为止现有技术还无法实现实用的量子中继。因此，如何在无中继情况下突破成码率限制是个研究热点。

和前述MDI-QKD非常相似，TF-QKD也由两个发送端、一个不可信中继的接收端组成，但与传统MDI-QKD协议不同的是，TF-QKD协议本质是基于单光子干涉，其基本系统实现结构如图2所示。

图2 TF-QKD协议系统方案

(1)态制备：Alice和Bob分别对具有频率锁定的光源采用类似MDI-QKD的方式，随机制备2个基矢的4种相位态，并随机制备出不同强度诱骗态，并在2π范围内进行离散均匀的相位随机化调制，然后同步发送给不可信接收端Charles。

(2)贝尔测量：Alice和Bob的光脉冲到达Charles端发生干涉，引起探测器响应。Charles根据探测器响应情况，公布每一探测位置的D1、D2响应情况。Alice和Bob根据公布信息，仅保留其中一个探测器响应的位置的制备信息，用于后续的基矢比对，其余丢弃。

(3)相位选择：Alice和Bob公布保留位置使用的随机相位，对相位差为0或π的数据保留，其余丢弃。

(4)基矢比对、纠错和保密增强：类似诱骗态BB84的方式，对密钥进行基矢比对、纠错和保密增强压缩，获得最终安全密钥。

5 TF-QKD理论发展

在TF-QKD提出后，国内外理论系列工作受其启发进行了优化，解决了TF-QKD存在的安全性证明上的一些问题，并进一步优化了方案。例如，清华大学马雄峰提出的相位匹配QKD(Phase-Matching QKD，PM-QKD)方案[24]，无需基矢切换，其安全性利用基于纠缠协议的纠缠提纯的等价性，可以直接用相干态进行成码。清华大学王向斌提出的发送与不发送QKD(Sending or Not QKD，SNS-QKD)方案[25]，其用于成码的基矢不基于单光子干涉情况，因此不仅相位不需要公布，还保证了诱骗态方案可以直接应用于协议中，而且可使得成码基矢的错误率非常小，从而能够容忍更大的非成码率基矢的干涉引起的错误率。不过只有当该协议用于成码的基矢的发送概率较小时，才能控制固有的成码基矢误码率，反之则会有较大的误码率，因此使得该协议的最终成码率及成码距离受限。为解决该问题，王向斌小组进一步提出双向经典通信(Two-Way Classic Communication，TWCC)方案，利用随机配对及奇偶校验的方式可以大大降低误码率，进而可以提升成码率和成码距离。上述几种方案均需进行一定程度的相位筛选，即通过相位后选择的方式匹配两个相干态的相位，这就意味着最终成码仅能保留部分匹配位置，随着离散相位数量的增加，匹配概率下降，制约了成码率。对此，中国科学技术大学郭光灿团队、加拿大多伦多大学Hoi-Kwong Lo教授等独立提出了免相位后选择的QKD(No Phase Post-Selection QKD，NPP-QKD)方案[26-27]，用于成码的脉冲仅需要进行相位编码而无需相位随机化，避免了相位后选择。上述理论的发展和完善，为后续实验系统的安全证明完善、性能提升、系统简化提供了有力的支撑。

6 TF-QKD实验发展

TF-QKD实验的主要技术难点在于如何实现两个独立的激光源的高对比度干涉，同时还需要对全局相位进行快速监测，NPP-QKD则进一步需要进行快速相位反馈补偿。这里的全局相位差对应光程差的控制要求在亚波长量级，而相位差包括Alice、Bob的光源本身频率和波长差异、独立信道的相位扰动两部分，其中信道扰动造成的相位变化已经在10 rad/ms量级，变化非常剧烈，实验难度非常大。

对此，2019—2020年间，国内外多个科研团队使用了不同的方案实现光源锁频技术和相位扰动监测技术，完成了各种距离下的TF-QKD实验验证。其中，加拿大多伦多大学的Hoi-Kwong Lo实验小组[28]使用“Plug & Play”(即插即用)方案，Alice和Bob使用同一激光器作为信号光，可以完全避免激光器频率差引起相对相位变化的问题。基于“Plug & Play”方案的TF-QKD实验装置如图3所示。

图3 基于“Plug & Play”方案的TF-QKD实验装置图

中国科学技术大学潘建伟团队和清华大学马雄峰小组基于PM-QKD协议进行实验验证[29]，使用光源注入锁定方案，通过Charles共同的种子光注入锁定Alice和Bob的光源使得频率和相位锁定，最后干涉结果显示其注锁光的波长差引起的相位差漂移为0.40 rad/ms。对于链路光纤相位扰动，该实验利用了附加相位参考光时分复用技术来监测和估计光纤的相对相位快速漂移。该实验突破距离约束，在302 km、402 km商用光纤上实现QKD成码率高出之前研究成果4个量级，并最终实现了502 km最远距离，衰减达到82 dB，成码率0.11 bit/s的实验结果。基于注入锁定技术的PM-QKD实验装置如图4所示。

图4 基于注入锁定技术的PM-QKD实验装置

除此之外，中国科学技术大学潘建伟团队和济南量子技术研究院相关团队等基于SNS-QKD协议进行实验验证[29-30]，使用光源时频传输方案，通过超稳腔锁定Alice和Bob各自的光源，并通过干涉拍频和反馈进行Alice和Bob之间光源的锁频。该实验最终实现了509 km最远距离，衰减达到82 dB，成码率0.36 bit/s的实验结果。基于时频传输技术的NPP-QKD实验装置如图5所示。

图5 基于时频传输技术的NPP-QKD实验装置

东芝欧洲研究中心的Andrew. J. Shields研究团队[31,33]、中国科学技术大学韩正甫实验小组[32]的实验分别使用了TF-QKD[31]、SNS-QKD[33]、NPP-QKD协议[32]，均采用了外差光学锁相环(Optical Phase Lock Loop，OPLL)技术来锁定两个独立激光器频率差，具体使用PIN结型光电二极管监测相位误差，误差信号通过环路滤波器产生偏置电流来调谐激光器的频率，最后实现频率差零偏差。除此之外，Mirko Pittaluga等人在2020年开展的实验[33]相比其他采用同步光参考光时分复用技术的实验，首次采用不同波长参考光的波分复用技术来应对链路光纤相位扰动，极大提高了相位扰动监测的速率和精度，最终实现了目前实验605.2 km的最远距离，链路衰减已达到104.8 dB，而成码率仍然有1 bit/s，比PLOB界高30倍。基于OPLL技术的NPP-QKD实验装置如图6所示。

图6 基于OPLL技术的NPP-QKD实验装置

7 各协议对比分析

综上所述，基于2012年提出的MDI-QKD协议、2018年提出的TF-QKD协议，可对这两种协议近十年的理论和实验发展进行简要的脉络梳理、阐述总结。由此，BB84、MDI-QKD、TF-QKD 3种协议的特点对比如表1所示。

表1 3种协议的特点对比

8 结束语

MDI-QKD首次提出测量设备无关的协议思想，彻底解决了现实系统中探测端的安全问题，其实验系统演示了最远成码距离可达到404 km。TF-QKD继承了MDI-QKD测量设备无关的特性，而且突破了以往QKD协议成码率的PLOB界约束，基于单光子干涉和和单光子探测，将成码率提高到与信道传输效率的平方根相关。TF-QKD的各种变种协议(如PM-QKD、SNS-QKD、NPP-QKD)的理论发展为后续实验系统的安全证明完善、性能提升、系统简化提供了有力的支撑。TF-QKD相比传统MDI-QKD，最大的技术难点是实现不同源单光子干涉所需的全局相位的监测或者监控技术。由于全局相位来自于光源和光纤等链路中各处扰动的贡献，因此格外增加了其技术难度。随着TF-QKD各种关键技术的逐步突破，包括各类型光锁频技术、光纤相位扰动快速监测技术的不断发展，目前TF-QKD类协议实验中最远距离已突破600 km，相比MDI-QKD和BB84协议的400 km进一步拓宽了非中继QKD系统的最远距离，而此时的成码率1 bit/s仍然具有一定的实用性。由此可见，TF-QKD使得量子密钥分发协议和实验在同步提升成码距离和成码率上朝实用化又迈了一大步，具有非常好的实用化潜力，也成为近年来QKD实验和工程化研究的热点和重点，值得业界关注。